211292914_《个人信息保护法》中“撤回同意”规则探析

2023年第5期总第292期
征信
CREDIT REFERENCE
No.52023Serial No.292
摘要：《中华人民共和国个人信息保护法》的出台标志着我国进一步强化对个人信用信息的保护，其中“撤回同
意”规则对征信业合规提出了更高要求。

把握“撤回同意”规则的意义，分析该规则在实际执行中面临的具体问题和对征信业合规的影响，从强化顶层设计、征信合规、培训宣传、多方合作方面提出对策建议，从而使“撤回同意”规则能更好地保护个人信息主体的利益，提升征信业务合规水平。

关键词：个人信息保护法；征信；撤回同意；影响中图分类号：F832文献标识码：B 文章编号：1674-747X （2023）05-0052-04
《个人信息保护法》中“撤回同意”规则探析
邰志强
（中国人民银行泰州市中心支行，江苏泰州
225300）
收稿日期：2023-02-03作者简介：邰志强（1981—），男，江苏泰州人，会计师，学士，主要研究方向为征信理论与实务。

一、《个人信息保护法》中“撤回同意”规则及其意义
（一）“撤回同意”的规则
《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第13条把取得个人信息主体“同意”作为处理个人信息的基本前提，条款中规定的特殊情况除外；第14条对个人的“同意”作出具体规定：“基于个人同意处理个人信息”作为告知—同意规则的核心内容，系出于尊重和保护个人对其个人信息处理的知情权和决定权而产生，要求信息处理者主动将其收集、使用个人信息的情形告知于信息主体，信息主体在充分知情的前提下作出自愿有效的同意允诺，信息处理者在其同意的范围内处理其个人信息。

《个人信息保护法》第15条规定“同意”可以撤回，由此形成针对个人信息处理的同意撤回权的特别规则：“撤回同意”是指个人信息主体基于“告知—同意”的原则，对自己已经作出的“同意信息处理者对其个人信息进行处理”的授权予以取消的意思表示［1］；“撤回同意”体现了信息主体对个人信息的自
决处分，撤回的是信息处理者对其个人信息的“使用权”，使得信息处理者不再有权收集、使用信息主体的任何新的个人信息。

当然，在实践中普遍存在“个人信息主体行使了‘撤回同意’权后仍有再次同意”的情况，因此个人信息主体可以根据获取服务的实际需求，选择暂时撤回同意，或者再次选择同意授予信息处理者以处分的权限。

（二）“撤回同意”的意义
无救济的权利不是真正的权利，不可撤回的“同意”也不是真实的“同意”。

“撤回同意”规则的出台，有效弥补了“同意”规则的不足。

当下，“同意”规则在个人信息保护领域的应用并没有取得较好的效果，例如常见的“隐私政策”的使用，往往因为表述条文冗长、意思晦涩，直接导致用户或潜在用户不愿认真阅读乃至反感甚至直接放弃获取服务；由于个体认知能力存在差异，绝大部分用户实际上并不能真实、清晰、准确地了解识别个人信息被处理的具体程序与潜在风险；在部分极端场景中，权力势差直接导致用户不选择同意就无法获取此项产品或服务，最终结果是个人主体为了享受此项产品或服务而被迫作出同意；等等。

可见，仅“同意”规则并不能很好地
·
·52
保护权利人的人格权益，“撤回同意”规则的出台，为个人信息主体获取更多真实意愿下的自主选择提供了更大空间和更多可能，从而使得个人信息主体的“决定权”意思更加真实、意愿更加自主［2］，为个人信息权利人提供了全过程的动态保护，有效弥补了“同意”规则的不足。

二、当前征信业中执行“撤回同意”规则存在的问题
（一）传统模式存在的问题
传统模式主要从银行、保险等金融机构以及公共征信机构（如司法机构、税务机构）等渠道收集数据信息，能够保证数据信息的准确性、完整性和持续性，同时数据的价值主要体现在资产评估、信用卡授信以及贷款申请等情形。

金融机构一般通过与当事主体签订服务协议，获取当事人同意，获得当事人的信用信息，这也是过去长期以来我国征信信息业务开展的普遍方式。

当前，传统模式未严格执行“撤回同意”的要求。

对于个人征信查询授权，一般的授权书上均没有明确授权能否被撤回，并且注有“本人不可撤销地授权XX机构查询本人征信，并同意将本人基本信息、信贷信息等报送至金融信用信息基础数据库”的内容，对于本人要求撤回授权的，目前缺乏公认的有效途径。

（二）互联网模式存在的问题
互联网模式是以近年来新兴的大数据、云计算等信息技术为应用手段，对个人或企业用户的行为信息进行采集、获取和信息评估的一种征信活动，主要获取和评估用户使用互联网过程的历史痕迹信息，包括但不限于用户的信贷等类型的数据信息。

以蚂蚁金服集团的芝麻信用管理有限公司为例，它借助云计算、智能机器等先进技术采集分析用户在阿里的消费数据，包括消费倾向、消费金额、消费频次等，描绘用户的信用画像，如年龄、收入、资产等，在此基础上结合传统金融信贷数据，通过设计复杂模型计算，赋予用户各自的信用分值。

同时，对用户信用进行评价，以分数的高低决定信用等级。

当前，互联网模式不但未严格执行“撤回同意”的要求，其“告知—同意”也存在瑕疵。

在互联网征信领域，各类应用软件通常在其首页页面的页眉页脚以小字体、淡色字体等不引人注目的方式展现相关“隐私政策”的要求，并需要用户勾选同意相关条款的选项后才允许进入后续页面。

现实中仅有占比极少、合规意识较强的企业能够做到要求用户下拉隐私政策条款或在隐私条款页面停留几秒后才能点击同意，以此避免用户不经阅读就直接点击同意［3］。

实际上，这样操作下的“同意”存在很大弊端。

一是用户由于先天的市场弱势地位无法真正行使拒绝权。

尽管理论上用户若不同意隐私条款的内容就可以行使拒绝权，但实践中不少应用软件利用已经取得的日常生活必备产品的地位，胁迫用户陷入不同意授权就不能获得服务的两难困境。

二是应用软件为了提高市场份额、获取更大利润，不断提升其服务质量和用户满意度，其修复、维护、更新、迭代等工作无时无刻都在不间歇地进行，相应地其配套的隐私条款也在不断地进行同步更新。

然而，用户实际上很难做到同步跟随应用软件高频次更新的步伐，在隐私政策被一次次更新后重新“知情”且授权同意。

因此，这大大削弱了“知情同意”规则的实际效果，而“撤回同意”更是难上加难。

三是“同意”并没有时间限制。

用户点击同意后，软件对个人信息的利用期限较长，甚至没有时间限制。

从短期看，个人或许是受益的，但从长期来说，不断积累的个人信息逻辑上一定是互为表里、互为线索的，通过未来数据聚合技术的加持，势必存在通过分析得出敏感信息的可能，这也将对用户产生风险或威胁［4］。

三、“撤回同意”规则的影响
（一）加大了央行征信系统完备性的风险
当前，央行征信系统提供的信用报告查询服务已经成为金融机构开展信贷业务必不可少的环节。

根据最新官方资料，截至2023年1月末，该系统收录了11.6亿自然人和8896万户企业的信用信息，日均向金融机构提供1112万次查询①。

我国《征信业管理条例》第13条规定，“采集个人信息应当经信息主体本人同意，未经本人同意不得采集”；《个人信息保护法》第15条和第47条规定，“基于个人同意处理个
①数据来源为《中国征信》。

·
·53
人信息的，个人有权撤回其同意”“个人撤回同意的，个人信息处理者应当主动删除个人信息”。

如果“撤回同意”规则与“删除权”等同，将严重影响央行征信系统的完备性。

而征信系统的完备性和数据质量同为征信系统的“命脉”，会对金融机构的具体业务产生直接影响，使得金融机构无法完全借助征信系统全面了解客户的负债、还款和信用情况。

（二）加大了金融机构征信违规的风险
1.加大被投诉或诉讼风险
当前，绝大多数金融机构还没有根据《个人信息保护法》的要求，修订有关对应“撤回同意”规则施行下的部门内控制度以及与此相配套的业务操作流程，一旦信息主体发起“撤回同意”的申请，很可能处理不规范，从而引发投诉和诉讼，加大金融机构的被投诉或被诉讼的风险。

2.加大金融机构日常操作风险
《个人信息保护法》第16条规定“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外”。

在传统征信领域，如果金融机构可以证明信息主体的同意授权是提供信贷产品所必须的，就可以基于前述信用主体的“撤回同意”而拒绝提供相关信贷产品。

此时金融机构负有举证义务，证明信息主体的同意与提供信贷产品的必要性和关联性，如果金融机构无法举证，那就需继续向信息主体提供相关信贷服务，从而加大金融机构的日常操作风险。

（三）加大基层央行征信维权的风险
当前中介代理维权和“征信修复”乱象较为严重，加上个人信息保护法“撤回同意”规则的出台，可能会带来一波“合规维权”浪潮，不少有不良记录的信息主体可能会利用这一规则申请删除自身不良信息。

由于央行至今没有对“撤回同意”和“删除权”的定义和情形进行官方解释，加上征信业务人员水平的参差不齐，将进一步加大基层央行征信维权工作的风险。

四、政策建议
（一）强化顶层设计
中国人民银行应牵头相关部委，进一步完善《征信业管理条例》的释义，明确“撤回同意”规则和“删
除权”的定义和具体情形，使基层人民银行和金融机构有据可依。

当前法学界对于“撤回同意”规则和“删除权”的解释大致有以下两种：
一是“撤回同意”规则不同于“删除权”。

如万方认为：“撤回同意”不具有溯及力，信息采集机构基于信息主体前期同意而获得的信息仍享有一定的权益，并不影响撤回前基于个人同意已进行的个人信息处理活动的效力，但不得对已收集的信息作出任何类型的处理，同时不再有权收集信息主体的任何新的个人信息，故个人信息主体行使撤回同意权不应当产生删除已收集数据的效力［2］；“删除权”即赋予个人对于其个人信息处理的决定权，有权在一定情形下要求个人信息处理者删除所处理的其个人信息。

二是“撤回同意”规则等同于“删除权”。

即信息主体申请“撤回同意”，信息处理者须删除其所处理的个人信息。

如王利明认为，根据《个人信息保护法》第47条第3款的规定，在个人“撤回同意”的情况下，信息处理者负有删除义务，同时信息主体也相应地享有请求删除的权利。

其理由为：如果信息主体“撤回同意”，那么在此之前信息处理者对个人信息的处理就缺乏基础与依据。

如果是基于合同产生的处理信息的权利，则撤回意味着解除合同［5］。

虽然学界对“撤回同意”规则有不同的理解，人民银行作为监管机构，当仁不让应当尽快出台实施细则，厘清相关的定义、标准和边界，建立健全个人信息保护的法律法规和监管基础。

（二）强化征信合规
1.完善制度和操作流程
金融机构要依据《个人信息保护法》《征信业管理条例》和人民银行相关要求，修订和完善“撤回同意”相关的内控制度和操作流程，并统一规范“撤回同意”的举证流程和要素。

2.规范告知“撤回同意”
一是明确告知。

目前传统征信领域和互联网征信领域，信息主体行使“撤回同意”均存在很大的壁垒，最主要的原因是用户无法得知自己享有撤回权，因此金融机构必须明确告知信息主体其所享有的权利。

与此同时，信息主体行使撤回权时必须以清晰的方式明确表达出来，使得一般的理性受领人可以
··54
确定撤回权人所撤回之同意的具体内容。

二是准确告知。

为充分保护权利人对其人格领域的自我决定，不得对同意撤回权之行使有任何形式上的限制，其既可采用书面形式，也可采用口头及可推断的行为方式；撤回权可分割行使，撤回权人既可撤回部分同意，亦可撤回全部同意［6］。

3.规范授权书格式文本
笔者认为如果失去同意撤回权，权利人将丧失排除与其真实意思不符的他人对其人格领域介入的可能性，权利人的人格将成为他人决定的对象而非自我决定的目的，在根本上与人之尊严的客观价值秩序相悖［4］。

因而，同意撤回权应被排除出撤回权人可以放弃的权限范畴，同意撤回权的放弃或同意无撤回权的特别约定无效。

那么目前在传统征信领域授权书中“本人不可撤销地授权XX机构查询本人征信”即存在无效的可能性，故金融机构需全面排查其授权书、格式合同文本中的表述，防止产生合规风险。

4.便捷“撤回同意”行权路径
目前国内立法对“便捷”的衡量标准未有定论，但参考欧盟《通用数据保护条例》，“撤回同意”应当和表示同意的方式一样便捷［7］。

2021年4月，国家互联网信息办公室等四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》的39类必要个人信息规定，凡不是在必要范畴内且未基于其他合法性基础的，应当为用户提供一项一键撤回个人信息保护的选项规则，让用户回归到最小必要个人信息状态中继续使用产品。

核心原因在于，既然同意的时候用户是概括式同意，那么在撤回时也应当允许用户概括式撤回。

那么出于方便信息主体的目的，在撤回征信领域的同意意思表示时，也应当使信息主体能有效、便捷行使。

（三）强化培训宣传
人民银行和金融机构要强化对分支机构的业务培训和指导，加强对《个人信息保护法》《征信业管理条例》等法律法规的学习，准确把握“撤回同意权”和“删除权”的内涵；同时对社会大众广泛开展《个人信息保护法》《征信业管理条例》和征信常识的宣传，一方面让金融消费者了解其享有的权利，通过“6·14信用记录关爱日”“诚信万里行”等诚信宣传教育活动，使信息主体充分认识自己享有的权利仍然任重
而道远；另一方面，引导信息主体提高维权意识，了解中介代理投诉和“征信修复”的危害，掌握正确的维权途径，养成良好的守信习惯。

（四）强化多方合作
设立多层次的争议处理机构，建立信息主体权益保护的组织体系。

在信息主体的“撤回同意权”受到侵害时，建议拓宽争议解决渠道，尝试构建或者由法院主导，或者由人民银行主导，有独立的第三方调解机构、行业协会、征信机构、金融机构参与的多层次的争议处理机构，建立健全多方参与、权威公正的信息争议解决机制，尽早形成全方位、多层次、宽视角的信用信息主体权益保护组织体系。

《个人信息保护法》的出台实施将对我国征信体系健康发展产生深远的影响，“撤回同意权”作为“知情同意”为前置，构成个人信息处理成本最小化的标准模式，保障“撤回同意权”也对信息主体权益的实现起到至关重要的作用。

虽然我国《民法典》《个人信息保护法》等法律对“撤回同意权”已作出规定，但总体上呈现抽象原则性，具体落实困难重重，学界业界百家争鸣。

也正是如此，在当下《个人信息保护法》引入“撤回同意”规则的情形之下，征信领域的个人信息在采集、加工、使用等环节必然会受其影响，而人民银行则应该以此为契机，做好相关的宣传引导工作，促使“撤回同意”规则真正地保护个人信息主体的利益，提升金融机构的征信业务合规水平［8］。

参考文献：
［1］王洪亮，李依怡.个人信息处理中“同意规则”的法教义学构造［J］.江苏社会科学，2022（3）：110-120.
［2］万方.个人信息处理中的“同意”与“同意撤回”［J］.中国法学，2021（1）：168-188.
［3］叶敏.论个人信息同意撤回权的现实困境与完善建议［J］.
财贸研究，2021（11）：62-71.
［4］吕炳斌.个人信息保护的“同意”困境及其出路［J］.法商研究，2021（2）：87-101.
［5］王利明.论个人信息删除权［J］.东方法学，2022（1）：38-52.［6］刘召成.人格权法上同意撤回权的规范表达［J］.法学，2022（3）：82-96.
［7］冯健鹏.个人信息保护制度中告知同意原则的法理阐释与规范建构［J］.法治研究，2022（3）：31-42.
［8］田昆,孙权,许靓.大数据时代市场化个人征信行业个人信息保护问题浅析［J］.征信，2021（7）：46-50.
（责任编辑：王银枝郑天恩）
·
·55。