【条文主旨】
本条是关于信息主体撤回其个人信息处理同意的规定。
【条文理解】
一、个人信息处理中的同意撤回权及其正当性
告知同意是现代个人信息制度的基础,也是个人信息处理的基本模式,为个人信息处理提供合法性与正当性依据。我国《个人信息保护法》确立了以“告知—同意”为核心的个人信息处理规则体系,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意。[1]
《
民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息……”个人信息由于与主体的身份相关联,具有直接指向作为目的存在的特定法律主体的特征,亦即个人信息的人格利益属性。这是因为,个人信息是个人参与社会交往的载体,是个人人格表现和人格发展的工具;信息主体对个人信息流转范围和流转方式的控制,和个人人格的发展密切联系,这也是在现实社会中保护个人信息相关权益的价值基础。[2]个体人格的建构在相当程度上依赖于他人对自己的认识,因此,控制个人信息的传播属于人的基础利益,是个体自由发展人格的组成部分。[3]因此,可以认为,告知同意规则是个人信息自决权的核心制度。
显然,告知同意规则的核心目的在于保障信息主体对个人信息的自主决定权能够真正得到落实,有效维护信息主体的人格尊严与人格自由。信息主体有权决定信息处理者能否以及在何种程度、范围内处理其个人信息,进而矫正信息主体与信息处理者在市场关系中的实质地位不平等和信息不对称现象。信息自决是实现人格自由的方式,而信息自决的关键在于信息主体有效地实现对个人信息权益的控制。此种控制既体现为对信息权益遭受侵害时的消极防御,排除他人对个人信息的非法利用和干涉,也表现为以人格要素商业化利用为代表的个人信息权益的积极行使。告知同意的内核在于信息主体的私人自治,信息主体有权在一定范围内对个人信息权益进行适当处分,此种处分既包括同意信息处理者处理其个人信息,也包括对此种信息处理同意的撤回与修正,这是信息控制和信息自决的规范内涵与题中之义。因此,同意与同意撤回是“告知同意”规则的一体两面,后者是前者的合理逻辑延伸,两者缺一不可,否则可能威胁信息主体的人格尊严与自由,导致主体地位的式微。有鉴于此,在比较法上,GDPR第7条也明确了同意撤回权,规定数据主体有权随时撤回其同意;《加州消费者隐私法案》也规定了类似的选择退出权,消费者有权要求企业停止出售其个人信息,进而限制信息处理者可能作出的进一步信息处理行为。
同意撤回的另一个制度功能在于弥补传统告知同意框架下的不足。尽管告知同意规则在理论上具有保障信息自决、维护人格自由的积极作用,但该制度在实施层面存在一定的困境。实践中,信息处理者主要通过隐私或个人信息保护政策等方式履行信息处理告知义务。由于隐私政策的专业性、复杂性和冗长性,此种告知义务往往流于形式;而信息主体自身的阅读理解能力、时间成本、风险认知程度存在较大差异,垄断性产品导致的消费者选择受限,以及部分信息处理者以不同意即拒绝提供服务等变相胁迫性方式取得同意,都导致信息主体缺乏有效的表意自由。因此,赋予信息主体撤回同意的权利是完善告知同意制度的有效路径。信息主体得通过事后的理性判断与风险评估,作出有利于个人信息权益处理利益最大化的意思表示。此外,即使是出于完全自愿选择的结果,随着主客观环境的变迁,这种许可可能会演变成对权利人人格发展的限制。在这种情形下赋予权利人撤回许可的权利,也是维护许可人的人格自治利益的需要。
二、同意撤回的法律性质及其内涵
告知同意,是指信息业者在处理个人信息时,应当对信息主体就有关个人信息被收集和利用等情况进行充分告知,并征得信息主体明确同意。[5]同意撤回的法律性质与信息处理同意本身密切相关。有学者认为,同意是一种许可行为,“权利人将其内在的追求赋予他人商业化利用其人格方面的权利的法律后果表达出来,是权利人行使其人格自主和自我决定的重要途径”。[6]也有学者认为,“同意既可能构成合同等交易行为的内容,也可以是单纯表达对他人商业利用不法性的排除,分别体现了权利人积极和消极的控制”。[7]我们认为,从传统的民法理论上看,同意本身是信息主体就个人信息处理所作出的一项意思表示,可以适用《民法典》相关的意思表示规则,如意思表示的效力瑕疵等。从功能主义的视角看,同意体现出信息主体对自身信息权益的合理处分,是个人信息的具体权能之一。在此意义上,《信息安全技术个人信息安全规范》第3.7条就将信息处理同意界定为“个人信息主体对其个人信息进行特定处理作出明确授权的行为”。此种授权行为构成了他人处理自然人个人信息的合法理由或者免责事由,具有合同法与侵权法层面的双重属性。因此,同意撤回可以理解为信息主体对此前作出的信息处理授权或处分的终止。
有论者指出,撤回须在意思表示未生效之前到达相对人,其产生的效力是使得早先作出的意思表示不发生效力;而撤销系在意思表示到达相对人并生效之后作出的取消前一意思表示的行为。“同意的撤回”虽名为撤回,实质含义为意思表示的撤销,属于人格权体系下的撤销权。[8]前述观点具有一定的合理性。《民法典》第141条规定:“行为人可以撤回意思表示。撤回意思表示的通知应当在意思表示到达相对人前或者与意思表示同时到达相对人。”个人信息处理中的同意尽管也属于意思表示的一种,但此处的同意撤回有其特殊性。传统的意思表示撤回旨在阻止既已作出的意思表示发生法律效力,后果是意思表示不生效;而信息处理的同意撤回是针对已经发生效力的意思表示而言,结果是使已经生效的意思表示效力得以终止。
然而,同意撤回与撤销也存在一定区别。尽管两者都直接作用于已经生效的意思表示之上,都意在结束既有的法律行为效力。但传统民法意义上的撤销具有溯及力,使得已经生效的法律行为自始无效。因此,《民法典》第155条规定:“无效的或者被撤销的民事法律行为自始没有法律约束力。”在个人信息保护领域,同意撤回并不产生相应的溯及力,其后果仅仅是指自同意撤回时起,终止信息处理授权,但不影响此前基于合法授权所作出的个人信息处理活动的效力。需要明确的是,个人信息处理的同意撤回,通常并非基于意思表示瑕疵而作出,而是法律赋予信息主体的一项法定权利,以保障其信息自主利益。若作出信息处理同意时,信息主体的意思表示存在瑕疵,如存在重大误解、欺诈、胁迫等情形,信息主体可通过《民法典》的意思表示瑕疵规则予以救济。
【条文适用】
一、同意撤回的适用范围
就个人信息的处理机制而言,存在“选择进入”和“选择退出”两种模式。“选择退出”模式,是指当事人之间并不存在许可合同,在法律规定的特定情形下,如果权利人未声明不得使用,即视为许可他人使用其个人信息的许可形式。与“选择退出”相对应的则是“选择进入”模式,即收集、使用他人信息之前必须获得权利人的同意,否则,将被视为侵权。[9]《加州消费者隐私法案》是选择退出模式的代表,若消费者不反对或行使选择退出权,则推定信息处理者的信息处理行为合法有效。此种模式,以信息的自由流通和信息产业的市场化发展为价值基础,对数据产业具有强大的商业激励效应,却容易产生侵害信息主体权益的负面效应。与此相反,我国《个人信息保护法》和GDPR则强调在保护个人信息权益的基础上,规范个人信息处理活动,促进个人信息合理利用,告知同意规则正是选择进入模式下的产物。
告知同意规则为他人处理个人信息提供了合法性依据,但是其并非个人信息处理的万能规则。告知同意要受部分
宪法权利和隐私权的限制,还要受目的原则与必要原则的限制。因此,不能简单地以告知同意作为任何情况下不当收集个人信息的合格抗辩。[10]这意味着,告知同意仅仅是个人信息处理的充分非必要条件。在维护公共利益等法律特别规定的情形下,信息处理者可以不经自然人的同意而处理其个人信息,这是告知同意的例外情形。告知同意有其适用范围,基于同意而产生的撤回权,也理应受到同意范围的限制。概言之,同意撤回只能适用于基于自然人同意而处理其个人信息的情形下;因其他法定事由无须信息主体同意可直接处理个人信息的场景中,无同意撤回权的适用余地。因此,本条第1款前句规定,“基于个人同意处理个人信息的,个人有权撤回其同意”。该规定划定了信息主体行使其“同意撤回”权的边界范围,平衡了信息权益保护与信息流通之间的利益诉求。
《民法典》第1036条规定了处理个人信息的免责事由,包括告知同意、处理自然人的合法公开信息以及为维护公共利益或者自然人的合法权益合理实施的其他行为。因此,后两种事由属于非基于信息主体的授权同意而合法处理其个人信息,在此种情况下,自然人不得主张信息处理同意的撤回。《个人信息保护法》第13条第1款也明确了个人信息处理者可处理个人信息的具体条件,第2款规定有第1款第2项至第7项规定情形的,不需取得个人同意,因此同意撤回也无法适用本法第13条第1款第2~7项规定的个人信息处理情形。
二、同意撤回权利的行使
信息数据巨大的经济效益会对信息处理者产生更为强烈的信息利用激励,而非信息保护激励。[11]在信息控制者利用激励与保护激励明显失衡的结构下,如果缺乏外部干预与政府监管,势必产生“丛林法则”和对个人信息的肆意滥用,这是各国普遍重视个人信息保护的重要理由。[12]现代个人信息制度,主要以高频次、规模化的信息处理行为为规制对象,涉及的信息处理者以企业为主,自然人之间的信息处理行为一般不适用《个人信息保护法》的规定,而直接适用民法的相关规则。《个人信息保护法》第72条第1款就明确,自然人因个人或者家庭事务处理个人信息的,不适用本法。因此,在实际的信息处理场景中,信息处理者与信息主体的市场地位往往存在一定差异,信息主体通常以信息弱势方的角色出现。
法谚有云,没有救济就没有权利。为保障信息主体能有效地行使撤回同意的权利,本法规定了信息处理者的相应义务,本条第1款后句规定,“个人信息处理者应当提供便捷的撤回同意的方式”。GDPR也强调,数据主体撤回同意应当和表达同意一样简单。便捷的撤回同意方式是《个人信息保护法》对信息处理者规定的法定义务。前述法定义务应当至少包含三个层面的具体内容:首先,信息处理者应当履行充分的告知义务。信息处理者在获得信息主体授权同意之时,应当充分告知其享有撤回同意的权利,并告知其行使撤回权的方法。其次,信息处理者应当提供撤回同意的具体方法。《个人信息保护法》第7条规定了公开、透明原则。[13]在个人信息保护领域,透明度原则意味着有关个人信息处理的相关规则说明必须易于获取、易于理解,尽可能使用清晰和易懂的语言而非专业性术语。因此,有关撤回同意方法的说明应当清晰易懂、易于操作,满足一般社会群体的理解和实施能力,不得以晦涩、冗长的信息政策,复杂、耗时的流程等不合理方式变相妨碍信息主体行使同意撤回权。最后,信息处理者应当在合理期限内及时有效地处理撤回同意的行为,不得设置不合理的条件。
法律赋予信息主体同意撤回的权利,旨在维护自然人的人格尊严和自由,保障其对自身人格利益的有效控制和支配。一般而言,信息主体的个人信息处理主要是基于信息之上的财产利益,而个人信息是自然人重要的人格要素,体现为主体的人格利益,当财产利益与人格利益发生冲突时,基于价值位阶的优越性和人格权的重要程度,法律原则上优先保护人格利益。若被许可人的行为影响权利人人格发展,为满足人格权人人格利益自治的需要,应当允许其撤回之前的同意。[14]因此,作为一项法定的义务,信息处理者不得以其他方式排除信息主体的撤回权。原则上,信息主体行使该撤回权,不受诉讼时效或除斥期间的法定期间限制,一般也无须提供任何撤回理由,以保障其有效地享有并行使该权利。
三、撤回个人信息处理同意的法律效果
本条第2款是《个人信息保护法(草案二次审议稿)》的新增条款,进一步明确了信息主体行使同意撤回权的法律效果,即个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。因此,以撤回同意为时间节点,可以分为前后两个区间的信息处理活动。撤回同意之前的信息处理活动,由于具备信息主体的合法有效授权,该信息处理行为有效。即使同意已被撤回,但该撤回权利的行使不具有溯及力,不影响此前的信息处理行为效力。而撤回同意之后的信息处理活动,若不存在其他法定的事由,则由于丧失了许可的正当性基础,具有违法性,信息处理者的处理行为可能构成侵权。
如前所述,尽管同意撤回与传统的民法撤销权具有相似性,但两者亦存在本质不同。民法中规定的诸多可撤销的事由,一般基于意思表示的瑕疵,为维护私法自治,当事人可溯及既往地使相应的法律行为自始归于无效。而个人信息处理中的同意,其本身不存在任何意思表示的瑕疵,具有合法性,若允许此后的撤回具有溯及力则缺乏法理层面的正当性;并且由于同意撤回权的强大权能,允许溯及既往,容易影响正常的交易秩序,挫败信息处理者的合理信赖与期待。
因此,个人信息处理同意撤回的法律效果是,信息处理者无权继续处理已丧失同意基础的新的个人信息;原则上,对已经处理的个人信息也不得进行再次处理。需要明确的是,由于不同的信息处理目的和信息服务的变动性,告知同意呈现出动态化与综合性。因此,这里的同意撤回,既可以是同意的全部撤回,也可以是部分撤回,但部分撤回导致无法实现信息处理目的的,应当视为全部撤回。
根据《个人信息保护法》第47条规定,个人撤回同意的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。尽管在学理层面,删除权和撤回权具有一定的区别,前者通常是指信息存储内容的实质清除,后者强调信息处理行为的授权取消。但根据本法的规定,个人撤回同意的效果是,个人信息处理者应当主动删除个人信息。关于信息主体行使撤回权是否应当承担损害赔偿责任,存在一定争议。有论者认为,行使撤销权对无过错一方造成损害的,应由权利人承担相应的赔偿责任。也有论者主张,对人格利益的许可的撤销规则应当与一般合同处分财产性权益的撤销规则作出区分,信息主体行使同意撤回权系其对自身权益的正当处分,具有合法性基础。前述观点具有一定的合理性。我们认为,在一般的信息处理活动中,如对App服务所需的位置信息和通讯信息处理,单纯的同意撤回不产生损害;其他信息处理活动中,信息主体未滥用权利,原则上也不需要承担损害赔偿责任。对该问题,可以区分不同的信息处理场景,界定具体的信息处理行为,结合信息处理者和信息主体的实际情况,体系化运用个人信息处理的其他规则,作进一步探讨。
