数据安全|个人信息处理中的“同意撤回权”

根据本条内容分析，同意撤回是指个人信息主体基于“告知同意”原则，对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示。但根据民法的一般原理，法律条文中的“撤回”和另一个词“撤销”有着不同的含义，一般在法律条文中表述的的“撤回”需在意思表示生效前到达相对人，所产生的法律后果是使得先前作出的意思表示不发生效力（也即是说，“撤回“等同于此前从未作出过同意使用的授权）；而“撤销”则是在意思表示到达相对人并生效后作出的取消前一意思表示的行为（也即是“消灭”了此前曾经作出的同意授权）。因此，本条所称“撤回”应当对应的是《民法典》中的“撤销”一词，“同意撤回”实际上指的也是对于授权同意的“撤销”。

而同意撤回的范围，在适用上应当包含个人信息主体对个人信息使用全过程中的处分。传统理念认为：同意撤回权的权力范围仅仅限于撤回个人信息主体在信息收集的阶段所作出的同意授权。但在实践中，在信息收集的阶段，用户往往难以清晰理解其决定可能对未来造成的影响，例如，用户在给予同意的授权之后，会经常受到商家频繁的商业广告滋扰，甚至被商家利用信息主体提供的个人信息进行大数据“杀熟”，用户的信息安全权得不到有效的保障。此时在《新法》的框架下用户就可以行使同意撤回权，要求商家停止对于自己个人信息的处理活动。

“同意撤回权”这一概念在域外立法中有不少立法经验，欧盟和美国在关于“同意撤回权”的立法保护上采用了截然不同的保护方式，他们的立法经验能够给我们带来一些参考：

欧盟在GDPR第7条同意的条件中明确规定数据主体有权随时撤回其同意。同时，GDPR对同意撤回作了以下两方面的规定：第一，规定了此种权利的行使不具有溯及力，即同意的撤回不应当影响在撤回前基于同意作出的数据处理的合法性。这一条可以理解为，主体撤回同意之前的数据处理不仅合法有效，且数据处理者还可以依法保有这部分个人数据，同意仅对其未来的处理行为存在限制。第二，强调了同意的撤回应当与作出同意同样容易。GDPR并未对撤回同意进行事由限制，可以理解为个人信息主体拥有任意撤回同意的权利而无须受任何事由或时间等条件限制。

而在美国，大部分相关的法律文件是以选择退出（opt-out）的方式来代替同意撤回权的行使的。以选择退出模式来行权的主要原因是立法上并未要求个人信息主体明示同意。这与我国立法上主张的以“告知同意”为主体的个人信息保护制度存在差异。但美国的部分法律针对儿童隐私特别规定了同意撤回权，例如，《儿童网上隐私保护法案》中规定，运营者必须作出“合理的努力”确保父母收到网站或在线服务提供商发出的采集、使用、披露其孩子个人信息的通知，同时相对应地规定了父母授予同意和撤回同意的方式。

欧盟和美国在数据撤回权问题上对不同保护机制的选择体现了不同的价值取向：GDPR更倡导同意撤回的广泛适用，更侧重于对个人信息自决权的保护，而美国在立法上更偏重于企业数据收集方的便利性。

但两者的保护机制分别存在一定的问题，欧盟的立法模式过于“家长式”，个人信息“自决”的能力不够；而美国的立法模式则过于被动，个人信息的保护力度不强。