论同意在个人信息处理中的作用
——基于个人敏感信息和个人一般信息二维视角
2018-01-27汤敏
汤 敏
一、问题的提出
近年来,个人信息财产赋权逐渐得到重视,*Lori B. Andrews, iSpy: Threats to Individual and Institutional Privacy in the Digital World, Vol.21 AALL Spectrum p.23 (2017).信息共享、利用和流通似乎是信息时代的生命力之所在,而信息处理的前提是信息从信息主体处流向信息处理者处。这种流通本应遵循良性程序,然而在利益的驱逐之下,信息泄漏问题十分严峻。例如,自2005年以来,仅在美国就有9亿条记录被不正当地曝光或访问,导致504万条信息泄露;2015年,1310万美国被盗用身份受害者的损失达到150亿美元,其中大部分可追溯到消费者信息泄露。*Robert L. Rabin, Perspectives on Privacy, Data Security and Tort Law, Vol.66 DePaul L. Rev. P.313, (2017).美国消费者面临着未经授权的企业访问、误用或盗用信息侵犯个人隐私的风险。*孙政伟:《大数据时代个人信息的法律保护模式选择》,《图书馆学研究》2016年第9期。因此,各国针对这一信息动态流动过程,往往规定了信息主体的同意权,即信息处理以同意为其正当性基础,而同意的正当性基础又源于信息自决权。然而,信息自决权也受到了质疑,“个人信息自决权”理论忽略了某些大数据的因素,其将源信息权利人时刻都放在信息绝对权利主体的地位是不恰当的。*Sarah Ludington, Reining in the Data Traders: A Tort for the Misuse of Personal Information,Vol.66 MD. L. REv. P.143, (2006).有学者认为知情同意机制已然失灵,知情同意的基础地位不保,一方面,在大数据背景下信息主体权利已被架空,另一方面,其加重企业成本,从而阻碍信息高效使用。*范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。由此可见,规范层面同意重要性举足轻重,理论层面同意却成为阻碍信息经济发展的制掣。知情同意这样一颗法学上璀璨的明珠何以处于如此尴尬境地?未来我国信息立法时是继续坚持完全同意的基础地位,还是采纳学者建议完全否定同意的地位,抑或是开辟第三条路径?
二、为什么需要同意——个人信息处理中同意的法律规范及其法理基础
个人信息处理中为什么需要同意,这是我们首先需要直面的问题。对于这个问题的解答,有赖于从规范层面出发,以探究同意背后的法理基础。
(一)个人信息处理中同意的规范表达
从法规范层面而言,个人信息的处理需要经过信息主体的同意。无论是国际法规范和多数国家的个人信息保护法,还是以网络服务商为代表的用户协议等,均将同意作为个人信息处理的正当性基础。*任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期。作为个人信息保护的先驱,国际经济合作与发展组织在1980年《OECD个人信息保护指南》中设立了八项原则,其中限制收集原则和限制利用原则均对同意作出规范。*Craig Mundie.Prinacy Pragmatism-Focus on Data Use,Not Data Collection.Foreign Affairs, 2014(93): 30.欧盟将人权保护作为个人信息保护的宗旨,1995年颁布的《个人数据保护指令》*Directive 95 /46 /EC,of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data,1995.中规定数据品质原则,这一原则包括的正当处理原则、目的明确原则和目的限制原则等规定了信息主体同意的内容,*齐爱民:《大数据时代个人信息保护法国际比较研究》,法律出版社,2015年,第201页。且第七条明确对同意条款的内容做了详细规定。*Directive 95 /46 /EC,art.7规定了处理个人信息处理的一般标准:(1)信息主体已经明确表示同意;(2)处理为履行信息主体作为一方的合同,或应信息主体要求执行订立合同的先行措施所必需;(3)信息控制者履行其法定义务所必需的处理;(4)为信息主体的重大利益而处理其个人信息;(5)为了公共利益而为的处理;(6)为第三人的正当利益,但信息主体的基本人权和自由优于第三人正当利益的除外。
与欧盟立法理念不同的是,美国法倡导行业自律,注重对个人信息的利用,而没有统一的个人信息保护立法。其对个人信息保护采用列举式的PII(personal identified information,简称PII),仅将被经常滥用的信息或者具有高度敏感的信息纳入个人信息的保护范围并进行单独立法。后随着个人信息的大规模利用,各种非个人信息可以动态变换成个人信息,需要信息主体同意的情况也愈加频繁,个人信息相关立法也开始审视既有法律的效力,改革其不足之处。起初,美国对于同意条款仅规定在《隐私法》中。随着大数据分析的应用,个人信息被侵犯的情形越来越多,个人信息控制权理论呼声高涨。为平衡隐私保护与数据利用相关利益关系,联邦政府针对特殊主体或特殊信息出台了特别立法,例如《儿童在线隐私权保护法案》《影视隐私保护法》等。同意基础作为一种趋势,在美国也得到了认可。2009年美国注册会计师协会(AICPA)《普遍接受的隐私原则》第3条规定了同意原则,加拿大《个人信息保护行为准则》第4.3条也规定了同意原则。*高富平:《个人数据保护和利用国际规则:源流与趋势》,法律出版社,2016年,第24、28、225、301、335页。
我国2017年颁布的《民法总则》第111条规定,个人信息的获取应当依法取得,如何理解此处的“依法取得”,该法并未给出明确的规范指引。不过,从其他规范性法律文本中,我们似乎可以觅得“依法取得”之踪迹。
1.2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条第1款规定,个人信息的收集使用需经被收集者同意;
2.2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1款第1项规定的免责事由包括“经自然人书面同意”,反对解释即为,未经自然人书面同意利用自然人个人信息的情形构成侵权责任;
3.2017年实施的《网络安全法》第22条第1款第一句规定,网络产品或服务需要收集用户信息的,应当明示并取得用户同意。
这些法律文本均有一个共同的关键词,那就是“同意”。同意是个人电子信息被收集者的同意,是自然人的同意,是网络用户的同意。根据《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)第3.3条、3.9条的规定,本文将个人信息的主体简称为信息主体,这些法律文本中同意的主体称谓虽有不同,但均指向信息主体;处理行为包括收集和使用行为等,本文以个人信息的处理为行文中心。第4.2条明确规定个人同意原则是个人信息处理的基本原则之一。
(二)个人信息处理中同意的法理基础
个人信息处理为什么需要信息主体同意?从法理基础而言,一般认为,信息主体的同意源于信息主体对个人信息的自决权和信息不对称理论。前者是指个人自主决定自己的信息是否被他人处理;*王玉林:《大数据中个人信息开发利用法律问题研究》,《情报理论与实践》2016年第9期。后者的逻辑是信息处理的前提是取得信息主体的同意,需要向信息主体通知,使得信息主体知悉自身信息的处理状态,以避免信息不对称所产生的危害。个人信息自决权权利主体为个人,或称为信息主体,权利客体为信息主体自己的个人信息,权能为控制,即信息主体对其个人信息的控制,该权能的体现是该权利的内容,即决定个人信息是否被他人收集、利用。最先使用个人“信息自决权”这一表述的是德国学者施泰姆勒,他认为人们有权自由决定他人在何种程度上获知自己的思想和行动。*杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期。个人信息处理时,特别是在收集个人信息时,涉及信息主体是否愿意被收集关涉自己的信息。同意规则的理念是维护信息主体的自我决定权,其可以自由决定信息是否被处理,这是《民法总则》第5条自愿原则的具体体现,权利主体可以按照自己的意思设立、变更、终止民事法律关系。这体现了法律规范对意思自治原则的坚守,权利人可以自由决定是否进入民事关系之中,自由决定与谁建立民事关系,自由决定自我信息是否可为他人知悉、处理。而信息不对称理论的实质是由于信息主体对自身信息控制力的缺失,故通过同意机理增加信息主体在信息处理中的参控力度,平衡信息主体的弱势地位,防止信息处理者侵害其知情权,进而更加充分维护信息主体的人格尊严和人格自由。
信息自决权理论的思想基础是人格自由理念,人类社会发展进程一直是为了使人更好地生活于世,法律的目的也是服务于人,信息立法理所应当地保护人格尊严和人格自由。信息自决权也反映了人格自由,信息承载着权利主体的人格利益,而信息被处理涉及信息主体人格利益的受限,这种受限应具有正当性,或因为公共利益之需求,或因为信息主体主动自愿接受这种不自由,而这也正是人格自由之体现,个人自主决定人格事项,并承担自主决定所带来的法律效果和社会效果。信息主体的自决权体现为两种形态:一种是不同意、不授权处理,此时他人不得处理信息;另一种是同意授权,此时信息主体应承担信息授权处理可能带来的信息公开等后果。
三、为什么不需要同意——对同意基础的质疑与反质疑
尽管规范层面个人信息的处理需要同意,其规范正当性也可以通过信息自决权理论得以证成,但是社会发展至今,同意的正当性基础地位是否还需要继续坚持,对此有些学者提出了质疑。
(一)对同意基础的质疑
随着信息技术飞速发展,社会对于信息需求急剧增加,信息承载了人们追逐的利益。很多学者注意到,信息市场的利用需求逐渐加大,信息主体的同意权很可能被架空。“知情同意”机制逐渐失灵意味着信息主体对个人信息并无实际的控制权,故相关权利的行使也举步维艰。*Susan Landa, Control Use of Data to Protect Privacy, Science Journal,Vol.1,2015,504.与此同时,2015年美国《消费者隐私权利保护法案(草案)》与传统的“知情同意”构架脱钩,将同意条款作为补充性机制予以规定。其第103条(b)款规定,在具体场景中机构处理信息的合理行为,无需信息主体授权或者同意;当机构处理信息的行为不合理,威胁到信息主体的隐私时,机构需要对该风险进行评估,并采取相应的救济手段。有观点认为,我国应充分抓住机遇,立足国情,摒弃传统以“知情同意”为核心的构架。*姬蕾蕾:《个人信息保护立法路径比较研究》,《图书馆建设》2017年第9期。任龙龙在《论同意不是个人信息处理的正当性基础》一文中对此作出了详细的论述。*任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期。他认为,同意不应是个人信息处理的正当性基础,个人信息处理理念应从严格保护转向防止滥用,对处理行为的规制宜采用责任规则,也就是一种事后判断规则。具体理由有四:第一,同意的理论根基不牢。同意无法解决信息不对称问题,也无法有效保障信息主体的知情权,更不利于信息经济的发展;个人信息权所强调的决定自由,信息主体无法真实享有,控制能力也极为有限,信息主体除了同意往往别无选择。第二,同意本身缺乏必要性和真实性。第三,同意基础不符合经济考量。第四,例外规定的大量存在削弱了同意基础的效力。崔聪聪则从经济制度考量,认为只要数据从业者与信息主体通过合作博弈达成了协议,或者他们欲满足的利益明显大于消费者的自由需求时,即得以径自利用信息而无须征得信息主体的同意。*崔聪聪,巩姗姗,李仪,等:《个人信息保护法研究》,北京邮电大学出版社,2015年,第122页。
(二)同意基础的决疑之力
针对同意基础的质疑,有些值得赞成,有些值得商榷。信息社会发展至今,面对信息主体权利保护和信息利用利益保护之间的冲突,法律不能无动于衷,但也无需完全否认同意的基础地位。针对上述这些理由,笔者逐一分析如下:
第一,同意的理论根基问题。(1)关于信息不对称理论和信息自决权理论。信息不对称理论相较于信息自决权而言,其理论根据地位相对较弱。特别是对涉及个人敏感信息的处理,信息自决权理论关注的是信息主体是否可以自由决定其敏感信息被处理。(2)关于知情权、类比物权和患者知情同意权,信息自决权的重点不在于知情权而在于同意权,知情权是同意权的前提和基础,同意权才是核心和目的,同意权强调信息主体决定自身信息是否被处理。(3)关于个人信息的社会性。有观点认为,信息主体属于该类信息的初始供体,对该信息具有一定的财产利益,信息主体自身具有一定的自决权,但信息主体在享受大数据应用带来的便捷性的同时,对这种利用行为应具有一定的容忍义务。*陶盈:《我国网络信息化进程中新型个人信息的合理利用与法律规制》,《山东大学学报(哲学社会科学版)》2016年第2期。同时,法律应当容忍部分人不参与广泛的交往,社会也应当容忍部分人追求慎独的精神境界。他人对信息主体的个人信息也许是有需求的,但如果不是为了社会公共利益,我们很难想象某一私主体的权利不经同意而让渡于另一私主体。(4)关于不披露意味着欺诈问题,这种结论似乎有点武断,在涉及公共利益时,信息处理无需获得信息主体同意;而不涉及公共利益时,信息不披露何以构成欺诈?(5)关于他人对信息享有利益问题,这种观点强调信息处理者的利益,在信息处理者和信息主体利益衡量之间,偏向于信息处理者利益保护的价值似乎有其正当性,但是如果信息主体并非自愿让渡自己的权利,这与强制交易有何区别?强制交易之下,强制一方对交易标的也存在利益需求,如果为了这一方利益而限制非强制方自由意愿,公平否?(6)关于信息价值问题,个人信息的价值在于流动性和有用性本无可厚非,但如何流动、向谁流通以及是否公开均应在规范上成为信息主体的权利,否则信息一旦公开,则信息主体对个人信息毫无权利可言,通过责任规则获得的救济也是微乎其微。(7)关于决定自由问题,信息主体与网络服务商之间的网络服务关系就是合同关系,如果信息主体不同意网络服务协议,则不能接受该网络服务商提供的服务,只不过该服务协议性质上属于格式合同而已,但这并不能否定合同一方当事人即信息主体的意志自由。
第二,同意本身的必要性和真实性问题。从损害角度而言,损害可能性是所有财产规则共同面临的问题,责任规则更多是侧重救济已发生的损害,所以责任规则对预防损害可能力有不逮。关于同意的真实性问题,现实生活中大量存在的以应用格式合同、点击合同来获取用户“同意”授权的方式,而用户可能根本没有注意到相关个人信息条款。在涉及个人信息处理行为时,这类型的合同效力如何?笔者认为,对于该问题可以适用《合同法》第39~41条对格式条款的规定。格式条款的出现是为了便利社会生活,信息社会发展迅速,我们无法要求网络服务提供者与所有网络用户签订个性化服务合同,而只能通过格式合同、点击合同的形式进行网络服务。当然,这也对法律提出了挑战。为此,法律特别规定,格式条款的内容应当遵循公平原则,如果加重对方责任、排除对方权利、减轻己方义务,则该条款无效,并且法律规定了争议情形下的特殊规则。
第三,同意的经济考量问题。对个人一般信息进行处理时无需同意,这符合信息处理之经济需求,此时个人信息的个人利益可以适当后位于信息处理者。但涉及个人敏感信息时,此时如果用经济考虑以限制信息主体的敏感信息利益,则有悖于人格要素的权利扩张。某种程度上,我们处在隐私不保的年代,对人格保护、隐私保护、个人敏感信息的保护尤显重要,对个人敏感信息的保护就是对信息主体人格的保护,此时用经济利益和人格利益进行利益衡量,其结果显然应偏向于人格利益,毕竟个人信息的保护源于信息主体的信息自决权,而信息自决权又源于人的主体地位和人格尊严,这是一切法律存在的根本,正如《民法总则》第2、3条将人身关系和人身权利置于财产关系和财产权利之前。可见,在利益衡量时,应将人身利益摆在优位。关于同意可能引发的骚扰问题,此处的利益衡量应采取两害相权取其轻原则取舍。但若无需同意就可以收集信息主体的敏感信息,其导致精神上的不安宁将会远甚于垃圾信息的骚扰,毕竟后者并未公开信息主体的私密信息。我们很难想象,当我们正在上网休憩时,偶然发现自己的隐私信息被他人公开,那种错愕恐怕不是法律所希望看到的。
第四,例外规定问题。该理由忽视了同意的内涵和公共利益的优先性:合同履行中已存在合同订立时的同意,无需再同意;公共利益限制信息主体的私人利益属于利益衡量的结果,这两种例外规定并不能从根本上否定同意在个人信息处理中的价值。
四、为什么是二维视角——同意在不同信息类型处理中的作用
个人信息处理行为涉及信息主体权利保护和信息处理者利益之间的平衡,二者之间的利益平衡不宜偏向于某一方,而应在二者之间谋求利益均衡。随着社会的发展,信息利用给人们带来了巨大的利益,促进了人们的生活方式、工作模式的改进,这冲击了知情同意的正当性地位,知情同意的根基似乎受到动摇;同时,人们的隐私保护仍然是法律需要面对的挑战,完全不同意可能造成隐私泄漏的恶劣后果。所以,法律需要在信息主体隐私保护、信息处理者利益乃至社会公共利益之间谋求适当平衡点,而这有赖于对不同类型信息的区别保护,即区分个人敏感信息和个人一般信息。
(一) 信息类型之敏感信息和一般信息
将个人信息划分为一般信息与敏感信息是欧盟关于个人信息保护立法的一大特色。欧盟在1995年《个人信息保护指令》第8条第1款规定了特殊类型信息,即敏感信息。它是指透露种族、民族本源、政治观点、宗教信仰、世界观、工会关系以及健康和性生活有关的个人信息。第8条第2款还对敏感信息处理规定了较一般信息更高的保护标准。例如“处理该类信息必须是为了公共利益或者健康、经当事人同意且其所属成员国国内法没有禁止”等。2016年欧盟《统一数据保护条例》取代《信息保护指令》,这引起个人信息处理操作管理的明显变化,主要是加重了数据控制者的义务。*Istvan Borocz, Risk to the Right to the Protection of Personal Data: An Analysis through the Lenses of Hermagoras, 2 Eur. Data Prot. L. Rev. 467, 480 (2016).该条例对个人敏感信息的类型进行了扩展,包括基因、安全信息等。
2015年2月,美国政府正式公布《消费者隐私权利法案(草案)》,强化了消费者对个人敏感信息的控制力度,它规定只要信息的用途会对消费者的权益产生重大影响,就必须取得消费者的同意。Andrews教授认为,人们应该有权决定是否要收集他们的信息,使用网站或应用程序不表明他们放弃自己的隐私权。*Lori B. Andrews, iSpy: Threats to Individual and Institutional Privacy in the Digital World, Vol.21 AALL Spectrum p24 (2017).有学者分析了《美国消费者隐私法案(草案)》和欧盟《统一数据保护条例》之后,对我国个人信息保护体系重构提出了自己的建议:在用户控制方面,弱化对用户同意的过度依赖,规定“合理使用”的场景,免予取得用户同意;在“不合理”使用时,应取得用户明确、主动的同意。*范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。此种思路希望在完全同意和完全不同意之间寻找第三条道路,那就是区分个人信息的类型,进行不同的规则设计。张新宝教授主张对敏感信息与一般个人信息分别保护,对于前者侧重保护,对于后者鼓励利用。*张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期。
我国2013年2月开始实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)第3.7条和第3.8条将个人信息区分为个人敏感信息和个人一般信息。个人敏感信息的内涵强调信息对信息主体的私密性和敏感性,强调未经同意公开的不良影响,所以《指南》将其定义为“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。”“敏感”包括两层含义:“私人的”和“有害的”。个人信息是否属于敏感是由立法政策所定义的,*吴亮:《网络时代的个人隐私权及其行政法保障》,中国政法大学出版社,2016年,第193页。例如《指南》规定了身份证号码、基因、指纹等属于个人敏感信息。笔者认为,个人敏感信息和个人一般信息的主要区别在于,该信息是否可以直接识别个人,即该信息对于信息主体而言具有唯一性,其他任何人均不可能有该信息。例如,身份证号码,我们知道每个人的身份证号码是不同的,每个人都是独一无二的,所以如果知道一个人的身份证号码就可以定位到该人。基因、指纹信息都是如此,每个人的指纹都是独一无二的,现代手机中的指纹解锁就是这种技术的运用;每个人的基因也是唯一的,这被广泛运用于刑事侦查领域,只要在犯罪现场有某个人的血液,就可以查出血液中的DNA,据此可以锁定嫌疑人。此外,信息安全问题是各国普遍关注的问题,这已经关涉国家网络安全问题,而信息安全中最主要的问题是个人敏感信息安全问题。理论上,信息安全包括三个特质:保密性、完整性和可用性。信息安全泄漏包括前两个特质,并发生在未经授权访问个人敏感身份信息时。*Marian K. Riedy; Bartlomiej Hanus, Yes, Your Personal Data Is at Risk: Get over It, 19 SMU Sci. & Tech. L. Rev. 3, 15 (2016).由此可见,授权同意对于个人敏感信息的重要性。
(二)个人敏感信息仍需同意
笔者认为,个人敏感信息仍需要同意:
首先,从信息控制力角度而言,如果个人敏感信息无需同意即可处理,容易造成信息主体无法控制其隐私被何人知晓、利用,至少会被信息收集者内部成员知悉,而这可能也非信息主体所愿。
其次,从利益衡量角度而言,个人敏感信息涉及个人人格尊严和人格独立,若未经通知即可处理,则信息主体的人格将受到限制,敏感信息是否被处理的权利旁落他人,这是任何形势下经济发展所不能逾越的鸿沟。人格存在于人之处,若自然人人格交由他人掌控,则易出现人被物化之情形。个人敏感信息承载的人格利益是法律规则必须直面的实益,而信息利用也是法律制定所需面对的利益。当两者共存于信息载体时,利益冲突在所难免,此时需要对数个利益做利益衡量,采取两利相权取其重原则,取舍的标准就是利益相关性。个人敏感信息上的人格利益与信息主体的人格相关,承载着人格自由和人格独立,而对信息利用所带来的利益与信息利用者的财产相关,能够为信息利用者带来丰厚的经济价值。信息主体对敏感信息的同意源于信息自决,而信息自决源自个人的自治,这是人格自由发展所不可或缺的。*杨崇蔚,廖志汉,廖志聪:《澳门个人资料保护制度》,社会科学文献出版社,2015年,第45页。从人权角度而言,前者不仅涉及人的自由发展权,更重要的是其涉及人之为人的生存利益,后者涉及的是人为美好生活的发展利益,当两者出现冲突时,作为第一位的生存利益应优先于次位的发展利益。
最后,从权利救济角度而言,无需同意的责任规则保护模式无法弥补信息主体所遭受的损害。责任规则着力于强制许可制度,与知情同意“脱钩”,对信息收集不需征得信息主体授权。*郭明龙:《个人信息权利的侵权法保护》,中国法制出版社,2012年,第100页。责任规则的适用前提是损害既已发生,此时,作为受害人的信息主体可以向不当处理者、接受者主张侵权责任,也许法律会将二者的责任规定为连带责任。赋予信息主体删除权也可以矫正这一利益失衡状态。*Jeffrey Rosen, The Right To Be Forgotten, Stanford Law Review Online,Vol.64, 2012,89.但这种保护模式无法为受害人提供周全的法律防护,网络时代信息大爆炸,信息经复制后传播速度之快完全超越传统媒介传播速度。个人敏感信息一旦被公开,经复制传播后对信息主体所造成的损害无法真正“回复原状”,受害人遭受的精神痛苦和不安是法律永远不能修复的。为了预防这种损害的发生,财产规则似乎可以为我们提供有益借鉴。财产规则,是相对人对权利人财产侵害前必须明确征得权利人的同意,相对人必须与权利人协商谈判并向其支付商定的对价,才能对该权利予以支配。*Guido Calabresi&A.Douglas Melamed,Property Rules,Liability Rules,and Inalienability: One View of the Cathedral,Harvard Law Review,1972,1090.个人敏感信息采取财产规则和责任规则混合规则保护模式,可以更为有效地提升信息主体对其个人敏感信息的主动权。《指南》针对个人敏感信息采用了事前明示同意规则。总之,针对个人敏感信息,法律应侧重人格利益的保护,处理前应明确征得信息主体明示同意,同意仍是个人敏感信息处理的正当性基础。
(三)个人一般信息无需同意
实践中,有些个人信息不属于私人领域,这些信息和人格的关系较为疏远,或者是社会交往中必须向公众提供的。*杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期。个人一般信息就属于和人格关系较为疏远的信息。对于个人一般信息而言,因其隐私性和敏感性不及敏感信息,其所承载的人格利益也不甚强烈,故为促进数据流通,应放宽对一般个人信息的管制,无需适用同意规则。从缔约成本角度看,一般个人信息的处理无需信息主体同意可以大幅度降低信息利用合同的成本,有益于各方主体。因为在大数据环境下,企业如若对所有信息主体逐一获得授权缺乏可操作性,且如果所有信息在处理时必须取得信息主体的明确同意,企业也会因利用成本过高而采用违法手段进行利用,这反而会导致信息主体面临更高的隐私风险,且企业也会承受更大的法律责任。*王玉林:《“默示同意”在数据收集中的适用问题研究》,《情报资料工作》2017年第2期。所以,对个人一般信息进行处理时,信息利用的经济利益可以优先考虑,法律可以侧重保护信息财产权。所以,对个人一般信息处理不需要信息主体同意。
随着大数据时代的到来,全部同意已经不合时宜,因为个人一般信息的收集无需同意;全部不需要同意则忽略了对个人敏感信息的保护,而且在未匿名化状态下容易侵犯信息主体的隐私。未来信息立法时应当采用的立法技术是:法律应当明确规定需要同意的事项,其他皆属于不需要同意范围,即采“概括+肯定”列举的立法模式。