? ? ? ?內(nèi)容提要：在法律、行政法規(guī)未作特別規(guī)定時(shí)，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，否則即屬違法。個(gè)人信息處理中的個(gè)人同意不是作為法律行為核心要素的意思表示，不屬于人格權(quán)商業(yè)化利用中權(quán)利人的許可。就個(gè)人同意的性質(zhì)而言，從消極方面看是違法阻卻事由，即排除了客觀上侵入個(gè)人信息權(quán)益的處理行為的非法性，而從積極方面看，則屬于個(gè)人信息處理的合法根據(jù)。意思表示的瑕疵及撤銷、撤回的規(guī)則不能當(dāng)然適用于個(gè)人信息處理中的個(gè)人同意。個(gè)人同意的生效須具備同意能力、充分知情、真實(shí)自愿及明確具體等要件。我國(guó)個(gè)人信息保護(hù)法中規(guī)定的明確同意、單獨(dú)同意與書(shū)面同意這三者間既有聯(lián)系又有區(qū)別。

? ? ? ?關(guān)鍵詞：個(gè)人信息處理　個(gè)人同意　違法阻卻事由　意思表示　單獨(dú)同意

? ? ? ?引? 言

? ? ? ?告知同意也稱知情同意，是個(gè)人信息處理中最基本的法律規(guī)則，也是判斷個(gè)人信息處理活動(dòng)合法與否的根本標(biāo)準(zhǔn)。換言之，除非法律另有規(guī)定，否則，只要沒(méi)有告知并取得個(gè)人同意而處理個(gè)人信息的活動(dòng)，都是非法的。在個(gè)人信息的“全生命周期”中，知情同意是一道“閘口”，無(wú)論是信息采集、利用，還是相應(yīng)轉(zhuǎn)換、轉(zhuǎn)移，均繞不開(kāi)“知情同意”。所謂告知同意規(guī)則，是指任何組織或個(gè)人在處理個(gè)人信息時(shí)，均應(yīng)向其個(gè)人信息被處理的個(gè)人告知相應(yīng)的事項(xiàng)，并在取得該個(gè)人（或者其監(jiān)護(hù)人）的同意后，方可從事相應(yīng)的個(gè)人信息處理活動(dòng)。告知同意規(guī)則包含告知與同意兩個(gè)部分，緊密聯(lián)系，不可分割。一方面，處理者在處理個(gè)人信息前如果不將相應(yīng)的事項(xiàng)如處理目的、處理方式等真實(shí)、準(zhǔn)確且完整地告知個(gè)人的，個(gè)人事實(shí)上就無(wú)法對(duì)其個(gè)人信息被處理作出同意，即便同意也不是真實(shí)的、自愿的；另一方面，雖然個(gè)人信息處理者履行了告知義務(wù)，但是并未取得個(gè)人的同意，或者在取得個(gè)人的同意后，超出同意的范圍而處理個(gè)人信息，該處理活動(dòng)也是非法的。

? ? ? ?告知同意規(guī)則最早為1970年德國(guó)黑森州《數(shù)據(jù)保護(hù)法》（Data Protection Act）所確認(rèn)，目前已經(jīng)成為絕大多數(shù)國(guó)家個(gè)人信息保護(hù)法承認(rèn)的基本規(guī)則。我國(guó)個(gè)人信息保護(hù)領(lǐng)域的法律也明確采取了這一規(guī)則。早在2012年，《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》就明確要求，網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。2017年施行的《網(wǎng)絡(luò)安全法》第41條第1款規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”2021年1月1日起施行的《民法典》第1035條第1款更明確規(guī)定：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開(kāi)處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定。”

? ? ? ?2021年8月20日，第十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過(guò)了《個(gè)人信息保護(hù)法》，該法是我國(guó)第一部個(gè)人信息保護(hù)方面的專門(mén)法律，不僅明確地將告知同意規(guī)則作為個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)，還對(duì)于該規(guī)則作出了詳細(xì)的規(guī)定，包括同意的效力與要件、同意的類型、同意的撤回、告知的方式與內(nèi)容、免除告知義務(wù)情形、各類具體的處理中的告知與同意等。《個(gè)人信息保護(hù)法》總計(jì)74個(gè)條文，而直接涉及到告知同意規(guī)則的條文就達(dá)15條之多，告知同意規(guī)則的重要性可見(jiàn)一斑。不過(guò)，理論界對(duì)于告知同意規(guī)則中個(gè)人同意的性質(zhì)（是否屬于意思表示）等問(wèn)題仍有不同的認(rèn)識(shí)，此外，《個(gè)人信息保護(hù)法》又新增加了單獨(dú)同意這一同意的類型，應(yīng)當(dāng)如何理解與適用，也有不同的看法。有鑒于此，本文將對(duì)個(gè)人信息處理中個(gè)人同意的三個(gè)重要問(wèn)題進(jìn)行研究，以供理論界與實(shí)務(wù)界參考。首先，個(gè)人信息處理活動(dòng)中個(gè)人同意的性質(zhì)為何，是否屬于意思表示或者人格權(quán)商業(yè)化利用中的許可？其次，同意的有效要件包括哪些，為什么同意能力與民事行為能力有所不同？再次，明確同意、單獨(dú)同意以及書(shū)面同意之間的關(guān)系如何？

? ? ? ?一、個(gè)人同意的性質(zhì)

? ? ? ?告知同意規(guī)則要求個(gè)人信息處理者原則上必須取得其個(gè)人信息被處理的個(gè)人的同意后，才能對(duì)個(gè)人信息進(jìn)行相應(yīng)的處理活動(dòng)。因此，取得個(gè)人的同意（Consent/Einwilligung）在個(gè)人信息處理中非常重要。無(wú)論個(gè)人信息處理活動(dòng)的合法性根據(jù)有多少，個(gè)人的同意都是其中最重要的一類，這一點(diǎn)在比較法和我國(guó)法上都有鮮明的體現(xiàn)。我國(guó)《個(gè)人信息保護(hù)法》第13條第1款在列舉個(gè)人信息處理活動(dòng)的合法根據(jù)或理由時(shí)，第一個(gè)列舉的就是“取得個(gè)人的同意”，同條第2款明確規(guī)定：“依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。”不過(guò)，對(duì)于何為個(gè)人同意，該法并未作出規(guī)定。在比較法上，大多數(shù)國(guó)家和地區(qū)的法律也基本上并不界定什么是個(gè)人同意，而只是對(duì)于同意作出相應(yīng)的要求而已。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）第4條第11款在界定“數(shù)據(jù)主體的同意”（consent of the data subject）時(shí)，規(guī)定：“數(shù)據(jù)主體依其個(gè)人意愿而自由、明確、知情且清晰地通過(guò)陳述或積極行為就與其相關(guān)的個(gè)人數(shù)據(jù)的處理作出的同意。”再如，2018年巴西《通用數(shù)據(jù)保護(hù)法》（Lei Geral de Prote??o de Dados，LGPD）第5條第12款規(guī)定，同意是“數(shù)據(jù)主體同意為特定目的處理其個(gè)人數(shù)據(jù)自由、知情和明確的聲明”。值得注意的是，我國(guó)臺(tái)灣地區(qū)“個(gè)人資料保護(hù)法”明確將同意界定為“意思表示”，其中第7條第1、2款規(guī)定：“第十五條第二款及第十九條第一項(xiàng)第五款所稱同意，指當(dāng)事人經(jīng)搜集者告知本法所定應(yīng)告知事項(xiàng)后，所為允許之意思表示。第十六條第七款、第二十條第一項(xiàng)第六款所稱同意，指當(dāng)事人經(jīng)搜集者明確告知特定目的外之其他利用目的、范圍及同意與否對(duì)其權(quán)益之影響后，單獨(dú)所為之意思表示。”

? ? ? ?（一）性質(zhì)之爭(zhēng)

? ? ? ?在我國(guó)個(gè)人信息保護(hù)法的起草過(guò)程中，《個(gè)人信息保護(hù)法（一審稿）》第14條第1款第1句曾規(guī)定：“處理個(gè)人信息的同意，應(yīng)當(dāng)由個(gè)人在充分知情的前提下，自愿、明確作出意思表示。”從該規(guī)定可知，立法機(jī)關(guān)曾將個(gè)人信息處理中的個(gè)人同意看作是一種意思表示。不過(guò)，《個(gè)人信息保護(hù)法（二審稿）》第14條則刪除了“意思表示”一詞，該條第1款第1句被修改為：“處理個(gè)人信息的同意，應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。”正式頒布的《個(gè)人信息保護(hù)法》第14條第1款第1句則規(guī)定：“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。”由此可見(jiàn)，我國(guó)《個(gè)人信息保護(hù)法》不再將“同意”規(guī)定為“意思表示”，同時(shí)也對(duì)有效的個(gè)人同意的要件作出規(guī)定。

? ? ? ?我國(guó)理論界對(duì)于個(gè)人信息處理中的個(gè)人同意的性質(zhì)，有不同的看法，主要包括兩種觀點(diǎn)。

? ? ? ?第一種觀點(diǎn)為雙重屬性說(shuō)。此說(shuō)認(rèn)為同意具有雙重屬性，一方面，它是侵權(quán)法上阻卻違法的事由；另一方面，它又是法律行為。換言之，在合同與侵權(quán)領(lǐng)域中，個(gè)人同意有不同的涵義。在侵權(quán)領(lǐng)域中，“同意”作為侵權(quán)法上的免責(zé)事由可歸入“受害人同意”的范疇，在構(gòu)成要件上包括必須有明確具體的內(nèi)容、受害人須具有同意能力、同意必須真實(shí)自愿、加害人必須盡到充分的告知說(shuō)明義務(wù)；在合同領(lǐng)域中，同意可能成為相關(guān)合同給付內(nèi)容的一部分，因此當(dāng)事人須具備相應(yīng)的行為能力。持雙重屬性說(shuō)的學(xué)者主要是從個(gè)人信息既存在消極防御也存在積極利用的角度出發(fā)來(lái)認(rèn)識(shí)同意的性質(zhì)，即從消極防御的角度說(shuō)，同意就是違法阻卻事由，從積極利用的層面看，同意就是個(gè)人在授權(quán)他人商業(yè)化利用其個(gè)人信息的許可。

? ? ? ?第二種觀點(diǎn)是單一屬性說(shuō)。此說(shuō)又可分為權(quán)益處分說(shuō)、意思表示說(shuō)。權(quán)益處分說(shuō)認(rèn)為，“同意”是一種對(duì)于個(gè)人信息權(quán)益的處分，但是，這種處分不能脫離商品或服務(wù)合同的語(yǔ)境而單獨(dú)存在，只能被視為個(gè)人信息主體為了獲得相應(yīng)商品或服務(wù)而必須作出的權(quán)利處分。意思表示說(shuō)認(rèn)為，同意本身是自然人作出的意思表示，我國(guó)《民法典》總則編關(guān)于意思表示的規(guī)定完全可以適用于自然人就個(gè)人信息處理所作出的同意。故此，自然人因欺詐、脅迫或重大誤解而作出的意思表示，是可以撤銷的意思表示。

? ? ? ?（二）積極與消極層面上的性質(zhì)界定

? ? ? ?前述關(guān)于個(gè)人信息處理中的個(gè)人同意的性質(zhì)之爭(zhēng)，雖有一定道理，但是筆者認(rèn)為，個(gè)人同意既不具有雙重屬性，也并非意思表示以及人格權(quán)要素商業(yè)化利用中權(quán)利人的許可或權(quán)益處分行為。從其性質(zhì)來(lái)看，在消極的層面上，個(gè)人同意屬于違法阻卻事由即免責(zé)事由，而在積極的層面上，個(gè)人同意是個(gè)人信息處理活動(dòng)的合法根據(jù)或正當(dāng)理由之一。具體闡述如下：

? ? ? ?第一，在個(gè)人信息處理中的個(gè)人同意并不涉及我國(guó)《民法典》第133條以下的民事法律行為。意思表示是指表意人向他人發(fā)出的表示，表意人據(jù)此向他人表明，根據(jù)其意思，某項(xiàng)特定的法律后果（或一系列法律后果）應(yīng)該發(fā)生并產(chǎn)生效力。民事法律行為是民事主體通過(guò)意思表示設(shè)立、變更、終止民事法律關(guān)系的行為。民事法律行為可以基于雙方或多方的意思表示一致成立，也可以基于單方的意思表示成立。因此，意思表示是民事法律行為的核心要素。但是，在個(gè)人信息處理中個(gè)人所作出的同意卻不是意思表示，不屬于民事法律行為。這是因?yàn)椋瑐€(gè)人對(duì)于個(gè)人信息處理者就其個(gè)人信息所要實(shí)施的處理活動(dòng)而作出的同意，并非旨在發(fā)生民事法律后果的內(nèi)心意思的外在表示，個(gè)人與個(gè)人信息處理者之間也沒(méi)有就設(shè)立、變更、終止民事法律關(guān)系達(dá)成合意。也就是說(shuō)，個(gè)人信息處理中作出同意的個(gè)人實(shí)施的不是民事法律行為（Rechtsgeschaeft），而是“法律行動(dòng)”或“法律上的行為”（Rechtshandlung）。區(qū)分法律行為和法律上的行為的標(biāo)準(zhǔn)在于：“如果法律秩序的規(guī)定涉及形成法律關(guān)系的行為，也即所涉及的是法律上的規(guī)則，則它屬于法律行為的事實(shí)構(gòu)成；如果法律秩序針對(duì)某一事實(shí)構(gòu)成規(guī)定法律效果，就該事實(shí)構(gòu)成而言，行為不以法律效果的法律發(fā)生為目的，也即它不能被視為法律上的規(guī)則，則它屬于法律上的行為。”個(gè)人僅僅是同意他人在其個(gè)人信息權(quán)益的范圍內(nèi)從事某些事實(shí)上的行為而已，如個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。正是有了這種同意，個(gè)人信息處理行為才不是非法的行為，具有了合法根據(jù)。也就是說(shuō)，個(gè)人同意和法律所規(guī)定的事由都屬于個(gè)人信息處理活動(dòng)的合法根據(jù)而已。正因如此，我國(guó)《個(gè)人信息保護(hù)法》第13條第1款才將第1項(xiàng)“取得個(gè)人的同意”，與第2項(xiàng)“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”至第7項(xiàng)“法律、行政法規(guī)規(guī)定的其他情形”等并列為個(gè)人信息處理者處理個(gè)人信息的七類合法根據(jù)。

? ? ? ?第二，將個(gè)人同意的性質(zhì)理解為意思表示將導(dǎo)致民法中關(guān)于意思表示的法律規(guī)則被錯(cuò)誤地適用于個(gè)人信息處理活動(dòng)當(dāng)中。具體表現(xiàn)在以下兩方面：一方面，混淆民事行為能力與同意能力。民事法律行為和意思表示的合法性判斷是一致的，無(wú)論是有效的法律行為還是有效的意思表示，都要求相應(yīng)的民事主體具備民事行為能力。如果將個(gè)人同意作為意思表示，不僅意味著無(wú)民事行為能力人在個(gè)人信息的處理中不能作出同意，而且限制民事行為能力人在很多時(shí)候也不能同意其個(gè)人信息被處理，處理者必須取得限制民事行為能力人的監(jiān)護(hù)人的同意。然而，無(wú)論是比較法還是我國(guó)法都未作此要求，而只是規(guī)定了某一年齡以下的未成年人的個(gè)人信息被處理時(shí)，需要取得該未成年人的監(jiān)護(hù)人同意。例如，比利時(shí)、丹麥、芬蘭、英國(guó)、瑞典、拉脫維亞等國(guó)家將該年齡規(guī)定為13周歲，奧地利、意大利、西班牙等國(guó)規(guī)定為14周歲，法國(guó)規(guī)定為15周歲，德國(guó)、匈牙利、盧森堡等國(guó)則規(guī)定為16周歲。我國(guó)法律則明確規(guī)定為14周歲，也就是說(shuō)，只有14周歲以下的未成年人才不能就其個(gè)人信息被處理作出同意，即不具備同意能力。如果是14周歲以上，即便是未成年人即限制民事行為能力人，同樣具有對(duì)其個(gè)人信息被處理予以有效同意的能力。《個(gè)人信息保護(hù)法》第31條第1款規(guī)定：“個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。”《未成年人保護(hù)法》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》中也分別規(guī)定處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護(hù)人同意。之所以就個(gè)人信息處理中個(gè)人同意的年齡作出不同于民事行為能力的規(guī)定，原因有二：其一，個(gè)人信息處理活動(dòng)不是一種交易行為，而是對(duì)個(gè)人信息進(jìn)行收集、存儲(chǔ)、加工、使用、提供等活動(dòng)的事實(shí)行為，客觀上構(gòu)成對(duì)個(gè)人信息權(quán)益的侵害，不能將適用于交易行為的民事行為能力套用在其上。其二，個(gè)人信息處理中的個(gè)人同意的有效性還受到個(gè)人信息保護(hù)法中其他規(guī)定的制約，尤其是個(gè)人信息處理者是否充分地履行了告知義務(wù)。也就是說(shuō)，即便是完全民事行為能力人在個(gè)人信息處理中所作出的同意也并非是有效的，因?yàn)閭€(gè)人信息處理者很可能沒(méi)有真實(shí)、準(zhǔn)確、完整地向個(gè)人進(jìn)行告知，以至于該完全民事行為能力人所作出的同意很可能不是自愿的。

? ? ? ?另一方面，錯(cuò)誤地將意思表示的撤銷和撤回適用于個(gè)人信息處理中的個(gè)人同意。依據(jù)《民法典》第141條，行為人可以撤回意思表示。撤回意思表示的通知應(yīng)當(dāng)在意思表示到達(dá)相對(duì)人前或者與意思表示同時(shí)到達(dá)相對(duì)人。要約也可以撤回，適用的是與意思表示撤回相同的規(guī)定（《民法典》第475條）。意思表示的撤銷主要是指要約的撤銷與法律行為的撤銷。由于民事法律行為是基于雙方或者多方的意思表示一致而成立的，還可以基于單方的意思表示而成立，故此，意思表示應(yīng)當(dāng)是真實(shí)自由的，不存在欺詐、脅迫、錯(cuò)誤等瑕疵。否則，該民事法律行為就是可撤銷的。由于撤銷權(quán)是形成權(quán)，其長(zhǎng)期存在不利于穩(wěn)定法律關(guān)系，故此撤銷權(quán)存在除斥期間，期間屆滿而沒(méi)有行使撤銷權(quán)的，則該權(quán)利歸于消滅（《民法典》第152條）。民法上關(guān)于意思表示的撤回、撤銷以及撤銷權(quán)的除斥期間的規(guī)定，都不能適用于個(gè)人信息處理中的個(gè)人同意。具體而言，包括以下兩個(gè)方面：

? ? ? ?一方面，只要是基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)隨時(shí)撤回同意（withdrawal of consent）。《個(gè)人信息保護(hù)法》第15條第1款規(guī)定：“基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。”這就是說(shuō)，個(gè)人撤回同意是無(wú)條件的，只要想撤回，就可以撤回，既不需要法律上規(guī)定的理由，更無(wú)須向處理者說(shuō)明理由。不僅如此，法律上不存在對(duì)個(gè)人撤回同意的權(quán)利的其他限制，撤回權(quán)不存在適用《民法典》規(guī)定的除斥期間的問(wèn)題。同樣，處理者也不能通過(guò)格式條款或其他任何方式與個(gè)人約定撤回權(quán)行使的期間，限制或剝奪個(gè)人的撤回權(quán)。如果存在這些條款或約定，均屬無(wú)效。在個(gè)人信息處理的任何階段，個(gè)人均可以撤回同意，也就是說(shuō)，不僅僅是在個(gè)人信息被收集的階段，也包括加工、存儲(chǔ)、使用、提供、公開(kāi)等各個(gè)此前個(gè)人同意的處理方式的階段，個(gè)人均可以撤回同意。之所以個(gè)人有權(quán)隨時(shí)撤回同意，就是因?yàn)閭€(gè)人對(duì)于其個(gè)人信息處理享有決定權(quán)，其有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理，除非法律、行政法規(guī)另有規(guī)定（《個(gè)人信息保護(hù)法》第44條）。個(gè)人信息上承載了法律給予保護(hù)的自然人享有的非常廣泛的權(quán)益，既包括憲法上的人格尊嚴(yán)、人身自由等基本權(quán)利，也包括人身權(quán)益、財(cái)產(chǎn)權(quán)益等民事權(quán)益。如果一旦個(gè)人作出了同意，就不能撤回或者很難撤回，那么個(gè)人的同意就不可能是真正的同意，其對(duì)個(gè)人信息的處理就沒(méi)有真正的決定權(quán)，如此一來(lái)，是無(wú)法充分地維護(hù)人格尊嚴(yán)和人身自由的。如果不能正確地認(rèn)識(shí)個(gè)人同意的性質(zhì)，將其理解與意思表示相混淆，就會(huì)出現(xiàn)將撤回同意理解為撤銷同意，甚至產(chǎn)生要求個(gè)人承擔(dān)賠償責(zé)任的錯(cuò)誤認(rèn)識(shí)。例如，有觀點(diǎn)認(rèn)為，當(dāng)同意并不直接涉及合同交易領(lǐng)域時(shí)，可隨時(shí)撤回同意，該行為僅僅是對(duì)他人行為違法性的排除；當(dāng)“同意”涉及具體的合同交易領(lǐng)域時(shí)，則應(yīng)當(dāng)比照適用典型合同中的任意撤銷權(quán)規(guī)則，對(duì)個(gè)人信息主體的“同意撤回權(quán)”作出一定限制，當(dāng)其撤回給信息處理者造成損失時(shí)，應(yīng)當(dāng)承擔(dān)損害賠償責(zé)任。

? ? ? ?另一方面，就法律行為的撤銷而言，撤銷權(quán)的行使具有溯及力。但是，在個(gè)人信息處理中的個(gè)人撤回同意則不具有溯及力。也就是說(shuō)，個(gè)人撤回同意不影響撤回前基于個(gè)人同意已經(jīng)進(jìn)行的個(gè)人信息處理活動(dòng)的效力，只要這些處理活動(dòng)本身并不存在其他違法之處。我國(guó)《個(gè)人信息保護(hù)法》第15條第2款規(guī)定：“個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。”所謂不影響效力，是指不影響這些個(gè)人信息處理活動(dòng)仍被認(rèn)為是基于個(gè)人同意而進(jìn)行的處理活動(dòng)，個(gè)人不得以其撤回同意為由要求處理者承擔(dān)侵害個(gè)人信息權(quán)益的民事責(zé)任，依法履行個(gè)人信息保護(hù)職責(zé)的機(jī)關(guān)也不得以個(gè)人已經(jīng)撤回同意為由，認(rèn)定撤回前基于個(gè)人同意已經(jīng)進(jìn)行的個(gè)人信息處理活動(dòng)是違法的，進(jìn)而追究處理者的行政責(zé)任或刑事責(zé)任。之所以撤回同意不影響此前處理活動(dòng)的效力，目的不是要保護(hù)個(gè)人信息處理者對(duì)個(gè)人的某種信賴，因?yàn)椴淮嬖谶@樣的信賴。但是，在允許個(gè)人可以隨時(shí)撤回同意的情形下，由于處理者必須隨時(shí)做好個(gè)人會(huì)撤回同意的準(zhǔn)備，所以為了實(shí)現(xiàn)個(gè)人信息權(quán)益的維護(hù)與個(gè)人信息的合理使用之間的利益平衡，法律上必須作出這樣的規(guī)定，這也是誠(chéng)信原則與公平原則的要求。

? ? ? ?第三，個(gè)人同意并非個(gè)人將自己的個(gè)人信息許可他人使用的意思表示。我國(guó)《民法典》承認(rèn)人格權(quán)的商業(yè)化利用，依據(jù)《民法典》第993條，民事主體可以將自己的姓名、名稱、肖像等許可他人使用，但法律規(guī)定或者根據(jù)其性質(zhì)不得許可的除外。問(wèn)題是，個(gè)人信息是否可以許可他人使用呢？《民法典》第993條只是列舉了“姓名、名稱、肖像”，其中并未包括個(gè)人信息。但是，由于該條中有“等”字兜底，因此學(xué)者認(rèn)為可以將個(gè)人信息解釋進(jìn)去，即個(gè)人信息也可以成為許可利用的對(duì)象，這是因?yàn)椤皬谋举|(zhì)上講，個(gè)人信息本身就兼具人身屬性和財(cái)產(chǎn)屬性，絕大多數(shù)個(gè)人信息都可以進(jìn)行經(jīng)濟(jì)利用，如將個(gè)人信息匯聚成大數(shù)據(jù)由他人共享，或者用于商業(yè)分析和用于商業(yè)規(guī)劃等”。筆者認(rèn)為，現(xiàn)有的個(gè)人信息處理的法律規(guī)則以及個(gè)人的權(quán)利、處理者的義務(wù)都不是建立在將個(gè)人信息權(quán)益作為兼具人格權(quán)和財(cái)產(chǎn)權(quán)的基礎(chǔ)之上的，它們只是建立在個(gè)人信息權(quán)益屬于人格權(quán)益的基礎(chǔ)上的。

? ? ? ?從數(shù)據(jù)利用的層面上來(lái)說(shuō)，海量的個(gè)人信息構(gòu)成的大數(shù)據(jù)當(dāng)然具有很大的價(jià)值，但是，一個(gè)個(gè)自然人的個(gè)人信息本身無(wú)法進(jìn)行商業(yè)化的許可利用。

? ? ? ?首先，姓名、肖像也屬于自然人的個(gè)人信息，其可以被商業(yè)利用，這一點(diǎn)毫無(wú)疑問(wèn)。但是除此之外的個(gè)人信息如身份證號(hào)碼、行蹤軌跡、金融賬戶、醫(yī)療健康、家庭住址、習(xí)慣偏好等無(wú)法直接被商業(yè)化利用，即便是明星等名人也無(wú)法許可他人使用。這是因?yàn)椋S可是權(quán)利人將其權(quán)利允許他人在一定時(shí)間以及一定地域范圍內(nèi)實(shí)施或使用的意思表示，如許可他人將自己的姓名使用在某種商品上、注冊(cè)為商標(biāo)或者在某項(xiàng)服務(wù)上使用。顯然，除了姓名、肖像之外的個(gè)人信息無(wú)法被這樣使用。

? ? ? ?其次，承認(rèn)個(gè)人信息的許可使用，直接導(dǎo)致的后果就是，個(gè)人與個(gè)人信息處理者之間形成許可合同法律關(guān)系。比較典型的許可合同如《民法典》規(guī)定的肖像許可使用合同、技術(shù)許可合同，《著作權(quán)法》中的著作權(quán)許可使用合同，《商標(biāo)法》中的商標(biāo)使用許可合同等。許可合同的核心特征就在于其屬于雙務(wù)合同，許可人的主給付義務(wù)為授予許可或授予使用權(quán)，而被許可人的對(duì)待給付義務(wù)就是支付相應(yīng)的費(fèi)用。如果將個(gè)人信息處理中的個(gè)人同意理解為許可處理者對(duì)個(gè)人信息商業(yè)化利用的意思表示，或者是授權(quán)處理者對(duì)個(gè)人信息的使用權(quán)，就必然意味著二者之間形成了許可合同這一雙務(wù)合同關(guān)系，雙方互負(fù)義務(wù)、互享權(quán)利。至少個(gè)人信息處理者要向個(gè)人支付費(fèi)用，個(gè)人許可處理者使用其個(gè)人信息。然而，事實(shí)并非如此。一方面，個(gè)人信息處理者只是需要取得個(gè)人的同意后才能處理個(gè)人信息，處理者并未因?yàn)閭€(gè)人的同意而取得對(duì)該個(gè)人的個(gè)人信息的專有或非專有的使用，處理者也并未向個(gè)人支付任何的費(fèi)用；另一方面，就個(gè)人而言，其也不存在因?yàn)橥饬诉@個(gè)處理者處理其信息，就不能同意其他的處理者處理其個(gè)人信息。即便處理者有這樣的約定，該約定也是無(wú)效。不僅如此，個(gè)人還有權(quán)隨時(shí)撤回同意。顯然這一切都說(shuō)明，個(gè)人同意并沒(méi)有導(dǎo)致個(gè)人與個(gè)人信息處理者之間成立個(gè)人信息許可使用合同。有些學(xué)者希望未來(lái)個(gè)人信息的保護(hù)和利用能夠朝著“普遍免費(fèi)+個(gè)別付費(fèi)”或“引入經(jīng)濟(jì)激勵(lì)”的方向發(fā)展。姑且不論目前還沒(méi)有國(guó)家采取這種做法，即便要采取這種模式也會(huì)面臨很大的問(wèn)題，就是當(dāng)基于個(gè)人同意處理個(gè)人信息的活動(dòng)成為個(gè)人信息的交易后，個(gè)人信息處理中處理者和個(gè)人的權(quán)利義務(wù)關(guān)系必將發(fā)生本質(zhì)改變（如個(gè)人是否還有權(quán)隨時(shí)撤回同意就值得懷疑了），這對(duì)于個(gè)人信息保護(hù)究竟是有利還是有害，很值得懷疑！

? ? ? ?有鑒于同意與許可的區(qū)別，我國(guó)《民法典》人格權(quán)編中明確區(qū)分了人格權(quán)主體的同意和許可他人使用。作為規(guī)范人格要素商業(yè)化利用的核心條款，《民法典》第993條明確使用的就是“許可”他人使用的表述。不僅如此，在對(duì)能夠商業(yè)化利用的人格要素的具體規(guī)定中，《民法典》更是明確區(qū)分了許可與同意。以最為典型的能夠商業(yè)化利用的人格權(quán)——肖像權(quán)為例，在規(guī)定侵害肖像權(quán)的行為時(shí)，《民法典》第1019條使用的是未經(jīng)肖像權(quán)人“同意”的表述。而在規(guī)定肖像權(quán)人對(duì)肖像進(jìn)行商業(yè)化利用時(shí)，《民法典》第1018條第1款采取的是“許可他人使用”的表述，同時(shí)，第1021條和第1022條還對(duì)肖像許可使用合同作出了特別的規(guī)定。

? ? ? ?（三）免責(zé)事由

? ? ? ?個(gè)人同意的性質(zhì)可以從兩方面加以認(rèn)識(shí)。消極層面上，個(gè)人同意屬于違法阻卻事由，其功能在于針對(duì)那些法益侵害行為發(fā)揮正當(dāng)化的效力。違法阻卻事由是區(qū)分違法性與過(guò)錯(cuò)的立法例中采取的概念。德國(guó)法上認(rèn)為，違法阻卻事由是指對(duì)暫時(shí)認(rèn)定的違法性的反駁，即法律所認(rèn)可的針對(duì)假定違法性的一種的特殊例外，具體包括正當(dāng)防衛(wèi)、緊急避險(xiǎn)、自助行為、維護(hù)正當(dāng)利益和同意等。

? ? ? ?我國(guó)《民法典》沒(méi)有明確區(qū)分違法性與過(guò)錯(cuò)，學(xué)說(shuō)上通常不使用“違法阻卻事由”的概念，而是用“免責(zé)事由”一詞來(lái)包含違法阻卻事由。在我國(guó)《民法典》中，免責(zé)事由包括：不可抗力（第180條）、正當(dāng)防衛(wèi)（第181條）、緊急避險(xiǎn)（第182條）、自愿實(shí)施緊急救助行為（第184條）、受害人故意（第1174條）、第三人行為（第1175條）、自甘冒險(xiǎn)（第1176條）、自助行為（第1177條）以及同意（第1219條、第1036條）。在這些免責(zé)事由中，有些是通過(guò)排除加害行為與權(quán)益被侵害之間的因果關(guān)系以致侵權(quán)責(zé)任不成立；有些則是排除行為的違法性（或過(guò)錯(cuò)）而使得行為人無(wú)需承擔(dān)侵權(quán)責(zé)任。前者如受害人故意、第三人行為等，后者如同意、自助行為、緊急避險(xiǎn)、正當(dāng)防衛(wèi)。從積極層面上看，個(gè)人信息處理中的個(gè)人同意為個(gè)人信息處理行為提供了合法根據(jù)，排除了該行為的非法性，從而使得處理行為具有合法基礎(chǔ)，不構(gòu)成對(duì)個(gè)人信息權(quán)益的侵害行為。具體來(lái)說(shuō)，個(gè)人同意所引發(fā)的私法上的法律效果為：取得同意的處理者只要是在個(gè)人同意的范圍（包括自然人所同意的處理主體、處理目的、處理方式和處理的個(gè)人信息種類等）之內(nèi)，從事個(gè)人信息處理行為，那么該行為就不構(gòu)成侵害行為，不具有非法性。自然人針對(duì)個(gè)人信息享有受法律保護(hù)的權(quán)利，也稱個(gè)人信息權(quán)益。廣義上的個(gè)人信息權(quán)益既包括個(gè)人信息上承載的人格尊嚴(yán)、人身自由等憲法權(quán)利，也包括自然人的人身權(quán)益、財(cái)產(chǎn)權(quán)益等民事權(quán)益。狹義的個(gè)人信息權(quán)益，則僅指我國(guó)《個(gè)人信息保護(hù)法》《民法典》所賦予的自然人對(duì)其個(gè)人信息享有作為民事權(quán)益的人格權(quán)益。自然人享有個(gè)人信息權(quán)益意味著，其他組織或個(gè)人應(yīng)尊重而不得侵犯該權(quán)益，承認(rèn)自然人的個(gè)人信息權(quán)益就必然導(dǎo)致對(duì)他人行為自由的限制。處理者對(duì)個(gè)人信息進(jìn)行的任何處理行為（無(wú)論是收集、存儲(chǔ)、使用，還是加工、傳輸、提供、公開(kāi)等），客觀上就構(gòu)成對(duì)個(gè)人信息權(quán)益空間的侵入或干擾，違反了法秩序，具有（暫時(shí)認(rèn)定的）非法性。要排除這種非法性，就必須具備法律上的正當(dāng)性。在個(gè)人信息保護(hù)法上，此種正當(dāng)性要么來(lái)自于個(gè)人的同意，要么來(lái)自于法律、行政法規(guī)的規(guī)定即法定的許可（legal permission），二者構(gòu)成了全部個(gè)人信息處理的法律基礎(chǔ)。作為個(gè)人信息權(quán)益主體的個(gè)人，可以對(duì)自己的權(quán)益進(jìn)行合法處分，其可以自行行使該權(quán)益，也可以同意他人對(duì)自己民事權(quán)益的干涉。因此，在得到民事權(quán)益所有者的同意后，被同意者實(shí)施的客觀上侵害他人民事權(quán)益的行為，對(duì)于同意者而言，就不構(gòu)成侵害。當(dāng)然，法律、行政法規(guī)也可以基于促進(jìn)個(gè)人信息的合理利用、維護(hù)公共利益、國(guó)家利益等理由而特別規(guī)定某些情形下不需要取得個(gè)人的同意就可以處理其個(gè)人信息。故此，我國(guó)《民法典》第1035條第1款第1項(xiàng)規(guī)定，處理個(gè)人信息必須“征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外”。所謂法律、行政法規(guī)另有規(guī)定的除外，如《民法典》第1036條規(guī)定的兩種情形以及《個(gè)人信息保護(hù)法》第13條第1款第2-7項(xiàng)列舉的各種情形。

? ? ? ?事實(shí)上，《個(gè)人信息保護(hù)法》中規(guī)定的個(gè)人信息處理中的個(gè)人同意，與《民法典》第1219條規(guī)定的診療活動(dòng)中患者（或其近親屬）的同意以及《民法典》第1008條規(guī)定的受試者或者受試者的監(jiān)護(hù)人的同意，這三種活動(dòng)都必須遵循告知同意規(guī)則，其中，個(gè)人同意的性質(zhì)也是相同的。就個(gè)人信息處理者要實(shí)施的個(gè)人信息處理活動(dòng)而言，如前所述，其在客觀上構(gòu)成了對(duì)自然人的個(gè)人信息權(quán)益的侵害，因此必須具備合法的理由（muss gerechtfertigt werden）。告知并取得個(gè)人的同意，就是這樣的一個(gè)重要的合法理由。同樣，醫(yī)療機(jī)構(gòu)或者醫(yī)務(wù)人員實(shí)施的診療活動(dòng)也構(gòu)成對(duì)患者身體權(quán)或健康權(quán)的侵害，符合人身傷害（Koerperverletzung）的客觀事實(shí)要件，也必須具備合法的理由，即取得患者或者近親屬的明確同意。為研制新藥、醫(yī)療器械或者發(fā)展新的預(yù)防和治療方法，需要進(jìn)行的臨床試驗(yàn)，可能對(duì)受試者生命健康權(quán)造成侵害或危險(xiǎn)，故此必須向受試者或者受試者的監(jiān)護(hù)人告知試驗(yàn)?zāi)康摹⒂猛竞涂赡墚a(chǎn)生的風(fēng)險(xiǎn)等詳細(xì)情況，并經(jīng)其書(shū)面同意。當(dāng)然，由于醫(yī)療活動(dòng)和臨床試驗(yàn)涉及到自然人的生命權(quán)、身體權(quán)、健康權(quán)等最高位階的權(quán)益，故此，除了告知并取得個(gè)人同意外，診療活動(dòng)的合法事由僅有一種情形，即《民法典》第1220條所規(guī)定的“因搶救生命垂危的患者等緊急情況，不能取得患者或者其近親屬意見(jiàn)的，經(jīng)醫(yī)療機(jī)構(gòu)負(fù)責(zé)人或者授權(quán)的負(fù)責(zé)人批準(zhǔn)，可以立即實(shí)施相應(yīng)的醫(yī)療措施”。至于臨床試驗(yàn)，除了向受試者或者受試者的監(jiān)護(hù)人告知試驗(yàn)?zāi)康摹⒂猛竞涂赡墚a(chǎn)生的風(fēng)險(xiǎn)等詳細(xì)情況，并經(jīng)其書(shū)面同意外，沒(méi)有其他的合法事由。但是，在個(gè)人信息處理中，由于個(gè)人信息權(quán)益的效力位階并非如生命權(quán)、身體權(quán)和健康權(quán)那么高，且個(gè)人信息的合理利用對(duì)于整體社會(huì)福利也是非常必要的，故此，《個(gè)人信息保護(hù)法》同時(shí)以保護(hù)個(gè)人信息權(quán)益和促進(jìn)個(gè)人信息合理利用為立法目的。在這一立法目的要求下，除了取得個(gè)人同意外，還存在很多其他個(gè)人信息處理的合法事由，對(duì)此《個(gè)人信息保護(hù)法》第13條第1款第2-7項(xiàng)作出了詳細(xì)列舉。

? ? ? ?二、個(gè)人同意的有效要件

? ? ? ?在個(gè)人信息處理中，個(gè)人作出的同意必須符合一定的要件才是有效的。這是因?yàn)椋瑢?duì)個(gè)人信息的處理客觀上構(gòu)成對(duì)自然人個(gè)人信息權(quán)益的侵害，并且會(huì)帶來(lái)各種風(fēng)險(xiǎn)，對(duì)個(gè)人權(quán)益影響重大。為了更好地保護(hù)自然人，法律上應(yīng)當(dāng)明確個(gè)人同意的有效要件。歐盟《一般數(shù)據(jù)保護(hù)條例》第4條第11款規(guī)定了有效同意必須具備四個(gè)要件：（1）自由作出的（freely given）；（2）具體的（specific）；（3）被告知的（informed）；（4）明確的（unambiguous）。這一標(biāo)準(zhǔn)被認(rèn)為提高了有效同意的門(mén)檻，而歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)也傾向于嚴(yán)格地解釋這四項(xiàng)標(biāo)準(zhǔn)。我國(guó)《民法典》《網(wǎng)絡(luò)安全法》等法律沒(méi)有對(duì)同意的有效要件作出規(guī)定。《個(gè)人信息保護(hù)法》第14條第1款第1句對(duì)同意的有效要件作出規(guī)定：“處理個(gè)人信息的同意，應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。”具體而言，個(gè)人信息處理中個(gè)人同意的有效要件包括以下幾項(xiàng)。

? ? ? ?（一）同意能力

? ? ? ?在個(gè)人信息處理中，只有當(dāng)作出同意的自然人具有同意能力（capacity to consent）時(shí)，所作出的同意方屬有效。《美國(guó)侵權(quán)行為法重述（第二次）》［Restatement（Second）of Torts］第892A條第2款規(guī)定，有效的同意，是指有同意能力的人或經(jīng)授權(quán)代理作出同意的人所作出的同意，且該同意是就特定行為而作出的或就實(shí)質(zhì)上相同的行為而作出的。同意能力不同于行為能力。在法律行為制度中，為了維護(hù)交易安全從而要求從事法律行為的當(dāng)事人必須具備行為能力，無(wú)民事行為能力人必須由其法定代理人代理實(shí)施民事法律行為，其單獨(dú)實(shí)施的民事法律行為屬于無(wú)效的民事法律行為；限制民事行為能力人實(shí)施民事法律行為要由其法定代理人代理或者經(jīng)其法定代理人同意、追認(rèn)，未經(jīng)同意或追認(rèn)的法律行為無(wú)效或者相對(duì)人可以撤銷，但是，限制民事行為能力人可以獨(dú)立實(shí)施純獲利益的民事法律行為或者與其年齡、智力、精神健康狀況相適應(yīng)的民事法律行為。

? ? ? ?如前文所述，個(gè)人信息處理中的個(gè)人同意并非意思表示，并沒(méi)有表述任何指向某個(gè)法律效果的意思表達(dá)（Willensaeusserung），而只是指向一種簡(jiǎn)單的法律行動(dòng)，故此，同意不是法律行為，不適用法律行為的特別要件。其對(duì)自己權(quán)益的處分，不能完全適用民法中關(guān)于行為能力的規(guī)定。德國(guó)民法通說(shuō)認(rèn)為，受害人的同意能力不能以有行為能力作為判斷標(biāo)準(zhǔn)，應(yīng)以個(gè)別案件中受害人的識(shí)別能力作為標(biāo)準(zhǔn)。德國(guó)聯(lián)邦最高法院的判例認(rèn)為，“如果根據(jù)一名未成年人精神上和道德上的成熟程度，能夠衡量侵害行為以及同意侵害的意義和后果”，那么該未成年人表示同意即可。英美侵權(quán)法也認(rèn)為，同意能力不同于行為能力。同意能力是一個(gè)人對(duì)其決定的性質(zhì)、程度以及可能產(chǎn)生的后果的理解能力。兒童、醉漢、神志不清的人、精神病人或者低智能者作出的同意一般是無(wú)效的，他們的同意只能由監(jiān)護(hù)人作出。

? ? ? ?依據(jù)我國(guó)《個(gè)人信息保護(hù)法》第31條第1款以及《未成年人保護(hù)法》第72條第1款的規(guī)定，個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。故此，年滿十四周歲的人都具有同意能力，其可以在個(gè)人信息處理中作出同意，十四周歲以下人不具有同意能力。至于已經(jīng)年滿十四周歲，但因疾病等原因而不能辨認(rèn)或不能完全辨認(rèn)自己行為的人，其在個(gè)人信息處理中是否具有同意能力，需要根據(jù)具體情形加以判斷。

? ? ? ?（二）同意系個(gè)人在充分知情的前提下作出

? ? ? ?任何有效的同意都應(yīng)當(dāng)在同意者充分知情的前提下作出。如果不知情，那么這種同意則不是真實(shí)的，是無(wú)效的。例如，在醫(yī)療過(guò)程中，醫(yī)生在為病人從事醫(yī)療行為時(shí)必須盡到充分的告知與說(shuō)明義務(wù)。醫(yī)生必須將從事醫(yī)療行為的必要性、危險(xiǎn)性等各方面的信息充分傳達(dá)給受害人，如果受害人對(duì)此不具有充分的識(shí)別能力，那么醫(yī)生須將此等信息告知給他的法定代理人。在英美以及德國(guó)，法律以及法院的判例都對(duì)醫(yī)生的告知說(shuō)明義務(wù)作出相應(yīng)規(guī)定。法院的判例認(rèn)為，當(dāng)就告知、說(shuō)明義務(wù)發(fā)生疑義時(shí)，醫(yī)生應(yīng)當(dāng)舉證證明自己充分履行了該義務(wù)。我國(guó)《民法典》第1219條第1款也對(duì)醫(yī)務(wù)人員說(shuō)明義務(wù)和患者知情同意權(quán)作出規(guī)定。

? ? ? ?由于在個(gè)人信息處理活動(dòng)中，處理者與個(gè)人之間的信息是不對(duì)稱的，因此同意規(guī)則必須與告知規(guī)則密切聯(lián)系，即要求處理者必須充分地告知，從而確保個(gè)人是在充分知情的前提下而作出同意的。否則，處理者不告知或告知不充分，而個(gè)人在完全不知情或不充分知情的情況下所作出的同意，就是無(wú)效的。簡(jiǎn)言之，個(gè)人信息處理者為處理個(gè)人信息而取得個(gè)人同意之前，應(yīng)當(dāng)履行告知義務(wù)，為個(gè)人提供相應(yīng)的知識(shí)。例如，處理者應(yīng)告知個(gè)人，處理其個(gè)人信息的主體是誰(shuí)，處理的目的是什么，處理的方式與范圍如何等相關(guān)知識(shí)。這一要求也是個(gè)人信息處理中的透明原則的要求。該原則是指處理個(gè)人信息時(shí)應(yīng)當(dāng)采取公開(kāi)、透明的方式，公開(kāi)個(gè)人信息處理的規(guī)則，向信息主體明示個(gè)人信息處理的目的、處理的方式和處理的范圍。之所以要確立透明原則，是因?yàn)樽匀蝗藢?duì)其個(gè)人信息的處理享有知情權(quán)和決定權(quán)。如果個(gè)人信息處理者不以公開(kāi)、透明的方式處理個(gè)人信息，而是采取隱秘的、暗箱操作的方式，那么即便個(gè)人表示了同意，其同意也不是真實(shí)的同意，此種處理行為也屬于非法處理行為。對(duì)此，歐盟《一般數(shù)據(jù)保護(hù)條例》在導(dǎo)言部分的第39條有清晰的說(shuō)明：“透明性原則要求任何有關(guān)這些個(gè)人數(shù)據(jù)處理的信息和通信都應(yīng)可輕松獲取且容易理解，并且使用通俗易懂的語(yǔ)言。……應(yīng)當(dāng)讓自然人了解與處理個(gè)人數(shù)據(jù)有關(guān)的風(fēng)險(xiǎn)、規(guī)則、保障和權(quán)利，以及如何行使與處理有關(guān)的權(quán)利。特別是，處理個(gè)人數(shù)據(jù)的具體目的應(yīng)清晰且合法，并在收集個(gè)人數(shù)據(jù)時(shí)予以明確。”包括歐盟《一般數(shù)據(jù)保護(hù)條例》在內(nèi)的許多國(guó)家或地區(qū)的數(shù)據(jù)保護(hù)法和個(gè)人信息保護(hù)法都要求處理者必須遵循透明的原則。早在1980年《經(jīng)濟(jì)合作與發(fā)展組織關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨疆界流動(dòng)的指導(dǎo)原則》（OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）中就提出了公開(kāi)原則，該指導(dǎo)原則要求：“應(yīng)當(dāng)公開(kāi)有關(guān)個(gè)人數(shù)據(jù)的開(kāi)發(fā)、應(yīng)用和操作規(guī)程的一般政策。應(yīng)當(dāng)提供現(xiàn)實(shí)可行的手段以確定個(gè)人數(shù)據(jù)的存在狀況、性質(zhì)、使用目的以及數(shù)據(jù)控制者的身份和住址。”《巴西通用數(shù)據(jù)保護(hù)法》第6條第6款規(guī)定，個(gè)人數(shù)據(jù)處理應(yīng)當(dāng)遵循透明原則，即“保證數(shù)據(jù)主體能夠就數(shù)據(jù)處理和相應(yīng)的處理代理人獲得清晰、準(zhǔn)確和易得的信息，且遵守商業(yè)和企業(yè)機(jī)密”。2018年美國(guó)加利福尼亞州《消費(fèi)者隱私法案》（California Consumer Privacy Act）在第2節(jié)“立法目的”中就明確指出：“人們期許隱私和其信息的更多控制。加利福尼亞消費(fèi)者應(yīng)當(dāng)能夠就其個(gè)人信息行使控制權(quán)，并且期待防治個(gè)人信息濫用的保護(hù)措施。企業(yè)可能在尊重消費(fèi)者隱私的同時(shí)，就其企業(yè)活動(dòng)提供高水平的透明度。”

? ? ? ?我國(guó)《民法典》第1035條要求個(gè)人信息處理者應(yīng)當(dāng)“公開(kāi)處理信息的規(guī)則”“明示處理信息的目的、方式和范圍”。《網(wǎng)絡(luò)安全法》第41條第1款和《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條均對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)服務(wù)提供者收集、使用信息應(yīng)遵循合法、正當(dāng)、必要原則予以規(guī)定。《個(gè)人信息保護(hù)法》第7條更是將公開(kāi)透明原則作為個(gè)人信息處理中的一項(xiàng)基本原則加以詳細(xì)規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)遵循公開(kāi)、透明的原則，公開(kāi)個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。”為了確保個(gè)人是在充分知情的前提下作出同意的，《個(gè)人信息保護(hù)法》第17條第1款規(guī)定：“個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng)：（一）個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；（二）個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；（三）個(gè)人行使本法規(guī)定權(quán)利的方式和程序；（四）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。”在個(gè)人無(wú)法或難以理解個(gè)人信息處理規(guī)則時(shí)，依據(jù)該法第48條，個(gè)人還有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說(shuō)明。此外，當(dāng)個(gè)人信息處理者轉(zhuǎn)移個(gè)人信息或者向他人提供其處理的個(gè)人信息時(shí)，應(yīng)當(dāng)向個(gè)人告知接收方的身份、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類等事項(xiàng)（《個(gè)人信息保護(hù)法》第22、23條）。

? ? ? ?（三）同意是自愿且明確的

? ? ? ?同意必須是自愿的（voluntary），如果個(gè)人是在威脅、欺詐或脅迫的情況下而作出同意，那么這種同意就不是個(gè)人在有真正的選擇權(quán)的情形下作出的，是不真實(shí)的、不自愿的。法律上不應(yīng)當(dāng)使個(gè)人承受這種基于不自愿的同意所產(chǎn)生的后果，故此，這種同意是無(wú)效的。法律上之所以要確保個(gè)人的同意必須是自愿作出，根本原因在于現(xiàn)代網(wǎng)絡(luò)信息時(shí)代中個(gè)人信息處理者與個(gè)人之間的關(guān)系屬于持續(xù)性的信息不平等關(guān)系。歐盟《一般數(shù)據(jù)保護(hù)條例》導(dǎo)言部分第43條規(guī)定：“特別是當(dāng)控制者是公權(quán)力一方且基于特定情形下予以考慮的所有條件認(rèn)為同意不可能是自愿作出的，該同意并不能成為該特定情形下個(gè)人數(shù)據(jù)處理的有效法律依據(jù)。”網(wǎng)絡(luò)信息科技引發(fā)的處理者與個(gè)人之間的不對(duì)等關(guān)系表現(xiàn)在以下幾個(gè)方面：其一，現(xiàn)代網(wǎng)絡(luò)信息科技的發(fā)展，使得個(gè)人信息以前所未有的數(shù)量和種類被產(chǎn)生，個(gè)人常常不知道自己產(chǎn)生了什么樣的個(gè)人信息；其二，現(xiàn)代信息網(wǎng)絡(luò)社會(huì)使得社會(huì)生活被高度數(shù)字化，個(gè)人信息處理成為現(xiàn)代生產(chǎn)生活所必需的活動(dòng)，個(gè)人缺乏拒絕或阻止個(gè)人信息被處理的能力，否則就要為此付出各種各樣或大或小的代價(jià)。個(gè)人信息處理者留給個(gè)人的選項(xiàng)只有留下或離開(kāi)。其三，算法和算力的提升使得個(gè)人信息處理的目的和方式具有無(wú)限可能性，加之算法的專業(yè)性與不透明性，就會(huì)使得個(gè)人信息處理對(duì)個(gè)人權(quán)益可能產(chǎn)生何種危險(xiǎn)或損害，常常是個(gè)人難以了解的。正因如此，為了避免個(gè)人作出同意時(shí)受到強(qiáng)迫或陷入其他喪失選擇自由的狀態(tài)，我國(guó)《個(gè)人信息保護(hù)法》第14條明確規(guī)定，在基于個(gè)人同意處理個(gè)人信息時(shí)，個(gè)人作出的同意必須是自愿的。這就是說(shuō)，個(gè)人信息處理者通過(guò)欺詐、脅迫或者誤導(dǎo)等方式取得的個(gè)人的同意是無(wú)效的。例如，《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》第4條就規(guī)定：“有下列情形之一，信息處理者以已征得自然人或者其監(jiān)護(hù)人同意為由抗辯的，人民法院不予支持：（一）信息處理者要求自然人同意處理其人臉信息才提供產(chǎn)品或者服務(wù)的，但是處理人臉信息屬于提供產(chǎn)品或者服務(wù)所必需的除外；（二）信息處理者以與其他授權(quán)捆綁等方式要求自然人同意處理其人臉信息的；（三）強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息的其他情形。”

? ? ? ?所謂同意是明確的，要求個(gè)人是以清晰、明白而非含糊的、模棱兩可的方式表示同意。只要同意是以明確的方式作出的即可，至于是通過(guò)紙質(zhì)、電子形式等書(shū)面方式，還是通過(guò)口頭方式作出的，無(wú)關(guān)緊要。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》導(dǎo)言部分第32條就指出，個(gè)人同意可以書(shū)面陳述（包括電子形式）或者口頭聲明、在瀏覽網(wǎng)頁(yè)時(shí)在方框里打鉤或其他陳述或行為等方式作出。再如，德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》（Bundesdatenschutzgesetz）第51條第2款規(guī)定，如果數(shù)據(jù)主體的同意是在同時(shí)涉及到其他事項(xiàng)的書(shū)面聲明中作出的，則對(duì)于同意的請(qǐng)求應(yīng)以與其他事項(xiàng)明顯區(qū)分的方式提出，且該請(qǐng)求應(yīng)當(dāng)易于理解且所使用的文字應(yīng)當(dāng)清晰明了。

? ? ? ?三、個(gè)人同意的方式與類型

? ? ? ?理論上說(shuō)，同意可以是明示的（expressly），也可以是默示的（implied）。特殊情形下才可以是沉默。但是，由于《個(gè)人信息保護(hù)法》第14條第1款第1句已經(jīng)明確規(guī)定，個(gè)人對(duì)于其個(gè)人信息被處理而作出的同意必須是在充分知情的前提下自愿、明確作出的，故此同意必須是明示的，而默示、預(yù)選方框或者不作為都不構(gòu)成同意。所謂明示的同意，是指?jìng)€(gè)人通過(guò)言語(yǔ)、文字等積極的行為即作為來(lái)作出對(duì)處理者實(shí)施的個(gè)人信息處理行為的同意。此種積極的行為，包括網(wǎng)絡(luò)上關(guān)于是否同意處理其個(gè)人信息的對(duì)話框中的“同意”選項(xiàng)，也包括打電話給處理者口頭告知同意其處理個(gè)人信息，以及通過(guò)填寫(xiě)電子表格、發(fā)送電子郵件或者上傳包含個(gè)人電子簽名的文檔等積極作為的方式來(lái)表示同意。由于個(gè)人信息處理者負(fù)有舉證證明取得個(gè)人同意的義務(wù)，故此，采取紙質(zhì)或者電子方式的同意，對(duì)于處理者而言更為穩(wěn)妥。從我國(guó)《民法典》以及《個(gè)人信息保護(hù)法》的規(guī)定來(lái)看，個(gè)人同意有以下三種類型：

? ? ? ?（一）明確同意

? ? ? ?《民法典》中有兩處使用“明確同意”的表述：一是，《民法典》第1033條第5項(xiàng)規(guī)定，除法律另有規(guī)定或者權(quán)利人明確同意外，任何組織或者個(gè)人不得處理他人的私密信息。二是，《民法典》第1219條規(guī)定的醫(yī)務(wù)人員說(shuō)明義務(wù)和患者知情同意權(quán)。從立法本意來(lái)看，《民法典》要求明確同意，也只是為了強(qiáng)調(diào)權(quán)利人必須是清晰地、毫不含糊地作出了同意，至于同意的方式究竟是哪一種，并不重要。《個(gè)人信息保護(hù)法》中沒(méi)有采取“明確同意”這一概念，但是，《個(gè)人信息保護(hù)法》第14條第1款要求同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下“自愿、明確作出”。由此可見(jiàn)，“明確”應(yīng)當(dāng)是對(duì)個(gè)人信息處理中個(gè)人同意的一般性要求，即無(wú)論是書(shū)面的還是非書(shū)面的，單獨(dú)的還是非單獨(dú)的同意，都應(yīng)當(dāng)是明確作出的同意，即明確同意。故此，在《個(gè)人信息保護(hù)法》中明確同意本身不是一種同意的類型。

? ? ? ?（二）單獨(dú)同意

? ? ? ?單獨(dú)同意是我國(guó)《個(gè)人信息保護(hù)法》獨(dú)創(chuàng)的概念，此前的法律中都沒(méi)有規(guī)定，比較法上似乎也未見(jiàn)類似的立法例。依據(jù)《個(gè)人信息保護(hù)法》第14條第1款第2句，在法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書(shū)面同意的，從其規(guī)定。也就是說(shuō)，除了要求同意必須在個(gè)人充分知情的前提下自愿、明確地作出，法律、行政法規(guī)還可以提出特別的要求即單獨(dú)同意或書(shū)面同意。依據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，需要取得單獨(dú)同意的個(gè)人信息處理活動(dòng)主要包括五類：其一，處理者向其他處理者提供其處理的個(gè)人信息（第23條）；其二，處理者公開(kāi)個(gè)人信息（第25條）；其三，將在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備所收集的個(gè)人圖像、身份識(shí)別信息用于維護(hù)公共安全之外的其他目的（第26條）；其四，處理敏感個(gè)人信息（第29條）；其五，向我國(guó)境外提供個(gè)人信息（第39條）。

? ? ? ?顯然，從單獨(dú)同意適用的上述情形可以看出，它們都是會(huì)對(duì)個(gè)人權(quán)益產(chǎn)生較為重大的影響的情形，故此需要通過(guò)非常鮮明、突出的方式來(lái)警示個(gè)人，使個(gè)人在認(rèn)真且慎重地權(quán)衡利弊得失后作出同意與否的決定。因此，單獨(dú)同意的要求本質(zhì)上就是法律強(qiáng)制地要求個(gè)人信息處理者將個(gè)人針對(duì)某類處理活動(dòng)作出的同意與對(duì)其他的處理活動(dòng)作出的同意區(qū)分、凸顯出來(lái)。這就意味著，個(gè)人信息處理者在取得個(gè)人同意的時(shí)候，既不能將需要取得同意的個(gè)人信息處理活動(dòng)的內(nèi)容與其他信息混在一起，也不能將處理目的、處理方式和個(gè)人信息種類等不同的個(gè)人信息處理活動(dòng)混在一起而概括取得個(gè)人的同意。處理者必須就法律所規(guī)定的特定類型的個(gè)人信息處理活動(dòng)專門(mén)取得個(gè)人的同意。在以往的實(shí)踐中，網(wǎng)絡(luò)服務(wù)提供者可能會(huì)將各種內(nèi)容混在一起，放在所謂的隱私政策或服務(wù)條款中，其中既有個(gè)人信息處理活動(dòng)的內(nèi)容，也有合同權(quán)利義務(wù)的約定、警示提示甚至宣傳吹噓自己服務(wù)的內(nèi)容等，長(zhǎng)篇大論，個(gè)人只需要點(diǎn)擊最后一個(gè)同意即可。這種同意至少就需要單獨(dú)同意的個(gè)人信息處理活動(dòng)而言，屬于無(wú)效的同意。至于將需要單獨(dú)同意的個(gè)人信息（如敏感的個(gè)人信息）和不需要取得單獨(dú)同意的個(gè)人信息都混在一起，概括地一攬子取得個(gè)人的同意的做法，在《個(gè)人信息保護(hù)法》施行后也是不可以的。

? ? ? ?（三）書(shū)面同意

? ? ? ?所謂書(shū)面同意，是指?jìng)€(gè)人應(yīng)當(dāng)以書(shū)面的形式作出同意。依據(jù)《民法典》第469條，書(shū)面形式是合同書(shū)、信件、電報(bào)、電傳、傳真等可以有形地表現(xiàn)所載內(nèi)容的形式。以電子數(shù)據(jù)交換、電子郵件等方式能夠有形地表現(xiàn)所載內(nèi)容，并可以隨時(shí)調(diào)取查用的數(shù)據(jù)電文，視為書(shū)面形式。書(shū)面形式既有助于發(fā)揮警示的作用，使當(dāng)事人三思而后行，也有助于保存證據(jù)，避免和解決糾紛。在個(gè)人信息處理中，書(shū)面同意提高了對(duì)處理者的要求，其意味著，個(gè)人的同意不僅應(yīng)當(dāng)是個(gè)人在充分知情的前提下自愿、明確地作出的，還必須采取書(shū)面形式，而處理者負(fù)有舉證證明存在該書(shū)面同意的義務(wù)。如果處理者不能證明取得了個(gè)人的書(shū)面同意，即便可以證明取得了同意，該處理活動(dòng)也是非法的、無(wú)效的。

? ? ? ?歐盟《一般數(shù)據(jù)保護(hù)條例》沒(méi)有要求同意必須是書(shū)面的，這是因?yàn)樵摋l例不能破壞成員國(guó)本國(guó)相關(guān)法律對(duì)于同意的形式的規(guī)定。《個(gè)人信息保護(hù)法》頒布前，我國(guó)的一些行政法規(guī)就已經(jīng)對(duì)于個(gè)人信息處理活動(dòng)需要取得書(shū)面同意作出了規(guī)定。《征信業(yè)管理?xiàng)l例》第18條規(guī)定：“向征信機(jī)構(gòu)查詢個(gè)人信息的，應(yīng)當(dāng)取得信息主體本人的書(shū)面同意并約定用途。但是，法律規(guī)定可以不經(jīng)同意查詢的除外。”第29條第2款規(guī)定：“從事信貸業(yè)務(wù)的機(jī)構(gòu)向金融信用信息基礎(chǔ)數(shù)據(jù)庫(kù)或者其他主體提供信貸信息，應(yīng)當(dāng)事先取得信息主體的書(shū)面同意，并適用本條例關(guān)于信息提供者的規(guī)定。”《個(gè)人信息保護(hù)法》并沒(méi)有要求同意必須是書(shū)面形式，而只是規(guī)定法律、行政法規(guī)要求采取書(shū)面形式的，從其規(guī)定。不過(guò)，由于《個(gè)人信息保護(hù)法》第14條第1款已經(jīng)要求同意必須是明確作出的，這就意味著在個(gè)人信息處理活動(dòng)中，處理者為了證明已經(jīng)取得個(gè)人明確、自愿的同意，基本上都會(huì)對(duì)個(gè)人的同意采取書(shū)面形式的要求，否則難以證明這一點(diǎn)。

? ? ? ?從《個(gè)人信息保護(hù)法》第14條第1款第2句的規(guī)定可知，單獨(dú)同意、書(shū)面同意肯定是比一般的同意更高的要求。從該法第29條來(lái)看，書(shū)面同意的要求應(yīng)當(dāng)又要比單獨(dú)同意的要求更高。因?yàn)樘幚砻舾械膫€(gè)人信息本身就要求取得個(gè)人的單獨(dú)同意，同時(shí)還規(guī)定，法律、行政法規(guī)規(guī)定處理敏感的個(gè)人信息應(yīng)當(dāng)取得書(shū)面同意的，從其規(guī)定。這就是說(shuō)，法律、行政法規(guī)會(huì)要求某些敏感個(gè)人信息的處理必須取得個(gè)人的“書(shū)面的單獨(dú)同意”。從這個(gè)角度來(lái)說(shuō)，筆者認(rèn)為，所謂“書(shū)面的單獨(dú)同意”應(yīng)當(dāng)是指紙面的同意書(shū)，即處理者必須取得個(gè)人親筆簽名的、針對(duì)某類敏感個(gè)人信息的處理表示同意的紙質(zhì)同意書(shū)。

? ? ? ?結(jié)? 語(yǔ)

? ? ? ?在個(gè)人信息處理中，同意并非個(gè)人信息處理行為的唯一合法基礎(chǔ)，法律、行政法規(guī)還可以規(guī)定無(wú)需取得個(gè)人同意而處理個(gè)人信息的各種情形。但是，無(wú)論如何，告知同意是個(gè)人信息處理的基本規(guī)則。個(gè)人信息處理者充分履行告知義務(wù)并取得個(gè)人同意后處理個(gè)人信息的活動(dòng)不具有非法性，而是合法的個(gè)人信息處理活動(dòng)。同意的性質(zhì)就是阻卻了處理行為的非法性，使之成為合法行為。由于不同的個(gè)人信息處理活動(dòng)的風(fēng)險(xiǎn)不同，故此，《個(gè)人信息保護(hù)法》等法律對(duì)于同意也有不同的要求，如單獨(dú)同意或者書(shū)面同意。這種做法提高了對(duì)處理者的個(gè)人信息處理行為的要求，有利于保護(hù)自然人的個(gè)人信息權(quán)益。當(dāng)然，同意的要件與形式的明確規(guī)定，客觀上也使得個(gè)人信息處理者有明確穩(wěn)定的預(yù)期，降低了合規(guī)成本。