合同关系中个人信息处理同意撤回权的限制与展开
2023-02-07杨芳
●杨 芳
一、问题的由来及意义
在由合法处理事由封闭列举、目的限制原则、个人信息最小化原则和个人信息权利束组成的个人信息保护法(以下简称个保法)秩序中,合同关系不是其规范对象。个人信息保护规则是个人信息权利在信息处理全流程中的单向展开。在众多的个人信息权利中,《个人信息保护法》(以下简称《个保法》)第15 条规定的同意撤回权最具特色,被誉为个人信息自决权的绝佳体现。个人信息主体(以下简称信息主体)可以随时无条件且毫无负担地任意撤回同意,信息处理者旋即无法依据同意这一合法事由继续处理个人信息,须停止处理并删除个人信息。然而,个人信息处理(以下简称信息处理)行为往往发生在合同关系中,在某种合同类型中,同意信息处理恰恰构成了信息主体的合同义务,甚至是双务合同中的对待给付义务。撤回权岂非赋予信息主体违约自由,从而打破合同关系中的利益平衡状态?
“有约必守”是私法领域的基本原则,不能轻易撼动。《个保法》第15 条规定的撤回权制度仅仅解决同意的有效性和信息处理合法事由问题,并未对《民法典》中的合同法规范提供特殊规则。信息处理合同关系中的撤回权行使仍须遵守《民法典》合同规则,撤回权独特规范目的的实现不能以架空合同制度为代价,因此如下三个基础问题不可回避。其一,撤回权的规范目的何在?是否有依据规范目的限制其适用范围从而防止过度冲击合同拘束力的必要?其二,在以同意信息处理为对待给付的合同中,信息主体撤回同意的,该合同效力如何?如何在概念层面上厘清同意与合同的关系?其三,信息主体撤回同意是否构成了合同义务的违反,是否引发损害赔偿责任?对合同相对人是否应配套相应的利益平衡机制?
我国个保法领域的研究成果丰富,学说上基本赞同《个保法》引入同意撤回权制度,〔1〕参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第161-162 页。新近研究逐渐关注撤回权对合同关系的影响。对此当前已形成如下两点共识。其一,对肖像许可使用合同应当优先适用《民法典》第1022 条第2 款规定的正当理由解除权,排除任意撤回权的适用。〔2〕参见武腾:《个人信息积极利用的类型区分与合同构造》,载《法学》2023 年第6 期,第83 页;施鸿鹏:《任意撤回权与合同拘束力的冲突与协调》,载《政治与法律》2022 年第10 期,第175 页。其二,撤回权既不得事先放弃,也不得特约排除。〔3〕参见刘召成:《人格权法上同意撤回权的规范表达》,载《法学》2022 年第3 期,第94 页;冯健鹏:《个人信息保护制度中告知同意原则的法理阐释与规范建构》,载《法治研究》2022 年第3 期,第39 页。核心争议是在人格标志许可使用合同之外的个人信息利用合同关系中,同意撤回权制度是否应当受到限制,相关学说主张大致可分为如下三种。一是撤回权发生无限制说,即主张撤回权是实现个人信息自决权的重要手段,即便在合同关系中撤回权也不应受到任何限制,信息处理者在缔结合同时就应当预见撤回风险并据此合理安排利益格局,因而在法律上并没有可受保护的信赖利益。〔4〕参见王利明:《论数据权益:以“权利束”为视角》,载《政治与法律》2022 年第7 期,第109 页;Carmen Langhanke/Martin Schmidt-Kessel, Consumer Data as Consideration, EuCML 2015, 218, 222.有学者进而主张,为了平衡合同利益关系,合同相对人应具有履行抗辩权和合同终止权。〔5〕参见傅雪婷:《个人信息同意撤回与个人数据对价化》,载《南大法学》2022 年第5 期,第31、33 页。二是撤回权发生限制说,即主张在某种合同关系中排除撤回权的行使,例如若非存在隐私权可能被侵害的高度抽象危险,合同关系中的信息主体无任意撤回权。〔6〕参见施鸿鹏:《任意撤回权与合同拘束力的冲突与协调》,载《政治与法律》2022 年第10 期,第175 页。三是撤回权附加损害赔偿说,与撤回权发生限制说不同,这一观点主张维护撤回权行使上的自由,转而从撤回权行使的法律效果上限制任意撤回权,信息主体须对合同相对人的信赖利益〔7〕参见刘召成:《人格权法上同意撤回权的规范表达》,载《法学》2022 年第3 期,第96 页。或者履行利益〔8〕参见林洹民:《论个人信息主体同意的私法性质与规范适用——兼论〈民法典〉上同意的非统一性》,载《比较法研究》2023 年第3 期,第150-151 页。承担损害赔偿责任。
上述观点意识到撤回权对合同拘束力的冲击,并为化解这一冲突提出了明确的解决方案,但也存在可商榷之处。其一,在肖像等人格标志许可使用合同中排除撤回权的正当化理由并不清晰。其仅仅是依据《民法典》第1022 条第2 款的实证法立场,还是存在可推广至其他类型的个人信息利用合同的理论依据?其二,未能从概念上彻底厘清《个保法》上的“同意”与信息处理合同的关系,从而不可避免地将撤回权和合同解除权混为一谈。〔9〕参见王利明:《论数据权益:以“权利束”为视角》,载《政治与法律》2022 年第7 期,第108 页。法学理论的说服力取决于区分的精准程度。只有精准区分才能为不同事物提供合乎其本质的法律规则。在概念和规范设置上作精细区分更是有助于私主体在不同领域中作出不同的安排,也是扩充意思自治空间的不二法门。同意乃单方法律行为,而合同乃双方法律行为,两者显然不同。针对同意的撤回权绝非针对合同的解除权,将两者等同视之的解释路径无助于达到既实现撤回权规范目的、又维护合同拘束力的目标。其三,未见充分结合《个保法》规范属性解释撤回权应然适用范围的研究成果。《个保法》规则的核心语词是“个人信息”和“信息处理”,撤回权制度的越界在很大程度上可归因于上述内涵不清、外延过广的语词,因此重新审视并检讨《个保法》的规范定位是精准划定撤回权适用范围的理论前提。其四,鲜有学者深入研究撤回权行使后的合同效力和履行障碍问题。依托《民法典》合同法规范体系考察合同效力和履行障碍问题极为必要。
在比较法上,将个人信息保护规则纳入合同法教义学体系是近年来德国个保法领域的研究热点。德国学界普遍认为,欧盟《个人信息保护一般条例》(General Data Protection Regulation,GDPR)在规范架构上缺失“合同法衬里”,〔10〕Vgl.Dirk Staudenmayer, Die Richtlinien zu den digitalen Verträgen, ZEuP 2019, 663, 676.须予补足,研究重点正是对合同法规则冲击最大的撤回权制度。《德国民法典》新增“与数字产品相关的消费者合同”这一合同类型(2022 年1 月1 日起生效),其中第327q 条回应了个人信息权利行使与消费者合同之间关系的问题,被评价为合同法规则对个人信息保护规则暂时的“完美的妥协”。〔11〕Vgl.Gerald Spindler, Ausgewählte Rechtsfragen der Umsetzung der digitalen Inhalte-Richtlinie in das BGB, MMR 2021, 528, 531.然而,事实和价值并不通约,事实层面上的实证法立场无法证明具体规则在价值上的正当性,德国法立场的正确性并非不证自明,对其在理论上予以论证和检验仍有必要。
二、撤回权的适用范围
(一)撤回权与合同拘束力的冲突
首先,撤回权属于与私法体系格格不入的反悔权。《个保法》第15 条第1 款明确赋予信息主体撤回权,信息主体可随时无条件地撤回之前作出的同意,信息处理者不得为此设置障碍,〔12〕值得注意的是,相关释义著述认为不得为个人撤回其同意设置不必要、不合理的障碍,这一表述似认同可以为撤回权之行使设置必要的和合理的限制。参见杨合庆主编:《中华人民共和国个人信息保护法导读与释义》,中国民主法制出版社2022 年版,第68 页。在撤回权行使后,信息处理者失去了同意这一合法处理事由,须停止基于同意的信息处理行为并删除个人信息(《个保法》第47 条第1 款第3 项)。撤回权是欧盟数据保护实践中的重要制度,〔13〕欧盟1995 年颁布的《个人信息保护指令》(Data Protection Directive,已失效)虽然并未明确规定撤回权,但是在欧盟长期以来的数据保护实践中,撤回权制度都实际存在。GDPR 第7 条第3款作了明确规定。撤回权具有终止自愿作出的有效同意之强大效力。撤回权实际上是对他人利益的单方处分,私法规范中罕见类似制度。其一,《个保法》上的同意正当化了本属违法的信息处理行为,属于法律效力及于他人的意思表示(容后详述),撤回权制度允许信息主体便捷地单方抽离他人的信息处理依据。既有私法规范中并无表意人单方终止生效意思表示的一般规则。其二,信息处理必然产生众多复杂的诸如经营者竞争利益的利益关系,撤回权制度将多方利益关系置于信息主体的单方意愿之下。尤其是在信息成为交易对象的商业安排中,可被撤回权轻易撼动的处理依据将威胁交易的稳定性。
其次,撤回权与《民法典》第1022 条第2 款规定的肖像许可使用合同正当理由解除权构成明显的规范冲突。〔14〕参见杨芳:《肖像权保护和个人信息保护规则之冲突与消融》,载《清华法学》2021 年第6 期,第126 页。肖像属于个人信息,肖像商业利用属于信息处理行为,被许可人的肖像商业利用行为并非可排除《个保法》适用的私人事务(《个保法》第72 条第1 款),〔15〕参见杨芳:《我国〈个人信息保护法〉中私人事务例外规则之解释》,载《南大法学》2022 年第3 期,第157 页。因此依托肖像许可使用合同的肖像商业利用行为属于受《个保法》调整的信息处理行为。在逻辑上,肖像权人可主张《个保法》所赋予的撤回权。然而,同意正是肖像权人在许可使用合同中负担的对待给付义务。因为正当化肖像商业利用行为的不是仅具债法效力的肖像许可使用合同,而是具有准处分效力的肖像权人同意。若无肖像权人的同意,合同关系中被许可人的行为因缺乏违法阻却事由将构成肖像权侵权行为。承认肖像权人的任意撤回权无异于承认肖像权人的任意违约权。而根据《民法典》第1022 条第2 款,肖像权人仅在具备正当理由的情形下才能借由解除合同免于合同之债的束缚,存在可归责事由的肖像权人仍须赔偿合同相对人的信赖利益或者固有利益。无论对正当理由和可归责采何种解释路径,〔16〕参见杨芳:《〈民法典〉第1022 条第2 款(有期限肖像许可使用合同的法定解除权)评注》,载《南京大学学报(哲学•人文科学•社会科学版)》2022 年第4 期,第50-54、60-61 页。肖像权人享有的都不是任意解除权和违约自由。
最后,在人格标志许可使用合同之外的其他类型的个人信息利用合同关系中,若同意信息处理恰是合同的重要义务甚至对待给付义务,撤回权与合同拘束力之间也存在矛盾。一般而言,信息主体之所以同意他人处理其个人信息,主要是因为信息处理属于他人提供服务的必要前提或者为了换取某种服务。例如,关注公众号换取折扣、完善会员资料即受赠代金券、允许获取微信昵称和头像换取现金券包、允许接收广告邮件换取打折以及允许收集个人运动数据换取更为便捷的服务。在这种商业模式下,同意信息处理构成了双务合同中的对待给付,在一定程度上相当于买卖合同中的价金给付义务,即信息主体通过同意信息处理“支付了”特定服务本来对应的价款。若信息主体可无代价地任意撤回同意,无异于赋予信息主体脱离合同约束、拒绝对待给付以及仅凭单方意愿将有偿关系变更为无偿关系的特权。
(二)规范目的下撤回权适用范围的界定
合同是私法自治之利器,私法主体在合同关系中自我约束以负担合同义务是私法自治当然之义。撤回权对于合同拘束力和合同关系影响甚巨,应充分依托撤回权以及个保法秩序之规范目的精准框定其适用范围,将其对合同关系之影响限定在合乎其制度正当性的必要范围之内,从而防止以架空合同制度为代价对信息主体提供无必要的超额保护。
自GDPR 出台以来,德国学界一直探讨如何限制撤回权制度的适用,相关观点和裁判立场大致如下:同意作为合同对待给付〔17〕Vgl.AG Berlin-Schöneberg, Urt.v.28.11.2018 – 104 C 175/18.或者撤回同意有违诚实信用和照顾原则的,〔18〕Vgl.Peter Gola/Dirk Heckmann/Sebastian Schulz, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz Kommentar, 3.Aufl., 2022, § 7 Rn.60; BAG Urt.v.11.12.2014 – 8 AZR 1010/13.不得撤回;在特定情形下允许约定排除撤回权之行使。〔19〕Vgl.Benedikt Buchner/Jürgen Kühling, Datenschutz-Grundverordnung BDSG Kommentar, 3.Aufl., 2020, § 7 Rn.38a.上述方案均须结合个案因素,不利于法律的安定性。欧盟相关学说和判例持如此保守、妥协的态度主要源自欧盟《基本权利宪章》的限制。GDPR 一直都被定位为将个人信息权列为基本权利的欧盟《基本权利宪章》第8 条第1 款的具体化。〔20〕参见GDPR 立法理由书第1 条。GDPR 开篇即称“鉴于如下理由……通过本条例”,随后在正式条文之前开列了共173条理由,这些理由主要涉及GDPR 具体条款的解释,因此可称为立法理由书。虽然该条款的主要功能在于赋予个人对抗国家的防御权,但是立法者对于基本权利的保护义务也应当扩展至私人关系。〔21〕Vgl.Rudolf Streinz/Walther Michl, Die Drittwirkung des europäischen Datenschutzgrundrechts (Art.8 GRCh)im deutschen Privatrecht, EuZW 2011, 384, 387.因此,GDPR 中信息主体的各项权利与位阶极高的基本权利都具有千丝万缕的联系,对信息主体权利适用范围作出解释的方案始终处于“基本权利枷锁”之下,必须慎之又慎。我国《个保法》则无类似的规范渊源及解释限制,在学说上可无负担地重新审视个保法的规范定位和撤回权的制度价值,并据此界定撤回权的适用范围,以避开GDPR 撤回权制度在适用上的两难境地。
1.撤回权制度价值的确定
撤回权的目的在于给予信息主体纠正之前作出的同意的机会。这种纠正的正当化依据在于个人信息处理的复杂性和不透明性。在大数据时代,个人信息可以被整合,被以各种方式利用,被深度加工后极有可能展现出信息主体的人格剖面图,大数据系统及其控制者甚至比信息主体更加了解其内心与人格。个人信息能被低成本、大量地长期存储无疑加剧了这种风险。〔22〕参见杨合庆主编:《中华人民共和国个人信息保护法导读与释义》,中国民主法制出版社2022 年版,第68 页。因此,如果不赋予信息主体撤回同意的权利,使其得以主张删除个人信息,那么个人信息自决权将流于形式。可以说,同意和对同意的撤回是个人信息自决权“硬币”的两面,只有被赋予随时撤回同意的权利,信息主体才能全方位地行使个人信息自决权,才能真正地决定何人在何种范围内以何种方式处理其何种个人信息。〔23〕Vgl.Benedikt Buchner/Jürgen Kühling, Datenschutz-Grundverordnung BDSG Kommentar, 2.Aufl., 2018, Art.7 Rn.34.一言以蔽之,撤回权制度属于个人信息处理的风险防范机制。
撤回权在性质上属于单方法律行为。在信息主体根据合同约定负担同意信息处理的义务时,撤回权之适用范围应限制在风险防范的必要限度之内,还应限制在对信息主体确有给予法律倾斜保护必要之场景中。撤回权制度作为个人信息保护法秩序中最具特色之制度,实际上反映了个保法的独特制度功能,对其适用范围之限制须依托个保法的规范目的和定位展开。
2.《个保法》规范目的下撤回权适用范围的确定
在《个保法》出台之前,所谓的个人信息处理行为正是人格权保护规则的规范对象,防止个人信息滥用行为威胁个人尊严和人格发展自由本属人格权保护目的之一。然而,调整对象重叠的《个保法》与《民法典》人格权保护规则却存在数量不少的规范冲突。重溯个保法的规范目的和规范由来,划定两者的适用边界,减少甚至消除规范冲突,此为《个保法》融入既有规范体系的必由之路,学术界就此已贡献了大量探索性见解。然而,个人信息处理场景丰富、多元,在所有类型的个人信息利用行为中彻底厘清与辨明两者在适用上的关系,这一宏大叙事式的课题非逐一比对两者的具体规则不能完成。囿于篇幅和主题,下文仅从撤回权适用范围限制的角度检讨个保法的规范属性,所得结论也仅针对撤回权制度。
第一,在理论上,私法领域中的个保法秩序不应被理解为个人信息自决权理论的立法表达,个保法规则不应被解释为个人信息自决权的具体展开和实现,个保法秩序并未创设一种名为个人信息权或者个人信息权益的新型人格权。〔24〕具体论述可参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015 年第6 期,第22-33 页。撤回权并不是在价值序列上当然处于优先地位的人格权。
首先,并没有横跨公法和私法领域的保护强度与理论基石一致的个保法秩序。在公法领域,个人信息自决的主张是对公民权利的重申和强化。公民可以个人信息自决权为由针对公权机构的信息处理行为再加一层保障,使公权机构的信息处理行为须同时具备法律依据和不侵害公民个人信息权这两项合法理由。在国家行为面前强化个人信息自决权至多影响国家行为的效率,不会限制私人权益。在私法领域,个人信息自决权意味着毫无公权力的信息处理者的信息处理行为受制于信息主体。私主体的信息处理并非具有原罪的不合法行为,在大数据时代下,处理他人的个人信息并据此作出合理的商业安排极为必要。过于强调个人对其个人信息的控制权和话语权将会牺牲信息处理者的利益。合同关系中不受限制的撤回权就是信息主体处分合同相对人利益的例证。
其次,个人信息自决权理论建立在“我的信息是我的”这一朴素的、本能的法学判断之上。大多数个人信息存在的价值就在于被处理。个人信息被获取、被传播、被加工和被利用是人类社会交往的必要,是现代商业乃至互联网经济正常运行的基础,因此在个人信息之上可以套用“我是我的主人,我却不是我身体的所有者”这一法谚,即“我的信息和我有关,但我不是我的个人信息的所有者”。撤回权不能被解释为“我取回属于我的信息的权利”。
最后,并非所有的个人信息之上都能成立人格权,泛化的个人信息权益并非人格权,个人信息保护规则在性质上并不属于优先适用的人格权保护特殊规则。保护人格权正是保护人格尊严和人格发展自由,每一项个人信息都与人格尊严或人格发展自由相关的判断过于绝对。私法领域秉持“法无禁止即自由”原则,划定他人行为合法性边界的禁令应当清晰,而个人信息无所不包、无所不在、界限模糊甚至毫无界限,不足以构成划定他人行为禁区的人格权客体。将每一项个人信息之上的个人信息权益归入可限制他人行为自由的人格权,无异于将他人行为的合法性系于模糊的禁令,无异于无端干涉他人的行为自由。针对所有类型个人信息的撤回权也因此并非人格权权能。
第二,《个保法》之规范属性应当被定位为大数据时代下对个人信息滥用行为可能导致抽象风险的事先防范机制。撤回权属于应对特殊风险的事先防范机制之一,合同关系下撤回权之适用范围应就此作相应限缩。
个人信息处理技术日新月异,智能程度加速度提升,对于人格或者财产的侵害风险增大。这种特殊的加害风险主要表现为如下三种情形。一是自动化信息处理技术下琐碎的个人信息经大规模汇集、整合可能展现出信息主体的人格剖面图。二是敏感或者特殊的个人信息一经泄漏可能诱发的诈骗、身份冒用或者歧视风险。三是自动化决策精准营销时信息主体选择范围的隐秘限缩。这些风险并非发端于大数据时代之前的人格权理论所能预料,也非致力于事后救济的人格权保护规则所能充分应对,因此引入《个保法》特殊规则加强防范极为必要。严格的个保法规则之于财产和人格,正如道路交通规则(例如红绿灯规则、优先通行权规则)之于生命、健康和财产,前者是后者的前置性保护规范,遵守前置性保护规范则风险将大为降低。
第三,《个保法》所确立的信息主体权利是法政策出于特定目的而对信息主体的倾斜保护。在私法规范体系中,与合同义务相冲突的倾斜保护需要额外的正当化理由。这种正当化理由通常建立在合同一方的弱势地位之上,例如消费者合同中的消费者以及劳动合同中的劳动者。撤回权的适用范围也应当相应地限于消费者合同和劳动合同。亦即信息主体在具有消费者或者劳动者身份时迫于特定情势不得已接受了合同中同意个人信息处理的义务,撤回权的设置有助于纠正这种不均衡状态。
不仅撤回权制度,整体上个人信息保护规则适用的经典场景实际上也正是经营者对消费者个人信息之处理。迄今为止,适用《个保法》或者《民法典》中个人信息保护规则的个人信息权益纠纷案件涉及的基本都是消费者和经营者之间的关系,某些案例甚至被最高人民法院或者地方高级人民法院列为消费者权益保护的典型样本。例如,手机用户拒绝通信公司电话推销、〔25〕参见山东省滨州市中级人民法院(2021)鲁16 民终2594 号民事判决书。消费者拒绝野生动物园采集人脸信息、〔26〕参见浙江省杭州市中级人民法院(2020)浙01 民终10940 号民事判决书。微信用户拒绝微信旗下App 强制其同意授权收集微信个人信息和好友信息、〔27〕参见广东省深圳市中级人民法院(2021)粤03 民终9583 号民事判决书。用户拒绝App 未经允许读取手机剪贴板信息、〔28〕参见广州互联网法院(2020)粤0192 民初4664 号民事判决书。买家拒绝卖家未经允许晒单〔29〕参见江西省南昌市青山湖区人民法院(2022)赣0111 民初4656 号民事判决书。等。个人信息保护机构开展的个人信息保护合规督查和违法行为专项清理行动的监管对象往往是作为经营者的信息处理者。〔30〕参见http://views.ce.cn/view/ent/202308/04/t20230804_38659660.shtml,2023 年8 月30 日访问。当前可查找到的关于撤回权的数起案例无一不涉及消费者合同。〔31〕参见https://tousu.sina.com.cn/complaint/view/17356614257,2023 年8 月30 日访问;北京市顺义区人民法院(2020)京0113民初16062 号民事判决书;广东省深圳市中级人民法院(2021)粤03 民终9583 号民事判决书;广东省广州市中级人民法院(2022)粤01 民终3937 号民事判决书。而在自然人为了维护自身财产与人身安全而安装摄像头的案件中,法院适用的往往是《民法典》中的隐私权保护规则,并未适用《个保法》。〔32〕参见北京市海淀区人民法院(2021)京0108 民初39401 号民事判决书;广东省深圳市坪山区人民法院(2021)粤0310 民初6378 号民事判决书;北京市第三中级人民法院(2022)京03 民终375 号民事判决书。同样地,在美国,2020 年《加州隐私权法案》(the California Privacy Rights Act of 2020,2023 年1 月1 日生效)和《加州消费者隐私法案》(California Consumer Privacy Act)作为该国最为重要的两部个人信息保护立法都将所保护的信息主体定位为消费者。无怪乎我国学者敏锐地指出,《个保法》的设计在很大程度上面向消费者保护。〔33〕参见王倩:《作为劳动基准的个人信息保护》,载《中外法学》2022 年第1 期,第186 页。
在另外一个亟需倾斜保护的领域中,劳动者相较于资方则处于比消费者更为弱势的地位,以至于以知情同意为核心所构建的个保法规则实际上处于基本失灵的尴尬境地。〔34〕同上注,第185 页。劳动者个人信息保护规则规范的重点或许应当从增强劳动者自治能力和自治勇气转向以更为具体的规则解释和确定个人信息处理的必要场景和比例原则的运用。即便如此,针对同意的撤回权制度对劳动者个人信息保护而言也并非毫无意义,因为劳动者也有作出有效同意的可能。已经纳入十三届全国人大常委会立法规划的《劳动基准法》若对劳动者个人信息保护规定特殊规则,可以放宽撤回权客体范围的限制,扩及其他非基于同意的个人信息处理场景,以增强劳动者对劳动领域中个人信息处理的拒绝能力。因此,只要劳动者在劳动合同中负有同意个人信息处理的义务,应允许其行使撤回权。
综上,在信息主体负担同意个人信息处理的合同义务时,撤回权的适用范围应限定于同时符合如下两个标准的合同类型:系争个人信息处理行为确属个保法秩序应对的高加害风险场景;信息主体在拒绝信息处理的自由度上处于如同消费者或者劳动者的弱势地位。
(三)人格标志许可使用合同中撤回权的排除
人格标志许可使用合同中的人格标志商业利用并不属于《个保法》和撤回权规范应对的个人信息滥用高度危险领域,《民法典》既有的事后救济规则在此领域并无规范漏洞,作为事先防范机制的撤回权无需优先适用。人格标志许可使用合同并非消费者合同或者劳动合同,人格权人并未处在消费者或者劳动者的弱者地位,撤回权之倾斜保护并无正当理由。撤回权因此不适用于人格标志许可使用合同。
“个人信息处理行为”这一外延极为广泛的概念其实涵盖了性质迥异的两类个人信息利用行为,即直接利用个人信息所承载的财产成分的人格标志商业利用行为和经由个人信息利用间接获取其他机会或者利益的行为。〔35〕有观点主张将《个保法》调整的个人信息处理行为划分为劳务交换服务型的大规模个人信息积极利用和类似于人格标志商业利用的对特定个人信息的积极利用。参见武腾:《个人信息积极利用的类型区分与合同构造》,载《法学》2023 年第6 期,第84 页。后者才属于须由《个保法》严格规则尤其是撤回权制度先于《民法典》人格权保护机制介入的个人信息滥用高度风险领域。电话号码、电子邮箱、微信昵称等琐碎信息,或者指纹、瞳孔、体态、心率、面部信息等个人生物信息之所以成为信息处理者竞相追逐的对象,不是因为此类个人信息之上存在任何财产价值。即使是在“以个人信息换取服务”这一合同关系中,个人信息处理者所真正利用的也并非个人信息本身蕴含的财产价值,而是因为获取并深度分析此类信息有助于精准营销、开拓市场、有效监督或者简化身份认证程序。信息处理者真正关心和意图获得的是正确且不过时的个人信息作为媒介而指向的商业利益。因此,此类个人信息处理行为中的信息处理者有极大的动力大规模地、持续性地汇集、存储、更新、比对个人信息并挖掘其背后的商业价值,从而将信息主体置于前文所述的三种风险之中。此时,包括撤回权制度在内的个保法事先防范规则的介入有助于遏制和规范该行为,防止潜在风险转化为现实的损害。
而对于姓名、肖像和声音等极具个人特征的个人信息商业利用行为而言,被许可人利用的正是该类个人信息之上的财产成分,并愿意为该特定个人信息财产成分支付许可费。被许可人并不存在持续、大规模和毫无止境地存储姓名、肖像和声音,并通过汇集、整合其他信息来挖掘该信息主体的行为偏好从而推断其市场需求之类的行为。因此人格标志商业利用并不属于个人信息滥用高度危险领域。此外,在未经个人同意的人格标志强制商业利用行为中,人格权人遭受的是现实的财产损害或精神痛苦,与个人信息被他人掌控而生的对未知加害风险的恐慌显然不同,当前《民法典》就现实损害提供的侵权法上或者不当得利法上的事后救济机制足以应对,无需借助《个保法》严格规则尤其是撤回权制度进行事先防范。
人格标志许可使用合同中的人格权人并非处于如同消费者或者劳动者那样的弱势地位,也非因受缚于某种法律关系而不得已地同意他人商业利用其人格标志,而是以类似于商主体的身份与被许可人平等协商,允许他人处理其个人信息。从“出售”人格标志的财产成分中获利恰是信息主体充分自决的结果,撤回权之倾斜保护于此并无必要。其实,GDPR 起草人实际上从未考虑过人格标志商业利用问题,〔36〕Vgl.Andreas Sattler, Urheber- und datenschutzrechtliche Konflikte im neuen Vertragsrecht für digitale Produkte, NJW 2020,3623, 3629.GDPR 规则适用于人格标志商业利用行为所导致的与既有人格权规则之间的规范冲突问题,此属超出立法者计划、与GDPR 规范目的不符的法律漏洞。
三、撤回权行使与合同效力
个保法秩序致力于确保个人信息处理过程透明、可控,以此降低信息主体的人格或者财产受侵害之风险,整部《个保法》之规范对象是个人信息处理行为,而非与个人信息处理相关的合同关系,因此并未对合同关系设定特殊规则。撤回权之行使后果就其规范目的而言也与个人信息处理合同无关。然而,立法目的的实现和具体规范的解释仍需以教义学上的概念辨析为前提。
(一)《个保法》中的同意与缔结合同的同意之区分
本文认为,应当从概念上严格区分《个保法》中的同意与信息主体缔结合同的同意,两者在性质和法律效果上完全不同。前者属于旨在处分现实法律关系的明确的受害人同意,后者的法律效果仅指向缔结债权合同,而债权合同无法现实地变动既存法律关系,仅使当事人负担义务。正当化信息处理行为的是信息主体作出的受害人同意,而非信息主体缔结的债权合同。
第一,《个保法》第13 条第1 款第1 项中的同意是信息主体作出的旨在合法化信息处理行为的明示的单方法律行为。在侵权法规范体系上,信息主体的同意属于可阻却他人信息处理行为违法性的受害人同意。对于受害人同意的法律性质究竟是意思表示〔37〕参见于海防:《个人信息处理同意的性质与有效条件》,载《法学》2022 年第8 期,第102 页;王成:《个人信息民法保护的模式选择》,载《中国社会科学》2019 年第6 期,第132 页;陆青:《个人信息保护中“同意”规则的规范构造》,载《武汉大学学报(哲学社会科学版)》2019 年第5 期,第122 页。还是事实行为〔38〕参见程啸:《论个人信息处理中的个人同意》,载《环球法律评论》2021 年第6 期,第43 页。,学说上素有争议。否定法律行为说的主要理由是,无论是针对医疗行为的患者同意,还是针对信息处理行为的信息主体同意,两者指向的对象都是特定的行为而非法律关系,所以并非法律行为。本文采法律行为说。因为虽然受害人同意指向的的确是某种潜在的加害行为,但是在法律效果上正是受害人的同意正当化了该加害行为,正是信息主体的同意使得信息处理行为获得合法事由,这一行为现实地变动了既存的法律关系且该法律效果的发生系于信息主体的意愿,《个保法》也正是通过一系列严格的规则确保该同意的自愿性。
实际上,就法律适用而言或许没有必要高估上述争论的意义,无论如何定性信息主体的同意,规范适用的结果往往一致。即使同意被归入非法律行为之列,仍可准用《民法典》关于法律行为的规范。尤其是对同意的效力必须依据意思表示效力规则进行判断。即使同意被归入法律行为,《民法典》中的法律行为规范也无法得以全盘适用,仍须排除某些与信息主体同意本质相悖的规范,例如应以个案中的同意能力排除行为能力规范。
第二,《个保法》第13 条第1 款第2 项的为合同所必需这一合法处理事由包含默示的或者可推断的受害人同意。与《个保法》第13 条第1 款第1 项中的个人同意一样,为合同所必需的信息处理行为之合法性也来自信息主体的意愿。不过,《个保法》语境下的同意系指第13 条第1 款第1 项中的明确同意(《个保法》第14 条),这也正是撤回权针对的同意。为订立、履行合同之必需隐含的受害人同意并不是撤回权的对象。
第三,信息主体缔结合同的同意表现为《民法典》所规定的要约或者承诺,其法律效果在于自愿进入以自我约束换取约束他人的合同关系,即信息主体以容忍信息处理的允诺交换他人提供服务或者商品的允诺。这种合同属于债权合同。首先,缔结合同的同意与《个保法》中的明确同意在时间上可能分离。例如,登入社交媒体可以解释为同意缔结合同,后续发生的上传个人信息构成了《个保法》上的明确同意,而某些个人信息在用户登入平台时并未产生。处分行为之客体尚未存在,作为处分行为的同意当然无法有效作出。其次,在意思表示解释上,为了增强对信息主体的特别保护,不宜将登入社交媒体这一行为解释为信息主体已经一揽子同意了未来的个人信息处理行为。〔39〕参见GDPR 立法理由书第43 条。再次,在意思表示的内容上,缔结合同的同意之范围显然比《个保法》上仅仅针对信息处理合法性的同意更为宽泛。即便在主要内容仅是信息处理的合同中,缔结合同的同意也必然指向愿意接受相对人相应产品或者服务以及违约责任等多重内容。最后,更为重要的是在具体规范设计上,《个保法》对于同意作出了众多区别于《民法典》意思表示规定的特殊规定,例如明确同意(第14 条)、单独同意(第23、25、26、29条)、书面同意(第29 条)以及14 周岁以下未成年人之监护人同意(第31 条)。上述规定应当被解释为信息处理领域受害人同意之特殊形式要件,若将其扩张解释为合同法上要约或者承诺形式的特别规定,难免会增加法律适用的困难,也远超上述特殊规则的规范目的。
第四,个保法上的信息处理合法事由与涉及信息处理之合同本质不同,法律意义也不同,前者并非后者的生效要件。无合法事由处理个人信息构成个保法意义上的违法行为,以及民法上因违反法定义务侵害个人信息权益的侵权行为。然而,对作为负担行为的信息处理合同之效力仍须依据《民法典》中的意思表示和合同效力规范作出判断,并不会因为处理行为的违法性而当然无效。在比较法上,《德国民法典》第312 条第1 款a 项和第327 条第3 款的立法理由对上述两者作了正确的区分,〔40〕Vgl.BT-Drucks.19/27653, 36.合同的有效性与信息处理合法事由之关系类似于负担行为与处分行为之关系,两者分离且抽象。〔41〕Vgl.Benjamin Lahusen, Verdinglichung durch Datenschutz, AcP 221 (2021), 1, 14.
(二)撤回权的行使无碍合同效力
信息主体行使撤回权意味着作出新的需受领的意思表示,该意思表示的内容在于终止之前作出的同意的法律效果,涉及信息处理的合同关系并不属于撤回权意思表示的客体。这是严格区分个保法上的同意与缔结合同的同意的必然结论。
第一,撤回权之客体仅是《个保法》第13 条第1 款第1 项规定的明确同意,不涉及违法阻却事由中的默示或者可推断的同意,更不涉及信息主体缔结合同的意思表示(要约或承诺)。对要约或者承诺的撤回与撤销应当适用《民法典》第141、476 条,《个保法》上的撤回权并不是上述两条规范的特殊规范,并未在上述规范之外额外赋予信息主体随意撤回要约或者承诺的权利。
第二,作为受害人同意的《个保法》上的同意与缔结合同的同意性质不同,在法律效果上并无联动效应,类似于处分行为与负担行为分离且抽象的关系。信息主体依法行使撤回权,受害人同意因此被抽离,而作为缔结合同之同意的要约或者承诺不因联动效应而受任何影响。从意思表示解释的角度而言,信息主体撤回同意这一表示也不宜径直解释为信息主体具有终止合同的意愿。〔42〕Vgl.Carmen Langhanke/Martin Schmidt-Kessel, Consumer Data as Consideration, EuCML 2015, 218, 222.例如,出租人拒绝容忍承租人占有租赁物构成对租赁合同义务的违反,租赁合同仍然有效且存续。同理,撤回仅仅涉及合同履行,与合同效力无关。
综上,撤回权并非合同任意解除权。撤回权之行使无碍涉信息处理的合同的效力。《德国民法典》第327q 条第1 款明确规定在消费者提供个人信息换取服务这一双务合同(《德国民法典》第327 条第3 款)中,〔43〕Vgl.MüKoBGB/Axel Metzger, 2022, Vorbemerkung zu § 327 Rn.15-18.消费者作出个保法上的表示行为并不影响合同的效力。而表示行为中最为重要的就是撤回权的行使,〔44〕Vgl.MüKoBGB/Axel Metzger, 2022, § 327q Rn.6.这一立法政策值得赞同,其中的教义学基础正是严格区分了个保法上的同意与缔结合同本身的同意,〔45〕Vgl.BeckOK BGB/Matthias Wendland, 2022, § 327q Rn.5.两者独立且无关联。这一区分也有助于增强法律适用的准确度和便捷性。此时,为限制撤回权对于合同关系的冲击,防止合同双方当事人的均衡关系因撤回权之行使而被打破,仅需依托《民法典》合同编中的履行障碍法既有规则展开即可,无需将撤回权强行纳入《民法典》任意解除权的解释脉络中,更无需据此进行复杂的规范区分和类推适用。
四、撤回权行使与合同履行障碍
仅在同意信息处理构成信息主体合同给付义务时,撤回权之行使才构成信息主体合同义务之违反,从而构成合同履行障碍。与此不同的是,处理个人信息属于处理者履行合同之必需这一合同类型,例如提供位置信息以便于地图服务计算路线、提供收货地址以便于卖家寄送货物、提供学生身份证明以便于享受学生优惠、提供心率等生物信息以便于运动软件推荐合适的健身方式等。于此,相对人处理个人信息的唯一目的是履行合同义务,相对人就此并无独立的履行利益;信息主体允许信息处理并非其合同义务,其拒绝提供个人信息将导致自身的履行利益落空。此外,对这类合同而言,合同一方处理个人信息的依据是《个保法》第13 条第1 款第2 项规定的“为订立、履行个人作为一方当事人的合同所必需”,而非作为撤回权之客体的明确同意,信息主体无从通过行使撤回权阻止信息处理行为。下文针对同意构成信息主体合同义务之合同类型展开论述。
(一)撤回权行使与合同之债的不履行
1.撤回权之可放弃性
在私法领域的信息处理关系中撤回权可以被明确放弃,主张撤回权一概不得放弃的观点〔46〕Vgl.Benedikt Buchner/Jürgen Kühling, Datenschutz-Grundverordnung BDSG Kommentar, 3.Aufl., 2020, § 7 Rn.35;程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第162 页。并不可取。信息主体放弃撤回权的,无权主张撤回权,具体理由如下。
首先,在公法领域和私法领域中,个人信息保护的理论基础和保护强度并不相同。信息主体对公权机构作出信息处理同意的自由度和真实度值得怀疑,〔47〕虽然公权机构处理个人信息的合法理由主要在于履行法定职责,但是也可以基于包括同意在内的其他合法依据处理个人信息。参见杨合庆主编:《中华人民共和国个人信息保护法导读与释义》,中国民主法制出版社2022 年版,第98 页。在具体实践中也存在公权机构根据信息主体同意处理个人信息的场景,主要涉及人脸信息处理。参见国家税务总局广西壮族自治区税务局《个人信息保护及人脸识别告知同意书》。公权机构大规模存储个人信息对于私权的威胁也甚于私人处理者。因此在公法领域中,信息处理行为的合法性不能仅仅建立在同意之上,还须叠加其他合法事由。同理,撤回同意以阻止公权机构继续处理个人信息是公民得以对抗公权力的重要权利,不得放弃。而且在事实上,在公权机构面前放弃撤回权也未必是信息主体的真实意愿。市民社会的私人交往关系则与此大有不同,放弃撤回权并无上述价值和自由度上的困境。
其次,同意、撤回同意和放弃撤回权都是个人自决的表现,三者在价值上应处于同一地位。既然《个保法》以同意为中心架构规范体系,那么信息主体基于自决明确作出放弃撤回权的意思表示在法政策上就毫无被判定无效之理由。
再次,在同意的自愿性和真实性事实上可能被架空的背景下,《个保法》仍坚信同意可以自愿作出,仍将同意置于个人信息权益保护的核心地位,并为此精心设计了一系列规则以确保同意在充分知情之下明确且自愿地作出(《个保法》第14 条)。那么按此规范脉络,撤回权的放弃也完全可能自愿且明确地作出,只要对放弃撤回权的意思表示适用《个保法》上同意有效性之判定规则即可。换言之,与其一概坚持撤回权不可放弃,不如将法律规制的重点转向考察具体场景下撤回权放弃的自愿性问题,尤其是格式条款的规制、消费者的倾斜保护、劳动者真实决策自由的保障以及特殊个人信息的加强保护问题。〔48〕《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15 号)第11 条规定:“信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。”该条涉及的是在格式合同中放弃人脸信息处理同意撤回权的效力问题,并不能将此立场扩张解释为对所有类型个人信息处理撤回同意的放弃都是无效的。
最后,即便信息主体自愿且明确地放弃撤回权,在个人信息权益因合同关系中的信息处理受到威胁时,仍可类推适用《民法典》第1022 条第2 款规定的正当理由解除权,以阻止信息处理行为。个人信息权益未必因撤回权之行使而获得真正的增强保护,个人信息权益也未必因撤回权之放弃而受有实质性的侵害,一概剥夺信息主体自愿放弃撤回权的机会无异于限缩私人意思自治的空间。
2.撤回权之行使构成给付义务之违反
撤回权之行使抽离了作为合法处理事由的同意,信息处理者须即刻停止基于同意的信息处理行为〔49〕参见杨合庆主编:《中华人民共和国个人信息保护法导读与释义》,中国民主法制出版社2022 年版,第68 页。并删除个人信息(《个保法》第47 条第1 款第3 项)。在信息处理并非合同履行之必需,尤其是在信息主体以同意信息处理交换一定服务的合同类型中,同意构成了信息主体的对待给付义务,撤回同意构成了对合同主给付义务的不履行。在这类合同中,信息处理并非合同履行事实上的必要前提,信息处理的合法事由只能建立在同意之上,信息主体撤回同意的,合同相对人的信息处理合法事由被抽空,故而不得继续处理个人信息。因此,撤回同意无异于拒绝支付特定服务对应的价金,构成了合同主给付义务的违反。
3.自然之债和同意义务
有学者为了消除撤回权对合同拘束力的否定性影响,巧妙地将同意信息处理的义务定性为自始无拘束力的自然之债。〔50〕Vgl.Carmen Langhanke/Martin Schmidt-Kessel, Consumer Data as Consideration, EuCML 2015, 218, 221.这一釜底抽薪式的解释路径有待商榷。
首先,将同意信息处理之义务归入自然之债有悖于自然之债的制度功能。自然之债并不是真正的债,而是私法中的例外机制,目的在于阻止法律行为的拘束力或者在特定领域引入国家的管制,提醒当事人谨慎进入这种无国家强制力作为保障的关系中。在我国,较为典型的自然之债主要包括如下三种:一是《最高人民法院关于适用〈中华人民共和国婚姻法〉若干问题的解释(三)》(草案)第2条(在正式出台的法释〔2011〕18 号中被删除,已失效)所规定的婚外同居补偿协议;二是民间广泛流行的缔结婚姻的彩礼;三是《最高人民法院关于审理民间借贷案件适用法律若干问题的规定》(法释〔2015〕18 号,已失效)第26 条关于24%-36%利率约定的规定。赌债是非法之债,属于无效法律行为,并不是自然之债。〔51〕参见李永军:《论自然之债在我国未来民法典债法体系中的地位》,载《比较法研究》2017 年第1 期,第11 页。罹于诉讼时效的债务并非在实体上无拘束力,其法律效果仅仅是产生抗辩权,因此也并非自然之债。上述自然之债都隐含了无法得到国家公权力支持的道德因素,违反约定者被社会评价判定为不道德,但是在法律评价中该约定处于合法与不法之间的灰色地带,不被实证法所鼓励。而以个人信息交换服务的合同则完全不同,一般来说这类交易既不违法,也不违背善良风俗,一方为了获取对方的对待给付须负担一定的给付义务,双方当事人之间具有真实的交易意思,因此,双方订立的是具有拘束力的合同,并不是自然之债。
其次,将同意信息处理之义务归入自然之债不利于个人信息权益保护。若这一合同义务因撤回权随时可行使而自始无拘束力,那么信息处理者就完全可能因信息处理合法事由的不确定而在撤回权行使之前竭力利用个人信息,这与个保法中的个人信息最小化原则显然相悖。此外,若依现有技术无法删除个人信息或者删除需要付出极为不合理的成本的,信息处理者可免除撤回权行使后的删除义务(《个保法》第47 条第2 款)。而将他人个人信息向第三方合法传递、嵌入数据库或者进行云存储等多环节的复杂处理手段均属于精准删除成本过大之情形,因此,为了合乎免除删除义务的技术要件从而尽可能留存个人信息以挖掘其潜在价值,信息处理者完全可能采取上述对于个人信息权益保护更为不利的处理手段。
最后,将同意信息处理之义务归入自然之债的解释路径与《民法典》中附任意解除权合同的体系定位不符。除了不定期持续性债务关系标配的双方任意解除权之外,《民法典》对以下五类定期持续性合同明确规定了单方或者双方的任意解除权,解除权人在一定情形下负损害赔偿责任,具体包括第787 条中的承揽合同定作人任意解除权、第829 条中的货运合同托运人任意解除权、第899 条中的保管合同寄存人任意解除权、第933 条中的委托合同双方任意解除权以及第946 条中的物业服务合同业主任意解除权。同时,《民法典》第658 条第1 款中的赠与人任意撤销权也应当被解释为赠与人对赠与合同的任意解除权。依法成立的合同对当事人具有法律上的拘束力(《民法典》第119 条),上述配套了任意解除权的合同的拘束力并不会因为存在潜在的任意解除权而被否定:终止合同效力的是任意解除权的行使,而不是任意解除权的存在。既然配套了足以直接终止合同效力的任意解除权的合同在任意解除权行使之前仍具有拘束力,并不属于自始无拘束力的自然之债,那么对合同效力毫无影响、仅在合同履行层面上不具强制力的同意信息处理之义务,更无从被解释为自然之债。
此外,在以同意信息处理换取服务的合同类型中,与其将信息主体负担的同意义务的内容解释为隐含了撤回可能的不可靠的“君子协定”,不如将其解释为信息主体遵循诚实信用原则负担了在一定时间内同意信息处理的义务,这显然更符合商业惯例。承诺提供服务或者商品的信息处理者对于信息主体对待给付的信赖应当得到尊重和保护。纵然法律赋予撤回权,一旦进入以己之允诺换取他人之允诺的合同关系中,信息主体就负担了履行允诺的义务,其并无法律上的特权将这种换取他人允诺的义务定位为不具信赖价值的义务。
综上,在以同意信息处理换取服务的合同关系中,信息主体负担了同意的义务,这一义务与其他任何类型合同中的义务在性质上并无本质差别,撤回同意构成了对合同义务的违反。这一合同义务之违反行为在履行障碍体系中属于迟延履行,而非《民法典》第580 条第1 款中的履行不能。
(二)撤回权的行使与损害赔偿责任
在信息主体负担同意个人信息处理之义务时,撤回权的行使构成了合同之债的不履行,信息主体是否因此须承担损害赔偿责任值得探讨。
第一,撤回权乃法定权利,行使法定权利的信息主体并无可归责之处,因此无需承担替代履行利益的违约损害赔偿责任。
作为违约损害赔偿责任请求权基础的《民法典》第577 条使用了“违约责任”这一统一概念,囊括并混淆了合同关系上原有义务的原给付义务和原有义务遭遇履行障碍后演变的次给付义务,造成了可归责构成要件体系上的错位。“继续履行、采取补救措施”属于原给付义务,该义务是否消灭与能否被主张履行取决于是否构成《民法典》第580 条第1 款规定的履行不能,与是否可归责完全无关,不属于履行不能情形的均须履行,除非债务人有抗辩权。而无论是替代履行还是填补迟延损害的“赔偿损失”则属于次给付义务,请求权之发生取决于违约方是否具有可归责情形。我国法并未明确承认归责事由属于违约责任的构成要件,学界对于违约责任属过错责任还是严格责任则观点不一。〔52〕具体参见解亘:《〈民法典〉第590 条(合同因不可抗力而免责)评注》,载《法学家》2022 年第2 期,第178 页。这一学说分歧在很大程度上可归因于涵盖了两种性质义务的违约责任概念。信息主体行使《个保法》赋予的撤回权虽构成了合同义务之违反,但无任何可苛责之处,并不充分可归责构成要件,因此无需承担违约损害赔偿责任。
第二,关于信息主体是否因行使撤回权而承担信赖利益损害赔偿责任,《个保法》未作规定,只能依据撤回权的制度价值类推适用当前规范体系中最为类似的制度予以判定。
首先,不宜类推适用《民法典》第1022 条第2 款关于肖像许可使用合同正当理由法定解除权的赔偿规定。肖像权人基于内心观念和周遭环境的显著变化等正当理由而解除合同的,须承担信赖利益损害赔偿责任。〔53〕参见杨芳:《〈民法典〉第1022 条第2 款(有期限肖像许可使用合同的法定解除权)评注》,载《南京大学学报(哲学•人文科学•社会科学版)》2022 年第4 期,第60 页。这是具有平等协商能力、处于类似于商个人地位的人格权人为了自由发展人格而摆脱合同束缚所付出的必要代价。撤回权制度应对之问题与正当理由解除权不同,既是对极可能诱发人格或者财产损害的信息处理行为的事先防范,也是对处于弱势地位信息主体的法律倾斜保护。撤回权人因此相较于正当理由解除权人更具保护价值,不宜类推适用《民法典》第1022 条第2 款。此外,撤回权不适用于人格标志商业利用场景,正当理由解除权和撤回权本就不属于同一体系脉络。
其次,不宜类推适用《民法典》定期合同任意解除权情形下的损害赔偿规定。在概念上,撤回权之行使不影响合同的效力和合同存续,撤回权不能归入合同任意解除权。另外,《民法典》规定的定作人任意解除权、货运合同托运人任意解除权、保管合同寄存人任意解除权、委托合同双方任意解除权和业主任意解除权这五类任意解除权并没有统一的规范理由,各有其独特的规范目的,解除权人之损害赔偿要件和范围也因此各有不同。若将撤回权行使是否引发损害赔偿这一问题建立在类推适用任意解除权之上,则类推对象难以选择,也无法得出清晰结论。更为重要的是,撤回权的规范目的与上述合同任意解除权规定大相径庭,跨领域的类推适用并无正当性。
最后,与撤回权最具类比价值的是消费者无理由退货权,因此应当类推适用退货权的行使并无损害赔偿责任的规定,即撤回权之行使亦无需承担信赖损害赔偿责任。《消费者权益保护法》第25 条规定的消费者无理由退货权应解释为合同任意解除权。根据该法第25 条第3 款,消费者通过退货解除合同所付出的代价仅仅是“退回商品的运费”,无需承担任何履行利益或者信赖利益的赔偿责任。如前所述,在信息主体负担同意个人信息处理的合同义务时,撤回权的适用范围应限于消费者合同和劳动合同。同为消费者权益保护,行使《个保法》上撤回权的损害赔偿请求权应与行使退货权作相同处理。而劳动者较之消费者处于更弱势的法律地位,撤回权之行使更无需承担任何损害赔偿责任。或有观点认为,消费者的无理由退货权针对的是线上交易且须在7 天之内行使,与无期限限制且无信息类型限制的撤回权不同,将两者在损害赔偿责任的承担上作相同处理是否得当存有疑义。本文认为,退货权之发生和行使限制皆是基于退货权规范目的的具体展开,是判断消费者是否出于需要退货权制度予以救济的轻率之标准,与损害赔偿责任排除之间并无因果关系。对退货权的规范构造不能作如下解释:既然已经在构成要件和权利行使上作严格规定,对损害赔偿范围则可宽松处理。因此,虽然撤回权在发生和行使上与消费者退货权不同,但不妨碍进行类推适用。
在比较法上,GDPR 立法理由书第42 条第5 句强调信息主体具有不承受消极后果地(ohne Nachteile zu leiden)撤回同意的权利。《德国民法典》第327q 条第3 款规定,在撤回权行使后,企业无论是否解除合同都无权对消费者主张损害赔偿。我国学者也基本持撤回权行使排除损害赔偿请求权的立场。〔54〕参见程啸:《论个人信息处理中的个人同意》,载《环球法律评论》2021 年第6 期,第45 页。本文持相同主张。在解释依据上可以依托《个保法》第15 条第1 款“个人信息处理者应当提供便捷的撤回同意的方式”之规定,即一旦撤回权的行使以承担信赖利益损害赔偿责任为代价,则与“提供便捷的撤回同意的方式”之要求相矛盾。
综上,信息主体可以不负担任何损害赔偿责任地行使撤回权,平衡双方合同利益关系的法律机制在于赋予合同相对人合同解除权。
五、撤回权的行使与信息处理者的合同解除权
同意构成给付义务最为典型的合同类型是以同意信息处理交换服务之合同。在我国尤其流行“个人信息换取折扣”的商业新样态,〔55〕我国监管机构对“个人信息换取折扣”的商业模式态度模糊。一方面,这种商业模式由来已久,监管机构并未叫停。另一方面,上海市网信办在2023 年6 月启动的“亮剑浦江•消费领域个人信息权益保护专项执法行动”中通报的信息处理违法行为包括“商家以优化服务体验、提供会员折扣等名义诱导消费者授权精准位置信息或者手机号等个人信息,诱导消费者关注企业公众号,消费者拒绝后,页面仍反复出现弹窗申请,影响消费者正常使用”。上述监管态度似乎表明“个人信息换取折扣”的商业模式因违反个人信息最小化以及捆绑禁止等原则而不合法。参见https://www.163.com/dy/article/I7OSG0LA0514EGPO.html,2023 年8 月30 日访问。比如航空公司推出的“积分换折扣”或者“开通(家庭)账户换折扣”等服务。〔56〕参见https://ffp.xiamenair.com/zh-CN/upload/files/2019/vip-book_cn.pdf,2023 年8 月30 日访问。在性质上,这一类合同属于双务合同。双务合同的对待给付本质上具有牵连性。信息主体得以无条件、无理由、无负担地拒绝作出对待给付,合同相对人却仍受合同束缚,这显然有违信息处理者签订合同之预设条件,将导致合同关系的失衡,这也并非《个保法》赋予信息主体撤回权之初衷。本文认为,应当承认撤回权行使后信息处理者在一定情形下享有解除权,从而平衡信息处理者与信息主体之利益关系。这一解除权在规范定位上属于根本违约所致的法定解除权,其规范依据是《民法典》第563 条第1 款第3 项。仅在同意构成了合同对待给付义务,且撤回导致信息处理者的合同目的无法实现时,解除权才发生。解除权之发生条件为强制性规范,予以排除或者作出不利于信息主体之约定均为无效。该解除权之行使无需催告。
(一)无维持合同关系之法定义务:捆绑禁止原则之解释
信息处理者解除权发生的理论前提在于其并无法定义务维持合同关系。一般而言,除非法令有明确规定,私法主体并无强制缔约义务。然而,《个保法》第16 条规定:“信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”这一规则在德国法上又被称为“捆绑禁止”(Koppelungsverbot)。若将此条中的“不得”理解为“不得脱离合同”,且将此条解释为信息处理者强制缔约义务之规范,信息处理者则并无合同解除权。
实际上,捆绑禁止原则的规范对象是信息主体的同意,是判断同意自愿性的辅助标准之一。GDPR 第7 条第4 款明确规定了捆绑禁止原则,其表述更为清晰:“在判断同意是否自愿作出时,应尽最大限度地考虑合同的履行包括服务的提供是否以不必要的信息处理同意为条件。”根据捆绑禁止原则,如果信息主体为了换取经营者的服务而同意对该服务而言并非必需的个人信息处理行为,这不是真正的自愿,非自愿作出之同意不具有阻却违法性和正当化信息处理之功能。德国学界目前的通说认为并不存在一种绝对的捆绑禁止,并不能从每一种捆绑中自动地推导出不自愿。裁判者必须在个案中考量是否存在一种极为不寻常的压制场景(Drucksituation),从而取消了意思形成的自愿。〔57〕Vgl.Peter Gola/Dirk Heckmann/Sebastian Schulz, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz Kommentar, 3.Aufl., 2022, § 7 Rn.23.这些因素包括信息主体与信息处理者之间是否存在不平等关系;〔58〕Vgl.Benedikt Buchner/Jürgen Kühling, Datenschutz-Grundverordnung BDSG Kommentar, 3.Aufl., 2020, § 7 Rn.44.信息处理者是否处于一种垄断或者特别的市场地位,以至于消费者无法选择其他服务商;〔59〕Vgl.Kai-Uwe Plath, Datenschutz-Grundverordnung BDSG Kommentar, 3.Aufl., 2018, § 7 Rn.14 f.消费者对于信息处理者所提供的服务是否具有相当的依赖性,该服务对消费者而言是否至关重要。〔60〕Vgl.Erg OLG Frankfurt ZD 2019, 507.因而即使违反捆绑禁止原则,同意也并非当然无效。同意有效与否仍须适用意思表示一般规则,捆绑禁止原则仅具提醒和描述功能,并未就此创设任何新规则。
捆绑禁止原则并不是合同效力判断规则,也无法课以信息处理者强制缔约义务。以个人信息交换服务的商业实践在各国数字市场中极为常见,这一商业模式的法律基础正是个人信息作为对待给付的双务合同。若非同意信息处理则不会提供服务,信息处理者将服务允诺“捆绑”在信息主体同意个人信息处理的允诺之上,这是双务合同对待给付牵连性的当然之义。以同意信息处理换取更为便捷或者更为优惠的服务本属于信息主体意思自治的范畴,如果将捆绑禁止原则归入合同效力判断标准,上述商业模式将因合同无效而被挫败,这无异于限缩信息主体意思自治的空间;如果将捆绑禁止原则归入信息处理者的强制缔约义务,无异于剥夺其缔约自由并强迫接受并不划算的买卖,这显然是法律对私人事务的过度干涉,也远超捆绑禁止原则的规范目的。
一言以蔽之,《个保法》第16 条确立的捆绑禁止原则的评价对象并不是合同,并未排除信息处理者的合同解除权。
(二)解除权的发生条件
第一,同意信息处理是双务合同的对待给付,撤回同意构成《民法典》第577 条规定的不履行合同。我国《个保法》中个人信息处理合法事由的范围与GDPR 不同,并没有如同GDPR 第6 条第1 款f 项的合法利益条款(合法利益一般是指信息处理者的利益),故信息主体在以信息交换服务的合同中撤回同意的,信息处理者大多难以在我国《个保法》第13 条第1 款中找到继续处理该个人信息的其他合法事由。同意信息处理的义务在法律性质上无异于价金给付义务,撤回同意无异于拒绝给付价金。同意与信息处理者的合同义务构成了对待给付,两者存在履行上的牵连性,这时才有赋予信息处理者解除权之必要。
第二,撤回同意对信息处理者而言构成合同目的不能实现。通常而言,个人信息处理行为具有持续性,撤回仅对未来发生效力,合同一方此前对个人信息的处理仍合法,撤回同意因此仅构成部分迟延。部分迟延是否导致信息处理者合同对待给付的完全落空,是否构成使信息处理者合同目的不能实现之根本违约,则需依个案情形具体判定。在此需区分部分迟延使之前的履行无意义以及部分迟延并不会影响之前履行的价值这两种情形。在前者,比如所交换之个人信息具有整体性和延续性,若无法处理后续个人信息,之前的处理无意义,信息处理者期待的对待给付彻底落空,撤回同意构成根本违约;在后者,迟延比重较大的则更可能构成根本违约,比如一同意旋即撤回,而信息处理者已经长时间或者大范围地传递或者使用了该个人信息或者继续性合同的履行期限所剩无几的,撤回同意不属于迟延比重较大的情形。
上述解除权发生条件属于强制性规范,例如“一旦撤回,合同自动解除”等有利于信息处理者的特别约定无效;排除解除权或者有利于信息主体的特约有助于撤回权的行使,应当判定为有效。
(三)解除权的行使
撤回权的行使构成《民法典》第563 条第1 款第3 项规定的迟延履行,但此项解除权的行使一经通知即生效,无需经过催告这一前置程序。催告的功能在于降低守约方证明给付迟延构成根本违约的难度,在催告后的宽限期内无法履行的自动升级为根本违约。〔61〕参见赵文杰:《〈合同法〉第94 条(法定解除)评注》,载《法学家》2019 年第4 期,第184 页。信息主体撤回同意即意味着明确表示反对继续处理个人信息,私法主体当为自己的行为负责,不可出尔反尔,《个保法》也未对撤回同意另行规定反悔制度。因此,自信息处理者角度考察,撤回同意几乎等同于在合同存续期间不会再次同意,继续等待对方纠正违约状态显然毫无意义。撤回同意直接构成了信息处理者合同目的不达之根本违约,并无必要设置催告程序。
(四)解除权发生规范的确定
一时性合同的解除权适用《民法典》第563 条第1 款第3 项且无需催告。本文认为,对此不能适用《民法典》第563 条第1 款第4 项的解除权发生规范。首先,《民法典》第563 条第1 款第4 项前段针对的是定期行为,即债权人的利益与履行的准时性密切相关。信息交换服务合同中的同意信息处理类似于价金给付,价金给付义务显然并非不准时就毫无意义。其次,《民法典》第563 条第1 款第4 项后段中的“其他违约行为”指向的是瑕疵给付、从给付义务违反、附随义务违反和给付不能等类型,〔62〕参见韩世远:《合同法总论》,法律出版社2018 年版,第662、664 页;同上注,第188 页。信息主体撤回同意既非违反附随义务,也未构成给付不能。
对于继续性合同根本违约情形下的解除权,我国《民法典》并无类似《德国民法典》第314 条的重大事由下特别终止权的一般规范,较为相近的是规定了租金未支付时出租人解除权的第722 条。然而,类推适用该条无异于舍近求远。鉴于《民法典》第563 条第1 款在措辞上也并未将适用范围限定于一时性合同,莫不如在信息处理者解除权的发生规范层面上不区分一时性合同与继续性合同,直接适用《民法典》第563 条第1 款第3 项且排除催告义务显然更为便捷。
六、结论
以《民法典》为核心的私法规范是私人关系的基础规则。对基础规则的背离则需要提供充足的正当化理由。个保法秩序的规范目的从来不是创设另外一套私法规范,世界各国迄今为止的个保法研究无意也无力于提供另外一套与既有民法概念体系完全不同的话语体系。个保法秩序的价值诉求和具体规则必须与既有的私法规范相契合,在既有的私法规范体系下展开。个保法规则仅仅是对可能发生且可能导致财产或者人格权益损害的个人信息滥用行为的防御。信息主体的决定权在这一全方位的防御机制中居于核心地位,信息主体在法律上被赋予强大的干预权以纠正其在信息处理中可能处于的被支配地位。当信息处理属于合同核心内容时,这一强大的干预权构成了对信息处理者利益的支配和处分,即信息主体的自治恰是对信息处理者的他治。而市民社会规则无法容忍他治。
法律未经解释无法适用。既然《个保法》已经设置撤回权制度,那么法学研究的任务就转向解释。解释的目的在于,在承认撤回权规范目的正当性的前提下依托《个保法》的规范属性和既有的民法理论体系为防止撤回权制度的不当扩张探索规范适用路径。本文就此得出如下结论。其一,当撤回权和信息主体的合同义务相悖时,撤回权的适用范围应作目的性限缩。其二,《个保法》中的同意与缔结合同之同意在法律效果上毫无关系。在撤回权行使后,同意这一合法处理事由被剥离,合同关系不受影响。其三,信息主体在负担同意个人信息处理之合同义务时,撤回同意构成违约,因无可归责事由而不承担违约损害赔偿责任,也无需承担信赖利益损害赔偿责任。其四,为纠正合同利益失衡状态,信息处理者在一定情形下享有解除权。
个人信息类型繁多,琐碎信息、敏感信息和隐私信息与人格尊严之远近关系大有不同,信息处理合同也各有不同,以同意作为给付义务之合同类型多样,以信息交换服务这一合同类型下的子类型在合同利益架构上也千差万别,囿于专业能力和篇幅,本文仅就撤回权对合同关系的影响提供基础性解决方案框架,至于如何识别同意信息处理是否构成对待给付以及如何解释《民法典》第566 条关于恢复原状义务规范的具体适用,这些问题只能留待日后研究。毋庸置疑,市民社会中所有类型的私人关系都能在以《民法典》为核心的私法规范中得到恰当的定性和调整,不存在既有私法规范体系予以充分调适和解释后都无法应对的计划外的法律漏洞,信息主体与非公权信息处理者之关系也始终处于《民法典》规范体系的调整范围之内。