◆ 条文要旨

本条是对同意的撤回的规定。

◆ 理解与适用

一、个人可以撤回同意的理由

在个人信息处理中，告知同意规则是一项最基本的规则，依据《个人信息保护法》第13条的规定，个人信息处理行为的合法性基础有两类，一是取得个人的同意，二是法律、行政法规的规定。之所以《个人信息保护法》第15条允许个人有权撤回同意（right to withdraw consent/Widerrufsrecht），具体理由在于：个人的同意体现了自然人处分个人信息权益的自由，性质上属于违法阻却事由，即针对客观上属于侵入或妨碍个人信息权益的处理行为发挥正当化的效力，使之成为合法行为。个人信息上承载了法律给予保护的自然人享有的非常广泛的权益，既包括宪法上的人格尊严、人身自由等基本权利，也包括人身权益、财产权益等民事权益。如果一旦个人作出了同意，就不能撤回或者很难撤回，那么个人的同意就不可能是真正的同意，其对个人信息的处理就没有真正的自主决定权，[50]如此一来，是无法充分维护人格尊严和人身自由的。故此，法律上应当允许个人随时撤回其同意，任何禁止或限制个人撤回同意的格式条款或单方声明等都是无效的。

从比较法上来看，各国的法律也都明确允许信息主体或数据主体撤回其同意。例如，欧盟《一般数据保护条例》第7条第3款规定：“数据主体有权随时撤回其同意。同意的撤回不应影响在撤回前基于同意做出的数据处理的合法性。在做出同意前，数据主体应被告知上述权利。撤回同意应与做出同意同样容易。”德国《联邦数据保护法》第51条第3款规定：“数据主体有权随时撤回其同意，撤回同意不得影响撤回前同意处理的合法性。在作出同意前应当将此事告知数据主体。”再如，巴西《通用数据保护法》第8条第5款规定：“只要不作出根据本法第18条第VI项规定的删除请求，同意可以通过便捷和免费的流程，随时被数据主体明确表示撤回，这是对基于先前同意而做处理的矫正。”

二、个人有权撤回同意

1.个人有权随时撤回其同意，也就是说，个人撤回同意是无条件的，只要个人想撤回，就可以撤回，既不需要法律上规定的理由，更无须向处理者说明理由。不仅如此，法律上不存在对个人撤回同意的权利的其他限制，例如，撤回权不存在适用《民法典》规定的除斥期间的问题。[51]同样，处理者也不能通过格式条款或其他任何方式与个人约定撤回权行使的期间等而限制或剥夺个人的撤回权。如果存在这些条款或约定，均属无效。[52]在个人信息处理的任何阶段，个人均可以撤回同意，也就是说，不仅仅是在个人信息被收集的阶段，也包括加工、存储、使用、提供、公开等各个此前个人同意的处理方式的阶段，个人均可以撤回同意。

2.个人撤回同意只适用于基于个人同意处理个人信息的情形，至于并非基于个人同意处理个人信息的情形，即依据法律、行政法规的规定无须取得个人同意即可处理个人信息的场合，个人并未作出同意，自然也就不存在撤回同意。

3.个人信息处理者应当提供便捷的撤回同意的方式。首先，个人信息处理者应当向个人提供撤回同意的途径和方法。如果处理者不提供这种途径，就是剥夺个人撤回同意的权利。这种情形下应当认为，处理者基于个人同意的处理行为是违法行为，也就是说，即便是在取得个人同意后而收集个人信息并进行相应处理活动的，但是由于没有提供撤回同意的方式和途径，所以该处理活动从一开始就是非法的。[53]其次，撤回同意的方式应当是便捷的。便捷与否当然是相对的，这里就是相对于同意而言的。欧盟《一般数据保护条例》第7条第3款的表述比较明确，即“撤回同意应与作出同意同样容易”（It shall be as easy to withdraw as to give consent）。我国《个人信息保护法》第15条第1款第2句使用的是“便捷的撤回同意的方式”，本书认为，对此应当理解为：个人信息处理者提供给个人的撤回同意的方式至少要和作出同意一样便捷，当然，也可以更便捷。这就是说，如果个人作出同意仅仅是通过点击鼠标、滑动或单击键盘即可完成，那么要撤回同意也应当同样轻松或者更轻松，不能让个人必须在花费不适当或不合理的努力（如为了撤回同意而必须跳转诸多界面或完成一系列复杂的手续）后才能完成。此外，个人信息处理者也不能因为个人要撤回同意而收取费用或者降低甚至取消产品或服务的提供，如果这样，就构成个人信息处理者对个人的胁迫，违反了《个人信息保护法》的规定。

三、处理者有义务告知个人有权撤回同意

欧盟《一般数据保护条例》、德国《联邦数据保护法》等法律要求，数据控制者在取得个人同意前，必须告知个人有随时撤回同意的权利。如果数据控制者不履行这一告知义务，那么依据《一般数据保护条例》的规定，可以对数据控制者处以最高数额为2000万欧元或者上一财政年度全球营业总额4%的罚款。我国《个人信息保护法》第15条没有明确规定处理者在取得同意前必须告知个人有权随时撤回同意。但是，由于随时撤回同意也是《个人信息保护法》规定的个人的权利。故此，也应当纳入《个人信息保护法》第17条第1款第3项规定必须告知个人的“个人行使本法规定的权利的方式和程序”当中。

四、撤回同意的法律效果

个人撤回同意将产生何种法律效果，比较法上有所不同。欧盟《一般数据保护条例》主要规定的效果是，其一，撤回同意不应影响在撤回前基于同意作出的数据处理的合法性（第7条第3款）；其二，如果数据主体是根据该条例第6条第1款（a）项或第9条第2款（a）项撤回同意，那么只有在欠缺其他有关数据处理的法律依据的情况下，控制者才必须删除数据，否则并非必须删除数据[第17条第1款（b）项]。

从我国《个人信息保护法》的规定来看，撤回同意的法律效果有以下三项：

1.只有在基于个人同意处理个人信息的时候，才存在个人有权撤回同意的问题，至于处理者本来就不是基于个人同意而处理个人信息的，不存在个人撤回同意的问题。故此，就基于个人同意而进行的个人信息处理活动而言，自个人撤回同意之时起，该处理活动就丧失了合法性基础，那么除非处理者不得再处理个人信息，处理者必须停止与撤回同意相关的个人信息处理活动。例如，甲公司作为个人信息处理者就三个不同处理目的（A、B、C）的处理行为，取得了乙的同意，现在乙撤回了针对处理目的A的处理行为的同意，则甲公司应当立即停止该处理行为，至于处理目的为B、C的处理活动还可以继续进行。倘若乙撤回了针对这三个处理目的的处理行为的同意，显然甲就必须停止全部的这三类处理活动。否则其处理行为就是非法行为，构成对个人信息权益的加害行为。

2.删除个人信息。《个人信息保护法》第47条第1款第3项规定，如果个人撤回同意，则个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除。这一规定是为了更好地实现个人撤回同意的目的。因为个人撤回同意的真正目的是停止处理者对其个人信息的处理。如果个人信息不被删除，由于信息的不对称，个人很难知悉处理者是否真的停止了对其个人信息的处理。

3.个人撤回同意不具有溯及力。也就是说，个人撤回同意不影响撤回前基于个人同意已经进行的个人信息处理活动的效力，只要这些处理活动本身并不存在其他违法之处。所谓不影响效力，是指不影响这些个人信息处理活动仍被认为是基于个人同意而进行的处理活动，个人不得以其撤回同意为由要求处理者承担侵害个人信息权益的民事责任，依法履行个人信息保护职责的机关也不得以个人已经撤回同意为由，认定撤回前基于个人同意已经进行的个人信息处理活动是违法的，进而追究处理者的行政责任或刑事责任。当然，撤回同意只是不影响“基于个人同意已进行的个人信息处理活动的效力”，倘若处理活动尚未进行或者处理活动原本就不是基于个人同意而是为履行法定职责或其他法律、行政法规规定的情形，自然不存在影响效力的问题。之所以撤回同意不影响此前处理活动的效力，目的不是要保护个人信息处理者对个人的某种信赖，因为不存在这样的信赖。但是，在允许个人可以随时撤回同意的情形下，由于处理者必须随时做好个人会撤回同意的准备，所以为了实现个人信息权益的维护与个人信息的合理使用之间的利益平衡，法律上必须作出这样的规定，这也是基于诚信原则与公平原则的要求。

◆ 疑点与难点

一、撤回同意与意思表示的撤回、撤销

如果不能正确认识个人同意的性质，将其理解为意思表示，就会出现将撤回同意理解为撤销同意，甚至产生要求个人承担赔偿责任的错误认识。例如，有观点认为，同意撤回是指个人信息主体基于“告知同意”原则，对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示。但从理论上看，撤回须在意思表示未生效之前到达相对人，其产生的效力是使得早先作出的意思表示不发生效力；而撤销系在意思表示到达相对人并生效之后作出的取消前一意思表示的行为。因此，《个人信息保护法》所指的“同意的撤回”虽名为撤回，实质含义则为意思表示的撤销。[54]再如，有的观点认为，当同意并不直接涉及合同交易领域时，可随时撤回同意，该行为仅仅是对他人行为违法性的排除；当“同意”涉及具体的合同交易领域时，则应当比照适用典型合同中的任意撤销权规则，对个人信息主体的“同意撤回权”作出一定限制，当其因撤回给信息处理者造成损失时，应当承担损害赔偿责任。[55]本书认为，同意并非意思表示，故此不适用《民法典》关于意思表示的撤回以及撤销的规则。我国《民法典》对意思表示的规定中，之所以区分撤回和撤销并确立不同的规则，主要是考虑到交易相对人的信赖保护，而个人信息处理中个人的同意不涉及对处理者的信赖保护，处理者对于个人是否同意以及是否撤回同意不存在需要法律保护的信赖。因此，也不存在个人撤回同意后，需要向处理者承担损害赔偿责任的问题。

二、撤回同意与反对权

个人撤回同意与所谓的反对权（right to object）不同。欧盟《一般数据保护条例》第21条规定了个人在个人信息处理中的反对权，依据该条，数据主体有权在特定情况下随时反对依据该条例第6条第1款（e）项或（f）项规定对其个人数据进行的处理，包括根据这些条款进行的数据画像。除非控制者能够证明其合法利益高于数据主体的利益、权利和自由，或者法定请求权的确立、行使和抗辩有强有力的法律依据。如果是为直接营销目的处理个人数据的，数据主体有权随时反对因为该商业目的处理其个人数据，包括与直接营销有关的数据画像。当数据主体反对因直接营销目的处理数据的，个人数据不得再因该目的被处理。个人撤回同意所针对的是基于个人同意而进行的个人信息处理活动，也就是说此等个人信息处理活动的合法性基础在于个人的同意。但是，欧盟法上的反对权所针对的是非基于个人同意而进行的个人信息处理活动，即依据《一般数据保护条例》第6条第1款（e）项和（f）项规定的理由而进行的个人信息处理。[56]此外，反对权的行使必须符合一定的条件，也就是说，如果控制者能够存在继续处理数据的令人信服的理由，那么个人不能行使反对权。但是，撤回同意是无条件的，不需要提供理由。我国《个人信息保护法》上没有规定反对权，但也同样规定个人信息处理的合法基础分为两类：一是基于个人同意而进行的个人信息处理；二是基于法定许可而进行的个人信息处理。显然，只有对基于个人同意而进行的个人信息处理活动，个人才有权撤回其同意，并通过此种撤回来阻止个人信息处理者继续进行处理。但是，对于那些不是基于个人同意的个人信息处理活动而言，个人当然不存在撤回同意的可能，也没有所谓的反对权。

三、撤回同意与删除权

撤回同意与个人行使删除权不同。所谓删除权，是个人在个人信息处理中享有的一项权利。《民法典》第1037条第2款规定，自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。《网络安全法》第43条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息。《个人信息保护法》第47条第1款列举了处理者主动删除和个人请求处理者删除个人信息的五种情形，其中包括个人撤回同意。但是，删除个人信息的情形则不限于撤回同意，还包括其他的情形如处理目的已经实现、无法实现，或者处理者是在非法处理个人信息等。也就是说，处理者可能是完全没有取得个人的同意，也没有其他合法基础而处理个人信息。此时，个人显然是不需要通过撤回同意来阻止处理者处理个人信息的，而只需要通过行使删除权要求个人信息处理者予以删除。不仅如此，在非法处理个人信息而侵害个人信息权益造成损害的时候，个人还有权要求处理者承担民事责任。但是，在撤回同意的情形下，个人撤回同意并不影响撤回前基于个人同意已进行的个人信息处理活动的效力，故此，个人不能在撤回同意后，要求处理者就此前的处理行为承担民事责任（除非该行为本身就是违法的）。

◆ 相关规定

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第11条