论大数据背景下个人信息保护中的知情同意原则 法学专业

《论大数据背景下个人信息保护中的知情同意原则 法学专业》由会员分享，可在线阅读，更多相关《论大数据背景下个人信息保护中的知情同意原则 法学专业（16页珍藏版）》请在装配图网上搜索。

1、题目：论大数据背景下公民个人信息保护中的知情同意原则 英文题目：On the principle of informed consent in the protection of citizens personal information under the background of big data摘 要知情同意是个人信息保护法的一项重要原则，它主要是通过“知情同意”的强制性程序来保护信息主体的正当利益。随着计算机技术的迅速发展,信息数据的交流越来越便捷，使知情同意原则面临着“同意困境”的严峻挑战。一方面，出于对表示同意后产生的结果没有客观认识、没有行使权利的自觉性以及被迫同意等原因，导致

2、信息主体“告而不知”，同意是否有效遭到质疑；另一方面，知情同意原则会形成巨大的经济成本和社会成本，不利于信息行业的发展和社会的进步。因此，“同意困境”应当如何破解成为摆在我们面前无法回避的难题。信息收集者以何种方式尽到通知义务方能让信息主体“知情”？信息主体不够“知情”的“同意”是否有效？“知情同意”原则还有无存在的必要？构建一套科学合理的知情同意体系既有助于加强我国个人信息保护，也可以推动大数据产业发展，是我国在大数据时代发展的客观要求。关键词：知情同意原则；个人信息保护；大数据目 录摘 要1绪 论2一、大数据背景下知情同意原则概述31、知情同意原则的涵义32、 知情同意原则的渊源3二、国内

3、外知情同意原则立法保护的现状41、国外知情同意原则保护及立法模式43、 我国知情同意原则保护立法现状5三、大数据背景下知情同意原则保护存在的问题61、信息主体的“同意”存在有效性难题62、知情同意产生巨大成本8四、大数据背景下知情同意原则保护的完善91、完善知情同意原则适用过程中的立法保护92、引入其他知情同意保护机制10五、结语12绪 论知情同意原则最初是医学领域的一项基本原则，是指医生必须披露足够的信息，以使具有表达能力的患者可以在充分理解某种医疗方案、医疗行为和医疗措施的前提下对是否同意接受治疗作出决定，反映了对患者的自主权和自身权尊重。随着时代的发展，这一原则已经逐渐开始在个人信息保护

4、领域适用，成为个人信息保护的基本原则。个人信息保护体系中的知情同意原则起源于前信息时代，强调同意必须基于个人对其信息的收集利用的充分知情。康德和密尔的道德理论也被一些学者认为是个人自主理论的渊源。黑格尔主张人作为意志的存在形式，有权在任何事物中表达其意志，但只有在人们做出决定后，这种意志才是现实的、决定化了的意志，因此包括个人信息在内的事应由本人自治自决，个人不能处于被操纵的地位。伴随着信息技术的发展，人类社会开始逐步进入搭配以社会化、网络化、信息化为特点的互联网时代，数字化生存则是这个时代的主要特征，也就是说，信息不再是人们去进行主动获得的，而是人们或他们的数字收集员将他们所需要的信息拿过来

5、参与他们的创建。在这一过程中，信息控制开始由个人控制转向社会控制，作为个人控制其信息被处理和收集最重要的合法性基础知情同意原则受到了数字化时代的强烈冲击。一、大数据背景下知情同意原则概述1、知情同意原则的涵义“知情同意原则”也被称为“通知选择原则”“告知同意原则”，简单来说就是信息收集者收集信息时必须告知信息主体并获得同意。知情同意原则包括两层含义：一是“知情”，即信息主体对信息收集者即将或已经收集、使用其个人信息情况的掌握；二是“同意”，即信息主体对信息收集者即将或已经做出行为的许可。信息处理的前提是取得信息主体的同意，需要向信息主体通知，使得信息主体知悉自身信息的处理状态，以避免信息不对称

6、所产生的危害。参考文献 汤敏：“论同意在个人信息处理中的作用基于个人敏感信息和个人一般信息二维视角”，天府新论，2018我国首次将知情同意作为基本原则是在2012年全国人大常委会颁布的关于加强网络信息保护的决定，其明确规定了企业收集、使用个人信息时，应当明示收集、使用信息的目的、方式和范围，并经被收集者同意。知情同意是信息收集者合法收集、使用个人信息的重要前提之一，一些学者甚至认为“知情同意原则作为个人信息保护法的一项基本原则，其重要性相当于意思自治原则在民法中的地位”。 齐爱民：信息法原论，武汉：武汉大学出版社，2010我国现行法律文本并未明确表述个人信息利益的内涵。欧盟将其确定为“一般人格

7、权的具体化”，其中包括消极的人格尊严不受侵犯和积极的人格自由发展；美国则通过隐私权保护个人信息利益，其内涵是消极的“生活不被打扰”和积极的“对自身信息的控制” See Charles Fried, “Privacy,” 77 Yale L.J. , 1968, pp.475- 483.。综合上述观点，本文将个人信息利益的内涵归纳为：人格尊严不容侵犯、自由发展不受限制、生活安宁不被打扰。知情同意原则正是这种自主性和支配性的制度体现。2、 知情同意原则的渊源当前个人信息保护立法的理论源头主要有两个，其中一个是由德国学者施泰姆勒首先提出的，他将信息自决权解释为“人们有权自由决定周遭的世界在何种程度上

8、获知自己的所思所想以及行动的权利”，这就是“信息自决论”；除此之外还有学者将其个人隐私权阐述为每个人对自己私生活的管理和控制，并且认为它的主旨是维护本人对自己个人信息的支配权，而不是去制约他人对本人私生活邻域的侵犯，该理论被称为“信息隐私权理论”。无论是信息自决权理论还是信息隐私权理论，其核心均强调信息主体对个人信息的掌控和支配，因此有学者将这两种理论统一归纳为“个人信息自主控制模式”。信息主体对个人信息的支配权主要体现在信息的收集利用过程中，信息收集者务必要对信息主体进行告知并且获得同意，这是因为信息主体对于自己的个人信息必然享有一定的部分控制权。意思自治原则赋予了自然人根据自己的自由意设立

9、、变更、终止民事法律关系的权利，信息主体可以自由决定是否许可他人收集、处理、利用自己的个人信息。知情同意原则即是意思自治在个人信息保护中的实现机制和外在体现。信息主体既可以选择“同意”信息收集者收集、利用个人信息的请求以换取大数据时代的种种便利，也可以选择“不同意”以放弃分享数据红利的代价保证个人信息安全。 谭启平：中国民法学，北京：法律出版社，2015当然，正如意思自治一样，信息主体知情同意的权利不是也不是绝对的。一则意思自治给予人们宽泛的自由，但这种自由并不是毫无约束的。在面对国家、社会、他人合法权益时，作为意思自治原则在个人信息领域体现的知情同意原则也并非毫无限制。另一方面，从权属来看，

10、个人信息同时具有个人性和社会性，其并非由信息主体独立形成，而是在与信息收集者的交互中形成的，信息收集者与信息主体在生成此类信息的过程中均付出了劳动。二、国内外知情同意原则立法保护的现状1、国外知情同意原则保护及立法模式（一）欧盟：严格知情同意原则由于欧盟将个人信息保护作为公民的一项基本权利，因此对个人信息保护的规定十分严苛，这种严苛也体现在信息收集、利用过程中的知情同意上。在1995年个人数据保护指令（以下简称“95指令”）中，信息主体“明确同意”即成为了合法处理个人信息的首要情形。不仅如此，在 2016 年颁布的用于替代95指令作用的一般数据保护条例中明确了六种处理个人信息的合法情形，其中第

11、一种即为信息主体“同意”。从同意权作为控制个人信息的一般价值看，后五种情形可视为信息主体“同意”的例外情形。 See General Data Protection Regulation, art.6.知情同意原则并没有随着大数据时代的发展和学者们的质疑得到丝毫削弱，反而不断被强化。欧盟“严格知情同意原则”的“严格”主要体现在三个方面：第一， 知情同意的地位显著高于其他几种合法情形。不仅体现在95指令和一般数据保护条例两度将该情形置于收集利用个人信息六种合法情形的第一位，更表现于实务中，其他几种情形除了受到法律明文规定的诸多限制，在实践中可能还会再打折扣。而对于通常禁止处理的个人敏感信息，信息

12、主体的同意甚至可以构成对此法定禁止的突破，但在此种情形下要求信息主体必须做出明确且具体的同意。此外，对于一些较为敏感个人信息进行处理时，对于知情同意的要求则更高。第二， 一般数据保护条例详尽说明了”通知“的形式和内容。在形式上，“通知”应当准确、透明、通俗易懂、易于取得、语言清楚明了，并以书面形式或者其他适当的方式提供。在内容上则要求包括控制人的身份和联系方式、数据保护专员的联系方式、个人信息处理的目的和法律依据，以及是否向第三国传输等。同时，信息采集员还需要根据情况向信息主体发出一系列通知，告知其相关事项。此外，如果个人信息需要进行进一步处理，并且目的超过了以前收集个人信息的目的，信息采集员

13、必须再次通知信息主体。第三，一般数据保护条例中规定的同意形式只包括明示同意，而不包含沉默、预选框或不作为。 See General Data Protection Regulation，whereas.point（32）.此外，信息主体还享有“拒绝权”，可以随时拒绝信息收集者以自身合法利益或履行职权为目的的数据处理且有权随时拒绝信息收集者基于数据画像的营销行为。简言之，几乎收集任何信息均须信息主体明确同意，而信息主体还可以随时撤回这种同意。此外，在欧盟的个人信息保护法律体系的立法目的中，对信息主体权益的保护明显高于信息产业发展，这也解释了为何欧盟采用的知情同意模式如此严格。 （二） 美国：基于

14、行业自律的知情同意原则与欧盟相比，美国法律对知情同意原则采用了完全不同的模式。美国并没有统一的个人数据保护法，而是通过不同的行业法律进行差异化保护。至于非政府组织对隐私的保护，美国更倾向于保护信息流动。在互联网隐私保护方面，美国主要采取政策引导下的行业自律模式，国会立法只是起到辅助和补充作用。 赵秋雁：“网络隐私权保护模式的构建”，求是学刊，2005在知情同意原则方面，美国在重点领域采用了与欧盟类似的严格知情同意规则，在其他领域采用了较为宽松的知情同意规则，即“基于行业自律的知情同意原则”。美国 1974 年出台的隐私法案是第一部个人隐私保护领域的综合性联邦立法，主要针对联邦行政机构对个人信息

15、的收集、储存、使用及分享行为，并未针对商业利用行为。在一些比较敏感的领域，美国采用分散立法形式保护个人信息，例如消费者网上隐私法儿童网上隐私保护法电子通讯隐私法案等。对于特别法没有涵盖到的领域，个人信息受到普通法保护。但是，在美国广泛规制各种商业行为的联邦贸易委员会法并未明确要求一个公司拥有或披露隐私政策。也就是说在没有被特别法涵盖到的领域，知情同意并不是一个强制性义务。美国的行业自律模式中的建议性行业指引以及网络隐私认证计划是独具特色的。交由隐私权保护自律组织制定相关的行业指引，参与该组织的成员承诺遵守其指定的相关隐私政策。但是公布“在线隐私指引”的目的只是为组织的成员提供一个可参照的模板，

16、组织成员需要承诺自己制定的隐私保护政策的保护力度符合组织行业指引的要求。网络隐私认证计划并不是官方机构的知情同意保护模式，而是近似于张贴相关的网上隐私标志，从而让人们能够选择那些愿意遵照特定的信息收集行为规则的网站，也能够便于网络服务商表明自身是否遵守相关规则。这种认证标志实际上也就具有表现商业信用的作用，这意味着网络隐私认证计划的认证标志具有商业信誉的意义，是一种独特的认证标志。 王贵国、蒋新苗：国际 IT 法律问题研究，北京：中国方正出版社，20033、 我国知情同意原则保护立法现状我国最早的个人信息保护立法是2012年全国人大常委会通过的关于加强网络信息保护的决定。随着个人信息重要性的日

17、益提高，个人信息保护条款逐渐成为一些法律中的必备条款，个人信息保护的知情同意原则也逐渐被引入相关法律。2013年修订的消费者权益保护法第14条、第29条，2017年实施的网络安全法第4章，以及民法典第111条、第6章关于隐私权和个人信息保护的6条，都对个人信息保护作出了相应的规定。基于权利人告知和同意的个人信息隐私权保护制度已经植根于我国的立法和实践当中。 徐丽枝：个人信息处理中同意原则适用的困境与破解思路，图书情报知识 2017然而，由于我国在引入知情同意原则的过程中存在的问题以及知情同意原则的具体应用，导致了我国知情同意制度的形式化困境。大数据的影响也使这种困境更加变本加厉。2012年全国

18、人大常委会通过的关于加强网络信息保护的决定（以下简称决定）是我国首部关于同意原则的法律规定。在这个时候，知情同意原则只是一个原则性的规定。法律本身没有明确告知的形式、如何保证充分知情同意以及同意的方式，司法实践中也没有相关的配套措施来进行保护。2013年修订的消费者权益保护法第14条和第29条也是如此，但仍然值得肯定的是，在此之后，知情同意原则慢慢成为一些法律规章中的必要规定。2017年6月1日生效的网络安全法也被称为小型个人信息保护法。第四十一条规定，网络经营者收集、使用个人信息，应当遵循合法、合法、必要的原则，并经收集者批准。与决定中的“应当”相比，“与经”一词强调，网络经营者处理个人数据

19、，必须征得被收集者的同意。除此之外，网络安全法第四十二条还对匿名信息与可识别个人信息进行了区分。但与关于加强网络信息保护的决定相比，网络安全法确立的知情同意原则的结构并没有发生很大变化。2020年5月28日颁布的民法典第111条、隐私权第6章和个人信息保护等法律对个人信息的保护作出了相关规定，规定“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；”民法典的这一条款进一步的说明了知情同意原则在我国个人信息保护中的重要程度，是我国法律对个人信息保护的核心。除此之外，民法典第1036条规定了个人信息处理

20、的豁免。但从总体上看，我国民法典与互联网安全法在知情同意原则相关规定的表述和结构上并无大的差异。近年来，我国的知情同意原则正在逐渐的进行完善。2020年10月1日实施的信息安全技术个人信息安全规范（以下简称信息安全规范）明确了知情同意原则的规范结构，区分了个人信息，规定了授权同意和明示同意，解释了敏感信息的知情同意，并规定了知情同意的例外。之后，信息安全技术个人信息披露与同意指南（草案）对个人信息、个人敏感信息、个人信息控制人，这两个国家标准是我国对个人信息保护较为系统和具体的规定，是对知情同意原则结构规定在规范层面的进步。三、大数据背景下知情同意原则保护存在的问题1、信息主体的“同意”存在有

21、效性难题（一）告知形式化：“告而不知”中国互联网协会2016年发布的中国网民权益保护调查报告（2016）显示，54%的网民认为个人信息泄露严重，21%的网民认为个人信息泄露非常严重。84%的网民感受到个人信息泄露的不良影响。这不仅背离了我国网络安全法、消费者权益保护法等法律对个人信息保护的要求，也与其他一些研究成果相矛盾。根据一份以网络安全法为基础对我国500家网站的实证分析， 邵国松、薛凡伟、郑一媛等，“我国网站个人信息保护水平研究基于网络安全法对我国500家网站的实证分析”，新闻记者，201873%的敏感信息网站和66%的商业网站都积极承担了告知义务，提供了隐私政策声明（协议）。这说明，至

22、少在商业使用领域，我国信息采集者主动承担信息告知义务的比例并没有很低。值得注意的是在这其中，政府网站（31%）和教育网站（4%）提供的隐私政策声明比例最低。另一项基于10家社交网站的研究显示 陈瑞华、郑洁萍，“在利益与人格之间：社交网站个人信息保护研究”，新闻界，2018，10家社交网站已经建立了更为详细的隐私协议，总体合规性良好。一方面，信息收集者大部分都履行了信息告知的义务，另一方面，绝大多数信息主体仍然认为自己因为个人信息泄露而感到苦恼。隐私政策在互联网时代可以说是无处不在，据估计，已经有至少77%的网站发布了自己的隐私政策。这表明如果排除非法信息采集的可能，非常多的信息主体似乎并不知道

23、自己正在或者已经“同意”了一些什么。而这并不完全因为信息收集者未尽到告知义务，更重要的原因是信息主体怠于行使权利，未浏览隐私协议即勾选同意。除此之外，很多信息主体选择同意的原因是“不同意无法使用软件服务”，这说明信息收集者提供的隐私协议未能很好告知用户所收集信息的用途，导致信息主体对此心存疑虑。另一个可能的原因是信息收集者未区分接受核心服务和附加服务所需提供的信息，使信息主体无法部分同意，只能对信息收集者的收集行为“一揽子”授权。总的来说，信息主体“告而不知”的原因可概括为对同意后果认知不足、缺乏知情主动性、被迫同意三类，而这也正是“同意困境”产生的主要原因。而且由于认知不足和法律法规的缺失，

24、导致很多信息主体认为网络服务提供商在其不知情的情况下收集了个人信息。这进一步说明现有知情同意机制并没有真正发挥作用，从而引发信息主体对信息收集者的普遍不信任。（二）信息主体“同意”有效性难题的产生原因（1）信息主体对同意后果认知不足“知情同意”机制暗含了一个基本前提，即理性人假设。在这一假设下，个人应当基于理性做出自主决定来满足自身需要，然而在现实中，信息主体对于同意后果往往认识不足，导致其做出的决定并非完全理性。这表现在两个方面：第一，信息主体缺乏做出正确判断的专业知识。在接受信息收集者服务的群体中，计算机或者大数据专家只是极少数，大多数信息主体无法真正理解隐私协议中所列明的收集信息类别及原

25、因、信息处理过程以及可能的危害后果。判断收集、使用信息以及信息泄露可能带来的影响等于是在预测未来发生的事情，在假设的未来情景里考虑自己现在的选择，对一般人而言难度较大。因此其做出的决定既有可能出于误解而并非信息主体的真实意愿，也无法通过知情同意保护机制来维护自身的合法权益。第二，信息收集者在隐私协议中故意隐瞒可能造成的风险。多数信息收集者在向信息主体传达潜在风险时存在轻描淡写现象，对于缺乏专业知识的信息主体，很可能因为对方是大企业就降低了警惕，从而低估了可能存在的风险。更何况大数据时代的信息开发和利用本身就充满了不可知性，也造成了风险的不可预知性。（2）信息主体缺乏知情主动性信息主体缺乏知情主

26、动性的原因大体上可分为两类：其一，成本过高而收益不明显；其二，存在搭便车心理。信息主体自觉行使知情同意权的目的主要是保护个人信息安全，但其往往无法评估做出同意决定带来的后果，也就无法正确认识慎重做出同意的重要性。信息主体积极行使知情同意权带来的成本主要分为两方面：阅读隐私协议造成的直接成本和信息主体积极行使同意权造成的间接支出。卡内基梅隆大学研究人员的一项研究表明，一份隐私声明的阅读需要花费8-12分钟，当代的快节奏生活使得公众并不愿意花费时间去进行仔细阅读。其次，由于大部分隐私协议充斥着专业术语和名词，较为晦涩难懂，也给阅读造成了客观上的阻碍。搭便车效应首先由美国经济学家曼柯奥尔逊于在集体行

27、动的逻辑：公共利益和团体理论一书中提出：公共物品一旦存在，每个社会成员不管是否对其产生做过贡献，都能享受这一物品所带来的好处。赵鼎新，“集体行动：搭便车理论与形式社会学方法”，社会学研究，2006于是当一个群体中有足够多的人使用过信息收集者提供的服务后，关于这项服务的种种评价事实上变成了一种公共产品，很多信息主体都希望别人认真阅读隐私协议后作出理性判断，自己再参考这种判断做出决定。如果没有人指出隐私协议存在问题，这些信息主体就会认为他人是在认真阅读隐私协议后未能发现问题，从而做出同样的选择。在这种心理影响下，信息主体倾向于同意信息收集者的隐私协议而不积极行使知情同意权。（3）信息主体被迫同意现

28、实中信息主体和信息收集者的地位实质性不平等，信息收集者总是更强势一方。对于信息主体而言，仅有两个选项：全盘同意信息收集者提供的隐私协议、无法接受其提供的任何服务。许多以互联网为依托的服务本身具有重大的垄断性影响力。例如在使用 QQ、微信等即时聊天软件，而这两款软件出品方腾讯公司在国内市场即时通讯软件领域事实上处于某种垄断地位。如果腾讯要求信息主体提供某些个人信息作为使用这些软件的对价，信息主体将很难拒绝。2、知情同意产生巨大成本（一）经济成本知情同意产生的经济成本分为两类，一是信息收集者为了履行告知义务并征得同意付出的成本，另一种则是信息被收集者为做出有效同意而付出的成本。美国社区银行协会称，

29、设计、测试和发布法律隐私政策通知的成本高达约数十亿美元，因此每年进行告知而消耗的成本在2亿至5亿美元之间。在2001年该协会估算，向每个消费者发送通知的消耗的费用约为1.37美元，每家银行的总费用约为120万美元。可见，知情同意使得信息收集者承担了无法忽视的了巨大成本。除此之外，无差别适用知情同意原则也给信息收集者带来了负担。美国西部电话公司的调查显示，为了获得信息主体对其收集、利用个人信息的授权，西部电话公司平均需要给每个家庭打4.8个电话，而这些个人信息只是用来确定他们是否符合获得产品或服务的条件。事实上，征求信息主体同意最大的障碍并非他们不想自己的个人信息被使用，而是他们从未获悉信息收集

30、者的请求或者反感征求同意所要求的接踵而至且大同小异的请求信息。（二）社会成本个人信息交流在任何社会都是无法避免的。信息保护的目的并不是为了孤立个人信息，而是为个人信息的传递和应用建立相应规则和选择。但是，适用知情同意原则意味着“原则上禁止收集、传播或者使用个人信息，除非获得信息主体的同意”，杨芳：“德国一般人格权的隐私保护信息自由原则下对“自决”观念的限制”，东方法学，2016这必然会给信息的自由流动带来一定的挫折。第一， 信息不自由会导致信息产业发展受到影响。海量的个人数据蕴涵着巨大的经济价值与战略价值。个人数据权利与数据产业的发展息息相关。因此，世界各国都将发展大数据作为国家战略，试图在大

31、数据时代抢占科技和商业制高点，我国也不例外。然而，知情同意泛化导致的信息不自由会极大影响信息产业发展。一方面体现在普遍的知情同意对信息收集者来说成本过高影响行业发展。另一方面，大数据时代下经济全球化发展，如果我国本土信息产业得不到发展，结果要么被外来数据巨头占据市场，要么走向闭门造车。第二，信息不自由会导致公共秩序和公共福利受到影响。公共秩序、公共安全和公共福利的推进，都离不开以个人信息为基本单位的数据库的支撑。如果过于强调知情同意原则，则必然会导致信息无法正常流通，某些权利无法正常行使。以征信业为例，我国征信业管理条例规定，无论是商业征信机构还是国家设立的金融信用信息基础数据库，收集和使用个

32、人信息原则上都需征得信息主体同意。按照此规定，即使收集个人负面信息也必须征得信息主体同意，但很难想象有人会同意自己的负面信息被收集、使用。如此立法规定，不仅会造成收集个人信用数据的巨大成本，还极有可能因所收集的数据不够充分和全面欠缺而无法发挥征信系统本应实现的社会作用。四、大数据背景下知情同意原则保护的完善1、完善知情同意原则适用过程中的立法保护（一）充分告知由于信息主体和信息收集者之间在地位上并不平等，因此在信息的收集、利用过程中，理应适用“告知后选择”和“告知后同意”的原则。任龙龙：论同意不是个人信息处理的正当性基础， 载政治与法律2016在我国，目前信息收集者主要采取用户协议或隐私协议这

33、些格式协议的方式来履行告知义务，并且很容易通过文字游戏来规避告知义务责任的承担。所以在今后的立法中，需要对信息收集者的告知义务和形式要求进行确定，明确企业的告知义务并且设置相对应的惩罚措施。 除此之外，也可以在告知的具体方式和形式上加以改变，通过态度中立的第三方组织来保护个人信息。在这方面世界知识产权组织的一些做法就很值得借鉴，其通过图标的形式对一些知识产权进行统一定义来使其更加通俗易懂，让普通公众也可以很容易的进行理解。因此我们在知情同意原则的适用过程中也可以这样做，比如由第三方中立机构对隐私协议中经常出现的一些条款来进行统一的图标或者是文字定义，让它们变得更加简洁明了，易于理解。（二）实质

34、同意我国对于一般性与敏感性的个人数据采用的是同等保护模式，导致我国的知情同意原则在适用时通常流于形式化，有必要对我国个人信息保护中的“同意”进行细分。对此可以参照相关规定在未来的个人信息基本法律中明确规定同意包括明示同意和默示同意，在强调获取所有数据都需要获得清晰和明确的同意基础上，区分个人敏感数据与非敏感性数据适用无争议同意与明示同意的模式，并对未成年人、公众人物等特殊主体的个人数据设立特殊的同意规则，以此达到强化对敏感个人数据的保护和对一般个人数据的利用目的，实现二者之间的利益平衡，也避免“同意”的形式化，不让法律上对敏感性数据的保护缺位。 （三）“同意”的撤回和例外民法典规定了行为人处理

35、个人信息除征得个人同意外不承担民事责任的两个例外，即信息处理者对于已经公开的个人信息和为维护公共利益或者该自然人的合法权益所作出的合理处理不承担民事责任，初步确定了同意并非唯一性的个人信息处理的合法性基础。这有利于数字化时代个人信息处理、使用。 信息安全规范中同样也规定了共11项征得授权同意的例外，相较于民法典的规定更为具体，但是信息安全规范的效力层级较低，不足以起到完善知情同意原则在我国的规范结构的作用，故在未来的个人信息立法中应当参考信息安全规范规定对知情同意原则的例外具体说明，在不同的价值之间进行价值衡量，确立个人信息保护中知情同意原则的撤回与例外规则。深圳经济特区数据条例 （草案） 规

36、定了同意的撤回，给予数据主体撤回权，即自然人有权随时撤回根据法律、法规和本条例的规定作出或被视为已经作出的同意，但不应影响在撤回前基于同意作出的合法的数据处理。数据收集、处理者不得利用服务协议以及技术等手段，对自然人撤回同意进行不合理限制或者附加不合理条件，不得向该自然人收取费用。自然人撤回同意后，数据收集、处理者应当对存储的数据及时有效删除，法律、法规另有规定的除外。我国现行法律没有规定同意的撤回权，部分是出于对于数据市场的发展需要，深圳经济特区数据条例 （草案）的这一规定有一定的参考意义，可以在此基础上引入同意的撤回规则，使得知情同意原则的结构完整，给予数据主体更进一步的保护。与此同时，要

37、对个人信息处理的例外进行限制，不能使其成为信息处理者和信息使用者规避个人信息保护义务的凭借，应当受到正当目的原则和必要原则对告知同意的限制。（四）举证责任鉴于数据主体的信息获取能力，有学者主张在涉及个人信息侵权的案件中，应当确立除 “谁主张，谁举证”之外的特殊规则，即举证责任倒置规则，也就是说由被控数据侵权方承担其已取得同意的举证责任，从而降低信息主体的维权门槛，实现在诉讼中对于信息主体的二次保护。 王进：论个人信息保护中知情同意原则之完善以欧盟一般数据保护条例为例，广西政法管理干部学院学报2018同意作为信息处理行为的合法性基础，其证明责任的归属对于个人信息纠纷案件的处理而言十分重要，对此，

38、通用数据保护条例第7条第1款规定如果信息处理者主张其信息是基于信息主体同意的基础之上的，则信息处理者和信息控制者就应当对其取得的同意承担证明责任。我国未来的立法可以参考此规定对个人信息保护中知情同意原则的同意举证责任做进一步的规定。2、引入其他知情同意保护机制现代社会是一个风险社会，大数据时代数据采集和数据处理技术的高度专业化发展，由于个人信息本身的财产和人身权属性的复杂性、信息处理和信息挖掘技术的高度发展、侵权方式的多变性， 方明：个人信息多元保护模式探究，学海2018因此政府很难对于个人信息保护的相关主体进行全流程的监管，司法主体只能在侵权行为发生后，对侵权人采取事后的民事诉讼、行政处罚、

39、刑事追究等措施，由上述分析可知此类救济措施又受限于被侵权人的取证和举证能力，这就使得个人信息的保护措施在面临种类繁多的个人信息侵权形式显得精疲力竭，因此有必要在完善规范层面的基础之上，辅之以多元规制模式。（一）事前告知阶段在告知+知情+授权同意+同意撤回与例外结构中， 告知通常是采用隐私协议的方式来对消费者进行提示，但是隐私协议文本的专业性使得这种形式的告知沦于形式化。对此，为应对信息时代的节奏，可以考虑引入社会自我规制，通过国家预设目标与架构，引导行业内部采用风险评估工具通过对个人信息的风险性进行评估，可以由行业主导根据行业内部获取信息和处理信息的流程与实践中本行业个人信息处理中暴露的侵权问

40、题制定一个统一的“知情同意”模板，数据控制者和数据处理者可以直接使用经监管机构审核过的模板。如此，将隐私协议、隐私条款的审核义务赋予有权的监管机构，解决消费者机械性点击同意的弊端， 同时还能降低企业拟定或修订隐私协议的成本。（二）事中持续信息披露信息安全规范中规定了个人信息安全影响评估制度，有针对性地对于个人信息处理全过程进行审查，评估处理手段的合法性、处理方式的合规性、对于个人信息主体合法权益造成损害的可能造成的风险，对应地将最终的风险等级划分为高、中、低三种类型分别对应不同级别的保护模式。（1） 个人信息分类分级评估。针对信息安全规范表A.1个人信息举例中列举的个人基本资料、个人生物识别信

41、息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息等制定相应的个人信息保护分级分类保护细则。对应不同级别不同类别的个人信息划分不同的同意层级，从最严格的特别同意到自由度极大的空白同意，再到推定同意、指定信息共享范围的同意、排除特定目的条款的同意等。（2） 用户授权机制过程中的充分性评估。针对知情同意原则适用环节中授权用户可能面临的重复授权的问题，实践中已经有技术人员设计了一种将区块链去中心化的加密技术嵌入用户授权的机制，其原理基本为利用区块链的去中心化特点，简化了知情同意的授权环节的核验部分，首先使得用户、数据使用方数据提供者、数据源、监管方都可以从公链获取数据而无需再

42、获得用户的重新授权，数据使用者与数据处理者省去了重复获取同意的成本；其次，由于区块链的难以篡改性也有利于防止对于个人信息的非授权使用的几率。因此，在充分利用技术嵌入机制的基础上，通过出台相应的标准在事前保证第一次授权同意的充分性，促进规范的落地实施。（三）事后有效救济针对互联网平台的治理现状以及法律规范的制定，可以参考平台治理模式，通过由行业主导充分利用网络平台自身积累的海量交易数据和预测算法，在交易行为发生之前尽可能地将知情同意原则的合规方案等具体内容传达给规制对象。比如淘宝的消费者保护规则，一开始淘宝是依靠人工处理投诉程序来解决商家与消费者的纠纷，耗费了大量人力但取得的效果并不令人满意。后

43、期淘宝平台充分利用大数据的发展，从结构上整体改变其消费者维权规范与程序，首先，淘宝通过对其平台内记录的消费者投诉的案例及其处理情况进行大数据的分析整理，将具体的退款原因和拒绝退款的原因从案例中梳理出来，形成数据报告；再以此为基础根据不同的场景建立不同的处理流程；最终将不同的投诉需求分配到不同的流程中，为消费者提供最合适的维权方案。参考淘宝平台的纠纷解决机制，在知情同意原则的事后救济中充分利用数据采集、数据分析技术来达到规范细化的目的，从而增加对同意的分级分类以及动态同意机制的可行性， 真正做到知情而后同意的可能性。此外，信息监管部分还可以引入知情同意原则中的白名单和黑名单机制，通过黑名单机制向社会发布风险预警，通过白名单机制激励企业和平台合规。五、结语知情同意原则是个人信息保护中的一项重要原则。在信息处理者与个人的不平等关系中，权利人的同意是对信息处理者的最佳限制。走出大数据时代知情同意原则困境的根本出路是不放弃信息自主，但要完善知情同意原则的规范结构，协调坚持与创新法律原则的关系，“同意”的困境是知情同意原则面对大数据挑战的正常反应，而不是生死之争。知情同意原则作为个人信息保护的基石、自治作为个人信息保护的灵魂应该被我们始终坚持。15