姬蕾蕾

（西南政法大学民商法学院 重庆 401120）

1 问题的提出

在大数据时代，随着对大数据分析的应用，个人信息多样化利用的趋势成为一种必然。在巨大的利益驱动下，数据从业者对个人信息的大规模利用成为一种普遍的经济现象。在信息技术快速革新的背景下，数据从业者为了追求低成本、高效率的经济目的，对信息价值的挖掘的分工也越来越明细，其中信息控制者多会采取外包挖掘的方式与信息处理者合作，节约时间和成本以开发信息价值，双方实现双赢。因此，信息收集、处理和利用等流转过程中每一环节都可能会侵害信息主体的合法权益。如何合理利用个人信息成为大数据时代信息发展的重要课题。

在传统信息保护的法律规制中，无论是理论通说抑或国际通行立法均将知情同意要件作为个人信息利用的正当性基础，即当数据从业者收集信息时应取得信息主体的同意。知情同意权属于人格权之一部分，是人格尊严和人格自由在信息保护法领域的具体体现。“知情同意”在信息保护中构建的学理依据主要是信息不对称理论，该理论实质是为平衡信息主体对自身信息参控力度的缺失，通过知情同意的机理给予信息主体在信息流转过程中以控制权，防止信息利用者侵害其知情权，进而维护信息主体的个人尊严与自由。故传统信息规范将知情同意要件作为信息保护与数据流通的平衡性法理基础。然而，随着商务智能、无线传感器、云计算、物联网等新技术不断更新，在大数据应用带来的利益驱动下，数据从业者对个人信息的利用集中在对个人信息匿名化后的数据交易层面，以充分挖掘信息价值，提高经济效益。在信息流转过程中，在信息收集阶段，信息因未被处理而处于静止状态，信息主体的权益此时并无太大风险；伴随大数据分析的应用，数据从业者使得在利用过程中要对信息进行清洗、加工、建模进而生成数据再进行交易，这一系列动态的信息处理过程对信息主体权益所造成的威胁要远远高于初始收集阶段，也对传统以信息收集为主要规制环节的个人信息保护框架提出挑战。近年来越来越多的学者开始否定同意是个人信息利用的正当性基础。任龙龙认为，信息利用的原则重在防止滥用而非严格保护，同意条款缺乏必要性和真实性，适用成本高、效率低，会成为信息产业发展的羁绊因素[1]。范为认为，作为传统架构“立足之本”的“知情同意”机制已失灵，用户并无实际的控制权，在网络语境中，用户为使用产品或服务往往除点击同意之外并无其他选择[2]。崔聪聪等则从经济制度考量，认为只要数据从业者与信息主体通过合作博弈达成了协议，或者他们欲满足的利益明显大于消费者的自由需求时，即得以径自利用信息而无须征得信息主体的同意[3]。

如上所述，个人信息利用每个环节都可能对个人信息造成威胁，完全依赖传统的知情同意条款会阻碍数据的自由流通，一刀切地摒弃该理论则会动摇个人信息保护的根基。故笔者倾向于对同意条款在个人信息的分层利用结构中区别规定，以灵活性的同意机理适应动态化的信息利用方式，平衡个人信息保护与数据自由发展的相关利益关系。

2 关于同意基础的国外立法考察

2.1 关于同意基础的国外立法例

最早对同意基础作出规定的是经济合作与发展组织，其在1980年《OECD个人信息保护指针》中确立了八项原则，其中限制收集原则和限制利用原则都对知情同意予以规定[4]。联合国大会于1990年通过的《联合国关于自动资料档案中个人资料的指南》中规定了十大原则，其中，合法合理原则、目的特定原则均对同意基础作出具体规定[5]。欧盟对于个人信息保护最为严格，其以人权导向为基线在1995年颁布《信息保护指令》（以下简称《指令》），《指令》规定了信息品质原则，包括正当处理原则、目的明确和限制原则等均对信息主体的同意作出明确规定[6]。且第七条明确对同意条款的内容作出详细规定。与欧盟立法理念不同的是，美国法对个人信息保护的基本立场是反对滥用，注重对个人经济关系的保护。美国没有统一的个人信息保护立法，对个人信息保护采用行业自律的模式以适应经济的动态发展。因此，个人信息保护原则对实施分散立法兼行业自律的美国更为重要。起初，美国对于主体同意内容仅在《隐私法》中予以规定，即在1974年将美国自动化信息系统委员会提出的五项个人隐私保护原则纳入《隐私法》这一单行法中，其中包括知情原则和同意原则。随后，大数据分析的应用导致个人信息的被侵犯机率提高，为此美国将个人信息区分为一般个人信息和敏感个人信息，对于后者，联邦政府针对特殊主体或特殊信息出台了特别立法，例如1988年的《影视隐私保护法》、1998年的《儿童在线隐私权保护法案》等，这些立法都对信息主体的同意作出了具体规定。可以看出，为顺应立法潮流，美国也逐步认同同意作为个人信息利用的正当性要件。

2.2 欧美国家对同意基础的立法改革

近年，随着大数据分析应用带来的巨大利益，个人信息保护法从重保护到重利用的转变成为各国际组织或国家立法的新姿态。其中，以“知情同意”为框架建立的个人信息保护立法过于绝对，大规模的信息利用的前提如果一刀切地建立在取得信息主体同意的基础上，不仅不现实且成本过高，故各国开始审视既有立法的不足，改革立法，以顺应数字时代的发展潮流。其中，最为典型的当属欧盟《一般数据保护条例》[7]以及美国《消费者隐私权利法案（草案）》[8]。

2012年1月，欧盟公布《一般信息保护条例草案》（GDPR），取代1995年《信息保护指令》，该草案于2016年4月最终通过并予以颁布，2018年5月开始生效[9]。与《指令》相比，《一般信息保护条例》新增关于“同意条件”的规定，有别于过去将绝对同意作为信息处理的首要条件，《一般信息信息保护条例》关于同意的规定更加细致。根据《指令》第7条的规定，同意必须是明确的；但《一般信息信息保护条例》第6条的表述删去了“明确”。与此同时，第9条第2款规定，特殊类型的信息在获得信息主体明确同意时，且处理则不受相关限制。由此可知，对于特殊类型数据处理的同意为明确同意，而对其他一般信息的处理仅需同意；后者的外延应大于前者，即同意应包含明确同意和默示同意[10]。可以看出，对比之前的僵化性同意要件，欧盟逐渐采取一些变通的姿态，对个人信息同意作出区分规定。2015年美国联邦引入三部隐私法案：《消费者隐私保护法案（草案）》（以下简称《草案》）《学生数字隐私与父母权利法案》《数据经纪人责任以及透明法案》。三部法案中，《草案》最为典型，软化了以“知情同意”为架构的信息法律规制，建立起真正的以具体场景为依托、动态管理隐私风险的核心构架，将个人信息保护落实到实处，在用户同意层面，将同意条款作为补充性机制予以规定。第103条（b）款规定，在具体场景中机构处理信息的行为合理，则无需信息主体授权或者同意；当信息控制者利用信息的行为不合理，威胁到信息主体的隐私时，信息控制者需要对该风险进行评估，并采取相应的救济手段[11]。美国《草案》未将同意作为个人信息利用的首要前提，而是在信息利用的过程中动态监管对信息主体可能引发的风险，缓解信息主体同意的固化基础，迎合数据产业的发展需求，对协调个人信息利用和保护极具指导意义。

可以看出，欧美对信息主体同意条款作出较为灵活细致的规定。欧盟因以人权为立法理念，故将同意基础作为信息利用的首要前提，但为适应信息的大规模应用，不再僵硬地适用同意条款，对信息作出一般个人信息和敏感信息，分别适用默示同意和明示同意，缓解了同意条款导致的僵化局面。反观美国，因注重对个人经济关系的保护，对个人信息的保护以行业自律为主，仅对特殊主体单独立法。故在《草案》中将同意基础作为补充机制，在个人信息利用的过程中对个人信息进行动态风险评估，灵活性同意机制较欧盟更强。欧美对同意基础的立法改革顺应数字时代的发展，值得借鉴。但对同意基础的规定还是过于简单，欧盟仅规定了明示同意和默示同意，而美国则将同意基础作为候补机制，并未注意到个人信息利用的分级多层次化。故笔者在借鉴两者立法动态的前提下对同意基础进行类型化重塑，在保证信息安全的前提下能动促进数据流通。

3 同意规范的分级多层适用

大数据分析应用之前，对个人信息商业化利用主要集中于对公众人物的肖像、名称、声音等标识，彰显出个人信息的积极控制功能。故对此，美国采用公开权的方式加以保护，德国则通过一般人格权积极面向予以保护。随着大数据时代的到来，对个人信息的商业利用不再仅限于对公众人物人格标识的利用，而是对信息主体整体信息的利用，且着重于对信息的二次利用，即数据从业者运用大数据分析减少商业的不确定性以提高经济效率。笔者认为对同意基础的适用应进行分层结构的类型化适用，对不同适用情形采用的保护规则也不尽相同，以此平衡信息主体和数据从业者的相关利益。

3.1 同意基础分级多层适用的前提

3.1.1 个人信息与数据之差异

将数据和信息进行区分是对同意基础进行类型化适用的逻辑前提，对个人信息和数据的利用次元不同，同意基础的要件也不同。

就信息的内容而言，通说认为个人信息法律属性集人格利益与财产利益于一身。个人信息财产属性通过对名人等公众人物的声音、名称、肖像等商业化利用彰显。笔者认为这仅仅是对个人信息人人格属性的经济性扩张，其属性仍为人格利益，因为此时的商业化利用仍具有人格标识。伴随大数据时代的到来，数据从业者对个人信息大规模利用而生成数据，很多学者将这种商业化利用认定为个人信息的财产属性。然而，这种商业化利用并不是其财产属性，而是在个人信息利用过程中产生的数据，不再具有人格标识，此时的数据脱离了人格因素，仅具有财产属性。对初始信息的收集是信息主体为自身便捷性利益所交付的对价，其享受便利性的同时应具有一定范围的容忍义务，这并不是对个人信息的商业化利用。二次利用信息时，在对个人信息进行匿名化处理之后，其身份识别性因素不再，此时生成的数据仅具有财产属性。就数据的来源而言，根据数据来源不同可将数据分为衍生数据和记录数据。首先，衍生数据主要源于个人信息，其生成离不开初始个人信息的聚合。但个人信息在处理过程中数据产业者通过脱敏技术、匿名化技术，对数据源的属性审核处理，当个人信息的隐私因子脱离之后才进行交易，此时的数据具有财产属性。其次，记录数据源于信息主体因使用互联网而被网络服务提供者以Cookies等工具记录的数据，这种记录数据本身识别不到特定身份主体因而不具有人格属性，记录数据并不具有隐秘性，数据产业者对该信息的利用并不会对信息主体造成隐私困扰。记录数据的无人格性特征在某种意义上深化了数据的财产属性。因此，初始收集阶段，个人信息仅具有人格利益，信息主体对自身信息享有人格利益；因大数据分析的应用，由个人信息生成的数据仅具有财产利益。

3.1.2 敏感信息和一般信息的区别标准

尽管出台的法规抑或学者的论述多使用“敏感信息”这一术语，但却很少对其进行界定[12]。国外立法例和我国国内法规在信息主体同意层面都对个人信息进行区分，即区分敏感信息和一般信息，对敏感信息一般会加以特别规定，因为这类信息涉及信息主体的隐私，所以个人敏感信息其实等同于信息主体的隐私。个人信息保护立法一定要在不同的价值追求之间进行权衡：涉及人格尊严及隐私的，要做到严格保护；只是一般性个人信息、事关经济利益的，要考虑到社会交易的发展[13]。欧盟《一般信息保护条例》对《指令》完善的点睛之处在于对第9条对特殊个人信息的利用进行了分类规范[14]。该规定将民族、政治、信仰、基因、健康、性生活与性取向等信息纳入特殊类型个人信息的射程内。从《一般信息保护条例》对数据处理条件的严格性规定来看，层次越高的信息敏感度也越高，利用的要求与限制条件也就相应越多，以保护其中的个人隐私与自由[10]。美国法因对个人信息保护的模式采用行业自律模式，将敏感信息进行单独立法。美国《草案》在个人信息定义层面，一改过去以“识别性”对个人信息进行定义，转而以“关联性”定义个人信息，即“能够连结到特定个人或设备的信息”。我国《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）明确个人信息分为个人敏感信息和个人一般信息。个人敏感信息是指一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等；个人一般信息是指除个人敏感信息以外的个人信息。

可以看出欧盟对个人敏感信息的定义采用列举式规范，重在对信息主体人权的全方位保护；美国《草案》不同于欧盟，对个人信息的定义是在信息利用过程中动态关联性评估，反映其倡导行业自律的信息保护理念。但是，欧盟的列举式识别规范过于绝对，而美国的关联性评估则过于灵活，个人信息的范围不易界定。《指南》对敏感信息的定义采用列举式方式，规定较为笼统。测定个人信息的敏感程度应当折射所在社会的规范性文化,敏感信息的判断标准应该与其社会的价值观和文化相一致[15]。因此，笔者倾向于对敏感信息定义时可结合欧美立法改革的优势，在对敏感信息进行列举式定义的前提下，引入动态风险管理理念，在信息利用过程中对列举敏感信息以外的一般信息进行关联性定义，降低撞库识别的风险，以充分保护信息主体的隐私权益。

3.2 同意基础在个人信息初始利用中的适用：以财产规则保护信息主体利益

个人信息的初始利用是指数据从业者直接获得信息主体信息的过程，譬如在注册的账号、购买商品时填写的个人收货信息等都是平台或商家为了保证交易顺利进行而对信息主体个人信息“一次使用”。在初始信息利用中，信息主体向数据从业者交付的信息基本上都是主动提供的，主动提供个人隐私信息主要基于这样一些原因：获得更加方便快捷的服务；分享个人的生命体验以升华自己的人生价值；通过虚拟网络中相应信息分享补偿现实社会中的情感沟通缺失等[16]。对初始信息的收集是信息主体为自身便捷性利益向数据从业者所交付的对价，信息主体享受便捷服务的同时应具有一定范围的容忍义务，这并不是对个人信息的商业化利用。因此，初始利用中个人信息基本上保留了人格属性的特征，此时的信息并未生成数据，其商业化利益并未凸显，信息主体对其信息拥有所有权，这是信息利用的基础性要件。故在信息权属明确的前提下，此时对信息的保护使用财产规则。财产规则意味着当归属确定后，买方想从信息主体处取得信息，必须通过自愿交易，即以卖方同意的价格购买[17]。因此，在对个人信息的初次利用中，因关涉信息主体的人格利益，此时适用主体同意条款，在信息利用前须征得信息主体的同意。由此可以保证信息主体在信息处理过程中的参控力度，使其拥有和数据产业者在信息交易中的议价能力，增强信息主体的主动权，以缓解信息主体在数据交易过程中处于弱势地位的状态[18]。

在信息初始利用中，同意条款的适用需灵活处理，此时的同意作扩大解释，分为明示同意和默示同意。如上所述，个人信息分为一般个人信息和敏感个人信息。个人信息的敏感程度是决定个人隐私感知的最重要因素之一[19]。非经本人同意的敏感信息处理会在社会中造成超出本人预料的结果，并对本人的人格发展造成不可预料的影响，使得本人人格塑造的结构偏离原本的预期[20]。因此，在对个人敏感信息利用时应严格规范，以维护信息主体的人格自由和尊严，而对敏感信息以外的个人信息，因其对其隐私伤害较小，采用较为软化的态度，可减少数据产业者收集信息不必要的程序和成本，促进数据流通。因此，在利用敏感个人信息时，必须取得信息主体的明确同意。而对于一般个人信息，对信息主体的隐私威胁不会太大，故应该允许默示同意条款的存在。无论基于国外立法例还是经济成本，默示同意都有其存在的正当基础。如上所述，欧盟《一般信息保护条例》规定，除宗教、种族、政治观点、性取向等敏感信息必须取得信息主体明确同意外，对一般个人信息的利用可采默示同意。从缔约成本的角度而言，默示同意可以大幅降低缔结信息利用协议的成本，对信息利用的各方主体均有利。大数据环境下数据从业者要对海量信息主体逐一取得授权不具有可行性，如果所有的信息在利用时均必须取得信息主体的明确授权，数据产业者也会因利用成本过高而采用违法方式利用信息，这不仅给信息主体带来更大的隐私风险，且数据产业者也会因此承担更高的法律风险[21]。因此，将同意条款类型化区分为明示同意和默示同意，对敏感个人信息和一般个人信息分别适用，两类信息适用同意条款都有其相应的正当性基础，宽严相济，既可保证信息主体的隐私利益，又可促进数据的自由流通，保证数据经济的长足发展。

3.3 同意基础在个人信息二次利用中的适用：以责任规则促进数据自由流通

二次利用是数据从业者对信息主体在初次信息收集的基础上，对其进行加工、分析、处理得到以数字或图像形式呈现的数据并加以利用的过程，这是通过分级与多层利用初始信息来最大限度地发挥信息的效用。根据信息管理学的一般原理，个人信息的初始收集者需要在激活该信息的基础上将它传输给其他用户加以共享，以帮助后者在作出相关决策时消除香农所称的“不确定性”[3]。大数据时代的到来，物联网、通信产业的迅速发展，电子方式交易爆炸式地渗透到人们的生活中，几乎所有数据从业者都使用数据和计算机建模的形式来确定消费者的喜好或地理位置[4]。大数据分析的应用带来的好处在商业领域最直接的体现即为此，为数据从业者提供预测性指导方向，以便其制定针对性方案，节约成本及提高经济效率。数据价值更多地体现在二次利用即对数据的深入挖掘和处理过程中，数据的价值重在利用而非保护，该阶段应该以数据利用为核心，规范相应法权规则。如上所述，衍生数据在进行匿名化处理之后其人格属性不再，而记录数据本身不带有人格标识符而不具有人格属性，此时的数据仅具有财产属性。从正当性角度而言，二次利用中，数据从业者在初始个人信息利用中已经征得信息主体明示或默示同意，此为二次利用正当性的逻辑前提。二次利用的首要条件是对个人信息中的人格因素脱敏，在此过程中并不涉及主体的人格利益，数据的权属已非信息主体，此时并不需要再经过信息主体的二次同意。从效率角度而言，经济的蓬勃发展促进了信息技术的发展，“信息排放”成为人们日常生活中的一部分，过度限制信息收集，与信息主体的信息自主权相悖。且在二次利用中，如果再经过信息主体的授权同意，不仅产生更高的经济成本，匿名后的主体不明也使同意条款丧失了存在的价值。因此，在二次利用阶段，对数据的保护应该放松管制，以此促进数据流通，反过来使信息主体受益。就法律保护规则而言，在二次信息利用中对个人信息的保护应该采用责任规制。责任规则下，信息的转移由法律设定买断或者卖断价格，而不再取决于当事人之间的自愿交易，即强制交易[17]。因为数据此时仅有财产属性，诚然在数据的生成中糅合了信息主体的具体信息，但是无论从数据的主体复杂性和构造的多元性角度还是就数据自由的价值而言，数据都需要保持一定的公共属性，它不仅仅属于信息主体一方。对数据二次利用采用强制交易，采取事后判断的方式对信息主体予以救济。因此，基于正当性角度、效率角度抑或法律规则保护而言，同意条款在个人信息的二次利用中均不具有存在的适宜性土壤。

4 二次利用中匿名化风险及保护策略

二次利用个人信息无需征得信息主体的同意是为了促进数据流通，实为一种宽松的法律规制。但对信息利用的宽松并不是对信息主体权利的剥夺和相应主体责任的放任。个人信息的二次利用无需征得信息主体同意的正当性基础在于数据从业者对个人信息的匿名化处理。但是，随着信息技术的发展，匿名化的技术处理在隐私保护应用的过程中会引发个人身份再识别的风险。个人身份再识别是指在对个人信息匿名化后，数据利用者对信息主体进行再识别的过程。个人信息匿名化本就是防止个人身份被识别，如果对个人信息采用匿名化技术后出现二次识别的反向工程，则个人信息匿名化技术也就“无用武之地”。目前大部分匿名化原则都针对静态数据，并未考虑数据动态更新重新发布的数据中的个人隐私泄露问题。实践中，数据不定时动态更新极其常见，如果对更新的数据进行传统匿名化处理并重新发布，则可能在多个不同发布版本中存在推理通道，存在个人隐私泄露的风险[22]。因此，当对个人信息进行匿名化处理之后如果出现二次身份识别的事件，应该如何保护信息主体的信息权益成为必须正视的问题。

就信息主体的权利构架而言，赋予信息主体删除权是平衡二次信息利用所带来风险的必要方式[1]。删除权（The Right to be Forgotten），也称为被遗忘权，是信息主体可以要求信息利用者删除与其相关的信息。该权利雏形源于法国的遗忘权[23]。欧盟于2012年发布《一般数据保护条例（草案）》（GDPR），正式提出被遗忘权的概念，第17条规定了“被遗忘权”[24]，被遗忘权的行使不要求以信息不完整或者信息导致不合理的损害等后果为前提条件。当数据产业者或者第三方侵权人在二次利用中出现再识别特定身份主体的侵权事件时，此时信息主体的人格标识再次出现，信息主体可及时向相关数据从业者提出删除信息的请求，后者收到相关请求经核实后应及时删除。就相应主体责任而言，存在两种情形。第一种情形是相关数据从业者造成的身份再识别侵权事件。对信息利用行为的放松是为了促进数据流通，前提仍是要保证信息主体的信息利益。因此，数据从业者在利用信息的过程中应该尽到安全保障义务，在信息利用的过程中动态评估信息风险，一旦出现二次信息主体、损害信息主体利益的情形，就应该承担相应的违约或侵权责任。第二种情形是第三方主体利用相关技术进行二次识别。若因此侵权造成信息主体损害，第三方主体应该与数据从业者共同承担不真正连带责任。之所以课以数据从业者承担不真正连带责任，是为了平衡受害人和数据从业者的利益。从受害人角度而言，可以保证其得到充分的救济，因为数据从业者一般处于经济优势地位，有足够的赔付能力，且可以通过保险来转移其部分风险；从数据产业者角度而言，不能课以其承担过重的责任，其承担的责任应与义务相匹配，始作俑者是第三方主体，在数据产业者向受害人赔偿损失后，理应向第三方侵权人要求清偿。

5 结语

同意规定作为个人信息利用的正当性基础在于解决个人信息市场信息不对称性问题，核心是保障信息主体对自身信息的自主决定权，故在大规模信息利用的大数据时代，给予信息主体知情同意权作为个人信息的法权保障仍有必要。但大数据分析的运用，对信息具有更深层次的利用，信息的价值主要通过对信息的二次挖掘和分析彰显。在信息利用的过程中，不应对同意条款进行“全有或全无”方式的僵化适用，而应对同意规定采用分层机构类型化适用。初次利用阶段，个人信息基本保留其人格属性，应对这一阶段的个人信息严格保护，故有同意基础的适用空间，对个人信息区分敏感个人信息和一般个人信息，分别适用明示同意和默示同意。二次利用阶段，将初次收集的个人信息进行清洗、脱敏、建模、分析等生成的数据仅具有财产属性，无论从正当性角度还是从效率角度抑或从法律保护规则角度思辨，同意规定并不存在适用的空间。如此，对个人信息和数据分层保护，既可保护信息主体的信息利益，又可促进数据流通，保持数据的公开性，平衡自由、效率、公平、安全等各种价值，充分发挥相关利益和资源的制度配置功能。

（来稿时间：2017年11月）