论同意规则在个人信息保护中的适用
——以情景类型化为视角

2022-04-22 10:04姬蕾蕾
关键词:财产性信息处理个人信息

姬蕾蕾

(上海交通大学 凯原法学院,上海 200240)

随着数据技术的不断研发与应用,数据渗透到各个行业领域,成为经济发展必不可少的生产要素。个人信息作为数据产生的重要源泉,蕴藏巨大的经济价值,在对其利用的过程中,法律如何保护个人信息无疑成为最具挑战的课题。在既有的法律规范中,知情同意规则作为个人信息保护体系的核心,在国内外个人信息保护立法中已达成共识。自美国公平信息实践准则(FIPPs)提出知情同意规则以来,就对美国信息隐私立法产生巨大影响,其中1974年《隐私法》直接纳入知情同意规则。(1)美国自动化信息系统委员会提出的五项个人隐私保护原则纳入《隐私法》,其中包括知情规则和同意规则。Daniel J.Solove,Privacy Self-Management and the Consent Dilemma.Harvard Law Review,Vol.126,2013,p.1882.随后,大部分国家立法或司法普遍采纳同意规则作为处理个人信息的合法要件。1980年经济合作与发展组织(OECD)《隐私保护与个人数据跨境流通指南》、2004年亚太经济与合作组织(APEC)《APEC隐私框架》也都延续了公平信息实践准则中的同意规则。(2)Daniel J.Solove,Privacy Self-Management and the Consent Dilemma.Harvard Law Review,Vol.126,2013,p.1882,1885.欧盟1995年《个人数据保护指令》将信息主体同意作为信息处理的首要合法要件(3)《数据保护指令》第7条规定了处理个人信息的一般标准:(1)信息主体已经明确表示同意;(2)处理为履行信息主体作为一方的合同,或应信息主体要求执行订立合同的先行措施所必需;(3)信息控制者履行其法定义务所必需的处理;(4)为信息主体的重大利益而处理其个人信息;(5)为了公共利益而为的处理;(6)为第三人的正当利益,但信息主体的基本人权和自由优于第三人正当利益的除外。,2018年《一般数据保护条例》更对同意规则作出较为细化的规定。(4)《一般数据保护条例》有别于过去将同意作为信息处理的首要条件,对于特殊类型数据处理的同意为明确同意,而对其他一般信息的处理仅需同意,即同意包含明确同意和默示同意。我国《民法典》《网络安全法》《个人信息保护法》《数据安全法》《消费者权益保护法》等都将同意规则作为个人信息处理的合法基础,以法律的高度覆盖保护个人信息。由此可知,同意自发端即为个人信息保护的基本规则,蕴含信息主体对其信息的自主决定权,在个人信息保护领域具有举足轻重的规范价值。然而在实践中同意规则的适用却存在多重困境。

一、同意规则的适用困境及破解方向

(一)同意规则的适用困境

从规范功能和规范效果来看,同意规则无疑是保障信息主体对其信息控制的重要方式。但是伴随大数据时代的到来,个人信息的收集与利用达到前所未有的高度,同意规则的功能逐步失灵。立法者立足于数字社会的背景,更新知情同意机制,期望以此缓解信息主体与信息处理者之间的利益冲突。然而随着个人信息纠纷的不断增加,同意规则的局限性越发凸显。

1.从信息主体的角度看,同意规则中“理性人标准”难以实现

同意规则设定的前提是信息主体为一般理性人,即个人是自己利益的最佳判断者,可就是否同意他人处理其个人信息做适当决定。但是实践证明,个人做出理性决定的实际能力和同意规则所构想的愿景具有明显差距。信息处理者收集个人信息时会以《隐私政策声明》等方式告知个人并取得其同意,然而大部分人不会仔细阅读隐私政策声明,甚至都不想更改隐私默认设置。(5)Omri Ben-Shahar and Carl E.Schneider,The Failure of Mandated Disclosure,University of Pennsylvania Law Review.Vol.159,2011.p.665.美国联邦贸易委员会(FTC)主席乔恩·莱博维茨曾言:“隐私政策声明无疑是个人控制信息的有效方式,但事实上这仅是一种期望。”信息主体不愿认真阅读隐私声明的缘由在于,隐私政策声明冗长晦涩,尽管在实践中信息处理者已经尽量使其简洁化和明确化,但收效甚微。有研究表明,如果一个人将他每年访问网站的隐私政策浏览一遍,至少要花费244个小时。(6)Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,Journal on Telecommunication and High Technology Law.Vol 10,2012,p.273.“在绝大多数情况下,非出于特殊目的,用户不会详细阅读信息处理者提供的隐私政策,而直接选择同意或接受。”(7)马新彦、张传才:《知情同意规则的现实困境与对策检视》,《上海政法学院学报(法治论丛)》2021年第5期,第100页。由此导致一些学者认为个人对隐私持一种漠视态度。然而,在实践调研中,大部分信息主体表现出对隐私的极度重视,这与他们表示行为存在明显脱节(8)Gordon Hull,Successful Failure:What Foucault Can Teach Us about Privacy Self-management in a World of Facebook and Big Data,Ethics and Information Technology,Vol.17,2015,p.89.,造成这种现象的深层原因在于个人理性决策出现障碍。

2.从信息处理者的角度看,同意规则沦为程序性要件

同意规则包含告知和选择两个阶段。告知是选择的前置要件,同意是在信息主体被充分告知后的自主决定权,是个人意思自治的表现。但是同意的实质效力并没有发挥作用,因为信息主体与信息处理者的信息不对称,信息主体对《隐私政策声明》《用户服务协议》的内容通常没有讨价还价的能力,往往做出不得不同意的选择。此外,信息处理者还会以“默认勾选”的形式设置通知方式。此时,信息主体在无意思表示的前提下“被签订”合同,这种不自由、不真实的承诺呈现效力瑕疵,同意规则的功能逐渐嬗变,被信息处理者操纵成一种获取个人信息的程序要件。(9)Margaret Jane Radin,Taking Notice Seriously:Information Delivery and Consumer Contract Formation.Theoretical Inquiries in Law.Vol.17,2016,p.515.

3.从第三方信息处理者的角度看,信息主体无法控制后续风险

首先,信息传播结构的更新催生出众多的信息处理者,导致个人信息的流向成谜。由于个人信息的流通使用和数据技术的持续分析,第三方信息处理者可以在分析过程中获取信息而不需要经过信息主体的同意。这就导致信息主体难以确定信息流向,更无法控制其信息。(10)Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,Journal on Telecommunication and High Technology Law,Vol.10,2012,p.274.其次,信息处理者对个人信息的持续关联分析,加剧了个人信息被重新识别的风险。大数据技术的应用会引起个人信息产生聚合效应,这增强了数据转化成个人信息的可能,致使信息主体控制信息的愿景几近破灭。(11)Daniel J.Solove,Privacy Self-Management and the Consent Dilemma.Harvard Law Review,Vol.126,2013,p.1890、1901.最后,数据技术的循环分析导致个人信息利用的风险难以评估。个人信息聚合必然导致风险难测,即使信息主体在符合理性人的假设下,也很难进行成本效益的有效分析,尤其下游阶段是隐私风险的高发地,个人即使同意也难谓理性与真实。(12)Gordon Hull,Successful Failure:What Foucault Can Teach Us about Privacy Self-management in a World of Facebook and Big Data,Ethics and Information Technology,Vol.17,2015,p.91.

(二)同意规则适用困境的破解方向

针对同意规则的适用困境,理论界纷纷提出改进方式,目前讨论的方案大致可归纳出以下三种:第一,情景规则替代同意规则。该方案认为同意规则已经不合时宜故应摒弃,转而应以具体情景为导向,以隐私风险评估理论为手段衡量个人信息风险,经过评估后的信息如风险较低,信息处理者可不经信息主体同意直接进行收集与利用。(13)持该观点的学者主要有:范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期,第94页。高富平:《个人信息使用的合法性基础——数据上利益分析视角》,《比较法研究》2019年第2期,第83-84页。任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期,第126页。第二,弱化同意的强制力。该方案主张降低同意规则的核心地位,限制信息主体的自主决定权,采取“情景合理+拟制同意”的方式构建合法处理的弱同意规范结构。(14)蔡星月:《数据主体的“弱同意”及其规范结构》,《比较法研究》2019年第4期,第71页。第三,同意规则的类型化适用。该方案主张应以经济激励机制激发信息主体与信息处理者共享经济收益,即部分情景中适用默示同意规则,而在部分情景中必须取得信息主体的明确同意。(15)蔡培如、王锡锌:《论个人信息保护中的人格保护与经济激励机制》,《比较法研究》2020年第1期,第106页。

分析上述三种方案,笔者认为主要存在以下问题:首先,第一种方案提出的风险规则属于社会控制理论,将个人信息完全交由社会控制,但是“在法律父爱主义的理念下,风险规则限制了信息主体在信息领域意思自治的适用”。这种理论割裂了个人信息的社会属性与人格属性,否定了个人在其信息保护中的自主决定价值,从根本上动摇个人信息保护的基础架构,否定同意规则的规范功能实不可取。其次,第二种改革方案试图通过降低同意的标准调和矛盾,然而同意规则本就已经处于失效边缘,若此时的改进方式是降低对同意标准的适用,似乎是向个人信息利用的方式妥协。最后,第三种方案是在保留同意规则的前提下,做灵活调整,值得肯定。然而,脱离类型化的场景而空泛地谈论动态性的多因素判断,可能因过于弹性化造成过大的自由裁量空间,导致司法的恣意与不确定性(16)吕炳斌:《个人信息保护“同意”的困境及其出路》,《法商研究》2021年第2期,第93页。,难以达到标本兼治的效果。

本文认为,信息技术的更新与应用导致个人信息利用的场景复杂多变,而单一静态的同意规则难以满足个人信息在利用中的复杂情景,因此区分情景适用差异化的同意规则似乎是一种较为合理的解决方案。同意规则一般根据个人信息识别度、信息主体与信息处理者之间的关联度、具体情景的风险度等因素综合确定,上述因素又受个人信息的敏感程度、个人信息权能的直接影响。因此,根据信息敏感度对个人信息进行分类,再根据信息活动的参与主体、信息类型、具体情景灵活确定同意规则更为科学。基于此,本文借鉴锡安克劳迪奥·马希艾里(Gianclaudio Malgieri)的关系理论,将个人信息分为人格性信息、准财产性信息与财产性信息。(17)锡安克劳迪奥·马希艾里以关系理论作为个人信息的划分标准,对不同层级的信息设置不同的权能,以平衡个人信息保护与利用的利益冲突。即根据信息主体与个人信息的紧密程度分为强关系信息、中等关系信息和弱关系信息三个层级,不同信息与个人的关系越强,其人格因素越强;反之亦然。Gianclaudio Malgieri,Property and (Intellectual) Ownership of Consumer’s information:A New Taxonomy for Personal Data,Privacy in Germany-PinG,2016,pp.133-138.人格性信息与个人关联度较高(如身份证号码、电话号码),但同时具有社会属性,信息主体对其享有完全控制权,如信息携带权,信息主体可自主将相关信息转移至其他电子设备而无须其他信息处理者同意。准财产性信息属于中等关系信息(如个人交易记录、行为轨迹等),信息主体对其具有不完全控制权,如访问权、删除权,信息处理者则享有使用权。财产性信息属于弱关系信息(如个人预测画像、预测偏好信息),信息主体不享有控制权,仅具有反对权、信息安全权,信息处理者此时对其具有准财产权,可对抗第三方信息处理者。(18)准财产权是在特定情形下,通过在某物上设置一种仅对抗特定行为人的权利,来保障权利人的合法权利,这种特殊的排他权介于物权与债权之间,既不仅仅对抗合同相对方,又不会将这类权利置于绝对排他的境地。Shyamkrishma Balganesh,Qiasy-property:Like,But Not Quite Property,University of Pennsylvania Law Review,Vol.160,2012,p.1889.

由于个人信息客观上表现为个人在信息环境中的一种存在或运动状态,主观上表现为个人对这种状态有目的的支配,因而个人、个人信息、他人之间形成的是三维关系。(19)程关松:《个人信息保护的中国权利话语》,《法学家》2019年第5期,第20页。因此,同意规则只有在个人、他人与个人信息的三维关系所确定的情景中才能确定,而处理行为是三维关系的连接点。因此,本文从行为角度依照不同参与者对个人信息处理的全过程,对信息处理情景进行区分,即收集情景、转让情景、共享情景。(20)《民法典》《网络安全法》《数据安全法》对个人信息的处理行为仅作出一般性规定,《个人信息保护法》按照信息处理一般规则、信息主体的权利、信息处理者的义务对处理行为进行规制,并未详细区分个人信息处理的情景。《信息安全技术 个人信息安全规范》(《简称《个人信息安全规范》)对个人信息全生命周期作出全面完整的规定,规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。《信息安全技术个人信息告知同意指南(征求意见稿)》(《简称《告知同意指南》)、《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》(简称《收集个人信息基本规范》)均以《个人信息安全规范》为蓝本对信息处理者的行为标准作出更为细化的规定。本文拟以《个人信息安全规范》对个人信息处理行为的全过程作为情景划分的依据。

二、个人信息收集情景中的同意规则

在收集情景中根据产品性能不同分为基本业务情景与扩展业务情景(21)《个人信息安全规范》根据产品性能分为基本业务功能和扩展业务功能,目的是根据用户对产品处理个人信息的预期不同而适用宽严不等的梯度保护。在基本业务情景中均要求取得信息主体的明确同意,在扩展业务情景中要求对逐个取得信息主体的单独授权,此情景采取了比基础业务情景中更为严格的同意标准。,在两种情景中同意规则的适用应该有所差异。

(一)基本业务情景中的同意规则

基本业务情景主要指的是满足个人信息主体的具体使用需求的业务或功能的情景,如地图导航、网络约车、即时通信、社区社交、网络支付、新闻资讯、网上购物、快递配送、交通票务等。(22)本文采用《个人信息安全规范》第3.17条对“业务功能”所做的定义。在基础业务情景中,《信息安全技术 个人信息安全规范》第5.4条规定:“如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过个人信息保护政策的形式,实现向个人信息主体的告知……以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响。”根据这一规定可以发现,个人信息此时还由信息主体直接控制,因此,信息主体的控制地位是信息关系中的显性特征。为满足基本业务需求而提供必要的个人信息,此时信息主体的选择权被削弱,同意呈现为一种被告知之后的授权性质——consent,但这并非概括同意,这种授权是在符合合同目的前提下对信息权利的让渡。因此,“知情”成为同意的内在要求,如何达到“知情”的效果主要表现在对同意的内容和方式上。

就同意的内容而言,在实践中,个人信息的收集范围依照具体的合同目的来确定,如何判断提供的个人信息是否为合同履行所必需?本文认为,虽然不同App的基础业务功能不同,信息处理者收集个人信息的范围存在差异,但收集信息的种类具有共通性。在该情景中通常涉及对人格性信息的收集,该类信息属于信息主体的自生信息,具有内部指向性,包括姓名、性别、年龄、身份证号码、电话号码、家庭住址等,因此可以根据具体App的基本业务锁定信息内容,再结合合同目的原则、诚信原则对信息最小化原则与必要性原则加以诠释。另外,对“目的”二字需要作扩大解释,即包括对个人信息的再利用,只要再利用的目的与原有目的相兼容或不冲突,无须再次经过信息主体授权,可以归入事先同意的情形。同时,为防止信息处理者扩大信息收集的范围,可参考《常见类型移动互联网应用程序必要个人信息范围规定》中确定的常见移动App在基本业务中收集个人信息的最小必要范围。(23)2021年国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定并于5月1日实施的《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。

就同意的方式而言,个人信息的类型决定了同意的行使方式。(24)《个人信息保护指南》第5.2.3条根据敏感度将个人信息分为敏感个人信息与一般个人信息,并采用明示同意与默示同意的分层标准加以保护。《个人信息安全规范》更是对敏感信息进行了丰富,对同意形式做了细化。《个人信息保护法》对个人敏感信息的收集作出了更为严格的明示同意方式的规定。由此可以看出立法对敏感个人信息的严格同意标准。在基础业务情景中,信息处理者收集的个人信息锁定在人格性信息类型,而人格性信息的高度敏感性决定了信息主体对其享有高度控制权能,这种人格的不可转让性也决定了该类信息转让的限定性。人作为法权的主体,是他自己的主人,但不是他自己的所有者。(25)朱高正:《康德的自然法学——自由与和平的哲学》,郑永流主编:《法哲学与法社会学论丛》(第二辑),中国政法大学出版社2000年版,第279页。因此,同意必须是以“明确、具体”的方式使信息主体知晓,且征得信息主体的明示同意,确保信息主体的控制权能,避免后续行为可能出现的风险。(26)具体可参考《个人信息安全规范》关于明示同意的具体标准。即在基本业务功能开启前(如个人信息主体初始安装、首次使用、注册账户等),应通过交互式界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式)向个人信息主体告知基本业务功能所必需收集的个人信息类型以及个人信息主体拒绝提供或拒绝同意将造成的影响,并通过个人信息主体对信息收集主动作出肯定性动作(如勾选、点击“同意”或“下一步”等)征得其明示同意。如在“凌某诉抖音案”中(27)北京互联网法院(2019)京0491民初6694号民事判决书。,抖音App未尽告知义务默认信息主体同意,收集其位置信息、通信信息、社交信息等,勾勒出较完整的人格画像,向个人推送大量好友,构成侵权。同样,在支付宝芝麻信用年度账单事件中,支付宝在《芝麻服务协议》中,在同意一栏以极为隐秘的形式提前为信息主体默认同意选项,这种直接替信息主体作出选择的意思表示无效。在司法实践中,是否尽到足够的告知义务,应由法官综合考量告知方式、行业习惯、网络技术普及度等因素作出判断。

(二)扩展业务情景中的同意规则

扩展业务情景是指信息处理者满足信息主体具体使用需求之外的个性化业务或功能的情景,例如根据搜索记录、行踪轨迹进行个性化推荐服务。扩展业务情景是信息主体与信息处理者发生纠纷的主要场域,而争议点表现为准财产性信息、财产性信息的权益归属。该类信息之所以是纠纷高发区,原因在于信息处理者在乎的并非信息主体在基础业务情景中提供的信息,而是信息主体的关系链信息:将姓名、电话号码与个人的交易记录、健康情况、微信好友等信息进行关联匹配。单独的姓名、性别、头像并不具有太大的经济价值。准财产性信息和财产性信息的共通性在于均不具有识别性,必须与其他信息关联时才能被识别。(28)这类信息可归入可识别的个人信息。美国学者Daniel J.Solove与Paul M.Schwartz根据信息利用过程中识别个人风险的程度,将个人信息分为已识别的个人信息、可识别的个人信息和不可识别的个人信息。Paul M.Schwartz & Daniel J.Solove,The PII Problem:Privacy and a New Concept of Personally Identifiable Information,New York University Law Review.Vol.86,2011,p.1814.区别在于:准财产性信息是个人活动的副产品,这些信息并非信息主体有意识地生成,而是在生活中自动形成的一种事实行为。信息处理者仅提供App设备与自动记录的功能,参与力度较小,故财产权益相对较弱。财产性信息是在准财产性信息的基础上形成的,如基于搜索记录、消费记录等形成个人数字画像,预测其行踪记录、兴趣爱好或购物偏向等,以此为据向信息主体推送相关服务。这类信息需要信息处理者投入更多人力、物力、技术进行整合,虽然无法否定个人数字画像的人格利益,但是在成本-收益的产权分析理论下,财产性信息的经济价值才是其形成的直接原因,故信息处理者享有该类信息的财产权益最大,个体的人格属性被极大削弱。因此,在该情景中由于信息类型的不同,同意的行使方式也应呈现差异。此时,“告知-退出”机制作为一种中和性的方案可以发挥平衡作用,既可以保障信息主体对其信息的控制,又可以缓和个人信息收集的严格标准。(29)Joy Su,Google Book Search and Opt-Out Procedures,Journal of the Copyright Society of the U.S.A,Vol.56,2009,pp.947-965.

“告知-退出”机制是以沉默作为承诺的一种意思表示。《民法典》第140条规定意思表示的方式仅包括明示和默示。在通常情况下,沉默并不具有法律意义,只有在法律规定、当事人约定或者符合交易习惯时,沉默的消极行为才被赋予一定的表示意义,并产生成立法律行为的效果。在网络领域,“告知-退出”不存在表示行为,并不具有任何意思表示,因此,“告知-退出”产生意思表示效果的唯一方式就是将沉默法定化,即沉默拟制同意。(30)沉默产生意思表示的方式主要有三种:约定、推定、法定。在网络服务领域,根据约定与推定均无法获得信息主体同意的肯定效果。蔡星月:《数据主体的“弱同意”及其规范结构》,《比较法研究》2019年第4期,第82页。这种沉默可以解释为默示同意的一种。(31)郑佳宁:《知情同意原则在信息采集中的适用与规则构建》,《东方法学》2020年第2期,第206页。通过法律将沉默拟制为意思表示是对私人自治的一种较强的干预,其目的在于化解法律状态不明的情形,促进交易。(32)石一峰:《沉默在民商事交往中的意义——私人自治的多层次平衡》,《法学家》2017年第6期,第53页。然而将沉默法定化遭到学者的质疑:个人作出同意必须自愿、明确,故同意必须是明示的,默示、预选方框或者不作为都不构成同意(33)程啸:《论个人信息处理中的个人同意》,《环球法律评论》2021年第6期,第53页。,况且,在互联网领域,暂未见通过法律将沉默拟制为同意的必要性(34)吕炳斌:《个人信息保护“同意”的困境及其出路》,《法商研究》2021年第2期,第93页。,然而,从我国现行立法、司法实践的角度分析,将沉默法定化有其存在的合理空间。其一,《个人信息保护法》虽然没有明确“告知-退出”的同意方式,但在第13条规定个人信息处理的合法基础中,关于同意条款的规定并未排除默示同意的情形,这就为“告知-退出”默示同意留下了解释空间。同时,《个人信息保护法》第24条第2款规定,通过自动化决策方式向个人进行信息推送、商业营销,应向个人提供便捷的拒绝方式。从文义解释的角度看,此处的“拒绝”与“告知-退出”极为相似,若信息主体没有拒绝则信息处理的自动推送行为就具有了合法性。其二,在司法实践中,法院对于财产性信息适用“告知-退出”默示同意持肯定的态度。在朱烨与北京百度网讯科技公司隐私权纠纷案中,二审法院认为,网络活动轨迹信息不能与网络用户个人身份相对应,百度公司使用cookie技术收集海量数据整合分析后向用户提供的个性化推荐服务,即未识别特定主体,又未向第三方公开,并不符合侵害个人隐私的行为特征。并且在用户协议中明确告知原告可以启用禁止按钮进而阻止被告收集其个人信息,显示了法院对这一同意机制合法性的认可。(35)江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。其三,在宽泛同意的理论框架下对“沉默”进行解释是一种可行方案。首先确立知情同意的一般原则,再将“选择退出”作为一种默示同意的特别情形。在具体使用时,应该对适用对象、适用情形、效力范围作一定限制,并赋予信息主体“反对权”对抗信息处理者,使自己从信息收集对象中被排除。(36)冯恺:《个人信息“选择退出”机制的检视和反思》,《环球法律评论》2020年第4期,第156页。拟制同意的适用主体仅限于数量众多的网络用户,适用信息类型限于准财产性信息和财产性信息,适用情形限定在自动化决策情形下针对网络用户实行个性化广告推送、垃圾短信等推送行为。(37)有学者根据企业使用的采集工具实际功能将自动化采集工具区分为下述四类:一是特别必要的工具;二是与服务性能表现有关的工具;三是拥有特定功能的工具;四是用于行为化定位或个性化推荐的工具。参见郑佳宁:《知情同意原则在信息采集中的适用与规则构建》,《东方法学》2020年第2期,第206页。该文建议根据不同的采集工具适用不同的同意标准,本文依这种分类标准对适用的处理行为进行限定。因此,拟制同意在我国法上具有适用空间。

在扩展业务情景中,准财产性信息与财产性信息均属于关联性信息,不具有直接识别性,此时可采用“拟制同意”模式。这在一定程度上可免除信息处理者的告知程序,并给予信息主体明确的拒绝途径保障其对信息的控制。同时基于准财产性信息与财产性信息的显性属性不同,可以对拟制同意进一步细化,其中,对于准财产性信息,由于信息主体的人格属性为显性特征,故采用“事前拟制同意+退出权”方式;对于财产性信息,由于信息处理者的财产性属为显性特征,故采用“事后拟制同意+反对权”方式。从信息主体的角度看,在该情景中因拟制同意所削减的一部分控制力,会在后续环节为其提供及时否定的权利。

表1 个人信息收集情景中的同意规则设计

三、个人信息转让情景中的同意规则

《个人信息安全规范》将个人信息转让分为两种情景加以规定:一般情景中的个人信息转让与企业并购中的个人信息转让。现就具体转让情景中同意规则加以设计。

(一)一般情景中个人信息转让的同意规则

个人信息转让情景是指信息处理者将其所控制的个人信息集合传输给第三方信息处理者的情景。信息转让引发的不正当竞争纠纷往往涉及信息主体的信息权益和信息处理者的财产权益两个维度,而信息转让的流转机制和信息价值的生成机制直接影响信息双方信息权益的强弱程度,进而影响同意规则的设计。首先,在实践中,个人信息的流转方式分为两个阶段,以“新浪微博诉脉脉案”为例:(38)北京市海淀区人民法院(2015)海民(知)初字第12602号民事判决书;北京知识产权法院(2016)京73民终588号民事判决书。第一阶段是用户与新浪微博签订用户服务协议,授权许可新浪微博收集、使用其个人信息;第二阶段是新浪微博与脉脉公司签订平台合作协议,新浪微博开通API接口授权脉脉公司使用个人信息集合。由此推论1:网络服务协议是信息主体和信息处理者权益分配的主要形式,信息来源是否合法,以是否获得信息主体的授权为标准。其次,价值是信息的核心,算法技术是信息价值生成的核心架构。算法合法所保障的信息来源合法,是确定信息权益保护路径的最大公约数。(39)韩旭至:《数据确权的困境及破解之道》,《东方法学》2020年第1期,第107页。个人信息从产生到利用是一个动态发展的过程,其生成的价值大小亦不相同。单条个人信息几乎没有财产价值,只有利用大数据技术整合的信息集合才具有财产属性。此时信息主体的个人信息处于弱保护的状态,其人格属性被淹没,信息主体的授权成为信息处理者享有合法排他权益的防护盾。由此推论2:信息处理者的绝对控制地位成为信息处理者之间的显性特征。综合推论1和推论2可知:信息主体的人格属性是影响信息主体控制力的主要因素,而成本投入是影响信息处理者控制力的主要因素。在个人信息转让情景中,个人信息的财产属性成为显性属性,信息处理者的控制力度强于信息主体,具有积极控制权益;个人信息的人格属性成为隐性属性,信息主体对个人信息仅具有消极的防御权益。在“新浪微博诉脉脉案”中,法院首次确立了“用户授权+平台授权+用户授权”三重授权规则,该规则成为企业之间共享信息时的参考标准。但这种过于严苛的标准却受到不少学者的质疑。(40)三重授权原则系个人信息保护的单方规制方式,该角度并不能有力规制数据不正当竞争行为,混淆了单独的个人信息和作为商业资源的个人信息的区别,而且会不可避免地抑制信息获取方的创新和产业发展。详细论证可参见薛其宇:《互联网企业间数据不正当竞争的规制路径》,《汕头大学学报(人文社会科学版)》2018年第12期,第66页。徐伟:《企业数据获取“三重授权原则”反思及类型化构建》,《交大法学》2019年第4期,第28页。故本文基于上述推演结论拟矫正三重授权规则,避免过于严格的同意标准对数据技术革新造成误伤。

就信息主体同意的形式而言,信息转让情景包括人格性信息、准财产性信息和财产性信息。在实践中,信息处理者通常会在服务协议中告知信息主体向第三方信息处理者转让个人信息的情形。(41)如《淘宝网隐私权政策》在个人信息转让部分列举了具体情形:1.在法定情形下的转让;2.获取用户明确同意;3.用户主动选择转让;4.向关联公司转让;5.向授权合作伙伴转让。http://wenda.bendibao.com/life/2019729/43841.shtm,2022年1月14日访问。在此情景中,由于信息处理者的积极控制地位,同意规则应根据不同的信息类型相应弱化,以释放信息活力。(1)对于人格性信息,其与信息主体的高度关联性决定了个人对信息的持续控制力。尽管在信息处理者的竞争关系中信息主体的人格权益被淹没,但信息价值的生成离不开个人信息的“喂养”,因此保证信息主体对人格性信息流通的知情与同意是信息转让的必要条件。因此,在信息收集的目的范围内对人格性信息进行转让时可适用“事前拟制同意+退出权”的同意模式;但超出目的范围之外的收集、使用,则必须取得信息主体的明确同意。(2)对于准财产性信息,因该类信息的强财产属性弱人格属性,信息处理者具有强控制性,信息主体对这类信息仅具有消极防御功能。因此,在目的范围内对该类信息转让时可采用“事后拟制同意+反对权”的同意模式。(3)对于财产性信息,因信息处理者对其投入了人力、物力、技术等改变了信息本身的基本结构,该类信息呈现完全财产属性,信息处理者对其具有完全控制力。因此,在目的范围内的信息转让无须信息主体同意。

就信息处理者的同意形式而言,应该基于信息处理者对各类信息的控制力来设计,而信息的成本投入成为关键。在该情景中,由于个人信息的人格属性被弱化,信息集合的财产属性成为显性特征,因此信息处理者获取信息集合形成的竞争优势成为保护的对象。信息处理者之间签订的开发者服务协议作为信息转让的主要形式,明确了转让信息的种类、使用目的、使用方式和保障信息安全的义务,但是在转让情景中发生纠纷的起因恰恰在于超出合同规定的范围使用。在合同目的内对各类信息的转让一般由《开发者协议》规定,故取得信息处理者的同意无须言明。在合同目的范围之外,第三方处理者对信息集合收集时,信息处理者的同意规则应根据信息类型区分设计。(1)对于人格性信息,由于信息主体的强人格属性,第三方处理者仅需取得信息主体的明示同意,无须获得信息处理者的同意。因为信息主体是自身利益的最佳判断者,但这也不意味着第三方信息处理者可以获取信息处理者收集的所有人格性信息集合,因为信息主体的明示同意是阻断第三方信息处理者不当竞争行为的有效方式。在“新浪微博诉脉脉案”中,脉脉公司若想通过Open API接口获得新浪微博用户基本信息,就需要用户输入名称与密码来明确授权。(2)对于准财产性信息,这类信息属于信息主体与信息处理者的共生信息,信息处理者对这类信息具有合法使用权,因此对该类信息的占有和控制能够对抗第三方信息处理者的不当获取行为。故当第三方信息处理者超出目的范围获取准财产信息时需要经过信息处理者的明确同意。(3)对于财产性信息,该类信息是信息处理者基于算法对人格性信息、准财产性信息进行整合分析后所形成的预测信息,信息处理者的控制力达到最大化,故第三方信息处理者对该类信息的获取必须获得信息处理者的明确同意。基于以上分析可知,信息处理者之间转让个人信息时,需从信息主体与信息处理者的角度,分析双方对不同类型信息的控制力,从而细化同意规则。

表2 一般情景中个人信息转让的同意规则设计

(二)企业并购情景中个人信息转让的同意规则

在收购、兼并、重组、破产情景中,因为企业并购会触及信息主体的信息利益,故本部分就资产并购情景中的信息主体同意规则进行详细分析。资产并购中涉及信息转让的多发生在破产情景中,这是厘定信息主体与信息处理者的权益边界的重要场域。在比较法上,美国法在破产法领域已经发展出个人信息转让的限制规则,即将信息主体的事先授权作为个人信息转让原则性规定的同时,在司法实践中亦有判例确立了将个人信息整体转让的例外情形,故本文在该部分主要收集了美国法中关于破产情景个人信息转让的典型案例:Toysmart案和Borders案,以供下文参考和分析。

表3 企业并购情景中同意规则的适用方案

通过上表可知,在Toysmart案和Borders案中,允许信息处理者转让个人信息集合的同意条件存在差异。在Toysmart案中,Toysmart公司转让个人信息无须经过信息主体同意,但是限定了转让条件:个人信息不得单独转让;第三方信息处理者必须与Toysmart公司的经营范围相当;第三方信息处理者必须遵守原信息处理者发布的隐私声明。在Borders案中,破产法院赋予信息主体选择权,规定在遵守原信息处理者发布的隐私声明前提下,在转让资产后的一定期限内由信息主体选择是否同意转让其信息,即采取“事后拟制同意+反对权”的同意模式。比较两则案例可以看出,在资产并购情景中,法院认可个人信息可以转让的同时为并购双方设定了额外义务,其中,并购双方的资格、信息主体同意的目的和范围、收购方的合理利益是个人信息转让中限制规则确定的主要考察要素。虽然上述两则案例适用的同意规则有所不同,但是都对信息主体同意的目的、并购双方合理利益进行了衡量,而是否符合个人信息的使用目的是信息处理者能否转让信息财产的关键。原因有二:其一,信息使用目的对第三方信息处理者的资格进行了限制,其必须是同一行业的经营者,如此,在情景相同、目的一致、不存在额外隐私风险的前提下,不会超出信息主体的合理预期。其二,个人信息使用目的是衡量并购双方合理利益的直接标准。因为对信息使用目的的尊重,是对同意规则的延伸,体现的是对用户利益的保护。(42)余佳楠:《个人信息作为企业资产——企业并购中的个人信息保护与经营者权益平衡》,《环球法律评论》2020年第1期,第110页。如若未经同意就将个人信息集合单独出售实质上违背了信息主体的信息自决权,难以认定并购双方具有合理利益。综上分析,个人信息使用目的是企业并购情景中同意规则设计的核心标准。

美国法在企业并购情景中适用的同意规则包括两种:无须信息主体同意和沉默拟制同意,在该情景中我国法应该采用何种同意规则?我国《个人信息安全规范》第9.3条的规定,在资产并购的情景,变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的后,应重新取得个人信息主体的明示同意。从文义解释的角度看,在信息使用的目的范围内,信息处理者仅负有告知义务,对于个人信息的转让不需要重新取得信息主体的同意。本文认为,完全无须信息主体的同意并非是一个合理的选择,可以借鉴美国法在企业并购情景中适用的同意规则,在并购双方符合相关要件的基础上,根据个人信息的类型、并购双方的合理利益对同意规则进行细化设计。通过表3可知晓,资产并购情景中的个人信息转让涉及的信息类型包括人格性信息、准财产性信息和财产性信息。(1)对于人格性信息,因其高度敏感性、高度关联性决定了信息主体对其享有的完全控制权,对这类信息的转让应该事先告知信息主体,并取得信息主体的明确同意,否则不发生转让的效力。(2)对于准财产性信息,因该类信息的共生性和匿名化特征,为保证程序的快速完成,采用“事后拟制同意+反对权”的标准即可,即在个人信息转让后,由第三方信息处理者通知原信息主体并设置一定的期限,期限届满后未做表示的视为同意转让。(3)对于财产性信息,因信息处理者对其享有积极的财产权,在目的范围内的信息转让无须信息主体同意。

表4 企业并购情景中个人信息转让的同意规则设计

四、个人信息共享情景中的同意规则

信息共享情景是信息处理者向他人提供信息或者授权他人使用信息的情景。信息共享是信息流通的主要方式,信息的无形性决定了其可同时为多人占有,这种多人并存共用性决定了信息流通并非以信息转让为典型,允许他人使用才是信息流通的常态。(43)高富平:《数据流通理论——数据资源权利配置的基础》,《中外法学》2019年第6期,第1412页。信息共享情景是信息处理者之间发生纠纷的主要情景之一,这类纠纷属于技术型纠纷,即第三方信息处理者基于技术上的优势非法抓取网络平台上的公开信息。网络空间具有公共性,当信息主体将其信息公布到网络时,此时的信息就具有开放性特征,社会主体均可获取和合理使用。围绕近年来关于数据争夺的不正当竞争案件,可以发现在个人信息共享情景中准财产性信息是信息处理者之间争夺的主要对象。(44)笔者在“北大法宝数据库”中以“企业数据”“数据竞争”为关键词共检索18起相关案例,鉴于篇幅有限,故挑选出三例具有典型意义的案件进行分析,具体包括:“2010年大众点评诉爱帮网案”,北京市海淀区人民法院(2010)海民初字第24463号民事判决书;北京市第一中级人民法院(2011)一中民终字第7512号民事判决书;“新浪微博诉云智联案”,杭州铁路运输法院(2017)浙8601民初4034号民事判决书;“阿里巴巴诉诚信通案”,浙江省杭州市滨江区人民法院(2019)浙0108民初5049号民事判决书。这类信息是信息主体与信息处理者的共生信息,虽然信息主体的人格属性是显性特征,但其产生是以信息处理者提供的网络平台作依托的,而平台优势和聚合效应造就了信息集合的财产属性,构成信息处理者的竞争优势。由此可推定1:信息主体将其信息在平台公开成就了信息处理者的竞争优势,成为拦截第三方信息处理者利用技术不当抓取公开信息的有效事由。(45)有学者认为先进技术造就了平台的竞争优势,本文在此基础上对信息类型和平台竞争优势的形成作进一步细化。张玉洁、胡振吉:《我国大数据法律定位的学说论争、司法立场与立法规范》,《政治与法律》2018年第10期,第145页。与此同时,在实践中,对于公开个人信息的收集,信息处理者一般通过Robots协议防止第三方信息处理者不当抓取行为,以维持自身优势竞争地位。法院一般根据第三方信息处理者利用技术优势抓取的信息是否违反了Robots协议以及抓取信息的实质后果作为裁判基准。例如,在“大众点评诉百度案”中(46)上海市浦东新区人民法院(2015)浦民三(知)初字第528号民事判决书。,法院认为,尽管百度公司的搜索引擎抓取涉案信息并不违反Robots协议,但并不意味着百度公司可以任意使用用户点评信息,其应本着诚实信用原则和公认商业道德,合理控制来源于其他网站信息的使用范围和方式。在“新浪微博诉云智联案”“阿里巴巴诉诚信通案”中,法院均持这一态度。(47)法院认为,对抓取数据行为正当性的评判与实现该行为的行为手段并无必然联系,即使云智联公司所使用的技术中立,也不意味着其通过该网络爬虫或其他技术实施的抓取行为亦正当。由此可推定2:“遵守行业惯例+无实质性损害”是判断第三方处理者抓取信息行为的合理边界。基于对推定1和推定2的考量,可推演出:在个人信息共享的场域,人格权保护不再作为第三方信息处理者抓取信息的阻却事由,信息处理者的竞争优势成为信息公开情景的主要保护对象,因此,能否对信息主体公开的个人信息进行收集和利用,取决于第三方信息处理者是否遵守“行业惯例+无实质性损害”的标准。

基于上述分析,在该情景中主要围绕的是信息处理者对准财产性信息的同意规则加以设计。首先,在合理范围内,第三方信息处理者在遵守行业惯例的前提下,获取公开的个人信息无须信息主体同意,对信息处理者适用“事后拟制同意”模式。信息主体需要容忍公开的个人信息在合理范围内的流转。(48)王海洋、郭春镇:《公开的个人信息的认定与处理规则》,《苏州大学学报(法学版)》2021年第4期,第74页。其次,在合理范围外,第三方信息处理者不需要经过信息主体的同意,但必须经过信息处理者的明确同意。是否在合理范围内需要在具体案件中根据获取信息的方式、使用信息的范围与方式、使用目的、损害后果综合判断。

表5 个人信息共享情景中的同意规则设计

五、结论

个人信息具有人格和财产的双重法律属性,个人信息的属性在不同的情景中会发生变化。因此,信息权利不能简单地对应于人格或隐私权利,而是处于财产性与人格性、公开性与隐私性两相叠加的混合状态。(49)齐爱民:《私法视野下的信息》,重庆大学出版社2012年版,第219页。故而在不同情景中根据不同的信息类型区分设计同意规则是解决同意规则适用困境的一种较为合理的方案。从司法实践反映的个人信息(数据)纠纷产生的原因来看,在个人信息处理过程中,参与主体与个人信息的显性属性成为影响同意规则设计的关键因素。基于此,本文根据个人信息的类型、信息参与主体以及具体情景勾勒出同意的一般性规则与特殊性规则,通过优化同意规则不仅为个人信息保护问题提供了一种分析路径,也为个人信息转让、共享情形下的个人信息利用问题提供了参考。

猜你喜欢
财产性信息处理个人信息
防范电信网络诈骗要做好个人信息保护
“毫米波雷达系统设计与信息处理技术”专题征文通知
个人信息保护进入“法时代”
东营市智能信息处理实验室
农村财产性收益扶贫 为精准扶贫开辟新路
基于Revit和Dynamo的施工BIM信息处理
主题语境九:个人信息(1)
警惕个人信息泄露
面向地震应急响应的互联网信息处理
论盗窃财产性利益