◆ 条文要旨

本条是对同意的有效要件与同意的方式的规定。

◆ 理解与适用

一、同意的含义

个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理，除非法律、行政法规另有规定（《个人信息保护法》第44条）。个人信息处理中的告知同意规则正是为了尊重和保护个人对其个人信息处理的知情权和决定权而产生的规则。它要求个人信息处理者只有在告知并取得其信息被处理的个人的同意后，才能对该自然人的个人信息进行相应的处理活动，否则该处理行为就是非法行为，构成对个人信息权益的侵害。[27]取得信息主体即个人的同意（Consent）是个人信息处理行为具有合法性的重要根据。此种在取得个人同意后才能实施的个人信息处理，被称为“基于个人同意处理个人信息”。

对于个人信息保护法上的“同意”的含义，一些国家和地区的立法作出了规定。欧盟《一般数据保护条例》第4条第11款将“数据主体的同意”（consent of the data subject）界定为：“数据主体依其个人意愿自由、明确、知情且清晰地通过陈述或积极行为，就与其相关的个人数据的处理作出的同意。”（consent of the data subject means any freely given，specific，informed and unambiguous indication of the data subject's wishes by which he or she，by a statement or by a clear affirmative action，signifies agreement to the processing of personal data relating to him or her.）[28]2018年巴西《通用数据保护法》第5条第12款规定，同意是指“数据主体同意为特定目的处理其个人数据自由、知情和明确的声明”。我国台湾地区“个人资料保护法”第7条第1款、第2款规定：“第十五条第二款及第十九条第一项第五款所称同意，指当事人经搜集者告知本法所定应告知事项后，所为允许之意思表示。第十六条第七款、第二十条第一项第六款所称同意，指当事人经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后，单独所为之意思表示。”

同意是具有统一的法律性质，还是在不同的部门法中性质各有不同，存在很大的争议。[29]就个人信息保护法中个人同意的性质，学说上也存在不同的看法，主要有以下两种观点：

一是双重属性说，此说认为，同意具有双重属性，一方面它是侵权法上阻却违法的事由，另一方面它又是法律行为。[30]换言之，在合同领域与在侵权领域中，同意有不同的含义。在侵权领域中， “同意”作为侵权法上的免责事由可归入“受害人同意”的范畴，在构成要件上包括必须有明确具体的内容、受害人须具有同意能力、同意必须真实自愿、加害人必须尽到充分的告知说明义务；在合同领域中，同意可能成为相关合同给付内容的一部分，因此当事人须具备相应的行为能力。[31]持双重属性说的学者，主要是从个人信息既存在消极防御的问题，也存在积极利用的问题角度出发来认识同意的性质，即从消极防御的角度说，同意就是违法阻却事由，而从积极利用的层面看，同意就是个人在授权他人商业利用个人信息。

二是单一属性说，此说又可分为权益处分说、意思表示说。持权益处分说的学者认为，“同意”是一种对于个人信息权益的处分，但是，这种处分不能脱离商品或服务合同的语境而单独存在，只能被视为个人信息主体为了获得相应的商品或服务而必须作出的权利处分。[32]持意思表示说的学者认为，同意本身是自然人作出的意思表示，《民法典》总则编关于意思表示的规定完全可以适用于自然人就个人信息处理所作出的同意。故此，自然人因欺诈、胁迫或重大误解而作出的意思表示，是可以撤销的意思表示。[33]《草案一审稿》曾采取意思表示说，该草案第14条第1款第1句规定：“处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示。”不过，在《草案二审稿》中该条被修改为“处理个人信息的同意，应当由个人在充分知情的前提下自愿、明确作出”。其中，删除了“意思表示”一词，这表明立法机关放弃了意思表示说。最终颁布的《个人信息保护法》也没有再将同意界定为“意思表示”。

本书认为，在个人信息保护法中，信息主体就其个人信息被处理而作出的同意（Einwilligung）在性质上属于违法阻却事由（免责事由），而非意思表示。所谓违法阻却事由，是在区分违法性与过错的立法例中采取的概念。例如，德国法认为，违法阻却事由是指对暂时认定的违法性的反驳，即法律所认可的针对假定违法性的一种特殊例外。[34]德国法上的违法阻却事由包括正当防卫、紧急避险、自助行为、维护正当利益、同意等。我国《民法典》没有明确区分违法性与过错，学说上通常不使用“违法阻却事由”的概念，而是用免责事由来包含违法阻却事由。我国《民法典》中的免责事由包括：不可抗力（第180条）、正当防卫（第181条）、紧急避险（第182条）、自愿实施紧急救助行为（第184条）、受害人故意（第1174条）、第三人行为（第1175条）、自甘冒险（第1176条）、自助行为（第1177条）以及同意（第1219条、第1036条）。但是，这些免责事由中有些是通过排除加害行为与权益被侵害之间的因果关系以致侵权责任不成立，有些则是排除行为的违法性（或过错）而使得行为人无须承担侵权责任。前者如受害人故意、第三人行为等，后者如同意、自助行为、紧急避险、正当防卫。

就个人信息处理中信息主体的同意而言，其为个人信息处理行为提供了合法根据，排除了该行为的非法性，从而使得处理行为具有合法基础，不构成对个人信息权益的侵害行为。具体而言，个人的同意所引发的私法上的法律效果为：[35]取得个人同意的个人信息处理行为，只要处理者不超出自然人同意的范围（包括自然人所同意的处理主体、处理目的、处理方式和处理的个人信息种类等），原则上该行为就不构成侵权行为。自然人享有个人信息权益，意味着其他组织或个人需要尊重该权益而不得侵犯它，同样，承认自然人的个人信息权益就必然导致对他人行为自由的限制。处理者对自然人的个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等行为，客观上就构成对自然人的个人信息权益的侵入或干扰，破坏了法秩序，具有（暂时认定的）非法性。要排除这种非法性，就必须具备法律上的正当性（Legal Justifications）。在个人信息保护法上，此种正当性要么来自个人的同意，要么来自法律、行政法规的规定即法定的许可（legal permission），二者构成了全部个人信息处理的法律基础。[36]作为个人信息权益的所有者的个人，可以对自己的权益进行合法的处分，其可以自行处分，也可以同意他人对自己的民事权益作出处分。因此，在得到民事权益所有者的同意后，被同意者实施的客观上侵害他人民事权益的行为，对于同意者而言，不构成侵害。同时，法律、行政法规也可以基于促进个人信息的合理利用、维护公共利益、国家利益等理由而特别规定，某些情形下不需要取得个人的同意就可以处理其个人信息。《民法典》第1035条第1款第1项规定，处理个人信息必须“征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”。所谓法律、行政法规另有规定的除外，包括《个人信息保护法》第13条第1款第2—7项列举的六大类无须取得个人同意的情形。

二、同意的要件

对个人信息的处理影响了自然人的个人信息权益，属于非常重大的事情，为了更好地保护自然人，应当明确个人同意的有效要件，即在满足哪些条件之后，个人对其个人信息的处理所作的同意才是有效的，才能发生阻却处理行为违法性的法律效果。比较法上不少国家或地区的立法对此都有规定。例如，依据欧盟《一般数据保护条例》第4条第11款，有效的同意必须具备四个要件：（1）自由地作出（freely given）；（2）具体的（specific）；（3）被告知的（informed）；（4）明确的（unambiguous）。这一标准被人们认为提高了有效同意的门槛，欧盟的数据保护机构也倾向于严格地解释这四项标准。[37]依据德国《联邦数据保护法》第51条的规定，同意只有在数据主体自由作出决定时有效，而评估是否属于自由决定，必须考虑给予同意的情况。同时，应当告知数据主体处理的逾期目的，如有必要在个别情况下或数据主体提出要求时，还要将拒绝同意的后果告知数据主体。再如，巴西《通用数据保护法》第8条规定：“本法第七条第I项所规定的同意，应当以书面方式或者其他能够证明数据主体表现意愿的方式提供。（1）如果同意是以书面形式提供的，它应区分于其他合同条款，并单独、重点显示。（2）控制者有责任证明已依照本法取得同意。（3）如果同意有瑕疵，禁止处理个人数据。（4）同意应为了特定目的而作出。为处理个人数据获取的一般授权应为无效。（5）只要不做出根据本法第18条第VI项规定的删除请求，同意可以通过便捷和免费的流程，随时被数据主体明确表示撤回，这是对基于先前同意而做处理的矫正。（6）如果本法第9条第I、II、III或者V项所涉及的信息发生变更，数据控制者应当通知数据主体，尤其应告知其所变更的内容。在这种情况下，数据主体的同意是必须的，如果数据主体不同意该等变更，其可以撤回同意。”

《个人信息保护法》第14条第1款第1句对同意的一般有效要件作出了规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。”从这一规定可知，有效的同意应当具备三项要件：（1）充分知情；（2）自愿；（3）明确。此外，依据第14条第1款第2句，如果法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。也就是说，法律、行政法规规定的单独同意或者书面同意属于特殊的有效要件。本部分仅讨论同意的一般有效要件，单独同意或者书面同意放在同意的类型中加以讨论。

（一）作出同意的个人应当具有同意能力

在个人信息处理中，只有当作出同意的自然人具有同意能力（capacity to consent/ Einwilligungsfähigkeit）时作出的同意方属有效。[38]同意能力不同于行为能力。在法律行为制度中，为了维护交易安全从而要求从事法律行为的当事人必须具备行为能力，无民事行为能力人必须由其法定代理人代理实施民事法律行为，其单独实施的民事法律行为属于无效的民事法律行为（《民法典》第20条、第21条；第144条）；限制民事行为能力人实施民事法律行为要由其法定代理人代理或者经其法定代理人同意、追认，未经同意或追认的法律行为无效或者相对人可以撤销，但是，限制民事行为能力人可以独立实施纯获利益的民事法律行为或者与其年龄、智力、精神健康状况相适应的民事法律行为（《民法典》第19条、第22条；第145条）。《民法典》第17条与第18条规定，十八周岁以上的自然人为成年人，不满十八周岁的自然人为未成年人。成年人为完全民事行为能力人，可以独立实施民事法律行为。十六周岁以上的未成年人，以自己的劳动收入为主要生活来源的，视为完全民事行为能力人。第19条至第22条规定，不满八周岁的未成年人以及不能辨认自己行为的成年人为无民事行为能力人；八周岁以上的未成年人以及不能完全辨认自己行为的成年人为限制民事行为能力人。

由于自然人的同意是其对自己权益的处分，不能完全适用民法中关于行为能力的规定。作出同意的个人是否具有同意能力，关键在于能否认识到行为的后果，即有无识别能力，而这需要根据案件的具体情形予以个别的判断。[39]也就是说，限制行为能力人或者无民事行为能力人并不一定就没有同意能力。例如，小学生A可以同意B将其书本扔掉，但是对于器官切除手术，则无行为能力人与限制行为能力不具有同意能力，必须经过法定代理人的允许。同意能力是一个人对其决定的性质、程度以及可能产生的后果的理解能力。儿童、醉汉、神志不清的人、精神病人或者低智能者作出的同意一般是无效的。他们的同意只能由其监护人作出。[40]例如，在英国，依据1969年《家庭改革法》第8条，年满十六岁的未成年人可以就对其进行的医疗行为作出同意。而依据一些英国法院的判例，低于该年龄的未成年人只要能够充分了解医疗行为的后果，也能作出同意。如果未成年人就医疗行为已作出同意但是其监护人反对时，则该同意依然有效。[41]

从我国《未成年人保护法》及《个人信息保护法》的规定来看，个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。故此，可以肯定的一点是：十四周岁以下的未成年人在个人信息处理中不具有同意的能力，其作出的同意是无效的。至于十四周岁以上的未成年人，以及因疾病等原因而不能辨认或不能完全辨认自己行为的成年人，一旦就是否具有同意能力发生争执时，法院需要根据个人信息的处理目的、处理方式、处理的个人信息的种类、可能对个人权益产生的不利益后果等多种因素加以具体的认定。

（二）同意是个人在充分知情的前提下作出的

任何有效的同意都应当在同意者充分知情的前提下作出。如果不知情，那么这种同意就不是真实的，是无效的。由于个人信息处理活动中，处理者与个人之间的信息是不对称的，因此，同意规则必须与告知规则密切联系，即要求处理者必须充分告知，从而确保个人是在充分知情的前提下作出同意的，否则，处理者不告知或告知不充分，而个人在完全不知情或不充分知情的情况下所作出的同意就是无效的。简言之，个人信息处理者为处理个人信息而取得个人同意之前，应当履行告知义务，为个人提供相应的知识。例如，要告知个人，处理其个人信息的主体是谁，处理的目的是什么，处理的方式与范围如何等相关知识。这一要求也是个人信息处理中的透明原则的要求。

透明原则（The transparency principle），也称公开透明原则。它是指处理个人信息时应当采取公开、透明的方式，公开个人信息处理的规则，向信息主体明示个人信息处理的目的、处理的方式和处理的范围。之所以要确立这一原则，是因为自然人对其个人信息的处理享有知情权和决定权。如果个人信息处理者不以公开、透明的方式处理个人信息，而是采取隐秘的、暗箱操作的方式，那么，即便个人表示了同意，其同意也不是真实的同意，此种处理行为也属于非法处理行为。欧盟《一般数据保护条例》在导言部分第39条对此有一个比较清晰的说明——“透明性原则要求任何有关这些个人数据处理的信息和通信都应可轻松获取且容易理解，并且使用通俗易懂的语言。这一原则特别涉及数据主体关于控制者身份的信息和处理目的以及进一步处理的信息，以确保对有关自然人的公正和透明的处理以及获得有关其正在被处理的数据的个人确认和通信的权利。应该让自然人了解与处理个人数据有关的风险、规则、保障和权利，以及如何行使与处理有关的权利。特别是，处理个人数据的具体目的应清晰且合法，并在收集个人数据时予以明确”。包括欧盟《一般数据保护条例》在内的许多国家或地区的数据保护和个人信息保护法都要求处理者必须遵循透明的原则。例如，早在1980年《经济合作与发展组织关于隐私保护和个人数据跨疆界流动的指导原则》中就提出了公开原则，并认为“公开原则可能被视为个人参与原则的先决条件，后一原则要生效，获得关于个人数据的收集、储存或利用的信息在实践上必须是可能的。在自愿的基础上从数据控制者处获得的常规信息，涉及个人数据处理的活动的描述的官方登记者的出版活动和公共机构的登记，是一些（虽然不是全部）可能实现此种原则的方法”。再如，2018年美国加利福尼亚州《消费者隐私法案》（CCPA）在第2节立法目的中明确指出：“人们期许隐私和其信息的更多控制。加利福尼亚消费者应当能够就其个人信息行使控制权，并且期待防治个人信息滥用的保护措施。企业可能在尊重消费者隐私的同时，就其企业活动提供高水平的透明度。”依据2018年巴西《通用数据保护法》第6条第6款的规定，个人数据处理应当遵循透明原则，即“保证数据主体能够就数据处理和相应的处理代理人获得清晰、准确和易得的信息，且遵守商业和企业机密”。

在我国，《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定：“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围……”《网络安全法》第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”《民法典》第1035条也要求个人信息处理者应当“公开处理信息的规则”“明示处理信息的目的、方式和范围”。《个人信息保护法》第7条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”

为了确保个人是在充分知情的前提下作出同意的，《个人信息保护法》第17条对于个人信息处理者在处理个人信息前应当先向个人告知的事项以及告知方式等作出了细致的规定。本书认为，处理者只有在处理个人信息之前，根据《个人信息保护法》第17条第1款的规定按照相应的方式告知了相应的事项，才能认为个人处于充分知情的前提下。[42]需要注意的是，所谓“在充分知情的前提下”，只是要求个人信息处理者在取得个人同意前，应当按照法律、行政法规的要求确保个人为作出有效同意而需要知道的东西，全部处于可以获取的状态。至于作出同意的个人事实上会不会去了解处理者通过个人信息处理规则或者隐私政策等方式所告知的事项，则取决于个人。

（三）同意是自愿、明确作出

1.同意是自愿作出的

同意必须是自愿的（voluntary），如果个人是在受到威胁、欺诈或胁迫的情况下而作出同意的，那么这种同意就不是个人在有真正的选择权的情形下作出的，是不真实的、不自愿的。法律上不应当使得个人承受这种不自愿的同意所产生的后果，故此，这种同意无效。[43]法律上之所以要确保个人的同意必须是自愿，根本原因在于现代网络信息时代中个人信息处理者与个人之间的关系属于持续性的信息不平等关系。[44]“特别是当控制者是公权力一方且基于特定情形下予以考虑的所有条件认为同意不可能是自愿作出的，该同意并不能成为该特定情形个人数据处理的有效法律依据。”[45]网络信息科技引发的处理者与个人之间的不对等关系表现在以下几个方面：其一，现代网络信息科技的发展，使得个人信息以前所未有的数量和种类被产生，个人常常不知道自己产生了什么样的个人信息。其二，现代信息网络社会使得社会生活被高度数字化，个人信息处理成为现代生产生活所必需的活动，个人缺乏拒绝或阻止个人信息被处理的能力，否则就要为此付出各种各样或大或小的代价。个人信息处理者留给个人的选项只有留下或离开。其三，算法和算力的提升使得个人信息处理的目的和方式具有无限可能性，加之算法的专业性与不透明性，就会使得个人信息处理可能对个人权益产生何种危险或损害，常常是个人难以了解的。

正因如此，为了避免个人作出同意时受到强迫或陷入其他丧失选择自由的状态，我国《个人信息保护法》第14条明确规定，在基于个人同意处理个人信息时，个人作出的同意必须是自愿的。这就是说，个人信息处理者通过欺诈、胁迫或者误导等方式取得的个人的同意是无效的。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第4条就规定：“有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持：（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”

2.同意是明确作出的

所谓同意是明确的，要求个人是以清晰、明白而非含糊的、模棱两可的方式表示同意。只要同意是以明确的方式作出的即可，至于是通过纸质、电子形式等书面方式，还是通过口头方式作出的，无关紧要。例如，欧盟《一般数据保护条例》导言部分第32条就指出：“处理个人数据之前应征得数据主体的同意，通过清楚明确的行为自愿表明同意对其个人数据进行处理，例如，通过书面陈述（包括电子形式）或者口头声明。同意方式可以包括在浏览网页时在方框里打上钩，对信息社会服务进行技术设置或者其他陈述或行为以清楚表示接受对其个人数据的处理。因此，默示、预选方框或者不作为不构成同意。同意范围应当包括所有基于同一目的或者同一类目的而进行的数据处理活动。当数据处理活动存在多种目的时，每项目的都应当征得同意。如果数据主体是基于电子形式的请求而作出的同意，请求应清晰、简洁且不影响所提供服务的使用。”再如，德国《联邦数据保护法》第51条第2款规定，如果数据主体的同意是在同时涉及其他事项的书面声明中作出的，则对于同意的请求应以与其他事项明显区分的方式加以提出，且该请求应当是易于理解的且所使用的文字应当清晰明了。

在我国，除《个人信息保护法》要求同意是明确的外，《民法典》也有两处使用“明确同意”的表述。一是《民法典》第1033条第5项规定，除法律另有规定或者权利人明确同意外，任何组织或者个人不得处理他人的私密信息。二是《民法典》第1219条规定，医务人员在诊疗活动中应当向患者说明病情和医疗措施。需要实施手术、特殊检查、特殊治疗的，医务人员应当及时向患者具体说明医疗风险、替代医疗方案等情况，并取得其明确同意；不能或不宜向患者说明的，应当向患者的近亲属说明，并取得其明确同意。从立法本意来看，《民法典》要求明确同意，也为了强调权利人必须是清晰地、毫不含糊地作出同意，至于同意的方式究竟是哪一种，并不重要。[46]

三、同意的类型

理论上说，同意可以是明示的（expressly），也可以是默示的（implied）。特殊情形下才可以是沉默。因为我国《民法典》第140条第2款规定：“沉默只有在有法律规定、当事人约定或者符合当事人之间的交易习惯时，才可以视为意思表示。”但是，由于《个人信息保护法》第14条第1款第1句已经明确规定，个人对于其个人信息被处理而作出的同意必须是在充分知情的前提下自愿、明确作出的。故此，同意必须是明示的，而默示、预选方框或者不作为都不构成同意。[47]

所以明示的同意，是指个人通过言语、文字等积极的行为即作为来作出对处理者实施的个人信息处理行为的同意。此种积极的行为，包括网络上关于是否同意处理其个人信息的对话框中的“同意”选项，也包括打电话给处理者口头告知同意其处理个人信息，以及通过填写电子表格、发送电子邮件或者上传包含个人电子签名的文档等来表示同意。不过，由于个人信息处理者负有举证证明取得个人同意的义务，故此，采取纸质或者电子方式的同意更为稳妥。

（一）单独同意

“单独同意”是《个人信息保护法》新创的一个概念，此前我国的法律中都没有规定。依据《个人信息保护法》第14条第1款第2句的规定，在法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。也就是说，除了要求同意必须基于个人在充分知情的前提下自愿、明确作出，法律、行政法规还可以提出特别的要求即单独同意或书面同意。依据《个人信息保护法》的规定，需要取得单独同意的个人信息处理活动主要就是五类：其一，处理者向其他处理者提供个人信息（第23条）；其二，处理者公开个人信息（第25条）；其三，将在公共场所安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全之外的其他目的（第26条）；其四，处理敏感个人信息（第29条）；其五，向我国境外提供个人信息（第39条）。

显然，从单独同意适用的上述五类情形可以看出，这些情形都是会对个人权益产生很重大影响的情形，故此，需要通过非常鲜明的、突出的方式来警示个人，使个人认真且慎重地权衡利弊得失后作出同意与否的决定。因此，单独同意的要求本质上就是法律强制地要求个人信息处理者将个人针对某类处理活动作出的同意与对其他的处理活动作出的同意加以区分，凸显出来。这就意味着，个人信息处理者在取得个人同意的时候，既不能将需要取得同意的个人信息处理活动的内容与其他信息混在一起，也不能将处理目的、处理方式和个人信息种类等不同的个人信息处理活动混在一起概括取得个人的同意。处理者必须就法律所规定的特定类型的个人信息处理活动专门地取得个人的同意。以往的实践中，许多网络公司将各种内容混在一起，放在所谓的隐私政策或服务条款中，[48]其中既有个人信息处理活动的内容，也有合同权利义务的约定、警示提示甚至宣传吹嘘自己服务的内容等，长篇大论，个人只需要点击最后一个同意即可。这种同意至少就需要单独同意的个人信息处理活动而言，是无效的同意。至于将需要单独同意的个人信息（如敏感的个人信息）和不需要取得单独同意的个人信息都混在一起，概括地、一揽子地取得个人的同意的做法，在《个人信息保护法》施行后也是不可行的。

（二）书面同意

所谓书面同意，是指个人应当以书面的形式作出同意。依据《民法典》第469条，书面形式是合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式。以电子数据交换、电子邮件等方式能够有形地表现所载内容，并可以随时调取查用的数据电文，视为书面形式。书面形式既有助于发挥警示的作用，使当事人三思而后行，也有助于保存证据，避免和解决纠纷。在个人信息处理中，书面同意提高了对处理者的要求，其意味着，个人的同意不仅应当是个人在充分知情的前提下自愿、明确地作出的，还必须采取书面形式，而处理者负有举证证明存在该书面同意的义务。如果处理者不能证明取得了个人的书面同意，即便可以证明取得了同意，该处理活动也是非法的、无效的。

欧盟《一般数据保护条例》没有要求同意必须是书面的，这是因为该条例不能破坏成员国各自民法对于同意的形式的规定。《个人信息保护法》颁布前，我国的一些行政法规就已经对个人信息处理活动需要取得书面同意作出了规定。《征信业管理条例》第18条第1款规定：“向征信机构查询个人信息的，应当取得信息主体本人的书面同意并约定用途。但是，法律规定可以不经同意查询的除外。”第29条第2款规定：“从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息，应当事先取得信息主体的书面同意，并适用本条例关于信息提供者的规定。”

《个人信息保护法》并没有要求同意必须是书面形式，而只是规定法律、行政法规要求采取书面形式的，从其规定。不过，由于《个人信息保护法》第14条第1款已经要求同意必须是明确作出的，这就意味着个人信息处理活动中，处理者为了证明已经取得个人明确、自愿的同意，基本上都会对个人的同意采取书面形式，否则难以证明这一点。

四、重新取得同意

依据《个人信息保护法》第14条第2款，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。之所以如此，是因为这三个事项在个人信息处理中至关重要，对于个人信息权益的影响最大。首先，个人信息的处理目的是指个人信息处理者为什么要处理个人信息，想要实现何种目的。由于处理目的直接决定了处理方式和处理的个人信息的种类，基于目的限制原则，个人信息的处理也必须与处理目的直接相关。故此，处理目的至关重要，《个人信息保护法》要求处理个人信息应当具有明确、合理的目的，同时处理的目的应当向个人加以明示。故此，变更处理目的就意味着处理方法和处理的个人信息的种类等都可能发生变化，即便它们不会变化，新的处理目的是否明确、合理，对个人信息权益将产生何种影响也是未知的，必须告知个人并重新取得同意，否则不得按照变更后的处理目的实施处理行为。

其次，处理方式就是指个人信息处理者以何种方法处理个人信息，如收集的方法、使用的方法以及存储的方法等。在处理目的不发生变化的情况下，虽然处理方式的变化仍然受制于处理目的，但是仍不可能避免导致对个人权益的影响方式发生改变。由于个人此前的同意只是针对变更前的处理方式作出的，其同意承受的是变更前的处理方式对个人权益的影响，故此，处理方式的变更需要告知并重新取得个人的同意。

最后，处理的个人信息的种类不同，对于个人权益的影响不同，法律上的要求也不同，处理者应当告知并重新取得同意。例如，A公司原来处理的个人信息都是非敏感的个人信息，现在要增加一项敏感的个人信息如行踪轨迹信息，这种情形下，当然要告知个人并重新取得同意，而且依据《个人信息保护法》的规定，处理敏感个人信息的还必须取得个人的单独同意。

总之，《个人信息保护法》第14条第2款明确了三类个人信息处理活动中的事项的变更必须重新取得同意，该规定贯彻了目的限制、公开透明等个人信息处理的基本原则，有利于充分保护个人信息权益。至于其他的个人信息处理者告知个人的事项，在发生变更时，也要告知个人（《个人信息保护法》第17条第2款），但不需要重新取得个人同意。

◆ 疑点与难点

一、同意的明确与具体的关系

欧盟《一般数据保护条例》第4条第11款还要求数据主体作出的同意是“具体的”（Specific），该要求的目的旨在确保数据主体在一定程度上的用户控制度和透明度。欧盟第29条工作组在《对第2016/679号条例下同意的解释指南》中认为，要满足数据的同意是“具体的”这一要求，数据控制者必须做到以下几点：（1）将使用目的具体化，防止功能擅改；（2）细化请求同意的颗粒度；（3）明确将与获得数据处理活动同意相关的信息与其他事项的信息分开。

我国《个人信息保护法》第14条没有明确要求个人作出的同意必须是具体的，但从该法的其他规定来看，也可以认为是有此要求的：一方面，《个人信息保护法》第6条要求处理个人信息的目的必须是明确、合理的。“目的的明确”就意味着目的应当是清晰的、具体的，否则难以明确。在基于个人同意处理个人信息中，目的的明确也对应着“同意的明确”。另一方面，《个人信息保护法》第17条要求处理者在处理个人信息前应当以“显著方式”“清晰易懂的语言”“真实、准确、完整地”向个人告知规定的事项。这就使得需要取得同意的个人信息处理事项与其他事项的信息相互区分，而第17条第1款对需要告知事项的列举，也起到了细化请求同意的颗粒度的作用。例如，当处理者是出于多个处理目的而处理个人信息的，那么依据第17条第1款第2项，每一个处理目的都应当告知个人，并取得个人的同意（同意的方式既可以是针对每一个处理目的作出一个同意，也可以是就列明的全部处理目的作出一个同意）。

二、单独同意与书面同意的关系

从《个人信息保护法》第14条第1款第2句的规定可知，单独同意、书面同意肯定是比一般的同意更高的要求。从该法第29条来看，书面同意的要求应当又要比单独同意的要求更高。因为处理敏感的个人信息本身就要求取得个人的单独同意，而第29条还规定，法律、行政法规规定处理敏感的个人信息应当取得书面同意的，从其规定。这就是说，法律、行政法规会要求某些敏感个人信息的处理必须取得个人的“书面的单独同意”。从这个角度来说，所谓“书面的单独同意”应当是指纸面的同意书，即必须取得个人亲笔签名的针对某类敏感个人信息的处理表示同意的纸质同意书。

三、同意的期限问题

个人信息处理者取得个人同意，该同意持续多长时间，例如，个人究竟是可以同意处理者在一年内抑或十年内处理其个人信息，对此《个人信息保护法》没有规定，事实上也没有必要规定。一方面，《个人信息保护法》第15条明确规定了，基于个人同意处理个人信息的，个人有权撤回其同意。也就是说，无论同意的持续期间是一年还是十年，对个人而言没有约束力，个人有权随时撤回其同意。处理者对该同意的期限也不会产生法律上给予保护的信赖。[49]不仅如此，处理者以格式条款的方式来取得无期限限制或不可撤回的同意的，该条款也属于无效条款。对此，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第11条有明确的规定：“信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，该自然人依据民法典第四百九十七条请求确认格式条款无效的，人民法院依法予以支持。”

◆ 相关规定

《民法典》第140条、第469条、第1033条；《征信业管理条例》第18条、第29条；《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条、第4条、第11条