摘要:《个人信息保护法》第44条规定了一般性的个人信息拒绝权,从法律中拒绝概念的内涵、《个人信息保护法》第24条3款、第27条中所规定的两种具体拒绝权来看,个人信息拒绝权就是在选择退出的逻辑下,由个人所享有的针对法定权限、无溯及效力的终止形成权。这一内涵理解也与比较法上个人信息拒绝权的内涵特征相契合。个人信息拒绝权的外延则不仅包括了《个人信息保护法》第24条3款、第27条中的具体拒绝权,而且包括了针对第13条(四)项下无因管理型合法权限的具体拒绝权。此外,第13条(二)项下是否存在具体拒绝权也有解释的空间。个人信息拒绝权作为形成权,其生效时点的认定应当采取到达标准,其行使原则上不得附条件和期限。拒绝权的例外实际指明了限制个人信息拒绝权的三种思路和方法,但这三种方法的适用本身也受到限制。在第24条3款、第27条下具体拒绝权适用的特殊问题则主要体现为特别的构成要求。
关键词:个人信息拒绝权;终止形成权;自动化决策;已公开个人信息
《个人信息保护法》的主要内容和任务之一是“明确个人信息处理活动中个人的权利”,该法也确实在多个条文中规定了个人所享有的系列权利,但这些权利规定却很难说是“明确”的。特别是对于个人信息拒绝权,条文表述只有寥寥数语,这给理解和适用该权利带来了不小的挑战。本文试图从个人信息拒绝权的界定入手,全面厘清个人信息拒绝权的内涵和外延,并以此为基础分析和解决个人信息拒绝权适用上的一般问题和特殊问题。第一部分阐释了当前在个人信息拒绝权理解上的不同观点,及其界定问题;第二部分试图围绕“拒绝”概念在法律上的含义以及《个人信息保护法》中具体拒绝权的规定,体系性地归纳个人信息拒绝权的内涵和外延;第三部分则通过对比较法上个人信息拒绝权的梳理,来厘清我国立法确立该概念时所可能持有的理解,以为界定个人信息拒绝权提供一个更全面的视角;以此为基础,第四部分明确给出了个人信息拒绝权的内涵和外延,从而为拒绝权适用规则的构建提供了基准;第五部分围绕个人信息拒绝权的定位,分析了拒绝权的行使及其例外的一般适用问题,以及自动化决策、处理已公开个人信息时,具体拒绝权适用构成上的特殊问题。
一、问题的提出
《个人信息保护法》第44条在规定个人信息决定权时,明确指出个人“有权限制或者拒绝他人对其个人信息进行处理”,肯定个人信息决定权会向下衍生出限制权和拒绝权两项权利。但对于其中的“个人信息拒绝权”到底具有什么样的效力,适用范围和构成要件为何,却没有明确规定。《个人信息保护法》仅在第24条、第27条中特别规定个人就自动化决策和已公开个人信息的处理有具体的“拒绝”权。而这两条规定与第44条下个人信息拒绝权规定之间的具体关系却并不清楚。
有观点认为,个人信息拒绝权就是指个人在意定权限的授予上,有不同意、不授予意定权限的实质自由。所以,“保障个人的拒绝权,最重要的方面是要禁止强迫同意”,《个人信息保护法》第16条规定不得以不同意为由拒绝提供产品或者服务的规定就是个人信息拒绝权的集中体现,并最终表现为因强迫同意而产生的胁迫撤销权。按照这样的理解,《个人信息保护法》第24条、第27条所规定的拒绝权就不能认为属于第44条下的拒绝权,因为这两条规定并不是规范意定权限的授予活动,而是要解决合法权限(包括那些并非基于同意而产生的法定权限)的消灭问题,无法认为它们是要表达意定权限授予过程中不同意的实质自由。但第44条不包含第24条、第27条下拒绝权的结论,又显然与三个条文都使用了相同的“拒绝”概念,即通过文义所展现出来的体系关联相矛盾。所以,从意定权限授予上不同意的实质自由角度来理解个人信息拒绝权似乎并不正确。
另外,认为第44条下的个人信息拒绝权就是指第24条、第27条规定的两种具体拒绝权,这种理解也不妥当。因为在第44条中用宽泛、抽象的“拒绝权”来重复指向这两个条文,不仅多此一举,而且容易导致解释上的误解和争论。如果认为立法者的条文规定都有其独立意义,那么就不应当对第44条下的个人信息拒绝权采取仅指向第24条、第27条规定的盲目理解,其必然也指向了这两条规定之外的某些拒绝权情形。特别是考虑到第44条下与拒绝权并列规定的限制权,就不是指向既有的某些特定条文中的权利,而是为了给具有特定功能而又没有明确规定的权利提供解释上的空间和法律基础。但依照这样的理解,第44条规定中的个人信息拒绝权所指向的未明确规定而又具有特定功能的拒绝权到底有哪些,其特定功能又是什么?
综上,《个人信息保护法》第44条虽然提出了一般的拒绝权概念,但该概念过于抽象,导致如何理解该权利存在比较大的问题和争论。所以,论述和分析个人信息拒绝权,最为核心的是要回答个人信息拒绝权的内涵到底为何,外延又在哪里。
二、拒绝概念与个人信息保护法中的具体拒绝权
(一)法律中“拒绝”概念作为个人行为时的五种内涵
要梳理《个人信息保护法》中拒绝权的内涵和外延,首先有必要对个人行为语境下“拒绝”概念的法律含义,做一个系统性的梳理。整体来看,公、私法上作为个人行为的“拒绝”主要有五种内涵。
首先,当相关法律关系的形成以取得个人同意为前提、个人有相应的选择进入(opt-in)的形成权时,“拒绝”可以用来表述形成权行使上不同意的意思表示行为。例如《民法典》第145条、第171条下,在除斥期间内未作表示的视为“拒绝”,该拒绝就是指不同意、不认可的意思表示。《民法典》第478条(一)项下作为要约失效事由的“拒绝”也属于这类意思表示行为。
其次,有的事项需要主动征求个人意见,但个人并不因此享有相应的形成权,而仅仅赋予其通过“拒绝”签字、盖章来表达异议的权利。例如,按照《行政处罚法》第64条(八)项的规定,听证笔录应当主动征求当事人或代理人的意见,当事人或代理人可以“拒绝”签字或盖章,但这一异议表示行为仅能作为法院认定法律关系的考量因素而不具有形成效力。同样,《民事诉讼法》第150条也规定当事人可以拒绝在法庭笔录上签字盖章以表达异议。
其三,作为个人行为的“拒绝”在法律上还可以指单纯不配合或者违反义务的事实行为。《民法典》第589条下债权人“拒绝受领”、第1222条(二)项“拒绝提供与纠纷有关的病例资料”即是在违反义务的事实行为上使用拒绝概念。《刑法》上作为个人行为的“拒绝”概念也多是指向违反法定义务的违法行为。例如其第261条“拒绝抚养”、第311条“拒绝提供”证据、第330条(五)项“拒绝执行”预防措施、第376条“拒绝征召或军事训练”、第380条“拒绝军事订货”、第381条“拒绝征收征用”等。
其四,“拒绝”概念往往还会与“可以”“有权”概念联用,以表明个人享有抗辩权。此时拒绝作为个人行为也就是行使抗辩权的行为。《民法典》第525条、第526条下针对相对人合同请求权的同时履行抗辩权、先履行抗辩权的规定,就是通过“可以拒绝”来表示抗辩权。《行政处罚法》第70条下,当事人“有权拒绝”缴纳罚款的规定,实际上也是明确了受处罚人在特定情况下针对缴纳罚款的请求有抗辩权。
其五,拒绝概念也可能通过与“可以”等概念联用,表明个人享有终止特定法律关系的形成权。此时拒绝作为个人行为也就是行使选择退出(opt-out)的形成权的行为。在这类情况下,相关法律关系的形成并不需要先获得个人同意,在未同意的情况下也可以形成合法的法律关系,但一旦个人表示反对,其单方意思就可以直接终止该法律关系。《民法典》第530条、第531条债权人“可以拒绝”提前履行、部分履行的规定,实际上就是在立法层面肯定债务人提前履行和部分履行并不需要获得债权人的积极同意,但债权人原则上可以单方终止提前履行、部分履行的法律关系。
综上,拒绝作为个人行为在法律上有五种内涵,但其中作为不配合以及违反义务行为的拒绝显然无法表述某种权利。因此,当通过拒绝概念来表述个人享有的权利时,这种权利就可能有四种内涵:
第一,相关法律关系的形成以获得个人同意为前提、个人有相应形成权时,个人不同意、不认可的权利行使自由。
第二,相关事项需要主动征求个人意见,但该意见并不具有形成效力时,个人所享有的表达异议的权利。
第三,相关法律关系的形成不以获得个人同意为前提,个人有主动配合的义务时,在特定情况下个人针对相对人请求享有的抗辩权。
第四,相关法律关系的形成不以获得个人同意为前提,但个人享有通过单方意思来终止该特定法律关系的终止形成权。
那么,《个人信息保护法》第44条用“拒绝”概念所表述的个人信息拒绝权,到底是上述四种内涵中的哪一种,或者说该拒绝权的内涵完全有别于这四种可能的内涵?按照上文所述,《个人信息保护法》第44条下的个人信息拒绝权作为一般性的权利,在文义上必然与第24条、第27条具体情形下的个人信息拒绝权有所关联,因此不妨先从这两个具体拒绝权的内涵分析入手,以此为第44条下一般性的个人信息拒绝权的界定奠定分析基础。
(二)《个人信息保护法》中的具体拒绝权
《个人信息保护法》第24条实际上规定了两种有关自动化决策的具体拒绝权。首先,该条第2款规定处理者通过自动化决策方式向个人进行信息推送、商业营销时,要向个人提供便捷的拒绝方式。这实际上承认了个人针对这一特定的自动化决策有拒绝的权利。从行文来看,这一拒绝权应当是指,就需要事先主动征求个人同意、个人享有形成权的事项,个人所享有的不同意、不认可的权利行使自由。也正因如此,有学者将这一拒绝权表述为“选择权”,以便与第3款中的“拒绝权”相区别。
与此不同,按照第24条第3款的规定,为信息推送、商业营销之外的目的而实施的自动化决策,只有当“作出对个人权益有重大影响的决定”且“相关决定仅通过自动化决策方式作出”时,个人才享有拒绝权。这首先意味着,第3款规定中的拒绝权在成立上与第2款不同,不是无条件的而是有条件的。其次,第3款规定的拒绝权所针对的对象也并非自动化决策本身,而是自动化决策下所作出的“特定决定”,其效力不是要让自动化决策即算法应用丧失合法基础,而是要让利用和实施算法结果的行为丧失合法基础。不过,也有学者认为,第24条3款下拒绝权的效力“仅是使得算法结果暂时不生效”。
这一理解的问题在于,拒绝权针对的并非算法结果本身,而是针对利用和实施算法结果的行为。这些行为由于建立在对个人信息的利用之上,因此可以认为构成了对个人信息的一种使用行为,也属于个人信息处理行为。第24条3款下的拒绝权实质就是要让这些利用、实施特定算法结果的个人信息处理行为丧失合法基础,从而无法继续实施。
正因如此,第24条3款中的拒绝权规定,被认为显示出我国对于一般性的自动化决策,并没有采取需要单独额外同意的模式,相反遵循的是选择退出的逻辑,仅仅是赋予了个人通过单方意思、事后无溯及力地终止处理者通过自动化决策来作出并实施特定算法结果的合法权限。所以,第24条3款中的拒绝权也就是终止形成权,其与第2款中的拒绝权有根本差别。由于针对意定权限个人本来就享有无条件的终止形成权,即任意撤回权,因此第24条3款下的拒绝权主要就是赋予了个人终止特定处理行为法定权限的形成权。下面通过一则示例来展现该拒绝权的具体适用场景和效力。
为了疫情防控、应对突发的公共卫生事件,处理者按照《个人信息保护法》第13条(四)项的规定,有处理个人轨迹信息的法定权限,原则上可以通过自动化决策来自动确认密切接触者并弹窗警告。这种自动化决策处理行为包括弹窗警告都具有法定的合法权限。但如果弹窗警告完全是在无人工干预的情况下做出,弹窗警告又显然对个人行动自由有重大影响,那么个人收到弹窗警告后,就可以依据《个人信息保护法》第24条3款主张拒绝权,终止该弹窗警告行为的法定合法权限,进而基于停止侵害和排除妨害的防御性请求权,要求处理者消除弹窗警告。不过如果人工干预后,仍然做出了弹窗警告的处理行为,那么这个时候个人就不能再主张拒绝权,而只能容忍。正因如此,有学者认为该项拒绝权从最终功能来看,实际是一种寻求人工干预的权利。
《个人信息保护法》第27条规定,处理者原则上可以在合理范围内处理个人已经自行公开或者已经合法公开的个人信息,但个人明确拒绝的除外。如果认为该规定下个人享有的拒绝权是行使事前同意权、表达不同意的自由,那么显然会与第13条(六)项处理已公开个人信息不需要事前获得意定授权、本身就具有法定合法权限的内涵相矛盾。所以,第27条下个人所享有的拒绝权应当属于事后特别排除处理者处理已公开个人信息这一法定权限、选择退出的终止形成权,进而与第27条后句规定的选择进入的同意权相区别。
综上,《个人信息保护法》规定的具体拒绝权只有两种:一种是法律关系的形成必须以个人单独同意为前提、个人享有形成权时,个人不同意、不认可的权利行使自由(第24条2款);另一种则是在法律关系的形成不以个人同意为前提时,个人事后在特定条件下所享有的、无溯及力地终止法定权限的终止形成权(第24条3款、第27条前句)。有学者认为第27条下的拒绝权是请求权的观点,并不妥当。
由于第24条2款中的拒绝权实际上仅是同意权的自然衍生,是同意权作为形成权所内含的不同意、不授权的权利行使自由,因此完全可以被个人信息“同意权”或者法律上既有的“选择权”概念所吸收,其无法作为证成个人信息拒绝权概念和新型权利类型独立性的依据。相反,第24条3款和第27条所规定的事后选择退出机制下的终止形成权,在法律上还缺少统一的概念指称,可以为个人信息拒绝权概念的独立性及其产生的正当性提供支持,应当认为是个人信息拒绝权概念所指向的主要对象。
所以,对于一般性的个人信息拒绝权的内涵界定来说,应主要围绕无溯及效力的终止形成权来展开,其内涵应当包括在选择退出的逻辑下,由个人所享有的针对法定权限、无溯及效力的终止形成权;其外延至少应当包括第24条3款和第27条下的具体拒绝权。
对《个人信息保护法》第44条下一般性的个人信息拒绝权的理解,显然不能完全囿于《个人信息保护法》所规定的具体拒绝权,必须考虑该一般性的个人信息拒绝权是否还包括其他与具体拒绝权有所区别的特别内涵和外延。就此,需要作一番比较法的考察,一是因为第44条个人信息拒绝权的规定显然受到GDPR第21条拒绝权规定的影响,因此要厘清该拒绝权就必须对其传来资源加以分析。二是比较法上对个人信息拒绝权概念的采纳情况以及具体理解也可以为我们阐释其内涵和外延提供经验参考。
三、比较法中的个人信息拒绝权及经验启示
虽然学者往往从限制权、拒绝权的存在出发,说明“决定权”区别于“选择权”等的特别内涵和独立意义,但就《个人信息保护法》第44条所规定的个人信息拒绝权,却很少有立法资料上的详细阐述。考虑到我国立法者对GDPR的大量借鉴,而且在立法过程当中,也有学者特别提出GDPR拒绝权对我国个人信息保护立法的借鉴意义。因此有理由相信,第44条下个人信息拒绝权的提出受到GDPR中拒绝权概念和规定的影响。
(一)GDPR中的拒绝权
一般认为GDPR第21条规定了拒绝权(right to object)。GDPR所规定的拒绝权实际分为两种,一种拒绝权针对基于公共利益、他人合法利益保护而产生的法定权限;一种拒绝权则针对实施具有直接市场营销性质的处理行为的法定权限。两种拒绝权都属于终止既有法定权限的形成权。
两种拒绝权的不同之处在于,就第21条1款中的第一种拒绝权,不仅要求在权利的构成上,个人应当基于“特定的个人情况”初步证明基于法定权限而实施的处理行为侵害了自己的某些具体权益,而且还承认处理者针对该拒绝权享有特别的形成反对权(Gestaltungsgegenrecht),可以通过证明特定处理行为所保护的公共利益、他人合法利益明显超过了不处理所保护的具体个人权益,继续实施该处理行为有“令人信服的合法理由”,使得拒绝权的形成效力失效,以恢复处理行为的法定权限。
可见,第21条1款中的第一种拒绝权作为形成权,其构成有特别要求,而且其形成效力也并不具有终局性。与此不同,处理者针对第21条2款下的第二种拒绝权在成立上没有特别要求,处理者也并不享有相应的形成反对权,所以该拒绝权的构成更容易,且效力具有终局性。也正因为第一种拒绝权非终局性的特征,所以一旦个人主张形成反对权,处理行为法定权限的有无往往就会陷入不确定的状态。为了解决该问题、消除不确定性,GDPR又特别规定了个人针对这种情况有特别的限制权,以明确此时处理者处理行为的合法权限范围。
综上,GDPR第21条下的两种拒绝权实际上都属于终止形成权,是基于选择退出的逻辑,赋予了个人通过单方意思来排除法定权限的权利。也正因如此,学者认为GDPR中的拒绝权与任意撤回权的本质相似。GDPR中的拒绝权虽然与我国《个人信息保护法》第24条3款、第27条下的具体拒绝权在性质上相同,都是终止形成权,但它们所终止的法定权限并不一样。特别是GDPR第21条1款下的拒绝权,其指向的是基于保护公共利益、他人合法利益而产生的合法权限,这类拒绝权在我国法律中实际并未得到明确承认。
(二)其他法域中“个人信息拒绝权”的状况
美国加州在个人信息保护方面没有采取GDPR事前同意与特别法定权限相结合的合法性积极获取模式。按照CCPA的制度安排,处理者处理消费者的个人信息并不需要事先获得同意,其处理行为天然就具有合法性。该法仅规定针对处理者销售(selling)个人信息的行为,个人有选择退出的拒绝权(opt-out right),但未在该拒绝权的成立上设置限制,更没有规定处理者享有相应的形成反对权。后期通过的CPRA则将拒绝权扩张到向他人分享(sharing)个人信息的行为。可见,在美国加州的个人信息保护立法上,拒绝权也是选择退出逻辑下,终止特定处理行为合法权限的形成权。
但CCPA与CPRA中拒绝权所处的地位与GDPR的拒绝权完全不同。GDPR中的拒绝权是在处理行为法定权限有限且特定的情况下,又给个人提供了终止有限法定权限的额外武器,充分体现了强化个人信息保护的价值立场。而CCPA与CPRA中的拒绝权则是在处理行为原则合法、法定权限一般化的情况下,针对特定的、侵害个人权益风险较高的处理行为,滴入了一点点个人信息保护的“调和油”。
日本的《个人信息保护法》与美国加州立法比较接近,个人信息处理行为原则上就具有合法性,仅有一些特别的个人信息处理行为才需要事前同意或者满足特定的法定权限要求。但与美国法不同,在日本法上个人不享有任意的、终止处理行为合法权限的拒绝权,而只是规定了在处理行为违反相关要求、可能使本人的权利或正当利益受到侵害时,个人有权请求处理者采取停止使用等措施的权利。与此同时,该项请求权还受到限制,在费用过高难以停止且采取了其他必要替代措施来解决相关问题的情况下不得主张。因此,日本法在个人信息处理行为合法性问题的界定上,似乎采取了比美国加州立法更倾向于个人信息利用的立场。
我国台湾地区“个人资料保护法”与GDPR类似,采取了事前同意与特别法定权限相结合的合法性积极获取模式。但其既没有承认个人就其意定授权有任意终止的撤回权,也没有承认个人有一项一般性的拒绝权。而仅在第20条第2款规定,非公务机关利用个人信息行销时,个人可以拒绝接受行销,并进而可以主张相应的停止请求权。该规定中的“个人拒绝”行为具有单方意思终止行销行为合法权限的实际形成效力,承认了个人就行销行为享有一项具体的、性质为终止形成权的拒绝权。这一拒绝权也成为该“法”中个人单方意思就可以选择退出的唯一通道。
如此来看,我国台湾地区“个人资料保护法”采取了非常狭窄的个人拒绝权规定,体现了对个人单方意思终止处理行为合法权限的谨慎态度,可能也正因如此,该“法”才没有特别提出一般性的个人信息拒绝权概念,以避免个人终止形成权的扩张。
(三)比较法经验的启示
从上述比较法经验可以看到,在规定个人享有拒绝权的比较法例中,拒绝权的内涵较为一致,均是一种通过个人单方意思就可以终止处理行为合法权限的形成权,这种形成权使得个人单方意思就可以否定处理行为具有合法性、进而终结处理关系,体现了通过选择退出来实现个人信息保护的价值理念。但正因为各法域在个人信息保护和个人信息利用的协调上有不同的价值判断,导致它们所规定的个人信息拒绝权虽然内涵相同,但在外延上却有很大差别。
美国加州立法中的拒绝权指向所有默认具有法定权限的处理行为,外延最广;GDPR中的拒绝权则主要指向基于公共利益保护、他人权益保护而产生的法定权限以及实施直接营销行为的法定权限,外延有所限制,但仍然相当广泛;我国台湾地区所规定的拒绝权外延最小,仅指向非公务机构利用个人信息实施直接营销行为的法定权限;日本立法则完全不提供任何基于单方意思就可以退出的通道。拒绝权外延大小的差异,实际体现了基于个人单方意思来“选择退出”的通道在宽窄程度上的不同。
但选择退出通道越宽泛并非就意味着越倾向于个人信息保护。实际上,个人信息保护强度的大小,还取决于处理行为合法性获得上的不同宽严要求,该要求与选择退出通道的不同比配,会导致形成个人信息保护上不同强度的法律范式:个人信息处理行为合法性获得上的要求越严格,个人选择退出的通道越宽泛,对个人信息保护的强度就越高,反之保护强度就越低。其中合法性获得要求的宽严程度对个人信息保护强度的影响要大于选择退出通道的广狭程度。正因如此,GDPR对个人信息的保护强度最高、我国台湾地区次之;美国加州立法对个人信息保护的强度则较弱,日本立法对个人信息保护的强度最弱。
因此,如何理解我国法上个人信息拒绝权,会在根本上影响我国个人信息法在个人信息保护上的强度。就此而言,由于我国《个人信息保护法》第44条提出了一般性的个人信息拒绝权概念,这至少表明,立法者并不认为个人选择退出的通道仅仅局限于任意撤销权和第24条、第27条所规定的具体个人拒绝权,而是对这种选择退出通道的进一步扩张持开放态度,所以才在具体的拒绝权之外特别又规定了一般性的个人信息拒绝权,特别强调了个人信息自决观念在否定处理行为合法权限上的效力。就拒绝权的扩张而言,参考GDPR的立法例,则可以具体体现为针对其他法定权限,也逐步承认个人享有终止的形成权。在这种形成权的具体扩展过程中,还可以通过形成权成立条件、形成反对权的设置,来对拒绝权的形成效力予以更多元的调整。
四、个人信息拒绝权的内涵与外延
既有研究认为,当处理行为符合《个人信息保护法》第13条1款第2项至第5项与第7项等法定权限规定时,个人就不享有拒绝权,实际是将拒绝权理解为指向意定权限的、个人所享有的不授予意定权限的形成权行使自由。如前所述,这种理解会消解掉个人信息拒绝权概念本身的独立意义,既与《个人信息保护法》下具体拒绝权所体现出的独特内涵不符,从比较法上的经验来看也缺少实证支持。
结合拒绝概念在法律上的含义、我国《个人信息保护法》所规定的具体拒绝权的内容特点以及比较法的经验来看,《个人信息保护法》第44条下一般性的个人信息拒绝权,其内涵应当是在选择退出的逻辑下,由个人所享有的针对法定权限、无溯及效力的终止形成权。在个人信息拒绝权外延的界定上,考虑到第44条特别使用了一般性的拒绝权概念,而不是像其他立法例仅仅规定了一些具体情况下的拒绝权,这说明我国法上个人信息拒绝权的外延并不应当仅限于第24条3款、第27条下两种具体类型,立法者有意保留了外延扩张的空间。
就此特别需要思考的问题是,针对《个人信息保护法》第13条(二)项、(四)项两类合法权限,是否也应当承认个人享有具体的个人信息拒绝权。第13条(二)项下订立、履行合同所必需的合法基础,似乎是经过合同补充解释而创设出来的、具有一定意定色彩的法定权限。正因如此,该规定下“必需”的构成才被认为要符合合同相对人、社会公众的合理期待或者行业惯例,更要考虑合同目的。但也有学者以GDPR以及立法过程中的争论为基础,指出该条规定创设合法权限的逻辑并非合同补充解释而是履行法定义务(合同义务)、保护处理者一方利益所必需。
第13条(二)项下合法权限性质的不同理解,对个人针对该合法权限有无拒绝权的认定会产生重要影响。如果该合法基础是对合同当事人意思的补充解释,是对意思表示的拟制,那么这种拟制当然要受到个人明确意思的限制,不仅当个人在合同中明确反对处理时不能承认有处理权限,而且考虑到个人信息保护上任意撤销权的规定,立法者对于明确允诺的信赖保护都采取了否定性的立场,那么当然也应当承认个人可以事后任意撤销不明确的、拟制出来的授权允诺,也就应当承认个人对于补充解释出来的合法权限,享有作为终止形成权的拒绝权。但如果认为第13条(二)项中的合法权限并非合同补充解释的产物,而是保护处理者权益、履行其法定义务所必需,那么就不能断然认为个人就此合法基础享有具体的拒绝权。
因此,就该项合法权限来说,具体拒绝权的承认和范围界定存在较大的解释空间,未来可以在司法实践中结合具体的实际需求,依据第44条规定下的一般拒绝权概念,适时地予以承认和构建。
《个人信息保护法》第13条(四)项规定,紧急情况下为保护自然人的生命健康和财产安全而必需处理个人信息时,该处理行为就有合法基础。《民法典》第1036条(三)项也规定为维护该自然人合法权益合理实施的行为均具有合法基础。这两项规定实际上都承认为保护个人自身利益而处理该个人的个人信息时,处理者在合理范围内享有法定权限。这样一种法定权限与无因管理时个人有法定管理权限并还可以要求本人支付必要费用的内在精神和价值判断相一致。
就此来说,按照一般理论,无因管理合法权限的构成必需考虑个人可能的和明确的意思,即《民法典》第979条所规定的要符合“受益人真实意思”。在受益人明确表示反对的情况下,一般也就不能认为构成适法的无因管理。这种反对在事前会导致自始没有合法基础,在事后至少应认为会使合法权限无溯及力地终止。因此,可以认为对于无因管理类的个人信息处理权限来说,个人应当享有具体的拒绝权。只是考虑到《民法典》第979条2款后句“受益人的真实意思违反法律或者违背公序良俗除外”的规定,针对个人的该项拒绝权同时也还得承认处理者享有形成反对权,即若个人拒绝的意思违反法律或者公序良俗时,该拒绝权的形成效力即失效。
综上,目前至少可以认为个人信息拒绝权的外延有延展的必要,《个人信息保护法》第44条一般性个人信息拒绝权的规定也为这种扩展提供了实在法上的基础和空间。个人信息拒绝权的内涵和外延大致确定后,就能够为拒绝权适用上问题的提出、解决提供一定的指引。既然,个人信息拒绝权本质上是一种无溯及效力的终止形成权,那么其权利行使的生效规则以及是否可以附条件、附期限就可以从形成权的定位出发来予以理解、阐释。
五、个人信息拒绝权的适用问题
(一)个人信息拒绝权的行使
拒绝权作为形成权,其行使类似于有相对人的意思表示,生效时点的界定似乎参照《民法典》第137条的规定。但肇端于《合同法》的《民法典》第137条,主要是以合同交易为其考虑背景,在意思表示人和受领人之间根据风险控制领域来分配缔约风险。个人信息保护与合同交易的价值立足点显然有根本区别,从同意的自愿、明确、充分知情要求,乃至可以任意反悔撤回本身,就可以明显体现出个人信息处理问题上对个人的倾斜保护。因此,在终止意思生效时点的确认上,也就不能直接类推适用《民法典》第137条的规定,而应当采取对个人更为有利的规则。基于该项价值判断,生效时点的界定也就应当采取统一的“到达”标准为宜,且不能意定排除、另行约定。同样,个人信息拒绝权虽然是形成权,但如同《民法典》第173条下的代理终止权一样,该项形成权不应当有除斥期间的限制。
与授予权限的形成权不同,拒绝权作为形成权,其行使并非使处理者纯获利益,而是会导致其权限的终止,承受不利益。并且权限终止后,还会引发删除义务及不履行时的责任,对处理者的利益有明显影响。那是否就意味着拒绝权不能附条件和期限呢?
《民法典》第568条规定抵销这种形成权的行使不得附条件与期限,学者认为这是为了避免威胁法的安定性,或避免使他方当事人的法律状态长期处于悬而未决的状态。最高人民法院则认为因为抵销的根本目的是简化清偿,附条件与期限会与该种抵销的制度目的相矛盾,所以不许。由于形成权附条件与期限后都会产生法律关系悬而未决的现象,所以如果单纯为了避免法律状态悬而未决就限制形成权附条件与期限,那么几乎所有形成权的生效都不得附款,包括授权行为。但《民法典》并无该种限制,可见,避免法律关系悬而未决并非形成权不得附款的根本原因所在。是否可以附款一方面需要考虑具体制度的内在目的,另一方面从附条件与期限的一般理论来看,则需要判断附条件或期限后,表示受领人的利益是否会受有不利影响,若有则应当予以限制。但这种基于受领人保护而设置的形成权行使限制并非强制性规范,在受领人同意的情况下,其意思自治优先,也得承认形成权生效上的特别附款。
以此观之,由于终止法定权限对处理者来说会产生不利益,让其承担删除义务以及不得为其他处理行为的不作为义务。在这种情况下,拒绝权的行使如果附条件与期限,将导致处理者义务的承担变得不确定,进而使得处理者陷入行为失准、动辄得咎的境地,对其利益有明显不利影响。因此,从表示受领人保护来看,拒绝权的行使就不得附条件与期限,应当类推《民法典》第568条的规定,但如果处理者特别同意个人附条件和期限的除外。
根据《个人信息保护法》第50条的要求,个人信息拒绝权在行使上有便捷性的要求。这一便捷性要求主要就是指处理者要提升处理拒绝权行使主张的能力和效率,完善相应的处理机制。具体包括三个方面:首先应当充分告知个人有拒绝权以及具体的撤回方法、程序;其次,应当构建和提供专门处理个人拒绝权主张的便捷渠道、程序,该便捷渠道、程序的构建并非与GDPR一样仅要求与同意取得的方式、渠道一样即可,而是应当按照通常的业务沟通标准来予以认定;最后,处理者在收到权利主张后应当在合理期限内及时有效处理,不得设置不合理的条件。例如,要求个人撤回时必须陈述理由,且还得额外寄送撤回同意的完整书面声明到指定地址。
另外,在拒绝权便捷性要求的理解上,也应当融入处理者认为拒绝权不成立,或者主张形成反对权时的程序设计要求,例如参考《征信业管理条例》第25条规定的“20日内”及《App违法违规收集使用个人信息行为认定方法》第六条第5款规定的“不得超过15个工作日”的时限要求,结合具体处理行为的特点来合理确认处理者回应拒绝权主张的时限,同时在认为不成立拒绝权或者主张形成反对权时,相关回复应当予以清晰表述,并充分说明理由。
拒绝权行使上还需要特别解决的一般性问题在于,如果处理者违反个人拒绝权行使上的便捷要求要如何处理,法律效果为何?是直接认为发生法定权限终止的效果,还是仅产生额外的损害赔偿责任?考虑到个人信息保护上倾向于个人保护的过错推定制度、《民法典总则编司法解释》第3条在权利滥用认定上的客观归责趋势,结合《民法典》第159条的规定,可以在处理者违反便捷性要求时,直接拟制为拒绝权的形成效力生效,相应的法定权限终止。除此之外,处理者还应当承担相应的民事赔偿责任和行政管理上的责任。
(二)个人信息拒绝权的“例外”
既有文章认为个人信息拒绝权的行使应当有所“例外”,特别是对于已经依法公开的个人信息,个人的拒绝权应当受到限制,主要包括:1.作为政府公开信息而公开的个人信息,在处理时个人不享有拒绝权;2.基于新闻报道和舆论公开信息的后续处理,也不应当允许行使拒绝权;3.其他由他人合法公开的情形,应视其具体情况,由执法机关或法官进行具体利益衡量。这三项例外限制拒绝权的逻辑实际上并不相同。
第一种限制是在拒绝权的成立上附加了额外的条件要求,进而产生了相应的成立抗辩权;第二种限制则是在拒绝权终止特定法定权限后,承认可以再主张存在其他类别的法定权限;第三种限制的提出则受GDPR规则的影响,认为应当针对拒绝权设置额外的形成反对权,明确当处理行为所保护的公共利益等明显强于不处理所保护的个人权益时,可以反对拒绝权的行使,使其形成效力失效。
这三种例外,指明了限制个人信息拒绝权的三种思路和方法,但这三种思路和方法的适用并非没有限制。就成立条件限制和赋予形成反对权的限制方法来说,它们不能与明确的实在法规定相违背。例如,虽然既有研究认为针对已公开个人信息的拒绝权,应当承认有成立抗辩和形成反对权,但从《个人信息保护法》第27条的“个人明确拒绝”规定来看,法律就是赋予了个人一项无条件的、终局性的终止形成权。额外认为处理者有成立抗辩权和形成反对权的观点,显然与这样一种明确的法律文义相矛盾。支持上述限制观点的论据主要是一些地方法院的判决,不仅不具有权威性,而且这些判决也都是在《个人信息保护法》出台之前作出。因此,以这些判决为依据来限制《个人信息保护法》第27条下的拒绝权,显然并不妥当。
对于承认可以再另行主张其他类别法定权限的“限制”方法来说,其并非是对拒绝权本身施加限制,而是通过肯定法定权限的“转换”或者说“替补”,使得处理行为继续具有合法基础,从而让个人行使拒绝权、以让处理者停止实施处理行为的最终目的无法实现。这里主要的问题是,面对拒绝权的形成效力,是否应当允许处理者“逃逸”到其他法定权限,是否要给处理者一个重新选择其处理行为合法基础的“反悔权”?
从实质利益考量来看,如果赋予处理者这样一种任意逃逸、反悔的权利,一方面可能导致处理者随意选择法定基础,甚至是滥用多元法定基础的规定,游离于法定权限之间,以此规避个人同意的要求或者拒绝权的行使,最终可能使得个人信息决定权的保护面临更大的困难和实现成本;另一方面这种随意逃逸、反悔的权利,也会使得处理者告知个人的有关处理行为合法性基础的内容在可信赖性上大打折扣,根本上有害于个人知情权的实现,使得个人对处理行为目的、效果以及权益影响难以形成稳定预期。正因如此,在比较法上一般强调告知的合法基础不能再随意更改。
当然,这样一种重新选定法定基础的权利,在法定权限因拒绝权的行使而终止、处理行为又确实满足其他法定权限的情况下,有其必要性,这对于相关法定利益的保护来说价值明显。但对于这样一种法定权限的逃逸、反悔行为,不应当毫无限制,比较妥当的做法是该种法定权限的转换应当经过个人、法院或者监管机构的认可才能产生效力,在此之前则应当认为拒绝权行使后处理者的处理行为就丧失了合法基础,应当停止其处理行为。
(三)具体拒绝权适用的特殊问题
个人信息拒绝权在处理上除了存在前述一般性问题之外,就具体拒绝权的适用而言还存在着一些特殊问题。下文主要针对自动化决策中的具体拒绝权和处理已公开个人信息时的拒绝权来展开分析。
1.自动化决策中的具体拒绝权
从第24条3款的规定来看,要成立自动化决策中的具体拒绝权,主要有三个构成要件:(1)存在自动化决策行为;(2)自动化决策所作出的具体决定对个人权益有重大影响;(3)该具体决定完全没有受到人工干预。
按照《个人信息保护法》第73条(二)项的规定,自动化决策就是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。由此可见,自动化决策具有通过既有的个人信息推算个人行为习惯、兴趣爱好等其他信息的作用,然后再基于推算出来的信息来决定采取特定的行为。被推算出来的信息是否也属于个人信息并非没有疑问,因为这类推算的信息不一定真实、准确,而实践中有观点就认为要构成个人信息,相关信息应当客观真实。但认为个人信息必须客观真实的理解,显然与《个人信息保护法》第4条下仅强调与个人“有关”的宽泛定义不符,也与个人享有个人信息错误时的更正权设定相矛盾。因此,通过自动化决策推算出来的信息原则上就属于个人信息。
正因如此,利用推算出来的个人信息作出决定所实施的特定行为,实际也是一种个人信息利用行为。例如,通过既有的观看记录信息来推算个人喜欢什么样的商品,然后利用这样一种推算出来的个人喜好信息,决定向个人实施精准的内容投放行为就属于个人信息处理行为。其中,通过既有的个人信息来推算出其他个人信息的过程,也就被称为“用户画像”(user profiling)。这里的问题在于,要构成第24条下的自动化决策,其通过算法和既有个人信息所推算出来的个人信息范围是否有特别的要求,还是说只要与识别出来的自然人相关,符合个人信息的一般构成要求即可?
从第73条(二)项所列举的推算出来的信息来看,“行为习惯”“兴趣爱好”“经济、健康、信用状况”等信息并非一般的个人信息,这些信息通常与个人特征有关,有的学者认为这类个人信息比一般的个人信息更具有敏感性和隐私性。但这类信息也不等同于敏感个人信息或者隐私,否则针对相关处理行为就不是赋予个人选择退出的拒绝权,而是应当按照《个人信息保护法》第29条选择进入的单独同意规则来予以限制。实际上,推算出来哪些信息才属于用户画像,本质上取决于推算目的,只要推算目的是为了给特定决策的自动作出提供依据、标准,那么无论推算出的个人信息是什么,这样一个推算就是用户画像,相关决策过程就构成自动化决策。
自动化决策所做的具体决定“对个人权益有重大影响”,这样一个要件的判断应该来说最为模糊,也最为重要,目前我国就此还缺少相应的权威解释。目前基本认为,对我国《个人信息保护法》第24条3款下“对个人权益有重大影响”的界定可以参考GDPR的相关理解,区分为两种情形,一种是改变了个人法律上的权利、义务和责任关系;一种则是使得个人的经济地位、社会地位等状况发生了与前一类法律关系变化影响程度相当的变化。
具体来说,影响信贷获得的信用评估决定、影响享受健康服务的决定、剥夺就业机会或使其处于严重不利地位的决定、影响接受教育机会的决定,都应当属于对个人权益有重大影响的决定。像大数据杀熟,对特定客户提供不合理高价的决定,当然也可以认为严重影响了个人获取服务、商品的成本和选择空间,这样一种决定对个人权益也有重大影响。
此外,具体决定完全没有受到人工干预的要件要求,也可以借鉴GDPR上的相关理解。一般认为,完全没有受到人工干预主要是指,没有自然人对决策的结果有任何实际影响。即没有具体人员参与决策,没有就决策结果作出的依据、其他考虑因素加以实际审核和筛选,也没有对决策结果予以事实上的检验、复查。这里特别需要强调的是,不是仅仅在制度上设置了相关干预制度和人员就可以认为有人工干预,从而排除拒绝权的成立。相关干预还必须是有意义并且被实际实施的。这意味着,这些干预机制本身的设置要合理,对最终决策的形成在事实上应有相当的影响,该机制当中的人员也得具备实际改变决策结果的权限和能力,最后相关人员还必须事实上施加了干预,例如在决策过程中按照流程进行了监督、审查。
2.处理已公开个人信息时的具体拒绝权
要成立第27条下的具体拒绝权,从条文内容上来看其主要需要满足的要件是个人信息已经自行公开或者合法公开。就该要件,学者认为实际上应当区分类型来加以认定,因为自行公开和合法公开两者在处理行为合法性的构建和内在价值理念上有根本差异,前者是一种推定同意,而后者则是公法上强制公开制度的自然衍生等。有的学者基于这样一种类型区分认为,就后一种合法公开而言,应当对个人的拒绝权加以额外限制,采取“责任规则”而非“财产规则”的设计,以便利法定公开信息的利用,减少利用成本。
自行公开所推定的同意实际上并非一种默示同意,而更类似于自甘冒险的同意,其之所以可以阻却不法不是因为自然人的意思自决,而是因为本人应预期到,自行公开个人信息后会有被他人任意处理的风险却仍然选择公开,本人对事后实际处理行为的发生具有过责。除此之外,公开行为也常会导致他人对该类信息处理产生信赖,从信赖保护的立场来看也应当推动处理自行公开的信息向阻却不法的方向发展。
因此,在自行公开的构成上,重要的不是个人有无公开的意思表示,而在于是否意识到,自己的处理行为会使个人信息处于不特定第三人均可获取的开放状态,但却仍然选择实施该处理行为。另外,如何认定“公开”也是一个重要问题。是否一定要处于“不特定第三人”可获取的开放状态?还是对“特定的第三人”开放也可以构成公开,只要该特定的第三人达到了某特定人数,或者该特定身份的取得实际上非常容易、几乎没有门槛?
有观点认为,为了避免豁免同意的法定权限范围过宽,应当对第27条下的公开采取绝对公开的非场景化理解,也即一定是要处于不特定第三人可获取的状态才能构成公开。这一观点有其道理,自行公开作为自甘冒险的同意,从体系上来看,它在责任构成上的限制作用本来就不应当过分宽泛,而第27条的文义显然与这一内在体系精神有所背离,确实有必要通过对“公开”加以严格解释来限制该条规定的免责效果。虽然,在证券法、金融犯罪的领域内,常常采取不特定第三人达到特定人数也构成公开的理解,但这一做法实际与严格监管、应对金融规避行为,即保护人民群众利益的内在精神相契合。将这样一种场景化的公开理解,直接嫁接到个人信息保护法中,不仅不能起到保护人民群众利益的效果,反倒可能因为过分宽泛的法定权限界定而损害人民群众利益。
“已经合法公开”,主要是指基于同意与前述自行公开之外的其他合法性基础而实施了处理行为,使特定个人信息处于不特定第三人可得而知的状态。可见,合法公开的合法基础及其内在价值考量实际上是多样的而非同质的。既可能是基于第13条(三)项而实施的政府强制信息公开,也可能是基于第13条(二)项、(四)项、(五)项合法基础而实施的信息公开。
对于这些不同于“自行公开”的“合法公开”,其在“公开”标准的构成上似乎也应当与“自行公开”的前述标准有所不同。因为,“公开”要件的认定,本质上关涉到是否产生合法权限,而这显然又应当与其背后的合法性基础和价值衡量有关,合法性基础与价值衡量不同,公开的标准当然也就应当有所差别。
因此,如果相对公开行为的合法基础本身就是为了方便后续特定第三人的再利用行为而实施,那么对这样一种相对公开个人信息的处理也应当认为具有合法性基础,构成第27条下处理已合法公开个人信息的合法行为。例如,政府登记系统登记的个人房屋信息并不构成绝对公开,而是一种相对公开,一般而言仅有利害关系人可以予以查询、收集。但利害关系人处理他人的房屋信息当然具有合法基础,应当认为属于处理已公开的个人信息。
最后,需要界定的问题是,按照《个人信息保护法》第27条的规定来看,就处理已公开个人信息时的拒绝权,还特别使用了“明确”行使的表述。从体系解释来看,《个人信息保护法》第6条、第14条下的“明确”概念也都被认为是实质性的要求,主要应当是指拒绝权的行使意思不仅应当“明示”,即通过文字、语言等表达性的积极行为来做出,而且一个拒绝意思所对应的事项还应当是特定的,不能支持“一个拒绝对应多个处理事项”的抽象拒绝。这种特定不要求一个拒绝对应一个处理行为,只要符合一个拒绝对应一个处理目的的特定要求即可。
六、结 论
《个人信息保护法》第44条规定了一般性的个人信息拒绝权,从法律中拒绝概念的内涵、个人信息保护法上具体拒绝权的规定以及比较法上个人信息拒绝权的立法经验来看,我国法上的个人信息拒绝权应当是在选择退出的逻辑下,由个人所享有的针对法定权限、无溯及效力的终止形成权。个人信息拒绝权的外延目前主要包括了《个人信息保护法》第24条3款、第27条下的具体拒绝权,以及针对第13条(四)项下无因管理型合法权限的具体拒绝权。除此之外,第13条(二)项下是否存在具体拒绝权也有解释的空间。《个人信息保护法》第44条下一般性个人信息拒绝权的规定,也为个人信息拒绝权外延的扩张提供了立法上的基础。
个人信息拒绝权在生效时点的认定上应当采取统一的到达标准,且其效力原则上不得附期限或者条件,但处理者同意的除外。处理者就拒绝权的行使承担了便捷义务,违反该义务时应直接拟制为拒绝权的形成效力生效,相应的法定权限终止。所谓的拒绝权“例外”,实际上是限制拒绝权效力的三种方法,这三种方法的适用不仅应当受限于实证法的明确规定,而且就法定权限的转换这样一种限制拒绝权效力的方法也应当有所限制,该种转换要产生效力应当经过个人、法院或者监管机构的认可。拒绝权除了存在一般性的适用问题外,针对具体的拒绝权还存在一些特别的适用问题。自动化决策中的具体拒绝权需要满足存在自动化决策行为、具体决定对个人权益有重大影响、具体决定完全没有受到人工干预三个要件。处理已公开个人信息时的具体拒绝权主要得满足个人信息已经自行公开或者合法公开的要求。
作者:萧鑫,中国社会科学院法学研究所助理研究员、博士后。
来源:《社会科学研究》2023年第2期。