原发表于《当代法学》2023年第1期调教 母狗
摘 要 :基于秘密计谋的见告原意是个东谈主信息保护的中枢轨制 ,但对其性质应当进行 反念念 ,对其轨制应进行重构 。见告原意在不同国度和地区具有合同、声明、基本权益合规 等多重特征 ,在我国也应被视为多维轨制用具 。仅从趣味自治角度看 ,见告原意濒临信息 过载、决策过频等难题 , 即使进行轨制篡改 ,也无法竣事个体的充分知情和明确原意 。但 秘密计谋的阅读对象不仅是即时交互场景下的个东谈主 ,也包括企业里面东谈主员、市集评级者、 法则司法者和非交互场景下的个体 。 秘密计谋可能充任信息处理者的合规规矩、市集声 誉信息机制的前言、司法诉讼与行政法则的依据、赢取个体信任与进行秘密造就的用具。 应解绑见告与原意 ,限度浮松原意要求 ,但应强化对秘密计谋的见告要求 。 秘密计谋对外 不错选择不同提醒方式与分层架构 ,对内应成为内嵌到不同部门与居品的合规指引 ,在形 式上选择基于风险的模块化走漏。
环节词 : 秘密计谋;见告原意 ;个东谈主信息 ;趣味自治;公私法交融
一、问题的冷漠
见告原意是个东谈主信息保护的中枢轨制 。《 中华东谈主民共和国个东谈主信息保护法》( 以下简称《个东谈主信 息保护法》) 将见告原意当作信息处理者处理个东谈主信息的“一般规章”,其中第 13- 18 条详确规章了 见告原意轨制 ,其他条件在不同场景对如何适用这一轨制进行了规章。[1] 稍早之前出台的《 中华东谈主民共和国民法典》( 以下简称《 民法典》) 也将征得“ 天然东谈主或者其监护东谈主原意”当作处理个东谈主信息的首 要条件。[2]在域外 ,秘密计谋与见告原意也上演了重要变装 。好意思国在 20 世纪 60-70 年代引入了公谈 信息实践轨制 ,在多少立法领域要求聚积个东谈主信息必须向个东谈主进行见告 ;到了 20 世纪 90 年代 ,跟着 互联网的兴起 ,企业纷纷选择秘密计谋 ,冉冉成为通行作念法 。欧盟等其他地区诚然与好意思国市集化的 模式不同 ,但在秘密计谋与见告原意方面 ,也将其当作立法与规制的中枢。[3]
基于秘密计谋的见告原意的重要性无须置疑 ,但在基本道理与实践恶果方面 ,却一直存在争议 和批评 。就其道理来说 ,见告原意在法律上应当如何定性 ,见告原意是一种格局合同吗? 当信息处 理者在其网站或交互界面上建立秘密计谋 ,用户点击原意或延续使用 ,这一转为是否组成一种民事 行动上的趣味暗示 ;相应地 ,当企业或个东谈主违背秘密计谋中的内容 ,这是否组成了传统合同上的违 约 ;或者 ,见告原意是否是一种免责声明 ;或者 , 当信息处理者获取个东谈主原意后 ,就组成侵权法上的 作歹阻却事由;又或者 ,基于秘密计谋的见告原意是一种信息处理者的合规行动?[4]
在实践恶果方面 ,基于秘密计谋的见告原意也濒临弥远问题。举例 ,《个东谈主信息保护法》中的见告 原意、单独原意与书面原意的合规应作何种要求; 对用户进行见告 ,是否不错将秘密计谋摈弃在网站 的某个集结中 ,如故需要使用单独弹窗模样;企业获取用户原意 ,应当选择取舍加入(opt -in ) 如故取舍 退出(opt-out)模式? 此外 ,有学者指出 ,见告原意濒临“流于模样”的风险[5] ,个东谈主信息主体时常莫得时 间、元气心灵和兴味阅读秘密计谋 ,企业所获取的原意也时常不是用户的确切意愿。在见告原意轨制饱受 批评的布景下 ,如何篡改和完善这一轨制亟需明确。
为了分析上述问题 ,本文对见告原意轨制的性质进行分析。本文以为 ,基于秘密计谋的见告原意 具有合规用具、声明与合同等多重特征 ,应选择公私法交融的多维视角对其进行分析 ,幸免单一视角。 在轨制实践恶果上 ,见告原意难以在即时交互界面竣事对用户的灵验见告 ,用户也濒临无效取舍与选 择疲钝的逆境 ,仅从趣味暗示的视角难以厘清这一轨制。秘密计谋的读者对象并不仅限于即时交互界 面的个体 ,还包括企业里面东谈主员、社会主体与市集专科东谈主员、法则机构等主体。选择公私法交融的多维 视角 ,不错发现见告原意不错当作企业里面合规的用具、市集声誉机制的信息前言、司法法则的依据、 信任调换与秘密造就的用具。为再行激活见告原意轨制 ,应解绑见告与原意 ,限度浮松原意要求 ,强化 见告要求。秘密计谋应当依据场景 ,选择不同提醒模式与分层见告框架 ,秘密计谋应内嵌到企业里面 与居品合规中 ,并依据风险点而进行模块化联想。
二、见告原意性质的反念念
反念念见告原意轨制的法律性质 ,有助于久了对见告原意轨制的相识。借助比较法视线 ,不错发现 ,好意思国有时将见告原意视为传统合同 ,但更厚情况下将其视为雷同居批评释书的企业声明;而欧盟全体 将其视为公法基本权益的合规要求 ,但也具有一定的滥用者合同的特征。《个东谈主信息保护法》选择和 欧盟雷同的保护型的立法进路[6] ,但和欧盟与好意思国王人有所不同。岂论是我国如故西洋 ,秘密计谋王人呈现公私法交融特征 ,是一种多维法律轨制用具。
(一)好意思国 :当作合同与声明
基于秘密计谋的见告原意轨制发祥于好意思国。20 世纪 80-90 年代 ,互联网企业入手走出实验室 ,进 入贸易领域 ,跟着互联网企业入手平庸聚积个东谈主信息 ,其对个东谈主秘密的威胁引起了社会的关心。为了 摈弃社会的担忧 ,同期 ,为了幸免政府对互联网企业选择严厉的规制模范 ,互联网企业入手在其网站上 建立秘密计谋评释 ,在摆脱放任与政府规制之间寻求一条“自我规制”的中间谈路。到 21 世纪初 ,简直 好意思国通盘的互联网企业王人自发建立了秘密计谋。[7]
在多数案件中 ,好意思国法院将见告原意视为莫得传统合同拘谨力的声明(statement)。[8]举例 ,在 2005 年的一场集体诉讼中 ,西北航空公司在其秘密计谋中规章 ,其聚积的个东谈主信息只用于特定目的 ,但推行 上西北航空公司却与一家联邦机构分享盛大滥用者数据 ,用于议论航空安全。法院在该案件中抵赖了 见告原意的合同性质。[9]在少数的案件中 ,法院将见告原意当作传统合同看待。举例 ,在 2005 年针对捷 蓝航空 (In re-JetBlue Airways Corp. Privacy Litigation)和针对好意思结伙航(In-re American Airlines Inc. Privacy Litigation)的诉讼中[10] ,法院以为 ,被告违背秘密计谋的信息处理不错被视为合同失言。天然 , 只好在点击条约(clickwrap)或引升引户反复平定的浏览条约(browsewrap) 中 ,好意思国法院才有可能将其 视为合同。证据好意思国法院的主流看法 ,用户在这类条约中有契机浏览秘密计谋 ,因此 ,不错将其视为合 同。[11]而在浏览条约中 ,法院一般倾向于抵赖其合同性质[12] ;只好浏览条约选择弹窗模式 ,显贵提醒用户 ,法院才可能将其视为合同。[13]
(二)欧盟 :当作基本权益的合规模范
欧盟选择个东谈主信息基本权益保护的旅途 ,将个东谈主信息被保护权视为一种宪法基本权益。《欧盟基 本权益宪章》第 8 条第 1 款规章 :“每个东谈主王人有权保护与其相关的个东谈主数据。”《一般数据保护条例》第 1 条第 2 款也规章 :“本条例保护天然东谈主的基本权益妥协脱 ,稀疏是其个东谈主数据被保护的权益。”在这一 布景下 ,欧盟全体上将建立秘密计谋与获取见告原意视为公法基本权益的合规模范 ,但也在一定进程上具有滥用者合同的性质。
当先 ,欧盟法下的秘密计谋并非传统合同或声明。淌若说好意思国法上的秘密计谋不错被视为市集中 不错摆脱联想的合同或声明 ,具有自我规制的特征 ,那么欧盟法则铲除了其市集化特征。在欧盟法上 , 信息处理者莫得好意思国企业那样平庸摆脱建立秘密计谋的权益 ,其秘密计谋所规章的内容、见告的方式 王人必须安妥法定合规要求。正如施瓦茨( Paul Schwartz) 所指出 ,欧盟法的基本假定是 ,处理个东谈主信息 将对公民的东谈主格尊荣产生威胁 ,威胁“法递次”,因此 ,对个东谈主数据保护在全体上选择了“信息不可让渡 性”(information inalienability)的轨制框架 ,将其视为一种不可往返与不可摆脱设定的东谈主权。[14]
其次 ,欧盟法下的见告原意也并非侵权法上的免责事由或作歹阻却事由。免责事由将见告原意视 为罪恶相抵、受害东谈主荒谬、第三东谈主症结、自甘风险、高洁认真、进击避险的行动 ,但见告原意只是是信息 处理者合规的一环。信息处理者即使获取用户的明确原意 ,也可能因为违背“ 目的限制”“数据最小 化”等诸多原则而被认定作歹。[15]正如库纳( Christopher Kuner) 训诲所言 :企业老是沉进于将见告原意 视当作获取个东谈主信息“提供充分法律依据的机制 ,但忽略了处理的法律依据”,欧盟法所规章的数据处 理的正当性基础“不是一项具体行动 ,而是一项重要原则 ,在公司合规谋略的通盘阶段王人应记起”。[16]
再次 ,欧盟在秘密计谋的司法与法则问题上也选择了合规进路。当信息处理者的秘密计谋不够清 晰明确 ,或者其信息处理行动与其秘密计谋存在不一致 ,其送礼一般通过行政法则进行送礼。个体也 不错参与这一过程 ,不错向独处数据监管机构或法院拿起报告或诉讼 ,但这种报告或诉讼王人是依据基 本权益的合规要求而拿起 ,并非依据信息处理者违背合同而拿起。[17] 在信息处理者对个东谈主变成毁伤的 侵权诉讼中 ,《一般数据保护条例》也以作歹性当作前置条件 ,即只好信息处理者违法的前提下 ,个体 才能进行侵权之诉。[18]
终末 ,欧盟的秘密计谋也具有一定的滥用者合同特征。一方面 ,诚然欧盟坚捏个东谈主信息保护的基 本权益特征 ,况兼引入了“目的逝世”“数据最小化”等原则 ,但《一般数据保护条例》等法律仍然予以了 个东谈主与信息处理者一定的对等协商空间。举例 ,当信息处理者但愿获取更多个东谈主信息 ,以便为个东谈主提 供更多服务 ,此时信息处理者仍然不错在基础服务所需的个东谈主信息以外 ,通过见告原意而获取更多个 东谈主信息。只不外 ,信息处理者不可通过“绑缚”“搭售”等方式拒却为个东谈主提供基础服务 ,也不可拒却个 东谈主的除掉权等其他权益。另一方面 ,欧盟也在好多所在模仿了滥用者保护法的规则 ,举例 ,《一般数据 保护条例》“重述”第 42 条径直援用了《1993 年对于滥用者合同中不公谈条件的理事会指示》,指出任 何未经单独协商的合同条件 ,淌若“导致合同两边的权益和义务发生紧要不屈衡 ,毁伤滥用者利益”, 王人是不公谈的。[19]
( 三)我国见告原意轨制的性质
结合比较法与我国法律 ,不错发现见告原意轨制的性质应作念多维解读。一方面 ,《个东谈主信息保护 法》与欧盟《一般数据保护条例》具有较高的相似性 ,王人将个东谈主信息被保护权视为一种基本权益[20] ,并将 见告原意轨制视为处理个东谈主信息的正当性基础之一。这就意味着我国现行立法下的见告原意也具备 合规要求的属性 ,而非传统合同或格局合同。[21]事实上 ,《个东谈主信息保护法》在立法过程中曾经试图用合 同中的趣味暗示来进行规章。一审稿第 14 条曾经规章 :“处理个东谈主信息的原意 ,应当由个东谈主在充分知 情的前提下 , 自发、明确作出趣味暗示”,但二审稿很快就删除了“趣味暗示”。这标明 ,我国的立法者 也清醒地觉察到了见告原意轨制与传统合同自治之间的区别 ,将见告原意轨制视为具有保护型特征的 法律轨制。
另一方面 ,我国的文化布景与立法细节也与欧盟存在多少区别 ,《个东谈主信息保护法》诚然也将个东谈主 信息被保护权视为一种基本权益 ,但并未像欧盟那样高度抽象化 ,反而在全体上比较关心滥用者权益 保护。[22]在《个东谈主信息保护法》的实践机制层面 ,我国的轨制反而和好意思国具有多少相似性 ,举例 ,二者王人 未接济独处监管机构 ,而是选择了多部门监管与送礼体制。[23] 在表面和轨制优化层面 ,应将见告原意 视为一种兼具滥用者合同、声明、基本权益合规的多维轨制。
三、见告原意的实践逆境
在实践中 ,见告原意濒临多方面的逆境 ,学术界更是从多个不同角度对见告原意进行了批评 ,指出 这一轨制可能走向模样主义。同期 ,一些试图强化见告原意的作念法不仅无法灵验回复这些逆境和批 评 ,反而可能加重某些问题。见告原意濒临的逆境 ,与前一部分提到的分析有密切关系。淌若仅以合同的视角看待秘密计谋与见告原意 ,这一轨制将很难取得积极恶果。
( 一)见告的逆境
就见告而言 ,秘密计谋时常无法灵验见告用户。信息秘密法的议论从各个角度指出 ,用户面对冗 长、专科、败兴的秘密计谋 ,很少用户会在各式交互界面阅读秘密计谋 ,阅读此类计谋需要盛大时刻和 专科学问。有海外学者推算 ,淌若要通读聚积秘密计谋 ,一个东谈主平均每年需要轻松 244 个小时。[24] 这还 是在十年前 ,跟着社会生计的全面数字化 ,万般物联网、智能家居聚积个东谈主信息的场景无处不在 ,秘密 计谋的复杂性、专科性更甚于以往。[25] 而莫得专科性学问 ,阅读秘密计谋就可能像普通东谈主阅读微积分 , 看上去每个字王人相识 ,但推行上却很难贯通或参加语境。举例 ,绝大部分普通用户王人不了解动态 IP 与静态 IP 的区别 ,也很难贯通 SDK( Software Development kit ,软件拓荒用具包) 处理个东谈主信息的运行原 理。在专科布景学问不充分的情形下 ,个体就很难贯通或容易误会万般秘密计谋中的内容。[26]
此外 ,用户很少会对秘密计谋拿起兴味。在昔日的十几年里 ,信息秘密议论最热点的议论主题之 一即是“秘密悖论”(privacy paradox) :东谈主们诚然表面上对个东谈主信息保护无比疼爱 ,但推行上却并不太关 心秘密计谋 ,很容易就“用秘密换便利”,而且是换取极小的便利。[27] 行动主义议论阵营中的法学家、经 济学家和情绪学家指出 ,变成这一景色的原因在于侵害个东谈主信息的风险时常不细目 ,而且口角即时性 的。对于这么一种风险 ,个东谈主不太可能有兴味对其进行阅读和了解。
事实上 ,当代社会中的居批评释与信息走漏早已濒临好多逆境 ,个东谈主信息保护中的见告原意只是 又增添了另一例证。本 ·沙哈(Omri Ben-Shahar)训诲曾经在经典论文《强制走漏的失败》中形貌过这 一景色 ,当代社会中的个东谈主每天王人会际遇海量的信息教导 :从使用剃须刀的居批评释 ,到收发快递的邮 政评释 ,到吃饭时餐厅食物过敏教导。在信息过载(information overload)的布景下 ,滥用者拒却阅读隐 私计谋或居批评释 ,其实是一种感性取舍。正如本 ·沙哈训诲所言 ,“一次走漏不错处理 ,但海量走漏会压垮东谈主 ,东谈主们不可能关心比激流更多的走漏。”[28]
( 二) 原意的逆境
就用户原意而言 ,当先 ,在个东谈主莫得充分知情的前提下 ,个东谈主原意可能变成了一种莫得感性的花样 抒发 ,无法反应个东谈主的确切想法与意志。理查德( Neil M. Richards) 和哈特佐格( Woodrow Hartzog) 两 位训诲曾将这类原意综合为“非知情的原意”( unwitting consent) 。两位学者指出 , 由于个体不睬解法 律条约、不睬解本领布景或不睬解后果风险 ,个体在很厚情形下所作出的原意只是一个空壳 ,远非“知 情和自发原意的黄金标准”(gold standard of knowing and voluntary consent) 。[29]
其次 ,个体原意可能具有被诱导性或威逼性。其华夏因可能有多种 ,举例 ,市集可能被一两家头部 平台所独揽 ,用户莫得太多选项;或者即使用户有比较多的选项 ,但面对用户黏性和旅途依赖 ,个体也 可能很难说不。此外 ,企业时常有好多的技巧和“套路”让用户原意 ,举例 ,企业通过奥妙的交互界面 联想 ,时常诱导用户原意其秘密计谋。连年来 ,此类景色如故引起了越来越多的关心。举例 ,哈里 ·布 里格努尔(Harry Brignull)将此类套路称为“ 暗黑模式”( dark patterns)[30] ;一系列信息信义义务的议论 以为企业不错对用户进行操控( manipulation) 。[31] 这些议论的共同发现是 ,个体的原意时常是被主管或 操控下的非确切趣味暗示。
终末 ,个体的原意也时常被绑定 ,无法作出具有“颗粒度”( granularity) 的原意。信息处理者处理 个东谈主信息 ,有时是为了竣事基础服务功能 ,有的是为了提供额外的升值服务或进行数据的进一步利用 , 还有的则可能对用户产生危害。面对信息处理者的多重目的 ,用户时常很难对通盘目的进行“颗粒 化”的分析 ,并分别逐一作出原意或拒却。更多的情况是 ,用户时常原意为了竣事各式不同目的的信息 处理 ,导致原意机制的异化。伯特 ·贾普 ·库普斯(Bert-Jaap Koops)训诲将这类异化称为“功能蠕变” (function creep) ,以为原意机制时常导致个东谈主信息被用于个东谈主并不确切认同的驱动目的 ,违背“ 目的逝世”原则。[32]
( 三) 强化见告原意的逆境
应当看到 ,现行的不少法律、指南与意见王人看到了见告原意的逆境 ,并对其进行了针对化的篡改。 举例针对见告 ,《个东谈主信息保护法》第 17 条明确要求 ,个东谈主信息处理者在处理个东谈主信息前 ,应当以“显 著方式、清醒易懂的言语确切、准确、好意思满地”向个东谈主见告 ,《一般数据保护条例》一样规章收敛者“应当 以一种爽朗、透明、易懂和容易获取的模样 ,以清醒和平白的言语来提供”。但淌若仅从个体贯通动身 , 则此类见告仍难以治理上述无兴味、无时刻、无专科、信息过载等难题。举例 ,当法律要求信息处理者 选择“警示”的方式进行见告 ,但一朝“警示”过多 ,个东谈主就会对此类警示疲钝;当法律要求信息处理者 选择清醒平白言语 ,秘密计谋就会愈加冗长;当法律要求秘密计谋爽朗 ,见告就会不全面、不明晰。无 论如何 ,要求信息处理者在一个交互界面对小型不细目的专科风险问题进行充分见告 ,无异于是一个 不可能完成的任务。[33]
原意的逆境一样难以治理。《一般数据保护条例》对于原意功能的弱化相当关心 ,并进行了针对 性的规章。举例 ,其第 4 条第 11 款明确规章了原意的四个要素: 自 由作出( freely given) 、具体 (specific) 、知情(informed) 、通过声明或明确行动明确标明数据主体的意愿( Unambiguous indication of wishes) ,况兼在“重述”和 EDPB( European Data Protection Board ,欧洲数据保护委员会)对于原意的指 南中对这四项要求作出了进一步规章。但这些要求无法治理个体偶而进行太多决断这一根人道逆境。 在个东谈主信息保护中 ,个体的原意并不像买卖大额商品或从事高危行为 ,一个感性个体不可能对此类微 型权益进行三念念尔后行的量度。当法律作出强制规章 ,要求信息处理获取个东谈主原意必须获取更高等别同 意 ,此类强制规章只会增多用户包袱。举例 ,当企业对通盘个东谈主信息聚积均选择弹窗模样 ,或者要求用 户选择“取舍加入(opt-in)”而非“取舍退出(opt-out)”的方式进行原意 ,那么 ,此类作念法只会缩短用户 体验 ,而非激勉确切原意。[34]
四、秘密计谋的另类用途
从个体收敛动身 ,见告原意濒临逆境 ,恶果有限。但移动视角 ,从信息处理者自我规制、市集声誉机制、法律灵验实践、调换造就用具等角度动身 ,却不错发现当作见告原意载体的秘密计谋的多少“偶而”作用 ,秘密计谋除了为用户个体提供见告 ,还不错阐发其他作用。
( 一) 自我规制的规矩
从滥用者或用户的角度看 ,秘密计谋高深晦涩且不关紧要 ,但从专科东谈主员的角度看 ,秘密计谋却是 贯通企业处理个东谈主信息的重要参照 ,匡助信息处理者建立良性的合规经由与轨制。[35] 在莫得秘密计谋 之前 ,企业里面可能道不同 ,莫得专科东谈主士专门从事个东谈主信息保护做事 ,也莫得东谈主了解个东谈主信息处理 的全体图景、形成处理个东谈主信息的斡旋经由。但通过秘密计谋的东谈主员建立、前期调研、条件拟定、诱骗 调换 ,此类情形却不错大为改善。在这个道理上 ,秘密计谋不错成为信息处理者自我规制的规矩。
如今 ,列国法律王人将企业自我规制当作个东谈主信息保护的重要一环。举例 ,《个东谈主信息保护法》第51 条文章 ,企业应当“制定里面管制轨制和操作规程”等模范 ,第 52 条文章 ,安妥要求的信息处理者“应 当指定个东谈主信息保护负责东谈主 ,负责对个东谈主信息处理行为以及选择的保护模范等进行监督”;《一般数据 保护条例》也规章了企业里面合规拓荒、数据保护官( Data Protection Office , DPO) 等轨制。[36] 这些轨制 与秘密计谋的功能密切相接 ,离开了秘密计谋 ,企业里面将很难建立斡旋的个东谈主信息保护计谋 ,所谓企业的自我规制也无法张开。[37]
( 二)声誉机制的前言
秘密计谋还不错成为声誉机制的重要前言 ,建构个东谈主信息保护的市集机制。单就个体而言 ,个东谈主 信息保护由于其专科性与信息高度不合称性 ,无法形成普互市品的信誉市集 ,以至可能导致劣币完毕 良币的“柠檬市集”,变成企业处理个东谈主信息的契机主义行动倾向。[38]但市集中存在盛大的中介机构 ,这 些机构不错通过对秘密计谋的贯通、评级与认证 ,为信息处理者的信息处理提供打分机制 ,促成声誉机 制的形成。
事实上 ,在秘密计谋的发展历程中 ,此类机构就上演了重要变装。举例 ,成立于 1998 年的在线隐 私定约(Online Priracy Alliance ,OPA) ,这一机构由80 多家全球化公司组成 ,将“指挥和相沿自律倡议 , 为在线秘密创造一个信任的环境”当作其责任。该机构不仅我方发布在线秘密陈诉指南、自我规制执 法框架 ,而且要求其通盘成员王人使用并公布其自己的秘密计谋。通过对其成员秘密计谋的监督 ,该机 构在早期个东谈主信息的行业保护方面阐发了重要作用 ,促进了市集声誉机制的灵验阐发。[39]
声誉机制与社会监督轨制也在列国法律中被平庸应用。举例 ,《个东谈主信息保护法》第 58 条要求大 型平台建立“个东谈主信息保护合规轨制体系 ,成立主要由外部成员组成的独处机构对个东谈主信息保护情况 进行监督”。《一般数据保护条例》第 40-41 条文章了“行动准则”( codes of conduct) ,对代表信息处理 者的行业协会制定愈加细化的规则进行了规章 ,第 42 条对“建立数据保护认证机制、数据保护钤记和象征 ,以评释注解收敛者和处理者的处理”合规的认证(Certification) 轨制进行了规章。这些兼具合规与声誉机制的轨制如要阐发作用 ,王人离不开秘密计谋这一用具。
( 三) 法律实践的依据
秘密计谋还可能成为个东谈主信息报告、司法与法则的重要依据。淌若说秘密计谋在企业自我规制与 市集声誉中上演的是“软法”治理的变装 ,那么 ,当相关组织与机构拿起报告、诉讼或进行法则时 ,秘密 计谋就可能变成“硬法”治理的一部分。
一方面 ,个体、社会组织可能依据秘密计谋拿起报告或诉讼。为了协调社会各主体参与个东谈主信息 治理 ,列国王人在不同进程上赋予了个体与社会组织的报告权或诉讼权 ,以阐发此类主体被譬如为“私东谈主 总稽查长”的作用。[40]举例 ,《个东谈主信息保护法》第 50 条第 2 款和第 69 条分别赋予了个体的个东谈主信息权 利之诉与扰乱个东谈主信息权益导致的侵权之诉 ,第 70 条文章了“东谈主民稽查院、法律规章的滥用者组织和 由国度网信部门细目的组织”不错拿起公益诉讼。[41]《一般数据保护条例》也招供了个东谈主报告与司法诉 讼权 ,况兼在其第 80 条中初次引入了代表性诉讼[42] ,规章“数据主体有权寄予非牟利机构、实体或协会 代表其诈骗”报告和司法送礼的权益。好意思国新近影响庞杂的《 数据秘密保护法案》( American Data Privacy and Protection Act ,ADPPA)也规章 ,个体不错向监管机构拿起报告 ,淌若监管机构或总稽查长 对于个东谈主投诉不选择行动 ,个体还不错径直拿告状讼。[43] 在此类诉讼中 ,秘密计谋往往在其中上演环节 性变装 ,个体与社会组织往往依据秘密计谋对信息处理者张开访问和拿告状讼。[44]
另一方面 ,监管机构、稽查机构的法则行为也高度依赖秘密计谋。当法则机构证据个东谈主举报或相 关踪影进行个东谈主信息法则 ,其切进口往往是秘密计谋。[45] 举例 ,好意思国联邦贸易委员会在昔日几十年里承 担了信息秘密的重要法则功能 ,其在“Facebook 与剑桥分析公司丑闻”等紧要案件中 ,便是从访问企业 的秘密计谋入手 ,一步步访问企业的信息处理是否具有诓骗与不公谈景色。[46] 在欧盟的多少重要案件 中 ,秘密计谋也时常是监管机构的法则踪影与监管对象。举例 ,2019 年 ,法国国度信息摆脱委员会 (The Commission Nationale Intormatique & Libertés ,CNIL)对谷歌处以 5000 万欧元的罚金 ,其道理便是谷歌的秘密计谋不够清醒。[47]
( 四) 调换造就的用具
对普通用户而言 ,秘密计谋中的见告内容还可能具有调换造就功能 ,为用户提供个东谈主信息保护的 相关学问与筹划方式等信息 ,强化用户的个东谈主信息保护意志。
一方面 ,秘密计谋可能成为一种调换用具。在用户翻开或登录网站、下载或安设相关软件时 ,个体 很可能莫得心念念详确浏览秘密计谋;用户可能更想尽快浏览网站、完成相应做事。但在平时 ,也有用户可能想更多地了解秘密计谋与信息处理实践。此时 ,用户就可能抱着学习钻研的魄力贯通秘密计谋 , 秘密计谋就能阐发其见告功能 ,承担与用户进行调换交流的桥梁。而且 ,秘密计谋不仅包括了个东谈主信 息处理的相关作念法 ,还包含筹划性信息、法则性信息等万般信息 ,这成心于个体建立对信息处理者的信 任。举例 ,我国《个东谈主信息保护法》规章秘密计谋中的见告应当包括“个东谈主信息处理者的称呼或者姓名 和筹划方式”“个东谈主诈骗本法例章权益的方式和法子”以及“个东谈主诈骗本法例章权益的方式和法子”等 事项。《一般数据保护条例》,好意思国联邦层面与各州的立法也作出了雷同的规章。这些见告事项等于 为个体提供了一册维权用具书。
另一方面 ,秘密计谋可能增强用户的个东谈主信息保护意志 ,从而迤逦促进个东谈主信息保护。连年来 ,大 量议论指出 ,个东谈主信息保护濒临“大鸿沟小型侵权”的难题 ,只是依靠个体送礼 ,难以对万般大型信息 处理者进行灵验制约。[48] 而集体监管以及公权力相沿的私法送礼要阐发作用 ,就需要公民接济秘密意 识 ,通过个体维权、全球公论监督等方式促进个东谈主信息保护轨制的落地。 咫尺 ,列国如故通过相关轨制 进行股东 ,举例 ,《个东谈主信息保护法》第 11 条文章国度“加强个东谈主信息保护宣宣道育”,《一般数据保护 条例》第 57 条文章了监管机构应当“接济公众意志”。除了这些规章 ,秘密计谋的合理呈现也上演关 键性变装 ,不错让用户在日常生计心仪志到个东谈主信息保护的重要性。天然 ,此类呈现应当是限度的、合 理的 ,淌若基于秘密计谋的见告相当简单 ,以至严重缩短用户体验 ,那么此类呈现就可能变成用户的麻 木心态 ,以至形成逆反情绪。[49]
五、见告原意轨制的重构调教 母狗
从上文分析动身 ,不错对见告原意进行重构。见告原意一朝再行联想 ,就既能幸免见告原意在个体层面的逆境 ,改善其作用;同期 ,这一轨制也能保留以至强化其多种功能。
( 一)见告与原意的限度解绑
当先 ,见告与原意应当进行限度解绑。[50]从个体趣味自治的角度动身 ,见告与原意往往被视为一个 问题的两面 :原意必须先进行见告 ,见告最终是为了获取原意。[51] 但从上文的分析动身 ,会发现二者并 不一定需要深度绑缚 :见告的对象在有的情况下可能对个体发生作用 ,但在更多的情形下 ,其对个体产 生的作用有限[52] , 而对信息处理者里面东谈主员、市集与社会主体、法律实践者 ,其见告反而灵验。既然如 此 ,原意就不应成为秘密计谋的独一或最重要目的 ,而见告也不应以个体当作独一双象。
在原意要求方面 ,应限度浮松其模样要求 ,幸免原意要求的不休“升级加码”。[53] 原意不错有多种不 同建立。举例 ,法律不错将原意等同于昭示原意 ,即要求用户明确进行点击;法律也不错将好多行动视 为默示原意 ,举例 ,将用户浏览或瓦解用户条约的情况下延续使用视为原意。法律还不错进一步强化 原意 ,举例 ,要求信息处理者建立默许不原意的对话框 ,只好用户明确打钩和取舍加入( opt -in) ,此时 才将用户行动视为原意;或者法律不错要求信息处理者对不同类型的个东谈主信息聚积进行分别原意 ,要 求用户在对话框进行多种取舍。在个东谈主信息保护濒临挑战的情形下 ,东谈主们很容易猜测强化原意的治理 决策。但正如本文分析 ,在个体无兴味、无时刻、无专科、信息过载的布景下 ,对原意作过高要求 ,会让 原意流于模样 ,带来上文所列举的万般流弊。[54]
天然 ,幸免原意的升级加码并不虞味着取消原意 ,或者在通盘的情形下王人应当浮松原意的模样要求。当个体所需要原意的信息处理属于较为重要的事项 ,况兼普通个体对于此类事项具有充分贯通 时 ,此时原意不但必要 ,而且还需要通过各式模样对原意的模样作出严格要求。举例 ,当电脑或手机调 取录像头 ,或者当网站获取账户、密码等个东谈主信息 ,此时信息处理者应当获取个体的明确原意。此类明 确原意不但成心于个东谈主信息的自我保护 ,而且有助于信息处理者获取个东谈主信任 ,促进和谐信息关系的 建立。[55]
从列国法律看 ,好意思国在原意方面要求较低。一方面 ,好意思国好多领域并不要求个东谈主原意 ,但包括好意思国 联邦贸易委员会在内的好多机构王人出台了秘密计谋指南 ,企业也基本王人建立了秘密计谋见告。另一方 面 ,就要求原意的情形 ,好意思国在大部分情况下王人选择了取舍退出( opt -out) 要求 ,即秘密计谋的默许选 项是企业不错处理个东谈主信息。[56]举例 ,《加州滥用者秘密法》赋予了个体拒却企业出售其个东谈主信息的权 利 ,但个体要诈骗这一权益 ,应该通过取舍退出的方式拒却。[57] 只好在触及敏锐信息或特定情况 ,好意思国 法才以取舍加入(opt-in)的方式来获取原意。
比拟好意思国 ,欧盟在原意方面的要求较高。《一般数据保护条例》的重述第 32 条以为 :“ 明确的笃信 性行动”包括“通过书面声明(包括通过电子技巧) 或表面声明”,但“千里默、事先勾选的方框”不组成同 意 ,而且“当处理有多个目的时 ,应予以通盘目的的原意”。EDPB 在其 2020 年发布的《对于〈 一般数据 保护条例〉原意的指南》中相识到了这少许 ,指出“原意肯求不应不必要滋扰(unnecessarily disruptive)” 相关服务 ,但仍然以为 ,淌若以“较少扰乱或滋扰的方式”(a less infringing or disturbing modus)会引起 “暧昧性”,则仍会“中断使用体验”。[58] 欧盟的这一态度使得其网站的原意建立变得复杂而繁琐 ,对于保 护用户与滥用者的讲究体验并不友好。
咫尺 ,《个东谈主信息保护法》对于个东谈主原意的规章仍然较为原则 ,好多轨制仍然有待于实践的进一步 探索。《个东谈主信息保护法》第 14 条文章了“自发、明确作出”,第 23 条文章向第三方提供个东谈主信息应当 获取“单独原意”,第 29 条文章处理敏锐信息应当获取“单独原意”或“ 书面原意”。这些规章 ,一方面 对原意作出原则性规章 ,对特殊情况作强化要求。另一方面 ,这一立法模式并未对原意的具体要求作 出稀疏明确的规章 ,为信息处理者在具体实践中建构原意标准留出了一定的空间。我国不错在参考西洋教训的同期 ,在实践中探索更安妥具体场景和用户合理期待的原意机制。[59]
( 二)万般分层的调换机制
在见告与原意限度分离的念念路下 ,见告不但不可概略 ,还应进一步强化和完善。由于见告的对象 既包括普通个体 ,也包括企业合规东谈主员、社会主体、司法与法则东谈主员 ,见告应当选择分层框架 ,在爽朗 性、清醒性、具体性等方面作出讲究安排 ,以竣事与多主体的灵验交流调换和骨子性参与。[60]
在呈现警示度方面 ,见告不错选择集结、弹窗、警示等不同进程的呈现模样。底部集结的方式时常 为好多网站所聘请 ,以看护页面的爽朗。举例 ,谷歌、百度、必应、搜狗等搜索引擎 ,这类网站往往在其 界面的边角处建立秘密计谋的集结 ,不太容易为用户所平定。相较之下 ,一般性的弹窗则不错引升引 户的关心 ,而警示性弹窗则不错通过红黄等花样 ,更进一步引升引户警悟。不同警示度的见告模样各 有优劣。警示度较低的见告往往难以引升引户平定 ,但也不会影响用户体验;警示度高的见告则刚好 相背。为此 ,法律对于呈现度的要求不错兼顾二者 ,在具体场景中对相关建立进行判断与优化。举例 , 对于搜索引擎 ,大部分情形下搜索引擎所聚积的个东谈主信息往往是匿名性或去记号化的搜索信息[61] , 因 此 ,应当不错允许网站建立集结性秘密计谋 ,但其集结称呼应当不错在搜索页面中径直找到。
在呈现结构方面 ,秘密计谋不错选择分层结构[62] ,选择万般复混居批评释书的张开模式。上文指 出 ,秘密计谋的爽朗性与详确性、专科性与平白性要求各有优劣 ,为了最大限制阐发上风 ,幸免间隙 ,可 以要求或倡导企业选择双层或多层的秘密计谋。在径直和用户交互的界面或第一层集结 ,秘密计谋应 爽朗平白 ,为用户提供一 目了然的信息目次 ,幸免过于复杂和专科化的表述。第一层集结是信息处理 者和普通用户对话的首要窗口 ,此类建立成心于普通用户获取更多灵验信息。但到了第二层或第三层 集结 ,此时的读者可能是企业、社会与法则部门的专科东谈主士 ,或者对秘密计谋抱有更具专科性期待的读 者 ,此时的秘密计谋应当张开得更为全面 , 以兼顾专科性与平白性 ,为这类读者提供更详确专科的指引。
( 三) 秘密计谋的合规内嵌
如同上文所述 ,秘密计谋不仅写给外部东谈主士看 ,其对里面合规也具有重要道理。为了阐发秘密政 策的这一功能 ,秘密计谋应当成为信息处理者里面的合规指引 ,内嵌到信息处理的不同部门 ,成为居品联想的一部分。[63]
秘密计谋应刻下置和融入信息处理者的里面 ,在企业里面交流、诱骗、探讨后细目。正如有学者指 出 ,“草拟秘密声明为公司提供了一个盘货和评估里面实践的契机 ,确保这些实践是最新的、必要的和 妥贴的。它还不错当作一个决策平台 ,证据与品牌相关的沟通以及法律、计谋或市集实践的发展 ,决定 是否延续进行数据实践或部署本领”。[64]斯怀尔(Peter Swire)训诲曾经经进行议论 ,发现好意思国格雷姆-里 奇- 比利雷(Gramm-Leach-Bliley Act ,GLBA) 法案成效后 ,许多金融机构第一次在里面进行了平庸的 交流 ,以“了解数据在组织的不同部门之间以及与第三方之间如何分享和不分享”。[65] 在企业里面合规 前置方面 ,应当承认 , 咫尺我国在这方面还有较大不及。我国法务东谈主员在企业中的地位相对较低 ,其协 调调换的本事也相对较弱。将来我国应在这方面加冒昧度 ,同期 ,政府在法则过程中 ,也应加大对企业 里面合规的法则查验。[66]
秘密计谋还应与居品联想结合 ,成为秘密联想或个东谈主数据保护联想的一部分。[67]秘密联想( privacy by design)的办法为加拿大渥太华信息与秘密委员会前主席安 ·卡沃基安( Ann Cavoukian) 冷漠。卡 沃基安以为 ,居品联想往往对于个东谈主信息保护具相环节作用 ,当企业从居品起源对信息聚积与处理的 方式进行把关 ,不错比个东谈主更灵验地保护秘密 ,同期竣事个东谈主与企业的双赢。[68] 秘密联想的办法佛过发 展 ,冉冉成为个东谈主信息保衬领域的共鸣。举例 ,在《一般数据保护条例》接纳了“数据保护联想和默许 数据保护”(Data Protection by Design and by Dafault ,DPbDD)的原则 ,第 25 条文章 ,数据处理者应当通 过联想和默许建立来灵验竣事数据主体的权益妥协脱。《个东谈主信息保护法》诚然未径直规章秘密联想 原则 ,但也规章了“选择相应的加密、去记号化等安全本领模范”的一些雷同规章。[69] 在秘密计谋的形成 与撰写过程中 ,应将秘密计谋视为与前端居品联想密切调换诱骗后的产物 ,而非只是是居品成型后的 解释评释。[70]
( 四) 秘密计谋的风险与模块化联想
秘密计谋还应基于风险 ,对相关风险点进行模块化联想。举例 ,针对信息处理者是否进行去标示 化操作 ,其聚积的信息是否与第三方分享 ,企业选择何种模范认真个东谈主信息表露和参加暗盘 ,政府法则 部门与市集中的第三方机构不错不休发现、调整与列明信息市集中的风险点 ,指挥信息处理者对其进行驻扎 ,并在秘密计谋中对这些风险点进行模块化的联想。[71]
选择基于风险的模块化走漏 ,成心于司法诉讼与行政法则。上文提到 ,秘密计谋的一大功能是可 以当作社会监督者、行政法则者的依据。为了使这种依据约略灵验阐发作用 ,秘密计谋就应当针对个 东谈主信息保护中的推行风险进行推崇 ,形成模块化的清单。一朝形成此类清单 ,信息处理者就能与监督 者、法则者形成灵验的风险交流与风险监管 ,而非对秘密计谋中的每个细节王人进行无永逝的查验。[72]此 外 ,此类清单一朝模块化 ,稀疏是形成机器可读的模块 ,监督者与法则者就能对秘密计谋进行批量化监 督 ,竣事监管的智能化与高效化。 咫尺 ,包括我国在内的寰宇列国王人对秘密计谋的合规要求作出了某 些规章 ,或者发布了某些指引 ,但这些规章或指引的探索仍然较为初步 ,需要将来进一步围绕风险点进 行动态调整与合理联想。
选择基于风险的模块化走漏 ,也成心于个东谈主信息保护市集机制的阐发。如上所述 ,个东谈主信息保护 存在信息不合称的“柠檬市集”难题。为了布置这一难题 ,学者和群众们冷漠过不少建议 ,举例 ,保罗·欧姆(Paul Ohm)训诲主张 ,应模仿商主张理念 ,将互联网企业的秘密计谋商标化 ,供用户直不雅取舍 , 以此治理秘密计谋的信息不合称与市集无序问题。[73]还有学者主张 ,秘密计谋应师法食物中的要素标 签(label) ,要求信息处理者按标签进行走漏。[74]本文所提倡的建议与这些建议有一定相似之处 ,当秘密 计谋进行基于风险的模块化走漏 ,并辅之以上文提到的个东谈主信息保护认证等机制 ,秘密计谋不错再行 激活个东谈主信息保护的市集声誉机制。[75]
六、结语
基于秘密计谋的见告原意如故成为个东谈主信息保护法的一般规则[76] , 也被视为信息主体不可转让的 中枢利益。[77]本文从比较法与法律道理动身 ,对这一轨制进行重念念 ,不错发现其性质与轨制王人应当进行 重构。
就性质而言 ,见告原意轨制的性质具有多维特征 ,在不同国度和地区呈现的面庞不同。在好意思国 ,告 知原意在聘请点击条约的模样下可能被视为合同 ,但在浏览条约等模样下可能不被认定。但即使被认 定为合同 ,个东谈主也可能因为难过毁伤而无法告状 ,秘密计谋在更多的情形下具有居品声明的特征 ,其实 施依赖于法则。在欧盟 ,个东谈主信息保护是公法基本权益在私东谈主领域的辐照 ,见告原意更接近于基本权 利的合规要求。但即使是欧盟 ,秘密计谋也具有一定的滥用者合同特征。我国的个东谈主信息保护与欧盟 存在全体相似性 ,但为市集化机制预留了更大空间 ,见告原意应被视为一种兼具滥用者合同、声明、基本权益合规的多维轨制。[78]
就实践恶果而言 ,淌若仅选择二维视角 ,将见告原意轨制视为合同或趣味自治 ,则这一轨制将濒临 重重逆境。信息处理者将无法在即时交互场景下让个东谈主有兴味、时刻和专科本事贯通秘密计谋 ,各式 篡改模范也只会加大信息过载与决策疲钝的逆境。但淌若拓宽维度 ,从多维视角看待基于秘密计谋的 见告原意 ,就会发现秘密计谋的多重功能 ,秘密计谋不错成为企业自我规制的规矩、市集声誉机制的媒 介、司法诉讼与行政法则的依据、调换讯任与秘密造就的用具。[79]
基于秘密计谋的见告原意轨制应进行轨制重构。当先 ,见告与原意应限度解绑 ,在原意方面限度 浮松 ,幸免原意要求的不休“升级加码”,但在见告方面则应进一步强化与优化。其次 ,秘密计谋在警 示度方面不错选择集结、弹窗、警示等不同进程的呈现模样;在结构方面不错选择分层框架 ,以竣事隐 私计谋与多主体的灵验调换。再次 ,秘密计谋应成为信息处理者里面的合规指引 , 内嵌到信息处理的 不同部门 ,成为居品联想的一部分。终末 ,秘密计谋应选择基于风险的模块化走漏 ,助推司法诉讼、行 政法则与市集声誉机制的灵验运行。
[1] 其他条件的规章包括寄予处理个东谈主信息( 第 21 条) ;升沉个东谈主信息( 第 22 条) ; 向其他处理者提供个东谈主信息( 第 23 条) ;公开个东谈主 信息( 第 25 条) ;全球场合聚积个东谈主信息( 第 26 条) ;处理公开个东谈主信息( 第 27 条) ;处理敏锐个东谈主信息( 第 29 条) ;处理未成年东谈主个东谈主信息 ( 第 31 条) ; 向境外提供个东谈主信息( 第 39 条) 。
[2] 《 中华东谈主民共和国民法典》第 1035 条。
[3] 王利明、丁晓东 :《论〈个东谈主信息保护法〉的特点、亮点与适用》,载《 法学家》2021 年第 6 期 ,第 1 - 16 页 ;Anupam Chander , Margot E. Kaminski & William McGeveran , Catalyzing Privacy Law , 105 Minnesota Law Review 1733 (2021) .
[4] 高富平 :《 原意≠授权—个东谈主信息处理的中枢问题辨析》,载《探索与争鸣》2021 年第 4 期 ,第 87 - 94 页 ;程啸 :《论个东谈主信息处理中的个东谈主原意》,载《环球法律驳斥》2021 年第 6 期 ,第 40-55 页。
[5] 周汉华 :《个东谈主信息保护的法律定位》,载《法商议论》2022 年第 3 期 ,第 55 页 ;Elettra Bietti , Consent as a Free Pass : Platform Power and the Limits of the Informational Turn , 40 Pace Law Review 307 (2020) .
[6] 张守文 :《信息权保护的信息法旅途》,载《东方法学》2022 年第 4 期 ,第 50-62 页 ;龙卫球 :《〈个东谈主信息保护法〉的基本法定位与保护功能—基于新法体系形成止境张开的分析》,载《当代法学》2021年第 5 期 ,第 84-104 页。
[7] Allyson W. Haynes, Online Privacy Policies: Contracting Away Control over Personal Information?, 111 Penn State International Law Review587, 594 (2007).
[8] 最新的实证议论 ,参见 Gregory Klass, Empiricism and Privacy Policies in the Restatement of Consumer Contract Law, 36 Yale Journal on Regulation 45-115 (2019). 更早之前 ,Oren Bar-Gill 训诲的议论得出了相背论断 ,参见 Oren Bar-Gill et al. , Searchingfor the Common Law: The Quantitative Approach of the Restatement of Consumer Contracts, 84 The University of Chicago Law Review 7 (2017).
[9] In re Nw. Airlines Privacy Litig. , 2004 WL 1278459, at ∗5 (D. Minn. June 6, 2004) ; In re Nw. Airlines Privacy Litig. , 2004 WL 1278459 (D. Minn. June 6, 2004).
[10] 379 F. Supp. 2d 299 (E. D. N. Y. 2005) ; 370 F. Supp. 2d 552, 554 (N. D. Tex. 2005).
[11] Christopher Kuner, European Data Protection Law: Corporate Compliance and Regulation, Oxford: Oxford University Press, 2d ed. , 2007,p. 242.
[12] Stephen Y. Chow, A Snapshot of Online Contracting Two Decades After ProCD v. Zeidenberg, 73 Business Lawyer 267 (2017).
[13] Cullinane v. Uber Techs. , Inc. , 893 F. 3d. 53, 62 (1st Cir. 2018) ; Meyer v. Uber Techs. , Inc. , 868 F. 3d 66, 75 (2d Cir. 2017).
[14] Paul M. Schwartz , Privacy Inalienability and the Regulation of Spyware , 20 Berkeley Technology Law Journal 1269 (2005)
[15] 张新宝 :《个东谈主信息聚积 :见告原意原则适用的限制》,载《比较法议论》2019 年第 6 期 ,第 1- 20 页 ;刘权 :《论个东谈主信息处理的正当、 高洁、必要原则》,载《法学家》2021 年第 5 期 ,第 1- 15 页 ;武腾 :《最小必要原则在平台处理个东谈主信息实践中的适用》,载《法学议论》2021年第6 期 ,第 71-89 页。
[16] Christopher Kuner , European Data Protection Law : Corporate Compliance and Regulation , Oxford University Press , 2007 , p. 242.
[17] Paul M. Schwartz & Karl-Nikolaus Peifer , Transatlantic Data Privacy Law , 106 The Georgetown Law Journal 115 , 138- 146 (2017) .
[18] 《 一般数据保护条例》第 82 条文章 :“任何因为违背本条例而受到物资或非物资性伤害的东谈主王人有权从收敛者或数据者那边获取对毁伤的抵偿。”
[19] Jane K. Winn & Mark Webber , The Impact of EU Unfair Contract Terms Law on U. S. Business- to- Consumer Internet Merchants , 62 Business Lawyer 209 , 217 (2006)
[20] 王锡锌 :《个东谈主信息国度保护义务及张开》,载《中国法学》2021 年第 1 期 ,第 145- 166 页;彭錞 :《宪法视角下的个东谈主信息保护 :性质 厘清、强度设定与机制诱骗》,载《法治当代化议论》2022 年第 4 期 ,第 50-64 页。
[21] 韩旭至 :《个东谈主信息保护中见告原意的逆境与前途—兼论〈个东谈主信息保护法( 草案)〉相关条件》,载《经贸法律驳斥》2021 年第 1 期 ,第 47-59 页。
[22] 张守文 :《滥用者信息权的法律拓展与综合保护》,载《法学》2021年第 12 期 ,第 149- 161 页。
[23] 丁晓东 :《〈个东谈主信息保护法〉的比较法重念念 :中国谈路与解释道理》,载《华东政法大学学报》2022 年第 2 期 ,第 73-86 页。
[24] Lorrie Faith Cranor , Necessary But Not Suficient : Standardized Mechanismsfor Privacy Notice and Choice , 10 Journal on Telecommunications and High Technology Law 273 , 274 (2012) .
[25] 智能算法的问题又大大加重了这一问题 ,万方 :《算法见告义务在知情权体系中的适用》,载《政法论坛》2021年第 6 期 ,第 84-95 页。
[26] Patricia A. Norberg , Daniel R. Horne & David A. Horne , The Privacy Paradox : Personal Information Disclosure Intentions Versus Behaviors , 41 The Journal of Consumer Affairs 100 , 100(2007) . 对秘密悖论的批判 ,Daniel J. Solove , The Myth of the Privacy Paradox , 89 George Washington Law Review 1 (2021) ,索洛夫训诲的批判并不影响本文的论证 , 因为其批判也一样承认用户很难在短时刻内灵验获取信息。 Daniel J. Solove , Introduction : Privacy Self-Management and the Consent Dilemma , 126 Harvard Law Reivew 1880 , 1883 (2013) .
[27] Neil Richards & Woodrow Hartzog , The Pathologies of Digital Consent , 96 Washington University Law Review 1461 , 1463 (2019);申琦、邱 艺 :《翻开秘密悖论背后的贯通黑箱》,载《西南政法大学学报》2021年第 5 期 ,第 84-95 页。
[28] Omri Ben-Shahar & Carl Schneider , The Failure of Mandated Disclosure , 159 University of Pennsylvania Law Review 647 (2011) .
[29] Neil Richards & Woodrow Hartzog , The Pathologies of Digital Consent , 96 Washington University Law Review 1461 , 1463 (2019) .
[30] Jamie Luguri & Lior Strahilevitz , Shining a Light on Dark Patterns , 13 Journal of Legal Analysis 43 , 44 (2021) .
[31] Jack M. Balkin , The Fiduciary Model of Privacy , 134 Harvard Law Review Forum 11 , 11 (2020) ; Tal Zarsky , Privacy and Manipulation in the Digital Age , 20 Theoretical Inquiries in Law 157 (2019) ; 冯健鹏 :《个东谈主信息保护轨制中见告原意原则的法理阐释与范例建构》,载《法治研 究》2022 年第 3 期 ,第 31-42 页。
[32] Bert-Jaap Koops , The Concept of Function Creep , 13 Law , Innovation and Technology 29 (2021) .
[33] 这一问题在传统格局合同中就存在 ,参见 Yannis Bakos et al. , Does Anyone Read the Fine Print? Consumer Attention to Standard-Form Contracts , 43 The Journal of Legal Studies 1 , 22 (2014) .
[34] 对于“取舍加入”与“取舍退出”的利害分析 ,参见 Hans Degryse & Jan Bouckaert , Opt in Versus Opt Out : A Free-Entry Analysis of Privacy Policies , https://ssrn. com/abstract= 939511(Last visited on June 20 , 2022) .
[35] 高秦伟 :《个东谈主信息保护中的企业秘密计谋及政府规制》,载《法商议论》2019 年第 2 期 ,第 19 页。
[36] 个东谈主信息保护轨制中的企业自我规制 ,参见 Dennis D. Hirsch , The Law and Policy of Online Privacy : Regulation Self-Regulation , or Co -Regulation? , 34 Seattle University Law Review 439 , 458 – 459 (2011) .
[37] William McGeveran , Friending the Privacy Regulators , 58 Arizona Law Review 959 (2016) .
[38] Lauren Henry Scholz , Fiduciary Boilerplate : Locating Fiduciary Relationships in Information Age Consumer Transactions , 46 Journal of Corporation Law 143 , 144- 145 (2020) ; 潘静 :《个东谈主信息的声誉保护机制》,载《当代法学》2021 年第 2 期 ,第 155- 170 页。
[39] Privacy Alliance , Online Privacy Alliance , http ://www. privacyalliance. org/resources. 这一机构当今如故不再活跃 ,但诸如 TRUSTe 和 ePrivacyseal 等雷同机构如故更为训练。
天天天国产视频在线观看[40] Danielle Keats Citron & Daniel J. Solove , Privacy Harm , 102 Boston University Law Review 793 , 810-833 (2022) .
[41] 相关轨制建构 ,参见余凌云、郑志行 :《个东谈主信息保护行政公益诉讼的范例建构》,载《东谈主民稽查》2022 年第 5 期 ,第 31-36 页;蒋红珍 :《个东谈主信息保护的行政公益诉讼》,载《上海交通大学学报(形而上学社会科学版)》2022 年第 5 期 ,第 28-38 页。
[42] Michael L. Rustad & Thomas H. Koenig , Towards a Global Data Privacy Standard , 71 Florida Law Review 365 , 426-428 (2019) .
[43] American Data Privacy and Protection Act , TITLE IV , Sec. 403.
[44] 最为著明代表性诉讼当属奥地利公民马克西米利安 ·施雷姆斯(Maximillian Schrems)所为 ,他拿起了包括推翻好意思欧数据传输的安全港条约、秘密盾条约的相关案件 ,对欧盟乃至全球个东谈主数据保护王人产生了重要影响。
[45] Daniel J. Solove and Woodrow Hartzog , The FTC and the New Common Law of Privacy , 114 Columbia Law Review 583 , 585-686 (2014) .
[46] Facebook , Inc. , F. T. C. No. 1823109 (July 24 , 2019) .
[47] The Sanctions Issued by the CNIL , https ://www. cnil. fr/en/sanctions-issued-cnil (Last visited on June 20 , 2022) .
[48] 丁晓东 :《从个体送礼到全球治理 :论侵害个东谈主信息的司法布置》,载《国度稽查官学院学报》2022 年第 5 期 ,第 103- 120 页;Peter C. Ormerod , A Private Enforcement Remedy for Information Misuse , 60 Boston College Law Review 1893 (2019) .
[49] 吕炳斌 :《个东谈主信息保护的“原意”逆境止境前途》,载《法商议论》2021年第 2 期 ,第 87- 101 页;马新彦、张传才 :《知情原意规则的 现实逆境与对策检视》,载《上海政法学院学报(法治论丛)》2021年第 5 期 ,第 100 页。
[50] 连年来有部分文件平定到这少许 ,参见于海防 :《个东谈主信息处理原意的性质与灵验条件》,载《法学》2022 年第 8 期 ,第 99 - 112 页 ; Daniel Susser , Notice After Notice-and-Consent : Why Privacy Disclosures Are Valuable Even If Consent Frameworks Aren ’t , 9 Journal of Information Policy (2019) .
[51] 这一问题的背后是学界如故联想好多的个东谈主信息自决权的逆境 ,参见杨芳 :《个东谈主信息自决权表面止境搜检 :兼论个东谈主信息保护法 之保护客体》,载《比较法议论》2015 年第 6 期 ,第 22-33 页。
[52] 王琳琳 :《个东谈主信息处理“原意”行动解析及规则完善》,载《南京社会科学》2022 年第 2 期 ,第 80-91 页。
[53] 林洹民 :《个东谈主信息保护中知情原意原则的逆境与前途》,载《北京航空航天大学学报》( 社会科学版)》2018 年第 3 期 ,第 13-21 页 ; 翟相娟 :《个东谈主信息保护立法中“原意规则”之检视》,载《科技与法律》2019 年第 3 期 ,第 58-65 页。
[54] 这一联想也更安妥个东谈主信息保护的基础法理 ,个东谈主信息被保护权具有用具性特征 ,并非完全性权益 ,参见张新宝 :《论个东谈主信息权益 的构造》,载《中外法学》2021 年第 5 期 ,第 1144- 1166 页。
[55] 连年来 ,中外体裁者王人入手小心信任在个东谈主信息保护中的作用 ,参见 Claudia E. Haupt , Platforms as Trustees : Information Fiduciaries and the Value of Analogy , 134 Harvard Law Review Forum 34 , 35 (2020);姚佳 :《知情原意原则抑或信托授权原则—兼论数字时间的信用重 建》,载《暨南学报(形而上学社会科学版)》2020 年第 2 期 ,第 48-55 页。
[56] 这一作念法也招致了不少学者的批判 ,Edward J. Janger & Paul M. Schwartz , The Gramm-Leach-Bliley Act , Information Privacy , and the Limits of Default Rules , 86 Minnesota Law Review 1219 , 1241 (2002) .
[57] California Civil Code , section 1798. 115.
[58] EDPB , Guidelines 05/2020 on consent under Regulation 2016/679 , para 82.
[59] 姜野:《由静态到动态:东谈主脸识别信息保护中的“原意”重构》,载《河北法学》2022 年第 8 期 ,第 126- 144 页。
[60] 冯健鹏:《个东谈主信息保护轨制中见告原意原则的法理阐释与范例建构》,载《法治议论》2022 年第 3 期 ,第 31-42 页。
[61] 个东谈主信息的匿名性或去记号化是一个极为复杂的问题 ,参见丁晓东:《论个东谈主信息办法的不细目性止境法律布置》,载《比较法议论》2022 年第 5 期 ,第 46-60 页;赵精武:《用户标签的法律性质与治理逻辑》,载《当代法学》2022 年第 6 期 ,第 102- 115 页。
[62] 郑佳宁:《知情原意原则在信息采蚁合的适用与规则构建》,载《东方法学》2020 年第 2 期 ,第 198-208 页。
[63] 王苑 :《中国未成年东谈主聚积个东谈主信息保护的立法进路—对“监护东谈主或家长原意”机制的反念念》,载《西安交通大学学报( 社会科学 版)》2019 年第 6 期 ,第 133- 139 页;李芊 :《从个东谈主收敛到居品规制—论个东谈主信息保护模式的更动》,载《 中国应用法学》2021 年第 1 期 ,第 56-78 页;张继红 :《经联想的个东谈主信息保护机制议论》,载《法律科学》2022 年第 3 期 ,第 31-43 页。
[64] Paula J. Bruening & Mary J. Culnan , 17 Through a Glass Darkly : From Privacy Notices to Efective Transparency , 17 North Carolina Journal of Law and Technology 515 , 568 (2016) .
[65] Peter Swire , The Surprising Virtues of the New Financial Privacy Law , 86 Minnesota Law Review 1263 , 1316 (2002) .
[66] 对合规问题的公司法分析 ,参见赵万一:《合规轨制的公司法联想止境竣事旅途》,载《 中国法学》2020 年第 2 期 ,第 69- 88 页;李永 : 《数据合规的模式变革—从权益东谈主“知情原意”到使用者“预诡计法”》,载《西南政法大学学报》2022 年第 5 期 ,第 113- 127 页。
[67] 有学者主张 ,应以居品责任法的念念路保护个东谈主信息 ,参见 Danielle Keats Citron , Reservoirs of Danger : The Evolution of Public and Private Law at the Dawn of the Information Age , 80 Southern California Law Review 241 , 244 (2007) ; James Grimmelmann , Privacy as Product Safety , 19 Widener Law Journal 793 , 793-827 (2010) .
[68] Ira Rubinstein , Regulating Privacy by Design , 26 Berkeley Technology Law Journal 1409 (2012) .
[69] 《个东谈主信息保护法》,第 51条。
[70] 对于市集是否不错灵验联想居品保护个东谈主信息 ,有不同不雅点 ,但王人认同居品联想的重要性 。参见 Woodrow Hartzog , Privacy’s Blueprint : The Battle to Control the Design of New Technologies , Cambridge , Mass : Harvard University Press , 2018 , pp. 1 - 10; Kenneth A. Bamberger & Deirdre K. Mulligan , Privacy on the Books and on the Ground , 63 Stanford Law Review 247 , p. 247 (2011) .
[71] 个东谈主信息保护的风险维度 ,参见梅夏英 :《社会风险收敛抑或个东谈主权益保护—贯通个东谈主信息保护法的两个维度》,载《环球法律评 论》2022 年第 1 期 ,第 5-20 页。
[72] 对于个东谈主信息行政罚金的探讨 ,参见孙莹 :《作歹处理个东谈主信息高额罚金轨制的贯通与适用》,载《华东政法大学学报》2022 年第 3 期 ,第 22-34 页。
[73] Paul Ohm , Branding Privacy , 97 Minnesota Law Review 907(2013) .
[74] Corey A Ciocchetti , The Future of Privacy Policies : A Privacy Nutrition Label Filled with Fair Information Practices , 26 The John Marshall Journal of Information Technology & Privacy Law 1 , 47 (2008) .
[75] Florencia Marotta-Wurgler , Self-Regulation and Competition in Privacy Policies , 45 Journal of Legal Studies S13 (2016) .
[76] 衣俊霖 :《论个东谈主信息保护中知情原意的界限— 以规则与原则的分辨为切入点》,载《东方法学》2022 年第 3 期 ,第 55-71 页。
[77] 王洪亮 :《〈民法典〉与信息社会— 以个东谈主信息为例》,载《政法论丛》2020 年第 4 期 ,第 3 页。
[78] 当作规制用具的个东谈主信息权益 ,参见王锡锌:《个东谈主信息权益的三层构造及保护机制》,载《当代法学》2021年第 5 期 ,第 105- 123 页。
[79] 当作调换讯任机制的信息走漏 ,参见丁晓东:《基于信任的自动化决策:算法解释权的道理反念念与轨制重构》调教 母狗,载《 中国法学》2022 年 第 1 期 ,第 99- 118 页。