論《個人信息保護法》中個人同意制度的完善

楊少飛，郭楊騫

(1.安徽財經(jīng)大學 法學院,安徽 蚌埠 233030；2.北京大成律師事務所，北京 100020)

2019年，微信讀書App在收集整理原告的微信好友關(guān)系數(shù)據(jù)和原告的閱讀信息時，沒有經(jīng)過原告同意且原告沒有對其進行授權(quán)，原告主張微信App讀書，構(gòu)成對個人信息權(quán)益的侵犯。經(jīng)過法院認定，法院支持原告的訴訟請求，認為微信讀書App侵犯了原告的個人信息權(quán)益(1)參考騰訊科技(深圳)有限公司網(wǎng)絡(luò)侵權(quán)責任糾紛一審民事判決書。案號:(2019)京0491民初16142號。。該微信讀書案在我國侵犯個人信息權(quán)益類案件中，屬于比較典型和有一定積極意義的案件，對我國以后類似的侵犯個人信息權(quán)益類的案件有著相當大的影響。法院在判決時認定：微信讀書App存在著較高的侵害用戶個人信息權(quán)益的風險，應當對用戶進行顯著的告知，使用戶充分了解其信息處理的方式、范圍和風險等等。微信讀書App收集原告微信的好友列表，并未告知原告也未獲得原告的同意授權(quán)。因此有必要采取一種合理有效的個人同意的認定標準，只要相關(guān)企業(yè)在獲取用戶的個人信息時所采取的行為符合這種標準的要求，相關(guān)企業(yè)就會有一個更加清晰地自我認定，從而更好地促進企業(yè)的合規(guī)發(fā)展。

一、個人同意制度的界定

(一)個人同意的含義

個人同意是指信息處理者在處理個人信息的時候，要積極地獲得相應個人信息主體的肯定、允許或者認可。從法律層面上來說，個人同意可以理解為個人信息主體自己做出的一種意思表示，并且該意思表示具有一定的法律效力，個人通過該意思表示來表達個人信息主體對信息處理者的行為和自己的行為的一種認可。但是根據(jù)2021年頒布的《中華人民共和國個人信息保護法》(下文簡稱《個人信息保護法》)第14條的規(guī)定：只有在個人充分知情的前提下做出的同意，才會被認定為個人信息者的真實意思表示。因此作為信息處理者尤其是相關(guān)企業(yè)不僅要重視個人同意，也要重視對個人同意之前的告知，以此來充分地保證個人是在其知情的情況下做出同意的意思表示。[1]作為信息處理者，應當清晰地了解《個人信息保法》中有關(guān)同意的規(guī)定，這是完善相關(guān)企業(yè)個人信息保護制度、踐行保護個人信息安全的法律義務、提前預防個人信息處理方面的法律風險的重要基礎(chǔ)和前提條件。

(二)個人同意的不同分類

從同意的形式來看，個人同意可劃分為明示同意、默示同意、單獨同意和書面同意。明示同意是指個人信息主體通過書面等方式主動做出的聲明，或者做出一些積極肯定的動作，對處理個人信息所做出的明確授權(quán)的行為。默示同意是指個人信息主體通過消極的不作為而做出的授權(quán)，默示同意在一定程度上有可能造成個人信息支配者忽略信息處理者所制定的規(guī)則。單獨同意和書面同意可以理解為法律對信息處理者在處理信息時所要求的特別規(guī)定，目的是加大對個人信息權(quán)益的保障。單獨同意是指信息處理者在處理一些特殊的個人信息時，應該把涉及的處理目的、行為等單獨向個人告知并且取得個人同意。單獨同意要求信息處理者要做到一處理一告知一同意，不能一種信息隱藏在其他事項中，通過一種總的授權(quán)方式來取得個人同意，要盡量避免隨意收集個人信息等違法情形。在實踐中，互聯(lián)網(wǎng)企業(yè)一般通過單獨的告知同意界面的創(chuàng)新設(shè)計(如單獨的彈框設(shè)計)等特別的提醒界面方式來獲得個人同意。書面同意是指信息處理者在處理特殊的個人信息時，應該把收集個人信息的目的、行為等向信息支配者進行告知并且取得信息支配者的書面同意。根據(jù)2020年頒布的《中華人民共和國民法典》(下文簡稱《民法典》)第469條的規(guī)定，書面形式包括合同書、信件、電報、電傳、傳真等形式，數(shù)據(jù)電文也可以視為書面形式。因此為了進一步防范企業(yè)法律風險，即使在一般情形下取得個人信息主體同意的情況下，企業(yè)也應該獲取用戶個人的書面同意。

從同意的場景來看，不同的場景下對應著不同的同意方式，作為信息處理者應該注意分別不同場景下所適用的同意方式。根據(jù)《個人信息保護法》第23條、第25條、第26第、第29、第39條的規(guī)定，在個人信息對外提供、個人信息公開、公開場所收集的信息用于維護公共安全以外的其他目的、處理敏感個人信息、個人信息出境等五種場景下，信息處理者需要獲得個人信息主體的單獨同意。法律、行政法規(guī)等相關(guān)規(guī)定要求應當取得書面同意的，信息處理者還應該獲取相應的書面同意。當互聯(lián)網(wǎng)企業(yè)獲取和整理個人信息的時候，特別是信息處理者處理一些敏感個人信息，不僅要獲得信息支配者的單獨同意，還要時刻關(guān)注該個人信息所涉及的法律和行政法規(guī)的規(guī)定，以此來確認在處理個人敏感信息的時候是否還需要獲得其書面同意。清晰和準確地區(qū)分不同場景下同意的種類，可以更好地獲取當事人同意的授權(quán)。

二、個人同意制度的法律現(xiàn)狀及不足

(一)個人同意制度的法律現(xiàn)狀

在我國現(xiàn)行的法律條文中，個人同意的認定標準相對來說是比較模糊的，各個層面的法律法規(guī)都只是在某種程度上強調(diào)個人知情同意的重要性。在我國法律體系中，最早有關(guān)個人知情同意的法律規(guī)范性文件是2012年頒布的《全國人民代表大會常務委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，這部規(guī)范性文件首次將個人同意確定為信息處理者處理個人信息的合法性基礎(chǔ)[2]。在這以后，工信部于2013年頒布的《信息安全技術(shù)、公共及商用服務信息系統(tǒng)個人信息保護指南》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》都明確規(guī)定個人同意等涉及處理個人信息的基本原則，這為后來的個人信息法律保護提供了國家標準和立法技術(shù)的指導。

在與個人同意制度相關(guān)立法中，2017年頒布的《網(wǎng)絡(luò)安全法》在現(xiàn)有的法律基礎(chǔ)上對處理個人信息的規(guī)則進行了修改和完善，《網(wǎng)絡(luò)安全法》第41條要求網(wǎng)絡(luò)運營者收集用戶數(shù)據(jù)時要遵循合法、正當和必要原則，而且要經(jīng)過用戶同意，這也只是規(guī)定了網(wǎng)絡(luò)運營者在處理個人信息時應該取得個人信息主體的同意?！毒W(wǎng)絡(luò)安全法》第41條和第42條都以法律條文的形式明確個人知情同意原則，將知情同意原則進一步具體化，同時明確了“合法、正當、必要”的基本前提，而且還規(guī)定了轉(zhuǎn)讓那些經(jīng)過匿名化的個人信息無須個人信息主體同意?！睹穹ǖ洹穼⑾嚓P(guān)的個人信息視為一種人格權(quán)益，第四編第六章“隱私權(quán)和個人信息保護”從民法的基本角度對個人同意原則做出了相應的規(guī)范，第1035條規(guī)定了信息處理者在處理個人信息時必須獲得個人信息主體或者其法定監(jiān)護人的同意，根據(jù)這一規(guī)定及司法實踐的反饋，可以理解為只要個人信息主體未做出相反的意思表示就會認定其表示同意。

2020年頒布的《信息安全技術(shù)——個人信息安全規(guī)范(GB/T35273-2020)》從國家標準的角度明確了處理個人信息時獲取個人同意的具體要求。《個人信息保護法》在綜合現(xiàn)有的有關(guān)處理個人信息的法律規(guī)范，最終完成了關(guān)于個人知情同意的規(guī)范體系。《個人信息保護法》在個人知情同意規(guī)則上繼續(xù)使用《民法典》對個人同意規(guī)定的模式，也是首次以法律條文的形式規(guī)定了“實質(zhì)性的個人同意”。第14條規(guī)定：個人要在充分知情的前提下自愿、明確做出同意的意思表示；第17條規(guī)定：要明確告知個人信息主體其所獲取的具體內(nèi)容。《個人信息保護法》在法律規(guī)范的角度上建立了個人知情同意原則的規(guī)范體系，同時也回應了有關(guān)強制同意、默認同意等社會上具有爭議的現(xiàn)實問題。結(jié)合其他與個人信息相關(guān)的法律規(guī)范，我國基本形成了個人信息保護制度中個人知情同意制度的基本法律規(guī)范體系。

(二)個人同意制度存在的不足

在現(xiàn)有的法律體系下，個人知情同意原則具有至關(guān)重要的作用，在某種程度上來說也是目前處理個人信息的基礎(chǔ)。然而對于知情同意原則的質(zhì)疑一直都有。在20世紀初的時候，域外國家以英美為例的法律實踐已經(jīng)說明了傳統(tǒng)的知情同意原則已經(jīng)無法適應現(xiàn)在信息社會的時代，甚至無可挽回地走向瓦解，實務部門至今仍在批評其缺陷。例如，F(xiàn)TC在2021年發(fā)布的關(guān)于互聯(lián)網(wǎng)服務提供商隱私實踐報告的聲明中，將告知同意原則的缺陷作為互聯(lián)網(wǎng)服務提供商隱私實踐存在的首要問題。

在國內(nèi)，有部分學者認為知情同意原則在公開場所收集的信息用于維護公共安全以外的其他目的等特殊場景中存在著許多漏洞，而且換句話說個人知情同意原則本來就不適合作為我國處理個人信息的基礎(chǔ)，這些情況都說明雖然我國在立法中明確了知情同意原則的重要性，但是在具體的法律實施和運行過程中仍然會有許多問題。 關(guān)于個人同意的具體規(guī)定，相關(guān)法律法規(guī)并沒有進一步明確?！秱€人信息保護法》第13條也規(guī)定：信息處理者處理個人信息時要取得個人的同意，這在一定程度上保護了個人信息的安全，但是該規(guī)定仍然不夠清晰明確，因此需要對個人同意的有關(guān)標準進行明確。諸如此類的法律法規(guī)只是規(guī)定了信息處理者獲取個人信息主體的同意作為其信息處理行為的合法性依據(jù)，但是在許多細節(jié)方面沒有進行詳細的規(guī)定，給信息處理者的具體操作留有大量的空白。比如需要對個人同意的范圍、個人同意的形式、個人的理解能力等等做出明確的規(guī)定，以此來完善《個人信息保護法》中的個人同意制度的規(guī)定，保護和尊重個人的意思表示。

在社會生活實踐中，關(guān)于個人同意標準的適用存在很大的空白，這不僅會在一定程度上違背相關(guān)立法的初衷，也會在一定程度上阻礙相關(guān)信息產(chǎn)業(yè)的發(fā)展。由此可見個人同意認定標準的重要性，不僅關(guān)乎個人的個人信息安全，也涉及企業(yè)的合規(guī)發(fā)展。由于相關(guān)法律法規(guī)沒有對個人信息主體的同意進行進一步的具體規(guī)定，這在一定程度上導致了實踐中關(guān)于同意標準認識錯誤的案件時有發(fā)生。[3]

個人同意在法律層面上并不是一項強制性規(guī)定，只有在信息處理者打算處理個人信息的時候才會向個人信息主體發(fā)出同意的請求。企業(yè)在為個人提供網(wǎng)絡(luò)信息資源的同時，也需要獲取一定的個人信息，個人是否打算提供個人信息并不會妨礙個人獲取相應的使用權(quán)，但是這在一定程度上慢慢變?yōu)槠髽I(yè)的免責性理由。由于相應的法律法規(guī)對于個人同意的標準沒有進行準確的認定，這就導致了個人同意原則不能有效地限制信息處理者對個人信息的處理，有可能使信息處理者沒有節(jié)制地處理個人信息。

三、對現(xiàn)有個人同意制度的完善建議

如何判斷個人信息主體所做出的同意是其真實自愿的，這就需要探究其構(gòu)成要素，將這些構(gòu)成要素作為個人信息主體同意的認定條件。關(guān)于個人同意的構(gòu)成要素，可以借鑒國外相關(guān)法律的規(guī)定。例如，歐盟規(guī)定的《一般數(shù)據(jù)保護條例》中第7條規(guī)定了一些個人同意的構(gòu)成要素，其中第一款規(guī)定了個人信息主體要對信息處理者的處理知情，才能確立信息主體的同意。[4]232由該條款可以了解到個人信息主體做出同意的前提是知情，也就是個人信息主體要在知情的情況下才能做出相應的意思表示。意思表示是法律行為的核心要素，根據(jù)《民法典》的相關(guān)規(guī)定，民事法律行為生效的條件之一是當事人應當具備相應的民事行為能力，因此，個人信息主體的同意也要求信息主體具備相應的同意能力。

(一)個人同意的內(nèi)容

完善個人同意制度，需要知道個人同意的內(nèi)容，從同意的內(nèi)容來具體判斷獲取個人同意不同的授權(quán)程度，以及通過哪種外在形式來表現(xiàn)當事人的授權(quán)。

1.個人同意的范圍信息處理者在獲得個人信息主體同意的時候，個人信息主體有時不能進行全部的授權(quán)。這是因為個人信息有時不僅涉及個人自身的權(quán)益，也會涉及他人的權(quán)益和公共利益。當個人信息牽涉到他人利益和公共利益時，個人信息的同意就不能僅僅是信息主體個人，還應當獲得他人的同意和符合相關(guān)法律法規(guī)政策的要求。因此企業(yè)在收集和整理個人信息時，僅獲得相關(guān)信息主體的同意也是不行的，為了防范相關(guān)潛在的法律風險，應注重該信息所涉及的各方主體以及相關(guān)法律法規(guī)的要求。

2.個人同意的形式從企業(yè)防范風險的角度出發(fā)，企業(yè)在收集和整理個人信息時，要盡量獲得個人的書面同意，如合同書、信件、電報、電傳、傳真等。這是因為非書面形式的同意可能對個人信息權(quán)益保護不足，還可能增加企業(yè)在以后發(fā)生糾紛時舉證的難度[5]。目前我國相關(guān)法律法規(guī)對于同意的形式并沒有做出明確規(guī)定，僅有《信息安全技術(shù)——個人信息安全規(guī)范》對個人同意做出了相對明確的規(guī)定，即同意應當由用戶個人做出書面聲明或者做出一些積極行為來加以表示。由此可以推知，該規(guī)范歸于個人同意持著積極行為的傾向，結(jié)合我國當前社會實踐過程中所發(fā)生的案件，個人也應該做出書面的形式來表示自己同意，這樣是基于日后發(fā)生糾紛時，可以方便多方主體進行取證，也在很大程度上幫助企業(yè)節(jié)約了技術(shù)和資金的成本。

(二)個人應知情

個人知情同意不是簡單地讓所涉及的信息主體填好一份紙質(zhì)版或者電子版的知情同意表,不僅形式上要滿足要求，實質(zhì)上也要讓信息主體知情。首先，相關(guān)法律要求信息處理者必須向每一個信息主體提供充足的信息，以此來方便個人決定是否同意他們獲取自己的個人信息。這時就對應了企業(yè)的告知義務，企業(yè)是否進行了充分告知就會影響個人信息主體知情權(quán)的行使。因此企業(yè)應當如實履行告知義務，主動給個人信息主體提供全面、有重點、容易理解的信息和相關(guān)要求，這樣個人才能更好地行使知情權(quán)。其次，個人信息主體還要明白和理解以下內(nèi)容：信息采集的方式和所涉及的各項風險、信息使用的方式、信息識別的方式、信息保管者是誰、個人日后能否獲取相關(guān)信息所帶來的成果。再次,為了充分保障個人信息主體的知情權(quán)，相關(guān)企業(yè)還要注意給個人信息主體一些提問的機會，以此來加深他們對相關(guān)信息所涉及的問題的理解。

(三)個人同意應具備的能力

《民法典》規(guī)定自然人從事民事活動應當具有民事權(quán)利能力和民事行為能力，個人信息主體在對外做出同意授權(quán)的決定時，也應具有相應的同意能力和理解能力，這樣才能更好地保護民事主體的意思自治和個人信息的安全。

1.個人應具備同意能力個人信息主體同意須要求個人信息主體在做出同意的意思表示之前具有相應的同意能力，否則有可能會影響同意的效力。企業(yè)作為信息處理者在個人信息主體同意之前應當確認個人信息主體有沒有具有相應的同意能力，并且還要做出相應的判斷。個人信息主體做出同意的意思表示在一定程度上來說屬于民法上的民事法律行為，而民事法律行為生效的一個基本前提就是要求行為人應具備相應的行為能力，一般將其分成具有完全民事行為能力、具有限制民事行為能力和具有無民事行為能力三類，基于此來判斷個人信息主體的同意能力，具有完全民事行為能力的個人可以由自己做出同意的意思表示，對于具有限制民事行為能力和無民事行為能力的個人，應由他們的法定代理人或者監(jiān)護人代替他們做出同意的意思表示。[6]

法條中明確民事行為能力，主要考慮其在民事活動中的必要性。民事活動是民事主體根據(jù)其意思表示想要在民法上產(chǎn)生具有民事法律效果的活動，當民事主體進行民事活動時要在客觀上認識到自己行為的意義，并且合理預見到自己行為后果的意思能力[7]127。因此個人信息主體只需具備相應的識別和預見能力，就可以做出和自己同意能力相當?shù)囊馑急硎?。通過法律規(guī)定的行為能力制度這一客觀標準來代替行為人的主觀標準，這樣有利于避免行為人主觀標準的不確定性，進而有助于維護現(xiàn)實中的交易安全，更好地方便企業(yè)進行合規(guī)操作。尤其是涉及未成年人的信息處理時，滿足民法中關(guān)于民事行為能力的要求之后，可以適當?shù)亟档臀闯赡耆说耐饽芰Φ哪挲g要求。這是因為當下網(wǎng)絡(luò)的普及，一部分未成年人可以了解到信息收集所涉及的相關(guān)風險，而且可以綜合未成年人的心智和社會閱歷等因素來考慮其同意能力。

2.個人應具有相應的理解能力當信息處理者將所要處理的信息告知個人信息主體時，個人信息主體要對所涉及的信息及其作用有一定的理解能力，即知道這些信息所代表的含義。理解能力可以說是人體大腦對所涉及的信息的一種處理，那么這就會在一定程度上導致個人的理解能力存在一些區(qū)別。一般來說理解能力是指能夠辨認和識別相應的對象，知道它是什么，在此基礎(chǔ)上對事物的本質(zhì)與內(nèi)在聯(lián)系有一定的認識，主要表現(xiàn)為可以理解相應的概念、原理和內(nèi)涵，知道它是怎么樣的。因此，個人信息主體不僅要認識到信息處理者所處理信息的表面含義，而且更要懂得其深層含義。如果個人信息主體對所涉及的信息有不明白的地方，特別是在與企業(yè)簽訂協(xié)議等文件時，企業(yè)有義務對此做出解釋和說明，從而更好地保護個人信息權(quán)益。

(四)個人應自主選擇

在企業(yè)獲取個人信息時，個人信息主體有權(quán)選擇哪些個人信息對企業(yè)進行授權(quán)，也有權(quán)選擇哪些個人信息不對企業(yè)進行授權(quán)，即個人有權(quán)選擇是否同意。企業(yè)也應該尊重用戶真實的意思表示，不對個人信息主體的同意進行過多地干涉。然而在實際生活中，企業(yè)與個人雙方或多或少存在地位不對等的情況，為了盡量減少這種不對等所帶來的不利影響，可以由相關(guān)行政機關(guān)公布相應的書面文件規(guī)定一些應記載與不得記載的事項，來限制信息處理者的優(yōu)勢地位[5]，這種由行政機關(guān)制定的相關(guān)規(guī)定可能會使企業(yè)與個人信息主體之間的利益處于一種平衡的狀態(tài)。

隨著《個人信息保護法》的頒布，個人信息的安全越來越受到法律重視，個人信息也會成為法律和人們關(guān)注的重點。企業(yè)在獲取個人信息時，也會受到比以往更多的制約。個人信息主體的知情同意在社會活動中有著重要的作用，這有益于個人信息權(quán)益的保護，也為企業(yè)處理相關(guān)信息提供了合法性前提。個人知情同意的構(gòu)成要素可以作為個人同意的認定標準，能夠為企業(yè)明確相關(guān)的法律界限，防范法律風險，方便企業(yè)合規(guī)發(fā)展。