同意或者告知同意是个人信息处理的核心规则，在个人信息保护法律制度中具有基石性作用。我国个人信息保护法共有14个条文27处出现“同意”，其中10个条文22处出现于个人信息处理的“一般规定”一节；2个条文3处出现于“敏感个人信息的处理规则”一节；1个条文1处出现于“个人信息跨境提供的规则”一章；1个条文1处出现于“个人在个人信息处理活动中的权利”一章。在个人信息的“全生命周期”中，知情同意是一道“闸口”，无论是个人信息采集、利用，还是相应转换、转移，均绕不开“知情同意”。本文以个人信息保护法中有关“同意”的规定为依据，对个人信息处理中同意的法律性质和同意规则的理解与适用等问题进行讨论。

一、同意的性质

同意或者告知同意是个人信息处理的基本机制或者说大多数情形下处理个人信息的合法性基础，这点规定在个人信息保护法第13条第2款规定：“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”

关于同意的法律性质，立法过程中曾经进行过探讨，其中草案第一稿将同意规定为“意思表示”，但是后来的草案文本和最终条文没有采纳“意思表示”说，而是规定同意“应当由个人在充分知情的前提下自愿、明确作出。”个人同意产生的法律效果与民法上的意思表示有较大的差别——往往不是产生具有约束力的人身性质或财产性质的权利义务关系，而是使得处理者的处理行为获得合法性基础。而且，个人可以撤回同意、请求删除以同意为合法性基础处理的个人信息以及请求更正、转移等。这表明，同意不对个人产生义务约束，不具有民法上的同意效力。中共中央、国务院“数据20条”在论述个人信息数据与企业数据处理的关系时强调对个人信息的保护，使用了“授权”概念，反对“一揽子授权”。所以，比较倾向于从授权的角度来讨论个人同意的法律性质，而这个授权并不或者主要不产生民法上的效果，因此也不宜理解为民法上的授权行为如被代理人的委托授权，而是个人信息保护法这类领域法和具有社会法性质的法律所特有的授权，产生个人信息处理者处理行为合法性基础这样一个效力，对个人本身基本不产生约束力。

个人信息保护法第13条第1款同时对基于个人同意以外合法处理个人信息的情形作了规定，共包含6种情况：（1）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。在个人信息保护法的制定过程中，有的常委委员和企业、专家提出，现实中有关企业、单位在人力资源管理工作中需要处理个人信息，但同时也应当对为人力资源管理所必需处理个人信息的规定作出必要限制，故个人信息保护法规定为按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需处理个人信息的，无需取得个人同意。（2）为履行法定职责或者法定义务所必需。个人信息保护法第34条规定：“国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。”（3）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需。突发公共卫生事件，是指突然发生，造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。本项规定的自然人并不限于作为个人信息主体的自然人，同时也包括非个人信息主体的其他自然人。（4）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息。民法典第999条规定：“为公共利益实施新闻报道、舆论监督等行为的，可以合理使用民事主体的姓名、名称、肖像、个人信息等；使用不合理侵害民事主体人格权的，应当依法承担民事责任。”（5）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。个人信息保护法第27条规定：“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。”（6）法律、行政法规规定的其他情形。

二、告知与同意的关系

个人信息保护法第17条规定：“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。”“前款规定事项发生变更的，应当将变更部分告知个人。”“个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。”个人信息保护法第18条规定：“个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。”“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。”

个人信息处理者的告知义务，是指为了让个人信息主体对其个人信息处理活动的相关事项知情，个人信息处理者依法负有的主动向个人信息主体告知与其个人信息处理相关重要事项信息的法定义务。除个人信息保护法第17条和第18条的规定外，个人信息保护法第22条、第23条、第30条、第35条、第39条等条文对个人信息处理者的告知义务作出了特别规定，其主要内容为：（1）个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式（第22条）。（2）个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类（第23条）。（3）个人信息处理者处理敏感个人信息的，除本法第17条第1款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外（第30条）。（4）国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第18条第1款规定的情形，或者告知将妨碍国家机关履行法定职责的除外（第35条）。（5）个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项（第39条）。

个人信息处理者的告知义务既适用于个人信息处理者基于个人同意处理个人信息的情形，也适用于个人信息处理者基于个人同意以外的其他合法事由处理个人信息的情形。个人信息保护法第14条第1款规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。由于在个人信息处理活动中，个人信息处理者与个人之间的信息是不对称的，因此同意规则必须与告知规则密切联系，即要求个人信息处理者必须充分地告知，从而确保个人在充分知情的前提下作出同意。个人信息处理者不告知或告知不充分，而个人在完全不知情或不充分知情的情况下所作出的同意是无效的。个人信息处理者基于个人同意以外的其他合法事由处理个人信息的，同样应当依照个人信息保护法第17条的规定履行告知义务，但是有法律、行政法规规定应当保密或者不需要告知的情形的，个人信息处理者可以不履行告知义务。

三、单独同意的规定与适用

单独同意，即对每一个事项分别进行同意，而不是对数个事项包括数个需要单独同意的事项进行“一揽子同意”或概括同意。个人信息保护法第14条、第23条、第25条、第26条、第29条和第39条等条文对适用“单独同意”作出了规定，但是法律没有对“单独同意”进行界定。这些条文所包含的基本要求是：（1）法律、行政法规规定要求取得个人单独同意或者书面同意的，应当取得单独同意或者书面同意（第14条）；（2）个人信息处理者向他人提供特定个人的个人信息，须要取得个人的单独同意（第23条）；（3）个人已经单独同意的，可以公开其所处理的个人信息（第25条）；（4）个人单独同意的，可以在“维护公共安全的目的”之外处理个人的图像信息等（第26条）；（5）敏感个人信息的处理，需要得到个人的单独同意（第29条）。

可见“单独同意”有两项基本特征或者效果：一是对那些对个人影响重大的个人信息处理活动要求取得个人的单独同意；二是个人单独同意可以放宽处理者的处理自由。

在法律实施中，准确适用“单独同意”需要把握以下几个方面：（1）单独同意是同意事项下的要求，即只适用于以同意为处理个人信息合法性基础的事项，不需要同意的（第13条第1款第2项至第7项）则无所谓单独同意问题；（2）区分单独同意是作为处理个人信息的合法性基础还是作为扩大处理者处理个人信息自由的事项，然后分别对其处理行为进行合法与否判断；（3）对“隐私条款”“告知同意书”等实践加以规范，多个需要单独同意的事项混杂在一起，以及需要单独同意的事项与其他事项混杂在一起，所做的同意都不是合格的单独同意，而是中央文件所批评的“一揽子同意”。

四、个人同意与许可

个人同意从某种意义上来说是许可：同意就是许可个人信息处理者以其同意的方式、目的等处理个人信息，处理者处理此等个人信息获得合法性基础。这里的“许可”以个人知情或者充分知情为前提，以自愿做出同意为有效条件。从这个意义上看，个人同意的许可与民商法上的许可有意志决定和表达方面的相通性。但是，其根本区别在于不具有财产内容，不产生财产关系：个人许可他人处理其个人信息不是财产权益的让渡包括特许经营、出租、出让，不期望也不产生任何经济回报；个人信息处理者得到许可只是获得了其处理个人信息行为的合法性基础，不是其数据财产权的来源，数据财产权因为其处理个人信息也包括处理其他数据而原始取得，不需要交租、交出让金。

五、同意的撤回

个人信息保护法第15条规定：“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”“个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”同意撤回是指个人对自己基于告知同意规则对个人信息处理者作出的授权予以取消，从而终止个人信息处理者实施个人信息处理行为，是个人对其个人信息进行支配的一种方式。对个人的同意撤回权作出规定，在一定范围内赋予个人对其个人信息处理的决定权，是尊重和保障个人人格尊严的必然要求。同意撤回权的行使对象为个人信息处理者。当个人行使同意撤回权时，个人信息处理者负有一定的积极配合义务，从而保障个人对个人信息的自主决定，其最重要的表现方式即为个人信息处理者应当提供便捷的撤回同意的方式。个人的同意撤回权不具有溯及既往的效力。个人撤回同意的，撤回同意前个人信息处理者基于个人同意已进行的个人信息处理活动的效力不受影响。个人不得以其撤回同意为由要求个人信息处理者承担侵害个人信息权益的民事责任，依法履行个人信息保护职责的机关也不得以个人撤回同意为由认定撤回同意前已进行的个人信息处理活动违法，进而追究个人信息处理者的行政责任或刑事责任。