张薇薇:公开个人信息处理的默认规则———基于《个人信息保护法》第27条第1分句
作者:张薇薇(厦门大学法学院 副教授)
来源:《法律科学》2023年第3期
目次
引言
一、作为默认规则的“第27条第1分句”
二、“第27条第1分句”作为默认规则的法理基础
三、“第27条第1分句”作为默认规则的解释适用
结语
摘要:同意和默认同意构成《个人信息保护法》处理个人信息的合法性基础。默认规则是基于促进个人信息的合理利用、维护公共利益和国家利益等理由的默认同意规则。《个人信息保护法》第27条第1分句一方面推定信息主体同意信息处理者处理公开的个人信息,建构起基于知情同意的默认规则;另一方面赋予信息主体对默认规则的“明确”拒绝权,二者共同构筑了处理公开个人信息默认规则的完整架构。作为一种倾向性的默认规则,该分句是对信息主体完全理性和有限理性的调和,也是在知情同意框架下通过助推的方式促成不同群体利益的调和;它在尊重个体自由与自主的前提下,通过规则设置突破基于知情同意的“个人控制”模式,拓展了信息处理者自主处理个人信息的空间。
关键词:个人信息保护法;公开个人信息;默认规则;知情同意
引言
随着数据时代的到来,数据的作用与价值愈发凸显。在产业界人士眼里,数据是“新时代的石油”;在国家和政府视野中,数据是“重要的生产要素和社会财富”。数据的来源多种多样,个人信息的凝聚是数据的重要呈现形式。不同于一般数据,个人信息不仅是个人信息,而且已成为《网络安全法》《民法典》《数据安全法》等法律所规范和调整的重要内容。2021年11月1日起施行的《个人信息保护法》进一步对个人信息进行了全面、系统的规定,使个人信息保护进入专门法暨基本法保护的新阶段。无论是《个人信息保护法(草案)》还是最终审议通过的《个人信息保护法》,其第1条均规定“保护个人信息权益”“促进个人信息合理利用”,强调个人信息“权益”和“资源”的双重属性,从而使其在保护和利用之间产生了张力。而广受关注的“启信宝”案和“汇法网”案也是这种张力的实践表现。同样是最高人民法院公布的裁判文书,苏州市中级人民法院和北京市第四中级人民法院对于同类案件所作出的判决却截然不同。两案所涉及的个人信息都是公开的个人信息,这使得公权力如何把握个人信息的保护力度与范围变得十分微妙,也给法律的理解与适用带来严峻的挑战,其间的分寸难以把握。作为个人信息处理规则的一般性规定,《个人信息保护法》第13条将同意(第1项)和默认同意(第2-6项)确立为处理个人信息的合法性基础。如果说同意是基于对个人意思自治和信息自决权的尊重而成为个人信息处理的核心原则的话,那么默认同意则是主要基于“实现个人信息的合理利用,同时维护公共利益、国家利益”等考量因素而作出的立法判断。《个人信息保护法》第27条第1分句(以下简称“第27条第1分句”)规定:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。”从实质内涵看,我们可以将该分句视作第13条第6项“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”默认同意规定的重述、细化和拓展。从法理基础看,该分句的合法性基础是在合理的范围内个人自行公开或者对其他已经合法公开的个人信息的默认同意。默认同意关涉公开个人信息的“权益”保护与“资源”利用的协调,而协调的学理基础和方式、可能引发的后果都值得深入探究。如何对这一条款进行学理解释、如何进一步推进公开个人信息的保护与利用,都有待于在整合立法学理和司法实践的基础上进行更深层次的探讨。本文基于公开个人信息的“权益”保护与“资源”利用的平衡,尝试从行为经济学角度为第27条第1分句条款的理解适用提供认知理由和解释基础,具体将从该分句的规则属性、法理基础和解释适用三个层面展开论述。
一、作为默认规则的“第27条第1分句”
二、“第27条第1分句”作为默认规则的法理基础
“第27条第1分句”规定“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外”。其内容体现了一种“调和”:既是对法律中人像认知的调和,也是在“知情同意”框架下对不同群体利益分配的调和。(一) 认知维度:完全理性与有限理性的调和“第27条第1分句”体现了对法律中人像认知的调和。理性是法律产生和运行的基础。如果说习惯法从经验到规范进而形成秩序,是在尊重和认可人们日常行事规则基础上生成的“无需法律的秩序”,那么制定法及其法典化则更注重人类的理性建构,通过“法的体系的思考”“给法学灌注一个体系”,将共通的事项整理为总则,实现法规则由总到分、由概括到具体的体系化。因此,习惯法体现的是对人们惯常行为归纳概括的经验性,制定法及其法典化则体现了把人类行为分门别类进行规范并纳入法律条文的逻辑性建构。无论经验性总结还是逻辑性建构,都体现了对理性的重视和强调。前者体现的是经验理性,“立足于过去和现在的经验往后看”,从经验中概括和提取出规则。后者体现的是建构理性,“运用理性架构一套全面缜密行为规范体系”,为将来可能出现的问题和事项提供体系化的解决思路。在这个意义上,普通法和制定法都在形式上蕴含着并呈现出人的理性一面。赫伯特伯爵曾以戏谑的口气指出,“英国普通法不厌其烦地虚构出一个神话般的人物——理性的人。他是一种理想,一种标准,是我们要求优秀公民具备的品德的化身……他像一座纪念碑矗立于我们的法庭上,徒劳地向他的同胞呼吁,要以他为榜样来安排生活。”其实,理性人形象不仅体现在普通法中,而且隐含在制定法中。无论是“意思自治”“契约自由”还是“过错责任”,抑或“市场自由”“财产权绝对”,都在法律中预设了人的“强”而“智”的形象:每个人都是理性的,知道自己的最大利益所在,能够在追求最大利益的过程中根据自己的意志设定权利义务,实现个人利益的最大化。理性似乎还是一种叠加机制,每个人都会进行理性选择,随着每个人利益的最大化,社会或国家的利益也会实现最大化。法律预设的理性人是在“鞭打小孩时也在默想着中庸之道”的人,这种预设对于设计、启动和运行整个法律体系有着难以替代的作用,甚至在某种程度上反映了绝大多数人在大部分场景下的行为方式,冷静、理性的行为模式成为人们推崇、追随和效仿的范例。但是,真实世界中人们的行为与这种理论预设并不完全相符,见义勇为式的利他行为、舍生取义式的超功利行为在历史与现实中时常出现。不仅如此,那些“非理性”的行为还广泛存在于日常生活中,在日常消费、人际交往、社会评价中经常出现超越或违反功利主义的利益计算。因此,法律中的“理性人”形象被日渐修正,在尊重“强”而“智”的同时,对其“弱”而“愚”的一面也同时加以关照,“理性人”由此而成为“社会人”:他既有逐利和理性的一面,也有因情感冲动、生活习惯、信息约束、智识或现实所限而不理性和超越功利的一面。在这些因素的影响下,“契约自由”受到一定的限制,劳动者权益被纳入法律保护范围;“过错责任”被无过错责任或公平责任所补充,弱势者受到法律的倾斜性保护;“财产权绝对”也被公共利益和征收、征用制度所限制。“第27条第1分句”一方面延续了近代以来法律中理性人形象,默认个人是理性的,其能够基于利益最大化设定个人信息及其应用。这种理性人预设,来源于《网络安全法》《民法典》《个人信息保护法》都将“知情—同意”作为收集、使用个人信息的重要合法性基础。“同意”之所以重要,是因为“同意”是自由意志的体现,是经自由意志思考、判断和衡量之后形成的决策,并将这种决策以明示或默示的方式进行表达。自由意志在法律规范体系中主要体现为“自治”,既包括在签订契约时具有主体性的当事人能够根据自己的意志为自己设定权利义务,也包括在公共事务领域个人能够根据自己的意志参与公共事务的管理,公共机构能够根据经“化学反应”形成的“公意”代表所有人员进行自我管理。总之,“同意”是自由意志的体现,是充分践行理性人预设后的自主决策。因此,它是人的主体性和规范性的体现,也是法律中理性人形象的制度化表达。理性人预设贯穿了整部《个人信息保护法》,集中体现在第二章第一节个人信息处理规则的“一般规定”中,这些规定为个人信息处理奠定了基调。这些“基调”性规范共有15条,其中9条规定了在不同的场景下,处理个人信息需要获得信息主体的同意,有3条规定了告知。由此可见,“同意”在整部《个人信息保护法》中具有基础性作用。该法第27条,无疑承载着“同意”制度及其所蕴含的理性人形象,这也与我国现有的个人信息保护相关立法的人像预设和逻辑体系保持一致。我国第一个专门保护个人电子信息的《关于加强网络信息保护的决定》要求,收集、使用公民个人电子信息时,除“应当遵循合法、正当、必要原则,明示收集、使用信息的目的、方式和范围”外,还要求“经被收集者同意”。此后,《网络安全法》第41条、《消费者权益保护法》第29条、《民法典》第1036条及相配套的规范性文件,都将“同意”作为处理个人信息的前置性要件。另一方面,“第27条第1分句”也内在兼容了法律中“有限理性人”或“社会人”形象。此处的“有限理性人”或“社会人”指的是兼具利己与利他双重属性的人。如果说利己是理性人的属性,那么利他则是“有限”的性质表达。在康德哲学中,“人”是一种具有尊严的、作为“目的”的“理性的存在者”。道德或实践理性的目的是善,即追求道德与幸福的统一。作为一种实践理性和实践智慧,法规则需要肯认对每一个人的人性尊重,表达和促进实现作为统合道德和幸福的“至善”。“第27条第1分句”的后半句,不仅彰显了信息主体的有限理性人人像,还强化了前半句默认规则的法律效果。首先,后半句要求“个人明确拒绝的除外”,此即知情同意原则的体现。其次,拒绝的行使需要一定的成本。明确地表达也需要付出一定的信息成本。有时候人们不愿付出这样的成本而选择不表达,这是权衡成本收益后的结果,是理性的;但在另外一些时候不表达却是非理性的,因为现状偏好、懒于表达而不得不忍受风险和其他潜在的物质损失。整体而言,这一分句有利于国家、社会(作为非市场主体的信息处理者)和信息处理者(作为市场主体)的个人信息处理活动,但给信息主体带来一定的风险和不利益。尽管该分句没有限制信息主体的自由与权利,但通过默认规则设置,利用了个人信息能力的不足将风险和利益进行了有利于市场和社会的配置,进而降低了社会的运行成本。如果说基于“知情—同意”的理性人人像是正面像,那么有限理性人像则是从另一个角度描绘的“侧颜”。它推定或默认信息主体同意个人信息处理者在合理范围内处理个人自行公开或者其他已经合法公开的个人信息,然后基于“知情—同意”框架赋予信息主体拒绝权,并规定了拒绝的方式必须是“明确”的。它巧妙地将有限理性人形象嵌于整部法律之中。(二) 政策维度:助推架构下的利益调和“第27条第1分句”是在“知情同意”框架下通过“助推”对不同群体利益进行的调和。在行为经济学或认知科学的知识框架中,助推与不侵犯自由或与自由相兼容,利用人们行为或认知上的特点,通过合理的规则设计和制度安排,以极小的成本实现极大的收益。在这个意义上,它既是“不对称”的(低成本高收益),也是“自由至上主义者”能容忍的(对自由的限制很少或程度很低)公权力或准公权力行为。从行为经济学的视角来看,尽管人们被认为是理性的或基本理性的,但在相当多的情境下,人们的选择与决定可能出现系统性的错误。比如,人们普遍存在“损失厌恶”和“敝帚自珍”的心理特性,较之于能增加物品价值的因素,人们更加关注那些降低物品价值的因素。与此同时,“一个物品被拥有的时间长度会影响出售价格”,而这往往与古典经济学所预设的理性人形象相悖。利用“默认规则”影响人们的选择和决定,是“助推”的重要方式之一。在行为法律经济学的框架内,默认规则设立的依据是人们“现状偏好”的心理。这种心理是指,在很多情况下,除非有强有力的理由或外在驱动,否则人们不愿意改变现状。或者说,行为人在决策或选择时倾向于保持已有选项的偏好。这意味着,在面对具体事项时,人们并非按照古典经济学的理性人预设进行思考、决策和行为,过去的经验比利益最大化更有可能影响人们的选择或决策。默认规则就是通过预先设置一个选项,利用人们“一般不愿意改变现状”的心理,基于锁定效应影响人们的选择或决定。比如,人体器官在所有国家都是重要而稀缺的资源,我国尤其缺乏。我国每年有超过30万患者急需器官移植,但最终能进行移植手术的仅为1万余人。公民逝世后器官自愿捐献率为百万分之五点六,我国是世界上捐献率最低的国家之一。如何提高器官捐献率成为现实而迫切的问题。受制于“知情同意”的制度框架,器官捐献高度取决于当事人或其家属的意志与决定。默认规则在此能够发挥重要作用,对于人们是否同意捐赠器官,主要有默认不同意和默认同意两种制度安排。有研究表明,在排除移植的基础设施、经济和教育状况以及宗教等因素后,设置“同意捐献器官作为默认规则”,比“不同意捐赠作为默认规则”,捐赠率提高了16.3%,甚至可能高达25%至30%。默认规则不仅能够对器官捐献这样重大的事项产生影响,还能够在日常生活中发挥积极作用。比如,美国的新泽西州和宾夕法尼亚州相邻,两州侵权法都强制要求公司提供保险,在事故发生后被保险人享有有限的起诉权。但是新泽西州默认被保险人拥有受限制的诉讼权利,如果他们想要获得充分的起诉权,须付出额外的费用;而宾夕法尼亚州则默认被保险人拥有充分的起诉权,如果他们选择有限的起诉权,可以在购买保险时获得相应的折扣。在默认规则的作用下,新泽西州仅有20%的人选择全部的起诉权,宾夕法尼亚州则有75%的人保留全部的起诉权。与之相对应,这两个州花费在保险费上的金钱相差2亿美元。尽管这个例子无法说明应当设定什么样的默认规则,但却清楚地表明了默认规则所拥有的强大力量。必须强调的是,无论是器官捐献默认规则,还是保险购买默认规则,都没有限制个人的自由与选择,完全符合“知情同意”的理论基础与规范框架。每个人都可以根据其自由意志,自主地作出同意或不同意的决定。因此,默认规则是与自由选择、自治行动完全兼容的制度安排。默认规则是一种“不对称”的制度安排,在降低理性人选择成本的同时,给不理性的人带来了高昂的收益。由此可见,如果规则或政策的制定者想要推行或倡导某个行为模式,不妨将其设定为默认规则,这将会大大推动人们朝着政策或规则引导的方向行进。回到“第27条第1分句”,我们可以发现,这一规则默认信息主体同意信息处理者处理公开的个人信息,是一种对信息处理者有利的制度安排。这种制度安排是公权力基于时代需求与利益平衡进行的“助推”。公权力利用公众现状偏好的心理,默认信息处理者有权处理个人公开信息,在遵守《个人信息保护法》基本理念与原则的基础上回应时代的需求。首先,该分句体现了对《个人信息保护法》基本理念与原则的尊重。《个人信息保护法》在第1条中明确规定“促进信息合理利用”,要求公权力在保护个人信息权益、规范个人信息处理活动的前提下,促进个人信息合理利用,挖掘个人信息以及由个人信息凝聚而成的数据价值,发挥其在社会主义市场经济建设中的动力作用,为精准服务、精准治理提供要素支撑。相对于一审稿与二审稿的第1条,最终稿增加了“根据宪法,制定本法”,强调《个人信息保护法》与宪法的基本精神、基本理念一致,尤其是对于个人信息保护所涉及的宪法性权益予以尊重和保障。因此,《个人信息保护法》第1条所规定的“保护”和“利用”的双重目标,体现了对个人信息目的性价值和工具性价值的定位。在《个人信息保护法》第二章个人信息处理规则的第一节“一般规定”部分,第13条到第27条基本上都是对个人信息的保护。“第27条第1分句”在保护基础上强调对个人信息的利用,但在第2分句则重回保护立场,成为“一般规定”部分为数不多的利用条款。其次,该分句体现了对时代需求的回应。随着我国互联网基础设施覆盖面的日益完善,“现代经济活动、革新和增长越来越离不开数据”。相对于传统的数据收集和分析而言,大数据“是一种替代,而非补充”。它不仅是数据的汇集,还是数据之间发生“化学反应”后衍生的一种新型信息处理能力,能够“生产出具有巨大价值的商品和服务或者产生有用的洞见”。因此,个人信息汇集而成的数据信息不仅对经济发展越来越重要,而且是社会治理和国家治理必需的资源要素,为“智慧治理”奠定了坚实的物质基础。与此同时,数据也是国家数据安全、网络安全的重要内容。在“合法、正当、必要和诚信原则”的基础上处理个人信息,并将其凝聚成数据资源,是回应时代需求、促进经济发展、提升公共服务水平、增强国家与社会治理能力的重要举措。“第27条第1分句”默认信息处理者有权处理公开的个人信息,助推信息处理者对个人信息进行充分利用,为经济发展和智慧治理提供数据素材与支撑。再次,该分句体现了对个人信息所附着利益的分配。法律是在道德底线之上对利益的分配方式,任何规则背后都蕴藏着利益分配,挖掘规则背后的利益并进行公平配置,是法律的时代任务。“对于各种观点、社会运动、人们的所作所为,不管出于什么动机,应该考虑他们对谁有利,谁获益最多。这些并非愚蠢的问题。”个人信息(包括公开的个人信息)之上,总是附着着各种不同的利益,它既包括作为处理者的公开者的利益,也包括信息主体的利益,还包括潜在的后续处理者的预期利益,以及在社会治理、公共服务等方面的公共利益。这些利益既包括客观利益,如信息处理者和公众直接或间接的经济利益;也包括主观利益,如信息主体的人格利益,以及社会公众由个人信息公开所带来的直接或间接的利益。“第27条第1分句”是在考量了前述利益后从关系进路“对主体间利益互动关系进行具体界权”的尝试。之所以说这是基于关系进路,是因为立法者认识到数据在私法上确权面临理论和操作困难,在公法层面也缺乏足够的理论支撑,绕过了个人信息及数据权属界定的纷争,既没有将个人信息明确为很多学者期待并强调的属于信息主体的财产权或人格权,也没有完全采用“以社会控制论指导个人信息保护立法”,而是以动态和互动的方式处理信息主体和信息处理者之间的关系,在实现数据价值的过程中彰显互动理性与互动正义。在“知情同意”框架内,法律默认信息主体同意信息处理者对公开的个人信息的处理,同时赋予信息主体否决权,使信息主体通过享有否决权在与信息处理者的关系中感受到自己的主导地位,产生自己被礼貌对待的感觉,进而获得被尊重感和尊严感。 最后,该分句体现了对效率与公平问题的关注。受限于当前的技术发展水平、未来经济发展模式的多重可能性以及其他超出预想的因素,我们在当前仍难以断定不同的数据制度安排会产生何种社会后果,执着于“体系化”与“一揽子”的界权方案可能过分强调了人的理性,忽略了当前社会中的各种不确定性,也忽略了“试错”在法律框架和人类社会发展中的价值与意义。默认信息处理者有权处理公开的个人信息,使信息处理者能够在尊重信息主体人格尊严和自我决定的基础上最大限度地获取公开信息和数据,为挖掘数据价值、探索新的经济增长点乃至经济发展模式、进行精准服务或治理提供了前提,进而能够在广义上提升社会总体利益。与此同时,该规定赋予信息主体拒绝的权利,该权利可以与信息主体的删除权相结合,使信息主体得以在个人信息或人格被侵犯或冒犯、或可能给自己带来风险的情况下寻求救济。因此,该规定将大数据时代的风险、效率与公平问题进行合理分配,试图寻找到一个动态的平衡。
三、“第27条第1分句”作为默认规则的解释适用
(一)倾向性的“默认”与“助推”
默认规则更多地出现在合同法中,其目的如波斯纳所说:“通过提供标准合同条款来节省交易成本,否则双方必须通过明示协议采用这些条款。”设定默认规则的法律经济学基础,是法律应努力匹配各方在交易中反复讨价还价而同意的需求,进而降低交易成本,推动交易成立。正是基于这一原因,艾瑞斯(Ayres)和格纳特(Gertner)所认为的“默认条款应设置为各方希望的水平”得到学者们的高度认可。也就是说,在古典经济学的理论框架下,默认规则是对交易双方“本来想要”的条件的默示肯定。
《个人信息保护法》“第27条第1分句”力求促成合同或交易成立的目的非常清晰。它不是通过讨价还价的方式匹配当事人的意愿,而是借助行为经济学的“现状偏好”心理,通过默示同意规则力图促成合同。如果说古典经济学框架下默认规则将交易双方“本来想要”的条件以默示同意的方式加以规定,那么“第27条第1分句”则超越了“本来想要或本来不想要”的模式,将“可以接受”(不反对)与“不愿接受但懒得反对”(反对需要付出成本,当事人不愿承担反对成本)都推定为同意。因此,该分句将“本来想要”的默认扩展至“无所谓要不要”的默认和“本来不想要但懒得反对”的默认,其逻辑基础也从古典经济学框架下“力求降低双方的交易成本促成合同”变为“在不降低信息处理者成本的前提下,通过提高信息主体的拒绝成本促成合同”。在这个意义上,“第27条第1分句”更像是一种均衡诱导型默认规则,即一方可以观察到另一方无法观察到的数据信息,在这一不完整和不对称的信息结构中,一方利用另一方怠于改变现状的心理促成合同。因此,这里的默认,是一种倾向性默认,即提高信息主体不同意的成本,推动或促进其同意,进而使信息处理者能够处理更多个人信息,达到“促进个人信息合理利用”的目的。
由此可见,“第27条第1分句”的默认规则是一种倾向性的默认。它更多地表现为公权力机关预先设定的助推,在尊重个人自治与选择的前提下,通过规则设置助推交易或合同的成立,在整体上降低社会交易成本,保护信息处理者的经济利益及与之相关的公共利益(税收和社会治理、国家治理等方面的利益)。作为一种倾向性的制度安排,公权力机关需要在人的完全理性与有限理性、介入的方式与分寸、信息处理者与信息主体的利益以及公共利益之间徘徊和游走,寻求一个平衡点。
这种倾向性的默认,是落实和践行“兼顾”内容的方式。《个人信息保护法》第1条体现了“保护”为首,兼顾“规范”和“促进”的立法目的。无论是《民法典》还是《个人信息保护法》都没有将个人信息界定为个人信息权,而是将其界定为“个人信息权益”,这实际上是在个人信息属性不确定的状态下对个人信息保护与利用兼顾的体现,既要“保护”,也要兼顾“规范”和“促进”;前者体现了个人信息的“权利”属性,后者则体现了个人信息的“利益”属性。鉴于当前学界对个人信息的权利属性认识分歧较大,立法应采用涵盖面更广、内容更丰富的表述对个人信息进行保护,待共识形成、时机成熟时,再对该表述进行修正。因此,立法者在《民法典》《个人信息保护法》中采用了稳健的“个人信息权益”表述。与此同时,个人信息还具有公益属性,无论是对于信息处理者的经济利益、社会总体经济利益还是对于公权力机关在社会治理、国家治理中的公共利益,都会产生积极作用。鉴于此,个人信息保护的制度安排,既要尊重个人自治与自主决定,又要“促进个人信息合理利用”,还要在价值冲突之间寻求巧妙的平衡。“第27条第1分句”通过默认规则倾向性地助推信息主体“默认”同意信息处理者的制度安排,既尊重了信息主体的知情同意,又给社会总体福利和公共利益的提升留出了空间。
(二)“默认”规则下的“知情同意”
“第27第1分句”是一种基于知情同意框架,在尊重个体自治和自我决定权的前提下力求消除或降低权利粘性的默认规则。这里的权利粘性是指由于权利主体对自身权利、利益的理性或非理性坚持,也由于国家宏观制度对权利确认与设置的片面化、刚性化,不同层面的权利主体围绕空间、物品、财富等权利对象所形成的一种相互纠缠、胶着、无法改变与推进的状态。在这种相互纠缠、胶着的状态下,所有主体的权利都无法进一步改善。“第27条第1分句”推定信息主体同意信息处理者处理公开的个人信息,力图消除信息处理者与信息主体之间的权益纠纷,在尊重个人选择的基础上,尽可能地促进个人信息的流通与利用。无论信息主体是完全理性的还是有限理性的,同意或者拒绝信息处理者处理公开的个人信息,法律制度的设计都是建构在知情同意架构之上,立足《个人信息保护法》“保护”为首、兼顾“利用”的基本目标。
《个人信息保护法》第13条确立了以知情同意为核心的“个人控制”模式,由此锁定了整部法律的“保护”基调并围绕它制定了一系列原则与规则。这种以保护为基调的个人信息保护制度是对我国现有规范体系、个人信息保护的国际潮流趋势的时代性回应。一方面,以知情同意为核心的个人信息保护制度是对我国现有规范与制度的路径依赖。我国公法和私法框架均以基于自治和自我决定的知情同意理念基础,并通过相关条款体现在公法领域,如《执业医师法》第26条、《医疗事故处理条例》第11条、《医疗机构管理条例》第33条等条款都明确规定了患者知情同意制度。在私法领域,《民法典》延续了《侵权责任法》对患者知情同意的规定,但采用了“具体”一词对医务人员的说明义务进行限定,并将“书面同意”变更为“明确同意”。在个人信息保护领域,2012年全国人大常委会通过《关于加强网络信息保护的决定》,首次在电子个人信息领域确立了知情同意的制度架构;此后的《网络安全法》《民法典》《个人信息保护法》在个人信息保护上均延续知情同意的制度安排。由此可见,公私法领域形成了一种对知情同意具有延续性的路径依赖。虽然有学者在学理上探讨了超越知情同意的可能性,但无论是“社会控制”“回应型治理”还是“场景理论”“公平信息实践”理论,都缺乏体系化的制度应对。在没有更好的学理支撑、制度模式的情况下,面对现实的具体问题,延续原有的思路和方法,是一种稳健的应对之策。在法律制度方面,该现状则体现为一种较为明显的知情同意制度惯性与路径依赖。另一方面,设置以知情同意为核心的个人信息保护制度是“与国际接轨”“对接国际个人信息保护潮流趋势”的需要。时至今日,“与国际接轨”的思潮虽然不再如以往那般泛滥,但制度自信并不意味着缺乏反思性研究、无视国际上广为存在的制度,反而意味着在坚持主体性的前提下进行平视性的比较研究。在经济全球化背景下,合规要求也使跨国企业无法回避域外制度。从1981年《关于自动处理个人数据的个人保护公约》到2007年《欧盟基本权利宪章》,直至2016年《通用数据保护条例》,欧盟反复重申知情同意制度。相对于欧洲在人的尊严理念下对个人信息进行保护,美国对个人信息的保护更多是在信息隐私理念下通过行政规制实现,私人之间的信息处理行为主要通过市场机制进行,以实现个体福利的最大化,而经由市场流转的个人信息需要消费者对信息处理行为表示“同意”。
如果说知情同意框架及与之相关的“个人控制”模式是《个人信息保护法》的基本架构,那么“第27条第1分句”则是力求突破“个人控制”模式,努力拓展信息处理者自主处理个人信息空间的一种尝试。“第27条第1分句”将推定信息主体同意处理个人信息设置为默认规则,处于现状偏好中的信息主体倾向于坚持该默认规则,由此既实现了个人信息保护中的知情同意,又能使信息主体的选择偏向于特定的方向,促成个人信息的合理利用。但该分句所承载的知情同意又超出了理性人架构下的“个人控制”模式,兼顾了信息主体的有限理性,通过国家介入的方式以默认规则的设置促进个人信息的合理利用,发挥个人信息在商业运作、制度创新、公共管理等方面的价值。
(三)“助推”规则中的“公开”与“明确”
任何权利或权益诉求,要么可以从自然法中寻找到理论依据,要么可以从风俗与习惯中寻找到诉求根源。这些诉求若要得到法律的尊重和保障,则需要法律的支撑。这一支撑既可以来自法律文本所指向的明确而清晰的表达,也可以来自对法律文本的解释。而对法律文本的理解与解释,需要眼光在文本与现实之间往返流转,寻找到恰切的衔接点。远离文本,会使解释偏离“初心”;罔顾现实,则会使解释游离无根而成为自娱自乐的文字游戏。在事实向着规范与规范向着事实靠拢和对接的过程中,二者逐渐融入彼此,在事实与规范“同时履行”的过程中实现规范与现实的融合。对“第27条第1分句”的理解与解释,一方面需要将规范融入生活、将生活融入规范,另一方面需要立足于规则所在法律的立法目的与原则,以“保护”为首要目的,兼顾“规范”和“促进”。基于此,“第27条第1分句”中的关键词“公开”“明确”需要进一步廓清其内涵。“公开”的个人信息分为“个人自行公开”和“其他已经合法公开”的个人信息。如果说“其他已经合法公开”的信息因与公权力机关的行为直接关联而相对容易确定,那么何种信息为“个人自行公开”则可能存在分歧。或许有人认为,个人在公共场合所展示或扩散的,或个人向不特定复数人展示或告知的个人信息,均属于个人自行公开的个人信息,信息处理者有权在合理范围内进行处理。这种理解固然有其合理之处,基本符合人们常态下的直觉,但仍有进一步讨论的空间。正如隐私是一系列复杂的规范、期待和欲望的聚合,公共场所与个人隐私亦不是非此即彼的二元对立关系,在公共场所依然有个人隐私存在的空间,个人信息的“公开”与公共场所也并非完美契合的同一关系,不因“公共”而一定成为“公开”的信息。比如,虽然学生宿舍由于有四到八个学生而成为一种准公共场所,至少不是一个完全私密的空间,但是大学生在宿舍夜谈中涉及的个人信息仍难以被完全认定为“公开”的个人信息,因其中很多内容未必是当事人或言说者所认为“公开”的或乐于被其他人知晓的。正如“人的本质不是单个人所固有的抽象物,在其现实性上,它是一切社会关系的总和”,每个人都是其所身处情境中各种社会规范所塑造的人的形象的总和,在人与人的连接与互动关系中建构自身形象。个人信息是否被认定为“公开”,取决于个人信息所处的空间范围、社会情境及相关社会规范。因此,即便在某个范围和情境内人尽皆知的个人信息,“出圈”后未必具有识别性,也难以称得上是“公开”的个人信息。当然,对于哪些是个人自行公开的个人信息,其确定标准不是一蹴而就或一刀切式的,而是处于一个“情境论”的意义上的。在纠纷发生时,需要裁判者借助生活经验对其进行个案认定。比如,同样是微信朋友圈发布的个人信息,如果一个人是商品推销人员,勤于、乐于添加各色人群,则他在朋友圈公布的个人信息基本上可以认定为自行公开的个人信息;如果一个人将朋友圈可见范围设置得很狭窄,仅限于家庭成员或部分关系密切的友人同事,那么他在朋友圈公布的个人信息就不宜认定为“公开”的个人信息,信息处理者无权处理该个人信息。因此,“公开”的判断标准不是一个逻辑问题,而是一个经验问题。
在对个人自行公开的个人信息进行限缩理解后,我们仍面临着如何应对“公开”的个人信息(包括自行公开和法定公开)被信息主体“明确”拒绝的问题。“第27条第1分句”所规定的“明确”拒绝的权利可以与第47条的删除权相结合,成为信息主体享有的一种补救性权利。信息主体不仅有权要求信息处理者删除个人自行公开的个人信息,还有权要求删除某些法定公开的个人信息——只要这些公开信息符合第47条的规定。对于个人自行公开的个人信息,信息主体在“公开”个人信息时默许信息处理者在合理范围内处理,二者之间形成了一种基于知情同意的合约,信息处理者基于个人同意开展个人信息处理活动。当信息主体“明确”拒绝时,其相当于“个人撤回同意”,除非信息处理者有其他合法性事由,否则信息处理者的个人信息处理活动就不再具有合法性基础。信息主体“明确”拒绝时,可以要求信息处理者删除相关个人信息,也可以仅明确拒绝处理公开的个人信息但不要求删除,由信息处理者根据具体情况决定删除个人信息还是停止除存储和必要安保措施外的处理。如个人在微博上分享的照片、文字和视频等,第三方平台可以在合理范围内利用该信息,如果个人明确表示拒绝并要求删除该信息,则微博和第三方平台应当删除该个人信息。
对于某些法定公开的个人信息,删除有时确实有其现实意义与必要性,如失信人在一定时间段内履行相关义务,不再是失信被执行人时,删除法定公开的个人信息可以使其重新出发,不至于让这些信息成为特定人的“红字”。但是,是否只要信息主体“明确”拒绝,法定公开的个人信息就一定被删除?“汇法网”案和“启信宝”案给了我们不同的答案。抛开对这两个案件的臧否,倘若其中一个案例或两者都被最高人民法院确定为指导性案例,或者其他与个人信息相关的刑事或公益诉讼案例被最高人民检察院确定为指导性案例,在信息主体明确拒绝的情况下,作为个人信息处理者的最高人民法院或最高人民检察院,是否应停止确认其为指导性案例?又比如,法学教师在教学科研工作中总会引用、评议某些案例,这些案例将不可避免地涉及当事人因法定事由而被公开的个人信息,如果信息主体明确拒绝,是否意味着法学教师不能“处理”该个人信息并进行案例教学?如果是,这意味着学术研究自由和司法机关履行法定职责都将会受到信息主体明确拒绝的影响。
此时,我们可以尝试从《个人信息保护法》第13条和第47条中寻找对法定公开个人信息进行处理的制度罅隙。对于信息主体明确拒绝且要求删除的,如当事人在“汇法网”案和“启信宝”案的诉求,信息处理者首先应当检视信息主体的删除诉求是否符合《个人信息保护法》第47条第1款所列举的法定情形,如果不符合,信息处理者可以直接拒绝信息主体的删除请求。在符合删除权的法定情形下,若信息处理者具有正当理由,则其仍可以拒绝信息主体的删除请求。《个人信息保护法》第47条第2款列举了两种拒绝删除的正当性事由,即“法律、行政法规规定的保存期限未届满”与“删除个人信息从技术上难以实现”,但要求信息处理者停止除存储和采取必要的安全措施之外的处理。《个人信息保护法》第13条在个人同意之外,列举了六种无须个人同意即可处理个人信息的情形,这些情形构成信息处理者拒绝信息主体的“明确”拒绝的正当性事由,即使信息主体“明确”拒绝,信息处理者仍有权继续处理公开的个人信息。因此,如果我们把法定公开的个人信息理解为第13条第2项至第7项和第47条规定情形的个人信息,以上问题可以迎刃而解。
对“明确”的理解和认知,需要从广泛到具体,从公示到特定。如果不把“明确”拒绝理解为笼统的、总括性的、一揽子的、针对不特定多数人的拒绝,而是将其解释为一事一拒绝的、针对特定事项特定情况特定机构特定人士的拒绝,那么诸如在信息主体通过微博或微信甚至登报公开表示拒绝一切公开个人信息处理行为的情况下,相关声明就不被视为一种“明确”的拒绝。将“明确”解释为具体指向的、针对性的、非“公示”性的“明确”,实质上是通过增加信息主体的拒绝成本,使具有正外部性的个人信息处理者的处理行为得以存续。在现状偏好的作用下,信息主体往往青睐并依赖于默认规则,有时即使认识到默示同意信息处理者对公开个人信息的处理可能给自身带来过多的生活成本或风险,但在拒绝成本、认知惰性等因素下仍可能选择不拒绝,同意信息处理者对公开个人信息的处理,由此有利于“个人信息合理利用”。
结语
“第27条第1分句”是一项基于知情同意的默认规则。作为一项默认规则,它具有双重功能:一是信号功能。立法者明确了该规则的表述,许多人认为立法者的此类举动在给予他们某种隐含的建议,因而一般不会偏离默认规则而选择明确拒绝。二是偏好塑造功能。作为一项默认规则,“第27条第1分句”可以帮助人们确立他们的偏好,让他们知道自己想要什么,甚至能够在此基础上创造人们的偏好。“第27条第1分句”推定信息主体同意信息处理者处理公开的个人信息,该规定一方面释放出立法者意图促进个人信息合理利用的信号,另一方面能够培养人们对公开个人信息的行为偏好,形成一种制度粘性,除非他们有明确的偏好或绝对可靠的私人信息,否则不会明确拒绝默认规则。《个人信息保护法》第27条第1分句通过主张默认规则应受制于“合法公开”“在合理的范围内处理”以及个人享有重新拒绝权之适用的限定,提供了解决信息权隐患的法律方案。
《个人信息保护法》以“保护个人信息”为首要任务,兼容“规范”与“促进”之功能,由此建构起以知情同意为核心的个人信息保护规则与制度,而“第27条第1分句”则是为数不多的促进个人信息合理利用的条款。公开的个人信息能够为不特定的第三人所访问,对此类信息的保护无论是在保护强度还是保护密度方面,都明显弱于非公开的个人信息,“第27条第1分句”将信息主体同意信息处理者处理公开的个人信息设置为默认规则,更能发挥公开的个人信息在经济发展、社会治理与公共服务等方面的价值与效用,通过将个人信息汇聚成数据资源,才能最大限度地释放数据信息的价值,推动数字经济的发展与智能社会的构建。需要指出和重申的是,行为经济学的研究视角是建立在有限理性人基础之上的。它尊重人性,维护人的尊严,通过行为经济学理论的助推,引导人们做出更有利于自身利益和公共利益的行为。在推动数字化社会与智能社会构建方面,我们尤其要注意基于人性和主观权利需求的向度。数字化社会的法治目标是建构一个保障人性尊严、尊重每一个人,推动实现社会主体幸福的“至善”社会,而非仅仅立足于利益化视角或者如韦伯所讲的一个牢笼化的“理性的社会”。
(本文责任编辑 马治选)
因篇幅限制,略去原文注释及参考文献。
编辑:寇 蓉 孙禹杰 刘晨曦
审核:马治选
签发:杨建军