科研动态
万 方:个人信息处理中的“同意”与“同意撤回”

告知同意原则,是个人信息处理中的黄金原则。同意与同意的撤回共同勾勒出个人信息主体在数据处理活动中的能动性边界。学界对告知同意存在的问题展开了广泛讨论,但目前对于“同意”的性质及效力依然存在争议,对同意撤回亦没有全面深入研讨。同意撤回能补益“告知同意”固有的缺陷,为个人信息主体提供有效救济。为明确同意撤回的效力,首先应当对个人信息处理中的“同意”的法律性质进行界定。

一、个人信息处理中的“同意”

(一)“同意”的性质分析

目前,学界对于个人信息处理中信息主体的“同意”之性质认识存在差异。有的学者认为本人同意为人格法益商业化的行权模式,并将“同意”界定为法律行为性的许可,认为许可的内容为具排他性权能的债权性用益物权。也有学者遵循信托法保护的路径,主张对个人和信息收集者与处理者分别施加信息信托权利与信息信义义务。相比起传统的个人信息权利,信息信托权利常常需要结合场景与信息关系来确定权利的边界,此种关系中的个人信息主体之“同意”可被视为对信托之授权行为。还有学者主张,“同意”不同于合同中的“承诺”,“同意”应当被视为一种对信息主体的持续性代理行为(consent-as-ongoing-agency),且信息主体有随时撤回同意的权利,类似于撤回代理权限。亦有学者认为“同意”的性质应当视其情景而定,其在合同领域与在侵权领域中存在不同的涵义:在侵权领域中,“同意”作为侵权法上的免责事由归入“受害人同意”的范畴,在构成要件上包括必须有明确具体的内容、受害人须具有同意能力、同意必须真实自愿、加害人必须尽到充分的告知说明义务;而在合同领域中,同意可能成为相关合同给付内容的一部分。另有学者认为,鉴于“同意”的复杂性,不能完全从私法上获得理解;经过用户的同意,平台收集个人的信息既不能从私法上的交易来理解(其中没有有偿和对价因素),也不能从防御性的人格利益来理解,因为这种“同意”增加了人格遭到侵害的风险,更何况现实中存在诸多无须用户同意即可收集的情形。

笔者认为,对同意的性质判定要联系相关规定中“告知同意原则”进行梳理。我国制定了《信息安全技术个人信息安全规范》并在各企业中推广适用,随着国家各项治理的深入,用户对于企业数据收集的标准会有更为明确和集中的认识,而各行业的隐私协议也将逐渐模板化、统一化。因此,个人信息主体对信息处理者的信赖并不建立在其所阅读的隐私协议之上,而是基于对个人信息的处理标准的统一适用,换而言之,其信赖从根本而言是出于信息主体对国家治理能力的信任。因此,告知逐渐成为信息处理者的一种公法上的义务,而同意则仍属于私法上个人信息自决权益的核心。若细致梳理我国《个人信息保护法(草案)》(以下简称《草案》)中的告知义务可知,相对于个人信息处理者的身份等信息,仅有个人信息处理目的、处理方式及处理的个人信息种类存在可以与个人信息主体协商的空间。纳入告知范畴的其他部分仅具对告知义务的履行这一单一属性,而可协商部分的告知内容则另存在某种私法属性,维持了信息主体的个人信息自决权的行使空间。因此,“告知”实际融合了公法和私法的双重属性,而“同意”属于受限的私权处分。“告知”在所有场景之下均属必须,但是个人的信息自决权益在某些情境下受到一定限制,如涉及公共安全、与他人的合法权益或须履行的义务相冲突之时或有其他合法事由时,个人信息处理者可依法处理信息主体的个人信息,无论信息主体是否反对。

如上所述,“同意”是一种对于个人信息权益的处分,但是,这种处分不能脱离商品或服务合同的语境而单独存在,只能被视为个人信息主体为了获得相应的商品或服务而必须作出的权利处分。自然人对其个人信息享有的民事权益属于人格权益中的精神性人格权益。基于我国的历史和社会现实,赋予自然人对个人数据以民事权利的正当性或意义应当建立在维护人格尊严和人格自由的基础上。此外,鉴于个人信息处理的最小化原则,处理个人信息应当具有合理的目的并限于实现处理目的的最小范围,而每种处理目的之下对应的最小必要信息范围已相对确定,由此可以推论,个人信息主体与信息处理者仅可就信息处理的目的进行协商。但事实上,对此目的的协商本质并非个人信息主体对自身权利的主动处分,因为其在实现服务及商品交易合同之外一般并不具有更多可真实获利的处理目的。更多情况下,鉴于个人在个人信息处理流程中的弱势地位,可供其选择的信息处理目的并不具有明显的获益性,甚至有些表面的获益是以承担更多风险及代价所带来的(如个性化推荐,甚至“杀熟”),所以,个人信息主体通过对信息处理者的处理目的进行限制是行使自己防御性的个人信息权益,而非积极主动行使自己的信息权益。

(二)“告知—同意”模式的缺陷

虽然“同意”系以合同方式作出的处分,但是由于其客体的特殊性以及“告知同意”固有的制度性缺陷,会导致个人信息主体权利得不到有效救济。

1.难以获得无效力瑕疵的用户意思表示

意思表示是民事法律关系的核心。合同一方当事人作出意思表示的前提是对订立合同时之相关重要情事的知悉以及表意的自由。在个人信息处理的“告知—同意”模式之下,以上两项要求都无法全面实现。

(1)信息主体缺乏对重要情事的知悉

首先,无法期待网络用户认真仔细阅读隐私政策的全文。研究表明,如果认真仔细阅读所有隐私政策条文,用户仅阅读一年中所使用的网络服务的隐私政策就需要花费224个小时,因此,要求用户认真阅读每条隐私政策的要求既不合理也不可能。其次,考虑到用户的教育背景不一、对于各条款的理解能力有所偏差所带来的现实性困境,更无法确认用户是否真正知悉其同意的内容。

实际上,由于个人信息主体无法全面知悉其同意内容也导致其在实践中的损害救济陷入困境。例如,在“肖某与廊坊京东吉特贸易有限公司等网络侵权责任纠纷案”一审中,由于原告肖某注册时无法理解被告晦涩的信息分享安排而直接点击了同意,嗣后原告由于发现商品包装与描述不一致而找到被告投诉,被告直接安排供应商联系原告。原告认为被告将其个人信息交由其他供应商的行为存在不当。法院判决认为,鉴于电子商务平台上涉及海量的商品和服务,涉及的销售商、供应商等关联方的信息亦系海量的,不可能一一列出具体的名称,在相关条款中进行概括描述并无不当,原告作为具有完全民事行为能力的成年人足以理解上述条款的内容,故被告提供的隐私政策具有约束力,因此,被告有权依据隐私政策与第三方共享原告的个人信息。又如,在“淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案”中,原告主张自己已经取消定位设置而被告依然对其进行定位严重侵害了其隐私权。法院认为,定位问题系安卓系统本身权限调用问题,被告的隐私政策已对此情形进行了提示,同时原告仅对其中某一项业务进行了定位限制,在选择其他业务类型时依然可以定位,因此被告的行为并非非法操作。

(2)信息主体缺乏表意自由

在个人信息处理的语境之下,信息主体本身存在对于信息处理者的服务依赖,导致信息主体缺乏表意自由。这种缺乏表意自由在以下几种场景中表现尤为明显。

首先,在许多场景之下,由于提供某种类型的个人信息属于提供产品或服务的必需——若不提供“同意”无法获得预期的服务。例如,在网约车的适用场景下,信息主体必须向信息处理者提供自己的手机号码和位置信息,否则网约车因基本功能受限而无法提供相应的服务。为维持服务或商品合同的可执行性而进行的授权同意本身不存在独立于合同可协商的空间(此种同意属于服务或商品合同的从给付义务,其撤回等同于直接撤销合同,因此不在本文的讨论范围之内)。

其次,在一些场景之下,用户个人信息的授权范围与其所获得的服务层次存在对等关系。例如,在即时通信类产品的适用场景下,个人用户在平台上的社会关系网的面积、紧密程度和私密程度决定了该用户在平台上能够获得的福利的大小,因此,个人信息主体不仅需要提供自己的个人信息,也通常会基于对建立联系和管理的需要而提供自己的好友列表信息。理论上,个人信息主体仅提供自己的个人信息即可进入服务,但若要实质性利用平台的某些功能(如分群好友等),则需要提供更多数量的好友信息。此时个人信息用户主动性提供自己好友关系是基于对平台拓展性功能的需求。虽然获取拓展性功能在合同订立之时可能并非属于信息主体签订合同的主要目的,但是随着即时通信类产品适用的普及,若个人信息主体选择不使用某种平台,很可能会对其社交及工作生活产生重大影响。换言之,在已经开始使用某项服务之后,若信息处理者需要更新其隐私政策的内容,个人信息主体往往也仅仅能够选择同意来继续获取服务。

再次,在相关就业等场景之中,若不“同意”提供信息虽然不会导致义务的违反但可能会对雇佣关系产生负面影响。例如,在用人单位正式录用员工之前,公司往往要求求职者进行体检。在经历了数轮面试之后,体检的结果往往决定了该用人单位是否会最终录取该求职者。用人单位往往以在聘用合同中约定的方式将入职前体检结果无异常作为合同的生效条款,若求职人员拒绝体检或最后查出该求职人员身体存在任何异常则双方无法按照预期达成劳动合同关系。此种行为系变相的就业歧视行为,属用人单位利用其优势地位对求职者平等就业机会的不合理剥夺,于法无据且违反合同自由原则。因此,美国《就业法重述》中指出,同意只是衡量侵犯隐私是否具有高度冒犯性的众多因素之一,同意不能被视为雇主对所谓的隐私侵犯的完全防御。

最后,“同意”与单一买卖关系的日渐脱离,使得“同意”成为构建系列交易的信息基础。在会员制之下,个人主体即使完成了单个交易,信息处理者依然得以保有信息主体的“同意”,除非其主动要求撤回同意。在会员制的消费模式中,消费者与经营者达成了一种非一次性给付的继续性合同关系,有的会员制交易需要会员额外交付会费以获得更为优惠的价格或者其他便利,有的会员制交易只需要消费者提供基本信息进行注册。在以上两种情景之中,信息处理者均可通过会员制与个人信息主体产生捆绑关系而获得处理其个人信息的权限,且这种关系更为隐性,个人主体不易察觉自己的个人信息依然处于经营者手中,直到其注销会员资格。因此,就《草案》中“当个人信息处理者停止提供产品或服务时,信息处理者应当删除个人信息”的规定,在会员制的情景之下对于“服务”应作扩展理解,即将经营者为消费者提供的会员资格本身也视为一种服务。在此情形之下,应当允许信息处理者保留收集的个人信息,除非个人信息主体明确表示撤回同意或以实际行动注销会员资格。

除此以外,对于用户而言,其选择同意的时间窗口通常较为窄小,往往须在几秒之内迅速作出同意的选择以便进入实质性的主合同履行阶段。信息主体在作出“同意”的意思表示之时,实际上很难预料到当时的“同意”行为究竟会对其带来何种程度的影响,因此难谓表意自由。

意思表示本身分为两个方面:作为行动的意思表示以及作为客观逻辑的意义构造的意思表示,需要同时将这两个方面联系起来,以行动展现对一种指向引发某种法律效果之意愿的宣告。一方面,当个人信息主体欠缺对相关内容的知情时,其指向“同意”的法律效果即缺乏合法的基础。因此,虽然信息处理者提供了隐私政策,个人信息主体也表示了同意,但是并不能表明其行动展现了对指向引发特定法律效果意愿的宣告——个人信息主体有时难以理解描述过于概括性的隐私政策内容,更无从从技术性的层面知晓自己信息已被调取。此时实际出现了“告知义务”与“知情权”的断层。另一方面,基于对信息处理者服务的依赖,同意的意思表示并不一定是自由的表意,虽然上文列举的相对人意思表示不自由并不能简单等同于民法理论上的胁迫与欺诈,有些情形也确是网络交易本身的性质所致,但有些情况属于“胁迫”行为,例如,当个人信息主体不同意提供额外的个人信息则无法获取服务、甚或导致失去正常就业机会的情形。因此,“告知—同意”模式并不能真正全面保障信息主体作出不含效力瑕疵的真实意思表示。

从理论上来说,信息处理者虽然利用了个人信息主体缺乏判断力,即个体基于理性考虑而实施民事法律行为并对民事法律行为的后果予以评估的能力,但是由于该行为在成立时难谓之取得“暴利”或在权利义务上明显失衡,故而不宜将之认定为显失公平。而以普通经济损失的角度来界定是否公平,在涉及人格权益的案件中似乎又有失偏颇。

2.信息主体难以获得有效保护

若将隐私政策视为合同,意味着在多数情况下信息控制者所提供的隐私政策由于不具有可协商性而被归为格式合同的类型。我国《民法典》虽然对格式合同的效力作出了有利于消费者的限定,但是仍然无法消除在个人信息处理场景之下对个人信息主体的不利影响。这是由于,根据规定,格式合同的主要规制对象是格式合同的提供方以约定的方式不合理地免除或减轻自己责任、加重或限制甚至排除消费者主要权利的行为,但是在个人信息保护的场景之下,该种对“要约”的规制模式并不能起到很好的效果。《2019年App违法违规收集使用个人信息专项治理报告》中提及,App违法违规收集使用个人信息典型问题分为六类:企业未提供隐私政策,限定一次性打开多个权限,未明示收集使用个人信息的目的、方式和范围,未经用户同意收集使用个人信息,未经同意向他人提供个人信息,未按法律规定提供删除或更正个人信息功能等。以上种种问题,若从格式条款的角度出发审视,有的是缺乏要约(如企业未提供隐私政策),有的是在要约中缺乏法定的内容(如未明示收集使用个人信息的目的、方式和范围,未按法律规定提供删除或更正个人信息功能),有的既可能是在合同内无明确约定也可能属于信息处理者违反自身隐私政策而导致的违约行为(如未经用户同意收集使用个人信息、未经同意向他人提供个人信息,以及限定一次性打开多个权限)。如此看来,将隐私政策视为格式合同会产生明显的问题:格式条款提供方在隐私政策中回避提及其所需要向个人信息主体承担的法定义务,而由于该类条款并未订入合同中,因此并不影响合同的效力。如此一来,以合同方式保护个人信息主体的目的已然落空。而且,信息收集条款往往仅涉及信息处理者一般性的权利义务且未约定任何的责任条款,而鉴于个人信息的人格属性,其损害的后果常常较为严重且无法弥补,因此,以合同的方式予以救济显然效力不济。实际上,个人信息主体在实践中也往往更偏向于采用侵权路径向信息处理者主张责任。

此外,同意的前提是信息透明,但从客观上而言,个人信息适用的场景呈动态化特点,信息处理者可能需要不断根据自己业务类型的调整而修订其隐私政策,信息处理方式的不断变革使得清晰透明且稳定的个人信息处理方式不具有可期待性。信息应用场景的动态化是大数据背景下信息技术的生命力之所在,是信息革命的价值之所在。但是,这种动态化的处理模式也决定了信息主体对知情的要求处于动态化之中,信息主体只有在时时更新的适用场景之下(如收集个人信息使用目的的变更、信息处理者对新第三方的授权等),才有可能作出最符合其真实意思表示的“同意”,否则无异于刻舟求剑。因此,对于隐私政策的一揽子授权同意不能覆盖整个信息处理流程,也不应当被视为信息主体对自己信息权益的全面处理。正因如此,对于“告知—同意”模式的质疑与批判不绝于耳。

虽然告知同意有上述诸多缺陷,但至今仍为各国广泛采用,究其原因乃是其标准化的模式无论对于用户还是信息处理者而言均为成本最小化的解决方式。双方减少了因不信任而产生的交易成本,能直接进入到与个人信息权益行使最为核心的地带:同意及同意的撤回,甚至删除权。从目前来看,在“告知—同意”模式下,对于个人信息主体保护最为直接有效的方式即是赋予个人信息主体以同意撤回权。但学界目前对此尚未展开深入讨论,因此,有必要对“同意撤回权”的性质及其与其他相近制度的关系进行细致梳理。

二、同意撤回的法理分析

(一)同意撤回的概念澄清

《草案》第16条明确采用了“撤回”的概念。虽然学界对同意撤回有着普遍认同,但其概念本身具有特别指向,在进行深入法理分析之前,有必要对其中的几个关键问题予以澄清。

首先,同意撤回是指个人信息主体基于“告知同意”原则,对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示。但从理论上看,撤回须在意思表示未生效之前到达相对人,其产生的效力是使得早先作出的意思表示不发生效力;而撤销系在意思表示到达相对人并生效之后作出的取消前一意思表示的行为。因此,《草案》所指的“同意的撤回”虽名为撤回,实质含义为意思表示的撤销,但为保持与立法表述一致,本文亦沿用这一概念。

其次,需要特别强调的是,同意的撤回包含个人信息主体对个人信息使用全过程中的处分。这一理解有利于解决用户仅能在信息收集阶段行权的僵化性问题。传统的“告知—同意”模型中一个常常招致批评的问题在于,其仅允许个人信息主体在信息收集的阶段作出同意的表示。但实际上,在信息收集的初始阶段,个人主体往往难以清晰理解其决定可能对未来造成的影响,例如,给予同意的授权之后,用户会经常受到商家频繁的商业广告滋扰,甚至被商家利用信息主体提供的个人信息进行大数据“杀熟”,此时个人信息主体可以行使自己的同意撤回权,要求其暂停处理行为。信息具有高时效性的特点,用户的需求和兴趣具有转瞬即逝的特点,信息一旦无法得到有效及时的更新便会丧失预期的价值。这种对于信息处理者而言的预期价值的丧失,有时候会成为对信息主体个人信息利益的保护,尤其当这种预期价值更多体现在商业上时,对信息处理进行暂停式的缓冲效力可对冲部分个人信息处理对人格权益的侵害效果。

(二)同意撤回的性质分析

有学者认为,人格权商业化之后,会随着环境的变迁对主体产生不良的影响,甚至可能会演变成对权利人人格发展的限制,在这种情形下赋予权利人撤回许可的权利,也是为了维护许可人的人格自治利益的需要,行使撤销权对无过错一方造成损害的,应由权利人承担相应的赔偿责任。另有学者主张,应当区分情景讨论同意撤回的适用,当同意并不直接涉及合同交易领域时,可随时撤回同意,该行为仅仅是对他人行为违法性的排除;当“同意”涉及具体的合同交易领域时,则应当比照适用典型合同中的任意撤销权规则,对个人信息主体的“同意撤回权”作出一定限制,当其因撤回给信息处理者造成损失时,应当承担损害赔偿责任。

如果基于合同的原理,那么“同意的撤回”可被视为个人信息主体行使撤销权的行为,在我国民法上有溯及既往的效力。但笔者认为,对人格利益的许可的撤销规则应当与一般合同处分财产性权益的撤销规则作出区分。因为,人格权的核心是个人的自决,其也包含了对经济价值的自决,承认人格权商业化利用制度实际上是对个人自决的一种尊重,体现了对个人人格尊严的保护。人格权商业化利用目的的实现需要规则体现对人格权的倾斜保护。这种区分在我国现行立法上也是可行的,我国《民法典》在总则编的意思表示一节中仅规定了意思表示的撤回(《民法典》第141条),并未规定意思表示撤销的内容。对于可撤销的情形仅在民事法律行为的效力这一部分作了未穷尽性列举(如《民法典》第147-151条),并在合同编各类有名合同中对当事人的法定撤销权作出具体规定(如《民法典》第658条)。我国民法上可撤销的民事法律行为需通过向法院或仲裁机构主张来实现,理论上被归为形成诉权,由于其对当事人之间权利义务关系产生重大影响,故需要受到形成权的除斥期间限制。但从体系构造上看,《民法典》并未对意思表示的撤销作出统一规定,这为新型意思表示撤销制度的构建预留下了理论空间。基于此,完全可从人格利益的特性出发,独立概括出人格权体系下的撤销权制度。

从人格权特性出发,人格权体系下的撤销权具有区别于一般合同处分财产性权益下的撤销权的特点。人格权的客体是人格权所指向的具体人格利益,人格权的绝对性特征使得权利人以外的其他任何人均负有不得侵害权利人之人格权的义务。因此,即使是在人格权商业化利用的合同关系中,基于对人格权益处分的撤销权之行使也不应当受到过多限制。故而人格权体系下的撤销权行使不以主体受到实际损害为前提。同时,人格属性的权利行使一旦生效难以产生恢复原状的效果,因此人格权体系下的撤销权一般不具有溯及既往的效力。

同意撤回权体现了主体对于个人信息的自决处分,带有强烈的人格利益特性,可以被定性为人格权体系下的撤销权。首先,同意撤回权属于形成权,具有可依单方面的意思表示使法律关系发生变动的性质。个人信息主体仅需向信息控制者发出其意欲撤回同意的意思表示即可产生效力。此种安排将个人视为其信息的最佳处分权人,体现出制度设计层面上对于国家公共领域及私人生活领域区分治理的态度。其次,同意撤回权属于撤销权,其效果是使得已经发生效力的意思表示归于消灭。个人信息主体可以通过行使同意撤回权,禁止信息控制者对其个人信息的后续处理行为。最后,同意撤回权是对涉及人格权益的意思表示之处分,体现了人格利益特性,并同样具有人格权体系下的撤销权的特殊性,如主体行权上的特殊便利性、不具有溯及既往的效力等。因此,同意撤回权实际上属于人格权体系下的撤销权。

(三)同意撤回权的行使规则

通常而言,意思表示的撤销需考虑相对人的合理信赖问题,这是合法行使撤销权的前提。但是,在法律已经明确规定相对人须履行告知相对人有“同意撤回权”的前提之下,应当认定相对人不存在合理信赖的基础。同时,信息处理者也不得在隐私政策内对信息主体的同意撤回权予以预先排除。但同意撤回权也须受到一定的限制,如其行使不能影响数据信息的留存义务的履行。所谓数据留存是指为政府机构日后检索、法律执行和安全机关用作证据和情报的需要,相关机构或企业对通信话务量、位置等用户数据进行存储。虽然各国的立法都将涉及用户隐私部分的通信信息排除在存留范围之外,但是对于可以识用户身份信息的其他类型的个人信息均有可能成为留存内容。数据留存具有维护国家安全及公共利益的重要功能。我国的《互联网信息服务管理办法》规定了我国互联网信息服务提供者的数据留存义务,并要求互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日以备查询。此时,个人信息主体若要求行使删除权须受到留存期限规定的制约,在相关留存期限的日期结束之后方可行使自身的删除权。由于此类信息收集并不基于信息主体的同意,因此也没有任何同意撤回权的行使空间。

具体而言,作为人格权体系下的同意撤销权,对个人信息处理许可的同意撤回权之行使应当遵循以下规则:

首先,应当更偏重保护意思表示主体的行权之便利性。这是由于人格权益被侵害后往往难以对其进行实质上的有效救济,且以形成诉权的方式来构建人格权下的撤销权体系不利于对人格性利益的及时救济,因此,不应当对意思主体行使撤销权作出任何不合理的限制。在双方交易过程中,当一方的利益主要体现在人格利益,而另一方的利益主要为财产利益时,人格性利益一方享有优先权利。我国民法体系中对此有诸多体现,例如,根据我国《民法典》第1022条规定,当事人对肖像许可使用期限没有约定或约定不明确的,任何一方可以随时解除肖像许可使用合同;即使双方对许可的使用期限有明确约定,肖像权人有正当理由的,也可以解除肖像使用合同。该条款赋予了肖像权人以正当理由下的单方合同解除权,此种更有利于肖像权人的制度安排主要就是出于对其人格性权益的重要性之考量。在个人信息权益中,所包含的信息主体的利益范围更为广泛,因而类推赋予个人信息主体以人格权体系下的撤销权确有必要。

其次,应当摒除除斥期限对权利主体的时间限制。人格权请求权具有绝对权请求权属性,不应受到诉讼时效的限制。因为人格权请求权的功能在于保护民事主体对其人格利益的圆满支配,在人格权受到妨害或者可能受到妨害的情形下,权利人应当有权随时提出请求,以恢复权利人对其人格利益的圆满支配状态。只要对人格权的侵害和妨碍仍处于持续状态,则权利人即应当享有人格权请求权,以消除相应的不利影响。同理,“同意撤回权”作为涉及人格利益的撤销权也不应当受到除斥期间的制约。个人信息处理中的“同意”是对自己个人信息权利授权的放弃,体现了个人信息权益的消极性和防御性,属于个人信息主体对其信息权益的最后一道防线,应当得到相应的救济。

再次,与民事主体对其姓名、肖像等人格性利益的许可使用之撤销类似,同意撤回也不具有溯及力。对他人在商品、商标或者服务上使用本人的姓名、肖像等行为的许可被撤销之后,只是对相对人未来的使用权利作出了限制,并不影响许可撤销前已经生产的商品或使用的商标及提供的服务上所附着的权益,除非产生了对个人主体的个人权益产生侵害的情形。同理,对于因建立在“同意”基础上所取得的人体临床试验的阶段性成果,也不应因受试者撤回同意而被归于无效或不可使用。由此可见,涉及人格利益的许可之撤销不应当具有溯及力。事实上,不同于一般的财产性交易,涉及人格利益的许可之撤销往往难以达到使双方恢复到民事法律行为实施前的状态:虽然返还财产并不困难,但是涉及人格性利益的民事法律行为本身的目的是为了发挥附着在物之上的人格性利益的效果,例如,让人建立起对某种商品与某代言人的自然联想等,因此,对许可撤销前已经生产的商品或使用的商标及提供的服务上所附着的权益进行分离既不可能,也无必要,更无法达成消除此种效果之目的。人格性权益有其本身一经存在即附着于社会关系中的特殊性,无法以“返还财产”或“赔偿损失”的方式使其恢复原状,只能对其在未来生活中将产生的影响予以制约,因此,人格权体系下的撤销权不应当具有溯及力。

最后,同意撤回权的行使不以个人信息主体受到损害为前提。除为履行法定职责或法定义务所必需,任何对同意撤回行使事由上的不当限制都是对个人信息主体的个人信息权益之克减。此外,就由个人信息主体主张同意撤回而对信息处理者带来的损害要求其承担赔偿责任的做法也颇为不当。对于信息处理者而言,但凡个人信息主体主张撤回其同意,就一定会产生损失。因为,信息处理者在获得个人信息主体授权同意之时,即需要对这部分的个人信息进行打标处理,当个人信息主体选择撤销其授权同意之时,信息处理者需要重新识别这批已经打标处理的个人信息并重新调整权限,但因调整行为而额外产生的这部分费用不可要求个人信息主体承担。其理由在于,只有当基础性权利遭受不法侵害或有侵害之虞时,方才发生救济性请求权,而个人信息主体行使同意撤回权系其对自身权益的正当处分,具有合法性基础,因此,信息处理者无权就其因信息主体合法行使同意撤回权所造成的损失向信息主体请求损害赔偿。从同意撤回制度设计的效果来看,除信息主体故意或重大过失外,也不宜令信息处理者拥有损害赔偿请求权,此举会给信息主体带来诸多顾虑,从而从实体上架空同意撤回制度。

(四)同意撤回权与相关概念区分

1.同意撤回权应与消费者的反悔权相区别

消费者与经营者之间的信息极不对称状况导致双方在交易中的地位无法平等。消费者因不了解相关信息或是受到商家的误导而冲动消费,经常签订让自己后悔的合同。消费者的反悔权正是基于对处于弱势地位的消费者的救济之考虑而对“同意”瑕疵的补正,其实质是对消费者不理性的消费行为进行家长主义管制。从这些角度出发,同意撤回权与消费者的反悔权似乎有所相同,但事实上两者有很大区别。

首先,两者的适用场景不同。虽然域外各国对于消费者的反悔权的行权时间窗口规定不一,但是其适用场景往往被限定在几种特殊的领域之中:上门交易、远程交易及分期付款。消费者的反悔权行使的效果是使之前的合同归为无效,双方需要承担合同项下的返还义务,即消费者返还商品而经营者退还已经收取的价金。例如,根据我国《消费者权益保护法》第25条规定,经营者采用网络、电视、电话、邮购等方式销售商品的,除定作、鲜活易腐等特殊类型的消费品之外,消费者均享有自收到商品之日起7日内无理由退货的法定反悔权。而同意撤回权在所有涉及收集消费者个人信息的场景之下均可适用,并不受远程交易所限。例如,即使在线下面授培训课程中,消费者也可撤回对培训机构收集对其学习状态的跟踪及调查访问的许可。

其次,两者制度中缺省规则下的时间效力不同。缺省规则又称为法律的默认规则,即当双方没有其他约定时,规则的设计能保障当事人在保持沉默时依然能合理保有自己的合法利益,维持一种社会的合法秩序。因此,出于成本考量,默认规则的设计应当具有广谱性,以满足多数需求,让多数人、在多数场合保持沉默,只让少数人、在少数场合发声。缺省规则的时间效力不同体现出不同的规制态度取向。在消费者反悔权的适用中,若消费者在一定时限内(通常为7日)选择不行使自己的权利,其所表示的含义是“使用即同意”,即放弃了自己的反悔权。但是在个人信息保护的场景之下,个人信息主体未行使同意撤回权并不意味着对同意撤回权的放弃,而是表明继续授权信息处理者处理个人信息行为,但信息主体亦可随时行使同意撤回权。因此,两种制度中缺省规则产生的时间效力完全相反,也体现出立法对于不同利益保护效力的层级性。

最后,两者的产生基础及效力也不相同。在消费者的反悔权的适用场景之下,消费者反悔的是购买某种商品;而在个人信息授权的语境之中,个人信息主体“反悔”的是对信息处理者处理个人信息的授权。两者的产生的基础不同,故而产生的效力也不同。消费者的反悔权之行使产生合同被撤销的效果,由此产生了双方的返还义务。依据合同的一般性原理,行使合同的撤销权若给相对方造成损害的,应当承担赔偿责任。

2.同意撤回权应当与删除权区分

目前各国立法对于“删除”的概念存在不同的界定标准。根据欧盟《通用数据保护条例》(GDPR)第17条对删除权的规定,数据主体请求控制者们删除相关个人数据的任何链接、副本或复制件即为其行使删除权的方式。GDPR所规定的删除权又称为“被遗忘权”,由于其落地成本极高受到了广泛的质疑。美国《2018年加州消费者隐私法案》(CCPA)则规定,“收到消费者要求删除其个人信息的可验证请求的企业应当从其记录中删除消费者的个人信息,并指示所有服务提供者从其记录中删除该消费者的个人信息”,其规则较GDPR有更明显的可操作性。依据美国法,信息处理者作出某些权限设置使得个人数据在正常情况下无法被检索或获取使用即可满足删除的要求,与此同时,信息处理者也可以实现向国家履行数据存留义务。

我国《信息安全技术个人信息安全规范》借鉴了美国法的思路,将“删除”定义为:在实现日常业务功能所涉及的系统中去除个人信息,使其保持不可被检索、访问的状态。其中,“保持不可被检索、访问的状态”实际仅仅对个人信息不可在未来被使用提出了限定要求,并未要求信息处理者对个人信息的链接、副本或者复制件进行实质删除。但若此种“不可被检索、访问的状态”在技术上是可以恢复的,那么其在最终的行使效力上与同意的撤回相同,在立法逻辑上似乎难以理顺;因此,只有此种“不可被检索、访问的状态”在技术上不可逆转,才有必要将此两种权利进行分离,也只有这种意义上的删除会对个人主体行使同意撤回权之后再次授予同意的情形产生影响。所以,不可逆转的删除才是本文所讨论的删除权的范畴(由于《草案》中未涉及删除的定义,为避免概念混淆,后文所提“删除权”系指信息主体请求信息处理者删除其所持有的相关个人信息的原件、副本或复制件的权利)。大数据时代对于许多传统概念的稳定性提出了新挑战,随着区块链技术的发展,删除权的适用将会受到越来越多的限制,因为,删除某个区块的数据意味着后续整个区块无法进行哈希链接,而区块链本身不可篡改的特性使得数据主体一旦将数据上链,将很难删除。

对同意撤回权概念的理解首先需要明晰当个人信息主体行使同意撤回权时所撤回的是个人资料的“持有权”还是有特定目的的个人信息“使用权”。撤回“持有权”可以通过标记已删除、不存在,甚至需要通过删除数据备份和硬盘来实现,其实际的行使效果等同于数据的删除权。而将同意的撤回限定为对特定目的的个人信息之“使用权”的撤回则是指信息处理者将不再有权收集信息主体的任何新的个人信息,除存在其他合法事由之外,也不得对已收集的信息作出任何类型的处理。在个人信息主体撤回同意前,其处理行为具有因“同意”而产生的合法正当基础,同意的撤回并不具有溯及既往的效力,故个人主体仅行使同意撤回权不应当产生删除已收集数据的效力。

笔者认为,将同意撤回权界定为不得对已收集的信息再作处理以及禁止对未来信息进行收集具有一定的合理性。首先,这可从功能上直接区分删除权和同意撤回权。同意撤回权实际上使得信息处理者处于一种相对静止的状态之中。信息处理者对其基于个人信息主体的“同意”而收集的个人信息仍然拥有“持有权”,除非双方约定的保存期限已届满或处理目的已实现。而对于个人信息主体而言,行使了同意撤回权之后仍然有再次同意的可能。当个人信息主体因需间续性地获取某种服务时,可选择暂时撤回同意,在需要继续服务时再次选择同意授予信息处理者以处分的权限。此时,若信息处理者保留了用户曾经的使用习惯及设置,可以使得个人信息主体快速便捷地享受到原本暂停的服务。对于信息处理者而言,也避免了一旦同意被撤回即要删除数据的局面。

其次,这更利于信息主体自由取舍服务中的细化功能。同意的撤回权是个人信息主体对于一揽子服务中各细化功能的自决取舍,区别于删除权对应服务的整体拒绝。随着技术的发展和人类需求的多样化,现代的商品买卖及服务提供呈现出越来越综合化的趋势,体现了各种功能的有机融合。例如,地图软件可以实现打车及购票功能;而信息发布软件可以实现订餐和交友功能等。这种一揽子式的服务为生活带来了诸多便利,同时也会在交易过程中向个人信息主体要求更多种类和数量的个人信息。个人信息主体有权在自我衡量成本收益的基础上决定如何授权信息处理者对其个人信息的收集。这种选择权应当建立在信息处理者之服务用于多种适用场景时,即只有在不同的目的之间,个人信息主体才拥有实际的选择权。例如,当个人信息主体选择只查看地图而不享受乘车及购票服务,则无须授权同意自己的位置信息;而当个人信息主体需要乘车时可以开启自己的位置信息,在服务结束后选择撤回同意,以更好地保护自己敏感个人信息。然而在仅提供单一服务目的的服务场景之中,信息处理者收集信息应当遵循必要原则,其核心是收集的信息对于实现正常的服务而言是“充足”但不过量的并且就为了实现某种功能而言是最低必要限度的。告知原则本身受到必要原则的制约,如果信息处理者已经在必要的限度之内处理信息,适用同意撤回权的空间就只能针对服务中的部分功能,而非全面的功能,否则将因功能性受限而无法继续履行原服务或买卖合同之义务。

此外,同意撤回是会员制交易模式下最符合个人信息主体的个人信息处理规则。继续性合同履行间歇期内,会员往往没有产生新的合同交易,但是若能使得经营者保存会员的某些交易记录及用户的偏好性设定会使得用户有更良好的使用感。作为对“同意”与“删除”两种操作之间的良性缓冲,同意撤回权可以实现一种个人信息权益层级性的处分效力。个人信息主体可以依据自身的具体情况选择单独适用同意撤回权或是叠加适用删除权。

三、同意撤回的域外立法比较及路径选择

设立同意撤回权目前已经成为数据立法中的通行规则。但是,不同的制度设计会产生完全不同的实践效果。下文拟从比较法角度分别分析欧盟及美国的路径及其所体现的不同价值取向,并试图寻找其中可资借鉴的部分内容以融入我国的立法之中。

(一)欧盟的路径分析

GDPR第7条同意的条件中明确规定数据主体有权随时撤回其同意。同时,GDPR对同意撤回作了以下两方面的规定:第一,规定了此种权利的行使不具有溯及力,即同意的撤回不应当影响在撤回前基于同意作出的数据处理的合法性。这一条可以理解为,主体撤回同意之前的数据处理不仅合法有效,且数据处理者还可以依法保有这部分个人数据,同意仅对其未来的处理行为存在限制。第二,强调了同意的撤回应当与作出同意同样容易。GDPR并未对撤回同意进行事由限制,可以理解为个人信息主体拥有任意撤回同意的权利而无须受任何事由或时间等条件限制。同意的撤回不具有溯及力与其行使的便利性具有对应的关系,一旦个人信息主体行使了同意撤回权,同意撤回的不具有溯及力可将主体因行权对数据处理者的影响降到最低。

同意撤回权的理论基础在于对“同意”的定性。学者提出,欧盟立法是基于持续性代理理论,“同意”并非合同订立时对数据处理者将作出行为的一次性允诺。允诺并非说明某种依其性质转瞬即逝的意愿的存在,而是在于给某种意愿的内容赋予终局性特征,使其摆脱主观想法和欲求的变幻,并因之创设一种超越时间的拘束性。由于信息处理是一个持续性行为,且与处理及适用的场景有重要关联。一般而言,信息处理者还会以格式条款的方式直接提示个人信息主体其可能会与其他受托方或第三方共享用户的个人信息数据,且会就此另行告知。允诺一旦被表示出来,就抽离了他本身的意愿,此时产生的效力不再关注个人信息主体是否真的愿意,而是只有愿意才是契约之下唯一正确的意思表示。基于以上种种原因,个人信息主体的同意无法辐射整个信息处理流程,也不应当要求“同意”对个人信息主体实现终极性约束效力,故其不能构成有效“承诺”,仅可被视为一种持续性的授权。而拥有授权的信息处理者成为个人信息主体的代理人。个人主体随时有权撤回自己的授权,即“同意”,这种授权的撤回并不影响基础交易的效力,仅限制了信息处理者对个人信息的处理权限。授权与取消授权不受限制,只要不违反权利滥用原则,即使对信息处理者产生了损害也无须承担赔偿责任。欧盟设立这种便利个人主体行使的同意的撤回权是对“同意”瑕疵强有力的补救手段。同时,将删除权与同意撤回权区分也同时起到了维持产业平衡的目的。

(二)美国的路径分析

美国的立法中也同样规定了同意撤回权的适用条件,但由于美国对于个人信息保护采取的是分散化立法模式,因此在不同的场景之中对于同意的要求不同,同意的撤回模式也随场景不同而变。

美国大部分相关的法律文件是以选择退出(opt-out)的方式来代替同意撤回权的行使的。以选择退出模式来行权的主要原因是立法上并未实现要求个人信息主体的明示同意。这与我国立法上主张的以“告知同意”为主体的个人信息保护制度存在差异。美国在多种场景之下都允许企业设置“选择退出”模式供用户自行判断是否授权,但是这种模式的缺省式设置即是企业可直接抓取用户信息,除非用户行权反对。如CCPA规定,消费者有权在任何时候指示一个欲将消费者个人信息出售给第三方的企业不得出售该消费者的个人信息。这项权利可以被称为“选择退出权”。这种行权方式实质上是限制了信息控制者与其他方共同分享信息主体个人信息的权利,而“选择退出”制度也使得用户行权之前的信息处理行为合法化。

但美国有的立法也直接规定了同意撤回权,例如,美国的《儿童网上隐私保护法案》中规定,运营者必须作出“合理的努力”确保父母收到网站或在线服务提供商发出的采集、使用、披露其孩子个人信息的通知,同时相对应地规定了父母授予同意和撤回同意的方式。另外,美国联邦贸易委员会(FTC)的官方合规资料中专门将为家长提供撤销授予的同意与删除孩子个人信息分列为两种不同的选择,以尊重家长对已收集的其孩子的个人信息拥有的持续权利。之所以针对儿童隐私特别规定同意撤回权的原因在于,美国高度重视儿童网络隐私的保护,因此在对于儿童个人信息的收集上对在线经营者课以较重的义务,同时赋予家长更多的持续管理权利。

(三)各国制度的比较分析

从上文介绍可以看出,欧盟与美国大部分立法采用的个人信息的保护机制存在明显不同。GDPR强调个人主体对信息的控制权,即个人信息自决权(CCPA亦包含消费者的自决权),其重在强调个人得以自主、自由地决定如何使用个人信息,从而保障个人的自由人格。个人有权控制个人信息对外披露程度证明个人信息自决权已跨出隐私权保护的被动局面,成为一种控制型、管理型的个人信息保护机制。在此种价值取向之下,用户会更倾向于“拒绝”而非“同意”。但个人自决的实质在于对个体处理信息权益能力的充分信任和合理保护,因而,欧盟家长式的模式并未真正实现“个人信息自决权”的展开,反而由于其制度的设定使得“个人信息自决权”受到越来越多的限制而背离了其赋予信息主体以控制权的初衷。而美国采取的隐私路径更多是采取的一种消极被动姿态来捍卫用户个人信息权利,一旦涉足非个人隐私的领域,法律对于个人信息主体的保护明显乏力,而以合同的角度寻求救济似乎也并非坦途。在美国数起关于隐私政策的诉讼中,原告均以被告违反隐私政策、向第三方泄露原告个人信息为由向法院提起违约之诉,但均因未证明自己实际阅读了被告提供的隐私政策而无法主张存在对合同的信赖利益。同时,由于合同的违约损害仅限于违约所导致的直接经济损失,而原告仅能主张自己的隐私利益受到了侵害,因此此类请求亦均未得到法院的支持。由此可见,个人信息主体难以因信息处理者违反隐私政策泄露个人信息而要求其承担违约责任。在以合同方式主张个人隐私利益保护路径不顺的情况下,只得借助消费者保护的路径推进。

对不同保护机制的选择体现了不同的价值取向,因为,个人信息主体的“同意”选择具有某种分配性:它会使得某些主体受益,同时会危及另一些主体的权利。个人对于“同意”的处分,不仅仅会影响到个体的权利,也在实现着重塑社会的功能。如何以制度的构建达到价值的平衡是大数据时代下的重大考验。从上文对两种路径的分析可以看出,欧盟与美国的立法对“同意”的设计存在不同,因而同意撤回的行使场景也存在差异,其根本原因即在于两者的价值取向不同:欧盟GDPR更倡导同意撤回的广泛适用,而美国虽然也给予了个人信息主体以处分自身信息的权利,但是在立法上更偏重于企业数据收集方的便利性。究其根本原因大概是,与欧洲相比,美国进行数据处理的企业明显更为强势。FTC虽处理多起对于数据企业违规处理消费者个人数据的投诉,但多数以和解结案。对于消费者而言并没有得到实质的救济,同时FTC与数据巨头企业签订的和解协议由于过于偏袒企业方,也屡屡受到公众的指责。

笔者认为,数据产业发展固然能产生巨大的经济和社会效应,但是个人的人格性利益也需要得到合理的保护。对于人格权的侵害难以直接体现在经济利益的丧失之上,也同样难以均以事后救济的方式予以弥补。因此,在路径选择过程中,面对需要保护的多重利益应综合平衡考量。

(四)大数据背景下我国个人信息保护制度的路径选择

资源的稀缺性是经济学的基本原理,一般而言,不界权会使得物被过度使用,从而显著提高外部性成本并最终使物被用竭。但信息本身不具有这种稀缺性的特征,随着信息的不断流转,它所产生的价值反而会越来越大,因此,对信息的界权并不具有紧迫性,但界权后因其界分复杂、公示难度大、管制成本高昂及存在极大的寻租空间等带来的对其他社会资源的过度损耗才是真正值得警惕的问题。当然,不予界权不代表无所限制。对于信息使用的限制的合理基础应当是基于对人格权及市场的正常竞争秩序的尊重与维护。因此,对于达到一定体量的主体对信息的处理行为应当有所规制,对于处理个人信息的行为也应当受到调整。在个人信息的维度内,从权利分配角度入手,藉由对同意及同意的撤回等细化的制度层面的调整,可能更适合我国个人信息保护与实现产业发展的双重目标。由于我国对于个人信息保护方向的行政执法力度较强,因而不宜采取对于企业较为严苛的“一刀切”式立法模式。设定标准时应当将规则落地的可能性及后续产生的诸如过于频繁的诉讼导致的司法资源的紧张等制度成本纳入考量。

橘生淮南则为橘,生于淮北则为枳。西方学者的眼中个人信息主体经常被描绘为缺乏认知,不能理解隐私政策条款,不能理解自己对自身隐私处分的负面程度的人群。但实际上,随着信息不对称问题的逐渐解决,个人信息主体在日常生活之中逐渐形成了自己的隐私偏好。尤其在我国对于个人信息的行政化治理力度持续加强的背景之下,更有可能存在“理性个人信息主体”。考虑到中国的市场更为成熟,消费者的交易习惯领先于世界其他国家,随着消费者隐私保护教育的大力宣传普及,相关行政管理的逐渐深入,“理性个人信息主体”群体的数量将会日益增多。对“理性人”缺省设定的与否实际上直接决定了规制的社会成本。因为,若将个人信息主体视为缺乏认知、无法为自己作出理性决策的主体,则需要从立法层面为信息控制者设置更多的义务。但在以保障信息安全为首要追求的规制模式下,某些义务的履行可能会直接剥夺信息主体的选择权,既会不合理地造成信息流动障碍,也会同时增加合规及执法成本。若能适度认可信息主体的决策理性,那么可以尽量使得立法趋于克制,让出更多的私法自治空间,同时降低企业及社会的管理成本。“理性个人信息主体”能够作出对自己而言更为合理的信息处分决策,因此,针对“理性个人信息主体”应当放弃家长主义的保护作风,尊重个人信息用户的隐私偏好,以合理赋权为主,在私法上避免过度介入信息主体与信息处理者作出的合理交换,以维持个人信息主体对自身合法权益的保障与大数据应用的动态平衡。

四、我国同意撤回权的法律适用问题

《草案》正式纳入了同意撤回权,但在制度设计上就同意撤回及删除权的相关规定仍有待完善,相关权利行使过程中各相对人的权利义务关系也需进一步厘清。下文拟对该权利行使的过程中可能出现的权利义务关系定位不清及该制度在域外适用实践中存在的困境等问题进行一一分析,以期为立法扫清最后的理论障碍。

(一)关于撤回权与受托人及第三方的关系

《草案》规定信息处理者在获得信息主体同意的前提下可将信息主体的个人信息委托给受托方进行处理。委托方与受托方需要就处理信息的目的、方式、种类及保护措施等问题达成协议并在合同履行完毕或委托关系解除后将个人信息予以返还或删除(《草案》第22条)。另外,个人信息处理者在取得个人信息主体同意的情形下还可以向第三方提供其处理的个人信息,故在处理个人信息的流程中,通常会出现多位参与者。因此,厘清所有参与信息处理主体的权利义务关系就成为保护个人信息安全的关键。笔者认为,受托人及第三方之权利义务的确定应符合以下规则:

首先,所有其他从信息处理者处获得信息的受托方或第三方都应当遵从授权递减原则,即其处理信息的权限不得超出信息处理者处理的范畴。这种限制的对象包括处理的信息的类型、数量、目的及时间范围等等。

其次,当个人信息主体撤回对信息处理者的同意之时,受托人及第三方也应当同时停止收集及处理信息主体的个人信息。此时,无需个人信息主体再行对不同主体进行单独的同意撤回通知。考虑到信息流通的重要性,在制度设计过程中,不宜把注意力集中在当初收集信息时是否已获得有效的同意以及相应责任之上,而是应当更加关注信息如何使用,以使信息处理者更关注其处理信息的行为以及所造成的损害。而赋予同意撤回权,在一定程度上正可缓解对于“同意”效力及责任的过度关注,使得人们把目光聚集回信息的处理及使用流程之上。有学者认为,个人信息主体对于信息处理的个人信息自决之行使应当作用于信息本身,并突破合同相对性的限制而在信息的处理过程中紧随信息流转。无论个人信息主体的信息处于信息处理者手中,还是因委托关系处于受托人手中,亦或是为存在合同关系的第三人所掌控,这种个人信息自决的权益均应当受到应有的保护。换言之,任何一方均不得以合同关系主张对抗个人信息主体的同意撤回权。但实际上,让主体以自身的个人信息自决权随着信息流转可能仅仅只是一种美好的愿景。随着信息适用的场景多样化以及信息控制者数量的增多,信息主体对个人信息的实际掌控能力只能慢慢减弱。但是,这并不妨碍个人信息主体通过向信息控制者撤销其同意来控制该信息控制者下游的信息处理行为。这是因为,所有对受托人及第三人作出的“同意”从性质上来说只能成为对原授权许可范围的变更,而并未由此产生新的独立授权。因此,所有信息处理者下游的处理者都当遵守信息处理者与个人信息主体之间授权约定,对任何超出该范围的处理行为,应当由处理者承担连带责任。

最后,信息处理者的受托方及第三方不得以履行合同所必需来对抗个人信息主体。根据《草案》第 13条,处理个人信息的法定条件除了同意之外还有“为订立或履行个人作为一方当事人的合同所必需”等条件。此时,信息处理者与受托方或者第三方必然存在对信息处理方式、目的、范围等的基本约定。依据前述“一方不能把自己不享有的权利转给第三方”的法理,信息处理者与受托方或第三方对于数据处理的方式、目的及范围等权利约定不能超过个人信息主体的原授权范围,因此,当存在此类情形之时还需额外获取个人信息主体的同意。

(二)对同意撤回的理论质疑及回应

目前,学界对同意撤回制度的具体适用存在诸多质疑,为便于将来立法实施,有必要对之一一回应。

第一,学者对同意撤回制度最猛烈的抨击在于:用户无法得知自己享有撤销权。特别是当存在某种“隐形侵权行为”的情形时,如信息处理者用某种专门针对个人消费者的剥削性营销技术时,消费者可能根本意识不到其选择是受到经营者利用其弱点的定向销售技术之影响而作出的。此时,企业须履行告知弱势消费者具有个性化撤回的义务。对此,国家作为超然利益关系的治理者(虽然它同时也是最大的个人信息收集、处理、储存和利用者),承担着普及个人信息保护知识,提高主体的个人信息保护意识、宣传及协助公民理解其权利内涵以及救济路径的责任。事实上,我国各有关部门已高度重视贯彻落实个人信息保护相关法律法规,积极开展工作并建立了专门针对App违法违规收集使用个人信息行为的举报渠道,受理网民投诉举报。截至2019年12月,微信公众号“App个人信息举报”已有超3万名用户关注,共收到网民举报信息12125条,涉及2300余款App,我国用户因“隐形侵权行为”受到的损害可能性大大降低。

第二,也有学者担心,一旦拥有无条件的撤回权,数据市场可能出现大幅波动,信息控制者极有可能落入数据泥潭之中无法抽身,沦为信息保护制度的牺牲品。实际上,若在制度安排上能实现同意撤回权与数据删除权的区分,并不会使得信息控制者因此背负过重的负担。事实上,许多国家在立法中也已引入了同意撤回机制:印度《2018年个人数据保护法案(草案)》规定,同意应当不迟于处理开始时作出,有效同意必须是自愿、知情、具体、清晰且能够撤回的,且数据处理机构不得对“同意撤回”设定条件;巴西于2018年出台的《通用数据保护法》也规定了更为广泛的删除、携带和同意撤回的权利。可以看出,对于同意撤回权的立法为全球个人信息保护立法的趋势与共识。

第三,还有学者从实证角度提出了个人信息主体的权利不应当增加“粒度化”(granularity)的观点。该研究指出,若赋予个人信息主体更多的选择权以增加其权利粒度会为其带来更大的风险。该理论认为,个人信息主体在其隐私期待和实际处分行为上存在较大差异,而造成这种差异的原因,首先是因为存在认知差距(cognitive dissonance)。这一担心不无道理,某项针对个人信息主体的调查发现,仅有30%的参与者能正确回答关于其在线交易中隐私保护问题,还有75%的受调查者错误地认为如果某网站有隐私政策说明其不会与其他网站或公司共享自己的个人信息。但此问题并非无法解决。实践中,各国已对此采取了相关应对措施。例如,加拿大专门规定了隐私委员会有增强公正对隐私认识的法律责任。而我国对于个人信息保护所投入的行政执法力度较大,各行业标准也在逐步完善之中。尤其是自2019年1月以来,我国中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展 App 违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展App违法违规收集、使用个人信息专项治理活动。随着在我国对于违法收集个人信息整治的深入,及对千余款 App 经深度评估后的有效整改,使得企业管理和民众意识都得到了大幅度提高,随着我国消费者的隐私观念与行权意识逐渐增强,对认知差距方面的顾忌也在慢慢减少。

第四,有学者提出,受个人信息主体惰性和顾虑的影响,同意撤回的有效行权也不一定可真正实现。其理由之一是,个体作出授权信息收集的同意决策时,更多考量的是即刻所得,换言之,主体在作出“同意”之时往往是因受到了一定现实利益的诱导。例如,选择了“同意”即可马上获得某种商品、服务或便利条件。但是当个人信息主体需要选择退出之时,却往往因缺乏直接的动因而怠于行权。但这一质疑并不成立,更没有必要仅因主体是否主动适用而改变权利防御性性质的设定。实际上,消极性、防御性权利是个人信息主体的最后救济,当主体的正当权益受到侵害之时,应当允许其以行使同意撤回权的方式来防卫自身的人格利益,而这种对自身人格利益的维护往往并不需要任何额外的经济激励动因。该质疑的另一理由是,个人信息主体会因担心丧失已有的服务或某些产品功能会受到限制等顾虑而不积极行权。对此,《草案》第17条已明确规定:个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务。该条从法律的角度保障了个人信息主体撤回同意之后的合法权益,使得个人信息主体消除了对撤回同意之不利后果的担忧,扫清了行权的最后障碍。

结 语

近些年来,各国的个人信息、隐私和数据立法也在突飞猛进,为立法及司法工作提出了新的要求。要实现兼顾保护个人信息权益与促进个人信息合理利用的双重目标就需要更加细化把握每个具体的制度定位及其实施细节。鉴于告知同意模式存在的固有缺陷,应当引入同意撤回权,以赋予个人信息主体更多自主选择的空间,使得个人信息主体真正享有“决定权”。同意撤回权作为人格权体系下的撤销权,其行使应遵循对人格利益的许可撤销的规则,不仅不应受到过多限制,也不应以主体受到实际损害为前提,同时一般亦不具有溯及力。在行政监督与行政执法已经相当有力的前提之下,要注意避免对信息处理者进行“一刀切”式的强制性立法,将同意撤回与删除权清晰分离,为个人信息主体提供更多具有可行性的替代解决方案。此外,应在借鉴其他国家制度运行成败经验的基础上,选择适合我国的立法路径,以推出一部真正适合中国的个人信息保护立法。

上一条:陈少青:刑民界分视野下诈骗罪成立范围的实质认定 下一条:于程远:论限制民事行为能力人之中性行为

关闭