論同意在個人信息處理中的作用
——基于個人敏感信息和個人一般信息二維視角

湯 敏

一、問題的提出

近年來，個人信息財產賦權逐漸得到重視，*Lori B. Andrews, iSpy: Threats to Individual and Institutional Privacy in the Digital World, Vol.21 AALL Spectrum p.23 (2017).信息共享、利用和流通似乎是信息時代的生命力之所在，而信息處理的前提是信息從信息主體處流向信息處理者處。這種流通本應遵循良性程序，然而在利益的驅逐之下，信息泄漏問題十分嚴峻。例如，自2005年以來，僅在美國就有9億條記錄被不正當地曝光或訪問，導致504萬條信息泄露；2015年，1310萬美國被盜用身份受害者的損失達到150億美元，其中大部分可追溯到消費者信息泄露。*Robert L. Rabin, Perspectives on Privacy, Data Security and Tort Law, Vol.66 DePaul L. Rev. P.313, (2017).美國消費者面臨著未經授權的企業(yè)訪問、誤用或盜用信息侵犯個人隱私的風險。*孫政偉：《大數據時代個人信息的法律保護模式選擇》，《圖書館學研究》2016年第9期。因此，各國針對這一信息動態(tài)流動過程，往往規(guī)定了信息主體的同意權，即信息處理以同意為其正當性基礎，而同意的正當性基礎又源于信息自決權。然而，信息自決權也受到了質疑，“個人信息自決權”理論忽略了某些大數據的因素，其將源信息權利人時刻都放在信息絕對權利主體的地位是不恰當的。*Sarah Ludington, Reining in the Data Traders: A Tort for the Misuse of Personal Information,Vol.66 MD. L. REv. P.143, (2006).有學者認為知情同意機制已然失靈，知情同意的基礎地位不保，一方面，在大數據背景下信息主體權利已被架空，另一方面，其加重企業(yè)成本，從而阻礙信息高效使用。*范為：《大數據時代個人信息保護的路徑重構》，《環(huán)球法律評論》2016年第5期。由此可見，規(guī)范層面同意重要性舉足輕重，理論層面同意卻成為阻礙信息經濟發(fā)展的制掣。知情同意這樣一顆法學上璀璨的明珠何以處于如此尷尬境地？未來我國信息立法時是繼續(xù)堅持完全同意的基礎地位，還是采納學者建議完全否定同意的地位，抑或是開辟第三條路徑？

二、為什么需要同意——個人信息處理中同意的法律規(guī)范及其法理基礎

個人信息處理中為什么需要同意，這是我們首先需要直面的問題。對于這個問題的解答，有賴于從規(guī)范層面出發(fā)，以探究同意背后的法理基礎。

(一)個人信息處理中同意的規(guī)范表達

從法規(guī)范層面而言，個人信息的處理需要經過信息主體的同意。無論是國際法規(guī)范和多數國家的個人信息保護法，還是以網絡服務商為代表的用戶協(xié)議等，均將同意作為個人信息處理的正當性基礎。*任龍龍：《論同意不是個人信息處理的正當性基礎》，《政治與法律》2016年第1期。作為個人信息保護的先驅，國際經濟合作與發(fā)展組織在1980年《OECD個人信息保護指南》中設立了八項原則，其中限制收集原則和限制利用原則均對同意作出規(guī)范。*Craig Mundie.Prinacy Pragmatism-Focus on Data Use,Not Data Collection.Foreign Affairs, 2014(93): 30.歐盟將人權保護作為個人信息保護的宗旨，1995年頒布的《個人數據保護指令》*Directive 95 /46 /EC,of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data,1995.中規(guī)定數據品質原則，這一原則包括的正當處理原則、目的明確原則和目的限制原則等規(guī)定了信息主體同意的內容，*齊愛民：《大數據時代個人信息保護法國際比較研究》，法律出版社，2015年，第201頁。且第七條明確對同意條款的內容做了詳細規(guī)定。*Directive 95 /46 /EC,art.7規(guī)定了處理個人信息處理的一般標準：(1)信息主體已經明確表示同意；(2)處理為履行信息主體作為一方的合同，或應信息主體要求執(zhí)行訂立合同的先行措施所必需；(3)信息控制者履行其法定義務所必需的處理；(4)為信息主體的重大利益而處理其個人信息；(5)為了公共利益而為的處理；(6)為第三人的正當利益，但信息主體的基本人權和自由優(yōu)于第三人正當利益的除外。

與歐盟立法理念不同的是，美國法倡導行業(yè)自律，注重對個人信息的利用，而沒有統(tǒng)一的個人信息保護立法。其對個人信息保護采用列舉式的PII(personal identified information,簡稱PII)，僅將被經常濫用的信息或者具有高度敏感的信息納入個人信息的保護范圍并進行單獨立法。后隨著個人信息的大規(guī)模利用，各種非個人信息可以動態(tài)變換成個人信息，需要信息主體同意的情況也愈加頻繁，個人信息相關立法也開始審視既有法律的效力，改革其不足之處。起初，美國對于同意條款僅規(guī)定在《隱私法》中。隨著大數據分析的應用，個人信息被侵犯的情形越來越多，個人信息控制權理論呼聲高漲。為平衡隱私保護與數據利用相關利益關系，聯(lián)邦政府針對特殊主體或特殊信息出臺了特別立法，例如《兒童在線隱私權保護法案》《影視隱私保護法》等。同意基礎作為一種趨勢，在美國也得到了認可。2009年美國注冊會計師協(xié)會(AICPA)《普遍接受的隱私原則》第3條規(guī)定了同意原則，加拿大《個人信息保護行為準則》第4.3條也規(guī)定了同意原則。*高富平：《個人數據保護和利用國際規(guī)則:源流與趨勢》，法律出版社,2016年，第24、28、225、301、335頁。

我國2017年頒布的《民法總則》第111條規(guī)定，個人信息的獲取應當依法取得，如何理解此處的“依法取得”，該法并未給出明確的規(guī)范指引。不過，從其他規(guī)范性法律文本中，我們似乎可以覓得“依法取得”之蹤跡。

1.2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第2條第1款規(guī)定，個人信息的收集使用需經被收集者同意；

2．2014年《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》第12條第1款第1項規(guī)定的免責事由包括“經自然人書面同意”，反對解釋即為，未經自然人書面同意利用自然人個人信息的情形構成侵權責任；

3.2017年實施的《網絡安全法》第22條第1款第一句規(guī)定，網絡產品或服務需要收集用戶信息的，應當明示并取得用戶同意。

這些法律文本均有一個共同的關鍵詞，那就是“同意”。同意是個人電子信息被收集者的同意，是自然人的同意，是網絡用戶的同意。根據《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(以下簡稱《指南》)第3.3條、3.9條的規(guī)定，本文將個人信息的主體簡稱為信息主體，這些法律文本中同意的主體稱謂雖有不同，但均指向信息主體；處理行為包括收集和使用行為等，本文以個人信息的處理為行文中心。第4.2條明確規(guī)定個人同意原則是個人信息處理的基本原則之一。

(二)個人信息處理中同意的法理基礎

個人信息處理為什么需要信息主體同意？從法理基礎而言，一般認為，信息主體的同意源于信息主體對個人信息的自決權和信息不對稱理論。前者是指個人自主決定自己的信息是否被他人處理；*王玉林：《大數據中個人信息開發(fā)利用法律問題研究》，《情報理論與實踐》2016年第9期。后者的邏輯是信息處理的前提是取得信息主體的同意，需要向信息主體通知，使得信息主體知悉自身信息的處理狀態(tài)，以避免信息不對稱所產生的危害。個人信息自決權權利主體為個人，或稱為信息主體，權利客體為信息主體自己的個人信息，權能為控制，即信息主體對其個人信息的控制，該權能的體現是該權利的內容，即決定個人信息是否被他人收集、利用。最先使用個人“信息自決權”這一表述的是德國學者施泰姆勒，他認為人們有權自由決定他人在何種程度上獲知自己的思想和行動。*楊芳：《個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體》，《比較法研究》2015年第6期。個人信息處理時，特別是在收集個人信息時，涉及信息主體是否愿意被收集關涉自己的信息。同意規(guī)則的理念是維護信息主體的自我決定權，其可以自由決定信息是否被處理，這是《民法總則》第5條自愿原則的具體體現，權利主體可以按照自己的意思設立、變更、終止民事法律關系。這體現了法律規(guī)范對意思自治原則的堅守，權利人可以自由決定是否進入民事關系之中，自由決定與誰建立民事關系，自由決定自我信息是否可為他人知悉、處理。而信息不對稱理論的實質是由于信息主體對自身信息控制力的缺失，故通過同意機理增加信息主體在信息處理中的參控力度，平衡信息主體的弱勢地位，防止信息處理者侵害其知情權，進而更加充分維護信息主體的人格尊嚴和人格自由。

信息自決權理論的思想基礎是人格自由理念，人類社會發(fā)展進程一直是為了使人更好地生活于世，法律的目的也是服務于人，信息立法理所應當地保護人格尊嚴和人格自由。信息自決權也反映了人格自由，信息承載著權利主體的人格利益，而信息被處理涉及信息主體人格利益的受限，這種受限應具有正當性，或因為公共利益之需求，或因為信息主體主動自愿接受這種不自由，而這也正是人格自由之體現，個人自主決定人格事項，并承擔自主決定所帶來的法律效果和社會效果。信息主體的自決權體現為兩種形態(tài)：一種是不同意、不授權處理，此時他人不得處理信息；另一種是同意授權，此時信息主體應承擔信息授權處理可能帶來的信息公開等后果。

三、為什么不需要同意——對同意基礎的質疑與反質疑

盡管規(guī)范層面?zhèn)€人信息的處理需要同意，其規(guī)范正當性也可以通過信息自決權理論得以證成，但是社會發(fā)展至今，同意的正當性基礎地位是否還需要繼續(xù)堅持，對此有些學者提出了質疑。

(一)對同意基礎的質疑

隨著信息技術飛速發(fā)展，社會對于信息需求急劇增加，信息承載了人們追逐的利益。很多學者注意到，信息市場的利用需求逐漸加大，信息主體的同意權很可能被架空。“知情同意”機制逐漸失靈意味著信息主體對個人信息并無實際的控制權，故相關權利的行使也舉步維艱。*Susan Landa, Control Use of Data to Protect Privacy, Science Journal,Vol.1,2015,504.與此同時，2015年美國《消費者隱私權利保護法案(草案)》與傳統(tǒng)的“知情同意”構架脫鉤，將同意條款作為補充性機制予以規(guī)定。其第103條(b)款規(guī)定，在具體場景中機構處理信息的合理行為，無需信息主體授權或者同意；當機構處理信息的行為不合理，威脅到信息主體的隱私時，機構需要對該風險進行評估，并采取相應的救濟手段。有觀點認為，我國應充分抓住機遇，立足國情，摒棄傳統(tǒng)以“知情同意”為核心的構架。*姬蕾蕾：《個人信息保護立法路徑比較研究》，《圖書館建設》2017年第9期。任龍龍在《論同意不是個人信息處理的正當性基礎》一文中對此作出了詳細的論述。*任龍龍：《論同意不是個人信息處理的正當性基礎》，《政治與法律》2016年第1期。他認為，同意不應是個人信息處理的正當性基礎，個人信息處理理念應從嚴格保護轉向防止濫用，對處理行為的規(guī)制宜采用責任規(guī)則，也就是一種事后判斷規(guī)則。具體理由有四：第一，同意的理論根基不牢。同意無法解決信息不對稱問題，也無法有效保障信息主體的知情權，更不利于信息經濟的發(fā)展；個人信息權所強調的決定自由，信息主體無法真實享有，控制能力也極為有限，信息主體除了同意往往別無選擇。第二，同意本身缺乏必要性和真實性。第三，同意基礎不符合經濟考量。第四，例外規(guī)定的大量存在削弱了同意基礎的效力。崔聰聰則從經濟制度考量，認為只要數據從業(yè)者與信息主體通過合作博弈達成了協(xié)議，或者他們欲滿足的利益明顯大于消費者的自由需求時，即得以徑自利用信息而無須征得信息主體的同意。*崔聰聰，鞏姍姍，李儀，等：《個人信息保護法研究》，北京郵電大學出版社，2015年，第122頁。

(二)同意基礎的決疑之力

針對同意基礎的質疑，有些值得贊成，有些值得商榷。信息社會發(fā)展至今，面對信息主體權利保護和信息利用利益保護之間的沖突，法律不能無動于衷，但也無需完全否認同意的基礎地位。針對上述這些理由，筆者逐一分析如下：

第一，同意的理論根基問題。(1)關于信息不對稱理論和信息自決權理論。信息不對稱理論相較于信息自決權而言，其理論根據地位相對較弱。特別是對涉及個人敏感信息的處理，信息自決權理論關注的是信息主體是否可以自由決定其敏感信息被處理。(2)關于知情權、類比物權和患者知情同意權，信息自決權的重點不在于知情權而在于同意權，知情權是同意權的前提和基礎，同意權才是核心和目的，同意權強調信息主體決定自身信息是否被處理。(3)關于個人信息的社會性。有觀點認為，信息主體屬于該類信息的初始供體，對該信息具有一定的財產利益，信息主體自身具有一定的自決權，但信息主體在享受大數據應用帶來的便捷性的同時，對這種利用行為應具有一定的容忍義務。*陶盈：《我國網絡信息化進程中新型個人信息的合理利用與法律規(guī)制》，《山東大學學報(哲學社會科學版)》2016年第2期。同時，法律應當容忍部分人不參與廣泛的交往，社會也應當容忍部分人追求慎獨的精神境界。他人對信息主體的個人信息也許是有需求的，但如果不是為了社會公共利益，我們很難想象某一私主體的權利不經同意而讓渡于另一私主體。(4)關于不披露意味著欺詐問題，這種結論似乎有點武斷，在涉及公共利益時，信息處理無需獲得信息主體同意；而不涉及公共利益時，信息不披露何以構成欺詐？(5)關于他人對信息享有利益問題，這種觀點強調信息處理者的利益，在信息處理者和信息主體利益衡量之間，偏向于信息處理者利益保護的價值似乎有其正當性，但是如果信息主體并非自愿讓渡自己的權利，這與強制交易有何區(qū)別？強制交易之下，強制一方對交易標的也存在利益需求，如果為了這一方利益而限制非強制方自由意愿，公平否？(6)關于信息價值問題，個人信息的價值在于流動性和有用性本無可厚非，但如何流動、向誰流通以及是否公開均應在規(guī)范上成為信息主體的權利，否則信息一旦公開，則信息主體對個人信息毫無權利可言，通過責任規(guī)則獲得的救濟也是微乎其微。(7)關于決定自由問題，信息主體與網絡服務商之間的網絡服務關系就是合同關系，如果信息主體不同意網絡服務協(xié)議，則不能接受該網絡服務商提供的服務，只不過該服務協(xié)議性質上屬于格式合同而已，但這并不能否定合同一方當事人即信息主體的意志自由。

第二，同意本身的必要性和真實性問題。從損害角度而言，損害可能性是所有財產規(guī)則共同面臨的問題，責任規(guī)則更多是側重救濟已發(fā)生的損害，所以責任規(guī)則對預防損害可能力有不逮。關于同意的真實性問題，現實生活中大量存在的以應用格式合同、點擊合同來獲取用戶“同意”授權的方式，而用戶可能根本沒有注意到相關個人信息條款。在涉及個人信息處理行為時，這類型的合同效力如何？筆者認為，對于該問題可以適用《合同法》第39～41條對格式條款的規(guī)定。格式條款的出現是為了便利社會生活，信息社會發(fā)展迅速，我們無法要求網絡服務提供者與所有網絡用戶簽訂個性化服務合同，而只能通過格式合同、點擊合同的形式進行網絡服務。當然，這也對法律提出了挑戰(zhàn)。為此，法律特別規(guī)定，格式條款的內容應當遵循公平原則，如果加重對方責任、排除對方權利、減輕己方義務，則該條款無效，并且法律規(guī)定了爭議情形下的特殊規(guī)則。

第三，同意的經濟考量問題。對個人一般信息進行處理時無需同意，這符合信息處理之經濟需求，此時個人信息的個人利益可以適當后位于信息處理者。但涉及個人敏感信息時，此時如果用經濟考慮以限制信息主體的敏感信息利益，則有悖于人格要素的權利擴張。某種程度上，我們處在隱私不保的年代，對人格保護、隱私保護、個人敏感信息的保護尤顯重要，對個人敏感信息的保護就是對信息主體人格的保護，此時用經濟利益和人格利益進行利益衡量，其結果顯然應偏向于人格利益，畢竟個人信息的保護源于信息主體的信息自決權，而信息自決權又源于人的主體地位和人格尊嚴，這是一切法律存在的根本，正如《民法總則》第2、3條將人身關系和人身權利置于財產關系和財產權利之前?？梢姡诶婧饬繒r，應將人身利益擺在優(yōu)位。關于同意可能引發(fā)的騷擾問題，此處的利益衡量應采取兩害相權取其輕原則取舍。但若無需同意就可以收集信息主體的敏感信息，其導致精神上的不安寧將會遠甚于垃圾信息的騷擾，畢竟后者并未公開信息主體的私密信息。我們很難想象，當我們正在上網休憩時，偶然發(fā)現自己的隱私信息被他人公開，那種錯愕恐怕不是法律所希望看到的。

第四，例外規(guī)定問題。該理由忽視了同意的內涵和公共利益的優(yōu)先性：合同履行中已存在合同訂立時的同意，無需再同意；公共利益限制信息主體的私人利益屬于利益衡量的結果，這兩種例外規(guī)定并不能從根本上否定同意在個人信息處理中的價值。

四、為什么是二維視角——同意在不同信息類型處理中的作用

個人信息處理行為涉及信息主體權利保護和信息處理者利益之間的平衡，二者之間的利益平衡不宜偏向于某一方，而應在二者之間謀求利益均衡。隨著社會的發(fā)展，信息利用給人們帶來了巨大的利益，促進了人們的生活方式、工作模式的改進，這沖擊了知情同意的正當性地位，知情同意的根基似乎受到動搖；同時，人們的隱私保護仍然是法律需要面對的挑戰(zhàn)，完全不同意可能造成隱私泄漏的惡劣后果。所以，法律需要在信息主體隱私保護、信息處理者利益乃至社會公共利益之間謀求適當平衡點，而這有賴于對不同類型信息的區(qū)別保護，即區(qū)分個人敏感信息和個人一般信息。

(一) 信息類型之敏感信息和一般信息

將個人信息劃分為一般信息與敏感信息是歐盟關于個人信息保護立法的一大特色。歐盟在1995年《個人信息保護指令》第8條第1款規(guī)定了特殊類型信息，即敏感信息。它是指透露種族、民族本源、政治觀點、宗教信仰、世界觀、工會關系以及健康和性生活有關的個人信息。第8條第2款還對敏感信息處理規(guī)定了較一般信息更高的保護標準。例如“處理該類信息必須是為了公共利益或者健康、經當事人同意且其所屬成員國國內法沒有禁止”等。2016年歐盟《統(tǒng)一數據保護條例》取代《信息保護指令》，這引起個人信息處理操作管理的明顯變化，主要是加重了數據控制者的義務。*Istvan Borocz, Risk to the Right to the Protection of Personal Data: An Analysis through the Lenses of Hermagoras, 2 Eur. Data Prot. L. Rev. 467, 480 (2016).該條例對個人敏感信息的類型進行了擴展，包括基因、安全信息等。

2015年2月，美國政府正式公布《消費者隱私權利法案(草案)》，強化了消費者對個人敏感信息的控制力度，它規(guī)定只要信息的用途會對消費者的權益產生重大影響，就必須取得消費者的同意。Andrews教授認為，人們應該有權決定是否要收集他們的信息，使用網站或應用程序不表明他們放棄自己的隱私權。*Lori B. Andrews, iSpy: Threats to Individual and Institutional Privacy in the Digital World, Vol.21 AALL Spectrum p24 (2017).有學者分析了《美國消費者隱私法案(草案)》和歐盟《統(tǒng)一數據保護條例》之后，對我國個人信息保護體系重構提出了自己的建議：在用戶控制方面，弱化對用戶同意的過度依賴，規(guī)定“合理使用”的場景，免予取得用戶同意；在“不合理”使用時，應取得用戶明確、主動的同意。*范為：《大數據時代個人信息保護的路徑重構》，《環(huán)球法律評論》2016年第5期。此種思路希望在完全同意和完全不同意之間尋找第三條道路，那就是區(qū)分個人信息的類型，進行不同的規(guī)則設計。張新寶教授主張對敏感信息與一般個人信息分別保護，對于前者側重保護，對于后者鼓勵利用。*張新寶：《從隱私到個人信息:利益再衡量的理論與制度安排》，《中國法學》2015年第3期。

我國2013年2月開始實施的《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(以下簡稱《指南》)第3.7條和第3.8條將個人信息區(qū)分為個人敏感信息和個人一般信息。個人敏感信息的內涵強調信息對信息主體的私密性和敏感性，強調未經同意公開的不良影響，所以《指南》將其定義為“一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。”“敏感”包括兩層含義：“私人的”和“有害的”。個人信息是否屬于敏感是由立法政策所定義的，*吳亮：《網絡時代的個人隱私權及其行政法保障》，中國政法大學出版社,2016年，第193頁。例如《指南》規(guī)定了身份證號碼、基因、指紋等屬于個人敏感信息。筆者認為，個人敏感信息和個人一般信息的主要區(qū)別在于，該信息是否可以直接識別個人，即該信息對于信息主體而言具有唯一性，其他任何人均不可能有該信息。例如，身份證號碼，我們知道每個人的身份證號碼是不同的，每個人都是獨一無二的，所以如果知道一個人的身份證號碼就可以定位到該人。基因、指紋信息都是如此，每個人的指紋都是獨一無二的，現代手機中的指紋解鎖就是這種技術的運用；每個人的基因也是唯一的，這被廣泛運用于刑事偵查領域，只要在犯罪現場有某個人的血液，就可以查出血液中的DNA，據此可以鎖定嫌疑人。此外，信息安全問題是各國普遍關注的問題，這已經關涉國家網絡安全問題，而信息安全中最主要的問題是個人敏感信息安全問題。理論上，信息安全包括三個特質：保密性、完整性和可用性。信息安全泄漏包括前兩個特質，并發(fā)生在未經授權訪問個人敏感身份信息時。*Marian K. Riedy; Bartlomiej Hanus, Yes, Your Personal Data Is at Risk: Get over It, 19 SMU Sci. & Tech. L. Rev. 3, 15 (2016).由此可見，授權同意對于個人敏感信息的重要性。

(二)個人敏感信息仍需同意

筆者認為，個人敏感信息仍需要同意：

首先，從信息控制力角度而言，如果個人敏感信息無需同意即可處理，容易造成信息主體無法控制其隱私被何人知曉、利用，至少會被信息收集者內部成員知悉，而這可能也非信息主體所愿。

其次，從利益衡量角度而言，個人敏感信息涉及個人人格尊嚴和人格獨立，若未經通知即可處理，則信息主體的人格將受到限制，敏感信息是否被處理的權利旁落他人，這是任何形勢下經濟發(fā)展所不能逾越的鴻溝。人格存在于人之處，若自然人人格交由他人掌控，則易出現人被物化之情形。個人敏感信息承載的人格利益是法律規(guī)則必須直面的實益，而信息利用也是法律制定所需面對的利益。當兩者共存于信息載體時，利益沖突在所難免，此時需要對數個利益做利益衡量，采取兩利相權取其重原則，取舍的標準就是利益相關性。個人敏感信息上的人格利益與信息主體的人格相關，承載著人格自由和人格獨立，而對信息利用所帶來的利益與信息利用者的財產相關，能夠為信息利用者帶來豐厚的經濟價值。信息主體對敏感信息的同意源于信息自決，而信息自決源自個人的自治，這是人格自由發(fā)展所不可或缺的。*楊崇蔚，廖志漢，廖志聰：《澳門個人資料保護制度》，社會科學文獻出版社,2015年，第45頁。從人權角度而言，前者不僅涉及人的自由發(fā)展權，更重要的是其涉及人之為人的生存利益，后者涉及的是人為美好生活的發(fā)展利益，當兩者出現沖突時，作為第一位的生存利益應優(yōu)先于次位的發(fā)展利益。

最后，從權利救濟角度而言，無需同意的責任規(guī)則保護模式無法彌補信息主體所遭受的損害。責任規(guī)則著力于強制許可制度，與知情同意“脫鉤”，對信息收集不需征得信息主體授權。*郭明龍：《個人信息權利的侵權法保護》，中國法制出版社,2012年，第100頁。責任規(guī)則的適用前提是損害既已發(fā)生，此時，作為受害人的信息主體可以向不當處理者、接受者主張侵權責任，也許法律會將二者的責任規(guī)定為連帶責任。賦予信息主體刪除權也可以矯正這一利益失衡狀態(tài)。*Jeffrey Rosen, The Right To Be Forgotten, Stanford Law Review Online,Vol.64, 2012,89.但這種保護模式無法為受害人提供周全的法律防護，網絡時代信息大爆炸，信息經復制后傳播速度之快完全超越傳統(tǒng)媒介傳播速度。個人敏感信息一旦被公開，經復制傳播后對信息主體所造成的損害無法真正“回復原狀”，受害人遭受的精神痛苦和不安是法律永遠不能修復的。為了預防這種損害的發(fā)生，財產規(guī)則似乎可以為我們提供有益借鑒。財產規(guī)則，是相對人對權利人財產侵害前必須明確征得權利人的同意，相對人必須與權利人協(xié)商談判并向其支付商定的對價，才能對該權利予以支配。*Guido Calabresi&A.Douglas Melamed,Property Rules,Liability Rules,and Inalienability: One View of the Cathedral,Harvard Law Review,1972,1090.個人敏感信息采取財產規(guī)則和責任規(guī)則混合規(guī)則保護模式，可以更為有效地提升信息主體對其個人敏感信息的主動權?！吨改稀丰槍€人敏感信息采用了事前明示同意規(guī)則?？傊?，針對個人敏感信息，法律應側重人格利益的保護，處理前應明確征得信息主體明示同意，同意仍是個人敏感信息處理的正當性基礎。

(三)個人一般信息無需同意

實踐中，有些個人信息不屬于私人領域，這些信息和人格的關系較為疏遠，或者是社會交往中必須向公眾提供的。*楊芳：《個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體》，《比較法研究》2015年第6期。個人一般信息就屬于和人格關系較為疏遠的信息。對于個人一般信息而言，因其隱私性和敏感性不及敏感信息，其所承載的人格利益也不甚強烈，故為促進數據流通，應放寬對一般個人信息的管制，無需適用同意規(guī)則。從締約成本角度看，一般個人信息的處理無需信息主體同意可以大幅度降低信息利用合同的成本，有益于各方主體。因為在大數據環(huán)境下，企業(yè)如若對所有信息主體逐一獲得授權缺乏可操作性，且如果所有信息在處理時必須取得信息主體的明確同意，企業(yè)也會因利用成本過高而采用違法手段進行利用，這反而會導致信息主體面臨更高的隱私風險，且企業(yè)也會承受更大的法律責任。*王玉林：《“默示同意”在數據收集中的適用問題研究》，《情報資料工作》2017年第2期。所以，對個人一般信息進行處理時，信息利用的經濟利益可以優(yōu)先考慮，法律可以側重保護信息財產權。所以，對個人一般信息處理不需要信息主體同意。

隨著大數據時代的到來，全部同意已經不合時宜，因為個人一般信息的收集無需同意；全部不需要同意則忽略了對個人敏感信息的保護，而且在未匿名化狀態(tài)下容易侵犯信息主體的隱私。未來信息立法時應當采用的立法技術是：法律應當明確規(guī)定需要同意的事項，其他皆屬于不需要同意范圍，即采“概括+肯定”列舉的立法模式。