楊垠紅, 高 天
(福建師范大學(xué)法學(xué)院,福建 福州 350117 )
2021年11月1日起實施的《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)在法律意義上確立了以“告知—同意”(inform-consent)規(guī)則為核心的個人信息保護制度?!案嬷狻币?guī)則來源于醫(yī)療領(lǐng)域的“知情同意”(informed consent)規(guī)則?!爸橥狻币?guī)則指醫(yī)生在醫(yī)療方案實施前須告知患者該方案的詳細情況,在得到患者充分知情且同意后才能施行方案。在信息時代,“知情同意”規(guī)則逐漸演變成為《個人信息保護法》的基本原則。《關(guān)于<中華人民共和國個人信息保護法(草案)>的說明》(以下簡稱《立法說明》)使用了“告知—同意”規(guī)則的表述[1],故本文也使用這一表述?!案嬷狻币?guī)則的確立,不僅能更好地保護個人信息權(quán)益,還能維護互聯(lián)網(wǎng)生態(tài),促進互聯(lián)網(wǎng)經(jīng)濟的發(fā)展。通過對中國裁判文書網(wǎng)案例的檢索與分析以及在各級法院的調(diào)研與交流,本課題組發(fā)現(xiàn)“告知—同意”規(guī)則在具體實踐適用中存在2個主要問題:(1)“同意”的性質(zhì)存在爭議。究竟其為意思表示、權(quán)利許可,還是違法阻卻事由,存在爭議。若不能準(zhǔn)確定性,則可能導(dǎo)致對“告知—同意”規(guī)則的整體理解和適用產(chǎn)生混亂。(2)規(guī)則的適用情況不盡如人意?!秱€人信息保護法》規(guī)定了“單獨同意”“書面同意”等特別形式的“同意”,以期能更精確地保護不同人群的權(quán)益,但立法僅規(guī)定了這些特別形式的適用情形,導(dǎo)致實踐中出現(xiàn)適用情景的混淆,使得立法的初衷無法實現(xiàn)。本文就此展開研究,為“告知—同意”規(guī)則在司法實踐中的適用提供參考。
從《個人信息保護法》草案一審稿、二審稿再到該法正式頒布的3個階段來看,有關(guān)“同意”的相關(guān)立法發(fā)生了如下變化:一審稿草案第14條將“同意”定義為個人知情后作出的意思表示,但二審稿草案第14條刪除了“意思表示”的文字表述,最后頒布的《個人信息保護法》第14條沒有恢復(fù)“意思表示”的文字表述,把“處理個人信息的同意”修改成“基于個人同意處理個人信息的,該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出”?!读⒎ㄕf明》雖未提及“同意”的性質(zhì)或定義,但在起草工作要點中強調(diào):“對一些尚存爭議的理論問題,在本法中留下必要空間?!笨梢?,立法者曾偏向于將“同意”定義為意思表示,但囿于爭議,為“同意”性質(zhì)的討論留下了較大的空間。《立法說明》未使用學(xué)界常用的“知情同意”規(guī)則的表述,而是改用“告知—同意”規(guī)則的表述。此外,也提到立法目的在于進一步保護信息安全、維護網(wǎng)絡(luò)生態(tài)、促進數(shù)字經(jīng)濟發(fā)展。因此,有必要重視“告知”在規(guī)則中的地位,并正確理解“同意”的性質(zhì),以便更好地規(guī)范個人與信息處理者之間的法律關(guān)系。
在《個人信息保護法》頒布之前,就有不少學(xué)者對“告知—同意”規(guī)則或“知情同意”規(guī)則中“同意”的法律性質(zhì)展開分析和討論。有學(xué)者認(rèn)為“同意”的法律性質(zhì)屬于意思表示,在侵權(quán)領(lǐng)域歸入受害人同意,作為免責(zé)事由,在合同領(lǐng)域歸入合同給付的一部分,“同意”規(guī)則的構(gòu)建可依照意思表示的類型和要件展開[2]。有學(xué)者對“告知—同意”規(guī)則進行梳理,認(rèn)為“同意”是對個人信息權(quán)益的一種處分,但是這種處分不能脫離商品或服務(wù)合同的語境而單獨存在,而是個人信息主體為了獲得相應(yīng)的商品或服務(wù)而必須作出的權(quán)利處分[3]。也有學(xué)者主張“同意”屬于法律事實,認(rèn)為個人信息的處分應(yīng)遵循類型法定原則,個人不生產(chǎn)信息財產(chǎn)價值,不宜類推肖像權(quán)規(guī)定由個人享有信息財產(chǎn)處分權(quán);個人信息不具獨占支配性,無法形成支配性權(quán)益結(jié)構(gòu),不符合處分行為構(gòu)成,“同意”效果法定,應(yīng)當(dāng)定性為準(zhǔn)法律行為[4]。還有學(xué)者認(rèn)為“同意”并不屬于處分行為或意思表示,而是需要分為兩層進行討論:在消極的層面上,“同意”屬于違法阻卻事由,即免責(zé)事由;在積極的層面上,“同意”是個人信息處理活動的合法根據(jù)或正當(dāng)理由之一[5]。
與域外多數(shù)國家的做法類似,我國立法確立了“告知—同意”規(guī)則?!爸橥狻币?guī)則設(shè)立的初衷是確保個人能夠獲取足夠的正確信息,使其能夠判斷在作出同意后所獲取的利益以及為此需要付出的成本。本文認(rèn)為,不能孤立地研究“同意”,而應(yīng)重視“告知”在該規(guī)則中的作用,將“同意”與“告知”聯(lián)系起來解讀,即《個人信息保護法》中的“告知”是信息處理者作出的意思表示,“同意”是個人知情后作出的意思表示,兩者結(jié)合達成雙方法律行為,從而產(chǎn)生民事權(quán)利義務(wù)關(guān)系。具體闡釋如下:(1)信息處理者作出的“告知”不僅具有公法上的義務(wù)屬性,還具有意圖發(fā)生一定民事法律后果的目的。自然人對其個人信息享有的民事權(quán)益屬于人格權(quán)益[6],這種人格權(quán)益與肖像、聲音一樣,兼具人身性、財產(chǎn)性的雙重屬性。個人信息經(jīng)過大數(shù)據(jù)分析后,有利于復(fù)雜問題的便利處理[7]。個人信息無論用于大數(shù)據(jù)分析,還是被單獨處理,都具有一定經(jīng)濟價值[8]。因此,為了獲取個人“同意”以合法收集個人信息,以便提供更好的服務(wù)與產(chǎn)品,進而獲得更大的訪問流量,信息處理者有著以“告知”來爭取“同意”的目的。實踐中,個人信息處理者主要以隱私協(xié)議的方式履行其告知義務(wù)[9],隱私協(xié)議的入口甚至直接融入進信息處理者的服務(wù)及產(chǎn)品展示頁面。因此,“告知”實際融合了公法和私法的雙重屬性[3]。在公法領(lǐng)域,“告知”被視為義務(wù)的存在;在私法領(lǐng)域,“告知”被視為信息處理者為獲取“同意”以合法收集、處理個人信息的意思表示。(2)個人作出“同意”具有獲取信息處理者的服務(wù)及產(chǎn)品或其他便利的目的。 “同意”與“告知”相對應(yīng),是旨在發(fā)生一定民事法律后果的內(nèi)心意思的外在表示。有學(xué)者認(rèn)為“同意”不屬于民事法律行為,而是屬于法律上的行為[5]。這是因為個人對于個人信息處理者就其個人信息所要實施的處理活動而作出的同意,并非旨在發(fā)生民事法律后果的內(nèi)心意思的外在表示,個人與個人信息處理者之間也沒有就設(shè)立、變更、終止民事法律關(guān)系達成合意[5]。但在實際上,個人作出“同意”均是帶有明確目的性的,需要信息處理者或服務(wù)商提供與個人信息對應(yīng)的服務(wù)、產(chǎn)品或某種便利,并不僅僅是一個簡單的事實行為?!秱€人信息保護法》第16條也規(guī)定信息處理者不得因不同意而拒絕提供服務(wù)與產(chǎn)品,這印證了“同意”的作出往往帶有獲取一些利益或產(chǎn)生某種民事權(quán)利關(guān)系的目的。實質(zhì)上,雙方通過“告知”與“同意”達成合意,從而確定了權(quán)利義務(wù)關(guān)系。(3)將“告知”與“同意”作為信息處理者與個人的意思表示,兩者達成對應(yīng)的而非合致的雙方法律行為,進而產(chǎn)生民事權(quán)利義務(wù)關(guān)系。實踐的意義在于為司法適用“告知—同意”規(guī)則提供新思路。可參考我國《合同法》,填補《個人信息保護法》“同意”特別形式規(guī)定的缺漏,從而強化對個人信息和知情權(quán)利的保障。一方面,《個人信息保護法》兼具私法色彩,應(yīng)與我國《合同法》的相關(guān)規(guī)范形成有機互動。如《個人信息保護法》第15條的規(guī)定,實際上也是對格式條款合同規(guī)則的落實[10]。再如,可參考合同雙方權(quán)利義務(wù)應(yīng)平等、合理的原則,個人單獨同意的作出應(yīng)對等地要求信息處理者對特別事項進行單獨的告知。另一方面,可參照違約責(zé)任的設(shè)計,為個人信息的損害提供額外的救濟路徑。即當(dāng)信息處理者不當(dāng)處理個人信息造成個人損失的,個人應(yīng)有權(quán)請求其承擔(dān)違約責(zé)任或賠償損失[11]。
個人作出的“同意”是與信息處理者的“告知”相對應(yīng)的意思表示,兩者達成雙方法律行為,從而產(chǎn)生法律效力。這個雙方法律行為若要有效,需具備行為人具有行為能力、意思表示真實、不違背效力強制性規(guī)定等3個有效要件。就“同意”而言,《個人信息保護法》第14條第1款的規(guī)定實際上就是在要求一般同意(相對于后文所述的單獨同意、書面同意等特別形式)作為意思表示必須真實。因此,一般同意可參照民事法律行為的構(gòu)成要件適用:要求個人具有行為能力;必須在充分知情的情況下自愿、明確作出同意,以保證同意作為意思表示的真實;該同意的作出不得違背法律效力性強制規(guī)定。《個人信息保護法》在某些情形下,為保護特殊利益規(guī)定了效力性強制規(guī)定,要求信息處理者在處理信息前不僅應(yīng)當(dāng)獲取個人同意,還應(yīng)當(dāng)獲取個人以某種特殊方式作出的同意(如書面同意),即“同意”的特別形式。若違背了相關(guān)規(guī)定,個人即使作出同意,也屬于無效的民事法律行為;信息處理者即使取得了個人同意,也不能合法地處理個人信息?!秱€人信息保護法》通過法條列舉規(guī)定的不同適用場景,衍生出4種除一般同意以外的特別形式的“同意”,即單獨同意、重新取得同意、書面同意以及監(jiān)護人同意。(1)單獨同意。在對外提供個人信息的(對應(yīng)《個人信息保護法》第23條、第39條)、向不特定人收集或公開個人信息的(對應(yīng)《個人信息保護法》第25條、第26條)、處理敏感信息的(對應(yīng)《個人信息保護法》第29條)以及其他法律法規(guī)規(guī)定的(對應(yīng)《個人信息保護法》第14條)等4類情形中,信息處理者需要取得個人的單獨同意。對于第4種情形,通過檢索國內(nèi)含有“單獨同意”的法律法規(guī),除《個人信息保護法》外,只有一部司法解釋出現(xiàn)了“單獨同意”的表述,即最高人民法院對于人臉信息在民事案件中的適用作出的相關(guān)司法解釋。但人臉信息屬于《個人信息保護法》第28條所規(guī)定的敏感個人信息,其適用參照《個人信息保護法》第29條的規(guī)范,故此處不再列舉該司法解釋。(2)重新取得同意。信息處理者處理個人信息的處理目的、處理方式發(fā)生變更時(對應(yīng)《個人信息保護法》第14條、第22條、第23條),需要重新取得個人同意。(3)書面同意?!秱€人信息保護法》沒有規(guī)定書面同意適用的具體情節(jié),僅在第14條及第29條規(guī)定了與單獨同意共用的兜底條款及敏感個人信息保護條款。通過檢索國內(nèi)含有“書面同意”表述的40部法律及36部行政法規(guī),發(fā)現(xiàn)僅有《征信業(yè)管理條例》的第14條、第18條、第28條、第29條在征信機構(gòu)或金融信用信息基礎(chǔ)數(shù)據(jù)庫采集、提供個人信息時,對個人信息的書面同意適用情節(jié)作了規(guī)定。(4)監(jiān)護人同意?!秱€人信息保護法》列舉了一種需要監(jiān)護人同意的情形,即處理未滿14周歲的未成年人個人信息,對應(yīng)該法第31條。
《個人信息保護法》列舉了應(yīng)當(dāng)適用特別形式“同意”的具體情形。在實踐中,可以通過識別不同的具體情形來判斷信息處理者是否應(yīng)取得特別同意,進而判斷信息處理行為是否合法。但在混合了多種適用情形的復(fù)雜案件中,可能會難以區(qū)分到底該適用何種特別形式的“同意”,從而造成適用混亂的問題。如信息處理者向其他信息處理者提供未滿14周歲未成年人信息時,既符合單獨同意的適用情形,也符合監(jiān)護人同意的適用情形,造成了2種特別形式“同意”的適用競合和沖突:究竟要取到未成年人的單獨同意,還是要取得未成年人的監(jiān)護人同意,或是兩者均需取得同意。實際上,《個人信息保護法》所列舉的適用情形之間存在一定的聯(lián)系。如對外提供個人信息和處理敏感個人信息都屬于適用單獨同意的場景,法律對于信息處理者在這些場景中的處理門檻的要求是一致的,即只要取得個人的單獨同意。但法律又規(guī)定未滿14周歲的未成年人信息屬于敏感個人信息,處理該未成年人信息還屬于適用監(jiān)護人同意的場景。為了彌補未成年人意思表示的缺陷,法律提出了更加嚴(yán)格的處理門檻,要求信息處理者處理未成年人信息時還需要取得其監(jiān)護人同意。因此,在監(jiān)護人同意與單獨同意競合的情形下,應(yīng)適用法律要求更為嚴(yán)格的監(jiān)護人同意。
綜上,適用特別形式的“同意”不能孤立地適用。從風(fēng)險知曉的角度上看,同意的對象分為已知風(fēng)險和未知風(fēng)險;從處理信息的主體上看,又分為初始獲取主體和后續(xù)轉(zhuǎn)移主體[12]。筆者認(rèn)為,可根據(jù)法律要求的嚴(yán)格程度,按風(fēng)險大小來分層次適用,以信賴為核心,做到分層設(shè)置:當(dāng)信息處理者的“告知”能讓個人知曉風(fēng)險且僅存在初始獲取主體時,僅需取得一般同意,此時的法律要求嚴(yán)格程度最低,可適用《個人信息保護法》第13條的規(guī)定,此為第一層。當(dāng)出現(xiàn)后續(xù)轉(zhuǎn)移主體或信息處理者變更了原先的處理目的及方式時,因出現(xiàn)未知風(fēng)險,法律對此時的“同意”要求比第一層嚴(yán)格,信息處理者需要根據(jù)《個人信息保護法》的規(guī)定取得個人單獨同意、書面同意或重新取得同意,此為第二層。當(dāng)存在第二層的敏感個人信息或向他人提供其處理的個人信息情景時,《個人信息保護法》第31條、第29條、第23條作出了更嚴(yán)格的規(guī)定,此時應(yīng)當(dāng)優(yōu)先適用法律要求更為嚴(yán)格的監(jiān)護人同意、書面同意或重新取得同意,此為第三層。同時,應(yīng)當(dāng)注意的是,高層次的適用優(yōu)先于低層次的適用。
以“微信讀書案”和“微視案” 為例。兩案雖發(fā)生在《個人信息保護法》頒布前,但仍為單獨同意情形下 “如何判斷信息處理者是否屬于同一主體”的問題。兩案均涉及個人信息在兩款不同的APP上流轉(zhuǎn),原告認(rèn)為微信讀書APP或微視APP未經(jīng)過原告同意,使用了自己在微信上的個人信息。法院判決認(rèn)為,雖微信和微信讀書、微視為不同APP,但開發(fā)運營主體為同一方,同屬于一個信息處理者主體,因此,微信讀書、微視和微信均不對原告構(gòu)成侵權(quán)[13]。如此認(rèn)定信息處理者的同一性值得商榷。實踐中,鑒于當(dāng)事人之間的信息不均衡,同意的作出需要極高的交易成本,因而數(shù)據(jù)主體要么因為信息不足而造成風(fēng)險誤判,要么出于風(fēng)險規(guī)避意識而直接拒絕分享數(shù)據(jù)[14]。因此,我國大眾并無必要知悉信息處理者之間的區(qū)分,只要是處理了其個人信息的主體,就被看作是處理者,應(yīng)負有相應(yīng)的義務(wù)[15]??梢?,認(rèn)定2個信息處理者是否屬于同一主體的信息處理者,不能從實際運營處理個人信息的角度判斷(因為無法要求個人知悉不同信息處理者之間的具體區(qū)別以及背后的實際運營情況),而應(yīng)當(dāng)從個人的合理預(yù)期的角度進行判斷。由于個人作出“同意”均是帶有獲得信息處理者的某種服務(wù)或商品的目的,分辨、認(rèn)定2個信息處理者的標(biāo)準(zhǔn)應(yīng)是兩者所提供的服務(wù)或商品存在本質(zhì)區(qū)別,消費者能直觀地將其區(qū)分開來。若兩者本質(zhì)不同,應(yīng)當(dāng)視為2個不同的信息處理主體。如淘寶與支付寶同屬于阿里系公司,屬于同一個開發(fā)運營主體,但淘寶提供電商服務(wù),而支付寶提供金融服務(wù),兩者展示的服務(wù)和商品的頁面也大不相同,具有顯著的差異。從個人的角度看,兩者完全是2個不同本質(zhì)的信息處理者。因此,當(dāng)個人使用支付寶賬號登錄淘寶或使用淘寶賬戶登錄支付寶時,支付寶或淘寶都應(yīng)當(dāng)讓個人單獨同意是否授權(quán)其在另一軟件上的個人信息。
在實際的信息處理中,信息處理目的與方式常常隨著處理場景的變化而變化。若因處理目的或方式僅僅發(fā)生細微、合理的變化,就要求信息處理者重新取得個人的同意,不僅可能導(dǎo)致個人使用信息服務(wù)時產(chǎn)生同意疲勞,還可能增加信息處理者或服務(wù)商的信息處理成本,使得效果適得其反。在不同的處理場景中,信息處理者的處理目的、處理方式很可能與最初告知于個人的內(nèi)容并不相符;個人也有可能為了獲取額外的產(chǎn)品或服務(wù),希望信息處理者用不同的處理方式對同一段已經(jīng)同意的個人信息進行處理。因此,為保證個人信息的充分流通,實現(xiàn)個人信息價值的最大化,并促進數(shù)字經(jīng)濟的健康發(fā)展,應(yīng)允許信息處理者在信息處理的不同場景中,適度地對信息處理目的和方式進行符合個人合理預(yù)期的變更。新增的目的應(yīng)當(dāng)合理,且變更前后的信息處理目的或處理方式應(yīng)當(dāng)具有合理的關(guān)聯(lián)性,符合個人信賴?yán)?。在變更前后的處理目的與處理方式不存在合理關(guān)聯(lián),且超出個人合理預(yù)期的情況下,個人信息處理者應(yīng)當(dāng)依法重新告知,并重新取得個人的同意。如在搶樓匯公司訴云上城公司合同糾紛案中,原告、被告均未經(jīng)業(yè)主本人同意,將原用于物業(yè)管理的業(yè)主個人信息進行商業(yè)牟利。顯然,物業(yè)管理目的和商業(yè)目的之間不存在合理的關(guān)聯(lián)性,更超出了個人的合理預(yù)期。因此,原告、被告在未獲取業(yè)主重新同意的情況下擅自改變信息處理目的是不合法的[16]。
對于信息處理者來說,書面同意提高了處理信息的門檻,要求信息提供者在充分知情的情況下自由、明確地作出書面形式的同意,且信息處理者負有證明書面同意存在的責(zé)任。如果信息處理者不能證明取得了個人的書面同意,即便可以證明取得了同意,該處理活動也是非法的、無效的[5]。對于書面形式,我國《民法典》第469條作出了規(guī)定:書面形式是以有形載體呈現(xiàn)內(nèi)容的表達形式,包括但不限于合同、信件、傳真;以數(shù)據(jù)電文為載體,譬如單純的電子數(shù)據(jù)交換或者電子郵箱的方式記錄并且可以隨時調(diào)取的視為書面形式。書面形式的個人同意有警示當(dāng)事人的作用,希望以此提醒信息主體在謹(jǐn)慎思考后作出選擇。從舉證角度而言,即使不屬于以書面形式為必要條件的個人同意,按照《個人信息保護法》第14條的規(guī)定,也可以書面形式的同意予以佐證。這是明確同意較為有效和方便的證明形式,在訴訟過程中也可成為解決糾紛的證據(jù)。當(dāng)然,《個人信息保護法》關(guān)于書面同意的規(guī)定不屬于確定性規(guī)定,而是援引性規(guī)定,法律和行政法規(guī)對個人信息同意獲取有書面形式上的要求的應(yīng)當(dāng)采取書面形式。從該法第29條的規(guī)范結(jié)構(gòu)來看,相較于單獨同意,書面同意是更高的保護形式,因為敏感個人信息的處理自身需要信息主體的單獨同意,在此基礎(chǔ)上還需要書面形式為有效要件的規(guī)定。
《個人信息保護法》對不滿14周歲未成年的個人信息采取了“一刀切”式的保護,即無論任何情況,處理該信息均需要取得其監(jiān)護人同意。根據(jù)《2020年全國未成年人互聯(lián)網(wǎng)使用情況研究報告》,目前我國小學(xué)生互聯(lián)網(wǎng)普及率至少達到了92.1%,小學(xué)生網(wǎng)民對于網(wǎng)絡(luò)權(quán)益維護的認(rèn)知比例達到65.1%,且57.5%的家長表示對互聯(lián)網(wǎng)懂的不多,上網(wǎng)主要是看新聞或短視頻[17]。隨著社會發(fā)展日新月異,在互聯(lián)網(wǎng)各類新事物、新服務(wù)出現(xiàn)的情況下,未成年人群體與父母之間可能存在較大的“互聯(lián)網(wǎng)代溝”。特別是在二孩、三孩生育政策出臺后,大齡父母相對更缺乏互聯(lián)網(wǎng)知識,父母不了解或需要花費不少精力去了解孩子的上網(wǎng)情況。在網(wǎng)絡(luò)知識的運用和對自身信息權(quán)益的認(rèn)識上,有的家長作為監(jiān)護人,并不一定比被監(jiān)護人更了解未成年人自己的個人信息。此時,“一刀切”式的規(guī)定可能導(dǎo)致兩方面的問題:其一,若未滿14周歲未成年人使用網(wǎng)絡(luò)都須經(jīng)過監(jiān)護人同意,則一旦監(jiān)護人缺乏網(wǎng)絡(luò)知識或不便及時作出同意,將會影響未成年人對網(wǎng)絡(luò)的有效運用;其二,若在不了解的領(lǐng)域為被監(jiān)護人個人信息作出同意,則監(jiān)護人同意的成本遠比自己作出同意的成本更高,監(jiān)護人更容易產(chǎn)生“同意疲勞”。因此,在未成年個人信息的權(quán)益保護上,或許可以通過制定白名單或出臺司法解釋等方式對未成年人的同意進行分級,進而構(gòu)建更詳細的“同意”規(guī)則,以平衡未成年人的信息自決利益與公共利益,使未成年人在特定情況下能夠自主作出同意。在“同意”的分級上,可以根據(jù)法律對限制民事行為能力人和無民事行為能力人的劃分,對未成年人的“同意”進行分年齡階段的保護。即不滿8周歲的未成年人所作出的“同意”應(yīng)屬無效,8周歲以上的未成年人在特殊情形下可以獨立作出與其智力、年齡相符合的“同意”,不符合的則由其監(jiān)護人進行追認(rèn)、同意。此外,國家網(wǎng)信辦等相關(guān)管理部門可以制定一個未成年人常用的教育、科普等APP白名單,此名單中的信息處理者在收集個人信息時可以由8周歲到14周歲的未成年人自主作出同意,而不必由其監(jiān)護人作出同意,從而尊重未成年人不斷發(fā)展的潛力,也是對監(jiān)護人的合理“松綁”。