李 晴
(1.遼寧大學法學院,遼寧 沈陽 110036;2.沈陽師范大學法學院,遼寧 沈陽 110034)
知情同意是個人信息處理的合法基礎(chǔ)之一,各國(地區(qū))制定的個人信息保護立法大多作了明確規(guī)定。①Daniel J.Solove,“Introduction: Privacy Self-management and the Consent Dilemma”,Harvard Law Review,vol.126,p.1880(2013).我國《個人信息保護法》②全稱為《中華人民共和國個人信息保護法》,為敘述方便,本文所涉及的我國有關(guān)法典、法律均采用簡稱。也構(gòu)建了多元化的知情同意規(guī)則體系。近年來,個人同意規(guī)則成為學術(shù)研究的熱點議題,理論成果不斷涌現(xiàn),爭議焦點集中在個人同意的三個面向:個人同意的性質(zhì)如何界定?個人同意可采取何種方式(形式)?個人同意有效要件有哪些?本文擬從解釋論角度出發(fā),對上述問題進行深入探討,以期對個人信息保護知情同意規(guī)則的理解與適用有所裨益,并求教于學界同仁。
在理論界,就個人同意的法律性質(zhì),學者間存在較大爭議,主要有意思表示說、處分行為說、準法律行為說三種觀點。意思表示說認為,個人同意具備意思表示的構(gòu)成要素,故個人同意屬于意思表示,從而對同意的方式、效力、撤回等諸多疑難問題,可以適用《民法典》關(guān)于法律行為的相關(guān)規(guī)定予以解決。③陸青:《個人信息保護中“同意”規(guī)則的規(guī)范構(gòu)造》,《武漢大學學報(哲學社會科學版)》,2019 年第5 期。最高人民法院民法典貫徹實施工作領(lǐng)導小組:《民法典·人格權(quán)編理解與適用》,北京:人民法院出版社,2020 年,第377 頁。有學者則在意思表示說基礎(chǔ)上認為個人同意屬于單方法律行為。處分行為說認為,個人同意是信息主體處分自己個人信息的行為。④萬方:《個人信息處理中的“同意”與“同意撤回”》,《中國法學》2021年第1期。準法律行為說認為,信息主體的同意屬于準法律行為,法律行為生效則直接發(fā)生權(quán)利變動,而同意行為不直接涉及權(quán)利變動,而只是為權(quán)利變動做準備。①王琳琳:《個人信息處理“同意”行為解析及規(guī)則完善》,《南京社會科學》2022年第2期。本文認為,意思表示說與處分行為說均難以成立,個人同意應界定為一種準法律行為,具體理由闡述如下。
首先,意思表示說難以成立。其一,個人同意不符合意思表示中內(nèi)在意思的構(gòu)成要素。意思表示由內(nèi)心意思與外在表示構(gòu)成,內(nèi)心意思又分為行為意思、表示意思與效果意思。②史尚寬:《民法總論》,北京:法律出版社,2000年,第347-349頁。在個人信息處理活動中,一方面,處理者公布的隱私政策和使用協(xié)議往往事無巨細,篇幅較長且包含深奧的技術(shù)語言,超出一般知識水平以及普通人的理解能力,信息超載與不對稱現(xiàn)象普遍存在。故此,個人通常并沒有充足的時間與耐心閱讀隱私條款,往往直接將其越過并點擊接受或者同意選項。此時,難謂信息主體認識到其行為具有何種法律上意義,即不存在表示意思。另一方面,信息主體之所以同意他人使用其個人信息,通常是為了方便生活需要。例如,在網(wǎng)絡(luò)購物場景,消費者輸入個人信息是為了完成交易不得已而為之。就其本意而言,出于對個人信息被泄露或濫用的憂慮,信息主體并不希望自己的個人信息被他人處理。易言之,個人表示同意并不意味著其追求民事法律關(guān)系的發(fā)生,為自己創(chuàng)設(shè)某種法律負擔的同時,使處理者取得何種私法上的權(quán)利,即個人同意不包含效果意思的內(nèi)核。其二,將個人同意定性為意思表示,會造成撤回與撤銷概念的混淆。一方面,意思表示的撤銷是指意思表示生效后,表意人取消其意思表示。在個人信息保護的視域下,個人取消其已到達處理者的同意,在性質(zhì)上屬于意思表示的撤銷而不是撤回。③龍衛(wèi)球:《中華人民共和國個人信息保護法釋義》,北京:中國法制出版社,2021年,第66頁。但依《個人信息保護法》第15條規(guī)定,④《個人信息保護法》第15條規(guī)定:“基于個人同意處理個人信息的,個人有權(quán)撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。”信息主體同意他人處理個人信息后,可以不受限制地撤回其同意。從其“撤回”這一語詞的選用,可以推知立法者并未將個人同意視為意思表示。另一方面,將個人信息撤回等同于撤銷,意味著個人信息處理期間,處理者實施的全部處理行為失去法律依據(jù)。由于欠缺基礎(chǔ)關(guān)系支撐,處理者取得的經(jīng)濟利益作為不當?shù)美仨毞颠€給信息主體。如此嚴重的后果不僅超出了處理者可以預料的范圍,而且勢必對數(shù)據(jù)企業(yè)的經(jīng)營活動造成嚴重阻礙,妨礙數(shù)字經(jīng)濟的可持續(xù)發(fā)展?!秱€人信息保護法》第15條第2款否定了撤回權(quán)行使的溯及力,使得撤銷權(quán)所產(chǎn)生的法律后果與法律規(guī)定不符。有學者認為,此處的撤回不宜簡單理解為固有意義上的意思表示撤回,而應理解為信息主體任意解除權(quán)。⑤韓旭至:《個人信息保護中告知同意的困境與出路》,《經(jīng)貿(mào)法律評論》2021年第1期。不過,從《民法典》關(guān)于任意解除權(quán)的法律規(guī)范來看,任意解除權(quán)的行使往往要求權(quán)利人在合理期限之前通知相對人(《民法典》第563條、第730條);造成對方損失的,還應向?qū)Ψ匠袚鷵p害賠償責任(《民法典》第787 條、第933 條)。從法律后果來看,《個人信息保護法》第15條第2款并未賦予處理者損害賠償請求權(quán),故不宜將個人信息撤回權(quán)解釋為任意解除權(quán)。
其次,處分行為說難以成立。所謂處分行為,是指能夠直接引起權(quán)利發(fā)生變動的法律行為。⑥〔德〕布洛克斯·瓦爾克:《德國民法總論》,張艷譯,北京:中國人民大學出版社,2019年,第55頁。個人同意他人處理自己的個人信息,僅意味著允許處理者在一定范圍內(nèi)處理其個人信息,并不希望處理者因此而對自己享有某種權(quán)利。事實上,《個人信息保護法》僅為信息主體構(gòu)建了權(quán)利體系,如知情權(quán)、查詢權(quán)、刪除權(quán)等一系列權(quán)利,⑦申衛(wèi)星:《論個人信息權(quán)的構(gòu)建將其體系化》,《比較法研究》2021年第5期。并未賦予處理者何種民事權(quán)利,故個人同意不屬于處分行為。
最后,準法律行為說可以成立。理由在于:其一,個人同意符合準法律行為的本質(zhì)特征。法律行為與準法律行為均屬于法律事實,兩者的根本區(qū)別在于,法律效果是基于行為人的意思發(fā)生抑或是基于法律規(guī)定發(fā)生。法律行為的效力來源于私主體的意思自治,對于其追求的法律效果,法律尊重并且承認。但是準法律行為的效力則是直接來源于法律規(guī)定,私主體的意思表示并非準法律行為效力的決定性要素。在大多數(shù)情況下,行為人根本沒有意思可供表示。①〔德〕迪特爾·梅迪庫斯:《德國民法總論》,邵建東譯,北京:法律出版社,2013年,第161頁。在個人信息保護領(lǐng)域,信息主體固然作出了同意,但該同意并不是意思表示意義上的意思,而是將知道他人即將處理其個人信息的情況告知處理者。該同意的法律后果是阻卻了處理個人信息行為的違法性,②See Paul Voigt&Axel von dem Bussche,The EU General Data Protection Regulation(GDPR):A Practical Guide,Springer,2017,p.91-92.即處理者在個人同意的范圍內(nèi)處理個人信息不構(gòu)成侵權(quán)行為,處理者無需向信息主體承擔侵權(quán)責任。③申衛(wèi)星:《數(shù)字權(quán)利體系再造:邁向隱私、信息與數(shù)據(jù)的差序格局》,《政法論壇》2022年第3期。④姚佳:《論個人信息處理者的民事責任》,《清華法學》2021年第3期。對此,《個人信息保護法》第13 條、《民法典》第1036 條分別從正反兩個方面進行了權(quán)利義務(wù)的配置?;谶@兩條可以總結(jié)出如下結(jié)論:處理者在取得個人同意的情況下處理個人信息不承擔民事責任。質(zhì)言之,個人同意產(chǎn)生免除侵權(quán)責任的法律效果是基于法律的直接規(guī)定,而與個人具有何種內(nèi)心意思沒有必然關(guān)系。事實上,信息主體更希望對方不要處理自己的個人信息。其二,將個人同意定位于準法律行為,與立法者的態(tài)度相吻合。從立法演變來看,《個人信息保護法》的一審稿中,個人同意被明確定性為意思表示。⑤《個人信息保護法》一審稿第14 條第1 款規(guī)定:“處理個人信息的同意,應當由個人在充分知情的前提下,自愿、明確作出意思表示。”但在其二審稿中,意思表示這一語詞被刪除,個人同意的意思表示定性被改變。⑥《個人信息保護法》二審稿第14條第1款規(guī)定:“處理個人信息的同意,應當由個人在充分知情的前提下自愿、明確作出?!闭酵ㄟ^的《個人信息保護法》中立法者基本延續(xù)了二審稿中的語詞選擇。從立法變遷來看,立法者似乎采取了回避態(tài)度,不再明確界定個人信息的法律性質(zhì)。不過,立法機構(gòu)編寫的釋義書明確指出,個人同意基于法律規(guī)定產(chǎn)生排除處理行為違法性的效果,故與法律行為并不相同,更接近于準法律行為。⑦楊合慶:《中華人民共和國個人信息保護法釋義》,北京:法律出版社,2022年,第54頁??梢姡⒎C構(gòu)已經(jīng)改變了對個人同意法律性質(zhì)的認知,否定了意思表示的觀點,將其認定為準法律行為。其三,將個人同意界定為準法律行為,較之意思表示說更有比較優(yōu)勢。通說認為,在性質(zhì)許可的范圍內(nèi),準法律行為可以類推適用法律行為的相關(guān)規(guī)定。⑧王澤鑒:《民法總則》,北京:北京大學出版社,2009年,第266-269頁。一方面,《個人信息保護法》上的特別規(guī)定應優(yōu)先適用。例如,個人同意撤回的法律效果明顯不同于意思表示的撤銷,解釋上可將其解釋為《個人信息保護法》中特有的法律制度,此時排除適用《民法典》關(guān)于意思表示法律效果的規(guī)定,從而消解將撤回同意解釋為行使任意解除權(quán)造成的法律適用爭議。另一方面,在《個人信息保護法》沒有作出明確規(guī)定的情況下,根據(jù)其性質(zhì)可以類推適用《民法典》關(guān)于法律行為的規(guī)定,可以避免為個人同意重新創(chuàng)制一套新的法律規(guī)范,從而將《個人信息保護法》與《民法典》的相關(guān)規(guī)定有效銜接,既有利于節(jié)約立法資源,又能夠為信息主體提供更加全面充分的保護。
關(guān)于信息主體表示同意的合法形式,我國《個人信息保護法》并沒有作出明確規(guī)定,學界亦未有定論。有的觀點認為,信息主體表達同意的形式應當是書面同意或者授權(quán)。①齊愛民:《中華人民共和國個人信息保護法學者建議稿》,《河北法學》2019年第1期。有的觀點認為,處理者只需取得本人同意即可,并非一定采取書面形式不可。②劉士國:《中華人民共和國人格權(quán)法律條文建議稿附理由》,北京:中國法制出版社,2017年,第190頁。筆者認為,后者值得贊同。一方面,信息主體同意他人處理個人信息,性質(zhì)上屬于準法律行為,故《民法典》第135 條關(guān)于法律行為形式的規(guī)定,同樣適用于個人信息保護的領(lǐng)域。這意味著個人同意不必僅僅局限于書面形式,口頭形式或行為推定亦無不可。另一方面,從社會現(xiàn)實來看,一刀切式地要求采取書面形式未免與實際生活脫節(jié)。例如,在電話推銷保險產(chǎn)品的場合,消費者同意投保后,可以在通話過程中向保險推銷員告知自己的個人信息。又如,在“同意”和“不同意”兩個按鈕選項中,用戶可選擇點擊任一按鈕,這種操作方式顯然與通常意義上的書面形式不同。
信息主體同意他人處理個人信息可以采取何種表達方式,《個人信息保護法》也未作出明確規(guī)定。有學者區(qū)分敏感個人信息與一般個人信息,認為處理前者應征得個人明示同意,處理后者僅需個人默示同意即可。③王利明:《數(shù)據(jù)共享與個人信息保護》,《現(xiàn)代法學》2019年第1期。有學者不區(qū)分個人信息的類型,認為個人同意必須以明示方式作出。④程嘯:《論個人信息處理中的個人同意》,《環(huán)球法律評論》2021年第6期。筆者認為,個人同意作為準法律行為,在《個人信息保護法》未作出規(guī)定的情況下,可以類推適用《民法典》中法律行為的相關(guān)規(guī)定。⑤《民法典》第140 條規(guī)定:“行為人可以明示或者默示作出意思表示。沉默只有在有法律規(guī)定、當事人約定或者符合當事人之間的交易習慣時,才可以視為意思表示?!睖蚀艘匝?,個人同意可以采取明示方式,也可以采取默示方式。例如,在網(wǎng)絡(luò)環(huán)境下,用戶點擊行為表示的同意信號能夠直接被自動化處理工具接受。⑥鄭佳寧:《知情同意原則在信息采集中的適用于規(guī)則構(gòu)建》,《東方法學》2020年第2期。信息主體主動勾選、點擊“同意”“注冊”“發(fā)送”“我同意”“我接受”等類似選擇框,可視為以默示方式作出了同意。值得注意的是,關(guān)于個人信息同意模式,比較法上存在所謂選擇進入(opt-in)模式與選擇退出(opt-out)模式。其中,美國《加州消費者隱私法案》采選擇退出模式,即消費者不作反對即視為消費者同意他人處理其個人信息。⑦California Consumer Privacy Act.1798.105.歐盟《一般數(shù)據(jù)保護條例》和我國《個人信息保護法》采選擇進入模式,即處理個人信息之前必須取得個人同意,否則視為侵權(quán)。⑧江必新、郭鋒:《中華人民共和國個人信息保護法條文理解與適用》,北京:人民法院出版社,2021 年,第151 頁。在選擇進入模式背景下,若個人未作出明確同意,不能將個人單純的沉默視為同意,即個人同意不能采取沉默方式作出。
個人同意發(fā)生法律效力須具備哪些要件,我國《個人信息保護法》并未作出明確規(guī)定,此時可類推適用法律行為有效要件的相關(guān)規(guī)定。⑨《民法典》第143條規(guī)定:“具備下列條件的民事法律行為有效:(一)行為人具有相應的民事行為能力;(二)意思表示真實;(三)不違反法律、行政法規(guī)的強制性規(guī)定,不違背公序良俗。”以下詳述之。
在個人信息保護領(lǐng)域,各國(地區(qū))立法通常對未成年人的同意能力作出特別規(guī)定。①General Data Protection Regulation.Art.8.我國《個人信息保護法》第31 條第1 款規(guī)定處理不滿14 周歲未成年人個人信息,應取得其父母或者其他監(jiān)護人的同意。依反面解釋,14 周歲以上的未成年人對于他人處理自己的個人信息能夠獨立作出有效的同意表示。不過,與線下生活場景不同,在網(wǎng)絡(luò)環(huán)境下,網(wǎng)絡(luò)平臺通常不能看到用戶的樣貌,因而難以憑借外形特征等因素判定用戶是否為未成年人。在14 周歲以下的未成年人普遍不辦理身份證的情況下,處理者判斷用戶是否具有同意能力更為困難。由此引發(fā)一項信息收集悖論:在處理不滿14 周歲未成年人的個人信息時,處理者必須取得該未成年人監(jiān)護人的同意,但是處理者難以有效判定用戶是否為目標主體,為化解處理者的尷尬處境,在解釋上處理者可以直接從未成年人處收集所需的最小范圍的個人信息。此時,未成年人即使不滿14 周歲,其作出的個人同意也應認定合法有效。
自理論而言,既然《個人信息保護法》第14 條在義務(wù)的配置上,明確將監(jiān)護人同意作為處理者處理不滿14 周歲未成年人個人信息的前置條件,則在糾紛發(fā)生時,對處理者取得監(jiān)護人同意承擔舉證證明責任的主體便應當是處理者。然而,現(xiàn)實生活中平臺對此原則的貫徹并不理想,網(wǎng)絡(luò)平臺為規(guī)避自己的法律責任,通常會要求未成年人用戶在使用產(chǎn)品或服務(wù)前,自己設(shè)法取得監(jiān)護人的同意,②例如,《騰訊隱私政策》在未成年人保護部分即規(guī)定,“若您是14 周歲以下的兒童,在使用相關(guān)的產(chǎn)品或服務(wù)前,應當按照注冊、使用流程,事先取得您的家長或法定監(jiān)護人的同意,并由您的家長或法定監(jiān)護人幫助您完成產(chǎn)品或服務(wù)注冊流程。”實際上要求未成年人自己證明自己已年滿14 周歲。然而,未成年人對披露個人信息的風險認識相對不足,特別是對已經(jīng)脫離父母監(jiān)護如寄宿學校的學生而言,要求他們事先取得監(jiān)護人的同意不切實際。在立法過程中,我國《個人信息保護法》一審稿第15條③《個人信息保護法草案》一審稿第15條規(guī)定:“處理者知道或者應當知道其處理的個人信息為不滿十四周歲未成年人個人信息的,應當取得其監(jiān)護人的同意?!痹鴮⑽闯赡耆松矸葑R別責任轉(zhuǎn)嫁給監(jiān)護人,但處理者很容易以自己不知情為借口,主張信息處理行為合法有效,從而削弱了對未成年人合法權(quán)益的保護?!秱€人信息保護法》二審稿第15條④《個人信息保護法草案》二審稿第15條規(guī)定:“個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監(jiān)護人的同意。”作出了實質(zhì)修正,要求處理者設(shè)法識別用戶是否為年滿14周歲的未成年人?!秱€人信息保護法》第31條沿用了二審稿的規(guī)定。立法修改意味著立法者將取得未成年人監(jiān)護人同意的舉證責任分配給了處理者,更符合保護未成年人的價值取向,這樣安排值得贊同。有疑問的是,若僅未成年人個人表示了同意,該同意行為的法律效力如何評價?本文認為,應結(jié)合《民法典》第144 條、第145 條與《個人信息保護法》第14 條的規(guī)定,區(qū)別不同情形予以判斷。其一,不滿8周歲未成年人作出的同意處理個人信息的行為無效。其二,14周歲至18周歲未成年人作出的同意有效。其三,8周歲以上不滿14周歲未成年人作出的同意似應一分為二,在未成年人作出同意的行為令其純獲法律利益或者其作出同意的行為與其年齡、智力、精神健康狀況相適應的情況下,未成年人同意有效;反之,未成年人同意落入效力待定的狀態(tài),處理者可以催告監(jiān)護人是否追認,如果監(jiān)護人進行了追認,那么未成年人同意有效,反之則其同意無效。不過,這一推理未免過于武斷。一方面,網(wǎng)絡(luò)平臺大量收集未成年人個人信息,出于降低運營成本考慮,處理者并沒有足夠大的動力催告監(jiān)護人。即使有意催告監(jiān)護人,也可能由于不掌握監(jiān)護人信息而難以實現(xiàn)。特別是,在我國法律上并沒有規(guī)定處理者通知監(jiān)護人的期間限制,這意味著處理者可以選擇任意時間催告監(jiān)護人。在此期間,處理者可以任意處理未成年人個人信息,這與保護未成年人的價值取向不相符合。另一方面,個人信息處理活動并非使未成年人純獲利益的行為,且處理過程也非常復雜,以一般未成年人的智力水平,通常難以預計個人信息被他人處理的意義或者后果。因此,從降低未成年人暴露于網(wǎng)絡(luò)環(huán)境風險的角度出發(fā),應將《個人信息保護法》第14 條解釋為效力性強制性規(guī)定,處理者未取得其監(jiān)護人同意時,該未成年人作出的同意無效。
需要指出的是,《個人信息保護法》并未對處理成年被監(jiān)護人個人信息作出規(guī)定。有疑問的是,成年被監(jiān)護人在個人信息處理中作出同意,其效力如何評價?有學者認為,對于成年被監(jiān)護人,其在個人信息處理中的同意能力需要根據(jù)具體情形加以判斷。①程嘯:《論個人信息處理中的個人同意》,《環(huán)球法律評論》2021年第6期。本文認為,該觀點值得商榷。一方面,信息主體以允許他人處理個人信息為手段,獲得處理者的產(chǎn)品或服務(wù),本質(zhì)上并不屬于純獲利益的法律行為。另一方面,在網(wǎng)絡(luò)交易環(huán)境下,由于處理者欠缺判斷用戶是否為成年人的客觀資料,故難以確認交易對象是否為成年被監(jiān)護人。從保護弱勢群體理念出發(fā),成年被監(jiān)護人與處理者發(fā)生糾紛時,應由處理者證明交易發(fā)生時已經(jīng)知道用戶為成年被監(jiān)護人,且同意表示與該成年被監(jiān)護人的年齡、智力和精神健康狀況相適應。若處理者不能舉證,則該成年被監(jiān)護人作出的同意應認定為無效。
處理者違背自愿原則取得個人同意,該同意的法律效力如何,《個人信息保護法》并沒有作出明確規(guī)定。本文擬分以下三種情形,分別討論瑕疵同意的法律效力問題。
1.當事人受到欺詐、脅迫作出的同意無效。依《民法典》第148 條、第150 條規(guī)定,受欺詐、脅迫實施的法律行為屬于可撤銷的法律行為。行為人受欺詐、脅迫作出的意思表示可撤銷,這用于調(diào)整物理世界的有體物流轉(zhuǎn)未嘗不可,但延伸適用于個人信息保護則并不妥當。這是因為,就有體物的交易而言,意思自治與交易安全都是法律需要保護的價值,兩者不可偏廢。其運作機理是,立法賦予受欺詐(脅迫)人撤銷權(quán),由其選擇是否撤銷該法律行為。受欺詐(脅迫)人選擇撤銷法律行為后,該法律行為自始失去法律約束力。為協(xié)調(diào)受欺詐(脅迫)人與欺詐(脅迫)人的利益沖突,受欺詐(脅迫)人行使撤銷權(quán)受法定期間限制,期間經(jīng)過后撤銷權(quán)歸于消滅。而個人信息不同于物理世界的有體物,它本質(zhì)上屬于自然人不可或缺的人格要素。從價值位階角度來看,意思自由與交易安全發(fā)生沖突時,在價值判斷上應側(cè)重優(yōu)先保護前者。否則,一旦當事人未及時撤銷其意思表示,除斥期間經(jīng)過后勢必喪失撤銷權(quán),處理者侵害人格權(quán)益的違法行為將被合法化,個人信息將成為處理者謀利的手段,人的主體地位將被貶低至與財產(chǎn)同等的客體地位,人格尊嚴難以受到有效保障。因此,宜將《個人信息保護法》第5 條解釋為效力性強制性規(guī)定,將信息主體因受到欺詐、脅迫作出的同意表示認定為無效。
2.當事人在壓迫關(guān)系下作出的同意無效。形式上,自然人與處理者均系平等關(guān)系的民事主體,但由于處理者擁有雄厚的技術(shù)優(yōu)勢和研發(fā)團隊,雙方的議價能力存在巨大的落差,實質(zhì)上處于不平等地位。網(wǎng)絡(luò)從業(yè)者往往濫用其強勢地位,強迫用戶同意收集、使用其個人信息,造成“不同意就離開”“使用即同意”的不對等局面。在這種態(tài)勢下,處于弱勢地位的用戶雖不情愿,但最終往往只能無奈地選擇同意處理個人信息。由于用戶為使用產(chǎn)品或接受服務(wù)時只能被迫同意,有學者甚至認為知情同意的個人信息保護框架已經(jīng)過時且無益。②范為:《大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)》,《環(huán)球法律評論》2016年第5期。本文認為,處理者濫用其市場支配地位,形式上雖然取得處理其個人信息的同意,但由于強行剝奪了信息主體選擇同意與否的機會,該同意應認定為無效。
1.違反明確同意法律規(guī)定的個人同意無效。何謂明確同意,《個人信息保護法》沒有作出明確的界定。有學者認為,明確同意相對默示同意而言。①王利明、程嘯:《中國民法典釋評·人格權(quán)編》,北京:中國人民大學出版社,2020年,第416頁。本文認為這一觀點值得商榷。依《民法典》第140條第1 款規(guī)定,明示同意與默示同意相對而言,屬于意思表示的方式范疇,但明確同意不能與默示同意相提并論。依《民法典》第143 條規(guī)定,意思表示明確并非法律行為的有效要件,故明確同意是《個人信息保護法》對個人同意特別附加的要件。明確同意可以采取口頭形式、書面形式等明示方式,也可以采取肯定性動作這一默示方式。②江必新、郭鋒:《中華人民共和國個人信息保護法條文理解與適用》,北京:人民法院出版社,2021 年,第141 頁。據(jù)此,所謂明確同意僅僅意味著個人的同意不能模糊不清,從而產(chǎn)生兩種以上的解釋結(jié)論。當就個人是否作出了明確同意發(fā)生爭議時,應由處理者承擔舉證責任。若處理者舉證不能,則應認定為個人未作出明確同意。由于明確同意是個人同意的固有特征,故此個人作出的同意不明確時,該同意表示無效。
2.違反單獨同意法律規(guī)定的個人同意無效?!秱€人信息保護法》對個人單獨同意類型作出了特殊規(guī)定。例如,依《個人信息保護法》第39 條規(guī)定,處理者向境外接收方提供個人信息時,應取得個人的單獨同意。單獨同意意味著處理者不能將該類個人信息與其他處理事項混合,概括地取得個人同意。若處理者違反法律規(guī)定,將需要單獨同意事項與其他事項混同一處,致使個人未能注意該類個人信息的存在,則個人同意部分無效,亦即對需要單獨同意的個人信息的同意無效,對其他個人信息的同意有效。有疑問的是,在個人信息出境場景之下,是否必須取得個人單獨同意。有學者認為,個人同意是個人信息出境的必要條件,③張凌寒:《個人信息跨境流動制度的三重維度》,《中國法律評論》2021年第5期。單獨同意是處理者向境外提供個人信息的唯一合法基礎(chǔ)。④龍衛(wèi)球:《中華人民共和國個人信息保護法釋義》,北京:中國法制出版社,2021年,第186頁。有學者認為,取得個人單獨同意是指基于個人同意處理個人信息的情形,無須個人同意即可處理個人信息的情形并不包含在內(nèi)。⑤程嘯:《個人信息保護法理解與適用》,北京:中國法制出版社,2021年,第273頁。本文認為,第二種觀點值得贊同。以國家機關(guān)向境外提供個人信息為例,從文義解釋來看,依《個人信息保護法》第39 條規(guī)定,國家機關(guān)除向個人告知境外接收方的相關(guān)事項外,似乎應取得個人的單獨同意。但從形式邏輯來看,同意屬于上位概念,內(nèi)在包含著單獨同意與概括同意兩個子概念。處理者無須取得個人同意即可處理個人信息情形,包括無需個人單獨同意即可處理個人信息。例如,公安機關(guān)鎖定嫌疑人后該嫌疑人潛逃國外,公安機關(guān)向國際刑警組織提供該嫌疑人的個人信息屬于履行法定職責,顯然不需要取得嫌疑人的同意,取得其單獨同意也就無從談起。⑥彭錞:《論國家機關(guān)處理的個人信息跨境流動制度》,《華東政法大學學報》2022年第1期。
綜上所述,在大數(shù)據(jù)時代,個人信息保護面臨前所未有的壓力與挑戰(zhàn),信息主體知情同意規(guī)則的落實困難重重。在信息主體與互聯(lián)網(wǎng)企業(yè)天然存在“數(shù)字鴻溝”的背景下,削弱、否定知情同意法律地位的學說并不足取。⑦高富平:《個人信息保護:從個人控制到社會控制》,《法學研究》2018年第3期。應當采取的措施是,正視現(xiàn)有法律規(guī)定的不足,通過制定司法解釋或發(fā)布指導案例的方式,細化個人信息保護知情同意規(guī)則,切實提升信息主體的談判地位,增強其議價能力,為保障個人信息自決權(quán)提供充足、有力的法律依據(jù)。