个人信息保护法中同意规则的法律效果
2022-07-01邬杨
邬 杨
(华东政法大学,上海 201620)
随着互联网和信息技术的发展,由个人产生的数据呈现急速增长趋势,随之而来的与信息保护、信息利用与信息安全的问题也使同意规则的信息保护效用面临严峻挑战,这一挑战亟需从立法层面和技术层面完善同意规则的相关规定,明确同意规则的法律效果是关键环节。
从同意规则的本源来看,是人与人在进行社会交往时,根据自己的意愿设定法律关系的一种基础性行为。这种行为既可能出于建立政治权威的目的,也可能是对他人行为或决定的许可,这一制度因此便具有拓展交往主体能力的功能。从另一角度看,在作出同意的表示时,同意行为还体现了“限制权利与自我义务设定”的效果。[1]“同意”作为一种规范人们行为的模式,已经被广泛应用于各种社会关系的构建之中,其影响范围涉及国家政治、金融征信、医疗领域、工业制造、消费者权利保护、个人信息利用等等。不同领域存在不同的社会关系,而特定社会关系中的个体所面对的对象、场景与事实不尽相同,基于此作出的“同意”可能会产生不同的法律效果和社会效果。[2]对个人信息保护中同意行为法律效果的理解须以准确界定该行为的法律性质以及厘清同意的法律含义为起点,同意的法律性质决定行为的构成要件和生效条件,同意的法律含义是区分同意与相近似的法律行为的标准和依据,典型的相近概念如合同行为、受害人同意。只有将同意与传统概念进行剥离,才可真正准确地解释在个人信息保护领域的同意行为在法律效果方面与其他领域惯用的同意规则的区别。
一、界定同意的法律性质
大陆法系国家的学者们曾围绕同意的法律性质为何的问题进行过深入的讨论,最终形成了法律行为说、准法律行为说、事实行为说三种观点。以下分述各观点的主要内容,并提出本文对同意法律性质的评判标准,进而得出同意属于准法律行为的结论。
(一)法律行为、准法律行为与事实行为之争
1.主要观点
(1)法律行为说。法律行为说的观点主张同意是一种法律行为或者意思表示。这是二十世纪初学者首先提出的关于同意法律性质的观点。该观点认为,受害人同意是权利人行使自己权利的一种方式,既然自然人行使权利没有不法可言,那么根据受害人同意进行的行为原则上也是正当的。在这个意义上它属于法律行为的一种,同意的有效要件也应适用民法关于法律行为的原则。王利明教授指出,受害人同意本质上是受害人发出的单方的意思表示,在受害人表示同意的情况下,其同意的意思表示阻却了相对方行为的违法性。[3]这种观点认为法律行为制度与受害人同意规则的规范意旨吻合:在实现目的上,两者都旨在实现主体的自治与自我决定。作为法律行为制度的工具,意思自治理论为受害人同意的法律性质和效力提供了充分的证明,因意思自治的本质就是允许每个人在符合法律规定的限度内,依据其意愿形成他内心所追求的法律结果,当然这一结果同样包括行为人同意相对人侵犯自己的权益。是故,有关法律行为和意思表示的法律规定也适用于同意行为的要求,包括行为人的行为能力要件和意思表示自由等要件。
(2)准法律行为说。持准法律行为说观点的人主张受害人同意本质上并非法律行为,而是一种准法律行为。所谓准法律行为,是指行为人将内心意思对外表示,但其行为的法律效果由法律直接规定[4],基本形式构造为“表示行为+效果法定”。关于同意的法律性质,王泽鉴先生认为,“行为人并非以发生一定法律效果为目的,因而不以具法效意思为必要,而是涉及自己权益的侵害性,故非属意思表示,乃准法律行为,可以类推适用民法关于意思表示的规定,至于如何类推适用,应就个案决定之。”[5]史尚宽先生也赞同此观点,他指出受害人的同意其意思并不以发生法律效果为目的,仅以事实效果为其内容,因此可将其视为准法律行为,对于法律没有规定的内容,应当准用关于法律行为的规定。[6]总结以上二位教授的观点,准法律行为说观点下的同意法律性质问题可以从两个方面分析:一方面,受害人同意是表意人将其内心意思进行对外呈现,因此这一行为既包含行为人的外部表示,也包含行为人的内心意思,并且尤其注重其内心真意的表达,这一部分的要求与意思表示相同;另一方面,行为人作出的同意并不以发生特定法律效果为目的,应当承认其是对特定的事实行为而作出同意的表示。[7]
(3)事实行为说。事实行为说主张受害人同意只是一种事实行为,并不创设、变更或消除某种法律关系或发生权利转让的后果。事实行为完全不以意思表示为必备要素,其本质在于全部事实构成均由法律规定,只要行为人的具体行为符合法律规定的行为构成要件时,便会产生相应的法律后果。事实行为说的观点完全将侧重点放在行为人的同意行为上,认为同意是一种外部性的行为表现,因多数的同意都是由行为人通过签订书面同意合同或通过语言表达同意的方式作出的,而相对人接收到的信息也是此类行为或表达,因而单凭这一外部表现要件就将同意定性为事实行为。
2.判断标准及评价。分析以上三种同意法律性质的不同观点,采取的根本标准是将同意的含义及构成要件分别与法律行为、准法律行为、事实行为的含义及构成要件进行比对;同时,采取兼顾各制度功能的方法,评判哪一观点更有助于实现同意的法律效果。首先,事实行为说不完全符合同意行为的全部要件。这是因为一方面,事实行为不以行为人的意思表示为构成要件,而仅关注事实上的行为构成,而同意的内容对于决定同意法律效果的重要意义不言而喻——同意并不等于单纯的事实行为或事件,即使同意并不包含受害人追求发生特定法律效果的意思这一构成要件,但其核心仍然是受害人内心主观意愿的对外表达,并非与人的主观心理活动完全无关的事实行为。因此,可以说事实行为说直接否定了法律行为和意思表示的规范适用于受害人同意的可能性。另一方面,将同意界定为事实行为背离自我决定权的意旨。同意源于法律对个人自由意志的尊重和保护,因此只有真实、自由地表达自己的内心意思,同时具备一定的表示同意的能力,才可以产生法律效力,而事实行为的构成要件是与同意的规范要求不符的,因为“对于事实行为而言,法律既不要求行为人具备行为能力,也不能全部适用有关意思瑕疵、追认和代理的规定,这是因为事实行为根本没有什么意愿需要表示的”。[8]总之,将同意定性为事实行为不利于同意主体自我意思的实现。
而对于同意的性质究竟为法律行为还是准法律行为成为关键的争议点。从客观要件看,法律行为与准法律行为相同,都有表示于外部的行为,即表示行为;但从主观要件看,法律行为要满足行为意思、表示意思及法效意思三项主观要件①将主观内心意思分为行为意思、效果意思与表示意思三项为德国通说,参见王泽鉴:《民法总则》,中国政法大学出版社2001年版。对于内心意思的构成,我国学界存在不同排列组合的观点,尚未形成通说见解,本文采用德国通说之观点展开论述。,而准法律行为具备行为意思要件和表示意思要件,但是没有效果意思要件。从主观要件一一分析,同意也并非完全符合法律行为的构成要件。同意作为内心同意意思的对外表达,具备的要素是客观上的表示行为以及主观上的行为意思和表示意思,但欠缺法效意思。法律行为以行为人意欲发生私法上的法律效果为成立要件,而准法律行为的行为人并没有意欲发生一定私法上法律效果之意思,虽然行为人也存在某种意思或特殊的精神内容,但该项意思或精神表示无法直接与行为产生的效果相衔接,亦即行为人所想之内容未必与行为发生的效果一致,至于行为的法律效果为何应基于法律的直接规定,行为人的主观意愿对此没有意义。
申言之,行为人作出同意时,并没有追求阻却违法或免除相对人损害赔偿责任的法律后果,其仅仅是同意了一个行为,而阻却违法或免除责任的法律效果也并非当事人内心期待发生的,而是由法律直接规定的。从这一层面上来看,同意的性质并非严格意义上的法律行为。虽然受害人同意的客观表示行为这一要件与法律行为高度类似,但法律行为的内容并不能直接、完全适用于受害人同意,例如受害人同意能力的规定不能直接照搬法律行为的规定,相反的,对受害人同意的有效形式、同意的撤回以及违反法律规范和公序良俗的同意行为效力等内容,其与法律行为制度的要求基本相同,因此可以适用法律行为(意思表示)的相关规范。
(二)准法律行为说之证成
对同意的法律性质现有两项判断标准:第一项标准是上文提及的先确定同意的含义和构成要件(包括主观要件和客观要件),然后分别将主观要件和客观要件逐一与法律行为、准法律行为、事实行为的主客观要件进行对比分析;第二项标准是衡量哪一制度更适宜实现受害人同意的规范主旨。对同意法律性质的确认是法律适用的基础,也是明确同意的法律效果以及生效条件的前提,直接关系着同意主体的能力、同意的形式、同意的撤回等诸多关键问题。
针对同意的含义及构成要件,应当将其定性为准法律行为。一方面,准法律行为的行为人不具备法效意思,但符合同意的其他主观要件,表示行为的对象可以是某种内心意愿,也可以是某种情感态度或立场,还可能是对某种事实情况的认知,但无论如何,准法律行为的表示对象绝非法效意思。[9]另一方面,法律上仍然承认准法律行为与意思表示在构成要件内心意思的自由及表示的真实要件上存在某种相通性,因此准法律行为可以类推适用法律行为中关于意思表示效力的某些规范。由此可见,法律行为中关于意思表示效力的规范为准法律行为类推适用法律行为的部分规定搭建了桥梁,而类推适用是指将法律针对既已存在的构成要件,适用于法律虽未规定却与前述构成要件类似的构成要件,类推适用的基础在于两个构成要件在与法律评价有关的重要观点上彼此相类。[10]对“是否相类”的评判要回归上述判断标准的第二项,探究作为准法律行为的同意的规范要旨。
同意的规范要旨体现于基本权利理论之中,即从基本法保护人格尊严和自由发展衍生的个人自决权。个人自决权表明,每个人都有追求其人格自由发展的权利,人们可以在法律允许的范围内,以自己的意志和价值观念为参考依据,独立地作出决定和选择,并且为其行为承担相应的责任。个人自决权的表现既可以是基于保护自己的利益而作出选择,也可以是自愿放弃某些法益,如身体完整性不受侵害的权益或者具体的财产权益。法律允许行为人在合理限度内放弃对这些权益的掌控,不应过多干涉。这一制度表现出的自由决定自己事务的能力应当得到法律的认可和保护。从这一点上看,个人自决权同样符合民法中意思自治原则蕴含的价值标准,即在符合法律规定的前提下,个人可以按照自己的意思自由地决定与自己有关的事务,同时也可以自由地对外塑造各种类型的法律关系。申言之,同意的源头可以追溯至意思自治,其核心要义并非在于赋予侵害人免于承担责任的正当理由,而旨在保护作出同意主体的合法利益和其行使个人自决权的可能性。所以,由个人自决权作为同意的正当权利基础,直接可以推演出同意的规范主旨在于保障个人自由决定权的正当实现,实现个人自决权的载体就是行为人内心真意的对外表示,同意的制度规范要旨便是保障同意主体意思形成的自由及表示的真实。[11]相应地,同意的效力及生效要件也应围绕行为人内心的意思及外在表示进行讨论。
除以上事项外,同意的能力如何确定也颇值得关注,因其涉及满足何种能力的行为人作出的同意具有法律效力这一重要问题。民法中关于民事行为能力有明确规定,但究其制度意旨是在于维护交易安全,但同意规范却没有包含这一层意旨,因此同意能力的规定不得类推适用民法关于法律行为的规定。由此可见,在同意的规范体系中哪些事项可以类推适用民法关于法律行为和意思表示的规定,尚不可一概而论,应依据具体事项与民法中的相关规定的关系进行确定,具体体现为同意的各项生效要件,将在下文详细展开论述。
二、厘清同意的基本含义
本质上,同意使得人们能够以一种自由意志控制自己生活的方方面面,法律对它的保护体现了对人的基本权利的尊重,因为宪法中人性尊严的核心要义就是人得以自治自决,不应处于被操控的他决地位。一个人在行使其基本权利的正当范围内,倘若缺乏自治自决的机会,将丧失个人尊严。因此,个人自决权应受他人尊重和法律保护。[12]经上文同意的基本含义,我们可以推出法律意义上(特指个人信息保护法律领域)的同意的定义:同意是个人信息主体基于个人自由意志,以特定的行为方式,对个人信息处理者的收集、处理(包括使用、加工、传输、提供、公开等)行为及后果给予肯定或否定的意思表示。首先,阐明同意的基础是基于个人自由意志,即个人信息自决,同意的作出必须是基于主体的真实意思表达。其次,同意应以一定的方式作出,口头、书面或行为都是可行的方式,但沉默不可以成立有效的同意。再次,同意的对象既可能是个人信息处理行为,也可能是处理行为导致的损害后果。与保护个人信息主体利益主旨一致,多数情况下的同意针对的都是希望通过同意获得个人信息的途径,而非以招致信息主体利益受损为直接目的。最后,肯定或否定的意思表示证明个人信息主体不仅享有同意的自由,而且享有不同意的自由,即拒绝的自由。规范这一层内容对改善目前个人信息利用中用户不同意便无法使用服务的情况有着重大意义,拒绝也应是个人信息主体依法享有的权利和自由,其要求与同意一样必须为事先作出。
(一)个人信息主体的同意与合同行为
个人信息保护法中的同意是个人表达其是否并且在何种条件下其他主体可以处理其个人信息的一种方式,同意被应用于日常网络生活的诸多场景之中,如注册线上应用服务、允许网站收集Cookies、在线交易等活动。个人可以透过同意控制个人信息的使用,衡量披露个人信息的成本与收益,并决定在什么时间、向谁披露个人信息。[13]作为个人信息正当性处理的手段之一,同意从本质上说是拥有信息自决权的主体和处理个人信息的主体达成合意的结果。但此处的“合意”与合同关系中双方主体的合意不同,不能将个人信息领域的同意行为与合同领域的合同行为一概而论。
合同,是指当事人就发生财产性民事权利义务关系达成合意或协议。[14]所谓合意,是指当事人意思表示的一致。[15]合意是合同成立的核心要素,是当事人意思表示达成一致从而订立合同的过程,而当事人意思表示一致形成合意是合同成立、生效并履行的前提。达成一项合意可以有多种方式,其中最典型的是通过要约和承诺的方式。依我国《合同法》第14条和第21条①《合同法》 第14条规定:“要约是希望和他人订立合同的意思表示,该意思表示应当符合下列规定:(一)内容具体确定;(二)表明经受要约人承诺,要约人即受该意思表示约束。”第21条规定:“承诺是受要约人同意要约的意思表示。”的规定,要约是一方当事人向另一方当事人发出的希望与之订立合同的意思表示,承诺是受要约人同意要约的意思表示。我国《合同法》中,要约与承诺是达成合意的最重要方式。但不宜将个人信息主体的同意行为等同于为达成一项合意一方主体作出的承诺,具体来讲包括:
1.法律效果不同。作为法律行为的合意/承诺,其最常见的法律效果就是创设权利或者使得权利变动或消灭,创设权利的情形如买卖合同双方通过达成合意创设债权。权利变动的情形如债权转让导致债权转移,权利消灭的情形如行使解除权导致合同消灭。除创设、变更或消灭权利的效果之外,还可能成为有效的权利变动不可或缺的因素,例如A授权B代理自己出卖房屋,A的授权行为是法律行为,其结果是在A与B之间创设代理权,代理权是有效代理行为的要件。[16]而与法律行为不同,作为准法律行为的同意的法律效果是民事权利得失变动之外的其他法律后果[17],或者为权利变动提供条件或者诱因,但无论如何不会成为判断权利义务内容的依据。同意作为个人信息处理的合法性基础,其存在的根本目的是为个人信息处理行为提供正当性事由②对于由要约和承诺形成的合同,如果一项意思表示显然尚不完整,即还没有全部包括合同所需的一切必要内容,则该项意思表示就仅仅是一项预备行为。参见〔德〕迪特尔·梅迪库斯著,邵建东译:《德国民法总论》,法律出版社2013年版。,此处的同意类似于拍卖活动中的“应价”的行为,拍卖过程中需买者主动应价,即个人信息主体主动作出同意收集个人信息的意思表示,而一般认为应价仅为要约,而拍定才构成承诺,即信息处理者真正实行个人信息的收集和使用行为,因此信息处理者向用户展示隐私协议只是一种个人信息处理之前的预备行为,真正构成要约—承诺形式的实质上是“同意—个人信息处理”这一法律关系。既然同意不是承诺,当然也不具有使双方就特定事项达成合意进而发生权利义务关系变动的法律效果。
个人信息主体的同意行为的法律效果旨在排除个人信息处理行为的违法性,与权利创设或变动无关,在这一过程中信息主体并未放弃或丧失与个人信息相关的权利。此外,由于准法律行为的法律效果都是源自法律规定,但法律规范在设定法律行为的法律效果时,并不会将行为人在具体法律行为中的实际意思全盘考虑进去,由此可能导致准法律行为的法律逻辑与具体行为本身的逻辑不一致。[18]对于同意的法律效果,比较法上存在将其定位于违法阻却事由的立法例,因而一旦行为人作出了同意的表示行为,乃遵从法律规范对同意的效力规定,会相应地免除或部分免除侵权人的法律责任,而不可能产生与行为人主观意愿相关联的任何其他法律效果。
2.法律地位不同。承诺是合意成立的关键条件之一,而合意又是合同成立的必备要件,承诺本身已经涵括在合同行为之中,而同意却并非达成合同的必要条件。法律上所谓的同意可分为单方面的同意以及契约上的允许[19],前者性质上属于单方法律行为,行为人作出的意思表示无需特定对象受领,而后者在性质上属于有相对人受领的意思表示,应向特定主体作出。个人信息处理者基于收集个人信息并借助大数据技术予以商业化利用的经济动机,向个人用户提供服务或产品,双方在交易中互负具有目的关联性的给付义务,从而形成双务合同关系。个人信息处理者将借由服务换取信息的双务有偿合同披上单务无偿的外衣,实际情况却是个人信息主体以同意利用其个人信息作为接受服务的对价,促使个人信息发生对价性转换。[20]在某些个人信息处理的场景下,同意的确可能构成合同行为的给付内容,但是否存在合同关系本身并不当然意味着存在主体对个人信息处理的同意。[21]网络服务中,信息处理者借助“使用即同意”的单方声明、格式条款的方式意图证明自己已尽到充分告知义务,但殊不知此时的同意机制已经被架空。
3.法律性质不同。个人信息主体作出的同意个人信息处理者收集、使用其个人信息的行为在法律性质上属于处分行为,是对其个人信息具有控制权能的主体行使处分权的具体体现,而信息主体在与个人信息处理者订立服务合同或签订服务协议的过程中,就个人信息商业化利用所作出的承诺是典型的负担行为,其给付内容是主动提供与个人有关的信息供个人信息处理者收集和使用,二者在逻辑上与操作中均相互独立,因此不可混为一谈。[22]
(二)个人信息主体的同意与受害人同意
1.受害人同意的概念。民法中对违法阻却事由①关于免责事由与违法阻却事由以及抗辩事由概念的辨析,学界讨论早已有之。参见程啸:《侵权责任法》,法律出版社2015年版;李超:《侵权责任法中的受害人同意研究》,中国政法大学出版社2017年版;王福友,高勇:《侵权违法阻却事由论纲》,《北方法学》2009年第6期。由于这一概念辨析与本文的主要内容相关性较小,因此本文对免责事由和违法阻却事由的概念不做区分。的规定典型的可见于侵权法中的受害人同意。受害人同意源自法谚volenti non fit injuria,即同意不生违法。它表现了个人主义的精神,使个人能够自由地决定如何处理自己的身体与财产,也符合侵权法旨在合理分配私法上负担的趣旨。[23]侵权责任法的宗旨是根据利益分配的合理性与对利益保护的适当性来实现公平正义。从权利的本质看,侵权责任法涉及的受害人权益即为受害人的行为自由,在实现加害人行为自由与保护受害人权益之间存在的冲突,便是侵权责任法所要解决的基本矛盾。[24]
对受害人同意的概念,我国学者尝试作出定义,程啸教授认为“受害人同意是指,受害人就他人特定行为的发生或者他人对自己权益造成的特定损害后果予以同意并表现在外部的意愿”。[25]对以上观点总结不难发现,受害人同意的对象包含两个层面的内容:首先,受害人同意的对象可以是特定行为产生的损害后果,一般表现为侵权责任的承担,行为人对受害人的权益造成实际损害,若存在受害人的同意表示事由,行为人可以免于承担侵权责任;其次,受害人同意的对象还可以是特定的合法行为,并未给其造成任何损害后果。由此可见,受害人同意的适用情形不限于必定导致损害后果的法律行为,也包括合法的事实行为。
2.受害人同意的适用类型。
(1)免责条款。免责条款是当事人双方在合同中事先约定的,旨在限制或免除其未来责任的条款,体现为合同文本或口头约定的形式。[26]合同双方的合意是免责条款成立并生效的必要条件。依照意思自治的基本原则,当事人可以在法律规定的范围内自愿订立合同,约定双方的权利和义务,而合同义务既包括义务承担及违约责任,也包括可能减轻或免除当事人责任的免责条款。在我国,可以设立免责条款的法律依据为《合同法》第53条,其一是造成对方人身伤害的情形,其二是因故意或者重大过失造成对方财产损失的情形。这就表明,当事人可以在满足不以侵害他人人身权利并且不因故意或重大过失损害他人财产权利的条件下,可以在合同中约定免责条款。
从比较法上看,德国、法国、美国认可同意可以作为免责事由的效力,但也有国家尚未承认同意能够成为有效的抗辩。我国自起草《侵权责任法》时,便有人提出应对受害人同意的法律效果问题作出明确规定,但直至民法典编纂阶段仍未将受害人同意列为法定的免责事由。虽然我国《民法典》①《民法典》第1219条规定:“医务人员在诊疗活动中应当向患者说明病情和医疗措施。需要实施手术、特殊检查、特殊治疗的,医务人员应当及时向患者具体说明医疗风险、替代医疗方案等情况,并取得其明确同意;不能或者不宜向患者说明的,应当向患者的近亲属说明,并取得其明确同意。医务人员未尽到前款义务,造成患者损害的,医疗机构应当承担赔偿责任。”侵权责任编仍然延续了《侵权责任法》关于受害人同意规定的空白,但在特殊类型的侵权责任中对医务人员实施特殊诊疗活动时的免责事由作出了规定。由此可见,在特殊诊疗活动中,患者的书面同意构成医务人员实施医疗行为的免责基础。[27]
(2)受害人单方允诺。受害人单方允诺,是指受害人虽未与行为人达成免责条款,但是承诺行为人侵害其自身的权利。[28]在受害人单方作出同意的情况下,针对的是不特定的多数人,并不存在双务合同的相对人,也即双方并非就同意的事项达成合意。在受害人同意的情况下,一旦有行为人实施了同意项下的行为,其原本应承担的法律责任应当得到减轻或豁免。
受害人的允诺可以通过单方面的通知声明形式,也可以通过向行为人告知的方式明确表示出来。但同意的具体内容应当受到一定限制,以不违反法律法规和公序良俗为限度。虽然私法自治原则保护行为人对其自身权益的自由处分权利,但由于受害人同意以允许他人侵犯自己的权益为核心内容,而法律并不保护对人身权益的侵害行为,因此,受害人同意的事项只能针对他人侵害自己的财产权益。一方面,财产权的权能包括占有、使用,亦包含处分和抛弃,受害人对其财产权益侵害的同意,意味着对其财产的放弃。同时,行为人作出侵害的财产范围和程度应当与受害人作出同意的范围相符,否则不能豁免其法律责任。另一方面,对人身权利的同意不宜作为免责基础,因为人身权与主体不可分离,权利人不得通过任何方式转让和抛弃。即使受害人自愿作出同意侵害其人身权利,通常也会违背社会公德和公共秩序,不得视为有效的同意从而阻却行为的违法性。当然,在特殊情况下,如为公众或他人自愿捐赠自己的血液、人体器官,以及上述提及的自愿接受手术治疗等情形下对他人损害自己人身的同意,不属于违反公序良俗之情形。
概言之,如果受害人明确向行为人作出同意,允许其侵害自己的财产权益,可以视为其已经放弃了自己的财产权益,只要不损害国家利益、社会公共利益和他人利益,原则上均可以发生阻却违法的效果。但如果受害人的同意是有限制的,针对特定行为内容的,而行为人超过了该范围,导致受害人的财产或人身利益受损,对于超出同意的部分行为人仍然应该承担责任。
3.个人信息主体同意与受害人同意适用之差异。同意是收集、处理个人信息行为的合法性基础之一,而受害人同意则成为个人信息主体同意的法律依据。受害人同意为个人信息主体同意的适用创造了条件,因个人信息的收集、处理行为并非必然导致个人信息主体利益受损的后果发生,实践中的具体情况如移动终端App、网站张贴的隐私协议,在收集个人信息需要点击或勾选同意项时,其根本目的也不尽然是以侵犯公民个人的隐私等利益代价换取数据的经济价值,随着各类规范的出台①如国家互联网信息办公室秘书局等多部门于2019年11月印发的 《App违法违规收集使用个人信息行为认定方法》,其中列举了九项行为可被认定为“未经用户同意收集使用个人信息”的行为。,对收集、处理个人信息行为的限制愈加严格,个人信息处理者不得不更加谨慎设计隐私政策,合理设置同意选项。
此外,因个人信息收集、处理行为的客体不同于普通民事法律行为客体,同时客体的特殊性又引起行为的特殊性,因而个人信息主体同意与受害人同意仍有不同之处,在对具体法律规范进行解释与适用时,应当进行区分,对个人信息主体同意作出特别解释。
(1)限制条件不同。无论受害人同意的行使抑或个人信息主体作出同意,都应满足一定的限制条件,同意的意思表示不可由任意人轻易作出。我国理论界一般认为,受害人同意要求以同意主体对同意范围有相应的处分权限为前提。受害人同意实质上是对自己权利的处分,所以,他必须具有处分权限。[29]如房屋主人同意他人侵入自己的住宅,是因其对自己的房屋享有所有权,可以作出此种处分,又如重大手术治疗、竞技体育运动中受害人的同意,是针对其健康权、身体权的一种处分,目前也是我国实践中受害人同意应用最广泛的场合。而个人信息主体同意更强调其对个人信息的控制,而非绝对的所有权、支配权。个人信息主体对个人信息的控制,是基于个人信息展现的主体利益,即个人信息主体享有的个人自决、隐私利益等应受法律保护。个人信息主体对个人信息的控制应当受到多重限制,其一为个人信息的使用者、处理者对个人信息加工、处理的合法权益的限制,个人信息主体的控制并不意味着仅信息主体可以使用,作为个人信息的来源者、提供者,个人信息主体需在保障自身主体利益不被侵害的前提下为个人信息处理者提供便利,因对信息的加工、分析、整合后才使其价值得到最大程度发挥,否则封闭的信息将失去利用价值;其二为实现个人信息更大范围内流通、共享、利用的社会利益的限制,个人信息被认为是社会福利和公共物品[30],个人信息具有公共属性,其蕴涵的社会价值和公共价值来源于人的社会性、群体性,每个人都是特定社会群体的一员,是社会整体的组成部分。若赋予个人对其一切个人信息的决定权或控制权实质是保护漫无边际的个人意志,与个人信息的社会属性和公共属性相悖。
(2)适用范围不同。受害人同意来自西方法学理论,移植至我国侵权法领域,成为排除侵权行为违法性的一项正当化事由,学理上对其适用范围并无特殊限定,因此凡是侵犯到他人合法权益的行为都有可能适用受害人同意实现免责(具体情形应视是否满足同意的生效要件而定)。然而个人信息主体同意并不应该适用于所有个人信息收集、处理行为。首先,信息的流动性、实时更新性决定了其只有在倡导流通的应用环境下才有生命力和利用价值,作为大数据形式的个人数据信息的价值在于被社会充分的发掘和使用,沉淀的数据是没有价值的。若存在某种技术可以将信息禁锢在一定控制范围内,这些被“锁住”的信息也是无用的,因为它已经失去了随时随地记录、分析主体的行为的意义。对全部个人信息使用场景均设置同意的关卡无疑会降低信息利用效率,不利于实现信息自由流动。其次,同意在实践应用中还存在诸多困境:隐私政策不尽详尽与合理、重要事项未予增强告知,致使充分告知在现实中难以实现,同意制度被架空;由于个人有限的认知能力导致以同意为核心的隐私自我管理架构无法真正实现个人对数据的掌控[31];同意并非基于个人自愿、真实的意思表示作出,表现在多数产品或服务虽在隐私条款或服务协议中设置了同意的选项,但服务使用者实则无法选择,不勾选同意选项便无法进一步使用等多重问题。由于信息的特殊性和同意规则面临的困境,法律在制定规范时需重新审视同意的适用范围。作为一项个人信息处理的合法性事由,并非任何个人信息处理行为都需要征得信息主体的同意。作为一项违法阻却事由,个人信息主体的同意也并不应当成为信息处理者的免责屏障,而应为特定场景下衡量各方主体利益、判断信息处理行为是否合法的触发机制。
三、明确同意规则的法律效果
关于同意的功能和法律效果,西方学者拉里·亚历山大早有论述,他认为“同意具有道德上和法律上的双重效果”。[32]与这一观点相近的还有海厄姆斯的观点,他认为:“同意行为可以产生变化。在法律上,同意允许行为者改变他们的权利以及与权利相关的义务。同意通过改变权利而赋予行为合法性”。[33]质言之,同意的法律效果即同意可以改变行为性质和结果的功能——因存在同意而引起行为性质发生合法的、合乎道德要求的转变,而相关行为在缺乏同意之前则可能是非法的、不合乎道德要求的。
(一)同意规则的事后救济效力
首先,同意并非对个人信息处理者的事先赋权行为,这一理由包含两个层次的内容:一方面,在个人信息主体作出同意行为时,其并未对个人信息享有绝对支配或控制的权利,无论是由于个人信息区别于其他权利客体的特殊性质还是其具备的社会属性,都决定了个人无法对个人信息行使绝对的支配控制权利。从个人信息保护法指向的客体来看,个人信息无法也不应当成为主体控制或支配的对象,将个人信息作为绝对权的客体进行规制不仅不具有技术上的可能性,而且不利于信息的流通和利用。从个人信息的属性来看,赋予个人对与其有关的个人信息的绝对权实质是保护漫无边际的个人意志,与个人信息的社会属性和公共属性相悖。在信息社会,交流方式的变革根本性地颠覆了传统信息产生、获取、使用与传播的方式[34],有人就把个人信息比作是“一种公共福利(public good)”。[35]个人信息的社会属性具有普遍性[36],其蕴涵的社会价值和公共价值来源于人的社会性、群体性,每个人都是特定社会群体的一员,是社会整体的组成部分。在某种意义上,个人信息甚至成为一种公共物品,其涉及广泛的社会公共利益,不应当由个人排他所有,而是在某种程度上由社会决定个人信息的配置。[37]因此,同意规则在个人信息保护法中的价值实现也并非是通过主体赋权形式实现的,用户的同意规则指向的对象与其他个人信息权利(查询、更正、删除的权利)的权利客体不同,个人信息保护法律规范确立的查询权、更正权、删除权的客体直接是个人信息,具体的查询行为、更正行为、删除行为都是对以特定载体存储于平台上的个人信息直接进行的,而用户同意的对象或事项却是特定的个人信息收集和使用行为,因此无法将“同意”与其他个人信息权利归入同一性质的具体权利。另一方面,事先同意多数不具有现实意义,尤其是在个人信息收集阶段征得的个人信息主体同意多为隐私条款或用户协议的必要内容,但个人信息主体往往对其同意贡献出的个人信息后续使用范围、目的、方式等不知情,甚至并不关注,这反过来加大了个人信息处理者任意利用个人信息获利的机会,因此同意机制已与设置时的目的背道而驰,沦为个人信息处理者不当处理信息乃至滥用信息的保护伞。
其次,同意规则以事后救济为核心。在个人信息保护和流通实践领域,作为个人信息处理行为的合法化依据之一,同意的运用不应被要求绝对化的适用于所有个人信息处理场景,当且仅当个人信息的收集、处理行为有侵害信息主体利益的风险或造成实际损害后果时,这一救济机制才有了实现个人信息主体利益保护的可能性。因此,这一机制是由个人信息处理者的不当行为触发的,有且仅具有事后救济效力,而非事先由法律赋予特定主体以一项规定。与同意有关的因果关系链条为先由特定的个人信息收集或使用行为引发个人信息侵权行为,而后在寻求法律救济阶段判断是否符合同意规则的要求进而确定是否能够阻却个人信息处理行为的违法性。
(二)同意非个人信息处理的唯一必要条件
目前无论是现有的《网络安全法》等法律规范,还是《个人信息安全规范》,或者已经生效的《民法典》中人格权编有关个人信息同意的规定①参见《民法典》第1035条和1037条的规定。,以及备受关注的《个人信息保护法》,都将同意作为个人信息处理的合法性基础,即“个人信息的收集、使用须经个人信息主体同意”。从比较法上看,欧洲各国家及地区的个人信息保护法均将个人信息主体的同意作为个人信息保护的一般规则,同时规定同意是个人信息处理的合法性基础之一。从法律发展进程上看,在各国的个人信息保护法发展历程中,对于个人信息处理规则基本上符合从严到宽的规范趋势。最初的立法目的是防范个人信息滥用,免受国家公权力的不当侵犯,加强个人信息保护和国家的严格管制,因此在某一特定时期同意确实成为除法律规定外唯一的合法性事由。但后期随着时代的发展,大数据的经济价值不断凸显,单一依靠同意规则限制个人信息的利用变得不再符合时宜,因此各国纷纷修改个人信息保护法,将除同意外的多项合法性事由列入法律规定,以此促进个人信息的合理流通和使用。
因此,可以得出结论:同意在个人信息保护法律框架下扮演极其重要的角色,但其角色为收集、处理、使用个人信息的合法性事由“之一”,并非唯一、绝对、必要的基础。同意具有阻却违法效力不代表所有场景均需用到同意,毋宁,个案中并非一律须取得当事人之同意,才能进行收集、处理活动。首先,在具体个案中,当事人同意可能与其他合法事由并存,如履行合同的需要,此时究竟应以何者(或兼采多项事由)作为个人信息处理的法律基础,需要视个人信息使用目的以及个别事由的适用范围等因素分别加以考量。[38]例如,在雇佣关系中,作为个人信息处理者的用工单位需要收集员工的个人信息,可能会在签订合同时获得员工的同意,这时依据的合法性事由便是信息主体的同意事项,同时由于二者均处于雇佣合同的法律关系之中,用工单位仍可在履行合同的必要范围内收集、存储并使用员工的个人信息,而不论其是否已经单独就该事项作出同意,这时依据的合法性事由还可以是履行合同之必需的事项。但如果用工单位需要利用该员工的个人信息转作其他用途,则仍须凭借主体同意的合法性事由另行征得员工同意。其次,同意有时并不适合作为收集、使用个人信息的合法性事由,选择其他事由作为合法收集、使用个人信息的基础反而更为适当。在特定情形下,由于双方当事人地位不对等,个人信息主体囿于经济等不利因素可能无法真正作成自主决定,同意面临缺乏真实性的适用困境,此时若仍将个人信息主体同意作为合理化个人信息处理的依据,不但同意的效力值得怀疑,在个人信息处理活动自始具有其他合法性事由的情形下仍寻求当事人同意,有可能构成误解或者显失公平。[39]
(三)同意规则的有限免责效力
1.同意不必然阻却违法。首先,同意的法律效果不等于同意必然产生阻却行为违法性的结果。个人信息保护中同意规则的规范逻辑应当是由特定场景下的特定行为触发而选择使用的规则。目前,许多网络运营者在提供服务时容易将收集、使用用户个人信息的目的混入其提供的服务中,误使用户认为收集、使用个人信息是获得网络服务的前提性条件。然而,实际情况是网络运营者在提供服务的过程中,基于合法、正当、必要的目的收集、使用用户个人信息时,需要具备合法性基础,这方才触发了同意机制。
为了进一步确保同意规则取得应有的实施效果,一些网络运营者采取了诸如“下拉最底页”“强制读秒”等强化告知程序的优化和改良措施,但是对于如何获得真实有效的个人同意产生的作用十分有限。由此可见,无论如何从形式上改良获取用户同意的规定,上述操作并未对网络运营者收集、使用个人信息的行为产生实质上的影响力和约束力,相反却成为了网络运营者肆意收集或不当使用个人信息的“保护伞”,这导致用户在使用网络运营者提供的服务时,不得不付出同意收集、使用个人信息的不平等对价。同意规则最初是作为保护用户个人信息的防御救济机制,但在应用过程中却逐渐转化为个人信息处理者规避风险的手段,导致失去了其本应有的制度价值。
2.非以同意作为合法性前提时,同意不是违法阻却事由。经上文论述,同意并非取得个人信息的唯一途径,信息主体的同意并非个人信息处理的必要条件。《欧盟基本权利宪章》便规定了个人信息处理的正当性基础既可以是用户本人的同意,也可能是基于其他的法定事由。[40]对于个人信息处理的正当理由,最具参考意义的为欧盟《统一数据保护条例》提供的规范思路,其中第六条还列举出了其他五项合法事由。①GDPR第6条规定的其他五项合法性事由为:(1)履行数据主体为一方当事人的合同或在订立合同前为实施数据主体要求的行为所必要的数据处理;(2)为履行数据控制者的法定义务所必要的数据处理;(3)为保护数据主体或另一自然人的重大利益所必要的数据处理;(4)为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理;(5)数据控制者或第三方为追求合法利益目的而进行的必要数据处理。因此,在特定情况下,对个人信息的收集和使用还可以依据这五项合法性事由作为前提。
那么,同意规则的有限免责效力中的“有限”便有了第二层含义:在非以同意作为合法性前提的个人信息处理行为中,即使个人信息处理者事先取得了个人信息主体的有效同意(同时满足实质要件和形式要件的同意),在由个人信息泄露、不当使用等造成信息主体权益受到侵害的情况下,个人信息处理者也不得以其获取了信息主体的同意作为抗辩事由,进而主张免除或减轻自己的责任。
综上所述,个人信息保护中的同意规则的法律效果可以概括为:在一定范围内可成为阻却行为违法的事由,但未经同意不得成为侵权行为的构成要件。申言之,其核心法律效果便是在涉及个人信息权益受到侵害时阻却个人信息处理行为的违法性,对个人信息的不法侵害具有救济功能。采取这一原则进行保护,立法只得选择事后救济路径而非事先赋权路径,也即,当且仅当个人信息的处理产生侵权损害后果时,同意机制作为一项违法阻却事由得以触发,个人信息处理者是否事先征得个人信息主体的同意成为司法裁量中的一项重要因素。
(四)由“三重同意”机制检视同意规则的法律效果
在个人信息保护的同意规则运用于司法实践裁判的过程中,不乏对互联网企业收集个人信息行为性质及合法性基础认定起标示性作用的案例,其中最为典型的案例当属“新浪微博与脉脉不正当竞争纠纷”①“脉脉”是一款以提供职场求职招聘信息,帮助职场人拓展人脉的社交应用App软件,其与新浪微博通过《开发者协议》进行合作,并按约定通过微博平台Open API接口获取新浪微博的用户数据。合作期间,新浪微博方以脉脉超过合同约定获取其平台上的用户数据,并在中断合作关系后仍未完全删除其获得的数据为由提起诉讼。一审法院判定被告脉脉在双方合作期间非法抓取、使用超出双方协议约定范围的用户信息(职业信息和教育信息),且在合作结束后继续非法使用新浪微博的用户信息,这一行为构成不正当竞争,二审法院维持了这一判决结果。案件详情参见北京市海淀区人民法院〔2015〕海民(知)初字第12602号民事判决,北京知识产权法院〔2016〕京73民终588号民事判决。。在这一案件的事实认定与行为合法性判断过程中,法院确立了收集和使用个人信息时应遵循的“三重同意”②本案的审理过程及判决文书中均使用“授权”一词,但以前文所论同意并不具有授权的法律效果,此处的“三重授权”是对具体案件审判思路的总结归纳,将“授权”与“同意”混用为日常表达中的惯用说法,其实际含义是用户或互联网平台作出的“同意”行为,并无强调同意具有授权的法律效果之意。为避免引发理解上的歧义,下文均使用“同意”。模式,即“用户同意+平台同意+用户同意”模式③此后关于互联网平台与第三方数据开发者收集、使用用户数据的授权模式,裁判依据均参照“新浪微博与脉脉不正当竞争纠纷”一案,采取“三重同意”模式,如2018年“淘宝与安徽美景公司不正当竞争纠纷”,肯定了这一模式,并将该规则的适用范围扩大至“使用其他网络运营者收集的用户信息”,并将个人行为痕迹信息纳入适用范围,详情参见杭州铁路运输法院〔2017〕浙8601民初4034号民事判决,杭州市中级人民法院〔2018〕浙01民终7312号民事判决;2019年“腾讯与今日头条(抖音、多闪等)不正当竞争纠纷”一案,再次肯定并适用“三重同意”模式,并对“平台同意”的具体要求进行细化,进一步限制第三方开发者利用平台的用户数据,详情参见天津市滨海新区人民法院〔2019〕津0116民初2091号民事裁定书。,具体判定思路为:其一,作为第三方开发者,在通过平台获取其正常经营范围所需的用户数据之前,必须由互联网平台(本案中一审原告方新浪微博)征得其用户的同意,体现用户对平台隐私政策的同意与接受,在隐私政策中,平台会告知需用户同意收集、使用的个人信息的内容及范围等事项;其二,依据互联网平台与第三方开发者事前订立的《开发者协议》,获取平台的合法同意后取得Open API接口的准入权限,实现数据的合法传输;其三,开发者(本案中一审被告方脉脉)在收集、使用基于平台提供的用户数据之前,仍需事先征得用户的同意,这既是源于第二阶段开发者与平台的协议约定,也是法律上关于“个人信息收集、使用必须经个人信息主体同意”这一规范的必然要求。(见图1)而本案的争议焦点也主要围绕被告获取用户数据的行为是否符合第三层同意的要求,经法院认定,脉脉在未取得用户的明确同意的前提下便获取了平台的用户信息,包括个人头像、名称(昵称)、职业信息、教育信息及用户自定义标签、手机通讯录联系人及微博好友等内容,违反了诚实信用原则与公认的商业道德。
图1 “三重同意”规则的司法运用
本案的判决结果在一定程度上以司法判例的形式践行了通过诸如《网络安全法》《消费者权益保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》确立的收集、使用个人信息必须征得个人信息主体同意的基本规则,结合具体案情推演出的“三重同意”模式虽符合法律规定,但因其必要性和正当性的缺失,导致用户个人权益并无法获得真正的保障,法律规则的应然架构与个人信息保护实然困境的冲突不得不使我们重新审视同意的法律效果。
在“三重同意”规则适用中,依据对个人信息的获取和利用方式可以将其分成两个阶段:第一阶段是个人信息的“一次利用”,即互联网开放平台方直接收集、使用用户的个人信息须获得用户的同意;第二阶段是个人信息的“二次利用”,即第三方开发者通过开放平台,如通过Open API模式间接获取用户数据时,必须经过平台方同意和用户本人再次明确同意。在用户数据的一次利用阶段,同意的主体是用户个人,针对的对象是从用户处直接收集的诸如个人名称(昵称)、头像、职业信息、教育信息等用户数据,适用传统的知情同意规则,旨在加强个人对其个人信息的控制和保护;而二次利用阶段,原始用户数据脱离信息主体而进入数据收集者或利用者的实际控制,后者还可能对这些原始数据进行进一步的加工处理,而依据《开发者协议》个人信息的二次利用不仅需要得到与第三方开发者存在合同关系的平台,还需要重新征得用户的同意。①无论是对用户数据的直接获取或间接获取,都涉及个人信息主体(用户)的同意,因此下文讨论“同意的法律效力”均针对本案中“三重同意”模式下的两项“用户同意”,不讨论“平台同意”的效力问题,这也与我国现行法律规定的同意主体相符。“三重同意”规则看似为个人信息主体(用户)和平台的数据权益提供了充分保障,确保个人信息在收集、使用的每一环节都严格执行知情同意规则,但无论是在一次利用阶段要求对所有的个人信息收集行为均须得到用户“具体的、清晰的,在充分知情的前提下自由做出的同意”,还是二次利用阶段要求第三方开发者分别征得用户和企业同意的规定,不仅会增加个人信息收集利用的操作难度,而且还会引导人们错误理解同意机制的法律效果。“三重同意”规则的确立是否意味着同意的主体因此享有与个人信息相关的权利?一旦获得用户和平台的有效同意,个人信息的收集者、使用者实行的行为是否一概免责?
第一个问题关于同意是否具有授权的法律效果。对于互联网平台和第三方开发者而言,用户数据是网络经营者收集和分析用户需求,提供定制化产品和服务,进而提升用户体验的重要源泉。[41]因此,法律规范和司法程序确立的“三重同意”规则均保障用户个人得以按照其意愿决定与其有关的用户数据是否可被平台或第三方开发者收集、使用,但用户对其用户数据的决策与控制并不意味着享有一种受私法保护的同意权利。对同意机制的作用不应过分解读为确立个人对其个人信息的处分权利,即使在用户同意新浪微博平台或脉脉收集其个人信息之后,用户仍可继续使用该个人信息,亦即个人信息对于用户的使用价值并不会因为其他信息处理者的处理行为而受到削减。从反面看,个人信息若单纯依靠为用户确立新型的个人信息权利保护其正当权益,结果可能会导致权利的滥用和亵渎。对于用户的信息权利保护应以信息处理者严格规范自身的行为为出发点,同意机制只是在个人信息主体的利益遭遇侵害风险时的救济手段之一,具有事后性、不可预见性。
第二个问题关于同意是否具有绝对的免责效力。“新浪微博与脉脉不正当竞争纠纷”一案作为大数据时代有关个人信息商业化利用第一案[42],其确立的个人信息保护模式对大数据时代建立信息利用秩序起到指示性作用。“三重同意”规则在本案及后案中的运用,目前来看符合我国个人信息保护的相关规定,但其背后则反映出平台与第三方开发者存在滥用同意规则进而实现“风险规避”之嫌。如脉脉在其提供的《脉脉服务协议》中表明“用户一旦使用第三方平台账号注册、登录、使用脉脉服务,淘友公司对该等第三方平台记录的信息的任何使用,均将被视为已经获得了用户本人的完全同意并接受”“用户对淘友公司的前述明确同意是不可撤回、基于其自身真实意思表示的授权”,此种隐私协议在实践中相当于基本架空了同意规则,不符合个人信息保护规定中同意的合法形式及运用规则。在发生相关纠纷后,法院也在判决中指出,“脉脉未在服务协议中充分告知用户相应行为的后果,且无权选择关闭相关对应关系或展示方式等”。由此可以得出,若泛泛的要求个人信息收集、使用一概要征得主体同意,不仅未必可达到保护个人信息主体利益的目的,更加容易使同意机制沦为信息处理者滥用个人信息、规避风险的工具,最终导致同意规则运用的现实效果与设立初衷相背离的不利后果。因此,对同意的免责效力不宜做扩大解释,同意是否可以达到阻却个人信息处理行为违法性还应视行为的具体性质、后果及是否与其他合法性事由相关联等因素综合评判。
第三个问题关于同意是否应当成为个人信息处理的唯一前置必要条件。在“新浪微博与脉脉不正当竞争纠纷”一案中确立了“三重同意”的司法规则,也即奠定了“同意为个人信息处理必要条件”这一原则在审判活动中的指导地位。但正如上文所述,对于任意个人信息利用场景下,个人信息处理者与信息主体之间的法律关系可能关涉多重利益,若个人信息主体永远享有决定他人是否可以收集、使用个人信息的权利,那么当个人信息的利用与公共利益、其他重大利益相关时,如新浪平台将收集的用户信息供公安机关调查取证之用,这时个人信息的处理之正当性基础便不再是个人的自由意志,所以应将“三重同意”规则的适用范围做出合理限定,由此,同意并非唯一合法事由,在某些情况下的同意甚至与个人信息处理并无因果关系。
私法领域保护个人的自由、平等和意思自治,在“法无禁止即自由”的权利推定规则指引下,权利人与相对人均受到这一规则的约束,个人可在不侵犯他人合法权益的情况下自由行事。对于权利人而言,权利就意味着自由,而他人的权利则意味着对自己的限制。[43]正是由于每个人都处于权利与义务相制衡的环境下,人的自由、平等权利才更加得到保障。然而,存在于同意这架规制天平两端的主体既包括个人信息主体,也包括个人信息的处理者。实现和保护个人信息主体的主体利益和自由意志意味着对个人信息处理者行为自由的适度限制,即个人信息处理者初始状态下的收集、处理行为不自由,只有透过个人信息主体的同意机制才可将个人信息处理者的限制打破,实现其对目标信息的合理使用,达到个人信息最大化利用的理想状态。因而同意规则的法律效果应是使个人信息处理者原本无法自由处理信息的行为获得自由,使原本不合法的信息处理行为变为合法。同意规则旨在保护个人信息主体的自决权,这意味着对个人信息处理者行为自由的适度限制,即个人信息处理者在初始状态下并不享有处理其个人信息的自由,只有透过个人信息主体的同意机制才可将个人信息处理者的限制打破,创设个人信息处理者的行为自由权限,实现个人信息处理者对个人信息的合理使用,达到个人信息最大化利用的理想状态。
同意并非个人信息处理行为合法性的实体构成要件,仅具有保障程序正当性的作用。关于同意规则的规范表达,国际法上通行的做法是将其列为一项个人信息处理的合法性基础,而我国现行法律规范没有使用“合法性基础”这一表述,我国对同意的规定总体可分为两类,一类是以《民法典》第1035条、《网络安全法》第41条和42条等为代表的规定,即个人信息的收集、使用、提供等行为须以该个人的同意为前置条件,另一类是以《民法典》第1036条、最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条为代表的免责事由的规定,即个人信息主体的同意在一定条件下可以成为个人信息处理者免于承担侵权责任的事由之一,易言之,同意在一定条件下可以阻却个人信息侵权行为的违法性。但无论是哪一种形式的规范表达,都未将同意作为个人信息处理的合法性构成要件。因此,同意类似个人信息处理者合法进行个人信息收集、使用等活动的第一道“闸门”,满足了同意要件仅达到实现程序正义的目的,而具体的信息处理行为是否构成侵权还应结合侵权责任的构成要件进行确认。