林洹民:个人数据交易的双重法律构造
The following article is from 法学研究 Author 林洹民
点击蓝字 关注我们
《法学研究》为中国社会科学院主管、法学研究所主办的法律学术双月刊。本刊坚持学术性、理论性的办刊宗旨,着重于探讨中国法治建设进程中的重大理论和实践问题,致力于反映我国法学研究的最新成果和最高学术水平。本刊曾获中国社会科学院优秀期刊、全国百强社科期刊、中国政府出版奖提名奖、法学类顶级期刊等荣誉称号。
投稿、全文阅读或下载本刊,均请登录本刊网站:www.faxueyanjiu.com。
内容提要:个人数据交易具有动态性与非排他性,数据交易当事人处于持续性数据收集或传输关系之中,任何一方均不能排他地控制个人数据。上述特性使得数据交易不能被界定为数据买卖,数据处理也不能被简单地理解为数据合同的履行行为。合同关系与数据处理关系的不同,使得数据交易具备双重法律结构。一次完整的个人数据交易同时包含表意人的承诺与个人的同意,前者属于意思表示,后者则属于准法律行为。与之相应,个人数据交易由基础性合同与个人信息处理活动组成,前者主要受合同规则调整,后者则是个人信息保护法的规范对象,二者效力应分别判断。在规范适用上,个人信息主体的同意并非原则上得准用法律行为规则。合同规则与个人信息处理规则各守其分,分别规范数据交易中的不同行为,二者之间不存在冲突。考虑到数据处理也是合同项下的行为,合同规则与个人信息保护规则可以在例外情况下穿透双重结构,协力实现数据流动与个人信息保护之间的动态平衡。
关键词:数据要素;数据交易;个人信息保护;知情同意
目录
一、个人数据交易法律结构的认知难题
二、个人数据交易的特性及其对交易结构的影响
三、个人数据交易双重法律结构的展开
四、双重结构下合同规则与个人信息保护规则的适用
余论:借助解释学构建个人数据交易规范体系
一、个人数据交易法律结构的认知难题
《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(2020年3月30日)指出,数据是与土地、劳动力、资本、技术等传统要素并列的第五大生产要素。2022年3月5日,在第十三届全国人民代表大会第五次会议上的《政府工作报告》也指出,政府要着重“培育数据要素市场,释放数据要素潜力”。数据是大数据时代的核心资源,欲促进数据流动、实现数据要素的有效配置,最佳路径是借助各主体之间的数据交易鼓励市场竞争。数据交易包括个人数据交易与非个人数据交易。相较于非个人数据,个人数据不仅能够帮助企业发现新的商业机会和开发新的商业模式,还能够助力决策者进行有效的市场调控与社会治理。巨大的社会经济功能使得个人数据成为数据交易的主要对象,但也因牵涉人格利益,导致交易框架的构建颇为困难。与之相较,非个人数据交易与个人信息保护无涉,交易模式相对简单。本文主要围绕个人数据交易展开讨论。
个人数据交易是指当事人通过合同收集或传输个人数据的行为。企业之间通过数据合同与数据传输行为进行数据交易,企业与个人之间的数据交易则表现为借由合同进行的持续的数据收集行为。数据交易不同于纯粹的个人信息处理活动,盖当事人之间存在有效的合同关系。当事人欲借助债之法锁拘束彼此,从而保障经营活动的稳定性。一个健康、良性的数据市场的运转,依赖于对数据交易的充分理解以及清晰、有效的外部规范体系的建立。目前,我国数据交易的规范路径及规范适用存在诸多问题,既不利于个人信息保护,也无助于数据交易的发展。
首先,数据交易被理解为一种类似股票买卖的交易形态。在这种理解下,大数据交易所被寄予厚望,试图以此促进和规范数据要素的流转。既然数据交易按照买卖的结构进行,数据交易当然要求排他地获得数据。可是,个人数据蕴含人格属性,个人信息保护法第44条及以下条款明确赋予个人信息主体持续影响数据活动的诸多权利,买卖构造要求的排他性控制难以实现。为了摆脱个人信息主体的影响,大数据交易所几乎不进行原始个人数据的交易,这种削足适履的做法使得企业旺盛的数据需求无法得到满足。
其次,数据处理被整合入数据交易合同构造之中,数据传输被视为合同的履行,个人信息处理活动的特殊性遭到忽视。典型观点在于,个人信息主体的同意属于意思表示意义上的承诺,数据处理是合同的履行行为。按照这一观点,如果已经存在有效的“数据买卖合同”,就不需要再次获得个人的同意。果如此,《民法典》和《个人信息保护法》诸多规范之间将存在冲突。例如,合同一方得通过默示的方式作出承诺,但《个人信息保护法》第14条第1款要求同意必须“明确”;只有年满18周岁且能够辨认自己行为的成年人才具备完全行为能力,未成年人仅能从事纯获利益行为或与其年龄、智力相一致的行为,但根据《个人信息保护法》第31条第1款,年满14周岁的个人具有同意能力,可以独立作出有效的同意;根据《个人信息保护法》第15条第1款,个人可以随时撤回同意,但依据民法典第485条,撤回承诺的意思表示不能晚于承诺到达,表意人不能撤销已到达的承诺。个人信息主体的同意与表意人的承诺显然对应不同的法律规则。
最后,在“以数据换服务”的朴素认知之下,司法机关容易过宽地认定数据交易关系。实践中,可能仅存在与个人信息处理有关的合同,但个人信息处理并非合同的内容;也可能仅存在个人信息处理行为,但不存在债之关系。因为不了解数据交易的基本结构,司法机关倾向于将之一律认定为合同关系,致使裁判有所不当。例如,在“人脸识别第一案”中,原告办理年卡,与被告缔结观光服务合同。人脸识别虽与合同履行有关,但仅为履行债务的辅助手段,并非债务之内容,当事人之间不存在有效的数据交易关系。当事人却围绕“大堂告示说明指纹入园,被告将入园方式由指纹识别改为人脸识别是否构成违约”展开争论,恐不妥当。而在杜某与北京智者天下科技有限公司网络服务合同纠纷案(下文简称“知乎案”)中,双方之间仅有个人信息处理关系,根本没有债之关系,更不存在数据交易关系。原告同意知乎平台的隐私政策,知乎平台据此持续收集原告的个人信息。北京互联网法院认为,原告是知乎用户,即与被告签订了网络服务合同,被告发布新的隐私政策、指引,构成“变更合同条款的要约”。但是,原告同意隐私政策,未必具备法效意思,双方之间并非当然存在合同关系,法院却下意识地将个人信息处理关系解读为合同关系。按照这一理解,平台经营者不得未经协商更新用户协议、隐私政策,否则就是单方变更合同内容;应用程序提供者也不得自由更新应用程序,否则就是未经同意变更履行方式,应当承担违约责任。这显然不符合数字经济实际。
上述问题的根源在于,人们尚未厘清数据交易法律关系,对数据交易法律结构的认知也明显不足。数据交易远较股票交易复杂,将数据交易比为股票买卖,将使不同行为被一体检视,不同的法律关系被划一地评价。只有廓清数据交易的基本结构,才能准确适用规则。有鉴于此,本文首先梳理实践中的数据交易模式,分析个人数据交易的特性及其对交易结构的影响,继之深入剖析个人数据交易的双重法律结构,并运用解释论的方法,结合《民法典》和《个人信息保护法》相关规范讨论数据交易的规则适用,以为数据交易市场的蓬勃发展提供清晰的规范框架。
二、个人数据交易的特性及其对交易结构的影响
欲剖析个人数据交易的基本结构,有必要探究当下个人数据交易的主要类型,分析数据交易的基本特征。依据交易主体的不同,个人数据交易大致分为三类:大数据交易所模式、企业之间的传输模式、企业和个人之间的交易模式。其中,个人数据交易的主要模式是企业与企业之间、企业与个人之间的“场外交易模式”。
(一)个人数据交易的动态性
大数据交易所的数据交易以一次性的数据传输为主。大数据交易所是按照股票交易的逻辑设计数据交易规则的,因此强调数据的一次性传输,但一次性的数据对数据公司意义有限。只有借助持续更新的数据,数据公司才能不断推测出用户的喜好、行为习惯或信用等信息。大数据交易所一次性的数据传输根本不能满足用户画像的需求。数据供给与数据需求不匹配,无怪乎大数据交易所的运行状况不理想。
企业间的个人数据交易远较“场内交易”活跃。企业之间的交易模式主要有两种:一是企业通过开放接口的方式,允许他方访问数据(动态交易模式);二是企业按照客户需求收集、处理、传输个人数据,满足客户定制数据的要求(数据定制模式)。在动态交易模式中,数据出卖人提供API接口,供数据买受人持续访问数据,满足其对数据时效性的要求。没有时效的数据是没有价值的。相较于一次性买卖,数据买受人更需要实时更新的数据。在新浪微博诉脉脉案中,交易双方采用动态交易模式,由新浪微博向脉脉提供API接口,供脉脉实时获取个人信息。在数据定制模式中,进行交易的数据在缔约时并不存在,个人数据交易的过程是数据出卖人收集个人信息的过程。例如,数据买受人为了摆脱新款移动应用程序“冷启动”的困扰,委托数据出卖人收集特别类型、范围的个人数据并将之传输给自己。在数据定制模式中,数据交易也具有动态性,因为只有数据出卖人不断更新数据,才能满足定制人对数据质量的要求。
企业与个人之间的个人数据交易具有持续性。个人可以自行记录其个人数据,包括其访问的HTML页面以及点击的位置、谈话记录、电子邮件记录、自己所看画面的截屏、电脑的摄像头画面、位置信息、所使用的手机软件等数据信息,通过网站出售,获得收入。相较于这种偶尔的、多是针对特定人的一次性数据交易,长期交换才是企业与个人之间个人数据交易的主要模式。例如,餐馆可能通过经常提供优惠券、折扣等方式,要求用户绑定手机号或关注公众号,从而持续收集个人信息;各大商场往往通过积分兑换停车券的方式,收集个人的生日、手机号、长期消费记录等个人信息;支付软件以提供抵扣金为对价,要求个人同意指纹支付或人脸支付等。借助持续性的数据收集行为,数据公司可以不断地处理个人数据,从而发现潜在的商业机会或更好的营销手段。正是因为企业会持续性地收集个人信息,如何现实地防止“一次同意,终生后悔”,才成为个人信息保护的重中之重。
综上,一次性交易并非个人数据交易的常态,动态交易才是交易的典型样态,因为实时更新的数据更有价值。个人数据交易是一个动态过程,在这个过程中数据出卖人与数据买受人处于一种持续性的债之关系中。一旦我们理解个人数据交易的动态性,便不会将之类比为一次性的股票买卖,而是更关注持续性关系的复杂性。
(二)个人数据交易的非排他性
大数据交易所要求数据出卖人确保对个人数据绝对的、排他的“处分权”,但在个人数据交易场景,个人信息主体的权利并不因数据交易而丧失。为避免引发合法性危机,大数据交易所往往不允许个人参与个人数据交易。即便是允许自然人数据交易的平台,在交易时要么设置企业验证的障碍,要么该部分数据不存在。大数据交易所更愿意出售公共数据和经过处理的非原始数据。随着公共数据的有序开放,数据企业可以通过申请的方式获得对公共数据的访问权,似无通过大数据交易所购买的必要;至于处理后的非原始数据,数据买受人缺乏判断数据可信度的手段,这导致数据买受人对非原始数据不感兴趣。过度专注于对数据要素的排他性占有,是大数据交易所遇冷的另一重要原因。
在企业之间的数据交易中,任何一方都没有实现对数据的排他性控制,任何一方也都希望对方能够持续访问数据。信息产品的价值运动具有特殊性,不像物质商品的交换会随着对商品控制状态的变化而转移全部使用价值。数据出卖人并非在一次性传输数据后就丧失对数据的控制,而是可以持续访问和更新数据。数据买受人也不寻求对数据的排他性控制,因为静态的数据对数据买受人意义不大,数据买受人希望访问的是不断更新的数据。
在企业与个人之间的数据交易中,两方均能访问个人数据。企业需要借助协议不断更新个人信息,精准推测个人的喜好、行为习惯、信用、健康状况等重要信息,个人也没有因数据交易丧失个人信息权益。即便企业通过协议限制个人信息主体的权利,该限制也因抵触个人信息保护法而无效。
另值一提的是,数据交易的非排他性是数据交易动态性的逻辑必然。数据出卖人要满足买受人的经济诉求,只能不断访问和更新个人数据。在这个过程中,数据交易双方当然均有权访问、复制和使用个人数据。数据出卖人和数据买受人“共同占有”个人数据,任何一方都不能实现对数据的排他性占有,因为这将阻碍数据的传输或更新。
(三)个人数据交易特性决定的双重法律结构
在个人数据交易中,数据出卖人和数据买受人处于持续性的数据收集或传输关系中,任何一方均不能排他地控制个人数据。在买卖关系中,履行行为(如标的物占有的移转)被界定为事实行为,但在个人数据交易中,数据收集或传输行为不能被理解为事实行为,而是有着不同于合同履行的特殊意义。(1)数据交易的动态性使数据处理活动有单独规范的必要。在一次完整的数据交易中,当事人一时缔结合同,随后便是持续地数据收集或传输。这是两类不同的行为,且后者的持续时间更长。随着个人数据的不断聚合,数据的社会经济价值越发突显。与此同时,数据活动的危险性也越来越高。愈是持续性的数据汇集,个人信息泄露、被滥用或个人被算法钳制遭遇“大数据杀熟”的可能性就愈高,危害也会呈几何倍数增长。持续性的数据活动有单独规范的必要,个人信息保护法应运而生。(2)数据交易的非排他性表明,数据传输是个人信息主体行使权利的结果。个人数据交易没有导致个人信息主体丧失个人信息权利,个人信息主体可以持续地影响个人信息处理活动。个人信息保护法第44条及以下规定的限制处理权、拒绝权、访问权、更正权和删除权等权利,贯彻个人信息处理活动的全生命周期,并不随个人的同意而丧失。个人信息保护法第15条第1款更是允许个人随时撤回同意,清楚地表明个人对个人信息的影响并未随着合同签订而丧失。从某种意义上说,数据合同的目的就是获得个人对于数据活动的同意。因此,数据交易中的数据处理活动并非仅是数据买受人基于合同的有权行为,也是个人信息主体行使个人信息权利的具体表现。
一旦认识到数据活动的特殊性,我们就不能将数据处理简单地理解为数据合同的履行行为,而应当区分合同与个人信息处理。将个人信息处理行为与基础性合同相区分,类似于区分肖像使用许可与肖像许可使用合同。肖像权属于典型的标表型人格权,权利人不能转让肖像权,但可以许可他人使用肖像。只有区分肖像许可使用行为与肖像许可使用合同,才能避免将生活中大量的照片分享行为解读为法律行为。肖像权人可能只是随意允许他人使用自己的照片,如肖像权人允许他人将自己的照片或与其他人合拍的照片上传到社交平台,此时双方并不具备法效意思:很难想象肖像权人会愿意受合同的拘束。此外,即便肖像权人与他人缔结有效的肖像许可使用合同,考虑到肖像中蕴含人格利益,持续性使用肖像可能对肖像权人产生不利影响,肖像权人需要有撤回许可的机会。同理,个人信息处理行为与缔约行为不同,前者关乎人格利益,后者则体现财产价值。个人信息处理行为也可能对个人信息主体产生不利影响,因此,个人信息保护法规定了特殊的个人信息权利(如撤回同意)。换个角度思考,数字化的肖像即为个人信息,个人信息处理与肖像权许可使用存在一定程度的重合。在日常生活中,肖像权人许可他人分享照片的,也可以被解读为个人信息主体与他人分享个人信息。此时,分享个人信息的行为显然不是缔约行为。
三、个人数据交易双重法律结构的展开
数据交易以合同为工具,合同是最灵活、最有效的资源配置工具;数据合同的目的并非获得数据所有权,而是获得个人的同意,实现动态的、持续的数据汇集。数据交易的法律结构即由合同关系与个人信息处理关系构成。
(一)双重结构的逻辑前提:承诺与同意之分
数据合同的目的是获得个人的同意。是故,在一次完整的个人数据交易中,应同时存在对缔约的承诺与对个人信息处理的同意。根据《民法典》第479条,承诺是受要约人同意要约的意思表示。那么,个人的同意是否属于意思表示?我国个人信息保护法未规定同意的含义。如前所述,数据收集或传输不是事实行为。个人信息保护法若干规则也重视同意的发出,事实行为理论显然不足以解释上述法律规则。同意是一种表示行为,但表示行为不一定属于意思表示,需要结合意思表示的要素讨论同意的法律性质。
意思表示的要素包括行为意思、表示意识和法效意思。个人同意具有行为意思、表示意识,但可能不具备法效意思。法效意思是行为人欲依其表示发生特定法律效果的意思。很难想象个人同意服务协议、隐私政策是为了提供数据——用户只想快速打开应用程序,获得网络服务。社会调查也表明,个人对于隐私风险的认知往往非常有限,平台的隐私政策又非常复杂和冗长,用户不仅要花费大量时间阅读,而且也很难理解,个人几乎“理性地”不阅读相关的隐私公告。即便如此,根据《个人信息保护法》第13条第1款第1项,个人信息处理者只要获得个人的同意,就可以处理个人信息。这表明,个人的同意是依据法律规定发生效果,而非依当事人的主观意愿。再者,根据《个人信息保护法》第31条,年满14周岁的未成年人可以独立表示同意。未成年人不具备表达法效意思的行为能力,但却可以提供有效的同意。《个人信息保护法》第31条充分表明,同意不需要行为能力。因此,个人的同意并非法律行为,应被界定为准法律行为。将同意界定为准法律行为,也可以得到比较法的印证。在欧盟《通用数据保护条例》(GDPR)的德文版中,第4条第11项指出,同意是一种意思通知(Willensbekundung),而非意思表示(Willenserklärung)。意思通知是准法律行为。
在界定个人信息主体同意的法律性质之后,逻辑上自然引出对其效力的追问。意思表示的功能在于扩张私法自治:法秩序通过认可表示出的内在意思,促使法律世界中的自我形成与自我实现。个人同意的功能则在于排除行为的违法性,如果没有个人的同意,行为可能构成对人格权益的侵犯。从文义可知,个人信息保护法第13条第1款正是从违法性排除的角度规定个人信息处理的正当化事由。个人信息保护法中关于同意的具体规则,也是围绕违法性排除的功能设计的:(1)同意必须清晰、明确作出,默示同意不能排除违法性。(2)根据个人信息保护法第6条,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。目的限制条款被视为个人信息保护的“主要构造原则”和“关键性枢纽”。倘若不了解个人信息处理的目的,个人信息主体将无法清晰地权衡个人信息处理活动带来的机会和风险。(3)当同意不符合要求时,个人信息处理行为构成对个人信息的侵犯,个人信息处理者应承担侵权责任。
(二)双重结构的核心内容:基础性合同与个人信息处理活动二分
个人数据交易中存在缔结合同的承诺与排除违法性的同意,不同属性的行为勾勒出基础性合同关系与个人信息处理关系的基本形态。基础性合同与个人信息处理活动相互独立,二者的效力也应分别判断。
1.基础性合同与个人信息处理活动相互独立。一方面,基础性合同不能替代排除违法性的同意。在前述“人脸识别第一案”中,当事人之间缔结有效的服务合同,但处理指纹信息、个人面部信息的,应当征得当事人的明确同意。表意人缔结合同的承诺不能替代排除违法性的同意。在企业之间的个人数据交易中,合同双方可以签署协议,允许他方通过接口使用自己平台上的数据,但合同相对方能否合法地处理平台上的个人信息,依赖于个人信息主体的同意。否则,即便企业之间存在有效的合同,个人信息处理活动因欠缺个人的同意而不能阻却违法。另一方面,个人信息处理关系的存在并不意味着双方之间存在合同关系。人们容易下意识地认为,用户是通过让渡个人数据换取平台经营者的服务:服务并非免费,用户虽然没有支付金钱,但通过提供个人数据获得服务。但是,个人信息与一般性的产品或服务之间不存在对价关系,同意本身不能替代承诺。根据《个人信息保护法》第16条前半句,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。亦即,当个人信息主体不同意提供个人信息时,个人信息处理者仍应提供产品或服务。该条明确否定个人信息与一般性的产品或服务之间的对价关系。德国学者罗戈施也指出,个人信息主体的同意因缺乏主给付义务而不能构成债务合同意义上的同意。他认为,同意非债法上的义务,同意仅与个人信息处理活动相关,与合同缔结无关。在最早推广互联网业务的美国,隐私政策、服务协议等也多被认为不具备可执行性,因为上述文件不具备合同法上的拘束力。美国内华达州地区法院在2012年指出,滚动浏览网页或单击新软件产品的“下载”按钮不足以构成对基本条款的同意,即使用户协议如是规定亦然。在2018年的“脸书案”中,脸书公司认为,他们通过应用程序收集个人信息并传输给剑桥分析公司,征得了用户的事先同意,符合合同约定。美国联邦贸易委员会(FTC)最终处罚脸书公司支付50亿美元,因为个人信息与应用程序服务之间不存在对价关系,用户不需要接受用户协议的束缚,脸书是在滥用用户的信任。可见,基础性合同与个人信息处理活动相互独立,彼此不可替代。
2.基础性合同和个人信息处理活动的效力应分别判断。一方面,即便当事人之间缔结了有效的合同,个人信息处理活动也不一定具备合法性基础。例如,双方可以缔结有效的人脸识别合同,但若个人信息处理活动不能满足必要性要求,仍然不能处理个人面部信息(《个人信息保护法》第26条)。可能的反对意见在于,在数据交易中,如果个人信息处理是履行合同所必需,根据《个人信息保护法》第13条第1款第2项不需要征得个人的同意。这种理解符合文义,但也会引发借助合同工具架空明确同意、单独同意等个人信息保护规则的风险。欧洲数据保护委员会(EDPB)在2019年发布的围绕“履行合同所必需”这一要件的指南中明确指出,该项规则针对的个人数据处理构成服务的重要组成部分的情况,包括信用卡支付、预先输入邮编确认货源情况等。德国学者也指出,“履行合同所必需”这一合法性事由,针对的是提供个人信息辅助履行合同的情况,而非个人信息处理本身就是合同的标的。应当狭义地理解“履行合同所必需”这一事由,将之限定于辅助履行的情形,如导航服务提供地理位置信息、信用卡或微信支付向第三方传输数据等情况。因此,有效的数据交易合同并非个人信息处理的合法性基础。另一方面,即便双方之间的合同无效,只要存在合法性事由,个人信息处理活动就不存在违法问题。《个人信息保护法》第13条第1款规定了个人信息处理的七种合法性基础,知情同意仅是其中一种,个人信息处理主体还可以依据履行法定职责或法定义务、应对公共卫生安全事件、处理已经公开的个人信息等事由处理个人信息。该条第2款专门强调,个人信息处理活动符合其他合法性事由的,无需取得个人同意。例如,根据《个人信息保护法》第21条,个人信息处理者可以不征得个人同意而委托他人处理个人信息。若当事人明确约定不得交由第三方处理个人数据,企业却委托第三方处理个人信息,企业将承担违约责任,但根据该条个人信息处理活动仍然合法。因此,个人信息处理活动的合法性与基础性合同的效力不能等同视之。
反对意见或在于,《民法典》对肖像权许可使用没有区分基础性合同关系与肖像许可使用关系,但这已经引发了深刻的批评与质疑。《民法典》第1021条规定,双方对肖像许可使用合同中关于肖像使用条款的理解有争议的,应当作出有利于肖像权人的解释。但是,既然存在有效的债之关系,法秩序为何还要偏袒肖像权人?即便是针对力量关系失衡的格式合同,也应先按照通常理解进行解释;有两种以上解释的,才应当作出不利于格式条款提供方的解释。在肖像许可使用交易中,肖像权人未必处于劣势。但另一方面,《民法典》第1022条却又限制肖像权人解除肖像许可使用合同的权利。肖像权是人格权的重要类型之一,肖像许可使用合同的解除却需要额外提供正当理由,而对于未必具有人格利益的琐碎个人信息,信息主体却可以不问理由任意撤回,立法评价明显失衡。上述规定其实是将债之关系与许可使用关系混为一谈。在合同关系中,交易安全是法秩序追求的目标之一,格式条款规则也强调实现多元价值之间的平衡;在许可使用关系中,则应严格判断同意的合法性,疑义情况视为未获得肖像权人的同意。同理,肖像权人应有权随时撤回对肖像使用的同意。肖像权人任意撤回同意的,可能根据《民法典》第577条及以下条款承担违约责任,但撤回同意的权利不应受到限制。实定法的不足表明区分法律关系配置规范的必要性。
(三)个人数据交易双重结构的原则与例外
个人数据交易以合同为交易工具,以个人的同意满足合法性需求。原则上,只有同时存在个人的承诺与同意,个人数据交易的双重结构才能成立。(1)企业之间的个人数据交易由两次同意与一次承诺构成。企业通过要约与承诺缔结有效的数据传输合同,通过获得个人信息主体的同意,使个人数据的收集、传输和使用具备合法性。目前司法实践强调的“三重同意原则”,其实混淆了承诺与同意的关系。企业之间的数据传输是由两次同意(个人与两个企业之间)和一次承诺(企业之间)构成的,并不存在三重同意。(2)企业与个人的数据交易则由一次承诺和一次同意构成。如果仅有同意,则仅为纯粹的个人信息处理活动。例如,在“知乎案”中,仅有个人的同意,没有有效的承诺,是故知乎平台变更隐私政策的行为不构成违约。当事人之间也可能仅有承诺,但缺乏个人信息主体的同意。在德国“开心集点卡(Happy Digits)案”中,德国联邦最高法院即指出,以个人数据换取折扣的行为显露法效意思,当用户使用折扣卡时,合同成立,但处理个人信息的同意必须清晰、明确地作出,单纯使用折扣卡的行为不具备德国联邦数据保护法要求的表示效果。因此,尽管当事人之间缔结了有效的合同,默示同意仍不能排除个人信息处理活动的违法性。
疑问在于,如果仅有一个行为,可否同时构成缔约的承诺与个人的同意?同一行为可能被不同法律规则评价,由此引发规范竞合,典型如侵权之债与合同之债的竞合。同意与承诺均为一种将内心意思表露于外的行为,只不过前者的效力是基于法律规定,后者的效力则源于当事人的内心意思。既然同意和承诺均为表示行为,二者就存在竞合的可能:个人的同意可能同时符合《个人信息保护法》与《民法典》的规定,构成“承诺式同意”。此时虽然仅有一个行为,但双重结构仍然存在。但需注意,欲构成“承诺式同意”,应当满足严苛的成立要件。如前所述,《个人信息保护法》第16条明确否定个人信息与一般性的产品或服务之间的对价关系。只有在个人信息处理者以特定服务如折扣、抽奖、积分、航空里程或其他特权换取个人信息时,同意才有可能构成承诺。如果平台经营者以付费的方式获得使用个人信息的许可,这种法效意思就更为明显。下文以德国“万能积分卡(Payback)案”为例,讨论成立“承诺式同意”的前提与基础。在该案中,服务协议规定:(1)用户通过签名同意第三方公司及其伙伴公司以广告、市场分析为目的,存储和使用用户的个人信息以及其他获得折扣的信息;(2)当用户参与万能积分卡活动时,必须提供个人的生日信息;(3)如果用户在合作公司使用万能积分卡,数据也将传输至第三方公司,以进行折扣的身份验证、折算、管理和支付。德国联邦最高法院首先指出,不能因为同意事项被写在协议中,就当然地认定该内容属于法律行为,必须结合具体条款分析其法律性质。上述(1)属于法律行为,因为用户通过提供数据的方式获取万能积分卡公司的折扣,个人信息和折扣之间构成给付与对待给付关系,双方缔结了有效的合同。上述(2)(3)均非合同条款,仅为一种事实性的指引,因为根据其客观措辞,不会引发其构成双方合同关系之内容的认识。在该院看来,上述(2)仅是告知收集的内容,(3)则是告知消费者数据的传输,消费者不可能将之理解为某种构成性授权。
综上所述,个人数据交易原则上应由承诺与同意两种行为组成,缺乏任何一种行为,均因欠缺双重结构而不属于数据交易。考虑到承诺与同意均为表示行为,二者存在竞合的可能,但“承诺式同意”仅在存在额外给付的情况下始得认定。只有严格把握个人数据交易的双重结构,才能有效划定规则的适用领域,避免不当认定数据交易关系的存在。
四、双重结构下合同规则与个人信息保护规则的适用
个人数据交易由基础性合同与个人信息处理活动组成,前者当然受到合同规则的调整,后者则是个人信息保护法的规范对象。个人信息主体的同意并非得准用法律行为规则,民法典与个人信息保护法并非对同一对象的不同规定,而是有其各自的规范领域。但考虑到个人信息处理活动是合同项下的行为,数据合同的目的也是为了获得个人的同意,合同规则与个人信息保护规则在特定情况下可以相互影响、相互交融,共同维系法体系价值选择的内在一致性。
(一)合同规则与个人信息保护规则之各守其分
学说多认为,准法律行为视性质原则上得准用法律行为规则,那么同意得否准用民法典中的法律行为规则?如果可以准用,个人信息处理活动将同时受到个人信息保护规则与民法规则的双重规范。当不同规则产生冲突时(如默示同意、撤回同意等),也很难通过区分一般法与特别法的路径予以化解:如果聚焦个人信息处理,《个人信息保护法》为特别法;但如果换个视角,聚焦数据交易合同,民法规则又较个人信息保护法更有针对性。笔者认为,准法律行为并非原则上得准用法律行为规则,个人信息主体的同意不应准用意思表示规则。合同规则与个人信息保护规则在各自的适用领域独立发挥作用。
1.同意并非原则上准用法律行为规则
学理上一般将准法律行为分为三类:意思通知、观念通知与情感表示。意思通知,是指行为人将意思表达于外,但不论当事人企图发生何种效果,法律效果均因法律规定而发生,催告是一明例。观念通知,是指行为人将一定事实(而非内心想法)告知他人,其法律效果也依法律规定发生,典型如债权让与通知、承诺迟到通知等。情感表示则是指行为人将感情表现于外部,例如被继承人宽宥继承人恢复其继承权等。个人信息主体的同意涉及内心意思的表达,应属意思通知。一般认为,意思通知不同于观念通知与宽宥,原则上得准用行为能力、意思表示欠缺、意思表示瑕疵以及代理等规则。
上述学理并不妥当。其一,准法律行为三分法并不合适。情感表示不需要明确的发出与到达,其更接近于事实行为而非准法律行为。现代德国民法学已经倾向于认为宽宥不属于准法律行为,而是事实行为。其二,观念通知虽不是内心意思的表达,但“观念”也可能是欺诈的产物,并非不能参照适用意思表示瑕疵规则。其三,意思通知也不是原则上可参照适用法律行为规则。例如,准法律行为不存在效果意思,逻辑上行为能力制度并非当然适用,意思表示瑕疵制度的适用也应有所限制。具体到个人信息保护法领域,个人信息主体年满14周岁即可独立作出有效的同意,不能参照适用行为能力规则;个人信息主体可以随时撤回同意,此与意思表示的撤回规则也不一致。
观念通知并非不得准用法律行为规则,意思通知也并非原则上得参照适用法律行为规则。每一种具体的准法律行为都必须根据其特殊性以及存在的利益状态,具体判断如何参照适用法律行为规则。当代德国学说已经不再区分准法律行为的不同类型,而是通过列举的方式指出哪些行为属于准法律行为,交由法官在个案中判断得否参照适用特定的法律行为规则。这种做法当然会影响法的安定性,但是一般性的公平衡量或合目的性衡量是不存在的。
法秩序对个人信息主体同意的规范旨趣与对意思表示的规范旨趣并不相同。个人信息保护法强调对个人信息的保护,因而从违法性排除的视角设计规则。法律行为贯彻私法自治,自我负责也是私法自治的内在要求之一。作出表示的人,即便表示和意思不一致,至少也应自我负责。是故,法律行为制度在强调保护表意人真实意思的同时,也强调保护相对人的利益,从而实现交易安全与信赖保护。个人信息保护规则注重保护消极自由,法律行为规则强调捍卫积极自由,两种规范保护的利益并不相同,因此个人信息主体的同意不得参照适用法律行为规则。如果《个人信息保护法》已经明确分配了利益和风险,更应优先适用。例如,《个人信息保护法》第14条要求同意应当在个人充分知情的前提下自愿、明确作出,如果同意不符合要求,可径自主张个人信息主体未同意,无需回溯至民法典规定的欺诈、胁迫、重大误解等制度。
综上,承诺与同意分别形塑数据交易中的合同关系与个人信息处理关系,合同规则与个人信息保护规则各自规范数据交易中的不同行为。法秩序对两种行为加以规范的价值目标不一致,个人信息主体的同意并非原则上得准用法律行为规则。
2.合同规则与个人信息保护规则并不冲突
规范对象的不同,使得合同规则与个人信息保护规则之间不可能发生冲突。二者在各自的领域发挥作用,各守其分。兹举三例说明之。
(1)合同形式自由与明确同意
民法典强调私法自治,合同自由是私法自治最典型的情况,形式自由则是合同自由的当然之义。根据《民法典》第140条第1款,行为人的默示行为可以构成承诺,当事人得以此缔结有效的合同。当然,默示行为不同于沉默,沉默是一种既无语言表示也无行为表示的纯粹的缄默,是一种完全的、纯粹的不作为。表意人通过默示行为作出意思表示的,行为本身必须具有严格的、强有力的客观表示构成。在个人信息处理场合,当用户使用个人信息处理者提供的折扣购买商品、兑换航空里程时,应认为用户通过默示行为与对方达成合意。尽管如此,默示同意仍不能满足个人信息保护法规定的表示条件。即便当事人通过默示意思表示缔结合同,个人信息处理活动是否具备合法性也应单独判断。
默示同意虽不足以排除违法性,但有效的合同关系使个人信息主体有提供明确同意的债法上的义务。个人信息处理者可以基于有效的合同请求个人信息主体以法律要求的方式表示同意。如果个人信息主体拒不同意,个人信息处理活动因法律障碍无法开展,合同目的无法实现,个人信息处理者得根据《民法典》第563条第1款第3项催告解除合同或依据第4项直接解除合同。个人信息处理者遭受损失的,可以依据《民法典》第577条及以下条款请求对方承担损害赔偿责任。《民法典》第140条第1款满足当事人灵活缔结合同的需求,《个人信息保护法》第14条第1款则不松动地捍卫个人信息保护的底线,二者共同实现数据流转与个人信息保护之间的平衡。
(2)契约严守与同意的任意撤回
社会交往要求保护交易双方的合理信赖,只有借助“契约严守”的理念,法律和经济才能实现结构耦合,经济规划才不会变得不可期待。数字经济同样依赖可期待的交易安全。数据交易有着类似持续性债之关系的特征,大数据技术的运用依赖于数据规模的不断扩张。鉴于《个人信息保护法》第15条第1款允许个人任意撤回同意,个人信息处理者希望与个人信息主体签订合同,以“法锁”拘束彼此。由此引发下列问题:当同意他人处理个人信息构成交易内容的组成部分,是否应当限制个人的撤回同意的权利。
在个人数据交易中,当事人可以通过合同拘束彼此,使得经济规划获得最低限度的稳定性,但合同不能排除个人的撤回同意权。基础性合同与个人信息处理活动分属不同的法律层面,前者拓宽自由,后者则捍卫个人信息保护法的基本价值。个人信息之上承载着非常广泛的权益,既包括宪法上的人格尊严、人身自由,也包括人身权益、财产权益等民事权益。如果不允许撤回,个人的同意就不可能是真正的同意:个人往往难以事前地、清晰地了解个人信息处理活动的风险,个人可能因一时的疏忽而长期承受不利后果。个人信息保护法没有对同意撤回制度创设任何例外,就是为了严格捍卫个人信息主体的选择自由。当然,当事人的信赖也应得到法律的尊重。数据交易当事人既然借助合同拘束彼此,法秩序也应当保护缔约方的合理期待。个人信息主体无故撤回同意的,个人信息处理者可以请求其承担违约责任。基于“人身之债不得强制执行”的理念,个人信息主体拒不同意个人信息处理活动的,属于《民法典》第580条第1款第2项“债务的标的不适于强制履行”,合同因此陷于履行不能,履行义务排除。个人信息处理者可以依据《民法典》第563条第1款解除合同,并根据第577条及以下请求个人信息主体承担损害赔偿责任。
(3)代理制度与未成年人的同意
根据《个人信息保护法》第31条第1款,个人信息处理者处理未满14周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。疑问在于,个人信息处理者在取得未满14周岁未成年人的监护人的同意后,是否还应当取得该未成年人的同意?
一种观点认为,处理未满14周岁未成年人个人信息的,只需取得未成年人监护人的同意即可。这种观点受到《民法典》规定的法定代理制度的影响。根据民法典第34条第1款,监护人有权代理被代理人实施法律行为。然而,同意与承诺的功能不同,不是为了缔结法律行为,因此必须从违法性排除的角度思考未成年人的个人信息保护问题。即便未成年人的监护人代理未成年人缔结了有效的合同,并且对个人信息处理行为表示同意,个人信息处理活动仍然应当征得未成年人的同意,才能排除行为的违法性。
《个人信息保护法》第31条第1款实则确立了处理未成年人个人信息的双重同意规则。首先,结合《个人信息保护法》相关法条,监护人的同意仅为补强未成年人的判断能力,并非替代其表示同意。《个人信息保护法》第28条第1款将未满14周岁的未成年人的个人信息认定为敏感信息;第29条规定,处理敏感信息的,应当取得个人信息主体的单独同意,亦即取得未成年人本人的同意。因此,第31条第1款并非排斥未成年人的同意,而是补强未成年人的同意:个人信息处理者应同时取得监护人及具有判断能力的未成年人的同意,才能处理未成年人的个人信息。其次,未满14周岁的未成年人未必不具有判断能力。民事主体对禁止性规则的认知往往早于对法律和经济后果的认知。最后,未成年人的同意权限是未成年人发展权的内在要求。未成年人欲真正成年,需要不断锻炼其判断能力。无论是《联合国儿童权利公约》第3条强调的儿童最大利益,还是其第6条规定的发展自由,均依赖于儿童有机会练习作出决定,否则未成年人无法真正成年。对未成年人的保护,既包括防止其被伤害,也包括向其提供作出选择的机会。即便未成年人未满14周岁,但只要其具有判断能力,就应有权决定个人信息处理活动的合法性。
未成年人的监护人代理未成年人缔结合同并表示同意的,个人信息处理者仍有义务取得未满14周岁的未成年人的同意。未成年人不同意的,个人信息处理活动因欠缺合法性基础而陷于履行不能。此时,个人信息处理者可以依据《民法典》第563条第1款解除合同,并根据《民法典》第577条及以下请求未成年人的监护人承担损害赔偿责任。当然,要求个人信息处理者逐一收集未成年人的同意,可能会严重增加企业的负担。更理想的方案是,只要未成年人的监护人代理缔结有效的合同,即推定获得未成年人的同意,但未成年人有权拒绝个人信息处理活动。如果具备判断能力的未成年人事后表示拒绝,个人信息处理者不得继续处理个人信息,且应删除已经收集的个人信息。
(二)合同规则与个人信息保护规则之东鸣西应
基础性合同与个人信息处理活动虽然相互独立,但个人信息处理活动毕竟是合同约定的行为,合同的目的也是获得个人的同意。个人信息处理关系与合同关系无法割裂的关联性,使得一些规则可以例外地打破双重结构,直接影响整个数据交易。兹以告知义务与合法、正当、必要原则为例,说明之。
1.合同规则强化个人信息保护:以告知义务为例
《个人信息保护法》第14条第1款要求同意应在“充分知情”的前提下作出,但个人信息处理者并无义务告知与个人信息处理活动有关的所有信息。《个人信息保护法》第17条第1款以列举的方式规定了个人信息处理者的告知义务:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知处理者的身份、处理目的和方式、处理个人信息的种类和保存期限、个人行使权利的方式和程序以及法律、行政法规规定的其他事项。这一详细规则为保护个人的知情权提供了重要的判断依据。
美中不足之处在于,该款并非开放式条款,个人信息处理者仅需告知个人信息保护法和其他法律、行政法规规定的事项。封闭式立法难免挂一漏万。例如,法律、行政法规并未要求个人信息处理者告知处理活动可能的负面影响。监管机构和司法部门无法突破个人信息保护法的封闭式设计,通过个案扩张告知义务的内容。对于个人信息主体而言,只有了解可能的风险,才能理性地作出选择。《个人信息保护法》却仅在例外场景要求个人信息处理者告知可能的不利影响:根据第30条,个人信息处理者处理敏感个人信息的,应当向个人告知处理活动对个人权益的影响。且不论一般个人信息的收集也可能对个人产生不利后果,个人信息处理者完全可以借助对海量一般个人信息的分析识别出敏感个人信息。《个人信息保护法》淡化对处理一般个人信息的风险披露要求,实质是忽视了一般个人信息最终可能通往敏感个人信息的潜在效果。
为填补个人信息保护法的规范漏洞,可以尝试在民法框架中寻找破题之策。当交易的内部和外部因素趋于复杂,进入和脱离实现交易目的的合同,所要考虑的因素往往会超出当事人的预判。法律问题的关键演变为,一方当事人是否满足了相对方对特定信息的需求,先合同信息说明义务因此崛起。在个人信息主体和个人信息处理者缔结合同时,个人信息主体未必充分了解个人信息处理活动。鉴于个人信息处理活动具有高度复杂性和专业性,如果个人信息处理者没有告知处理活动的重要信息,则个人没有能力表示同意或拒绝。如果从先合同信息说明义务视角探讨个人信息处理者的信息披露义务,义务的范围将包括但不限于个人信息保护法规定的告知义务。《消费者权益保护法》第26条第1款详细规定了经营者的告知义务,其中包括“安全注意事项和风险警示”等与消费者有重大利害关系的内容。该义务也应属于互联网企业对个人的告知义务的范围。此外,也可以借助《民法典》中的若干规则扩张告知义务的内容。例如,可能的不利后果明显属于对合同缔结极为重要的信息,若经营者故意隐瞒,将因违反《民法典》第500条第2项而承担缔约过失责任;过失隐瞒重要信息的,也可能依据第500条第3项,被认定为“其他违背诚信原则的行为”。个人信息处理者未告知重要信息使个人信息主体陷入错误的,个人信息主体似也可依据《民法典》第147条和第157条撤销合同并请求损害赔偿。
2.个人信息保护规则影响合同构造:以合法、正当、必要原则为例
《民法典》第1035条规定了个人信息处理的合法、正当、必要原则,《个人信息保护法》第5条再次肯定该原则,且将之与诚信原则并列。但如此一来就引发了下列困扰:合法、正当、必要原则是否如同诚实信用原则一样仅发挥备位作用,从而司法工作者应尽量避免向一般条款逃逸?立法机关指出,上述原则的设计参考了GDPR第5条的规定。鉴于GDPR规定的合法性、公平性和透明性原则,目的限制原则,数据最小化原则等,均可以直接适用,我国司法实践也多借助合法、正当和必要原则直接裁判民事案件,应认可合法、正当、必要原则的规则属性。
《民法典》第153条第1款第1句规定,违反法律、行政法规的强制性规定的民事法律行为无效。《民法典》第1035条和个人信息保护法第5条共同规定合法、正当、必要原则,一方面明确数据处理体系的抽象目标,另一方面可以作为解释具体法律规范的结构化原则、优化目标以及指南,不能为当事人恣意排除,应属于强制性规定。由是观之,违反上述原则的合同也应无效。但须注意,合同关系与个人信息处理关系分属不同的法律层面,当个人信息处理活动非法时,不必然导致合同无效。合法原则是指个人信息处理者处理个人信息必须要有合法的依据,这种依据可能来自法律的授权,也可能来自个人信息主体的明确同意。如果个人信息处理活动非法是因为未获得同意或其他合法性基础,则不影响合同的效力。
当个人信息处理违反必要性原则时,合同可能部分无效。根据《个人信息保护法》第6条第2款,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。因此,个人信息处理者在收集个人信息时,不应当收集对提供服务没有必要的个人信息,只有那些对开展服务而言非收集不可或者不收集就无法满足用户服务需要的信息,才可被收集;在处理个人信息时,处理的内容和范围不得过于宽泛,只有在不得不处理时才可以处理个人信息。判断是否“最少够用”,应当采客观视角,而非仅考虑个人信息处理者的利益。只要违反必要性原则,则超出必要范围的个人信息处理活动非法。如果基础性合同约定收集过量信息,该约定同样因抵触必要性原则而无效。《民法典》第156条规定,民事法律行为部分无效,不影响其他部分效力的,其他部分仍然有效。超出必要范围的约定并非合同的必要条款,应当能够从合同中分割出来,合同部分无效。
最后,个人信息处理活动违反正当原则的,基础性合同原则上应被认定为无效。正当原则是指目的正当和手段正当。但在司法实践中,法院经常一体适用合法、正当原则,认为只要个人信息主体自主作出明确的同意,即满足了正当原则。例如,在黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案中,法院认为,“从合法性、正当性看,当事人的主要争议焦点在于是否获得原告的有效同意”。正当原则有着不同于合法原则的独立价值。合法原则强调数据处理活动的合法性,当事人的知情同意是判断合法性的重要标准之一。但如果数据活动目的不正当,即便当事人已经明确同意,数据活动也将因缺乏正当目的而遭到法律的否定评价。例如,如果商场安装摄像头的目的并非为了安全,而是为了寻找诱导消费者购物的方法,该行为将因欠缺正当目的而违法;如果处理个人信息的目的在于寻找固定购买某种商品的消费者进而提高价格,实现“大数据杀熟”,该数据处理活动也将因违反正当原则而违法。当个人信息处理活动的目的不正当时,基础性合同也难以具备正当目的,应被认定为无效。
综上所述,只有准确把握个人数据交易的双重结构,才能灵活地协调《民法典》与《个人信息保护法》相关规则的适用关系。民法规则与个人信息保护规则时而并行不悖,实现合同自由与个人信息保护之间的平衡,时而相互补充、相互影响,共同捍卫立法者的价值追求。
余论:借助解释学构建个人数据交易规范体系
随着人类进入大数据时代,立法也应充分重视数据交易的意义。例如,GDPR第1条第3款规定“不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止”;第47条满足集团企业频繁、大量的数据传输需求——集团公司只要制定具有拘束力的公司规则,就可以不经个人同意传输数据。在2018年GDPR生效之后,欧盟随即在2019年公布《数字服务合同指令》(DIRECTIVE (EU)2019/770),其第3条第1款第2句规定,本指令也适用于贸易商向消费者提供或承诺提供数字内容或数字服务及消费者向贸易商提供或承诺提供个人数据的情况。无独有偶,美国统一州法委员会2021年7月投票通过的《统一个人信息保护法》第8条d款也规定:“除非个人信息处理活动是禁止性数据实践,个人信息控制者可以将同意非兼容数据实践作为获取其商品或服务的条件。为了取得数据主体的同意,个人信息控制者可以提供报酬或者折扣作为对价。”
我国《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”该条为后续研究和立法预留了巨大空间。然而,我国目前尚不存在专门规范数据交易的法律文件。当他国开始重视数据交易立法时,我们不能只是呼吁立法机关有所作为,还应借助解释学工具实现法体系的自我调适与进化。法制史上众多债务关系与物权规则的出现,并非都是立法者有意为之。法律人也可以借助解释学回应新的社会经济方式的迫切需求。
个人数据交易法律框架的建立,同样依赖于解释学的开拓能力。笔者认为,必须首先了解数据交易的特性,进而借助承诺与同意的区分,精确分析出数据交易中不同的法律关系。在此基础上,解释学的重点应在于廓清数据交易的法律结构,为民法规则与个人信息保护规则划定各自的适用范围以及构建必要的沟通渠道。只有明确数据交易的双重结构,法秩序才既能借助民法中的赋权结构,满足数据交易当事人多样的经济安排需求,又可以顾及数据活动的特殊性,守住保护个人信息的底线,确保数据良治目标的实现。
END
本文作者:林洹民
本文编辑:钱岙轲
本文审阅:郑斯元
(本文观点和内容与本公众号无关)
(如有侵权,请联系删除)
延伸阅读:
四部门联合印发《关于规范“银行”字样使用有关事项的通知》 | 数字法学周报
郭文利:《在线纠纷解决的本相——深潜真实平台》 | 《互联网与法学》第六讲
主 编:李华勇
副 主 编:王星雨
来稿请投:zjulaw@aliyun.com
转载须授权