鄔 楊

（華東政法大學(xué)，上海 201620）

隨著互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展，由個人產(chǎn)生的數(shù)據(jù)呈現(xiàn)急速增長趨勢，隨之而來的與信息保護(hù)、信息利用與信息安全的問題也使同意規(guī)則的信息保護(hù)效用面臨嚴(yán)峻挑戰(zhàn)，這一挑戰(zhàn)亟需從立法層面和技術(shù)層面完善同意規(guī)則的相關(guān)規(guī)定，明確同意規(guī)則的法律效果是關(guān)鍵環(huán)節(jié)。

從同意規(guī)則的本源來看，是人與人在進(jìn)行社會交往時，根據(jù)自己的意愿設(shè)定法律關(guān)系的一種基礎(chǔ)性行為。這種行為既可能出于建立政治權(quán)威的目的，也可能是對他人行為或決定的許可，這一制度因此便具有拓展交往主體能力的功能。從另一角度看，在作出同意的表示時，同意行為還體現(xiàn)了“限制權(quán)利與自我義務(wù)設(shè)定”的效果。［1］“同意”作為一種規(guī)范人們行為的模式，已經(jīng)被廣泛應(yīng)用于各種社會關(guān)系的構(gòu)建之中，其影響范圍涉及國家政治、金融征信、醫(yī)療領(lǐng)域、工業(yè)制造、消費(fèi)者權(quán)利保護(hù)、個人信息利用等等。不同領(lǐng)域存在不同的社會關(guān)系，而特定社會關(guān)系中的個體所面對的對象、場景與事實(shí)不盡相同，基于此作出的“同意”可能會產(chǎn)生不同的法律效果和社會效果。［2］對個人信息保護(hù)中同意行為法律效果的理解須以準(zhǔn)確界定該行為的法律性質(zhì)以及厘清同意的法律含義為起點(diǎn)，同意的法律性質(zhì)決定行為的構(gòu)成要件和生效條件，同意的法律含義是區(qū)分同意與相近似的法律行為的標(biāo)準(zhǔn)和依據(jù)，典型的相近概念如合同行為、受害人同意。只有將同意與傳統(tǒng)概念進(jìn)行剝離，才可真正準(zhǔn)確地解釋在個人信息保護(hù)領(lǐng)域的同意行為在法律效果方面與其他領(lǐng)域慣用的同意規(guī)則的區(qū)別。

一、界定同意的法律性質(zhì)

大陸法系國家的學(xué)者們曾圍繞同意的法律性質(zhì)為何的問題進(jìn)行過深入的討論，最終形成了法律行為說、準(zhǔn)法律行為說、事實(shí)行為說三種觀點(diǎn)。以下分述各觀點(diǎn)的主要內(nèi)容，并提出本文對同意法律性質(zhì)的評判標(biāo)準(zhǔn)，進(jìn)而得出同意屬于準(zhǔn)法律行為的結(jié)論。

（一）法律行為、準(zhǔn)法律行為與事實(shí)行為之爭

1.主要觀點(diǎn)

（1）法律行為說。法律行為說的觀點(diǎn)主張同意是一種法律行為或者意思表示。這是二十世紀(jì)初學(xué)者首先提出的關(guān)于同意法律性質(zhì)的觀點(diǎn)。該觀點(diǎn)認(rèn)為，受害人同意是權(quán)利人行使自己權(quán)利的一種方式，既然自然人行使權(quán)利沒有不法可言，那么根據(jù)受害人同意進(jìn)行的行為原則上也是正當(dāng)?shù)摹Ｔ谶@個意義上它屬于法律行為的一種，同意的有效要件也應(yīng)適用民法關(guān)于法律行為的原則。王利明教授指出，受害人同意本質(zhì)上是受害人發(fā)出的單方的意思表示，在受害人表示同意的情況下，其同意的意思表示阻卻了相對方行為的違法性。［3］這種觀點(diǎn)認(rèn)為法律行為制度與受害人同意規(guī)則的規(guī)范意旨吻合：在實(shí)現(xiàn)目的上，兩者都旨在實(shí)現(xiàn)主體的自治與自我決定。作為法律行為制度的工具，意思自治理論為受害人同意的法律性質(zhì)和效力提供了充分的證明，因意思自治的本質(zhì)就是允許每個人在符合法律規(guī)定的限度內(nèi)，依據(jù)其意愿形成他內(nèi)心所追求的法律結(jié)果，當(dāng)然這一結(jié)果同樣包括行為人同意相對人侵犯自己的權(quán)益。是故，有關(guān)法律行為和意思表示的法律規(guī)定也適用于同意行為的要求，包括行為人的行為能力要件和意思表示自由等要件。

（2）準(zhǔn)法律行為說。持準(zhǔn)法律行為說觀點(diǎn)的人主張受害人同意本質(zhì)上并非法律行為，而是一種準(zhǔn)法律行為。所謂準(zhǔn)法律行為，是指行為人將內(nèi)心意思對外表示，但其行為的法律效果由法律直接規(guī)定［4］，基本形式構(gòu)造為“表示行為+效果法定”。關(guān)于同意的法律性質(zhì)，王澤鑒先生認(rèn)為，“行為人并非以發(fā)生一定法律效果為目的，因而不以具法效意思為必要，而是涉及自己權(quán)益的侵害性，故非屬意思表示，乃準(zhǔn)法律行為，可以類推適用民法關(guān)于意思表示的規(guī)定，至于如何類推適用，應(yīng)就個案決定之?！保?］史尚寬先生也贊同此觀點(diǎn)，他指出受害人的同意其意思并不以發(fā)生法律效果為目的，僅以事實(shí)效果為其內(nèi)容，因此可將其視為準(zhǔn)法律行為，對于法律沒有規(guī)定的內(nèi)容，應(yīng)當(dāng)準(zhǔn)用關(guān)于法律行為的規(guī)定。［6］總結(jié)以上二位教授的觀點(diǎn)，準(zhǔn)法律行為說觀點(diǎn)下的同意法律性質(zhì)問題可以從兩個方面分析：一方面，受害人同意是表意人將其內(nèi)心意思進(jìn)行對外呈現(xiàn)，因此這一行為既包含行為人的外部表示，也包含行為人的內(nèi)心意思，并且尤其注重其內(nèi)心真意的表達(dá)，這一部分的要求與意思表示相同；另一方面，行為人作出的同意并不以發(fā)生特定法律效果為目的，應(yīng)當(dāng)承認(rèn)其是對特定的事實(shí)行為而作出同意的表示。［7］

（3）事實(shí)行為說。事實(shí)行為說主張受害人同意只是一種事實(shí)行為，并不創(chuàng)設(shè)、變更或消除某種法律關(guān)系或發(fā)生權(quán)利轉(zhuǎn)讓的后果。事實(shí)行為完全不以意思表示為必備要素，其本質(zhì)在于全部事實(shí)構(gòu)成均由法律規(guī)定，只要行為人的具體行為符合法律規(guī)定的行為構(gòu)成要件時，便會產(chǎn)生相應(yīng)的法律后果。事實(shí)行為說的觀點(diǎn)完全將側(cè)重點(diǎn)放在行為人的同意行為上，認(rèn)為同意是一種外部性的行為表現(xiàn)，因多數(shù)的同意都是由行為人通過簽訂書面同意合同或通過語言表達(dá)同意的方式作出的，而相對人接收到的信息也是此類行為或表達(dá)，因而單憑這一外部表現(xiàn)要件就將同意定性為事實(shí)行為。

2.判斷標(biāo)準(zhǔn)及評價。分析以上三種同意法律性質(zhì)的不同觀點(diǎn)，采取的根本標(biāo)準(zhǔn)是將同意的含義及構(gòu)成要件分別與法律行為、準(zhǔn)法律行為、事實(shí)行為的含義及構(gòu)成要件進(jìn)行比對；同時，采取兼顧各制度功能的方法，評判哪一觀點(diǎn)更有助于實(shí)現(xiàn)同意的法律效果。首先，事實(shí)行為說不完全符合同意行為的全部要件。這是因?yàn)橐环矫?，事?shí)行為不以行為人的意思表示為構(gòu)成要件，而僅關(guān)注事實(shí)上的行為構(gòu)成，而同意的內(nèi)容對于決定同意法律效果的重要意義不言而喻——同意并不等于單純的事實(shí)行為或事件，即使同意并不包含受害人追求發(fā)生特定法律效果的意思這一構(gòu)成要件，但其核心仍然是受害人內(nèi)心主觀意愿的對外表達(dá)，并非與人的主觀心理活動完全無關(guān)的事實(shí)行為。因此，可以說事實(shí)行為說直接否定了法律行為和意思表示的規(guī)范適用于受害人同意的可能性。另一方面，將同意界定為事實(shí)行為背離自我決定權(quán)的意旨。同意源于法律對個人自由意志的尊重和保護(hù)，因此只有真實(shí)、自由地表達(dá)自己的內(nèi)心意思，同時具備一定的表示同意的能力，才可以產(chǎn)生法律效力，而事實(shí)行為的構(gòu)成要件是與同意的規(guī)范要求不符的，因?yàn)椤皩τ谑聦?shí)行為而言，法律既不要求行為人具備行為能力，也不能全部適用有關(guān)意思瑕疵、追認(rèn)和代理的規(guī)定，這是因?yàn)槭聦?shí)行為根本沒有什么意愿需要表示的”。［8］總之，將同意定性為事實(shí)行為不利于同意主體自我意思的實(shí)現(xiàn)。

而對于同意的性質(zhì)究竟為法律行為還是準(zhǔn)法律行為成為關(guān)鍵的爭議點(diǎn)。從客觀要件看，法律行為與準(zhǔn)法律行為相同，都有表示于外部的行為，即表示行為；但從主觀要件看，法律行為要滿足行為意思、表示意思及法效意思三項主觀要件①將主觀內(nèi)心意思分為行為意思、效果意思與表示意思三項為德國通說，參見王澤鑒：《民法總則》，中國政法大學(xué)出版社2001年版。對于內(nèi)心意思的構(gòu)成，我國學(xué)界存在不同排列組合的觀點(diǎn)，尚未形成通說見解，本文采用德國通說之觀點(diǎn)展開論述。，而準(zhǔn)法律行為具備行為意思要件和表示意思要件，但是沒有效果意思要件。從主觀要件一一分析，同意也并非完全符合法律行為的構(gòu)成要件。同意作為內(nèi)心同意意思的對外表達(dá)，具備的要素是客觀上的表示行為以及主觀上的行為意思和表示意思，但欠缺法效意思。法律行為以行為人意欲發(fā)生私法上的法律效果為成立要件，而準(zhǔn)法律行為的行為人并沒有意欲發(fā)生一定私法上法律效果之意思，雖然行為人也存在某種意思或特殊的精神內(nèi)容，但該項意思或精神表示無法直接與行為產(chǎn)生的效果相銜接，亦即行為人所想之內(nèi)容未必與行為發(fā)生的效果一致，至于行為的法律效果為何應(yīng)基于法律的直接規(guī)定，行為人的主觀意愿對此沒有意義。

申言之，行為人作出同意時，并沒有追求阻卻違法或免除相對人損害賠償責(zé)任的法律后果，其僅僅是同意了一個行為，而阻卻違法或免除責(zé)任的法律效果也并非當(dāng)事人內(nèi)心期待發(fā)生的，而是由法律直接規(guī)定的。從這一層面上來看，同意的性質(zhì)并非嚴(yán)格意義上的法律行為。雖然受害人同意的客觀表示行為這一要件與法律行為高度類似，但法律行為的內(nèi)容并不能直接、完全適用于受害人同意，例如受害人同意能力的規(guī)定不能直接照搬法律行為的規(guī)定，相反的，對受害人同意的有效形式、同意的撤回以及違反法律規(guī)范和公序良俗的同意行為效力等內(nèi)容，其與法律行為制度的要求基本相同，因此可以適用法律行為（意思表示）的相關(guān)規(guī)范。

（二）準(zhǔn)法律行為說之證成

對同意的法律性質(zhì)現(xiàn)有兩項判斷標(biāo)準(zhǔn)：第一項標(biāo)準(zhǔn)是上文提及的先確定同意的含義和構(gòu)成要件（包括主觀要件和客觀要件），然后分別將主觀要件和客觀要件逐一與法律行為、準(zhǔn)法律行為、事實(shí)行為的主客觀要件進(jìn)行對比分析；第二項標(biāo)準(zhǔn)是衡量哪一制度更適宜實(shí)現(xiàn)受害人同意的規(guī)范主旨。對同意法律性質(zhì)的確認(rèn)是法律適用的基礎(chǔ)，也是明確同意的法律效果以及生效條件的前提，直接關(guān)系著同意主體的能力、同意的形式、同意的撤回等諸多關(guān)鍵問題。

針對同意的含義及構(gòu)成要件，應(yīng)當(dāng)將其定性為準(zhǔn)法律行為。一方面，準(zhǔn)法律行為的行為人不具備法效意思，但符合同意的其他主觀要件，表示行為的對象可以是某種內(nèi)心意愿，也可以是某種情感態(tài)度或立場，還可能是對某種事實(shí)情況的認(rèn)知，但無論如何，準(zhǔn)法律行為的表示對象絕非法效意思。［9］另一方面，法律上仍然承認(rèn)準(zhǔn)法律行為與意思表示在構(gòu)成要件內(nèi)心意思的自由及表示的真實(shí)要件上存在某種相通性，因此準(zhǔn)法律行為可以類推適用法律行為中關(guān)于意思表示效力的某些規(guī)范。由此可見，法律行為中關(guān)于意思表示效力的規(guī)范為準(zhǔn)法律行為類推適用法律行為的部分規(guī)定搭建了橋梁，而類推適用是指將法律針對既已存在的構(gòu)成要件，適用于法律雖未規(guī)定卻與前述構(gòu)成要件類似的構(gòu)成要件，類推適用的基礎(chǔ)在于兩個構(gòu)成要件在與法律評價有關(guān)的重要觀點(diǎn)上彼此相類。［10］對“是否相類”的評判要回歸上述判斷標(biāo)準(zhǔn)的第二項，探究作為準(zhǔn)法律行為的同意的規(guī)范要旨。

同意的規(guī)范要旨體現(xiàn)于基本權(quán)利理論之中，即從基本法保護(hù)人格尊嚴(yán)和自由發(fā)展衍生的個人自決權(quán)。個人自決權(quán)表明，每個人都有追求其人格自由發(fā)展的權(quán)利，人們可以在法律允許的范圍內(nèi)，以自己的意志和價值觀念為參考依據(jù)，獨(dú)立地作出決定和選擇，并且為其行為承擔(dān)相應(yīng)的責(zé)任。個人自決權(quán)的表現(xiàn)既可以是基于保護(hù)自己的利益而作出選擇，也可以是自愿放棄某些法益，如身體完整性不受侵害的權(quán)益或者具體的財產(chǎn)權(quán)益。法律允許行為人在合理限度內(nèi)放棄對這些權(quán)益的掌控，不應(yīng)過多干涉。這一制度表現(xiàn)出的自由決定自己事務(wù)的能力應(yīng)當(dāng)?shù)玫椒傻恼J(rèn)可和保護(hù)。從這一點(diǎn)上看，個人自決權(quán)同樣符合民法中意思自治原則蘊(yùn)含的價值標(biāo)準(zhǔn)，即在符合法律規(guī)定的前提下，個人可以按照自己的意思自由地決定與自己有關(guān)的事務(wù)，同時也可以自由地對外塑造各種類型的法律關(guān)系。申言之，同意的源頭可以追溯至意思自治，其核心要義并非在于賦予侵害人免于承擔(dān)責(zé)任的正當(dāng)理由，而旨在保護(hù)作出同意主體的合法利益和其行使個人自決權(quán)的可能性。所以，由個人自決權(quán)作為同意的正當(dāng)權(quán)利基礎(chǔ)，直接可以推演出同意的規(guī)范主旨在于保障個人自由決定權(quán)的正當(dāng)實(shí)現(xiàn)，實(shí)現(xiàn)個人自決權(quán)的載體就是行為人內(nèi)心真意的對外表示，同意的制度規(guī)范要旨便是保障同意主體意思形成的自由及表示的真實(shí)。［11］相應(yīng)地，同意的效力及生效要件也應(yīng)圍繞行為人內(nèi)心的意思及外在表示進(jìn)行討論。

除以上事項外，同意的能力如何確定也頗值得關(guān)注，因其涉及滿足何種能力的行為人作出的同意具有法律效力這一重要問題。民法中關(guān)于民事行為能力有明確規(guī)定，但究其制度意旨是在于維護(hù)交易安全，但同意規(guī)范卻沒有包含這一層意旨，因此同意能力的規(guī)定不得類推適用民法關(guān)于法律行為的規(guī)定。由此可見，在同意的規(guī)范體系中哪些事項可以類推適用民法關(guān)于法律行為和意思表示的規(guī)定，尚不可一概而論，應(yīng)依據(jù)具體事項與民法中的相關(guān)規(guī)定的關(guān)系進(jìn)行確定，具體體現(xiàn)為同意的各項生效要件，將在下文詳細(xì)展開論述。

二、厘清同意的基本含義

本質(zhì)上，同意使得人們能夠以一種自由意志控制自己生活的方方面面，法律對它的保護(hù)體現(xiàn)了對人的基本權(quán)利的尊重，因?yàn)閼椃ㄖ腥诵宰饑?yán)的核心要義就是人得以自治自決，不應(yīng)處于被操控的他決地位。一個人在行使其基本權(quán)利的正當(dāng)范圍內(nèi)，倘若缺乏自治自決的機(jī)會，將喪失個人尊嚴(yán)。因此，個人自決權(quán)應(yīng)受他人尊重和法律保護(hù)。［12］經(jīng)上文同意的基本含義，我們可以推出法律意義上（特指個人信息保護(hù)法律領(lǐng)域）的同意的定義：同意是個人信息主體基于個人自由意志，以特定的行為方式，對個人信息處理者的收集、處理（包括使用、加工、傳輸、提供、公開等）行為及后果給予肯定或否定的意思表示。首先，闡明同意的基礎(chǔ)是基于個人自由意志，即個人信息自決，同意的作出必須是基于主體的真實(shí)意思表達(dá)。其次，同意應(yīng)以一定的方式作出，口頭、書面或行為都是可行的方式，但沉默不可以成立有效的同意。再次，同意的對象既可能是個人信息處理行為，也可能是處理行為導(dǎo)致的損害后果。與保護(hù)個人信息主體利益主旨一致，多數(shù)情況下的同意針對的都是希望通過同意獲得個人信息的途徑，而非以招致信息主體利益受損為直接目的。最后，肯定或否定的意思表示證明個人信息主體不僅享有同意的自由，而且享有不同意的自由，即拒絕的自由。規(guī)范這一層內(nèi)容對改善目前個人信息利用中用戶不同意便無法使用服務(wù)的情況有著重大意義，拒絕也應(yīng)是個人信息主體依法享有的權(quán)利和自由，其要求與同意一樣必須為事先作出。

（一）個人信息主體的同意與合同行為

個人信息保護(hù)法中的同意是個人表達(dá)其是否并且在何種條件下其他主體可以處理其個人信息的一種方式，同意被應(yīng)用于日常網(wǎng)絡(luò)生活的諸多場景之中，如注冊線上應(yīng)用服務(wù)、允許網(wǎng)站收集Cookies、在線交易等活動。個人可以透過同意控制個人信息的使用，衡量披露個人信息的成本與收益，并決定在什么時間、向誰披露個人信息。［13］作為個人信息正當(dāng)性處理的手段之一，同意從本質(zhì)上說是擁有信息自決權(quán)的主體和處理個人信息的主體達(dá)成合意的結(jié)果。但此處的“合意”與合同關(guān)系中雙方主體的合意不同，不能將個人信息領(lǐng)域的同意行為與合同領(lǐng)域的合同行為一概而論。

合同，是指當(dāng)事人就發(fā)生財產(chǎn)性民事權(quán)利義務(wù)關(guān)系達(dá)成合意或協(xié)議。［14］所謂合意，是指當(dāng)事人意思表示的一致。［15］合意是合同成立的核心要素，是當(dāng)事人意思表示達(dá)成一致從而訂立合同的過程，而當(dāng)事人意思表示一致形成合意是合同成立、生效并履行的前提。達(dá)成一項合意可以有多種方式，其中最典型的是通過要約和承諾的方式。依我國《合同法》第14條和第21條①《合同法》 第14條規(guī)定：“要約是希望和他人訂立合同的意思表示，該意思表示應(yīng)當(dāng)符合下列規(guī)定：（一）內(nèi)容具體確定；（二）表明經(jīng)受要約人承諾，要約人即受該意思表示約束。”第21條規(guī)定：“承諾是受要約人同意要約的意思表示?！钡囊?guī)定，要約是一方當(dāng)事人向另一方當(dāng)事人發(fā)出的希望與之訂立合同的意思表示，承諾是受要約人同意要約的意思表示。我國《合同法》中，要約與承諾是達(dá)成合意的最重要方式。但不宜將個人信息主體的同意行為等同于為達(dá)成一項合意一方主體作出的承諾，具體來講包括：

1.法律效果不同。作為法律行為的合意/承諾，其最常見的法律效果就是創(chuàng)設(shè)權(quán)利或者使得權(quán)利變動或消滅，創(chuàng)設(shè)權(quán)利的情形如買賣合同雙方通過達(dá)成合意創(chuàng)設(shè)債權(quán)。權(quán)利變動的情形如債權(quán)轉(zhuǎn)讓導(dǎo)致債權(quán)轉(zhuǎn)移，權(quán)利消滅的情形如行使解除權(quán)導(dǎo)致合同消滅。除創(chuàng)設(shè)、變更或消滅權(quán)利的效果之外，還可能成為有效的權(quán)利變動不可或缺的因素，例如A授權(quán)B代理自己出賣房屋，A的授權(quán)行為是法律行為，其結(jié)果是在A與B之間創(chuàng)設(shè)代理權(quán)，代理權(quán)是有效代理行為的要件。［16］而與法律行為不同，作為準(zhǔn)法律行為的同意的法律效果是民事權(quán)利得失變動之外的其他法律后果［17］，或者為權(quán)利變動提供條件或者誘因，但無論如何不會成為判斷權(quán)利義務(wù)內(nèi)容的依據(jù)。同意作為個人信息處理的合法性基礎(chǔ)，其存在的根本目的是為個人信息處理行為提供正當(dāng)性事由②對于由要約和承諾形成的合同，如果一項意思表示顯然尚不完整，即還沒有全部包括合同所需的一切必要內(nèi)容，則該項意思表示就僅僅是一項預(yù)備行為。參見〔德〕迪特爾·梅迪庫斯著，邵建東譯：《德國民法總論》，法律出版社2013年版。，此處的同意類似于拍賣活動中的“應(yīng)價”的行為，拍賣過程中需買者主動應(yīng)價，即個人信息主體主動作出同意收集個人信息的意思表示，而一般認(rèn)為應(yīng)價僅為要約，而拍定才構(gòu)成承諾，即信息處理者真正實(shí)行個人信息的收集和使用行為，因此信息處理者向用戶展示隱私協(xié)議只是一種個人信息處理之前的預(yù)備行為，真正構(gòu)成要約—承諾形式的實(shí)質(zhì)上是“同意—個人信息處理”這一法律關(guān)系。既然同意不是承諾，當(dāng)然也不具有使雙方就特定事項達(dá)成合意進(jìn)而發(fā)生權(quán)利義務(wù)關(guān)系變動的法律效果。

個人信息主體的同意行為的法律效果旨在排除個人信息處理行為的違法性，與權(quán)利創(chuàng)設(shè)或變動無關(guān)，在這一過程中信息主體并未放棄或喪失與個人信息相關(guān)的權(quán)利。此外，由于準(zhǔn)法律行為的法律效果都是源自法律規(guī)定，但法律規(guī)范在設(shè)定法律行為的法律效果時，并不會將行為人在具體法律行為中的實(shí)際意思全盤考慮進(jìn)去，由此可能導(dǎo)致準(zhǔn)法律行為的法律邏輯與具體行為本身的邏輯不一致。［18］對于同意的法律效果，比較法上存在將其定位于違法阻卻事由的立法例，因而一旦行為人作出了同意的表示行為，乃遵從法律規(guī)范對同意的效力規(guī)定，會相應(yīng)地免除或部分免除侵權(quán)人的法律責(zé)任，而不可能產(chǎn)生與行為人主觀意愿相關(guān)聯(lián)的任何其他法律效果。

2.法律地位不同。承諾是合意成立的關(guān)鍵條件之一，而合意又是合同成立的必備要件，承諾本身已經(jīng)涵括在合同行為之中，而同意卻并非達(dá)成合同的必要條件。法律上所謂的同意可分為單方面的同意以及契約上的允許［19］，前者性質(zhì)上屬于單方法律行為，行為人作出的意思表示無需特定對象受領(lǐng)，而后者在性質(zhì)上屬于有相對人受領(lǐng)的意思表示，應(yīng)向特定主體作出。個人信息處理者基于收集個人信息并借助大數(shù)據(jù)技術(shù)予以商業(yè)化利用的經(jīng)濟(jì)動機(jī)，向個人用戶提供服務(wù)或產(chǎn)品，雙方在交易中互負(fù)具有目的關(guān)聯(lián)性的給付義務(wù)，從而形成雙務(wù)合同關(guān)系。個人信息處理者將借由服務(wù)換取信息的雙務(wù)有償合同披上單務(wù)無償?shù)耐庖拢瑢?shí)際情況卻是個人信息主體以同意利用其個人信息作為接受服務(wù)的對價，促使個人信息發(fā)生對價性轉(zhuǎn)換。［20］在某些個人信息處理的場景下，同意的確可能構(gòu)成合同行為的給付內(nèi)容，但是否存在合同關(guān)系本身并不當(dāng)然意味著存在主體對個人信息處理的同意。［21］網(wǎng)絡(luò)服務(wù)中，信息處理者借助“使用即同意”的單方聲明、格式條款的方式意圖證明自己已盡到充分告知義務(wù)，但殊不知此時的同意機(jī)制已經(jīng)被架空。

3.法律性質(zhì)不同。個人信息主體作出的同意個人信息處理者收集、使用其個人信息的行為在法律性質(zhì)上屬于處分行為，是對其個人信息具有控制權(quán)能的主體行使處分權(quán)的具體體現(xiàn)，而信息主體在與個人信息處理者訂立服務(wù)合同或簽訂服務(wù)協(xié)議的過程中，就個人信息商業(yè)化利用所作出的承諾是典型的負(fù)擔(dān)行為，其給付內(nèi)容是主動提供與個人有關(guān)的信息供個人信息處理者收集和使用，二者在邏輯上與操作中均相互獨(dú)立，因此不可混為一談。［22］

（二）個人信息主體的同意與受害人同意

1.受害人同意的概念。民法中對違法阻卻事由①關(guān)于免責(zé)事由與違法阻卻事由以及抗辯事由概念的辨析，學(xué)界討論早已有之。參見程嘯：《侵權(quán)責(zé)任法》，法律出版社2015年版；李超：《侵權(quán)責(zé)任法中的受害人同意研究》，中國政法大學(xué)出版社2017年版；王福友，高勇：《侵權(quán)違法阻卻事由論綱》，《北方法學(xué)》2009年第6期。由于這一概念辨析與本文的主要內(nèi)容相關(guān)性較小，因此本文對免責(zé)事由和違法阻卻事由的概念不做區(qū)分。的規(guī)定典型的可見于侵權(quán)法中的受害人同意。受害人同意源自法諺volenti non fit injuria，即同意不生違法。它表現(xiàn)了個人主義的精神，使個人能夠自由地決定如何處理自己的身體與財產(chǎn)，也符合侵權(quán)法旨在合理分配私法上負(fù)擔(dān)的趣旨。［23］侵權(quán)責(zé)任法的宗旨是根據(jù)利益分配的合理性與對利益保護(hù)的適當(dāng)性來實(shí)現(xiàn)公平正義。從權(quán)利的本質(zhì)看，侵權(quán)責(zé)任法涉及的受害人權(quán)益即為受害人的行為自由，在實(shí)現(xiàn)加害人行為自由與保護(hù)受害人權(quán)益之間存在的沖突，便是侵權(quán)責(zé)任法所要解決的基本矛盾。［24］

對受害人同意的概念，我國學(xué)者嘗試作出定義，程嘯教授認(rèn)為“受害人同意是指，受害人就他人特定行為的發(fā)生或者他人對自己權(quán)益造成的特定損害后果予以同意并表現(xiàn)在外部的意愿”。［25］對以上觀點(diǎn)總結(jié)不難發(fā)現(xiàn)，受害人同意的對象包含兩個層面的內(nèi)容：首先，受害人同意的對象可以是特定行為產(chǎn)生的損害后果，一般表現(xiàn)為侵權(quán)責(zé)任的承擔(dān)，行為人對受害人的權(quán)益造成實(shí)際損害，若存在受害人的同意表示事由，行為人可以免于承擔(dān)侵權(quán)責(zé)任；其次，受害人同意的對象還可以是特定的合法行為，并未給其造成任何損害后果。由此可見，受害人同意的適用情形不限于必定導(dǎo)致?lián)p害后果的法律行為，也包括合法的事實(shí)行為。

2.受害人同意的適用類型。

（1）免責(zé)條款。免責(zé)條款是當(dāng)事人雙方在合同中事先約定的，旨在限制或免除其未來責(zé)任的條款，體現(xiàn)為合同文本或口頭約定的形式。［26］合同雙方的合意是免責(zé)條款成立并生效的必要條件。依照意思自治的基本原則，當(dāng)事人可以在法律規(guī)定的范圍內(nèi)自愿訂立合同，約定雙方的權(quán)利和義務(wù)，而合同義務(wù)既包括義務(wù)承擔(dān)及違約責(zé)任，也包括可能減輕或免除當(dāng)事人責(zé)任的免責(zé)條款。在我國，可以設(shè)立免責(zé)條款的法律依據(jù)為《合同法》第53條，其一是造成對方人身傷害的情形，其二是因故意或者重大過失造成對方財產(chǎn)損失的情形。這就表明，當(dāng)事人可以在滿足不以侵害他人人身權(quán)利并且不因故意或重大過失損害他人財產(chǎn)權(quán)利的條件下，可以在合同中約定免責(zé)條款。

從比較法上看，德國、法國、美國認(rèn)可同意可以作為免責(zé)事由的效力，但也有國家尚未承認(rèn)同意能夠成為有效的抗辯。我國自起草《侵權(quán)責(zé)任法》時，便有人提出應(yīng)對受害人同意的法律效果問題作出明確規(guī)定，但直至民法典編纂階段仍未將受害人同意列為法定的免責(zé)事由。雖然我國《民法典》①《民法典》第1219條規(guī)定：“醫(yī)務(wù)人員在診療活動中應(yīng)當(dāng)向患者說明病情和醫(yī)療措施。需要實(shí)施手術(shù)、特殊檢查、特殊治療的，醫(yī)務(wù)人員應(yīng)當(dāng)及時向患者具體說明醫(yī)療風(fēng)險、替代醫(yī)療方案等情況，并取得其明確同意；不能或者不宜向患者說明的，應(yīng)當(dāng)向患者的近親屬說明，并取得其明確同意。醫(yī)務(wù)人員未盡到前款義務(wù)，造成患者損害的，醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)承擔(dān)賠償責(zé)任?！鼻謾?quán)責(zé)任編仍然延續(xù)了《侵權(quán)責(zé)任法》關(guān)于受害人同意規(guī)定的空白，但在特殊類型的侵權(quán)責(zé)任中對醫(yī)務(wù)人員實(shí)施特殊診療活動時的免責(zé)事由作出了規(guī)定。由此可見，在特殊診療活動中，患者的書面同意構(gòu)成醫(yī)務(wù)人員實(shí)施醫(yī)療行為的免責(zé)基礎(chǔ)。［27］

（2）受害人單方允諾。受害人單方允諾，是指受害人雖未與行為人達(dá)成免責(zé)條款，但是承諾行為人侵害其自身的權(quán)利。［28］在受害人單方作出同意的情況下，針對的是不特定的多數(shù)人，并不存在雙務(wù)合同的相對人，也即雙方并非就同意的事項達(dá)成合意。在受害人同意的情況下，一旦有行為人實(shí)施了同意項下的行為，其原本應(yīng)承擔(dān)的法律責(zé)任應(yīng)當(dāng)?shù)玫綔p輕或豁免。

受害人的允諾可以通過單方面的通知聲明形式，也可以通過向行為人告知的方式明確表示出來。但同意的具體內(nèi)容應(yīng)當(dāng)受到一定限制，以不違反法律法規(guī)和公序良俗為限度。雖然私法自治原則保護(hù)行為人對其自身權(quán)益的自由處分權(quán)利，但由于受害人同意以允許他人侵犯自己的權(quán)益為核心內(nèi)容，而法律并不保護(hù)對人身權(quán)益的侵害行為，因此，受害人同意的事項只能針對他人侵害自己的財產(chǎn)權(quán)益。一方面，財產(chǎn)權(quán)的權(quán)能包括占有、使用，亦包含處分和拋棄，受害人對其財產(chǎn)權(quán)益侵害的同意，意味著對其財產(chǎn)的放棄。同時，行為人作出侵害的財產(chǎn)范圍和程度應(yīng)當(dāng)與受害人作出同意的范圍相符，否則不能豁免其法律責(zé)任。另一方面，對人身權(quán)利的同意不宜作為免責(zé)基礎(chǔ)，因?yàn)槿松頇?quán)與主體不可分離，權(quán)利人不得通過任何方式轉(zhuǎn)讓和拋棄。即使受害人自愿作出同意侵害其人身權(quán)利，通常也會違背社會公德和公共秩序，不得視為有效的同意從而阻卻行為的違法性。當(dāng)然，在特殊情況下，如為公眾或他人自愿捐贈自己的血液、人體器官，以及上述提及的自愿接受手術(shù)治療等情形下對他人損害自己人身的同意，不屬于違反公序良俗之情形。

概言之，如果受害人明確向行為人作出同意，允許其侵害自己的財產(chǎn)權(quán)益，可以視為其已經(jīng)放棄了自己的財產(chǎn)權(quán)益，只要不損害國家利益、社會公共利益和他人利益，原則上均可以發(fā)生阻卻違法的效果。但如果受害人的同意是有限制的，針對特定行為內(nèi)容的，而行為人超過了該范圍，導(dǎo)致受害人的財產(chǎn)或人身利益受損，對于超出同意的部分行為人仍然應(yīng)該承擔(dān)責(zé)任。

3.個人信息主體同意與受害人同意適用之差異。同意是收集、處理個人信息行為的合法性基礎(chǔ)之一，而受害人同意則成為個人信息主體同意的法律依據(jù)。受害人同意為個人信息主體同意的適用創(chuàng)造了條件，因個人信息的收集、處理行為并非必然導(dǎo)致個人信息主體利益受損的后果發(fā)生，實(shí)踐中的具體情況如移動終端App、網(wǎng)站張貼的隱私協(xié)議，在收集個人信息需要點(diǎn)擊或勾選同意項時，其根本目的也不盡然是以侵犯公民個人的隱私等利益代價換取數(shù)據(jù)的經(jīng)濟(jì)價值，隨著各類規(guī)范的出臺①如國家互聯(lián)網(wǎng)信息辦公室秘書局等多部門于2019年11月印發(fā)的 《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》，其中列舉了九項行為可被認(rèn)定為“未經(jīng)用戶同意收集使用個人信息”的行為。，對收集、處理個人信息行為的限制愈加嚴(yán)格，個人信息處理者不得不更加謹(jǐn)慎設(shè)計隱私政策，合理設(shè)置同意選項。

此外，因個人信息收集、處理行為的客體不同于普通民事法律行為客體，同時客體的特殊性又引起行為的特殊性，因而個人信息主體同意與受害人同意仍有不同之處，在對具體法律規(guī)范進(jìn)行解釋與適用時，應(yīng)當(dāng)進(jìn)行區(qū)分，對個人信息主體同意作出特別解釋。

（1）限制條件不同。無論受害人同意的行使抑或個人信息主體作出同意，都應(yīng)滿足一定的限制條件，同意的意思表示不可由任意人輕易作出。我國理論界一般認(rèn)為，受害人同意要求以同意主體對同意范圍有相應(yīng)的處分權(quán)限為前提。受害人同意實(shí)質(zhì)上是對自己權(quán)利的處分，所以，他必須具有處分權(quán)限。［29］如房屋主人同意他人侵入自己的住宅，是因其對自己的房屋享有所有權(quán)，可以作出此種處分，又如重大手術(shù)治療、競技體育運(yùn)動中受害人的同意，是針對其健康權(quán)、身體權(quán)的一種處分，目前也是我國實(shí)踐中受害人同意應(yīng)用最廣泛的場合。而個人信息主體同意更強(qiáng)調(diào)其對個人信息的控制，而非絕對的所有權(quán)、支配權(quán)。個人信息主體對個人信息的控制，是基于個人信息展現(xiàn)的主體利益，即個人信息主體享有的個人自決、隱私利益等應(yīng)受法律保護(hù)。個人信息主體對個人信息的控制應(yīng)當(dāng)受到多重限制，其一為個人信息的使用者、處理者對個人信息加工、處理的合法權(quán)益的限制，個人信息主體的控制并不意味著僅信息主體可以使用，作為個人信息的來源者、提供者，個人信息主體需在保障自身主體利益不被侵害的前提下為個人信息處理者提供便利，因?qū)π畔⒌募庸?、分析、整合后才使其價值得到最大程度發(fā)揮，否則封閉的信息將失去利用價值；其二為實(shí)現(xiàn)個人信息更大范圍內(nèi)流通、共享、利用的社會利益的限制，個人信息被認(rèn)為是社會福利和公共物品［30］，個人信息具有公共屬性，其蘊(yùn)涵的社會價值和公共價值來源于人的社會性、群體性，每個人都是特定社會群體的一員，是社會整體的組成部分。若賦予個人對其一切個人信息的決定權(quán)或控制權(quán)實(shí)質(zhì)是保護(hù)漫無邊際的個人意志，與個人信息的社會屬性和公共屬性相悖。

（2）適用范圍不同。受害人同意來自西方法學(xué)理論，移植至我國侵權(quán)法領(lǐng)域，成為排除侵權(quán)行為違法性的一項正當(dāng)化事由，學(xué)理上對其適用范圍并無特殊限定，因此凡是侵犯到他人合法權(quán)益的行為都有可能適用受害人同意實(shí)現(xiàn)免責(zé)（具體情形應(yīng)視是否滿足同意的生效要件而定）。然而個人信息主體同意并不應(yīng)該適用于所有個人信息收集、處理行為。首先，信息的流動性、實(shí)時更新性決定了其只有在倡導(dǎo)流通的應(yīng)用環(huán)境下才有生命力和利用價值，作為大數(shù)據(jù)形式的個人數(shù)據(jù)信息的價值在于被社會充分的發(fā)掘和使用，沉淀的數(shù)據(jù)是沒有價值的。若存在某種技術(shù)可以將信息禁錮在一定控制范圍內(nèi)，這些被“鎖住”的信息也是無用的，因?yàn)樗呀?jīng)失去了隨時隨地記錄、分析主體的行為的意義。對全部個人信息使用場景均設(shè)置同意的關(guān)卡無疑會降低信息利用效率，不利于實(shí)現(xiàn)信息自由流動。其次，同意在實(shí)踐應(yīng)用中還存在諸多困境：隱私政策不盡詳盡與合理、重要事項未予增強(qiáng)告知，致使充分告知在現(xiàn)實(shí)中難以實(shí)現(xiàn)，同意制度被架空；由于個人有限的認(rèn)知能力導(dǎo)致以同意為核心的隱私自我管理架構(gòu)無法真正實(shí)現(xiàn)個人對數(shù)據(jù)的掌控［31］；同意并非基于個人自愿、真實(shí)的意思表示作出，表現(xiàn)在多數(shù)產(chǎn)品或服務(wù)雖在隱私條款或服務(wù)協(xié)議中設(shè)置了同意的選項，但服務(wù)使用者實(shí)則無法選擇，不勾選同意選項便無法進(jìn)一步使用等多重問題。由于信息的特殊性和同意規(guī)則面臨的困境，法律在制定規(guī)范時需重新審視同意的適用范圍。作為一項個人信息處理的合法性事由，并非任何個人信息處理行為都需要征得信息主體的同意。作為一項違法阻卻事由，個人信息主體的同意也并不應(yīng)當(dāng)成為信息處理者的免責(zé)屏障，而應(yīng)為特定場景下衡量各方主體利益、判斷信息處理行為是否合法的觸發(fā)機(jī)制。

三、明確同意規(guī)則的法律效果

關(guān)于同意的功能和法律效果，西方學(xué)者拉里·亞歷山大早有論述，他認(rèn)為“同意具有道德上和法律上的雙重效果”。［32］與這一觀點(diǎn)相近的還有海厄姆斯的觀點(diǎn)，他認(rèn)為：“同意行為可以產(chǎn)生變化。在法律上，同意允許行為者改變他們的權(quán)利以及與權(quán)利相關(guān)的義務(wù)。同意通過改變權(quán)利而賦予行為合法性”。［33］質(zhì)言之，同意的法律效果即同意可以改變行為性質(zhì)和結(jié)果的功能——因存在同意而引起行為性質(zhì)發(fā)生合法的、合乎道德要求的轉(zhuǎn)變，而相關(guān)行為在缺乏同意之前則可能是非法的、不合乎道德要求的。

（一）同意規(guī)則的事后救濟(jì)效力

首先，同意并非對個人信息處理者的事先賦權(quán)行為，這一理由包含兩個層次的內(nèi)容：一方面，在個人信息主體作出同意行為時，其并未對個人信息享有絕對支配或控制的權(quán)利，無論是由于個人信息區(qū)別于其他權(quán)利客體的特殊性質(zhì)還是其具備的社會屬性，都決定了個人無法對個人信息行使絕對的支配控制權(quán)利。從個人信息保護(hù)法指向的客體來看，個人信息無法也不應(yīng)當(dāng)成為主體控制或支配的對象，將個人信息作為絕對權(quán)的客體進(jìn)行規(guī)制不僅不具有技術(shù)上的可能性，而且不利于信息的流通和利用。從個人信息的屬性來看，賦予個人對與其有關(guān)的個人信息的絕對權(quán)實(shí)質(zhì)是保護(hù)漫無邊際的個人意志，與個人信息的社會屬性和公共屬性相悖。在信息社會，交流方式的變革根本性地顛覆了傳統(tǒng)信息產(chǎn)生、獲取、使用與傳播的方式［34］，有人就把個人信息比作是“一種公共福利（public good）”。［35］個人信息的社會屬性具有普遍性［36］，其蘊(yùn)涵的社會價值和公共價值來源于人的社會性、群體性，每個人都是特定社會群體的一員，是社會整體的組成部分。在某種意義上，個人信息甚至成為一種公共物品，其涉及廣泛的社會公共利益，不應(yīng)當(dāng)由個人排他所有，而是在某種程度上由社會決定個人信息的配置。［37］因此，同意規(guī)則在個人信息保護(hù)法中的價值實(shí)現(xiàn)也并非是通過主體賦權(quán)形式實(shí)現(xiàn)的，用戶的同意規(guī)則指向的對象與其他個人信息權(quán)利（查詢、更正、刪除的權(quán)利）的權(quán)利客體不同，個人信息保護(hù)法律規(guī)范確立的查詢權(quán)、更正權(quán)、刪除權(quán)的客體直接是個人信息，具體的查詢行為、更正行為、刪除行為都是對以特定載體存儲于平臺上的個人信息直接進(jìn)行的，而用戶同意的對象或事項卻是特定的個人信息收集和使用行為，因此無法將“同意”與其他個人信息權(quán)利歸入同一性質(zhì)的具體權(quán)利。另一方面，事先同意多數(shù)不具有現(xiàn)實(shí)意義，尤其是在個人信息收集階段征得的個人信息主體同意多為隱私條款或用戶協(xié)議的必要內(nèi)容，但個人信息主體往往對其同意貢獻(xiàn)出的個人信息后續(xù)使用范圍、目的、方式等不知情，甚至并不關(guān)注，這反過來加大了個人信息處理者任意利用個人信息獲利的機(jī)會，因此同意機(jī)制已與設(shè)置時的目的背道而馳，淪為個人信息處理者不當(dāng)處理信息乃至濫用信息的保護(hù)傘。

其次，同意規(guī)則以事后救濟(jì)為核心。在個人信息保護(hù)和流通實(shí)踐領(lǐng)域，作為個人信息處理行為的合法化依據(jù)之一，同意的運(yùn)用不應(yīng)被要求絕對化的適用于所有個人信息處理場景，當(dāng)且僅當(dāng)個人信息的收集、處理行為有侵害信息主體利益的風(fēng)險或造成實(shí)際損害后果時，這一救濟(jì)機(jī)制才有了實(shí)現(xiàn)個人信息主體利益保護(hù)的可能性。因此，這一機(jī)制是由個人信息處理者的不當(dāng)行為觸發(fā)的，有且僅具有事后救濟(jì)效力，而非事先由法律賦予特定主體以一項規(guī)定。與同意有關(guān)的因果關(guān)系鏈條為先由特定的個人信息收集或使用行為引發(fā)個人信息侵權(quán)行為，而后在尋求法律救濟(jì)階段判斷是否符合同意規(guī)則的要求進(jìn)而確定是否能夠阻卻個人信息處理行為的違法性。

（二）同意非個人信息處理的唯一必要條件

目前無論是現(xiàn)有的《網(wǎng)絡(luò)安全法》等法律規(guī)范，還是《個人信息安全規(guī)范》，或者已經(jīng)生效的《民法典》中人格權(quán)編有關(guān)個人信息同意的規(guī)定①參見《民法典》第1035條和1037條的規(guī)定。，以及備受關(guān)注的《個人信息保護(hù)法》，都將同意作為個人信息處理的合法性基礎(chǔ)，即“個人信息的收集、使用須經(jīng)個人信息主體同意”。從比較法上看，歐洲各國家及地區(qū)的個人信息保護(hù)法均將個人信息主體的同意作為個人信息保護(hù)的一般規(guī)則，同時規(guī)定同意是個人信息處理的合法性基礎(chǔ)之一。從法律發(fā)展進(jìn)程上看，在各國的個人信息保護(hù)法發(fā)展歷程中，對于個人信息處理規(guī)則基本上符合從嚴(yán)到寬的規(guī)范趨勢。最初的立法目的是防范個人信息濫用，免受國家公權(quán)力的不當(dāng)侵犯，加強(qiáng)個人信息保護(hù)和國家的嚴(yán)格管制，因此在某一特定時期同意確實(shí)成為除法律規(guī)定外唯一的合法性事由。但后期隨著時代的發(fā)展，大數(shù)據(jù)的經(jīng)濟(jì)價值不斷凸顯，單一依靠同意規(guī)則限制個人信息的利用變得不再符合時宜，因此各國紛紛修改個人信息保護(hù)法，將除同意外的多項合法性事由列入法律規(guī)定，以此促進(jìn)個人信息的合理流通和使用。

因此，可以得出結(jié)論：同意在個人信息保護(hù)法律框架下扮演極其重要的角色，但其角色為收集、處理、使用個人信息的合法性事由“之一”，并非唯一、絕對、必要的基礎(chǔ)。同意具有阻卻違法效力不代表所有場景均需用到同意，毋寧，個案中并非一律須取得當(dāng)事人之同意，才能進(jìn)行收集、處理活動。首先，在具體個案中，當(dāng)事人同意可能與其他合法事由并存，如履行合同的需要，此時究竟應(yīng)以何者（或兼采多項事由）作為個人信息處理的法律基礎(chǔ)，需要視個人信息使用目的以及個別事由的適用范圍等因素分別加以考量。［38］例如，在雇傭關(guān)系中，作為個人信息處理者的用工單位需要收集員工的個人信息，可能會在簽訂合同時獲得員工的同意，這時依據(jù)的合法性事由便是信息主體的同意事項，同時由于二者均處于雇傭合同的法律關(guān)系之中，用工單位仍可在履行合同的必要范圍內(nèi)收集、存儲并使用員工的個人信息，而不論其是否已經(jīng)單獨(dú)就該事項作出同意，這時依據(jù)的合法性事由還可以是履行合同之必需的事項。但如果用工單位需要利用該員工的個人信息轉(zhuǎn)作其他用途，則仍須憑借主體同意的合法性事由另行征得員工同意。其次，同意有時并不適合作為收集、使用個人信息的合法性事由，選擇其他事由作為合法收集、使用個人信息的基礎(chǔ)反而更為適當(dāng)。在特定情形下，由于雙方當(dāng)事人地位不對等，個人信息主體囿于經(jīng)濟(jì)等不利因素可能無法真正作成自主決定，同意面臨缺乏真實(shí)性的適用困境，此時若仍將個人信息主體同意作為合理化個人信息處理的依據(jù)，不但同意的效力值得懷疑，在個人信息處理活動自始具有其他合法性事由的情形下仍尋求當(dāng)事人同意，有可能構(gòu)成誤解或者顯失公平。［39］

（三）同意規(guī)則的有限免責(zé)效力

1.同意不必然阻卻違法。首先，同意的法律效果不等于同意必然產(chǎn)生阻卻行為違法性的結(jié)果。個人信息保護(hù)中同意規(guī)則的規(guī)范邏輯應(yīng)當(dāng)是由特定場景下的特定行為觸發(fā)而選擇使用的規(guī)則。目前，許多網(wǎng)絡(luò)運(yùn)營者在提供服務(wù)時容易將收集、使用用戶個人信息的目的混入其提供的服務(wù)中，誤使用戶認(rèn)為收集、使用個人信息是獲得網(wǎng)絡(luò)服務(wù)的前提性條件。然而，實(shí)際情況是網(wǎng)絡(luò)運(yùn)營者在提供服務(wù)的過程中，基于合法、正當(dāng)、必要的目的收集、使用用戶個人信息時，需要具備合法性基礎(chǔ)，這方才觸發(fā)了同意機(jī)制。

為了進(jìn)一步確保同意規(guī)則取得應(yīng)有的實(shí)施效果，一些網(wǎng)絡(luò)運(yùn)營者采取了諸如“下拉最底頁”“強(qiáng)制讀秒”等強(qiáng)化告知程序的優(yōu)化和改良措施，但是對于如何獲得真實(shí)有效的個人同意產(chǎn)生的作用十分有限。由此可見，無論如何從形式上改良獲取用戶同意的規(guī)定，上述操作并未對網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息的行為產(chǎn)生實(shí)質(zhì)上的影響力和約束力，相反卻成為了網(wǎng)絡(luò)運(yùn)營者肆意收集或不當(dāng)使用個人信息的“保護(hù)傘”，這導(dǎo)致用戶在使用網(wǎng)絡(luò)運(yùn)營者提供的服務(wù)時，不得不付出同意收集、使用個人信息的不平等對價。同意規(guī)則最初是作為保護(hù)用戶個人信息的防御救濟(jì)機(jī)制，但在應(yīng)用過程中卻逐漸轉(zhuǎn)化為個人信息處理者規(guī)避風(fēng)險的手段，導(dǎo)致失去了其本應(yīng)有的制度價值。

2.非以同意作為合法性前提時，同意不是違法阻卻事由。經(jīng)上文論述，同意并非取得個人信息的唯一途徑，信息主體的同意并非個人信息處理的必要條件。《歐盟基本權(quán)利憲章》便規(guī)定了個人信息處理的正當(dāng)性基礎(chǔ)既可以是用戶本人的同意，也可能是基于其他的法定事由。［40］對于個人信息處理的正當(dāng)理由，最具參考意義的為歐盟《統(tǒng)一數(shù)據(jù)保護(hù)條例》提供的規(guī)范思路，其中第六條還列舉出了其他五項合法事由。①GDPR第6條規(guī)定的其他五項合法性事由為：（1）履行數(shù)據(jù)主體為一方當(dāng)事人的合同或在訂立合同前為實(shí)施數(shù)據(jù)主體要求的行為所必要的數(shù)據(jù)處理；（2）為履行數(shù)據(jù)控制者的法定義務(wù)所必要的數(shù)據(jù)處理；（3）為保護(hù)數(shù)據(jù)主體或另一自然人的重大利益所必要的數(shù)據(jù)處理；（4）為履行涉及公共利益的職責(zé)或?qū)嵤┮呀?jīng)授予數(shù)據(jù)控制者的職務(wù)權(quán)限所必要的數(shù)據(jù)處理；（5）數(shù)據(jù)控制者或第三方為追求合法利益目的而進(jìn)行的必要數(shù)據(jù)處理。因此，在特定情況下，對個人信息的收集和使用還可以依據(jù)這五項合法性事由作為前提。

那么，同意規(guī)則的有限免責(zé)效力中的“有限”便有了第二層含義：在非以同意作為合法性前提的個人信息處理行為中，即使個人信息處理者事先取得了個人信息主體的有效同意（同時滿足實(shí)質(zhì)要件和形式要件的同意），在由個人信息泄露、不當(dāng)使用等造成信息主體權(quán)益受到侵害的情況下，個人信息處理者也不得以其獲取了信息主體的同意作為抗辯事由，進(jìn)而主張免除或減輕自己的責(zé)任。

綜上所述，個人信息保護(hù)中的同意規(guī)則的法律效果可以概括為：在一定范圍內(nèi)可成為阻卻行為違法的事由，但未經(jīng)同意不得成為侵權(quán)行為的構(gòu)成要件。申言之，其核心法律效果便是在涉及個人信息權(quán)益受到侵害時阻卻個人信息處理行為的違法性，對個人信息的不法侵害具有救濟(jì)功能。采取這一原則進(jìn)行保護(hù)，立法只得選擇事后救濟(jì)路徑而非事先賦權(quán)路徑，也即，當(dāng)且僅當(dāng)個人信息的處理產(chǎn)生侵權(quán)損害后果時，同意機(jī)制作為一項違法阻卻事由得以觸發(fā)，個人信息處理者是否事先征得個人信息主體的同意成為司法裁量中的一項重要因素。

（四）由“三重同意”機(jī)制檢視同意規(guī)則的法律效果

在個人信息保護(hù)的同意規(guī)則運(yùn)用于司法實(shí)踐裁判的過程中，不乏對互聯(lián)網(wǎng)企業(yè)收集個人信息行為性質(zhì)及合法性基礎(chǔ)認(rèn)定起標(biāo)示性作用的案例，其中最為典型的案例當(dāng)屬“新浪微博與脈脈不正當(dāng)競爭糾紛”①“脈脈”是一款以提供職場求職招聘信息，幫助職場人拓展人脈的社交應(yīng)用App軟件，其與新浪微博通過《開發(fā)者協(xié)議》進(jìn)行合作，并按約定通過微博平臺Open API接口獲取新浪微博的用戶數(shù)據(jù)。合作期間，新浪微博方以脈脈超過合同約定獲取其平臺上的用戶數(shù)據(jù)，并在中斷合作關(guān)系后仍未完全刪除其獲得的數(shù)據(jù)為由提起訴訟。一審法院判定被告脈脈在雙方合作期間非法抓取、使用超出雙方協(xié)議約定范圍的用戶信息（職業(yè)信息和教育信息），且在合作結(jié)束后繼續(xù)非法使用新浪微博的用戶信息，這一行為構(gòu)成不正當(dāng)競爭，二審法院維持了這一判決結(jié)果。案件詳情參見北京市海淀區(qū)人民法院〔2015〕海民（知）初字第12602號民事判決，北京知識產(chǎn)權(quán)法院〔2016〕京73民終588號民事判決。。在這一案件的事實(shí)認(rèn)定與行為合法性判斷過程中，法院確立了收集和使用個人信息時應(yīng)遵循的“三重同意”②本案的審理過程及判決文書中均使用“授權(quán)”一詞，但以前文所論同意并不具有授權(quán)的法律效果，此處的“三重授權(quán)”是對具體案件審判思路的總結(jié)歸納，將“授權(quán)”與“同意”混用為日常表達(dá)中的慣用說法，其實(shí)際含義是用戶或互聯(lián)網(wǎng)平臺作出的“同意”行為，并無強(qiáng)調(diào)同意具有授權(quán)的法律效果之意。為避免引發(fā)理解上的歧義，下文均使用“同意”。模式，即“用戶同意＋平臺同意＋用戶同意”模式③此后關(guān)于互聯(lián)網(wǎng)平臺與第三方數(shù)據(jù)開發(fā)者收集、使用用戶數(shù)據(jù)的授權(quán)模式，裁判依據(jù)均參照“新浪微博與脈脈不正當(dāng)競爭糾紛”一案，采取“三重同意”模式，如2018年“淘寶與安徽美景公司不正當(dāng)競爭糾紛”，肯定了這一模式，并將該規(guī)則的適用范圍擴(kuò)大至“使用其他網(wǎng)絡(luò)運(yùn)營者收集的用戶信息”，并將個人行為痕跡信息納入適用范圍，詳情參見杭州鐵路運(yùn)輸法院〔2017〕浙8601民初4034號民事判決，杭州市中級人民法院〔2018〕浙01民終7312號民事判決；2019年“騰訊與今日頭條（抖音、多閃等）不正當(dāng)競爭糾紛”一案，再次肯定并適用“三重同意”模式，并對“平臺同意”的具體要求進(jìn)行細(xì)化，進(jìn)一步限制第三方開發(fā)者利用平臺的用戶數(shù)據(jù)，詳情參見天津市濱海新區(qū)人民法院〔2019〕津0116民初2091號民事裁定書。，具體判定思路為：其一，作為第三方開發(fā)者，在通過平臺獲取其正常經(jīng)營范圍所需的用戶數(shù)據(jù)之前，必須由互聯(lián)網(wǎng)平臺（本案中一審原告方新浪微博）征得其用戶的同意，體現(xiàn)用戶對平臺隱私政策的同意與接受，在隱私政策中，平臺會告知需用戶同意收集、使用的個人信息的內(nèi)容及范圍等事項；其二，依據(jù)互聯(lián)網(wǎng)平臺與第三方開發(fā)者事前訂立的《開發(fā)者協(xié)議》，獲取平臺的合法同意后取得Open API接口的準(zhǔn)入權(quán)限，實(shí)現(xiàn)數(shù)據(jù)的合法傳輸；其三，開發(fā)者（本案中一審被告方脈脈）在收集、使用基于平臺提供的用戶數(shù)據(jù)之前，仍需事先征得用戶的同意，這既是源于第二階段開發(fā)者與平臺的協(xié)議約定，也是法律上關(guān)于“個人信息收集、使用必須經(jīng)個人信息主體同意”這一規(guī)范的必然要求。（見圖1）而本案的爭議焦點(diǎn)也主要圍繞被告獲取用戶數(shù)據(jù)的行為是否符合第三層同意的要求，經(jīng)法院認(rèn)定，脈脈在未取得用戶的明確同意的前提下便獲取了平臺的用戶信息，包括個人頭像、名稱（昵稱）、職業(yè)信息、教育信息及用戶自定義標(biāo)簽、手機(jī)通訊錄聯(lián)系人及微博好友等內(nèi)容，違反了誠實(shí)信用原則與公認(rèn)的商業(yè)道德。

圖1 “三重同意”規(guī)則的司法運(yùn)用

本案的判決結(jié)果在一定程度上以司法判例的形式踐行了通過諸如《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》確立的收集、使用個人信息必須征得個人信息主體同意的基本規(guī)則，結(jié)合具體案情推演出的“三重同意”模式雖符合法律規(guī)定，但因其必要性和正當(dāng)性的缺失，導(dǎo)致用戶個人權(quán)益并無法獲得真正的保障，法律規(guī)則的應(yīng)然架構(gòu)與個人信息保護(hù)實(shí)然困境的沖突不得不使我們重新審視同意的法律效果。

在“三重同意”規(guī)則適用中，依據(jù)對個人信息的獲取和利用方式可以將其分成兩個階段：第一階段是個人信息的“一次利用”，即互聯(lián)網(wǎng)開放平臺方直接收集、使用用戶的個人信息須獲得用戶的同意；第二階段是個人信息的“二次利用”，即第三方開發(fā)者通過開放平臺，如通過Open API模式間接獲取用戶數(shù)據(jù)時，必須經(jīng)過平臺方同意和用戶本人再次明確同意。在用戶數(shù)據(jù)的一次利用階段，同意的主體是用戶個人，針對的對象是從用戶處直接收集的諸如個人名稱（昵稱）、頭像、職業(yè)信息、教育信息等用戶數(shù)據(jù)，適用傳統(tǒng)的知情同意規(guī)則，旨在加強(qiáng)個人對其個人信息的控制和保護(hù)；而二次利用階段，原始用戶數(shù)據(jù)脫離信息主體而進(jìn)入數(shù)據(jù)收集者或利用者的實(shí)際控制，后者還可能對這些原始數(shù)據(jù)進(jìn)行進(jìn)一步的加工處理，而依據(jù)《開發(fā)者協(xié)議》個人信息的二次利用不僅需要得到與第三方開發(fā)者存在合同關(guān)系的平臺，還需要重新征得用戶的同意。①無論是對用戶數(shù)據(jù)的直接獲取或間接獲取，都涉及個人信息主體（用戶）的同意，因此下文討論“同意的法律效力”均針對本案中“三重同意”模式下的兩項“用戶同意”，不討論“平臺同意”的效力問題，這也與我國現(xiàn)行法律規(guī)定的同意主體相符?！叭赝狻币?guī)則看似為個人信息主體（用戶）和平臺的數(shù)據(jù)權(quán)益提供了充分保障，確保個人信息在收集、使用的每一環(huán)節(jié)都嚴(yán)格執(zhí)行知情同意規(guī)則，但無論是在一次利用階段要求對所有的個人信息收集行為均須得到用戶“具體的、清晰的，在充分知情的前提下自由做出的同意”，還是二次利用階段要求第三方開發(fā)者分別征得用戶和企業(yè)同意的規(guī)定，不僅會增加個人信息收集利用的操作難度，而且還會引導(dǎo)人們錯誤理解同意機(jī)制的法律效果。“三重同意”規(guī)則的確立是否意味著同意的主體因此享有與個人信息相關(guān)的權(quán)利？一旦獲得用戶和平臺的有效同意，個人信息的收集者、使用者實(shí)行的行為是否一概免責(zé)？

第一個問題關(guān)于同意是否具有授權(quán)的法律效果。對于互聯(lián)網(wǎng)平臺和第三方開發(fā)者而言，用戶數(shù)據(jù)是網(wǎng)絡(luò)經(jīng)營者收集和分析用戶需求，提供定制化產(chǎn)品和服務(wù)，進(jìn)而提升用戶體驗(yàn)的重要源泉。［41］因此，法律規(guī)范和司法程序確立的“三重同意”規(guī)則均保障用戶個人得以按照其意愿決定與其有關(guān)的用戶數(shù)據(jù)是否可被平臺或第三方開發(fā)者收集、使用，但用戶對其用戶數(shù)據(jù)的決策與控制并不意味著享有一種受私法保護(hù)的同意權(quán)利。對同意機(jī)制的作用不應(yīng)過分解讀為確立個人對其個人信息的處分權(quán)利，即使在用戶同意新浪微博平臺或脈脈收集其個人信息之后，用戶仍可繼續(xù)使用該個人信息，亦即個人信息對于用戶的使用價值并不會因?yàn)槠渌畔⑻幚碚叩奶幚硇袨槎艿较鳒p。從反面看，個人信息若單純依靠為用戶確立新型的個人信息權(quán)利保護(hù)其正當(dāng)權(quán)益，結(jié)果可能會導(dǎo)致權(quán)利的濫用和褻瀆。對于用戶的信息權(quán)利保護(hù)應(yīng)以信息處理者嚴(yán)格規(guī)范自身的行為為出發(fā)點(diǎn)，同意機(jī)制只是在個人信息主體的利益遭遇侵害風(fēng)險時的救濟(jì)手段之一，具有事后性、不可預(yù)見性。

第二個問題關(guān)于同意是否具有絕對的免責(zé)效力?！靶吕宋⒉┡c脈脈不正當(dāng)競爭糾紛”一案作為大數(shù)據(jù)時代有關(guān)個人信息商業(yè)化利用第一案［42］，其確立的個人信息保護(hù)模式對大數(shù)據(jù)時代建立信息利用秩序起到指示性作用?！叭赝狻币?guī)則在本案及后案中的運(yùn)用，目前來看符合我國個人信息保護(hù)的相關(guān)規(guī)定，但其背后則反映出平臺與第三方開發(fā)者存在濫用同意規(guī)則進(jìn)而實(shí)現(xiàn)“風(fēng)險規(guī)避”之嫌。如脈脈在其提供的《脈脈服務(wù)協(xié)議》中表明“用戶一旦使用第三方平臺賬號注冊、登錄、使用脈脈服務(wù)，淘友公司對該等第三方平臺記錄的信息的任何使用，均將被視為已經(jīng)獲得了用戶本人的完全同意并接受”“用戶對淘友公司的前述明確同意是不可撤回、基于其自身真實(shí)意思表示的授權(quán)”，此種隱私協(xié)議在實(shí)踐中相當(dāng)于基本架空了同意規(guī)則，不符合個人信息保護(hù)規(guī)定中同意的合法形式及運(yùn)用規(guī)則。在發(fā)生相關(guān)糾紛后，法院也在判決中指出，“脈脈未在服務(wù)協(xié)議中充分告知用戶相應(yīng)行為的后果，且無權(quán)選擇關(guān)閉相關(guān)對應(yīng)關(guān)系或展示方式等”。由此可以得出，若泛泛的要求個人信息收集、使用一概要征得主體同意，不僅未必可達(dá)到保護(hù)個人信息主體利益的目的，更加容易使同意機(jī)制淪為信息處理者濫用個人信息、規(guī)避風(fēng)險的工具，最終導(dǎo)致同意規(guī)則運(yùn)用的現(xiàn)實(shí)效果與設(shè)立初衷相背離的不利后果。因此，對同意的免責(zé)效力不宜做擴(kuò)大解釋，同意是否可以達(dá)到阻卻個人信息處理行為違法性還應(yīng)視行為的具體性質(zhì)、后果及是否與其他合法性事由相關(guān)聯(lián)等因素綜合評判。

第三個問題關(guān)于同意是否應(yīng)當(dāng)成為個人信息處理的唯一前置必要條件。在“新浪微博與脈脈不正當(dāng)競爭糾紛”一案中確立了“三重同意”的司法規(guī)則，也即奠定了“同意為個人信息處理必要條件”這一原則在審判活動中的指導(dǎo)地位。但正如上文所述，對于任意個人信息利用場景下，個人信息處理者與信息主體之間的法律關(guān)系可能關(guān)涉多重利益，若個人信息主體永遠(yuǎn)享有決定他人是否可以收集、使用個人信息的權(quán)利，那么當(dāng)個人信息的利用與公共利益、其他重大利益相關(guān)時，如新浪平臺將收集的用戶信息供公安機(jī)關(guān)調(diào)查取證之用，這時個人信息的處理之正當(dāng)性基礎(chǔ)便不再是個人的自由意志，所以應(yīng)將“三重同意”規(guī)則的適用范圍做出合理限定，由此，同意并非唯一合法事由，在某些情況下的同意甚至與個人信息處理并無因果關(guān)系。

私法領(lǐng)域保護(hù)個人的自由、平等和意思自治，在“法無禁止即自由”的權(quán)利推定規(guī)則指引下，權(quán)利人與相對人均受到這一規(guī)則的約束，個人可在不侵犯他人合法權(quán)益的情況下自由行事。對于權(quán)利人而言，權(quán)利就意味著自由，而他人的權(quán)利則意味著對自己的限制。［43］正是由于每個人都處于權(quán)利與義務(wù)相制衡的環(huán)境下，人的自由、平等權(quán)利才更加得到保障。然而，存在于同意這架規(guī)制天平兩端的主體既包括個人信息主體，也包括個人信息的處理者。實(shí)現(xiàn)和保護(hù)個人信息主體的主體利益和自由意志意味著對個人信息處理者行為自由的適度限制，即個人信息處理者初始狀態(tài)下的收集、處理行為不自由，只有透過個人信息主體的同意機(jī)制才可將個人信息處理者的限制打破，實(shí)現(xiàn)其對目標(biāo)信息的合理使用，達(dá)到個人信息最大化利用的理想狀態(tài)。因而同意規(guī)則的法律效果應(yīng)是使個人信息處理者原本無法自由處理信息的行為獲得自由，使原本不合法的信息處理行為變?yōu)楹戏?。同意?guī)則旨在保護(hù)個人信息主體的自決權(quán)，這意味著對個人信息處理者行為自由的適度限制，即個人信息處理者在初始狀態(tài)下并不享有處理其個人信息的自由，只有透過個人信息主體的同意機(jī)制才可將個人信息處理者的限制打破，創(chuàng)設(shè)個人信息處理者的行為自由權(quán)限，實(shí)現(xiàn)個人信息處理者對個人信息的合理使用，達(dá)到個人信息最大化利用的理想狀態(tài)。

同意并非個人信息處理行為合法性的實(shí)體構(gòu)成要件，僅具有保障程序正當(dāng)性的作用。關(guān)于同意規(guī)則的規(guī)范表達(dá)，國際法上通行的做法是將其列為一項個人信息處理的合法性基礎(chǔ)，而我國現(xiàn)行法律規(guī)范沒有使用“合法性基礎(chǔ)”這一表述，我國對同意的規(guī)定總體可分為兩類，一類是以《民法典》第1035條、《網(wǎng)絡(luò)安全法》第41條和42條等為代表的規(guī)定，即個人信息的收集、使用、提供等行為須以該個人的同意為前置條件，另一類是以《民法典》第1036條、最高人民法院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條為代表的免責(zé)事由的規(guī)定，即個人信息主體的同意在一定條件下可以成為個人信息處理者免于承擔(dān)侵權(quán)責(zé)任的事由之一，易言之，同意在一定條件下可以阻卻個人信息侵權(quán)行為的違法性。但無論是哪一種形式的規(guī)范表達(dá)，都未將同意作為個人信息處理的合法性構(gòu)成要件。因此，同意類似個人信息處理者合法進(jìn)行個人信息收集、使用等活動的第一道“閘門”，滿足了同意要件僅達(dá)到實(shí)現(xiàn)程序正義的目的，而具體的信息處理行為是否構(gòu)成侵權(quán)還應(yīng)結(jié)合侵權(quán)責(zé)任的構(gòu)成要件進(jìn)行確認(rèn)。