個人信息處理中的“告知同意”規(guī)則

胡利玲

（中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院 北京 100088）

《個人信息保護(hù)法》（以下簡稱《個保法》）是個人信息保護(hù)法律體系中的基本法，也是規(guī)范個人信息處理的專門法。該法對個人信息處理作了全面系統(tǒng)的規(guī)范，目的在于實現(xiàn)對個人信息權(quán)益的保護(hù)，并促進(jìn)對個人信息的合理利用，其核心內(nèi)容是個人信息處理規(guī)則，這些規(guī)則又以“告知同意”為核心而構(gòu)建。能否準(zhǔn)確理解告知同意規(guī)則，直接關(guān)系到《個保法》能否正確適用，并發(fā)揮其在個人信息權(quán)益保護(hù)中的基礎(chǔ)作用。

1 告知同意的含義、實質(zhì)與意義

告知同意，是指除法律另有規(guī)定外，個人信息處理者在處理個人信息時，應(yīng)向個人信息主體告知必要事項并征得其同意，否則將構(gòu)成對個人信息權(quán)益的侵害。該規(guī)則是個人信息處理的基本規(guī)則，是公開透明原則的要求，也是個人對處理其信息享有知情權(quán)和決定權(quán)的體現(xiàn)?！秱€保法》規(guī)定，個人信息處理是指對個人信息的收集、存儲、使用、加工、傳輸、提供、公開和刪除等活動，這意味著基于個人同意的個人信息處理，處理者無論在取得、使用還是消滅個人信息時均須受告知同意規(guī)則約束，且僅能在個人同意范圍內(nèi)利用個人信息，其實質(zhì)是承認(rèn)個人對其信息享有支配和控制的權(quán)利。

該規(guī)則對保護(hù)個人信息權(quán)益具有重要意義。因為個人信息是與已識別或可識別的自然人有關(guān)的信息，與自然人人格尊嚴(yán)和人格自由密切相關(guān)，故自然人對其個人信息享有受法律保護(hù)的民事權(quán)益。該權(quán)益是一種人格權(quán)益，信息處理者須尊重此種人格權(quán)益。除法律另有規(guī)定外，只有取得個人同意才能為其處理行為提供合法基礎(chǔ)，其處理活動不得不受到個人信息權(quán)益優(yōu)先的限制。

2 告知同意的一般要求

2.1 一般告知事項及其例外

同意須以知情為前提，在個人信息處理中，處理者與個人之間信息不對稱，處理者的告知義務(wù)就更為重要。處理者在處理個人信息前，原則上都應(yīng)及時向個人履行告知義務(wù)。告知的目的是使個人在充分知情下作出同意與否的真實意思表示。因此，處理者應(yīng)以顯著方式、清晰易懂的語言來真實、準(zhǔn)確、完整地向個人告知必要處理事項，以確保個人實質(zhì)性地知情。法定的一般告知事項包括處理者的身份、處理的目的和方式、信息種類、保存期限、個人行使權(quán)利的方式和程序，以及依法應(yīng)告知的其他事項。若告知事項發(fā)生變更，則應(yīng)告知變更的內(nèi)容。

但下列情形下允許例外：一是法定免予告知，即有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或不需告知情形的，可不予告知；二是出現(xiàn)阻礙履行告知義務(wù)的緊急情況，即緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全無法及時告知的，可延遲告知。于后一種情形，處理者的告知義務(wù)并未免除，在緊急情況消除后仍應(yīng)及時告知。

2.2 取得同意

2.2.1 同意作為合法化基礎(chǔ)及其有效要件

《個保法》為個人信息處理規(guī)定了七項合法化基礎(chǔ)（第13條），“取得個人同意”是基于同意而處理個人信息的合法化基礎(chǔ)，體現(xiàn)的是立法承認(rèn)個人擁有對其信息處理的自決權(quán)。正如歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）及其指南所言，同意作為數(shù)據(jù)處理的合法基礎(chǔ)的前提是，個人數(shù)據(jù)主體對自己的數(shù)據(jù)有實際的控制權(quán)，并且有真正的選擇。同意表明個人對其信息被處理的方式、目的、范圍等的認(rèn)可，法律性質(zhì)上屬意思表示。因此，同意應(yīng)是個人主體在完全知情的基礎(chǔ)上自主作出的真實選擇。

同意的有效要件如下。第一，同意的前提是個人充分知情，包括對處理的目的和方式及信息種類等，使個人實質(zhì)性地了解處理活動產(chǎn)生的風(fēng)險。第二，同意是由個人自愿明確地作出的。同意須針對處理的特定目的作出，確保個人可就每一個目的進(jìn)行單獨(dú)選擇。第三，處理者對信息的利用限于同意的范圍，如果處理目的、方式或信息種類變更，須重新取得個人同意。

2.2.2 撤回同意

《個保法》第15 條規(guī)定：“基于個人同意處理個人信息的，個人有權(quán)撤回其同意。個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。個人撤回同意，不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力?！痹试S個人享有撤回同意權(quán)，再次體現(xiàn)了立法對自然人享有對其個人信息控制權(quán)的認(rèn)可。撤回同意權(quán)是同意權(quán)的組成部分。個人有權(quán)隨時撤回其同意，原則上處理者不得附加限制條件，且應(yīng)提供便捷的撤回方式。對于何為便捷，GDPR規(guī)定“撤回同意應(yīng)與作出同意一樣容易”（第7條第3款），值得借鑒。

撤回同意通常應(yīng)產(chǎn)生以下法律效果：一是處理者不得繼續(xù)處理撤回同意的信息；二是撤回?zé)o溯及力，即撤回前基于個人同意的信息處理的效力不受影響；三是個人有權(quán)請求處理者刪除信息。但處理者不得以個人撤回同意為由拒絕提供產(chǎn)品或服務(wù)，除非處理這些信息為提供產(chǎn)品或服務(wù)所必需，即若不處理這些信息將無法提供產(chǎn)品或服務(wù)的基本功能。

3 告知同意的特殊要求

針對個人信息處理的特殊情形，《個保法》提出了更高的告知同意要求。

3.1 因處理主體變更而轉(zhuǎn)移個人信息的

《個保法》第22 條規(guī)定：“在個人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需轉(zhuǎn)移個人信息時，應(yīng)當(dāng)向個人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依本法重新取得個人同意?！?/p>

立法對此作特殊要求的原因在于：其一，由于主體身份變動而轉(zhuǎn)移信息將導(dǎo)致處理個人信息的主體變更；其二，新的信息處理者（接收者）處理個人信息的目的、方式、范圍可能發(fā)生變化，從而超出原個人知情同意的范圍。其目的在于確保個人了解信息處理者的變化，保障其對個人信息處理的知情權(quán)，也便于個人向接收方主張權(quán)利。

但對于因處理主體變更而轉(zhuǎn)移個人信息，并不要求都取得個人的“重新同意”，而是以是否變更原先的處理目的、處理方式為判斷標(biāo)準(zhǔn)。若不發(fā)生變更，則轉(zhuǎn)移個人信息行為并未超出同意—合法性基礎(chǔ)的范圍，故盡到特別告知義務(wù)即可。

3.2 個人信息處理者之間提供個人信息的

《個保法》第23 條規(guī)定：“個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個人同意?！?/p>

此種特殊情形是信息處理者將其處理的個人信息共享或轉(zhuǎn)移給第三方，并由第三方（接收方）對個人信息進(jìn)行處理的活動?！疤峁睉?yīng)為合法提供，區(qū)別于非法買賣個人信息。至于提供方提供的個人信息，并不限于基于同意而處理的個人信息。“提供”包括共享和轉(zhuǎn)移，都是個人信息再利用的方式。允許個人信息共享和轉(zhuǎn)移，有利于防止壟斷個人信息，實現(xiàn)信息的合理利用和流動，但提供信息過程中可能導(dǎo)致信息被泄露、竊取、篡改或丟失等的風(fēng)險也會加大，從而嚴(yán)重影響個人權(quán)益。故要求提供方除須告知特別事項外，還須取得個人的“單獨(dú)同意”。所謂單獨(dú)同意，即個人信息主體針對特定類型信息獨(dú)立作出的、明確表示同意的意思表示，以區(qū)別于對一般信息的概括授權(quán)同意或一攬子同意。單獨(dú)同意往往適用于重要的個人信息的處理。

在提供方向個人告知接收方的個人信息、處理目的、處理方式和個人信息種類并取得個人單獨(dú)同意后，接收方應(yīng)在個人單獨(dú)同意的范圍內(nèi)處理這些信息。若接收方變更處理目的、處理方式和個人信息種類的，則應(yīng)重新取得個人同意。在解釋上與前述轉(zhuǎn)移個人信息的情形相同。

3.3 處理敏感個人信息的

《個保法》將個人信息區(qū)分為敏感個人信息與一般個人信息，確定了不同的處理規(guī)則，并對處理敏感個人信息提出了更嚴(yán)格的要求。敏感個人信息，是指一旦泄露或非法使用，容易導(dǎo)致自然人人格尊嚴(yán)受到侵害或人身、財產(chǎn)安全受到危害的個人信息。典型敏感信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等，以及不滿十四周歲未成年人的個人信息。盡管各國對敏感信息的范圍界定不同，但都將其作為“特殊的個人信息”加以特別規(guī)定。其原因就在于敏感信息因其“特殊性”和“重要性”特點(diǎn)而與個人的人格尊嚴(yán)、人格自由等基本權(quán)利和重大人身財產(chǎn)權(quán)益具有更密切的聯(lián)系，對自然人而言意味著巨大的風(fēng)險，更易受到侵害，而這種損害難以恢復(fù)。

對于敏感信息的處理，立法要求處理者只有在具有特定目的和充分必要性，并采取嚴(yán)格保護(hù)措施的情形下才能進(jìn)行，處理者在處理前須進(jìn)行個人信息保護(hù)影響評估并對處理情況進(jìn)行記錄等。此外，除履行一般告知義務(wù)外，還須履行特別告知義務(wù)，除非依法可免予告知，且處理敏感信息須取得個人的“單獨(dú)同意”或“書面同意”?？梢?，因敏感信息的性質(zhì)不同于一般信息，故對其告知同意要求也有不同的強(qiáng)度。

履行特別告知義務(wù)，主要體現(xiàn)在特別告知事項上，具體包括如下幾點(diǎn)。其一，處理敏感個人信息的必要性。若個人認(rèn)為處理者處理其敏感信息無必要性或必要性不充分，則可選擇不同意以阻卻處理個人信息，從而保障個人的知情權(quán)和決定權(quán)。其二，對個人權(quán)益的影響。盡管依據(jù)目的限制原則，處理者應(yīng)采取對個人權(quán)益影響最小的方式處理信息，但在處理敏感信息時，仍須尊重個人的知情權(quán)并貫徹公開透明原則，對可能給個人造成的不利影響特別告知。而取得單獨(dú)同意，在解釋上同前述單獨(dú)同意適用的情形，同樣體現(xiàn)了對重要個人信息的特殊保護(hù)。至于是否需要獲得“書面同意”，則取決于法律、行政法規(guī)是否有書面同意的要求。

3.4 處理兒童個人信息的

《個保法》將不滿十四周歲未成年人的個人信息（下稱“兒童個人信息”）納入敏感個人信息，并作為典型敏感信息加以列舉。這說明立法將兒童信息保護(hù)與其他敏感信息保護(hù)視為具有相同的價值基礎(chǔ)。因此，前述對于敏感信息的單獨(dú)同意規(guī)則與特別告知事項，自然也適用于兒童信息的處理。但須承認(rèn)，兩者在邏輯結(jié)構(gòu)上并不同，其他敏感個人信息多指向信息的具體內(nèi)容，兒童信息則是源于其主體特殊性。因此，立法針對其主體特殊性在敏感信息保護(hù)的一般規(guī)則基礎(chǔ)上予以更高的要求。對兒童信息予以特別保護(hù)，也是《未成年人保護(hù)法》中“最有利于未成年人原則”的體現(xiàn)。

根據(jù)《個保法》規(guī)定，“個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意?！边@是因為有效的個人同意必須以作出同意的個人具有同意能力為要件，而兒童的同意能力顯然受限于其年齡和智力。但立法未以民法上的無行為能力或限制行為能力的標(biāo)準(zhǔn)作為同意能力的標(biāo)準(zhǔn)，而是根據(jù)目前我國未成年人認(rèn)知、判斷網(wǎng)絡(luò)風(fēng)險能力的實際情況、參考其他法律并參照國際上的做法劃定了年齡界線。

對兒童信息處理者而言，取得該兒童的父母或其他監(jiān)護(hù)人同意是其法定義務(wù)。難題在于如何證明和確保真正獲得其父母或其他監(jiān)護(hù)人的同意。對此，GDPR規(guī)定，“控制者應(yīng)采取合理的努力，結(jié)合技術(shù)可行性，確保此類情形中對兒童具有監(jiān)護(hù)責(zé)任的主體已經(jīng)同意或授權(quán)”。第29 條工作組也認(rèn)為，這取決于個人信息處理活動的風(fēng)險高低和現(xiàn)有技術(shù)能力，并認(rèn)為通過可信的第三方提供驗證服務(wù)是可行的辦法。

3.5 跨境提供個人信息的

《個保法》第39 條規(guī)定：“個人信息處理者向境外提供個人信息的，應(yīng)當(dāng)向個人告知境外接收方的姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨(dú)同意。”

個人信息跨境提供，即個人數(shù)據(jù)跨境傳輸，《個保法》并未對其概念明確規(guī)定，但根據(jù)《數(shù)據(jù)出境安全評估辦法》，個人信息跨境提供是指數(shù)據(jù)處理者向境外提供在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息的行為。立法之所以對跨境提供個人信息時的“告知同意”有特殊要求，不僅因為個人信息的出境加大了個人信息被篡改、破壞、泄露、丟失、轉(zhuǎn)移或被非法獲取、非法利用的風(fēng)險，可能會對個人權(quán)益產(chǎn)生嚴(yán)重?fù)p害，放任個人信息跨境自由流動也不利于維護(hù)國家安全。因此，對個人信息跨境提供規(guī)定了應(yīng)具備的前提條件，并對告知同意提出了更高要求。

具體而言，除須告知第23 條規(guī)定的事項外，增加了特別告知事項——“個人向境外接收方行使本法規(guī)定的權(quán)利方式和程序”。而要求處理者取得個人的單獨(dú)同意，在解釋上與前述情形下要求取得個人單獨(dú)同意相同，即不能將其他需要取得個人同意的事項與本事項混合而概括取得個人的同意。單獨(dú)同意進(jìn)一步提高了個人知情的要求，不同于境內(nèi)個人信息處理活動，當(dāng)個人知曉其信息需要跨境處理時，可拒絕或撤回此前的同意。如前所述，單獨(dú)同意通常適用于重要個人信息的處理，由此也可以說個人信息的跨境保護(hù)要求高于境內(nèi)個人信息的保護(hù)要求。

4 同意之例外

4.1 無需取得個人同意的法定情形

《個保法》第13 條在規(guī)定“取得個人同意”作為處理個人信息的合法性基礎(chǔ)的同時，規(guī)定了無需取得個人同意而處理個人信息的6 種例外情形，包括：（1）為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；（2）為履行法定職責(zé)或者法定義務(wù)所必需；（3）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需；（4）為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；（5）依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；（6）法律、行政法規(guī)規(guī)定的其他情形。

以上6種例外情形同樣構(gòu)成了處理個人信息的合法化基礎(chǔ)。這些例外意味著在立法上對同意規(guī)則的適用予以了限制，從反面構(gòu)成了同意規(guī)則的范圍和邊界，即并非在任何情境下都應(yīng)優(yōu)先保證權(quán)利人的同意權(quán)。立法的目的是實現(xiàn)個人信息保護(hù)和信息自由流動的平衡。但須注意的是，該例外只是“無需取得個人同意”，而非“無需告知”。為了保障個人的知情權(quán)，在合理處理個人信息之前，原則上處理者仍應(yīng)向個人履行告知義務(wù)，除非符合法律規(guī)定的免予告知的情形。

4.2 無需取得個人同意之特定情形的限制適用

為防止個人權(quán)益受到重大影響，《個保法》對無需取得個人同意的特定情形又進(jìn)行了限制適用，集中體現(xiàn)在對處理已合法公開個人信息時的例外排除。第27條規(guī)定：個人信息處理者可在合理范圍內(nèi)處理已合法公開的個人信息，但個人明確拒絕的除外。個人信息處理者處理已合法公開的個人信息，對個人權(quán)益有重大影響的，應(yīng)依法取得個人同意。

據(jù)此，若個人已明確表示不得利用其信息，則處理行為違法。若處理行為對個人權(quán)益產(chǎn)生重大影響，則仍須取得個人同意，由個人自主決定是否同意個人信息處理活動。這一規(guī)定將個人的知情同意擺在了優(yōu)先地位，也表明《個保法》將是否“對個人權(quán)益有重大影響”作為分界線決定是以拒絕權(quán)還是以同意權(quán)的行使控制個人信息的處理，這意味著處理者在處理已合法公開的個人信息前就須對該處理行為是否對個人權(quán)益有重大影響進(jìn)行評估，并據(jù)此判斷是否需取得個人同意。但對判斷標(biāo)準(zhǔn)立法本身未作規(guī)定。從比較法上看，GDPR 在“前言”中指出，“給數(shù)據(jù)主體的權(quán)利與自由帶來的風(fēng)險，其發(fā)生概率與嚴(yán)重程度取決于數(shù)據(jù)處理的性質(zhì)、范圍、內(nèi)容及目的。應(yīng)在客觀評估的基礎(chǔ)上對風(fēng)險作出評價，通過客觀評估，可判定數(shù)據(jù)處理操作是否存在風(fēng)險或是高風(fēng)險”（76 條），或可資借鑒。

5 結(jié)語

“告知同意”是個人信息處理的基本規(guī)則。對基于個人同意的個人信息處理，同意是處理個人信息的合法化基礎(chǔ)，體現(xiàn)了個人對其信息享有控制權(quán)。但因所處理的個人信息性質(zhì)不同，或個人信息主體有別，又或處理活動發(fā)生的情境不同，故立法對“同意”有不同的強(qiáng)度要求。同意須在個人充分知情前提下自愿、明確地作出，故須以切實保障個人對其信息處理享有知情權(quán)為基礎(chǔ)，為此信息處理者必須要履行必要的“告知義務(wù)”。同樣基于不同的情形，對告知義務(wù)也應(yīng)有不同程度的要求，從而達(dá)到個人實質(zhì)知情并作出真正的決定。同時，立法規(guī)定了同意的例外情形，以盡可能在保護(hù)個人信息權(quán)益與促進(jìn)個人信息合理利用之間實現(xiàn)平衡。