第153页

    3.免予告知的情形。在有些情形下，为了公共利益和个人信息被处理者自身的利益的需要，应当免除处理者的告知义务，否则将不利于保护公共利益或者维护自然人的合法权益。例如，我国台湾“个人资料保护法”第8条第2款规定：“有下列情形之一者，得免为前项之告知：一、依法律规定得免告知。二、个人资料之搜集系公务机关执行法定职务或非公务机关履行法定义务所必要。三、告知将妨害公务机关执行法定职务。四、告知将妨害公共利益。五、当事人明知应告知之内容。六、个人资料之搜集非基于营利之目的，且对当事人显无不利之影响。”从我国《民法典》第1036条的规定来看，其中第2项和第3项的规定既属于免予告知义务的例外情形，也属于无须取得同意的例外情形。具体如下：首先，当处理者处理的是某一自然人自行公开的或者其他已经合法公开的信息的，则处理者既不需要告知自然人更无须取得该自然人的同意，除非该自然人明确拒绝或者处理该信息侵害其重大利益。其次，为了维护公共利益合理实施的处理个人信息的行为，无须告知。《民法典》第999条列举了一种具体情形，即为公共利益实施新闻报道、舆论监督等行为而合理使用自然人的个人信息的，无须承担民事责任。再次，为了维护个人信息被处理的自然人的合法权益而合理使用自然人个人信息的，在这种情形下，虽未告知，也不承担责任。例如，老年人A因记忆衰退在野外走失，此时，为了尽快找到A，在没有告知的情况下，利用了A身上携带的智能手环中的GPS记载的行踪信息，找到了A。最后，法律、行政法规如果特别规定了无须告知的情形，则依据其规定。
    （三）同意规则
    1.同意规则适用的情形
    首先，个人信息处理者在处理个人信息之前，必须得到个人信息被收集的自然人或者其监护人的同意，除非法律、行政法规另有规定。对此，《民法典》第1035条第1款第1项有明确的规定。此外，《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条和《网络安全法》第41条也有规定。所谓取得监护人的同意是指，在处理不完全民事行为能力人的个人信息时，处理者应当取得其监护人的同意。为了更好地保护未成年人的健康成长，防止因个人信息的处理而对未成年人的身心健康产生危害或存在危害的可能，比较法上各国对儿童的个人信息都采取更严格的保护措施。例如，欧盟《一般数据保护条例》第8条规定：“1.若适用本条例第6条第1款（a）项，关于直接向儿童提供信息社会服务的，对16周岁以上的儿童的个人数据的处理为合法。儿童未满16周岁时，处在征得监护人同意或授权的范围内合法。成员国可以通过法律对上述年龄进行调整，但不得低于13周岁。2.考虑到现有技术，控制者应当作出合理的努力证明在此种情况下已取得监护人同意或授权。”我国《儿童个人信息网络保护规定》第9条规定：“网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意”。该规定中的“儿童”，是指不满14周岁的未成年人（第2条）。
    其次，在自然人的个人信息已经被处理后，如果处理者个人信息的处理的规则或处理个人信息的目的、方式或范围发生了变更，处理者也要取得自然人或者其监护人的同意。因为，自然人或者监护人此前作出的同意只是针对之前的处理规则和处理的目的、方式或范围的同意。既然现在处理规则或处理个人信息的目的、方式或范围发生了变化，就意味着处理者的处理行为超出了当初双方约定的个人信息处理的目的、方式或范围，自然要重新取得同意。
    再次，依据《民法典》第1038条第1款以及《网络安全法》第42条第1款，如果个人信息处理者要将其处理的个人信息提供给他人，则除非该信息是经过加工无法识别特定个人且不能复原的，否则需要取得自然人或其监护人的同意。
    最后，法律规定的其他需要取得同意的情形。例如，对于个人信息的跨境转移等处理活动，需要取得自然人或其监护人的同意。
    2.对于同意的要求
    我国《民法典》第1035条只是规定要取得“自然人或者其监护人同意”，没有对同意的方式作出规定。欧盟《一般数据保护条例》第4条第11款将自然人对个人信息处理的同意界定为：“是指数据主体通过声明或者明确肯定方式，依照其意愿自愿作出的任何具体的、知情的及明确的意思表示，意味着数据主体同意其个人数据被处理。”此外，在该条例“鉴于条款”的第32条，欧盟立法机关还明确规定：“处理个人数据之前应征得数据主体的同意，通过清楚明确的行为自愿表明同意对其个人数据进行处理，例如，通过书面陈述（包括电子形式）或者口头声明。同意方式可以包括在浏览网页时在方框里打上钩，对信息社会服务进行技术设置或者其他陈述或行为以清楚表示接受对其个人数据的处理。因此，默示、预选方框或者不作为不构成同意。同意范围应当包括所有基于同一目的或者同一类目的而进行的数据处理活动。当数据处理活动存在多种目的时，每项目的都应当征得同意。如果数据主体是基于电子形式的请求而作出的同意，请求应清晰、简洁且不影响所提供服务的使用。”德国《联邦数据保护法》第51条第2款和第4款规定，如果数据主体的同意是在同时涉及其他事项的书面声明中作出的，则对同意的请求应以与其他事项明显区分的方式加以提出，且该请求应当以易于理解的方式作出且所使用的文字应当清晰明了。同意只有在基于数据主体的自由决定时作出的，才是有效的。在确定数据主体是否基于自由决定而同意时，应当考虑到作出同意的具体情事。我国《民法典》第1035条虽然没有对同意的具体要求作出规定，但是由于同意本身是自然人作出的意思表示，而《民法典》总则编关于意思表示的规定完全可以适用于自然人就个人信息处理所作出的同意。故此，自然人因欺诈、胁迫或重大误解而作出的意思表示，是可以撤销的意思表示。一旦撤销，则处理者此前基于同意作出的个人信息处理行为均属于违法行为。
    自然人是否对个人信息处理作出同意，应当由处理者举证证明。因为这种同意是个人信息处理行为的合法性基础。例如，欧盟《一般数据保护条例》第7条第1款规定：“如果处理是基于同意，控制者应能证明数据主体已经同意处理其个人数据。”德国《联邦数据法》第51条第1款规定：“如果可以基于同意而依法处理个人数据，则控制人必须能够提供数据主体同意的证据。”再如，我国台湾“个人资料保护法”第7条第3款规定：“搜集者就本法所称经当事人同意之事实，应负举证责任。”自然人可以撤回其对个人信息处理所作出的同意，一旦撤回同意，则处理者不得再处理该自然人的个人信息，并应当删除或销毁所存储的个人信息。当然，此前作出的个人信息处理行为依然是合法的。