论同意不是个人信息处理的正当性基础
论同意不是个人信息处理的正当性基础 在大数据时代,个人信息的处理(本文单独提及“处理”时,是指个人 信息的收集、处理、利用和传输等行为的总称,是广义行为上的个人信息处理) 现象比比皆是。特别是伴随着数据收集和挖掘技术的进步,大规模处理个人信息 正逐渐变成一种广泛存在的经济现象,这推动了经济的发展和社会的进步,但也 给公民自身带来了不可避免的麻烦,造成其人格侵害和财产损失。个人信息规模 化、多样化利用的趋势无可避免,正因为如此,如何合法正当地处理个人信息也 就成了大数据时代个人信息处理的关键所在。无论是理论上的通说抑或实践中的通行做法,众多国际组织和国家均 将个人信息处理的正当性建立于同意之上。在细节上,对于同意是否为其首要基 础,则有所分歧。以欧盟的做法来看,其毫无疑问是将同意作为个人信息处理正 当性的首要基础。美国则并未如此。美国仅在特定领域就特定类型个人信息或其 特别处理方式由特殊立法进行规定,要求在处理个人信息之前征得信息主体的同 意。但总体而言,将同意作为个人信息处理之正当性基础己渐成一种趋势,并获 得了普遍承认。
然而,无论是从理论角度推究,抑或从实证角度考量,笔者均倾向于 否定同意是个人信息处理的现有的关于个人信息保护的国际法规范及国内法律 条文均对同意基础作了相关规定。这些规定涉及个人信息的收集、处理、利用和 传输等诸多方面,明确要求在上述情形发生时,需取得信息主体之同意。
作为个人信息保护领域的先驱,经济合作与发展组织在1980年《关于 隐私保护与个人数据跨界流通的指导方针》中,就个人信息保护提出了八项基本 原则。①其中收集限制原则和使用限制原则均对信息主体的同意作出了相关规定。
②欧盟《关于涉及个人数据处理的保护以及此类数据自由流动的指令(95/46/EC)》 (以下简称:指令)亦规定了个人信息处理的一系列指导原则,其中极为重要的一项 为自主决定原则。在该原则的指导下,指令在多个具体条文中对信息主体的同意 作了明确规定,尤其是第二章关于个人数据处理正当性的一般规则第7条,该条 规定:“成员国应当规定只有在以下情形才能处理个人数据:a)数据主体明确表示 同意……”®此外,指令还在数据处理的特殊类型与向第三国传输个人数据等章 节中对同意基础作了具体的规定。
在指令的指导下,欧盟各国纷纷制定或修改本国的个人信息保护法律, 并在同意基础的规定上与之保持了高度一致。以德国为例,德国作为世界上最早制定个人信息保护法的国家,在指令发出后制定了《联邦数据保护法》 (FederalDataProtectionAct)。该法在第4节第一款中明确规定“只有在本法或者其他 法律允许或规定或数据主体同意时,个人数据的收集、处理和使用才是被许可的” 并在第4节a条中就同意的实质要件(意思自由)、形式要件(书面形式)及例外等做 了具体规定。其他欧盟主要国家如法国、英国等也分别在各自的个人信息保护相 关法律中对同意基础作了具体规定。⑤与欧盟成员国不同,美国重视个人信息的 合理使用,并未将同意作为个人信息处理正当性的基本前提。在立法上,美国没 有制定统一的个人信息保护法,仅针对个人信息滥用危害比较大、个人信息比较 敏感以及个人信息保护迫切性高的特殊部门进行特别立法。但随着个人信息利用 范围日益广泛,需要信息主体同意的情形越来越多,个人信息保护立法也相应有 所改观。起先,美国仅在《隐私法》中针对个人信息披露之同意进行了规定:“除 非是根据信息相关人的书面请求或事先的书面协议,任何机构不得通过任何方式 与其他个人或机构联系,披露信息系统中的任何个人信息……”但随着美国法学 界对控制权越来越关注,美国法又逐渐对某些领域个人信息收集、利用之同意进 行了相关规定。这些领域主要包括敏感信息如个人健康信息之利用,以及特殊群 体如未成年人个人信息之收集等。⑥作为一种趋势,同意作为个人信息处理的正 当性基础,在美国的立法实践中己经逐步受到认可。
我国香港、澳门地区皆出台了专门的个人信息(资料)保护法,我国台 湾地区亦制定了“个人信息保护法”,其对同意均作了具体规定。®尽管我国目前 尚未出台专门的个人信息保护法,但2012年全国人大常委会颁布的《关于加强网 络信息保护的决定》第2条明确规定:“网络服务提供者和其他企业事业单位在业 务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则…… 并经被收集者同意……”此外,众多《个人信息保护法》学者建议稿也均对同意 基础作了明确的规定。⑧由此可见,同意在我国的立法实践中也是作为正当性基 础存在的。
息主体的同意,必须向其进行告知,使信息主体能够知晓自己的个人 信息处理状态,从而可最大程度地避免信息不对称导致的危害。所谓信息不对称 理论,是指信息在相互对应的经济个体之间呈现不均匀、不对称的分布状态,即 有些人对某些事情的信息比另外一些人掌握得多一些。輯然而,在个人信息交易 市场上,个人信息所指涉的当事人与信息搜集者之间的“资讯不对称”或“知识落 差”造成市场的失灵,因此,关于个人信息的搜集、利用和分享,应有“告知后同 意”与“告知后选择”原则之适用。訛但笔者认为,事实上,将同意作为个人信息 处理的正当性基础并不足以消除个人信息处理过程中信息不对称现象的存在。个人信息市场信息不对称的解决,核心是保障信息主体的知情权,而 知情权的有效保障是以信息的充分流通和提高透明度为前提的。在个人信息处理 过程中,信息处理者如能向信息主体充分告知相关情况,輱提高个人信息处理的 透明度,则信息主体的知情权自然可得到保障。在确保知情权的情况下,信息主 体可以充分了解个人信息的处理情况,并在其超出自身可接受程度时及时进行反 对,终止处理行为。此时,硬性规定以同意为基础既非必要,又不利于数据经济 的创新和发展。
规定同意基础的另一理论依据是个人信息权。个人信息权是指信息主 体依法对其个人信息所享有的支配、控制并排除他人侵害的权利。輥它包括个人 信息决定权、控制权等,源自德国法的个人信息自决权理论。輥个人信息权保障 信息主体对自己的个人信息能够支配、控制,故而信息处理者在处理其个人信息 时应征得信息主体的同意。
除了决定自由的缺失,信息主体对个人信息的控制能力也是极为有限 的。作为与识别或可识别的自然人密切相关的信息,个人信息原则上应属自然人 之“所有”,然而事实上,其既不能为信息主体现实占有,又不能为其独占。个人 信息是“无形”的,它依赖于载体而存在,尤其是以数据形式存在于网络中的个人 信息,更是只能存储于服务器、终端设备等中。信息主体无法对个人信息实现真 正的占有。此外,个人信息的价值在于它的流动性,只有通过流通个人信息才能 真正实现其价值。这导致信息主体对个人信息难以实现排他性占有,也就无法实 现真正的控制。况且个人信息的有用性依赖于公开性,而一经公开,任何自然人、 私法主体和公共机构都可以在任何时间、任何地点获得并复制和传播己获得的个 人信息。尤其是在网络中,己公开的个人信息更是人皆可见、人皆可得,复制和 传播成本几乎为零,根本不具有可占有性,控制也就无从谈起。信息主体对个人 信息既难具决定之自由,又缺乏控制之能力,个人信息自决权自然如无本之木, 同意基础的正当性也就大打折扣了。
综上,无论是信息不对称理论,还是个人信息自决权理论,都不能成 为同意是个人信息处理正当性基础的有效理论支撑。
(二)同意本身缺乏必要性和真实性 在个人信息处理己经造成紧迫危害性的前提下,法律条文中采取严格 举措规定同意是个人信息处理的正当性基础是必要的。然而,就现阶段而言,个人信息处理能够带来的危害实际上并未严重到难以容忍的地步,个人信息处理所 带来的福祉其实大于危害,同意基础的规定反倒可能在一定程度上阻碍经济的发 展和社会的进步。实际上,个人信息处理造成的担忧很大程度上是源自对潜在威 胁的恐惧;换言之,是对一种损害可能性的防范。同意基础的规定除了缺乏必要 性,还显著缺乏真实性。同意真实性的保障是同意成为个人信息处理正当性基础 的关键所在。失去了真实性的同意,其危害可能比同意基础的缺失更可怕。然而, 在现实中,同意的真实性几乎难获保障。欧盟第29条工作组的文件指出,同意合 法有效需要满足四个标准:第一,同意必须是清楚而不含糊的意思表示;第二,同 意必须是自由作出的;第三,同意必须是明确的;第四,同意必须是在充分告知信 息的情况下作出的。輥其中最关键的两个标准是自由作出和充分告知信息,如若 它们不能获得保证,则同意基础的真实性和有效性将荡然无存。
其二,充分告知信息在现实中难以获得保证。仍以接受网络服务为例, 网络服务提供商所提供的用户协议、服务条款和隐私权政策通常不会直接显示, 而是以小字体的方式与同意选择一起出现,其表述通常为“阅读并同意……”,这 显然不能引起信息主体足够的重视。何况这些协议、条款或政策通常十分冗长乏 味,充斥着大量不重要的含糊其辞的规定。相反,关于个人信息处理真正重要的 条款则夹杂其中,并不显著。况且相关条款对于个人信息收集的范围、保留时限、 处理方式以及使用范围等规定也不尽详细和合理,而用户却不具有任何磋商和修 改的权利。此外,在大数据时代,个人信息的用途多种多样,并且数据挖掘和处 理技术的进步不断变化,而信息主体对个人信息处理一时一事之同意并不能代表 他时他事之同意。在这一过程中,信息处理者可能将己收集到的个人信息用于显 著不同的其他目的,而对于整个处理过程极难实现监管和控制,在具体的危害发 生之前,信息主体对此可能毫不知情,更谈不上充分的信息告知。若此,信息主 体根本没有作出新的同意的机会,即使能够作出,其真实性也难以保证。
对一种处在上升通道中的经济模式而言,成本的増加显然是不利的。
而同意规定恰恰増加了个人信息处理的成本。信息主体对于个人信息处理一事的 同意,并不代表对他事的同意,同样,一时的同意也不具有持续的有效性。在个 人信息的处理方式和目的日益多样化的过程中,信息处理者将面临无休止的告知 并须取得信息主体同意的境况。若如此,显然増加了不必要的成本,降低了经济 效率,无益于数字经济的发展。此外,信息处理者还会因此处在稍有不慎便侵犯 信息主体利益的危险之中,这样会极大地束缚了其创新行为,反过来将影响信息 主体福祉的实现。何况,对于某些个人信息的处理,信息处理者可能缺乏或根本 没有告知并征求信息主体同意的途径,此时要求其履行同意义务无疑会产生不合比例的成本。而对一个掌握了大量有价值个人信息的信息处理者而言,若仅由于 无法取得信息主体的同意而剥夺其处理的权利,事实上不可能,经济上无益处。
同意基础的规定产生的高昂成本,不仅影响着信息处理者,也可能影 响信息主体。除了作出同意所产生的一般成本,如时间成本、通信费用、交通和 文本费用等,更多的是由同意带来的产品和服务成本。信息处理者因告知和征得 信息主体同意所产生的诸多成本,最终会反映在其向信息主体提供的产品和服务 上。可以设想的是,如果将来个人信息的处理不仅需要信息主体的同意,还需要 支付相应的财产对价,其必将导致产品和服务价格的高昂。
可以预见,随着数字经济的发展,个人信息处理行为将会呈现爆炸式 发展,若需要信息主体时时事事的同意,那么对信息主体而言其带来的骚扰可能 远甚于个人信息处理行为本身。对个人信息的严格保护很大程度上意味着信息主 体追求“独处的自由”和“精神上的安宁”,当信息主体面对无休止的同意通知,其 导致的精神上的不安宁和对独处的骚扰,比之个人信息得不到保护的情形恐怕有 过之而无不及。
在大数据时代,个人信息处理行为的规制原则应是防止滥用,而非严 格保护。否定同意是个人信息处理的正当性基础,使得信息处理者可以不经信息 主体同意而收集、处理和利用其个人信息,改善产品或服务,这可能导致个人信 息的大规模滥用。因此,赋予信息主体以删除权是必要的。删除权 (theRighttobeForgotten),又称被遗忘权,是指信息主体有权要求信息处理者永久 删除其某些个人信息的权利。删除权不仅由欧洲法院在判决中提出,輱而且在 2012年欧盟《个人数据保护指令修正案》中明确得到认可。该修正案第17条规定, 当存在如下情形时,信息主体有权要求信息处理者删除有关信息:第一,请求删 除的信息与信息处理目的己无关联,尤其是如果这些信息是由信息主体在未成年 之前发布的;第二,信息主体明示或通过行动表示撤回信息处理的同意,或者同 意处理其个人信息的期限己经届满,且己不存在处理该信息的合法依据;第三, 信息主体反对收集或处理其个人信息……;第四,其他情形。訛在否定同意作为 个人信息处理正当性基础的前提下,删除权的判断核心在于个人信息处理行为己 经背离了信息主体的本意,超出了信息主体所能容忍的限度,并可能或事实上对 信息主体的人格或财产权益造成侵害。赋予信息主体删除权意味着尽管信息处理 者的个人信息处理行为无需事先取得其同意,但当相应情形出现时,信息主体却 可以此为依据要求信息处理者停止个人信息处理行为,删除有关个人信息,从而 防止可能损害的发生,并就己发生的损害请求赔偿。大数据时代的数据价值更多地体现在二次利用即对数据的深入挖掘 和处理过程中,其处理目的可能因此而不断改变,这种特征要求个人信息保护策 略的制定应基于改善人类福祉的目的,侧重于对个人信息的充分利用。基于此, 笔者提出一种“宽进严出+删除权”的个人信息保护策略。这一策略的核心是信息 处理者的个人信息处理行为无需事先取得信息主体的同意,但其应确保信息主体 的知情权,并在损害发生时承担严格责任。与此同时,赋予信息主体必要的删除 权,允许其在合理情形下提出删除相关个人信息的请求。
具体而言,“宽进严出+删除权”策略并不要求信息处理者在收集、处 理和利用个人信息时事先取得信息主体同意,换言之,同意的缺失并不直接导致 个人信息处理行为的非正当性。对个人信息的处理行为,原则上采取宽松的个人 信息政策,尽量减少不必要的限制。然而处理行为的宽松并不意味着责任的宽松, 对于可能发生的个人信息处理危害,信息处理者应保有最高程度的谨慎,一旦产 生实际损害,其有义务将损害最小化,并承担相应的损害赔偿。此外,在全面衡 量信息处理者个人信息处理行为本身以及对信息主体可能或实际造成影响的基 础上,法律应明确信息处理者的具体行为责任,对造成严重后果的个人信息处理 行为在赔偿责任之外加重惩罚责任,必要时亦应采取严厉的刑罚措施。在整个个 人信息处理过程中,一旦出现应删除个人信息的合理情形,信息主体有权反对相 关个人信息处理行为,并提出删除要求。信息处理者应当认真审查相关要求并采 取必要措施,保护信息主体的个人信息权益。值得注意的是,在具体适用中,删 除权的行使应兼顾言论自由及公共利益,不应肆意扩大边界。
⑬2014年5月,Google公司在一件关于数据隐私的重要案件中败诉。
在该案中,欧洲一家法院要求Google接受用户的在搜索结果中删除不相关的多余 信息的请求。Google公司不服判决上诉至欧盟法院。2014年5月13日,欧盟法院 最终裁定用户享有“被遗忘权”,有权要求Google公司从搜索就判断个人信息处理 的正当性基础而言,同意规定的实质是事先判断,即在个人信息处理行为发生之 前,如若信息处理者取得了信息主体的同意,则意味着其处理行为具有正当性。
否定同意是个人信息处理的正当性基础,则表明信息处理者即使取得了信息主体 的同意,其个人信息处理行为也并非理所当然具有正当性。在这种情况下,信息 主体获得了更大程度的个人信息处理自由,但也承担着更多的责任,因为即使事 先取得了信息主体的同意,其处理行为仍然可能造成损害,仍需要承担相应的法 律责任。故而,对个人信息处理行为是否具有正当性的考察,应当设置责任规则, 采取事后判断的方式,全面考察信息主体的个人信息处理行为是否符合事先声明 的特定目的,超出特定目的处理行为是否采取了必要的匿名化举措,在整个个人信息处理过程中信息处理者是否充分保障了信息主体的知情权,以及个人信息处 理行为本身是否在事实上(或具有极大可能)对信息主体造成人格或财产损害,是 否具有违法性等因素。与此同时,同意虽非个人信息处理的正当性基础,但如若 事先取得信息主体的同意,亦可以在一定程度上相应地减轻信息处理者的责任。
事实上,在具体的立法实践中,关于同意规定的修正亦有国家开始尝 试,如将要提交议会审议的日本《个人信息保护法》最新修正案中就准备规定, 删除名字等使特定个人无法被锁定的信息即使没有本人的同意也可提供给第三 方。訛这无疑是符合个人信息处理的现状和需求的,对于经济的创新发展和社会 的进步是利大于弊的。笔者认为,这将会成为个人信息保护立法的一种新趋势。