論個人信息利用中同意要件的規范重塑*

姬蕾蕾

（西南政法大學民商法學院 重慶 401120）

1 問題的提出

在大數據時代，隨著對大數據分析的應用，個人信息多樣化利用的趨勢成為一種必然。在巨大的利益驅動下，數據從業者對個人信息的大規模利用成為一種普遍的經濟現象。在信息技術快速革新的背景下，數據從業者為了追求低成本、高效率的經濟目的，對信息價值的挖掘的分工也越來越明細，其中信息控制者多會采取外包挖掘的方式與信息處理者合作，節約時間和成本以開發信息價值，雙方實現雙贏。因此，信息收集、處理和利用等流轉過程中每一環節都可能會侵害信息主體的合法權益。如何合理利用個人信息成為大數據時代信息發展的重要課題。

在傳統信息保護的法律規制中，無論是理論通說抑或國際通行立法均將知情同意要件作為個人信息利用的正當性基礎，即當數據從業者收集信息時應取得信息主體的同意。知情同意權屬于人格權之一部分，是人格尊嚴和人格自由在信息保護法領域的具體體現?！爸橥狻痹谛畔⒈Ｗo中構建的學理依據主要是信息不對稱理論，該理論實質是為平衡信息主體對自身信息參控力度的缺失，通過知情同意的機理給予信息主體在信息流轉過程中以控制權，防止信息利用者侵害其知情權，進而維護信息主體的個人尊嚴與自由。故傳統信息規范將知情同意要件作為信息保護與數據流通的平衡性法理基礎。然而，隨著商務智能、無線傳感器、云計算、物聯網等新技術不斷更新，在大數據應用帶來的利益驅動下，數據從業者對個人信息的利用集中在對個人信息匿名化后的數據交易層面，以充分挖掘信息價值，提高經濟效益。在信息流轉過程中，在信息收集階段，信息因未被處理而處于靜止狀態，信息主體的權益此時并無太大風險；伴隨大數據分析的應用，數據從業者使得在利用過程中要對信息進行清洗、加工、建模進而生成數據再進行交易，這一系列動態的信息處理過程對信息主體權益所造成的威脅要遠遠高于初始收集階段，也對傳統以信息收集為主要規制環節的個人信息保護框架提出挑戰。近年來越來越多的學者開始否定同意是個人信息利用的正當性基礎。任龍龍認為，信息利用的原則重在防止濫用而非嚴格保護，同意條款缺乏必要性和真實性，適用成本高、效率低，會成為信息產業發展的羈絆因素[1]。范為認為，作為傳統架構“立足之本”的“知情同意”機制已失靈，用戶并無實際的控制權，在網絡語境中，用戶為使用產品或服務往往除點擊同意之外并無其他選擇[2]。崔聰聰等則從經濟制度考量，認為只要數據從業者與信息主體通過合作博弈達成了協議，或者他們欲滿足的利益明顯大于消費者的自由需求時，即得以徑自利用信息而無須征得信息主體的同意[3]。

如上所述，個人信息利用每個環節都可能對個人信息造成威脅，完全依賴傳統的知情同意條款會阻礙數據的自由流通，一刀切地摒棄該理論則會動搖個人信息保護的根基。故筆者傾向于對同意條款在個人信息的分層利用結構中區別規定，以靈活性的同意機理適應動態化的信息利用方式，平衡個人信息保護與數據自由發展的相關利益關系。

2 關于同意基礎的國外立法考察

2.1 關于同意基礎的國外立法例

最早對同意基礎作出規定的是經濟合作與發展組織，其在1980年《OECD個人信息保護指針》中確立了八項原則，其中限制收集原則和限制利用原則都對知情同意予以規定[4]。聯合國大會于1990年通過的《聯合國關于自動資料檔案中個人資料的指南》中規定了十大原則，其中，合法合理原則、目的特定原則均對同意基礎作出具體規定[5]。歐盟對于個人信息保護最為嚴格，其以人權導向為基線在1995年頒布《信息保護指令》（以下簡稱《指令》），《指令》規定了信息品質原則，包括正當處理原則、目的明確和限制原則等均對信息主體的同意作出明確規定[6]。且第七條明確對同意條款的內容作出詳細規定。與歐盟立法理念不同的是，美國法對個人信息保護的基本立場是反對濫用，注重對個人經濟關系的保護。美國沒有統一的個人信息保護立法，對個人信息保護采用行業自律的模式以適應經濟的動態發展。因此，個人信息保護原則對實施分散立法兼行業自律的美國更為重要。起初，美國對于主體同意內容僅在《隱私法》中予以規定，即在1974年將美國自動化信息系統委員會提出的五項個人隱私保護原則納入《隱私法》這一單行法中，其中包括知情原則和同意原則。隨后，大數據分析的應用導致個人信息的被侵犯機率提高，為此美國將個人信息區分為一般個人信息和敏感個人信息，對于后者，聯邦政府針對特殊主體或特殊信息出臺了特別立法，例如1988年的《影視隱私保護法》、1998年的《兒童在線隱私權保護法案》等，這些立法都對信息主體的同意作出了具體規定?？梢钥闯?，為順應立法潮流，美國也逐步認同同意作為個人信息利用的正當性要件。

2.2 歐美國家對同意基礎的立法改革

近年，隨著大數據分析應用帶來的巨大利益，個人信息保護法從重保護到重利用的轉變成為各國際組織或國家立法的新姿態。其中，以“知情同意”為框架建立的個人信息保護立法過于絕對，大規模的信息利用的前提如果一刀切地建立在取得信息主體同意的基礎上，不僅不現實且成本過高，故各國開始審視既有立法的不足，改革立法，以順應數字時代的發展潮流。其中，最為典型的當屬歐盟《一般數據保護條例》[7]以及美國《消費者隱私權利法案（草案）》[8]。

2012年1月，歐盟公布《一般信息保護條例草案》（GDPR），取代1995年《信息保護指令》，該草案于2016年4月最終通過并予以頒布，2018年5月開始生效[9]。與《指令》相比，《一般信息保護條例》新增關于“同意條件”的規定，有別于過去將絕對同意作為信息處理的首要條件，《一般信息信息保護條例》關于同意的規定更加細致。根據《指令》第7條的規定，同意必須是明確的；但《一般信息信息保護條例》第6條的表述刪去了“明確”。與此同時，第9條第2款規定，特殊類型的信息在獲得信息主體明確同意時，且處理則不受相關限制。由此可知，對于特殊類型數據處理的同意為明確同意，而對其他一般信息的處理僅需同意；后者的外延應大于前者，即同意應包含明確同意和默示同意[10]?？梢钥闯?，對比之前的僵化性同意要件，歐盟逐漸采取一些變通的姿態，對個人信息同意作出區分規定。2015年美國聯邦引入三部隱私法案：《消費者隱私保護法案（草案）》（以下簡稱《草案》）《學生數字隱私與父母權利法案》《數據經紀人責任以及透明法案》。三部法案中，《草案》最為典型，軟化了以“知情同意”為架構的信息法律規制，建立起真正的以具體場景為依托、動態管理隱私風險的核心構架，將個人信息保護落實到實處，在用戶同意層面，將同意條款作為補充性機制予以規定。第103條（b）款規定，在具體場景中機構處理信息的行為合理，則無需信息主體授權或者同意；當信息控制者利用信息的行為不合理，威脅到信息主體的隱私時，信息控制者需要對該風險進行評估，并采取相應的救濟手段[11]。美國《草案》未將同意作為個人信息利用的首要前提，而是在信息利用的過程中動態監管對信息主體可能引發的風險，緩解信息主體同意的固化基礎，迎合數據產業的發展需求，對協調個人信息利用和保護極具指導意義。

可以看出，歐美對信息主體同意條款作出較為靈活細致的規定。歐盟因以人權為立法理念，故將同意基礎作為信息利用的首要前提，但為適應信息的大規模應用，不再僵硬地適用同意條款，對信息作出一般個人信息和敏感信息，分別適用默示同意和明示同意，緩解了同意條款導致的僵化局面。反觀美國，因注重對個人經濟關系的保護，對個人信息的保護以行業自律為主，僅對特殊主體單獨立法。故在《草案》中將同意基礎作為補充機制，在個人信息利用的過程中對個人信息進行動態風險評估，靈活性同意機制較歐盟更強。歐美對同意基礎的立法改革順應數字時代的發展，值得借鑒。但對同意基礎的規定還是過于簡單，歐盟僅規定了明示同意和默示同意，而美國則將同意基礎作為候補機制，并未注意到個人信息利用的分級多層次化。故筆者在借鑒兩者立法動態的前提下對同意基礎進行類型化重塑，在保證信息安全的前提下能動促進數據流通。

3 同意規范的分級多層適用

大數據分析應用之前，對個人信息商業化利用主要集中于對公眾人物的肖像、名稱、聲音等標識，彰顯出個人信息的積極控制功能。故對此，美國采用公開權的方式加以保護，德國則通過一般人格權積極面向予以保護。隨著大數據時代的到來，對個人信息的商業利用不再僅限于對公眾人物人格標識的利用，而是對信息主體整體信息的利用，且著重于對信息的二次利用，即數據從業者運用大數據分析減少商業的不確定性以提高經濟效率。筆者認為對同意基礎的適用應進行分層結構的類型化適用，對不同適用情形采用的保護規則也不盡相同，以此平衡信息主體和數據從業者的相關利益。

3.1 同意基礎分級多層適用的前提

3.1.1 個人信息與數據之差異

將數據和信息進行區分是對同意基礎進行類型化適用的邏輯前提，對個人信息和數據的利用次元不同，同意基礎的要件也不同。

就信息的內容而言，通說認為個人信息法律屬性集人格利益與財產利益于一身。個人信息財產屬性通過對名人等公眾人物的聲音、名稱、肖像等商業化利用彰顯。筆者認為這僅僅是對個人信息人人格屬性的經濟性擴張，其屬性仍為人格利益，因為此時的商業化利用仍具有人格標識。伴隨大數據時代的到來，數據從業者對個人信息大規模利用而生成數據，很多學者將這種商業化利用認定為個人信息的財產屬性。然而，這種商業化利用并不是其財產屬性，而是在個人信息利用過程中產生的數據，不再具有人格標識，此時的數據脫離了人格因素，僅具有財產屬性。對初始信息的收集是信息主體為自身便捷性利益所交付的對價，其享受便利性的同時應具有一定范圍的容忍義務，這并不是對個人信息的商業化利用。二次利用信息時，在對個人信息進行匿名化處理之后，其身份識別性因素不再，此時生成的數據僅具有財產屬性。就數據的來源而言，根據數據來源不同可將數據分為衍生數據和記錄數據。首先，衍生數據主要源于個人信息，其生成離不開初始個人信息的聚合。但個人信息在處理過程中數據產業者通過脫敏技術、匿名化技術，對數據源的屬性審核處理，當個人信息的隱私因子脫離之后才進行交易，此時的數據具有財產屬性。其次，記錄數據源于信息主體因使用互聯網而被網絡服務提供者以Cookies等工具記錄的數據，這種記錄數據本身識別不到特定身份主體因而不具有人格屬性，記錄數據并不具有隱秘性，數據產業者對該信息的利用并不會對信息主體造成隱私困擾。記錄數據的無人格性特征在某種意義上深化了數據的財產屬性。因此，初始收集階段，個人信息僅具有人格利益，信息主體對自身信息享有人格利益；因大數據分析的應用，由個人信息生成的數據僅具有財產利益。

3.1.2 敏感信息和一般信息的區別標準

盡管出臺的法規抑或學者的論述多使用“敏感信息”這一術語，但卻很少對其進行界定[12]。國外立法例和我國國內法規在信息主體同意層面都對個人信息進行區分，即區分敏感信息和一般信息，對敏感信息一般會加以特別規定，因為這類信息涉及信息主體的隱私，所以個人敏感信息其實等同于信息主體的隱私。個人信息保護立法一定要在不同的價值追求之間進行權衡：涉及人格尊嚴及隱私的，要做到嚴格保護；只是一般性個人信息、事關經濟利益的，要考慮到社會交易的發展[13]。歐盟《一般信息保護條例》對《指令》完善的點睛之處在于對第9條對特殊個人信息的利用進行了分類規范[14]。該規定將民族、政治、信仰、基因、健康、性生活與性取向等信息納入特殊類型個人信息的射程內。從《一般信息保護條例》對數據處理條件的嚴格性規定來看，層次越高的信息敏感度也越高，利用的要求與限制條件也就相應越多，以保護其中的個人隱私與自由[10]。美國法因對個人信息保護的模式采用行業自律模式，將敏感信息進行單獨立法。美國《草案》在個人信息定義層面，一改過去以“識別性”對個人信息進行定義，轉而以“關聯性”定義個人信息，即“能夠連結到特定個人或設備的信息”。我國《信息安全技術公共及商用服務信息系統個人信息保護指南》（以下簡稱《指南》）明確個人信息分為個人敏感信息和個人一般信息。個人敏感信息是指一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等；個人一般信息是指除個人敏感信息以外的個人信息。

可以看出歐盟對個人敏感信息的定義采用列舉式規范，重在對信息主體人權的全方位保護；美國《草案》不同于歐盟，對個人信息的定義是在信息利用過程中動態關聯性評估，反映其倡導行業自律的信息保護理念。但是，歐盟的列舉式識別規范過于絕對，而美國的關聯性評估則過于靈活，個人信息的范圍不易界定。《指南》對敏感信息的定義采用列舉式方式，規定較為籠統。測定個人信息的敏感程度應當折射所在社會的規范性文化,敏感信息的判斷標準應該與其社會的價值觀和文化相一致[15]。因此，筆者傾向于對敏感信息定義時可結合歐美立法改革的優勢，在對敏感信息進行列舉式定義的前提下，引入動態風險管理理念，在信息利用過程中對列舉敏感信息以外的一般信息進行關聯性定義，降低撞庫識別的風險，以充分保護信息主體的隱私權益。

3.2 同意基礎在個人信息初始利用中的適用：以財產規則保護信息主體利益

個人信息的初始利用是指數據從業者直接獲得信息主體信息的過程，譬如在注冊的賬號、購買商品時填寫的個人收貨信息等都是平臺或商家為了保證交易順利進行而對信息主體個人信息“一次使用”。在初始信息利用中，信息主體向數據從業者交付的信息基本上都是主動提供的，主動提供個人隱私信息主要基于這樣一些原因：獲得更加方便快捷的服務；分享個人的生命體驗以升華自己的人生價值；通過虛擬網絡中相應信息分享補償現實社會中的情感溝通缺失等[16]。對初始信息的收集是信息主體為自身便捷性利益向數據從業者所交付的對價，信息主體享受便捷服務的同時應具有一定范圍的容忍義務，這并不是對個人信息的商業化利用。因此，初始利用中個人信息基本上保留了人格屬性的特征，此時的信息并未生成數據，其商業化利益并未凸顯，信息主體對其信息擁有所有權，這是信息利用的基礎性要件。故在信息權屬明確的前提下，此時對信息的保護使用財產規則。財產規則意味著當歸屬確定后，買方想從信息主體處取得信息，必須通過自愿交易，即以賣方同意的價格購買[17]。因此，在對個人信息的初次利用中，因關涉信息主體的人格利益，此時適用主體同意條款，在信息利用前須征得信息主體的同意。由此可以保證信息主體在信息處理過程中的參控力度，使其擁有和數據產業者在信息交易中的議價能力，增強信息主體的主動權，以緩解信息主體在數據交易過程中處于弱勢地位的狀態[18]。

在信息初始利用中，同意條款的適用需靈活處理，此時的同意作擴大解釋，分為明示同意和默示同意。如上所述，個人信息分為一般個人信息和敏感個人信息。個人信息的敏感程度是決定個人隱私感知的最重要因素之一[19]。非經本人同意的敏感信息處理會在社會中造成超出本人預料的結果，并對本人的人格發展造成不可預料的影響，使得本人人格塑造的結構偏離原本的預期[20]。因此，在對個人敏感信息利用時應嚴格規范，以維護信息主體的人格自由和尊嚴，而對敏感信息以外的個人信息，因其對其隱私傷害較小，采用較為軟化的態度，可減少數據產業者收集信息不必要的程序和成本，促進數據流通。因此，在利用敏感個人信息時，必須取得信息主體的明確同意。而對于一般個人信息，對信息主體的隱私威脅不會太大，故應該允許默示同意條款的存在。無論基于國外立法例還是經濟成本，默示同意都有其存在的正當基礎。如上所述，歐盟《一般信息保護條例》規定，除宗教、種族、政治觀點、性取向等敏感信息必須取得信息主體明確同意外，對一般個人信息的利用可采默示同意。從締約成本的角度而言，默示同意可以大幅降低締結信息利用協議的成本，對信息利用的各方主體均有利。大數據環境下數據從業者要對海量信息主體逐一取得授權不具有可行性，如果所有的信息在利用時均必須取得信息主體的明確授權，數據產業者也會因利用成本過高而采用違法方式利用信息，這不僅給信息主體帶來更大的隱私風險，且數據產業者也會因此承擔更高的法律風險[21]。因此，將同意條款類型化區分為明示同意和默示同意，對敏感個人信息和一般個人信息分別適用，兩類信息適用同意條款都有其相應的正當性基礎，寬嚴相濟，既可保證信息主體的隱私利益，又可促進數據的自由流通，保證數據經濟的長足發展。

3.3 同意基礎在個人信息二次利用中的適用：以責任規則促進數據自由流通

二次利用是數據從業者對信息主體在初次信息收集的基礎上，對其進行加工、分析、處理得到以數字或圖像形式呈現的數據并加以利用的過程，這是通過分級與多層利用初始信息來最大限度地發揮信息的效用。根據信息管理學的一般原理，個人信息的初始收集者需要在激活該信息的基礎上將它傳輸給其他用戶加以共享，以幫助后者在作出相關決策時消除香農所稱的“不確定性”[3]。大數據時代的到來，物聯網、通信產業的迅速發展，電子方式交易爆炸式地滲透到人們的生活中，幾乎所有數據從業者都使用數據和計算機建模的形式來確定消費者的喜好或地理位置[4]。大數據分析的應用帶來的好處在商業領域最直接的體現即為此，為數據從業者提供預測性指導方向，以便其制定針對性方案，節約成本及提高經濟效率。數據價值更多地體現在二次利用即對數據的深入挖掘和處理過程中，數據的價值重在利用而非保護，該階段應該以數據利用為核心，規范相應法權規則。如上所述，衍生數據在進行匿名化處理之后其人格屬性不再，而記錄數據本身不帶有人格標識符而不具有人格屬性，此時的數據僅具有財產屬性。從正當性角度而言，二次利用中，數據從業者在初始個人信息利用中已經征得信息主體明示或默示同意，此為二次利用正當性的邏輯前提。二次利用的首要條件是對個人信息中的人格因素脫敏，在此過程中并不涉及主體的人格利益，數據的權屬已非信息主體，此時并不需要再經過信息主體的二次同意。從效率角度而言，經濟的蓬勃發展促進了信息技術的發展，“信息排放”成為人們日常生活中的一部分，過度限制信息收集，與信息主體的信息自主權相悖。且在二次利用中，如果再經過信息主體的授權同意，不僅產生更高的經濟成本，匿名后的主體不明也使同意條款喪失了存在的價值。因此，在二次利用階段，對數據的保護應該放松管制，以此促進數據流通，反過來使信息主體受益。就法律保護規則而言，在二次信息利用中對個人信息的保護應該采用責任規制。責任規則下，信息的轉移由法律設定買斷或者賣斷價格，而不再取決于當事人之間的自愿交易，即強制交易[17]。因為數據此時僅有財產屬性，誠然在數據的生成中糅合了信息主體的具體信息，但是無論從數據的主體復雜性和構造的多元性角度還是就數據自由的價值而言，數據都需要保持一定的公共屬性，它不僅僅屬于信息主體一方。對數據二次利用采用強制交易，采取事后判斷的方式對信息主體予以救濟。因此，基于正當性角度、效率角度抑或法律規則保護而言，同意條款在個人信息的二次利用中均不具有存在的適宜性土壤。

4 二次利用中匿名化風險及保護策略

二次利用個人信息無需征得信息主體的同意是為了促進數據流通，實為一種寬松的法律規制。但對信息利用的寬松并不是對信息主體權利的剝奪和相應主體責任的放任。個人信息的二次利用無需征得信息主體同意的正當性基礎在于數據從業者對個人信息的匿名化處理。但是，隨著信息技術的發展，匿名化的技術處理在隱私保護應用的過程中會引發個人身份再識別的風險。個人身份再識別是指在對個人信息匿名化后，數據利用者對信息主體進行再識別的過程。個人信息匿名化本就是防止個人身份被識別，如果對個人信息采用匿名化技術后出現二次識別的反向工程，則個人信息匿名化技術也就“無用武之地”。目前大部分匿名化原則都針對靜態數據，并未考慮數據動態更新重新發布的數據中的個人隱私泄露問題。實踐中，數據不定時動態更新極其常見，如果對更新的數據進行傳統匿名化處理并重新發布，則可能在多個不同發布版本中存在推理通道，存在個人隱私泄露的風險[22]。因此，當對個人信息進行匿名化處理之后如果出現二次身份識別的事件，應該如何保護信息主體的信息權益成為必須正視的問題。

就信息主體的權利構架而言，賦予信息主體刪除權是平衡二次信息利用所帶來風險的必要方式[1]。刪除權（The Right to be Forgotten），也稱為被遺忘權，是信息主體可以要求信息利用者刪除與其相關的信息。該權利雛形源于法國的遺忘權[23]。歐盟于2012年發布《一般數據保護條例（草案）》（GDPR），正式提出被遺忘權的概念，第17條規定了“被遺忘權”[24]，被遺忘權的行使不要求以信息不完整或者信息導致不合理的損害等后果為前提條件。當數據產業者或者第三方侵權人在二次利用中出現再識別特定身份主體的侵權事件時，此時信息主體的人格標識再次出現，信息主體可及時向相關數據從業者提出刪除信息的請求，后者收到相關請求經核實后應及時刪除。就相應主體責任而言，存在兩種情形。第一種情形是相關數據從業者造成的身份再識別侵權事件。對信息利用行為的放松是為了促進數據流通，前提仍是要保證信息主體的信息利益。因此，數據從業者在利用信息的過程中應該盡到安全保障義務，在信息利用的過程中動態評估信息風險，一旦出現二次信息主體、損害信息主體利益的情形，就應該承擔相應的違約或侵權責任。第二種情形是第三方主體利用相關技術進行二次識別。若因此侵權造成信息主體損害，第三方主體應該與數據從業者共同承擔不真正連帶責任。之所以課以數據從業者承擔不真正連帶責任，是為了平衡受害人和數據從業者的利益。從受害人角度而言，可以保證其得到充分的救濟，因為數據從業者一般處于經濟優勢地位，有足夠的賠付能力，且可以通過保險來轉移其部分風險；從數據產業者角度而言，不能課以其承擔過重的責任，其承擔的責任應與義務相匹配，始作俑者是第三方主體，在數據產業者向受害人賠償損失后，理應向第三方侵權人要求清償。

5 結語

同意規定作為個人信息利用的正當性基礎在于解決個人信息市場信息不對稱性問題，核心是保障信息主體對自身信息的自主決定權，故在大規模信息利用的大數據時代，給予信息主體知情同意權作為個人信息的法權保障仍有必要。但大數據分析的運用，對信息具有更深層次的利用，信息的價值主要通過對信息的二次挖掘和分析彰顯。在信息利用的過程中，不應對同意條款進行“全有或全無”方式的僵化適用，而應對同意規定采用分層機構類型化適用。初次利用階段，個人信息基本保留其人格屬性，應對這一階段的個人信息嚴格保護，故有同意基礎的適用空間，對個人信息區分敏感個人信息和一般個人信息，分別適用明示同意和默示同意。二次利用階段，將初次收集的個人信息進行清洗、脫敏、建模、分析等生成的數據僅具有財產屬性，無論從正當性角度還是從效率角度抑或從法律保護規則角度思辨，同意規定并不存在適用的空間。如此，對個人信息和數據分層保護，既可保護信息主體的信息利益，又可促進數據流通，保持數據的公開性，平衡自由、效率、公平、安全等各種價值，充分發揮相關利益和資源的制度配置功能。

（來稿時間：2017年11月）