論同意在個人信息處理中的作用
——基于個人敏感信息和個人一般信息二維視角

湯 敏

一、問題的提出

近年來，個人信息財產(chǎn)賦權(quán)逐漸得到重視，*Lori B. Andrews, iSpy: Threats to Individual and Institutional Privacy in the Digital World, Vol.21 AALL Spectrum p.23 (2017).信息共享、利用和流通似乎是信息時代的生命力之所在，而信息處理的前提是信息從信息主體處流向信息處理者處。這種流通本應(yīng)遵循良性程序，然而在利益的驅(qū)逐之下，信息泄漏問題十分嚴(yán)峻。例如，自2005年以來，僅在美國就有9億條記錄被不正當(dāng)?shù)仄毓饣蛟L問，導(dǎo)致504萬條信息泄露；2015年，1310萬美國被盜用身份受害者的損失達(dá)到150億美元，其中大部分可追溯到消費者信息泄露。*Robert L. Rabin, Perspectives on Privacy, Data Security and Tort Law, Vol.66 DePaul L. Rev. P.313, (2017).美國消費者面臨著未經(jīng)授權(quán)的企業(yè)訪問、誤用或盜用信息侵犯個人隱私的風(fēng)險。*孫政偉：《大數(shù)據(jù)時代個人信息的法律保護(hù)模式選擇》，《圖書館學(xué)研究》2016年第9期。因此，各國針對這一信息動態(tài)流動過程，往往規(guī)定了信息主體的同意權(quán)，即信息處理以同意為其正當(dāng)性基礎(chǔ)，而同意的正當(dāng)性基礎(chǔ)又源于信息自決權(quán)。然而，信息自決權(quán)也受到了質(zhì)疑，“個人信息自決權(quán)”理論忽略了某些大數(shù)據(jù)的因素，其將源信息權(quán)利人時刻都放在信息絕對權(quán)利主體的地位是不恰當(dāng)?shù)摹?Sarah Ludington, Reining in the Data Traders: A Tort for the Misuse of Personal Information,Vol.66 MD. L. REv. P.143, (2006).有學(xué)者認(rèn)為知情同意機(jī)制已然失靈，知情同意的基礎(chǔ)地位不保，一方面，在大數(shù)據(jù)背景下信息主體權(quán)利已被架空，另一方面，其加重企業(yè)成本，從而阻礙信息高效使用。*范為：《大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)》，《環(huán)球法律評論》2016年第5期。由此可見，規(guī)范層面同意重要性舉足輕重，理論層面同意卻成為阻礙信息經(jīng)濟(jì)發(fā)展的制掣。知情同意這樣一顆法學(xué)上璀璨的明珠何以處于如此尷尬境地？未來我國信息立法時是繼續(xù)堅持完全同意的基礎(chǔ)地位，還是采納學(xué)者建議完全否定同意的地位，抑或是開辟第三條路徑？

二、為什么需要同意——個人信息處理中同意的法律規(guī)范及其法理基礎(chǔ)

個人信息處理中為什么需要同意，這是我們首先需要直面的問題。對于這個問題的解答，有賴于從規(guī)范層面出發(fā)，以探究同意背后的法理基礎(chǔ)。

(一)個人信息處理中同意的規(guī)范表達(dá)

從法規(guī)范層面而言，個人信息的處理需要經(jīng)過信息主體的同意。無論是國際法規(guī)范和多數(shù)國家的個人信息保護(hù)法，還是以網(wǎng)絡(luò)服務(wù)商為代表的用戶協(xié)議等，均將同意作為個人信息處理的正當(dāng)性基礎(chǔ)。*任龍龍：《論同意不是個人信息處理的正當(dāng)性基礎(chǔ)》，《政治與法律》2016年第1期。作為個人信息保護(hù)的先驅(qū)，國際經(jīng)濟(jì)合作與發(fā)展組織在1980年《OECD個人信息保護(hù)指南》中設(shè)立了八項原則，其中限制收集原則和限制利用原則均對同意作出規(guī)范。*Craig Mundie.Prinacy Pragmatism-Focus on Data Use,Not Data Collection.Foreign Affairs, 2014(93): 30.歐盟將人權(quán)保護(hù)作為個人信息保護(hù)的宗旨，1995年頒布的《個人數(shù)據(jù)保護(hù)指令》*Directive 95 /46 /EC,of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data,1995.中規(guī)定數(shù)據(jù)品質(zhì)原則，這一原則包括的正當(dāng)處理原則、目的明確原則和目的限制原則等規(guī)定了信息主體同意的內(nèi)容，*齊愛民：《大數(shù)據(jù)時代個人信息保護(hù)法國際比較研究》，法律出版社，2015年，第201頁。且第七條明確對同意條款的內(nèi)容做了詳細(xì)規(guī)定。*Directive 95 /46 /EC,art.7規(guī)定了處理個人信息處理的一般標(biāo)準(zhǔn)：(1)信息主體已經(jīng)明確表示同意；(2)處理為履行信息主體作為一方的合同，或應(yīng)信息主體要求執(zhí)行訂立合同的先行措施所必需；(3)信息控制者履行其法定義務(wù)所必需的處理；(4)為信息主體的重大利益而處理其個人信息；(5)為了公共利益而為的處理；(6)為第三人的正當(dāng)利益，但信息主體的基本人權(quán)和自由優(yōu)于第三人正當(dāng)利益的除外。

與歐盟立法理念不同的是，美國法倡導(dǎo)行業(yè)自律，注重對個人信息的利用，而沒有統(tǒng)一的個人信息保護(hù)立法。其對個人信息保護(hù)采用列舉式的PII(personal identified information,簡稱PII)，僅將被經(jīng)常濫用的信息或者具有高度敏感的信息納入個人信息的保護(hù)范圍并進(jìn)行單獨立法。后隨著個人信息的大規(guī)模利用，各種非個人信息可以動態(tài)變換成個人信息，需要信息主體同意的情況也愈加頻繁，個人信息相關(guān)立法也開始審視既有法律的效力，改革其不足之處。起初，美國對于同意條款僅規(guī)定在《隱私法》中。隨著大數(shù)據(jù)分析的應(yīng)用，個人信息被侵犯的情形越來越多，個人信息控制權(quán)理論呼聲高漲。為平衡隱私保護(hù)與數(shù)據(jù)利用相關(guān)利益關(guān)系，聯(lián)邦政府針對特殊主體或特殊信息出臺了特別立法，例如《兒童在線隱私權(quán)保護(hù)法案》《影視隱私保護(hù)法》等。同意基礎(chǔ)作為一種趨勢，在美國也得到了認(rèn)可。2009年美國注冊會計師協(xié)會(AICPA)《普遍接受的隱私原則》第3條規(guī)定了同意原則，加拿大《個人信息保護(hù)行為準(zhǔn)則》第4.3條也規(guī)定了同意原則。*高富平：《個人數(shù)據(jù)保護(hù)和利用國際規(guī)則:源流與趨勢》，法律出版社,2016年，第24、28、225、301、335頁。

我國2017年頒布的《民法總則》第111條規(guī)定，個人信息的獲取應(yīng)當(dāng)依法取得，如何理解此處的“依法取得”，該法并未給出明確的規(guī)范指引。不過，從其他規(guī)范性法律文本中，我們似乎可以覓得“依法取得”之蹤跡。

1.2012年《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條第1款規(guī)定，個人信息的收集使用需經(jīng)被收集者同意；

2．2014年《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條第1款第1項規(guī)定的免責(zé)事由包括“經(jīng)自然人書面同意”，反對解釋即為，未經(jīng)自然人書面同意利用自然人個人信息的情形構(gòu)成侵權(quán)責(zé)任；

3.2017年實施的《網(wǎng)絡(luò)安全法》第22條第1款第一句規(guī)定，網(wǎng)絡(luò)產(chǎn)品或服務(wù)需要收集用戶信息的，應(yīng)當(dāng)明示并取得用戶同意。

這些法律文本均有一個共同的關(guān)鍵詞，那就是“同意”。同意是個人電子信息被收集者的同意，是自然人的同意，是網(wǎng)絡(luò)用戶的同意。根據(jù)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》(以下簡稱《指南》)第3.3條、3.9條的規(guī)定，本文將個人信息的主體簡稱為信息主體，這些法律文本中同意的主體稱謂雖有不同，但均指向信息主體；處理行為包括收集和使用行為等，本文以個人信息的處理為行文中心。第4.2條明確規(guī)定個人同意原則是個人信息處理的基本原則之一。

(二)個人信息處理中同意的法理基礎(chǔ)

個人信息處理為什么需要信息主體同意？從法理基礎(chǔ)而言，一般認(rèn)為，信息主體的同意源于信息主體對個人信息的自決權(quán)和信息不對稱理論。前者是指個人自主決定自己的信息是否被他人處理；*王玉林：《大數(shù)據(jù)中個人信息開發(fā)利用法律問題研究》，《情報理論與實踐》2016年第9期。后者的邏輯是信息處理的前提是取得信息主體的同意，需要向信息主體通知，使得信息主體知悉自身信息的處理狀態(tài)，以避免信息不對稱所產(chǎn)生的危害。個人信息自決權(quán)權(quán)利主體為個人，或稱為信息主體，權(quán)利客體為信息主體自己的個人信息，權(quán)能為控制，即信息主體對其個人信息的控制，該權(quán)能的體現(xiàn)是該權(quán)利的內(nèi)容，即決定個人信息是否被他人收集、利用。最先使用個人“信息自決權(quán)”這一表述的是德國學(xué)者施泰姆勒，他認(rèn)為人們有權(quán)自由決定他人在何種程度上獲知自己的思想和行動。*楊芳：《個人信息自決權(quán)理論及其檢討——兼論個人信息保護(hù)法之保護(hù)客體》，《比較法研究》2015年第6期。個人信息處理時，特別是在收集個人信息時，涉及信息主體是否愿意被收集關(guān)涉自己的信息。同意規(guī)則的理念是維護(hù)信息主體的自我決定權(quán)，其可以自由決定信息是否被處理，這是《民法總則》第5條自愿原則的具體體現(xiàn)，權(quán)利主體可以按照自己的意思設(shè)立、變更、終止民事法律關(guān)系。這體現(xiàn)了法律規(guī)范對意思自治原則的堅守，權(quán)利人可以自由決定是否進(jìn)入民事關(guān)系之中，自由決定與誰建立民事關(guān)系，自由決定自我信息是否可為他人知悉、處理。而信息不對稱理論的實質(zhì)是由于信息主體對自身信息控制力的缺失，故通過同意機(jī)理增加信息主體在信息處理中的參控力度，平衡信息主體的弱勢地位，防止信息處理者侵害其知情權(quán)，進(jìn)而更加充分維護(hù)信息主體的人格尊嚴(yán)和人格自由。

信息自決權(quán)理論的思想基礎(chǔ)是人格自由理念，人類社會發(fā)展進(jìn)程一直是為了使人更好地生活于世，法律的目的也是服務(wù)于人，信息立法理所應(yīng)當(dāng)?shù)乇Ｗo(hù)人格尊嚴(yán)和人格自由。信息自決權(quán)也反映了人格自由，信息承載著權(quán)利主體的人格利益，而信息被處理涉及信息主體人格利益的受限，這種受限應(yīng)具有正當(dāng)性，或因為公共利益之需求，或因為信息主體主動自愿接受這種不自由，而這也正是人格自由之體現(xiàn)，個人自主決定人格事項，并承擔(dān)自主決定所帶來的法律效果和社會效果。信息主體的自決權(quán)體現(xiàn)為兩種形態(tài)：一種是不同意、不授權(quán)處理，此時他人不得處理信息；另一種是同意授權(quán)，此時信息主體應(yīng)承擔(dān)信息授權(quán)處理可能帶來的信息公開等后果。

三、為什么不需要同意——對同意基礎(chǔ)的質(zhì)疑與反質(zhì)疑

盡管規(guī)范層面?zhèn)€人信息的處理需要同意，其規(guī)范正當(dāng)性也可以通過信息自決權(quán)理論得以證成，但是社會發(fā)展至今，同意的正當(dāng)性基礎(chǔ)地位是否還需要繼續(xù)堅持，對此有些學(xué)者提出了質(zhì)疑。

(一)對同意基礎(chǔ)的質(zhì)疑

隨著信息技術(shù)飛速發(fā)展，社會對于信息需求急劇增加，信息承載了人們追逐的利益。很多學(xué)者注意到，信息市場的利用需求逐漸加大，信息主體的同意權(quán)很可能被架空。“知情同意”機(jī)制逐漸失靈意味著信息主體對個人信息并無實際的控制權(quán)，故相關(guān)權(quán)利的行使也舉步維艱。*Susan Landa, Control Use of Data to Protect Privacy, Science Journal,Vol.1,2015,504.與此同時，2015年美國《消費者隱私權(quán)利保護(hù)法案(草案)》與傳統(tǒng)的“知情同意”構(gòu)架脫鉤，將同意條款作為補充性機(jī)制予以規(guī)定。其第103條(b)款規(guī)定，在具體場景中機(jī)構(gòu)處理信息的合理行為，無需信息主體授權(quán)或者同意；當(dāng)機(jī)構(gòu)處理信息的行為不合理，威脅到信息主體的隱私時，機(jī)構(gòu)需要對該風(fēng)險進(jìn)行評估，并采取相應(yīng)的救濟(jì)手段。有觀點認(rèn)為，我國應(yīng)充分抓住機(jī)遇，立足國情，摒棄傳統(tǒng)以“知情同意”為核心的構(gòu)架。*姬蕾蕾：《個人信息保護(hù)立法路徑比較研究》，《圖書館建設(shè)》2017年第9期。任龍龍在《論同意不是個人信息處理的正當(dāng)性基礎(chǔ)》一文中對此作出了詳細(xì)的論述。*任龍龍：《論同意不是個人信息處理的正當(dāng)性基礎(chǔ)》，《政治與法律》2016年第1期。他認(rèn)為，同意不應(yīng)是個人信息處理的正當(dāng)性基礎(chǔ)，個人信息處理理念應(yīng)從嚴(yán)格保護(hù)轉(zhuǎn)向防止濫用，對處理行為的規(guī)制宜采用責(zé)任規(guī)則，也就是一種事后判斷規(guī)則。具體理由有四：第一，同意的理論根基不牢。同意無法解決信息不對稱問題，也無法有效保障信息主體的知情權(quán)，更不利于信息經(jīng)濟(jì)的發(fā)展；個人信息權(quán)所強(qiáng)調(diào)的決定自由，信息主體無法真實享有，控制能力也極為有限，信息主體除了同意往往別無選擇。第二，同意本身缺乏必要性和真實性。第三，同意基礎(chǔ)不符合經(jīng)濟(jì)考量。第四，例外規(guī)定的大量存在削弱了同意基礎(chǔ)的效力。崔聰聰則從經(jīng)濟(jì)制度考量，認(rèn)為只要數(shù)據(jù)從業(yè)者與信息主體通過合作博弈達(dá)成了協(xié)議，或者他們欲滿足的利益明顯大于消費者的自由需求時，即得以徑自利用信息而無須征得信息主體的同意。*崔聰聰，鞏姍姍，李儀，等：《個人信息保護(hù)法研究》，北京郵電大學(xué)出版社，2015年，第122頁。

(二)同意基礎(chǔ)的決疑之力

針對同意基礎(chǔ)的質(zhì)疑，有些值得贊成，有些值得商榷。信息社會發(fā)展至今，面對信息主體權(quán)利保護(hù)和信息利用利益保護(hù)之間的沖突，法律不能無動于衷，但也無需完全否認(rèn)同意的基礎(chǔ)地位。針對上述這些理由，筆者逐一分析如下：

第一，同意的理論根基問題。(1)關(guān)于信息不對稱理論和信息自決權(quán)理論。信息不對稱理論相較于信息自決權(quán)而言，其理論根據(jù)地位相對較弱。特別是對涉及個人敏感信息的處理，信息自決權(quán)理論關(guān)注的是信息主體是否可以自由決定其敏感信息被處理。(2)關(guān)于知情權(quán)、類比物權(quán)和患者知情同意權(quán)，信息自決權(quán)的重點不在于知情權(quán)而在于同意權(quán)，知情權(quán)是同意權(quán)的前提和基礎(chǔ)，同意權(quán)才是核心和目的，同意權(quán)強(qiáng)調(diào)信息主體決定自身信息是否被處理。(3)關(guān)于個人信息的社會性。有觀點認(rèn)為，信息主體屬于該類信息的初始供體，對該信息具有一定的財產(chǎn)利益，信息主體自身具有一定的自決權(quán)，但信息主體在享受大數(shù)據(jù)應(yīng)用帶來的便捷性的同時，對這種利用行為應(yīng)具有一定的容忍義務(wù)。*陶盈：《我國網(wǎng)絡(luò)信息化進(jìn)程中新型個人信息的合理利用與法律規(guī)制》，《山東大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2016年第2期。同時，法律應(yīng)當(dāng)容忍部分人不參與廣泛的交往，社會也應(yīng)當(dāng)容忍部分人追求慎獨的精神境界。他人對信息主體的個人信息也許是有需求的，但如果不是為了社會公共利益，我們很難想象某一私主體的權(quán)利不經(jīng)同意而讓渡于另一私主體。(4)關(guān)于不披露意味著欺詐問題，這種結(jié)論似乎有點武斷，在涉及公共利益時，信息處理無需獲得信息主體同意；而不涉及公共利益時，信息不披露何以構(gòu)成欺詐？(5)關(guān)于他人對信息享有利益問題，這種觀點強(qiáng)調(diào)信息處理者的利益，在信息處理者和信息主體利益衡量之間，偏向于信息處理者利益保護(hù)的價值似乎有其正當(dāng)性，但是如果信息主體并非自愿讓渡自己的權(quán)利，這與強(qiáng)制交易有何區(qū)別？強(qiáng)制交易之下，強(qiáng)制一方對交易標(biāo)的也存在利益需求，如果為了這一方利益而限制非強(qiáng)制方自由意愿，公平否？(6)關(guān)于信息價值問題，個人信息的價值在于流動性和有用性本無可厚非，但如何流動、向誰流通以及是否公開均應(yīng)在規(guī)范上成為信息主體的權(quán)利，否則信息一旦公開，則信息主體對個人信息毫無權(quán)利可言，通過責(zé)任規(guī)則獲得的救濟(jì)也是微乎其微。(7)關(guān)于決定自由問題，信息主體與網(wǎng)絡(luò)服務(wù)商之間的網(wǎng)絡(luò)服務(wù)關(guān)系就是合同關(guān)系，如果信息主體不同意網(wǎng)絡(luò)服務(wù)協(xié)議，則不能接受該網(wǎng)絡(luò)服務(wù)商提供的服務(wù)，只不過該服務(wù)協(xié)議性質(zhì)上屬于格式合同而已，但這并不能否定合同一方當(dāng)事人即信息主體的意志自由。

第二，同意本身的必要性和真實性問題。從損害角度而言，損害可能性是所有財產(chǎn)規(guī)則共同面臨的問題，責(zé)任規(guī)則更多是側(cè)重救濟(jì)已發(fā)生的損害，所以責(zé)任規(guī)則對預(yù)防損害可能力有不逮。關(guān)于同意的真實性問題，現(xiàn)實生活中大量存在的以應(yīng)用格式合同、點擊合同來獲取用戶“同意”授權(quán)的方式，而用戶可能根本沒有注意到相關(guān)個人信息條款。在涉及個人信息處理行為時，這類型的合同效力如何？筆者認(rèn)為，對于該問題可以適用《合同法》第39～41條對格式條款的規(guī)定。格式條款的出現(xiàn)是為了便利社會生活，信息社會發(fā)展迅速，我們無法要求網(wǎng)絡(luò)服務(wù)提供者與所有網(wǎng)絡(luò)用戶簽訂個性化服務(wù)合同，而只能通過格式合同、點擊合同的形式進(jìn)行網(wǎng)絡(luò)服務(wù)。當(dāng)然，這也對法律提出了挑戰(zhàn)。為此，法律特別規(guī)定，格式條款的內(nèi)容應(yīng)當(dāng)遵循公平原則，如果加重對方責(zé)任、排除對方權(quán)利、減輕己方義務(wù)，則該條款無效，并且法律規(guī)定了爭議情形下的特殊規(guī)則。

第三，同意的經(jīng)濟(jì)考量問題。對個人一般信息進(jìn)行處理時無需同意，這符合信息處理之經(jīng)濟(jì)需求，此時個人信息的個人利益可以適當(dāng)后位于信息處理者。但涉及個人敏感信息時，此時如果用經(jīng)濟(jì)考慮以限制信息主體的敏感信息利益，則有悖于人格要素的權(quán)利擴(kuò)張。某種程度上，我們處在隱私不保的年代，對人格保護(hù)、隱私保護(hù)、個人敏感信息的保護(hù)尤顯重要，對個人敏感信息的保護(hù)就是對信息主體人格的保護(hù)，此時用經(jīng)濟(jì)利益和人格利益進(jìn)行利益衡量，其結(jié)果顯然應(yīng)偏向于人格利益，畢竟個人信息的保護(hù)源于信息主體的信息自決權(quán)，而信息自決權(quán)又源于人的主體地位和人格尊嚴(yán)，這是一切法律存在的根本，正如《民法總則》第2、3條將人身關(guān)系和人身權(quán)利置于財產(chǎn)關(guān)系和財產(chǎn)權(quán)利之前。可見，在利益衡量時，應(yīng)將人身利益擺在優(yōu)位。關(guān)于同意可能引發(fā)的騷擾問題，此處的利益衡量應(yīng)采取兩害相權(quán)取其輕原則取舍。但若無需同意就可以收集信息主體的敏感信息，其導(dǎo)致精神上的不安寧將會遠(yuǎn)甚于垃圾信息的騷擾，畢竟后者并未公開信息主體的私密信息。我們很難想象，當(dāng)我們正在上網(wǎng)休憩時，偶然發(fā)現(xiàn)自己的隱私信息被他人公開，那種錯愕恐怕不是法律所希望看到的。

第四，例外規(guī)定問題。該理由忽視了同意的內(nèi)涵和公共利益的優(yōu)先性：合同履行中已存在合同訂立時的同意，無需再同意；公共利益限制信息主體的私人利益屬于利益衡量的結(jié)果，這兩種例外規(guī)定并不能從根本上否定同意在個人信息處理中的價值。

四、為什么是二維視角——同意在不同信息類型處理中的作用

個人信息處理行為涉及信息主體權(quán)利保護(hù)和信息處理者利益之間的平衡，二者之間的利益平衡不宜偏向于某一方，而應(yīng)在二者之間謀求利益均衡。隨著社會的發(fā)展，信息利用給人們帶來了巨大的利益，促進(jìn)了人們的生活方式、工作模式的改進(jìn)，這沖擊了知情同意的正當(dāng)性地位，知情同意的根基似乎受到動搖；同時，人們的隱私保護(hù)仍然是法律需要面對的挑戰(zhàn)，完全不同意可能造成隱私泄漏的惡劣后果。所以，法律需要在信息主體隱私保護(hù)、信息處理者利益乃至社會公共利益之間謀求適當(dāng)平衡點，而這有賴于對不同類型信息的區(qū)別保護(hù)，即區(qū)分個人敏感信息和個人一般信息。

(一) 信息類型之敏感信息和一般信息

將個人信息劃分為一般信息與敏感信息是歐盟關(guān)于個人信息保護(hù)立法的一大特色。歐盟在1995年《個人信息保護(hù)指令》第8條第1款規(guī)定了特殊類型信息，即敏感信息。它是指透露種族、民族本源、政治觀點、宗教信仰、世界觀、工會關(guān)系以及健康和性生活有關(guān)的個人信息。第8條第2款還對敏感信息處理規(guī)定了較一般信息更高的保護(hù)標(biāo)準(zhǔn)。例如“處理該類信息必須是為了公共利益或者健康、經(jīng)當(dāng)事人同意且其所屬成員國國內(nèi)法沒有禁止”等。2016年歐盟《統(tǒng)一數(shù)據(jù)保護(hù)條例》取代《信息保護(hù)指令》，這引起個人信息處理操作管理的明顯變化，主要是加重了數(shù)據(jù)控制者的義務(wù)。*Istvan Borocz, Risk to the Right to the Protection of Personal Data: An Analysis through the Lenses of Hermagoras, 2 Eur. Data Prot. L. Rev. 467, 480 (2016).該條例對個人敏感信息的類型進(jìn)行了擴(kuò)展，包括基因、安全信息等。

2015年2月，美國政府正式公布《消費者隱私權(quán)利法案(草案)》，強(qiáng)化了消費者對個人敏感信息的控制力度，它規(guī)定只要信息的用途會對消費者的權(quán)益產(chǎn)生重大影響，就必須取得消費者的同意。Andrews教授認(rèn)為，人們應(yīng)該有權(quán)決定是否要收集他們的信息，使用網(wǎng)站或應(yīng)用程序不表明他們放棄自己的隱私權(quán)。*Lori B. Andrews, iSpy: Threats to Individual and Institutional Privacy in the Digital World, Vol.21 AALL Spectrum p24 (2017).有學(xué)者分析了《美國消費者隱私法案(草案)》和歐盟《統(tǒng)一數(shù)據(jù)保護(hù)條例》之后，對我國個人信息保護(hù)體系重構(gòu)提出了自己的建議：在用戶控制方面，弱化對用戶同意的過度依賴，規(guī)定“合理使用”的場景，免予取得用戶同意；在“不合理”使用時，應(yīng)取得用戶明確、主動的同意。*范為：《大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)》，《環(huán)球法律評論》2016年第5期。此種思路希望在完全同意和完全不同意之間尋找第三條道路，那就是區(qū)分個人信息的類型，進(jìn)行不同的規(guī)則設(shè)計。張新寶教授主張對敏感信息與一般個人信息分別保護(hù)，對于前者側(cè)重保護(hù)，對于后者鼓勵利用。*張新寶：《從隱私到個人信息:利益再衡量的理論與制度安排》，《中國法學(xué)》2015年第3期。

我國2013年2月開始實施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》(以下簡稱《指南》)第3.7條和第3.8條將個人信息區(qū)分為個人敏感信息和個人一般信息。個人敏感信息的內(nèi)涵強(qiáng)調(diào)信息對信息主體的私密性和敏感性，強(qiáng)調(diào)未經(jīng)同意公開的不良影響，所以《指南》將其定義為“一旦遭到泄露或修改，會對標(biāo)識的個人信息主體造成不良影響的個人信息。”“敏感”包括兩層含義：“私人的”和“有害的”。個人信息是否屬于敏感是由立法政策所定義的，*吳亮：《網(wǎng)絡(luò)時代的個人隱私權(quán)及其行政法保障》，中國政法大學(xué)出版社,2016年，第193頁。例如《指南》規(guī)定了身份證號碼、基因、指紋等屬于個人敏感信息。筆者認(rèn)為，個人敏感信息和個人一般信息的主要區(qū)別在于，該信息是否可以直接識別個人，即該信息對于信息主體而言具有唯一性，其他任何人均不可能有該信息。例如，身份證號碼，我們知道每個人的身份證號碼是不同的，每個人都是獨一無二的，所以如果知道一個人的身份證號碼就可以定位到該人。基因、指紋信息都是如此，每個人的指紋都是獨一無二的，現(xiàn)代手機(jī)中的指紋解鎖就是這種技術(shù)的運用；每個人的基因也是唯一的，這被廣泛運用于刑事偵查領(lǐng)域，只要在犯罪現(xiàn)場有某個人的血液，就可以查出血液中的DNA，據(jù)此可以鎖定嫌疑人。此外，信息安全問題是各國普遍關(guān)注的問題，這已經(jīng)關(guān)涉國家網(wǎng)絡(luò)安全問題，而信息安全中最主要的問題是個人敏感信息安全問題。理論上，信息安全包括三個特質(zhì)：保密性、完整性和可用性。信息安全泄漏包括前兩個特質(zhì)，并發(fā)生在未經(jīng)授權(quán)訪問個人敏感身份信息時。*Marian K. Riedy; Bartlomiej Hanus, Yes, Your Personal Data Is at Risk: Get over It, 19 SMU Sci. & Tech. L. Rev. 3, 15 (2016).由此可見，授權(quán)同意對于個人敏感信息的重要性。

(二)個人敏感信息仍需同意

筆者認(rèn)為，個人敏感信息仍需要同意：

首先，從信息控制力角度而言，如果個人敏感信息無需同意即可處理，容易造成信息主體無法控制其隱私被何人知曉、利用，至少會被信息收集者內(nèi)部成員知悉，而這可能也非信息主體所愿。

其次，從利益衡量角度而言，個人敏感信息涉及個人人格尊嚴(yán)和人格獨立，若未經(jīng)通知即可處理，則信息主體的人格將受到限制，敏感信息是否被處理的權(quán)利旁落他人，這是任何形勢下經(jīng)濟(jì)發(fā)展所不能逾越的鴻溝。人格存在于人之處，若自然人人格交由他人掌控，則易出現(xiàn)人被物化之情形。個人敏感信息承載的人格利益是法律規(guī)則必須直面的實益，而信息利用也是法律制定所需面對的利益。當(dāng)兩者共存于信息載體時，利益沖突在所難免，此時需要對數(shù)個利益做利益衡量，采取兩利相權(quán)取其重原則，取舍的標(biāo)準(zhǔn)就是利益相關(guān)性。個人敏感信息上的人格利益與信息主體的人格相關(guān)，承載著人格自由和人格獨立，而對信息利用所帶來的利益與信息利用者的財產(chǎn)相關(guān)，能夠為信息利用者帶來豐厚的經(jīng)濟(jì)價值。信息主體對敏感信息的同意源于信息自決，而信息自決源自個人的自治，這是人格自由發(fā)展所不可或缺的。*楊崇蔚，廖志漢，廖志聰：《澳門個人資料保護(hù)制度》，社會科學(xué)文獻(xiàn)出版社,2015年，第45頁。從人權(quán)角度而言，前者不僅涉及人的自由發(fā)展權(quán)，更重要的是其涉及人之為人的生存利益，后者涉及的是人為美好生活的發(fā)展利益，當(dāng)兩者出現(xiàn)沖突時，作為第一位的生存利益應(yīng)優(yōu)先于次位的發(fā)展利益。

最后，從權(quán)利救濟(jì)角度而言，無需同意的責(zé)任規(guī)則保護(hù)模式無法彌補信息主體所遭受的損害。責(zé)任規(guī)則著力于強(qiáng)制許可制度，與知情同意“脫鉤”，對信息收集不需征得信息主體授權(quán)。*郭明龍：《個人信息權(quán)利的侵權(quán)法保護(hù)》，中國法制出版社,2012年，第100頁。責(zé)任規(guī)則的適用前提是損害既已發(fā)生，此時，作為受害人的信息主體可以向不當(dāng)處理者、接受者主張侵權(quán)責(zé)任，也許法律會將二者的責(zé)任規(guī)定為連帶責(zé)任。賦予信息主體刪除權(quán)也可以矯正這一利益失衡狀態(tài)。*Jeffrey Rosen, The Right To Be Forgotten, Stanford Law Review Online,Vol.64, 2012,89.但這種保護(hù)模式無法為受害人提供周全的法律防護(hù)，網(wǎng)絡(luò)時代信息大爆炸，信息經(jīng)復(fù)制后傳播速度之快完全超越傳統(tǒng)媒介傳播速度。個人敏感信息一旦被公開，經(jīng)復(fù)制傳播后對信息主體所造成的損害無法真正“回復(fù)原狀”，受害人遭受的精神痛苦和不安是法律永遠(yuǎn)不能修復(fù)的。為了預(yù)防這種損害的發(fā)生，財產(chǎn)規(guī)則似乎可以為我們提供有益借鑒。財產(chǎn)規(guī)則，是相對人對權(quán)利人財產(chǎn)侵害前必須明確征得權(quán)利人的同意，相對人必須與權(quán)利人協(xié)商談判并向其支付商定的對價，才能對該權(quán)利予以支配。*Guido Calabresi&A.Douglas Melamed,Property Rules,Liability Rules,and Inalienability: One View of the Cathedral,Harvard Law Review,1972,1090.個人敏感信息采取財產(chǎn)規(guī)則和責(zé)任規(guī)則混合規(guī)則保護(hù)模式，可以更為有效地提升信息主體對其個人敏感信息的主動權(quán)。《指南》針對個人敏感信息采用了事前明示同意規(guī)則。總之，針對個人敏感信息，法律應(yīng)側(cè)重人格利益的保護(hù)，處理前應(yīng)明確征得信息主體明示同意，同意仍是個人敏感信息處理的正當(dāng)性基礎(chǔ)。

(三)個人一般信息無需同意

實踐中，有些個人信息不屬于私人領(lǐng)域，這些信息和人格的關(guān)系較為疏遠(yuǎn)，或者是社會交往中必須向公眾提供的。*楊芳：《個人信息自決權(quán)理論及其檢討——兼論個人信息保護(hù)法之保護(hù)客體》，《比較法研究》2015年第6期。個人一般信息就屬于和人格關(guān)系較為疏遠(yuǎn)的信息。對于個人一般信息而言，因其隱私性和敏感性不及敏感信息，其所承載的人格利益也不甚強(qiáng)烈，故為促進(jìn)數(shù)據(jù)流通，應(yīng)放寬對一般個人信息的管制，無需適用同意規(guī)則。從締約成本角度看，一般個人信息的處理無需信息主體同意可以大幅度降低信息利用合同的成本，有益于各方主體。因為在大數(shù)據(jù)環(huán)境下，企業(yè)如若對所有信息主體逐一獲得授權(quán)缺乏可操作性，且如果所有信息在處理時必須取得信息主體的明確同意，企業(yè)也會因利用成本過高而采用違法手段進(jìn)行利用，這反而會導(dǎo)致信息主體面臨更高的隱私風(fēng)險，且企業(yè)也會承受更大的法律責(zé)任。*王玉林：《“默示同意”在數(shù)據(jù)收集中的適用問題研究》，《情報資料工作》2017年第2期。所以，對個人一般信息進(jìn)行處理時，信息利用的經(jīng)濟(jì)利益可以優(yōu)先考慮，法律可以側(cè)重保護(hù)信息財產(chǎn)權(quán)。所以，對個人一般信息處理不需要信息主體同意。

隨著大數(shù)據(jù)時代的到來，全部同意已經(jīng)不合時宜，因為個人一般信息的收集無需同意；全部不需要同意則忽略了對個人敏感信息的保護(hù)，而且在未匿名化狀態(tài)下容易侵犯信息主體的隱私。未來信息立法時應(yīng)當(dāng)采用的立法技術(shù)是：法律應(yīng)當(dāng)明確規(guī)定需要同意的事項，其他皆屬于不需要同意范圍，即采“概括+肯定”列舉的立法模式。