同意规则从前置规则转为调整规则的弱化适用立场,除了具有理论正当性外,还具有立法文本与实践经验的支撑。笔者根据域内外同意规则的立法文本与实践经验,将其归纳为规范克减、但书规定、否定评价、等级区分与体系弱化五种具体形态。其中,规范克减是基于法律规则的规范性,通过其他原则部分废除或撤销同意规则的规范效力,从而限制同意规则的适用;但书规定则是基于法律规则的结构性,借助例外条款的体例形式,从而排除同意规则的适用;否定评价则是在特定情形下,对同意规则的适用给予整体的否定性评价,从而导致同意规则的无效适用;等级区分并非部分或全部否定同意规则的处分效果,而是对同意强度施加不同的实质或形式要求,从而导致同意规则的宽松适用;体系弱化则是降低同意规则的体系地位,从而导致同意规则的偏移适用。在这五种形态中,前三者的弱化效果较为明显,后两者的弱化效果较为温和。
针对同意规则的但书规定是指针对同意规则作出的特别规定,具体指信息处理者在处理个人信息时可不经本人同意直接加以使用。与规范克减不同的是,但书规定是基于法律规则的结构性,借助“一般条款—例外条款”的体例形式完全排除同意规则的法律效力而非基于法律规则的规范性去否定同意规则的效力。当数据应用场景出现了其他除外事由时,信息处理者无须取得本人同意便可处理个人信息。笔者认为,在目前各国数据立法中主要存在委任性但书规则与确定性但书规则两种形式。
根据委任性规则的一般定义,可将委任性但书规则阐释为“在立法实践中既有法律规则的但书适用并没有明示其具体内容,而采用概括性指示规定加以描述,并由对应的部门依据对应程序,确定具体的法律规则”。其中,“法律法规另有规定的除外”最为典型,在立法形式上表现为预留型与提示型。预留型是指此时的“法律法规”并没有具体指向,有待通过进一步立法以弥补漏洞。正如罗伯特·阿列克西所言,挽救规则全有或全无的特性,并不是将具体例外全部吸纳进其表述之中使其完整,而是插入一般性保留条款使其在立法上尽可能周延。比如,《民法典》第1035条规定,“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”。提示型则是提示还存在其他法律法规可以援引、参照,明确提示此时需优先适用它法,旨在发挥法律体系的衔接功能,例如,《电信和互联网用户个人信息保护规定》第9条规定,未经他人同意不得收集个人信息,法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。
针对同意规则的否定评价是指,在特定情形下,对同意规则的适用给予否定性评价,从而导致同意无效。它与规范克减的相同点在于同意都曾被作出,不同点在于弱化适用的原因与效果并不相同。在规范克减情形下,同意的部分效力因同意规则受到其他原则或规则的限制而被否定;但在否定评价情形下,同意的全部效力因信息处理者违反强制性规定而被法律明文否定。它与但书规定的相同点在于否定同意的整体效力,但在适用但书规则的情形下同意并不曾发生过处分效力,是真正意义上的被排除,而否定评价则是对已作出的同意加以否定评价。
与上述两种情形不同的是,等级区分并不是部分否定或全部否定同意的法律效力,而是针对同意强度施加不同的实质或形式要求,为弱化同意规则的适用提供扩容空间。
不论是同意规则的限制适用、排除适用、无效适用、宽松适用,还是同意规则的偏移适用,在立法文本与实践经验中,要么以概括性条款提供一般性指引,要么以列举式条款提供具体范例。前者容易造成适用标准的模糊与虚化,后者容易造成适用标准的不周延与僵化。为此,有学者逐渐转向折中道路——细分场景,从而在同意规则的弱化适用上既能提供细分标准,也能保留一定的弹性空间。
在既有场景理论下,同意细分难题的解决出路在于进一步限定动态体系要素以及要素权重,解决同意规则弱化适用的效率、公平问题。回归到情境脉络完整性理论的信息流动性规范的三要素,笔者主张以信息实体、信息属性、信息传播原则作为场景细分的主要判断基准,在区分个人信息类型、个人信息处理环节、个人信息处理者性质的基础上,形成同意规则“分级—分段—分类”的弱化适用的动态判断基准,以要件动态化实现同意规则适用的弹性化。
个人信息的涵盖范围包括信息主体的生物识别信息、身份标识信息、财产信息、通信信息、位置信息等。在具体应用场景如数据共享、数据开放与数据开发中,对不同类别信息所设定的同意强度,应当结合数据分级标准综合判定。目前,我国数据分级管理仍处于政策化阶段,显见于行业指南与国家标准,如《信息技术大数据数据分类指南》(GB/T38667-2020)、《个人信息安全影响评估指南》(GB/T39335-2020)与《信息安全技术健康医疗数据安全指南》(GB/T39725-2020)等。这些指南(行业标准)多采用单一的分级标准,不足以周全个人信息保护与利用的双重价值目标。笔者认为,数据的分级管理应以个人信息的敏感程度为主要标准。
第二,针对市场主体对个人信息的商业使用,应侧重同意规则的财产性,借助利用层级区分同意强度。个人信息除了具有公共属性外,其私人属性与可转让性亦为信息交易提供市场化的可能性。相对于欧盟的保护主义,美国的个人信息保护法较为鼓励商业利用,如伊利诺伊州出台了专门针对生物识别信息商业利用的《生物特征信息隐私法》。我国也在2020年出台《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》,明确提出数据要素市场化,培育数据开发利用的场景。相较于公共主体,市场主体对个人信息的利用一般是以营利为目的的增值开发。为了充分释放数据的市场价值,往往需要借助市场链条将个人信息转化为商业数据,从而优化企业的资源配置与信息决策。在这一过程中,如果严格适用同意规则,将无法实现个人信息向商业数据的有效转化,也会严重抑制企业挖掘大数据价值的原始动力;如果规避同意规则的适用,则会损害信息主体的数据权益。对市场主体而言,数据利用的根本目的在于挖掘数据的财产性价值,而数据利用层级则决定了数据财产性价值创造的空间。
同意规则的动态适用极易导致上述三个判断基准的交叉适用,此时需要进一步判断某一特定的个人信息处理场景,最终应适用哪个判断基准。事实上,上述三个判断基准并非相互分立与相对封闭,而是应当依据大数据分析的生命周期“原始数据(个人信息)—衍生数据(匿名化后的数据集)—数据产品(与第三方共享)”形成体系化衔接。信息类别与使用主体是依托于数据分析阶段存在的。换言之,由于数据采集阶段保留个人信息的原始形态,因而产生了进一步区分信息类别的必要性,由于不同使用主体对个人信息的使用诉求不一致,因而在使用阶段产生了进一步区分使用主体的必要性。
那么,在应用场景中如何选择最终适用的判断基准或同意规则呢此时需要依据个人信息处理的动态过程进行分步骤的递进判断。展开而言,第一步,先判断数据应用场景属于何种阶段。第二步,在具体应用场景下进一步判断其他关联指标。如果处于数据采集阶段,则应采用强同意模式,而具体的同意要求应取决于不同类别信息的采集。如果处于处理阶段,则整体采用弱同意模式,以概括性默示同意的方式对个人信息加以分析、脱敏、归纳等处理,不需要区分其他判断基准。如果进入使用阶段,则采取次强同意模式,依据个人信息处理者性质(公共主体与市场主体)的不同,进一步区分具体的同意要求。第三步,区分不同个人信息处理者对个人信息的使用目的与利用层级,分别是公共主体使用个人信息的目的与市场主体利用个人信息的层级。从这个递进判断来看,越后面的步骤判断越接近同意规则最终适用的结果,同时也是不断缩小(细分)同意规则弱化适用的场景的结果。
同意规则弱化适用的场景细分,本质上是将个人信息处理的风险后果与法律责任通过动态体系内部判断基准的具体化、动态化与权重化,均衡配置给不同类别信息、不同处理阶段与不同使用主体。在此基础上,进一步借助责任性同意规则与财产性同意规则重新调整信息主体对信息处理规则的“合理期待”,进而为数据保护与数据利用提供价值平衡的立法安排。但适用弱化后,同意规则在具体实践中可能面临实效性问题。为了确保同意规则作为实质规范的法治意义,未来应从内在构造与外在关系上强化其适用效度。