論個人信息處理中的優位利益豁免規則

張碩

關鍵詞：優位利益豁免；知情同意；利益衡量；信息流通；個人信息保護

個人信息作為數據經濟時代社會生產與發展的原料，是一種新型事物，它與傳統的有體財產不同，在本質上有著強烈的共享性、流通性與非競爭性，并且承載著多方的多元化利益，包括但不限于“信息主體的個人利益，以及與個人信息處理緊密結合的信息使用者的利益和公共利益”①。因此，除了對信息主體個人信息權益的保護，促進個人信息的流通與合理利用、保障個人信息之上其他主體的合法利益無疑是數據時代更高的追求?！秱€人信息保護法》第13條秉持傳統財產規則的理念，以“知情同意”規則作為處理個人信息的基本原則，過于嚴苛地限制了個人信息的處理，無法滿足現代數據治理的需求。實踐中“知情同意”規則的內在缺陷與客觀局限性也在日益凸顯，“信息決策困境”“損害制度失靈”“責任錯配”“利益保護失衡”等問題使其很大程度上落人流于形式的窠臼，無法有效對個人信息提供充分的保護，亦無法保障個人信息的流通與合理利用。有鑒于此，關于如何調整《個人信息保護法》第13條對于個人信息處理合法性基礎的規定，以緩解“知情同意”規則的僵化，促進信息的流通利用，同時平衡并保護個人信息之上蘊含的多元利益，是亟需探討的問題。本文認為，我國可借鑒歐盟數據立法中的“合法利益豁免”規則，并通過在其基礎上收縮規則人口，建立合理的利益衡量機制，加強信息控制者義務責任，疏通信息主體救濟途徑，健全監管制度，建立起一套適合我國現階段國情的“優位利益豁免規則”，以豐富和優化個人信息處理的合法性基礎，收縮知情同意規則的適用邊界，弱化個人對信息的控制。

一、知情同意規則的局限性

知情同意規則最早為1970年德國黑森州《數據保護法》所確認，①而后具有代表性的歐盟1995年《個人數據保護指令》（下文簡稱“95指令”），以及美國眾多分散式立法，如《健康保險流通和責任法》（HIPAA）、《視頻隱私保護法》

（VPPA）等亦紛紛效仿。就我國立法來看，2012年全國人大常委會通過了《關于加強網絡信息保護的決定》，首次在法律層面將信息主體的“同意”作為我國個人信息處理的合法性基礎。而后，《消費者權益保護法》第29條、《網絡安全法》第22條、《民法典》第1035條、《征信業管理條例》第12條、《關于加強網絡信息保護的決定》第2條、《電信和互聯網用戶個人信息保護規定》第9條以及作為推薦性國家標準的《個人信息安全規范》第4（c）條均對知情同意規則作出了明確規定。顯而易見，知情同意規則在全球范圍已經成為絕大多數國家個人信息保護領域立法所承認的基本規則，在我國更是覆蓋網絡安全、消費者權益保護等諸多領域，成為占據主流的規范表達。但客觀來看，該規則的內在缺陷與客觀局限性導致其在實踐中所發揮的作用乏善可陳。

首先從理論層面出發，個人信息在私權框架下的非客體性與知情同意規則本身存在矛盾。具言之，知情同意規則的制度設計系基于私法角度的“信息自決”理論，其在“卡一梅框架”②（Cal-abresi-Melamed Framework）視域之下亦被界定為財產規則，即以法益擁有者（信息主體）的自愿讓與作為該法益移轉的前提條件。該規則肯定個人對其信息的絕對控制，推崇由個人的意思自治來決定個人信息的產生、處理與消滅，旨在最大限度地保護信息主體利益。它的適用前提是信息主體須對個人信息享有排他性的權利，且關于個人信息的“交易”成本極低。但從“主體——權利——客體”結構來看，個人信息缺乏民事客體須有確定性、特定性以及獨立性這一基本要求，③并且想要滿足信息主體與信息控制者就處理行為的目的、過程、結果、方式等達成一致成本極高，與知情同意規則所預設的適用情景并不契合。因此，像對待私權客體一般對待個人信息是不現實也是不合理的。有學者甚至認為，個人信息不僅不是私權客體，甚至可歸于“公共物品”④。

其次，個人信息具有顯著的非競爭性，可以被無數次生產和使用，而不會消耗數據相關的對象。從經濟學角度來看，“產權的概念僅僅是針對稀缺物品而言的，因為稀缺才有分配的效率問題，從而產生了產權與交易的需要，對于像陽光和空氣這樣不稀缺和不排他的充裕物品是沒有競爭性的，因而也不需要產權制度來規范其使用”⑤。因此，法律應當更多從規制信息使用的角度出發解決個人信息保護與利用的問題，而非妄圖從權屬角度出發，以知情同意規則這一保護財產等私權客體的方式賦予信息主體決策權來達到數據治理的目的。

最后，從社會實踐來看，知情同意規則對信息主體的過度保護并未彰顯成效，信息主體作為自然人的理性局限以及面對信息控制者的智識差距滋生了“決策困境”等問題，使得即使進一步賦予信息主體限制處理權等權利也未必能很好地保護其權益，①嚴重阻礙了信息的流通利用。

一、優位利益豁免規則的概念及意義

（一）優位利益豁免概念之澄清

“優位利益豁免”是指當信息控制者處理個人信息實現的利益優于信息主體的信息權益時，可不經后者同意對個人信息進行合法處理。該規則之下，個人信息的“交易”不再以信息主體的意思為準，而信息主體也只有在信息控制者違反相關法律法規的情況之下享有損害賠償的請求權。從上文提及的卡梅框架視角來看，優位利益豁免規則屬于責任規則，其目標取向是促進信息的流通與利用，其在體現個人信息的共享屬性及發揮其社會價值方面有更為積極的效果。②

從域外立法經驗來看，歐盟早在95指令即對合法利益豁免規則作出了規定，賦予信息控制者及其他第三方主體為了實現合法利益所必須，可不受知情同意規則限制而處理個人信息的權利。③2018年5月生效的《通用數據保護條例》（General Data Protection Regulation，GDPR）就處理行為合法性基礎問題亦沿用此規則。④兩文件原文中對信息控制者處理信息所要追術的“利益”均采用了“legitimate interests”一詞，因此學者們多將此規則譯為“合法利益豁免規則”⑤。但該規則能夠突破知情同意原則的基礎并非處理行為所追求的利益合法，而在于條款的后半段，即處理行為所追求的利益優先于信息主體在個人信息之上的權益。因此，強調該規則中利益衡量的特點，將其稱為“優位利益豁免規則”更能夠突出其法理基礎與底層邏輯。

綜上，“優位利益豁免”與“合法利益豁免”在概念上具有相似性，只是后者將利益的優先性作為了規則適用的“條件”而沒有在源頭上對合法利益的范圍加以限制：⑥前者系將優位利益作為規則適用的“主體”加以控制，即將不具備優位性的利益直接排除在豁免規則之外。

（二）優位利益豁免規則的功能價值

知情同意規則在實質上是對個人信息主體的一種積極賦權，允許其對個人信息進行自我管理，在一定程度上具有尊重人權，防止信息主體權利受侵害的意義，且經過幾十年的發展，這一思想已經成為很多個人信息立法和學術討論的基本范式。⑦但對個體信息的賦權應當以確保信息的合理流通為目標，兼顧個體對于其信息流通的預期與社會對于信息流通的預期。⑧因此，將“優位利益豁免規則”作為與知情同意規則并列的個人信息處理的合法性基礎之一，也許是平衡知情同意規則，優化信息處理合法性基礎的一劑良藥。

首先，優位利益豁免規則可有效促進信息的有利流通。在數據領域，最為根本的矛盾即為對個人信息權益的保護與信息流通之間的沖突，這往往被人們視作一場零和博弈。但事實上，二者之間并非對立關系，反而是相輔相成的互益關系。個人面對信息數據處理的理性是非常有限的，甚至在一定程度上可以被視為數據領域的“非完全行為能力人”。個人實際需要有著專業判斷與分析能力的主體代理其作出最優決策。優位利益豁免規則恰恰是將信息處理的決策權交由具備強大分析處理能力的信息控制者掌握，要求其以優位利益為本位，以提升社會總體福祉為目標，對個人信息作出“最佳化處理”。該規則很大程度上杜絕了個人的非理性決策，促進了信息的流通共享，甚至在歐盟立法報告中被認為可作為大數據信息處理的默認適用路徑。②

其次，優位利益豁免規則可兼顧保護多方主體在個人信息之上的多元利益。法律保護個人信息并非旨在保護個人信息本身，而是對個人信息之上承載權益的保護。GDPR鑒于條款第4條規定，“個人數據保護不宜作為一種個人絕對權利。必須根據比例原則，考慮其在社會中的作用，并與其他的基本權利相較權衡”。由此可見，就數據治理來說．如何保護信息主體一方的權益固然重要，但如何平衡個人信息所蘊含的多元利益才是更高層次的制度追求。

關于信息主體在個人信息之上所享有的權利眾說紛紜，有學者認為保護個人信息的底層邏輯在于對個人基本權利以及自由的保護。③這種觀點與歐盟GDPR第1.2條規定一致；④有學者認為個人信息具有財產性系特殊的物權客體，信息主體對其享有所有權；⑤亦有學者采德國通說，認為個人享有信息自決權，而該權利系一般人格權。⑥對此，如上文所述，個人信息的財產屬性本身有待商榷，況且不能以財產性推導出物權客體，因此“物權說”存在明顯瑕疵。⑦信息自決權系基于信息主體基本權利而產生的下位權利，亦非法律對信息主體權益保護的底層邏輯。因此，將信息主體享有的權益理解為基本權利及自由更為恰當且完整。

信息控制者對于個人信息的處理同樣享有正當利益，如互聯網公司為向用戶提供更好的服務升級系統而收集、分析個人信息；公司為經營測算需要分析使用客戶個人信息等，均屬于憲法所承認的營商自由。承認信息控制者處理個人信息的正當性是實現個人信息社會價值的必然選擇。個人信息保護制度不能扼殺個人信息的合理收集、利用和流通，法律必須在兩者之間尋求一個平衡點；⑧個人信息之上的公共利益更為廣泛，社會秩序、公共安全、科技發展等均離不開對個人信息的處理利用。

單一利益的保護是可以通過極端方式輕易實現的，但個人信息所承載的利益是多元的。對此，法律需要平衡各種利益，以合理的方式作出最有效率的取舍，從而保障信息市場秩序，增進社會總體福利。不同于知情同意規則僅保護信息主體一方利益，優位利益豁免規則的一大優勢就在于其所能保護的法益具有多樣性，可根據具體情景變化衡量多種利益之間的優先順序，從而對相對優位利益作出保護。

最后，優位利益豁免規則亦能夠起到吸收整合既有規定的作用。從自下而上的立法技術來看，優位利益豁免規則更像是一種以提取公因式的方式抽象出的更加靈活且覆蓋面更廣的原則性規定：從自上而下的工具視角觀察，其又能夠發揮吸收整合既有個人信息處理行為合法性基礎規定的功能?！秱€人信息保護法》第13條列舉的部分例外情形①本身即蘊含著優位利益豁免規則的價值邏輯，在本質上均是法律基于價值排序而作出的選擇。具體來說，“公共衛生事件”之上承載的是社會公眾的生命健康安全以及社會秩序等公共利益；“自然人的生命健康及財產權”屬于基本人權，其中生命權更是人權法律保障的基點，居于首要地位。②因此，以上權益的需要受保護程度在緊急情況下明顯優先于信息主體的信息權益。對于“新聞報道．輿論監督”，其蘊含著重大的公共利益以及言論自由，在“合理范圍使用”的前提下，其對社會福利的總體增益要明顯高于個人信息權益折損的風險。由此可見，上述例外情況有著利益衡量的邏輯共性，完全可以為優位利益豁免規則所吸收整合。這相較于現行的分散列舉方式，不僅可以促進規范的體系化，同時亦能擴展規則的適用情景，促進信息的合理利用。

三、優位利益豁免規則運行機制的構建

（一）優位利益的識別

個人信息之上承載的利益具有多元化的特點。在具體情境之下通過對諸多利益間的價值排序，確認需首要保障的優位利益是優位利益豁免規則適用的根本和前提。我國相較于西方國家網絡信息技術的發展略顯滯后，一直以來對個人信息的認識也多受西方理論影響。無論是大陸法系的信息自決理論抑或是普通法系的隱私理論，都過分強調信息主體對個人信息的權益，而輕視了信息控制者、其他第三方以及公共面向的重大利益。如今，在優位利益豁免規則之下，需客觀看待各方利益，甚至在一定程度上將信息的流通利用置于較個人信息保護更優先的位置，進而平衡知情同意規則對信息主體的側重保護。

1．歐盟“平衡測試”之檢視

從域外實踐經驗來看，為配套《數據保護指令》第7 （f）款“合法利益豁免規則”的實施，歐盟第29條數據保護工作小組的第6-2014號意見書設計了較為細致完善的“平衡測試”（balancing test）機制，要求信息控制者必須通過平衡測試方可獲得合法利益豁免。該測試主要包括四個方面的考察：“（1）數據控制者合法利益的評估；（2）對數據主體的影響；（3）臨時平衡①（provisional balance）；（4）數據控制者為防止對數據主體造成過度影響而采取的額外保障措施?！雹谄渲械?項測試內容主要是判斷信息處理所要保護的合法利益是否相較于信息主體的信息權益更為重要，其在平衡測試體系中扮演著絕對核心的角色，同時亦是所有后續評估的前提。第（3）（4）項測試內容看似合理，但事實上卻存在邏輯無法自洽之處。合法利益豁免規則系處理個人信息的合法性基礎，即應當滿足此規則的要件要求后方可達到處理個人信息合法的效果。但第（3）（4）項評估內容均是對處理過程中信息控制者是否履行了一般的或額外的保護義務的評估，即測試內容并未構成信息處理行為啟動的條件。而第（2）項評估內容亦完全可作為一項考慮因素劃人合法利益的評估環節。因此，歐盟平衡測試中真正值得參考借鑒的是對合法利益的評估。第29條工作組認為不可能對所有可能與信息主體信息權益產生沖突的合法利益進行價值判斷，只能對此問題作出一些指引。因此，其依據《歐洲基本權利憲章》（European Charter of FundamentalRights）以及《歐洲人權公約》（European Convention on Human Rights）列舉出了表達和信息自由、藝術和科學自由等部分典型權益，并創設出了一些具體情境，為信息控制者的價值判斷提供參考。歐盟的判例體系以及法律規范當中的情景范例是值得借鑒的。我國信息主管部門亦可出臺相應規章、指引文件；法院亦可在指導案例中進行相應的指導。

2．動態價值秩序之建構

關于利益的沖突，實質上并不是邏輯上的矛盾而是事物之間的價值沖突。③英國哲學家以賽亞·柏林于20世紀提出了一套價值理論，認為人類擁有的異質而基本的“價值”在終極層面上存在難以調和的沖突，人類無法逃避在價值與價值之間作出選擇，但價值與價值之間卻并不存在相容性和公度性，因而如何選擇，是一個無解的難題。④羅爾斯、克勞德對于此價值多元論以及利益衡量的公度性難題也持悲觀態度，拉茲更是提出了經典的“拉茲疑問”，使得利益衡量似乎真的喪失了可能性。但這一價值論斷是停留在哲學層面的，從日常生活以及法律適用的角度出發，異質性利益的衡量與位階排序不僅是可能的，更是必然需要完成的，亦是法價值的重要體現。這種不同利益之間的取舍與選擇，是法律科學本身得以存在的原因之一。關于價值秩序的構建，值得一提的是美國法學家龐德受植物學啟發而建構的利益綱目表．他將利益大致分類為個人利益、公共利益與社會利益，并且主張利益的選擇應該根據選擇何種利益的結果可以使整個利益綱目內的最多數利益獲得保障。⑤龐德建構的利益綱目表在理論上一定是不周延的，且其對利益的分類很難達成社會共識。更重要的是，隨著具體情景的轉變，不同利益之間的位階可能發生一定程度的改變。因此，在個人信息權益與其它利益的衡量問題上仍然需要回歸基本價值的社會共識，輔以場景理論來保持利益衡量機制的可適用性。

本文所主張的動態價值秩序即是以不同位階利益之間較為穩固的基本排序為軀干，以不斷動態發展的個案判斷經驗為枝葉，協同構建的利益衡量之樹。對于基本價值排序，生活在同一時代、同一社會的人們總有某種共同的價值追求。①如自然人的生命利益優于隱私利益、公共安全利益優于表達自由利益、后代的生存利益優于當下資源開發利益等。因此，可通過成文的法律解釋或相關指導意見對該基本排序進行確認。而對處于相同位階的利益沖突，法律無法通過精確的公式來為所有利益進行周延的位階排序，②只能通過嵌入具體的情景，依據一定的價值準則進行個案判斷。這些準則首先包括合法性原則，即要求利益衡量過程發生在法律的框架秩序之下；其次要以總體利益最大化為目標，盡可能減少利益摩擦；最后，需彰顯優位利益豁免規則的制度原意，一定程度上偏向信息流通利用之利益。

（二）信息控制者的義務

在優位利益豁免規則之下，信息控制者集決策與行動于一身，無需獲得信息主體的同意即可進行信息處理。因此為防止規則被濫用，在《個人信息保護法》現有一般性義務規定外，加強對信息控制者的義務規范是十分必要的。

首先，在優位利益識別階段，要求信息控制者審慎開展利益識別工作，并將利益衡量的方式與過程進行公開。在信息處理活動過程中，有必要參照《個人信息保護法》中對敏感個人信息處理的規定，加強信息控制者的義務，要求其提供額外的安全措施予以保障，并在處理前書面告知信息主體其利益識別的結果、處理行為的必要性及對信息主體可能造成的影響。信息主體的知情在一定程度上能夠提升其安全感與對信息控制者的信賴，更重要的是為其行使“反對權”③提供基礎。

其次，美國盛行的“數據信托”即“信息控制者的信義義務理論”在優位利益豁免規則之下顯得更加具有借鑒意義。巴爾金認為“某些信息構成私人關注的問題，不是因為它們的內容，而是因為產生它們的社會關系”④，合同關系模式具有局限性，而信義義務關系是更符合時代發展，有利于解決個人信息保護問題的合理進路。按照此理論，信息控制者作為信息受托人（InformationFiduciaries）對信息主體負有信義義務（fiduciary duties），包括注意義務（duty of care）和忠誠義務（duty of loyalty）。具言之，即要求信息控制者在信息處理過程中“不得泄露和濫用個人信息，不背叛用戶，不損害用戶利益，不造成利益沖突，不以用戶意想不到的或違反社會規范的方式使用個人信息”⑤。在優位利益豁免規則之下，信息控制者與信息主體之間缺乏“知情同意”的基礎，課以信息控制者對信息主體的信義義務能夠有效平衡在推動數據流通背景下的個人信息保護。

最后，就程序方面來說，信息控制者對優位利益識別的過程及結果不僅需書面送達信息主體，同時應當以書面形式報送相關行業管理協會及縣級以上信息主管部門進行備案登記。這一方面便于事后的審查監督，另一方面也便于信息主體多渠道行使知情權、查閱權等相關權利。

（三）對優位利益豁免規則的制約

優位利益豁免規則的價值導向即為促進信息的流通利用而非信息保護，且信息主體并無決定個人信息處理行為的權利，處于相對弱勢的地位。因此，通過疏通信息主體的救濟途徑以及加強信息控制者的決策監管，對本規則的適用進行有效制約是十分必要的。

信息主體基于對信息控制者利益識別過程及結果的知情，應享有對處理決定行使反對的權利。此處的“反對權”系借鑒GDPR第21條關于反對權的規定。（right to object），與《個人信息保護法》第44條規定的“拒絕權”不同，②即只有在信息控制者無法證明其信息處理利益優于信息主體的信息權益時才能夠產生終止信息處理行為的效果。該制度相較目前的“拒絕權”更加柔和，不會因信息主體的反對而當然產生效果，但同時能夠起到對信息控制者的監督作用，并且能夠與行政及司法救濟相銜接，是一種更加符合優位利益豁免規則的配套機制。

進一步來看，在信息主體提出反對的情況下，不能僅寄希望于信息控制者的自我規制，還應疏通行政及司法面向的救濟途徑。具言之，除了《個人信息保護法》第65條及70條規定的信息主體的投訴權以及公益訴訟的相關規定，③還可配套引入“行政司法”的理念，“通過法律將具有‘審判功能的權力授予行政機關”④。在信息主體對信息控制者的信息處理決定存有異議時，允許其向信息主管行政部門申請介入調查，并在必要時對雙方之間的爭議作出裁決。在司法層面，為平衡利益，消除信息主體對讓渡決策權的恐慌，可借鑒“人格權禁令”⑤的理念，賦予信息主體在有證據證明信息控制者正在實施或者即將實施侵害其信息權益的違法行為，不及時制止將使其合法權益受到難以彌補的損害的情況下，向人民法院申請采取責令信息控制者停止有關處理行為措施的權利。事實上，2021年最高法出臺的《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》已經明確引入了禁令規則⑥，相關解釋及其適用情況可直接借鑒。

結語

個人信息的流通與利用是社會發展的趨勢也是社會發展之必然選擇。《個人信息保護法》作為數據領域目前最為重要和全面的立法需要，回應社會需求，為信息處理提供更加合理和多元化的合法性基礎，促進信息的流通與利用，平衡個人信息之上的多元利益。不可否認，知情同意規則對于個人信息的保護具有積極意義，但相較于降低信息處理效率的繁重成本，其所帶來的“收益”并不可觀。優位利益豁免規則可以豐富個人信息處理的合法性基礎，弱化信息主體對信息的控制，同時將治理重心后移，加強信息處理后端的風險治理與相關主體的責任強化，在保障信息主體個人信息權益的同時重視個人信息的流通利用及其他相關主體權益的保護，是符合時代要求的數據治理進路。