中国计量大学，浙江 杭州

收稿日期：2022年10月8日；录用日期：2022年10月25日；发布日期：2022年11月22日

摘要

在颁布施行的《个人信息保护法》中提出了“单独同意”(separate consent)的概念，而在GDPR等外国的法律法规中并没有这一概念，由于这是一个全新的概念，所以“单独同意”在实践中如何落地、如何解释都存在相当的不确定性，国内也缺少相关的判例，学术界也鲜有权威性的观点，因此，本文拟从法教义学的角度，从分析单独同意的概念及其目的入手，明晰单独同意的基本法律性质。在此基础之上，确定在实践中哪些形式可以被认定为单独同意。最后基于《个人信息保护法》有关单独同意的规定，分析其在《个人信息保护法》体系下的适用规则，根据个保法规定，单独同意在五种具体情形下适用，但其是否存在例外？针对《个人信息保护法》14条中规定的例外，单独同意是否也可以适用？实务与学术上均有争议，肯定者主要基于的是同意概念在逻辑上可以囊括单独同意；否定者则是从《个人信息法》草案与正式规定的差异中提出质疑。

关键词

单独同意，准法律行为，意思表示

Legal Doctrinal Analysis of Separate Consent

Junjie Bu

China University of Metrology, Hangzhou Zhejiang

Received: Oct. 8^th, 2022; accepted: Oct. 25^th, 2022; published: Nov. 22^nd, 2022

ABSTRACT

The concept of “separate consent” was introduced in the enacted Personal Information Protection Law, but there is no such concept in foreign laws and regulations such as the GDPR, and since this is a brand new concept, there is considerable uncertainty about how to implement and interpret “separate consent” in practice. Therefore, this paper intends to make a conceptual dissection of separate consent from the perspective of legal doctrine, starting from the concept of consent, and clarify its definition of quasi-legal acts. Based on this, we will analyze the rules of application under the Personal Information Protection Law based on the provisions of the Personal Information Protection Law regarding separate consent. On this basis, we determine which forms can be identified as separate consent in practice. In addition, the question of whether separate consent is also applicable to the exceptions provided in Article 13 of the Personal Information Protection Law is controversial in both practice and academia, with the affirmative being based mainly on the fact that the concept of consent can logically encompass separate consent, while the negative is questioned from the differences between the draft and formal provisions of the Personal Information Law.

Keywords:Separate Consent, Quasi-Legal Acts, Declaration of Will

Copyright © 2022 by author(s) and Hans Publishers Inc.

This work is licensed under the Creative Commons Attribution International License (CC BY 4.0).

http://creativecommons.org/licenses/by/4.0/

1. 单独同意的概念及目的

1.1. 单独同意之概念

在新出台的《个人信息保护法》(以下简称个保法)中，提出了“单独同意”(separate consent)的概念，这是一个中国法律独创的概念，即便是在GDPR等外国的法律法规中都没有这一概念的存在。如何理解并适用这一全新概念，成为顺利落实《个人信息保护法》的关键一环。

通过研读《个人信息保护法》不难发现，单独同意是相对于一揽子同意而设置的一种特殊的同意模式，即在收集或使用某些个人信息时，需要单独告知被收集者，以此取得其同意。这既区别于传统的一揽子同意模式，又和单项同意、单条同意这样机械的同意形式相区分，单独同意突出的是信息采集者的告知义务，只要采取能够引起个人重视的同意方式，无论其形式如何，均可采取 [1]。

1.2. 单独同意之目的

那么为何立法者要设置单独同意这样的条款呢？其目的在何处？根据个保法规定，单独同意适用于以下五种情形：1) 个人信息处理者向其他个人信息处理者提供其处理的个人信息；2) 公开个人信息；3) 公共场所安装图像采集、个人身份识别设备；4) 用于维护公共安全以外目的收集个人图像、身份识别信息、处理敏感个人信息；5) 向境外提供个人信息。介于上述情形均会对个人信息权益产生重大的影响，需要以凸显的方式来告诫个人，应当谨慎考虑后再做出同意，单独同意的特性完美契合了这一需求，故此，单独同意的第一个目的便是在形式上凸显待同意信息的重要性；另一方面，将重要的信息单独列出并取得同意，更具针对性和可感知性，让用户明白，这些信息是非常重要的，从而使得用户在之后处理自身类似信息时，更具警觉性，这说明单独同意的制度设计，一方面当然具有对个人权益的保护性，从另一层面上讲，其还具有引导性——引导公众对上述情形信息的重视程度，与国外立法对比，可以佐证这一点。德国的《联邦个人数据保护法》以及加拿大的《个人信息保护与电子文件法》中亦有类似的规定，需要将处理个人信息的同意与其他同意分开，捆绑式，也就是一揽子同意是无效的，与我国不同的是我国对单独同意的适用情形仅限于五种具体情形，而非扩张至一切个人信息领域，如果单独同意仅强调其对个人权益的保护性，那么为何不效仿德国与加拿大的做法，扩张至全部个人信息呢？此时，应把视角放在个人信息的公共属性而非个人属性上考察这一问题。

从古至今，信息都是存在于公共领域的素材，是任何人都有权使用的资源。就个人信息而言，当信息用来标识、记录、描述某个人时，该人并不会因此得到该信息或者数据的所有权，其他人仍可以使用该数据相同的功能。数据或信息的公共性、可共享性，决定了个人数据本身的公共性。个人可以决定的是不联系或如何联系，而非决定信息本身。处于公共领域的信息或数据仅因为与个人存在联系或具有识别性，个人便拥有了对该数据的排他性控制权，使个人信息实质上成为一种私权，有失法律正当性，甚至与人类社会一直以来的观念相悖 [2]。因此，个人信息的公共性应当大于其私人性，社会利益的考量比重将会大大增加，这不仅需要国家以强制立法所保护，更需要公众个人意识的进步，徒法不足以自行，相较于法律设置重重形式上的规范，不如群众自发地对重要的个人信息给予足够的重视。

2. 单独同意之认定

如何认定在实践中的单独同意，尤其哪些方式做出的单独同意是被认可的，是又一个难题。参照欧盟《通用数据保护条例》(GDPR)第32条的规定，沉默、预先打钩或不行动不应构成同意。对此笔者有着如下的理解。一般而言，沉默并不当然的构成意思表示，那么，以意思表示为核心的单独同意亦不能以沉默的方式做出，何况《个人信息保护法》14条亦规定，一切的同意均需明确做出，明确二词一方面表达了同意不能含糊其辞，同时也蕴含着，同意需要采取积极主动的形式，而非消极被动，若认定沉默可以作为单独同意的形式，则与立法初衷相违背。同样的，不行动亦是一样的道理。这两种形式不被认可，符合我国相关的理论与实践。那么预先打钩为何也不被认可呢？预先打钩和沉默与不行动一样，并非是积极主动的，尽管被采集者可以取消预先勾选，但预先打钩的模式实际上干扰了被采集者的考量，会给被采集者一种迷惑性——原来已经有选择了，那我跟随就好了，因此被采集者在预先打钩的模式下，做出的并非是《个人信息保护法》所要求的明确同意，而是附和，因此，预先打钩不能作为单独同意的形式，亦符合《个人信息保护法》之规定。

虽然目前我国没有哪一部正式的法律文件对单独同意的形式甚至是同意的形式做出过明确且完整的规定，仅仅是在《个人信息保护法》29条中提到过，书面同意是一种特殊的单独同意类型。作为参照文件，个人信息告知同意指南(征求意见稿)有过相关定义。在实践中，如何认定行为作为单独同意的形式，存在较大争议。在人脸识别第一案中，原告二人的拍照行为，是否构成单独同意是争议的焦点，对此，一二审法院均予以否认，虽然在宣判之时，《个人信息保护法》未落地生效，但法院的观点，与《个人信息保护法》要求的“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关”以及“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”是相似的，由此可见，行为能否作为单独同意的形式，不仅需要合理明确的目的，行为与目的间亦需要直接相关。

上文已经提到，在有法律行政法规规定的情形下，单独同意的需采取要式的形式，这无疑是提出了更强的形式要求，体现了法律、行政法规对特定领域的敏感个人信息的特殊保护，例如，《中华人民共和国人类遗传资源管理条例》第12条就规定，采集我国人类遗传资源需征得人类遗传资源提供者书面同意。同时，书面同意作为一种要式行为，在引发纠纷时，还有利于证据的固定，这实际上会对信息被采集者更加有利，因为在大部分情况下，个人往往是信息被采集者，而采集者则是政府，企业，社会团体等，相比于这些主体，个人往往处于信息不对等的劣势地位，一旦引发纠纷，会存在难以维权的状况，其中最大的问题就是如何采集证据，尤其是以行为作为同意形式的情形下，哪些行为会构成法律上的单独同意，这些行为如何作为证据固定，都会是一个难题。若采取了书面同意的形式，则会一定程度上缓解这方面的问题。

3. 单独同意的法律适用

3.1. 单独同意与授权的概念辨析

介于在实践中，存在大量对同意和授权混用的情形，同时在理论界也存在个人信息领域所说的同意即为授权地观点。因此在阐释单独同意的法律适用前，需先厘清单独同意与授权的关系。在私法领域，明确使用授权这一概念的，是在民法典的委托代理中，如民法典165条中出现了代理授权的概念，此处的授权，是权利的让渡，是代理人获得代理权的合法依据，从性质上来讲，这种权利的授予，按照民法通说，是一种单方的法律行为 [3]，从法律效果上来看，则是基于当事人一方的意思表示就可以发生法律效力的民事法律行为 [4]。相比于授权的性质。我国理论界有不同的有关同意性质之观点，有学者认为同意既可以阻却侵权；同时又作为一种法律行为 [5]。有的观点认为同意是一种意思表示，参照我国《民法典》总则编有关意思表示的规定即可解决 [6]。也有针锋相对的观点认为，将同意视为意思表示会混淆民事行为能力与同意能力 [7]。前述的性质之争，均由其道理，但笔者认为，根据《个人信息保护法》的体系来看，将同意视为一种准法律行为更为妥当，准民事法律行为属于民事表示行为。指的是行为人满足法律规定之情形，对外表示其内心意思，从而引起相应的法律效果的行为 [8]。在《个人信息保护法》中，同意固然是处理他人信息的核心，但不仅如此，信息处理者仍要满足其他条件，如目的明确等(个保法第六条)，在满足了其他条件情况下，取得个人的同意，才会产生处理个人信息合法的法律效果。

如果将同意理解为准法律行为，其与授权的区别则一目了然了。一个属于单方法律行为，一个属于准法律行为，这就导致前者只需一方的意思表示就会产生相应的法律效果，而后者还需要满足其他的法定条件才会发生相应的法效果。至少在《个人信息保护法》下，同意不等于授权。

在确定了《个人信息保护法》中一般的同意是准法律行为后，再分析单独同意的概念，便更加明确了。根据《个人信息保护法》第14条的规定，可以看出，单独同意的前提仍是知情，自愿，明确，这恰恰是一般同意发生效力的法律前提，由此可见，单独同意要发生法律效果的前置条件与一般同意并无区别，性质上仍属于准法律行为。至于其特殊性，其适用情形包括以下五种，1) 个人信息处理者向其他个人信息处理者提供其处理的个人信息；2) 公开个人信息、公共场所安装图像采集、个人身份识别设备；3) 用于维护公共安全以外目的收集个人图像、身份识别信息；4) 处理敏感个人信息；5) 向境外提供个人信息。这些情况下，立法者不允许信息采集者使用一系列冗长的一揽子同意条款，而需要在一揽子同意中另设的单独同意，以此来警示被采集者需要慎重决定。由此可见，单独同意在本质上是法律规定信息采集者在取得被采集者同意时，必须采取一种醒目且有区分度的表现形式，至于其他方面和一般同意并无本质上的区别，因此同样适用上述同意与授权的区分，即单独同意仍不等于授权。

3.2. 单独同意的五种适用情形的例外

在《个人信息保护法》中，对于个人信息处理者提出取得单独同意的场景主要包括处理敏感个人信息、向第三方提供其处理的个人信息、公开个人信息公开或向他人提供公共场所安装图像采集、个人身份识别设备所收集的个人图像、个人身份特征信息、向境外提供个人信息。介于篇幅限制，本文对五种情形的具体限制不做过多阐述，而是着眼于法定情形的例外，即如果上述情形处理个人信息的目的的合法性基础并非同意，又该如何认定？《个人信息保护法》13条规定了无需取得个人同意的例外，那么，如果适用单独同意的情形和上述情形同时存在，还是否需要取得个人的单独同意呢？例如，为了防疫需要而收集个人的行程轨迹、住宿信息，是否需要取得单独同意？有观点认为，依据法律、行政法规的规定即可处理个人信息的情形，都无需取得个人同意，自然也无需取得单独同意，只有法律规定需要取得个人同意的前提下，才需要考虑是否要采取单独同意的形式 [9]。然而，也有观点从《个人信息保护法》的立法沿革上出发，尤其是在对比《个人信息保护法(草案二次审议稿)》与《个人信息保护法》关于单独同意的适用前提，在正式通过的《个人信息保护法》中专门删除了“基于个人同意处理敏感个人信息”作为获取单独同意的前提条件。对此，即便存在不需要同意的法定情形，只要符合单独同意的适用情形，都需要取得个人同意。

对于此争论，笔者认为，应先从单独同意与同意的关系入手。从文义角度讲，前文提到，单独同意在概念是同意的特殊形式，文义上二者属于包含关系，因此在该逻辑上，单独同意的适用，必然以适用同意为前提；但从体系上讲，《个人信息保护法》13条(规定无需同意的例外情形)与29条(规定单独同意的适用情形)位于同一章中，且13条的规定处于一般原则的地位，根据《立法法》第92条规定，单独同意属于一般同意中的特殊情形，理应优先适用单独同意的规定。此种解释方法，忽略了一个前提，即，只有当特殊规定与一般规定有不一致时，才优先使用特殊规定，如何理解不一致？德国法学家拉伦茨在《法学方法论》中提出，在两条法效果互斥的时，那么就只有一条法条可以适用。也只有当法效果互斥时，由于其在逻辑层面上的特殊性关系，从而排除一般规范的运用 [10]。结合《个人信息保护法》13条与29条来看，二者的法效果均是对个人信息的合法使用，并不适用特别规定优于一般规定。而《个人信息保护法》草案的变化，也并不必然反映立法者具有“存在不需要同意的法定情形，只要符合单独同意的适用情形，都需要取得个人同意。”的意图，因为，从《个人信息保护法》第14条是全文首次出现“单独同意”这一概念，而该条文以“基于个人同意……”开头，这就证明整个条文就是在个人同意的基础上展开规定的，位于条文后半段的“单独同意”自然也在“基于个人同意”的涵摄范围内，正因为在前文已经明确，单独同意以个人同意为基础，为了法条文的简洁，才会在正式出台的条文中删去29条中“基于个人同意处理敏感个人信息”这一表述。

4. 总结

单独同意作为我国个人信息法领域独创的概念，理论和实践层面均存在极大的研究价值，本文对此提出了个人的些许拙见，在理论上，与民法体系衔接，将意思表示作为单独同意的核心，其本质与一般同意并无差别，只有在表现形式上需要作醒目区分，以此保护公民重大的个人信息权益；在实践中，如何认定单独同意，如何解决存在单独同意的情形与无需同意取得个人信息的情形竞合的问题，笔者均从法教义学的角度，提出个人见解，以此抛砖引玉。

文章引用

卜军杰. 单独同意的法教义学分析
Legal Doctrinal Analysis of Separate Consent[J]. 法学, 2022, 10(06): 1057-1061. https://doi.org/10.12677/OJLS.2022.106142

参考文献