? ? ? ?內(nèi)容提要:在法律���、行政法規(guī)未作特別規(guī)定時�����,處理個人信息應(yīng)當(dāng)取得個人同意�,否則即屬違法��。個人信息處理中的個人同意不是作為法律行為核心要素的意思表示����,不屬于人格權(quán)商業(yè)化利用中權(quán)利人的許可�。就個人同意的性質(zhì)而言���,從消極方面看是違法阻卻事由��,即排除了客觀上侵入個人信息權(quán)益的處理行為的非法性��,而從積極方面看,則屬于個人信息處理的合法根據(jù)�。意思表示的瑕疵及撤銷��、撤回的規(guī)則不能當(dāng)然適用于個人信息處理中的個人同意。個人同意的生效須具備同意能力�����、充分知情�、真實自愿及明確具體等要件。我國個人信息保護(hù)法中規(guī)定的明確同意���、單獨同意與書面同意這三者間既有聯(lián)系又有區(qū)別。
? ? ? ?關(guān)鍵詞:個人信息處理 個人同意 違法阻卻事由 意思表示 單獨同意
? ? ? ?引? 言
? ? ? ?告知同意也稱知情同意�����,是個人信息處理中最基本的法律規(guī)則���,也是判斷個人信息處理活動合法與否的根本標(biāo)準(zhǔn)�����。換言之��,除非法律另有規(guī)定���,否則,只要沒有告知并取得個人同意而處理個人信息的活動��,都是非法的����。在個人信息的“全生命周期”中,知情同意是一道“閘口”���,無論是信息采集、利用��,還是相應(yīng)轉(zhuǎn)換�����、轉(zhuǎn)移�,均繞不開“知情同意”�。所謂告知同意規(guī)則,是指任何組織或個人在處理個人信息時�����,均應(yīng)向其個人信息被處理的個人告知相應(yīng)的事項��,并在取得該個人(或者其監(jiān)護(hù)人)的同意后��,方可從事相應(yīng)的個人信息處理活動。告知同意規(guī)則包含告知與同意兩個部分�,緊密聯(lián)系�����,不可分割。一方面�����,處理者在處理個人信息前如果不將相應(yīng)的事項如處理目的�����、處理方式等真實�����、準(zhǔn)確且完整地告知個人的,個人事實上就無法對其個人信息被處理作出同意,即便同意也不是真實的���、自愿的;另一方面,雖然個人信息處理者履行了告知義務(wù)���,但是并未取得個人的同意����,或者在取得個人的同意后����,超出同意的范圍而處理個人信息,該處理活動也是非法的。
? ? ? ?告知同意規(guī)則最早為1970年德國黑森州《數(shù)據(jù)保護(hù)法》(Data Protection Act)所確認(rèn),目前已經(jīng)成為絕大多數(shù)國家個人信息保護(hù)法承認(rèn)的基本規(guī)則���。我國個人信息保護(hù)領(lǐng)域的法律也明確采取了這一規(guī)則。早在2012年,《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》就明確要求���,網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息,應(yīng)當(dāng)遵循合法、正當(dāng)���、必要的原則,明示收集、使用信息的目的���、方式和范圍,并經(jīng)被收集者同意���。2017年施行的《網(wǎng)絡(luò)安全法》第41條第1款規(guī)定:“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息����,應(yīng)當(dāng)遵循合法�、正當(dāng)����、必要的原則,公開收集、使用規(guī)則�����,明示收集���、使用信息的目的����、方式和范圍,并經(jīng)被收集者同意?!?021年1月1日起施行的《民法典》第1035條第1款更明確規(guī)定:“處理個人信息的�����,應(yīng)當(dāng)遵循合法、正當(dāng)��、必要原則����,不得過度處理,并符合下列條件:(一)征得該自然人或者其監(jiān)護(hù)人同意��,但是法律���、行政法規(guī)另有規(guī)定的除外�����;(二)公開處理信息的規(guī)則;(三)明示處理信息的目的�、方式和范圍�;(四)不違反法律��、行政法規(guī)的規(guī)定和雙方的約定�����。”
? ? ? ?2021年8月20日��,第十三屆全國人大常委會第三十次會議審議通過了《個人信息保護(hù)法》�,該法是我國第一部個人信息保護(hù)方面的專門法律,不僅明確地將告知同意規(guī)則作為個人信息處理活動的合法性基礎(chǔ)��,還對于該規(guī)則作出了詳細(xì)的規(guī)定���,包括同意的效力與要件��、同意的類型���、同意的撤回�����、告知的方式與內(nèi)容、免除告知義務(wù)情形���、各類具體的處理中的告知與同意等?�!秱€人信息保護(hù)法》總計74個條文���,而直接涉及到告知同意規(guī)則的條文就達(dá)15條之多����,告知同意規(guī)則的重要性可見一斑�����。不過��,理論界對于告知同意規(guī)則中個人同意的性質(zhì)(是否屬于意思表示)等問題仍有不同的認(rèn)識��,此外,《個人信息保護(hù)法》又新增加了單獨同意這一同意的類型�,應(yīng)當(dāng)如何理解與適用�����,也有不同的看法。有鑒于此�,本文將對個人信息處理中個人同意的三個重要問題進(jìn)行研究��,以供理論界與實務(wù)界參考。首先�����,個人信息處理活動中個人同意的性質(zhì)為何���,是否屬于意思表示或者人格權(quán)商業(yè)化利用中的許可��?其次�,同意的有效要件包括哪些�����,為什么同意能力與民事行為能力有所不同?再次,明確同意��、單獨同意以及書面同意之間的關(guān)系如何�����?
? ? ? ?一��、個人同意的性質(zhì)
? ? ? ?告知同意規(guī)則要求個人信息處理者原則上必須取得其個人信息被處理的個人的同意后,才能對個人信息進(jìn)行相應(yīng)的處理活動。因此���,取得個人的同意(Consent/Einwilligung)在個人信息處理中非常重要。無論個人信息處理活動的合法性根據(jù)有多少,個人的同意都是其中最重要的一類,這一點在比較法和我國法上都有鮮明的體現(xiàn)�����。我國《個人信息保護(hù)法》第13條第1款在列舉個人信息處理活動的合法根據(jù)或理由時����,第一個列舉的就是“取得個人的同意”,同條第2款明確規(guī)定:“依照本法其他有關(guān)規(guī)定,處理個人信息應(yīng)當(dāng)取得個人同意��,但是有前款第二項至第七項規(guī)定情形的�,不需取得個人同意?�!辈贿^�����,對于何為個人同意���,該法并未作出規(guī)定���。在比較法上��,大多數(shù)國家和地區(qū)的法律也基本上并不界定什么是個人同意,而只是對于同意作出相應(yīng)的要求而已。例如�,歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)第4條第11款在界定“數(shù)據(jù)主體的同意”(consent of the data subject)時,規(guī)定:“數(shù)據(jù)主體依其個人意愿而自由���、明確、知情且清晰地通過陳述或積極行為就與其相關(guān)的個人數(shù)據(jù)的處理作出的同意�?!痹偃?�,2018年巴西《通用數(shù)據(jù)保護(hù)法》(Lei Geral de Prote??o de Dados��,LGPD)第5條第12款規(guī)定,同意是“數(shù)據(jù)主體同意為特定目的處理其個人數(shù)據(jù)自由����、知情和明確的聲明”����。值得注意的是,我國臺灣地區(qū)“個人資料保護(hù)法”明確將同意界定為“意思表示”����,其中第7條第1�、2款規(guī)定:“第十五條第二款及第十九條第一項第五款所稱同意�,指當(dāng)事人經(jīng)搜集者告知本法所定應(yīng)告知事項后,所為允許之意思表示�。第十六條第七款���、第二十條第一項第六款所稱同意�����,指當(dāng)事人經(jīng)搜集者明確告知特定目的外之其他利用目的、范圍及同意與否對其權(quán)益之影響后,單獨所為之意思表示���。”
? ? ? ?(一)性質(zhì)之爭
? ? ? ?在我國個人信息保護(hù)法的起草過程中,《個人信息保護(hù)法(一審稿)》第14條第1款第1句曾規(guī)定:“處理個人信息的同意�����,應(yīng)當(dāng)由個人在充分知情的前提下�,自愿�、明確作出意思表示?�!睆脑撘?guī)定可知�����,立法機(jī)關(guān)曾將個人信息處理中的個人同意看作是一種意思表示�。不過��,《個人信息保護(hù)法(二審稿)》第14條則刪除了“意思表示”一詞��,該條第1款第1句被修改為:“處理個人信息的同意,應(yīng)當(dāng)由個人在充分知情的前提下自愿����、明確作出��。”正式頒布的《個人信息保護(hù)法》第14條第1款第1句則規(guī)定:“基于個人同意處理個人信息的�����,該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿�、明確作出?����!庇纱丝梢?��,我國《個人信息保護(hù)法》不再將“同意”規(guī)定為“意思表示”�����,同時也對有效的個人同意的要件作出規(guī)定。
? ? ? ?我國理論界對于個人信息處理中的個人同意的性質(zhì),有不同的看法���,主要包括兩種觀點。
? ? ? ?第一種觀點為雙重屬性說。此說認(rèn)為同意具有雙重屬性����,一方面�����,它是侵權(quán)法上阻卻違法的事由;另一方面,它又是法律行為�。換言之���,在合同與侵權(quán)領(lǐng)域中��,個人同意有不同的涵義。在侵權(quán)領(lǐng)域中,“同意”作為侵權(quán)法上的免責(zé)事由可歸入“受害人同意”的范疇��,在構(gòu)成要件上包括必須有明確具體的內(nèi)容、受害人須具有同意能力����、同意必須真實自愿�����、加害人必須盡到充分的告知說明義務(wù);在合同領(lǐng)域中���,同意可能成為相關(guān)合同給付內(nèi)容的一部分,因此當(dāng)事人須具備相應(yīng)的行為能力����。持雙重屬性說的學(xué)者主要是從個人信息既存在消極防御也存在積極利用的角度出發(fā)來認(rèn)識同意的性質(zhì)�����,即從消極防御的角度說���,同意就是違法阻卻事由���,從積極利用的層面看��,同意就是個人在授權(quán)他人商業(yè)化利用其個人信息的許可���。
? ? ? ?第二種觀點是單一屬性說�。此說又可分為權(quán)益處分說����、意思表示說。權(quán)益處分說認(rèn)為,“同意”是一種對于個人信息權(quán)益的處分�����,但是�,這種處分不能脫離商品或服務(wù)合同的語境而單獨存在,只能被視為個人信息主體為了獲得相應(yīng)商品或服務(wù)而必須作出的權(quán)利處分。意思表示說認(rèn)為���,同意本身是自然人作出的意思表示,我國《民法典》總則編關(guān)于意思表示的規(guī)定完全可以適用于自然人就個人信息處理所作出的同意。故此,自然人因欺詐、脅迫或重大誤解而作出的意思表示,是可以撤銷的意思表示�。
? ? ? ?(二)積極與消極層面上的性質(zhì)界定
? ? ? ?前述關(guān)于個人信息處理中的個人同意的性質(zhì)之爭����,雖有一定道理��,但是筆者認(rèn)為�����,個人同意既不具有雙重屬性�����,也并非意思表示以及人格權(quán)要素商業(yè)化利用中權(quán)利人的許可或權(quán)益處分行為�。從其性質(zhì)來看���,在消極的層面上�,個人同意屬于違法阻卻事由即免責(zé)事由,而在積極的層面上���,個人同意是個人信息處理活動的合法根據(jù)或正當(dāng)理由之一。具體闡述如下:
? ? ? ?第一��,在個人信息處理中的個人同意并不涉及我國《民法典》第133條以下的民事法律行為�。意思表示是指表意人向他人發(fā)出的表示,表意人據(jù)此向他人表明��,根據(jù)其意思��,某項特定的法律后果(或一系列法律后果)應(yīng)該發(fā)生并產(chǎn)生效力��。民事法律行為是民事主體通過意思表示設(shè)立、變更�����、終止民事法律關(guān)系的行為。民事法律行為可以基于雙方或多方的意思表示一致成立����,也可以基于單方的意思表示成立�����。因此,意思表示是民事法律行為的核心要素����。但是,在個人信息處理中個人所作出的同意卻不是意思表示���,不屬于民事法律行為。這是因為�����,個人對于個人信息處理者就其個人信息所要實施的處理活動而作出的同意�����,并非旨在發(fā)生民事法律后果的內(nèi)心意思的外在表示����,個人與個人信息處理者之間也沒有就設(shè)立��、變更��、終止民事法律關(guān)系達(dá)成合意。也就是說���,個人信息處理中作出同意的個人實施的不是民事法律行為(Rechtsgeschaeft),而是“法律行動”或“法律上的行為”(Rechtshandlung)��。區(qū)分法律行為和法律上的行為的標(biāo)準(zhǔn)在于:“如果法律秩序的規(guī)定涉及形成法律關(guān)系的行為��,也即所涉及的是法律上的規(guī)則���,則它屬于法律行為的事實構(gòu)成��;如果法律秩序針對某一事實構(gòu)成規(guī)定法律效果,就該事實構(gòu)成而言�,行為不以法律效果的法律發(fā)生為目的��,也即它不能被視為法律上的規(guī)則,則它屬于法律上的行為�?!眰€人僅僅是同意他人在其個人信息權(quán)益的范圍內(nèi)從事某些事實上的行為而已�,如個人信息的收集�����、存儲��、使用�����、加工�����、傳輸���、提供����、公開�����、刪除等���。正是有了這種同意�����,個人信息處理行為才不是非法的行為��,具有了合法根據(jù)。也就是說,個人同意和法律所規(guī)定的事由都屬于個人信息處理活動的合法根據(jù)而已����。正因如此�,我國《個人信息保護(hù)法》第13條第1款才將第1項“取得個人的同意”�,與第2項“為訂立、履行個人作為一方當(dāng)事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”至第7項“法律、行政法規(guī)規(guī)定的其他情形”等并列為個人信息處理者處理個人信息的七類合法根據(jù)�。
? ? ? ?第二����,將個人同意的性質(zhì)理解為意思表示將導(dǎo)致民法中關(guān)于意思表示的法律規(guī)則被錯誤地適用于個人信息處理活動當(dāng)中�����。具體表現(xiàn)在以下兩方面:一方面�����,混淆民事行為能力與同意能力。民事法律行為和意思表示的合法性判斷是一致的�����,無論是有效的法律行為還是有效的意思表示��,都要求相應(yīng)的民事主體具備民事行為能力�����。如果將個人同意作為意思表示���,不僅意味著無民事行為能力人在個人信息的處理中不能作出同意�����,而且限制民事行為能力人在很多時候也不能同意其個人信息被處理����,處理者必須取得限制民事行為能力人的監(jiān)護(hù)人的同意���。然而��,無論是比較法還是我國法都未作此要求��,而只是規(guī)定了某一年齡以下的未成年人的個人信息被處理時,需要取得該未成年人的監(jiān)護(hù)人同意����。例如���,比利時���、丹麥���、芬蘭�����、英國��、瑞典���、拉脫維亞等國家將該年齡規(guī)定為13周歲��,奧地利����、意大利����、西班牙等國規(guī)定為14周歲,法國規(guī)定為15周歲���,德國、匈牙利�����、盧森堡等國則規(guī)定為16周歲��。我國法律則明確規(guī)定為14周歲��,也就是說,只有14周歲以下的未成年人才不能就其個人信息被處理作出同意�����,即不具備同意能力����。如果是14周歲以上,即便是未成年人即限制民事行為能力人��,同樣具有對其個人信息被處理予以有效同意的能力����?���!秱€人信息保護(hù)法》第31條第1款規(guī)定:“個人信息處理者處理不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意?���!薄段闯赡耆吮Wo(hù)法》《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》中也分別規(guī)定處理不滿十四周歲未成年人個人信息的�����,應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護(hù)人同意。之所以就個人信息處理中個人同意的年齡作出不同于民事行為能力的規(guī)定,原因有二:其一�,個人信息處理活動不是一種交易行為����,而是對個人信息進(jìn)行收集�、存儲、加工����、使用��、提供等活動的事實行為,客觀上構(gòu)成對個人信息權(quán)益的侵害,不能將適用于交易行為的民事行為能力套用在其上���。其二,個人信息處理中的個人同意的有效性還受到個人信息保護(hù)法中其他規(guī)定的制約,尤其是個人信息處理者是否充分地履行了告知義務(wù)。也就是說����,即便是完全民事行為能力人在個人信息處理中所作出的同意也并非是有效的�,因為個人信息處理者很可能沒有真實����、準(zhǔn)確����、完整地向個人進(jìn)行告知,以至于該完全民事行為能力人所作出的同意很可能不是自愿的�����。
? ? ? ?另一方面,錯誤地將意思表示的撤銷和撤回適用于個人信息處理中的個人同意�����。依據(jù)《民法典》第141條�����,行為人可以撤回意思表示�����。撤回意思表示的通知應(yīng)當(dāng)在意思表示到達(dá)相對人前或者與意思表示同時到達(dá)相對人。要約也可以撤回,適用的是與意思表示撤回相同的規(guī)定(《民法典》第475條)。意思表示的撤銷主要是指要約的撤銷與法律行為的撤銷���。由于民事法律行為是基于雙方或者多方的意思表示一致而成立的,還可以基于單方的意思表示而成立,故此���,意思表示應(yīng)當(dāng)是真實自由的,不存在欺詐、脅迫、錯誤等瑕疵。否則�����,該民事法律行為就是可撤銷的�����。由于撤銷權(quán)是形成權(quán),其長期存在不利于穩(wěn)定法律關(guān)系���,故此撤銷權(quán)存在除斥期間,期間屆滿而沒有行使撤銷權(quán)的��,則該權(quán)利歸于消滅(《民法典》第152條)�����。民法上關(guān)于意思表示的撤回���、撤銷以及撤銷權(quán)的除斥期間的規(guī)定���,都不能適用于個人信息處理中的個人同意�。具體而言����,包括以下兩個方面:
? ? ? ?一方面,只要是基于個人同意處理個人信息的�����,個人有權(quán)隨時撤回同意(withdrawal of consent)�����?���!秱€人信息保護(hù)法》第15條第1款規(guī)定:“基于個人同意處理個人信息的���,個人有權(quán)撤回其同意��。個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。”這就是說,個人撤回同意是無條件的,只要想撤回����,就可以撤回����,既不需要法律上規(guī)定的理由�����,更無須向處理者說明理由�����。不僅如此����,法律上不存在對個人撤回同意的權(quán)利的其他限制��,撤回權(quán)不存在適用《民法典》規(guī)定的除斥期間的問題����。同樣��,處理者也不能通過格式條款或其他任何方式與個人約定撤回權(quán)行使的期間��,限制或剝奪個人的撤回權(quán)。如果存在這些條款或約定���,均屬無效。在個人信息處理的任何階段��,個人均可以撤回同意����,也就是說���,不僅僅是在個人信息被收集的階段�,也包括加工、存儲��、使用�、提供、公開等各個此前個人同意的處理方式的階段,個人均可以撤回同意�����。之所以個人有權(quán)隨時撤回同意�����,就是因為個人對于其個人信息處理享有決定權(quán)����,其有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理���,除非法律���、行政法規(guī)另有規(guī)定(《個人信息保護(hù)法》第44條)�����。個人信息上承載了法律給予保護(hù)的自然人享有的非常廣泛的權(quán)益��,既包括憲法上的人格尊嚴(yán)、人身自由等基本權(quán)利���,也包括人身權(quán)益��、財產(chǎn)權(quán)益等民事權(quán)益����。如果一旦個人作出了同意�����,就不能撤回或者很難撤回����,那么個人的同意就不可能是真正的同意���,其對個人信息的處理就沒有真正的決定權(quán)�,如此一來,是無法充分地維護(hù)人格尊嚴(yán)和人身自由的�。如果不能正確地認(rèn)識個人同意的性質(zhì)�����,將其理解與意思表示相混淆�����,就會出現(xiàn)將撤回同意理解為撤銷同意,甚至產(chǎn)生要求個人承擔(dān)賠償責(zé)任的錯誤認(rèn)識�。例如��,有觀點認(rèn)為,當(dāng)同意并不直接涉及合同交易領(lǐng)域時�����,可隨時撤回同意�����,該行為僅僅是對他人行為違法性的排除;當(dāng)“同意”涉及具體的合同交易領(lǐng)域時���,則應(yīng)當(dāng)比照適用典型合同中的任意撤銷權(quán)規(guī)則,對個人信息主體的“同意撤回權(quán)”作出一定限制�����,當(dāng)其撤回給信息處理者造成損失時���,應(yīng)當(dāng)承擔(dān)損害賠償責(zé)任���。
? ? ? ?另一方面���,就法律行為的撤銷而言����,撤銷權(quán)的行使具有溯及力。但是����,在個人信息處理中的個人撤回同意則不具有溯及力���。也就是說�,個人撤回同意不影響撤回前基于個人同意已經(jīng)進(jìn)行的個人信息處理活動的效力���,只要這些處理活動本身并不存在其他違法之處�。我國《個人信息保護(hù)法》第15條第2款規(guī)定:“個人撤回同意,不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力。”所謂不影響效力,是指不影響這些個人信息處理活動仍被認(rèn)為是基于個人同意而進(jìn)行的處理活動��,個人不得以其撤回同意為由要求處理者承擔(dān)侵害個人信息權(quán)益的民事責(zé)任���,依法履行個人信息保護(hù)職責(zé)的機(jī)關(guān)也不得以個人已經(jīng)撤回同意為由���,認(rèn)定撤回前基于個人同意已經(jīng)進(jìn)行的個人信息處理活動是違法的�����,進(jìn)而追究處理者的行政責(zé)任或刑事責(zé)任。之所以撤回同意不影響此前處理活動的效力,目的不是要保護(hù)個人信息處理者對個人的某種信賴�����,因為不存在這樣的信賴��。但是����,在允許個人可以隨時撤回同意的情形下����,由于處理者必須隨時做好個人會撤回同意的準(zhǔn)備,所以為了實現(xiàn)個人信息權(quán)益的維護(hù)與個人信息的合理使用之間的利益平衡��,法律上必須作出這樣的規(guī)定��,這也是誠信原則與公平原則的要求�����。
? ? ? ?第三�����,個人同意并非個人將自己的個人信息許可他人使用的意思表示�。我國《民法典》承認(rèn)人格權(quán)的商業(yè)化利用,依據(jù)《民法典》第993條,民事主體可以將自己的姓名�、名稱�、肖像等許可他人使用�,但法律規(guī)定或者根據(jù)其性質(zhì)不得許可的除外。問題是,個人信息是否可以許可他人使用呢?《民法典》第993條只是列舉了“姓名����、名稱�、肖像”����,其中并未包括個人信息。但是,由于該條中有“等”字兜底��,因此學(xué)者認(rèn)為可以將個人信息解釋進(jìn)去�����,即個人信息也可以成為許可利用的對象�����,這是因為“從本質(zhì)上講,個人信息本身就兼具人身屬性和財產(chǎn)屬性����,絕大多數(shù)個人信息都可以進(jìn)行經(jīng)濟(jì)利用����,如將個人信息匯聚成大數(shù)據(jù)由他人共享���,或者用于商業(yè)分析和用于商業(yè)規(guī)劃等”��。筆者認(rèn)為,現(xiàn)有的個人信息處理的法律規(guī)則以及個人的權(quán)利��、處理者的義務(wù)都不是建立在將個人信息權(quán)益作為兼具人格權(quán)和財產(chǎn)權(quán)的基礎(chǔ)之上的�,它們只是建立在個人信息權(quán)益屬于人格權(quán)益的基礎(chǔ)上的。
? ? ? ?從數(shù)據(jù)利用的層面上來說�,海量的個人信息構(gòu)成的大數(shù)據(jù)當(dāng)然具有很大的價值��,但是,一個個自然人的個人信息本身無法進(jìn)行商業(yè)化的許可利用���。
? ? ? ?首先,姓名����、肖像也屬于自然人的個人信息�,其可以被商業(yè)利用�����,這一點毫無疑問���。但是除此之外的個人信息如身份證號碼�����、行蹤軌跡、金融賬戶�、醫(yī)療健康����、家庭住址����、習(xí)慣偏好等無法直接被商業(yè)化利用�����,即便是明星等名人也無法許可他人使用�。這是因為,許可是權(quán)利人將其權(quán)利允許他人在一定時間以及一定地域范圍內(nèi)實施或使用的意思表示���,如許可他人將自己的姓名使用在某種商品上、注冊為商標(biāo)或者在某項服務(wù)上使用���。顯然,除了姓名�����、肖像之外的個人信息無法被這樣使用�。
? ? ? ?其次,承認(rèn)個人信息的許可使用�,直接導(dǎo)致的后果就是����,個人與個人信息處理者之間形成許可合同法律關(guān)系��。比較典型的許可合同如《民法典》規(guī)定的肖像許可使用合同�、技術(shù)許可合同��,《著作權(quán)法》中的著作權(quán)許可使用合同��,《商標(biāo)法》中的商標(biāo)使用許可合同等。許可合同的核心特征就在于其屬于雙務(wù)合同��,許可人的主給付義務(wù)為授予許可或授予使用權(quán)��,而被許可人的對待給付義務(wù)就是支付相應(yīng)的費(fèi)用�����。如果將個人信息處理中的個人同意理解為許可處理者對個人信息商業(yè)化利用的意思表示,或者是授權(quán)處理者對個人信息的使用權(quán)�����,就必然意味著二者之間形成了許可合同這一雙務(wù)合同關(guān)系���,雙方互負(fù)義務(wù)��、互享權(quán)利。至少個人信息處理者要向個人支付費(fèi)用,個人許可處理者使用其個人信息��。然而����,事實并非如此。一方面�����,個人信息處理者只是需要取得個人的同意后才能處理個人信息�����,處理者并未因為個人的同意而取得對該個人的個人信息的專有或非專有的使用�,處理者也并未向個人支付任何的費(fèi)用�;另一方面,就個人而言,其也不存在因為同意了這個處理者處理其信息,就不能同意其他的處理者處理其個人信息。即便處理者有這樣的約定����,該約定也是無效��。不僅如此,個人還有權(quán)隨時撤回同意。顯然這一切都說明�����,個人同意并沒有導(dǎo)致個人與個人信息處理者之間成立個人信息許可使用合同����。有些學(xué)者希望未來個人信息的保護(hù)和利用能夠朝著“普遍免費(fèi)+個別付費(fèi)”或“引入經(jīng)濟(jì)激勵”的方向發(fā)展�。姑且不論目前還沒有國家采取這種做法,即便要采取這種模式也會面臨很大的問題����,就是當(dāng)基于個人同意處理個人信息的活動成為個人信息的交易后�����,個人信息處理中處理者和個人的權(quán)利義務(wù)關(guān)系必將發(fā)生本質(zhì)改變(如個人是否還有權(quán)隨時撤回同意就值得懷疑了)�����,這對于個人信息保護(hù)究竟是有利還是有害,很值得懷疑���!
? ? ? ?有鑒于同意與許可的區(qū)別,我國《民法典》人格權(quán)編中明確區(qū)分了人格權(quán)主體的同意和許可他人使用。作為規(guī)范人格要素商業(yè)化利用的核心條款,《民法典》第993條明確使用的就是“許可”他人使用的表述�����。不僅如此��,在對能夠商業(yè)化利用的人格要素的具體規(guī)定中�����,《民法典》更是明確區(qū)分了許可與同意。以最為典型的能夠商業(yè)化利用的人格權(quán)——肖像權(quán)為例�,在規(guī)定侵害肖像權(quán)的行為時����,《民法典》第1019條使用的是未經(jīng)肖像權(quán)人“同意”的表述��。而在規(guī)定肖像權(quán)人對肖像進(jìn)行商業(yè)化利用時���,《民法典》第1018條第1款采取的是“許可他人使用”的表述,同時��,第1021條和第1022條還對肖像許可使用合同作出了特別的規(guī)定����。
? ? ? ?(三)免責(zé)事由
? ? ? ?個人同意的性質(zhì)可以從兩方面加以認(rèn)識。消極層面上����,個人同意屬于違法阻卻事由����,其功能在于針對那些法益侵害行為發(fā)揮正當(dāng)化的效力���。違法阻卻事由是區(qū)分違法性與過錯的立法例中采取的概念��。德國法上認(rèn)為�,違法阻卻事由是指對暫時認(rèn)定的違法性的反駁���,即法律所認(rèn)可的針對假定違法性的一種的特殊例外���,具體包括正當(dāng)防衛(wèi)��、緊急避險��、自助行為、維護(hù)正當(dāng)利益和同意等�。
? ? ? ?我國《民法典》沒有明確區(qū)分違法性與過錯��,學(xué)說上通常不使用“違法阻卻事由”的概念,而是用“免責(zé)事由”一詞來包含違法阻卻事由���。在我國《民法典》中,免責(zé)事由包括:不可抗力(第180條)��、正當(dāng)防衛(wèi)(第181條)�����、緊急避險(第182條)、自愿實施緊急救助行為(第184條)、受害人故意(第1174條)��、第三人行為(第1175條)�、自甘冒險(第1176條)、自助行為(第1177條)以及同意(第1219條����、第1036條)�。在這些免責(zé)事由中,有些是通過排除加害行為與權(quán)益被侵害之間的因果關(guān)系以致侵權(quán)責(zé)任不成立��;有些則是排除行為的違法性(或過錯)而使得行為人無需承擔(dān)侵權(quán)責(zé)任�。前者如受害人故意、第三人行為等����,后者如同意�����、自助行為、緊急避險�����、正當(dāng)防衛(wèi)�。從積極層面上看,個人信息處理中的個人同意為個人信息處理行為提供了合法根據(jù)����,排除了該行為的非法性����,從而使得處理行為具有合法基礎(chǔ)��,不構(gòu)成對個人信息權(quán)益的侵害行為。具體來說�,個人同意所引發(fā)的私法上的法律效果為:取得同意的處理者只要是在個人同意的范圍(包括自然人所同意的處理主體�、處理目的�、處理方式和處理的個人信息種類等)之內(nèi),從事個人信息處理行為�,那么該行為就不構(gòu)成侵害行為���,不具有非法性���。自然人針對個人信息享有受法律保護(hù)的權(quán)利�����,也稱個人信息權(quán)益。廣義上的個人信息權(quán)益既包括個人信息上承載的人格尊嚴(yán)、人身自由等憲法權(quán)利,也包括自然人的人身權(quán)益、財產(chǎn)權(quán)益等民事權(quán)益��。狹義的個人信息權(quán)益����,則僅指我國《個人信息保護(hù)法》《民法典》所賦予的自然人對其個人信息享有作為民事權(quán)益的人格權(quán)益。自然人享有個人信息權(quán)益意味著,其他組織或個人應(yīng)尊重而不得侵犯該權(quán)益,承認(rèn)自然人的個人信息權(quán)益就必然導(dǎo)致對他人行為自由的限制�。處理者對個人信息進(jìn)行的任何處理行為(無論是收集��、存儲、使用�,還是加工����、傳輸���、提供���、公開等)���,客觀上就構(gòu)成對個人信息權(quán)益空間的侵入或干擾��,違反了法秩序,具有(暫時認(rèn)定的)非法性��。要排除這種非法性���,就必須具備法律上的正當(dāng)性��。在個人信息保護(hù)法上�����,此種正當(dāng)性要么來自于個人的同意,要么來自于法律��、行政法規(guī)的規(guī)定即法定的許可(legal permission)���,二者構(gòu)成了全部個人信息處理的法律基礎(chǔ)。作為個人信息權(quán)益主體的個人����,可以對自己的權(quán)益進(jìn)行合法處分����,其可以自行行使該權(quán)益���,也可以同意他人對自己民事權(quán)益的干涉���。因此�,在得到民事權(quán)益所有者的同意后,被同意者實施的客觀上侵害他人民事權(quán)益的行為��,對于同意者而言����,就不構(gòu)成侵害���。當(dāng)然�,法律、行政法規(guī)也可以基于促進(jìn)個人信息的合理利用����、維護(hù)公共利益����、國家利益等理由而特別規(guī)定某些情形下不需要取得個人的同意就可以處理其個人信息���。故此�,我國《民法典》第1035條第1款第1項規(guī)定,處理個人信息必須“征得該自然人或者其監(jiān)護(hù)人同意����,但是法律�����、行政法規(guī)另有規(guī)定的除外”。所謂法律����、行政法規(guī)另有規(guī)定的除外�,如《民法典》第1036條規(guī)定的兩種情形以及《個人信息保護(hù)法》第13條第1款第2-7項列舉的各種情形�����。
? ? ? ?事實上�,《個人信息保護(hù)法》中規(guī)定的個人信息處理中的個人同意����,與《民法典》第1219條規(guī)定的診療活動中患者(或其近親屬)的同意以及《民法典》第1008條規(guī)定的受試者或者受試者的監(jiān)護(hù)人的同意���,這三種活動都必須遵循告知同意規(guī)則����,其中,個人同意的性質(zhì)也是相同的。就個人信息處理者要實施的個人信息處理活動而言���,如前所述,其在客觀上構(gòu)成了對自然人的個人信息權(quán)益的侵害,因此必須具備合法的理由(muss gerechtfertigt werden)����。告知并取得個人的同意����,就是這樣的一個重要的合法理由���。同樣����,醫(yī)療機(jī)構(gòu)或者醫(yī)務(wù)人員實施的診療活動也構(gòu)成對患者身體權(quán)或健康權(quán)的侵害���,符合人身傷害(Koerperverletzung)的客觀事實要件�����,也必須具備合法的理由,即取得患者或者近親屬的明確同意���。為研制新藥��、醫(yī)療器械或者發(fā)展新的預(yù)防和治療方法����,需要進(jìn)行的臨床試驗����,可能對受試者生命健康權(quán)造成侵害或危險,故此必須向受試者或者受試者的監(jiān)護(hù)人告知試驗?zāi)康摹⒂猛竞涂赡墚a(chǎn)生的風(fēng)險等詳細(xì)情況��,并經(jīng)其書面同意�。當(dāng)然,由于醫(yī)療活動和臨床試驗涉及到自然人的生命權(quán)�����、身體權(quán)�、健康權(quán)等最高位階的權(quán)益,故此��,除了告知并取得個人同意外���,診療活動的合法事由僅有一種情形����,即《民法典》第1220條所規(guī)定的“因搶救生命垂危的患者等緊急情況,不能取得患者或者其近親屬意見的�����,經(jīng)醫(yī)療機(jī)構(gòu)負(fù)責(zé)人或者授權(quán)的負(fù)責(zé)人批準(zhǔn)�,可以立即實施相應(yīng)的醫(yī)療措施”。至于臨床試驗,除了向受試者或者受試者的監(jiān)護(hù)人告知試驗?zāi)康?���、用途和可能產(chǎn)生的風(fēng)險等詳細(xì)情況�����,并經(jīng)其書面同意外��,沒有其他的合法事由���。但是���,在個人信息處理中��,由于個人信息權(quán)益的效力位階并非如生命權(quán)、身體權(quán)和健康權(quán)那么高�,且個人信息的合理利用對于整體社會福利也是非常必要的����,故此��,《個人信息保護(hù)法》同時以保護(hù)個人信息權(quán)益和促進(jìn)個人信息合理利用為立法目的��。在這一立法目的要求下,除了取得個人同意外���,還存在很多其他個人信息處理的合法事由,對此《個人信息保護(hù)法》第13條第1款第2-7項作出了詳細(xì)列舉��。
? ? ? ?二���、個人同意的有效要件
? ? ? ?在個人信息處理中�,個人作出的同意必須符合一定的要件才是有效的。這是因為����,對個人信息的處理客觀上構(gòu)成對自然人個人信息權(quán)益的侵害�,并且會帶來各種風(fēng)險,對個人權(quán)益影響重大�����。為了更好地保護(hù)自然人��,法律上應(yīng)當(dāng)明確個人同意的有效要件。歐盟《一般數(shù)據(jù)保護(hù)條例》第4條第11款規(guī)定了有效同意必須具備四個要件:(1)自由作出的(freely given)�����;(2)具體的(specific)����;(3)被告知的(informed);(4)明確的(unambiguous)����。這一標(biāo)準(zhǔn)被認(rèn)為提高了有效同意的門檻�,而歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)也傾向于嚴(yán)格地解釋這四項標(biāo)準(zhǔn)�����。我國《民法典》《網(wǎng)絡(luò)安全法》等法律沒有對同意的有效要件作出規(guī)定�����。《個人信息保護(hù)法》第14條第1款第1句對同意的有效要件作出規(guī)定:“處理個人信息的同意�,應(yīng)當(dāng)由個人在充分知情的前提下自愿�、明確作出�。”具體而言�����,個人信息處理中個人同意的有效要件包括以下幾項���。
? ? ? ?(一)同意能力
? ? ? ?在個人信息處理中����,只有當(dāng)作出同意的自然人具有同意能力(capacity to consent)時����,所作出的同意方屬有效?����!睹绹謾?quán)行為法重述(第二次)》[Restatement(Second)of Torts]第892A條第2款規(guī)定����,有效的同意,是指有同意能力的人或經(jīng)授權(quán)代理作出同意的人所作出的同意,且該同意是就特定行為而作出的或就實質(zhì)上相同的行為而作出的�����。同意能力不同于行為能力����。在法律行為制度中,為了維護(hù)交易安全從而要求從事法律行為的當(dāng)事人必須具備行為能力,無民事行為能力人必須由其法定代理人代理實施民事法律行為,其單獨實施的民事法律行為屬于無效的民事法律行為;限制民事行為能力人實施民事法律行為要由其法定代理人代理或者經(jīng)其法定代理人同意���、追認(rèn),未經(jīng)同意或追認(rèn)的法律行為無效或者相對人可以撤銷,但是�����,限制民事行為能力人可以獨立實施純獲利益的民事法律行為或者與其年齡�、智力、精神健康狀況相適應(yīng)的民事法律行為。
? ? ? ?如前文所述��,個人信息處理中的個人同意并非意思表示�,并沒有表述任何指向某個法律效果的意思表達(dá)(Willensaeusserung),而只是指向一種簡單的法律行動����,故此����,同意不是法律行為����,不適用法律行為的特別要件。其對自己權(quán)益的處分�,不能完全適用民法中關(guān)于行為能力的規(guī)定�。德國民法通說認(rèn)為���,受害人的同意能力不能以有行為能力作為判斷標(biāo)準(zhǔn),應(yīng)以個別案件中受害人的識別能力作為標(biāo)準(zhǔn)。德國聯(lián)邦最高法院的判例認(rèn)為�����,“如果根據(jù)一名未成年人精神上和道德上的成熟程度���,能夠衡量侵害行為以及同意侵害的意義和后果”���,那么該未成年人表示同意即可��。英美侵權(quán)法也認(rèn)為,同意能力不同于行為能力�。同意能力是一個人對其決定的性質(zhì)�����、程度以及可能產(chǎn)生的后果的理解能力��。兒童、醉漢�、神志不清的人�����、精神病人或者低智能者作出的同意一般是無效的,他們的同意只能由監(jiān)護(hù)人作出�。
? ? ? ?依據(jù)我國《個人信息保護(hù)法》第31條第1款以及《未成年人保護(hù)法》第72條第1款的規(guī)定����,個人信息處理者處理不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意��。故此���,年滿十四周歲的人都具有同意能力�,其可以在個人信息處理中作出同意���,十四周歲以下人不具有同意能力����。至于已經(jīng)年滿十四周歲����,但因疾病等原因而不能辨認(rèn)或不能完全辨認(rèn)自己行為的人,其在個人信息處理中是否具有同意能力����,需要根據(jù)具體情形加以判斷。
? ? ? ?(二)同意系個人在充分知情的前提下作出
? ? ? ?任何有效的同意都應(yīng)當(dāng)在同意者充分知情的前提下作出。如果不知情����,那么這種同意則不是真實的�����,是無效的��。例如,在醫(yī)療過程中����,醫(yī)生在為病人從事醫(yī)療行為時必須盡到充分的告知與說明義務(wù)。醫(yī)生必須將從事醫(yī)療行為的必要性����、危險性等各方面的信息充分傳達(dá)給受害人���,如果受害人對此不具有充分的識別能力�,那么醫(yī)生須將此等信息告知給他的法定代理人�����。在英美以及德國���,法律以及法院的判例都對醫(yī)生的告知說明義務(wù)作出相應(yīng)規(guī)定。法院的判例認(rèn)為���,當(dāng)就告知、說明義務(wù)發(fā)生疑義時,醫(yī)生應(yīng)當(dāng)舉證證明自己充分履行了該義務(wù)�����。我國《民法典》第1219條第1款也對醫(yī)務(wù)人員說明義務(wù)和患者知情同意權(quán)作出規(guī)定����。
? ? ? ?由于在個人信息處理活動中,處理者與個人之間的信息是不對稱的,因此同意規(guī)則必須與告知規(guī)則密切聯(lián)系,即要求處理者必須充分地告知�����,從而確保個人是在充分知情的前提下而作出同意的�。否則,處理者不告知或告知不充分,而個人在完全不知情或不充分知情的情況下所作出的同意���,就是無效的。簡言之��,個人信息處理者為處理個人信息而取得個人同意之前���,應(yīng)當(dāng)履行告知義務(wù)�,為個人提供相應(yīng)的知識。例如�,處理者應(yīng)告知個人�,處理其個人信息的主體是誰�,處理的目的是什么,處理的方式與范圍如何等相關(guān)知識����。這一要求也是個人信息處理中的透明原則的要求。該原則是指處理個人信息時應(yīng)當(dāng)采取公開�����、透明的方式�,公開個人信息處理的規(guī)則,向信息主體明示個人信息處理的目的�、處理的方式和處理的范圍����。之所以要確立透明原則,是因為自然人對其個人信息的處理享有知情權(quán)和決定權(quán)�����。如果個人信息處理者不以公開��、透明的方式處理個人信息��,而是采取隱秘的、暗箱操作的方式�����,那么即便個人表示了同意��,其同意也不是真實的同意�,此種處理行為也屬于非法處理行為�����。對此,歐盟《一般數(shù)據(jù)保護(hù)條例》在導(dǎo)言部分的第39條有清晰的說明:“透明性原則要求任何有關(guān)這些個人數(shù)據(jù)處理的信息和通信都應(yīng)可輕松獲取且容易理解����,并且使用通俗易懂的語言�����。……應(yīng)當(dāng)讓自然人了解與處理個人數(shù)據(jù)有關(guān)的風(fēng)險����、規(guī)則����、保障和權(quán)利�����,以及如何行使與處理有關(guān)的權(quán)利�。特別是���,處理個人數(shù)據(jù)的具體目的應(yīng)清晰且合法����,并在收集個人數(shù)據(jù)時予以明確���?��!卑W盟《一般數(shù)據(jù)保護(hù)條例》在內(nèi)的許多國家或地區(qū)的數(shù)據(jù)保護(hù)法和個人信息保護(hù)法都要求處理者必須遵循透明的原則。早在1980年《經(jīng)濟(jì)合作與發(fā)展組織關(guān)于隱私保護(hù)和個人數(shù)據(jù)跨疆界流動的指導(dǎo)原則》(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)中就提出了公開原則,該指導(dǎo)原則要求:“應(yīng)當(dāng)公開有關(guān)個人數(shù)據(jù)的開發(fā)����、應(yīng)用和操作規(guī)程的一般政策�。應(yīng)當(dāng)提供現(xiàn)實可行的手段以確定個人數(shù)據(jù)的存在狀況����、性質(zhì)、使用目的以及數(shù)據(jù)控制者的身份和住址?����!薄栋臀魍ㄓ脭?shù)據(jù)保護(hù)法》第6條第6款規(guī)定���,個人數(shù)據(jù)處理應(yīng)當(dāng)遵循透明原則�����,即“保證數(shù)據(jù)主體能夠就數(shù)據(jù)處理和相應(yīng)的處理代理人獲得清晰�����、準(zhǔn)確和易得的信息�,且遵守商業(yè)和企業(yè)機(jī)密”��。2018年美國加利福尼亞州《消費(fèi)者隱私法案》(California Consumer Privacy Act)在第2節(jié)“立法目的”中就明確指出:“人們期許隱私和其信息的更多控制����。加利福尼亞消費(fèi)者應(yīng)當(dāng)能夠就其個人信息行使控制權(quán)�����,并且期待防治個人信息濫用的保護(hù)措施。企業(yè)可能在尊重消費(fèi)者隱私的同時,就其企業(yè)活動提供高水平的透明度��?!?
? ? ? ?我國《民法典》第1035條要求個人信息處理者應(yīng)當(dāng)“公開處理信息的規(guī)則”“明示處理信息的目的、方式和范圍”?���!毒W(wǎng)絡(luò)安全法》第41條第1款和《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條均對網(wǎng)絡(luò)運(yùn)營者�、網(wǎng)絡(luò)服務(wù)提供者收集����、使用信息應(yīng)遵循合法、正當(dāng)�、必要原則予以規(guī)定����?�!秱€人信息保護(hù)法》第7條更是將公開透明原則作為個人信息處理中的一項基本原則加以詳細(xì)規(guī)定:“處理個人信息應(yīng)當(dāng)遵循公開����、透明的原則���,公開個人信息處理規(guī)則��,明示處理的目的���、方式和范圍�?����!睘榱舜_保個人是在充分知情的前提下作出同意的����,《個人信息保護(hù)法》第17條第1款規(guī)定:“個人信息處理者在處理個人信息前�����,應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實��、準(zhǔn)確�����、完整地向個人告知下列事項:(一)個人信息處理者的名稱或者姓名和聯(lián)系方式��;(二)個人信息的處理目的、處理方式����,處理的個人信息種類�����、保存期限;(三)個人行使本法規(guī)定權(quán)利的方式和程序��;(四)法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項�?��!痹趥€人無法或難以理解個人信息處理規(guī)則時��,依據(jù)該法第48條,個人還有權(quán)要求個人信息處理者對其個人信息處理規(guī)則進(jìn)行解釋說明��。此外���,當(dāng)個人信息處理者轉(zhuǎn)移個人信息或者向他人提供其處理的個人信息時���,應(yīng)當(dāng)向個人告知接收方的身份����、聯(lián)系方式��、處理目的����、處理方式和個人信息的種類等事項(《個人信息保護(hù)法》第22�����、23條)�����。
? ? ? ?(三)同意是自愿且明確的
? ? ? ?同意必須是自愿的(voluntary),如果個人是在威脅��、欺詐或脅迫的情況下而作出同意����,那么這種同意就不是個人在有真正的選擇權(quán)的情形下作出的,是不真實的�、不自愿的���。法律上不應(yīng)當(dāng)使個人承受這種基于不自愿的同意所產(chǎn)生的后果���,故此�����,這種同意是無效的�����。法律上之所以要確保個人的同意必須是自愿作出���,根本原因在于現(xiàn)代網(wǎng)絡(luò)信息時代中個人信息處理者與個人之間的關(guān)系屬于持續(xù)性的信息不平等關(guān)系���。歐盟《一般數(shù)據(jù)保護(hù)條例》導(dǎo)言部分第43條規(guī)定:“特別是當(dāng)控制者是公權(quán)力一方且基于特定情形下予以考慮的所有條件認(rèn)為同意不可能是自愿作出的�,該同意并不能成為該特定情形下個人數(shù)據(jù)處理的有效法律依據(jù)�。”網(wǎng)絡(luò)信息科技引發(fā)的處理者與個人之間的不對等關(guān)系表現(xiàn)在以下幾個方面:其一,現(xiàn)代網(wǎng)絡(luò)信息科技的發(fā)展,使得個人信息以前所未有的數(shù)量和種類被產(chǎn)生�,個人常常不知道自己產(chǎn)生了什么樣的個人信息�����;其二,現(xiàn)代信息網(wǎng)絡(luò)社會使得社會生活被高度數(shù)字化,個人信息處理成為現(xiàn)代生產(chǎn)生活所必需的活動�����,個人缺乏拒絕或阻止個人信息被處理的能力��,否則就要為此付出各種各樣或大或小的代價�。個人信息處理者留給個人的選項只有留下或離開�。其三,算法和算力的提升使得個人信息處理的目的和方式具有無限可能性,加之算法的專業(yè)性與不透明性���,就會使得個人信息處理對個人權(quán)益可能產(chǎn)生何種危險或損害,常常是個人難以了解的�。正因如此�����,為了避免個人作出同意時受到強(qiáng)迫或陷入其他喪失選擇自由的狀態(tài),我國《個人信息保護(hù)法》第14條明確規(guī)定���,在基于個人同意處理個人信息時,個人作出的同意必須是自愿的����。這就是說����,個人信息處理者通過欺詐�、脅迫或者誤導(dǎo)等方式取得的個人的同意是無效的。例如,《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第4條就規(guī)定:“有下列情形之一�,信息處理者以已征得自然人或者其監(jiān)護(hù)人同意為由抗辯的���,人民法院不予支持:(一)信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的���,但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外����;(二)信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的�;(三)強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形?��!?
? ? ? ?所謂同意是明確的,要求個人是以清晰��、明白而非含糊的���、模棱兩可的方式表示同意��。只要同意是以明確的方式作出的即可���,至于是通過紙質(zhì)���、電子形式等書面方式,還是通過口頭方式作出的���,無關(guān)緊要。例如����,歐盟《一般數(shù)據(jù)保護(hù)條例》導(dǎo)言部分第32條就指出�,個人同意可以書面陳述(包括電子形式)或者口頭聲明����、在瀏覽網(wǎng)頁時在方框里打鉤或其他陳述或行為等方式作出。再如����,德國《聯(lián)邦數(shù)據(jù)保護(hù)法》(Bundesdatenschutzgesetz)第51條第2款規(guī)定�,如果數(shù)據(jù)主體的同意是在同時涉及到其他事項的書面聲明中作出的���,則對于同意的請求應(yīng)以與其他事項明顯區(qū)分的方式提出�����,且該請求應(yīng)當(dāng)易于理解且所使用的文字應(yīng)當(dāng)清晰明了�。
? ? ? ?三��、個人同意的方式與類型
? ? ? ?理論上說�����,同意可以是明示的(expressly),也可以是默示的(implied)��。特殊情形下才可以是沉默����。但是���,由于《個人信息保護(hù)法》第14條第1款第1句已經(jīng)明確規(guī)定,個人對于其個人信息被處理而作出的同意必須是在充分知情的前提下自愿���、明確作出的,故此同意必須是明示的��,而默示����、預(yù)選方框或者不作為都不構(gòu)成同意。所謂明示的同意�,是指個人通過言語����、文字等積極的行為即作為來作出對處理者實施的個人信息處理行為的同意����。此種積極的行為,包括網(wǎng)絡(luò)上關(guān)于是否同意處理其個人信息的對話框中的“同意”選項���,也包括打電話給處理者口頭告知同意其處理個人信息,以及通過填寫電子表格��、發(fā)送電子郵件或者上傳包含個人電子簽名的文檔等積極作為的方式來表示同意���。由于個人信息處理者負(fù)有舉證證明取得個人同意的義務(wù)�����,故此���,采取紙質(zhì)或者電子方式的同意�����,對于處理者而言更為穩(wěn)妥�。從我國《民法典》以及《個人信息保護(hù)法》的規(guī)定來看,個人同意有以下三種類型:
? ? ? ?(一)明確同意
? ? ? ?《民法典》中有兩處使用“明確同意”的表述:一是,《民法典》第1033條第5項規(guī)定,除法律另有規(guī)定或者權(quán)利人明確同意外�,任何組織或者個人不得處理他人的私密信息�����。二是,《民法典》第1219條規(guī)定的醫(yī)務(wù)人員說明義務(wù)和患者知情同意權(quán)。從立法本意來看�����,《民法典》要求明確同意��,也只是為了強(qiáng)調(diào)權(quán)利人必須是清晰地�、毫不含糊地作出了同意��,至于同意的方式究竟是哪一種���,并不重要��。《個人信息保護(hù)法》中沒有采取“明確同意”這一概念�����,但是���,《個人信息保護(hù)法》第14條第1款要求同意應(yīng)當(dāng)由個人在充分知情的前提下“自愿�、明確作出”。由此可見����,“明確”應(yīng)當(dāng)是對個人信息處理中個人同意的一般性要求���,即無論是書面的還是非書面的,單獨的還是非單獨的同意���,都應(yīng)當(dāng)是明確作出的同意,即明確同意��。故此����,在《個人信息保護(hù)法》中明確同意本身不是一種同意的類型�����。
? ? ? ?(二)單獨同意
? ? ? ?單獨同意是我國《個人信息保護(hù)法》獨創(chuàng)的概念,此前的法律中都沒有規(guī)定����,比較法上似乎也未見類似的立法例�。依據(jù)《個人信息保護(hù)法》第14條第1款第2句���,在法律�����、行政法規(guī)規(guī)定處理個人信息應(yīng)當(dāng)取得個人單獨同意或者書面同意的�����,從其規(guī)定。也就是說,除了要求同意必須在個人充分知情的前提下自愿�����、明確地作出�����,法律、行政法規(guī)還可以提出特別的要求即單獨同意或書面同意��。依據(jù)《個人信息保護(hù)法》的規(guī)定��,需要取得單獨同意的個人信息處理活動主要包括五類:其一���,處理者向其他處理者提供其處理的個人信息(第23條)�����;其二,處理者公開個人信息(第25條)����;其三��,將在公共場所安裝圖像采集、個人身份識別設(shè)備所收集的個人圖像�����、身份識別信息用于維護(hù)公共安全之外的其他目的(第26條)����;其四,處理敏感個人信息(第29條)����;其五��,向我國境外提供個人信息(第39條)。
? ? ? ?顯然��,從單獨同意適用的上述情形可以看出���,它們都是會對個人權(quán)益產(chǎn)生較為重大的影響的情形����,故此需要通過非常鮮明����、突出的方式來警示個人,使個人在認(rèn)真且慎重地權(quán)衡利弊得失后作出同意與否的決定。因此�,單獨同意的要求本質(zhì)上就是法律強(qiáng)制地要求個人信息處理者將個人針對某類處理活動作出的同意與對其他的處理活動作出的同意區(qū)分�����、凸顯出來���。這就意味著����,個人信息處理者在取得個人同意的時候����,既不能將需要取得同意的個人信息處理活動的內(nèi)容與其他信息混在一起,也不能將處理目的���、處理方式和個人信息種類等不同的個人信息處理活動混在一起而概括取得個人的同意。處理者必須就法律所規(guī)定的特定類型的個人信息處理活動專門取得個人的同意�。在以往的實踐中��,網(wǎng)絡(luò)服務(wù)提供者可能會將各種內(nèi)容混在一起,放在所謂的隱私政策或服務(wù)條款中��,其中既有個人信息處理活動的內(nèi)容���,也有合同權(quán)利義務(wù)的約定��、警示提示甚至宣傳吹噓自己服務(wù)的內(nèi)容等,長篇大論,個人只需要點擊最后一個同意即可��。這種同意至少就需要單獨同意的個人信息處理活動而言���,屬于無效的同意����。至于將需要單獨同意的個人信息(如敏感的個人信息)和不需要取得單獨同意的個人信息都混在一起,概括地一攬子取得個人的同意的做法���,在《個人信息保護(hù)法》施行后也是不可以的。
? ? ? ?(三)書面同意
? ? ? ?所謂書面同意��,是指個人應(yīng)當(dāng)以書面的形式作出同意�。依據(jù)《民法典》第469條,書面形式是合同書�����、信件、電報、電傳、傳真等可以有形地表現(xiàn)所載內(nèi)容的形式��。以電子數(shù)據(jù)交換��、電子郵件等方式能夠有形地表現(xiàn)所載內(nèi)容�����,并可以隨時調(diào)取查用的數(shù)據(jù)電文,視為書面形式���。書面形式既有助于發(fā)揮警示的作用,使當(dāng)事人三思而后行��,也有助于保存證據(jù)�����,避免和解決糾紛。在個人信息處理中��,書面同意提高了對處理者的要求���,其意味著�����,個人的同意不僅應(yīng)當(dāng)是個人在充分知情的前提下自愿�����、明確地作出的,還必須采取書面形式��,而處理者負(fù)有舉證證明存在該書面同意的義務(wù)����。如果處理者不能證明取得了個人的書面同意���,即便可以證明取得了同意���,該處理活動也是非法的�、無效的���。
? ? ? ?歐盟《一般數(shù)據(jù)保護(hù)條例》沒有要求同意必須是書面的�,這是因為該條例不能破壞成員國本國相關(guān)法律對于同意的形式的規(guī)定?����!秱€人信息保護(hù)法》頒布前���,我國的一些行政法規(guī)就已經(jīng)對于個人信息處理活動需要取得書面同意作出了規(guī)定�����。《征信業(yè)管理條例》第18條規(guī)定:“向征信機(jī)構(gòu)查詢個人信息的�����,應(yīng)當(dāng)取得信息主體本人的書面同意并約定用途�����。但是�����,法律規(guī)定可以不經(jīng)同意查詢的除外?����!钡?9條第2款規(guī)定:“從事信貸業(yè)務(wù)的機(jī)構(gòu)向金融信用信息基礎(chǔ)數(shù)據(jù)庫或者其他主體提供信貸信息��,應(yīng)當(dāng)事先取得信息主體的書面同意��,并適用本條例關(guān)于信息提供者的規(guī)定?!薄秱€人信息保護(hù)法》并沒有要求同意必須是書面形式�,而只是規(guī)定法律�、行政法規(guī)要求采取書面形式的,從其規(guī)定����。不過,由于《個人信息保護(hù)法》第14條第1款已經(jīng)要求同意必須是明確作出的�,這就意味著在個人信息處理活動中����,處理者為了證明已經(jīng)取得個人明確����、自愿的同意,基本上都會對個人的同意采取書面形式的要求,否則難以證明這一點。
? ? ? ?從《個人信息保護(hù)法》第14條第1款第2句的規(guī)定可知���,單獨同意、書面同意肯定是比一般的同意更高的要求。從該法第29條來看��,書面同意的要求應(yīng)當(dāng)又要比單獨同意的要求更高�。因為處理敏感的個人信息本身就要求取得個人的單獨同意,同時還規(guī)定,法律��、行政法規(guī)規(guī)定處理敏感的個人信息應(yīng)當(dāng)取得書面同意的���,從其規(guī)定���。這就是說��,法律�、行政法規(guī)會要求某些敏感個人信息的處理必須取得個人的“書面的單獨同意”�����。從這個角度來說����,筆者認(rèn)為,所謂“書面的單獨同意”應(yīng)當(dāng)是指紙面的同意書,即處理者必須取得個人親筆簽名的���、針對某類敏感個人信息的處理表示同意的紙質(zhì)同意書��。
? ? ? ?結(jié)? 語
? ? ? ?在個人信息處理中�,同意并非個人信息處理行為的唯一合法基礎(chǔ)��,法律�、行政法規(guī)還可以規(guī)定無需取得個人同意而處理個人信息的各種情形���。但是��,無論如何����,告知同意是個人信息處理的基本規(guī)則����。個人信息處理者充分履行告知義務(wù)并取得個人同意后處理個人信息的活動不具有非法性,而是合法的個人信息處理活動�。同意的性質(zhì)就是阻卻了處理行為的非法性��,使之成為合法行為。由于不同的個人信息處理活動的風(fēng)險不同��,故此��,《個人信息保護(hù)法》等法律對于同意也有不同的要求���,如單獨同意或者書面同意���。這種做法提高了對處理者的個人信息處理行為的要求�,有利于保護(hù)自然人的個人信息權(quán)益�。當(dāng)然,同意的要件與形式的明確規(guī)定�����,客觀上也使得個人信息處理者有明確穩(wěn)定的預(yù)期����,降低了合規(guī)成本��。
(部分內(nèi)容來源網(wǎng)絡(luò)����,如有侵權(quán)請聯(lián)系刪除)
