权利理论下个人信息保护“同意”的义务指向

李昊霖

青岛科技大学法学院，山东 青岛 266061

学界大多数涉及个人信息保护“同意”原则的文章，都会在第一部分对“同意”性质加以界定，其基本上都是对“同意”作为一种无论是传统权利，或者是新兴权利的再次确认［1］。因此，本文另辟蹊径，试图从权利理论的角度出发，探讨“同意”的义务性指向。人们愿意讨论权利，有的时候并不是因为法律概念本身权利属性的特殊性，而是因为权利会为法律概念提供更广泛的正当性，泛权利化在学界方兴未艾，各种新兴权利层出不穷。本文并非要对个人信息保护中“同意”原则的权利性质加以证明，而是希望在逻辑分析和权利价值等方面为“同意”原则提供更多关于行动规则的理论支撑，从而呼应个人信息保护“同意”规则的规范性构造。

一、个人信息保护“同意”的权利来源

个人信息保护中“同意”的权利具有双重属性，首先基于“同意”和意思表示具有强联系性，故“同意”属于一种非完全型的意思表示，属于私法领域所涵摄的范围。其次“同意”又指向个人信息的自决权和法律规范的强制力，属于公法领域的规制对象。具体而言，个人信息保护的“同意”具有意思表示内涵，其本身具有价值的指向，通过“同意”规则，个人可以处分其权益，在法律规定的范围内形成自治。同时“同意”又受制于法律规范的强制力约束，其主要表现在两方面：第一，法律规范本身对于“同意”规则的约束。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第十四条可以理解为“如果个人在没有充分知情和明确所有被处理的个人信息的情况下，那么同意属于无效”。第二，法律规范对于“同意”的价值选择。2019 年《德国联邦数据保护法》根据《欧盟一般数据保护条例》（GDPR）将“同意”定义为“Willenbekundung”，根据德语的构词结构，该词为复合词，即“Willen+Bekundung”。“Willen”作为情态动词，其本身体现了较高程度的自愿，而“Bekundung”来源于“Bekunden”即表达之意。其本身区别于《德国民法典》中“Willenerklarung”（意思表示），这也说明表达和表示之间存在差别，表达只是单纯表达出意愿，而表示则有对于意愿的进一步示意的效果。意思表达偏重于形式化，而意思表示则具有具体的内涵。

“同意”作为一种非完全型的意思表示，无法从“意思”的概念准确地概括“同意”的权利来源。笔者认为“同意”的权利更应该来自基本人权的属性。通过“基本人权”可以让“同意”在意思表示内涵和规范强制力两方面得到自洽。第一，可以通过隐私权的这一上位概念进行解释，个人信息属于隐私权保护的内容。隐私权同个人信息具有重合点，隐私权与个人信息都属于人格权益的范畴，《中华人民共和国民法典》将两者置于同一章，就是考虑了其天然的联系。第二，两者的客体本身具有重合性。第三，隐私权和个人信息在侵害方式上具有共同的形式。第四，隐私权与个人信息还存在功能的交互性。但是隐私权和个人信息是完全不同的概念，不应该将两者混同。国内学者有从多个角度对其进行区分，但是笔者主要认为，两者最大的不同之处是个人信息“同意”属于公法和私法混合的权利概念，一方面其运行规则需要利用私法方面的意思自治模式，而该模式的正常运行则需要利用公法来保障，对于个人信息所有者的权利也需要公法来保障，例如《个人信息保护法》中的撤回权、决定权等规定。另一方面，法律规范的强制性则通过“自由”权进行体现。因为价值选择的本身就包含了一种利益衡量。即对于个人“自由”的保护与社会大众利益的平衡，并非所有的自由都应该得到完全的满足，应先考量公众利益的优位。这一点在学界也已达成广泛共识。故笔者认为个人信息保护“同意”真正的源权利是“基本人权”，而非仅仅是隐私权，或者自由权。赋予“同意”更大范围的权利属性，有利于为“同意”规则的构建和发展提供更为合理的路径。

二、权利逻辑中个人信息保护“同意”所指向的义务

（一）权利概念和逻辑的分析

我们通过美国法学家霍菲尔德关于主张权的经典表述展开讨论，A 享有B 做X 的一项主张权，当且仅当B 对A 负有做X 的一项义务。虽然霍菲尔德仅仅是从形式上定义了主张权利义务的对应关系，缺少更加深层次的原因分析，这也是本文将要展开分析的内容，但是仍然不能否认其作为展开分析出发点的重要作用。具体而言，个人信息保护中“原则”无疑是一种个人主张的权利，那么就会产生相应的义务，而对应义务的强度在笔者看来是界定个人信息保护“同意”权利性质的关键。如果对应的是一种相对平等，非强制的义务则倾向于私法领域的意思自治的概念，而如果对应具有明确价值位阶，具有强制性的义务，则倾向于公法领域的权利主张。但是无论是私法还是公法领域，都需要更加深层次而非仅仅是形式上去理解个人信息保护“同意”所指向的义务。

必须先肯定的是个人信息保护中“同意”具有天然的权利外观，因为其内容始终关乎隐私、自由、尊严等基础权利所必须具备的一些基本价值。这些基本的价值赋予“同意”原则权利的权威性，同时自然而然地获得规范力的加持，《个人信息保护法》的制定和颁布无疑是对于个人信息保护“同意”的制度性支撑。但是规范是指向行动的，当个人信息保护“同意”具备规范力之后，我们更应该明确其义务指向，这并非形式上的概念的厘定，而是需要获得实践中成功。

（二）从权利的价值方面分析

通过拉兹客观上预设的道德和价值的立场，进一步认识个人信息保护“同意”所指向义务的必要性。拉兹认为，一是社会实践创造了价值，二是社会实践控制了价值实现的机会［2］。本文重点从社会实践创造价值的层面分析个人信息保护“同意”的义务性作用。通过检索目前司法领域针对个人信息保护“同意”的案例，以上海青浦、江苏吴江、浙江嘉善三地法院及市场监督管理局联合发布的消费者权益保护十大典型案例之七：某售楼处人脸识别系统侵害消费者个人信息被行政处罚案为例。该案例明确公共区域内个人信息的采集须经消费者同意。售楼处通过人脸识别系统，无疑会更好地明确潜在客户，同时可以更加精准达成销售房产的目的，其本身是具有相当大的经济价值的，因为房产的销售不仅仅关乎房地产企业的经营和发展，同样对于整个地区经济的发展都有很大的作用，但是为什么法院还是判定在公共区域内个人信息的采集必须经过消费者的同意？这无疑是指向了更大规模的社会实践，即公民对于个人身份信息的保护需求的价值高于房地产销售的社会实践，这不仅仅是因为公民个人信息所指向的关乎尊严、隐私等人的基本权利，同样也与我国人民当家作主的国家信仰相契合。在公共区域中个人信息具有价值，但是其价值的实现则必须通过社会实践所确认，并赋予其正当性。因此可以在一定程度上判定个人信息保护“同意”所指向的义务性，绝不是单纯的公法、私法简单混合的义务，而是更具有公法意义上的强制义务属性。

三、个人信息保护“同意”的公法义务

面对互联网时代对个人信息保护的严峻挑战，个人信息的私法保护已出现乏力现象。其主要表现在三方面：对违法者的威慑不足；被侵权人维权能力不足；违法认定和损害认定标准不清［3］。面对此种情况，迫切需要国家机关的介入，但是我国目前对于个人信息保护的介入，多零散地分布于各个个人信息保护相关的法律规范之中，缺乏体系性。而且学界已经逐渐意识到了该问题，但是多停留在对于公法规制正当性和必要性的层面，对于具体的规制方式方法却鲜有涉及。据统计，目前我国有关“个人信息”的规范性文件超过1000 部，虽然存在繁多的关于“个人信息”的规范性文件，但是这些规范往往不成体系，在实践当中往往存在公法和私法的界限不清、同时使用的问题。随着互联网的飞速发展，个人信息的治理也展现出了“从个人本位走向社会本位”的趋势［4］。针对此问题，有的学者认为应当发挥公权力机关在个人信息保护方面的主体性作用。并提出了以《个人信息保护法》为核心，以场景主义理念为指导，打造事前、事中、事后全流程的个人信息公法保护模式。但是笔者认为，似乎这种对于个人信息的保护仍然没有跳出借用私法领域规制个人信息保护的方式方法的藩篱。笔者看来，对于个人信息的公法保护，需要打破利用私法为主、公法为例外，即“同意”的“一般原则+例外”的模式。有的学者强调，通过场景理念的改造，解脱对于“同意”的限制，但是其本质还是模糊公法与私法的界限。笔者认为这种模式存在两个缺陷：一是如果完全以场景理念指导个人信息的保护，在某些情况下会完全架空个人的“同意”。例如在认为绝对为了个人利益的场景下，无需取得个人“同意”就具备了正当性。例如目前的智能运动产品，如果用户在面临紧急情况或者生命危险的时候，会自动获取个人用户的生命体征的信息。虽然用户可以前置“关闭”该系统，但是多数情况下，是在用户无意识情况下获得个人用户的地理位置以及生命体征等信息。二是此种模式还是没有突出公法对于个人信息保护的特点以及公益属性。公法对于个人信息保护是双向的，一方面出于公益目的强调使用个人信息，发挥其最大化的价值。另一方面需要防止个人信息被滥用。目前我国公法领域对于个人信息的保护着重于后者。

对于个人信息在公法领域的保护，或许还是应当回到规范本身寻找解决路径。例如在《中华人民共和国刑事诉讼法》（以下简称《刑事诉讼法》）中规定举证责任倒置规则适用个人信息保护案件［5］，适用举证责任倒置的规则本身就是体现对个人信息保护的公法义务。因为适用举证责任倒置规则，是考虑到当事人双方通常地位悬殊。如果面临企业违规收集个人信息，个人信息权益受到损害，个人所面对的往往是具有专业法务人员的企业。因此将举证责任倒置，有利于维护个人的个人信息权益。在刑法领域，《中华人民共和国刑法》（以下简称《刑法》）中明确规定了个人信息范围的限缩，全面理顺了“情节严重”认定标准［6］；《中华人民共和国刑法修正案（七）》《中华人民共和国刑法修正案（九）》《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》将“公民个人信息”作为明确的、独立的保护对象；《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进一步明确了个人信息的范围；相关学者也进一步提出侵犯公民个人信息罪的“公民个人信息”一定要符合《个人信息保护法》中的“个人信息”的概念，但《个人信息保护法》中的“个人信息”未必都属于《刑法》调控的对象。在刑法视域下对于“公民个人信息”进行限缩，本质也是对于个人信息的保护，防止其被过分扩大化而被滥用的公法规制。同时在《刑事诉讼法》第一百三十六条中限制搜查地点，就是为了避免侦查机关过度搜集个人信息，并在《刑事诉讼法》第五十四条科以公安司法机关保守国家秘密、商业秘密与个人隐私的义务［7］。

四、总结

我国目前对于个人信息在公法领域的保护，强调的还是个人信息国家保护义务，而弱化了个人信息保护中国家的权利。这也与笔者强调需要厘清个人信息保护“同意”原则义务的形式和实质内涵相契合。个人信息保护“同意”所指向的义务，需要达到形式和实质的相互协调并共同发力。简言之，是使内外部达成一种合力，从内部（形式义务）来讲，法律规范对于“同意”规则应当更具体和明确，例如针对需要重复收集“同意”的授权采取更加明确的告知方式，而不是给司法机关过多的自由裁量权。对于“隐私政策”规定的展示也应当更加具有便利性，让大多数用户可以便捷地找到与之利益相关的内容，而不是没有重点地罗列规定条款。例如明确若个人想在48 小时内删除自己的个人信息，可以通过何种方式进行操作。个人信息处理方应当将救济手段在“隐私政策”中明确规定，避免用户动辄起诉，增加诉累，同时也降低了个人信息处理方的企业声誉和产品公信力。从外部（实质义务）来讲，增加以《个人信息保护法》为核心的个人信息领域的法律规范同其他部门法的协调性，除了前文所列举的公法领域部门法的规定之外，仍需要进一步加强相关立法进程。