童传宇

（安徽大学 法学院，安徽 合肥 230601）

在互联网经济和大数据产业高速发展的时代背景下，个人信息的价值不断上升，越来越多的信息收集者开始通过各种途径大规模地获取个人信息，充足的信息资源使得相关技术与行业得以快速发展，。是与此同时，信息收集者的收集方式缺乏规制，大量个人信息，甚至私密信息被轻易获取，公众的个人信息安全面临空前挑战。为了对此作出应对，各部门法不断就个人信息安全问题进行立法规制。但从2009年的《刑法修正案（七）》开始，到后续的《网络安全法》及相关个人信息保护规定，个人信息保护长期在公法领域被强调。2017年颁布的《民法总则》第111条，正式将“自然人的个人信息”作为民事权利（权益）予以法律保护，[1]2020颁布的《民法典人格权编》进一步对个人信息保护作出了共计六条的专门规定。

在个人信息从公法单一保护模式到公法-私法协同保护模式的发展进程中，个人信息主体的重要性不断提升，伴随着其民事权利（权益）的确立，自然人对本人个人信息的控制权得以明晰，信息收集者合法收集个人信息的方式被严格限定，这使得个人信息主体对信息收集行为作出“同意”的意思表示这一过程，变得尤为重要。

一、个人信息私法保护的必要性

个人信息主体针对一般信息收集行为具有是否“同意”的选择权的基础是其在私法领域享有受法律保护的个人信息权（益）。在已有刑事立法和相关行政法规加以规制的前提下，将个人信息单独作为人格权利（权益）加以保护是对理论与实践深入考量后得出的结论，是个人信息法律保护进程发展的必然趋势。《民法典》时代，对个人信息的私法保护日趋强化，厘清私法保护背后的必要逻辑，对于完善有关保护机制尤为必要。

（一）公法单一保护模式下，个人信息主体处于明显劣势地位

信息本身具有一定财产价值，从经济学角度而言，一般的信息收集可以被看做是个人信息主体以“提供个人信息”与信息收集者进行交易的过程。但是由于我国现阶段，公众整体对于个人信息安全的防护意识较为薄弱，个人信息的“效用”往往被个人信息主体低估甚至忽略。而互联网经济的一大特征为“边际效用递增性”，即用户越多，其收集信息的人均成本越低，而信息所能带来的收益却持续增加，这使得信息收集者伴随着收集信息的增多，其对“个人信息”的“偏好”不减反增。[2]事实也的确如此，苹果、Facebook、腾讯、阿里巴巴等掌握大量信息的企业，比起一般企业更热衷于收集用户信息，其热衷的对象既是更多的信息主体，也是更多的信息类型。在这一局面下，除非完全摈弃互联网经济形式，从公法层面上禁止全部或部分个人信息的流通，否则，个人信息主体的劣势地位，将导致个人信息“盲目”地流入信息收集者的数据库中。

而私法领域对“个人信息”通过设定权利（权益）的方式加以保护的行为，一方面有助于唤醒个人信息主体关于“信息安全”与“信息价值”沉睡了的“理性”，另一方面赋予了个人信息主体与信息收集者“对抗”和获得救济的权利。避免了单一公法保护模式下，利益相关者（个人信息主体）与权利主张者（公权力）不一致，从而导致侵害行为难以被有效规制的尴尬困境。

（二）国家机关对于个人信息的控制，需要有效的外部制约

目前我国的个人信息保护还未专门立法，《民法典》也仅进行了六条规定，而在这一背景下，《民法典》第1039条仍然用专条特别规定了国家机关和相关机构对履职过程中知悉的个人信息的保密义务。这说明国家机关对于个人信息的控制同样需要被警惕，而且已经引起了立法者的重视，而这也是个人信息需要在私法领域被保护的重要原因，

首先，在单一公法保护模式下，关于个人信息安全标准的确定实质上是作为公权力行使主体的政府和作为信息收集者的相关组织间的一场“双方博弈”，一方面，这场博弈的双方分别以社会公共利益（包括但不限于个人信息安全利益）和企业自身效益作为博弈的主要“收益”，并不关乎或尚未危机社会公共利益的个人信息利益在博弈中缺乏坚定的“支持者”，使得其难以得到应有保障，而这种个体利益缺失的积累，又终将引发足以威胁公共利益的信息安全危机。另一方面，在某些情境下，政府同样会成为信息收集者，这使得原有的“双方博弈”甚至有沦为“单方决策”的风险。因此，为更全面的维护个体的信息利益，这场博弈亟待引入新的“局中人”去打破现有困局。通过私法确权实现个人信息主体的参与，不仅如前所述，是对其在信息收集过程中劣势地位的一种支持，更是对其有效制约公权力的法理基础与救济途径的保障。

（三）传统的民法权利不足以涵盖个人信息利益

个人信息并非出现于信息时代，早在公元前3世纪，秦朝的户籍册中，就有对个人姓名、年龄、土地、身高、面貌信息的收集与记载，而现代社会关于身份证号码、电话号码、家庭住址、肖像、财产信息、病历资料等个人信息的收集行为也存在于信息时代来临之前。但是这些个人信息在传统的收集、处理模式下，利用方式非常有限，我国私法领域长期通过“姓名权”、“名誉权”、“肖像权”，尤其是“隐私权”在内的一系列其他人格权利来一定程度上保护与之相涉的“个人信息”的方式就足以满足个人信息保护的需要。[3]但随着信息技术的发展，个人信息的范围也已发生变化，远远超出了隐私信息的范围。[4]

大数据时代，对于“个人信息”的收集与利用途径的不断拓展，个人信息的范围已经被极大的扩张并且将继续扩张，如“淘宝”、“京东”等App已经早早地将自然人的浏览记录、交易历史、搜索历史等个人“爱好”信息收集整合并加以利用，定制“个性化”的购物界面；“滴滴出行”、“哈罗出行”等App也将用户的“行踪信息”加以收集处理，用以优化其平台服务；而对于“生物识别信息”的识别技术更是飞速发展，“指纹识别”、“人脸识别”已经非常成熟，而现有技术下，“体型信息”、“衣着信息”等视觉内容都已作为识别特定自然人的重要信息被加以收集，并在不远的将来可能被大规模应用。正是基于这一现状，《民法典》第1034条才对个人信息范围进行了列举加概括式的规定，其所保护的权利（权益）内容远远超出了传统民事权利涵盖的范围。

二、信息主体意思表示的作出方式与授权内容

在“个人信息”作为被私法权利（权益）被保护的基础上，获得个人信息主体的许可授权，成为信息收集者获取信息的主要途径。《民法典》1035条规定了处理个人信息的合法、正当、必要三大原则，并明确将自然人的同意作为一般情况下处理信息的前提。《消费者权益保护法》第29条、《网络安全法》第41条、《网络侵权司法解释》第12条等法律规范中，都将“同意”作为收集个人信息的前提加以规定，又由于当今市场中收集的个人信息大多是通过大数据技术乃至人工智能技术加以处理应用的，这意味着个人信息的收集对象通常都是不特定多数的自然人，因而通过“使用即同意”的格式条款取得概括性授权成为近一段时期内信息收集者获取个人信息主体“同意”的主要方式。但是无论从事实抑或法律层面来看，“个人信息”的类型与“同意”的意思表示类型都是多样的，如不对此加以具体划分，那么单一的许可或禁止通过某种“同意”获取个人信息的模式都无法兼顾到信息的安全价值与流通价值，因而在特定情形下，对信息类型与“同意”的方式进行划分尤为必要。

生态清洁小流域建设。远、中山及人口稀少地区主要采取生态移民、封禁治理和政策保障措施，提高水土保持能力；中、低山及人类活动频繁地区主要采取林草植被、小型水利水保工程、生态农业、面源污染防治、污水和垃圾处理等措施，提高水源涵养能力；河（沟）道两侧及库湖周边地区主要采取沟道工程、河道综合整治、植物缓冲过滤带建设等措施，提高水质净化能力。

（一）概括性授权的安全风险

李彦宏在中国发展高层论坛上认为消费者一般愿意用信息换取服务。[5]事实上这种换取往往是通过格式条款“使用即同意”的概括性授权完成的，在这种模式之下，等于是逼迫消费者在保留个人信息与接受服务之间做出取舍，信息风险往往是不确定的、长期的，而服务的效用却是可见的、即时的，在大众信息安全意识相对薄弱的社会环境下，用户决策的天平本就时常偏向“用信息换取服务”一方，加之相关协议往往冗长繁杂、缺乏提示的特征，大部分用户都开始习惯于放弃阅读协议，“盲目”授权，这使得个人信息面临着被任意收集、利用甚至公开的巨大安全风险。

（二）“同意”意思表示作出的方式

《民法典》第140条规定：“行为人可以明示或者默示作出意思表示。沉默只有在有法律规定、当事人约定或者符合当事人之间的交易习惯时，才可以视为意思表示”；《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《保护指南》）第5.2.3条中明确规定：处理个人信息前要征得个人信息主体的同意，包括“默许同意”或“明示同意”；《信息安全技术个人信息安全规范》（以下简称《安全规范》）规定，对于一般的个人信息收集仅在特殊情况下要求明示同意；而针对敏感信息必须得到明示同意，并将作出声明（电子或纸质形式）、主动勾选、主动点击“同意”“注册”“发送”“拨打”等行为认定为“明示同意”的方式。

从上述法律法规和技术性规范中可以看出，我国立法关于个人信息主体的“同意”方式主要采用了“明示同意”和“默许同意”两种，“沉默”的授权方式无论从立法意图还是规制救济的角度而言，都不宜作为收集个人信息时，作出“同意”意思表示的方式。[6]而明示或默许都建立在个人信息主体对收集行为知情的基础上，即便是就默许同意而言，其在知悉收集意图之后，也可以做出反对的意思表示。

（三）“同意”意思表示的授权内容

就意思表示的作出的授权内容，即对何种信息加以授权而言，首先要严格限制概括性授权的适用，应就需要授权获取的个人信息类型加以分类。

《民法典》1034条以是否涉及隐私权为标准将个人信息划分为“私密信息”与“一般个人信息”，前者被纳入隐私权的保护范畴，但事实上除却私密信息之外的个人信息也不能简单地一概而论。《保护指南》和《安全规范》以信息的泄露、修改或滥用后可能造成的危害程度为标准，将其划分“敏感信息”与“一般信息”。有学者通过对司法实践研究，根据信息内容将其划分为“区分性信息”、“联络性信息”和“关联性信息”三类。[7]也有学者根据个人信息主体所需“考量”的程度，将其划分为“一般信息”、“一般考量信息”、“特别考量信息”、“默认禁止收集信息”。[8]对个人信息的不同划分，实质上都是为了充分考虑个人信息承载的“防御性利益”。[3]

从防御的视角着眼，首先可以将信息划分为授权收集行为与无授权收集行为，前者即通过应用软件、恶意插件、Cookie技术和传感设备等途径直接收集个人信息，或者通过黑客技术入侵数据库，间接收集个人信息的行为。其次可以将信息划分为涉密信息、敏感信息和一般信息，涉密信息即根据当时的法律法规、公序良俗一般不应当允许信息收集者（至少是非官方信息收集者）收集的信息，比如基因信息、通讯内容等，敏感信息即泄露或非法利用后可能给个人信息主体带来较大损害或困扰，甚至侵犯隐私权等其他权利的信息；其余信息认定为一般信息，当然，随着社会因素，与法律因素的变迁，该标准将始终处于动态变化之中。最后可以将信息划分为必要信息和非必要信息，前者即提供某网络服务基础功能所必需收集个人信息，如出行软件对位置信息的收集，健康软件对身体健康信息的收集；其余信息则归入后者，相关服务的提供者不能以未授权“非必要信息”而拒绝提供服务。

三、建立“信息分类—分别授权”机制

（一）严打无授权收集行为

《民法典》首先强调的就是包括收集在内的个人信息处理行为的合法性。无授权的收集行为，是无视法律规定，对个人信息安全最直接的冲击与破坏，如对此类问题不加以有效规制，任何信息安全和授权制度都无从谈起。

1.明确相关行为人的刑事责任

参与无授权收集行为的行为人，因其行为的危害性与恶劣性，在其承担民法侵权责任和行政责任的基础上，还因严明其刑事责任的承担。其行为符合“侵犯公民个人信息罪”等罪名构成要件的，依法追求刑事责任。严明刑事责任的目的既在于救济既有损害，也在于增加监管部门的查处力度与相关责任人的违法成本，从而降低个人信息被非法获取的安全风险。

2.健全信息管理行业安全标准，审查从业资质

事实上，腾讯、阿里等大型信息收集者的信息安全较有保障，也比较容易受到规制，但诸多中小企业也在信息时代发展的大趋势下，涌入信息行业，他们可能无意于非法收集或泄露个人信息，但他们使用的许多数据库的安全标准却达不到应有要求。在当前信息安全意识淡薄、直接收集信息成本低廉的大环境下，一则，间接收集个人信息即盗窃其它信息收集者信息的动机较小；再则，该类情况也未被有效监管，公诸于众。故而相关问题尚未凸显，但随着个人信息安全机制的不断健全，必将有着越来越多的诱因使得一些非法收集者对这些安保薄弱的数据库出手。因此，信息管理者必须给予个人信息，尤其是敏感信息更充分的保护，这就有赖于健全信息管理行业安全标准，对于自身数据库达不到安全标准的信息收集者，要求其委托具有相关资质的第三方管理数据信息。换言之，有足够的能力维护信息安全，是其成为信息收集者的前提条件。当然，对此类信息代管机构必须制定严格的行业标准，避免其监守自盗甚至买卖信息。

（二）结合相关法律保护私密信息

《民法典》第1034条规定将私密信息划入了隐私权的保护范畴。正当性原则的具体内涵，必然要求被收集的个人信息是适合被收集也应当被收集的。根据特定时代的法律背景与社会背景，必然存在一部分个人信息是不宜在信息主体间流通的，比如基因信息、通讯内容、社会关系等。该类信息在一般情况下应当置于信息收集者的收集权限之外。当行为人违反这一规定时，因该类信息的特殊性，所侵犯的权益往往不限于个人信息利益，隐私权等人格权利、公序良俗等都可能被一并侵犯，因此对该类信息的保护需要紧密结合相关法律，避免该类信息被部分信息收集者获取，给个人和社会造成无可估量的影响。

（三）公私法结合规制“必要—敏感”交叉信息授权问题

在《民法典》虽然明确地规定了必要原则，但对于必要性的理解却存在多个维度的不确定性。只有对其进行更细化的理解，才能满足实践操作的客观需要。由于前两种特殊情况不适用个人信息主体意思表示“同意”规则，因而关于个人信息的分别授权模式主要适用于“非必要的敏感信息”、“必要的敏感信息”、“非必要的一般信息”、“的一必要般信息”四类个人信息，并基于各自特点予以分别规制。

1.“非必要的敏感信息”应在一般情况下默认禁止收集

敏感信息被收集的本身就意味着个人信息主体在一定程度上，面临着该“防御性权利”受损的风险，在不必要的情形下提供该类信息，对一个人“厌恶风险”的自然人而言并不理智，法律应对该情形设定更严格的授权，默认禁止的授权方式使得该权利不会因个人信息主体的疏忽大意或对冗杂条款的厌恶而予以授权，置敏感信息于危险之中。但是“敏感信息”的重要性并未达到不能收集的程度，法律也不要求个人信息主体必须具有“厌恶风险”的特征，个人信息主体当然可以了热衷于“服务品质”或选择信任信息收集者。因此在其知情权得到充分保障的前提下，其当然可以选择通过手动取消默认禁止加以授权，享受个性化服务。有学者主张，对于非必要信息应当禁止收集，以更好的保护个人信息安全。[8]但从另一角度来看，必要信息的范围需要根据具体社会因素加以规定，在已有相当数量用户已经习惯了某系“个性化”服务的背景下，如果对非必要信息加以严格禁止，必然使得必要信息的涵盖范围不断扩张，反而导致通过划分必要信息与非必要信息保障信息安全的根本目的落空。因此，应为个人信息主体保留授权非必要信息服务的选择权，但对于此类服务，在公法层面应严格审查，避免出现本无必要的服务通过引诱、误导的方式恶意获取相关信息。

2.“必要的敏感信息”与“非必要的一般信息”应明示授权、单独授权

一方面，这两种信息类型的授权标准较为相似，实际上都是在对“非必要敏感信息”授权标准在不同层面的适度放宽，但通过明示授权、各类信息单独授权的形式保证个人信息主体的充分知情权仍十分必要，同时对此类信息，信息收集着也必须尽到必要的提醒义务。授权协议应当简明易读，可以通过简要叙述或提供权限图表、风险清单等方式完成，监管者对其协议形式和取得授权的过程应予以评估和审查。另一方面，根据各自的信息特性，这两类授权的偏重也有存有差异。“非必要的一般信息”的授权更倾向于尊重个人信息主体的意思表示，因为附着在该类信息上的“防御性权利”相对较小，且其信息数量庞大，严格限制不利于用户享受多样化的服务，也给监管带来巨大成本，因在私法领域加强规制，落实责任，完善救济，充分保障个人信息主体意思自治。

而“必要的敏感信息”则有所不同，更应强调公法对其的规制作用。面对此类服务，用户往往必须将敏感信息提供给信息收集者，用户的意思自治在一定程度上受到该服务效用大小的限制，如该服务对于用户的工作生活不可或缺，那么个人信息主体就很难通过意思自治规避风险。此时公权力就应当更加主动的介入其中，对该服务的内容与收集信息方式严格把控，以守住“信息安全价值”与“信息流通价值”的博弈中，个人信息安全一方的底线。

3.“必要的一般信息”可以采用统一授权、默示授权

此类信息是互联网服务中最常见的信息类型，在兼顾“信息安全价值”和“信息流通价值”的过程中，对其授权标准的适当放宽是十分必要的，但即便如此，信息收集者仍不能免除告知义务，侵害个人信息主体的知情权，即便是默示授权，也应即时将授权信息告知个人信息主体，并其为提供便捷的途径作出“反对”的意思表示。在实践中，当该类信息收集者侵犯相关个人信息主体权利时，就个体而言造成的损害非常有限且较难量化，公、私法领域对该类侵权行为的规制都缺乏动力。但是由于起侵权对象较多，所以类似于《消费者权益保护法》中惩罚性赔偿的激励措施可能会引起“诉讼爆炸”等情况的出现，不宜适用。所以，可以考虑将对此类信息及前几类信息的侵权行为的规制与“公益诉讼”制度衔接，引入相关社会组织乃至检察机关参与救济，尽可能的保护本就处于弱势一方的个人信息主体的合法权益。

信息时代给社会带来了巨大变化，但这种变化是开始而非终止，是趋势而非结果。《民法典》时代同样将个人信息保护立法推向了一个新的阶段。对于信息领域的立法不仅要着眼于过去和当下，更要在一定程度上预见该规制对象未来的发展态势，据此设计的法律制度才具有生命力。本文基于个人信息类型繁多，且不断变化的特征，从个人信息主体意思表示的视角，结合公、私法领域，对个人信息在收集阶段的制度设计提出了一些建议。但基于篇幅所限，对信息收集后的处理规制，信息授权后的撤回问题，分类授权制度的例外规定包括政府作为信息收集主体情形下的规制问题等未做进一步讨论，留待后续研究。