個人信息處理同意的性質(zhì)與有效條件

●于海防

同意對私法秩序的建構(gòu)具有重要意義，法律向來注重同意的真實(shí)性。但在個人信息處理領(lǐng)域，長期以來，個人信息處理者（以下簡稱處理者）所設(shè)計(jì)推行的格式化告知同意機(jī)制重表示輕意思，對同意真實(shí)性的保障嚴(yán)重不足，導(dǎo)致同意非真實(shí)卻有效的反差大規(guī)模存在。司法實(shí)踐主要采取行為導(dǎo)向，關(guān)注同意的表面存在卻忽視了同意的取得過程，缺少對同意效力的深度審查，導(dǎo)致真實(shí)的同意與司法中的同意存在巨大差距。個人信息處理同意〔1〕為便于行文，本文將“個人對處理其個人信息的同意”簡稱為“個人信息處理同意”。本文還使用了“用戶”“同意人”的概念，指的是作出個人信息處理同意的個人。有名無實(shí)的問題受到學(xué)界關(guān)注，有觀點(diǎn)強(qiáng)調(diào)意思自治在告知同意中的基礎(chǔ)地位，〔2〕參見葉名怡：《論個人信息權(quán)的基本范疇》，載《清華法學(xué)》2018年第5期，第154頁。也有觀點(diǎn)認(rèn)為應(yīng)對告知同意進(jìn)行合理限制，〔3〕參見張新寶：《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期，第14-16頁。還有觀點(diǎn)提出應(yīng)依托傳統(tǒng)理論解決同意瑕疵問題，〔4〕參見王進(jìn)：《論個人信息保護(hù)中知情同意原則之完善》，載《廣西政法管理干部學(xué)院學(xué)報(bào)》2018年第1期，第66頁。但相關(guān)研究與傳統(tǒng)理論融合不足，未能厘清傳統(tǒng)理論在個人信息處理領(lǐng)域的具體運(yùn)用?！睹穹ǖ洹返?035條僅對個人信息處理同意作出簡單規(guī)定?！秱€人信息保護(hù)法》采取意圖導(dǎo)向，在第14條中將個人信息處理同意的一般有效條件規(guī)定為充分知情、自愿、明確，這有助于矯正實(shí)踐中同意真實(shí)性與有效性的大規(guī)模背離。而且，《個人信息保護(hù)法》還對同意的類型、同意的撤回、同意能力以及處理者的告知等作出規(guī)定，從而建立起較為完整的告知同意機(jī)制。

從《個人信息保護(hù)法》對個人信息處理同意有效條件的規(guī)定來看，其追求的是實(shí)質(zhì)同意，而非形式同意，強(qiáng)調(diào)同意的真實(shí)性。然而，《個人信息保護(hù)法》既未明確個人信息處理同意的性質(zhì)，也未界定何謂充分知情、自愿、明確，甚至連告知與同意之間的關(guān)系也未規(guī)定，那么在落實(shí)告知同意機(jī)制時，應(yīng)當(dāng)如何對同意的有效條件進(jìn)行解釋與認(rèn)定，以實(shí)現(xiàn)對同意真實(shí)性的保障？一般而言，應(yīng)當(dāng)依托意思表示理論與規(guī)則彌補(bǔ)《個人信息保護(hù)法》的不足，解決同意有效條件的解釋與認(rèn)定等問題。但《個人信息保護(hù)法》對同意的規(guī)定明顯異于《民法典》對意思表示的規(guī)定，并且刪除了草案中同意屬意思表示的規(guī)定，以至于學(xué)界對意思表示理論與規(guī)則能否適用于個人信息處理同意產(chǎn)生爭議。

一、個人信息處理同意的性質(zhì)界定

從不同性質(zhì)出發(fā)，個人信息處理同意的規(guī)則適用將產(chǎn)生差異，有效條件也將得到不同解釋。對個人信息處理同意的性質(zhì)界定應(yīng)以其傳統(tǒng)的性質(zhì)界定為基礎(chǔ)，否則將導(dǎo)致同意在民法體系內(nèi)的過度割裂。

（一）個人信息處理同意性質(zhì)界定中的爭議、核心問題與解決進(jìn)路

學(xué)界對個人信息處理同意的性質(zhì)爭議較大，主要存在法律行為說、意思表示說、處分說、委托說、法律上的行為說、雙重屬性說等不同觀點(diǎn)。法律行為說與意思表示說雖分別認(rèn)為個人信息處理同意屬于法律行為〔5〕參見王澤鑒：《人格權(quán)法》，北京大學(xué)出版社2013年版，第214頁；劉召成：《人格商業(yè)化利用權(quán)的教義學(xué)構(gòu)造》，載《清華法學(xué)》2014年第3期，第131頁；李偉、蔣文杰：《隱私協(xié)議用戶知情同意的認(rèn)定》，載《中國檢察官》2021年第1期，第8-9頁。、意思表示〔6〕參見鄭佳寧：《知情同意原則在信息采集中的適用與規(guī)則構(gòu)建》，載《東方法學(xué)》2020年第2期，第199頁；馬新彥、張傳才：《知情同意規(guī)則的現(xiàn)實(shí)困境與對策檢視》，載《上海政法學(xué)院學(xué)報(bào)》2021年第5期，第105頁；張勇：《APP個人信息的刑法保護(hù)：以知情同意為視角》，載《法學(xué)》2020年第8期，第124-125頁。，但差異不大，因?yàn)榉尚袨榈暮诵木褪且馑急硎?。處分說、委托說在意思表示的基礎(chǔ)上作出進(jìn)一步分析，或者認(rèn)為同意構(gòu)成對個人信息權(quán)益的處分，〔7〕參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學(xué)》2021年第1期，第167-168頁。或者認(rèn)為同意成立了委托關(guān)系或信義關(guān)系?！?〕參見丁曉東：《個人信息保護(hù)原理與實(shí)踐》（第1版），法律出版社2021年版，第89-101頁。這些觀點(diǎn)可稱為意思表示肯定說。法律上的行為說認(rèn)為個人信息處理同意欠缺效果意思，其法律效果取決于法律規(guī)定，應(yīng)界定為法律上的行為，屬于法定免責(zé)事由，不能界定為意思表示，否則將導(dǎo)致意思表示規(guī)則的錯誤適用?！?〕參見程嘯：《論個人信息處理中的個人同意》，載《環(huán)球法律評論》2021年第6期，第41-47頁。還有類似觀點(diǎn)指出，個人信息處理同意不會產(chǎn)生法律效果，不會導(dǎo)致法律關(guān)系的變動，且可隨時任意撤銷而不產(chǎn)生任何責(zé)任，與意思表示撤銷規(guī)則不符，不應(yīng)界定為意思表示?！?0〕參見張新寶：《個人信息保護(hù)法的基礎(chǔ)理論與制度安排》，https://www.civillaw.com.cn/gg/t/?id=38270#，2022年7月9日訪問。這些觀點(diǎn)可稱為意思表示反對說。雙重屬性說則基于傳統(tǒng)同意在不同場景中的性質(zhì)差異，以及意思表示規(guī)則的不完全適用，認(rèn)為個人信息處理同意在合同場景中屬意思表示，在侵權(quán)場景中屬受害人同意，分別適用相應(yīng)的規(guī)則?！?1〕參見陸青：《個人信息保護(hù)中“同意”規(guī)則的規(guī)范構(gòu)造》，載《武漢大學(xué)學(xué)報(bào)（哲學(xué)社會科學(xué)版）》2019年第5期，第120-124頁。

從上述學(xué)界爭議可以看出，個人信息處理同意性質(zhì)界定中的核心問題在于確定個人信息處理同意與意思表示之間的關(guān)系，以及二者在規(guī)則適用上的關(guān)系。個人信息屬人格權(quán)益，〔12〕參見王利明：《和而不同——隱私權(quán)與個人信息的規(guī)則界分和適用》，載《法學(xué)評論》2021年第2期，第19頁。受傳統(tǒng)法上的人格權(quán)法定原則約束，而意思表示肯定說卻多是從意思自治出發(fā)，認(rèn)為個人信息處理同意構(gòu)成意思表示，既缺少詳細(xì)的理由分析，也未合理解釋二者在規(guī)則上的齟齬。〔13〕參見王澤鑒：《人格權(quán)法》，北京大學(xué)出版社2013年版，第142、214頁?！秱€人信息保護(hù)法（草案一審稿）》第14條曾將同意規(guī)定為意思表示，但在正式頒布時卻予以刪除。意思表示反對說與《個人信息保護(hù)法》的立法走向看似一致，也符合人格權(quán)法定原則，其基于對法律效果發(fā)生根據(jù)的分析，依托《個人信息保護(hù)法》上的同意規(guī)則迥異于意思表示規(guī)則，對意思表示肯定說提出了較為有力的質(zhì)疑。不過，法律上的行為包括法律行為、事實(shí)行為、準(zhǔn)法律行為，若寬泛地將個人信息處理同意界定為法律上的行為，僅是承認(rèn)其具有法律意義，卻未界定其性質(zhì)。雙重屬性說大致是肯定說與否定說的折中，基于不同場景對個人信息處理同意的性質(zhì)予以分別界定，而未作出統(tǒng)一界定。

當(dāng)前對個人信息處理同意性質(zhì)的爭議是傳統(tǒng)法上的同意性質(zhì)之爭在個人信息處理領(lǐng)域的延續(xù)與發(fā)展，問題與觀點(diǎn)均有重疊。筆者認(rèn)為，對個人信息處理同意性質(zhì)的討論應(yīng)當(dāng)在個人信息保護(hù)實(shí)踐的基礎(chǔ)上，結(jié)合傳統(tǒng)法相關(guān)研究展開，一來可起事半功倍之效，二來可保障民法同意理論的體系性。

（二）意思是個人信息處理同意法律效果的產(chǎn)生根據(jù)

法律效果是按照主體意思還是按照法律規(guī)定產(chǎn)生，是判斷行為屬于意思表示（或法律行為）還是事實(shí)行為、準(zhǔn)法律行為的關(guān)鍵?！?4〕參見楊代雄：《法律行為論》，北京大學(xué)出版社2021年版，第39-40頁。個人信息處理同意是一種基于自決而表達(dá)意思的聲明，〔15〕Vgl. G. Von Zimmermann, Die Einwilligung im Internet, epubli GmbH, 2014, S. 17-20.不能認(rèn)為相關(guān)法律效果的產(chǎn)生完全取決于法律規(guī)定，與意思無關(guān)。

個人信息處理同意主要屬于人格權(quán)領(lǐng)域中的同意。人格權(quán)法基于對人格尊嚴(yán)、自由的保護(hù)，預(yù)先設(shè)定了人格權(quán)秩序，主體無法在法律規(guī)定范圍以外通過意思取得或處分人格權(quán)。考慮到對人格利益的經(jīng)濟(jì)利用，人格權(quán)法允許法定范圍內(nèi)的人格權(quán)益（如姓名、名稱、肖像、個人信息）通過同意、合同等方式成為許可使用的對象，〔16〕參見王利明：《人格尊嚴(yán)：民法典人格權(quán)編的首要價值》，載《當(dāng)代法學(xué)》2021年第1期，第8頁。但不允許脫離人格權(quán)法定秩序。按照《個人信息保護(hù)法》第13條第1款的規(guī)定，在六種法定情形中，處理個人信息無需取得個人同意，相關(guān)法律效果無疑取決于法律規(guī)定，與個人意思無關(guān)；而在其他情形，處理個人信息需經(jīng)個人同意，便不能認(rèn)為法律效果與個人意思無關(guān)。個人同意的基礎(chǔ)在于《個人信息保護(hù)法》第44條所規(guī)定的決定權(quán)，其屬《民法典》第126條規(guī)定的“其他民事權(quán)利”，使個人可通過同意或拒絕同意等方式?jīng)Q定其個人信息是否被處理以及以何種方式處理，〔17〕參見江必新、李占國主編：《個人信息保護(hù)法條文解讀與法律適用》，中國法制出版社2021年版，第145頁。個人的意思對于個人信息處理具有決定意義，體現(xiàn)了個人的自主、自治。

作為決定權(quán)的行使方式，同意有單方同意與合同同意之分，前者表現(xiàn)為個人單方的同意聲明，后者表現(xiàn)為個人對處理者所提出的《個人信息處理協(xié)議》等合同文本的承諾?！?8〕在我國，通過合同取得個人信息處理同意并不受限。而且，在告知同意的網(wǎng)絡(luò)格式化流程中，同意的作出基本上均以告知為前提，二者通常具有要約、承諾的對應(yīng)關(guān)系，借助合同理論解釋告知同意可行且簡捷。在筆者看來，不論是單方同意還是合同同意，法律效果的產(chǎn)生根據(jù)均在于意思。其一，個人信息處理同意在表現(xiàn)為合同同意時產(chǎn)生合同關(guān)系，法律效果的產(chǎn)生根據(jù)必然是意思，而不是法律規(guī)定，否則將違反合同法基本理論。因此不能在一般意義上認(rèn)為個人信息處理同意欠缺產(chǎn)生法律效果的內(nèi)心意思，或者認(rèn)為法律效果的產(chǎn)生根據(jù)系法律規(guī)定。其二，單方同意與合同同意均是同意人的意思表達(dá)，所引發(fā)的法律效果亦無本質(zhì)不同，對二者法律效果的產(chǎn)生根據(jù)不應(yīng)作不同理解。這正如代理權(quán)的授予不論通過單方還是雙方民事法律行為完成，法律效果的產(chǎn)生根據(jù)并無二致。其三，個人信息還具有財(cái)產(chǎn)屬性，〔19〕參見彭誠信：《論個人信息的雙重法律屬性》，載《清華法學(xué)》2021年第6期，第80頁。蘊(yùn)含經(jīng)濟(jì)價值，事實(shí)上具有一定的市場性，雖然受到人格權(quán)法定秩序的制約，但主體的正當(dāng)意思仍應(yīng)得到尊重并產(chǎn)生相應(yīng)的法律效果。其四，個人信息處理同意既可以是簡單的同意，也可以包含更多內(nèi)容，處理者在《個人信息保護(hù)法》規(guī)定之外提供更多保障（如支付費(fèi)用）而個人同意接受的，或同意附加期限、條件、條款的，〔20〕在告知同意中，雖然同意人只是簡單地表示同意，但告知的內(nèi)容成為同意的條款，只要不違反強(qiáng)行性規(guī)定，均為有效。個人信息處理同意并非身份行為（不得附條件），雖然《民法典》與《個人信息保護(hù)法》并未規(guī)定其可否附加條件、期限，但按理應(yīng)當(dāng)可以?？蓞⒁姀埰饺A：《認(rèn)真對待人格權(quán)法律行為》，載《政法論壇》2019年第5期，第146頁。由于法律并無相關(guān)規(guī)定，只能按照意思內(nèi)容確定相應(yīng)的法律效果。

筆者認(rèn)為，法律對個人信息處理同意的規(guī)定，是在個人信息具有雙重屬性的前提下，允許個人通過同意的方式處分其權(quán)益，并通過有效條件、同意能力、撤回等規(guī)則對同意作出必要的規(guī)范，使個人在法定范圍內(nèi)自治。在同意的意思內(nèi)容與法律規(guī)定完全相同時，所引發(fā)的自治效果與法定效果一致，既可以認(rèn)為法律效果取決于意思，也可以認(rèn)為其取決于法律規(guī)定，甚至可以認(rèn)為其同時取決于二者。但在同意包含超出法律規(guī)定的正當(dāng)內(nèi)容時，其引發(fā)的自治效果為法律所承認(rèn)，內(nèi)容卻未由法律所規(guī)定，法律效果無疑取決于意思。從整體上看，應(yīng)當(dāng)認(rèn)為個人信息處理同意之法律效果的產(chǎn)生根據(jù)是法定范圍內(nèi)的意思。一般而言，個人信息處理同意所產(chǎn)生的法律效果并不是轉(zhuǎn)移同意人的權(quán)利或?yàn)橥馊嗽O(shè)定義務(wù)，而主要是為處理者設(shè)定許可使用權(quán)，從而引起個人信息處理法律關(guān)系的設(shè)立以及相應(yīng)的免責(zé)。若同意包含其他內(nèi)容，只要不違反強(qiáng)行性規(guī)范與基本原則，便根據(jù)其內(nèi)容產(chǎn)生相應(yīng)的法律效果。個人信息處理法律關(guān)系在設(shè)立后，還會因個人行使轉(zhuǎn)移權(quán)、刪除權(quán)、撤回權(quán)等而變更或終止。

（三）個人信息處理同意屬于非典型意思表示

《個人信息保護(hù)法》關(guān)于個人信息處理同意的規(guī)定并不完備，對同意有效條件的解釋依據(jù)不足，同意的生效時間、生效地點(diǎn)、代理、歸屬等也無從確定，這些問題只能借助其他法上相關(guān)理論與規(guī)則的適用得以解決。對個人信息處理同意作出定性，目的不僅在于在法教義學(xué)上對應(yīng)有的法律秩序進(jìn)行準(zhǔn)確的描述，〔21〕參見［德］尼爾斯·揚(yáng)森：《民法教義學(xué)》，朱曉喆、沈小軍譯，載《蘇州大學(xué)學(xué)報(bào)（法學(xué)版）》2016年第1期，第100-101頁。更在于在定性的基礎(chǔ)上合理確定其他法的適用，以彌補(bǔ)《個人信息保護(hù)法》的不足，解決實(shí)際問題。筆者認(rèn)為，雙重屬性說與法律上的行為說缺陷明顯，無助于問題的解決。按照雙重屬性說，個人信息處理同意在不同場景中分屬意思表示與受害人同意。但是，首先，《個人信息保護(hù)法》第13條第1款第1項(xiàng)將同意統(tǒng)一規(guī)定為個人信息處理的基礎(chǔ)，第14條統(tǒng)一規(guī)定了同意的有效條件，這意味著個人信息處理同意的法律性質(zhì)應(yīng)當(dāng)是統(tǒng)一的，不應(yīng)當(dāng)因場景的不同而不同。其次，受害人同意在《民法典》中并無明文規(guī)定，且其性質(zhì)與規(guī)則適用本就存在較大爭議，無法成為個人信息處理同意問題的解決依據(jù)。按照法律上的行為說，個人信息處理同意既然非為意思表示（或者說法律行為），便應(yīng)為事實(shí)行為或準(zhǔn)法律行為。然而，事實(shí)行為雖可解釋同意的免責(zé)效果，但不考慮主體意思，且不存在撤回可能，不合理之處甚多。此外，將個人信息處理同意界定為準(zhǔn)法律行為具有一定合理之處，且類推適用法律行為規(guī)則能夠解決諸多問題。但準(zhǔn)法律行為盡管存在意思，核心要素卻是表示，法律效果取決于法律規(guī)定，而非意思?！?2〕參見常鵬翱：《對準(zhǔn)法律行為的體系化解讀》，載《環(huán)球法律評論》2014年第2期，第50-52頁。僅憑個人信息處理同意可通過合同作出，便不可能將其界定為準(zhǔn)法律行為，更何況準(zhǔn)法律行為欠缺完備的理論與制度，無法為相關(guān)問題的解決提供充足依據(jù)。相形之下，個人信息處理同意無疑與意思表示最為契合，盡管并非完全契合。

意思表示規(guī)則應(yīng)適用于個人信息處理同意，但無法否認(rèn)的是，意思表示規(guī)則無法予以全部適用。在法教義學(xué)上應(yīng)當(dāng)如何解決這種矛盾？筆者認(rèn)為，德國學(xué)界的解決方式可資借鑒。在德國法上，齊特爾曼在1906年提出的法律行為說長期占據(jù)主流地位，其首先將同意界定為法律行為，然后通過對法律行為概念的推導(dǎo)與法律行為規(guī)則的適用解決具體問題。但法律行為規(guī)則難以適用于同意能力、同意的任意撤銷等問題，以至于法律行為說被批評背離了在法教義學(xué)上應(yīng)有的一致性?！?3〕Vgl. Michael Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, Nomos Verlagsgesellschaft, 2017, S. 39-40.1958年，德國聯(lián)邦最高法院在一起重要案件的裁判中放棄了法律行為說。〔24〕Vgl. BGHZ 29, 33 （36）.之后學(xué)界與實(shí)務(wù)界主要根據(jù)具體場景確定同意的性質(zhì)與規(guī)則適用，事實(shí)行為說、準(zhǔn)法律行為說均有運(yùn)用，但法律行為說在20世紀(jì)60年代末開始回歸與修正?！?5〕Vgl. Ansgar Ohly, “Volenti non fit iniuria”- Die Einwilligung im Privatrecht, Mohr Siebeck, 2002, S. 4.科波特（Kohte）認(rèn)為正當(dāng)同意與法律行為具有相同的目的，并且二者功能等同，均旨在實(shí)現(xiàn)自決，都是私法自治的工具。因此，法律行為規(guī)則適用于同意具有正當(dāng)性，但在高度個人化的領(lǐng)域應(yīng)該對規(guī)則的運(yùn)用作部分修正。〔26〕Vgl. Wolfhard Kohte, Die rechtfertigende Einwilligung, Archiv für die civilistische Praxis 185 （1985）, 105, 149-160.歐利（Ohly）在對各種學(xué)說綜合分析后，認(rèn)為法律行為說難以妥當(dāng)解釋為何并非所有法律行為規(guī)則均可適用于同意，反對法律行為說的學(xué)說也難以妥當(dāng)解釋為何同意會適用部分法律行為規(guī)則。〔27〕Vgl. Ansgar Ohly, “Volenti non fit iniuria”- Die Einwilligung im Privatrecht, Mohr Siebeck, 2002, S. 203.歐利將法律行為說修正為非典型法律行為說，認(rèn)為廣義的同意是一種非典型的法律行為，在將法律行為規(guī)則適用于各式同意時，應(yīng)當(dāng)根據(jù)同意的場景進(jìn)行目的論還原，審查法律行為具體規(guī)則的可適用性，而非一概適用?！?8〕同上注，第205頁。非典型法律行為說能夠合理解釋同意能否以及如何適用法律行為規(guī)則，并在法教義學(xué)上實(shí)現(xiàn)同意的體系性統(tǒng)一，已成為德國法上包括個人數(shù)據(jù)處理同意在內(nèi)的同意問題研究的基礎(chǔ)之一?！?9〕Vgl. Benedikt Buchner, Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, 2006, S. 231; Klose/Straub,Willensm?ngel bei der Einwilligung in eine ?rztliche Behandlung, Medizinrecht 37 （2019）, 714, 716.2019年，《德國聯(lián)邦數(shù)據(jù)保護(hù)法》根據(jù)《歐盟一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡稱GDPR）的要求進(jìn)行了修訂，將同意定義為“Willensbekundung”（意愿聲明），此與“Willenserkl?rung”（意思表示）的涵義極為相近。

從傳統(tǒng)法的角度來看，同意向來為私法自治的工具，與意思表示、法律行為有較高的契合度，而在欠缺統(tǒng)一的同意法律制度的背景下，〔30〕同意的條件在不同場景中有異，解釋途徑多樣，我國法并未對同意作統(tǒng)一規(guī)定。《德國民法典》在第三章“法律行為”第182條以下規(guī)定了同意（Zustimmung），包括事前的同意（Einwilligung）與事后的同意（Genehmigung）。但這并不是一種統(tǒng)一的同意制度，因?yàn)槠渌槍Φ氖菍λ怂鶠橹尚袨榈耐猓▍⒁娕_灣大學(xué)法律學(xué)院、臺大法學(xué)基金會編譯：《德國民法典》，北京大學(xué)出版社2017年版，第181頁），是一種輔助行為（參見［德］維爾納·弗盧梅：《法律行為論》，遲穎譯，法律出版社2013年版，第1065頁），而非通常意義上的對他人干涉自己事務(wù)的同意，后者是一種獨(dú)立行為?！爸挥星笾诜尚袨槔碚?，才能避免訴諸于虛構(gòu)，否則將導(dǎo)致個人權(quán)利的淡化”。〔31〕Vgl. Wolfhard Kohte, Die rechtfertigende Einwilligung, Archiv für die civilistische Praxis 185 （1985）, 105, 152.非典型法律行為說符合同意與法律行為“和而有異”的關(guān)系，合理解釋了法律行為規(guī)則對同意為何應(yīng)予適用以及為何不應(yīng)完全適用，較為合理。不過，基于概念使用習(xí)慣的不同以及法律行為與意思表示的區(qū)分，并考慮到合同同意的情形，在我國法上應(yīng)使用“非典型意思表示”的表述。雖然《個人信息保護(hù)法》刪除了草案中同意屬意思表示的規(guī)定，但這并不能說明其認(rèn)為同意非為意思表示，而只能說明其規(guī)避了同意的定性問題。事實(shí)上，《個人信息保護(hù)法》對同意規(guī)定的不足唯有意思表示理論與規(guī)則才能彌補(bǔ)。在筆者看來，個人信息處理同意具備意思表示的構(gòu)成要素（后文詳述），法律效果的產(chǎn)生根據(jù)在于意思，通常具有典型意思表示的特點(diǎn)，但基于《個人信息保護(hù)法》的規(guī)定而在同意能力、有效條件、任意撤回等方面具有非典型性或者說特殊性。順應(yīng)同意的傳統(tǒng)法定性，通過非典型意思表示涵攝個人信息處理同意，既符合其特點(diǎn)，也保持了法教義學(xué)上應(yīng)有的一致性。而且，借助于完備的意思表示理論與規(guī)則，可以保障個人信息處理同意的真實(shí)性，生效時間、生效地點(diǎn)、代理、歸屬等問題也將迎刃而解。

個人信息處理同意作為一種非典型意思表示，除非《個人信息保護(hù)法》有特別規(guī)定，否則便應(yīng)適用《民法典》上的意思表示、法律行為以及合同等規(guī)則。不過，在適用這些規(guī)則時應(yīng)進(jìn)行目的論限縮，結(jié)合立法意旨與具體場景予以選擇性適用?！断M(fèi)者權(quán)益保護(hù)法》《電子商務(wù)法》等法律的適用，亦同此理。在意思表示的意義上，充分知情、自愿、明確屬于同意的意思表示在個人信息處理場合的特別法要件，應(yīng)被理解為《民法典》第143條所規(guī)定的“意思表示真實(shí)”在個人信息處理領(lǐng)域的具化。在主流的意思表示三要素學(xué)說下，〔32〕對于意思表示構(gòu)成要素的爭議歷來激烈。意思表示三要素學(xué)說在我國為主流學(xué)說，認(rèn)為意思表示的構(gòu)成要素包括效果意思、表示意思與表示行為。本文基于意思表示三要素學(xué)說對同意問題展開分析。充分知情與自愿屬意思范疇，與效果意思、表示意思相關(guān)，而明確屬表示范疇，與表示行為相關(guān)。通過《民法典》的規(guī)定與意思表示理論對充分知情、自愿、明確進(jìn)行解釋屬題中應(yīng)有之義。需要注意的是，《個人信息保護(hù)法》第14條應(yīng)被解釋為效力性強(qiáng)制性規(guī)范，欠缺充分知情、自愿、明確中的任一條件，同意應(yīng)歸為無效，而非可撤銷。

二、對充分知情的認(rèn)定

（一）告知、充分知情與同意之間的因果遞進(jìn)關(guān)系

現(xiàn)代法上的知情同意確立于“二戰(zhàn)”后關(guān)于人體實(shí)驗(yàn)的《紐倫堡法典》，確立的原因是人類被試者應(yīng)充分了解和理解所涉事項(xiàng)，以便能夠作出明智決定。〔33〕See Josephine Shaw, Informed Consent: A German Lesson, 35 International & Comparative Law Quarterly 871 （1986）.此后，知情同意被引入隱私、個人信息保護(hù)領(lǐng)域。在此方面，美歐均奉行知情同意，但均有不足，歐盟雖更為嚴(yán)格，卻也未能充分保障同意的真實(shí)性，以至于同意成為一種“虛幻的同意”。〔34〕See Yoan Hermstruwer, Contracting around Privacy: The （Behavioral） Law and Economics of Consent and Big Data, 8 Journal of Intellectual Property, Information Technology and Electronic Commerce Law 11 （2017）.這一困境的成因復(fù)雜，如知情同意的結(jié)構(gòu)問題、主體的認(rèn)知問題等?！?5〕參見呂炳斌：《個人信息保護(hù)的“同意”困境及其出路》，載《法商研究》2021年第2期，第89頁。但在筆者看來，私益保護(hù)與產(chǎn)業(yè)發(fā)展間的矛盾是知情同意遭遇困境最根本的原因，因?qū)Χ叩牟煌∩岫a(chǎn)生了意思進(jìn)路與利益進(jìn)路。意思進(jìn)路強(qiáng)調(diào)意思自由與同意真實(shí)，側(cè)重私益保護(hù)，〔36〕參見陸青：《個人信息保護(hù)中“同意”規(guī)則的規(guī)范構(gòu)造》，載《武漢大學(xué)學(xué)報(bào)（哲學(xué)社會科學(xué)版）》2019年第5期，第124-126頁。遵循的是意圖導(dǎo)向。利益進(jìn)路強(qiáng)調(diào)個人信息的社會控制與公益面向，側(cè)重產(chǎn)業(yè)發(fā)展，〔37〕參見高富平：《個人信息保護(hù)：從個人控制到社會控制》，載《法學(xué)研究》2018年第3期，第92-100頁。遵循的是行為導(dǎo)向。我國《個人信息保護(hù)法》之前的立法偏向于利益進(jìn)路、行為導(dǎo)向，《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（2012年）與《網(wǎng)絡(luò)安全法》規(guī)定的是告知與同意，《民法典》規(guī)定的是同意，均不要求同意人知情，這在實(shí)踐中引發(fā)了不良后果。在商業(yè)領(lǐng)域，處理者對告知同意機(jī)制的設(shè)計(jì)注重告知合規(guī)，很少顧及告知的閱讀率與同意人是否知情。在司法領(lǐng)域，法院對同意人是否知情也未予足夠關(guān)注，通常只要存在告知與同意的行為，便簡單地按照權(quán)利睡眠者與外觀主義理論，認(rèn)為告知已經(jīng)保障了同意人的審查機(jī)會，同意有效?！秱€人信息保護(hù)法》則偏向于意思進(jìn)路、意圖導(dǎo)向，〔38〕《個人信息保護(hù)法》第1條將立法目的表述為：“保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個人信息合理利用?！逼涞?4條賦予個人知情權(quán)、決定權(quán)，第14條對同意有效條件的規(guī)定強(qiáng)調(diào)同意的真實(shí)性，所體現(xiàn)的便是意思進(jìn)路、意圖導(dǎo)向。不過，《個人信息保護(hù)法》也對私益保護(hù)與產(chǎn)業(yè)發(fā)展予以平衡。應(yīng)當(dāng)說，《個人信息保護(hù)法》以意思進(jìn)路為主，以利益進(jìn)路為輔。同時規(guī)定了告知、知情、同意，并將充分知情規(guī)定為同意的有效條件，有利于扭轉(zhuǎn)這一局面。但該法未明確告知與充分知情以及同意之間的因果關(guān)系，若不進(jìn)行妥當(dāng)解釋，無助于問題的解決。

按照《個人信息保護(hù)法》第14條的規(guī)定，同意應(yīng)當(dāng)在個人充分知情的前提下作出。雖然《個人信息保護(hù)法》并未規(guī)定同意人的知情由何而來，但按照傳統(tǒng)同意理論，同意人的知情源于被告知。〔39〕See Article 29 Working Party, Opinion 15/2011 on the Definition of Consent, WP 187, 2011, p. 23.事實(shí)上，在一般意義上的格式化告知同意流程中，同意人的知情或充分知情只能由處理者的告知而來。從同意意思表示的形成過程來看，同意人只有在基于被告知而充分知情時，才能產(chǎn)生允許處理個人信息的效果意思，進(jìn)而產(chǎn)生表示意思作出同意。若處理者不告知或不當(dāng)告知，即便同意人作出同意行為，由于其不充分知情，便不存在效果意思、表示意思，同意的意思表示徒具表示外觀，非為有效。因此，應(yīng)當(dāng)認(rèn)為《個人信息保護(hù)法》所確立的是“告知→充分知情→同意”逐層遞進(jìn)的因果結(jié)構(gòu)，任一環(huán)節(jié)得到否定性評價，均將導(dǎo)致處理行為非法。如此，則知情同意與告知同意在內(nèi)涵上便相一致，均指向告知、充分知情、同意之間的因果遞進(jìn)關(guān)系。如果割裂這種因果遞進(jìn)關(guān)系，僅憑告知行為與同意結(jié)果，便認(rèn)為處理者有權(quán)處理個人信息，將無法保障同意的真實(shí)性。

（二）充分知情基于有效告知而推定產(chǎn)生

處理者對同意人充分知情承擔(dān)證明責(zé)任，〔40〕究竟是由同意人證明同意是無效的，還是由處理者證明同意是有效的？筆者認(rèn)為，我國《個人信息保護(hù)法》第14條雖未如GDPR第7條一樣規(guī)定由處理者證明其獲得了有效同意，但此系規(guī)則應(yīng)有之義。處理者要排除處理行為的非法性，需要主張同意有效，具備充分知情、自愿、明確三項(xiàng)要件事實(shí)，并承擔(dān)相應(yīng)的證明責(zé)任。但充分知情屬主觀心理事實(shí)，無法直接證明，只能通過客觀事實(shí)間接證明。在格式化告知同意流程中，客觀事實(shí)唯有告知與同意，充分知情前承告知、后引同意，只能基于在先的告知產(chǎn)生并得以證明，這種證明實(shí)際上是證據(jù)意義上的推定。因此，若處理者的告知有效，便應(yīng)推定同意人充分知情。但問題是告知與知情長期存在沖突，告知越真實(shí)、準(zhǔn)確、完整，就越冗長、繁瑣，用戶就越不會閱讀，就越不知情?！?1〕參見丁曉東：《個人信息私法保護(hù)的困境與出路》，載《法學(xué)研究》2018年第6期，第202-203頁。筆者認(rèn)為，解決這種矛盾的關(guān)鍵在于區(qū)分告知的公法有效條件與私法有效條件。

首先，在《個人信息保護(hù)法》所采取的公私法結(jié)合模式下，告知兼具公法屬性與私法屬性，與同意并非一一對應(yīng)的關(guān)系，其目的并非均為取得私法上的同意，也可能只是為了滿足公法要求。〔42〕按照《個人信息保護(hù)法》第7、17、22條等的規(guī)定，處理者在不需要取得同意的場合，仍需進(jìn)行告知，此種告知主要為公法屬性的告知，與同意不具有對應(yīng)關(guān)系。而在需要取得同意的場合，告知與同意具有對應(yīng)關(guān)系。對告知的公法規(guī)制與私法規(guī)制目的并不相同，那么告知的公法有效條件與私法有效條件也不應(yīng)相同。

其次，《個人信息保護(hù)法》雖以第17條為核心對告知的內(nèi)容、方式作出多處規(guī)定，但并未要求告知能夠令同意人充分知情。以往的告知同意實(shí)踐表明，用戶面對冗長的告知普遍“用腳投票”，拋棄所謂的審查機(jī)會。毋庸諱言，符合《個人信息保護(hù)法》第17條等規(guī)定的告知很難令用戶充分知情，充分知情也絕不可能基于此種告知而推定產(chǎn)生。因此，《個人信息保護(hù)法》第17條等規(guī)定對告知的要求應(yīng)被理解為對告知的法定最低要求，屬于告知的過程性條件與公法有效條件，而在私法上，告知應(yīng)具備更為嚴(yán)格的有效條件。

最后，在“告知→充分知情→同意”逐層遞進(jìn)的私法結(jié)構(gòu)中，告知的作用就在于引致同意人充分知情，進(jìn)而獲取真實(shí)有效的同意。應(yīng)當(dāng)認(rèn)為，告知只有能夠引致一般理性人充分知情的，方為有效，才能在個案中推定具體同意人充分知情。引致充分知情應(yīng)被理解為對告知的私法要求，屬于告知的效果性條件與私法有效條件。因此在私法意義上，有效告知應(yīng)當(dāng)滿足法定最低要求且能夠進(jìn)一步引致一般理性人充分知情。將充分知情解釋為告知的效果性條件，既符合傳統(tǒng)同意理論與意思表示理論，也符合實(shí)踐需求，能夠產(chǎn)生倒逼處理者改善告知同意機(jī)制的效果。

（三）對告知的有效性認(rèn)定

從私法角度來看，作為一種意思表示，〔43〕在私法意義上，處理者的告知是請求獲得個人信息處理同意的內(nèi)心意愿的外在表達(dá)，且常包含法律規(guī)定之外的內(nèi)容，關(guān)涉私法效果，屬于意思表示。若處理者通過合同方式取得用戶同意，告知便構(gòu)成要約意思表示。有效的告知應(yīng)當(dāng)具備過程性條件與效果性條件，并且不得具有會產(chǎn)生不當(dāng)影響的消極性因素（后文詳述）。

1.過程性條件

告知的過程性條件主要表現(xiàn)為《個人信息保護(hù)法》對告知內(nèi)容、方式所作的要求。根據(jù)該法第17條等條文對告知的規(guī)定，處理者的告知應(yīng)包括下列內(nèi)容：個人信息處理者的名稱或者姓名和聯(lián)系方式；個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；個人行使法定權(quán)利的方式和程序；法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。告知的內(nèi)容應(yīng)當(dāng)真實(shí)、準(zhǔn)確、完整，不得具有誤導(dǎo)、誘導(dǎo)、強(qiáng)迫等不當(dāng)內(nèi)容。在方式上，處理者的告知應(yīng)當(dāng)具有顯著性，所使用的語言清晰、易懂。在轉(zhuǎn)移個人信息、對外提供、自動化決策、處理敏感信息、跨境傳輸?shù)葓龊?，處理者的告知還需符合《個人信息保護(hù)法》第18、22、23、24、30、39條的相應(yīng)規(guī)定。除此之外，在某些場景中，處理者的告知還應(yīng)當(dāng)符合《電子商務(wù)法》第17條以及《消費(fèi)者權(quán)益保護(hù)法》第20、26條等與信息披露、格式條款相關(guān)的規(guī)定。

2.效果性條件

告知的效果性條件為一般理性人充分知情，即告知能夠使一般理性人充分知悉同意或拒絕同意與基礎(chǔ)服務(wù)之間的關(guān)系以及由此所產(chǎn)生的各種法律后果。法官應(yīng)從意思表示的角度出發(fā)，在具體場景中疊加適用《個人信息保護(hù)法》與《民法典》等規(guī)定，先判斷告知是否具備過程性條件，再判斷告知是否具備效果性條件。只有在告知有效時，才有必要審查同意是否有效。

囿于冗長繁復(fù)、難以理解等原因，告知的閱讀率向來極低，〔44〕See Lori Andrews, The Fragility of Consent, 66 Loyola of Los Angeles Law Review 15-17 （2020）.有觀點(diǎn)認(rèn)為以告知為重心的制度設(shè)計(jì)模式無法保障知情權(quán)的落實(shí)?！?5〕參見萬方：《隱私政策中的告知同意原則及其異化》，載《法律科學(xué)》2019年第2期，第63頁。但在筆者看來，在告知同意機(jī)制已成為法定機(jī)制的情況下，只能通過對告知的設(shè)計(jì)保障用戶的知情。不過該機(jī)制設(shè)計(jì)不應(yīng)從處理者的行為習(xí)慣出發(fā)，而應(yīng)從用戶不愿閱讀告知的行為習(xí)慣出發(fā)。為使告知滿足效果性條件的要求，處理者應(yīng)當(dāng)在滿足法定最低要求之余增加“告知摘要”，即在完整告知的基礎(chǔ)上，增加簡短、顯著、清晰、易懂的概要提示，〔46〕支付寶公司在2021年10月29日發(fā)布了其隱私權(quán)政策的簡要版本，全文約千字，較易理解，雖仍過長，但已是重大進(jìn)步，可以提高閱讀率。本文提倡的“告知摘要”是一種更具高度歸納性的極簡版本，不再是以往僵化的程序式提醒，而是直接告知對用戶可能產(chǎn)生的重要影響，閱讀性強(qiáng)，可以降低信息過載，符合一般用戶的行為習(xí)慣與認(rèn)知能力。使用戶可以在極短時間內(nèi)直接獲知最為核心且重要的法律后果，知悉其擁有的權(quán)利與行使方式?！案嬷笨梢圆扇☆愃朴凇缎畔踩夹g(shù) 個人信息安全規(guī)范》附錄C中的功能界面，以百字左右的篇幅為宜，甚至可直接設(shè)置權(quán)限選項(xiàng)，供用戶勾選?！案嬷敝苯酉蛴脩麸@示，用戶需要進(jìn)一步閱讀的，可以點(diǎn)擊獲取完整告知。完整告知輔以“告知摘要”的機(jī)制設(shè)計(jì)在客觀上可以達(dá)到令一般理性人充分知情的效果，若用戶連極簡的“告知摘要”也不閱讀，則成為徹底的權(quán)利睡眠者，不妨礙告知產(chǎn)生效力。

三、對同意自愿性的認(rèn)定

（一）自愿的涵義與要素

按照《個人信息保護(hù)法》第14條的規(guī)定，個人信息處理同意需自愿作出。自愿有原則與規(guī)則之分，《民法典》第5條規(guī)定的自愿原則相當(dāng)于意思自治原則，〔47〕參見王利明：《中華人民共和國民法總則詳解》，中國法制出版社2017年版，第25頁。并無獨(dú)立的裁判功能，除非是作為裁判理由的疊加。〔48〕參見于飛：《民法基本原則：理論反思與法典表達(dá)》，載《法學(xué)研究》2016年第3期，第96頁?！秱€人信息保護(hù)法》第14條所規(guī)定的自愿作為同意的有效條件，具有獨(dú)立的裁判功能，屬規(guī)則意義上的自愿，可視為《民法典》第5條及第130條在《個人信息保護(hù)法》中的體現(xiàn)。自愿是所有意思表示的當(dāng)然要求，只有出于自愿，意思表示才是真實(shí)的。但長期以來在處理者所設(shè)定的告知同意機(jī)制中，用戶自由受限制，所表達(dá)的同意經(jīng)常是虛有其表，自愿或者說意思自治已淪為一種形骸化的存在。《個人信息保護(hù)法》將本屬題中之義的自愿明文規(guī)定為同意的有效條件，既是對實(shí)質(zhì)意義上意思自治的強(qiáng)調(diào)，也是對處理者告知義務(wù)的強(qiáng)化。由于除《個人信息保護(hù)法》第14條外，該法對自愿別無其他規(guī)定，因此應(yīng)當(dāng)結(jié)合傳統(tǒng)理論與《民法典》的規(guī)定對自愿的涵義與要素進(jìn)行解釋與認(rèn)定。在傳統(tǒng)理論中，意思表示自愿是指行為人的意思表示出于其自由意志，而非因他人不當(dāng)干涉，〔49〕參見董安生：《民事法律行為》，中國人民大學(xué)出版社2002年版，第149頁。其核心在于自由?！秱€人信息保護(hù)法》第14條中的自愿應(yīng)被解釋為同意人在未受不當(dāng)干涉的情況下自由形成允許處理者處理其個人信息的同意意思。其關(guān)鍵要素有二，一是同意人具有同意意思，二是同意意思系自由形成?！?0〕在告知同意的格式化流程中，告知、同意均通過預(yù)設(shè)的固定化方式表達(dá)，這使得意思表示不真實(shí)基本上只會存在意思表示不自由的情形，而不會存在意思與表示不一致的情形。另外，對自愿的認(rèn)定還應(yīng)考慮同意能力問題。這種解釋既是將同意定性為意思表示的必然結(jié)論，也是自愿的當(dāng)然要求。

（二）具有同意意思

雖然對意思表示主觀要件的構(gòu)成因素爭議激烈，但意思表示主觀要件指的就是意思。〔51〕參見楊代雄：《法律行為論》，北京大學(xué)出版社2021年版，第102頁。意思屬于意思表示的必備因素，〔52〕參見張馳：《意思表示構(gòu)成要素論》，載《東方法學(xué)》2014年第6期，第21頁。缺乏意思將不構(gòu)成意思表示。在作出個人信息處理同意時，同意人應(yīng)當(dāng)具有設(shè)立個人信息處理法律關(guān)系的同意意思，即同意人在主觀上允許處理者處理其個人信息，并愿意將其表現(xiàn)于外部。前者屬效果意思，后者屬表示意思，處理者對意思的存在承擔(dān)證明責(zé)任。如果同意人并無同意意思，那么其作出的同意行為便并非《民法典》第5條中的“按照自己的意思”、第130條中的“按照自己的意愿”，不滿足《個人信息保護(hù)法》第14條對自愿的要求，徒具同意形式，不能構(gòu)成有效同意。有無同意意思，是區(qū)分形式同意與實(shí)質(zhì)同意的關(guān)鍵，在以往行為導(dǎo)向式的告知同意流程中，大量同意其實(shí)僅是形式同意，而非實(shí)質(zhì)同意。

對同意意思的解釋遵循了意圖導(dǎo)向，可以糾正只要存在同意外觀，處理者便可處理個人信息的錯誤認(rèn)識，有利于提升同意的真實(shí)性。這種解釋并不會過度加重處理者的負(fù)擔(dān)，阻礙產(chǎn)業(yè)發(fā)展。因?yàn)橥馊酥挥性谥€人信息處理的各種法律后果后才能形成同意意思，而在告知同意的簡單流程中，作為一種主觀心理事實(shí)，同意意思只能推定產(chǎn)生，并且只能基于充分知情而推定產(chǎn)生。而如前文所述，充分知情系基于有效告知而推定產(chǎn)生。因此，只要處理者能夠證明其告知有效，便可推定同意人充分知情，還可推定同意人具有同意意思。

（三）同意意思系自由形成

同意意思的形成應(yīng)是自由的，不應(yīng)受到外界的不當(dāng)影響，否則同意便不是自愿作出的?！?3〕Vgl. Michael Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, Nomos Verlagsgesellschaft, 2017, S. 117.同意意思的形成是否自由也屬于主觀事實(shí)，外界無從窺知，只能進(jìn)行推定。需要注意的是，基于充分知情可推定具有同意意思，但無法進(jìn)一步推定同意意思系自由形成。例如，在雙方關(guān)系不平等時，雖然處理者充分告知，同意人由此充分知情并產(chǎn)生同意意思，但雙方的不平等關(guān)系會對同意意思的自由形成產(chǎn)生不當(dāng)影響。一般而言，在告知同意流程中，能夠影響同意意思形成過程的唯有告知，當(dāng)告知具有會產(chǎn)生不當(dāng)影響的消極性因素時，將導(dǎo)致同意意思的形成不自由。反之，若告知不具有這些因素，便應(yīng)推定同意意思系自由形成。〔54〕《個人信息保護(hù)法》第31條僅規(guī)定了未成年人未年滿14周歲不具有同意能力，對成年人同意能力的判斷應(yīng)當(dāng)參照適用《民法典》上的民事行為能力規(guī)則。因此，如果處理者能夠證明告知具備過程性條件與效果性條件，并且不具有消極性因素，便應(yīng)認(rèn)定同意人系基于有效告知而充分知情并自由形成同意意思。

筆者認(rèn)為，參照意思表示理論，結(jié)合《民法典》《個人信息保護(hù)法》以及《信息安全技術(shù) 個人信息安全規(guī)范》《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》等規(guī)定，有效告知不得具有下列情形。第一，反復(fù)告知。反復(fù)告知、頻繁索取權(quán)限會使用戶不勝其煩，影響同意意思的自由形成，尤其是在用戶已經(jīng)拒絕同意時，處理者仍然反復(fù)告知。第二，捆綁告知。處理者將對個人信息處理的告知與其他內(nèi)容捆綁在一起要求用戶同意，可能會導(dǎo)致用戶在未注意的情況下便作出同意。例如，處理者在基礎(chǔ)服務(wù)合同中涵蓋非必需的個人信息處理?xiàng)l款?！?5〕參見江必新、李占國主編：《個人信息保護(hù)法條文解讀與法律適用》，中國法制出版社2021年版，第51頁。第三，無法拒絕的告知。處理者的告知方式若會導(dǎo)致用戶無法拒絕同意，同意意思的形成便不自由。例如，處理者違反《個人信息保護(hù)法》第24條與《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》，采取自動化決策卻未提供不針對個人特征的選項(xiàng)、便捷的拒絕方式，提供算法推薦服務(wù)卻未提供選擇或者刪除用戶標(biāo)簽的功能等。第四，拒絕交易的告知。處理者違反《個人信息保護(hù)法》第16條的規(guī)定，告知用戶不同意便拒絕服務(wù)，會導(dǎo)致用戶被迫作出同意。第五，在不平等關(guān)系下進(jìn)行告知。告知若以處理者與用戶間的不平等關(guān)系為基礎(chǔ)，同意可能受到不適當(dāng)?shù)膲毫?、影響，欠缺真?shí)性?！?6〕Vgl. Marlene Voigt, Die datenschutzrechtliche Einwilligung, Nomos Verlagsgesellschaft, 2020, S. 74.例如，行政機(jī)關(guān)違反《個人信息保護(hù)法》第34條的規(guī)定超出法定職責(zé)范圍要求收集個人信息，用人單位在實(shí)施人力資源管理之外要求收集勞動者的個人信息等。《德國聯(lián)邦數(shù)據(jù)保護(hù)法》在GDPR的規(guī)定之外增加了“雇傭關(guān)系中的數(shù)據(jù)處理”，規(guī)定只有在雇員獲取了法律或經(jīng)濟(jì)利益或者雇主與雇員追求相似利益時，才可以認(rèn)定雇員的同意是自由的。第六，可能產(chǎn)生不當(dāng)影響的其他因素。

基于上文分析可以看出，同意是否自愿作出，取決于同意人是否充分知情以及告知是否具有消極性因素，而充分知情本就由有效告知推定而來。因此，自愿與充分知情作為同意的主觀條件，認(rèn)定根源均在于告知。自此而言，告知應(yīng)當(dāng)成為告知同意機(jī)制的規(guī)制重點(diǎn)，只有對處理者的告知義務(wù)進(jìn)行足夠的強(qiáng)化，才能保障同意的真實(shí)性。告知在顯著、清晰、易懂、真實(shí)、準(zhǔn)確、完整以及引致同意人充分知情之外，還不得具有會導(dǎo)致同意意思形成不自由的消極性因素，如此方可被認(rèn)定為有效。這看似會提升處理者的成本或減少有效同意的數(shù)量，卻是向應(yīng)有之義回歸，并不會影響處理者的正當(dāng)利益。

四、對同意明確性的認(rèn)定

（一）“明確”的涵義與要素

在傳統(tǒng)同意理論中，允許他人侵?jǐn)_自己權(quán)益的同意是不能假設(shè)的，必須予以聲明，〔57〕Vgl. Wolfhard Kohte, Die rechtfertigende Einwilligung, Archiv für die civilistische Praxis 185 （1985）, 105, 126.侵?jǐn)_越嚴(yán)重，聲明就必須越明確。〔58〕Vgl. Ansgar Ohly, “Volenti non fit iniuria”- Die Einwilligung im Privatrecht, Mohr Siebeck, 2002, S. 339.GDPR第4條第11項(xiàng)關(guān)于同意的定義在《歐盟數(shù)據(jù)保護(hù)指令》（95/46/EC）所規(guī)定的自由、具體、知情三項(xiàng)條件的基礎(chǔ)上，增加了明確這一要求，使其超越了一般的同意標(biāo)準(zhǔn)?！?9〕See Article 29 Working Party, Opinion 15/2011 on the Definition of Consent, WP 187, 2011, p. 6.對同意強(qiáng)度的要求與同意后果的嚴(yán)重性呈現(xiàn)正相關(guān)，《個人信息保護(hù)法》第14條對同意明確性的規(guī)定與《民法典》第1033、1219條有共同之處，均要求在法定的涉及重大人格權(quán)益侵?jǐn)_的場合，同意人應(yīng)當(dāng)明確而非含糊地作出同意。在傳統(tǒng)法上，“明確”本身并不是一個復(fù)雜的問題，而在個人信息處理領(lǐng)域卻恰恰存在大量同意不明確的問題，如騙取同意、系統(tǒng)提前勾選選項(xiàng)、采用含義不明的按鈕、任意預(yù)設(shè)同意行為、隨意設(shè)置人臉識別裝置等，《個人信息保護(hù)法》對同意明確性的規(guī)定有利于解決這些問題。筆者認(rèn)為，對“明確”的解釋應(yīng)當(dāng)貫徹意圖導(dǎo)向，結(jié)合傳統(tǒng)理論與個人信息處理實(shí)踐，解決告知同意機(jī)制中所存在的騙取同意等廣受質(zhì)疑的痼疾，保障同意的實(shí)質(zhì)性與真實(shí)性。同意需明確作出，首先要求用戶的行為應(yīng)明確構(gòu)成表達(dá)意思的表示行為，而非其他行為；其次要求表示行為所表達(dá)的同意意思應(yīng)是明確的，而不是含糊的。因此，《個人信息保護(hù)法》第14條中的“明確”應(yīng)被解釋為同意人通過明確的表示行為表達(dá)明確的同意意思，既包括表示行為明確，也包括表達(dá)意思明確。

（二）表示行為明確

1.存在表示行為

同意可通過多種方式作出，需要討論的主要是通過網(wǎng)絡(luò)格式化流程大規(guī)模處理個人信息時，用戶按照處理者預(yù)設(shè)方式作出的行為是否構(gòu)成表示行為。在通常的告知同意流程中，同意方式往往由處理者預(yù)設(shè)，如點(diǎn)擊、滑動、點(diǎn)頭、搖晃等，其中點(diǎn)擊是最主要的同意作出方式。〔60〕在主流的WIMP與Post-WIMP界面中，點(diǎn)擊是最主要的人機(jī)交互方式。在點(diǎn)擊之外，可能還存在輸入驗(yàn)證碼、勾選選項(xiàng)等動作，但往往最終仍以點(diǎn)擊表示同意。此外，同意行為還可通過其他方式作出，如生物特征驗(yàn)證、錄音錄像等。點(diǎn)擊等使用動作屬于用戶使用計(jì)算設(shè)備的慣常動作，通常屬于非法律上的行為（即無法律意義的普通行為），而在用戶作出同意的意思表示時，其又成為作為意思表示客觀要件的表示行為。這便需要分析用戶的使用動作究竟屬于非法律上的行為還是表示行為。例如在“支付寶2017年度賬單事件”中，用戶以手指上滑動作打開年度賬單，而根據(jù)頁面中并不顯著的聲明，這一動作還構(gòu)成對《芝麻服務(wù)協(xié)議》的同意，對手指上滑動作的定性直接決定了是否存在有效的同意、個人信息處理是否構(gòu)成侵權(quán)。

表示是一種通過行為將意思從內(nèi)心世界帶到外部世界的過程，〔61〕參見米?。骸兑馑急硎痉治觥?，載《法學(xué)研究》2004年第1期，第35頁。表示行為便是描述這一過程的意思表示要素。主觀的意思與客觀的表示行為并非分離關(guān)系，因?yàn)楸硎拘袨閼?yīng)當(dāng)在主體表示意思的驅(qū)使之下作出。因此，只有在用戶具有表示意思，即用戶有意通過點(diǎn)擊等動作將允許處理個人信息的效果意思對外表達(dá)時，點(diǎn)擊等動作才構(gòu)成表示行為。但這一認(rèn)定過程過于復(fù)雜，不適合個人信息處理實(shí)踐。結(jié)合前文的分析，自愿主要表現(xiàn)為自由地形成同意意思，同意意思涵蓋了效果意思與表示意思。那么，只要認(rèn)定用戶自愿，便可認(rèn)定用戶存在表示意思，其按照預(yù)設(shè)方式實(shí)施的動作便屬表示行為。若無法認(rèn)定用戶自愿，用戶便不具有表示意思，相關(guān)動作便屬非法律上的行為。在上例中，告知欠缺顯著性，并將賬單服務(wù)與個人信息處理進(jìn)行不必要的捆綁，導(dǎo)致用戶既不充分知情，也不自愿，不存在表示意思，用戶的手指上滑動作便不構(gòu)成表示行為，《芝麻服務(wù)協(xié)議》不能成立?？梢钥闯觯J(rèn)定用戶行為是否構(gòu)成表示行為的關(guān)鍵其實(shí)也在于告知。

2.表示行為需采明確方式

表示行為的方式?jīng)Q定了意思表示的形式，〔62〕參見王利明主編：《民法》（第8版），中國人民大學(xué)出版社2020年版，第131頁。從意思表示理論及《民法典》第140條規(guī)定來看，意思表示的形式有明示、默示之分，卻無明確、不明確之分，《民法典》第1033、1219條對明確同意的規(guī)定也未涉及表示行為的方式或者說意思表示的形式。那么，《個人信息保護(hù)法》第14條對同意明確性的規(guī)定是否如一些觀點(diǎn)所認(rèn)為的有效同意僅能為明示，而不能為默示？〔63〕參見馬新彥、張傳才：《知情同意規(guī)則的現(xiàn)實(shí)困境與對策檢視》，載《上海政法學(xué)院學(xué)報(bào)》2021年第5期，第103頁；程嘯：《論個人信息處理中的個人同意》，載《環(huán)球法律評論》2021年第6期，第53頁。筆者認(rèn)為并非如此?！睹穹ǖ洹分忻魇?、默示的意思表示與明確、不明確的意思表示是基于不同標(biāo)準(zhǔn)對意思表示進(jìn)行的分類，不具有對應(yīng)關(guān)系，明示的意思表示所表達(dá)的意思可能是含糊的，默示的意思表示所表達(dá)的意思卻可能是十分明確的。《民法典》第1033、1219條對明確同意的規(guī)定并未限制表達(dá)方式，只要意思能夠得到明確表達(dá)，明示、默示均可，沉默除外，因?yàn)槌聊ǔo法明確表達(dá)意思，只有在有法律規(guī)定、當(dāng)事人約定或者符合當(dāng)事人間的交易習(xí)慣時，才可視為意思表示。這一邏輯同樣適用于個人信息處理同意。例如，人口普查員打電話詢問被收集人是否同意提供個人信息，被收集人可在表示同意后提供個人信息，也可未表示同意便直接提供個人信息，后者是一種典型的以行為方式作出的默示同意，并且明確表達(dá)了同意意思。即便在GDPR中，默示同意也未被排除，因?yàn)镚DPR中的同意除可表現(xiàn)為聲明外，還可表現(xiàn)為其他行為?！?4〕Vgl. Marlene Voigt, Die datenschutzrechtliche Einwilligung, Nomos Verlagsgesellschaft, 2020, S. 104.因此，在關(guān)于同意明確性的法定要求之下，以擇出機(jī)制為代表的沉默不構(gòu)成《個人信息保護(hù)法》中適格的表示行為，即便處理者聲明“使用即同意”，且用戶也具有同意意思，用戶沉默地使用也不構(gòu)成有效同意。除此之外，口頭、書面、行為、電子等方式的表示行為，只要明確表達(dá)同意意思，均為適格的表示行為。另外，在法律、行政法規(guī)規(guī)定需要取得單獨(dú)同意、書面同意的場合，表示行為需采取相應(yīng)形式，否則不滿足明確性的要求。

（三）表達(dá)意思明確

1.意思表達(dá)對象清晰

同意的明確性要求用戶的表示行為應(yīng)當(dāng)清晰地指向個人信息處理，而非其他。這意味著《個人信息保護(hù)法》雖未要求對個人信息處理的同意應(yīng)當(dāng)與對其他內(nèi)容的同意相區(qū)分，但仍應(yīng)進(jìn)行區(qū)分，否則同意便可能是不明確的。當(dāng)處理者將個人信息處理告知與其他內(nèi)容混于一體予以混合告知、請求同意時，用戶無法明確地對個人信息處理表達(dá)同意，也無法按照《個人信息保護(hù)法》第44條的規(guī)定對其表示拒絕。例如，京東商城在用戶注冊時將《京東用戶注冊協(xié)議》與《隱私政策》一并告知，用戶只能一并同意或拒絕，而無法專門對《隱私政策》表示同意或拒絕。而且《京東用戶注冊協(xié)議》本身也混合了用戶注冊條款與個人信息處理?xiàng)l款，用戶更是無法專門對個人信息處理表示同意或拒絕。歐洲數(shù)據(jù)保護(hù)委員會認(rèn)為，GDPR雖未禁止混合告知，但實(shí)質(zhì)上要求與用戶知情同意相關(guān)的信息不得隱藏在一般條款中，對混合告知的接受不能看作對個人數(shù)據(jù)處理的同意?！?5〕See EDPB, Guidelines 05/2020 on Consent under Regulation 2016/679, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf, last visit on July 20, 2022.筆者認(rèn)為，雖然我國《個人信息保護(hù)法》并未禁止混合告知，但混合告知會使用戶處于無法清晰、明確地對個人信息處理表達(dá)同意的境地，〔66〕這種告知難以滿足《個人信息保護(hù)法》第17條對告知應(yīng)采取“顯著方式”的要求，也很難產(chǎn)生令同意人充分知情的效果。需要注意的是，混合告知不同于俗稱的“一攬子告知”，后者是將各種個人信息處理?xiàng)l款一并告知，所取得的同意并非不明確。用戶即便作出同意，也會因不滿足《個人信息保護(hù)法》對同意明確性的要求而無效。此外，混合告知還可能構(gòu)成前文分析的不當(dāng)告知、捆綁告知，導(dǎo)致同意無法滿足充分知情、自愿兩項(xiàng)條件。

2.意思表達(dá)無歧義

不論明示同意還是默示同意，也不論在實(shí)體環(huán)境還是在網(wǎng)絡(luò)環(huán)境，表示行為所表達(dá)的個人信息處理同意意思均應(yīng)是清楚、無歧義的。在網(wǎng)絡(luò)環(huán)境中，告知同意流程由處理者設(shè)計(jì)并掌控，用戶只能按照處理者預(yù)設(shè)的方式向處理者表達(dá)同意。若預(yù)設(shè)方式不合理，導(dǎo)致同意意思的表達(dá)存在歧義，便不能滿足同意明確性的要求。當(dāng)前供用戶表達(dá)同意意思的主流預(yù)設(shè)方式主要是復(fù)選框與按鈕，用戶在輸入相關(guān)信息后，主動勾選復(fù)選框、點(diǎn)擊按鈕完成意思表達(dá)。在只為取得特定權(quán)限的簡單告知同意中，也可能只存在點(diǎn)擊按鈕這一種預(yù)設(shè)方式。為使同意意思表達(dá)無歧義，首先，復(fù)選框不可由處理者預(yù)先勾選，而應(yīng)由用戶主動勾選，否則復(fù)選框所對應(yīng)的個人信息處理?xiàng)l款是否構(gòu)成用戶的意思內(nèi)容便存在歧義。歐盟法院在2019年的C-673/17號案件中認(rèn)為提供預(yù)先勾選的復(fù)選框不能取得有效的同意，〔67〕See CJEU, Judgment of 1 October 2019, No. C-673/17, Verbraucherzentrale Bundesverband eV v. Planet49 GmbH,ECLI:EU:C:2019:801.北京市第三中級人民法院在2017年的“吳建飛與互愛互動公司、騰訊公司網(wǎng)絡(luò)服務(wù)合同案”〔68〕參見北京市第三中級人民法院（2017）京03民轄終831號民事裁定書。中也持這種看法。其次，供以點(diǎn)擊的按鈕需在語義上清楚無誤地表達(dá)同意的意思，處理者應(yīng)使用“同意”“允許”等按鈕，不應(yīng)使用易產(chǎn)生歧義的按鈕。當(dāng)前的一些APP所使用的按鈕便存在歧義，例如“樂播投屏”APP（V5.5.16）使用的是“我知道了”按鈕，“嗶哩嗶哩”APP（V6.54.0）使用的是“本機(jī)號碼一鍵登錄”按鈕。這些按鈕不僅不能無歧義地表達(dá)同意意思，還可能會因按鈕語義的原因?qū)е曼c(diǎn)擊行為不構(gòu)成表示行為?！梆I了么”APP（V10.3.6）將注冊與登錄合二為一，復(fù)選框聲明“未注冊手機(jī)號登錄后將自動生成賬號，且代表你已閱讀并同意《用戶服務(wù)協(xié)議》《隱私政策》”，按鈕被設(shè)置成“登錄”，其濫用意思自治與合同自由，歧義更甚，即便用戶勾選、點(diǎn)擊，也不能認(rèn)為作出了有效同意。

五、結(jié)語

將個人信息處理同意界定為非典型意思表示，不僅有利于民法同意理論的體系化，還可順理成章地將意思表示理論與規(guī)則引入告知同意機(jī)制，借此解決長期以來告知同意機(jī)制僅有意思自治之名，卻無意思自治之實(shí)的問題，矯正同意真實(shí)性與有效性之間的大規(guī)模背離。有效的個人信息處理同意的形成過程應(yīng)當(dāng)是，同意人基于有效告知而充分知情，在此基礎(chǔ)上自由形成同意意思，進(jìn)而明確表達(dá)同意。處理者對同意形成過程中的所有要件事實(shí)承擔(dān)證明責(zé)任。因此，雖然《個人信息保護(hù)法》并未明確告知與同意及其有效條件之間的關(guān)系，但其所建立的告知同意機(jī)制實(shí)際上采取了“告知→充分知情→自愿→明確→同意”逐層遞進(jìn)的邏輯結(jié)構(gòu)，只有加強(qiáng)對告知的規(guī)制，才能保障同意的真實(shí)性。

在個人信息處理主要通過網(wǎng)絡(luò)大規(guī)模進(jìn)行的背景下，個人信息處理中的告知、同意屬于規(guī)?；瘶?biāo)準(zhǔn)電子意思表示。規(guī)?；瘶?biāo)準(zhǔn)電子意思表示興起于網(wǎng)絡(luò)，大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能的勃興推動其進(jìn)一步發(fā)展，涉及領(lǐng)域眾多，牽連利益廣泛，權(quán)利沖突明顯，在規(guī)制理念、規(guī)制模式等方面提出了新的問題。傳統(tǒng)理論應(yīng)當(dāng)如何運(yùn)用與變通以及法律應(yīng)當(dāng)如何規(guī)制，頗值進(jìn)一步研究。