論個人信息同意撤回權的現實困境與完善建議

葉 敏 瑪麗亞木·艾斯凱爾

(江南大學，江蘇 無錫 214122)

一、 提出“同意撤回權”的現實語境

隨著個人信息價值的不斷被挖掘，對信息安全與人身利益保護的擔憂也日益增長，世界各國開始紛紛制定和升級相應的法律法規以應對現實中出現的各類問題與糾紛，最為典型的是以歐盟《通用數據保護條例》為代表的個人數據保護模式和以美國《消費者隱私權利法案》為代表的隱私權保護模式。我國近年來相關立法的發展也緊隨此趨勢，2020年頒布的《中華人民共和國民法典》(下文簡稱《民法典》)首次在法律層面明確了對個人信息的保護，且基本采納的是歐盟《通用數據保護條例》下的“知情同意”個人信息保護模式。但隨著我國互聯網經濟的迅猛發展，“知情同意”模式日益暴露出其明顯的不足，主要體現在：

(一)一次性的“知情同意”授權不符合數據產業的發展現狀

我國原有“知情同意”制度的設計偏重于在信息收集環節的規制，但由于在大數據分析中信息收集僅為其初始階段，對信息商業利用的真正價值主要體現在后續的深度分析與流通中，因此對海量信息的二次甚至N次利用呈現出復雜性、多元性和流動性。在此情形下，信息處理者無法在信息收集時針對其后續的全部信息利用內容要求信息主體給予廣泛授權，也無法在信息商業利用中取得信息主體的再次授權(謝琳，2019)，顯然這是無法適應數據產業發展需求的?！吨腥A人民共和國個人信息保護法》(下文簡稱《個人信息保護法》)第14條增加了“個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意”的規定，看似拓展了“知情同意”的適用范圍，但由于數據后續利用的不可預測性，這項規定如果要不打折扣地完全落實，不僅使企業數據合規的難度加大、成本上升，甚至還可能阻礙大數據產業的發展(田野，2018)。

(二)現實中不存在個人在獲得充分背景信息的前提下做出有效同意這一理想狀態

為了“滿足”法律中的知情同意規定，各類應用軟件往往采取在其首頁用最不引人矚目的方式展現相關“隱私政策”，并需要用戶點擊同意相關條款后才能進入下一步操作，只有合規意識較強的能夠做到要求用戶下拉隱私政策條款或在隱私條款頁面停留幾秒才能點擊同意，以此避免用戶不經閱讀就直接點擊同意。實際上，這樣的“知情-同意”很難取得實際效果。一方面，用戶由于處于市場弱勢地位無法真正行使拒絕權。雖然理論上用戶若不同意隱私條款的內容，就可以行使拒絕權(張新寶，2019)，但實踐中應用軟件提供的隱私協議往往讓用戶陷入不同意授權就無法使用服務的兩難困境。有些軟件早已成為大家日常生活的必備產品，如果無法使用，就很有可能面臨工作和生活上的各種不便，甚至淪為“數字弱勢群體”而被邊緣化(韓旭至，2021)。在這個意義上，用戶的“知情-同意”早已是“只能同意”，普通個人消費者面對生活中必備應用軟件的霸王條款無從選擇，“告知同意”規則無異于形同虛設。另一方面，在當下信息科技發展的快節奏背景下，應用軟件為了不斷提升其服務質量和用戶滿意度幾乎日日都在進行修復、更新等工作，其制定的隱私條款也需要相應更新，但用戶很難高頻率地在隱私政策被一次次更新后重新“知情”且授權同意。因此，這大大削減了“知情同意”規則的實際效果。

綜上所述，原有的“知情同意”規則在面對大數據技術的重大挑戰時，不僅未能很好地保護自然人的信息控制權，在很大程度上反而阻礙了個人信息資源的合理共享與數據產業發展(王涵，2019)。同意撤回權作為信息廣義“退出”的方式之一，能夠彌補“告知同意”固有的缺陷，為個人信息主體提供有效救濟(萬方，2021)，在一定程度上能夠在現行法律體系中緩解信息利用與信息權利保護之間的沖突。

不過，該制度雖然已寫入《個人信息保護法》，在立法層面明確了個人的同意撤回權，但對該權利行使渠道的建立、提供同意撤回的義務人違反該規定的法律責任及權利受損后的個人救濟措施的規定還不夠具體。同時，這些問題也未得到學界很大的關注與討論。目前，我國關于同意撤回權的理論研究還主要停留在個人信息保護法引入同意撤回權的正當性與可行性(萬方，2021)、對同意撤回權內涵的理解(韓旭至，2021)、同意撤回與“選擇退出”在現實運行中的區別(馮愷，2020)等立法前的理論研究上，并未涉及同意撤回權立法后在制度實施過程中可能出現的現實問題的討論。然而，就我國的社會現狀及人性的固有弱點來看，同意撤回制度的實施可能面臨較大的現實困境。

因此，本文試圖通過對“同意撤回”制度日后可能出現的問題進行初步探索，從心理學和博弈論的角度在法律規制邏輯上進行一個逆向的探討，以期達到拋磚引玉之效。希望本文的研究能夠啟發關于應如何通過落實同意撤回制度實現我國信息的廣義“退出”，以暫時彌補“知情同意”框架的缺陷，及在大數據背景下應如何獲得數據產業發展與個人信息保護之間更優平衡等問題的相關思考，為我國同意撤回權制度的進一步深入研究提供參考。

二、“同意撤回權”立法的理論基礎

(一)從合同自由到實質正義的價值演變

隨著我國大數據技術和互聯網經濟的飛速發展，從事信息處理相關行業的企業在經濟實力、處理個人信息的技術能力等方面都占據了絕對的優勢地位，個人信息主體的弱勢地位在對比之下更為明顯。如果堅持傳統民法中的合同自由與契約精神，隱私協議似乎就是個人信息保護過程中形式正義的體現。但是，缺乏個人信息保護意識與能力的普通大眾由于現實的弱勢地位，早已難以在信息處理者與信息來源主體間的合同中獲得實質公平。如前文所述，淪為形式的用戶隱私協議正在以這種只滿足形式正義卻偏離實質正義的方式侵害著大多數信息來源主體的合法權益。

雖然我國《民法典》已經在合同編中設置了情勢變更、單方合同解除權等制度來作為民事主體在特定情形下單方撤回其前期基于自由意志作出的同意的救濟方式，但同時也規定了嚴格的適用條件，要借助這樣的渠道來為個人信息權利主體提供保障是遠遠不夠的。同意撤回權不設置額外的限制條件，賦予信息主體基于自愿前提同意授權后又可以單方面撤回這一項同意的權利，既是對實質正義的貫徹，也體現了對合同自由原則的合理限制和補充。

(二)意思自治的價值挖掘

同意撤回權的立法邏輯并不僅僅是因為信息主體是弱者，所以需要被特殊保護，更深一層的本質在于：在個人信息處理的語境下，信息主體本身存在對于信息處理者的服務依賴，導致信息主體缺乏表意自由(萬方，2021)。這種表意不自由既包括認知能力上的弱勢造成的不自由，也包括信息不完全、不充分、不對稱方面的弱勢造成的意思不自由。同意撤回權的設立，就是通過法律強制賦權的方法來救濟這種不自由，使信息主體看似“自愿”的情形下授權同意后還能通過二次思考、權衡利弊形成其相對真實的意思，避免在缺乏認知和信息弱勢情況下的“不真實授權”同意給個人主體帶來的過重負擔，平衡了信息處理者與信息主體之間的利益沖突，從而在個人信息處理領域真正體現民法的“意思自治”本意。

(三)人格權優先于財產權的價值選擇

從民事權利類型劃分的角度來看，我國的個人信息保護立法借鑒了歐盟的做法，在《民法典》中將個人信息納入自然人的人格權范疇，將其提升到人格自由與人格尊嚴的高度來進行保護。在具體權利內容上，我國相關法律雖并未明確采用自然人的信息控制權這一提法，但同意撤回權本身就是對信息控制權的一種體現，意在保障個人自由自主地決定其信息是否被處理，從而保護自然人的自由人格。這一承載著自然人人格利益的權利在法律的價值序列中明顯是高于企業基于數據商業利用所帶來的財產權利的，因此，即使撤回會對企業造成財產上的損失，仍然要優先保護自然人的人格利益。在這個意義上，《個人信息保護法》明確規定同意撤回權，表明我國法律努力在人權保障和市場活力之間尋求平衡點，是我國個人信息保護立法既保障基本人權又可能釋放市場活力與創造力的舉措。

綜上，我國個人信息保護法中增設個人信息同意撤回權是具有充分的立法理由的，也貫徹了清晰的立法邏輯，但這一良好的立法目的是否能夠在現實中得到貫徹落實，并取得預期的效果，仍然需要考量更多的現實因素方能作出判斷。

三、同意撤回權可能面臨的現實挑戰

(一)企業角度

1.合規成本加重

隨著互聯網技術的不斷發展，知情同意的電子化、網絡化已經成為一個普遍的趨勢，在這一背景下，《個人信息保護法》第15條明確要求個人信息處理者應當提供便捷的撤回同意的方式。當然，良好的行權渠道有利于促進信息處理者與信息主體之間的持續互動，以實現多次的授權同意與撤回同意，但這一技術渠道的建立也明顯為企業增加了巨大的營業成本。雖然承擔這項支出確實是企業承擔社會責任的表現，但法律制度在要求企業承擔一定社會責任的同時，也需要為企業的健康發展負責(呂加嶺 等，2017)。尤其是對一些用戶群極為龐大的互聯網龍頭企業，同意、撤回同意的訴求數量可能會遠遠超出單個企業的正常處理能力，這一行權技術渠道的建設與維護勢必會使相關企業面臨巨大的合規成本，而這將直接決定同意撤回權能否能夠有效付諸實踐。

2.可能選擇的規避途徑

企業是為營利而生的典型商主體，其在面臨巨大的合規成本時可能的選擇就是尋求某種規避途徑?，F行的《個人信息保護法》第15條中正好存在這一漏洞。因為該條僅適用“基于個人同意而進行的個人信息處理活動”，也就是說，撤回是在同意的前提下方有的權利。如果不是基于個人同意而收集的信息，如依據《個人信息保護法》第13條列舉的情形，除第1款外，為訂立或履行合同、為履行法定職責或法定義務、為應對突發公共衛生事件、為緊急情況下保護自然人的生命健康和財產安全、為公共利益實施新聞報道和輿論監督等情形而必需處理的個人信息，以及在合理范圍內處理已公開的個人信息等情形，都不適用撤回同意權。尤其是其中第2款的規定“為訂立、履行個人作為一方當事人的合同所必需”特別容易為企業所利用，如通過使用“微型合同”來提供個人信息，使得每項信息的提供都顯得是為訂立或履行合同所必需，從而很容易規避同意撤回條款(Scassa，2000)，造成個人很難解決的“撤回困境”。

(二)信息主體角度

1.個人行使同意撤回權的心理障礙分析

國外有文獻從心理學角度展開研究，通過假設信息主體在授權同意其信息被處理中的心理過程，提出大眾在已經授權同意使用其信息的情況下，通常會拒絕審查、修改或撤回他們的同意的觀點(Barrigar et al.，2006)。多項研究都支持“一旦給予同意，就不太可能撤回”的觀點(Johnson et al.，2002)。本文基于心理學的互通性和資本運作的基本規律等相同的背景，以在線讀書軟件為例，設定了相同的假設來嘗試研究我國的實踐狀況，也得出了相同的結論。

欣欣讀書(1)此名為本文因寫作需要而假設，并非真實存在的讀書軟件。是最近新上線的讀書軟件，因其提供即時和免費的聽書服務，極大地方便了既想學習又不愿意自己讀書的群體。用戶只要戴上耳機，選擇一本自己感興趣的書，輕松點擊聽書就能夠通過AI人聲獲取書中的內容。但是，為了獲得這樣的服務，用戶必須提供大量的個人信息，注冊成為其免費會員。為了獲取這種便利的聽書服務，大眾紛紛提供個人信息并同意被其處理。這些用戶中的很大一部分人在注冊時根本沒有意識到自己已經泄露了個人信息(下文稱A群體)，而另一部分有信息隱私意識的群體(下文稱B群體)相對清楚地知道自己授權了欣欣讀書軟件處理其個人信息，但此時，其對于使用該軟件滿足自己便利讀書的渴望超過了其對信息隱私的擔憂，所以也都完成了注冊過程，同意授權該軟件對其個人信息的處理，甚至沒有試圖理解這些過程的含義。而且B群體中也一定有部分人對我國已經通過的《個人信息保護法》有基本的認知，知道可以在任何時候撤回自己的同意(下文稱C群體)。接下來，分別分析不同群體面對個人信息被處理的不同態度及行為選擇。

首先，A群體完全缺乏行權意識。在注冊軟件、授權同意個人信息被處理的過程中，A群體對其行為幾乎沒有法律上的認知，甚至無法意識到其行為究竟意味著什么可能的后果，更不會想到其個人信息正在被處理。因此，對A群體來說，同意撤回權的設置幾乎毫無意義。

其次，B群體清楚地知道自己通過披露個人信息給該讀書軟件獲得了聽書服務，明白自己的行為意味著將來可能出現的個人信息泄露隱患，更有一部分人在這種擔憂超過對聽書服務需求的時候會產生主觀上的意愿去撤回當初的授權同意?？墒?，B群體中是否真的會有人撤回其同意呢？這取決于許多心理因素，這些因素可能導致B群體未必會表現為完全遵循自身利益最大化的“理性人”狀態。

出于對中華民族優秀傳統文化的崇尚，國人常常標榜自己是知行合一的人，B群體也不例外，其認為自己會根據自己的價值觀和喜好做出謹慎周到的決定。然而，面對欣欣讀書軟件的免費服務，其行為舉止與價值觀并不相符：輕松地同意自己的個人信息被處理，以換取相對較小的收益。這是心理學上的一種常見現象，被稱為“認知失調”(Barrigar et al.，2006)。根據心理學理論，當人們的行為與態度不一致時，其會感到不舒服甚至緊張(Mao et al.，2010)。欣欣讀書的例子滿足引發認知失調的所有條件(Cooper et al.，1987)：(1)B群體對于信息隱私具有相對更完整的認識，也懂得授權同意欣欣讀書處理其個人信息的隱患；(2)B群體自主作出同意授權的決定，對其授權同意的后果負有個人責任；(3)B群體明白其授權同意決定導致自己所重視的信息隱私受到了損害；(4)B群體完全可以通過其他方式以較小的代價解決讀書需求。

心理研究表明，大眾一般傾向于通過以下三種方式解決認知失調問題(Harmon-Jones et al.，1996)：(1)淡化相互競爭意識(Simon et al.，1995)。在本例中，B群體可能用相比了解書的內容、充實自己的大腦被侵犯隱私或隱私本身并不重要等理由來說服自己，以此緩解自己知行不一的緊張感，達到認知和諧。(2)有選擇地尋求與其決定一致的信息(Ehrlich et al.，1951)。在此路徑之下，B群體可能通過更多地關注與個人信息保護有關的正面信息，例如隱私政策來安慰自己。如因為欣欣讀書具有符合法律規定的隱私政策，處理其個人信息并不構成對其隱私的侵犯，其仍然享有信息控制權。(3)改變態度、觀念或者行為(Elliot et al.，1994)。此種情形下，B群體可以改變自己對信息隱私的態度，以使自己認為隱私并沒有那么重要，或者使自己不那么重視已經披露給欣欣讀書的特定信息。畢竟，相比改變行為(注銷賬戶)，B群體更容易改變自己的態度。以上每一種方式都能夠解決B群體的心理不適；與此同時，每種方式都減少了B群體之后撤回其同意的可能性(Scassa，2000)。實際上，一旦其成功地解決了內心認知失調帶來的不舒適感，B群體中的大部分人就沒有理由重新考慮自己最初的同意。畢竟現在，其已經改變了自己對信息隱私的態度，抑或覺得軟件經營者有隱私政策，這不構成侵權，一切都符合自己的認知，不會也沒有動力去考慮撤回自己的同意。

最后，C群體對我國《個人信息保護法》有基本的認知，知道自己可以在任何時候撤回同意，而這正表明在其同意授權時，已經權衡過眼前收益的主觀價值——獲得聽書服務與對個人信息失去控制這一不太明顯的主觀價值，即放棄了自己的信息控制權。這雖然影響很大，但在此時此刻并不那么明顯和急迫。相反，撤回同意通常會導致立即的損失，例如失去聽書服務，并獲得相對遙遠甚至虛幻的重新控制自己個人信息的權利。面對同意與撤回所帶來的收益與損失，絕大部分普通人都會缺乏行使撤回同意權的意志。

圖1 “同意撤回的心理障礙”形成路徑圖

根據前景理論，決策是在損失似乎大于收益的情況下作出的(Scassa，2000)。如果正在考慮的決定是是否提供同意，最顯著的效果表現為一種“收益”：現在C群體通過同意，就可以立刻獲得“免費”的聽書服務；相比之下，如果正在考慮的是是否撤回同意的決定，那么顯著的結果則很可能表現為一種“損失”，即失去原本已經擁有的聽書服務。另外，前景理論還認為，人們對損失和獲得的敏感程度是不同的(Scassa，2000)，損失所帶來的痛苦遠遠大于獲得所帶來的快樂。舉一個通俗的例子來講，撿到100元所帶來的快樂難以抵消丟失100元所帶來的痛苦。因此，C群體在行使撤回同意權時，失去聽書服務的痛苦會被放大，而且這種痛苦是遠距離且不明顯的重新獲得信息控制權的收獲所無法彌補的。更何況，聰明、專業的企業運營人員作為信息收集者，一直都在利用稟賦理論(2)稟賦理論是指當一個人一旦擁有某項物品，那么其對該物品價值的評價要比未擁有之前大大增加。牢牢控制著信息主體的授權同意行為。

綜上所述，從信息主體角度來看，我國同意撤回權立法很可能面臨“同意撤回的心理障礙”，源于用戶缺乏充分的行權意識和行權意志，再加之商家的有意誘導。

“同意撤回的心理障礙”形成路徑如圖1所示。

2.在博弈中形成“撤回困境”

2018年，華誼兄弟榮獲了第九屆天馬獎創業板最佳董秘、最佳新媒體運營獎以及第23屆華鼎獎最佳制作機構獎等諸多獎項，同時華誼兄弟制作或發行的電影依舊是大獎、提名的鐘愛，2018年一月由華誼兄弟和美國STX聯合出品的影片《茉莉的牌局》獲得美國電視金球獎提名。同年四月電影《芳華》獲得最佳影片、最佳編劇、最佳導演、最佳男主角以及兩位最佳新銳演員5獎大項的提名，而最終斬獲了華鼎獎電影滿意度調查最佳新銳演員獎。

從信息控制者和信息主體之間的博弈來看，如前所述，信息主體已經做出同意授權出讓自己個人信息的控制權，以此交換信息處理者所提供的看似“免費“的網絡服務，并對已經獲得的便捷服務產生了一定的依賴。信息處理者通過給予信息主體各種蠅頭小利，誘導更多的人成為其用戶，可以以此吸引各大品牌廣告主，還可以通過深入挖掘分析信息主體的行為數據，獲取信息主體的生活習慣、興趣愛好甚至是社交網絡進行精準營銷，獲得額外的收益(徐漢明 等，2020)。當然，考慮到目前日益嚴格的數據合規要求與已經正式出臺的《個人信息保護法》，企業必須采取一定的技術措施來保障信息主體行使撤回同意權，且今后很可能不可再延續當前的“不同意就無法享受服務”、以逼迫消費者“自愿”同意用戶隱私協議的二選一模式(3)《個人信息保護法》第16條規定：“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外?！薄τ诓煌饣虺坊貙ζ鋫€人信息處理授權的用戶，企業也需要提供基礎的網絡服務，只是可能通過給授權用戶提供更多增值服務的方式來體現差別。

在信息處理者和信息主體之間的動態博弈中，雙方會根據我國個人信息保護執行力度的加大、企業個人信息保護成本的變化、普通大眾個人信息保護意識的提升、同意撤回權制度的普及等條件作出決策，且會在此過程中通過學習、試錯、模仿和總結他人的信息，從而調整和修正自己的行為策略。在每一次的博弈條件變化中，經過重復博弈走向局部穩定策略并實現穩定均衡。

基于以上分析，本文對信息處理者和信息主體的收益做出如下假設：

·信息主體在使用網絡服務時所獲得的固定收益為P1(P1≥0)

·信息主體通過授權同意獲得的增值收益為P2(P2>P1，P2>0)

·信息主體撤回同意時失去的收益為P3(P3>0)

·信息處理者為信息主體提供服務所能獲得的基礎收益為S1

·信息處理者獲得授權同意而進行數據價值挖掘所能獲得的增值收益為S2(基于目前的信息技術及市場條件，一般S2>S1)

·信息處理者不滿足信息主體的同意撤回權時所承擔的違法成本為C2(C2>0,且將隨法律執行力度加大而升高)

綜合以上假設，在國家現行法律和政策不變、國民整體素質穩定的前提下，信息處理者和信息主體直接博弈的支付矩陣如圖2所示。

信息處理者信息主體 同意 不同意 撤回 (P1+P2-P3, S1+S2-C1) (P1+P2-P3, S1+S2-C2) 不撤回 (P1+P2, S1+S2-C1) (P1+P2, S1+S2)

圖2顯示，當信息主體選擇撤回同意時，對于信息處理者而言，在S1+S2-C1與S1+S2-C2中，信息處理者將會對其投入與產出進行利益衡量。若C1>C2，則S1+S2-C1

同意撤回權被侵犯的信息主體，由于目前還缺乏直接針對信息主體的個人信息權益遭到侵害時便利的救濟措施，在很大程度上只能默認有權利無法行使也無救濟的現狀，也就致使同意撤回權制度存在一定程度的虛化。若C1S1+S2-C2，意味著信息處理者為建立同意撤回渠道的技術投資小于其不作為帶來的違法成本，絕大多數的信息處理者就會選擇投資建立同意撤回的操作渠道，保障信息主體同意撤回權的行使，也就使得同意撤回權立法有了落實的可能。當信息處理者不同意撤回的情況下，由于P1+P2>P1+P2-P3，根據稟賦理論，信息主體面臨失去更大的利益換取更小利益的絕對選擇，必然選擇不行使同意撤回權，但其做出這樣的意思表示是否又是“同意撤回心理困境”在起作用，值得進一步的深入研究；當信息主體不撤回同意的情況下，由于S1+S2>S1+S2-C1，原本就不愿意失去個人信息資源的信息處理者既然能夠持續處理個人信息進行牟利，也就必然不會存在主動同意撤回個人信息的可能性，也就不會選擇同意撤回。同樣，當信息處理者選擇同意撤回的情況下，由于P1+P2>P1+P2-P3，相比行使同意撤回權時所獲得的收益，信息主體在不行使該權利的情況下的收益更大，一般也就不會再選擇行使同意撤回的權利，但這樣的選擇結果是否是信息主體真實的意思表示將無從知曉，也就回到了對“同意撤回的心理障礙”的研究上。當然，在博弈過程中，信息處理者基于自身利益的考量，不大可能選擇主動撤回信息主體的同意授權。

上述分析表明：在信息處理者和信息主體之間的博弈中，僅有信息主體同意撤回的意愿并不能夠促成信息處理者為之作出同意撤回的結果，經過自身利益及現實情況的衡量，最終信息主體和信息處理者都將選擇不同意撤回，造成“同意撤回困境”。然而，當有政府機關的行政監管介入該博弈模型，使得信息處理者的違法成本超過其建立同意撤回操作渠道的技術成本時，信息處理者無論是從其資本投入還是從企業合規考慮，都會做出其投資更少、效果更好的選擇(高秦偉，2019)，即愿意投入技術資本建立同意撤回渠道，保障信息主體的同意撤回權能夠行使。如果沒有行政外力的介入，(P1+P2，S1+S2)也就成了本次博弈唯一的納什均衡點，能夠使雙方總收益達到最優。這也就表明，除非有強有力的行政干預介入，否則信息主體一旦做出了授權同意，基本上也就沒有撤回其同意授權的可能，“撤回同意”困境將很難打破。

四、對同意撤回權制度的完善建議

從前述研究可知，同意撤回權立法的實施主要面臨著信息主體心理因素上的撤回困境及博弈中的撤回困境，而在這兩個困境的解決中，與如何合理規制作為信息控制者的企業行為相比，如何破除個人信息主體的同意撤回心理障礙似乎是更為棘手的問題。畢竟，企業作為營利機構有其明顯的目的性，政府完全能夠通過行政手段在與其博弈過程中逐漸規制其行為，以保障立法目的實現(魏益華 等，2019)。然而，普遍存在的民眾的心理障礙不是某個機關或簡單的幾個法律條文就能夠解決的。正如馬斯洛在激勵原理中所言，人是一種欲壑難填的動物，只會被自己所沒有卻能夠通過努力得到的東西而激勵(馬斯洛，1987)。這正是普通大眾愿意為了一點蠅頭小利而授權同意處理自己的個人信息的深層原因。薩特指出，人是意識到好處之后才會行動的(薩特，1987)。那么個人信息保護立法應如何給予信息主體拒絕不合法信息處理行為、及時撤回不必要的個人信息的同意授權的激勵呢？這還需要更進一步深入的研究。

因此，在個人信息過度收集與濫用頻發，個人的信息安全遭受到嚴重侵害，不得不重新平衡信息主體與信息處理者之間利益的當下，有效激勵信息主體在必要時行使同意撤回權的路徑還不明朗，在同意撤回的博弈中信息主體處于絕對弱勢地位，信息處理者在信息、技術方面又有絕對優勢?；诖?，本文建議，在完善相關法律法規，加強我國重視個人隱私、加強個人信息保護觀念的宣講及提高個人信息保護法律普及率的同時，政府機關應當更有效地介入同意撤回權的法律實施中，有效改善信息主體與信息處理者之間的博弈，以在如今公眾個人信息保護意識還薄弱、能力還不具備、相關救濟措施并不明確的情況下，真正使《個人信息保護法》發揮實質性作用。

基于本文的研究結果和解決同意撤回困境中的現實困難，在現有理論和實踐條件下，為促使同意撤回權制度的有效實施，在此提出以下政策建議：

(一)設置專門的個人信息監督管理機構與職位，彌補多頭管理模式的不足

針對前文討論的信息主體因同意撤回的心理障礙而缺乏有效的行權意識和行權意志的問題，各國(地區)采取的應對方式一般是加強行政監管的力量，構建公權力主導的統一的個人信息監督管理機構，諸如歐盟的數據保護專員、美國的隱私專員公署、日本的主管大臣、我國香港地區的個人資料隱私專員公署等。

我國目前的信息監管權力比較分散，主要是由網信部門綜合協調，公安部門、工信部門、市場監督管理部門以及其他行業主管部門在各自職責范圍內行使監督管理職責，這些行業主管部門又包括金融、醫療、教育、交通等非常廣泛的領域(肖登輝 等，2017)?！秱€人信息保護法》延續了這一行政監管模式。但是，多頭治理很容易帶來執法標準不一，交叉領域監管難、監管混亂等問題，并非大數據時代的最佳選擇(曾錚 等，2021)。建立統一的個人信息監督管理機構對于統籌協調全國個人信息保護的行政監管和執法工作，脫離行業利益地解決有關機構、組織和個人之間的信息利益沖突，構建更加安全、健康、公平的個人信息管理秩序至關重要。同時，建立統一的個人信息監督管理機構，也有利于促進全社會的個人信息保護意識提升，暢通個人消費者的維權渠道，避免出現個人信息利益受損后求助無門，甚至被各個部門“踢皮球”的現象發生，是加強我國個人信息保護的關鍵性一步(王磊，2021)。

因此，建議在網信部門下設置專門的機構和職位，專職負責監督個人信息領域的信息處理各環節、各主體的法定義務履行情況，切實保護個人信息安全，在信息主體與信息處理者之間的博弈中起到更有效的調節作用。

(二)明確超大互聯網平臺特定的個人信息保護義務內容，保障同意撤回權的操作便捷

《個人信息保護法》第58條新增了超大互聯網平臺特定的個人信息保護義務，即“提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當履行下列義務：(一)按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；(二)遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務；(三)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務；(四)定期發布個人信息保護社會責任報告，接受社會監督。”這一規定首次從法律層面明確提出強化超大互聯網平臺個人信息保護義務的要求，是符合目前市場上超大平臺與個人用戶力量嚴重懸殊的現實狀況的。建議在下一步立法中進一步明確超大互聯網平臺特定的個人信息保護義務的具體內容，尤其是應充分考慮個人用戶同意撤回權的落實措施，將相關具體內容增加到該條款中。先從超大互聯網平臺開始要求為信息主體提供便捷的撤回同意的方式，并為今后推廣到所有的信息處理者提供試點經驗。

(三)細化同意撤回權的適用規則，平衡信息保護與信息利用間的利益沖突

1.細化規則設計，防范規避行為

如前文分析，因現行《個人信息保護法》對同意撤回權的適用劃定了嚴格的范圍限制，即僅限于根據其個人同意而授權的個人信息，這就為企業通過“微型合同”來規避該條款留下了較大操作空間。因此，在后續審議修改過程中要細化和完善規則的具體設計：一是適當擴大該條的適用范圍，尤其要注意規定互聯網企業通過微型合同收集信息的撤回規則，規定人為切割合同的情形下應將系列“微型合同”視為一個合同整體進行法律適用；同時，同意撤回權也必須受到一定的限制，如其行使不能影響數據信息的留存義務的履行(萬方，2021)。二是嚴格規范主客觀適用條件，確保信息主體告知義務的完備性。信息主體通過“同意撤回”行使了更多的信息控制權，而該權利在某種意義上是以信息處理者的利益損失為代價的，因此有必要完備信息主體的告知義務，避免對信息處理者造成過大的合規負擔。三是規范同意撤回權的實現流程，如明確提出信息主體履行告知義務的流程及后期撤回同意結果的反饋流程等，將可能出現的相關風險盡量控制在合理的范圍之內。

2.允許行業間的一定差異空間

互聯網企業作為同意撤回權行權的最終環節，關系同意撤回權能在多大程度上得到落實并真正發揮作用。個人信息保護與數據產業發展并非水火不容，關鍵是要厘清企業發展權與其承擔社會責任之間的邊界，平衡互聯網企業發展權和個人同意撤回權之間的沖突(陽鎮 等，2020)。由于不同行業的情況有所差異，如醫療行業應更多考慮病人隱私權的保護與傳染病防治公共利益的協調，金融行業應注意國家宏觀經濟調控的需求與反洗錢的監管保障，因此應當結合行業特征制定具體的操作細則，盡可能地綜合平衡需要保護的多重利益，在保護自然人的個人信息利益的同時也要兼顧企業的發展權乃至國家的數據安全、公共利益維護，爭取實現信息保護與信息利用之間的動態平衡。

五、結語

在個人信息泄露常態化、信息保護與數據安全制度亟待完善的今天，雖然《個人信息保護法》已經出臺，但要意識到個人信息處理領域仍然缺乏一套適合我國現狀的完善的制度設計，尤其是現階段廣泛使用的“知情同意”框架存在巨大不足，甚至在一定程度上成了企業不合理處理個人信息時規避法律風險的工具。與之相對應的，“同意撤回權”作為我國個人信息“退出”的可能路徑，雖得以確立，但其制度設置還不明確，有若干問題沒有解決，且未能引起學界的廣泛關注。實際上，同意撤回權的設置能夠在現實邏輯和主觀理念上帶來新的啟發，以尋求信息主體的信息利益與企業的商業利益之間的平衡與進步。因此，本文通過心理學與經濟學的方法對同意撤回的現實困境進行研究發現，基于我國的現實狀況，人性與各主體利益的復雜化使得同意撤回權的真正落實任重而道遠。只有正視這一問題，引導學界進行廣泛討論與研究，設計有效的規則來保障這一權利的實效發揮，彌補“知情同意”制度的不足，引導企業合理合法地處理數據，方能促進信息資源的挖掘與數據產業的長遠健康發展。