胡利玲

（中国政法大学民商经济法学院 北京 100088）

我国《个人信息保护法》（以下简称“个保法”）第13条将同意作为处理个人信息的合法化基础之一，同时第15条又规定：“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”此即“同意撤回”在《个保法》上的体现，也是《个保法》针对个人信息处理的同意撤回权的规则。所谓撤回同意，是指基于个人信息主体同意而处理个人信息时，个人信息主体有权随时撤回其同意，从而终止个人信息处理者进行个人信息处理行为的意思表示［1］。撤销权针对的是信息主体在特定场景下对特定个人信息的处理所作出的同意［2］。

其意义在于强调信息主体对个人信息的支配权。撤回同意的权利是个人信息支配权的重要组成部分，是信息主体决定其信息何时被利用的手段。比较法上，各国立法也都允许个人信息主体撤回其同意。例如，欧盟《通用数据保护条例》（GDPR）第7 条第3 款规定：“数据主体有权随时撤回其同意。允许个人撤回其同意，是个人对其个人信息处理同意权的当然内容。若个人一经作出同意就不能撤回，则个人的同意就不可能是真正的同意，其对个人信息的处理也就无真正的自主决定权［3］。”因此，法律应当允许个人撤回其同意，任何禁止或限制个人撤回其同意的条款或声明均应属于无效。

1 “撤回同意”的法律性质

《个保法》虽然规定了个人对其同意可以撤回，但并没有明确撤回同意的法律性质为何。究其原因，主要是学界和立法界一直存有争议，立法采取了沉默和搁置。

有学者认为，同意撤回是指个人信息主体基于告知同意规则，对自己已经作出的同意信息处理者对其个人信息进行处理的授权予以取消的意思表示。但从理论上分析，撤回意思表示须在意思表示未生效之前到达相对人，其产生的效力是使此前作出的意思表示不发生法律效力；而撤销意思表示则是在意思表示到达相对人并生效后作出的取消此前意思表示的行为。因此《个保法》上的同意撤回虽名为“撤回”，实则为意思表示的撤销，同时认为此种撤销不同于一般民法上的撤销行为，而是一种人格权体系下的同意撤销权［1，4］。

但也有人认为，同意并非意思表示，撤回同意不适用《民法典》关于意思表示的撤回及撤销的规则。理由是《民法典》对意思表示的规定，之所以区分撤回和撤销并确立不同规则，主要是考虑到交易相对人的信赖保护，而个人信息处理中个人的同意不涉及对处理者的信赖保护，处理者对于个人是否同意以及是否撤回同意不存在需要法律保护的信赖。因此，也不存在个人撤回同意后，需要向处理者承担损害赔偿责任的问题［3］。

还有人认为，从权利的角度而言，个人信息主体撤回同意是个人对其个人信息支配的一种方式。赋予个人信息主体撤回权，是让个人实际享有决定其个人信息权益是否被处分以及何时被处分的权利。可类比于《民法典》第173 条第2 项，即“被代理人取消委托”时，委托代理终止（学理上称为“撤回代理权”）。所以单纯从个人信息权益角度看，同意的撤回是权利人在法定限度内按照自己的意志行使支配权的体现［2］。

《个保法》立法过程中前后稿的变化也反映出对同意及其撤回同意法律属性上的争议。在《个保法》一审稿中曾规定，“处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确地作出意思表示”。但其后第二稿与最终出台的《个保法》却删除了“意思表示”的表述，对“同意”的属性采取了沉默、搁置的态度。

本文主张，同意的法律性质应属意思表示。因此，撤回同意即是消灭其意思表示的行为。因为《个保法》上的“撤回同意”，均发生在个人的同意已到达处理者的前提下，因此其实质应是意思表示的撤销而非“撤回”。至于撤回同意何以排除一般意思表示撤销后的溯及力，则可从个人信息权益的强烈人格属性特点出发加以解释，并将其作为意思表示撤销后果的例外对待，作为人格权体系下的同意撤回权。而且，“数据处理活动对个人所造成的影响在事实上也不可能恢复至原始状态。而且，个人通过同意处理个人信息，已经换取了与之对等的增值服务，双方当事人的权益并未失衡，亦无必要溯及既往”［2］。

2 撤回同意适用的前提和范围

2.1 适用前提

逻辑上，个人撤回同意需以其已经作出同意为前置条件。我国《个保法》为个人信息处理提供了两类（7种）合法性基础——基于个人同意与其他不需要个人同意的法定情形（第17 条）。只有基于个人同意而处理个人信息的，才存在“撤回同意”的可能。因此撤回同意仅适用于“基于个人同意处理个人信息”的情形，也即同意作为个人信息处理合法化基础的情形。撤回的目的是阻却根据个人的在先同意继续处理个人信息。如果个人信息处理的合法基础是《个保法》第13条第1 款第2-7 项所规定——无需取得个人同意的情形，即为了订立或者履行个人作为当事人的合同、应对突发公共卫生事件、为履行法定职责或法定义务、在合理范围内处理个人已合法公开的个人信息或者法定的其他情形，则不存在个人撤回其同意的前提。

2.2 适用范围

按照《个保法》的规定：个人信息处理是指对个人信息的收集、存储、使用、加工、传输、提供、公开和删除等活动。相应地，个人撤回同意权也应适用于个人信息处理的各个阶段。但是从目前我国个人信息的国家标准以及实践来看，撤回同意权主要规定在个人信息收集、使用阶段，而不是处理活动的全部环节。例如《信息安全技术个人信息安全规范》（GB/T 35273-2020）（以下简称《个人信息安全规范》）第8.4 条规定：应向信息主体提供撤回“收集、使用”阶段个人信息授权同意的方法，并对信息主体“拒绝接收基于其个人信息推送商业广告”的权利，“对外共享、转让、公开披露个人信息”时提供撤回同意的方法。比较法上，GDPR也没有限定个人信息主体撤回同意适用的具体处理活动阶段。

3 撤回同意的方式

3.1 是否可以随时撤回或任意撤回

对信息主体是否可以随时撤回或任意撤回，我国《个保法》没有明确规定。但GDPR第7条第3款规定：数据主体有权随时撤回其同意。而且未对撤回同意规定任何事由的限制。因此，可以认为，在GDPR 下，个人信息主体享有任意撤回其同意的权利而不附加任何其他条件，并且可以随时撤回而无需受到时间上的限制。2021年11月14日，国家网信办发布的《网络数据安全管理条例（征求意见稿）》在要求“便捷”的基础上规定“不得设置不合理条件”。其第23 条规定，“个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的，数据处理者应当履行以下义务：……（二）提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能，且不得设置不合理条件；……”。但如此规定，可能推导出这样一种结论，即个人信息处理者可以为撤回同意设置条件，只要该条件“合理”。这显然不符合赋予个人信息主体享有撤回同意权的立法意图，也难以避免个人信息处理者通过设定条件变相阻碍个人信息主体行使撤回同意权，从而架空该权利。而且“合理”与否难以判断。

3.2 何谓便捷的撤回同意方式

《个保法》第15 条规定：“个人信息处理者应当提供便捷的撤回同意的方式。”

据此，首先，个人信息处理者有义务向个人信息主体提供撤回同意的方式。《个人信息安全规范》在第8.4条“个人信息主体撤回授权同意”中对个人信息控制者要求：（a）应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法，撤回授权同意后，个人信息控制者后续不应再处理相应的个人信息。（b）应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共享、转让、公开披露个人信息，应向个人信息主体提供撤回授权同意的方法。《网络数据安全管理条例（征求意见稿）》第23 条也规定，“个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的，数据处理者应当履行以下义务：……（二）提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能，……”。但是，若个人信息处理者没有提供撤回同意的方式，会产生何种法律后果，《个保法》没有进一步规定。《App违法违规收集使用个人信息行为认定方法》第3条第8款规定，未向用户提供撤回同意收集个人信息的途径、方式的，属于“未经用户同意收集使用个人信息”。如此，在只有“取得个人同意”才能处理个人信息的情形下，处理个人信息的行为将被视为不具有合法性基础［5］。

其次，个人信息处理者向个人信息主体提供的撤回同意的方式应该便捷。但何谓便捷，《个保法》并未具体规定。《个人信息安全规范》在第8.7条中特别规定：“采用交互式页面（如网站、移动互联网应用程序、客户软件端等）提供产品或服务的，宜直接设置便捷的交互式页面提供功能或选项，便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利”［8.7（b）］。比较法上，欧盟GDPR第7条第3款规定：“撤回同意应与作出同意同样容易［6］。”比较而言，GDPR的规定更为可行，兼具具体和开放。目前在我国《智能家用电器个人信息保护要求和测评办法》（GB/T 40979-2021）中可以看到类似的规定，其除了强调撤回的“随时性”外，规定了应与作出授权同意“同等容易”。

此外，与之相关的另一问题是：个人信息处理者是否有义务在取得个人同意前告知个人信息主体有权撤回同意。根据GDPR的规定，数据控制者在取得个人同意前，必须告知个人有随时撤回同意的权利。如果数据控制者没有履行这一告知义务，可以对数据控制者处以最高2000万欧元或者上一财政年度全球营业总额4%的罚款。我国《个保法》第15条没有明确规定。但有人认为，由于撤回同意也是《个保法》规定的个人权利，故应包括在第17条第1款第3项规定的必须告知事项的“个人行使本法规定的权利的方式和程序”中［4］。

本文认为，有必要在《个保法》上作出更为具体细致的安排，GDPR 的规定可资借鉴。个人信息主体不仅有权随时撤回其同意，而且法律上不应存在任何附加条件；个人信息处理者有义务在取得个人同意前告知个人信息主体有权撤回同意，并应提供撤回同意的方式。如果未向用户告知，也未提供撤回同意的方式的，应被视为“未经用户同意处理个人信息”；个人信息处理者提供的撤回同意的方式，应至少与作出同意同样便捷。

4 撤回同意的法律效果

比较法上，个人撤回同意所产生的法律效果不同。GDPR规定的撤回同意的法律效果有二：其一，撤回同意不影响在撤回前基于同意作出的数据处理的合法性（第7条第3款）。这意味着同意的撤回不具有溯及力，其效力仅指向未来的处理行为。其二，基于数据主体同意处理个人数据的，如果数据主体撤回其同意，只有在缺乏其他有关数据处理的法律依据的情况下，数据控制者才有责任及时删除个人数据（第17条第1款（b）项）［7］。这意味着此种情况下，数据处理者可以依法保有这部分个人数据，而并非必须删除数据。GDPR 没有明确规定撤回同意后后续处理活动是否继续进行。对此，英国在《GDPR适用指南》中进行了解释：一方面处理者不能再依赖同意作为处理的合法依据；另一方面个人必须能够在不遭受任何损害的情况下撤回对处理的同意。尽管处理者接收到撤回同意的申请后应该尽快停止处理，但GDPR 也给予了信息处理者一定的响应时间，即在一些情况下，可以证明处理撤回时的短暂延迟是合理的［8］。

根据我国《个保法》的规定，撤回同意后会产生两项法律效果：其一，不影响撤回前基于个人同意已进行的个人信息处理活动的效力（第15 条）。即撤回同意不具有溯及力，也即此前个人信息处理者所进行的处理活动是基于个人同意而进行的具有合法基础的活动，故其行为效力不受影响。其二，个人撤回同意的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除（第47 条）。据此，个人撤回同意后，个人信息处理者负有主动删除个人信息的义务，个人具有删除个人信息的请求权。那么，个人信息处理者是否必须删除这些个人信息而不得继续保有？第47条在前述规定之后，继续规定到“法律、行政法规规定的保存期限届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取安全保护措施之外的处理”。依此，我国《个保法》上对于个人信息主体撤回同意后的法律效力，还应包括：若存在法定事由或者技术原因无法删除时，则个人信息并非必须删除，但不得继续处理这些个人信息。由此，撤回同意并不必然引发删除个人信息的法律后果［9］。《个人信息安全规范》中也规定“撤回授权同意后，个人信息控制者后续不应再处理相应的个人信息［第8.4条（a）］。之所以撤回同意后个人信息处理者不得再继续处理相应的个人信息，是因为撤销同意后继续处理将因缺乏个人的同意而不具备合法化基础。只有重新取得个人的同意，才能恢复处理。

我国《个保法》没有明确在接到个人要求撤销同意的通知后响应的时间。不过《网络数据安全管理条例（征求意见稿）》第23条作了规定：数据处理者收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的，应当在十五个工作日内处理并反馈。法律、行政法规另有规定的从其规定。

除上述法律效果外，《个保法》还在第16 条规定，“个人信息处理者不得以个人不同意处理个人信息或撤回同意为由，拒绝提供产品或服务；处理个人信息属于提供产品或者服务所必需的除外”。此规定表明，个人信息主体撤回同意并不意味着拒绝继续使用相关产品和服务，因此，只要个人信息主体撤回同意部分的个人信息不属于提供产品或服务所必须，则个人信息处理者就不得以撤回同意为由拒绝提供产品或服务。难题在于如何判断“处理个人信息属于提供产品或者服务所必须”。一般是指如果不处理个人信息将无法提供产品或服务的基本功能服务。对此可参考《常见类型移动互联网应用程序必要个人信息范围指引》的规定，该指引第三条对“必要信息”作了界定：“本规定所称必要个人信息，是指保障APP 基本功能服务正常运行所必需的个人信息，缺少该信息APP 即无法实现基本功能服务。”同时在第五条对诸如地图导航、网络约车等互联网应用程序的基本功能所必需的个人信息进行了列举。

5 结语

我国《个人信息保护法》第13 条将同意作为处理个人信息的合法基础之一，第15条又规定同意可以撤回，由此形成针对个人信息处理的同意撤回权的特别规则。本文认为，个人撤回同意在法律实质上可归于意思表示的撤销，但是与民法上意思表示撤销效果并不完全相同。个人信息主体不仅有权随时撤回其同意，且法律上不应附加任何其他条件；个人信息处理者有义务在取得个人同意前告知个人信息主体有权撤回同意，并应提供便捷的撤回同意的方式。如果未向用户告知，也未提供撤回同意的方式的，应被视为“未经用户同意处理个人信息”；个人信息处理者提供的撤回同意的方式，应至少与作出同意同样便捷。个人撤回同意的，撤回同意不具有溯及力，不影响撤回前基于个人同意已进行的个人信息处理活动的效力；个人撤回同意后，原则上个人信息处理者应删除撤回同意部分的个人信息，个人也有请求删除其个人信息的权利。但特定情形下，允许个人信息处理者依法继续保有该个人信息，但不得继续处理这些个人信息。