第152页

    之所以在个人信息保护制度中要以告知同意规则作为基本的规则，原因就在于自然人对其个人信息享有受到法律保护的民事权益，没有得到自然人的同意而处理其个人信息就是对个人信息权益的侵害行为，具有非法性。自然人针对个人信息享有的民事权益决定了自然人可以处分其个人信息，包括许可他人收集、存储、使用、加工、提供或公开其个人信息。在现代网络信息社会，告知同意规则面临很多的挑战[5]，甚至在实践中，自然人客观上往往很难拒绝个人信息被处理。在很多时候，信息处理者给自然人的选择项只有留下或离开两个选项，即要么同意被收集个人信息，这样就能留下来，使用相应的产品或接受服务，生活变得更方便快捷；要么拒绝被收集个人信息，则无法使用产品或服务，只能离开。此外，由于信息处理者将告知的内容置于冗长的隐私政策当中，用户实际上几乎不会真正去阅读或真正了解这些隐私政策，故此有不少观点认为，建立在告知同意规则基础上的个人信息或个人数据保护和治理的框架是不科学的，也是无效的，而且还会阻碍数据的流转和信息的流动。[6]
    本书认为，上述观点是片面的、不妥当的，因为它们只是看到了问题的一个方面，就轻率地认为告知同意规则失去其意义，甚至认为自然人的对个人信息处理的同意不再是个人信息处理的正当性基础。[7]首先，告知同意规则的具体适用中的困难并不能改变该规则所蕴含的精神实质，即自然人有权决定对自己的个人信息的处理，信息的流动或者利用必须在尊重个人信息权益的前提下进行，二者应当实现协调。取消告知同意规则，势必使自然人对其个人信息完全失去控制力，自然人针对其个人信息的民事权益也不复存在。其次，告知同意规则的重心不在于用户是否真正了解个人信息处理的目的、方式或范围等，而在于建立了处理个人信息的行为的合法性基础。无论信息处理者在告知同意规则中使用如何复杂冗长甚至含混的表述，也无论个人信息被处理的自然人是否实际阅读或理解了告知的内容，只要因此发生法律纠纷，那么在法院裁判案件时，首先就要审查个人信息处理者是否按照法律的规定履行了告知同意规则的义务，这对于保护自然人是非常有利的。如果个人信息处理者履行了义务，不存在非法处理个人信息的行为，那么自然人也不得对处理者合法的个人信息处理行为进行阻碍，而这对处理者又是非常有利的。最后，告知同意规则也为个人信息保护机构对告知同意规则的适用进行监管提供了正当性基础，因为这种监管的目的在于保护广大自然人的个人信息权益，具有充足的正当性。实际上，通过各种方法来确保告知同意规则真正得到落实，正是个人信息保护机构的重要职责，由此产生的各种问题应当依靠个人信息处理者的自律行为、监管者的严厉监管措施以及自然人针对信息处理者的民事诉讼三者共同加以解决。
    （二）告知规则
    任何组织或个人在进行收集、存储、使用、加工、提供、公开等处理个人信息的行为时，都应当遵守告知规则，向信息主体即自然人履行告知义务。如果不经过充分合法的告知，则自然人无法作出真实的同意。《民法典》第1035条第1款要求收集、处理自然人的个人信息时必须公开收集、处理信息的规则并明示收集处理信息的目的、方式和范围。《网络安全法》第41条第1款和《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条也规定，网络服务提供者和其他企业事业单位收集、使用个人信息，应当公开收集、使用规则，明示收集、使用信息的目的、方式和范围。
    1.告知义务的履行方式，可以分为两类：一类是，个人信息的处理者一对一地向个人信息被处理的自然人进行告知，从而取得自然人的同意。此种方式，在人工收集个人信息时使用得较多，例如，信息处理者就其与自然人签订合同时收集到的个人信息，应当事先进行告知。例如，日本的《个人信息保护法》第18条第2款就规定：“无论前一款规定如何，个人信息处理业者在因与本人签订合同而取得合同书及其他书面材料（包括电磁记录，以下于本款中相同）上所记载的该本人之个人信息的情形以及其他直接从本人处取得书面材料上所记载的该本人之个人信息的情形，应当事先向本人明示其利用目的。但是，为保护人的生命、身体或财产而有紧急必要的情形，不在此限。”再如，不动产登记中，登记申请人向登记机构提交登记申请书，申请相应的不动产登记，不动产登记机构应当在登记申请书中向申请人告知处理该申请人的个人信息的目的、方式和范围等内容，进而取得申请人的同意。
    另一类是，个人信息的处理者通过制定个人信息处理规则的方式来统一告知个人信息被处理的自然人。这种方式往往是在通过信息网络进行个人信息的自动化处理时使用，如网络用户在下载安装网络公司提供的各种应用软件时，网络公司通过在所谓的“隐私政策”中对个人信息处理的目的、方式和范围等内容进行告知。如果个人信息处理者以制定个人信息处理规则的方式来告知自然人，那么该规则必须是公开的，并且便于查阅和保存的。否则，应当认为个人信息处理者没有履行告知的义务。尤其是实践中，个人信息处理规则是以电子信息的方式存在的情况下，如果自然人无法查阅或者保存这些规则，那么就容易出现个人信息处理者私自变更规则的情况，从而导致双方就个人信息的处理发生纠纷时，自然人无法提供相应的证据。从证明责任的角度上说，是否履行了告知义务，应当由负有该义务的个人信息处理者承担证明责任。这也是符合证明责任分配的基本要求的。当然，最好的处理方式是在未来我国的“个人信息保护法”中对此作出明确的规定。
    2.告知的具体内容。《民法典》第1035条以及《网络安全法》第41条第1款只是规定了处理“信息的目的、方式和范围”等内容，没有作出更具体的规定。从比较法上来看，对告知的具体内容都有明确的规定。例如，欧盟《一般数据保护条例》第13条和第14条区分了从数据主体处收集个人数据和并非从数据主体处获取个人数据这两种情形，就信息控制应当向数据主体提供的信息作出了详细的规定。再如，我国台湾“个人资料保护法”第8条第1款规定：“公务机关或非公务机关依第十五条或第十九条规定向当事人搜集个人资料时，应明确告知当事人下列事项：一、公务机关或非公务机关名称。二、搜集之目的。三、个人资料之类别。四、个人资料利用之期间、地区、对象及方式。五、当事人依第三条规定得行使之权利及方式。六、当事人得自由选择提供个人资料时，不提供将对其权益之影响。”目前，在我国，只有国家互联网信息办公室颁发的《儿童个人信息网络保护规定》中对网络运营者收集儿童个人信息时应当告知的事项作出了较为详细的列举，依据该规定第10条第1款，网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：（1）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；（2）儿童个人信息存储的地点、期限和到期后的处理方式；（3）儿童个人信息的安全保障措施；（4）拒绝的后果；（5）投诉、举报的渠道和方式；（6）