◆ 条文要旨

本条是对不得因撤回同意而拒绝提供产品或服务的规定。

◆ 理解与适用

一、规范目的

现代社会，人们每天以各种方式被他人收集、存储、加工、使用自己的个信息。信息网络科技的高速发展与普及已使得社会的生产生活被高度数字化、信息化。每个人既无时无刻不在生产个人信息，也需要每天利用个人处理者提供的信息产品或服务。大数据时代使得人们自愿地或被迫地将传统社会中不受他人侵扰的独处空间和仅由个人作为秘密而掌握的信息交出来，个人信息不断被收集、存储、整理、转让、分析和利用。因此，面对各种类型的个人信息处理者，个人实际上很难有能力拒绝或阻止个人信息被收集。即便有这个能力，也意味着为此要付出牺牲生活便利甚至被排除在现代社会生活之外或者为此担负付费的代价。在绝大多数时候，个人信息处理者常常只给消费者两个选择项：留下或离开。即个人要么同意其个人信息被处理，就能留下来，使用数据产品或服务，使生活更加方便快捷；要么拒绝，就无法使用产品或服务，只能选择离开。这样一来，个人信息处理中的告知同意规则实际上就被架空了，个人已经丧失了同意的自由，更谈不上对个人信息处理的决定权，根本无法真正地去限制或拒绝他人对其个人信息的处理。

在这种情形下，我们不应当随波逐流，因为告知同意规则陷入了困境，就放弃该规则或对之加以改造等。恰恰相反，为了确保个人信息处理中告知同意规则能够真正得到遵守和落实，就必须防止出现各种以给个人权益造成不利影响甚至“损害”为要挟，从而强迫或变相强迫处理取得个人同意的行为。故此，《个人信息保护法》第5条规定：“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”第16条更是明确规定，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务，处理个人信息属于提供产品或者服务所必需的除外。这就是说，如果个人信息处理者是基于同意而处理个人信息的，那么除非个人信息处理是提供产品或者服务所必需的，否则，不能因为个人不同意处理其个人信息而拒绝提供产品或者服务，也不能因为个人撤回了此前作出的对个人信息处理的同意，而拒绝提供产品或者服务。例如，《中国人民银行金融消费者权益保护实施办法》第30条规定：“银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的，应当以适当方式供金融消费者自主选择是否同意银行、支付机构将其金融信息用于上述目的；金融消费者不同意的，银行、支付机构不得因此拒绝提供金融产品或者服务。银行、支付机构向金融消费者发送金融营销信息的，应当向其提供拒绝继续接收金融营销信息的方式。”第29条第2款规定：“金融消费者不能或者拒绝提供必要信息，致使银行、支付机构无法履行反洗钱义务的，银行、支付机构可以根据《中华人民共和国反洗钱法》的相关规定对其金融活动采取限制性措施；确有必要时，银行、支付机构可以依法拒绝提供金融产品或者服务。”

二、处理个人信息属于提供产品或者服务所必需的含义

所谓“处理个人信息属于提供产品或者服务所必需的”，是指对于产品或服务的提供而言，如果不处理个人信息就无法实现。具体而言：首先，处理个人信息的目的是提供产品或者服务，如果处理个人信息是出于其他的目的，如为了处理者进一步完善其产品的性能或提升其服务的品质，则不属于为了提供产品或者服务。

其次，即便是出于提供产品或者服务的处理目的，那么个人信息的处理也必须限于实现该目的的最小范围。一方面，“必要”就意味着处理个人信息是提供产品或者服务的必要条件，缺之不可。另一方面，即便个人信息处理是提供产品或者服务的必要条件，依据《个人信息保护法》第6条第2款的规定，收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。《常见类型移动互联网应用程序必要个人信息范围规定》第3条规定：“本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。”该规定针对日常生活中常见的39类App分别界定了其基本功能，然后据此确定了哪些个人信息是保障这些基本功能服务正常运行所必需的、最小范围的个人信息。例如，对于实用工具类App，其基本功能服务为“日历、天气、词典翻译、计算器、遥控器、手电筒、指南针、时钟闹钟、文件传输、文件管理、壁纸铃声、截图录屏、录音、文档处理、智能家居助手、星座性格测试”等，无须个人信息即可使用基本功能服务。故此，不能以用户不同意处理其个人信息为由而拒绝提供该基本功能服务。

需要注意的是，《个人信息保护法》第16条只是规定个人信息处理者不能以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务，没有规定也不得以此为由而降低服务的质量或者给个人造成不便。对于后一种情形，依据《个人信息保护法》第5条，也是不允许的。

◆ 疑点与难点

一、《个人信息保护法》第16条与第13条第1款第2项的关系

关于《个人信息保护法》第16条规定的“处理个人信息属于提供产品或者服务所必需的”情形，与第13条第1款第2项规定的“为订立、履行个人作为一方当事人的合同所必需”的关系问题，二者的联系在于：处理个人信息属于提供产品或者服务所必需的情形与为履行个人作为一方当事人的合同所必需的情形存在重叠之处。例如，自然人A使用B公司的网络平台购物，B公司为了履行买卖合同，就必须取得A的联系方式等个人信息。此种情形下，既可以说B处理A的个人信息是提供产品或服务所必需的情形，也可以说是履行个人作为一方当事人的合同所必需的。故此，在这种情形下，B可以在取得A的同意后处理其个人信息，如果A不同意，那么B有两个选择：其一，其依据第16条规定，有权拒绝提供服务或产品；其二，其依据第13条第1款第2项以及第2款的规定，无须取得个人的同意而处理其个人信息。二者的区别在于：第16条只是适用于基于个人同意而进行的个人信息处理活动，其规范的情形既包括个人不同意处理其个人信息，也包括同意后撤回同意的情形。然而，依据第13条第2款的规定，如果处理个人信息是为订立或者履行个人作为一方当事人的合同所必需的，则处理者不需要取得个人的同意。此时，也就不存在个人撤回同意的问题。

二、处理者对个人的胁迫的认定与举证责任

实践中，不少网络企业进行所谓“捆绑授权”，即某一产品或服务除基本功能外，还提供其他的一些业务功能且该等业务功能的实现需要处理个人信息。此时，该产品或服务的提供者要么将基本功能与其他的业务功能加以捆绑，进而强制取得个人的同意；要么通过将各项业务功能加以捆绑的方式而取得个人的一次性同意，无论个人是否申请或使用其中的某项业务功能，只要个人不同意处理其个人信息的，则任何一项业务功能都无法使用。这种捆绑授权的方式在互联网应用程序即App中很常见，其典型表现如要求用户一次性同意打开多个可收集个人信息权限，用户不同意则无法安装或使用；在用户明确拒绝权限后频繁申请开启通讯录、位置、麦克风、摄像头等与当前业务功能无关的权限来骚扰用户；App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能。[57]显然，这种捆绑授权实质上就是个人信息处理者因为个人不同意处理者处理其个人信息而拒绝提供产品或者服务，违反了本条的规定，属于违法行为。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第4条规定：“有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持：（一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”此外，《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第5.3条规定：“当产品或服务提供多项需要收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求……”具体而言，个人信息处理者应做到：（1）不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。（2）应把个人信息主体自主作出的肯定性动作，如主动点击、勾选、填写等，作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该项业务功能后，开始收集个人信息。（3）关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后，个人信息控制者应停止该业务功能的个人信息收集活动。（4）个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应频繁征求个人信息主体的授权同意。（5）个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应暂停个人信息主体自主选择使用的其他业务功能，或降低其他业务功能的服务质量。（6）不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求个人信息主体同意收集个人信息。

◆ 相关规定

《中国人民银行金融消费者权益保护实施办法》第29条、第30条；《常见类型移动互联网应用程序必要个人信息范围规定》第3条、第4条、第5条