數(shù)字化時(shí)代知情同意原則的適用困境與破局思路

郭旨龍 李文慧

內(nèi)容提要：數(shù)字化時(shí)代信息的爆炸性增長(zhǎng)使得數(shù)據(jù)控制者和數(shù)據(jù)處理者更加難以獲得有效的同意，個(gè)人信息的公共屬性削弱了個(gè)人控制其信息的能力。知情同意原則作為個(gè)人信息保護(hù)的帝王原則其本身具有深厚的法理基礎(chǔ)，在信息處理者與個(gè)人不對(duì)等的關(guān)系中，權(quán)利人的同意是對(duì)于信息處理者最好的限制，適用的困難不能作為動(dòng)搖制度架構(gòu)的理由。通過(guò)考察知情同意原則的形成過(guò)程，歸納知情同意原則的規(guī)范結(jié)構(gòu)，進(jìn)一步分析知情同意原則中國(guó)化過(guò)程中的嬗變、存在的問(wèn)題，以及大數(shù)據(jù)對(duì)知情同意原則適用造成的具體沖擊，在此基礎(chǔ)上可以提出上述雙重困境之下知情同意原則可能的破局思路。其一，在法律層面確立知情同意原則 “充分告知+實(shí)質(zhì)同意+同意例外和撤回”的規(guī)范結(jié)構(gòu)；其二，可以參考互聯(lián)網(wǎng)領(lǐng)域的多元規(guī)制理論，充分發(fā)揮平臺(tái)治理的能動(dòng)作用，引入風(fēng)險(xiǎn)評(píng)估機(jī)制等多元路徑，以知情同意原則為基點(diǎn)建立個(gè)人信息保護(hù)的綜合性框架。

引言

知情同意原則最初是醫(yī)學(xué)領(lǐng)域的一項(xiàng)基本原則，是指醫(yī)生必須披露足夠的信息，以使具有表達(dá)能力的患者可以在充分理解某種醫(yī)療方案、醫(yī)療行為和醫(yī)療措施的前提下對(duì)是否同意接受治療作出決定，反映了對(duì)患者的自主權(quán)和自身權(quán)尊重。隨著時(shí)代的發(fā)展，這一原則已經(jīng)逐漸開始在個(gè)人信息保護(hù)領(lǐng)域適用，成為個(gè)人信息保護(hù)的基本原則。個(gè)人信息保護(hù)體系中的知情同意原則起源于前信息時(shí)代，強(qiáng)調(diào)同意必須基于個(gè)人對(duì)于其信息的收集利用的充分知情。①參見田野：《大數(shù)據(jù)時(shí)代知情同意原則的困境與出路——以生物資料庫(kù)的個(gè)人信息保護(hù)為例》，載 《法制與社會(huì)發(fā)展》2018年第6期。也有學(xué)者認(rèn)為這種強(qiáng)調(diào)個(gè)人自主的理念可以追溯到康德和密爾的道德理論。②See Tom L.Beauchamp&James F,Childress Principles of Biomedical Ethics,Oxford University Press,1994,p.125.洛克在 《政府論》中寫道：“一切自然人都是自由的，除了他自己同意以外，沒有任何事情可以使他受到世俗權(quán)力的限制。”③［英］洛克：《政府論》（下篇），葉啟芳、瞿菊農(nóng)譯，商務(wù)印書館2013年版，第74頁(yè)。黑格爾則主張人作為其意志的存在形式，有權(quán)在任何事物中表達(dá)其意志，但只有在人們作出決定后，這種意志才是現(xiàn)實(shí)的、特定化了的意志，因此包括個(gè)人信息在內(nèi)的事應(yīng)由本人自治自決，個(gè)人不能處于被操控的地位。④參見 ［德］黑格爾：《法哲學(xué)原理》，范揚(yáng)、張企泰譯，商務(wù)印書館 2013年版，第24頁(yè)。

然而，隨著數(shù)字化時(shí)代的到來(lái)，知情同意原則受到了極大的沖擊，而沖擊的核心就在于 “同意困境”。⑤參見前引④，黑格爾書，第111頁(yè)。伴隨著信息技術(shù)的發(fā)展，人類社會(huì)開始逐步進(jìn)入到以數(shù)據(jù)化、網(wǎng)絡(luò)化和智能化為特征的后信息時(shí)代，⑥［美］丹尼爾·伯斯坦、戴維·克萊恩：《征服世界 數(shù)字化時(shí)代的現(xiàn)實(shí)與未來(lái)》，呂傳俊、沈明譯，作家出版社1998版。數(shù)字化生存是這個(gè)時(shí)代的主要特征，也就是說(shuō)，信息不再 “推向”消費(fèi)者，而是人們或他們的數(shù)字勤務(wù)員將他們所需要的信息拿過(guò)來(lái)并參與他們的創(chuàng)建。⑦［美］尼古拉·尼葛洛龐帝：《數(shù)字化生存》，胡泳、范海燕譯，電子工業(yè)出版社2017年版，第2頁(yè)。在這一活動(dòng)過(guò)程中信息開始由個(gè)人控制轉(zhuǎn)向社會(huì)控制，作為個(gè)人控制其信息被收集、處理最重要的合法性基礎(chǔ)——知情同意原則受到了數(shù)字化時(shí)代的嚴(yán)重沖擊。

在此背景下掀起了一股知情同意原則否定論的思潮。一些知情同意原則的批判者認(rèn)為，在現(xiàn)代的信息處理場(chǎng)景中，并不必然需要知情同意原則。⑧Leecia M.McDonald＆Lorie Faith Cranor,The Cost of Reading Privacy Policies,A Journal of Law and Policy for the Information Society,Vol.4,No.3(2008),pp.540－541.還有學(xué)者認(rèn)為，由于假定的理性人在大數(shù)據(jù)背景下其實(shí)并不具備自決能力，此時(shí)的同意并非是真正的同意，以自決作為個(gè)人信息保護(hù)的基礎(chǔ)是理念定位的錯(cuò)誤。⑨吳泓：《信賴?yán)砟钕碌膫€(gè)人信息使用與保護(hù)》，載 《華東政法大學(xué)學(xué)報(bào)》2018年第1期。無(wú)論是在日常社會(huì)生活中，還是在經(jīng)濟(jì)活動(dòng)中，始終需要知悉個(gè)人信息，從某種意義上來(lái)說(shuō)，不公開信息在一定程度上就意味著欺詐。如果對(duì)人們?yōu)榱苏`導(dǎo)他人而隱匿個(gè)人信息的行為給予法律保護(hù)，從經(jīng)濟(jì)學(xué)上來(lái)說(shuō)與允許商品銷售中的欺詐行為沒有實(shí)質(zhì)性差別。⑩參見 ［美］理查德·A.波斯納：《論隱私權(quán)》，常鵬翱譯，載 《私法》2011年第 2期。甚至有學(xué)者直接指出，知情同意原則在大數(shù)據(jù)時(shí)代的沖擊下已經(jīng)走向窮途末路。①范為：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》，載 《環(huán)球法律評(píng)論》2016年第5期。

綜合看來(lái)，批判者們的理由大多集中于后信息時(shí)代個(gè)人的信息自決和信息自控的能力實(shí)際上已經(jīng)不存在，知情同意已經(jīng)不能在數(shù)字化時(shí)代很好地發(fā)揮作用。但上述理由不足以構(gòu)成對(duì)知情同意原則的拋卻理由，個(gè)人行使不好權(quán)利就不賦予其權(quán)利的邏輯存在一定的問(wèn)題。在數(shù)字化時(shí)代個(gè)人同意能力的不足是知情同意原則在適用中的問(wèn)題，而不是其正當(dāng)性和必要性的問(wèn)題，法本身是需要付出代價(jià)的，故對(duì)于一個(gè)原則尤其是基礎(chǔ)性的原則的考察不能單純基于能否十分經(jīng)濟(jì)地適用。

知情同意原則作為個(gè)人信息保護(hù)的帝王原則具有深厚的法理基礎(chǔ)，它代表了一種個(gè)人塑造自己形象、安排自己生活的能力，②參見姚岳絨：《論信息自決權(quán)作為一項(xiàng)基本權(quán)利在我國(guó)的證成》，載 《政治與法律》2012年第4期。故基本的價(jià)值導(dǎo)向應(yīng)當(dāng)是將尊重和保護(hù)人的尊嚴(yán)放在首位，而對(duì)于具體適用中的諸如個(gè)人同意能力不足的問(wèn)題則可以通過(guò)改良知情同意原則來(lái)彌補(bǔ)。但筆者對(duì)于否定“同意”作為個(gè)人信息處理的正當(dāng)性基礎(chǔ)，主張以路徑重構(gòu)取而代之的觀點(diǎn)并不能完全認(rèn)同。③參見任龍龍：《論同意不是個(gè)人信息處理的正當(dāng)性基礎(chǔ)》，載 《政治與法律》2016年第 1期。不可否認(rèn)，知情同意原則在現(xiàn)實(shí)適用中需要做出一定程度的妥協(xié)，但是對(duì)于知情同意原則的完善應(yīng)當(dāng)堅(jiān)守其核心內(nèi)涵——個(gè)人自主、個(gè)人自決，這對(duì)于個(gè)人信息的保護(hù)是底線一般的存在，在企業(yè)和國(guó)家的雙重利維坦的侵襲之下，個(gè)人已然處于弱勢(shì)地位，個(gè)人信息自決的能力與對(duì)于個(gè)人信息的控制程度已經(jīng)受到了極大的沖擊，如果將個(gè)人控制自由的閥門 “同意”關(guān)上，從長(zhǎng)遠(yuǎn)來(lái)看，能否說(shuō)是一種經(jīng)濟(jì)的考量還有待商榷。

本文通過(guò)考察知情同意原則的形成過(guò)程，梳理知情同意原則的規(guī)范結(jié)構(gòu)，進(jìn)一步分析知情同意原則中國(guó)化過(guò)程中的嬗變，以及我國(guó)的現(xiàn)在法律框架內(nèi)知情同意原則面臨的來(lái)自大數(shù)據(jù)的具體沖擊，在此基礎(chǔ)上探究上述雙重困境之下知情同意原則可能的破局思路，提出首先在法律層面完善“充分告知+實(shí)質(zhì)同意+同意的撤回+同意例外”的規(guī)范結(jié)構(gòu)，可以參考互聯(lián)網(wǎng)領(lǐng)域的多元規(guī)制理論，充分發(fā)揮平臺(tái)治理的能動(dòng)作用，引入風(fēng)險(xiǎn)評(píng)估機(jī)制等多元路徑，以知情同意原則為基點(diǎn)建立個(gè)人信息保護(hù)的綜合性框架。如此，可為知情同意原則在我國(guó)的個(gè)人信息保護(hù)中更好地適用提供參考。

一、知情同意原則規(guī)范結(jié)構(gòu)的實(shí)證考察——案例和文本的實(shí)證考察

（一）從 “同意”到 “告知同意”：美國(guó)法中知情同意原則的形成

“知情同意”(informed consent)起源于普通法系，英文文獻(xiàn)中最早涉及知情同意的記錄可以回溯到1767年的Slater案，該案法官確認(rèn)了在進(jìn)行手術(shù)前取得患者的同意是 “外科醫(yī)生之慣例和法則”。④Slater v.Baker&Stapelton,95 Eng.Rep 860(K.B.1767).轉(zhuǎn)引自趙西巨：《醫(yī)事法研究》，法律出版社2008年版，第57頁(yè)。知情同意最初在醫(yī)事法律中得以確認(rèn)和發(fā)展，在美國(guó)法中經(jīng)歷了從患者 “同意”缺失到 “知情同意” 的缺失。⑤趙西巨：《從知情同意原則的歷史淵源和發(fā)展軌跡看其所保護(hù)之權(quán)利及其性質(zhì)》，載 《南京醫(yī)科大學(xué)學(xué)報(bào) （社會(huì)科學(xué)版）》2005年第4期。

1914年美國(guó)的Schloendorff案首次明確了知情同意原則。1908年1月，該案的原告瑪麗·施洛恩多夫因肌瘤到紐約醫(yī)院就診，為了確認(rèn)該肌瘤是否為惡性，瑪麗同意了其主治醫(yī)生史汀森 （被告）對(duì)她進(jìn)行麻醉檢查，而史汀森醫(yī)生在檢查中發(fā)現(xiàn)該腫瘤是惡性的之后，直接在瑪麗麻醉昏迷時(shí)切除了腫瘤。術(shù)后，瑪麗的左臂出現(xiàn)壞死，她的一些手指不得不被截肢，瑪麗認(rèn)為自己在此期間未作出任何關(guān)于同意切除肌瘤的表示，醫(yī)生應(yīng)當(dāng)對(duì)手術(shù)對(duì)自己造成的傷害負(fù)責(zé)。該案的法官在判決中認(rèn)可了瑪麗主張的 “自主決定權(quán)”，并發(fā)表了知情同意原則的經(jīng)典表達(dá)：即 “每一個(gè)心智健全的成年人均享有處置其身體的決定權(quán)，醫(yī)生沒有取得患者的同意徑行實(shí)施手術(shù)的行為成立暴行，該暴行產(chǎn)生的損害應(yīng)當(dāng)由醫(yī)生負(fù)責(zé)。除非存在實(shí)施緊急手術(shù)的例外，否則應(yīng)當(dāng)堅(jiān)持知情同意原則?！雹轘chloendorff v.The Society of New York Hospital,211 N.Y.125,127,105 N.E.92(1914),abrogated by Bing v.Thunig,2 N.Y.2d 656,143 N.E.2d 3(1957).該案件在當(dāng)時(shí)引起極大的爭(zhēng)議是因?yàn)榧~約醫(yī)院本身是一家慈善醫(yī)療機(jī)構(gòu)，除病人自身所需膳食費(fèi)外不收取任何費(fèi)用，當(dāng)時(shí)一項(xiàng)既定規(guī)則是該類醫(yī)院對(duì)醫(yī)生和護(hù)士在治療病人的疏忽不承擔(dān)責(zé)任。具體到本案中法官認(rèn)為該案醫(yī)生未經(jīng)同意摘除腫瘤的行為已經(jīng)不是疏忽而是非法侵入。

到二十世紀(jì)中葉的Martin Salgo案法院開始關(guān)注患者的 “知情同意”，在該案中患者馬丁·薩爾戈的主治醫(yī)生懷疑患者腹部主動(dòng)脈阻塞，建議使用一種需要注射造影劑的方法進(jìn)行進(jìn)一步檢查。患者對(duì)這一檢查表示同意，不幸的是由于檢查過(guò)程中向薩爾戈的背部大動(dòng)脈導(dǎo)入造影劑致使患者失去行動(dòng)能力，下肢癱瘓?；颊哒J(rèn)為醫(yī)師未將這一風(fēng)險(xiǎn)告知他，他的同意是在不知道該檢查的風(fēng)險(xiǎn)下作出的，醫(yī)生仍然應(yīng)當(dāng)對(duì)其行為負(fù)責(zé)。對(duì)此，審理該案的布雷法官表明 “如果醫(yī)生沒有就其所建議的診療方案所依據(jù)的必要事實(shí)和風(fēng)險(xiǎn)告知患者，即違反了告知義務(wù)，應(yīng)承擔(dān)相應(yīng)的法律責(zé)任?！雹逽lago v.Stanford Jr.University Board of Trustees,317P.2d 170(1957).

由上述兩個(gè)案例可以看出知情同意原則的形成經(jīng)歷了從 “同意”到 “告知同意”的過(guò)程。至此，美國(guó)法中知情同意原則基本成型，即告知——知情——授權(quán)同意，也是現(xiàn)代各國(guó)知情同意原則規(guī)范的最基本的結(jié)構(gòu)。

（二）知情同意原則的例外：歐盟對(duì)于知情同意原則的發(fā)展

1960年至1970年這段時(shí)期，歐洲開始大量在信息收集和處理領(lǐng)域使用信息通信技術(shù) （ICT），與此同時(shí)數(shù)據(jù)保護(hù)也逐漸開始引起人們關(guān)注。在此背景下，歐洲委員會(huì) （Council of Europe）于1980年發(fā)布了 《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》（下文簡(jiǎn)稱為 “108號(hào)公約”）。⑧Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data.由于在歐洲理事會(huì) 《歐洲條約集》（European Treaty Series）中編號(hào)108，因此這一公約通常被習(xí)慣性地稱為 “108號(hào)公約”，“108號(hào)公約”被公認(rèn)是最為重要的關(guān)于個(gè)人信息保護(hù)的國(guó)際公約性法律文件。這是歐洲委員會(huì)為在整個(gè)歐洲采用數(shù)據(jù)保護(hù)法提供的框架性嘗試，該公約規(guī)定數(shù)據(jù)主體的同意是處理個(gè)人數(shù)據(jù)的法律依據(jù)之一，并確定了授權(quán)使用個(gè)人信息的形式同意要求。此后，歐洲議會(huì)和歐盟理事會(huì)分別于1995年10月24日和2016年4月27日公布了 《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的指令》（95/46/EC）（下文簡(jiǎn)稱 《95指令》）和 《通用數(shù)據(jù)保護(hù)條例》，⑨Regulation(EU)2016/679 of the European Parliament and of the Council,27 April 2016.這也是歐盟現(xiàn)行法律中對(duì)于個(gè)人信息保護(hù)的主要法律。⑩European Parliament,The Data Protection Regime in China,2015.

《95指令》是對(duì)成員國(guó)具有約束力的一種立法形式，但它們并不是僵硬地立法，而是 “將執(zhí)行形式和選擇留給當(dāng)局”。正如其名稱所述，《95指令》旨在能夠協(xié)調(diào)對(duì)個(gè)人基本隱私權(quán)的保護(hù)與成員國(guó)之間數(shù)據(jù)自由流通，其第7條規(guī)定成員國(guó)應(yīng)當(dāng)制定依據(jù) 《指令》制定國(guó)內(nèi)法嚴(yán)格限制處理個(gè)人數(shù)據(jù)的情形：(a)數(shù)據(jù)主體明確表示同意；……第8條規(guī)定了特殊類型數(shù)據(jù)之處理要求，第4節(jié)則是規(guī)定了告知數(shù)據(jù)主體的信息內(nèi)容，第6節(jié)第13條規(guī)定了個(gè)人數(shù)據(jù)處理的例外和限制，即國(guó)家安全、防務(wù)、公共安全、對(duì)于刑事犯罪或者違反職業(yè)道德行為的預(yù)防、調(diào)查、偵查和起訴?！?5指令》確立了歐盟對(duì)于個(gè)人信息保護(hù)中以知情同意為首要正當(dāng)性的基礎(chǔ)地位，同時(shí)也在知情同意原則的規(guī)范結(jié)構(gòu)中增加了同意的例外和限制。①陳飛等譯：《個(gè)人數(shù)據(jù)保護(hù) 歐盟指令及成員國(guó)法律、經(jīng)合組織指導(dǎo)方針》，法律出版社2006年版，第3-61頁(yè)。

《通用數(shù)據(jù)保護(hù)條例》（下文簡(jiǎn)稱GDPR）對(duì) 《95指令》的相關(guān)規(guī)則進(jìn)行了進(jìn)一步完善。首先，GDPR仍然堅(jiān)持并強(qiáng)調(diào)了知情同意原則作為個(gè)人數(shù)據(jù)處理的合法性基礎(chǔ)地位，并在知情同意外規(guī)定了其他五種個(gè)人信息處理的合法性基礎(chǔ)，即履行合同所必需、處理者履行法律義務(wù)所必需、為了保護(hù)公共利益所必需、保護(hù)數(shù)據(jù)主體切身利益所必需、處理者或者第三方追求合法利益所必需。②“General Data Protection Regulation”， Regulation(EU)2016/679 of the European Parliament and of the Council,27 April 2016.這是對(duì)知情同意原則的另一種程度的完善。其次，GDPR對(duì)有效的同意提出了基本的框架要求，包括自愿提供，同意應(yīng)當(dāng)明確、特定、可審核的要求。③Ibid 22,Recitals 32,42,43 and Article 7§4;Recital 32 and Article 7§2;Recitals 32,42 and Article 7§2;Recital 42.

在此基礎(chǔ)上，GDPR第2章第9條對(duì)禁止處理的特定個(gè)人信息進(jìn)行了規(guī)定。該條明確禁止對(duì)能夠顯示種族、宗教、政治觀點(diǎn)、哲學(xué)信仰的個(gè)人數(shù)據(jù)的處理，禁止僅僅出于確認(rèn)自然身份的目的處理生物基因數(shù)據(jù)，禁止處理能夠表現(xiàn)人的性生活或性取向的數(shù)據(jù)。④Ibid 22,Recitals 51,71 and Article 9§2;Articles 7§3.但該條第2款第1項(xiàng)同時(shí)又規(guī)定了數(shù)據(jù)主體明確同意的除外。

最后，GDPR的第7條第3款對(duì)同意的撤回作出了規(guī)定，在該條款下數(shù)據(jù)控制者應(yīng)當(dāng)在數(shù)據(jù)處理之前告知數(shù)據(jù)主體有隨時(shí)撤回其同意的權(quán)利，且其撤回不影響撤回之前基于有效同意所做出的合法數(shù)據(jù)處理。此外，數(shù)據(jù)控制者應(yīng)當(dāng)為數(shù)據(jù)主體撤回同意提供與取得同意時(shí)同樣的便利。

綜上，可以看出歐盟始終堅(jiān)持知情同意原則在個(gè)人數(shù)據(jù)處理中的地位，進(jìn)一步對(duì)知情同意原則的適用條件具體化。至此，知情同意原則的規(guī)范結(jié)構(gòu)中增加了例外限制與同意的撤回，最終形成了知情同意原則的規(guī)范結(jié)構(gòu)：告知——知情——授權(quán)同意——同意的撤回——同意的例外。

二、數(shù)字化時(shí)代知情同意原則在我國(guó)遭遇的雙重困境

我國(guó)最早關(guān)于個(gè)人信息保護(hù)的立法是2012年全國(guó)人大常委會(huì)通過(guò)的 《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。⑤《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第二條中明確提出網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息應(yīng)當(dāng)經(jīng)被收集者同意。隨著個(gè)人信息的重要性增加，個(gè)人信息保護(hù)條款逐漸成為若干法律中的必要條款，相關(guān)法律中開始逐步引入個(gè)人信息保護(hù)的知情同意原則。2013年修訂的 《消費(fèi)者權(quán)益保護(hù)法》第十四條⑥《消費(fèi)者權(quán)益保護(hù)法》第十四條：消費(fèi)者在購(gòu)買、使用商品和接受服務(wù)時(shí)，享有人格尊嚴(yán)、民族風(fēng)俗習(xí)慣得到尊重的權(quán)利，享有個(gè)人信息依法受到保護(hù)的權(quán)利。、第二十九條⑦《消費(fèi)者權(quán)益保護(hù)法》第二十九條規(guī)定經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息應(yīng)當(dāng)經(jīng)消費(fèi)者同意。，2017年實(shí)施的 《網(wǎng)絡(luò)安全法》第四章以及 《民法典》第一百一十一條⑧《民法總則》第一百一十一條：自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。、第六章隱私權(quán)和個(gè)人信息保護(hù)的6個(gè)條文等法律對(duì)個(gè)人信息保護(hù)問(wèn)題作出了相應(yīng)的規(guī)定。以告知和權(quán)利人同意為核心構(gòu)建的個(gè)人信息隱私保護(hù)制度已經(jīng)根植于我們的立法和實(shí)踐中，⑨徐麗枝：《個(gè)人信息處理中同意原則適用的困境與破解思路》，載 《圖書情報(bào)知識(shí)》2017年第1期。但是我國(guó)在引入知情同意原則的過(guò)程中本身存在的問(wèn)題以及知情同意原則的具體適用過(guò)程中引發(fā)的問(wèn)題，導(dǎo)致知情同意原則在我國(guó)面臨告知形式化、同意形式化的困境。這種困境又經(jīng)由大數(shù)據(jù)的沖擊發(fā)生了倍增效應(yīng)。

（一）對(duì)規(guī)范結(jié)構(gòu)的偏離

2012年全國(guó)人大常委會(huì)通過(guò)的 《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（以下簡(jiǎn)稱 《決定》）是我國(guó)最早在法律層面規(guī)定同意原則。該法第二條規(guī)定 “網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)……明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意……”，⑩《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的規(guī)定》第二條，2012年12月28日通過(guò)。從條文本身可以看出此時(shí)的知情同意原則僅為原則性規(guī)定，法律本身并未具體明確告知的形式、如何保證充分知情以及同意的方式，司法實(shí)踐中也并未出臺(tái)相關(guān)配套措施。2013年修訂的 《消費(fèi)者權(quán)益保護(hù)法》第十四條①參見前引⑥，《消費(fèi)者權(quán)益保護(hù)法》第十四條。、第二十九條②參見前引⑦，《消費(fèi)者權(quán)益保護(hù)法》第二十九條。也是如此，但仍然值得肯定的一點(diǎn)是在此之后，知情同意原則逐步成為若干法律中的必要條款。

2017年6月1日生效的 《網(wǎng)絡(luò)安全法》又被稱為一部小的個(gè)人信息保護(hù)法，其中第四十一條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，除合法、正當(dāng)、必要原則等，并經(jīng)被收集者同意。此處的表述“并經(jīng)”相較于 《決定》的 “應(yīng)當(dāng)”，強(qiáng)調(diào)被收集者同意是網(wǎng)絡(luò)運(yùn)營(yíng)者處理個(gè)人數(shù)據(jù)的必要條件?！毒W(wǎng)絡(luò)安全法》第四十二條又在此基礎(chǔ)上區(qū)分了匿名信息和可識(shí)別個(gè)人信息。但是，《網(wǎng)絡(luò)安全法》確立的知情同意原則的結(jié)構(gòu)相較于 《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》并未有大的改變，同樣對(duì)于告知的具體義務(wù)、同意的方式?jīng)]有明確說(shuō)明，也未引入知情同意原則的例外與撤回。《網(wǎng)絡(luò)安全法》本身作為一部基本性質(zhì)的法律，其規(guī)定仍然有待實(shí)施細(xì)則加以具體化，但遺憾的是目前為止并未有知情同意原則相關(guān)實(shí)施細(xì)則出臺(tái)。

2020年5月28日頒布的 《民法典》第一百一十一條、第六章隱私權(quán)和個(gè)人信息保護(hù)的6個(gè)條文等法律對(duì)個(gè)人信息的保護(hù)作出了相應(yīng)的規(guī)定，其中規(guī)定 “處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；”③《民法典》第一千零三十五條?！睹穹ǖ洹返倪@一規(guī)定進(jìn)一步強(qiáng)調(diào)了我國(guó)法律中知情同意原則位于個(gè)人信息保護(hù)的核心地位，但是此條款中的 “法律、行政法規(guī)另有規(guī)定的除外”暫時(shí)在我國(guó)沒有很明確指向的法律法規(guī)，這也為未來(lái)的 《個(gè)人信息保護(hù)法》的出臺(tái)留下了一個(gè)口子。此外，值得肯定是 《民法典》第一千零三十六條規(guī)定了個(gè)人信息處理的豁免。但是，總體看來(lái)民法典關(guān)于知情同意原則的條文表述相較于 《網(wǎng)絡(luò)安全法》的知情同意原則的表述和結(jié)構(gòu)并無(wú)較大區(qū)別。

近年來(lái)，我國(guó)知情同意原則也在逐步完善的過(guò)程中。2020年10月1日實(shí)施的 《信息安全技術(shù)個(gè)人信息安全規(guī)范》（下文簡(jiǎn)稱 《信息安全規(guī)范》）第5.4條對(duì)于知情同意原則的規(guī)范結(jié)構(gòu)進(jìn)行了詳細(xì)規(guī)定，將個(gè)人信息區(qū)分一般個(gè)人信息、敏感個(gè)人信息、生物識(shí)別信息、兒童的個(gè)人信息分別規(guī)定了授權(quán)同意、明示同意，數(shù)據(jù)控制者和數(shù)據(jù)處理者在收集敏感信息時(shí)不僅需要征得信息主體的明示同意，而且應(yīng)當(dāng)保證個(gè)人信息主體的明示同意是其在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示。第5.6條規(guī)定了知情同意的例外。之后 《信息安全技術(shù)個(gè)人信息告知同意指南》（征求意見稿）更是對(duì)個(gè)人信息、個(gè)人敏感信息、個(gè)人信息控制者等進(jìn)行了詳細(xì)規(guī)定，這兩個(gè)國(guó)家標(biāo)準(zhǔn)是目前我國(guó)對(duì)于個(gè)人信息的保護(hù)較為系統(tǒng)具體的規(guī)定，是我國(guó)在規(guī)范層面對(duì)于知情同意原則結(jié)構(gòu)的規(guī)定的進(jìn)步，各大平臺(tái)在 《信息安全規(guī)范》出臺(tái)后也紛紛修改自己用戶隱私協(xié)議，但是受國(guó)家標(biāo)準(zhǔn)的效力層級(jí)限制，這種修改如何真正落地有待未來(lái)的實(shí)踐檢驗(yàn)。

綜上，我國(guó)現(xiàn)行法律中的知情同意原則在規(guī)范結(jié)構(gòu)層面有一定的偏離，知情同意的核心是個(gè)人信息自決與自主使用，知情同意原則在我國(guó)立法層面的規(guī)范機(jī)構(gòu)的缺點(diǎn)反應(yīng)在司法領(lǐng)域，就成為了其適用流于形式化的原因之一。

（二）受大數(shù)據(jù)的沖擊

當(dāng)人類社會(huì)進(jìn)入到大數(shù)據(jù)時(shí)代，數(shù)據(jù)量之大、數(shù)據(jù)處理之頻繁使得知情同意原則在個(gè)人信息保護(hù)的框架中開始顯得力不從心。知情同意原則在大數(shù)據(jù)的影響之下，正在慢慢失去其原本的面貌，失去自決靈魂的同意就只是一副軀殼，以讓渡自決得來(lái)的使用上的便利，是一種時(shí)代性的 “變節(jié)”。④朱悅：《連美國(guó)大法官都不閱讀隱私協(xié)議，“知情同意”原則如何落地？》，騰訊網(wǎng)：https://news.qq.com/omn/20190102/20190102A11Y3X.html.2019年1月2日訪問(wèn)。

首先，對(duì)于個(gè)人主體來(lái)說(shuō)，信息爆炸帶來(lái)的海量而專業(yè)的數(shù)據(jù)使得個(gè)人的同意失去了自決的意義。據(jù)研究，面對(duì)各種冗長(zhǎng)的隱私聲明，很少有人去認(rèn)真地閱讀，⑤Susan Athey&Christian Catalini and Catherine Tucker,The digital privacy paradox:small money,small costs,small talk,in National Bureau of Economic Research,Inc(2017),p.1-26.一是受限于隱私聲明的冗長(zhǎng)和專業(yè)性，普通網(wǎng)民往往難以把握關(guān)鍵信息；二是沒有時(shí)間，現(xiàn)代社會(huì)的快節(jié)奏生活使得公眾沒有時(shí)間和精力去閱讀千字文般晦澀難懂的隱私政策；三是即使花費(fèi)時(shí)間和精力去讀完讀懂了隱私聲明的內(nèi)容含義，如果要使用某項(xiàng)服務(wù)也沒有拒絕的權(quán)利，這也進(jìn)一步降低了公眾的積極性。在這種情況下，麻木地點(diǎn)擊在線一鍵同意按鈕已經(jīng)成為一種無(wú)需思考的例行操作，而自決在這種例行公事式的同意中的作用是極其微小的，也就是說(shuō)在很大程度上同意的作用已被虛化、弱化。⑥參見前引⑨，吳泓文。

其次，信息收集者與信息處理者獲取同意的難度和成本大大增加，信息收集者、信息處理者面臨兩難的境地。一方面是伴隨人們的隱私觀念的增減而與日俱增的嚴(yán)格的監(jiān)管，一方面是信息收集者和信息處理者自身商業(yè)運(yùn)作的生存需要。而且，在大數(shù)據(jù)條件下，信息通常是全數(shù)據(jù)處理，一些大數(shù)據(jù)分析師表示在數(shù)據(jù)處理結(jié)果出來(lái)之前他們甚至也不知道具體會(huì)是怎樣。這種目的的不確定性和模糊性使得前信息時(shí)代事前簽署知情同意書的模式不能滿足信息主體對(duì)于信息保護(hù)的期待。此外，由于大數(shù)據(jù)時(shí)代數(shù)據(jù)商業(yè)化的大趨勢(shì)以及大數(shù)據(jù)的本身的資源屬性，信息收集者對(duì)其收集的數(shù)據(jù)可能進(jìn)行不止一次的處理挖掘，如果每當(dāng)這種處理、挖掘、使用甚至轉(zhuǎn)讓超出原始同意的范圍時(shí)，原始同意即告失效，那么可以想象當(dāng)一個(gè)信息收集者和信息處理者面對(duì)數(shù)以萬(wàn)計(jì)的主體需要征求數(shù)以萬(wàn)計(jì)次同意時(shí)，其時(shí)間成本和經(jīng)濟(jì)成本會(huì)是多么巨大，這一點(diǎn)也成為很多對(duì)于知情同意原則批判的主要理由之一。

最后，大數(shù)據(jù)增加了知情同意原則的監(jiān)管難度。如果司法機(jī)關(guān)完全認(rèn)可同意是使收集利用個(gè)人信息的行為獲得合法化的依據(jù)，那么就必須對(duì)同意的方式進(jìn)行重大改進(jìn)，否則數(shù)據(jù)主體的同意反而可能成為數(shù)據(jù)處理者和數(shù)據(jù)控制者的規(guī)避責(zé)任的利器。實(shí)踐中，數(shù)據(jù)收集和處理企業(yè)有可能將這種同意機(jī)制異化為一種近乎為默認(rèn)的機(jī)制，絕大多數(shù)用戶并不知道自己 “同意”就已經(jīng)構(gòu)成了 “同意”，典型的比如2018年的支付寶個(gè)人年度賬單正式發(fā)布事件的處理。

三、數(shù)字化時(shí)代我國(guó)個(gè)人信息保護(hù)中知情同意原則的脫困思路

在國(guó)家、企業(yè) （數(shù)據(jù)控制者和數(shù)據(jù)處理者）和數(shù)據(jù)主體構(gòu)成的個(gè)人信息控制和處理的三方結(jié)構(gòu)中，數(shù)據(jù)主體無(wú)論是從信息獲取還是從對(duì)自己利益的保護(hù)能力上都處于一個(gè)弱勢(shì)地位，因此對(duì)于個(gè)人數(shù)據(jù)的保護(hù)，一個(gè)基本的價(jià)值觀念應(yīng)當(dāng)是經(jīng)濟(jì)技術(shù)的優(yōu)先發(fā)展不能建立在犧牲個(gè)人信息保護(hù)的前提下，而是應(yīng)當(dāng)有所衡量，以平衡個(gè)人信息之間的保護(hù)與利用作為最基本的理念。⑦參見丁曉強(qiáng)：《個(gè)人數(shù)據(jù)保護(hù)中同意規(guī)則的“揚(yáng)”與“抑”——卡-梅框架視域下的規(guī)則配置研究》，載《法學(xué)評(píng)論》2020年第4期。對(duì)于個(gè)人信息保護(hù)中知情同意原則在我國(guó)面臨的困境，一方面可以期待未來(lái)在立法層面完善其規(guī)范結(jié)構(gòu)，一方面可以參考互聯(lián)網(wǎng)領(lǐng)域的多元規(guī)制理論，充分發(fā)揮平臺(tái)治理的能動(dòng)作用，引入風(fēng)險(xiǎn)評(píng)估機(jī)制等多元路徑，以知情同意原則為基點(diǎn)建立個(gè)人信息保護(hù)的綜合性框架。⑧[美]勞倫斯·格萊斯：《代碼 2.0：網(wǎng)絡(luò)空間中的法律》，李旭、沈偉偉譯，清華大學(xué)出版社 2018年版。根據(jù)書中格萊斯提出的概念框架，法律之外，市場(chǎng)、技術(shù)架構(gòu) （architecture）以及社會(huì)規(guī)范 （social norms）同樣是網(wǎng)絡(luò)空間中約束 （constrain）行為的基本規(guī)制力量，互聯(lián)網(wǎng)的政策和問(wèn)題不可能單靠單一手段解決，每一種手段都需要至少兩種規(guī)制方式的結(jié)合。

（一）規(guī)范層面：修正和完善我國(guó)立法框架中的知情同意原則

由上述分析可知針對(duì)知情同意的規(guī)范結(jié)構(gòu)，我國(guó)現(xiàn)行知情同意原則的規(guī)定，首先對(duì)于告知的規(guī)定過(guò)于原則性，導(dǎo)致了實(shí)踐中的數(shù)據(jù)控制者和數(shù)據(jù)處理者利用各種手段規(guī)避義務(wù)，使得告知不能達(dá)到充分知情的目的。其次，對(duì)于知情選擇權(quán)，實(shí)踐中尤其是數(shù)字化時(shí)代數(shù)據(jù)主體即使是充分知情也很難實(shí)現(xiàn)自主選擇，對(duì)此應(yīng)在法律層面確認(rèn) “知情后選擇原則”充分尊重個(gè)人信息自決。此外，對(duì)于同意的形式、同意的類型化、個(gè)人信息的類型化需要明確導(dǎo)向。最后，對(duì)于民法典中規(guī)定的同意例外應(yīng)在個(gè)人信息保護(hù)法中加以具體規(guī)定，未來(lái)的 《個(gè)人信息保護(hù)法》中應(yīng)當(dāng)考慮確立強(qiáng)化個(gè)人信息保護(hù)的基本導(dǎo)向。

1.充分告知

在個(gè)人信息處理過(guò)程中信息主體與信息搜集者之間存在 “資訊不對(duì)稱”或 “知識(shí)落差”，因此，關(guān)于個(gè)人信息的搜集、利用和分享，應(yīng)有 “告知后同意”與 “告知后選擇”原則之適用。⑨翁清坤：《告知后同意在個(gè)人資料處理之適用》，轉(zhuǎn)引自前引③，任龍龍文。我國(guó)對(duì)于個(gè)人信息收集中信息收集與控制主體的告知義務(wù)大多在隱私協(xié)議、用戶協(xié)議之中，且不論用戶能在多大程度上獲取信息，這些格式協(xié)議本身就有很多的企業(yè)通過(guò)文字規(guī)避告知義務(wù)的操作空間。對(duì)此，《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例 （草案）》第十五條規(guī)定了明示義務(wù)，即數(shù)據(jù)收集、處理者應(yīng)當(dāng)對(duì)自身的基本信息，收集、處理的目的、方式和范圍，風(fēng)險(xiǎn)，安全保護(hù)措施，數(shù)據(jù)存儲(chǔ)期限，以及數(shù)據(jù)權(quán)行使方式等個(gè)人數(shù)據(jù)收集、處理規(guī)則以通俗易懂、明確具體、易獲取的書面方式完整、真實(shí)、準(zhǔn)確的向授權(quán)主體披露。《信息安全技術(shù)個(gè)人信息告知同意指南》附錄中分場(chǎng)景給出示例的方式來(lái)達(dá)到充分告知的要求。

未來(lái)首先應(yīng)當(dāng)在立法中明確企業(yè)的告知義務(wù)及以明顯突出的告知形式要求，在法律層面確認(rèn)數(shù)據(jù)處理者、數(shù)據(jù)控制者的明示告知義務(wù)，并設(shè)立相應(yīng)的罰則。此外，可以成立個(gè)人信息保護(hù)的第三方中立機(jī)構(gòu)，對(duì)于具體的告知形式可以參考世界知識(shí)產(chǎn)權(quán)組織 (WIPO)為了實(shí)現(xiàn)知識(shí)產(chǎn)權(quán)的全球民眾老少皆懂，無(wú)文字障礙，對(duì)一些知識(shí)產(chǎn)權(quán)的以圖標(biāo)形式進(jìn)行統(tǒng)一釋義的做法。在知情同意原則的使用中諸如用戶協(xié)議的一些常用條款，可以由上述第三方中立機(jī)構(gòu)對(duì)一些常見多用的告知條款進(jìn)行統(tǒng)一的圖標(biāo)釋義或其他統(tǒng)一定義，使得人們能夠充分獲取和理解信息。

2.實(shí)質(zhì)同意

如上文所述，我國(guó)對(duì)于一般性與敏感性的個(gè)人數(shù)據(jù)采用的是同等保護(hù)模式，導(dǎo)致我國(guó)的知情同意原則在適用時(shí)通常流于形式化，有必要對(duì)我國(guó)個(gè)人信息保護(hù)中的 “同意”進(jìn)行細(xì)分。對(duì)此可以參照相關(guān)規(guī)定在未來(lái)的個(gè)人信息基本法律中明確規(guī)定同意包括明示同意和默示同意，在強(qiáng)調(diào)獲取所有數(shù)據(jù)都需要獲得清晰和明確的同意基礎(chǔ)上，區(qū)分個(gè)人敏感數(shù)據(jù)與非敏感性數(shù)據(jù)適用無(wú)爭(zhēng)議同意與明示同意的模式，并對(duì)未成年人、公眾人物等特殊主體的個(gè)人數(shù)據(jù)設(shè)立特殊的同意規(guī)則，以此達(dá)到強(qiáng)化對(duì)敏感個(gè)人數(shù)據(jù)的保護(hù)和對(duì)一般個(gè)人數(shù)據(jù)的利用目的，實(shí)現(xiàn)二者之間的利益平衡，也避免 “同意”的形式化，不讓法律上對(duì)敏感性數(shù)據(jù)的保護(hù)缺位。此外還可以出臺(tái)相應(yīng)的分場(chǎng)景分個(gè)人信息的種類引入推定同意 （presumed consent）、 開放同意 （open consent）、概括同意 （broad consent），使得同意具有實(shí)質(zhì)意義。

3.“同意”的撤回和例外

民法典規(guī)定了行為人處理個(gè)人信息除征得個(gè)人同意外不承擔(dān)民事責(zé)任的兩個(gè)例外，即信息處理者對(duì)于已經(jīng)公開的個(gè)人信息和為維護(hù)公共利益或者該自然人的合法權(quán)益所作出的合理處理不承擔(dān)民事責(zé)任，⑩《中華人民共和國(guó)民法典》第一千零三十六條：處理個(gè)人信息，有下列情形之一的，行為人不承擔(dān)民事責(zé)任：（一）在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實(shí)施的行為；（二）合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。初步確定了同意并非唯一性的個(gè)人信息處理的合法性基礎(chǔ)。這有利于數(shù)字化時(shí)代個(gè)人信息處理、使用?！缎畔踩?guī)范》中同樣也規(guī)定了共11項(xiàng)征得授權(quán)同意的例外，①國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì) 《信息安全技術(shù)個(gè)人信息安全規(guī)范》GB/T 35273—2020。第5.6條 征得授權(quán)同意的例外。以下情形中，個(gè)人信息控制者收集、使用個(gè)人信息不必征得個(gè)人信息主體的授權(quán)同意：a)與個(gè)人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的；b)與國(guó)家安全、國(guó)防安全直接相關(guān)的；c)與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的；d)與刑事偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的；e)出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的；f)所涉及的個(gè)人信息是個(gè)人信息主體自行向社會(huì)公眾公開的；g)根據(jù)個(gè)人信息主體要求簽訂和履行合同所必需的；h)從合法公開披露的信息中收集個(gè)人信息的，如合法的新聞報(bào)道、政府信息公開等渠道；i)維護(hù)所提供產(chǎn)品或服務(wù)的安全穩(wěn)定運(yùn)行所必需的，如發(fā)現(xiàn)、處置產(chǎn)品或服務(wù)的故障；j)個(gè)人信息控制者為新聞單位，且其開展合法的新聞報(bào)道所必需的；k)個(gè)人信息控制者為學(xué)術(shù)研究機(jī)構(gòu)，出于公共利益開展統(tǒng)計(jì)或?qū)W術(shù)研究所必要，且其對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí)，對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理的。相較于民法典的規(guī)定更為具體，但是 《信息安全規(guī)范》的效力層級(jí)較低，不足以起到完善知情同意原則在我國(guó)的規(guī)范結(jié)構(gòu)的作用，故在未來(lái)的個(gè)人信息立法中應(yīng)當(dāng)參考 《信息安全規(guī)范》規(guī)定對(duì)知情同意原則的例外具體說(shuō)明，在不同的價(jià)值之間進(jìn)行價(jià)值衡量，確立個(gè)人信息保護(hù)中知情同意原則的撤回與例外規(guī)則。

《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例 （草案）》規(guī)定了同意的撤回，給予數(shù)據(jù)主體撤回權(quán)，即自然人有權(quán)隨時(shí)撤回根據(jù)法律、法規(guī)和本條例的規(guī)定作出或被視為已經(jīng)作出的同意，但不應(yīng)影響在撤回前基于同意作出的合法的數(shù)據(jù)處理。數(shù)據(jù)收集、處理者不得利用服務(wù)協(xié)議以及技術(shù)等手段，對(duì)自然人撤回同意進(jìn)行不合理限制或者附加不合理?xiàng)l件，不得向該自然人收取費(fèi)用。自然人撤回同意后，數(shù)據(jù)收集、處理者應(yīng)當(dāng)對(duì)存儲(chǔ)的數(shù)據(jù)及時(shí)有效刪除，法律、法規(guī)另有規(guī)定的除外。我國(guó)現(xiàn)行法律沒有規(guī)定同意的撤回權(quán)，部分是出于對(duì)于數(shù)據(jù)市場(chǎng)的發(fā)展需要，《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例 （草案）》的這一規(guī)定有一定的參考意義，可以在此基礎(chǔ)上引入同意的撤回規(guī)則，使得知情同意原則的結(jié)構(gòu)完整，給予數(shù)據(jù)主體更進(jìn)一步的保護(hù)。與此同時(shí)，要對(duì)個(gè)人信息處理的例外進(jìn)行限制，不能使其成為信息處理者和信息使用者規(guī)避個(gè)人信息保護(hù)義務(wù)的憑借，應(yīng)當(dāng)受到正當(dāng)目的原則和必要原則對(duì)告知同意的限制。

4.舉證責(zé)任

鑒于數(shù)據(jù)主體的信息獲取能力，有學(xué)者主張?jiān)谏婕皞€(gè)人信息侵權(quán)的案件中，應(yīng)當(dāng)確立除 “誰(shuí)主張，誰(shuí)舉證”之外的特殊規(guī)則，即舉證責(zé)任倒置規(guī)則，也就是說(shuō)由被控?cái)?shù)據(jù)侵權(quán)方承擔(dān)其已取得同意的舉證責(zé)任，從而降低信息主體的維權(quán)門檻，實(shí)現(xiàn)在訴訟中對(duì)于信息主體的二次保護(hù)。②王進(jìn)：《論個(gè)人信息保護(hù)中知情同意原則之完善——以〈歐盟一般數(shù)據(jù)保護(hù)條例〉為例》，載《廣西政法管理干部學(xué)院學(xué)報(bào)》2018年第1期。同意作為信息處理行為的合法性基礎(chǔ)，其證明責(zé)任的歸屬對(duì)于個(gè)人信息糾紛案件的處理而言十分重要，對(duì)此，GDPR第7條第1款規(guī)定如果信息處理者主張其信息是基于信息主體同意的基礎(chǔ)之上的，則信息處理者和信息控制者就應(yīng)當(dāng)對(duì)其取得的同意承擔(dān)證明責(zé)任。我國(guó)未來(lái)的立法可以參考此規(guī)定對(duì)個(gè)人信息保護(hù)中知情同意原則的同意舉證責(zé)任做進(jìn)一步的規(guī)定。

（二）實(shí)踐層面：針對(duì)知情同意原則的適用過(guò)程引入其他保護(hù)機(jī)制

現(xiàn)代社會(huì)是一個(gè)風(fēng)險(xiǎn)社會(huì)，大數(shù)據(jù)時(shí)代數(shù)據(jù)采集和數(shù)據(jù)處理技術(shù)的高度專業(yè)化發(fā)展，由于個(gè)人信息本身的財(cái)產(chǎn)和人身權(quán)屬性的復(fù)雜性、信息處理和信息挖掘技術(shù)的高度發(fā)展、侵權(quán)方式的多變性，③方明：《個(gè)人信息多元保護(hù)模式探究》，載 《學(xué)海》2018年第6期。因此政府很難對(duì)于個(gè)人信息保護(hù)的相關(guān)主體進(jìn)行全流程的監(jiān)管，司法主體只能在侵權(quán)行為發(fā)生后，對(duì)侵權(quán)人采取事后的民事訴訟、行政處罰、刑事追究等措施，由上述分析可知此類救濟(jì)措施又受限于被侵權(quán)人的取證和舉證能力，這就使得個(gè)人信息的保護(hù)措施在面臨種類繁多的個(gè)人信息侵權(quán)形式顯得精疲力竭，因此有必要在完善規(guī)范層面的基礎(chǔ)之上，輔之以多元規(guī)制模式。

1.事前告知階段

在告知+知情+授權(quán)同意+同意撤回與例外結(jié)構(gòu)中，告知通常是采用隱私協(xié)議的方式來(lái)對(duì)消費(fèi)者進(jìn)行提示，但是隱私協(xié)議文本的專業(yè)性使得這種形式的告知淪于形式化。對(duì)此，為應(yīng)對(duì)信息時(shí)代的節(jié)奏，可以考慮引入社會(huì)自我規(guī)制，通過(guò)國(guó)家預(yù)設(shè)目標(biāo)與架構(gòu)，引導(dǎo)行業(yè)內(nèi)部采用風(fēng)險(xiǎn)評(píng)估工具通過(guò)對(duì)個(gè)人信息的風(fēng)險(xiǎn)性進(jìn)行評(píng)估，④Helen Nissenbaum,Privacy as Contextual Integrity,Washington Law Review,Vol.79 NO.1,P119-158(2004).可以由行業(yè)主導(dǎo)根據(jù)行業(yè)內(nèi)部獲取信息和處理信息的流程與實(shí)踐中本行業(yè)個(gè)人信息處理中暴露的侵權(quán)問(wèn)題制定一個(gè)統(tǒng)一的 “知情同意”模板，數(shù)據(jù)控制者和數(shù)據(jù)處理者可以直接使用經(jīng)監(jiān)管機(jī)構(gòu)審核過(guò)的模板。如此，將隱私協(xié)議、隱私條款的審核義務(wù)賦予有權(quán)的監(jiān)管機(jī)構(gòu)，解決消費(fèi)者機(jī)械性點(diǎn)擊同意的弊端，同時(shí)還能降低企業(yè)擬定或修訂隱私協(xié)議的成本。⑤參見前引⑨，徐麗枝文。

2.事中持續(xù)信息披露

《信息安全規(guī)范》第3.9條規(guī)定了個(gè)人信息安全影響評(píng)估制度，有針對(duì)性地對(duì)于個(gè)人信息處理全過(guò)程進(jìn)行審查，評(píng)估處理手段的合法性、處理方式的合規(guī)性、對(duì)于個(gè)人信息主體合法權(quán)益造成損害的可能造成的風(fēng)險(xiǎn)，⑥國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì) 《信息安全技術(shù)個(gè)人信息安全規(guī)范》GB/T 35273—2020，第3.9條個(gè)人信息安全影響評(píng)估針對(duì)個(gè)人信息處理活動(dòng)，檢驗(yàn)其合法合規(guī)程度，判斷其對(duì)個(gè)人信息主體合法權(quán)益造成損害的各種風(fēng)險(xiǎn)，以及評(píng)估用于保護(hù)個(gè)人信息主體的各項(xiàng)措施有效性的過(guò)程。對(duì)應(yīng)地將最終的風(fēng)險(xiǎn)等級(jí)劃分為高、中、低三種類型分別對(duì)應(yīng)不同級(jí)別的保護(hù)模式。

（1）個(gè)人信息分類分級(jí)評(píng)估。針對(duì) 《信息安全規(guī)范》表A.1個(gè)人信息舉例中列舉的個(gè)人基本資料、個(gè)人生物識(shí)別信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人通信信息、聯(lián)系人信息、個(gè)人上網(wǎng)記錄、個(gè)人常用設(shè)備信息等制定相應(yīng)的個(gè)人信息保護(hù)分級(jí)分類保護(hù)細(xì)則。⑦參見前引⑥。對(duì)應(yīng)不同級(jí)別不同類別的個(gè)人信息劃分不同的同意層級(jí)，從最嚴(yán)格的特別同意到自由度極大的空白同意，再到推定同意、指定信息共享范圍的同意、排除特定目的條款的同意等。

（2）用戶授權(quán)機(jī)制過(guò)程中的充分性評(píng)估。針對(duì)知情同意原則適用環(huán)節(jié)中授權(quán)用戶可能面臨的重復(fù)授權(quán)的問(wèn)題，實(shí)踐中已經(jīng)有技術(shù)人員設(shè)計(jì)了一種將區(qū)塊鏈去中心化的加密技術(shù)嵌入用戶授權(quán)的機(jī)制，其原理基本為利用區(qū)塊鏈的去中心化特點(diǎn)，簡(jiǎn)化了知情同意的授權(quán)環(huán)節(jié)的核驗(yàn)部分，⑧參見龍凱、高瑞鑫：《個(gè)人信息保護(hù)場(chǎng)景的區(qū)塊鏈技術(shù)嵌入研究》，載 《信息通信技術(shù)與政策》2018年第7期。具體原理為：A指用戶、B為數(shù)據(jù)使用方、C為數(shù)據(jù)提供者、數(shù)據(jù)源、D為監(jiān)管方 （1）A向 B（連帶C）充分授權(quán)，區(qū)塊鏈寫入A的授權(quán)行為及其附屬信息；（2）B向C提出使用A的個(gè)人信息的請(qǐng)求，D查核 A-B（C）授權(quán)有效性；（3）C向 B提供A的個(gè)人信息反饋；（4）A、B、C、D任何一方需要查詢、驗(yàn)證或者監(jiān)督授權(quán)記錄時(shí)，均可提供驗(yàn)證。首先使得用戶、數(shù)據(jù)使用方數(shù)據(jù)提供者、數(shù)據(jù)源、監(jiān)管方都可以從公鏈獲取數(shù)據(jù)而無(wú)需再獲得用戶的重新授權(quán)，數(shù)據(jù)使用者與數(shù)據(jù)處理者省去了重復(fù)獲取同意的成本；其次，由于區(qū)塊鏈的難以篡改性也有利于防止對(duì)于個(gè)人信息的非授權(quán)使用的幾率。 因此，在充分利用技術(shù)嵌入機(jī)制的基礎(chǔ)上，通過(guò)出臺(tái)相應(yīng)的標(biāo)準(zhǔn)在事前保證第一次授權(quán)同意的充分性，促進(jìn)規(guī)范的落地實(shí)施。

3.事后有效救濟(jì)

針對(duì)互聯(lián)網(wǎng)平臺(tái)的治理現(xiàn)實(shí)以及法律規(guī)范的落地，有學(xué)者主張參考平臺(tái)治理模式，即通過(guò)由行業(yè)主導(dǎo)充分利用網(wǎng)絡(luò)平臺(tái)自身積累的海量交易數(shù)據(jù)和預(yù)測(cè)算法，在交易行為發(fā)生之前盡可能地將知情同意原則的合規(guī)方案等具體內(nèi)容傳達(dá)給規(guī)制對(duì)象。⑨參見戴昕、申欣旺：《規(guī)范如何“落地”——法律實(shí)施的未來(lái)與互聯(lián)網(wǎng)平臺(tái)治理的現(xiàn)實(shí)》，載《中國(guó)法律評(píng)論》2016年第4期。

比如淘寶的消費(fèi)者保護(hù)規(guī)則，一開始淘寶是依靠人工處理投訴程序來(lái)解決商家與消費(fèi)者的糾紛，耗費(fèi)了大量人力但取得的效果并不令人滿意。后期淘寶平臺(tái)充分利用大數(shù)據(jù)的發(fā)展，從結(jié)構(gòu)上整體改變其消費(fèi)者維權(quán)規(guī)范與程序，首先，淘寶通過(guò)對(duì)其平臺(tái)內(nèi)記錄的消費(fèi)者投訴的案例及其處理情況進(jìn)行大數(shù)據(jù)的分析整理，將具體的退款原因和拒絕退款的原因從林林總總的案例中梳理出來(lái)，形成數(shù)據(jù)報(bào)告；進(jìn)一步以此為基礎(chǔ)根據(jù)不同的場(chǎng)景建立不同的處理流程；最終將不同的投訴需求分配到不同的流程中，從而為消費(fèi)者提供最合適的維權(quán)方案。⑩參見申欣旺：《淘寶互聯(lián)網(wǎng)糾紛解決機(jī)制——結(jié)構(gòu)化維權(quán)及其司法價(jià)值》，載《法庭內(nèi)外》2016年第3期。在糾紛絕對(duì)數(shù)量隨平臺(tái)交易量迅速增長(zhǎng)的背景下，取得了不錯(cuò)的效果。

參考淘寶平臺(tái)的糾紛解決機(jī)制，在知情同意原則的事后救濟(jì)中充分利用數(shù)據(jù)采集、數(shù)據(jù)分析技術(shù)來(lái)達(dá)到規(guī)范細(xì)化的目的，從而增加對(duì)同意的分級(jí)分類以及動(dòng)態(tài)同意機(jī)制的可行性，真正做到知情而后同意的可能性。此外，信息監(jiān)管部分還可以引入知情同意原則中的白名單和黑名單機(jī)制，通過(guò)黑名單機(jī)制向社會(huì)發(fā)布風(fēng)險(xiǎn)預(yù)警，通過(guò)白名單機(jī)制激勵(lì)企業(yè)和平臺(tái)合規(guī)。

總結(jié)

正如卡多佐大法官對(duì)知情同意原則所作的經(jīng)典表述：“任何一個(gè)心智健全的成年人均有權(quán)自主決定怎樣處理自己的個(gè)人信息，即這是 “我”的信息，只有 “我”有權(quán)決定怎樣處置?！敝橥庠瓌t作為個(gè)人信息保護(hù)的帝王原則其本身具有深厚的法理基礎(chǔ)，在信息處理者與個(gè)人不對(duì)等的關(guān)系中，權(quán)利人的同意是對(duì)于信息處理者最好的限制，適用的困難不能作為動(dòng)搖制度架構(gòu)的理由。信息自決是自由價(jià)值、自主的時(shí)代性表達(dá)，同意是自決意義上的自我控制的實(shí)現(xiàn)方式，保證同意有效是實(shí)現(xiàn)信息時(shí)代自我決定的閥門。因此，知情同意原則在大數(shù)據(jù)時(shí)代走出困境基本路徑不應(yīng)是放棄其信息自決的內(nèi)核式改進(jìn)，而應(yīng)是完善知情同意原則的規(guī)范結(jié)構(gòu)，協(xié)調(diào)好法律原則的堅(jiān)守與創(chuàng)新的關(guān)系?！巴狻崩Ь呈侵橥庠瓌t在大數(shù)據(jù)挑戰(zhàn)面前產(chǎn)生不適的應(yīng)激性反應(yīng)，而不是生死存廢之爭(zhēng)。①參見前引①，田野文。知情同意原則作為個(gè)人信息保護(hù)的基石，自主作為個(gè)人信息保護(hù)的靈魂始終應(yīng)該堅(jiān)守。