施鸿鹏
(复旦大学法学院,上海 200438)
尽管《个人信息保护法》(以下简称:《个保法》)在立法之初存在着大量针对同意规则对个人信息保护的实效性争议,〔1〕参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016 年第5 期;高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018 年第3 期;王秀哲:《大数据时代个人信息法律保护制度之重构》,载《法学论坛》2018 年第6 期;张金平:《欧盟个人数据权的演进及其启示》,载《法商研究》2019 年第5 期;丁晓东:《个人信息的双重属性与行为主义规制》,载《法学家》2020 年第1 期。反对见解参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4 期;陆青:《个人信息保护中的“同意”规则的规范构造》,载《武汉大学学报(哲学社会科学版)》2019 年第5 期;张忆然:《大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角》,载《政治与法律》2020 年第6 期;俞成峰:《信息隐私权的宪法时刻:规范基础与体系重构》,载《中外法学》2021 年第1 期。但《个保法》第13 条第1 款第1 项仍然沿袭了《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2 条、《网络安全法》第41 条第1 款和《民法典》第1035 条第1款的立法例,将“取得个人同意”作为个人信息处理者处理个人信息的正当性来源之一,由此确立了对个人信息处理的同意规则。在此基础上,《个保法》第15 条第1 款第1 句规定“基于个人同意处理个人信息的,个人有权撤回其同意”,确立了同意基础上的任意撤回权。由此,对于与个人信息相关的私法往来而言,自然人的同意及任意撤回权将作为通过市场交换机制实现个人信息积极利用的核心制度。
对于自然人通过同意及任意撤回权实现个人信息领域中的私法自治而言,尽管信息主体会因隐私政策的复杂性等原因而做出“无效的同意”,〔2〕Susan Landau,Control Use of Data to Protect Privacy,Science 2015,504,504;范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016 年第5 期。但是,信息主体的同意至少表明了许可个人信息处理者处理其信息的主观意愿,甚至包含了以此为给付,以换取个人信息处理者的对待给付等内容。因此,尽管做出同意表示的自然人可能并不知悉经由其同意,个人信息处理者所能取得的处理个人信息权限范围(通过实现个人信息处理的透明、正当、必要等原则以解决在同意表示问题上的市场失灵毋宁属于公法与私法协作的任务)同意表示的核心意图则仍然应当受到制定法的认可。尤其是,《个保法》第15 条也为这种同意的瑕疵提供了事后补救的可能性。
不过,同意表示不仅是一种对人格法益的控制机制,而且是个人信息财产法益行使意义上的法律行为。以任意撤回权出发确保信息主体对其个人信息的控制权的制度设计,必将在缺乏具有过度保护必要性的人格法益的情况下与私人之间所可能存在的合同关系造成冲击,后者常常会要求信息主体履行同意他人对其个人信息加以处理的合同义务。从本文的讨论来看,《个保法》第15 条对任意撤回权的制度设计与合同制度中的契约严守要求之间,会基于规制对象的重合而构成规范冲突。对于这种规范冲突,究竟应当将《个保法》看成是《民法典》的特别法,从而对于个人信息保护的问题,优先适用《个保法》的规则;〔3〕参见石佳友:《个人信息保护的私法维度——兼论〈民法典〉与〈个人信息保护法〉的关系》,载《比较法研究》2021 年第5 期;王利明:《〈个人信息保护法〉的亮点与创新》,载《重庆邮电大学学报(社会科学版)》2021 年第6 期。还是反其道而行之,将《民法典》第1022 条等涉及肖像、姓名许可使用合同的规制条款作为相应案型的特别法,优先于《个保法》而适用?若采前者,则一旦出现对个人信息的处理,民法意义上针对个人信息的契约安排都将失去其意义;若采后者,则《个保法》的制度目的难免落空。如何探寻两种制度背后的法理构成,从而建立妥善的类型化适用机制,在不同案型基础上实现任意撤回权的制度目的与契约严守的制度利益之间的平衡,从而实现法律适用的清晰性与确定性,是本文讨论的核心所在。
独立于主体而存在的信息常常可以分为三个层面:第一,语义信息(semantische Information),指向意义层面的信息内容本身,如发明、著作内容;第二,句法信息(syntaktische Information),指向编码层面的由一定数量的相互关联的字符所组成的信息,如文本、图像、图表、数据、声音、人的记忆等,它们可以承载语义信息,从而构成语义信息的表达,但是并不依赖于特定的有体化方式;第三,结构信息(strukturelle Information),指向物理层面的以特定结构形式而存在的信息载体,如有体的书本、光盘或其他存储介质,它可以承载句法信息。〔4〕Vgl.Herbert Zech,Information als Schutzgegenstand,S.37ff;Yochi Benkler,From Consumers to Users: Shifting the Deeper Structures of Regulation Toward Sustainable Commons and User Access,Federal Communications Law Journal,Vol.52 :561,p.562,(2000);Lawrence Lessig,The Future of Ideas: the Fate of the Commons in a Connected World,New York: Random House,2001,p.23.
在这样的观察下,作为《个保法》的保护客体,个人信息被界定为是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”(《个保法》第4 条第1 款),其内容无非是以特定结构信息(“以电子或其他方式”,要素1)通过特定句法信息(“记录”,要素2)所承载的与自然人相关的语义信息(“与已识别或者可识别的自然人有关的各种信息”,要素3)。但是,个人信息的实质仍在于语义信息层面,因为句法信息与结构信息仅是外在媒介,本身并不是最终的规制对象。就此而言,肖像、姓名、(部分)隐私等信息性人格权均因其含有个人信息的内容,同时为《民法典》人格权编的诸多规范及《个保法》所规制。例如,肖像被界定为是通过特定形式在一定载体上所反映的特定自然人可以被识别的外部形象(《民法典》第1018 条第2 款)。可见,一方面,肖像中所包含的要素1、要素2 与个人信息所包含的要素1、要素2 都只是缺乏具体内涵的形式要求,因此具有同质性;另一方面,肖像界定中的语义信息(特定自然人可以被识别的外部形象)构成上述个人信息的一个子集。与此类似,姓名、私密空间信息、私密活动信息、私密部位信息、秘密信息等姓名权、隐私权的客体也均构成语义信息意义上的个人信息。
由此,《个保法》一方面将单纯的个人信息(如自然人的地址)纳入规制对象的范畴中,另一方面也将“撕开”民法对人格权的界定,在语义信息层面上构成对前述权利的重新规制。与此同时,对上述个人信息的处理也可能成为合同订立的要件,或成为合同的主给付义务、从给付义务,因而也将同时作为《民法典》合同制度的规制对象而出现。
按照《个保法》第13 条第1 款第2 项的规定,基于合同关系的需要可以处理个人信息,即“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”构成个人信息处理的正当性依据。从形式上看,该第2 项与第1 项(“取得个人同意”,以下简称:“知情同意”)的区隔十分明显,前者似乎更属于与个人同意无关的正当性来源。认同这一点,就意味着基于合同关系的需要而处理个人信息并不会进一步受《个保法》第15 条第1 款第1 句所规定的“基于个人同意处理个人信息的,个人有权撤回其同意”(即任意撤回权)的影响。〔5〕参见杨旭:《正当利益条款的中国法构造——基于〈民法典〉第998 条》,载《法制与社会发展》2022 年第1 期。但问题并没有那么简单,基于合同关系的需要而处理个人信息事实上仍有可能与任意撤回权制度构成衔接关系。
1.知情同意与基于合同必要性的同意在评价上的等值性
在许多涉及个人信息处理的合同关系的缔结或履行过程中,同意会以明示或默示的方式存在于债权合同之中。〔6〕Vgl.Benedikt Buchner,Informationelle Selbstbestimmung im Privatrecht,S.237.若合同依其性质在订立或履行中必然涉及对个人信息的处理,则自然人的合同签署行为就包含了允许个人信息处理者对其个人信息加以处理的默示同意。例如,在标的物需要运输的买卖合同中,合同的订立本身就包含了允许他人对自己的联系方式加以使用的默示同意。更进一步地讲,同意还可能以明示的方式存在于诸如医疗合同、肖像权或姓名权等人格特征的许可使用合同的条款之中。在这些情形中,同意表示事实上作为法律行为的组成部分而存在,由此,这些法律行为能够独立地作为个人信息处理的正当性来源。
债权合同中所包含的同意与《个保法》第13 条第1 款第1 项中的知情同意具有评价上的等值性。首先,在同意的形式上,前述第1 项中的同意也包括明示与默示两种形态。若《个保法》第14 条所说的“基于个人同意处理个人信息的”情形仅包括知情同意,对于此种同意所要求的“应当由个人在充分知情的前提下自愿、明确作出”在解释上也并不局限于明示情形。〔7〕反对见解参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第156 页。“明确”与明示不同,前者是大数据时代确保自然人作出有效同意的规范要求,用以将沉默、预选框等情形排除于有效同意之外;〔8〕与此类似,欧盟《一般数据保护条例》导言第32 条在规定有效同意时,其同意形式不限于书面或口头方式,同时排除沉默(silence)、预选框(pre-ticked boxes)或不作为(inactivity)等作为有效同意的情形。就意思表示而言,明示与默示原则上均有相同效力,若将实际提供个人信息等行为排除于默示同意的范畴之外,则自然人作出表示的价值将被否定,进而徒增交易成本,并无必要。〔9〕个人信息的现实提供行为解释上也可以看成是在合目的性的范围内对个人信息加以处理的知情同意的默示表示。其次,从行为的性质上看,知情同意与《个保法》第13 条第1 款第2 项中基于合同关系必要性的同意是一致的。两者都是通过意思表示,使得个人信息处理者取得处理的特权。这是因为,同意是一种正当化个人信息处理的行为,不会创设一方相对于他方的给付义务,因此它即便在债权合同中出现,解释上也不应当将其看成是区别于知情同意的另一种性质的同意行为。〔10〕Vgl.auch Kirsten Johanna Schmidt,Datenschutz als Vermögensrecht,S.70;Philip Radlanski,Das Konzept der Einwilligung in der datenschutzrechtlichen Realität,S.118.再次,在一些情况下,同意究竟属于知情同意抑或基于合同必要性而同意是无法区分的。例如,对于车辆运营平台经营者而言,消费者的位置信息对于服务合同的订立与履行固然不可或缺,因此经营者若想存储相关数据,就应当在此之外继续取得消费者的知情同意。但若该经营者为了统计或基于始发点偏好、路线偏好、消费偏好等数据而提供个体改善服务,则此种约定又将进一步构成所谓基于合同必要性的同意。最后,从法律效果上看,无论是单纯的知情同意,还是基于合同必要性的同意,对自然人的个人信息权益均有特别保护的必要。基于前述论证可知,所谓“为订立、履行个人作为一方当事人的合同所必需”在解释上不排除扩张的可能性,大量在合同框架下遵循了最少、必要原则的个人信息处理行为最终将被正当化。此时若阻断自然人通过任意撤回权对其个人信息的处理加以控制的通道,其个人信息被滥用的风险就将无法有效遏制。因为大数据时代的基本现实是,消费合同中常常存在着消费者对经营者隐私政策的无效同意。〔11〕参见吕炳斌:《个人信息保护的“同意”困境及其出路》,载《法商研究》2021 年第2 期;孙莹主编:《个人信息保护法条文解读与适用要点》,法律出版社2021 年版,第50 页。正因如此,我国学者认为,一方面,经营者提供服务可以纳入服务合同、租赁合同等范畴内加以调整,信息主体所提供的对待给付则是主动向经营者提供个人信息或者同意经营者对其个人信息加以收集、使用;另一方面,信息主体的同意仍可任意撤回,该权利的存在与债权合同类型的认定并无关系。〔12〕参见郑观:《个人信息对价化及其基本制度构建》,载《中外法学》2019 年第2 期。
当然,知情同意与基于合同必要性的同意具有等值性并不意味着两者分别独立加以规定就丧失了意义。就前者而言,它仍然将在如下情形发挥作用:(1)欠缺合同关系;(2)虽然存在合同关系但是该种合同的订立或履行事实上并不取决于对相关信息的使用;(3)个人敏感信息的使用,按照《个保法》第29 条的规定,要求“取得个人的单独同意”。〔13〕Vgl.auch Philipp Hacker,Datenprivatrecht,S.182.就后者而言,它一方面对于合同订立与履行必需使用个人信息的情境进行了特别提示,简化了法律适用的论证过程;另一方面对于企业之间进行数据提供等情境中的个人信息使用提供了基于合同的正当性,防止因该规范的缺失而导致多重同意、授权的情形的出现。〔14〕例如,在“新浪微博诉脉脉案”中,法院要求数据获取企业在获取数据持有企业的用户数据时,应当经过用户对数据持有企业、对数据获取企业以及数据持有企业对数据获取企业的“三重授权”。该案被认为违背了促进信息流转利用的效率要求。参见徐伟:《企业数据获取“三重授权原则”反思及类型化构建》,载《交大法学》2019 年第4 期。
上述论证意味着,《个保法》第15 条中所说的“基于个人同意处理个人信息的”在解释上同时指向《个保法》第13 条第1 款第1 项与第2 项。据此,在法律适用上,基于合同必要性的同意最终将与任意撤回权制度相衔接。〔15〕不同的观点参见孙莹主编:《个人信息保护法条文解读与适用要点》,法律出版社2021 年版,第51 页。至于为何持此观点,作者未予论证。
2.同意及信息提供作为合同义务与任意撤回权之间的冲突
缔约磋商阶段固然也存在基于合同订立的必要性而处理个人信息的情形,但对于《个保法》而言,有意义的是不同意的情形,至于提供不实信息等,则应通过缔约过失制度加以解决。在此,若信息主体不同意,且合同相对人无法从第三方有效取得相关个人信息(如贷款银行从第三方取得征信信息),则合同无法订立,自不生同意义务之不履行的问题,更遑论与任意撤回权的冲突。
在合同已经成立的基础上,同意及信息提供在何种情况下属于合同义务的内容,从而应服从于合同拘束力,取决于具体的合同构造。若同意及信息提供仅仅是一种合同中的不真正义务,则该不真正义务履行与否,纯粹取决于所谓义务人自身的意志。例如,在诸多经由APP 完成履行的服务合同,如导航服务、定制化推送服务等,自然人作为接受服务一方并没有提供个人信息的给付义务,其提供行为是对他人完成给付的一种协助,具有使自己免于遭受无法获取服务的不利益的功能。就此而言,根据《个保法》第15 条而赋予信息主体以任意撤回权并不会与其应当遵守的合同义务产生矛盾评价。不过,同意与信息提供究竟是属于不真正义务,还是属于为他人之利益而存在的给付义务,实质上仍然取决于不同的交易形态以及潜藏于该种交易形态背后的当事人意志。即便在导航服务、定制化服务中,如果数据的处理目的已经超越了他人提供给付的必要协助范畴,例如进一步存储数据并将其用于其他用途,则同意与信息提供就将具有为他人利益之属性,从而构成给付义务。进一步而言,在诸如肖像许可使用等合同中,同意及后续容忍也是作为一种典型的给付义务之内容而存在,并对他方之对待给付构成对价关系。
由于基于合同必要性而处理个人信息所具有的信息处理行为正当性并不排斥后续的同意撤回行为,在存在同意义务的合同情境下,合同拘束力与任意撤回权就将形成冲突。
若不考虑任意撤回权,则根据传统的契约机制,合同义务及法律效果均将有显著不同。以肖像权的许可使用为例,权利人的自我决定权和同意表示的受领人的利益应予以衡平保护:权利人的同意表示自到达时起产生其相应的拘束力,仅在例外的情况下,表意人可以根据持续性债之关系中基于重大事由(《民法典》第1022 条,例如,个人信息处理者嗣后变更信息处理方式或隐私政策)而享有针对同意的撤回权。在此基础上,对同意表示产生信赖的交易相对人不能要求就其因同意撤回而遭受的损害主张不履行的损害赔偿责任,而仅能主张信赖利益的损害赔偿。〔16〕Vgl.Horst-Peter Götting,Persönlichkeitsrechte als Vermögensrechte,S.150;Claus-Wilhelm Canaris,Grundrechte und Privatrecht,AcP 184(1984),201,223f.此种教义学展开的正当性基础在于,一方面,主体所具有的人格持续地处于发展过程中,其中包括该主体在合同订立时无法预见的人格变迁,因此为确保其持续自由地参与社会交往,人格权主体的自我决定在私法上就值得保护;〔17〕Vgl.Horst-Peter Götting,Persönlichkeitsrechte als Vermögensrechte,150f.但是,另一方面,人格权在商业化使用的过程中,具体的人格特征就成为了经济往来的客体,此时交易相对人将对合同关系及同意表示的有效性产生信赖,并在此基础上展开其投资行为。〔18〕A.a.O,S.151.因此,对于双方当事人而言,契约严守的法则仍然继续发挥其作用,同时为兼顾双方当事人的利益平衡,将损害赔偿的范围限于信赖利益的损害赔偿。
若考虑任意撤回权的存在,则应注意以下两个方面。一方面,从合同义务的角度看,由于存在对同意的任意撤回权,因此即便存在同意的合同义务,该同意也可以被即时撤回,从而最终产生与未同意相似的法律效果。若承认这一点,就意味着即便当事人通过合同创设了权利义务关系,同意的义务事实上也是缺乏法律上拘束力的。尤其是,即便同意表示在先,而未提供个人信息的行为在后,后者在意思表示解释上也有可能构成对同意的撤回。另一方面,从撤回的法律后果的角度看,理论上在违反合同的法律效果上,个人信息处理者仍可以要求承担损害赔偿责任,但若考虑到《个保法》中任意撤回权制度及其作为对信息主体的保护性规范的存在,任意撤回权的行使就不能被评价为是具有违法性的义务违反行为,〔19〕Vgl.Philipp Hacker,Datenprivatrecht,S.224;Axel Metzger,Dienst gegen Daten: Einsgnallagmatischer Vertrag,AcP 216(2016),817,855;程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第162 页。从而最终否定个人信息处理者的损害赔偿请求权。〔20〕相似结论参见Philipp Hacker,Datenprivatrecht,S.224。相反见解参见龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021 年版,第69 页。
由此,原本建立在前述合同行为与同意及信息提供行为相分离的预设因《个保法》第15 条的体系效应而被打破,若承认其优先适用性,则它最终在诸多情形中摧毁了大量与个人信息相关的合同的实质拘束力与救济可能。面对这种任意撤回权与合同拘束力之间的规范冲突,学理上形成了两种截然不同的立场:仍主张任意撤回权绝对优先;〔21〕Vgl.Specht,Daten als Gegenleistung Verlangt die Digitalisierung nach einem neuen Vertragstypus?,JZ 2017,S.763 ff.主张合同机制在相当范围内维持其优先适用的地位。〔22〕参见杨芳:《肖像权保护和个人信息保护规则之冲突与消融》,载《清华法学》2021 年第6 期。
基于个人信息保护的目的,同意基础上的任意撤回权作为个人信息权益的体现,无疑具有强行法的属性。此时,若将《个保法》针对个人信息处理的规则视为《民法典》中合同制度的特别法,〔23〕参见石佳友:《个人信息保护的私法维度——兼论〈民法典〉与〈个人信息保护法〉的关系》,载《比较法研究》2021 年第5 期;王利明:《〈个人信息保护法〉的亮点与创新》,载《重庆邮电大学学报(社会科学版)》2021 年第6 期。则法律适用就可以直接通过特别法优先的适用法则来解决。这就意味着,在个人信息保护与契约拘束力之间,个人信息保护具有法益衡量上的优先性。
从一般私法理论的角度看,若在不存在真正合同义务或者甚至根本不存在合同关系的背景下,人格权权利人所作出的孤立的、单方的同意表示(例如对售楼处大厅采集人像表示同意)当然可以任意撤回,因为此时不仅不存在与人格权相竞争的其他需要保护的法益(如他人的信赖利益),而且此时若不赋予撤回权,则个人信息处理者必将因缺乏基础合同关系的限制而过度侵入信息主体的自治空间。〔24〕有的学说将“同意”看成是对信息主体的持续性代理行为(consent as ongoing agency)。See Jennifer Barrigar,Jacquelyn Burkell &Ian Kerr,Let’s not Get Psyched Out of Privacy: Reflections on Withdrawing Consent to the Collection,Use and Disclosure of Personal Information,Canadian Business Law Journal,Vol.44,p.7(2006).该学说同样导向孤立同意的任意撤回权,就如同孤立代理权也存在任意撤回权一样。参见朱庆育:《民法总论》,北京大学出版社2016 年版,第353 页。但若存在同意及信息提供的合同义务,则一旦承认《个保法》在个人信息处理上的特别法地位,则任意撤回权势必将构成对私法自治的限制:一方面,《个保法》中所规定的多元个人信息处理正当性来源无法填补因任意撤回权而产生的对合同关系的影响;另一方面,绝对化的任意撤回权忽略了同意作为财产权使用方式及人格利益自我决定的自由,并据此完全否定了契约拘束力存在的必要性。
诚然,从《个保法》第13 条第1 款所列的诸种事由看,在撤回同意或者拒绝同意之后,个人信息处理者仍然可以通过其他事由取得对个人信息处理的权利。不过,就任意撤回权与合同关系的冲突而言,除了《个保法》第13 条第1 款第1 项及第2 项之外,其他正当性来源总体上指向公共秩序、公共利益及其他特殊事由,与合同语境下的个人信息处理并无关联。从比较法上看,部分立法中常常还允许通过私法层面广泛的利益衡量,确定其他需保护的法益,从而可以为个人信息的继续处理提供正当性依据。例如,《德国数据保护法》(Datenschutz-Grundverordnung)第6 条第1 款第f 项规定,“信息处理系为保护数据处理者或第三人的正当利益所必须,以该种处理不影响信息主体的以保护个人信息目的的基本权或基本自由,尤其是该信息主体涉及儿童时为限”,个人信息处理者有权处理个人信息。据此,在私法关系上,利益衡量取代了单独同意或合同中的同意,由此限制了任意撤回权对个人信息处理者及第三人的影响。然而,这一通过开放的利益衡量为信息处理提供正当性的规则在我国《个保法》中并不存在,这使得在我国的制度环境下强调其他正当性事由的意义大为降低。
就《个保法》第13 条第1 款第1 项及第2 项而言,即便解释上可能存在两项正当性同时并存的情形,任意撤回权的行使也不意味着仅有其中一项正当性基础因撤回而丧失。因为在诸如肖像权许可使用的合同中,一旦关涉给付义务的同意被撤回,合同关系的发展将丧失核心内容,导致合同关系并不具有继续发展的可能性。此外,在信息主体已经撤回同意的基础上,若个人信息处理者基于其他正当性事由继续秘密地处理个人信息,不仅将使个人信息的处理丧失透明性(《个保法》第7 条),而且将构成对诚实信用原则的违反。〔25〕Vgl.Philipp Hacker,Datenprivatrecht,2020,S.208.
由此可见,同意规则与契约拘束力之间的矛盾是无法避免的。但是,两者分别所欲实现的个人信息自由保护与契约严守的利益又是不具有可公度性的,因此也就无法在抽象层面予以权衡、取舍。〔26〕参见梁上上:《异质利益衡量的公度性难题及其求解——以法律适用为场域展开》,载《政法论坛》2014 年第4 期。事实上,维持个人信息交易领域合同的拘束力,很大程度上是承认了信息主体对个人信息的财产权行使属性和人格决定属性。〔27〕对于个人信息的此种双重属性,参见申卫星:《论个人信息权的构建及其体系化》,载《比较法研究》2021 年第5 期;彭诚信:《论个人信息的双重法律属性》,载《清华法学》2021 年第6 期。
1.个人信息具有财产属性
任何一种事物,其作为财富的属性取决于其能够满足人类需求。作为一种财富,其稀缺性并不取决于其客观属性,也不取决于其包含的价值内核,而是主观地取决于人类社会实际的或想象的需求以及人类对事物的自然的、科技的和法律上的支配可能性。〔28〕参见张谷:《试析“财产”一词在中国私法上的几种用法》,载《中德私法研究》第9 卷,北京大学出版社2013 年版,第136 页。因此,尽管单一的个人信息客观价值较小,〔29〕例如,有的统计发现个别社交平台中每条个人信息的价值不足4 美分。参见张新宝:《论个人信息权益的构造》,载《中外法学》2021 年第5 期。但是,现实中大量存在的服务换取信息这一对价化交易模式中,个人信息以及对个人信息进行加工的权利常常能够通过相应经济价值来加以衡量,进而成为合同的客体或内容的组成部分。〔30〕参见郑观:《个人信息对价化及其基本制度构建》,载《中外法学》2019 年第2 期。这足以说明个人信息能够满足主体的特定效用,同时显示其得为主体所控制的属性。可见,个人信息具有财富属性。〔31〕比较法学说亦同此见解。Vgl.Zech,Information als Schutzgegenstand,S.54,216;Kirsten Johanna Schmidt,Datenschutz als Vermögensrecht:Datenschutzrecht als Instrument des Datenhandels,S.48.
在个人信息具有财富属性的基础上,该种财富究竟应当配置给个人,进而构成个人的财产,抑或配置给社会,进而构成公共财产,取决于交易成本的最小化。这种交易成本并不是取决于个人信息的处理过程,因为即便是公共财产,相同的处理过程及成本也仍然存在。对于社会而言,最重要的交易成本莫过于处理过程中所可能导致的对隐私的潜在及现实侵害。质言之,在《民法典》对自然人的隐私权进行保护的背景下,若将个人信息界定为公共财产,则为防止个人信息过度处理并最终产生侵害隐私权的结果,信息主体必将采取事先或事后的救济行为,或者由公共部门出面,针对个人信息处理者的行为而采取以防止个人信息被滥用、隐私权被侵害为目的的监管行为。这些都将构成个人信息市场化的社会成本。在此基础上,经济与技术条件的变化也将进一步影响均衡产权的界定。随着个人拥有的个人信息财产权变得更有价值,他们将对这些权利加以更彻底的界定。〔32〕参见[以]约拉姆·巴泽尔:《产权的经济分析》,费方域、段毅才译,上海三联书店、上海人民出版社1997 年版,第101 页。因此,当立法肯认个人信息作为一种防御性的权利时,其积极利用的权利也应当分配给信息主体。
2.财产权利的行使自由与契约拘束力维持的正当性
使信息主体负有同意义务的债权合同与同意行为在构成要件与法律效果上是可分离的,但是针对同意的撤回若为合法行为,则撤回在事实上也瓦解了契约实质上的拘束力。根据私法学说,尽管人格权本身无法被处分(《民法典》第992 条),但是对个人信息的处理表示同意仍构成许可使用的法律行为。个人信息处理者获得数据,并取得对数据的处理权限,其法律效果类似于通过交付等方式使他人取得对物之占有,并加以使用、收益。因此,同意行为固然不构成典型的处分行为,因为同意并不使信息主体丧失其个人信息权益,他人所取得的也仅是个人信息处理的正当化特权。但是,从同意及提供个人信息的处理作为合同关系项下的给付的角度看,此种行为至少具有设定债务并使他人对个人信息实现“占有”的属性。就此而言,由于财产权的使用权能是财产权的固有内容,其通过合同行为创设同意之义务,以及通过同意而对财产权加以使用均系其私法自治的行为,相应的为自己设定义务或负担的行为以及履行行为(同意)的效力均应加以认可。在此意义上,基于禁反言的基本要求,作为合同给付内容的同意及个人信息提供本身就不存在任意撤回的正当性。
换言之,若认为任意撤回权的法理基础也在于个体的自我决定,〔33〕参见孙莹主编:《个人信息保护法条文解读与适用要点》,法律出版社2021 年版,第50 页。比较法上的类似见解参见Radlanski,Das Konzept der Einwilligung in der datenschutzrechrlichen Realität,S.99。则就其财产法上的效果而言,发生在后的撤回行为就不应当然地以合法行为的面目出现。若如此,除了不以合同关系存在为前提的孤立同意可以任意撤回外,在合同关系的框架下,可以认为在信息主体的同意之下,个人信息处理者得随时处理相关信息,因而该类合同大多构成持续性债之关系,据此,在同意不构成合同关系下的真正义务或者存在重大事由而终止合同关系的情况下,同意的任意撤回才具有正当性。
任意撤回权的制度目的也可能在于进一步保护信息主体在人格权层面的知情与自我决定。例如,就确保信息主体的知情权的角度来看,我国学者认为,“实践中,由于许多处理个人信息的告知环节设于处理的初始阶段,尚处于信息收集的过程,个人往往难以合理预计或清晰掌握同意处理个人信息的后续影响”,〔34〕孙莹主编:《个人信息保护法条文解读与适用要点》,法律出版社2021 年版,第50 页。因此,为确保信息主体对个人信息处理在实质意义上的知情,似乎就应当赋予信息主体以任意撤回权。
不过,从规范建构的角度讲,知情权未能保障或决定自由欠缺应纳入任意撤回权的构成要件加以考量,任意撤回权的存在才会具有正当性。一揽子地通过无条件的任意撤回权保护信息主体的知情与决定自由,最终会在个案中造成过度保护的结果。就此而言,法律行为及合同制度的救济反而能够发挥上述个案甄别的作用:若信息主体在不知情的情况下作出同意表示,则其表示一方面构成对交易中视为重要的人或物的性质的认识错误,另一方面构成他人隐瞒真相——个人信息处理者根据《个保法》第7 条、第44 条负有法定的披露义务——使信息主体在违背真实意思的情况下作出同意,从而可以通过重大误解(《民法典》第147 条)或欺诈(《民法典》第148 条)制度对合同及同意表示加以撤销。只不过基于人格法益保护的需要,行使这种撤销权不受《民法典》第152 条的除斥期间的限制。〔35〕参见万方:《个人信息处理中的“同意”与“同意撤回”》,载《中国法学》2021 年第1 期。若个人信息处理者嗣后未经信息主体同意而变更处理方式,性质上属于对信息主体的附随义务的违反,致使同意或提供个人信息的目的无法实现,构成根本违约,〔36〕参见韩世远:《合同法总论》,法律出版社2018 年版,第664 页。从而信息主体得解除合同,并进而撤回其同意。
通过自我决定权来论证同意撤回权事实上仅是一种循环论证。因为,信息主体在合同行为中义务的承担以及同意行为已经实现了此种自我决定,除非此种合同义务及同意构成了对其人格自由及尊严的实现,否则其无法继续以矛盾的方式行使其权利。但是,并非所有的合同关系及相应的同意行为均会构成对主体的过度拘束与人格异化。通常而言,一方面,对个人信息处理加以同意及提供的行为若通过合同排除了撤回权,则该种约定本质上无异于人格权的处分,也将形成对主体自由的过度拘束,并最终导致人格异化的产生,从而违反公序良俗;另一方面,从个人信息使用的角度看,只有那些高度人身性的核心领域,如隐私领域,〔37〕与此相反,单纯的姓名、声音、肖像等个人信息则不属于高度人身性的核心领域。Vgl.Kristen Johanna Schmidt,Daten als Vermögensrecht: Datenschutzrecht als Instrument des Datenhandels,S.132.才可以排除契约的拘束力。〔38〕在个人信息之外,人身自由、身体完整性等法益也属于高度人身性的核心领域。在一般私法层面,就前述领域而订立的合同也没有强制执行的可能性。参见王泽鉴:《债法原理》(第一册),中国政法大学出版社2001 年版,第23 页。但是,就后者而言,在考察是否构成过度拘束时,本质上需要考虑合同对个人信息使用的程度、时间、数量、方式等各个方面,并对此做全面考察。《个保法》中个人信息处理的任意撤回权概括性地指向所有的个人信息同意的情形,并未在此重新纳入利益衡量的要求,因此任意撤回权也并非建立在合同对信息主体的人格形成存在过度拘束的法理基础上。
从上述分析可知,单纯从保障行为自由的角度讲,对财产的处分自由及人格的决定自由最终都导向合同自由优先保护的结论。由此,认为任意撤回权在任何情况下都优先于合同拘束力而加以保护的观点就显得十分武断。尤其是,任意撤回权的制度安排并不意味着在同意问题上,立法者拒斥利益衡量的可能性:一方面,《民法典》第999 条及《个保法》第13 条第1 款第3 项至第5 项均认可个人信息保护与新闻监督、舆论监督及其他公共利益之间进行利益衡量,并认可优先保护后者的可能性,很难想象其他合法的合同利益完全不被纳入考量;另一方面,无论是将个人信息视为私法上的权利,〔39〕此系当前我国民法学界的通说。相关讨论可参见张里安、韩旭至:《大数据时代下个人信息权的私法属性》,载《法学论坛》2016 年第4 期;叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018 年第5 期;申卫星:《论个人信息权的构建及其体系化》,载《比较法研究》2021 年第5 期;吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参照》,载《中国法学》2019 年第4 期;丁晓东:《个人信息权利的反思与重塑 论个人信息保护的适用前提与法益基础》,载《中外法学》2020 年第2 期。抑或利益,作为人格法益之一种,其保护与否均需要对违法性进行积极判断,以免言论自由(包括商业自由)等法益受到不当限制。〔40〕参见王利明:《人格权法研究》,中国人民大学出版社2012 年版,第210-213 页;王泽鉴:《人格权法》,北京大学出版社2013 年版,第339 页;张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015 年第3 期。由此可见,任意撤回权无疑是对个人信息权益予以保护的一种方式,一旦赋予其绝对之效力,或拒斥利益衡量的可能性,则将导致制定法的矛盾评价。这意味着,任意撤回权的正当性必须建立在个人信息特别保护正当性的基础之上,即出于更为重要的人格利益保护目的,使得契约严守的利益退居其次。
如前所述,同意是私法关系上信息主体决定是否参与信息交往的重要方式,而任意撤回权则是信息主体对其参与加以控制的手段,体现了极强的对个体实施信息保护的价值取向。尽管任意撤回权的适用以《个保法》第13 条第1 款第1 项和第2 项为前提,但由于除了个人或家庭的非经济性事务,其他的个人信息处理活动均属于该法的适用对象,〔41〕参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第537 页;类似观点参见张新宝、葛鑫:《个人信息保护法(专家建议稿)及立法理由书》,中国人民大学出版社2021 年版,第249 页。任意撤回权的适用范围事实上仍然十分广泛,甚至可以说支配了私法往来中信息交往的最初阶段。它不仅可以针对经营者—消费者关系调整消费者契约;而且将介入一般私法领域,对信息自由形成限制,从而重塑《民法典》中人格权法的体系,〔42〕参见蔡培如:《欧盟法上的个人数据受保护权研究——兼议对我国个人信息权利构建的启示》,载《法学家》2021 年第5 期。并最终形塑个人信息处理者行为自由的边界。
即便涉及契约语境,契约本身也可能未将同意设定为义务,此时同意仍有可能在诸多经济交往中出现。该种同意即构成单方法律行为意义上的同意。在规范上,该类型涉及《个保法》第13 条第1款第1 项和第2 项中所规定的为订立合同所必需的情形。这种同意究竟属于单纯的受害人同意,抑或具有更为丰富的内涵?
受害人同意这一定性的合理性在于,在个人信息权益的人格权与财产权双重属性得到认可的背景下,信息主体同意他人处理其个人信息的行为不仅体现了自然人处分个人信息权益的自由,而且本质上构成侵权法意义上的受害人同意。〔43〕需要注意的是,一般侵权法意义上的受害人同意并不当然适用行为能力制度,而是以个案中行为人的识别能力为标准。参见陆青:《个人信息保护中的“同意”规则的规范构造》,载《武汉大学学报(哲学社会科学版)》2019 年第5 期。与此不同,《个人信息保护法》第31 条采纳了形式化的同意能力规则。该进路的意义在于,通过同意,他人处理个人信息行为原本所具有的违法性可以得到阻却,〔44〕参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第161 页。同时任意撤回的正当性也能够得到说明。因为同意行为本身是自决权的现实化与具体化,唯有允许任意撤回,主体的自治才能够得以持续实现。但是,该进路同样存在缺陷。如前所述,个人信息本身兼具财产权的属性,而受害人同意仅能排除侵权之构成,尚不足以排除因他人处理个人信息对不当得利之构成。可见,受害人同意的进路并未揭示同意的全部面貌。
对此,学说上多主张同意兼有类似处分行为之效力,〔45〕此外,同意固然属于单方意思表示,但这并不与处分行为的定性相冲突,盖处分行为通常为双方行为系源于对权利取得人的私法自治的保护;在同意表示作为处分行为的具体构造上,亦有学者主张扩张处分行为中的让与为部分让与即可。Vgl.Marlene Voigt,Die datenschutzrechtliche Einwilligung,S.79f.以回应社会经济往来中人格特征的使用人及个人信息处理者据此取得利益的情形。在此,个人的自我决定仍然具有基础的评价意义:若无同意的合同义务,则作为处分的同意也可以任意撤回。该结论的正当性进一步可以从三方面加以说明。其一,从法理上看,任何通过单方行为方式作成的法律行为,原则上也可以转换为契约行为——若该同意为契约行为,则其并无对价,可类推适用《民法典》第658 条之法理,将同意之撤回与赠与撤销等而视之,进而产生任意撤回的效果。其二,从社会经济现实角度看,除了在同意基础之上所能获得非对价意义上的服务之外,信息主体对于同意的其他后果并不完全知悉,这尤其体现在信息主体通常不了解或无法了解完整的隐私政策等事实上。其三,从救济成本角度看,与合同或侵权等传统民法上的权利救济方式相比,通过不含溯及力的任意撤回权的配置,信息主体可以及时、低成本地救济其个人信息被侵害的危险。〔46〕例如,2017 年全国人大常委会执法检查组发布的《关于检查〈网络安全法〉、〈全国人民代表大会常务委员会关于加强网络信息保护的决定〉实施情况报告》中的调查结果显示,用户个人信息保护存在举报难、投诉难、立案难的现象。
将同意视为是可以任意撤回的受害人同意与处分仅仅是从无合同义务的角度所做的分析,即仅仅是一个弱效力的任意撤回权,它主要针对《个保法》第13 条第1 款第1 项有效。当个人信息的交往涉及以同意换取服务等合同形态时,合同中的同意更是一种对个人信息予以商业化使用的手段。如前所述,由此所涉及的合同义务攸关个人信息处理者的财产利益,其利益构造就将不同,能否任意撤回的结论也将受影响。通过合同义务的设置,本质上是在任意撤回权的基础上,重新约定了同意之不可撤回性。此时,若要重新主张任意撤回权的有效性,即否定该种约定之效力,建立一个强效力的任意撤回权,就需要新的正当化基础。
如前所述,在单方法律行为意义上的同意中,任意撤回权有其正当性,从而《个保法》第15 条应当优先适用。但是,如果同意是一种双方法律行为意义上的同意,即在《个保法》第13 条第1 款第2项中的履行合同所必需的情形中,当事人通过合同机制将同意约定为义务,则合同拘束力就将直接作用于同意之上,从而任意撤回权制度当然优先适用的结论就无法当然成立。但是,该结论的排除并未就任意撤回权与合同拘束力的顺位作出说明,后者仍应重返私法体系与任意撤回权的法理基础才能得到类型化的适用方案。
1.任意撤回权受制于合同解除中正当理由要件必要性
若当然地承认双方法律行为意义上的同意也可以适用任意撤回权的规则,那么,从法秩序评价一致性的角度看,它不仅直接指向《民法典》第563 条第2 款与第1022 条第1 款要件的满足,而且指向第1022 条第2 款效果的满足,也就是说,将个人信息的处理看成是一种导向合同解除的“正当理由”。依后者本身的规范意旨,所谓正当理由系指肖像等许可使用合同的继续履行将损害人格权主体的人格尊严,妨碍其人格自由发展的情形。〔47〕参见最高人民法院民法典贯彻实施工作领导小组主编:《中华人民共和国民法典人格权编理解与适用》,人民法院出版社2020 年版,第260 页。此时,考虑到任意撤回权与合同拘束力的冲突,将个人信息处理一概看成是满足了《民法典》第1022 条第2 款的要件,〔48〕参见杨芳:《肖像权保护和个人信息保护规则之冲突与消融》,载《清华法学》2021 年第6 期。虽然能够实现个人信息保护的目的,但该立场不仅略显武断,同时该条及以下条文的价值取向就彻底沦为具文,最终也将阻遏个人信息的社会化使用。尤其是,个人信息保护尽管有《宪法》第38 条之人格尊严条款作为基础,〔49〕参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021 年第3 期。它仍然同时会对其他主体的人格尊严产生限制功能。因为,一般行为自由(包括合同自由)也是人格尊严的体现,〔50〕参见王利明:《人格尊严:民法典人格权编的首要价值》,载《当代法学》2021 年第1 期。而必要的社会交往与信息交换不仅是为个人而构建出来的社会能够维系其存在的前提,而且是生存于社会之中的个人的行为自由现实化的物质基础。〔51〕Vgl.Horst Ehmann,Informationsfreiheit und Informationsverkehr im Zivilrecht,AcP 188(1988),230,234.因此,从社会交易需求的角度看,通过目的性限缩以解决任意撤回权的过度扩张,使之重新受到“正当理由”的约束,就有其必要性。
2.信息权力对等与任意撤回权的劣后适用性
从个人信息规制的历史看,在隐私权生成之前,不同的法域对个人信息问题的相似做法是:其一,私法仅对突破最低限度的伦理的行为予以规制,因此公然丑化、侮辱、诽谤等行为基于其不法性而受制裁;其二,在名誉权的保护被承认之前,在前述行为不法规制的情形及商业秘密保护之外,信息自由是根植于私法文明的共同观念。〔52〕Vgl.auch Horst Ehmann,Informationsschutz und Informationsfreiheit im Zivilrecht,AcP 188(1988),230,240.在此传统下,名誉因关系到主体正常社会交往的展开而受到特别保护,而其他个人信息(包括隐私信息)则无关主体在共同体中人格的自由展开而不予规制,至于因个人信息被他人披露而产生不适,则纯属道德调整的对象。
这种模式的合理性在于主体之间信息权力的对等性:一方面,在现代通讯技术尚未发轫的时代,信息的传播通常以口耳相传或者通信的方式而实现,即便是属于私人领域的个人信息也不会因信息的过度传播而使主体遭受巨大的损害;另一方面,隐私个人信息的传播者所遭受的道德非难性仍然能够发挥作用,因为信息传播的范围与传播者的生活范围通常属于高度同一的社群。本着举重以明轻的基本逻辑,隐私之外的个人信息,则更属信息自由之范畴。在此之后,信息技术和大众传播媒介所携带的巨大的信息权力打破了此前市民社会中信息保护与信息自由之间经由道德义务所实现的脆弱平衡。大众传播媒介的广泛出现使得个人信息的传播远远超越了个体主动参与的生活范围,使得个人成为公众的观察对象。大众传播媒介的运行常常伴随着直接或间接的经济利益,道德义务的约束迅速被经济诱因所打破;而隐私信息被侵害所带来的隐私焦虑与精神痛苦则因传播而放大,其借此制度而实现的人格展开的利益却微乎其微。正因如此,隐私权作为一种“独处权”才会以法律命令的形式应运而生。〔53〕See Samuel D.Warren &Louis D.Brandeis,The Right to Privacy,Harvard Law Review,Vol.4,No.5,1890,pp.195-196.此时,支撑隐私权的正当性基础仍然是保护人格尊严,言论自由固然能够通过其他来源加以正当化,但隐私信息收集者、传播者的言论自由在通常情况下相对于他人的隐私权保护而言,本身就不具有道德上的正当性。当道德戒律威慑不足时,法律禁令便作为一种道德戒律的替代品而产生了。在此之外,技术的进步固然使姓名、肖像等权利的需保护性特征不断突出,但通过一般人格权制度的发展,人格利益中的精神与财产利益仍然能够得到充分保护。
综上所述,由于通过一般私法上的人格权与合同制度仍能实现对诸多个人信息交往的合理规制,现代个人信息保护意义上的任意撤回权于此就将构成过度保护。从规范体系上看,姓名权和肖像权涉及姓名与肖像这两类个人信息,本质上也构成广义的个人信息规制内容。虽然它们在体系上属于一般私法的内容,但是在信息权力对等的语境下,它们其实构成个人信息制度的特别法,属于《个保法》第13 条第1 款第7 项所说的“法律、行政法规规定的其他情形”,从而应优先于《个保法》而适用。因此,在信息权力基本对等的信息交往背景下,任意撤回权这一异质性的制度应当让位于合同拘束力。
在双方法律行为意义上的同意基础上所产生的合同拘束力与任意撤回权的冲突的基础是合同拘束力规范与《个保法》第15 条的冲突。因此,当合同制度本身就包含了对拘束力的瓦解时,规范冲突就无从谈起,任意撤回权优先适用也就无须讨论。这尤其涉及《民法典》第563 条第2 款和第1022条第1 款的情形。于此真正需要讨论的是合同拘束力存在的情况下,任意撤回权基于何种法理而应优先适用。
1.从信息权力不对等的形式到强化隐私权保护的实质
就个人信息的私法保护而言,私法的演进凸显出下述特征:随着信息技术的变迁,人格法益的权利化使得此前属于信息自由的领域不断缩小,从而实现对人格尊严的保护。若不考虑特别的信息技术,在一般私法层面,对于他人的信息自由而言,隐私权已经完整地刻画了信息保护的边界。在个人信息保护与他人的信息自由利益之间,尽管依然存在着信息权力不对等的格局,但信息自由的法益仍优先得到保护,后者仅在涉及他人隐私的时候才例外地通过相应的法益衡量而得到限制。正因如此,《个保法》第72 条第1 款才对私人往来中的信息利用予以排除,进而通过民法中的人格权制度加以解决。因此,传统及现代社会中的一般私法均不对隐私权之外的个人信息予以规制。
不过,法律所将面临的新问题是,当信息技术继续发展,信息权力进一步不对等,是否应当针对个人信息本身提供更强的保护?诚如学者所言,其一,个人信息保护在思想渊源上就发轫于针对“具有专业性或商业性的信息收集特征的主体,尤其是利用数据库等现代科技大规模收集个人信息的主体”;〔54〕丁晓东:《个人信息权利的反思与重塑 论个人信息保护的适用前提与法益基础》,载《中外法学》2020 年第2 期。其二,从比较法的信息立法实践看,平等主体之间的信息收集与处理以及非持续性的信息关系均不为真正意义上的个人信息保护制度所规制;其三,个人信息保护的制度框架起源于“公平信息实践”原则,它所规制的正是不平等的信息关系。〔55〕参见丁晓东:《个人信息权利的反思与重塑 论个人信息保护的适用前提与法益基础》,载《中外法学》2020 年第2 期。但是,信息权力不平等所揭示的仅仅是事实问题,而没有进一步指向规范的因素:信息权力不平等的现实下,任意撤回权制度所意欲实现保护的目的或对象是什么?显然,个人信息本身并不是保护的目的。因为,一方面,并非所有的个人信息处理者都受信息技术进步的影响,以个人信息为直接保护对象,将导致对个人信息处理者的行为自由遭受过度限制或威慑的效果;〔56〕通说均承认对信息法益的保护需要在信息主体的信息利益与他人的信息自由进行场景化的利益衡量。参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015 年第3 期。另一方面,即便认为个人信息保护的目的在于实现宪法上的人格尊严保护,个人信息的保护也需要接受与其他基本权利尤其是他人的行为自由保护的权衡。
从个人信息实践的现实角度看,对个人信息加以特别保护的目的在于防止隐私权被侵害。随着以大数据、云计算、网络浏览中的数据处理(如Cookies 技术、搜索引擎技术、定点营销)等自动化数据处理技术以及数据库存储技术的出现,任何个人信息均不再当然地属于不会造成进一步损害的内容。〔57〕从比较法上看,对规制私人之间的信息交往而言,个人数据保护制度甚至总体上均要求存在自动化数据处理技术或数据库存储技术的运用,对此可参见《德国联邦数据保护法》第1 条第1 款第2 段及欧盟《一般数据保护条例》第2 条第1 款。人格画像等技术结果的出现意味着,若放任个人信息作为信息自由的客体而出现将最终导致信息主体的隐私权受到侵害。〔58〕有的学者将此称为“大数据技术与隐私规范基础的瓦解”。参见俞成峰:《信息隐私权的宪法时刻:规范基础与体系重构》,载《中外法学》2021 年第1 期。相比之下,隐私权侵害的可能性也可以存在于传统的个人信息使用领域,例如以档案的方式记录、分析他人个人信息,进而最终获取他人的隐私信息。但这种行为不具有隐私权受侵害的高度危险,因而无需通过个人信息保护制度加以规制。与此不同的是,无论是运用自动化数据处理技术还是数据库存储技术,此类行为尽管并不具有直接侵害隐私权的现实危险,但是均会涉及隐私权被侵害的抽象危险。隐私权的预防性请求权仅包含对隐私权侵害的现实危险的救济,却无法包含对抽象危险的防免,同时,对这种抽象危险性所采取的防免措施将限制他人的行为自由,因此属于立法保留的内容。由此,非隐私性的个人信息与隐私权尽管在客体等方面存在着巨大的差异,〔59〕参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013 年第4 期。但是个人信息仍然被认为具有独立加以保护的必要性。
2.任意撤回权优先适用的正当性
如前所述,在当前技术条件下,并非所有的个人信息处理行为都具有私法上的个人信息保护的必要性,而是只有在存在隐私权被侵害的高度抽象危险的场域才会有规制的必要。因为个人信息自动化处理技术以及数据库存储技术的出现最终使得个人信息的同意使用时刻面临着处理者逾越初始目的设定,并进而侵害信息主体隐私权的困境。任意撤回权事实上就是对这种危险的一种防御机制。由此,解释学的任务就在于考量各种抽象危险性之规制与他人行为自由之间展开权衡,从而划定行为自由的边界。
个人信息处理的抽象危险程度本质上并非取决于个人信息的具体类型,而是取决于对个人信息的处理方式与过程。显然并非所有的抽象危险均应当且可以防免:作为侵害手段的自动化数据处理技术以及数据库存储技术因具有高度的抽象危险性而可以被纳入规制的范围,而其他技术手段不仅无法被清晰界定,而且事实上也无法加以规制。例如,通过手工分析或人脑分析的方式处理个人信息虽然也具有一定的抽象危险性,但这种危险不过是信息主体参与社会交往的正常风险而已,同时对其加以管制也不具有可操作性。由此可见,信息权力不对等仅仅是一种规制的表象,其本质所规制的是差异化的数据处理能力。就自动化数据处理技术以及数据库存储技术之外的个人信息处理而言,并非所有的处理过程均具有高度抽象危险性。以《刑法》第253 条之一的规制立场为例,仅在违反国家规定的情况下,“向他人出售或者提供公民个人信息”才具有抽象危险性。该规范同时构成私法意义上的保护性法律,从而使得该处理过程原则上也需要取得同意。换言之,从防免隐私权受侵害的角度看,非自动化数据处理、非数据库存储技术且非为法律所特别保护的处理过程之外,同意规则应通过目的性限缩的方式不予适用。据此,有的个人信息传输行为就不需要通过同意规则来加以调整。例如,在债权让与中,新旧债权人之间通常会基于债权买卖合同交换有关债务人的信用状况、履行能力等个人信息内容。从文义和目的解释上看,该类情形并不能当然地适用《个保法》第13 条第1 款第2 项的规定,因为所谓“为订立或履行个人作为一方当事人的合同所必需”,指的是“当个人作为一方当事人与作为另一方当事人的处理者正在订立合同或者履行已经成立的合同时,处理者只有处理该个人的某些个人信息才能与之缔结或履行合同”,〔60〕程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第127 页。而并不包含为订立或履行合同而使用第三人的个人信息的情形。这种行为的合法性就在于它本身并不触及隐私权受侵害的高度抽象危险,因而应当排除于同意规则的适用范围之外。
任意撤回权是个人信息保护的一种手段,时刻需要与信息自由形成平衡,因此它无法回避具体案件中的利益衡量及法律效果平衡。利益衡量作为导向法律效果的前奏进而意味着,任意撤回权的适用并非仅仅考虑支撑其正当性的技术问题,而是会根据不同的情形,基于多种正当性基础,分别产生相应的法律效果。
其一,在涉及《个保法》第13 条第1 款第1 项的单方法律行为意义上的同意及其他非基于合同义务的同意的情况下,信息主体不负有同意的合同义务,基于自我决定的法理与信息主体利益,〔61〕中央网信办、工信部、公安部、市场监管总局四部门2019 年联合发布的《APP 违法违规收集使用个人信息专项治理报告(2019)》列举了数千款APP 存在的“未公开收集适用规则”“未明示收集使用个人信息的目的、方式和范围”“违反必要性原则,收集与提供服务无关的个人信息”等情形,本质上就不存在基于合同的个人信息使用约定,在此基础上用户所作出的同意,即属于孤立同意,因而信息主体可以任意撤回。任意撤回权得直接适用。例如,在网络服务合同履行过程中,用户同意网站对自己的个人信息予以搜集,以便改善网站的整体服务质量,此时同意并不必然涉及合同必要性,因此用户得任意撤回其同意;与此类似,医疗服务合同终止之后,医疗机构对个人信息的处理即失去合同拘束力,评价上应做与孤立同意相同的判断,因此也属于此处所说的可以任意撤回的情形。
其二,在不涉及自动化数据处理技术和数据库存储技术的情境中,若个人信息处理者基于双方法律行为意义上的同意而处理个人信息,形式上构成任意撤回权制度与合同制度的竞合,但任意撤回权于此通过目的性限缩而不予适用,因此最终合同制度的适用应优先考虑。例如,肖像、姓名的许可使用,电视、电影、图书等作品对信息主体的声音、肖像的使用等。在法律适用上,《民法典》第577 条以下及第1022 条等规则应优先于《个保法》第15 条而适用。
其三,在涉及自动化数据处理技术和数据库存储技术的情境中,即便存在双方法律行为意义上的同意,任意撤回权系保护可能受侵害的隐私权及个人信息财产权之必要手段,因此仍然可以优先于合同关系而得到适用。除此之外,从经济往来中的利益衡量角度看,自动化数据处理技术及数据库存储技术中,个人信息处理者均会对大规模的个人信息加以处理,单一个人信息的撤回并不会损及大数据技术的运用和个人信息处理者合法经济利益的维续,因此任意撤回权的优先适用也具有社会经济政策上的妥当性。
总而言之,以欧盟《一般数据保护条例》及《德国联邦数据保护法》为重要立法蓝本的《个保法》彻底改变了以《民法典》为基础的一般私法对信息自由与信息交往的界定,仅就其同意规则及任意撤回权制度而言,其宽广的适用范围终将通过司法实践而彻底影响社会生活,并形成对契约严守这一基本私法诫命的冲击。对于个人信息处理正当性来源进行有限列举,并排除司法实践过程中具体的利益衡量的做法更进一步加强了这种冲击。在此背景下,法律解释的任务就在于对各种任意撤回的场域进行分类,并通过《个保法》中同意与任意撤回制度的法理基础的重新考察,探求其适用的妥当目的与对象。