欧盟个人数据保护指令(郭福卿｜论同意规则的检视与构造)

Posted 2023-05-30

篇首语：岁寒，然后知松柏之后凋也。本文由小常识网(cha138.com)小编为大家整理，主要介绍了欧盟个人数据保护指令(郭福卿｜论同意规则的检视与构造)相关的知识，希望对你有一定的参考价值。

欧盟个人数据保护指令(郭福卿｜论同意规则的检视与构造)

郭福卿

华东政法大学法律学院硕士生

要目

一、问题的提出

二、同意规则的检视

三、同意规则的构造

结语

个人信息不仅关涉信息主体的自由和尊严，还涉及社会利益及公共利益的实现，知情同意规则对平衡个人信息的流通利用与隐私保护之间的关系具有重要的意义。一些立法文件、司法判例等常用“授权同意”的字样，错误的将同意等同于一种授权行为，具有一种将个人信息等同于绝对权的倾向，从而夸大了知情同意的作用。个人信息的权益性质决定了同意规则只能是处理个人信息的合法性基础之一，同意类似于一种意思表示，其具体构造可以参照民法学理论，需要满足一定的形式要求及实质要求。结合外国立法例及我国现行立法对同意规则进行检视和分析，有助于协调个人信息上的主体利益、处理者利益及公共利益，从而推动个人信息的有序处理。

一、问题的提出

随着信息革命的深入推进，个人信息成为“新时代的石油”。个人信息上附着了信息主体、信息处理者、国家及社会的利益，如何兼顾这些利益成为个人信息保护立法的重要使命。知情同意规则既体现了对信息主体的人格尊严及自由的尊重，又可以有效防止信息处理者滥用其掌握的个人信息，对依法保障信息主体权益并促进信息的社会化利用具有十分重要的意义。知情同意规则包括告知规则和同意规则，告知是同意的前提，同意是告知的目的，二者紧密联系、不可分割，本文主要针对同意规则进行分析研究。

2012年发布的《关于加强网络信息保护的决定》（以下简称《决定》）首次在我国提出个人信息处理的同意规则，根据文义理解，似乎同意是收集使用个人信息的唯一合法性基础。2012年颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）将同意细化为“明示”和“默许”两种情形，并用“明确授权同意”来解释“明示同意”的概念。2013年修订的消费者权益保护法将同意应用到消费者权益保护领域，明确了处理消费者个人信息时必须充分尊重消费者的自主意志。2017年施行的网络安全法第一次以法律的形式对同意规则作出规定。2018年实施的《信息安全技术个人信息安全规范》（以下简称《规范》）将同意的形式以及同意规则适用的情形进一步予以精细化，原则上处理个人信息前应征得个人的“授权同意”，处理敏感信息前应取得个人的“明示同意”。为国家安全、公共安全等需要处理公民的个人信息时，无须取得信息主体同意。2021年实施的民法典将同意作为处理公民个人信息的要件之一，并创设了“法律、行政法规另有规定”的例外情形。2021年8月审议通过的个人信息保护法将取得个人同意与履行合同或法定职责所必须等情形并列，作为信息处理者处理个人信息的合法性基础之一。

一些行业规范或司法判例中将知情同意表述为“授权同意”，同意的含义似乎等同于“授权”。在“授权同意”的具体理解上，有些学者认为“授权同意”就是“明示同意”，有的学者则认为“授权同意”包括“明示同意”及“默示同意”，如何对“授权同意”进行理解适用是个人信息保护实践中亟待澄清的问题。《决定》《指南》、消费者权益保护法及网络安全法等多部立法似将同意规则作为收集、使用个人信息的唯一合法性基础，同意规则在个人信息保护中的地位和作用需要进一步明确。本文结合我国个人信息保护立法及实践现状，针对同意规则的理解及适用进行检视分析，以期在实现个人权益保护的基础上深化数据的共享流通。

二、同意规则的检视

同意并非授权

1.从文义角度分析

授权在公法及私法的各个领域都有提及，比如上级政府依照法律规定把其权限范围内的部分行政权力委托授权给下级政府行使，诉讼当事人授权律师为其代理诉讼等。个人信息的权益属性虽有争议，但通常认为其主要涉及的是私法上的权益，因而笔者对民事领域的“授权”及“同意”的通常理解予以整理分析。

关于民事领域的授权，通常包括代理权及处分权的授权行为等。在意定代理中，本人授予代理人以代理权，代理人则就享有了代理本人为法律行为的资格或地位。此外，授权还包括财产处分权的授予，权利人可以将自己的处分权移转给他人行使，从而避免构成无权处分。比如甲授权乙出卖其手机，乙与丙实施法律行为将手机出卖给丙，该法律行为并不需要以甲的名义实施，因为乙享有将该手机所有权让与给丙的权利。通过上述分析可以看出，民事领域的授权实质上指权利人限制自己的行为，为他人创设某种意志自由。

关于民事领域的同意，一般包括限制行为能力人实施与其意思能力相悖的法律行为前其法定代理人的同意，特殊诊疗活动中患者或其近亲属的书面同意等。鉴于未成年人理性瑕疵问题，在实践中贯彻未成年人利益最大化的要求成了法定代理人同意制度的重要理论基础。法定代理人同意限制行为能力人为某些法律行为，实质上是对其行为能力的一种补充，而并非授予限制行为能力人实施这些行为的权利。诊疗活动中，取得患者或其近亲属同意的目的是为充分保障患者的人格尊严，其同意仅是允许医疗人员实施医疗行为，而并非赋予医疗人员某种处分其身体的权利。总而言之，我们可以发现，民事领域的同意一般不会发生限制自己的行为，为他人创设某种意志自由的效果。从文义上观察，私法领域的授权与同意具有不同的含义，二者不应混为一谈。

2.从客体角度分析

社会属性是人的根本属性，没有人与人间的交往就不会有个人信息的产生，更谈不上对个人信息的保护。个人信息不仅关乎个人的尊严，而且关涉整个社会的运行发展，因此不宜将个人信息当作一种绝对权进行保护。与法律对自然人的“声音”“信用”的保护相似，民法典中称之为“个人信息”而不是“个人信息权”，表明立法者有意否定个人信息权利化的保护路径。

从客体角度观察，个人信息与物权等绝对权存在明显差异。随着信息技术的进步，个人信息绝不再仅指个人的姓名、电话号码及身份证号等关乎个人身份的通常所见的信息，一些网页浏览记录、人脸识别信息、地理位置信息等成为个人信息的重要部分。这些信息储藏在电子设备及网络服务器之中，一般个人要想对这些信息进行绝对的支配和控制是不可能的。此外，流通和分析是个人信息的重要价值所在，如果将个人信息作为绝对权支配和控制，势必会影响到其社会效益的发挥。个人信息立法主要保护的是信息主体在个人信息处理中的权利，个人信息并非一种绝对排他的支配权，信息主体的同意当然难谓一种授权。

3.从基本权利角度分析

纵观欧洲关于个人信息的保护，通说观点认为其起源于个人信息自决权这一宪法权利。该权利最重要的内容便是“自决”，即个人有权决定是否允许他人在一定范围内处理自己的有关个人信息。这一权利提出的背景是著名的德国联邦宪法法院审判的“人口普查案”，联邦宪法法院以国家并未保护“个人决定其个人信息被他人利用的基本权利”为由，判决“人口普查法”无效，也即该法案侵犯了个人信息自决权益。个人信息自决权所保护的是公民的意志自由，每个公民都有权自主决定是否公开以及在多大范围内公开自己的生活事实。从起源上来看，信息自决权主要针对的主体是政府机关，是公民避免政府利用现代科技过度监控私人生活的基本权利。虽然近年来个人信息保护立法主要规制的对象为互联网企业，但对立法起源的探究仍具有启示性意义。

欧盟《数据保护指令》及《统一数据保护条例》（以下简称GDPR）均以保障个人的人格尊严及自由等基本宪法权利为逻辑起点，我国个人信息保护法借鉴了这一域外法源，更加倾向于欧洲基本权利保护模式。个人信息保护法最终审议时，新增加“根据宪法，制定本法”，表明宪法是我国的个人信息保护的源头，个人信息之上承载了公民的人格尊严、自由等基本权利。根据一般的宪法学原理，公民的基本权利是相对于国家而言的，其涉及公民的尊严、独立、平等及自由等，属于不可让渡的权利，从这个层面上来看，同意无法发生授权的效力。

总而言之，个人信息不同于物权、肖像权等具有绝对性的私权，不宜将个人信息划入传统私权的范围之内。以个人信息作为基础的同意，也不应当作为一种绝对权来对待，同意不同于授权，应当将个人信息处理中的同意与民法、行政法中的授权明确区分。

同意规则并非个人信息处理的唯一合法性基础

消费者权益保护法及网络安全保护法规定处理公民个人信息时必须履行告知义务，并获得有关主体同意，似乎“同意”成了个人信息处理的必要条件。一些持反对观点的学者认为，应充分保障个人信息的公共属性及社会属性的发挥，完全不应将“知情同意”作为处理个人信息时必须满足的合法性要件。笔者认为，一方面，不宜过分强调个人信息的社会价值，其上附着的人格自由和人格尊严绝不能被忽视；另一方面，不宜过分夸大个人的尊严和自由，从而阻碍了信息流通所带来的经济效益和社会效益的发挥。

欧洲的个人信息保护与个人隐私并无直接的关联，而是纳入基本权利的范畴。不论是基本权利的范畴还是个人隐私的范畴，保护个人信息的最基本目的是为了维护人之所以为人所必须具备的人格独立、尊严及自由。处理个人信息时的同意作为个人决定自己的个人信息的体现，不应被完全抛弃。GDPR规定了两类在处理个人信息前需要符合的合法性要件，即“基于同意的处理”（Processing Based on Consent）和“基于法定许可的处理”（Processing Based on a Legal Permission），并以此为框架进一步细化，进而构建起了科学合理的合法性基础体系。

我国个人信息保护立法经历了一个从“同意为王”到“多元化合法性基础”的过程，《决定》网络安全法等多部文件均表现出一种将同意作为唯一合法性基础的倾向，其后的立法呈现出不断缓和的趋势。《网络侵权司法解释》第12条将经信息主体同意与为公共利益、社会利益等情形并列，作为加工、处理个人信息的违法性免责事由。民法典第1035条以同意为核心，同时确立了其他法定许可的情形，具体包括民法典第999条，第1036条第2项、第3项共三种情形。个人信息保护法第13条进一步细化了法定许可的情形，为应对突发公共卫生事件等情形下，未经信息主体同意也可以处理个人信息。该规定既与民法典保持统一，又吸收了比较法上的优秀成果，构建起了符合我国国情的合法性基础体系。总而言之，同意不是也不应该是个人信息处理的唯一合法性基础，个人信息处理要兼顾个人尊严的保护与信息的有序利用，并在二者之间寻求平衡。

三、同意规则的构造

同意规则的实质要件

首先，主体要有同意的能力。同意能力不同于行为能力，通说观点认为，其属于一种识别能力，这种识别能力与侵权行为法中加害人的识别能力类似，原则上需要结合个案进行判断。但未成年人心智发育尚不健全，其难以认识到个人信息处理对自己的人身、财产利益所产生的风险。基于未成年人保护的特别考量，GDPR专门规定，在处理不满16周岁儿童的个人信息时，应当事先取得其监护人的同意。欧盟成员国可以结合本国法律体系进行灵活调整，但最低年龄界限不能小于13周岁。美国儿童在线隐私保护法则径行将予以特别保护的年龄界限设置为13周岁。纵观国际立法现状，为了更好地保护未成年人信息自决权益，统一司法审判的标准，明确规定年龄界限似乎更为合理。个人信息保护法将同意能力的界限设置为14周岁，既与我国法律体系契合，又与国际立法现状接轨，具有充分的理论证成。在信息主体同意能力的判断上，应当以年龄为主要标准，并应当充分考虑信息主体的识别能力。一些特殊情形下，即便信息主体的年龄符合个人信息保护法关于同意能力的规定，但其事实上无法识别处理行为会给自己的权益造成何种风险时，其“同意”并非适格的同意。例如，处理成年精神病人的个人信息时，应事先征得其监护人的同意。

其次，同意的范围不能笼统，而应该具体确定。同意应当在切实保障个人意志自由的条件下，充分权衡对自己利益状态造成的影响后作出的。实践中，企业常通过隐私政策等形式，不区分个人信息与业务的关联性，一概要求用户进行概括同意。信息主体进行概括的同意，意味着其利益将长期处于不可控的状态。为实现个人信息的有序处理，GDPR第6条第1条规定，主体作出的同意必须与“一个或更多明确的”目的相关，并且对每一项目的都有选择同意与否的权利。同意制度的立法目的在于切实保障信息主体对其个人信息的控制。个人信息保护法并未明确规定信息主体概括同意的效力，但规定了信息处理的目的、范围等因素发生变动时，应重新取得个人同意，侧面反映出纵使主体“一揽子”同意，处理者也应当遵循其最初的处理范围和目的，不得侵害他人的个人信息权益。

最后，同意应该自愿、明确作出。GDPR第7条第4款规定，在同意的具体认定上应当充分考虑同意的事项是否属于个人信息处理者履行合同或提供服务所必需的。判定是否取得信息主体同意是相对主观的过程，该条为同意的认定提供了一定的客观化依据，在实践操作中可以予以借鉴。个人信息保护法第14条对同意的实质性内容作出了规定，信息处理者必须确保信息主体的同意是自愿、明确作出的，否则其处理行为并不具备合法性依据。同意的认定过程不应局限于信息主体的语言或动作，还应结合处理个人信息与提供服务或履行合同的关联程度等综合判断。“与其他授权捆绑”“不点击同意就不提供服务”等强迫或变相强迫的方式作出的同意属于无效同意。

在同意规则的具体理解上，还需要注意其与告知规则的内在关联。信息处理者处理个人信息前告知信息主体处理的事项是“自愿”作出同意的内在要求，如果信息主体对信息处理的范围、目的及方式等一无所知，其作出的同意便难谓“自愿”。我国个人信息保护法第18条专门对信息处理者的告知义务作了明确具体的规定，正是对同意规则的进一步贯彻落实。

同意规则的形式要件

个人信息保护法（一次审议稿）曾规定，同意属于个人自愿、明确作出的一种意思表示，但个人信息保护法（二次审议稿）删除了“意思表示”的表述。实际上，我们不能将同意简单理解为一种意思表示，同意的年龄界限及撤回、撤销的规定与意思表示存在明显差异。《指南》第5.2.3条规定了默许和明示两种形式，个人信息保护法则规定了处理生物识别、金融账户等敏感个人信息时的单独同意及特殊情形下的书面同意。可以看出，同意的形式与意思表示的形式有着密切的联系。意思表示作出的方式有明示、默示及单纯的沉默三种方式，同意也可以通过明示或默示的方式作出，在同意的形式要求上可以参照传统民法中关于意思表示的相关规定。

明示指行为人直接将其意欲发生的一定私法上效果的意思表示到外部的一种表示方法，如通过说话、写字的方式；默示是指通过某些行为间接推定行为人的内心意思，如通过肢体动作的方式；沉默是指表意人既未明确表示，也没有做出特定的动作，且无法借助其他事项推之其内心意思的情形。根据民法典规定，原则上意思表示仅能通过明示或默示的方式作出。在不存在当事人之合理预期的情形下，将单纯沉默视为意思表示将有违私法自治原则。《指南》所说的“默许同意”，似为一种法律规定的单纯沉默构成同意的情形，在收集普通个人信息时，无须信息主体的明确同意，即仅需通知信息主体即可。但这种理解忽视了信息主体的“自决利益”，不利于保障其人格尊严及自由。因此，“默许同意”宜理解为意思表示上的默示形式，即信息主体可以通过点击、框选等动作间接表示同意。“明示同意”则应理解为以语言文字的方式明确表示同意。在是否取得信息主体同意的具体认定上，应依据个人信息的分类分级，采取不同的标准进行判断，从而兼顾个人信息的保护与个人信息公共效用的发挥。

个人信息保护法第29条规定，处理行踪轨迹、金融账户等敏感个人信息前，应取得单独同意。该条需结合第13条进行理解，以同意为合法性依据时方需要取得单独同意，不以同意作为合法性依据时便无单独同意可言。单独同意是为了避免信息主体草草作出概括的同意，而忽视了同意可能产生的不利后果。单独同意强调的是信息主体要针对某一具体的处理行为作出同意，其应清楚认识到所处理个人信息的类型以及对个人带来的影响。单独同意要求信息处理者要对信息主体单独告知，“一揽子”告知而取得的同意并非单独同意。第29条还规定了比单独同意更为严格的书面同意，一方面使信息主体更加谨慎地作出决定，另一方面便于当事人留存证据、解决纠纷。书面同意应当是单独同意的一种特殊形式，其不仅要符合书面的形式，而且针对的处理行为应当明确具体。从形式上看，单独同意可以是语言文字的方式直接作出，也可以通过特定动作间接作出，但书面同意仅能是一种明示同意。关于书面同意的具体适用情形，还需立法进一步明确。

结语

保护个人信息的最根本目的是为了保护信息主体的人格尊严及自由，同意规则充分体现了对信息主体自由意志的尊重。但个人信息并非绝对排他的权利，“同意”并不等同于“授权”，所谓的“授权同意”实质上就是指信息主体的同意。考虑到信息流通所带来的巨大经济效益及社会效益，个人信息保护法构建起了多元化的合法性基础体系。同意规则仅是处理个人信息的合法性基础之一，在个人信息保护实践中不宜过分夸大同意的作用。同意必须基于信息主体的自愿作出，同意的范围必须明确具体，笼统概括的同意难谓有效的同意。同意的形式可以是明示也可以是默示，但信息主体单纯的沉默原则上不能视为同意。在同意的具体认定上，应当考虑到信息主体的同意能力、信息处理者的告知方式及信息主体的同意方式等因素，确保同意是在信息主体结合自身情况权衡利弊的前提下作出的。从而在保障个人的尊严及自由的基础上，促进个人信息的有序利用。