论个人信息知情同意规则的强弱模式——兼论劳动关系场景中的选择与适用

知情同意规则虽内涵了知情规则和同意规则,但其规则重点并不相同,前者侧重于信息提供和获取,后者侧重于意愿表达与选择。《个人信息保护法》的知情同意规则适用呈现为“强知情+强同意”“强知情+弱同意”“弱知情+弱同意”三种模式。劳动关系场景是检验个人信息保护知情同意规则的重要场域,采取“强知情+弱同意”模式符合理论原则和现实需要:为减少弱同意的损害后果,需要以利益一致原则为基础对涉及劳动者个人信息处理的劳动规章制度和合同内容进行实质审查;为确保强知情规则的落实,需从用人单位信息处理告知义务履行、知情规则中知情权请求权的实现机制构建以及劳资信息处理沟通、理解与共识机制形成三个方面实现劳动者个人信息保护和利用的平衡。

数据主体的“弱同意”及其规范结构

数据主体同意关乎数据保护强度与数据利用效率,对个人信息保护具有重要意义。我国《网络安全法》规定的同意原则属于强控制模式,因赋予数据主体绝对化的信息自决权而导致信息流通效率降低与数据利用价值减损。在数据控制与数据利用的张力间建立“弱同意”的概念体系与规范结构,可以通过同意体系地位的降低与规范结构的削弱,对信息自决权产生相当程度的限制,有效解决此问题。“弱同意”的规范结构为“情境合理+拟制同意=合法处理”,其中拟制同意化解了“强同意”因僵硬适用和过高标准所带来的有效性困境,情境合理测试则充分吸收了场景理念和风险认知,使同意架构从封闭走向开放,由此个人数据保护从一刀切的权利分割迈向了激励相容的合作治理。

个人数据交易中知情同意规则的破局与重构

我国立法形成“信息”和“数据”彼此分离的二元架构,知情同意规则在个人数据交易场景留白。但匿名化处理本身即为伪命题,数据与个体人格利益无涉的观念有失偏颇,因此个人数据交易场景迫切祈盼知情同意规则的出台和落地。现有的知情同意规制秉持强控制态度,构建思路和规则内容与个人数据交易模式不适配。为此,应当放弃“个人利益为第一优先级”的立场,由片面强调个体责任转向多重主体规制模式,将“形式知情和实际知情”并轨,引入“弱同意”模型,构建多责任主体的数据保护体系,实现个人数据交易和个人权益之间的动态平衡。

最高阶原则的正当性:一致性同意

在原则空间及其关系属性给定的前提下,最高阶原则的正当性是由理性的一致性同意所赋予。然而,理性多元主义事实使得一致性同意看起来成为不可能。但这是因为人们依然局限于从同质性视角理解一致性同意所导致。因此,如果人们从同质性视角转向聚合性视角来理解一致性同意,那么一致性同意就是可能的。据此,最高阶原则的正当性也是可能的。

被害人同意视角下侵犯公民个人信息罪的适用限度

被害人同意理论强调了被害人在信息流通中的重要作用,并且能够消解个人信息保护与利用之间的对立,维持刑法的最后法地位,因此需要在侵犯公民个人信息罪中加以适用。但实务中并未完全将被害人同意理论进行贯彻,在被害人同意的具体内容、明确程度和法律效果等方面存在较大分歧。被害人同意的主体应当具有风险识别能力是被害人意思自决的当然前提。被害人同意的内容应当是行为人的危害行为而非具体结果,并且弱同意模式应当在信息流通过程中得到承认,以维护个人信息的高效利用。因此在侵犯公民个人信息罪中具体适用被害人同意理论时,应当否定信息弱势群体的单独同意以加强法律保护。在同意内容方面,被害人能够预见信息用途的同意即可作为出罪事由。在同意形式方面,行为人在被害人公开范围内获取利用其个人信息的行为,不构成侵犯公民个人信息罪。