浅谈个人资料隐私权契约法上的保护

浅谈个人资料隐私权契约法上的保护

[摘要]随着网络科技的飞速发展，人与人之间信息的流动、传播日趋转向数据信息的分享，隐私的外在表现和主要载体也发生重大变革。当下个人数据经济时代，隐私越来越集中于个人资料数据之中，隐私权也随之出现相应的延伸和发展。个人资料隐私权日益成为现代隐私权体系中最重要的内容之一，也面临着诸多变革与挑战。

[关键词]个人资料隐私权；契约法；保护

一、数字化时代对隐私权的现实思考

历史地考察隐私权的理论发展路径可知，隐私权本身即在社会变革的大环境下由“熟人社会”的农耕社会进入工业社会被发现，并随着时代变迁而不断发展。传统隐私权理论中个人信息控制理论无疑是最具有当下时代特征的学说，对于信息时代个人资料隐私权保护显然更具现实意义。应当注意到的是，该理论研究重点更倾向于政府公权力机构对于民众个人信息的采集利用。而随着数字化时代的全面到来，对个人信息的收集利用已远远不限于政府等公权力机构。但其关于个人信息的自决、控制仍极具理论价值。可以说，数字化时代，隐私权的主要内容集中表现为个人资料隐私权之中。

二、个人资料隐私权契约法上的保护

在当今个人数据经济时代的大环境下，隐私权的内涵和外延出现了新变革，随着时代的迅速发展和权利的自然演进，侵害隐私权更集中表现在个人资料范围，要保护好个人资料隐私权，须协调好隐私权与相关权益的衡平关系，须处理好自由与效率间的价值冲突。既不能过分强调对个人资料隐私权的保护而阻碍了我国互联网经济的发展，也不能片面追求数据经济发展而漠视对个人资料隐私权的私法保护。从我国现有国情出发，立足现有法制规范，在努力寻求隐私权与相关权益平衡的过程中，准确适用合同法等相关条款，严格推行个人资料同意授权的积极、消极综合模式，注重事前防范过度授权，事后合理解释维权，这些都是有益的试想，以下对个人资料隐私权契约法上的保护进行探讨。

（一）事前防范——防止非真实同意、过度授权

1.“同意”是个人资料处理的基本前提

在我国当前现行法律框架下，隐私权已经通过《侵权行为法》的认可具有独立的法律地位，个人资料隐私权作为隐私权的下位概念，性质上属于人格权。但因为对广大商业机构等个人资料利用人而言，个人资料所囊括大量信息在个人数据经济时代蕴含着巨大商业价值；同时个人资料权利人为获得更多高效快捷的信息化p

从意思表示的方式而言，同意的方式一般被分为两种：积极同意和消极同意。

前者即原则上一切个人资料的收集处理必须事先征得个人资料隐私权人的明确同意，消极同意即原则上个人资料隐私权人有权反对个人资料的收集处理，但若不反对即视为同意。前者比后者给个人资料隐私权人的权利更大，但在实践中的推行成本也更高，若一律适用积极同意，从市场角度而言这一成本最终仍将转嫁至个人资料隐私权人身上；消极同意总体成本较小，但个人资料隐私权人的权利较弱，且须承担反对的额外开支，完全采取消极同意。可见，简单的积极同意或者消极同意都存在诸多问题不足取。

欧盟在多个相关文件指出，积极同意模式是个人数据保护的发展方向，在当前实务中进行区别操作，对于一般个人资料往往只要求消极同意，对于高度敏感的个人资料主张积极同意。美国多数情况下主张消极同意，但实际操作中也并非纯粹简单的消极模式，而是规定充分的通知、方便的反对流程等，通过恰当制度安排有效控制消极同意模式。而对于儿童数据信息等高度敏感的个人资料也直接规定了积极同意模式。

3.我国的模式选择和制度安排

（1）非要式化消极同意造成非真实同意、过度授权泛滥

目前在我国，困扰个人资料隐私权人为社会广泛关注的焦点问题是：广大商业机构等个人资料利用人凭借自身技术、人力、市场等资源优势，极端简化同意授权的方式和流程，完全由个人资料利用人单方面一刀切地采取非要式化简单消极同意模式，比如在网络应用授权中对纷繁复杂的个人资料收集处理利用，仅仅设置点击“同意”或“不同意”弹窗按钮即完成同意授权，对其拟定的所有授权内容仅设置同意、不同意两种选择。个人资料隐私权人全程根本无法有效获悉自身权利义务，更无从参与其中表达自己的真实意志。如此一来，使得个人资料隐私权人常常在进行网站或邮箱注册、使用各类应用软件等操作时普遍存在被迫同意、过度授权的状况。而一旦出现任何不利后果，个人资料隐私权人的“同意授权”也极易成为各类商业机构推脱责任的挡箭牌。

个人资料隐私权关系个体的精神安宁、自由自决，意义重大，因此对个人资料收集处理授权显然不能仅仅通过简单的非要式方式进行。通过对同意模式的严格控制，并提高个人资料利用人获取同意授权的成本，能有效调节双方力量上的不对等，缓解个人资料隐私权人的维权困境。

（2）本文建议

第一，个人资料利用人的充分通知义务。个人资料隐私权人在被收集处理个人资料前应当被告知收集处理利用的目的。手段、拒绝同意的后果；个人资料利用人委托第三方利用处理个人资料的，须另行单独就该第三方资料处理的目的、手段做出明确说明。

第二，兼顾积极、消极两种同意模式。在区分个人资料内容性质的基础上兼采积极同意、消极同意：对于非敏感人群的一般内容个人资料，采取要式的有限

制的消极同意，即个人资料利用人须履行充分完整明晰的通知义务，同时作出辅助性制度安排，规定个人资料隐私权人作出反对的方式须与个人资料利用人通知的方式同等便利，不得增加个人资料隐私权人额外的负担；对于高度敏感内容或者特殊主体的个人资料信息采取要式的积极同意，即必须单独获得书面形式同意。个人资料利用人委托第三方利用处理个人资料的，该利用人或者第三方须就第三方对个人资料的利用处理另行单独取得书面要式同意。

第三，保障个人资料隐私权人自主参与决策。同意必须以个人资料隐私权人的自由意志为基础，个人资料利用人不得对所有收集处理内容仅提供“同意”、“不同意”两种选择，而必须针对具体内容按照个人隐私的关联敏感程度分类汇总，对所授权同意的收集处理内容提供修改、删除的选项。

（二）事后保障——对格式条款的合理解释

我国目前普遍存在的情况是，在出现个人资料隐私权被侵害之状况时，商业机构等个人资料利用人等侵权者往往以个人资料隐私权人之前所点击确认的隐私协议（条款）作为抗辩免责事由。如国内某大型移动通信公司客户入网协议中明确规定“为更好为甲方服务，在本合同目的下，乙方可自行或委托第三方使用甲方的客户资料”，该条款显属合同缔结过程中的霸王条款，个人资料隐私权人除非完全放弃使用该移动通信服务，对该格式条款毫无回旋余地。而网络应用服务中，类似霸王条款更比比皆是，甚至不乏大量故意隐匿信息以使个人资料隐私权人被动同意的情形。

我国《合同法》第四十一条明确规定：对格式条款有两种以上解释的，应当作出不利于提供格式条款一方的解释；第四十五条规定：一方以欺诈、胁迫的手段或者，使对方在违背真实意思的情况下订立的合同，受损害方有权请求人民法院或者仲裁机构变更或撤销。在网络活动中，个人资料隐私权人同意时未被充分告知信息或未能真正理解同意后果的风险性更大，因此对网站中的”同意”应作更严格解释。一旦发生个人资料隐私权被侵害情形，个人资料隐私权人得以援引上述条款对抗个人资料利用人的格式化协议。