万方:个人信息处理中的 “同意撤回”
2021年6月25日      ( 正文字号: )
文章标签:个人信息   撤销权   人格权
[ 导语 ]
       告知同意原则,是个人信息处理中的黄金原则。同意与同意的撤回共同勾勒出个人信息主体在数据处理活动中的能动性边界。学界对告知同意存在的问题展开了广泛讨论,但目前对于“同意”的性质及效力依然存在争议,对同意撤回亦没有全面深入研讨。实际上,同意撤回能补益“告知同意”固有的缺陷,为个人信息主体提供有效救济。对此,北京外国语大学法学院万方副教授在《个人信息处理中的“同意”与“同意撤回”》一文中,对“告知同意”模式中“同意”的性质、“告知同意”模式的缺陷、“同意撤回”的法理基础进行了探讨,同时运用比较法的方法,对欧盟和美国个人信息保护模式进行分析和评价,进而探讨我国个人信息保护制度的路径选择,并厘清我国同意撤回权的法律适用问题。
一、个人信息处理中的“同意”

(一)“同意”的性质分析

个人信息主体对信息处理者的信赖从根本而言是出于信息主体对国家治理能力的信任。“告知”融合了公法和私法的双重属性,在所有场景之下均属必须;而“同意”属于受限的私权处分,个人信息的自决权益在某些情境下受到一定的限制。个人信息主体与信息处理者仅可就信息处理的目的进行协商,这是个人信息主体行使自己防御性的个人信息权益的表现。

(二)“告知—同意”模式的缺陷

第一,难以获得无效力瑕疵的用户意思表示。信息主体缺乏对重要情事的知悉,且由于信息主体本身存在对于信息处理者的服务依赖,导致信息主体缺乏表意自由。第二,信息主体难以获得有效保护。以合同的方式予以救济显然效力不济。而个人信息适用的场景呈动态化特点,信息处理者可能需要不断根据自己业务类型的调整而修订其隐私政策,信息处理方式的不断变革使得清晰透明且稳定的个人信息处理方式不具有可期待性。

虽然告知同意有上述诸多缺陷,但至今仍为各国广泛采用,原因在于其标准化的模式,对于用户和信息处理者均为成本最小化的解决方式。从目前来看,在“告知—同意”模式下,对于个人信息主体保护最为直接有效的方式即是赋予个人信息主体以同意撤回权。

二、同意撤回的法理分析

同意撤回是指个人信息主体基于“告知同意”原则,对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示,其实质含义为意思表示的撤销。同意的撤回包含个人信息主体对个人信息使用全过程中的处分。

同意撤回权体现了主体对于个人信息的自决处分,带有强烈的人格利益特性,可以被定性为人格权体系下的撤销权。首先,同意撤回权属于形成权,个人信息主体仅需向信息控制者发出其意欲撤回同意的意思表示即可产生效力。其次,同意撤回权属于撤销权,个人信息主体可以通过行使同意撤回权禁止信息控制者对其个人信息的后续处理行为。最后,同意撤回权涉及人格权益的意思表示之处分,体现了人格利益的特性,并同样具有人格权体系下撤销权的特殊性。

对个人信息处理许可的同意撤回权之行使应当遵循以下规则:首先,应当更偏重保护意思表示主体的行权之便利性。其次,应当摒除除斥期限对权利主体的时间限制。再次,同意撤回也不具有溯及力。最后,同意撤回权的行使不以个人信息主体受到损害为前提。此外,除信息主体故意或重大过失外,也不宜令信息处理者拥有损害赔偿请求权,此举会给信息主体带来诸多顾虑,进而从实体上架空同意撤回制度。但需注意,同意撤回权与消费者的反悔权和删除权等相关概念存在区别。

三、同意撤回的域外立法比较及路径选择

欧盟与美国大部分立法采用的个人信息保护机制存在明显不同。GDPR强调个人主体对信息的控制权,但欧盟家长式的模式并未真正实现“个人信息自决权”的展开,反而因此使得“个人信息自决权”受到更多的限制而背离了其赋予信息主体以控制权的初衷。美国所采取的隐私路径更多的是一种消极被动姿态来捍卫用户个人信息权利,一旦涉足非个人隐私的领域,法律对于个人信息主体的保护明显乏力。而以合同的角度寻求救济似乎也并非坦途,个人信息主体难以因信息处理者违反隐私政策泄露个人信息而要求其承担违约责任,于是只得借助消费者保护的路径推进。

欧盟与美国的立法对“同意”的设计存在不同,因而同意撤回的行使场景也存在差异,其根本原因即在于两者的价值取向不同。因此,数据产业发展固然能产生巨大的经济和社会效应,但是个人的人格性利益也需要得到合理的保护。在路径选择过程中,面对需要保护的多重利益应综合平衡考量。

对于我国个人信息保护制度的路径选择而言,对信息的界权并不具有紧迫性,但界权后因其界分复杂、公示难度大、管制成本高昂及存在极大的寻租空间等带来的对其他社会资源的过度损耗才是真正值得警惕的问题。而且,不予界权不代表无所限制,对于达到一定体量的主体对信息的处理行为应当有所规制,对于处理个人信息的行为也应当受到调整。

在个人信息的维度内,从权利分配角度入手,藉由对同意及同意的撤回等细化的制度层面的调整,可能更适合我国个人信息保护与实现产业发展的双重目标。由于我国对于个人信息保护方向的行政执法力度较强,因而不宜采取对于企业较为严苛的“一刀切”式立法模式。设定标准时应当将规则落地的可能性及后续产生的诸如过于频繁的诉讼导致的司法资源的紧张等制度成本纳入考量。

但在以保障信息安全为首要追求的规制模式下,某些义务的履行可能会直接剥夺信息主体的选择权,既会不合理地造成信息流动障碍,也会同时增加合规及执法成本。若能适度认可信息主体的决策理性,那么可以尽量使得立法趋于克制,让出更多的私法自治空间,避免过度介入信息主体与信息处理者作出的合理交换,以维持个人信息主体对自身合法权益的保障与大数据应用的动态平衡。

四、我国同意撤回权的法律适用问题

(一)关于撤回权与受托人及第三方的关系

首先,所有其他从信息处理者处获得信息的受托方或第三方都应当遵从授权递减原则,即其处理信息的权限不得超出信息处理者处理的范畴。这种限制的对象包括处理的信息的类型、数量、目的及时间范围等等。其次,当个人信息主体撤回对信息处理者的同意之时,受托人及第三方也应当同时停止收集及处理信息主体的个人信息最后,信息处理者的受托方及第三方不得以履行合同所必需来对抗个人信息主体

(二)对同意撤回的理论质疑及回应

学界对同意撤回制度的具体适用存在诸多质疑,有必要对之一一回应。

第一,有学者认为,用户无法得知自己享有撤销权。对此,我国各有关部门已高度重视贯彻落实个人信息保护相关法律法规,我国用户因“隐形侵权行为”受到的损害可能性大大降低

第二,也有学者担心,撤回权可能会使数据市场出现大幅波动,信息控制者极有可能沦为信息保护制度的牺牲品。实际上,若在制度安排上能实现同意撤回权与数据删除权的区分,便不会使信息控制者因此背负过重负担。同意撤回权的立法已经成为全球个人信息保护立法的趋势与共识。

第三,有学者从实证角度提出了个人信息主体的权利不应当增加“粒度化”的观点。但是,我国对于个人信息保护所投入的行政执法力度较大,各行业标准也在逐步完善之中,随着我国对于违法收集个人信息整治的深入,企业管理和民众意识大幅度提高,消费者的隐私观念与行权意识逐渐增强,前述问题并非无法解决。

第四,有学者提出,受个人信息主体惰性和顾虑的影响,同意撤回的有效行权也不一定可真正实现。实际上,消极性、防御性权利是个人信息主体的最后救济,当主体的正当权益受到侵害之时,应当允许其以行使同意撤回权的方式来防卫自身的人格利益,而这种对自身人格利益的维护往往并不需要任何额外的经济激励动因

五、结论

同意撤回权作为人格权体系下的撤销权,其行使应遵循对人格利益的许可撤销的规则,不仅不应受到过多限制,也不应以主体受到实际损害为前提,同时一般亦不具有溯及力。在行政监督与行政执法已经相当有力的前提之下,要注意避免对信息处理者进行“一刀切”式的强制性立法,将同意撤回与删除权清晰分离,为个人信息主体提供更多具有可行性的替代解决方案。



(本文文字编辑萨日娜。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)



    文献链接:《个人信息处理中的“同意”与“同意撤回”

[ 参考文献 ]

本文选编自万方:《个人信息处理中的“同意”与“同意撤回”》,载《中国法学》2021第1期。
【作者简介】万方,北京外国语大学法学院副教授,中国民商法律网授权学者。

推荐阅读
丁晓东:互联网反不正当竞争的法理思考与制度重构
应当尽量避免直接认定竞争手段本身非法,而以企业的合同性权益或财产性权益受到侵害、消费者是否受到侵害为判断标准。
谢鸿飞:《民法典》实质担保观的规则适用与冲突化解
形式担保观和实质担保观在法律构造和法律效果上多有差异,但体系化地适用物权编和合同编的规范可缩小两者的差异。
姚明斌:《民法典》违约金规范的体系性发展
本文分析了《民法典》违约金规范中酌减规则的裁量特点和违约金约定的性质,分析了相关法律规则之间的关系。
热门排行
学术公告
问答集锦
相关文章
本期评价
0个赞
0个踩
敬请关注中国法学会民法典编纂项目领导小组组织撰写的《中华人民共和国民法典•民法总则专家建议稿(征求意见稿)》

编辑:萨日娜

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2021 All Rights Reserved  
E-mail: ccclarticles@126.com