亚洲综合图片20p,欧美一级黄片视频免费,天天干天天日天天干天天日天天日,亚洲av最新版本天堂在线,电影人妻和服诱惑之,日韩人妻一区二区三区不卡,97超碰大香蕉久久草,亚洲无码专区中文字幕专区,最近日韩av一区二区

作者簡介:萬　方，北京外國語大學(xué)法學(xué)院副教授，法學(xué)博士。

內(nèi)容提要:告知同意是個人信息處理中對個人信息權(quán)益的基本保護模式。告知屬于兼具公法及私法性質(zhì)的行為，而同意屬于私主體對自己個人信息權(quán)益的處分。由于告知同意存在諸多問題，引入同意撤回制度是我國個人信息保護體系的應(yīng)有之義。同意撤回權(quán)與消費者撤回權(quán)不同，同意撤回權(quán)屬于人格權(quán)體系下的撤銷權(quán)，其撤銷行為不具有溯及力也不應(yīng)適用除斥期間，除個人信息主體存在故意或重大過失外，不應(yīng)令其承擔損害賠償責任。另外，在適用中應(yīng)當注意厘清主體行使同意撤回權(quán)后與受托人及第三方的關(guān)系，充分借鑒和吸收其他國家在同意撤回權(quán)上的經(jīng)驗，構(gòu)建我國的同意撤回權(quán)體系。

關(guān)鍵詞:告知同意  同意撤回權(quán)  個人信息保護  撤銷權(quán)  人格權(quán)

目　錄

一、個人信息處理中的“同意”

（一）“同意”的性質(zhì)分析

（二）“告知—同意”模式的缺陷

二、同意撤回的法理分析

（一）同意撤回的概念澄清

（二）同意撤回的性質(zhì)分析

（三）同意撤回權(quán)的行使規(guī)則

（四）同意撤回權(quán)與相關(guān)概念區(qū)分

三、同意撤回的域外立法比較及路徑選擇

（一）歐盟的路徑分析

（二）美國的路徑分析

（三）各國制度的比較分析

（四）大數(shù)據(jù)背景下我國個人信息保護制度的路徑選擇

四、我國同意撤回權(quán)的法律適用問題

（一）關(guān)于撤回權(quán)與受托人及第三方的關(guān)系

（二）對同意撤回的理論質(zhì)疑及回應(yīng)

結(jié)  語

告知同意原則，是個人信息處理中的黃金原則。同意與同意的撤回共同勾勒出個人信息主體在數(shù)據(jù)處理活動中的能動性邊界。學(xué)界對告知同意存在的問題展開了廣泛討論，但目前對于“同意”的性質(zhì)及效力依然存在爭議，對同意撤回亦沒有全面深入研討。同意撤回能補益“告知同意”固有的缺陷，為個人信息主體提供有效救濟。為明確同意撤回的效力，首先應(yīng)當對個人信息處理中的“同意”的法律性質(zhì)進行界定。

一、個人信息處理中的“同意”

（一）“同意”的性質(zhì)分析

目前，學(xué)界對于個人信息處理中信息主體的“同意”之性質(zhì)認識存在差異。有的學(xué)者認為本人同意為人格法益商業(yè)化的行權(quán)模式，并將“同意”界定為法律行為性的許可，認為許可的內(nèi)容為具排他性權(quán)能的債權(quán)性用益物權(quán)。也有學(xué)者遵循信托法保護的路徑，主張對個人和信息收集者與處理者分別施加信息信托權(quán)利與信息信義義務(wù)。相比起傳統(tǒng)的個人信息權(quán)利，信息信托權(quán)利常常需要結(jié)合場景與信息關(guān)系來確定權(quán)利的邊界，此種關(guān)系中的個人信息主體之“同意”可被視為對信托之授權(quán)行為。還有學(xué)者主張，“同意”不同于合同中的“承諾”，“同意”應(yīng)當被視為一種對信息主體的持續(xù)性代理行為（consent-as-ongoing-agency），且信息主體有隨時撤回同意的權(quán)利，類似于撤回代理權(quán)限。亦有學(xué)者認為“同意”的性質(zhì)應(yīng)當視其情景而定，其在合同領(lǐng)域與在侵權(quán)領(lǐng)域中存在不同的涵義：在侵權(quán)領(lǐng)域中，“同意”作為侵權(quán)法上的免責事由歸入“受害人同意”的范疇，在構(gòu)成要件上包括必須有明確具體的內(nèi)容、受害人須具有同意能力、同意必須真實自愿、加害人必須盡到充分的告知說明義務(wù)；而在合同領(lǐng)域中，同意可能成為相關(guān)合同給付內(nèi)容的一部分。另有學(xué)者認為，鑒于“同意”的復(fù)雜性，不能完全從私法上獲得理解；經(jīng)過用戶的同意，平臺收集個人的信息既不能從私法上的交易來理解（其中沒有有償和對價因素），也不能從防御性的人格利益來理解，因為這種“同意”增加了人格遭到侵害的風險，更何況現(xiàn)實中存在諸多無須用戶同意即可收集的情形。

筆者認為，對同意的性質(zhì)判定要聯(lián)系相關(guān)規(guī)定中“告知同意原則”進行梳理。我國制定了《信息安全技術(shù)個人信息安全規(guī)范》并在各企業(yè)中推廣適用，隨著國家各項治理的深入，用戶對于企業(yè)數(shù)據(jù)收集的標準會有更為明確和集中的認識，而各行業(yè)的隱私協(xié)議也將逐漸模板化、統(tǒng)一化。因此，個人信息主體對信息處理者的信賴并不建立在其所閱讀的隱私協(xié)議之上，而是基于對個人信息的處理標準的統(tǒng)一適用，換而言之，其信賴從根本而言是出于信息主體對國家治理能力的信任。因此，告知逐漸成為信息處理者的一種公法上的義務(wù)，而同意則仍屬于私法上個人信息自決權(quán)益的核心。若細致梳理我國《個人信息保護法（草案）》（以下簡稱《草案》）中的告知義務(wù)可知，相對于個人信息處理者的身份等信息，僅有個人信息處理目的、處理方式及處理的個人信息種類存在可以與個人信息主體協(xié)商的空間。納入告知范疇的其他部分僅具對告知義務(wù)的履行這一單一屬性，而可協(xié)商部分的告知內(nèi)容則另存在某種私法屬性，維持了信息主體的個人信息自決權(quán)的行使空間。因此，“告知”實際融合了公法和私法的雙重屬性，而“同意”屬于受限的私權(quán)處分。“告知”在所有場景之下均屬必須，但是個人的信息自決權(quán)益在某些情境下受到一定限制，如涉及公共安全、與他人的合法權(quán)益或須履行的義務(wù)相沖突之時或有其他合法事由時，個人信息處理者可依法處理信息主體的個人信息，無論信息主體是否反對。

如上所述，“同意”是一種對于個人信息權(quán)益的處分，但是，這種處分不能脫離商品或服務(wù)合同的語境而單獨存在，只能被視為個人信息主體為了獲得相應(yīng)的商品或服務(wù)而必須作出的權(quán)利處分。自然人對其個人信息享有的民事權(quán)益屬于人格權(quán)益中的精神性人格權(quán)益�；�于我國的歷史和社會現(xiàn)實，賦予自然人對個人數(shù)據(jù)以民事權(quán)利的正當性或意義應(yīng)當建立在維護人格尊嚴和人格自由的基礎(chǔ)上。此外，鑒于個人信息處理的最小化原則，處理個人信息應(yīng)當具有合理的目的并限于實現(xiàn)處理目的的最小范圍，而每種處理目的之下對應(yīng)的最小必要信息范圍已相對確定，由此可以推論，個人信息主體與信息處理者僅可就信息處理的目的進行協(xié)商。但事實上，對此目的的協(xié)商本質(zhì)并非個人信息主體對自身權(quán)利的主動處分，因為其在實現(xiàn)服務(wù)及商品交易合同之外一般并不具有更多可真實獲利的處理目的。更多情況下，鑒于個人在個人信息處理流程中的弱勢地位，可供其選擇的信息處理目的并不具有明顯的獲益性，甚至有些表面的獲益是以承擔更多風險及代價所帶來的（如個性化推薦，甚至“殺熟”），所以，個人信息主體通過對信息處理者的處理目的進行限制是行使自己防御性的個人信息權(quán)益，而非積極主動行使自己的信息權(quán)益。

（二）“告知—同意”模式的缺陷

雖然“同意”系以合同方式作出的處分，但是由于其客體的特殊性以及“告知同意”固有的制度性缺陷，會導(dǎo)致個人信息主體權(quán)利得不到有效救濟。

1.難以獲得無效力瑕疵的用戶意思表示

意思表示是民事法律關(guān)系的核心。合同一方當事人作出意思表示的前提是對訂立合同時之相關(guān)重要情事的知悉以及表意的自由。在個人信息處理的“告知—同意”模式之下，以上兩項要求都無法全面實現(xiàn)。

（1）信息主體缺乏對重要情事的知悉

首先，無法期待網(wǎng)絡(luò)用戶認真仔細閱讀隱私政策的全文。研究表明，如果認真仔細閱讀所有隱私政策條文，用戶僅閱讀一年中所使用的網(wǎng)絡(luò)服務(wù)的隱私政策就需要花費224個小時，因此，要求用戶認真閱讀每條隱私政策的要求既不合理也不可能。其次，考慮到用戶的教育背景不一、對于各條款的理解能力有所偏差所帶來的現(xiàn)實性困境，更無法確認用戶是否真正知悉其同意的內(nèi)容。

實際上，由于個人信息主體無法全面知悉其同意內(nèi)容也導(dǎo)致其在實踐中的損害救濟陷入困境。例如，在“肖某與廊坊京東吉特貿(mào)易有限公司等網(wǎng)絡(luò)侵權(quán)責任糾紛案”一審中，由于原告肖某注冊時無法理解被告晦澀的信息分享安排而直接點擊了同意，嗣后原告由于發(fā)現(xiàn)商品包裝與描述不一致而找到被告投訴，被告直接安排供應(yīng)商聯(lián)系原告。原告認為被告將其個人信息交由其他供應(yīng)商的行為存在不當。法院判決認為，鑒于電子商務(wù)平臺上涉及海量的商品和服務(wù)，涉及的銷售商、供應(yīng)商等關(guān)聯(lián)方的信息亦系海量的，不可能一一列出具體的名稱，在相關(guān)條款中進行概括描述并無不當，原告作為具有完全民事行為能力的成年人足以理解上述條款的內(nèi)容，故被告提供的隱私政策具有約束力，因此，被告有權(quán)依據(jù)隱私政策與第三方共享原告的個人信息。又如，在“淘寶（中國）軟件有限公司訴安徽美景信息科技有限公司不正當競爭案”中，原告主張自己已經(jīng)取消定位設(shè)置而被告依然對其進行定位嚴重侵害了其隱私權(quán)。法院認為，定位問題系安卓系統(tǒng)本身權(quán)限調(diào)用問題，被告的隱私政策已對此情形進行了提示，同時原告僅對其中某一項業(yè)務(wù)進行了定位限制，在選擇其他業(yè)務(wù)類型時依然可以定位，因此被告的行為并非非法操作。

（2）信息主體缺乏表意自由

在個人信息處理的語境之下，信息主體本身存在對于信息處理者的服務(wù)依賴，導(dǎo)致信息主體缺乏表意自由。這種缺乏表意自由在以下幾種場景中表現(xiàn)尤為明顯。

首先，在許多場景之下，由于提供某種類型的個人信息屬于提供產(chǎn)品或服務(wù)的必需——若不提供“同意”無法獲得預(yù)期的服務(wù)。例如，在網(wǎng)約車的適用場景下，信息主體必須向信息處理者提供自己的手機號碼和位置信息，否則網(wǎng)約車因基本功能受限而無法提供相應(yīng)的服務(wù)。為維持服務(wù)或商品合同的可執(zhí)行性而進行的授權(quán)同意本身不存在獨立于合同可協(xié)商的空間（此種同意屬于服務(wù)或商品合同的從給付義務(wù)，其撤回等同于直接撤銷合同，因此不在本文的討論范圍之內(nèi)）。

其次，在一些場景之下，用戶個人信息的授權(quán)范圍與其所獲得的服務(wù)層次存在對等關(guān)系。例如，在即時通信類產(chǎn)品的適用場景下，個人用戶在平臺上的社會關(guān)系網(wǎng)的面積、緊密程度和私密程度決定了該用戶在平臺上能夠獲得的福利的大小，因此，個人信息主體不僅需要提供自己的個人信息，也通常會基于對建立聯(lián)系和管理的需要而提供自己的好友列表信息。理論上，個人信息主體僅提供自己的個人信息即可進入服務(wù)，但若要實質(zhì)性利用平臺的某些功能（如分群好友等），則需要提供更多數(shù)量的好友信息。此時個人信息用戶主動性提供自己好友關(guān)系是基于對平臺拓展性功能的需求。雖然獲取拓展性功能在合同訂立之時可能并非屬于信息主體簽訂合同的主要目的，但是隨著即時通信類產(chǎn)品適用的普及，若個人信息主體選擇不使用某種平臺，很可能會對其社交及工作生活產(chǎn)生重大影響。換言之，在已經(jīng)開始使用某項服務(wù)之后，若信息處理者需要更新其隱私政策的內(nèi)容，個人信息主體往往也僅僅能夠選擇同意來繼續(xù)獲取服務(wù)。

再次，在相關(guān)就業(yè)等場景之中，若不“同意”提供信息雖然不會導(dǎo)致義務(wù)的違反但可能會對雇傭關(guān)系產(chǎn)生負面影響。例如，在用人單位正式錄用員工之前，公司往往要求求職者進行體檢。在經(jīng)歷了數(shù)輪面試之后，體檢的結(jié)果往往決定了該用人單位是否會最終錄取該求職者。用人單位往往以在聘用合同中約定的方式將入職前體檢結(jié)果無異常作為合同的生效條款，若求職人員拒絕體檢或最后查出該求職人員身體存在任何異常則雙方無法按照預(yù)期達成勞動合同關(guān)系。此種行為系變相的就業(yè)歧視行為，屬用人單位利用其優(yōu)勢地位對求職者平等就業(yè)機會的不合理剝奪，于法無據(jù)且違反合同自由原則。因此，美國《就業(yè)法重述》中指出，同意只是衡量侵犯隱私是否具有高度冒犯性的眾多因素之一，同意不能被視為雇主對所謂的隱私侵犯的完全防御。

最后，“同意”與單一買賣關(guān)系的日漸脫離，使得“同意”成為構(gòu)建系列交易的信息基礎(chǔ)。在會員制之下，個人主體即使完成了單個交易，信息處理者依然得以保有信息主體的“同意”，除非其主動要求撤回同意。在會員制的消費模式中，消費者與經(jīng)營者達成了一種非一次性給付的繼續(xù)性合同關(guān)系，有的會員制交易需要會員額外交付會費以獲得更為優(yōu)惠的價格或者其他便利，有的會員制交易只需要消費者提供基本信息進行注冊。在以上兩種情景之中，信息處理者均可通過會員制與個人信息主體產(chǎn)生捆綁關(guān)系而獲得處理其個人信息的權(quán)限，且這種關(guān)系更為隱性，個人主體不易察覺自己的個人信息依然處于經(jīng)營者手中，直到其注銷會員資格。因此，就《草案》中“當個人信息處理者停止提供產(chǎn)品或服務(wù)時，信息處理者應(yīng)當刪除個人信息”的規(guī)定，在會員制的情景之下對于“服務(wù)”應(yīng)作擴展理解，即將經(jīng)營者為消費者提供的會員資格本身也視為一種服務(wù)。在此情形之下，應(yīng)當允許信息處理者保留收集的個人信息，除非個人信息主體明確表示撤回同意或以實際行動注銷會員資格。

除此以外，對于用戶而言，其選擇同意的時間窗口通常較為窄小，往往須在幾秒之內(nèi)迅速作出同意的選擇以便進入實質(zhì)性的主合同履行階段。信息主體在作出“同意”的意思表示之時，實際上很難預(yù)料到當時的“同意”行為究竟會對其帶來何種程度的影響，因此難謂表意自由。

意思表示本身分為兩個方面：作為行動的意思表示以及作為客觀邏輯的意義構(gòu)造的意思表示，需要同時將這兩個方面聯(lián)系起來，以行動展現(xiàn)對一種指向引發(fā)某種法律效果之意愿的宣告。一方面，當個人信息主體欠缺對相關(guān)內(nèi)容的知情時，其指向“同意”的法律效果即缺乏合法的基礎(chǔ)。因此，雖然信息處理者提供了隱私政策，個人信息主體也表示了同意，但是并不能表明其行動展現(xiàn)了對指向引發(fā)特定法律效果意愿的宣告——個人信息主體有時難以理解描述過于概括性的隱私政策內(nèi)容，更無從從技術(shù)性的層面知曉自己信息已被調(diào)取。此時實際出現(xiàn)了“告知義務(wù)”與“知情權(quán)”的斷層。另一方面，基于對信息處理者服務(wù)的依賴，同意的意思表示并不一定是自由的表意，雖然上文列舉的相對人意思表示不自由并不能簡單等同于民法理論上的脅迫與欺詐，有些情形也確是網(wǎng)絡(luò)交易本身的性質(zhì)所致，但有些情況屬于“脅迫”行為，例如，當個人信息主體不同意提供額外的個人信息則無法獲取服務(wù)、甚或?qū)е率�去正常就業(yè)機會的情形。因此，“告知—同意”模式并不能真正全面保障信息主體作出不含效力瑕疵的真實意思表示。

從理論上來說，信息處理者雖然利用了個人信息主體缺乏判斷力，即個體基于理性考慮而實施民事法律行為并對民事法律行為的后果予以評估的能力，但是由于該行為在成立時難謂之取得“暴利”或在權(quán)利義務(wù)上明顯失衡，故而不宜將之認定為顯失公平。而以普通經(jīng)濟損失的角度來界定是否公平，在涉及人格權(quán)益的案件中似乎又有失偏頗。

2.信息主體難以獲得有效保護

若將隱私政策視為合同，意味著在多數(shù)情況下信息控制者所提供的隱私政策由于不具有可協(xié)商性而被歸為格式合同的類型。我國《民法典》雖然對格式合同的效力作出了有利于消費者的限定，但是仍然無法消除在個人信息處理場景之下對個人信息主體的不利影響。這是由于，根據(jù)規(guī)定，格式合同的主要規(guī)制對象是格式合同的提供方以約定的方式不合理地免除或減輕自己責任、加重或限制甚至排除消費者主要權(quán)利的行為，但是在個人信息保護的場景之下，該種對“要約”的規(guī)制模式并不能起到很好的效果。《2019年App違法違規(guī)收集使用個人信息專項治理報告》中提及，App違法違規(guī)收集使用個人信息典型問題分為六類：企業(yè)未提供隱私政策，限定一次性打開多個權(quán)限，未明示收集使用個人信息的目的、方式和范圍，未經(jīng)用戶同意收集使用個人信息，未經(jīng)同意向他人提供個人信息，未按法律規(guī)定提供刪除或更正個人信息功能等。以上種種問題，若從格式條款的角度出發(fā)審視，有的是缺乏要約（如企業(yè)未提供隱私政策），有的是在要約中缺乏法定的內(nèi)容（如未明示收集使用個人信息的目的、方式和范圍，未按法律規(guī)定提供刪除或更正個人信息功能），有的既可能是在合同內(nèi)無明確約定也可能屬于信息處理者違反自身隱私政策而導(dǎo)致的違約行為（如未經(jīng)用戶同意收集使用個人信息、未經(jīng)同意向他人提供個人信息，以及限定一次性打開多個權(quán)限）。如此看來，將隱私政策視為格式合同會產(chǎn)生明顯的問題：格式條款提供方在隱私政策中回避提及其所需要向個人信息主體承擔的法定義務(wù)，而由于該類條款并未訂入合同中，因此并不影響合同的效力。如此一來，以合同方式保護個人信息主體的目的已然落空。而且，信息收集條款往往僅涉及信息處理者一般性的權(quán)利義務(wù)且未約定任何的責任條款，而鑒于個人信息的人格屬性，其損害的后果常常較為嚴重且無法彌補，因此，以合同的方式予以救濟顯然效力不濟。實際上，個人信息主體在實踐中也往往更偏向于采用侵權(quán)路徑向信息處理者主張責任。

此外，同意的前提是信息透明，但從客觀上而言，個人信息適用的場景呈動態(tài)化特點，信息處理者可能需要不斷根據(jù)自己業(yè)務(wù)類型的調(diào)整而修訂其隱私政策，信息處理方式的不斷變革使得清晰透明且穩(wěn)定的個人信息處理方式不具有可期待性。信息應(yīng)用場景的動態(tài)化是大數(shù)據(jù)背景下信息技術(shù)的生命力之所在，是信息革命的價值之所在。但是，這種動態(tài)化的處理模式也決定了信息主體對知情的要求處于動態(tài)化之中，信息主體只有在時時更新的適用場景之下（如收集個人信息使用目的的變更、信息處理者對新第三方的授權(quán)等），才有可能作出最符合其真實意思表示的“同意”，否則無異于刻舟求劍。因此，對于隱私政策的一攬子授權(quán)同意不能覆蓋整個信息處理流程，也不應(yīng)當被視為信息主體對自己信息權(quán)益的全面處理。正因如此，對于“告知—同意”模式的質(zhì)疑與批判不絕于耳。

雖然告知同意有上述諸多缺陷，但至今仍為各國廣泛采用，究其原因乃是其標準化的模式無論對于用戶還是信息處理者而言均為成本最小化的解決方式。雙方減少了因不信任而產(chǎn)生的交易成本，能直接進入到與個人信息權(quán)益行使最為核心的地帶：同意及同意的撤回，甚至刪除權(quán)。從目前來看，在“告知—同意”模式下，對于個人信息主體保護最為直接有效的方式即是賦予個人信息主體以同意撤回權(quán)。但學(xué)界目前對此尚未展開深入討論，因此，有必要對“同意撤回權(quán)”的性質(zhì)及其與其他相近制度的關(guān)系進行細致梳理。

二、同意撤回的法理分析

（一）同意撤回的概念澄清

《草案》第16條明確采用了“撤回”的概念。雖然學(xué)界對同意撤回有著普遍認同，但其概念本身具有特別指向，在進行深入法理分析之前，有必要對其中的幾個關(guān)鍵問題予以澄清。

首先，同意撤回是指個人信息主體基于“告知同意”原則，對自己已經(jīng)作出的“同意信息處理者對其個人信息進行處理”的授權(quán)予以取消的意思表示。但從理論上看，撤回須在意思表示未生效之前到達相對人，其產(chǎn)生的效力是使得早先作出的意思表示不發(fā)生效力；而撤銷系在意思表示到達相對人并生效之后作出的取消前一意思表示的行為。因此，《草案》所指的“同意的撤回”雖名為撤回，實質(zhì)含義為意思表示的撤銷，但為保持與立法表述一致，本文亦沿用這一概念。

其次，需要特別強調(diào)的是，同意的撤回包含個人信息主體對個人信息使用全過程中的處分。這一理解有利于解決用戶僅能在信息收集階段行權(quán)的僵化性問題。傳統(tǒng)的“告知—同意”模型中一個常常招致批評的問題在于，其僅允許個人信息主體在信息收集的階段作出同意的表示。但實際上，在信息收集的初始階段，個人主體往往難以清晰理解其決定可能對未來造成的影響，例如，給予同意的授權(quán)之后，用戶會經(jīng)常受到商家頻繁的商業(yè)廣告滋擾，甚至被商家利用信息主體提供的個人信息進行大數(shù)據(jù)“殺熟”，此時個人信息主體可以行使自己的同意撤回權(quán)，要求其暫停處理行為。信息具有高時效性的特點，用戶的需求和興趣具有轉(zhuǎn)瞬即逝的特點，信息一旦無法得到有效及時的更新便會喪失預(yù)期的價值。這種對于信息處理者而言的預(yù)期價值的喪失，有時候會成為對信息主體個人信息利益的保護，尤其當這種預(yù)期價值更多體現(xiàn)在商業(yè)上時，對信息處理進行暫停式的緩沖效力可對沖部分個人信息處理對人格權(quán)益的侵害效果。

（二）同意撤回的性質(zhì)分析

有學(xué)者認為，人格權(quán)商業(yè)化之后，會隨著環(huán)境的變遷對主體產(chǎn)生不良的影響，甚至可能會演變成對權(quán)利人人格發(fā)展的限制，在這種情形下賦予權(quán)利人撤回許可的權(quán)利，也是為了維護許可人的人格自治利益的需要，行使撤銷權(quán)對無過錯一方造成損害的，應(yīng)由權(quán)利人承擔相應(yīng)的賠償責任。另有學(xué)者主張，應(yīng)當區(qū)分情景討論同意撤回的適用，當同意并不直接涉及合同交易領(lǐng)域時，可隨時撤回同意，該行為僅僅是對他人行為違法性的排除；當“同意”涉及具體的合同交易領(lǐng)域時，則應(yīng)當比照適用典型合同中的任意撤銷權(quán)規(guī)則，對個人信息主體的“同意撤回權(quán)”作出一定限制，當其因撤回給信息處理者造成損失時，應(yīng)當承擔損害賠償責任。

如果基于合同的原理，那么“同意的撤回”可被視為個人信息主體行使撤銷權(quán)的行為，在我國民法上有溯及既往的效力。但筆者認為，對人格利益的許可的撤銷規(guī)則應(yīng)當與一般合同處分財產(chǎn)性權(quán)益的撤銷規(guī)則作出區(qū)分。因為，人格權(quán)的核心是個人的自決，其也包含了對經(jīng)濟價值的自決，承認人格權(quán)商業(yè)化利用制度實際上是對個人自決的一種尊重，體現(xiàn)了對個人人格尊嚴的保護。人格權(quán)商業(yè)化利用目的的實現(xiàn)需要規(guī)則體現(xiàn)對人格權(quán)的傾斜保護。這種區(qū)分在我國現(xiàn)行立法上也是可行的，我國《民法典》在總則編的意思表示一節(jié)中僅規(guī)定了意思表示的撤回（《民法典》第141條），并未規(guī)定意思表示撤銷的內(nèi)容。對于可撤銷的情形僅在民事法律行為的效力這一部分作了未窮盡性列舉（如《民法典》第147-151條），并在合同編各類有名合同中對當事人的法定撤銷權(quán)作出具體規(guī)定（如《民法典》第658條）。我國民法上可撤銷的民事法律行為需通過向法院或仲裁機構(gòu)主張來實現(xiàn)，理論上被歸為形成訴權(quán)，由于其對當事人之間權(quán)利義務(wù)關(guān)系產(chǎn)生重大影響，故需要受到形成權(quán)的除斥期間限制。但從體系構(gòu)造上看，《民法典》并未對意思表示的撤銷作出統(tǒng)一規(guī)定，這為新型意思表示撤銷制度的構(gòu)建預(yù)留下了理論空間�；�于此，完全可從人格利益的特性出發(fā)，獨立概括出人格權(quán)體系下的撤銷權(quán)制度。

從人格權(quán)特性出發(fā)，人格權(quán)體系下的撤銷權(quán)具有區(qū)別于一般合同處分財產(chǎn)性權(quán)益下的撤銷權(quán)的特點。人格權(quán)的客體是人格權(quán)所指向的具體人格利益，人格權(quán)的絕對性特征使得權(quán)利人以外的其他任何人均負有不得侵害權(quán)利人之人格權(quán)的義務(wù)。因此，即使是在人格權(quán)商業(yè)化利用的合同關(guān)系中，基于對人格權(quán)益處分的撤銷權(quán)之行使也不應(yīng)當受到過多限制。故而人格權(quán)體系下的撤銷權(quán)行使不以主體受到實際損害為前提。同時，人格屬性的權(quán)利行使一旦生效難以產(chǎn)生恢復(fù)原狀的效果，因此人格權(quán)體系下的撤銷權(quán)一般不具有溯及既往的效力。

同意撤回權(quán)體現(xiàn)了主體對于個人信息的自決處分，帶有強烈的人格利益特性，可以被定性為人格權(quán)體系下的撤銷權(quán)。首先，同意撤回權(quán)屬于形成權(quán)，具有可依單方面的意思表示使法律關(guān)系發(fā)生變動的性質(zhì)。個人信息主體僅需向信息控制者發(fā)出其意欲撤回同意的意思表示即可產(chǎn)生效力。此種安排將個人視為其信息的最佳處分權(quán)人，體現(xiàn)出制度設(shè)計層面上對于國家公共領(lǐng)域及私人生活領(lǐng)域區(qū)分治理的態(tài)度。其次，同意撤回權(quán)屬于撤銷權(quán)，其效果是使得已經(jīng)發(fā)生效力的意思表示歸于消滅。個人信息主體可以通過行使同意撤回權(quán)，禁止信息控制者對其個人信息的后續(xù)處理行為。最后，同意撤回權(quán)是對涉及人格權(quán)益的意思表示之處分，體現(xiàn)了人格利益特性，并同樣具有人格權(quán)體系下的撤銷權(quán)的特殊性，如主體行權(quán)上的特殊便利性、不具有溯及既往的效力等。因此，同意撤回權(quán)實際上屬于人格權(quán)體系下的撤銷權(quán)。

（三）同意撤回權(quán)的行使規(guī)則

通常而言，意思表示的撤銷需考慮相對人的合理信賴問題，這是合法行使撤銷權(quán)的前提。但是，在法律已經(jīng)明確規(guī)定相對人須履行告知相對人有“同意撤回權(quán)”的前提之下，應(yīng)當認定相對人不存在合理信賴的基礎(chǔ)。同時，信息處理者也不得在隱私政策內(nèi)對信息主體的同意撤回權(quán)予以預(yù)先排除。但同意撤回權(quán)也須受到一定的限制，如其行使不能影響數(shù)據(jù)信息的留存義務(wù)的履行。所謂數(shù)據(jù)留存是指為政府機構(gòu)日后檢索、法律執(zhí)行和安全機關(guān)用作證據(jù)和情報的需要，相關(guān)機構(gòu)或企業(yè)對通信話務(wù)量、位置等用戶數(shù)據(jù)進行存儲。雖然各國的立法都將涉及用戶隱私部分的通信信息排除在存留范圍之外，但是對于可以識用戶身份信息的其他類型的個人信息均有可能成為留存內(nèi)容。數(shù)據(jù)留存具有維護國家安全及公共利益的重要功能。我國的《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定了我國互聯(lián)網(wǎng)信息服務(wù)提供者的數(shù)據(jù)留存義務(wù)，并要求互聯(lián)網(wǎng)信息服務(wù)提供者和互聯(lián)網(wǎng)接入服務(wù)提供者的記錄備份應(yīng)當保存60日以備查詢。此時，個人信息主體若要求行使刪除權(quán)須受到留存期限規(guī)定的制約，在相關(guān)留存期限的日期結(jié)束之后方可行使自身的刪除權(quán)。由于此類信息收集并不基于信息主體的同意，因此也沒有任何同意撤回權(quán)的行使空間。

具體而言，作為人格權(quán)體系下的同意撤銷權(quán)，對個人信息處理許可的同意撤回權(quán)之行使應(yīng)當遵循以下規(guī)則：

首先，應(yīng)當更偏重保護意思表示主體的行權(quán)之便利性。這是由于人格權(quán)益被侵害后往往難以對其進行實質(zhì)上的有效救濟，且以形成訴權(quán)的方式來構(gòu)建人格權(quán)下的撤銷權(quán)體系不利于對人格性利益的及時救濟，因此，不應(yīng)當對意思主體行使撤銷權(quán)作出任何不合理的限制。在雙方交易過程中，當一方的利益主要體現(xiàn)在人格利益，而另一方的利益主要為財產(chǎn)利益時，人格性利益一方享有優(yōu)先權(quán)利。我國民法體系中對此有諸多體現(xiàn)，例如，根據(jù)我國《民法典》第1022條規(guī)定，當事人對肖像許可使用期限沒有約定或約定不明確的，任何一方可以隨時解除肖像許可使用合同；即使雙方對許可的使用期限有明確約定，肖像權(quán)人有正當理由的，也可以解除肖像使用合同。該條款賦予了肖像權(quán)人以正當理由下的單方合同解除權(quán)，此種更有利于肖像權(quán)人的制度安排主要就是出于對其人格性權(quán)益的重要性之考量。在個人信息權(quán)益中，所包含的信息主體的利益范圍更為廣泛，因而類推賦予個人信息主體以人格權(quán)體系下的撤銷權(quán)確有必要。

其次，應(yīng)當摒除除斥期限對權(quán)利主體的時間限制。人格權(quán)請求權(quán)具有絕對權(quán)請求權(quán)屬性，不應(yīng)受到訴訟時效的限制。因為人格權(quán)請求權(quán)的功能在于保護民事主體對其人格利益的圓滿支配，在人格權(quán)受到妨害或者可能受到妨害的情形下，權(quán)利人應(yīng)當有權(quán)隨時提出請求，以恢復(fù)權(quán)利人對其人格利益的圓滿支配狀態(tài)。只要對人格權(quán)的侵害和妨礙仍處于持續(xù)狀態(tài)，則權(quán)利人即應(yīng)當享有人格權(quán)請求權(quán)，以消除相應(yīng)的不利影響。同理，“同意撤回權(quán)”作為涉及人格利益的撤銷權(quán)也不應(yīng)當受到除斥期間的制約。個人信息處理中的“同意”是對自己個人信息權(quán)利授權(quán)的放棄，體現(xiàn)了個人信息權(quán)益的消極性和防御性，屬于個人信息主體對其信息權(quán)益的最后一道防線，應(yīng)當?shù)玫较鄳?yīng)的救濟。

再次，與民事主體對其姓名、肖像等人格性利益的許可使用之撤銷類似，同意撤回也不具有溯及力。對他人在商品、商標或者服務(wù)上使用本人的姓名、肖像等行為的許可被撤銷之后，只是對相對人未來的使用權(quán)利作出了限制，并不影響許可撤銷前已經(jīng)生產(chǎn)的商品或使用的商標及提供的服務(wù)上所附著的權(quán)益，除非產(chǎn)生了對個人主體的個人權(quán)益產(chǎn)生侵害的情形。同理，對于因建立在“同意”基礎(chǔ)上所取得的人體臨床試驗的階段性成果，也不應(yīng)因受試者撤回同意而被歸于無效或不可使用。由此可見，涉及人格利益的許可之撤銷不應(yīng)當具有溯及力。事實上，不同于一般的財產(chǎn)性交易，涉及人格利益的許可之撤銷往往難以達到使雙方恢復(fù)到民事法律行為實施前的狀態(tài)：雖然返還財產(chǎn)并不困難，但是涉及人格性利益的民事法律行為本身的目的是為了發(fā)揮附著在物之上的人格性利益的效果，例如，讓人建立起對某種商品與某代言人的自然聯(lián)想等，因此，對許可撤銷前已經(jīng)生產(chǎn)的商品或使用的商標及提供的服務(wù)上所附著的權(quán)益進行分離既不可能，也無必要，更無法達成消除此種效果之目的。人格性權(quán)益有其本身一經(jīng)存在即附著于社會關(guān)系中的特殊性，無法以“返還財產(chǎn)”或“賠償損失”的方式使其恢復(fù)原狀，只能對其在未來生活中將產(chǎn)生的影響予以制約，因此，人格權(quán)體系下的撤銷權(quán)不應(yīng)當具有溯及力。

最后，同意撤回權(quán)的行使不以個人信息主體受到損害為前提。除為履行法定職責或法定義務(wù)所必需，任何對同意撤回行使事由上的不當限制都是對個人信息主體的個人信息權(quán)益之克減。此外，就由個人信息主體主張同意撤回而對信息處理者帶來的損害要求其承擔賠償責任的做法也頗為不當。對于信息處理者而言，但凡個人信息主體主張撤回其同意，就一定會產(chǎn)生損失。因為，信息處理者在獲得個人信息主體授權(quán)同意之時，即需要對這部分的個人信息進行打標處理，當個人信息主體選擇撤銷其授權(quán)同意之時，信息處理者需要重新識別這批已經(jīng)打標處理的個人信息并重新調(diào)整權(quán)限，但因調(diào)整行為而額外產(chǎn)生的這部分費用不可要求個人信息主體承擔。其理由在于，只有當基礎(chǔ)性權(quán)利遭受不法侵害或有侵害之虞時，方才發(fā)生救濟性請求權(quán)，而個人信息主體行使同意撤回權(quán)系其對自身權(quán)益的正當處分，具有合法性基礎(chǔ)，因此，信息處理者無權(quán)就其因信息主體合法行使同意撤回權(quán)所造成的損失向信息主體請求損害賠償。從同意撤回制度設(shè)計的效果來看，除信息主體故意或重大過失外，也不宜令信息處理者擁有損害賠償請求權(quán)，此舉會給信息主體帶來諸多顧慮，從而從實體上架空同意撤回制度。

（四）同意撤回權(quán)與相關(guān)概念區(qū)分

1.同意撤回權(quán)應(yīng)與消費者的反悔權(quán)相區(qū)別

消費者與經(jīng)營者之間的信息極不對稱狀況導(dǎo)致雙方在交易中的地位無法平等。消費者因不了解相關(guān)信息或是受到商家的誤導(dǎo)而沖動消費，經(jīng)常簽訂讓自己后悔的合同。消費者的反悔權(quán)正是基于對處于弱勢地位的消費者的救濟之考慮而對“同意”瑕疵的補正，其實質(zhì)是對消費者不理性的消費行為進行家長主義管制。從這些角度出發(fā)，同意撤回權(quán)與消費者的反悔權(quán)似乎有所相同，但事實上兩者有很大區(qū)別。首先，兩者的適用場景不同。雖然域外各國對于消費者的反悔權(quán)的行權(quán)時間窗口規(guī)定不一，但是其適用場景往往被限定在幾種特殊的領(lǐng)域之中：上門交易、遠程交易及分期付款。消費者的反悔權(quán)行使的效果是使之前的合同歸為無效，雙方需要承擔合同項下的返還義務(wù)，即消費者返還商品而經(jīng)營者退還已經(jīng)收取的價金。例如，根據(jù)我國《消費者權(quán)益保護法》第25條規(guī)定，經(jīng)營者采用網(wǎng)絡(luò)、電視、電話、郵購等方式銷售商品的，除定作、鮮活易腐等特殊類型的消費品之外，消費者均享有自收到商品之日起7日內(nèi)無理由退貨的法定反悔權(quán)。而同意撤回權(quán)在所有涉及收集消費者個人信息的場景之下均可適用，并不受遠程交易所限。例如，即使在線下面授培訓(xùn)課程中，消費者也可撤回對培訓(xùn)機構(gòu)收集對其學(xué)習狀態(tài)的跟蹤及調(diào)查訪問的許可。

其次，兩者制度中缺省規(guī)則下的時間效力不同。缺省規(guī)則又稱為法律的默認規(guī)則，即當雙方?jīng)]有其他約定時，規(guī)則的設(shè)計能保障當事人在保持沉默時依然能合理保有自己的合法利益，維持一種社會的合法秩序。因此，出于成本考量，默認規(guī)則的設(shè)計應(yīng)當具有廣譜性，以滿足多數(shù)需求，讓多數(shù)人、在多數(shù)場合保持沉默，只讓少數(shù)人、在少數(shù)場合發(fā)聲。缺省規(guī)則的時間效力不同體現(xiàn)出不同的規(guī)制態(tài)度取向。在消費者反悔權(quán)的適用中，若消費者在一定時限內(nèi)（通常為7日）選擇不行使自己的權(quán)利，其所表示的含義是“使用即同意”，即放棄了自己的反悔權(quán)。但是在個人信息保護的場景之下，個人信息主體未行使同意撤回權(quán)并不意味著對同意撤回權(quán)的放棄，而是表明繼續(xù)授權(quán)信息處理者處理個人信息行為，但信息主體亦可隨時行使同意撤回權(quán)。因此，兩種制度中缺省規(guī)則產(chǎn)生的時間效力完全相反，也體現(xiàn)出立法對于不同利益保護效力的層級性。

最后，兩者的產(chǎn)生基礎(chǔ)及效力也不相同。在消費者的反悔權(quán)的適用場景之下，消費者反悔的是購買某種商品；而在個人信息授權(quán)的語境之中，個人信息主體“反悔”的是對信息處理者處理個人信息的授權(quán)。兩者的產(chǎn)生的基礎(chǔ)不同，故而產(chǎn)生的效力也不同。消費者的反悔權(quán)之行使產(chǎn)生合同被撤銷的效果，由此產(chǎn)生了雙方的返還義務(wù)。依據(jù)合同的一般性原理，行使合同的撤銷權(quán)若給相對方造成損害的，應(yīng)當承擔賠償責任。

2.同意撤回權(quán)應(yīng)當與刪除權(quán)區(qū)分

目前各國立法對于“刪除”的概念存在不同的界定標準。根據(jù)歐盟《通用數(shù)據(jù)保護條例》（GDPR）第17條對刪除權(quán)的規(guī)定，數(shù)據(jù)主體請求控制者們刪除相關(guān)個人數(shù)據(jù)的任何鏈接、副本或復(fù)制件即為其行使刪除權(quán)的方式。GDPR所規(guī)定的刪除權(quán)又稱為“被遺忘權(quán)”，由于其落地成本極高受到了廣泛的質(zhì)疑。美國《2018年加州消費者隱私法案》（CCPA）則規(guī)定，“收到消費者要求刪除其個人信息的可驗證請求的企業(yè)應(yīng)當從其記錄中刪除消費者的個人信息，并指示所有服務(wù)提供者從其記錄中刪除該消費者的個人信息”，其規(guī)則較GDPR有更明顯的可操作性。依據(jù)美國法，信息處理者作出某些權(quán)限設(shè)置使得個人數(shù)據(jù)在正常情況下無法被檢索或獲取使用即可滿足刪除的要求，與此同時，信息處理者也可以實現(xiàn)向國家履行數(shù)據(jù)存留義務(wù)。

我國《信息安全技術(shù)個人信息安全規(guī)范》借鑒了美國法的思路，將“刪除”定義為：在實現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個人信息，使其保持不可被檢索、訪問的狀態(tài)。其中，“保持不可被檢索、訪問的狀態(tài)”實際僅僅對個人信息不可在未來被使用提出了限定要求，并未要求信息處理者對個人信息的鏈接、副本或者復(fù)制件進行實質(zhì)刪除。但若此種“不可被檢索、訪問的狀態(tài)”在技術(shù)上是可以恢復(fù)的，那么其在最終的行使效力上與同意的撤回相同，在立法邏輯上似乎難以理順；因此，只有此種“不可被檢索、訪問的狀態(tài)”在技術(shù)上不可逆轉(zhuǎn)，才有必要將此兩種權(quán)利進行分離，也只有這種意義上的刪除會對個人主體行使同意撤回權(quán)之后再次授予同意的情形產(chǎn)生影響。所以，不可逆轉(zhuǎn)的刪除才是本文所討論的刪除權(quán)的范疇（由于《草案》中未涉及刪除的定義，為避免概念混淆，后文所提“刪除權(quán)”系指信息主體請求信息處理者刪除其所持有的相關(guān)個人信息的原件、副本或復(fù)制件的權(quán)利）。大數(shù)據(jù)時代對于許多傳統(tǒng)概念的穩(wěn)定性提出了新挑戰(zhàn)，隨著區(qū)塊鏈技術(shù)的發(fā)展，刪除權(quán)的適用將會受到越來越多的限制，因為，刪除某個區(qū)塊的數(shù)據(jù)意味著后續(xù)整個區(qū)塊無法進行哈希鏈接，而區(qū)塊鏈本身不可篡改的特性使得數(shù)據(jù)主體一旦將數(shù)據(jù)上鏈，將很難刪除。

對同意撤回權(quán)概念的理解首先需要明晰當個人信息主體行使同意撤回權(quán)時所撤回的是個人資料的“持有權(quán)”還是有特定目的的個人信息“使用權(quán)”。撤回“持有權(quán)”可以通過標記已刪除、不存在，甚至需要通過刪除數(shù)據(jù)備份和硬盤來實現(xiàn)，其實際的行使效果等同于數(shù)據(jù)的刪除權(quán)。而將同意的撤回限定為對特定目的的個人信息之“使用權(quán)”的撤回則是指信息處理者將不再有權(quán)收集信息主體的任何新的個人信息，除存在其他合法事由之外，也不得對已收集的信息作出任何類型的處理。在個人信息主體撤回同意前，其處理行為具有因“同意”而產(chǎn)生的合法正當基礎(chǔ)，同意的撤回并不具有溯及既往的效力，故個人主體僅行使同意撤回權(quán)不應(yīng)當產(chǎn)生刪除已收集數(shù)據(jù)的效力。

筆者認為，將同意撤回權(quán)界定為不得對已收集的信息再作處理以及禁止對未來信息進行收集具有一定的合理性。首先，這可從功能上直接區(qū)分刪除權(quán)和同意撤回權(quán)。同意撤回權(quán)實際上使得信息處理者處于一種相對靜止的狀態(tài)之中。信息處理者對其基于個人信息主體的“同意”而收集的個人信息仍然擁有“持有權(quán)”，除非雙方約定的保存期限已屆滿或處理目的已實現(xiàn)。而對于個人信息主體而言，行使了同意撤回權(quán)之后仍然有再次同意的可能。當個人信息主體因需間續(xù)性地獲取某種服務(wù)時，可選擇暫時撤回同意，在需要繼續(xù)服務(wù)時再次選擇同意授予信息處理者以處分的權(quán)限。此時，若信息處理者保留了用戶曾經(jīng)的使用習慣及設(shè)置，可以使得個人信息主體快速便捷地享受到原本暫停的服務(wù)。對于信息處理者而言，也避免了一旦同意被撤回即要刪除數(shù)據(jù)的局面。

其次，這更利于信息主體自由取舍服務(wù)中的細化功能。同意的撤回權(quán)是個人信息主體對于一攬子服務(wù)中各細化功能的自決取舍，區(qū)別于刪除權(quán)對應(yīng)服務(wù)的整體拒絕。隨著技術(shù)的發(fā)展和人類需求的多樣化，現(xiàn)代的商品買賣及服務(wù)提供呈現(xiàn)出越來越綜合化的趨勢，體現(xiàn)了各種功能的有機融合。例如，地圖軟件可以實現(xiàn)打車及購票功能；而信息發(fā)布軟件可以實現(xiàn)訂餐和交友功能等。這種一攬子式的服務(wù)為生活帶來了諸多便利，同時也會在交易過程中向個人信息主體要求更多種類和數(shù)量的個人信息。個人信息主體有權(quán)在自我衡量成本收益的基礎(chǔ)上決定如何授權(quán)信息處理者對其個人信息的收集。這種選擇權(quán)應(yīng)當建立在信息處理者之服務(wù)用于多種適用場景時，即只有在不同的目的之間，個人信息主體才擁有實際的選擇權(quán)。例如，當個人信息主體選擇只查看地圖而不享受乘車及購票服務(wù)，則無須授權(quán)同意自己的位置信息；而當個人信息主體需要乘車時可以開啟自己的位置信息，在服務(wù)結(jié)束后選擇撤回同意，以更好地保護自己敏感個人信息。然而在僅提供單一服務(wù)目的的服務(wù)場景之中，信息處理者收集信息應(yīng)當遵循必要原則，其核心是收集的信息對于實現(xiàn)正常的服務(wù)而言是“充足”但不過量的并且就為了實現(xiàn)某種功能而言是最低必要限度的。告知原則本身受到必要原則的制約，如果信息處理者已經(jīng)在必要的限度之內(nèi)處理信息，適用同意撤回權(quán)的空間就只能針對服務(wù)中的部分功能，而非全面的功能，否則將因功能性受限而無法繼續(xù)履行原服務(wù)或買賣合同之義務(wù)。

此外，同意撤回是會員制交易模式下最符合個人信息主體的個人信息處理規(guī)則。繼續(xù)性合同履行間歇期內(nèi)，會員往往沒有產(chǎn)生新的合同交易，但是若能使得經(jīng)營者保存會員的某些交易記錄及用戶的偏好性設(shè)定會使得用戶有更良好的使用感。作為對“同意”與“刪除”兩種操作之間的良性緩沖，同意撤回權(quán)可以實現(xiàn)一種個人信息權(quán)益層級性的處分效力。個人信息主體可以依據(jù)自身的具體情況選擇單獨適用同意撤回權(quán)或是疊加適用刪除權(quán)。

三、同意撤回的域外立法比較及路徑選擇

設(shè)立同意撤回權(quán)目前已經(jīng)成為數(shù)據(jù)立法中的通行規(guī)則。但是，不同的制度設(shè)計會產(chǎn)生完全不同的實踐效果。下文擬從比較法角度分別分析歐盟及美國的路徑及其所體現(xiàn)的不同價值取向，并試圖尋找其中可資借鑒的部分內(nèi)容以融入我國的立法之中。

（一）歐盟的路徑分析

GDPR第7條同意的條件中明確規(guī)定數(shù)據(jù)主體有權(quán)隨時撤回其同意。同時，GDPR對同意撤回作了以下兩方面的規(guī)定：第一，規(guī)定了此種權(quán)利的行使不具有溯及力，即同意的撤回不應(yīng)當影響在撤回前基于同意作出的數(shù)據(jù)處理的合法性。這一條可以理解為，主體撤回同意之前的數(shù)據(jù)處理不僅合法有效，且數(shù)據(jù)處理者還可以依法保有這部分個人數(shù)據(jù)，同意僅對其未來的處理行為存在限制。第二，強調(diào)了同意的撤回應(yīng)當與作出同意同樣容易。GDPR并未對撤回同意進行事由限制，可以理解為個人信息主體擁有任意撤回同意的權(quán)利而無須受任何事由或時間等條件限制。同意的撤回不具有溯及力與其行使的便利性具有對應(yīng)的關(guān)系，一旦個人信息主體行使了同意撤回權(quán)，同意撤回的不具有溯及力可將主體因行權(quán)對數(shù)據(jù)處理者的影響降到最低。

同意撤回權(quán)的理論基礎(chǔ)在于對“同意”的定性。學(xué)者提出，歐盟立法是基于持續(xù)性代理理論，“同意”并非合同訂立時對數(shù)據(jù)處理者將作出行為的一次性允諾。允諾并非說明某種依其性質(zhì)轉(zhuǎn)瞬即逝的意愿的存在，而是在于給某種意愿的內(nèi)容賦予終局性特征，使其擺脫主觀想法和欲求的變幻，并因之創(chuàng)設(shè)一種超越時間的拘束性。由于信息處理是一個持續(xù)性行為，且與處理及適用的場景有重要關(guān)聯(lián)。一般而言，信息處理者還會以格式條款的方式直接提示個人信息主體其可能會與其他受托方或第三方共享用戶的個人信息數(shù)據(jù)，且會就此另行告知。允諾一旦被表示出來，就抽離了他本身的意愿，此時產(chǎn)生的效力不再關(guān)注個人信息主體是否真的愿意，而是只有愿意才是契約之下唯一正確的意思表示�；�于以上種種原因，個人信息主體的同意無法輻射整個信息處理流程，也不應(yīng)當要求“同意”對個人信息主體實現(xiàn)終極性約束效力，故其不能構(gòu)成有效“承諾”，僅可被視為一種持續(xù)性的授權(quán)。而擁有授權(quán)的信息處理者成為個人信息主體的代理人。個人主體隨時有權(quán)撤回自己的授權(quán)，即“同意”，這種授權(quán)的撤回并不影響基礎(chǔ)交易的效力，僅限制了信息處理者對個人信息的處理權(quán)限。授權(quán)與取消授權(quán)不受限制，只要不違反權(quán)利濫用原則，即使對信息處理者產(chǎn)生了損害也無須承擔賠償責任。歐盟設(shè)立這種便利個人主體行使的同意的撤回權(quán)是對“同意”瑕疵強有力的補救手段。同時，將刪除權(quán)與同意撤回權(quán)區(qū)分也同時起到了維持產(chǎn)業(yè)平衡的目的。

（二）美國的路徑分析

美國的立法中也同樣規(guī)定了同意撤回權(quán)的適用條件，但由于美國對于個人信息保護采取的是分散化立法模式，因此在不同的場景之中對于同意的要求不同，同意的撤回模式也隨場景不同而變。

美國大部分相關(guān)的法律文件是以選擇退出（opt-out）的方式來代替同意撤回權(quán)的行使的。以選擇退出模式來行權(quán)的主要原因是立法上并未實現(xiàn)要求個人信息主體的明示同意。這與我國立法上主張的以“告知同意”為主體的個人信息保護制度存在差異。美國在多種場景之下都允許企業(yè)設(shè)置“選擇退出”模式供用戶自行判斷是否授權(quán)，但是這種模式的缺省式設(shè)置即是企業(yè)可直接抓取用戶信息，除非用戶行權(quán)反對。如CCPA規(guī)定，消費者有權(quán)在任何時候指示一個欲將消費者個人信息出售給第三方的企業(yè)不得出售該消費者的個人信息。這項權(quán)利可以被稱為“選擇退出權(quán)”。這種行權(quán)方式實質(zhì)上是限制了信息控制者與其他方共同分享信息主體個人信息的權(quán)利，而“選擇退出”制度也使得用戶行權(quán)之前的信息處理行為合法化。

但美國有的立法也直接規(guī)定了同意撤回權(quán)，例如，美國的《兒童網(wǎng)上隱私保護法案》中規(guī)定，運營者必須作出“合理的努力”確保父母收到網(wǎng)站或在線服務(wù)提供商發(fā)出的采集、使用、披露其孩子個人信息的通知，同時相對應(yīng)地規(guī)定了父母授予同意和撤回同意的方式。另外，美國聯(lián)邦貿(mào)易委員會（FTC）的官方合規(guī)資料中專門將為家長提供撤銷授予的同意與刪除孩子個人信息分列為兩種不同的選擇，以尊重家長對已收集的其孩子的個人信息擁有的持續(xù)權(quán)利。之所以針對兒童隱私特別規(guī)定同意撤回權(quán)的原因在于，美國高度重視兒童網(wǎng)絡(luò)隱私的保護，因此在對于兒童個人信息的收集上對在線經(jīng)營者課以較重的義務(wù)，同時賦予家長更多的持續(xù)管理權(quán)利。

（三）各國制度的比較分析

從上文介紹可以看出，歐盟與美國大部分立法采用的個人信息的保護機制存在明顯不同。GDPR強調(diào)個人主體對信息的控制權(quán)，即個人信息自決權(quán)（CCPA亦包含消費者的自決權(quán)），其重在強調(diào)個人得以自主、自由地決定如何使用個人信息，從而保障個人的自由人格。個人有權(quán)控制個人信息對外披露程度證明個人信息自決權(quán)已跨出隱私權(quán)保護的被動局面，成為一種控制型、管理型的個人信息保護機制。在此種價值取向之下，用戶會更傾向于“拒絕”而非“同意”。但個人自決的實質(zhì)在于對個體處理信息權(quán)益能力的充分信任和合理保護，因而，歐盟家長式的模式并未真正實現(xiàn)“個人信息自決權(quán)”的展開，反而由于其制度的設(shè)定使得“個人信息自決權(quán)”受到越來越多的限制而背離了其賦予信息主體以控制權(quán)的初衷。而美國采取的隱私路徑更多是采取的一種消極被動姿態(tài)來捍衛(wèi)用戶個人信息權(quán)利，一旦涉足非個人隱私的領(lǐng)域，法律對于個人信息主體的保護明顯乏力，而以合同的角度尋求救濟似乎也并非坦途。在美國數(shù)起關(guān)于隱私政策的訴訟中，原告均以被告違反隱私政策、向第三方泄露原告?zhèn)�人信息為由向法院提起違約之訴，但均因未證明自己實際閱讀了被告提供的隱私政策而無法主張存在對合同的信賴利益。同時，由于合同的違約損害僅限于違約所導(dǎo)致的直接經(jīng)濟損失，而原告僅能主張自己的隱私利益受到了侵害，因此此類請求亦均未得到法院的支持。由此可見，個人信息主體難以因信息處理者違反隱私政策泄露個人信息而要求其承擔違約責任。在以合同方式主張個人隱私利益保護路徑不順的情況下，只得借助消費者保護的路徑推進。

對不同保護機制的選擇體現(xiàn)了不同的價值取向，因為，個人信息主體的“同意”選擇具有某種分配性：它會使得某些主體受益，同時會危及另一些主體的權(quán)利。個人對于“同意”的處分，不僅僅會影響到個體的權(quán)利，也在實現(xiàn)著重塑社會的功能。如何以制度的構(gòu)建達到價值的平衡是大數(shù)據(jù)時代下的重大考驗。從上文對兩種路徑的分析可以看出，歐盟與美國的立法對“同意”的設(shè)計存在不同，因而同意撤回的行使場景也存在差異，其根本原因即在于兩者的價值取向不同：歐盟GDPR更倡導(dǎo)同意撤回的廣泛適用，而美國雖然也給予了個人信息主體以處分自身信息的權(quán)利，但是在立法上更偏重于企業(yè)數(shù)據(jù)收集方的便利性。究其根本原因大概是，與歐洲相比，美國進行數(shù)據(jù)處理的企業(yè)明顯更為強勢。FTC雖處理多起對于數(shù)據(jù)企業(yè)違規(guī)處理消費者個人數(shù)據(jù)的投訴，但多數(shù)以和解結(jié)案。對于消費者而言并沒有得到實質(zhì)的救濟，同時FTC與數(shù)據(jù)巨頭企業(yè)簽訂的和解協(xié)議由于過于偏袒企業(yè)方，也屢屢受到公眾的指責。

筆者認為，數(shù)據(jù)產(chǎn)業(yè)發(fā)展固然能產(chǎn)生巨大的經(jīng)濟和社會效應(yīng)，但是個人的人格性利益也需要得到合理的保護。對于人格權(quán)的侵害難以直接體現(xiàn)在經(jīng)濟利益的喪失之上，也同樣難以均以事后救濟的方式予以彌補。因此，在路徑選擇過程中，面對需要保護的多重利益應(yīng)綜合平衡考量。

（四）大數(shù)據(jù)背景下我國個人信息保護制度的路徑選擇

資源的稀缺性是經(jīng)濟學(xué)的基本原理，一般而言，不界權(quán)會使得物被過度使用，從而顯著提高外部性成本并最終使物被用竭。但信息本身不具有這種稀缺性的特征，隨著信息的不斷流轉(zhuǎn)，它所產(chǎn)生的價值反而會越來越大，因此，對信息的界權(quán)并不具有緊迫性，但界權(quán)后因其界分復(fù)雜、公示難度大、管制成本高昂及存在極大的尋租空間等帶來的對其他社會資源的過度損耗才是真正值得警惕的問題。當然，不予界權(quán)不代表無所限制。對于信息使用的限制的合理基礎(chǔ)應(yīng)當是基于對人格權(quán)及市場的正常競爭秩序的尊重與維護。因此，對于達到一定體量的主體對信息的處理行為應(yīng)當有所規(guī)制，對于處理個人信息的行為也應(yīng)當受到調(diào)整。在個人信息的維度內(nèi)，從權(quán)利分配角度入手，藉由對同意及同意的撤回等細化的制度層面的調(diào)整，可能更適合我國個人信息保護與實現(xiàn)產(chǎn)業(yè)發(fā)展的雙重目標。由于我國對于個人信息保護方向的行政執(zhí)法力度較強，因而不宜采取對于企業(yè)較為嚴苛的“一刀切”式立法模式。設(shè)定標準時應(yīng)當將規(guī)則落地的可能性及后續(xù)產(chǎn)生的諸如過于頻繁的訴訟導(dǎo)致的司法資源的緊張等制度成本納入考量。

橘生淮南則為橘,生于淮北則為枳。西方學(xué)者的眼中個人信息主體經(jīng)常被描繪為缺乏認知，不能理解隱私政策條款，不能理解自己對自身隱私處分的負面程度的人群。但實際上，隨著信息不對稱問題的逐漸解決，個人信息主體在日常生活之中逐漸形成了自己的隱私偏好。尤其在我國對于個人信息的行政化治理力度持續(xù)加強的背景之下，更有可能存在“理性個人信息主體”�？紤]到中國的市場更為成熟，消費者的交易習慣領(lǐng)先于世界其他國家，隨著消費者隱私保護教育的大力宣傳普及，相關(guān)行政管理的逐漸深入，“理性個人信息主體”群體的數(shù)量將會日益增多。對“理性人”缺省設(shè)定的與否實際上直接決定了規(guī)制的社會成本。因為，若將個人信息主體視為缺乏認知、無法為自己作出理性決策的主體，則需要從立法層面為信息控制者設(shè)置更多的義務(wù)。但在以保障信息安全為首要追求的規(guī)制模式下，某些義務(wù)的履行可能會直接剝奪信息主體的選擇權(quán)，既會不合理地造成信息流動障礙，也會同時增加合規(guī)及執(zhí)法成本。若能適度認可信息主體的決策理性，那么可以盡量使得立法趨于克制，讓出更多的私法自治空間，同時降低企業(yè)及社會的管理成本�！袄硇詡�人信息主體”能夠作出對自己而言更為合理的信息處分決策，因此，針對“理性個人信息主體”應(yīng)當放棄家長主義的保護作風，尊重個人信息用戶的隱私偏好，以合理賦權(quán)為主，在私法上避免過度介入信息主體與信息處理者作出的合理交換，以維持個人信息主體對自身合法權(quán)益的保障與大數(shù)據(jù)應(yīng)用的動態(tài)平衡。

四、我國同意撤回權(quán)的法律適用問題

《草案》正式納入了同意撤回權(quán)，但在制度設(shè)計上就同意撤回及刪除權(quán)的相關(guān)規(guī)定仍有待完善，相關(guān)權(quán)利行使過程中各相對人的權(quán)利義務(wù)關(guān)系也需進一步厘清。下文擬對該權(quán)利行使的過程中可能出現(xiàn)的權(quán)利義務(wù)關(guān)系定位不清及該制度在域外適用實踐中存在的困境等問題進行一一分析，以期為立法掃清最后的理論障礙。

（一）關(guān)于撤回權(quán)與受托人及第三方的關(guān)系

《草案》規(guī)定信息處理者在獲得信息主體同意的前提下可將信息主體的個人信息委托給受托方進行處理。委托方與受托方需要就處理信息的目的、方式、種類及保護措施等問題達成協(xié)議并在合同履行完畢或委托關(guān)系解除后將個人信息予以返還或刪除（《草案》第22條）。另外，個人信息處理者在取得個人信息主體同意的情形下還可以向第三方提供其處理的個人信息，故在處理個人信息的流程中，通常會出現(xiàn)多位參與者。因此，厘清所有參與信息處理主體的權(quán)利義務(wù)關(guān)系就成為保護個人信息安全的關(guān)鍵。筆者認為，受托人及第三方之權(quán)利義務(wù)的確定應(yīng)符合以下規(guī)則：

首先，所有其他從信息處理者處獲得信息的受托方或第三方都應(yīng)當遵從授權(quán)遞減原則，即其處理信息的權(quán)限不得超出信息處理者處理的范疇。這種限制的對象包括處理的信息的類型、數(shù)量、目的及時間范圍等等。

其次，當個人信息主體撤回對信息處理者的同意之時，受托人及第三方也應(yīng)當同時停止收集及處理信息主體的個人信息。此時，無需個人信息主體再行對不同主體進行單獨的同意撤回通知�？紤]到信息流通的重要性，在制度設(shè)計過程中，不宜把注意力集中在當初收集信息時是否已獲得有效的同意以及相應(yīng)責任之上，而是應(yīng)當更加關(guān)注信息如何使用，以使信息處理者更關(guān)注其處理信息的行為以及所造成的損害。而賦予同意撤回權(quán)，在一定程度上正可緩解對于“同意”效力及責任的過度關(guān)注，使得人們把目光聚集回信息的處理及使用流程之上。有學(xué)者認為，個人信息主體對于信息處理的個人信息自決之行使應(yīng)當作用于信息本身，并突破合同相對性的限制而在信息的處理過程中緊隨信息流轉(zhuǎn)。無論個人信息主體的信息處于信息處理者手中，還是因委托關(guān)系處于受托人手中，亦或是為存在合同關(guān)系的第三人所掌控，這種個人信息自決的權(quán)益均應(yīng)當受到應(yīng)有的保護。換言之，任何一方均不得以合同關(guān)系主張對抗個人信息主體的同意撤回權(quán)。但實際上，讓主體以自身的個人信息自決權(quán)隨著信息流轉(zhuǎn)可能僅僅只是一種美好的愿景。隨著信息適用的場景多樣化以及信息控制者數(shù)量的增多，信息主體對個人信息的實際掌控能力只能慢慢減弱。但是，這并不妨礙個人信息主體通過向信息控制者撤銷其同意來控制該信息控制者下游的信息處理行為。這是因為，所有對受托人及第三人作出的“同意”從性質(zhì)上來說只能成為對原授權(quán)許可范圍的變更，而并未由此產(chǎn)生新的獨立授權(quán)。因此，所有信息處理者下游的處理者都當遵守信息處理者與個人信息主體之間授權(quán)約定，對任何超出該范圍的處理行為，應(yīng)當由處理者承擔連帶責任。

最后，信息處理者的受托方及第三方不得以履行合同所必需來對抗個人信息主體。根據(jù)《草案》第 13條，處理個人信息的法定條件除了同意之外還有“為訂立或履行個人作為一方當事人的合同所必需”等條件。此時，信息處理者與受托方或者第三方必然存在對信息處理方式、目的、范圍等的基本約定。依據(jù)前述“一方不能把自己不享有的權(quán)利轉(zhuǎn)給第三方”的法理，信息處理者與受托方或第三方對于數(shù)據(jù)處理的方式、目的及范圍等權(quán)利約定不能超過個人信息主體的原授權(quán)范圍，因此，當存在此類情形之時還需額外獲取個人信息主體的同意。

（二）對同意撤回的理論質(zhì)疑及回應(yīng)

目前，學(xué)界對同意撤回制度的具體適用存在諸多質(zhì)疑，為便于將來立法實施，有必要對之一一回應(yīng)。

第一，學(xué)者對同意撤回制度最猛烈的抨擊在于：用戶無法得知自己享有撤銷權(quán)。特別是當存在某種“隱形侵權(quán)行為”的情形時，如信息處理者用某種專門針對個人消費者的剝削性營銷技術(shù)時，消費者可能根本意識不到其選擇是受到經(jīng)營者利用其弱點的定向銷售技術(shù)之影響而作出的。此時，企業(yè)須履行告知弱勢消費者具有個性化撤回的義務(wù)。對此，國家作為超然利益關(guān)系的治理者（雖然它同時也是最大的個人信息收集、處理、儲存和利用者），承擔著普及個人信息保護知識，提高主體的個人信息保護意識、宣傳及協(xié)助公民理解其權(quán)利內(nèi)涵以及救濟路徑的責任。事實上，我國各有關(guān)部門已高度重視貫徹落實個人信息保護相關(guān)法律法規(guī)，積極開展工作并建立了專門針對App違法違規(guī)收集使用個人信息行為的舉報渠道，受理網(wǎng)民投訴舉報。截至2019年12月，微信公眾號“App個人信息舉報”已有超3萬名用戶關(guān)注，共收到網(wǎng)民舉報信息12125條，涉及2300余款A(yù)pp，我國用戶因“隱形侵權(quán)行為”受到的損害可能性大大降低。

第二，也有學(xué)者擔心，一旦擁有無條件的撤回權(quán)，數(shù)據(jù)市場可能出現(xiàn)大幅波動，信息控制者極有可能落入數(shù)據(jù)泥潭之中無法抽身，淪為信息保護制度的犧牲品。實際上，若在制度安排上能實現(xiàn)同意撤回權(quán)與數(shù)據(jù)刪除權(quán)的區(qū)分，并不會使得信息控制者因此背負過重的負擔。事實上，許多國家在立法中也已引入了同意撤回機制：印度《2018年個人數(shù)據(jù)保護法案（草案）》規(guī)定，同意應(yīng)當不遲于處理開始時作出，有效同意必須是自愿、知情、具體、清晰且能夠撤回的，且數(shù)據(jù)處理機構(gòu)不得對“同意撤回”設(shè)定條件；巴西于2018年出臺的《通用數(shù)據(jù)保護法》也規(guī)定了更為廣泛的刪除、攜帶和同意撤回的權(quán)利。可以看出，對于同意撤回權(quán)的立法為全球個人信息保護立法的趨勢與共識。

第三，還有學(xué)者從實證角度提出了個人信息主體的權(quán)利不應(yīng)當增加“粒度化”（granularity）的觀點。該研究指出，若賦予個人信息主體更多的選擇權(quán)以增加其權(quán)利粒度會為其帶來更大的風險。該理論認為，個人信息主體在其隱私期待和實際處分行為上存在較大差異，而造成這種差異的原因，首先是因為存在認知差距（cognitive dissonance）。這一擔心不無道理，某項針對個人信息主體的調(diào)查發(fā)現(xiàn)，僅有30%的參與者能正確回答關(guān)于其在線交易中隱私保護問題，還有75%的受調(diào)查者錯誤地認為如果某網(wǎng)站有隱私政策說明其不會與其他網(wǎng)站或公司共享自己的個人信息。但此問題并非無法解決。實踐中，各國已對此采取了相關(guān)應(yīng)對措施。例如，加拿大專門規(guī)定了隱私委員會有增強公正對隱私認識的法律責任。而我國對于個人信息保護所投入的行政執(zhí)法力度較大，各行業(yè)標準也在逐步完善之中。尤其是自2019年1月以來，我國中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開展 App 違法違規(guī)收集使用個人信息專項治理的公告》，在全國范圍組織開展App違法違規(guī)收集、使用個人信息專項治理活動。隨著在我國對于違法收集個人信息整治的深入，及對千余款 App 經(jīng)深度評估后的有效整改，使得企業(yè)管理和民眾意識都得到了大幅度提高，隨著我國消費者的隱私觀念與行權(quán)意識逐漸增強，對認知差距方面的顧忌也在慢慢減少。

第四，有學(xué)者提出，受個人信息主體惰性和顧慮的影響，同意撤回的有效行權(quán)也不一定可真正實現(xiàn)。其理由之一是，個體作出授權(quán)信息收集的同意決策時，更多考量的是即刻所得，換言之，主體在作出“同意”之時往往是因受到了一定現(xiàn)實利益的誘導(dǎo)。例如，選擇了“同意”即可馬上獲得某種商品、服務(wù)或便利條件。但是當個人信息主體需要選擇退出之時，卻往往因缺乏直接的動因而怠于行權(quán)。但這一質(zhì)疑并不成立，更沒有必要僅因主體是否主動適用而改變權(quán)利防御性性質(zhì)的設(shè)定。實際上，消極性、防御性權(quán)利是個人信息主體的最后救濟，當主體的正當權(quán)益受到侵害之時，應(yīng)當允許其以行使同意撤回權(quán)的方式來防衛(wèi)自身的人格利益，而這種對自身人格利益的維護往往并不需要任何額外的經(jīng)濟激勵動因。該質(zhì)疑的另一理由是，個人信息主體會因擔心喪失已有的服務(wù)或某些產(chǎn)品功能會受到限制等顧慮而不積極行權(quán)。對此，《草案》第17條已明確規(guī)定：個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由，拒絕提供產(chǎn)品或者服務(wù)。該條從法律的角度保障了個人信息主體撤回同意之后的合法權(quán)益，使得個人信息主體消除了對撤回同意之不利后果的擔憂，掃清了行權(quán)的最后障礙。

結(jié)　語

近些年來，各國的個人信息、隱私和數(shù)據(jù)立法也在突飛猛進，為立法及司法工作提出了新的要求。要實現(xiàn)兼顧保護個人信息權(quán)益與促進個人信息合理利用的雙重目標就需要更加細化把握每個具體的制度定位及其實施細節(jié)。鑒于告知同意模式存在的固有缺陷，應(yīng)當引入同意撤回權(quán)，以賦予個人信息主體更多自主選擇的空間，使得個人信息主體真正享有“決定權(quán)”。同意撤回權(quán)作為人格權(quán)體系下的撤銷權(quán)，其行使應(yīng)遵循對人格利益的許可撤銷的規(guī)則，不僅不應(yīng)受到過多限制，也不應(yīng)以主體受到實際損害為前提，同時一般亦不具有溯及力。在行政監(jiān)督與行政執(zhí)法已經(jīng)相當有力的前提之下，要注意避免對信息處理者進行“一刀切”式的強制性立法，將同意撤回與刪除權(quán)清晰分離，為個人信息主體提供更多具有可行性的替代解決方案。此外，應(yīng)在借鑒其他國家制度運行成敗經(jīng)驗的基礎(chǔ)上，選擇適合我國的立法路徑，以推出一部真正適合中國的個人信息保護立法。