徐 偉

目 次

一、問題的提出

二、涉第三人信息的現(xiàn)行解決方案

三、權(quán)利沖突視角下涉第三人信息規(guī)則的證成

四、結(jié)語

一、問題的提出

我國個人信息相關(guān)立法和理論研究，多以個人信息處理者從個人處獲得僅涉及個人自身信息的情形為預(yù)設(shè)對象。但在商業(yè)實踐中，廣泛存在的另一場景是：個人信息處理者從個人處獲得了涉第三人的信息。比如，個人信息處理者讀取個人的通訊錄、聊天記錄、郵件記錄、交易記錄、評論或留言記錄等場合，通訊錄等信息固然屬于被讀取者的個人信息，但通訊錄中每一位聯(lián)系人（第三人）的姓名、手機(jī)號碼、工作單位等，又屬于該聯(lián)系人的個人信息。那么，處理涉第三人的個人信息時，需遵循怎樣的規(guī)則呢？對此，我國立法并無直接的規(guī)定，理論界的探討也不多見。

一種直觀的判斷是，涉第三人信息的場景，仍然可以適用個人信息保護(hù)的相關(guān)規(guī)則，因為只要轉(zhuǎn)換觀察的視角，將第三人轉(zhuǎn)換為被處理信息的個人，那么第三人便與個人無異，故沒有必要區(qū)分涉第三人的規(guī)則與個人信息規(guī)則。這一推論盡管在邏輯上成立，但卻無法回應(yīng)現(xiàn)實的需求，典型的反例是：在實務(wù)中，個人信息處理者讀取個人通訊錄的行為，需要獲得個人的同意，但不需要獲得通訊錄中每位聯(lián)系人（第三人）的同意。如果我們承認(rèn)這一普遍做法是合理的，那么，《個人信息保護(hù)法》第13條第1款第1項中處理個人信息需要“取得個人的同意”規(guī)則，便不適用于讀取通訊錄場景中的“第三人”。可見，試圖簡單地將“第三人”視為“個人”，從而適用同樣的個人信息保護(hù)規(guī)則，難以成立。

那么，涉第三人信息時，應(yīng)適用怎樣的規(guī)則？其與個人信息規(guī)則差別何在？為何會產(chǎn)生此種差別？對此，立法和理論尚不明朗。但商業(yè)實踐中此類現(xiàn)象日益增多，司法實務(wù)中也已出現(xiàn)了相關(guān)訴訟。為此，有必要從基本原理方面入手，徹底厘清涉第三人信息的法律規(guī)則。

在展開分析前，首先說明本文的研究對象。涉第三人信息的場景中，第三人信息可能是由個人提供，也可能是由其他信息處理者提供。若是后者，則可適用《個人信息保護(hù)法》第23條，本文不做探討。本文僅探討第三人信息由個人提供的情形。在此情形中，至少涉及三方當(dāng)事人：個人、個人信息處理者和第三人?！?〕本文中的“個人”，除特別說明外，均特指向信息處理者提供了涉第三人信息的自然人，是與“第三人”相對的概念。本文中的“第三人”，以自然人為典型。若非自然人，本文的論證思路和結(jié)論也基本成立，唯在當(dāng)事人利益的具體考量上，可能會有少量差別。本文以第三人是自然人為預(yù)設(shè)，展開分析。就此，可進(jìn)一步細(xì)分為個人信息處理者在處理第三人信息時，獲得了個人的同意和未經(jīng)個人同意的情形。若信息處理者未經(jīng)個人同意，則其對第三人信息的處理行為已喪失潛在的正當(dāng)性基礎(chǔ)，可認(rèn)定信息處理者的行為違法，本文不再探討。據(jù)此，真正值得探討的情形是：個人信息處理者在處理第三人信息時，已獲得了個人同意，但第三人并不同意。本文的分析，正是針對此情形。

信息處理者對信息的處理行為包括了收集、存儲、使用、加工、傳輸、提供、公開、刪除等多種行為，不同行為在不同場景下，考量的因素會有所不同。為將論證聚焦，本文將以信息處理者的“收集”行為為例，闡釋涉第三人信息的法律規(guī)則。之所以選擇“收集”行為，主要考慮是：收集信息是其他信息處理行為的基礎(chǔ)，其較明顯地體現(xiàn)了當(dāng)事人間利益訴求的差異，也是法律保護(hù)個人信息的關(guān)鍵環(huán)節(jié)之一。同時，能否收集（是否要刪除已收集的信息）往往是實務(wù)中當(dāng)事人爭議的焦點。當(dāng)然，本文所展示的理論原理，對其他處理行為也適用。

二、涉第三人信息的現(xiàn)行解決方案

在我國，涉第三人信息糾紛的典型案件，是凌某某訴抖音案（以下簡稱抖音案）。2019年2月9日，原告凌某某在手機(jī)通訊錄沒有其他聯(lián)系人的情況下，下載安裝了被告提供的抖音軟件。原告隨后通過手機(jī)號碼和短信驗證碼登錄了抖音，登錄過程的界面顯示，默認(rèn)勾選了“我已閱讀并同意用戶協(xié)議和隱私政策”。登錄后，在抖音軟件“你可能認(rèn)識的人”項下，顯示有30位抖音用戶，原告與其中20位存在社交關(guān)系（比如是微信好友、QQ好友等）。經(jīng)法院調(diào)查，被告之所以能向原告準(zhǔn)確推薦與其存在社交關(guān)系的好友，是因為此20人曾授權(quán)被告收集的通訊錄中有原告的手機(jī)號碼。鑒于被告從原告好友通訊錄中獲得其姓名和手機(jī)號碼等信息的行為未經(jīng)原告同意，原告起訴要求被告停止2019年2月9日前收集、存儲、使用原告姓名和手機(jī)號碼的行為，并刪除未經(jīng)原告明確授權(quán)而收集、存儲的原告?zhèn)€人信息（包括姓名、手機(jī)號碼、社交關(guān)系）?！?〕參見北京互聯(lián)網(wǎng)法院（2019）京0491民初6694號民事判決書。本案中原告的主張可分為兩類：一類是針對2月9日注冊抖音前被告處理的原告信息，另一類是注冊抖音后被告處理的信息，包括地理位置信息等。后者并非涉第三人信息情形，故本文不對后者做說明和分析。本案已上訴，二審判決尚未作出。為使本文論證有更明確的指向，下文將結(jié)合抖音案對涉第三人信息的規(guī)則展開分析。

（一）可能適用的法律規(guī)則

在抖音案中，法院最終認(rèn)定，被告微播視界公司（以下簡稱抖音）從原告好友通訊錄中收集原告姓名和手機(jī)號碼的行為合法。本文認(rèn)同這一結(jié)論（但理由與法院不同，詳見本文“第三人提出異議前權(quán)利濫用之否定”部分）。但問題在于：如何推導(dǎo)出這一結(jié)論？鑒于法院判決時（2020年7月30日）《民法典》尚未生效，《個人信息保護(hù)法》也尚未通過，故法院在說理時并未結(jié)合這兩部法律展開分析，而是在理論層面論證了本案中的收集行為構(gòu)成對個人信息的合理使用。因此，本文將先結(jié)合我國《個人信息保護(hù)法》和《民法典》對收集行為展開分析，〔3〕鑒于《民法典》對個人信息發(fā)揮著兜底保護(hù)作用，故本文將先分析《個人信息保護(hù)法》中的規(guī)則，再分析《民法典》?！睹穹ǖ洹放c《個人信息保護(hù)法》的關(guān)系，參見王利明：《敏感個人信息保護(hù)的基本問題——以〈民法典〉和〈個人信息保護(hù)法〉的解釋為背景》，載《當(dāng)代法學(xué)》2022年第1期，第14頁。然后對個人信息合理使用理論作出回應(yīng)。

我國處理個人信息的合法性基礎(chǔ)集中規(guī)定在《個人信息保護(hù)法》第13條。根據(jù)該條，處理個人信息原則上應(yīng)取得個人同意。例外情形則包括為履行法定職責(zé)或者法定義務(wù)所必須等。從第13條規(guī)定的七項例外情形來看，可能適用于抖音案的情形主要有以下三種。

第一，“為訂立、履行個人作為一方當(dāng)事人的合同所必需”（第1款第2項前段）。此處，能否將被告抖音收集原告（第三人）信息的行為理解為是被告為履行其與個人（通訊錄中含原告信息的抖音用戶）合同所必需，即被告為了能向個人提供好友推薦服務(wù)，故收集了原告的信息。這種理解在文義邏輯上雖然成立，但存在諸多不足。首先，本條規(guī)范的典型情形，應(yīng)是信息處理者為訂立、履行個人作為當(dāng)事人的合同時，收集其本人的信息，而非收集他人的信息?！?〕參見程嘯：《個人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第127頁。其次，本條的比較法來源，是歐盟的《數(shù)據(jù)保護(hù)條例通則》（General Data Protection Regulation）第6條1（b）。該條規(guī)定，“處理只有在符合下列至少一種情形，且是該情形所涵蓋的范圍內(nèi)時，才合法：……（b）處理行為對履行數(shù)據(jù)主體作為當(dāng)事人的合同是必要的，或者是因數(shù)據(jù)主體的要求而為訂立合同做準(zhǔn)備”。根據(jù)學(xué)者對該規(guī)定的說明，該規(guī)定適用于“處理合同一方（數(shù)據(jù)主體）的數(shù)據(jù)對合同另一方（數(shù)據(jù)控制者）履行合同是必要的”?！?〕Christopher Kuner, Lee A. Bygrave & Christopher Docksey, The EU General Data Protection Regulation （GDPR）—A Commentary, Oxford University Press, 2020, p. 330.可見，比較法上也是將本規(guī)定限定于處理合同當(dāng)事人本人的信息。最后，更重要的是，若將本條解釋為包含為履行合同而收集第三人信息，將面臨正當(dāng)性詰難，即為何可以為了一方的利益而完全無視對第三人意愿的尊重。因此，本規(guī)則無法作為依據(jù)。

第二，“為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息”（第1款第5項）。此處，能否將收集第三人信息的行為理解為是為了相關(guān)產(chǎn)業(yè)的發(fā)展而對第三人的權(quán)益作了適當(dāng)限制？抖音案中，法院便認(rèn)為，對個人信息過于絕對化的保護(hù)將可能阻礙信息產(chǎn)業(yè)的發(fā)展?！皵?shù)據(jù)是數(shù)字經(jīng)濟(jì)時代重要的生產(chǎn)要素，信息是數(shù)據(jù)的基礎(chǔ)，對個人信息過于絕對化的保護(hù)，可能導(dǎo)致個人信息處理和數(shù)據(jù)利用的成本過高，甚至阻礙信息產(chǎn)業(yè)的健康發(fā)展?！薄?〕參見北京互聯(lián)網(wǎng)法院（2019）京0491民初6694號民事判決書。但這一理解也存在諸多不妥。本規(guī)則規(guī)范的典型情形，是新聞媒體在報道過程中使用了個人信息，比如性別、年齡、所在地區(qū)等，讀取通訊錄的行為并不在本規(guī)則所規(guī)范的典型情形范圍內(nèi)。更重要的是，本規(guī)則適用的前提是“為公共利益”。一般而言，公共利益“主要包括國家公權(quán)力機(jī)關(guān)為了制定國家經(jīng)濟(jì)、社會政策的需要而處理有關(guān)公民的個人信息，或者為了國家安全、公共安全、公共衛(wèi)生等，以及與刑事偵查、起訴、審判和判決執(zhí)行相關(guān)等事務(wù)”，〔7〕最高人民法院民法典貫徹實施工作領(lǐng)導(dǎo)小組主編：《中華人民共和國民法典人格權(quán)編理解與適用》，人民法院出版社2020年版，第387頁。同樣，全國人大常委會法制工作委員會編寫的釋義書中也認(rèn)為，“由于公共利益是一個彈性極大的概念，為避免被濫用，應(yīng)當(dāng)嚴(yán)格適用?！秉S薇主編：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第222頁。處理信息有助于相關(guān)產(chǎn)業(yè)的發(fā)展，不屬于典型的公共利益。比如，征收某一地塊后出讓給開發(fā)商建成超市，雖有助于就業(yè)、稅收和相關(guān)產(chǎn)業(yè)的發(fā)展等，但一般并不將商業(yè)開發(fā)認(rèn)定為是不動產(chǎn)征收中的“公共利益”?！?〕就此問題，存在爭議，但可以確定的是：為了商業(yè)發(fā)展，商業(yè)開發(fā)未必總是構(gòu)成公共利益。參見王利明：《論征收制度中的公共利益》，載《政法論壇》2009年第2期，第28-29頁。退一步而言，即便信息產(chǎn)業(yè)發(fā)展是公共利益，但抖音案中是否允許抖音讀取通訊錄信息能否直接關(guān)聯(lián)到產(chǎn)業(yè)的發(fā)展，不無疑問，因為讀取通訊錄是軟件自我推廣的手段之一，并非唯一手段。事實上，社交軟件以外的多數(shù)軟件，并沒有讀取通訊錄，也成功實現(xiàn)了自我推廣。

有學(xué)者認(rèn)為，若“具體場景下的電子平臺存在如水利、金融命脈之‘關(guān)鍵基礎(chǔ)設(shè)施’的可能，即使為私主體運營之商事活動，亦可能蘊涵公共利益屬性”。因此，“‘抖音案’的問題，在于抖音平臺作為娛樂內(nèi)容平臺，是否達(dá)到‘關(guān)鍵基礎(chǔ)設(shè)施’標(biāo)準(zhǔn)從而構(gòu)成‘維護(hù)公共利益’情形。”〔9〕盧震豪：《我國〈民法典〉個人信息合理使用的情形清單與評估清單——以“抖音案”為例》，載《政治與法律》2020年第11期，第138頁。這一以平臺的重要性程度來判斷平臺業(yè)務(wù)行為是否構(gòu)成公共利益的方式，實難贊同。我國之所以對“關(guān)鍵信息基礎(chǔ)設(shè)施”予以特別規(guī)范，是“為了保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，維護(hù)網(wǎng)絡(luò)安全”（《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第1條），即避免因其遭受破壞或數(shù)據(jù)泄露而嚴(yán)重危害國家安全、國計民生等，而非為了在其業(yè)務(wù)發(fā)展上給予特別保護(hù)。因此，不可因某一平臺是“關(guān)鍵基礎(chǔ)設(shè)施”而使該平臺的個人信息保護(hù)規(guī)則有所不同。據(jù)此，本規(guī)則無法作為依據(jù)。

第三，“依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息”（第1款第6項）。所謂“本法規(guī)定”，主要指向《個人信息保護(hù)法》第27條，根據(jù)該條，個人自行公開或者其他已經(jīng)合法公開的個人信息，可以在合理的范圍內(nèi)處理，個人明確拒絕或?qū)€人權(quán)益有重大影響的除外。抖音案若欲適用本規(guī)則，需至少滿足第三人信息在信息處理者收集前已公開。故問題在于：原告將其手機(jī)號碼告訴其好友，是否構(gòu)成“公開”？一般而言，公開指公之于眾，即“不特定的人可以通過合法的途徑而獲悉……如果只是在很小的親友圈子內(nèi)公開，如在微信朋友圈中公開，只有特定的人才可以獲得的個人信息，不應(yīng)認(rèn)為是公開的信息。”〔10〕程嘯：《論我國民法典中的個人信息合理使用制度》，載《中外法學(xué)》2020年第4期，第1015頁。但為強(qiáng)化對權(quán)利的保護(hù)，公開也可指僅向有限的人告知某一事項，比如將某學(xué)生是乙肝患者的信息（隱私）告知全班同學(xué)?！?1〕參見程嘯：《侵權(quán)責(zé)任法》（第2版），法律出版社2015年版，第171-172頁。就本規(guī)定而言，法律規(guī)則是，已合法公開的信息原則上將允許他人處理，無需經(jīng)信息主體同意。為有效保護(hù)信息主體的權(quán)益，在本條的解釋上，公開應(yīng)采狹義，即只有公之于眾，才應(yīng)認(rèn)定為公開?！?2〕參見黃薇主編：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第220-221頁。因此，將姓名和手機(jī)號碼告知好友，不應(yīng)認(rèn)定為本規(guī)定中的“公開”。據(jù)此，本規(guī)則無法適用。

綜上，《個人信息保護(hù)法》第13條中所列舉的情形，都無法作為信息處理者（抖音）收集第三人（原告）信息的合法性依據(jù)。

《民法典》中可能的依據(jù)，是第1036條信息處理者對處理行為不承擔(dān)責(zé)任的規(guī)定，以及第999條所謂的“人格權(quán)合理使用”條款。其中，第1036條規(guī)定了三種情形：自然人或其監(jiān)護(hù)人同意、信息已合法公開、維護(hù)公共利益或該自然人合法權(quán)益。第一種情形與本文討論的情形無關(guān)；第二種情形與《個人信息保護(hù)法》第13條和第27條的情形相同，不再贅述；唯第三種情形，有所不同。

《民法典》第1036條第3項規(guī)定“為維護(hù)公共利益或者該自然人合法權(quán)益，合理實施的其他行為”。該規(guī)定與《個人信息保護(hù)法》第13條第1款第5項的差別有二：一是該項的范圍比《個人信息保護(hù)法》更寬泛，并沒有限制于“實施新聞報道、輿論監(jiān)督等行為”；二是增加了“為該自然人合法權(quán)益”情形。對第一個規(guī)則，因判斷的關(guān)鍵仍在于“公共利益”，故上文對公共利益的分析依然成立。第二個規(guī)則，有學(xué)者認(rèn)為可能適用于抖音案，“其理由在于，信息主體無往不在數(shù)字經(jīng)濟(jì)中，‘雙重同意’所致高成本亦將在另案事后反射于信息主體的信息處理和數(shù)據(jù)利用，故有損信息主體合法權(quán)益?！薄?3〕盧震豪：《我國〈民法典〉個人信息合理使用的情形清單與評估清單——以“抖音案”為例》，載《政治與法律》2020年第11期，第138頁。這一論證其實是通過“多回合賽局”的理念，對“為該自然人合法權(quán)益”作寬泛解釋。但就該規(guī)范目的來看，其應(yīng)是為了保護(hù)自然人直接甚至迫切的合法利益而設(shè)置的例外規(guī)則，其“通常是基于維護(hù)個人信息主體或其他個人的生命、財產(chǎn)等合法權(quán)益，此合法權(quán)益原則上應(yīng)以重大為要，且個人信息主體由于疾病或其他原因無法作出同意或者授權(quán)的情形”?！?4〕最高人民法院民法典貫徹實施工作領(lǐng)導(dǎo)小組主編：《中華人民共和國民法典人格權(quán)編理解與適用》，人民法院出版社2020年版，第387-388頁。此外，本規(guī)則中的“該自然人”，應(yīng)主要指與信息處理者存在直接法律關(guān)系的“個人”，而非“第三人”。因此，維護(hù)“該自然人”合法權(quán)益也無法適用于抖音案。

除《民法典》第1036條外，《民法典》第999條還規(guī)定了人格權(quán)合理使用的一般性規(guī)則。但本條對人格權(quán)合理使用作了較嚴(yán)格的限制，僅限于“為公共利益實施新聞報道、輿論監(jiān)督等行為”，可以合理使用民事主體的姓名、肖像、個人信息等。因此，就個人信息而言，第999條的規(guī)則與《個人信息保護(hù)法》第13條第1款第5項相同，故也無法作為法律依據(jù)。

綜上，《民法典》和《個人信息保護(hù)法》中的相關(guān)規(guī)則，都難以為信息處理者收集第三人的信息提供直接的法律規(guī)則。

（二）抖音案中的合理使用規(guī)則

在缺乏直接法律規(guī)則的情況下，如何論證被告抖音收集原告信息的正當(dāng)性？對此，法院嘗試從個人信息合理使用角度展開論證。需說明的是，法院在判決書中提出的涉第三人信息合理使用，僅是理論上的一種論證，目前并沒有直接的法律依據(jù)。

法院的說理邏輯如下：（1）原告的姓名、手機(jī)號碼、根據(jù)諸多好友所形成的社交關(guān)系，屬于個人信息。（2）根據(jù)個人信息的一般規(guī)則，處理個人信息需經(jīng)用戶同意，故在涉第三人信息的時候，需經(jīng)個人和第三人的“雙重同意”。“在處理手機(jī)通訊錄中聯(lián)系人姓名和手機(jī)號碼時，既是對手機(jī)用戶個人信息的處理，又是對通訊錄中聯(lián)系人個人信息的處理。所以，這種處理行為一般要征得兩類主體的同意，既應(yīng)征得手機(jī)用戶同意，又應(yīng)征得每條通訊錄聯(lián)系人的同意，即應(yīng)征得雙重同意?！保?）若構(gòu)成“個人信息合理使用”，則可以不必征得信息主體的同意。

那么，為何法院要引入個人信息合理使用理論呢？從判決書來看，其直接的目的，是為了證成被告抖音的收集等行為的正當(dāng)性，更進(jìn)一步的目的，則是為了平衡各方當(dāng)事人在本案場景下的利益，尤其是信息產(chǎn)業(yè)界的利益?！叭绻笤谌魏问褂脠鼍跋露急仨殗?yán)格征得雙重同意，有可能會導(dǎo)致具體場景下利益的失衡。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)時代重要的生產(chǎn)要素，信息是數(shù)據(jù)的基礎(chǔ)，對個人信息過于絕對化的保護(hù)，可能導(dǎo)致個人信息處理和數(shù)據(jù)利用的成本過高，甚至阻礙信息產(chǎn)業(yè)的健康發(fā)展。”在認(rèn)可個人信息合理使用的前提下，法院從姓名和手機(jī)號碼信息的特點與屬性、信息使用的方式和目的、對各方利益可能產(chǎn)生的影響三個方面，對如何認(rèn)定本案是否構(gòu)成合理使用作了詳細(xì)分析。〔15〕參見北京互聯(lián)網(wǎng)法院（2019）京0491民初6694號民事判決書。

法院判決后，有學(xué)者對法院說理予以肯定，并進(jìn)一步做了系統(tǒng)性的理論概括和闡釋，提出個人信息的合理使用應(yīng)采“雙清單模型”，即先滿足“開放情形清單”（指法律列舉的合理使用情形），再滿足“開放評估清單”（指判斷合理使用時需考量的因素），兩者皆滿足方構(gòu)成個人信息的合理使用?！?6〕參見盧震豪：《我國〈民法典〉個人信息合理使用的情形清單與評估清單——以“抖音案”為例》，載《政治與法律》2020年第11期。

但是，以合理使用來正當(dāng)化抖音對原告信息的收集，存在諸多理論不足，擇其要者如下。

第一，也是最重要的，這一思路在價值取向上有失偏頗。抖音案所稱的“個人信息合理使用”理論若成立，便意味著，在一定條件下，可以犧牲對個人信息的保護(hù)為代價，可無視個人的意愿，換取信息產(chǎn)業(yè)的發(fā)展。而條件只不過是：獲取用戶同意的成本較高。若這一論斷成立，則恰好印證了一個并不妥當(dāng)?shù)呐袛啵何覈畔a(chǎn)業(yè)發(fā)展之所以迅速，重要原因之一是我國并不注重對個人信息的保護(hù)。

從我國的立法規(guī)定來看，立法者并沒有接受這個價值選擇。無論是《民法典》抑或是《個人信息保護(hù)法》，其采取的價值選擇都是：除非是基于公共利益的需要，否則處理個人信息應(yīng)尊重個人的意愿，一般需經(jīng)個人同意?！?7〕這與比較法上的經(jīng)驗一致，參見韓新遠(yuǎn)：《個人行為軌跡信息的法律屬性與分類保護(hù)研究》，載《交大法學(xué)》2021年第3期，第78頁。比如，《個人信息保護(hù)法》第13條列舉的無需取得個人同意的例外情形中，為履行法定職責(zé)或法定義務(wù)所必需、為應(yīng)對突發(fā)公共衛(wèi)生事件、緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需、為公共利益實施新聞報道等，都直接指向公共利益。而為訂立履行個人作為一方當(dāng)事人的合同所必需、按照依法制定的勞動規(guī)章和依法簽訂的集體勞動合同實施人力資源管理所必須，可以理解為，既然是履行合同和人力資源管理所必需，故個人在訂立合同時，實際上已同意對其信息的處理。同樣，自行公開的信息，也可推定為個人已同意他人處理其信息。至于合法公開的信息，他人在處理其信息時，仍需尊重個人的意愿，并非可以自由處理?！?8〕已經(jīng)合法公開的個人信息，典型表現(xiàn)是法院判決書中公開的信息。實務(wù)中此類糾紛多表現(xiàn)為被告將從中國裁判文書網(wǎng)得到的判決書，上傳到被告自己的網(wǎng)站，從而被判決書所涉的個人起訴。有判決認(rèn)為，在個人提出異議后，網(wǎng)站有義務(wù)刪除該判決書。參見江蘇省蘇州市中級人民法院（2019）蘇05民終4745號民事判決書。相左的判決參見北京市第四中級人民法院（2021）京04民終71號民事判決書。

因此，促進(jìn)信息產(chǎn)業(yè)的發(fā)展，實不在立法者考慮個人信息無需同意的例外情形中，這或許是因為，個人信息關(guān)涉人格價值，而產(chǎn)業(yè)發(fā)展主要為財產(chǎn)價值，為了后者而克減前者，本就與人格利益應(yīng)予優(yōu)位保護(hù)的價值取向不符?！?9〕參見張新寶：《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期，第10-11頁。當(dāng)然，不應(yīng)否認(rèn)的是，信息產(chǎn)業(yè)的發(fā)展對一國而言非常重要，在抽象和整體角度而言，其也是一種公共利益。但在具體個案中，不應(yīng)抽象地將降低企業(yè)處理信息的成本、促進(jìn)企業(yè)的發(fā)展作為公共利益對待。泛泛地將促進(jìn)產(chǎn)業(yè)發(fā)展作為公共利益，將為企業(yè)不當(dāng)處理個人信息大開方便之門。將公共利益限制在直接涉及公益的范圍，應(yīng)是更妥當(dāng)?shù)姆桨浮?/p>

第二，以合理使用來正當(dāng)化信息處理者的收集行為，會導(dǎo)致外在體系的邏輯沖突。就個人與信息處理者的關(guān)系而言，盡管從商業(yè)邏輯來看，往往是信息處理者希望獲取個人的手機(jī)通訊錄信息，主動請求讀取通訊錄，但從法律關(guān)系來看，信息處理者與個人間是服務(wù)合同，處理者是為了履行向個人提供推薦好友等服務(wù)，而需要讀取個人的通訊錄。換言之，是個人向信息處理者提供了通訊錄信息，只不過該提供是由信息處理者讀取通訊錄的方式來實現(xiàn)。若從侵權(quán)的角度觀察，個人與信息處理者是幫助關(guān)系，即信息處理者為個人實現(xiàn)向自己推薦好友提供了幫助。既然二者間是幫助關(guān)系，意味著二者在違法與否的定性問題上往往是“一榮俱榮一損俱損”的狀態(tài)，即若被幫助者的行為（個人向信息處理者提供通訊錄行為）合法，則幫助者的行為（信息處理者讀取通訊錄行為）必然合法。

若依合理使用理論，意味著信息處理者讀取（收集）通訊錄聯(lián)系人的行為本應(yīng)是違法行為，故才需通過合理使用來正當(dāng)化該行為?！?0〕一般認(rèn)為，合理使用在性質(zhì)上是侵權(quán)責(zé)任的抗辯事由（aきrmative defense），而非權(quán)利（authorized right），See Robinson v.Random House, Inc., 877 F. Supp. 830, 839 （S.D.N.Y. 1995）. 不同意見參見Lenz v. Universal Music Corp., 815 F.3d 1145, 1151 （9th Cir.2016）.但一旦將處理者的讀取行為認(rèn)定為違法行為，便意味著個人提供通訊錄的行為（被幫助者的行為）也是違法行為。而這一結(jié)論有悖于當(dāng)前的普遍商業(yè)實踐和社會公眾的普遍認(rèn)識?？梢?，對信息處理者與第三人間的收集行為是否違法的認(rèn)定，會傳導(dǎo)到信息處理者與個人間讀取行為違法與否的認(rèn)定。合理使用理論只顧及了信息處理者與第三人間的關(guān)系，但未能一以貫之地協(xié)調(diào)處理信息處理者與個人間的關(guān)系，進(jìn)而導(dǎo)致了法律外在體系的邏輯沖突。〔21〕一種可能的解釋是，不僅信息處理者收集第三人信息構(gòu)成合理使用，個人向信息處理者提供通訊錄信息也構(gòu)成合理使用。若如此，這兩個合理使用并不相同，需分別加以論證。

同樣，一般認(rèn)為，在第三人提出異議后，信息處理者負(fù)有刪除其信息的義務(wù)。但合理使用也難以解釋，為何第三人提出異議后便從原來的合理使用轉(zhuǎn)變?yōu)椴辉贊M足合理使用？因為合理使用的正當(dāng)性基礎(chǔ)在于公共利益，故對合理使用的認(rèn)定不應(yīng)因第三人的意愿而改變?！?2〕一種可能的解釋是，根據(jù)《民法典》1036條第2項或《個人信息保護(hù)法》第27條第1句，在個人明確拒絕時，便不再構(gòu)成合理使用。但這個解釋難以成立，因為：（1）上述條文僅適用于個人自行公開或其他已經(jīng)合法公開的個人信息，難以涵蓋所有個人信息合理使用的情形；（2）對個人公開的信息可以在合理范圍內(nèi)處理，與其說是基于合理使用，不如說是基于默示許可。故個人可拒絕的例外，并非是合理使用的例外。

第三，從內(nèi)在體系來看，我國在肖像權(quán)合理使用上的規(guī)則，也可佐證將收集信息行為納入合理使用的不當(dāng)。我國曾在《中華人民共和國民法通則》第100條規(guī)定：“公民享有肖像權(quán)，未經(jīng)本人同意，不得以營利為目的使用公民的肖像。”可見，若以營利為目的使用他人肖像，則必須經(jīng)本人同意，并無例外情形?！睹穹ǖ洹返?019條則強(qiáng)化了對肖像權(quán)的保護(hù)，即不再強(qiáng)調(diào)行為是否以營利為目的，只要未經(jīng)同意，便不得制作、使用、公開肖像權(quán)人的肖像，法律另有規(guī)定的除外?！?3〕參見黃薇主編：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第145-146頁。因此，就歷史解釋來看，我國在肖像權(quán)保護(hù)上的規(guī)則是：若以營利為目的制作、使用、公開肖像，都需經(jīng)肖像權(quán)人同意，即不構(gòu)成合理使用。若以非營利為目的，除法定情形外（主要規(guī)定在《民法典》第1020條），也仍需經(jīng)肖像權(quán)人同意。〔24〕著作權(quán)的合理使用中也存在類似的規(guī)則，即營利性地使用他人的作品，肯定不是合理使用；非營利性使用并不一定就是合理使用。參見吳漢東主編：《知識產(chǎn)權(quán)法學(xué)》（第7版），北京大學(xué)出版社2019年版，第103頁（本部分由曹新明撰寫，熊琦改寫和補寫）。當(dāng)然，也存在不同意見，參見北京知識產(chǎn)權(quán)法院（2017）京73民終1068號民事判決書。

在個人信息場景中，企業(yè)收集第三人的信息，應(yīng)認(rèn)定為是以營利為目的。法律上認(rèn)定是否以營利為目的，并不以行為人是否能從其行為中直接獲得經(jīng)濟(jì)利益為標(biāo)準(zhǔn)。只要該行為能為行為人帶來潛在的利益，便可能構(gòu)成以營利為目的。在抖音案等企業(yè)基于商業(yè)上發(fā)展的需要而收集第三人信息的場合，應(yīng)認(rèn)定為滿足“以營利為目的”。

鑒于肖像權(quán)和個人信息都屬于人格權(quán)項下的具體權(quán)益，故二者在合理使用規(guī)則上一般應(yīng)采相似的規(guī)則。據(jù)此，若認(rèn)可企業(yè)以營利為目的收集第三人信息構(gòu)成合理使用，則與我國在肖像權(quán)上將以營利為目的的情形排除在合理使用范圍外的制度選擇，存在體系上的不一致。而肖像權(quán)上的規(guī)則是我國立法已明確表達(dá)出來了的價值選擇，故理論和司法實務(wù)中若要創(chuàng)設(shè)營利為目的場景下的個人信息合理使用，無疑應(yīng)更為慎重。更何況，我國《個人信息保護(hù)法》第13條等條文中所明文列舉的信息處理無需經(jīng)個人同意的情形，都體現(xiàn)出基于公共利益或?qū)π畔⒅黧w意愿的尊重。這事實上也間接否定了營利為目的的場合存在合理使用的可能?！?5〕在抖音案中，法院雖認(rèn)為“被告對個人信息的采集和利用必然會為其商業(yè)運營帶來利益”。但同時認(rèn)為，“個人信息的合理使用并不必然排除出于商業(yè)目的的使用。”遺憾的是，法院并未對此觀點說明理由。參見北京互聯(lián)網(wǎng)法院（2019）京0491民初6694號民事判決書。

綜上，以合理使用正當(dāng)化對第三人信息的收集行為，會存在內(nèi)在體系上的價值選擇不一致和外在體系上的邏輯沖突，且該徑路所體現(xiàn)出的價值取向本就不妥，故不應(yīng)采此路徑。

三、權(quán)利沖突視角下涉第三人信息規(guī)則的證成

既然以合理使用理論作為正當(dāng)化信息處理者收集第三人信息的正當(dāng)性基礎(chǔ)存在諸多不足，那要如何在法律上解釋涉第三人信息的規(guī)則呢？本文此處將論證，權(quán)利沖突理論是更可取的解釋方案。

（一）法律分析視角的轉(zhuǎn)換

采合理使用論者，是從信息處理者與第三人間的關(guān)系角度，對信息處理者的收集行為做法律上的評價。這一觀察的問題在于，沒有繼續(xù)追問為何信息處理者會收集第三人的信息。不可否認(rèn)的是，信息處理者確實是在未經(jīng)第三人同意的情況下，通過讀取個人通訊錄的方式，收集了第三人的信息。但信息處理者之所以要讀取通訊錄，就法律角度而言，是為了履行其與個人間的服務(wù)合同。詳言之，盡管從商業(yè)和現(xiàn)實來看，是信息處理者為了推廣其軟件、發(fā)展其業(yè)務(wù)等目的而希望讀取個人的通訊錄，但處理者的這一心態(tài)在法律上被劃入“動機(jī)”層面，往往并不具有法律上的意義。具有法律意義的，是信息處理者彈框申請讀取通訊錄的“要約”行為和個人點擊同意的“承諾”行為。從信息處理者和個人間的服務(wù)合同來看，信息處理者負(fù)有向個人提供好友推薦等服務(wù)的義務(wù)，而個人負(fù)有向處理者提供其通訊錄信息的義務(wù)。個人履行其提供通訊錄義務(wù)的方式，是通過允許信息處理者讀取其通訊錄的方式來實現(xiàn)?？梢?，從法律的角度而言，與其說是信息處理者未經(jīng)第三人同意收集了其信息，不如說是個人未經(jīng)第三人同意，將其信息提供給了信息處理者。因此，嚴(yán)格而言，不是信息處理者“收集”了第三人的信息，而是個人向信息處理者“提供”了第三人的信息。可見，法律上真正需要評價的行為，與其說是信息處理者的收集行為，不如說是個人的提供行為?！?6〕在個人信息法律問題中，過多地關(guān)注處于“強(qiáng)勢地位”的信息處理者的規(guī)制，忽視個人相互間的法律關(guān)系，是當(dāng)前我國個人信息研究的不足之一，參見王苑：《個人信息保護(hù)在民法中的表達(dá)——兼論民法與個人信息保護(hù)法之關(guān)系》，載《華東政法大學(xué)學(xué)報》2021年第2期，第72-73頁。如果個人有權(quán)在未經(jīng)第三人同意的情況下將通訊錄信息提供給信息處理者，那么所謂的信息處理者收集第三人信息的行為，便不應(yīng)在法律上被否定性評價，否則將出現(xiàn)法律評價上的矛盾。那么，個人能否未經(jīng)第三人同意而向信息處理者提供涉第三人的信息？從表現(xiàn)形式來看，這似乎是一方未經(jīng)許可處分他人之物（或權(quán)利）的行為，即是一個“無權(quán)處分/侵權(quán)”問題。但這一定性并不準(zhǔn)確，因為個人提供的聯(lián)系人信息，既是第三人的信息，同時也是個人自己的信息。即對個人而言通訊錄信息是其個人信息，且屬于敏感個人信息?！?7〕2020年的《信息安全技術(shù) 個人信息安全規(guī)范》國家標(biāo)準(zhǔn)，將“通訊錄”列為“個人敏感信息”。對通訊錄中某一特定聯(lián)系人（第三人）而言，相關(guān)姓名和電話號碼等信息，也是其個人信息。〔28〕嚴(yán)格而言，個人是對通訊錄所體現(xiàn)出的社交關(guān)系信息享有權(quán)利，而非對聯(lián)系人的姓名和手機(jī)號碼等信息享有權(quán)利，但個人的社交關(guān)系信息必然需要通過聯(lián)系人的姓名或手機(jī)號碼等來體現(xiàn)。故個人與第三人間的信息對象重疊不可避免?；谛畔⒅黧w有權(quán)自行決定如何處理其個人信息的規(guī)則，個人和第三人都有正當(dāng)?shù)臋?quán)利來決定其個人信息被如何處理。因此，此處的問題，實質(zhì)上是權(quán)利沖突問題，而非侵權(quán)問題。

權(quán)利沖突與侵權(quán)是兩個性質(zhì)完全不同的法律問題，二者的核心差別，在于合法性的不同?！扒謾?quán)行為是加害人在無任何正當(dāng)依據(jù)（違反法定義務(wù)）的情況下，外在地侵入他人權(quán)利的范圍……權(quán)利沖突是雙方在均具有法律依據(jù)的情況下，因正當(dāng)?shù)匦惺箼?quán)利而陷入對峙與僵局，沖突雙方均沒有突破各自的內(nèi)在權(quán)利界限，更沒有外在地侵入對方的權(quán)利范圍?！薄?9〕彭誠信、蘇昊：《論權(quán)利沖突的規(guī)范本質(zhì)及化解路徑》，載《法制與社會發(fā)展》2019年第2期，第80-81頁。在涉第三人信息場景中，個人與第三人所要處理的個人信息，存在部分重疊。個人希望向信息處理者提供其個人信息，而第三人不同意提供其個人信息，故而發(fā)生權(quán)利沖突。

涉第三人信息場景糾紛的特殊之處在于，該沖突的外在表現(xiàn)，往往是第三人向信息處理者主張權(quán)利，而非向個人主張權(quán)利。一般而言，出現(xiàn)權(quán)利沖突時，訴訟中的雙方當(dāng)事人往往是發(fā)生權(quán)利沖突的當(dāng)事人。但在第三人信息場合，第三人并不是向個人提出主張，要求個人不得向信息處理者提供其信息，而是向信息處理者主張，要求其不得收集（或刪除）其信息。原因或許在于：一方面，基于熟人的考量，第三人不愿與個人“對簿公堂”。更重要的是，第三人若欲實現(xiàn)其權(quán)利（信息不被收集），必須通過信息處理者在技術(shù)上的“配合”才能實現(xiàn)，個人對此無能為力。涉第三人信息糾紛的這一特點在一定程度上誤導(dǎo)了學(xué)界和司法裁判，導(dǎo)致其將論證的思路囿于第三人與信息處理者之間。事實上，第三人與信息處理者間的關(guān)系，取決于個人與第三人間的關(guān)系。無視或未厘清個人與第三人的法律關(guān)系時，不可能真正有效回答第三人與信息處理者的關(guān)系。

（二）第三人提出異議前權(quán)利濫用之否定

個人與第三人間的權(quán)利沖突，發(fā)生在何時呢，是發(fā)生在個人向信息處理者提供其通訊錄信息時，還是發(fā)生在第三人提出異議要求信息處理者刪除信息時？根據(jù)一般原理，權(quán)利沖突的發(fā)生以雙方主體都要求行使權(quán)利為前提，僅僅是雙方都享有權(quán)利并不必然會導(dǎo)致權(quán)利沖突?！凹幢銉身棛?quán)利不能同時實現(xiàn)，也并不意味著必然發(fā)生權(quán)利沖突，因為權(quán)利沖突以雙方行使權(quán)利的主觀意愿為前提條件?！薄?0〕彭誠信、蘇昊：《論權(quán)利沖突的規(guī)范本質(zhì)及化解路徑》，載《法制與社會發(fā)展》2019年第2期，第83頁。比如，在離婚糾紛中，只有雙方都主張對子女的撫養(yǎng)權(quán)時，才會發(fā)生權(quán)利沖突。若一方主張而另一方并不主張撫養(yǎng)權(quán)，則不會發(fā)生權(quán)利沖突。據(jù)此，當(dāng)個人向信息處理者提供通訊錄信息時，第三人往往并不知曉此事，更勿論行使權(quán)利，故此時并不會發(fā)生權(quán)利沖突。需強(qiáng)調(diào)的是，此時也不存在侵權(quán)，因為侵權(quán)的前提之一是行為的違法性（若不承認(rèn)違法性要件，則該要求可體現(xiàn)在行為人違反注意義務(wù)的過錯要件中），盡管個人在行使權(quán)利時完全可能預(yù)見到第三人的意愿并未得到尊重，也并不意味著個人負(fù)有結(jié)果回避的義務(wù)，因為通過行使權(quán)利（提供自己的通訊錄信息）來使自己的利益得到滿足，是權(quán)利的應(yīng)有之義，這與侵權(quán)的本質(zhì)，即行為違法性不符。

真正的難題在于，此時是否存在權(quán)利濫用？〔31〕理論上常將權(quán)利濫用作為侵權(quán)的表現(xiàn)形式之一，嚴(yán)格而言，權(quán)利濫用不同于侵權(quán)，前者是權(quán)利人（濫用者）突破了自己權(quán)利的界限，后者則是行為人無任何正當(dāng)依據(jù)而違反了法定義務(wù)。這取決于個人信息的權(quán)利內(nèi)容和權(quán)利邊界。其中的關(guān)鍵，在于個人是否對信息享有廣泛的積極利用的權(quán)利內(nèi)容。我國目前立法和理論研究多聚焦于個人信息的消極防御內(nèi)容，即通過賦予個人信息權(quán)利來預(yù)防個人的正當(dāng)權(quán)益受到侵害。比如，《個人信息保護(hù)法》第四章“個人在個人信息處理活動中的權(quán)利”所規(guī)定的權(quán)利，如知情、查閱、復(fù)制、更正、刪除等權(quán)利，都主要指向?qū)€人信息的侵害行為。雖然該法第44條提及了個人對其信息的“決定權(quán)”，即“個人對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理；法律、行政法規(guī)另有規(guī)定的除外?！钡b于本條在決定權(quán)后立即作了“有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理”的“補充說明”，表明此處所謂的“決定權(quán)”，主要仍指向?qū)€人信息的侵害行為。

盡管我國立法主要關(guān)注的是個人信息的消極防御內(nèi)容，但立法中確實也賦予了個人對其信息的積極利用權(quán)能，典型是個人信息“可攜權(quán)”?！秱€人信息保護(hù)法》第45條第3款規(guī)定：“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。”就是否要確立可攜權(quán)，立法過程中存在較大爭議。〔32〕肯定意見參見金耀：《數(shù)據(jù)可攜權(quán)的法律構(gòu)造與本土構(gòu)建》，載《法律科學(xué)》2021年第4期，第114-116頁。反對意見參見謝琳、曾俊森：《數(shù)據(jù)可攜權(quán)之審視》，載《電子知識產(chǎn)權(quán)》2019年第1期，第30-39頁。通過的《個人信息保護(hù)法》最終加入了本規(guī)定，表明立法者肯定了個人對其信息享有積極利用的權(quán)利內(nèi)容。

在可攜權(quán)的行使過程中，很可能發(fā)生個人要求轉(zhuǎn)移的信息中包含了涉第三人的信息。事實上，將個人好友信息從一個平臺轉(zhuǎn)移到另一個平臺，正是行使可攜權(quán)的典型場景?！?3〕See Erin Egan, “Data Portability and Privacy: Charting a Way Forward”, https://ec.europa.eu/newsroom/article29/items/611233/en, accessed October 28, 2022.若轉(zhuǎn)換視角，將手機(jī)“視為”一個“信息處理者”，抖音為另一信息處理者，則通訊錄信息從手機(jī)轉(zhuǎn)移至抖音平臺，正是個人行使可攜權(quán)的一種表現(xiàn)。因此，既然立法確立了可攜權(quán)，便意味著此種信息的轉(zhuǎn)移并不需要經(jīng)信息所涉第三人的事先同意，否則可攜權(quán)將在現(xiàn)實中被架空?！?4〕抖音案中，法院認(rèn)為，要求應(yīng)用軟件在讀取手機(jī)通訊錄之前征得每一個通訊錄聯(lián)系人的同意，技術(shù)上可以實現(xiàn)，目前可以采用諸如短信通知、電話詢問等方式。結(jié)合語境，法院此處所謂“短信通知、電話詢問”，應(yīng)是指由信息處理者通知和詢問，而非由個人。若是如此，則這一理解并不妥當(dāng)，因為通過短信或電話方式詢問聯(lián)系人，是以收集到了聯(lián)系人電話號碼等信息為前提，若尚未收集，如何詢問？而一旦收集，便是已發(fā)生未征得同意收集信息，即便事后因聯(lián)系人拒絕而刪除了收集的信息。因此，要求收集前征得第三人同意，并非增加了權(quán)利行使的成本，而是導(dǎo)致該權(quán)利完全無法行使。據(jù)此，可攜權(quán)的正當(dāng)性表明，個人向信息處理者提供涉第三人信息時，是在其權(quán)利范圍內(nèi)正當(dāng)行使權(quán)利，并未構(gòu)成權(quán)利濫用?！?5〕如何處理涉第三人信息時的可攜權(quán)問題，是關(guān)于數(shù)據(jù)可攜權(quán)的文獻(xiàn)中往往會討論到的重要問題之一。將可攜權(quán)的適用范圍限縮于不涉及第三人信息的場合，會大大限制可攜權(quán)制度功能的發(fā)揮，與確立可攜權(quán)的規(guī)范目的相悖，故更可取的選擇是，允許可攜權(quán)適用于涉第三人信息的場合，同時對信息處理者的處理行為作出限制，不得超過個人同意且必要的范圍。See Article 29 Data Protection Working Party, “Guidelines on the Right to Data Portability”, https://about.fb.com/wp-content/uploads/2020/02/data-portabilityprivacy-white-paper.pdf, accessed October 28, 2022.

綜上，個人向信息處理者提供信息是個人在正當(dāng)行使自己的信息權(quán)利。此時既無權(quán)利沖突，也無權(quán)利濫用，更無侵權(quán)。第三人在此時往往并不知曉其信息被提供，故此時往往也并不會發(fā)生糾紛。

（三）第三人提出異議后權(quán)利沖突之適用

真正發(fā)生糾紛的，是第三人知曉后，不同意個人將其信息提供給信息處理者時（現(xiàn)實中多表現(xiàn)為不同意信息處理者收集其信息，并要求刪除其信息），法律上要如何處理。此時，個人和第三人間的權(quán)利行使無法同時得到滿足，即出現(xiàn)了權(quán)利沖突。那么，應(yīng)如何化解這一沖突？就此，分析如下。

首先，我國法律并未就此沖突給出制度安排。至今為止，我國立法從未直接處理過個人信息場景下個人與第三人間的法律關(guān)系問題。能間接聯(lián)結(jié)二者關(guān)系的，是個人與信息處理者的關(guān)系，尤其是個人信息的刪除權(quán)和決定權(quán)。（1）關(guān)于刪除權(quán)，《民法典》第1037條第2款規(guī)定：“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權(quán)請求信息處理者及時刪除?！痹谏娴谌藞龊?，信息處理者是“合法”地從個人處收集了第三人信息，也未與第三人間有合同關(guān)系，故本款無法適用。〔36〕就理論而言，比較法上的被遺忘權(quán)亦無法適用，因為其可被刪除權(quán)所包含，參見韓旭至：《信息權(quán)利范疇的模糊性使用及其后果——基于對信息、數(shù)據(jù)混用的分析》，載《華東政法大學(xué)學(xué)報》2020年第1期，第91-92頁?！秱€人信息保護(hù)法》第47條也規(guī)定了個人可以要求信息處理者刪除其信息的五種情形，包括個人撤回同意、個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息等。這些列舉的情形都與涉第三人場合不符。故刪除權(quán)無法適用于涉第三人信息場合。（2）關(guān)于決定權(quán)，《個人信息保護(hù)法》第44條賦予了信息主體一般意義上的“決定權(quán)”，即“有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理”。但問題是：一方面，該決定權(quán)是否包含可由個人自由決定的隨時可要求刪除信息的權(quán)利，不無疑問。詳言之，在法律已規(guī)定了個人有權(quán)要求刪除的具體情形后，就刪除糾紛，似應(yīng)優(yōu)先適用具體的規(guī)定，而非適用一般性的決定權(quán)條款。另一方面，即便信息主體享有寬泛的決定權(quán)，也無法徑直得出第三人可要求信息處理者刪除其信息的結(jié)論，因為第三人和個人都對信息享有決定權(quán)。因此，決定權(quán)也無法作為第三人要求信息處理者刪除信息的依據(jù)。

其次，鑒于我國并無解決權(quán)利沖突的直接規(guī)定，故對此問題的解決，需依權(quán)利沖突的一般原理加以展開。權(quán)利沖突的解決方式主要有二：一是權(quán)利間的相互讓步；二是權(quán)利的超越與補償。前者指對權(quán)利沖突所指向的正當(dāng)利益進(jìn)行重新分配，使雙方分別享有權(quán)利的部分利益，即權(quán)利主體對各自權(quán)利的不完全實現(xiàn)；后者指一項權(quán)利超越與之對立的另一項權(quán)利，并由勝出的一方權(quán)利人實際行使權(quán)利，且往往需就此向被超越的一方予以補償，即超越的一方通過補償來“買斷”對方的權(quán)利?！?7〕參見彭誠信、蘇昊：《論權(quán)利沖突的規(guī)范本質(zhì)及化解路徑》，載《法制與社會發(fā)展》2019年第2期，第84-87頁。采權(quán)利相互讓步方案的條件之一，是沖突所涉及的利益具有可分性。但在涉第三人信息場合，雙方因信息部分重疊而發(fā)生沖突，該利益不具有可分性，故權(quán)利讓步方案無法適用，唯一可能的方案是權(quán)利超越。

最后，問題的關(guān)鍵是，個人與第三人的信息權(quán)利，何者應(yīng)該超越對方？就此，可能的論證途徑包括：確定權(quán)利位階〔38〕參見張平華：《權(quán)利位階論——關(guān)于權(quán)利沖突化解機(jī)制的初步探討》，載《法律科學(xué)（西北政法學(xué)院學(xué)報）》2007年第6期，第35-43頁。、確定利益位階〔39〕參見劉作翔：《權(quán)利沖突的幾個理論問題》，載《中國法學(xué)》2002年第2期，第62-70頁。、經(jīng)濟(jì)分析〔40〕參見蘇力：《〈秋菊打官司〉案、邱氏鼠藥案和言論自由》，載《法學(xué)研究》1996年第3期，第67-76頁。、利益衡量和價值選擇〔41〕參見王克金：《權(quán)利沖突論—— 一個法律實證主義的分析》，載《法制與社會發(fā)展》2004年第2期，第58-61頁。、競爭法則〔42〕參見彭誠信：《從法律原則到個案規(guī)范——阿列克西原則理論的民法應(yīng)用》，載《法學(xué)研究》2014年第4期，第103-107頁。，等等。這些論證途徑雖然名義不同，但在實質(zhì)考量因素方面，其實往往交織在一起。〔43〕參見余厚宏：《人類胚胎基因編輯中的權(quán)利沖突解析》，載《交大法學(xué)》2021年第4期，第87-93頁。故在具體的案件中，這些論證所得出的結(jié)論，往往相似。同時，鑒于數(shù)字社會治理邏輯的重大變化，〔44〕關(guān)于數(shù)字社會治理邏輯的深刻闡釋，參見馬長山：《數(shù)字社會的治理邏輯及其法治化展開》，載《法律科學(xué)（西北政法大學(xué)學(xué)報）》2020年第5期，第5-10頁。且涉第三人信息的場景多樣，故本文無意在多種論證途徑中做選擇，并就多樣的場景分別展開分析。而是僅就抖音案所涉的社交場景，將考量還原到最底層，即生活事實層面，做簡要說明。從實踐情況來看，社交軟件在隱私中往往會提供一個選項：允許或不允許他人通過手機(jī)號碼找到我?！?5〕比如，微信軟件（8.0.11版）的“我—設(shè)置—隱私—添加我的方式—可通過以下方式搜索到我：微信號、手機(jī)號、QQ號”項下，可決定他人能否通過手機(jī)號找到我。類似的，抖音軟件（17.5.0版）的“我—設(shè)置—隱私設(shè)置—推薦給可能認(rèn)識的人—打開或關(guān)閉”項下，提示為：“關(guān)閉后，不會因為你們可能認(rèn)識或?qū)Ψ酵ㄓ嶄浿写鎯α四愕氖謾C(jī)號碼，而將你和你的內(nèi)容推薦給對方。此外，你的朋友也不再因為你而被推薦給你的其他朋友?！边@意味著，用戶可以拒絕自己的信息被匹配后，被推薦給其他人。若這是被公眾普遍認(rèn)可的合理做法，便意味著，第三人拒絕信息被提供的權(quán)利，應(yīng)超越個人向信息處理者提供通訊錄中該第三人信息的權(quán)利。雖然生活中的普遍做法無法直接證成法律規(guī)則上的應(yīng)然選擇，但基于法律對常情的尊重，〔46〕常情在法律上的意義，參見姚建宗：《法律常識的意義闡釋》，載《當(dāng)代法學(xué)》2022年第1期，第78頁。似可得出結(jié)論：在推薦好友的場景中，第三人的信息權(quán)利應(yīng)超越個人的信息權(quán)利。

在第三人信息權(quán)利超越個人信息權(quán)利的前提下，需進(jìn)一步明確相應(yīng)的法律后果。就此，說明如下。（1）個人的信息權(quán)利被超越，并不意味著其權(quán)利被廢除、消滅或自始不存在，而只是在承認(rèn)雙方權(quán)利正當(dāng)性的前提下，確認(rèn)由勝出的一方實際行使權(quán)利，被超越的一方權(quán)利人作出讓步，即負(fù)有容忍義務(wù)。容忍義務(wù)意味著“某人有義務(wù)不提反對或異議，這種反對或異議是他本來有權(quán)提出的；對一個行為，本來就不能或不可阻止，就無所謂容忍了。”〔47〕［德］卡爾?拉倫茨：《德國民法通論》（上冊），王曉曄等譯，法律出版社2013年版，第269頁。（2）個人和信息處理者都無需就第三人提出異議前的行為，對第三人承擔(dān)責(zé)任，因為其行為并無不當(dāng)。相反，根據(jù)權(quán)利沖突一般原理，超越的一方（第三人）應(yīng)對被超越的一方（個人）予以經(jīng)濟(jì)補償，如此才能彰顯權(quán)利作為受保護(hù)的正當(dāng)利益的本質(zhì)屬性?！?8〕彭誠信、蘇昊：《論權(quán)利沖突的規(guī)范本質(zhì)及化解路徑》，載《法制與社會發(fā)展》2019年第2期，第85頁。只是，因此種場景中信息的經(jīng)濟(jì)利益較小，且實務(wù)中個人也鮮有因此去起訴第三人，故這一經(jīng)濟(jì)補償僅具理論上的說明意義。（3）在第三人提出異議后，若信息處理者未及時采取刪除等措施，則需就此對第三人承擔(dān)侵權(quán)賠償責(zé)任。在第三人異議后，個人的權(quán)利被超越，此時個人產(chǎn)生了容忍義務(wù)，即不得繼續(xù)向信息處理者提供第三人的信息。所謂不再繼續(xù)提供，因個人在技術(shù)上無法刪除信息處理者所存儲的信息，故實務(wù)中表現(xiàn)為由信息處理者刪除第三人的信息。若信息處理者未予刪除，應(yīng)承擔(dān)侵權(quán)賠償責(zé)任。〔49〕這并不意味著，在訴訟上，個人與信息處理者必須作為必要共同訴訟人。第三人以信息處理者為被告時，個人在訴訟上應(yīng)是無獨立請求權(quán)的第三人，可由法院決定是否要求參加訴訟。（4）第三人提出異議的請求權(quán)基礎(chǔ)，并不是《個人信息保護(hù)法》第47條關(guān)于刪除權(quán)利的規(guī)定，而是第44條關(guān)于決定權(quán)的規(guī)定。（5）信息處理者因第三人的要求刪除其信息后，無需因無法向個人完整提供好友推薦服務(wù)而對個人承擔(dān)違約責(zé)任，因為是個人自身無法再提供第三人信息。

（四）權(quán)利沖突與合理使用的比較

為更清晰展示本文所采的權(quán)利沖突徑路的特點，可將其與抖音案中法院所采的合理使用徑路，作一比較。二者在客觀效果上都有助于說明信息處理者在未經(jīng)第三人同意時，是否可以收集其信息。但二者在思考路徑和諸多法律規(guī)則上則完全不同。

第一，關(guān)注的法律關(guān)系不同。合理使用是以第三人和信息處理者間的法律關(guān)系作為分析的對象，并從信息處理者的視角出發(fā)，考慮其收集行為的正當(dāng)性?！?0〕以用戶和信息處理者間的利益平衡角度來考慮問題的解決方案，是學(xué)界最常見的思路。參見江波、張亞男：《大數(shù)據(jù)語境下的個人信息合理使用原則》，載《交大法學(xué)》2018年第3期，第109-113頁。權(quán)利沖突理論，是以個人和第三人間的法律關(guān)系為分析的對象，信息處理者并非分析的重點，因為其主要是起到個人與第三人之間“中介”的作用，是根據(jù)二者的意愿來采取相應(yīng)的行為。信息處理者行為的正當(dāng)與否，主要取決于個人與第三人間法律關(guān)系分析的結(jié)果。

第二，對行為的法律評價不同。關(guān)于合理使用的性質(zhì)，“雖然多數(shù)國家的著作權(quán)法將合理使用作為一種‘權(quán)利的限制’來規(guī)定，但在學(xué)理上，人們對合理使用的性質(zhì)并未達(dá)成一致認(rèn)識。目前，較有影響的觀點有‘權(quán)利限制說’‘侵權(quán)阻卻說’和‘使用者權(quán)利說’?！薄?1〕《知識產(chǎn)權(quán)法學(xué)》編寫組：《知識產(chǎn)權(quán)法學(xué)》，高等教育出版社2019年版，第77頁（本部分由李雨峰撰寫）。我國《著作權(quán)法》將合理使用規(guī)定在第二章（著作權(quán)）第四節(jié)（權(quán)利的限制）下，故若采“權(quán)利限制說”，則意味著：個人信息的權(quán)利內(nèi)容中并不能涵蓋信息處理者對其信息的收集。若采“侵權(quán)阻卻說”，意味著收集行為本是違法行為，同時也會“傳導(dǎo)”到個人允許信息處理者讀取其通訊錄的行為也本應(yīng)是違法行為。權(quán)利沖突理論下，個人與第三人都有權(quán)利決定如何處理其信息。故個人向信息處理者提供通訊錄信息，信息處理者的收集行為，以及第三人不同意信息處理者收集其個人信息，皆有正當(dāng)性基礎(chǔ)。雖然一方的權(quán)利行使，會給另一方行使權(quán)利造成障礙，但這并不意味著行使權(quán)利一方的行為違法。在權(quán)利沖突時，最終第三人權(quán)利超越了個人權(quán)利，但法律上并不因此而對個人超越之前的行為作出否定性評價。

第三，解釋力的廣度不同。合理使用僅處理第三人與信息處理者間的關(guān)系，這導(dǎo)致其在理論的解釋力上存在“盲區(qū)”，引發(fā)了其他理論難題。比如，合理使用試圖論證信息處理者未經(jīng)第三人同意而收集其信息的正當(dāng)性，但卻難以回答，為何在第三人提出異議后，信息處理者應(yīng)刪除其信息。因為既然是合理使用，即其正當(dāng)性基礎(chǔ)在于因?qū)怖娴目紤]而限制私主體的權(quán)益，那么該使用行為便與第三人的意愿無關(guān)，不會因第三人異議與否而發(fā)生變化。

抖音案中，法院為了得出抖音在原告提出刪除請求后，負(fù)有刪除信息的義務(wù)，給出了牽強(qiáng)的理由。法院認(rèn)為，抖音對原告姓名和手機(jī)號碼的使用可以細(xì)化為讀取、存儲、匹配和推薦。其中，讀取、匹配和推薦行為是實現(xiàn)社交功能常見和必要的步驟，構(gòu)成合理使用。但存儲行為并非實現(xiàn)社交功能所必須，超過了處理個人信息的必要原則，故不構(gòu)成合理使用。法院的這一說理會面臨諸多質(zhì)疑。在抖音讀取通訊錄信息且沒有匹配成功后，若抖音不能存儲聯(lián)系人信息，那么要如何做到一旦聯(lián)系人注冊了抖音賬戶后，能向個人推薦該好友？是隔三差五地重讀通訊錄嗎？如果允許抖音不斷讀取通訊錄，那與將第一次讀取的通訊錄信息一直存儲，在對通訊錄信息的保護(hù)程度方面，又有何實質(zhì)性的差別？讀取、存儲、匹配和推薦，應(yīng)是實現(xiàn)推薦好友功能而一體的行為，很難在法律上將它們區(qū)別對待。

其實，法院這一說理真正想要解決的問題是在第三人要求抖音刪除其信息時，如何論證抖音有刪除的義務(wù)。由于合理使用法律后果的“剛性”，一旦將第三人提出要求前抖音的收集、存儲和匹配等行為解釋為構(gòu)成合理使用，便難以再要求信息處理者在第三人提出要求后負(fù)有刪除的義務(wù)。為了正當(dāng)化信息處理者的刪除義務(wù)，法院選擇了將第三人提出刪除請求前和提出請求后的所有情形，都納入不構(gòu)成合理使用的范圍。這才導(dǎo)致了法院在將讀取、匹配、推薦都認(rèn)定為合理使用行為的同時，卻又將存儲行為認(rèn)定為并非合理使用。若采權(quán)利沖突理論，則上述問題可迎刃而解。在第三人提出刪除要求前，個人是在正常行使自己的個人信息權(quán)利，向信息處理者提供通訊錄信息，并要求其存儲、匹配和推薦好友。此時，既不應(yīng)認(rèn)為第三人同意了，也不應(yīng)認(rèn)為第三人否定了個人對其信息的處理，而是應(yīng)認(rèn)為第三人未對是否行使其信息權(quán)利作出表示。當(dāng)?shù)谌俗鞒霾煌庑畔⒈恍畔⑻幚碚呤占谋硎荆ㄆ鋵嵸|(zhì)是不同意個人向信息處理者提供其信息）后，法律上第三人的信息權(quán)利應(yīng)超越個人的信息權(quán)利，此時個人對其信息權(quán)利的行使便受到限制，不得向信息處理者提供第三人信息，而因為個人在技術(shù)上無法刪除信息處理者所存儲的信息，故信息處理者負(fù)有刪除信息的義務(wù)。

最后，也對權(quán)利沖突和默示許可〔52〕默示許可是知識產(chǎn)權(quán)領(lǐng)域的常用術(shù)語，個人信息領(lǐng)域也被稱為“默示同意”，參見劉雙陽：《“合理處理”與侵犯公民個人信息罪的出罪機(jī)制》，載《華東政法大學(xué)學(xué)報》2021年第6期，第64-65頁。作一比較。默示許可也是一種可能的解釋涉第三人信息糾紛的理論徑路。依“選擇退出”默示許可理論，推定第三人同意個人向信息處理者提供并處理其信息，除非第三人明確表示反對?！?3〕關(guān)于“選擇退出”默示許可，參見王國柱：《著作權(quán)“選擇退出”默示許可的制度解析與立法構(gòu)造》，載《當(dāng)代法學(xué)》2015年第3期，第106-112頁。默示許可解釋上的不足在于，其推定第三人同意，在很多情況下與客觀事實不符。因為第三人多數(shù)時候并不是同意了，而是其對自己信息被處理一無所知。盡管就抽象而言，第三人可以預(yù)見到自己的信息可能會被他人提供給信息處理者，但這一抽象意義上的同意實在過于寬泛。因此，在解釋上將第三人認(rèn)定為權(quán)利沖突中的第三人既未同意也未否定對其信息的處理，而非推定其同意，與客觀事實更相符。

四、結(jié)語

信息的特點在于傳遞和共享，故某一信息同時涉及多個主體是生活中的常態(tài)，這本是生活中習(xí)以為常的現(xiàn)象。但隨著個人信息權(quán)益的提出和強(qiáng)調(diào)，以及我國法律對寬泛的個人信息權(quán)益的確認(rèn)和保護(hù)，信息主體間的權(quán)利沖突必將成為這個時代廣泛出現(xiàn)的現(xiàn)象。

本文旨在厘清信息主體權(quán)利沖突糾紛的基本法律原理。為聚焦論證，本文以抖音案所體現(xiàn)的社交軟件場景為中心，以讀取通訊錄信息這一“提供/收集”行為為例，展示了在第三人提出異議前和異議后，相關(guān)行為的法律性質(zhì)。本文所提出的以權(quán)利沖突理論來解釋涉第三人信息的法律規(guī)則，雖是以“提供/收集”行為為例，但這些論證對其他信息處理行為也基本成立。因為只要信息處理者的處理行為是為向個人提供服務(wù)所必要，則信息處理者的行為是否正當(dāng)都會取決于個人與第三人間權(quán)利沖突后的法律后果。當(dāng)然，若處理行為并非向個人提供服務(wù)所必要，則處理者的行為有悖于信息處理中的“必要”原則，其行為對個人而言是非法，對第三人而言則更是沒有法律依據(jù)?！?4〕比如，信息處理者不能將從多個用戶處所收集到的信息進(jìn)行加工，拼湊出第三人的社交關(guān)系網(wǎng)絡(luò)。平臺對第三人信息的處理，應(yīng)嚴(yán)格以為個人提供服務(wù)所必要為限。See Article 29 Data Protection Working Party, “Guidelines on the Right to Data Portability”,https://about.fb.com/wp-content/uploads/2020/02/data-portability-privacy-white-paper.pdf, accessed October 28, 2022.

在抖音案中，法院從信息處理者的視角出發(fā)，以合理使用制度來論證信息處理者行為的正當(dāng)性，是問錯了問題，開錯了藥方。問題的關(guān)鍵，并不是信息處理者與第三人的法律關(guān)系，而是個人與第三人的法律關(guān)系。法律需重點評價的，并不是信息處理者對第三人信息的“收集”行為，而是個人對信息處理者的“提供”行為。我們不可能在未厘清乃至無視個人與第三人間法律關(guān)系的情況下，成功厘清信息處理者與第三人的法律關(guān)系。同時，本文也提醒，對信息/數(shù)據(jù)問題的分析，不應(yīng)將視野局限于用戶和信息處理者之間，也應(yīng)注意到不同用戶間也可能出現(xiàn)相互沖突的訴求。希望本文提出的權(quán)利沖突理論徑路，能為此類案件的有效解決，乃至我國涉第三人信息法律規(guī)則的構(gòu)建，有所啟迪！