論信息主體同意權的絕對化困境與相對性重構
——兼論《個人信息保護法（草案）》（二審稿）同意制度的完善

常宇豪

（西南政法大學 經濟法學院，重慶401120）

一、問題提出與文獻述評

數字經濟時代，數據成為經濟社會發展的重要動力和核心生產要素。作為構成數據基礎的個人信息，其量的累積性、流通的自由性等要素屬性與受保護需求之間形成天然張力。如何平衡個人信息保護與利用的關系是國際社會面臨的共同難題。知情同意是各國通行的個人信息保護機制，也是中國個人信息保護法律體系的基本原則（劉金瑞，2017），[1]其本質是通過信息主體對信息處理者請求的肯定以及對收集和利用行為的授權，強化自主控制。但個人信息的要素價值和公共屬性決定了這種控制不能是絕對控制，其承載著的多重利益和多元價值決定了同意權必然受到他人言論自由和國家、公益機構、數據企業對個人信息合理利用訴求的限制。中國現行法和制定中的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）將信息主體同意權設置為一種絕對性權利，既不利于個人信息保護，又抑制了個人信息的合理利用和信息產業的有序發展。對此有學者指出，“在大數據時代，知情同意原則絕對化不完全符合現實經濟關系邏輯”（林洹民，2018）。[2]為了破解同意權絕對化的困境，學術界進行了積極探索。如范海潮和顧理平（2021）提出了建立“選擇退出”+“選擇進入”相結合的可協商式同意機制。[3]鄭佳寧（2020）依據情境完整性理論提出不同情境下同意權差別化適用方案，即對采集個人敏感信息和有特殊后續處理目的兩種情境適用“明確同意”，其他情形“一般同意”即可。[4]王雪喬（2019）認為，應改變信息主體同意權同等適用模式，區分同意規則在身份已經識別與可能識別、一般性與敏感性中的適用。[5]蔡星月（2019）建議通過同意體系地位的降低與規范結構的削弱構建信息主體“弱同意”，以有效解決現行法“強同意”的僵硬適用和過高標準帶來的有效性困境。[6]需要指出的是，上述研究力圖通過個人信息類型細化解決同意權區別適用問題，但由于未重視個人信息在不同場景下的性質變化，仍無法避免同意權絕對化的困境。同時，為數不多的有關信息主體同意機制研究成果主要集中于適用困境和出路探討上，系統研究尚付闕如。鑒于此，本文首先分析現行法同意權絕對化的成因與困境，繼而在理論上證成同意權的相對性，在此基礎上提出相對性視角下同意權的重構框架，以期為《個人信息保護法》同意制度的完善提供借鑒。

二、中國現行法同意權絕對化的立法表達與現實困境

（一）現行法同意權絕對化的立法表達

中國關于信息主體同意權的規定最早見于2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，其中首次將信息主體同意確定為個人信息收集、使用的唯一合法性基礎。之后，2013年修訂的《消費者權益保護法》《網絡安全法》均采用了同意權絕對化的設置?！吨腥A人民共和國民法典》（以下簡稱《民法典》）第一千〇三十五條將“征得該自然人或者其監護人同意”作為處理個人信息應當滿足的一般性條件之一，仍然延續了同意權絕對化的設置。盡管第一千〇三十六條規定了一系列無須信息主體同意即可處理個人信息的情形，但“從規范論的角度看，例外并非規范本身，只是規范的補充”（謝遠揚，2019），[7]第一千〇三十六條所設置的例外畢竟不能與一千〇三十五條的一般性規定相提并論。更何況若以“合法性—有責性”二元評價體系分析第一千〇三十六條，“處理個人信息，有下列情形之一的，行為人不承擔民事責任”的表述僅表明了立法者對特定情形下未經信息主體同意的個人信息處理行為不予追究的態度，并不代表法律對上述行為予以正面評價。概言之，凡未經信息主體或其監護人同意的個人信息收集、使用行為均屬違法，相當于法律賦予信息主體對個人信息的絕對控制權。正如有學者指出，“我國是世界上唯一在立法上明示個人信息收集、使用一律須經信息主體同意從而將同意一般化的國家”（高富平，2018）。[8]

（二）同意權絕對化的成因剖析

中國個人信息保護立法之所以采取同意權絕對化的制度設計，原因主要有以下三個方面：

1.個人信息收集、使用多元合法性基礎被簡單化處理。在建構中國個人信息保護法律體系時，立法機關更多借鑒了同屬于成文法系的歐盟法立法經驗。在歐盟法發展過程中，出現了兩種值得重視的趨勢：一是個人信息保護力度不斷加強。例如，2018年5月開始實施的《一般數據保護條例》（以下簡稱《條例》）賦予信息主體刪除權（被遺忘權）、可攜帶權、限制處理權等更多新型權利；在同意權方面，明確了同意要件、隨時撤銷同意、禁止獲得一攬子同意等規定，鞏固并增強了知情——同意在個人信息保護框架中的核心地位。二是更加注重保護與利用的平衡?！稐l例》將個人信息收集、使用的合法性基礎拓展為包括數據主體同意在內的六種情形。在其他五種情形下，不經信息主體同意的收集、使用個人信息行為也屬合法，有效地限縮了同意權的適用范圍，促進了信息的自由流動。但遺憾的是，中國解讀歐盟個人信息保護法律制度，往往過于看重嚴格執行的各種要求，忽略了其促進發展的一面和制度設計中的各種平衡追求（周漢華，2018）。[9]有學者指出，中國現行立法中同意權絕對化的傾向是對域外個人信息保護理論基礎和立法實踐的誤讀（高富平，2018）。[8]

2.將增強同意權等同于強化個人信息保護。近年來，中國個人信息侵權事件頻發，從2016年的徐玉玉事件到2021年超2億中國公民個人信息暗網出售事件，無一不在挑動著社會公眾的敏感神經。據中國銀聯統計數據，有超過90%的電信詐騙是由于個人信息泄露所致。①參閱《網貸之家：超過90%的電信詐騙是由于個人信息泄露導致》[EB/OL]https://www.wdzj.com/hjzs/wangdai/20180601/649802-140.html，最后訪問日期2021年4月18日。面對個人信息泄露日趨嚴重的現實，強化個人信息保護成為社會的廣泛共識。2017年兩會期間，吳曉靈、周學東等45位全國人大代表提出了《盡快制定個人信息保護法》的議案，此后多名全國人大代表、政協委員提出議案、提案，要求以法治手段規范個人信息收集、使用行為，加快個人信息保護立法。部分學者也主張通過增強信息主體同意權以強化個人信息保護，如齊愛民（2019）在《中華人民共和國個人信息保護法學者建議稿》中強調，“個人信息應嚴格保護，非經信息主體同意不得收集、處理和利用”。[10]因此，立法者提高同意標準并將信息主體同意作為唯一合法基礎，可以說存在一定的基于民意要求的考量。值得注意的是，加強個人信息保護的社會呼聲主要集中于減少泄露濫用現象、提升安全水平，并非要求增強信息主體對個人信息的控制。在“個人信息屬純粹的私人事務”的認知下，立法者將信息主體行使同意權視作個人信息保護的主要甚至唯一路徑，無異于在增強同意權和強化保護間畫上了等號，但由于大數據時代的“同意困境”，通過加強同意權來提升保護水平效果并不理想。由此，個人信息保護制度陷入“個人信息泄露、濫用事件頻發——提升保護水平呼聲高漲——通過制度設計增強同意權”的怪圈中，并最終導致同意權走向絕對化。

3.未能正視大數據時代的“同意困境”。同意制度肇始于小數據時代，其理論推演和制度設計不可避免地存在局限，這些局限在大數據時代已然被放大成為所謂的“同意困境”（Solove，2013）。[11]（1）個人信息收集總是在不知情的情況下進行，信息主體難有機會進行控制和選擇。在大數據時代，信息收集、使用方式趨于多元化，除傳統的“一對一”收集外，數據共享、cookies抓取、刷臉支付（門禁等）、監控設備、無人機或無人駕駛汽車等新型收集方式無時無刻不在收集著人們的個人信息，且占據了信息收集的主導地位。美國亞利桑那大學的一項研究表明，健康類網站的消費者個人信息80%來自自動抓?。≧ains和Bosch，2009）。[12]上述新型數據收集方式很難告知并征得信息主體同意。大數據聚合、分析所進行的“數據二次處理”亦然。（2）信息主體無力真正基于自己的自由意志做出有效同意，即使信息處理者獲得了信息主體的同意授權，有效性也飽受質疑。原因有三：一是“理性人假設”難以成立。行為經濟學、認知神經學的研究表明，人的理性是有限的，在認知和決策過程中，人會受到“框架效應”“稟賦效應”“現狀偏好”等因素的影響，“同意”并不能完全反映真實的認知和決策場景（郭春鎮，2014）。[13]不僅如此，同意數量的增多和標準的提高并不必然強化個人信息保護，反而容易引發“同意遲鈍”，即對信息主體同意的要求越高，可能越會削弱同意功能的發揮，阻礙個人信息自我控制目的和效果的實現（Schermer等，2014）。[14]二是信息主體缺乏做出妥當同意的專業知識。面對日趨復雜的信息技術和多元化的移動應用，信息主體普遍缺乏相應的知識和能力以理解或應對諸多信息披露，難以對信息收集帶來的收益和潛在危害做出正確評估（沙哈爾和施奈德，2015年版）。[15]三是同意往往屬于被迫選擇。在“二選一”背景下，同意是信息主體使用產品或者服務的前提條件。受互聯網經濟網絡效應、消費者鎖定效應影響，許多具有壟斷地位企業的產品或服務直接關系到消費者根本利益，加之轉移成本高昂，拒絕這些服務變得越來越難。信息主體若想使用其產品或服務，只能點“同意”，別無選擇?？陀^而言，立法者在進行同意權的制度設計時應當注意到“同意困境”問題，但其顯然輕視了同意困境可能造成的制度后果以及克服同意困境的難度。事實上，同意困境是由大數據時代個人信息的處理方式、信息主體的稟賦缺陷以及信息處理者相對于信息主體的權力勢差共同決定的，是客觀的、系統的、根源性的，難以簡單通過制度設計予以紓解。而在一套以同意權為核心的個人信息保護制度中，同意機制難以發揮作用無疑意味著整套制度的全盤失效。

（三）同意權絕對化的現實挑戰

同意機制的設計初衷是通過強化信息主體的自主控制，達到保護信息主體權益的目的。然而，在基本權利維度，個人信息既是信息主體人格權之所系，又是他人自由權（特別是言論自由）的對象；在價值維度，個人信息兼具人格尊嚴、商業價值、公共管理價值；在利益維度，信息主體的個人信息保護需求與信息處理者的利用需求并存。同意標準的提高只是法律單向度強化信息主體個人權益保護，未能同步起到對信息處理者的正向激勵作用，客觀上加劇了利益失衡，使同意機制陷入困境。主要體現在兩個方面：

1.保護效果不佳，制度成本高企。上文述及，同意機制在大數據時代面臨客觀困境，導致其個人信息保護績效不佳。一個例證是，本文通過裁判文書網檢索發現，2021年1月1日《民法典》生效以來約半年時間里，尚無任何一例案件援引第一千〇三十五條關于同意權的規定。與此相映成趣的是，根據工業和信息化部2021年3月12日發布的“存在問題的應用軟件名單”，136款App多數存在強制過度索取權限、違規收集、超范圍收集個人信息行為，用戶只要登錄并使用相關服務，即默認已閱讀、理解并同意協議全部內容和要求的個人信息收集。另一方面，絕對化的同意權還會造成高昂的制度成本。一個著名的例子是美國西部電話公司在經過調查后發現，其獲得單個用戶同意授權的成本在30美元左右。①參閱Brief for Petitioner and Intervenors at 16 n.37,U.S.West v FCC,182 F.3d 1224(10th Cir.1999),cent.denied 528 U.S.1188(2000).雖然在大數據時代的今天，通過網絡獲得信息主體同意的成本已經遠遠低于上述案例發生時，但考慮到獲取個人信息的數量和頻次以及因此所需征得同意的數量同樣隨著互聯網技術的發展而倍增，再加上中國個人信息保護法律體系對同意的要求遠高于美國，同意權造成的制度成本顯然不低?？梢?，嚴苛的同意機制并未起到高水平保護個人信息的效果，反而可能迫使信息處理者在面對高昂的制度成本時采取種種措施規避監管，反而客觀上降低了個人信息保護水平，對此下文將詳細展開。

2.利益沖突加劇，同意機制虛化。個人信息是一個附有多重利益和價值的集合體，保護與利用過程也是不同主體實現各自利益的過程。只有平衡好各方利益，構建相互促進、和諧共生的個人信息生態，方能實現保護與利用的共贏。然而，同意權的絕對化背離了這一內在要求，造成利益分配格局失衡。在同意權絕對化和利益沖突加劇的背景下，信息處理者往往利用資金、技術、信息等方面的優勢，設計并實施諸如不經信息主體同意收集、過度收集、概括性同意、默認勾選、不同意不能使用產品或服務等方式規避法律規制。在強勢的信息處理者面前，信息主體的同意權被虛化，法律規制失靈。盡管2017年以來中央網信辦、工業和信息化部、公安部、國家標準化委員會聯合對隱私協議存在的問題進行了多輪專項整治，但效果難言樂觀。據國家互聯網信息辦公室2021年5月10日發布的“關于騰訊手機管家等84款App違法違規收集使用個人信息情況的通報”，魯大師、360清理大師、360借條、平安好貸等35款App存在未經用戶同意收集使用個人信息，騰訊手機管家、獵豹清理大師、360借條、還唄等65款App存在超范圍收集個人信息行為。①參見《工業和信息化部關于電信服務質量的通告》 （2019年第2號），https://www.sohu.com/a/324356253-100019684，最后訪問日期2021年5月15日?？梢院侠硗茰y，如果沒有行政機關監管、僅依賴信息主體自力救濟，個人信息違法違規收集使用現象將越來越普遍，最終導致個人信息處理徹底遵循“叢林法則”，同意權乃至整套個人信息保護制度名存實亡。

3.立法、司法割裂，法律、標準抵觸。絕對化同意權導致的個人信息過度保護和絕對控制必然引發流動阻滯，進而妨礙個人信息公共價值和商業價值的實現，給信息資源的開發利用帶來沉重負擔和法律風險，與國家鼓勵大數據產業發展的政策導向存在分歧（宋亞輝，2019）。[16]為了平衡法律嚴格保護與公共管理和大數據產業對個人信息需求之間的張力，中國的司法實踐不得不秉持實踐理性，通過法律解釋的方式“繞過”現行法律中過于絕對的同意權設置。比如在朱某與北京百度網訊科技有限公司隱私權糾紛案中，二審法院未采用《網絡安全法》關于個人信息“單獨或者與其他信息結合識別自然人個人身份”的定義，而是通過狹義解釋將個人信息限定在單獨識別范圍內；另一方面，在有效同意方式的認定上，法院也未采納要求更為嚴格的“明示同意”，認為“默示同意”也不違反國家對信息行業個人信息保護的公共政策導向。②參見江蘇省南京市中級人民法院民事判決書（2014）寧民終字第5028號。又比如，在凌某某訴北京微播視界科技有限公司隱私權、個人信息權益網絡侵權責任糾紛案中，北京互聯網法院首先確認處理手機通訊錄聯系人姓名和手機號碼需要手機用戶和通訊錄聯系人雙重同意，但隨后提出“如果要求在任何使用場景下都必須嚴格征得雙重同意，有可能會導致具體場景下利益的失衡”，因此“需要在具體應用場景中考察是否存在構成個人信息合理使用的情形，即在沒有對信息主體造成不合理損害的前提下，認定某些個人信息利用行為可以不必征得信息主體同意”。③參見北京互聯網法院一審民事判決書（2019）京0491民初6694號。法院通過具體場景中個人信息使用合理性的認定，為信息處理者的正當處理行為提供了空間——即沒有造成不合理侵害的使用行為，可不必征得其同意；反之，則需要詳細告知并征得同意。此種分類適用“個人同意”的實踐，有效釋放了信息流動性并降低合規成本，屬于典型的場景風險理論的應用，但中國法并沒有該理論的相關規定。在調和個人信息保護與利用張力中，司法的“寬松”與立法的“嚴格”形成明顯對立，但客觀上平衡了現行法對個人信息過度保護帶來的負面影響。從實踐效果來看，中國數字經濟之所以能在相對較短的時間內得以蓬勃發展，與寬松的司法、執法所營造出的自由發展環境是分不開的。破解現行法同意權絕對化的另一嘗試是國家標準《信息安全技術 個人信息安全規范》突破了法律將信息主體同意作為個人信息收集使用唯一合法基礎的規定，建立了多元合法性基礎。盡管此種突破有與上位法抵觸之嫌，但中央網信辦仍要求將該標準作為新冠肺炎疫情防控中個人信息利用的重要指導性規范，足以說明現行法無法滿足疫情防控等緊急狀態下個人信息利用的需要。

綜上所述，在堅持以市場經濟高效發展為需求導向的同時，要密切考量通航主客體在運營管控層面的現實壓力，表明船舶主尺度尚且不能按照理論分析值全面放寬。

三、同意權相對性的提出

（一）同意權絕對化的法理質疑

同意權絕對化的制度邏輯在于，個人信息是信息主體人格尊嚴的重要組成部分，是純粹的私人事務。如果個人無法知道自己的個人信息在何種程度上、被何人獲得并加以利用，則個人將失去作為主體參與的可能性，而淪為他人可以操縱的信息客體，被淪為客體正是人性尊嚴被侵害的同義語（楊芳，2015）。[17]因此，“確保本人對個人信息的自主支配與利用，就是對其人格尊嚴的保護”（李儀，2013），[18]體現在制度設計上就是賦予信息主體同意權。但如果深究，個人信息“當然”屬于信息主體的觀點值得推敲。從來源看，個人信息可分為自然型、社會型和復合型三類。自然型個人信息主要指與生俱來且無法輕易改變的身體屬性，如相貌、指紋、血型、基因等。社會型個人信息更多建立在社群中，是為了生活便利由個人主動或被動地獲取的相應符號或信息，包括聊天記錄、網頁瀏覽記錄、購物記錄等。復合型個人信息實際上是一種經信息處理者分析處理后得出的對個人行為趨向與潛在偏好的預測，典型的是個人畫像信息。由上述分析可看出，至少后兩類個人信息均非信息主體獨立生成，而是其在社會活動中經由與其他主體的交互產生的。根據“額頭流汗”原則，很難斷然排除其他主體對這兩類個人信息的合法權益。從功能看，個人信息是個人在社會中標識自己、建立聯系的工具，也是社會了解和識別每一個體并開展活動的依據。社會性個人信息側重于信息主體與社會建立溝通和聯系，自然性個人信息則更多作為社會了解、判斷特定個人的工具。此兩方面構成個人信息應用的基本場景。工具性質決定了個人信息的社會性、公共性（曹博，2018）。[19]從屬性看，個人信息具有非競爭性，對個人信息的處理不會減損其效用。同時，基于個人信息的交互性、共享性，個人信息也不具有完整意義上的排他性。因此，個人信息至少是經濟學上的“準公共物品”而非“私人物品”。綜上，個人信息并不完全是信息主體的私人事務，而是個人性與社會性、獨占性與公共性的結合體。正是因此，個人信息流通與否，不應通過絕對化的同意權設置將決定權完全交由信息主體行使，應在對個人信息多元價值進行全面把握的基礎上做出更加精細的制度設計。

（二）個人信息的多元價值梳理

1.人格尊嚴和自由發展價值。（1）個人信息承載信息主體的人格屬性，具有人格尊嚴價值。個人信息是“可以識別個人身份的信息”，是對信息主體狀態、行為或思想的固定。由于與特定個人具有顯著對應關系，個人信息成為能夠顯現個人生活軌跡、勾勒個人人格形象的外在標志，形成個人“信息化形象”（張新寶，2015）。[20]因此自然人的個人信息與其生命、身體、健康、名譽、自由等人格要素一樣，成為構成完整法律人格不可或缺的基本要素（鄭曉劍，2011）。[21]如果泄露或者不當使用個人信息，將會導致信息主體人格尊嚴受損。（2）個人信息具有人格自由發展價值。只有個人能夠控制其個人信息，才可能自由發展其人格。比如現實生活中，未經信息主體同意，擅自大規模收集、整理、加工、出售和向第三方分享他人個人信息就會侵犯信息主體人格的自由發展。這是因為非經本人“同意”的信息處理會在社會中造成超出本人預期的結果，對本人的人格發展造成不可預料的影響，使得本人人格塑造的結果偏離原本的預期（謝遠揚，2015）。[22]正如學者所言，個人作為目的性的存在，只有消除對“信息化形象”被他人操控的疑慮和恐慌，才能有自尊地生存和生活（張新寶，2015）。[20]

2.商業利用價值。個人信息的商業利用價值是伴隨數據挖掘和聚合技術的產生而逐步顯現的。進入大數據時代，一方面隨著智能終端的普及、數據采集技術的發展以及人們社交行為、交易行為的網絡化，大量個人信息不斷產生并匯集為海量數據流，為大數據產業發展提供基礎數據資源（吳偉光，2016）；[23]另一方面，大數據正日益對全球生產、流通、分配、消費活動以及經濟運行機制、社會生活方式和國家治理能力產生重要影響，而個人信息正是大數據的重要組成部分。以個人信息為基礎的大數據正在“以一種前所未有的方式，通過對海量數據進行分析，獲得有巨大價值的產品和服務，或深刻的洞見”（舍恩伯格和庫克耶，2013年版）。[24]

3.社會管理和社會服務價值。個人是社會的最小組成單元，社會管理在某種程度上也是對人及其生活環境的管理。正所謂“欲得民必先知民”。為實施社會管理和提供公共服務，收集和利用個人信息是自古以來政府都普遍采用的做法（張新寶，2015）。[20]在新冠肺炎疫情防控中，個人信息和大數據在疫情動態監控、傳染源追蹤、疫情走勢預測等諸多方面發揮了難以替代的作用，個人信息成為守護全民健康、服務疫情防控的重要力量。上述事例表明，個人信息在社會管理和社會服務中發揮著重要作用。進入信息社會，無論是政府摸排基本情況、確定社情民意，還是全面統籌部署、做出科學決策，都離不開由個人信息匯集而成的大數據，個人信息的社會管理和社會服務價值得到極大彰顯。此外，個人信息還具有國家數據安全價值，關乎國家的數據主權和數據安全。

（三）同意權相對性的證成

個人信息作為一種重要的社會存在，蘊含著個體價值與社會價值、倫理價值與經濟價值，各價值相互勾連，不可分割，共同描繪單個自然人構成社會整體的人格利益樣態和財產利益樣態（楊惟欽，2016）。[25]由于個人信息承載著多元價值，不同主體對個人信息產生了不同利益訴求。信息主體出于對保全人格尊嚴和完整性的需求產生了個人利益；數據企業出于發展數字經濟需要使用個人信息產生了商業利益同時附帶公共利益；國家和承擔公共職能的非營利機構出于履行國家治理、國家安全、公共安全、公共衛生、科學研究、新聞宣傳等管理與服務職能使用個人信息產生了公共利益。從保護與利用的視角看，信息主體的個人利益屬于保護利益；其他主體的利益屬于利用利益。從信息流動的視角看，個人利益的實現需要個人信息隔離或僅在自己可控狀態下流動，商業利益和公共利益的實現則需要信息的自由流動，這是個人信息保護與利用存在內在沖突的深層原因。

龐德（1984年版）認為，法律的功能在于調節、調和與調解各種錯雜和沖突的利益……以便使各種利益中大部分或我們文化中最重要的利益得到滿足，而使其他的利益最少的犧牲。[26]因此，個人信息保護法的目的應當是平衡附于個人信息上的多種利益、兼顧個人信息保護與利用，這也是《二審稿》所欲達成的制度目標。同意權確是保障個人信息安全、維護信息主體人格尊嚴和自由的重要途徑，但同意權無例外地適用則意味著“個人信息的收集、傳輸或利用在原則上受到禁止，除非獲得信息主體的同意”（楊芳，2016），[27]由此導致的信息不自由將嚴重阻礙大數據產業發展、社會秩序維持和公共福利增進。從比例原則的角度出發，應當通過法律安排對信息主體權益進行適當限縮，變“絕對同意”為“相對同意”，以此真正實現《二審稿》“保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”的立法目的。

四、相對性視角下同意權的重塑

信息主體同意權是信息主體自我控制的程序性機制，在個人信息保護中發揮著重要的基礎性作用。然而，過分嚴苛的、不加區分的適用同意機制將增加信息收集處理成本以及合規風險，阻礙個人信息的流通和利用（胡文華等，2018）。[28]若欲破解同意困境，繼續發揮同意權在保護個人信息中的作用，需要從兩個方面對同意權進行相對性重構：其一，完善個人信息處理的合法性基礎，使同意之外的個人信息處理合法性事由真正發揮作用；其二，改變目前《二審稿》中普遍要求個人信息處理征得信息主體明示同意的做法，以個人信息在具體處理場景中的風險為指導，差異化配置不同的同意方式。

（一）完善個人信息處理的合法性基礎

絕對化視角下個人信息收集、使用的合法性基礎是唯一的，即信息主體同意。但這種絕對化既缺乏理論支撐，也不利于個人信息保護與利用的和諧共進。為了回應社會現實需要，《二審稿》將《信息安全技術 個人信息安全規范》建立的個人信息處理多元化合法基礎上升為法律，在法律層面完成了信息主體同意權的相對化重構。從目的維度看，《二審稿》中個人信息處理合法情形可大致分為三類：一是保障信息主體自身權益（包括人格權益和生命財產權益）的情形，例如信息主體同意、為訂立或履行信息主體為一方當事人的合同、緊急狀態下保護自然人生命財產安全等；二是維護公共利益的個人信息利用情形，包括履行法定職責和法定義務、應對突發公共衛生事件、新聞報道、輿論監督的個人信息合理使用等；三是可勉強歸入保障商業利益情形的“合理處理已公開個人信息”。在數量維度上，保障個人利益、公共利益和商業利益的個人信息合法利用情形比例為3∶3∶1，表明立法者更多關注個人利益與公共利益之間的平衡，而對商業利益的維護采取了輕視態度；從內容維度看，除信息主體同意外的其他六種情形均設置了嚴苛限制。例如，《二審稿》對新聞報道、輿論監督的個人信息合理使用情形進行了目的和行為雙重限制，即要求使用目的具有公益性、使用行為具有合理性。目的的公益性要求“合理使用”的目的必須是公共利益，行為的合理性要求個人信息使用行為必須符合個人信息處理的一般規則，不得不合理增加自然人隱私風險；如果使用“不合理”造成人格權侵害的，需要承擔民事責任。再如對維護商業利益條款的限制，一是要求利用客體為“已公開個人信息”，利用非公開個人信息需征得信息主體同意；二是利用行為必須合理，超過必要限度需承擔侵權責任。上述制度安排均呈現出鮮明的重保護、輕利用的傾向，嚴重偏離了平衡個人信息多重利益和多元價值的立法要求。鑒于此，為完善中國的個人信息利用多元合法基礎，應解除對維護公共利益合法情形的限制，同時引入合法利益豁免機制為個人信息商業利用松綁。

1.弱化對個人信息合理使用情形的限制。個人信息合理使用制度最初規定于《民法典》第九百九十九條，是法律為了平衡新聞報道、輿論監督對個人信息的利用和信息主體私益保護而做出的制度安排，屬公權力為維護公共利益而對自然人個人信息權益的一種限制。①《民法典》第九百九十九條規定：“為公共利益實施新聞報道、輿論監督等行為的，可以合理使用民事主體的姓名、名稱、肖像、個人信息等；使用不合理侵害民事主體人格權的，應當依法承擔民事責任?！币庠谛畔⒅黧w同意之外為以公共利益為目的的新聞報道、輿論監督提供個人信息使用路徑。然而，為防止該制度對個人信息權益造成侵害，《民法典》和《二審稿》均對該制度進行了目的和行為的雙重限制。較之域外個人信息保護法同類規定更加嚴苛。比如《新加坡個人數據保護法》（2012）在第十七條“未經同意收集、使用和披露”中將新聞機構收集個人數據，且僅用于其新聞活動的行為確定為可不經信息主體同意的“合理使用”行為，并未將行為目的限定在“公共利益”（李愛君和蘇桂梅，2018）。[29]同樣，《日本個人信息保護法》也規定了新聞報道可以成為個人信息保護的免責事由，但也并未將免責條件限定于“為了維護公序良俗”或“為公共利益”的主觀目的中，而是規定廣播機關、報社、通訊社以及其他報道機關（包括從事報道的個人）在為了必要報道而使用個人信息的情況下，可以不向個人信息主體告知其利用的目的（蔡唱，2019）。[30]

2.將實現信息處理者或第三方合法利益確定為個人信息處理合法性基礎。實現信息處理者或第三方合法利益的個人信息處理又稱合法利益豁免，指當個人信息處理為實現信息處理者或第三方的合法利益所必需時，信息處理者可通過平衡測試證明其使用利益高于信息主體利益，使其無須取得信息主體同意也可對信息主體的個人信息進行處理。歐盟《條例》第六條將實現信息處理者或者第三方合法利益確定為個人信息利用的合法性基礎之一，但同時規定“信息主體享有的個人信息被保護權益、基本權利和自由優先于上述合法利益的除外，尤其在信息主體為兒童的情形下”。此機制的本質是平衡個人信息保護和信息自由流動之間的緊張狀況，目前已為世界主流立法所采納（謝琳，2019）。[31]為了提高該機制的可執行性，歐盟第29條工作組發布了關于合法性利益的指導性意見，試圖為合法利益豁免提供一個清晰可行的執行框架。按照該框架要求，平衡測試內容包括：（1）數據控制者合法利益的評估，重點是合法利益的性質和重要性；（2）對信息主體影響的評估，重點是預防監管對信息主體的影響；（3）一般義務上的平衡，重點評估信息處理者是否盡到了一般性保護義務；（4）是否采取了額外保護措施，重點審查信息處理者是否采取額外措施以減少對信息主體的影響（謝琳，2019）。[31]

歐盟《條例》中的合法利益豁免機制條款未在《二審稿》文本中出現，反映立法者在處理信息主體私益和商業利益沖突時的謹慎心態。本文認為，數據企業的商業利益追求是其正當要求，刻意限制或回避只能使數據企業采取更多措施逃避法律規制，不利于個人信息利益平衡機制的構建。應借鑒歐盟立法經驗，將合法利益豁免機制確定為個人信息處理的合法性基礎，真正使個人信息成為數字經濟發展的核心生產要素。

（二）構建同意權差異化適用機制

同意權的絕對化和無差別適用不符合個人信息的本質屬性和價值多元的利益訴求，是對個人信息性質和價值認識的片面化和簡單化。同意權的相對化或者說“適用區分化”已是大勢所趨（林洹民，2018）。[2]作為回應，中國法對同意權差別化適用進行了有益探索，《民法典》將個人信息區分為“私密信息”和非私密信息，適用不同的法律規則；《二審稿》則將信息主體同意劃分為“同意”“單獨同意”“書面同意”，以適用于不同的個人信息類型和處理行為。上述規定改變了同意權絕對化、平均化適用理念，體現了差別化保護思想，即特殊信息強化保護，一般信息放開流通，較好地解決了個人信息保護與利用緊張狀況。然而值得注意的是，此種區分對敏感信息仍采用靜態保護標準，凡是列為敏感的信息均需信息主體同意，仍無法解決絕對適用問題。因為“信息敏感性不是與生俱來的，任何信息基于具體的場景都有可能具有敏感性”（Wang，2007）。[32]反之，歸入敏感信息范圍的個人信息也可能基于具體場景失去敏感性，因此應結合具體場景探討信息主體的同意權適用問題。近年來中國個人信息司法實踐對場景理論的運用已進行了積極嘗試。

場景理論是美國2015年《消費者隱私權利法案（草案）》引入的個人信息保護新理念，“以‘在相應場景中合理使用’標準作為個人信息處理行為的合法性授權”（范為，2016）。[33]進而言之，符合特定場景的個人信息使用行為默認獲得信息主體授權，只有存在個人信息的“不合理”使用情形，方需對信息主體進行告知并征得同意。例如在凌某某訴北京微播視界科技有限公司隱私權、個人信息權益網絡侵權責任糾紛案中，北京互聯網法院認為：“雖然讀取手機通訊錄時不可避免地讀取原告的手機號碼，但讀取和匹配行為并不會對原告產生打擾，通常也不會不合理地損害原告利益，且有利于滿足其他有社交需求用戶的利益及行業和社會發展的需要，屬于對該信息的合理使用?！睋Q言之，法院認為原告注冊抖音App之后被告對其姓名、手機號的使用行為屬于合理使用，不必征得原告同意。其實質是以“具體場景中的合理使用標準”替代了“信息主體同意標準”。①參見北京互聯網法院一審民事判決書（2019）京0491民初6694號。而在黃某訴騰訊科技（深圳）有限公司等隱私權、個人信息權益侵權責任糾紛案中，法院認為“微信讀書中的信息組合與人格利益較為密切，微信讀書遷移微信好友關系、默認向未關注的微信好友公開讀書信息等，存在較高的侵害用戶隱私的風險，應就信息處理方式向用戶顯著告知并征得同意”，同樣貫徹了場景風險思維。②參見北京互聯網法院一審民事判決書（2019）京0491民初16142號。這種以個案分析為路徑，以利用行為的危害性為標準的個人信息同意適用模式，較好地實現了信息主體同意權相對性重構。

場景風險理論為紓解同意權的絕對化提供了一種相對合理的方案，但紛繁復雜場景中的隱私風險評估效率低下和動態靈活性導致的司法人員自由裁量過大均不符合中國的成文法傳統。因此，雖然場景風險理論得到了司法機關和實務界的廣泛接納和采用，卻始終未被收進中國個人信息保護相關立法。為了彌補場景風險理論的不足，本文建議通過“與人格尊嚴的緊密程度”和“泄露或不當使用的危害性大小”兩個維度劃分個人信息類型并差別適用同意權，以此為場景風險理論提供一個固定的分析框架，調適立法與司法、靈活性與確定性間的緊張關系。之所以選取上述兩個維度，是因為人格尊嚴是人的為人所應有的最起碼社會地位和受他人、社會尊重的權利，而泄露或不當使用的危害性主要基于個人信息泄露或不當使用的風險考量。在上述兩個維度下，個人信息可劃分為：（1）關涉人格尊嚴且泄露或不當使用危害性較大的信息；（2）關涉人格尊嚴但泄露或不當使用危害性較小的信息；（3）不關涉人格尊嚴但泄露或不當使用危害性較大的信息；（4）不關涉人格尊嚴且泄露或不當使用危害性較小的信息四種類型。其中（1）類信息具有較強的個體性，涉及信息主體重大、不可逆轉的利益，其泄露或不當使用造成的損害最為嚴重，因此適用最為嚴格的同意制度：即個人信息初次收集、改變初始目的的信息處理均需獲得信息主體明確同意和授權，即信息主體以“選擇進入”方式行使同意權；同意方式需為逐項同意，一攬子同意或概括性同意無效；如需長期使用該類信息，須定期告知信息主體并征得同意。（2）（3）類信息對信息主體的重要性和危害性較（1）類要低，制度設計上同意權適用方式可更為靈活，權利行使進路可采用“選擇退出”方式，即信息主體在首次收集時同意后如果不做出相反意思表示，信息處理者即可繼續使用；但信息主體明確表示不同意繼續使用，則信息不得再繼續處理；同意方式可采用一攬子同意或概括性同意；初始目的改變的信息處理需要征得信息主體明確同意。（4）類信息對信息主體的影響和危害最低，同意權適用上采用“默示同意”+“選擇退出”+“事后救濟”進路，即如果信息主體不明確提出反對意見，該類個人信息可直接收集、使用（視為信息主體同意）。若信息收集、使用過程中涉嫌侵權，可采用人格權路徑或侵權法路徑進行事后救濟。由此，該類信息的公共性和社會性得以實現，信息主體的有限控制權也可以保障。從功利角度看，信息處理者較為自由地使用此類信息而無須付出巨大成本，信息主體也因為無須授權而不會被頻繁打擾，較好地兼顧了各方利益。

五、結語

黨的十九大報告提出了建設網絡強國、數字中國、戰略社會的戰略目標。個人信息作為大數據得以生成的重要基礎，通過科學合理的制度設計保障其依法有序自由流通既是創新驅動、科技強國的必然要求，也是即將出臺的《個人信息保護法》需解決的關鍵問題。目前中國個人信息保護法律體系存在信息主體同意權絕對化問題，不僅不利于保護機制發揮實效、切實提高保護水平，更嚴重窒礙了個人信息合理利用、影響了保護制度的體系性和權威性。因此，應當從理論和制度兩個層面破解信息主體同意權絕對化困境，變“絕對同意”為“相對同意”。

需要注意的是，打破同意權絕對化并非否認信息主體同意機制的地位和價值，而是摒棄“不分重點、一刀切適用”的現狀。在承認不同個人信息具有不同的重要性和價值的基礎上，分類、分場景適用不同強度的同意機制，是同意權相對性的核心要義。在同意權相對性視角下，將個人信息處理合法情形多元化與同意權差異化適用作為大數據時代同意權重塑的兩大基本理念，通過舉證責任倒置、明確同意要素、同意撤回、構建敏感信息和兒童信息特殊同意制度、改變“二選一”機制、提高違法處罰成本等措施，實現個人信息保護與利用的協同共進，推動信息主體同意權“中國模式”的形成。