胡利玲

（中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院 北京 100088）

《個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)保法》）是個(gè)人信息保護(hù)法律體系中的基本法，也是規(guī)范個(gè)人信息處理的專門法。該法對(duì)個(gè)人信息處理作了全面系統(tǒng)的規(guī)范，目的在于實(shí)現(xiàn)對(duì)個(gè)人信息權(quán)益的保護(hù)，并促進(jìn)對(duì)個(gè)人信息的合理利用，其核心內(nèi)容是個(gè)人信息處理規(guī)則，這些規(guī)則又以“告知同意”為核心而構(gòu)建。能否準(zhǔn)確理解告知同意規(guī)則，直接關(guān)系到《個(gè)保法》能否正確適用，并發(fā)揮其在個(gè)人信息權(quán)益保護(hù)中的基礎(chǔ)作用。

1 告知同意的含義、實(shí)質(zhì)與意義

告知同意，是指除法律另有規(guī)定外，個(gè)人信息處理者在處理個(gè)人信息時(shí)，應(yīng)向個(gè)人信息主體告知必要事項(xiàng)并征得其同意，否則將構(gòu)成對(duì)個(gè)人信息權(quán)益的侵害。該規(guī)則是個(gè)人信息處理的基本規(guī)則，是公開透明原則的要求，也是個(gè)人對(duì)處理其信息享有知情權(quán)和決定權(quán)的體現(xiàn)?！秱€(gè)保法》規(guī)定，個(gè)人信息處理是指對(duì)個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開和刪除等活動(dòng)，這意味著基于個(gè)人同意的個(gè)人信息處理，處理者無論在取得、使用還是消滅個(gè)人信息時(shí)均須受告知同意規(guī)則約束，且僅能在個(gè)人同意范圍內(nèi)利用個(gè)人信息，其實(shí)質(zhì)是承認(rèn)個(gè)人對(duì)其信息享有支配和控制的權(quán)利。

該規(guī)則對(duì)保護(hù)個(gè)人信息權(quán)益具有重要意義。因?yàn)閭€(gè)人信息是與已識(shí)別或可識(shí)別的自然人有關(guān)的信息，與自然人人格尊嚴(yán)和人格自由密切相關(guān)，故自然人對(duì)其個(gè)人信息享有受法律保護(hù)的民事權(quán)益。該權(quán)益是一種人格權(quán)益，信息處理者須尊重此種人格權(quán)益。除法律另有規(guī)定外，只有取得個(gè)人同意才能為其處理行為提供合法基礎(chǔ)，其處理活動(dòng)不得不受到個(gè)人信息權(quán)益優(yōu)先的限制。

2 告知同意的一般要求

2.1 一般告知事項(xiàng)及其例外

同意須以知情為前提，在個(gè)人信息處理中，處理者與個(gè)人之間信息不對(duì)稱，處理者的告知義務(wù)就更為重要。處理者在處理個(gè)人信息前，原則上都應(yīng)及時(shí)向個(gè)人履行告知義務(wù)。告知的目的是使個(gè)人在充分知情下作出同意與否的真實(shí)意思表示。因此，處理者應(yīng)以顯著方式、清晰易懂的語言來真實(shí)、準(zhǔn)確、完整地向個(gè)人告知必要處理事項(xiàng)，以確保個(gè)人實(shí)質(zhì)性地知情。法定的一般告知事項(xiàng)包括處理者的身份、處理的目的和方式、信息種類、保存期限、個(gè)人行使權(quán)利的方式和程序，以及依法應(yīng)告知的其他事項(xiàng)。若告知事項(xiàng)發(fā)生變更，則應(yīng)告知變更的內(nèi)容。

但下列情形下允許例外：一是法定免予告知，即有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或不需告知情形的，可不予告知；二是出現(xiàn)阻礙履行告知義務(wù)的緊急情況，即緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)告知的，可延遲告知。于后一種情形，處理者的告知義務(wù)并未免除，在緊急情況消除后仍應(yīng)及時(shí)告知。

2.2 取得同意

2.2.1 同意作為合法化基礎(chǔ)及其有效要件

《個(gè)保法》為個(gè)人信息處理規(guī)定了七項(xiàng)合法化基礎(chǔ)（第13條），“取得個(gè)人同意”是基于同意而處理個(gè)人信息的合法化基礎(chǔ)，體現(xiàn)的是立法承認(rèn)個(gè)人擁有對(duì)其信息處理的自決權(quán)。正如歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）及其指南所言，同意作為數(shù)據(jù)處理的合法基礎(chǔ)的前提是，個(gè)人數(shù)據(jù)主體對(duì)自己的數(shù)據(jù)有實(shí)際的控制權(quán)，并且有真正的選擇。同意表明個(gè)人對(duì)其信息被處理的方式、目的、范圍等的認(rèn)可，法律性質(zhì)上屬意思表示。因此，同意應(yīng)是個(gè)人主體在完全知情的基礎(chǔ)上自主作出的真實(shí)選擇。

同意的有效要件如下。第一，同意的前提是個(gè)人充分知情，包括對(duì)處理的目的和方式及信息種類等，使個(gè)人實(shí)質(zhì)性地了解處理活動(dòng)產(chǎn)生的風(fēng)險(xiǎn)。第二，同意是由個(gè)人自愿明確地作出的。同意須針對(duì)處理的特定目的作出，確保個(gè)人可就每一個(gè)目的進(jìn)行單獨(dú)選擇。第三，處理者對(duì)信息的利用限于同意的范圍，如果處理目的、方式或信息種類變更，須重新取得個(gè)人同意。

2.2.2 撤回同意

《個(gè)保法》第15 條規(guī)定：“基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力?！痹试S個(gè)人享有撤回同意權(quán)，再次體現(xiàn)了立法對(duì)自然人享有對(duì)其個(gè)人信息控制權(quán)的認(rèn)可。撤回同意權(quán)是同意權(quán)的組成部分。個(gè)人有權(quán)隨時(shí)撤回其同意，原則上處理者不得附加限制條件，且應(yīng)提供便捷的撤回方式。對(duì)于何為便捷，GDPR規(guī)定“撤回同意應(yīng)與作出同意一樣容易”（第7條第3款），值得借鑒。

撤回同意通常應(yīng)產(chǎn)生以下法律效果：一是處理者不得繼續(xù)處理撤回同意的信息；二是撤回?zé)o溯及力，即撤回前基于個(gè)人同意的信息處理的效力不受影響；三是個(gè)人有權(quán)請(qǐng)求處理者刪除信息。但處理者不得以個(gè)人撤回同意為由拒絕提供產(chǎn)品或服務(wù)，除非處理這些信息為提供產(chǎn)品或服務(wù)所必需，即若不處理這些信息將無法提供產(chǎn)品或服務(wù)的基本功能。

3 告知同意的特殊要求

針對(duì)個(gè)人信息處理的特殊情形，《個(gè)保法》提出了更高的告知同意要求。

3.1 因處理主體變更而轉(zhuǎn)移個(gè)人信息的

《個(gè)保法》第22 條規(guī)定：“在個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需轉(zhuǎn)移個(gè)人信息時(shí)，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依本法重新取得個(gè)人同意?！?/p>

立法對(duì)此作特殊要求的原因在于：其一，由于主體身份變動(dòng)而轉(zhuǎn)移信息將導(dǎo)致處理個(gè)人信息的主體變更；其二，新的信息處理者（接收者）處理個(gè)人信息的目的、方式、范圍可能發(fā)生變化，從而超出原個(gè)人知情同意的范圍。其目的在于確保個(gè)人了解信息處理者的變化，保障其對(duì)個(gè)人信息處理的知情權(quán)，也便于個(gè)人向接收方主張權(quán)利。

但對(duì)于因處理主體變更而轉(zhuǎn)移個(gè)人信息，并不要求都取得個(gè)人的“重新同意”，而是以是否變更原先的處理目的、處理方式為判斷標(biāo)準(zhǔn)。若不發(fā)生變更，則轉(zhuǎn)移個(gè)人信息行為并未超出同意—合法性基礎(chǔ)的范圍，故盡到特別告知義務(wù)即可。

3.2 個(gè)人信息處理者之間提供個(gè)人信息的

《個(gè)保法》第23 條規(guī)定：“個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意?！?/p>

此種特殊情形是信息處理者將其處理的個(gè)人信息共享或轉(zhuǎn)移給第三方，并由第三方（接收方）對(duì)個(gè)人信息進(jìn)行處理的活動(dòng)。“提供”應(yīng)為合法提供，區(qū)別于非法買賣個(gè)人信息。至于提供方提供的個(gè)人信息，并不限于基于同意而處理的個(gè)人信息?！疤峁卑ü蚕砗娃D(zhuǎn)移，都是個(gè)人信息再利用的方式。允許個(gè)人信息共享和轉(zhuǎn)移，有利于防止壟斷個(gè)人信息，實(shí)現(xiàn)信息的合理利用和流動(dòng)，但提供信息過程中可能導(dǎo)致信息被泄露、竊取、篡改或丟失等的風(fēng)險(xiǎn)也會(huì)加大，從而嚴(yán)重影響個(gè)人權(quán)益。故要求提供方除須告知特別事項(xiàng)外，還須取得個(gè)人的“單獨(dú)同意”。所謂單獨(dú)同意，即個(gè)人信息主體針對(duì)特定類型信息獨(dú)立作出的、明確表示同意的意思表示，以區(qū)別于對(duì)一般信息的概括授權(quán)同意或一攬子同意。單獨(dú)同意往往適用于重要的個(gè)人信息的處理。

在提供方向個(gè)人告知接收方的個(gè)人信息、處理目的、處理方式和個(gè)人信息種類并取得個(gè)人單獨(dú)同意后，接收方應(yīng)在個(gè)人單獨(dú)同意的范圍內(nèi)處理這些信息。若接收方變更處理目的、處理方式和個(gè)人信息種類的，則應(yīng)重新取得個(gè)人同意。在解釋上與前述轉(zhuǎn)移個(gè)人信息的情形相同。

3.3 處理敏感個(gè)人信息的

《個(gè)保法》將個(gè)人信息區(qū)分為敏感個(gè)人信息與一般個(gè)人信息，確定了不同的處理規(guī)則，并對(duì)處理敏感個(gè)人信息提出了更嚴(yán)格的要求。敏感個(gè)人信息，是指一旦泄露或非法使用，容易導(dǎo)致自然人人格尊嚴(yán)受到侵害或人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息。典型敏感信息包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等，以及不滿十四周歲未成年人的個(gè)人信息。盡管各國對(duì)敏感信息的范圍界定不同，但都將其作為“特殊的個(gè)人信息”加以特別規(guī)定。其原因就在于敏感信息因其“特殊性”和“重要性”特點(diǎn)而與個(gè)人的人格尊嚴(yán)、人格自由等基本權(quán)利和重大人身財(cái)產(chǎn)權(quán)益具有更密切的聯(lián)系，對(duì)自然人而言意味著巨大的風(fēng)險(xiǎn)，更易受到侵害，而這種損害難以恢復(fù)。

對(duì)于敏感信息的處理，立法要求處理者只有在具有特定目的和充分必要性，并采取嚴(yán)格保護(hù)措施的情形下才能進(jìn)行，處理者在處理前須進(jìn)行個(gè)人信息保護(hù)影響評(píng)估并對(duì)處理情況進(jìn)行記錄等。此外，除履行一般告知義務(wù)外，還須履行特別告知義務(wù)，除非依法可免予告知，且處理敏感信息須取得個(gè)人的“單獨(dú)同意”或“書面同意”。可見，因敏感信息的性質(zhì)不同于一般信息，故對(duì)其告知同意要求也有不同的強(qiáng)度。

履行特別告知義務(wù)，主要體現(xiàn)在特別告知事項(xiàng)上，具體包括如下幾點(diǎn)。其一，處理敏感個(gè)人信息的必要性。若個(gè)人認(rèn)為處理者處理其敏感信息無必要性或必要性不充分，則可選擇不同意以阻卻處理個(gè)人信息，從而保障個(gè)人的知情權(quán)和決定權(quán)。其二，對(duì)個(gè)人權(quán)益的影響。盡管依據(jù)目的限制原則，處理者應(yīng)采取對(duì)個(gè)人權(quán)益影響最小的方式處理信息，但在處理敏感信息時(shí)，仍須尊重個(gè)人的知情權(quán)并貫徹公開透明原則，對(duì)可能給個(gè)人造成的不利影響特別告知。而取得單獨(dú)同意，在解釋上同前述單獨(dú)同意適用的情形，同樣體現(xiàn)了對(duì)重要個(gè)人信息的特殊保護(hù)。至于是否需要獲得“書面同意”，則取決于法律、行政法規(guī)是否有書面同意的要求。

3.4 處理兒童個(gè)人信息的

《個(gè)保法》將不滿十四周歲未成年人的個(gè)人信息（下稱“兒童個(gè)人信息”）納入敏感個(gè)人信息，并作為典型敏感信息加以列舉。這說明立法將兒童信息保護(hù)與其他敏感信息保護(hù)視為具有相同的價(jià)值基礎(chǔ)。因此，前述對(duì)于敏感信息的單獨(dú)同意規(guī)則與特別告知事項(xiàng)，自然也適用于兒童信息的處理。但須承認(rèn)，兩者在邏輯結(jié)構(gòu)上并不同，其他敏感個(gè)人信息多指向信息的具體內(nèi)容，兒童信息則是源于其主體特殊性。因此，立法針對(duì)其主體特殊性在敏感信息保護(hù)的一般規(guī)則基礎(chǔ)上予以更高的要求。對(duì)兒童信息予以特別保護(hù)，也是《未成年人保護(hù)法》中“最有利于未成年人原則”的體現(xiàn)。

根據(jù)《個(gè)保法》規(guī)定，“個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意?！边@是因?yàn)橛行У膫€(gè)人同意必須以作出同意的個(gè)人具有同意能力為要件，而兒童的同意能力顯然受限于其年齡和智力。但立法未以民法上的無行為能力或限制行為能力的標(biāo)準(zhǔn)作為同意能力的標(biāo)準(zhǔn)，而是根據(jù)目前我國未成年人認(rèn)知、判斷網(wǎng)絡(luò)風(fēng)險(xiǎn)能力的實(shí)際情況、參考其他法律并參照國際上的做法劃定了年齡界線。

對(duì)兒童信息處理者而言，取得該兒童的父母或其他監(jiān)護(hù)人同意是其法定義務(wù)。難題在于如何證明和確保真正獲得其父母或其他監(jiān)護(hù)人的同意。對(duì)此，GDPR規(guī)定，“控制者應(yīng)采取合理的努力，結(jié)合技術(shù)可行性，確保此類情形中對(duì)兒童具有監(jiān)護(hù)責(zé)任的主體已經(jīng)同意或授權(quán)”。第29 條工作組也認(rèn)為，這取決于個(gè)人信息處理活動(dòng)的風(fēng)險(xiǎn)高低和現(xiàn)有技術(shù)能力，并認(rèn)為通過可信的第三方提供驗(yàn)證服務(wù)是可行的辦法。

3.5 跨境提供個(gè)人信息的

《個(gè)保法》第39 條規(guī)定：“個(gè)人信息處理者向境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。”

個(gè)人信息跨境提供，即個(gè)人數(shù)據(jù)跨境傳輸，《個(gè)保法》并未對(duì)其概念明確規(guī)定，但根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》，個(gè)人信息跨境提供是指數(shù)據(jù)處理者向境外提供在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息的行為。立法之所以對(duì)跨境提供個(gè)人信息時(shí)的“告知同意”有特殊要求，不僅因?yàn)閭€(gè)人信息的出境加大了個(gè)人信息被篡改、破壞、泄露、丟失、轉(zhuǎn)移或被非法獲取、非法利用的風(fēng)險(xiǎn)，可能會(huì)對(duì)個(gè)人權(quán)益產(chǎn)生嚴(yán)重?fù)p害，放任個(gè)人信息跨境自由流動(dòng)也不利于維護(hù)國家安全。因此，對(duì)個(gè)人信息跨境提供規(guī)定了應(yīng)具備的前提條件，并對(duì)告知同意提出了更高要求。

具體而言，除須告知第23 條規(guī)定的事項(xiàng)外，增加了特別告知事項(xiàng)——“個(gè)人向境外接收方行使本法規(guī)定的權(quán)利方式和程序”。而要求處理者取得個(gè)人的單獨(dú)同意，在解釋上與前述情形下要求取得個(gè)人單獨(dú)同意相同，即不能將其他需要取得個(gè)人同意的事項(xiàng)與本事項(xiàng)混合而概括取得個(gè)人的同意。單獨(dú)同意進(jìn)一步提高了個(gè)人知情的要求，不同于境內(nèi)個(gè)人信息處理活動(dòng)，當(dāng)個(gè)人知曉其信息需要跨境處理時(shí)，可拒絕或撤回此前的同意。如前所述，單獨(dú)同意通常適用于重要個(gè)人信息的處理，由此也可以說個(gè)人信息的跨境保護(hù)要求高于境內(nèi)個(gè)人信息的保護(hù)要求。

4 同意之例外

4.1 無需取得個(gè)人同意的法定情形

《個(gè)保法》第13 條在規(guī)定“取得個(gè)人同意”作為處理個(gè)人信息的合法性基礎(chǔ)的同時(shí)，規(guī)定了無需取得個(gè)人同意而處理個(gè)人信息的6 種例外情形，包括：（1）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；（2）為履行法定職責(zé)或者法定義務(wù)所必需；（3）為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；（4）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；（5）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；（6）法律、行政法規(guī)規(guī)定的其他情形。

以上6種例外情形同樣構(gòu)成了處理個(gè)人信息的合法化基礎(chǔ)。這些例外意味著在立法上對(duì)同意規(guī)則的適用予以了限制，從反面構(gòu)成了同意規(guī)則的范圍和邊界，即并非在任何情境下都應(yīng)優(yōu)先保證權(quán)利人的同意權(quán)。立法的目的是實(shí)現(xiàn)個(gè)人信息保護(hù)和信息自由流動(dòng)的平衡。但須注意的是，該例外只是“無需取得個(gè)人同意”，而非“無需告知”。為了保障個(gè)人的知情權(quán)，在合理處理個(gè)人信息之前，原則上處理者仍應(yīng)向個(gè)人履行告知義務(wù)，除非符合法律規(guī)定的免予告知的情形。

4.2 無需取得個(gè)人同意之特定情形的限制適用

為防止個(gè)人權(quán)益受到重大影響，《個(gè)保法》對(duì)無需取得個(gè)人同意的特定情形又進(jìn)行了限制適用，集中體現(xiàn)在對(duì)處理已合法公開個(gè)人信息時(shí)的例外排除。第27條規(guī)定：個(gè)人信息處理者可在合理范圍內(nèi)處理已合法公開的個(gè)人信息，但個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已合法公開的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)依法取得個(gè)人同意。

據(jù)此，若個(gè)人已明確表示不得利用其信息，則處理行為違法。若處理行為對(duì)個(gè)人權(quán)益產(chǎn)生重大影響，則仍須取得個(gè)人同意，由個(gè)人自主決定是否同意個(gè)人信息處理活動(dòng)。這一規(guī)定將個(gè)人的知情同意擺在了優(yōu)先地位，也表明《個(gè)保法》將是否“對(duì)個(gè)人權(quán)益有重大影響”作為分界線決定是以拒絕權(quán)還是以同意權(quán)的行使控制個(gè)人信息的處理，這意味著處理者在處理已合法公開的個(gè)人信息前就須對(duì)該處理行為是否對(duì)個(gè)人權(quán)益有重大影響進(jìn)行評(píng)估，并據(jù)此判斷是否需取得個(gè)人同意。但對(duì)判斷標(biāo)準(zhǔn)立法本身未作規(guī)定。從比較法上看，GDPR 在“前言”中指出，“給數(shù)據(jù)主體的權(quán)利與自由帶來的風(fēng)險(xiǎn)，其發(fā)生概率與嚴(yán)重程度取決于數(shù)據(jù)處理的性質(zhì)、范圍、內(nèi)容及目的。應(yīng)在客觀評(píng)估的基礎(chǔ)上對(duì)風(fēng)險(xiǎn)作出評(píng)價(jià)，通過客觀評(píng)估，可判定數(shù)據(jù)處理操作是否存在風(fēng)險(xiǎn)或是高風(fēng)險(xiǎn)”（76 條），或可資借鑒。

5 結(jié)語

“告知同意”是個(gè)人信息處理的基本規(guī)則。對(duì)基于個(gè)人同意的個(gè)人信息處理，同意是處理個(gè)人信息的合法化基礎(chǔ)，體現(xiàn)了個(gè)人對(duì)其信息享有控制權(quán)。但因所處理的個(gè)人信息性質(zhì)不同，或個(gè)人信息主體有別，又或處理活動(dòng)發(fā)生的情境不同，故立法對(duì)“同意”有不同的強(qiáng)度要求。同意須在個(gè)人充分知情前提下自愿、明確地作出，故須以切實(shí)保障個(gè)人對(duì)其信息處理享有知情權(quán)為基礎(chǔ)，為此信息處理者必須要履行必要的“告知義務(wù)”。同樣基于不同的情形，對(duì)告知義務(wù)也應(yīng)有不同程度的要求，從而達(dá)到個(gè)人實(shí)質(zhì)知情并作出真正的決定。同時(shí)，立法規(guī)定了同意的例外情形，以盡可能在保護(hù)個(gè)人信息權(quán)益與促進(jìn)個(gè)人信息合理利用之間實(shí)現(xiàn)平衡。