梁 芸

(中国人民公安大学 法学院 北京 海淀 100038)

一 “选择退出”机制设置的应用原理

(一)“选择退出”机制的提出及必要

在个人信息保护领域,“选择退出”是指信息利用者提示信息主体自己将基于合理使用的目的收集个人信息,并告知信息主体如若不做出反对的行为,即否认默示的同意(比如登录使用某些APP 时对使用权限中“不允许”或“禁止”按钮的选择),便是肯定了先前的默示授权行为,推定允许对个人信息进行收集和使用。与之相比较的“选择进入”则是传统形式上的同意授权模式,它是指信息利用者在收集信息主体提供的信息时需要经其同意授权方可提取[1]24。

“选择退出”与“选择进入”机制的形成都是对个人信息保护的一种方式,前者的出现与使用改变了以往传统的同意授权模式,将原本应当由使用人承担的特定义务转嫁到权利人身上[2]149。当权利人不能有效行为时,才会发生默示同意的法律效果。这一机制在很大程度上能达到既有效保护个人信息又促进个人信息自由流转的目的。将同意作出更为宽泛的解释进而纳入“选择退出”机制,可以弥补同意授权模式下的缺憾,达到降低经济成本与高效配置信息资源的目的,满足社会需求[3]89。但在围绕“选择退出”是否属于一种意思表示、是否构成一项“同意”在理论上仍存在分歧。权利人做出的反对性不明,信息处理者告知相关信息不完备等,都弱化了权利人对个人信息的控制权。

虽然“选择退出”机制在外国法中已有所规定,但大都散见于个别性法律中,美国、英国也都有这样的案例[2]150。选择退出机制能被采用的首要价值是它能够对传统同意授权模式进行补充与修正,满足业界对个人信息利用上的诉求;此外,由于个人信息中的部分信息带有公共性与社会性,“选择进入”会消耗较大的时间成本,而“选择退出”能最大限度地节约交易成本,对信息资源做出更优配置,实际上是对公共利益与效率的肯定。因此,确立对个人信息的保护,根本目的不仅是保护个人信息,而且是维护信息在涉及公共利益时能自由流转。

(二)关于“选择退出”机制应用上存在的问题

首先,个人信息“选择退出”的“选择”究竟属不属于一种意思表示? 这种“选择”的做出在主体上是否有限制,是否要符合有关民事主体的规定? 这种“选择”所做的表达是否属于一种同意,这种同意需要达到何种程度? 诸如此类问题困扰着该机制,因此需要对这种机制存在的合理性及法理基础进行论证。其次,个人信息“选择退出”是在改变传统同意授权默示的模式下,将原本由使用人承担的特定义务转移到权利人身上;若权利人不能有效行为,则会发生默示同意的法律效果,但明示、默示、沉默的方式究竟如何在个人信息保护中适用? 个人信息“选择退出”做出同意前提的知情标准又该如何衡量? 再次,在个人选择退出机制应用时,授权的具体操作是关乎个人信息保护中平衡利用和限制的重要标准,如何授权对于“选择退出”来说需要慎之又慎。个人信息保护中权利人的授权应如何适用,它与选择进入机制中的授权在适用上又有何不同也需要我们进行探索。

以上问题与传统民法中的相关概念有着千丝万缕的联系,将其放入传统民法的概念中进行讨论不仅势在必行,而且可以发现“选择退出”机制在应用与规范上的原理,为进一步合理利用个人信息夯实基础。

二 “选择退出”适配民法的规范机制

虽然“选择退出”已经逐渐运用到实践中,但关于这一机制应用上存在的问题还需在理论上探讨。个人信息保护问题横跨民法、刑法、行政法等多个部门法,但有关该机制应用中的概念却与民法体系中某些概念的建构有着密切的联系,因此在对有关应用机制进行法理上的解释时,可以类比民法上相似概念的体系,再融合个人信息保护的特点,对现存于该机制上的问题进行体系化解释。不仅如此,这样做,还能为即将通过的《中华人民共和国个人信息保护法(草案)》(以下简称“《个人信息保护法(草案)》”)增加实证依据。

(一)“选择退出”机制适配传统民法概念

虽然“选择退出”机制是对“选择进入”机制的进化,迎合了数据时代对信息资源优化配置的需要,但这种机制尚存在一些弊端,因为“选择退出”看似是改变了传统的同意模式,但实际也包含着“概不负责”的态度,并且将这种选择与被选择的风险转嫁给了信息主体来承担。以下笔者主要将其与传统民法概念进行相关的适配再进行讨论。

1.意思表示的适配

民法中所表述的意思表示一般是指行为人向外部表明意欲发生一定私法效果的意思行为。意思表示的构成要件一般分为客观与主观要件,客观上是指行为人可以认识到其在表示某种法律效果意思;主观上则是指行为人内心的意思,通说上也可分为行为意思、表示意思与效果意思。意思自治简单来说是个体依个体意思处理个体事务而不受非法干涉,这在民法中有两种表现方式:一种是以自明性语言宣示私法的理想①各国立法直接确认意思自治原则的,有《法国民法典》第1134 条第1 款、第2 款;《德国民法典》第305 条;《乌克兰民法典》第3 条;我国《民法通则》第4 条。;另一种则是通过将“非法干涉”进行清理、排除与矫正,安置出隔离带和防护栏给个人自由空间[4]87。此外,在主体制度上也能大致对照民法中民事主体的相关制度进行推导。在“选择退出”机制中,“选择”是可以被当作一种意思表示的,这与意思表示的本质并无冲突,它可以当作是个人对自己真实意愿的表达。需要着重讨论的是对于该机制中权利人所做意思表示的撤回、撤销问题。由于“选择退出”对于信息主体而言实际上弱化了其对个人信息的控制,那原本由使用者承担的防止侵害的责任便转移到信息主体身上来,既然信息主体需要对自己所做出的“选择”承担如此大的不利后果,那对于其所做出的意思表示究竟能否撤回或撤销则成为了必要的补救措施,是必须重视的问题[5]174。

关于意思表示的撤回和撤销,学术界仍在讨论,再结合《个人信息保护法(草案)》来看,现今法学界的主要倾向是:当作出选择的意思表示还没有到达相对方时,意思表示的做出方可以随时撤回;如果已经到达对方,则只能申请撤销。但若要撤销并想随时撤销且不必承担损害赔偿责任则几乎不可能。所以如果把选择当作意思表示,遵循着民法体系中的撤回与撤销的规则,是无法随时撤销并不赔偿的,这与我国《个人信息保护法(草案)》存在矛盾之处,但总体的规则构造仍可以被借鉴[6]107。

另外,我国《个人信息保护法(草案)》第15 条也表明,个人信息处理者知道或者应当知道其处理的个人信息的主体为不满十四周岁的未成年人,应当取得其监护人的同意。这也说明当做出处理个人信息“选择退出”的意思表示时需要信息主体必须是年满十四周岁以上才可以,这与我国《民法典》中的行为能力制度不相兼容(我国《民法典》规定公民年满18 周岁时才具有完全民事行为能力,此时才可以做完整的意思表示)。这是在将个人信息“选择退出”机制适配传统民法概念时另一个存在差异的地方,但在个人信息保护上对主体资格进行明确规定是必要的。

2.知情同意规则

学术界对“选择退出”概念是否含有构成“默示”同意仍存在分歧,并且对这种“默示”同意与“选择进入”机制上的“同意”也有争议。笔者是站在该机制包含默示同意的命题之下展开的[7],但这并不否认学界对于该问题尚有争议。

从 “选择进入”到“选择退出”的变化不难看出,“进入”的核心机制是同意,而“退出”的内核是基于个人选择参与,是假设不希望参与的个人以肯定的方式表明其被排除在外的态度,否则就被视为希望参与。但从信息主体保护的角度而言,没有进行“选择退出”便构成“默示同意”的解释方法提供的保护力度相对较弱,这使他们对于个人信息权的控制减弱[8]108。网络信息处理者往往对“退出”机制更为青睐,但信息主体更愿意选择“进入”机制,不难预测,二者在应用该机制时会出现新的矛盾。

权利人的同意是个人信息处理的正当性基础之一。一般“同意”的作用既可能构成合同等交易行为的给付内容,即权利人对自己信息的积极控制,也可以是单纯表达权利人对他人商业利用的不法性排除,即一种消极的控制。因而信息使用同意规则的构造实际上可以从意思表示的方法和实质要求展开,此外也需进一步明确同意规则的例外。这就需要对个人信息的同意进行分类处置,比如说一般信息均可以通过默许同意的方式取得用户的授权[9]121,而对于私密信息而言,同意规则便要经过更为繁琐的程序,这将在文章最后予以阐述。

在个人信息“选择进入”时,做出的同意是一次性的。基于目的限定原则[10]94,之前的同意只是权利人允许当时信息使用者采集信息的目的,如果再采集则需要重新获得同意。把“选择进入”与“选择退出”机制相比较,“选择退出”本身所固有的构成要件已经涵盖了“选择进入”的同意规则。个人“选择退出”机制是本着既保护个人信息又促进商业交易的宗旨而产生的,在这样的背景下,无行为表示就是一种默示,有所表示就需要权利人主动去做,因为这种机制已经默示给使用者同样的目的;在选择退出中权利人有所表示,是“选择退出”机制的必要构成要件之一,若没有这个要件的话,便不能说是“选择退出”了。这也是设立这个机制所要求的目的,方便高效,但是所存在的底线不能触碰。

此外,“同意”的法律性质各式各样,有法定代理人同意,担任监护人所需机关同意等,但要明确一点,这种同意能力是不同于行为能力的。原因在于:在法律行为的制度中,为维护交易安全而要求从事法律行为的当事人必须具备行为能力,但对方的同意实际是对自己权利的处分,因此不能完全适用民法中关于行为能力的规定。德国民法通说认为,有行为能力不能作为受害人同意能力的判断标准,还需考虑在个别案件中受害人的识别能力[11]304。这为研究个人信息保护上的同意性质提供了一些规范思路,即个人信息上的知情同意不仅有消极防御也有积极利用。在前者的情况下,权利人同意无须具备行为能力,但在后者中由于同意可能是有关合同的一项具体内容,类比在民法体系中的逻辑,此时的权利人应当具备相应的行为能力。

在上述规范思路的指引下,考虑到传统民法上对法律行为和准法律行为的区分,可以进一步推演,在消极防御层面,既然信息主体的知情同意并不构成法律行为,那么将此种同意行为界定为准法律行为,且强调权利人的同意并不一定能直接达到其所欲达到的特定法律效果。“同意”虽然必须依靠当事人意愿的表达,但其之所以能产生排除他人行为不法性的效果是基于法律的直接规定,因此也可以解释为何信息主体表达同意无须具备行为能力。虽然意思表示是法律行为的核心要素,但这并不是说意思表示的做出就必须具备法定行为能力。“同意”无论是积极利用或是消极防御,都是个人在实践其行为自由和信息自决的表现,从而达到某种法律效果。若认为相关法律效力来自法律规定而非来自当事人同意,则实际上削弱了同意作为意思表示可能具有的规范表达空间[9]122。《欧洲通用数据保护条例》(以下简称“GDPR”)中,将“同意”界定为“数据主体通过声明或明确肯定方式,依照其意愿自愿做出的具体的、知情的及明确的意思表示,意味着数据主体同意其个人数据被处理。”[12]228因此,从比较法上将“同意”认定为意思表示也能得到印证。

3.“后悔权”的应用规制

在知情同意下,个人“选择退出”中需要进行“排除性”的意思表示应如何表达? 这就涉及“后悔权”。“后悔权”实际上是指个人同意的意思表示做出后,又后悔授权对方使用自己的信息,因此提出反对的权利,即信息主体对先前授权行为的一种撤回或撤销[13]114。这在个人信息“选择退出”机制中相当重要,因为信息主体本就处于不利地位,在不做出行为便表示允许收集个人信息并使用的情况下,能对自己的默示授权做出后悔的表示是对个人信息主体的最低限度保护,也是该机制设置所需要的最低要求。

究其原因,在于在自动化推荐遍布的时代,我们早已生活在一个个信息茧房中,因而存在着信息不对称。信息不对称往往导致我们作出选择后会产生“后悔”。对于这种情形,GDPR 第7 条第3 款规定:“数据主体有权随时撤回其同意。同意的撤回不应影响在撤回前基于同意做出的数据处理的合法性。在做出同意前,数据主体应被告知上述权利。撤回同意应与做出同意同样容易。”之所以允许数据主体原则上可以随时撤回或撤销其同意,行使反对权,目的在于维护数据主体的个人信息自决权,避免个人尊严和行动自由受到之前同意表示的束缚,进而妨碍其人格的自由塑造。因而我们可以借鉴欧盟的反对权来设置我国法律中的“后悔权”,可以在欧盟的基础上区分侵权与合同两种不同的语境加以分析,不过侵权中的受害人同意无须向行为人送达,但在加害行为之前可以随时撤回。由此形成的“后悔权”便体现为在收集个人信息时需征得个人信息主体的明确同意,如果权利人没有做出明确同意,那就是一种反对,在此情况下自动化推荐是不应该应用在信息主体上的,这是反对权的一体两面。

(二)“选择退出”机制的修正

1.明确告知义务

个人信息“选择退出”机制虽在实际上赋予了信息利用者能更宽泛地使用个人信息,但这并非是免除其告知义务的理由。相反,在这种机制下更需要对告知形式与内容进行细化,甚至对于“退出”的后果都要有明确清晰的表示,否则该机制的设立实际上是在增加一种不确定性,这对权利义务双方当事人都是不利的,进一步该机制也就失去了存在的价值基础。首先,“选择退出”是一种意思自治,在个人不能充分获知信息时,可能出现信息主体因对相关事务不了解,进而难以确保信息处理者能够保护个人的隐私利益的情况。其次,不充分告知或告知条款过于僵化,与“格式条款”的边界在何处? 再次,告知义务的履行程度往往影响着双方当事人对于信息的掌握程度,当信息处理者刻意追求的信息不对称出现时,其便将隐私规定进行泛化、模糊和隐蔽[14]。例如在微信运动中,当选择是否让他人看自己的运动轨迹或者去看别人的轨迹时,看似选择权在权利人手中,但对于信息利用者而言,权利人的个人信息是否在选择退出的那一刻便不再被收集,权利人是否被告知了退出的后果以及自己个人信息的去向,权利人是不知道的。因此,这些情况下,信息利用者必须把“选择退出”机制规范化且必须完善告知义务。

针对上述问题,在明确告知义务上,“选择退出”机制还需要注意以下几方面的内容:

首先,告知的形式应当清晰明确。如果告知的内容里含有隐私政策、信息共享协议等,甚至会有晦涩难懂的词汇,并且信息收集者将这种告知当成一种免责条款,将重要的信息隐藏在其中,就可能做出危害到信息主体的事情。例如甲骨文公司向欧盟投诉Google 的隐私政策更改案件中,Google 为启用新功能,通过隐藏其隐私政策的变更诱使用户接受更改,以达到控制更多用户个人信息的目的[15]。前车之鉴已经表明了告知形式的重要性,因而在“选择退出”机制的告知形式上,第一要减少专业术语、晦涩词汇的使用;第二,告知形式的显著性要达到能在最大范围内被信息主体看到的程度,并且隐私协议如若出现更改的情形也必须做出明确标识,甚至单独列出。

其次,告知的内容应能反映出收集使用信息的目的和方式,并在一定程度上说明后续处理个人信息时可能存在的用途与风险。现在部分APP 已经采用了这种模式,而用户确实能因此预估风险,进而可以“选择退出”。告知采集个人信息的方式,同时也告知收集信息的目的,无论是一般目的还是特别目的,最大限度地让信息主体知道自己个人信息的去路。对于不告知的则定下不可使用的规则[16]202。这样,个人也能阻止其信息被用于其并未同意的目的[17]198。

再次,明确告知收集使用人的信息,让信息主体能够预估使用人对个人信息在安全把控上的风险。欧盟便有要求对于隐私声明、协议等文件应明确展示数据控制者的身份①参见《通用数据保护条例》第13 条(1)(a),第14 条(1)(a)。。权利人能授权他人收集使用自己的个人信息,很大一部分原因是基于使用人的商业信誉、对用户隐私的保护方针等,因此披露使用人理所当然。

复次,告知信息流向。即便是企业与企业之间也不能基于交易或其他行为而直接使用已经收集到的个人信息。如Twitter、Instagram、Foursquare、Kik等美国几家主要的科技公司曾因共享用户信息而赔偿530 万美元。企业间的数据共享,包括信息收集的范围、用途和流向等均应向用户明示并征得同意,做到企业方面的个人数据合规[18]。

最后,当用户的信息被深度处理且放在个性化推荐、行为化定位、自动化决策等用途上时,企业应当告知用户信息被处理之事实、原因、算法逻辑、预期分析后果及可能产生的风险②参见《通用数据保护条例》第13 条(2)(f),第14 条(2)(g),第15 条(1)(h)。。

2.“同意”的修正

在适配民法概念后,还需着重考虑这些概念在个人信息保护上的应用。尤其是“同意”的实质要求,在将“选择退出”机制引入个人信息法时要做出以下修正:

首先,要尊重意思自治的要求。传统民法上的意思表示不仅要满足表示能力上的要求,且须自由、真实。在订立合同时强调双方的自愿,因而为保障当事人的意思自治,便规定了因重大误解、欺诈、胁迫、显失公平的法律行为可撤销,违反强制性规定与违背公序良俗、恶意串通的法律行为无效。因此,不仅法律行为本身不能有瑕疵,作为其要素的意思表示也不能有瑕疵,否则即使并未形成法律行为,该意思表示也可适用或准用有关规范加以撤销。至于个人信息保护领域,对不真实自由的同意意思表示,也可适当适用前述规范。而在网络服务合同范围,除提供个人信息会直接构成合同的部分给付义务外,基于诚信原则还要提供附随或先合同义务。这样即使采用“使用即同意”的条款,也无须再因收集相关信息获取用户的明确同意[9]124。此外,在“宽泛同意”下解释“选择退出”,可以消除将默示同意规则纳入同意体系的理论障碍。因为既然个人信息选择退出构成默示同意,那么至少在形式上其成为统一授权的一个组成部分。“宽泛同意”是为了调和个人信息保护和大数据利用之间的冲突而兴起的一种新理论,即对“强同意”制度的改良。在立法上,把知情同意作为一般原则,选择退出作为法定情形[2]155。

其次,要根据知情同意的要求。同意的内在要求是知情,同意的前提是使用人能充分告知,权利人只有在充分了解同意所针对的内容之后才能做出真实有效的同意。这对保护个人信息相当重要,它能有效预防功能潜变,让“选择退出”更加完善[16]200。欧盟法律甚至规定,数据处理者要就每个特定目的的数据处理告知数据主体相关的信息,以征得后者就每项处理事实上的同意,以确保信息主体能清楚认知所做的不同选择会带来的具体影响[19]11。

最后,要适当保护弱者。这主要是由于在网络世界中,作为信息利用者的服务商和作为信息主体的自然人之间存在天然的地位差异,一些隐私政策或免责条款可能使同意原则被架空。对此可以设置格式条款和保护消费者权益两种规范路径,以进一步保护个人信息的权益。

“选择退出”机制的适用条件必须严格规定,避免其发生不当泛化。由于“选择退出”的本质是同意制度,在使用上并不具备普遍性,即便采用“选择退出”,在保护信息隐私上也必须做出限制,以防止与撤回同意等相近范畴混用,因此对该机制的主体和行为客体进行限制已经成为理论和实践上的共识[2]153。在这种修正的基础上,我国在个人信息保护中纳入“选择退出”机制才会符合现实需求。

三 规范机制下的“选择退出”分类处置规则

(一)不同私密程度个人信息的具体运用

就现阶段来看,《个人信息保护法(草案)》将个人信息划分为敏感信息与非敏感信息并非没有来由[20],在《民法典》中关于隐私的保护就曾用私密信息与非私密信息进行区分,如今《个人信息保护法(草案)》的划分也不过是欲和后者保持一致。区分是为了能更好地适用告知同意规则,使制定的同意规则能适用于不同类型的信息,给予“选择退出”更加细致的规范,为其适用留有余地。

从对个人信息分类去看“选择退出”机制的应用主要有以下两个问题:一是在分类上的敏感与非敏感信息是否完全排除了“选择退出”机制的运用?二是运用与否的具体理由或适用规范又有哪些? 首先,虽然《个人信息保护法(草案)》已经划分出敏感与非敏感信息,但这种分类并不影响我们对于“选择退出”的适用,它在本质上仅仅是将这种退出机制所指向的客体在分类上细化,在应用上更加严格限制而已。所以,给个人信息分类并未排除适用“选择退出”机制。其次,在肯定第一个问题的情况下,分类后的信息如何应用“选择退出”机制就成为了必须考虑的问题,这可以通过层次化将其明晰[21]92。原因在于:一是有些信息是绝对不能适用的,因为在公私利益的衡量下,保护某些个人敏感信息是占据绝对主导地位的,它是关乎一个人能否继续社会性存在的关键。二是有些信息是可以在“选择进入”机制下应用的,这里面包含着更多意思自治的因素,虽然从公序良俗的角度上考虑确实属于不应公开的信息,但是在权利人同意且不会对社会造成恶劣影响的情况下,公开与否由权利人自己决定。如果信息利用者以明示方式询问,信息主体未明确同意便绝对不能使用。三是有些信息能在“选择退出”的机制下应用,当然,这部分是极少数的。这类敏感信息的适用主要集中在关乎社会重大利益或者公共秩序的问题上。例如,对于曾经有过犯罪记录的人,日常生活中需读取其个人信息或通过某些测试题对其进行严格考察判断。具体表现在如侦查机关为打击犯罪,建立可能包括犯罪嫌疑人或罪犯的相关个人信息数据库,或是一些商业服务号码会提示要对通话进行录音,记录声纹信息,这在一定程度上影响着个人信息的相关权利[22]360。使用人基于公共利益可以公开,但由于涉及个人隐私,选择退出机制就要明示其是否同意使用,由权利人自己取舍。这就是在公共利益面上对个人敏感信息保护的妥协——此类信息虽没有“选择进入”的机会,但也应当有“选择退出”的告知,即“我将要使用你的敏感信息”等。不过这也涉及到是否会对相对人的人格权及其他具体权利造成侵害的问题[23]116,由此牵涉出关于个人信息与隐私之间的关系,这类人的私人空间的完整性已有所不同[24]100。如复旦投毒案中,网络记录能反映出作案人的预备行为和犯罪意图;约翰·巴特勒也指出“谷歌”的某些行为在对个人思想不断进行窥探,逐渐成为“有意图的政府”。因此这类能借助客观上的个人信息反映出主观思想的个人信息,也逐渐成为应保护的范畴。如通过记录个人轨迹,进而窥探个人私生活,知悉权利人“不想为外人知道的内容”。面对此种情况,瓦克斯在提出“隐私困境”时给出的救济方式仅从侵权责任角度展开[25]35,略显单薄,毕竟公权力机关已然干预收集了个人信息,对应的也应承担一定的救济责任。因此,有关救济的问题尚待完善。

由于网络环境的公私边界并非泾渭分明,对个人信息的保护不能仅屈身于隐私权的框架下且只以物理空间作为公私领域的划分标准,而是需要从多视角宽领域上去衡量,但这些需要仰仗《个人信息保护法(草案)》在立法时尽量将敏感与非敏感信息的具体内容明确,而非仅泛化地规定。立法就需要前瞻性、兜底性与谦抑性,这样在“选择退出”机制的应用上才会有迹可循,让整个体系更加规范。这就需要私法和公法共同发力,承担职责,既要守护个人隐私,也要维护个人思想自由。此外,在看待个人信息时不要仅将其固化成某一种权利,还要从资源的角度去看待,淡化公私界限,强化实质价值。因此,对权利设置时的细化、权利设置的路径以及对权利边界进行区分等都是我们必须深入研究的问题[26]。

(二)在“选择退出”机制中个人同意分类下的处置

收集个人信息时一般要征得信息主体的同意,这种同意可以是明示或默示。明示同意是个人明确授权同意并留有证据,而默许同意则是在信息主体未做出明确反对前,均认为信息主体是同意的。当收集的为敏感信息时,则必须得到个人的明示同意,这便与“选择进入”有相协调之处;当收集的为一般信息时,可使用默许同意,除非个人做出明确反对,此时便适用“选择退出”机制。2017 年国家标准化管理委员会颁布的《信息安全技术个人信息安全规范》中将敏感信息的内涵进行了扩充,并完善了同意的方法。规定中指出,收集一般个人信息时仅在特殊情况下,才需明示同意,而收集敏感信息时则必须通过书面性声明或肯定性动作进行明示,做出明确授权,如主动作出声明、勾选特定选项等[9]123。

综上,既然同意属于意思表示,那么首先在个人信息保护中的明示、默示或沉默的同意都应遵循同样的规范,但需注意的是沉默仅在法律规定、当事人约定或符合交易习惯时才能被视为意思表示,因此要慎用默示与沉默同意的规范。其次,若能明确意思表示的内容,则明示与默示的地位是相同的。此时,在网络范围内收集个人信息是否需要自然人采取书面形式表示同意尚需探讨,但对敏感信息而言,仅从国家标准层面提出特别保护的力度显然不足,将来立法时可以借鉴GDPR 中的明示同意规则,并在此基础上对敏感信息提出更高的要求。最后,沉默本就是意思表示的例外表达,所以原则上同意也不能以沉默的方式做出。从个人信息保护的角度出发,借鉴欧盟法律上的规定,明确在网络服务领域的沉默、默示勾选等行为不构成同意[9]124。分类处置将“选择退出”机制中的个人同意规则有条不紊地展开,能更好地实现个人信息保护和信息自由流转的双重目标。

四 结语

个人信息“选择退出”正逐步得到修正,以将该机制的消极方面控制于合理范畴,促进信息的积极利用。设立个人信息保护法并非要对信息利用赶尽杀绝,仅是在利用个人信息时要注重个人隐私,让信息利用的功效达到最大化,同时也不会对个人信息、隐私权等造成权利的侵害。我国个人信息保护法中“选择退出”机制的设定在制度适用上基本没有障碍,要对限制适用进行规范,同时对与其相近概念的区分还需要进一步明晰,尽量在法律的体系范围内去厘清他们的关系。这样形成的系统化、体系化的个人信息保护应用及规制机制才能实现立法的目的,在网络时代既能更好地保护个人信息也能促进信息的高效利用。