個人信息處理中的撤回同意

胡利玲

（中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院 北京 100088）

我國《個人信息保護(hù)法》（以下簡稱“個保法”）第13條將同意作為處理個人信息的合法化基礎(chǔ)之一，同時第15條又規(guī)定：“基于個人同意處理個人信息的，個人有權(quán)撤回其同意。個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。個人撤回同意，不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力?！贝思础巴獬坊亍痹凇秱€保法》上的體現(xiàn)，也是《個保法》針對個人信息處理的同意撤回權(quán)的規(guī)則。所謂撤回同意，是指基于個人信息主體同意而處理個人信息時，個人信息主體有權(quán)隨時撤回其同意，從而終止個人信息處理者進(jìn)行個人信息處理行為的意思表示［1］。撤銷權(quán)針對的是信息主體在特定場景下對特定個人信息的處理所作出的同意［2］。

其意義在于強(qiáng)調(diào)信息主體對個人信息的支配權(quán)。撤回同意的權(quán)利是個人信息支配權(quán)的重要組成部分，是信息主體決定其信息何時被利用的手段。比較法上，各國立法也都允許個人信息主體撤回其同意。例如，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）第7 條第3 款規(guī)定：“數(shù)據(jù)主體有權(quán)隨時撤回其同意。允許個人撤回其同意，是個人對其個人信息處理同意權(quán)的當(dāng)然內(nèi)容。若個人一經(jīng)作出同意就不能撤回，則個人的同意就不可能是真正的同意，其對個人信息的處理也就無真正的自主決定權(quán)［3］?！币虼?，法律應(yīng)當(dāng)允許個人撤回其同意，任何禁止或限制個人撤回其同意的條款或聲明均應(yīng)屬于無效。

1 “撤回同意”的法律性質(zhì)

《個保法》雖然規(guī)定了個人對其同意可以撤回，但并沒有明確撤回同意的法律性質(zhì)為何。究其原因，主要是學(xué)界和立法界一直存有爭議，立法采取了沉默和擱置。

有學(xué)者認(rèn)為，同意撤回是指個人信息主體基于告知同意規(guī)則，對自己已經(jīng)作出的同意信息處理者對其個人信息進(jìn)行處理的授權(quán)予以取消的意思表示。但從理論上分析，撤回意思表示須在意思表示未生效之前到達(dá)相對人，其產(chǎn)生的效力是使此前作出的意思表示不發(fā)生法律效力；而撤銷意思表示則是在意思表示到達(dá)相對人并生效后作出的取消此前意思表示的行為。因此《個保法》上的同意撤回雖名為“撤回”，實(shí)則為意思表示的撤銷，同時認(rèn)為此種撤銷不同于一般民法上的撤銷行為，而是一種人格權(quán)體系下的同意撤銷權(quán)［1，4］。

但也有人認(rèn)為，同意并非意思表示，撤回同意不適用《民法典》關(guān)于意思表示的撤回及撤銷的規(guī)則。理由是《民法典》對意思表示的規(guī)定，之所以區(qū)分撤回和撤銷并確立不同規(guī)則，主要是考慮到交易相對人的信賴保護(hù)，而個人信息處理中個人的同意不涉及對處理者的信賴保護(hù)，處理者對于個人是否同意以及是否撤回同意不存在需要法律保護(hù)的信賴。因此，也不存在個人撤回同意后，需要向處理者承擔(dān)損害賠償責(zé)任的問題［3］。

還有人認(rèn)為，從權(quán)利的角度而言，個人信息主體撤回同意是個人對其個人信息支配的一種方式。賦予個人信息主體撤回權(quán)，是讓個人實(shí)際享有決定其個人信息權(quán)益是否被處分以及何時被處分的權(quán)利。可類比于《民法典》第173 條第2 項，即“被代理人取消委托”時，委托代理終止（學(xué)理上稱為“撤回代理權(quán)”）。所以單純從個人信息權(quán)益角度看，同意的撤回是權(quán)利人在法定限度內(nèi)按照自己的意志行使支配權(quán)的體現(xiàn)［2］。

《個保法》立法過程中前后稿的變化也反映出對同意及其撤回同意法律屬性上的爭議。在《個保法》一審稿中曾規(guī)定，“處理個人信息的同意，應(yīng)當(dāng)由個人在充分知情的前提下，自愿、明確地作出意思表示”。但其后第二稿與最終出臺的《個保法》卻刪除了“意思表示”的表述，對“同意”的屬性采取了沉默、擱置的態(tài)度。

本文主張，同意的法律性質(zhì)應(yīng)屬意思表示。因此，撤回同意即是消滅其意思表示的行為。因?yàn)椤秱€保法》上的“撤回同意”，均發(fā)生在個人的同意已到達(dá)處理者的前提下，因此其實(shí)質(zhì)應(yīng)是意思表示的撤銷而非“撤回”。至于撤回同意何以排除一般意思表示撤銷后的溯及力，則可從個人信息權(quán)益的強(qiáng)烈人格屬性特點(diǎn)出發(fā)加以解釋，并將其作為意思表示撤銷后果的例外對待，作為人格權(quán)體系下的同意撤回權(quán)。而且，“數(shù)據(jù)處理活動對個人所造成的影響在事實(shí)上也不可能恢復(fù)至原始狀態(tài)。而且，個人通過同意處理個人信息，已經(jīng)換取了與之對等的增值服務(wù)，雙方當(dāng)事人的權(quán)益并未失衡，亦無必要溯及既往”［2］。

2 撤回同意適用的前提和范圍

2.1 適用前提

邏輯上，個人撤回同意需以其已經(jīng)作出同意為前置條件。我國《個保法》為個人信息處理提供了兩類（7種）合法性基礎(chǔ)——基于個人同意與其他不需要個人同意的法定情形（第17 條）。只有基于個人同意而處理個人信息的，才存在“撤回同意”的可能。因此撤回同意僅適用于“基于個人同意處理個人信息”的情形，也即同意作為個人信息處理合法化基礎(chǔ)的情形。撤回的目的是阻卻根據(jù)個人的在先同意繼續(xù)處理個人信息。如果個人信息處理的合法基礎(chǔ)是《個保法》第13條第1 款第2-7 項所規(guī)定——無需取得個人同意的情形，即為了訂立或者履行個人作為當(dāng)事人的合同、應(yīng)對突發(fā)公共衛(wèi)生事件、為履行法定職責(zé)或法定義務(wù)、在合理范圍內(nèi)處理個人已合法公開的個人信息或者法定的其他情形，則不存在個人撤回其同意的前提。

2.2 適用范圍

按照《個保法》的規(guī)定：個人信息處理是指對個人信息的收集、存儲、使用、加工、傳輸、提供、公開和刪除等活動。相應(yīng)地，個人撤回同意權(quán)也應(yīng)適用于個人信息處理的各個階段。但是從目前我國個人信息的國家標(biāo)準(zhǔn)以及實(shí)踐來看，撤回同意權(quán)主要規(guī)定在個人信息收集、使用階段，而不是處理活動的全部環(huán)節(jié)。例如《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020）（以下簡稱《個人信息安全規(guī)范》）第8.4 條規(guī)定：應(yīng)向信息主體提供撤回“收集、使用”階段個人信息授權(quán)同意的方法，并對信息主體“拒絕接收基于其個人信息推送商業(yè)廣告”的權(quán)利，“對外共享、轉(zhuǎn)讓、公開披露個人信息”時提供撤回同意的方法。比較法上，GDPR也沒有限定個人信息主體撤回同意適用的具體處理活動階段。

3 撤回同意的方式

3.1 是否可以隨時撤回或任意撤回

對信息主體是否可以隨時撤回或任意撤回，我國《個保法》沒有明確規(guī)定。但GDPR第7條第3款規(guī)定：數(shù)據(jù)主體有權(quán)隨時撤回其同意。而且未對撤回同意規(guī)定任何事由的限制。因此，可以認(rèn)為，在GDPR 下，個人信息主體享有任意撤回其同意的權(quán)利而不附加任何其他條件，并且可以隨時撤回而無需受到時間上的限制。2021年11月14日，國家網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》在要求“便捷”的基礎(chǔ)上規(guī)定“不得設(shè)置不合理條件”。其第23 條規(guī)定，“個人提出查閱、復(fù)制、更正、補(bǔ)充、限制處理、刪除其個人信息的合理請求的，數(shù)據(jù)處理者應(yīng)當(dāng)履行以下義務(wù)：……（二）提供便捷的支持個人復(fù)制、更正、補(bǔ)充、限制處理、刪除其個人信息、撤回授權(quán)同意以及注銷賬號的功能，且不得設(shè)置不合理條件；……”。但如此規(guī)定，可能推導(dǎo)出這樣一種結(jié)論，即個人信息處理者可以為撤回同意設(shè)置條件，只要該條件“合理”。這顯然不符合賦予個人信息主體享有撤回同意權(quán)的立法意圖，也難以避免個人信息處理者通過設(shè)定條件變相阻礙個人信息主體行使撤回同意權(quán)，從而架空該權(quán)利。而且“合理”與否難以判斷。

3.2 何謂便捷的撤回同意方式

《個保法》第15 條規(guī)定：“個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。”

據(jù)此，首先，個人信息處理者有義務(wù)向個人信息主體提供撤回同意的方式?！秱€人信息安全規(guī)范》在第8.4條“個人信息主體撤回授權(quán)同意”中對個人信息控制者要求：（a）應(yīng)向個人信息主體提供撤回收集、使用其個人信息的授權(quán)同意的方法，撤回授權(quán)同意后，個人信息控制者后續(xù)不應(yīng)再處理相應(yīng)的個人信息。（b）應(yīng)保障個人信息主體拒絕接收基于其個人信息推送商業(yè)廣告的權(quán)利。對外共享、轉(zhuǎn)讓、公開披露個人信息，應(yīng)向個人信息主體提供撤回授權(quán)同意的方法。《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第23 條也規(guī)定，“個人提出查閱、復(fù)制、更正、補(bǔ)充、限制處理、刪除其個人信息的合理請求的，數(shù)據(jù)處理者應(yīng)當(dāng)履行以下義務(wù)：……（二）提供便捷的支持個人復(fù)制、更正、補(bǔ)充、限制處理、刪除其個人信息、撤回授權(quán)同意以及注銷賬號的功能，……”。但是，若個人信息處理者沒有提供撤回同意的方式，會產(chǎn)生何種法律后果，《個保法》沒有進(jìn)一步規(guī)定。《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》第3條第8款規(guī)定，未向用戶提供撤回同意收集個人信息的途徑、方式的，屬于“未經(jīng)用戶同意收集使用個人信息”。如此，在只有“取得個人同意”才能處理個人信息的情形下，處理個人信息的行為將被視為不具有合法性基礎(chǔ)［5］。

其次，個人信息處理者向個人信息主體提供的撤回同意的方式應(yīng)該便捷。但何謂便捷，《個保法》并未具體規(guī)定。《個人信息安全規(guī)范》在第8.7條中特別規(guī)定：“采用交互式頁面（如網(wǎng)站、移動互聯(lián)網(wǎng)應(yīng)用程序、客戶軟件端等）提供產(chǎn)品或服務(wù)的，宜直接設(shè)置便捷的交互式頁面提供功能或選項，便于個人信息主體在線行使其訪問、更正、刪除、撤回授權(quán)同意、注銷賬戶等權(quán)利”［8.7（b）］。比較法上，歐盟GDPR第7條第3款規(guī)定：“撤回同意應(yīng)與作出同意同樣容易［6］?！北容^而言，GDPR的規(guī)定更為可行，兼具具體和開放。目前在我國《智能家用電器個人信息保護(hù)要求和測評辦法》（GB/T 40979-2021）中可以看到類似的規(guī)定，其除了強(qiáng)調(diào)撤回的“隨時性”外，規(guī)定了應(yīng)與作出授權(quán)同意“同等容易”。

此外，與之相關(guān)的另一問題是：個人信息處理者是否有義務(wù)在取得個人同意前告知個人信息主體有權(quán)撤回同意。根據(jù)GDPR的規(guī)定，數(shù)據(jù)控制者在取得個人同意前，必須告知個人有隨時撤回同意的權(quán)利。如果數(shù)據(jù)控制者沒有履行這一告知義務(wù)，可以對數(shù)據(jù)控制者處以最高2000萬歐元或者上一財政年度全球營業(yè)總額4%的罰款。我國《個保法》第15條沒有明確規(guī)定。但有人認(rèn)為，由于撤回同意也是《個保法》規(guī)定的個人權(quán)利，故應(yīng)包括在第17條第1款第3項規(guī)定的必須告知事項的“個人行使本法規(guī)定的權(quán)利的方式和程序”中［4］。

本文認(rèn)為，有必要在《個保法》上作出更為具體細(xì)致的安排，GDPR 的規(guī)定可資借鑒。個人信息主體不僅有權(quán)隨時撤回其同意，而且法律上不應(yīng)存在任何附加條件；個人信息處理者有義務(wù)在取得個人同意前告知個人信息主體有權(quán)撤回同意，并應(yīng)提供撤回同意的方式。如果未向用戶告知，也未提供撤回同意的方式的，應(yīng)被視為“未經(jīng)用戶同意處理個人信息”；個人信息處理者提供的撤回同意的方式，應(yīng)至少與作出同意同樣便捷。

4 撤回同意的法律效果

比較法上，個人撤回同意所產(chǎn)生的法律效果不同。GDPR規(guī)定的撤回同意的法律效果有二：其一，撤回同意不影響在撤回前基于同意作出的數(shù)據(jù)處理的合法性（第7條第3款）。這意味著同意的撤回不具有溯及力，其效力僅指向未來的處理行為。其二，基于數(shù)據(jù)主體同意處理個人數(shù)據(jù)的，如果數(shù)據(jù)主體撤回其同意，只有在缺乏其他有關(guān)數(shù)據(jù)處理的法律依據(jù)的情況下，數(shù)據(jù)控制者才有責(zé)任及時刪除個人數(shù)據(jù)（第17條第1款（b）項）［7］。這意味著此種情況下，數(shù)據(jù)處理者可以依法保有這部分個人數(shù)據(jù)，而并非必須刪除數(shù)據(jù)。GDPR 沒有明確規(guī)定撤回同意后后續(xù)處理活動是否繼續(xù)進(jìn)行。對此，英國在《GDPR適用指南》中進(jìn)行了解釋：一方面處理者不能再依賴同意作為處理的合法依據(jù)；另一方面?zhèn)€人必須能夠在不遭受任何損害的情況下撤回對處理的同意。盡管處理者接收到撤回同意的申請后應(yīng)該盡快停止處理，但GDPR 也給予了信息處理者一定的響應(yīng)時間，即在一些情況下，可以證明處理撤回時的短暫延遲是合理的［8］。

根據(jù)我國《個保法》的規(guī)定，撤回同意后會產(chǎn)生兩項法律效果：其一，不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力（第15 條）。即撤回同意不具有溯及力，也即此前個人信息處理者所進(jìn)行的處理活動是基于個人同意而進(jìn)行的具有合法基礎(chǔ)的活動，故其行為效力不受影響。其二，個人撤回同意的，個人信息處理者應(yīng)當(dāng)主動刪除個人信息；個人信息處理者未刪除的，個人有權(quán)請求刪除（第47 條）。據(jù)此，個人撤回同意后，個人信息處理者負(fù)有主動刪除個人信息的義務(wù)，個人具有刪除個人信息的請求權(quán)。那么，個人信息處理者是否必須刪除這些個人信息而不得繼續(xù)保有？第47條在前述規(guī)定之后，繼續(xù)規(guī)定到“法律、行政法規(guī)規(guī)定的保存期限屆滿，或者刪除個人信息從技術(shù)上難以實(shí)現(xiàn)的，個人信息處理者應(yīng)當(dāng)停止除存儲和采取安全保護(hù)措施之外的處理”。依此，我國《個保法》上對于個人信息主體撤回同意后的法律效力，還應(yīng)包括：若存在法定事由或者技術(shù)原因無法刪除時，則個人信息并非必須刪除，但不得繼續(xù)處理這些個人信息。由此，撤回同意并不必然引發(fā)刪除個人信息的法律后果［9］?！秱€人信息安全規(guī)范》中也規(guī)定“撤回授權(quán)同意后，個人信息控制者后續(xù)不應(yīng)再處理相應(yīng)的個人信息［第8.4條（a）］。之所以撤回同意后個人信息處理者不得再繼續(xù)處理相應(yīng)的個人信息，是因?yàn)槌蜂N同意后繼續(xù)處理將因缺乏個人的同意而不具備合法化基礎(chǔ)。只有重新取得個人的同意，才能恢復(fù)處理。

我國《個保法》沒有明確在接到個人要求撤銷同意的通知后響應(yīng)的時間。不過《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第23條作了規(guī)定：數(shù)據(jù)處理者收到個人復(fù)制、更正、補(bǔ)充、限制處理、刪除本人個人信息、撤回授權(quán)同意或者注銷賬號申請的，應(yīng)當(dāng)在十五個工作日內(nèi)處理并反饋。法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

除上述法律效果外，《個保法》還在第16 條規(guī)定，“個人信息處理者不得以個人不同意處理個人信息或撤回同意為由，拒絕提供產(chǎn)品或服務(wù)；處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外”。此規(guī)定表明，個人信息主體撤回同意并不意味著拒絕繼續(xù)使用相關(guān)產(chǎn)品和服務(wù)，因此，只要個人信息主體撤回同意部分的個人信息不屬于提供產(chǎn)品或服務(wù)所必須，則個人信息處理者就不得以撤回同意為由拒絕提供產(chǎn)品或服務(wù)。難題在于如何判斷“處理個人信息屬于提供產(chǎn)品或者服務(wù)所必須”。一般是指如果不處理個人信息將無法提供產(chǎn)品或服務(wù)的基本功能服務(wù)。對此可參考《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍指引》的規(guī)定，該指引第三條對“必要信息”作了界定：“本規(guī)定所稱必要個人信息，是指保障APP 基本功能服務(wù)正常運(yùn)行所必需的個人信息，缺少該信息APP 即無法實(shí)現(xiàn)基本功能服務(wù)。”同時在第五條對諸如地圖導(dǎo)航、網(wǎng)絡(luò)約車等互聯(lián)網(wǎng)應(yīng)用程序的基本功能所必需的個人信息進(jìn)行了列舉。

5 結(jié)語

我國《個人信息保護(hù)法》第13 條將同意作為處理個人信息的合法基礎(chǔ)之一，第15條又規(guī)定同意可以撤回，由此形成針對個人信息處理的同意撤回權(quán)的特別規(guī)則。本文認(rèn)為，個人撤回同意在法律實(shí)質(zhì)上可歸于意思表示的撤銷，但是與民法上意思表示撤銷效果并不完全相同。個人信息主體不僅有權(quán)隨時撤回其同意，且法律上不應(yīng)附加任何其他條件；個人信息處理者有義務(wù)在取得個人同意前告知個人信息主體有權(quán)撤回同意，并應(yīng)提供便捷的撤回同意的方式。如果未向用戶告知，也未提供撤回同意的方式的，應(yīng)被視為“未經(jīng)用戶同意處理個人信息”；個人信息處理者提供的撤回同意的方式，應(yīng)至少與作出同意同樣便捷。個人撤回同意的，撤回同意不具有溯及力，不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力；個人撤回同意后，原則上個人信息處理者應(yīng)刪除撤回同意部分的個人信息，個人也有請求刪除其個人信息的權(quán)利。但特定情形下，允許個人信息處理者依法繼續(xù)保有該個人信息，但不得繼續(xù)處理這些個人信息。