江書曄

(華僑大學(xué)法學(xué)院 福建泉州 362021)

1 問題的緣起

在現(xiàn)代社會，網(wǎng)絡(luò)世界的數(shù)據(jù)量井噴式增長，大數(shù)據(jù)在全球范圍內(nèi)引領(lǐng)社會變革.個人信息也深受影響，在大數(shù)據(jù)背景下被賦予了新的含義，逐漸以數(shù)據(jù)的形式出現(xiàn).此時，由于對個人信息的需求劇增，信息主體個人信息權(quán)益的保護與信息處理者利用個人信息的需求之間就會矛盾頻發(fā).

由于信息的數(shù)字化，使得個人信息的價值越來越高.但是，伴隨著個人信息的商品化，信息主體與信息處理者之間信息不對稱的弊端愈發(fā)凸顯，個人無法有效控制其個人信息的使用.有學(xué)者將這種在個人信息市場上出現(xiàn)的信息不對稱現(xiàn)象稱之為“市場失靈”[1].為了平衡這種信息不對稱的局面，在個人信息保護的法律體系中，知情同意規(guī)則應(yīng)運而生.

知情同意規(guī)則也稱“告知同意規(guī)則”，指的是任何組織或個人在處理個人信息時都應(yīng)當告知信息主體，在取得其同意之后，方可從事相應(yīng)的個人信息處理活動，否則這樣的處理行為是違法的，除非法律、行政法規(guī)另有規(guī)定.這個規(guī)則也被程嘯教授[2]認為是《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)的基本規(guī)則.知情同意規(guī)則包含知情與同意兩部分，二者之間是先后關(guān)系，即信息主體只有知情了才有構(gòu)成同意的可能.在個人信息保護中，知情同意規(guī)則在本質(zhì)上體現(xiàn)為權(quán)利人對于其個人信息的支配權(quán)，而且這種支配權(quán)具有獨占性[3].在知情同意規(guī)則的規(guī)制下，需要信息處理者自覺遵守知情同意規(guī)則.如此，既滿足了信息主體對于個人信息的支配權(quán)，信息處理者也可以將自己收集的個人信息轉(zhuǎn)化為經(jīng)濟上的動力，這對于現(xiàn)階段我國的數(shù)據(jù)技術(shù)和數(shù)據(jù)產(chǎn)業(yè)的發(fā)展極為重要[4].

因此，知情同意規(guī)則的有效實施對于信息主體而言，有利于民事權(quán)益的尊重和保護，對于信息處理者而言，對個人信息的利用可以幫助其實現(xiàn)經(jīng)濟效益；對于公權(quán)力機關(guān)而言，還可以滿足數(shù)字政府對于個人信息合理利用的需要，提高政府行政服務(wù)和管理水平，優(yōu)化國家治理能力[5].然而，雖然知情同意規(guī)則已經(jīng)被納入我國《個人信息保護法》體系之中，但當下推進這一規(guī)則的有效實施仍存在掣肘，有必要審慎考慮完善之路徑選擇，以促進知情同意規(guī)則真正有效落地，實現(xiàn)規(guī)則的利好.

2 阻礙個人信息保護中知情同意規(guī)則有效實施的問題

2.1 知情權(quán)難以被充分保障

2.1.1 信息處理者未盡到合理的告知義務(wù)

信息處理者的告知與信息主體的知情是一體兩面的，因此信息主體知情的程度取決于信息處理者告知的程度.但是，信息處理者在市場經(jīng)濟中，大部分都以經(jīng)營者的角色出現(xiàn)，出于天生逐利的需求，一般不會輕易向信息主體“妥協(xié)”，告知其處理信息的所有關(guān)鍵事項.

而且，即便信息處理者履行了告知義務(wù)，但基于信息壁壘，信息主體也很難全然了解其告知的內(nèi)容.比如，經(jīng)營者往往以一份格式化文件的方式進行告知，告知的目的并非出自其內(nèi)心真實的意思，僅僅是為了規(guī)避法律監(jiān)管而進行的帶有“走過場”性質(zhì)的告知[6].而基于信息不對稱，信息主體即使明知這種告知帶有敷衍性，也很難從對方提供的這份“嚴絲合縫”的條款中找出錯漏之處.

雖然《個人信息保護法》第17條明確規(guī)定了信息處理者告知的語言必須“以顯著方式、清晰易懂”，告知的程度必須“真實、準確、完整”.但是，尚停留在“宣示”層面.換言之，現(xiàn)有的法律體系并未規(guī)定如果沒有盡到這個義務(wù)需要承擔(dān)怎樣的法律后果.而缺乏威懾力的規(guī)定，執(zhí)行力自然也相對較弱.因此，在實踐中信息處理者未盡到合理告知義務(wù)的現(xiàn)象屢見不鮮.

2.1.2 算法的出現(xiàn)加劇知情權(quán)保障難度

數(shù)據(jù)是信息的載體.而在大數(shù)據(jù)時代，數(shù)據(jù)也逐漸成為社會的生產(chǎn)要素，是比石油更加珍貴的資源.信息處理者依賴算法技術(shù)，通過大量收集個人信息對不同群體進行分類，實施“一人一價”的價格歧視行為.知情同意規(guī)則的立法初衷是為了保障信息主體的合法權(quán)益，而由于其未能被有效實施，信息處理者反客為主，讓“同意協(xié)議”成為自己的“保護傘”，主張其已經(jīng)通過告知條款使信息主體知曉并同意，無需為對方受到的不利后果擔(dān)責(zé)[7].

知情是同意的前提和基礎(chǔ).而信息主體與信息處理者之間，由于對信息處理的知識水平和控制能力判若云泥，二者之間存在巨大的“數(shù)據(jù)鴻溝”[8]，知情權(quán)難以得到充分保障.“皮之不存，毛將焉附”，同意的意思表示真實性自然也會存在嚴重不足.

而所謂的“同意協(xié)議”由于欠缺信息處理者真實的意思表示，也就不能將其等同于是信息主體在知情的情況下所作出的同意.但是，在法庭上，信息主體主張自己“缺乏同意”畢竟具有主觀色彩，司法機關(guān)裁判案件也不能憑借一方在主觀立場上的“一面之詞”，只能依靠相對客觀的“同意協(xié)議”進行裁決.在這種情形下，信息主體就容易被迫淪為“冤大頭”.

2.2 同意權(quán)的行使存在局限

2.2.1 用戶告知條款中的知情同意規(guī)則被架空

同意要求信息主體出于其真實的意思表示.只要信息主體對于信息的收集和處理表示同意，就需要對于后續(xù)產(chǎn)生的風(fēng)險及其造成的結(jié)果自我答責(zé)[9].但是，在實踐中常見的情況是，信息主體對于信息處理者存在較強的服務(wù)依賴，導(dǎo)致信息主體缺乏這種表意自由[10].如果信息主體不同意就無權(quán)正常使用軟件的功能.信息處理者將信息主體對個人信息的同意與其正常使用軟件的權(quán)利相捆綁.而信息主體出于使用軟件的需要不得不接受，此時的同意就淪為無可奈何、不得以的同意，知情同意規(guī)則在無形中被架空.更甚的是，即便在這種同意機制被虛置的情況下，信息主體仍需要為自己的行為擔(dān)責(zé)，落入“人為刀俎，我為魚肉”的境地.

2.2.2 信息的二次處理難以實現(xiàn)知情同意

信息的二次處理，也就是信息的“二次開發(fā)利用”，其產(chǎn)生的價值因信息的數(shù)字化而不斷提升：一方面，信息處理者對于收集的個人信息如何使用往往不為外界所知曉，在每次改變使用用途時都征得同意，明顯不具有客觀上的可行性.而且，由于已經(jīng)獲得信息主體的同意，信息處理者可以更加毫無忌憚地去使用個人信息，因為風(fēng)險最終還是會轉(zhuǎn)嫁到信息主體身上.另一方面，由于個人信息在大數(shù)據(jù)變革中被賦予的再分析價值[11]，不論是信息主體還是信息處理者，在收集數(shù)據(jù)時都無法預(yù)見到這些信息的潛在用途，那就更不存在提前進行知情同意的可能[12].

2.3 知情同意規(guī)則運行成本過高

2.3.1 經(jīng)濟成本過高

不同于信息處理者對于技術(shù)理解上的優(yōu)勢地位，信息主體在理解信息處理者提供的告知內(nèi)容時，本身就存在結(jié)構(gòu)性的“數(shù)據(jù)鴻溝”.信息處理者為了規(guī)避自己的責(zé)任會采取各種手段，以極其抽象化的語言來描述自己的用戶告知條款，在技術(shù)手段上利用各種彈窗來誘使信息主體的同意.

一方面，這種更進一步地將告知條款抽象化無疑是將“鴻溝”無休止地拓寬.信息主體要想讀懂這些經(jīng)過“多重包裝”的條款就必須耗費無法估量的時間成本，甚至即使耗費了時間成本也很難揭示這些條款背后想要表達的實際內(nèi)容.另一方面，彈窗的誘導(dǎo)性更容易使信息主體無意識地掉入引導(dǎo)同意“陷阱”之中，畢竟很難有信息主體可以在彈窗顯示“為了提升您的用戶體驗”等對于自己有利的提示詞時，還可以理性地作出選擇.

這種情況下，看似付出經(jīng)濟成本的只有信息主體，其實不然.信息處理者不論是為了“包裝”自己的告知條款，還是設(shè)置層層的誘導(dǎo)式彈窗都意味著其經(jīng)濟成本的增加[13].概言之，這種成本的增加，除了包括信息主體閱讀告知條款的高成本，還包括信息處理者沉重的運營負擔(dān).知情同意規(guī)則設(shè)置的出發(fā)點是為了平衡信息保護與信息利用之間的矛盾.然而，在利益博弈之中卻加重了雙方的經(jīng)濟成本負擔(dān)，不免擔(dān)心知情同意規(guī)則異化的風(fēng)險.

2.3.2 社會成本過高

所謂的社會成本指的是，權(quán)衡信息主體的信息保護與信息處理者的信息利用之間所產(chǎn)生的成本.基于知情同意規(guī)則，如果想要利用信息主體的個人信息就必須征得同意.而逐一獲取信息主體的同意在這過程中成本的增加是無可厚非的[14].有學(xué)者提出，如果處理公開的個人信息必須履行告知義務(wù)，那么不免有點強人所難.因為信息的來源往往非常廣泛，如果信息處理者一一去聯(lián)系信息主體，且不談在聯(lián)系上存在難度，還有可能會涉及侵害他人的生活安寧.

除此之外，倘若信息的流通受阻，那么倚重個人信息生產(chǎn)經(jīng)營的信息處理者就無法進行正常的生產(chǎn)活動，可能會影響生產(chǎn)積極性.總而言之，知情同意規(guī)則在一定程度上會使信息的自由流通受阻，增加了信息流通的社會成本.

3 個人信息保護中知情同意規(guī)則的域外經(jīng)驗借鑒

3.1 域外個人信息保護中知情同意規(guī)則的對比

3.1.1 立法價值取向

歐盟對于個人信息權(quán)益的態(tài)度傾向于保護，而美國更傾向于崇尚行為自由，其對信息最重要的憲法保障之一就是數(shù)據(jù)的自由流動[15].這二者對于個人信息保護的態(tài)度反映出大西洋兩岸的法律文化差異[16].有學(xué)者[17]還明確提出，歐盟對于個人信息法律規(guī)制的覆蓋范圍之大，美國尚沒有任何一部信息法能與之匹敵.歐盟對于個人信息在保護上的過分強調(diào)，實際上造成了信息流通在一定程度上受到阻礙.而美國由于更加注重維護信息的利用價值，知情同意規(guī)則倚重的是行業(yè)自律機制，因此在信息行業(yè)的發(fā)展上也更加占據(jù)優(yōu)勢.

3.1.2 公民個人信息保護的同意機制

歐盟的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)對于個人信息保護的同意上采取的是明確的選擇進入(opt-in)機制，經(jīng)營者在收集信息主體的個人信息之前，必須要取得用戶明確的同意[18].在同意之后，信息主體與信息處理者之間才會達成合同關(guān)系這一合法性的基礎(chǔ).

而美國采取的是選擇退出(opt-out)機制.美國《加利福尼亞消費者隱私法》(California Consumer Privacy Act, CCPA)授予信息主體選擇退出權(quán)(right to opt-out)，用戶可以決定是否同意信息處理者進一步收集信息.這種知情同意模式比GDPR寬松靈活得多[19]，信息主體可以在不斷變化的信息社會，根據(jù)實際情況綜合判斷是否繼續(xù)授權(quán)信息處理者處理自己的個人信息.

3.1.3 知情同意的適應(yīng)程度

GDPR是在2016年通過的，當時的技術(shù)水平還不夠成熟，信息主體個人信息的數(shù)量范圍也很有限.由于信息時代瞬息萬變，原有的信息類型已遠遠不能滿足信息時代的需要，增加了許多前所未有的信息類型，比如指紋識別、面部信息等，即在立法層面顯示出相對滯后的缺陷.相比之下，2018年通過的CCPA所采用的是自律機制，與立法機關(guān)制定的法律相比，行業(yè)之間的規(guī)章具有靈活性的優(yōu)勢，更容易根據(jù)時代的變化進行適應(yīng)性調(diào)整.同時，還賦予了信息主體可以刪除的權(quán)利，信息主體可以實現(xiàn)在信息處理過程中隨時調(diào)整同意授權(quán)，避免知情同意規(guī)則的僵化.

3.2 個人信息保護中知情同意規(guī)則的域外經(jīng)驗

3.2.1 明確信息主體同意的條件和形式

歐盟在立法中明確規(guī)定了信息主體同意應(yīng)具備的條件，申言之，信息主體所作出的同意之意思表示必須是自由的、明確的、具體的.而且，根據(jù)不同信息的敏感程度不同，信息主體同意的形式也存在差異.對于一般信息，信息主體可以采取概括式同意，而對于敏感信息，采取的同意則必須是1對1的單獨授權(quán)才符合條件.如此，根據(jù)分級的信息類型去劃分同意的形式，可以大大提高同意的有效性，避免僵化式的同意帶來的對成本的過分負擔(dān).

3.2.2 鼓勵行業(yè)自律

實現(xiàn)自律，意味著在國家立法之外，通過社會組織自發(fā)建立自律規(guī)范以規(guī)范自身行為[20].美國由于其成熟的市民社會的自由傳統(tǒng)以及多元化的社會結(jié)構(gòu)，企業(yè)能夠?qū)崿F(xiàn)的自律程度較高，因此對于個人信息的保護可以以企業(yè)的自律性為依賴.但是，對于現(xiàn)階段的我國企業(yè)而言自律性尚不足，因而仍然需要依賴政府作為個人信息保護的監(jiān)管者.張新寶教授[21]也認為，應(yīng)該借鑒GDPR的經(jīng)驗，采取以預(yù)防為主和全程控制的國家治理框架，設(shè)立獨立的數(shù)據(jù)保護機構(gòu)[22].

但從長遠角度考慮，即使我國缺乏自律的傳統(tǒng)和理念，民間團體的發(fā)育也不夠健全，社會自治的能力也不那么強，仍然應(yīng)該積極培養(yǎng)信息行業(yè)的自律管理.首先，信息行業(yè)的信息處理者可以現(xiàn)階段的知情同意規(guī)則為依據(jù)，結(jié)合自身經(jīng)營的具體情況，制定更加細化且具有針對性的知情同意適用準則，向信息主體加以提示和說明.其次，行業(yè)制定的自律規(guī)范經(jīng)過在實踐中反復(fù)檢驗并不斷調(diào)整之后，還可以成為立法機關(guān)完善立法的有益經(jīng)驗，使得立法能夠充分了解創(chuàng)新發(fā)展需求，避免規(guī)范出臺后過分扼殺企業(yè)創(chuàng)新之活力.相反，能夠制定出既適應(yīng)企業(yè)發(fā)展之所需、又能保障信息主體個人信息權(quán)益的知情同意規(guī)則體系.

3.2.3 建立動態(tài)同意機制

由于信息處理者在作出告知時并不能預(yù)見到之后對于個人信息的使用情況，因而當時的告知存在時間限制性.而要想化解這種局限性，建立起動態(tài)同意機制無疑是一項可行之策.質(zhì)言之，信息主體即使在作出同意之后，也可以決定繼續(xù)行使同意權(quán)或者撤回原來同意之意思表示.當然，與動態(tài)同意機制相對應(yīng).信息處理者也需要使自己的告知動態(tài)化，及時更新自己的告知事項，以更好維護信息主體的個人信息權(quán)益.對于其自身而言，盡到告知義務(wù)也可以規(guī)避后續(xù)糾紛的發(fā)生.

對此，我國也有學(xué)者提出，知情同意規(guī)則實際上遵循的是私法路徑，但是私法倘若要保障個人信息的合理流通和使用，還要結(jié)合具體場景進行傾斜性保護[23].比如，在具體制度層面，賦予諸如同意的撤回權(quán)這種具體的權(quán)利保障.

3.2.4 引入經(jīng)濟激勵機制

CCPA規(guī)定了當信息主體禁止信息處理者出售其個人信息時，信息處理者可以采用經(jīng)濟激勵機制鼓勵信息主體不行使這些權(quán)利.該機制下適用的信息是對于信息處理者而言預(yù)期收益最大、對信息主體而言又是可以讓渡的信息.而這個機制相當于是為雙方搭建的一個平臺，目的是讓二者可以通過協(xié)商尋求雙贏[24].

信息處理者為了激勵信息主體讓渡所需的信息必定會盡全力說服信息主體，在告知時其內(nèi)容會更加詳盡具體，使其更具備吸引力.這樣，告知的質(zhì)量就會得到提升.而在激勵機制影響下的信息主體也會意識到個人信息的市場價值，作出的同意也會更加慎重.由此看來，經(jīng)濟激勵機制平衡了信息主體的人格利益與個人信息的經(jīng)濟利益，可以成為推進知情同意規(guī)則有效實施的補充性方案.

3.3 總 結(jié)

無論是歐盟從“人的尊嚴”為出發(fā)點的個人信息保護理論，亦或是美國以個人自由為出發(fā)點的隱私保護理論，制度構(gòu)建的基礎(chǔ)都是知情同意規(guī)則[25].因此，GDPR和CCPA的規(guī)定對于我國都有一定的借鑒價值.而且，我國作為世界上唯一一個在立法上明示個人信息的收集使用必須經(jīng)過信息主體的同意，而將同意一般化的國家[26].探究歐盟與美國在知情同意規(guī)則制度層面的經(jīng)驗，對于我國推進知情同意規(guī)則的有效實施具有借鑒意義.

當然，需要明確的是，GDPR和CCPA雖都是目前為止在全球范圍內(nèi)具有廣泛影響力的個人信息保護法.但由于各國的具體情況不同，在執(zhí)行過程中也不能盲目地全然照搬[27].概言之，我們在借鑒經(jīng)驗過程中也要堅持批判的態(tài)度，尋找具有中國特色的知情同意規(guī)則的規(guī)制路徑.

4 個人信息保護中知情同意規(guī)則有效實施的路徑選擇

4.1 切實保障知情權(quán)的實現(xiàn)

4.1.1 信息處理者實際履行告知義務(wù)

知情同意的前提是信息主體知情，因此推進知情同意規(guī)則有效實施離不開對信息主體知情權(quán)的保障.《個人信息保護法》第17條也對信息處理者告知的內(nèi)容和方式進行了強制性的要求，以盡可能從立法層面平衡信息處理者與信息主體之間在信息技術(shù)能力上的不對等.

一方面，信息處理者利用其優(yōu)勢地位，制定紛繁復(fù)雜的告知條款已經(jīng)在實踐中司空見慣，有必要要求信息處理者必須以“顯著方式”呈現(xiàn)，禁止“捆綁式”的告知.易言之，禁止把告知的內(nèi)容隱藏在一大堆所謂的“隱私政策”之中.

另一方面，信息處理者另一種“打擦邊球”履行告知義務(wù)的方式就是把自己的告知內(nèi)容以彈窗的形式呈現(xiàn)，引導(dǎo)信息主體同意.如果信息主體不同意，這個彈窗就會無法實際關(guān)閉亦或關(guān)閉之后也會在后續(xù)使用軟件功能時頻繁跳出.對于這種頻繁跳出的彈窗提示，可以類比于《中華人民共和國廣告法》中彈窗廣告的規(guī)制.雖然目前我國的廣告法明確規(guī)定了“一鍵關(guān)閉”制度，但對于彈窗的數(shù)量、占屏面積、彈窗關(guān)閉之后多長時間后可以再次彈出均沒有詳細的規(guī)定[28].這種規(guī)定上的缺失使得頻繁跳出彈窗的行為泛濫成災(zāi)，嚴重影響互聯(lián)網(wǎng)用戶的正常體驗.因此，延伸到個人信息保護領(lǐng)域也會涉及到彈窗問題，亟需從“不得影響用戶正常使用”的角度出發(fā)，激活“一鍵關(guān)閉”制度，細化相應(yīng)的行為規(guī)范，避免讓彈窗成為信息主體的困擾，保障用戶的合法權(quán)益.

4.1.2 加強行政監(jiān)管與鼓勵行業(yè)自律并舉

信息社會中，由于技術(shù)壁壘、信息不對稱等多重因素的疊加，使得恃強凌弱的“叢林規(guī)則”暢通無阻，信息主體的知情權(quán)難以保障，被迫處于軟弱可欺的位置.信息主體所作出的同意也受其地位的影響，時常欠缺意思表示本應(yīng)具備的真實性.正如上文所述，從現(xiàn)階段我國的具體情況考慮，若想要對于個人信息保護領(lǐng)域進行監(jiān)管，不宜貿(mào)然使用美國式的行業(yè)自律的監(jiān)管辦法.缺乏適應(yīng)性的監(jiān)管辦法有可能導(dǎo)致監(jiān)管失靈.因此，目前采用加強行政監(jiān)管與鼓勵行業(yè)自律并舉的方式來保障信息主體的知情權(quán)，不失為一項更為切合我國實際的舉措.

其一，加強行業(yè)監(jiān)管.正如周漢華教授[29]所言，制定個人信息保護法的國家，一項重要的立法任務(wù)就是構(gòu)建有效的外部執(zhí)法威懾.行政性監(jiān)管對我國個人信息保護的重要性不言自明，《個人信息保護法》的第6章專門對于“監(jiān)管部門”進行專章規(guī)定.但是，從監(jiān)管部門來看，基本是按照個人信息所涉及的領(lǐng)域來劃分，這種“九龍治水”的局面導(dǎo)致在個人信息保護的監(jiān)管層面出現(xiàn)效果不彰之弊端.因而，也有不少學(xué)者結(jié)合域外的個人信息保護監(jiān)管實踐，提出了設(shè)立獨立的監(jiān)管機構(gòu)的建議[30].從政府規(guī)制角度而言，可以更好發(fā)揮政府監(jiān)管的功能；從行政法角度而言，也更能適應(yīng)大數(shù)據(jù)時代對于個人信息保護提出的新要求，同時對于推進國內(nèi)監(jiān)管與國際合作的共同發(fā)展大有助益.

其二，鼓勵行業(yè)自律.行政性監(jiān)管由于其自上而下的天然優(yōu)勢，在制度推行上可以在短時間內(nèi)高效發(fā)揮作用.但不可否認的是，在個人信息保護發(fā)展到一定階段之后，不宜將行政性監(jiān)管作為長期性的手段，而應(yīng)該順應(yīng)發(fā)展之規(guī)律，進入到更高層面的行業(yè)自律式監(jiān)管之中.信息行業(yè)的龍頭企業(yè)如果實現(xiàn)了行業(yè)自律，企業(yè)內(nèi)部可以通過設(shè)定的條款進行生產(chǎn)運營，其設(shè)立的用戶告知條款也將發(fā)揮“準立法”之功能.以現(xiàn)有的阿里巴巴為例，采取了行業(yè)自律之后就可以完全依靠自身的條款進行運營，而量身定制的條款顯然可以更加平衡個人信息保護與利用之間的關(guān)系；而平臺入駐商家與用戶之間若產(chǎn)生糾紛，也可以根據(jù)條款在中立的立場上解決糾紛.這在一定程度上可以極大節(jié)省司法資源，也能更高效地化解矛盾.由此可見，調(diào)動信息處理者進行自律式監(jiān)管能夠極大調(diào)動其積極性，將原本的外在約束轉(zhuǎn)化為內(nèi)生動力，更有效地推進個人信息之保護，推進知情同意規(guī)則有效實施.

4.2 行使同意權(quán)需要提高數(shù)字理性

在知情同意規(guī)則的規(guī)制下，信息主體同意之后個人信息會被信息處理者收集，會以始料不及甚至禍患無窮的方式進行利用.而實踐中，由于同意權(quán)往往沒有被信息主體以理性的方式作出，時常被視為是武斷的選擇，不利于個人信息保護[31].因此，信息主體同意權(quán)的有效行使對于激活知情同意規(guī)則至關(guān)重要.而信息主體在大數(shù)據(jù)時代中所作出的同意與否的意思表示，與其自身數(shù)字理性的高低程度息息相關(guān).簡言之，同意權(quán)的有效實施需要信息主體提高自己的數(shù)字理性.

在大數(shù)據(jù)時代，人與人之間即使沒有實際接觸也會因為信息的傳播和交流而產(chǎn)生互動.這種互動的更新轉(zhuǎn)變需要作為“理性人”的我們從關(guān)注個體轉(zhuǎn)向關(guān)注“關(guān)系”[32].在作出同意的決策之時信息主體不僅要注意保持慎之又慎，還必須考慮到這個決策所關(guān)乎到的一系列動態(tài)社會效應(yīng).

在知情同意規(guī)則無法有效實施的情境下，一般會出現(xiàn)的情況是，信息主體將自己享受經(jīng)營者的服務(wù)視為無成本的，即在面對信息處理者諸如“為了更好提升您的用戶體驗”這種提示時，都有占“便宜”的僥幸心理.在此過程中不知不覺就落入信息處理者的陷阱里.而如果想要破除信息處理者的陷阱，信息主體需要提高自身的數(shù)字理性，摒棄以往的觀念，重塑自身的理性.其中最關(guān)鍵的是客觀對待在大數(shù)據(jù)時代的信息主體與信息處理者之間的關(guān)系.

信息處理者提供服務(wù)時打著免費的招牌，給信息主體產(chǎn)生“無償性”的錯覺[33].其實，信息處理者提供的服務(wù)并非“免費的午餐”，而是需要支付客觀的對價，這個對價最為具象化的體現(xiàn)就是信息主體的個人信息[34]，有學(xué)者將此時個人信息發(fā)揮的功能稱之為對價功能[35].從積極方面看來，這個對價對于把個人信息視為“石油”的信息處理者而言，可以助力于互聯(lián)網(wǎng)行業(yè)的發(fā)展.但反觀之，這個對價的付出還有可能給信息主體未來的生活埋下風(fēng)險的種子.倘若信息主體提高了自身的數(shù)字理性，那么在面對信息處理者所提供的告知條款時就不會選擇無視，而會積極提高注意義務(wù)，客觀地作出決策.

然而，雖然提高數(shù)字理性對于知情同意規(guī)則的有效實施助益匪淺.但必須承認的是數(shù)字理性的提高是在實踐中不斷習(xí)得的.因為數(shù)字理性類似于個體自然人對于社會的認知角度和方式.傳統(tǒng)的認知方式已經(jīng)在實踐的反復(fù)運用中固化，難以被輕易改變.不能企圖迅速扭轉(zhuǎn)個體已經(jīng)運行良久的傳統(tǒng)認知模式，只能在擺正數(shù)字理性的基礎(chǔ)上，在社會生活的方方面面不斷學(xué)習(xí)深化、努力調(diào)整.當然，提高數(shù)字理性并非信息主體一人之責(zé).就信息處理者而言，在告知時仍應(yīng)該嚴格恪守法律的規(guī)定，刪繁就簡，明確告知信息主體有可能存在的風(fēng)險，并且這些告知的內(nèi)容不能只在彈窗里出現(xiàn)，而是應(yīng)該能夠使信息主體實現(xiàn)反復(fù)查閱.如此，才有可能淡化信息主體在認知上所存在的偏差，紓解知情同意規(guī)則背后天然存在的信息不對稱.除此之外，借鑒域外的經(jīng)濟激勵機制也有助于進一步提高信息主體數(shù)字理性中的交換意識.

4.3 降低知情同意規(guī)則的成本

4.3.1 降低信息主體的閱讀成本

在技術(shù)層面上，作為信息處理者在告知時，必須嚴格按照《個人信息保護法》的要求進行告知，比如將用戶告知條款中的重點內(nèi)容加粗或者以突出顯示的方式呈現(xiàn)，特別是關(guān)于獲取信息的范圍以及可能涉及的風(fēng)險，以方便信息主體快速抓取關(guān)鍵信息，從而減輕閱讀成本.

在認知層面上，信息主體應(yīng)該意識到信息處理者所盡到的重點標注功能畢竟有限，不可能事無巨細地予以標注.因此，信息主體在習(xí)得數(shù)字理性之時，也需要努力克服自身原因誘發(fā)的閱讀成本增加問題.推進知情同意規(guī)則的有效實施僅僅依靠在立法或者執(zhí)法領(lǐng)域的改變遠遠不夠，信息主體才是推動規(guī)則有效實施的主力軍，更應(yīng)主動肩負起自身的職責(zé)，這亦是有效保護個人信息權(quán)益的必經(jīng)之路.

4.3.2 降低信息主體的告知成本

現(xiàn)有的個人信息保護法律體系將個人信息分為敏感個人信息和一般個人信息2種類型.信息處理者在告知時也可以根據(jù)個人信息的敏感程度采取分類告知.

對于敏感個人信息必須采取單獨的1對1授權(quán)的形式，并且可以在技術(shù)上設(shè)置是否“確認同意”的二次同意，以“雙重關(guān)卡”的方式保證信息主體的同意是真實有效的.而對于一般個人信息，履行的告知義務(wù)就無需那么嚴格，可以讓信息主體對于自己的這類信息采取統(tǒng)一授權(quán)的“概括式”同意.這對于信息主體而言減輕了多次同意的程序性繁雜負擔(dān)；對于信息處理者而言也可以方便其對于信息的有效利用.

5 結(jié) 語

在大數(shù)據(jù)時代下，信息處理者對個人信息有利用需求，信息主體對個人信息有保護的權(quán)利[36].對于個人信息進行利用是司空見慣之事，但一旦重要信息發(fā)生泄露就會對信息主體產(chǎn)生極大威脅.為了找到信息保護與利用兩者之間的平衡點[37]，盡可能矯正信息主體與信息處理者之間在技術(shù)、信息、經(jīng)濟地位層面上不對等的局面，知情同意規(guī)則是一種妥當且可行的制度設(shè)計.

雖然現(xiàn)有的《個人信息保護法》已經(jīng)納入了知情同意規(guī)則，但推進知情同意規(guī)則的有效落地依然任重道遠，需要在結(jié)合域外經(jīng)驗的基礎(chǔ)上進行完善，并且還依靠信息主體和信息處理者雙方的共同發(fā)力.在保障知情權(quán)層面，信息處理者應(yīng)該實際履行告知義務(wù)，監(jiān)管上采取行政監(jiān)管與鼓勵行業(yè)自律并舉的方式.在行使同意權(quán)層面，需要信息主體提高自身的數(shù)字理性.最后，還需要不斷降低知情同意規(guī)則的經(jīng)濟成本.由此，最終才能推進個人信息保護中知情同意規(guī)則的有效實施，真正維護公民的個人信息權(quán)益.