作者簡介:萬 方,北京外國語大學法學院副教授,法學博士。
內容提要:告知同意是個人信息處理中對個人信息權益的基本保護模式。告知屬于兼具公法及私法性質的行為,而同意屬于私主體對自己個人信息權益的處分。由于告知同意存在諸多問題,引入同意撤回制度是我國個人信息保護體系的應有之義。同意撤回權與消費者撤回權不同,同意撤回權屬于人格權體系下的撤銷權,其撤銷行為不具有溯及力也不應適用除斥期間,除個人信息主體存在故意或重大過失外,不應令其承擔損害賠償責任。另外,在適用中應當注意厘清主體行使同意撤回權后與受托人及第三方的關系,充分借鑒和吸收其他國家在同意撤回權上的經驗,構建我國的同意撤回權體系。
關鍵詞:告知同意 同意撤回權 個人信息保護 撤銷權 人格權
目 錄
一、個人信息處理中的“同意”
(一)“同意”的性質分析
(二)“告知—同意”模式的缺陷
二、同意撤回的法理分析
(一)同意撤回的概念澄清
(二)同意撤回的性質分析
(三)同意撤回權的行使規則
(四)同意撤回權與相關概念區分
三、同意撤回的域外立法比較及路徑選擇
(一)歐盟的路徑分析
(二)美國的路徑分析
(三)各國制度的比較分析
(四)大數據背景下我國個人信息保護制度的路徑選擇
四、我國同意撤回權的法律適用問題
(一)關于撤回權與受托人及第三方的關系
(二)對同意撤回的理論質疑及回應
結 語
告知同意原則,是個人信息處理中的黃金原則。同意與同意的撤回共同勾勒出個人信息主體在數據處理活動中的能動性邊界。學界對告知同意存在的問題展開了廣泛討論,但目前對于“同意”的性質及效力依然存在爭議,對同意撤回亦沒有全面深入研討。同意撤回能補益“告知同意”固有的缺陷,為個人信息主體提供有效救濟。為明確同意撤回的效力,首先應當對個人信息處理中的“同意”的法律性質進行界定。
一、個人信息處理中的“同意”
(一)“同意”的性質分析
目前,學界對于個人信息處理中信息主體的“同意”之性質認識存在差異。有的學者認為本人同意為人格法益商業化的行權模式,并將“同意”界定為法律行為性的許可,認為許可的內容為具排他性權能的債權性用益物權。也有學者遵循信托法保護的路徑,主張對個人和信息收集者與處理者分別施加信息信托權利與信息信義義務。相比起傳統的個人信息權利,信息信托權利常常需要結合場景與信息關系來確定權利的邊界,此種關系中的個人信息主體之“同意”可被視為對信托之授權行為。還有學者主張,“同意”不同于合同中的“承諾”,“同意”應當被視為一種對信息主體的持續性代理行為(consent-as-ongoing-agency),且信息主體有隨時撤回同意的權利,類似于撤回代理權限。亦有學者認為“同意”的性質應當視其情景而定,其在合同領域與在侵權領域中存在不同的涵義:在侵權領域中,“同意”作為侵權法上的免責事由歸入“受害人同意”的范疇,在構成要件上包括必須有明確具體的內容、受害人須具有同意能力、同意必須真實自愿、加害人必須盡到充分的告知說明義務;而在合同領域中,同意可能成為相關合同給付內容的一部分。另有學者認為,鑒于“同意”的復雜性,不能完全從私法上獲得理解;經過用戶的同意,平臺收集個人的信息既不能從私法上的交易來理解(其中沒有有償和對價因素),也不能從防御性的人格利益來理解,因為這種“同意”增加了人格遭到侵害的風險,更何況現實中存在諸多無須用戶同意即可收集的情形。
筆者認為,對同意的性質判定要聯系相關規定中“告知同意原則”進行梳理。我國制定了《信息安全技術個人信息安全規范》并在各企業中推廣適用,隨著國家各項治理的深入,用戶對于企業數據收集的標準會有更為明確和集中的認識,而各行業的隱私協議也將逐漸模板化、統一化。因此,個人信息主體對信息處理者的信賴并不建立在其所閱讀的隱私協議之上,而是基于對個人信息的處理標準的統一適用,換而言之,其信賴從根本而言是出于信息主體對國家治理能力的信任。因此,告知逐漸成為信息處理者的一種公法上的義務,而同意則仍屬于私法上個人信息自決權益的核心。若細致梳理我國《個人信息保護法(草案)》(以下簡稱《草案》)中的告知義務可知,相對于個人信息處理者的身份等信息,僅有個人信息處理目的、處理方式及處理的個人信息種類存在可以與個人信息主體協商的空間。納入告知范疇的其他部分僅具對告知義務的履行這一單一屬性,而可協商部分的告知內容則另存在某種私法屬性,維持了信息主體的個人信息自決權的行使空間。因此,“告知”實際融合了公法和私法的雙重屬性,而“同意”屬于受限的私權處分。“告知”在所有場景之下均屬必須,但是個人的信息自決權益在某些情境下受到一定限制,如涉及公共安全、與他人的合法權益或須履行的義務相沖突之時或有其他合法事由時,個人信息處理者可依法處理信息主體的個人信息,無論信息主體是否反對。
如上所述,“同意”是一種對于個人信息權益的處分,但是,這種處分不能脫離商品或服務合同的語境而單獨存在,只能被視為個人信息主體為了獲得相應的商品或服務而必須作出的權利處分。自然人對其個人信息享有的民事權益屬于人格權益中的精神性人格權益。基于我國的歷史和社會現實,賦予自然人對個人數據以民事權利的正當性或意義應當建立在維護人格尊嚴和人格自由的基礎上。此外,鑒于個人信息處理的最小化原則,處理個人信息應當具有合理的目的并限于實現處理目的的最小范圍,而每種處理目的之下對應的最小必要信息范圍已相對確定,由此可以推論,個人信息主體與信息處理者僅可就信息處理的目的進行協商。但事實上,對此目的的協商本質并非個人信息主體對自身權利的主動處分,因為其在實現服務及商品交易合同之外一般并不具有更多可真實獲利的處理目的。更多情況下,鑒于個人在個人信息處理流程中的弱勢地位,可供其選擇的信息處理目的并不具有明顯的獲益性,甚至有些表面的獲益是以承擔更多風險及代價所帶來的(如個性化推薦,甚至“殺熟”),所以,個人信息主體通過對信息處理者的處理目的進行限制是行使自己防御性的個人信息權益,而非積極主動行使自己的信息權益。
(二)“告知—同意”模式的缺陷
雖然“同意”系以合同方式作出的處分,但是由于其客體的特殊性以及“告知同意”固有的制度性缺陷,會導致個人信息主體權利得不到有效救濟。
1.難以獲得無效力瑕疵的用戶意思表示
意思表示是民事法律關系的核心。合同一方當事人作出意思表示的前提是對訂立合同時之相關重要情事的知悉以及表意的自由。在個人信息處理的“告知—同意”模式之下,以上兩項要求都無法全面實現。
(1)信息主體缺乏對重要情事的知悉
首先,無法期待網絡用戶認真仔細閱讀隱私政策的全文。研究表明,如果認真仔細閱讀所有隱私政策條文,用戶僅閱讀一年中所使用的網絡服務的隱私政策就需要花費224個小時,因此,要求用戶認真閱讀每條隱私政策的要求既不合理也不可能。其次,考慮到用戶的教育背景不一、對于各條款的理解能力有所偏差所帶來的現實性困境,更無法確認用戶是否真正知悉其同意的內容。
實際上,由于個人信息主體無法全面知悉其同意內容也導致其在實踐中的損害救濟陷入困境。例如,在“肖某與廊坊京東吉特貿易有限公司等網絡侵權責任糾紛案”一審中,由于原告肖某注冊時無法理解被告晦澀的信息分享安排而直接點擊了同意,嗣后原告由于發現商品包裝與描述不一致而找到被告投訴,被告直接安排供應商聯系原告。原告認為被告將其個人信息交由其他供應商的行為存在不當。法院判決認為,鑒于電子商務平臺上涉及海量的商品和服務,涉及的銷售商、供應商等關聯方的信息亦系海量的,不可能一一列出具體的名稱,在相關條款中進行概括描述并無不當,原告作為具有完全民事行為能力的成年人足以理解上述條款的內容,故被告提供的隱私政策具有約束力,因此,被告有權依據隱私政策與第三方共享原告的個人信息。又如,在“淘寶(中國)軟件有限公司訴安徽美景信息科技有限公司不正當競爭案”中,原告主張自己已經取消定位設置而被告依然對其進行定位嚴重侵害了其隱私權。法院認為,定位問題系安卓系統本身權限調用問題,被告的隱私政策已對此情形進行了提示,同時原告僅對其中某一項業務進行了定位限制,在選擇其他業務類型時依然可以定位,因此被告的行為并非非法操作。
(2)信息主體缺乏表意自由
在個人信息處理的語境之下,信息主體本身存在對于信息處理者的服務依賴,導致信息主體缺乏表意自由。這種缺乏表意自由在以下幾種場景中表現尤為明顯。
首先,在許多場景之下,由于提供某種類型的個人信息屬于提供產品或服務的必需——若不提供“同意”無法獲得預期的服務。例如,在網約車的適用場景下,信息主體必須向信息處理者提供自己的手機號碼和位置信息,否則網約車因基本功能受限而無法提供相應的服務。為維持服務或商品合同的可執行性而進行的授權同意本身不存在獨立于合同可協商的空間(此種同意屬于服務或商品合同的從給付義務,其撤回等同于直接撤銷合同,因此不在本文的討論范圍之內)。
其次,在一些場景之下,用戶個人信息的授權范圍與其所獲得的服務層次存在對等關系。例如,在即時通信類產品的適用場景下,個人用戶在平臺上的社會關系網的面積、緊密程度和私密程度決定了該用戶在平臺上能夠獲得的福利的大小,因此,個人信息主體不僅需要提供自己的個人信息,也通常會基于對建立聯系和管理的需要而提供自己的好友列表信息。理論上,個人信息主體僅提供自己的個人信息即可進入服務,但若要實質性利用平臺的某些功能(如分群好友等),則需要提供更多數量的好友信息。此時個人信息用戶主動性提供自己好友關系是基于對平臺拓展性功能的需求。雖然獲取拓展性功能在合同訂立之時可能并非屬于信息主體簽訂合同的主要目的,但是隨著即時通信類產品適用的普及,若個人信息主體選擇不使用某種平臺,很可能會對其社交及工作生活產生重大影響。換言之,在已經開始使用某項服務之后,若信息處理者需要更新其隱私政策的內容,個人信息主體往往也僅僅能夠選擇同意來繼續獲取服務。
再次,在相關就業等場景之中,若不“同意”提供信息雖然不會導致義務的違反但可能會對雇傭關系產生負面影響。例如,在用人單位正式錄用員工之前,公司往往要求求職者進行體檢。在經歷了數輪面試之后,體檢的結果往往決定了該用人單位是否會最終錄取該求職者。用人單位往往以在聘用合同中約定的方式將入職前體檢結果無異常作為合同的生效條款,若求職人員拒絕體檢或最后查出該求職人員身體存在任何異常則雙方無法按照預期達成勞動合同關系。此種行為系變相的就業歧視行為,屬用人單位利用其優勢地位對求職者平等就業機會的不合理剝奪,于法無據且違反合同自由原則。因此,美國《就業法重述》中指出,同意只是衡量侵犯隱私是否具有高度冒犯性的眾多因素之一,同意不能被視為雇主對所謂的隱私侵犯的完全防御。
最后,“同意”與單一買賣關系的日漸脫離,使得“同意”成為構建系列交易的信息基礎。在會員制之下,個人主體即使完成了單個交易,信息處理者依然得以保有信息主體的“同意”,除非其主動要求撤回同意。在會員制的消費模式中,消費者與經營者達成了一種非一次性給付的繼續性合同關系,有的會員制交易需要會員額外交付會費以獲得更為優惠的價格或者其他便利,有的會員制交易只需要消費者提供基本信息進行注冊。在以上兩種情景之中,信息處理者均可通過會員制與個人信息主體產生捆綁關系而獲得處理其個人信息的權限,且這種關系更為隱性,個人主體不易察覺自己的個人信息依然處于經營者手中,直到其注銷會員資格。因此,就《草案》中“當個人信息處理者停止提供產品或服務時,信息處理者應當刪除個人信息”的規定,在會員制的情景之下對于“服務”應作擴展理解,即將經營者為消費者提供的會員資格本身也視為一種服務。在此情形之下,應當允許信息處理者保留收集的個人信息,除非個人信息主體明確表示撤回同意或以實際行動注銷會員資格。
除此以外,對于用戶而言,其選擇同意的時間窗口通常較為窄小,往往須在幾秒之內迅速作出同意的選擇以便進入實質性的主合同履行階段。信息主體在作出“同意”的意思表示之時,實際上很難預料到當時的“同意”行為究竟會對其帶來何種程度的影響,因此難謂表意自由。
意思表示本身分為兩個方面:作為行動的意思表示以及作為客觀邏輯的意義構造的意思表示,需要同時將這兩個方面聯系起來,以行動展現對一種指向引發某種法律效果之意愿的宣告。一方面,當個人信息主體欠缺對相關內容的知情時,其指向“同意”的法律效果即缺乏合法的基礎。因此,雖然信息處理者提供了隱私政策,個人信息主體也表示了同意,但是并不能表明其行動展現了對指向引發特定法律效果意愿的宣告——個人信息主體有時難以理解描述過于概括性的隱私政策內容,更無從從技術性的層面知曉自己信息已被調取。此時實際出現了“告知義務”與“知情權”的斷層。另一方面,基于對信息處理者服務的依賴,同意的意思表示并不一定是自由的表意,雖然上文列舉的相對人意思表示不自由并不能簡單等同于民法理論上的脅迫與欺詐,有些情形也確是網絡交易本身的性質所致,但有些情況屬于“脅迫”行為,例如,當個人信息主體不同意提供額外的個人信息則無法獲取服務、甚或導致失去正常就業機會的情形。因此,“告知—同意”模式并不能真正全面保障信息主體作出不含效力瑕疵的真實意思表示。
從理論上來說,信息處理者雖然利用了個人信息主體缺乏判斷力,即個體基于理性考慮而實施民事法律行為并對民事法律行為的后果予以評估的能力,但是由于該行為在成立時難謂之取得“暴利”或在權利義務上明顯失衡,故而不宜將之認定為顯失公平。而以普通經濟損失的角度來界定是否公平,在涉及人格權益的案件中似乎又有失偏頗。
2.信息主體難以獲得有效保護
若將隱私政策視為合同,意味著在多數情況下信息控制者所提供的隱私政策由于不具有可協商性而被歸為格式合同的類型。我國《民法典》雖然對格式合同的效力作出了有利于消費者的限定,但是仍然無法消除在個人信息處理場景之下對個人信息主體的不利影響。這是由于,根據規定,格式合同的主要規制對象是格式合同的提供方以約定的方式不合理地免除或減輕自己責任、加重或限制甚至排除消費者主要權利的行為,但是在個人信息保護的場景之下,該種對“要約”的規制模式并不能起到很好的效果。《2019年App違法違規收集使用個人信息專項治理報告》中提及,App違法違規收集使用個人信息典型問題分為六類:企業未提供隱私政策,限定一次性打開多個權限,未明示收集使用個人信息的目的、方式和范圍,未經用戶同意收集使用個人信息,未經同意向他人提供個人信息,未按法律規定提供刪除或更正個人信息功能等。以上種種問題,若從格式條款的角度出發審視,有的是缺乏要約(如企業未提供隱私政策),有的是在要約中缺乏法定的內容(如未明示收集使用個人信息的目的、方式和范圍,未按法律規定提供刪除或更正個人信息功能),有的既可能是在合同內無明確約定也可能屬于信息處理者違反自身隱私政策而導致的違約行為(如未經用戶同意收集使用個人信息、未經同意向他人提供個人信息,以及限定一次性打開多個權限)。如此看來,將隱私政策視為格式合同會產生明顯的問題:格式條款提供方在隱私政策中回避提及其所需要向個人信息主體承擔的法定義務,而由于該類條款并未訂入合同中,因此并不影響合同的效力。如此一來,以合同方式保護個人信息主體的目的已然落空。而且,信息收集條款往往僅涉及信息處理者一般性的權利義務且未約定任何的責任條款,而鑒于個人信息的人格屬性,其損害的后果常常較為嚴重且無法彌補,因此,以合同的方式予以救濟顯然效力不濟。實際上,個人信息主體在實踐中也往往更偏向于采用侵權路徑向信息處理者主張責任。
此外,同意的前提是信息透明,但從客觀上而言,個人信息適用的場景呈動態化特點,信息處理者可能需要不斷根據自己業務類型的調整而修訂其隱私政策,信息處理方式的不斷變革使得清晰透明且穩定的個人信息處理方式不具有可期待性。信息應用場景的動態化是大數據背景下信息技術的生命力之所在,是信息革命的價值之所在。但是,這種動態化的處理模式也決定了信息主體對知情的要求處于動態化之中,信息主體只有在時時更新的適用場景之下(如收集個人信息使用目的的變更、信息處理者對新第三方的授權等),才有可能作出最符合其真實意思表示的“同意”,否則無異于刻舟求劍。因此,對于隱私政策的一攬子授權同意不能覆蓋整個信息處理流程,也不應當被視為信息主體對自己信息權益的全面處理。正因如此,對于“告知—同意”模式的質疑與批判不絕于耳。
雖然告知同意有上述諸多缺陷,但至今仍為各國廣泛采用,究其原因乃是其標準化的模式無論對于用戶還是信息處理者而言均為成本最小化的解決方式。雙方減少了因不信任而產生的交易成本,能直接進入到與個人信息權益行使最為核心的地帶:同意及同意的撤回,甚至刪除權。從目前來看,在“告知—同意”模式下,對于個人信息主體保護最為直接有效的方式即是賦予個人信息主體以同意撤回權。但學界目前對此尚未展開深入討論,因此,有必要對“同意撤回權”的性質及其與其他相近制度的關系進行細致梳理。
二、同意撤回的法理分析
(一)同意撤回的概念澄清
《草案》第16條明確采用了“撤回”的概念。雖然學界對同意撤回有著普遍認同,但其概念本身具有特別指向,在進行深入法理分析之前,有必要對其中的幾個關鍵問題予以澄清。
首先,同意撤回是指個人信息主體基于“告知同意”原則,對自己已經作出的“同意信息處理者對其個人信息進行處理”的授權予以取消的意思表示。但從理論上看,撤回須在意思表示未生效之前到達相對人,其產生的效力是使得早先作出的意思表示不發生效力;而撤銷系在意思表示到達相對人并生效之后作出的取消前一意思表示的行為。因此,《草案》所指的“同意的撤回”雖名為撤回,實質含義為意思表示的撤銷,但為保持與立法表述一致,本文亦沿用這一概念。
其次,需要特別強調的是,同意的撤回包含個人信息主體對個人信息使用全過程中的處分。這一理解有利于解決用戶僅能在信息收集階段行權的僵化性問題。傳統的“告知—同意”模型中一個常常招致批評的問題在于,其僅允許個人信息主體在信息收集的階段作出同意的表示。但實際上,在信息收集的初始階段,個人主體往往難以清晰理解其決定可能對未來造成的影響,例如,給予同意的授權之后,用戶會經常受到商家頻繁的商業廣告滋擾,甚至被商家利用信息主體提供的個人信息進行大數據“殺熟”,此時個人信息主體可以行使自己的同意撤回權,要求其暫停處理行為。信息具有高時效性的特點,用戶的需求和興趣具有轉瞬即逝的特點,信息一旦無法得到有效及時的更新便會喪失預期的價值。這種對于信息處理者而言的預期價值的喪失,有時候會成為對信息主體個人信息利益的保護,尤其當這種預期價值更多體現在商業上時,對信息處理進行暫停式的緩沖效力可對沖部分個人信息處理對人格權益的侵害效果。
(二)同意撤回的性質分析
有學者認為,人格權商業化之后,會隨著環境的變遷對主體產生不良的影響,甚至可能會演變成對權利人人格發展的限制,在這種情形下賦予權利人撤回許可的權利,也是為了維護許可人的人格自治利益的需要,行使撤銷權對無過錯一方造成損害的,應由權利人承擔相應的賠償責任。另有學者主張,應當區分情景討論同意撤回的適用,當同意并不直接涉及合同交易領域時,可隨時撤回同意,該行為僅僅是對他人行為違法性的排除;當“同意”涉及具體的合同交易領域時,則應當比照適用典型合同中的任意撤銷權規則,對個人信息主體的“同意撤回權”作出一定限制,當其因撤回給信息處理者造成損失時,應當承擔損害賠償責任。
如果基于合同的原理,那么“同意的撤回”可被視為個人信息主體行使撤銷權的行為,在我國民法上有溯及既往的效力。但筆者認為,對人格利益的許可的撤銷規則應當與一般合同處分財產性權益的撤銷規則作出區分。因為,人格權的核心是個人的自決,其也包含了對經濟價值的自決,承認人格權商業化利用制度實際上是對個人自決的一種尊重,體現了對個人人格尊嚴的保護。人格權商業化利用目的的實現需要規則體現對人格權的傾斜保護。這種區分在我國現行立法上也是可行的,我國《民法典》在總則編的意思表示一節中僅規定了意思表示的撤回(《民法典》第141條),并未規定意思表示撤銷的內容。對于可撤銷的情形僅在民事法律行為的效力這一部分作了未窮盡性列舉(如《民法典》第147-151條),并在合同編各類有名合同中對當事人的法定撤銷權作出具體規定(如《民法典》第658條)。我國民法上可撤銷的民事法律行為需通過向法院或仲裁機構主張來實現,理論上被歸為形成訴權,由于其對當事人之間權利義務關系產生重大影響,故需要受到形成權的除斥期間限制。但從體系構造上看,《民法典》并未對意思表示的撤銷作出統一規定,這為新型意思表示撤銷制度的構建預留下了理論空間。基于此,完全可從人格利益的特性出發,獨立概括出人格權體系下的撤銷權制度。
從人格權特性出發,人格權體系下的撤銷權具有區別于一般合同處分財產性權益下的撤銷權的特點。人格權的客體是人格權所指向的具體人格利益,人格權的絕對性特征使得權利人以外的其他任何人均負有不得侵害權利人之人格權的義務。因此,即使是在人格權商業化利用的合同關系中,基于對人格權益處分的撤銷權之行使也不應當受到過多限制。故而人格權體系下的撤銷權行使不以主體受到實際損害為前提。同時,人格屬性的權利行使一旦生效難以產生恢復原狀的效果,因此人格權體系下的撤銷權一般不具有溯及既往的效力。
同意撤回權體現了主體對于個人信息的自決處分,帶有強烈的人格利益特性,可以被定性為人格權體系下的撤銷權。首先,同意撤回權屬于形成權,具有可依單方面的意思表示使法律關系發生變動的性質。個人信息主體僅需向信息控制者發出其意欲撤回同意的意思表示即可產生效力。此種安排將個人視為其信息的最佳處分權人,體現出制度設計層面上對于國家公共領域及私人生活領域區分治理的態度。其次,同意撤回權屬于撤銷權,其效果是使得已經發生效力的意思表示歸于消滅。個人信息主體可以通過行使同意撤回權,禁止信息控制者對其個人信息的后續處理行為。最后,同意撤回權是對涉及人格權益的意思表示之處分,體現了人格利益特性,并同樣具有人格權體系下的撤銷權的特殊性,如主體行權上的特殊便利性、不具有溯及既往的效力等。因此,同意撤回權實際上屬于人格權體系下的撤銷權。
(三)同意撤回權的行使規則
通常而言,意思表示的撤銷需考慮相對人的合理信賴問題,這是合法行使撤銷權的前提。但是,在法律已經明確規定相對人須履行告知相對人有“同意撤回權”的前提之下,應當認定相對人不存在合理信賴的基礎。同時,信息處理者也不得在隱私政策內對信息主體的同意撤回權予以預先排除。但同意撤回權也須受到一定的限制,如其行使不能影響數據信息的留存義務的履行。所謂數據留存是指為政府機構日后檢索、法律執行和安全機關用作證據和情報的需要,相關機構或企業對通信話務量、位置等用戶數據進行存儲。雖然各國的立法都將涉及用戶隱私部分的通信信息排除在存留范圍之外,但是對于可以識用戶身份信息的其他類型的個人信息均有可能成為留存內容。數據留存具有維護國家安全及公共利益的重要功能。我國的《互聯網信息服務管理辦法》規定了我國互聯網信息服務提供者的數據留存義務,并要求互聯網信息服務提供者和互聯網接入服務提供者的記錄備份應當保存60日以備查詢。此時,個人信息主體若要求行使刪除權須受到留存期限規定的制約,在相關留存期限的日期結束之后方可行使自身的刪除權。由于此類信息收集并不基于信息主體的同意,因此也沒有任何同意撤回權的行使空間。
具體而言,作為人格權體系下的同意撤銷權,對個人信息處理許可的同意撤回權之行使應當遵循以下規則:
首先,應當更偏重保護意思表示主體的行權之便利性。這是由于人格權益被侵害后往往難以對其進行實質上的有效救濟,且以形成訴權的方式來構建人格權下的撤銷權體系不利于對人格性利益的及時救濟,因此,不應當對意思主體行使撤銷權作出任何不合理的限制。在雙方交易過程中,當一方的利益主要體現在人格利益,而另一方的利益主要為財產利益時,人格性利益一方享有優先權利。我國民法體系中對此有諸多體現,例如,根據我國《民法典》第1022條規定,當事人對肖像許可使用期限沒有約定或約定不明確的,任何一方可以隨時解除肖像許可使用合同;即使雙方對許可的使用期限有明確約定,肖像權人有正當理由的,也可以解除肖像使用合同。該條款賦予了肖像權人以正當理由下的單方合同解除權,此種更有利于肖像權人的制度安排主要就是出于對其人格性權益的重要性之考量。在個人信息權益中,所包含的信息主體的利益范圍更為廣泛,因而類推賦予個人信息主體以人格權體系下的撤銷權確有必要。
其次,應當摒除除斥期限對權利主體的時間限制。人格權請求權具有絕對權請求權屬性,不應受到訴訟時效的限制。因為人格權請求權的功能在于保護民事主體對其人格利益的圓滿支配,在人格權受到妨害或者可能受到妨害的情形下,權利人應當有權隨時提出請求,以恢復權利人對其人格利益的圓滿支配狀態。只要對人格權的侵害和妨礙仍處于持續狀態,則權利人即應當享有人格權請求權,以消除相應的不利影響。同理,“同意撤回權”作為涉及人格利益的撤銷權也不應當受到除斥期間的制約。個人信息處理中的“同意”是對自己個人信息權利授權的放棄,體現了個人信息權益的消極性和防御性,屬于個人信息主體對其信息權益的最后一道防線,應當得到相應的救濟。
再次,與民事主體對其姓名、肖像等人格性利益的許可使用之撤銷類似,同意撤回也不具有溯及力。對他人在商品、商標或者服務上使用本人的姓名、肖像等行為的許可被撤銷之后,只是對相對人未來的使用權利作出了限制,并不影響許可撤銷前已經生產的商品或使用的商標及提供的服務上所附著的權益,除非產生了對個人主體的個人權益產生侵害的情形。同理,對于因建立在“同意”基礎上所取得的人體臨床試驗的階段性成果,也不應因受試者撤回同意而被歸于無效或不可使用。由此可見,涉及人格利益的許可之撤銷不應當具有溯及力。事實上,不同于一般的財產性交易,涉及人格利益的許可之撤銷往往難以達到使雙方恢復到民事法律行為實施前的狀態:雖然返還財產并不困難,但是涉及人格性利益的民事法律行為本身的目的是為了發揮附著在物之上的人格性利益的效果,例如,讓人建立起對某種商品與某代言人的自然聯想等,因此,對許可撤銷前已經生產的商品或使用的商標及提供的服務上所附著的權益進行分離既不可能,也無必要,更無法達成消除此種效果之目的。人格性權益有其本身一經存在即附著于社會關系中的特殊性,無法以“返還財產”或“賠償損失”的方式使其恢復原狀,只能對其在未來生活中將產生的影響予以制約,因此,人格權體系下的撤銷權不應當具有溯及力。
最后,同意撤回權的行使不以個人信息主體受到損害為前提。除為履行法定職責或法定義務所必需,任何對同意撤回行使事由上的不當限制都是對個人信息主體的個人信息權益之克減。此外,就由個人信息主體主張同意撤回而對信息處理者帶來的損害要求其承擔賠償責任的做法也頗為不當。對于信息處理者而言,但凡個人信息主體主張撤回其同意,就一定會產生損失。因為,信息處理者在獲得個人信息主體授權同意之時,即需要對這部分的個人信息進行打標處理,當個人信息主體選擇撤銷其授權同意之時,信息處理者需要重新識別這批已經打標處理的個人信息并重新調整權限,但因調整行為而額外產生的這部分費用不可要求個人信息主體承擔。其理由在于,只有當基礎性權利遭受不法侵害或有侵害之虞時,方才發生救濟性請求權,而個人信息主體行使同意撤回權系其對自身權益的正當處分,具有合法性基礎,因此,信息處理者無權就其因信息主體合法行使同意撤回權所造成的損失向信息主體請求損害賠償。從同意撤回制度設計的效果來看,除信息主體故意或重大過失外,也不宜令信息處理者擁有損害賠償請求權,此舉會給信息主體帶來諸多顧慮,從而從實體上架空同意撤回制度。
(四)同意撤回權與相關概念區分
1.同意撤回權應與消費者的反悔權相區別
消費者與經營者之間的信息極不對稱狀況導致雙方在交易中的地位無法平等。消費者因不了解相關信息或是受到商家的誤導而沖動消費,經常簽訂讓自己后悔的合同。消費者的反悔權正是基于對處于弱勢地位的消費者的救濟之考慮而對“同意”瑕疵的補正,其實質是對消費者不理性的消費行為進行家長主義管制。從這些角度出發,同意撤回權與消費者的反悔權似乎有所相同,但事實上兩者有很大區別。首先,兩者的適用場景不同。雖然域外各國對于消費者的反悔權的行權時間窗口規定不一,但是其適用場景往往被限定在幾種特殊的領域之中:上門交易、遠程交易及分期付款。消費者的反悔權行使的效果是使之前的合同歸為無效,雙方需要承擔合同項下的返還義務,即消費者返還商品而經營者退還已經收取的價金。例如,根據我國《消費者權益保護法》第25條規定,經營者采用網絡、電視、電話、郵購等方式銷售商品的,除定作、鮮活易腐等特殊類型的消費品之外,消費者均享有自收到商品之日起7日內無理由退貨的法定反悔權。而同意撤回權在所有涉及收集消費者個人信息的場景之下均可適用,并不受遠程交易所限。例如,即使在線下面授培訓課程中,消費者也可撤回對培訓機構收集對其學習狀態的跟蹤及調查訪問的許可。
其次,兩者制度中缺省規則下的時間效力不同。缺省規則又稱為法律的默認規則,即當雙方沒有其他約定時,規則的設計能保障當事人在保持沉默時依然能合理保有自己的合法利益,維持一種社會的合法秩序。因此,出于成本考量,默認規則的設計應當具有廣譜性,以滿足多數需求,讓多數人、在多數場合保持沉默,只讓少數人、在少數場合發聲。缺省規則的時間效力不同體現出不同的規制態度取向。在消費者反悔權的適用中,若消費者在一定時限內(通常為7日)選擇不行使自己的權利,其所表示的含義是“使用即同意”,即放棄了自己的反悔權。但是在個人信息保護的場景之下,個人信息主體未行使同意撤回權并不意味著對同意撤回權的放棄,而是表明繼續授權信息處理者處理個人信息行為,但信息主體亦可隨時行使同意撤回權。因此,兩種制度中缺省規則產生的時間效力完全相反,也體現出立法對于不同利益保護效力的層級性。
最后,兩者的產生基礎及效力也不相同。在消費者的反悔權的適用場景之下,消費者反悔的是購買某種商品;而在個人信息授權的語境之中,個人信息主體“反悔”的是對信息處理者處理個人信息的授權。兩者的產生的基礎不同,故而產生的效力也不同。消費者的反悔權之行使產生合同被撤銷的效果,由此產生了雙方的返還義務。依據合同的一般性原理,行使合同的撤銷權若給相對方造成損害的,應當承擔賠償責任。
2.同意撤回權應當與刪除權區分
目前各國立法對于“刪除”的概念存在不同的界定標準。根據歐盟《通用數據保護條例》(GDPR)第17條對刪除權的規定,數據主體請求控制者們刪除相關個人數據的任何鏈接、副本或復制件即為其行使刪除權的方式。GDPR所規定的刪除權又稱為“被遺忘權”,由于其落地成本極高受到了廣泛的質疑。美國《2018年加州消費者隱私法案》(CCPA)則規定,“收到消費者要求刪除其個人信息的可驗證請求的企業應當從其記錄中刪除消費者的個人信息,并指示所有服務提供者從其記錄中刪除該消費者的個人信息”,其規則較GDPR有更明顯的可操作性。依據美國法,信息處理者作出某些權限設置使得個人數據在正常情況下無法被檢索或獲取使用即可滿足刪除的要求,與此同時,信息處理者也可以實現向國家履行數據存留義務。
我國《信息安全技術個人信息安全規范》借鑒了美國法的思路,將“刪除”定義為:在實現日常業務功能所涉及的系統中去除個人信息,使其保持不可被檢索、訪問的狀態。其中,“保持不可被檢索、訪問的狀態”實際僅僅對個人信息不可在未來被使用提出了限定要求,并未要求信息處理者對個人信息的鏈接、副本或者復制件進行實質刪除。但若此種“不可被檢索、訪問的狀態”在技術上是可以恢復的,那么其在最終的行使效力上與同意的撤回相同,在立法邏輯上似乎難以理順;因此,只有此種“不可被檢索、訪問的狀態”在技術上不可逆轉,才有必要將此兩種權利進行分離,也只有這種意義上的刪除會對個人主體行使同意撤回權之后再次授予同意的情形產生影響。所以,不可逆轉的刪除才是本文所討論的刪除權的范疇(由于《草案》中未涉及刪除的定義,為避免概念混淆,后文所提“刪除權”系指信息主體請求信息處理者刪除其所持有的相關個人信息的原件、副本或復制件的權利)。大數據時代對于許多傳統概念的穩定性提出了新挑戰,隨著區塊鏈技術的發展,刪除權的適用將會受到越來越多的限制,因為,刪除某個區塊的數據意味著后續整個區塊無法進行哈希鏈接,而區塊鏈本身不可篡改的特性使得數據主體一旦將數據上鏈,將很難刪除。
對同意撤回權概念的理解首先需要明晰當個人信息主體行使同意撤回權時所撤回的是個人資料的“持有權”還是有特定目的的個人信息“使用權”。撤回“持有權”可以通過標記已刪除、不存在,甚至需要通過刪除數據備份和硬盤來實現,其實際的行使效果等同于數據的刪除權。而將同意的撤回限定為對特定目的的個人信息之“使用權”的撤回則是指信息處理者將不再有權收集信息主體的任何新的個人信息,除存在其他合法事由之外,也不得對已收集的信息作出任何類型的處理。在個人信息主體撤回同意前,其處理行為具有因“同意”而產生的合法正當基礎,同意的撤回并不具有溯及既往的效力,故個人主體僅行使同意撤回權不應當產生刪除已收集數據的效力。
筆者認為,將同意撤回權界定為不得對已收集的信息再作處理以及禁止對未來信息進行收集具有一定的合理性。首先,這可從功能上直接區分刪除權和同意撤回權。同意撤回權實際上使得信息處理者處于一種相對靜止的狀態之中。信息處理者對其基于個人信息主體的“同意”而收集的個人信息仍然擁有“持有權”,除非雙方約定的保存期限已屆滿或處理目的已實現。而對于個人信息主體而言,行使了同意撤回權之后仍然有再次同意的可能。當個人信息主體因需間續性地獲取某種服務時,可選擇暫時撤回同意,在需要繼續服務時再次選擇同意授予信息處理者以處分的權限。此時,若信息處理者保留了用戶曾經的使用習慣及設置,可以使得個人信息主體快速便捷地享受到原本暫停的服務。對于信息處理者而言,也避免了一旦同意被撤回即要刪除數據的局面。
其次,這更利于信息主體自由取舍服務中的細化功能。同意的撤回權是個人信息主體對于一攬子服務中各細化功能的自決取舍,區別于刪除權對應服務的整體拒絕。隨著技術的發展和人類需求的多樣化,現代的商品買賣及服務提供呈現出越來越綜合化的趨勢,體現了各種功能的有機融合。例如,地圖軟件可以實現打車及購票功能;而信息發布軟件可以實現訂餐和交友功能等。這種一攬子式的服務為生活帶來了諸多便利,同時也會在交易過程中向個人信息主體要求更多種類和數量的個人信息。個人信息主體有權在自我衡量成本收益的基礎上決定如何授權信息處理者對其個人信息的收集。這種選擇權應當建立在信息處理者之服務用于多種適用場景時,即只有在不同的目的之間,個人信息主體才擁有實際的選擇權。例如,當個人信息主體選擇只查看地圖而不享受乘車及購票服務,則無須授權同意自己的位置信息;而當個人信息主體需要乘車時可以開啟自己的位置信息,在服務結束后選擇撤回同意,以更好地保護自己敏感個人信息。然而在僅提供單一服務目的的服務場景之中,信息處理者收集信息應當遵循必要原則,其核心是收集的信息對于實現正常的服務而言是“充足”但不過量的并且就為了實現某種功能而言是最低必要限度的。告知原則本身受到必要原則的制約,如果信息處理者已經在必要的限度之內處理信息,適用同意撤回權的空間就只能針對服務中的部分功能,而非全面的功能,否則將因功能性受限而無法繼續履行原服務或買賣合同之義務。
此外,同意撤回是會員制交易模式下最符合個人信息主體的個人信息處理規則。繼續性合同履行間歇期內,會員往往沒有產生新的合同交易,但是若能使得經營者保存會員的某些交易記錄及用戶的偏好性設定會使得用戶有更良好的使用感。作為對“同意”與“刪除”兩種操作之間的良性緩沖,同意撤回權可以實現一種個人信息權益層級性的處分效力。個人信息主體可以依據自身的具體情況選擇單獨適用同意撤回權或是疊加適用刪除權。
三、同意撤回的域外立法比較及路徑選擇
設立同意撤回權目前已經成為數據立法中的通行規則。但是,不同的制度設計會產生完全不同的實踐效果。下文擬從比較法角度分別分析歐盟及美國的路徑及其所體現的不同價值取向,并試圖尋找其中可資借鑒的部分內容以融入我國的立法之中。
(一)歐盟的路徑分析
GDPR第7條同意的條件中明確規定數據主體有權隨時撤回其同意。同時,GDPR對同意撤回作了以下兩方面的規定:第一,規定了此種權利的行使不具有溯及力,即同意的撤回不應當影響在撤回前基于同意作出的數據處理的合法性。這一條可以理解為,主體撤回同意之前的數據處理不僅合法有效,且數據處理者還可以依法保有這部分個人數據,同意僅對其未來的處理行為存在限制。第二,強調了同意的撤回應當與作出同意同樣容易。GDPR并未對撤回同意進行事由限制,可以理解為個人信息主體擁有任意撤回同意的權利而無須受任何事由或時間等條件限制。同意的撤回不具有溯及力與其行使的便利性具有對應的關系,一旦個人信息主體行使了同意撤回權,同意撤回的不具有溯及力可將主體因行權對數據處理者的影響降到最低。
同意撤回權的理論基礎在于對“同意”的定性。學者提出,歐盟立法是基于持續性代理理論,“同意”并非合同訂立時對數據處理者將作出行為的一次性允諾。允諾并非說明某種依其性質轉瞬即逝的意愿的存在,而是在于給某種意愿的內容賦予終局性特征,使其擺脫主觀想法和欲求的變幻,并因之創設一種超越時間的拘束性。由于信息處理是一個持續性行為,且與處理及適用的場景有重要關聯。一般而言,信息處理者還會以格式條款的方式直接提示個人信息主體其可能會與其他受托方或第三方共享用戶的個人信息數據,且會就此另行告知。允諾一旦被表示出來,就抽離了他本身的意愿,此時產生的效力不再關注個人信息主體是否真的愿意,而是只有愿意才是契約之下唯一正確的意思表示。基于以上種種原因,個人信息主體的同意無法輻射整個信息處理流程,也不應當要求“同意”對個人信息主體實現終極性約束效力,故其不能構成有效“承諾”,僅可被視為一種持續性的授權。而擁有授權的信息處理者成為個人信息主體的代理人。個人主體隨時有權撤回自己的授權,即“同意”,這種授權的撤回并不影響基礎交易的效力,僅限制了信息處理者對個人信息的處理權限。授權與取消授權不受限制,只要不違反權利濫用原則,即使對信息處理者產生了損害也無須承擔賠償責任。歐盟設立這種便利個人主體行使的同意的撤回權是對“同意”瑕疵強有力的補救手段。同時,將刪除權與同意撤回權區分也同時起到了維持產業平衡的目的。
(二)美國的路徑分析
美國的立法中也同樣規定了同意撤回權的適用條件,但由于美國對于個人信息保護采取的是分散化立法模式,因此在不同的場景之中對于同意的要求不同,同意的撤回模式也隨場景不同而變。
美國大部分相關的法律文件是以選擇退出(opt-out)的方式來代替同意撤回權的行使的。以選擇退出模式來行權的主要原因是立法上并未實現要求個人信息主體的明示同意。這與我國立法上主張的以“告知同意”為主體的個人信息保護制度存在差異。美國在多種場景之下都允許企業設置“選擇退出”模式供用戶自行判斷是否授權,但是這種模式的缺省式設置即是企業可直接抓取用戶信息,除非用戶行權反對。如CCPA規定,消費者有權在任何時候指示一個欲將消費者個人信息出售給第三方的企業不得出售該消費者的個人信息。這項權利可以被稱為“選擇退出權”。這種行權方式實質上是限制了信息控制者與其他方共同分享信息主體個人信息的權利,而“選擇退出”制度也使得用戶行權之前的信息處理行為合法化。
但美國有的立法也直接規定了同意撤回權,例如,美國的《兒童網上隱私保護法案》中規定,運營者必須作出“合理的努力”確保父母收到網站或在線服務提供商發出的采集、使用、披露其孩子個人信息的通知,同時相對應地規定了父母授予同意和撤回同意的方式。另外,美國聯邦貿易委員會(FTC)的官方合規資料中專門將為家長提供撤銷授予的同意與刪除孩子個人信息分列為兩種不同的選擇,以尊重家長對已收集的其孩子的個人信息擁有的持續權利。之所以針對兒童隱私特別規定同意撤回權的原因在于,美國高度重視兒童網絡隱私的保護,因此在對于兒童個人信息的收集上對在線經營者課以較重的義務,同時賦予家長更多的持續管理權利。
(三)各國制度的比較分析
從上文介紹可以看出,歐盟與美國大部分立法采用的個人信息的保護機制存在明顯不同。GDPR強調個人主體對信息的控制權,即個人信息自決權(CCPA亦包含消費者的自決權),其重在強調個人得以自主、自由地決定如何使用個人信息,從而保障個人的自由人格。個人有權控制個人信息對外披露程度證明個人信息自決權已跨出隱私權保護的被動局面,成為一種控制型、管理型的個人信息保護機制。在此種價值取向之下,用戶會更傾向于“拒絕”而非“同意”。但個人自決的實質在于對個體處理信息權益能力的充分信任和合理保護,因而,歐盟家長式的模式并未真正實現“個人信息自決權”的展開,反而由于其制度的設定使得“個人信息自決權”受到越來越多的限制而背離了其賦予信息主體以控制權的初衷。而美國采取的隱私路徑更多是采取的一種消極被動姿態來捍衛用戶個人信息權利,一旦涉足非個人隱私的領域,法律對于個人信息主體的保護明顯乏力,而以合同的角度尋求救濟似乎也并非坦途。在美國數起關于隱私政策的訴訟中,原告均以被告違反隱私政策、向第三方泄露原告個人信息為由向法院提起違約之訴,但均因未證明自己實際閱讀了被告提供的隱私政策而無法主張存在對合同的信賴利益。同時,由于合同的違約損害僅限于違約所導致的直接經濟損失,而原告僅能主張自己的隱私利益受到了侵害,因此此類請求亦均未得到法院的支持。由此可見,個人信息主體難以因信息處理者違反隱私政策泄露個人信息而要求其承擔違約責任。在以合同方式主張個人隱私利益保護路徑不順的情況下,只得借助消費者保護的路徑推進。
對不同保護機制的選擇體現了不同的價值取向,因為,個人信息主體的“同意”選擇具有某種分配性:它會使得某些主體受益,同時會危及另一些主體的權利。個人對于“同意”的處分,不僅僅會影響到個體的權利,也在實現著重塑社會的功能。如何以制度的構建達到價值的平衡是大數據時代下的重大考驗。從上文對兩種路徑的分析可以看出,歐盟與美國的立法對“同意”的設計存在不同,因而同意撤回的行使場景也存在差異,其根本原因即在于兩者的價值取向不同:歐盟GDPR更倡導同意撤回的廣泛適用,而美國雖然也給予了個人信息主體以處分自身信息的權利,但是在立法上更偏重于企業數據收集方的便利性。究其根本原因大概是,與歐洲相比,美國進行數據處理的企業明顯更為強勢。FTC雖處理多起對于數據企業違規處理消費者個人數據的投訴,但多數以和解結案。對于消費者而言并沒有得到實質的救濟,同時FTC與數據巨頭企業簽訂的和解協議由于過于偏袒企業方,也屢屢受到公眾的指責。
筆者認為,數據產業發展固然能產生巨大的經濟和社會效應,但是個人的人格性利益也需要得到合理的保護。對于人格權的侵害難以直接體現在經濟利益的喪失之上,也同樣難以均以事后救濟的方式予以彌補。因此,在路徑選擇過程中,面對需要保護的多重利益應綜合平衡考量。
(四)大數據背景下我國個人信息保護制度的路徑選擇
資源的稀缺性是經濟學的基本原理,一般而言,不界權會使得物被過度使用,從而顯著提高外部性成本并最終使物被用竭。但信息本身不具有這種稀缺性的特征,隨著信息的不斷流轉,它所產生的價值反而會越來越大,因此,對信息的界權并不具有緊迫性,但界權后因其界分復雜、公示難度大、管制成本高昂及存在極大的尋租空間等帶來的對其他社會資源的過度損耗才是真正值得警惕的問題。當然,不予界權不代表無所限制。對于信息使用的限制的合理基礎應當是基于對人格權及市場的正常競爭秩序的尊重與維護。因此,對于達到一定體量的主體對信息的處理行為應當有所規制,對于處理個人信息的行為也應當受到調整。在個人信息的維度內,從權利分配角度入手,藉由對同意及同意的撤回等細化的制度層面的調整,可能更適合我國個人信息保護與實現產業發展的雙重目標。由于我國對于個人信息保護方向的行政執法力度較強,因而不宜采取對于企業較為嚴苛的“一刀切”式立法模式。設定標準時應當將規則落地的可能性及后續產生的諸如過于頻繁的訴訟導致的司法資源的緊張等制度成本納入考量。
橘生淮南則為橘,生于淮北則為枳。西方學者的眼中個人信息主體經常被描繪為缺乏認知,不能理解隱私政策條款,不能理解自己對自身隱私處分的負面程度的人群。但實際上,隨著信息不對稱問題的逐漸解決,個人信息主體在日常生活之中逐漸形成了自己的隱私偏好。尤其在我國對于個人信息的行政化治理力度持續加強的背景之下,更有可能存在“理性個人信息主體”。考慮到中國的市場更為成熟,消費者的交易習慣領先于世界其他國家,隨著消費者隱私保護教育的大力宣傳普及,相關行政管理的逐漸深入,“理性個人信息主體”群體的數量將會日益增多。對“理性人”缺省設定的與否實際上直接決定了規制的社會成本。因為,若將個人信息主體視為缺乏認知、無法為自己作出理性決策的主體,則需要從立法層面為信息控制者設置更多的義務。但在以保障信息安全為首要追求的規制模式下,某些義務的履行可能會直接剝奪信息主體的選擇權,既會不合理地造成信息流動障礙,也會同時增加合規及執法成本。若能適度認可信息主體的決策理性,那么可以盡量使得立法趨于克制,讓出更多的私法自治空間,同時降低企業及社會的管理成本。“理性個人信息主體”能夠作出對自己而言更為合理的信息處分決策,因此,針對“理性個人信息主體”應當放棄家長主義的保護作風,尊重個人信息用戶的隱私偏好,以合理賦權為主,在私法上避免過度介入信息主體與信息處理者作出的合理交換,以維持個人信息主體對自身合法權益的保障與大數據應用的動態平衡。
四、我國同意撤回權的法律適用問題
《草案》正式納入了同意撤回權,但在制度設計上就同意撤回及刪除權的相關規定仍有待完善,相關權利行使過程中各相對人的權利義務關系也需進一步厘清。下文擬對該權利行使的過程中可能出現的權利義務關系定位不清及該制度在域外適用實踐中存在的困境等問題進行一一分析,以期為立法掃清最后的理論障礙。
(一)關于撤回權與受托人及第三方的關系
《草案》規定信息處理者在獲得信息主體同意的前提下可將信息主體的個人信息委托給受托方進行處理。委托方與受托方需要就處理信息的目的、方式、種類及保護措施等問題達成協議并在合同履行完畢或委托關系解除后將個人信息予以返還或刪除(《草案》第22條)。另外,個人信息處理者在取得個人信息主體同意的情形下還可以向第三方提供其處理的個人信息,故在處理個人信息的流程中,通常會出現多位參與者。因此,厘清所有參與信息處理主體的權利義務關系就成為保護個人信息安全的關鍵。筆者認為,受托人及第三方之權利義務的確定應符合以下規則:
首先,所有其他從信息處理者處獲得信息的受托方或第三方都應當遵從授權遞減原則,即其處理信息的權限不得超出信息處理者處理的范疇。這種限制的對象包括處理的信息的類型、數量、目的及時間范圍等等。
其次,當個人信息主體撤回對信息處理者的同意之時,受托人及第三方也應當同時停止收集及處理信息主體的個人信息。此時,無需個人信息主體再行對不同主體進行單獨的同意撤回通知。考慮到信息流通的重要性,在制度設計過程中,不宜把注意力集中在當初收集信息時是否已獲得有效的同意以及相應責任之上,而是應當更加關注信息如何使用,以使信息處理者更關注其處理信息的行為以及所造成的損害。而賦予同意撤回權,在一定程度上正可緩解對于“同意”效力及責任的過度關注,使得人們把目光聚集回信息的處理及使用流程之上。有學者認為,個人信息主體對于信息處理的個人信息自決之行使應當作用于信息本身,并突破合同相對性的限制而在信息的處理過程中緊隨信息流轉。無論個人信息主體的信息處于信息處理者手中,還是因委托關系處于受托人手中,亦或是為存在合同關系的第三人所掌控,這種個人信息自決的權益均應當受到應有的保護。換言之,任何一方均不得以合同關系主張對抗個人信息主體的同意撤回權。但實際上,讓主體以自身的個人信息自決權隨著信息流轉可能僅僅只是一種美好的愿景。隨著信息適用的場景多樣化以及信息控制者數量的增多,信息主體對個人信息的實際掌控能力只能慢慢減弱。但是,這并不妨礙個人信息主體通過向信息控制者撤銷其同意來控制該信息控制者下游的信息處理行為。這是因為,所有對受托人及第三人作出的“同意”從性質上來說只能成為對原授權許可范圍的變更,而并未由此產生新的獨立授權。因此,所有信息處理者下游的處理者都當遵守信息處理者與個人信息主體之間授權約定,對任何超出該范圍的處理行為,應當由處理者承擔連帶責任。
最后,信息處理者的受托方及第三方不得以履行合同所必需來對抗個人信息主體。根據《草案》第 13條,處理個人信息的法定條件除了同意之外還有“為訂立或履行個人作為一方當事人的合同所必需”等條件。此時,信息處理者與受托方或者第三方必然存在對信息處理方式、目的、范圍等的基本約定。依據前述“一方不能把自己不享有的權利轉給第三方”的法理,信息處理者與受托方或第三方對于數據處理的方式、目的及范圍等權利約定不能超過個人信息主體的原授權范圍,因此,當存在此類情形之時還需額外獲取個人信息主體的同意。
(二)對同意撤回的理論質疑及回應
目前,學界對同意撤回制度的具體適用存在諸多質疑,為便于將來立法實施,有必要對之一一回應。
第一,學者對同意撤回制度最猛烈的抨擊在于:用戶無法得知自己享有撤銷權。特別是當存在某種“隱形侵權行為”的情形時,如信息處理者用某種專門針對個人消費者的剝削性營銷技術時,消費者可能根本意識不到其選擇是受到經營者利用其弱點的定向銷售技術之影響而作出的。此時,企業須履行告知弱勢消費者具有個性化撤回的義務。對此,國家作為超然利益關系的治理者(雖然它同時也是最大的個人信息收集、處理、儲存和利用者),承擔著普及個人信息保護知識,提高主體的個人信息保護意識、宣傳及協助公民理解其權利內涵以及救濟路徑的責任。事實上,我國各有關部門已高度重視貫徹落實個人信息保護相關法律法規,積極開展工作并建立了專門針對App違法違規收集使用個人信息行為的舉報渠道,受理網民投訴舉報。截至2019年12月,微信公眾號“App個人信息舉報”已有超3萬名用戶關注,共收到網民舉報信息12125條,涉及2300余款App,我國用戶因“隱形侵權行為”受到的損害可能性大大降低。
第二,也有學者擔心,一旦擁有無條件的撤回權,數據市場可能出現大幅波動,信息控制者極有可能落入數據泥潭之中無法抽身,淪為信息保護制度的犧牲品。實際上,若在制度安排上能實現同意撤回權與數據刪除權的區分,并不會使得信息控制者因此背負過重的負擔。事實上,許多國家在立法中也已引入了同意撤回機制:印度《2018年個人數據保護法案(草案)》規定,同意應當不遲于處理開始時作出,有效同意必須是自愿、知情、具體、清晰且能夠撤回的,且數據處理機構不得對“同意撤回”設定條件;巴西于2018年出臺的《通用數據保護法》也規定了更為廣泛的刪除、攜帶和同意撤回的權利。可以看出,對于同意撤回權的立法為全球個人信息保護立法的趨勢與共識。
第三,還有學者從實證角度提出了個人信息主體的權利不應當增加“粒度化”(granularity)的觀點。該研究指出,若賦予個人信息主體更多的選擇權以增加其權利粒度會為其帶來更大的風險。該理論認為,個人信息主體在其隱私期待和實際處分行為上存在較大差異,而造成這種差異的原因,首先是因為存在認知差距(cognitive dissonance)。這一擔心不無道理,某項針對個人信息主體的調查發現,僅有30%的參與者能正確回答關于其在線交易中隱私保護問題,還有75%的受調查者錯誤地認為如果某網站有隱私政策說明其不會與其他網站或公司共享自己的個人信息。但此問題并非無法解決。實踐中,各國已對此采取了相關應對措施。例如,加拿大專門規定了隱私委員會有增強公正對隱私認識的法律責任。而我國對于個人信息保護所投入的行政執法力度較大,各行業標準也在逐步完善之中。尤其是自2019年1月以來,我國中央網信辦、工業和信息化部、公安部、市場監管總局四部門聯合發布《關于開展 App 違法違規收集使用個人信息專項治理的公告》,在全國范圍組織開展App違法違規收集、使用個人信息專項治理活動。隨著在我國對于違法收集個人信息整治的深入,及對千余款 App 經深度評估后的有效整改,使得企業管理和民眾意識都得到了大幅度提高,隨著我國消費者的隱私觀念與行權意識逐漸增強,對認知差距方面的顧忌也在慢慢減少。
第四,有學者提出,受個人信息主體惰性和顧慮的影響,同意撤回的有效行權也不一定可真正實現。其理由之一是,個體作出授權信息收集的同意決策時,更多考量的是即刻所得,換言之,主體在作出“同意”之時往往是因受到了一定現實利益的誘導。例如,選擇了“同意”即可馬上獲得某種商品、服務或便利條件。但是當個人信息主體需要選擇退出之時,卻往往因缺乏直接的動因而怠于行權。但這一質疑并不成立,更沒有必要僅因主體是否主動適用而改變權利防御性性質的設定。實際上,消極性、防御性權利是個人信息主體的最后救濟,當主體的正當權益受到侵害之時,應當允許其以行使同意撤回權的方式來防衛自身的人格利益,而這種對自身人格利益的維護往往并不需要任何額外的經濟激勵動因。該質疑的另一理由是,個人信息主體會因擔心喪失已有的服務或某些產品功能會受到限制等顧慮而不積極行權。對此,《草案》第17條已明確規定:個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務。該條從法律的角度保障了個人信息主體撤回同意之后的合法權益,使得個人信息主體消除了對撤回同意之不利后果的擔憂,掃清了行權的最后障礙。
結 語
近些年來,各國的個人信息、隱私和數據立法也在突飛猛進,為立法及司法工作提出了新的要求。要實現兼顧保護個人信息權益與促進個人信息合理利用的雙重目標就需要更加細化把握每個具體的制度定位及其實施細節。鑒于告知同意模式存在的固有缺陷,應當引入同意撤回權,以賦予個人信息主體更多自主選擇的空間,使得個人信息主體真正享有“決定權”。同意撤回權作為人格權體系下的撤銷權,其行使應遵循對人格利益的許可撤銷的規則,不僅不應受到過多限制,也不應以主體受到實際損害為前提,同時一般亦不具有溯及力。在行政監督與行政執法已經相當有力的前提之下,要注意避免對信息處理者進行“一刀切”式的強制性立法,將同意撤回與刪除權清晰分離,為個人信息主體提供更多具有可行性的替代解決方案。此外,應在借鑒其他國家制度運行成敗經驗的基礎上,選擇適合我國的立法路徑,以推出一部真正適合中國的個人信息保護立法。