杨垠红, 高 天

(福建师范大学法学院,福建 福州 350117 )

2021年11月1日起实施的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)在法律意义上确立了以“告知—同意”(inform-consent)规则为核心的个人信息保护制度。“告知—同意”规则来源于医疗领域的“知情同意”(informed consent)规则。“知情同意”规则指医生在医疗方案实施前须告知患者该方案的详细情况，在得到患者充分知情且同意后才能施行方案。在信息时代，“知情同意”规则逐渐演变成为《个人信息保护法》的基本原则。《关于<中华人民共和国个人信息保护法(草案)>的说明》(以下简称《立法说明》)使用了“告知—同意”规则的表述[1]，故本文也使用这一表述。“告知—同意”规则的确立，不仅能更好地保护个人信息权益，还能维护互联网生态，促进互联网经济的发展。通过对中国裁判文书网案例的检索与分析以及在各级法院的调研与交流，本课题组发现“告知—同意”规则在具体实践适用中存在2个主要问题：(1)“同意”的性质存在争议。究竟其为意思表示、权利许可，还是违法阻却事由，存在争议。若不能准确定性，则可能导致对“告知—同意”规则的整体理解和适用产生混乱。(2)规则的适用情况不尽如人意。《个人信息保护法》规定了“单独同意”“书面同意”等特别形式的“同意”，以期能更精确地保护不同人群的权益，但立法仅规定了这些特别形式的适用情形，导致实践中出现适用情景的混淆，使得立法的初衷无法实现。本文就此展开研究，为“告知—同意”规则在司法实践中的适用提供参考。

一、《个人信息保护法》中“同意”的性质分析

(一)立法现状阐释

从《个人信息保护法》草案一审稿、二审稿再到该法正式颁布的3个阶段来看，有关“同意”的相关立法发生了如下变化：一审稿草案第14条将“同意”定义为个人知情后作出的意思表示，但二审稿草案第14条删除了“意思表示”的文字表述，最后颁布的《个人信息保护法》第14条没有恢复“意思表示”的文字表述，把“处理个人信息的同意”修改成“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出”。《立法说明》虽未提及“同意”的性质或定义，但在起草工作要点中强调：“对一些尚存争议的理论问题，在本法中留下必要空间。”可见，立法者曾偏向于将“同意”定义为意思表示，但囿于争议，为“同意”性质的讨论留下了较大的空间。《立法说明》未使用学界常用的“知情同意”规则的表述，而是改用“告知—同意”规则的表述。此外，也提到立法目的在于进一步保护信息安全、维护网络生态、促进数字经济发展。因此，有必要重视“告知”在规则中的地位，并正确理解“同意”的性质，以便更好地规范个人与信息处理者之间的法律关系。

(二)学术争议观点

在《个人信息保护法》颁布之前，就有不少学者对“告知—同意”规则或“知情同意”规则中“同意”的法律性质展开分析和讨论。有学者认为“同意”的法律性质属于意思表示，在侵权领域归入受害人同意，作为免责事由，在合同领域归入合同给付的一部分，“同意”规则的构建可依照意思表示的类型和要件展开[2]。有学者对“告知—同意”规则进行梳理，认为“同意”是对个人信息权益的一种处分，但是这种处分不能脱离商品或服务合同的语境而单独存在，而是个人信息主体为了获得相应的商品或服务而必须作出的权利处分[3]。也有学者主张“同意”属于法律事实，认为个人信息的处分应遵循类型法定原则，个人不生产信息财产价值，不宜类推肖像权规定由个人享有信息财产处分权；个人信息不具独占支配性，无法形成支配性权益结构，不符合处分行为构成，“同意”效果法定，应当定性为准法律行为[4]。还有学者认为“同意”并不属于处分行为或意思表示，而是需要分为两层进行讨论：在消极的层面上，“同意”属于违法阻却事由，即免责事由；在积极的层面上，“同意”是个人信息处理活动的合法根据或正当理由之一[5]。

(三)本文观点分析

与域外多数国家的做法类似，我国立法确立了“告知—同意”规则。“知情同意”规则设立的初衷是确保个人能够获取足够的正确信息，使其能够判断在作出同意后所获取的利益以及为此需要付出的成本。本文认为，不能孤立地研究“同意”，而应重视“告知”在该规则中的作用，将“同意”与“告知”联系起来解读，即《个人信息保护法》中的“告知”是信息处理者作出的意思表示，“同意”是个人知情后作出的意思表示，两者结合达成双方法律行为，从而产生民事权利义务关系。具体阐释如下：(1)信息处理者作出的“告知”不仅具有公法上的义务属性，还具有意图发生一定民事法律后果的目的。自然人对其个人信息享有的民事权益属于人格权益[6]，这种人格权益与肖像、声音一样，兼具人身性、财产性的双重属性。个人信息经过大数据分析后，有利于复杂问题的便利处理[7]。个人信息无论用于大数据分析，还是被单独处理，都具有一定经济价值[8]。因此，为了获取个人“同意”以合法收集个人信息，以便提供更好的服务与产品，进而获得更大的访问流量，信息处理者有着以“告知”来争取“同意”的目的。实践中，个人信息处理者主要以隐私协议的方式履行其告知义务[9]，隐私协议的入口甚至直接融入进信息处理者的服务及产品展示页面。因此，“告知”实际融合了公法和私法的双重属性[3]。在公法领域，“告知”被视为义务的存在；在私法领域，“告知”被视为信息处理者为获取“同意”以合法收集、处理个人信息的意思表示。(2)个人作出“同意”具有获取信息处理者的服务及产品或其他便利的目的。 “同意”与“告知”相对应，是旨在发生一定民事法律后果的内心意思的外在表示。有学者认为“同意”不属于民事法律行为，而是属于法律上的行为[5]。这是因为个人对于个人信息处理者就其个人信息所要实施的处理活动而作出的同意，并非旨在发生民事法律后果的内心意思的外在表示，个人与个人信息处理者之间也没有就设立、变更、终止民事法律关系达成合意[5]。但在实际上，个人作出“同意”均是带有明确目的性的，需要信息处理者或服务商提供与个人信息对应的服务、产品或某种便利，并不仅仅是一个简单的事实行为。《个人信息保护法》第16条也规定信息处理者不得因不同意而拒绝提供服务与产品，这印证了“同意”的作出往往带有获取一些利益或产生某种民事权利关系的目的。实质上，双方通过“告知”与“同意”达成合意，从而确定了权利义务关系。(3)将“告知”与“同意”作为信息处理者与个人的意思表示，两者达成对应的而非合致的双方法律行为，进而产生民事权利义务关系。实践的意义在于为司法适用“告知—同意”规则提供新思路。可参考我国《合同法》，填补《个人信息保护法》“同意”特别形式规定的缺漏，从而强化对个人信息和知情权利的保障。一方面，《个人信息保护法》兼具私法色彩，应与我国《合同法》的相关规范形成有机互动。如《个人信息保护法》第15条的规定，实际上也是对格式条款合同规则的落实[10]。再如，可参考合同双方权利义务应平等、合理的原则，个人单独同意的作出应对等地要求信息处理者对特别事项进行单独的告知。另一方面，可参照违约责任的设计，为个人信息的损害提供额外的救济路径。即当信息处理者不当处理个人信息造成个人损失的，个人应有权请求其承担违约责任或赔偿损失[11]。

二、《个人信息保护法》中“同意”的特别形式及其一般适用

(一)“同意”的特别形式

个人作出的“同意”是与信息处理者的“告知”相对应的意思表示，两者达成双方法律行为，从而产生法律效力。这个双方法律行为若要有效，需具备行为人具有行为能力、意思表示真实、不违背效力强制性规定等3个有效要件。就“同意”而言，《个人信息保护法》第14条第1款的规定实际上就是在要求一般同意(相对于后文所述的单独同意、书面同意等特别形式)作为意思表示必须真实。因此，一般同意可参照民事法律行为的构成要件适用：要求个人具有行为能力；必须在充分知情的情况下自愿、明确作出同意，以保证同意作为意思表示的真实；该同意的作出不得违背法律效力性强制规定。《个人信息保护法》在某些情形下，为保护特殊利益规定了效力性强制规定，要求信息处理者在处理信息前不仅应当获取个人同意，还应当获取个人以某种特殊方式作出的同意(如书面同意)，即“同意”的特别形式。若违背了相关规定，个人即使作出同意，也属于无效的民事法律行为；信息处理者即使取得了个人同意，也不能合法地处理个人信息。《个人信息保护法》通过法条列举规定的不同适用场景，衍生出4种除一般同意以外的特别形式的“同意”，即单独同意、重新取得同意、书面同意以及监护人同意。(1)单独同意。在对外提供个人信息的(对应《个人信息保护法》第23条、第39条)、向不特定人收集或公开个人信息的(对应《个人信息保护法》第25条、第26条)、处理敏感信息的(对应《个人信息保护法》第29条)以及其他法律法规规定的(对应《个人信息保护法》第14条)等4类情形中，信息处理者需要取得个人的单独同意。对于第4种情形，通过检索国内含有“单独同意”的法律法规，除《个人信息保护法》外，只有一部司法解释出现了“单独同意”的表述，即最高人民法院对于人脸信息在民事案件中的适用作出的相关司法解释。但人脸信息属于《个人信息保护法》第28条所规定的敏感个人信息，其适用参照《个人信息保护法》第29条的规范，故此处不再列举该司法解释。(2)重新取得同意。信息处理者处理个人信息的处理目的、处理方式发生变更时(对应《个人信息保护法》第14条、第22条、第23条)，需要重新取得个人同意。(3)书面同意。《个人信息保护法》没有规定书面同意适用的具体情节，仅在第14条及第29条规定了与单独同意共用的兜底条款及敏感个人信息保护条款。通过检索国内含有“书面同意”表述的40部法律及36部行政法规，发现仅有《征信业管理条例》的第14条、第18条、第28条、第29条在征信机构或金融信用信息基础数据库采集、提供个人信息时，对个人信息的书面同意适用情节作了规定。(4)监护人同意。《个人信息保护法》列举了一种需要监护人同意的情形，即处理未满14周岁的未成年人个人信息，对应该法第31条。

(二)特别形式“同意”的一般适用规则：分层次适用

《个人信息保护法》列举了应当适用特别形式“同意”的具体情形。在实践中，可以通过识别不同的具体情形来判断信息处理者是否应取得特别同意，进而判断信息处理行为是否合法。但在混合了多种适用情形的复杂案件中，可能会难以区分到底该适用何种特别形式的“同意”，从而造成适用混乱的问题。如信息处理者向其他信息处理者提供未满14周岁未成年人信息时，既符合单独同意的适用情形，也符合监护人同意的适用情形，造成了2种特别形式“同意”的适用竞合和冲突：究竟要取到未成年人的单独同意，还是要取得未成年人的监护人同意，或是两者均需取得同意。实际上，《个人信息保护法》所列举的适用情形之间存在一定的联系。如对外提供个人信息和处理敏感个人信息都属于适用单独同意的场景，法律对于信息处理者在这些场景中的处理门槛的要求是一致的，即只要取得个人的单独同意。但法律又规定未满14周岁的未成年人信息属于敏感个人信息，处理该未成年人信息还属于适用监护人同意的场景。为了弥补未成年人意思表示的缺陷，法律提出了更加严格的处理门槛，要求信息处理者处理未成年人信息时还需要取得其监护人同意。因此，在监护人同意与单独同意竞合的情形下，应适用法律要求更为严格的监护人同意。

综上，适用特别形式的“同意”不能孤立地适用。从风险知晓的角度上看，同意的对象分为已知风险和未知风险；从处理信息的主体上看，又分为初始获取主体和后续转移主体[12]。笔者认为，可根据法律要求的严格程度，按风险大小来分层次适用，以信赖为核心，做到分层设置：当信息处理者的“告知”能让个人知晓风险且仅存在初始获取主体时，仅需取得一般同意，此时的法律要求严格程度最低，可适用《个人信息保护法》第13条的规定，此为第一层。当出现后续转移主体或信息处理者变更了原先的处理目的及方式时，因出现未知风险，法律对此时的“同意”要求比第一层严格，信息处理者需要根据《个人信息保护法》的规定取得个人单独同意、书面同意或重新取得同意，此为第二层。当存在第二层的敏感个人信息或向他人提供其处理的个人信息情景时，《个人信息保护法》第31条、第29条、第23条作出了更严格的规定，此时应当优先适用法律要求更为严格的监护人同意、书面同意或重新取得同意，此为第三层。同时，应当注意的是，高层次的适用优先于低层次的适用。

三、《个人信息保护法》中特别形式“同意”的具体适用

(一)单独同意的适用

以“微信读书案”和“微视案” 为例。两案虽发生在《个人信息保护法》颁布前，但仍为单独同意情形下 “如何判断信息处理者是否属于同一主体”的问题。两案均涉及个人信息在两款不同的APP上流转，原告认为微信读书APP或微视APP未经过原告同意，使用了自己在微信上的个人信息。法院判决认为，虽微信和微信读书、微视为不同APP，但开发运营主体为同一方，同属于一个信息处理者主体，因此，微信读书、微视和微信均不对原告构成侵权[13]。如此认定信息处理者的同一性值得商榷。实践中，鉴于当事人之间的信息不均衡，同意的作出需要极高的交易成本，因而数据主体要么因为信息不足而造成风险误判，要么出于风险规避意识而直接拒绝分享数据[14]。因此，我国大众并无必要知悉信息处理者之间的区分，只要是处理了其个人信息的主体，就被看作是处理者，应负有相应的义务[15]。可见，认定2个信息处理者是否属于同一主体的信息处理者，不能从实际运营处理个人信息的角度判断(因为无法要求个人知悉不同信息处理者之间的具体区别以及背后的实际运营情况)，而应当从个人的合理预期的角度进行判断。由于个人作出“同意”均是带有获得信息处理者的某种服务或商品的目的，分辨、认定2个信息处理者的标准应是两者所提供的服务或商品存在本质区别，消费者能直观地将其区分开来。若两者本质不同，应当视为2个不同的信息处理主体。如淘宝与支付宝同属于阿里系公司，属于同一个开发运营主体，但淘宝提供电商服务，而支付宝提供金融服务，两者展示的服务和商品的页面也大不相同，具有显著的差异。从个人的角度看，两者完全是2个不同本质的信息处理者。因此，当个人使用支付宝账号登录淘宝或使用淘宝账户登录支付宝时，支付宝或淘宝都应当让个人单独同意是否授权其在另一软件上的个人信息。

(二)重新取得同意的适用

在实际的信息处理中，信息处理目的与方式常常随着处理场景的变化而变化。若因处理目的或方式仅仅发生细微、合理的变化，就要求信息处理者重新取得个人的同意，不仅可能导致个人使用信息服务时产生同意疲劳，还可能增加信息处理者或服务商的信息处理成本，使得效果适得其反。在不同的处理场景中，信息处理者的处理目的、处理方式很可能与最初告知于个人的内容并不相符；个人也有可能为了获取额外的产品或服务，希望信息处理者用不同的处理方式对同一段已经同意的个人信息进行处理。因此，为保证个人信息的充分流通，实现个人信息价值的最大化，并促进数字经济的健康发展，应允许信息处理者在信息处理的不同场景中，适度地对信息处理目的和方式进行符合个人合理预期的变更。新增的目的应当合理，且变更前后的信息处理目的或处理方式应当具有合理的关联性，符合个人信赖利益。在变更前后的处理目的与处理方式不存在合理关联，且超出个人合理预期的情况下，个人信息处理者应当依法重新告知，并重新取得个人的同意。如在抢楼汇公司诉云上城公司合同纠纷案中，原告、被告均未经业主本人同意，将原用于物业管理的业主个人信息进行商业牟利。显然，物业管理目的和商业目的之间不存在合理的关联性，更超出了个人的合理预期。因此，原告、被告在未获取业主重新同意的情况下擅自改变信息处理目的是不合法的[16]。

(三)书面同意的适用

对于信息处理者来说，书面同意提高了处理信息的门槛，要求信息提供者在充分知情的情况下自由、明确地作出书面形式的同意，且信息处理者负有证明书面同意存在的责任。如果信息处理者不能证明取得了个人的书面同意，即便可以证明取得了同意，该处理活动也是非法的、无效的[5]。对于书面形式，我国《民法典》第469条作出了规定：书面形式是以有形载体呈现内容的表达形式，包括但不限于合同、信件、传真；以数据电文为载体，譬如单纯的电子数据交换或者电子邮箱的方式记录并且可以随时调取的视为书面形式。书面形式的个人同意有警示当事人的作用，希望以此提醒信息主体在谨慎思考后作出选择。从举证角度而言，即使不属于以书面形式为必要条件的个人同意，按照《个人信息保护法》第14条的规定，也可以书面形式的同意予以佐证。这是明确同意较为有效和方便的证明形式，在诉讼过程中也可成为解决纠纷的证据。当然，《个人信息保护法》关于书面同意的规定不属于确定性规定，而是援引性规定，法律和行政法规对个人信息同意获取有书面形式上的要求的应当采取书面形式。从该法第29条的规范结构来看，相较于单独同意，书面同意是更高的保护形式，因为敏感个人信息的处理自身需要信息主体的单独同意，在此基础上还需要书面形式为有效要件的规定。

(四)监护人同意的适用

《个人信息保护法》对不满14周岁未成年的个人信息采取了“一刀切”式的保护，即无论任何情况，处理该信息均需要取得其监护人同意。根据《2020年全国未成年人互联网使用情况研究报告》，目前我国小学生互联网普及率至少达到了92.1%，小学生网民对于网络权益维护的认知比例达到65.1%，且57.5%的家长表示对互联网懂的不多，上网主要是看新闻或短视频[17]。随着社会发展日新月异，在互联网各类新事物、新服务出现的情况下，未成年人群体与父母之间可能存在较大的“互联网代沟”。特别是在二孩、三孩生育政策出台后，大龄父母相对更缺乏互联网知识，父母不了解或需要花费不少精力去了解孩子的上网情况。在网络知识的运用和对自身信息权益的认识上，有的家长作为监护人，并不一定比被监护人更了解未成年人自己的个人信息。此时，“一刀切”式的规定可能导致两方面的问题：其一，若未满14周岁未成年人使用网络都须经过监护人同意，则一旦监护人缺乏网络知识或不便及时作出同意，将会影响未成年人对网络的有效运用；其二，若在不了解的领域为被监护人个人信息作出同意，则监护人同意的成本远比自己作出同意的成本更高，监护人更容易产生“同意疲劳”。因此，在未成年个人信息的权益保护上，或许可以通过制定白名单或出台司法解释等方式对未成年人的同意进行分级，进而构建更详细的“同意”规则，以平衡未成年人的信息自决利益与公共利益，使未成年人在特定情况下能够自主作出同意。在“同意”的分级上，可以根据法律对限制民事行为能力人和无民事行为能力人的划分，对未成年人的“同意”进行分年龄阶段的保护。即不满8周岁的未成年人所作出的“同意”应属无效，8周岁以上的未成年人在特殊情形下可以独立作出与其智力、年龄相符合的“同意”，不符合的则由其监护人进行追认、同意。此外，国家网信办等相关管理部门可以制定一个未成年人常用的教育、科普等APP白名单，此名单中的信息处理者在收集个人信息时可以由8周岁到14周岁的未成年人自主作出同意，而不必由其监护人作出同意，从而尊重未成年人不断发展的潜力，也是对监护人的合理“松绑”。