常宇豪

（西南政法大學(xué) 經(jīng)濟法學(xué)院，重慶401120）

一、問題提出與文獻述評

數(shù)字經(jīng)濟時代，數(shù)據(jù)成為經(jīng)濟社會發(fā)展的重要動力和核心生產(chǎn)要素。作為構(gòu)成數(shù)據(jù)基礎(chǔ)的個人信息，其量的累積性、流通的自由性等要素屬性與受保護需求之間形成天然張力。如何平衡個人信息保護與利用的關(guān)系是國際社會面臨的共同難題。知情同意是各國通行的個人信息保護機制，也是中國個人信息保護法律體系的基本原則（劉金瑞，2017），[1]其本質(zhì)是通過信息主體對信息處理者請求的肯定以及對收集和利用行為的授權(quán)，強化自主控制。但個人信息的要素價值和公共屬性決定了這種控制不能是絕對控制，其承載著的多重利益和多元價值決定了同意權(quán)必然受到他人言論自由和國家、公益機構(gòu)、數(shù)據(jù)企業(yè)對個人信息合理利用訴求的限制。中國現(xiàn)行法和制定中的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）將信息主體同意權(quán)設(shè)置為一種絕對性權(quán)利，既不利于個人信息保護，又抑制了個人信息的合理利用和信息產(chǎn)業(yè)的有序發(fā)展。對此有學(xué)者指出，“在大數(shù)據(jù)時代，知情同意原則絕對化不完全符合現(xiàn)實經(jīng)濟關(guān)系邏輯”（林洹民，2018）。[2]為了破解同意權(quán)絕對化的困境，學(xué)術(shù)界進行了積極探索。如范海潮和顧理平（2021）提出了建立“選擇退出”+“選擇進入”相結(jié)合的可協(xié)商式同意機制。[3]鄭佳寧（2020）依據(jù)情境完整性理論提出不同情境下同意權(quán)差別化適用方案，即對采集個人敏感信息和有特殊后續(xù)處理目的兩種情境適用“明確同意”，其他情形“一般同意”即可。[4]王雪喬（2019）認為，應(yīng)改變信息主體同意權(quán)同等適用模式，區(qū)分同意規(guī)則在身份已經(jīng)識別與可能識別、一般性與敏感性中的適用。[5]蔡星月（2019）建議通過同意體系地位的降低與規(guī)范結(jié)構(gòu)的削弱構(gòu)建信息主體“弱同意”，以有效解決現(xiàn)行法“強同意”的僵硬適用和過高標準帶來的有效性困境。[6]需要指出的是，上述研究力圖通過個人信息類型細化解決同意權(quán)區(qū)別適用問題，但由于未重視個人信息在不同場景下的性質(zhì)變化，仍無法避免同意權(quán)絕對化的困境。同時，為數(shù)不多的有關(guān)信息主體同意機制研究成果主要集中于適用困境和出路探討上，系統(tǒng)研究尚付闕如。鑒于此，本文首先分析現(xiàn)行法同意權(quán)絕對化的成因與困境，繼而在理論上證成同意權(quán)的相對性，在此基礎(chǔ)上提出相對性視角下同意權(quán)的重構(gòu)框架，以期為《個人信息保護法》同意制度的完善提供借鑒。

二、中國現(xiàn)行法同意權(quán)絕對化的立法表達與現(xiàn)實困境

（一）現(xiàn)行法同意權(quán)絕對化的立法表達

中國關(guān)于信息主體同意權(quán)的規(guī)定最早見于2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，其中首次將信息主體同意確定為個人信息收集、使用的唯一合法性基礎(chǔ)。之后，2013年修訂的《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》均采用了同意權(quán)絕對化的設(shè)置?！吨腥A人民共和國民法典》（以下簡稱《民法典》）第一千〇三十五條將“征得該自然人或者其監(jiān)護人同意”作為處理個人信息應(yīng)當(dāng)滿足的一般性條件之一，仍然延續(xù)了同意權(quán)絕對化的設(shè)置。盡管第一千〇三十六條規(guī)定了一系列無須信息主體同意即可處理個人信息的情形，但“從規(guī)范論的角度看，例外并非規(guī)范本身，只是規(guī)范的補充”（謝遠揚，2019），[7]第一千〇三十六條所設(shè)置的例外畢竟不能與一千〇三十五條的一般性規(guī)定相提并論。更何況若以“合法性—有責(zé)性”二元評價體系分析第一千〇三十六條，“處理個人信息，有下列情形之一的，行為人不承擔(dān)民事責(zé)任”的表述僅表明了立法者對特定情形下未經(jīng)信息主體同意的個人信息處理行為不予追究的態(tài)度，并不代表法律對上述行為予以正面評價。概言之，凡未經(jīng)信息主體或其監(jiān)護人同意的個人信息收集、使用行為均屬違法，相當(dāng)于法律賦予信息主體對個人信息的絕對控制權(quán)。正如有學(xué)者指出，“我國是世界上唯一在立法上明示個人信息收集、使用一律須經(jīng)信息主體同意從而將同意一般化的國家”（高富平，2018）。[8]

（二）同意權(quán)絕對化的成因剖析

中國個人信息保護立法之所以采取同意權(quán)絕對化的制度設(shè)計，原因主要有以下三個方面：

1.個人信息收集、使用多元合法性基礎(chǔ)被簡單化處理。在建構(gòu)中國個人信息保護法律體系時，立法機關(guān)更多借鑒了同屬于成文法系的歐盟法立法經(jīng)驗。在歐盟法發(fā)展過程中，出現(xiàn)了兩種值得重視的趨勢：一是個人信息保護力度不斷加強。例如，2018年5月開始實施的《一般數(shù)據(jù)保護條例》（以下簡稱《條例》）賦予信息主體刪除權(quán)（被遺忘權(quán)）、可攜帶權(quán)、限制處理權(quán)等更多新型權(quán)利；在同意權(quán)方面，明確了同意要件、隨時撤銷同意、禁止獲得一攬子同意等規(guī)定，鞏固并增強了知情——同意在個人信息保護框架中的核心地位。二是更加注重保護與利用的平衡?！稐l例》將個人信息收集、使用的合法性基礎(chǔ)拓展為包括數(shù)據(jù)主體同意在內(nèi)的六種情形。在其他五種情形下，不經(jīng)信息主體同意的收集、使用個人信息行為也屬合法，有效地限縮了同意權(quán)的適用范圍，促進了信息的自由流動。但遺憾的是，中國解讀歐盟個人信息保護法律制度，往往過于看重嚴格執(zhí)行的各種要求，忽略了其促進發(fā)展的一面和制度設(shè)計中的各種平衡追求（周漢華，2018）。[9]有學(xué)者指出，中國現(xiàn)行立法中同意權(quán)絕對化的傾向是對域外個人信息保護理論基礎(chǔ)和立法實踐的誤讀（高富平，2018）。[8]

2.將增強同意權(quán)等同于強化個人信息保護。近年來，中國個人信息侵權(quán)事件頻發(fā)，從2016年的徐玉玉事件到2021年超2億中國公民個人信息暗網(wǎng)出售事件，無一不在挑動著社會公眾的敏感神經(jīng)。據(jù)中國銀聯(lián)統(tǒng)計數(shù)據(jù)，有超過90%的電信詐騙是由于個人信息泄露所致。①參閱《網(wǎng)貸之家：超過90%的電信詐騙是由于個人信息泄露導(dǎo)致》[EB/OL]https://www.wdzj.com/hjzs/wangdai/20180601/649802-140.html，最后訪問日期2021年4月18日。面對個人信息泄露日趨嚴重的現(xiàn)實，強化個人信息保護成為社會的廣泛共識。2017年兩會期間，吳曉靈、周學(xué)東等45位全國人大代表提出了《盡快制定個人信息保護法》的議案，此后多名全國人大代表、政協(xié)委員提出議案、提案，要求以法治手段規(guī)范個人信息收集、使用行為，加快個人信息保護立法。部分學(xué)者也主張通過增強信息主體同意權(quán)以強化個人信息保護，如齊愛民（2019）在《中華人民共和國個人信息保護法學(xué)者建議稿》中強調(diào)，“個人信息應(yīng)嚴格保護，非經(jīng)信息主體同意不得收集、處理和利用”。[10]因此，立法者提高同意標準并將信息主體同意作為唯一合法基礎(chǔ)，可以說存在一定的基于民意要求的考量。值得注意的是，加強個人信息保護的社會呼聲主要集中于減少泄露濫用現(xiàn)象、提升安全水平，并非要求增強信息主體對個人信息的控制。在“個人信息屬純粹的私人事務(wù)”的認知下，立法者將信息主體行使同意權(quán)視作個人信息保護的主要甚至唯一路徑，無異于在增強同意權(quán)和強化保護間畫上了等號，但由于大數(shù)據(jù)時代的“同意困境”，通過加強同意權(quán)來提升保護水平效果并不理想。由此，個人信息保護制度陷入“個人信息泄露、濫用事件頻發(fā)——提升保護水平呼聲高漲——通過制度設(shè)計增強同意權(quán)”的怪圈中，并最終導(dǎo)致同意權(quán)走向絕對化。

3.未能正視大數(shù)據(jù)時代的“同意困境”。同意制度肇始于小數(shù)據(jù)時代，其理論推演和制度設(shè)計不可避免地存在局限，這些局限在大數(shù)據(jù)時代已然被放大成為所謂的“同意困境”（Solove，2013）。[11]（1）個人信息收集總是在不知情的情況下進行，信息主體難有機會進行控制和選擇。在大數(shù)據(jù)時代，信息收集、使用方式趨于多元化，除傳統(tǒng)的“一對一”收集外，數(shù)據(jù)共享、cookies抓取、刷臉支付（門禁等）、監(jiān)控設(shè)備、無人機或無人駕駛汽車等新型收集方式無時無刻不在收集著人們的個人信息，且占據(jù)了信息收集的主導(dǎo)地位。美國亞利桑那大學(xué)的一項研究表明，健康類網(wǎng)站的消費者個人信息80%來自自動抓?。≧ains和Bosch，2009）。[12]上述新型數(shù)據(jù)收集方式很難告知并征得信息主體同意。大數(shù)據(jù)聚合、分析所進行的“數(shù)據(jù)二次處理”亦然。（2）信息主體無力真正基于自己的自由意志做出有效同意，即使信息處理者獲得了信息主體的同意授權(quán)，有效性也飽受質(zhì)疑。原因有三：一是“理性人假設(shè)”難以成立。行為經(jīng)濟學(xué)、認知神經(jīng)學(xué)的研究表明，人的理性是有限的，在認知和決策過程中，人會受到“框架效應(yīng)”“稟賦效應(yīng)”“現(xiàn)狀偏好”等因素的影響，“同意”并不能完全反映真實的認知和決策場景（郭春鎮(zhèn)，2014）。[13]不僅如此，同意數(shù)量的增多和標準的提高并不必然強化個人信息保護，反而容易引發(fā)“同意遲鈍”，即對信息主體同意的要求越高，可能越會削弱同意功能的發(fā)揮，阻礙個人信息自我控制目的和效果的實現(xiàn)（Schermer等，2014）。[14]二是信息主體缺乏做出妥當(dāng)同意的專業(yè)知識。面對日趨復(fù)雜的信息技術(shù)和多元化的移動應(yīng)用，信息主體普遍缺乏相應(yīng)的知識和能力以理解或應(yīng)對諸多信息披露，難以對信息收集帶來的收益和潛在危害做出正確評估（沙哈爾和施奈德，2015年版）。[15]三是同意往往屬于被迫選擇。在“二選一”背景下，同意是信息主體使用產(chǎn)品或者服務(wù)的前提條件。受互聯(lián)網(wǎng)經(jīng)濟網(wǎng)絡(luò)效應(yīng)、消費者鎖定效應(yīng)影響，許多具有壟斷地位企業(yè)的產(chǎn)品或服務(wù)直接關(guān)系到消費者根本利益，加之轉(zhuǎn)移成本高昂，拒絕這些服務(wù)變得越來越難。信息主體若想使用其產(chǎn)品或服務(wù)，只能點“同意”，別無選擇?？陀^而言，立法者在進行同意權(quán)的制度設(shè)計時應(yīng)當(dāng)注意到“同意困境”問題，但其顯然輕視了同意困境可能造成的制度后果以及克服同意困境的難度。事實上，同意困境是由大數(shù)據(jù)時代個人信息的處理方式、信息主體的稟賦缺陷以及信息處理者相對于信息主體的權(quán)力勢差共同決定的，是客觀的、系統(tǒng)的、根源性的，難以簡單通過制度設(shè)計予以紓解。而在一套以同意權(quán)為核心的個人信息保護制度中，同意機制難以發(fā)揮作用無疑意味著整套制度的全盤失效。

（三）同意權(quán)絕對化的現(xiàn)實挑戰(zhàn)

同意機制的設(shè)計初衷是通過強化信息主體的自主控制，達到保護信息主體權(quán)益的目的。然而，在基本權(quán)利維度，個人信息既是信息主體人格權(quán)之所系，又是他人自由權(quán)（特別是言論自由）的對象；在價值維度，個人信息兼具人格尊嚴、商業(yè)價值、公共管理價值；在利益維度，信息主體的個人信息保護需求與信息處理者的利用需求并存。同意標準的提高只是法律單向度強化信息主體個人權(quán)益保護，未能同步起到對信息處理者的正向激勵作用，客觀上加劇了利益失衡，使同意機制陷入困境。主要體現(xiàn)在兩個方面：

1.保護效果不佳，制度成本高企。上文述及，同意機制在大數(shù)據(jù)時代面臨客觀困境，導(dǎo)致其個人信息保護績效不佳。一個例證是，本文通過裁判文書網(wǎng)檢索發(fā)現(xiàn)，2021年1月1日《民法典》生效以來約半年時間里，尚無任何一例案件援引第一千〇三十五條關(guān)于同意權(quán)的規(guī)定。與此相映成趣的是，根據(jù)工業(yè)和信息化部2021年3月12日發(fā)布的“存在問題的應(yīng)用軟件名單”，136款A(yù)pp多數(shù)存在強制過度索取權(quán)限、違規(guī)收集、超范圍收集個人信息行為，用戶只要登錄并使用相關(guān)服務(wù)，即默認已閱讀、理解并同意協(xié)議全部內(nèi)容和要求的個人信息收集。另一方面，絕對化的同意權(quán)還會造成高昂的制度成本。一個著名的例子是美國西部電話公司在經(jīng)過調(diào)查后發(fā)現(xiàn)，其獲得單個用戶同意授權(quán)的成本在30美元左右。①參閱Brief for Petitioner and Intervenors at 16 n.37,U.S.West v FCC,182 F.3d 1224(10th Cir.1999),cent.denied 528 U.S.1188(2000).雖然在大數(shù)據(jù)時代的今天，通過網(wǎng)絡(luò)獲得信息主體同意的成本已經(jīng)遠遠低于上述案例發(fā)生時，但考慮到獲取個人信息的數(shù)量和頻次以及因此所需征得同意的數(shù)量同樣隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展而倍增，再加上中國個人信息保護法律體系對同意的要求遠高于美國，同意權(quán)造成的制度成本顯然不低?？梢姡瑖揽恋耐鈾C制并未起到高水平保護個人信息的效果，反而可能迫使信息處理者在面對高昂的制度成本時采取種種措施規(guī)避監(jiān)管，反而客觀上降低了個人信息保護水平，對此下文將詳細展開。

2.利益沖突加劇，同意機制虛化。個人信息是一個附有多重利益和價值的集合體，保護與利用過程也是不同主體實現(xiàn)各自利益的過程。只有平衡好各方利益，構(gòu)建相互促進、和諧共生的個人信息生態(tài)，方能實現(xiàn)保護與利用的共贏。然而，同意權(quán)的絕對化背離了這一內(nèi)在要求，造成利益分配格局失衡。在同意權(quán)絕對化和利益沖突加劇的背景下，信息處理者往往利用資金、技術(shù)、信息等方面的優(yōu)勢，設(shè)計并實施諸如不經(jīng)信息主體同意收集、過度收集、概括性同意、默認勾選、不同意不能使用產(chǎn)品或服務(wù)等方式規(guī)避法律規(guī)制。在強勢的信息處理者面前，信息主體的同意權(quán)被虛化，法律規(guī)制失靈。盡管2017年以來中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國家標準化委員會聯(lián)合對隱私協(xié)議存在的問題進行了多輪專項整治，但效果難言樂觀。據(jù)國家互聯(lián)網(wǎng)信息辦公室2021年5月10日發(fā)布的“關(guān)于騰訊手機管家等84款A(yù)pp違法違規(guī)收集使用個人信息情況的通報”，魯大師、360清理大師、360借條、平安好貸等35款A(yù)pp存在未經(jīng)用戶同意收集使用個人信息，騰訊手機管家、獵豹清理大師、360借條、還唄等65款A(yù)pp存在超范圍收集個人信息行為。①參見《工業(yè)和信息化部關(guān)于電信服務(wù)質(zhì)量的通告》 （2019年第2號），https://www.sohu.com/a/324356253-100019684，最后訪問日期2021年5月15日?？梢院侠硗茰y，如果沒有行政機關(guān)監(jiān)管、僅依賴信息主體自力救濟，個人信息違法違規(guī)收集使用現(xiàn)象將越來越普遍，最終導(dǎo)致個人信息處理徹底遵循“叢林法則”，同意權(quán)乃至整套個人信息保護制度名存實亡。

3.立法、司法割裂，法律、標準抵觸。絕對化同意權(quán)導(dǎo)致的個人信息過度保護和絕對控制必然引發(fā)流動阻滯，進而妨礙個人信息公共價值和商業(yè)價值的實現(xiàn)，給信息資源的開發(fā)利用帶來沉重負擔(dān)和法律風(fēng)險，與國家鼓勵大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的政策導(dǎo)向存在分歧（宋亞輝，2019）。[16]為了平衡法律嚴格保護與公共管理和大數(shù)據(jù)產(chǎn)業(yè)對個人信息需求之間的張力，中國的司法實踐不得不秉持實踐理性，通過法律解釋的方式“繞過”現(xiàn)行法律中過于絕對的同意權(quán)設(shè)置。比如在朱某與北京百度網(wǎng)訊科技有限公司隱私權(quán)糾紛案中，二審法院未采用《網(wǎng)絡(luò)安全法》關(guān)于個人信息“單獨或者與其他信息結(jié)合識別自然人個人身份”的定義，而是通過狹義解釋將個人信息限定在單獨識別范圍內(nèi)；另一方面，在有效同意方式的認定上，法院也未采納要求更為嚴格的“明示同意”，認為“默示同意”也不違反國家對信息行業(yè)個人信息保護的公共政策導(dǎo)向。②參見江蘇省南京市中級人民法院民事判決書（2014）寧民終字第5028號。又比如，在凌某某訴北京微播視界科技有限公司隱私權(quán)、個人信息權(quán)益網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案中，北京互聯(lián)網(wǎng)法院首先確認處理手機通訊錄聯(lián)系人姓名和手機號碼需要手機用戶和通訊錄聯(lián)系人雙重同意，但隨后提出“如果要求在任何使用場景下都必須嚴格征得雙重同意，有可能會導(dǎo)致具體場景下利益的失衡”，因此“需要在具體應(yīng)用場景中考察是否存在構(gòu)成個人信息合理使用的情形，即在沒有對信息主體造成不合理損害的前提下，認定某些個人信息利用行為可以不必征得信息主體同意”。③參見北京互聯(lián)網(wǎng)法院一審民事判決書（2019）京0491民初6694號。法院通過具體場景中個人信息使用合理性的認定，為信息處理者的正當(dāng)處理行為提供了空間——即沒有造成不合理侵害的使用行為，可不必征得其同意；反之，則需要詳細告知并征得同意。此種分類適用“個人同意”的實踐，有效釋放了信息流動性并降低合規(guī)成本，屬于典型的場景風(fēng)險理論的應(yīng)用，但中國法并沒有該理論的相關(guān)規(guī)定。在調(diào)和個人信息保護與利用張力中，司法的“寬松”與立法的“嚴格”形成明顯對立，但客觀上平衡了現(xiàn)行法對個人信息過度保護帶來的負面影響。從實踐效果來看，中國數(shù)字經(jīng)濟之所以能在相對較短的時間內(nèi)得以蓬勃發(fā)展，與寬松的司法、執(zhí)法所營造出的自由發(fā)展環(huán)境是分不開的。破解現(xiàn)行法同意權(quán)絕對化的另一嘗試是國家標準《信息安全技術(shù) 個人信息安全規(guī)范》突破了法律將信息主體同意作為個人信息收集使用唯一合法基礎(chǔ)的規(guī)定，建立了多元合法性基礎(chǔ)。盡管此種突破有與上位法抵觸之嫌，但中央網(wǎng)信辦仍要求將該標準作為新冠肺炎疫情防控中個人信息利用的重要指導(dǎo)性規(guī)范，足以說明現(xiàn)行法無法滿足疫情防控等緊急狀態(tài)下個人信息利用的需要。

綜上所述，在堅持以市場經(jīng)濟高效發(fā)展為需求導(dǎo)向的同時，要密切考量通航主客體在運營管控層面的現(xiàn)實壓力，表明船舶主尺度尚且不能按照理論分析值全面放寬。

三、同意權(quán)相對性的提出

（一）同意權(quán)絕對化的法理質(zhì)疑

同意權(quán)絕對化的制度邏輯在于，個人信息是信息主體人格尊嚴的重要組成部分，是純粹的私人事務(wù)。如果個人無法知道自己的個人信息在何種程度上、被何人獲得并加以利用，則個人將失去作為主體參與的可能性，而淪為他人可以操縱的信息客體，被淪為客體正是人性尊嚴被侵害的同義語（楊芳，2015）。[17]因此，“確保本人對個人信息的自主支配與利用，就是對其人格尊嚴的保護”（李儀，2013），[18]體現(xiàn)在制度設(shè)計上就是賦予信息主體同意權(quán)。但如果深究，個人信息“當(dāng)然”屬于信息主體的觀點值得推敲。從來源看，個人信息可分為自然型、社會型和復(fù)合型三類。自然型個人信息主要指與生俱來且無法輕易改變的身體屬性，如相貌、指紋、血型、基因等。社會型個人信息更多建立在社群中，是為了生活便利由個人主動或被動地獲取的相應(yīng)符號或信息，包括聊天記錄、網(wǎng)頁瀏覽記錄、購物記錄等。復(fù)合型個人信息實際上是一種經(jīng)信息處理者分析處理后得出的對個人行為趨向與潛在偏好的預(yù)測，典型的是個人畫像信息。由上述分析可看出，至少后兩類個人信息均非信息主體獨立生成，而是其在社會活動中經(jīng)由與其他主體的交互產(chǎn)生的。根據(jù)“額頭流汗”原則，很難斷然排除其他主體對這兩類個人信息的合法權(quán)益。從功能看，個人信息是個人在社會中標識自己、建立聯(lián)系的工具，也是社會了解和識別每一個體并開展活動的依據(jù)。社會性個人信息側(cè)重于信息主體與社會建立溝通和聯(lián)系，自然性個人信息則更多作為社會了解、判斷特定個人的工具。此兩方面構(gòu)成個人信息應(yīng)用的基本場景。工具性質(zhì)決定了個人信息的社會性、公共性（曹博，2018）。[19]從屬性看，個人信息具有非競爭性，對個人信息的處理不會減損其效用。同時，基于個人信息的交互性、共享性，個人信息也不具有完整意義上的排他性。因此，個人信息至少是經(jīng)濟學(xué)上的“準公共物品”而非“私人物品”。綜上，個人信息并不完全是信息主體的私人事務(wù)，而是個人性與社會性、獨占性與公共性的結(jié)合體。正是因此，個人信息流通與否，不應(yīng)通過絕對化的同意權(quán)設(shè)置將決定權(quán)完全交由信息主體行使，應(yīng)在對個人信息多元價值進行全面把握的基礎(chǔ)上做出更加精細的制度設(shè)計。

（二）個人信息的多元價值梳理

1.人格尊嚴和自由發(fā)展價值。（1）個人信息承載信息主體的人格屬性，具有人格尊嚴價值。個人信息是“可以識別個人身份的信息”，是對信息主體狀態(tài)、行為或思想的固定。由于與特定個人具有顯著對應(yīng)關(guān)系，個人信息成為能夠顯現(xiàn)個人生活軌跡、勾勒個人人格形象的外在標志，形成個人“信息化形象”（張新寶，2015）。[20]因此自然人的個人信息與其生命、身體、健康、名譽、自由等人格要素一樣，成為構(gòu)成完整法律人格不可或缺的基本要素（鄭曉劍，2011）。[21]如果泄露或者不當(dāng)使用個人信息，將會導(dǎo)致信息主體人格尊嚴受損。（2）個人信息具有人格自由發(fā)展價值。只有個人能夠控制其個人信息，才可能自由發(fā)展其人格。比如現(xiàn)實生活中，未經(jīng)信息主體同意，擅自大規(guī)模收集、整理、加工、出售和向第三方分享他人個人信息就會侵犯信息主體人格的自由發(fā)展。這是因為非經(jīng)本人“同意”的信息處理會在社會中造成超出本人預(yù)期的結(jié)果，對本人的人格發(fā)展造成不可預(yù)料的影響，使得本人人格塑造的結(jié)果偏離原本的預(yù)期（謝遠揚，2015）。[22]正如學(xué)者所言，個人作為目的性的存在，只有消除對“信息化形象”被他人操控的疑慮和恐慌，才能有自尊地生存和生活（張新寶，2015）。[20]

2.商業(yè)利用價值。個人信息的商業(yè)利用價值是伴隨數(shù)據(jù)挖掘和聚合技術(shù)的產(chǎn)生而逐步顯現(xiàn)的。進入大數(shù)據(jù)時代，一方面隨著智能終端的普及、數(shù)據(jù)采集技術(shù)的發(fā)展以及人們社交行為、交易行為的網(wǎng)絡(luò)化，大量個人信息不斷產(chǎn)生并匯集為海量數(shù)據(jù)流，為大數(shù)據(jù)產(chǎn)業(yè)發(fā)展提供基礎(chǔ)數(shù)據(jù)資源（吳偉光，2016）；[23]另一方面，大數(shù)據(jù)正日益對全球生產(chǎn)、流通、分配、消費活動以及經(jīng)濟運行機制、社會生活方式和國家治理能力產(chǎn)生重要影響，而個人信息正是大數(shù)據(jù)的重要組成部分。以個人信息為基礎(chǔ)的大數(shù)據(jù)正在“以一種前所未有的方式，通過對海量數(shù)據(jù)進行分析，獲得有巨大價值的產(chǎn)品和服務(wù)，或深刻的洞見”（舍恩伯格和庫克耶，2013年版）。[24]

3.社會管理和社會服務(wù)價值。個人是社會的最小組成單元，社會管理在某種程度上也是對人及其生活環(huán)境的管理。正所謂“欲得民必先知民”。為實施社會管理和提供公共服務(wù)，收集和利用個人信息是自古以來政府都普遍采用的做法（張新寶，2015）。[20]在新冠肺炎疫情防控中，個人信息和大數(shù)據(jù)在疫情動態(tài)監(jiān)控、傳染源追蹤、疫情走勢預(yù)測等諸多方面發(fā)揮了難以替代的作用，個人信息成為守護全民健康、服務(wù)疫情防控的重要力量。上述事例表明，個人信息在社會管理和社會服務(wù)中發(fā)揮著重要作用。進入信息社會，無論是政府摸排基本情況、確定社情民意，還是全面統(tǒng)籌部署、做出科學(xué)決策，都離不開由個人信息匯集而成的大數(shù)據(jù)，個人信息的社會管理和社會服務(wù)價值得到極大彰顯。此外，個人信息還具有國家數(shù)據(jù)安全價值，關(guān)乎國家的數(shù)據(jù)主權(quán)和數(shù)據(jù)安全。

（三）同意權(quán)相對性的證成

個人信息作為一種重要的社會存在，蘊含著個體價值與社會價值、倫理價值與經(jīng)濟價值，各價值相互勾連，不可分割，共同描繪單個自然人構(gòu)成社會整體的人格利益樣態(tài)和財產(chǎn)利益樣態(tài)（楊惟欽，2016）。[25]由于個人信息承載著多元價值，不同主體對個人信息產(chǎn)生了不同利益訴求。信息主體出于對保全人格尊嚴和完整性的需求產(chǎn)生了個人利益；數(shù)據(jù)企業(yè)出于發(fā)展數(shù)字經(jīng)濟需要使用個人信息產(chǎn)生了商業(yè)利益同時附帶公共利益；國家和承擔(dān)公共職能的非營利機構(gòu)出于履行國家治理、國家安全、公共安全、公共衛(wèi)生、科學(xué)研究、新聞宣傳等管理與服務(wù)職能使用個人信息產(chǎn)生了公共利益。從保護與利用的視角看，信息主體的個人利益屬于保護利益；其他主體的利益屬于利用利益。從信息流動的視角看，個人利益的實現(xiàn)需要個人信息隔離或僅在自己可控狀態(tài)下流動，商業(yè)利益和公共利益的實現(xiàn)則需要信息的自由流動，這是個人信息保護與利用存在內(nèi)在沖突的深層原因。

龐德（1984年版）認為，法律的功能在于調(diào)節(jié)、調(diào)和與調(diào)解各種錯雜和沖突的利益……以便使各種利益中大部分或我們文化中最重要的利益得到滿足，而使其他的利益最少的犧牲。[26]因此，個人信息保護法的目的應(yīng)當(dāng)是平衡附于個人信息上的多種利益、兼顧個人信息保護與利用，這也是《二審稿》所欲達成的制度目標。同意權(quán)確是保障個人信息安全、維護信息主體人格尊嚴和自由的重要途徑，但同意權(quán)無例外地適用則意味著“個人信息的收集、傳輸或利用在原則上受到禁止，除非獲得信息主體的同意”（楊芳，2016），[27]由此導(dǎo)致的信息不自由將嚴重阻礙大數(shù)據(jù)產(chǎn)業(yè)發(fā)展、社會秩序維持和公共福利增進。從比例原則的角度出發(fā)，應(yīng)當(dāng)通過法律安排對信息主體權(quán)益進行適當(dāng)限縮，變“絕對同意”為“相對同意”，以此真正實現(xiàn)《二審稿》“保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”的立法目的。

四、相對性視角下同意權(quán)的重塑

信息主體同意權(quán)是信息主體自我控制的程序性機制，在個人信息保護中發(fā)揮著重要的基礎(chǔ)性作用。然而，過分嚴苛的、不加區(qū)分的適用同意機制將增加信息收集處理成本以及合規(guī)風(fēng)險，阻礙個人信息的流通和利用（胡文華等，2018）。[28]若欲破解同意困境，繼續(xù)發(fā)揮同意權(quán)在保護個人信息中的作用，需要從兩個方面對同意權(quán)進行相對性重構(gòu)：其一，完善個人信息處理的合法性基礎(chǔ)，使同意之外的個人信息處理合法性事由真正發(fā)揮作用；其二，改變目前《二審稿》中普遍要求個人信息處理征得信息主體明示同意的做法，以個人信息在具體處理場景中的風(fēng)險為指導(dǎo)，差異化配置不同的同意方式。

（一）完善個人信息處理的合法性基礎(chǔ)

絕對化視角下個人信息收集、使用的合法性基礎(chǔ)是唯一的，即信息主體同意。但這種絕對化既缺乏理論支撐，也不利于個人信息保護與利用的和諧共進。為了回應(yīng)社會現(xiàn)實需要，《二審稿》將《信息安全技術(shù) 個人信息安全規(guī)范》建立的個人信息處理多元化合法基礎(chǔ)上升為法律，在法律層面完成了信息主體同意權(quán)的相對化重構(gòu)。從目的維度看，《二審稿》中個人信息處理合法情形可大致分為三類：一是保障信息主體自身權(quán)益（包括人格權(quán)益和生命財產(chǎn)權(quán)益）的情形，例如信息主體同意、為訂立或履行信息主體為一方當(dāng)事人的合同、緊急狀態(tài)下保護自然人生命財產(chǎn)安全等；二是維護公共利益的個人信息利用情形，包括履行法定職責(zé)和法定義務(wù)、應(yīng)對突發(fā)公共衛(wèi)生事件、新聞報道、輿論監(jiān)督的個人信息合理使用等；三是可勉強歸入保障商業(yè)利益情形的“合理處理已公開個人信息”。在數(shù)量維度上，保障個人利益、公共利益和商業(yè)利益的個人信息合法利用情形比例為3∶3∶1，表明立法者更多關(guān)注個人利益與公共利益之間的平衡，而對商業(yè)利益的維護采取了輕視態(tài)度；從內(nèi)容維度看，除信息主體同意外的其他六種情形均設(shè)置了嚴苛限制。例如，《二審稿》對新聞報道、輿論監(jiān)督的個人信息合理使用情形進行了目的和行為雙重限制，即要求使用目的具有公益性、使用行為具有合理性。目的的公益性要求“合理使用”的目的必須是公共利益，行為的合理性要求個人信息使用行為必須符合個人信息處理的一般規(guī)則，不得不合理增加自然人隱私風(fēng)險；如果使用“不合理”造成人格權(quán)侵害的，需要承擔(dān)民事責(zé)任。再如對維護商業(yè)利益條款的限制，一是要求利用客體為“已公開個人信息”，利用非公開個人信息需征得信息主體同意；二是利用行為必須合理，超過必要限度需承擔(dān)侵權(quán)責(zé)任。上述制度安排均呈現(xiàn)出鮮明的重保護、輕利用的傾向，嚴重偏離了平衡個人信息多重利益和多元價值的立法要求。鑒于此，為完善中國的個人信息利用多元合法基礎(chǔ)，應(yīng)解除對維護公共利益合法情形的限制，同時引入合法利益豁免機制為個人信息商業(yè)利用松綁。

1.弱化對個人信息合理使用情形的限制。個人信息合理使用制度最初規(guī)定于《民法典》第九百九十九條，是法律為了平衡新聞報道、輿論監(jiān)督對個人信息的利用和信息主體私益保護而做出的制度安排，屬公權(quán)力為維護公共利益而對自然人個人信息權(quán)益的一種限制。①《民法典》第九百九十九條規(guī)定：“為公共利益實施新聞報道、輿論監(jiān)督等行為的，可以合理使用民事主體的姓名、名稱、肖像、個人信息等；使用不合理侵害民事主體人格權(quán)的，應(yīng)當(dāng)依法承擔(dān)民事責(zé)任?！币庠谛畔⒅黧w同意之外為以公共利益為目的的新聞報道、輿論監(jiān)督提供個人信息使用路徑。然而，為防止該制度對個人信息權(quán)益造成侵害，《民法典》和《二審稿》均對該制度進行了目的和行為的雙重限制。較之域外個人信息保護法同類規(guī)定更加嚴苛。比如《新加坡個人數(shù)據(jù)保護法》（2012）在第十七條“未經(jīng)同意收集、使用和披露”中將新聞機構(gòu)收集個人數(shù)據(jù)，且僅用于其新聞活動的行為確定為可不經(jīng)信息主體同意的“合理使用”行為，并未將行為目的限定在“公共利益”（李愛君和蘇桂梅，2018）。[29]同樣，《日本個人信息保護法》也規(guī)定了新聞報道可以成為個人信息保護的免責(zé)事由，但也并未將免責(zé)條件限定于“為了維護公序良俗”或“為公共利益”的主觀目的中，而是規(guī)定廣播機關(guān)、報社、通訊社以及其他報道機關(guān)（包括從事報道的個人）在為了必要報道而使用個人信息的情況下，可以不向個人信息主體告知其利用的目的（蔡唱，2019）。[30]

2.將實現(xiàn)信息處理者或第三方合法利益確定為個人信息處理合法性基礎(chǔ)。實現(xiàn)信息處理者或第三方合法利益的個人信息處理又稱合法利益豁免，指當(dāng)個人信息處理為實現(xiàn)信息處理者或第三方的合法利益所必需時，信息處理者可通過平衡測試證明其使用利益高于信息主體利益，使其無須取得信息主體同意也可對信息主體的個人信息進行處理。歐盟《條例》第六條將實現(xiàn)信息處理者或者第三方合法利益確定為個人信息利用的合法性基礎(chǔ)之一，但同時規(guī)定“信息主體享有的個人信息被保護權(quán)益、基本權(quán)利和自由優(yōu)先于上述合法利益的除外，尤其在信息主體為兒童的情形下”。此機制的本質(zhì)是平衡個人信息保護和信息自由流動之間的緊張狀況，目前已為世界主流立法所采納（謝琳，2019）。[31]為了提高該機制的可執(zhí)行性，歐盟第29條工作組發(fā)布了關(guān)于合法性利益的指導(dǎo)性意見，試圖為合法利益豁免提供一個清晰可行的執(zhí)行框架。按照該框架要求，平衡測試內(nèi)容包括：（1）數(shù)據(jù)控制者合法利益的評估，重點是合法利益的性質(zhì)和重要性；（2）對信息主體影響的評估，重點是預(yù)防監(jiān)管對信息主體的影響；（3）一般義務(wù)上的平衡，重點評估信息處理者是否盡到了一般性保護義務(wù)；（4）是否采取了額外保護措施，重點審查信息處理者是否采取額外措施以減少對信息主體的影響（謝琳，2019）。[31]

歐盟《條例》中的合法利益豁免機制條款未在《二審稿》文本中出現(xiàn)，反映立法者在處理信息主體私益和商業(yè)利益沖突時的謹慎心態(tài)。本文認為，數(shù)據(jù)企業(yè)的商業(yè)利益追求是其正當(dāng)要求，刻意限制或回避只能使數(shù)據(jù)企業(yè)采取更多措施逃避法律規(guī)制，不利于個人信息利益平衡機制的構(gòu)建。應(yīng)借鑒歐盟立法經(jīng)驗，將合法利益豁免機制確定為個人信息處理的合法性基礎(chǔ)，真正使個人信息成為數(shù)字經(jīng)濟發(fā)展的核心生產(chǎn)要素。

（二）構(gòu)建同意權(quán)差異化適用機制

同意權(quán)的絕對化和無差別適用不符合個人信息的本質(zhì)屬性和價值多元的利益訴求，是對個人信息性質(zhì)和價值認識的片面化和簡單化。同意權(quán)的相對化或者說“適用區(qū)分化”已是大勢所趨（林洹民，2018）。[2]作為回應(yīng)，中國法對同意權(quán)差別化適用進行了有益探索，《民法典》將個人信息區(qū)分為“私密信息”和非私密信息，適用不同的法律規(guī)則；《二審稿》則將信息主體同意劃分為“同意”“單獨同意”“書面同意”，以適用于不同的個人信息類型和處理行為。上述規(guī)定改變了同意權(quán)絕對化、平均化適用理念，體現(xiàn)了差別化保護思想，即特殊信息強化保護，一般信息放開流通，較好地解決了個人信息保護與利用緊張狀況。然而值得注意的是，此種區(qū)分對敏感信息仍采用靜態(tài)保護標準，凡是列為敏感的信息均需信息主體同意，仍無法解決絕對適用問題。因為“信息敏感性不是與生俱來的，任何信息基于具體的場景都有可能具有敏感性”（Wang，2007）。[32]反之，歸入敏感信息范圍的個人信息也可能基于具體場景失去敏感性，因此應(yīng)結(jié)合具體場景探討信息主體的同意權(quán)適用問題。近年來中國個人信息司法實踐對場景理論的運用已進行了積極嘗試。

場景理論是美國2015年《消費者隱私權(quán)利法案（草案）》引入的個人信息保護新理念，“以‘在相應(yīng)場景中合理使用’標準作為個人信息處理行為的合法性授權(quán)”（范為，2016）。[33]進而言之，符合特定場景的個人信息使用行為默認獲得信息主體授權(quán)，只有存在個人信息的“不合理”使用情形，方需對信息主體進行告知并征得同意。例如在凌某某訴北京微播視界科技有限公司隱私權(quán)、個人信息權(quán)益網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案中，北京互聯(lián)網(wǎng)法院認為：“雖然讀取手機通訊錄時不可避免地讀取原告的手機號碼，但讀取和匹配行為并不會對原告產(chǎn)生打擾，通常也不會不合理地損害原告利益，且有利于滿足其他有社交需求用戶的利益及行業(yè)和社會發(fā)展的需要，屬于對該信息的合理使用。”換言之，法院認為原告注冊抖音App之后被告對其姓名、手機號的使用行為屬于合理使用，不必征得原告同意。其實質(zhì)是以“具體場景中的合理使用標準”替代了“信息主體同意標準”。①參見北京互聯(lián)網(wǎng)法院一審民事判決書（2019）京0491民初6694號。而在黃某訴騰訊科技（深圳）有限公司等隱私權(quán)、個人信息權(quán)益侵權(quán)責(zé)任糾紛案中，法院認為“微信讀書中的信息組合與人格利益較為密切，微信讀書遷移微信好友關(guān)系、默認向未關(guān)注的微信好友公開讀書信息等，存在較高的侵害用戶隱私的風(fēng)險，應(yīng)就信息處理方式向用戶顯著告知并征得同意”，同樣貫徹了場景風(fēng)險思維。②參見北京互聯(lián)網(wǎng)法院一審民事判決書（2019）京0491民初16142號。這種以個案分析為路徑，以利用行為的危害性為標準的個人信息同意適用模式，較好地實現(xiàn)了信息主體同意權(quán)相對性重構(gòu)。

場景風(fēng)險理論為紓解同意權(quán)的絕對化提供了一種相對合理的方案，但紛繁復(fù)雜場景中的隱私風(fēng)險評估效率低下和動態(tài)靈活性導(dǎo)致的司法人員自由裁量過大均不符合中國的成文法傳統(tǒng)。因此，雖然場景風(fēng)險理論得到了司法機關(guān)和實務(wù)界的廣泛接納和采用，卻始終未被收進中國個人信息保護相關(guān)立法。為了彌補場景風(fēng)險理論的不足，本文建議通過“與人格尊嚴的緊密程度”和“泄露或不當(dāng)使用的危害性大小”兩個維度劃分個人信息類型并差別適用同意權(quán)，以此為場景風(fēng)險理論提供一個固定的分析框架，調(diào)適立法與司法、靈活性與確定性間的緊張關(guān)系。之所以選取上述兩個維度，是因為人格尊嚴是人的為人所應(yīng)有的最起碼社會地位和受他人、社會尊重的權(quán)利，而泄露或不當(dāng)使用的危害性主要基于個人信息泄露或不當(dāng)使用的風(fēng)險考量。在上述兩個維度下，個人信息可劃分為：（1）關(guān)涉人格尊嚴且泄露或不當(dāng)使用危害性較大的信息；（2）關(guān)涉人格尊嚴但泄露或不當(dāng)使用危害性較小的信息；（3）不關(guān)涉人格尊嚴但泄露或不當(dāng)使用危害性較大的信息；（4）不關(guān)涉人格尊嚴且泄露或不當(dāng)使用危害性較小的信息四種類型。其中（1）類信息具有較強的個體性，涉及信息主體重大、不可逆轉(zhuǎn)的利益，其泄露或不當(dāng)使用造成的損害最為嚴重，因此適用最為嚴格的同意制度：即個人信息初次收集、改變初始目的的信息處理均需獲得信息主體明確同意和授權(quán)，即信息主體以“選擇進入”方式行使同意權(quán)；同意方式需為逐項同意，一攬子同意或概括性同意無效；如需長期使用該類信息，須定期告知信息主體并征得同意。（2）（3）類信息對信息主體的重要性和危害性較（1）類要低，制度設(shè)計上同意權(quán)適用方式可更為靈活，權(quán)利行使進路可采用“選擇退出”方式，即信息主體在首次收集時同意后如果不做出相反意思表示，信息處理者即可繼續(xù)使用；但信息主體明確表示不同意繼續(xù)使用，則信息不得再繼續(xù)處理；同意方式可采用一攬子同意或概括性同意；初始目的改變的信息處理需要征得信息主體明確同意。（4）類信息對信息主體的影響和危害最低，同意權(quán)適用上采用“默示同意”+“選擇退出”+“事后救濟”進路，即如果信息主體不明確提出反對意見，該類個人信息可直接收集、使用（視為信息主體同意）。若信息收集、使用過程中涉嫌侵權(quán)，可采用人格權(quán)路徑或侵權(quán)法路徑進行事后救濟。由此，該類信息的公共性和社會性得以實現(xiàn)，信息主體的有限控制權(quán)也可以保障。從功利角度看，信息處理者較為自由地使用此類信息而無須付出巨大成本，信息主體也因為無須授權(quán)而不會被頻繁打擾，較好地兼顧了各方利益。

五、結(jié)語

黨的十九大報告提出了建設(shè)網(wǎng)絡(luò)強國、數(shù)字中國、戰(zhàn)略社會的戰(zhàn)略目標。個人信息作為大數(shù)據(jù)得以生成的重要基礎(chǔ)，通過科學(xué)合理的制度設(shè)計保障其依法有序自由流通既是創(chuàng)新驅(qū)動、科技強國的必然要求，也是即將出臺的《個人信息保護法》需解決的關(guān)鍵問題。目前中國個人信息保護法律體系存在信息主體同意權(quán)絕對化問題，不僅不利于保護機制發(fā)揮實效、切實提高保護水平，更嚴重窒礙了個人信息合理利用、影響了保護制度的體系性和權(quán)威性。因此，應(yīng)當(dāng)從理論和制度兩個層面破解信息主體同意權(quán)絕對化困境，變“絕對同意”為“相對同意”。

需要注意的是，打破同意權(quán)絕對化并非否認信息主體同意機制的地位和價值，而是摒棄“不分重點、一刀切適用”的現(xiàn)狀。在承認不同個人信息具有不同的重要性和價值的基礎(chǔ)上，分類、分場景適用不同強度的同意機制，是同意權(quán)相對性的核心要義。在同意權(quán)相對性視角下，將個人信息處理合法情形多元化與同意權(quán)差異化適用作為大數(shù)據(jù)時代同意權(quán)重塑的兩大基本理念，通過舉證責(zé)任倒置、明確同意要素、同意撤回、構(gòu)建敏感信息和兒童信息特殊同意制度、改變“二選一”機制、提高違法處罰成本等措施，實現(xiàn)個人信息保護與利用的協(xié)同共進，推動信息主體同意權(quán)“中國模式”的形成。