个人信息主体的“同意”不等于“授权”

 　　高富平撰文《同意≠授权——个人信息处理的核心问题辨析》指出，在个人信息合法性认知框架下，将“同意”视为“授权”有百害而无一利。首先，这会导致默认个人对个人信息享有支配权或决定权的不利后果。在民法视角下，任何授权或许可行为均以“有权”为前提，而如果民法保护个人信息上人格利益，那么就不存在授权或许可的法律基础。其次，将“同意”视为“授权”，还容易导致信息处理者（使用者）一旦有了“同意”，就认为有了在同意范围内有使用个人信息的自由。但是，“个保法”中的“同意”并不具有这样的效力和效果，个人信息立法也从来不欲按照如此效果来设计同意规范。在“个保法”中，“同意”实际上只意味着他人可以处理，而并不意味着处理者具有不承担任何责任的自由。实际上，“同意”后的处理行为不仅须遵守具体法律规定，而且还要合理公平，不实质性地侵害个人权益。非经个人同意的处理并不一定侵权，经个人同意的处理也并不一定不侵权，获得个人同意并不一定免责。这里对“同意”的效力的讨论仍然是以有效同意为前提，如果再考虑到“同意”存在诸多瑕疵，我们更不应当将“同意”视为“授权”。 

 摘自《探索与争鸣》2021年第4期