陸 青

隨著大數(shù)據(jù)時(shí)代的到來，個(gè)人信息的保護(hù)問題引起了人們普遍關(guān)注。對(duì)此，《民法總則》第110條規(guī)定：自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息，但對(duì)何為“依法取得”和“非法”并未作直接規(guī)定。而在此之前出臺(tái)的一系列規(guī)范，如全國人大常委會(huì)2012年通過的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條，2013年修正的《消費(fèi)者權(quán)益保護(hù)法》第29條、工信部2013年通過的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》（以下簡稱《個(gè)人信息保護(hù)規(guī)定》）第9條，2014年最高人民法院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》（以下簡稱《網(wǎng)絡(luò)侵權(quán)司法解釋》）第12條，2016年全國人大常委會(huì)通過的《網(wǎng)絡(luò)安全法》第41、42條，均提及在收集、使用或利用個(gè)人信息時(shí)原則上須經(jīng)個(gè)人（用戶）同意。2013年工信部實(shí)施的首個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡稱《指南》），2017年國家標(biāo)準(zhǔn)化管理委員會(huì)頒布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡稱《規(guī)范》）則對(duì)同意規(guī)則有豐富細(xì)致的表述。但必須說明的是，不同公私法規(guī)范下的同意規(guī)則并不完全一致。比如，《網(wǎng)絡(luò)安全法》第42條第1款明確提到未經(jīng)被收集人同意，不得向他人提供個(gè)人信息，除非是經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的。《網(wǎng)絡(luò)侵權(quán)司法解釋》第12條提到網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)公開個(gè)人隱私和其他個(gè)人信息，造成他人損害的原則上應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。在免責(zé)規(guī)定中，僅第1項(xiàng)和第3項(xiàng)中提到須經(jīng)“書面同意”，而第2、4、5、6項(xiàng)均未提及公開個(gè)人信息須經(jīng)個(gè)人同意或書面同意。

一、問題的提出

綜合比照前述法律文件，存在以下問題值得深入研究。第一，前述各條文所稱“同意”究竟屬于何種法律性質(zhì)，其與收集、使用個(gè)人信息的“雙方的約定”是否存在本質(zhì)差別。第二，在同意的具體規(guī)范要求上，同意的形式和內(nèi)容均有何種限制要求。比如，收集、使用個(gè)人信息是否均須征得個(gè)人/消費(fèi)者/用戶的知情并同意，同意是否或者何種情況下必須以明示、書面方式作出；“收集、使用個(gè)人信息”是否也涵蓋“向他人提供”“公開”個(gè)人信息等情況。第三，同意規(guī)則是否應(yīng)有例外，如有，包括哪些情形。

前述問題涉及對(duì)個(gè)人信息保護(hù)中同意規(guī)則的規(guī)范構(gòu)造，理論爭議頗多。近年來，更有學(xué)者從同意基礎(chǔ)的理論根基不牢固、同意缺乏必要性和真實(shí)性、同意基礎(chǔ)不符合經(jīng)濟(jì)考量、例外規(guī)則的大量存在削弱了同意基礎(chǔ)的效力等角度對(duì)同意作為個(gè)人信息處理正當(dāng)性基礎(chǔ)提出了深度質(zhì)疑[1]（P128-132）。不過，在筆者看來，設(shè)置同意規(guī)則的根本目的在于保護(hù)個(gè)人對(duì)其信息的自決權(quán)益，以最大程度地捍衛(wèi)個(gè)人尊嚴(yán)和行動(dòng)自由。能不能行使自己的權(quán)利和是否享有該權(quán)利是兩回事。對(duì)于個(gè)人信息的控制能力，我們不能簡單地理解為數(shù)據(jù)主體在事實(shí)層面的實(shí)際控制力。這種控制力，恰恰體現(xiàn)在法律對(duì)數(shù)據(jù)主體所賦予的權(quán)利以及配套的保護(hù)和救濟(jì)措施之上。從存在大量同意規(guī)則的例外這一點(diǎn)上，并不能當(dāng)然地得出同意不能作為合法性基礎(chǔ)的結(jié)論，毋寧是提醒我們要關(guān)注個(gè)人信息保護(hù)和數(shù)據(jù)促進(jìn)利用，私人權(quán)利和公共利益之間的沖突和平衡問題，從而建構(gòu)更為彈性合理的規(guī)范機(jī)制。更何況，考慮到我國現(xiàn)行法上的制度安排，如何科學(xué)建構(gòu)同意規(guī)則的規(guī)范體系顯然是更為現(xiàn)實(shí)和迫切的話題。無獨(dú)有偶，在2018年5月生效的歐盟《一般數(shù)據(jù)保護(hù)條例》（以下簡稱《條例》）中，同樣以用戶同意作為首要的合法性基礎(chǔ)來建構(gòu)個(gè)人數(shù)據(jù)保護(hù)的一般規(guī)則[2]（P47-49）。

基于此，筆者將結(jié)合同意的法律性質(zhì)、規(guī)范要求和例外制度設(shè)計(jì)三方面，結(jié)合比較法經(jīng)驗(yàn)，審視本國法上“同意規(guī)則”的規(guī)范構(gòu)造。須補(bǔ)充說明的是，從個(gè)人信息權(quán)益保護(hù)的角度，本文旨在從私法層面對(duì)同意的法律性質(zhì)的探討出發(fā)去勾勒同意規(guī)則的規(guī)范內(nèi)容，但分析的內(nèi)容并不局限于私法性質(zhì)的規(guī)范層面，目的在于最大限度地對(duì)現(xiàn)行法上的多元規(guī)范，甚至包括相關(guān)國家標(biāo)準(zhǔn)進(jìn)行梳理、評(píng)價(jià)。

二、“同意”的法律性質(zhì)

在我國法上，鮮有學(xué)者對(duì)個(gè)人信息使用中的“同意”的法律性質(zhì)作出專門討論。而在相關(guān)規(guī)范表述上，“同意”和“約定”時(shí)而分列，時(shí)而合并。比如，在《消費(fèi)者權(quán)益保護(hù)法》第 29條第 1款中，第一句提到“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)……并經(jīng)消費(fèi)者同意”，第二句提到“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息……不得違反法律、法規(guī)的規(guī)定或雙方的約定收集、使用信息”，似乎有意將同意收集、使用和按照雙方的約定收集、使用信息區(qū)別開來（類似的表述方式也可見《網(wǎng)絡(luò)安全法》第41條第1款和第 2款）。而最高人民法院《網(wǎng)絡(luò)侵權(quán)司法解釋》第12條中則使用“經(jīng)自然人書面同意且在約定范圍內(nèi)公開”的表述（雖然未采用更易理解為合同性質(zhì)的“雙方的約定”的表述）。那么，同意行為與“約定”是否有規(guī)范差異，其是否屬于一個(gè)相對(duì)獨(dú)立的法律行為？需要說明的是，明確同意的法律性質(zhì)，不僅關(guān)涉同意能力上的要求和未成年人保護(hù)，還與該種同意可否撤銷、撤回等問題密切相關(guān)。

對(duì)此解釋上的困惑，筆者認(rèn)為，首先需要對(duì)現(xiàn)行民法上“同意”一詞的規(guī)范表達(dá)進(jìn)行體系性的梳理。具體來說，民法上關(guān)于“同意”一詞存在多種用法，具體包括法定代理人同意、擔(dān)任監(jiān)護(hù)人所需機(jī)關(guān)同意、合同權(quán)利變動(dòng)時(shí)須經(jīng)對(duì)方當(dāng)事人同意、對(duì)合同中承諾的界定、物權(quán)處分上的同意、軍婚離婚的同意、以營利為目的使用肖像的同意、醫(yī)療行為中患者與近親屬的知情同意、公開病例資料和隱私的同意等。不同的同意規(guī)則，針對(duì)的內(nèi)容各不相同，有的涉及身份關(guān)系，有的涉及財(cái)產(chǎn)關(guān)系，有的處在合同關(guān)系之中，有的則并無合同關(guān)系，因此必須結(jié)合同意規(guī)范的具體情境判斷其法律性質(zhì)。而最后三項(xiàng)同意規(guī)則與本文討論主題關(guān)系最為密切，須作進(jìn)一步說明。針對(duì)以營利為目的使用肖像的同意在《民法通則》第100條中有所體現(xiàn)，該條間接肯定了在經(jīng)得同意下人格權(quán)商業(yè)化利用的可能。對(duì)于這種商業(yè)化利用，有學(xué)者認(rèn)為，其并非在人格權(quán)之外創(chuàng)設(shè)一項(xiàng)獨(dú)立的權(quán)利，而是基于人格權(quán)可能包含的財(cái)產(chǎn)利益，將包含于權(quán)利客體當(dāng)中的使用價(jià)值，通過讓位使用等方式轉(zhuǎn)化為具有流通性財(cái)產(chǎn)利益，進(jìn)而為權(quán)利人現(xiàn)實(shí)享有[3]（P11）。盡管該條并未明確這種商業(yè)化利用的方式（有償無償，訂立或不訂立合同），但可以肯定的是，法律對(duì)人格權(quán)商業(yè)化利用可能性的確認(rèn)，主要集中在促進(jìn)人格權(quán)權(quán)能由消極向積極擴(kuò)張上，即從消極對(duì)抗外來侵?jǐn)_轉(zhuǎn)向?qū)θ烁褚氐姆e極利用。這就意味著，肖像權(quán)人對(duì)他人商業(yè)利用的同意，并不僅僅限制于對(duì)自身權(quán)利的消極保護(hù)，還包括通過合同授權(quán)許可使用其肖像中所承載的財(cái)產(chǎn)性要素。因此，此處的同意既可能構(gòu)成合同等交易行為的內(nèi)容，也可以是單純表達(dá)對(duì)他人商業(yè)利用不法性的排除，分別體現(xiàn)了權(quán)利人積極和消極的控制。針對(duì)醫(yī)療行為中的知情同意在《侵權(quán)責(zé)任法》第55條中有所體現(xiàn)。該條并未籠統(tǒng)地規(guī)定所有的診療活動(dòng)都需要經(jīng)過患者同意，而是區(qū)分了兩種不同的類型：就病情和醫(yī)療措施，醫(yī)務(wù)人員僅有告知義務(wù)，而需要實(shí)施手術(shù)、特殊檢查、特殊治療的，醫(yī)務(wù)人員不僅需要告知，還必須得到患者或近親屬的書面同意。該條中的“同意”，顯然并不涉及人格要素的積極利用，而是在消極控制層面排除了醫(yī)務(wù)人員行為的不法性。學(xué)理上將這里的“同意”作為侵權(quán)法上的免責(zé)事由歸入“受害人同意”的范疇，在構(gòu)成要件上包括必須有明確具體的內(nèi)容，受害人須具有同意能力，同意必須真實(shí)自愿，加害人必須盡到充分的告知說明義務(wù)，不得違反法律的強(qiáng)制性、禁止性規(guī)定以及公共秩序、善良風(fēng)俗。在同意能力的要求上，學(xué)者明確指出，此種“同意能力不同于行為能力。在法律行為制度中，為了維護(hù)交易安全而要求從事法律行為的當(dāng)事人必須具備行為能力。但是，受害人的同意是其對(duì)自己權(quán)利的處分，因此不能完全適用民法中關(guān)于行為能力的規(guī)定。德國民法通說認(rèn)為，受害人的同意能力不能以有行為能力作為判斷標(biāo)準(zhǔn)，應(yīng)依據(jù)個(gè)別案件中受害人的識(shí)別能力作為標(biāo)準(zhǔn)?！恍┲卮笫中g(shù)如器官切除手術(shù)，則無行為能力人或限制行為能力人沒有同意能力，必須經(jīng)過法定代理人的允許”[4]（P304）。此處對(duì)當(dāng)事人同意能力的要求并無絕對(duì)的年齡限制，而是根據(jù)所涉醫(yī)療行為對(duì)身體的介入程度來具體判斷當(dāng)事人對(duì)行為后果的識(shí)別能力；關(guān)于公開病例資料和隱私的“同意”，在《侵權(quán)責(zé)任法》第62條有所體現(xiàn)。從內(nèi)容上，該條僅限于規(guī)范相關(guān)個(gè)人信息的公開問題。此處的同意在本質(zhì)上涉及主體對(duì)其個(gè)人人格要素的消極控制，即允許個(gè)人自由地決定如何處理自己的身體及相關(guān)信息，進(jìn)而以同意來排除他人相關(guān)處理行為的不法性。

前述分析可以為我們研究個(gè)人信息保護(hù)上的同意性質(zhì)提供一些規(guī)范思路：第一，個(gè)人信息既存在消極防御的問題，也存在積極利用的問題。相應(yīng)的，此種同意也必須結(jié)合具體語境判斷其性質(zhì)：在排除他人使用、公開個(gè)人信息的不法性層面，權(quán)利人同意無須具備行為能力；而在積極授權(quán)他人商業(yè)利用個(gè)人信息時(shí)，同意可能成為相關(guān)合同給付內(nèi)容的一部分，因此當(dāng)事人須具備相應(yīng)的行為能力。如此理解，也符合《消費(fèi)者權(quán)益保護(hù)法》和《網(wǎng)絡(luò)安全法》將同意和“雙方的約定”分別規(guī)定的文義結(jié)構(gòu)。第二，從前述關(guān)于醫(yī)療行為同意問題的討論可知，若干預(yù)身體的行為，除涉及重大手術(shù)須經(jīng)法定代理人同意外，原則上無須具備行為能力。那么，舉重以明輕，在涉及與人身關(guān)系緊密程度往往更弱的個(gè)人信息問題上，消極同意的作出同樣無須具備行為能力，而只須考察其是否具備相應(yīng)的意思能力。第三，在存在醫(yī)療合同關(guān)系的場合，前述《侵權(quán)責(zé)任法》第 62條規(guī)定：病歷資料和其他隱私信息的公開，必須經(jīng)過患者同意。這意味著，即使當(dāng)事人之間存在合同關(guān)系，對(duì)個(gè)人信息處理上的同意依然具有獨(dú)立的規(guī)范意義。換句話說，除非明確約定或者基于相關(guān)的附隨義務(wù)，否則存在合同關(guān)系本身并不當(dāng)然地意味著在對(duì)當(dāng)事人個(gè)人信息處理的同意。

進(jìn)一步需要說明的是，傳統(tǒng)民法上區(qū)分以意思表示為核心要素的法律行為和作為意的表達(dá)的準(zhǔn)法律行為。既然在消極防御層面，信息主體的同意并不構(gòu)成法律行為，因此不乏學(xué)者將此種同意行為界定為準(zhǔn)法律行為的性質(zhì)，強(qiáng)調(diào)權(quán)利人的同意并非直接實(shí)現(xiàn)其所欲實(shí)現(xiàn)的特定法律效果。同意雖然必須依靠當(dāng)事人意愿的表達(dá)，但其之所以能產(chǎn)生排除他人行為不法性的效果，乃是基于法律的直接規(guī)定。由此也可以解釋，為何信息主體表達(dá)同意時(shí)無須具備行為能力[5]（P144）。不過，這種觀點(diǎn)顯然值得商榷。一則意思表示雖然是法律行為的核心要素，卻并不意味著意思表示的作出必須具備法定的行為能力。事實(shí)上，具備何種意思能力取決于具體情境下當(dāng)事人所作意思表示的能力要求，也即行為人實(shí)踐自身的自由意志，并承擔(dān)相應(yīng)的法律后果的能力要求。這種意思能力，在合同交易上體現(xiàn)為行為能力的要求，在締結(jié)婚姻的行為上體現(xiàn)為結(jié)婚能力的要求。然而，在個(gè)人信息處理上，表達(dá)同意的能力要求必須結(jié)合具體的信息處理情境，比如個(gè)人信息使用、收集、公開的具體內(nèi)容、對(duì)權(quán)利人可能造成的影響等多種要素加以綜合判斷。二則無論是在積極利用還是消極防御層面，信息主體同意他人處理其個(gè)人信息，旨在踐行個(gè)人的行動(dòng)自由和信息自決，實(shí)現(xiàn)的正是其所欲實(shí)現(xiàn)的法律效果。倘若認(rèn)為相關(guān)法律效力并非直接來自當(dāng)事人的同意，而是來自法律規(guī)定，則事實(shí)上削弱了同意作為意思表示可能具有的規(guī)范表達(dá)空間。三則將同意界定為意思表示，這在比較法上也能得到印證。比如《歐洲一般數(shù)據(jù)保護(hù)條例》中，就將同意界定為是“數(shù)據(jù)主體通過聲明或明確肯定方式，依照其意愿自愿作出的具體的、知情的及明確的意思表示，意味著數(shù)據(jù)主體同意其個(gè)人數(shù)據(jù)被處理”[2]（P228）。

個(gè)人信息處理上的同意作為意思表示，本不合適劃定統(tǒng)一的能力要求，但基于未成年人保護(hù)的特別考慮，歐洲法上的《條例》專門規(guī)定“關(guān)于直接向兒童提供信息社會(huì)服務(wù)的，對(duì)16周歲以上兒童的個(gè)人數(shù)據(jù)的處理為合法。兒童未滿16周歲時(shí)，處理在征得監(jiān)護(hù)人同意或授權(quán)的范疇內(nèi)合法。成員國可以通過法律對(duì)上述年齡進(jìn)行調(diào)整，但不得低于13周歲”并規(guī)定“第1款不應(yīng)影響成員國的一般合同法律，如與兒童有關(guān)的合同要件或效力”[2]（P232）。我國法上，也有學(xué)者認(rèn)為未成年人的理解能力判斷標(biāo)準(zhǔn)如果不明確，不利于保護(hù)未成年人的合法權(quán)益，故建議采《規(guī)范》第5.5（c）的規(guī)定，以14周歲為界決定其同意能力；收集不滿14周歲的未成年人的個(gè)人信息，應(yīng)征得其監(jiān)護(hù)人的明示同意。從更好地保護(hù)未成年人信息自決權(quán)益的角度，未來立法的確有必要作明確規(guī)范。

進(jìn)一步需要討論的是，對(duì)個(gè)人信息處理的同意是否可以隨時(shí)撤回或撤銷。在歐洲法上，《條例》第7條第3款規(guī)定，“數(shù)據(jù)主體有權(quán)隨時(shí)撤回其同意。同意的撤回不應(yīng)影響在撤回前基于同意作出的數(shù)據(jù)處理的合法性。在作出同意前，數(shù)據(jù)主體應(yīng)被告知上述權(quán)利。撤回同意應(yīng)與作出同意同樣容易”[2]（P232）；第21條規(guī)定，“1.數(shù)據(jù)主體有權(quán)在特定情況下隨時(shí)反對(duì)依據(jù)本條例第6條第1款（e）項(xiàng)或（f）項(xiàng)規(guī)定對(duì)其個(gè)人數(shù)據(jù)進(jìn)行的處理，包括根據(jù)這些條款進(jìn)行的數(shù)據(jù)畫像。除非控制者能夠證明其合法利益高于數(shù)據(jù)主體的利益、權(quán)利和自由，或者法定請(qǐng)求權(quán)的確立、行使和抗辯有更強(qiáng)有力的法律依據(jù)。2.若為直接營銷目的處理個(gè)人數(shù)據(jù)的，數(shù)據(jù)主體有權(quán)隨時(shí)反對(duì)因?yàn)樵撋虡I(yè)目的處理其個(gè)人數(shù)據(jù)，包括與直接營銷有關(guān)的數(shù)據(jù)畫像?！盵2]（P241-242）之所以允許數(shù)據(jù)主體原則上可以隨時(shí)撤回或撤銷其同意，或行使反對(duì)權(quán)，目的在于維護(hù)數(shù)據(jù)主體的個(gè)人信息自決權(quán)，避免個(gè)人尊嚴(yán)和行動(dòng)自由受到之前同意表示的拘束，進(jìn)而妨礙其人格的自由塑造。在我國法上，也有學(xué)者在探討人格權(quán)的商業(yè)化問題時(shí)，從人格自治的角度出發(fā)，指出“雖然人格權(quán)商業(yè)化是主要基于自愿選擇的結(jié)果，但是，隨著主客觀環(huán)境的變遷，這種許可有可能會(huì)演變成對(duì)權(quán)利人人格發(fā)展的限制。在這種情形下賦予權(quán)利人撤回許可的權(quán)利，也是為了維護(hù)許可人的人格自治利益的需要。為了保障合同相對(duì)人的交易安全，必須對(duì)撤銷權(quán)行使的條件加以明確。并且因行使撤銷權(quán)對(duì)無過錯(cuò)一方造成損害的，應(yīng)由權(quán)利人承擔(dān)相應(yīng)的賠償責(zé)任”[3]（P15）。對(duì)此，筆者認(rèn)為，同樣需要延續(xù)此前關(guān)于同意性質(zhì)的討論，區(qū)分侵權(quán)和合同兩種不同語境加以分析。若對(duì)個(gè)人信息的同意并不直接涉及合同交易領(lǐng)域，而僅消極表達(dá)對(duì)他人行為違法性的排除，此種“受害人的同意無須向行為人送達(dá)，但是在他人的加害行為實(shí)施之前，該同意可以隨時(shí)撤回”[4]（P302）。個(gè)人信息權(quán)利主體的同意與其尊嚴(yán)和行為自由緊密相關(guān)，屬于個(gè)人信息自決的具體體現(xiàn)。除非涉及公共利益等特殊情形，原則上可以隨時(shí)撤銷或撤回（具體是撤銷還是撤回取決于是否已經(jīng)發(fā)生效力）；而在合同領(lǐng)域，若同意他人處理個(gè)人信息是交易內(nèi)容的組成部分，尤其是僅與個(gè)人信息的財(cái)產(chǎn)價(jià)值相關(guān)而并不直接影響當(dāng)事人的人格發(fā)展，應(yīng)當(dāng)對(duì)當(dāng)事人撤回或撤銷同意加以限制，對(duì)作為合同相對(duì)人的數(shù)據(jù)處理者，應(yīng)賦予主張損害賠償?shù)臋?quán)利。但具體的交易領(lǐng)域，如涉及贈(zèng)與合同任意撤銷權(quán)、委托合同和承攬合同中的任意解除權(quán)以及消費(fèi)者領(lǐng)域針對(duì)弱勢主體信息不對(duì)稱的反悔權(quán)等規(guī)則是否可以擴(kuò)大或類推適用，應(yīng)結(jié)合具體合同關(guān)系再作判斷。

三、“同意”的規(guī)范要求

前文提到“同意”在法律性質(zhì)上屬于意思表示。因此，從“同意”的形式和實(shí)質(zhì)來看，都應(yīng)符合意思表示相關(guān)的規(guī)范要求。

（一）“同意”的形式要求

《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《個(gè)人信息保護(hù)規(guī)定》等均未就同意的方法作出規(guī)定，而《網(wǎng)絡(luò)侵權(quán)司法解釋》第12條第1款第（一）（三）項(xiàng)中提到：網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)公開個(gè)人隱私和其他個(gè)人信息須經(jīng)自然人的書面同意，否則網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者應(yīng)承擔(dān)相應(yīng)的侵權(quán)責(zé)任。但此項(xiàng)規(guī)定是否可以類推到網(wǎng)絡(luò)服務(wù)之外的領(lǐng)域以及公開之外其他利用個(gè)人信息的場合，依然有待商榷。

值得關(guān)注的是，在國家標(biāo)準(zhǔn)層面，《指南》第5.2.3條中明確規(guī)定：處理個(gè)人信息前要征得個(gè)人信息主體的同意，包括默許同意或明示同意。收集個(gè)人一般信息時(shí)，可認(rèn)為個(gè)人信息主體默許同意，如果個(gè)人信息主體明確反對(duì)，要停止收集或刪除個(gè)人信息；收集個(gè)人敏感信息時(shí)，要得到個(gè)人信息主體的明示同意。根據(jù)《指南》的該規(guī)定，個(gè)人敏感信息是指一旦遭到泄露或修改，會(huì)對(duì)標(biāo)識(shí)的個(gè)人信息主體造成不良影響的個(gè)人信息。各行業(yè)個(gè)人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個(gè)人信息主體意愿和各自業(yè)務(wù)特點(diǎn)確定。個(gè)人一般信息是指除個(gè)人敏感信息以外的個(gè)人信息。默許同意是指在個(gè)人信息主體無明確反對(duì)的情況下，認(rèn)為個(gè)人信息主體同意；明示同意是指個(gè)人信息主體明確授權(quán)同意，并保留證據(jù)。2017年國家標(biāo)準(zhǔn)化管理委員會(huì)頒布的《規(guī)范》豐富了個(gè)人敏感信息的內(nèi)容，同時(shí)對(duì)同意的方法進(jìn)行了改造。其規(guī)定，對(duì)于一般的個(gè)人信息收集僅在特殊情況下要求明示同意；而針對(duì)敏感信息必須得到明示同意。明示同意是指個(gè)人信息主體通過書面聲明或主動(dòng)做出肯定性動(dòng)作，對(duì)其個(gè)人信息進(jìn)行特定處理做出明確授權(quán)的行為。同時(shí)，肯定性動(dòng)作包括個(gè)人信息主體主動(dòng)作出聲明（電子或紙質(zhì)形式）、主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”“注冊(cè)”“發(fā)送”“撥打”等。

前述《規(guī)范》對(duì)一般信息和敏感信息的區(qū)分，對(duì)明示同意的界定方式（包括對(duì)“肯定性動(dòng)作”的表述），似乎受到歐洲法的影響。不過，與中國法不同，歐盟的《條例》在“鑒于條款”第32項(xiàng)提到，同意可以通過書面陳述（包括電子形式）或者口頭聲明。同意方式可以包括在瀏覽網(wǎng)頁時(shí)在方框里打鉤，對(duì)信息社會(huì)服務(wù)進(jìn)行技術(shù)設(shè)置或者其他陳述或行為以清楚表示接受對(duì)其個(gè)人數(shù)據(jù)的處理。因此，沉默、默認(rèn)勾選的對(duì)話框或者不作為不構(gòu)成同意?？梢?，同意必須以積極、主動(dòng)的方式作出。而針對(duì)特殊類型的個(gè)人數(shù)據(jù)處理、包括數(shù)據(jù)畫像在內(nèi)的自動(dòng)化決策、向第三國或國際組織傳輸個(gè)人數(shù)據(jù)（第49條）三種特定情形，《條例》還提出了“明確同意”的要求?！懊鞔_同意”并不意味著一定需要有書面和簽字蓋章的聲明，甚至可以是口頭的聲明，但必須針對(duì)數(shù)據(jù)處理有特定、清楚的表示，且這種表示是建立在對(duì)特定場合下個(gè)人信息保護(hù)上存在的風(fēng)險(xiǎn)有充分了解的基礎(chǔ)之上的。與歐盟的《條例》對(duì)比后可以發(fā)現(xiàn)，在我國法上，《規(guī)范》中的“明示同意”似乎在規(guī)范要求上恰恰處在歐洲法的“同意”和“明確同意”之間。《規(guī)范》所提到的“明示同意”僅針對(duì)敏感信息和特殊情況下的一般信息收集，而其規(guī)范內(nèi)容包括了以肯定性動(dòng)作的方式表示同意，似乎對(duì)于其他場合個(gè)人信息的收集不需要“書面聲明或主動(dòng)做出肯定性動(dòng)作”。

對(duì)此，筆者認(rèn)為，既然同意的法律性質(zhì)是意思表示，那么在現(xiàn)行法層面，就應(yīng)從意思表示的規(guī)范出發(fā)探討同意作出的方式。對(duì)此，《民法總則》第140條規(guī)定：行為人可以明示或者默示作出意思表示。沉默只有在有法律規(guī)定、當(dāng)事人約定或者符合當(dāng)事人之間的交易習(xí)慣時(shí)，才可以視為意思表示。按相關(guān)釋義書，所謂明示的意思表示，是指行為人以作為的方式使得相對(duì)人能夠直接了解到意思表示的內(nèi)容，包括表意人采用口頭、書面方式直接向相對(duì)人作出的意思表示；默示方式作出的意思表示，是指行為人雖沒有以語言或文字等明示方式作出意思表示，但以行為的方式作出了意思表示。也就是說可以通過行為推定出其作出一定的意思表示；沉默是一種既無語言表示也無行為表示的純粹的緘默，是一種完全的、純粹的不作為[6]（P434-435）。結(jié)合該條規(guī)定，筆者得出如下意見。

第一，既然同意是意思表示，個(gè)人信息保護(hù)中明示同意、默示同意甚至以沉默方式的同意也應(yīng)遵循相同的規(guī)范界定，尤其是沉默僅在法律規(guī)定、當(dāng)事人約定或者符合當(dāng)事人之間的交易習(xí)慣時(shí)才可以視為意思表示?！澳S同意”的表達(dá)，容易混淆默示和沉默的規(guī)范差異，應(yīng)當(dāng)慎用。

第二，如果能夠確定意思表示的內(nèi)容，明示和默示本身地位相同，而明示的方式包括書面和口頭形式。在網(wǎng)絡(luò)領(lǐng)域，個(gè)人信息的公開是否應(yīng)按前述司法解釋，一定要自然人采取書面形式表示同意，筆者持保留意見。但對(duì)于敏感信息，現(xiàn)行法僅在國家標(biāo)準(zhǔn)層面提出特別的保護(hù)要求，顯然并不足夠。未來立法可以考慮借鑒歐洲法，在明示同意的基礎(chǔ)上，針對(duì)敏感信息提出更高的規(guī)范要求（即采“明確同意”標(biāo)準(zhǔn)）。

第三，沉默在現(xiàn)行法上本就是意思表示例外的表達(dá)方式，因此，個(gè)人信息保護(hù)中的同意原則上也不能以沉默的方式作出。在網(wǎng)絡(luò)語境下強(qiáng)化個(gè)人信息保護(hù)的角度，有必要借鑒歐洲法的規(guī)定，明確在網(wǎng)絡(luò)服務(wù)領(lǐng)域沉默（不作為）以及默示勾選的對(duì)話框不能構(gòu)成同意。

（二）“同意”的實(shí)質(zhì)要求

對(duì)于個(gè)人信息保護(hù)上的同意的實(shí)質(zhì)要求，現(xiàn)行法并無直接闡釋，而僅在原則層面強(qiáng)調(diào)“收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則”（如《消費(fèi)者權(quán)益保護(hù)法》第29條）。筆者認(rèn)為，在實(shí)質(zhì)要求上存在不同的規(guī)范進(jìn)路。

1.基于意思自治的規(guī)范要求。根據(jù)傳統(tǒng)民法，意思表示不僅須滿足表示能力上的要求，還必須真實(shí)、自由?！逗贤ā窂?qiáng)調(diào)自愿原則，《民法總則》在民事法律行為一章，就虛假表示、重大誤解、欺詐、脅迫、顯失公平的法律行為撤銷和違反強(qiáng)制性規(guī)定與違背公序良俗、惡意串通的法律行為無效作了專門規(guī)定，目的在于保障當(dāng)事人的意思自治。實(shí)際上，不僅法律行為本身不能有瑕疵，作為法律行為要素的意思表示同樣不能有瑕疵。如果存在各種瑕疵，即使并未構(gòu)成法律行為，相關(guān)意思表示也可適用或準(zhǔn)用相關(guān)規(guī)范加以撤銷。具體到個(gè)人信息保護(hù)領(lǐng)域，就不真實(shí)自由的同意意思表示，也應(yīng)有前述規(guī)范的適用空間。

在判斷同意的表達(dá)是否真實(shí)自由的問題上，比較法上可以提供一些經(jīng)驗(yàn)。在歐洲法上，《條例》在對(duì)同意的定義中明確將“自由作出”作為第一實(shí)質(zhì)要素。《條例》第7條中規(guī)定：當(dāng)評(píng)估同意是否是自愿作出時(shí)，應(yīng)盡最大限度地考慮合同的履行包括服務(wù)的提供是否以基于不必要的同意個(gè)人數(shù)據(jù)處理為條件?！拌b于條款”第43項(xiàng)中進(jìn)一步說明：“為確保同意是自愿作出的，在特定情形下，數(shù)據(jù)主體與控制者之間是不平等的，特別是當(dāng)控制者是公權(quán)力一方且基于特定情形下予以考慮的所有條件認(rèn)為同意不可能是自愿作出的，該同意并不能成為該特定情形個(gè)人數(shù)據(jù)處理的有效法律依據(jù)。如果不允許對(duì)不同的個(gè)人數(shù)據(jù)處理操作分別作出同意，盡管這對(duì)于個(gè)別案例來說是恰當(dāng)?shù)模蛘弑M管同意并不是合同履行的必要條件，若包括服務(wù)條款的合同履行是以同意為基礎(chǔ)的，則同意被推定為并非自愿作出的?！盵2]（P197）因此，當(dāng)事人的地位是否平等，不提供信息是否會(huì)對(duì)數(shù)據(jù)主體帶來實(shí)質(zhì)上的不利益，同意是否是合同履行的條件甚至是對(duì)待給付的內(nèi)容，這些都會(huì)影響對(duì)同意自愿性的判斷。

歐洲法對(duì)“自愿作出”的規(guī)范邏輯，重在強(qiáng)調(diào)“盡最大限度地考慮合同的履行包括服務(wù)的提供是否以基于不必要的同意個(gè)人數(shù)據(jù)處理為條件”。而在我國法上，“同意”和“必要”是個(gè)人信息收集合法性的兩個(gè)必要條件。《個(gè)人信息保護(hù)規(guī)定》第9條第3款提到不僅需要個(gè)人同意，而且電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集其提供服務(wù)所必需以外的用戶個(gè)人信息；《網(wǎng)絡(luò)安全法》第41條要求網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息。不過，在歐洲法上，如果對(duì)個(gè)人信息的處理是履行合同包括提供相關(guān)服務(wù)所必需的，除非涉及敏感信息，一般不需要用戶再表示同意，蓋此時(shí)處理個(gè)人信息的合法性基礎(chǔ)在于合同本身。中國法上不分場景地一味要求“必要+同意”，存在過于嚴(yán)苛的問題，反而影響了同意規(guī)則的有效實(shí)現(xiàn)。事實(shí)上，在網(wǎng)絡(luò)服務(wù)合同領(lǐng)域，除個(gè)人信息的提供直接構(gòu)成合同給付義務(wù)的組成部分外，基于《合同法》第60條第2款的誠信原則下的附隨義務(wù)，或者基于《合同法》第42條推演出的“先合同義務(wù)”，同樣可以推演出個(gè)人提供履行受領(lǐng)所必要個(gè)人信息的義務(wù)。在這些場合，即使網(wǎng)絡(luò)服務(wù)商采用的是“使用即同意”的條款，同樣無須再就相關(guān)信息的收集征得用戶的明確授權(quán)同意。

因此，在網(wǎng)絡(luò)服務(wù)合同關(guān)系中，判斷同意是否自由作出的問題，就可能轉(zhuǎn)化為如何去解釋提供相關(guān)的個(gè)人信息是否屬于“合同履行之必要”。對(duì)此，在立法沒有具體明確的情況下，單純依靠誠信原則、合同目的解釋等傳統(tǒng)民法方法去判斷顯然有些捉襟見肘。有學(xué)者認(rèn)為應(yīng)該重新審視傳統(tǒng)的個(gè)人信息保護(hù)架構(gòu)，對(duì)信息最小化原則或必要性原則進(jìn)行重新詮釋，即主張一種場景和風(fēng)險(xiǎn)導(dǎo)向的新架構(gòu)：“不應(yīng)再苛求將信息的收集、利用保持在最小必要的范圍，而更意味著機(jī)構(gòu)必須將個(gè)人信息處理所引發(fā)的風(fēng)險(xiǎn)控制在實(shí)現(xiàn)特定目的所必須的合理水平。”[7]（P109）這顯然是一種值得推崇的更為彈性、情境化的判斷思路。

2.基于知情同意的規(guī)范要求。嚴(yán)格來說知情是同意的內(nèi)在規(guī)范要求。同意的前提是信息控制者的充分告知，只有充分了解同意所針對(duì)的內(nèi)容，權(quán)利人才能做出有效的同意?，F(xiàn)行法上，就信息處理者的告知義務(wù)范圍，主要包括：（1）收集、使用信息的目的、方式和范圍（《個(gè)人信息保護(hù)規(guī)定》第9條第2款；《消費(fèi)者權(quán)益保護(hù)法》第 29條第 1句；《網(wǎng)絡(luò)安全法》第 41條）；（2）公開收集、使用規(guī)則（《消費(fèi)者權(quán)益保護(hù)法》第 29條第 2句；《網(wǎng)絡(luò)安全法》第 41條）；（3）查詢、更正信息的渠道（《個(gè)人信息保護(hù)規(guī)定》第9條第2款）；（4）拒絕提供信息的后果等事項(xiàng)（《個(gè)人信息保護(hù)規(guī)定》第9條第2款）。

同樣在知情同意的規(guī)范要求上，歐洲法的要求顯然更為詳細(xì)。歐盟“個(gè)人數(shù)據(jù)保護(hù)工作組”認(rèn)為，充分告知與個(gè)人數(shù)據(jù)處理相關(guān)的信息，是數(shù)據(jù)主體實(shí)施同意的本質(zhì)要求，否則所謂個(gè)人控制實(shí)為形同虛設(shè)。而要取得一項(xiàng)有效的同意，數(shù)據(jù)控制者最低程度必須告知以下信息：（1）控制者的身份；（2）每項(xiàng)需要征得同意的數(shù)據(jù)操作的目的；（3）何種類型的數(shù)據(jù)會(huì)被收集或使用；（4）存在撤回同意的權(quán)利；（5）根據(jù)《條例》第22條第2款（c）項(xiàng)，使用的數(shù)據(jù)將會(huì)用于對(duì)數(shù)據(jù)主體具有重要影響的自動(dòng)化決策；（6）由于缺乏充分性決定，或缺少根據(jù)《條例》第46條的適當(dāng)保障，數(shù)據(jù)傳輸可能帶來的風(fēng)險(xiǎn)[8]（P16）?！稐l例》第7條第2款要求：如果數(shù)據(jù)主體通過書面聲明的方式作出同意，且書面聲明涉及其他事項(xiàng)，則要求數(shù)據(jù)主體表示同意的請(qǐng)求應(yīng)以易于理解、易于獲得且與其他事項(xiàng)顯著區(qū)別的形式以清楚平實(shí)的語言呈現(xiàn)。“鑒于條款”第32條提到：若需要以電子形式請(qǐng)求數(shù)據(jù)主體作出同意的，則此等請(qǐng)求必須清楚、簡明，且不會(huì)對(duì)所使用的服務(wù)造成不必要的干擾。與歐洲法相比，中國法上在告知的內(nèi)容范圍上相對(duì)狹窄，就信息控制者的身份、存在撤回同意的權(quán)利、是否會(huì)用于自動(dòng)化決策、數(shù)據(jù)傳輸可能存在的個(gè)人信息保護(hù)上的風(fēng)險(xiǎn)等均未有所要求；在告知的方式上，并未強(qiáng)調(diào)必須以清楚平實(shí)的語言呈現(xiàn)。無論是告知內(nèi)容還是告知方式，均有進(jìn)一步通過立法加以完善的空間。

需要補(bǔ)充說明的是，就信息處理者的告知義務(wù)，現(xiàn)行法不同程度地都提到應(yīng)當(dāng)明確告知用戶收集、使用信息的目的、方式和范圍?！懊鞔_”一詞，旨在強(qiáng)調(diào)告知的內(nèi)容不能模糊寬泛，而必須滿足同意作為意思表示的特定性要求。這一點(diǎn)對(duì)于個(gè)人信息保護(hù)顯然尤為重要，可以有效地防止“功能潛變”，也即獲取信息的原來目的被悄悄地、不知不覺地?cái)U(kuò)大到包括未獲得參與者知情和自愿的同意，進(jìn)而使個(gè)人失去對(duì)其數(shù)據(jù)的控制的現(xiàn)象的產(chǎn)生。所以，如果數(shù)據(jù)控制者要基于其他新的目的處理數(shù)據(jù)，除非有其他合法性基礎(chǔ)，則必須尋求數(shù)據(jù)主體進(jìn)一步的同意，而且不同處理目的之間要求一定的間隔尺度。在這一點(diǎn)上，歐洲法上還進(jìn)一步要求，數(shù)據(jù)處理者要就每個(gè)特定目的的數(shù)據(jù)處理告知數(shù)據(jù)主體相關(guān)的信息，以征得后者就每項(xiàng)處理事實(shí)的同意，如此確保數(shù)據(jù)主體能清楚意識(shí)到不同選擇下會(huì)帶來的具體影響[8]（P11-12）。我國法上更多是在告知義務(wù)的內(nèi)容上有所規(guī)定，而在“明確”之外，對(duì)告知義務(wù)的實(shí)質(zhì)履行程度并未有更具體的要求，同樣有立法完善的空間。

3.基于弱者保護(hù)的規(guī)范要求。在網(wǎng)絡(luò)世界中，作為數(shù)據(jù)處理者的網(wǎng)絡(luò)服務(wù)商和作為信息主體的自然人之間顯然存在著強(qiáng)弱地位的差異。實(shí)踐中，網(wǎng)絡(luò)服務(wù)商通過采取“使用即同意”的隱私政策或免責(zé)聲明導(dǎo)致同意原則被實(shí)質(zhì)架空的情況十分普遍。對(duì)此，存在著格式條款規(guī)制和消費(fèi)者權(quán)益保護(hù)兩種不同的規(guī)范路徑。

在格式條款規(guī)制方面，《合同法》第39條和第40條作了專門規(guī)定，主要分為三個(gè)層次：一是規(guī)定了格式條款提供方的合理提請(qǐng)注意義務(wù)。根據(jù)《合同法司法解釋（二）》第九條，如果違反該義務(wù)，相關(guān)條款可以通過當(dāng)事人主張撤銷的方式不納入合同內(nèi)容。二是即使納入合同，常常須作對(duì)提供格式條款一方不利的解釋。三是對(duì)免除己方責(zé)任、加重對(duì)方責(zé)任、排除對(duì)方主要權(quán)利的格式條款可以直接認(rèn)定無效，如此充分保障合同弱勢一方的合法權(quán)益。不過，《合同法》的相關(guān)規(guī)定，依然存在解釋上的寬泛性弊端，何謂“合理”，是否“免除、加重、排除”相關(guān)權(quán)利和義務(wù)，需要結(jié)合具體交易進(jìn)行判斷。而從另一方面講，格式條款本身存在著便捷交易的核心功能，讓網(wǎng)絡(luò)服務(wù)的用戶就相關(guān)收集信息的內(nèi)容一一作出同意表示顯然也不符合實(shí)踐需要。因此，如果缺乏對(duì)網(wǎng)絡(luò)服務(wù)商明確的告知義務(wù)規(guī)范和個(gè)人信息主體權(quán)利的細(xì)化規(guī)定，只能落實(shí)在實(shí)質(zhì)內(nèi)容層面通過法官、執(zhí)法部門的事后控制和評(píng)價(jià)進(jìn)行格式條款的間接規(guī)范。

針對(duì)傳統(tǒng)民法保護(hù)上的不足，有學(xué)者提出在數(shù)據(jù)治理上應(yīng)引入消費(fèi)者權(quán)益保護(hù)機(jī)制，“在傳統(tǒng)的意思自由為基礎(chǔ)的民法模式上增加社會(huì)公平價(jià)值的考量”[9]（P24）。該學(xué)者認(rèn)為，基于個(gè)人數(shù)據(jù)可成為合同對(duì)價(jià)、互聯(lián)網(wǎng)服務(wù)提供者從用戶數(shù)據(jù)中獲利、數(shù)據(jù)使用協(xié)議具有合同屬性等事實(shí)，數(shù)據(jù)主體可完成從自然人到消費(fèi)者的角色嬗變，可以通過設(shè)置事前磋商透明化、事中交易誠信化、事后救濟(jì)有效性等要素建構(gòu)數(shù)據(jù)主體的消費(fèi)者權(quán)益保護(hù)體系。不過，值得說明的是，消費(fèi)者之所以被認(rèn)為是弱勢主體，更多是因?yàn)槠溆捎谛畔⒉粚?duì)稱而造成的弱勢地位，因此消費(fèi)者權(quán)益保護(hù)法的中心在于明確告知義務(wù)、增強(qiáng)消費(fèi)者的知情權(quán)和賦予消費(fèi)者撤回權(quán)、擴(kuò)大消費(fèi)者協(xié)會(huì)權(quán)限等救濟(jì)手段來彌補(bǔ)消費(fèi)者的弱勢地位。此種規(guī)范目的與保護(hù)個(gè)人信息的立場略有不同。后者的規(guī)范重心并不局限于確保信息提供和接受上的均衡地位,還包括要最大限度地捍衛(wèi)個(gè)人信息主體的行動(dòng)自由和信息自決權(quán)益。仔細(xì)分析該學(xué)者的建構(gòu)思路，可知其在具體規(guī)范層面，更多是從美國法的消費(fèi)者保護(hù)經(jīng)驗(yàn)上提出完善意見，但在現(xiàn)行法層面，令人無法回避的是，《消費(fèi)者權(quán)益保護(hù)法》本身專門針對(duì)個(gè)人信息保護(hù)問題在第29條進(jìn)行了具體規(guī)定，因此即使將同意規(guī)則納入消費(fèi)者權(quán)益的保障體系進(jìn)行考察，相關(guān)制度的建構(gòu)也必須建立在對(duì)該條的解釋層面進(jìn)行推演。這一點(diǎn)上，該法第29條卻并未提供比《網(wǎng)絡(luò)安全法》等其他規(guī)范更高和更為細(xì)致的要求。

由此我們可以看到，就個(gè)人信息保護(hù)上的強(qiáng)弱地位問題，尤其是針對(duì)“使用即同意”條款的普遍盛行，現(xiàn)有立法，無論是采納格式條款規(guī)制進(jìn)路，還是強(qiáng)調(diào)消費(fèi)者權(quán)益的保護(hù)都依然存在進(jìn)一步立法和司法完善的空間。比如，在立法層面，可以針對(duì)網(wǎng)絡(luò)服務(wù)提供者的自定規(guī)則建立相應(yīng)的文本備案審查機(jī)制、明確懲罰性賠償機(jī)制在個(gè)人信息保護(hù)領(lǐng)域的適用空間，以及賦權(quán)消費(fèi)者權(quán)益保護(hù)組織等多元主體參與數(shù)據(jù)治理和保護(hù)等層面完善現(xiàn)有規(guī)定；在司法層面，可借鑒歐洲法就同意的明確性要求，認(rèn)定網(wǎng)絡(luò)用戶相關(guān)的點(diǎn)擊、瀏覽形式并不構(gòu)成有效的同意，如此來勾勒現(xiàn)有立法在同意規(guī)則解釋適用上的規(guī)范空間。

四、“同意”的例外規(guī)則

關(guān)于同意的例外規(guī)則，《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《消費(fèi)者權(quán)益保護(hù)法》《網(wǎng)絡(luò)安全法》均未直接提及?！秱€(gè)人信息保護(hù)規(guī)定》第9條第4款規(guī)定：法律、行政法規(guī)對(duì)本條第一款至第四款規(guī)定的情形另有規(guī)定的，從其規(guī)定。其所指第1款規(guī)定即：未經(jīng)用戶同意，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集、使用用戶個(gè)人信息。由此可知，在認(rèn)可同意為個(gè)人信息收集、使用合法性基礎(chǔ)的前提下，允許法律、行政法規(guī)設(shè)有例外規(guī)則，自然也包括無須同意的情形。

《網(wǎng)絡(luò)侵權(quán)司法解釋》第2、4、5、6項(xiàng)，分別涉及為促進(jìn)公益且作必要公開、自行公開或已合法公開、合法渠道獲得、法律、行政法規(guī)另有規(guī)定等情形下未經(jīng)個(gè)人同意，照樣可以公開其個(gè)人信息（包括自然人基因信息、病歷資料、犯罪記錄、家庭住址、私人活動(dòng)等個(gè)人隱私和其他個(gè)人信息，內(nèi)容上顯然包括敏感信息和一般信息）。在國家標(biāo)準(zhǔn)層面，《規(guī)范》的例外規(guī)則最為豐富，其第5.4條規(guī)定：以下情形中，個(gè)人信息控制者收集、使用個(gè)人信息無需征得個(gè)人信息主體的授權(quán)同意：a）與國家安全、國防安全直接相關(guān)的；b）與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的；c）與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的；d）出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人同意的；e）所收集的個(gè)人信息是個(gè)人信息主體自行向社會(huì)公眾公開的；f）從合法公開披露的信息中收集個(gè)人信息的，如合法的新聞報(bào)道、政府信息公開等渠道；g）根據(jù)個(gè)人信息主體要求簽訂和履行合同所必需的；h）用于維護(hù)所提供的產(chǎn)品或服務(wù)的安全穩(wěn)定運(yùn)行所必需的，例如發(fā)現(xiàn)、處置產(chǎn)品或服務(wù)的故障；i）個(gè)人信息控制者為新聞單位且其在開展合法的新聞報(bào)道所必需的；j）個(gè)人信息控制者為學(xué)術(shù)研究機(jī)構(gòu)，出于公共利益開展統(tǒng)計(jì)或?qū)W術(shù)研究所必要，且其對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí)，對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理的；k）法律法規(guī)規(guī)定的其他情形?！兑?guī)范》第8.5條進(jìn)一步規(guī)定了共享、轉(zhuǎn)讓、公開披露個(gè)人信息時(shí)事先征得授權(quán)同意的例外，類型基本相同。前述規(guī)則，總體上也反映了基于國家利益、社會(huì)利益的需要對(duì)個(gè)人信息自決的必要控制和限制。但前述規(guī)范效力層級(jí)、適用范圍和要求程度并不相同，依然存在整合之必要。比如，對(duì)于為科研目的所使用或公開的個(gè)人信息，《網(wǎng)絡(luò)侵權(quán)司法解釋》第3項(xiàng)（針對(duì)信息的公開）和《規(guī)范》第5.4條（針對(duì)信息的使用和收集）均有結(jié)果去標(biāo)識(shí)化的要求，但前者同時(shí)要求自然人的書面同意，后者卻并無此要求。而在共享、轉(zhuǎn)讓、公開披露等方面，《規(guī)范》第8.5條卻并未將此種類型列入授權(quán)同意的例外。另外，特別需要指出的是，《規(guī)范》第5.4條第（g）項(xiàng)提到“根據(jù)個(gè)人信息主體要求簽訂和履行合同所必需的”，類似歐盟《條例》第6條第1款第（b）項(xiàng)，此種情況下不需要個(gè)人信息主體的授權(quán)同意。對(duì)此，前文已有討論，未來立法也有加以明確的必要。

進(jìn)一步需要說明的是，《規(guī)范》第 5.4條所規(guī)定的無需征得個(gè)人信息主體授權(quán)同意的情況，并未嚴(yán)格區(qū)分一般信息和敏感信息。對(duì)此，歐洲法上的處理并不完全相同?！稐l例》原則上禁止數(shù)據(jù)控制者處理特殊類型的個(gè)人信息，但除數(shù)據(jù)主體明確同意外，第9條第2款第（b）到（j）項(xiàng)還同時(shí)規(guī)定了無須同意的其他例外情形，如為數(shù)據(jù)主體工作、社會(huì)保障目的、保護(hù)自然人切身利益、必要的機(jī)構(gòu)活動(dòng)、其他重要利益、被數(shù)據(jù)主體自行公開、行使司法權(quán)、重大公共利益、醫(yī)療保健、公共健康、科研歷史統(tǒng)計(jì)等。須說明的是，即使在這些例外情形下可以處理個(gè)人數(shù)據(jù)，《條例》依然要求相關(guān)數(shù)據(jù)控制者在必要的場合須采取適當(dāng)、具體的措施來保障數(shù)據(jù)主體的基本權(quán)利和自由。對(duì)此，“鑒于條款”第52-56條有更進(jìn)一步的闡釋和說明。至于與刑事定罪相關(guān)的個(gè)人信息，單獨(dú)規(guī)定在《條例》第10條，要求此類信息的處理應(yīng)當(dāng)僅在公權(quán)力的控制下開展，或者被歐盟或成員國法律授權(quán)為保護(hù)數(shù)據(jù)主體的權(quán)利和自由而提供保護(hù)措施的處理情況下開展。任何刑事定罪的綜合登記僅可處于官方機(jī)構(gòu)的控制之下[2]（P199，231）。敏感信息與個(gè)人隱私、個(gè)人行動(dòng)自由等利益關(guān)系密切，因此在與國家利益、社會(huì)利益等的協(xié)調(diào)平衡上，應(yīng)該有更為豐富的規(guī)范層次。在這一點(diǎn)上，中國法有進(jìn)一步完善的空間。

另外，關(guān)于數(shù)據(jù)的后續(xù)處理（二次利用）行為，在中國法上，《規(guī)范》區(qū)分匿名化（第3.13條）和去標(biāo)識(shí)化（第3.14條），前者是指通過對(duì)個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無法被識(shí)別，且處理后的信息不能被復(fù)原的過程；后者是指通過對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識(shí)別個(gè)人信息主體的過程?！兑?guī)范》特別注明，個(gè)人信息經(jīng)匿名化處理后所得的信息不屬于個(gè)人信息，而去標(biāo)識(shí)化建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人信息的標(biāo)識(shí)。易言之，對(duì)已匿名化的信息，無需再征得個(gè)人同意，為不證自明的道理。

對(duì)于這一點(diǎn)，歐洲法也有類似的結(jié)論。《條例》第 4條中將匿名化定義為：一種使個(gè)人信息在不使用額外信息的情況下不指向特定數(shù)據(jù)主題的個(gè)人數(shù)據(jù)處理方式，若該處理方式將個(gè)人數(shù)據(jù)與其他額外信息分別存儲(chǔ)，憑技術(shù)性和組織性措施無法指向一個(gè)可識(shí)別或被識(shí)別的自然人?！稐l例》第11條規(guī)定：如果控制者不需要或者不再需要對(duì)其掌控的個(gè)人數(shù)據(jù)的數(shù)據(jù)主體進(jìn)行身份識(shí)別，則若僅根據(jù)本條例的要求和規(guī)定，控制者無義務(wù)保存、獲取或者處理額外的信息來識(shí)別數(shù)據(jù)主體。若在本條第1款所述的情況下，控制者應(yīng)當(dāng)告知數(shù)據(jù)主體，說明其并無對(duì)數(shù)據(jù)主體進(jìn)行識(shí)別的職責(zé)。在此情況下，排除適用本條例第 15條至第 20條（筆者注：《條例》第 15條至第 20條，分別涉及數(shù)據(jù)訪問權(quán)、更正權(quán)、刪除權(quán)/被遺忘權(quán)、限制處理權(quán)、個(gè)人數(shù)據(jù)更正、刪除或限制處理的告知義務(wù)、數(shù)據(jù)可攜帶權(quán)等），除非數(shù)據(jù)主體出于行使自身權(quán)利需要，而且提供額外身份證明信息。

盡管從技術(shù)上來講，絕對(duì)匿名化是不可能的。通過個(gè)人信息匿名化的技術(shù)保障來鞏固法律保障，鼓勵(lì)和促進(jìn)企業(yè)在個(gè)人信息的利用和保護(hù)上齊頭并進(jìn)，顯然是走出知情同意原則適用困境的一個(gè)重要途徑。值得補(bǔ)充的是，歐盟《條例》第6條第4款和“鑒于條款”第50條規(guī)定，如果數(shù)據(jù)處理活動(dòng)并非為了個(gè)人數(shù)據(jù)被收集時(shí)的目的，并且未基于數(shù)據(jù)主體的同意，亦非基于歐盟和成員國法律所作特定限制，控制者在滿足了最初處理的合法性要求后，有責(zé)任確認(rèn)這種后續(xù)處理行為的目的是否與最初收集數(shù)據(jù)的目的相兼容。此時(shí)特別需要判斷兩種目的之間的聯(lián)系、數(shù)據(jù)主體和控制者之間的關(guān)系，數(shù)據(jù)的性質(zhì)、預(yù)期對(duì)數(shù)據(jù)主體造成的后果、適當(dāng)?shù)募用艽胧┑纫蛩豙2]（P243）。

總體而言，同意原則的例外規(guī)定，體現(xiàn)了立法者或相關(guān)部門對(duì)于作為基本權(quán)利的個(gè)人數(shù)據(jù)之外的國家利益、社會(huì)利益的考慮，為數(shù)據(jù)利用的公共政策考量留出了一定的空間。但必須說明的是，盡管不需要征得用戶同意，前述例外規(guī)則都必須遵循嚴(yán)格的限制條件，以確保個(gè)人合法的信息權(quán)益不因“公共利益”之名而遭受無端損害。在前述《規(guī)范》中，對(duì)無需征得個(gè)人信息主體授權(quán)同意的情況作了相當(dāng)詳細(xì)和嚴(yán)格的規(guī)定，但不可否認(rèn)，這些例外規(guī)則在規(guī)范含義上均存在著一定程度的模糊性。比如，何為“直接相關(guān)”“重大合法權(quán)益”等均很難規(guī)范界定，存在自由裁量的廣泛空間。這也導(dǎo)致了處理個(gè)人數(shù)據(jù)比較安全的做法依然是盡量取得用戶的同意。

五、結(jié)論

我國法在個(gè)人信息保護(hù)上確立了信息主體授權(quán)同意的一般規(guī)則，但并未在同意的作出方式和實(shí)質(zhì)要求上有更為具體的規(guī)范闡釋。然而，在一些司法解釋和國家標(biāo)準(zhǔn)層面，相關(guān)同意規(guī)則的設(shè)置又亟待進(jìn)行體系梳理。同意規(guī)則在規(guī)范上的界定不清，相關(guān)規(guī)則在過于嚴(yán)苛和過于寬松之間徘徊不定，導(dǎo)致在實(shí)踐運(yùn)用層面，尤其是在網(wǎng)絡(luò)服務(wù)中，數(shù)據(jù)控制者借助“使用即同意”的單方聲明、格式條款普遍無視個(gè)人信息主體的合法權(quán)益，最終反而帶來同意規(guī)則名存實(shí)亡的悖論局面。

不過，在筆者看來，問題的解決并不是去否定同意作為個(gè)人信息保護(hù)合法性和正當(dāng)性的基礎(chǔ)地位，而是通過重構(gòu)同意規(guī)則的法律構(gòu)造，通過更為精細(xì)、更為清晰的類型化塑造，來更好地平衡和協(xié)調(diào)個(gè)人信息保護(hù)和利用上的利益博弈。對(duì)此，我們可以通過明確同意作為意思表示的法律性質(zhì)界定，并借助傳統(tǒng)民法關(guān)于意思表示作出方式和實(shí)質(zhì)要求上的基本規(guī)范內(nèi)容，結(jié)合比較法上的經(jīng)驗(yàn)，結(jié)合個(gè)人信息保護(hù)領(lǐng)域的特殊語境，在現(xiàn)行法的規(guī)范框架下作出體系性的規(guī)范構(gòu)造。如此，在立法論和解釋論層面，也許可以為同意規(guī)則相關(guān)的諸多爭議問題，給出一個(gè)更為清楚的結(jié)論。

還必須說明的是，以意思表示為出發(fā)點(diǎn)，回歸傳統(tǒng)民法的分析框架，目的在于最大限度地保護(hù)私益，捍衛(wèi)個(gè)人信息主體在網(wǎng)絡(luò)世界中的意思自治和行動(dòng)自由。但同時(shí)我們必須看到，個(gè)人信息的生成和動(dòng)態(tài)發(fā)展，本身必須依托于網(wǎng)絡(luò)環(huán)境。也恰恰是在數(shù)據(jù)開發(fā)利用的過程中，才真正催生了個(gè)人信息保護(hù)的內(nèi)在需求。因此，個(gè)人信息保護(hù)和數(shù)據(jù)開發(fā)利用之間需要有一個(gè)動(dòng)態(tài)的利益平衡空間。例外規(guī)則的設(shè)置，恰恰為這種利益平衡提供了規(guī)范依據(jù)。這其中，除了社會(huì)利益、公共利益等因素的考慮，我們還必須看到個(gè)人信息消極防御和積極利用的本質(zhì)差異。一旦進(jìn)入交易領(lǐng)域，當(dāng)事人簽訂和履行相關(guān)合同所必需的個(gè)人信息，就應(yīng)該成為同意規(guī)則的例外。當(dāng)然，對(duì)何為“簽訂和履行合同所必需”等，實(shí)踐中必須作嚴(yán)格的解釋，以避免例外規(guī)則的泛化損害同意規(guī)則的基礎(chǔ)性地位。