《个人信息保护法》同意撤回规则的教义学评析

朱志峰

(长春财经学院 法学院,长春 130122)

个人信息处理的合法性基础是信息主体的同意,那么,信息主体在作出同意后又反悔的,是否可以撤回其同意?对此,《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)等相关立法并未明确。实践中,一些网络平台在其隐私政策中明确声明用户可以收回其先前作出的授权同意,(1)如京东隐私政策声明用户可以通过删除信息、关闭设备功能、在京东网站或软件中进行隐私设置等方式改变授权其继续收集个人信息的范围或撤回授权。参见《京东隐私政策》,载京东网,https://about.jd.com/privacy/。百度、天猫的隐私政策亦均明确提及信息主体可以收回授权同意。但也有的网站隐私政策并未明确提及同意的撤回(2)如新浪个人信息保护政策只提及删除账号,未明确提及同意的撤回。参见《新浪个人信息保护政策》,载新浪网,https://passport.sinaimg.cn/html/sso/privacyclause.html。。在欠缺明确法律依据的情形下,信息处理者制定的相关政策水平参差不齐,亟待规范。2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式通过,个人信息保护迎来全新时代,其中,第15、16条规定了同意撤回规则,至此,信息主体撤回其同意有了明确的法律依据。

同意撤回规则在教义学上应做如何理解,实有分析研判的必要。从信息自决的理论出发,信息主体同意他人对于其个人信息的处理并不表示信息主体放弃其权利,因此即使在其同意后,信息主体仍然保有对其个人信息的自主决定权。[1]155-156基于人的自我决定权之法理,应当允许信息主体撤回已作出的同意。但另一方面,值得思考的是,经信息主体同意已对信息进行处理的相对人是否对于信息享有某种权利?或者,相对人与信息主体间是否结成某种债权债务关系?抑或相对人对于信息的处理是否具有某种值得法律保护的信赖?显然,如果对这些问题的回答是肯定的,就不能简单地从信息自决法理推出撤回同意的正当性。不难看出,在分析同意撤回规则的规范构造之前,必先对同意及其产生的法律效果做一番探究。此外,《个人信息保护法》使用了“撤回”这一概念,而“撤回”和“撤销”有其不同的适用对象,在《民法典》中也有着较为严格的区分。欲准确使用概念,使之符合我国既有的法律用语习惯和法学概念体系,也必先明确作为对象的同意的性质。

一、同意之类型化

同意本是单纯地对信息收集行为的违法性加以排除的行为,但由于实践中信息主体往往与网络运营者等信息处理者之间还存在服务协议等合同关系,(3)有学者指出,在实践中,无论是平台的隐私政策、用户协议还是司法实践,都将知情同意转换为一种同意授权。参见文献[2]。这些合同关系与同意交织,呈现出更为复杂的形态,(4)正因如此,有学者简单地将同意认作信息主体进入包含行为信息采集内容的合同关系的意思表示。参见文献[3]。故有必要以类型化的方式对同意展开分析。

(一)单纯作为免责事由的同意

信息主体对于个人信息法益享有自决权,他人若有收集、使用等处理信息主体个人信息的行为,显然侵害了信息主体对于个人信息的控制,本质上构成对信息主体人格权益的侵害,是一种侵权行为,理应承担侵权责任。而如果信息主体放弃法律的保护,同意他人的信息处理行为及其对自己人格权益造成的侵害,行为人的行为违法性即遭排除,自无侵权责任的产生。这就是作为免责事由的受害人同意。受害人同意的价值基础,根据通行的学说观点,源于行为人的自我决定权与伴随自我决定权的自我责任。[4]168尽管《民法典》并未明文规定受害人同意构成免责事由,但基于人之自我决定权的法理,自无不许的道理,且无论是司法解释还是法院的判决都承认受害人同意具有免除侵权责任的效力。[5]《民法典》第1035条、《个人信息保护法》第13条、《网络安全法》第41条第1款均明确规定同意为个人信息处理的合法性基础,正是受害人同意作为侵权责任免责事由的具体例证。

受害人同意可由受害人单方面自我决定,也可在加害人说明的前提下进行。由于信息不对称等原因,有时只有在加害人充分说明的前提下,受害人才可能作出理性的同意。[6]信息主体对于信息处理行为的同意正属于后者,正因如此,《民法典》第1035条、《个人信息保护法》第17条、《网络安全法》第41条第1款明确规定信息处理者应当公开处理信息的规则,告知处理信息的目的、方式、范围、保存期限等。实践中,淘宝网、京东、腾讯等网络运营者均公布其隐私政策,也正是说明、告知的体现。在此基础上,信息主体作出的同意,是在加害人说明的前提下的单方行为。这是第一种类型的同意。

对于此种在信息处理者说明隐私政策的前提下信息主体作出的同意,有学者认为在信息主体和信息处理者之间形成合同关系,其内容是,信息处理者有权按照隐私政策的规定收集、利用用户的个人信息,并负担遵守法律和隐私政策的规定合理收集、利用用户的个人信息并保障用户个人信息安全的义务,信息主体则有权请求网络服务提供者按照法律规定和隐私政策的约定收集、利用其个人信息,并负担允许网络服务提供者按照隐私政策的规则收集、利用其个人信息的义务。[7]笔者认为,单纯作为免责事由的同意只是信息主体放弃法律对其提供的保护,其法律效果是行为人处理信息主体的个人信息不构成侵权,如果更进一步,信息主体负担容忍或提供其个人信息给行为人处理的义务,那么就进入了另一个领域,信息主体须有成立合同关系的意思表示。可是,若信息主体负担容忍或提供其个人信息给行为人处理的义务,只是为了换取对方按照其公布的隐私政策来处理个人信息,实在看不出信息主体订立这样的合同有何实质的益处。既如此,信息主体有何动力作出受合同拘束的意思表示呢?且认定信息主体与信息处理者之间有合同关系未必更有利于信息主体,一是因为《民法典》《个人信息保护法》《网络安全法》等法律已经对个人信息的处理进行了较为周全的规定,信息处理者公布的隐私政策未必会比法定义务的标准更高,信息主体寻求合同救济的可能性未必如想象中大,二是因为合同是一把双刃剑,在拘束信息处理者的同时也拘束信息主体。况且,正如下文揭示的,信息主体与信息处理者常签订网络服务协议,其中也多有个人信息处理授权的条款,若认为在该协议之外尚有隐私政策协议,不免有叠床架屋之感。因此,在一般情形下,本文将信息主体的同意定性为加害人说明前提下的单纯作为免责事由的受害人同意。

(二)同时授予信息处理者债权性用益的同意

实践中,信息主体同意其个人信息由他人处理,往往是因为想要享有他人的服务,此时,除对隐私政策表示同意外,信息主体与信息处理者还另行签订了服务协议。例如,在注册淘宝账号时,须与淘宝签订“淘宝平台服务协议”,而该协议关于用户个人信息保护及授权的条款明确约定“您同意淘宝按照淘宝平台上公布的隐私权政策收集、存储、使用、披露和保护您的个人信息”,将淘宝的隐私权政策并入服务协议,成为服务协议的内容。“腾讯服务协议”也清楚地写明,“本协议内容同时包括《腾讯隐私政策》”、“您对本协议的接受,即视为您对《腾讯隐私政策》的接受”。同样地,“新浪网络服务使用协议”并入了“新浪个人信息保护政策”,“百度用户协议”也并入了百度的“隐私权保护声明”。此外,信息主体对于隐私政策的同意与对于服务协议的承诺,往往是一键完成的行为。在这种情形下,即使在逻辑上可以区分对于隐私政策的同意与对于服务协议的承诺,也因为隐私政策并入服务协议而使区分的价值大打折扣。只要信息主体对服务协议进行了承诺,可以断定其同时也对隐私政策作出了同意。正如学者所指出,授权使用的意思表示中也包含了一个同意被许可人侵害其人格要素的处分意思,故也能阻却行为的违法性。[8]不仅如此,在服务协议中,信息主体也有授予相对人(信息处理者)对其个人信息享有债权性用益的表示,而信息主体之所以愿意授予相对人对于其个人信息的债权性质的用益,是因为相对人提供的服务以必要的个人信息为基础。为了享有相对人提供的服务,信息主体负担了提供必要个人信息的义务。

这是第二种类型的同意,它实际上是对于包含个人信息处理内容的整个服务协议的承诺。由于服务协议中已有对于个人信息处理的授权,这种明确的意思表示足以排除信息处理行为的违法性,故此种情形下无须另外的单纯作为免责事由的同意。也就是说,就个人信息的处理而言,对于包含个人信息处理内容的整个服务协议的承诺不仅阻却了信息处理行为的违法性,也同时授予信息处理者对于个人信息的债权性质的用益。

(三)与服务协议承诺相关联的同意

与上述将隐私政策并入服务协议的做法有别,实践中隐私政策与服务协议的关系有另一种呈现。例如,“京东用户注册协议”并未明确并入隐私政策,不过,注册协议中也设有个人信息保护及授权条款,约定用户向京东提供个人信息。此外,在注册京东账号时,需一键同意该注册协议与隐私政策。此时,可以认为信息主体对于隐私政策的同意与对于服务协议的承诺在逻辑上可分,前者单纯作为免责事由,阻却信息处理行为的违法性,后者则是对服务协议的承诺,包括在服务协议中授予信息处理者对于个人信息的债权性质的用益。(5)有学者认为,同意与消费者在合同中就个人信息商业化利用所作出的同意承诺在逻辑上相互独立,后者属于负担行为范畴,前者则是对后者的实施处分行为。参见文献[9]第498页。将同意看作是对债务关系的处分,令人费解。如认为同意是信息主体对于其个人信息权益的处分,似较为妥适,也与本文观点相同,因为受害人同意从本质上说是受害人对自身权益的处分。

这一情形不同于第二种类型的同意,因为此时对于包含个人信息处理内容的整个服务协议的承诺无法涵盖对于隐私政策的同意,后者依然具有独立的规范意义。对隐私政策的同意本质上是单纯作为免责事由的同意,但由于服务协议也有个人信息处理的内容,对于隐私政策的同意与对于服务协议的承诺显然存在一定的关联,尤其是,撤销对于隐私政策的同意时,服务协议相应的承诺能否存续?可见,这虽然不是一种独立的同意类型,却是需要单独考虑的一种情形。

二、不同类型同意之撤回

由上可知,同意有不同的类型。不同类型的同意产生不同的法律效力,故同意之撤回便不可一概而论,仍要以类型化的方式,针对不同类型的同意分别检讨。

(一)单纯作为免责事由的同意之撤回

单纯作为免责事由的同意,性质上不是法律行为,因为同意没有表述任何指向某个法律效果的意思表示。(6)参见文献[10]。不同观点参见文献[11]。基于此,《个人信息保护法》删除了草案第14条“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示”之规定,明确了同意非为意思表示的性质。同时,正因为同意不是意思表示,《个人信息保护法》第31条将独立作出同意的年龄设在十四周岁,而非十八周岁。一般认为,受害人同意是准法律行为,因为同意不在于以发生一定法律效果为目的,不以具法效意思为必要,而系涉及自己权益侵害性。[4]168-169[12]确切地说,受害人同意属于准法律行为中的意思通知,即行为人将含有特定目的之意思向相对人表达。[13]84在侵权法上,同意既然基于人的自我决定权之法理,则在侵害行为实施前,受害人自可随时撤回同意,进而消除同意所产生的违法阻却之效果。[14]195侵害行为如已发生,则同意已产生违法阻却的效果,自然没有撤回的余地。但是,像个人信息处理这样的侵害行为是持续进行的,对于以后还会发生的侵害,信息主体可以撤回同意,消除同意所产生的违法阻却效果。

(二)同时授予信息处理者债权性用益的同意之撤回

同意也可能是对于包含个人信息处理内容的整个服务协议的承诺。此时的同意不是准法律行为,而是一个意思表示,并且是与相对人的意思表示相结合成立服务协议的意思表示。当事人间既然已产生合同关系,自然不能简单地从自我决定的角度,认可随时任意地撤回承诺,因为信息处理者对于个人信息虽不存在直接的权利,(7)这并不妨碍信息处理者对于信息处理后形成的数据享有权利。正如学者所指出,法律应当认可企业在收集、汇总、加工个人信息的过程中所付出的代价和所创造的价值,赋予企业数据经营权和数据资产权。参见文献[15]。但是基于服务协议,信息主体负担提供必要个人信息的义务,信息处理者享有相应的债权,合同在双方之间产生拘束力。此时,如果允许撤回同意,事实上是撤回了服务协议中授予信息处理者对于个人信息的债权性质的用益这一部分内容,从服务协议的角度来看,它实际上是一种单方的任意变更合同内容的权利。由于被变更的内容其实是被取消了,因此与合同解除的效力较为接近。那么,这种单方不附理由的任意解除,是否应当予以认可呢?实践中,淘宝网等网络运营者的隐私政策中声明信息主体可以随时收回同意,而隐私政策被整体并入服务协议中,相当于在服务协议中约定了信息主体单方变更合同、取消同意授权相应内容的权利。但即使没有这样的声明,根据《个人信息保护法》第15条,信息主体也可以随时撤回同意,其正当性就来源于服务类合同的任意解除权。

像“淘宝平台服务协议”这类的合同,性质上应属服务合同。所谓服务合同,一般是指全部或部分以劳务为债务内容的合同,又称为提供劳务的合同。[16]《民法典》虽未将服务合同作为一类有名合同加以规定,但是其规定的承揽合同、保管合同、仓储合同、委托合同、中介合同、物业服务合同等均为服务合同的重要类型。“淘宝平台服务协议”这类服务合同,可作为无名合同适用法律。因《民法典》缺乏服务类合同总则性的规定,使得无名的服务类合同在适用法律上产生困难,对此,需要采用整体类推的方法,推演出服务类合同的某些共性。所谓“整体类推”,是指由将多数针对不同的构成要件赋予相同法效果的法律规定得出“一般的法律原则”,该原则在评价上也同样可以适用到法律并未规范的案件事实上。借“整体类推”获取一般性的法律原则,其基础在于下述认识,即所有被援引的个别规定,其共通的“法律理由”不仅适用于被规范的个别事件,反之,只要某特定要件存在,其即得以使用。[17]具体而言,《民法典》在服务类合同中规定了若干服务受领人的任意解除权,例如第787条规定的承揽合同中定作人的任意解除权、第899条第1款规定的保管合同中寄存人的任意解除权、第933条规定的委托合同中委托人的任意解除权、第946条规定的物业服务合同中业主的任意解除权等,这些任意解除权的存在有着共同的依据,即服务合同的利益往往为服务受领人而设,如果服务的提供对于受领人已没有利益,或者受领人的意愿产生变化,勉强继续合同对服务受领人不甚合理且于社会经济无益。[18]1026[19]163-164此外,一旦服务受领人与提供人之间的信任关系出现问题,非常有可能影响服务提供的质量,而任意解除权的设立有助于当事人从合同法锁中解放出来。[20]因此,借“整体类推”可得出,在所有的服务类合同中,服务受领人原则上都享有任意解除权。[18]1036既然“淘宝平台服务协议”这类服务合同的整体都可由服务受领人任意解除,更不用说只是取消其中的部分内容了。那么,取消了信息处理授权的内容,服务协议整体是否还能存续?笔者认为,当事人有约定的从其约定,没有约定的可根据合同解释的规则来处理。如果撤回的是支撑基本业务的必要信息,那么服务协议可能无法存续;如果撤回的是必要信息以外的其他信息,则其他信息支撑的拓展业务部分相应取消,基本服务协议不受影响。

(三)与服务协议承诺相关联的同意之撤回

第三种需要讨论的是撤回单纯作为免责事由的同意而与之相关联的服务协议中的授权意思可能受到波及的情形。这里的同意是单纯作为免责事由的准法律行为,允许信息主体随时撤回本无争议,但考虑到与之关联的服务协议可能受到波及,才有另行讨论的必要。不过,上文在讨论第二类同意的撤回时已经指出,服务受领人可以任意解除服务协议,所以,服务协议的存续受到影响并非信息主体撤回同意的障碍。因此,在这种情形下,也应当允许信息主体随时撤回同意。

那么,当信息主体撤回同意后,服务协议的存续情况如何呢?有学者认为,撤回同意并不直接影响债权合同的效力,双方之间的合同关系亦不因此而自动终止,不过,经营者可基于信息主体违约而解除合同并主张损害赔偿。[9]498笔者则认为,信息主体撤回同意后,服务协议的存续仍遵循上文在第二类同意撤回的分析中给出的结论,即如果撤回的是支撑基本业务的必要信息,那么服务协议可能无法存续;如果撤回的是必要信息以外的其他信息,则其他信息支撑的拓展业务部分相应取消,基本服务协议不受影响。

三、撤回与撤销之概念辨析

关于信息主体撤回其同意,《个人信息保护法》使用了“撤回”,而国家互联网信息办公室于2019年5月发布的《数据安全管理办法(征求意见稿)》则使用了“撤销”这一术语(见第8条、第11条第2款)。上文明确了信息主体之撤回所指向的对象,行文至此,有必要辨析术语的适当选择,使之符合我国既有的法律用语习惯和法学概念体系。

撤回和撤销在不同的法律体系下有着不同的使用习惯。我国民法虽深受德国法系影响,但在撤回和撤销的概念使用上却与德国有较大不同。在德国法上,撤回(Widerruf)包含了多个具有不同效力的表示:它可以阻止意思表示发生效力(《德国民法典》第130条第1款),也可以在债务关系成立前使已生效的意思表示失效(《德国民法典》第183条),还可以在已成立债务关系的情形下撤回生效的意思表示导致债务关系的终结,例如消费者的撤回权(《德国民法典》第355条),甚至可能是类似于解除或终止的、使债务关系终结的表示,例如赠与合同的撤回权(《德国民法典》第530条)。[21-22]撤销(Anfechtung)则为意义单纯的概念,其针对已生效而有瑕疵的意思表示,使之溯及归于消灭。

而在我国,自《中华人民共和国合同法》时起就严格区分撤回与撤销,《民法典》予以承继。《民法典》使用“撤回”的情形包括意思表示的撤回(第141条)、要约的撤回(第475条)、承诺的撤回(第485条)、行纪合同中委托人撤回出卖(第957条第2款)以及遗嘱的撤回(第1142条)。其中,要约的撤回针对的是尚未生效的要约,承诺的撤回针对的是尚未生效的承诺,二者均系在意思表示生效前阻止其发生效力,故适用意思表示撤回的一般规定。《民法典》第1142条将《中华人民共和国继承法》第20条中遗嘱的“撤销”修改为“撤回”,对此,法工委释义称,根据意思表示的一般理论,撤回是使尚未生效的意思表示不发生法律效力,撤销是使已经生效的意思表示具有溯及力的消灭,遗嘱在遗嘱人死亡时生效,故用撤回更加准确。[23]行纪合同中委托人撤回出卖,意指委托人不再委托行纪人出卖标的物,理论上,行纪的意思表示尚未生效而撤回者亦可包括在内,但事实上难以成立,故撤回出卖通常意味着撤回已经生效的行纪合同。将撤回用于已经生效的合同,与前述意思表示的撤回用法不一,该条的表述近似于我国台湾地区“民法”第586条,诚如我国台湾地区学者邱聪智教授所指出,此处之撤回语意似嫌模糊,比较上或以“撤销”称之,较为妥当。[24]

《民法典》使用“撤销”的情形则更为多见,例如要约的撤销(第476条)、可撤销的民事法律行为(第147条以下)、债权人撤销权(第538条以下)、赠与合同的撤销(第658、663条)等。要约的撤销,不以作为要约的意思表示有瑕疵为必要,其与撤回的区别在于,撤回阻止要约生效,撤销则发生在要约生效之后,使其溯及消灭。在可撤销的民事法律行为的场合,撤销权的成立须以意思表示有瑕疵为条件,可见,撤销既可以针对有瑕疵的已生效意思表示,也可以针对无瑕疵的已生效意思表示。对于债权人撤销权的情形,撤销的对象是债务人的诈害行为,不同于上述任何情形之一,而在赠与合同的撤销中,撤销类似于解除,针对的是已经成立的合同关系,与行纪合同中委托人撤回出卖的情形颇为类似,也可佐证前述邱聪智教授的意见。不难看出,在我国语境下,撤销具有多义性,撤回则意义单纯,仅指在意思表示生效前使之不发生效力的行为。

明确了我国概念体系下撤回与撤销的区别,可以进一步检讨信息主体撤回其同意时正确的概念使用。首先,就单纯作为免责事由的同意而言,信息主体撤回的是同意这一意思通知行为。原则上,准法律行为类推适用法律行为的规范。同意是向相对人作出的意思通知,有关需受领的意思表示的规则,如意思表示的发出与到达等应予类推。此外,意思通知作为表示行为,表达内容须真实,表达行为须自由,为此,影响法律行为效力的瑕疵原则上也可予类推。[13]87因此,单纯作为免责事由的同意类推适用《民法典》第137条,因到达相对人而生效。有学者指出,在互联网上作出意思表示的,意思表示作出后就能够即时到达对方,因此网络中的意思表示基本上没有撤回的可能。[25]这也可以类推到单纯作为免责事由的同意上。不仅如此,撤回同意并不限于在同意生效前作出或与同意同时到达相对人,即使同意已因到达相对人而生效,仍然可以撤回。这显然不符合意思表示撤回的条件。同时,撤回同意是基于信息自决的法理,无须以同意存在瑕疵为条件。因此,撤回同意针对的是无瑕疵的已生效意思通知,这种情形与要约的撤销类似,在我国的法律概念体系下,不应使用“撤回”,而应使用“撤销”。相反,我国台湾地区的概念体系更接近德国,撤销多用于有瑕疵的意思表示,其债法修正时将悬赏广告的“撤销”修正为“撤回”,其学说将要约的形式拘束力称为要约的不可撤回性,[26]而这些场合在《民法典》的用语习惯下均系撤销,故我国台湾地区学者称被害人同意之撤销为“撤回”,[1]156[14]195-196与我国语境不同,此不可不辨。

接着考察第二类同意,亦即对于包含个人信息处理内容的整个服务协议的承诺。承诺只可撤回而不能撤销,因为承诺一经生效,合同关系即已成立,同时约束双方当事人。但在此情形下,撤回同意并非撤回承诺,就像上文已指出的,一方面通过网络作出承诺,往往发出即到达,基本没有撤回的可能,另一方面撤回同意并不限于在同意生效前作出或与同意同时到达相对人。可见,这里撤回的对象并非承诺这一意思表示,而是已经生效的合同的部分内容。上文已指出,撤回同意可以理解为一种对合同的变更,由于是部分内容的取消,与解除有一定的相似性,上文也正是从服务合同的任意解除来论证这种情形下撤回同意的正当性的。并且,如果撤回的是支撑基本业务的必要信息,那么服务协议也可能无法存续,这就相当于解除合同了。那么,问题也随之产生,对于这种属于合同解除的情形,可否仍称之为同意的撤回呢?

笔者认为,这种情形与单纯作为免责事由的同意之场合类似,仍宜称“撤销”而非“撤回”。一方面,《民法典》规定了赠与合同的撤销,这里的撤销针对的是已经成立的合同关系,与解除类似,尤其是赠与合同的任意撤销权,[27]其存在依据与无偿委托、无偿保管等合同的任意解除权的存在依据并无实质性的差别。这样看来,将撤回同意称为撤销,与赠与合同的撤销保持一致,也符合我国立法的用语习惯。另一方面,《中华人民共和国消费者权益保护法》第25条规定的无理由退货权,在很多立法例上均有规定,它实质上是一种单方的任意解除权,而《德国民法典》第355条称之为撤回权,其结构是在已成立债务关系的情形下撤回生效的意思表示导致债务关系的终结。如果借用这样的思考路径,也可以将第二类同意的撤回理解为撤回同意的意思表示导致服务协议的部分乃至全部终结,在我国的语境下,使已生效的意思表示失效应当使用撤销。综上,《个人信息保护法》中同意的撤回,若以概念体系统一的视角观察,或以撤销称之更为妥适。

四、同意撤回之规范构造

行文至此,需要进一步分析和展开同意撤回的规范构造,包括信息处理者的告知义务、撤回权的行使方式、撤回的法律效力、与删除权的衔接等,这些内容有的已在《个人信息保护法》中有明确规定,有的则需要根据民法原理加以补足。此外,根据上文的论证,同意的撤回涵盖了受害人同意的撤回和授权使用之意思表示的撤回,而后者的依据在于服务合同的任意解除,因此,两种类型的撤回如何加以统合,也是需要注意的事项。

(一)信息处理者的告知义务

首先,在作出同意前,信息主体应被告知有撤回同意的权利。上文指出,由于信息不对称等原因,只有在信息处理者充分说明的前提下,信息主体才可能作出理性的同意。在《个人信息保护法》出台之前,《民法典》第1035条、《网络安全法》第41条第1款规定了信息处理者应当公开处理信息的规则,明示处理信息的目的、方式和范围,对于撤回同意的告知则未明确提及。相反,欧盟《一般数据保护条例》第7条第3款则明确规定“在作出同意前,信息主体应被告知撤回同意的权利”。

笔者认为,尽管信息主体撤销同意的权利并不取决于信息处理者的告知,但立法规定信息处理者的告知义务无疑是适当的,否则,信息主体可能因不知晓权利的存在而未行使权利。此外,告知义务的要求在第二类同意中还有特别的意义,因为服务协议往往为格式合同,要求信息处理者履行告知义务,也可体现立法对格式合同的规制。据此,网络运营者应当在隐私政策中的信息主体权利或其他相关章节中采取相对集中且较为明显的方式向信息主体告知其有权就其同意进行撤销,并且应当就信息主体如何撤销同意作出具体指导。《个人信息保护法》第17条第1款列举了信息处理者的告知事项,其中第(三)项“个人行使本法规定权利的方式和程序”,尽管并不明晰,笔者认为可解释为包括信息主体撤回同意的权利,即个人在作出同意前,应被告知有撤回同意的权利。

从实践情况来看,网络运营者制定的隐私政策基本上都包含有同意撤回的内容。初步观察,网络运营者对同意撤回的告知大致可分为两种模式:一是概括性地告知信息主体可以更改授权范围和撤回同意以及撤回同意的后果,二是具体地列举撤回各项授权同意的途径和方式。(8)例如,京东、美团、网易的隐私政策均概括性地告知用户可以撤回其授权,而微信、抖音的隐私政策则详尽列出了撤回同意的具体操作方式,譬如如何关闭推荐通讯录朋友、如何关闭微信运动、如何删除微信支付银行卡。结合有关网络运营者的告知义务的立法目的来看,第一种模式显然未完全尽到告知义务,因此需要进一步将告知内容细化,或者可以在每次征集信息主体同意之前以弹出对话框的形式告知其撤回该项授权同意的具体方式。

(二)撤回同意的方式

撤回同意的方式和途径应当简单便捷。撤回单纯作为免责事由的同意或服务协议中的授权使用条款,均系形成权的行使。依形成权行使的一般原理,形成权的行使行为属于需受领的意思表示,信息主体向信息处理者为意思表示即可。依《个人信息保护法》第15条第1款第2句规定,个人信息处理者应当提供便捷的撤回同意的方式。何谓便捷的方式?欧盟《一般数据保护条例》第7条第3款规定,同意撤回的方式和途径应当如同作出授权同意一样简易。欧洲数据保护委员会(EDPB)(9)欧洲数据保护委员会(European Data Protection Board,EDPB)是欧盟下设的一个独立机构,致力于确保在整个欧盟范围内一致地适用《一般数据保护条例》(GDPR),并促进欧盟数据保护机构之间的合作。EDPB可以通过通用性指南来澄清欧洲数据保护法规的条款,从而使欧盟利益相关者对其权利和义务有一致的解释。GDPR还授权EDPB对国家监管机构作出具有约束力的决定,以确保对GDPR一致的适用。对该条规定解释为,如果授权同意是通过例如点击、打字等电子方式作出的,那么信息主体也应当通过同样简易的方式来撤回同意;如果授权同意是在例如网站、APP、登录系统或邮件等特定服务的用户界面作出的,要是仅仅为了撤回同意而要求用户使用其他用户界面,那么就会给用户带来不必要的麻烦,因此用户也应当通过相同的用户界面撤回同意。(10)Guidelines 05/2020 on consent under Regulation 2016/679, adopted on 4 May 2020 (EDPB).这确有道理,值得我国借鉴。故本文主张,撤回同意可以采用书面形式、口头形式或其他形式,当事人约定采用特定形式的,依照其约定,但不得高于同意作出的形式要求。另外,同意的撤回系法律行为,故也可由代理人完成。(11)关于无权代理人责任,参见文献[28]。

(三)撤回不影响此前信息处理行为的合法性

依《个人信息保护法》第15条第2款,个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。实践中信息处理者提供的隐私政策往往也都有类似的声明,这值得肯定,若撤销同意使之前基于同意的信息处理行为失去合法性,并因此令信息处理者承担侵权责任,显然是荒谬的。

不过,这也会引发如下质疑:就单纯作为免责事由的同意而言,撤回同意针对的是无瑕疵的已生效意思通知,这种情形与要约的撤销类似,其效力是使被撤回的意思通知溯及地归于无效,而现在又承认撤回不影响在撤回前基于同意作出的信息处理行为的合法性,似乎表明同意的撤回只对将来发生效力,(12)有学者认为,同意之撤回权不具追溯效力。参见文献[9]第497页。这样不会发生龃龉吗?其实,这并不矛盾。上文已经指出,受害人同意的撤回只能在侵害行为实施前作出,侵害行为如已发生,则同意已经产生了违法阻却的效果,自然没有撤回的余地,正如要约在被受要约人承诺后已成立合同关系,当然没有再撤销要约的可能。但是,像个人信息处理这样的侵害行为是持续进行的,对于以后还会发生的侵害,在侵害尚未发生前,信息主体可以撤回同意。信息主体的同意原本对这些今后将会发生的侵害均产生违法性阻却的效果,而撤回的效果就像他未曾对这些侵害作出过同意一样,这不正是撤回溯及力的体现吗?至于已经发生的侵害,并非同意的撤回对其不生效力,而是根本不允许撤回同意,二者不能混为一谈。

接下来还应说明,对于第二类同意,本质上为合同解除的同意撤回为何也不影响撤回前的信息处理行为。这要从解除的效力上来说明。依《民法典》第566条第1款,合同解除后,已经履行的部分,根据履行情况和合同性质,可以只向将来发生效力,不产生返还清算的效力。服务协议中关于个人信息同意使用的部分,信息主体负担的是持续的尽力义务,性质上为继续性合同,而继续性合同的解除通常只向将来发生效力;[19]160-161此外,撤回前基于同意作出的信息处理行为,根据履行情况也无法恢复原状,故关于这一部分的解除只向将来发生效力,符合既有的合同解除规定。

(四)不因撤回同意而蒙受不利

信息主体在撤回同意时不应付出任何不合理的代价,在撤回同意后不应蒙受不合理的损失。这首先体现在,相对人不应停止不以个人信息授权为前提的服务或不应降低服务质量。正如上文指出的,如果撤回的是支撑基本业务的必要信息,那么服务协议可能无法存续;如果撤回的是必要信息以外的其他信息,则其他信息支撑的拓展业务部分相应取消,基本服务协议不受影响。《个人信息保护法》第16条规定“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外”,其意旨正在于此。

此外,撤回同意不应伴有损害赔偿。正如欧盟《一般数据保护条例》序言第42段所指出,如果信息主体不能在不造成损害的前提下撤回同意,那么该同意不应被认为是自愿的。单纯作为免责事由的同意的撤回,是信息主体自决的体现,且撤回在侵害行为实施前作出,也不会给相对人造成任何损害,自然不生损害赔偿的问题。但是,第二类同意的撤回消灭了相对人债权性质的用益,上文论证其存在的依据在于服务合同的任意解除权,在此,难道不必考虑相对人的利益吗?行文至此,须对这一问题作出回答。

以服务合同任意解除的一般原理看,解除并不排斥损害赔偿,因为任意解除的存在依据只在于能够使服务受领人在对服务的提供已无利益等情况下摆脱合同束缚,并无置服务提供者的利益于不顾的意思。正因如此,《民法典》在承揽合同(第787条)、运输合同(第829条)、物业服务合同(第946条)等服务类合同中明确规定了服务受领人任意解除后的损害赔偿责任。不过,这些规定往往是针对有偿合同而设的。一般认为,在无偿的服务合同中,服务受领人行使任意解除权,无须承担赔偿责任。《民法典》第933条修改了《中华人民共和国合同法》第410条,区分无偿委托和有偿委托而规定不同的赔偿责任,也正是体现了这一思想。尽管《民法典》第933条规定无偿委托合同的解除方应当赔偿因解除时间不当造成的直接损失,但这主要是针对受托人的解除而言的,委托人解除无偿委托,一般不会对受托人造成损失,因此无须承担赔偿责任。[18]1031《德国民法典》中的委托合同是无偿的,《德国民法典》第671条并未规定委托人行使任意解除权时须承担赔偿责任,正说明了这一点。

那么,信息主体与网络运营者签订的服务协议,是无偿还是有偿的呢?笔者认为是无偿的。从网络平台的运营和营利模式来看,网络平台在进入市场以及扩大市场影响力时,基于网络服务边际成本递减的特性,平台往往会通过免费的基础服务吸引用户注意并增强顾客黏性,当形成了规模庞大的免费顾客群体之后,再通过收取高级定制服务费用和第三方服务收费来实现盈利。[29]实践中,网络平台在对用户提供基础性服务时仍然普遍采取免费模式,[30]而以提供基础服务为主要内容的网络服务协议自然也应认定为无偿。当然,网络平台并不是慈善家,免费的服务并非出于利他的动机。不过,正如赠与也有可能是出于回报以前接受的利益或期望对方将来作出奉献,但法律不管这些动机,只看合同内容是否是无偿的。[31]在服务协议中,依约定,服务受领人固然也负有提供个人信息的义务,但该义务只是接受网络服务的某些必备条件。例如,网络实名制是《网络安全法》《互联网用户账号名称管理规定》等法律法规的要求,服务协议中要求提供手机号进行验证,是实现用户身份实名制的必要环节。又如,服务协议中要求服务受领人提供地址,往往是为了履行买卖合同中出卖人的交付义务。因此,服务受领人提供个人信息的义务并非接受服务的对价。(13)不同观点参见文献[3]和文献[9]第497页。正如附负担的赠与不改变赠与合同的单务性和无偿性,[32-33]服务受领人负担提供个人信息的义务,也不能改变服务协议的无偿性。既然服务协议是无偿的,服务受领人通过行使任意解除权而撤回同意,当然无须承担赔偿责任。

(五)与删除权的衔接

信息主体撤回同意后,信息处理者基于此前同意而处理的相关个人信息是可以继续留存还是应当删除呢?在《个人信息保护法》出台之前,依《民法典》第1037条第2款、《网络安全法》第43条之规定,网络运营者违反法律、行政法规的规定或者双方的约定处理个人信息的,信息主体有权请求其删除,而信息主体撤回同意是否属于删除权的适用情形,似不甚清晰。实践中,网络运营者发布的隐私政策在删除权的适用情形方面除了重复列举上述法律规定外,一般只列出用户注销账户或己方终止服务及运营两种情形,并未明确提及同意的撤回。值得注意的是,《个人信息保护法》第47条明确将“个人撤回同意”作为删除权的适用情形之一,如此,同意的撤回与删除权有效衔接,可充分实现信息主体的信息自决权,这无疑是正当的。删除权的适用情形通常包括信息处理行为不具备合法性、信息处理的目的消失和信息处理的期限届满,[34]显然,当信息主体撤回同意时,信息处理的合法性基础即已消失,对个人信息的保存也就失去了必要性和正当性。在比较法上,欧盟《一般数据保护条例》第17条也明确规定,信息主体撤回同意并且在没有其他有关信息处理的法律依据的情况下,如二者之间还存在合同关系,或者信息控制者需履行法定义务等,(14)Guidelines 05/2020 on consent under Regulation 2016/679, adopted on 4 May 2020 (EDPB).信息主体有权要求信息控制者及时删除其个人信息,信息控制者也有义务及时删除。

据此观察不同类型的同意,单纯作为免责事由的同意被撤回后,由于信息主体与信息处理者之间并不存在其他法律关系,除非有法定的依据,信息处理者不应再保留个人信息;第二类或第三类同意被撤回后,如果撤回的是支撑基本业务的必要信息,那么服务协议可能无法存续,符合删除权的要件;如果撤回的是必要信息以外的其他信息,则其他信息支撑的拓展业务部分相应取消,但基本服务协议不受影响,信息处理亦不受影响。

五、结 语

作为知情同意规则的环节之一,同意的撤回规则在《个人信息保护法》中得到了确认。同意有不同的类型,其撤回也各有不同的理论依据。单纯阻却信息处理行为违法性的同意,性质上是单方的准法律行为,基于人的自我决定权之法理,在侵害行为实施前,应当允许受害人撤回已作出的同意,使已生效的意思通知溯及归于消灭。在各类服务协议中授予相对人使用个人信息的同意,性质上是订立合同的意思表示,不仅存在违法性阻却的效力,更在双方之间建立了无偿的服务合同关系,基于服务受领人的任意解除权,信息主体可以撤回授权。统合上述情形的同意之撤回,若以概念体系统一的视角观察,或以撤销称之更为妥适。同意撤回规则在《个人信息保护法》中只有两个条文,但其规范构造并不单薄,包括信息处理者的告知义务、撤回权行使的方式、撤回不影响此前信息处理行为的合法性、信息主体不因撤回同意而蒙受不利、撤回同意后信息处理者的删除义务等方面,有些内容尚需根据民法原理加以补足。在今后的法律适用中可能尤需明确的是,信息主体在作出同意前应被告知有撤回同意的权利,撤回的方式不得高于同意作出的形式要求,且撤回同意不产生损害赔偿责任。