【条文主旨】
本条是关于个人信息处理活动中有效同意的规定。
【条文理解】
本条是个人信息处理在符合需要取得个人信息主体同意的条件下,应当满足的同意行为的基本构成要件。同时,对于需要取得个人单独同意和重新取得个人同意的情形,也应遵循本条的相关规定。在适用情形表述上,由《个人信息保护法(草案二次审议稿)》的“处理个人信息的同意”调整为本条“基于个人同意处理个人信息的”,强调的是在各类处理个人信息合法行为中,仅聚焦适用获取个人同意的这一类情况,进行针对性规定,表述更加合理、严谨。
一、告知同意规则的法理基础与适用范围
(一)告知同意规则的法理基础
在个人信息保护法中,告知同意之所以被认为是基本规则,具有极为重要的地位,根本原因在于:个人信息是可直接或间接识别特定自然人的信息,与自然人的人格尊严和人格自由息息相关,为了保护人格尊严和人格自由这一最高位阶的法益,自然人对其个人信息享有受到法律保护的民事权益。我国《
民法典》明确承认了自然人的个人信息权益,赋予了自然人对其个人信息享有作为民事权益的人格权益。这就意味着其他人需要尊重该权益且不得侵犯它。进入个人信息处理领域,个人信息绝不能任由他人使用,而应当确立自然人对其个人信息的控制权。因为个人信息是能够单独或者与其他信息结合识别特定自然人的信息,该信息上就已经存在特定自然人的受法律保护的民事权益,对个人信息的处理行为(无论是基于营利目的还是行政管理目的等)会产生侵害自然人的人格尊严和人身财产等民事权益的风险。正因如此,我国《个人信息保护法》坚持了告知同意规则,并将其作为个人信息处理中应遵循的基本原则加以凸显。原则上,任何人都不得侵害他人的民事权益,但民事主体可以对自己的权益进行合法的处分,既包括自行处分,也包括在不违反法律强制性规定和公序良俗原则的前提下同意他人对自己民事权益的处分。作为个人信息处理行为的基本规范,告知同意规则对个人信息处理行为进行了限定,它是判断个人信息处理行为合法与否的基本规则,在个人信息处理规则的构建中发挥了重要的作用。[1]
实际上,告知同意规则为全球范围内的个人信息保护立法普遍适用。20世纪70年代,国际社会关于个人信息保护的基本原则和理念初步形成。1970年,欧洲的第一部个人信息保护立法《德国黑森州信息法》便将告知同意原则作为个人信息收集原则予以确定。1973年,美国政府成立的“关于个人数据自动系统的建议小组”发布“公平信息实践准则”报告,五项准则中便包含告知同意原则的内容,该准则在此后美国个人信息保护立法中具有关键性作用,基本确立了美国个人信息保护的基本框架,此后《美国公平信用报告法》《美国儿童网络隐私保护法》等立法中均沿用了告知同意原则。除此之外,瑞典、奥地利、丹麦等国均在本国个人信息保护的法律文件中作出类似规定。虽然对于“告知-同意”模式的质疑与批判不绝于耳,[2]但至今仍为各国广泛采用,究其原因,乃是其标准化的模式无论对于用户还是信息处理者而言均为成本最小化的解决方式。因此,《个人信息保护法》借鉴国际经验并立足我国实际,紧紧围绕规范个人信息处理活动、保障个人信息权益,构建了以“告知-同意”为核心的个人信息处理规则。
(二)告知同意规则的适用范围
并非在所有情形下均有告知同意规则的适用。《个人信息保护法》第13条确定了个人信息处理者处理个人信息的多元化合法性基础。而“知情同意”只是第13条所确定的合法性基础之一。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有第13条第1款第2项至第7项规定情形的,不需取得个人同意。由此可知,并非在所有的情形下,均有告知同意规则的适用。在法定情形下,处理个人信息不需取得个人同意。需要注意的是,同意规则在法定情形中不适用,并不等于告知规则就不适用。也就是说,处理者基于法律、行政法规规定的情形处理个人信息,即便不需要取得个人的同意,此时仍然要履行告知义务。
二、同意的性质
关于同意的概念,不同国家和地区的规定不尽相同。例如,GDPR第4条第11款将“数据主体的同意”(consent?of?the?data?subject)界定为数据主体依其个人意愿而自由、明确、知情且清晰地通过陈述或积极行为就与其相关的个人数据的处理作出的同意。[3]2018年《巴西通用数据保护法》第5条第12款规定,同意,是指数据主体同意为特定目的处理其个人数据自由、知情和明确的声明。我国台湾地区“个人资料保护法”第7条第1~2款规定:第15条第2款及第19条第1款第5项所称同意,指当事人经搜集者告知本法所定应告知事项后,所为允许之意思表示。第16条第7款、第20条第1款第6项所称同意,指当事人经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后,单独所为之意思表示。
关于同意的法律性质,学界认识不一,主要存在如下三种观点:
一是意思表示说。该学说认为,同意本身是自然人作出的意思表示,《民法典》总则编关于意思表示的规定完全可以适用于自然人就个人信息处理所作出的同意。故此,自然人因欺诈、胁迫或重大误解而作出的意思表示,是可以撤销的意思表示。
二是违法阻却事由说。该说认为,个人信息处理中信息主体的同意属于免责事由或违法阻却事由,而非意思表示。处理者对自然人的个人信息进行收集、存储、使用、加工、传输、提供、公开等处理行为,客观上就构成对自然人的个人信息权益的侵入或干扰,违反了法秩序,具有(暂时认定的)非法性。要排除这种非法性,就必须具备法律上的正当性。在《个人信息保护法》上,此种正当性要么来自个人的同意,要么来自法律、行政法规的规定即法定的许可,二者构成了全部个人信息处理的法律基础。作为个人信息权益的所有者的个人,可以对自己的权益进行合法的处分,其可以自行处分,也可以同意他人对自己的民事权益的处分。因此,在得到民事权益所有者的同意后,被同意者实施的客观上侵害他人民事权益的行为,对于同意者而言,不构成侵害。同时,法律、行政法规也可以基于促进个人信息的合理利用、维护公共利益和国家利益等理由而特别规定,某些情形下不需要取得个人的同意就可以处理其个人信息。[5]
三是双重属性说。该说认为,同意具有双重属性,一方面它是侵权法上阻却违法的事由,另一方面它又是法律行为。[6]之所以有双重属性,是因为在合同领域与侵权领域中,同意有不同的含义。在侵权领域中,“同意”作为侵权法上的免责事由可归入“受害人同意”的范畴,在构成要件上包括必须有明确具体的内容、受害人须具有同意能力、同意必须真实自愿、加害人必须尽到充分的告知说明义务;在合同领域中,同意可能成为相关合同给付内容的一部分,因此当事人须具备相应的行为能力。[7]持双重属性说的学者,主要是从个人信息既存在消极防御的问题,也存在积极利用的问题角度出发来认识同意的性质,即从消极防御的角度说,同意就是违法阻却事由,而从积极利用的层面看,同意就是个人在授权他人商业利用个人信息。[8]
关于同意的法律性质,上述学说均有一定道理。那么,我国《个人信息保护法》对同意的性质是如何界定的呢?根据《个人信息保护法》第14条第1款的规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。从上述规定看,立法并未明确“同意”的性质。但是,《个人信息保护法(草案)》第14条第1款前句曾规定“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示”。可见,立法机关曾将个人的同意界定为意思表示。但是,《个人信息保护法(草案二次审议稿)》删除了“意思表示”一词,将该句改为“处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出”。从上述起草过程看,立法机关基于一定考量,回避了对“同意”性质的界定。
我们倾向认为,个人信息处理活动的“同意”,不完全等同于传统民法中的意思表示,二者既有区别也有联系。首先,综观各国立法,个人信息领域的“同意”有着其特殊的适用规则,如通行的“撤回同意”规则,不同于意思表示的“撤回”和“撤销”,不能用传统的民法理论进行严格意义上的逻辑推演。其次,我国《民法典》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”尽管此处并未规定个人信息的许可使用,但从体系解释上看,第993条属于人格权编的一般规定,对于个人信息也可适用。许可使用又是典型的意思表示行为。因此,对《个人信息保护法》中的“同意”的解读既不能脱离意思表示,又不能完全适用意思表示的相关规则,如胁迫、欺诈的可撤销。而违法阻却事由说,则从侵权的角度对个人信息中的“同意”进行相对周延的解读。
三、同意的实质要件
关于同意的要件,不同国家的规定不尽相同。比如,GDPR第4条第11款规定了有效同意必须具备四个要件:(1)自由作出的(Freely?Given);(2)具体的(Specific);(3)被告知的(Informed);(4)明确的(Unambiguous)。这一标准被认为提高了有效同意的门槛,欧盟的数据保护机构也倾向于严格解释这四项标准。以违反“自由”(“Freely?Given”)要件为例,欧盟将此类同意认定为无效同意。欧盟数据保护委员会(EDPB)举了一个例子:一个网站的首页什么都不显示,只显示cookeis信息。除非点击“我同意”,不然用户看不到网站信息。这种情况用户即便点击了“我同意”,也不是“Freely?Given”,因为用户没有真正地选择,除了同意外,看不到网站内容,这是不合规的。《巴西通用数据保护法》第8条规定:本法第7条第Ⅰ项所规定的同意,应当以书面方式或者其他能够证明数据主体表现意愿的方式提供。(1)如果同意是以书面形式提供的,它应区分于其他合同条款,并单独、重点显示。(2)控制者有责任证明已依照本法取得同意。(3)如果同意有瑕疵,禁止处理个人数据。(4)同意应为了特定目的而作出。为处理个人数据获取的一般授权应为无效。(5)只要不作出根据本法第18条第Ⅵ项规定的删除请求,同意可以通过便捷和免费的流程,随时被数据主体明确表示撤回,这是对基于先前同意而作处理的矫正。(6)如果本法第9条第Ⅰ~Ⅲ项或者第Ⅴ项所涉及的信息发生变更,数据控制者应当通知数据主体,尤其应告知其所变更的内容。在这种情况下,数据主体的同意是必须的,如果数据主体不同意该等变更,其可以撤回同意。可见,巴西也非常重视同意是否有瑕疵,如果有瑕疵,则为无效同意,禁止处理个人数据。根据我国《个人信息保护法》第14条规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。根据本条规定,有效的同意应当具备如下要件:(1)同意是个人在充分知情的前提下作出的;(2)同意是真实自愿的;(3)同意是明确具体的。
首先,同意是个人在充分知情的前提下作出的。知情是同意的内在规范要求,同意的前提是信息控制者的充分告知,只有充分了解同意所针对的内容,权利人才能作出有效的同意。在明确了知情要素的基本要求后,还必须正确判断信息控制者是否尽到了告知义务,即其所提供的资讯是否足以使信息主体知情。GDPR第12条要求:信息控制者提供的资讯应简洁、透明、易懂并容易获取,语言应清XXX白。信息应以书面形式或通过其他手段提供,包括在适当情况下通过电子手段提供。当数据主体请求时,信息可以口头方式提供,但该数据主体的身份应通过其他手段证实。该条提供了两个判断标准,可以从两个方面对信息控制者的告知进行判断。一是资讯的可理解性,即其提供的信息内容都应通俗易懂且清晰、不使用专业术语,能够为一般用户所理解。二是提供资讯的形式,这对判断当事人是否知情而言是至关重要的指标。即该条原则上要求采取书面或电子形式,口头形式只有在信息主体请求时才被允许。我国《个人信息保护法》第17条同样也规定了个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知事项。从该条来看,我国只规定了告知的可理解性,并未要求书面或电子形式,关于信息处理者的告知义务范围,[9]主要包括:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。
其次,同意必须是个人自愿作出的。取得个人同意,可以理解为个人信息处理者处理个人信息的目的、方式等获得了相应个人信息主体的肯定、允许或认可。结合前文所述,如果从意思表示的角度看,只有同意是在个人充分知情的前提下自愿、明确作出,这个同意才能被认定为个人的真实意思表示,从而认定个人信息处理者基于该同意处理个人信息的行为是合法有效的。如果从违法阻却事由的角度看,作为处理个人信息合法性基础的同意亦必须真实、自由作出,方才构成有效的违法阻却事由。在判断同意的表达是否自由的问题上,比较法上有具体的规定。在欧洲法上,GDPR在对同意的定义中明确将“自由作出”作为第一实质要素。根据GDPR第7条的规定,当评估同意是否是自愿作出时,应尽最大限度地考虑合同的履行包括服务的提供是否以基于不必要的同意个人数据处理为条件。“鉴于条款”第43项中进一步说明:为确保同意是自愿作出的,在特定情形下,数据主体与控制者之间是不平等的,特别是当控制者是公权力一方且基于特定情形下予以考虑的所有条件认为同意不可能是自愿作出的,该同意并不能成为该特定情形个人数据处理的有效法律依据。如果不允许对不同的个人数据处理操作分别作出同意,尽管这对于个别案例来说是恰当的,或者尽管同意并不是合同履行的必要条件。因此,当事人的地位是否平等,不提供信息是否会对数据主体带来实质上的不利益,同意是否是合同履行的条件甚至是对待给付的内容,这些都会影响对同意自愿性的判断。欧洲法对“自愿作出”的规范逻辑,重在强调“尽最大限度地考虑合同的履行包括服务的提供是否以基于不必要的同意个人数据处理为条件”。因此,在网络服务合同关系中,判断同意是否自由作出的问题可以转化为如何去解释提供相关的个人信息是否属于“合同履行之必要”。
最后,同意必须是明确具体的。明确的同意并不意味着一定需要有书面和签字盖章的声明,甚至可以是口头的声明,但必须针对数据处理有特定、清楚的表示。有学者提出,“明示同意”在规范要求上恰恰处在欧洲法的“同意”和“明确同意”之间。明示同意与默示同意相对应,指的是以肯定性动作的方式表示同意;而明确同意指的是由明确的行为表达出来的同意,该行为应当是具体的和表达性的。就同意的表达形式而言,有意见认为,明确同意应包括明示同意,即明确同意不仅要求该同意是以明示方式作出的,而且强调同意的内容是特定的,而不能是模糊宽泛的。有意见认为,应当明确在网络服务领域沉默(不作为)以及默示勾选的对话框不能构成同意。这是因为以默示方式作出的同意往往被推断为不明确和模糊的,默示同意实际上背离了知情同意规则。[10]如果从意思表示的角度看,个人信息保护中明示同意、默示同意甚至以沉默方式的同意也应遵循相关规范界定,尤其是沉默仅在法律规定、当事人约定或者符合当事人之间的交易习惯时才可以视为意思表示。[11]沉默在现行法上本就是意思表示例外的表达方式,因此,个人信息保护中的同意原则上也不能以沉默的方式作出。同时,有效的同意必须具体,即应清楚而精确地指明信息处理的范围和后果。若某一信息处理活动的范围和后果无法限定,则该同意对其并不适用。所以从这个意义上来讲,同意的适用情形是有限度的。同意必须针对信息处理的各个方面而作出,所以其所指必须明确,这些方面主要包含将要处理哪种类型的信息以及为何种目的而处理。如果不同的信息处理已经为信息当事人所合理期待,则原则上信息控制者只需就这类处理征求一次同意便已足够。相反,在不同的信息处理无法为信息当事人所合理期待时,信息控制者应当就每一信息处理行为征得信息主体的同意。可见,具体作为同意有效的要素之一,其向信息处理者施加了分别征求信息主体同意的义务,保障了信息主体对其个人信息的控制权,便于当事人真正行使其信息自决权。在比较法上,这一点也有所体现,根据GDPR的规定,如果数据控制者要基于其他新的目的处理数据,除非有其他合法性基础,否则必须寻求数据主体进一步的同意,而且不同处理目的之间要求一定的间隔尺度。在这一点上,欧洲法上还进一步要求,数据处理者要就每个特定目的的数据处理告知数据主体相关的信息,以征得后者就每项处理事实的同意,如此确保数据主体能清楚意识到不同选择下会带来的具体影响。
四、同意的类型
(一)单独同意
单独同意区别于一般同意,单独同意实际上属于一种特别同意。“单独同意”,是指在处理特殊的个人信息或处理个人信息的特殊行为、场景时,个人信息处理者必须就其处理目的、行为等单独向个人告知并取得同意。“单独同意”要求个人信息处理者将相应的场景的同意与其他同意区分开来,做到“一处理一告知一同意”,而不能将其与其他场景下个人信息处理的同意糅合在一起,或者隐匿在其他事项中,通过一揽子授权的方式取得个人同意或接受,避免过度索权、随意收集等违法违规情形。而一般同意应理解为概括同意,虽然也要求“明确、自愿”,但并不一定针对一个具体的事项,可以是针对将来信息处理行为概括的、一揽子的同意。《个人信息保护法》规定,在向第三方提供个人信息时(第23条)、公开所处理的个人信息时(第25条)、公共场所设备所收集的个人图像、身份识别信息用于其他目的时(第26条)、处理敏感个人信息时(第29条)、个人信息跨境时(第39条)需要取得个人单独同意。单独同意对应的特殊的个人信息处理情形,伴随有特殊的个人信息告知要求。除《个人信息保护法》规定的需要单独同意的情形外,其他法律、行政法规有明确规定的,从其规定。从同意作出的形式来看,法律并未规定“单独同意”必须以书面形式作出,因而应当理解为“单独同意”可以包含口头、书面或其他形式。
(二)书面同意
“书面同意”,应当是指在处理特殊的个人信息或处理个人信息的特殊行为、场景时,个人信息处理者必须就其处理目的、行为等向个人告知并取得个人“书面”的同意,这是《个人信息保护法》对特殊情形下的同意作出的形式要求和规定。根据《民法典》第469条的规定,书面形式一般与口头形式对应,包括合同书、信件、电报、电传、传真等形式,数据电文也可以视为书面形式。简单而言,此处的书面可以理解为必须取得个人以纸质或电子形式作出的同意。至于“书面同意”的情形是否必须同时取得“单独”同意,《个人信息保护法》第29条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”从该条来看,书面同意的情形更为严格,单独同意可以口头、书面或者其他形式作出,而书面同意必须是书面的单独同意。
除“单独同意”和“书面同意”外,其他情形下处理个人信息只需要取得一般同意即可,即获得的“同意”并没有“单独”和“书面”的形式要求。
五、重新取得同意
在部分情形下需要重新取得个人同意,包括处理目的、处理方式和处理的个人信息种类发生变更等情形。这实质明确了个人信息处理者初次(首次)获得的个人同意,不能当然作为其后续所有处理个人信息行为的依据,在特殊场景下,个人信息处理者须再次取得个人同意。
根据《个人信息保护法》的规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,接收方变更原先的处理目的、处理方式的,以及个人信息对外提供时,接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
【条文适用】
关于人脸信息等敏感个人信息处理过程中的单独同意。由于敏感个人信息与公民个人的人格利益具有紧密联系,《个人信息保护法》在明确界定敏感个人信息的基础上,于第29条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。这主要是考虑到此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到侵害,因此,对处理敏感个人信息的活动应当作出更加严格的限制。此外,《个人信息保护法》第26条规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。人脸识别是人工智能技术的重要应用,在为社会生活带来便利的同时,其所带来的个人信息保护问题也日益凸显。“3·15晚会”曝光人脸识别技术滥用乱象、“我国人脸识别第一案”中强制顾客激活人脸识别系统等,体现出人脸识别技术广泛应用与个人信息保护的矛盾日益尖锐。《个人信息保护法》作了明文规定,在公共场所安装图像采集、个人身份识别设备收集生物识别信息只能用于维护公共安全,如果个人信息处理者用于其他目的,则必须取得个人单独同意。
实践中,关于线上具有人脸识别功能的应用程序设计是否符合单独同意,下列模式可作为认定时的参考:对于具有人脸识别功能的应用程序,应用商可在用户首次开启人脸识别功能时,通过弹窗、跳转专门页面等形式同步告知该功能的信息处理规则(以满足“充分知情”的要求);该规则应仅包含对人脸识别功能及其信息处理规则的描述而不包括对其他不相关事项的描述(以满足“单独”的要求);用户通过点击“同意”或“已知悉,并继续使用”等主动性动作清楚地表达自己的意愿(以满足“明确”的要求);如果人脸信息并不属于该应用的必要个人信息,用户在阅读信息处理规则后,既可以选择开启该功能,也可以选择不开启该功能。如果选择不开启该功能,用户仍然可以通过其他替代性方式继续使用应用程序的其他功能(以满足“自愿”的要求)。当然,上述模式只是线上平台实现单独同意的方式之一,人民法院可结合具体情形进行综合认定。