李 晴

（1.遼寧大學(xué)法學(xué)院，遼寧 沈陽(yáng) 110036；2.沈陽(yáng)師范大學(xué)法學(xué)院，遼寧 沈陽(yáng) 110034）

知情同意是個(gè)人信息處理的合法基礎(chǔ)之一，各國(guó)（地區(qū)）制定的個(gè)人信息保護(hù)立法大多作了明確規(guī)定。①Daniel J.Solove，“Introduction: Privacy Self-management and the Consent Dilemma”，Harvard Law Review，vol.126，p.1880(2013).我國(guó)《個(gè)人信息保護(hù)法》②全稱為《中華人民共和國(guó)個(gè)人信息保護(hù)法》，為敘述方便，本文所涉及的我國(guó)有關(guān)法典、法律均采用簡(jiǎn)稱。也構(gòu)建了多元化的知情同意規(guī)則體系。近年來(lái)，個(gè)人同意規(guī)則成為學(xué)術(shù)研究的熱點(diǎn)議題，理論成果不斷涌現(xiàn)，爭(zhēng)議焦點(diǎn)集中在個(gè)人同意的三個(gè)面向：個(gè)人同意的性質(zhì)如何界定？個(gè)人同意可采取何種方式（形式）？個(gè)人同意有效要件有哪些？本文擬從解釋論角度出發(fā)，對(duì)上述問(wèn)題進(jìn)行深入探討，以期對(duì)個(gè)人信息保護(hù)知情同意規(guī)則的理解與適用有所裨益，并求教于學(xué)界同仁。

一、個(gè)人同意的法律性質(zhì)的界定

在理論界，就個(gè)人同意的法律性質(zhì)，學(xué)者間存在較大爭(zhēng)議，主要有意思表示說(shuō)、處分行為說(shuō)、準(zhǔn)法律行為說(shuō)三種觀點(diǎn)。意思表示說(shuō)認(rèn)為，個(gè)人同意具備意思表示的構(gòu)成要素，故個(gè)人同意屬于意思表示，從而對(duì)同意的方式、效力、撤回等諸多疑難問(wèn)題，可以適用《民法典》關(guān)于法律行為的相關(guān)規(guī)定予以解決。③陸青：《個(gè)人信息保護(hù)中“同意”規(guī)則的規(guī)范構(gòu)造》，《武漢大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》，2019 年第5 期。最高人民法院民法典貫徹實(shí)施工作領(lǐng)導(dǎo)小組：《民法典·人格權(quán)編理解與適用》，北京：人民法院出版社，2020 年，第377 頁(yè)。有學(xué)者則在意思表示說(shuō)基礎(chǔ)上認(rèn)為個(gè)人同意屬于單方法律行為。處分行為說(shuō)認(rèn)為，個(gè)人同意是信息主體處分自己個(gè)人信息的行為。④萬(wàn)方：《個(gè)人信息處理中的“同意”與“同意撤回”》，《中國(guó)法學(xué)》2021年第1期。準(zhǔn)法律行為說(shuō)認(rèn)為，信息主體的同意屬于準(zhǔn)法律行為，法律行為生效則直接發(fā)生權(quán)利變動(dòng)，而同意行為不直接涉及權(quán)利變動(dòng)，而只是為權(quán)利變動(dòng)做準(zhǔn)備。①王琳琳：《個(gè)人信息處理“同意”行為解析及規(guī)則完善》，《南京社會(huì)科學(xué)》2022年第2期。本文認(rèn)為，意思表示說(shuō)與處分行為說(shuō)均難以成立，個(gè)人同意應(yīng)界定為一種準(zhǔn)法律行為，具體理由闡述如下。

首先，意思表示說(shuō)難以成立。其一，個(gè)人同意不符合意思表示中內(nèi)在意思的構(gòu)成要素。意思表示由內(nèi)心意思與外在表示構(gòu)成，內(nèi)心意思又分為行為意思、表示意思與效果意思。②史尚寬：《民法總論》，北京:法律出版社，2000年，第347-349頁(yè)。在個(gè)人信息處理活動(dòng)中，一方面，處理者公布的隱私政策和使用協(xié)議往往事無(wú)巨細(xì)，篇幅較長(zhǎng)且包含深?yuàn)W的技術(shù)語(yǔ)言，超出一般知識(shí)水平以及普通人的理解能力，信息超載與不對(duì)稱現(xiàn)象普遍存在。故此，個(gè)人通常并沒(méi)有充足的時(shí)間與耐心閱讀隱私條款，往往直接將其越過(guò)并點(diǎn)擊接受或者同意選項(xiàng)。此時(shí)，難謂信息主體認(rèn)識(shí)到其行為具有何種法律上意義，即不存在表示意思。另一方面，信息主體之所以同意他人使用其個(gè)人信息，通常是為了方便生活需要。例如，在網(wǎng)絡(luò)購(gòu)物場(chǎng)景，消費(fèi)者輸入個(gè)人信息是為了完成交易不得已而為之。就其本意而言，出于對(duì)個(gè)人信息被泄露或?yàn)E用的憂慮，信息主體并不希望自己的個(gè)人信息被他人處理。易言之，個(gè)人表示同意并不意味著其追求民事法律關(guān)系的發(fā)生，為自己創(chuàng)設(shè)某種法律負(fù)擔(dān)的同時(shí)，使處理者取得何種私法上的權(quán)利，即個(gè)人同意不包含效果意思的內(nèi)核。其二，將個(gè)人同意定性為意思表示，會(huì)造成撤回與撤銷概念的混淆。一方面，意思表示的撤銷是指意思表示生效后，表意人取消其意思表示。在個(gè)人信息保護(hù)的視域下，個(gè)人取消其已到達(dá)處理者的同意，在性質(zhì)上屬于意思表示的撤銷而不是撤回。③龍衛(wèi)球：《中華人民共和國(guó)個(gè)人信息保護(hù)法釋義》，北京：中國(guó)法制出版社，2021年，第66頁(yè)。但依《個(gè)人信息保護(hù)法》第15條規(guī)定，④《個(gè)人信息保護(hù)法》第15條規(guī)定：“基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。”信息主體同意他人處理個(gè)人信息后，可以不受限制地撤回其同意。從其“撤回”這一語(yǔ)詞的選用，可以推知立法者并未將個(gè)人同意視為意思表示。另一方面，將個(gè)人信息撤回等同于撤銷，意味著個(gè)人信息處理期間，處理者實(shí)施的全部處理行為失去法律依據(jù)。由于欠缺基礎(chǔ)關(guān)系支撐，處理者取得的經(jīng)濟(jì)利益作為不當(dāng)?shù)美仨毞颠€給信息主體。如此嚴(yán)重的后果不僅超出了處理者可以預(yù)料的范圍，而且勢(shì)必對(duì)數(shù)據(jù)企業(yè)的經(jīng)營(yíng)活動(dòng)造成嚴(yán)重阻礙，妨礙數(shù)字經(jīng)濟(jì)的可持續(xù)發(fā)展?！秱€(gè)人信息保護(hù)法》第15條第2款否定了撤回權(quán)行使的溯及力，使得撤銷權(quán)所產(chǎn)生的法律后果與法律規(guī)定不符。有學(xué)者認(rèn)為，此處的撤回不宜簡(jiǎn)單理解為固有意義上的意思表示撤回，而應(yīng)理解為信息主體任意解除權(quán)。⑤韓旭至：《個(gè)人信息保護(hù)中告知同意的困境與出路》，《經(jīng)貿(mào)法律評(píng)論》2021年第1期。不過(guò)，從《民法典》關(guān)于任意解除權(quán)的法律規(guī)范來(lái)看，任意解除權(quán)的行使往往要求權(quán)利人在合理期限之前通知相對(duì)人（《民法典》第563條、第730條）；造成對(duì)方損失的，還應(yīng)向?qū)Ψ匠袚?dān)損害賠償責(zé)任（《民法典》第787 條、第933 條）。從法律后果來(lái)看，《個(gè)人信息保護(hù)法》第15條第2款并未賦予處理者損害賠償請(qǐng)求權(quán)，故不宜將個(gè)人信息撤回權(quán)解釋為任意解除權(quán)。

其次，處分行為說(shuō)難以成立。所謂處分行為，是指能夠直接引起權(quán)利發(fā)生變動(dòng)的法律行為。⑥〔德〕布洛克斯·瓦爾克：《德國(guó)民法總論》，張艷譯，北京：中國(guó)人民大學(xué)出版社，2019年，第55頁(yè)。個(gè)人同意他人處理自己的個(gè)人信息，僅意味著允許處理者在一定范圍內(nèi)處理其個(gè)人信息，并不希望處理者因此而對(duì)自己享有某種權(quán)利。事實(shí)上，《個(gè)人信息保護(hù)法》僅為信息主體構(gòu)建了權(quán)利體系，如知情權(quán)、查詢權(quán)、刪除權(quán)等一系列權(quán)利，⑦申衛(wèi)星：《論個(gè)人信息權(quán)的構(gòu)建將其體系化》，《比較法研究》2021年第5期。并未賦予處理者何種民事權(quán)利，故個(gè)人同意不屬于處分行為。

最后，準(zhǔn)法律行為說(shuō)可以成立。理由在于：其一，個(gè)人同意符合準(zhǔn)法律行為的本質(zhì)特征。法律行為與準(zhǔn)法律行為均屬于法律事實(shí)，兩者的根本區(qū)別在于，法律效果是基于行為人的意思發(fā)生抑或是基于法律規(guī)定發(fā)生。法律行為的效力來(lái)源于私主體的意思自治，對(duì)于其追求的法律效果，法律尊重并且承認(rèn)。但是準(zhǔn)法律行為的效力則是直接來(lái)源于法律規(guī)定，私主體的意思表示并非準(zhǔn)法律行為效力的決定性要素。在大多數(shù)情況下，行為人根本沒(méi)有意思可供表示。①〔德〕迪特爾·梅迪庫(kù)斯：《德國(guó)民法總論》，邵建東譯，北京：法律出版社，2013年，第161頁(yè)。在個(gè)人信息保護(hù)領(lǐng)域，信息主體固然作出了同意，但該同意并不是意思表示意義上的意思，而是將知道他人即將處理其個(gè)人信息的情況告知處理者。該同意的法律后果是阻卻了處理個(gè)人信息行為的違法性，②See Paul Voigt＆Axel von dem Bussche，The EU General Data Protection Regulation(GDPR):A Practical Guide，Springer，2017，p.91-92．即處理者在個(gè)人同意的范圍內(nèi)處理個(gè)人信息不構(gòu)成侵權(quán)行為，處理者無(wú)需向信息主體承擔(dān)侵權(quán)責(zé)任。③申衛(wèi)星：《數(shù)字權(quán)利體系再造：邁向隱私、信息與數(shù)據(jù)的差序格局》，《政法論壇》2022年第3期。④姚佳：《論個(gè)人信息處理者的民事責(zé)任》，《清華法學(xué)》2021年第3期。對(duì)此，《個(gè)人信息保護(hù)法》第13 條、《民法典》第1036 條分別從正反兩個(gè)方面進(jìn)行了權(quán)利義務(wù)的配置。基于這兩條可以總結(jié)出如下結(jié)論：處理者在取得個(gè)人同意的情況下處理個(gè)人信息不承擔(dān)民事責(zé)任。質(zhì)言之，個(gè)人同意產(chǎn)生免除侵權(quán)責(zé)任的法律效果是基于法律的直接規(guī)定，而與個(gè)人具有何種內(nèi)心意思沒(méi)有必然關(guān)系。事實(shí)上，信息主體更希望對(duì)方不要處理自己的個(gè)人信息。其二，將個(gè)人同意定位于準(zhǔn)法律行為，與立法者的態(tài)度相吻合。從立法演變來(lái)看，《個(gè)人信息保護(hù)法》的一審稿中，個(gè)人同意被明確定性為意思表示。⑤《個(gè)人信息保護(hù)法》一審稿第14 條第1 款規(guī)定：“處理個(gè)人信息的同意，應(yīng)當(dāng)由個(gè)人在充分知情的前提下，自愿、明確作出意思表示。”但在其二審稿中，意思表示這一語(yǔ)詞被刪除，個(gè)人同意的意思表示定性被改變。⑥《個(gè)人信息保護(hù)法》二審稿第14條第1款規(guī)定：“處理個(gè)人信息的同意，應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。”正式通過(guò)的《個(gè)人信息保護(hù)法》中立法者基本延續(xù)了二審稿中的語(yǔ)詞選擇。從立法變遷來(lái)看，立法者似乎采取了回避態(tài)度，不再明確界定個(gè)人信息的法律性質(zhì)。不過(guò)，立法機(jī)構(gòu)編寫(xiě)的釋義書(shū)明確指出，個(gè)人同意基于法律規(guī)定產(chǎn)生排除處理行為違法性的效果，故與法律行為并不相同，更接近于準(zhǔn)法律行為。⑦楊合慶：《中華人民共和國(guó)個(gè)人信息保護(hù)法釋義》，北京：法律出版社，2022年，第54頁(yè)。可見(jiàn)，立法機(jī)構(gòu)已經(jīng)改變了對(duì)個(gè)人同意法律性質(zhì)的認(rèn)知，否定了意思表示的觀點(diǎn)，將其認(rèn)定為準(zhǔn)法律行為。其三，將個(gè)人同意界定為準(zhǔn)法律行為，較之意思表示說(shuō)更有比較優(yōu)勢(shì)。通說(shuō)認(rèn)為，在性質(zhì)許可的范圍內(nèi)，準(zhǔn)法律行為可以類推適用法律行為的相關(guān)規(guī)定。⑧王澤鑒：《民法總則》，北京：北京大學(xué)出版社，2009年，第266-269頁(yè)。一方面，《個(gè)人信息保護(hù)法》上的特別規(guī)定應(yīng)優(yōu)先適用。例如，個(gè)人同意撤回的法律效果明顯不同于意思表示的撤銷，解釋上可將其解釋為《個(gè)人信息保護(hù)法》中特有的法律制度，此時(shí)排除適用《民法典》關(guān)于意思表示法律效果的規(guī)定，從而消解將撤回同意解釋為行使任意解除權(quán)造成的法律適用爭(zhēng)議。另一方面，在《個(gè)人信息保護(hù)法》沒(méi)有作出明確規(guī)定的情況下，根據(jù)其性質(zhì)可以類推適用《民法典》關(guān)于法律行為的規(guī)定，可以避免為個(gè)人同意重新創(chuàng)制一套新的法律規(guī)范，從而將《個(gè)人信息保護(hù)法》與《民法典》的相關(guān)規(guī)定有效銜接，既有利于節(jié)約立法資源，又能夠?yàn)樾畔⒅黧w提供更加全面充分的保護(hù)。

二、信息主體表達(dá)同意的形式和方式

關(guān)于信息主體表示同意的合法形式，我國(guó)《個(gè)人信息保護(hù)法》并沒(méi)有作出明確規(guī)定，學(xué)界亦未有定論。有的觀點(diǎn)認(rèn)為，信息主體表達(dá)同意的形式應(yīng)當(dāng)是書(shū)面同意或者授權(quán)。①齊愛(ài)民：《中華人民共和國(guó)個(gè)人信息保護(hù)法學(xué)者建議稿》，《河北法學(xué)》2019年第1期。有的觀點(diǎn)認(rèn)為，處理者只需取得本人同意即可，并非一定采取書(shū)面形式不可。②劉士國(guó)：《中華人民共和國(guó)人格權(quán)法律條文建議稿附理由》，北京：中國(guó)法制出版社，2017年，第190頁(yè)。筆者認(rèn)為，后者值得贊同。一方面，信息主體同意他人處理個(gè)人信息，性質(zhì)上屬于準(zhǔn)法律行為，故《民法典》第135 條關(guān)于法律行為形式的規(guī)定，同樣適用于個(gè)人信息保護(hù)的領(lǐng)域。這意味著個(gè)人同意不必僅僅局限于書(shū)面形式，口頭形式或行為推定亦無(wú)不可。另一方面，從社會(huì)現(xiàn)實(shí)來(lái)看，一刀切式地要求采取書(shū)面形式未免與實(shí)際生活脫節(jié)。例如，在電話推銷保險(xiǎn)產(chǎn)品的場(chǎng)合，消費(fèi)者同意投保后，可以在通話過(guò)程中向保險(xiǎn)推銷員告知自己的個(gè)人信息。又如，在“同意”和“不同意”兩個(gè)按鈕選項(xiàng)中，用戶可選擇點(diǎn)擊任一按鈕，這種操作方式顯然與通常意義上的書(shū)面形式不同。

信息主體同意他人處理個(gè)人信息可以采取何種表達(dá)方式，《個(gè)人信息保護(hù)法》也未作出明確規(guī)定。有學(xué)者區(qū)分敏感個(gè)人信息與一般個(gè)人信息，認(rèn)為處理前者應(yīng)征得個(gè)人明示同意，處理后者僅需個(gè)人默示同意即可。③王利明：《數(shù)據(jù)共享與個(gè)人信息保護(hù)》，《現(xiàn)代法學(xué)》2019年第1期。有學(xué)者不區(qū)分個(gè)人信息的類型，認(rèn)為個(gè)人同意必須以明示方式作出。④程嘯：《論個(gè)人信息處理中的個(gè)人同意》，《環(huán)球法律評(píng)論》2021年第6期。筆者認(rèn)為，個(gè)人同意作為準(zhǔn)法律行為，在《個(gè)人信息保護(hù)法》未作出規(guī)定的情況下，可以類推適用《民法典》中法律行為的相關(guān)規(guī)定。⑤《民法典》第140 條規(guī)定：“行為人可以明示或者默示作出意思表示。沉默只有在有法律規(guī)定、當(dāng)事人約定或者符合當(dāng)事人之間的交易習(xí)慣時(shí)，才可以視為意思表示?！睖?zhǔn)此以言，個(gè)人同意可以采取明示方式，也可以采取默示方式。例如，在網(wǎng)絡(luò)環(huán)境下，用戶點(diǎn)擊行為表示的同意信號(hào)能夠直接被自動(dòng)化處理工具接受。⑥鄭佳寧：《知情同意原則在信息采集中的適用于規(guī)則構(gòu)建》，《東方法學(xué)》2020年第2期。信息主體主動(dòng)勾選、點(diǎn)擊“同意”“注冊(cè)”“發(fā)送”“我同意”“我接受”等類似選擇框，可視為以默示方式作出了同意。值得注意的是，關(guān)于個(gè)人信息同意模式，比較法上存在所謂選擇進(jìn)入（opt-in）模式與選擇退出（opt-out）模式。其中，美國(guó)《加州消費(fèi)者隱私法案》采選擇退出模式，即消費(fèi)者不作反對(duì)即視為消費(fèi)者同意他人處理其個(gè)人信息。⑦California Consumer Privacy Act.1798.105.歐盟《一般數(shù)據(jù)保護(hù)條例》和我國(guó)《個(gè)人信息保護(hù)法》采選擇進(jìn)入模式，即處理個(gè)人信息之前必須取得個(gè)人同意，否則視為侵權(quán)。⑧江必新、郭鋒：《中華人民共和國(guó)個(gè)人信息保護(hù)法條文理解與適用》，北京：人民法院出版社，2021 年，第151 頁(yè)。在選擇進(jìn)入模式背景下，若個(gè)人未作出明確同意，不能將個(gè)人單純的沉默視為同意，即個(gè)人同意不能采取沉默方式作出。

三、信息主體同意的有效要件

個(gè)人同意發(fā)生法律效力須具備哪些要件，我國(guó)《個(gè)人信息保護(hù)法》并未作出明確規(guī)定，此時(shí)可類推適用法律行為有效要件的相關(guān)規(guī)定。⑨《民法典》第143條規(guī)定：“具備下列條件的民事法律行為有效：（一）行為人具有相應(yīng)的民事行為能力；（二）意思表示真實(shí)；（三）不違反法律、行政法規(guī)的強(qiáng)制性規(guī)定，不違背公序良俗。”以下詳述之。

（一）信息主體須有相應(yīng)的行為能力

在個(gè)人信息保護(hù)領(lǐng)域，各國(guó)（地區(qū)）立法通常對(duì)未成年人的同意能力作出特別規(guī)定。①General Data Protection Regulation.Art.8.我國(guó)《個(gè)人信息保護(hù)法》第31 條第1 款規(guī)定處理不滿14 周歲未成年人個(gè)人信息，應(yīng)取得其父母或者其他監(jiān)護(hù)人的同意。依反面解釋，14 周歲以上的未成年人對(duì)于他人處理自己的個(gè)人信息能夠獨(dú)立作出有效的同意表示。不過(guò)，與線下生活場(chǎng)景不同，在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)平臺(tái)通常不能看到用戶的樣貌，因而難以憑借外形特征等因素判定用戶是否為未成年人。在14 周歲以下的未成年人普遍不辦理身份證的情況下，處理者判斷用戶是否具有同意能力更為困難。由此引發(fā)一項(xiàng)信息收集悖論：在處理不滿14 周歲未成年人的個(gè)人信息時(shí)，處理者必須取得該未成年人監(jiān)護(hù)人的同意，但是處理者難以有效判定用戶是否為目標(biāo)主體，為化解處理者的尷尬處境，在解釋上處理者可以直接從未成年人處收集所需的最小范圍的個(gè)人信息。此時(shí)，未成年人即使不滿14 周歲，其作出的個(gè)人同意也應(yīng)認(rèn)定合法有效。

自理論而言，既然《個(gè)人信息保護(hù)法》第14 條在義務(wù)的配置上，明確將監(jiān)護(hù)人同意作為處理者處理不滿14 周歲未成年人個(gè)人信息的前置條件，則在糾紛發(fā)生時(shí)，對(duì)處理者取得監(jiān)護(hù)人同意承擔(dān)舉證證明責(zé)任的主體便應(yīng)當(dāng)是處理者。然而，現(xiàn)實(shí)生活中平臺(tái)對(duì)此原則的貫徹并不理想，網(wǎng)絡(luò)平臺(tái)為規(guī)避自己的法律責(zé)任，通常會(huì)要求未成年人用戶在使用產(chǎn)品或服務(wù)前，自己設(shè)法取得監(jiān)護(hù)人的同意，②例如，《騰訊隱私政策》在未成年人保護(hù)部分即規(guī)定，“若您是14 周歲以下的兒童，在使用相關(guān)的產(chǎn)品或服務(wù)前，應(yīng)當(dāng)按照注冊(cè)、使用流程，事先取得您的家長(zhǎng)或法定監(jiān)護(hù)人的同意，并由您的家長(zhǎng)或法定監(jiān)護(hù)人幫助您完成產(chǎn)品或服務(wù)注冊(cè)流程?！睂?shí)際上要求未成年人自己證明自己已年滿14 周歲。然而，未成年人對(duì)披露個(gè)人信息的風(fēng)險(xiǎn)認(rèn)識(shí)相對(duì)不足，特別是對(duì)已經(jīng)脫離父母監(jiān)護(hù)如寄宿學(xué)校的學(xué)生而言，要求他們事先取得監(jiān)護(hù)人的同意不切實(shí)際。在立法過(guò)程中，我國(guó)《個(gè)人信息保護(hù)法》一審稿第15條③《個(gè)人信息保護(hù)法草案》一審稿第15條規(guī)定：“處理者知道或者應(yīng)當(dāng)知道其處理的個(gè)人信息為不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得其監(jiān)護(hù)人的同意?！痹鴮⑽闯赡耆松矸葑R(shí)別責(zé)任轉(zhuǎn)嫁給監(jiān)護(hù)人，但處理者很容易以自己不知情為借口，主張信息處理行為合法有效，從而削弱了對(duì)未成年人合法權(quán)益的保護(hù)?！秱€(gè)人信息保護(hù)法》二審稿第15條④《個(gè)人信息保護(hù)法草案》二審稿第15條規(guī)定：“個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意?！弊鞒隽藢?shí)質(zhì)修正，要求處理者設(shè)法識(shí)別用戶是否為年滿14周歲的未成年人。《個(gè)人信息保護(hù)法》第31條沿用了二審稿的規(guī)定。立法修改意味著立法者將取得未成年人監(jiān)護(hù)人同意的舉證責(zé)任分配給了處理者，更符合保護(hù)未成年人的價(jià)值取向，這樣安排值得贊同。有疑問(wèn)的是，若僅未成年人個(gè)人表示了同意，該同意行為的法律效力如何評(píng)價(jià)？本文認(rèn)為，應(yīng)結(jié)合《民法典》第144 條、第145 條與《個(gè)人信息保護(hù)法》第14 條的規(guī)定，區(qū)別不同情形予以判斷。其一，不滿8周歲未成年人作出的同意處理個(gè)人信息的行為無(wú)效。其二，14周歲至18周歲未成年人作出的同意有效。其三，8周歲以上不滿14周歲未成年人作出的同意似應(yīng)一分為二，在未成年人作出同意的行為令其純獲法律利益或者其作出同意的行為與其年齡、智力、精神健康狀況相適應(yīng)的情況下，未成年人同意有效；反之，未成年人同意落入效力待定的狀態(tài)，處理者可以催告監(jiān)護(hù)人是否追認(rèn)，如果監(jiān)護(hù)人進(jìn)行了追認(rèn)，那么未成年人同意有效，反之則其同意無(wú)效。不過(guò)，這一推理未免過(guò)于武斷。一方面，網(wǎng)絡(luò)平臺(tái)大量收集未成年人個(gè)人信息，出于降低運(yùn)營(yíng)成本考慮，處理者并沒(méi)有足夠大的動(dòng)力催告監(jiān)護(hù)人。即使有意催告監(jiān)護(hù)人，也可能由于不掌握監(jiān)護(hù)人信息而難以實(shí)現(xiàn)。特別是，在我國(guó)法律上并沒(méi)有規(guī)定處理者通知監(jiān)護(hù)人的期間限制，這意味著處理者可以選擇任意時(shí)間催告監(jiān)護(hù)人。在此期間，處理者可以任意處理未成年人個(gè)人信息，這與保護(hù)未成年人的價(jià)值取向不相符合。另一方面，個(gè)人信息處理活動(dòng)并非使未成年人純獲利益的行為，且處理過(guò)程也非常復(fù)雜，以一般未成年人的智力水平，通常難以預(yù)計(jì)個(gè)人信息被他人處理的意義或者后果。因此，從降低未成年人暴露于網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)的角度出發(fā)，應(yīng)將《個(gè)人信息保護(hù)法》第14 條解釋為效力性強(qiáng)制性規(guī)定，處理者未取得其監(jiān)護(hù)人同意時(shí)，該未成年人作出的同意無(wú)效。

需要指出的是，《個(gè)人信息保護(hù)法》并未對(duì)處理成年被監(jiān)護(hù)人個(gè)人信息作出規(guī)定。有疑問(wèn)的是，成年被監(jiān)護(hù)人在個(gè)人信息處理中作出同意，其效力如何評(píng)價(jià)？有學(xué)者認(rèn)為，對(duì)于成年被監(jiān)護(hù)人，其在個(gè)人信息處理中的同意能力需要根據(jù)具體情形加以判斷。①程嘯：《論個(gè)人信息處理中的個(gè)人同意》，《環(huán)球法律評(píng)論》2021年第6期。本文認(rèn)為，該觀點(diǎn)值得商榷。一方面，信息主體以允許他人處理個(gè)人信息為手段，獲得處理者的產(chǎn)品或服務(wù)，本質(zhì)上并不屬于純獲利益的法律行為。另一方面，在網(wǎng)絡(luò)交易環(huán)境下，由于處理者欠缺判斷用戶是否為成年人的客觀資料，故難以確認(rèn)交易對(duì)象是否為成年被監(jiān)護(hù)人。從保護(hù)弱勢(shì)群體理念出發(fā)，成年被監(jiān)護(hù)人與處理者發(fā)生糾紛時(shí)，應(yīng)由處理者證明交易發(fā)生時(shí)已經(jīng)知道用戶為成年被監(jiān)護(hù)人，且同意表示與該成年被監(jiān)護(hù)人的年齡、智力和精神健康狀況相適應(yīng)。若處理者不能舉證，則該成年被監(jiān)護(hù)人作出的同意應(yīng)認(rèn)定為無(wú)效。

（二）信息主體的同意須自愿真實(shí)

處理者違背自愿原則取得個(gè)人同意，該同意的法律效力如何，《個(gè)人信息保護(hù)法》并沒(méi)有作出明確規(guī)定。本文擬分以下三種情形，分別討論瑕疵同意的法律效力問(wèn)題。

1.當(dāng)事人受到欺詐、脅迫作出的同意無(wú)效。依《民法典》第148 條、第150 條規(guī)定，受欺詐、脅迫實(shí)施的法律行為屬于可撤銷的法律行為。行為人受欺詐、脅迫作出的意思表示可撤銷，這用于調(diào)整物理世界的有體物流轉(zhuǎn)未嘗不可，但延伸適用于個(gè)人信息保護(hù)則并不妥當(dāng)。這是因?yàn)椋陀畜w物的交易而言，意思自治與交易安全都是法律需要保護(hù)的價(jià)值，兩者不可偏廢。其運(yùn)作機(jī)理是，立法賦予受欺詐（脅迫）人撤銷權(quán)，由其選擇是否撤銷該法律行為。受欺詐（脅迫）人選擇撤銷法律行為后，該法律行為自始失去法律約束力。為協(xié)調(diào)受欺詐（脅迫）人與欺詐（脅迫）人的利益沖突，受欺詐（脅迫）人行使撤銷權(quán)受法定期間限制，期間經(jīng)過(guò)后撤銷權(quán)歸于消滅。而個(gè)人信息不同于物理世界的有體物，它本質(zhì)上屬于自然人不可或缺的人格要素。從價(jià)值位階角度來(lái)看，意思自由與交易安全發(fā)生沖突時(shí)，在價(jià)值判斷上應(yīng)側(cè)重優(yōu)先保護(hù)前者。否則，一旦當(dāng)事人未及時(shí)撤銷其意思表示，除斥期間經(jīng)過(guò)后勢(shì)必喪失撤銷權(quán)，處理者侵害人格權(quán)益的違法行為將被合法化，個(gè)人信息將成為處理者謀利的手段，人的主體地位將被貶低至與財(cái)產(chǎn)同等的客體地位，人格尊嚴(yán)難以受到有效保障。因此，宜將《個(gè)人信息保護(hù)法》第5 條解釋為效力性強(qiáng)制性規(guī)定，將信息主體因受到欺詐、脅迫作出的同意表示認(rèn)定為無(wú)效。

2.當(dāng)事人在壓迫關(guān)系下作出的同意無(wú)效。形式上，自然人與處理者均系平等關(guān)系的民事主體，但由于處理者擁有雄厚的技術(shù)優(yōu)勢(shì)和研發(fā)團(tuán)隊(duì)，雙方的議價(jià)能力存在巨大的落差，實(shí)質(zhì)上處于不平等地位。網(wǎng)絡(luò)從業(yè)者往往濫用其強(qiáng)勢(shì)地位，強(qiáng)迫用戶同意收集、使用其個(gè)人信息，造成“不同意就離開(kāi)”“使用即同意”的不對(duì)等局面。在這種態(tài)勢(shì)下，處于弱勢(shì)地位的用戶雖不情愿，但最終往往只能無(wú)奈地選擇同意處理個(gè)人信息。由于用戶為使用產(chǎn)品或接受服務(wù)時(shí)只能被迫同意，有學(xué)者甚至認(rèn)為知情同意的個(gè)人信息保護(hù)框架已經(jīng)過(guò)時(shí)且無(wú)益。②范為：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》，《環(huán)球法律評(píng)論》2016年第5期。本文認(rèn)為，處理者濫用其市場(chǎng)支配地位，形式上雖然取得處理其個(gè)人信息的同意，但由于強(qiáng)行剝奪了信息主體選擇同意與否的機(jī)會(huì)，該同意應(yīng)認(rèn)定為無(wú)效。

（三）取得個(gè)人同意不存在違法

1.違反明確同意法律規(guī)定的個(gè)人同意無(wú)效。何謂明確同意，《個(gè)人信息保護(hù)法》沒(méi)有作出明確的界定。有學(xué)者認(rèn)為，明確同意相對(duì)默示同意而言。①王利明、程嘯：《中國(guó)民法典釋評(píng)·人格權(quán)編》，北京：中國(guó)人民大學(xué)出版社，2020年，第416頁(yè)。本文認(rèn)為這一觀點(diǎn)值得商榷。依《民法典》第140條第1 款規(guī)定，明示同意與默示同意相對(duì)而言，屬于意思表示的方式范疇，但明確同意不能與默示同意相提并論。依《民法典》第143 條規(guī)定，意思表示明確并非法律行為的有效要件，故明確同意是《個(gè)人信息保護(hù)法》對(duì)個(gè)人同意特別附加的要件。明確同意可以采取口頭形式、書(shū)面形式等明示方式，也可以采取肯定性動(dòng)作這一默示方式。②江必新、郭鋒：《中華人民共和國(guó)個(gè)人信息保護(hù)法條文理解與適用》，北京：人民法院出版社，2021 年，第141 頁(yè)。據(jù)此，所謂明確同意僅僅意味著個(gè)人的同意不能模糊不清，從而產(chǎn)生兩種以上的解釋結(jié)論。當(dāng)就個(gè)人是否作出了明確同意發(fā)生爭(zhēng)議時(shí)，應(yīng)由處理者承擔(dān)舉證責(zé)任。若處理者舉證不能，則應(yīng)認(rèn)定為個(gè)人未作出明確同意。由于明確同意是個(gè)人同意的固有特征，故此個(gè)人作出的同意不明確時(shí)，該同意表示無(wú)效。

2.違反單獨(dú)同意法律規(guī)定的個(gè)人同意無(wú)效。《個(gè)人信息保護(hù)法》對(duì)個(gè)人單獨(dú)同意類型作出了特殊規(guī)定。例如，依《個(gè)人信息保護(hù)法》第39 條規(guī)定，處理者向境外接收方提供個(gè)人信息時(shí)，應(yīng)取得個(gè)人的單獨(dú)同意。單獨(dú)同意意味著處理者不能將該類個(gè)人信息與其他處理事項(xiàng)混合，概括地取得個(gè)人同意。若處理者違反法律規(guī)定，將需要單獨(dú)同意事項(xiàng)與其他事項(xiàng)混同一處，致使個(gè)人未能注意該類個(gè)人信息的存在，則個(gè)人同意部分無(wú)效，亦即對(duì)需要單獨(dú)同意的個(gè)人信息的同意無(wú)效，對(duì)其他個(gè)人信息的同意有效。有疑問(wèn)的是，在個(gè)人信息出境場(chǎng)景之下，是否必須取得個(gè)人單獨(dú)同意。有學(xué)者認(rèn)為，個(gè)人同意是個(gè)人信息出境的必要條件，③張凌寒：《個(gè)人信息跨境流動(dòng)制度的三重維度》，《中國(guó)法律評(píng)論》2021年第5期。單獨(dú)同意是處理者向境外提供個(gè)人信息的唯一合法基礎(chǔ)。④龍衛(wèi)球：《中華人民共和國(guó)個(gè)人信息保護(hù)法釋義》，北京：中國(guó)法制出版社，2021年，第186頁(yè)。有學(xué)者認(rèn)為，取得個(gè)人單獨(dú)同意是指基于個(gè)人同意處理個(gè)人信息的情形，無(wú)須個(gè)人同意即可處理個(gè)人信息的情形并不包含在內(nèi)。⑤程嘯：《個(gè)人信息保護(hù)法理解與適用》，北京：中國(guó)法制出版社，2021年，第273頁(yè)。本文認(rèn)為，第二種觀點(diǎn)值得贊同。以國(guó)家機(jī)關(guān)向境外提供個(gè)人信息為例，從文義解釋來(lái)看，依《個(gè)人信息保護(hù)法》第39 條規(guī)定，國(guó)家機(jī)關(guān)除向個(gè)人告知境外接收方的相關(guān)事項(xiàng)外，似乎應(yīng)取得個(gè)人的單獨(dú)同意。但從形式邏輯來(lái)看，同意屬于上位概念，內(nèi)在包含著單獨(dú)同意與概括同意兩個(gè)子概念。處理者無(wú)須取得個(gè)人同意即可處理個(gè)人信息情形，包括無(wú)需個(gè)人單獨(dú)同意即可處理個(gè)人信息。例如，公安機(jī)關(guān)鎖定嫌疑人后該嫌疑人潛逃國(guó)外，公安機(jī)關(guān)向國(guó)際刑警組織提供該嫌疑人的個(gè)人信息屬于履行法定職責(zé)，顯然不需要取得嫌疑人的同意，取得其單獨(dú)同意也就無(wú)從談起。⑥彭錞：《論國(guó)家機(jī)關(guān)處理的個(gè)人信息跨境流動(dòng)制度》，《華東政法大學(xué)學(xué)報(bào)》2022年第1期。

綜上所述，在大數(shù)據(jù)時(shí)代，個(gè)人信息保護(hù)面臨前所未有的壓力與挑戰(zhàn)，信息主體知情同意規(guī)則的落實(shí)困難重重。在信息主體與互聯(lián)網(wǎng)企業(yè)天然存在“數(shù)字鴻溝”的背景下，削弱、否定知情同意法律地位的學(xué)說(shuō)并不足取。⑦高富平：《個(gè)人信息保護(hù)：從個(gè)人控制到社會(huì)控制》，《法學(xué)研究》2018年第3期。應(yīng)當(dāng)采取的措施是，正視現(xiàn)有法律規(guī)定的不足，通過(guò)制定司法解釋或發(fā)布指導(dǎo)案例的方式，細(xì)化個(gè)人信息保護(hù)知情同意規(guī)則，切實(shí)提升信息主體的談判地位，增強(qiáng)其議價(jià)能力，為保障個(gè)人信息自決權(quán)提供充足、有力的法律依據(jù)。