個人數(shù)據(jù)保護“同意規(guī)則”的檢視及修正

胡文華 黃道麗 孔華鋒

(公安部第三研究所 上海 201204)

0 引 言

在個人數(shù)據(jù)保護領(lǐng)域，同意規(guī)則是目前國際立法和實踐中的通行做法。隨著大數(shù)據(jù)時代的到來，傳統(tǒng)的同意規(guī)則面臨著諸多新挑戰(zhàn)，網(wǎng)絡(luò)服務(wù)提供商冗長的隱私政策、強勢的格式條款并未給用戶提供真正的選擇空間，在諸多場景中用戶同意難以真正實現(xiàn)。此外，過于嚴苛的“同意”規(guī)則會造成數(shù)據(jù)企業(yè)經(jīng)營成本的增加，制約數(shù)據(jù)經(jīng)濟的發(fā)展。在此背景下，各國紛紛開始重新審視同意規(guī)則在個人數(shù)據(jù)保護中的實際效用，探索新時代語境下同意規(guī)則的合理性及適用問題。

整體上看，我國采用了國際上的通行做法，亦將同意規(guī)則確立為個人數(shù)據(jù)保護的重要機制。立法上我國已經(jīng)通過《網(wǎng)絡(luò)安全法》在基礎(chǔ)法律層面確立了同意規(guī)則，并不斷通過完善相應(yīng)的配套法規(guī)和標準加以推進。司法實踐中，我國已經(jīng)發(fā)生了多起“同意規(guī)則”相關(guān)案例，同意規(guī)則在司法實踐中進一步落實和加強。

在同意規(guī)則因大數(shù)據(jù)時代的到來面臨諸多困境，各國紛紛對其進行反思和修正之際，我國目前對于“同意規(guī)則”的立法設(shè)計是否合理尚存爭議，有學(xué)者認為“同意規(guī)則”無論是基于信息不對稱理論還是信息自決理論，在理論基礎(chǔ)上均不具有正當性。在實踐中也缺乏必要性和可能性，在效用上不符合經(jīng)濟政策的考量，進而進一步認為同意并不是個人信息處理的正當性基礎(chǔ)，建議建立一種“寬進嚴出+刪除權(quán)”的個人信息保護策略[1]。也有學(xué)者認為雖然同意規(guī)則面臨著諸多挑戰(zhàn)，但面對這些挑戰(zhàn)，解決路徑絕非完全拋棄“個人同意”，而是正確認識“個人同意”在不同場景下應(yīng)當發(fā)揮的作用，以及在不同場景下發(fā)現(xiàn)、設(shè)計不同的管控機制[2]。我國在個人數(shù)據(jù)保護框架中該如何應(yīng)對同意規(guī)則需要進一步研究。本文將從“同意規(guī)則”的源流出發(fā)，立足國內(nèi)實踐，重新檢視其在大數(shù)據(jù)時代面臨的困境，進而為我國個人數(shù)據(jù)保護“同意”機制的設(shè)計和適用提出相應(yīng)的修正建議。

1 個人數(shù)據(jù)保護“同意規(guī)則”的源流

個人數(shù)據(jù)保護中的“同意規(guī)則”是指數(shù)據(jù)控制者或數(shù)據(jù)處理者收集、使用個人數(shù)據(jù)應(yīng)當獲得數(shù)據(jù)主體的同意，數(shù)據(jù)主體對于上述行為的“同意”是進行個人數(shù)據(jù)處理的合法性基礎(chǔ)。同意規(guī)則作為個人數(shù)據(jù)保護的重要機制，其理論基礎(chǔ)主要在于個人信息自決權(quán)，旨在加強數(shù)據(jù)主體對其個人數(shù)據(jù)的控制力。國際條約層面，最早明確規(guī)定同意規(guī)則的是經(jīng)濟合作與發(fā)展組織(OECD)1980年頒布的《關(guān)于隱私保護與個人數(shù)據(jù)跨界流通的指導(dǎo)方針》，該方針提出了個人數(shù)據(jù)保護的八項基本原則。其中，收集限制原則(Collection Limitation Principle)明確規(guī)定個人數(shù)據(jù)的收集行為應(yīng)當受到限制，個人數(shù)據(jù)的獲取應(yīng)當是合法正當?shù)?，在適宜的情況下，應(yīng)當告知數(shù)據(jù)主體或獲得其同意；使用限制原則(Use Limitation Principle)規(guī)定個人數(shù)據(jù)不應(yīng)當為收集目的之外的目的披露、獲取或使用，除非獲得數(shù)據(jù)主體的同意或法律授權(quán)。通過上述兩項原則，OECD明確了個人數(shù)據(jù)收集和使用階段同意規(guī)則的適用問題。2005年亞太經(jīng)濟合作發(fā)展組織(APEC)頒布的《隱私保護框架》對于個人數(shù)據(jù)的收集行為，并未要求數(shù)據(jù)收集者要征得數(shù)據(jù)主體的同意，但明確規(guī)定收集的個人數(shù)據(jù)只能應(yīng)用于與收集目的相符或相關(guān)的用途，并將獲得數(shù)據(jù)主體的同意作為例外情形。

國家或區(qū)域立法層面，作為個人數(shù)據(jù)保護的先驅(qū)，歐盟早在1995年頒布的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》(以下簡稱“95指令”)中就明確規(guī)定了同意規(guī)則。95指令列出了六項個人數(shù)據(jù)處理的合法性基礎(chǔ)，并將數(shù)據(jù)主體的同意作為首要基礎(chǔ)，對于同意之外的其他合法性基礎(chǔ)條件的滿足則設(shè)置了更高的要求，嚴格限制了其他合法性規(guī)則的使用。在95指令中，個人數(shù)據(jù)的處理是指針對個人數(shù)據(jù)進行的包括收集、記錄、存儲、使用、披露等所有操作。進言之，95指令所規(guī)定的同意規(guī)則原則上適用于個人數(shù)據(jù)的全生命周期。2000年頒布的《歐盟基本權(quán)利憲章》第八條將個人數(shù)據(jù)保護上升到基本權(quán)利的高度，并再次明確了同意是個人數(shù)據(jù)處理的重要的合法性基礎(chǔ)。同意規(guī)則在個人數(shù)據(jù)保護機制中的地位進一步提升。2016年歐盟頒布了《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，以下簡稱“GDPR”)，GDPR基本沿襲了95指令中的同意規(guī)則。美國方面，美國沒有專門的個人數(shù)據(jù)保護法，也更加重視個人數(shù)據(jù)的流通和利用，因而原則上對于個人數(shù)據(jù)無需獲得數(shù)據(jù)主體的同意即可處理。但對于一些特殊領(lǐng)域或者特定環(huán)節(jié)的個人數(shù)據(jù)處理行為仍要求獲得數(shù)據(jù)主體的同意方可處理。例如1970年頒布的《聯(lián)邦公平信用法》規(guī)定了信用報告機構(gòu)只有接到消費者的書面同意，才能向第三人披露消費者信用報告，但為了消費信用貸款、就業(yè)和承租調(diào)查、保險等相關(guān)業(yè)務(wù)中提供信息除外[3]；將于2018年施行的《兒童在線隱私保護法》明確規(guī)定了網(wǎng)絡(luò)運營商收集處理兒童個人數(shù)據(jù)時應(yīng)當獲得其監(jiān)護人的同意[4]。

從以上可以看出，盡管各國對于同意規(guī)則的規(guī)定略有不同，但整體上看，均從立法上承認了同意規(guī)則在個人數(shù)據(jù)保護方面的重要作用。近年來，隨著大數(shù)據(jù)時代的到來，傳統(tǒng)的同意規(guī)則開始面臨諸多挑戰(zhàn)，各國開始重新反思同意規(guī)則在個人數(shù)據(jù)保護領(lǐng)域的實際效用。2017年加拿大在其發(fā)布的《2016至2017個人信息保護及電子文件法案和隱私法案年度報告》中深刻反思了同意規(guī)則在當下的不足，認為技術(shù)的復(fù)雜性對真正的同意構(gòu)成了挑戰(zhàn)，并提出了新增個人數(shù)據(jù)處理合法性事由，明確絕對不能處理的個人數(shù)據(jù)范疇(即使數(shù)據(jù)主體同意也不可使用)，在同意規(guī)則之外，通過加強政府監(jiān)管和企業(yè)問責(zé)來共同實現(xiàn)個人數(shù)據(jù)保護目的等完善意見[5]。歐盟方面，為彌補傳統(tǒng)同意規(guī)則的不足，GDPR新增了同意可撤回的規(guī)定以及“被遺忘權(quán)”。2017年歐盟第29條數(shù)據(jù)保護工作組發(fā)布了《一般數(shù)據(jù)保護條例下“同意規(guī)則”適用指南》，對有效同意的要素做出了嚴格的限制，明確只有當數(shù)據(jù)主體享有控制力，并且數(shù)據(jù)控制者提供了真實選擇機制的情況下，同意才是個人數(shù)據(jù)處理的合法基礎(chǔ)[6]。美國方面，在OECD《關(guān)于隱私保護與個人數(shù)據(jù)跨界流通的指導(dǎo)方針》修訂過程中，微軟曾組織了一個由隱私專家組成的工作組針對該方針的修訂出具意見稿。關(guān)于知情同意規(guī)則，該意見稿指出數(shù)據(jù)保護責(zé)任應(yīng)當從數(shù)據(jù)主體轉(zhuǎn)移至數(shù)據(jù)控制者，而不應(yīng)當過分關(guān)注知情同意規(guī)則。數(shù)據(jù)控制者應(yīng)對數(shù)據(jù)主體能否合理預(yù)見其數(shù)據(jù)被收集加以評估，以確定是否需要經(jīng)過數(shù)據(jù)主體的同意[7]。

2 個人數(shù)據(jù)保護保護同意規(guī)則的國內(nèi)實踐

相較于歐美，我國個人數(shù)據(jù)保護起步較晚，對于同意規(guī)則的規(guī)定也主要是效仿國際上的做法。從目前我國有關(guān)個人數(shù)據(jù)保護的立法和司法實踐來看，“同意規(guī)則”占據(jù)著舉足輕重的地位。

2.1 立法實踐

2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》明確規(guī)定網(wǎng)絡(luò)服務(wù)提供者收集使用公民個人信息應(yīng)當獲得公民個人的同意。在之后的《消費者權(quán)益保護法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、《征信業(yè)管理條例》、《地圖管理條例》中均針對特定領(lǐng)域的個人數(shù)據(jù)收集使用行為規(guī)定了同意規(guī)則。

2017年施行的《網(wǎng)絡(luò)安全法》以及最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱“兩高解釋”)進一步明確了同意是個人數(shù)據(jù)處理的合法性基礎(chǔ)。其中，兩高解釋對于非法獲取和提供公民個人信息的行為做出了規(guī)定，明確了未經(jīng)數(shù)據(jù)主體的同意收集或者提供公民個人信息的可能構(gòu)成侵犯公民個人信息罪。《網(wǎng)絡(luò)安全法》第二十二條第三款、第四十一條第一款、第四十二條第一款分別對同意規(guī)則做出了規(guī)定。其中第四十一條第一款明確了個人信息收集和使用環(huán)節(jié)應(yīng)當嚴格適用同意規(guī)則，且未規(guī)定任何的例外情形。第四十二條第一款明確了個人數(shù)據(jù)提供環(huán)節(jié)亦應(yīng)當嚴格遵守同意規(guī)則。雖然第四十二條將“經(jīng)過處理無法識別特定個人且不能復(fù)原”的信息排除在同意規(guī)則的適用范圍之外。但根據(jù)個人信息的定義，“經(jīng)過處理無法識別特定個人且不能復(fù)原的”的信息不再屬于個人信息。因此，《網(wǎng)絡(luò)安全法》實際上規(guī)定了對于所有個人信息的收集使用提供等處理行為均應(yīng)當嚴格適用同意規(guī)則。此外，需要注意的是，2014年施行的《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第十二條對個人數(shù)據(jù)的公開行為做出了規(guī)定。該條明確了網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)公開自然人基因信息、病歷資料、健康檢查資料等個人隱私和其他個人信息，造成他人損害的應(yīng)當承擔(dān)侵權(quán)責(zé)任。但規(guī)定了以下例外：(1) 經(jīng)自然人書面同意且在約定范圍內(nèi)公開；(2) 為促進社會公共利益且在必要范圍內(nèi)；(3) 學(xué)校、科研機構(gòu)等基于公共利益為學(xué)術(shù)研究或者統(tǒng)計的目的，經(jīng)自然人書面同意，且公開的方式不足以識別特定自然人；(4) 自然人自行在網(wǎng)絡(luò)上公開的信息或者其他已合法公開的個人信息；(5) 以合法渠道獲取的個人信息；(6) 法律或者行政法規(guī)另有規(guī)定。從該條來看，除了獲得數(shù)據(jù)主體的同意之外，個人數(shù)據(jù)的公開行為至少還有其四項合法性基礎(chǔ)，但位階較高的《網(wǎng)絡(luò)安全法》并未作出類似例外規(guī)定。

綜上，我國“同意規(guī)則”的立法規(guī)范存在以下特點：(1) 數(shù)據(jù)主體的同意是個人數(shù)據(jù)處理的重要合法性基礎(chǔ)，但與國際趨勢不同的是，我國將同意作為個人數(shù)據(jù)處理的唯一的合法性基礎(chǔ)；(2) 對于個人數(shù)據(jù)處理行為的同意是一次性授權(quán)，尚未有關(guān)于撤回同意的規(guī)定；(3) 對于個人數(shù)據(jù)不區(qū)分場景、類別、處理環(huán)節(jié)均要求適用“同意規(guī)則”。

2.2 司法實踐

我國已出現(xiàn)了多起“同意規(guī)則”適用糾紛相關(guān)案例。2014年朱燁訴百度案中，原告朱燁認為百度未經(jīng)其知情同意，記錄和跟蹤了其所搜索的關(guān)鍵詞，并利用記錄的關(guān)鍵詞對其瀏覽的網(wǎng)頁進行廣告投放，侵害了其隱私權(quán)，訴至法院，要求百度停止侵害并賠償精神損失。一審法院認為百度利用cookie技術(shù)收集朱燁信息，并在其不知情和不愿意的情形下進行商業(yè)利用，侵犯了朱燁的隱私權(quán)。二審法院最終認為百度收集的cookie信息并非個人信息，且已經(jīng)征得了朱燁的同意，不屬于侵權(quán)行為，遂撤銷原判，駁回朱燁全部訴求。該案的主要爭議點在于百度收集信息的行為是否應(yīng)當遵守同意規(guī)則以及百度是否已經(jīng)滿足了同意規(guī)則的要求，也導(dǎo)致了一二審截然不同的判決。

2015年周盛春訴阿里案中，原告周盛春訴稱阿里巴巴《手機淘寶——軟件許可使用協(xié)議》中“協(xié)議終止后，阿里巴巴有權(quán)繼續(xù)保留您的信息，但阿里巴巴沒有義務(wù)以任何形式向您提供該等信息”一款未明示信息收集的范圍，違反了《消費者權(quán)益保護法》第二十九條的規(guī)定，應(yīng)予撤銷。另一條款——“對于使用許可軟件時提供的資料及數(shù)據(jù)信息，您授予阿里巴巴及其關(guān)聯(lián)公司獨家的、全球通用的、永久的、免費的許可使用權(quán)利……”是格式合同，侵犯了用戶通信和隱私權(quán)，應(yīng)屬無效條款。法院審理認定上述條款系雙方真實意思表示，內(nèi)容不違反法律、行政法規(guī)的強制性規(guī)定，合法有效，駁回了原告訴求。

2016年新浪訴脈脈反不正當競爭案中，針對Open API開發(fā)合作模式中數(shù)據(jù)收集者如何從第三方合法獲取個人信息的問題，二審法院提出了“用戶授權(quán)”+“平臺授權(quán)”+“用戶授權(quán)”的三重授權(quán)原則，即在Open API開發(fā)合作模式中數(shù)據(jù)提供方向第三方開放數(shù)據(jù)的前提是數(shù)據(jù)提供方取得用戶同意。同時，第三方平臺在使用用戶信息時還應(yīng)當明確告知用戶其使用的目的、方式和范圍，再次取得用戶的同意。三重授權(quán)原則的提出進一步提高了個人數(shù)據(jù)收集過程中的“同意”要求。

從以上案例可以看出，我國相關(guān)司法實踐亦嚴格遵守同意規(guī)則，數(shù)據(jù)處理行為是否獲得了數(shù)據(jù)主體的同意是該行為是否合法的重要評判標準。此外，部分司法案例將同意規(guī)則的要求加以細化和強化。

3 個人數(shù)據(jù)保護“同意規(guī)則”的檢視

總體來說，我國已經(jīng)在立法上確立了比歐美更為嚴格的同意規(guī)則，并在司法實踐中不斷加以落實。隨著大數(shù)據(jù)時代的到來，互聯(lián)網(wǎng)技術(shù)的發(fā)展，同意規(guī)則面臨諸多挑戰(zhàn)。對于數(shù)據(jù)主體而言，不合理的同意規(guī)則不僅不會給數(shù)據(jù)主體帶來保護個人數(shù)據(jù)的效果，還可能會給數(shù)據(jù)主體帶來負擔(dān)。對于網(wǎng)絡(luò)服務(wù)提供者而言，同意規(guī)則是把雙刃劍，既可能成為其免責(zé)的利器也可能為其帶來巨大的合規(guī)風(fēng)險。對于社會而言，不合理的同意規(guī)則也會影響數(shù)據(jù)保護和數(shù)據(jù)利用的平衡，阻礙數(shù)據(jù)紅利的釋放。在各國開始紛紛反思同意規(guī)則之際，我國也亟需對同意規(guī)則進行重新檢視。

3.1 同意效用的局限性

無論是歐盟還是美國，亦或是我們國家，無論是從個人數(shù)據(jù)保護法還是合同法的角度，“同意”均應(yīng)當是建立在知情的基礎(chǔ)之上，以個人自由意愿做出的表示。但現(xiàn)實中，知情的、自由的同意卻很難達到。

首先，同意的前提是信息透明。只有建立在信息透明的基礎(chǔ)上，數(shù)據(jù)主體的同意才是有意義的。在實踐中，個人數(shù)據(jù)處理的透明度往往通過隱私政策或服務(wù)協(xié)議實現(xiàn)。但冗長的、語言生澀難懂的隱私政策或協(xié)議并不能實現(xiàn)真正的透明。此外，無論是在1980年 OECD頒布的《關(guān)于隱私保護與個人數(shù)據(jù)跨界流通的指導(dǎo)方針》時期，還是歐盟95指令時期，相較于大數(shù)據(jù)時代，彼時的個人數(shù)據(jù)收集使用行為不多，應(yīng)用場景較少，在該環(huán)境下知情同意原則還能起到預(yù)期的作用。從透明度上看，應(yīng)用場景和技術(shù)相對不復(fù)雜，使得數(shù)據(jù)控制者還能夠通過隱私政策或者其他方式保證透明度。但是，到了大數(shù)據(jù)時代，收集和使用的個人數(shù)據(jù)急速增長，數(shù)據(jù)應(yīng)用場景也不斷增多，數(shù)據(jù)處理技術(shù)也是日新月異，這些根本性的變革導(dǎo)致了一個簡單的隱私政策并不能說明數(shù)據(jù)收集和使用的情況。在這種情形下，很難保障數(shù)據(jù)主體做出的同意的意思表示是建立在充分知曉和理解其行為意義的情況下做出的。

其次，同意應(yīng)當建立在選擇自由的基礎(chǔ)上。但在諸多場景中，數(shù)據(jù)主體和數(shù)據(jù)收集者或處理者地位的不平等性導(dǎo)致同意很難甚至不可能自由做出。例如網(wǎng)絡(luò)服務(wù)提供者提供的隱私政策或者其他選擇機制表面上賦予了數(shù)據(jù)主體以選擇權(quán)，實際上數(shù)據(jù)主體并沒有多少選擇的空間。隨著信息化的進一步發(fā)展，越來越多的人依賴網(wǎng)絡(luò)服務(wù)，在這種背景下，數(shù)據(jù)主體要使用網(wǎng)絡(luò)服務(wù)或產(chǎn)品，除了同意別無選擇[6]。在就業(yè)場景中，鑒于雇傭關(guān)系的存在，雇員很難根據(jù)自己的意愿選擇拒絕雇主對其個人數(shù)據(jù)處理的要求，而無需擔(dān)心相應(yīng)的負面影響[9]。鑒于此，在許多情形下同意流于形式，而失去了實質(zhì)意義。

3.2 絕對同意的不可能性

在適當?shù)膱鼍爸羞m用“同意”規(guī)則對于保護個人數(shù)據(jù)至關(guān)重要。但是在構(gòu)成有效同意的要素不太可能存在的情況下，將削弱數(shù)據(jù)主體在實踐中的地位。隨著信息技術(shù)的發(fā)展以及數(shù)據(jù)應(yīng)用場景的增加，絕對的同意在現(xiàn)實中并不可能[9]。

首先，在脫離初始方的場景下，數(shù)據(jù)控制者如何征得數(shù)據(jù)主體的同意？例如如何要求搜索引擎在收集處理個人數(shù)據(jù)時征求數(shù)據(jù)主體的同意？如何在大數(shù)據(jù)分析的場景下要求數(shù)據(jù)處理者獲得數(shù)據(jù)主體的同意[10]？

其次，隨著數(shù)據(jù)收集、處理方式日趨復(fù)雜化。在多數(shù)情況下，商業(yè)模式、供應(yīng)商關(guān)系、技術(shù)應(yīng)用的復(fù)雜性已經(jīng)超過了個體的理解和預(yù)期能力。數(shù)據(jù)主體在表示“同意”意愿時，實際上很難預(yù)料到當時的“同意”行為究竟會對其帶來何種程度的影響[12]。在此種情況下，個體很難具備通過主動選擇進行信息決策控制使用和共享的能力。此外，從數(shù)據(jù)收集者角度看，信息技術(shù)日新月異，數(shù)據(jù)收集先于目的已經(jīng)成為常態(tài)，意味著在一些情況下，數(shù)據(jù)控制者在收集數(shù)據(jù)時對于數(shù)據(jù)收集的目的和應(yīng)用也是難以確定的。對于數(shù)據(jù)主體而言更是增加了同意內(nèi)容和后果的不可知性。從這一層面來看，在諸多場景中，絕對的同意并不可能。

3.3 數(shù)據(jù)利用對于同意規(guī)則的沖擊性

隨著大數(shù)據(jù)時代的到來，大數(shù)據(jù)在推動經(jīng)濟轉(zhuǎn)型創(chuàng)新、重塑國家競爭優(yōu)勢、提升政府治理能力等多領(lǐng)域發(fā)揮著巨大作用，數(shù)據(jù)資源日益成為人類社會的生產(chǎn)要素和國家基礎(chǔ)性戰(zhàn)略資源。在全球范圍內(nèi)，美歐等發(fā)達國家相繼制定實施大數(shù)據(jù)戰(zhàn)略文件，大力推動大數(shù)據(jù)發(fā)展和應(yīng)用。我國也先后頒布了《國務(wù)院關(guān)于印發(fā)促進大數(shù)據(jù)發(fā)展行動綱要的通知》、《中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》等戰(zhàn)略性文件，明確提出要全面推動大數(shù)據(jù)發(fā)展和應(yīng)用，釋放數(shù)據(jù)紅利。

在此背景下，個人數(shù)據(jù)作為大數(shù)據(jù)的重要基礎(chǔ)資源，同樣具有重大的商業(yè)價值和社會價值。因此，在個人信息保護立法過程中，不同于傳統(tǒng)隱私權(quán)從個體出發(fā)為個體提供單一向度的權(quán)利保護，個人信息需要從保護和利用兩個角度兼得的視角加以考量[11]。這也符合目前國際上個人數(shù)據(jù)保護的立法趨勢。

與促進數(shù)據(jù)利用理念相悖的是，過分嚴苛的、不加區(qū)分的適用同意規(guī)則將大大增加數(shù)據(jù)收集處理的成本以及合規(guī)風(fēng)險，阻礙個人數(shù)據(jù)的流通以及數(shù)據(jù)利用。因此，為促進個人數(shù)據(jù)的價值實現(xiàn)更高層次的釋放，傳統(tǒng)的同意規(guī)則需要有適度的緩和。

4 個人數(shù)據(jù)保護“同意規(guī)則”的修正

需要注意的是，雖然同意機制在當下產(chǎn)生了諸多問題，對其進行重新審視是必要的，但反思的結(jié)果不能是矯枉過正。個人數(shù)據(jù)保護，在規(guī)則設(shè)計方面，除同意規(guī)則之外，還有最小化原則、目的限制原則、公開原則、數(shù)據(jù)質(zhì)量原則等，多種原則形成有機整體共同為個人數(shù)據(jù)保護保駕護航；在法律規(guī)范模式方面，不能完全依靠個人私權(quán)的模式，還需要公權(quán)力的介入，加強對數(shù)據(jù)處理行為的監(jiān)管。在保護方式方面，僅僅依靠法律并不能充分解決個人數(shù)據(jù)保護的問題，還需要技術(shù)上的努力，法律與技術(shù)結(jié)合共同為個人數(shù)據(jù)提供保護。據(jù)此可以看出，個人數(shù)據(jù)保護從來、也不應(yīng)當只是同意規(guī)則的問題。因此不能僅僅因為同意規(guī)則不能為個人數(shù)據(jù)提供充分的保護就否定其存在的價值。

目前，無論是從個人自決還是風(fēng)險控制的角度出發(fā)，同意規(guī)則仍應(yīng)當是個人數(shù)據(jù)保護的重要機制，只是傳統(tǒng)的同意機制在大數(shù)據(jù)時代面臨著新的挑戰(zhàn)。在新的社會背景下，我們需要對同意規(guī)則進行修正，以更好地發(fā)揮其對個人數(shù)據(jù)保護的作用，同時也有效調(diào)和個人數(shù)據(jù)利用與保護之間的沖突。目前我國正在積極推進個人信息保護法的立法工作，鑒于同意規(guī)則面臨的諸多問題，在未來的個人信息保護法中“同意規(guī)則”可以從以下幾個方面進行修正和完善。

4.1 明確同意并非個人數(shù)據(jù)處理的唯一合法性基礎(chǔ)

首先，將同意作為唯一合法性基礎(chǔ)不符合國際上的通行做法。歐盟95指在令頒布之前的90年版本的草案中，曾將同意作為個人數(shù)據(jù)處理的唯一的合法性基礎(chǔ)。但遭到了眾多反對。最終在95版本中，于同意之外增加了“為企業(yè)追求合法利益所必須”、“為保護數(shù)據(jù)主體的重大利益所必須”、“為履行合同所必須”、“為履行法定義務(wù)所必須”、“為保護公共利益所必須”等五個合法性基礎(chǔ)。在之后頒布的GDPR中仍延續(xù)了上述做法。OECD《關(guān)于隱私保護與個人數(shù)據(jù)跨界流通的指導(dǎo)方針》也并未將數(shù)據(jù)主體的同意作為必然要求，而是僅要求在“適宜的情況下”應(yīng)當獲得數(shù)據(jù)主體的同意。

其次，將同意作為唯一合法性基礎(chǔ)不利于個人數(shù)據(jù)保護和利用的有效平衡。從上文對于同意規(guī)則的檢視可以看出，同意并不總是個人數(shù)據(jù)保護的最佳機制，例如在真實的同意基本不可能實現(xiàn)的場景中，同意不僅不能為數(shù)據(jù)主體帶來保護，甚至可能帶來額外的負擔(dān)。大數(shù)據(jù)時代，對于個人數(shù)據(jù)開發(fā)利用的需求進一步加大，在有些場景中，征求數(shù)據(jù)主體的同意需要付出高昂的成本甚至技術(shù)上不可能。將同意作個人數(shù)據(jù)處理的唯一的合法性基礎(chǔ)不符合經(jīng)濟政策的考量。

再者，有些領(lǐng)域并不適宜將數(shù)據(jù)主體的同意作為個人數(shù)據(jù)處理的合法性基礎(chǔ)，例如在征信行業(yè)中，如果所有征信信息的收集使用需要獲得數(shù)據(jù)主體的同意，極有可能會導(dǎo)致征信數(shù)據(jù)不能反映數(shù)據(jù)主體真實的信用情況。

因此，在數(shù)據(jù)主體的同意之外，我國可以參考歐盟95指令、GDPR的做法，將企業(yè)追求的合法利益，數(shù)據(jù)主體的重大利益，合同履行利益、社會公共利益等也納入個人數(shù)據(jù)處理合法性基礎(chǔ)加以考量。以緩解同意規(guī)則本身的局限性，有效平衡個人數(shù)據(jù)利用和個人數(shù)據(jù)保護的沖突，實現(xiàn)雙贏。

4.2 明確同意的可撤回性

鑒于信息技術(shù)的飛速發(fā)展，數(shù)據(jù)利用場景的日趨多元，數(shù)據(jù)主體在做出同意時很難準確預(yù)測其同意的后果。因此，在大數(shù)據(jù)時代，數(shù)據(jù)主體對于數(shù)據(jù)處理行為的同意表示應(yīng)當可以撤回，以最大限度地保障其同意的真實性，這也符合個人數(shù)據(jù)保護原則中的“語境保全”原則。歐盟GDPR就明確規(guī)定了數(shù)據(jù)主體有權(quán)在任何時候撤回其同意。

4.3 明確同意規(guī)則的區(qū)分適用

鑒于同意規(guī)則效用的局限性、絕對同意的不可能性以及個人數(shù)據(jù)利用對于個人數(shù)據(jù)保護的沖擊性，在同意規(guī)則適用時，應(yīng)當根據(jù)綜合考慮個人數(shù)據(jù)可識別風(fēng)險的高低、敏感度層級、公開性程度以及所處的數(shù)據(jù)處理環(huán)節(jié)等因素，加以區(qū)分適用。

4.3.1 同意規(guī)則在已識別與可識別個人數(shù)據(jù)中的區(qū)分適用

《網(wǎng)絡(luò)安全法》規(guī)定，“個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！毒W(wǎng)絡(luò)安全法》之外，我國諸多規(guī)范對個人信息的概念做出了界定。例如最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕)指出，“公民個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。工業(yè)和信息化部發(fā)布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第四條規(guī)定，本規(guī)定所稱用戶個人信息，是指電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點等信息。

從諸多定義可以看出，我國目前對于個人信息的界定較為統(tǒng)一，采用了歐盟的傳統(tǒng)做法，將可識別性作為個人數(shù)據(jù)界定的要素。個人數(shù)據(jù)包括能夠單獨識別自然人的個人數(shù)據(jù)和需要與其他信息結(jié)合才能識別自然人的個人數(shù)據(jù)兩種。對應(yīng)歐盟法上的已識別個人數(shù)據(jù)和可識別個人數(shù)據(jù)。目前我國對于這兩種個人數(shù)據(jù)采用的是同等保護模式，在同意規(guī)則的適用上亦是如此。

事實上，已經(jīng)識別的個人數(shù)據(jù)和可識別的個人數(shù)據(jù)對數(shù)據(jù)主體的影響并不相同。前者具有較高的識別因子，能夠直接指向數(shù)據(jù)主體，而后者僅僅具有識別的可能性，能否識別與具體的場景、當時的技術(shù)水平等外部因素密切相關(guān)。因此，二者給數(shù)據(jù)主體帶來的風(fēng)險是不同的，在數(shù)據(jù)保護水平和方式上應(yīng)當區(qū)別對待。體現(xiàn)在同意規(guī)則的適用方面，對于可識別的個人數(shù)據(jù)，不適宜適用與已識別的個人數(shù)據(jù)同等的要求，甚至不適宜適用同意規(guī)則：首先，可識別的個人數(shù)據(jù)給個人帶來的風(fēng)險較小，在規(guī)則制定上應(yīng)傾向于數(shù)據(jù)利用。其次，對于可識別的個人數(shù)據(jù)適用同意規(guī)則，效果可能會適得其反。因為對于僅具有可識別性的個人數(shù)據(jù)，如果要求數(shù)據(jù)控制者或處理者征求數(shù)據(jù)主體的同意，則意味著義務(wù)主體需要去積極識別該個人數(shù)據(jù)以將數(shù)據(jù)的使用情況告知數(shù)據(jù)主體并征得其同意。此種規(guī)則將促使大量僅具有識別性的個人數(shù)據(jù)變成已識別的個人數(shù)據(jù)，與數(shù)據(jù)保護的初衷相悖[12]。綜上，對于可識別的個人數(shù)據(jù)的保護方式更多的應(yīng)考慮通過安全保障原則、數(shù)據(jù)質(zhì)量原則等其他數(shù)據(jù)保護原則加以規(guī)范，而不是通過同意規(guī)則。

4.3.2 同意規(guī)則在一般性與敏感性個人數(shù)據(jù)中的區(qū)分適用

根據(jù)敏感度層級的不同，個人數(shù)據(jù)可劃分為一般個人數(shù)據(jù)和敏感個人數(shù)據(jù)。數(shù)據(jù)的敏感性程度不同，數(shù)據(jù)處理行為對于數(shù)據(jù)主體的影響也有所不同，對應(yīng)的在個人數(shù)據(jù)的保護和利用規(guī)則上也應(yīng)當有所不同。

對敏感個人數(shù)據(jù)加以特殊保護是目前國際上的通行做法。體現(xiàn)在同意規(guī)則的適用上，對敏感個人數(shù)據(jù)的收集或使用在征求數(shù)據(jù)主體的同意時，應(yīng)當遵守更高規(guī)則的要求。歐盟GDPR要求敏感性個人數(shù)據(jù)的處理要獲得數(shù)據(jù)主體明示(explicit)同意。新加坡2016年新生效的《個人數(shù)據(jù)保護法》規(guī)定對于一般數(shù)據(jù)獲得數(shù)據(jù)主體的同意即可，對于敏感個人數(shù)據(jù)則須獲得數(shù)據(jù)主體的書面同意。目前我國法律法規(guī)對于同意規(guī)則的適用上尚未明確區(qū)分一般個人信息和敏感個人信息，僅在國家標準《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》、《信息安全技術(shù)個人信息安全規(guī)范》中加以了區(qū)分。

未來我國在同意規(guī)則的設(shè)計中，在區(qū)分個人敏感數(shù)據(jù)與一般數(shù)據(jù)的基礎(chǔ)上，可以通過強化對前者的保護和強化對后者的利用，調(diào)和個人數(shù)據(jù)保護與利用的需求沖突，實現(xiàn)利益平衡[11]。例如在同意的方式上，要求同意必須是明示的，必須是選擇進入模式，技術(shù)或條件允許的話，通過即時的、單獨的方式征求數(shù)據(jù)主體的同意，而不是通過冗長的隱私政策征求數(shù)據(jù)主體的同意。對于一般個人數(shù)據(jù)，則傾向于加強數(shù)據(jù)利用，在同意的要求上，可以設(shè)置較低的標準，例如可以使用選擇退出模式，統(tǒng)一授權(quán)模式等。甚至，在規(guī)則設(shè)計上可以進一步給一般個人數(shù)據(jù)的利用松綁，無需獲得數(shù)據(jù)主體的同意而是通過公權(quán)力加強監(jiān)管的模式對其加以保護。

4.3.3 同意規(guī)則在公開和未公開個人數(shù)據(jù)中的區(qū)分適用

根據(jù)個人數(shù)據(jù)的公開程度，個人數(shù)據(jù)的公開包括完全公開、半公開和不公開。完全公開是指個人信息對公眾公開，任何人均可獲取該個人數(shù)據(jù)。半公開則是指個人信息對部分人公開，僅有相關(guān)權(quán)限或者特定的人才可以看到或收集。不公開則是指個人數(shù)據(jù)對除了數(shù)據(jù)主體以外的公眾均不公開。

對于已經(jīng)完全公開的個人數(shù)據(jù)要求獲取數(shù)據(jù)主體的同意在許多情形下既不現(xiàn)實也無必要。例如，對于使用合法的新聞報道中的個人數(shù)據(jù)無需征求數(shù)據(jù)主體的同意。對于半公開的個人數(shù)據(jù)，是否需要征求數(shù)據(jù)主體的同意應(yīng)當區(qū)別對待。主要原因在于，數(shù)據(jù)主體同意在此語境下使用個人數(shù)據(jù)，不代表同意在另一種語境下使用。因此，對于半公開的個人數(shù)據(jù)是否需要征求數(shù)據(jù)主體的同意需要中和考慮數(shù)據(jù)收集者的身份(是否屬于半公開的對象)、數(shù)據(jù)使用的目的(是否仍在原語境中使用)等。對于尚未公開的個人數(shù)據(jù)則需要在同等條件下，遵循更高要求的同意要求。

4.3.4 同意規(guī)則在不同數(shù)據(jù)處理階段的區(qū)分適用

廣義的個人數(shù)據(jù)處理行為包括收集、使用、存儲和轉(zhuǎn)移、披露等各個環(huán)節(jié)。在數(shù)據(jù)處理的不同環(huán)節(jié)，數(shù)據(jù)主體對其個人數(shù)據(jù)的控制力并不相同，這也影響著同意規(guī)則能否真正實現(xiàn)的可能性。數(shù)據(jù)收集環(huán)節(jié)，數(shù)據(jù)主體與數(shù)據(jù)收集者直接交互，此種場景下，同意機制的落實相對簡單。在數(shù)據(jù)收集之后的使用、利用等環(huán)節(jié)，實際上個人數(shù)據(jù)已經(jīng)脫離了數(shù)據(jù)主體的控制，同意實際上很難實現(xiàn)，甚至在很多場景下，同意根本就是不可能實現(xiàn)或者實現(xiàn)的成本非常高昂。在這些情況下，同意規(guī)則或許并不是個人數(shù)據(jù)保護的最佳模式，而應(yīng)當更多地考慮通過加強對數(shù)據(jù)處理行為的監(jiān)管機制，例如加強數(shù)據(jù)處理者的安全保障義務(wù)，建立風(fēng)險評估機制，加強責(zé)任問責(zé)制等來實現(xiàn)個人數(shù)據(jù)保護的目的。從這個角度看，在考慮是否應(yīng)當適用同意規(guī)則時，數(shù)據(jù)處理階段應(yīng)當作為一個重要的考量因素。

5 結(jié) 語

目前，我國已經(jīng)在立法上確立了比歐美更為嚴格的同意規(guī)則，并在司法實踐中不斷加以落實。我國“同意規(guī)則”的立法規(guī)范存在三大特點：(1) 數(shù)據(jù)主體的同意是個人數(shù)據(jù)處理的重要且唯一的合法性基礎(chǔ)；(2) 對于個人數(shù)據(jù)處理行為的同意是一次性授權(quán)，尚未有關(guān)于撤回同意的規(guī)定；(3) 對于個人數(shù)據(jù)不區(qū)分場景、類別、處理環(huán)節(jié)均要求適用“同意規(guī)則”。我國相關(guān)司法實踐亦嚴格遵守同意規(guī)則，數(shù)據(jù)處理行為是否獲得了數(shù)據(jù)主體的同意是該行為是否合法的重要評判標準。

與國際層面面臨的挑戰(zhàn)和困境相似，我國個人數(shù)據(jù)保護的“同意規(guī)則”面臨三大挑戰(zhàn)：同意效用存在局限性，建立在知情的、自由的同意很難達到；絕對同意在諸多場景中不可能實現(xiàn)；個人數(shù)據(jù)利用成為個人數(shù)據(jù)立法的一個重要向度，不科學(xué)的同意規(guī)則的設(shè)計將會阻礙個人數(shù)據(jù)的流通以及數(shù)據(jù)利用。

雖然同意機制在我國當下實踐中產(chǎn)生了諸多問題，但從現(xiàn)有立法體系和實施環(huán)境考察，其仍是目前我國個人數(shù)據(jù)保護的重要機制，本文建議從三大方面進行修正和完善：首先，明確同意并非個人數(shù)據(jù)處理的唯一的合法性基礎(chǔ)。在數(shù)據(jù)主體的同意之外，我國可以參考95指令、GDPR的做法，將企業(yè)追求的合法利益、數(shù)據(jù)主體的重大利益、合同履行利益、社會公共利益等也納入個人數(shù)據(jù)處理合法性基礎(chǔ)加以考量。其次，明確同意的可撤回性，最大限度地保障數(shù)據(jù)主體同意的真實性。最后，明確同意規(guī)則的區(qū)分適用。具體包括：區(qū)分同意規(guī)則在已識別與可識別個人數(shù)據(jù)中的適用、一般性與敏感性個人數(shù)據(jù)中的適用、公開與未公開個人數(shù)據(jù)中的適用以及不同數(shù)據(jù)處理階段的適用。