任龍龍(對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué),北京100029)
論同意不是個(gè)人信息處理的正當(dāng)性基礎(chǔ)
任龍龍
(對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué),北京100029)
無(wú)論是國(guó)際法規(guī)范和多數(shù)國(guó)家的個(gè)人信息保護(hù)法,還是以網(wǎng)絡(luò)服務(wù)商為代表的用戶協(xié)議、服務(wù)條款和隱私權(quán)政策,均就個(gè)人信息處理的同意作了相關(guān)規(guī)定,將同意作為個(gè)人信息處理的正當(dāng)性基礎(chǔ),已經(jīng)成為一種理論上的通說(shuō)和實(shí)踐中的通行做法。然而就判斷個(gè)人信息處理的正當(dāng)性基礎(chǔ)而言,同意規(guī)定的實(shí)質(zhì)是事先判斷,即在個(gè)人信息處理行為發(fā)生之前,如若信息處理者取得了信息主體的同意,則意味著其處理行為具有正當(dāng)性。在大數(shù)據(jù)時(shí)代,個(gè)人信息處理行為的規(guī)制原則應(yīng)是防止濫用,而非嚴(yán)格保護(hù),故對(duì)個(gè)人信息處理行為是否具有正當(dāng)性的考察宜采用責(zé)任規(guī)則及事后判斷的方式,同意不應(yīng)是個(gè)人信息處理的正當(dāng)性基礎(chǔ)。通過(guò)賦予信息主體刪除權(quán),并構(gòu)建一種“寬進(jìn)嚴(yán)出+刪除權(quán)”的個(gè)人信息保護(hù)策略,可以在合理保護(hù)信息主體權(quán)益的基礎(chǔ)上最大程度利用個(gè)人信息,推動(dòng)經(jīng)濟(jì)的發(fā)展和社會(huì)的進(jìn)步。
同意;個(gè)人信息處理;正當(dāng)性基礎(chǔ)
在大數(shù)據(jù)時(shí)代,個(gè)人信息的處理(本文單獨(dú)提及“處理”時(shí),是指?jìng)€(gè)人信息的收集、處理、利用和傳輸?shù)刃袨榈目偡Q,是廣義行為上的個(gè)人信息處理)現(xiàn)象比比皆是。特別是伴隨著數(shù)據(jù)收集和挖掘技術(shù)的進(jìn)步,大規(guī)模處理個(gè)人信息正逐漸變成一種廣泛存在的經(jīng)濟(jì)現(xiàn)象,這推動(dòng)了經(jīng)濟(jì)的發(fā)展和社會(huì)的進(jìn)步,但也給公民自身帶來(lái)了不可避免的麻煩,造成其人格侵害和財(cái)產(chǎn)損失。個(gè)人信息規(guī)模化、多樣化利用的趨勢(shì)無(wú)可避免,正因?yàn)槿绱?,如何合法正?dāng)?shù)靥幚韨€(gè)人信息也就成了大數(shù)據(jù)時(shí)代個(gè)人信息處理的關(guān)鍵所在。
無(wú)論是理論上的通說(shuō)抑或?qū)嵺`中的通行做法,眾多國(guó)際組織和國(guó)家均將個(gè)人信息處理的正當(dāng)性建立于同意之上。在細(xì)節(jié)上,對(duì)于同意是否為其首要基礎(chǔ),則有所分歧。以歐盟的做法來(lái)看,其毫無(wú)疑問(wèn)是將同意作為個(gè)人信息處理正當(dāng)性的首要基礎(chǔ)。美國(guó)則并未如此。美國(guó)僅在特定領(lǐng)域就特定類型個(gè)人信息或其特別處理方式由特殊立法進(jìn)行規(guī)定,要求在處理個(gè)人信息之前征得信息主體的同意。但總體而言,將同意作為個(gè)人信息處理之正當(dāng)性基礎(chǔ)已漸成一種趨勢(shì),并獲得了普遍承認(rèn)。
然而,無(wú)論是從理論角度推究,抑或從實(shí)證角度考量,筆者均傾向于否定同意是個(gè)人信息處理的正當(dāng)性基礎(chǔ)。
現(xiàn)有的關(guān)于個(gè)人信息保護(hù)的國(guó)際法規(guī)范及國(guó)內(nèi)法律條文均對(duì)同意基礎(chǔ)作了相關(guān)規(guī)定。這些規(guī)定涉及個(gè)人信息的收集、處理、利用和傳輸?shù)戎T多方面,明確要求在上述情形發(fā)生時(shí),需取得信息主體之同意。
作為個(gè)人信息保護(hù)領(lǐng)域的先驅(qū),經(jīng)濟(jì)合作與發(fā)展組織在1980年《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨界流通的指導(dǎo)方針》中,就個(gè)人信息保護(hù)提出了八項(xiàng)基本原則。①這八項(xiàng)原則是收集限制原則、數(shù)據(jù)質(zhì)量原則、目的明確原則、使用限制原則、安全保障原則、公開(kāi)原則、個(gè)人參與原則與責(zé)任原則。其中收集限制原則和使用限制原則均對(duì)信息主體的同意作出了相關(guān)規(guī)定。②收集限制原則要求“應(yīng)當(dāng)對(duì)個(gè)人數(shù)據(jù)的收集進(jìn)行限制,任何這種數(shù)據(jù)都應(yīng)通過(guò)合法和公平的方式獲取,適當(dāng)?shù)臅r(shí)候,應(yīng)當(dāng)通知數(shù)據(jù)主體或取得數(shù)據(jù)主體的同意”。使用限制原則規(guī)定“不得在第9條所明確說(shuō)明的目的之外,對(duì)個(gè)人數(shù)據(jù)進(jìn)行披露、使其可以被獲取或以其他方式利用。以下情形除外:a)取得數(shù)據(jù)主體之同意……”歐盟《關(guān)于涉及個(gè)人數(shù)據(jù)處理的保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的指令(95/46/EC)》(以下簡(jiǎn)稱:指令)亦規(guī)定了個(gè)人信息處理的一系列指導(dǎo)原則,其中極為重要的一項(xiàng)為自主決定原則。在該原則的指導(dǎo)下,指令在多個(gè)具體條文中對(duì)信息主體的同意作了明確規(guī)定,尤其是第二章關(guān)于個(gè)人數(shù)據(jù)處理正當(dāng)性的一般規(guī)則第7條,該條規(guī)定:“成員國(guó)應(yīng)當(dāng)規(guī)定只有在以下情形才能處理個(gè)人數(shù)據(jù):a)數(shù)據(jù)主體明確表示同意……”③陳飛:《個(gè)人數(shù)據(jù)保護(hù):歐盟指令及成員國(guó)法律、經(jīng)合組織指導(dǎo)方針》,法律出版社2006年版,第597頁(yè)。此外,指令還在數(shù)據(jù)處理的特殊類型與向第三國(guó)傳輸個(gè)人數(shù)據(jù)等章節(jié)中對(duì)同意基礎(chǔ)作了具體的規(guī)定。④指令第二章第三節(jié)數(shù)據(jù)處理的特殊類型第8條第2款a)中規(guī)定:“數(shù)據(jù)主體明確對(duì)上述類型數(shù)據(jù)之處理表示同意”。上述類型數(shù)據(jù)指該條第1款中所規(guī)定之涉及種族血統(tǒng)、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員資格的個(gè)人數(shù)據(jù)或與健康或性生活相關(guān)的數(shù)據(jù)。指令第四章向第三國(guó)傳輸個(gè)人數(shù)據(jù)第26條例外規(guī)定中亦要求如傳輸個(gè)人數(shù)據(jù)至保護(hù)力度不能達(dá)到相關(guān)要求的第三國(guó)時(shí)應(yīng)經(jīng)“數(shù)據(jù)主體對(duì)于將進(jìn)行的數(shù)據(jù)傳輸明確表示同意”。
在指令的指導(dǎo)下,歐盟各國(guó)紛紛制定或修改本國(guó)的個(gè)人信息保護(hù)法律,并在同意基礎(chǔ)的規(guī)定上與之保持了高度一致。以德國(guó)為例,德國(guó)作為世界上最早制定個(gè)人信息保護(hù)法的國(guó)家,在指令發(fā)出后制定了《聯(lián)邦數(shù)據(jù)保護(hù)法》(Federal Data Protection Act)。該法在第4節(jié)第一款中明確規(guī)定“只有在本法或者其他法律允許或規(guī)定或數(shù)據(jù)主體同意時(shí),個(gè)人數(shù)據(jù)的收集、處理和使用才是被許可的”;并在第4節(jié)a條中就同意的實(shí)質(zhì)要件(意思自由)、形式要件(書(shū)面形式)及例外等做了具體規(guī)定。其他歐盟主要國(guó)家如法國(guó)、英國(guó)等也分別在各自的個(gè)人信息保護(hù)相關(guān)法律中對(duì)同意基礎(chǔ)作了具體規(guī)定。⑤法國(guó)2004年《數(shù)據(jù)處理、數(shù)據(jù)文件及個(gè)人自由法》(Data Processing,Data Files and Individual Liberties)第7條規(guī)定:“個(gè)人數(shù)據(jù)處理必須得到數(shù)據(jù)主體的同意或者……”;英國(guó)在其《資料保護(hù)法》(Data Protection Act)Schedule1,PartⅠ及Schedule2中規(guī)定,個(gè)人資料之處理應(yīng)公正及合法,尤其非經(jīng)當(dāng)事人同意或有其他法定理由,不得為個(gè)人資料之處理。其他國(guó)家如瑞典,在其《個(gè)人數(shù)據(jù)法》(Personal Data Act)第10條中規(guī)定:“只有登記人同意,方可對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理……”
與歐盟成員國(guó)不同,美國(guó)重視個(gè)人信息的合理使用,并未將同意作為個(gè)人信息處理正當(dāng)性的基本前提。在立法上,美國(guó)沒(méi)有制定統(tǒng)一的個(gè)人信息保護(hù)法,僅針對(duì)個(gè)人信息濫用危害比較大、個(gè)人信息比較敏感以及個(gè)人信息保護(hù)迫切性高的特殊部門進(jìn)行特別立法。但隨著個(gè)人信息利用范圍日益廣泛,需要信息主體同意的情形越來(lái)越多,個(gè)人信息保護(hù)立法也相應(yīng)有所改觀。起先,美國(guó)僅在《隱私法》中針對(duì)個(gè)人信息披露之同意進(jìn)行了規(guī)定:“除非是根據(jù)信息相關(guān)人的書(shū)面請(qǐng)求或事先的書(shū)面協(xié)議,任何機(jī)構(gòu)不得通過(guò)任何方式與其他個(gè)人或機(jī)構(gòu)聯(lián)系,披露信息系統(tǒng)中的任何個(gè)人信息……”但隨著美國(guó)法學(xué)界對(duì)控制權(quán)越來(lái)越關(guān)注,美國(guó)法又逐漸對(duì)某些領(lǐng)域個(gè)人信息收集、利用之同意進(jìn)行了相關(guān)規(guī)定。這些領(lǐng)域主要包括敏感信息如個(gè)人健康信息之利用,以及特殊群體如未成年人個(gè)人信息之收集等。⑥美國(guó)《健康保險(xiǎn)移轉(zhuǎn)與責(zé)任法》規(guī)定,只有在取得公民明示同意的“授權(quán)”之后,受調(diào)整實(shí)體(主要指在通常的商業(yè)過(guò)程中提供或支付醫(yī)療保險(xiǎn)的主體)才可以利用個(gè)人健康信息來(lái)滿足除治療或支付費(fèi)用之外的目的。美國(guó)《兒童網(wǎng)上隱私保護(hù)法》則規(guī)定,商業(yè)網(wǎng)站向13歲以下的兒童收集個(gè)人信息時(shí),必須事先征得可確認(rèn)的家長(zhǎng)或監(jiān)護(hù)人的同意。作為一種趨勢(shì),同意作為個(gè)人信息處理的正當(dāng)性基礎(chǔ),在美國(guó)的立法實(shí)踐中已經(jīng)逐步受到認(rèn)可。
我國(guó)香港、澳門地區(qū)皆出臺(tái)了專門的個(gè)人信息(資料)保護(hù)法,我國(guó)臺(tái)灣地區(qū)亦制定了“個(gè)人信息保護(hù)法”,其對(duì)同意均作了具體規(guī)定。⑦香港《個(gè)人私隱保護(hù)條例》規(guī)定“凡根據(jù)本條例任何作為可經(jīng)某人(不論如何描述該人)的訂明同意而作出……”;澳門《個(gè)人資料保護(hù)法則》在第六條個(gè)人資料處理的正當(dāng)性條件中明確規(guī)定“個(gè)人資料的處理僅得在資料當(dāng)事人明確同意或一下必要情況下方可進(jìn)行……”;我國(guó)臺(tái)灣地區(qū)“個(gè)人信息保護(hù)法”雖未有專門的條文明確規(guī)定個(gè)人信息的處理需經(jīng)信息主體的同意,但是在眾多分散的條文中對(duì)同意作出了相應(yīng)規(guī)定。這些條文主要涉及公務(wù)機(jī)關(guān)和非公務(wù)機(jī)關(guān)對(duì)個(gè)人信息的收集、處理和利用,其措辭為“經(jīng)當(dāng)事人書(shū)面同意”,散見(jiàn)于第15條、第16條、第19條、第20條。盡管我國(guó)目前尚未出臺(tái)專門的個(gè)人信息保護(hù)法,但2012年全國(guó)人大常委會(huì)頒布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條明確規(guī)定:“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則……并經(jīng)被收集者同意……”此外,眾多《個(gè)人信息保護(hù)法》學(xué)者建議稿也均對(duì)同意基礎(chǔ)作了明確的規(guī)定。⑧參見(jiàn)周漢華:《中華人民共和國(guó)個(gè)人信息保護(hù)法(專家建議稿)及立法研究報(bào)告》,法律出版社2006年版;齊愛(ài)民:《中華人民共和國(guó)個(gè)人信息保護(hù)法示范法草案學(xué)者建議稿》,《河北法學(xué)》2005年第6期。由此可見(jiàn),同意在我國(guó)的立法實(shí)踐中也是作為正當(dāng)性基礎(chǔ)存在的。
將同意作為個(gè)人信息處理的正當(dāng)性基礎(chǔ),不僅在立法中得到了體現(xiàn),在實(shí)踐中也得到了貫徹。在大數(shù)據(jù)時(shí)代,對(duì)個(gè)人信息的處理主要基于互聯(lián)網(wǎng),網(wǎng)絡(luò)已經(jīng)成為大多數(shù)人日常生活中不可或缺的一部分,而網(wǎng)絡(luò)服務(wù)的使用離不開(kāi)個(gè)人信息的處理,加之移動(dòng)終端設(shè)備尤其是智能手機(jī)的普及,個(gè)人信息的處理更是成為無(wú)時(shí)無(wú)刻不在發(fā)生的事。以網(wǎng)絡(luò)服務(wù)提供商為例,為了能夠賦予個(gè)人信息處理行為以正當(dāng)性,減輕或免除己方可能承擔(dān)的責(zé)任,網(wǎng)絡(luò)服務(wù)提供商在提供網(wǎng)絡(luò)服務(wù)時(shí),通常會(huì)附加相應(yīng)的用戶協(xié)議、服務(wù)條款或單獨(dú)的隱私權(quán)政策,以用戶之同意作為其獲得網(wǎng)絡(luò)服務(wù)之必要條件。在這些用戶協(xié)議、服務(wù)條款和隱私權(quán)政策中,網(wǎng)絡(luò)服務(wù)提供商明示了個(gè)人信息的收集原因、范圍、處理和使用方式,并對(duì)自己的隱私政策或個(gè)人信息保護(hù)政策進(jìn)行說(shuō)明。網(wǎng)絡(luò)服務(wù)提供商除了會(huì)在用戶注冊(cè)個(gè)人賬戶時(shí)要求用戶必須點(diǎn)擊“同意”選項(xiàng)之外,還會(huì)在用戶協(xié)議、服務(wù)條款和隱私權(quán)政策中明示“在征得您的同意……”之類的語(yǔ)句,以顯示取得用戶的同意,并基于此處理用戶的個(gè)人信息。⑨參見(jiàn)Google隱私權(quán)政策,https://www.google.com/intl/zh-CN/policies/privacy/;百度用戶協(xié)議:http://passport.baidu.com/static/ passpc-account/htm l/protocal.htm l等。幾乎所有的網(wǎng)絡(luò)服務(wù)提供商均是如此。尤其對(duì)于未成年人個(gè)人信息的收集,美國(guó)網(wǎng)絡(luò)服務(wù)商更是明確要求其在使用產(chǎn)品或服務(wù)之前,應(yīng)事先取得家長(zhǎng)或法定監(jiān)護(hù)人的同意。⑩參見(jiàn)亞馬遜隱私聲明,https://www.amazon.cn/gp/help/customer/display.htm l/ref=ap_signin_notification_privacy_notice?ie= UTF8&nodeId=200347130。由此可見(jiàn),同意作為個(gè)人信息處理的正當(dāng)性基礎(chǔ),在實(shí)踐中得到了充分體現(xiàn)。
(一)同意基礎(chǔ)的理論根基不牢固
認(rèn)為同意為個(gè)人信息處理正當(dāng)性基礎(chǔ)的理論依據(jù)主要是信息不對(duì)稱理論,其邏輯是為了取得信息主體的同意,必須向其進(jìn)行告知,使信息主體能夠知曉自己的個(gè)人信息處理狀態(tài),從而可最大程度地避免信息不對(duì)稱導(dǎo)致的危害。所謂信息不對(duì)稱理論,是指信息在相互對(duì)應(yīng)的經(jīng)濟(jì)個(gè)體之間呈現(xiàn)不均勻、不對(duì)稱的分布狀態(tài),即有些人對(duì)某些事情的信息比另外一些人掌握得多一些。①辛琳:《信息不對(duì)稱理論研究》,《嘉興學(xué)院學(xué)報(bào)》2001年第3期。然而,在個(gè)人信息交易市場(chǎng)上,個(gè)人信息所指涉的當(dāng)事人與信息搜集者之間的“資訊不對(duì)稱”或“知識(shí)落差”造成市場(chǎng)的失靈,因此,關(guān)于個(gè)人信息的搜集、利用和分享,應(yīng)有“告知后同意”與“告知后選擇”原則之適用。②翁清坤:《告知后同意在個(gè)人資料處理之適用》,轉(zhuǎn)引自陳海帆、趙國(guó)強(qiáng)主編:《個(gè)人資料的法律保護(hù):放眼中國(guó)內(nèi)地、香港、澳門及臺(tái)灣》,社會(huì)科學(xué)文獻(xiàn)出版社2014年版,第205頁(yè)。但筆者認(rèn)為,事實(shí)上,將同意作為個(gè)人信息處理的正當(dāng)性基礎(chǔ)并不足以消除個(gè)人信息處理過(guò)程中信息不對(duì)稱現(xiàn)象的存在。
個(gè)人信息市場(chǎng)信息不對(duì)稱的解決,核心是保障信息主體的知情權(quán),而知情權(quán)的有效保障是以信息的充分流通和提高透明度為前提的。在個(gè)人信息處理過(guò)程中,信息處理者如能向信息主體充分告知相關(guān)情況,③信息處理者主要包括公共機(jī)構(gòu)和私法主體。公共機(jī)構(gòu)主要是指立法機(jī)關(guān)、行政機(jī)關(guān)、司法機(jī)關(guān)等公法機(jī)構(gòu)以及國(guó)有公司、基金會(huì)和協(xié)會(huì)等。私法主體私法主體指自然人或法人、公司和其他依據(jù)私法成立的基金會(huì)、協(xié)會(huì)等。如私法主體完全行使公共管理職能,則應(yīng)被視為公共機(jī)構(gòu)。提高個(gè)人信息處理的透明度,則信息主體的知情權(quán)自然可得到保障。在確保知情權(quán)的情況下,信息主體可以充分了解個(gè)人信息的處理情況,并在其超出自身可接受程度時(shí)及時(shí)進(jìn)行反對(duì),終止處理行為。此時(shí),硬性規(guī)定以同意為基礎(chǔ)既非必要,又不利于數(shù)據(jù)經(jīng)濟(jì)的創(chuàng)新和發(fā)展。
規(guī)定同意基礎(chǔ)的另一理論依據(jù)是個(gè)人信息權(quán)。個(gè)人信息權(quán)是指信息主體依法對(duì)其個(gè)人信息所享有的支配、控制并排除他人侵害的權(quán)利。④齊愛(ài)民:《論個(gè)人信息的法律保護(hù)》,《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2005年第2期。它包括個(gè)人信息決定權(quán)、控制權(quán)等,源自德國(guó)法的個(gè)人信息自決權(quán)理論。⑤個(gè)人信息自決權(quán),源于德國(guó)憲法,在德國(guó)法的語(yǔ)境中是指“個(gè)人依照法律控制自己的個(gè)人信息并決定是否被收集、處理和利用的權(quán)利”。德國(guó)法將個(gè)人信息自決權(quán)作為一般人格權(quán)的下位概念,將其上升到憲法的角度予以保護(hù),并通過(guò)聯(lián)邦憲法法院的判例不斷加以完善。在1983年的“人口普查案”中,德國(guó)聯(lián)邦憲法法院最早采用了個(gè)人信息自決權(quán)的概念。其判決書(shū)正文第一段寫(xiě)到:“在現(xiàn)代信息處理之條件下,應(yīng)保護(hù)每個(gè)人之個(gè)人信息免遭無(wú)限制之收集、儲(chǔ)存、利用和傳遞。此系基本法第二條第一項(xiàng)一般人格權(quán)及基本法第一條第八項(xiàng)人性尊嚴(yán)保護(hù)范圍。該基本人權(quán)保障每個(gè)人原則上有權(quán)自行決定其個(gè)人信息之交付與使用?!眰€(gè)人信息權(quán)保障信息主體對(duì)自己的個(gè)人信息能夠支配、控制,故而信息處理者在處理其個(gè)人信息時(shí)應(yīng)征得信息主體的同意。
個(gè)人信息自決權(quán)存在的關(guān)鍵在于自然人對(duì)個(gè)人信息具有決定自由與控制能力,拋開(kāi)二者,個(gè)人信息自決權(quán)便會(huì)淪為無(wú)稽之談。邏輯上,信息主體有權(quán)決定個(gè)人信息能否利用以及作何利用,然而這種決定自由是受到個(gè)人信息價(jià)值的社會(huì)性限制的。人是社會(huì)性動(dòng)物,人的本質(zhì)即是社會(huì)性,而社會(huì)性的重要體現(xiàn)就是交往?!爸黧w來(lái)到世界,便以自己的個(gè)體存在為邊界。此種個(gè)體存在的邊界,并不是、或者無(wú)法說(shuō)明主體的全部存在樣態(tài)?!藗冎挥型ㄟ^(guò)交往,才能在更廣遠(yuǎn)的視界上體驗(yàn)人的整體性生存和存在?!雹拗x暉:《法律的意義追問(wèn)——詮釋學(xué)視野中的法哲學(xué)》,商務(wù)印書(shū)館2003年版,第36-37頁(yè)。作為能夠識(shí)別自然人的信息,個(gè)人信息存在的首要價(jià)值便是幫助自然人實(shí)現(xiàn)社會(huì)交往。個(gè)人信息實(shí)際上是個(gè)人與他人,個(gè)人與社會(huì)的一種連接方式。因此,不管是在社會(huì)生活中,還是經(jīng)濟(jì)活動(dòng)中,對(duì)于個(gè)人信息的知悉需求總是存在的。從某種意義上講,不披露信息就意味著欺詐。如果人們隱匿個(gè)人信息是為了誤導(dǎo)他人,那么,從經(jīng)濟(jì)學(xué)上來(lái)說(shuō),給予這樣的行為以法律保護(hù),并不比允許商品銷售中的欺詐行為強(qiáng)多少。⑦[美]理查德·A·波斯納:《論隱私權(quán)》,常鵬翱譯,《私法》2011年第2期。在這種情況下,他人對(duì)信息主體的個(gè)人信息享有一定程度的利益,理應(yīng)具有知悉的權(quán)利,這種權(quán)利應(yīng)當(dāng)受到法律的保護(hù)。相應(yīng)地,信息主體的決定自由就應(yīng)受到限制。因此,就個(gè)人信息而言,信息主體的決定自由是“不真正”的、難以實(shí)現(xiàn)的。這在很大程度上削弱了個(gè)人信息自決權(quán)理論上的可能性。以個(gè)人信用信息為例,個(gè)人信用信息的真實(shí)性恰恰依賴于信息主體決定權(quán)的缺乏。如果賦予信息主體對(duì)個(gè)人信用信息處理決定的權(quán)利,那么在信息主體同意的前提下,由此得來(lái)的信用報(bào)告可能就不具備充分的客觀真實(shí)性。此外,在網(wǎng)絡(luò)社會(huì)中,個(gè)人信息的決定自由明顯缺乏有效的現(xiàn)實(shí)性。信息主體想要使用網(wǎng)絡(luò)服務(wù)提供商所提供的網(wǎng)絡(luò)服務(wù),除了同意別無(wú)選擇,其根本不具有決定的自由。
除了決定自由的缺失,信息主體對(duì)個(gè)人信息的控制能力也是極為有限的。作為與識(shí)別或可識(shí)別的自然人密切相關(guān)的信息,個(gè)人信息原則上應(yīng)屬自然人之“所有”,然而事實(shí)上,其既不能為信息主體現(xiàn)實(shí)占有,又不能為其獨(dú)占。個(gè)人信息是“無(wú)形”的,它依賴于載體而存在,尤其是以數(shù)據(jù)形式存在于網(wǎng)絡(luò)中的個(gè)人信息,更是只能存儲(chǔ)于服務(wù)器、終端設(shè)備等中。信息主體無(wú)法對(duì)個(gè)人信息實(shí)現(xiàn)真正的占有。此外,個(gè)人信息的價(jià)值在于它的流動(dòng)性,只有通過(guò)流通個(gè)人信息才能真正實(shí)現(xiàn)其價(jià)值。這導(dǎo)致信息主體對(duì)個(gè)人信息難以實(shí)現(xiàn)排他性占有,也就無(wú)法實(shí)現(xiàn)真正的控制。況且個(gè)人信息的有用性依賴于公開(kāi)性,而一經(jīng)公開(kāi),任何自然人、私法主體和公共機(jī)構(gòu)都可以在任何時(shí)間、任何地點(diǎn)獲得并復(fù)制和傳播已獲得的個(gè)人信息。尤其是在網(wǎng)絡(luò)中,已公開(kāi)的個(gè)人信息更是人皆可見(jiàn)、人皆可得,復(fù)制和傳播成本幾乎為零,根本不具有可占有性,控制也就無(wú)從談起。信息主體對(duì)個(gè)人信息既難具決定之自由,又缺乏控制之能力,個(gè)人信息自決權(quán)自然如無(wú)本之木,同意基礎(chǔ)的正當(dāng)性也就大打折扣了。
綜上,無(wú)論是信息不對(duì)稱理論,還是個(gè)人信息自決權(quán)理論,都不能成為同意是個(gè)人信息處理正當(dāng)性基礎(chǔ)的有效理論支撐。
(二)同意本身缺乏必要性和真實(shí)性
在個(gè)人信息處理已經(jīng)造成緊迫危害性的前提下,法律條文中采取嚴(yán)格舉措規(guī)定同意是個(gè)人信息處理的正當(dāng)性基礎(chǔ)是必要的。然而,就現(xiàn)階段而言,個(gè)人信息處理能夠帶來(lái)的危害實(shí)際上并未嚴(yán)重到難以容忍的地步,個(gè)人信息處理所帶來(lái)的福祉其實(shí)大于危害,同意基礎(chǔ)的規(guī)定反倒可能在一定程度上阻礙經(jīng)濟(jì)的發(fā)展和社會(huì)的進(jìn)步。實(shí)際上,個(gè)人信息處理造成的擔(dān)憂很大程度上是源自對(duì)潛在威脅的恐懼;換言之,是對(duì)一種損害可能性的防范。
個(gè)人信息的處理者即公共機(jī)構(gòu)和私法主體收集個(gè)人信息的目的主要是改善社會(huì)管理或創(chuàng)造經(jīng)濟(jì)價(jià)值,盡管個(gè)性化服務(wù)在其中占了很大比例,但其并不是為了實(shí)現(xiàn)對(duì)具體個(gè)人的監(jiān)視或利益侵害。尤其是在大數(shù)據(jù)時(shí)代,個(gè)人信息的處理主要是大數(shù)據(jù)處理,是以海量數(shù)據(jù)為基礎(chǔ)的,這決定了其核心價(jià)值來(lái)源于數(shù)據(jù)的共性分析。正因?yàn)槿绱?,?duì)個(gè)人而言,個(gè)人信息處理帶來(lái)的危害絕大多數(shù)是潛在的,并非直接風(fēng)險(xiǎn),特別是一些學(xué)者所言的“1984風(fēng)險(xiǎn)”更是基于不確定的恐懼。⑧該風(fēng)險(xiǎn)來(lái)源于喬治·奧維爾創(chuàng)作的諷刺小說(shuō)《一九八四》,其描述了一個(gè)零隱私的恐怖社會(huì)。對(duì)于不確定的恐懼,試圖通過(guò)賦予總是落后于經(jīng)濟(jì)社會(huì)發(fā)展的法律以“先見(jiàn)之明”進(jìn)行避免,并非明智之舉。目前,現(xiàn)實(shí)生活中個(gè)人信息處理所帶來(lái)的最直接的危害即是垃圾信息的騷擾,尤其是推銷電話、短信、電子郵件等,以及可能發(fā)生的隱私侵害行為和詐騙行為等。除了隱私侵害行為和詐騙行為,其他行為實(shí)際并不會(huì)給信息主體帶來(lái)嚴(yán)重的利益損失,而隱私侵害行為和詐騙行為則可分別通過(guò)民法上隱私權(quán)或刑法上詐騙罪等獲得相應(yīng)的救濟(jì)。故而作為社會(huì)生物,個(gè)人信息處理的大多數(shù)危害應(yīng)尚屬個(gè)人可以容忍的范圍。相反,個(gè)人和社會(huì)享受著個(gè)人信息處理帶來(lái)的大量福祉。以個(gè)人信息的處理為基礎(chǔ),個(gè)人享受著便捷的學(xué)習(xí)、工作和生活服務(wù),無(wú)論是衣食住行還是社會(huì)交往,均因之發(fā)生了翻天覆地的變化,而社會(huì)管理和服務(wù)也因之更加有效和人性化??梢灶A(yù)見(jiàn),未來(lái)大數(shù)據(jù)時(shí)代的基本福祉將是建立在個(gè)人信息的處理之上的。因此,個(gè)人信息處理帶來(lái)的福祉與對(duì)處理行為的容忍度應(yīng)呈正相關(guān)關(guān)系。個(gè)人信息處理帶來(lái)的福祉越大,對(duì)于個(gè)人信息處理的容忍度亦應(yīng)越高。而同意基礎(chǔ)的規(guī)定在現(xiàn)階段無(wú)疑顯得過(guò)于苛刻了,與個(gè)人信息處理帶來(lái)的福祉顯失協(xié)調(diào)。
同意基礎(chǔ)的規(guī)定除了缺乏必要性,還顯著缺乏真實(shí)性。同意真實(shí)性的保障是同意成為個(gè)人信息處理正當(dāng)性基礎(chǔ)的關(guān)鍵所在。失去了真實(shí)性的同意,其危害可能比同意基礎(chǔ)的缺失更可怕。然而,在現(xiàn)實(shí)中,同意的真實(shí)性幾乎難獲保障。歐盟第29條工作組的文件指出,同意合法有效需要滿足四個(gè)標(biāo)準(zhǔn):第一,同意必須是清楚而不含糊的意思表示;第二,同意必須是自由作出的;第三,同意必須是明確的;第四,同意必須是在充分告知信息的情況下作出的。⑨歐盟第29條工作組:《關(guān)于1995指令第26條第1款一般解釋的工作文件》(Working Document on a Common Interpretation of Article 26(1)of Directive 95/46/EC of 24 October 1995,WP114)。其中最關(guān)鍵的兩個(gè)標(biāo)準(zhǔn)是自由作出和充分告知信息,如若它們不能獲得保證,則同意基礎(chǔ)的真實(shí)性和有效性將蕩然無(wú)存。
其一,同意難以自由作出。前文已論述信息主體缺乏對(duì)個(gè)人信息的決定自由和控制能力,故其難以作出自由同意。在大數(shù)據(jù)時(shí)代,基于網(wǎng)絡(luò)的個(gè)人信息處理是主要方面,而在網(wǎng)絡(luò)中,信息主體欲保持同意的自由則更難實(shí)現(xiàn)。在使用網(wǎng)絡(luò)服務(wù)提供商的服務(wù)時(shí),信息主體除了同意外幾乎別無(wú)選擇,因?yàn)槿绻幌蚱涮峁┧枰占膫€(gè)人信息,就無(wú)法享受它們所提供的服務(wù)和產(chǎn)品。故而,網(wǎng)絡(luò)用戶面臨此選擇時(shí),基本都會(huì)點(diǎn)擊同意,甚至連相關(guān)的用戶協(xié)議、服務(wù)條款和隱私權(quán)政策的內(nèi)容都不會(huì)加以閱讀。因?yàn)殚喿x這些條款和政策沒(méi)有任何實(shí)質(zhì)意義。在這種情況下,同意的真實(shí)性自然大打折扣,規(guī)定同意為個(gè)人信息處理的正當(dāng)性基礎(chǔ)顯然成了紙上空文。
其二,充分告知信息在現(xiàn)實(shí)中難以獲得保證。仍以接受網(wǎng)絡(luò)服務(wù)為例,網(wǎng)絡(luò)服務(wù)提供商所提供的用戶協(xié)議、服務(wù)條款和隱私權(quán)政策通常不會(huì)直接顯示,而是以小字體的方式與同意選擇一起出現(xiàn),其表述通常為“閱讀并同意……”,這顯然不能引起信息主體足夠的重視。何況這些協(xié)議、條款或政策通常十分冗長(zhǎng)乏味,充斥著大量不重要的含糊其辭的規(guī)定。相反,關(guān)于個(gè)人信息處理真正重要的條款則夾雜其中,并不顯著。況且相關(guān)條款對(duì)于個(gè)人信息收集的范圍、保留時(shí)限、處理方式以及使用范圍等規(guī)定也不盡詳細(xì)和合理,而用戶卻不具有任何磋商和修改的權(quán)利。此外,在大數(shù)據(jù)時(shí)代,個(gè)人信息的用途多種多樣,并且數(shù)據(jù)挖掘和處理技術(shù)的進(jìn)步不斷變化,而信息主體對(duì)個(gè)人信息處理一時(shí)一事之同意并不能代表他時(shí)他事之同意。在這一過(guò)程中,信息處理者可能將已收集到的個(gè)人信息用于顯著不同的其他目的,而對(duì)于整個(gè)處理過(guò)程極難實(shí)現(xiàn)監(jiān)管和控制,在具體的危害發(fā)生之前,信息主體對(duì)此可能毫不知情,更談不上充分的信息告知。若此,信息主體根本沒(méi)有作出新的同意的機(jī)會(huì),即使能夠作出,其真實(shí)性也難以保證。
總之,同意基礎(chǔ)的規(guī)定既缺乏緊迫的必要性,又無(wú)法保障真實(shí)性,故而其并不具有有效的實(shí)踐意義。況且,即使在個(gè)人信息保護(hù)法中嚴(yán)格規(guī)定同意為個(gè)人信息處理正當(dāng)性基礎(chǔ)的情形下,個(gè)人信息不正當(dāng)處理的現(xiàn)象也未必會(huì)因此得到有效的遏制。
(三)同意基礎(chǔ)不符合經(jīng)濟(jì)考量
在大數(shù)據(jù)時(shí)代,數(shù)據(jù)已逐漸成為一種重要的生產(chǎn)要素,對(duì)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步發(fā)揮著無(wú)與倫比的作用。與其他的生產(chǎn)要素相比,數(shù)據(jù)容易實(shí)現(xiàn)共享,可以重復(fù)使用,還可隨著技術(shù)的進(jìn)步不斷實(shí)現(xiàn)價(jià)值的新發(fā)現(xiàn),可以說(shuō)是取之不盡、用之不竭。伴隨著軟硬件的發(fā)展,尤其是智能設(shè)備的普及,個(gè)人信息作為數(shù)據(jù)的重要部分,其處理行為無(wú)時(shí)無(wú)刻不在發(fā)生。得益于個(gè)人信息的處理,新的經(jīng)濟(jì)點(diǎn)不斷涌現(xiàn),在創(chuàng)造經(jīng)濟(jì)價(jià)值的同時(shí),也極大地方便了人們的生活,推動(dòng)了社會(huì)的進(jìn)步。人類社會(huì)要進(jìn)步,新經(jīng)濟(jì)要進(jìn)一步爆發(fā),個(gè)人信息的價(jià)值必須實(shí)現(xiàn)更高層次的釋放。而規(guī)定同意作為個(gè)人信息處理的正當(dāng)性基礎(chǔ),無(wú)疑嚴(yán)重阻礙了個(gè)人信息價(jià)值的實(shí)現(xiàn)。對(duì)于正在蓬勃發(fā)展的新生事物,法律應(yīng)當(dāng)對(duì)其保有基本的寬容,而不應(yīng)予以過(guò)早的限制乃至扼殺。
對(duì)一種處在上升通道中的經(jīng)濟(jì)模式而言,成本的增加顯然是不利的。而同意規(guī)定恰恰增加了個(gè)人信息處理的成本。信息主體對(duì)于個(gè)人信息處理一事的同意,并不代表對(duì)他事的同意,同樣,一時(shí)的同意也不具有持續(xù)的有效性。在個(gè)人信息的處理方式和目的日益多樣化的過(guò)程中,信息處理者將面臨無(wú)休止的告知并須取得信息主體同意的境況。若如此,顯然增加了不必要的成本,降低了經(jīng)濟(jì)效率,無(wú)益于數(shù)字經(jīng)濟(jì)的發(fā)展。此外,信息處理者還會(huì)因此處在稍有不慎便侵犯信息主體利益的危險(xiǎn)之中,這樣會(huì)極大地束縛了其創(chuàng)新行為,反過(guò)來(lái)將影響信息主體福祉的實(shí)現(xiàn)。何況,對(duì)于某些個(gè)人信息的處理,信息處理者可能缺乏或根本沒(méi)有告知并征求信息主體同意的途徑,此時(shí)要求其履行同意義務(wù)無(wú)疑會(huì)產(chǎn)生不合比例的成本。而對(duì)一個(gè)掌握了大量有價(jià)值個(gè)人信息的信息處理者而言,若僅由于無(wú)法取得信息主體的同意而剝奪其處理的權(quán)利,事實(shí)上不可能,經(jīng)濟(jì)上無(wú)益處。
同意基礎(chǔ)的規(guī)定產(chǎn)生的高昂成本,不僅影響著信息處理者,也可能影響信息主體。除了作出同意所產(chǎn)生的一般成本,如時(shí)間成本、通信費(fèi)用、交通和文本費(fèi)用等,更多的是由同意帶來(lái)的產(chǎn)品和服務(wù)成本。信息處理者因告知和征得信息主體同意所產(chǎn)生的諸多成本,最終會(huì)反映在其向信息主體提供的產(chǎn)品和服務(wù)上。可以設(shè)想的是,如果將來(lái)個(gè)人信息的處理不僅需要信息主體的同意,還需要支付相應(yīng)的財(cái)產(chǎn)對(duì)價(jià),其必將導(dǎo)致產(chǎn)品和服務(wù)價(jià)格的高昂。
可以預(yù)見(jiàn),隨著數(shù)字經(jīng)濟(jì)的發(fā)展,個(gè)人信息處理行為將會(huì)呈現(xiàn)爆炸式發(fā)展,若需要信息主體時(shí)時(shí)事事的同意,那么對(duì)信息主體而言其帶來(lái)的騷擾可能遠(yuǎn)甚于個(gè)人信息處理行為本身。對(duì)個(gè)人信息的嚴(yán)格保護(hù)很大程度上意味著信息主體追求“獨(dú)處的自由”和“精神上的安寧”,當(dāng)信息主體面對(duì)無(wú)休止的同意通知,其導(dǎo)致的精神上的不安寧和對(duì)獨(dú)處的騷擾,比之個(gè)人信息得不到保護(hù)的情形恐怕有過(guò)之而無(wú)不及。
(四)例外規(guī)定的大量存在削弱了同意基礎(chǔ)的效力
當(dāng)前,各國(guó)或國(guó)際組織制定個(gè)人信息保護(hù)法時(shí),均在肯定信息主體同意權(quán)利的同時(shí)對(duì)其適用作了大量的限縮或排除,以兼顧個(gè)人信息保護(hù)之外的其他重要價(jià)值。以指令為例,其第7條規(guī)定只有在以下情形才能處理個(gè)人數(shù)據(jù):“……(b)為了履行當(dāng)事人一方為數(shù)據(jù)主體的合同所必須的數(shù)據(jù)處理或者為了在訂立合同之前依照數(shù)據(jù)主體的要求采取措施所必需的數(shù)據(jù)處理;或者(c)為了履行數(shù)據(jù)處理控制人所負(fù)擔(dān)的法定義務(wù)所必需的數(shù)據(jù)處理;或者(d)或者為了保護(hù)數(shù)據(jù)主體的重大利益而必需的數(shù)據(jù)處理;或者(e)為了履行涉及公共利益之任務(wù),或者行使授予數(shù)據(jù)處理控制人或者接受數(shù)據(jù)披露的第三方的官方授權(quán)之任務(wù)所必需的數(shù)據(jù)處理;或者(f)為數(shù)據(jù)處理控制人或者接受數(shù)據(jù)披露的第三方所追求的合法利益的目的所必需的數(shù)據(jù)處理……”⑩參見(jiàn)前注③,陳飛書(shū),第31頁(yè)。
這些例外規(guī)定既涉及合同的履行,又涉及公共利益和信息主體本身利益的保護(hù)等,幾乎涵蓋了現(xiàn)有個(gè)人信息處理最主要的類型,因此極大地削弱了同意本身的效力。尤其是(b)條例外,作為個(gè)人信息處理的主要方式,網(wǎng)絡(luò)用戶接受網(wǎng)絡(luò)服務(wù)商提供的服務(wù),與其簽訂用戶協(xié)議,依據(jù)內(nèi)容和所調(diào)整的權(quán)利義務(wù)關(guān)系的特點(diǎn),用戶協(xié)議屬于無(wú)名合同。①林旭霞:《論網(wǎng)絡(luò)運(yùn)營(yíng)商與用戶之間協(xié)議的法律規(guī)制》,《法律科學(xué)》2012年第5期。網(wǎng)絡(luò)用戶作為信息主體,與網(wǎng)絡(luò)服務(wù)提供商即信息處理者之間存在有效的合同,那么對(duì)其個(gè)人信息如姓名、聯(lián)絡(luò)地址等的處理若是為了產(chǎn)品及服務(wù)的履行,當(dāng)屬于某些“被普遍接受的慣例”(commonly accepted practices),②FTC,“Protecting Consumer Privacy in an Era of Rapid Change-A Proposed Framework for Businesses and Policymakers”, available at http://www.ftc.gov/os/2010/12/101201privacyreport.pdf,pp.53-54.故而信息處理者無(wú)需再取得信息主體的同意。所以同意作為個(gè)人信息處理的正當(dāng)性基礎(chǔ)的規(guī)定因諸多例外的存在而效力大減。
在大數(shù)據(jù)時(shí)代,個(gè)人信息處理行為的規(guī)制原則應(yīng)是防止濫用,而非嚴(yán)格保護(hù)。否定同意是個(gè)人信息處理的正當(dāng)性基礎(chǔ),使得信息處理者可以不經(jīng)信息主體同意而收集、處理和利用其個(gè)人信息,改善產(chǎn)品或服務(wù),這可能導(dǎo)致個(gè)人信息的大規(guī)模濫用。因此,賦予信息主體以刪除權(quán)是必要的。刪除權(quán)(the Right to be Forgotten),又稱被遺忘權(quán),是指信息主體有權(quán)要求信息處理者永久刪除其某些個(gè)人信息的權(quán)利。刪除權(quán)不僅由歐洲法院在判決中提出,③2014年5月,Google公司在一件關(guān)于數(shù)據(jù)隱私的重要案件中敗訴。在該案中,歐洲一家法院要求Google接受用戶的在搜索結(jié)果中刪除不相關(guān)的多余信息的請(qǐng)求。Google公司不服判決上訴至歐盟法院。2014年5月13日,歐盟法院最終裁定用戶享有“被遺忘權(quán)”,有權(quán)要求Google公司從搜索結(jié)果中刪除相關(guān)鏈接。而且在2012年歐盟《個(gè)人數(shù)據(jù)保護(hù)指令修正案》中明確得到認(rèn)可。該修正案第17條規(guī)定,當(dāng)存在如下情形時(shí),信息主體有權(quán)要求信息處理者刪除有關(guān)信息:第一,請(qǐng)求刪除的信息與信息處理目的已無(wú)關(guān)聯(lián),尤其是如果這些信息是由信息主體在未成年之前發(fā)布的;第二,信息主體明示或通過(guò)行動(dòng)表示撤回信息處理的同意,或者同意處理其個(gè)人信息的期限已經(jīng)屆滿,且已不存在處理該信息的合法依據(jù);第三,信息主體反對(duì)收集或處理其個(gè)人信息……;第四,其他情形。④European Commission.Proposal for a regulation of the European parliament and of the council on the protection of individuals w ith regard to the processing of personal data and on the free movement of such data.http://ec.europa.euljustice/dataprotection/document/review2012/com_2012_11_en.pdf.在否定同意作為個(gè)人信息處理正當(dāng)性基礎(chǔ)的前提下,刪除權(quán)的判斷核心在于個(gè)人信息處理行為已經(jīng)背離了信息主體的本意,超出了信息主體所能容忍的限度,并可能或事實(shí)上對(duì)信息主體的人格或財(cái)產(chǎn)權(quán)益造成侵害。賦予信息主體刪除權(quán)意味著盡管信息處理者的個(gè)人信息處理行為無(wú)需事先取得其同意,但當(dāng)相應(yīng)情形出現(xiàn)時(shí),信息主體卻可以此為依據(jù)要求信息處理者停止個(gè)人信息處理行為,刪除有關(guān)個(gè)人信息,從而防止可能損害的發(fā)生,并就已發(fā)生的損害請(qǐng)求賠償。
大數(shù)據(jù)時(shí)代的數(shù)據(jù)價(jià)值更多地體現(xiàn)在二次利用即對(duì)數(shù)據(jù)的深入挖掘和處理過(guò)程中,其處理目的可能因此而不斷改變,這種特征要求個(gè)人信息保護(hù)策略的制定應(yīng)基于改善人類福祉的目的,側(cè)重于對(duì)個(gè)人信息的充分利用。基于此,筆者提出一種“寬進(jìn)嚴(yán)出+刪除權(quán)”的個(gè)人信息保護(hù)策略。這一策略的核心是信息處理者的個(gè)人信息處理行為無(wú)需事先取得信息主體的同意,但其應(yīng)確保信息主體的知情權(quán),并在損害發(fā)生時(shí)承擔(dān)嚴(yán)格責(zé)任。與此同時(shí),賦予信息主體必要的刪除權(quán),允許其在合理情形下提出刪除相關(guān)個(gè)人信息的請(qǐng)求。
具體而言,“寬進(jìn)嚴(yán)出+刪除權(quán)”策略并不要求信息處理者在收集、處理和利用個(gè)人信息時(shí)事先取得信息主體同意,換言之,同意的缺失并不直接導(dǎo)致個(gè)人信息處理行為的非正當(dāng)性。對(duì)個(gè)人信息的處理行為,原則上采取寬松的個(gè)人信息政策,盡量減少不必要的限制。然而處理行為的寬松并不意味著責(zé)任的寬松,對(duì)于可能發(fā)生的個(gè)人信息處理危害,信息處理者應(yīng)保有最高程度的謹(jǐn)慎,一旦產(chǎn)生實(shí)際損害,其有義務(wù)將損害最小化,并承擔(dān)相應(yīng)的損害賠償。此外,在全面衡量信息處理者個(gè)人信息處理行為本身以及對(duì)信息主體可能或?qū)嶋H造成影響的基礎(chǔ)上,法律應(yīng)明確信息處理者的具體行為責(zé)任,對(duì)造成嚴(yán)重后果的個(gè)人信息處理行為在賠償責(zé)任之外加重懲罰責(zé)任,必要時(shí)亦應(yīng)采取嚴(yán)厲的刑罰措施。在整個(gè)個(gè)人信息處理過(guò)程中,一旦出現(xiàn)應(yīng)刪除個(gè)人信息的合理情形,信息主體有權(quán)反對(duì)相關(guān)個(gè)人信息處理行為,并提出刪除要求。信息處理者應(yīng)當(dāng)認(rèn)真審查相關(guān)要求并采取必要措施,保護(hù)信息主體的個(gè)人信息權(quán)益。值得注意的是,在具體適用中,刪除權(quán)的行使應(yīng)兼顧言論自由及公共利益,不應(yīng)肆意擴(kuò)大邊界。
就判斷個(gè)人信息處理的正當(dāng)性基礎(chǔ)而言,同意規(guī)定的實(shí)質(zhì)是事先判斷,即在個(gè)人信息處理行為發(fā)生之前,如若信息處理者取得了信息主體的同意,則意味著其處理行為具有正當(dāng)性。否定同意是個(gè)人信息處理的正當(dāng)性基礎(chǔ),則表明信息處理者即使取得了信息主體的同意,其個(gè)人信息處理行為也并非理所當(dāng)然具有正當(dāng)性。在這種情況下,信息主體獲得了更大程度的個(gè)人信息處理自由,但也承擔(dān)著更多的責(zé)任,因?yàn)榧词故孪热〉昧诵畔⒅黧w的同意,其處理行為仍然可能造成損害,仍需要承擔(dān)相應(yīng)的法律責(zé)任。故而,對(duì)個(gè)人信息處理行為是否具有正當(dāng)性的考察,應(yīng)當(dāng)設(shè)置責(zé)任規(guī)則,采取事后判斷的方式,全面考察信息主體的個(gè)人信息處理行為是否符合事先聲明的特定目的,超出特定目的處理行為是否采取了必要的匿名化舉措,在整個(gè)個(gè)人信息處理過(guò)程中信息處理者是否充分保障了信息主體的知情權(quán),以及個(gè)人信息處理行為本身是否在事實(shí)上(或具有極大可能)對(duì)信息主體造成人格或財(cái)產(chǎn)損害,是否具有違法性等因素。與此同時(shí),同意雖非個(gè)人信息處理的正當(dāng)性基礎(chǔ),但如若事先取得信息主體的同意,亦可以在一定程度上相應(yīng)地減輕信息處理者的責(zé)任。
事實(shí)上,在具體的立法實(shí)踐中,關(guān)于同意規(guī)定的修正亦有國(guó)家開(kāi)始嘗試,如將要提交議會(huì)審議的日本《個(gè)人信息保護(hù)法》最新修正案中就準(zhǔn)備規(guī)定,刪除名字等使特定個(gè)人無(wú)法被鎖定的信息即使沒(méi)有本人的同意也可提供給第三方。⑤《日本出臺(tái)法案規(guī)范個(gè)人信息使用加大處罰力度》,http://world.people.com.cn/n/2015/0310/c157278-26670000.htm l。這無(wú)疑是符合個(gè)人信息處理的現(xiàn)狀和需求的,對(duì)于經(jīng)濟(jì)的創(chuàng)新發(fā)展和社會(huì)的進(jìn)步是利大于弊的。筆者認(rèn)為,這將會(huì)成為個(gè)人信息保護(hù)立法的一種新趨勢(shì)。
(責(zé)任編輯:陳歷幸)
DF51
A
1005-9512(2016)01-0126-09
任龍龍,對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)博士研究生。