姬蕾蕾

(上海交通大學 凱原法學院，上海 200240)

隨著數(shù)據(jù)技術(shù)的不斷研發(fā)與應用，數(shù)據(jù)滲透到各個行業(yè)領(lǐng)域，成為經(jīng)濟發(fā)展必不可少的生產(chǎn)要素。個人信息作為數(shù)據(jù)產(chǎn)生的重要源泉，蘊藏巨大的經(jīng)濟價值，在對其利用的過程中，法律如何保護個人信息無疑成為最具挑戰(zhàn)的課題。在既有的法律規(guī)范中，知情同意規(guī)則作為個人信息保護體系的核心，在國內(nèi)外個人信息保護立法中已達成共識。自美國公平信息實踐準則(FIPPs)提出知情同意規(guī)則以來，就對美國信息隱私立法產(chǎn)生巨大影響，其中1974年《隱私法》直接納入知情同意規(guī)則。(1)美國自動化信息系統(tǒng)委員會提出的五項個人隱私保護原則納入《隱私法》，其中包括知情規(guī)則和同意規(guī)則。Daniel J.Solove,Privacy Self-Management and the Consent Dilemma.Harvard Law Review,Vol.126,2013,p.1882.隨后，大部分國家立法或司法普遍采納同意規(guī)則作為處理個人信息的合法要件。1980年經(jīng)濟合作與發(fā)展組織(OECD)《隱私保護與個人數(shù)據(jù)跨境流通指南》、2004年亞太經(jīng)濟與合作組織(APEC)《APEC隱私框架》也都延續(xù)了公平信息實踐準則中的同意規(guī)則。(2)Daniel J.Solove,Privacy Self-Management and the Consent Dilemma.Harvard Law Review,Vol.126,2013,p.1882,1885.歐盟1995年《個人數(shù)據(jù)保護指令》將信息主體同意作為信息處理的首要合法要件(3)《數(shù)據(jù)保護指令》第7條規(guī)定了處理個人信息的一般標準：(1)信息主體已經(jīng)明確表示同意；(2)處理為履行信息主體作為一方的合同，或應信息主體要求執(zhí)行訂立合同的先行措施所必需；(3)信息控制者履行其法定義務所必需的處理；(4)為信息主體的重大利益而處理其個人信息；(5)為了公共利益而為的處理；(6)為第三人的正當利益，但信息主體的基本人權(quán)和自由優(yōu)于第三人正當利益的除外。，2018年《一般數(shù)據(jù)保護條例》更對同意規(guī)則作出較為細化的規(guī)定。(4)《一般數(shù)據(jù)保護條例》有別于過去將同意作為信息處理的首要條件，對于特殊類型數(shù)據(jù)處理的同意為明確同意，而對其他一般信息的處理僅需同意，即同意包含明確同意和默示同意。我國《民法典》《網(wǎng)絡安全法》《個人信息保護法》《數(shù)據(jù)安全法》《消費者權(quán)益保護法》等都將同意規(guī)則作為個人信息處理的合法基礎(chǔ)，以法律的高度覆蓋保護個人信息。由此可知，同意自發(fā)端即為個人信息保護的基本規(guī)則，蘊含信息主體對其信息的自主決定權(quán)，在個人信息保護領(lǐng)域具有舉足輕重的規(guī)范價值。然而在實踐中同意規(guī)則的適用卻存在多重困境。

一、同意規(guī)則的適用困境及破解方向

(一)同意規(guī)則的適用困境

從規(guī)范功能和規(guī)范效果來看，同意規(guī)則無疑是保障信息主體對其信息控制的重要方式。但是伴隨大數(shù)據(jù)時代的到來，個人信息的收集與利用達到前所未有的高度，同意規(guī)則的功能逐步失靈。立法者立足于數(shù)字社會的背景，更新知情同意機制，期望以此緩解信息主體與信息處理者之間的利益沖突。然而隨著個人信息糾紛的不斷增加，同意規(guī)則的局限性越發(fā)凸顯。

1.從信息主體的角度看，同意規(guī)則中“理性人標準”難以實現(xiàn)

同意規(guī)則設定的前提是信息主體為一般理性人，即個人是自己利益的最佳判斷者，可就是否同意他人處理其個人信息做適當決定。但是實踐證明，個人做出理性決定的實際能力和同意規(guī)則所構(gòu)想的愿景具有明顯差距。信息處理者收集個人信息時會以《隱私政策聲明》等方式告知個人并取得其同意，然而大部分人不會仔細閱讀隱私政策聲明，甚至都不想更改隱私默認設置。(5)Omri Ben-Shahar and Carl E.Schneider,The Failure of Mandated Disclosure,University of Pennsylvania Law Review.Vol.159,2011.p.665.美國聯(lián)邦貿(mào)易委員會(FTC)主席喬恩·萊博維茨曾言：“隱私政策聲明無疑是個人控制信息的有效方式，但事實上這僅是一種期望。”信息主體不愿認真閱讀隱私聲明的緣由在于，隱私政策聲明冗長晦澀，盡管在實踐中信息處理者已經(jīng)盡量使其簡潔化和明確化，但收效甚微。有研究表明，如果一個人將他每年訪問網(wǎng)站的隱私政策瀏覽一遍，至少要花費244個小時。(6)Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,Journal on Telecommunication and High Technology Law.Vol 10,2012,p.273.“在絕大多數(shù)情況下，非出于特殊目的，用戶不會詳細閱讀信息處理者提供的隱私政策，而直接選擇同意或接受。”(7)馬新彥、張傳才：《知情同意規(guī)則的現(xiàn)實困境與對策檢視》，《上海政法學院學報(法治論叢)》2021年第5期，第100頁。由此導致一些學者認為個人對隱私持一種漠視態(tài)度。然而，在實踐調(diào)研中，大部分信息主體表現(xiàn)出對隱私的極度重視，這與他們表示行為存在明顯脫節(jié)(8)Gordon Hull,Successful Failure:What Foucault Can Teach Us about Privacy Self-management in a World of Facebook and Big Data,Ethics and Information Technology,Vol.17,2015,p.89.，造成這種現(xiàn)象的深層原因在于個人理性決策出現(xiàn)障礙。

2.從信息處理者的角度看，同意規(guī)則淪為程序性要件

同意規(guī)則包含告知和選擇兩個階段。告知是選擇的前置要件，同意是在信息主體被充分告知后的自主決定權(quán)，是個人意思自治的表現(xiàn)。但是同意的實質(zhì)效力并沒有發(fā)揮作用，因為信息主體與信息處理者的信息不對稱，信息主體對《隱私政策聲明》《用戶服務協(xié)議》的內(nèi)容通常沒有討價還價的能力，往往做出不得不同意的選擇。此外，信息處理者還會以“默認勾選”的形式設置通知方式。此時，信息主體在無意思表示的前提下“被簽訂”合同，這種不自由、不真實的承諾呈現(xiàn)效力瑕疵，同意規(guī)則的功能逐漸嬗變，被信息處理者操縱成一種獲取個人信息的程序要件。(9)Margaret Jane Radin,Taking Notice Seriously:Information Delivery and Consumer Contract Formation.Theoretical Inquiries in Law.Vol.17,2016,p.515.

3.從第三方信息處理者的角度看,信息主體無法控制后續(xù)風險

首先，信息傳播結(jié)構(gòu)的更新催生出眾多的信息處理者，導致個人信息的流向成謎。由于個人信息的流通使用和數(shù)據(jù)技術(shù)的持續(xù)分析，第三方信息處理者可以在分析過程中獲取信息而不需要經(jīng)過信息主體的同意。這就導致信息主體難以確定信息流向，更無法控制其信息。(10)Lorrie Faith Cranor,Necessary But Not Sufficient:Standardized Mechanisms for Privacy Notice and Choice,Journal on Telecommunication and High Technology Law,Vol.10,2012,p.274.其次，信息處理者對個人信息的持續(xù)關(guān)聯(lián)分析，加劇了個人信息被重新識別的風險。大數(shù)據(jù)技術(shù)的應用會引起個人信息產(chǎn)生聚合效應，這增強了數(shù)據(jù)轉(zhuǎn)化成個人信息的可能，致使信息主體控制信息的愿景幾近破滅。(11)Daniel J.Solove,Privacy Self-Management and the Consent Dilemma.Harvard Law Review,Vol.126,2013,p.1890、1901.最后，數(shù)據(jù)技術(shù)的循環(huán)分析導致個人信息利用的風險難以評估。個人信息聚合必然導致風險難測，即使信息主體在符合理性人的假設下，也很難進行成本效益的有效分析，尤其下游階段是隱私風險的高發(fā)地，個人即使同意也難謂理性與真實。(12)Gordon Hull,Successful Failure:What Foucault Can Teach Us about Privacy Self-management in a World of Facebook and Big Data,Ethics and Information Technology,Vol.17,2015,p.91.

(二)同意規(guī)則適用困境的破解方向

針對同意規(guī)則的適用困境，理論界紛紛提出改進方式，目前討論的方案大致可歸納出以下三種：第一，情景規(guī)則替代同意規(guī)則。該方案認為同意規(guī)則已經(jīng)不合時宜故應摒棄，轉(zhuǎn)而應以具體情景為導向，以隱私風險評估理論為手段衡量個人信息風險，經(jīng)過評估后的信息如風險較低，信息處理者可不經(jīng)信息主體同意直接進行收集與利用。(13)持該觀點的學者主要有：范為：《大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)》，《環(huán)球法律評論》2016年第5期，第94頁。高富平：《個人信息使用的合法性基礎(chǔ)——數(shù)據(jù)上利益分析視角》，《比較法研究》2019年第2期，第83-84頁。任龍龍：《論同意不是個人信息處理的正當性基礎(chǔ)》，《政治與法律》2016年第1期，第126頁。第二，弱化同意的強制力。該方案主張降低同意規(guī)則的核心地位，限制信息主體的自主決定權(quán)，采取“情景合理+擬制同意”的方式構(gòu)建合法處理的弱同意規(guī)范結(jié)構(gòu)。(14)蔡星月：《數(shù)據(jù)主體的“弱同意”及其規(guī)范結(jié)構(gòu)》，《比較法研究》2019年第4期，第71頁。第三，同意規(guī)則的類型化適用。該方案主張應以經(jīng)濟激勵機制激發(fā)信息主體與信息處理者共享經(jīng)濟收益，即部分情景中適用默示同意規(guī)則，而在部分情景中必須取得信息主體的明確同意。(15)蔡培如、王錫鋅：《論個人信息保護中的人格保護與經(jīng)濟激勵機制》，《比較法研究》2020年第1期，第106頁。

分析上述三種方案，筆者認為主要存在以下問題：首先，第一種方案提出的風險規(guī)則屬于社會控制理論，將個人信息完全交由社會控制，但是“在法律父愛主義的理念下，風險規(guī)則限制了信息主體在信息領(lǐng)域意思自治的適用”。這種理論割裂了個人信息的社會屬性與人格屬性，否定了個人在其信息保護中的自主決定價值，從根本上動搖個人信息保護的基礎(chǔ)架構(gòu)，否定同意規(guī)則的規(guī)范功能實不可取。其次，第二種改革方案試圖通過降低同意的標準調(diào)和矛盾，然而同意規(guī)則本就已經(jīng)處于失效邊緣，若此時的改進方式是降低對同意標準的適用，似乎是向個人信息利用的方式妥協(xié)。最后，第三種方案是在保留同意規(guī)則的前提下，做靈活調(diào)整，值得肯定。然而，脫離類型化的場景而空泛地談論動態(tài)性的多因素判斷，可能因過于彈性化造成過大的自由裁量空間，導致司法的恣意與不確定性(16)呂炳斌：《個人信息保護“同意”的困境及其出路》，《法商研究》2021年第2期，第93頁。，難以達到標本兼治的效果。

本文認為，信息技術(shù)的更新與應用導致個人信息利用的場景復雜多變，而單一靜態(tài)的同意規(guī)則難以滿足個人信息在利用中的復雜情景，因此區(qū)分情景適用差異化的同意規(guī)則似乎是一種較為合理的解決方案。同意規(guī)則一般根據(jù)個人信息識別度、信息主體與信息處理者之間的關(guān)聯(lián)度、具體情景的風險度等因素綜合確定，上述因素又受個人信息的敏感程度、個人信息權(quán)能的直接影響。因此，根據(jù)信息敏感度對個人信息進行分類，再根據(jù)信息活動的參與主體、信息類型、具體情景靈活確定同意規(guī)則更為科學。基于此，本文借鑒錫安克勞迪奧·馬希艾里(Gianclaudio Malgieri)的關(guān)系理論，將個人信息分為人格性信息、準財產(chǎn)性信息與財產(chǎn)性信息。(17)錫安克勞迪奧·馬希艾里以關(guān)系理論作為個人信息的劃分標準，對不同層級的信息設置不同的權(quán)能，以平衡個人信息保護與利用的利益沖突。即根據(jù)信息主體與個人信息的緊密程度分為強關(guān)系信息、中等關(guān)系信息和弱關(guān)系信息三個層級，不同信息與個人的關(guān)系越強，其人格因素越強；反之亦然。Gianclaudio Malgieri,Property and (Intellectual) Ownership of Consumer’s information:A New Taxonomy for Personal Data,Privacy in Germany-PinG,2016,pp.133-138.人格性信息與個人關(guān)聯(lián)度較高(如身份證號碼、電話號碼)，但同時具有社會屬性，信息主體對其享有完全控制權(quán)，如信息攜帶權(quán)，信息主體可自主將相關(guān)信息轉(zhuǎn)移至其他電子設備而無須其他信息處理者同意。準財產(chǎn)性信息屬于中等關(guān)系信息(如個人交易記錄、行為軌跡等)，信息主體對其具有不完全控制權(quán)，如訪問權(quán)、刪除權(quán)，信息處理者則享有使用權(quán)。財產(chǎn)性信息屬于弱關(guān)系信息(如個人預測畫像、預測偏好信息)，信息主體不享有控制權(quán)，僅具有反對權(quán)、信息安全權(quán)，信息處理者此時對其具有準財產(chǎn)權(quán)，可對抗第三方信息處理者。(18)準財產(chǎn)權(quán)是在特定情形下，通過在某物上設置一種僅對抗特定行為人的權(quán)利，來保障權(quán)利人的合法權(quán)利，這種特殊的排他權(quán)介于物權(quán)與債權(quán)之間，既不僅僅對抗合同相對方，又不會將這類權(quán)利置于絕對排他的境地。Shyamkrishma Balganesh,Qiasy-property:Like,But Not Quite Property,University of Pennsylvania Law Review,Vol.160,2012,p.1889.

由于個人信息客觀上表現(xiàn)為個人在信息環(huán)境中的一種存在或運動狀態(tài)，主觀上表現(xiàn)為個人對這種狀態(tài)有目的的支配，因而個人、個人信息、他人之間形成的是三維關(guān)系。(19)程關(guān)松：《個人信息保護的中國權(quán)利話語》，《法學家》2019年第5期，第20頁。因此，同意規(guī)則只有在個人、他人與個人信息的三維關(guān)系所確定的情景中才能確定，而處理行為是三維關(guān)系的連接點。因此，本文從行為角度依照不同參與者對個人信息處理的全過程，對信息處理情景進行區(qū)分，即收集情景、轉(zhuǎn)讓情景、共享情景。(20)《民法典》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》對個人信息的處理行為僅作出一般性規(guī)定，《個人信息保護法》按照信息處理一般規(guī)則、信息主體的權(quán)利、信息處理者的義務對處理行為進行規(guī)制，并未詳細區(qū)分個人信息處理的情景?！缎畔踩夹g(shù) 個人信息安全規(guī)范》(《簡稱《個人信息安全規(guī)范》)對個人信息全生命周期作出全面完整的規(guī)定，規(guī)定了開展收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求。《信息安全技術(shù)個人信息告知同意指南(征求意見稿)》(《簡稱《告知同意指南》)、《信息安全技術(shù) 移動互聯(lián)網(wǎng)應用(App)收集個人信息基本規(guī)范(征求意見稿)》(簡稱《收集個人信息基本規(guī)范》)均以《個人信息安全規(guī)范》為藍本對信息處理者的行為標準作出更為細化的規(guī)定。本文擬以《個人信息安全規(guī)范》對個人信息處理行為的全過程作為情景劃分的依據(jù)。

二、個人信息收集情景中的同意規(guī)則

在收集情景中根據(jù)產(chǎn)品性能不同分為基本業(yè)務情景與擴展業(yè)務情景(21)《個人信息安全規(guī)范》根據(jù)產(chǎn)品性能分為基本業(yè)務功能和擴展業(yè)務功能，目的是根據(jù)用戶對產(chǎn)品處理個人信息的預期不同而適用寬嚴不等的梯度保護。在基本業(yè)務情景中均要求取得信息主體的明確同意，在擴展業(yè)務情景中要求對逐個取得信息主體的單獨授權(quán)，此情景采取了比基礎(chǔ)業(yè)務情景中更為嚴格的同意標準。，在兩種情景中同意規(guī)則的適用應該有所差異。

(一)基本業(yè)務情景中的同意規(guī)則

基本業(yè)務情景主要指的是滿足個人信息主體的具體使用需求的業(yè)務或功能的情景，如地圖導航、網(wǎng)絡約車、即時通信、社區(qū)社交、網(wǎng)絡支付、新聞資訊、網(wǎng)上購物、快遞配送、交通票務等。(22)本文采用《個人信息安全規(guī)范》第3.17條對“業(yè)務功能”所做的定義。在基礎(chǔ)業(yè)務情景中，《信息安全技術(shù) 個人信息安全規(guī)范》第5.4條規(guī)定：“如產(chǎn)品或服務僅提供一項收集、使用個人信息的業(yè)務功能時，個人信息控制者可通過個人信息保護政策的形式，實現(xiàn)向個人信息主體的告知……以便個人信息主體在作出具體的授權(quán)同意前，能充分考慮對其的具體影響?！备鶕?jù)這一規(guī)定可以發(fā)現(xiàn)，個人信息此時還由信息主體直接控制，因此，信息主體的控制地位是信息關(guān)系中的顯性特征。為滿足基本業(yè)務需求而提供必要的個人信息，此時信息主體的選擇權(quán)被削弱，同意呈現(xiàn)為一種被告知之后的授權(quán)性質(zhì)——consent，但這并非概括同意，這種授權(quán)是在符合合同目的前提下對信息權(quán)利的讓渡。因此，“知情”成為同意的內(nèi)在要求，如何達到“知情”的效果主要表現(xiàn)在對同意的內(nèi)容和方式上。

就同意的內(nèi)容而言，在實踐中，個人信息的收集范圍依照具體的合同目的來確定，如何判斷提供的個人信息是否為合同履行所必需？本文認為，雖然不同App的基礎(chǔ)業(yè)務功能不同，信息處理者收集個人信息的范圍存在差異，但收集信息的種類具有共通性。在該情景中通常涉及對人格性信息的收集，該類信息屬于信息主體的自生信息，具有內(nèi)部指向性，包括姓名、性別、年齡、身份證號碼、電話號碼、家庭住址等，因此可以根據(jù)具體App的基本業(yè)務鎖定信息內(nèi)容，再結(jié)合合同目的原則、誠信原則對信息最小化原則與必要性原則加以詮釋。另外，對“目的”二字需要作擴大解釋，即包括對個人信息的再利用，只要再利用的目的與原有目的相兼容或不沖突，無須再次經(jīng)過信息主體授權(quán)，可以歸入事先同意的情形。同時，為防止信息處理者擴大信息收集的范圍，可參考《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》中確定的常見移動App在基本業(yè)務中收集個人信息的最小必要范圍。(23)2021年國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局聯(lián)合制定并于5月1日實施的《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》，明確移動互聯(lián)網(wǎng)應用程序(App)運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務。

就同意的方式而言，個人信息的類型決定了同意的行使方式。(24)《個人信息保護指南》第5.2.3條根據(jù)敏感度將個人信息分為敏感個人信息與一般個人信息，并采用明示同意與默示同意的分層標準加以保護?！秱€人信息安全規(guī)范》更是對敏感信息進行了豐富，對同意形式做了細化?！秱€人信息保護法》對個人敏感信息的收集作出了更為嚴格的明示同意方式的規(guī)定。由此可以看出立法對敏感個人信息的嚴格同意標準。在基礎(chǔ)業(yè)務情景中，信息處理者收集的個人信息鎖定在人格性信息類型，而人格性信息的高度敏感性決定了信息主體對其享有高度控制權(quán)能，這種人格的不可轉(zhuǎn)讓性也決定了該類信息轉(zhuǎn)讓的限定性。人作為法權(quán)的主體，是他自己的主人，但不是他自己的所有者。(25)朱高正：《康德的自然法學——自由與和平的哲學》，鄭永流主編：《法哲學與法社會學論叢》(第二輯)，中國政法大學出版社2000年版，第279頁。因此，同意必須是以“明確、具體”的方式使信息主體知曉，且征得信息主體的明示同意，確保信息主體的控制權(quán)能，避免后續(xù)行為可能出現(xiàn)的風險。(26)具體可參考《個人信息安全規(guī)范》關(guān)于明示同意的具體標準。即在基本業(yè)務功能開啟前(如個人信息主體初始安裝、首次使用、注冊賬戶等)，應通過交互式界面或設計(如彈窗、文字說明、填寫框、提示條、提示音等形式)向個人信息主體告知基本業(yè)務功能所必需收集的個人信息類型以及個人信息主體拒絕提供或拒絕同意將造成的影響，并通過個人信息主體對信息收集主動作出肯定性動作(如勾選、點擊“同意”或“下一步”等)征得其明示同意。如在“凌某訴抖音案”中(27)北京互聯(lián)網(wǎng)法院(2019)京0491民初6694號民事判決書。，抖音App未盡告知義務默認信息主體同意，收集其位置信息、通信信息、社交信息等，勾勒出較完整的人格畫像，向個人推送大量好友，構(gòu)成侵權(quán)。同樣，在支付寶芝麻信用年度賬單事件中，支付寶在《芝麻服務協(xié)議》中，在同意一欄以極為隱秘的形式提前為信息主體默認同意選項，這種直接替信息主體作出選擇的意思表示無效。在司法實踐中，是否盡到足夠的告知義務，應由法官綜合考量告知方式、行業(yè)習慣、網(wǎng)絡技術(shù)普及度等因素作出判斷。

(二)擴展業(yè)務情景中的同意規(guī)則

擴展業(yè)務情景是指信息處理者滿足信息主體具體使用需求之外的個性化業(yè)務或功能的情景，例如根據(jù)搜索記錄、行蹤軌跡進行個性化推薦服務。擴展業(yè)務情景是信息主體與信息處理者發(fā)生糾紛的主要場域，而爭議點表現(xiàn)為準財產(chǎn)性信息、財產(chǎn)性信息的權(quán)益歸屬。該類信息之所以是糾紛高發(fā)區(qū)，原因在于信息處理者在乎的并非信息主體在基礎(chǔ)業(yè)務情景中提供的信息，而是信息主體的關(guān)系鏈信息：將姓名、電話號碼與個人的交易記錄、健康情況、微信好友等信息進行關(guān)聯(lián)匹配。單獨的姓名、性別、頭像并不具有太大的經(jīng)濟價值。準財產(chǎn)性信息和財產(chǎn)性信息的共通性在于均不具有識別性，必須與其他信息關(guān)聯(lián)時才能被識別。(28)這類信息可歸入可識別的個人信息。美國學者Daniel J.Solove與Paul M.Schwartz根據(jù)信息利用過程中識別個人風險的程度，將個人信息分為已識別的個人信息、可識別的個人信息和不可識別的個人信息。Paul M.Schwartz & Daniel J.Solove,The PII Problem：Privacy and a New Concept of Personally Identifiable Information,New York University Law Review.Vol.86,2011,p.1814.區(qū)別在于：準財產(chǎn)性信息是個人活動的副產(chǎn)品，這些信息并非信息主體有意識地生成，而是在生活中自動形成的一種事實行為。信息處理者僅提供App設備與自動記錄的功能，參與力度較小，故財產(chǎn)權(quán)益相對較弱。財產(chǎn)性信息是在準財產(chǎn)性信息的基礎(chǔ)上形成的，如基于搜索記錄、消費記錄等形成個人數(shù)字畫像，預測其行蹤記錄、興趣愛好或購物偏向等，以此為據(jù)向信息主體推送相關(guān)服務。這類信息需要信息處理者投入更多人力、物力、技術(shù)進行整合，雖然無法否定個人數(shù)字畫像的人格利益，但是在成本-收益的產(chǎn)權(quán)分析理論下，財產(chǎn)性信息的經(jīng)濟價值才是其形成的直接原因，故信息處理者享有該類信息的財產(chǎn)權(quán)益最大，個體的人格屬性被極大削弱。因此，在該情景中由于信息類型的不同，同意的行使方式也應呈現(xiàn)差異。此時，“告知-退出”機制作為一種中和性的方案可以發(fā)揮平衡作用，既可以保障信息主體對其信息的控制，又可以緩和個人信息收集的嚴格標準。(29)Joy Su,Google Book Search and Opt-Out Procedures,Journal of the Copyright Society of the U.S.A,Vol.56,2009,pp.947-965.

“告知-退出”機制是以沉默作為承諾的一種意思表示?！睹穹ǖ洹返?40條規(guī)定意思表示的方式僅包括明示和默示。在通常情況下，沉默并不具有法律意義，只有在法律規(guī)定、當事人約定或者符合交易習慣時，沉默的消極行為才被賦予一定的表示意義，并產(chǎn)生成立法律行為的效果。在網(wǎng)絡領(lǐng)域，“告知-退出”不存在表示行為，并不具有任何意思表示，因此，“告知-退出”產(chǎn)生意思表示效果的唯一方式就是將沉默法定化，即沉默擬制同意。(30)沉默產(chǎn)生意思表示的方式主要有三種：約定、推定、法定。在網(wǎng)絡服務領(lǐng)域，根據(jù)約定與推定均無法獲得信息主體同意的肯定效果。蔡星月：《數(shù)據(jù)主體的“弱同意”及其規(guī)范結(jié)構(gòu)》，《比較法研究》2019年第4期，第82頁。這種沉默可以解釋為默示同意的一種。(31)鄭佳寧：《知情同意原則在信息采集中的適用與規(guī)則構(gòu)建》，《東方法學》2020年第2期，第206頁。通過法律將沉默擬制為意思表示是對私人自治的一種較強的干預，其目的在于化解法律狀態(tài)不明的情形，促進交易。(32)石一峰：《沉默在民商事交往中的意義——私人自治的多層次平衡》，《法學家》2017年第6期，第53頁。然而將沉默法定化遭到學者的質(zhì)疑：個人作出同意必須自愿、明確，故同意必須是明示的，默示、預選方框或者不作為都不構(gòu)成同意(33)程嘯：《論個人信息處理中的個人同意》，《環(huán)球法律評論》2021年第6期，第53頁。，況且，在互聯(lián)網(wǎng)領(lǐng)域，暫未見通過法律將沉默擬制為同意的必要性(34)呂炳斌：《個人信息保護“同意”的困境及其出路》，《法商研究》2021年第2期，第93頁。，然而，從我國現(xiàn)行立法、司法實踐的角度分析，將沉默法定化有其存在的合理空間。其一，《個人信息保護法》雖然沒有明確“告知-退出”的同意方式，但在第13條規(guī)定個人信息處理的合法基礎(chǔ)中，關(guān)于同意條款的規(guī)定并未排除默示同意的情形，這就為“告知-退出”默示同意留下了解釋空間。同時，《個人信息保護法》第24條第2款規(guī)定，通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應向個人提供便捷的拒絕方式。從文義解釋的角度看，此處的“拒絕”與“告知-退出”極為相似，若信息主體沒有拒絕則信息處理的自動推送行為就具有了合法性。其二，在司法實踐中，法院對于財產(chǎn)性信息適用“告知-退出”默示同意持肯定的態(tài)度。在朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛案中，二審法院認為，網(wǎng)絡活動軌跡信息不能與網(wǎng)絡用戶個人身份相對應，百度公司使用cookie技術(shù)收集海量數(shù)據(jù)整合分析后向用戶提供的個性化推薦服務，即未識別特定主體，又未向第三方公開，并不符合侵害個人隱私的行為特征。并且在用戶協(xié)議中明確告知原告可以啟用禁止按鈕進而阻止被告收集其個人信息，顯示了法院對這一同意機制合法性的認可。(35)江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書。其三，在寬泛同意的理論框架下對“沉默”進行解釋是一種可行方案。首先確立知情同意的一般原則，再將“選擇退出”作為一種默示同意的特別情形。在具體使用時，應該對適用對象、適用情形、效力范圍作一定限制，并賦予信息主體“反對權(quán)”對抗信息處理者，使自己從信息收集對象中被排除。(36)馮愷：《個人信息“選擇退出”機制的檢視和反思》，《環(huán)球法律評論》2020年第4期，第156頁。擬制同意的適用主體僅限于數(shù)量眾多的網(wǎng)絡用戶，適用信息類型限于準財產(chǎn)性信息和財產(chǎn)性信息，適用情形限定在自動化決策情形下針對網(wǎng)絡用戶實行個性化廣告推送、垃圾短信等推送行為。(37)有學者根據(jù)企業(yè)使用的采集工具實際功能將自動化采集工具區(qū)分為下述四類：一是特別必要的工具；二是與服務性能表現(xiàn)有關(guān)的工具；三是擁有特定功能的工具；四是用于行為化定位或個性化推薦的工具。參見鄭佳寧：《知情同意原則在信息采集中的適用與規(guī)則構(gòu)建》，《東方法學》2020年第2期，第206頁。該文建議根據(jù)不同的采集工具適用不同的同意標準，本文依這種分類標準對適用的處理行為進行限定。因此，擬制同意在我國法上具有適用空間。

在擴展業(yè)務情景中，準財產(chǎn)性信息與財產(chǎn)性信息均屬于關(guān)聯(lián)性信息，不具有直接識別性，此時可采用“擬制同意”模式。這在一定程度上可免除信息處理者的告知程序，并給予信息主體明確的拒絕途徑保障其對信息的控制。同時基于準財產(chǎn)性信息與財產(chǎn)性信息的顯性屬性不同，可以對擬制同意進一步細化，其中，對于準財產(chǎn)性信息，由于信息主體的人格屬性為顯性特征，故采用“事前擬制同意+退出權(quán)”方式；對于財產(chǎn)性信息，由于信息處理者的財產(chǎn)性屬為顯性特征，故采用“事后擬制同意+反對權(quán)”方式。從信息主體的角度看，在該情景中因擬制同意所削減的一部分控制力，會在后續(xù)環(huán)節(jié)為其提供及時否定的權(quán)利。

表1 個人信息收集情景中的同意規(guī)則設計

三、個人信息轉(zhuǎn)讓情景中的同意規(guī)則

《個人信息安全規(guī)范》將個人信息轉(zhuǎn)讓分為兩種情景加以規(guī)定：一般情景中的個人信息轉(zhuǎn)讓與企業(yè)并購中的個人信息轉(zhuǎn)讓?，F(xiàn)就具體轉(zhuǎn)讓情景中同意規(guī)則加以設計。

(一)一般情景中個人信息轉(zhuǎn)讓的同意規(guī)則

個人信息轉(zhuǎn)讓情景是指信息處理者將其所控制的個人信息集合傳輸給第三方信息處理者的情景。信息轉(zhuǎn)讓引發(fā)的不正當競爭糾紛往往涉及信息主體的信息權(quán)益和信息處理者的財產(chǎn)權(quán)益兩個維度，而信息轉(zhuǎn)讓的流轉(zhuǎn)機制和信息價值的生成機制直接影響信息雙方信息權(quán)益的強弱程度，進而影響同意規(guī)則的設計。首先，在實踐中，個人信息的流轉(zhuǎn)方式分為兩個階段，以“新浪微博訴脈脈案”為例：(38)北京市海淀區(qū)人民法院(2015)海民(知)初字第12602號民事判決書；北京知識產(chǎn)權(quán)法院(2016)京73民終588號民事判決書。第一階段是用戶與新浪微博簽訂用戶服務協(xié)議，授權(quán)許可新浪微博收集、使用其個人信息；第二階段是新浪微博與脈脈公司簽訂平臺合作協(xié)議，新浪微博開通API接口授權(quán)脈脈公司使用個人信息集合。由此推論1：網(wǎng)絡服務協(xié)議是信息主體和信息處理者權(quán)益分配的主要形式，信息來源是否合法，以是否獲得信息主體的授權(quán)為標準。其次，價值是信息的核心，算法技術(shù)是信息價值生成的核心架構(gòu)。算法合法所保障的信息來源合法，是確定信息權(quán)益保護路徑的最大公約數(shù)。(39)韓旭至：《數(shù)據(jù)確權(quán)的困境及破解之道》，《東方法學》2020年第1期，第107頁。個人信息從產(chǎn)生到利用是一個動態(tài)發(fā)展的過程，其生成的價值大小亦不相同。單條個人信息幾乎沒有財產(chǎn)價值，只有利用大數(shù)據(jù)技術(shù)整合的信息集合才具有財產(chǎn)屬性。此時信息主體的個人信息處于弱保護的狀態(tài)，其人格屬性被淹沒，信息主體的授權(quán)成為信息處理者享有合法排他權(quán)益的防護盾。由此推論2：信息處理者的絕對控制地位成為信息處理者之間的顯性特征。綜合推論1和推論2可知：信息主體的人格屬性是影響信息主體控制力的主要因素，而成本投入是影響信息處理者控制力的主要因素。在個人信息轉(zhuǎn)讓情景中，個人信息的財產(chǎn)屬性成為顯性屬性，信息處理者的控制力度強于信息主體，具有積極控制權(quán)益；個人信息的人格屬性成為隱性屬性，信息主體對個人信息僅具有消極的防御權(quán)益。在“新浪微博訴脈脈案”中，法院首次確立了“用戶授權(quán)+平臺授權(quán)+用戶授權(quán)”三重授權(quán)規(guī)則，該規(guī)則成為企業(yè)之間共享信息時的參考標準。但這種過于嚴苛的標準卻受到不少學者的質(zhì)疑。(40)三重授權(quán)原則系個人信息保護的單方規(guī)制方式，該角度并不能有力規(guī)制數(shù)據(jù)不正當競爭行為，混淆了單獨的個人信息和作為商業(yè)資源的個人信息的區(qū)別，而且會不可避免地抑制信息獲取方的創(chuàng)新和產(chǎn)業(yè)發(fā)展。詳細論證可參見薛其宇：《互聯(lián)網(wǎng)企業(yè)間數(shù)據(jù)不正當競爭的規(guī)制路徑》，《汕頭大學學報(人文社會科學版)》2018年第12期，第66頁。徐偉：《企業(yè)數(shù)據(jù)獲取“三重授權(quán)原則”反思及類型化構(gòu)建》，《交大法學》2019年第4期，第28頁。故本文基于上述推演結(jié)論擬矯正三重授權(quán)規(guī)則，避免過于嚴格的同意標準對數(shù)據(jù)技術(shù)革新造成誤傷。

就信息主體同意的形式而言，信息轉(zhuǎn)讓情景包括人格性信息、準財產(chǎn)性信息和財產(chǎn)性信息。在實踐中，信息處理者通常會在服務協(xié)議中告知信息主體向第三方信息處理者轉(zhuǎn)讓個人信息的情形。(41)如《淘寶網(wǎng)隱私權(quán)政策》在個人信息轉(zhuǎn)讓部分列舉了具體情形：1.在法定情形下的轉(zhuǎn)讓；2.獲取用戶明確同意；3.用戶主動選擇轉(zhuǎn)讓；4.向關(guān)聯(lián)公司轉(zhuǎn)讓；5.向授權(quán)合作伙伴轉(zhuǎn)讓。http://wenda.bendibao.com/life/2019729/43841.shtm，2022年1月14日訪問。在此情景中，由于信息處理者的積極控制地位，同意規(guī)則應根據(jù)不同的信息類型相應弱化，以釋放信息活力。(1)對于人格性信息，其與信息主體的高度關(guān)聯(lián)性決定了個人對信息的持續(xù)控制力。盡管在信息處理者的競爭關(guān)系中信息主體的人格權(quán)益被淹沒，但信息價值的生成離不開個人信息的“喂養(yǎng)”，因此保證信息主體對人格性信息流通的知情與同意是信息轉(zhuǎn)讓的必要條件。因此，在信息收集的目的范圍內(nèi)對人格性信息進行轉(zhuǎn)讓時可適用“事前擬制同意+退出權(quán)”的同意模式；但超出目的范圍之外的收集、使用，則必須取得信息主體的明確同意。(2)對于準財產(chǎn)性信息，因該類信息的強財產(chǎn)屬性弱人格屬性，信息處理者具有強控制性，信息主體對這類信息僅具有消極防御功能。因此，在目的范圍內(nèi)對該類信息轉(zhuǎn)讓時可采用“事后擬制同意+反對權(quán)”的同意模式。(3)對于財產(chǎn)性信息，因信息處理者對其投入了人力、物力、技術(shù)等改變了信息本身的基本結(jié)構(gòu)，該類信息呈現(xiàn)完全財產(chǎn)屬性，信息處理者對其具有完全控制力。因此，在目的范圍內(nèi)的信息轉(zhuǎn)讓無須信息主體同意。

就信息處理者的同意形式而言，應該基于信息處理者對各類信息的控制力來設計，而信息的成本投入成為關(guān)鍵。在該情景中，由于個人信息的人格屬性被弱化，信息集合的財產(chǎn)屬性成為顯性特征，因此信息處理者獲取信息集合形成的競爭優(yōu)勢成為保護的對象。信息處理者之間簽訂的開發(fā)者服務協(xié)議作為信息轉(zhuǎn)讓的主要形式，明確了轉(zhuǎn)讓信息的種類、使用目的、使用方式和保障信息安全的義務，但是在轉(zhuǎn)讓情景中發(fā)生糾紛的起因恰恰在于超出合同規(guī)定的范圍使用。在合同目的內(nèi)對各類信息的轉(zhuǎn)讓一般由《開發(fā)者協(xié)議》規(guī)定，故取得信息處理者的同意無須言明。在合同目的范圍之外，第三方處理者對信息集合收集時，信息處理者的同意規(guī)則應根據(jù)信息類型區(qū)分設計。(1)對于人格性信息，由于信息主體的強人格屬性，第三方處理者僅需取得信息主體的明示同意，無須獲得信息處理者的同意。因為信息主體是自身利益的最佳判斷者，但這也不意味著第三方信息處理者可以獲取信息處理者收集的所有人格性信息集合，因為信息主體的明示同意是阻斷第三方信息處理者不當競爭行為的有效方式。在“新浪微博訴脈脈案”中，脈脈公司若想通過Open API接口獲得新浪微博用戶基本信息，就需要用戶輸入名稱與密碼來明確授權(quán)。(2)對于準財產(chǎn)性信息，這類信息屬于信息主體與信息處理者的共生信息，信息處理者對這類信息具有合法使用權(quán)，因此對該類信息的占有和控制能夠?qū)沟谌叫畔⑻幚碚叩牟划敨@取行為。故當?shù)谌叫畔⑻幚碚叱瞿康姆秶@取準財產(chǎn)信息時需要經(jīng)過信息處理者的明確同意。(3)對于財產(chǎn)性信息，該類信息是信息處理者基于算法對人格性信息、準財產(chǎn)性信息進行整合分析后所形成的預測信息，信息處理者的控制力達到最大化，故第三方信息處理者對該類信息的獲取必須獲得信息處理者的明確同意?；谝陨戏治隹芍?，信息處理者之間轉(zhuǎn)讓個人信息時，需從信息主體與信息處理者的角度，分析雙方對不同類型信息的控制力，從而細化同意規(guī)則。

表2 一般情景中個人信息轉(zhuǎn)讓的同意規(guī)則設計

(二)企業(yè)并購情景中個人信息轉(zhuǎn)讓的同意規(guī)則

在收購、兼并、重組、破產(chǎn)情景中，因為企業(yè)并購會觸及信息主體的信息利益，故本部分就資產(chǎn)并購情景中的信息主體同意規(guī)則進行詳細分析。資產(chǎn)并購中涉及信息轉(zhuǎn)讓的多發(fā)生在破產(chǎn)情景中，這是厘定信息主體與信息處理者的權(quán)益邊界的重要場域。在比較法上，美國法在破產(chǎn)法領(lǐng)域已經(jīng)發(fā)展出個人信息轉(zhuǎn)讓的限制規(guī)則，即將信息主體的事先授權(quán)作為個人信息轉(zhuǎn)讓原則性規(guī)定的同時，在司法實踐中亦有判例確立了將個人信息整體轉(zhuǎn)讓的例外情形，故本文在該部分主要收集了美國法中關(guān)于破產(chǎn)情景個人信息轉(zhuǎn)讓的典型案例：Toysmart案和Borders案，以供下文參考和分析。

表3 企業(yè)并購情景中同意規(guī)則的適用方案

通過上表可知，在Toysmart案和Borders案中，允許信息處理者轉(zhuǎn)讓個人信息集合的同意條件存在差異。在Toysmart案中，Toysmart公司轉(zhuǎn)讓個人信息無須經(jīng)過信息主體同意，但是限定了轉(zhuǎn)讓條件：個人信息不得單獨轉(zhuǎn)讓；第三方信息處理者必須與Toysmart公司的經(jīng)營范圍相當；第三方信息處理者必須遵守原信息處理者發(fā)布的隱私聲明。在Borders案中，破產(chǎn)法院賦予信息主體選擇權(quán)，規(guī)定在遵守原信息處理者發(fā)布的隱私聲明前提下，在轉(zhuǎn)讓資產(chǎn)后的一定期限內(nèi)由信息主體選擇是否同意轉(zhuǎn)讓其信息，即采取“事后擬制同意+反對權(quán)”的同意模式。比較兩則案例可以看出，在資產(chǎn)并購情景中，法院認可個人信息可以轉(zhuǎn)讓的同時為并購雙方設定了額外義務，其中，并購雙方的資格、信息主體同意的目的和范圍、收購方的合理利益是個人信息轉(zhuǎn)讓中限制規(guī)則確定的主要考察要素。雖然上述兩則案例適用的同意規(guī)則有所不同，但是都對信息主體同意的目的、并購雙方合理利益進行了衡量，而是否符合個人信息的使用目的是信息處理者能否轉(zhuǎn)讓信息財產(chǎn)的關(guān)鍵。原因有二：其一，信息使用目的對第三方信息處理者的資格進行了限制，其必須是同一行業(yè)的經(jīng)營者，如此，在情景相同、目的一致、不存在額外隱私風險的前提下，不會超出信息主體的合理預期。其二，個人信息使用目的是衡量并購雙方合理利益的直接標準。因為對信息使用目的的尊重，是對同意規(guī)則的延伸，體現(xiàn)的是對用戶利益的保護。(42)余佳楠：《個人信息作為企業(yè)資產(chǎn)——企業(yè)并購中的個人信息保護與經(jīng)營者權(quán)益平衡》，《環(huán)球法律評論》2020年第1期，第110頁。如若未經(jīng)同意就將個人信息集合單獨出售實質(zhì)上違背了信息主體的信息自決權(quán)，難以認定并購雙方具有合理利益。綜上分析，個人信息使用目的是企業(yè)并購情景中同意規(guī)則設計的核心標準。

美國法在企業(yè)并購情景中適用的同意規(guī)則包括兩種：無須信息主體同意和沉默擬制同意，在該情景中我國法應該采用何種同意規(guī)則？我國《個人信息安全規(guī)范》第9.3條的規(guī)定，在資產(chǎn)并購的情景，變更后的個人信息控制者應繼續(xù)履行原個人信息控制者的責任和義務，如變更個人信息使用目的后，應重新取得個人信息主體的明示同意。從文義解釋的角度看，在信息使用的目的范圍內(nèi)，信息處理者僅負有告知義務，對于個人信息的轉(zhuǎn)讓不需要重新取得信息主體的同意。本文認為，完全無須信息主體的同意并非是一個合理的選擇，可以借鑒美國法在企業(yè)并購情景中適用的同意規(guī)則，在并購雙方符合相關(guān)要件的基礎(chǔ)上，根據(jù)個人信息的類型、并購雙方的合理利益對同意規(guī)則進行細化設計。通過表3可知曉，資產(chǎn)并購情景中的個人信息轉(zhuǎn)讓涉及的信息類型包括人格性信息、準財產(chǎn)性信息和財產(chǎn)性信息。(1)對于人格性信息，因其高度敏感性、高度關(guān)聯(lián)性決定了信息主體對其享有的完全控制權(quán)，對這類信息的轉(zhuǎn)讓應該事先告知信息主體，并取得信息主體的明確同意，否則不發(fā)生轉(zhuǎn)讓的效力。(2)對于準財產(chǎn)性信息，因該類信息的共生性和匿名化特征，為保證程序的快速完成，采用“事后擬制同意+反對權(quán)”的標準即可，即在個人信息轉(zhuǎn)讓后，由第三方信息處理者通知原信息主體并設置一定的期限，期限屆滿后未做表示的視為同意轉(zhuǎn)讓。(3)對于財產(chǎn)性信息，因信息處理者對其享有積極的財產(chǎn)權(quán)，在目的范圍內(nèi)的信息轉(zhuǎn)讓無須信息主體同意。

表4 企業(yè)并購情景中個人信息轉(zhuǎn)讓的同意規(guī)則設計

四、個人信息共享情景中的同意規(guī)則

信息共享情景是信息處理者向他人提供信息或者授權(quán)他人使用信息的情景。信息共享是信息流通的主要方式，信息的無形性決定了其可同時為多人占有，這種多人并存共用性決定了信息流通并非以信息轉(zhuǎn)讓為典型，允許他人使用才是信息流通的常態(tài)。(43)高富平：《數(shù)據(jù)流通理論——數(shù)據(jù)資源權(quán)利配置的基礎(chǔ)》，《中外法學》2019年第6期，第1412頁。信息共享情景是信息處理者之間發(fā)生糾紛的主要情景之一，這類糾紛屬于技術(shù)型糾紛，即第三方信息處理者基于技術(shù)上的優(yōu)勢非法抓取網(wǎng)絡平臺上的公開信息。網(wǎng)絡空間具有公共性，當信息主體將其信息公布到網(wǎng)絡時，此時的信息就具有開放性特征，社會主體均可獲取和合理使用。圍繞近年來關(guān)于數(shù)據(jù)爭奪的不正當競爭案件，可以發(fā)現(xiàn)在個人信息共享情景中準財產(chǎn)性信息是信息處理者之間爭奪的主要對象。(44)筆者在“北大法寶數(shù)據(jù)庫”中以“企業(yè)數(shù)據(jù)”“數(shù)據(jù)競爭”為關(guān)鍵詞共檢索18起相關(guān)案例，鑒于篇幅有限，故挑選出三例具有典型意義的案件進行分析，具體包括：“2010年大眾點評訴愛幫網(wǎng)案”，北京市海淀區(qū)人民法院(2010)海民初字第24463號民事判決書；北京市第一中級人民法院(2011)一中民終字第7512號民事判決書；“新浪微博訴云智聯(lián)案”，杭州鐵路運輸法院(2017)浙8601民初4034號民事判決書；“阿里巴巴訴誠信通案”，浙江省杭州市濱江區(qū)人民法院(2019)浙0108民初5049號民事判決書。這類信息是信息主體與信息處理者的共生信息，雖然信息主體的人格屬性是顯性特征，但其產(chǎn)生是以信息處理者提供的網(wǎng)絡平臺作依托的，而平臺優(yōu)勢和聚合效應造就了信息集合的財產(chǎn)屬性，構(gòu)成信息處理者的競爭優(yōu)勢。由此可推定1：信息主體將其信息在平臺公開成就了信息處理者的競爭優(yōu)勢，成為攔截第三方信息處理者利用技術(shù)不當抓取公開信息的有效事由。(45)有學者認為先進技術(shù)造就了平臺的競爭優(yōu)勢，本文在此基礎(chǔ)上對信息類型和平臺競爭優(yōu)勢的形成作進一步細化。張玉潔、胡振吉：《我國大數(shù)據(jù)法律定位的學說論爭、司法立場與立法規(guī)范》，《政治與法律》2018年第10期，第145頁。與此同時，在實踐中，對于公開個人信息的收集，信息處理者一般通過Robots協(xié)議防止第三方信息處理者不當抓取行為，以維持自身優(yōu)勢競爭地位。法院一般根據(jù)第三方信息處理者利用技術(shù)優(yōu)勢抓取的信息是否違反了Robots協(xié)議以及抓取信息的實質(zhì)后果作為裁判基準。例如，在“大眾點評訴百度案”中(46)上海市浦東新區(qū)人民法院(2015)浦民三(知)初字第528號民事判決書。，法院認為，盡管百度公司的搜索引擎抓取涉案信息并不違反Robots協(xié)議，但并不意味著百度公司可以任意使用用戶點評信息，其應本著誠實信用原則和公認商業(yè)道德，合理控制來源于其他網(wǎng)站信息的使用范圍和方式。在“新浪微博訴云智聯(lián)案”“阿里巴巴訴誠信通案”中，法院均持這一態(tài)度。(47)法院認為，對抓取數(shù)據(jù)行為正當性的評判與實現(xiàn)該行為的行為手段并無必然聯(lián)系，即使云智聯(lián)公司所使用的技術(shù)中立，也不意味著其通過該網(wǎng)絡爬蟲或其他技術(shù)實施的抓取行為亦正當。由此可推定2：“遵守行業(yè)慣例+無實質(zhì)性損害”是判斷第三方處理者抓取信息行為的合理邊界。基于對推定1和推定2的考量，可推演出：在個人信息共享的場域，人格權(quán)保護不再作為第三方信息處理者抓取信息的阻卻事由，信息處理者的競爭優(yōu)勢成為信息公開情景的主要保護對象，因此，能否對信息主體公開的個人信息進行收集和利用，取決于第三方信息處理者是否遵守“行業(yè)慣例+無實質(zhì)性損害”的標準。

基于上述分析，在該情景中主要圍繞的是信息處理者對準財產(chǎn)性信息的同意規(guī)則加以設計。首先，在合理范圍內(nèi)，第三方信息處理者在遵守行業(yè)慣例的前提下，獲取公開的個人信息無須信息主體同意，對信息處理者適用“事后擬制同意”模式。信息主體需要容忍公開的個人信息在合理范圍內(nèi)的流轉(zhuǎn)。(48)王海洋、郭春鎮(zhèn)：《公開的個人信息的認定與處理規(guī)則》，《蘇州大學學報(法學版)》2021年第4期，第74頁。其次，在合理范圍外，第三方信息處理者不需要經(jīng)過信息主體的同意，但必須經(jīng)過信息處理者的明確同意。是否在合理范圍內(nèi)需要在具體案件中根據(jù)獲取信息的方式、使用信息的范圍與方式、使用目的、損害后果綜合判斷。

表5 個人信息共享情景中的同意規(guī)則設計

五、結(jié)論

個人信息具有人格和財產(chǎn)的雙重法律屬性，個人信息的屬性在不同的情景中會發(fā)生變化。因此，信息權(quán)利不能簡單地對應于人格或隱私權(quán)利，而是處于財產(chǎn)性與人格性、公開性與隱私性兩相疊加的混合狀態(tài)。(49)齊愛民：《私法視野下的信息》，重慶大學出版社2012年版，第219頁。故而在不同情景中根據(jù)不同的信息類型區(qū)分設計同意規(guī)則是解決同意規(guī)則適用困境的一種較為合理的方案。從司法實踐反映的個人信息(數(shù)據(jù))糾紛產(chǎn)生的原因來看，在個人信息處理過程中，參與主體與個人信息的顯性屬性成為影響同意規(guī)則設計的關(guān)鍵因素。基于此，本文根據(jù)個人信息的類型、信息參與主體以及具體情景勾勒出同意的一般性規(guī)則與特殊性規(guī)則，通過優(yōu)化同意規(guī)則不僅為個人信息保護問題提供了一種分析路徑，也為個人信息轉(zhuǎn)讓、共享情形下的個人信息利用問題提供了參考。