网络服务活动中同意功能的二元区分

沈一凡

(天津大学 法学院,天津 300072)

2022年12月2日,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》,进一步明确数据基础制度建设事关国家发展和安全大局,必须依照数据新型生产要素的特点,建立合规高效的数据流通制度。为此,各网络服务提供者相继设定服务协议与隐私政策,针对“同意”等事项设计特定交互方式,以保证个人信息能够依法收集,并促进数据要素的有效流动。同意系同意人就特定对象作出的反应,发挥满足同意人需求的特定功能。在网络服务活动中,根据同意人需求的差异,存在两种不同反应：一是针对网络服务提供者的服务协议缔结请求所作出的“同意”,二是针对个人信息处理行为所作出的“同意”。(以下简称前一种同意为“缔约同意”,后一种同意为“信息处理同意”,二者同时涉及时则简称为“两种同意”)

但是,大多数信息处理者在进行规则设计时,不但将隐私政策纳入服务协议之中,而且将两种同意在形式上合二为一,模糊了“同意”针对的对象、旨在满足的个人需求以及其隶属的反应类型,从而引发同意功能的混淆。在实质平等主体之间的合意达成场景中,该混淆并不会引发严重后果,因为该场景中必然优先考虑当事人的真实意思。但是,在面临弱势平等主体之间的同意应用场景时,如果仍旧将两类同意统一认定为合同领域中的意思表示,则受个人信息能力不足、个人意思表示的欠缺、处理行为的格式化影响,信息处理活动不可能在客观上获得个人的真实表态,这不但使人格权益缺少现实可行的保护机制,而且使处理行为缺少正当性基础。为解决此问题,理论界提出合法性基础论(1)高富平：《同意≠授权——个人信息处理的核心问题辨析》,《探索与争鸣》2021年第4期。、程序性意思表示论(2)向秦：《论个人信息处理中个人同意的“弱化”与信义义务的“补充”》,《法律适用》2022年第11期。、自我决定自由论(3)刘召成：《人格权法上同意撤回权的规范表达》,《法学》2022年第3期。、单方法律行为论(4)萧鑫：《个人信息处理的多元同意规则——基于同意阶层体系的理解和阐释》,《政治与法律》2022年第4期。、债权行为与同意分离论(5)Ernst Zitelmann, Ausschluß Der Widerrechtlichkeit (Kessinger Publishing,1906),转引自傅雪婷：《个人信息同意撤回与个人数据对价化》,《南大法学》2022年第5期。等理论模型解读同意,期待厘清同意性质及其效果。我国研究对于同意性质的讨论并不深入,暂未以网络服务为特定场景,探讨个人信息领域内意思自治的特定存在形态;域外新近观点虽然着眼于同意性质研究,类比物债二分提出债权行为与同意行为分离的理论,助益于同意行为独立性的研究,但我国《民法》坚持物权变动的有因性原则,这与分离理论所搭配的物权行为无因性原则相悖,而仅从意定代理中授权行为的无因性出发,则在法律效果的归属上存在模糊,因而域外观点在适用时存在局限。

基于此,本文以同意功能的二元区分为主线,通过对合同领域与个人信息领域内同意的对比分析,解读网络服务活动中同意的本质与应用方式。

一、网络服务活动中同意功能二元区分的必要性

网络服务活动中同意功能的合一,造成理论中对于同意的法律后果存在认识模糊、实践中同意的交互设计存在错位以及个人信息保护与利用的双重缺失,从而使同意功能的二元区分具有必要。

(一)同意功能合一造成同意法律后果的认识模糊

个人对处理者请求所作出的反应,均构成个人的意思表达。但若忽视合同领域与个人信息领域内同意应用需求与应用场景的细微差异,仅因两种同意均构成个人意思表达而将二者等同,则会引发个人信息处理规则等同于要约(6)参见(2019)京0491民初23942号民事判决书,法院认为被告发布的隐私政策、指引属于其向原告发出的变更合同条款的要约。、信息处理同意等同于缔约同意的认识错误(7)王叶刚：《论网络隐私政策的效力——以个人信息保护为中心》,《比较法研究》2020年第1期。。基于此,信息处理同意被误认为将引发达成合意及授权使用的双重效果,该认识模糊具体表现为以下三方面：

其一,同意功能合一将混淆处理活动的合法性来源。合同领域中,同意对应承诺,与相对方的要约共同促成合同成立,并对双方当事人产生约束力(8)Scott Killingsworth, “Minding Your Own Business： Privacy Policies in Principle and in Practice,” Journal of Intellectual Property Law 7, no. 1 (1999)： 57-98.;个人信息领域中,同意作为合法性要件,并不当然产生设立特定法律关系的后果,信息处理法律关系的设定还会受到其他合法性要件的影响。如果将合意视为认定处理行为合法性的充分必要条件,忽视其他合法性要件,虽符合合同法要求,却违背了个人信息保护规则中为同意设定的定位。

其二,同意功能合一将混淆处理者义务的来源。在一般合同领域,当事人义务源于双方约定,公权力不能随意干涉。但在网络这一特定环境下,处理者与个人之间存在实质不平等,即使依据公平原则约束格式合同,也难以对处理者形成有效约束。因而,处理者义务来源于整个信息流动周期中,对信息安全性保护的内在要求,(9)彭诚信、史晓宇：《论个人信息财产价值外化路径的重构》,《当代法学》2023年第2期。依赖于法律干预,而非当事人约定。

其三,同意功能合一将使个人信息领域的法律关系终结方式无法得到有效推行。合同关系可因履行完毕、协商解除、行使任意解除权等终结。《个人信息保护法》(以下简称《个保法》)则规定同意可自由撤回,但即使个人撤回同意,服务提供方仍旧应当提供产品或服务。(10)《个人信息保护法》第16条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。类似于合同中的任意解除权,《个保法》中同意撤回不受相对人合理信赖的约束。(11)万方：《个人信息处理中的“同意”与“同意撤回”》,《中国法学》2021年第1期。但单方面强调处理者的契约严守义务(12)施鸿鹏：《任意撤回权与合同拘束力的冲突与协调》,《政治与法律》2022年第10期。,又缺失个人在合理期限内的告知义务以及损害赔偿责任,则使同意撤回行为仅具有人格自我决定层面的合理性,置于合同领域将产生违背公平、诚信原则的不当后果。

因此,在合同领域与个人信息处理领域中,有必要从理论上对同意这一个人意思表达工具进行二元区分。

(二)同意功能合一造成同意交互设计的实践错位

实践中,服务协议与个人信息处理规则多呈现“外观分离,实质关联”的关系,后者被视为前者的组成部分,并以政策、规则、补充协议、单独列节并设引致条款等形式(13)以《钉钉服务协议》(更新于2022年9月19日)、《淘宝平台服务协议》(更新于2022年12月31日)、《豆瓣使用协议》(更新于2021年12月22日)的规则设置方式为例。构成用户协议的特定内容。相应的,服务提供者在设计两种同意的交互方式时,往往选择直接以一个同意同时包含二者的方式。(如表1所示)

同意作为个人针对他人请求所作出的反应,本身具有低区分度,其外在表现形式难免具有高度相似性。服务提供者在合同以及个人信息处理这两类完全不同的同意应用场景中,因设计的简洁化需要与理论上的认识缺陷,将两种同意合二为一,直接造成同意交互方式的设计错位,并牵连引发以下三方面的实践错位：

表1 网络服务活动中同意的代表性交互设计

其一,同意功能合一造成个人对同意所指内容的认知错位。由于未能明确同意性质,在处理者所设计的交互方式中,同意既可能指向协议所涵盖的全部内容,又可能指向单一的个人信息处理规则,进而产生同意所指内容的混乱(14)《美团用户服务协议》(更新于2018年11月15日)中指出：如您勾选“我同意《美团用户服务协议》”并通过注册程序或其他任何方式使用或接受美团的任何服务,即视为您已阅读并同意本服务协议。但交互页面中首先显示服务协议与“政策”(即个人信息处理规则),二次点击可发现同意仅指向“政策”,后续登录,则需勾选同意服务协议与“政策”,从而产生缔约同意与信息处理同意的使用方式及行为后果趋于同一的实践效果。,个人无法清楚知悉同意内容及对象。

其二,同意功能合一造成两种同意的表示方法存在设计错位。合同规则中,同意应当具备意思表示的真实性要求,个人在兼具对隐私政策的知悉与认可后,可明示作出或默示推知;《个保法》规则中,同意作为推定知悉(15)参见(2021)京0491民初46779号民事判决书,以合理告知推定同意,以缓和过于严格的意思表示成立要件。、实现知情同意的合法性基础,缺少个人意思表示的空间,若认可信息处理同意可默示推知,则可能导致实质要件真实与形式要件真实的双重缺失,使个人信息保护存在漏洞。

其三,同意功能合一造成网络服务中,服务提供目的劣后于个人信息利用目的的价值错位。(16)以“饿了么”(更新于2023年1月25日)应用的交互方式为例,个人不同意隐私政策将无法使用任何功能。但是在同类型应用软件“美团”中,个人不同意仍可使用基础浏览功能。在大部分应用软件中,存在“非经同意不得使用”的规则设计方法,即不同意个人信息处理规则,将无法使用应用中的任何功能,导致服务提供目的次于个人信息使用目的,有违民事活动自愿原则。(17)参见(2021)浙06民终3129号民事判决书,法院认为携程公司“强制且不指明具体内容”的信息收集方式不当,系明显的个人信息强制收集、使用行为,有违民事活动自愿原则。

因此,为避免同意功能合一所直接或间接造成的种种实践错位,必须对同意功能进行二元区分,以保证实践中同意应用方式的设置能够符合特定场景需要。

(三)同意功能合一造成个人信息保护与利用的双重减损

同意功能合一状态下,个人针对处理行为所作出的反应、所表现的需求,因与承诺近似而被认定具有实质意思内容。个人能够自主决定、支配个人信息由谁控制、使用。但这却围绕个人信息的保护与利用,产生两方面问题：

一方面,个人信息的保护若以个人自决理论为基础,并不符合网络服务活动中的客观状态,个人难以对个人信息实现绝对排他掌控。虽然基于个人自决理论,信息主体可以通过意思表示消除缔约当事人的意思对峙并达成合意,又或单方面决定处理者是否能够处理个人信息。但是在个人信息处理行为违背信息主体保护个人信息的意愿时,不仅意思对峙难以消减,甚至为正常使用应用软件,当个人面临“非经同意不得使用”时,只能选择同意。个人自决理论难以在实践中有效贯彻。

另一方面,个人信息的利用若以个人准许为前提,则与数据时代的信息共享需求产生两点冲突。其一,基于个人信息生成的社会性背景,处理者提供信息生成及利用的平台,个人以自身行为提供信息,基于多方劳动投入生成信息,而难以准确界分有权持有个人信息的主体。(18)杨芳：《个人信息自决权理论及其检讨——兼论个保法之保护客体》,《比较法研究》2015年第6期。其二,网络服务场景中,处理者与个人之间构成“一对多”的基本关系,若将意思表示有效性作为处理个人信息的正当性要件,则受庞大的用户数量以及意思表示真实性的影响,会产生过高的识别成本,使个人信息的利用复杂化。

同意本为保护个人信息及实现信息要素有效流动而存在,既因同意功能合一而产生相反效果,则需要识别同意功能的各个环节所存在的问题,并寻求改变。只有形成对网络服务场景中信息处理同意的恰当认知,才能保障个人信息能够获得有效保护、开展有效利用。

二、网络服务活动中同意功能二元区分的可行性

网络服务活动中,两种同意不仅在理论逻辑上存在显著区分,还在技术操作、营运成本等实践层面具备可操作性,从而使同意功能的二元区分具有可能。

(一)同意功能的二元区分具有理论可行性

在个人利益需求、意思自治表现形式、意思自治程度三个方面,两种同意存在理论差异,为同意功能的二元区分提供可行的逻辑依据。

1.信息主体的利益需求存在二元区分

在现有网络服务场景中,两种同意的使用者均为特定个人,旨在表达当事人意思,且两类同意分别指向的服务协议与个人信息处理规则,均具有格式化的特征,个人相对于服务提供者(也即处理者)均处于弱势地位。但是,两种同意具有不同的利益需求,该差异也构成同意功能二元区分的直接前提。

缔约同意旨在保护个人的缔约自由需求,同时兼顾他人信赖利益,个人需求并非独立存在。同意作为当事人合意的一部分,以当事人自主意思表示为关键内容。但是当事人权利行使自由受相对方牵制,因而需要互为让步以消除意思对峙,并以自身实际履行行为等保护他人信赖利益。

信息处理同意旨在维护人格的自主决定利益,且不排斥个人信息的社会性特征。相较于缔约同意,信息处理同意依《个保法》规定具有独立性,个人无须借助他人确定自身权利的享有,既可自主决定是否介入处理行为,也可依法要求处理者保障人格权益免受不法侵害。但是,由于个人信息的生成服务于电子化时代高效的数据分析(19)梅夏英：《社会风险控制抑或个人权益保护——理解个保法的两个维度》,《环球法律评论》2022年第1期。,包括平台、个人在内的多方主体参与生成个人信息,使网络环境下的个人信息携带公共性、社会性(20)高富平：《个人信息保护：从个人控制到社会控制》,《法学研究》2018年第3期。。这也导致个人信息有别于一般的人格权益客体,不仅注重兼顾维护个人尊严、人身自由,还强调应满足社会利用需求、维护处理者的必要自由,(21)Lawrence Lessig, “The Zones of Cyberspace,” Stanford Law Review 48,no.5(May.1996)：1403-1411.如处理者在履行法律保护义务基础上的自由利用(22)参见(2019)京0491民初16142号民事判决书。等。

因而,理论上两种同意旨在满足信息主体的不同利益需求,为区分同意功能提供在使用目的上区分的可行性,也为其后的理论区分提供直接依据。

2.意思自治的表现形式存在二元区分

意思自治是对私法中抽象自主价值的具体化(23)田野：《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》,《法制与社会发展》2018年第6期。,其作为抽象自我决定的具体实现形式,在合同领域与个人信息领域具有特定的表现形式。

意思自治在合同领域的表现形式,体现私法领域对于个人意思自治的贯彻：在缔约行为效力法定的前提下,当事人成立合意并产生相应法律关系。此时同意作为缔约行为的一部分,贯彻意思自治原则,整体缔约行为不受国家干涉、不受他人左右。具体到网络服务活动中,对意思自治的贯彻体现为：基于重复缔约的需要,双方合意通过预先拟定的格式合同体现,但是立法通过设定格式条款无效情形、争议解释方式,保障弱势方的意思自治得以贯彻。由此,在私法领域,立法只为意思表示设定框架,而不干涉其具体内容。(24)Shyhrete Kastrati, “The Principle of Will Autonomy in the Obligatory Law,” ILIRIA International Review 5, no.1(Jun.015)：225-243.

意思自治在《个保法》领域的表现形式,体现在个人信息处理活动中,因私主体处于弱势平等状态,国家介入该主体间的权益配置,以立法在先确定个人信息处理关系中个人所享有的利益,以防范信息处理行为引发个人信息受侵害的风险。1905年,美国佐治亚州最高法院在Pavesich 诉New England Life Ins. Co.一案中,确认了个人隐私的宪法价值,(25)See Pavesich v. New England Life Ins. Co.,122 Ga.190,50 S.E.68(1905).使人格性权益不仅仅局限于受私法保护。依据我国立法,个人自决理论根源于《宪法》第三十三条人权条款、第三十八条人格尊严条款的法教义学理解,(26)张翔：《个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思》,《环球法律评论》2022年第1期。结合个人信息公共性属性,该自决并非个人对其相关利益的排他性支配(27)温世扬：《标表型人格权的制度价值与规范构造》,《法律科学(西北政法大学学报)》2021年第6期。,而是个人对他人干预或限制自身人格发展行为的禁止,强调通过决定实现人格要素的发展与塑造(28)杨立新、刘召成：《论作为抽象人格权的自我决定权》,《学海》2010年第5期。,实现自主利益与他人自由的平衡,因而个人自决在个人信息领域被具体化为人格发展权(29)张翔：《个人信息权的宪法(学)证成》,《环球法律评论》2022年第1期。。人格发展权虽为《宪法》中基本权利层面的一般化权利,但因“个人-处理者”之间私主体能力的实质不平等状态,以及个人信息处理活动置身于自动化处理的网络环境,私法领域内二者法律地位的平等实则仅为“弱势意义上的平等地位”(30)王轶：《民法价值判断问题的实体性论证规则——以中国民法学的学术实践为背景》,《中国社会科学》2004年第6期。,《宪法》基本权利对私法领域便存在辐射的必要性。国家立法不再仅为当事人意思自治设定框架,而深入到具体的权利义务安排,体现在：(1)信息处理活动中,原本仅指向国家行为的规制对象介入私法领域,指向平台、企业等具有准公权力主体的行为;(2)国家通过立法,赋予个人干预处理者行为的权利,以履行因私法领域自我救济不足而产生的国家义务——国家为维护客观价值秩序而承担排除第三人侵害的保护义务。具体的介入结果则表现为《个保法》第四章中,借助人格权请求权的形式,规定知情、决定、查阅、复制等法定个人信息保护权。(31)龙卫球：《论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角》,《比较法研究》2023年第2期。

据此可知,在个人信息领域,处理者以告知为义务,提供个人信息处理规则的行为构成义务履行行为,而非期待通过该规则提供行为与个人就个人信息处理行为达成合意,并为双方当事人“立法”。个人同意作为个人信息领域的意思表达工具,具有区别于合同领域内同意的独特功能：信息处理同意不含意思表示,仅构成阻却处理行为违法性的合法性基础形式要件。

3.意思自治程度存在二元区分

同意作为网络服务场景中表达个人意思的工具,受个人信息能力以及意思自治维护机制有限性的影响,信息处理同意在意思自治程度上有别于缔约同意,为同意功能的二元区分提供可行空间。

缔约同意贯彻合同自由这一基本价值理念,并受公平原则维护,为合同当事人提供了更高程度的意思自治空间。合同法以实现当事人意思自治为核心目标,在网络服务合同中,服务提供者与个人可依自主意思安排权利义务。虽然个人作为格式条款接收方因知识鸿沟无法实现绝对意思自治,但法律通过公平原则约束格式条款的订立,以维护当事人意思自治的欠缺。

信息处理同意则因个人与处理者间信息能力(32)马长山：《数字法学的理论表达》,《中国法学》2022年第3期。存在鸿沟,个人意思难以形成对处理者行为的全面认知与绝对干预,且同意并非意思表示而不存在意思表示解释路径,相较于缔约同意,意思自治程度受到削弱。信息因社会性而被鼓励社会分享,个人信息能力的不足则使分享趋向客观必然。一方面,个人可能无从得知个人信息是否被利用以及如何被利用。以网易LOFTER应用软件所提供的注意事项为例,在用户不同意《网易LOFTER隐私政策》时,为保障软件及服务的安全运行,服务提供方仍旧需要收集不具有可识别性的部分设备参数。司法实践亦查明“系统还会自动收集、生产信息,包括：设备信息(设备的型号、操作系统版本、唯一设备标识符)以及日志信息(订单信息、浏览信息、IP地址)”等。(33)参见(2022)粤01民终3937号民事判决书,最终法院认定不符合《个保法》第45条第1款的规定,认定处理者违规。另一方面,即使个人知晓存在处理行为,由于存在知识鸿沟,个人为作出有效决策而耗费的决策成本将远超过信息本身的流通价值。(34)Schwartz, Paul M., “Privacy and Participation： Personal Information and Public Sector Regulation in the United States,” Iowa Law Review 80, no. 3 (Mar.1995)： 553-618.

综上,个人信息领域内,同意虽具有个人自我决定的独立性需求,但受个人信息社会性需求、意思自治的表现形式及个人信息能力有限性的影响,合同领域与个人信息领域内的两种同意存在实质性差异,必然指向不同功能。

(二)同意功能的二元区分具有实践可行性

同意功能不仅在理论上能够二元区分,现有的交互方式设计方法还可以为同意的区分提供实践基础,满足个人认知需求与商家营运需要,使同意功能的二元区分具备技术可行性与商用可行性。

1.同意功能的二元区分具有技术可行性

从客观的技术角度出发,网络服务提供者所提供的多类型交互设计,证明了实践中具备同意二元区分的技术支撑。

实践中有助于明确同意设置方法的技术设计,主要表现为以下四项内容：(1)有关规则告知行为的交互设计,可以满足告知行为的各类明确性需求,包括百度、夸克、谷歌等应用软件,其提供协议或隐私政策时所选用的交互方式,往往采取“弹窗”等设计方法,告知行为及其内容均具有明确性;火狐等应用软件,将有关协议等放置于“设置”处,不再特别提示而由用户自行查看,同样完成告知义务,但明确程度较低。(2)有关用户明示同意的交互设计,可以满足外观上的“明确同意”需求,包括钉钉、豆瓣等应用软件,直接以“点击同意”或“勾选同意”表彰用户同意,明确且直观。(3)有关用户默示同意的交互设计,为默示同意提供区别于明确同意的设计方法。火狐等应用软件,将协议或隐私政策放置于“设置”处,不提供点击同意等交互选项,而以用户使用行为构成默示同意;而酷狗、今日头条等应用软件,虽然主动提供规则并给出点击同意等交互选项,但是用户一旦存在“点击不同意+继续使用”的行为,则仍以使用行为构成默示同意。(4)交互设计选择以摘要呈现信息处理规则,能够符合个人认知能力。酷狗、网易LOFTER等应用通过提供个人信息保护重点规则的摘要,为个人提供便捷、有效的认知途径。

基于实践中既已提供的交互方式设计方法,可以在设计两种同意的交互方式时发挥如下作用：在缔约同意中,个人既可以点击同意等方式明确作出同意,也可依实际使用行为推知同意;在信息处理同意中,经处理者有效告知,但用户未“点击或勾选”同意,则处理者未获得个人同意,仅可为用户提供基础服务(35)以《网易LOFTER隐私政策》(更新于2022年7月12日)交互方式的设计为代表。,而不得开展个人信息处理活动。

2.同意功能二元区分具有商用可行性

同意功能的二元区分,虽然在理论与实践上均对同意提出了更高要求,但该要求从客观实际出发,既符合公众认知需求,也无需处理者为此付出过高的法律成本、经济成本,因而具有商业利用的可行性。

一方面,同意功能的二元区分,符合公众认知能力,因而能够迎合公众需要。同意功能的二元区分以缔约同意与信息处理同意的区分为前提,以个人信息保护与利用的平衡为目的。不仅区分本身能够基本满足理论与实践中行为识别的要求,而且借助规则摘要、规则弹出等交互设计,可以形成符合个人认知能力与认知需要的规则提供方式,将原本抽象的知情权具体化,增强个人对个人信息社会化利用的信任,拓宽处理者利用个人信息的空间。

另一方面,同意功能的二元区分,使商家所获取的同意更加明确、稳定,且借助既有设计方法不会产生过高成本,使理论上的信息处理同意具有在实践中被应用的可行性。根据信息处理同意的理论定位,其作为违法阻却事由,有效降低了个人同意的意思要求,可以通过外观判断处理行为是否具备合法性要件,而无需渗透到内心意思层面。该外观设计借助技术可行性部分所提及的设计方法即可实现。

综上,在网络服务场景中,基于对缔约同意与信息处理同意的对比分析,同意功能的二元区分能够具备理论上与实践上的可行性,这也将为因同意功能混淆而产生的不良效应进行纠正。

三、网络服务活动中同意功能二元区分的场景化表现

网络服务活动中同意功能的二元区分具有必要性与可行性,两种同意的“实质分离”为必然选择。但是,在非敏感个人信息处理场景、必要收集个人信息场景、收费型软件使用场景中,基于便捷化需求、软件设计目的、企业营运维系等考虑,在外观上存在同意“形式合一”的例外情形。

其一,以个人信息的敏感程度作为区分标准,非敏感个人信息处理场景中存在同意外观“形式合一”的例外情形。该区分标准源于《个保法》所规定的个人信息分类要求——以敏感程度区分信息类型,敏感信息相较于一般信息更关注自然人的人格尊严的维护或者人身、财产安全的保障。(36)《个人信息保护法》第51条。相较于一般数据,敏感数据受到侵犯将对个人精神造成更加严重的损害,所以结合敏感信息的特殊性,在敏感个人信息的处理场景中,更加强调处理行为的正当性基础,并要求处理者应当依法获取单独的个人同意,这自然带来两种同意在形式、实质双重分离的必然要求。因而,既然敏感个人信息处理活动要求同意在形式、实质上的双重区分,那么同意功能的形式合一则只可能出现于一般个人信息处理活动之中。

其二,以应用软件依赖个人信息的程度作为区分标准之一,区分为必要收集个人信息型、非必要收集个人信息型两种具体使用场景,出于便捷性需要,必要收集个人信息型场景中可能存在同意外观“形式合一”的情形。一方面,在必要收集个人信息型场景中,企业需收集并使用个人信息才能够正常提供服务,除表1中提及的“中国人寿寿险”构成此类场景中的应用软件外,还包括“12306”“中国农业银行”等银行类、铁路航空类应用软件。这一类应用软件往往具有实体经营的支撑,而衍生的个人信息处理活动并非是企业应用软件设计的主要目的,且个人一经接触便可认识到其自身使用行为必然涉及信息处理活动。因而,在此类应用场景中,两种同意的形式合一具有一定的便捷性。另一方面,在非必要收集个人信息型场景中,企业虽期待通过处理个人信息获得利益,并为网络服务提供良性的信息收集、反馈机制,但是,非必要收集个人信息型场景中,服务提供并不以收集个人信息为必要条件。因此处理者为开展更深层的个性化推荐、定向广告推送,需要在缔约同意之外,取得合法开展个人信息处理活动所需的个人同意,以收集、使用除基础行为数据外的更多数据。因而,两种同意在必要收集型场景中,并不会因形式合一而对个人信息保护产生过度影响,但是在非必要收集个人信息场景中,处理者的信息收集行为并不能因获利等需求而具有当然的合理性与必要性,服务提供与个人信息获取并不能互为对方的正当性前提,所以两种同意存在实质分离及形式分离的双重必要。

其三,以应用软件的成本弥补方法作为区分标准之一,区分为收费型、非收费型两种具体使用场景,其中收费型使用场景中存在同意外观“形式合一”的可能。企业研发需要成本投入,包括表1所提及的“Notability”“HeartWatch”等商家,会选择以软件购买的价金作为成本回收手段,但是成本的回收方法则不仅仅局限于对价支付。在更多情形下,企业以应用软件的无偿使用作为优势吸引用户,并通过广告引进等获得更高的收益补偿。但是如何引进广告、引进什么广告、广告投入的预期效益如何都将以用户的行为记录为基础,从而导致对于用户个人信息以及行为数据等依赖程度的提升,这其中甚至产生个人数据对价化的误解。因而,相对于收费型使用场景中,两种同意存在外观“形式合一”的可能,非收费型使用场景中对于收集、处理行为的约束应当更为严格,个人信息的保护应当受到更多关注,信息处理同意作为衡量处理者行为正当性的重要要素具有独立的必要,而应与缔约同意分离,实现形式与实质的双重分离。

总的来说,通过对同意作出场景的分类,使同意在应用中的表现更加具体。因两种同意具有客观和逻辑上的差异,所以二者的分离应为一般状态,仅为满足便捷性需求的特定场景中,可能出现两种同意形式合一的例外情况。

四、网络服务活动中同意功能二元区分的体系效应

基于对同意功能进行二元区分的必要性与可行性分析,将为理论与实践中因同意功能不明而产生的各种问题,提供有效的化解思路。

(一)同意功能二元区分对理论的影响

同意功能的二元区分实现了个人信息领域同意与合同领域同意的分离,借助二元区分中对于信息处理同意性质的再明确,可以对同意法律后果的明确、处理行为合法性判断标准的构建产生积极影响。

1.明确了个人信息领域同意的法律后果

相较于原本在合同领域内解读信息处理同意,将信息处理同意等同于缔约同意,进而形成对处理行为合法性来源、处理者义务来源等法律后果的错误认识。同意功能的二元区分确定了信息处理同意的性质,明确了其所引发的特定法律后果。

首先,信息处理同意直接影响个人信息处理关系设立。信息处理同意作为个人自主决定处理者介入个人信息的行权方式,基于合法、正当、必要基本原则(37)刘权：《论个人信息处理的合法、正当、必要原则》,《法学家》2021年第5期。的指引,与平台告知行为等具体性条件,共同构成合法性基础要件,阻却处理行为的违法性,影响个人与处理者之间个人信息处理关系的设立。德国学者罗戈施也认为,同意并非债法上的义务,其无关合同缔结问题,而仅在个人信息处理活动中发生效力。(38)Patricia Maria Rogosch, Die Einwilligung im Datenschutzrecht (Nomos Verlag, 2013),转引自林洹民：《个人数据交易的双重法律构造》,《法学研究》2022年第5期。因此,同意作出所直接产生的效果不再指向自由合意,而强调程序的完备性、可知性,从而通过完备的合法性基础要件设立有效的个人信息保护关系,保障个人法定权利以及处理者法定义务能够受到法律规制,并为处理者处理个人信息开辟合法通道。

其次,信息处理同意所产生的法律效果,并不局限于个人与处理者双方。在合同领域,同意的法律效果存在于缔约双方,具有相对性。但是在个人信息处理关系中,法律关系主体除指向个人、个人信息处理者外,也可能扩张至第三方处理者。因个人信息处理规则可用作说明处理行为已具备合法性基础,并起到告知第三人的在先提示作用,(39)《个人信息保护法》第7条。也即产生类似授权委托书所发挥的有权处理的告知效果,从而可以在处理者与第三方开展数据交易时,为第三方判断处理者数据持有的合法性提供参考。

最后,基于同意的二元区分,个人信息处理关系的内容最终指向法定个人权益与处理者义务,而非约定义务,有助于信息保护与利用的平衡。当然,这以网络服务场景中处理者与个人这一弱势平等主体之间“一对多”的特定关系为背景,而不否认处理者与个人之间在“一对一”场景中,就信息交易形成个性化约定的可能。另外,在“一对多”的特定网络服务场景中,明确的法定权益不仅为信息主体提供可行保护,还为处理者提供稳定的个人信息可用空间,处理者可在具备合法性基础的前提下享有更广泛的信息处理自由。

由此,借助缔约同意与信息处理同意的二元区分,最终实现个人信息领域意思自治的具体表现形式——同意,在行为效果上的重新定位。

2.构建了判断处理行为合法性的客观认定标准

同意功能的二元区分重新明确不同领域内的同意性质,信息处理同意摒弃原先对于个人内心意思的过度关注,转而构建“有效告知+明确同意”的客观判断标准,即要求处理者告知行为的清晰、准确,以及同意应明确作出。

一方面,“有效告知”构成判定处理行为合法性的核心要件。因同意的性质与行使方式决定了信息处理同意不存在意思表示规则适用空间,不涉及个人主观内容,而仅作为形式要件。所以需要借助处理者告知行为的清晰、准确程度,认定同意的效果,这与我国现有司法实践的选择不谋而合。多数裁判中依赖处理者告知信息处理目的、方式和范围的明确、充分程度,推知处理行为是否具备“同意”要件。(40)参见(2018)浙01民终7312号民事判决书、(2022)浙0192民初4259号民事判决书等。由此,客观认定标准不仅弥补了现有裁判中部分缺失的理论来源,还进一步为处理者告知行为提供清晰定位,要求处理者明确告知个人处理活动的内容、方式与目的,从而保障用户具有知悉可能并符合一般使用者的合理期待。(41)参见(2021)粤03民终9583号民事判决书。

另一方面,“明确同意”构成判断处理行为合法性的形式要件。信息处理同意旨在避免他人对人格发展行为的干预或限制,但在弱势平等状态下,受主体客观控制能力、个人信息公共性等因素的影响,为行使决定权而作出的同意实则处于弱存在状态,其根本目的并非旨在探究个人内心意思,而在于保障个人信息权益的“本权”——知情权的实现。(42)张新宝：《论个人信息保护请求权的行使》,《政法论坛》2023年第2期。借助知情权,个人得以知晓在个人信息处理活动中与其自身利益密切相关的事项,知情权也因此构成个人实现个人自治、维持其人格尊严的先决条件。但是,单纯凭借“有效告知”推测个人知情权的实现,并不足以推知处理行为已具备同意要件,有别于我国司法判例所着重关注的“告知行为”,在Griggs-Ryan诉Smith一案中,法官指出在判断个人是否同意时,单纯的风险警示、告知并不构成推定同意的充分理由。(43)See Griggs-Ryan v. Smith, 904 F.2d 112(1st Cir.1990).所以,网络服务活动中,同意的明确作出虽然非以内心意思为必然要求,但是在“有效告知”的基础上,以外观上的“明确同意”为关键表征。

通过同意功能二元区分重释同意性质,为个人信息处理行为的合法性判断提供了更为客观的标准,也对处理者提出更明确的义务要求,数据要素由此获得更为客观、稳定的流动空间。

(二)同意功能二元区分对实践的影响

同意在合同关系以及个人信息处理关系中的二元定位,产生网络服务合同与个人信息处理规则实质分离的必然结果,同时也对“明确同意”实践应用方式的转变、个人有效认知的形成产生积极影响。

1.完善了“明确同意”的实践应用方式

同意功能的二元区分,明确了不同领域内同意所内涵的不同意思需求,进而产生实践中合同领域与个人信息领域内“明确同意”的不同应用方式。

在缔约同意中,“明确同意”并非双方当事人合意达成的必要环节。用户协议的提供行为作为要约,既可以通过“弹窗”呈现给用户以明示告知,也可以不进行提示而由用户自行查看,此时协议文本的提供并非以实现双方合意为唯一目的,而更注重以电子合同形式明确当事人关系、缩小个人反悔空间。(44)杨祥瑞：《网络用户协议中个人信息保护的合同法研究：以<淘宝平台服务协议>为例》,《吉林工商学院学报》2019年第3期。相对应的,个人所作出的表示行为作为承诺,可以明示或默示方式作出,明示往往是对明确提供的合同所作出的表示,如勾选、点击同意等,默示则往往是在实际使用服务行为中所隐含的表示,此时并不以同意的明确作出为必要。

在信息处理同意中,“明确同意”构成一般处理行为合法性判断的必要形式要件。《民法典》第一千零三十五条规定,处理个人信息应当“征得该自然人或者其监护人同意”,《个保法》第十三条规定,处理个人信息需要“取得个人同意”。除应当征求同意外,立法并未对同意作出形式进行特别规定。另结合立法对于处理者告知义务的要求,虽然《民法典》规定处理者应当“明示处理信息的目的、方式和范围”,但其本质上是对信息处理规则提出了内容上的要求,而非如一般情形中,以“明示”界分告知与推知情形,从而完成对规则呈现方式的细化。因而,立法对同意、规则的呈现方式,均未作出过多干涉,处理者当然可以自由选择规则的呈现方式,直接“弹出”抑或放置于“设置”处由个人自行查看,处理者仅需为规则呈现的有效性负责。而个人的同意既已处于弱势地位,那么为了切实确保处理行为系依法开展,必须将个人明确“点击/勾选”同意作为关键形式要件,同意效力不受个人内心意思影响。需要注意的是,同意的形式要求将反作用于处理者所选择的规则呈现方式,限制其在选择规则呈现方式时,因过度自由而忽视个人知情权与明确同意这两方面需求,从而形成“告知-同意”间的正向引导关系。

借助同意功能二元区分,信息处理同意以个人信息生成的社会性、个人信息能力的弱势方地位为前提,决定了个人自主决定利益的有限性,并直接影响实践中同意应用方式的选择,将以形式上的明确作出为关键标准。

2.有助于个人对处理行为形成有效认知

设计交互方式的根本目的在于服务公众,基于网络环境中个人与处理者间存在信息能力的差异,清晰区分两种同意,有助于个人形成有效认知。

一是,二元区分为个人识别同意行为所指向的具体内容提供初步指引。同意的二元区分将有效明确同意所指向的对象——服务协议或个人信息处理规则,并产生二者分离的自然结果,实现同意与所同意内容的一一对应。例如,同意若指向个人信息处理规则,则在同意所对应的交互设计中不应当涉及服务协议的相关内容。这避免了以一个“同意”选项同时涵盖具有不同属性的两类同意,产生行为效果上的混乱,保障个人对自身同意所指具体内容的可知性。

二是,二元区分降低了对个人信息能力的要求,更加符合客观上处理者与个人之间的弱势平等现状。虽然因为知识鸿沟,用户难以就服务协议或个人信息处理规则中所涉及的具体内容完成合法性、合理性判断,但是用户能够通过外观分离形成对二者的初步区分。而基于对个人信息处理规则独立于服务协议的初步区分,作出明确同意,已经足以满足“有效告知+明确同意”的处理行为合法性要件。

在同意功能二元区分的影响下,实践中同意的设计方法可体现为：从原本以一个同意对应服务协议与个人信息处理规则两个对象,转变为以两个同意分别对应服务协议与个人信息处理规则。如果认为转变后可能造成行为不便,仍旧可以通过设计总括性同意的交互方式,使用户可以通过点击总括性同意,一并勾选其下所包含的细分同意内容,但该总括性同意并不具有特定法律内涵。

总的来说,基于同意功能二元区分,在理论上,使个人信息领域同意的法律后果得到明确,并构建了处理行为合法性判断的客观认定标准。在实践上,则引导改变“明确同意”的应用方式,也为个人提供了更为简易得当的认知途径,最终为个人信息的有序利用提供合法前提。

五、结语

在网络服务活动中,需平衡个人信息保护需求与数据要素流动需求,但同意功能的混淆状态,却使个人信息处理行为陷入《民法》与《个保法》中行为规范逻辑混同的窘境,并因此产生同意行为效果的认识模糊、同意规则设计的实践错位、个人保护与利用双重减损等问题。为此,网络服务活动中同意功能的二元区分具有必要。理论上,缔约同意与处理所需同意在信息主体利益需求、意思自治表现形式以及意思自治程度三方面存在差异,为同意功能的二元区分提供了理论可行性。而实践中,现有应用中所设计的具体交互方式为同意功能的区分提供了技术支撑,并因符合个人与处理者需要,而具有实践推行的社会可行空间。在此基础上,同意功能的二元区分,将为理论中同意行为效果及处理行为合法性判定标准的解读提供指引,并推动实践中形成正确的交互方式设计逻辑,降低个人为识别同意内容所付出的时间成本、处理者为获取个人信息所付出的法律及经济成本。这既为个人信息提供恰当的保护逻辑,又为数据要素提供有效、便捷的流动路径。