马新彦 黄舜 | 论知情同意在个人信息保护规范中的属性

本文载于《吉林大学社会科学学报》2024年第5期

“民法典研究”栏目

论知情同意在个人信息保护规范中的属性

马新彦 黄舜  | 文

法律规范的性质界定为法律原则,则其会在体系地位、具体适用方法等诸多不同层面,与将之定性为法律规则的场合产生极大的异质性。因此,知情同意的性质界定系对其进行解释论研究的“重头戏”与先决步骤。在《个人信息保护法》颁布以前,诸如《中华人民共和国网络安全法》第41条、《中华人民共和国消费者权益保护法》第29条第1款等规定,虽然在语序上将知情同意与合法、正当、必要等原则并列,却并未澄清知情同意的属性究竟为法律原则还是法律规则。尽管《民法典》第1035条第1款在用语上以“条件”一词描述了知情同意,但这种做法仍未解决前述定性不清的问题。相较上述法律文件,《个人信息保护法》似乎有所进步:该法首先在其第一章“一般规定”中列举了处理个人信息的原则,如合法、正当、必要和诚信原则(第5条)、公开与透明原则(第7条)等;随后又在第二章“个人信息处理规则”的第一节“一般规定”中对知情同意做了较详细的规定。从该法的章节设置来看,知情同意隶属于“个人信息处理规则”,立法者似乎有意将知情同意的属性界定为法律规则。实证法文本的“暧昧”导致了学界观点的矛盾。从既往研究来看,学者针对知情同意的性质界定问题形成了“原则说”“规则说”与“混合说”等三类观点:其一,持“原则说”立场者往往径直将知情同意的属性界定为法律原则,并试图为该原则进行价值排序,但基本未释明作出这一判断的理由。其二,持“规则说”立场者通常直接将知情同意定性为法律规则,鲜有学者论证其理由。如有学者称:“知情同意规则应当为个人信息的收集、使用和转让的一般性规则”,但其重点却是探讨该规范的具体适用而非属性界定。在进行过详细论证的学者看来,知情同意之所以是一项个人信息保护领域中的法律规则,系因其未居于《个人信息保护法》总则部分的现实、其具备法律规则那般完整的逻辑结构、其适用采取“全有或者全无”的模式所致。其三,持“混合说”立场者在其论述中,时而将知情同意称为原则,时而又称为规则;或者先将该规范认定为法律原则,又在后文中称其为法律规则。如有学者指出:“我国《个人信息保护法》应当坚持告知同意规则,并将其作为个人信息处理中应遵循的基本原则加以凸显。”在这三类见解中,“混合说”用词的不精准性消弭了法律原则与法律规则的界限,有违我国的基本法理;从另一层面上看,“混合说”也体现了学者在界定知情同意性质时的“辗转反侧”。而在“规则说”与“原则说”之间,笔者虽同意“原则说”的结论,但将通过下文的论述证成知情同意作为个人信息保护原则的真正理由。

(一)知情同意是不外显于规范文本的法律原则

持“规则说”的学者称,《个人信息保护法》第一章总则部分并未出现“知情同意”的表述,进而据此认为知情同意显然属于法律规则。此观点的问题在于其预设了法律原则必须外显于实证法文本的错误前提。

尽管法律规范包含法律原则与法律规则,但纵观域内外民事立法,其在立法技术上却未必均将法律原则以明文表述的方式全部镌刻在实证法文本当中。“大陆法系传统民法典没有在法典首章集中规定基本原则的立法例”,典型者如《德国民法典》,其总则编第一章直接从关于“人”的规定开始落笔,在后续数章中并不存在关于法律原则的规定。在部分域外民法的首章中,立法者仅在个别条文里提及了某一法律原则的存在,也并未对法律原则作出专门性规定。与上述做法不同,我国立法者一贯将法律原则作为重要内容以明文规定的方式放置在各部法律的篇首部分,以之统率各项法律规则,表彰本部法律的价值理念与精神内核,此种做法被学者称为“内在体系外显”或者“基本原则外显”。事实上,这一做法最早可以追溯到1950年颁布的《婚姻法》。该法第1章的标题为“原则”并下设两个条文。第1条规定:“废除包办强迫、男尊女卑、漠视子女利益的封建主义婚姻制度。实行男女婚姻自由、一夫一妻、男女权利平等、保护妇女和子女合法权益的新民主主义婚姻制度。”第2条规定:“禁止重婚、纳妾。禁止童养媳。禁止干涉寡妇婚姻自由。禁止任何人借婚姻关系问题索取财物。”尽管受到1922年《苏俄民法典》的影响,这些原则带有一定程度的政治意识形态宣示色彩,但无可否认的是这两个条文至今仍为婚姻法上重要的法律原则,并被不同程度地吸纳到《民法典》当中。

以上的比较法分析表明,法律原则的确立不以其是否外显于法律文本为必然的形式条件,其原因在于,“法律原则是法律的灵魂,极具抽象性和宽泛性,无论成文法是否将其刻于法典的条文之内,它早已蕴含在法律体系之中,人们所需要做的是如何证成它于既有法律中的存在、地位以及它的正确性”。虽然《民法典》以6个条文的篇幅规定了我国民法的基本原则,但其并非一种封闭式的列举,未与其并列排布的第132条禁止权利滥用原则即为照例。又如,与知情同意类似,信赖原则在民事单行法时代直至《民法典》时代都未曾被成文化,但其已是制定法所构筑制度体系的基石和指南。之所以如此,系因信赖原则是法的安全价值得以实现的“中转站”,“现代法所追求的动的安全价值是通过信赖原则,也只能通过信赖原则及其指导下的规则加以体现”。无论是《民法典》物权编中一系列“未经登记,不得对抗善意第三人”的规定,还是合同编中如第467条所规定的要约人不得撤销导致受要约人信赖的要约等,抑或是婚姻家庭编中如第1091条所规定的离婚损害赔偿等,均受到没有外显于实证法文本的信赖原则的指导。凡此种种,意在澄清,知情同意未位于《个人信息保护法》总则部分乃至《民法典》总则编的现实境况,不能充当其非属法律原则的理由。

(二)在定性知情同意时应将相关规范视为整体

持“规则说”的学者认为,包含“知情同意”表述的法条,具备法律规则那般完整的“构成要件+法律后果”式的逻辑结构,因此其系法律规则而非法律原则。诚然,诸如《民法典》第1036条、《个人信息保护法》第13条等条款规定了知情同意的具体内容,这些居于民法外在体系中的条款均具备清晰的构成要件与法律后果,且建构出了知情同意的一般情形与例外情形,由此将其界定为法律规则并无不妥。但假若仅仅依此逻辑便推衍出知情同意系属法律规则的结论,则无异于混淆了讨论对象,也不免忽视了法的内在体系与外在体系间的融贯性,且不乏会出现性质认定的矛盾。例如,体现知情同意的《民法典》第1036条、《个人信息保护法》第13条隶属于法律规则的范畴自不待言,但同样体现知情同意的《个人信息保护法》第7条的性质却系法律原则。《个人信息保护法》第7条是关于公开透明原则的规定,虽从文本上不能直观地看出该条与知情同意的关系,但信息处理者提供充分、清晰的信息处理活动之相关信息,系其征得信息主体同意的必要之举,也是个人信息主体了解同意的内容并作出自愿且明确的同意行为的重要前提。换言之,作为法律原则的第7条本身即为知情同意的重要内容。于此场合,便出现了对知情同意进行定性的矛盾,这意味着在对个别涉及知情同意的条款进行定性的同时,必须考虑作为整体的知情同意的性质问题,如此方不至于出现龃龉,又能尊重法的体系性要求。

从法的体系性的角度看,民法体系有内在体系与外在体系之分,“民法典的编纂就是在作为内在体系的价值体系基础之上,通过特定的编纂技术将内在体系的价值理念落实、表彰于构成外在体系的规范体系之中,从而使民法典成为价值理念统一、规范体系逻辑一致的整体”。《个人信息保护法》中的民事法律规范作为《民法典》的组成部分或重要的补充、细化部分,亦应遵循民法内外体系的融贯性要求。在此背景下,对知情同意的定性工作应当将其作为一个整体来对待。而上述条款之所以可以被视作整体,系因其共性所致,即它们都涉及知情同意的问题,都受到知情同意潜藏的价值理念的指引。无论是如《个人信息保护法》第13条第1款第1项般正面规定处理个人信息需经信息主体的同意,还是如《民法典》第1036条第2—3款那样排除知情同意在处理已公开信息及维护公共利益的场合中的适用,这些法律规则均系知情同意背后潜藏着的价值理念的具象化。只不过前者完全贯彻了知情同意,因而构成一般情形;而后者则是立法者经由价值决断后,将其他价值理念如维护公共利益等置于知情同意之上,进而创制出了所谓的例外情形。“对立法者而言,将所有的法律基本原则,以明确的文字,表现在法条规定之上,可借简单的推论径予适用,系一项难以实现的任务,由于社会之繁杂多变,亦非立法者所能完成之工作。因此解释法律……应发现隐藏于某项规定之中的法理或一般法律原则……否则法律必停滞不进,陷于僵化,不能适应社会需要。”此言表明,在前述条文之上,必然存在一个居于统率地位的知情同意原则,其一方面抽象地表彰了各项下位法律规则背后的价值理念与内核,另一方面又构成了这些规则的正当化理由。故而,无论是《民法典》还是《个人信息保护法》,其中关于知情同意的规定,在体系逻辑上均遵循着如下脉络:知情同意背后潜藏的价值理念—作为法律原则的知情同意—涉及知情同意的具体规定。由于知情同意背后蕴藏的价值理念对所有涉及知情同意的规定均有指导与引领作用,是故对部分涉及知情同意的条款之定性不能取代对知情同意整体的定性。

(三)知情同意的适用模式符合法律原则的品格

持“规则说”立场者还认为:“知情同意……旨在提供清晰、明确的行为指引和评价标准。在法律适用中,该规则应采取全有或全无的方式,并不存在分量和程度的问题。”此观点的问题同样在于论者混淆了讨论对象,即误将个别涉及知情同意的条款的适用模式当作知情同意整体的适用模式。从法律原则与法律规则的分殊来看,法律规则本身即为法律原则的具体化表征,其固有的构成要件可以直接用于涵摄案件事实,并使之发生相应的法效果。与之不同,法律原则具备明显的“非决断性特征”(non-conclusive character),即法律原则不似法律规则那般可被“全有或全无”(all or nothing)地适用,而只是法官作出裁决时的方向指引或者考量因素。因此,法律原则“唯有被进一步地具体化,才可以用于涵摄”,其适用方法是衡量,适用模式则呈现出“或多或少”(more or less)的品格。以此为出发点审视《个人信息保护法》中涉及知情同意的部分条款可知,其适用确实呈现出“全有或全无”的特征。例如,《个人信息保护法》第31条第1款规定,处理未满14周岁未成年人的个人信息时,个人信息处理者必须征得该未成年人的监护人之同意。在该条的适用中,只要案件事实可以被涵摄于“个人信息处理者处理不满十四周岁未成年人个人信息”与“取得未成年人的父母或者其他监护人的同意”这两大构成要件之下,就应当顺理成章地发生案涉信息处理者有权处理案涉未成年人的个人信息的法效果。于此场合,个人信息处理者是否有权进行信息处理这一问题的答案泾渭分明,不存在份量和程度的问题。但是,上述推理的过程仍旧未重视《个人信息保护法》的体系效应。

因法律规则是法律原则的具体化表现,故在法律规则的适用中,必然能映照出法律原则的身影,并受到法律原则的影响。当涉及知情同意的诸项条款被单独考察时,其确实属于法律规则的性质,符合法律规则的适用模式;但若将这些条款作一并考察时,便会发现知情同意的适用出现了程度或者份量的差别。例如,《个人信息保护法》第13条第1款第1项规定,个人信息处理者在处理个人信息时必须取得信息主体的同意。结合该条第1款第6项和第2款的规定可知,个人信息处理者按照该法规定“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”时,无须征得信息主体的同意。然而,“《个人信息保护法》确立的是‘告知-充分知情-同意’逐层递进的因果结构,任一环节得到否定性评价,均将导致处理行为非法”。尽管已公开个人信息的处理活动不以信息主体的同意为合法性基础,但这并不意味着信息处理者不负担任何告知义务。“之所以在无须个人同意的个人信息处理活动中,原则上也必须适用告知规则,使处理者负有告知义务,根本原因在于要贯彻落实公开透明原则,保护个人对个人信息处理的知情权。”由此可知,知情同意在处理已公开个人信息和非公开的个人信息之场合的适用,占据不同的份量。即使是在同样处理已公开个人信息的场合,因这类信息的范围、对个人信息主体的不同影响等因素所致,知情同意的适用也不尽相同,论者提出的弱化保护已公开个人信息的解释论矫正路径,正是以此为建构基础。又如,《个人信息保护法》第14条中所谓的“单独同意”,即是指第29条关于处理敏感个人信息需征得主体单独同意的规定,其要求信息处理者对敏感个人信息的处理不能以“一揽子”等概括的方式取得授权,而是需要单独说明信息处理的目的、行为等内容并征求信息主体的同意。对比上述两个条文可知,于敏感个人信息被处理的场合,知情同意所占据的份量较之处理非敏感个人信息的场合更重。因此,知情同意在法律适用的过程中,秉持的是法律原则那般“或多或少”的独特品格。

综上,作为整体讨论对象的知情同意在性质上应为法律原则,如此才能克服“规则说”的种种错讹,并顺应《民法典》中的个人信息保护规范与《个人信息保护法》的体系性要求。

如前所述,知情同意是个人信息保护规范中未外显的法律原则,但其在个人信息保护规范体系中究竟占据何等份量,其与《民法典》的基本原则、《个人信息保护法》明文规定的原则之间系何种关系等规范属性问题,有待进一步厘清。在根源上,这些问题都是在追问知情同意在个人信息保护规范中的地位如何。以法律原则的覆盖面为标准,可将之分为基本原则与具体原则:前者因体现了法的根本价值,故为整个法域的指导性准则,充当着整个法律活动的指导思想和出发点,并构成法律体系的中枢;后者则仅仅构成某一法律领域中的规则的基础或出发点,系某一法律领域内的指导性准则,在某种意义上可称之为基本原则的具体化。在此分类中,知情同意原则一方面属于民法中的具体原则,另一方面则构成个人信息保护领域的基本原则。

(一)知情同意原则在个人信息保护领域中的规范份量

从知情同意原则的实质内容来看,之所以称该原则在个人信息保护领域具备基本原则地位,是因为其占据极高程度的规范份量,即其一方面彰显着个人信息保护法的根本价值,另一方面又最能契合个人信息权益的特质。

1.知情同意原则彰显着个人信息保护规范的根本价值

现代民法对于人格权保护的终极目标,是充分尊重作为整体伦理价值的人的平等、自由和尊严,其主要方式系保护具体的人格要素。个人信息权益与《民法典》中的所有人格权益一样,也体现了自然人的人格伦理价值,彰显着人的平等、自由和尊严。涉及知情同意的所有相关规范均“将个人视为具备识别能力、能够理性思考、拥有自身价值的主体,而这正是人格尊严的基本内涵”。因此,对自然人人格的尊重与保护,系个人信息保护法的根本价值所在。具体而言,该原则对这一根本价值的彰显,主要体现在如下两方面:

第一,对个人信息保护规范根本价值的直接彰显。作为个人信息保护原则的知情同意,其“核心是尊重信息主体的意愿,并在个人信息处理的实践中贯彻信息主体的意图”,因而直接体现着个人信息保护法的根本价值。那些未经同意便擅自处理他人个人信息者,实际上是将他人当作“物”而非“人”来对待,即凌驾于他人之上并视他人为可供自己随意支配的对象。这类行为既忽视了民事主体之间的平等关系,背离《民法典》的平等原则,也消磨了个人信息的“人”的本质归属。知情同意原则的存在,正能扭转这种不平等的局面。即便是国家机关对于自然人个人信息的处理,也需要遵循知情同意原则,按照《个人信息保护法》第35条及相关条文的要求履行告知义务,充分尊重信息主体的人格尊严与自由。

第二,对个人信息保护规范根本价值的间接彰显。《个人信息保护法》第13条是知情同意原则的具体化规则,该条第1款第2—7项规定了数种信息处理者无需征得信息主体同意的情形,在一定程度上划定了知情同意原则的边界,这与《民法典》第1036条的规范安排相似。这种边界的划定并不意味着知情同意原则完全丧失其适用空间,因为划定的过程本身也需要充分考虑人格尊严与自由价值。如前述提及的处理已公开个人信息的场合,尽管信息处理者无需征得信息主体同意,但仍需履行告知义务。之所以如此,是因为知情同意原则边界的确定呈现层次性,即知情同意的例外“并不必然等同于‘无需告知同意’,而是有必要根据个人用户知情程度构建阶梯式递减的‘需详细告知但无需同意’‘需概括告知但无需同意’和‘无需告知同意’三个层次,从而最大限度地保障个人用户的知情权”。概言之,唯有在充分尊重信息主体的人格尊严和自由的前提下,立法方可设定知情同意的例外。

除此之外,从比较法上来看,知情同意原则“自发端以来便作为个人信息保护的基本原则,其内涵几乎是一脉相承,都反映了数据主体对个人数据享有自治、自决的权利”。无论是《德国黑森州数据保护法》《美国公平信用报告法》《美国儿童在线隐私保护规则》《OECD关于隐私保护和个人数据跨境流通的指南》,还是后续的《OECD隐私框架》《欧盟通用数据保护条例》(GDPR)等法律或国际性文件,都始终保留甚至强化着知情同意在整个个人信息保护领域的基本原则地位。

2.知情同意原则最能契合个人信息权益的特质

“法律的利益评价才是法律适用的中心”,法官对案件所作之裁判,实际上就是对案涉的不同利益、价值的衡量与决断结果。因法的价值具有多元性,故作为其载体的法律原则亦具有多元性,但异质价值之间的不可通约性意味着承载其的“原则可能相互冲突,所以原则有份量,就是说互相冲突的原则必须互相衡量或平衡,有些原则比另一原则有更大的份量”。知情同意原则的规范份量之所以能够在个人信息保护法中占据极高程度,除其能彰显该法域的根本价值外,还在于其最能契合个人信息权益的利益复合性或者价值复合性特质。

尽管《民法典》与《个人信息保护法》均没有为个人信息赋权,或者说未将其作为一项具体人格权来加以规定,但在数字社会中,个人信息权益是彰显人格尊严和人格自由的最高位阶的法益。当无数的个人信息片段组合在一起时,自然人的“数字人权”便就此被形塑。不同于隐私,个人信息承载着多元利益:其一方面体现为自然人的人格尊严、隐私权及个人信息权益等民事权益;另一方面包含着企业、国家机关等主体合理利用个人信息的利益;此外,其还涉及言论自由、公共安全、国家安全等利益。“法学的基本价值追求应是恒定的,那就是维护并促进人的行为自由与尊严平等”,前述多元利益在个案中显现于外的纠葛与矛盾,“在根源上都是保护与利用个人信息两种价值取向的角力所致,对一方的强化必然意味着对另一方的减等”。在个人信息处理活动中,协调各方利益、化解价值龃龉的精髓即知情同意。作为个人信息保护规范内在价值体系的集中表达,知情同意原则背靠着的《民法典》的自由、公平、诚信、和谐以及富强等价值,在不同程度上代表了立法者对于前述各方面利益的考量与维护,因而该原则最适应于个人信息内生的利益或者价值复合性特质。进而,只有在知情同意原则下进行个人信息保护领域相关规范的配置与调适,才能科学、合理地协调、保护、实现诸方面利益,并凸显对个人信息背后主体的人格自由和尊严的关注和拥护。

(二)知情同意原则是其他个人信息保护原则的上位原则

从基本原则与具体原则的作用领域之分看,《民法典》的基本原则(除第9条外)无一不是知情同意原则的上位原则。即在民事立法领域,《民法典》总则编明定的法律原则是民法全域的基本原则。相较于民法基本原则而言,知情同意原则系个人信息保护领域的具体原则,其只不过是平等、自愿、公平等民法基本原则在个人信息保护领域的投射。《个人信息保护法》在总则部分亦明定了合法、正当、必要与诚信原则,目的原则,公开透明原则,质量原则和责任原则。从知情同意原则与这些已外显的原则的体系关联性角度看,知情同意原则实系这些原则的上位原则。由此,知情同意原则上承《民法典》基本原则,下启其他个人信息保护原则,发挥着极为重要的枢纽作用,此为该原则占据个人信息保护规范中基本原则地位的另一理由。

第一,《个人信息保护法》中的合法原则是知情同意原则的核心要求之一,其系知情同意原则对《民法典》第8条守法与公序良俗基本原则所作具体化。合法原则的内涵大致包括如下两个方面:一是个人信息处理行为必须具备合法性基础,即符合法律法规设定的各种要求;二是个人信息处理者必须履行法律法规为其设定的各类义务。就前一方面而言,信息处理行为最常态化的合法性基础便来源于个人信息主体的同意(《个人信息保护法》第13条第1款第1项)。即使是知情同意原则的边界之外的场合,即《个人信息保护法》第13条第1款第2至7项所规定的“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”等情形,信息处理行为的合法性虽无须经由个人信息主体的同意,但信息处理者仍需履行告知义务,并使信息主体充分知情。这里的差别仅在于知情同意原则在适用程度上的多与寡,而不意味着该原则在例外情形中不能充当信息处理行为的合法性基础。就后一方面而言,《个人信息保护法》第5章规定的信息处理者的管理义务(第51条)、监督义务(第52条)、评估义务(第55条)、补救义务(第57条)等,其意旨均在于防止突破先前已知情同意的新信息处理行为的发生,并保障信息主体的知情权等权益。因此,合法原则实为知情同意原则项下的子原则。

第二,《个人信息保护法》中的正当、必要与诚信原则是信息主体自愿作出同意的关键,三者系知情同意原则对《民法典》中民事权益受法律保护、平等、自愿、公平、诚信等基本原则的具体化。“法律上之所以要确保个人的同意必须是自愿作出,根本原因在于现代网络信息时代中个人信息处理者与个人之间的关系属于持续性的信息不平等关系。”《个人信息保护法》之所以规定诚信原则,其目的即在于确保信息主体所作出的同意未曾收到个人信息处理者的误导、欺诈、胁迫等,以此贯彻对信息主体人格尊严与自由的维护。然而,并非所有的自愿同意都出于信息主体的理性选择。例如,由于各类APP多采取一刀切式的“接受或退出型”(take it or leave it)个人信息收集协议,个人用户在初次使用APP时往往只能径直点击“接受”按键,否则便无从享受相应服务。在此过程中,信息处理者完全可以不违背诚信原则的方式去无限地收集个人用户的信息,并用于某种非法目的,但从一般理性人的角度来看,个人用户显然不会作出此种同意。于此场合,欲确保个人信息保护与利用之间的平衡,正当、必要原则便显得尤为重要:前者要求信息处理者的处理行为包括目的与手段等均需满足法的正向评价;后者则要求处理行为不得超过可以实现处理目的的最低限度。因此,唯有在正当原则、必要原则的限制下,个人信息处理者不违背诚信原则所取得的信息主体的同意,才系真正的自愿同意。换言之,知情同意原则所要求的“同意”,一定是具备符合正当、必要与诚信原则品格的同意。

第三,《个人信息保护法》中的目的、公开透明、质量原则确保着信息主体的“充分知情”,其亦为知情同意原则对《民法典》众多基本原则的具体化。《个人信息保护法》第14条之所以要求个人信息主体“充分知情”,系因“任何有效的同意都应当在同意者充分知情的前提下作出。如果不知情,那么这种同意则不是真实的,是无效的”。这种要求首先呼应着《个人信息保护法》第6条关于目的原则的规定:将信息处理目的明确地告知信息主体,意在防止信息处理者暗中扩大其特定的处理目的至未获信息主体知情与自愿同意的场合,从而避免信息主体对其个人信息的控制不能。其次,“充分知情”的实现有赖于公开透明原则的存在,因为“在个人信息处理者请求同意之前,向信息主体提供充分的、清晰的个人信息处理相关信息,是信息主体了解同意之内容、作出自愿且明确的同意行为的必要前提”。最后,“充分知情”也同时要求信息处理的质量。无论是个人信息不完整还是不准确的情形,信息主体都享有知情权(第44条),而且可以要求个人信息的更正、补充或者删除(第46—47条),凡此种种,都是在落实质量原则的要求,并因信息主体上述权利根植于知情同意原则而间接地贯彻了知情同意原则。目的、公开透明、质量原则均为知情同意原则对“充分知情”所设置的具体要求。

第四,《个人信息保护法》中的责任原则保证了信息主体在信息处理者违反知情同意原则时可以得到救济,其系知情同意原则对《民法典》第3条民事权益受法律保护基本原则的具体化。按照《个人信息保护法》第9条的文本表述,责任原则的内涵包括三个层次:一是信息处理者负有规范化信息处理活动的责任;二是信息处理者须着力确保信息处理活动中个人信息的安全;三是确立救济信息主体途径的上位规范。在此三层次中,第三层次最为重要,因其确保了信息主体在其权益受侵害时可以得到司法救济。违反知情同意原则而处理个人信息,属于典型的违法处理个人信息行为,依照《个人信息保护法》第7章的规定,相应信息处理者的责任包括民事、行政和刑事等多种类型:对于民事损害赔偿的问题,第69条不仅肯定了财产损害赔偿,也认可了精神损害赔偿的救济方式,并配置了不同的损害赔偿数额计算标准。对于行政责任,第66条分情况对违法处理信息者配置了不同程度的责任,其中的高额罚款有助于遏制大规模侵害个人信息权益情形的发生。至于刑事责任,则由第71条进行引致,违法处理个人信息者可能构成侵犯公民个人信息罪等罪名,但究竟应承担行政责任还是刑事责任,须由法官进行综合考量。此外,当非信息处理者违背知情同意原则利用他人个人信息时,则要适用《民法典》侵权责任编等相关规范来判定责任。由此,知情同意原则得以贯通《民法典》与《个人信息保护法》关于侵害个人信息的责任规范。

总之,将知情同意原则界定为个人信息保护规范中的基本原则,即是要赋予其立法准则功能与行为准则功能,由此产生解释和补充法律的功能、审判准则的功能、授予司法机关进行创造性司法活动的功能,以及解释、评价、补充法律行为的功能。

知情同意原则与《民法典》基本原则、《个人信息保护法》中的其他原则之间的关系,决定了前者在个人信息保护领域享有基本原则的地位,几乎所有的个人信息保护规范均围绕着知情同意原则展开并受其指导。在规范属性中的体系关系问题上,以个人信息处理活动所牵涉的主体为分类标准,可将知情同意原则所指导的各类规范归结为三元规范体系,即信息主体所享权利的规范体系、信息处理者所负义务的规范体系以及国家机关所负职责的规范体系。如此,方可理顺《民法典》中的个人信息保护规范与《个人信息保护法》之间的逻辑关系。

(一)信息主体所享权利的规范体系

知情同意原则的存在,首先意味着个人信息主体享有知情(即获得告知)和决定是否同意信息处理行为的权利,这是对于《民法典》中平等、自愿等基本原则的贯彻,亦是个人信息自决权利的体现。以知情同意原则为核心,《民法典》和《个人信息保护法》延展出了信息主体所享有的知情权、同意权(决定权)、撤回同意权、删除权与更正、补充权等五项主要权利。

信息主体的知情权(《民法典》第1035条第1款第1项,《个人信息保护法》第46条)与个人信息处理者的告知义务构成一组权利义务关系,其规范意义在于保证自然人对其个人信息所享有的支配权与决定权,并作为个人信息控制权的前提性基础。以知情的方式为分类标准,可将知情权分作两种类型:其一,信息主体自行查阅或者复制其个人信息的权利(如《民法典》第1037条第1款第1分句;《个人信息保护法》第45条第1款)。仅在法律法规明定的保密场合,或者查阅复制行为将妨碍国家机关履行法定职责等情形中,这种查阅复制权将被克减。其二,信息主体借助个人信息处理者的告知来对其个人信息做到知情,如《个人信息保护法》第48条规定了信息主体的请求说明权,意在确保信息主体对个人信息的自决与控制。

信息主体的同意权是信息处理活动最为重要的合法性基础。因信息主体有权决定同意或者不同意信息处理者处理其个人信息,故同意权的本质其实为一种决定权,此系个人信息自决权的具体表现。以此为据,决定权可分作同意权与拒绝权两类:前者的典型体现是《民法典》第1035条第1款第1项、《个人信息保护法》第13条第1款第1项;后者则如《个人信息保护法》第27条第1句。具体到同意权,《个人信息保护法》第14条对于同意的前提、方式等均设有不同要求,就如公共场所摄像头所采集到的个人信息而言,若个人信息处理者拟将之用于维护公共安全以外的其他目的,则必须取得信息主体的单独同意。而当信息处理的目的系维护公共利益时,则无需取得信息主体的同意(如《个人信息保护法》第13条第1款第4、5项)。

信息主体的撤回同意权(《个人信息保护法》第15条)亦为个人信息自决权的具体化表征,其落实端赖于以下两项条件:一是第15条第1款所规定的“个人信息处理者应当提供便捷的撤回同意的方式”。在理想状态下,既然信息处理者设置了“一键同意”的方式,则对于同意的撤回而言也应满足信息主体“一键撤回”的需要。二是第16条第1分句的规定,“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”。“同意的撤回权是个人信息主体对于一揽子服务中各细化功能的自决取舍,区别于删除权对应服务的整体拒绝。”所谓不得拒绝提供产品或服务,意在要求信息处理者提供差异化服务,即严格限定与个人信息有关的个性化服务之范围如个性化广告等,并将之与非个性化服务如普通的资料检索等区分开来,避免将信息主体的撤回同意等同于其放弃使用非个性化服务的情形发生。

信息主体的删除权亦贯彻着信息主体对其个人信息的自决与控制。在《民法典》颁布前,许多学者主张引入GDPR第17条第2款规定的被遗忘权(right to be forgotten),并对其进行本土化改造。尽管《民法典》未完全采纳此类建议,但其第1037条第2款规定的删除权已在一定程度上实现了被遗忘权的功能。不过,该条规定仍显得过于简略和概括,故《个人信息保护法》第47条以之为基础,做了更加细致的规定。《个人信息保护法》第47条第1款设置了个人信息处理者应当主动删除或者因应信息主体要求而删除个人信息的5种情形,其中第3项将“个人撤回同意”作为删除权的行使前提,从而明确地将撤回同意权与删除权区别开来。

信息主体的更正、补充权介于同意权和撤回同意权、删除权之间,其规范基础为《民法典》第1037条第1款第2分句和《个人信息保护法》第46条。后者的第1款规定,“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充”,第2款则是信息处理者的相应义务。要注意的是,更正、补充个人信息前,信息处理者必须“予以核实”(《个人信息保护法》第46条第2款),“但并未将个人信息作‘事实’和‘评价’的区分。……当涉及个人评价的信息时,个人用户同样可以……要求更正,此时……如完全迎合个人用户(尤其是公众人物)的这种更正要求则可能造成舆论的偏颇,而拒绝更正则容易引起纠纷”,因此未来有必要加强规范应对。

在知情同意原则下延展出的上述五项权利共同构成了个人信息权益的“权利束”,贯彻着《民法典》民事权益受法律保护、平等、自愿、公平等基本原则,根本目的在于实现信息主体的自决权,以此保障其人格尊严与人格自由。除此之外,《个人信息保护法》亦比照《民法典》的逻辑,对于未成年人的个人信息权益(《个人信息保护法》第31条)和死者的个人信息(《个人信息保护法》第49条)设定了特别的保护要求。

(二)信息处理者所负义务的规范体系

如前所述,知情同意原则以信息主体的人格尊严与自由为根基,其规范意旨在于落实信息主体对其个人信息的控制与自决,即充分尊重信息主体的意志。以此为出发点,知情同意原则不仅滋养着信息主体的各项权利,同时也延伸出了信息处理者所负担的各种义务。这些涉及信息处理者义务的不同规范呈现层次态势,共同形塑着一套以尊重信息主体意志为核心的义务规范体系。

信息处理者所负义务规范体系的第一层次,是信息处理者在处理个人信息的过程中应当遵循的法律原则,即合法、正当、必要与诚信原则、目的原则、公开透明原则、质量原则和责任原则。如前所述,这些已外显于《个人信息保护法》总则文本的法律原则在不同程度上具体化了知情同意原则的要求,故系知情同意原则的下位原则,亦即个人信息保护领域的具体原则。例如,合法原则要求个人信息处理者必须履行法律、行政法规为其设定的义务,《个人信息保护法》第5章对于信息处理者各类义务的规定即为其具体化展开。又如,公开透明原则要求信息处理者明确将处理目的告知信息主体,其对应着信息主体的知情权,《个人信息保护法》第17条则为其最直接的体现。因此,信息处理者所需遵循的法律原则(即《个人信息保护法》第5—9条)构成了其义务规范体系的第一层次,并指导着后续两层次的具体展开。

信息处理者所负义务规范体系的第二层次,是信息处理者所负担的以告知义务为主要代表的尊重信息主体意志的各类义务。基于信息主体的身份、个人信息的种类等的异质性,这些义务可以分作两组。

第一组是共性义务,即信息处理者处理个人信息时必须遵循的义务,几乎不考虑不同信息处理行为间的异质性,其至少包括如下9种义务类型:1)取得信息主体同意的义务(如《民法典》第1035条第1款第1项、《个人信息保护法》第13条第1款第1项),其对应着信息主体的同意权(决定权)。2)告知义务(如《民法典》第1035条;《个人信息保护法》第17、22、23条等),其对应着信息主体的知情权。即使在某些无须征得信息主体同意的场合(《个人信息保护法》第13条第1款第2—7项),告知义务依然应当被履行。3)于信息主体不同意的场合,不得拒绝提供产品或者服务的义务,除非“处理个人信息属于提供产品或者服务所必需”,如个性化广告(《个人信息保护法》第16条)。4)以自动化决策方式处理个人信息时的保证决策公平透明、提供便捷拒绝方式等义务(《个人信息保护法》第24条)。5)删除义务(如《民法典》第1037条第2款、《个人信息保护法》第47条),其对应着信息主体的删除权。6)信息安全风险管理义务(《个人信息保护法》第51条)。7)合规审计义务(《个人信息保护法》第54条),这是合法原则的具体表现之一。8)事前个人信息保护影响评估义务(《个人信息保护法》第55—56条)。9)发生或者可能发生个人信息泄露、篡改、丢失时的补救义务(《民法典》第1038条第2款、《个人信息保护法》第57条)。

第二组是特别义务,即某些信息处理场合对信息处理者的特别要求,其大致可分为如下4类情形:1)处理敏感个人信息的情形。于此情形中,信息处理者负有取得信息主体单独同意的义务(《个人信息保护法》第29条)、额外告知处理敏感个人信息的必要性以及对个人权益的影响的义务(《个人信息保护法》第30条)、征得未满14周岁未成年人之监护人同意的义务(《个人信息保护法》第31条)以及取得行政许可或遵守法律法规其他限制的义务(《个人信息保护法》第32条)。2)向境外提供个人信息的情形。相关义务由《个人信息保护法》第3章专章规定。3)处理个人信息达到国家网信部门规定数量情形中,个人信息保护监督人的监督义务与信息处理者的公开、报送义务(《个人信息保护法》第52条)。4)提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的各类义务(《个人信息保护法》第58条)。

信息处理者所负义务规范体系的第三层次,是信息处理者违反或者未尽相关义务时的责任规范,其保障了信息处理者各类义务的落实,此类规范包括《个人信息保护法》第66、67、69、71条等。

综上,在信息处理者所负义务的规范体系中,第一层次《个人信息保护法》明定的法律原则为上位规范,指导着第二层次中信息处理者各类尊重信息主体意志的义务的具体展开,而第三层次的责任规范则确保了这些义务的顺利落实。

(三)国家机关所负职责的规范体系

在信息处理活动中,国家机关是一类特殊的主体:其时而系信息处理者,时而又作为履行个人信息保护职责的部门而站在台前。当国家机关处理个人信息时,其与其他信息处理者一样也需承担尊重信息主体意志的各类义务,于此场合,这两种主体并无实质差异。如《民法典》第1039条中的国家机关保密义务强调信息处理行为的合法性;《个人信息保护法》第34条规定的国家机关依法处理个人信息的义务,系知情同意原则项下合法原则的具体体现;《个人信息保护法》第35条规定的国家机关为履行法定职责处理个人信息时的告知义务,在履行时依旧遵循着信息处理者告知义务的一般性规定(《个人信息保护法》第17条)。因此,只有在国家机关作为履行个人信息保护职责的部门时,其才存在区别于信息主体与信息处理者的特性或个性,方具讨论价值。按照《个人信息保护法》第60条第2款的规定,除各级网信部门外,凡是负有个人信息保护与监管职责的县级以上人民政府有关部门,皆为该条第3款所称“履行个人信息保护职责的部门”,而非行政机关的国家机关则不居于此列。就此而论,知情同意原则指导的第三类规范体系,即是国家机关所负职责的规范体系,其也具备三个层次。

第一个层次是指导国家机关履行具体职责的原则性规定,即《个人信息保护法》第11条关于国家建立健全个人信息保护制度等的规定和第12条关于国家参与个人信息保护方面国际交流与合作的规定。其中,第11条所谓的“政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境”,唯有在信息处理活动所涉及的所有主体都充分遵守知情同意原则、全面尊重信息主体意志的前提下方得形成。以前述两条原则性规定为出发点,国家机关所负职责规范体系的第二层次即其具体的职责,由《民法典》第1039条和《个人信息保护法》第6章加以专门规定。后者不仅明确了具体的履职部门(《个人信息保护法》第60条),也划定了具体的职权(第63条)与职责(第61条),还设有一些程序性规定如第65条关于接受投诉的处理等。这些具体的职责均意在规范信息处理者的处理行为,以此从另一个层面上落实知情同意原则及其背后尊重信息主体人格尊严与自由的根本价值。第三个层次则是国家机关的责任(《个人信息保护法》第68条),其连接了一系列国家立法和党内法规,给违反《个人信息保护法》的国家机关及其工作人员设定了行政、民事、刑事法律责任以及党内责任,进而确保国家机关正确、妥善地履行职责。

总之,无论是由知情同意原则正向延展出的信息主体所享有的知情权、同意权等权利,还是贯彻对知情同意原则之落实的信息处理者所负有的各种义务、国家机关所负有的各种职责,三者在根本上均受到知情同意原则的指导,进而形成以主体身份为区分标准的三元规范体系。

习近平总书记精辟地指出,数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。对个人信息的保护是数字经济良态发展的重要依托,与之相关的法律规范也因应时代背景而变动频仍。在此背景下,学人虽可不断追逐前沿的、热议的具体权利-义务-责任问题并发表真知灼见,但倘若因此遗漏了对基本法理的思考,则相关的讨论不免存在欠缺,甚或导致基尔希曼(Kirchmann)那句言犹在耳的“立法者的三个更正词就可以使所有的文献成为废纸”之论断轻易照进现实,最终必将损及我国在个人信息领域乃至整个数字社会中的治理效果。知情同意作为个人信息保护的神经中枢,系协调《民法典》中关于个人信息保护的规范与《个人信息保护法》之间关系的核心节点,亦是破解个人信息治理难题的一大关键基点。唯有将知情同意拔擢至个人信息保护领域的基本原则之高度,使其接受《民法典》基本原则的指导,并统领《个人信息保护法》中的合法、公开透明等具体原则,方可解释其为何系“个人信息保护大厦之基”;进而正确地理顺《民法典》中的个人信息保护规范与《个人信息保护法》的关系,即这些规范均遵循着“知情同意背后潜藏的价值理念—作为法律原则的知情同意—涉及知情同意的具体规定”这一内在脉络,并外化为彰显知情同意原则的信息主体所享权利规范体系、信息处理者所负义务规范体系、国家机关所负职责规范体系;在此基础上,《民法典》中的个人信息保护规范与《个人信息保护法》最终才可真正地成为个人信息的有效治理供给妥当的制度工具。