К вопросу о правиле информированного согласия при защите личной информации в Китае
В статье анализируются различные проблемы, связанные с использованием принципа информированного согласия в практике защиты личной информации в Китае, в основном с точки зрения структурных недостатков принципа информированного согласия и когнитивных трудностей самих субъектов информации. Автор вносит предложения по решению указанных проблем как на уровне информирования, так и на уровне согласия.
Ключевые слова: правило информированного согласия, личная информация, Закон КНР о защите личной информации.
This article analysis various problems faced by the informed consent rule in personal Information protection practice of China, mainly from the perspective of the structural weaknesses of the informed consent rule and the cognitive difficulties of the information subjects themselves, and puts forward suggestions to solve the above problems at both the notice and consent levels.
Key words: informed consent rule, personal information, the personal information protection law of the People's Republic of China.
С наступлением эры больших данных персональные данные стали представлять собой огромную экономическую и социальную ценность, но при этом нельзя игнорировать вопрос баланса между защитой личной информации и ее использованием. Защита личной информации распространяется на такие области, как сбор, хранение, использование, обработка, передача, удаление данных и т.д. Неправильное и чрезмерное использование личной информации может нарушить достоинства и свободы человека и даже создавать риск ущемления его имущественных и неимущественных интересов. Для решения этих вопросов необходимо вернуться к корню проблемы и сосредоточить внимание на важнейшем правиле при обработке личной информации - правиле информированного согласия.
Правило информированного согласия означает, что перед обработкой личной информации оператор должен четко сообщить субъекту личной информации цели, способы, объемы и возможные риски обработки данных, а также получить конкретное согласие субъекта личной информации на ее обработку [3]. Закон КНР "О защите личной информации" [1] устанавливает правило информированного согласия. Например, статьи 14, 16 и 17 Закона строго ограничивают обстоятельства, при которых уведомление не требуется, при этом предусматривают полное предварительное уведомление со стороны оператора информации, при этом субъект личной информации также имеет право отозвать свое согласие.
В действующем законодательстве Китая разработана система защиты личной информации, однако сфера действия положений о правиле информированного согласия слишком широка, а положений о средствах защиты прав субъекта информации недостаточно. Правовые нормы лишь в общих чертах указывают на необходимость предварительного получения согласия субъекта информации, но не предлагают конкретного решения.
С формальной точки зрения правило информированного согласия кажется очень легко выполнимым. Операторы часто выполняют свои обязанности посредством использования политики конфиденциальности и предоставляют субъектам личной информации два варианта выбора: согласие и несогласие. Однако в условиях стремительного развития информационных технологий и сложной интернет-среды правило информированного согласия в процессе осуществления создает ряд проблем, выявляя как структурные недостатки самого правила, так и когнитивные трудности субъекта личной информации.
Согласно информационной асимметрии, когда информация распределена на рынке неравномерно и несбалансированно, сторона, обладающая большей информацией, находится в выгодном положении. Субъект личной информации, очевидно, находится в невыгодном положении. Это отражается в следующих аспектах. Во-первых, для получения прибыли операторы часто избегают обязанности информировать абонентов посредством использования подробно изложенной политики конфиденциальности и применения сложной и неясной терминологии [4]. Но субъект личной информации стремится к максимальной защите личной информации с помощью правила информированного согласия. Из-за расхождения этих двух целей субъект личной информации страдает от проблемы информационной перегрузки.
Так, согласно статистике, в Китае в 2023 году на один телефон пользователя в среднем было установлено 68 мобильных приложений, из которых самым популярным является WeChat, при этом общий объем информации о политике конфиденциальности WeChat - это 14 689 слов [2]. Конечно, объем информации о политике конфиденциальности в других приложениях не меньше, чем WeChat.
Во-вторых, эффект агрегирования данных несет в себе неизвестные риски. В условиях быстрого обновления технологий объединение обычной личной информации может сформировать непредсказуемую сеть личной информации, в результате чего произойдет утечка чувствительных данных пользователей. Перед лицом неизвестных потенциальных рисков в будущем пользователи склонны рисковать, бдительность их снижается, и многие операторы именно с учетом этой психологии пользователей собирают большое количество несущественной личной информации, а затем путем интеграции этих данных получают выгоды.
Правило информированного согласия требует от физических лиц оценивать потенциальные риски обработки данных в момент сбора личной информации, но срок использования личной информации является длительным или даже неограниченным, и это один из структурных недостатков принципа информированного согласия.
В-третьих, даже если субъект личной информации обойдет две вышеупомянутые ловушки и внимательно прочитает политику конфиденциальности, по прочтении документа у него останется только два варианта: согласиться с ней или не согласиться. Если субъект личной информации согласится, то ему придется отдать часть личной информации, а если нет, он не сможет пользоваться приложением. Это снова ловушка оператора, который выполняет свои обязанности по информированию, как того требует закон, но не предоставляет пользователю другого выбора, кроме согласия. Согласие в этом случае не является настоящим выбором субъекта личной информации.
Кроме того, когнитивные трудности самого субъекта личной информации также препятствуют исполнению правила информированного согласия. В правиле информированного согласия предполагается, что физическое лицо - рациональный человек, который прочитает и поймет все положения политики конфиденциальности, тщательно взвесит все "за" и "против" и в итоге сделает рациональный выбор. Очевидно, что это предположение очень трудно реализовать, поскольку человеческая рациональность ограничена. И именно потому, что человек не может быть рациональным все время, чувствительность его снижается, когда он сталкивается с чем-то непонятным.
Способы решения вышеуказанных проблем могут быть, на наш взгляд, следующими.
Во-первых, объем политики конфиденциальности может быть ограничен Законом о защите личной информации. Содержание, предусмотренное политикой конфиденциальности, должно включать цель, способ, объем, ключевые действия по обработке личной информации и потенциальные риски обработки данных. Важные положения, связанные с правами и обязанностями субъекта личной информации, могут быть выделены путем изменения цвета шрифта и т.д.
Во-вторых, кроме получения явного согласия субъекта личной информации в момент сбора личной информации оператор должен снова получить согласие субъекта личной информации на ее обработку, процесс которой существенно отличается от сбора, т.е. согласие субъекта личной информации должно быть получено повторно.
Наконец, субъект личной информации должен повышать свою осведомленность о защите личной информации и рационально подходить к выбору при поступлении запросов на обработку данных. Государственные органы должны активно проводить мероприятия по повышению правовой осведомленности и информационной безопасности пользователей.
