我國《個(gè)人信息保護(hù)法》（以下簡稱《個(gè)信法》）于2021年11月1日起正式施行，標(biāo)志著我國以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)信法》為基礎(chǔ)構(gòu)建的信息數(shù)據(jù)法律體系已經(jīng)基本建設(shè)完畢。如此強(qiáng)力的全方位監(jiān)管對(duì)各大金融機(jī)構(gòu)、征信機(jī)構(gòu)和數(shù)據(jù)驅(qū)動(dòng)型企業(yè)來說，意味著針對(duì)個(gè)人信息野蠻掘金的時(shí)代正式結(jié)束。合法合規(guī)是唯一的出路。

《個(gè)信法》中規(guī)定的“同意撤回”既是一個(gè)在中國法律體系內(nèi)的重要?jiǎng)?chuàng)新，也是目前是持續(xù)困擾企業(yè)的一個(gè)關(guān)鍵問題。既然“同意撤回”是本次企業(yè)數(shù)據(jù)合規(guī)的重中之重，那今天颯姐法律團(tuán)隊(duì)就以此為主題，與大家聊一聊企業(yè)在面對(duì)此問題時(shí)該如何應(yīng)對(duì)。

No.1

知情同意——個(gè)人信息采集的合法性基礎(chǔ)

眾所周知，知情同意是我國《個(gè)信法》的核心，那為什么《個(gè)信法》要圍繞知情同意去構(gòu)建？

根本原因就在于，知情同意是個(gè)人信息采集的合法性基礎(chǔ)。同意原則是私法領(lǐng)域最重要的原則之一，其直接體現(xiàn)了權(quán)利主體的自由意志和私法自治的核心精神內(nèi)涵，深深地根植于人類長期建立的契約自治理論中。中國政法大學(xué)的鄭佳寧老師認(rèn)為，互聯(lián)網(wǎng)用戶與企業(yè)之間的種種交易屬于合同契約，用戶信息的采集也在其列。此時(shí)，互聯(lián)網(wǎng)企業(yè)按照“服務(wù)協(xié)議”、“產(chǎn)品使用協(xié)議”等合同契約為用戶提供網(wǎng)絡(luò)產(chǎn)品或服務(wù)，而用戶則以個(gè)人信息為企業(yè)貢獻(xiàn)價(jià)值。

因此，當(dāng)且僅當(dāng)用戶作出同意之意思表示，并自愿進(jìn)入包含信息采集內(nèi)容的契約關(guān)系時(shí)，企業(yè)對(duì)個(gè)人信息的采集方才具備了正當(dāng)化基礎(chǔ)。而鑒于知情是用戶對(duì)信息采集行為作出同意表示的必然邏輯前提，“知情-同意”即構(gòu)成了個(gè)人信息采集的核心原則。

《個(gè)信法》賦予了信息主體對(duì)于其個(gè)人信息的控制權(quán)，這既是對(duì)我國《憲法》第33條“國家尊重和保障人權(quán)”的落實(shí)，也是對(duì)公民信息自決權(quán)的回應(yīng)。但正如無救濟(jì)則無權(quán)利一樣，無撤回也就沒有真正意義上的“同意”。同意撤回應(yīng)運(yùn)而生。

No.2

同意撤回的法律性質(zhì)

《個(gè)信法》第15條明確：基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。

同意撤回是指?jìng)€(gè)人信息主體基于“告知同意”原則，對(duì)自己作出的“同意信息處理者對(duì)其個(gè)人信息進(jìn)行處理”的授權(quán)予以撤回的意思表示。

我國學(xué)者普遍將同意撤回權(quán)定性為人格權(quán)體系下的撤銷權(quán)。這就意味著：

01

同意撤回權(quán)屬于形成權(quán)

對(duì)于同意撤回權(quán)法律不設(shè)門檻，信息主體行使權(quán)利不以其受到損害為前提，僅需單方面向信息處理者明確的發(fā)出撤回同意的意思表示即可產(chǎn)生法律效力。

02

同意撤回權(quán)屬于撤銷權(quán)

個(gè)人信息主體可以通過行使同意撤回權(quán)禁止信息處理者對(duì)其個(gè)人信息的后續(xù)處理行為。

企業(yè)需要注意到，既然該權(quán)利屬于人格權(quán)體系下的撤銷權(quán)，那么其必然與普通民事權(quán)利不同，集中體現(xiàn)在以下幾個(gè)方面：

（1）法律更傾向于保護(hù)意思表示主體行使權(quán)利的便利性。這也就意味著除非信息主體具有故意或重大過失，即使信息主體行使同意撤回權(quán)會(huì)給信息處理者造成損失，信息處理者也不擁有損害賠償請(qǐng)求權(quán)。此舉是為了防止給信息主體行使同意撤回權(quán)帶來顧慮，進(jìn)而架空了同意撤回制度。

（2）同意撤回權(quán)的行使體現(xiàn)人格利益的特性，關(guān)系人格存續(xù)、生存利益和倫理道德且不帶有直接的財(cái)產(chǎn)利益，故不受訴訟時(shí)效、除斥期間等限制。

（3）同意撤回不具有溯及力。關(guān)于溯及力的問題直接規(guī)定在《個(gè)信法》第15條第二款中：個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。同意撤回不具有溯及力的目的在于保障企業(yè)合法處理個(gè)人信息時(shí)不因信息主體撤回同意而受到較大影響。

No.3

企業(yè)應(yīng)對(duì)同意撤回的現(xiàn)狀

目前來看，企業(yè)在應(yīng)對(duì)同意撤回方面的表現(xiàn)仍然不盡如人意，尚存在較大的合規(guī)風(fēng)險(xiǎn)。

近日，南方財(cái)經(jīng)合規(guī)科技研究院出具了一份企業(yè)合規(guī)調(diào)查報(bào)告，基于調(diào)查目前市面上主流的20款社交資訊類App顯示，有一半的主流App尚且無法在應(yīng)用內(nèi)或通過App直接跳轉(zhuǎn)手機(jī)系統(tǒng)設(shè)置，直接關(guān)閉授權(quán)。在所有20款被調(diào)查的App中，僅有2款撤回同意操作便捷，步驟簡單。某著名社交App甚至需點(diǎn)擊6次才可進(jìn)入APP內(nèi)的“授權(quán)管理”功能，并且實(shí)際需要點(diǎn)擊更多次才能真正關(guān)閉相關(guān)授權(quán)。可見，當(dāng)前企業(yè)在個(gè)人信息撤回同意方面合規(guī)風(fēng)險(xiǎn)較高，應(yīng)盡快提高重視。

No.4

如何合規(guī)應(yīng)對(duì)同意撤回

在個(gè)人信息野蠻掘金的時(shí)代，金融機(jī)構(gòu)、互聯(lián)網(wǎng)公司等企業(yè)的應(yīng)用軟件（app）往往通過“不同意就不能用”的手段強(qiáng)制向用戶索權(quán)，而用戶一經(jīng)同意往往難以撤銷。在各個(gè)應(yīng)用軟件的用戶隱私協(xié)議中顯示，撤銷授權(quán)的唯一途徑就是主動(dòng)注銷賬號(hào)，并沒有設(shè)置專門的“同意撤回”按鈕，而一旦注銷賬號(hào)用戶也就理所當(dāng)然的失去了正常使用的權(quán)利。正因?yàn)槿绱艘坏肚械淖龇ㄒ恢币詠韨涫茉嵅　?

現(xiàn)如今，依據(jù)《個(gè)信法》第15條的規(guī)定：“個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。”企業(yè)必須為用戶提供撤回同意的選項(xiàng)，并且應(yīng)當(dāng)以“便捷”的方式提供。對(duì)于“便捷”的具體標(biāo)準(zhǔn)目前尚且有待立法機(jī)關(guān)和司法機(jī)關(guān)作出權(quán)威解釋，但目前亦可參考2019年由國家網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局聯(lián)合制定的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》中，關(guān)于“隱私政策等收集使用規(guī)則難以訪問，如進(jìn)入App主界面后，需多于4次點(diǎn)擊等操作才能訪問到”的規(guī)定，將撤回同意是否需要用戶4次以上的點(diǎn)擊作為參考來認(rèn)定“便捷”的標(biāo)準(zhǔn)。

同時(shí)，對(duì)此問題大部分學(xué)者主張“便捷”的標(biāo)準(zhǔn)指的是撤回同意應(yīng)當(dāng)與App取得用戶同意的方便程度相當(dāng)，以此設(shè)置同意撤回。此觀點(diǎn)來源于歐盟《通用數(shù)據(jù)保護(hù)條例》（REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL，簡稱GDPR）第7條第3款中“撤回同意應(yīng)當(dāng)和表示同意一樣簡單”的規(guī)定（The data subject shall have the right to withdraw his or her consent at any time......It shall be as easy to withdraw as to give consent. ）知情同意與同意撤回本身即為信息主體自身自信自決權(quán)的一體兩面，既然App為用戶提供了便捷的一鍵授權(quán)，那相應(yīng)的也就應(yīng)當(dāng)為信息主體提供一鍵撤銷功能，并且在App的主要交互界面以簡單易找的方式顯示。

在知情同意目前可以直接參考使用的規(guī)范化模板方面，國家稅務(wù)總局稅務(wù)部門于2021年11月1日針對(duì)《個(gè)信法》要求的采集、使用個(gè)人信息前的知情同意和撤回同意制度，專門制作了下發(fā)各部門的同意書和撤回同意書以及針對(duì)需取得個(gè)人單獨(dú)同意的敏感信息人臉識(shí)別信息的服務(wù)協(xié)議和單獨(dú)告知書，企業(yè)可以自行登錄國家稅務(wù)總局官方網(wǎng)站下載參考（抄作業(yè)）。

No.5

寫在最后

如今《個(gè)信法》已經(jīng)生效并成為刑法侵犯公民個(gè)人信息罪的前置法，企業(yè)在面對(duì)收集公民個(gè)人信息的知情同意和同意撤銷面前一定要慎之又慎，防止在正常經(jīng)營的過程中觸犯刑法。就現(xiàn)階段而言，無論是自行創(chuàng)新還是抄作業(yè)，企業(yè)做到合規(guī)的結(jié)果是應(yīng)有之義。用某位法學(xué)大佬的話說，在具體監(jiān)管規(guī)則較為模糊的地帶，你只要做到監(jiān)管機(jī)構(gòu)也想不出更好的辦法，那就大概率合規(guī)合法。