万方;

• 1:北京外国语大学法学院

摘要(Abstract)：

告知同意是个人信息处理中对个人信息权益的基本保护模式。告知属于兼具公法及私法性质的行为,而同意属于私主体对自己个人信息权益的处分。由于告知同意存在诸多问题,引入同意撤回制度是我国个人信息保护体系的应有之义。同意撤回权与消费者撤回权不同,同意撤回权属于人格权体系下的撤销权,其撤销行为不具有溯及力也不应适用除斥期间,除个人信息主体存在故意或重大过失外,不应令其承担损害赔偿责任。另外,在适用中应当注意厘清主体行使同意撤回权后与受托人及第三方的关系,充分借鉴和吸收其他国家在同意撤回权上的经验,构建我国的同意撤回权体系。

关键词(KeyWords)： 告知同意;同意撤回权;个人信息保护;撤销权;人格权

Abstract:

Keywords:

基金项目(Foundation): 2018年度国家社科基金重大项目“大数据时代个人数据保护与数据权利体系研究”（项目批准号：18ZDA146）的阶段性成果

作者(Author): 万方;

Email:

DOI: 10.14111/j.cnki.zgfx.2021.01.011

参考文献(References)：

• (1)参见刘召成：《人格商业化利用权的教义学构造》，载《清华法学》2014年第3期，第118-136页。
• (2) See Jack M. Balkin, Information Fiduciaries and the First Amendment, UC Davis Law Review, Vol. 49(4), p.1183(2016).
• (3)参见丁晓东：《个人信息权利的反思与重塑论个人信息保护的适用前提与法益基础》，载《中外法学》2020年第2期，第353页。
• (4) See Jennifer Barrigar, Jacquelyn Burkell&Ian Kerr, Let’s not Get Psyched Out of Privacy:Reflections on Withdrawing Consent to the Collection, Use and Disclosure of Personal Information, Canadian Business Law Journal, Vol.44, p.7(2006).
• (5)参见陆青：《个人信息保护中“同意”规则的规范构造》，载《武汉大学学报（哲学社会科学版）》2019年第5期，第121页。
• (6)参见梅夏英：《在分享和控制之间数据保护的私法局限和公共秩序构建》，载《中外法学》2019年第4期，第857页。
• (7)参见程啸：《论我国民法典中个人信息权益的性质》，载《政治与法律》2020年第8期，第8页。
• (8)参见程啸：《论大数据时代的个人数据权利》，载《中国社会科学》，2018年第3期，第102-122、207-208页。相同观点参见王利明：《论个人信息权的法律保护——以个人信息权和隐私权的界分为中心》，载《现代法学》2013年第4期；齐爱民、李仪：《论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间》，载《法学评论》2011年第3期。
• (9)参见范为：《大数据时代个人信息保护的路径重构》，载《环球法律评论》2016年第5期，第93页。
• (10)参见北京互联网法院（2019）京0491民初313号民事判决书。
• (11)参见杭州铁路运输法院（2017）浙8601民初4034号民事判决书。
• (12)参见包晓丽、熊丙万：《通讯录数据中的社会关系资本——数据要素产权配置的研究范式》，载《中国法律评论》2020第2期，第148页。
• (13) Article 29 Data Protection Working Party, Opinion 15/2011 on the Definition of Consent(Adopted on 13 July 2011), at http://www.azlp.me/docs/zajednicka/medjunarodni_dok_en/Opinion%20152011%20on%20the%20definition%20of%20consent.pdf(Last visited on Nov.3,2020).
• (14)参见江海洋：《论大数据时代欧美雇员信息隐私权立法模式》，载《科技与法律》2020年第3期，第73页。
• (15)在某些场景下，经营者要求用户注册账号并登入作为进行系列交易的前提，虽然在现实生活中呈现不同样态，本文统称为“会员制”。
• (16) See Paul M. Schwartz&Daniel J. Solove, The PII Problem:Privacy and a New Concept of Personally Identifiable Information,New York University Law Review, Vol.86:6, p.1814-1894(2011).
• (17)参见[德]卡尔·拉伦茨：《法律行为解释之方法——兼论意思表示理论》，范雪飞、吴训祥译，法律出版社2018年版，第35-36页。
• (18)目前我国司法判决均将网站提供的隐私政策视为合同，如《最高人民法院公报》中“来云鹏与北京四通立方公司服务合同纠纷案”的判决书中将新浪网在网站页面上向用户展示的网站服务条款内容认定为格式条款的合同。在上文所提及案件中，法院也均将隐私政策定性为合同。参见北京市海淀区人民法院（2001）海民初11606号民事判决书。
• (19)《2019年App违法违规收集使用个人信息专项治理报告》：“一次性打开多个权限”问题是指App将target Sdk Version参数值设置小于23，进而导致一次性要求用户打开所有申请的可收集个人信息的权限，否则不能安装使用。
• (20)根据《App违法违规收集使用个人信息行为认定方法》，在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等；均属于未公开收集使用规则的情形。
• (21)参见许可：《欧盟〈一般数据保护条例〉的周年回顾与反思》，载《电子知识产权》2019年第6期，第4-15页；蔡培如、王锡锌：《论个人信息保护中的人格保护与经济激励机制》，载《比较法研究》2020年第1期，第106-119页。
• (22)笔者倾向于认为个人信息主体的“查阅权”属于信息处理者“告知”义务的必要延伸。
• (23) See Daniel J. Solove, Introduction:Privacy Self-management and the Consent Dilemma, Harvard Law Review, Vol. 126:1880,p.1893(2013).
• (24)参见张钦坤、朱开鑫：《关于数据要素交易流通模式的新思考》，载微信公众号“腾讯研究院”，2020年10月26日上传。
• (25)参见姚辉：《关于人格权商业化利用的若干问题》，载《法学论坛》2011年第6期，第15页。
• (26)参见前注(5)，陆青文，第121页。
• (27)参见王利明：《人格权法的新发展与我国民法典人格权编的完善》，载《浙江工商大学学报》2019年第6期，第18页。
• (28)参见王利明、程啸：《中国民法典释评·人格权编》，中国人民大学出版社2020年版，第11页。
• (29)参见《互联网信息服务管理办法》第14条。
• (30)域外各国对于数据存留义务的规定时间长短不一，英国《2014年数据留存与调查权法》规定留存期限不得超过12个月，澳大利亚的《电信修正提案》要求时限为2年，德国于2016年制定的《数据留存法》则将互联网介入信息与移动电话信息的留存期限分别规定为10周及4周。
• (31)参见《个人信息保护法（草案）》第13条。
• (32)参见杨立新：《民法典对侵害具有人身意义的特定物精神损害赔偿规则的完善》，载《湖南大学学报(社会科学版)》2020年第5期，第111-118页。
• (33)参见王利明：《民法典人格权编的亮点与创新》，载《中国法学》2020年第4期，第16、18页。
• (34)参见王利明：《论人格权请求权与侵权损害赔偿请求权的分离》，载《中国法学》2019年第1期，第230页。
• (35) El Emam Khaled, Boardman Ruth&Bradley-Schmieg Phil, Deleting Health Research Data Under the GDPR and the Law of Confidence of England and Wales, p.9, at https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3598670 (Last visited on Nov.3,2020).
• (36)参见《个人信息保护法（草案）》第13条。
• (37)参见朱庆育：《民法总论》（第2版），北京大学出版社2016年版，第561页。
• (38)“消费者反悔权”在现有学术研究中有着“消费者撤回权”“反悔权”“后悔权”等诸多称谓，但其本质都是“无理由退货权”，即消费者可单方无因解除合同并不产生任何违约责任。
• (39)参见王洪亮：《消费者撤回权的正当性基础》，载《法学》2010年第12期，第96-107页。
• (40)参见万方：《终将被遗忘的权利——我国引入被遗忘权的思考》，载《法学评论》2016年第6期，第161页。
• (41)参见宋振锋：《GDPR与区块链不相容的问题分析及潜在的解决方案》，载《金融科技时代》2020年第10期，第46页。
• (42) See Eugenia Politou, Efthimios Alepis&Constantinos Patsakis, Forgetting Personal Data and Revoking Consent under the GDPR:Challenges and Proposed Solutions, Journal of Cybersecurity, Vol.4:1, p.1-20(2018).
• (43)参见张新宝：《个人信息收集：告知同意原则适用的限制》，载《比较法研究》2019年第6期，第14页。
• (44)京东法律研究院：《欧盟数据宪章：〈一般数据保护条例〉GDPR评述及实务指引》，法律出版社2018年版，第232页。
• (45)参见前注(17)，卡尔·拉伦茨书，第44页。
• (46) See Jennifer Barrigar et. al, supra note 4, 7.
• (47)参见美国《2018年加州消费者隐私法案》第1798.120节（a）。
• (48)参见李媛：《大数据时代个人信息保护研究》，西南政法大学2016年博士论文，第147页。
• (49) See Chiildren’s Online Privacy Protection Rule:A Six-step Compliance Plan for Your Business, at https://www.ftc.gov/tipsadvice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance(Last visited on Nov.3, 2020).
• (50)参见吴旭莉：《大数据时代的个人信用信息保护——以个人征信制度的完善为契机》，载《厦门大学学报（哲学社会科学版）》2019年第1期，第161-172页。
• (51)参见谢远扬：《〈民法典人格权编（草案）〉中“个人信息自决”的规范建构及其反思》，载《现代法学》2019年第6期，第133-148页；邓矜婷：《论大数据产业中个人信息自决权的有效性限制》，载《江苏行政学院学报》2020年第4期，第129-136页。
• (52) In re Northwest Airlines privacy litigation 2004 WL 1278459; In re JetBlue Airways Corp. privacy litigation, 379 F. Supp. 2nd 299,316-18.
• (53) See Daniel J. Solove, supra note 23,1881.
• (54)参见前注(8)，程啸文，第105页。
• (55)参见万方：《公私法汇流的闸口转介视角下的网络经营者安全保障义务》，载《中外法学》2020年2期，第357-377页。
• (56) See Daniel J. Solove, supra note 23,1885.
• (57)参见[德]克里斯托弗·布施：《个性化经济中的算法规制和（不）完美执行》，载《环球法律评论》2019年第6期，第18页。
• (58)参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期，第48页。
• (59)参见《2019年App违法违规收集使用个人信息专项治理报告》。
• (60)参见连雪晴：《法人的数据保护：缘由、实践与建构》，载《人权研究》2019年第2期，第158-181页。
• (61)参见张夏明、张艳：《人工智能应用中数据隐私保护策略研究》，载《人工智能》2020年第4期，第81页。
• (62) See Daniel J. Solove, supra note 23,1885.
• (63) See Jennifer Barrigar et. al, supra note 4, 7.
• (64) See Joseph Turow et al, Americans Reject Tailored Advertising and Three Activities that Enable It, p.4, at http://ssrn.com/abstract=1478214(Last visited on Oct. 10,2020).
• (65) See Joseph Turow, Lauren Feldman&Kimberly Meltzer, Open to Exploitation:American Shoppers Online and Offline, at https://cdn.annenbergpublicpolicycenter.org/Downloads/Information_And_Society/Turow_APPC_Report_WEB_FINAL.pdf (Last visited on Oct. 25,2020).
• (66)参见加拿大《个人信息保护及电子文档法案》（PIPEDA）第24条。
• (67)参见《2019年App违法违规收集使用个人信息专项治理报告》。