楊 芳

一、問題的提出：規(guī)范評價之沖突

肖像表現(xiàn)樣態(tài)多樣，在格式上包括可納入自動化信息處理系統(tǒng)處理的電子化肖像與非電子化肖像，后者如紙質(zhì)版的素描、漫畫、照片、剪影以及雕塑等。(1)《民法典》第1018條第2款：“肖像是通過影像、雕塑、繪畫等方式在一定載體上所反映的特定自然人可以被識別的外部形象?！毙枵f明的是，肖像自然并非肖像權(quán)人的身體本身，肖像是附著于一定外部載體的個人外部形象。此外，2021年8月1日生效的《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》(法釋〔2021〕15號)對“人臉識別技術(shù)”做了私法角度的規(guī)范。該司法解釋將人臉識別技術(shù)定義為對“人臉信息”的處理，并將人臉信息歸入《民法典》第1034條的“生物識別信息”。法律適用中值得辨析的問題是“人臉信息”和肖像之關(guān)系。一般說來，人臉識別技術(shù)提取的是面部特征，而非經(jīng)典意義上的“肖像信息”。參見歐盟基本權(quán)利局2019年11月發(fā)布的《人臉識別技術(shù)：執(zhí)法中的基本權(quán)利考慮》。類似的，《歐盟個人信息保護(hù)一般條例》立法理由書第51條(歐盟條例開篇即稱“鑒于如下理由……通過本條例”，隨后在正式條文之前羅列了共173條理由，這些理由主要涉及歐盟條例具體條款的解釋，因此可稱為歐盟條例立法理由書。)中也簡單區(qū)分了照片和人臉信息：“對照片的處理原則上不應(yīng)視為對特殊類別的個人信息的處理，因為照片只有在通過特殊技術(shù)手段處理，能夠明確識別或認(rèn)證自然人的情況下，才屬于生物識別數(shù)據(jù)的定義范圍?！惫P者初步認(rèn)為，人臉信息和肖像并非完全一致，該司法解釋和肖像權(quán)保護(hù)關(guān)系或者較為疏遠(yuǎn)，且筆者目前對于人臉識別技術(shù)仍有諸多盲區(qū)，于此文一并討論恐力有不逮，故舍之。根據(jù)堪稱史上最嚴(yán)格的個人信息保護(hù)法的《歐盟個人信息保護(hù)一般條例》(General Data Protection Regulation，以下簡稱“歐盟條例”)(2)國內(nèi)多將其直譯為《歐盟通用數(shù)據(jù)保護(hù)條例》，但是根據(jù)該條例第1條，其適用范圍僅限于個人信息保護(hù)，不涉及自然人個人信息之外的其他數(shù)據(jù)，為了避免歧義，另為遵照漢語語序習(xí)慣，本文將其譯為“歐盟個人信息保護(hù)一般條例”。第2條第1款，可全部或部分以自動化方式處理的肖像信息，以及以非自動化方式處理但構(gòu)成匯編系統(tǒng)一部分或旨在構(gòu)成匯編系統(tǒng)一部分的肖像信息，皆適用該條例。不同的是，我國《個人信息保護(hù)法》第4條第2款(3)參見《個人信息保護(hù)法》第4條第2款：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等?！本图{入該法調(diào)整范圍的個人信息處理，對其處理的技術(shù)手段未加限定。因此，只要肖像充分《個人信息保護(hù)法》第4條第1款規(guī)定的“可識別性”要件，對肖像信息的處理皆受該法的規(guī)制。由上可知，《民法典》人格權(quán)編“肖像權(quán)”章所調(diào)整的肖像“制作、使用、公開、發(fā)表、復(fù)制、發(fā)行、出租、展覽”等行為，無論涉及的是肖像權(quán)精神成分的保護(hù)，還是肖像權(quán)財產(chǎn)成分的商業(yè)利用，皆構(gòu)成《個人信息保護(hù)法》中的個人信息處理行為，也受該法的調(diào)整。然而，《民法典》肖像權(quán)保護(hù)規(guī)則和《個人信息保護(hù)法》的若干條文對肖像權(quán)或肖像信息的保護(hù)，在法律評價上并非完全一致。因此，對于非私人事務(wù)領(lǐng)域的肖像信息處理(4)私人事務(wù)肖像信息處理的規(guī)范適用問題，本文第二部分詳述?；蛐は駲?quán)保護(hù)，二者可能存在法律適用上的沖突。

比較法上，肖像權(quán)保護(hù)規(guī)則和個人信息保護(hù)法在肖像信息處理上的規(guī)范適用沖突，近年逐漸引起學(xué)者注意，成為個人信息保護(hù)法的新論題。例如，歐盟條例施行僅一年半后，德國就已經(jīng)出現(xiàn)因歐盟條例和涉及肖像權(quán)保護(hù)的德國《藝術(shù)和攝影作品著作權(quán)法》(Kunsturheberrechtsgesetz-KUG，以下簡稱“KUG”)規(guī)范沖突引起的一系列裁判難題，法院需要決定究竟適用何者并給出理由。(5)Vgl.Wiebke Reuter/Johanna Schwarz, Der Umgang mit Personenbildnissen nach Inkrafttreten der DSGVO, ZUM 2020, S.31.目前，歐盟法院層面上還未見解決二者規(guī)則沖突的案件。該規(guī)范沖突的化解問題，在德國法上預(yù)計將持續(xù)處于爭議之中。(6)Vgl.Christian Schertz,§18 Das Recht am eigenen Bild, in: Ulrich Loewenheim(Hrsg.), Handbuch des Urheberrechts, 3.Aufl., 2021, Rn.4-8.

在我國，二者的規(guī)范沖突至少表現(xiàn)為如下四個方面：

第一，肖像信息處理的合法性判斷沖突。并不是所有未經(jīng)肖像權(quán)人同意的肖像利用行為均構(gòu)成肖像權(quán)侵權(quán)，個案中的利益衡量是判斷行為違法性的常用手段。相反，因《個人信息保護(hù)法》第13條對個人信息處理的合法理由作封閉列舉，這些事由之外的肖像信息處理皆構(gòu)成《個人信息保護(hù)法》上的違法行為，然而其在肖像權(quán)保護(hù)的評價上卻可能被判定為合法行為。

第二，肖像信息處理之同意的形式要求沖突?！睹穹ǖ洹穼πは駲?quán)人允許他人制作和利用肖像之同意并無任何形式要求，該同意包括可推斷之同意?！秱€人信息保護(hù)法》對于非敏感信息的處理要求明確同意，對于敏感信息的處理要求明確且單獨(dú)同意。二者顯然不同。

第三，反悔肖像(信息)使用許可的構(gòu)成要件與法律效果沖突。對于有期限肖像許可使用合同，《民法典》第1022條第2款規(guī)定了肖像權(quán)人基于正當(dāng)理由的法定解除權(quán)，且附加一定情形下的損害賠償責(zé)任。根據(jù)《個人信息保護(hù)法》第15條，肖像權(quán)人擁有的是不問理由且無需承擔(dān)賠償責(zé)任的任意撤回肖像信息處理同意的權(quán)利。

第四，肖像信息處理者所負(fù)擔(dān)法定義務(wù)的沖突。根據(jù)《個人信息保護(hù)法》，信息處理者承擔(dān)告知、刪除、提供復(fù)制品等義務(wù)，《民法典》肖像權(quán)保護(hù)規(guī)則并無此要求。

至今我國學(xué)界似乎尚未關(guān)注到肖像權(quán)保護(hù)和《個人信息保護(hù)法》在規(guī)則適用上的沖突。《個人信息保護(hù)法》2021年11月1日生效，如何合理解決該規(guī)則沖突，對于該法融入現(xiàn)行私法秩序，平衡個人信息保護(hù)和信息交流自由顯然至關(guān)重要。本文論證脈絡(luò)如下：首先，在宏觀層面上，以縮減規(guī)范沖突之范圍為目的，探討《個人信息保護(hù)法》中私人事務(wù)例外規(guī)則的合理解釋；其次，在微觀層面上，就非私人事務(wù)的肖像信息處理，分析上述四項規(guī)范沖突的具體表現(xiàn)，并提出化解方案。

二、寬松解釋私人事務(wù)例外規(guī)則：縮小規(guī)范沖突范圍

和歐盟條例第2條第2款C項(7)歐盟條例第2條第2款C規(guī)定：“本法不適用于自然人純粹的個人或者家庭事務(wù)中的個人信息處理活動?！毕噍^于《個人信息保護(hù)法》第72條第1款，在措辭上增加了“純粹”(purely)一詞。類似，《個人信息保護(hù)法》第72條第1款規(guī)定了“個人或者家庭事務(wù)”例外規(guī)則(以下簡稱“私人事務(wù)例外規(guī)則”)：“自然人因個人或者家庭事務(wù)處理個人信息的，不適用本法?！彼饺耸聞?wù)例外規(guī)則背后的理由在于“比例原則”：自然人非商業(yè)目的的信息處理對于個人威脅較小，沒必要將其置于個人信息保護(hù)法嚴(yán)格繁瑣的保護(hù)之下。亦即，私人事務(wù)的肖像信息處理不在個人信息保護(hù)法規(guī)范范圍之內(nèi)，應(yīng)由民法典中肖像權(quán)保護(hù)規(guī)則調(diào)整，在這一領(lǐng)域二者不發(fā)生規(guī)范沖突。然而，第72條第1款中的“個人或者家庭事務(wù)”并非內(nèi)涵外延清晰的法學(xué)概念，如何劃定其邊界，既不使個人信息保護(hù)規(guī)則“脫靶”，又避免個人信息保護(hù)規(guī)則不恰當(dāng)越界，是值得研究的問題。

對《個人信息保護(hù)法》和肖像權(quán)保護(hù)規(guī)則的規(guī)范競合而言，若采嚴(yán)格解釋立場，嚴(yán)格限定私人事務(wù)的范圍，則《個人信息保護(hù)法》的適用范圍將更寬泛，與肖像權(quán)保護(hù)規(guī)則在調(diào)整范圍上發(fā)生重疊的可能性增加。若采寬松解釋立場，被排除出《個人信息保護(hù)法》適用范圍的私人事務(wù)肖像信息處理情形將增加，二者發(fā)生規(guī)范競合的可能性相應(yīng)減少。

歐盟裁判和學(xué)說一直奉行嚴(yán)格解釋立場，沒有將非職業(yè)或非商業(yè)目的的個人信息處理完全歸入私人事務(wù)范疇。自“歐洲議會和歐盟理事會1995年10月24日關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流通的指令”(下文簡稱“歐盟指令”)第3條第2款第2項確立私人事務(wù)例外規(guī)則以來，何謂“個人的”和“家庭事務(wù)的”個人信息處理，歐盟指令、現(xiàn)行歐盟條例和德國《聯(lián)邦數(shù)據(jù)保護(hù)法》均沒有給出進(jìn)一步的解釋。根據(jù)歐盟條例立法理由書第18條，私人事務(wù)的個人信息處理是自然人純粹出于個人或者家庭事務(wù)之目的的行為，與職業(yè)行為和商業(yè)行為無關(guān)；例如，私人通信中對于個人信息的處理、私人通信地址的存儲、社交場合信息處理以及網(wǎng)絡(luò)上的信息處理行為，均可能屬于個人或者家庭事務(wù)處理。歐盟條例的制定者顯然試圖通過清晰的例外規(guī)定，區(qū)別對待令人擔(dān)憂的大規(guī)模個人信息商業(yè)處理行為和構(gòu)成私人表達(dá)自由的個人信息處理行為，從而平衡個人信息保護(hù)和信息交往自由，為私人信息交流自由留有恰當(dāng)?shù)目臻g。上述區(qū)分的主要判斷標(biāo)準(zhǔn)仍是行為目的。然而，行為目的和個人信息濫用之可能性實(shí)際上并非完全直接相關(guān)，因而歐盟裁判以及德國學(xué)說逐漸拋棄絕對的目的論，從其他角度界定私人事務(wù)。

歐盟裁判立場和德國通說往往以“私人事務(wù)和公開不相容”(8)Vgl.EuGH EuZW 2004, 245(249), Rn.47.為理論基礎(chǔ)，對于網(wǎng)絡(luò)上公開他人信息的行為，以及對于圖像采集區(qū)域涉及公共領(lǐng)域的攝像頭安裝行為，無論其是否出于私人目的，統(tǒng)統(tǒng)排除出私人事務(wù)的范疇。2003年歐盟法院在Lindqvist案判決中認(rèn)定，被告將他人的肖像信息和其他個人信息公布在任何人都可以登錄的網(wǎng)絡(luò)平臺上，不構(gòu)成私人事務(wù)個人信息處理。(9)Vgl.EuGH MMR 2004, 95(96).在著名的2014年“住宅安裝攝像頭案”判決中，歐盟法院認(rèn)為，自然人為保護(hù)自己以及家人的財產(chǎn)、健康和生命而在其家庭住宅上安裝攝像設(shè)備，并存儲被拍攝者的視頻，因圖像采集范圍涉及公共空間，這并不構(gòu)成私人事務(wù)，該行為不排除歐盟指令的適用。(10)Vgl.EuGH Urt.v.11.12.2014-C-212/13, NJW 2015, 463.和上述裁判立場一致，德國通說采“可控制”理論，以所涉?zhèn)€人信息之流向是否可控為判斷標(biāo)準(zhǔn)，區(qū)分出威脅程度不同的信息處理行為，進(jìn)而判斷其是否屬于私人事務(wù)。(11)德國法上為此發(fā)展出了紛繁復(fù)雜的多種多樣的區(qū)分標(biāo)準(zhǔn)，具體參見Sibylle Gierschmann u.a.(Hrsg.), Kommentar Datenschutz-Grundverordnung, 2017, Art.2, Rn.25。根據(jù)該學(xué)說，出于私人交往目的，將他人個人信息置于非公眾、而是有限數(shù)量的人才能獲取的場合中，則屬于私人事務(wù)。不僅如此，信息獲取者在身份上必須和信息處理者本人具有相當(dāng)緊密之關(guān)系，比如二者是家庭成員或者朋友。(12)Vgl.Peter Gola, in: Peter Gola(Hrsg.), Datenschutz-Grundverordnung Kommentar, 2.Aufl., 2018, Art.2, Rn.25; Spiros Simitis, Bundesdatenschutzgesetz Kommentar, 8.Aufl., 2014, Art.2, Rn.29.另外，如果在特定場合下個人信息存在被繼續(xù)傳遞給第三人的可能性，則不屬于私人事務(wù)。(13)參見同前注〔11〕，Sibylle Gierschmann等編評注，第2條邊碼47。這一學(xué)說和歐洲議會在歐盟條例起草過程中的態(tài)度完全一致，即所謂的私人事務(wù)處理僅僅指的是可獲取個人信息的受眾范圍數(shù)量有限的情形。(14)歐洲議會對于歐盟條例草案的意見第2條第2款D。Vgl.Standpunkt des Europ?isches Palarment zum Entwurf der Kommission der DS-GVO[Legislative Entschlie?ung des EP v.12.3.2014, COM(2012)0011-C7-0025/2012-2012/0011(COD)].

必須指出的是，上述對私人事務(wù)嚴(yán)格解釋的立場可能引發(fā)的繁瑣嚴(yán)格的個人信息保護(hù)規(guī)則對私人交往的干涉問題，一定程度上可以被歐盟條例第6條第1款f(15)參見歐盟條例第6條第1款f項規(guī)定：“只有在以下情況下，個人信息處理才是合法的：為了個人信息控制者或第三方所追求的合法利益，個人信息處理是必要的，除非其個人信息需獲得保護(hù)的個人信息主體的利益或基本權(quán)利和自由優(yōu)先于這些合法利益，特別是當(dāng)個人信息主體是兒童時?！钡摹昂戏ɡ妗睏l款消解。信息處理者若對于個人信息處理具有“合法利益”，則無需信息主體的同意，這種規(guī)范設(shè)計擴(kuò)充了信息處理的合法理由清單，無異于在僵硬的個人信息保護(hù)規(guī)范中引入有彈性的價值衡量條款，使得至少在個人信息處理的合法理由上，特定情形的個人信息處理無需信息主體的同意。在前述“住宅安裝攝像頭案”中，歐盟法院在判決書中附帶說明，雖然本案不屬于私人事務(wù)，不排除歐盟指令的適用，但是攝像頭安裝人出于保護(hù)自身和家人人身和財產(chǎn)安全的目的安裝攝像頭的行為，構(gòu)成了基于“合法利益”處理他人個人信息，因此無需征得被采集人的同意。(16)參見同前注〔10〕。

我國《個人信息保護(hù)法》第13條第1款之合法理由封閉清單并無類似歐盟條例“合法利益”條款的規(guī)范設(shè)計，在認(rèn)定個人信息處理行為的合法性上并未留有容納價值判斷的彈性條款。如果在解釋《個人信息保護(hù)法》第72條第1款私人事務(wù)例外規(guī)則時，參照上述比較法上的嚴(yán)格解釋立場，尤其是將網(wǎng)絡(luò)上公開他人信息的行為以及圖像采集區(qū)域涉及公共領(lǐng)域的攝像頭安裝行為一概排除出私人事務(wù)范疇，則不僅可能對私人交往目的之下的肖像收集和利用行為構(gòu)成不當(dāng)干涉，在法律適用上也將引發(fā)《個人信息保護(hù)法》和肖像權(quán)保護(hù)規(guī)則在這些行為上的規(guī)范競合?！秱€人信息保護(hù)法》施行前，對于在網(wǎng)絡(luò)社交平臺上公開他人個人信息(17)詳見(2020)滬0106民初字第16166號判決書；(2020)粵06民終字第8613號判決書；(2020)遼01民終字第8185號判決書；(2019)云01民終字第5310號判決書；(2019)京0108民初字第28025號判決書；(2020)滬01民終字第9141號判決書；(2019)浙01民終字第8923號判決書；(2019)浙01民終字第210號判決書。和圖像采集范圍涉及公共領(lǐng)域的攝像頭安裝(18)詳見(2020)滬0118民初字第15600號判決書；(2020)京0111民初字第12513號判決書；(2020)蘇0724民初字第4284號判決書；(2020)京02民終字第1641號判決書；(2019)川民申字第4943號判決書；(2018)滬01民終字第257號判決書；(2018)京01民終字第488號判決書。這些糾紛類型，我國法院運(yùn)用既有的人格權(quán)以及肖像權(quán)保護(hù)規(guī)則進(jìn)行裁判，在結(jié)果上也并無不妥，未出現(xiàn)肖像個人信息保護(hù)不足的問題。因此，在《個人信息保護(hù)法》與《民法典》肖像權(quán)保護(hù)規(guī)則并行的法律架構(gòu)下，應(yīng)當(dāng)寬松解釋《個人信息保護(hù)法》第72條第1款私人事務(wù)例外規(guī)則。將自然人非商業(yè)、非職業(yè)的個人信息處理行為，尤其是出于社會交往、言論表達(dá)以及維護(hù)自身權(quán)益等目的的個人信息處理行為，無論所涉?zhèn)€人信息是否被放置于人人皆可瞬間獲取的公開場合，皆應(yīng)當(dāng)解釋為自然人因個人或者家庭事務(wù)處理個人信息，排除《個人信息保護(hù)法》的適用，從而避免其與肖像權(quán)保護(hù)規(guī)則的規(guī)范競合。

三、肖像信息處理合法性判斷的沖突與消融

(一)封閉列舉合法事由與允許個案利益衡量以認(rèn)定行為違法性的沖突

和國際通行個人信息保護(hù)規(guī)則類似，我國《個人信息保護(hù)法》奉行“若無合法理由，原則上禁止個人信息處理”的基本理念，即，原則上禁止肖像信息的收集、傳播和公開，除非具備第13條封閉式列舉的以同意為核心的合法理由。信息主體的同意在各國個人信息保護(hù)法的合法理由清單中始終居于核心地位。因為，同意規(guī)則是個人信息自決權(quán)的真正體現(xiàn)，(19)Vgl.Ro?nagel/Pritzmann/Garstka, Modernisierung des Datenschutzrechts, 2016, S.7, 72.信息主體據(jù)此得以控制自己個人信息的流向。申言之，在《個人信息保護(hù)法》架構(gòu)中，若無肖像權(quán)人的同意，只有具備第13條第1款第2項到第7項列舉的合法理由，才能處理肖像信息，否則將構(gòu)成違反《個人信息保護(hù)法》的違法行為，發(fā)生個人信息刪除義務(wù)和損害賠償?shù)确珊蠊?。此外，《個人信息保護(hù)法》不區(qū)分公眾人物和非公眾人物，不區(qū)分公開場合拍攝和非公開場合拍攝，不區(qū)分集體照片和個人肖像，不區(qū)分風(fēng)景照和個人肖像，只要符合個人信息保護(hù)法“可識別性”(直接或間接)標(biāo)準(zhǔn)，皆納入保護(hù)范圍。

《民法典》第1019條規(guī)定肖像的制作、使用和公開需經(jīng)肖像權(quán)人同意。同時，第1020條列舉了五種無需肖像權(quán)人同意的肖像合理制作、使用和公開行為，以在保護(hù)肖像權(quán)與平衡社會公共利益之間進(jìn)行平衡和協(xié)調(diào)。(20)參見黃薇主編：《中華人民共和國民法典釋義》，法律出版社2020年版，第1887頁。在肖像信息處理行為的合法性判斷上，應(yīng)當(dāng)說，《民法典》與《個人信息保護(hù)法》的法律評價大體上是保持一致的：其一，暫不考慮《個人信息保護(hù)法》對肖像信息處理的同意在形式上可能存在特殊要求，(21)例如《個人信息保護(hù)法》第14條第1款規(guī)定的單獨(dú)同意或者書面同意，第25條、第26條、第29條、第39條規(guī)定的單獨(dú)同意。合法的肖像制作、公開、使用或肖像信息處理均需要肖像權(quán)人同意；其二，《民法典》第1020條第2項、第3項、第5項與《個人信息保護(hù)法》第13條第1款第3項、第4項、第5項文字表述雖然不完全一致，但所規(guī)定的情形基本相同；其三，《民法典》第1020條第1項、第4項規(guī)定的合理使用行為，有可能構(gòu)成《個人信息保護(hù)法》第72條第1款規(guī)定的因個人或家庭事務(wù)處理個人信息，不適用《個人信息保護(hù)法》，因此，其行為違法性判斷以《民法典》肖像權(quán)保護(hù)規(guī)則為準(zhǔn)。

《個人信息保護(hù)法》與《民法典》在肖像信息處理的合法性評價上，二者的明顯差別在于，前者的第13條封閉列舉個人信息處理的合法理由，凡此之外的肖像信息處理皆違法；而后者對于未得到肖像權(quán)人同意，也不屬于《民法典》第1020條規(guī)定的合理使用情形的肖像制作、公開、使用行為，并非一概認(rèn)定為行為違法，而是允許在個案中綜合考慮相關(guān)因素以進(jìn)行利益衡量。申言之，《民法典》第998條提供了個案利益衡量的規(guī)范基礎(chǔ)，被認(rèn)為是我國《民法典》采納侵權(quán)法上的侵權(quán)行為動態(tài)系統(tǒng)論的法律規(guī)則。(22)參見最高人民法院民法典貫徹實(shí)施工作領(lǐng)導(dǎo)小組主編：《中華人民共和國民法典人格權(quán)編理解與適用》，人民法院出版社2020年版，第100頁。該條規(guī)定：“認(rèn)定行為人承擔(dān)侵害除生命權(quán)、身體權(quán)和健康權(quán)外的人格權(quán)的民事責(zé)任，應(yīng)當(dāng)考慮行為人和受害人的職業(yè)、影響范圍、過錯程度，以及行為的目的、方式、后果等因素?！苯忉屔?，該條所謂認(rèn)定行為承擔(dān)民事責(zé)任應(yīng)當(dāng)逐項考慮因素是指，無論是關(guān)于責(zé)任構(gòu)成，還是責(zé)任后果，都需要對這些因素進(jìn)行綜合衡量，(23)參見同前注〔20〕，黃薇書，第1887頁。以確定侵權(quán)責(zé)任是否成立以及責(zé)任后果。易言之，在侵權(quán)責(zé)任成立要件上，(24)有觀點(diǎn)認(rèn)為，對于《民法典》第1165條第1款的解釋和適用，應(yīng)當(dāng)以要件的動態(tài)化為基礎(chǔ)構(gòu)建基礎(chǔ)性評價框架。參見葉金強(qiáng)：《〈民法典〉第1165條第1款的展開路徑》，載《法學(xué)》2020年第9期，第36頁。綜合考量這些因素進(jìn)行利益衡量后，無論是將該因素用于認(rèn)定侵權(quán)行為違法性構(gòu)成要件還是用于認(rèn)定侵權(quán)行為過錯要件的成立與否，(25)參見程嘯：《侵權(quán)責(zé)任法》(第三版)，法律出版社2021年版，第286頁。均可能發(fā)生未經(jīng)肖像權(quán)人同意也不符合肖像合理使用法定情形的肖像利用行為被認(rèn)定為法律所允許，從而不構(gòu)成侵權(quán)行為的利益衡量結(jié)果。由此，《個人信息保護(hù)法》和肖像權(quán)保護(hù)規(guī)則在對同一肖像利用行為合法性法律評價上發(fā)生規(guī)范沖突。

實(shí)務(wù)上有兩則例子可展現(xiàn)該規(guī)范沖突。其一，在車輛上安裝的拍攝范圍指向公共領(lǐng)域的行車記錄儀，并不符合《個人信息保護(hù)法》第13條第1款第2項至第7項中任何一種情形，除非獲得肖像權(quán)人的同意，否則構(gòu)成違法處理個人信息的行為。但是，根據(jù)肖像權(quán)保護(hù)規(guī)則，在發(fā)生交通事故時，行車記錄儀有助于提供證據(jù)，安裝者的此項利益顯然不可忽視，因此，安裝行車記錄儀在個案中可能被允許。(26)比較法上，德國聯(lián)邦最高法院一直將行車記錄儀的安裝行為判定為合法行為。Vgl.BGH Urt.v.15.5.2018-VI ZR 233/17, BeckRS 2018, 8602 = NJW 2018, 2883.其二，在“賈桂花訴北京電影學(xué)院青年電影制片廠侵害肖像權(quán)案”(27)詳見(1995)中民終字第797號民事裁定書。中，被告未經(jīng)原告的同意，在電影中使用了公開場合拍攝到的原告在街頭販賣棉花糖的肖像，時長4秒。法院認(rèn)為“采取偷拍暗攝以實(shí)現(xiàn)客觀紀(jì)實(shí)效果的需要”是藝術(shù)創(chuàng)作的必要，“因此被使用的肖像不具有獨(dú)立的經(jīng)濟(jì)和藝術(shù)價值，該肖像人物就不應(yīng)享有禁止使用和索要肖像報酬的權(quán)利”，(28)同上注。被告之行為構(gòu)成合理使用。若依《個人信息保護(hù)法》，本案中被告之行為構(gòu)成對原告肖像信息之處理行為，因其不符合《個人信息保護(hù)法》第13條第1款第2項至第7項任何一種情形，構(gòu)成違法的肖像信息處理行為。

(二)解決方案

必須強(qiáng)調(diào)的是，《個人信息保護(hù)法》和《民法典》肖像權(quán)保護(hù)規(guī)則規(guī)范的并非同一事項，二者在法律適用上不當(dāng)然適用新法優(yōu)先于舊法以及特別法優(yōu)先于一般法的原則，毋寧，應(yīng)針對具體沖突事項結(jié)合立法目的及基本法律原則進(jìn)行個別分析，以決定何者優(yōu)先適用?！睹穹ǖ洹沸は駲?quán)保護(hù)規(guī)則保護(hù)的是肖像上的人格利益，《個人信息保護(hù)法》旨在防止個人信息濫用導(dǎo)致信息主體遭受精神和財產(chǎn)損失，不以該個人信息上存在人格利益為前提。個人信息保護(hù)規(guī)則之于私權(quán)保護(hù)，猶如道路交通通行規(guī)則之于道路交通參與者的生命和財產(chǎn)保護(hù)。猶如在對生命和財產(chǎn)威脅程度較大的道路交通領(lǐng)域引入交通規(guī)則，大數(shù)據(jù)時代背景下需引入嚴(yán)格的個人信息保護(hù)規(guī)則，以防止個人信息被過度收集和濫用，從而避免進(jìn)一步的加害行為。亦即，對于私權(quán)保護(hù)而言，提前介入的個人信息保護(hù)法防止的僅僅是一種危險，而非對人格利益的現(xiàn)實(shí)加害或者威脅。

同一事物同一評價，是為正義。為了保證肖像權(quán)保護(hù)規(guī)則與《個人信息保護(hù)法》在肖像使用行為的合法性上做出同樣的法律評價，對于根據(jù)《民法典》第998條經(jīng)由利益衡量方法被認(rèn)定為合法的肖像使用行為，在《個人信息保護(hù)法》上也應(yīng)當(dāng)承認(rèn)所涉肖像信息處理行為的合法性，即使其不具備《個人信息保護(hù)法》第13條第1款的合法處理理由。比較法上，法院在認(rèn)定個人信息處理的合法性時，并沒有完全排除個案利益衡量方法的運(yùn)用。德國具有里程碑意義的“網(wǎng)絡(luò)評師案”(29)BGH MMR 2009, 608 m.Anm.Greve/Sch?rdel-spickmich.de.即持這一裁判立場。該案涉及被告在某一著名網(wǎng)絡(luò)論壇上評價原告(被告的老師)的教學(xué)水平。案件爭議焦點(diǎn)在于，被告未經(jīng)原告同意而在網(wǎng)站上公開原告的姓名、任職學(xué)校、教授課程、肖像等個人信息，這些不符合德國《聯(lián)邦數(shù)據(jù)保護(hù)法》的行為是否構(gòu)成對原告的一般人格權(quán)、隱私權(quán)和肖像權(quán)的侵犯，從而應(yīng)該受到禁止。德國聯(lián)邦最高法院意識到肖像權(quán)保護(hù)、一般人格權(quán)保護(hù)與個人信息保護(hù)規(guī)則的沖突，在適用德國《聯(lián)邦數(shù)據(jù)保護(hù)法》相關(guān)條款時，從德國《基本法》第1條、第2條和第5條出發(fā)，第一次創(chuàng)造性地在個人信息保護(hù)法的適用中引入利益衡量機(jī)制，對《聯(lián)邦數(shù)據(jù)保護(hù)法》做了超出文義的解釋：《聯(lián)邦數(shù)據(jù)保護(hù)法》條款的具體適用必須平衡個人信息自決權(quán)和信息交流自由，原則上，后者優(yōu)先；被告所做的評論和公開原告肖像的行為，僅僅涉及原告的職業(yè)行為，屬于信息交流自由的一部分，應(yīng)當(dāng)被允許。本案中，德國聯(lián)邦最高法院在系爭糾紛存在規(guī)范適用沖突時，結(jié)合個案，衡量沖突利益，對于根據(jù)個案利益衡量沒有被判定為違法的肖像使用行為，也承認(rèn)其屬于個人信息保護(hù)法意義上的合法處理行為。

在我國，“凌某某與微播視界公司隱私權(quán)、個人信息權(quán)益網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案”(30)詳見(2019)京0491民初字第6694號判決書。是法院通過利益衡量認(rèn)定是否構(gòu)成個人信息權(quán)益侵權(quán)的典型案例。該案涉及被告公司未經(jīng)原告同意從第三人的手機(jī)通訊錄讀取原告的姓名、手機(jī)號這些個人信息是否侵犯其個人信息權(quán)益的問題。法院認(rèn)為，對于姓名和手機(jī)號碼的使用，會涉及手機(jī)用戶、通訊錄聯(lián)系人以及互聯(lián)網(wǎng)行業(yè)發(fā)展的不同利益需求的平衡，因此，應(yīng)從姓名和手機(jī)號碼信息的特點(diǎn)與屬性、信息使用的方式和目的、對各方利益可能產(chǎn)生的影響三方面進(jìn)行分析。法院結(jié)合案情分析認(rèn)定，被告未經(jīng)同意讀取原告的手機(jī)號碼屬于對該信息的合理使用，不構(gòu)成侵權(quán)，但被告將收集到的原告姓名及手機(jī)號碼信息仍然存儲于被告的后臺系統(tǒng)中，超出必要限度，不屬于合理使用，構(gòu)成對原告該項個人信息權(quán)益的侵害。該案判決與前述德國聯(lián)邦最高法院判決均肯定個案利益衡量方法在認(rèn)定是否構(gòu)成個人信息權(quán)益侵權(quán)上的重要價值，其裁判思路值得贊同。根據(jù)個案利益衡量被認(rèn)定為合理的肖像使用行為，應(yīng)當(dāng)認(rèn)定為并未違反《個人信息保護(hù)法》。

四、肖像信息處理之同意的形式要求沖突與消融

(一)規(guī)則沖突

性質(zhì)上，《民法典》肖像權(quán)保護(hù)規(guī)則中的肖像權(quán)人的同意是一項需受領(lǐng)的意思表示，根據(jù)《民法典》第140條可以明示方式、默示方式，(31)我國法院也認(rèn)可以默示方式作出的同意是合法有效的。參見葉龍江訴云南長基房地產(chǎn)開發(fā)有限公司等肖像權(quán)案，(2008)昆民三終字第941號判決書?；蛘咴谟蟹梢?guī)定、當(dāng)事人約定或者符合當(dāng)事人之間的交易習(xí)慣時也可以沉默方式作出。此外，此項同意可以包含在合同中，無需單獨(dú)作出，事后的同意亦可，且此項同意不因肖像類型不同而形式要求不同。

與歐盟條例第7條(32)通說認(rèn)為，歐盟條例中的同意是明確同意，并不包含可推斷之同意。Vgl.Eike Michael Frenzel, in: Boris Paal/Daniel A.Pauly(Hrsg.), DS-GVO BDSG, 2.Aufl., 2018, Art.6, Rn.11.及其立法理由書第32條立場一致，我國《個人信息保護(hù)法》第14條第1款第1句規(guī)定：“基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出?！?33)《網(wǎng)絡(luò)安全法》第22條第3款前半句規(guī)定：“網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意?！钡?1條第1款規(guī)定：“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意?！逼渲?，并沒有要求“明確表示的同意”?！睹穹ǖ洹返?035條也并未明確要求“同意需明示”，學(xué)者認(rèn)為，這說明了，個人信息處理中的同意不一定明示，默示的也可以。參見王利明：《〈民法典〉人格權(quán)編的立法亮點(diǎn)、特色與適用》，載《法律適用》2020年第17期，第14頁。如果涉及私密肖像，可能構(gòu)成《個人信息保護(hù)法》第28條之敏感信息，從而適用第29條第1款，肖像信息處理所需同意乃單獨(dú)同意。上述規(guī)定僅針對肖像信息的獲取、處理和傳遞，若涉及公開，仍需根據(jù)第25條獲得信息主體的單獨(dú)同意。另外，對于個人信息保護(hù)法而言，事后的同意不足以阻卻之前信息處理的違法性。(34)Vgl.Wolfgang D?ubler, Gl?serne Belegschaften, 6.Aufl., 2015,§4 Rn.137; Gregor Thüsing/Johannes Traut, in: Gregor Thüsing u.a., Besch?ftigtendatenschutz und Compliance, 2.Aufl., 2014,§5 Rn.6.《個人信息保護(hù)法》對同意形式的特殊要求還規(guī)定在第26條和第39條。亦即，規(guī)則之沖突集中在是否允許以可推斷、沉默的方式作出同意，是否必須單獨(dú)同意以及同意是否必須事先作出。

(二)解決方案

第一，在同意的形式要求上，一般來說應(yīng)當(dāng)優(yōu)先適用《個人信息保護(hù)法》第25條、第26條、第29條和第39條對同意形式的特殊要求。就立法目的而言，制定《個人信息保護(hù)法》之初衷在于，肖像權(quán)、隱私權(quán)等人格權(quán)保護(hù)規(guī)則的保護(hù)力度或有所不足，需要引入整套前置的個人信息保護(hù)規(guī)則來對自然人的個人信息提供更加強(qiáng)大的法律保護(hù)。其中，對個人信息處理所需同意要求明示同意、單獨(dú)同意或書面同意即屬于此種強(qiáng)化保護(hù)的特別規(guī)則。例如，《個人信息保護(hù)法》第25條規(guī)定“個人信息處理者不得公開其處理的個人信息，取得個人單獨(dú)同意的除外”，是為了強(qiáng)化個人對其個人信息的自決。該法第26條規(guī)定，在公共場所安裝圖像采集、個人身份識別設(shè)備所收集的個人圖像、身份識別信息只能用于維護(hù)公共安全的目的，不得用于其他目的，除非取得個人單獨(dú)同意。該規(guī)定是比例原則運(yùn)用的結(jié)果，個人信息權(quán)益讓位于維護(hù)公共安全的目的，但所收集的個人信息只能用于維護(hù)公共安全，因收集到的信息存在被濫用的可能，且所采集圖像往往涉及多人同時出現(xiàn)的場景，因此，法律特別規(guī)定，所采集圖像信息用于其他目的必須取得個人單獨(dú)同意。關(guān)于敏感個人信息，因其泄露或者非法使用容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害，具有較大的加害危險性，因此，該法第29條要求敏感個人信息的處理需要個人的單獨(dú)同意。該法第39條規(guī)定個人信息處理者向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)取得個人的單獨(dú)同意，是因為該提供信息行為可能給個人行使《個人信息保護(hù)法》第四章規(guī)定的個人在個人信息處理活動中的權(quán)利造成困難，還存在發(fā)生糾紛時的準(zhǔn)據(jù)法確定及保護(hù)難度等問題。

第二，除了遵守《個人信息保護(hù)法》第25條、第26條、第29條和第39條所規(guī)定的同意形式特殊要求之外，對于其他肖像信息處理行為，滿足《民法典》肖像權(quán)保護(hù)規(guī)則中的肖像權(quán)人同意的要求即可，即符合《民法典》第140條規(guī)定默示同意、以沉默方式作出同意以及事后同意均無不可。亦即，對于肖像信息處理行為，應(yīng)當(dāng)排除《個人信息保護(hù)法》第14條第1款第1句關(guān)于明示同意的規(guī)定的適用。

首先，肖像個人信息處理上的個人同意，其核心在于個人自愿作出同意的表示，至于其形式上為明示、默示或沉默，同意的時間為事前還是事后，對個人行使其個人信息權(quán)益無關(guān)緊要，不妨允許肖像權(quán)人自主決定。

其次，比較法上，也有主張在涉及肖像信息處理的情形，應(yīng)當(dāng)排除個人信息保護(hù)規(guī)則關(guān)于個人同意形式的規(guī)定之適用的案例，以協(xié)調(diào)肖像權(quán)保護(hù)與肖像信息保護(hù)規(guī)則之沖突，該立場可資贊同。例如，在德國“遞煙的女招待案”(35)BGH NJW 2015, 1450 = GRUR 2015, 295.中，原告作為香煙制造商的雇員，在一次名人聚會的活動中給客人遞煙，這次聚會被錄制為名為“德國下一個超模”的電視節(jié)目，其中出現(xiàn)原告的鏡頭，原告要求刪除。案子爭議焦點(diǎn)在于，原告沒有對在電視節(jié)目中公開其肖像作出任何符合德國《聯(lián)邦數(shù)據(jù)保護(hù)法》的明確的同意，被告行為是否因此構(gòu)成肖像權(quán)侵權(quán)。德國聯(lián)邦最高法院認(rèn)為，原告的確不是名人，但是這次活動有公開的利益，而且要求拍攝者在名人和非名人之間做區(qū)分是不可能的；既然原告出于工作的緣由參與某次事件，而且能夠考慮到該事件可能會被拍攝，自然視為同意拍攝，也視為同意將拍攝影像公開，這里無需對肖像之公開作出特別的單獨(dú)同意，雇傭合同中存在可推斷的同意即可，從而，駁回了原告的停止侵害請求權(quán)。本案中德國聯(lián)邦最高法院雖未論證KUG和德國《聯(lián)邦數(shù)據(jù)保護(hù)法》的適用關(guān)系，但是在判決結(jié)果上，優(yōu)先適用了KUG中并未對同意施加任何形式要件的立場。

基于以上兩點(diǎn)理由，為了消解與既有肖像權(quán)保護(hù)規(guī)則的沖突，《個人信息保護(hù)法》第14條第1款第1句關(guān)于個人信息處理需要個人明示同意的規(guī)則，至少在肖像信息的處理情形，應(yīng)對其進(jìn)行限縮解釋，排除該規(guī)則的適用。

五、反悔權(quán)的沖突與消融

(一)肖像權(quán)保護(hù)規(guī)則中的定期肖像許可使用合同解除規(guī)則

在民法肖像權(quán)保護(hù)規(guī)則中，肖像使用同意之撤回始終是一個需要提供重大正當(dāng)理由的例外，絕非僅系于肖像權(quán)人之恣意的“單方權(quán)利”?！睹穹ǖ洹返?022條第2款參照德國法上的肖像權(quán)人撤回同意規(guī)則，第一次在實(shí)證法層面上引入了肖像權(quán)人基于正當(dāng)理由對定期肖像許可使用合同的解除權(quán)。其規(guī)范意旨是，在肖像商業(yè)利用中應(yīng)當(dāng)加強(qiáng)對肖像權(quán)人人格尊嚴(yán)的保護(hù)，允許肖像權(quán)人基于正當(dāng)理由反悔對他人的肖像使用許可。但是，正當(dāng)理由應(yīng)當(dāng)與肖像權(quán)人的人格利益相關(guān)，亦即，繼續(xù)履行肖像權(quán)許可合同將會影響其人格尊嚴(yán)和自由，(36)參見同前注〔22〕，最高人民法院民法典貫徹實(shí)施工作領(lǐng)導(dǎo)小組書，第260頁。例如，在肖像權(quán)人外在的生活環(huán)境(37)Vgl.Roland Rixecker, in: Münchener Kommentar zum BGB, 8.Aufl., 2018, Anhang zu§12 Das Allgemeine Pers?nlichkeitsrecht, Rn.75.或者內(nèi)心的觀念發(fā)生改變(38)Vgl.Helle, Die Einwilligung beim Recht am eigenen Bild, AfP 1985, S.93, 100.之情形，為了保護(hù)其特別的精神利益，停止使用該肖像是必要的。

法律效果上，其一，解除通知生效后，作為持續(xù)性債務(wù)之肖像許可使用合同即向后發(fā)生終止效力，且根據(jù)《民法典》第566條第1款，屬于根據(jù)合同性質(zhì)無法恢復(fù)原狀之情形，不發(fā)生恢復(fù)原狀義務(wù)。解除之前已經(jīng)屆至之義務(wù)，根據(jù)第566條第1款，也無需履行。其二，《民法典》第1022條第2款第2句規(guī)定了合同解除后可歸責(zé)于肖像權(quán)人情形的損害賠償責(zé)任，但何為“可歸責(zé)”，損害賠償范圍如何確定，皆有進(jìn)一步探討的空間。有觀點(diǎn)認(rèn)為，和肖像權(quán)人無關(guān)的正當(dāng)理由即不具有可歸責(zé)性，且該損害賠償在性質(zhì)上是履行利益賠償，否則既對相對人不公，也不足以填補(bǔ)相對人的損失。(39)參見同前注〔22〕，最高人民法院民法典貫徹實(shí)施工作領(lǐng)導(dǎo)小組書，第261-262頁。無論學(xué)說上和司法裁判中如何把握正當(dāng)理由和損害賠償范圍，肖像權(quán)人至少擁有的不是一項無需理由無需代價的任意解除權(quán)，這一法律構(gòu)造和《個人信息保護(hù)法》中之撤回同意規(guī)則大異其趣。

(二)《個人信息保護(hù)法》中的撤回同意規(guī)則

依據(jù)《個人信息保護(hù)法》第15條第1款，信息主體擁有的是任意撤回權(quán)，可不問理由隨時撤回同意。任意撤回權(quán)向來是個人信息保護(hù)法制度中一項極為重要的原則。歐盟條例第7條第3款第1句承認(rèn)了這一自歐盟指令以來的長期法律立場。這被理解為個人信息自決權(quán)的當(dāng)然之意：信息主體有權(quán)糾正之前的錯誤；大數(shù)據(jù)時代，一個時間和數(shù)量上沒有限制的信息存儲很有可能使個人人格剖面圖全面展露無遺，信息主體顯然無法在作出同意時預(yù)見未來所有的情形，所以必須賦予其撤回權(quán)。(40)Vgl.Benedikt Buchner, in: Jürgen Kühling/Benedikt Buchner(Hrsg.), DS-GVO/BDSG, 2017, Art.6 DS-GVO, Rn.1 f.; Art.7, Rn.33.有觀點(diǎn)認(rèn)為，即使該同意是作為合同的對待給付作出的，也應(yīng)當(dāng)允許信息主體任意撤回。(41)Vgl.Specht, Daten als Gegenleistung-Verlangt die Digitalisierung nach einem neuen Vertragstypus?, JZ 2017, S.763 ff.

在法律效果上，其一，撤回同意不具有溯及力，之前的處理并不會因撤回而不合法。撤回同意的，根據(jù)《個人信息保護(hù)法》第47條，信息處理者應(yīng)當(dāng)主動刪除其所存儲的個人信息。其二，不僅如此，根據(jù)歐盟條例立法理由書第42條第5句，為了保障撤回權(quán)的實(shí)際效用，信息主體行使撤回權(quán)不能對自己產(chǎn)生消極影響，因此，即便撤回導(dǎo)致信息處理者財產(chǎn)損失，信息主體也無需承擔(dān)損害賠償責(zé)任。我國《個人信息保護(hù)法》對損害賠償問題雖然未作規(guī)定，但基于撤回權(quán)規(guī)則的立法目的，應(yīng)作與歐盟條例規(guī)定相同的法律解釋。亦即，根據(jù)《個人信息保護(hù)法》，肖像權(quán)人可以不問理由地、隨時地、毫無代價地撤回同意，且在撤回同意后有權(quán)請求肖像使用人停止處理并刪除其肖像信息。

(三)規(guī)則沖突

個人以肖像使用許可合同方式授權(quán)他人使用其肖像的，應(yīng)當(dāng)解釋為，該合同中關(guān)于同意他人使用肖像的約款同時構(gòu)成《個人信息保護(hù)法》第13條第1款第1項規(guī)定的“個人同意”。因此，此時既存在肖像使用之“個人同意”的任意撤回問題，也存在基于正當(dāng)理由的定期肖像許可使用合同解除問題。如肖像權(quán)人行使《個人信息保護(hù)法》上的同意撤回權(quán)，撤回同意將導(dǎo)致肖像使用許可合同不能實(shí)現(xiàn)合同目的，達(dá)到事實(shí)上行使反悔權(quán)的效果，姑且不論撤回同意后肖像權(quán)人是否構(gòu)成違約、應(yīng)否承擔(dān)違約責(zé)任這些或許不無爭議的問題。所以，關(guān)于對允許他人使用自己的肖像的行為進(jìn)行反悔，《民法典》與《個人信息保護(hù)法》提供了構(gòu)成要件及法律效果上迥然不同的兩種制度，直接帶來法律適用上的規(guī)則沖突。如果嚴(yán)格適用《個人信息保護(hù)法》，《民法典》對于解除定期肖像許可使用合同施加條件的立法目的將被架空，尤其是在不涉及新聞報道的肖像商業(yè)利用場合，肖像使用方將面臨很大的合同風(fēng)險，因為他無法預(yù)料也無法阻止肖像權(quán)人撤回肖像使用同意的行為。

試舉一例。甲經(jīng)乙的同意，使用乙的肖像在電視和實(shí)體廣告牌上做廣告，而后乙反悔，認(rèn)為這些廣告可能影響自己的生意。(42)Vgl.Christoph Schnabel, Das Recht am eigenen Bild und der Datenschutz, ZUM 2008, S.657.甲使用乙的肖像的行為自然構(gòu)成《個人信息保護(hù)法》意義上對乙的肖像信息的處理，因而也受該法規(guī)制。本案中肖像權(quán)人因為缺乏任何“重大理由”，所以不享有《民法典》第1022條第2款之解除權(quán)，即使肖像權(quán)人意欲反悔，也只能繼續(xù)忍受該廣告。根據(jù)《個人信息保護(hù)法》肖像權(quán)人則可以毫無障礙不問理由地撤回同意，從而阻止該廣告使用肖像的行為。

其實(shí)，在立法政策上，令人疑慮的是，在和人格尊嚴(yán)、人格發(fā)展自由密切相關(guān)的作為人格權(quán)重要類型的肖像權(quán)中，肖像使用許可合同之解除尚需額外提供的重大的正當(dāng)理由，而對于那些未必具有人格利益的瑣碎個人信息，信息主體居然可以不問理由任意撤回，其背后立法政策究竟何意？是立法者在所有的個人信息之上發(fā)現(xiàn)了比人格權(quán)位階更高的新型權(quán)利，還是肖像權(quán)之外的個人信息具有更加獨(dú)特的保護(hù)需要，抑或，僅僅又是一項個人信息自決權(quán)導(dǎo)向下的立法錯誤？

(四)規(guī)則沖突之解決

解決之道有二。

第一，在法律適用的解釋上，于存在肖像使用許可合同之情形，關(guān)于反悔權(quán)的構(gòu)成要件、法律效果和權(quán)利行使，應(yīng)適用《民法典》第1022條第2款，排除《個人信息保護(hù)法》第15條第1款任意撤回同意權(quán)的適用。亦即，肖像制作、公開、使用之同意的撤回，需以肖像權(quán)人內(nèi)心觀念發(fā)生重大變化、當(dāng)前場景下無法苛責(zé)其繼續(xù)同意他人如此處理其肖像等正當(dāng)理由為基礎(chǔ)，且若“正當(dāng)理由”源自肖像權(quán)人之負(fù)責(zé)領(lǐng)域，則其雖得以解除合同，仍需承擔(dān)信賴?yán)鎿p害賠償責(zé)任。德國聯(lián)邦勞動法院在“雇員撤回同意案”(43)Vgl.BAG NJW 2015, 2140(2141)-Einwilligung des Arbeitnehmers.中即主張采取此種立場，認(rèn)定《德國民法典》和KUG構(gòu)成德國《聯(lián)邦數(shù)據(jù)保護(hù)法》的特殊規(guī)定，得以優(yōu)先適用。(44)參見同上注，邊碼16、邊碼25以下。該案中，雇員在雇傭期間允許雇主在公司宣傳片中拍攝自己，在該宣傳片中其肖像僅出現(xiàn)幾秒，該雇員辭職后，這一宣傳片仍被放置在網(wǎng)絡(luò)上，雇員撤回同意，要求刪除自己在視頻中的影像。法院認(rèn)為，既然同意是雇員自愿做出的，對于是否能夠撤回，只能以《德國民法典》第242條第2款規(guī)定之保護(hù)義務(wù)為法律依據(jù)，本案顯然不符合此條，原告無法撤回其同意。(45)參見同上注，邊碼38以下。

第二，在個人信息保護(hù)法規(guī)范體系內(nèi)，必須明確的是，首先，根據(jù)《個人信息保護(hù)法》第13條第1款關(guān)于“符合下列情形之一的，個人信息處理者方可處理個人信息”的規(guī)定，該款列舉的七項個人信息處理合法事由之間具有并列關(guān)系，個人同意只是合法事由之一，并非唯一。因此，《個人信息保護(hù)法》第15條“基于個人同意處理個人信息的,個人有權(quán)撤回其同意”以及第47條關(guān)于個人撤回同意后個人信息處理者應(yīng)當(dāng)主動刪除個人信息之規(guī)定，僅僅針對基于個人同意而處理個人信息之情形，如果肖像信息處理者具備其他合法處理理由，仍然可以繼續(xù)處理肖像信息，撤回同意本身并不會引發(fā)停止使用和刪除肖像信息的后果。比較法上，歐盟條例第7條第3款第一句的任意撤回權(quán)應(yīng)當(dāng)采取以上解釋模式。(46)第29工作組強(qiáng)調(diào)，如果有其他合法處理理由，信息處理者可以不停止處理，豁免刪除義務(wù)。參見Article 29 Working Party, Guidelines on Consent under Regulation 2016/679, Adopted on 28 November 2017, As last Revised and Adopted on 10 April 2018, http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358&tpa_id=6936。其次，關(guān)于其他合法處理事由，解釋上，《個人信息保護(hù)法》第13條第1款第2項前半句“為訂立、履行個人作為一方當(dāng)事人的合同所必需”不應(yīng)僅限于為了信息主體的利益，也應(yīng)當(dāng)包括為了作為合同相對方的肖像信息處理者的利益。即，只要存在該項所稱的合同作為肖像信息處理的依據(jù)，肖像權(quán)人不能通過撤回同意來阻止該肖像信息處理行為。因此，如果肖像權(quán)人以合同方式有償允許他人使用其肖像信息，那么關(guān)于肖像信息處理的個人同意本身就構(gòu)成合同義務(wù)，根據(jù)民法一般原理，肖像權(quán)人不應(yīng)當(dāng)被賦予單方任意撤回同意的權(quán)利。

六、肖像信息處理者法定義務(wù)的沖突與消融

根據(jù)《個人信息保護(hù)法》第17條、第45條和第47條，肖像信息處理者分別負(fù)擔(dān)“告知”“提供復(fù)制品”和“刪除”的義務(wù)。這一系列規(guī)則對于民法中的肖像權(quán)保護(hù)是陌生的，肖像權(quán)人可否取道《個人信息保護(hù)法》而擁有相應(yīng)的請求權(quán)，值得辨析。

解決方式如下。第一，目前我國《個人信息保護(hù)法》并無信息處理者義務(wù)豁免之一般規(guī)則，(47)《個人信息保護(hù)法》第47條第2款規(guī)定了“法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實(shí)現(xiàn)的”，信息處理者可以免除刪除義務(wù)；根據(jù)第45條第1款鏈接第18條第1款，信息處理者出于履行“法律行政法規(guī)保密義務(wù)”得以免除復(fù)制義務(wù)。顯然不足以應(yīng)對肖像信息處理中的復(fù)雜情形，應(yīng)當(dāng)以比例原則為基礎(chǔ)，結(jié)合個案，在履行義務(wù)確無必要以及技術(shù)上確有難度的情形下，免除信息處理者的某些義務(wù)。

比較法上，歐盟條例的立法政策值得參考。歐盟條例第11條第1款規(guī)定：“如果信息處理目的不需要識別出信息主體，那么信息處理者就沒有義務(wù)通過結(jié)合額外信息來識別信息主體來遵守本法的規(guī)范”，第14條第5款b規(guī)定：“義務(wù)之履行是不可能的，或者需付出顯著不合比例之努力的”，信息處理者可以免除義務(wù)。

實(shí)際上，歐盟第11條第1款是對歐盟條例第5條第1款c“信息最少原則”的具體化。(48)Vgl.Taeger/Gabel/Wirtz, DSGVO BDSG, 6.Aufl., 2019, Art.11, Rn.2.例如，拍攝或錄制大型活動或者公共場合時難免涉及大量參與人或者行人，正是本條款指向之典型情形之一：(49)Vgl.HmbBfDI, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DS-GVO au?erhalb des Journalismus, 3/2018, S.6.雖然原則上，被拍攝者都是可以識別的，只不過信息處理者需要額外收集其他個人信息，整合分析才能完成識別。(50)參見同前注〔48〕，Taeger/Gabel/Wirtz書，邊碼6。這種情形下，信息處理者若為了履行一系列義務(wù)，仍需額外收集被拍攝者的其他個人信息，如此一來，不僅花費(fèi)頗豐，難度頗大，與個人信息保護(hù)法中非必要不得收集和處理個人信息的“信息必要原則”之立法政策也相悖，莫不如果斷豁免。此外，歐盟條例第14條第5款b主要涉及信息處理者和信息主體并無直接聯(lián)系，并非從信息主體處，而是從第三方處間接收集其個人信息之情形。例如，從第三人提供的圖片庫中收集他人肖像，對于信息處理者而言，該肖像權(quán)人的身份無從得知。除此之外，例如秘密攝像頭等肖像權(quán)人不知自己肖像信息被收集處理的場合中，也可適用本條。(51)參見同前注〔49〕，第8頁。我國《個人信息保護(hù)法》雖然并沒有上述幽微精細(xì)的規(guī)范設(shè)計，個人信息保護(hù)機(jī)構(gòu)在具體執(zhí)法環(huán)節(jié)以及裁判者在處理具體糾紛時，完全可以借鑒上述規(guī)范設(shè)計背后的立法政策，在個案中賦予信息處理者得以免除義務(wù)的權(quán)利。

第二，就告知義務(wù)的履行而言，在肖像信息處理者并非通過合同獲得肖像信息收集和處理權(quán)利，肖像信息處理者和信息主體完全沒有交集，向特定肖像權(quán)人一一履行告知義務(wù)存在技術(shù)困難之情形，應(yīng)允許肖像信息處理者采取公告告知的方式?！秱€人信息保護(hù)法》在第17條、第22條、第23條、第30條、第35條和第39條規(guī)定了信息處理者的告知義務(wù)，其中較為核心的是第17條的“信息處理前的告知義務(wù)”，除了第18條，并沒有任何的豁免條款。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2020年1月發(fā)布的《信息安全技術(shù)個人信息告知同意指南》(征求意見稿)8.2“告知的方式”(i)項規(guī)定：“當(dāng)逐一向個人信息主體告知成本過高或者有顯著困難時，可以以公告的形式發(fā)布”，這一思路值得贊同，未來個人信息保護(hù)法具體適用中，應(yīng)該結(jié)合具體場景，判斷是否允許肖像信息處理者采取公告告知方式。肖像信息處理者可以視情況在肖像信息收集處通過張貼公告的方式告知某些基礎(chǔ)信息，例如，信息處理者的姓名和聯(lián)系方式、肖像使用的目的、信息處理的合法理由、肖像的存儲期限、信息主體的權(quán)利尤其是撤回權(quán)，而其他信息則可公布在網(wǎng)絡(luò)上。(52)Vgl.LfDI BW, Fotografieren und Datenschutz, 2019, S.6.這也是德國大數(shù)據(jù)產(chǎn)業(yè)在個人信息保護(hù)合規(guī)實(shí)踐中常常采取的做法，雖然細(xì)節(jié)上仍有爭議，但是這一做法在實(shí)際效用上，的確足以平衡信息處理者之利益、義務(wù)履行之可能性和個人信息保護(hù)法之立法政策，從而受到了例如德國巴符州個人信息保護(hù)機(jī)構(gòu)等監(jiān)管機(jī)構(gòu)的認(rèn)可。

第三，就復(fù)制義務(wù)的履行而言，首先，將《個人信息保護(hù)法》第47條第2款中“技術(shù)困難可豁免刪除義務(wù)”之規(guī)范類推適用至復(fù)制權(quán)領(lǐng)域，在一定情形下限制肖像權(quán)人的復(fù)制請求權(quán)。例如，如果肖像涉及多人，為了避免侵害他人的肖像權(quán)，信息處理者在提供復(fù)制品時，必須虛化或者刪除他人之肖像，這對于信息處理者而言顯然是不合理的負(fù)擔(dān)，正可援引本條豁免復(fù)制義務(wù)；(53)參見同前注〔48〕，Taeger/Gabel/Wirtz書，第15條，邊碼20；Matthias B?cker, in: Jürgen Kühling/Benedikt Buchner(Hrsg.), Datenschutz-Grundverordnung, Bundesdatenschutzgesetz Kommentar, 2.Aufl., 2018, Art.15, Rn.42.其次，充分激活《個人信息保護(hù)法》合法理由清單之第13條第1款第7項“法律、行政法規(guī)規(guī)定的其他情形”之規(guī)范，涵蓋例如肖像信息處理者可以知識產(chǎn)權(quán)保護(hù)為由拒絕提供復(fù)制品之情形。

第四，實(shí)踐中，和其他個人信息相比，刪除肖像信息難度較大，因為，刪除者通常需花費(fèi)一定成本將信息主體的肖像和其他人的肖像作出清晰區(qū)別，以便精準(zhǔn)刪除。其一，在解釋《個人信息保護(hù)法》合法處理理由清單時，明確基于同意之外的其他合法理由處理肖像信息者，即便同意被撤回，也足以排除刪除義務(wù)。其二，為了平衡對立利益之沖突，參度歐盟條例第17條第3款a“為了保護(hù)信息交流自由和表達(dá)自由可不刪除”之立場，對《個人信息保護(hù)法》第13條第1款第5項“為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息”做超越文義之解釋，涵蓋非新聞報道類型(54)參見同前注〔48〕，Taeger/Gabel/Wirtz書，第17條，邊碼112。的肖像信息處理行為，豁免此種情形下的刪除義務(wù)。在這一問題上，法蘭克福高等法院新近就“請求刪除搜索引擎中健康信息案”(55)OLG Frankfurt am Main ZUM-RD 2019, 79.(迄今為止，判決仍未生效)法院特別說明歐盟法院關(guān)于被遺忘權(quán)的判決(ZUM 2014，559)不能機(jī)械適用，應(yīng)根據(jù)個案具體情形分別判斷。所做的分析極具參考價值。該案原告要求刪除搜索引擎中關(guān)于自己的健康信息的鏈接，法院認(rèn)為，該鏈接是否具有合法性，必須依據(jù)歐盟條例第17條第3款a做價值衡量之后，才能判斷，本案中原告之請求相對于信息交流而言，并不具有優(yōu)勢地位，被告無需刪除。這一論證思路當(dāng)毫無障礙地轉(zhuǎn)用于肖像使用中。其三，將《民法典》1020條之“肖像合理使用規(guī)則”類推適用于刪除義務(wù)之豁免，符合其中五項情形之一者，信息處理者可以豁免刪除義務(wù)，從而充分平衡信息交流自由和個人信息保護(hù)之利益訴求。

七、結(jié)語

《個人信息保護(hù)法》所規(guī)范的信息處理行為，并非僅指大數(shù)據(jù)平臺對于自然人用戶的姓名、電話號碼、購物清單等個人信息的收集和加工行為。無論是歐盟條例、德國《聯(lián)邦數(shù)據(jù)保護(hù)法》還是我國的《個人信息保護(hù)法》，其規(guī)范對象都涵蓋所有個人信息的全部處理流程。《個人信息保護(hù)法》第72條第1款所規(guī)定“個人或者家庭事務(wù)”之外的肖像制作、使用和公開行為，通常也構(gòu)成個人信息處理行為，受《個人信息保護(hù)法》的規(guī)制。

在個案中，裁判者可能基于法律直覺和生活經(jīng)驗忽略《個人信息保護(hù)法》和《民法典》肖像權(quán)保護(hù)規(guī)則在法律適用上的規(guī)范沖突，徑直擇一作出裁判。然而，裁判結(jié)果之可靠性和說服力絕非源于無法檢驗的法律直覺以及無法界定的生活經(jīng)驗。毋寧，結(jié)合個案具體情形，目光往返于事實(shí)和規(guī)范之間，在發(fā)生適用沖突的規(guī)范之間作出具有說服力的抉擇才是正確的裁判思路。于此，識別并正視具體的規(guī)范沖突，回溯規(guī)范意旨，逐一化解消融矛盾，是肖像權(quán)保護(hù)或者肖像信息保護(hù)之法律適用不可忽略的環(huán)節(jié)。

基本立場上，《民法典》中的肖像權(quán)保護(hù)規(guī)則并非保護(hù)力度較弱的肖像信息保護(hù)規(guī)則，從而必須在較為嚴(yán)苛的《個人信息保護(hù)法》面前退避三舍。(56)相同立場，參見程嘯：《論我國個人信息保護(hù)法中的個人信息處理規(guī)則》，載《清華法學(xué)》2021年第3期，第57頁。實(shí)際上，肖像權(quán)保護(hù)規(guī)則積累了大量成熟的實(shí)務(wù)案例，可有效應(yīng)對科技發(fā)展引發(fā)的肖像權(quán)侵害新威脅，且在平衡對立利益，尤其是平衡大規(guī)模信息處理者與信息主體的利益上，《民法典》肖像權(quán)保護(hù)規(guī)則藉由個案利益衡量機(jī)制，顯然比《個人信息保護(hù)法》更具操作彈性，有助于對復(fù)雜多樣的生活事實(shí)進(jìn)行靈活調(diào)整。我國《個人信息保護(hù)法》立法已塵埃落定，如何在適用中豐富條文解釋，如何通過條文解釋適應(yīng)不同生活場景，如何在不同生活場景中實(shí)現(xiàn)該法第1條確立的既“保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動”，又兼顧“促進(jìn)個人信息合理利用”之立法目的，則是一個仰賴學(xué)說和實(shí)務(wù)通力協(xié)作、協(xié)調(diào)《個人信息保護(hù)法》和其他法律之間規(guī)范沖突的宏大工程了。