征信授权与个人信息保护

（二）同意与授权的区别

“同意”并不等同于“授权”，不管是《民法典》《个人信息保护法》还是《征信业管理条例》，对于提供个人信息的表述均为“同意”而非“授权”。同意作为一项重要的意思表示，其基本含义是认可某事实或允许某人做某事，由此产生特定的法律后果。同意的内容会直接影响其法律效果，但获得同意并不一定就意味着具备了合法的充分条件。并且这种法律效果会因场景、对象或事务的不同而有所变化。而授权是对禁止而言，通常是指具有垄断权利的当事人同意特定主体可以从事某项禁止性的行为，赋予其违法的豁免权。如无授权，行为人从事的行为将具有违法性，而获得授权后，该行为的违法性将被免除。

在民法体系中，同意也可能包含授权的意思，例如《民法典》第1019条规定，未经肖像权人同意，不得制作、使用、公开其肖像，这里的同意实际上具有授权的含义。然而，在其他情况下，同意可能仅表示对某种法律关系或权利义务变更的认可，或者仅仅是知情后接受某种法律后果的意思表示。“个保法”中的同意根源于对自然人作为生命主体的尊重，是对人的尊严保护。个人信息保护并没有赋予个人对个人信息的绝对的决定权或支配权。法律给予信息主体以同意的基本逻辑是，个人信息是关于个人的，而个人是具有独立意志的主体，因而处理个人信息不能像处理客体那样随意，而应当尊重个人意志或者以不侵犯个人尊严或自由方式进行。但是，由于人是一种社会存在，披露个人信息和借助个人信息识别交往或交易的对象是社会运行的基本要求，因而个人信息又不是或不完全是属于个人、由本人决定才能为社会使用的东西。因此，“个保法”承认个人信息（个人数据)具有社会性、公共性，而不是属于个人可绝对支配的财产，也即承认个人信息（个人数据)是社会主体可用的资源，而不是非经个人决定不得使用的财产。因此，不管《民法典》所规定的同意，还是个保法都不能将同意理解为授权使用的意思。

（三）个人信息处理的多元合法性基础

鉴于同意不等同于授权，因此在判断个人信息处理的合法性时，不能仅依赖同意这一单一要素。同意并不是个人信息处理的唯一合法性基础，个人信息处理的合法性原则本质上是由三个递进的要件组成，首先是目的合法，处理个人信息应当具有明确、合理的目的；其次是处理具有合法性基础，遵循“告知-同意”规则，告知是同意的前提，同意是告知的目的；最后是处理行为合法和合理。如果“个保法”以合法目的为假设条件的话，那么，“合法性基础＋合法的处理行为”才构成完整的个人信息处理的合法性标准。“同意”对于个人信息处理合法性的判断的影响在于，它只是处理行为具有法律依据或基础，甚至可以说，它只是合法性的前提条件，而在此前提条件下，还要看个人信息处理行为是否遵守了具体法律规定，实质性地保护了主体权利。因此，个人信息处理的合法性判断涉及到“个保法”的综合适用，涉及到上述多元的合法性基础是否满足，而不是仅看是否获得了信息主体的同意。