内容提要:在私法领域中,同意是一种义务、责任和风险的转移机制,具有改变人际规范状态的功能。一个公平的同意需要满足特定的条件。各国立法普遍将知情同意作为个人信息的合法性基础和侵权免责事由,但在现实中规范效果普遍不佳,原因在于意思自治理论主导的知情同意规则在复杂现代环境中已经很难发挥核心作用。规范发展重心已向建立公平同意所需要的制度环境和条件转移,建构公平条件的目标支持将我国《民法典》和《个人信息保护法》中的知情同意理解为一种准法律行为。以公平为导向的体系性解释,还将更好地处理同意与其他个人信息合法性基础的关系,并支持将规制机制的重心向行政监管和合规转移。
引 言
知情同意被普遍作为个人信息处理正当性的黄金规则,是个人信息处理行为最重要的合法性基础。与全球主要法律规范体系的处理基本类似,《中华人民共和国民法典》(以下简称《民法典》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)均将取得个人同意作为信息处理行为合法性条件的首要基础。但从全球层面来看,个人信息处理中的知情同意规则并未能充分显现其预期作用。本文着力于在法理上反思“同意”这一重要法律行为的性质、功能及其局限,突破对行为本身的内部观察和主体意思表示维度,将视野扩展到公平同意所需要的外部制度环境与条件上去。在澄清同意行为规范性的内涵后,再回到民法和个人信息保护法的层面寻找个人信息保护中公平同意的体系解释和保障救济之路。
一、同意的规范性功能
(一) 同意改变人际规范状态
在法律上,同意即通过作为或者不作为创设或者改变法律权利和义务关系,对他人的规范状况加以改变,影响人们对彼此行为正当性的规范期待。允许他人进入房子,即将他人行为的性质从非法侵入变成合法访问;同意医生的听诊,即排除了身体骚扰而使其成为合法治疗行为。同意是人际道德与法律关系性质转变的关键,它有着一种神奇的规范性“魔法力量”,赋予行为正当性与合法性。具体而言,在权利的层面,同意意味着相信他人拥有、应当拥有某种权利,或者赋予他人以某种权利。前者是认知上的同意,后者是行动意义上的同意。同意的典型用法是:“X 同意Y 的做法……”,“X 同意Y 成为……”。在义务的层面,同意可以设定义务,并将风险与责任转给特定方。同意是一种义务、责任和风险的转移机制,其往往是重新评估人际关系的规范理由之一。整体上,同意的规范内涵包括:(1)将改变他人的规范状况(权利义务状况);(2)以改变他人的规范状况为动机和目的;(3)它产生了改变他人规范状况的实际外部效果,外部观察者将把它理解为具有此种改变规范状况的性质。通过同意所期待和宣称的规范效果,其功能才能得到解释,这种解释具有一定逆向性结果主义指向。由此,同意从动机和目的内在要求就已经具有外部效果或者公共指向,也恰恰基于此,同意与承诺被区分开来。理解同意的核心并不在于同意的行为本身,而在于理解做出同意的外部制度情境和规范效果期待。
(二)同意的主观方面:理性自治的局限
在结构上,同意行为从主观和客观两个层面改变他人规范状态。首先,主观层面上,同意者的意图或心理认为其同意行为将改变他人的权利义务和责任状态,并且该行为将被他人视为同意。除非同意者有自愿的目的和自主选择和决定的行为,不可能有同意。其次,同意有一个客观的维度:外部观察者必须将其视为改变被同意者和同意者之间的权利义务和责任的状态。主观和客观因素都具有反身性:意志的主观行为如果不相信外部认可,就无法获得规范上的效果;外部认可也必须进入主观因素,除非外部观察者认为该行为是同意的行为之一,否则根本就不可能同意。
就个体而言,尤其是从内在的视角来看。同意是个人理性自治伦理的展开。此一规范意义被广为接受,并且成为现代法律构造主体性的基础。但19世纪末以来,对自治主体的理性之局限的反思推动了对同意规范性限度的认识。经验主义和怀疑论哲学认识到:“个人足以知道并能根据社会成员的偏好做出选择的唯理主义”被称为“致命的自负”和“天真的幼稚”。个人理性是一种“工具”,一种“抽象思想的能力”,因此它服务于个人的方式乃是引导个人在一个无法充分理解的复杂环境中进行行动并使他能够把复杂现象抽象成一系列可把握的一般性规则进而引导他的决策。因此,应批判地对待理性,不要将其理解为真实的行为,理性只是对自身和自身条件的一种解释。
在经济学上,有限理性论认为,人和组织在行为决策中并不具有超凡的理性和全部预见的能力,而只是一种“有限理性”的能力。实际生活中随时充斥着数百万个变量,我们只能在有限的选择里将注意力尽量集中在最关注的事情上,并有限地分析可能存在的替代性选择机制。经济伦理学研究还表明,同意在市场优劣分明的状态下,会被利用而成为一种“道德工具”。当社会的能力优势拉大到一定程度的时候,有优势者就会出现激励其可利用的弱势者的非理性动机,以获取在协议中的绝对优势。在竞争社会中,每个人基于自身利益都会尽可能理性,但同时会将其竞争对手置于非理性的位置。比如,在资方和商家看来,将工人、消费者置于无法对自身利益有效认识和行动的地位就是他们所希望的。在不平等现实中,将那些并不平等之物展现为平等的样子,表现为相互的道德免责事由,但实际上是一边对另一边的压制态势,而同意恰恰是一种便利的“道德工具”。
从外部效果来看,某种行为似乎是自我导向的,是基于同意的,但有时同意几乎没有表达自我控制。将所有的注意均放置在同意问题上将会导致过度关注个别行为关系,而忽视制度和社会环境的影响。将决策完全交给个人很容易造成一种社会短视,从而使事件的进程由视野受限的人决定,使其陷入自身生活和个人想象的狭隘界限。
(三)同意的客观方面:建构公平的制度条件
观察同意的正当性需要考量其外部效果。公平的同意不仅应满足意志自治的内部条件,也应同时满足外部环境条件。相比较于主体的有限理性,现实的环境条件则“客观地”规定了同意规则的公平性。首先,在相互性同意中,主体平等事关同意之公平。而平等性不仅指形式上地位之平等,亦指信息、利益等诸要素之平等。其次,一个自愿的授权、义务和风险的转移应该对于所有相关方有益。而那些只对特定方有利的情况,往往是同意行为的外部性造成的,体现了道德上的不充分。在大多数情况下,只有那些能够为他人提供有价值的东西的人才能从他人自愿承担的义务中受益。通常,人们愿意承担义务,因为他们希望得到一些对自己有利的回报。然而有些人,例如残障之人、老幼贫弱之人,可能没有什么可以提供给他人的价值。在一个义务只能来自个人自由同意的世界里,这些人通常会被忽视,并可能会陷入被剥夺和被压榨的境地。
私法中高度仰赖意思自治和合意的契约理论走向现代以来,基于对公平环境的追求,无论是宏观还是微观方面都已经不再单纯以同意所表达的意志自由为唯一基础,转而关注公平环境的制度构造。在观念上,自愿同意不再被作为设定契约道德义务的唯一正当理由。契约正义要求达成契约的条件除自愿合意之外,应考察契约具体条款的实质公平性,即双方是否公平地获得各自的份额。新契约论已经不再将同意和允诺看作定义公平的事实行为,转而认为同意是依据规则体系加以界定的规范性行为。由此,私法上同意规范性之关键问题,从同意是否存在或有效,转向同意行为的公平条件和实质合理性,即同意是否可以被视为权利、义务等规范状态发生变化的正当性基础。如果同意是由系统性和不合理的权力行使所造成的,它就缺乏规范价值。
概括而言,一个公平的同意应具备下述特征:(1)同意者必须具有给予有意义同意的理性能力,能够理性地预见、评估同意行为的影响,并在可能的替代方案中权衡。(2)同意行为未受到胁迫或令人反感的操纵。(3)同意的行为必须是自愿的,这就意味着必须至少有一个可行且道德上可接受的替代方案以供选择。同意者具有撤回同意的能力和塑造协议内容的权利,并将其转变为更好的替代选择的可能性。(4)同意的范围必须受到公平的限制。(5)同意必须完全知情,在此之前必须合理披露语境以及同意的可能影响。(6)同意必须是针对目前条件和信息的同意。可以在未来撤回同意,不面向未来发生效力。如果条件发生变化,则必须披露这些条件,允许重新展开同意的合理程序。(7)同意不得导致歧视性或不公正结果,并符合法律和道德的规范性要求。如果说一个满足公正条件的同意才是有效的,那么同意的效力就不仅仅取决于做出同意行为之人是否实际上具有某种改变他人规范现状的权利,而同时取决于这一同意是否满足合公平性的规范要求,将不公平的主体和环境中的同意赋予效力就会理想化同意的现实效果。
然而,关于公平的同意之条件,在现实中总是过于理想化的。获得公平的同意并不一定需要具备道德外部限制作为条件,相反,正是在现实中无法实现公平同意之条件的情况下,才需要人们秉持一定的道德原则,作为纠正现实非均衡的手段。权利作为利益平衡的工具,只是提供了一个起点,而不是契约的结果。权利是议价者带到谈判桌上的筹码,而不是他们从谈判桌上拿走的。竞争市场环境中,权利在道德上是必要但不充分的。在缺乏合作意愿和对权利尊重的情况下,权利并不能充分保障契约的公平性。在外部环境中如果社会并未提供一种适当的权利尊重和促成合作的基础,那也将影响权利作为筹码的效果。因此,仅仅赋予主体以同意的权利是不够的,要害是建构公平同意的规范性条件。
二、忽视公平同意的制度条件所造成的困境
个人信息保护领域,单纯赋予个人同意的权利并不能建构一个公平的行为关系。平台与个体之间存在的明显而巨大的技术不平衡和信息不对称,进一步放大了将个人信息处理行为合法性主要置于同意之下的弊病。
(一)大量侵害权利的行为不是缺乏同意,而是缺乏公平的同意
知情同意书中冗长而难以理解的表述,“同意或不同意”的“通知选择模式”严重形式化、空洞化,被滥用为获取合法处理个人信息的免费通行证。严格的监管和执法也未能有效制止滥用同意规则的做法,通过技术手段摆脱对知情同意书的依赖也并未奏效。其原因在很大程度上是因为它们忽视了通知试图描述的海量数据使用中的高度复杂性,以及由于描述不充分或不准确而可能产生的法律责任。
逻辑上,只要依靠自愿披露和个人选择的“通知选择模式”,滥用用户形式化同意的行为将永远不会得到解决,深层次的原因是它想象自己存在于一个完美的信息市场中,忽视了现实的外部效应。它设想人们自身的同意或拒绝,与其他人无关,并且没有任何与他人进行协调的机制。基于此,合理的替代方案要求:(1)确保合理期望的存在。通知并不能产生合理期待,个人的同意可能产生的外部效应和效果应有充分的超然于个人层面的预估与告知。(2)确保受约束的选择仍然是自由的,选择不仅限于简单的勾选同意一揽子接受,还应留有一定的空间以权利为筹码进行谈判。(3)应确保可接受的权衡,使那些支配着广泛的商业、政府和个人的社会规范能够进行利益平衡,并共享关于信息处理的合理价值观,而公平的公共政策和法律是创造共同价值观和共同善的可行手段。
(二)对于个人自治的过度依赖暴露了自我构成概念的深刻贫困
基于个人理性的有限,易于被偏好所左右,人们可能愿意用隐私来换取“便利、功能或经济利益,即使收益非常小”。当面对个人信息和敏感隐私的决策时,这些看似不理性的信息主体偏好至少受到来自三个方面的影响:信息不对称、有限理性和心理扭曲。因此仅仅侧重于自愿性披露的狭隘理解,不联系到个人自愿同意行为所发生的系统性不公正环境,仅通过采取同意的道德要求来塑造权利和义务关系,将对个人造成损害。与个体对信息利益的估量不足相反,挖掘个人信息和数据中的经济利益刺激了市场与商业主体获取和利用个人信息的最大化诉求。在这个意义上,披露信息的选择并不总是明确自主的,而是被那些经济利益的追逐者所推动和驱赶的。因此,我们不仅应该关注自身的个人信息偏好及其经验的稳定性和一致性,更应该看到对个人信息进行采掘的商业激励正在侵蚀个体对自我空间的控制能力,并应对其积极施加合理限制。
(三)作为权力技术的同意规则滥用对人格尊严造成实质侵害
泛滥而廉价的同意,实际上鼓励人们经常性地做出没有意义的决定。表面上赋予其不可剥夺的自决和尊重,但实际上破坏了大数据环境下个体的完整人格和基础能力,使他们一步步陷入主体性被侵蚀的局面。自主同意的话语及其背后的假设至少以两种方式对信息主体特别是消费者造成伤害:将对任何人都无法合理选择的结果的责任归咎于用户;将注意力集中在错误的价值观上,并对应该推广的替代方案制造集体阻力。通知和同意实际上充当了权力技术。企业家和监管机构经常利用建立在同意基础上的个人自治绝对至上的论点(个人需要更好地控制他们的数字生活)来为非法攫取和利用个人信息寻找借口。他们总是说,同意即便不是唯一的选择,也是最好的选择。我们不得不承认,同意无法使个人信息权利成为具有道德变革力量的工具,而不得不转而求助于建构公平同意的规范环境。
(四)缺乏对同意规则的社会、制度环境与条件的反思
背景条件和潜在的权力状态构成了评估同意的规范变革力量之前提。同意的合法性不是一个同意或者不同意的二元问题,而是必须进行综合评估的问题。基于同意具有的合法性转化之规范功能,当其不具备公平条件时,就有可能将非法侵入行为转变为合法的邀请。在平台经济为主要形式的数字经济环境中,自主同意的理想在实践中无法实现,因其缺乏至少三个核心条件:(1)通过同意被转让的,必须能够被转让,即个人信息处理所关联的人格和尊严等内容并不能仅通过同意而被转让。人格利益是不可转让、不可剥夺的。(2)同意行为不得对第三方造成重大损害。而在现实中未经充分考虑的草率同意可能会形成简单多数,使真正珍视信息价值及其所负载的人格尊严的主体受到压制,使其不得不放弃权利主张。(3)令人反感的权利不平衡影响了做出同意决定的环境。同意在结构上无法赋予与大型机构和数据平台相对应的个人权利,剩下的只是一个空的构造。因此,同意不应该承担,也无法承担保护隐私和个人信息的全部责任。
三、将“同意”理解为准法律行为,强调公平同意的规范条件
(一)私法上“同意”作为法律行为的一般指向
在私法制度上如何理解同意行为的法律性质直接决定着在个人信息保护法律体系内同意规则能否实质发挥作用。将同意理解为准法律行为既有助于与民法一般理论进行衔接,也有助于强调同意所需要的公平性条件。在私法之中,行为自由为先设正当,对自由的限制和约束之合法性来源之一即为同意。同意为自身设定约束,且约束本身应满足正当性。从这一前提出发,可以将同意在意思自治中的作用区分为两个不同的方面:在积极的方面,意思自治意味着私人可以自主地安排、处置其私人领域的事务,无需事先获得他人允许或者事后征得他人同意;在消极的方面,作为一种防御机制,它意味着凡没有经过本人同意,任何人都不得擅自干预其私人领域。民法中所出现的“同意”大体上可以归于上述两类。在已经成立的法律关系中,同意所导致的规范结构变化对应其原法律关系属性的界定,形成具体权利与义务结构和要素的变动,如债权与债务的转让。
民事法律行为理论将“同意”纳入其要素,同意是意思表示的方式和内容。“与公民的自由一样,私法自治也并非是不取决于任何条件,而是以充分的知悉和认识状态为前提……”随着社会环境和规则逻辑的变化。同意欲产生法效果,开始要求加入非意思表示的成分,如有效和公平同意的条件。“意思表示+程式(法律规定)”成为法律行为的规范结构。同意往往需要与法律规定的正当性条件相配合才能产生相应的法律效果。只有满足了公平性条件的同意,才具有完整的法律效果。
(二)将“同意”理解为准法律行为的可行性
如果将同意视为意思表示,其主要的困难在于民法上行为能力规则对该同意行为能力的制约,而现实环境中很难明确信息所有者端口的行为人是否具有行为能力;另一个困难在于对撤回行为效力设置的困难。《民法典》第141条规定,撤回意思表示的通知应当先于或同时到达相对人,而《个人信息保护法》第15条则规定,个人有权随时撤回其同意。但也有观点认为,尽管“《个人信息保护法》删除了草案中同意属意思表示的规定,但这并不能说明其认为同意非为意思表示,而只能说明其回避了同意的定性问题。事实上,《个人信息保护法》对同意规定的不足唯有意思表示理论与规则才能弥补”。
综合《民法典》中以“人格权篇”为主要内容中出现“同意”字样的各条款,《民法典》中的同意并不都指向法律行为,也有部分指向准法律行为。自然人或其监护人同意对其个人信息的处理(第1035条第1款第1项主文、第1036条第1项),与第1219条和第1226条中的“同意”一样,都不属于法律行为,而是准法律行为。同意常常被视为对人格权限制的合法理由,或侵权意义上的违法阻却事由(免责事由)往往与法律规定并列,即所谓法律规定除外和权利人同意除外。如人格权法领域常见的“知情同意”行为可构成医疗侵害的免责事由。但同意权的行使不属于单方行为,而属于“准法律行为”,可类推适用关于单方行为的法律规定。个人信息同意行为对作为公平性条件的法律规范性的强调,是将该规范条件作为一种与意思行为并重的构成性要素。尽管同意行为与代表性的准法律行为,如催告、通知等程序性行为的外观有所差异,但在构成要素上,即:“意思表示+程式(法律规定)”上具有共性。同意作为信息处理行为的一种合法性基础,所强调的不仅是同意的意思表示,而毋宁是其公平性条件的满足。进而在效果上,“信息主体的同意行为也不直接涉及权利变动,而只是为权利变动做准备”。同意也不以合同的存在为必要来实现的法律效果,而是同时强调对交易安全的保护,需要同时辅之以能力制度、撤销的除斥期间等相关公平条件的构建,因此,“个人同意原则上应属于准法律行为” 。
(三)对诸种异见的反驳
反对将个人信息同意理解为准法律行为的理由,主要担忧此举会弱化意思自治。同意作为准法律行为尽管存在“意思”,核心要素却是符合法律规定的“表示”,法律效果取决于法律规定,进而仅凭个人信息处理同意可通过合同做出,便不可能将其界定为准法律行为。但个人信息处理行为中的同意既有意思(内在效果)也有表示(外在效果),并通过法律的条件性规定将意思正当化。这并未否定“意思”的要素,而是强调了需要在法定公平条件下产生效果。另外,个人信息处理中的同意行为,尽管不排斥合同形式,但一般不要求以合同的形式来实现其效果,不以合同中的意思表示和合意为必要;且基于个人信息权利作为人格权对可交易性的限制以及判定存在明确清晰对价关系的困难,同意效果的实现往往不依赖合同和债权关系。同意可以以合同形式作出,并不否定在一般性上可以将其理解为准法律行为。
同意并非授权行为。“在法律上,授权行为是意定代理权产生的前提……即在授权范围内对于意思表示的独立做出以及意思表示的独立接受。”如果按照代理的单方性理论来将同意理解为授权,对于个人信息所有者,特别是非合同必要的场景而言并不友好。个人信息授权在没有明确的委托等法律关系的意向之下,仅是一种单方行为。民法上的单方授权行为往往体现了授权人对权利关系的把控,而在个人信息授权的行为中,则是被授权人处于绝对的优势地位。尤其是授权行为无因性原则注重保护代理人利益,以向外维护交易安全,这种基础性的主体结构的差异,也导致很难将民法上基于代理而建立的授权行为的性质直接带入对个人信息同意行为的理解上。基于同意相对于同意的对象(实体信息处理行为)本身具有一定的独立性,如不采用单方性理论,将个人信息中的同意做双方性、有因性理解会妨碍个人信息知情同意权的有效保护。而采用将代理和委托混同的理解(如英国、法国等),将个人信息同意同时理解为代理和委托,则意味着为同意同时附加了两种民事法律行为合法性要求,使权利实现的负担加重。因此从代理的角度理解同意不仅存在解释论上的困难,而且会呈现与个人信息所有者之权益保护相背离的情况。在合同法上理解个人信息同意条款的性质,首先排除了其作为准契约行为的合理性。与无因管理、不当得利等典型产生准契约义务的行为均欠缺行动前意思表示一致不同,同意行为明显存在信息处理者和信息所有者之间意思一致的指向。个人信息处理可以通过合同完成,但同意条款与其他合同条款具有实质性差异,体现了相当明显的独立性。由于同意条款实际上是个人信息自决权的人格权体现,为了保障信息主体的人格尊严,撤销权不应受到除斥期间的限制……因此不同于合同中的撤销权和解除权。另外,在《个人信息保护法》第13条中提及“履行合同所必需”可无需取得个人同意的表述,也意味着将个人信息处理与实质性合同区分开来。实践中,放弃从法律行为的角度,以合同视角单独判定同意条款效力存在效率问题。在美国,作为合同法问题,隐私同意规则通常不被视为实质合同的有效组成部分。例如,在戴尔案中,北达科他州地方法院认为,航空公司的隐私政策是对公司政策的广泛陈述,并不构成合同。滚动浏览网页或单击新软件产品的“下载”按钮不足以构成对实质合同条款的同意。从我国的司法实践来看,对侵害个人信息的认定一般直接适用《民法典》1035条、《个人信息保护法》或其他相关法律的专门条款,如《中华人民共和国消费者权益保护法》第29条加以保护,很少使用合同形式加以保护,实际上也考虑到个人信息处理行为相对于实质性契约的独立性和法律适用的直接性。法院认为个人信息本质上属于人格权益,法官即使在合同类案件中仍需要依职权主动审查适用。
四、以公平为导向:同意规则的体系性展开
《民法典》第111条关于个人信息权的规则体现了信息自决权的内涵,《民法典》第1035条与第1036条集中体现了同意规则对于实现信息自决的核心功能。上述规则将同意规则置于我国个人信息处理合法性建构的核心基础地位,但展开对个人信息同意行为的公平性规范条件则需要对《民法典》和《个人信息保护法》等相关规范进行体系性解释。
(一)以建构公平条件为目的的体系性解释
个人信息处理行为中的同意规则应在合法、正当和必要原则的要求下理解。这意味着违背上述原则的个人信息处理活动即便获得了当事人的同意也无法取得合法性。而对于上述原则的理解,主要关系到对公私两类个人信息处理者的各类个人信息处理行为和各类义务的规范性限定。如信息处理者以非法、不当的目的或手段、超越必要的限度搜集个人信息,乃至以误导、欺诈、胁迫等方式处理个人信息,以积分、奖励、优惠等方式欺骗、误导用户提供个人信息、亲友的个人信息等违背信息处理原则的处理活动和行为,同意无法提供个人信息处理行为的合法性。
有效同意的条件是公平同意的核心要件。“法律行为的有效意味着法律行为能够产生以及稳定保持当事人所欲求的权利义务。作为法律行为的效力依据,意思和法律规范两者都是不可或缺的。法律规范对于法律行为的效力具有本源性,它是法律行为效力的动力源泉,法律行为具有效力正是因为法律规范使之具有效力。”自愿(voluntarily)、清晰(clearly)、具体(specifically)和不含混(unambiguously),是欧盟《一般数据保护条例》(GDPR)对同意做出的基本要求。GDPR 的序言(Recital)第32条详述了同意的方式和条件,而序言第43条强调了当数据主体与数据控制者存在明显不平衡的特定情况下,特别是当控制者是公共机构的情况下,同意不应作为个人数据处理的法律依据。根据GDPR 序言第43条,如果数据主体没有真正或自由的选择,或者无法在不损害的情况下拒绝或撤回同意,则不应被视为自由给予的同意。《民法典》第1035条、第1036条、《个人信息保护法》第13条和第14条规定了有效同意应满足的条件,即个人应当具有同意的能力;在充分知情的前提下做出;自愿、明确地做出。我国网络安全法第41条则为同意规则增加了公法保障机制。根据《个人信息保护法》第69条之规定,个人信息处理行为是否获得了有效的同意,举证责任在个人信息处理者,当其不能证明同意行为满足上述法律规定的有效要件时,则应当承担处理行为违法的法律责任。同意撤回和重新同意的有效性也应根据上述关于同意的有效性要求重新审查,而非一次同意永久有效。
在理解《个人信息保护法》第13条中各款规定的关系时,以建构公平性条件为目的的体系性解释内在地要求,不应将该条第1款第1项中的“基于同意的许可”与该条第1款第2至第7项规定的法定许可简单对起立来,更不能一揽子地将法定许可情形均理解为可以直接排除取得知情同意。尤其是涉及为履行合同所必须、为公共利益和舆论监督等复杂多样的情形,应在合法、正当、必要的原则下,应用比例原则进行考量,以避免滥用法定许可撇开合法性核心要素——知情同意规则的适用。依此逻辑,在处理《个人信息保护法》中需要单独同意的情形(第23条,向其他处理者提供个人信息;第25条,处理者公开个人信息;第26条,公共场所搜集个人信息;第29条,处理敏感信息;第39条,向境外提供个人信息)与第13条规定的一般性同意的关系时,建构以公平条件为目的的体系解释也将反对将13条第1款第2至第7项的法定许可情形简单适用于对同意的排除。尤其是在处理敏感信息及其他需要“书面单独同意的信息”时,如果简单地将诸如履行合同所必须理解为排除同意的话,则将使法律对于上述重要信息的专门加强保护和对高风险信息处理行为的严格规制形同虚设。
(二)以监管和合规为中心的规制机制
我国司法实践中认定的违反同意规则的行为,往往关联到实质性个人信息的非法获取、使用和处理,而不是仅认定对同意规则的违反。处罚上,在适用《民法典》1035条和《个人信息保护法》相关条款时倾向于做出停止损害、赔礼道歉的民事责任认定。考虑到认定实际损失的困难和对产业可能产生的巨大影响,司法上对违反同意规则的处罚采取了谦抑的态度,不倾向于直接认定经济赔偿。也正是在这种情况下,通过私主体主张权利救济的现实效果不彰,使得内部合规和行政监管成为主要的规范效果实现途径。这也反映了基于同意规则所处理的个人信息权益保障问题存在于力量悬殊的主体之间,依靠同意规则本身无法为个人信息权利提供公正性基础,而必须借助更为有效的公法手段如行政法加以规制。建立更为实质的合法性评价标准,方能解决此类“倾斜型法律关系”的公平性问题。
但在行政处罚中,对用户同意等行为的实质性理解,以及是否可以作为违法行为阻却事由仍缺乏充分的讨论和操作经验。且目前我国针对个人信息保护的行政执法机制主体多元、管辖复杂、层级交叉,对处罚对象、行为认定和处罚尺度方面仍有相当大的不确定性,极易在多头执法体制和巨大量罚空间下,偏离过罚相适的正轨。比较而言,个人信息保护的企业合规机制在《中华人民共和国网络安全法》《个人信息保护法》第五章中有较为完善的建构,且明确了个人信息保护影响评估、合规审计等具体机制。合规机制的运用,可以有效平衡监管、个人信息保护和企业利益,成为行政监管、企业风险管理和个人信息保护的主要着力点。合规审查可以成为一个抓手,将隐私政策作为信息处理者的合规章程、市场声誉信息机制的媒介、司法诉讼与行政执法的依据、赢取个体信任与进行隐私教育的工具。因此, “应当从倚重知情同意机制到倚重对个人信息处理者的合规审查”,使其成为促进同意规则发挥作用的主要环节。在合规过程中“信息主体是否知情同意,仅是个人信息处理合规的形式要件之一,而非唯一要件。对于个人信息处理是否合规,则需根据企业事前自主确立的个人信息保护合规计划进行审查”。上述向行政监管与合规的重心转移对应了同意公平性条件的构造,不失为一种务实的解决方案,相较寄希望于强化同意规则的规范效果来达到个人信息权利保护的目的更为可取。
结 论
“同意”作为现代法律上人格独立和理性自决的重要形式,在现代私法的发展中发挥了重要的规范功能。它生成和改变了主体之间的权利义务关系,形成了责任分担机制和风险转移机制的基础,但其功能的发挥需要满足一定的主客观条件。当代私法已经将同意的相关规范重心逐渐转移到应对不断出现的各类不对等法律关系之中,努力构造更加公平的规范环境上。个人信息保护法中知情同意规则将规范基础建立在信息自决的古典理论上,对个人信息处理行为的外部规范效果和公平制度环境考虑不足,阻碍了同意规范发挥更为实质的功能。应将同意规则的重心转移到对同意的公平性条件的构造和有效性标准的建立上。在这一逻辑之下,应将《个人信息保护法》中的知情同意理解为一种准法律行为,充分强调通过法律规定明确其效果意思,强化同意的公平性条件,并以此为目的对《民法典》和《个人信息保护法》进行体系性解释。只有认清知情同意本身的规范性局限,在规则发展上调整重心,建立实质上对个人信息处理行为的合法性审查机制,使其不受制于被滥用和形式化的“选择同意”模式,方能构造良性的信息社会规范架构和伦理环境。
文章来源于网络。发布者:火星财经,转载请注明出处:https://www.sengcheng.com/article/82362.html
微信扫一扫 
支付宝扫一扫 
