个人信息保护法（以下简称“个保法”）中的同意是否意味着授权？冒用他人身份证的事件可以适用于个保法吗？如何理解个保法的适用边界？

9月10日，南方都市报个人信息保护中心举办“南都数字经济治理论坛”第七期：个人信息保护法解读与展望。会上，华东政法大学教授、互联网法治研究院院长高富平对上述问题分享了自己的看法。

高富平认为，从个人信息处理前的同意、处理过程中反对和拒绝的权利，再到处理后的停止、删除等救济权，个人意志实际上贯彻于个人信息处理活动的全过程。

个保法确立了以“告知-同意”为核心的一系列个人信息处理规则。“我认为将同意作为合法性基础仅仅意味着个人信息处理前的单一决定权。而个人信息处理者在有正当理由时，他们完全可以选择不征求个人同意。”高富平说。

个保法规定，为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需等情形下，个人信息处理者不需要取得个人同意。

而个保法中的同意也可以分为“一般性同意”和“单独同意”。高富平分析，一般同意相当于是“一揽子概括式同意”，构成要件为充分知情、针对处理方式、目的以及个人信息种类的内容确定、个人自愿作出并明确作出同意。单独同意则是针对特定事项的同意，如针对敏感个人信息的处理需要单独同意。

有观点认为，个人同意即是授权。但在高富平看来，无论是一般性同意还是单独同意都不能称之为授权。他表示，个人信息同时承载着个人利益、社会利益、公共利益，其使用不能单独由个人来决定。

“之所以这样说是因为个人信息权其实是个人的人格尊严和自由不受侵犯，属于人权的范畴。”高富平说，同意只是允许处理者依法合理使用个人信息，“我认为同意不需要承担授权的后果。”

在他看来，单独同意是为了改变一般性同意的弊端，强化个人自主权。

他认为，相较于一般性同意，单独同意才是真正的同意，相当于欧盟《通用数据保护条例》（GDPR）中的同意。而且单独同意可以自由撤回，仍然未放弃个人信息权益，仅作为个人信息处理的合法性基础。

谈及个保法的落地施行，高富平认为，个保法的出台可能会带来一波“合规维权”热潮—企业要合规、个人要维权。

不过他认为，并不是所有的涉及个人信息的问题都适用于个保法，还有大量的案例应该适用于民法中对隐私权、肖像权、名誉权的规定。司法界应对个保法的适用范围划出边界。

高富平以冒用他人身份证的事件为例，此类事件适用的法律是居民身份证法以及刑法。“如果把个保法的适用边界扩得很宽，反而不利于落地执行。”

另外，高富平也关注个保法中促进个人信息利用的内容。“个保法基本上以个人权益保护为主线，对于如何促进个人信息利用，并没有太多的内容，甚至可能都被忽略了。当然大家可能会说我们是通过保护来促进利用，我觉得这样的逻辑也是成立的，但我还是觉得应该为个人信息的社会化利用建立一套规则。”

他认为，个人信息是一个社会运行必不可少的东西，它是一个社会资源，而不是个人的资源。在保护个人权益的情况，应该让个人信息更加有序、公平、合理地利用。

他以人脸识别的应用为例进一步阐释，“我认为超出公共安全的范畴使用人脸识别，尤其是对人进行分析是一件很危险的事情……我觉得超出安全范畴就不能用（人脸识别），才能达到保护个人信息权益的目的。”

高富平认为，找到切实保护个人权益的路径，同时促进个人信息的合理利用才是个保法完整的立法目的。

此外，高富平还关注到了个保法对“大数据杀熟”做出的规制。在他看来，“杀熟”本身是在商业当中普遍存在的，只是在当下的网络环境下，它变得更加透明。因此，他对于“杀熟”一直保持客观理性的态度，

“人类社会当中有一些偏见或者差别对待，在社会当中还是比较常见的。但是当这种差别待遇是基于人的收入、性别、居住地等等的时候，我觉得这种差异不能容忍，法律应该遏制，因为涉及到了平等。”他认为，这才是应该关注的重点，而不仅仅是一些微小的定价问题。

中国电信翼支付安全总监焦伟也指出，自动化决策并不是“杀熟”的代名词。他认为，个保法明确提及“不得对个人对交易价格等交易条件上实行不合理的差别待遇”，可以理解为只是不合理的“杀熟”行为在某种程度上被令行禁止。

谈及企业如何落地相关规定，焦伟认为，首先要善用而不是滥用自动化决策机制，对用户的画像、标签这类决策依据提供公开透明的撤销或修改渠道。他透露，翼支付为此设置了数据安全和隐私保护的上线评审机制，自动化决策机制必需经评审通过，判断是否为产品和应用必需。

为了及时响应用户关于自动化决策机制的问题，翼支付还承诺，如果自动化决策显著影响用户的合法权益，用户有权提出申诉，公司也将提供适当的补偿措施。同时公司内部也会成立协调小组，进行事后复盘，修正相关自动化决策机制。

出品：南都个人信息保护研究中心

采写：南都记者 孙朝 蒋琳

编辑：蒋琳

更多报道请看专题：第七期数字经济治理论坛—个人信息保护法解读与展望