下载掌阅APP,畅读海量书库
立即打开
从前文对国内外个人信息保护法的主要内容及其中同意规则的梳理中可以得出以下结论:同意规则实现路径的不同源于各国(地区)对个人信息的法律保护模式不同,而法律保护模式又源于个人信息的权利基础的定位不同。从国外立法模式看,上述代表国家(地区)的数据保护法可分为三类:欧洲“统一式”立法模式;美国“分治式”立法模式;日本“折中式”立法模式。
欧洲国家历来重视人权保护,因此在立法模式上将个人信息作为一项基本权利,注重保护人格尊严,其立法目的即为“保护自然人的基本权利和自由,尤其是自然人的个人数据保护权”。欧盟的立法模式代表了当今世界各国(地区)多数立法模式的现状,欧洲国家现行的个人信息保护机制建立在信息主体同意的基础之上,并有不断加强同意规则重要性的发展趋势。以欧盟 GDPR 为范本的个人信息保护法均强调个人对其个人信息的严格控制,欧盟 GDPR 、德国 BDSG 、英国《数据保护法》都将个人信息主体的同意赋予了重要地位,具体表现为通过规定同意等个人信息处理的合法性基础,以及赋予个人被遗忘权、删除权等权利,反对包括人格画像在内的信息自动化决策,明确从制度设计入手来保护个人信息,这一做法延续了欧洲一贯以保护人权价值为核心理念的精神。
在自由主义的价值观念指引下,美国的个人数据与隐私保护立法模式是将一切保护对象纳入广义上的隐私权的范围内,通过立法回应社会关切的金融、医疗、儿童、消费者等不同层面问题,之后把其他的规制需求交给市场,并通过个案审查的方式加以保护。
与欧美原生制度国家相比,日本兼收并蓄地吸收了以上两类立法模式的优势制度,在较短时间内通过努力将欧美的个人信息保护制度有机地移植,并逐步构建起适合自身实际情况的同意规则。日本的《个人信息保护法》的内容既有采用欧洲“统一式”管理的基本法(第一—三章),又有美国“分治式”管理的一般法(第四—六章)。此外,日本近年来频繁修改本国的个人信息保护立法,根本原因是希望通过先进的个人信息保护和流通规范促进数据在日本全社会的共享利用,最大限度地发挥数据红利,以推进日本的信息技术发展,例如在个人信息处理的方式上采用“择出机制”,能最大限度地保障信息利用和流通。
无论是欧洲国家的“统一式”个人信息保护模式,或是美国的“分治式”个人信息管理机制,还是日本的“折中式”个人信息立法形式,都通过法律规范建立了个人信息保护下的“知情同意规则”,足见“知情同意规则”在个人信息保护制度中的重要地位。上述国家(地区)的个人信息保护立法中对同意的法律效力规范呈现如下特点。
从横向上看,欧洲各国均将个人信息主体的同意作为个人信息保护的一般规则,同时规定同意是个人信息处理的合法性基础之一;美国消费者领域、医疗健康领域、未成年人的个人信息保护均确立了不同程度和条件的同意规则;日本《个人信息保护法》虽奉行“同意为例外”的基本规则,仅针对“需注意的个人信息”的处理活动需要个人同意,但同意仍是处理特定类型个人信息的合法性基础。从纵向比较上看,在各国的个人信息保护法发展历程中,对于个人信息处理规则基本符合从严到宽的规范趋势,由最初的防范个人信息滥用、加强个人信息保护和国家的严格管制,到将同意等多项合法性事由列入法律,注重促进个人信息的合理使用。
对于一项合法利益的保护,相关立法既可以采权利化保护模式,也可采行为规制保护模式。权利化保护模式通过设定具体的权利类型为相应利益提供保护,将保护的利益划归权利人享有,这种权利通常是排他性的,因此保护力度较强。行为规制保护模式是从他人行为控制的角度来构建利益空间,通过他人特定行为的控制来维护利益享有者的利益,相当于在整体利益空间中,通过行为控制切割出利益享有者的利益空间,使其成为受法律保护的法益。在划分的过程中,会涉及多种利益冲突的权衡,利益享有者仅享有部分利益,同时对行为人的行为自由给予适度的保障,为行为人留下的自由空间比权利化模式更为宽泛,因此对利益享有者的保护力度相对较弱。同意规则的行为规制路径旨在保护个人信息主体的自主利益,这意味着对个人信息处理者行为自由的适度限制,即个人信息处理者在初始状态下并不享有处理其个人信息的自由,只有透过个人信息主体的同意机制才可将个人信息处理者的限制打破,使其在个人信息主体的自主利益空间中划分出部分自由,实现个人信息处理者对个人信息的合理使用,达到个人信息最大化利用的理想状态。
1995年《个人数据保护指令》形成之时,欧盟便将其目标定位于“确保成员国必须保护自然人的基本权利和自由,特别是与数据有关的自然人的隐私权”;之后 GDPR 延续这一基本权利的保护模式,开宗明义地指出条例的立法目的是:“旨在保护自然人的基本权利和自由,尤其是个人数据保护的权利。”相继地欧洲各国依据 GDPR 确立的宗旨,修改本国的数据保护法,但遵循的基本目的和基本原则都是保护自然人的基本权利。德国《联邦数据保护法》、英国《数据保护法》、美国《隐私法》以及日本《个人信息保护法》均为个人信息保护领域的基本法,为个人信息主体的基本权利保驾护航。探究各国个人信息保护法产生的源头不难发现,无论是源自德国的“个人信息自决权”,还是美国在扩展传统隐私权概念基础上提出的“信息隐私权”,都属于宪法层面对个人基本权利的确认与保护。在个人信息处理关系中,个人信息主体的人格尊严、自由发展权利体现为对个人信息如何被收集、存储、使用、公开的自主决定权。作为个人信息保护的核心原则,知情同意规则也必然是以保护宪法上的基本权利和自由为出发点,同时强调个人对与其个人信息的相关事务享有自主决定的利益,因此同意并未落入私法领域的保护,不是个人信息主体享有的私法上的“同意权”。同时,各国(地区)的个人信息保护法多数规定个人信息主体的相关权利与个人信息保护基本原则相衔接,例如个人信息的访问权、更正权、删除权、封存权、反对权等,但各法律规范的具体权利配置不同。
关于同意规则的规范表达,国际法上通行的做法是将其列为一项个人信息处理的合法性基础,而我国现行法律规范没有使用“合法性基础”这一表述,我国对同意的规定可分为两类:一是以《民法典》第1035条、《网络安全法》第41、42条等为代表的规定,即个人信息的收集、使用、提供等行为须以该个人的同意为前置条件;二是以《民法典》第1036条、最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条为代表的免责事由的规定,即个人信息主体的同意在一定条件下可以成为个人信息处理者免于承担侵权责任的事由之一。易言之,同意在一定条件下可以阻却个人信息侵权行为的违法性,但无论是哪一种形式的规范表达,都未将同意作为个人信息处理的合法性构成要件。因此,同意类似个人信息处理者合法进行个人信息收集、使用等活动的第一道“闸门”,满足了同意要件仅达到实现程序正义的目的,而具体的信息处理行为是否构成侵权,还应结合侵权责任的构成要件进行确认。