大数据背景下“数据控制者信息权”权益定位
——以《民法典》个人信息权为视阈
2022-01-01陈志慧王小萍
陈志慧, 王小萍
(1.太原市公安局,山西 太原 030030; 2.山西财经大学 法学院,山西 太原 030006)
《中华人民共和国民法典》(以下简称《民法典》)是我国第一部以“典”命名的基础性法律,在我国法律体系中起着举足轻重的作用。《民法典》明确了个人信息保护的法益为个人信息权,个人信息权的确立依然是以信息自然人主体对信息的控制权为主,具有人身附属性。本文主要探讨大数据背景下批量信息背后对数据收集企业的权益保护。首先,笔者认可少量信息保护的法益为个人信息权。然而对于批量信息,个人信息权则无法平衡个人自由与信息安全之间的矛盾冲突。大数据时代背景下,批量信息是个人信息的集合,是脱离人身附属性的一种新型财产性权益。对批量信息的侵犯必然会损害信息收集企业对合法占有的信息在市场经济秩序中自由流转的安全,亦即对公共性利益的侵犯。然而将公共性利益这一抽象法益作为刑法保护的对象,丧失了法益对犯罪构成要件的解释功能。因此,需要对个人信息权进行重新解读,将数据控制者信息权纳入刑法规制范围,亦即个人信息权包含数据主体信息权和数据控制者信息权。数据控制者信息权是企业在合法收集批量信息的前提下享有对数据的转让、加工、流转、共享等权益。数据主体信息权即信息自然人主体对信息的控制权。
一、国内外立法背景下个人信息权的确立
我国对于个人信息的保护是在国际立法的背景下结合我国实际立法需求,并顺应大数据时代下个人信息商业化中逐步完善和更进的。个人信息保护模式已渐渐由个人隐私权转向信息权,个人信息权已经成为民法所保护的法益,是在大数据时代背景下独立的、全新的权利。
(一)欧美个人信息保护的立法渊源
1973年美国制定的《隐私法》成为个人信息保护的立法源头,美国学者将隐私权解释为“免受外界打扰的、独处的权利”,意在防范公共部门对于隐私权的侵害,将个人信息保护建立在人格自由的宪法权利之下,个人有免受他人打扰的权利。欧盟国家并未采用个人隐私概念,而是以从个人信息衍生的个人数据作为保护对象。欧洲委员会《个人数据自动处理中个人保护公约》明确宣布将个人数据置于保护公民人权的法律框架之下,将个人隐私和自由安全作为保护的基础。在大数据背景下个人信息与人格权分离,逐渐由隐私权向保护权转变,进而提出个人对于信息控制的信息权,其内涵不仅包括不容许他人对个人隐私的侵犯,还包括其他数据主体不得随意转让、出售等权利。欧洲的《联邦个人数据保护法》《个人数据指令》都将个人信息权作为保护法益,是基于人格尊严确立的个人信息不受侵犯的权利。2018年5月25日生效的《一般数据保护条例》(GDPR)保护数据主体的权利,加强和规范了信息主体“同意”原则,内容包含从信息自决权至信息被遗忘权,明确了信息权的内涵和外延。欧美国家对个人信息的权属界定随着个人信息数据化时代的到来,逐渐从个人隐私和自由权向个人信息控制权转变。
(二)我国个人信息保护的立法渊源
“我国个人信息保护是建立在宪法规定的公民基本权利基础上,是履行国家尊重和保障人权的基本义务,保护公民的人格尊严、人身自由的权利。”[1]我国颁布的《关于加强网络信息保护的决定》和《关于依法惩处侵害公民个人信息犯罪活动的通知》中关于信息的认定依然是建立在隐私权基础上对公民身份识别的信息。随着《网络安全法》的出台,个人信息的外延进行了扩张,将“可识别性”作为判断个人信息的标准,“可识别性”强调的是结果性特征,而个人隐私强调权利属性,个人信息的认定标准不再将个人隐私特征单独加以规定,而将个人信息扩张到具有身份的可识别性”[2],冲破了人格权的界限,具有了社会属性。大数据背景下个人数据的流通、共享使得个人信息超越人格权具有了公共性和社会性,个人信息的侵犯带来了严重的社会危害性,信息保护和控制成为权属的重点,亦即信息权成为网络时代超越隐私权的一种新型权利。2017年公布的《个人信息保护法(草案)》第十一条明确规定了个人信息权:“自然人的个人信息权包括信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘,依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利。”公民个人信息在隐私权和人格权的基础上,“为了适应数据收集和利用的需要,日益突破其人格权的消极防御性质,而赋予其积极的自决权利”[3],亦即个人信息权属从隐私权转向了控制权。
《民法典》中关于个人信息的保护已然吸收了国内外立法经验,冲破了个人隐私权和人格权的人身附属性,赋予其新的权属——个人信息权。《民法典》第一千零三十四条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”对个人信息的概念基本沿用了《网络安全法》的规定,赋予了信息自然人主体决定、删除、更正、保密等信息权,亦即个人信息权。
二、 数据控制者信息权入刑必要性分析
在国内外立法背景下,《民法典》中个人信息权是在民法所调整的社会关系下制定的,重在强调对个人信息的保护。而在刑法规制范围内,信息保护要从社会整体评价入手,不能忽视大数据背景下批量信息背后公共性法益的保护。
(一)数据控制者对信息享有占有权
1.批量信息商业化
大数据时代背景下,数据控制者利用网络对海量个人信息进行收集和整理,并经过二次开发生成具有市场价值的商业资料,是个人信息的实际控制者。“数据控制者对海量信息的收集、存储和开发处理为自身发展而对用户进行精细分析发掘其商业价值外,也会出于商业合作而对外转移和出售。”[4]可见在大数据时代,数据控制者对于海量的个人信息的控制权已大于数据主体的权利,数据主体与个人信息的分离导致个人信息权与数据控制者之间的矛盾日益凸显。“个人信息商品化区别于人格权,不再是关于人的价值权利,而是一种人格物化后付诸商业使用的权利”[5],数据控制者在批量收集大量信息经过二次加工处理后享有对信息商业价值使用权,赋予了其脱离数据主体的财产权益。因此,在个人信息商业化的背景下,数据控制者在合法的前提下享有对数据的处理、转让、加工、流转、共享等信息权。
2.数据控制者对其合法收集的信息享有占有权
大数据背景下批量的个人信息具有了商业价值,事实上已经发挥出维护数据主体财产利益的功能,显现出一种新型的“财产权”。然而在缺乏立法支撑的前提下数据控制者是否享有所有权存在争议。有人认为正是在大数据背景下数据的流通和共享才挖掘出数据的价值,因此具有商业价值的数据归数据控制者所有。“在信息财产权爆发的时代,信息财产权作为一种新型财产权益,企业对其所有的信息具有了完全的控制权和排他权,享有财产的所有权,对财产的保护只是为了挖掘更多高质量的信息。”[6]笔者认为这种观点忽视了数据主体的人身附属性和同意原则。姬蕾蕾认为“个人信息具有精神和物质两个层面的价值。精神价值的法哲学基础在于人格论,物质价值的法哲学基础在于劳动所创造的财富权利,根据人权理论,个人天然对记载自身信息的数据享有所有权”[7]。《民法典》个人信息保护的相关法条也印证了数据控制者在行使转让、共享等权利时需经过数据主体的同意,“知情同意原则本身就是权利人对其个人信息独占性支配权的体现,个人信息的权利不可能完全转让,数据控制者不能随意共享个人信息”[8]。因此数据控制者在个人信息商业化背景下享有新型财产权的占有权,其在行使权利的过程中需要受到前置法的约束和知情同意原则的限制。
(二)数据主体信息权与数据控制者信息权关系的厘清
周斯佳认为,“数据主体信息权和数据控制者信息权在逻辑上是交叉关系,也可以看作是内容和形式的关系”[9],这一论述是以个人资料为背景,将不具备识别身份的个人信息囊括在内,得出数据主体信息不必然包含数据控制者信息的论断。本文是在刑法规制下探讨个人信息保护,所以个人信息应限制在具备识别身份的前提之下,具备刑法法益保护的必要性。首先,在刑法规制下数据主体信息权与数据控制者信息权在内容上是内涵和外延的关系,数据主体的信息在内容上天然包含数据控制者的信息,两者之间是包含关系。当刑法将数据主体的个人信息权作为保护的对象,数据控制者的信息权也当然属于刑法规制的范围,这是犯罪客体在法益保护内容上运用逻辑学加以佐证的关系。其次,在信息商业化的浪潮中,数据控制者享有的是新型财产权,而数据主体对信息享有的是人格权。虽然数据控制者在大数据时代下收集的大量信息所产生的财产资源与信息主体是分离的,但在内容上却不能脱离人格权的附属,因为信息是天然生成的,数据控制者收集的信息仍以个人信息为基础。再次,侵犯公民个人信息罪的《司法解释》中个人信息的概念与《民法典》不同,《司法解释》在此基础上增加了具有财产属性的“账号密码和财产状况”,亦即刑法规制下将数据控制者的财产权包含在内,将财产性权益作为其保护的对象,因此刑法规制下的个人信息保护应包含具有财产属性的数据控制者信息权。
总之,数据控制者收集的批量信息具有了新型财产权利,已囊括在刑法规制范围内。但是海量信息是个人信息的集合,其在内容上依然以具有人格权的个人信息为基础,其外延小于个人信息,两者在内容上是包含关系。
(三)数据控制者信息权入刑必要性
随着网络和科技的发展,大数据时代以用户为中心建立起来的信息流成为当今社会重要的社会资源,数据控制者收集的大量信息在网络世界进行流转和共享时创设了一个虚拟的真实世界,在对信息进行转让、处理、共享时必须在市场经济秩序的调整下进行。网络世界的开创在给人们带来便利的同时也带来了巨大的风险和威胁。因此,数据控制者在行使权利的过程中必然受到国家法律的制约,因而具有了对社会管理公共性法益的威胁。“在侵犯个人信息罪产业链的背景下个人信息的法益已经不再局限于个人,而是其背后关乎国家和社会的公共利益,突破了法条表面规定的局限。”[10]从刑事立法的角度分析,近年来随着网络的发展,侵犯公民个人信息的犯罪日益增长,并由此滋长了电信诈骗等一系列犯罪,严重影响了人民安全和社会稳定。于是突破了“先民后刑”的立法规则,增设了侵犯公民个人信息罪,意在保护信息安全和国家社会管理秩序,而不仅仅是保护隐私和自由的人格权。“法益的整体应当是法益承载的内容+法益的刑法评价,只有经过刑法的整体评价,才具有刑法保护的价值”[11],因此在对数据控制者信息权的分析不能陷入字面解释的旋涡,而应从刑法整体评价入手认定具有社会公共性。笔者上述论证并不是印证刑法规制下个人信息保护的法益是社会管理秩序。虽然现今刑事立法对风险刑法理论产生严重依赖,但是风险刑法理论产生的预防性刑法导致法益抽象化和模糊化,其落脚点是风险的防控而不是法益的救济,有违刑法谦抑性原则。笔者认为侵犯公民个人信息罪保护的法益应包含具有公共性法益的数据控制者信息权,而信息权与信息安全、社会管理秩序等公共性法益之间的关系将在下文进行详细论述。
保护人身自由的数据主体信息权与以社会公共性利益作为法益的数据控制者信息权之间的利益相冲突时,需要寻求一种解决冲突的权衡路径。商希雪认为“基于《欧盟一般数据保护条例》框架下在个人利益和公共利益博弈之间,在数据权益位阶上得出,国家和社会公共利益大于个人数据主体权益和自由”[12]。因此个人信息权要让位于在合法性利益基础上的公共性权益,在法益位阶上国家和社会的公共利益要大于个人利益,所以数据控制者信息权应属于刑法规制的范畴。
概言之,在大数据时代背景下,海量个人信息具有了商业价值被数据控制者合法占有,在合目的性法益下收集的个人信息具有了脱离人格权而成为一种具有社会属性的新型财产性权益,即数据控制者信息权。数据控制者在对信息进行流转和共享的商业活动中必然要在市场经济秩序的调整下进行,对市场经济秩序的威胁和破坏必然要受到刑法的规制,因而具备了保护公共性法益的前提,在法益位阶上个人利益必须让位于公共利益。因此,侵害数据控制者信息权就有了入刑的必要性。
三、化解法益冲突的应然路径——数据控制者信息权
从上述对数据控制者信息权入刑必要性分析中可以看出,批量信息数据控制者信息权是建立在个人信息权基础之上,在与信息自然人主体弱化分离的情况下,具备了保护信息安全和社会管理秩序这一公共性法益的功能。数据控制者信息权纳入刑法规制范围,使得公共法益有了实害危险性,能够化解个人自由与信息安全之间的权益矛盾冲突。下文将对冲突化解的应然路径进行解释。
(一)法益冲突的刑法解释路径
学界对于本罪法益权属的争议一直不断,主要有“个人法益说”和“超个人法益说”两种。支持“个人法益说”观点的人认为,侵犯公民个人信息罪的法益依然建立在人格权基础之上。同时指出“超个人法益说”的观点“抛弃以经验性把握并有助于解释法律保护对象的法益于不顾,无法发挥犯罪构成要件解释机能的作用,忽视了法益在构成要件当中的作用,摒弃了以实害和具体危险为构成要件基础的陈述”[13]。“超个人法益说”则认为,随着信息网络的发展,特别是大数据背景下个人信息已然脱离了人格权而具有了社会属性,“使得隐私权等学说出现了难以解释现实的尴尬,于是能够解释现实、规范现实的个人信息权理论就具有了现实意义”[14]。个人信息权是一种新型的权利学说,兼具了人格利益与社会财产利益的综合保护。坚持“超个人法益说”的人意识到“个人法益说”依然是建立在隐私权基础之上,无法解释大数据时代背景下大量个人信息的集体法益所具有的公共性。而且“个人法益权说”以知情同意原则为基础,数据主体的强同意不利于信息的流通,增加了信息成本,阻碍了经济的发展。“公民个人信息不仅关系个人的隐私和安全自由,更关乎社会公共利益和国家安全,需要从社会和国家的角度进行分析和解释。”[15]因此,在大数据时代背景下公民个人信息已不再局限于“个人”,取而代之的是个人法益背后的公共安全。
“超个人法益说”是以风险刑法理论为基础,将预防刑法提至实质危害出现之前,以社会风险和公共安全作为防范标准。“预防刑法通过增设抽象危险犯从而对危险实害进行控制,致使我国二元制裁结构受到冲击”[16],在司法实践过程中由于法益的模糊和抽象而难以把握入罪边界,丧失了法益对刑法边界和具体罪名的解释功能,有违法益保护原则之嫌。“超个人法益说”与“个人法益说”争议焦点在于将侵犯公民个人信息罪的法益认定为公共性法益,无法在刑法路径上与人格权作出应然解释,亦即对于公共安全风险的损害不必然造成对公民个人信息的侵害,彼此之间没有高度盖然性,也无法化解安全和自由之间的权利冲突。已有学者发现了彼此之间无法化解的矛盾,敬力嘉提出信息专有权的概念,意在安全和自由之间“寻找可行路径为本罪构建出能够间接保护宪法法益、公民个体享有的信息自决权,而且具备实质内涵的信息权类型,作为本罪保护的刑事集体法益,立足于本罪法益应有的个人属性,妥善评价侵犯公民个人信息危害后果的公共性”[17]。这似乎是在自由和安全法益冲突之间寻找合理的刑法解释路径,但是并没有解决自然犯和法定犯之间的法益矛盾,是一种变相“超个人法益说”。
解决上述学说冲突,需要将数据控制者信息权的实质危害纳入刑法的规制范畴,厘清数据主体信息权与数据控制者信息权、人身自由与信息安全之间的关系,才能在自由与安全、风险与实害之间寻找可行性路径。
(二) 数据控制者信息权权益分析
1.法益视角下数据主体信息权与数据控制者信息权的关系
上文已经从内容的角度论述了数据主体信息权与数据控制者信息权之间的关系是包含关系。从法益的角度分析,数据控制者的法益除了具有人格权属性之外,还涵盖社会管理秩序、公共安全等公共性法益。因此,数据控制者的信息权外延大于数据主体信息权,数据控制者信息权的法益包含数据主体信息权的法益,他们之间也是包含关系,综合看两者之间是占有和所有的关系。(1)厘清关系能够为二者之间未重合的公共信息提供刑法规制的理论依据。公共信息基于信息个体的同意而被排除在刑法的处罚范围外,导致非法获取、提供公共信息行为泛滥而不符合社会效果和人民预期。而将数据控制者合法占有的公共信息的控制和处置权规制在刑法保护的法益范围内,能够有效打击非法获取公共信息的行为,维护社会秩序进而规范刑法的处罚范围,不致过度限缩导致处罚不均的现象出现。(2)厘清关系能够明晰公共性法益的边界。从法益上看数据控制者的信息权似乎扩大了处罚范围,但是内容上数据控制者的信息权依然依赖人格权基础上个人信息的集合,并未扩大处罚范围。而且将数据控制者信息权纳入刑法规制范围,更符合法益整体评价性。公共性利益是一种价值,不是法益。将其作为侵犯公民个人信息罪的法益,因过度介入社会管理秩序中导致抽象的公共性利益模糊处罚边界而失去解释功能。然而,对于数据控制者信息权的确认使得公共性法益的侵犯行为具有了实害性和具体的危险性,能够明晰公共性法益的处罚边界,避免了自由与安全、风险与实害之间的权益冲突。
2.数据控制者信息权内部权益辨析
数据控制者信息权是人格权和公共性权益的集合,二者之间的关系并不是相斥或者是冲突的。在信息化时代,数据信息成为一种生产资料被数据控制者合法占有并赋予其处分权。但是信息的财产属性并不等同于财物能随意转让和出售,不能否认信息主体的所有权,不能忽视信息权是建立在人格权基础之上的,其人身附属性只是弱化而不是消失。因此,个人信息权受到法律和知情同意原则的限制,需要在合法授权的情况下行使。大数据环境下,数据多方主体控制着大量的信息背后是个人法益的集合,反映的是集体法益和公共性利益。信息交易秩序的自由和信息安全的保护是由国家和法律来维护的,对于批量信息的侵害必然破坏社会公共秩序和威胁信息安全,甚至国家安全。人格权与公共性利益之间在数据控制者信息权内部的关系不能简单形容为包含关系,也不是法益的位阶关系,而是一种内容和形式的关系,二者在刑法规制的范围内法益侵害性是重合的。亦即对数据控制者信息权的侵犯,内容上是个人隐私和人格的侵犯,形式上则反映出对社会管理秩序、国家安全等公共性利益的威胁。因此将数据控制者信息权的实害性或实质危险性置于刑法规制范围内,能够在刑法解释路径上解决风险理论所带来的困惑,能清晰确定公共性法益的边界。
3.数据控制者信息自决权之否定
有学者认为“基于刑法谦抑性理论基础之上,需要在独立权益的信息权上进一步明确为信息自决权,因为信息权是一种宽泛的权利,其法益边界较为模糊和抽象,不利于法益的确定。个人信息自决权是信息权的核心,侵犯这项权利实质是对个人自由权利的侵犯”[18]。笔者认为信息自决权理论太过绝对,依然以自由为权利核心,忽视了批量信息的社会属性。数据控制者的权益为信息权,理由如下:首先,信息自决理论以自决为核心,强调个人的同意原则,不利于信息的共享和流转,知情同意原则在大数据背景下对于数据控制者收集用户的个人信息不易操作,致使该原则形同虚设;其次,信息自决权理论依然以人格权为核心,将个人信息的自由和安全置于首位,忽视了大数据背景下海量信息的财产属性,无法对具有商业价值的信息进行区别化保护;再次,信息权理论符合刑民一体化标准和法秩序统一原理,《民法典》已经将个人信息权作为法益的保护对象,并未将信息自决权作为独立的法益进行罗列,信息自决权有违刑民一体化原则;最后,信息自决权理论缩小了处罚范围,如果将法益限制在自决权概念之上将会限缩刑法的处罚边界,对于公开信息的处罚缺失理论支持,也不符合刑事立法精神。
四、“集体同意”理论的规范结构
(一)“集体同意”理论提出的必要性
知情同意原则是指数据控制者在向数据主体履行了告知义务,在明确获得数据主体同意和授权的情况下才能收集和使用信息。知情同意制度的制定影响了数据的流通和自由,然而在大数据时代背景下,面对批量的信息知情同意制度也逐渐暴露其问题,“在以自决权为核心的同意制度实现过程中,过高的体系性地位将同意奉行为数据保护的核心,带来数据流通效率和信息自由的问题”[19],使得告知形同虚设,数据主体的同意难以实现。于是“弱同意”制度和“情景脉络”模式出现,意在通过弱化数据主体的自决权试图在同意原则和信息流转之间寻找刑法解释路径,进而平衡彼此间的利益冲突。也有学者提出“面对海量数据处理的需要和中间流转主体的多元性,难以一一征得权利人的同意,数据控制者的行为是否合法不再取决于数据主体的同意,而是取决于该信息的性质和用途,以及是否属于风险的可接受范围内”[3]60,然而这种理论却存在推定之嫌,违背了无罪推定理论和责任主义原则。
在此笔者提出“集体同意”理论,其内涵是批量信息流转共享过程中无需征得每个数据主体的同意,而是将个人同意的集合整合成数据控制者的概括同意。在网络信息快速流转的时代,一般个人信息的人身附属性逐渐弱化,甚至与个体分离。企业在收集海量个人信息时,用户为了获得服务让渡了自己一部分的信息权,致使一些个人信息不再属于可能影响用户安全的敏感信息,从而使得用户面对这些信息时自决权弱化。然而这些弱化人身附属性的个人信息对于企业来说却具有巨大的市场价值和财产价值。于是面对海量的个人信息,个体的同意逐渐弱化而信息收集主体的自决权变得越来越重要。“集体同意”理论的核心是数据控制者信息自决权的履行。例如公开信息是否应置于刑法的规制范围内一直是理论界争论的焦点,有学者认为公开信息已获得数据主体的同意,故而是合法的,不构成犯罪。这种理论忽视了大数据环境下,信息和人格权的分离致使部分公开信息也具备识别个人身份的功能,存在侵犯公民个人信息的风险和实害,导致处罚范围的过度限缩。同时,公开信息的获取行为合法化之后会导致网络秩序的混乱,获取公开信息进行售卖获取利益的行为泛滥,俨然不符合人民的预期。而“集体同意”理论则无需过度依赖个人同意,以数据控制者的意志为中心,当获取公开信息的行为没有经过数据控制者同意时,依然可能构成犯罪。
(二)“集体同意”理论的实质性分析
“集体同意”理论并不意味着数据控制主体对任何信息均能概括同意,也不是任何处理行为均是合法的,“集体同意”理论的行使需要受到限制,要进行实质性分析。一是敏感信息应排除在外。尽管随着大数据的到来,人格权与个体趋于分离状态,但是敏感信息与个体附属性依然很紧密,不能用集体概念概括,这样可能威胁到个人的自由和安全。如何区分敏感信息则需要从人身安全和财产安全两个维度考虑,比如账号密码、账户信息、轨迹信息等均属于敏感信息。二是合同规制数据控制者的权利行使。在我国关于个人信息保护的相关法律缺失的情况下,信息收集企业与用户之间是基于合同建立的信赖机制。对于提供和获取行为是否合法的认定,只需要看其行为是否违反合同的约定即可。因此我国需尽快出台个人信息保护法并明确数据控制主体的权利和义务,进而明晰“集体同意”的界限。三是“集体同意”理论的核心是数据控制者信息自决权。笔者提出“集体同意”理论是基于上述数据控制者信息权的基础之上,现行法律对于个人信息的保护都在强调人格权益位阶至上理论,笔者并不是否定人格权的地位,而是由于忽略了数据控制者合法占有信息的权利,导致处罚范围过度限缩进而不能达到遏制利用信息实施犯罪的行为,也不符合刑事立法的宗旨。而数据控制者信息自决权重在强调批量信息收集主体对信息的控制和支配权,进而净化网络环境,保障信息流转的自由和安全,促进经济的发展。
五、 结语
大数据时代背景下,民法调整的范围主要是以个人为主,而刑法规制下的法益保护则需要从社会的整体评价入手。因此,刑法需将批量信息在市场中自由流转和共享的秩序安全和数据收集企业的合法权益保护纳入调整范围。数据控制者信息权的提出是以人格权为基础建立的,意在调整自由和安全之间的法益冲突。在司法实践过程中,面对批量信息的侵害时应更多考虑数据控制者信息权的维护,弱化信息主体的强同意,而把信息集合的“集体同意”作为化解法益冲突的解释路径。