文/李汶龙

GDPR生效后，提示、弹窗和邮件铺天盖地。这也是公众开始知晓和了解这部法律的开始。与欧盟的体验完全不同，中国的个保法时代静悄悄。11月1日当日浏览了几个网站发现完全没有变化，唯独看到过苹果发布一封电子邮件。少数几家国内企业更新的隐私政策，但并没有要求用乎重新授权，甚至没有在用户界面广而告之。

随之带来的几个问题：中国有了个保法之后，数据主体如何表达知情同意？新法生效前后，知情同意的落实和执行是否存在实质性的变化？早先形成的不具法律效力的软法模式是否还将延续？

从个保法出现端倪到现在，关于同意制度本身在数据处理的语境当中的角色学术讨论已经不少，但是究竟这一制度如何能够落实，确保个人能够充分、自愿、有效地表达自己的意愿，却是一个超越法律文本本身的复杂实践难题。与西方先发国家不同——已经朝着弱化知情同意的方向转向——中国的个人信息保护的设计仍然是欧盟二十年前的思路。甚至在某些问题上知情同意的角色有进一步强化，甚至是垄断。因此，讨论“同意弹窗”是个保法开始生效之处的重点问题之一。

一、如何表达知情同意

法律语境中少有关于同意如何落实和执行的讨论情有可原。即便是以细致、明确著称的欧盟法，在这一问题上也含糊其辞。究其原因，一方面是网页的交互设计已经超出了法律本身的要求，立法者认为他们不应介入；顶多可以由执法者提供更为具体的指引。另一方面，在欧盟的文化中存在着设计自由，营商自由 (right to conduct a business) 在欧盟甚至被认定为是一种基本权利。弹窗如何设计，具有什么功能，一般法律人不予过问。

虽然在法律正文中没有强制性要求，但欧盟数据保护法的前言对此问题有一定的限定。例如，GDPR前言第(32)条提到

This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent.

这可能包括在访问互联网网站时打勾，选择信息社会服务的技术设置或其他声明或行为，在这种情况下明确表明数据主体接受对其个人数据的拟议处理。因此，沉默、预选框或不作为不应构成同意。

注：上方中文为DeepL机器翻译，未经校对或修正。

更早些时候，2002年的欧盟ePrivacy指令前言第(17)条

Consent may be given by any appropriate method enabling a freely given specific and informed indication of the user's wishes, including by ticking a box when visiting an Internet website.

同意可以通过任何适当的方法给予，允许自由给出用户意愿的具体和知情指示，包括在访问互联网网站时勾选一个框。

注：上方中文为Google Translate机器翻译，未经校对或修正。

即便如此，法律的限定至多是框架性的，原则性的。其效力和影响远远无法充分调整现实中弹窗设计相关的复杂性。然而，GDPR尚且可以通过前言提供一些指引和限定，但国内个保法什么也没有。

二、同意弹窗的由来

同意弹窗 (pop-ups) 或者横幅 (banner) 的出现可以追溯到世纪之交，由法律形塑。欧盟在1995年设立了数据保护指令之后另设了ePrivacy指令为特别法，专门调整（包括但不限于）网络追踪技术的使用。当然，弹窗或者横幅的形式可以追溯更早，主要用于网络广告  (banner/display ads)，模仿现实中的广告版，但可以记录和追踪用乎的交互行为。因此，同意弹窗算得上是借广告之形式，行合规之效果。

三、个保法的缺失与漏洞

中国之所以没有同意弹窗，从制度设计角度来说是因为立法者复制了GDPR的内容，却忽略了存在其特别法。如此给合规带来一种假象，认为中国个保法不要求弹窗。

在欧盟，《e隐私指令》作为特别法独立于GDPR存在，但却扮演着治理追踪科技的主要角色。两部法律关联甚密，关系较为复杂，甚至存在学术争论。简言之，《e隐私指令》关注的是追踪科技的使用，是否处理个人数据处理原则上无关；GDPR关注个人数据处理，无论使用追踪技术还是其他，只有涉及个人数据时才会被触发。此外，里斯本条约生效后，这两部法律也对应着不同的基本权利。GDPR作为实体法主要承载着落实第8条关于个人数据保护权的使命，而《e隐私指令》同时基于第7条尊重私生活权（也即隐私权）和第8条。

我们可以说同意弹窗的出现是为了《e隐私指令》的合规。但是，在中国这样不存在专门规制追踪科技的特别立法的环境中，同意弹窗是否必要，或者说是否能够从个保法的条文中推衍出来是一个没有被明述的问题。

我的判断的是需要的，即便在中国不存在《e隐私指令》对应的规范，同意弹窗作为一种范式或者传统是表达有效同意的主要方式。更准确地来说，个保法要求的同意可以不通过同意弹窗来表达（因为法律没有强制规定表达同意的形式），但如果没有同意弹窗的话至少应当存在其他有效的表达渠道。目前来看，这样的替代渠道（例如ICO近来重拾起十年前关于浏览器预先设置的方式）也不存在。

实际上，将《e隐私指令》的存在搁置一旁，我们也能够推断出满足GDPR的要求需要有同意弹窗这类的用户界面（当然这里仅仅是在说网页和移动环境，例如物联网等其他生态会有其他不同的交互方式）。GDPR和《e隐私指令》都将同意视为前提，但具体到落实的问题上，《e隐私指令》实际上没有做具体规定，而主要是援引GDPR对于同意的定义和要求。

四、中国没有同意弹窗的可能原因

在欧洲，同意弹窗的出现是因为《e隐私指令》（的前言）提供了较为具体的语境，企业将其视为合规要求。GDPR敲定后以不同缘由（个人数据的处理而非追踪技术的使用）明确要求知情同意，但因为已经有以弹窗为主的合规方式（由《e隐私指令》塑造），无需另作其他安排。中国情境则有所不同，个保法对同意做定义和笼统定义，但缺乏《e隐私指令》就获取同意形式的指引，以至于同意的落实无人问津，甚至被认为不存在。

因此，个保法时代，在不存在同意弹窗以及其他明确、合理的获取同意形式的情况下，存在着系统严重不合规的情形。

有的人可能会主张，知情同意在中国通过用户协议的UI来表达。这里存在一个更为严重的合规问题，也即在个保法11月1日生效之前，已经更新隐私协议等涉及数据处理条款的企业并没有重新按照新文本获取同意，至少没有以用户能够明确感知的方式。但是，通过隐私协议一揽子获取对于数据处理、使用cookies等追踪技术的做法很有可能不满足GDPR规定的specific的要求——这里无法展开，详见Planet 49以及Orange Romania等判决对于这一要件的说明。

中国目前还没有弹窗，另外一个本土法律文化原因是对于追踪和监控的敏感性，无论是来自于公私部门，都没有崇尚人权保障的欧洲那么高。

此外，布鲁塞尔效应下中国早在个保法生效前很多年就有了书面上对于知情同意的要求，但许多年的落实都是基于默示同意 (implied consent)。欧洲随着GDPR生效已经抛弃了这个概念之后，中国的理念并没有因此更新。而且，这一概念本即存在固有缺陷甚至自我矛盾，以今日GDPR标准来审视已经是明确的不合规。

中国法律对于知情同意的阐释还缺乏语境。由于没有序言作为语境和文本的延展，中国法呈现出来的都为语境中立的抽象概念。这将带来很多执法的漏洞和模糊地带。

中国还有所谓单独同意的概念，究竟是概念创新还是翻译失义的问题暂且不谈。但从功能结构上来看，这一概念创设 “改编”了GDPR关于“明示同意”(explicit consent) 的要求，但意义上单独同意与特殊同意又很类似，很有可能被理解为是一种特殊情形的特殊保护，而非任何的数据处理都需要具体、明确单独的同意。在这样一种解读思路下，明确的知情同意似乎也就只有在例外情形才被要求了。

结语

个保法出台之后，媒体标题诸如“精准广告”就此死亡，大数据从此不杀熟的臆断很多，但多是过度乐观的外部视角。如果法律讨论只专注文本而不关注效果，如果文本很强但却没有执行力，法律文本是否存在其实没有太大意义。

目前来看，除非网信办或者其他机关来一轮运动型执法，这样的现状就还将持续，以知情同意为重心的个保法生效前后并没有带来任何变化。

诚如LSE的数据保护教授Orla Lynskey所言，未来的数年间数据保护制度本身可能或许正在成为其希望治理的问题的一部分，为带有剥削性质的数据处理实践提供正当性。Orla文章的关注点在欧盟法院的作为与不作为，但包括中国在内的其他后起国家正在完全相同的难题。