我國《個人信息保護法》（以下簡稱《個信法》）于2021年11月1日起正式施行，標志著我國以《網絡安全法》《數據安全法》和《個信法》為基礎構建的信息數據法律體系已經基本建設完畢。如此強力的全方位監管對各大金融機構、征信機構和數據驅動型企業來說，意味著針對個人信息野蠻掘金的時代正式結束。合法合規是唯一的出路。

《個信法》中規定的“同意撤回”既是一個在中國法律體系內的重要創新，也是目前是持續困擾企業的一個關鍵問題。既然“同意撤回”是本次企業數據合規的重中之重，那今天颯姐法律團隊就以此為主題，與大家聊一聊企業在面對此問題時該如何應對。

No.1

知情同意——個人信息采集的合法性基礎

眾所周知，知情同意是我國《個信法》的核心，那為什么《個信法》要圍繞知情同意去構建？

根本原因就在于，知情同意是個人信息采集的合法性基礎。同意原則是私法領域最重要的原則之一，其直接體現了權利主體的自由意志和私法自治的核心精神內涵，深深地根植于人類長期建立的契約自治理論中。中國政法大學的鄭佳寧老師認為，互聯網用戶與企業之間的種種交易屬于合同契約，用戶信息的采集也在其列。此時，互聯網企業按照“服務協議”、“產品使用協議”等合同契約為用戶提供網絡產品或服務，而用戶則以個人信息為企業貢獻價值。

因此，當且僅當用戶作出同意之意思表示，并自愿進入包含信息采集內容的契約關系時，企業對個人信息的采集方才具備了正當化基礎。而鑒于知情是用戶對信息采集行為作出同意表示的必然邏輯前提，“知情-同意”即構成了個人信息采集的核心原則。

《個信法》賦予了信息主體對于其個人信息的控制權，這既是對我國《憲法》第33條“國家尊重和保障人權”的落實，也是對公民信息自決權的回應。但正如無救濟則無權利一樣，無撤回也就沒有真正意義上的“同意”。同意撤回應運而生。

No.2

同意撤回的法律性質

《個信法》第15條明確：基于個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。

同意撤回是指個人信息主體基于“告知同意”原則，對自己作出的“同意信息處理者對其個人信息進行處理”的授權予以撤回的意思表示。

我國學者普遍將同意撤回權定性為人格權體系下的撤銷權。這就意味著：

01

同意撤回權屬于形成權

對于同意撤回權法律不設門檻，信息主體行使權利不以其受到損害為前提，僅需單方面向信息處理者明確的發出撤回同意的意思表示即可產生法律效力。

02

同意撤回權屬于撤銷權

個人信息主體可以通過行使同意撤回權禁止信息處理者對其個人信息的后續處理行為。

企業需要注意到，既然該權利屬于人格權體系下的撤銷權，那么其必然與普通民事權利不同，集中體現在以下幾個方面：

（1）法律更傾向于保護意思表示主體行使權利的便利性。這也就意味著除非信息主體具有故意或重大過失，即使信息主體行使同意撤回權會給信息處理者造成損失，信息處理者也不擁有損害賠償請求權。此舉是為了防止給信息主體行使同意撤回權帶來顧慮，進而架空了同意撤回制度。

（2）同意撤回權的行使體現人格利益的特性，關系人格存續、生存利益和倫理道德且不帶有直接的財產利益，故不受訴訟時效、除斥期間等限制。

（3）同意撤回不具有溯及力。關于溯及力的問題直接規定在《個信法》第15條第二款中：個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。同意撤回不具有溯及力的目的在于保障企業合法處理個人信息時不因信息主體撤回同意而受到較大影響。

No.3

企業應對同意撤回的現狀

目前來看，企業在應對同意撤回方面的表現仍然不盡如人意，尚存在較大的合規風險。

近日，南方財經合規科技研究院出具了一份企業合規調查報告，基于調查目前市面上主流的20款社交資訊類App顯示，有一半的主流App尚且無法在應用內或通過App直接跳轉手機系統設置，直接關閉授權。在所有20款被調查的App中，僅有2款撤回同意操作便捷，步驟簡單。某著名社交App甚至需點擊6次才可進入APP內的“授權管理”功能，并且實際需要點擊更多次才能真正關閉相關授權?？梢?，當前企業在個人信息撤回同意方面合規風險較高，應盡快提高重視。

No.4

如何合規應對同意撤回

在個人信息野蠻掘金的時代，金融機構、互聯網公司等企業的應用軟件（app）往往通過“不同意就不能用”的手段強制向用戶索權，而用戶一經同意往往難以撤銷。在各個應用軟件的用戶隱私協議中顯示，撤銷授權的唯一途徑就是主動注銷賬號，并沒有設置專門的“同意撤回”按鈕，而一旦注銷賬號用戶也就理所當然的失去了正常使用的權利。正因為如此一刀切的做法一直以來備受詬病。

現如今，依據《個信法》第15條的規定：“個人信息處理者應當提供便捷的撤回同意的方式。”企業必須為用戶提供撤回同意的選項，并且應當以“便捷”的方式提供。對于“便捷”的具體標準目前尚且有待立法機關和司法機關作出權威解釋，但目前亦可參考2019年由國家網信辦、工信部、公安部、市場監管總局聯合制定的《App違法違規收集使用個人信息行為認定方法》中，關于“隱私政策等收集使用規則難以訪問，如進入App主界面后，需多于4次點擊等操作才能訪問到”的規定，將撤回同意是否需要用戶4次以上的點擊作為參考來認定“便捷”的標準。

同時，對此問題大部分學者主張“便捷”的標準指的是撤回同意應當與App取得用戶同意的方便程度相當，以此設置同意撤回。此觀點來源于歐盟《通用數據保護條例》（REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL，簡稱GDPR）第7條第3款中“撤回同意應當和表示同意一樣簡單”的規定（The data subject shall have the right to withdraw his or her consent at any time......It shall be as easy to withdraw as to give consent. ）知情同意與同意撤回本身即為信息主體自身自信自決權的一體兩面，既然App為用戶提供了便捷的一鍵授權，那相應的也就應當為信息主體提供一鍵撤銷功能，并且在App的主要交互界面以簡單易找的方式顯示。

在知情同意目前可以直接參考使用的規范化模板方面，國家稅務總局稅務部門于2021年11月1日針對《個信法》要求的采集、使用個人信息前的知情同意和撤回同意制度，專門制作了下發各部門的同意書和撤回同意書以及針對需取得個人單獨同意的敏感信息人臉識別信息的服務協議和單獨告知書，企業可以自行登錄國家稅務總局官方網站下載參考（抄作業）。

No.5

寫在最后

如今《個信法》已經生效并成為刑法侵犯公民個人信息罪的前置法，企業在面對收集公民個人信息的知情同意和同意撤銷面前一定要慎之又慎，防止在正常經營的過程中觸犯刑法。就現階段而言，無論是自行創新還是抄作業，企業做到合規的結果是應有之義。用某位法學大佬的話說，在具體監管規則較為模糊的地帶，你只要做到監管機構也想不出更好的辦法，那就大概率合規合法。