程啸：论个人信息处理中的个人同意

       内容提要：在法律、行政法规未作特别规定时，处理个人信息应当取得个人同意，否则即属违法。个人信息处理中的个人同意不是作为法律行为核心要素的意思表示，不属于人格权商业化利用中权利人的许可。就个人同意的性质而言，从消极方面看是违法阻却事由，即排除了客观上侵入个人信息权益的处理行为的非法性，而从积极方面看，则属于个人信息处理的合法根据。意思表示的瑕疵及撤销、撤回的规则不能当然适用于个人信息处理中的个人同意。个人同意的生效须具备同意能力、充分知情、真实自愿及明确具体等要件。我国个人信息保护法中规定的明确同意、单独同意与书面同意这三者间既有联系又有区别。

       关键词：个人信息处理　个人同意　违法阻却事由　意思表示　单独同意

       引  言

       告知同意也称知情同意，是个人信息处理中最基本的法律规则，也是判断个人信息处理活动合法与否的根本标准。换言之，除非法律另有规定，否则，只要没有告知并取得个人同意而处理个人信息的活动，都是非法的。在个人信息的“全生命周期”中，知情同意是一道“闸口”，无论是信息采集、利用，还是相应转换、转移，均绕不开“知情同意”。所谓告知同意规则，是指任何组织或个人在处理个人信息时，均应向其个人信息被处理的个人告知相应的事项，并在取得该个人（或者其监护人）的同意后，方可从事相应的个人信息处理活动。告知同意规则包含告知与同意两个部分，紧密联系，不可分割。一方面，处理者在处理个人信息前如果不将相应的事项如处理目的、处理方式等真实、准确且完整地告知个人的，个人事实上就无法对其个人信息被处理作出同意，即便同意也不是真实的、自愿的；另一方面，虽然个人信息处理者履行了告知义务，但是并未取得个人的同意，或者在取得个人的同意后，超出同意的范围而处理个人信息，该处理活动也是非法的。

       告知同意规则最早为1970年德国黑森州《数据保护法》（Data Protection Act）所确认，目前已经成为绝大多数国家个人信息保护法承认的基本规则。我国个人信息保护领域的法律也明确采取了这一规则。早在2012年，《全国人民代表大会常务委员会关于加强网络信息保护的决定》就明确要求，网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。2017年施行的《网络安全法》第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”2021年1月1日起施行的《民法典》第1035条第1款更明确规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。”

       2021年8月20日，第十三届全国人大常委会第三十次会议审议通过了《个人信息保护法》，该法是我国第一部个人信息保护方面的专门法律，不仅明确地将告知同意规则作为个人信息处理活动的合法性基础，还对于该规则作出了详细的规定，包括同意的效力与要件、同意的类型、同意的撤回、告知的方式与内容、免除告知义务情形、各类具体的处理中的告知与同意等。《个人信息保护法》总计74个条文，而直接涉及到告知同意规则的条文就达15条之多，告知同意规则的重要性可见一斑。不过，理论界对于告知同意规则中个人同意的性质（是否属于意思表示）等问题仍有不同的认识，此外，《个人信息保护法》又新增加了单独同意这一同意的类型，应当如何理解与适用，也有不同的看法。有鉴于此，本文将对个人信息处理中个人同意的三个重要问题进行研究，以供理论界与实务界参考。首先，个人信息处理活动中个人同意的性质为何，是否属于意思表示或者人格权商业化利用中的许可？其次，同意的有效要件包括哪些，为什么同意能力与民事行为能力有所不同？再次，明确同意、单独同意以及书面同意之间的关系如何？

       一、个人同意的性质

       告知同意规则要求个人信息处理者原则上必须取得其个人信息被处理的个人的同意后，才能对个人信息进行相应的处理活动。因此，取得个人的同意（Consent/Einwilligung）在个人信息处理中非常重要。无论个人信息处理活动的合法性根据有多少，个人的同意都是其中最重要的一类，这一点在比较法和我国法上都有鲜明的体现。我国《个人信息保护法》第13条第1款在列举个人信息处理活动的合法根据或理由时，第一个列举的就是“取得个人的同意”，同条第2款明确规定：“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”不过，对于何为个人同意，该法并未作出规定。在比较法上，大多数国家和地区的法律也基本上并不界定什么是个人同意，而只是对于同意作出相应的要求而已。例如，欧盟《一般数据保护条例》（GDPR）第4条第11款在界定“数据主体的同意”（consent of the data subject）时，规定：“数据主体依其个人意愿而自由、明确、知情且清晰地通过陈述或积极行为就与其相关的个人数据的处理作出的同意。”再如，2018年巴西《通用数据保护法》（Lei Geral de Proteção de Dados，LGPD）第5条第12款规定，同意是“数据主体同意为特定目的处理其个人数据自由、知情和明确的声明”。值得注意的是，我国台湾地区“个人资料保护法”明确将同意界定为“意思表示”，其中第7条第1、2款规定：“第十五条第二款及第十九条第一项第五款所称同意，指当事人经搜集者告知本法所定应告知事项后，所为允许之意思表示。第十六条第七款、第二十条第一项第六款所称同意，指当事人经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后，单独所为之意思表示。”

       （一）性质之争

       在我国个人信息保护法的起草过程中，《个人信息保护法（一审稿）》第14条第1款第1句曾规定：“处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示。”从该规定可知，立法机关曾将个人信息处理中的个人同意看作是一种意思表示。不过，《个人信息保护法（二审稿）》第14条则删除了“意思表示”一词，该条第1款第1句被修改为：“处理个人信息的同意，应当由个人在充分知情的前提下自愿、明确作出。”正式颁布的《个人信息保护法》第14条第1款第1句则规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。”由此可见，我国《个人信息保护法》不再将“同意”规定为“意思表示”，同时也对有效的个人同意的要件作出规定。

       我国理论界对于个人信息处理中的个人同意的性质，有不同的看法，主要包括两种观点。

       第一种观点为双重属性说。此说认为同意具有双重属性，一方面，它是侵权法上阻却违法的事由；另一方面，它又是法律行为。换言之，在合同与侵权领域中，个人同意有不同的涵义。在侵权领域中，“同意”作为侵权法上的免责事由可归入“受害人同意”的范畴，在构成要件上包括必须有明确具体的内容、受害人须具有同意能力、同意必须真实自愿、加害人必须尽到充分的告知说明义务；在合同领域中，同意可能成为相关合同给付内容的一部分，因此当事人须具备相应的行为能力。持双重属性说的学者主要是从个人信息既存在消极防御也存在积极利用的角度出发来认识同意的性质，即从消极防御的角度说，同意就是违法阻却事由，从积极利用的层面看，同意就是个人在授权他人商业化利用其个人信息的许可。

       第二种观点是单一属性说。此说又可分为权益处分说、意思表示说。权益处分说认为，“同意”是一种对于个人信息权益的处分，但是，这种处分不能脱离商品或服务合同的语境而单独存在，只能被视为个人信息主体为了获得相应商品或服务而必须作出的权利处分。意思表示说认为，同意本身是自然人作出的意思表示，我国《民法典》总则编关于意思表示的规定完全可以适用于自然人就个人信息处理所作出的同意。故此，自然人因欺诈、胁迫或重大误解而作出的意思表示，是可以撤销的意思表示。

       （二）积极与消极层面上的性质界定

       前述关于个人信息处理中的个人同意的性质之争，虽有一定道理，但是笔者认为，个人同意既不具有双重属性，也并非意思表示以及人格权要素商业化利用中权利人的许可或权益处分行为。从其性质来看，在消极的层面上，个人同意属于违法阻却事由即免责事由，而在积极的层面上，个人同意是个人信息处理活动的合法根据或正当理由之一。具体阐述如下：

       第一，在个人信息处理中的个人同意并不涉及我国《民法典》第133条以下的民事法律行为。意思表示是指表意人向他人发出的表示，表意人据此向他人表明，根据其意思，某项特定的法律后果（或一系列法律后果）应该发生并产生效力。民事法律行为是民事主体通过意思表示设立、变更、终止民事法律关系的行为。民事法律行为可以基于双方或多方的意思表示一致成立，也可以基于单方的意思表示成立。因此，意思表示是民事法律行为的核心要素。但是，在个人信息处理中个人所作出的同意却不是意思表示，不属于民事法律行为。这是因为，个人对于个人信息处理者就其个人信息所要实施的处理活动而作出的同意，并非旨在发生民事法律后果的内心意思的外在表示，个人与个人信息处理者之间也没有就设立、变更、终止民事法律关系达成合意。也就是说，个人信息处理中作出同意的个人实施的不是民事法律行为（Rechtsgeschaeft），而是“法律行动”或“法律上的行为”（Rechtshandlung）。区分法律行为和法律上的行为的标准在于：“如果法律秩序的规定涉及形成法律关系的行为，也即所涉及的是法律上的规则，则它属于法律行为的事实构成；如果法律秩序针对某一事实构成规定法律效果，就该事实构成而言，行为不以法律效果的法律发生为目的，也即它不能被视为法律上的规则，则它属于法律上的行为。”个人仅仅是同意他人在其个人信息权益的范围内从事某些事实上的行为而已，如个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。正是有了这种同意，个人信息处理行为才不是非法的行为，具有了合法根据。也就是说，个人同意和法律所规定的事由都属于个人信息处理活动的合法根据而已。正因如此，我国《个人信息保护法》第13条第1款才将第1项“取得个人的同意”，与第2项“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”至第7项“法律、行政法规规定的其他情形”等并列为个人信息处理者处理个人信息的七类合法根据。

       第二，将个人同意的性质理解为意思表示将导致民法中关于意思表示的法律规则被错误地适用于个人信息处理活动当中。具体表现在以下两方面：一方面，混淆民事行为能力与同意能力。民事法律行为和意思表示的合法性判断是一致的，无论是有效的法律行为还是有效的意思表示，都要求相应的民事主体具备民事行为能力。如果将个人同意作为意思表示，不仅意味着无民事行为能力人在个人信息的处理中不能作出同意，而且限制民事行为能力人在很多时候也不能同意其个人信息被处理，处理者必须取得限制民事行为能力人的监护人的同意。然而，无论是比较法还是我国法都未作此要求，而只是规定了某一年龄以下的未成年人的个人信息被处理时，需要取得该未成年人的监护人同意。例如，比利时、丹麦、芬兰、英国、瑞典、拉脱维亚等国家将该年龄规定为13周岁，奥地利、意大利、西班牙等国规定为14周岁，法国规定为15周岁，德国、匈牙利、卢森堡等国则规定为16周岁。我国法律则明确规定为14周岁，也就是说，只有14周岁以下的未成年人才不能就其个人信息被处理作出同意，即不具备同意能力。如果是14周岁以上，即便是未成年人即限制民事行为能力人，同样具有对其个人信息被处理予以有效同意的能力。《个人信息保护法》第31条第1款规定：“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。”《未成年人保护法》《儿童个人信息网络保护规定》中也分别规定处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意。之所以就个人信息处理中个人同意的年龄作出不同于民事行为能力的规定，原因有二：其一，个人信息处理活动不是一种交易行为，而是对个人信息进行收集、存储、加工、使用、提供等活动的事实行为，客观上构成对个人信息权益的侵害，不能将适用于交易行为的民事行为能力套用在其上。其二，个人信息处理中的个人同意的有效性还受到个人信息保护法中其他规定的制约，尤其是个人信息处理者是否充分地履行了告知义务。也就是说，即便是完全民事行为能力人在个人信息处理中所作出的同意也并非是有效的，因为个人信息处理者很可能没有真实、准确、完整地向个人进行告知，以至于该完全民事行为能力人所作出的同意很可能不是自愿的。

       另一方面，错误地将意思表示的撤销和撤回适用于个人信息处理中的个人同意。依据《民法典》第141条，行为人可以撤回意思表示。撤回意思表示的通知应当在意思表示到达相对人前或者与意思表示同时到达相对人。要约也可以撤回，适用的是与意思表示撤回相同的规定（《民法典》第475条）。意思表示的撤销主要是指要约的撤销与法律行为的撤销。由于民事法律行为是基于双方或者多方的意思表示一致而成立的，还可以基于单方的意思表示而成立，故此，意思表示应当是真实自由的，不存在欺诈、胁迫、错误等瑕疵。否则，该民事法律行为就是可撤销的。由于撤销权是形成权，其长期存在不利于稳定法律关系，故此撤销权存在除斥期间，期间届满而没有行使撤销权的，则该权利归于消灭（《民法典》第152条）。民法上关于意思表示的撤回、撤销以及撤销权的除斥期间的规定，都不能适用于个人信息处理中的个人同意。具体而言，包括以下两个方面：

       一方面，只要是基于个人同意处理个人信息的，个人有权随时撤回同意（withdrawal of consent）。《个人信息保护法》第15条第1款规定：“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”这就是说，个人撤回同意是无条件的，只要想撤回，就可以撤回，既不需要法律上规定的理由，更无须向处理者说明理由。不仅如此，法律上不存在对个人撤回同意的权利的其他限制，撤回权不存在适用《民法典》规定的除斥期间的问题。同样，处理者也不能通过格式条款或其他任何方式与个人约定撤回权行使的期间，限制或剥夺个人的撤回权。如果存在这些条款或约定，均属无效。在个人信息处理的任何阶段，个人均可以撤回同意，也就是说，不仅仅是在个人信息被收集的阶段，也包括加工、存储、使用、提供、公开等各个此前个人同意的处理方式的阶段，个人均可以撤回同意。之所以个人有权随时撤回同意，就是因为个人对于其个人信息处理享有决定权，其有权限制或者拒绝他人对其个人信息进行处理，除非法律、行政法规另有规定（《个人信息保护法》第44条）。个人信息上承载了法律给予保护的自然人享有的非常广泛的权益，既包括宪法上的人格尊严、人身自由等基本权利，也包括人身权益、财产权益等民事权益。如果一旦个人作出了同意，就不能撤回或者很难撤回，那么个人的同意就不可能是真正的同意，其对个人信息的处理就没有真正的决定权，如此一来，是无法充分地维护人格尊严和人身自由的。如果不能正确地认识个人同意的性质，将其理解与意思表示相混淆，就会出现将撤回同意理解为撤销同意，甚至产生要求个人承担赔偿责任的错误认识。例如，有观点认为，当同意并不直接涉及合同交易领域时，可随时撤回同意，该行为仅仅是对他人行为违法性的排除；当“同意”涉及具体的合同交易领域时，则应当比照适用典型合同中的任意撤销权规则，对个人信息主体的“同意撤回权”作出一定限制，当其撤回给信息处理者造成损失时，应当承担损害赔偿责任。

       另一方面，就法律行为的撤销而言，撤销权的行使具有溯及力。但是，在个人信息处理中的个人撤回同意则不具有溯及力。也就是说，个人撤回同意不影响撤回前基于个人同意已经进行的个人信息处理活动的效力，只要这些处理活动本身并不存在其他违法之处。我国《个人信息保护法》第15条第2款规定：“个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”所谓不影响效力，是指不影响这些个人信息处理活动仍被认为是基于个人同意而进行的处理活动，个人不得以其撤回同意为由要求处理者承担侵害个人信息权益的民事责任，依法履行个人信息保护职责的机关也不得以个人已经撤回同意为由，认定撤回前基于个人同意已经进行的个人信息处理活动是违法的，进而追究处理者的行政责任或刑事责任。之所以撤回同意不影响此前处理活动的效力，目的不是要保护个人信息处理者对个人的某种信赖，因为不存在这样的信赖。但是，在允许个人可以随时撤回同意的情形下，由于处理者必须随时做好个人会撤回同意的准备，所以为了实现个人信息权益的维护与个人信息的合理使用之间的利益平衡，法律上必须作出这样的规定，这也是诚信原则与公平原则的要求。

       第三，个人同意并非个人将自己的个人信息许可他人使用的意思表示。我国《民法典》承认人格权的商业化利用，依据《民法典》第993条，民事主体可以将自己的姓名、名称、肖像等许可他人使用，但法律规定或者根据其性质不得许可的除外。问题是，个人信息是否可以许可他人使用呢？《民法典》第993条只是列举了“姓名、名称、肖像”，其中并未包括个人信息。但是，由于该条中有“等”字兜底，因此学者认为可以将个人信息解释进去，即个人信息也可以成为许可利用的对象，这是因为“从本质上讲，个人信息本身就兼具人身属性和财产属性，绝大多数个人信息都可以进行经济利用，如将个人信息汇聚成大数据由他人共享，或者用于商业分析和用于商业规划等”。笔者认为，现有的个人信息处理的法律规则以及个人的权利、处理者的义务都不是建立在将个人信息权益作为兼具人格权和财产权的基础之上的，它们只是建立在个人信息权益属于人格权益的基础上的。

       从数据利用的层面上来说，海量的个人信息构成的大数据当然具有很大的价值，但是，一个个自然人的个人信息本身无法进行商业化的许可利用。

       首先，姓名、肖像也属于自然人的个人信息，其可以被商业利用，这一点毫无疑问。但是除此之外的个人信息如身份证号码、行踪轨迹、金融账户、医疗健康、家庭住址、习惯偏好等无法直接被商业化利用，即便是明星等名人也无法许可他人使用。这是因为，许可是权利人将其权利允许他人在一定时间以及一定地域范围内实施或使用的意思表示，如许可他人将自己的姓名使用在某种商品上、注册为商标或者在某项服务上使用。显然，除了姓名、肖像之外的个人信息无法被这样使用。

       其次，承认个人信息的许可使用，直接导致的后果就是，个人与个人信息处理者之间形成许可合同法律关系。比较典型的许可合同如《民法典》规定的肖像许可使用合同、技术许可合同，《著作权法》中的著作权许可使用合同，《商标法》中的商标使用许可合同等。许可合同的核心特征就在于其属于双务合同，许可人的主给付义务为授予许可或授予使用权，而被许可人的对待给付义务就是支付相应的费用。如果将个人信息处理中的个人同意理解为许可处理者对个人信息商业化利用的意思表示，或者是授权处理者对个人信息的使用权，就必然意味着二者之间形成了许可合同这一双务合同关系，双方互负义务、互享权利。至少个人信息处理者要向个人支付费用，个人许可处理者使用其个人信息。然而，事实并非如此。一方面，个人信息处理者只是需要取得个人的同意后才能处理个人信息，处理者并未因为个人的同意而取得对该个人的个人信息的专有或非专有的使用，处理者也并未向个人支付任何的费用；另一方面，就个人而言，其也不存在因为同意了这个处理者处理其信息，就不能同意其他的处理者处理其个人信息。即便处理者有这样的约定，该约定也是无效。不仅如此，个人还有权随时撤回同意。显然这一切都说明，个人同意并没有导致个人与个人信息处理者之间成立个人信息许可使用合同。有些学者希望未来个人信息的保护和利用能够朝着“普遍免费+个别付费”或“引入经济激励”的方向发展。姑且不论目前还没有国家采取这种做法，即便要采取这种模式也会面临很大的问题，就是当基于个人同意处理个人信息的活动成为个人信息的交易后，个人信息处理中处理者和个人的权利义务关系必将发生本质改变（如个人是否还有权随时撤回同意就值得怀疑了），这对于个人信息保护究竟是有利还是有害，很值得怀疑！

       有鉴于同意与许可的区别，我国《民法典》人格权编中明确区分了人格权主体的同意和许可他人使用。作为规范人格要素商业化利用的核心条款，《民法典》第993条明确使用的就是“许可”他人使用的表述。不仅如此，在对能够商业化利用的人格要素的具体规定中，《民法典》更是明确区分了许可与同意。以最为典型的能够商业化利用的人格权——肖像权为例，在规定侵害肖像权的行为时，《民法典》第1019条使用的是未经肖像权人“同意”的表述。而在规定肖像权人对肖像进行商业化利用时，《民法典》第1018条第1款采取的是“许可他人使用”的表述，同时，第1021条和第1022条还对肖像许可使用合同作出了特别的规定。

       （三）免责事由

       个人同意的性质可以从两方面加以认识。消极层面上，个人同意属于违法阻却事由，其功能在于针对那些法益侵害行为发挥正当化的效力。违法阻却事由是区分违法性与过错的立法例中采取的概念。德国法上认为，违法阻却事由是指对暂时认定的违法性的反驳，即法律所认可的针对假定违法性的一种的特殊例外，具体包括正当防卫、紧急避险、自助行为、维护正当利益和同意等。

       我国《民法典》没有明确区分违法性与过错，学说上通常不使用“违法阻却事由”的概念，而是用“免责事由”一词来包含违法阻却事由。在我国《民法典》中，免责事由包括：不可抗力（第180条）、正当防卫（第181条）、紧急避险（第182条）、自愿实施紧急救助行为（第184条）、受害人故意（第1174条）、第三人行为（第1175条）、自甘冒险（第1176条）、自助行为（第1177条）以及同意（第1219条、第1036条）。在这些免责事由中，有些是通过排除加害行为与权益被侵害之间的因果关系以致侵权责任不成立；有些则是排除行为的违法性（或过错）而使得行为人无需承担侵权责任。前者如受害人故意、第三人行为等，后者如同意、自助行为、紧急避险、正当防卫。从积极层面上看，个人信息处理中的个人同意为个人信息处理行为提供了合法根据，排除了该行为的非法性，从而使得处理行为具有合法基础，不构成对个人信息权益的侵害行为。具体来说，个人同意所引发的私法上的法律效果为：取得同意的处理者只要是在个人同意的范围（包括自然人所同意的处理主体、处理目的、处理方式和处理的个人信息种类等）之内，从事个人信息处理行为，那么该行为就不构成侵害行为，不具有非法性。自然人针对个人信息享有受法律保护的权利，也称个人信息权益。广义上的个人信息权益既包括个人信息上承载的人格尊严、人身自由等宪法权利，也包括自然人的人身权益、财产权益等民事权益。狭义的个人信息权益，则仅指我国《个人信息保护法》《民法典》所赋予的自然人对其个人信息享有作为民事权益的人格权益。自然人享有个人信息权益意味着，其他组织或个人应尊重而不得侵犯该权益，承认自然人的个人信息权益就必然导致对他人行为自由的限制。处理者对个人信息进行的任何处理行为（无论是收集、存储、使用，还是加工、传输、提供、公开等），客观上就构成对个人信息权益空间的侵入或干扰，违反了法秩序，具有（暂时认定的）非法性。要排除这种非法性，就必须具备法律上的正当性。在个人信息保护法上，此种正当性要么来自于个人的同意，要么来自于法律、行政法规的规定即法定的许可（legal permission），二者构成了全部个人信息处理的法律基础。作为个人信息权益主体的个人，可以对自己的权益进行合法处分，其可以自行行使该权益，也可以同意他人对自己民事权益的干涉。因此，在得到民事权益所有者的同意后，被同意者实施的客观上侵害他人民事权益的行为，对于同意者而言，就不构成侵害。当然，法律、行政法规也可以基于促进个人信息的合理利用、维护公共利益、国家利益等理由而特别规定某些情形下不需要取得个人的同意就可以处理其个人信息。故此，我国《民法典》第1035条第1款第1项规定，处理个人信息必须“征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”。所谓法律、行政法规另有规定的除外，如《民法典》第1036条规定的两种情形以及《个人信息保护法》第13条第1款第2-7项列举的各种情形。

       事实上，《个人信息保护法》中规定的个人信息处理中的个人同意，与《民法典》第1219条规定的诊疗活动中患者（或其近亲属）的同意以及《民法典》第1008条规定的受试者或者受试者的监护人的同意，这三种活动都必须遵循告知同意规则，其中，个人同意的性质也是相同的。就个人信息处理者要实施的个人信息处理活动而言，如前所述，其在客观上构成了对自然人的个人信息权益的侵害，因此必须具备合法的理由（muss gerechtfertigt werden）。告知并取得个人的同意，就是这样的一个重要的合法理由。同样，医疗机构或者医务人员实施的诊疗活动也构成对患者身体权或健康权的侵害，符合人身伤害（Koerperverletzung）的客观事实要件，也必须具备合法的理由，即取得患者或者近亲属的明确同意。为研制新药、医疗器械或者发展新的预防和治疗方法，需要进行的临床试验，可能对受试者生命健康权造成侵害或危险，故此必须向受试者或者受试者的监护人告知试验目的、用途和可能产生的风险等详细情况，并经其书面同意。当然，由于医疗活动和临床试验涉及到自然人的生命权、身体权、健康权等最高位阶的权益，故此，除了告知并取得个人同意外，诊疗活动的合法事由仅有一种情形，即《民法典》第1220条所规定的“因抢救生命垂危的患者等紧急情况，不能取得患者或者其近亲属意见的，经医疗机构负责人或者授权的负责人批准，可以立即实施相应的医疗措施”。至于临床试验，除了向受试者或者受试者的监护人告知试验目的、用途和可能产生的风险等详细情况，并经其书面同意外，没有其他的合法事由。但是，在个人信息处理中，由于个人信息权益的效力位阶并非如生命权、身体权和健康权那么高，且个人信息的合理利用对于整体社会福利也是非常必要的，故此，《个人信息保护法》同时以保护个人信息权益和促进个人信息合理利用为立法目的。在这一立法目的要求下，除了取得个人同意外，还存在很多其他个人信息处理的合法事由，对此《个人信息保护法》第13条第1款第2-7项作出了详细列举。

       二、个人同意的有效要件

       在个人信息处理中，个人作出的同意必须符合一定的要件才是有效的。这是因为，对个人信息的处理客观上构成对自然人个人信息权益的侵害，并且会带来各种风险，对个人权益影响重大。为了更好地保护自然人，法律上应当明确个人同意的有效要件。欧盟《一般数据保护条例》第4条第11款规定了有效同意必须具备四个要件：（1）自由作出的（freely given）；（2）具体的（specific）；（3）被告知的（informed）；（4）明确的（unambiguous）。这一标准被认为提高了有效同意的门槛，而欧盟数据保护机构也倾向于严格地解释这四项标准。我国《民法典》《网络安全法》等法律没有对同意的有效要件作出规定。《个人信息保护法》第14条第1款第1句对同意的有效要件作出规定：“处理个人信息的同意，应当由个人在充分知情的前提下自愿、明确作出。”具体而言，个人信息处理中个人同意的有效要件包括以下几项。

       （一）同意能力

       在个人信息处理中，只有当作出同意的自然人具有同意能力（capacity to consent）时，所作出的同意方属有效。《美国侵权行为法重述（第二次）》［Restatement（Second）of Torts］第892A条第2款规定，有效的同意，是指有同意能力的人或经授权代理作出同意的人所作出的同意，且该同意是就特定行为而作出的或就实质上相同的行为而作出的。同意能力不同于行为能力。在法律行为制度中，为了维护交易安全从而要求从事法律行为的当事人必须具备行为能力，无民事行为能力人必须由其法定代理人代理实施民事法律行为，其单独实施的民事法律行为属于无效的民事法律行为；限制民事行为能力人实施民事法律行为要由其法定代理人代理或者经其法定代理人同意、追认，未经同意或追认的法律行为无效或者相对人可以撤销，但是，限制民事行为能力人可以独立实施纯获利益的民事法律行为或者与其年龄、智力、精神健康状况相适应的民事法律行为。

       如前文所述，个人信息处理中的个人同意并非意思表示，并没有表述任何指向某个法律效果的意思表达（Willensaeusserung），而只是指向一种简单的法律行动，故此，同意不是法律行为，不适用法律行为的特别要件。其对自己权益的处分，不能完全适用民法中关于行为能力的规定。德国民法通说认为，受害人的同意能力不能以有行为能力作为判断标准，应以个别案件中受害人的识别能力作为标准。德国联邦最高法院的判例认为，“如果根据一名未成年人精神上和道德上的成熟程度，能够衡量侵害行为以及同意侵害的意义和后果”，那么该未成年人表示同意即可。英美侵权法也认为，同意能力不同于行为能力。同意能力是一个人对其决定的性质、程度以及可能产生的后果的理解能力。儿童、醉汉、神志不清的人、精神病人或者低智能者作出的同意一般是无效的，他们的同意只能由监护人作出。

       依据我国《个人信息保护法》第31条第1款以及《未成年人保护法》第72条第1款的规定，个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。故此，年满十四周岁的人都具有同意能力，其可以在个人信息处理中作出同意，十四周岁以下人不具有同意能力。至于已经年满十四周岁，但因疾病等原因而不能辨认或不能完全辨认自己行为的人，其在个人信息处理中是否具有同意能力，需要根据具体情形加以判断。

       （二）同意系个人在充分知情的前提下作出

       任何有效的同意都应当在同意者充分知情的前提下作出。如果不知情，那么这种同意则不是真实的，是无效的。例如，在医疗过程中，医生在为病人从事医疗行为时必须尽到充分的告知与说明义务。医生必须将从事医疗行为的必要性、危险性等各方面的信息充分传达给受害人，如果受害人对此不具有充分的识别能力，那么医生须将此等信息告知给他的法定代理人。在英美以及德国，法律以及法院的判例都对医生的告知说明义务作出相应规定。法院的判例认为，当就告知、说明义务发生疑义时，医生应当举证证明自己充分履行了该义务。我国《民法典》第1219条第1款也对医务人员说明义务和患者知情同意权作出规定。

       由于在个人信息处理活动中，处理者与个人之间的信息是不对称的，因此同意规则必须与告知规则密切联系，即要求处理者必须充分地告知，从而确保个人是在充分知情的前提下而作出同意的。否则，处理者不告知或告知不充分，而个人在完全不知情或不充分知情的情况下所作出的同意，就是无效的。简言之，个人信息处理者为处理个人信息而取得个人同意之前，应当履行告知义务，为个人提供相应的知识。例如，处理者应告知个人，处理其个人信息的主体是谁，处理的目的是什么，处理的方式与范围如何等相关知识。这一要求也是个人信息处理中的透明原则的要求。该原则是指处理个人信息时应当采取公开、透明的方式，公开个人信息处理的规则，向信息主体明示个人信息处理的目的、处理的方式和处理的范围。之所以要确立透明原则，是因为自然人对其个人信息的处理享有知情权和决定权。如果个人信息处理者不以公开、透明的方式处理个人信息，而是采取隐秘的、暗箱操作的方式，那么即便个人表示了同意，其同意也不是真实的同意，此种处理行为也属于非法处理行为。对此，欧盟《一般数据保护条例》在导言部分的第39条有清晰的说明：“透明性原则要求任何有关这些个人数据处理的信息和通信都应可轻松获取且容易理解，并且使用通俗易懂的语言。……应当让自然人了解与处理个人数据有关的风险、规则、保障和权利，以及如何行使与处理有关的权利。特别是，处理个人数据的具体目的应清晰且合法，并在收集个人数据时予以明确。”包括欧盟《一般数据保护条例》在内的许多国家或地区的数据保护法和个人信息保护法都要求处理者必须遵循透明的原则。早在1980年《经济合作与发展组织关于隐私保护和个人数据跨疆界流动的指导原则》（OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）中就提出了公开原则，该指导原则要求：“应当公开有关个人数据的开发、应用和操作规程的一般政策。应当提供现实可行的手段以确定个人数据的存在状况、性质、使用目的以及数据控制者的身份和住址。”《巴西通用数据保护法》第6条第6款规定，个人数据处理应当遵循透明原则，即“保证数据主体能够就数据处理和相应的处理代理人获得清晰、准确和易得的信息，且遵守商业和企业机密”。2018年美国加利福尼亚州《消费者隐私法案》（California Consumer Privacy Act）在第2节“立法目的”中就明确指出：“人们期许隐私和其信息的更多控制。加利福尼亚消费者应当能够就其个人信息行使控制权，并且期待防治个人信息滥用的保护措施。企业可能在尊重消费者隐私的同时，就其企业活动提供高水平的透明度。”

       我国《民法典》第1035条要求个人信息处理者应当“公开处理信息的规则”“明示处理信息的目的、方式和范围”。《网络安全法》第41条第1款和《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条均对网络运营者、网络服务提供者收集、使用信息应遵循合法、正当、必要原则予以规定。《个人信息保护法》第7条更是将公开透明原则作为个人信息处理中的一项基本原则加以详细规定：“处理个人信息应当遵循公开、透明的原则，公开个人信息处理规则，明示处理的目的、方式和范围。”为了确保个人是在充分知情的前提下作出同意的，《个人信息保护法》第17条第1款规定：“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。”在个人无法或难以理解个人信息处理规则时，依据该法第48条，个人还有权要求个人信息处理者对其个人信息处理规则进行解释说明。此外，当个人信息处理者转移个人信息或者向他人提供其处理的个人信息时，应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类等事项（《个人信息保护法》第22、23条）。

       （三）同意是自愿且明确的

       同意必须是自愿的（voluntary），如果个人是在威胁、欺诈或胁迫的情况下而作出同意，那么这种同意就不是个人在有真正的选择权的情形下作出的，是不真实的、不自愿的。法律上不应当使个人承受这种基于不自愿的同意所产生的后果，故此，这种同意是无效的。法律上之所以要确保个人的同意必须是自愿作出，根本原因在于现代网络信息时代中个人信息处理者与个人之间的关系属于持续性的信息不平等关系。欧盟《一般数据保护条例》导言部分第43条规定：“特别是当控制者是公权力一方且基于特定情形下予以考虑的所有条件认为同意不可能是自愿作出的，该同意并不能成为该特定情形下个人数据处理的有效法律依据。”网络信息科技引发的处理者与个人之间的不对等关系表现在以下几个方面：其一，现代网络信息科技的发展，使得个人信息以前所未有的数量和种类被产生，个人常常不知道自己产生了什么样的个人信息；其二，现代信息网络社会使得社会生活被高度数字化，个人信息处理成为现代生产生活所必需的活动，个人缺乏拒绝或阻止个人信息被处理的能力，否则就要为此付出各种各样或大或小的代价。个人信息处理者留给个人的选项只有留下或离开。其三，算法和算力的提升使得个人信息处理的目的和方式具有无限可能性，加之算法的专业性与不透明性，就会使得个人信息处理对个人权益可能产生何种危险或损害，常常是个人难以了解的。正因如此，为了避免个人作出同意时受到强迫或陷入其他丧失选择自由的状态，我国《个人信息保护法》第14条明确规定，在基于个人同意处理个人信息时，个人作出的同意必须是自愿的。这就是说，个人信息处理者通过欺诈、胁迫或者误导等方式取得的个人的同意是无效的。例如，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第4条就规定：“有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持：（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”

       所谓同意是明确的，要求个人是以清晰、明白而非含糊的、模棱两可的方式表示同意。只要同意是以明确的方式作出的即可，至于是通过纸质、电子形式等书面方式，还是通过口头方式作出的，无关紧要。例如，欧盟《一般数据保护条例》导言部分第32条就指出，个人同意可以书面陈述（包括电子形式）或者口头声明、在浏览网页时在方框里打钩或其他陈述或行为等方式作出。再如，德国《联邦数据保护法》（Bundesdatenschutzgesetz）第51条第2款规定，如果数据主体的同意是在同时涉及到其他事项的书面声明中作出的，则对于同意的请求应以与其他事项明显区分的方式提出，且该请求应当易于理解且所使用的文字应当清晰明了。

       三、个人同意的方式与类型

       理论上说，同意可以是明示的（expressly），也可以是默示的（implied）。特殊情形下才可以是沉默。但是，由于《个人信息保护法》第14条第1款第1句已经明确规定，个人对于其个人信息被处理而作出的同意必须是在充分知情的前提下自愿、明确作出的，故此同意必须是明示的，而默示、预选方框或者不作为都不构成同意。所谓明示的同意，是指个人通过言语、文字等积极的行为即作为来作出对处理者实施的个人信息处理行为的同意。此种积极的行为，包括网络上关于是否同意处理其个人信息的对话框中的“同意”选项，也包括打电话给处理者口头告知同意其处理个人信息，以及通过填写电子表格、发送电子邮件或者上传包含个人电子签名的文档等积极作为的方式来表示同意。由于个人信息处理者负有举证证明取得个人同意的义务，故此，采取纸质或者电子方式的同意，对于处理者而言更为稳妥。从我国《民法典》以及《个人信息保护法》的规定来看，个人同意有以下三种类型：

       （一）明确同意

       《民法典》中有两处使用“明确同意”的表述：一是，《民法典》第1033条第5项规定，除法律另有规定或者权利人明确同意外，任何组织或者个人不得处理他人的私密信息。二是，《民法典》第1219条规定的医务人员说明义务和患者知情同意权。从立法本意来看，《民法典》要求明确同意，也只是为了强调权利人必须是清晰地、毫不含糊地作出了同意，至于同意的方式究竟是哪一种，并不重要。《个人信息保护法》中没有采取“明确同意”这一概念，但是，《个人信息保护法》第14条第1款要求同意应当由个人在充分知情的前提下“自愿、明确作出”。由此可见，“明确”应当是对个人信息处理中个人同意的一般性要求，即无论是书面的还是非书面的，单独的还是非单独的同意，都应当是明确作出的同意，即明确同意。故此，在《个人信息保护法》中明确同意本身不是一种同意的类型。

       （二）单独同意

       单独同意是我国《个人信息保护法》独创的概念，此前的法律中都没有规定，比较法上似乎也未见类似的立法例。依据《个人信息保护法》第14条第1款第2句，在法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。也就是说，除了要求同意必须在个人充分知情的前提下自愿、明确地作出，法律、行政法规还可以提出特别的要求即单独同意或书面同意。依据《个人信息保护法》的规定，需要取得单独同意的个人信息处理活动主要包括五类：其一，处理者向其他处理者提供其处理的个人信息（第23条）；其二，处理者公开个人信息（第25条）；其三，将在公共场所安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全之外的其他目的（第26条）；其四，处理敏感个人信息（第29条）；其五，向我国境外提供个人信息（第39条）。

       显然，从单独同意适用的上述情形可以看出，它们都是会对个人权益产生较为重大的影响的情形，故此需要通过非常鲜明、突出的方式来警示个人，使个人在认真且慎重地权衡利弊得失后作出同意与否的决定。因此，单独同意的要求本质上就是法律强制地要求个人信息处理者将个人针对某类处理活动作出的同意与对其他的处理活动作出的同意区分、凸显出来。这就意味着，个人信息处理者在取得个人同意的时候，既不能将需要取得同意的个人信息处理活动的内容与其他信息混在一起，也不能将处理目的、处理方式和个人信息种类等不同的个人信息处理活动混在一起而概括取得个人的同意。处理者必须就法律所规定的特定类型的个人信息处理活动专门取得个人的同意。在以往的实践中，网络服务提供者可能会将各种内容混在一起，放在所谓的隐私政策或服务条款中，其中既有个人信息处理活动的内容，也有合同权利义务的约定、警示提示甚至宣传吹嘘自己服务的内容等，长篇大论，个人只需要点击最后一个同意即可。这种同意至少就需要单独同意的个人信息处理活动而言，属于无效的同意。至于将需要单独同意的个人信息（如敏感的个人信息）和不需要取得单独同意的个人信息都混在一起，概括地一揽子取得个人的同意的做法，在《个人信息保护法》施行后也是不可以的。

       （三）书面同意

       所谓书面同意，是指个人应当以书面的形式作出同意。依据《民法典》第469条，书面形式是合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式。以电子数据交换、电子邮件等方式能够有形地表现所载内容，并可以随时调取查用的数据电文，视为书面形式。书面形式既有助于发挥警示的作用，使当事人三思而后行，也有助于保存证据，避免和解决纠纷。在个人信息处理中，书面同意提高了对处理者的要求，其意味着，个人的同意不仅应当是个人在充分知情的前提下自愿、明确地作出的，还必须采取书面形式，而处理者负有举证证明存在该书面同意的义务。如果处理者不能证明取得了个人的书面同意，即便可以证明取得了同意，该处理活动也是非法的、无效的。

       欧盟《一般数据保护条例》没有要求同意必须是书面的，这是因为该条例不能破坏成员国本国相关法律对于同意的形式的规定。《个人信息保护法》颁布前，我国的一些行政法规就已经对于个人信息处理活动需要取得书面同意作出了规定。《征信业管理条例》第18条规定：“向征信机构查询个人信息的，应当取得信息主体本人的书面同意并约定用途。但是，法律规定可以不经同意查询的除外。”第29条第2款规定：“从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息，应当事先取得信息主体的书面同意，并适用本条例关于信息提供者的规定。”《个人信息保护法》并没有要求同意必须是书面形式，而只是规定法律、行政法规要求采取书面形式的，从其规定。不过，由于《个人信息保护法》第14条第1款已经要求同意必须是明确作出的，这就意味着在个人信息处理活动中，处理者为了证明已经取得个人明确、自愿的同意，基本上都会对个人的同意采取书面形式的要求，否则难以证明这一点。

       从《个人信息保护法》第14条第1款第2句的规定可知，单独同意、书面同意肯定是比一般的同意更高的要求。从该法第29条来看，书面同意的要求应当又要比单独同意的要求更高。因为处理敏感的个人信息本身就要求取得个人的单独同意，同时还规定，法律、行政法规规定处理敏感的个人信息应当取得书面同意的，从其规定。这就是说，法律、行政法规会要求某些敏感个人信息的处理必须取得个人的“书面的单独同意”。从这个角度来说，笔者认为，所谓“书面的单独同意”应当是指纸面的同意书，即处理者必须取得个人亲笔签名的、针对某类敏感个人信息的处理表示同意的纸质同意书。

       结  语

       在个人信息处理中，同意并非个人信息处理行为的唯一合法基础，法律、行政法规还可以规定无需取得个人同意而处理个人信息的各种情形。但是，无论如何，告知同意是个人信息处理的基本规则。个人信息处理者充分履行告知义务并取得个人同意后处理个人信息的活动不具有非法性，而是合法的个人信息处理活动。同意的性质就是阻却了处理行为的非法性，使之成为合法行为。由于不同的个人信息处理活动的风险不同，故此，《个人信息保护法》等法律对于同意也有不同的要求，如单独同意或者书面同意。这种做法提高了对处理者的个人信息处理行为的要求，有利于保护自然人的个人信息权益。当然，同意的要件与形式的明确规定，客观上也使得个人信息处理者有明确稳定的预期，降低了合规成本。