高富平:個人信息使用的合法性基礎

原創 高富平 上海市法學會

高富平 華東政法大學法律學院教授。

內容摘要

根據現行我國個人信息相關立法，知情同意是個人信息收集和使用的普遍前提。通過對個人信息需要保護的利益分析，我們發現，個人信息上不僅附著了信息主體的人格尊嚴和自由利益，個人信息使用者的利益和公共利益也是個人信息法律制度需要保護的重要利益。基於此，本文認為，知情同意不是且不應成為個人信息處理的唯一合法性基礎，在個人信息保護法制定中應首先明確個人信息上的利益，然後根據個人信息上的利益之間的平衡建構個人信息使用的使用規則，建立多元的合法性基礎。

關鍵詞：個人信息 知情同意 合法性基礎 個人信息保護法

//

一、引言：我國個人信息使用規範

//

個人信息是社會交往、社會治理的工具，也是數據經濟時代的資源。因此，規範個人信息使用行為，保護個人權利，促進個人信息的使用成為個人信息保護法的重要使命。在個人信息保護法中，往往以個人信息處理來涵蓋個人信息收集、使用、流通、刪除、銷毀等行為，處理關於個人的信息所依據的正當的法律理由，被稱為個人信息處理的合法性基礎。

2012年12月28日全國人民代表大會常務委員會通過的《關於加強網絡信息保護的決定》（以下簡稱：《決定》）首次在法律層面將信息主體的「同意」作為我國個人信息處理的合法性基礎。

緊隨其後，2013年修訂的《中華人民共和國消費者權益保護法》（以下簡稱：《消費者權益保護法》）和2016年頒布的《中華人民共和國網絡安全法》（以下簡稱：《網絡安全法》）進一步將「同意」之合法性基礎延伸至消費者保護和網絡安全領域，基本覆蓋了與個人有關的絕大多數生活場景的個人數據處理。

至此，同意成為我國個人信息處理最為重要的合法性基礎之一。

無論是《決定》，還是《消費者權益保護法》《網絡安全法》中有關個人信息處理的規定，都主要是基於數字時代背景下個人信息收集、使用的場景，從保護個人信息上的個人利益的角度出發確立的規則。《決定》頒布以前，有關個人信息的法律規則主要集中於規制個人信息的公開或洩露所導致對個人權益的損害。如《統計法》第25條規定：「統計調查中獲得的能夠識別或者推斷單個統計調查對象身份的資料，任何單位和個人不得對外提供、洩露，不得用於統計以外的目的。」這導致《最高人民法院關於審理網絡侵權民事案件若干問題的規定》（以下簡稱：《審理網絡侵權案件司法解釋》）解釋我國個人信息侵權的民事責任規則時也將自然人的個人隱私或其他個人信息的加害行為定位於公開，同時明確了例外情形。《決定》雖然著眼於規範網絡服務提供者和其他企業事業單位在業務活動中收集、使用（處理行為的核心）公民個人電子信息的行為，但並未全面考慮個人信息合法使用的法律基礎，後來的幾部法律也沒有突破。甚至《民法總則》也只是在第111條宣布「自然人的個人信息受法律保護」，並未就如何合法處理個人信息作出詳細規定。

（圖片來源於智慧財產權報）

由此可見，我國現行法律體系下的個人信息公開規則相對較為完善。但該等規則不能直接作為個人信息處理，尤其是個人信息收集、使用的合法性基礎。在許多情形下，公開對個人權益是有害的，這種有害性不僅僅可能對個人尊嚴、自由，尤其隱私帶來侵害，更重要的是給個人帶來人身或財產安全風險。但是，個人信息的使用（比如，最為典型的個性特徵分析）並不見得有害。這也就意味著，「同意」被錯配到個人信息使用，幾乎成為絕大多數場景下個人信息處理所依賴的合法性基礎。

然而，隨著數據處理技術的發展和網際網路的不斷普及，我國現行合法性基礎立法模式遭遇了理論與現實的雙重困境，知情同意規則之存廢爭議不止。筆者認為，關鍵不在於同意之存廢，而在於立法上以同意為核心的個人信息處理合法性基礎規則確已無法適應時代的發展和需求。

事實上，作為個人信息處理最基礎的同意規則，具有協調和平衡個人利益保護和信息利用的重要作用，仍然應當發揮應有的作用。但現行立法模式使得「同意」成為實踐中個人信息處理首選的合法性基礎，甚至成為個人信息處理的「避風港」。

因此，本文立足於個人信息保護的宗旨，分析數據上存在的合法利益，以維護數據上的合法利益保護作為個人信息處理的正當性或合法性基礎，以期釐清個人信息處理合法性基礎之本旨，為正當在制定的個人信息保護法提供參考。

//

二、個人信息上的利益識別

//

數據存儲和計算領域的技術突破使得數據的價值被再次發現，數據因而被廣泛運用於商業、公共管理、科研等各個方面，儼然成為了現代社會的重要資源。因此，較於以往而言，個人信息在現代社會中所附著的利益更加豐富。具體而言，個人信息保護領域中的利益涉及兩個方面、三種利益，即個人信息本身所附著的信息主體的個人利益，以及與個人信息處理緊密結合的信息使用者（數據控制者）的利益和公共利益。

//

（一）信息主體的利益：人格尊嚴與自由

//

國際社會立法關於個人信息的定義並不完全統一，但均無一例外地強調個人信息的「可識別性」。

可識別性意味著個人信息一定指向特定信息主體（在歐洲立法中稱為數據主體），能夠反映特定信息主體的身份、狀態、行為軌跡等；通過對個人信息的進一步分析，還可以反映出特定信息主體的個性特徵等。

由此可見，個人信息是關於或指向個人的信息，或者與個人有聯繫的信息，甚至將個人信息視為主體（人）的組成部分，因而不能像對待客體（object）那樣隨意處理個人信息。

之所以對個人信息加以保護，就是因為信息上存在主體，需要對信息主體權利或主體利益加以保護。所謂的主體權利，是指人作為主體應得到尊重、應自主決定、平等對待（屬於公民基本權利範圍），在私法層面為個人人格利益。正是個人信息與主體的勾聯性，要求任何人在處理個人信息（收集和使用）時尊重個人人格尊嚴和自由，防範個人信息處理對個人主體權益造成威脅和侵犯。個人人格尊嚴和自由的保護成為個人信息保護最重要的方面之一。

聯合國1948年發布的《世界人權宣言》第12條被普遍視作保護個人信息的法律淵源。也就是說，個人信息保護源自於對個人私生活的尊重和個人事務自決（自由）原則。國際社會個人信息保護立法基本遵循該原則，只是歐洲立法強調人的尊嚴，而美國立法則強調個人自由（美國隱私權的基本含義）。

「人的尊嚴」源自於人應當被獨立、平等、有尊嚴地對待的普世價值觀。在法律上，我們往往將其具體化為特定法益，如「獨立」「自由」「平等」。這些法益還會衍生出不同的表述，比如「人格獨立和自由」也被表述為「個人自治」。個人自治是指「對人的行為能力（成熟的或未成熟的）的一種複雜假設，該能力確保人可以發展並且按照高層次的行動規劃，即嚴以律己的目標，來選擇自己的人生及生活方式。」個人自治蘊含著一個人能夠自行做出決定並明確其內心意願的能力，即個人行為自治，具體指個人能夠在精神上自由地作出有意識的選擇（內在自由），並且不受來自外界阻礙其自由獨立地作出選擇的限制。這就涉及到自治的兩個方面——選擇自由和行為自由。由此可見，獨立、自治、自由相互關聯，核心是個人意志自由。

人的尊嚴的另一重要內涵是「平等」。平等的基本含義是每個人被視為獨立人格而同等對待。平等往往與不歧視聯繫在一起，平等和不歧視不僅是一項法律的基本原則還是人的一項基本權利。在國際法層面，平等主要強調不得因種族、膚色、性別、語言、宗教、民族等因素對公民進行區別對待；而在國內法層面，主要強調法律面前人人平等，確保人人能夠平等地行使法律權利，防止公民在政治、經濟、文化及生活各方面的權利受到歧視。

個人尊嚴、自由和平等被認為是人的基本價值，因而這些權利的保護被表述為人基本權利或人權。而個人信息是關於主體的，無論基於尊嚴，還是自由或自治，個人信息的處理都應當尊重個人的選擇或意思，由此個人信息被認為是關係個人尊嚴或自由的，應當基於對人的基本權利保護，而保護個人信息。歐洲立法基本上延續了這樣的傳統，將個人信息保護作為基本人權來保護。如歐洲委員會1981年通過了世界上第一部有關個人信息保護的國際公約《個人數據自動化處理中的個人保護公約》（以下簡稱：《108公約》），第1條明確規定其目的在於保護個人權利和基本自由（尤其是隱私權）。甚至《歐盟基本人權憲章》第8條明確地將「個人數據保護權」作為一項獨立的基本權利加以保護：「人人有權保護涉及自身的個人數據」。歐盟1995年《數據保護指令》及 2016年《統一數據保護條例》也都將保護自然人的基本權利和自由作為其立法基本宗旨。

在確定個人信息上主體權益保護時，我們必須注意法律術語的差異。個人信息上的主體權益是一個寬泛概念，不同國家或區域受法律傳統的影響有不同的表達。在英美法系，尤其以美國為代表，一切與人有關的權益保護均落入「privacy」(隱私)範疇，因而個人信息保護也納入隱私保護，被稱為信息隱私。這樣，在許多英文文獻和法律文件中所講到個人信息保護即等同於個人信息上的隱私利益保護。但是在歐洲，個人數據保護被視為對個人數據上基本權利（個人數據保護權）的保護，納入基本權利保護法體系，而在該法律體系不直接保護隱私利益。在大陸法體系中，隱私基本上是私法上的人格利益範疇（在一些國家，被類型化為隱私權），至少包括私密生活信息不被擅自公開和個人生活空間不被侵擾兩個方面。單就前者而言，個人數據保護與隱私保護存在交叉，因為越私密性的信息，越具有識別性，具有隱私利益的數據（隱私信息）落入個人數據範圍。因此，個人數據保護法中也包括隱私保護，尤其是體現在使用個人數據不識別個人、不洩露或公開個人數據的規範上。可以說，個人數據保密和安全規範既保護寬泛的個人數據安全，也是保護個人數據中內涵的隱私安全。但是，總體上，歐洲的個人數據保護法，區分出了個人數據上的主體利益與隱私利益，分別在不同的法律體系下加以規範。對此詳盡論證已超出本文目的，在此僅對二者的區別作簡要列表如下。

從我國遵循大陸法傳統的角度，我國宜採隱私與個人信息保護分立體制，而且《民法總則》在具體人格權（包括隱私權）之外規定個人信息受保護也充分證明了這一點。不過，這並不妨礙在個人信息保護法中對個人隱私利益加以保護，設置一些條款保護隱私，比如設置同意要件等。只是我國個人信息保護旨在保護個人信息哪些主體利益有待進一步明確。在這方面，筆者的建議是借鑑歐洲立法， 將個人主體利益限定在尊嚴、自由和平等一般人格利益上。本文對此不再贅述。

//

（二）信息使用者利益

//

個人信息不僅關係個人權益，而且也關係他人的利益，包括自然人、法人和其他組織的利益。這是因為個人信息具有社會性、工具性、功能性。個人信息是社會交往和社會運行的必要工具或媒介。個人需要運用一些信息標識其為社會中的某個人，而社會也需要利用信息來識別某個特定個人。

首先，個人需要利用可以識別自己的符號，向社會推介、展示自己，需要利用它開展各種活動，將活動結果歸屬於其本人。在這一過程中，個人信息必然要被提供、披露，為其他主體所掌握。

其次，從社會的角度出發，社會也需要利用個人提供的個人信息和散落於各處的、可被搜集掌握到的有關個人信息來了解、判斷某個人。前者是個人（信息主體）主動利用個人信息的過程，後者則是由社會主體（收集和使用個人數據的主體）對來源於個人的信息進行收集和使用。

在網絡與數位化普及之前，個人也會不經意提供或披露一些信息在社會，但可再利用的數據較少。如今，無處不在的網絡使我們時時處處不留下「蛛絲馬跡」。隨處可見的傳感器、智能設備無時不記錄下我們的行蹤軌跡，因而大大增加了利用個人信息分析和識別個人的可能性。甚至，我們自己反而成為最不了解自己的人，而是這些收集我們信息的主體為我們作出了精準的個人畫像（profile）。

由於個人信息是社會交往和社會運營的工具，因而在個人信息保護法框架下，任何主體（包括自然人、法人和其他組織）均可以是個人信息的使用者。一旦社會主體收集和使用個人信息就事實上控制個人信息，因而被稱為數據控制者。我們保護數據控制者的利益就是保護控制者使用個人信息的利益，由於任何主體都需要使用個人信息，都可能成為數據控制者，因而對數據控制者利益的保護實質上是對社會利益的保護。

個人信息保護法律制度不僅要保護個人信息上個人的權益，同時也要保護個人信息的合法利用和流通，保護使用者利益，這是數據時代的趨勢和要求。在我們強調要保護個人信息上個人權益時，我們必須要指明這一點。社會中的主體，包括個人、企業、政府或其他任何合法組織，均有權利用基於特定目的合法收集的個人信息服務與該目的相關的特定活動，或基於法律之規定，利用該信息從事其他行為，如依法定程序向偵查機關提供相關個人信息。個人信息使用者（數據控制者，二者等同使用），尤其是企業、政府和其他組織，在使用個人信息實現自身利益的同時，也會直接或間接增進社會福祉。因此，必須承認個人信息使用者合法利用個人信息的權利，我們不妨稱之為個人信息使用者權益。個人信息使用者的合法權益因所從事合法活動所追求的利益又有所不同。

對於企業而言，個人信息是創新和營銷的資源，構成其核心競爭力。個人信息是支撐個人性化服務、個性化定製、智能化製造等的基礎，是垂直經濟、平臺經濟、線上與線下融合經濟等商業創新的靈魂。因而個人信息被視為競爭資源、企業的新資產。由此，企業產生了對個人信息收集、利用和流通的需求，這一需求的驅動力則在於企業實現其商業利益的追求。此外，企業依託個人信息實現其自身商業利益的同時，還有利於增進消費者的福祉，並對促進國家經濟結構調整，增強綜合國力具有重要作用。

對於政府機構而言，政府機構利用個人信息可以提升公共行政效率，改善公共服務，提升治理能力，實現精準服務、精準監管，建設智慧城市。個人信息越來越成為政府機構進行公共管理和公共服務的基礎資源。政府機構在收集和使用公民個人信息時，其也是個人信息使用者。基於政府機構在性質和職能上的特殊性，政府機構作為個人信息使用者處理公民個人信息的目的可大致分為兩類：第一，為實現法律所規定的職責或事務之目的，如為人口普查、刑事偵查所必要進行個人信息收集或使用；第二，非基於法定職責或事由，如為提供便民服務收集或使用個人信息。前者通常具有公共性，並基於法律明文規定而上升為公共利益；後者則並不具有公共性，基於後者的個人信息收集或使用所需遵循的規範應與企業為實現商業目的所進行的個人信息處理類似。

個人信息很大程度上是諸多科研活動的基本素材。科學研究是人類社會發展進步的重要動力，尤其是高校、醫院等非營利性機構所開展的科研活動。基於科研目的收集或使用公民個人信息（在不侵害個人權益的前提下進行）在實現科學研究者創新目的並給研究者帶來經濟利益的同時，也有利於推動科學技術進步和社會發展，進而增進國民乃至全人類福祉。這也是歐盟《通用數據保護條例》對「基於科學或歷史研究目的、統計目的」的信息處理行為進行特別規定，並容忍降低對此類信息處理行為的要求的原因。因此，在面對社會整體利益時，個人信息保護的權利應當受到合理的限制。

促進和保障個人信息的使用是發展數字經濟，釋放數據紅利的前提。所謂大數據「紅利」，即特指給了人們分析特定對象（既包括人，也包括物、組織）行為（或軌跡）、屬性、特徵等的新能力，本質上就是個人信息給整個社會帶來的紅利。

因而，搭建個人信息保護制度應當建立在保障個人信息能夠被社會化利用的基礎之上；促進個人信息社會價值的實現，成為個人信息保護法的重要目的。

這裡的社會利益即是通過個人信息為各個社會主體的使用而實現的，信息使用者在利用個人信息的過程促成了社會利益的實現。沒有個人信息的使用，智能製造、個人性化定製等服務、普惠金融、人工智慧產業應用等都不可能實現。個人信息應用所帶來的科學進步、商業創新和經濟發展即代表了個人信息的社會利益。

因此，信息使用者紅利也是社會紅利，對信息使用者利益的保護本質上是對社會整體利益的保護。

由此可見，在大數據背景下，信息使用者對於個人信息的收集、利用和流通具有正當性。因而，在法律層面上，尤其要注重個人信息使用者的利益保護問題。個人信息保護在保護信息主體人格尊嚴和自由的同時，還要促進和保護個人信息的合理收集、利用和流通，以實現個人信息在現代社會應有的價值。保障個人信息的合理利用和流通也被國際社會視為個人信息保護立法宗旨之一，歐盟2016年《通用數據保護條例》就將個人信息的自由流通作為與自然人權利保護同等重要的目標。

//

（三）公共利益

//

公共利益是指不特定人可以享受的利益，也是社會公共秩序所維護的利益。終端設備、網際網路的普及加上數據存儲和運算技術的發展使得人類活動愈發趨向數位化，進而使得個人信息成為社會運行的基礎資源。

因此，除個人信息使用者自身的利益外，個人信息收集、使用或流通行為還可能基於公共利益而發生。在遇到公共利益時，個人應當部分犧牲個人利益或讓渡私權。

這主要體現在兩個方面：

其一，在涉及公眾知情權時，相關人員（包括公務員和其他公眾人物）應當披露需要公開的個人信息，其個人隱私保護應當受到一定的限制。此時個人信息的披露、公開和使用是合理正當的，也應當為法律所支持。

其二，為了公共安全、公共秩序、社會治理等需要，政府在實施公共管理和執行法律時，可以不經個人同意收集、使用公民個人信息。在這種情形下，個人信息處理行為是實現公共管理的手段。

在公共管理領域，公安機關在公民申領身份證時收集公民必要身份信息屬於典型的基於公共利益收集個人信息。根據《中華人民共和國身份證法》（以下簡稱《身份證法》），年滿16周歲的中國公民具有申領身份證的義務。在申領身份證時，公安機關必須收集申領者的姓名、性別、民族、出生日期、常住戶口所在地住址及指紋信息。身份證制度是國家維護個人利益和公共秩序的重要途徑，具有明顯的公共利益屬性，且已經《身份證法》確認。又如，在刑事偵查階段，偵查機關經批准後可實施相應的偵查技術措施以獲取為偵查、起訴或審判所必要的信息。刑事偵查是國家打擊違法犯罪行為，維護公共管理秩序的重要手段，同樣具有公共利益屬性。顯然，基於辦理身份證件或刑事偵查之目的收集或使用公民個人信息並非基於個人信息使用人自身的利益，相關工作人員僅是基於法律的規定履行其法定職責，其活動最終指向的均為公共利益。可見，公共利益也是個人信息保護領域所涉重要利益之一，公共利益的實現也要求個人信息保護制度促進和保護個人信息的收集、利用和流通。

記錄個人信用狀況的信息屬於個人信息，但其具有強烈的公共性，是我國社會信用體系建設的重要組成部分。為了加快我國社會誠信體系，我國許多省市均建立了公共信用信息歸集和使用制度，凡是行政機關、司法機關、法律法規授權的具有管理公共事務職能的組織以及公共企事業單位等，在其履行職責、提供服務過程中產生或者獲取的，可用於識別自然人、法人和其他組織(以下統稱：信息主體)信用狀況的數據和資料，均可以不經個人信息主體的同意而收集並建設統一的平臺，供社會查詢使用。在這些公共信用信息中包括各種欠繳稅款、行政處罰、乘車逃票、考試作弊等失信信息。公共信用信息的歸集和使用充分體現了個人信息的公共利益屬性。

總之，個人信息的價值和利益具有多元性。個人信息來源於或關於個人使其本身附著了信息主體的人格尊嚴和自由利益，個人信息所具有的社會價值又催生了信息使用者（包括個人、企業、公共機構等）的利益。此外，為實現公共利益所必要時，個人又必須讓渡個人信息上其自身的部分或全部權利，以保障公共利益的實現。因而，個人信息具有個人價值、使用者利益（社會利益）和公共價值，個人信息承載著個人利益、社會利益和公共利益，個人信息的保護必須恰當考慮三重價值和利益的實現，才能構建合理正當的個人信息處理法律基礎。

//

三、個人信息處理合法性基礎的構建

//

個人信息承載的利益多元性決定了個人信息的使用就不完全是個人「說了算」，個人信息的使用規則應當是全面平衡個人利益、使用者利益和公共利益，使每種個人信息的使用行為具有法律上的正當性。為此，法律需要按照這樣的基本原則區分個人信息的使用場景，構建多元的個人信息處理合法性基礎規則，使每種個人信息的收集和使用都具有法律上的正當性。針對我國存在的問題，這裡從同意是否應當作為一般規則和多元利益的具體化兩個角度來論述我國個人信息使用合法性基礎的構建。

//

（一）同意不是且不應成為個人信息使用的一般規則

//

《消費者權益保護法》和《網絡安全法》都將「知情同意」作為個人信息收集、使用的必要條件。據此，一般情況下，經營者或網絡運營者處理個人信息必須獲得消費者或被收集者的同意。這樣的立法邏輯近乎使得「同意」成為了我國個人信息使用的一般規則。同意規則的一般化的法律效果是，個人信息的使用由個人決定，個人信息成為由個人支配的客體，形成所謂的個人信息支配權。在實踐中，同意被作為企業收集和使用個人信息的法律依據，成為判斷個人信息使用違法性的唯一依據。但是，從實然上言，同意並非我國個人信息處理的唯一合法性基礎；同時，也不應將同意作為個人信息處理的必要要件。

我國目前並未制定統一的個人信息保護法，有關個人信息保護的規定散見於各領域的部門法中。全國人大的《決定》《消費者權益保護法》及《網絡安全法》是新時期對個人信息處理作出的新規定，備受社會關注。誠然，這些新規定對個人信息處理實務操作具有決定性的意義。但過分的關注使得我們忽視了我國個人信息處理合法性基礎規則的全貌。實際上，上文所述《身份證法》《刑事訴訟法》相關規定，以及《統計法》第6條、第7條均可作為個人信息處理的合法性基礎。只是此前的一系列立法主要側重於公權力機關收集、使用公民個人信息的行為，私領域的個人信息收集、使用的規範未得到充分重視。在私領域的個人信息處理行為只能遵循《消費者權益保護法》和《網絡安全法》的規定，同意則成了私領域個人信息處理的一般規則。在取得個人信息主體同意的情況下收集、使用其個人信息固然具有法律依據（具有法律上的正當性），但不應將同意規定為私領域個人信息處理的必要要件（不具有實質上正當性），具體理由如下：

1.知情同意作為個人信息處理的必要條件使得個人信息上所涉社會價值嚴重失衡

個人信息上的利益不僅包括個人的人格尊嚴和自由利益，還包括使用者的利益及公共利益。個人信息保護規則立法必須充分考量這三種利益的實現和平衡， 一方面保護個人利益，避免不法信息收集或利用行為對個人造成侵害；另一方面，也需要保障個人信息的合法收集和使用行為，以維護使用者的合法利益，促進公共利益的實現。將信息主體的同意作為個人信息處理的合法性基礎主要是為了實現對個人信息上個人利益的保護。一般認為個人是自身利益最佳的守護者，且個人對自身利益具有自決權；在不侵害他人和國家利益的情況下，經過信息主體同意的個人信息處理行為具有正當性。因此，筆者認可信息主體的同意屬於一種適格的個人信息處理合法性基礎。但將同意作為私領域所有個人信息處理的必要要件，則會阻礙個人信息的社會化利用，使得使用者的利益和公共利益受損。

對於個人信息使用者而言，尤其是以數據為依託開展活動的公司，其日常運營中存在大量的個人信息收集、使用行為，如果基於每一個目的開展的每一次信息收集或使用行為均需徵得信息主體的同意，將會對其造成不合理的運營負擔。因此，個人信息使用者為了實現合規與降低成本的平衡，通常會採取「默示同意」模式規避風險或事先擬定格式合同以要求信息主體作出同意。無論是默示同意模式還是格式合同模式，都會使得同意淪為形式，徒增使用者負擔，且無法實現個人利益的有效保護。對此，筆者將在下文詳述。

從公共利益角度言，在某些特定情形下，如發生自然災害需要進行救援時， 為了救援使用個人信息如需徵得信息主體同意，既不現實，也會導致社會公益受損。此外，為了科學研究目的處理個人信息，其活動本身具有增進全民福祉的功能，在對個人信息採取必要保障措施的情況下，仍要求使用者徵得信息主體的同意並無實益。尤其是在科研活動需要海量的個人信息時，徵得同意成本過高，個人信息保護規則可能成為科研活動的障礙。

2.知情同意難以實現個人利益的有效保護

在傳統社交領域，知情同意依舊是一個有效且必要的合法性基礎。尤其是在信息主體主動披露個人信息的場景下，知情同意成為個人信息的接受方（信息收集者）保有或使用該個人信息的依據。但網絡和信息技術對知情同意模式造成了巨大的衝擊，使同意對個人利益保護的有效性大幅降低。國內學者也已對知情同意的有效性作出了較為全面的反思和批判，主要包括：多數情況下，信息主體處於弱勢地位，不提供個人信息則無法使用相對方的產品或服務，最終導致信息主體並非基於自由意志作出同意；其次，信息主體無法實際控制自己的信息被用於何種目的，也無法控制個人信息的流通，實質上對已提供的信息無控制力；最後，在知情同意模式下，信息收集者頻繁要求信息主體作出同意表示，由此導致信息主體並不會仔細審查便作出同意，使得同意流於形式。

可見，將同意作為個人信息收集和使用的必要條件，過度強調了個人信息上的個人權利保護，而忽視了社會和公共利益的實現，而且事實上，同意也不能給個人以有效的保護。因此，個人信息法律制度有必要探尋其他有效的規制模式，以增強對個人利益保護的有效性，並實現個人利益、信息使用者利益和公共利益的平衡。

//

（二）多元合法性基礎的構建

//

個人信息保護涉及三種不同的利益，具有多樣性，因而，個人信息保護總體上三種利益相互平衡的制度安排。也就是，個人信息保護並不是給予個人單一的私權利（如個人信息權），而應在多元利益平衡下構建行為規範。這也是歐洲的個人數據保護立法一開始就確定的保護模式。

歐洲委員會在制定和發布《108公約》時，就將個人數據保護定位於對個人權利的保護（作為基本權利保護），而不是保護個人數據本身，同時用個人數據處理的「合法性」基礎或原則作為個人數據使用（處理）的法律依據，而不是單一的個人決定權。2012年《108公約》修訂之際，修訂專家委員會曾向公眾發布有關《公約》的公開徵詢函，《計算機法與安全評論》期刊聯合國際IT 律師協會等機構，組織了幾位有影響力的專家，代表學術界對《公約》修訂提出基本看法。針對《公約》是否應當對數據保護和隱私權有一個定義問題，專家們回答：「不需要」。他們認為「在數據保護公約中試圖界定隱私權是沒有用的。因為隱私權本身是在不同的場景有不同表現方式的一組權益（asetofinterests），有時需要與其他權益進行平衡。將其表達為一組寬泛的原則更適當。存在其他公約（如《歐洲人權公約》等）和判例來解釋它，採用寬泛的隱私保護表述是適當的，這樣可以運用不同機制來實現保護。」

歐盟為貫徹實施《108公約》，在《數據保護指令》（1995年）以及替代該指令《統一數據保護條例》（GDPR）中一直堅持將個人數據處理的合法性原則作為個人數據處理的法律依據，而且不是個人的同意。雖然同意被作為合法性基礎之一，但在歐盟的個人數據權利體系中始終沒有將同意上升為一種個人權利。《統一數據保護條例》（GDPR）鑑於條款第4條明確闡明個人數據保護不宜作為一種個人絕對權力，即「個人數據的處理應當為人類服務。保護個人數據的權利不是絕對權，必須根據比例原則，考慮其在社會中的作用，並與其他的基本權利相較權衡。本條例尊重所有基本權利，並且遵守《憲章》所承認的載於《條約》中的自由和原則，特別是尊重私人和家庭生活、家庭和通訊、個人數據的保護、思想自由、道德和宗教自由、表達和信息自由、開展生意的自由、有效救濟和公平審判的權利，以及文化、宗教和語言的多樣性。」顯然，這說明保護個人數據的權利不是絕對的，而應與其他權利進行權衡。正因為如此，GDPR通過繁雜規範體系實現對個人權利的保護，即個人數據的使用規則由一般個人信息的合法性處理規則和特殊個人數據或特殊處理行為的例外規則、個人數據主體權利和個人數據控制者義務組成，並在此基礎上建立了以行政執法為主並配以司法保障的保護體系。

我國在移植域外個人信息或個人數據保護制度時存在簡單化處理問題，不僅將域外的多元的合法性基礎簡化為知情同意，而且多將之解釋為個人的權利，認為個人信息的同意就是個人授權或許可使用個人信息。雖然現行的法律中還須遵循必要性原則、依法或依約定使用，但均缺乏可操作或執行性，導致是否同意成為個人信息是否違法的唯一判斷標準。顯然，這樣簡單化處理看似強化了個人對個人信息控制，偏重個人權益的保護，事實上不僅不能有效地保護個人權利，而且使個人信息的使用者面臨法律上的不確定性（許多情形下難以取得同意，面臨行政或刑事責任風險）、增加不必要的合規成本（許多情形下不需要同意，但為合規要進行同意，影響到效率，增加了運營成本），甚至導致執法機構的選擇性執法或事件推動執法，而不能或無法做法嚴格依法執法。

我國個人信息保護和利用面臨這些問題的出現，根源於我們沒有正視個人信息上存在的多元利益，在平衡多元利益的前提下建立個人信息使用的規則。在今後制定個人信息保護法過程中，我們需要首先明確個人信息上的利益體系，協調平衡其關係，才能建立正當的個人信息使用規則。筆者認為，個人的尊嚴和自由利益的保護是基本目的，但要協調整保護個人信息控制者的使用利益和公共利益。

1.信息主體人格尊嚴和自由利益與信息主體的其他利益

個人信息處理一般都是基於信息使用者自身之商業目的或實現公共利益之目的；但不排除在某些情況下，信息使用者基於保護信息主體的利益（除人格尊嚴和自由）之目的處理個人信息。在後者的情況下，我們則需要衡量信息主體人格尊嚴和自由利益與信息主體的其他利益。一般而言，當信息主體其他利益優於信息主體人格尊嚴和自由利益時，信息使用者的個人信息處理行為則具有正當性，可直接實施個人信息處理而無需徵得信息主體的同意。反之，信息使用者則不能自主決定進行個人信息處理操作，除非存在其他正當性。

那麼，何種利益優於人格尊嚴和自由？人格尊嚴和自由是國際社會公認的人的基本權利，同樣地，生命權、生存權、平等權、財產權等也屬於基本人權的範疇。在具體個案語境中，各基本人權之間的位階存在不確定性，但不可否認的是，從整體上而言，生命權是人權法律保障的基點，居於首要地位。因此， 筆者認為法律至少可以確定當信息使用者基於保護與生命相關的重要利益對其個人信息進行處理時具有正當性，無需經過信息主體的同意。例如，當需要救助於昏迷或走失老人時，可以設法獲取或利用個人信息向其親屬或有關部門報告。在最新發布的《信息安全技術個人信息安全規範》第5.4條（d）項對此作了明確規範。例如，在自動駕駛的情形下，行駛中汽車獲取周邊行人或其物體信息，即是關係生命和財產安全，又很難得到本人同意的情形。當然，何謂「重大合法利益」需要嚴格解釋，避免濫用該規則，侵害個人權益。

2.信息主體人格尊嚴和自由利益與信息使用者利益

在個人信息保護領域，信息使用者基於自身利益收集、利用和流通個人信息是導致信息主體人格尊嚴和自由受到威脅和侵犯的最直接原因。從邏輯上言，該二者之間存在一定的矛盾性。但是，如前所述，個人信息上不僅附著了個人利益，個人信息使用者的利益也不容忽視，承認個人信息使用者處理個人信息的正當性是實現個人信息的社會價值的必然選擇。個人信息保護制度不能扼殺了個人信息的合理收集、利用和流通，法律必須在兩者之間尋求一個平衡點。

我國現行的個人信息保護規則採用的是單一的知情同意模式。該模式理想化地認為信息主體可以有效地自我管理其個人信息，從而維護信息主體自己的利益。該模式顯然無法適應現代社會的發展，無法實現個人信息上個人人格尊嚴和自由利益的有效保護。筆者認為，在知情同意有效性難以保障的數位化時代，法律不妨承認信息使用者基於自身合法利益進行的信息處理具有正當性，使信息使用者的合法利益成為個人信息處理的合法性基礎之一。也即當信息使用者對某個人信息處理操作具有合法利益時，其可以不經信息主體的同意，直接收集、利用相關個人信息。

（圖片來源於智慧財產權報）

但這並不意味著，信息使用者具有任何合法利益都可以直接進行個人信息處理，信息使用者仍然需要尊重信息主體的權益，這種尊重主要表現為履行相應的告知義務，讓其知情。事實上，OECD在1980年提出的個人信息使用的八項原則中，對於個人信息收集原則是採取的是知情或同意原則（不是知情同意原則），且強調「情形允許時」。按照該原則，知情或同意都是收集個人信息的合法性基礎，知情並不一定需要同意，讓主體知曉也是對主體權益的尊重或保護。這樣的規則可以很好地平衡個人信息主體和信息使用者利益，讓信息使用者可以方便地獲取信息，同時使信息主體有機會拒絕或反對之後使用人侵害其權益的濫用行為（知情是行使拒絕權前提條件）。

個人信息上存在需要保護的主體利益，也具有社會利益，承認信息使用者的利益即是為了實現個人信息的社會價值。但是，保護社會利益或使用者利益不能以犧牲個人利益為代價，信息使用者的合法利益應滿足一定的條件，使個人信息的使用具有正當性。筆者認為，信息使用者的合法利益至少應滿足如下三個條件：

第一，信息使用者的利益本身要具有合法性、現時性和特定性。合法性要求信息使用者所追求的利益合乎現行法律的規定，不得以非法目的開展個人信息處理。現時性要求信息使用者所追求的利益必須是服務於當下或即將發生的事宜，而未來可能的利益則是不適格的。特定性要求信息使用者的利益必須是具體的，不能過於寬泛或模糊。要求信息使用者的合法利益具有現時性和特定性是為了使該利益具有確定性，從而得以評估基於該合法利益進行的個人信息處理活動會對信息主體的人格尊嚴和自由造成何種和多大程度的威脅或侵害，進而衡量兩者孰先孰後。

第二，對於信息主體的人格尊嚴和自由利益，信息使用者的利益具有相對優先性。單純具備合法的、現實的和特定的合法利益並不足以使個人信息處理具有正當性，信息使用者還須確保其合法利益具有相對優先性。當個人權益和信息使用者的合法利益都需要保護時，就需要衡量哪個更加優先。這要求信息使用者在確定自身合法利益後，對基於該利益所需進行的個人信息處理進行評估，明確該個人信息處理對相關信息主體可能造成的威脅和侵害。如果個人信息處理不會對相關信息主體的人格尊嚴和自由造成威脅或侵害，或所造成的影響明顯小於信息處理所帶來的效益，那麼則認為信息使用者的合法利益具有相對優先性，信息使用者可以直接基於該合法利益進行該個人信息處理。例如，對用戶實施間接畫像（不識別身份，基於設備ID的畫像），既涉及個人利益的保護，也涉及使用者利益的保護，此時法律應當是優先保護誰的利益。筆者認為，在這樣的使用不會給個人權益造成直接危害的情形下，個人應當容忍這樣的使用，但對於濫用這樣識別侵害個人尊嚴或隱私，給予相應的救濟，以此平衡二者的利益。

第三，相關個人信息處理為實現該合法利益所必需。為了避免對信息主體人格尊嚴和自由造成不必要的威脅和侵犯，應要求相關個人信息處理為實現信息使用者合法利益所必需。如果信息使用者可以通過其他合理方式實現相同利益，則不應實施該個人信息處理。

因此，為了實現信息主體人格尊嚴和自由利益與信息使用者利益的平衡，應將信息使用者的合法利益作為個人信息處理合法性基礎之一，同時要求該合法利益必須滿足合法性、現時性、特定性、優先性和必要性的條件。

3.信息主體人格尊嚴和自由利益與公共利益

公共利益與個人利益之間是對立統一的，當公共利益與個人利益發生衝突時，為了實現公共利益，在滿足比例原則、利益補償原則及正當程序原則的基礎上，對個人權利進行一定的限制具有正當性。在個人信息保護領域，當基於公共利益目的進行的個人信息處理與信息主體人格尊嚴或自由發生衝突時，也需要對個人權利和自由作出一定的限制。因此，筆者認為，同意原則對於以公共利益目的進行的個人信息處理沒有適用的餘地，公共利益可以獨立作為個人信息處理合法性基礎之一。《信息安全技術個人信息安全規範》第5.4條明確規定「與國家安全、國防安全直接相關」、「與公共安全、公共衛生、重大公共利益直接相關」及「與犯罪偵查、起訴、審判和判決執行等直接相關的」、「為新聞單位且其在開展合法的新聞報導所必需的」、「為學術研究機構，出於公共利益開展統計或學術研究所必要，且其對外提供學術研究或描述的結果時，對結果中所包含的個人信息進行去標識化處理的」個人信息收集、使用屬於「徵得授權同意的例外」，這就是承認了基於公共利益所進行的個人信息收集、使用具有當然的合法性，無須再徵得信息主體的同意。

值得注意的是，公共利益之內涵和外延具有很強的不確定性，且公共利益並不必然具有邏輯上的優先性。嚴格控制公共利益的界定具有必要性，否則會造成公共利益對個人利益的侵蝕。法律實證主義者凱爾森認為，只有將國家目的予以法制化，才能完成承認其為公益的過程，才有公益的價值。筆者支持該觀點，因此，在個人信息保護領域，儘管基於公共利益的個人信息收集、利用和流通無需經過信息主體的同意，但其必須具有明確的法律規定。譬如，基於《中華人民共和國統計法》（簡稱：《統計法》）開展的統計調查和非基於《統計法》開展的統計調查，只能認為前者具有公共利益。以人口普查為例，根據《統計法》第6條、第7條和《全國人口普查條例》第5條、第24條，普查人員有行使統計調查的權力，統計調查對象應依法提供真實的信息。因而，普查人員因行使職權收集公民相關個人信息時，無需經過信息主體同意，其合法性基礎即為公共利益，依據為《統計法》和《全國人口普查條例》。

結語

技術革新改變了社會基礎、商業模式和生活方式，植根於傳統社會基礎的知情同意規則在數據時代呈現出極度的不適應，單一的知情同意規則難以實現對個人信息上個人利益的有效保護，相反，可能會給信息產業從業者帶來巨大的法律風險，進而妨礙個人信息的社會化利用，阻滯我國信息產業的發展。

個人信息上不僅附著了信息主體的人格尊嚴和自由利益，個人信息使用者的利益和公共利益也是個人信息法律制度需要保護的重要利益。為實現個人利益保護與個人信息利用的平衡，應充分衡量信息主體的人格尊嚴和自由利益、信息使用者的利益、公共利益。首先，考慮到知情同意在傳統社會交往領域的重要作用，以及對個人自治的尊重，應肯定知情同意存在的必要性。其次，明確同意不是且不應成為個人信息處理的唯一合法性基礎；最後，在法律上確認基於保護與信息主體生命相關的重要利益、信息使用者為實現其自身合法利益或為實現公共利益所實施的個人信息處理的正當性。

綜上，筆者認為個人信息保護立法至少應確立四項合法性基礎，即基於下述事由所進行的個人信息使用具有合法性：第一，向信息告知必要信息（如收集範圍、使用目的、方式等），並徵得其同意；第二，為保護與信息主體生命相關的重要利益所必要；第三，為實現信息使用者的合法利益所必要；第四，為實現法律所規定之公共利益所必要。該四項合法性基礎之間為並列關係，滿足任一合法性基礎即可實施個人信息使用。這一多元的合法性基礎規則是利益衡量的必然結果，既能實現對個人利益的有效保護，也有利於保障個人信息的合理收集、使用和流通，實現個人信息的社會價值。最後，需要指出的是，該個人信息使用合法性基礎針對的是一般個人信息，對於特殊類型個人信息（如未成年人個人信息、敏感信息）或特殊目的的處理行為，需要作特別規範，需要進一步探討。

上海市法學會歡迎您的投稿

fxhgzh@vip.163.com

相關連結

來源：《上海法學研究》集刊2019年第13卷（網際網路司法研究小組卷）。轉引轉載請註明出處。

原標題：《高富平：個人信息使用的合法性基礎》

閱讀原文