田野:大数据时代知情同意原则的困境与出路

田野

    摘要:  知情同意原则根植于自主价值,是个人信息保护之基石。在大数据时代,知情同意原则陷入困境之中,海量信息的批量处理、多方共享、目的不特定之频繁利用加大了有效同意获取的难度,同意作为个人信息处理正当性基础之地位受到质疑。生物资料库是管窥知情同意原则困境与解困之路的最佳范例,围绕使用库存样本是否需重新获得同意,存在特别同意与概括同意之争,各种折中改良方案继而被提出。革新而非放弃知情同意原则,是应对大数据挑战的应然立场。知情同意原则之重塑,应坚持以自主为核心价值,以保护与利用的平衡为理念,巧妙设计适应大数据需求的新型知情同意模式。应从整齐划一的同意向基于信息分类、场景化风险评估的分层同意转变,从一次性同意向持续的信息披露与动态同意转变,容许有条件的宽泛同意+退出权模式。
    关键词:  知情同意原则;大数据;个人信息保护;生物资料库;同意模式革新
    引言
    对个人信息的收集利用,必须经过本人充分知情前提下的同意,此即个人信息保护的知情同意原则(Informed Consent)。个人信息保护是信息社会的焦点问题,对个人信息保护而言,知情同意原则具有“帝王条款”的意义,恰如意思自治原则在民法中的地位。[1]知情同意原则旨在维护个人自主,使信息主体得以自治自决而不被他决。知情同意原则奠基于“小数据时代”,当人类社会步入大数据时代,知情同意原则陷入重重困境。信息的密集收集、频繁处理和多方共享加大了有效同意获取的难度与成本,严苛的同意要求看似成为阻碍大数据利用的绊脚石。个人在面对隐私政策中的海量专业信息时,很少阅读而大多直接点击同意,专业信息的有效性大打折扣。知情同意原则否定论遂成为一种思潮,批判者认为,同意不再是个人信息处理的正当性基础,[2]主张以路径重构取而代之。[3]由于知情同意原则处于核心地位,这种主张实际是要撼动个人信息保护法的基石。知情同意原则已经走到尽头了吗?自主不再必要?面对大数据时代的挑战,知情同意原则何去何从?
    近年来,大数据时代背景下的个人信息保护成为法学研究的热点,鉴于传统法的不适应性,反思与重构成为主基调,而知情同意原则成为讨论的中心。在笔者看来,这是一个极为宏大的命题,为有的放矢和避免空谈,对知情同意原则困境与解困之路的分析,有必要放在特定的情境下进行。生物资料库是讨论这一问题的最佳情境,其原因在于:第一,基因领域是大数据最早诞生的领域之一,[4]生物资料库是大数据的典型存在形式,其所反映的问题具有代表性。第二,知情同意原则作为一项法律术语,所使用的主语境是在个人信息保护框架下的生物医学研究。尽管知情同意原则适用于所有的个人信息,但是从比较法来看,对其讨论最多的还是生物医学研究领域。第三,生物资料库所暴露出的知情同意原则困境最为淋漓尽致,对其解困之路的探讨最多,所得出的经验也最具启发意义。透过此研究,笔者期望产生一种管窥效应,对更广阔范围内的个人信息保护有所启示。所谓“启示”,并非意味着生物资料库的知情同意原则及其具体规则可以全套照搬适用于所有个人信息,而是有甄别的借鉴。如何平衡信息保护与利用的关系、知情同意原则坚守与改良的关系、同意的具体与宽泛的关系,生物资料库的经验都提供了十分有价值的参考。特别是知情同意模式改良的创新性理论,对个人信息一般保护的知情同意原则的重塑,具有直接的借鉴意义。当然,应当看到,基因信息基于其敏感个人信息的特质,往往受到比一般个人信息更高程度的保护,其中一些特殊保护规则往往不能适用于普通个人信息,而这又从另外一个侧面折射出个人信息保护类型化的必要性,亦不失为一种启示。
    以生物资料库因应大数据挑战的经验为借鉴,笔者尝试提出面向大数据时代知情同意原则重塑的新思路。在大数据不断升温的当下,有必要对大数据作冷思考,不应为迎合大数据利用的需求而轻易放弃法的价值操守。知情同意原则的解困之路,不应是简单地绕过障碍放弃该原则,而应当是坚守下的改良与革新,自主始终应作为个人信息保护的核心价值。困境既然源于大数据的特殊性和旧规则的不适,知情同意原则的重塑自然应以大数据的新特征为导向,调整小数据时代同意规则的不适之处,以更加智慧化且不降低保护水平的方式顺应新时代的新需求。以保护与利用的平衡理念为指导,基于信息分类和场景化风险评估实行分层的同意,建立持续有效的信息披露与动态同意机制,容许有条件的宽泛同意+退出权的特别设计,应可使知情同意原则摆脱困境,实现大数据时代个人信息保护的“良法善治”。[5]
    一、知情同意原则是个人信息保护的基石
    知情同意原则作为一项法律术语被人们所熟知和广泛使用始于医疗领域,用于表达患者自主。在社会发展进程中,知情同意原则适用的场域呈现扩张的趋势,从医疗延伸至生物医学研究,在信息时代来临时,其又成为个人信息保护的核心法律原则。在历史的流变中,知情同意原则一根发多枝,但唯一的精神内核却恒久未变,即个人自主。
    (一)知情同意原则的嬗变
    1.知情同意原则在医疗领域的诞生
    在知情同意原则确立其地位之前,社会的价值判断倾向于认为,医生作为专家更懂行,他们知道什么对病人更好,让没有经过医学专业训练的患者参与重要的医疗决定,未必是英明的选择。不过,这样的观念在演进中渐渐发生改变,转换为如下的价值判断:这是我的身体,我自己才有权利作出如何处置的决定。1914年的Schloendorff v. Society of New York Hospital[6]案是知情同意原则发展史上具有里程碑意义的事件。著名的卡多佐法官审理了此案,在判决书中作出了经典的判词,奠定了知情同意原则的基石。[7]卡多佐法官写道:“每一个成年的心智健全的人都有权利自主决定如何处置自己的身体,医生未经患者同意就进行手术构成侵袭(assault),并应因此负赔偿责任。”[8]这段判词精彩地阐释了患者自决的精神,成为日后有关知情同意原则研究无不援引的经典。今天,知情同意普遍地被各国法尊崇为调整医患关系的基石。在我国,《侵权责任法》对患者的知情同意权作出了明确规定。[9]
    2.知情同意原则在生物医学研究领域的延伸发展
    随着生物技术的迅猛发展,科学研究对人体组织样本的利用日益频繁,知情同意原则被延展适用于研究领域。对研究中的知情同意的最初关注从人类的一场大劫难开始。第二次世界大战期间,德国纳粹医生对犹太人进行了惨绝人寰的人体试验。这种反人类恶行在战后被反思,保护生物医学研究中受试者的权利的一系列基本原则被确立,成果集中反映在《纽伦堡法典》中。其中一项最重要的成就便是确立了知情同意原则,法典第1条便规定了“人类受试者的自愿同意是绝对必要的”。此后的《赫尔辛基宣言》对生物医学研究的知情同意作了更加细致的规定。《纽伦堡法典》只是昭示了保护自主的精神,而《赫尔辛基宣言》则明确采用了知情同意的字眼,并将理念规则化。《赫尔辛基宣言》历经多次修订,在最新的版本中,关于知情同意的条文(从第25条到第32条)就有8个,而整个宣言也只有37条,可见知情同意的分量。[10]以这两个规范为基础,以后制定的一系列重要国际规范和国家立法,无不特别突出知情同意的地位。在我国,《涉及人的生物医学研究伦理审查办法》第四章专门规定了研究背景下的知情同意问题,共有6个条文。
    3.知情同意原则是个人信息保护的“帝王条款”
    及至人类社会步入信息时代,个人信息保护备受关注,知情同意原则又成为个人信息保护的一般法律原则。这是一个最好的时代,人人都想享受着自由获取丰富信息带来的便利;这也是一个最坏的时代,人人都处于信息泄露、无处藏身的危机之中。个人信息保护是一个宏大的议题,需动用不同的法律部门,但就私法的角度观之,保护个人信息的一条根本准则是:对个人信息的收集、披露、储存、利用,必须经过本人真实的同意,并以事先充分的知情为前提。知情同意原则作为个人信息保护的指导原则,乃是共识性的认知,为国际规范和各国立法普遍采纳。早在1980年经济发展与合作组织(OECD)颁布的《有关隐私权保护及个人数据跨国流通的准则》中就有规定,个人数据的收集应当合法、公正,并取得当事人的同意。这一准则在国际上奠定了早期个人信息保护的基础。欧盟1995年颁布的《个人数据保护指令》第7(a)条规定,经个人数据所涉当事人毫不含糊、明确地同意的,方可对个人数据加以处理。而2016年颁布的欧盟《通用数据保护条例》,更是对知情同意原则作了十分细致的规定。在国家立法层面,也普遍认可知情同意原则在个人信息保护中的指导地位。如德国2009年修订的《联邦数据保护法》第4(1)条规定,个人数据的收集、处理和利用应经当事人同意或法律另有规定者,方属合法。其他国家的个人信息保护立法亦罕见有不遵从该原则者。在我国,虽尚无专门的个人信息保护法,但相关的法律规范均将知情同意作为重要的原则,如《网络安全法》22条第3款规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。”该法另在第41条规定,网络运营者处理个人信息应当经过被征集者同意。《关于加强网络信息保护的决定》2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集使用公民电子信息,应当遵循合法、正当、必要的原则……并经被收集者同意……。”《民法总则》111条没有明确采用知情同意的术语,这不能不说是一个遗憾,不过,对于该条中所规定的“依法取得”,解释上认为,应包含了依当事人同意取得的元素。
    上述知情同意原则发展的三个阶段、三种背景,其实并非是彼此孤立的,而是相互联系的。生物医学研究有时针对患者的病理组织或信息展开,而研究的结果必将产生大量的个人基因信息。在信息时代,生物医学研究中的参加者保护与个人信息保护频繁发生重叠,参加者迫切需要得到保护的利益主要是样本中包含的基因信息,由此,知情同意原则在该两个场域内同时发挥作用。当组织样本是由患者捐献供作研究时,则实现了知情同意原则适用情境的“三位一体”。无论是患者自主、研究参加者自主,还是个人信息自决,均归一于自主的人类价值操守,其并不因时代变迁而改变。
    (二)知情同意原则背后的法理
    1.知情同意原则的法哲学解释
    知情同意原则为什么是必要和正当的?其背后的法理有待阐明。[11]从法的价值层面看,知情同意原则根植于自主,这一点清楚地体现在知情同意原则的演进轨迹中。自主是自由意志的体现,能自主才有自由,而自主常常需要借助同意之决定实现,同意就如同控制自由的阀门。洛克在《政府论》中指出:“一切自然人都是自由的,除他自己同意以外,无论什么事情都不能使他受制于任何世俗的权力。”[12]黑格尔也认为,人作为意志的存在,有权将其意志体现在任何事物中,但人们只有在作出决定后,才是现实的意志、特定化了的个人意志。[13]包括个人信息在内的事项应由本人自治自决而非他决,个人不应处于被操控的地位。肯定自决的一个重要原因是,个人是其利益最大化的最佳维护者,只有自己知道什么对自己最好,找不到比自己更合适的选择者。甚至有自由主义者认为,人应该享有“做错事的权利”(a right to do wrong)。[14]如果套用卡多佐大法官对于知情同意原则的经典判词,对信息时代的知情同意原则可以作如下表述:任何一个成年的、心智健全的人都有权利自主决定如何处置自己的信息;这是我的信息,
        
    只有我自己才有权决定如何处置。信息自决是自主、自由价值的时代表达,这种自我控制在法律上是通过同意实现的,而同意有效的重要前提是充分知情。
    2.知情同意原则与意思自治
    抽象的自主价值在私法上被具体化为意思自治原则,而知情同意原则实际上是意思自治原则在个人信息保护领域的个性化表达。意思自治作为民法的基本原则,乃是民法的灵魂所在。在自治的统一理念下,意思自治原则在民法不同部分的展开又各具一格,例如,在合同领域中体现为契约自由,在继承法领域里体现为遗嘱自由,在个人信息保护这一场域内知情同意原则则是表达意思自治的特有语词。信息社会面临频繁的个人信息处理,是否获取个人信息、由谁获取个人信息、对个人信息作何种利用等等,均须依个人意志而定。知情同意原则使自然人保有对个人信息的控制,排除他人的控制,以维护人之所以为人的尊严。个人信息保护的指导原则并非唯一而是多元的,在这些原则中,知情同意原则尤有着卓然地位,“其他原则均由该原则派生或者由该原则决定”。[15]言及个人信息保护,何谓“保护”?在笔者看来,使个人得以掌控其信息的命运是最基本的保护。从这个意义上讲,知情同意原则就是个人信息保护法性格之所在。
    3.知情同意原则的权利基础
    在惯常的权利思维下,必须追问知情同意原则的权利基础为何。个人对其信息享有自治自决的权利,对此罕有争议。不过,此种自决的权利性质为何,在权利体系中的地位如何,对此,有不同的解释路径。在比较法上,德国和美国的做法分别代表了对待这一问题的两种立场。在德国,法院通过人口普查案等一系列判例,确立了独立的“信息自决权”。美国法则是通过扩张隐私权的范畴,将信息自决解释为信息性隐私,与传统的消极性隐私相比更加突出了积极性特质。[16]在我国,围绕《民法总则》111条对个人信息保护的规定,学者有不同的解读。有学者将该条解读为确立了类型化的个人信息权,与肖像权、健康权、隐私权等具体人格权并列。[17]不过从法条的文义解释来看,其并未直接采用“个人信息权”的概念,而只是宣称保护“个人信息”。对于个人信息权与隐私权的关系,一直存在混乱认识,二者虽然在信息性隐私部分存在一定重叠,但前者侧重于信息的积极控制,后者则以消极防御为重心。在个人信息权获得明确的立法确认之前,对隐私性个人信息的保护可以隐私权为基础。对于不属于隐私的个人信息的保护,则可以一般人格权作为权利基础。此外,在当代,人格权具有宪法化的趋势,不少学者主张,将个人信息权作为宪法上的基本权利予以保护。[18]人格权宪法化是保护的升格,乃人权观念崛起之产物。我国《宪法》38条规定:“中华人民共和国公民的人格尊严不受侵犯。”此处所谓“尊严”,解释上应认为包含了个人信息自决。应当看到,宪法化的人格权与民法上的人格权并非排斥的关系,宪法作为根本大法为民法人格权提供了解释依据。宪法人格权针对的是高度抽象的人格尊严,可操作性差,为此,必须通过民法上更加具体的人格权加以落实。事实上,生命权、健康权、肖像权等具体人格权都是宪法人格尊严在私法上的具体化,个人信息权亦不例外。针对个人信息保护的知情同意原则不缺乏权利基础,分别来自宪法和民法两个不同层次。所谓个人信息权,其实并非单一权利,而是框架性权利,包含知情权、决定权、保密权、删除权、财产化权等等。在诸种权利中,决定权(亦即同意权)乃是核心。所谓个人信息权,首要的就是自我决定的权利,以至于在最狭窄的意义上,信息自决权常常成为个人信息权的代名词。
    二、知情同意原则遭遇大数据
    大数据携雷霆万钧之势改变着人类社会的生存与发展方式,知情同意原则亦难逃其影响。海量个人信息的密集处理与多方流转,不特定第三方主体对个人信息为不可预知目的之频繁使用,使知情同意原则的贯彻步履维艰,对信息主体的保护与数据价值的开发利用之间的关系也陷入纠结。知情同意原则是否仍有继续存在的必要,成为了一个疑问而被讨论。
    (一)从“小数据时代”向“大数据时代”的演进与制度落差
    “大数据”的字眼近两年频繁出现在学术文献和媒体语境中,进而人们习惯以大数据为标签定义当下这个时代。然而,究竟什么是大数据?大数据时代始于何时?在大数据时代之前是怎样的时代?对此尚存在一些混乱认识。
    个人信息早就存在,但是,个人信息保护作为一个典型的社会问题凸显出来,却是近几十年的事情,矛盾的空前激化更是大数据时代的议题。“信息时代”是比大数据时代更早出现和更早流行的概念,其描述的是继农业社会、工业社会之后人类社会进入的第三个发展阶段,这一阶段被著名未来学家托夫勒称为“第三次浪潮”。[19]信息时代大概始于上世纪中叶,计算机和网络技术是推动信息时代到来的核心技术。我们现在仍处于信息时代之中,而所谓“大数据时代”,无非是信息时代的“升级版”。关于什么是大数据,在世界范围内没有统一的定义。2008年9月,《自然》杂志第一次正式提出“大数据”的概念。[20]2011年5月,麦肯锡研究所的研究报告给大数据下了一个相对清晰的定义,即大数据是一个数据集,其大小超过了传统数据库工具获取、存储、管理和分析的能力,本身数据的规模十分巨大,数据的交换率高,数据类型涵盖范围广同时保持了低数值密度。[21]该定义较广泛地被采用。按照一般的理解,大数据就是指数量巨大的和全景的以数据电文形式被记录、处理和传播的信息,而大数据被频繁利用以至于成为社会进步主要推动力的时代就被称为大数据时代。人类于何时开始进入大数据时代,没有一个准确的时点。2012年2月12日,《纽约时报》一篇专栏文章称“大数据时代”已经来临,由此,2012年通常被视为大数据元年。[22]这样看来,大数据时代迄今不到10年时间,大幕刚刚拉开。而对在此之前的半个世纪里人类所处的信息时代,不妨暂称之为“小数据时代”(也有学者称之为前信息时代)。
    信息时代衍生出个人信息保护问题,并催生了个人信息保护立法。显然,从时间跨度来看,迄今为止,“小数据时代”要远远长于“大数据时代”。世界各国主要个人信息保护法的制定,均发生于小数据时代。法律不可避免地打上时代的烙印,个人信息保护领域基本法秩序(包括知情同意原则)的确立是以小数据时代的社会特征为坐标系的。于彼时,个人可以就少量的信息与信息处理者进行面对面的个性化交流,基于充分的知情作出具体明确的有效同意。当社会步入大数据时代,数据量之大、数据处理之频繁远非小数据时代可比,面对变化了的社会条件和更加复杂的问题,建立于小数据时代的个人信息保护法律原则与规则捉襟见肘,是不难想见的事实。社会的发展是连续不间断的,而法律制度则是可能存在断层的。大数据时代与小数据时代的背景落差,正是造成个人信息保护法不适的根本原因,也是知情同意原则困境之源头。
    (二)大数据给知情同意原则带来的挑战
    1.获得同意的难度加大
    传统的同意表现为必要情形告知后知情同意书的签署,然而,在大数据条件下,获得同意的难度较以往大幅增加了。困难源自多重因素:首先,困难源于信息处理目的之不确定性。知情同意书的签署通常发生在信息收集之时,而对信息的实际利用则发生在其后。与小数据时代信息利用目的易于自始确定不同,大数据时代信息处理目的常常难以预知,同意对象是模糊的,这难以使信息主体真正知情,因而影响同意的质量。[23]其次,大数据处理的频繁性,使同意征集的频次增加。由于同意只在特定范围内有效,当利用超出该范围时,原有同意即告失效。因此,同意的更新成为必要,这可能使信息处理者陷入无休止的同意征集中。最后,大数据的共享性使数据处理者与信息主体间的直接联系被切断,信息处理者为获得同意,可能要寻找众多不相识的信息主体。
    2.同意的成本上升
    同意的获取需要付出成本,包括金钱成本和时间成本,大数据时代的新特征使获得同意的成本较小数据时代大幅飙升。信息量的暴增意味着信息处理者要在信息披露、设计制作合规的知情同意书、发出和收回知情同意书等方面花费更多时间和金钱。信息处理者的疏于告知可能带来承担责任的法律风险,事无巨细的告知则使信息处理者不胜其烦,对信息的甄选分类又将增加额外的成本负担。信息处理者要面对的不是一个信息主体,而是数以万计的庞大人群。在同意需要获得频繁更新的情况下,受到同意成本上升影响的不只是信息处理者,也包括信息主体自身。频繁地面临同意的抉择并不是一件令人愉悦的事,阅读各种冗长艰涩的隐私声明会消耗大量时间。美国的一项研究表明,如果所有的美国消费者阅读自己所浏览网站的隐私政策,一年内花费的时间将达到538亿小时,换算成经济成本大概是7810亿。[24]这显然是大数据带来的大成本。
    3.同意能力的欠缺
    知情同意旨在实现个人信息自决,故个人的自决能力至关重要,其关键在于个人能否真实理解针对其个人信息的收集利用可能带来的利益与风险。知情同意的理论预设是信息主体是具有同意能力的理性人,这一假定在偶尔针对少量信息而作出同意的小数据时代成立,但在信息爆炸的大数据时代则发生崩塌。面对海量而专业的数据,一般的信息主体很难真正理解其意义,对信息处理可能产生的风险难以作出准确的预测,基于不充分的理解所作出的同意,难谓真正的自决。再者,面对难懂的大数据,信息主体可能产生挫败感,降低同意的意愿。总之,个人同意能力的不足可能使同意的有效性大打折扣。
    4.同意作用的虚化和异化
    知情同意原则的初衷原本是将信息处理的决定权交由个人之手,然而,在大数据条件下,形式上作出的同意可能徒有其表,所谓自决,可能只是理想中的存在。在现实世界里,个人若想正常的工作与生活,对于各种信息收集的要求很难开口说不。拒绝同意也就意味着无法享受服务,在现代社会,这可能使个人寸步难行。面对各种冗长的隐私声明,现实中很少有人去认真地阅读,一是读不懂,二是没有时间读,三是读了也没用。在这样的背景下,不假思索地点击网上同意按钮成为麻木的常规操作。在这种例行公事式的同意中,自决的成分就算有也微乎其微,同意的作用被虚化和弱化。[25]进而,同意的作用发生异化,事实上成为信息处理者在法律上免责的手段,成为使收集利用个人信息的行为获得合法化的依据。而吊诡的是,即使是免责效果也只是假想的,在司法裁判中,法院未必绝对认可此种同意的免责效力。
    5.同意对大数据利用的阻碍
    大数据是当下推动社会发展的主导性科技之一,于国于民皆有大利,而严苛的知情同意要求可能是挡在大数据开发利用面前的拦路虎。知情同意原则旨在维护个人尊严,具体实现方式是,使个人信息的处理受到信息主体意志的限制。原则上讲,只要没有获得同意,信息处理就是违法的。由于大数据处理具有高频次、自动化、专业化、场景复杂性等特征,要求信息处理者对每一次利用都事先获得同意或将极大地损害效率,在实践中往往是很难做到的,在某些情况下甚至是不可能的。
    在大数据的影响之下,知情同意原则困境重重,正在失去原来的面貌。被剥离了自决灵魂的同意只剩躯壳,以自决的让渡换取使用便利,成为一种时代性“变节”,而我们每个人都是无奈的变节者。这或许可以被称为大数据的挟持。信息处理者和信息主体均陷入同意负累之中,结局不是双赢而是双输。
    (三)知情同意原则否定论及其批判
    1.质疑知情同意原则的学术思潮
    知情同意原则对于个人信息保护的基石地位已如前述,
        
    然而,在大数据浪潮的冲击之下,知情同意原则的地位已经不再坚不可摧。时下,在法学界掀起一股反思知情同意原则的浪潮,大声疾呼路径重构,激进的观点明确主张放弃知情同意原则而另辟他径。这是一个格外值得警醒的学术动向。在大数据面前,个人自决的价值真的不再必要了吗?在笔者看来,自主是个人信息保护之魂,当批评直指知情同意原则的存废,也就是要动摇个人信息保护大厦之基,对此,必须保持谨慎的立场。
    学者们针对知情同意原则进行了激烈的批判,理由主要是该原则在大数据时代面临种种困惑,认为其不能适应时代发展的需要。在批判者看来,对个人信息受侵害的担忧,在很大程度上都是出于对损害可能性的防范,或者说是“不确定的恐惧”,事实上,个人信息处理的福祉远大于危害。[26]再者,同意并不总是必要的,在某些情形下,对个人信息的收集处理不必经过同意,这样的例外规定在各国法上普遍存在且呈现增多的趋势,使得知情同意原则逐渐被蚕食。有学者直言,同意不是个人信息处理的正当性基础。[27]另有学者指出,知情同意原则在大数据时代的冲击下已经走向穷途末路。[28]还有学者认为,由于假定的理性人在大数据背景下其实并不具备自决能力,以自决作为个人信息保护的基础是理念定位的错误。[29]
    在主张埋葬知情同意原则之后,学者们还想好了后路,各自设计了适应大数据时代特征的个人信息保护新路径。有学者主张,采用场景与风险导向的新理念,以隐私风险作为衡量个人信息“合理使用”的指标,根据具体场景中的风险评估采取差异化保障措施,变信息处理前的静态合规遵循为信息处理中的动态风险控制。[30]有学者认为,大数据时代信息处理的规制原则应是防止滥用而非严格保护,主张采用责任规则和事后判断的方式,事前的知情同意不再必要。[31]还有学者主张,鉴于个人在大数据背景下没有自决能力,应改变向个人赋权的保护模式,改采信赖理念,使个人信息保护主要仰赖信息处理者的信义义务。[32]
    2.对知情同意原则之坚守
    知情同意原则的存废之争,实际上是其在大数据挑战面前产生不适的应激性反应。在大数据时代,要维持知情同意原则的难度更高、成本更大,以致在一些学者看来,知情同意原则已经成为阻碍大数据开发利用的绊脚石。要搬开这个绊脚石,最简单直接的解决方案便是放弃知情同意原则。曾经作为个人信息保护帝王条款的知情同意原则真的已经走到尽头了吗?在笔者看来,困境与挑战确实存在,但在当前言及知情同意原则的死亡,实在是过分地夸大其词了。
    对知情同意原则的上述批判理由皆存在值得商榷之处。首先,在法律制度实施中成本总是难免的,知情同意必然带来成本与负担,这些因大数据而增长的成本与负担,如果对于维护人格尊严是必要的,则是应当承受的。还应当看到,使个人自主得以维护也是一种效益。其次,对个人同意能力的不足可以想办法弥补,这正是知情同意模式改革的方向。况且,同意是一个主观的事项,同意是否经过了深思熟虑,只有本人知道。从外部判断同意对本人是否有利,与自决的精神本就不符。在外人看来不利的决定,也是本人在权衡利弊后自我选择的结果。即使是缺乏专业知识支撑和深度理解的同意,也是一种有价值的同意。不完美的自主总比没有机会自主好,认为个人行使不好权利就不赋予其权利的逻辑显然存在严重问题。[33]再次,对个人信息权的损害不应作狭隘的理解,除了隐私泄露、名誉损害、基因歧视等明显损害,信息处理未经本人同意就使人丧失自我决定的机会,这本身就是一种对人格尊严的损害。至于法律中例外情形的存在,也并不能否定知情同意原则的基石地位。即使是意思自治原则,在民法上也是存在大量例外情形的。世界上最新的个人信息保护立法,如欧盟《通用数据保护条例》,不但没有放弃知情同意原则,甚至在某些方面有所加强。
    因应社会变迁而反思法律的不适与变革,本为法学之使命,学术创新值得点赞。然而,大胆新思想的提出,对原有基础性法律原则的颠覆,必须保持负责任的谨慎与操守,不可轻言之。对知情同意原则遭遇大数据困境的反思,如果逻辑是遇到困难就放弃,基石性的自主价值轻易被颠覆,显得过于草率,言重些可能导致价值滑坡。在笔者看来,知情同意原则仍可通过修修补补而保持生命力,自主始终应作为个人信息保护的中心——即使是在大数据时代及未来久远的时代。
    三、由生物资料库管窥知情同意原则的解困之路
    知情同意原则因遭遇大数据陷入困境,解困之路的探索势在必行。在笔者看来,走出困境的基本路径不应是放弃知情同意原则,而应是完善知情同意原则。生物资料库的知情同意模式革新提供了解困之路的最佳范例。
    (一)生物资料库的大数据价值与知情同意困境
    生物资料库又称生物样本库,或形象地称为生物银行(Biobank),是指储存人类生物样本及由此产生的各种信息的资料库。[34]生物资料库存储的对象包括两个方面,一类是有形的人体组织样本,另一类则是由这些样本产生的无形数据信息。作为生物大数据的载体,生物资料库是支撑国家生物科学研究与产业发展的基石。[35]生物医学研究离不开样本,样本的稀缺一直都是制约生物医学发展的一个瓶颈。早期对生物样本的收集存储是通过一种手工作坊式的方法实现的,样本的数量和种类十分有限,往往仅能满足收集者自身为特定目的研究的需要。生物资料库的出现使局面发生了革命性的改观,海量存储的生物样本为众多研究者开展多样性研究提供了召之即来的丰富资源。近年来,生物资料库获得快速发展,大规模生物资料库在全球范围内广泛建立。我国也十分重视生物资料库的建设,《“十三五”生物产业发展规划》将其作为一项核心任务。[36]
    生物样本中包含大量基因信息,因此引发个人信息保护的关注。对人类样本及其信息的采集利用,应当经过研究参加者的知情同意,此乃国际通行的惯例。基因信息因其敏感性特质,成为个人信息保护的重中之重,而知情同意原则在生物医学研究领域的价值也尤为突出。生物资料库的大数据特征给知情同意原则的实现造成不小的困扰,一个核心争点在于使用库存样本开展研究是否需重新获得研究参加者的同意?样本采集入库时,都经过了签署知情同意书程序,这是就捐献样本的同意。当研究者要从生物资料库中提取利用样本进行研究时,是否就超出了初始同意的范围?生物资料库扮演的是一个平台的角色,本身并不开展研究或只开展少量研究,未来哪些研究者会利用库存样本开展何种研究,在样本采集之时是难以预见的。由此必须回答的问题是:对未来研究的同意,在样本采集时应当如何作出?对此,一个可能的解决办法是,令研究者对每一次新的研究利用重新获得参加者的同意。然而,这无疑是巨大的负担,这意味着研究者不得不频繁与参加者重新取得联系,重新履行告知义务并获得同意。生物资料库集聚了数以万计参加者的样本信息,在基因组学背景下,每个参加者样本都包含30亿碱基对的基因信息,重新获得同意的成本负担令人生畏。由于研究者是从生物资料库取得样本,与参加者通常不存在直接联系,为得到重新同意而寻找参加者的难度颇大。如果对库存样本的后续利用都无需再获得同意,那么参加者的自主又如何实现?生物资料库知情同意模式的革新都是以上述争点为中心而展开的。
    (二)特别同意与概括同意之争
    1.特别同意是经典的同意模型
    在经典的知情同意理论中,同意必须是具体的,这是有效同意的必备要素之一。知情同意既然旨在维护个人自主,则必须明确同意的对象,即明确同意是针对何种事项作出的。与之相对应,使同意者知情的告知也应当是全面详实的,而不能是含糊不清的。唯有如此,才能使同意者洞彻同意背后的风险与利益,作出发自内心的自我决定。同意是有范围的而不是无边界的,原则上讲,如果利用行为超出同意的边界,则原同意失效,需重新获得同意。生物资料库的大发展在给科学研究带来便利的同时,也带来了一系列的社会伦理与法律问题,矛盾的焦点在于如何消解生物资料库相关研究的不确定性与知情同意明确具体要求之间的紧张关系。在传统的生物医学研究框架下,知情同意的典型模式是:研究者为了开展特定目的的研究而招募样本捐献者,在就研究的性质、目的、使用样本的方法、潜在的利益与风险等信息向研究参加者进行充分的说明与信息披露后,由参加者签署书面的知情同意书。在招募之初,拟开展的研究项目就是明确具体的,而捐献样本的参加者数量也是相对较小的,由于研究者和参加者之间可以进行面对面的个性化交流,所以,由此作出的同意决定有助于实现真正的自主。
    基于传统研究的知情同意模式可被称为特别同意(Specific Consent)或狭义同意(Narrow Consent)模式,即要求针对拟进行的每一项新研究尽可能全面地把一切信息和可能的风险没有遗漏地揭示给参加者——即使是相关性不高和十分遥远的风险。所谓“特别”,即不能仅是笼统地告知未来研究的大概范畴,而应限定到研究的具体细节。与之相对应,参加者的同意也是“特别”的。因此,研究者每要超出原来特别限定的同意范围开展研究,就要再次获得特别的同意。特别同意的好处是,使参加者得以基于充分的信息和风险披露而作出是否同意的考量与最终决定,自主权得到最充分的尊重。
    对同意应当是具体的要求在国内外均不乏法源依据。欧盟《通用数据保护条例》中明确指出,同意必须是清晰具体的(explicit)。《欧洲生物人权公约关于生物医学研究的附加议定书》第14条第1款规定:“所有针对人的研究除非获得该个人知情的、自由的、明确的、具体的、书面的同意不能够开展。”该条文对同意加了一系列的限定词,其中之一便是specific(具体的)。在我国,《涉及人的生物医学研究伦理审查办法》规定,研究者应当向参加者进行详细的信息披露,且负有逐项解释说明的义务,并特别规定使用生物样本数据库中有身份标识的样本进行研究的需重新获得同意。
    经典的特别同意模式适用于生物资料库时会产生种种障碍与不适。与一般的生物医学研究相比,基于生物资料库的研究具有特殊性,正是这种特殊性造成了知情同意的困境。研究参加者的数量众多,常常构成大规模的人口性生物银行;生物资料库采集大量的人类样本,仅是为未来的研究作准备,至于这些样本究竟将被用作何种研究,在当时尚不明确;生物资料库除了自己从事研究,更主要的是为研究者提供样本资源的服务平台,不特定的二级研究者从生物资料库获取生物样本,与参加者并不存在直接的联系。[37]这些特点决定了,在生物资料库样本招募阶段,不可能对研究的细节进行十分充分的信息披露,这可能影响到同意的有效性。特别同意是一种较为严格的同意模式,对参加者而言保护程度最高。对于生物资料库而言,若要照搬特别同意模式则困境重重。如果严格贯彻“一项研究一个同意”,那么,利用样本的研究者每开展一项新的研究,就要重新获得参加者的知情同意,这可能涉及到与成千上万的参加者频繁取得联系,重新披露信息并获取同意,周而复始。研究者将不胜其烦,耗费巨大的时间成本和人力物力,因此可能对科学进步构成阻碍。[38]
    2.概括同意的创新与批判
    鉴于特别同意模式面对生物资料库的不适应性,各种改革方案被提出,其中概括同意(Broad Consent)的主张最为盛行,并在实践中被广泛采纳。所谓概括同意,即在个人向生物资料库捐献组织样本时,使其作出概括宽泛的承诺,同意未来针对其样本可能进行的各种类型的研究利用。空白同意(Blank Consent)是一个与概括同意相近但不等同的概念,顾名思义,其对样本在未来研究的使用完全不设限制。概括同意虽然宽泛但并非不作任何限定,而是限定一个大概的研究框架——但不限定具体的研究项目,
        
    在该框架下进行的研究无需再获得同意,但是,若这一框架被实质性地改变,则需重新获得同意。借助于概括同意的开放性,生物资料库为未来的研究预留了足够空间。主张概括同意模式的主要理由有:(1)生物资料库及其生物医学研究具有造福全人类的公益性,理应获得宽泛的同意;(2)生物资料库背景下的组织样本利用对参加者而言风险很低;(3)重新获得同意的成本过高,其不便利性给科学进步造成障碍;[39](4)参加者自己未必喜欢不断被新的同意骚扰,且未必由此受益。[40]这种自由度较大的概括同意模式无疑是生物资料库和研究者所喜欢的,而事实上,这也是目前大多数生物资料库实际采纳的模式。
    概括同意模式一经提出就受到欢迎,渐渐成为发展的趋势,原来采取特别同意的一些国家,纷纷修订法律或制定新法改采概括同意。如,芬兰在2013年制定《生物银行法》(Biobank Act),放弃了原来《医学研究法》(Medical Research Act)中严苛的知情同意规则,采取概括同意的模式。[41]韩国于2012年完成对《生物伦理与生物安全法》(Bioethics and Biosafety Act)的修订。根据新修订的法律,在生物银行背景下,参加者不能对样本的使用范围作出限制,样本将被无限期地保存,分配给不特定的研究者进行各种可能有助于公共健康的研究。[42]美国正在修订《保护人类受试者的联邦政策》(Federal Policy for the Protection of Human Subjects),在已经公布的修改建议中对生物资料库采纳概括的知情同意。[43]我国的《涉及人的生物医学研究伦理审查办法》也允许参加者自愿签署同意未来所有研究的概括同意书。
    概括同意是作为对特别同意模式的矫正而被提出的,等于是为科学研究开了绿灯。然而,这种矫正在很多批判者看来有矫枉过正之嫌,对参加者不公。概括同意化解困境的方式是通过降低信息披露与同意的标准实现的,而这被认为是保护的降格。批评者指出,仅是笼统地告知同意,参加者并不知晓未来自己的组织样本将被用作何种研究,这并不符合知情同意的本质精神。参加者无法得到充分具体的信息以作出客观的利益风险衡量,所作出的同意决定并非是基于内心真实的自由意志,因而,所谓宽泛的同意,其实并非真正的同意。[44]有学者认为,这实际上是将科学研究利益置于个人权利之上。[45]按照批判者的观点,知情同意的标准不应被轻易降低,即使在生物资料库背景下,知情同意亦应延续特定性之要求。[46]
    作为对批判的回应,概括同意的支持者们主张对该模式作出修正以调和冲突的利益,修正的手段包括确保选择自由、加强后续的信息披露和利用中的隐私保护、加强伦理委员会对采用概括同意的审查监督等。尽管遭到很多批评,但从全球范围内的实践来看,概括同意毫无疑问是目前生物资料库主导性的知情同意模式。一些在国际上有重大影响的生物资料库,如UK Biobank、deCode Genetics、Estonian Genome Project等等,均是采纳概括同意模式。一些学者开展了实证研究,而统计结果都清晰印证了生物资料库对概括同意的偏好。[47]我国的主要生物资料库也大多采取概括同意模式。
    (三)对知情同意“第三条道路”的探索
    对于生物资料库而言,特别同意太严,概括同意太宽,针对如何建立一种适合生物资料库大数据特点的新型同意模式,学者们试图突破二分法的限制,寻找到更加合理的“第三条道路”。[48]各种各样新颖的改革方案被提出,观点之多不胜枚举,此处仅举其要。[49]
    有观点主张采用附排除条款的同意(Consent with Exclusion Clauses),即在知情同意书当中加入特别的约款,排除某些类型的组织样本利用,包括排除特定类型的研究,限制生物样本和个人信息的共享范围,明定不与特定的研究者、生物资料库或者组织——如保险公司、雇主、私人公司——共享。排除条款的意义在于,过滤掉那些不太可信、争议较大、可能导致歧视和污名化风险较高的未来研究。在排除条款模式下,针对生物资料库中组织样本展开的未来研究,只要不属于排除的范围,即无需再征得同意。排除条款并非是独立存在的同意模式,其好处是可以被整合进其他既存的同意模式,如概括同意、分类同意等,为该种模式增加确定性。[50]
    还有学者主张分类、分层与分阶段同意(Tiered-layered-staged Consent)。这种模式将研究相关的所有信息按照一定的标准进行分类、分层,并分阶段地提供给参加者自由选择。所谓分类同意(Tiered Consent),划分标准可能是研究的特征,也可能是待研究的疾病特征,这是对信息横向的分类。分层同意(Layered Consent)则是以参加者对信息需求的深入程度为标准对信息作出的纵向分类。有学者十分具体地将应告知的信息分为两层:第一层只包含与是否作出同意决定直接相关的关键信息,包括研究的目的、目标群体、研究的局限性和风险、检测结果的意涵等等;第二层则包括更深入、更详细的信息,与是否同意的决定相关性不大,但有助于更深入地了解研究,例如检测程序的设置、实验室的技术条件、数据分析的科学方法等等。第一层信息应告知给所有的参加者,第二层信息则由个人自愿选择。分阶段同意(Staged Consent)就是将同意划分为多个阶段,使参加者得以对同意作出及时更新。[51]分层同意的理论于现实中被一些生物资料库付诸实践,例如,Genetic Alliance Registry and Biobank即采取了分层的个性化同意模式。[52]这种模式与宽泛同意相比,其进步之处在于克服了同意的模糊性,通过对大量信息的梳理分类使参加者更容易理解,各取所需地作出个性化的同意,同意分阶段使参加者能够对样本的研究利用实现全程的控制。不过,该模式也存在一定的问题:一者,要对信息作出复杂的分类,迎合众多参加者的不同需要,而设计各种选项将是不胜其烦的;再者,当众多选择摆在捐献者面前时,其可能茫然不知所措,在一些学者看来这可能构成一种“选择专制”。[53]
    动态同意(Dynamic Consent)是在众多改革方案中最受推崇的一种。特别同意与概括同意之争,在后来逐渐演化为概括同意与动态同意之争。这种模式主张运用现代网络信息技术手段,在Biobank和参加者之间搭建一个交流平台,使信息披露与知情同意成为一个持续、动态、开放的过程。借助这一技术平台,参加者可以随时了解研究的最新信息,并自由选择同意加入(Opt In)或退出(Opt Out)。参加者可以进行个性化的知情同意偏好设置,包括希望接受信息的范围、种类、时间段与频度等等,也可以随时登陆平台更改设置。特别同意僵化的短板通过动态同意可以得到弥补,而概括同意不具体的弊病也可以得到有效的解决。动态同意模式被认为具有诸多优点:1.参加者被置于中心地位,加强了与研究者的交流,成为研究的合作者,而不再仅是扮演消极被动的角色;2.信息披露的水平较高,持续的披露保障了参加者作出同意是基于真正的知情,弥补了概括同意模式下信息披露不足的短板,满足了法律上对于同意的最高标准要求;3.研究的透明度提高,有利于增进公众的信任,从而更积极地参与到研究中来;4.高度的灵活性、便捷性和效率性,信息的获取、个人偏好的设置更改、同意的作出与撤回都是即时性的,开展新研究时重新联系众多参加者的难题迎刃而解;5.将伦理审查的责任由伦理委员会转移到参加者个人手中,减轻了研究者的负担;6.有利于研究者将有意义的研究结果和偶然发现向参加者反馈。[54]在上述众多同意改革模式中,动态同意模式被认为是最有希望取代概括同意模式的选择。实践中,一些生物资料库正在尝试采用该种同意模式,EnCoRe (Ensuring Consent and Revocation,2008—2012)[55]便是这样一个项目,该项目由包括牛津大学在内的英国学术机构和来自产业界的公司共同展开。有问卷调查显示,参加者对于这种新型同意模式也表示接纳欢迎。[56]不过,该种同意模式也遭到很多质疑。在动态同意模式下,参加者要频繁地面临加入或退出的选择,无论所谓新的研究较此前的研究相比仅是有细微琐碎的不同,还是有足以影响同意决定的实质性改变。将参加者置于中心地位,以合作伙伴的形式更多地参与到研究中来,可能也只是一厢情愿。Biobank研究的利益对象是公众健康,不会对参加者个人产生直接的影响,将参加者拉入进来的好处值得怀疑。更多的信息披露也未必导出会有更多的公众参与的当然结论,因为过于繁琐的机制设计、更多的参与可能使一部分参加者产生无力胜任的挫败感而望而却步。再者,减轻伦理委员会的审查义务而由参加者自己把关,是否能够更好地识别出研究中的风险也是一个未知数。[57]
    (四)弥合特别同意与概括同意的新发展
    尽管在理论上存在着诸多改革知情同意模式的新主张,不过,迄今为止,这些新模式尚较少出现在法律文本中,特别同意与概括同意仍是目前各国立法主要采纳的知情同意模式。特别同意与概括同意历来被认为是两种对立的同意模式,值得特别探讨的是,二者是否是水火不容的关系?抑或是可以在一国法律体系内以某种方式实现共存?如果可以,如何共存?
    考察国际上新近的知情同意立法,可发现弥合特别同意与概括同意的新趋势。一方面,同意作为一项大原则并没有被放弃;另一方面,概括同意作为化解大数据时代知情同意困境的新模式获得越来越广泛的采纳。一个有趣的现象是,一些国家的立法中既规定了特别同意,也规定了概括同意,各自适用于不同的情形。例如,挪威《健康研究法》(The Health Research Act)第13条第2款规定,同意必须建立在对具体研究项目的特别信息知情的基础之上,除非有参加者明确授予概括同意的情形;其又在第14条规定,参加者有权自由选择作出特别同意还是概括同意。据此,到底采用哪种同意模式的选择权被交由参加者行使,在参加者未作出明确选择的情况下则默认采用特别同意规则。巴西也有类似规定,根据国家健康委员会2011年制定的Resolution 441/2011,生物银行参加者签署的知情同意书中必须明确包含以下内容相互排斥的选项之一:1.对未来研究作出新同意的需求;2.对于重新同意的弃权。即参加者既可以要求利用自己样本的每一项新研究都要再次征得其同意,也可以放弃这种权利而为未来的研究放行。[58]
    在我国,特别同意与概括同意也并存于法律规范之中。《涉及人的生物医学研究伦理审查办法》36条明确列举了知情同意应当包括的内容,第37条进一步要求研究者对上述内容逐项向参加者进行解释说明,第38条更是直截了当地规定了应当重新获得同意的情形:“当发生下列情形时,研究者应当再次获取受试者签署的知情同意书:(一)研究方案、范围、内容发生变化的;(二)利用过去用于诊断、治疗的有身份标识的样本进行研究的;(三)生物样本数据库中有身份标识的人体生物学样本或者相关临床病史资料,再次使用进行研究的;(四)研究过程中发生其他变化的。”该条第(三)项是针对生物资料库的特别规定,不过仅限于身份可识别的人体样本。这些条文都是特别同意存在的证据。与此同时,概括同意也有适用的余地。该办法的第39条规定:“以下情形经伦理委员会审查批准后,可以免除签署知情同意书:(一)利用可识别身份信息的人体材料或者数据进行研究,已无法找到该受试者,且研究项目不涉及个人隐私和商业利益的;(二)生物样本捐献者已经签署了知情同意书,同意所捐献样本及相关信息可用于所有医学研究的。”该条第二项显然是概括同意的典型表述,适用的条件是参加者自愿签署。
    从法解释论的视角分析,上述条文共同确立了我国生物领域知情同意原则的基本格局。首先,参加者的意愿被优先考虑,若其选择概括同意未来针对其样本的所有研究,
        
    法律不加阻拦。其次,参加者未选择签署概括同意书的,对生物资料库中有身份标识的样本的使用,应采取特别同意模式,每次研究需重新征得同意。再次,对生物资料库中身份不可识别的样本适用何种同意法无明文规定,采反面解释的方法,应可认为不需重新获得同意。最后,概括同意受到特别的限制,即接受伦理委员会审查把关,伦理委员会有权否决概括同意。
    我国及其他国家的立法为弥合特别同意与概括同意所作的努力,或许是面对二难选择困境的折中方案,无论如何,其进步意义值得肯定。但尚需进一步思考的问题是:这种调和的努力是否足够?杂糅模式是否是生物资料库知情同意的最佳选择?从立法论的角度审视,《涉及人的生物医学研究伦理审查办法》确立的知情同意制度尚有进一步改进的空间。在笔者看来,现行制度至少存在以下两个方面的问题。首先,选择自由可能被架空。尽管看起来选择何种同意模式的自由在研究参加者之手,其可以在特别同意与概括同意间作出随意取舍,不过现实的情况往往是:参加者由于有限的信息理解能力和判断能力,对生物资料库提出的签署概括同意书的要求,大多未经缜密的条文审读和利益风险衡量而径行授予同意。由此,极有可能导致的结果是特别同意被架空,概括同意取得绝对优势。其次,对身份不可识别的样本及信息的保护不足。按照现行的规则,样本身份是否可识别成为一个分水岭,身份不可识别的样本较可识别的样本受到更薄弱的保护。其背后的逻辑是,没有人知道是谁的样本,就不会有损害。殊不知,知情同意原则旨在保护的是自主的利益,与私密与否无干,即使是身份不可识别的样本,不存在泄密的风险,参加者仍有自我决定的利益存在。[59]再者,所谓经过去身份化加密处理的样本,从技术层面分析,其实也并非是绝对安全可靠的,在更先进的技术面前,存在被解密的可能。从比较法来看,一些原本只保护身份可识别样本的国家正在修改法律,将身份不可识别的样本一并纳入保护范围之中,典型代表如美国。长远来看,我国也应加强对身份不可识别的样本的保护。
    (五)启示:从生物资料库到一般个人信息的同意模式改良
    围绕生物资料库知情同意模式改革的论争与实践,是知情同意原则如何在大数据时代解困的一个生动剧本。特别同意对生物大数据的研究利用造成障碍,概括同意作为对特别同意的矫正部分化解了困境,却又因失于宽泛而饱受诟病,继而,各种折中改革方案被提出,特别同意和概括同意在立法中被进行新的整合,改革呈现迂回的前进。在现实中,个人信息保护和大数据利用有着难以计数的情境,在每一种情境下,知情同意原则困境的具体表现形态各异,然而就其本质而言则是相同的,因之其解困之路亦必定有共通之处。基因信息与生物资料库的个性不可否认,不过,这不妨碍个人信息普遍保护从生物资料库有甄别地吸取解困经验。可借鉴的经验至少体现在以下几个方面:1.保护与利用的平衡,坚守与创新的结合。所有改革都是围绕着如何使知情同意原则更加科学化、更加适应生物大数据的特点为中心进行的,而不是放弃该原则,科学研究的利益与个人权利被反复斟酌和谨慎取舍,人的尊严至上。2.以巧妙的制度设计解决同意的具体与宽泛的关系,使同意获得适度扩张的涵摄性,以解决大数据情势下信息处理目的难以预知的难题,同时加以适用条件的制约。3.改变单一的同意模式,实行多元化、个性化的同意模式,尊重信息主体的自主选择。4.重视技术手段在知情同意模式革新中的应用,使信息披露和同意成为长效机制,增进信息主体与信息处理者的交流与互信。这些经验对于更广阔视域下的个人信息保护与知情同意原则解困不无启示,当然,这并非意味着具体做法的全盘照搬,而是要批判地灵活运用。
    四、面向大数据时代的知情同意原则重塑
    如何应对大数据给个人信息保护带来的挑战,是一个不可回避的重大现实与理论问题,而知情同意原则居于矛盾的正中心。因此,解决了知情同意的难题,也就突破了大数据时代个人信息保护之瓶颈。鉴于传统知情同意模式的种种弊病,改革在所难免。以前述生物资料库同意模式革新的经验为借鉴,对个人信息保护知情同意原则的重塑,应坚持以自主为核心价值,以保护和利用的平衡为指导理念,针对大数据的特殊性,采取分层同意和动态同意的全新模式。
    (一)揭开大数据的面纱:知情同意原则重塑中法的价值操守
    知情同意原则之重塑,首要的是树立正确的指导理念,明确法的价值定位。围绕知情同意原则在大数据时代困境与解困的争论,在根本上是保护主义与利用主义之争,在法的价值层面则是大数据时代版之公平与效率之争。[60]在当下,尤其应警惕一种思潮,即将利用置于保护之上、将效率置于公平之上,以有效利用大数据之名推翻原本存在的基础性法律原则。知情同意原则否定论就是上述思潮的集中反映。大数据的字眼无处不在,成为当下最时髦的词汇,为大数据利用扫清道路之思潮盛行,知情同意原则被认为是束缚大数据的藩篱而成为口诛笔伐和清理的对象。必须承认大数据于国计民生意义重大,然而,大数据可能被神化了,以致常常成为冒然否定固有法秩序的当然理由。在大数据受追捧的时代,揭开大数据的面纱和重申法的价值操守至关重要,而坚持知情同意原则、坚持以个人自决作为个人信息保护的核心价值首当其冲。
    大数据的利用与个人权利的冲突在客观上不可避免,由于二者皆具有正当性,所以,平衡是调和冲突的唯一出路。大数据有多样化的应用场域,在各种情境下,冲突可能表现为不同的面向,诸如产业经济发展与个人权利的冲突、科学进步与个人权利的冲突、公共利益与个人权利的冲突等等,在前述生物资料库背景下则体现为生物医学研究与个人权利的冲突。平衡各种冲突的利益与价值,应是知情同意原则重构的基本理念。重塑后的知情同意原则,一方面应坚持对个人尊严的维护,另一方面应当正视大数据的特殊性,适度减负,避免对数据利用造成不合理的阻碍。平衡理念下还必须回答的一个关键问题是,在特定的情境下,当保护与利用的冲突不可调和而必须作出取舍时,何者应被置于优越地位?笔者认为,应取个人权利之保护。以生物医学研究领域为例,《世界生物伦理与人权宣言》明确指出了“个人利益和福祉高于单纯的科学利益和社会利益”,《国际人类基因数据宣言》也确立了“个人利益优先原则”。由此推及至个人信息的普遍保护,人的尊严始终应被置于最高地位,这一点不应因社会变迁而改变,即使是在大数据时代。
    (二)以知情同意原则的改良为基本立场
    要走出大数据时代知情同意原则的困境,从理论上讲,大概有三个改革方向可供选择:一是放弃知情同意原则,改采其他的个人信息保护路径;二是保留知情同意原则,但降低保护水平以迎合大数据的需求;三是坚持知情同意原则,也不降低保护水平,而是通过更巧妙的制度设计消除其对大数据的不适。
    上述第一种改革方案最为激进,其试图找到一种能够替代同意的方法,然而目前来看,这样的方法尚不可得。各种替代方案实际上是建立在对个人不信任的基础上的,将对个人信息保护的希望寄托于某种外部力量,诸如信息处理者信义义务的履行、主管机构的监督。其逻辑是,只要个人信息处理对信息主体是无害的,就达到了保护目的。这就注定了替代解决方案的局限性,最根本的在于没有一种方案能够找到替代同意的其他自主实现方式,等于是背弃了自主价值。即使是“无害”的信息处理,如果本人不愿意,亦不可强行为之。或者说,越过本人直接进行“无害”的个人信息处理,本身就是一种自决机会丧失的尊严损害。第二种改革方案试图通过降低同意的标准以调和矛盾,此亦非上策。权利保护的降格是保护向利用的妥协,是法律的退步。在不降低保护水平的前提下,通过知情同意模式的革新找到其在大数据时代的正确打开方式,才是最理想的路径选择。[61]从生物资料库的改革经验看,所有努力都是在寻找更合理的知情同意模式的维度上进行的,而不是在知情同意原则之外另觅其他路径。
    在目前,还找不到一种比同意更有效的保护个人信息的方法。“在个人和信息处理者的不对等关系中,权利人同意是一个最好的制约性权利。”[62]同意仍应被奉为个人信息处理的正当性基础,只是要协调好法律原则的坚守与创新的关系。知情同意原则改良模式是最为稳妥和理想的解决方案,而其得以贯彻的难点在于,面对大数据的特殊性,所谓的革新和调适路在何方。
    (三)应对大数据的新型知情同意模式:以分层同意和动态同意为中心
    1.新型知情同意模式设计的基本定位
    知情同意原则的重塑应以问题为导向,针对其面对大数据的种种不适而展开。应对小数据时代的知情同意原则进行改造,保留信息自决的精神内核,以大数据为坐标系,设计新的知情同意模式。新的制度设计应保有足够的弹性,以应对大数据处理的种种复杂情境。从整齐划一的同意向分层的同意转变、从一次性同意向可更新的动态同意转变,应成为制度设计的基本思路。
    适应大数据的新型知情同意模式,应具备以下基本特征:(1)信息主体角色的重新定位:从消极受保护者向信息治理参与者转换。如何看待信息主体在信息利用与保护架构中的地位是知情同意原则重构的基点。必须看到的是,大数据虽然华丽壮观,却是由无数个人的小数据汇聚而成的,没有个人信息的水滴,就汇不成大数据的汪洋大海。基于这一朴素的认知,肯定个人的信息源价值,在大数据处理中对个人给予足够的尊重,应被作为制度设计的基本考量。以往信息主体扮演消极的被保护者角色,在通过初始同意让渡了个人信息之后就退居幕后,在大数据的掩盖下被遗忘。在变化了的大数据条件下,信息主体应被赋予新的身份,作为利益相关者积极参与到信息保护和利用之中,成为系统化多元信息治理架构的“操盘手”之一。(2)适应变化的能力与满足多元需求的包容性。原有知情同意模式的弊病在于僵化,而新模式的生命力在于适应性和弹性。针对大数据条件下信息处理频繁发生、目的难以预先特定、场景多样化等特征,理想的知情同意模式应保持足够的灵活性,能从容应对各种变化和多元的局面,并避免对信息处理者和信息主体造成沉重的负累。为此,需改变一刀切式的静态同意模式,实行个性化、分层化、动态化的新模式。(3)外部保护与自我保护的协同。为实现在大数据时代对个人信息的有效保护,需要建立一个系统化的机制,知情同意不是唯一的保护方式。笔者主张坚守知情同意原则不放弃,但并不否认个人信息保护需借助外力。国家、社会力量在适当情形下的干预介入,对于弥补知情同意和自我保护方式的不足意义重大。
    2.基于信息分类与场景风险评估的同意分层
    个人信息的范围广泛、类型众多,大数据处理也涉及多样化的情境,因之个人信息面临的风险是高低不同的,忽略上述多样性和复杂性而寻求整齐划一的知情同意规则是不合理的。基于多样性背景,实行分层的同意,应是改革的大势所趋。惟需进一步探讨的是同意如何分层,应考虑哪些因素。
    首先,信息本身的特殊性和重要程度是同意分层的基础。个人信息的范围界定和分类是前提性问题。普遍的观点认为,身份识别性是个人信息的本质特征,即只有那些可据以追溯到所属者真实身份的信息才是个人信息,其构成了信息主体的人格剖面图。为了避免同意范围的泛化,必须将“与个人有关的信息”和个人信息区别开来,那些与身份无关的信息无需接受知情同意原则的约束。而在应受保护的个人信息内部,也应当作出区分,实行有差别的保护。对于与个人身份联系最为密切的核心信息,应当给予最高层级的同意保护,再依信息重要性下降而使保护程度渐次递减。在比较法上,一个常见的分类是敏感信息和非敏感信息,例如,欧盟及其成员国个人数据保护法就采取了这样的分类,对敏感信息给予更高水平的保护。
        
    我国法律上也有将个人信息分类的经验,例如,2017年颁布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将个人信息依重要程度区分为敏感信息、重要信息和普通信息三类,并分别规定了不同的定罪量刑标准。[63]
    对信息分类的难点在于依据何种标准、分几类,以及各种类别的边界如何划定。笔者不赞成个人信息的三分法或者更复杂的分类,其虽然看起来更加细致,但是将增加分类的困难,且易导致混乱。二分法已足够,即分为敏感个人信息和一般个人信息。当然,这二者的划分标准也不是泾渭分明的,各国法上列举的敏感个人信息范围不一。例如,欧盟《通用数据保护条例》规定的敏感信息包括:揭示种族或民族出身,政治观点、宗教或哲学信仰,工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,健康、自然人的性生活或性取向的数据。[64]《美国—欧盟隐私安全港原则》规定的敏感信息包括:医疗与健康、人种与种族、政治观点与宗教信仰、贸易组织的成员资格、个人性信息。我国台湾地区“个人资料保护法”列举的敏感信息有:有关医疗、基因、性生活、健康检查及犯罪前科的信息。敏感个人信息是具有高度本土化色彩的概念,并且是发展的概念。未来,我国也应完善对个人信息的科学分类,在立法中对敏感个人信息作出明确列举。对敏感个人信息应实行更加严格的知情同意标准,这一点在欧盟《通用数据保护条例》中清楚表明。相比之下,一般个人信息(例如消费习惯、上网记录、收入水平、年龄、位置等)则可以相对淡化知情同意的要求,实行更宽泛的同意标准,可以存在更多无需同意的豁免情形。张新宝教授曾提出对个人信息“两头强化”的策略,即强化敏感个人信息的保护,强化一般个人信息的利用。[65]对范围广阔的个人信息进行类型化规范,乃至于对部分敏感个人信息进行专门立法,是大数据时代个人信息保护的重要策略。
    其次,大数据处理的不同情境及其风险是同意分层的重要考量因素。即使是同一类个人信息,在不同的大数据利用场景下,也会产生差异化的风险。例如,同是针对基因信息,消费者从市场上购买基因检测服务与雇主收集雇员基因信息,所衍生的风险显然是不同的,后者因涉及劳动者的就业权并可能引发基因歧视而受到更严格的法律管制。美国在2008年颁布了《基因信息反歧视法》,特别规范了就业和保险领域的基因信息利用。德国2009年制定的《人类基因检测法》也从医疗、保险、就业、血缘鉴定等不同场景分别规范了基因检测。在我国,《涉及人的生物医学研究伦理审查办法》则是针对生物医学研究背景下的基因信息保护作出的单一场景性规范。个人信息的大数据利用场景多样,立法应对其中典型的利用场景作出重点规范。除了静态的场景性规范,由于风险是动态的,信息利用场景可能会发生转换,因此,场景风险评估也应该是动态的。风险是决定个人信息保护强度和同意模式设置严格程度的核心,故确定风险的评估机制至关重要。又因大数据应用场景的多样化,风险评估的工作必须在特定情境下进行。风险评估的方法受到推崇,从统一的个人信息保护转向以风险为导向的区别保护,是个人信息保护法发展的最新动向,这一点在美国和欧盟个人信息保护法的最新发展中均可窥见端倪。不过,对于风险评估应当扮演何种角色以及应具体如何实施,则有不同的看法。一些学者主张事中的风险评估,以之取代事前的知情同意。在笔者看来,风险评估不能取代知情同意,风险评估的结果应当告知给信息主体,以作为同意决定及其更新的参考。再者,由谁来进行风险评估也是一个存疑的问题。若由信息处理者自身进行评估,难免存在客观性和公正性的疑虑。由主管机构负责评估风险是一个备选方案,不过,考虑到大数据处理的专业性以及频繁性,主管机构是否有能力及精力担负风险评估之责,尚待考证。此外,还有观点主张由独立的第三方机构负责风险评估。[66]笔者认为,风险评估的主体未必是唯一的,相关各方主体均应该负担一定的风险评估之责,其中,第三方机构评估应该扮演最重要的角色。基于场景风险的个人信息保护与同意分层,从理念到制度实现尚需要一个过程。
    最后,信息主体的同意偏好应当在同意的分层中得到尊重。大数据中包含众多个体的信息,每个信息主体的同意偏好难求一致。有的个体希望获得全面的信息披露,有的则对接收海量信息感受到压力而抵触;有的个人愿意对信息处理作出宽泛同意的授权,有的则只接受特别同意。一些实证研究的统计结果证明了信息主体同意偏好的多样性,在这一问题上,共识并不存在。[67]某种同意模式可能为多数人所接受,但知情同意本质上是个人自主的问题,并非适合多数决的事项,持不同立场的少数者的自主利益也应得到保护。知情同意程序中应当有征询信息主体同意偏好的特别设计,并提供满足不同需求的同意选项。
    基于上述考量因素,应对同意进行分层化设计。在完整的同意层级体系中,从最严格的特别同意到自由度极大的空白同意,应包容多元化的同意模式,满足不同的同意需求。信息越重要、利用风险越大,对同意的要求就应当越严格。至于其中究竟应包含几种同意模式,很难以量化的方式表达。只要不违背法律的强制性规定,知情同意模式设计可以是无限多样和个性化的,包括但不限于特别同意、概括同意、空白同意、推定同意、指定信息共享范围的同意、排除特定目的利用之约款等等。在分层化的众多知情同意模式中,于个案中究竟应选择适用何种模式,涉及到同意模式的确定机制。知情同意模式的最终确定大体存在三种机制:约定机制、法定机制和酌定机制。在信息自决理念下,约定机制应被置于优越地位,何种信息应被告知、有效同意的宽严标准,均应首先依当事人的合意而确定,尊重信息主体本人的决定。对于敏感性高、利用风险极大的情形,个人决定不足以自保的,可以由立法直接规定较为严格的知情同意模式。而在信息处理涉及重大公共利益等特殊情形,法律可对知情同意作出限制或者豁免。除非是法律的强行性规范,当事人可以凭特别约定排除法律的规定。在既不存在法律规定也不存在当事人约定的情况下,应根据知情同意原则的一般原理作出解释适用。在纠纷解决程序中,知情同意是否适当则应由裁判者根据个案中的情况进行酌定。还需特别强调的是,对于宽泛型的同意模式的适用,应实行更严格的条件限制,包括接受主管机关的特别审查。
    3.持续有效的信息披露与动态同意
    传统的知情同意是一次性的,知情同意书的签署既是个人权利行使的开始,也是结束,这种僵化的模式无法满足大数据时代信息频繁处理和多次利用的需求。改革中,需要使知情同意成为一个长效机制,一方面信息披露应该持续有效地进行,另一方面应该使同意得以实时更新。
    信息主体同意能力的欠缺使同意的有效性大打折扣,而信息不对称是导致这种状况的根本原因。知情是同意有效的前提,大数据时代的同意困境,在一定意义上是知情的困境。在一次性的知情同意模式下,信息披露只发生在信息收集阶段,对个人信息后续被作何种利用,信息主体无从得知,更谈不上作出新的同意。这就使个人对信息的自决权在一次行使后即告用尽,失去了对未来利用的控制。要摆脱这一困境,使个人的知情能力和同意能力得以补强,应实行持续的信息披露,使信息主体得以全程追踪信息的利用,并根据变化了的风险作出新的决定。在这一新机制下,信息处理者的告知义务不因一次履行即消灭,而应持续不断地发生。同意也不是一次性的,而是可以作出灵活调整,包括限制个人信息的使用范围、撤回同意等等。
    持续的信息披露还需高度关注其有效性。隐私政策是信息处理者履行告知义务的主要形式,然而在现实中,隐私政策存在保护不足和作用虚化的问题,难以起到使信息主体真正知情的实效。这一问题在2017年顺丰与菜鸟的数据之争中充分暴露出来,快递公司在隐私政策中只是笼统地表示可能分享消费者的个人信息,但是消费者根本无从得知自己的信息如何被分享、分享给了谁。[68]信息主体在知情方面的障碍,一是源于信息获取的不足,二是源于理解能力的欠缺。要排除这些障碍,首先,应关注披露对象的选择,即究竟应向信息主体告知哪些信息。告知的事项务求清晰、具体,重要事项不能有遗漏。不过,需避免的一个认识误区是信息越多越好。当个人面对大量难以读懂的信息时,易产生挫败感。信息处理者为避免披露不足的责任,可能采取信息轰炸的方式,这对信息主体而言不是一件好事。基于此,应对披露的信息进行过滤,不追求毫无遗漏,而只披露实质信息。所谓实质信息,就是对于同意的决定可能产生影响的相关信息。决定哪些信息是实质性的本身是一个困难的事情,对此可利用大数据分析的手段,筛选出个人最希望获知的信息,就如同电商网站对消费者消费习惯的大数据分析。大数据在给知情同意原则造成困境的同时,也内生了化解困境的技术基因。对于个人明确表达的信息接受偏好,则应当予以尊重,网站应设计有征询信息主体信息获取偏好的机制与技术通道。其次,信息披露应以足够明显而能引起信息主体注意的方式进行,并使用易于理解的语言。信息主体常常注意不到隐私政策中的关键条款,而且不能理解一些专业性条款。信息处理者应采取一些特别手段,让信息主体看得到、看得懂被告知的内容。实践中,一些大数据处理者在隐私政策中对关键信息用加粗字体、标红的方式提醒个人注意,对专业性术语进行专门的解释——包括提供更详细解释的链接服务,采取弹出窗口的方式强化告知。基于持续有效的信息披露,信息主体能够享有对同意作出实时更新的权利,根据变化了的利用场景与风险,对原有的同意作出修正,包括对同意的范围进行更改、删除个人信息,乃至于撤回同意和注销账号。
    在操作层面,信息处理者必须为信息主体获取信息、管理信息、更新和撤回同意提供方便易行的技术通道。无论是持续的信息披露还是动态同意,都需要一个良好的沟通平台作为桥梁,以有效连接起信息处理者和信息主体。网络技术的发达提供了这种可能,知情同意的电子化、网络化正在成为一个发展趋势。良好交流平台的建设有利于促进信息主体与信息处理者的持续互动,以实现多次的信息披露和同意的实时更新。持续披露和动态同意可能带来成本增加的疑虑,不过,通过高科技手段,成本可以被大大降低,困难可能被想象夸大了。便利的、对使用者友好型的交流平台,是化解知情同意困境的技术化解决方案。[69]
    探索更好的知情同意实践的努力正在进行中。2017年7月,中央网信办、工信部、公安部、国家标准委联合开展了隐私条款专项工作,对微信、京东商城、高德地图、携程网等10个著名互联网产品和服务的隐私政策作出评估,9月公布了评估结果,还签署了加强隐私条款和个人信息保护的倡议书。专项行动产生了示范效应,包括京东在内的一大批著名互联网企业纷纷修改、更新隐私政策,实行更高层级的保护,例如,以增强告知或即时提示的方式给予用户明示选择权,允许用户即时撤销授权,对新的利用征集新的同意,提供便利的在线查询、更正和删除其个人信息的方式等等。这些新的尝试正在改变知情同意的面貌,使之朝着更加动态化、智慧化的方向前进,这对于化解大数据之困不无益处。
    4.有条件的宽泛同意+退出权模式
    在分层化的同意设置中,宽泛型同意具有突出的意义。大数据处理的目的不确定性与知情同意明确具体性要求的冲突是制度重塑中待解决的一个主要矛盾,如果令数据处理者对每一次利用重新获得同意,将使其陷入无休止的同意征集负累中。为解决这一问题,需处理好同意的具体与宽泛之间的关系。同意应当是具体的,其作为原则性要求应当被保留,与此同时,应当容许宽泛的同意在一定范围内有条件地存在。由于在个人信息采集之初,无法对未来的大数据处理用于何种目的作出全面准确的预估,因此,要使同意精确入微几乎是不可能的。对此,一个解决问题的思路是增加同意的涵摄性,使其得以容纳更多的处理利用,此即宽泛的同意模式。
    所谓宽泛同意是一个框架性、描述性概念,泛指对信息披露和同意标准的要求较低的高度概括的知情同意模式。从概念的外延来看,
        
    宽泛同意包含多种具体形式,各具体形式间的宽泛程度又各有差异。(1)推定同意(presumed consent),即不通知信息主体,也不获取其明确的形式同意,而径行假定信息主体已经同意,或者说是同意的拟制。(2)空白同意(blanket consent),即在同意中不对信息使用的目的和范围作出限制,而是允许未来所有类型的使用。(3)开放同意(open consent),即将信息置于开放的数据库中,供大众自由获取。(4)概括同意(broad consent),即对信息使用的大概范围作出宏观的限制,但不特定到十分具体的使用目的。上述宽泛同意的子类型,虽均以高度的涵摄性为特征,但又各自别具个性,存在微妙的差别。面对大数据条件下的种种复杂情境,各种宽泛同意模式皆有适用的独特价值。前述概括同意是宽泛同意的子类型之一。在生物资料库背景下,概括同意是主导性的同意模式,成为宽泛同意运用的一个典型实例。宽泛同意的广覆盖性将使大数据处理者获得更自由的空间,满足频繁而不确定的信息处理需求,是现实中最具有可操作性的同意模式。
    宽泛同意实质上是通过模糊化的手段来化解大数据困境的,在一定程度上是对经典特别同意的背离,无节制的宽泛同意可能使知情同意原则被架空。为避免对宽泛同意的滥用,必须加以一定的条件限制作为矫正。第一,宽泛同意模式的采纳应以信息主体的自由选择为前提,避免任何形式的强制。宽泛同意与特别同意是并存而非取代关系,如果信息主体坚持要求采用特别同意模式,则信息处理者不得违背其意志径行采用宽泛同意。第二,必须确保信息主体有随时撤回同意的权利。撤回权原本就是同意权的题中之义,在宽泛同意为大数据之便大开门户的情况下,以撤回权为信息主体预留出口,意义尤其重大。此种同意撤回权不应受到任何形式的限制。第三,对宽泛同意应以严格的监督审查相配套。在生物资料库背景下,概括同意模式的采用以伦理委员会的审查为必经程序。以此为鉴,对一般个人信息的宽泛同意也必须以监督机构的严格把关为前提。在对宽泛同意的审查中,风险评估的运用尤为重要,其对于模糊性带来的潜在风险可以起到抵消和缓冲作用。[70]第四,宽泛同意是多层同意体系中的一层,其也应满足持续信息披露与同意动态化的要求。由于宽泛同意在被作出之时牺牲了具体性要求,所以,于后续信息利用目的特定时,应向信息主体进行必要的披露,以使其了解新的风险,有机会对同意作出更新。
    在大数据时代如何保护个人信息,这已成为一个全球性的问题,学界已经普遍认识到了对旧有法律作出调适的必要性,实践层面探索更有效的保护路径的努力正在展开。然而,迄今为止,成熟的模式尚不可得,共识并不存在。技术的进步、实践的发展远远超过了法律的反应速度,对于什么是平衡数据利用和个人权利保护的最佳路径,人类还没有能力胸有成竹地给出“标准答案”,而是仍在混沌中摸索前行。即使是欧盟《通用数据保护条例》这一世界最新的个人信息保护立法,对大数据挑战所作出的回应也被认为是十分有限的。在法律政策导向不明、理论上众说纷纭的情况下,本文所提出的分层同意和动态同意,是对大数据时代个人信息保护路径的一次大胆创新。同意的分层和动态化并不是目前的实然状态,而是一种应被追求的理想状态。即使是在这一名词最早被提出的生物资料库领域,真正的分层同意和动态同意也还没有真正实现,而是只有零星的实践。在广阔的个人信息保护领域,要实现理想化的分层同意和动态同意,还有很长的路要走。
    结语
    个人信息保护是当今时代的焦点法治命题,而知情同意原则是个人信息保护的私法基石。在大数据时代,知情同意原则陷入困境之中,以致其作为个人信息处理正当性基础的地位受到质疑,主张路径重构和放弃知情同意原则的呼声甚嚣尘上。鉴于大数据对科学进步、产业经济发展和社会公共利益的巨大价值,以及奠基于“小数据时代”之知情同意原则的不适应性,调适在所难免。然而,动辄以有效利用大数据为名宣扬知情同意原则已死,实在是十分不淡定和危险的举动。知情同意原则所捍卫的自主价值是人类尊严的核心元素,面对困境,应对知情同意原则的实现方式作出灵活的因应性调整,而不应轻言放弃。面向大数据时代的知情同意原则重塑,应以保护与利用、公平与效率的平衡为核心理念,兼顾个人自主实现和大数据价值挖掘利用之便利。针对大数据的特殊性,应对传统的知情同意模式作出改良,基于个人信息的分类、数据利用风险的场景化评估实行分层的同意,利用高科技手段建立持续的信息披露和动态同意机制,容许有条件的宽泛同意+退出权的同意模式。自决是个人信息保护之魂,知情同意原则的成功解困,也将使个人信息保护在大数据时代浴火重生。
    注释:
    [1]参见齐爱民:《信息法原论》,武汉大学出版社2010年版,第58页。
    [2]参见任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期,第126页。
    [3]参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期,第92页。
    [4]大数据的概念最早出现在经历信息爆炸的基因学和天文学领域,这两个领域的特点决定了其比其他领域更容易产生大数据。
    [5]参见张文显:《治国理政的法治理念和法治思维》,《中国社会科学》2017年第4期,第48页。“良法善治”是以习近平同志为核心的党中央提出的重要法治理念。在笔者看来,“良法善治”不能止于理念层面,而必须贯彻到各个具体制度的设计之中,何谓“良法”,必须放在诸如知情同意原则等特定的情境下讨论。
    [6]See Schloendorff v. Society of New York Hospital,105 N.E.92(N.Y.1914).
    [7]在该案中,原告Schloendorff因胃痛到被告处就医,因查不清原因,被告建议原告做一项检查,检查在麻醉中进行。原告同意检查,但明确表示不愿意手术。被告在检查中发现一个肿瘤,未经昏迷中的原告同意而擅自切除了肿瘤。手术后,原告遭受到各种各样的损害而诉请赔偿。
    [8]同注[6]。
    [9]参见《侵权责任法》第55条。
    [10]《赫尔辛基宣言》制定于1964年,此后经过9次修订,最新的版本是2013年通过的。
    [11]参见张文显:《法理:法理学的中心主题和法学的共同关注》,《清华法学》2017年第4期,第22-24页。按照张文显教授的观点,“法理”乃是法学的共同关注,对部门法的探索亦必须深入法理层面才能深刻。法理的意义之一体现为对法律的解释,即某项法律制度何以具有正当性。知情同意原则也有其自身的法理。
    [12][英]洛克:《政府论》(下篇),叶启芳、瞿菊农译,商务印书馆2013年版,第74页。
    [13]参见[德]黑格尔:《法哲学原理》,范扬、张企泰译,商务印书馆2013年版,第24页。
    [14]参见黄柏恒:《大数据时代下新的“个人决定”与“知情同意”》,《哲学分析》2017年第6期,第103页。
    [15]齐爱民:《拯救信息社会中的人格》,北京大学出版社2009年版,第261页。
    [16]参见贺栩栩:《比较法上的个人数据信息自决权》,《比较法研究》2013年第2期,第61页。
    [17]参见杨立新:《个人信息:法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》,《法学论坛》2018年第1期,第34页。
    [18]参见姚岳绒:《论信息自决权作为一项基本权利在我国的证成》,《政治与法律》2012年第4期,第72页。
    [19]参见[美]阿尔文·托夫勒:《第三次浪潮》,黄明坚译,中信出版社2006年版,第20页。
    [20]《自然》杂志在2008年9月推出了名为“大数据”的专刊。
    [21]See James Manyika, Michael Chui, Brad Brown, Jacques Bughin, Richard Dobbs, Charles Roxburgh, and Angela Hung Byers,“Big Data: The Next Frontier for Innovation, Comptetition, and Productivity”,https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Big%20data%20The%20next%20frontier%20for%20innovation/MGI_big_data_full_report.ashx,2018年3月20日访问。
    [22]参见龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》2017年第4期,第63页。
    [23]See Alessandro Mantelero,“Regulating Big Data. The Guidelines of the Council of Europe in the Context of the European Data Protection Framework”,Computer Law & Security Review,Vol.33,No.5(2017),pp.584,587.
    [24]See Leecia M.McDonald & Lorie Faith Cranor,“The Cost of Reading Privacy Policies”,A Journal of Law and Policy for the Information Society,Vol.4,No.3(2008),pp.540-541.
    [25]参见吴泓:《信赖理念下的个人信息使用与保护》,《华东政法大学学报》2018年第1期,第28页。
    [26]参见注[2],第130页。
    [27]参见注[2],第126页。
    [28]参见注[3],第95页。
    [29]参见注[25],第28-31页。
    [30]参见注[3],第92页。
    [31]参见注[2],第133页。
    [32]参见注[25],第31-36页。
    [33]参见徐丽枝:《个人信息处理中同意原则适用的困境与破解思路》,《图书情报知识》2017年第1期,第110页。
    [34]See D.M. Shaw,B.S. Elger & F. Colledge,“What is a Biobank? Differing Definitions among Biobank Stakeholders”,Clinical Genetics,Vol.85,No.3(2014),pp.223,223-227.
    [35]参见董尔丹、胡海、俞文华:《生物样本库是生物医学研究的重要基础》,
        
    《中国科学:生命科学》2015年第4期,第359页。
    [36]《“十三五”生物产业发展规划》指出,在现有基因库基础上,建设生物资源样本库、生物信息数据库和生物资源信息一体化体系,建设具有重要产业应用价值及科研前瞻性的国家精品样本库和实时全景生命数据库。
    [37]See Margaret F.A. Otlowski,“Tackling Legal Challenges Posed by Population Biobanks:Reconceptualising Consent Requirements”,Medical Law Review,Vol.20,No.2(2012),pp.191,197-200.
    [38]See Carlo Petrini,“‘Broad’ Consent,Exceptions to Consent and the Question of Using Biological Samples for Research Purposes Different from the Initial Collection Purpose”,Social Science & Medicine,Vol.70,No.2(2010),pp.217,217-220.
    [39]参见注[37],第193页。
    [40]See Joanna Stjernschantz Forsberg et al.,“Biobank Research:Who Benefits from Individual Consent?”,British Medical Journal,Vol.343,No.7826(Oct.,2011),pp.480-481.
    [41]See Sirpa Soini,“Biobanks as a Central Part of the Finnish Growth and Genomic Strategies: How to Balance Privacy in an Innovation Ecosystem”, The Journal of Law,Medicine & Ethics,Vol.44,No.1(2016),pp.24,25-27.
    [42]See Won Bok Lee,“Biobank Regulation in South Korea”,Journal of Law Medicine & Ethics,Vol.44,No.2(2016),pp.342,343.
    [43]See Heather L. Harrell & Mark A. Rothstein,“Biobanking Research and Privacy Laws in the United States”,Journal of Law,Medicine & Ethics,Vol.44,No.1(2016),pp.106,112.
    [44]See B. Hofmann,“Broadening Consent-and Diluting Ethics?”,Journal of Medical Ethics,Vol.35,No.2(2009),pp.125,128.
    [45]See Timothy Caulfield,“Biobanks and Blanket Consent:The Proper Place of the Public Good and Public Perception Rationales”,King's Law Journal,Vol.18,No.2(2007),pp.209,216.
    [46]参见注[44],第128页。
    [47]See Zubin Master et al.,“Biobanks,Consent and Claims of Consensus”,Nature Methods,Vol.9,No.9(2012),pp.885-888.
    [48]See Thomas Ploug & Soren Holm,“Going Beyond the False Dichotomy of Broad or Specific Consent:A Meta-Perspective on Participant Choice in Research Using Human Tissue”,American Journal of Bioethics,Vol.15,No.9(2015),pp.44-46.
    [49]See Clarissa Allen,Yann Joly & Palmira Granados Moreno,“Data Sharing,Biobanks and Informed Consent:A Research Paradox”,Mcgill Journal of Law & Health,Vol.7,No.1(2013),pp.85,117.
    [50]See Zubin Master & David B. Resnik,“Incorporating Exclusion Clauses into Informed Consent for Biobanking”,Cambridge Quarterly of Healthcare Ethics,Vol.22,No.2(2013),pp.203-212.
    [51]See Eline M. Bunnik et al.,“A Tiered-layered-staged Model for Informed Consent in Personal Genome Testing”,European Journal of Human Genetics,Vol.21,No.6(2012),pp.596,597-600.
    [52]“ ‘Informed Consent’,Genetic Alliance Registry and Biobank”,http://www.biobank.org/participantts/informed consent/2016-10-6.
    [53]See Natalie Ram,“Tiered Consent and the Tyranny of Choice”,Social Science Electronic Publishing,Vol.48,No.3(2008),pp.253,282-284.
    [54]See Jane Kaye et al.,“Dynamic Consent:A Patient Interface for Twenty-first Century Research Networks”,European Journal of Human Genetics,Vol.23,No.2(2015),pp.141,143-145.
    [55] See M. C. Mont et al.,“EnCoRe:Dynamic Consent,Policy Enforcement and Accountable Information Sharing within and across Organizations”,http://www.hpl.hp.com/techreports/2012/HPL-2012-36.pdf/2016-10-6.
    [56]See Daniel B. Thiel et al.,“Testing an Online,Dynamic Consent Portal for Large Population Biobank Research”,Public Health Genomics,Vol.18,No.1(2015),pp.26,37-38.
    [57]See Kristin Solum Steinsbekk et al.,“Broad Consent Versus Dynamic Consent in Biobank Research:Is Passive Participation an Ethical Problem?”,European Journal of Human Genetics,Vol.21,No.9(Sep.,2013),pp.897-902.
    [58]See Gabriela Marodin et al.,“Biobanking for Health Research in Brazil:Present Challenges and Future Directions”,Revista Panamericana De Salud Pública,Vol.31,No.6(2012),pp.523-524.
    [59]See R. Korobkin,“Autonomy and Informed Consent in Nontherapeutic Biomedical Research”,UCLA Law Review,Vol.54,No.3(2007),pp.605,623-625.
    [60]参见张平:《大数据时代个人信息保护的立法选择》,《北京大学学报(哲学社会科学版)》2017年第3期,第143页。
    [61]参见注[23],第602页。
    [62]同注[33],第110页。
    [63]参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条。
    [64]参见欧盟《通用数据保护条例》第9条。
    [65]参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期,第51页。
    [66]参见注[23],第587页。
    [67]See Zubin Master et al.,“Biobanks,Consent and Claims of Consensus”,Nature Methods,Vol.9,No.9(2012),pp.885-888.
    [68]参见王林:《菜鸟顺丰“掐架”敲响警钟》,《中国青年报》2017年6月6日,第9版。
    [69]参见注[23],第599页。
    [70]参见注[23],第587页。
    作者简介:田野,法学博士,天津大学法学院副教授。
    文章来源:《法制与社会发展》2018年第6期。
相关文章!