程 嘯

引 言

個(gè)人信息保護(hù)法中的告知同意規(guī)則，也稱“知情同意規(guī)則”，是指任何組織或個(gè)人在處理個(gè)人信息時(shí)都應(yīng)當(dāng)對(duì)信息主體，即其個(gè)人信息被處理的自然人進(jìn)行告知，并在取得同意后方可從事相應(yīng)的個(gè)人信息處理活動(dòng)，否則該等處理行為即屬違法，除非法律另有規(guī)定。①參見(jiàn)王利明、程嘯、朱虎：《中華人民共和國(guó)民法典人格權(quán)編釋義》，中國(guó)法制出版社2020年版，第419頁(yè)。告知同意的規(guī)則最早為1970年德國(guó)黑森州的數(shù)據(jù)保護(hù)法所確認(rèn)，目前已經(jīng)成為絕大多數(shù)國(guó)家個(gè)人信息保護(hù)法承認(rèn)的基本規(guī)則。之所以告知同意規(guī)則被認(rèn)為是個(gè)人信息處理中的基本規(guī)則，原因在于個(gè)人信息是可直接或間接識(shí)別特定自然人的信息，與自然人的人格尊嚴(yán)和人格自由息息相關(guān)。為了保護(hù)人格尊嚴(yán)和人格自由這一最高位階的法益，自然人對(duì)其個(gè)人信息享有受到法律保護(hù)的民事權(quán)益。我國(guó)《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱“《民法典》”）明確承認(rèn)了自然人的個(gè)人信息權(quán)益，賦予了自然人對(duì)其個(gè)人信息享有作為民事權(quán)益的人格權(quán)益。②參見(jiàn)程嘯：《論我國(guó)民法典中個(gè)人信息權(quán)益的性質(zhì)》，《政治與法律》2020年第8期。這就意味著其他人需要尊重該權(quán)益而不得侵犯它。同樣，承認(rèn)自然人的個(gè)人信息權(quán)益就必然導(dǎo)致對(duì)他人行為自由的限制，即任何組織或個(gè)人沒(méi)有得到自然人的同意而處理其個(gè)人信息的行為，屬于侵害個(gè)人信息權(quán)益的不法行為，具有非法性。個(gè)人信息從來(lái)不是什么任由他人使用的公共物品，以維護(hù)公共利益與公共安全并促進(jìn)個(gè)人數(shù)據(jù)的流動(dòng)共享為由否定自然人對(duì)其個(gè)人信息的權(quán)利，將個(gè)人信息作為公共品完全交由政府通過(guò)公法規(guī)制的觀點(diǎn)，漠視了個(gè)人信息上承載的民事權(quán)益，只能導(dǎo)致大量以維護(hù)公共利益之名而行侵害私權(quán)利之實(shí)的惡行，最終的結(jié)果是既無(wú)法維護(hù)公共利益，更無(wú)法保護(hù)民事權(quán)益。私權(quán)保護(hù)與公法規(guī)制之間不是非此即彼的關(guān)系，而是應(yīng)當(dāng)通過(guò)兩者共同構(gòu)建個(gè)人信息保護(hù)的制度基石。③參見(jiàn)程嘯：《論我國(guó)個(gè)人信息保護(hù)法中的個(gè)人信息處理規(guī)則》，《清華法學(xué)》2021年第3期。

我國(guó)個(gè)人信息保護(hù)方面的法律明確采取了告知同意規(guī)則。2012年的《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條要求，網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“《網(wǎng)絡(luò)安全法》”）第41條第1款規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”《民法典》第1035條第1款更是明確規(guī)定：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定?！薄吨腥A人民共和國(guó)個(gè)人信息保護(hù)法（草案一審稿）》第13條曾將作為基本原則的告知同意規(guī)則與其他例外情形并列，雖然條文表述上簡(jiǎn)潔了一些，卻弱化了告知同意規(guī)則的基本原則地位。令人高興的是，《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案二審稿）》（以下簡(jiǎn)稱“《草案二審稿》”）第13條進(jìn)行了修改，該條增加了一款，即“依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意?！比绱艘粊?lái)，就凸顯了告知同意規(guī)則在個(gè)人信息處理活動(dòng)中基本規(guī)則的地位，即取得同意是原則，不需要取得同意是例外，《草案二審稿》的這一修改值得肯定。

告知同意規(guī)則由告知規(guī)則與同意規(guī)則組成。要確保個(gè)人的同意是在充分知情的前提下，自愿、明確地作出的，就必須對(duì)個(gè)人信息處理者的告知提出相應(yīng)的要求。否則，個(gè)人的同意不可能是真實(shí)、自愿和明確的，處理者對(duì)個(gè)人信息的處理也不可能是公開透明的。故此，告知規(guī)則與同意規(guī)則相輔相成，不可或缺。我國(guó)理論界與實(shí)務(wù)界對(duì)告知同意規(guī)則已有一定的研究，但主要集中在對(duì)同意規(guī)則的研究①參見(jiàn)任龍龍：《論同意不是個(gè)人信息處理的正當(dāng)性基礎(chǔ)》，《政治與法律》2016年第1期；方禹：《個(gè)人信息保護(hù)中的“用戶同意”規(guī)則：?jiǎn)栴}與解決》，《網(wǎng)絡(luò)信息法學(xué)研究》2018年第1期；林洹民：《個(gè)人信息保護(hù)中知情同意原則的困境與出路》，《北京航空航天大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2018年第3期；陸青：《個(gè)人信息保護(hù)中“同意”規(guī)則的規(guī)范構(gòu)造》，《武漢大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2019年第5期；張新寶：《個(gè)人信息收集：告知同意原則適用的限制》，《比較法研究》2019年第6期；寧園：《個(gè)人信息保護(hù)中知情同意規(guī)則的堅(jiān)守與修正》，《江西財(cái)經(jīng)大學(xué)學(xué)報(bào)》2020年第2期；萬(wàn)方：《個(gè)人信息處理中的“同意”與“同意撤回”》，《中國(guó)法學(xué)》2021年第1期。，而對(duì)告知規(guī)則即處理者的告知義務(wù)的研究相對(duì)較少。有鑒于此，本文將結(jié)合《草案二審稿》的規(guī)定，就個(gè)人信息保護(hù)法中處理者的告知義務(wù)進(jìn)行研究，研究的問(wèn)題主要包括：個(gè)人信息處理中告知義務(wù)的產(chǎn)生，主要澄清告知規(guī)則和同意規(guī)則的關(guān)系；處理者何時(shí)免除告知義務(wù)；告知的內(nèi)容即處理者應(yīng)當(dāng)向個(gè)人告知的事項(xiàng)；告知義務(wù)的履行方式，包括告知的時(shí)間、告知的方式等。

一、個(gè)人信息處理中告知義務(wù)的產(chǎn)生

告知規(guī)則與同意規(guī)則具有緊密的關(guān)系，即凡是需要取得個(gè)人同意的個(gè)人信息處理活動(dòng)，處理者都需要履行向個(gè)人的告知義務(wù)，在取得個(gè)人同意后才能實(shí)施個(gè)人信息處理活動(dòng)。否則，該處理活動(dòng)就是非法的。對(duì)此，不存在疑問(wèn)。然而，個(gè)人信息處理活動(dòng)的合法性根據(jù)并不僅僅在于個(gè)人的同意，除了個(gè)人的同意外，還有法律、行政法規(guī)等規(guī)定的合法性根據(jù)。申言之，為了在保護(hù)個(gè)人信息權(quán)益的同時(shí)，也能實(shí)現(xiàn)個(gè)人信息的合理利用，同時(shí)維護(hù)公共利益、國(guó)家利益等，法律上有必要規(guī)定不適用告知同意規(guī)則的例外情形。我國(guó)《民法典》第1035條第1項(xiàng)規(guī)定，處理個(gè)人信息的，應(yīng)當(dāng)征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外。所謂法律、行政法規(guī)另有規(guī)定的除外情形，《民法典》列舉了三種情形：其一，依據(jù)《民法典》第999條，為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為的，可以合理使用民事主體的個(gè)人信息；其二，依據(jù)《民法典》第1036條第2項(xiàng)，合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；其三，依據(jù)《民法典》第1036條第3項(xiàng)，為維護(hù)公共利益或者該自然人的合法權(quán)益，合理實(shí)施的其他行為?！恫莅付徃濉返?3條第1款詳細(xì)列舉了六項(xiàng)無(wú)須取得個(gè)人同意的情形，分別是：⑴為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需；⑵為履行法定職責(zé)或者法定義務(wù)所必需；⑶為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；⑷依照本法規(guī)定在合理的范圍內(nèi)處理已公開的個(gè)人信息；⑸為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；⑹法律、行政法規(guī)規(guī)定的其他情形?！恫莅付徃濉返?3條第2款明確規(guī)定，處理者處理個(gè)人信息時(shí)，有上述六種情形的，無(wú)須取得個(gè)人同意。

然而，同意規(guī)則在前述法律、行政法規(guī)規(guī)定的情形中不適用，并不等于告知規(guī)則就不適用。也就是說(shuō)，處理者即便基于法律、行政法規(guī)規(guī)定的情形處理個(gè)人信息，雖然不需要取得個(gè)人的同意，但是仍然要履行告知義務(wù)。例如，處理者為了訂立或者履行個(gè)人作為一方當(dāng)事人的合同而必須處理個(gè)人信息時(shí)，依據(jù)《草案二審稿》第13條第1款第2項(xiàng)以及第2款的規(guī)定，可以不需要取得個(gè)人的同意。但是，處理者仍然必須履行告知義務(wù)，即在處理個(gè)人信息前，向個(gè)人告知相應(yīng)的事項(xiàng)。再如，依據(jù)《中華人民共和國(guó)反洗錢法》的規(guī)定，金融機(jī)構(gòu)負(fù)有反洗錢義務(wù)，這是一種法定義務(wù)。故此，該法第16條規(guī)定，金融機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定建立客戶身份識(shí)別制度。金融機(jī)構(gòu)在與客戶建立業(yè)務(wù)關(guān)系或者為客戶提供規(guī)定金額以上的現(xiàn)金匯款、現(xiàn)鈔兌換、票據(jù)兌付等一次性金融服務(wù)時(shí)，應(yīng)當(dāng)要求客戶出示真實(shí)有效的身份證件或者其他身份證明文件，進(jìn)行核對(duì)并登記。由于金融機(jī)構(gòu)是為了履行反洗錢這一法定義務(wù)而處理客戶的個(gè)人信息，故該處理行為不需要取得個(gè)人的同意，但是，金融機(jī)構(gòu)仍然必須履行告知義務(wù)，使作為客戶的個(gè)人知道自己的個(gè)人信息被以何種方式、為實(shí)現(xiàn)何種處理目的而處理。

之所以在無(wú)須個(gè)人同意的個(gè)人信息處理活動(dòng)中，原則上也必須適用告知規(guī)則，使處理者負(fù)有告知義務(wù)，根本原因在于要貫徹落實(shí)公開透明原則，保護(hù)個(gè)人對(duì)個(gè)人信息處理的知情權(quán)。個(gè)人信息本身無(wú)須法律保護(hù)，法律保護(hù)的只是個(gè)人信息上承載的自然人的人格尊嚴(yán)、人身自由等憲法上的基本權(quán)利，以及人身財(cái)產(chǎn)權(quán)益等民事權(quán)益。申言之，個(gè)人信息保護(hù)法的根本目的就在于通過(guò)對(duì)個(gè)人信息處理行為的規(guī)范，防止因非法的個(gè)人信息處理行為而給信息主體，即個(gè)人的人格尊嚴(yán)、人身自由等憲法上的基本權(quán)利，以及人身權(quán)益、財(cái)產(chǎn)權(quán)益造成侵害或損害。在大數(shù)據(jù)時(shí)代，個(gè)人信息被收集、儲(chǔ)存、轉(zhuǎn)讓和使用已經(jīng)成為每個(gè)自然人被嵌入其中的社會(huì)生活常態(tài)，無(wú)法改變。然而，無(wú)論是數(shù)據(jù)企業(yè)、政府部門還是其他主體，它們出于不同的目的而實(shí)施的個(gè)人信息處理行為，極有可能會(huì)給個(gè)人帶來(lái)各種前所未有的危險(xiǎn)。例如，基于收集的個(gè)人信息而形成的大數(shù)據(jù)，通過(guò)算法等技術(shù)進(jìn)行社會(huì)分選、歧視性對(duì)待，進(jìn)而損害人格尊嚴(yán)的危險(xiǎn)；再如，通過(guò)大數(shù)據(jù)和人工智能技術(shù)進(jìn)行人格畫像，將作為民事主體的自然人降格為客體并加以操控，進(jìn)而損害人格自由等。①See Veil & Winfried, The GDPR: The Emperor’s New Clothes on the Structural Shortcomings of Both the Old and the New Data Protection Law (December 21, 2018). Vgl. Neue Zeitschrift für Verwaltungsrecht 10/2018: 686 696, at SSRN: https：//ssrn.com/abstract＝3305056(Last visited by July 6，2019)．為了消除上述各種新的危險(xiǎn)，法律上必須承認(rèn)自然人對(duì)個(gè)人信息具有一種防御性的利益，并給予保護(hù)。如此，才可能為信息社會(huì)的每個(gè)自然人筑起一道堅(jiān)實(shí)的法律保護(hù)屏障，使之免于遭受上述危險(xiǎn)現(xiàn)實(shí)化后所帶來(lái)的損害。所以，個(gè)人信息保護(hù)法需要賦予個(gè)人對(duì)個(gè)人信息處理的知情權(quán)，使其知道為實(shí)現(xiàn)何種處理目的，哪些個(gè)人信息被以何種處理方式加以處理。為此，個(gè)人信息保護(hù)法將“公開透明原則”（The Transparency Principle）作為一項(xiàng)基本原則。②有關(guān)比較法的介紹，參見(jiàn)個(gè)人信息保護(hù)課題組：《個(gè)人信息保護(hù)國(guó)際比較研究（第二版）》，中國(guó)金融出版社2021年版，第27頁(yè)以下。

所謂公開透明原則，是指處理個(gè)人信息時(shí)應(yīng)當(dāng)采取公開、透明的方式，公開個(gè)人信息處理的規(guī)則，向信息主體明示個(gè)人信息處理的目的、處理的方式和處理的范圍。如果個(gè)人信息處理者不以公開、透明的方式處理個(gè)人信息，而是采取隱秘的、暗箱操作的方式，那么該處理行為就侵害了自然人對(duì)其個(gè)人信息享有的知情權(quán)和決定權(quán)，即侵害了個(gè)人信息權(quán)益，這種處理行為是非法的處理行為。歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）（以下簡(jiǎn)稱“《條例》”）在“鑒于部分（也稱序言部分）”的第39條指出，透明原則“特別涉及數(shù)據(jù)主體關(guān)于控制者身份的信息和處理目的以及進(jìn)一步處理的信息，以確保對(duì)有關(guān)自然人的公正和透明的處理以及獲得有關(guān)其正被在處理的數(shù)據(jù)的個(gè)人確認(rèn)和通信的權(quán)利。應(yīng)該讓自然人了解與處理個(gè)人數(shù)據(jù)有關(guān)的風(fēng)險(xiǎn)、規(guī)則、保障和權(quán)利，以及如何行使與處理有關(guān)的權(quán)利。特別是，處理個(gè)人數(shù)據(jù)的具體目的應(yīng)清晰且合法，并在收集個(gè)人數(shù)據(jù)時(shí)予以明確”。許多國(guó)家或地區(qū)的數(shù)據(jù)保護(hù)和個(gè)人信息保護(hù)法都要求處理者必須遵循公開透明的原則。例如，早在1980年以歐盟為主導(dǎo)的經(jīng)濟(jì)合作與發(fā)展組織頒布的《隱私保護(hù)和個(gè)人數(shù)據(jù)跨疆界流動(dòng)的指導(dǎo)原則》中就提出了公開原則，該指導(dǎo)原則指出：“公開原則可能被視為個(gè)人參與原則的先決條件，后一原則要生效，獲得關(guān)于個(gè)人數(shù)據(jù)的收集、儲(chǔ)存或利用的信息在實(shí)踐上必須是可能的。在自愿的基礎(chǔ)上從數(shù)據(jù)控制者處獲得的常規(guī)信息，涉及個(gè)人數(shù)據(jù)處理活動(dòng)描述的官方登記者的出版活動(dòng)和公共機(jī)構(gòu)的登記，是一些（雖然不是全部）可能實(shí)現(xiàn)此種原則的方法?！痹偃?，2018年的美國(guó)《加州消費(fèi)者隱私法案》（California Consumer Privacy Act）第2節(jié)立法目的明確指出：“人們期許隱私和其信息的更多控制。加利福尼亞州消費(fèi)者應(yīng)當(dāng)能夠就其個(gè)人信息行使控制權(quán)，并且期待防治個(gè)人信息濫用的保護(hù)措施。企業(yè)可能在尊重消費(fèi)者隱私的同時(shí)，就其企業(yè)活動(dòng)提供高水平的透明度?！币罁?jù)2018年《巴西通用數(shù)據(jù)保護(hù)法》第6條第6款的規(guī)定，個(gè)人數(shù)據(jù)處理應(yīng)當(dāng)遵循透明原則，即“保證數(shù)據(jù)主體能夠就數(shù)據(jù)處理和相應(yīng)的處理代理人獲得清晰、準(zhǔn)確和易得的信息，且遵守商業(yè)和企業(yè)機(jī)密”。我國(guó)《草案二審稿》第7條也明確了公開透明原則，該條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明的原則，公開個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。”

由此可見(jiàn)，雖然基于公共利益等諸多考量，法律和行政法規(guī)規(guī)定了不需要取得個(gè)人同意即可處理個(gè)人信息的情形，但是，基于公開透明原則和保障個(gè)人對(duì)個(gè)人信息處理的知情權(quán)的要求，不能認(rèn)為無(wú)須個(gè)人同意就等于無(wú)須向個(gè)人告知。因此，無(wú)論個(gè)人信息處理是基于個(gè)人的同意還是基于其他合法性根據(jù)，原則上處理者都必須履行向個(gè)人進(jìn)行告知的義務(wù)，除非法律另有規(guī)定。

二、處理者不負(fù)有告知義務(wù)的情形

與同意規(guī)則一樣，告知規(guī)則也有不適用的情形，即在特定的情形下，處理者不負(fù)有告知的義務(wù)。但是，在個(gè)人信息處理中，免除告知義務(wù)的情形和無(wú)須同意的情形存在差別。換言之，對(duì)于免除告知義務(wù)的情形的規(guī)定應(yīng)當(dāng)比無(wú)須取得個(gè)人同意的情形更加嚴(yán)格。在個(gè)人信息的處理中，如果以取得個(gè)人同意作為處理行為合法的唯一根據(jù)，就會(huì)極大地?fù)p害個(gè)人信息的合理利用，因?yàn)閭€(gè)人不同意，處理者就不能處理個(gè)人信息，所以法律上必須在協(xié)調(diào)個(gè)人信息權(quán)益與個(gè)人信息合理利用的基礎(chǔ)上，明確各種不需要同意的具體情形。由于需要考慮的利益眾多，如公共利益、法定職責(zé)、國(guó)家利益、自然人的生命健康和財(cái)產(chǎn)安全，所以，法律和行政法規(guī)上規(guī)定的不需要同意的情形自然就會(huì)比較多。但是，告知義務(wù)則有所不同，告知義務(wù)的履行既有利于維護(hù)個(gè)人的知情權(quán)，也完全不會(huì)如同意規(guī)則那樣構(gòu)成對(duì)處理者實(shí)施個(gè)人信息處理活動(dòng)的法律障礙。故此，法律上對(duì)于免于告知的情形應(yīng)當(dāng)作更加嚴(yán)格的限制。不僅如此，法律上也不應(yīng)當(dāng)允許處理者與個(gè)人約定免除告知義務(wù)，或者通過(guò)格式條款來(lái)排除告知義務(wù)，因?yàn)檫@種約定或排除告知義務(wù)的做法，構(gòu)成對(duì)自然人就其個(gè)人信息享有的知情權(quán)的侵害，也違反了公開透明度原則，是無(wú)效的。

比較法上對(duì)處理者免除告知義務(wù)的情形有不同的規(guī)定。有些國(guó)家或地區(qū)是在區(qū)分處理者究竟是直接從個(gè)人處收集個(gè)人信息，還是非直接從個(gè)人處收集個(gè)人信息的基礎(chǔ)上，分別作出對(duì)處理者免除告知義務(wù)的情形的規(guī)定。例如，歐盟《條例》第13條和第14條分別對(duì)控制者從數(shù)據(jù)主體處收集個(gè)人數(shù)據(jù)和并非從數(shù)據(jù)主體處收集個(gè)人數(shù)據(jù)，分別對(duì)控制者應(yīng)當(dāng)提供的信息以及免于提供信息的問(wèn)題作了規(guī)定。依據(jù)第13條第4款，如果控制者是直接從數(shù)據(jù)主體處收集個(gè)人數(shù)據(jù)的，那么只有當(dāng)數(shù)據(jù)主體已經(jīng)獲得了該條第1款至第3款列舉的信息時(shí)，才免除控制者提供信息給數(shù)據(jù)主體的義務(wù)，即告知義務(wù)。如果控制者并非是從數(shù)據(jù)主體處獲取的個(gè)人數(shù)據(jù)，依據(jù)《條例》第14條第5款的規(guī)定，該條第1款至第4款的規(guī)定在以下情形不適用：(a)數(shù)據(jù)主體已經(jīng)獲得上述信息。(b)上述信息的提供是不可能的，或者是需要付出不適當(dāng)?shù)墓ぷ髁?，尤其是根?jù)本條例第89條第(1)款的條件和保障，處理出于公共利益、科學(xué)、歷史研究或數(shù)據(jù)統(tǒng)計(jì)目的；或者本條第1款所述的義務(wù)有可能導(dǎo)致處理目標(biāo)無(wú)法實(shí)現(xiàn)或嚴(yán)重影響處理目標(biāo)的實(shí)現(xiàn)。在此情況下，控制者應(yīng)當(dāng)采取適當(dāng)?shù)拇胧?包括采取公開信息的措施)保護(hù)數(shù)據(jù)主體的權(quán)利、自由，以及合法利益。(c)控制者應(yīng)當(dāng)根據(jù)歐盟或成員國(guó)法律所規(guī)定的獲取或者披露個(gè)人信息的規(guī)定，采取合適的措施保護(hù)數(shù)據(jù)主體的合法利益。(d)根據(jù)數(shù)據(jù)主體應(yīng)遵守的包括保密法在內(nèi)的歐盟或成員國(guó)法律規(guī)定的專業(yè)保密制度，個(gè)人數(shù)據(jù)必須保密。再如，我國(guó)臺(tái)灣地區(qū)“個(gè)人資料保護(hù)法”也是依據(jù)處理者直接向個(gè)人收集個(gè)人資料，抑或搜集非由當(dāng)事人提供之個(gè)人資料，而對(duì)告知義務(wù)的免除作出了不同的規(guī)定。依據(jù)“該法”第8條，在公務(wù)機(jī)關(guān)或非公務(wù)機(jī)關(guān)依“該法”第15條或第19條的規(guī)定向當(dāng)事人搜集個(gè)人資料時(shí)，如果有下列情形之一的，可以免于告知義務(wù)：⑴依法律規(guī)定得免告知；⑵個(gè)人資料之搜集系公務(wù)機(jī)關(guān)執(zhí)行法定職務(wù)或非公務(wù)機(jī)關(guān)履行法定義務(wù)所必要；⑶告知將妨害公務(wù)機(jī)關(guān)執(zhí)行法定職務(wù)；⑷告知將妨害公共利益；⑸當(dāng)事人明知應(yīng)告知之內(nèi)容；⑹個(gè)人資料之搜集非基于營(yíng)利之目的，且對(duì)當(dāng)事人無(wú)不利之影響。依據(jù)我國(guó)臺(tái)灣地區(qū)“個(gè)人資料保護(hù)法”第9條的規(guī)定，如果公務(wù)機(jī)關(guān)或非公務(wù)機(jī)關(guān)依“該法”第15條或第19條規(guī)定，搜集非由當(dāng)事人提供之個(gè)人資料，有下列情形之一的，可以免除告知義務(wù)：⑴“該法”第8條第2款所列的各種情形之一；⑵當(dāng)事人自行公開或其他已合法公開之個(gè)人資料；⑶不能向當(dāng)事人或其法定代理人告知；⑷基于公共利益為統(tǒng)計(jì)或?qū)W術(shù)研究之目的而有必要，且該資料須經(jīng)提供者處理后或搜集者依其揭露方式，無(wú)從識(shí)別特定當(dāng)事人者為限；⑸大眾傳播業(yè)者基于新聞報(bào)道之公益目的而搜集個(gè)人資料。

應(yīng)當(dāng)說(shuō)，區(qū)分個(gè)人信息的來(lái)源而規(guī)定告知義務(wù)免除的情形是有一定道理的。因?yàn)樵谔幚碚咧苯用嫦蛐畔⒅黧w收集信息時(shí)，與從信息主體之外的其他來(lái)源取得個(gè)人信息時(shí)，告知義務(wù)的意義不同。直接從信息主體處收集信息，告知義務(wù)的履行能夠有效地保障個(gè)人是在充分知情的前提下自愿作出同意，該義務(wù)之履行對(duì)于貫徹落實(shí)個(gè)人信息處理中的公開透明原則等具有重要意義。故此，免于告知義務(wù)的情形應(yīng)當(dāng)作非常嚴(yán)格的限制，只有當(dāng)個(gè)人已經(jīng)知道了告知的內(nèi)容，或者告知義務(wù)會(huì)損害公共利益或者妨害法定職責(zé)的履行時(shí)，才能免除告知義務(wù)。但是，從其他來(lái)源處取得信息時(shí)，處理者并非直接面向個(gè)人，其有可能是從已經(jīng)公開的信息中獲取的個(gè)人信息，也有可能是從其他處理者那里取得的個(gè)人信息。此時(shí)，如果提供個(gè)人信息給處理者的其他處理者已經(jīng)告知了個(gè)人并取得了同意，則接受者無(wú)須再行告知。如果處理者獲取的是合法公開的個(gè)人信息，也無(wú)須告知并取得同意，因?yàn)閷?duì)于合法公開的信息是可以合理利用的，要求處理者告知個(gè)人也沒(méi)有實(shí)際意義。

從《草案二審稿》來(lái)看，我國(guó)沒(méi)有采取上述模式來(lái)分別規(guī)定處理者免除告知義務(wù)的情形?！恫莅付徃濉返?9條第1款規(guī)定：“個(gè)人信息處理者處理個(gè)人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的,可以不向個(gè)人告知前條規(guī)定的事項(xiàng)。”第35條規(guī)定：“國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意；法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密，或者告知、取得同意將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的除外。”這就是說(shuō)，免除告知義務(wù)的情形可以分為三類：其一，法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密的情形；其二，不需要告知的情形；其三，告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)。在這三類情形下，雖然處理者都免除告知義務(wù)，但性質(zhì)上存在差別。第一種情形是法律、行政法規(guī)規(guī)定了保密的義務(wù)，故此，無(wú)論處理者是否屬于國(guó)家機(jī)關(guān)，都依法負(fù)有保密義務(wù)，不僅不能告知個(gè)人，而且一旦告知了個(gè)人還違反了法定的保密義務(wù)，屬于違法行為，應(yīng)當(dāng)承擔(dān)法律責(zé)任。第二種情形只是免除了處理者的告知義務(wù)，至于處理者自愿決定告知個(gè)人的，也沒(méi)問(wèn)題。第三種情形則僅適用于國(guó)家機(jī)關(guān)，以及法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織，為履行法定職責(zé)而處理個(gè)人信息的情形，必須是告知將妨礙法定職責(zé)的履行才可以免除告知義務(wù)。

法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密的情形是非常明確的。這是指基于偵查犯罪、反恐怖主義等維護(hù)公共安全、國(guó)家安全等社會(huì)公共利益和國(guó)家利益的考慮，而由法律、行政法規(guī)規(guī)定的處理者的保密義務(wù)?！吨腥A人民共和國(guó)保守國(guó)家秘密法》第9條規(guī)定：“下列涉及國(guó)家安全和利益的事項(xiàng)，泄露后可能損害國(guó)家在政治、經(jīng)濟(jì)、國(guó)防、外交等領(lǐng)域的安全和利益的，應(yīng)當(dāng)確定為國(guó)家秘密：（一）國(guó)家事務(wù)重大決策中的秘密事項(xiàng)；（二）國(guó)防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng)；（三）外交和外事活動(dòng)中的秘密事項(xiàng)以及對(duì)外承擔(dān)保密義務(wù)的秘密事項(xiàng)；（四）國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)；（五）科學(xué)技術(shù)中的秘密事項(xiàng)；（六）維護(hù)國(guó)家安全活動(dòng)和追查刑事犯罪中的秘密事項(xiàng)；（七）經(jīng)國(guó)家保密行政管理部門確定的其他秘密事項(xiàng)。政黨的秘密事項(xiàng)中符合前款規(guī)定的，屬于國(guó)家秘密?！崩?，公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)或國(guó)家情報(bào)工作機(jī)構(gòu)依據(jù)《中華人民共和國(guó)反恐怖主義法》第45條、《中華人民共和國(guó)反間諜法》第12條、《中華人民共和國(guó)國(guó)家情報(bào)法》第15條等規(guī)定，公安機(jī)關(guān)依據(jù)《中華人民共和國(guó)刑事訴訟法》第150條的規(guī)定，經(jīng)過(guò)嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵查措施處理個(gè)人信息的，不僅其信息無(wú)須被處理的個(gè)人同意，并且基于保密義務(wù)的規(guī)定，更不能告知個(gè)人。

值得研究的是，何為“不需要告知的情形”及告知“將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)”的情形？《草案二審稿》并沒(méi)有作具體的規(guī)定。筆者認(rèn)為，所謂不需要告知的情形，至少應(yīng)當(dāng)包括以下幾類情形：⑴作為信息主體的個(gè)人已經(jīng)知悉了告知的內(nèi)容，此時(shí)無(wú)須處理者告知。例如，在處理者A向處理者B提供其處理的個(gè)人信息時(shí)，根據(jù)《草案二審稿》第24條的規(guī)定，A應(yīng)當(dāng)向個(gè)人告知B的身份、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。在這種情形下，由于A已經(jīng)履行了告知義務(wù)，個(gè)人已經(jīng)知道了告知的內(nèi)容，B就無(wú)須再行告知了。⑵處理已經(jīng)合法公開的個(gè)人信息。我國(guó)《民法典》第1036條第2項(xiàng)規(guī)定，合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，行為人不承擔(dān)民事責(zé)任。這意味著，在處理合法公開的個(gè)人信息時(shí)，處理者不需要取得個(gè)人的同意。此時(shí)，應(yīng)當(dāng)認(rèn)為也不需要告知個(gè)人。因?yàn)?，如果要求?duì)已經(jīng)合法公開的個(gè)人信息也逐一告知并取得同意的話，不僅成本極為巨大、難以實(shí)現(xiàn)，也不利于個(gè)人信息的合理利用，妨礙數(shù)字經(jīng)濟(jì)的發(fā)展。

所謂告知“將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)”的情形，主要是指雖然法律、行政法規(guī)沒(méi)有規(guī)定國(guó)家機(jī)關(guān)的保密義務(wù)，但是如果處理個(gè)人信息前告知個(gè)人，就會(huì)使得國(guó)家機(jī)關(guān)無(wú)法履行法定職責(zé)。例如，依據(jù)《中華人民共和國(guó)稅收征收管理法》第54條的規(guī)定，稅務(wù)機(jī)關(guān)有權(quán)檢查納稅人的賬簿、記賬憑證、報(bào)表和有關(guān)資料，檢查扣繳義務(wù)人代扣代繳、代收代繳稅款賬簿、記賬憑證和有關(guān)資料。在這種情形下，不僅處理個(gè)人的信息無(wú)須取得同意，也不需要告知，否則可能出現(xiàn)個(gè)人突擊轉(zhuǎn)移、篡改甚至銷毀賬簿、記賬憑證、報(bào)表和有關(guān)資料，導(dǎo)致稅務(wù)機(jī)關(guān)無(wú)法履行稅收征收管理的法定職責(zé)。為了防止隨意以告知將“妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)”為由，不履行告知義務(wù)，未來(lái)我國(guó)法律法規(guī)有必要對(duì)于妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的情形予以明確。

三、告知的內(nèi)容

告知義務(wù)的內(nèi)容，是指處理者應(yīng)當(dāng)向個(gè)人信息被處理的個(gè)人告知哪些事項(xiàng)。例如，《條例》第13條和第14條分別對(duì)于控制者從數(shù)據(jù)主體處收集個(gè)人數(shù)據(jù)以及其他來(lái)源收集個(gè)人信息時(shí)應(yīng)提供的信息作出了規(guī)定。依據(jù)第13條第1款，控制者應(yīng)當(dāng)在向數(shù)據(jù)主體獲取其個(gè)人數(shù)據(jù)時(shí)，向數(shù)據(jù)主體提供以下信息：(a)控制者的身份和詳細(xì)聯(lián)系方式，如適用，還要提供控制者代表的身份和詳細(xì)聯(lián)系方式；(b)如適用，提供數(shù)據(jù)保護(hù)官的詳細(xì)聯(lián)系方式；(c)個(gè)人數(shù)據(jù)處理目的以及處理的法律依據(jù)；(d)當(dāng)處理是依據(jù)本條例第6條(1)款(f)項(xiàng)的規(guī)定進(jìn)行的，控制者或者第三方追求的合法利益；(e)如有，提供個(gè)人數(shù)據(jù)接收方或者接收方的種類；(f)如適用，控制者意圖將個(gè)人數(shù)據(jù)向第三國(guó)或者國(guó)家組織進(jìn)行傳輸?shù)氖聦?shí)、歐盟委員會(huì)是否就此問(wèn)題作出過(guò)充分決議，或者依據(jù)本條例第46條、第47條或者第49條(1)款第2段所述情形下，所采取的保護(hù)個(gè)人信息的合理安全措施以及獲取副本的方式。依據(jù)同條第2款的規(guī)定，除第1款所述信息外，控制者在獲取個(gè)人數(shù)據(jù)時(shí)，為確保處理過(guò)程的公正和透明之必要，應(yīng)當(dāng)向數(shù)據(jù)主體提供如下信息：(a)個(gè)人數(shù)據(jù)的存儲(chǔ)期限，在無(wú)法提供的情形下，提供存儲(chǔ)期限的確定標(biāo)準(zhǔn)；(b)數(shù)據(jù)主體具有向控制者主張其個(gè)人數(shù)據(jù)的獲取、修改、刪除、限制處理、反對(duì)處理、可攜帶的權(quán)利；(c)根據(jù)本條例第6條第⑴款(a) 項(xiàng)或者本條例第9條第2款(a) 項(xiàng)，在不觸犯法律的前提下隨時(shí)撤回同意的權(quán)利，撤回同意不影響同意撤回之前根據(jù)有效同意進(jìn)行的數(shù)據(jù)處理活動(dòng)的有效性；(d)向監(jiān)管機(jī)構(gòu)投訴的權(quán)利；(e)個(gè)人數(shù)據(jù)的提供是否基于法律規(guī)定、合同要求，或訂立合同之必要，數(shù)據(jù)主體是否有義務(wù)提供個(gè)人數(shù)據(jù)，以及如無(wú)法提供數(shù)據(jù)可能產(chǎn)生的后果；(f)本條例第22條第⑴款以及第⑷款所述的自動(dòng)決策機(jī)制，包括數(shù)據(jù)畫像及有關(guān)的邏輯程序和有意義的信息，以及此類處理對(duì)數(shù)據(jù)主體的意義和預(yù)期影響。此外，該條第3款還規(guī)定，如果控制者進(jìn)一步處理個(gè)人數(shù)據(jù)的意圖與數(shù)據(jù)收集時(shí)的目的不同，控制者應(yīng)當(dāng)在此之前基于進(jìn)一步處理目的向數(shù)據(jù)主體提供與第2款有關(guān)的信息。日本的《個(gè)人信息保護(hù)法》則區(qū)分不同類型的個(gè)人信息處理活動(dòng)，分別規(guī)定了處理者應(yīng)當(dāng)告知的事項(xiàng)。依據(jù)該法第18條第1款，個(gè)人信息處理業(yè)者取得個(gè)人信息后，除已事先公布其利用目的的情形外，應(yīng)當(dāng)迅速將該個(gè)人信息的利用目的通知給本人或者予以公布。而依據(jù)該法第27條第1款，對(duì)于持有的個(gè)人數(shù)據(jù)，個(gè)人信息處理業(yè)者應(yīng)當(dāng)將下列事項(xiàng)置于本人容易知悉的狀態(tài)（包括根據(jù)本人的要求立即予以答復(fù)）：⑴該個(gè)人信息處理業(yè)者的姓名或名稱；⑵全部持有的個(gè)人數(shù)據(jù)的利用目的（屬于第18條第4款第1項(xiàng)至第3項(xiàng)規(guī)定的情形除外）；⑶根據(jù)下一款規(guī)定的要求，或者下一條第一款、第29條第1款或第30第1款或第3款規(guī)定的請(qǐng)求而實(shí)施的程序（在依照第30條第2款的規(guī)定確定了手續(xù)費(fèi)的金額時(shí)，包括該手續(xù)費(fèi)的金額）；⑷前三項(xiàng)規(guī)定的事項(xiàng)以外的、政令規(guī)定的在確保持有的個(gè)人數(shù)據(jù)之正當(dāng)處理上所必要的事項(xiàng)。

在我國(guó)法律中，就處理者應(yīng)當(dāng)向個(gè)人告知哪些事項(xiàng)，《民法典》第1035條以及《網(wǎng)絡(luò)安全法》第41條第1款只是規(guī)定了“處理信息的目的、方式和范圍”等內(nèi)容，沒(méi)有作出具體的規(guī)定。從比較法上來(lái)看，對(duì)告知的具體內(nèi)容都有明確的規(guī)定。較為詳細(xì)地規(guī)定處理者告知內(nèi)容的，目前主要是一些規(guī)章和標(biāo)準(zhǔn)。例如，國(guó)家互聯(lián)網(wǎng)信息辦公室頒布的《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者收集兒童個(gè)人信息時(shí)應(yīng)當(dāng)告知的事項(xiàng)作了較為詳細(xì)的列舉。依據(jù)該規(guī)定第10條第1款，網(wǎng)絡(luò)運(yùn)營(yíng)者征得同意時(shí)，應(yīng)當(dāng)同時(shí)提供拒絕選項(xiàng)，并明確告知以下事項(xiàng)：⑴收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的目的、方式和范圍；⑵兒童個(gè)人信息存儲(chǔ)的地點(diǎn)、期限和到期后的處理方式；⑶兒童個(gè)人信息的安全保障措施；⑷拒絕的后果；⑸投訴、舉報(bào)的渠道和方式；⑹更正、刪除兒童個(gè)人信息的途徑和方法；⑺其他應(yīng)當(dāng)告知的事項(xiàng)。我國(guó)的《個(gè)人信息保護(hù)法》中應(yīng)當(dāng)對(duì)告知的具體內(nèi)容作更詳細(xì)的規(guī)定。再如，《信息安全技術(shù)規(guī)范 個(gè)人信息安全規(guī)范》（GB/T35273-2020）第5.4條規(guī)定，收集個(gè)人信息，應(yīng)向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式和范圍等規(guī)則。

從《草案二審稿》來(lái)看，立法機(jī)關(guān)采取可稱之為“一般規(guī)定+特殊規(guī)定”的方式對(duì)處理者應(yīng)當(dāng)向個(gè)人告知的事項(xiàng)作了規(guī)定。所謂一般規(guī)定，就是《草案二審稿》第18條第1款規(guī)定的事項(xiàng)。這些事項(xiàng)是任何個(gè)人信息處理前，處理者都應(yīng)當(dāng)向個(gè)人告知的共同事項(xiàng)或一般性事項(xiàng)。所謂的特殊規(guī)定，就是針對(duì)一些特殊的個(gè)人信息處理行為而新增加一些告知事項(xiàng)的規(guī)定，如《草案二審稿》第24條、第31條、第39條等的規(guī)定。具體闡述如下。

（一）關(guān)于告知事項(xiàng)的一般規(guī)定

《草案二審稿》第18條第1款規(guī)定，個(gè)人信息處理者在處理個(gè)人信息前應(yīng)當(dāng)向個(gè)人告知如下4類共同的事項(xiàng)。

首先，個(gè)人信息處理者的身份和聯(lián)系方式。之所以要求告知這一事項(xiàng)，是因?yàn)楝F(xiàn)代網(wǎng)絡(luò)信息科技的發(fā)展，使得個(gè)人信息處理活動(dòng)成為生產(chǎn)生活中的常態(tài)，不僅處理者主體復(fù)雜多元，而且處理行為隱秘專業(yè)。為了確保個(gè)人信息處理的公開透明與公正，處理者必須向個(gè)人告知處理者的身份與聯(lián)系方式，從而使得個(gè)人知悉其個(gè)人信息究竟是被何人處理，并能夠向處理者行使其在個(gè)人信息處理中的權(quán)利，如查閱、復(fù)制、更正、補(bǔ)充、刪除等權(quán)利。

其次，個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息的種類、保存期限。所謂個(gè)人信息處理的目的，是指處理者究竟是為了什么目的而處理個(gè)人信息的。之所以要求必須告知處理目的，是因?yàn)樘幚砟康脑趥€(gè)人信息處理中非常重要。目的限制原則是個(gè)人信息處理中的基本原則，其要求處理者在處理個(gè)人信息時(shí)應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的所必要的最小范圍，采取對(duì)個(gè)人權(quán)益影響最小的方式，不得進(jìn)行與處理目的無(wú)關(guān)的個(gè)人信息處理。故此，只有明確了處理目的，個(gè)人才能有針對(duì)性地決定是否就特定處理目的的處理行為給予同意。正因如此，當(dāng)處理者有多個(gè)處理目的時(shí)，為了確保個(gè)人作出的同意是明確的，不能將這些處理目的進(jìn)行合并而一次性取得授權(quán)，必須就具體的處理目的分別取得個(gè)人的同意。

個(gè)人信息的處理方式主要是指處理者對(duì)個(gè)人信息采取何種處理方法，具體包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。因此，處理者必須告知個(gè)人，其采取哪些處理方式，是僅僅收集、存儲(chǔ)，但不使用、加工，抑或收集、存儲(chǔ)、使用、加工但不提供等。不同的處理方式對(duì)于個(gè)人信息權(quán)益的影響不同，故此需要告知個(gè)人并取得同意。

個(gè)人信息的種類很多，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。個(gè)人信息可以分為敏感的個(gè)人信息與非敏感的個(gè)人信息，不同的個(gè)人信息對(duì)于個(gè)人信息權(quán)益的影響不同。敏感的個(gè)人信息的處理對(duì)于個(gè)人信息權(quán)益的危險(xiǎn)很大，因?yàn)榇祟愋畔⒁坏┬孤痘蛘叻欠ㄊ褂?，就有可能?dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害。所以，個(gè)人信息的種類屬于必須告知的事項(xiàng)。處理者在向個(gè)人告知處理的個(gè)人信息的種類時(shí)，應(yīng)當(dāng)遵循公開透明的原則，不能過(guò)于籠統(tǒng)。例如，不能簡(jiǎn)單告知所處理的個(gè)人信息是“健康信息”或“與健康有關(guān)的信息”，這個(gè)范圍太廣泛了，可能涵蓋了無(wú)數(shù)的信息，處理者必須明確具體的信息種類，如“心率”“血壓”和“懷孕年齡”，這取決于處理行為及處理目的。①See Christopher Kuner, Lee A. Bygrave & Christopher Dockseyed, The EU General Data Protection Regulation (GDPR): A Commentary,Oxford University Press, 2020, pp.444.

個(gè)人信息的保存期限也很重要，保存期限越長(zhǎng)，出現(xiàn)泄露或非法使用的可能性就越大，對(duì)個(gè)人信息權(quán)益的不利影響就越大。因此，需要告知個(gè)人。而且，個(gè)人知悉保存期限也有利于其在保存期限屆滿時(shí)及時(shí)依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》第47條的規(guī)定行使刪除權(quán)。

再次，個(gè)人行使本法規(guī)定權(quán)利的方式和程序。我國(guó)《民法典》和《網(wǎng)絡(luò)安全法》賦予了自然人針對(duì)其被處理的個(gè)人信息享有查詢、復(fù)制、抄錄權(quán)，發(fā)現(xiàn)錯(cuò)誤時(shí)的更正權(quán)，以及要求刪除個(gè)人信息的權(quán)利。但是，《草案二審稿》第18條第1款第3項(xiàng)規(guī)定的是“個(gè)人行使本法規(guī)定權(quán)利的方式和程序”，言下之意就是，處理者只需要個(gè)人行使《個(gè)人信息保護(hù)法》規(guī)定的權(quán)利的方式和程序，至于《民法典》《網(wǎng)絡(luò)安全法》等其他法律規(guī)定的個(gè)人針對(duì)個(gè)人信息的權(quán)利如何行使等，不屬于告知的內(nèi)容。作此規(guī)定的理由在于：個(gè)人信息保護(hù)法中規(guī)定的權(quán)利是個(gè)人在個(gè)人信息處理中的權(quán)利，這些權(quán)利指向的是個(gè)人信息處理者。而個(gè)人信息處理活動(dòng)的范圍是限定的，不包括自然人因個(gè)人或家庭事務(wù)處理個(gè)人信息的活動(dòng)（《草案二審稿》第71條第1款）。但是，《民法典》和《網(wǎng)絡(luò)安全法》并未排除自然人因個(gè)人或家庭事務(wù)處理個(gè)人信息的活動(dòng)。此外，《草案二審稿》所規(guī)定的個(gè)人在個(gè)人信息處理中權(quán)利的范圍非常廣泛，已經(jīng)完全包含了《民法典》《網(wǎng)絡(luò)安全法》規(guī)定的個(gè)人信息權(quán)利類型。

最后，法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。這是兜底性規(guī)定，一方面與《個(gè)人信息保護(hù)法》關(guān)于特殊告知事項(xiàng)的規(guī)定相銜接，另一方面也為將來(lái)相關(guān)法律和行政法規(guī)的規(guī)定留下空間。

（二）關(guān)于告知事項(xiàng)的特別規(guī)定

《草案二審稿》除了第18條就處理者一般應(yīng)當(dāng)告知的事項(xiàng)外，還針對(duì)幾類特殊的個(gè)人信息處理行為，就處理者的告知事項(xiàng)作了特別的規(guī)定，具體包括三種情況。首先，在個(gè)人信息處理者因?yàn)榉ㄈ嘶蚍欠ㄈ私M織的合并、分立等原因而需要轉(zhuǎn)移個(gè)人信息時(shí)，依據(jù)《草案二審稿》第23條的規(guī)定，應(yīng)當(dāng)向個(gè)人告知接收方的身份和聯(lián)系方式，這主要是為了確保個(gè)人能夠向接收方主張個(gè)人信息處理中的權(quán)利。其次，處理者向他人提供信息時(shí)，依據(jù)《草案二審稿》第24條的規(guī)定，還必須向個(gè)人告知接收方的身份、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。這是因?yàn)樘幚碚邔€(gè)人信息提供給他人的，接收方并非單純地接受個(gè)人信息，有可能要按照新的處理目的，采取新的處理方式對(duì)個(gè)人信息進(jìn)行處理。故此，要求處理者而非接收方向個(gè)人進(jìn)行告知并取得單獨(dú)同意，否則不得向他人提供個(gè)人信息。再次，為了更好地保護(hù)敏感的個(gè)人信息，《草案二審稿》第31條要求個(gè)人信息處理者在處理敏感的個(gè)人信息時(shí)，不僅要告知第18條第1款規(guī)定的事項(xiàng)，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響。之所以要求處理敏感的個(gè)人信息時(shí)必須告知處理的必要性，是因?yàn)槊舾械膫€(gè)人信息屬于一旦泄露或非法使用，可能會(huì)導(dǎo)致個(gè)人受到歧視，或人身、財(cái)產(chǎn)安全受到嚴(yán)重危害，故法律上應(yīng)當(dāng)給予更強(qiáng)的保護(hù)。雖然我國(guó)個(gè)人信息保護(hù)法沒(méi)有采取原則上禁止而例外才允許的處理敏感個(gè)人信息的模式，但通過(guò)強(qiáng)化對(duì)處理敏感個(gè)人信息的必要性的要求，可以更好地保護(hù)個(gè)人信息權(quán)益。所謂對(duì)個(gè)人的影響，是指處理敏感的個(gè)人信息可能會(huì)對(duì)個(gè)人產(chǎn)生的影響，主要是指不利的影響。只有充分披露這種影響，才能保證個(gè)人是在充分知情的情況下作出自愿的同意。最后，在個(gè)人信息跨境提供時(shí)，依據(jù)《草案二審稿》第39條，處理者還應(yīng)當(dāng)向個(gè)人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類，以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式等事項(xiàng)。

四、告知義務(wù)的履行方式

（一）告知的時(shí)間

個(gè)人信息處理者必須是在處理個(gè)人信息前向個(gè)人信息被處理的個(gè)人進(jìn)行告知，而不能在已經(jīng)實(shí)施了個(gè)人信息處理行為之后再告知個(gè)人，這是對(duì)處理者告知時(shí)間的要求。如果告知的事項(xiàng)發(fā)生了變更，如處理的目的、處理的方式等發(fā)生了變化，那么，處理者應(yīng)當(dāng)在變更前將變更部分告知個(gè)人，而不能已經(jīng)對(duì)處理目的或處理方式進(jìn)行了變更，并按照變更后的目的和方式對(duì)個(gè)人信息進(jìn)行了處理之后，才告知個(gè)人。否則，此種變更后的處理行為就是非法行為。

考慮到在有些情況下，處理者雖然應(yīng)當(dāng)履行告知義務(wù)，但是由于情況緊急，無(wú)法及時(shí)告知時(shí)，應(yīng)當(dāng)明確在緊急情況消除后，處理者仍然應(yīng)當(dāng)履行告知義務(wù)。依據(jù)《草案二審稿》第13條第1款第4項(xiàng)，在緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需時(shí)，無(wú)須取得個(gè)人的同意。但是，這種情形并不意味著個(gè)人信息處理者就可以不告知個(gè)人。同時(shí)，考慮到既然是緊急情況，那么就有可能無(wú)法及時(shí)向個(gè)人進(jìn)行告知，故此，《草案二審稿》第19條第2款規(guī)定，緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無(wú)法及時(shí)向個(gè)人告知的，個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。

（二）以顯著方式、清晰易懂的語(yǔ)言進(jìn)行告知

由于個(gè)人信息處理具有很強(qiáng)的技術(shù)性，十分專業(yè)，而個(gè)人對(duì)此知之甚少，因此導(dǎo)致了二者的信息不對(duì)稱，故此，如果處理者通過(guò)一大堆專業(yè)術(shù)語(yǔ)或者含糊其辭的表述來(lái)告知，那么個(gè)人難以理解此種個(gè)人信息處理對(duì)自己的權(quán)益有何利弊，存在何種風(fēng)險(xiǎn)，故此，難以作出自由的決定。在實(shí)踐中，不少個(gè)人信息處理者為了滿足法律的要求，規(guī)避法律風(fēng)險(xiǎn)，往往采取“捆綁式”的方式列出內(nèi)容冗長(zhǎng)繁瑣的隱私政策條款，給用戶帶來(lái)閱讀上的極大困難。有研究表明，用戶僅閱讀一年中所使用的網(wǎng)絡(luò)服務(wù)的隱私政策就需要花費(fèi)224個(gè)小時(shí)，同時(shí)還要考慮到用戶的教育背景不一對(duì)于各個(gè)條款的理解能力有所偏差所帶來(lái)的現(xiàn)實(shí)性困境。①參見(jiàn)范為：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》，《環(huán)球法律評(píng)論》2016年第5期。有鑒于此，個(gè)人信息保護(hù)法中以公開透明原則作為個(gè)人信息處理的一項(xiàng)基本原則。依據(jù)這一原則，處理者在履行告知義務(wù)時(shí)，應(yīng)當(dāng)使用清晰易懂的語(yǔ)言和顯著的方式進(jìn)行告知。對(duì)此，《草案二審稿》第18條第1款作出了規(guī)定，即處理者在履行告知義務(wù)的時(shí)候，應(yīng)當(dāng)“以顯著方式、清晰易懂的語(yǔ)言”向個(gè)人進(jìn)行告知。所謂顯著方式，是指?jìng)€(gè)人信息處理者應(yīng)當(dāng)以個(gè)人容易辨識(shí)且易于獲取的方式了解到處理者告知的內(nèi)容，而不能將其隱藏在一大堆包含各種內(nèi)容的所謂的“隱私政策”當(dāng)中，或者以極小的字號(hào)、難以辨識(shí)的字體等其他不顯著的方式，讓個(gè)人無(wú)法容易辨識(shí)或獲取處理者所告知的內(nèi)容。這種所謂的告知本質(zhì)上就是一種欺詐或誤導(dǎo)的做法。故此，《草案二審稿》第18條第1款要求，處理者必須以顯著方式進(jìn)行告知。

清晰易懂的語(yǔ)言，意味著處理者應(yīng)當(dāng)以普通人能理解的語(yǔ)言表述進(jìn)行告知，從而使得任何不具備個(gè)人信息處理專業(yè)知識(shí)的個(gè)人能夠知道處理者所告知的內(nèi)容。在實(shí)踐中，為規(guī)避法律責(zé)任，個(gè)人信息處理者往往傾向于使用極其抽象或相當(dāng)晦澀的語(yǔ)言來(lái)描述隱私政策中對(duì)個(gè)人信息收集和使用的目的②參見(jiàn)萬(wàn)方：《隱私政策中的告知同意原則及其異化》，《法律科學(xué)》2019年第2期。，如“改善服務(wù)質(zhì)量”“提升用戶體驗(yàn)”“研發(fā)新產(chǎn)品”“增強(qiáng)安全性”等。這種語(yǔ)言表述顯然是非常模糊的，而且也使得處理者的處理目的變得很不明確，違反了目的限制原則和公平透明原則。

（三）告知的形式

個(gè)人信息處理者履行告知義務(wù)的方式分為以下兩類。

一是逐一告知，即個(gè)人信息的處理者在處理個(gè)人信息前，以一對(duì)一的方式向每一個(gè)其個(gè)人信息被處理的自然人進(jìn)行告知，并逐一取得自然人的同意。此種方式在以人工的或非自動(dòng)化的方式處理個(gè)人信息時(shí)使用較多。例如，在當(dāng)事人申請(qǐng)不動(dòng)產(chǎn)登記時(shí)，其向登記機(jī)構(gòu)提交登記申請(qǐng)書，申請(qǐng)相應(yīng)的不動(dòng)產(chǎn)登記，不動(dòng)產(chǎn)登記機(jī)構(gòu)應(yīng)當(dāng)在登記申請(qǐng)書中向申請(qǐng)人告知處理該申請(qǐng)人的個(gè)人信息的目的、方式和范圍等內(nèi)容，進(jìn)而取得申請(qǐng)人的同意。再如，當(dāng)個(gè)人信息處理者與某一自然人磋商訂立合同時(shí)而收集該自然人的個(gè)人信息，也可能進(jìn)行一對(duì)一的告知并取得同意。

二是統(tǒng)一告知。所謂統(tǒng)一告知，是指?jìng)€(gè)人信息的處理者通過(guò)提前制訂好統(tǒng)一適用的個(gè)人信息處理規(guī)則來(lái)告知個(gè)人信息被處理的自然人，進(jìn)而取得同意。這種方式是在自動(dòng)化處理個(gè)人信息，即網(wǎng)絡(luò)進(jìn)行個(gè)人信息的處理時(shí)使用，例如，用戶在下載安裝網(wǎng)絡(luò)公司的各種應(yīng)用軟件時(shí)，網(wǎng)絡(luò)公司通過(guò)所謂“隱私政策”來(lái)明確個(gè)人信息處理者規(guī)則，就個(gè)人信息處理的目的、方式和范圍等內(nèi)容向個(gè)人進(jìn)行告知。這種方式適用于一對(duì)多的情形，即某個(gè)特定的個(gè)人信息處理者面向不特定的個(gè)人而處理個(gè)人信息。其優(yōu)點(diǎn)是比較有效率。

如果個(gè)人信息處理者以制定的個(gè)人信息處理規(guī)則來(lái)告知自然人，那么依據(jù)《民法典》第1035條和《草案二審稿》第18條第3款的規(guī)定，該處理規(guī)則必須是公開的，并且是便于查閱和保存的。否則，應(yīng)當(dāng)認(rèn)為個(gè)人信息處理者沒(méi)有履行告知的義務(wù)。尤其在實(shí)踐中個(gè)人信息處理規(guī)則以電子信息的方式存在的情況下，如果自然人無(wú)法方便地查閱和保存這些規(guī)則，就容易出現(xiàn)個(gè)人沒(méi)有完全閱讀完畢這些個(gè)人信息處理規(guī)則就必須作出同意，或者處理者私自變更規(guī)則，以致雙方就個(gè)人信息的處理發(fā)生糾紛時(shí)，個(gè)人無(wú)法提供相應(yīng)的證據(jù)。故此，筆者認(rèn)為，如果處理者沒(méi)有證明其規(guī)則是公開的并且便于查閱和保存的，那么處理者與個(gè)人在遵循告知同意規(guī)則發(fā)生爭(zhēng)議時(shí)，應(yīng)當(dāng)認(rèn)為個(gè)人信息處理者沒(méi)有履行告知義務(wù)。此外，如果個(gè)人所保存的處理者的個(gè)人信息處理規(guī)則與處理者提供的規(guī)則不一致時(shí)，應(yīng)當(dāng)以個(gè)人提供的規(guī)則為準(zhǔn)，除非處理者能夠證明個(gè)人提供的規(guī)則是不真實(shí)的。

五、結(jié) 語(yǔ)

總之，告知規(guī)則與同意規(guī)則構(gòu)成了完整系統(tǒng)的告知同意規(guī)則，是個(gè)人信息處理行為合法的基本規(guī)則。個(gè)人信息處理者在處理個(gè)人信息前只有充分、適當(dāng)?shù)芈男懈嬷x務(wù)，才能保證個(gè)人是在充分知情的前提下，自愿作出同意，告知同意規(guī)則才能發(fā)揮保護(hù)個(gè)人信息權(quán)益的功能。并且，即便對(duì)于那些法律、行政法規(guī)明確規(guī)定了無(wú)須取得個(gè)人同意的個(gè)人信息處理行為，告知規(guī)則依然適用，處理者不能以無(wú)須個(gè)人的同意為由而不履行告知義務(wù)。惟其如此，才能確保個(gè)人對(duì)其個(gè)人信息處理的知情權(quán)，保證個(gè)人信息處理活動(dòng)符合公開透明的原則。我國(guó)《草案二審稿》在《民法典》《網(wǎng)絡(luò)安全法》等既有立法的基礎(chǔ)上，吸收借鑒比較法上的先進(jìn)經(jīng)驗(yàn)，立足我國(guó)國(guó)情對(duì)處理者的告知義務(wù)作了詳細(xì)的規(guī)定，值得肯定！我國(guó)頒布《個(gè)人信息保護(hù)法》后，還應(yīng)當(dāng)通過(guò)相應(yīng)的法律法規(guī)和標(biāo)準(zhǔn)等對(duì)告知義務(wù)作出細(xì)化的規(guī)定，如明確不需要告知的情形，以及告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的情形。同時(shí)，履行個(gè)人信息保護(hù)職責(zé)的部門也應(yīng)當(dāng)加強(qiáng)對(duì)處理者履行告知義務(wù)的執(zhí)法監(jiān)督，從而確保告知同意規(guī)則在個(gè)人信息保護(hù)中能夠發(fā)揮應(yīng)有的作用。