《個人信息保護(hù)法》中同意的規(guī)則建構(gòu)

李炳輝

2021年11月1日起施行的《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）對于我國個人信息的保護(hù)意義重大?；ヂ?lián)網(wǎng)時代，技術(shù)革新雖為社會生活的便利提供了條件，卻也隱藏了若干前所未有的風(fēng)險，其中，個人信息的泄露和濫用風(fēng)險系數(shù)尤高，《個人信息保護(hù)法》的出現(xiàn)可謂正當(dāng)其時?！秱€人信息保護(hù)法》以同意作為核心原則，從多方面加強(qiáng)對個人信息的保護(hù)。考諸法條原意，建構(gòu)完整的“告知—同意”規(guī)則體系對于保護(hù)個人信息權(quán)益而言具有十分重要的意義，理解《個人信息保護(hù)法》，應(yīng)當(dāng)以同意作為重要的切入點(diǎn)和觀察視角。

一、個人信息保護(hù)中“同意”的角色與地位

在一般意義上，個人信息具有高度的人格化特征，個人應(yīng)當(dāng)享有個人信息的專屬控制權(quán)，但在信息社會中，個人信息是否專屬于個人，已經(jīng)不再是毫無懸念的問題。信息固然與個人的人格相關(guān)，卻也具有相當(dāng)高的社會價值和經(jīng)濟(jì)價值，也因此具備了轉(zhuǎn)讓和交易的可能性。一般情況下，信息的轉(zhuǎn)讓自然應(yīng)當(dāng)以同意為前提。然而，若一味強(qiáng)調(diào)同意的必要性，在某些情況下也會阻礙社會的發(fā)展和進(jìn)步。信息的自由流通是一種價值訴求，個人信息的保護(hù)同樣也是一種價值訴求，當(dāng)兩者有所沖突時，如何權(quán)衡和取舍，于立法者而言是一個至關(guān)重要的問題。

（一）同意的規(guī)范基礎(chǔ)：《個人信息保護(hù)法》所保護(hù)的客體是什么？

同意之所以在個人信息保護(hù)中十分重要，是因?yàn)閭€人信息保護(hù)天然地具有個人自我控制的內(nèi)涵。這種對信息的自我控制，在近些年來以“信息自決權(quán)”的面貌廣泛為人們所知。實(shí)際上，信息自決權(quán)從淵源來看關(guān)乎隱私權(quán)的發(fā)展。眾所周知，隱私權(quán)源于美國，就其原初意義而言，隱私權(quán)是一種十分消極的權(quán)利，即“個人獨(dú)自享有，其他人不得侵犯、干擾、觸及的個人生活秘密、寧靜的權(quán)利”。但時過境遷，這種免于他人影響的消極權(quán)利逐步演化為積極主動的自我控制的權(quán)利，也因此形成了美國法中的個人隱私的公開權(quán)（right of publicity）和與權(quán)利的商品化相關(guān)的討論。美國法中沒有獨(dú)立的姓名權(quán)和肖像權(quán)等人格權(quán)，這些權(quán)利均包含在隱私權(quán)范疇內(nèi)。正因如此，對姓名、肖像等信息的自我控制和使用權(quán)的保障，本質(zhì)上即是對隱私權(quán)的保障。但在德國法中，個人信息與隱私權(quán)并不相同。1971 年施泰姆勒接受德國內(nèi)政部的委托提出聯(lián)邦個人信息保護(hù)法草案，在對草案的說明中，他提出了“信息人格自決權(quán)”以及“個人信息自決權(quán)”的概念。根據(jù)他的描述，這項(xiàng)權(quán)利的內(nèi)容是，人們有權(quán)自由決定周遭的世界在何種程度上獲知自己的所思所想以及行動。個人信息自決權(quán)理論起初并沒有為人們所重視，直到德國“人口普查案（Volksz?hlungsentscheidung，BVerfG 65，1）”之后才成為一種流行的學(xué)術(shù)觀點(diǎn)。與隱私權(quán)不同，信息自決權(quán)從一開始就強(qiáng)調(diào)個人對于信息的控制權(quán)，也就是說，個人擁有是否公開其信息的自主權(quán)，當(dāng)自己決定不予公開時，其他主體對個人信息的公開自然應(yīng)當(dāng)獲得個人的同意?？梢?，信息自決權(quán)天然地蘊(yùn)含同意這一核心要素。

信息自決權(quán)學(xué)說傳入我國之后，一度成為我國討論個人信息保護(hù)問題時的主要理論。然而，我國憲法和相關(guān)法律對此其實(shí)未置一詞。不論是隱私權(quán)還是個人信息自決權(quán)，都不是傳統(tǒng)意義上的公民權(quán)利，而是隨著社會發(fā)展逐步顯現(xiàn)的新型權(quán)利。自1954年憲法頒布以來，我國在對待公民權(quán)利種類的拓展方面一直十分謹(jǐn)慎，除了在1982年憲法的修正案中加入了“私有財產(chǎn)”這一傳統(tǒng)上就存在而我國政治實(shí)踐長期未予肯認(rèn)的權(quán)利之外，憲法并未新增其他權(quán)利。雖然有學(xué)者認(rèn)為，可以從我國憲法的“國家尊重和保障人權(quán)”這一條款中推導(dǎo)出“未列舉的權(quán)利”，其中即包括“個人信息自決權(quán)”和隱私權(quán)，但在沒有有權(quán)機(jī)關(guān)的正式解釋作背書的背景下，任何通過“國家尊重和保障人權(quán)”條款推導(dǎo)出憲法沒有規(guī)定的公民權(quán)利的嘗試都是不合適的。況且，美國和德國等國能夠通過憲法訴訟和法官解釋憲法的方式擴(kuò)充公民權(quán)利序列，而我國憲法訴訟制度并不存在，憲法解釋也甚少啟動，將隱私權(quán)和個人信息自決權(quán)納入憲法所保障的公民權(quán)利范疇的學(xué)術(shù)嘗試雖有可取之處，但顯然不足以成為個人信息保護(hù)的理論與規(guī)范依據(jù)。除憲法外，個人信息自決權(quán)在我國其他法律中也從未出現(xiàn)。因此，從規(guī)范層面上來說，我國并不存在個人信息自決權(quán)這種權(quán)利。

事實(shí)上，《個人信息保護(hù)法》并未確認(rèn)任何一種個人信息權(quán)利。《個人信息保護(hù)法》第一條即指出，最重要的立法目的在于“保護(hù)個人信息權(quán)益”，第二條進(jìn)一步明確：“自然人的個人信息受法律保護(hù)，任何組織、個人不得侵害自然人的個人信息權(quán)益?！边@意味著，個人信息保護(hù)法并未將個人信息視為一種權(quán)利，而是“權(quán)益”?！秱€人信息保護(hù)法》拒絕將個人信息視為某種法定權(quán)利，可以從兩個方面理解：一方面，鑒于權(quán)益的范圍比權(quán)利大，《個人信息保護(hù)法》除了保障與個人信息相關(guān)的法定權(quán)利之外，也保障了一些在性質(zhì)上尚不構(gòu)成權(quán)利，但需要受到法律保護(hù)的法益。也就是說，《個人信息保護(hù)法》既保障與個人信息相關(guān)的權(quán)利，也保障利益。另一方面，《個人信息保護(hù)法》之所以用“權(quán)益”而不用“權(quán)利”，是因?yàn)閭€人信息不構(gòu)成權(quán)利，至多只是一種受到法律保護(hù)的利益。就《個人信息保護(hù)法》的立法宗旨來看，前一種理解比較符合實(shí)際，但從另一個側(cè)面來說，《個人信息保護(hù)法》缺少類似美國的隱私權(quán)和德國的信息自決權(quán)這樣的綜合性權(quán)利基礎(chǔ)，即缺少一個統(tǒng)一的權(quán)利作為其理論基礎(chǔ)，而是將與個人信息相關(guān)的一系列權(quán)益納入保障范圍之內(nèi)。

然而，不論是發(fā)展到當(dāng)代背景下的隱私權(quán)，還是信息自決權(quán)，都隱含自我控制、自我決定個人信息的固有內(nèi)涵，在涉及信息交換時，同意的意義方能得以凸顯。問題是，由于支撐個人信息保護(hù)相關(guān)權(quán)益的理論基礎(chǔ)駁雜不純，囊括了與之相關(guān)的各種權(quán)益和相關(guān)理論，其中，自我控制、自我決定雖然構(gòu)成個人信息保護(hù)權(quán)益中的部分要素，但并非全部要素，這意味著，與自我控制、自我決定相關(guān)的同意的意義也會因之降低?？梢哉f，在信息自決權(quán)得以證成的背景下，作為“自決”核心要義的“同意”的法律地位是不言自明的，但如果將個人信息權(quán)益拆分為零散的多個組成部分，同意也就很難稱得上是個人信息保護(hù)的核心。

顯然，《個人信息保護(hù)法》的立法者并非沒有考慮到這一問題，而是有意為之，其目的在于維系個人信息的個人價值與社會價值之間的審慎平衡。

（二）同意的法律地位

個人信息對于個人而言具有十分重要的意義，也正因如此，處理個人信息時，同意的法律地位也就顯得非常突出。但從另一個方面來說，個人信息的社會經(jīng)濟(jì)價值也值得重視。尤其在信息社會，信息包括個人信息的自由流動對于社會發(fā)展而言具有不可低估的意義。兩種具有相互矛盾性的價值并存，不可避免地會導(dǎo)致價值沖突。如何平衡這兩種價值，是立法者需要慎重考量的問題。

在自由主義視域中，個人信息與個人人格息息相關(guān)，而人格具有高度獨(dú)立性，因此，自由主義的價值觀往往要求個人對于個人信息具有獨(dú)立的控制權(quán)，這就是“同意”之所以重要的原因所在。不論是美國的隱私權(quán)理論，抑或是德國的信息自決權(quán)理論，均在一定程度上認(rèn)可這一論斷。但是，相對于一般的人格權(quán)來說，個人信息因?yàn)榫哂泄矊傩裕粌H屬于個人，于社會而言也是一種“公共物品”。如果單純將個人信息視為可以由個人單獨(dú)、完全控制的信息，個人信息的公共屬性和職能也就無從實(shí)現(xiàn)。個人信息所具備的私有性和公共性雙重屬性一方面使得同意仍具有突出的重要性，但另一方面，對同意也必須進(jìn)行有效的限制。無論在理論上還是在實(shí)踐中，同意都不是個人信息處理的唯一正當(dāng)性基礎(chǔ)。

第一，在理論上，如果個人信息的處理都要尋求個人的同意，個人的權(quán)益雖得以彰顯，但個人信息的公共價值卻難以實(shí)現(xiàn)。個人信息的公共屬性表現(xiàn)在多個方面，例如，個人信息的自由流通具有十分重要的經(jīng)濟(jì)意義，尤其在數(shù)字時代，個人信息甚至能夠制造新的經(jīng)濟(jì)增長點(diǎn)，從而帶動經(jīng)濟(jì)向全新的領(lǐng)域發(fā)展。再如，個人信息的某些構(gòu)成要素，本身即是公共物品，如個人的姓名、性別、收入情況、職業(yè)、行動軌跡等，在一些情形下往往是形成科學(xué)的公共決策的重要依據(jù)，如果這些信息完全由個人控制，則決策者勢必難以對社會發(fā)展形成通盤把握。實(shí)際上，隨著時代的發(fā)展，一些與個人主義、自由主義相關(guān)的權(quán)利逐漸附加了社會義務(wù)，這一點(diǎn)在財產(chǎn)權(quán)上體現(xiàn)得尤為明顯。個人信息也同樣如此。在社會義務(wù)的影響之下，個人信息不應(yīng)當(dāng)由個人絕對控制，在某些特定情形下，個人信息也可以由特定主體未經(jīng)個人同意而予以收集和處理。

第二，在規(guī)范上，同意也不是處理個人信息的唯一正當(dāng)性基礎(chǔ)。雖然有不少學(xué)者認(rèn)為個人信息自決是處理個人信息的基本原則，但這種濫觴于德國法學(xué)理論中的權(quán)利其實(shí)并沒有成為正式的規(guī)范。德國憲法法院雖然在“人口普查案”中確認(rèn)了信息自決權(quán)的存在，但這一權(quán)利其實(shí)并沒有寫入法律條文之中，有學(xué)者表示，“信息自決權(quán)至多只是學(xué)說上關(guān)于個人信息支配的誤導(dǎo)性理論表述，而不是私權(quán)體系中的具體權(quán)利類型，更不是受侵權(quán)行為法保護(hù)的民事權(quán)利”。即便是憲法法院對個人信息自決權(quán)持肯定態(tài)度，也未曾將其視為不受限制的排他性權(quán)利。受德國憲法理論影響頗深的歐洲《一般數(shù)據(jù)保護(hù)條例》（GDPR）也只是將同意視為個人信息處理的最為重要的合法性基礎(chǔ)，但并非唯一合法性基礎(chǔ)。因此，有學(xué)者明確提出，同意固然重要，但處理個人信息并不一定要獲得個人的同意，在不同的情況下，個人信息的處理可以有不同的合法性依據(jù)。

第三，在實(shí)踐中，許多個人信息收集和處理行為并不以同意為前提和條件。這種不經(jīng)個人同意而收集和處理個人信息的行為在公法關(guān)系中較為常見。行政機(jī)關(guān)基于公共利益之需要，可以依據(jù)法律在不經(jīng)過個人同意的前提下自行處理個人信息，這種現(xiàn)象在任何一個國家都不鮮見。而在私法關(guān)系中，個人信息處理者雖然不具備行政機(jī)關(guān)的優(yōu)越地位，但仍然可以基于某些理由而收集個人信息。歐洲《一般數(shù)據(jù)保護(hù)條例》就肯定了多種在私法關(guān)系中不經(jīng)個人同意而收集個人信息的行為的合法性。

我國個人信息的法律保障起步較晚，但法律對同意十分重視，甚至在某種程度上超越了德國與美國的重視程度，以至于有學(xué)者宣稱，我國是世界上唯一一個在立法上明示個人信息收集、使用一律須經(jīng)信息主體的同意從而將同意一般化的國家。

（三）《個人信息保護(hù)法》對于同意的價值調(diào)和

盡管在一些學(xué)者看來，信息自決權(quán)可能是一種誤讀，但多年來，不論在學(xué)界還是在立法實(shí)務(wù)中，基于同意方能處理個人信息已經(jīng)成為一種思維慣性。但是，《個人信息保護(hù)法》并未完全遵循既成做法，而是對同意的規(guī)則進(jìn)行了拆分處理。按照全國人大常委會法制工作委員會副主任劉俊臣在《關(guān)于〈中華人民共和國個人信息保護(hù)法（草案）〉的說明》中所言，《個人信息保護(hù)法》確立了以“告知—同意”為核心的個人信息處理規(guī)則體系，在一般情況下都要求處理個人信息應(yīng)當(dāng)在保障個人知情權(quán)的前提下取得個人同意。同時，草案也規(guī)定了無須獲得同意的法定例外情形。

顯然，《個人信息保護(hù)法》一方面并未否棄已經(jīng)成為信息處理基本原則的“告知—同意”規(guī)則，維系了同意在個人信息處理中的核心地位。另一方面，立法者也通過立法的形式明確列舉了“告知—同意”規(guī)則的例外，避免以法律規(guī)范的形式妨礙個人信息的正常流通及其社會價值的發(fā)揮。這種努力，貫穿《個人信息保護(hù)法》之始終。

二、同意作為原則及原則的例外

《個人信息保護(hù)法》對同意著墨頗多，基本上是將取得同意作為處理個人信息的基本法則。不過，《個人信息保護(hù)法》也并未將同意視為個人信息處理的唯一合法性基礎(chǔ)，而是在“告知—同意”規(guī)則之外另行補(bǔ)充了若干處理個人信息的法定情勢?！秱€人信息保護(hù)法》中“同意”出現(xiàn)了27 次。在規(guī)則意義上，可以將同意出現(xiàn)的情形概括為三種類型。

第一種類型是原則性地將取得同意視為處理個人信息的先決條件?！秱€人信息保護(hù)法》第十三條將取得個人的同意排在第一位，意味著同意是個人信息處理最為重要的合法性依據(jù)。不過，該條同時規(guī)定，在沒有取得個人同意的前提下，個人信息在某些例外情況下也是可以收集和利用的。有學(xué)者將此類例外情形解讀為我國法律中個人信息的“合理使用”制度。雖然《個人信息保護(hù)法》沒有明確將“取得個人的同意”作為一項(xiàng)原則，但從取得個人同意和無須個人同意的各種情形的邏輯關(guān)系來看，取得個人的同意已實(shí)質(zhì)上成為處理個人信息的基本原則。該條規(guī)定可以理解為：在一般情形下，個人信息處理者處理個人信息的基本原則是“取得個人的同意”；在法律所明文列舉的各種情形下，可以不必遵守前條原則。這種立法方式，與《政府信息公開條例》中所謂“以公開為常態(tài)、不公開為例外”的內(nèi)在精神具有一致性。因此，《個人信息保護(hù)法》處理個人信息的基本原則可以解讀為“以取得個人的同意為常態(tài)，以無須取得個人的同意為例外”。

第二種類型是界定同意的內(nèi)涵及情形?！秱€人信息保護(hù)法》并未詳細(xì)解釋何為同意，但對同意的條件和類型進(jìn)行了界定。其一，《個人信息保護(hù)法》規(guī)定了同意的前提，即“基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出”。此條規(guī)定明確了處理個人信息的前提是公民對其同意事項(xiàng)的充分知情，以此拓寬了個人信息權(quán)的權(quán)利鏈條。其二，《個人信息保護(hù)法》中的同意并非泛泛而談，而是有針對性。在一般情況下，同意可以通過概括形式作出，但在一些特殊情況下，《個人信息保護(hù)法》對同意的程序作出了更為嚴(yán)格的規(guī)定，即某些同意需要“單獨(dú)”作出。例如，《個人信息保護(hù)法》第二十三條規(guī)定，如果個人信息處理者向第三方提供其所處理的個人信息，應(yīng)當(dāng)將第三方的詳細(xì)信息告知個人并取得個人的單獨(dú)同意，從而對個人信息處理者隨意轉(zhuǎn)讓個人信息進(jìn)行了更為嚴(yán)格的規(guī)范。再如，《個人信息保護(hù)法》第二十九條規(guī)定，“處理敏感個人信息應(yīng)當(dāng)取得個人的單獨(dú)同意?！逼淙秱€人信息保護(hù)法》區(qū)分了同意的不同情形，也對個人信息進(jìn)行了分類。從《個人信息保護(hù)法》的體系來看，個人信息分為一般個人信息和敏感個人信息，前者的收集和處理無須特別的法律規(guī)定，而后者則需要更為嚴(yán)格的“單獨(dú)同意”。之所以作出這樣的規(guī)定，是因?yàn)榕c個人相關(guān)的信息雖然統(tǒng)稱為“個人信息”，但個人信息也有輕重之分，相較于一般的姓名、性別等信息，某些信息具有特殊的重要性，這些信息的泄露或者信息處理者對這些信息的非法處理容易導(dǎo)致自然人人格尊嚴(yán)受到侵害，或者使其人身、財產(chǎn)安全暴露在危險之中。有鑒于此，需要對這些敏感個人信息進(jìn)行更為嚴(yán)格的保護(hù)。

第三種類型則是關(guān)于同意的特殊規(guī)則，即不同意和同意的撤回。《個人信息保護(hù)法》第十六條規(guī)定，如果個人不同意個人信息處理者處理其個人信息，或者撤回已經(jīng)做出的同意意思表示，個人信息處理者不得以此為理由拒絕向個人提供產(chǎn)品或者服務(wù)。個人信息的處理建立在個人同意的基礎(chǔ)之上，但如果個人信息處理者所提供的服務(wù)與個人信息不具備強(qiáng)關(guān)聯(lián)性，在個人不提供其信息的情況下不影響服務(wù)的提供，則個人信息處理者不能以個人不提供個人信息或撤回同意為理由而拒絕為個人提供服務(wù)。這一條款的目的顯然是防止個人信息處理者以提供服務(wù)必須取得個人信息為條件脅迫個人提供其信息。該條還提及另一個十分重要的問題，即同意的撤回與“被遺忘權(quán)”?！秱€人信息保護(hù)法》第四十七條規(guī)定，在個人撤回同意之后，個人信息處理者應(yīng)當(dāng)刪除個人信息，從而保障個人的相關(guān)信息不被他人檢索獲取，以實(shí)現(xiàn)個人免于社會干擾的生活寧靜和和平。

不難看出，《個人信息保護(hù)法》中關(guān)于同意的規(guī)則確立了一個相對穩(wěn)固和完備的規(guī)則體系，其主要內(nèi)容可以概括為如下方面：第一，確立了個人信息處理以取得個人同意為前提的基本原則，并列舉了例外情形，從而構(gòu)建了個人信息處理與同意之間的制度性關(guān)聯(lián)；第二，構(gòu)建了圍繞同意而展開的權(quán)利體系，包括但不限于：個人信息控制、知情權(quán)、隱私權(quán)、被遺忘權(quán)等；第三，規(guī)范了同意的適用場域和適用方式，為個人信息提供了全方位的保護(hù)。但在實(shí)踐中，由于在民事關(guān)系和公法關(guān)系中，個人信息保護(hù)遵循不同的規(guī)則，需要進(jìn)一步申說。

三、同意的私法規(guī)則與公法規(guī)則

雖然《個人信息保護(hù)法》保護(hù)的客體是個人信息，而個人信息在傳統(tǒng)上通常為私法所保護(hù)，但在現(xiàn)代社會中，收集和處理個人信息的主體往往十分多元化，其中既包括私法主體，也包括公法主體。在這種背景之下，《個人信息保護(hù)法》自然既不是嚴(yán)格意義上的私法，也不是公法，而是兼具公、私法的雙重特征，貫穿其中的“同意”規(guī)則，也需要在不同的論域中加以討論。如前文所述，《個人信息保護(hù)法》構(gòu)建了“告知—同意”的原則與例外，但在什么情況下適用原則，什么情況下適用例外，在公法與私法中有完全不同的條件?！秱€人信息保護(hù)法》第三十三條規(guī)定，“國家機(jī)關(guān)處理個人信息的活動，適用本法”，也就是說，《個人信息保護(hù)法》的大部分條款，無論公法與私法，都應(yīng)當(dāng)?shù)靡载瀼貙?shí)施。但私法主體和公權(quán)力機(jī)關(guān)處理個人信息的方式并不相同，同意的規(guī)則自然也有所區(qū)別。

（一）同意的私法規(guī)則

民法學(xué)者一般將個人信息視為人格權(quán)的重要組成部分。我國《民法典》第一千零三十四條規(guī)定，“個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”?！睹穹ǖ洹穼€人信息著墨甚多，構(gòu)建了一個頗為嚴(yán)密的保障體系。但是，《民法典》并未將個人信息視為一種權(quán)利?！睹穹ǖ洹返谝话僖皇粭l規(guī)定對個人信息進(jìn)行保護(hù)，在該條前后，《民法典》規(guī)定了一系列重要的權(quán)利，例如第一百一十條中的生命權(quán)、身體權(quán)、健康權(quán)等，第一百一十二條中的“因婚姻家庭關(guān)系等產(chǎn)生的人身權(quán)利”，第一百一十三條的財產(chǎn)權(quán)利等，唯獨(dú)個人信息未名之曰“權(quán)利”。然而，不是權(quán)利的個人信息卻能衍生出個人信息的同意權(quán)、更正權(quán)、刪除權(quán)等多種權(quán)能，在理論上始終無法自圓其說。因此，一些學(xué)者認(rèn)為應(yīng)當(dāng)在《民法典》中寫入“個人信息權(quán)”，并界定為民法上的一般人格權(quán)。

《民法典》為個人信息的處理同樣設(shè)置了同意原則?！睹穹ǖ洹返谝磺Я闳鍡l規(guī)定，“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外”。在私法關(guān)系中處理個人信息，以同意為原則，以無須同意為例外，在民法典中清晰可辨。《個人信息保護(hù)法》則在民法典的基礎(chǔ)上更進(jìn)一步，充實(shí)了“法律、行政法規(guī)另有規(guī)定”的幾種情形，即《個人信息保護(hù)法》第十三條中的第一款二項(xiàng)“為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”；第三項(xiàng)“為履行法定職責(zé)或者法定義務(wù)所必需”；第六項(xiàng)“依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息”。不過，這三種情形都不常見，因此，在一般情況下，在私法關(guān)系中，個人信息的收集者和處理者在處理個人信息時，需要嚴(yán)格恪守“告知—同意”規(guī)則。

為更好地保護(hù)個人信息，《個人信息保護(hù)法》對同意設(shè)置了若干條件，包括但不限于：同意的前提是充分知情；同意可以撤回，個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式；個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；在某些特殊情況下，應(yīng)當(dāng)重新取得個人的同意；撤回同意前提下的刪除權(quán)；以及多種情形下的單獨(dú)同意。顯然，在私法領(lǐng)域，《個人信息保護(hù)法》更偏向于保障個人信息持有者的權(quán)益這一價值。盡管信息的自由流通具有重要的價值，《個人信息保護(hù)法》也從未試圖阻斷信息的流通渠道，但在保護(hù)個人信息和促進(jìn)信息的自由流通這兩種價值之間，《個人信息保護(hù)法》將“保護(hù)”作為立法的第一目的。作為實(shí)現(xiàn)保護(hù)目的的重要手段，“告知—同意”規(guī)則的法律地位不言而喻。

（二）同意的公法規(guī)則

同意的價值和地位在公法領(lǐng)域與私法領(lǐng)域完全不同。在私法關(guān)系中，于個人信息的處理而言，同意是一個至關(guān)重要，雖然并非隨時存在，但在大部分情況下都不可或缺的要素。而在公法關(guān)系中，公權(quán)力機(jī)關(guān)在收集個人信息時，更多的是基于公共利益的需要，而非基于個人的授權(quán)和同意，因此，公法關(guān)系中的同意規(guī)則主要體現(xiàn)為“無須同意”的例外。

《個人信息保護(hù)法》第三十三條規(guī)定，“國家機(jī)關(guān)處理個人信息的活動，適用本法；本節(jié)有特別規(guī)定的，適用本節(jié)規(guī)定”。對該條作字面解釋，可以認(rèn)為，前文所述在私法關(guān)系適用的關(guān)于同意的規(guī)則，在公法關(guān)系中同樣有效。例如，關(guān)于敏感個人信息的單獨(dú)同意的規(guī)則，關(guān)于撤回同意前提下的刪除權(quán)，在公權(quán)力機(jī)關(guān)處理個人信息時，都應(yīng)得到嚴(yán)格遵守。然而事實(shí)上，公權(quán)力機(jī)關(guān)在大部分情況下都不是依循“告知—同意”規(guī)則來處理個人信息，而是根據(jù)《個人信息保護(hù)法》第十三條所規(guī)定的例外情形，無須獲得個人的同意。其中，最為重要的為第三項(xiàng)“為履行法定職責(zé)或者法定義務(wù)所必需”和第四項(xiàng)“為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需”。

公權(quán)力機(jī)關(guān)處理個人信息時往往無須獲得個人的同意。如前文所述，個人信息除了對個人有價值之外，也具有高度的社會價值，在現(xiàn)代社會更附帶一定的社會義務(wù)。在私法關(guān)系中，個人信息的處理者和個人處于平等的法律地位，個人信息處理者在大多數(shù)情況下無法基于公共利益的需要未經(jīng)個人的同意而處理個人信息。而作為公共利益的代表者，公權(quán)力機(jī)關(guān)可以基于法定職責(zé)和特殊情況下對于公共利益的自我判斷，在未經(jīng)個人同意的前提下收集和處理個人信息。但這樣一來，《個人信息保護(hù)法》第三十三條的規(guī)定就會落空。事實(shí)上，由于《個人信息保護(hù)法》所構(gòu)建的“告知—同意”規(guī)則在多數(shù)情況下適用于平等法律主體之間，而在公法關(guān)系中，公權(quán)力機(jī)關(guān)和個人之間的地位并不平等，因此，“告知—同意”規(guī)則在公法關(guān)系中的適用空間相當(dāng)有限。例如，公權(quán)力機(jī)關(guān)基于公共利益的需要收集個人信息時，個人往往既不能進(jìn)行有效同意或不同意，也不能撤回同意和要求公權(quán)力機(jī)關(guān)刪除個人信息。易言之，《個人信息保護(hù)法》的大多數(shù)條款在公法關(guān)系中并不適用。為了彌補(bǔ)這一缺陷，《個人信息保護(hù)法》為國家機(jī)關(guān)處理個人信息加上了特殊規(guī)定，包括：國家機(jī)關(guān)應(yīng)當(dāng)在法定職責(zé)范圍內(nèi)處理個人信息；國家處理個人信息，原則上應(yīng)當(dāng)履行告知義務(wù)；國家機(jī)關(guān)處理的個人信息應(yīng)當(dāng)在中華人民共和國境內(nèi)存儲。

公權(quán)力機(jī)關(guān)處理個人信息繞開個人同意的可能性，為個人信息保障增加了諸多變數(shù)，使得個人信息在公法領(lǐng)域表現(xiàn)得更為脆弱。然而，《個人信息保護(hù)法》這種“一體調(diào)整”的立法模式并不能有效限制公權(quán)力，也并不足以有效保護(hù)公民的個人信息。具體表現(xiàn)在：

一方面，《個人信息保護(hù)法》的立法模式不利于控制公權(quán)力機(jī)關(guān)的權(quán)力。雖然對公權(quán)力機(jī)關(guān)收集和處理個人信息有所規(guī)定，但本質(zhì)上，該法仍然是民法的延伸。民法學(xué)者對個人信息展開了長期的討論，但不論是把個人信息看作隱私權(quán)的發(fā)展抑或信息自決權(quán)的客體，都與財產(chǎn)權(quán)和人格權(quán)等民事權(quán)利脫不了關(guān)系?！秱€人信息保護(hù)法》從總體上繼受了個人信息的此種定位，大部分條款針對的都是平等法律主體之間的私法關(guān)系，對個人信息在公法中的處理規(guī)則其實(shí)并未十分強(qiáng)調(diào)。理論上，與個人信息相關(guān)的權(quán)利究竟是民事權(quán)利，還是憲法層面的基本權(quán)利，都是值得考量的。不少學(xué)者認(rèn)為，與個人信息相關(guān)的某些權(quán)利，例如“個人信息受保護(hù)權(quán)”“信息自決權(quán)”應(yīng)當(dāng)被視為憲法權(quán)利。憲法權(quán)利與民事權(quán)利具有顯著區(qū)別。憲法權(quán)利具有更高的權(quán)利位階，也應(yīng)具備更高、更完善的保護(hù)機(jī)制。民事權(quán)利見于平等法律主體之間，而憲法權(quán)利所針對的主要對象是國家。在我國，憲法權(quán)利對應(yīng)了國家的兩種不同義務(wù)，即“尊重”和“保障”。如果將個人信息視為一種憲法權(quán)利，則國家在個人信息方面所應(yīng)承擔(dān)的義務(wù)也包括兩種：尊重是一種消極義務(wù)，它意味著國家不干涉公民對于自己個人信息的控制；保障則是一種積極義務(wù)，它意味著國家有必要創(chuàng)造條件對公民個人信息進(jìn)行嚴(yán)格保護(hù)。一些學(xué)者并不承認(rèn)個人信息可以作為單獨(dú)的具有科學(xué)內(nèi)涵外延的憲法權(quán)利，但不可否認(rèn)的是，在處理個人信息時，與私法關(guān)系中的信息處理者相比，個人信息被公權(quán)力機(jī)關(guān)不當(dāng)收集和使用的可能性更高。即使不把個人信息視為憲法權(quán)利，在公法關(guān)系中，也有必要對其進(jìn)行更全面的保護(hù)。當(dāng)然，由于個人信息社會價值的彰顯也有賴于公權(quán)力機(jī)關(guān)主動對其進(jìn)行收集和處理，公權(quán)力機(jī)關(guān)不經(jīng)個人同意的信息處理行為自有其正當(dāng)性所在。因此，在公法關(guān)系中，更需要審慎平衡圍繞個人信息展開的各種價值。但不論如何，個人信息的保障不能主要局限于私法之中，毋寧說，公法關(guān)系中對于個人信息的保護(hù)，才是真正意義上的“當(dāng)務(wù)之急”。

另一方面，《個人信息保護(hù)法》對公權(quán)力機(jī)關(guān)的控制機(jī)制有所不足。公權(quán)力機(jī)關(guān)侵害個人信息的主要可能性，是依循法定的“無須同意”的例外情形而實(shí)現(xiàn)的。為阻止這種可能性，《個人信息保護(hù)法》設(shè)置了若干防御機(jī)制，其中最為重要的規(guī)則可概括為三個方面：第一，公權(quán)力機(jī)關(guān)處理個人信息，應(yīng)當(dāng)依循法定程序進(jìn)行；第二，不得超出履行法定職責(zé)所必需的范圍和限度；第三，應(yīng)當(dāng)履行告知義務(wù)。除此之外，總則第六條可以解讀為，公權(quán)力機(jī)關(guān)在處理個人信息時應(yīng)當(dāng)遵循比例原則。但是，這些措施仍然存在某些缺陷，難以對公權(quán)力機(jī)關(guān)形成有效制約：

一是《個人信息保護(hù)法》雖然明確規(guī)定公權(quán)力機(jī)關(guān)在履行法定職責(zé)的背景下可以繞開個人的同意而自行處理信息，但對履行法定職責(zé)缺少必要的規(guī)制手段。所謂法定職責(zé)中的“法定”，原則上應(yīng)當(dāng)理解為憲法、法律和各類法規(guī)。然而，由于公權(quán)力機(jī)關(guān)繞開同意程序的行為往往具有“緊急性”，如“應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下”，公權(quán)力機(jī)關(guān)處理個人信息的行為就可以同時繞開“法定”這一限制性條件。也就是說，在緊急情況下，公權(quán)力機(jī)關(guān)收集個人信息的行為既不必考慮個人的同意，也不必考慮法定的職責(zé)和程序?！秱€人信息保護(hù)法》并未明確何為“緊急情況”。“緊急情況”不同于“緊急狀態(tài)”。緊急狀態(tài)是一個具有清晰內(nèi)涵和外延的法定概念，其宣告需要經(jīng)過復(fù)雜的法律程序，在現(xiàn)實(shí)生活中極難出現(xiàn)。緊急情況則不然，它既沒有特定的內(nèi)涵與外延，也沒有明確的程序限制，因此是一個十分典型的“不確定法律概念”，其解釋權(quán)基本由處理個人信息的公權(quán)力機(jī)關(guān)所掌握。在這種情況下，公權(quán)力機(jī)關(guān)處理個人信息的行為很難為法律所限制。

二是雖然比例原則在憲法和行政法學(xué)理論中一再被提及，但在司法實(shí)踐中，作為一項(xiàng)衡量行政行為合理性的原則，比例原則很難成為司法機(jī)關(guān)監(jiān)督行政機(jī)關(guān)的有效工具。《個人信息保護(hù)法》重復(fù)了比例原則的基本內(nèi)容，合目的性、適當(dāng)性和必要性在第六條中表述得十分清楚。問題在于，何為“明確、合理的目的”，什么是“與處理目的直接相關(guān)”，如何“采取對個人權(quán)益影響最小的方式”，均缺乏必要的法律標(biāo)準(zhǔn)。行政機(jī)關(guān)在處理個人信息時，也未必對此有明確的判斷，而司法機(jī)關(guān)要么刻意回避對行政機(jī)關(guān)的行為作出不符合比例原則的判斷，要么判決行政機(jī)關(guān)“濫用職權(quán)”或“明顯不當(dāng)”，但在說理上含糊不清。為避免這種情況，在規(guī)范層面，應(yīng)當(dāng)將大而空泛的比例原則細(xì)化為若干更具可操作性的標(biāo)準(zhǔn)。例如，行政機(jī)關(guān)不經(jīng)個人同意處理個人信息時，應(yīng)當(dāng)在處理之前公示其信息處理行為的目的，以及其處理行為和目的之間的關(guān)聯(lián)性，并對此承擔(dān)舉證責(zé)任；行政機(jī)關(guān)應(yīng)當(dāng)保證所收集的個人敏感信息不被泄露，導(dǎo)致第三方可以從這些信息中推測個人的身份；行政機(jī)關(guān)應(yīng)當(dāng)說明其處理個人信息的行為會對個人產(chǎn)生何種影響，并承擔(dān)相應(yīng)的法律責(zé)任；等等。關(guān)于此類細(xì)節(jié)問題，不少域外法律有所涉及，可資參考。

三是與私法關(guān)系中的企業(yè)等主體一樣，行政機(jī)關(guān)在處理個人信息時，是參與者的身份，但判斷行政機(jī)關(guān)的處理行為是否必要的權(quán)力通常也由行政機(jī)關(guān)自行行使，司法機(jī)關(guān)對此只能進(jìn)行十分有限的制約。這種做法在我國行政法領(lǐng)域其實(shí)是一種普遍現(xiàn)象，但在個人信息保護(hù)領(lǐng)域，公權(quán)力機(jī)關(guān)處理個人信息的行為若不能得到有效控制，其后果可能十分嚴(yán)重。域外立法中多有設(shè)置數(shù)據(jù)保護(hù)機(jī)構(gòu)和數(shù)據(jù)保護(hù)專員的做法，例如歐盟《一般數(shù)據(jù)保護(hù)條例》既設(shè)置了個人信息保護(hù)監(jiān)管機(jī)構(gòu)（supervisory authority），也規(guī)定了數(shù)據(jù)保護(hù)專員（data protection officer），對個人信息進(jìn)行全方位保護(hù)。而《個人信息保護(hù)法》未曾設(shè)置，這不能不說是一種遺憾。

四、結(jié)論

為最大限度保護(hù)公民個人信息，《個人信息保護(hù)法》確立了以“告知—同意”為核心的個人信息處理規(guī)則體系。不過，“同意”并非合法處理個人信息的唯一基礎(chǔ)?！秱€人信息保護(hù)法》將“取得個人之同意”作為原則進(jìn)行強(qiáng)調(diào)，但也列舉了無須經(jīng)過同意即可處理個人信息的例外情形。立法者在個人信息應(yīng)當(dāng)?shù)玫奖Ｗo(hù)和個人信息應(yīng)當(dāng)?shù)靡粤魍ㄟ@兩種價值之間進(jìn)行了審慎的權(quán)衡，從而形成了圍繞同意而展開的一系列關(guān)涉?zhèn)€人信息的權(quán)利。

基于這種價值平衡策略，立法同時在私法和公法兩個領(lǐng)域保障個人信息權(quán)益。在私法領(lǐng)域，強(qiáng)調(diào)同意的原則性，避免信息處理者未經(jīng)同意處理個人信息從而損及個人利益；在公法領(lǐng)域，則強(qiáng)調(diào)個人信息的公共屬性，更傾向于建構(gòu)“無須同意”的個人信息處理規(guī)則。法律對個人信息的私法保護(hù)相對全面，但對于公權(quán)力機(jī)關(guān)收集和處理個人信息的規(guī)制則有所不足。這一方面是因?yàn)閭€人信息保護(hù)的基礎(chǔ)理論仍有所欠缺，圍繞個人信息而展開的一系列權(quán)利究竟應(yīng)當(dāng)如何定性仍存在較多爭議，導(dǎo)致《個人信息保護(hù)法》的重點(diǎn)在于規(guī)制私法主體的行為；另一方面，則是因?yàn)椤耙惑w調(diào)整”的立法模式難以在規(guī)制公權(quán)力方面進(jìn)行足夠有深度和細(xì)節(jié)化的延伸。

《個人信息保護(hù)法》出臺之后，一些信息處理者違法處理個人信息的行為得以遏止，但公權(quán)力機(jī)關(guān)濫用職權(quán)收集、公布和使用個人信息的現(xiàn)象仍時有發(fā)生。立法不應(yīng)止步于對“同意”的高度肯定，更應(yīng)當(dāng)對“同意”的例外進(jìn)行行之有效的約束?！秱€人信息保護(hù)法》原則分明，架構(gòu)齊備，所欠缺的是切實(shí)可行的制度細(xì)節(jié)，這或許有賴于相關(guān)立法和法律解釋的共同推動。