高富平丨滴滴被罚80.26亿背后，一个信息处理中的核心问题亟需引起重视

编者按

7月21日，据中国网信网消息，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

国家网信办指出，滴滴共存在16项违法事实，主要归纳为8个方面，其中除严重影响国家安全外，“过度收集信息”成为认定滴滴违法的又一关键词。这其实也反映了当下个人信息处理中的核心问题，即在各类APP和平台中，“同意规则”被泛化理解，导致平台的处理权限被无限放大，侵犯隐私、威胁数据安全、平台垄断等一系列乱象由此出现。本文从对“同意”与“授权”这一对法律概念的辨析入手，分析个人信息处理的边界这一基础问题。本公众号特此编发，供读者思考。

滴滴被罚80.26亿背后，一个信息处理中的核心问题亟需引起重视

高富平丨华东政法大学互联网法治研究院院长、教授

本文刊载于《探索与争鸣》2021年第4期

原题《同意≠授权——个人信息处理的核心问题辨析》

非经注明，文中图片均来自网络

2012年12月28日,全国人大常委会发布《关于加强网络信息保护的决定》（以下简称《决定》)，标志着我国开始引人个人信息保护制度。《决定》确立的个人信息保护规则后被《消费者权益保护法》《网络安全法》《电子商务法》等法律所吸收。个人信息保护规范的基本内容为:个人信息收集和使用应遵循合法、正当、必要等原则，经被收集者同意，收集和保存后，应当依法或依约处理或使用。由于这些法律没有规定“同意”的例外情形，加上“同意”是组织(法人和非法人、营利性和非营利性法人)最容易做到且能够证明其合法性的方式，因此同意规则被泛化。

其危害有两方面:一方面，造成个体对个人信息享有一般性决定权的错觉。因为按照形式逻辑，既然使用个人信息要经个人同意，那么似乎可以得出未经个人同意就构成侵权的结论。只是未经同意使用个人信息是否构成民事侵权，仍然存在争议，至少没有为司法实践采纳。但是，在公法领域，未经个人同意的使用(含收集)即构成违法行为，而违法行为即应承担相应的法律责任(行政处罚甚至刑事责任)。公法规则的强制性进一步强化了个人信息属于个人,由个人控制或决定的观念。另一方面，只要有了个人的同意（哪怕是形式意义上的概括式同意)，组织使用个人信息即合法使“同意”反而成为个人信息滥用的“保护伞”。

《民法典》以个人信息“处理”替代了个人信息“收集和使用”，但仍然坚持以“同意”为前提,只是明确“同意”存在法定例外(第1035条第1款第1项),并规定了免责情形(第1036条)。在个人信息保护模式(权利保护或法益保护)存在争议的背景下，当不存在法定例外时，对未经同意处理个人信息是否构成侵权，恐怕仍然会有不同的理解。这不仅是由于法律规定不清晰，还有实践中存在将信息主体的“同意”等同于“授权”的原因。

例如，国家推荐标准《个人信息安全规范》(GB/T 35273—2020)第5.4条“收集个人信息时的授权同意”规定: a)收集个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息主体的授权同意。同样,《互联网个人信息安全保护指南》直接将同意表述为“授权同意”或“同意和授权”。司法实践中也普遍将同意视为授权，甚至提出“三重授权说”。如果将“同意”理解为“授权”，那么未经信息主体授权使用个人信息当然构成侵权。

在《民法典》实施后，个人信息民事保护将成为个人维权重要方式，法院将面临非经个人同意使用信息是否构成侵权的拷问。同时《个人信息保护法》正在制定过程中，如何规定“同意”也关系着未经个人同意是否侵权的判断。因此,我们有必要对个人信息保护法(下文简称“个保法”)中的“同意”在私法中的法律效果进行探讨，寻求其正确的法律意义和效果。

各类“同意”的私法效果检讨

个人在许多场景中都需要表达同意。最常见的有，在社会活动中，作为同行专家同意推荐、同意结项等签字﹔在组织活动中，上级领导对下属某种行为的许可，如同意报销、同意下属从事某行为等。“同意”也会进入到民事法律行为中，从《民法典》来看，至少以下情形涉及到“同意”:法定代理人对被代理人(监护人)行为的同意(第19、22、145条)、监护人选择的同意(第27、28条)、被代理人同意(第168、169条)、义务人同意履行过诉讼时效的债务(第192、195条)、权利人同意登记簿记载事项的同意(第220、221条)、业主对表决事项的同意(第278、279条)、共有人的同意(第301条)、用益物权人对所有权设定地役权的同意（第379条)、担保人对债务转让的同意(391条)、抵押权人对抵押权变更的同意(第409条)、出质人对质权人使用质物和转质同意(第431、434条)、在合同订立过程对要约的同意(第479条)、标的变更的同意(第516条)、债权人对债务转移的同意(第551条)、合同权利义务转让同意(第555条)、保证人对债务合同变更的同意（第695至697条)、租赁合同中出租人同意（第715至718条，第753条)和承租人同意(第744条)、承揽合同中定作人同意(第772条)、建设工程合同中的发包人同意(第790条)、合作开发人对专利申请的同意(第860条)、委托合同中委托人同意(第922、923条)和受托人同意(第931条)行纪合同中委托人同意(第954.955条)合伙人对合伙事务的同意(第970、974条)、器官捐献的同意(第106条)、伦理委员会对新药或治疗方法进行临床试验的审查同意(第1008条)、肖像权人对使用肖像的同意（第1019、1020条)、权利人对侵害隐私行为的同意(第1033条)、自然人对个人信息处理的同意(第1036、1038条)、现役军人对配偶离婚的同意(第1081条)、抚养义务人对孤儿送养同意(第1096条)、收养关系建立的同意（第1103、1104、1109、1114条)、诊疗活动中患者或近亲属的同意(第1219、1226条)等。

显然，这些“同意”是当事人的意思表示，其基本含义是认可某事实或允许某人做某事，从而产生特定的法律效果，但法律效果却不尽相同。有些“同意”产生变更法律关系或权利义务内容的效果，有些可能仅阻却违法或接受某种法律后果，甚或放弃某种权利;也有个别“同意”含有授权意思，比如,《民法典》第1019条规定“未经肖像权人同意，不得制作、使用、公开肖像权人的肖像”，实质上这里的“同意”即为“授权”。但是，《民法典》所规定的其他“同意”却鲜有“授权”的含义或效果。

那么，民法中的“授权”又是什么含义呢?《民法典》较少使用“授权”，仅有委托代理中使用了代理权授予(第165、174、925条)。显然,代理权授予中授权的法律属性属于单方意思表示，其法律效果是限制自己行为,为他人创设了意志自由(被称为权限或法律地位)。类似地,《民法典》中也大量使用“许可”一词，如专有技术许可合同中技术许可(第843条、第862—875条)。同时，集成电路布图设计专有权、植物新品种权、计算机软件著作权等其他知识产权许可也可以参照适用技术许可合同(第876条)。实际上,在《著作权法》《商标法《专利法》等知识产权法律中，均承认知识产权人许可他人使用受保护智力成果的权利。另外,《民法典》赋予自然人许可他人使用姓名、肖像等识别性人格要素的权利(第993条)。显然，“许可”适用于民事主体享有法律规定的权利,权利人通过限制自己的权利,而为他人创设使用某种财产或人格要素的自由(权利)。“许可”有时候也被称为“授权”,均内含当事人的同意的意思表示,只是它为受许可人(被授权人)创设明确的行为自由(边界)，在法律上明确为“授权”或“许可”，而不称为“同意”。

人脸识别进校

通过上述梳理，我们可以得出基本结论：仅从《民法典》的用语来看，若要表达“授权”的含义，往往会明确使用“授权”“许可”等词汇，而基本不会与“同意”混用。但是有例外，在肖像权相关规则(第1019条)中,“同意”即与“授权”含义基本相同。“同意”并不一定与“授权”联系在一起或具有相同法律后果，而“同意”的法律后果依据其适用的场景、针对的对象或事务而有所区别,呈现出多样性的趋势。那么，个人信息使用或处理的“同意”是否具有“授权”的法律效果呢?这可能还需要深入分析“个保法”中“同意”的法律基础。

域外“个保法”中“同意”的法律效果

“个保法”中的“同意”来源于社会生活中个人对个人事务处理的意志表达，类似于医疗过程中的患者同意，甚至可以说二者具有相同的法理基础，即根源于对自然人作为生命主体的尊重，是对人的尊严保护。因此,我们需要寻找“个保法”为信息主体（数据主体)设置“同意”的背后逻辑。

通过对“个保法”初期立法研究发现，个人信息保护的基本含义是对个人信息处理行为进行保护，而不是对个人信息的保护，个人信息保护并没有赋予个人对个人信息的决定权或支配权。法律给予信息主体以同意的基本逻辑是,个人信息是关于个人的,而个人是具有独立意志的主体,因而处理个人信息不能像处理客体那样随意，而应当尊重个人意志或者以不侵犯个人尊严或自由方式进行。但是，由于人是一种社会存在，披露个人信息和借助个人信息识别交往或交易的对象是社会运行的基本要求，因而个人信息又不是或不完全是属于个人、由本人决定才能为社会使用的“东西”。于是，个人信息处理中个人保护面临的问题是:既要保护个人作为信息主体的权利,又不能让个人说了算，赋予其决定权。因此，“个保法”一开始就承认个人信息（个人数据)具有社会性、公共性，而不是属于个人可绝对支配的“财产”，也即承认个人信息（个人数据)是社会主体可用的资源，而不是非经个人决定不得使用的“财产”。

这样的立法定位决定了如何设计和理解信息主体的“同意”成为“个保法”的关键问题。在美国，在联邦层面只有特殊领域的立法对特定情形和特定范围的个人信息设置了“事先同意”门槛，而总体上由使用个人信息主体自主决定选择是否要“同意”(opt-in)，并认为“选退”(opt-out)也是对主体权利的尊重。因此，在美国，“同意”似乎只是判断个人信息使用是否正当，进而是否侵犯信息隐私(数据隐私)的考量因素。在美国特有的法治环境下，灵活的同意规则满足了个人信息处理中个人保护(信息隐私)的目标。

欧洲也是个人数据保护制度的发源地，一开始欧洲采取统一的制定法保护个人数据处理中个人的权益。考察欧洲个人数据保护法对“同意”的法律定位，对我们更具有借鉴意义。欧洲“个保法”源起于瑞典、德国、法国等国，形成于欧洲委员会(又译欧洲理事会，缩写COE)1981年制定《个人数据自动处理中的个人保护公约》(以下简称《公约》)。《公约》对个人保护的逻辑建立在基本权利基础上，它假定个人数据处理必须有合法性基础，遵循法律原则进行处理，以避免处理对个人权利的侵害。对于如何保护个人数据处理中的个人权利,《公约》采纳的是基于原则的规范模式，并将数据主体的权利置于基本原则中。《公约》既不承认数据主体享有单一权利，也没有将“同意”明确为数据主体的一项权利，而是将之规定在第5条数据处理的合法性基础中，“同意”只是合法处理的法律依据或理由之一。第5条第3款实际上规定了数据处理的合法性有三个要件:(1)处理目的合法;(2)处理具有法律基础(同意或法律规定的合法事由);(3)处理行为合法（比如公正、必要、正确等)。

为落实《公约》并推进“个保法”规则的统一,欧盟议会和欧盟理事会于1995年通过了《关于涉及个人数据处理的个人保护以及此类数据自由流通的《95/46/EC/号指令》(以下简称《指令》)。之后又以统一的欧盟法律《统一数据保护条例》(Regulation(EU)2016/679，缩写为GDPR，2018年5月生效）替代了具有指导成员国立法效力的《指令》。虽然欧盟的法律一直朝着强化保护个人权利的方向发展，但是，以基本原则保护个人数据处理中个人权利的框架没有变化，自《指令》开始，欧盟一直坚持“同意”只是合法处理法律基础之一，而并没有在主体权利中规定数据主体享有同意权。事实上，在数据主体对个人数据的使用没有独立决定权的情形下，主体的同意就不是基于权利而做出的。在个人不能完全决定个人数据使用的情形下，个人也就不能自由地决定个人数据使用，更不能为他人创设权利(自由)，产生授权效果。

实际上，从《指令》到GDPR，数据主体的权利均源自公民的基本权利(人权)，数据主体的权利是不可能被放弃或让渡的。因此，欧盟的法律一方面规定“数据主体有权在任何时候撤销其同意”，这使数据处理仍然受数据主体意志左右﹔另一方面，欧盟的法律强调数据主体权利的绝对受保护性，要求数据控制者利益让渡于数据主体利益，且不因场景变化影响数据主体权利的实现。在这个意义上，笔者认为，欧盟“个保法”具体化的主体权利只是基本权利在个人数据处理领域的体现，因而被认为是不可让渡的权利。因此，数据主体的同意不是对这些权利的处分或让渡。那么，“同意”的法律意义何在呢?理解“个保法”中“同意”的法律效力，我们仍然应当回到自《公约》确立的个人数据处理合法性原则上。《公约》的核心是第5条所规定的个人数据处理的合法性判断三要件。《指令》第二章“个人数据处理合法的一般规则”是对《公约》第二章“数据保护基本原则”的细化，而GDPR第二章则将该章内容拆分为三章。R其中,《指令》第7条对《公约》第5条第2款处理的法律基础进行了细化，并为GDPR第6条所继受。细化主要表现为明确了“同意”之外的法定事由，在这之外的5项法律基础体现了个人数据的社会性和公共性，尤其是将“数据控制者或第三方为追求合法利益目的而进行的必要数据处理”(以下简称为“合法利益")也作为个人数据处理的合法基础。这大大扩张了“同意”之外的合法性基础,是数据控制者的“合法利益”需要与数据主体的权利相平衡，使个人数据处理(使用)法律基础的判断更加具有弹性。除了明确个人数据处理的合法性基础外，《指令》和GDPR的主体规范主要是建立行为处理规范，为行为合法性判断提供依据。因此，依据欧盟“个保法”，个人数据处理的合法性判断仍然坚持《公约》第5条提出的三个标准。

这意味着，欧盟“个保法”下的个人数据处理(使用)合法性判断仍然坚持合法目的、合法基础和合法处理行为三要件,而“同意”只是合法基础一种。在这三要件中,合法目的是前提。"个保法”并不触及目的合法性，目的是否合法需要依据整体法律判断，但“个保法”以个人信息使用目的合法为前提条件，如果使用个人信息用于违法目的(如欺诈)，那么即可以“一票否定”其合法性。在合法目的假设下，个人信息处理的合法性首先看是否存在合法性基础。如果没有合法性基础，那么亦可以否定其合法性。在这个意义上，在没有其他法律基础，又未取得个人同意而使用信息时，亦可以判定个人信息处理行为不合法。但是有法律基础并不意味着个人信息处理行为就具有合法性。因为法律基础只是个人信息处理的必要不充分条件，有法律基础只是合法性的前提条件，其处理行为是否合法还需要判断个人信息处理是否符合“个保法”的基本原则和具体规定。而这一判断涉及“个保法”的整体适用，情况比较复杂。比如，未依法尽告知义务，或者超范围使用等都将导致个人信息处理行为违法。

如果上述判断是正确的，那么由欧洲开创的统一制定法模式，也仍然是将“同意”作为合法性基础之一，而不是单独非经同意即违法。最为关键的是，欧洲“个保法”也并非采权利法模式，采取简单未经同意即违法的法律规则，而是采行为规范模式，并建立多层次的合法性判断标准来判断个人数据处理行为是否合法。

我国信息主体同意的私法效果

与域外的立法实践不同,我国是由《民法典》先对个人信息处理作出了基本规范,而后制定《个人信息保护法》。由于《民法典》的基本法地位,决定了我国“个保法”的同意法律效力首先要在《民法典》的体系下思考。因此，我们首先需要考察《民法典》对“同意”的规范及其法律后果。笔者认为,《民法典》所规定的“同意”，不能理解为人格要素的“许可”(授权使用)意义，民法对个人信息处理的合法性也不能仅看是否获得个人同意。

《民法典》与现行法的不同在于,其规定了“同意"之外存在法定例外(第1035条第1款第1项)，只是并没有明确存在哪些例外，而是交给其他法律规定。单凭这一条并不能说明未经同意必然不构成侵权。因为在权利规范模式下，亦可以建立以个人授权为一般原则，而以法定事由豁免未经授权使用的责任。之所以说“同意”不等于“授权”，未经同意不一定构成侵权，主要原因是《民法典》对个人信息的法律保护仍然采行为规范模式，而不是权利规范模式。

《民法典》将个人信息保护置于人格权编，而个人信息也被定义为能够识别出个人的任何信息。这使得个人信息与姓名、肖像等传统的识别性人格要素具有高度相似性。民法上的姓名权、肖像权的核心是姓名、肖像的使用权（包括许可使用),由此建立了非经权利人许可(授权)不得使用姓名、肖像的规则。但是，传统人格权并没有触及姓名、肖像之外的个人信息。当个人信息纳入人格权编且受保护的个人信息也具有可识别性，人们最易将其类比作姓名、肖像等识别性人格要素。既然姓名、肖像可以许可使用，那么个人进行同意亦相当于或者可以视为许可他人使用个人信息。但是，存在以下理由，使我们不能将个人信息的“同意”视为“授权”。

第一，姓名、肖像具有直接标识独立个体、与个人关联的联系力，是一个人形象、名誉、荣誉甚至整体个体利益的载体。因此，选择这两个符号，赋予个人积极的支配权，有利于维护人格权益，尤其实现人格利益的商业化利用。同时，姓名、肖像本身边界清晰，识别和判断简单易行,且有公认的社会规则，能够给他人以合理行为预期，赋予其排他性权利不会给社会主体造成负担,带来过高的交易成本。但是，姓名、肖像之外的个人信息虽然具有识别个人的功能，但是大多情形下并不具有单独识别性，能否识别个人取决于能够掌握多少数据(与多少数据结合)、采用什么算法等，单个信息的识别性往往不容易判断。个人信息的权利化会给整个社会造成过高的负担,增加社会的运行和交易成本。

第二，将“同意”视为“授权”会变相地导致个人信息保护权利化，承认个人对个人信息具有支配性权利，这与个人信息社会性和公共性的定位相悖。如前所述，个人信息的社会性和公共性是域外“个保法”默认的前提，“个保法”仅在于建立个人信息公正合理使用的规则，而不是建立未经个人决定(同意)不得使用的规则。这样的定位使私法规范不能将个人信息私权化，成为个人意志可以决定的东西。

第三，《民法典》对个人信息保护采行为规范模式，而非权利规范模式，个人信息处理行为的合法性是侵权行为判断的基础。《民法典》第1035条“个人信息处理的原则和条件”将“同意”视为个人信息处理的条件之一，但并不是非经同意不得使用的权利规范模式。第1036条第1项将“同意”视为个人信息处理合法性的必要但不充分条件，“同意”只是合法处理的前提，还必须在“同意”的范围内“合理实施”处理行为。依据第1036条第1项，仅有个人同意的处理行为不合理，仍然需要承担法律责任﹔同样，有法律规定的其他依据（例外规定)，处理行为存在超范围等不合法、不合理的行为，仍然可以认定为处理行为不合法。根据《民法典》，我们可以得出这样结论﹔未经信息主体同意并不一定侵权,而获得了信息主体同意也并不一定不侵权。"同意”并没有为使用人创设自由，也没有为信息主体与行为人(信息处理者)之间界分出自由和非自由边界。因此，虽有同意行为，但“同意”只是行为合法性判断因素之一，而不产生“授权”的法律效果。

“个保法”的“同意”规范与民法的衔接

2020年首次公开的《个人信息保护法（草案)》在个人信息保护方式方面基本采纳了欧盟GDPR的框架，尤其是采纳了个人信息处理合法性的基础规定，只是其合法性基础(第13条)规定在“个人信息处理规则”一章，而不是在总则的基本原则中。第13条的内容也大致相当于GDPR第6条对个人数据处理合法性的规定，主要差别是缺少“为信息处理者(GDPR中表述为数据控制者)合法利益而处理”这一合法性基础。笔者认为，采纳个人信息处理合法性基础规定使我国个人信息的处理具有并行的法律依据，既避免了《民法典》之前的分散立法将“同意”作为唯一合法性基础，同时也避免了《民法典》第1035条以“同意”为一般原则，以法律另有规定为例外的规定。单纯以此作为合法性基础，宜得出没有法律的规定例外时，未经“同意”的个人信息处理就是侵权结论。这主要是因为个人信息具有可以为社会使用的属性，在法律的有限规定之外是否都要征得个人同意并没有确定的答案，这才有“正当”在个人信息处理基本原则中存在的必要。《民法典》第1035条将“合法、正当、必要原则”作为个人信息处理的基本原则，“正当”应当成为个人信息合法性的兜底原则。实际上，“正当”给法官在审理具体案件过程中的法律规定情形之外，对未经同意是否违法（侵害信息主体权益）有了判断的空间，忽略正当原则对个人信息处理的合法性基础进行判断是错误的。

图片来源：人民网人民数据

“个保法”是保护个人信息权益的专门法，其对合法性的认定应当成为民法判断是否侵害个人信息上人格权益的依据。既然民法对个人信息采法益保护模式，以个人信息处理行为是否合法作为侵害其人格利益的依据，那么个人信息处理行为是否合法应当依据专门法的规定加以判断。如果“个保法”建立了一套行之有效的个人信息处理合法性判断标准和方法，那么，个人信息民法保护需要判断的主要是:这样的违法或不合理的处理行为是否给个人造成损害，违法行为与损害之间是否存在因果关系。因此，在个人信息侵权保护中，个人信息处理的合法性判断应当依据“个保法”。

如前所述，个人信息处理的合法性原则本质上是由三个递进的要件组成，首先是目的合法，其次是处理具有合法性基础，最后是处理行为合法和合理。如果“个保法”以合法目的为假设条件的话,那么，“合法性基础＋合法的处理行为”才构成完整的个人信息处理的合法性标准。“同意”对于个人信息处理合法性的判断的影响在于，它只是处理行为具有法律依据或基础，甚至可以说，它只是合法性的前提条件，而在此前提条件下，还要看个人信息处理行为是否遵守了具体法律规定，实质性地保护了主体权利。因此，个人信息处理的合法性判断涉及到“个保法”的综合适用。笔者看来,我国“个保法”应当坚持这样的个人信息处理合法性判断的标准和方法,这才符合“个保法”对个人信息本身性质和个人信息处理中的个人保护方法的定位。

结论

在上述个人信息合法性认知框架下，将“同意”视为“授权”有百害而无一利。首先，这会导致默认个人对个人信息享有支配权或决定权的不利后果。在民法视角下，任何授权或许可行为均以“有权”为前提，而如果民法保护个人信息上人格利益，那么就不存在授权或许可的法律基础。其次，将“同意”视为“授权”，还容易导致信息处理者（使用者)一旦有了“同意”，就认为有了在同意范围内(暂且不论同意是否有效)有使用个人信息的自由。但是,如前所述，“个保法”中的“同意”并不具有这样的效力和效果，个人信息立法也从来不欲按照如此效果来设计同意规范。在“个保法”中，“同意”实际上只意味着他人可以处理，而并不意味着处理者具有不承担任何责任的自由。实际上，“同意”后的处理行为不仅须遵守具体法律规定，而且还要合理公平，不实质性地侵害个人权益。非经个人同意的处理并不一定侵权，经个人同意的处理也并不一定不侵权，获得个人同意并不一定免责。这里对“同意”的效力的讨论仍然是以有效同意为前提，如果再考虑到“同意”存在诸多瑕疵（比如，同意时个人并不能对处理者使用哪些信息及后果作出准确的判断等)，我们更不应当将“同意”视为“授权”。在笔者看来，与交易或服务捆绑的概括式同意，最多是个人信息收集的一道必经程序，仅能够表明“我知道你在使用我的数据”。