知情同意作为个人数据保护规范中的“帝王条款”,蕴含着个人自决的精神内核。在数据主体与数据控制者的不对等关系中,同意是最好的制约性权利。面对当前同意规则在实践中遭遇的困境,我们应当秉持革新而非革除的基本立场,通过规则优化激活其应有价值,这也有助于增强公众对自动驾驶技术的信心。
当下对知情同意困境的分析多集中于同意作出的有效性,却相对忽视了知情这一有效同意的前提问题。破解知情困境因此成为革新的首要路径。
在告知内容上,《个人信息保护法》第17条第1款、第30条及《汽车数据安全管理若干规定(试行)》第7条要求数据控制者告知个人数据处理种类、具体收集情境及停止收集的方式和途径,处理目的、用途、方式,以及数据保存地点与期限等事项。处理敏感个人数据的,还应当告知处理的必要性以及对个人权益的影响。但这些内容的涵盖范围还较为狭窄,很多数据处理过程中的关键信息并未得到强调,例如数据控制者的身份、数据主体享有撤回同意、选择退出的权利,以及是否会用于自动化决策等。有必要对此予以完善。当然,也要警惕走向另一极端,认为告知事项越多越好。过度堆砌专业术语反而会加剧用户的理解负担,导致同意疲劳。数据控制者应当秉持诚信原则,针对不同告知对象,差异化呈现核心事项,务求具体、清晰,且不遗漏可能实质影响个人同意与否的重要内容。
在告知形式上,前述规定要求数据控制者采取用户手册、车载显示面板等显著方式,以清晰易懂的语言真实、准确、完整地对所需告知的事项进行充分说明。考虑到自动驾驶汽车的隐私政策专业性强,数据控制者应当以一般人的认知水平为标准拟定文本,尽量避免冗长晦涩的表述。对于关键信息,应采取标注提醒或让用户摘抄等方式强化认知。对于专业术语,应提供弹窗、超链接等详细解释服务,强化告知的有效性。此外,可以考虑提炼简化版的隐私政策,与完整版一并展示给用户。但应注意,简化版不能单独作为履行告知义务的有效文件,仅是出于便利用户快速抓取核心信息的目的而出具。
另外,个人数据的处理利用是一个动态持续的过程,数据主体难以在事前就清晰准确地了解所有潜在风险。为此,应当建立长效信息披露机制,推行动态同意模式。数据控制者应当在个人数据收集、转换、存储、公开、使用等各阶段持续披露信息,通过即时提示的方式告知变更事项,并支持用户根据情境变化实时调整授权。在这种持续互动下,用户可以保留根据场景与风险变化随时修正、撤回同意或选择退出的权利。尽管《个人信息保护法》已对前述构想作了初步规定,但自动驾驶汽车场景中的配套规范仍有待完善。除此之外,数据控制者还应当构建起一个便利的、用户友好型的交流平台,以便为持续有效的信息披露和动态同意提供方便易行的技术通道。
自动驾驶汽车牵涉的数据主体多样,数据类型复杂,且具有即时性。为适应这些特征,同意规则的革新应当保有足够的弹性与包容度,以应对复杂场景中的多元需求。这也是基于场景一致性理论的必然要求,因为不同场景中个人数据利用与保护的平衡点各不相同,要在多大程度上适用同意规则以规制或鼓励数据处理行为,取决于所处的具体场景。结合《个人信息保护法》第13条的规定,可以构建以个人数据分级为基础、以其他合法性基础为例外、以不同数据主体偏好为补充的三阶层适用规则。
1.第一阶层:基于个人数据分级的基础规则
关于自动驾驶汽车个人数据的分级,尽管中央尚未出台正式的法律文件,地方和行业界却已作出不少尝试。综合《北京市智能网联汽车政策先行区数据分类分级管理细则(试行)》、行业标准《车联网信息服务 用户个人信息保护要求》(YD/T 3746—2020)及多个车企参编的自动驾驶汽车数据分类分级白皮书或指南等文件,应当根据个人数据泄露或滥用后对国家安全、公共利益、组织合法权益、个人人格尊严、人身及财产等方面的影响程度进行敏感性分级,具体划分为4个级别(见附表),并采用差异化同意规则。
核心级数据(4级)直接关系国家安全和社会公共利益,且对实现相关公共目的具有决定性作用。对此类数据的处理无需取得数据主体同意。例如,包含人脸信息、车牌信息等车外视频和图像数据,涉及车辆防碰撞(如碰撞预警、紧急刹车预警、车辆失控预警等)或交通应急信息发布中的相关数据等,都与实现公共交通的基本功能、在紧急情况下保护数据主体和其他公民的生命健康、财产安全密不可分。若仍将同意作为处理这类数据的前置性规则,不仅会增加公共管理成本,还可能因数据实时交互的延迟而危及交通安全。此时,数据处理行为的合法性基础应当为《个人信息保护法》第13条第1款第(三)项规定的“为履行法定职责或者法定义务所必需”、第(四)项规定的“紧急情况下为保护自然人的生命健康和财产安全所必需”。或者通过引入第(七)项“法律、行政法规规定的其他情形”,经由国家统一立法予以授权,其正当性源于数据主体的有限理性和风险的社会性,这意味着国家可以从公共利益的角度对法益保护施加具体标准,在一定程度上进行干预。不过,核心级数据的处理须严格贯彻目的限制原则,且豁免同意不等同于豁免告知义务,数据控制者仍应及时、有效地履行告知义务。
敏感级数据(3级)一旦泄露或者滥用,可能导致车主、驾驶人、乘车人、车外人员等数据主体的人身、财产安全受到严重或特别严重危害,因此适用强同意保护规则。一般而言,这类数据关涉到数据主体不愿为他人知晓的私密信息,在处理时要求其自愿、知情且明确,形式上须取得书面、单独的明示同意。
重要级数据(2级)一旦泄露或者滥用,可能会给车主、驾驶人、乘车人、车外人员等数据主体的合法权益带来负面影响,以及可能危害数据控制者在业务发展、技术进步、经济收入等方面的利益,应当适用次强同意保护规则。次强同意的实质与强同意相同,但在形式要件上仅要求概括的明示同意,是否需要取得书面同意可以结合处理目的、处理方式、保护措施等因素综合确定。
一般级数据(1级)泄露或者滥用后不会对个人和组织的合法权益、社会公共利益及国家安全造成不良影响,可以适用弱同意保护规则,即基于数据主体的默示同意进行处理。弱同意在我国实践中并不鲜见。指导性国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012)第5.2.3条明确规定,个人数据主体的同意包括明示同意与默示同意,收集个人一般数据时,允许只获取默示同意。在司法实践中,也早有案例认可默示同意可以成为隐私权侵害的豁免理由。弱同意的规范结构正是建立在场景一致性理论的基础之上,要求在具体场景中结合数据处理目的、保护义务履行、风险评估等进行合理性判断,检验该数据处理行为是否正当、必要、合比例。
2.第二阶层:基于其他合法性基础的例外规则
第二阶层规则处理数据分级同意规则的例外情形,是《个人信息保护法》第13条中两项“无需取得个人同意”规定在自动驾驶汽车场景中的具体适用。质言之,即便数据属于第一阶层中的敏感级而要求书面、单独的明示同意,但只要符合该阶层中的如下两种例外情形之一者,即具有合法性基础,从而可以直接处理该个人数据。
第一,在未来自动驾驶汽车普遍投入运行之后,在第三方运营模式中,约车服务或者订阅服务可能会成为常态化的商业形态。由此,《个人信息保护法》第13条第1款第(二)项规定的“为订立、履行个人作为一方当事人的合同所必需”可能成为日后常被援用的合法性基础。不过,相比于知情同意,“履行合同所必需”只是立法者考虑到经济社会生活的复杂性及个人数据处理的不同情况所作的例外规定,其须受到目的限制原则的约束,例如数据处理者不得据此进行个性化营销。只有在为履行基于有效合同所生义务,且纯粹服务于数据主体合同利益的情形中,才能适用这一规则,例如增强行车安全、实现自动驾驶的功能等,且处理行为仍须符合比例原则。
第二,未来自动驾驶汽车相关立法的完善必然会强化数据控制者在数据保护方面的义务。这是因为,数据安全是自动驾驶汽车合格的基本条件,是其作为商品获得消费者认可的前提;而个人的有限理性与风险的社会性均要求政府干预数据治理,数据控制者作为具备技术能力的主体,在数据安全、隐私保护方面应尽主体责任,积极回应有关部门的监管要求。这意味着,尽管当前尚不存在,但从长远来看,《个人信息保护法》第13条第1款第(三)项规定的“为履行法定职责或者法定义务所必需”可能成为重要的合法性基础。不过,该合法性基础的产生应当通过立法来明确,并须特别考虑比例原则和目的限制原则的要求。
3.第三阶层:基于不同数据主体偏好的补充规则
补充规则包括概括同意等情形。本质上,知情同意依然是个人自主的问题,设置此类自治性条款,尊重少数主体的意志自由,是对数据自决的必要补充。不过,宽泛型同意模式的适用不能无范围、无期限,如敏感个人数据的概括同意期限不应长于三个月,用户有权随时撤回同意、变更同意类型。超出授权范围、期限或变更处理目的、方式的,应重新取得同意。与此同时,其适用须加强行政监管,例如建立隐私协议的备案审查制度、接受主管机关的特别审查等。在发生纠纷时,对同意模式是否适当的判断应当由法官根据个案情形分析酌定。
