详解'告知-同意'框架：理解与应用

“告知—同意”规则被美国联邦贸易委员会认定为线上隐私保护的“最为重要的原则”。^[56]在过去十五年里，联邦贸易委员会与白宫将“告知—同意”作为首选的保护消费者线上隐私的机制予以推进。^[57]该规则体现的是行业自律模式与个人对信息进行的自我管理与控制。此规则成为个人信息保护的主要规制手段之一，适用范围最广。

虽然得到了部分评论者与政策制定者的赞赏，但“告知—同意”规则同样招致广泛的批评。^[58]

（一）普遍应用与评论者的赞赏

“告知—同意”框架下，信息主体有权权衡披露个人信息的利弊，并决定是否同意他人收集、处理、利用其个人信息。此规则要求信息控制者和信息处理者在收集、处理数据前事先告知用户，并得到用户明示或默示的许可同意。事实上，此制度设计的目的是希望实现个人对自身信息的控制。理论上，该制度将个人信息收集与使用的权利交给个人，保留了用户在个人信息领域的自治空间。赞赏“告知—同意”的学者认为，该规则能发挥替代监管的作用，更灵活，易于执行，实施起来成本也低廉。^[59]此外，“告知—同意”机制下，只要能取得信息主体对数据使用的同意，就能合法化信息处理的行为。^[60]每个个体的隐私倾向不同，一些人把隐私的价值看得轻，他们愿意用隐私交换产品、服务或他们更为看重的信息，而“告知—同意”机制的灵活性能避免武断地为个人信息的保护设置一个整齐划一的标准。^[61]“告知—同意”机制的广泛应用避免了公权力对合法商业利益的过度管制。过度监管会扼杀创新、阻碍竞争。^[62]该机制强调用户自治，以避免过度监管引发僵硬、刻板的后果。“告知—同意”机制成为采用法律与行政规章对个人信息进行规制外的另一选择。

（二）有效性不足

尽管“告知—同意”机制有上述优势，该规则也面临诸多困境。问题的焦点集中在隐私政策与相关文件的冗长、晦涩、不切实际（如花费高昂，通知范围极广）、用户的认知及产生的不良外部性方面。(www.xing528.com)

第一，隐私政策与文件冗长、晦涩。当互联网用户下载一款应用程序、使用一款移动设备或创建一个网络服务的账户时，界面上会出现与隐私政策相关的提示，用户只能做出同意的意思表示后才能继续使用相应的服务。理想的状态被设想为：用户认真阅读通知，了解通知的法律含意，必要时咨询自己的律师，与其他提供相似服务的互联网服务商协商，判断是否能从他处获得更好的隐私保护，最后一步再权衡是否点击同意的按钮。现实与此却截然相反。^[63]研究发现，消费者很少仔细阅读网站的隐私政策。企业的隐私声明往往是用户试图了解企业如何收集、使用、分享其个人信息的重要且唯一的途径。隐私政策与隐私保护声明构成行业自律性的“告知—同意”框架的基础，这一框架的价值与合理性也建构在用户对隐私政策与隐私保护声明阅读并理解其含义的基础上。然而，这些隐私政策对用户而言，冗长、晦涩，网站的隐私保护声明往往也无法满足用户的期望。现阶段，通过技术，改善这些情况的努力并不成功。^[64]在“告知—同意”机制下，用户很少阅读企业的隐私政策与隐私声明^[65]，其往往对隐私政策与隐私声明中载明的内容毫不知情。对于没有阅读隐私政策与隐私声明的用户而言，他们既不能保护自己，也不能对市场进行监督。即便用户阅读相关的隐私政策、声明与协议，他们事实上也不能对冗长且充满法律行话的文件做出正确理解。^[66]用户往往会对网站进行不正确的设想，高估网站保护个人信息的能力与努力。另外，“告知—同意”机制下，单个互联网用户并不具有与服务商协商隐私保护政策与条款的能力。双方谈判力量悬殊。用户只能在接受隐私政策与协议条款后，才能使用服务商提供的产品与服务。服务提供商提供的是一个复杂的要么全盘接受，要么全盘拒绝的条款，这背后还有许多法律专家为其出谋划策。而互联网用户往往只会花几秒钟的时间去处理通知涉及的隐私政策与协议。

第二，“告知—同意”机制的实际操作效果并不尽如人意。因为，这会导致用户有太多的隐私政策与文件需要跟踪与阅读。鉴于用户在一天之内可能会访问数百个网站，读完所有的隐私文件将会非常耗时且代价高昂。用户事实上无法了解每个网站的隐私保护政策与声明。^[67]从事法律与政策研究的学者怀疑该机制在实际执行中的效果。^[68]技术专家试图通过技术手段解决该机制有效性的问题，并找寻促进线上“告知—同意”机制更好实现的方法。不过目前，技术方法达到的效果有限。更为复杂的是，网上交互行为的多样性使得用户无法控制互联网上个人信息的流动。比如，网站可能与第三方签合同，与第三方共享其采集的数据信息或将数据跟踪、收集、分析的环节外包给第三方处理。网站与第三方之间的此类协议使得个人要想实现对自身信息的控制变得非常困难。实践中，第三方并不会通知用户其将如何分析、使用用户的个人信息，发包方往往对此也缄默不语。在信息二次利用方面，“告知—同意”机制并未获得用户的授权。用户在这种潜在且无休止的信息分享与对信息的二次利用面前，不仅难以实现对当前及未来信息分析、处理、利用行为的把控，而且往往对信息的二次利用行为全然不知。与数据间分享与融合直接相关的是对信息的控制。虽然，有时信息主体经过权衡，认为披露单个的、细碎化的信息无法识别出个体的身份，也不会对其造成任何威胁，但信息主体可能没有意识到，未来这些碎片化的信息可能会被串联在一起，聚合的信息，经过分析可能会揭露出个人的敏感信息。现实中，用户很难理解未来数据聚集产生的效应，很难评估信息融合、泄露的潜在危害，更无法对其进行长期的成本收益分析。^[69]还应看到，网站的隐私政策与隐私协议常常包含这样的规定，即网站有随时修改其隐私政策与隐私条款的权利。这意味着用户需要时常检查网站的隐私政策与隐私条款，及时了解网站当前的隐私保护措施。现实中，这样做会造成用户时间、金钱上的沉重负担。网站隐私政策的可塑性彰显了隐私保护承诺的脆弱性。^[70]即使用户谨慎地遵循隐私政策及隐私协议条款，他也可能发现，当政策与条款一经单方修订，先前的承诺在今日将不再有效。^[71]

第三，负外部性问题。“告知—同意”机制在执行中可能会产生负外部性。比如，有时“告知—同意”的规则在一定程度上给个人信息保护带来了负担。比如，通知的内容中可能隐含这样的约定：服务商有权向第三方分享用户个人信息。用户通常不会收到来自第三方使用其信息的通知，更没有机会拒绝第三方违背信息采集的目的对其信息进行的二次使用。不仅如此，信息主体同意向信息控制者披露、允许其使用的信息可能涉及第三人的隐私。未经第三人同意，披露并允许他方使用这样的信息，可能会对第三人造成侵害。^[72]从这个角度看，“告知—同意”机制将关注的焦点集中在个人同意方面，将注定无法考虑到个人隐私决策对社会产生的影响。^[73]

作为保护个人信息的一项手段，“告知—同意”框架已被大数据所带来的正面效益所打败。大数据以一种崭新、悄然且出人意料的能力与方式使用信息。^[74]这是下一个创新、竞争和生产力的前沿。“告知—同意”机制设计的目的是希望用户能对自己的信息做出有意义的、明智的决策。用户要想实现对自身信息的控制，就应当能理解做出选择会产生的影响，并有能力对是否披露个人信息进行控制。^[75]而现实情况却是，个人往往缺乏对信息的足够了解，也不清楚信息披露会引发的结果。同样，在确保个体自身的信息只以其期望的方式使用、披露方面，往往也缺乏有效的制度予以保证。^[76]

现阶段，“告知—同意”规则已深深地根植于现有制度与商业实践操作中，该项规则仍然应得到最大程度的遵守。通过努力扩展“告知—同意”机制的广泛适用，赋权个人控制自身信息的模式，能为个人信息的治理带来一些希望，但不能仅依靠这一机制就忽视对其他应运而生的程序与保护措施的重视。^[77]除此之外，隐私政策与隐私声明还应以更清楚、更简洁、更规范的样态呈现，便于用户更好地理解与比较。