郭旨龙 李文慧

内容提要：数字化时代信息的爆炸性增长使得数据控制者和数据处理者更加难以获得有效的同意，个人信息的公共属性削弱了个人控制其信息的能力。知情同意原则作为个人信息保护的帝王原则其本身具有深厚的法理基础，在信息处理者与个人不对等的关系中，权利人的同意是对于信息处理者最好的限制，适用的困难不能作为动摇制度架构的理由。通过考察知情同意原则的形成过程，归纳知情同意原则的规范结构，进一步分析知情同意原则中国化过程中的嬗变、存在的问题，以及大数据对知情同意原则适用造成的具体冲击，在此基础上可以提出上述双重困境之下知情同意原则可能的破局思路。其一，在法律层面确立知情同意原则 “充分告知+实质同意+同意例外和撤回”的规范结构；其二，可以参考互联网领域的多元规制理论，充分发挥平台治理的能动作用，引入风险评估机制等多元路径，以知情同意原则为基点建立个人信息保护的综合性框架。

引言

知情同意原则最初是医学领域的一项基本原则，是指医生必须披露足够的信息，以使具有表达能力的患者可以在充分理解某种医疗方案、医疗行为和医疗措施的前提下对是否同意接受治疗作出决定，反映了对患者的自主权和自身权尊重。随着时代的发展，这一原则已经逐渐开始在个人信息保护领域适用，成为个人信息保护的基本原则。个人信息保护体系中的知情同意原则起源于前信息时代，强调同意必须基于个人对于其信息的收集利用的充分知情。①参见田野：《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》，载 《法制与社会发展》2018年第6期。也有学者认为这种强调个人自主的理念可以追溯到康德和密尔的道德理论。②See Tom L.Beauchamp&James F,Childress Principles of Biomedical Ethics,Oxford University Press,1994,p.125.洛克在 《政府论》中写道：“一切自然人都是自由的，除了他自己同意以外，没有任何事情可以使他受到世俗权力的限制。”③［英］洛克：《政府论》（下篇），叶启芳、瞿菊农译，商务印书馆2013年版，第74页。黑格尔则主张人作为其意志的存在形式，有权在任何事物中表达其意志，但只有在人们作出决定后，这种意志才是现实的、特定化了的意志，因此包括个人信息在内的事应由本人自治自决，个人不能处于被操控的地位。④参见 ［德］黑格尔：《法哲学原理》，范扬、张企泰译，商务印书馆 2013年版，第24页。

然而，随着数字化时代的到来，知情同意原则受到了极大的冲击，而冲击的核心就在于 “同意困境”。⑤参见前引④，黑格尔书，第111页。伴随着信息技术的发展，人类社会开始逐步进入到以数据化、网络化和智能化为特征的后信息时代，⑥［美］丹尼尔·伯斯坦、戴维·克莱恩：《征服世界 数字化时代的现实与未来》，吕传俊、沈明译，作家出版社1998版。数字化生存是这个时代的主要特征，也就是说，信息不再 “推向”消费者，而是人们或他们的数字勤务员将他们所需要的信息拿过来并参与他们的创建。⑦［美］尼古拉·尼葛洛庞帝：《数字化生存》，胡泳、范海燕译，电子工业出版社2017年版，第2页。在这一活动过程中信息开始由个人控制转向社会控制，作为个人控制其信息被收集、处理最重要的合法性基础——知情同意原则受到了数字化时代的严重冲击。

在此背景下掀起了一股知情同意原则否定论的思潮。一些知情同意原则的批判者认为，在现代的信息处理场景中，并不必然需要知情同意原则。⑧Leecia M.McDonald＆Lorie Faith Cranor,The Cost of Reading Privacy Policies,A Journal of Law and Policy for the Information Society,Vol.4,No.3(2008),pp.540－541.还有学者认为，由于假定的理性人在大数据背景下其实并不具备自决能力，此时的同意并非是真正的同意，以自决作为个人信息保护的基础是理念定位的错误。⑨吴泓：《信赖理念下的个人信息使用与保护》，载 《华东政法大学学报》2018年第1期。无论是在日常社会生活中，还是在经济活动中，始终需要知悉个人信息，从某种意义上来说，不公开信息在一定程度上就意味着欺诈。如果对人们为了误导他人而隐匿个人信息的行为给予法律保护，从经济学上来说与允许商品销售中的欺诈行为没有实质性差别。⑩参见 ［美］理查德·A.波斯纳：《论隐私权》，常鹏翱译，载 《私法》2011年第 2期。甚至有学者直接指出，知情同意原则在大数据时代的冲击下已经走向穷途末路。①范为：《大数据时代个人信息保护的路径重构》，载 《环球法律评论》2016年第5期。

综合看来，批判者们的理由大多集中于后信息时代个人的信息自决和信息自控的能力实际上已经不存在，知情同意已经不能在数字化时代很好地发挥作用。但上述理由不足以构成对知情同意原则的抛却理由，个人行使不好权利就不赋予其权利的逻辑存在一定的问题。在数字化时代个人同意能力的不足是知情同意原则在适用中的问题，而不是其正当性和必要性的问题，法本身是需要付出代价的，故对于一个原则尤其是基础性的原则的考察不能单纯基于能否十分经济地适用。

知情同意原则作为个人信息保护的帝王原则具有深厚的法理基础，它代表了一种个人塑造自己形象、安排自己生活的能力，②参见姚岳绒：《论信息自决权作为一项基本权利在我国的证成》，载 《政治与法律》2012年第4期。故基本的价值导向应当是将尊重和保护人的尊严放在首位，而对于具体适用中的诸如个人同意能力不足的问题则可以通过改良知情同意原则来弥补。但笔者对于否定“同意”作为个人信息处理的正当性基础，主张以路径重构取而代之的观点并不能完全认同。③参见任龙龙：《论同意不是个人信息处理的正当性基础》，载 《政治与法律》2016年第 1期。不可否认，知情同意原则在现实适用中需要做出一定程度的妥协，但是对于知情同意原则的完善应当坚守其核心内涵——个人自主、个人自决，这对于个人信息的保护是底线一般的存在，在企业和国家的双重利维坦的侵袭之下，个人已然处于弱势地位，个人信息自决的能力与对于个人信息的控制程度已经受到了极大的冲击，如果将个人控制自由的阀门 “同意”关上，从长远来看，能否说是一种经济的考量还有待商榷。

本文通过考察知情同意原则的形成过程，梳理知情同意原则的规范结构，进一步分析知情同意原则中国化过程中的嬗变，以及我国的现在法律框架内知情同意原则面临的来自大数据的具体冲击，在此基础上探究上述双重困境之下知情同意原则可能的破局思路，提出首先在法律层面完善“充分告知+实质同意+同意的撤回+同意例外”的规范结构，可以参考互联网领域的多元规制理论，充分发挥平台治理的能动作用，引入风险评估机制等多元路径，以知情同意原则为基点建立个人信息保护的综合性框架。如此，可为知情同意原则在我国的个人信息保护中更好地适用提供参考。

一、知情同意原则规范结构的实证考察——案例和文本的实证考察

（一）从 “同意”到 “告知同意”：美国法中知情同意原则的形成

“知情同意”(informed consent)起源于普通法系，英文文献中最早涉及知情同意的记录可以回溯到1767年的Slater案，该案法官确认了在进行手术前取得患者的同意是 “外科医生之惯例和法则”。④Slater v.Baker&Stapelton,95 Eng.Rep 860(K.B.1767).转引自赵西巨：《医事法研究》，法律出版社2008年版，第57页。知情同意最初在医事法律中得以确认和发展，在美国法中经历了从患者 “同意”缺失到 “知情同意” 的缺失。⑤赵西巨：《从知情同意原则的历史渊源和发展轨迹看其所保护之权利及其性质》，载 《南京医科大学学报 （社会科学版）》2005年第4期。

1914年美国的Schloendorff案首次明确了知情同意原则。1908年1月，该案的原告玛丽·施洛恩多夫因肌瘤到纽约医院就诊，为了确认该肌瘤是否为恶性，玛丽同意了其主治医生史汀森 （被告）对她进行麻醉检查，而史汀森医生在检查中发现该肿瘤是恶性的之后，直接在玛丽麻醉昏迷时切除了肿瘤。术后，玛丽的左臂出现坏死，她的一些手指不得不被截肢，玛丽认为自己在此期间未作出任何关于同意切除肌瘤的表示，医生应当对手术对自己造成的伤害负责。该案的法官在判决中认可了玛丽主张的 “自主决定权”，并发表了知情同意原则的经典表达：即 “每一个心智健全的成年人均享有处置其身体的决定权，医生没有取得患者的同意径行实施手术的行为成立暴行，该暴行产生的损害应当由医生负责。除非存在实施紧急手术的例外，否则应当坚持知情同意原则。”⑥Schloendorff v.The Society of New York Hospital,211 N.Y.125,127,105 N.E.92(1914),abrogated by Bing v.Thunig,2 N.Y.2d 656,143 N.E.2d 3(1957).该案件在当时引起极大的争议是因为纽约医院本身是一家慈善医疗机构，除病人自身所需膳食费外不收取任何费用，当时一项既定规则是该类医院对医生和护士在治疗病人的疏忽不承担责任。具体到本案中法官认为该案医生未经同意摘除肿瘤的行为已经不是疏忽而是非法侵入。

到二十世纪中叶的Martin Salgo案法院开始关注患者的 “知情同意”，在该案中患者马丁·萨尔戈的主治医生怀疑患者腹部主动脉阻塞，建议使用一种需要注射造影剂的方法进行进一步检查。患者对这一检查表示同意，不幸的是由于检查过程中向萨尔戈的背部大动脉导入造影剂致使患者失去行动能力，下肢瘫痪。患者认为医师未将这一风险告知他，他的同意是在不知道该检查的风险下作出的，医生仍然应当对其行为负责。对此，审理该案的布雷法官表明 “如果医生没有就其所建议的诊疗方案所依据的必要事实和风险告知患者，即违反了告知义务，应承担相应的法律责任。”⑦Slago v.Stanford Jr.University Board of Trustees,317P.2d 170(1957).

由上述两个案例可以看出知情同意原则的形成经历了从 “同意”到 “告知同意”的过程。至此，美国法中知情同意原则基本成型，即告知——知情——授权同意，也是现代各国知情同意原则规范的最基本的结构。

（二）知情同意原则的例外：欧盟对于知情同意原则的发展

1960年至1970年这段时期，欧洲开始大量在信息收集和处理领域使用信息通信技术 （ICT），与此同时数据保护也逐渐开始引起人们关注。在此背景下，欧洲委员会 （Council of Europe）于1980年发布了 《关于个人数据自动化处理的个人保护公约》（下文简称为 “108号公约”）。⑧Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data.由于在欧洲理事会 《欧洲条约集》（European Treaty Series）中编号108，因此这一公约通常被习惯性地称为 “108号公约”，“108号公约”被公认是最为重要的关于个人信息保护的国际公约性法律文件。这是欧洲委员会为在整个欧洲采用数据保护法提供的框架性尝试，该公约规定数据主体的同意是处理个人数据的法律依据之一，并确定了授权使用个人信息的形式同意要求。此后，欧洲议会和欧盟理事会分别于1995年10月24日和2016年4月27日公布了 《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（95/46/EC）（下文简称 《95指令》）和 《通用数据保护条例》，⑨Regulation(EU)2016/679 of the European Parliament and of the Council,27 April 2016.这也是欧盟现行法律中对于个人信息保护的主要法律。⑩European Parliament,The Data Protection Regime in China,2015.

《95指令》是对成员国具有约束力的一种立法形式，但它们并不是僵硬地立法，而是 “将执行形式和选择留给当局”。正如其名称所述，《95指令》旨在能够协调对个人基本隐私权的保护与成员国之间数据自由流通，其第7条规定成员国应当制定依据 《指令》制定国内法严格限制处理个人数据的情形：(a)数据主体明确表示同意；……第8条规定了特殊类型数据之处理要求，第4节则是规定了告知数据主体的信息内容，第6节第13条规定了个人数据处理的例外和限制，即国家安全、防务、公共安全、对于刑事犯罪或者违反职业道德行为的预防、调查、侦查和起诉。《95指令》确立了欧盟对于个人信息保护中以知情同意为首要正当性的基础地位，同时也在知情同意原则的规范结构中增加了同意的例外和限制。①陈飞等译：《个人数据保护 欧盟指令及成员国法律、经合组织指导方针》，法律出版社2006年版，第3-61页。

《通用数据保护条例》（下文简称GDPR）对 《95指令》的相关规则进行了进一步完善。首先，GDPR仍然坚持并强调了知情同意原则作为个人数据处理的合法性基础地位，并在知情同意外规定了其他五种个人信息处理的合法性基础，即履行合同所必需、处理者履行法律义务所必需、为了保护公共利益所必需、保护数据主体切身利益所必需、处理者或者第三方追求合法利益所必需。②“General Data Protection Regulation”， Regulation(EU)2016/679 of the European Parliament and of the Council,27 April 2016.这是对知情同意原则的另一种程度的完善。其次，GDPR对有效的同意提出了基本的框架要求，包括自愿提供，同意应当明确、特定、可审核的要求。③Ibid 22,Recitals 32,42,43 and Article 7§4;Recital 32 and Article 7§2;Recitals 32,42 and Article 7§2;Recital 42.

在此基础上，GDPR第2章第9条对禁止处理的特定个人信息进行了规定。该条明确禁止对能够显示种族、宗教、政治观点、哲学信仰的个人数据的处理，禁止仅仅出于确认自然身份的目的处理生物基因数据，禁止处理能够表现人的性生活或性取向的数据。④Ibid 22,Recitals 51,71 and Article 9§2;Articles 7§3.但该条第2款第1项同时又规定了数据主体明确同意的除外。

最后，GDPR的第7条第3款对同意的撤回作出了规定，在该条款下数据控制者应当在数据处理之前告知数据主体有随时撤回其同意的权利，且其撤回不影响撤回之前基于有效同意所做出的合法数据处理。此外，数据控制者应当为数据主体撤回同意提供与取得同意时同样的便利。

综上，可以看出欧盟始终坚持知情同意原则在个人数据处理中的地位，进一步对知情同意原则的适用条件具体化。至此，知情同意原则的规范结构中增加了例外限制与同意的撤回，最终形成了知情同意原则的规范结构：告知——知情——授权同意——同意的撤回——同意的例外。

二、数字化时代知情同意原则在我国遭遇的双重困境

我国最早关于个人信息保护的立法是2012年全国人大常委会通过的 《关于加强网络信息保护的决定》。⑤《关于加强网络信息保护的决定》第二条中明确提出网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息应当经被收集者同意。随着个人信息的重要性增加，个人信息保护条款逐渐成为若干法律中的必要条款，相关法律中开始逐步引入个人信息保护的知情同意原则。2013年修订的 《消费者权益保护法》第十四条⑥《消费者权益保护法》第十四条：消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法受到保护的权利。、第二十九条⑦《消费者权益保护法》第二十九条规定经营者收集、使用消费者个人信息应当经消费者同意。，2017年实施的 《网络安全法》第四章以及 《民法典》第一百一十一条⑧《民法总则》第一百一十一条：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。、第六章隐私权和个人信息保护的6个条文等法律对个人信息保护问题作出了相应的规定。以告知和权利人同意为核心构建的个人信息隐私保护制度已经根植于我们的立法和实践中，⑨徐丽枝：《个人信息处理中同意原则适用的困境与破解思路》，载 《图书情报知识》2017年第1期。但是我国在引入知情同意原则的过程中本身存在的问题以及知情同意原则的具体适用过程中引发的问题，导致知情同意原则在我国面临告知形式化、同意形式化的困境。这种困境又经由大数据的冲击发生了倍增效应。

（一）对规范结构的偏离

2012年全国人大常委会通过的 《关于加强网络信息保护的决定》（以下简称 《决定》）是我国最早在法律层面规定同意原则。该法第二条规定 “网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当……明示收集、使用信息的目的、方式和范围，并经被收集者同意……”，⑩《全国人民代表大会常务委员会关于加强网络信息保护的规定》第二条，2012年12月28日通过。从条文本身可以看出此时的知情同意原则仅为原则性规定，法律本身并未具体明确告知的形式、如何保证充分知情以及同意的方式，司法实践中也并未出台相关配套措施。2013年修订的 《消费者权益保护法》第十四条①参见前引⑥，《消费者权益保护法》第十四条。、第二十九条②参见前引⑦，《消费者权益保护法》第二十九条。也是如此，但仍然值得肯定的一点是在此之后，知情同意原则逐步成为若干法律中的必要条款。

2017年6月1日生效的 《网络安全法》又被称为一部小的个人信息保护法，其中第四十一条规定网络运营者收集、使用个人信息，除合法、正当、必要原则等，并经被收集者同意。此处的表述“并经”相较于 《决定》的 “应当”，强调被收集者同意是网络运营者处理个人数据的必要条件。《网络安全法》第四十二条又在此基础上区分了匿名信息和可识别个人信息。但是，《网络安全法》确立的知情同意原则的结构相较于 《关于加强网络信息保护的决定》并未有大的改变，同样对于告知的具体义务、同意的方式没有明确说明，也未引入知情同意原则的例外与撤回。《网络安全法》本身作为一部基本性质的法律，其规定仍然有待实施细则加以具体化，但遗憾的是目前为止并未有知情同意原则相关实施细则出台。

2020年5月28日颁布的 《民法典》第一百一十一条、第六章隐私权和个人信息保护的6个条文等法律对个人信息的保护作出了相应的规定，其中规定 “处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；”③《民法典》第一千零三十五条。《民法典》的这一规定进一步强调了我国法律中知情同意原则位于个人信息保护的核心地位，但是此条款中的 “法律、行政法规另有规定的除外”暂时在我国没有很明确指向的法律法规，这也为未来的 《个人信息保护法》的出台留下了一个口子。此外，值得肯定是 《民法典》第一千零三十六条规定了个人信息处理的豁免。但是，总体看来民法典关于知情同意原则的条文表述相较于 《网络安全法》的知情同意原则的表述和结构并无较大区别。

近年来，我国知情同意原则也在逐步完善的过程中。2020年10月1日实施的 《信息安全技术个人信息安全规范》（下文简称 《信息安全规范》）第5.4条对于知情同意原则的规范结构进行了详细规定，将个人信息区分一般个人信息、敏感个人信息、生物识别信息、儿童的个人信息分别规定了授权同意、明示同意，数据控制者和数据处理者在收集敏感信息时不仅需要征得信息主体的明示同意，而且应当保证个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。第5.6条规定了知情同意的例外。之后 《信息安全技术个人信息告知同意指南》（征求意见稿）更是对个人信息、个人敏感信息、个人信息控制者等进行了详细规定，这两个国家标准是目前我国对于个人信息的保护较为系统具体的规定，是我国在规范层面对于知情同意原则结构的规定的进步，各大平台在 《信息安全规范》出台后也纷纷修改自己用户隐私协议，但是受国家标准的效力层级限制，这种修改如何真正落地有待未来的实践检验。

综上，我国现行法律中的知情同意原则在规范结构层面有一定的偏离，知情同意的核心是个人信息自决与自主使用，知情同意原则在我国立法层面的规范机构的缺点反应在司法领域，就成为了其适用流于形式化的原因之一。

（二）受大数据的冲击

当人类社会进入到大数据时代，数据量之大、数据处理之频繁使得知情同意原则在个人信息保护的框架中开始显得力不从心。知情同意原则在大数据的影响之下，正在慢慢失去其原本的面貌，失去自决灵魂的同意就只是一副躯壳，以让渡自决得来的使用上的便利，是一种时代性的 “变节”。④朱悦：《连美国大法官都不阅读隐私协议，“知情同意”原则如何落地？》，腾讯网：https://news.qq.com/omn/20190102/20190102A11Y3X.html.2019年1月2日访问。

首先，对于个人主体来说，信息爆炸带来的海量而专业的数据使得个人的同意失去了自决的意义。据研究，面对各种冗长的隐私声明，很少有人去认真地阅读，⑤Susan Athey&Christian Catalini and Catherine Tucker,The digital privacy paradox:small money,small costs,small talk,in National Bureau of Economic Research,Inc(2017),p.1-26.一是受限于隐私声明的冗长和专业性，普通网民往往难以把握关键信息；二是没有时间，现代社会的快节奏生活使得公众没有时间和精力去阅读千字文般晦涩难懂的隐私政策；三是即使花费时间和精力去读完读懂了隐私声明的内容含义，如果要使用某项服务也没有拒绝的权利，这也进一步降低了公众的积极性。在这种情况下，麻木地点击在线一键同意按钮已经成为一种无需思考的例行操作，而自决在这种例行公事式的同意中的作用是极其微小的，也就是说在很大程度上同意的作用已被虚化、弱化。⑥参见前引⑨，吴泓文。

其次，信息收集者与信息处理者获取同意的难度和成本大大增加，信息收集者、信息处理者面临两难的境地。一方面是伴随人们的隐私观念的增减而与日俱增的严格的监管，一方面是信息收集者和信息处理者自身商业运作的生存需要。而且，在大数据条件下，信息通常是全数据处理，一些大数据分析师表示在数据处理结果出来之前他们甚至也不知道具体会是怎样。这种目的的不确定性和模糊性使得前信息时代事前签署知情同意书的模式不能满足信息主体对于信息保护的期待。此外，由于大数据时代数据商业化的大趋势以及大数据的本身的资源属性，信息收集者对其收集的数据可能进行不止一次的处理挖掘，如果每当这种处理、挖掘、使用甚至转让超出原始同意的范围时，原始同意即告失效，那么可以想象当一个信息收集者和信息处理者面对数以万计的主体需要征求数以万计次同意时，其时间成本和经济成本会是多么巨大，这一点也成为很多对于知情同意原则批判的主要理由之一。

最后，大数据增加了知情同意原则的监管难度。如果司法机关完全认可同意是使收集利用个人信息的行为获得合法化的依据，那么就必须对同意的方式进行重大改进，否则数据主体的同意反而可能成为数据处理者和数据控制者的规避责任的利器。实践中，数据收集和处理企业有可能将这种同意机制异化为一种近乎为默认的机制，绝大多数用户并不知道自己 “同意”就已经构成了 “同意”，典型的比如2018年的支付宝个人年度账单正式发布事件的处理。

三、数字化时代我国个人信息保护中知情同意原则的脱困思路

在国家、企业 （数据控制者和数据处理者）和数据主体构成的个人信息控制和处理的三方结构中，数据主体无论是从信息获取还是从对自己利益的保护能力上都处于一个弱势地位，因此对于个人数据的保护，一个基本的价值观念应当是经济技术的优先发展不能建立在牺牲个人信息保护的前提下，而是应当有所衡量，以平衡个人信息之间的保护与利用作为最基本的理念。⑦参见丁晓强：《个人数据保护中同意规则的“扬”与“抑”——卡-梅框架视域下的规则配置研究》，载《法学评论》2020年第4期。对于个人信息保护中知情同意原则在我国面临的困境，一方面可以期待未来在立法层面完善其规范结构，一方面可以参考互联网领域的多元规制理论，充分发挥平台治理的能动作用，引入风险评估机制等多元路径，以知情同意原则为基点建立个人信息保护的综合性框架。⑧[美]劳伦斯·格莱斯：《代码 2.0：网络空间中的法律》，李旭、沈伟伟译，清华大学出版社 2018年版。根据书中格莱斯提出的概念框架，法律之外，市场、技术架构 （architecture）以及社会规范 （social norms）同样是网络空间中约束 （constrain）行为的基本规制力量，互联网的政策和问题不可能单靠单一手段解决，每一种手段都需要至少两种规制方式的结合。

（一）规范层面：修正和完善我国立法框架中的知情同意原则

由上述分析可知针对知情同意的规范结构，我国现行知情同意原则的规定，首先对于告知的规定过于原则性，导致了实践中的数据控制者和数据处理者利用各种手段规避义务，使得告知不能达到充分知情的目的。其次，对于知情选择权，实践中尤其是数字化时代数据主体即使是充分知情也很难实现自主选择，对此应在法律层面确认 “知情后选择原则”充分尊重个人信息自决。此外，对于同意的形式、同意的类型化、个人信息的类型化需要明确导向。最后，对于民法典中规定的同意例外应在个人信息保护法中加以具体规定，未来的 《个人信息保护法》中应当考虑确立强化个人信息保护的基本导向。

1.充分告知

在个人信息处理过程中信息主体与信息搜集者之间存在 “资讯不对称”或 “知识落差”，因此，关于个人信息的搜集、利用和分享，应有 “告知后同意”与 “告知后选择”原则之适用。⑨翁清坤：《告知后同意在个人资料处理之适用》，转引自前引③，任龙龙文。我国对于个人信息收集中信息收集与控制主体的告知义务大多在隐私协议、用户协议之中，且不论用户能在多大程度上获取信息，这些格式协议本身就有很多的企业通过文字规避告知义务的操作空间。对此，《深圳经济特区数据条例 （草案）》第十五条规定了明示义务，即数据收集、处理者应当对自身的基本信息，收集、处理的目的、方式和范围，风险，安全保护措施，数据存储期限，以及数据权行使方式等个人数据收集、处理规则以通俗易懂、明确具体、易获取的书面方式完整、真实、准确的向授权主体披露。《信息安全技术个人信息告知同意指南》附录中分场景给出示例的方式来达到充分告知的要求。

未来首先应当在立法中明确企业的告知义务及以明显突出的告知形式要求，在法律层面确认数据处理者、数据控制者的明示告知义务，并设立相应的罚则。此外，可以成立个人信息保护的第三方中立机构，对于具体的告知形式可以参考世界知识产权组织 (WIPO)为了实现知识产权的全球民众老少皆懂，无文字障碍，对一些知识产权的以图标形式进行统一释义的做法。在知情同意原则的使用中诸如用户协议的一些常用条款，可以由上述第三方中立机构对一些常见多用的告知条款进行统一的图标释义或其他统一定义，使得人们能够充分获取和理解信息。

2.实质同意

如上文所述，我国对于一般性与敏感性的个人数据采用的是同等保护模式，导致我国的知情同意原则在适用时通常流于形式化，有必要对我国个人信息保护中的 “同意”进行细分。对此可以参照相关规定在未来的个人信息基本法律中明确规定同意包括明示同意和默示同意，在强调获取所有数据都需要获得清晰和明确的同意基础上，区分个人敏感数据与非敏感性数据适用无争议同意与明示同意的模式，并对未成年人、公众人物等特殊主体的个人数据设立特殊的同意规则，以此达到强化对敏感个人数据的保护和对一般个人数据的利用目的，实现二者之间的利益平衡，也避免 “同意”的形式化，不让法律上对敏感性数据的保护缺位。此外还可以出台相应的分场景分个人信息的种类引入推定同意 （presumed consent）、 开放同意 （open consent）、概括同意 （broad consent），使得同意具有实质意义。

3.“同意”的撤回和例外

民法典规定了行为人处理个人信息除征得个人同意外不承担民事责任的两个例外，即信息处理者对于已经公开的个人信息和为维护公共利益或者该自然人的合法权益所作出的合理处理不承担民事责任，⑩《中华人民共和国民法典》第一千零三十六条：处理个人信息，有下列情形之一的，行为人不承担民事责任：（一）在该自然人或者其监护人同意的范围内合理实施的行为；（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。初步确定了同意并非唯一性的个人信息处理的合法性基础。这有利于数字化时代个人信息处理、使用。《信息安全规范》中同样也规定了共11项征得授权同意的例外，①国家市场监督管理总局国家标准化管理委员会 《信息安全技术个人信息安全规范》GB/T 35273—2020。第5.6条 征得授权同意的例外。以下情形中，个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意：a)与个人信息控制者履行法律法规规定的义务相关的；b)与国家安全、国防安全直接相关的；c)与公共安全、公共卫生、重大公共利益直接相关的；d)与刑事侦查、起诉、审判和判决执行等直接相关的；e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；f)所涉及的个人信息是个人信息主体自行向社会公众公开的；g)根据个人信息主体要求签订和履行合同所必需的；h)从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；i)维护所提供产品或服务的安全稳定运行所必需的，如发现、处置产品或服务的故障；j)个人信息控制者为新闻单位，且其开展合法的新闻报道所必需的；k)个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的。相较于民法典的规定更为具体，但是 《信息安全规范》的效力层级较低，不足以起到完善知情同意原则在我国的规范结构的作用，故在未来的个人信息立法中应当参考 《信息安全规范》规定对知情同意原则的例外具体说明，在不同的价值之间进行价值衡量，确立个人信息保护中知情同意原则的撤回与例外规则。

《深圳经济特区数据条例 （草案）》规定了同意的撤回，给予数据主体撤回权，即自然人有权随时撤回根据法律、法规和本条例的规定作出或被视为已经作出的同意，但不应影响在撤回前基于同意作出的合法的数据处理。数据收集、处理者不得利用服务协议以及技术等手段，对自然人撤回同意进行不合理限制或者附加不合理条件，不得向该自然人收取费用。自然人撤回同意后，数据收集、处理者应当对存储的数据及时有效删除，法律、法规另有规定的除外。我国现行法律没有规定同意的撤回权，部分是出于对于数据市场的发展需要，《深圳经济特区数据条例 （草案）》的这一规定有一定的参考意义，可以在此基础上引入同意的撤回规则，使得知情同意原则的结构完整，给予数据主体更进一步的保护。与此同时，要对个人信息处理的例外进行限制，不能使其成为信息处理者和信息使用者规避个人信息保护义务的凭借，应当受到正当目的原则和必要原则对告知同意的限制。

4.举证责任

鉴于数据主体的信息获取能力，有学者主张在涉及个人信息侵权的案件中，应当确立除 “谁主张，谁举证”之外的特殊规则，即举证责任倒置规则，也就是说由被控数据侵权方承担其已取得同意的举证责任，从而降低信息主体的维权门槛，实现在诉讼中对于信息主体的二次保护。②王进：《论个人信息保护中知情同意原则之完善——以〈欧盟一般数据保护条例〉为例》，载《广西政法管理干部学院学报》2018年第1期。同意作为信息处理行为的合法性基础，其证明责任的归属对于个人信息纠纷案件的处理而言十分重要，对此，GDPR第7条第1款规定如果信息处理者主张其信息是基于信息主体同意的基础之上的，则信息处理者和信息控制者就应当对其取得的同意承担证明责任。我国未来的立法可以参考此规定对个人信息保护中知情同意原则的同意举证责任做进一步的规定。

（二）实践层面：针对知情同意原则的适用过程引入其他保护机制

现代社会是一个风险社会，大数据时代数据采集和数据处理技术的高度专业化发展，由于个人信息本身的财产和人身权属性的复杂性、信息处理和信息挖掘技术的高度发展、侵权方式的多变性，③方明：《个人信息多元保护模式探究》，载 《学海》2018年第6期。因此政府很难对于个人信息保护的相关主体进行全流程的监管，司法主体只能在侵权行为发生后，对侵权人采取事后的民事诉讼、行政处罚、刑事追究等措施，由上述分析可知此类救济措施又受限于被侵权人的取证和举证能力，这就使得个人信息的保护措施在面临种类繁多的个人信息侵权形式显得精疲力竭，因此有必要在完善规范层面的基础之上，辅之以多元规制模式。

1.事前告知阶段

在告知+知情+授权同意+同意撤回与例外结构中，告知通常是采用隐私协议的方式来对消费者进行提示，但是隐私协议文本的专业性使得这种形式的告知沦于形式化。对此，为应对信息时代的节奏，可以考虑引入社会自我规制，通过国家预设目标与架构，引导行业内部采用风险评估工具通过对个人信息的风险性进行评估，④Helen Nissenbaum,Privacy as Contextual Integrity,Washington Law Review,Vol.79 NO.1,P119-158(2004).可以由行业主导根据行业内部获取信息和处理信息的流程与实践中本行业个人信息处理中暴露的侵权问题制定一个统一的 “知情同意”模板，数据控制者和数据处理者可以直接使用经监管机构审核过的模板。如此，将隐私协议、隐私条款的审核义务赋予有权的监管机构，解决消费者机械性点击同意的弊端，同时还能降低企业拟定或修订隐私协议的成本。⑤参见前引⑨，徐丽枝文。

2.事中持续信息披露

《信息安全规范》第3.9条规定了个人信息安全影响评估制度，有针对性地对于个人信息处理全过程进行审查，评估处理手段的合法性、处理方式的合规性、对于个人信息主体合法权益造成损害的可能造成的风险，⑥国家市场监督管理总局国家标准化管理委员会 《信息安全技术个人信息安全规范》GB/T 35273—2020，第3.9条个人信息安全影响评估针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。对应地将最终的风险等级划分为高、中、低三种类型分别对应不同级别的保护模式。

（1）个人信息分类分级评估。针对 《信息安全规范》表A.1个人信息举例中列举的个人基本资料、个人生物识别信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息等制定相应的个人信息保护分级分类保护细则。⑦参见前引⑥。对应不同级别不同类别的个人信息划分不同的同意层级，从最严格的特别同意到自由度极大的空白同意，再到推定同意、指定信息共享范围的同意、排除特定目的条款的同意等。

（2）用户授权机制过程中的充分性评估。针对知情同意原则适用环节中授权用户可能面临的重复授权的问题，实践中已经有技术人员设计了一种将区块链去中心化的加密技术嵌入用户授权的机制，其原理基本为利用区块链的去中心化特点，简化了知情同意的授权环节的核验部分，⑧参见龙凯、高瑞鑫：《个人信息保护场景的区块链技术嵌入研究》，载 《信息通信技术与政策》2018年第7期。具体原理为：A指用户、B为数据使用方、C为数据提供者、数据源、D为监管方 （1）A向 B（连带C）充分授权，区块链写入A的授权行为及其附属信息；（2）B向C提出使用A的个人信息的请求，D查核 A-B（C）授权有效性；（3）C向 B提供A的个人信息反馈；（4）A、B、C、D任何一方需要查询、验证或者监督授权记录时，均可提供验证。首先使得用户、数据使用方数据提供者、数据源、监管方都可以从公链获取数据而无需再获得用户的重新授权，数据使用者与数据处理者省去了重复获取同意的成本；其次，由于区块链的难以篡改性也有利于防止对于个人信息的非授权使用的几率。 因此，在充分利用技术嵌入机制的基础上，通过出台相应的标准在事前保证第一次授权同意的充分性，促进规范的落地实施。

3.事后有效救济

针对互联网平台的治理现实以及法律规范的落地，有学者主张参考平台治理模式，即通过由行业主导充分利用网络平台自身积累的海量交易数据和预测算法，在交易行为发生之前尽可能地将知情同意原则的合规方案等具体内容传达给规制对象。⑨参见戴昕、申欣旺：《规范如何“落地”——法律实施的未来与互联网平台治理的现实》，载《中国法律评论》2016年第4期。

比如淘宝的消费者保护规则，一开始淘宝是依靠人工处理投诉程序来解决商家与消费者的纠纷，耗费了大量人力但取得的效果并不令人满意。后期淘宝平台充分利用大数据的发展，从结构上整体改变其消费者维权规范与程序，首先，淘宝通过对其平台内记录的消费者投诉的案例及其处理情况进行大数据的分析整理，将具体的退款原因和拒绝退款的原因从林林总总的案例中梳理出来，形成数据报告；进一步以此为基础根据不同的场景建立不同的处理流程；最终将不同的投诉需求分配到不同的流程中，从而为消费者提供最合适的维权方案。⑩参见申欣旺：《淘宝互联网纠纷解决机制——结构化维权及其司法价值》，载《法庭内外》2016年第3期。在纠纷绝对数量随平台交易量迅速增长的背景下，取得了不错的效果。

参考淘宝平台的纠纷解决机制，在知情同意原则的事后救济中充分利用数据采集、数据分析技术来达到规范细化的目的，从而增加对同意的分级分类以及动态同意机制的可行性，真正做到知情而后同意的可能性。此外，信息监管部分还可以引入知情同意原则中的白名单和黑名单机制，通过黑名单机制向社会发布风险预警，通过白名单机制激励企业和平台合规。

总结

正如卡多佐大法官对知情同意原则所作的经典表述：“任何一个心智健全的成年人均有权自主决定怎样处理自己的个人信息，即这是 “我”的信息，只有 “我”有权决定怎样处置。”知情同意原则作为个人信息保护的帝王原则其本身具有深厚的法理基础，在信息处理者与个人不对等的关系中，权利人的同意是对于信息处理者最好的限制，适用的困难不能作为动摇制度架构的理由。信息自决是自由价值、自主的时代性表达，同意是自决意义上的自我控制的实现方式，保证同意有效是实现信息时代自我决定的阀门。因此，知情同意原则在大数据时代走出困境基本路径不应是放弃其信息自决的内核式改进，而应是完善知情同意原则的规范结构，协调好法律原则的坚守与创新的关系。“同意”困境是知情同意原则在大数据挑战面前产生不适的应激性反应，而不是生死存废之争。①参见前引①，田野文。知情同意原则作为个人信息保护的基石，自主作为个人信息保护的灵魂始终应该坚守。