權利理論下個人信息保護“同意”的義務指向

李昊霖

青島科技大學法學院，山東 青島 266061

學界大多數涉及個人信息保護“同意”原則的文章，都會在第一部分對“同意”性質加以界定，其基本上都是對“同意”作為一種無論是傳統權利，或者是新興權利的再次確認［1］。因此，本文另辟蹊徑，試圖從權利理論的角度出發，探討“同意”的義務性指向。人們愿意討論權利，有的時候并不是因為法律概念本身權利屬性的特殊性，而是因為權利會為法律概念提供更廣泛的正當性，泛權利化在學界方興未艾，各種新興權利層出不窮。本文并非要對個人信息保護中“同意”原則的權利性質加以證明，而是希望在邏輯分析和權利價值等方面為“同意”原則提供更多關于行動規則的理論支撐，從而呼應個人信息保護“同意”規則的規范性構造。

一、個人信息保護“同意”的權利來源

個人信息保護中“同意”的權利具有雙重屬性，首先基于“同意”和意思表示具有強聯系性，故“同意”屬于一種非完全型的意思表示，屬于私法領域所涵攝的范圍。其次“同意”又指向個人信息的自決權和法律規范的強制力，屬于公法領域的規制對象。具體而言，個人信息保護的“同意”具有意思表示內涵，其本身具有價值的指向，通過“同意”規則，個人可以處分其權益，在法律規定的范圍內形成自治。同時“同意”又受制于法律規范的強制力約束，其主要表現在兩方面：第一，法律規范本身對于“同意”規則的約束。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第十四條可以理解為“如果個人在沒有充分知情和明確所有被處理的個人信息的情況下，那么同意屬于無效”。第二，法律規范對于“同意”的價值選擇。2019 年《德國聯邦數據保護法》根據《歐盟一般數據保護條例》（GDPR）將“同意”定義為“Willenbekundung”，根據德語的構詞結構，該詞為復合詞，即“Willen+Bekundung”。“Willen”作為情態動詞，其本身體現了較高程度的自愿，而“Bekundung”來源于“Bekunden”即表達之意。其本身區別于《德國民法典》中“Willenerklarung”（意思表示），這也說明表達和表示之間存在差別，表達只是單純表達出意愿，而表示則有對于意愿的進一步示意的效果。意思表達偏重于形式化，而意思表示則具有具體的內涵。

“同意”作為一種非完全型的意思表示，無法從“意思”的概念準確地概括“同意”的權利來源。筆者認為“同意”的權利更應該來自基本人權的屬性。通過“基本人權”可以讓“同意”在意思表示內涵和規范強制力兩方面得到自洽。第一，可以通過隱私權的這一上位概念進行解釋，個人信息屬于隱私權保護的內容。隱私權同個人信息具有重合點，隱私權與個人信息都屬于人格權益的范疇，《中華人民共和國民法典》將兩者置于同一章，就是考慮了其天然的聯系。第二，兩者的客體本身具有重合性。第三，隱私權和個人信息在侵害方式上具有共同的形式。第四，隱私權與個人信息還存在功能的交互性。但是隱私權和個人信息是完全不同的概念，不應該將兩者混同。國內學者有從多個角度對其進行區分，但是筆者主要認為，兩者最大的不同之處是個人信息“同意”屬于公法和私法混合的權利概念，一方面其運行規則需要利用私法方面的意思自治模式，而該模式的正常運行則需要利用公法來保障，對于個人信息所有者的權利也需要公法來保障，例如《個人信息保護法》中的撤回權、決定權等規定。另一方面，法律規范的強制性則通過“自由”權進行體現。因為價值選擇的本身就包含了一種利益衡量。即對于個人“自由”的保護與社會大眾利益的平衡，并非所有的自由都應該得到完全的滿足，應先考量公眾利益的優位。這一點在學界也已達成廣泛共識。故筆者認為個人信息保護“同意”真正的源權利是“基本人權”，而非僅僅是隱私權，或者自由權。賦予“同意”更大范圍的權利屬性，有利于為“同意”規則的構建和發展提供更為合理的路徑。

二、權利邏輯中個人信息保護“同意”所指向的義務

（一）權利概念和邏輯的分析

我們通過美國法學家霍菲爾德關于主張權的經典表述展開討論，A 享有B 做X 的一項主張權，當且僅當B 對A 負有做X 的一項義務。雖然霍菲爾德僅僅是從形式上定義了主張權利義務的對應關系，缺少更加深層次的原因分析，這也是本文將要展開分析的內容，但是仍然不能否認其作為展開分析出發點的重要作用。具體而言，個人信息保護中“原則”無疑是一種個人主張的權利，那么就會產生相應的義務，而對應義務的強度在筆者看來是界定個人信息保護“同意”權利性質的關鍵。如果對應的是一種相對平等，非強制的義務則傾向于私法領域的意思自治的概念，而如果對應具有明確價值位階，具有強制性的義務，則傾向于公法領域的權利主張。但是無論是私法還是公法領域，都需要更加深層次而非僅僅是形式上去理解個人信息保護“同意”所指向的義務。

必須先肯定的是個人信息保護中“同意”具有天然的權利外觀，因為其內容始終關乎隱私、自由、尊嚴等基礎權利所必須具備的一些基本價值。這些基本的價值賦予“同意”原則權利的權威性，同時自然而然地獲得規范力的加持，《個人信息保護法》的制定和頒布無疑是對于個人信息保護“同意”的制度性支撐。但是規范是指向行動的，當個人信息保護“同意”具備規范力之后，我們更應該明確其義務指向，這并非形式上的概念的厘定，而是需要獲得實踐中成功。

（二）從權利的價值方面分析

通過拉茲客觀上預設的道德和價值的立場，進一步認識個人信息保護“同意”所指向義務的必要性。拉茲認為，一是社會實踐創造了價值，二是社會實踐控制了價值實現的機會［2］。本文重點從社會實踐創造價值的層面分析個人信息保護“同意”的義務性作用。通過檢索目前司法領域針對個人信息保護“同意”的案例，以上海青浦、江蘇吳江、浙江嘉善三地法院及市場監督管理局聯合發布的消費者權益保護十大典型案例之七：某售樓處人臉識別系統侵害消費者個人信息被行政處罰案為例。該案例明確公共區域內個人信息的采集須經消費者同意。售樓處通過人臉識別系統，無疑會更好地明確潛在客戶，同時可以更加精準達成銷售房產的目的，其本身是具有相當大的經濟價值的，因為房產的銷售不僅僅關乎房地產企業的經營和發展，同樣對于整個地區經濟的發展都有很大的作用，但是為什么法院還是判定在公共區域內個人信息的采集必須經過消費者的同意？這無疑是指向了更大規模的社會實踐，即公民對于個人身份信息的保護需求的價值高于房地產銷售的社會實踐，這不僅僅是因為公民個人信息所指向的關乎尊嚴、隱私等人的基本權利，同樣也與我國人民當家作主的國家信仰相契合。在公共區域中個人信息具有價值，但是其價值的實現則必須通過社會實踐所確認，并賦予其正當性。因此可以在一定程度上判定個人信息保護“同意”所指向的義務性，絕不是單純的公法、私法簡單混合的義務，而是更具有公法意義上的強制義務屬性。

三、個人信息保護“同意”的公法義務

面對互聯網時代對個人信息保護的嚴峻挑戰，個人信息的私法保護已出現乏力現象。其主要表現在三方面：對違法者的威懾不足；被侵權人維權能力不足；違法認定和損害認定標準不清［3］。面對此種情況，迫切需要國家機關的介入，但是我國目前對于個人信息保護的介入，多零散地分布于各個個人信息保護相關的法律規范之中，缺乏體系性。而且學界已經逐漸意識到了該問題，但是多停留在對于公法規制正當性和必要性的層面，對于具體的規制方式方法卻鮮有涉及。據統計，目前我國有關“個人信息”的規范性文件超過1000 部，雖然存在繁多的關于“個人信息”的規范性文件，但是這些規范往往不成體系，在實踐當中往往存在公法和私法的界限不清、同時使用的問題。隨著互聯網的飛速發展，個人信息的治理也展現出了“從個人本位走向社會本位”的趨勢［4］。針對此問題，有的學者認為應當發揮公權力機關在個人信息保護方面的主體性作用。并提出了以《個人信息保護法》為核心，以場景主義理念為指導，打造事前、事中、事后全流程的個人信息公法保護模式。但是筆者認為，似乎這種對于個人信息的保護仍然沒有跳出借用私法領域規制個人信息保護的方式方法的藩籬。筆者看來，對于個人信息的公法保護，需要打破利用私法為主、公法為例外，即“同意”的“一般原則+例外”的模式。有的學者強調，通過場景理念的改造，解脫對于“同意”的限制，但是其本質還是模糊公法與私法的界限。筆者認為這種模式存在兩個缺陷：一是如果完全以場景理念指導個人信息的保護，在某些情況下會完全架空個人的“同意”。例如在認為絕對為了個人利益的場景下，無需取得個人“同意”就具備了正當性。例如目前的智能運動產品，如果用戶在面臨緊急情況或者生命危險的時候，會自動獲取個人用戶的生命體征的信息。雖然用戶可以前置“關閉”該系統，但是多數情況下，是在用戶無意識情況下獲得個人用戶的地理位置以及生命體征等信息。二是此種模式還是沒有突出公法對于個人信息保護的特點以及公益屬性。公法對于個人信息保護是雙向的，一方面出于公益目的強調使用個人信息，發揮其最大化的價值。另一方面需要防止個人信息被濫用。目前我國公法領域對于個人信息的保護著重于后者。

對于個人信息在公法領域的保護，或許還是應當回到規范本身尋找解決路徑。例如在《中華人民共和國刑事訴訟法》（以下簡稱《刑事訴訟法》）中規定舉證責任倒置規則適用個人信息保護案件［5］，適用舉證責任倒置的規則本身就是體現對個人信息保護的公法義務。因為適用舉證責任倒置規則，是考慮到當事人雙方通常地位懸殊。如果面臨企業違規收集個人信息，個人信息權益受到損害，個人所面對的往往是具有專業法務人員的企業。因此將舉證責任倒置，有利于維護個人的個人信息權益。在刑法領域，《中華人民共和國刑法》（以下簡稱《刑法》）中明確規定了個人信息范圍的限縮，全面理順了“情節嚴重”認定標準［6］；《中華人民共和國刑法修正案（七）》《中華人民共和國刑法修正案（九）》《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》將“公民個人信息”作為明確的、獨立的保護對象；《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》進一步明確了個人信息的范圍；相關學者也進一步提出侵犯公民個人信息罪的“公民個人信息”一定要符合《個人信息保護法》中的“個人信息”的概念，但《個人信息保護法》中的“個人信息”未必都屬于《刑法》調控的對象。在刑法視域下對于“公民個人信息”進行限縮，本質也是對于個人信息的保護，防止其被過分擴大化而被濫用的公法規制。同時在《刑事訴訟法》第一百三十六條中限制搜查地點，就是為了避免偵查機關過度搜集個人信息，并在《刑事訴訟法》第五十四條科以公安司法機關保守國家秘密、商業秘密與個人隱私的義務［7］。

四、總結

我國目前對于個人信息在公法領域的保護，強調的還是個人信息國家保護義務，而弱化了個人信息保護中國家的權利。這也與筆者強調需要厘清個人信息保護“同意”原則義務的形式和實質內涵相契合。個人信息保護“同意”所指向的義務，需要達到形式和實質的相互協調并共同發力。簡言之，是使內外部達成一種合力，從內部（形式義務）來講，法律規范對于“同意”規則應當更具體和明確，例如針對需要重復收集“同意”的授權采取更加明確的告知方式，而不是給司法機關過多的自由裁量權。對于“隱私政策”規定的展示也應當更加具有便利性，讓大多數用戶可以便捷地找到與之利益相關的內容，而不是沒有重點地羅列規定條款。例如明確若個人想在48 小時內刪除自己的個人信息，可以通過何種方式進行操作。個人信息處理方應當將救濟手段在“隱私政策”中明確規定，避免用戶動輒起訴，增加訴累，同時也降低了個人信息處理方的企業聲譽和產品公信力。從外部（實質義務）來講，增加以《個人信息保護法》為核心的個人信息領域的法律規范同其他部門法的協調性，除了前文所列舉的公法領域部門法的規定之外，仍需要進一步加強相關立法進程。