摘要：基于隱私政策的告知同意是個(gè)人信息保護(hù)的核心制度，但對(duì)其性質(zhì)應(yīng)當(dāng)進(jìn)行反思，對(duì)其制度應(yīng)進(jìn)行重構(gòu)。告知同意在不同國(guó)家和地區(qū)具有合同、聲明、基本權(quán)利合規(guī)等多重特征，在我國(guó)也應(yīng)被視為多維制度工具。僅從意思自治角度看，告知同意面臨信息過(guò)載、決策過(guò)頻等難題，即使進(jìn)行制度改進(jìn)，也無(wú)法實(shí)現(xiàn)個(gè)體的充分知情和明確同意。但隱私政策的閱讀對(duì)象不僅是即時(shí)交互場(chǎng)景下的個(gè)人，也包括企業(yè)內(nèi)部人員、市場(chǎng)評(píng)級(jí)者、執(zhí)法司法者和非交互場(chǎng)景下的個(gè)體。隱私政策可能充當(dāng)信息處理者的合規(guī)章程、市場(chǎng)聲譽(yù)信息機(jī)制的媒介、司法訴訟與行政執(zhí)法的依據(jù)、贏取個(gè)體信任與進(jìn)行隱私教育的工具。應(yīng)解綁告知與同意，適度放松同意要求，但應(yīng)強(qiáng)化對(duì)隱私政策的告知要求。隱私政策對(duì)外可以采取不同提醒方式與分層架構(gòu)，對(duì)內(nèi)應(yīng)成為內(nèi)嵌到不同部門與產(chǎn)品的合規(guī)指引，在形式上采取基于風(fēng)險(xiǎn)的模塊化披露。

關(guān)鍵詞：隱私政策；告知同意；個(gè)人信息；意思自治；公私法融合

中圖分類號(hào)：DF529文獻(xiàn)標(biāo)志碼：A

DOI：10.3969/j.issn.1001-2397.2023.01.03開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

一、問(wèn)題的提出

告知同意是個(gè)人信息保護(hù)的核心制度?！吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）將告知同意作為信息處理者處理個(gè)人信息的“一般規(guī)定”，其中第13-18條詳細(xì)規(guī)定了告知同意制度，其他條款在不同場(chǎng)景對(duì)如何適用這一制度進(jìn)行了規(guī)定。①稍早之前出臺(tái)的《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）也將征得“自然人或者其監(jiān)護(hù)人同意”作為處理個(gè)人信息的首要條件。

《中華人民共和國(guó)民法典》第1035條。 在域外，隱私政策與告知同意也扮演了重要角色。美國(guó)在20世紀(jì)60-70年代引入了公平信息實(shí)踐制度，在若干立法領(lǐng)域要求收集個(gè)人信息必須向個(gè)人進(jìn)行告知；到了20世紀(jì)90年代，隨著互聯(lián)網(wǎng)的興起，企業(yè)紛紛采取隱私政策，逐漸成為通行做法。歐盟等其他地區(qū)雖然與美國(guó)市場(chǎng)化的模式不同，但在隱私政策與告知同意方面，也將其作為立法與規(guī)制的核心。

王利明、丁曉東：《論〈個(gè)人信息保護(hù)法〉的特色、亮點(diǎn)與適用》，載《法學(xué)家》2021 年第 6 期，第 1-16 頁(yè)；Anupam Chander， Margot E. Kaminski & William McGeveran， Catalyzing Privacy Law， 105 Minnesota Law Review 1733 （2021）.

基于隱私政策的告知同意的重要性毋庸置疑，但在基本原理與實(shí)踐效果方面，卻一直存在爭(zhēng)議和批評(píng)。就其原理來(lái)說(shuō)，告知同意在法律上應(yīng)當(dāng)如何定性，告知同意是一種格式合同嗎？當(dāng)信息處理者在其網(wǎng)站或交互界面上設(shè)置隱私政策，用戶點(diǎn)擊同意或繼續(xù)使用，這一行為是否構(gòu)成一種民事行為上的意思表示；相應(yīng)地，當(dāng)企業(yè)或個(gè)人違反隱私政策中的內(nèi)容，這是否構(gòu)成了傳統(tǒng)合同上的違約；或者，告知同意是否是一種免責(zé)聲明；或者，當(dāng)信息處理者獲得個(gè)人同意后，就構(gòu)成侵權(quán)法上的違法阻卻事由；又或者，基于隱私政策的告知同意是一種信息處理者的合規(guī)行為？

高富平：《同意≠授權(quán)——個(gè)人信息處理的核心問(wèn)題辨析》，載《探索與爭(zhēng)鳴》2021年第4期，第87-94頁(yè)；程嘯：《論個(gè)人信息處理中的個(gè)人同意》，載《環(huán)球法律評(píng)論》2021年第6期，第40-55頁(yè)。

在實(shí)施效果方面，基于隱私政策的告知同意也面臨眾多問(wèn)題。例如，《個(gè)人信息保護(hù)法》中的告知同意、單獨(dú)同意與書面同意的合規(guī)應(yīng)作何種要求； 對(duì)用戶進(jìn)行告知，是否可以將隱私政策放置在網(wǎng)站的某個(gè)鏈接中，還是需要使用單獨(dú)彈窗形式；企業(yè)獲取用戶同意，應(yīng)當(dāng)采取選擇加入（opt-in）還是選擇退出（opt-out）模式？此外，有學(xué)者指出，告知同意面臨“流于形式”的風(fēng)險(xiǎn)

周漢華：《個(gè)人信息保護(hù)的法律定位》，載《法商研究》2022年第3期，第55頁(yè)；Elettra Bietti， Consent as a Free Pass： Platform Power and the Limits of the Informational Turn， 40 Pace Law Review 307 （2020）.，個(gè)人信息主體常常沒有時(shí)間、精力和興趣閱讀隱私政策，企業(yè)所獲取的同意也常常不是用戶的真實(shí)意愿。在告知同意制度飽受批評(píng)的背景下，如何改進(jìn)和完善這一制度亟需明確。

為了分析上述問(wèn)題，本文對(duì)告知同意制度的性質(zhì)進(jìn)行分析。本文認(rèn)為，基于隱私政策的告知同意具有合規(guī)工具、聲明與合同等多重特征，應(yīng)采取公私法融合的多維視角對(duì)其進(jìn)行分析，避免單一視角。在制度實(shí)施效果上，告知同意難以在即時(shí)交互界面實(shí)現(xiàn)對(duì)用戶的有效告知，用戶也面臨無(wú)效選擇與選擇疲勞的困境，僅從意思表示的視角難以厘清這一制度。隱私政策的讀者對(duì)象并不僅限于即時(shí)交互界面的個(gè)體，還包括企業(yè)內(nèi)部人員、社會(huì)主體與市場(chǎng)專業(yè)人員、執(zhí)法機(jī)構(gòu)等主體。采取公私法融合的多維視角，可以發(fā)現(xiàn)告知同意可以作為企業(yè)內(nèi)部合規(guī)的工具、市場(chǎng)聲譽(yù)機(jī)制的信息媒介、司法執(zhí)法的依據(jù)、信任溝通與隱私教育的工具。為重新激活告知同意制度，應(yīng)解綁告知與同意，適度放松同意要求，強(qiáng)化告知要求。隱私政策應(yīng)當(dāng)依據(jù)場(chǎng)景，采取不同提醒模式與分層告知框架，隱私政策應(yīng)內(nèi)嵌到企業(yè)內(nèi)部與產(chǎn)品合規(guī)中，并依據(jù)風(fēng)險(xiǎn)點(diǎn)而進(jìn)行模塊化設(shè)計(jì)。

二、告知同意性質(zhì)的反思

反思告知同意制度的法律性質(zhì)，有助于深化對(duì)告知同意制度的認(rèn)識(shí)。借助比較法視野，可以發(fā)現(xiàn)，美國(guó)有時(shí)將告知同意視為傳統(tǒng)合同，但更多情況下將其視為類似產(chǎn)品說(shuō)明書的企業(yè)聲明；而歐盟整體將其視為公法基本權(quán)利的合規(guī)要求，但也具有一定的消費(fèi)者合同的特征。《個(gè)人信息保護(hù)法》采取和歐盟類似的保護(hù)型的立法進(jìn)路

張守文：《信息權(quán)保護(hù)的信息法路徑》，載《東方法學(xué)》2022年第4期，第50-62頁(yè)；龍衛(wèi)球：《〈個(gè)人信息保護(hù)法〉的基本法定位與保護(hù)功能——基于新法體系形成及其展開的分析》，載《現(xiàn)代法學(xué)》2021年第5期，第84-104頁(yè)。 ，但和歐盟與美國(guó)都有所不同。無(wú)論是我國(guó)還是歐美，隱私政策都呈現(xiàn)公私法融合特征，是一種多維法律制度工具。

（一）美國(guó)：作為合同與聲明

基于隱私政策的告知同意制度起源于美國(guó)。20世紀(jì)80-90年代，互聯(lián)網(wǎng)企業(yè)開始走出實(shí)驗(yàn)室，進(jìn)入商業(yè)領(lǐng)域，隨著互聯(lián)網(wǎng)企業(yè)開始廣泛收集個(gè)人信息，其對(duì)個(gè)人隱私的威脅引起了社會(huì)的關(guān)注。為了消除社會(huì)的擔(dān)憂，同時(shí)，為了避免政府對(duì)互聯(lián)網(wǎng)企業(yè)采取嚴(yán)厲的規(guī)制措施，互聯(lián)網(wǎng)企業(yè)開始在其網(wǎng)站上設(shè)置隱私政策說(shuō)明，在自由放任與政府規(guī)制之間尋求一條“自我規(guī)制”的中間道路。到21世紀(jì)初，幾乎美國(guó)所有的互聯(lián)網(wǎng)企業(yè)都自愿設(shè)置了隱私政策。

Allyson W. Haynes， Online Privacy Policies： Contracting Away Control over Personal Information？， 111 Penn State International Law Review 587， 594 （2007）.

在多數(shù)案件中，美國(guó)法院將告知同意視為沒有傳統(tǒng)合同約束力的聲明（statement）。

最新的實(shí)證研究，參見Gregory Klass， Empiricism and Privacy Policies in the Restatement of Consumer Contract Law， 36 Yale Journal on Regulation 45-115 （2019）. 更早之前，Oren Bar-Gill教授的研究得出了相反結(jié)論，參見Oren Bar-Gill et al.， Searching for the Common Law： The Quantitative Approach of the Restatement of Consumer Contracts， 84 The University of Chicago Law Review 7 （2017）. 例如，在2005年的一場(chǎng)集體訴訟中，西北航空公司在其隱私政策中規(guī)定，其收集的個(gè)人信息只用于特定目的，但實(shí)際上西北航空公司卻與一家聯(lián)邦機(jī)構(gòu)共享大量消費(fèi)者數(shù)據(jù)，用于研究航空安全。法院在該案件中否定了告知同意的合同性質(zhì)。

In re Nw. Airlines Privacy Litig.， 2004 WL 1278459， at *5 （D. Minn. June 6， 2004）; In re Nw. Airlines Privacy Litig.， 2004 WL 1278459 （D. Minn. June 6， 2004）. 在少數(shù)的案件中，法院將告知同意作為傳統(tǒng)合同看待。例如，在2005年針對(duì)捷藍(lán)航空 （In re-JetBlue Airways Corp. Privacy Litigation）和針對(duì)美聯(lián)合航（In-re American Airlines Inc. Privacy Litigation）的訴訟中

379 F. Supp. 2d 299 （E.D.N.Y. 2005）; 370 F. Supp. 2d 552， 554 （N.D. Tex. 2005）. ，法院認(rèn)為，被告違反隱私政策的信息處理可以被視為合同違約。當(dāng)然，只有在點(diǎn)擊協(xié)議（clickwrap）或引起用戶反復(fù)注意的瀏覽協(xié)議（browsewrap）中，美國(guó)法院才有可能將其視為合同。根據(jù)美國(guó)法院的主流看法，用戶在這類協(xié)議中有機(jī)會(huì)瀏覽隱私政策，因此，可以將其視為合同。

Christopher Kuner， European Data Protection Law： Corporate Compliance and Regulation， Oxford： Oxford University Press， 2d ed.， 2007， p.242. 而在瀏覽協(xié)議中，法院一般傾向于否定其合同性質(zhì)

Stephen Y. Chow， A Snapshot of Online Contracting Two Decades After ProCD v. Zeidenberg， 73 Business Lawyer 267 （2017）.；只有瀏覽協(xié)議采取彈窗模式，顯著提醒用戶，法院才可能將其視為合同。

Cullinane v. Uber Techs.， Inc.， 893 F.3d. 53， 62 （1st Cir. 2018）; Meyer v. Uber Techs.， Inc.， 868 F.3d 66， 75 （2d Cir. 2017）.

（二）歐盟：作為基本權(quán)利的合規(guī)措施

歐盟采取個(gè)人信息基本權(quán)利保護(hù)的路徑，將個(gè)人信息被保護(hù)權(quán)視為一種憲法基本權(quán)利。《歐盟基本權(quán)利憲章》第8條第1款規(guī)定：“每個(gè)人都有權(quán)保護(hù)與其有關(guān)的個(gè)人數(shù)據(jù)?！薄兑话銛?shù)據(jù)保護(hù)條例》第 1 條第 2 款也規(guī)定：“本條例保護(hù)自然人的基本權(quán)利和自由，特別是其個(gè)人數(shù)據(jù)被保護(hù)的權(quán)利?！痹谶@一背景下，歐盟整體上將設(shè)置隱私政策與獲得告知同意視為公法基本權(quán)利的合規(guī)措施，但也在一定程度上具有消費(fèi)者合同的性質(zhì)。

首先，歐盟法下的隱私政策并非傳統(tǒng)合同或聲明。如果說(shuō)美國(guó)法上的隱私政策可以被視為市場(chǎng)中可以自由設(shè)計(jì)的合同或聲明，具有自我規(guī)制的特征，那么歐盟法則排除了其市場(chǎng)化特征。在歐盟法上，信息處理者沒有美國(guó)企業(yè)那樣廣泛自由設(shè)置隱私政策的權(quán)利，其隱私政策所規(guī)定的內(nèi)容、告知的方式都必須符合法定合規(guī)要求。正如施瓦茨（Paul Schwartz）所指出，歐盟法的基本假設(shè)是，處理個(gè)人信息將對(duì)公民的人格尊嚴(yán)產(chǎn)生威脅，威脅“法秩序”，因此，對(duì)個(gè)人數(shù)據(jù)保護(hù)在整體上采取了“信息不可讓渡性”（information inalienability）的制度框架，將其視為一種不可交易與不可自由設(shè)定的人權(quán)。

Paul M. Schwartz， Privacy Inalienability and the Regulation of Spyware， 20 Berkeley Technology Law Journal 1269 （2005）

其次，歐盟法下的告知同意也并非侵權(quán)法上的免責(zé)事由或違法阻卻事由。免責(zé)事由將告知同意視為過(guò)失相抵、受害人故意、第三人過(guò)錯(cuò)、自甘風(fēng)險(xiǎn)、正當(dāng)防衛(wèi)、緊急避險(xiǎn)的行為，但告知同意僅僅是信息處理者合規(guī)的一環(huán)。信息處理者即使獲得用戶的明確同意，也可能因?yàn)檫`反“目的限制”“數(shù)據(jù)最小化”等諸多原則而被認(rèn)定違法。

張新寶：《個(gè)人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期，第1-20頁(yè)；劉權(quán)：《論個(gè)人信息處理的合法、正當(dāng)、必要原則》，載《法學(xué)家》2021年第5期，第1-15頁(yè)；武騰：《最小必要原則在平臺(tái)處理個(gè)人信息實(shí)踐中的適用》，載《法學(xué)研究》2021年第6期，第71-89頁(yè)。 正如庫(kù)納（Christopher Kuner）教授所言：企業(yè)總是癡迷于將告知同意視作為獲取個(gè)人信息“提供充分法律依據(jù)的機(jī)制，但忽略了處理的法律依據(jù)”，歐盟法所規(guī)定的數(shù)據(jù)處理的合法性基礎(chǔ)“不是一項(xiàng)具體行動(dòng)，而是一項(xiàng)重要原則，在公司合規(guī)計(jì)劃的所有階段都應(yīng)牢記”。

Christopher Kuner， European Data Protection Law： Corporate Compliance and Regulation， Oxford University Press， 2007， p.242.

再次，歐盟在隱私政策的司法與執(zhí)法問(wèn)題上也采取了合規(guī)進(jìn)路。當(dāng)信息處理者的隱私政策不夠清晰明確，或者其信息處理行為與其隱私政策存在不一致，其救濟(jì)一般通過(guò)行政執(zhí)法進(jìn)行救濟(jì)。個(gè)體也可以參與這一過(guò)程，可以向獨(dú)立數(shù)據(jù)監(jiān)管機(jī)構(gòu)或法院提起申訴或訴訟，但這種申訴或訴訟都是依據(jù)基本權(quán)利的合規(guī)要求而提起，并非依據(jù)信息處理者違反合同而提起。

Paul M. Schwartz & Karl-Nikolaus Peifer， Transatlantic Data Privacy Law， 106 The Georgetown Law Journal 115， 138-146 （2017）. 在信息處理者對(duì)個(gè)人造成損害的侵權(quán)訴訟中，《一般數(shù)據(jù)保護(hù)條例》也以違法性作為前置條件，即只有信息處理者違規(guī)的前提下，個(gè)體才能進(jìn)行侵權(quán)之訴。

《一般數(shù)據(jù)保護(hù)條例》第82條規(guī)定：“任何因?yàn)檫`反本條例而受到物質(zhì)或非物質(zhì)性傷害的人都有權(quán)從控制者或數(shù)據(jù)者那里獲得對(duì)損害的賠償?！?/p>

最后，歐盟的隱私政策也具有一定的消費(fèi)者合同特征。一方面，雖然歐盟堅(jiān)持個(gè)人信息保護(hù)的基本權(quán)利特征，并且引入了“目的限定”“數(shù)據(jù)最小化”等原則，但《一般數(shù)據(jù)保護(hù)條例》等法律仍然給予了個(gè)人與信息處理者一定的平等協(xié)商空間。例如，當(dāng)信息處理者希望獲取更多個(gè)人信息，以便為個(gè)人提供更多服務(wù)，此時(shí)信息處理者仍然可以在基礎(chǔ)服務(wù)所需的個(gè)人信息之外，通過(guò)告知同意而獲取更多個(gè)人信息。只不過(guò)，信息處理者不能通過(guò)“捆綁”“搭售”等方式拒絕為個(gè)人提供基礎(chǔ)服務(wù)，也不能拒絕個(gè)人的撤回權(quán)等其他權(quán)利。另一方面，歐盟也在很多地方借鑒了消費(fèi)者保護(hù)法的規(guī)則，例如，《一般數(shù)據(jù)保護(hù)條例》 “重述”第42條直接引用了《1993年關(guān)于消費(fèi)者合同中不公平條款的理事會(huì)指令》，指出任何未經(jīng)單獨(dú)協(xié)商的合同條款，如果“導(dǎo)致合同雙方的權(quán)利和義務(wù)發(fā)生重大不平衡，損害消費(fèi)者利益”，都是不公平的。

Jane K. Winn & Mark Webber， The Impact of EU Unfair Contract Terms Law on U.S. Business-to-Consumer Internet Merchants， 62 Business Lawyer 209， 217 （2006）

（三）我國(guó)告知同意制度的性質(zhì)

結(jié)合比較法與我國(guó)法律，可以發(fā)現(xiàn)告知同意制度的性質(zhì)應(yīng)做多維解讀。一方面，《個(gè)人信息保護(hù)法》與歐盟《一般數(shù)據(jù)保護(hù)條例》具有較高的相似性，都將個(gè)人信息被保護(hù)權(quán)視為一種基本權(quán)利

王錫鋅：《個(gè)人信息國(guó)家保護(hù)義務(wù)及展開》，載《中國(guó)法學(xué)》2021 年第1期，第 145-166 頁(yè)；彭錞：《憲法視角下的個(gè)人信息保護(hù)：性質(zhì)厘清、強(qiáng)度設(shè)定與機(jī)制協(xié)調(diào)》，載《法治現(xiàn)代化研究》2022年第4期，第50-64頁(yè)。，并將告知同意制度視為處理個(gè)人信息的合法性基礎(chǔ)之一。這就意味著我國(guó)現(xiàn)行立法下的告知同意也具備合規(guī)要求的屬性，而非傳統(tǒng)合同或格式合同。

韓旭至：《個(gè)人信息保護(hù)中告知同意的困境與出路——兼論〈個(gè)人信息保護(hù)法（草案）〉相關(guān)條款》，載《經(jīng)貿(mào)法律評(píng)論》2021年第1期，第47-59頁(yè)。 事

實(shí)上，《個(gè)人信息保護(hù)法》在立法過(guò)程中曾經(jīng)試圖用合同中的意思表示來(lái)進(jìn)行規(guī)定。一審稿第14條曾經(jīng)規(guī)定：“處理個(gè)人信息的同意，應(yīng)當(dāng)由個(gè)人在充分知情的前提下，自愿、明確作出意思表示”，但二審稿很快就刪除了“意思表示”。這表明，我國(guó)的立法者也清晰地覺察到了告知同意制度與傳統(tǒng)合同自治之間的區(qū)別，將告知同意制度視為具有保護(hù)型特征的法律制度。

另一方面，我國(guó)的文化背景與立法細(xì)節(jié)也與歐盟存在若干區(qū)別，《個(gè)人信息保護(hù)法》雖然也將個(gè)人信息被保護(hù)權(quán)視為一種基本權(quán)利，但并未像歐盟那樣高度抽象化，反而在整體上比較關(guān)注消費(fèi)者權(quán)利保護(hù)。

張守文：《消費(fèi)者信息權(quán)的法律拓展與綜合保護(hù)》，載《法學(xué)》2021年第12期，第149-161頁(yè)。 在《個(gè)人信息保護(hù)法》的實(shí)施機(jī)制層面，我國(guó)的制度反而和美國(guó)具有若干相似性，例如，二者都未設(shè)立獨(dú)立監(jiān)管機(jī)構(gòu)，而是采取了多部門監(jiān)管與救濟(jì)體制。

丁曉東：《〈個(gè)人信息保護(hù)法〉的比較法重思：中國(guó)道路與解釋原理》，載《華東政法大學(xué)學(xué)報(bào)》2022年第2期，第73-86頁(yè)。在理論和制度優(yōu)化層面，應(yīng)將告知同意視為一種兼具消費(fèi)者合同、聲明、基本權(quán)利合規(guī)的多維制度。

三、告知同意的實(shí)施困境

在實(shí)踐中，告知同意面臨多方面的困境，學(xué)術(shù)界更是從多個(gè)不同角度對(duì)告知同意進(jìn)行了批評(píng)，指出這一制度可能走向形式主義。同時(shí)，一些試圖強(qiáng)化告知同意的做法不僅無(wú)法有效回應(yīng)這些困境和批評(píng)，反而可能加劇某些問(wèn)題。告知同意面臨的困境，與前一部分提到的分析有密切關(guān)系。如果僅以合同的視角看待隱私政策與告知同意，這一制度將很難取得積極效果。

（一）告知的困境

就告知而言，隱私政策常常無(wú)法有效告知用戶。信息隱私法的研究從各個(gè)角度指出，用戶面對(duì)冗長(zhǎng)、專業(yè)、枯燥的隱私政策，很少用戶會(huì)在各種交互界面閱讀隱私政策，閱讀此類政策需要大量時(shí)間和專業(yè)知識(shí)。有國(guó)外學(xué)者推算，如果要通讀網(wǎng)絡(luò)隱私政策，一個(gè)人平均每年需要大約244個(gè)小時(shí)。

Lorrie Faith Cranor， Necessary But Not Sufficient： Standardized Mechanisms for Privacy Notice and Choice， 10 Journal on Telecommunications and High Technology Law 273， 274 （2012）. 這還是在十年前，隨著社會(huì)生活的全面數(shù)字化，各類物聯(lián)網(wǎng)、智能家居收集個(gè)人信息的場(chǎng)景無(wú)處不在，隱私政策的復(fù)雜性、專業(yè)性更甚于以往。

智能算法的問(wèn)題又大大加劇了這一問(wèn)題，萬(wàn)方：《算法告知義務(wù)在知情權(quán)體系中的適用》，載《政法論壇》2021年第6期，第84-95頁(yè)。 而沒有專業(yè)性知識(shí)，閱讀隱私政策就可能像普通人閱讀微積分，看上去每個(gè)字都認(rèn)識(shí)，但實(shí)際上卻很難理解或進(jìn)入語(yǔ)境。例如，絕大部分普通用戶都不了解動(dòng)態(tài)IP與靜態(tài)IP的區(qū)別，也很難理解SDK（Software Development kit，軟件開發(fā)工具包）處理個(gè)人信息的運(yùn)行原理。在專業(yè)背景知識(shí)不充分的情形下，個(gè)體就很難理解或容易誤解各類隱私政策中的內(nèi)容。

Patricia A. Norberg， Daniel R. Horne & David A. Horne， The Privacy Paradox： Personal Information Disclosure Intentions Versus Behaviors， 41 The Journal of Consumer Affairs 100， 100（2007）. 對(duì)隱私悖論的批判，Daniel J. Solove， The Myth of the Privacy Paradox， 89 George Washington Law Review 1 （2021），索洛夫教授的批判并不影響本文的論證，因?yàn)槠渑幸餐瑯映姓J(rèn)用戶很難在短時(shí)間內(nèi)有效獲取信息。Daniel J. Solove， Introduction： Privacy Self-Management and the Consent Dilemma， 126 Harvard Law Reivew 1880， 1883 （2013）.

此外，用戶很少會(huì)對(duì)隱私政策提起興趣。在過(guò)去的十幾年里，信息隱私研究最熱門的研究主題之一即是“隱私悖論”（privacy paradox）：人們雖然口頭上對(duì)個(gè)人信息保護(hù)無(wú)比重視，但實(shí)際上卻并不太關(guān)心隱私政策，很容易就“用隱私換便利”，而且是換取極小的便利。

Neil Richards & Woodrow Hartzog， The Pathologies of Digital Consent， 96 Washington University Law Review 1461， 1463 （2019）；

申琦、邱藝：《打開隱私悖論背后的認(rèn)知黑箱》，載《西南政法大學(xué)學(xué)報(bào)》2021年第5期，第84-95頁(yè)。 行為主義研究陣營(yíng)中的法學(xué)家、經(jīng)濟(jì)學(xué)家和心理學(xué)家指出，造成這一現(xiàn)象的原因在于侵害個(gè)人信息的風(fēng)險(xiǎn)常常不確定，而且是非即時(shí)性的。對(duì)于這樣一種風(fēng)險(xiǎn)，個(gè)人不太可能有興趣對(duì)其進(jìn)行閱讀和了解。

事實(shí)上，現(xiàn)代社會(huì)中的產(chǎn)品說(shuō)明與信息披露早已面臨很多困境，個(gè)人信息保護(hù)中的告知同意只是又增添了另一例證。本·沙哈（Omri Ben-Shahar）教授曾經(jīng)在經(jīng)典論文《強(qiáng)制披露的失敗》中描述過(guò)這一現(xiàn)象，現(xiàn)代社會(huì)中的個(gè)人每天都會(huì)遇到海量的信息提示：從使用剃須刀的產(chǎn)品說(shuō)明，到收發(fā)快遞的郵政說(shuō)明，到吃飯時(shí)餐廳食物過(guò)敏提示。在信息過(guò)載（information overload）的背景下，消費(fèi)者拒絕閱讀隱私政策或產(chǎn)品說(shuō)明，其實(shí)是一種理性選擇。正如本·沙哈教授所言，“一次披露可以處理，但海量披露會(huì)壓垮人，人們不可能關(guān)注比洪水更多的披露。”

Omri Ben-Shahar & Carl Schneider， The Failure of Mandated Disclosure， 159 University of Pennsylvania Law Review 647 （2011）.

（二）同意的困境

就用戶同意而言，首先，在個(gè)人沒有充分知情的前提下，個(gè)人同意可能變成了一種沒有理性的情緒表達(dá)，無(wú)法反映個(gè)人的真實(shí)想法與意志。理查德（Neil M. Richards）和哈特佐格（Woodrow Hartzog）兩位教授曾將這類同意概括為“非知情的同意”（unwitting consent）。兩位學(xué)者指出，由于個(gè)體不理解法律協(xié)議、不理解技術(shù)背景或不理解后果風(fēng)險(xiǎn)，個(gè)體在很多情形下所作出的同意只是一個(gè)空殼，遠(yuǎn)非“知情和自愿同意的黃金標(biāo)準(zhǔn)”（gold standard of knowing and voluntary consent）。

Neil Richards & Woodrow Hartzog， The Pathologies of Digital Consent， 96 Washington University Law Review 1461， 1463 （2019）.

其次，個(gè)體同意可能具有被誘導(dǎo)性或脅迫性。其中原因可能有多種，例如，市場(chǎng)可能被一兩家頭部平臺(tái)所壟斷，用戶沒有太多選項(xiàng)；或者即使用戶有比較多的選項(xiàng)，但面對(duì)用戶黏性和路徑依賴，個(gè)體也可能很難說(shuō)不。此外，企業(yè)常常有很多的技巧和“套路”讓用戶同意，例如，企業(yè)通過(guò)巧妙的交互界面設(shè)計(jì)，常常誘導(dǎo)用戶同意其隱私政策。近年來(lái)，此類現(xiàn)象已經(jīng)引起了越來(lái)越多的關(guān)注。例如，哈里·布里格努爾（Harry Brignull）將此類套路稱為“暗黑模式”（dark patterns）

Jamie Luguri & Lior Strahilevitz， Shining a Light on Dark Patterns， 13 Journal of Legal Analysis 43， 44 （2021）.；一系列信息信義義務(wù)的研究認(rèn)為企業(yè)可以對(duì)用戶進(jìn)行操控（manipulation）。

Jack M. Balkin， The Fiduciary Model of Privacy， 134 Harvard Law Review Forum 11， 11 （2020）; Tal Zarsky， Privacy and Manipulation in the Digital Age， 20 Theoretical Inquiries in Law 157 （2019）; 馮健鵬：《個(gè)人信息保護(hù)制度中告知同意原則的法理闡釋與規(guī)范建構(gòu)》，載《法治研究》2022年第3期，第31-42頁(yè)。 這些研究的共同發(fā)現(xiàn)是，個(gè)體的同意常常是被支配或操控下的非真實(shí)意思表示。

最后，個(gè)體的同意也常常被綁定，無(wú)法作出具有“顆粒度”（granularity）的同意。信息處理者處理個(gè)人信息，有時(shí)是為了實(shí)現(xiàn)基礎(chǔ)服務(wù)功能，有的是為了提供額外的增值服務(wù)或進(jìn)行數(shù)據(jù)的進(jìn)一步利用，還有的則可能對(duì)用戶產(chǎn)生危害。面對(duì)信息處理者的多重目的，用戶常常很難對(duì)所有目的進(jìn)行“顆?；钡姆治觯⒎謩e一一作出同意或拒絕。更多的情況是，用戶常常同意為了實(shí)現(xiàn)各種不同目的的信息處理，導(dǎo)致同意機(jī)制的異化。伯特·賈普·庫(kù)普斯（Bert-Jaap Koops）教授將這類異化稱為“功能蠕變”（function creep），認(rèn)為同意機(jī)制常常導(dǎo)致個(gè)人信息被用于個(gè)人并不真正認(rèn)同的初始目的，違反“目的限定”原則。

Bert-Jaap Koops， The Concept of Function Creep， 13 Law， Innovation and Technology 29 （2021）.

（三）強(qiáng)化告知同意的困境

應(yīng)當(dāng)看到，現(xiàn)行的不少法律、指南與意見都看到了告知同意的困境，并對(duì)其進(jìn)行了針對(duì)化的改進(jìn)。例如針對(duì)告知，《個(gè)人信息保護(hù)法》第17條明確要求，個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以“顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地”向個(gè)人告知，《一般數(shù)據(jù)保護(hù)條例》同樣規(guī)定控制者“應(yīng)當(dāng)以一種簡(jiǎn)潔、透明、易懂和容易獲取的形式，以清晰和平白的語(yǔ)言來(lái)提供”。但如果僅從個(gè)體認(rèn)知出發(fā)，則此類告知仍難以解決上述無(wú)興趣、無(wú)時(shí)間、無(wú)專業(yè)、信息過(guò)載等難題。例如，當(dāng)法律要求信息處理者采取“警示”的方式進(jìn)行告知，但一旦“警示”過(guò)多，個(gè)人就會(huì)對(duì)此類警示疲勞；當(dāng)法律要求信息處理者采取清晰平白語(yǔ)言，隱私政策就會(huì)更加冗長(zhǎng)；當(dāng)法律要求隱私政策簡(jiǎn)潔，告知就會(huì)不全面、不清楚。無(wú)論如何，要求信息處理者在一個(gè)交互界面對(duì)微型不確定的專業(yè)風(fēng)險(xiǎn)問(wèn)題進(jìn)行充分告知，無(wú)異于是一個(gè)不可能完成的任務(wù)。

這一問(wèn)題在傳統(tǒng)格式合同中就存在，參見Yannis Bakos et al.， Does Anyone Read the Fine Print？ Consumer Attention to Standard-Form Contracts， 43 The Journal of Legal Studies 1， 22 （2014）.

同意的困境同樣難以解決?！兑话銛?shù)據(jù)保護(hù)條例》對(duì)于同意功能的弱化非常關(guān)注，并進(jìn)行了針對(duì)性的規(guī)定。例如，其第4條第11款明確規(guī)定了同意的四個(gè)要素：自由作出（freely given）、具體（specific）、知情（informed）、通過(guò)聲明或明確行動(dòng)明確表明數(shù)據(jù)主體的意愿（Unambiguous indication of wishes），并且在“重述”和EDPB（ European Data Protection Board，歐洲數(shù)據(jù)保護(hù)委員會(huì)）關(guān)于同意的指南中對(duì)這四項(xiàng)要求作出了進(jìn)一步規(guī)定。但這些要求無(wú)法解決個(gè)體無(wú)意進(jìn)行太多決斷這一根本性困境。在個(gè)人信息保護(hù)中，個(gè)體的同意并不像買賣大額商品或從事高?；顒?dòng)，一個(gè)理性個(gè)體不可能對(duì)此類微型權(quán)益進(jìn)行深思熟慮的權(quán)衡。當(dāng)法律作出強(qiáng)制規(guī)定，要求信息處理獲得個(gè)人同意必須獲得更高級(jí)別同意，此類強(qiáng)制規(guī)定只會(huì)增加用戶負(fù)擔(dān)。例如，當(dāng)企業(yè)對(duì)所有個(gè)人信息收集均采取彈窗形式，或者要求用戶采取“選擇加入（opt-in）”而非“選擇退出（opt-out）”的方式進(jìn)行同意，那么，此類做法只會(huì)降低用戶體驗(yàn)，而非激發(fā)真實(shí)同意。

對(duì)于“選擇加入”與“選擇退出”的利弊分析，參見 Hans Degryse & Jan Bouckaert， Opt in Versus Opt Out： A Free-Entry Analysis of Privacy Policies， https：//ssrn.com/abstract=939511（Last visited on June 20， 2022）.

四、隱私政策的另類用途

從個(gè)體控制出發(fā)，告知同意面臨困境，效果有限。但轉(zhuǎn)換視角，從信息處理者自我規(guī)制、市場(chǎng)聲譽(yù)機(jī)制、法律有效實(shí)施、溝通教育工具等角度出發(fā)，卻可以發(fā)現(xiàn)作為告知同意載體的隱私政策的若干“意外”作用，隱私政策除了為用戶個(gè)體提供告知，還可以發(fā)揮其他作用。

（一）自我規(guī)制的章程

從消費(fèi)者或用戶的角度看，隱私政策艱深晦澀且無(wú)足輕重，但從專業(yè)人員的角度看，隱私政策卻是理解企業(yè)處理個(gè)人信息的重要參照，幫助信息處理者建立良性的合規(guī)流程與制度。

高秦偉： 《個(gè)人信息保護(hù)中的企業(yè)隱私政策及政府規(guī)制》，載《法商研究》2019年第2期，第19頁(yè)。在沒有隱私政策之前，企業(yè)內(nèi)部可能各自為政，沒有專業(yè)人士專門從事個(gè)人信息保護(hù)工作，也沒有人了解個(gè)人信息處理的整體圖景、形成處理個(gè)人信息的統(tǒng)一流程。但通過(guò)隱私政策的人員設(shè)置、前期調(diào)研、條款擬定、協(xié)調(diào)溝通，此類情形卻可以大為改善。在這個(gè)意義上，隱私政策可以成為信息處理者自我規(guī)制的章程。

如今，各國(guó)法律都將企業(yè)自我規(guī)制作為個(gè)人信息保護(hù)的重要一環(huán)。例如，《個(gè)人信息保護(hù)法》第51條規(guī)定，企業(yè)應(yīng)當(dāng)“制定內(nèi)部管理制度和操作規(guī)程”等措施，第52條規(guī)定，符合要求的信息處理者“應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督”；《一般數(shù)據(jù)保護(hù)條例》也規(guī)定了企業(yè)內(nèi)部合規(guī)建設(shè)、數(shù)據(jù)保護(hù)官（Data Protection Office， ?DPO）等制度。

個(gè)人信息保護(hù)制度中的企業(yè)自我規(guī)制，參見Dennis D. Hirsch， The Law and Policy of Online Privacy： Regulation Self-Regulation， or Co-Regulation？， 34 Seattle University Law Review 439， 458–459 （2011）. 這些制度與隱私政策的功能密切相連，離開了隱私政策，企業(yè)內(nèi)部將很難建立統(tǒng)一的個(gè)人信息保護(hù)政策，所謂企業(yè)的自我規(guī)制也無(wú)法展開。

William McGeveran， Friending the Privacy Regulators， 58 Arizona Law Review 959 （2016）.

（二）聲譽(yù)機(jī)制的媒介

隱私政策還可以成為聲譽(yù)機(jī)制的重要媒介，建構(gòu)個(gè)人信息保護(hù)的市場(chǎng)機(jī)制。單就個(gè)體而言，個(gè)人信息保護(hù)由于其專業(yè)性與信息高度不對(duì)稱性，無(wú)法形成普通商品的信譽(yù)市場(chǎng)，甚至可能導(dǎo)致劣幣驅(qū)逐良幣的“檸檬市場(chǎng)”，造成企業(yè)處理個(gè)人信息的機(jī)會(huì)主義行為傾向。

Lauren Henry Scholz， Fiduciary Boilerplate： Locating Fiduciary Relationships in Information Age Consumer Transactions， 46 Journal of Corporation Law 143， 144-145 （2020）; 潘靜：《個(gè)人信息的聲譽(yù)保護(hù)機(jī)制》，載《現(xiàn)代法學(xué)》2021年第2期，第155-170頁(yè)。 但市場(chǎng)中存在大量的中介機(jī)構(gòu)，這些機(jī)構(gòu)可以通過(guò)對(duì)隱私政策的理解、評(píng)級(jí)與認(rèn)證，為信息處理者的信息處理提供打分機(jī)制，促成聲譽(yù)機(jī)制的形成。

事實(shí)上，在隱私政策的發(fā)展歷程中，此類機(jī)構(gòu)就扮演了重要角色。例如，成立于1998年的在線隱私聯(lián)盟（Online Priracy Alliance，OPA），這一機(jī)構(gòu)由80多家全球化公司組成，將“領(lǐng)導(dǎo)和支持自律倡議，為在線隱私創(chuàng)造一個(gè)信任的環(huán)境”作為其使命。該機(jī)構(gòu)不僅自己發(fā)布在線隱私通知指南、自我規(guī)制執(zhí)法框架，而且要求其所有成員都使用并公布其自身的隱私政策。通過(guò)對(duì)其成員隱私政策的監(jiān)督，該機(jī)構(gòu)在早期個(gè)人信息的行業(yè)保護(hù)方面發(fā)揮了重要作用，促進(jìn)了市場(chǎng)聲譽(yù)機(jī)制的有效發(fā)揮。

Privacy Alliance， Online Privacy Alliance， http：//www.privacyalliance.org/resources. 這一機(jī)構(gòu)現(xiàn)在已經(jīng)不再活躍，但諸如TRUSTe和ePrivacyseal等類似機(jī)構(gòu)已經(jīng)更為成熟。

聲譽(yù)機(jī)制與社會(huì)監(jiān)督制度也在各國(guó)法律中被廣泛應(yīng)用。例如，《個(gè)人信息保護(hù)法》第58條要求大型平臺(tái)建立“個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督”?！兑话銛?shù)據(jù)保護(hù)條例》第40-41條規(guī)定了“行為準(zhǔn)則”（codes of conduct），對(duì)代表信息處理者的行業(yè)協(xié)會(huì)制定更加細(xì)化的規(guī)則進(jìn)行了規(guī)定，第42條對(duì)“建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制、數(shù)據(jù)保護(hù)印章和標(biāo)記，以證明控制者和處理者的處理”合規(guī)的認(rèn)證（Certification）制度進(jìn)行了規(guī)定。這些兼具合規(guī)與聲譽(yù)機(jī)制的制度如要發(fā)揮作用，都離不開隱私政策這一工具。

（三）法律實(shí)施的依據(jù)

隱私政策還可能成為個(gè)人信息申訴、司法與執(zhí)法的重要依據(jù)。如果說(shuō)隱私政策在企業(yè)自我規(guī)制與市場(chǎng)聲譽(yù)中扮演的是“軟法”治理的角色，那么，當(dāng)相關(guān)組織與機(jī)構(gòu)提起申訴、訴訟或進(jìn)行執(zhí)法時(shí)，隱私政策就可能變成“硬法”治理的一部分。

一方面，個(gè)體、社會(huì)組織可能依據(jù)隱私政策提起申訴或訴訟。為了調(diào)動(dòng)社會(huì)各主體參與個(gè)人信息治理，各國(guó)都在不同程度上賦予了個(gè)體與社會(huì)組織的申訴權(quán)或訴訟權(quán)，以發(fā)揮此類主體被比喻為“私人總檢察長(zhǎng)”的作用。

Danielle Keats Citron & Daniel J. Solove， Privacy Harm， 102 Boston University Law Review 793， 810-833 （2022）. ?例如，《個(gè)人信息保護(hù)法》第50條第2款和第69條分別賦予了個(gè)體的個(gè)人信息權(quán)利之訴與侵犯?jìng)€(gè)人信息權(quán)利導(dǎo)致的侵權(quán)之訴，第70條規(guī)定了“人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門確定的組織”可以提起公益訴訟。

相關(guān)制度建構(gòu)，參見余凌云、鄭志行：《個(gè)人信息保護(hù)行政公益訴訟的規(guī)范建構(gòu)》，載《人民檢察》2022年第5期，第31-36頁(yè)；蔣紅珍：《個(gè)人信息保護(hù)的行政公益訴訟》，載《上海交通大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2022年第5期，第28-38頁(yè)。 《一般數(shù)據(jù)保護(hù)條例》也認(rèn)可了個(gè)人申訴與司法訴訟權(quán)，并且在其第80條中首次引入了代表性訴訟

Michael L. Rustad & Thomas H. Koenig， Towards a Global Data Privacy Standard， 71 Florida Law Review 365， 426-428 （2019）.，規(guī)定“數(shù)據(jù)主體有權(quán)委托非營(yíng)利機(jī)構(gòu)、實(shí)體或協(xié)會(huì)代表其行使”申訴和司法救濟(jì)的權(quán)利。美國(guó)新近影響巨大的《數(shù)據(jù)隱私保護(hù)法案》（American Data Privacy and Protection Act，ADPPA）也規(guī)定，個(gè)體可以向監(jiān)管機(jī)構(gòu)提起申訴，如果監(jiān)管機(jī)構(gòu)或總檢察長(zhǎng)對(duì)于個(gè)人投訴不采取行動(dòng)，個(gè)體還可以直接提起訴訟。

American Data Privacy and Protection Act， TITLE IV， Sec. 403. 在此類訴訟中，隱私政策往往在其中扮演關(guān)鍵性角色，個(gè)體與社會(huì)組織往往依據(jù)隱私政策對(duì)信息處理者展開調(diào)查和提起訴訟。

最為有名代表性訴訟當(dāng)屬奧地利公民馬克西米利安·施雷姆斯（Maximillian Schrems）所為，他提起了包括推翻美歐數(shù)據(jù)傳輸?shù)陌踩蹍f(xié)議、隱私盾協(xié)議的相關(guān)案件，對(duì)歐盟乃至全球個(gè)人數(shù)據(jù)保護(hù)都產(chǎn)生了重要影響。

另一方面，監(jiān)管機(jī)構(gòu)、檢察機(jī)構(gòu)的執(zhí)法活動(dòng)也高度依賴隱私政策。當(dāng)執(zhí)法機(jī)構(gòu)根據(jù)個(gè)人舉報(bào)或相關(guān)線索進(jìn)行個(gè)人信息執(zhí)法，其切入口往往是隱私政策。

Daniel J. Solove and Woodrow Hartzog， The FTC and the New Common Law of Privacy， 114 Columbia Law Review 583， 585-686 （2014）. 例如，美國(guó)聯(lián)邦貿(mào)易委員會(huì)在過(guò)去幾十年里承擔(dān)了信息隱私的重要執(zhí)法功能，其在“Facebook與劍橋分析公司丑聞”等重大案件中，就是從調(diào)查企業(yè)的隱私政策開始，一步步調(diào)查企業(yè)的信息處理是否具有欺詐與不公平現(xiàn)象。

Facebook， Inc.， F.T.C. No. 1823109 （July 24， 2019）. 在歐盟的若干重要案件中，隱私政策也常常是監(jiān)管機(jī)構(gòu)的執(zhí)法線索與監(jiān)管對(duì)象。例如，2019年，法國(guó)國(guó)家信息自由委員會(huì)（The Commission Nationale Intormatique & Libertés，CNIL）對(duì)谷歌處以5000萬(wàn)歐元的罰款，其理由就是谷歌的隱私政策不夠清晰。

The Sanctions Issued by the CNIL， https：//www.cnil.fr/en/sanctions-issued-cnil （Last visited on June 20， 2022）.

（四）溝通教育的工具

對(duì)普通用戶而言，隱私政策中的告知內(nèi)容還可能具有溝通教育功能，為用戶提供個(gè)人信息保護(hù)的相關(guān)知識(shí)與聯(lián)系方式等信息，強(qiáng)化用戶的個(gè)人信息保護(hù)意識(shí)。

一方面，隱私政策可能成為一種溝通工具。在用戶打開或登錄網(wǎng)站、下載或安裝相關(guān)軟件時(shí)，個(gè)體很可能沒有心思詳細(xì)瀏覽隱私政策；用戶可能更想盡快瀏覽網(wǎng)站、完成相應(yīng)工作。但在平時(shí)，也有用戶可能想更多地了解隱私政策與信息處理實(shí)踐。此時(shí)，用戶就可能抱著學(xué)習(xí)鉆研的態(tài)度理解隱私政策，隱私政策就能發(fā)揮其告知功能，承擔(dān)與用戶進(jìn)行溝通交流的橋梁。而且，隱私政策不僅包括了個(gè)人信息處理的相關(guān)做法，還包含聯(lián)系性信息、執(zhí)法性信息等各類信息，這有利于個(gè)體建立對(duì)信息處理者的信任。例如，我國(guó)《個(gè)人信息保護(hù)法》規(guī)定隱私政策中的告知應(yīng)當(dāng)包括“個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式”“個(gè)人行使本法規(guī)定權(quán)利的方式和程序”以及“個(gè)人行使本法規(guī)定權(quán)利的方式和程序”等事項(xiàng)?！兑话銛?shù)據(jù)保護(hù)條例》，美國(guó)聯(lián)邦層面與各州的立法也作出了類似的規(guī)定。這些告知事項(xiàng)等于為個(gè)體提供了一本維權(quán)工具書。

另一方面，隱私政策可能增強(qiáng)用戶的個(gè)人信息保護(hù)意識(shí)，從而間接促進(jìn)個(gè)人信息保護(hù)。近年來(lái)，大量研究指出，個(gè)人信息保護(hù)面臨“大規(guī)模微型侵權(quán)”的難題，僅僅依靠個(gè)體救濟(jì)，難以對(duì)各類大型信息處理者進(jìn)行有效制約。

丁曉東：《從個(gè)體救濟(jì)到公共治理：論侵害個(gè)人信息的司法應(yīng)對(duì)》，載《國(guó)家檢察官學(xué)院學(xué)報(bào)》2022年第5期，第103-120頁(yè)；Peter C. Ormerod， A Private Enforcement Remedy for Information Misuse， 60 Boston College Law Review 1893 （2019）. 而集體監(jiān)管以及公權(quán)力支持的私法救濟(jì)要發(fā)揮作用，就需要公民提高隱私意識(shí)，通過(guò)個(gè)體維權(quán)、公共輿論監(jiān)督等方式促進(jìn)個(gè)人信息保護(hù)制度的落地。目前，各國(guó)已經(jīng)通過(guò)相關(guān)制度進(jìn)行推動(dòng)，例如，《個(gè)人信息保護(hù)法》第11條規(guī)定國(guó)家“加強(qiáng)個(gè)人信息保護(hù)宣傳教育”，《一般數(shù)據(jù)保護(hù)條例》第57條規(guī)定了監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)“提高公眾意識(shí)”。除了這些規(guī)定，隱私政策的合理呈現(xiàn)也扮演關(guān)鍵性角色，可以讓用戶在日常生活中意識(shí)到個(gè)人信息保護(hù)的重要性。當(dāng)然，此類呈現(xiàn)應(yīng)當(dāng)是適度的、合理的，如果基于隱私政策的告知非常頻繁，甚至嚴(yán)重降低用戶體驗(yàn)，那么此類呈現(xiàn)就可能造成用戶的麻木心態(tài)，甚至形成逆反心理。

呂炳斌：《個(gè)人信息保護(hù)的“同意”困境及其出路》，載 《法商研究》2021年第2期，第87-101頁(yè)；馬新彥、張傳才： 《知情同意規(guī)則的現(xiàn)實(shí)困境與對(duì)策檢視》，載《上海政法學(xué)院學(xué)報(bào)（法治論叢）》2021年第5期，第100頁(yè)。

五、告知同意制度的重構(gòu)

從上文分析出發(fā)，可以對(duì)告知同意進(jìn)行重構(gòu)。告知同意一旦重新設(shè)計(jì)，就既能避免告知同意在個(gè)體層面的困境，改善其作用；同時(shí)，這一制度也能保留甚至強(qiáng)化其多種功能。

（一）告知與同意的適度解綁

首先，告知與同意應(yīng)當(dāng)進(jìn)行適度解綁。

近年來(lái)有部分文獻(xiàn)注意到這一點(diǎn)，參見于海防：《個(gè)人信息處理同意的性質(zhì)與有效條件》，載《法學(xué)》2022年第8期，第99-112頁(yè)；Daniel Susser， Notice After Notice-and-Consent： Why Privacy Disclosures Are Valuable Even If Consent Frameworks Arent， 9 Journal of Information Policy （2019）. 從個(gè)體意思自治的角度出發(fā)，告知與同意往往被視為一個(gè)問(wèn)題的兩面：同意必須先進(jìn)行告知，告知最終是為了獲得同意。

這一問(wèn)題的背后是學(xué)界已經(jīng)討論很多的個(gè)人信息自決權(quán)的困境，參見楊芳：《個(gè)人信息自決權(quán)理論及其檢討：兼論個(gè)人信息保護(hù)法之保護(hù)客體》，載《比較法研究》2015 年第 6 期，第 22-33 頁(yè)。 但從上文的分析出發(fā)，會(huì)發(fā)現(xiàn)二者并不一定需要深度捆綁：告知的對(duì)象在有的情況下可能對(duì)個(gè)體發(fā)生作用，但在更多的情形下，其對(duì)個(gè)體產(chǎn)生的作用有限

王琳琳：《個(gè)人信息處理“同意”行為解析及規(guī)則完善》，載《南京社會(huì)科學(xué)》2022年第2期，第80-91頁(yè)。， 而對(duì)信息處理者內(nèi)部人員、市場(chǎng)與社會(huì)主體、法律實(shí)施者，其告知反而有效。既然如此，同意就不應(yīng)成為隱私政策的唯一或最重要目標(biāo)，而告知也不應(yīng)以個(gè)體作為唯一對(duì)象。

在同意要求方面，應(yīng)適度放松其形式要求，避免同意要求的不斷“升級(jí)加碼”。

林洹民：《個(gè)人信息保護(hù)中知情同意原則的困境與出路》，載《北京航空航天大學(xué)學(xué)報(bào)》（社會(huì)科學(xué)版）》2018年第3期，第13-21頁(yè)；翟相娟：《個(gè)人信息保護(hù)立法中“同意規(guī)則”之檢視》，載《科技與法律》2019年第3期，第58-65頁(yè)。 同意可以有多種不同設(shè)置。例如，法律可以將同意等同于明示同意，即要求用戶明確進(jìn)行點(diǎn)擊；法律也可以將很多行為視為默示同意，例如，將用戶瀏覽或知曉用戶協(xié)議的情況下繼續(xù)使用視為同意。法律還可以進(jìn)一步強(qiáng)化同意，例如，要求信息處理者設(shè)置默認(rèn)不同意的對(duì)話框，只有用戶明確打鉤和選擇加入（opt-in），此時(shí)才將用戶行為視為同意；或者法律可以要求信息處理者對(duì)不同類型的個(gè)人信息收集進(jìn)行分別同意，要求用戶在對(duì)話框進(jìn)行多種選擇。在個(gè)人信息保護(hù)面臨挑戰(zhàn)的情形下，人們很容易想到強(qiáng)化同意的解決方案。但正如本文分析，在個(gè)體無(wú)興趣、無(wú)時(shí)間、無(wú)專業(yè)、信息過(guò)載的背景下，對(duì)同意作過(guò)高要求，會(huì)讓同意流于形式，帶來(lái)上文所列舉的種種弊端。

這一設(shè)計(jì)也更符合個(gè)人信息保護(hù)的基礎(chǔ)法理，個(gè)人信息被保護(hù)權(quán)具有工具性特征，并非絕對(duì)性權(quán)利，參見張新寶：《論個(gè)人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期，第1144-1166頁(yè)。

當(dāng)然，避免同意的升級(jí)加碼并不意味著取消同意，或者在所有的情形下都應(yīng)當(dāng)放松同意的形式要求。當(dāng)個(gè)體所需要同意的信息處理屬于較為重要的事項(xiàng)，并且普通個(gè)體對(duì)于此類事項(xiàng)具有充分認(rèn)知時(shí)，此時(shí)同意不但必要，而且還需要通過(guò)各種形式對(duì)同意的形式作出嚴(yán)格要求。例如，當(dāng)電腦或手機(jī)調(diào)取攝像頭，或者當(dāng)網(wǎng)站獲取賬戶、密碼等個(gè)人信息，此時(shí)信息處理者應(yīng)當(dāng)獲得個(gè)體的明確同意。此類明確同意不但有利于個(gè)人信息的自我保護(hù)，而且有助于信息處理者獲取個(gè)人信任，促進(jìn)和諧信息關(guān)系的建立。

近年來(lái)，中外文學(xué)者都開始注重信任在個(gè)人信息保護(hù)中的作用，參見Claudia E. Haupt， Platforms as Trustees： Information Fiduciaries and the Value of Analogy， 134 Harvard Law Review Forum 34， 35 （2020）；姚佳：《知情同意原則抑或信賴授權(quán)原則——兼論數(shù)字時(shí)代的信用重建》，載《暨南學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2020年第2期，第48-55頁(yè)。

從各國(guó)法律看，美國(guó)在同意方面要求較低。一方面，美國(guó)很多領(lǐng)域并不要求個(gè)人同意，但包括美國(guó)聯(lián)邦貿(mào)易委員會(huì)在內(nèi)的很多機(jī)構(gòu)都出臺(tái)了隱私政策指南，企業(yè)也基本都建立了隱私政策告知。另一方面，

就要求同意的情形，美國(guó)在大部分情況下都采取了選擇退出（opt-out）要求，即隱私政策的默認(rèn)選項(xiàng)是企業(yè)可以處理個(gè)人信息。

這一做法也招致了不少學(xué)者的批判，Edward J. Janger & Paul M. Schwartz， The Gramm-Leach-Bliley Act， Information Privacy， and the Limits of Default Rules， 86 Minnesota Law Review 1219， 1241 （2002）. 例如，《加州消費(fèi)者隱私法》賦予了個(gè)體拒絕企業(yè)出售其個(gè)人信息的權(quán)利，但個(gè)體要行使這一權(quán)利，應(yīng)該通過(guò)選擇退出的方式拒絕。

California Civil Code， section 1798.115.只有在涉及敏感信息或特定情況，美國(guó)法才以選擇加入（opt-in）的方式來(lái)獲取同意。

相比美國(guó)，歐盟在同意方面的要求較高?！兑话銛?shù)據(jù)保護(hù)條例》的重述第32條認(rèn)為：“明確的肯定性行為”包括“通過(guò)書面聲明（包括通過(guò)電子手段）或口頭聲明”，但“沉默、預(yù)先勾選的方框”不構(gòu)成同意，而且“當(dāng)處理有多個(gè)目的時(shí)，應(yīng)給予所有目的的同意”。EDPB在其2020年發(fā)布的《關(guān)于〈一般數(shù)據(jù)保護(hù)條例〉同意的指南》中認(rèn)識(shí)到了這一點(diǎn)，指出“同意請(qǐng)求不應(yīng)不必要干擾（unnecessarily disruptive）”相關(guān)服務(wù)，但仍然認(rèn)為，如果以“較少侵犯或干擾的方式”（a less infringing or disturbing modus）會(huì)引起“模糊性”，則仍會(huì)“中斷使用體驗(yàn)”。

EDPB， Guidelines 05/2020 on consent under Regulation 2016/679， para 82. 歐盟的這一立場(chǎng)使得其網(wǎng)站的同意設(shè)置變得復(fù)雜而繁瑣，對(duì)于保護(hù)用戶與消費(fèi)者的良好體驗(yàn)并不友好。

目前，《個(gè)人信息保護(hù)法》對(duì)于個(gè)人同意的規(guī)定仍然較為原則，很多制度仍然有待于實(shí)踐的進(jìn)一步探索。《個(gè)人信息保護(hù)法》第14條規(guī)定了“自愿、明確作出”，第23條規(guī)定向第三方提供個(gè)人信息應(yīng)當(dāng)獲取“單獨(dú)同意”，第29條規(guī)定處理敏感信息應(yīng)當(dāng)獲得“單獨(dú)同意”或“書面同意”。這些規(guī)定，一方面對(duì)同意作出原則性規(guī)定，對(duì)特殊情況作強(qiáng)化要求。另一方面，這一立法模式并未對(duì)同意的具體要求作出特別明確的規(guī)定，為信息處理者在具體實(shí)踐中建構(gòu)同意標(biāo)準(zhǔn)留出了一定的空間。我國(guó)可以在參考?xì)W美經(jīng)驗(yàn)的同時(shí)，在實(shí)踐中探索更符合具體場(chǎng)景和用戶合理期待的同意機(jī)制。

姜野：《由靜態(tài)到動(dòng)態(tài)：人臉識(shí)別信息保護(hù)中的“同意”重構(gòu)》，載《河北法學(xué)》2022年第8期，第126-144頁(yè)。

（二）多樣分層的溝通機(jī)制

在告知與同意適度分離的思路下，告知不但不能省略，還應(yīng)進(jìn)一步強(qiáng)化和完善。由于告知的對(duì)象既包括普通個(gè)體，也包括企業(yè)合規(guī)人員、社會(huì)主體、司法與執(zhí)法人員，告知應(yīng)當(dāng)采取分層框架，在簡(jiǎn)潔性、清晰性、具體性等方面作出細(xì)致安排，以實(shí)現(xiàn)與多主體的有效交流溝通和實(shí)質(zhì)性參與。

馮健鵬：《個(gè)人信息保護(hù)制度中告知同意原則的法理闡釋與規(guī)范建構(gòu)》，載《法治研究》2022年第3期，第31-42頁(yè)。

在呈現(xiàn)警示度方面，告知可以采取鏈接、彈窗、警示等不同程度的呈現(xiàn)形式。底部鏈接的方式常常為很多網(wǎng)站所采用，以維持頁(yè)面的簡(jiǎn)潔。例如，谷歌、百度、必應(yīng)、搜狗等搜索引擎，這類網(wǎng)站往往在其界面的邊角處設(shè)置隱私政策的鏈接，不太容易為用戶所注意。相較之下，一般性的彈窗則可以引起用戶的關(guān)注，而警示性彈窗則可以通過(guò)紅黃等顏色，更進(jìn)一步引起用戶警覺。不同警示度的告知形式各有優(yōu)劣。警示度較低的告知往往難以引起用戶注意，但也不會(huì)影響用戶體驗(yàn)；警示度高的告知?jiǎng)t剛好相反。為此，法律對(duì)于呈現(xiàn)度的要求可以兼顧二者，在具體場(chǎng)景中對(duì)相關(guān)設(shè)置進(jìn)行判斷與優(yōu)化。例如，對(duì)于搜索引擎，大部分情形下搜索引擎所收集的個(gè)人信息往往是匿名性或去標(biāo)識(shí)化的搜索信息

個(gè)人信息的匿名性或去標(biāo)識(shí)化是一個(gè)極為復(fù)雜的問(wèn)題，參見丁曉東：《論個(gè)人信息概念的不確定性及其法律應(yīng)對(duì)》，載《比較法研究》2022年第5期，第46-60頁(yè)；趙精武：《用戶標(biāo)簽的法律性質(zhì)與治理邏輯》，載《現(xiàn)代法學(xué)》2022年第6期，第102-115頁(yè)。，因此，應(yīng)當(dāng)可以允許網(wǎng)站設(shè)置鏈接性隱私政策，但其鏈接名稱應(yīng)當(dāng)可以在搜索頁(yè)面中直接找到。

在呈現(xiàn)結(jié)構(gòu)方面，隱私政策可以采取分層結(jié)構(gòu)

鄭佳寧： 《知情同意原則在信息采集中的適用與規(guī)則構(gòu)建》，載《東方法學(xué)》2020年第2期，第198-208頁(yè)。，采取各類復(fù)雜產(chǎn)品說(shuō)明書的展開模式。上文指出，隱私政策的簡(jiǎn)潔性與詳細(xì)性、專業(yè)性與平白性要求各有優(yōu)劣，為了最大限度發(fā)揮優(yōu)勢(shì)，避免劣勢(shì)，可以要求或倡導(dǎo)企業(yè)采取雙層或多層的隱私政策。在直接和用戶交互的界面或第一層鏈接，隱私政策應(yīng)簡(jiǎn)潔平白，為用戶提供一目了然的信息目錄，避免過(guò)于復(fù)雜和專業(yè)化的表述。第一層鏈接是信息處理者和普通用戶對(duì)話的首要窗口，此類設(shè)置有利于普通用戶獲取更多有效信息。但到了第二層或第三層鏈接，此時(shí)的讀者可能是企業(yè)、社會(huì)與執(zhí)法部門的專業(yè)人士，或者對(duì)隱私政策抱有更具專業(yè)性期待的讀者，此時(shí)的隱私政策應(yīng)當(dāng)展開得更為全面，以兼顧專業(yè)性與平白性，為這類讀者提供更詳細(xì)專業(yè)的指引。

（三）隱私政策的合規(guī)內(nèi)嵌

如同上文所述，隱私政策不僅寫給外部人士看，其對(duì)內(nèi)部合規(guī)也具有重要意義。為了發(fā)揮隱私政策的這一功能，隱私政策應(yīng)當(dāng)成為信息處理者內(nèi)部的合規(guī)指引，內(nèi)嵌到信息處理的不同部門，成為產(chǎn)品設(shè)計(jì)的一部分。

王苑：《中國(guó)未成年人網(wǎng)絡(luò)個(gè)人信息保護(hù)的立法進(jìn)路——對(duì)“監(jiān)護(hù)人或家長(zhǎng)同意”機(jī)制的反思》，載《西安交通大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2019年第6期，第133-139頁(yè)；李芊：《從個(gè)人控制到產(chǎn)品規(guī)制——論個(gè)人信息保護(hù)模式的轉(zhuǎn)變》，載《中國(guó)應(yīng)用法學(xué)》2021年第1期，第56-78頁(yè)；張繼紅：《經(jīng)設(shè)計(jì)的個(gè)人信息保護(hù)機(jī)制研究》，載《法律科學(xué)》2022年第3期，第31-43頁(yè)。

隱私政策應(yīng)當(dāng)前置和融入信息處理者的內(nèi)部，在企業(yè)內(nèi)部交流、協(xié)調(diào)、探討后確定。正如有學(xué)者指出，“起草隱私聲明為公司提供了一個(gè)盤點(diǎn)和評(píng)估內(nèi)部實(shí)踐的機(jī)會(huì)，確保這些實(shí)踐是最新的、必要的和適當(dāng)?shù)?。它還可以作為一個(gè)決策平臺(tái)，根據(jù)與品牌相關(guān)的考慮以及法律、政策或市場(chǎng)實(shí)踐的發(fā)展，決定是否繼續(xù)進(jìn)行數(shù)據(jù)實(shí)踐或部署技術(shù)”。

Paula J. Bruening & Mary J. Culnan， 17 Through a Glass Darkly： From Privacy Notices to Effective Transparency， 17 North Carolina Journal of Law and Technology 515， 568 （2016）. 斯懷爾（Peter Swire）教授也曾經(jīng)進(jìn)行研究，發(fā)現(xiàn)美國(guó)格雷姆-里奇-比利雷（Gramm-Leach-Bliley Act，GLBA）法案生效后，許多金融機(jī)構(gòu)第一次在內(nèi)部進(jìn)行了廣泛的交流，以“了解數(shù)據(jù)在組織的不同部門之間以及與第三方之間如何共享和不共享”。

Peter Swire， The Surprising Virtues of the New Financial Privacy Law， 86 Minnesota Law Review 1263， 1316 （2002）. 在企業(yè)內(nèi)部合規(guī)前置方面，應(yīng)當(dāng)承認(rèn)，目前我國(guó)在這方面還有較大不足。我國(guó)法務(wù)人員在企業(yè)中的地位相對(duì)較低，其協(xié)調(diào)溝通的能力也相對(duì)較弱。未來(lái)我國(guó)應(yīng)在這方面加大力度，同時(shí)，政府在執(zhí)法過(guò)程中，也應(yīng)加大對(duì)企業(yè)內(nèi)部合規(guī)的執(zhí)法檢查。

對(duì)合規(guī)問(wèn)題的公司法分析，參見趙萬(wàn)一：《合規(guī)制度的公司法設(shè)計(jì)及其實(shí)現(xiàn)路徑》，載《中國(guó)法學(xué)》2020年第2期，第69-88頁(yè)；李永：《數(shù)據(jù)合規(guī)的模式變革——從權(quán)利人“知情同意”到使用者“預(yù)測(cè)算法”》，載《西南政法大學(xué)學(xué)報(bào)》2022年第5期，第113-127頁(yè)。

隱私政策還應(yīng)與產(chǎn)品設(shè)計(jì)結(jié)合，成為隱私設(shè)計(jì)或個(gè)人數(shù)據(jù)保護(hù)設(shè)計(jì)的一部分。

有學(xué)者主張，應(yīng)以產(chǎn)品責(zé)任法的思路保護(hù)個(gè)人信息，參見Danielle Keats Citron， Reservoirs of Danger： The Evolution of Public and Private Law at the Dawn of the Information Age， 80 Southern California Law Review 241， 244 （2007）; James Grimmelmann， Privacy as Product Safety， 19 Widener Law Journal 793， 793-827 （2010）. 隱私設(shè)計(jì)（privacy by design）的概念為加拿大渥太華信息與隱私委員會(huì)前主席安·卡沃基安（Ann Cavoukian）提出?？ㄎ只舱J(rèn)為，產(chǎn)品設(shè)計(jì)往往對(duì)于個(gè)人信息保護(hù)具有關(guān)鍵作用，當(dāng)企業(yè)從產(chǎn)品源頭對(duì)信息收集與處理的方式進(jìn)行把關(guān)，可以比個(gè)人更有效地保護(hù)隱私，同時(shí)實(shí)現(xiàn)個(gè)人與企業(yè)的雙贏。

Ira Rubinstein， Regulating Privacy by Design， 26 Berkeley Technology Law Journal 1409 （2012）. 隱私設(shè)計(jì)的概念經(jīng)過(guò)發(fā)展，逐漸成為個(gè)人信息保護(hù)領(lǐng)域的共識(shí)。例如，在《一般數(shù)據(jù)保護(hù)條例》采納了“數(shù)據(jù)保護(hù)設(shè)計(jì)和默認(rèn)數(shù)據(jù)保護(hù)”（Data Protection ?by Design and by Dafault，DPbDD）的原則，第25條規(guī)定，數(shù)據(jù)處理者應(yīng)當(dāng)通過(guò)設(shè)計(jì)和默認(rèn)設(shè)置來(lái)有效實(shí)現(xiàn)數(shù)據(jù)主體的權(quán)利和自由?！秱€(gè)人信息保護(hù)法》雖然未直接規(guī)定隱私設(shè)計(jì)原則，但也規(guī)定了“采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施”的一些類似規(guī)定。

《個(gè)人信息保護(hù)法》，第51條。 在隱私政策的形成與撰寫過(guò)程中，應(yīng)將隱私政策視為與前端產(chǎn)品設(shè)計(jì)密切溝通協(xié)調(diào)后的產(chǎn)物，而非僅僅是產(chǎn)品成型后的解釋說(shuō)明。

對(duì)于市場(chǎng)是否可以有效設(shè)計(jì)產(chǎn)品保護(hù)個(gè)人信息，有不同觀點(diǎn)，但都認(rèn)同產(chǎn)品設(shè)計(jì)的重要性。參見Woodrow Hartzog， Privacys Blueprint： The Battle to Control the Design of New Technologies， Cambridge， Mass： Harvard University Press， 2018， pp.1-10; Kenneth A. Bamberger & Deirdre K. Mulligan， Privacy on the Books and on the Ground， 63 Stanford Law Review 247， p.247 （2011）.

（四）隱私政策的風(fēng)險(xiǎn)與模塊化設(shè)計(jì)

隱私政策還應(yīng)基于風(fēng)險(xiǎn)，對(duì)相關(guān)風(fēng)險(xiǎn)點(diǎn)進(jìn)行模塊化設(shè)計(jì)。例如，針對(duì)信息處理者是否進(jìn)行去標(biāo)示化操作，其收集的信息是否與第三方共享，企業(yè)采取何種措施防止個(gè)人信息泄漏和進(jìn)入黑市，政府執(zhí)法部門與市場(chǎng)中的第三方機(jī)構(gòu)可以不斷發(fā)現(xiàn)、調(diào)整與列明信息市場(chǎng)中的風(fēng)險(xiǎn)點(diǎn)，引導(dǎo)信息處理者對(duì)其進(jìn)行防范，并在隱私政策中對(duì)這些風(fēng)險(xiǎn)點(diǎn)進(jìn)行模塊化的設(shè)計(jì)。

個(gè)人信息保護(hù)的風(fēng)險(xiǎn)維度，參見梅夏英：《社會(huì)風(fēng)險(xiǎn)控制抑或個(gè)人權(quán)益保護(hù)——理解個(gè)人信息保護(hù)法的兩個(gè)維度》，載《環(huán)球法律評(píng)論》2022年第1期，第5-20頁(yè)。

采取基于風(fēng)險(xiǎn)的模塊化披露，有利于司法訴訟與行政執(zhí)法。上文提到，隱私政策的一大功能是可以作為社會(huì)監(jiān)督者、行政執(zhí)法者的依據(jù)。為了使這種依據(jù)能夠有效發(fā)揮作用，隱私政策就應(yīng)當(dāng)針對(duì)個(gè)人信息保護(hù)中的實(shí)際風(fēng)險(xiǎn)進(jìn)行闡述，形成模塊化的清單。一旦形成此類清單，信息處理者就能與監(jiān)督者、執(zhí)法者形成有效的風(fēng)險(xiǎn)交流與風(fēng)險(xiǎn)監(jiān)管，而非對(duì)隱私政策中的每個(gè)細(xì)節(jié)都進(jìn)行無(wú)差別的檢查。

對(duì)于個(gè)人信息行政罰款的探討，參見孫瑩：《違法處理個(gè)人信息高額罰款制度的理解與適用》，載《華東政法大學(xué)學(xué)報(bào)》2022年第3期，第22-34頁(yè)。 此外，此類清單一旦模塊化，特別是形成機(jī)器可讀的模塊，監(jiān)督者與執(zhí)法者就能對(duì)隱私政策進(jìn)行批量化監(jiān)督，實(shí)現(xiàn)監(jiān)管的智能化與高效化。目前，包括我國(guó)在內(nèi)的世界各國(guó)都對(duì)隱私政策的合規(guī)要求作出了某些規(guī)定，或者發(fā)布了某些指引，但這些規(guī)定或指引的探索仍然較為初步，需要未來(lái)進(jìn)一步圍繞風(fēng)險(xiǎn)點(diǎn)進(jìn)行動(dòng)態(tài)調(diào)整與合理設(shè)計(jì)。

采取基于風(fēng)險(xiǎn)的模塊化披露，也有利于個(gè)人信息保護(hù)市場(chǎng)機(jī)制的發(fā)揮。如上所述，個(gè)人信息保護(hù)存在信息不對(duì)稱的“檸檬市場(chǎng)”難題。為了應(yīng)對(duì)這一難題，學(xué)者和專家們提出過(guò)不少建議，例如，保羅·歐姆（Paul Ohm）教授主張，應(yīng)借鑒商標(biāo)的理念，將互聯(lián)網(wǎng)企業(yè)的隱私政策商標(biāo)化，供用戶直觀選擇，以此解決隱私政策的信息不對(duì)稱與市場(chǎng)無(wú)序問(wèn)題。

Paul Ohm， Branding Privacy， 97 Minnesota Law Review 907（2013）. ?還有學(xué)者主張，隱私政策應(yīng)模仿食品中的成分標(biāo)簽（label），要求信息處理者按標(biāo)簽進(jìn)行披露。

Corey A Ciocchetti， The Future of Privacy Policies： A Privacy Nutrition Label Filled with Fair Information Practices， 26 The John Marshall Journal of Information Technology & Privacy Law 1， 47 （2008）. 本文所提倡的建議與這些建議有一定相似之處，當(dāng)隱私政策進(jìn)行基于風(fēng)險(xiǎn)的模塊化披露，并輔之以上文提到的個(gè)人信息保護(hù)認(rèn)證等機(jī)制，隱私政策可以重新激活個(gè)人信息保護(hù)的市場(chǎng)聲譽(yù)機(jī)制。

Florencia Marotta-Wurgler， Self-Regulation and Competition in Privacy Policies， 45 Journal of Legal Studies S13 （2016）.

六、結(jié)語(yǔ)

基于隱私政策的告知同意已經(jīng)成為個(gè)人信息保護(hù)法的一般規(guī)則

衣俊霖：《論個(gè)人信息保護(hù)中知情同意的邊界——以規(guī)則與原則的區(qū)分為切入點(diǎn)》，載《東方法學(xué)》2022年第3期，第55-71頁(yè)。， 也被視為信息主體不可轉(zhuǎn)讓的核心利益。

王洪亮：《〈民法典〉與信息社會(huì)——以個(gè)人信息為例》，載《政法論叢》2020年第4期，第3頁(yè)。 本文從比較法與法律原理出發(fā)，對(duì)這一制度進(jìn)行重思，可以發(fā)現(xiàn)其性質(zhì)與制度都應(yīng)當(dāng)進(jìn)行重構(gòu)。

就性質(zhì)而言，告知同意制度的性質(zhì)具有多維特征，在不同國(guó)家和地區(qū)呈現(xiàn)的面貌不同。在美國(guó)，告知同意在采用點(diǎn)擊協(xié)議的形式下可能被視為合同，但在瀏覽協(xié)議等形式下可能不被認(rèn)定。但即使被認(rèn)定為合同，個(gè)人也可能因?yàn)槿狈p害而無(wú)法起訴，隱私政策在更多的情形下具有產(chǎn)品聲明的特征，其實(shí)施依賴于執(zhí)法。在歐盟，個(gè)人信息保護(hù)是公法基本權(quán)利在私人領(lǐng)域的輻射，告知同意更接近于基本權(quán)利的合規(guī)要求。但即使是歐盟，隱私政策也具有一定的消費(fèi)者合同特征。我國(guó)的個(gè)人信息保護(hù)與歐盟存在整體相似性，但為市場(chǎng)化機(jī)制預(yù)留了更大空間，告知同意應(yīng)被視為一種兼具消費(fèi)者合同、聲明、基本權(quán)利合規(guī)的多維制度。

作為規(guī)制工具的個(gè)人信息權(quán)益，參見王錫鋅：《個(gè)人信息權(quán)益的三層構(gòu)造及保護(hù)機(jī)制》，載《現(xiàn)代法學(xué)》2021年第5期，第105-123頁(yè)。

就實(shí)施效果而言，如果僅采取二維視角，將告知同意制度視為合同或意思自治，則這一制度將面臨重重困境。信息處理者將無(wú)法在即時(shí)交互場(chǎng)景下讓個(gè)人有興趣、時(shí)間和專業(yè)能力理解隱私政策，各種改進(jìn)措施也只會(huì)加大信息過(guò)載與決策疲勞的困境。但如果拓寬維度，從多維視角看待基于隱私政策的告知同意，就會(huì)發(fā)現(xiàn)隱私政策的多重功能，隱私政策可以成為企業(yè)自我規(guī)制的章程、市場(chǎng)聲譽(yù)機(jī)制的媒介、司法訴訟與行政執(zhí)法的依據(jù)、溝通信任與隱私教育的工具。

作為溝通信任機(jī)制的信息披露，參見丁曉東：《基于信任的自動(dòng)化決策：算法解釋權(quán)的原理反思與制度重構(gòu)》，載《中國(guó)法學(xué)》2022年第1期，第99-118頁(yè)。

基于隱私政策的告知同意制度應(yīng)進(jìn)行制度重構(gòu)。首先，告知與同意應(yīng)適度解綁，在同意方面適度放松，避免同意要求的不斷“升級(jí)加碼”，但在告知方面則應(yīng)進(jìn)一步強(qiáng)化與優(yōu)化。其次，隱私政策在警示度方面可以采取鏈接、彈窗、警示等不同程度的呈現(xiàn)形式；在結(jié)構(gòu)方面可以采取分層框架，以實(shí)現(xiàn)隱私政策與多主體的有效溝通。再次，隱私政策應(yīng)成為信息處理者內(nèi)部的合規(guī)指引，內(nèi)嵌到信息處理的不同部門，成為產(chǎn)品設(shè)計(jì)的一部分。最后，隱私政策應(yīng)采取基于風(fēng)險(xiǎn)的模塊化披露，助推司法訴訟、行政執(zhí)法與市場(chǎng)聲譽(yù)機(jī)制的有效運(yùn)行。

Multidimensional Interpretation of Privacy Policy： Reflection on the Nature of

Notice and Consent Framework and Institutional Reconstruction

DING Xiaodong

（Law School， Renmin University of China， Beijing 100872， China）

Abstract：

Notice and consent framework based on privacy policy is the core system of personal information protection， but its nature and effectiveness should be reconsidered. Notice and consent framework has multiple characteristics in different countries and regions， such as contracts， statements， and compliance with fundamental rights. In China， it should also be regarded as a multidimensional institutional tool. From the perspective of individual autonomy， notice and consent framework faces problems such as information overload and too much decisionmaking. Even if the system is improved， it can not achieve individual full informed consent. However， the reader of privacy policy not only includes individuals in realtime interaction scenarios， but also internal personnel of enterprises， market raters， law enforcement and judicial personnel and individuals in non interaction scenarios. Privacy policy may serve as the compliance charter of information processors， the information media of market reputation mechanism， the implementation basis of judicial proceedings and administrative law enforcement， the tool to win individual trust and privacy education. We should decouple notice from consent， relax the consent requirements moderately， but strengthen the notification requirements of privacy policy. The privacy policy can adopt different reminder methods and hierarchical structures externally， become the compliance guidance embedded in different departments and products， and adopt riskbased modular disclosure in form.

Key words： ?privacy policy; inform consent; personal information; autonomy of will; integration of public and private law

本文責(zé)任編輯：林士平

青年學(xué)術(shù)編輯：孫瑩

文章編號(hào)：1001-2397（2023）01-0034-15

收稿日期：2022-08-07

基金項(xiàng)目：最高人民法院2022年度司法研究重大課題“算法技術(shù)的法律規(guī)制研究”（ZGFYZDKT202211-01）階段性成果

作者簡(jiǎn)介：

丁曉東（1982），浙江淳安人，中國(guó)人民大學(xué)法學(xué)院教授、博士生導(dǎo)師，未來(lái)法治研究院副院長(zhǎng)。

①其他條款的規(guī)定包括委托處理個(gè)人信息（第21條）；轉(zhuǎn)移個(gè)人信息（第22條）；向其他處理者提供個(gè)人信息（第23條）；公開個(gè)人信息（第25條）；公共場(chǎng)所收集個(gè)人信息（第26條）；處理公開個(gè)人信息（第27條）；處理敏感個(gè)人信息（第29條）；處理未成年人個(gè)人信息（第31條）；向境外提供個(gè)人信息（第39條）。