首页> 图书频道> 政法> 法学

我的信息我做主

2026年03月16日
版权

7 我的信息我做主

大数据时代的到来,数据和信息成为非常重要的资源,各种企业想方设法地获取个人信息。为了合法地获取、使用个人信息,大部分企业采用了公布隐私政策、用户协议获得信息主体同意的方法。比如我们注册使用一个移动应用软件,注册该软件获得基础服务常常是免费的,但是我们需要在隐私政策、用户协议下方勾选同意,这意味着用户和企业在使用产品和处理个人信息方面达成合意,也就是我授权了企业处理自己的个人信息。那么只有我同意后,企业才可以处理我的信息吗?我的同意究竟有哪几种形式呢?我可以撤回同意吗?

一、什么是知情同意原则

《个人信息保护法》第13条规定“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”也就是说,在第(二)到第(七)这六种情况下,个人信息处理者可以在不获得个人信息主体的同意的情况下处理个人信息。这六种情况与第(一)种情况取得个人同意处于并列关系,是同意原则的例外,在比较特殊的情况下可以选择作为处理个人信息的合法性基础。企业在一般情况下都需要取得我的同意后才可以处理信息。除此以外,《个人信息保护法》第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”,即同意的前提是个人充分知情,只有在完全知情的情况下做出的同意才是有效的同意,这就是《个人信息保护法》确立的知情同意原则。

知情同意原则是指个人信息处理者在向个人信息主体收集个人信息时,应当将个人信息被收集、处理的具体情况充分告知信息主体,并征得信息主体的明确同意。知情同意原则最先来源于医疗侵权法,其目的是在信息不对称的情况下,强调医生的披露告知义务,尊重患者的自我决定权和选择权,避免医生裁量权的滥用。后来向信息处理领域扩张,并被世界各国公认为处理个人信息的基础原则。

二、如何保障我的知情权

知情同意原则分为知情和同意两个方面。知情是同意的前提。由于信息技术的复杂,与个人相比,信息处理者往往会获得更多的信息。为了解决信息不对称带来的问题,《个人信息保护法》第17条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知。告知应当在个人信息处理者处理个人信息之前进行。因此,虽然知情常常与同意相联系,但是告知义务在所有合法处理个人信息的七种场景之下都需要遵守,比如在应对突发公共卫生事件、为公共利益实施新闻报道、舆论监督等情况下,虽然个人信息处理者不必经过同意就可以处理个人信息,但是他们依旧应当遵守告知义务。也就是说,不管在任何情况下,只要个人信息处理者处理了我的个人信息,就需要向我履行告知义务,以保障我的知情权。(https://www.daowen.com)

第17条同样规定了告知的内容,包括: (一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。详尽的告知内容保证我可以了解个人信息处理者为何处理信息、如何处理信息。除了告知的内容应当详尽以外,个人信息处理者还要保证告知的方式方法,以显著方式、清晰易懂的语言让个人信息的主体可以容易地获得信息,顺利了解信息。如果在现实生活中,我们发现浏览网页或者安装App时,运营商并没有公布个人信息保护政策或公布的文字冗长难懂都可以视为个人信息处理者没有履行告知义务,在这种情况下,我们所做的同意并不是真正的同意。

三、如何保障个人信息主体自愿、明确作出同意

根据《个人信息保护法》,个人信息主体的同意应当自愿、明确作出。自愿,意味着个人信息主体具有选择权。《个人信息保护法》第16条规定,个人信息处理者不得以用户不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务。因为如果个人信息处理者因为用户不同意其信息政策就拒绝为其提供服务,那么为了获取服务,用户只能同意。在这种情况下用户并没有能力对于是否同意进行选择,而只能被迫同意,那这样的同意就不是自愿作出的。在现实生活中,存在“一揽子协议”现象,就是指在安装App时,App所有服务和功能都捆绑在一起,App运营者声称要收集的所有个人信息都是必要的,不收集就没法提供服务。用户要么只能全盘同意,要么只能退出服务。这类现象存在很多问题:首先,个人信息处理者将产品或服务的所有功能进行捆绑,要求个人信息处理者全部接受。针对捆绑功能这一问题,《个人信息安全规范》附录C规定个人信息处理者需要根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求,划定产品或服务的基本业务功能和扩展业务功能。例如,改善服务质量、提升个人信息主体体验、研发新产品都属于扩展业务功能。针对两种不同业务功能,个人信息处理者应当分别通过不同交互界面或设计(如弹窗、文字说明、填写框等形式)来获取个人同意。其次,这一现象还存在过度收集个人信息的问题,个人信息处理者声称其收集的个人信息是实现功能所必要的,个人如果想使用该产品或服务,就要同意其收集所有信息的要求。那么哪些信息属于个人信息处理者为提供基本业务功能必须要收集的个人信息?针对这一问题,2021年3月22日,国家四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》对于三十九种常见类型App的必要个人信息范围作出规定,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。依据该规定,如果用户只想获得基本业务功能服务,用户就只需要同意个人信息控制者获取该功能必要的个人信息即可,而不必根据一揽子协议授权同意个人信息控制者获取所有其希望获得的个人信息,保障了个人的选择权。

同意应当明确作出,但《个人信息保护法》并没有对于同意的形式作出规定。《个人信息安全规范》中规定“明示同意”指的是个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。所谓的肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”等,也就是明示同意要求个人信息处理者设置“opt-in”(选择进入)的方式让个人信息主体表达同意。2019年12月30日,网信部发布了关于印发《App违法违规收集使用个人信息行为认定方法》,其中明确“以默认选择同意隐私政策等非明示方式征求用户同意”可被认定为“未经用户同意收集使用个人信息”。可见在执法机构看来,征求用户同意时应当采用明示同意的方式,由用户以主动勾选等行为表示同意,“默认同意”这类的“opt-out”(选择退出)的模式并不是允许的。

四、单独同意、书面同意、重新同意

《个人信息保护法》中针对不同的个人信息处理场景,要求个人信息处理者履行不同的告知同意义务。

《个人信息保护法》第23、25、26、29、39条规定了个人信息处理者需要取得“单独同意”的具体场景,即向其他个人信息处理者提供个人信息;公开个人信息;将公共场所安装的图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全目的以外的其他目的;处理敏感个人信息;向境外提供个人信息。目前还没有法律文件解释“单独同意”的具体含义。这些适用单独同意的场景对于个人的意义更加重大,造成严重危害的可能性也更高,因此,“单独同意”应当比一般的明示同意采取更高的标准。顾名思义,“单独同意”应当将该场景单独列出,单独展示告知获得个人明示同意,而不是与其他信息处理场景放在一起进行一次性全部授权同意。比如,单独同意可以通过在场景出现时跳出单独的弹窗或提供单独的链接等方式以获得同意。

《个人信息保护法》第29条规定:“处理敏感个人信息应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”根据此条,处理敏感信息应当获得个人信息主体的单独同意,但是在法律法规有明确规定的情况下需要取得书面同意。因此,取得书面同意的场景对于个人来说应当比取得单独同意更加重大。形式上,根据《民法典》第469条规定:“书面形式是合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式。以电子数据交换、电子邮件等方式能够有形地表现所载内容,并可以随时调取查用的数据电文,视为书面形式。”因此,在实践中,获取书面同意可以要求个人信息主体通过信件或邮件等方式明确地表达自己的同意。

《个人信息保护法》第14、22、23条规定了个人信息处理者需要取得“重新同意”的具体场景:个人信息的处理目的、处理方式和处理的个人信息种类发生变更;个人信息处理者因合并、分立等原因需要转移个人信息的并且接收方变更原先的处理目的、处理方式;个人信息处理者向他人提供其处理的个人信息的并且接收方变更原先的处理目的、处理方式的。由此可见,不管是个人信息处理者,还是个人信息转移或向他人提供后的信息接收方,他们变更原先个人信息的处理目的、处理方式的,都需要取得“重新同意”。而“重新同意”应当意味着再次履行告知义务,获得个人信息主体的自愿、明确同意。

五、撤回同意

《个人信息保护法》第15条规定:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”撤回同意是指个人信息主体可以对于已经作出的“同意个人信息处理者对其个人信息进行处理”的授权予以取消,体现了个人信息的自决权。同时该法条规定了撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力,明确了撤回授权同意不具有溯及力。

根据《个人信息保护法》第16、47条,一旦撤回同意,个人信息处理者应当履行以下两项义务:一是除非处理个人信息属于提供产品或者服务所必需,否则即使个人信息主体撤回同意,个人信息处理者也不可以拒绝提供产品和服务;二是个人撤回同意的,个人信息处理者应当主动删除个人信息,个人信息处理者未删除的,个人有权请求删除。