一、问题的提出：同意规则作为个人信息处理前置规则的争议与检讨

前信息时代的同意规则强调“个人信息”处理必须获得信息主体的同意。作为个人信息处理的前置规则，同意规则的文本实践与理论探讨主要围绕着个人信息自决理论与隐私自我管理理论展开。具体体现在：其一，确立个人信息处理的“附许可保留的禁止”(Verbot mit Erlaubnisvorbehalt)规则，即除非获得信息主体同意或信息处理者具有合法事由、正当利益，否则，原则上禁止所有个人信息处理活动，包括收集、处理、加工与传播等。其二，确立个人信息处理的目的限制原则，即确保个人能够阻止信息处理者未经其同意,将基于某一目的所获取的个人信息用于其他目的，或未经其同意将其个人信息提供给他人用于其他目的（该原则来自1973年美国卫生、教育与社会福利部发表的《记录、计算机与公民权利》报告中所确定的公平信息实践准则）。其三，承认同意体现了个人信息自决权所具有的积极处分权能，包括撤回同意与知情权保障等。上述三个处理规范基本确立了同意规则作为个人信息处理的前置规则，并被各国立法普遍吸纳，如欧盟《一般数据保护条例》（以下简称GDPR）第4条与第32条等、德国《联邦数据保护法》第一部分第4a节、加拿大《个人信息保护法》第6—9条、我国《民法典》第1035条与《个人信息保护法》（以下简称《个保法》）第13条等。

然而，由于后信息时代数据集成化应用的快速发展带来了难以满足的个人信息使用需求，因此，若个人信息的每一次、每一项使用都需获得信息主体的同意，则会造成严重的数据流通壁垒。因此，同意规则作为个人信息处理前置规则的合法性与正当性基础逐渐受到质疑。其论证理由主要来自如下两个方面：其一，同意规则的适用面临着规范层面的悖论。首先，信息主体的同意表意存在缺陷。信息处理者提供给信息主体的隐私政策往往冗长且复杂。由于信息主体在教育背景、认知结构、文化程度等方面存在差异，故无法期待每一位信息主体能够完全知悉与理解隐私政策所提供的同意规则。因此，这难以为信息主体提供有意义的选择权，也不利于信息处理者合理地收集、利用个人信息，更无法保证信息主体作出的同意都是基于充分知情、自愿、明确。其次，信息处理者可能滥用同意规则。同意规则作为个人信息处理规则，存在被滥用的潜在风险。在信息不对称的主体间性关系中，由于权利与义务的不对等，强势的信息处理者易于借助优势条件，设置不利于信息主体权益保障的隐私条款，包括擅自与第三方共享数据，模糊信息处理者的信息义务等。最后，信息处理者将个人信息处理的不利后果转移给信息主体。同意规则的立法安排应当致力于信息处理者信息义务的科予和法律责任的承担，但是将信息处理决定权交由处于劣势地位的信息主体，事实上是为信息处理者提供信息使用的责任豁免。一旦获得信息主体的同意，在信息处理过程中的一切个人信息处理行为便可获得正当性支持。然而，这对信息主体而言是极为不利的，这意味着将数据损害结果转移到信息主体身上，由其自负风险与自担后果。其二，同意规则的适用面临实践层面的障碍。首先，同意规则存在可行性悖论。隐私政策提供的同意规则由于缺少可读性，对信息处理者而言，其获得信息主体授权的比例过小而成本过高。对信息主体而言，一方面，信息过载容易促使信息主体作出非理性决策行为，即“随意承诺同意”，易于导致同意虚化；另一方面，信息主体的可选择性较低，对信息处理者提出的信息处理要求往往缺少选择空间，如果拒绝同意，则意味着其丧失软件使用权，将同意置于“全有或全无”的状态，易于导致同意异化。其次，同意规则的适用加剧了个人信息处理风险。多数时候，信息主体并不清楚信息处理者基于何种目的、在何种程度上使用其个人信息，使用其哪些个人信息以及使用期限多长。信息主体与信息处理者之间的严重信息不对称关系，加剧了信息主体处理个人信息的风险。

面对同意规则的规范悖论与实践障碍，学界在理论上提供了多元化改革方案，大体分为：排除同意作为个人信息处理的合法性基础，寻求同意规则的替代机制，如主张放弃事前同意机制，由依赖赋予信息主体权利转为依赖科予信息处理者义务，将个人信息的个人控制转为社会控制以及借助集体同意替代个人同意等；补强同意规则的法律调整与原则限制，如强制性法源与标准性规范对同意规则适用的限制、目的限制原则与比例原则等对同意规则适用的限制；扩充同意规则的体系，完善同意规则的补充规则，如构建特殊同意规则；强化同意规则的动态论解释，探讨同意规则在场景化中的动态适用。从上述方案可以看出，学界对同意规则适用的改革方向皆指向重新检视同意规则作为个人信息处理前置规则的制度安排，建议将同意规则作为调整规则加以灵活适用，本文将之称为同意规则的“弱化适用”。但这些理论方案并没有对同意规则的弱化适用提供自反性理论构设与整体性行动逻辑，以解释弱化适用的正当理据与文本支撑，更没有对同意规则的弱化适用提供动态场景的细分标准，以避免过度弹性适用同意规则而导致同意虚化与同意异化。正是基于这样的问题意识，本文旨在提出同意规则弱化适用的理论主张，并进一步阐释其理论构设、行动逻辑与改良路径，以期疏解同意规则的既有困境。

二、立场修正：弱化适用同意规则

立法不应强调抽象的一般性预防原则，而应适度简化数据保护的强度和广度。据此，同意规则的弱化适用是基于个人信息保护与个人信息利用的价值平衡，进一步调整同意规则在个人信息规范体系中的地位与适用准则。而同意规则弱化适用的理论前提在于肯认其具有独立的消极防御权能与积极处分权能。在此基础上，将同意规则的从严适用转为调整适用。而支撑同意规则弱化适用的正当性基础可从个人信息处理的本体驱动、价值驱动与路径驱动三个方面展开论证，它们在某种程度上修正了原有同意规则所依赖的对个人信息自决与隐私自我管理的理论认知。

（一）同意规则弱化适用的理论前提：肯认与保留同意的独立制度功能

同意规则之所以构成个人信息保护的核心规则，原因在于同意作为个人信息权的效力表现，具有权能的法律属性。权能，乃是权利的作用形式和手段，是基于权利的法律地位而衍生出来的效力。同意能够为信息主体对抗个人信息处理提供消极防御与积极处分的行权模式，从而增强个人信息保护与个人信息利用的处分权能。这一点使得同意的存在具有深刻的制度必要性。

1.基于消极防御的行为规制功能

同意所表征的消极防御权能源自于个人信息权的防御性。个人信息权作为人格权，具有消极防御性，这集中体现在法律保障其免受侵害，而非民事主体积极行使权利。这意味着，同意作为个人信息权的消极处分形式“不能通过权利被保护”。对此，现阶段个人信息规范中的同意条款基本以强制性义务规则为实施框架，而非像撤回权等以授权性规则的形式赋予信息主体同意权，从而限制信息处理的扩张性与不确定性风险。以我国个人信息规范为例，《民法典》第1035条第1款第1项规定，除了法律、行政法规另有规定的例外情形，处理个人信息的，应当征得该自然人或者其监护人同意；《个保法》第13条第1款规定，取得个人同意后信息处理者方可处理个人信息。这些条款都对信息处理者设定当然的、强制性的义务规则，它们具有“封闭与固定的特性”。这种封闭与固定的义务规则设定，暗含了同意规则的公法规制色彩，能够在信息主体、信息处理者与第三方之间建立起行为指引与行为约束的规制框架。一方面，在行为指引上，通过义务规则确认获取信息主体的同意是信息处理者处理个人信息的合法性基础，提供合理预期的判断标准。对信息主体而言，其通过同意规则全面掌握个人信息的被使用状况；对信息处理者而言，其通过同意规则明确个人信息处理的合法范围；对监管机关与执法机构而言，其通过同意规则识别侵权行为。另一方面，在行为约束上，个人信息处理需征得信息主体的同意，否则，只要信息处理者违反法定义务，不论是否造成信息主体实际损害，都可以认定为违法，从而触动有权机关的追究。从这个层面看，同意规则有助于限制个人信息处理行为的不确定性与扩张性风险，从而发挥事前预防功能。

2.基于积极处分的权力调整功能

除防御权能外，同意规则亦具有积极利用的权能内容。与防御权能不同的是，处分权能强调信息主体对个人信息的自由处置、使用、收益与主张的积极性，从而增强信息控制的“归属功能”。德国民法学将积极权能解释为归属功能，而归属功能的实践展开主要依赖于个人信息的自然属性——对价与法律属性——问责。一方面，以信息换取服务的对价交换实践体现了同意规则所具有的积极处分权能。就信息主体而言，基于信息处理者对个人信息的利用意图，同意规则能够将个人信息转化为权力话语，从而矫正信息权力差势。而就信息处理者而言，“同意”是信息主体为了获得相应的商品或服务而必须作出的权利处分。在信息交往中，信息主体通过同意规则，许可他人处理个人信息的同时，不排除在某种程度上希望获得对价支付的意愿。一旦基于同意确认个人信息的“对价属性”，实际上就是承认信息主体与信息处理者之间的契约关系，并在此基础上展开双向的信息交互活动，即信息主体基于信任将个人信息让渡给信息处理者，而信息处理者基于对价提供相应信息服务。这种对价交换的自然属性使得个人信息具有可处分、可利用与可收益的价值，也使得信息主体对个人信息具有应然上的控制力。此时同意规则便是从自然属性层面确认信息主体在信息交往活动中享有对价的权力。另一方面，同意撤回的问责实践体现了同意规则所具有的积极处分权能。不同于同意规则以义务规则为实施框架，各国立法在同意撤回问题上采用积极授权的形式，赋予信息主体同意撤回权，如我国《个保法》第15条规定，信息主体可随时依据单方意愿撤回同意。一旦信息主体撤回同意，经营者将丧失利用个人信息所需的可执行性。同时，这能够积极排除或阻却他人对个人信息的违法侵害。因此，同意撤回权体现了信息主体对于个人信息的自决处分，也表明了立法对信息主体问责权力的保障。

（二）同意规则弱化适用的理论证成：本体、价值与路径驱动

1.同意规则弱化适用的本体驱动：个人信息的三维社会属性

个人信息自决理论与隐私自我管理理论之所以将同意规则视为帝王规则，原因在于其对个人信息的私人属性的传统认知。其认为个人信息是个人与公共领域之间的保护屏障，它能有效阻隔公共领域的侵入，并在空间、主体与事物上保持个人与外部社会的隔离。然而，该理论忽视了个人信息处理规则所调整的社会关系是由社会、信息主体、信息隐私构成的，本身具有极强的社会属性。受到社会关系的框架性约束，个人信息很难成为私有化客体，同意的绝对性、真实性与有效性也难以得到切实贯彻。

（1）空间维度：“数字社会”的出现弱化了同意规则的适用

大数据时代的快速发展带来了数字社会的生成。数字社会“是人的社会活动数字化进阶的产物”。它具有多交互性、灵活性、基于分组的分散网络、互操性、大带宽或承载能力以及通用性等特征。数字社会的到来促使信息主体所展开的社会活动变成信息、技术、数据与代码的符号化表达，人类生活发生全面的数字化转型，如政府治理数字化，生产要素数字化，社会空间数字化，交流媒介数字化以及信息主体数字化。它改变了人类原有的生存和交往模式，也改变了人类对生活世界的认知模式和价值判断方式。可以说，数字社会促使“人的社会性”经历着多重面相的解构与社会关系重构的过程，其中最为典型的就是私人领域与公共领域的边界模糊与规则重塑。以重大疫情防控为例，国家为了实现公共卫生治理目标，在疫情防控中以生产者或分配者的身份参与个人信息（身份、医疗、健康、地理位置、行动轨迹等信息）处理活动，采用大数据与算法技术进行监测分析、溯源追踪、发展模型预测、药物研发与医学研究等，在此过程中，往往以履行公务职责与保护公共利益等事由排除同意规则的适用。反之，数字社会进程的快速发展也推动了国家、社会与市民关系的重构，政府逐渐承诺将部分公共领域所涉及的个人信息开放给公众，如疫情防控中的公共卫生监测信息或其它具有公用价值的基础信息，允许其他公共主体或市场主体的合理化使用，此时作为信息主体的个人也无法在完全意义上主张适用同意规则。由此可见，如果需要加以规范的某一事实本身是狭义上的社会事实，其就会受到一定的集体或具体情景的约束，国家与社会的相互渗透会在一定程度上消解私人领域的独立自治性。

（2）主体维度：人的社会性本质弱化了同意规则的适用

马克思关于人的社会性本质的经典论述是在探讨个人信息处理规则时无法绕开的高地，其认为“个体的本质是社会存在物”。在个体展开的交往活动中，不应将个体与社会对立起来，而要看到人与人之间的依赖性及由此型构出的开放性特征。人的社会性本质集中表征为，作为生物人的个体随着数字时代的历史演进而被赋予数字属性，从而转为具有数字化身份的信息人。比如，新冠肺炎疫情期间出现的“健康码”以及2020年福州试行的“可信数字身份”，作为国家认证基础设施建设的重要体载，“已成为一种继实体身份证、电话号码、CTID/eID、人脸之后的新型基础身份标识符”。它们所涵盖的关联认证数据、行为轨迹追踪数据及其他关联的信息，将人与人之间的社会关系变得越发具有依赖性。这也意味着数字化身份认证的新型权力机制正在悄然促使生物人转变为信息人。这种经由信息交换实现“人的社会性”的多重向度的变迁与社会关系的再解构过程，是社会历史发展的产物。这决定了个人信息处理的决定权难以被限定为由信息主体所有，因为作为个体的信息主体对社会的直观反应具有群体化的特点，很难在完全意义上掌控个人信息，总要受到其他社会主体的制约。如果完全由信息主体凭借个人意志决定信息是否被收集，不仅会影响其免费使用企业所提供的信息服务，也可能导致其与社会相脱离。因此，同意不应成为个人信息处理的唯一合法性基础。

（3）事物维度：个人信息隐私的公共性弱化了同意规则的适用

信息隐私体现的是信息主体、信息处理者等在对信息进行数字化或其他形式的收集、储存、流通、分享中产生的隐私期待。数字社会转型带来的公私界限模糊，进一步导致个人隐私的公共性转变。一方面，就内部因素而言，信息收集与使用结果之间的相关性较低，信息主体对个人信息的事实控制力较低。此时，信息主体在决定个人信息处理时并不具有作出同意的能力，也无法承担因适用同意规则导致的不利法律后果。另一方面，就外部因素而言，数字社会赋予了信息隐私更多的社会性意义。虽然个人信息能否被利用及基于何种目的、在何种范围内被利用的决定权属于信息主体，但这种决策自由受到个人信息社会属性的制约。隐私是一种“普遍的社会形式”，是一种用来帮助界定社会关系的社会形式。信息本身所具有的模糊性、公共性、共享性，使其表征为“一种社会利益”。在特定情景下，个人信息的个体性要让位于社会性，因此，维护公共利益、履行公共职务等正当性事由通常阻却同意规则的适用。

2.同意规则弱化适用的价值驱动：数据安全理念的开放性与正义性

保护信息主体在信息流通中的弱势地位是同意规则被纳入个人信息处理规则的制度目标，因而立法倾斜于对个人信息进行私法保护。然而，个人信息往往与公共安全、国家安全密切相关，如果仅从信息主体隐私保护角度定位个人信息保护法的价值取向，则有失偏颇。我们应当跳出相对封闭的“隐私保护”框架，既需寻求一种新的开放性理念，即能够妥适协调信息主体、信息处理者与信息监管者等之间信息沟通的间性交往，为信息保护提供更为广阔的价值空间，也需构建一种新的正义性理念，即能够矫正既有个人信息处理规则的非正义价值取向，保障个人信息处理的多方参与者在个人信息规范中的分配正义。而这些正是“数据安全”理念被提出的价值基础。数据安全是指通过采取必要措施，确保数据处于被有效保护和合法利用的状态，以及具备保障持续安全状态的能力。各国在规范数据处理活动时普遍重视数据安全立法，如欧盟的《欧洲经济区与非欧洲经济区公共机构间个人信息传输指南》（2020）、美国的《2019年国家安全与个人信息保护法（提案）》以及我国相继颁布的《国家安全法》《网络安全法》与《数据安全法》。

（1）同意规则的封闭结构难以适应数据安全理念的开放性价值

传统同意规则建立在前信息时代的信息隐私安全价值上，它强调信息对人自身的安全意义。美国《联邦信息安全管理法》将“信息安全”界定为“保护信息和信息系统不受未经授权的获取、使用、披露、破坏、修改或者销毁”，以确保信息的完整性、保密性和可用性。这就导致同意规则的规范构造呈现出向信息主体单向度偏移的状态，具有鲜明的封闭性。与前信息时代不同的是，后信息时代侧重于信息交往安全，尤其是规范数据处理活动，包括“调整社会主体和使用者的行为惯习及其认知：操作、知晓何种信息被收集、应用以及理解等”。这些信息处理活动“绝不只是单一的主体、秘密或控制视角”，相反，它是个人信息处理中多方参与者间性交往的结果。这种交往被定义为诸多行为者对待自我的一种立场，他们相互照应，相互依赖。以健康医疗数据领域为例，患者是健康医疗数据的所有人，医院是健康医疗数据的间接收集者，提供健康医疗数据存储的第三方平台则成为健康医疗数据的事实控制者（直接收集者），而其他行业（如保险行业、医疗器械行业等）组织则成为健康医疗数据的使用者，卫生行政部门则成为健康医疗数据的监管者。在数据流转的每一个环节，任一个人信息处理活动的参与者的处理行为都将对信息主体的同意作出构成事实上的制约，并在不同程度上瓦解信息主体对个人信息的事实控制力，如实体医院是否忠实履行告知义务，第三方平台是否依法制定隐私政策，其他行业组织是否合法合规使用个人信息，监管部门是否针对同意规则失灵采取救济机制等。主体间性交往旨在在不同参与者的行为取向之间搭建联结关系。与之相匹配的规范要求是，立法应当确保每一位参与者“信息沟通”的权利，从而实现利益诉求的一致性。据此，我们可以发现，与前信息时代所主张的信息隐私安全相比较，后信息时代信息交往安全的价值理念建立在利益诉求一致的基础上，这是促使不同行为者达成规范共识的前提，也只有这样，个人信息处理活动的多方参与者的不同利益诉求才能得到立法平衡，同意规则才能得以践履。从这个意义上说，基于利益诉求的一致性旨归与交往行为的规范性要求，信息主体很难独占个人信息，他方对个人信息的利益主张构成同意规则弱化适用的现实因素，数据安全理念制约着同意规则的规范构造。

（2）同意规则的偏颇性难以适应数据安全理念的正义性价值

将个人信息处理决定权完全交由信息主体单独享有，由信息主体决定个人信息是否被利用及如何被利用，存在严重的权利偏颇。在事实上，信息主体的同意是在规避法律风险意义上作出的：一是面向信息主体，使其知晓个人信息被利用的事实，以评估本人是否愿意承担风险；二是面向社会控制，进一步防范因个人信息泄露等而导致的公共安全与国家安全危害风险。因此，在个人信息规范中，除了要保护个体权利，更要致力于实现社会乃至国家的共同善。而这正是数据安全理念所贯彻的：在保护信息主体隐私安全的同时保障数据共享与流通中的公共安全与国家安全。这决定了后信息时代的数据安全理念比前信息时代的隐私安全理念具有更广阔的价值场域，它所调整的是总体性安全观，而非个体性安全观。这意味着在个人信息处理上应当规范的是权利义务分配的正义性问题，在立法上表征为分配正义原则能否得以贯彻。分配正义原则是调整个人信息权利义务配置的基本原则，它所追求的是“人人各得其所得”的“应得”图景。在应得视角下，法律权利义务分配的平等应当是“比值相等”，即不同主体所持物品的份额相对等，同一位序的人享有对等份额，不同位序的人享有不同份额。由此可见，分配正义原则旨在追求应得分配的共享，只要某生产主体切实参与生产活动并促使社会财富增量，就应当获得相对等的法律权利义务配给，比如在数据流通领域，有部分学者主张借助洛克的劳动理论，承认企业对其已投入成本的数据享有权利并给予法律保护。从这个意义而言，分配正义原则调整的并非个体正义，而是特定共同体在公平合作体系中的多元利益。因此，围绕着数据共享发展的分配正义原则，数据安全理念对信息主体与信息处理者之间的分配正义调整体现在：“既能充分尊重信息主体的知情同意权，又能兼容各类处理机制……，进而推动数据市场的开放与竞争，并在此基础上实现分配正义”。数据安全理念对信息处理者与信息监管者之间的分配正义调整体现在：一方面促使市场主体充分挖掘、利用个人信息促进数字经济发展，从而提高政府公共服务能力；另一方面促使公共主体在数据共享中维护公共利益与国家利益，在此过程中分配好个人信息的控制、占有、使用与收益等。

3.同意规则弱化适用的路径驱动：数据保护的相对剥夺感与数据利用的价值创造

个人信息保护以个人信息处理需征得信息主体同意为前置条件，这里的逻辑其实预设了个人对其信息的实际占有与事实控制。然而，同意规则的严格适用会导致“数据沉睡”，进而降低信息处理者从事数据赋能与数据增值活动的积极性。对信息处理者而言，如果数据保护价值小于社会期待，则其会产生“相对剥夺感”。据此，立法规则的设定不应当只考虑对信息主体的保护。事实上，个人信息几乎被视为公共领域的组成部分，是可以广泛获得和使用的。这是因为个人信息的社会性决定了多数个人信息基于某种形式或某种目的，需被披露于公众可接触的公共领域。因此，对个人信息处理行为的规范，不应当属于私人自治的范畴，而应当是国家基于公共安全与国家安全而承担的对社会成员使用公共物品行为的规范。如果仅因为个人信息的私人属性将其视为私有化产品，而排除其公共利用的价值性，则有失法律正当性。

除了具有公共物品特性外，个人信息还具有互惠交易性。同意规则的适用基础是个人信息保护的禁易规则，即基于个人信息保护而禁止数据流通。但禁易规则忽视了个人信息的财产性，没有按照数据活动的要求，通过一种赋予个人信息以财产权品格的新设计，使得数据活动更加方便和顺畅。财产权进路赋予信息主体更为主动的信息交往地位，这集中反映在赋予个人信息极大的交易空间，营造互惠的数据流通关系，这种对利他行为的制度支持可以带来合作盈余。展开而言，信息处理者以有偿或对价的交易方式与信息主体就个人信息使用展开积极对话，信息主体从个人信息收集与使用中获取利益，从而打破对信息主体的过度保护，进而释放数据利用所带来的数据红利。

基于个人信息的公共物品特性与互惠交易性，个人信息私有化规制路径难以为同意规则提供正当性支撑。这种高度个体主义的权利不利于产业对于个人信息的合理使用。目前，主流的观点认为，应当引入数据利用进路，克服数据保护的僵化性。这一点已成为既有数据立法的普遍共识，如我国《个保法》第1条明确了促进个人信息利用的立法目的。日本的《个人信息保护法》也强调以开发利用为前提的信息保护。而美国个人信息规范的立法逻辑则是通过宽松的同意规则，如择出同意（“opt-out”）规则，去鼓励数据利用与产业发展。甚至在未被认定为“未经同意”之前，信息的处理也是合法的，即使可能存在操纵和胁迫的情形。欧盟在2020年11月底发布的《数据治理法案》（Data Governance Act）同样旨在建立一个涵盖交通业、制造业、金融服务业等各行业的数据共享与自由流通机制。

三、行动框架：同意规则弱化适用的具体形态

同意规则从前置规则转为调整规则的弱化适用立场，除了具有理论正当性外，还具有立法文本与实践经验的支撑。笔者根据域内外同意规则的立法文本与实践经验，将其归纳为规范克减、但书规定、否定评价、等级区分与体系弱化五种具体形态。其中，规范克减是基于法律规则的规范性，通过其他原则部分废除或撤销同意规则的规范效力，从而限制同意规则的适用；但书规定则是基于法律规则的结构性，借助例外条款的体例形式，从而排除同意规则的适用；否定评价则是在特定情形下，对同意规则的适用给予整体的否定性评价，从而导致同意规则的无效适用；等级区分并非部分或全部否定同意规则的处分效果，而是对同意强度施加不同的实质或形式要求，从而导致同意规则的宽松适用；体系弱化则是降低同意规则的体系地位，从而导致同意规则的偏移适用。在这五种形态中，前三者的弱化效果较为明显，后两者的弱化效果较为温和。

（一）规范克减：同意规则的限制适用

在个人信息处理规则中，同意规则并非唯一的规则，合法、正当、必要与公平信息实践原则等构成其上位原则。当同意规则与这些上位原则在适用上发生冲突时，则会出现“规范克减”情形。英国学者哈里斯在阐明法律规则体系化时提出“规范克减原则”，它是指法律科学拒绝一个规则或这个规则中的一部分，因为它和另一个具有更高级创制基础的规则相冲突。凯尔森则认为，规范克减是指一个规范的效力被另一个规范所否定。这种否定包括限定适用范围或削弱强制效力的后法所引起的先前法律的部分撤销或部分废除。合法、正当、必要三原则在个人信息规范中的文本表达通常体现为同意规则的上位原则。其中，合法原则是指个人信息处理需符合法律要求，不得以非法目的收集个人信息；正当原则也被称为目的限制原则，被确立于《隐私保护和个人信息跨境流动指南》（OECD指南）第9条，包括收集阶段的目的明确与使用阶段的使用限制；必要原则是指基于特定使用目的使得个人信息处理具有一定必要性，即使用目的的最低必要限度。当同意规则违反合法、正当、必要原则时，法律不认可同意规则的规范效力，如欧盟GDPR第5—6条及欧盟《95指令》第6条第1款、我国《民法典》第1035条及《个保法》第5—7条。

公平信息实践原则对同意规则的限制适用也是如此。公平信息实践原则最早滥觞于美国与欧洲的信息隐私保护理念，如美国的《隐私权法》、欧盟GDPR、经济合作与发展组织的《关于隐私保护与个人信息跨国流通指南的建议》与亚太经合组织的《个人隐私保护框架》等纷纷确立“公平信息实践原则”，借此“允许个人通过提供个人法律行动来积极参与控制他们的个人信息”。尽管各国或各国际组织确立的公平信息实践原则在对信息主体的赋权类型、程度以及信息管理义务配置上有所差异，但共通之处在于都采取信息赋权与信息控制两种路径修补同意规则。信息赋权旨在保障个人对信息隐私的自我管理权力，包括对个人信息处理的自决权，如收集、使用、加工或传播等。但由于“告知—同意”模式所导致的规范悖论与实践障碍，立法开始强化数据使用者的信息义务，以弱化同意规则的适用。例如，美国在公平信息实践原则中格外强调信息业者的告知义务，如要求信息业者向信息主体告知个人信息处理的数据类型、收集方式、是否向第三方共享等内容，弥补信息主体在同意作出前的信息不对称。在践行公平信息实践原则时，“选择—退出”这种弱同意形式成为美国联邦贸易委员会处理个人信息的默认形式。亚太经合组织所确立的公平信息实践原则首次提出“预防损害”的信息隐私规则，即因个人信息处理过程中的滥用行为可能导致损害风险，则应当对数据使用者科予风险责任，并且所采取的救济措施应当与损害风险相称。该原则有助于在信息主体作出同意表示后个人信息被损害而数据使用者得以豁免责任的情形下，限制同意处分的法律效果。

（二）但书规定：同意规则的除外适用

针对同意规则的但书规定是指针对同意规则作出的特别规定，具体指信息处理者在处理个人信息时可不经本人同意直接加以使用。与规范克减不同的是，但书规定是基于法律规则的结构性，借助“一般条款—例外条款”的体例形式完全排除同意规则的法律效力而非基于法律规则的规范性去否定同意规则的效力。当数据应用场景出现了其他除外事由时，信息处理者无须取得本人同意便可处理个人信息。笔者认为，在目前各国数据立法中主要存在委任性但书规则与确定性但书规则两种形式。

1.委任性但书规则

根据委任性规则的一般定义，可将委任性但书规则阐释为“在立法实践中既有法律规则的但书适用并没有明示其具体内容，而采用概括性指示规定加以描述，并由对应的部门依据对应程序，确定具体的法律规则”。其中，“法律法规另有规定的除外”最为典型，在立法形式上表现为预留型与提示型。预留型是指此时的“法律法规”并没有具体指向，有待通过进一步立法以弥补漏洞。正如罗伯特·阿列克西所言，挽救规则全有或全无的特性，并不是将具体例外全部吸纳进其表述之中使其完整，而是插入一般性保留条款使其在立法上尽可能周延。比如，《民法典》第1035条规定，“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”。提示型则是提示还存在其他法律法规可以援引、参照，明确提示此时需优先适用它法，旨在发挥法律体系的衔接功能，例如，《电信和互联网用户个人信息保护规定》第9条规定，未经他人同意不得收集个人信息，法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。

2.确定性但书规则

与委任性但书规则相对应的确定性但书规则可被理解为“在立法实践中既有法律规则的但书适用已明确规定，无须参照或援引其他法律规则”。这类但书规则在条款中明确描述或列举同意规则但书适用的情形，其中描述型但书规则直接限定但书适用的情形与条件。例如：加拿大《个人信息保护和电子文件法案》（PIPEDA）规定，数据控制者可以在未经个人同意的情况下向研究者披露医疗数据，前提是研究者向数据控制者提交一份研究计划，这份研究计划须体现经正式授权机构（如数据保护机构）批准的隐私实践、政策和程序，且研究者应公开披露隐私实践、政策和程序；日本《个人信息保护法》最新修正案规定“删除名字等使特定个人无法被锁定的信息即使没有本人的同意也可提供给第三方”；新加坡《个人信息保护法》（PDPA）规定“允许本地企业在未经事先同意的情况下就出于某些目的（例如业务改进和研究）使用消费者数据”；韩国《个人信息保护法》则规定“在没有本人同意的情况下，可以将经过处理无法识别特定个人的假名信息用于统计和研究等目的”。而列举型但书规则详细周延了但书规则适用的兜底情形。例如：我国《信息安全技术个人信息安全规范》第5.6条明确列举无须授权同意的5种例外情形，包括维护国家安全、社会安全、公共利益、他人合法权益等；欧盟GDPR第6条在知情同意基础上引入其他五种个人信息处理的合法性基础：履行合同所必需、处理者履行法律义务所必需、为了保护公共利益所必需、保护信息主体切身利益所必需、处理者或者第三方追求合法利益所必需；我国《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条在同意基础上增加了公共利益、合法公开、合法渠道获取等其它合法性基础；《个保法》第13条第2款至第7款也增加了除同意以外的其他抗辩事由，包括履行合同所必需、履行法定义务所必需、处理已公开的个人信息及公共利益等；加拿大《个人信息保护法》第12、15、18条分别规定未经同意收集、使用和披露个人信息的合法性情形，包括为第三方提供法律服务、为医学治疗所需、为信用报告机构所需以及收取非法人团体、工会或非营利组织的欠债等。

（三）否定评价：同意规则的无效适用

针对同意规则的否定评价是指，在特定情形下，对同意规则的适用给予否定性评价，从而导致同意无效。它与规范克减的相同点在于同意都曾被作出，不同点在于弱化适用的原因与效果并不相同。在规范克减情形下，同意的部分效力因同意规则受到其他原则或规则的限制而被否定；但在否定评价情形下，同意的全部效力因信息处理者违反强制性规定而被法律明文否定。它与但书规定的相同点在于否定同意的整体效力，但在适用但书规则的情形下同意并不曾发生过处分效力，是真正意义上的被排除，而否定评价则是对已作出的同意加以否定评价。

同意规则的无效适用主要包括两种情形。一是违背信息主体真实、特定的同意内容，包括超出约定使用范围，违背当事人意愿。悖逆真实意愿的情形往往发生在信息不对称的主体结构中，易于造成信息主体与信息处理者之间的权利义务失衡，此时信息主体在掌握少量信息的情况下很难作出完全的、真实的、明确的同意表示。因此，须排除权力不平等关系下同意规则的适用，尤其是特别权力关系与雇佣关系下同意规则的适用。例如，我国《个保法》第14条规定“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意”。如果违背该目的限制原则，法律可以否定同意的处分效果。再如，我国台湾地区“个人资料保护法”第6条第3款规定，即使获得当事人的书面同意，只要违背当事人意愿的，不可以收集其个人信息。二是违反法律禁止性规定。在该情形下，信息处理者虽已获得信息主体的同意，但其个人信息处理行为违反法律法规的禁止性规定，应当否认同意的处分效果。例如，新加坡《个人信息保护法》第14条第2款和第3款规定，信息主体在下述情形下作出的同意均无效：机构以提供产品或服务为条件，要求个人统一收集、使用和披露超出为其提供的产品或服务的合理性的个人数据；机构通过提供与所需收集、使用或披露的个人数据不符的虚假或误导性信息，使用欺骗性或误导性规定，获取或企图获取收集、使用或披露个人数据的同意。

（四）等级区分：同意规则的宽松适用

与上述两种情形不同的是，等级区分并不是部分否定或全部否定同意的法律效力，而是针对同意强度施加不同的实质或形式要求，为弱化同意规则的适用提供扩容空间。

1.明示同意与无争议同意/默示同意的区分适用

这类同意的划分是以授权的意思表示是否明确为标准。“无争议”是最基本且较低的同意要求，“明示”则是较高的同意要求。欧盟GDPR将同意类型划分为“明示同意”（第9条）与“无争议同意”（第6条）。明示同意的确立是为了防止同意规则被滥用而对同意采取严格解释的结果。欧盟第29条工作组在关于同意定义的第15/2011号意见中指出，“明示同意”应符合“自主、特定、知情与明确”四个要件。在此基础上，GDPR进一步提出“明示”的要求，即明确声明，包括电子签名、电子邮件等书面声明或者面对面交流过程中的确切声明。而在无争议同意中，同意要件相对宽松，可以借助暗示行为或者其它声明加以表达，包括通常意义上的告知行为或其他肯定性行为。日本在医疗数据领域所设置的简略式知情同意，类似于欧盟设立的无争议同意。与欧盟的做法相类似，我国将同意细分为明示同意与默示同意。明示同意是当前我国个人信息处理中同意的主要形式，如《个保法》第14条、《网络安全法》第22条第3款、《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》第6条。根据《信息安全技术  公共及商用服务信息系统个人信息保护指南》（以下简称《保护指南》）的规定，明示同意是指“明确授权同意，并保留证据”。《信息安全技术个人信息安全规范》第3.6条则进一步将明示同意解释为“明确授权的行为如肯定性动作或书面声明，其中肯定性动作包括主动勾选、主动点击‘同意’、‘注册’、‘发送’、‘拨打’等”。而默示同意中的知情和同意均源于推定，是知情同意的一种弱化版。《民法典》第140条规定，同意在内的意思表示可以默示方式作出，比如，可根据生活常识、民俗民约、交易习惯等推知或推定行为人以间接方式表达其意思表示。《保护指南》将默示同意定义为“信息主体无明确反对”的意思表示。《信息安全技术个人信息安全规范》将默示同意定义为“通过消极的不作为作出授权”的意思表示。例如，在Cookie技术与隐私权纠纷第一案“朱烨与北京百度网讯科技有限公司隐私权纠纷案”中，二审法院认为，“在《使用百度前必读》中，百度网讯公司已经明确说明Cookie技术、使用Cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制，朱烨在百度网讯公司已经明确告知上述事项后，仍然使用百度搜索引擎服务，应视为对百度网讯公司采用默认‘选择同意’方式的认可”。

2.特别同意/单独同意与概括同意的区分适用

这类同意的界分以授权的指向性是否特定为标准。特别同意/单独同意要求信息处理者在处理个人特定信息时应当取得本人的单独同意，或者超出原来特别限定范围的使用目的时，应再次取得本人同意。同意主体特定性、同意内容确切性、同意授权单独性构成了特别同意的规范要求，它为信息主体提供较大的信息隐私自决空间，同时确保数据利用的有限性。我国在信息收集上同样采用单独同意，例如：《网络交易监督管理办法》第13条规定，特定领域的数据处理需经本人逐项同意；《个保法》第29条规定，敏感信息的处理也应取得单独同意；《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》第6条规定，处理敏感个人信息应对本人进行单独告知并经其同意。特别同意是一种较为严格的同意要求，对信息主体而言保护程度最高，但其使信息处理者面临高昂的信息采集成本。为了解决这一问题，概括同意因应而生。概括同意源自于生物研究领域的知情同意的伦理要求，是指医学实验的参与者通过作出一般同意，从而授权信息处理者在展开科学研究时可不用重复征得本人同意。目前，存在一般同意、一般同意的特定拒绝两种形式。前者是指信息主体向信息处理者提供一般同意，只要本人未撤回即始终有效。后者则是指信息主体提供一般同意，但在某些特定条件（如时间、目的、有效性等）下，本人可以拒绝同意。其目的在于让渡一部分的数据使用权给科研机构，在促进数据利用的同时，科予科研机构向公共负责的义务。可见，概括同意化解困境的方式是通过降低信息披露与同意的标准实现的，颇受各国立法的青睐，如芬兰《生物银行法》、韩国《生物伦理与生物安全法》、美国《保护人类受试者的联邦政策》等。

（五）体系弱化：同意规则的偏移适用

体系弱化是指在立法编排上将同意规则作为个人信息处理原则之下的具体规则或在立法体例上不作为一般规定加以确认，借助结构偏移的方式降低其体系地位。法律原则与法律规则既是法律体系的要素范畴，也是法律体系的形式载体。法律原则是一种要求某事务在事实上和法律上尽最大可能被实现的规范；法律规则是一种仅能以被遵守或不被遵守的方式实现的规范。二者在逻辑界分上有所不同：法律规则具有明确的构成要件、“一般与例外”的体例结构；法律原则具有分量的向度，即当两个原则相冲突时，分量较重的原则起决定作用，分量较轻的原则并不因此无效。从各国数据立法来看，各国都倾向于将同意规则作为个人信息处理的具体规则，而非法律原则。例如：我国《民法典》第1035条、《网络安全法》第41条等都将同意规则作为合法原则、正当原则与必要原则之下的具体规则并受其约束；欧盟GDPR第5条规定的个人信息处理原则并未吸纳同意规则，而是在第7条规定了同意要件；英国《数据保护法案》中的六个数据保护原则并未将同意规则吸纳其中；美国仅将同意规则作为公平信息实践原则的具体规则加以建构。合法原则、正当原则、必要原则、公平信息实践原则等与同意规则属于指导与被指导的关系，同意规则受到上位原则的框架性约束，以保持法律体系的平衡。除此之外，相较于德国、欧盟与中国对同意规则赋予较高的体系地位，将其作为个人信息保护法中的一般规定，使其具有统摄性的意义，加拿大、新加坡与韩国仅将同意规则放在分则中加以规定。德国《联邦数据保护法》、英国《数据保护法案》、欧盟GDPR与中国《个保法》在总则的一般规定中对同意规则加以确立，加拿大《个人信息保护法》第三部分、新加坡《个人信息保护法》第四章、韩国《个人信息保护法》第三章分别在分则体现同意规则。体例结构的偏移，在一定程度上弱化了同意规则的适用。

四、路径优化：同意规则弱化适用的场景细分

不论是同意规则的限制适用、排除适用、无效适用、宽松适用，还是同意规则的偏移适用，在立法文本与实践经验中，要么以概括性条款提供一般性指引，要么以列举式条款提供具体范例。前者容易造成适用标准的模糊与虚化，后者容易造成适用标准的不周延与僵化。为此，有学者逐渐转向折中道路——细分场景，从而在同意规则的弱化适用上既能提供细分标准，也能保留一定的弹性空间。

（一）同意规则弱化适用的场景细分的理论来源：情景脉络完整性理论

情景脉络完整性理论承认在不同场景下个人信息的保护程度与利用效度并不相同，需要在多大程度上适用同意规则以规制或鼓励个人信息处理活动，取决于差异化的应用场景。而场景通常是指影响信息主体对个人信息被利用的接受度或敏感程度的因素，包括个人信息的类型、处理手段、处理范围、处理目的等。

据此，情景脉络完整性理论主张基于“正义领域”的分配原则，将信息利用和信息安全与特定场景建立起联系，在信息处理过程中遵循适合特定场景的信息流动性规范与信息适当性规范。信息流动性规范由“信息实体、信息属性和信息传播原则”三个要素组成。其中，信息实体是指有信息控制能力的实体角色，如信息的发送者、接收者、归属者；信息属性是指信息的具体类型；信息传播原则主要规制信息流动的条件，包括是否取得信息主体同意，是否确保信息双向流动等。而信息适当性规范则被用以判断在特定应用场景下个人信息的收集与处理是否符合信息主体的合理期待。如果符合信息主体的合理期待，则可不经信息主体同意而直接使用该信息，反之则须经信息主体同意，这意味着个人信息的使用并非只能基于信息主体同意。这在域外立法中极为常见。比如，美国《消费者隐私权法案》规定，当数据使用目的与预期场景一致时，无须征得信息主体同意。再比如，欧盟GDPR第6条引入数据处理的适当性规范要求，进一步判断个人信息被收集时的目的与进一步处理时的目的之间的联系、信息主体与数据控制者之间的关系、个人信息的性质、是否具有加密或者匿名化等恰当保护措施。可以说，适当性规范以一种弹性的方式，将信息流转与信息保护从矛盾对立中解放了出来，隐私就不再被视为对个人资料的绝对控制，而被视为按照相应资讯规范进行的适当限制。

在情境脉络完整性理论下，同意规则不再是全有或全无的状态，而是处于弹性、开放的过程。最为典型的分类方法是将同意规则进一步划分为分层同意规则与动态同意规则。分层同意规则旨在在不同应用场景中为信息实体的信息沟通设定强度不同的同意要求，形成从严格同意到空白同意的层级框架。分层同意规则改变了以往的“一揽子同意”规则，扩大了信息实体数据处理的选择性，以便最好地接近知情同意规则的道德范式。动态同意规则解决的是以往“终身同意”规则的困境，它基于对情景风险的研判，允许信息主体对个人信息处理保有便于动态控制的知情权与决定权，包括随时授予同意或撤回同意，使得信息处理尽可能符合信息主体对数据应用场景的合理期待。

情境脉络完整性理论为个人信息的使用边界提供动态调整的可能路径，不过遗憾的是，目前情境脉络完整性理论对同意规则的适度弱化仍然停留在抽象的场景导向上，在适用基准上具有较多的模糊性。展开而言，分层同意规则的实践原旨在于保障信息主体的选择权，目前，相关理论并没有解决分层同意规则在应用场景中的细分基准。动态同意规则强调将信息主体置于信息处理的决策中心，其反复、多次的授权同意与退出同意严重制约了信息处理者的信息处理效率。

（二）同意规则弱化适用的场景细分的动态体系：分级同意—分段同意—分类同意

在既有场景理论下，同意细分难题的解决出路在于进一步限定动态体系要素以及要素权重，解决同意规则弱化适用的效率、公平问题。回归到情境脉络完整性理论的信息流动性规范的三要素，笔者主张以信息实体、信息属性、信息传播原则作为场景细分的主要判断基准，在区分个人信息类型、个人信息处理环节、个人信息处理者性质的基础上，形成同意规则“分级—分段—分类”的弱化适用的动态判断基准，以要件动态化实现同意规则适用的弹性化。

1.动态判断基准一：基于个人信息类型区分的分级同意规则

个人信息的涵盖范围包括信息主体的生物识别信息、身份标识信息、财产信息、通信信息、位置信息等。在具体应用场景如数据共享、数据开放与数据开发中，对不同类别信息所设定的同意强度，应当结合数据分级标准综合判定。目前，我国数据分级管理仍处于政策化阶段，显见于行业指南与国家标准，如《信息技术  大数据  数据分类指南》（GB/T38667-2020）、《个人信息安全影响评估指南》（GB/T39335-2020）与《信息安全技术健康医疗数据安全指南》（GB/T39725-2020）等。这些指南（行业标准）多采用单一的分级标准，不足以周全个人信息保护与利用的双重价值目标。笔者认为，数据的分级管理应以个人信息的敏感程度为主要标准。

不同的个人信息具有不同的敏感度，不同信息的处理对个人隐私造成的风险也不相同。国外立法与国内立法在个人信息的区分保护与分类利用上倾向于采取一般信息与敏感信息的界分，如欧盟的《个人信息处理中的个人保护公约》与GDPR及我国的《保护指南》与《个人信息安全规范》等。然而，立法对于一般信息与敏感信息设立的同意要求并不统一。例如，欧盟《资料保护指令》规定，对一般信息的处理只需当事人的明示同意或默示同意，处理敏感信息则需当事人的明示同意。丹麦和意大利的相关立法要求，对于一般信息的收集应取得当事人明示同意；而对于敏感信息的收集，丹麦要求取得当事人明示同意，意大利则要求取得当事人书面形式的明示同意。一般信息与敏感信息的界分仍不足以为个人信息的区分保护与分类利用提供精准的识别依据。因此，细化同意规则的区分适用需重新划定个人信息的敏感层级。笔者主张，个人信息的敏感层级可被区分为四个层级，分别是高敏感区、中敏感区、低敏感区与非敏感区。

第一，高敏感区对应个人信息的私密部分，施以强同意保护模式。私密信息是指客观上不为人知晓且未公开、主观上权利人不愿为人知晓的私密性信息。关于私密信息。我国《民法典》第1032条的规定对此有所体现。私密信息主要根源于信息隐私最本质的人格尊严，通常触及信息主体内在的情感或思想，受到法律法规强制性规定的保护，如性生活相关信息、生物识别信息与未公开的违法犯罪记录等。对这一部分个人信息应施以强同意保护模式，需符合的实质要件是信息主体自愿、知情且明确，应符合的形式要件为书面、单独的明示同意。第二，中敏感区对应一般意义上的敏感信息，即除去私密信息以外的法律法规明确保护的敏感信息，应对其施以次强同意保护模式。依据《保护指南》与《信息安全技术个人信息安全规范》的规定，这类信息一旦遭到泄露、非法使用，将使信息主体的名誉、身心健康受到损害或使信息主体遭受歧视性待遇，如地理位置信息、身份识别信息、财产信息等。中敏感区所对应的个人信息的敏感程度仅次于私密信息的敏感程度。对这一部分敏感信息应施加次强同意模式，其实质要件与强同意模式相同，形式要件采用概括的明示同意，是否需要采用书面形式可综合考虑使用主体、使用目的等因素。第三，低敏感区对应除敏感信息以外的一般信息，施以弱同意保护模式。这类信息主要是指尚未明确纳入法律法规保护范围或者用于支撑组织运营管理和业务开展的个人信息，如不可识别的个人基本资料、上网记录（点击记录、网站浏览记录等）、消费习惯等信息。它们对信息主体影响较低，但如果没有收集到此类信息则会影响正常业务开展或组织运营管理，因此，信息处理者对此类信息的使用可以基于信息主体的默示同意，形式要件上只需取得选择性同意。这意味着，即便没有征得信息主体同意，也可认为其已默示同意。第四，非敏感区的个人信息属于不敏感信息。对该类个人信息的处理无需取得信息主体同意，因为这类信息的共享或使用通常不会对信息主体的个人荣誉、身心健康、财产状况等造成不良影响，如已被信息主体或政府公开披露的个人信息、从一般公开渠道可以获得的个人信息（如个人信用评价信息、申请法律援助信息、教育背景信息、脱敏后的信息、社交信息等）。

2.动态判断基准二：基于个人信息处理环节区分的分段同意规则

个人信息处理的全生命周期包括采集、存储、分析、应用等多环节。目前，同意规则主要适用于数据采集阶段，然而，该阶段并非造成个人信息权益损害的直接来源。数据处理包括头部的收集环节，中部的存储、加工、分析等环节，尾部的传播、公开等环节。就法益保护而言，头部收集环节应采用强同意模式，中部处理环节应采用弱同意模式，尾部使用环节应采用次强同意模式。

第一，当个人信息进入头部环节时，其仍然停留在原始数据形态，数据与信息主体本身尚未分离，个人信息仍然可以被识别，尤其是高敏感区和中敏感区的信息存在较大隐私风险，易面临推理攻击、通信跟踪、身份泄露、反匿名攻击等。此外，由于这一阶段的原始数据权属仍然属于信息主体，其有权对信息进行事实上的占有与控制，包括有权决定何种个人信息基于何种目的被采集、是否同意采集等，因此，这一阶段的个人信息处理活动应满足强同意要求，即信息处理者须获得信息主体的单独同意或明示同意。第二，在进入中部环节后，信息处理者通过汇集性处理，将数据与信息主体相剥离，原始数据的实质内容与基础形态会发生变化。信息处理者通过加工、处理与分析，进一步将个人信息转化为不特定、集成化的衍生数据集。这一阶段的数据既不属于个人信息范畴，不具有可识别性，也不涉及个人信息的被使用，仅仅是对信息进行脱敏化处理与数据分层，只需获得信息主体的概括性默示同意。第三，到了最后的尾部环节，衍生数据通过传送、应用、公开等渠道得以共享开放或开发利用，从而转化为具有市场效应的商业产品或具有社会效应的公共产品。由于衍生数据被赋予产品属性，信息处理者基于生产劳动的投入所创造的价值应当得到法律保护。因此，在这个环节中，应承认信息处理主体包括公共主体与市场主体对数据产品行使使用、运营、传播与公开等积极权能，此时需对个人信息处理采取次强同意模式。

3.动态判断基准三：基于个人信息处理者性质区分的分类同意规则

个人信息的公共属性与私人属性的双重面相，决定了在探讨个人信息处理规则时无法绕开“群己权界”的问题。群己权界源自于政治学，建制化的国群、市民社会、政治国家与个体化的公民形成权力边界。在此之下，个人信息使用面临两种交往模式：一是面向以政府为代表的公共利用模式；二是面向以营利企业为代表的私人利用模式。因而，在判断对同意规则进行强化处理或淡化处理时，需对公共主体与市场主体的性质加以区分。

第一，针对公共主体对个人信息的公共利用，应侧重同意规则的责任性，借助使用目的区分同意强度。由于个人信息具有社会性与公共性，故公共主体为实现维护国家安全、社会安全与公共利益，履行公共管理职责，促进公共福利与公共服务等目的，往往会对个人信息加以利用。在这种情况下，如果仍然将同意规则作为前置规则，要求公共主体在处理个人信息时需提前获得信息主体的明示同意，无疑会提高公共管理成本，从而迟延公共服务供给。因此，既有法律法规规定，公共主体为实现履行职责、维护社会公益和国家利益等目的而利用个人信息时，可以基于“合法利益豁免”原则免除其征得信息主体同意的义务，私权利社会中的个人自愿原则不适用于此类数据应用场景。笔者认为，对公共主体使用个人信息的情形，若完全排除同意规则的适用，并不符合分配正义原则。对信息主体而言，当公共主体将个人信息作为公共物品加以利用时，仅弱化了信息主体对稀缺性数据的竞争性占有，并非完全否定信息主体的数据权益。回归到数据利用的本质，公共主体使用个人信息的正当性事由是履行一定的公共职责，这意味着不同使用目的应成为公共主体在处理个人信息时遵循何种同意规则的判断标准。

可依据公共主体使用个人信息的不同目的，如履行内部行政管理职责、履行对外部特定主体的公共职责、履行社会公共管理职责、履行国家治理职责，进一步区分同意要求。第一，就履行内部行政管理职责而言，当公共主体使用个人信息是为了完成内部行政管理职责以维持公共主体正常运转时，如房地产管理部门对个人财产信息的使用、卫生部门对个人医疗信息的使用以及公安机关对个人身份信息的使用等，只需征得信息主体的概括性明示同意。第二，就履行对外部特定主体的公共职责而言，公共主体对个人信息的使用具有针对性、指向性与法定性，包括授益行政行为或不利行政行为等，需信息主体的单独性明示同意。第三，就履行社会公共管理职责而言，当公共主体基于维护社会公共利益的需要使用个人信息，且使用个人信息具有紧急性、必要性、重大性且广泛性时，如应对突发事件等情形，只需征得信息主体的概括性同意，无需取得其单独同意。第四，就履行国家治理职责而言，公共主体使用个人信息无需征得信息主体同意。因为，相较于社会，“国家”是一种更高形式的文明发展，所以，国家政治职能、经济职能与国防职能等致力于实现的国家利益是一种高于社会利益的共同善。

第二，针对市场主体对个人信息的商业使用，应侧重同意规则的财产性，借助利用层级区分同意强度。个人信息除了具有公共属性外，其私人属性与可转让性亦为信息交易提供市场化的可能性。相对于欧盟的保护主义，美国的个人信息保护法较为鼓励商业利用，如伊利诺伊州出台了专门针对生物识别信息商业利用的《生物特征信息隐私法》。我国也在2020年出台《中共中央  国务院关于构建更加完善的要素市场化配置体制机制的意见》，明确提出数据要素市场化，培育数据开发利用的场景。相较于公共主体，市场主体对个人信息的利用一般是以营利为目的的增值开发。为了充分释放数据的市场价值，往往需要借助市场链条将个人信息转化为商业数据，从而优化企业的资源配置与信息决策。在这一过程中，如果严格适用同意规则，将无法实现个人信息向商业数据的有效转化，也会严重抑制企业挖掘大数据价值的原始动力；如果规避同意规则的适用，则会损害信息主体的数据权益。对市场主体而言，数据利用的根本目的在于挖掘数据的财产性价值，而数据利用层级则决定了数据财产性价值创造的空间。

因此，针对市场主体的个人信息利用场景，应将同意转化为财产性同意，根据利用层级调整同意规则。展开而言，可将数据的利用层级划分为禁止利用、初始阶段的必要利用、使用目的内的二次利用与超出使用目的的二次利用四个层级。第一个层级是禁止利用。对特定个人信息中人格属性较强、不可让渡给他人、受到法律严格保护的一部分私密信息，禁止其流通或被共享，对此类信息不适用同意规则，即便信息主体作出同意也无效。第二个层级是初始阶段的必要利用。《常见类型移动互联网应用程序必要个人信息范围规定》首次提出“必要个人信息”的概念，即“保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务”，并罗列出地图导航、网络约车、即时通信、网络支付、网上购物、餐饮外卖、交通票务、求职招聘等39类常见App的必要个人信息收集范围。此处的必要个人信息收集范围是根据App服务功能及消费侧用户使用需求加以确定的，某一个人信息与App服务功能和用户使用需求更密切的，则其被收集的必要性较高。这类信息由于涉及App正常服务功能与用户使用需求的实现，因此是服务提供商基于用户与其约定的使用目的，按照业务流程正常采集的必要信息，符合信息主体对个人信息使用的“合理期待”，因此只需取得用户的单独性默示同意即可。第三个层级是使用目的内的二次利用。二次利用是指信息处理者在初次利用的基础上对个人信息再次加工、分析与处理的过程。由于二次利用是建立在个人信息初次利用的基础上，而初次利用已获得信息主体的同意授权，此时信息处理者在约定的使用目的内，对原始数据深度处理以激发原始数据价值最大化，具有一定正当性。基于二次利用的数据价值，如果此时适用严格同意规则，则会限制数据流通，不利于公用或商用的数据红利的释放。此时，只需获得信息主体的概括性默示同意即可。第四个层级是超出使用目的的二次利用。该场景下的数据处理虽建立在初次利用基础上，但对原始数据的二次利用已经超出约定的使用目的，在信息处理目的上不具有正当性，也无法获得信息主体的“合理期待”。此时，数据利用应重新获得信息主体的单独性明示同意。

（三）场景细分基准的体系衔接：递进判断

同意规则的动态适用极易导致上述三个判断基准的交叉适用，此时需要进一步判断某一特定的个人信息处理场景，最终应适用哪个判断基准。事实上，上述三个判断基准并非相互分立与相对封闭，而是应当依据大数据分析的生命周期“原始数据（个人信息）—衍生数据（匿名化后的数据集）—数据产品（与第三方共享）”形成体系化衔接。信息类别与使用主体是依托于数据分析阶段存在的。换言之，由于数据采集阶段保留个人信息的原始形态，因而产生了进一步区分信息类别的必要性，由于不同使用主体对个人信息的使用诉求不一致，因而在使用阶段产生了进一步区分使用主体的必要性。

那么，在应用场景中如何选择最终适用的判断基准或同意规则呢？此时需要依据个人信息处理的动态过程进行分步骤的递进判断。展开而言，第一步，先判断数据应用场景属于何种阶段。第二步，在具体应用场景下进一步判断其他关联指标。如果处于数据采集阶段，则应采用强同意模式，而具体的同意要求应取决于不同类别信息的采集。如果处于处理阶段，则整体采用弱同意模式，以概括性默示同意的方式对个人信息加以分析、脱敏、归纳等处理，不需要区分其他判断基准。如果进入使用阶段，则采取次强同意模式，依据个人信息处理者性质（公共主体与市场主体）的不同，进一步区分具体的同意要求。第三步，区分不同个人信息处理者对个人信息的使用目的与利用层级，分别是公共主体使用个人信息的目的与市场主体利用个人信息的层级。从这个递进判断来看，越后面的步骤判断越接近同意规则最终适用的结果，同时也是不断缩小（细分）同意规则弱化适用的场景的结果。

五、效度保障：同意规则弱化适用后内在构造与外在关系的制度完善

同意规则弱化适用的场景细分，本质上是将个人信息处理的风险后果与法律责任通过动态体系内部判断基准的具体化、动态化与权重化，均衡配置给不同类别信息、不同处理阶段与不同使用主体。在此基础上，进一步借助责任性同意规则与财产性同意规则重新调整信息主体对信息处理规则的“合理期待”，进而为数据保护与数据利用提供价值平衡的立法安排。但适用弱化后，同意规则在具体实践中可能面临实效性问题。为了确保同意规则作为实质规范的法治意义，未来应从内在构造与外在关系上强化其适用效度。

（一）内在构造的完善

首先，应在程序上确保同意执行的便利性。我国《个保法》第15条规定，信息处理者应当提供便捷的同意撤回方式，却没有保障同意执行的便利性。而导致同意规则的适用趋于形式化的主要原因正是同意执行机制的异化，如冗长的隐私政策、复杂的界面操作、过载的信息体量等，这些都在不同程度上导致同意规则适用的非便利性与非真实性。因此，同意规则的实践应用应当从隐私政策中剥离出来，信息处理者在处理个人信息时应向信息主体提供单独的同意声明。其应明确记载同意作出的形式，个人信息处理的内容、方式、目的、期限和场景，信息处理者的姓名（名称），作出同意可能会给信息主体带来哪些后果或影响，同意作出后信息主体享有的具体权利或救济机制等。

其次，应在实体上明确同意能力的判断标准。若将同意界定为信息主体积极处分的权能，那么，信息主体有无同意能力会影响个人信息处分效果。信息主体是否具有同意能力，关键在于能否认识到行为后果，即有无识别能力，而这需要根据案件的具体情形予以个别的判断。目前，欧盟GDPR第8条欧盟GDPR第8条与我国《个保法》第31条分别对不满16周岁的儿童与不满14周岁的未成年人的个人信息处理同意能力进行限定，但在追认儿童或未成年人的同意效力上规定了不同的方式。二者都承认父母的同意对个人信息处理行为合法性的追认，但欧盟将其限定在父母授权儿童同意的范围内，父母也可以追认其未成年子女同意行为的效力。而我国《个保法》则进一步扩充规定，其他监护人的同意也可以使信息处理行为合法化。但在事实上，既有立法都存在一刀切的弊端。未来立法应针对因年龄或疾病而导致同意能力欠缺的民事主体的不同个人信息处理行为，区分适用同意规则。

（二）外在关系的协调

1.同意与其他合法性基础的关系协调

目前，《个保法》第13条将个人信息处理行为的合法性基础划分为基于同意（《个保法》第13条第1项）与基于法定许可（《个保法》第13条第2项至第7项）两种。一部分学者将二者界定为原则（基于同意）与例外（基于法定许可）的关系。笔者认为，二者属于并行条款，只能择一适用，此外，前者对后者具有拘束力。当前，我国个人信息规范体系中关于个人信息处理的两种合法性基础，即基于同意与基于法定许可，此二者之间的关系，在立法中并不明朗。《民法典》第1035条第1款第1项规定，处理个人信息必须征得自然人或者监护人同意，但法律、行政法规另有规定的除外。很显然，该规定中所谓“法律、行政法规另有规定的”情形应当包括《个保法》第13条第2项至第7项所规定的情形，即基于法定许可的个人信息处理，也就是说，这几类情形属于无须征得自然人同意的情形。但是在《个保法》第13条中并没有明确指出第2项至第7项规定的情形无须征得本人同意，在体例安排上并没有将基于法定许可的个人信息处理作为基于同意的个人信息处理的例外情形。换句话说，这其实赋予了信息处理者选择询问信息主体是否同意的自由，并且一旦选择后，二者不可相互转化。也就是说，如果信息处理者在此情况下依然选择询问信息主体是否同意，信息主体作出同意后又选择撤回同意，那么，信息处理者应受同意撤回的法律拘束。根据欧盟第29条工作组《对第2016/679号条例下同意的解释指南》，如果控制者将其任何处理活动都依赖于同意这一基础，那么，其必须做好尊重该选择的准备，且应在信息主体撤回同意时立即停止相应部分的数据处理。也就是说，控制者不能从同意转换到其他法律基础，在同意有效性遇到问题的情况下，不能追溯利用合法利益来证明处理的合法性。不仅如此，《个保法》第29条关于处理敏感个人信息的规定，只承认单独同意作为处理敏感个人信息的合法性基础。如果此时单独同意不具有可执行性，那么，敏感个人信息的紧急处理是否有其他合法性基础？这点也应当在未来立法中补足。

2.同意规则与告知规则的关系协调

根据《个保法》第14条的规定，同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。”同意的作出建立在信息主体充分知情的基础上，知情是同意的前置条件。但在实践中，告知内容的模糊性加剧了“同意”的不自由，告知方式的强硬性锐化了“同意”的不真实。可见，为了使同意规则的执行具有实效性，必须同时保障告知规则的实质化。一方面，应将知情权引入《民法典》，将此权利法典化，与《个保法》第44条形成对应。另一方面，应将第三方处理个人信息的情形纳入知情权保障范围。我国《个保法》所构设的主体关系主要围绕信息处理者与信息主体展开，对第三方即数据中间商的立法规制较为薄弱，而在实践中，很多数据中间商对个人信息进行二次利用，因这种对个人信息的利用与信息主体无直接关联，故处于监管真空状态，这不利于信息主体充分知悉个人信息的处理情况。未来，立法应赋予第三方独立的法律责任主体地位，强化其信息义务。

《法制与社会发展》2022年第6期目录摘要