作者簡(jiǎn)介:萬(wàn) 方,北京外國(guó)語(yǔ)大學(xué)法學(xué)院副教授,法學(xué)博士。
內(nèi)容提要:告知同意是個(gè)人信息處理中對(duì)個(gè)人信息權(quán)益的基本保護(hù)模式。告知屬于兼具公法及私法性質(zhì)的行為,而同意屬于私主體對(duì)自己個(gè)人信息權(quán)益的處分。由于告知同意存在諸多問(wèn)題,引入同意撤回制度是我國(guó)個(gè)人信息保護(hù)體系的應(yīng)有之義。同意撤回權(quán)與消費(fèi)者撤回權(quán)不同,同意撤回權(quán)屬于人格權(quán)體系下的撤銷權(quán),其撤銷行為不具有溯及力也不應(yīng)適用除斥期間,除個(gè)人信息主體存在故意或重大過(guò)失外,不應(yīng)令其承擔(dān)損害賠償責(zé)任。另外,在適用中應(yīng)當(dāng)注意厘清主體行使同意撤回權(quán)后與受托人及第三方的關(guān)系,充分借鑒和吸收其他國(guó)家在同意撤回權(quán)上的經(jīng)驗(yàn),構(gòu)建我國(guó)的同意撤回權(quán)體系。
關(guān)鍵詞:告知同意 同意撤回權(quán) 個(gè)人信息保護(hù) 撤銷權(quán) 人格權(quán)
目 錄
一、個(gè)人信息處理中的“同意”
(一)“同意”的性質(zhì)分析
(二)“告知—同意”模式的缺陷
二、同意撤回的法理分析
(一)同意撤回的概念澄清
(二)同意撤回的性質(zhì)分析
(三)同意撤回權(quán)的行使規(guī)則
(四)同意撤回權(quán)與相關(guān)概念區(qū)分
三、同意撤回的域外立法比較及路徑選擇
(一)歐盟的路徑分析
(二)美國(guó)的路徑分析
(三)各國(guó)制度的比較分析
(四)大數(shù)據(jù)背景下我國(guó)個(gè)人信息保護(hù)制度的路徑選擇
四、我國(guó)同意撤回權(quán)的法律適用問(wèn)題
(一)關(guān)于撤回權(quán)與受托人及第三方的關(guān)系
(二)對(duì)同意撤回的理論質(zhì)疑及回應(yīng)
結(jié) 語(yǔ)
告知同意原則,是個(gè)人信息處理中的黃金原則。同意與同意的撤回共同勾勒出個(gè)人信息主體在數(shù)據(jù)處理活動(dòng)中的能動(dòng)性邊界。學(xué)界對(duì)告知同意存在的問(wèn)題展開了廣泛討論,但目前對(duì)于“同意”的性質(zhì)及效力依然存在爭(zhēng)議,對(duì)同意撤回亦沒(méi)有全面深入研討。同意撤回能補(bǔ)益“告知同意”固有的缺陷,為個(gè)人信息主體提供有效救濟(jì)。為明確同意撤回的效力,首先應(yīng)當(dāng)對(duì)個(gè)人信息處理中的“同意”的法律性質(zhì)進(jìn)行界定。
一、個(gè)人信息處理中的“同意”
(一)“同意”的性質(zhì)分析
目前,學(xué)界對(duì)于個(gè)人信息處理中信息主體的“同意”之性質(zhì)認(rèn)識(shí)存在差異。有的學(xué)者認(rèn)為本人同意為人格法益商業(yè)化的行權(quán)模式,并將“同意”界定為法律行為性的許可,認(rèn)為許可的內(nèi)容為具排他性權(quán)能的債權(quán)性用益物權(quán)。也有學(xué)者遵循信托法保護(hù)的路徑,主張對(duì)個(gè)人和信息收集者與處理者分別施加信息信托權(quán)利與信息信義義務(wù)。相比起傳統(tǒng)的個(gè)人信息權(quán)利,信息信托權(quán)利常常需要結(jié)合場(chǎng)景與信息關(guān)系來(lái)確定權(quán)利的邊界,此種關(guān)系中的個(gè)人信息主體之“同意”可被視為對(duì)信托之授權(quán)行為。還有學(xué)者主張,“同意”不同于合同中的“承諾”,“同意”應(yīng)當(dāng)被視為一種對(duì)信息主體的持續(xù)性代理行為(consent-as-ongoing-agency),且信息主體有隨時(shí)撤回同意的權(quán)利,類似于撤回代理權(quán)限。亦有學(xué)者認(rèn)為“同意”的性質(zhì)應(yīng)當(dāng)視其情景而定,其在合同領(lǐng)域與在侵權(quán)領(lǐng)域中存在不同的涵義:在侵權(quán)領(lǐng)域中,“同意”作為侵權(quán)法上的免責(zé)事由歸入“受害人同意”的范疇,在構(gòu)成要件上包括必須有明確具體的內(nèi)容、受害人須具有同意能力、同意必須真實(shí)自愿、加害人必須盡到充分的告知說(shuō)明義務(wù);而在合同領(lǐng)域中,同意可能成為相關(guān)合同給付內(nèi)容的一部分。另有學(xué)者認(rèn)為,鑒于“同意”的復(fù)雜性,不能完全從私法上獲得理解;經(jīng)過(guò)用戶的同意,平臺(tái)收集個(gè)人的信息既不能從私法上的交易來(lái)理解(其中沒(méi)有有償和對(duì)價(jià)因素),也不能從防御性的人格利益來(lái)理解,因?yàn)檫@種“同意”增加了人格遭到侵害的風(fēng)險(xiǎn),更何況現(xiàn)實(shí)中存在諸多無(wú)須用戶同意即可收集的情形。
筆者認(rèn)為,對(duì)同意的性質(zhì)判定要聯(lián)系相關(guān)規(guī)定中“告知同意原則”進(jìn)行梳理。我國(guó)制定了《信息安全技術(shù)個(gè)人信息安全規(guī)范》并在各企業(yè)中推廣適用,隨著國(guó)家各項(xiàng)治理的深入,用戶對(duì)于企業(yè)數(shù)據(jù)收集的標(biāo)準(zhǔn)會(huì)有更為明確和集中的認(rèn)識(shí),而各行業(yè)的隱私協(xié)議也將逐漸模板化、統(tǒng)一化。因此,個(gè)人信息主體對(duì)信息處理者的信賴并不建立在其所閱讀的隱私協(xié)議之上,而是基于對(duì)個(gè)人信息的處理標(biāo)準(zhǔn)的統(tǒng)一適用,換而言之,其信賴從根本而言是出于信息主體對(duì)國(guó)家治理能力的信任。因此,告知逐漸成為信息處理者的一種公法上的義務(wù),而同意則仍屬于私法上個(gè)人信息自決權(quán)益的核心。若細(xì)致梳理我國(guó)《個(gè)人信息保護(hù)法(草案)》(以下簡(jiǎn)稱《草案》)中的告知義務(wù)可知,相對(duì)于個(gè)人信息處理者的身份等信息,僅有個(gè)人信息處理目的、處理方式及處理的個(gè)人信息種類存在可以與個(gè)人信息主體協(xié)商的空間。納入告知范疇的其他部分僅具對(duì)告知義務(wù)的履行這一單一屬性,而可協(xié)商部分的告知內(nèi)容則另存在某種私法屬性,維持了信息主體的個(gè)人信息自決權(quán)的行使空間。因此,“告知”實(shí)際融合了公法和私法的雙重屬性,而“同意”屬于受限的私權(quán)處分。“告知”在所有場(chǎng)景之下均屬必須,但是個(gè)人的信息自決權(quán)益在某些情境下受到一定限制,如涉及公共安全、與他人的合法權(quán)益或須履行的義務(wù)相沖突之時(shí)或有其他合法事由時(shí),個(gè)人信息處理者可依法處理信息主體的個(gè)人信息,無(wú)論信息主體是否反對(duì)。
如上所述,“同意”是一種對(duì)于個(gè)人信息權(quán)益的處分,但是,這種處分不能脫離商品或服務(wù)合同的語(yǔ)境而單獨(dú)存在,只能被視為個(gè)人信息主體為了獲得相應(yīng)的商品或服務(wù)而必須作出的權(quán)利處分。自然人對(duì)其個(gè)人信息享有的民事權(quán)益屬于人格權(quán)益中的精神性人格權(quán)益。基于我國(guó)的歷史和社會(huì)現(xiàn)實(shí),賦予自然人對(duì)個(gè)人數(shù)據(jù)以民事權(quán)利的正當(dāng)性或意義應(yīng)當(dāng)建立在維護(hù)人格尊嚴(yán)和人格自由的基礎(chǔ)上。此外,鑒于個(gè)人信息處理的最小化原則,處理個(gè)人信息應(yīng)當(dāng)具有合理的目的并限于實(shí)現(xiàn)處理目的的最小范圍,而每種處理目的之下對(duì)應(yīng)的最小必要信息范圍已相對(duì)確定,由此可以推論,個(gè)人信息主體與信息處理者僅可就信息處理的目的進(jìn)行協(xié)商。但事實(shí)上,對(duì)此目的的協(xié)商本質(zhì)并非個(gè)人信息主體對(duì)自身權(quán)利的主動(dòng)處分,因?yàn)槠湓趯?shí)現(xiàn)服務(wù)及商品交易合同之外一般并不具有更多可真實(shí)獲利的處理目的。更多情況下,鑒于個(gè)人在個(gè)人信息處理流程中的弱勢(shì)地位,可供其選擇的信息處理目的并不具有明顯的獲益性,甚至有些表面的獲益是以承擔(dān)更多風(fēng)險(xiǎn)及代價(jià)所帶來(lái)的(如個(gè)性化推薦,甚至“殺熟”),所以,個(gè)人信息主體通過(guò)對(duì)信息處理者的處理目的進(jìn)行限制是行使自己防御性的個(gè)人信息權(quán)益,而非積極主動(dòng)行使自己的信息權(quán)益。
(二)“告知—同意”模式的缺陷
雖然“同意”系以合同方式作出的處分,但是由于其客體的特殊性以及“告知同意”固有的制度性缺陷,會(huì)導(dǎo)致個(gè)人信息主體權(quán)利得不到有效救濟(jì)。
1.難以獲得無(wú)效力瑕疵的用戶意思表示
意思表示是民事法律關(guān)系的核心。合同一方當(dāng)事人作出意思表示的前提是對(duì)訂立合同時(shí)之相關(guān)重要情事的知悉以及表意的自由。在個(gè)人信息處理的“告知—同意”模式之下,以上兩項(xiàng)要求都無(wú)法全面實(shí)現(xiàn)。
(1)信息主體缺乏對(duì)重要情事的知悉
首先,無(wú)法期待網(wǎng)絡(luò)用戶認(rèn)真仔細(xì)閱讀隱私政策的全文。研究表明,如果認(rèn)真仔細(xì)閱讀所有隱私政策條文,用戶僅閱讀一年中所使用的網(wǎng)絡(luò)服務(wù)的隱私政策就需要花費(fèi)224個(gè)小時(shí),因此,要求用戶認(rèn)真閱讀每條隱私政策的要求既不合理也不可能。其次,考慮到用戶的教育背景不一、對(duì)于各條款的理解能力有所偏差所帶來(lái)的現(xiàn)實(shí)性困境,更無(wú)法確認(rèn)用戶是否真正知悉其同意的內(nèi)容。
實(shí)際上,由于個(gè)人信息主體無(wú)法全面知悉其同意內(nèi)容也導(dǎo)致其在實(shí)踐中的損害救濟(jì)陷入困境。例如,在“肖某與廊坊京東吉特貿(mào)易有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案”一審中,由于原告肖某注冊(cè)時(shí)無(wú)法理解被告晦澀的信息分享安排而直接點(diǎn)擊了同意,嗣后原告由于發(fā)現(xiàn)商品包裝與描述不一致而找到被告投訴,被告直接安排供應(yīng)商聯(lián)系原告。原告認(rèn)為被告將其個(gè)人信息交由其他供應(yīng)商的行為存在不當(dāng)。法院判決認(rèn)為,鑒于電子商務(wù)平臺(tái)上涉及海量的商品和服務(wù),涉及的銷售商、供應(yīng)商等關(guān)聯(lián)方的信息亦系海量的,不可能一一列出具體的名稱,在相關(guān)條款中進(jìn)行概括描述并無(wú)不當(dāng),原告作為具有完全民事行為能力的成年人足以理解上述條款的內(nèi)容,故被告提供的隱私政策具有約束力,因此,被告有權(quán)依據(jù)隱私政策與第三方共享原告的個(gè)人信息。又如,在“淘寶(中國(guó))軟件有限公司訴安徽美景信息科技有限公司不正當(dāng)競(jìng)爭(zhēng)案”中,原告主張自己已經(jīng)取消定位設(shè)置而被告依然對(duì)其進(jìn)行定位嚴(yán)重侵害了其隱私權(quán)。法院認(rèn)為,定位問(wèn)題系安卓系統(tǒng)本身權(quán)限調(diào)用問(wèn)題,被告的隱私政策已對(duì)此情形進(jìn)行了提示,同時(shí)原告僅對(duì)其中某一項(xiàng)業(yè)務(wù)進(jìn)行了定位限制,在選擇其他業(yè)務(wù)類型時(shí)依然可以定位,因此被告的行為并非非法操作。
(2)信息主體缺乏表意自由
在個(gè)人信息處理的語(yǔ)境之下,信息主體本身存在對(duì)于信息處理者的服務(wù)依賴,導(dǎo)致信息主體缺乏表意自由。這種缺乏表意自由在以下幾種場(chǎng)景中表現(xiàn)尤為明顯。
首先,在許多場(chǎng)景之下,由于提供某種類型的個(gè)人信息屬于提供產(chǎn)品或服務(wù)的必需——若不提供“同意”無(wú)法獲得預(yù)期的服務(wù)。例如,在網(wǎng)約車的適用場(chǎng)景下,信息主體必須向信息處理者提供自己的手機(jī)號(hào)碼和位置信息,否則網(wǎng)約車因基本功能受限而無(wú)法提供相應(yīng)的服務(wù)。為維持服務(wù)或商品合同的可執(zhí)行性而進(jìn)行的授權(quán)同意本身不存在獨(dú)立于合同可協(xié)商的空間(此種同意屬于服務(wù)或商品合同的從給付義務(wù),其撤回等同于直接撤銷合同,因此不在本文的討論范圍之內(nèi))。
其次,在一些場(chǎng)景之下,用戶個(gè)人信息的授權(quán)范圍與其所獲得的服務(wù)層次存在對(duì)等關(guān)系。例如,在即時(shí)通信類產(chǎn)品的適用場(chǎng)景下,個(gè)人用戶在平臺(tái)上的社會(huì)關(guān)系網(wǎng)的面積、緊密程度和私密程度決定了該用戶在平臺(tái)上能夠獲得的福利的大小,因此,個(gè)人信息主體不僅需要提供自己的個(gè)人信息,也通常會(huì)基于對(duì)建立聯(lián)系和管理的需要而提供自己的好友列表信息。理論上,個(gè)人信息主體僅提供自己的個(gè)人信息即可進(jìn)入服務(wù),但若要實(shí)質(zhì)性利用平臺(tái)的某些功能(如分群好友等),則需要提供更多數(shù)量的好友信息。此時(shí)個(gè)人信息用戶主動(dòng)性提供自己好友關(guān)系是基于對(duì)平臺(tái)拓展性功能的需求。雖然獲取拓展性功能在合同訂立之時(shí)可能并非屬于信息主體簽訂合同的主要目的,但是隨著即時(shí)通信類產(chǎn)品適用的普及,若個(gè)人信息主體選擇不使用某種平臺(tái),很可能會(huì)對(duì)其社交及工作生活產(chǎn)生重大影響。換言之,在已經(jīng)開始使用某項(xiàng)服務(wù)之后,若信息處理者需要更新其隱私政策的內(nèi)容,個(gè)人信息主體往往也僅僅能夠選擇同意來(lái)繼續(xù)獲取服務(wù)。
再次,在相關(guān)就業(yè)等場(chǎng)景之中,若不“同意”提供信息雖然不會(huì)導(dǎo)致義務(wù)的違反但可能會(huì)對(duì)雇傭關(guān)系產(chǎn)生負(fù)面影響。例如,在用人單位正式錄用員工之前,公司往往要求求職者進(jìn)行體檢。在經(jīng)歷了數(shù)輪面試之后,體檢的結(jié)果往往決定了該用人單位是否會(huì)最終錄取該求職者。用人單位往往以在聘用合同中約定的方式將入職前體檢結(jié)果無(wú)異常作為合同的生效條款,若求職人員拒絕體檢或最后查出該求職人員身體存在任何異常則雙方無(wú)法按照預(yù)期達(dá)成勞動(dòng)合同關(guān)系。此種行為系變相的就業(yè)歧視行為,屬用人單位利用其優(yōu)勢(shì)地位對(duì)求職者平等就業(yè)機(jī)會(huì)的不合理剝奪,于法無(wú)據(jù)且違反合同自由原則。因此,美國(guó)《就業(yè)法重述》中指出,同意只是衡量侵犯隱私是否具有高度冒犯性的眾多因素之一,同意不能被視為雇主對(duì)所謂的隱私侵犯的完全防御。
最后,“同意”與單一買賣關(guān)系的日漸脫離,使得“同意”成為構(gòu)建系列交易的信息基礎(chǔ)。在會(huì)員制之下,個(gè)人主體即使完成了單個(gè)交易,信息處理者依然得以保有信息主體的“同意”,除非其主動(dòng)要求撤回同意。在會(huì)員制的消費(fèi)模式中,消費(fèi)者與經(jīng)營(yíng)者達(dá)成了一種非一次性給付的繼續(xù)性合同關(guān)系,有的會(huì)員制交易需要會(huì)員額外交付會(huì)費(fèi)以獲得更為優(yōu)惠的價(jià)格或者其他便利,有的會(huì)員制交易只需要消費(fèi)者提供基本信息進(jìn)行注冊(cè)。在以上兩種情景之中,信息處理者均可通過(guò)會(huì)員制與個(gè)人信息主體產(chǎn)生捆綁關(guān)系而獲得處理其個(gè)人信息的權(quán)限,且這種關(guān)系更為隱性,個(gè)人主體不易察覺(jué)自己的個(gè)人信息依然處于經(jīng)營(yíng)者手中,直到其注銷會(huì)員資格。因此,就《草案》中“當(dāng)個(gè)人信息處理者停止提供產(chǎn)品或服務(wù)時(shí),信息處理者應(yīng)當(dāng)刪除個(gè)人信息”的規(guī)定,在會(huì)員制的情景之下對(duì)于“服務(wù)”應(yīng)作擴(kuò)展理解,即將經(jīng)營(yíng)者為消費(fèi)者提供的會(huì)員資格本身也視為一種服務(wù)。在此情形之下,應(yīng)當(dāng)允許信息處理者保留收集的個(gè)人信息,除非個(gè)人信息主體明確表示撤回同意或以實(shí)際行動(dòng)注銷會(huì)員資格。
除此以外,對(duì)于用戶而言,其選擇同意的時(shí)間窗口通常較為窄小,往往須在幾秒之內(nèi)迅速作出同意的選擇以便進(jìn)入實(shí)質(zhì)性的主合同履行階段。信息主體在作出“同意”的意思表示之時(shí),實(shí)際上很難預(yù)料到當(dāng)時(shí)的“同意”行為究竟會(huì)對(duì)其帶來(lái)何種程度的影響,因此難謂表意自由。
意思表示本身分為兩個(gè)方面:作為行動(dòng)的意思表示以及作為客觀邏輯的意義構(gòu)造的意思表示,需要同時(shí)將這兩個(gè)方面聯(lián)系起來(lái),以行動(dòng)展現(xiàn)對(duì)一種指向引發(fā)某種法律效果之意愿的宣告。一方面,當(dāng)個(gè)人信息主體欠缺對(duì)相關(guān)內(nèi)容的知情時(shí),其指向“同意”的法律效果即缺乏合法的基礎(chǔ)。因此,雖然信息處理者提供了隱私政策,個(gè)人信息主體也表示了同意,但是并不能表明其行動(dòng)展現(xiàn)了對(duì)指向引發(fā)特定法律效果意愿的宣告——個(gè)人信息主體有時(shí)難以理解描述過(guò)于概括性的隱私政策內(nèi)容,更無(wú)從從技術(shù)性的層面知曉自己信息已被調(diào)取。此時(shí)實(shí)際出現(xiàn)了“告知義務(wù)”與“知情權(quán)”的斷層。另一方面,基于對(duì)信息處理者服務(wù)的依賴,同意的意思表示并不一定是自由的表意,雖然上文列舉的相對(duì)人意思表示不自由并不能簡(jiǎn)單等同于民法理論上的脅迫與欺詐,有些情形也確是網(wǎng)絡(luò)交易本身的性質(zhì)所致,但有些情況屬于“脅迫”行為,例如,當(dāng)個(gè)人信息主體不同意提供額外的個(gè)人信息則無(wú)法獲取服務(wù)、甚或?qū)е率フ>蜆I(yè)機(jī)會(huì)的情形。因此,“告知—同意”模式并不能真正全面保障信息主體作出不含效力瑕疵的真實(shí)意思表示。
從理論上來(lái)說(shuō),信息處理者雖然利用了個(gè)人信息主體缺乏判斷力,即個(gè)體基于理性考慮而實(shí)施民事法律行為并對(duì)民事法律行為的后果予以評(píng)估的能力,但是由于該行為在成立時(shí)難謂之取得“暴利”或在權(quán)利義務(wù)上明顯失衡,故而不宜將之認(rèn)定為顯失公平。而以普通經(jīng)濟(jì)損失的角度來(lái)界定是否公平,在涉及人格權(quán)益的案件中似乎又有失偏頗。
2.信息主體難以獲得有效保護(hù)
若將隱私政策視為合同,意味著在多數(shù)情況下信息控制者所提供的隱私政策由于不具有可協(xié)商性而被歸為格式合同的類型。我國(guó)《民法典》雖然對(duì)格式合同的效力作出了有利于消費(fèi)者的限定,但是仍然無(wú)法消除在個(gè)人信息處理場(chǎng)景之下對(duì)個(gè)人信息主體的不利影響。這是由于,根據(jù)規(guī)定,格式合同的主要規(guī)制對(duì)象是格式合同的提供方以約定的方式不合理地免除或減輕自己責(zé)任、加重或限制甚至排除消費(fèi)者主要權(quán)利的行為,但是在個(gè)人信息保護(hù)的場(chǎng)景之下,該種對(duì)“要約”的規(guī)制模式并不能起到很好的效果。《2019年App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理報(bào)告》中提及,App違法違規(guī)收集使用個(gè)人信息典型問(wèn)題分為六類:企業(yè)未提供隱私政策,限定一次性打開多個(gè)權(quán)限,未明示收集使用個(gè)人信息的目的、方式和范圍,未經(jīng)用戶同意收集使用個(gè)人信息,未經(jīng)同意向他人提供個(gè)人信息,未按法律規(guī)定提供刪除或更正個(gè)人信息功能等。以上種種問(wèn)題,若從格式條款的角度出發(fā)審視,有的是缺乏要約(如企業(yè)未提供隱私政策),有的是在要約中缺乏法定的內(nèi)容(如未明示收集使用個(gè)人信息的目的、方式和范圍,未按法律規(guī)定提供刪除或更正個(gè)人信息功能),有的既可能是在合同內(nèi)無(wú)明確約定也可能屬于信息處理者違反自身隱私政策而導(dǎo)致的違約行為(如未經(jīng)用戶同意收集使用個(gè)人信息、未經(jīng)同意向他人提供個(gè)人信息,以及限定一次性打開多個(gè)權(quán)限)。如此看來(lái),將隱私政策視為格式合同會(huì)產(chǎn)生明顯的問(wèn)題:格式條款提供方在隱私政策中回避提及其所需要向個(gè)人信息主體承擔(dān)的法定義務(wù),而由于該類條款并未訂入合同中,因此并不影響合同的效力。如此一來(lái),以合同方式保護(hù)個(gè)人信息主體的目的已然落空。而且,信息收集條款往往僅涉及信息處理者一般性的權(quán)利義務(wù)且未約定任何的責(zé)任條款,而鑒于個(gè)人信息的人格屬性,其損害的后果常常較為嚴(yán)重且無(wú)法彌補(bǔ),因此,以合同的方式予以救濟(jì)顯然效力不濟(jì)。實(shí)際上,個(gè)人信息主體在實(shí)踐中也往往更偏向于采用侵權(quán)路徑向信息處理者主張責(zé)任。
此外,同意的前提是信息透明,但從客觀上而言,個(gè)人信息適用的場(chǎng)景呈動(dòng)態(tài)化特點(diǎn),信息處理者可能需要不斷根據(jù)自己業(yè)務(wù)類型的調(diào)整而修訂其隱私政策,信息處理方式的不斷變革使得清晰透明且穩(wěn)定的個(gè)人信息處理方式不具有可期待性。信息應(yīng)用場(chǎng)景的動(dòng)態(tài)化是大數(shù)據(jù)背景下信息技術(shù)的生命力之所在,是信息革命的價(jià)值之所在。但是,這種動(dòng)態(tài)化的處理模式也決定了信息主體對(duì)知情的要求處于動(dòng)態(tài)化之中,信息主體只有在時(shí)時(shí)更新的適用場(chǎng)景之下(如收集個(gè)人信息使用目的的變更、信息處理者對(duì)新第三方的授權(quán)等),才有可能作出最符合其真實(shí)意思表示的“同意”,否則無(wú)異于刻舟求劍。因此,對(duì)于隱私政策的一攬子授權(quán)同意不能覆蓋整個(gè)信息處理流程,也不應(yīng)當(dāng)被視為信息主體對(duì)自己信息權(quán)益的全面處理。正因如此,對(duì)于“告知—同意”模式的質(zhì)疑與批判不絕于耳。
雖然告知同意有上述諸多缺陷,但至今仍為各國(guó)廣泛采用,究其原因乃是其標(biāo)準(zhǔn)化的模式無(wú)論對(duì)于用戶還是信息處理者而言均為成本最小化的解決方式。雙方減少了因不信任而產(chǎn)生的交易成本,能直接進(jìn)入到與個(gè)人信息權(quán)益行使最為核心的地帶:同意及同意的撤回,甚至刪除權(quán)。從目前來(lái)看,在“告知—同意”模式下,對(duì)于個(gè)人信息主體保護(hù)最為直接有效的方式即是賦予個(gè)人信息主體以同意撤回權(quán)。但學(xué)界目前對(duì)此尚未展開深入討論,因此,有必要對(duì)“同意撤回權(quán)”的性質(zhì)及其與其他相近制度的關(guān)系進(jìn)行細(xì)致梳理。
二、同意撤回的法理分析
(一)同意撤回的概念澄清
《草案》第16條明確采用了“撤回”的概念。雖然學(xué)界對(duì)同意撤回有著普遍認(rèn)同,但其概念本身具有特別指向,在進(jìn)行深入法理分析之前,有必要對(duì)其中的幾個(gè)關(guān)鍵問(wèn)題予以澄清。
首先,同意撤回是指?jìng)(gè)人信息主體基于“告知同意”原則,對(duì)自己已經(jīng)作出的“同意信息處理者對(duì)其個(gè)人信息進(jìn)行處理”的授權(quán)予以取消的意思表示。但從理論上看,撤回須在意思表示未生效之前到達(dá)相對(duì)人,其產(chǎn)生的效力是使得早先作出的意思表示不發(fā)生效力;而撤銷系在意思表示到達(dá)相對(duì)人并生效之后作出的取消前一意思表示的行為。因此,《草案》所指的“同意的撤回”雖名為撤回,實(shí)質(zhì)含義為意思表示的撤銷,但為保持與立法表述一致,本文亦沿用這一概念。
其次,需要特別強(qiáng)調(diào)的是,同意的撤回包含個(gè)人信息主體對(duì)個(gè)人信息使用全過(guò)程中的處分。這一理解有利于解決用戶僅能在信息收集階段行權(quán)的僵化性問(wèn)題。傳統(tǒng)的“告知—同意”模型中一個(gè)常常招致批評(píng)的問(wèn)題在于,其僅允許個(gè)人信息主體在信息收集的階段作出同意的表示。但實(shí)際上,在信息收集的初始階段,個(gè)人主體往往難以清晰理解其決定可能對(duì)未來(lái)造成的影響,例如,給予同意的授權(quán)之后,用戶會(huì)經(jīng)常受到商家頻繁的商業(yè)廣告滋擾,甚至被商家利用信息主體提供的個(gè)人信息進(jìn)行大數(shù)據(jù)“殺熟”,此時(shí)個(gè)人信息主體可以行使自己的同意撤回權(quán),要求其暫停處理行為。信息具有高時(shí)效性的特點(diǎn),用戶的需求和興趣具有轉(zhuǎn)瞬即逝的特點(diǎn),信息一旦無(wú)法得到有效及時(shí)的更新便會(huì)喪失預(yù)期的價(jià)值。這種對(duì)于信息處理者而言的預(yù)期價(jià)值的喪失,有時(shí)候會(huì)成為對(duì)信息主體個(gè)人信息利益的保護(hù),尤其當(dāng)這種預(yù)期價(jià)值更多體現(xiàn)在商業(yè)上時(shí),對(duì)信息處理進(jìn)行暫停式的緩沖效力可對(duì)沖部分個(gè)人信息處理對(duì)人格權(quán)益的侵害效果。
(二)同意撤回的性質(zhì)分析
有學(xué)者認(rèn)為,人格權(quán)商業(yè)化之后,會(huì)隨著環(huán)境的變遷對(duì)主體產(chǎn)生不良的影響,甚至可能會(huì)演變成對(duì)權(quán)利人人格發(fā)展的限制,在這種情形下賦予權(quán)利人撤回許可的權(quán)利,也是為了維護(hù)許可人的人格自治利益的需要,行使撤銷權(quán)對(duì)無(wú)過(guò)錯(cuò)一方造成損害的,應(yīng)由權(quán)利人承擔(dān)相應(yīng)的賠償責(zé)任。另有學(xué)者主張,應(yīng)當(dāng)區(qū)分情景討論同意撤回的適用,當(dāng)同意并不直接涉及合同交易領(lǐng)域時(shí),可隨時(shí)撤回同意,該行為僅僅是對(duì)他人行為違法性的排除;當(dāng)“同意”涉及具體的合同交易領(lǐng)域時(shí),則應(yīng)當(dāng)比照適用典型合同中的任意撤銷權(quán)規(guī)則,對(duì)個(gè)人信息主體的“同意撤回權(quán)”作出一定限制,當(dāng)其因撤回給信息處理者造成損失時(shí),應(yīng)當(dāng)承擔(dān)損害賠償責(zé)任。
如果基于合同的原理,那么“同意的撤回”可被視為個(gè)人信息主體行使撤銷權(quán)的行為,在我國(guó)民法上有溯及既往的效力。但筆者認(rèn)為,對(duì)人格利益的許可的撤銷規(guī)則應(yīng)當(dāng)與一般合同處分財(cái)產(chǎn)性權(quán)益的撤銷規(guī)則作出區(qū)分。因?yàn)椋烁駲?quán)的核心是個(gè)人的自決,其也包含了對(duì)經(jīng)濟(jì)價(jià)值的自決,承認(rèn)人格權(quán)商業(yè)化利用制度實(shí)際上是對(duì)個(gè)人自決的一種尊重,體現(xiàn)了對(duì)個(gè)人人格尊嚴(yán)的保護(hù)。人格權(quán)商業(yè)化利用目的的實(shí)現(xiàn)需要規(guī)則體現(xiàn)對(duì)人格權(quán)的傾斜保護(hù)。這種區(qū)分在我國(guó)現(xiàn)行立法上也是可行的,我國(guó)《民法典》在總則編的意思表示一節(jié)中僅規(guī)定了意思表示的撤回(《民法典》第141條),并未規(guī)定意思表示撤銷的內(nèi)容。對(duì)于可撤銷的情形僅在民事法律行為的效力這一部分作了未窮盡性列舉(如《民法典》第147-151條),并在合同編各類有名合同中對(duì)當(dāng)事人的法定撤銷權(quán)作出具體規(guī)定(如《民法典》第658條)。我國(guó)民法上可撤銷的民事法律行為需通過(guò)向法院或仲裁機(jī)構(gòu)主張來(lái)實(shí)現(xiàn),理論上被歸為形成訴權(quán),由于其對(duì)當(dāng)事人之間權(quán)利義務(wù)關(guān)系產(chǎn)生重大影響,故需要受到形成權(quán)的除斥期間限制。但從體系構(gòu)造上看,《民法典》并未對(duì)意思表示的撤銷作出統(tǒng)一規(guī)定,這為新型意思表示撤銷制度的構(gòu)建預(yù)留下了理論空間。基于此,完全可從人格利益的特性出發(fā),獨(dú)立概括出人格權(quán)體系下的撤銷權(quán)制度。
從人格權(quán)特性出發(fā),人格權(quán)體系下的撤銷權(quán)具有區(qū)別于一般合同處分財(cái)產(chǎn)性權(quán)益下的撤銷權(quán)的特點(diǎn)。人格權(quán)的客體是人格權(quán)所指向的具體人格利益,人格權(quán)的絕對(duì)性特征使得權(quán)利人以外的其他任何人均負(fù)有不得侵害權(quán)利人之人格權(quán)的義務(wù)。因此,即使是在人格權(quán)商業(yè)化利用的合同關(guān)系中,基于對(duì)人格權(quán)益處分的撤銷權(quán)之行使也不應(yīng)當(dāng)受到過(guò)多限制。故而人格權(quán)體系下的撤銷權(quán)行使不以主體受到實(shí)際損害為前提。同時(shí),人格屬性的權(quán)利行使一旦生效難以產(chǎn)生恢復(fù)原狀的效果,因此人格權(quán)體系下的撤銷權(quán)一般不具有溯及既往的效力。
同意撤回權(quán)體現(xiàn)了主體對(duì)于個(gè)人信息的自決處分,帶有強(qiáng)烈的人格利益特性,可以被定性為人格權(quán)體系下的撤銷權(quán)。首先,同意撤回權(quán)屬于形成權(quán),具有可依單方面的意思表示使法律關(guān)系發(fā)生變動(dòng)的性質(zhì)。個(gè)人信息主體僅需向信息控制者發(fā)出其意欲撤回同意的意思表示即可產(chǎn)生效力。此種安排將個(gè)人視為其信息的最佳處分權(quán)人,體現(xiàn)出制度設(shè)計(jì)層面上對(duì)于國(guó)家公共領(lǐng)域及私人生活領(lǐng)域區(qū)分治理的態(tài)度。其次,同意撤回權(quán)屬于撤銷權(quán),其效果是使得已經(jīng)發(fā)生效力的意思表示歸于消滅。個(gè)人信息主體可以通過(guò)行使同意撤回權(quán),禁止信息控制者對(duì)其個(gè)人信息的后續(xù)處理行為。最后,同意撤回權(quán)是對(duì)涉及人格權(quán)益的意思表示之處分,體現(xiàn)了人格利益特性,并同樣具有人格權(quán)體系下的撤銷權(quán)的特殊性,如主體行權(quán)上的特殊便利性、不具有溯及既往的效力等。因此,同意撤回權(quán)實(shí)際上屬于人格權(quán)體系下的撤銷權(quán)。
(三)同意撤回權(quán)的行使規(guī)則
通常而言,意思表示的撤銷需考慮相對(duì)人的合理信賴問(wèn)題,這是合法行使撤銷權(quán)的前提。但是,在法律已經(jīng)明確規(guī)定相對(duì)人須履行告知相對(duì)人有“同意撤回權(quán)”的前提之下,應(yīng)當(dāng)認(rèn)定相對(duì)人不存在合理信賴的基礎(chǔ)。同時(shí),信息處理者也不得在隱私政策內(nèi)對(duì)信息主體的同意撤回權(quán)予以預(yù)先排除。但同意撤回權(quán)也須受到一定的限制,如其行使不能影響數(shù)據(jù)信息的留存義務(wù)的履行。所謂數(shù)據(jù)留存是指為政府機(jī)構(gòu)日后檢索、法律執(zhí)行和安全機(jī)關(guān)用作證據(jù)和情報(bào)的需要,相關(guān)機(jī)構(gòu)或企業(yè)對(duì)通信話務(wù)量、位置等用戶數(shù)據(jù)進(jìn)行存儲(chǔ)。雖然各國(guó)的立法都將涉及用戶隱私部分的通信信息排除在存留范圍之外,但是對(duì)于可以識(shí)用戶身份信息的其他類型的個(gè)人信息均有可能成為留存內(nèi)容。數(shù)據(jù)留存具有維護(hù)國(guó)家安全及公共利益的重要功能。我國(guó)的《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定了我國(guó)互聯(lián)網(wǎng)信息服務(wù)提供者的數(shù)據(jù)留存義務(wù),并要求互聯(lián)網(wǎng)信息服務(wù)提供者和互聯(lián)網(wǎng)接入服務(wù)提供者的記錄備份應(yīng)當(dāng)保存60日以備查詢。此時(shí),個(gè)人信息主體若要求行使刪除權(quán)須受到留存期限規(guī)定的制約,在相關(guān)留存期限的日期結(jié)束之后方可行使自身的刪除權(quán)。由于此類信息收集并不基于信息主體的同意,因此也沒(méi)有任何同意撤回權(quán)的行使空間。
具體而言,作為人格權(quán)體系下的同意撤銷權(quán),對(duì)個(gè)人信息處理許可的同意撤回權(quán)之行使應(yīng)當(dāng)遵循以下規(guī)則:
首先,應(yīng)當(dāng)更偏重保護(hù)意思表示主體的行權(quán)之便利性。這是由于人格權(quán)益被侵害后往往難以對(duì)其進(jìn)行實(shí)質(zhì)上的有效救濟(jì),且以形成訴權(quán)的方式來(lái)構(gòu)建人格權(quán)下的撤銷權(quán)體系不利于對(duì)人格性利益的及時(shí)救濟(jì),因此,不應(yīng)當(dāng)對(duì)意思主體行使撤銷權(quán)作出任何不合理的限制。在雙方交易過(guò)程中,當(dāng)一方的利益主要體現(xiàn)在人格利益,而另一方的利益主要為財(cái)產(chǎn)利益時(shí),人格性利益一方享有優(yōu)先權(quán)利。我國(guó)民法體系中對(duì)此有諸多體現(xiàn),例如,根據(jù)我國(guó)《民法典》第1022條規(guī)定,當(dāng)事人對(duì)肖像許可使用期限沒(méi)有約定或約定不明確的,任何一方可以隨時(shí)解除肖像許可使用合同;即使雙方對(duì)許可的使用期限有明確約定,肖像權(quán)人有正當(dāng)理由的,也可以解除肖像使用合同。該條款賦予了肖像權(quán)人以正當(dāng)理由下的單方合同解除權(quán),此種更有利于肖像權(quán)人的制度安排主要就是出于對(duì)其人格性權(quán)益的重要性之考量。在個(gè)人信息權(quán)益中,所包含的信息主體的利益范圍更為廣泛,因而類推賦予個(gè)人信息主體以人格權(quán)體系下的撤銷權(quán)確有必要。
其次,應(yīng)當(dāng)摒除除斥期限對(duì)權(quán)利主體的時(shí)間限制。人格權(quán)請(qǐng)求權(quán)具有絕對(duì)權(quán)請(qǐng)求權(quán)屬性,不應(yīng)受到訴訟時(shí)效的限制。因?yàn)槿烁駲?quán)請(qǐng)求權(quán)的功能在于保護(hù)民事主體對(duì)其人格利益的圓滿支配,在人格權(quán)受到妨害或者可能受到妨害的情形下,權(quán)利人應(yīng)當(dāng)有權(quán)隨時(shí)提出請(qǐng)求,以恢復(fù)權(quán)利人對(duì)其人格利益的圓滿支配狀態(tài)。只要對(duì)人格權(quán)的侵害和妨礙仍處于持續(xù)狀態(tài),則權(quán)利人即應(yīng)當(dāng)享有人格權(quán)請(qǐng)求權(quán),以消除相應(yīng)的不利影響。同理,“同意撤回權(quán)”作為涉及人格利益的撤銷權(quán)也不應(yīng)當(dāng)受到除斥期間的制約。個(gè)人信息處理中的“同意”是對(duì)自己個(gè)人信息權(quán)利授權(quán)的放棄,體現(xiàn)了個(gè)人信息權(quán)益的消極性和防御性,屬于個(gè)人信息主體對(duì)其信息權(quán)益的最后一道防線,應(yīng)當(dāng)?shù)玫较鄳?yīng)的救濟(jì)。
再次,與民事主體對(duì)其姓名、肖像等人格性利益的許可使用之撤銷類似,同意撤回也不具有溯及力。對(duì)他人在商品、商標(biāo)或者服務(wù)上使用本人的姓名、肖像等行為的許可被撤銷之后,只是對(duì)相對(duì)人未來(lái)的使用權(quán)利作出了限制,并不影響許可撤銷前已經(jīng)生產(chǎn)的商品或使用的商標(biāo)及提供的服務(wù)上所附著的權(quán)益,除非產(chǎn)生了對(duì)個(gè)人主體的個(gè)人權(quán)益產(chǎn)生侵害的情形。同理,對(duì)于因建立在“同意”基礎(chǔ)上所取得的人體臨床試驗(yàn)的階段性成果,也不應(yīng)因受試者撤回同意而被歸于無(wú)效或不可使用。由此可見(jiàn),涉及人格利益的許可之撤銷不應(yīng)當(dāng)具有溯及力。事實(shí)上,不同于一般的財(cái)產(chǎn)性交易,涉及人格利益的許可之撤銷往往難以達(dá)到使雙方恢復(fù)到民事法律行為實(shí)施前的狀態(tài):雖然返還財(cái)產(chǎn)并不困難,但是涉及人格性利益的民事法律行為本身的目的是為了發(fā)揮附著在物之上的人格性利益的效果,例如,讓人建立起對(duì)某種商品與某代言人的自然聯(lián)想等,因此,對(duì)許可撤銷前已經(jīng)生產(chǎn)的商品或使用的商標(biāo)及提供的服務(wù)上所附著的權(quán)益進(jìn)行分離既不可能,也無(wú)必要,更無(wú)法達(dá)成消除此種效果之目的。人格性權(quán)益有其本身一經(jīng)存在即附著于社會(huì)關(guān)系中的特殊性,無(wú)法以“返還財(cái)產(chǎn)”或“賠償損失”的方式使其恢復(fù)原狀,只能對(duì)其在未來(lái)生活中將產(chǎn)生的影響予以制約,因此,人格權(quán)體系下的撤銷權(quán)不應(yīng)當(dāng)具有溯及力。
最后,同意撤回權(quán)的行使不以個(gè)人信息主體受到損害為前提。除為履行法定職責(zé)或法定義務(wù)所必需,任何對(duì)同意撤回行使事由上的不當(dāng)限制都是對(duì)個(gè)人信息主體的個(gè)人信息權(quán)益之克減。此外,就由個(gè)人信息主體主張同意撤回而對(duì)信息處理者帶來(lái)的損害要求其承擔(dān)賠償責(zé)任的做法也頗為不當(dāng)。對(duì)于信息處理者而言,但凡個(gè)人信息主體主張撤回其同意,就一定會(huì)產(chǎn)生損失。因?yàn)椋畔⑻幚碚咴讷@得個(gè)人信息主體授權(quán)同意之時(shí),即需要對(duì)這部分的個(gè)人信息進(jìn)行打標(biāo)處理,當(dāng)個(gè)人信息主體選擇撤銷其授權(quán)同意之時(shí),信息處理者需要重新識(shí)別這批已經(jīng)打標(biāo)處理的個(gè)人信息并重新調(diào)整權(quán)限,但因調(diào)整行為而額外產(chǎn)生的這部分費(fèi)用不可要求個(gè)人信息主體承擔(dān)。其理由在于,只有當(dāng)基礎(chǔ)性權(quán)利遭受不法侵害或有侵害之虞時(shí),方才發(fā)生救濟(jì)性請(qǐng)求權(quán),而個(gè)人信息主體行使同意撤回權(quán)系其對(duì)自身權(quán)益的正當(dāng)處分,具有合法性基礎(chǔ),因此,信息處理者無(wú)權(quán)就其因信息主體合法行使同意撤回權(quán)所造成的損失向信息主體請(qǐng)求損害賠償。從同意撤回制度設(shè)計(jì)的效果來(lái)看,除信息主體故意或重大過(guò)失外,也不宜令信息處理者擁有損害賠償請(qǐng)求權(quán),此舉會(huì)給信息主體帶來(lái)諸多顧慮,從而從實(shí)體上架空同意撤回制度。
(四)同意撤回權(quán)與相關(guān)概念區(qū)分
1.同意撤回權(quán)應(yīng)與消費(fèi)者的反悔權(quán)相區(qū)別
消費(fèi)者與經(jīng)營(yíng)者之間的信息極不對(duì)稱狀況導(dǎo)致雙方在交易中的地位無(wú)法平等。消費(fèi)者因不了解相關(guān)信息或是受到商家的誤導(dǎo)而沖動(dòng)消費(fèi),經(jīng)常簽訂讓自己后悔的合同。消費(fèi)者的反悔權(quán)正是基于對(duì)處于弱勢(shì)地位的消費(fèi)者的救濟(jì)之考慮而對(duì)“同意”瑕疵的補(bǔ)正,其實(shí)質(zhì)是對(duì)消費(fèi)者不理性的消費(fèi)行為進(jìn)行家長(zhǎng)主義管制。從這些角度出發(fā),同意撤回權(quán)與消費(fèi)者的反悔權(quán)似乎有所相同,但事實(shí)上兩者有很大區(qū)別。首先,兩者的適用場(chǎng)景不同。雖然域外各國(guó)對(duì)于消費(fèi)者的反悔權(quán)的行權(quán)時(shí)間窗口規(guī)定不一,但是其適用場(chǎng)景往往被限定在幾種特殊的領(lǐng)域之中:上門交易、遠(yuǎn)程交易及分期付款。消費(fèi)者的反悔權(quán)行使的效果是使之前的合同歸為無(wú)效,雙方需要承擔(dān)合同項(xiàng)下的返還義務(wù),即消費(fèi)者返還商品而經(jīng)營(yíng)者退還已經(jīng)收取的價(jià)金。例如,根據(jù)我國(guó)《消費(fèi)者權(quán)益保護(hù)法》第25條規(guī)定,經(jīng)營(yíng)者采用網(wǎng)絡(luò)、電視、電話、郵購(gòu)等方式銷售商品的,除定作、鮮活易腐等特殊類型的消費(fèi)品之外,消費(fèi)者均享有自收到商品之日起7日內(nèi)無(wú)理由退貨的法定反悔權(quán)。而同意撤回權(quán)在所有涉及收集消費(fèi)者個(gè)人信息的場(chǎng)景之下均可適用,并不受遠(yuǎn)程交易所限。例如,即使在線下面授培訓(xùn)課程中,消費(fèi)者也可撤回對(duì)培訓(xùn)機(jī)構(gòu)收集對(duì)其學(xué)習(xí)狀態(tài)的跟蹤及調(diào)查訪問(wèn)的許可。
其次,兩者制度中缺省規(guī)則下的時(shí)間效力不同。缺省規(guī)則又稱為法律的默認(rèn)規(guī)則,即當(dāng)雙方?jīng)]有其他約定時(shí),規(guī)則的設(shè)計(jì)能保障當(dāng)事人在保持沉默時(shí)依然能合理保有自己的合法利益,維持一種社會(huì)的合法秩序。因此,出于成本考量,默認(rèn)規(guī)則的設(shè)計(jì)應(yīng)當(dāng)具有廣譜性,以滿足多數(shù)需求,讓多數(shù)人、在多數(shù)場(chǎng)合保持沉默,只讓少數(shù)人、在少數(shù)場(chǎng)合發(fā)聲。缺省規(guī)則的時(shí)間效力不同體現(xiàn)出不同的規(guī)制態(tài)度取向。在消費(fèi)者反悔權(quán)的適用中,若消費(fèi)者在一定時(shí)限內(nèi)(通常為7日)選擇不行使自己的權(quán)利,其所表示的含義是“使用即同意”,即放棄了自己的反悔權(quán)。但是在個(gè)人信息保護(hù)的場(chǎng)景之下,個(gè)人信息主體未行使同意撤回權(quán)并不意味著對(duì)同意撤回權(quán)的放棄,而是表明繼續(xù)授權(quán)信息處理者處理個(gè)人信息行為,但信息主體亦可隨時(shí)行使同意撤回權(quán)。因此,兩種制度中缺省規(guī)則產(chǎn)生的時(shí)間效力完全相反,也體現(xiàn)出立法對(duì)于不同利益保護(hù)效力的層級(jí)性。
最后,兩者的產(chǎn)生基礎(chǔ)及效力也不相同。在消費(fèi)者的反悔權(quán)的適用場(chǎng)景之下,消費(fèi)者反悔的是購(gòu)買某種商品;而在個(gè)人信息授權(quán)的語(yǔ)境之中,個(gè)人信息主體“反悔”的是對(duì)信息處理者處理個(gè)人信息的授權(quán)。兩者的產(chǎn)生的基礎(chǔ)不同,故而產(chǎn)生的效力也不同。消費(fèi)者的反悔權(quán)之行使產(chǎn)生合同被撤銷的效果,由此產(chǎn)生了雙方的返還義務(wù)。依據(jù)合同的一般性原理,行使合同的撤銷權(quán)若給相對(duì)方造成損害的,應(yīng)當(dāng)承擔(dān)賠償責(zé)任。
2.同意撤回權(quán)應(yīng)當(dāng)與刪除權(quán)區(qū)分
目前各國(guó)立法對(duì)于“刪除”的概念存在不同的界定標(biāo)準(zhǔn)。根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)第17條對(duì)刪除權(quán)的規(guī)定,數(shù)據(jù)主體請(qǐng)求控制者們刪除相關(guān)個(gè)人數(shù)據(jù)的任何鏈接、副本或復(fù)制件即為其行使刪除權(quán)的方式。GDPR所規(guī)定的刪除權(quán)又稱為“被遺忘權(quán)”,由于其落地成本極高受到了廣泛的質(zhì)疑。美國(guó)《2018年加州消費(fèi)者隱私法案》(CCPA)則規(guī)定,“收到消費(fèi)者要求刪除其個(gè)人信息的可驗(yàn)證請(qǐng)求的企業(yè)應(yīng)當(dāng)從其記錄中刪除消費(fèi)者的個(gè)人信息,并指示所有服務(wù)提供者從其記錄中刪除該消費(fèi)者的個(gè)人信息”,其規(guī)則較GDPR有更明顯的可操作性。依據(jù)美國(guó)法,信息處理者作出某些權(quán)限設(shè)置使得個(gè)人數(shù)據(jù)在正常情況下無(wú)法被檢索或獲取使用即可滿足刪除的要求,與此同時(shí),信息處理者也可以實(shí)現(xiàn)向國(guó)家履行數(shù)據(jù)存留義務(wù)。
我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》借鑒了美國(guó)法的思路,將“刪除”定義為:在實(shí)現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個(gè)人信息,使其保持不可被檢索、訪問(wèn)的狀態(tài)。其中,“保持不可被檢索、訪問(wèn)的狀態(tài)”實(shí)際僅僅對(duì)個(gè)人信息不可在未來(lái)被使用提出了限定要求,并未要求信息處理者對(duì)個(gè)人信息的鏈接、副本或者復(fù)制件進(jìn)行實(shí)質(zhì)刪除。但若此種“不可被檢索、訪問(wèn)的狀態(tài)”在技術(shù)上是可以恢復(fù)的,那么其在最終的行使效力上與同意的撤回相同,在立法邏輯上似乎難以理順;因此,只有此種“不可被檢索、訪問(wèn)的狀態(tài)”在技術(shù)上不可逆轉(zhuǎn),才有必要將此兩種權(quán)利進(jìn)行分離,也只有這種意義上的刪除會(huì)對(duì)個(gè)人主體行使同意撤回權(quán)之后再次授予同意的情形產(chǎn)生影響。所以,不可逆轉(zhuǎn)的刪除才是本文所討論的刪除權(quán)的范疇(由于《草案》中未涉及刪除的定義,為避免概念混淆,后文所提“刪除權(quán)”系指信息主體請(qǐng)求信息處理者刪除其所持有的相關(guān)個(gè)人信息的原件、副本或復(fù)制件的權(quán)利)。大數(shù)據(jù)時(shí)代對(duì)于許多傳統(tǒng)概念的穩(wěn)定性提出了新挑戰(zhàn),隨著區(qū)塊鏈技術(shù)的發(fā)展,刪除權(quán)的適用將會(huì)受到越來(lái)越多的限制,因?yàn)椋瑒h除某個(gè)區(qū)塊的數(shù)據(jù)意味著后續(xù)整個(gè)區(qū)塊無(wú)法進(jìn)行哈希鏈接,而區(qū)塊鏈本身不可篡改的特性使得數(shù)據(jù)主體一旦將數(shù)據(jù)上鏈,將很難刪除。
對(duì)同意撤回權(quán)概念的理解首先需要明晰當(dāng)個(gè)人信息主體行使同意撤回權(quán)時(shí)所撤回的是個(gè)人資料的“持有權(quán)”還是有特定目的的個(gè)人信息“使用權(quán)”。撤回“持有權(quán)”可以通過(guò)標(biāo)記已刪除、不存在,甚至需要通過(guò)刪除數(shù)據(jù)備份和硬盤來(lái)實(shí)現(xiàn),其實(shí)際的行使效果等同于數(shù)據(jù)的刪除權(quán)。而將同意的撤回限定為對(duì)特定目的的個(gè)人信息之“使用權(quán)”的撤回則是指信息處理者將不再有權(quán)收集信息主體的任何新的個(gè)人信息,除存在其他合法事由之外,也不得對(duì)已收集的信息作出任何類型的處理。在個(gè)人信息主體撤回同意前,其處理行為具有因“同意”而產(chǎn)生的合法正當(dāng)基礎(chǔ),同意的撤回并不具有溯及既往的效力,故個(gè)人主體僅行使同意撤回權(quán)不應(yīng)當(dāng)產(chǎn)生刪除已收集數(shù)據(jù)的效力。
筆者認(rèn)為,將同意撤回權(quán)界定為不得對(duì)已收集的信息再作處理以及禁止對(duì)未來(lái)信息進(jìn)行收集具有一定的合理性。首先,這可從功能上直接區(qū)分刪除權(quán)和同意撤回權(quán)。同意撤回權(quán)實(shí)際上使得信息處理者處于一種相對(duì)靜止的狀態(tài)之中。信息處理者對(duì)其基于個(gè)人信息主體的“同意”而收集的個(gè)人信息仍然擁有“持有權(quán)”,除非雙方約定的保存期限已屆滿或處理目的已實(shí)現(xiàn)。而對(duì)于個(gè)人信息主體而言,行使了同意撤回權(quán)之后仍然有再次同意的可能。當(dāng)個(gè)人信息主體因需間續(xù)性地獲取某種服務(wù)時(shí),可選擇暫時(shí)撤回同意,在需要繼續(xù)服務(wù)時(shí)再次選擇同意授予信息處理者以處分的權(quán)限。此時(shí),若信息處理者保留了用戶曾經(jīng)的使用習(xí)慣及設(shè)置,可以使得個(gè)人信息主體快速便捷地享受到原本暫停的服務(wù)。對(duì)于信息處理者而言,也避免了一旦同意被撤回即要?jiǎng)h除數(shù)據(jù)的局面。
其次,這更利于信息主體自由取舍服務(wù)中的細(xì)化功能。同意的撤回權(quán)是個(gè)人信息主體對(duì)于一攬子服務(wù)中各細(xì)化功能的自決取舍,區(qū)別于刪除權(quán)對(duì)應(yīng)服務(wù)的整體拒絕。隨著技術(shù)的發(fā)展和人類需求的多樣化,現(xiàn)代的商品買賣及服務(wù)提供呈現(xiàn)出越來(lái)越綜合化的趨勢(shì),體現(xiàn)了各種功能的有機(jī)融合。例如,地圖軟件可以實(shí)現(xiàn)打車及購(gòu)票功能;而信息發(fā)布軟件可以實(shí)現(xiàn)訂餐和交友功能等。這種一攬子式的服務(wù)為生活帶來(lái)了諸多便利,同時(shí)也會(huì)在交易過(guò)程中向個(gè)人信息主體要求更多種類和數(shù)量的個(gè)人信息。個(gè)人信息主體有權(quán)在自我衡量成本收益的基礎(chǔ)上決定如何授權(quán)信息處理者對(duì)其個(gè)人信息的收集。這種選擇權(quán)應(yīng)當(dāng)建立在信息處理者之服務(wù)用于多種適用場(chǎng)景時(shí),即只有在不同的目的之間,個(gè)人信息主體才擁有實(shí)際的選擇權(quán)。例如,當(dāng)個(gè)人信息主體選擇只查看地圖而不享受乘車及購(gòu)票服務(wù),則無(wú)須授權(quán)同意自己的位置信息;而當(dāng)個(gè)人信息主體需要乘車時(shí)可以開啟自己的位置信息,在服務(wù)結(jié)束后選擇撤回同意,以更好地保護(hù)自己敏感個(gè)人信息。然而在僅提供單一服務(wù)目的的服務(wù)場(chǎng)景之中,信息處理者收集信息應(yīng)當(dāng)遵循必要原則,其核心是收集的信息對(duì)于實(shí)現(xiàn)正常的服務(wù)而言是“充足”但不過(guò)量的并且就為了實(shí)現(xiàn)某種功能而言是最低必要限度的。告知原則本身受到必要原則的制約,如果信息處理者已經(jīng)在必要的限度之內(nèi)處理信息,適用同意撤回權(quán)的空間就只能針對(duì)服務(wù)中的部分功能,而非全面的功能,否則將因功能性受限而無(wú)法繼續(xù)履行原服務(wù)或買賣合同之義務(wù)。
此外,同意撤回是會(huì)員制交易模式下最符合個(gè)人信息主體的個(gè)人信息處理規(guī)則。繼續(xù)性合同履行間歇期內(nèi),會(huì)員往往沒(méi)有產(chǎn)生新的合同交易,但是若能使得經(jīng)營(yíng)者保存會(huì)員的某些交易記錄及用戶的偏好性設(shè)定會(huì)使得用戶有更良好的使用感。作為對(duì)“同意”與“刪除”兩種操作之間的良性緩沖,同意撤回權(quán)可以實(shí)現(xiàn)一種個(gè)人信息權(quán)益層級(jí)性的處分效力。個(gè)人信息主體可以依據(jù)自身的具體情況選擇單獨(dú)適用同意撤回權(quán)或是疊加適用刪除權(quán)。
三、同意撤回的域外立法比較及路徑選擇
設(shè)立同意撤回權(quán)目前已經(jīng)成為數(shù)據(jù)立法中的通行規(guī)則。但是,不同的制度設(shè)計(jì)會(huì)產(chǎn)生完全不同的實(shí)踐效果。下文擬從比較法角度分別分析歐盟及美國(guó)的路徑及其所體現(xiàn)的不同價(jià)值取向,并試圖尋找其中可資借鑒的部分內(nèi)容以融入我國(guó)的立法之中。
(一)歐盟的路徑分析
GDPR第7條同意的條件中明確規(guī)定數(shù)據(jù)主體有權(quán)隨時(shí)撤回其同意。同時(shí),GDPR對(duì)同意撤回作了以下兩方面的規(guī)定:第一,規(guī)定了此種權(quán)利的行使不具有溯及力,即同意的撤回不應(yīng)當(dāng)影響在撤回前基于同意作出的數(shù)據(jù)處理的合法性。這一條可以理解為,主體撤回同意之前的數(shù)據(jù)處理不僅合法有效,且數(shù)據(jù)處理者還可以依法保有這部分個(gè)人數(shù)據(jù),同意僅對(duì)其未來(lái)的處理行為存在限制。第二,強(qiáng)調(diào)了同意的撤回應(yīng)當(dāng)與作出同意同樣容易。GDPR并未對(duì)撤回同意進(jìn)行事由限制,可以理解為個(gè)人信息主體擁有任意撤回同意的權(quán)利而無(wú)須受任何事由或時(shí)間等條件限制。同意的撤回不具有溯及力與其行使的便利性具有對(duì)應(yīng)的關(guān)系,一旦個(gè)人信息主體行使了同意撤回權(quán),同意撤回的不具有溯及力可將主體因行權(quán)對(duì)數(shù)據(jù)處理者的影響降到最低。
同意撤回權(quán)的理論基礎(chǔ)在于對(duì)“同意”的定性。學(xué)者提出,歐盟立法是基于持續(xù)性代理理論,“同意”并非合同訂立時(shí)對(duì)數(shù)據(jù)處理者將作出行為的一次性允諾。允諾并非說(shuō)明某種依其性質(zhì)轉(zhuǎn)瞬即逝的意愿的存在,而是在于給某種意愿的內(nèi)容賦予終局性特征,使其擺脫主觀想法和欲求的變幻,并因之創(chuàng)設(shè)一種超越時(shí)間的拘束性。由于信息處理是一個(gè)持續(xù)性行為,且與處理及適用的場(chǎng)景有重要關(guān)聯(lián)。一般而言,信息處理者還會(huì)以格式條款的方式直接提示個(gè)人信息主體其可能會(huì)與其他受托方或第三方共享用戶的個(gè)人信息數(shù)據(jù),且會(huì)就此另行告知。允諾一旦被表示出來(lái),就抽離了他本身的意愿,此時(shí)產(chǎn)生的效力不再關(guān)注個(gè)人信息主體是否真的愿意,而是只有愿意才是契約之下唯一正確的意思表示。基于以上種種原因,個(gè)人信息主體的同意無(wú)法輻射整個(gè)信息處理流程,也不應(yīng)當(dāng)要求“同意”對(duì)個(gè)人信息主體實(shí)現(xiàn)終極性約束效力,故其不能構(gòu)成有效“承諾”,僅可被視為一種持續(xù)性的授權(quán)。而擁有授權(quán)的信息處理者成為個(gè)人信息主體的代理人。個(gè)人主體隨時(shí)有權(quán)撤回自己的授權(quán),即“同意”,這種授權(quán)的撤回并不影響基礎(chǔ)交易的效力,僅限制了信息處理者對(duì)個(gè)人信息的處理權(quán)限。授權(quán)與取消授權(quán)不受限制,只要不違反權(quán)利濫用原則,即使對(duì)信息處理者產(chǎn)生了損害也無(wú)須承擔(dān)賠償責(zé)任。歐盟設(shè)立這種便利個(gè)人主體行使的同意的撤回權(quán)是對(duì)“同意”瑕疵強(qiáng)有力的補(bǔ)救手段。同時(shí),將刪除權(quán)與同意撤回權(quán)區(qū)分也同時(shí)起到了維持產(chǎn)業(yè)平衡的目的。
(二)美國(guó)的路徑分析
美國(guó)的立法中也同樣規(guī)定了同意撤回權(quán)的適用條件,但由于美國(guó)對(duì)于個(gè)人信息保護(hù)采取的是分散化立法模式,因此在不同的場(chǎng)景之中對(duì)于同意的要求不同,同意的撤回模式也隨場(chǎng)景不同而變。
美國(guó)大部分相關(guān)的法律文件是以選擇退出(opt-out)的方式來(lái)代替同意撤回權(quán)的行使的。以選擇退出模式來(lái)行權(quán)的主要原因是立法上并未實(shí)現(xiàn)要求個(gè)人信息主體的明示同意。這與我國(guó)立法上主張的以“告知同意”為主體的個(gè)人信息保護(hù)制度存在差異。美國(guó)在多種場(chǎng)景之下都允許企業(yè)設(shè)置“選擇退出”模式供用戶自行判斷是否授權(quán),但是這種模式的缺省式設(shè)置即是企業(yè)可直接抓取用戶信息,除非用戶行權(quán)反對(duì)。如CCPA規(guī)定,消費(fèi)者有權(quán)在任何時(shí)候指示一個(gè)欲將消費(fèi)者個(gè)人信息出售給第三方的企業(yè)不得出售該消費(fèi)者的個(gè)人信息。這項(xiàng)權(quán)利可以被稱為“選擇退出權(quán)”。這種行權(quán)方式實(shí)質(zhì)上是限制了信息控制者與其他方共同分享信息主體個(gè)人信息的權(quán)利,而“選擇退出”制度也使得用戶行權(quán)之前的信息處理行為合法化。
但美國(guó)有的立法也直接規(guī)定了同意撤回權(quán),例如,美國(guó)的《兒童網(wǎng)上隱私保護(hù)法案》中規(guī)定,運(yùn)營(yíng)者必須作出“合理的努力”確保父母收到網(wǎng)站或在線服務(wù)提供商發(fā)出的采集、使用、披露其孩子個(gè)人信息的通知,同時(shí)相對(duì)應(yīng)地規(guī)定了父母授予同意和撤回同意的方式。另外,美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)的官方合規(guī)資料中專門將為家長(zhǎng)提供撤銷授予的同意與刪除孩子個(gè)人信息分列為兩種不同的選擇,以尊重家長(zhǎng)對(duì)已收集的其孩子的個(gè)人信息擁有的持續(xù)權(quán)利。之所以針對(duì)兒童隱私特別規(guī)定同意撤回權(quán)的原因在于,美國(guó)高度重視兒童網(wǎng)絡(luò)隱私的保護(hù),因此在對(duì)于兒童個(gè)人信息的收集上對(duì)在線經(jīng)營(yíng)者課以較重的義務(wù),同時(shí)賦予家長(zhǎng)更多的持續(xù)管理權(quán)利。
(三)各國(guó)制度的比較分析
從上文介紹可以看出,歐盟與美國(guó)大部分立法采用的個(gè)人信息的保護(hù)機(jī)制存在明顯不同。GDPR強(qiáng)調(diào)個(gè)人主體對(duì)信息的控制權(quán),即個(gè)人信息自決權(quán)(CCPA亦包含消費(fèi)者的自決權(quán)),其重在強(qiáng)調(diào)個(gè)人得以自主、自由地決定如何使用個(gè)人信息,從而保障個(gè)人的自由人格。個(gè)人有權(quán)控制個(gè)人信息對(duì)外披露程度證明個(gè)人信息自決權(quán)已跨出隱私權(quán)保護(hù)的被動(dòng)局面,成為一種控制型、管理型的個(gè)人信息保護(hù)機(jī)制。在此種價(jià)值取向之下,用戶會(huì)更傾向于“拒絕”而非“同意”。但個(gè)人自決的實(shí)質(zhì)在于對(duì)個(gè)體處理信息權(quán)益能力的充分信任和合理保護(hù),因而,歐盟家長(zhǎng)式的模式并未真正實(shí)現(xiàn)“個(gè)人信息自決權(quán)”的展開,反而由于其制度的設(shè)定使得“個(gè)人信息自決權(quán)”受到越來(lái)越多的限制而背離了其賦予信息主體以控制權(quán)的初衷。而美國(guó)采取的隱私路徑更多是采取的一種消極被動(dòng)姿態(tài)來(lái)捍衛(wèi)用戶個(gè)人信息權(quán)利,一旦涉足非個(gè)人隱私的領(lǐng)域,法律對(duì)于個(gè)人信息主體的保護(hù)明顯乏力,而以合同的角度尋求救濟(jì)似乎也并非坦途。在美國(guó)數(shù)起關(guān)于隱私政策的訴訟中,原告均以被告違反隱私政策、向第三方泄露原告?zhèn)人信息為由向法院提起違約之訴,但均因未證明自己實(shí)際閱讀了被告提供的隱私政策而無(wú)法主張存在對(duì)合同的信賴?yán)妗M瑫r(shí),由于合同的違約損害僅限于違約所導(dǎo)致的直接經(jīng)濟(jì)損失,而原告僅能主張自己的隱私利益受到了侵害,因此此類請(qǐng)求亦均未得到法院的支持。由此可見(jiàn),個(gè)人信息主體難以因信息處理者違反隱私政策泄露個(gè)人信息而要求其承擔(dān)違約責(zé)任。在以合同方式主張個(gè)人隱私利益保護(hù)路徑不順的情況下,只得借助消費(fèi)者保護(hù)的路徑推進(jìn)。
對(duì)不同保護(hù)機(jī)制的選擇體現(xiàn)了不同的價(jià)值取向,因?yàn)椋瑐(gè)人信息主體的“同意”選擇具有某種分配性:它會(huì)使得某些主體受益,同時(shí)會(huì)危及另一些主體的權(quán)利。個(gè)人對(duì)于“同意”的處分,不僅僅會(huì)影響到個(gè)體的權(quán)利,也在實(shí)現(xiàn)著重塑社會(huì)的功能。如何以制度的構(gòu)建達(dá)到價(jià)值的平衡是大數(shù)據(jù)時(shí)代下的重大考驗(yàn)。從上文對(duì)兩種路徑的分析可以看出,歐盟與美國(guó)的立法對(duì)“同意”的設(shè)計(jì)存在不同,因而同意撤回的行使場(chǎng)景也存在差異,其根本原因即在于兩者的價(jià)值取向不同:歐盟GDPR更倡導(dǎo)同意撤回的廣泛適用,而美國(guó)雖然也給予了個(gè)人信息主體以處分自身信息的權(quán)利,但是在立法上更偏重于企業(yè)數(shù)據(jù)收集方的便利性。究其根本原因大概是,與歐洲相比,美國(guó)進(jìn)行數(shù)據(jù)處理的企業(yè)明顯更為強(qiáng)勢(shì)。FTC雖處理多起對(duì)于數(shù)據(jù)企業(yè)違規(guī)處理消費(fèi)者個(gè)人數(shù)據(jù)的投訴,但多數(shù)以和解結(jié)案。對(duì)于消費(fèi)者而言并沒(méi)有得到實(shí)質(zhì)的救濟(jì),同時(shí)FTC與數(shù)據(jù)巨頭企業(yè)簽訂的和解協(xié)議由于過(guò)于偏袒企業(yè)方,也屢屢受到公眾的指責(zé)。
筆者認(rèn)為,數(shù)據(jù)產(chǎn)業(yè)發(fā)展固然能產(chǎn)生巨大的經(jīng)濟(jì)和社會(huì)效應(yīng),但是個(gè)人的人格性利益也需要得到合理的保護(hù)。對(duì)于人格權(quán)的侵害難以直接體現(xiàn)在經(jīng)濟(jì)利益的喪失之上,也同樣難以均以事后救濟(jì)的方式予以彌補(bǔ)。因此,在路徑選擇過(guò)程中,面對(duì)需要保護(hù)的多重利益應(yīng)綜合平衡考量。
(四)大數(shù)據(jù)背景下我國(guó)個(gè)人信息保護(hù)制度的路徑選擇
資源的稀缺性是經(jīng)濟(jì)學(xué)的基本原理,一般而言,不界權(quán)會(huì)使得物被過(guò)度使用,從而顯著提高外部性成本并最終使物被用竭。但信息本身不具有這種稀缺性的特征,隨著信息的不斷流轉(zhuǎn),它所產(chǎn)生的價(jià)值反而會(huì)越來(lái)越大,因此,對(duì)信息的界權(quán)并不具有緊迫性,但界權(quán)后因其界分復(fù)雜、公示難度大、管制成本高昂及存在極大的尋租空間等帶來(lái)的對(duì)其他社會(huì)資源的過(guò)度損耗才是真正值得警惕的問(wèn)題。當(dāng)然,不予界權(quán)不代表無(wú)所限制。對(duì)于信息使用的限制的合理基礎(chǔ)應(yīng)當(dāng)是基于對(duì)人格權(quán)及市場(chǎng)的正常競(jìng)爭(zhēng)秩序的尊重與維護(hù)。因此,對(duì)于達(dá)到一定體量的主體對(duì)信息的處理行為應(yīng)當(dāng)有所規(guī)制,對(duì)于處理個(gè)人信息的行為也應(yīng)當(dāng)受到調(diào)整。在個(gè)人信息的維度內(nèi),從權(quán)利分配角度入手,藉由對(duì)同意及同意的撤回等細(xì)化的制度層面的調(diào)整,可能更適合我國(guó)個(gè)人信息保護(hù)與實(shí)現(xiàn)產(chǎn)業(yè)發(fā)展的雙重目標(biāo)。由于我國(guó)對(duì)于個(gè)人信息保護(hù)方向的行政執(zhí)法力度較強(qiáng),因而不宜采取對(duì)于企業(yè)較為嚴(yán)苛的“一刀切”式立法模式。設(shè)定標(biāo)準(zhǔn)時(shí)應(yīng)當(dāng)將規(guī)則落地的可能性及后續(xù)產(chǎn)生的諸如過(guò)于頻繁的訴訟導(dǎo)致的司法資源的緊張等制度成本納入考量。
橘生淮南則為橘,生于淮北則為枳。西方學(xué)者的眼中個(gè)人信息主體經(jīng)常被描繪為缺乏認(rèn)知,不能理解隱私政策條款,不能理解自己對(duì)自身隱私處分的負(fù)面程度的人群。但實(shí)際上,隨著信息不對(duì)稱問(wèn)題的逐漸解決,個(gè)人信息主體在日常生活之中逐漸形成了自己的隱私偏好。尤其在我國(guó)對(duì)于個(gè)人信息的行政化治理力度持續(xù)加強(qiáng)的背景之下,更有可能存在“理性個(gè)人信息主體”。考慮到中國(guó)的市場(chǎng)更為成熟,消費(fèi)者的交易習(xí)慣領(lǐng)先于世界其他國(guó)家,隨著消費(fèi)者隱私保護(hù)教育的大力宣傳普及,相關(guān)行政管理的逐漸深入,“理性個(gè)人信息主體”群體的數(shù)量將會(huì)日益增多。對(duì)“理性人”缺省設(shè)定的與否實(shí)際上直接決定了規(guī)制的社會(huì)成本。因?yàn)椋魧(gè)人信息主體視為缺乏認(rèn)知、無(wú)法為自己作出理性決策的主體,則需要從立法層面為信息控制者設(shè)置更多的義務(wù)。但在以保障信息安全為首要追求的規(guī)制模式下,某些義務(wù)的履行可能會(huì)直接剝奪信息主體的選擇權(quán),既會(huì)不合理地造成信息流動(dòng)障礙,也會(huì)同時(shí)增加合規(guī)及執(zhí)法成本。若能適度認(rèn)可信息主體的決策理性,那么可以盡量使得立法趨于克制,讓出更多的私法自治空間,同時(shí)降低企業(yè)及社會(huì)的管理成本。“理性個(gè)人信息主體”能夠作出對(duì)自己而言更為合理的信息處分決策,因此,針對(duì)“理性個(gè)人信息主體”應(yīng)當(dāng)放棄家長(zhǎng)主義的保護(hù)作風(fēng),尊重個(gè)人信息用戶的隱私偏好,以合理賦權(quán)為主,在私法上避免過(guò)度介入信息主體與信息處理者作出的合理交換,以維持個(gè)人信息主體對(duì)自身合法權(quán)益的保障與大數(shù)據(jù)應(yīng)用的動(dòng)態(tài)平衡。
四、我國(guó)同意撤回權(quán)的法律適用問(wèn)題
《草案》正式納入了同意撤回權(quán),但在制度設(shè)計(jì)上就同意撤回及刪除權(quán)的相關(guān)規(guī)定仍有待完善,相關(guān)權(quán)利行使過(guò)程中各相對(duì)人的權(quán)利義務(wù)關(guān)系也需進(jìn)一步厘清。下文擬對(duì)該權(quán)利行使的過(guò)程中可能出現(xiàn)的權(quán)利義務(wù)關(guān)系定位不清及該制度在域外適用實(shí)踐中存在的困境等問(wèn)題進(jìn)行一一分析,以期為立法掃清最后的理論障礙。
(一)關(guān)于撤回權(quán)與受托人及第三方的關(guān)系
《草案》規(guī)定信息處理者在獲得信息主體同意的前提下可將信息主體的個(gè)人信息委托給受托方進(jìn)行處理。委托方與受托方需要就處理信息的目的、方式、種類及保護(hù)措施等問(wèn)題達(dá)成協(xié)議并在合同履行完畢或委托關(guān)系解除后將個(gè)人信息予以返還或刪除(《草案》第22條)。另外,個(gè)人信息處理者在取得個(gè)人信息主體同意的情形下還可以向第三方提供其處理的個(gè)人信息,故在處理個(gè)人信息的流程中,通常會(huì)出現(xiàn)多位參與者。因此,厘清所有參與信息處理主體的權(quán)利義務(wù)關(guān)系就成為保護(hù)個(gè)人信息安全的關(guān)鍵。筆者認(rèn)為,受托人及第三方之權(quán)利義務(wù)的確定應(yīng)符合以下規(guī)則:
首先,所有其他從信息處理者處獲得信息的受托方或第三方都應(yīng)當(dāng)遵從授權(quán)遞減原則,即其處理信息的權(quán)限不得超出信息處理者處理的范疇。這種限制的對(duì)象包括處理的信息的類型、數(shù)量、目的及時(shí)間范圍等等。
其次,當(dāng)個(gè)人信息主體撤回對(duì)信息處理者的同意之時(shí),受托人及第三方也應(yīng)當(dāng)同時(shí)停止收集及處理信息主體的個(gè)人信息。此時(shí),無(wú)需個(gè)人信息主體再行對(duì)不同主體進(jìn)行單獨(dú)的同意撤回通知。考慮到信息流通的重要性,在制度設(shè)計(jì)過(guò)程中,不宜把注意力集中在當(dāng)初收集信息時(shí)是否已獲得有效的同意以及相應(yīng)責(zé)任之上,而是應(yīng)當(dāng)更加關(guān)注信息如何使用,以使信息處理者更關(guān)注其處理信息的行為以及所造成的損害。而賦予同意撤回權(quán),在一定程度上正可緩解對(duì)于“同意”效力及責(zé)任的過(guò)度關(guān)注,使得人們把目光聚集回信息的處理及使用流程之上。有學(xué)者認(rèn)為,個(gè)人信息主體對(duì)于信息處理的個(gè)人信息自決之行使應(yīng)當(dāng)作用于信息本身,并突破合同相對(duì)性的限制而在信息的處理過(guò)程中緊隨信息流轉(zhuǎn)。無(wú)論個(gè)人信息主體的信息處于信息處理者手中,還是因委托關(guān)系處于受托人手中,亦或是為存在合同關(guān)系的第三人所掌控,這種個(gè)人信息自決的權(quán)益均應(yīng)當(dāng)受到應(yīng)有的保護(hù)。換言之,任何一方均不得以合同關(guān)系主張對(duì)抗個(gè)人信息主體的同意撤回權(quán)。但實(shí)際上,讓主體以自身的個(gè)人信息自決權(quán)隨著信息流轉(zhuǎn)可能僅僅只是一種美好的愿景。隨著信息適用的場(chǎng)景多樣化以及信息控制者數(shù)量的增多,信息主體對(duì)個(gè)人信息的實(shí)際掌控能力只能慢慢減弱。但是,這并不妨礙個(gè)人信息主體通過(guò)向信息控制者撤銷其同意來(lái)控制該信息控制者下游的信息處理行為。這是因?yàn)椋袑?duì)受托人及第三人作出的“同意”從性質(zhì)上來(lái)說(shuō)只能成為對(duì)原授權(quán)許可范圍的變更,而并未由此產(chǎn)生新的獨(dú)立授權(quán)。因此,所有信息處理者下游的處理者都當(dāng)遵守信息處理者與個(gè)人信息主體之間授權(quán)約定,對(duì)任何超出該范圍的處理行為,應(yīng)當(dāng)由處理者承擔(dān)連帶責(zé)任。
最后,信息處理者的受托方及第三方不得以履行合同所必需來(lái)對(duì)抗個(gè)人信息主體。根據(jù)《草案》第 13條,處理個(gè)人信息的法定條件除了同意之外還有“為訂立或履行個(gè)人作為一方當(dāng)事人的合同所必需”等條件。此時(shí),信息處理者與受托方或者第三方必然存在對(duì)信息處理方式、目的、范圍等的基本約定。依據(jù)前述“一方不能把自己不享有的權(quán)利轉(zhuǎn)給第三方”的法理,信息處理者與受托方或第三方對(duì)于數(shù)據(jù)處理的方式、目的及范圍等權(quán)利約定不能超過(guò)個(gè)人信息主體的原授權(quán)范圍,因此,當(dāng)存在此類情形之時(shí)還需額外獲取個(gè)人信息主體的同意。
(二)對(duì)同意撤回的理論質(zhì)疑及回應(yīng)
目前,學(xué)界對(duì)同意撤回制度的具體適用存在諸多質(zhì)疑,為便于將來(lái)立法實(shí)施,有必要對(duì)之一一回應(yīng)。
第一,學(xué)者對(duì)同意撤回制度最猛烈的抨擊在于:用戶無(wú)法得知自己享有撤銷權(quán)。特別是當(dāng)存在某種“隱形侵權(quán)行為”的情形時(shí),如信息處理者用某種專門針對(duì)個(gè)人消費(fèi)者的剝削性營(yíng)銷技術(shù)時(shí),消費(fèi)者可能根本意識(shí)不到其選擇是受到經(jīng)營(yíng)者利用其弱點(diǎn)的定向銷售技術(shù)之影響而作出的。此時(shí),企業(yè)須履行告知弱勢(shì)消費(fèi)者具有個(gè)性化撤回的義務(wù)。對(duì)此,國(guó)家作為超然利益關(guān)系的治理者(雖然它同時(shí)也是最大的個(gè)人信息收集、處理、儲(chǔ)存和利用者),承擔(dān)著普及個(gè)人信息保護(hù)知識(shí),提高主體的個(gè)人信息保護(hù)意識(shí)、宣傳及協(xié)助公民理解其權(quán)利內(nèi)涵以及救濟(jì)路徑的責(zé)任。事實(shí)上,我國(guó)各有關(guān)部門已高度重視貫徹落實(shí)個(gè)人信息保護(hù)相關(guān)法律法規(guī),積極開展工作并建立了專門針對(duì)App違法違規(guī)收集使用個(gè)人信息行為的舉報(bào)渠道,受理網(wǎng)民投訴舉報(bào)。截至2019年12月,微信公眾號(hào)“App個(gè)人信息舉報(bào)”已有超3萬(wàn)名用戶關(guān)注,共收到網(wǎng)民舉報(bào)信息12125條,涉及2300余款A(yù)pp,我國(guó)用戶因“隱形侵權(quán)行為”受到的損害可能性大大降低。
第二,也有學(xué)者擔(dān)心,一旦擁有無(wú)條件的撤回權(quán),數(shù)據(jù)市場(chǎng)可能出現(xiàn)大幅波動(dòng),信息控制者極有可能落入數(shù)據(jù)泥潭之中無(wú)法抽身,淪為信息保護(hù)制度的犧牲品。實(shí)際上,若在制度安排上能實(shí)現(xiàn)同意撤回權(quán)與數(shù)據(jù)刪除權(quán)的區(qū)分,并不會(huì)使得信息控制者因此背負(fù)過(guò)重的負(fù)擔(dān)。事實(shí)上,許多國(guó)家在立法中也已引入了同意撤回機(jī)制:印度《2018年個(gè)人數(shù)據(jù)保護(hù)法案(草案)》規(guī)定,同意應(yīng)當(dāng)不遲于處理開始時(shí)作出,有效同意必須是自愿、知情、具體、清晰且能夠撤回的,且數(shù)據(jù)處理機(jī)構(gòu)不得對(duì)“同意撤回”設(shè)定條件;巴西于2018年出臺(tái)的《通用數(shù)據(jù)保護(hù)法》也規(guī)定了更為廣泛的刪除、攜帶和同意撤回的權(quán)利。可以看出,對(duì)于同意撤回權(quán)的立法為全球個(gè)人信息保護(hù)立法的趨勢(shì)與共識(shí)。
第三,還有學(xué)者從實(shí)證角度提出了個(gè)人信息主體的權(quán)利不應(yīng)當(dāng)增加“粒度化”(granularity)的觀點(diǎn)。該研究指出,若賦予個(gè)人信息主體更多的選擇權(quán)以增加其權(quán)利粒度會(huì)為其帶來(lái)更大的風(fēng)險(xiǎn)。該理論認(rèn)為,個(gè)人信息主體在其隱私期待和實(shí)際處分行為上存在較大差異,而造成這種差異的原因,首先是因?yàn)榇嬖谡J(rèn)知差距(cognitive dissonance)。這一擔(dān)心不無(wú)道理,某項(xiàng)針對(duì)個(gè)人信息主體的調(diào)查發(fā)現(xiàn),僅有30%的參與者能正確回答關(guān)于其在線交易中隱私保護(hù)問(wèn)題,還有75%的受調(diào)查者錯(cuò)誤地認(rèn)為如果某網(wǎng)站有隱私政策說(shuō)明其不會(huì)與其他網(wǎng)站或公司共享自己的個(gè)人信息。但此問(wèn)題并非無(wú)法解決。實(shí)踐中,各國(guó)已對(duì)此采取了相關(guān)應(yīng)對(duì)措施。例如,加拿大專門規(guī)定了隱私委員會(huì)有增強(qiáng)公正對(duì)隱私認(rèn)識(shí)的法律責(zé)任。而我國(guó)對(duì)于個(gè)人信息保護(hù)所投入的行政執(zhí)法力度較大,各行業(yè)標(biāo)準(zhǔn)也在逐步完善之中。尤其是自2019年1月以來(lái),我國(guó)中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開展 App 違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,在全國(guó)范圍組織開展App違法違規(guī)收集、使用個(gè)人信息專項(xiàng)治理活動(dòng)。隨著在我國(guó)對(duì)于違法收集個(gè)人信息整治的深入,及對(duì)千余款 App 經(jīng)深度評(píng)估后的有效整改,使得企業(yè)管理和民眾意識(shí)都得到了大幅度提高,隨著我國(guó)消費(fèi)者的隱私觀念與行權(quán)意識(shí)逐漸增強(qiáng),對(duì)認(rèn)知差距方面的顧忌也在慢慢減少。
第四,有學(xué)者提出,受個(gè)人信息主體惰性和顧慮的影響,同意撤回的有效行權(quán)也不一定可真正實(shí)現(xiàn)。其理由之一是,個(gè)體作出授權(quán)信息收集的同意決策時(shí),更多考量的是即刻所得,換言之,主體在作出“同意”之時(shí)往往是因受到了一定現(xiàn)實(shí)利益的誘導(dǎo)。例如,選擇了“同意”即可馬上獲得某種商品、服務(wù)或便利條件。但是當(dāng)個(gè)人信息主體需要選擇退出之時(shí),卻往往因缺乏直接的動(dòng)因而怠于行權(quán)。但這一質(zhì)疑并不成立,更沒(méi)有必要僅因主體是否主動(dòng)適用而改變權(quán)利防御性性質(zhì)的設(shè)定。實(shí)際上,消極性、防御性權(quán)利是個(gè)人信息主體的最后救濟(jì),當(dāng)主體的正當(dāng)權(quán)益受到侵害之時(shí),應(yīng)當(dāng)允許其以行使同意撤回權(quán)的方式來(lái)防衛(wèi)自身的人格利益,而這種對(duì)自身人格利益的維護(hù)往往并不需要任何額外的經(jīng)濟(jì)激勵(lì)動(dòng)因。該質(zhì)疑的另一理由是,個(gè)人信息主體會(huì)因擔(dān)心喪失已有的服務(wù)或某些產(chǎn)品功能會(huì)受到限制等顧慮而不積極行權(quán)。對(duì)此,《草案》第17條已明確規(guī)定:個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回其對(duì)個(gè)人信息處理的同意為由,拒絕提供產(chǎn)品或者服務(wù)。該條從法律的角度保障了個(gè)人信息主體撤回同意之后的合法權(quán)益,使得個(gè)人信息主體消除了對(duì)撤回同意之不利后果的擔(dān)憂,掃清了行權(quán)的最后障礙。
結(jié) 語(yǔ)
近些年來(lái),各國(guó)的個(gè)人信息、隱私和數(shù)據(jù)立法也在突飛猛進(jìn),為立法及司法工作提出了新的要求。要實(shí)現(xiàn)兼顧保護(hù)個(gè)人信息權(quán)益與促進(jìn)個(gè)人信息合理利用的雙重目標(biāo)就需要更加細(xì)化把握每個(gè)具體的制度定位及其實(shí)施細(xì)節(jié)。鑒于告知同意模式存在的固有缺陷,應(yīng)當(dāng)引入同意撤回權(quán),以賦予個(gè)人信息主體更多自主選擇的空間,使得個(gè)人信息主體真正享有“決定權(quán)”。同意撤回權(quán)作為人格權(quán)體系下的撤銷權(quán),其行使應(yīng)遵循對(duì)人格利益的許可撤銷的規(guī)則,不僅不應(yīng)受到過(guò)多限制,也不應(yīng)以主體受到實(shí)際損害為前提,同時(shí)一般亦不具有溯及力。在行政監(jiān)督與行政執(zhí)法已經(jīng)相當(dāng)有力的前提之下,要注意避免對(duì)信息處理者進(jìn)行“一刀切”式的強(qiáng)制性立法,將同意撤回與刪除權(quán)清晰分離,為個(gè)人信息主體提供更多具有可行性的替代解決方案。此外,應(yīng)在借鑒其他國(guó)家制度運(yùn)行成敗經(jīng)驗(yàn)的基礎(chǔ)上,選擇適合我國(guó)的立法路徑,以推出一部真正適合中國(guó)的個(gè)人信息保護(hù)立法。