姜盼盼 （ 吉林大學(xué)法學(xué)院 吉林 長(zhǎng)春 130012 ）

1 引 言

個(gè)人信息（又稱個(gè)人數(shù)據(jù)、個(gè)人資料）保護(hù)法中的當(dāng)事人同意，又稱告知后同意原則或者知情同意原則，一直以來(lái)被認(rèn)為是個(gè)人信息和隱私權(quán)保護(hù)的核心原則[1]，其制度設(shè)計(jì)的要義是從程序上強(qiáng)化當(dāng)事人的信息自決權(quán)[2]，增加個(gè)人信息處理的透明性[3]，真正地實(shí)現(xiàn)個(gè)人信息的自主性[4]。我國(guó)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱《指南》）、《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《規(guī)范》）等規(guī)范性法律文件皆對(duì)當(dāng)事人同意作出明確的規(guī)定，除此之外，歐盟《一般數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱GDPR)和德國(guó)《聯(lián)邦個(gè)人資料保護(hù)法》（以下簡(jiǎn)稱BDSG）也在立法上將當(dāng)事人同意居于核心位置[5]。然而，隨著信息科技、社交網(wǎng)絡(luò)、電子商務(wù)等新興網(wǎng)絡(luò)媒體的蓬勃發(fā)展，當(dāng)事人同意遭受到了諸多的質(zhì)疑和批判[6]，新興的網(wǎng)絡(luò)經(jīng)濟(jì)逐漸削弱了當(dāng)事人同意的功能[7]，使同意的外溢效應(yīng)無(wú)法有效應(yīng)對(duì)第三人的個(gè)人信息保護(hù)影響，以及同意的無(wú)限授權(quán)效應(yīng)無(wú)法有效應(yīng)對(duì)信息主體的個(gè)人信息保護(hù)影響[8]。概言之，這些問(wèn)題都根源于當(dāng)事人同意的有效性實(shí)現(xiàn)[9]，即如何確保當(dāng)事人作出一個(gè)有意義的同意行為[10]，基于此，本文分別從當(dāng)事人同意的表示方式、生效要件等這幾個(gè)維度，對(duì)我國(guó)與歐盟個(gè)人信息保護(hù)法中的當(dāng)事人同意展開(kāi)比較研究，最終為我國(guó)的個(gè)人信息保護(hù)法律制度構(gòu)建提出有效的建議，也希望對(duì)圖書館管理過(guò)程中的讀者信息保護(hù)有所裨益。

2 實(shí)踐難題：當(dāng)事人同意的外溢效應(yīng)和無(wú)限授權(quán)效應(yīng)

2.1 外溢效應(yīng)：締結(jié)同意之雙方以外的第三人信息自決權(quán)的保障落空

個(gè)人信息的正當(dāng)性處理，是擁有信息自決權(quán)的主體和處理個(gè)人信息的主體達(dá)成合意的結(jié)果[11]，無(wú)論是單方面的同意還是契約上的允許，二者都是通過(guò)當(dāng)事人的同意，而使侵害當(dāng)事人權(quán)利的行為正當(dāng)化而阻卻違法[12]，一旦當(dāng)事人同意的目的落空，其信息自決權(quán)就難以得到有效保障。一般情況，當(dāng)事人的同意發(fā)生在締結(jié)雙方主體之間，不會(huì)影響到第三人的信息自決權(quán)。然而，新興的互動(dòng)式電子商品在聲音及聲音內(nèi)容的采集上，會(huì)影響到第三人的信息自決權(quán)。以美泰（Mattel）公司推出的新款芭比娃娃——“你好芭比”（HelloBarbie）為例[13]，這款產(chǎn)品能記錄孩子們的對(duì)話內(nèi)容，再借助Wi-Fi將聲音內(nèi)容傳達(dá)到軟件公司ToyTalk，ToyTalk 公司通過(guò)研發(fā)的語(yǔ)音處理技術(shù)裝置，來(lái)分析孩子們的聲音內(nèi)容，進(jìn)而改善芭比娃娃回應(yīng)使用者的對(duì)話內(nèi)容[14]。為了便于討論，暫且將購(gòu)買產(chǎn)品且使用智能服務(wù)的使用者，叫做原始使用者，反之，叫做非原始使用者，又或者是締結(jié)同意之雙方以外的第三人。首先，原始使用者并不了解自己的個(gè)人信息會(huì)被第三方服務(wù)商采集，主觀上沒(méi)有意識(shí)到自己的個(gè)人信息被侵犯的風(fēng)險(xiǎn)；其次，原始使用者即使知悉第三方服務(wù)商會(huì)采集自己的個(gè)人信息，但對(duì)于原始使用者周圍的人們來(lái)說(shuō)，他們是非原始使用者，是締結(jié)同意之雙方以外的第三人，他們并不知悉或者知悉但沒(méi)有同意自己的聲音內(nèi)容被第三方服務(wù)商采集，這在客觀上會(huì)侵犯到他們的信息自決權(quán)，當(dāng)事人同意的目的就會(huì)落空，產(chǎn)生原始使用者的同意取代了非原始使用者的同意的外溢效應(yīng)。

2.2 無(wú)限授權(quán)效應(yīng)：無(wú)法預(yù)見(jiàn)信息處理目的的個(gè)人信息自決權(quán)保障落空

處理者對(duì)個(gè)人信息的處理，要遵循目的明確原則，即處理者主觀上具有合法、正當(dāng)、必要、明確的個(gè)人信息處理目的，一旦超出個(gè)人信息處理目的的范圍，就會(huì)產(chǎn)生當(dāng)事人同意的無(wú)限授權(quán)效應(yīng)，因此，無(wú)法預(yù)見(jiàn)信息處理目的的個(gè)人信息自決權(quán)保障也就會(huì)落空。大數(shù)據(jù)的發(fā)展引發(fā)了新形態(tài)的個(gè)人信息保護(hù)的爭(zhēng)議[15]，大數(shù)據(jù)時(shí)代的個(gè)人信息需要進(jìn)一步的保護(hù)[16]。 以Google流感趨勢(shì)（Google Flu Trends，簡(jiǎn)稱GFT）預(yù)測(cè)計(jì)劃為例[17]，根據(jù)Google制定的隱私權(quán)政策①，Google最初使用人們利用搜索引擎留下的記錄，改善Google 的搜索功能，而不是在收集個(gè)人信息目的之外進(jìn)行流感趨勢(shì)預(yù)測(cè)，因?yàn)檫@超出了當(dāng)事人同意的處理目的范圍，導(dǎo)致無(wú)限授權(quán)效應(yīng)。這種信息處理目的之外產(chǎn)生的無(wú)限授權(quán)效應(yīng)，影響到個(gè)人信息的保護(hù)，突破了傳統(tǒng)的當(dāng)事人同意的規(guī)范性框架。

3 歐盟個(gè)人信息保護(hù)法中當(dāng)事人同意的立法經(jīng)驗(yàn)

3.1 當(dāng)事人同意的表示方式：以積極肯定的方式表示同意

在我國(guó)有關(guān)個(gè)人信息保護(hù)的規(guī)范性法律文件中，只在《指南》和《規(guī)范》中明確規(guī)定了當(dāng)事人同意的表示方式，在《指南》第3.10和第3.11中明確規(guī)定了默許同意和明示同意這兩種同意的表示方式，其中默許同意是指在個(gè)人信息主體無(wú)明確反對(duì)的情況下，認(rèn)為個(gè)人信息主體同意；《規(guī)范》第3.6、第5.3和第5.5中分別規(guī)定了明示同意、收集個(gè)人信息時(shí)的授權(quán)同意和收集個(gè)人敏感信息的明示同意，將同意的表示方式分為兩種：明示同意和授權(quán)同意，其中明示同意是指?jìng)€(gè)人信息主體通過(guò)書面聲明或主動(dòng)做出肯定性動(dòng)作，對(duì)其個(gè)人信息進(jìn)行特定處理做出明確授權(quán)的行為，并且對(duì)肯定性動(dòng)作作出了明確的指示：肯定性動(dòng)作包括個(gè)人信息主體主動(dòng)作出聲明（電子或紙質(zhì)形式）、主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”“注冊(cè)”“發(fā)送”“撥打”等；授權(quán)同意包括明示同意和默示同意；將產(chǎn)品和服務(wù)的功能分為核心業(yè)務(wù)功能和附加業(yè)務(wù)功能，當(dāng)收集一般個(gè)人信息時(shí)，核心業(yè)務(wù)功能和附加業(yè)務(wù)功能采用明示同意或默示同意，而當(dāng)收集個(gè)人敏感信息時(shí)，核心業(yè)務(wù)功能應(yīng)當(dāng)采用明示同意，附加業(yè)務(wù)功能應(yīng)當(dāng)采用逐一明示同意。這是我國(guó)關(guān)于當(dāng)事人同意表示方式的規(guī)定。

德國(guó)BDSG第4a條規(guī)定：同意的意思表示應(yīng)采用書面形式，在特殊情形下，可授權(quán)使用其他形式。如果將書面同意和其他書面聲明一起提供，那么，書面同意和其他書面聲明也應(yīng)該有嚴(yán)格的區(qū)分。第4a條就是一個(gè)明確的獨(dú)立條款，不能推定為同意，原則上當(dāng)事人同意的方式只能采用書面同意，這樣可以避免當(dāng)事人輕率地同意[18]。歐盟GPDR第4條第11款規(guī)定：數(shù)據(jù)主體的“同意”是一種通過(guò)積極的行為自愿做出的一種指定的、具體的、知情的及明確的指示②，同時(shí)第9條規(guī)定了特殊種類的個(gè)人數(shù)據(jù)處理應(yīng)當(dāng)采用明示同意。德國(guó)BDSG和歐盟GPDR規(guī)定的對(duì)當(dāng)事人同意的表示方式包括了明示同意和默示同意，雖然德國(guó)規(guī)定當(dāng)事人同意原則上采用書面形式，聯(lián)邦法院的判決也承認(rèn)了默示同意的效力，但是在德國(guó)理論界有一定的爭(zhēng)議。總之，無(wú)論是默示同意還是明示同意，當(dāng)事人同意都通過(guò)一個(gè)積極肯定的行為來(lái)完成，比如說(shuō)，當(dāng)事人通過(guò)簽名或者主動(dòng)勾選同意方框的方式表示同意其個(gè)人信息被收集；反之，如果當(dāng)事人不同意其個(gè)人信息被收集，那么，可以選擇拒絕簽名或者勾選同意方框，這種方式與當(dāng)事人積極簽名或者主動(dòng)勾選同意方框的方式在個(gè)人信息保護(hù)的效力上有所減弱，理由就是沉默或者不作為并不符合同意的規(guī)定[19]。

3.2 當(dāng)事人同意的生效要件

按照歐盟GPDR關(guān)于數(shù)據(jù)主體的同意定義，當(dāng)事人的同意系出于自由意志、目的特定及告知后所表示之期望。2018年4月10日，歐盟“第29條”工作組發(fā)布新修訂的GDPR實(shí)施指南③，該指南提出構(gòu)成GDPR下同意的生效要件包括：（1）同意必須為自主同意（freely given）；（2）同意必須特定（specific）；（3）同意必須基于告知后所為（informed consent）；（4）同意必須清晰且毫不含糊、明確地指出其意愿（unambiguous indication of the data subject's wishes）。這4個(gè)構(gòu)成要件缺一不可，只有滿足這4個(gè)構(gòu)成要件，同意才是有效的。

3.2.1 自由要素：當(dāng)事人同意必須為自主同意

在我國(guó)《規(guī)范》第3.6對(duì)明示同意的定義中，明示同意是個(gè)人信息主體主動(dòng)做出的肯定性動(dòng)作，也就是說(shuō)當(dāng)事人同意系出于其自主決定，而不受欺詐、誘騙、強(qiáng)迫而做出的無(wú)效同意，這一點(diǎn)也在第5.1（a）收集個(gè)人信息的合法性要求中體現(xiàn)出來(lái)。德國(guó)BDSG第4a條第1項(xiàng)則明文規(guī)定當(dāng)事人同意必須出于自主決定，由此可以看出，德國(guó)立法者將個(gè)人資料主體的自主決定性作為同意的首要生效要件。歐盟“第29條”工作組在新修訂的GDPR實(shí)施指南中對(duì)自主同意的解釋主要從雙方關(guān)系不對(duì)等（Imbalance of power）、附加條件（Conditionality）、細(xì)致程度要求（Granularity）以及不利后果（Detriment）這4個(gè)方面展開(kāi)。主要內(nèi)容是：首先，當(dāng)雙方關(guān)系不對(duì)等時(shí)，需要在特定的場(chǎng)景下進(jìn)行評(píng)估，比如存在雇傭合同的場(chǎng)景，按照GDPR第7條第4款的規(guī)定判斷當(dāng)事人的同意是否在其自主的情況下做出同意，應(yīng)盡可能地考慮合同的履行情況，當(dāng)當(dāng)事人與雇主簽訂雇傭合同時(shí)，是否有必要同意其個(gè)人信息就要被雇主所處理，如果當(dāng)事人個(gè)人信息的處理不是合同履行所必需的，則雇傭合同的簽訂不能以當(dāng)事人同意為前提。其次，控制者一旦選擇當(dāng)事人同意為合法處理要件，不能放大當(dāng)事人同意的效應(yīng)，控制者只能在當(dāng)事人同意的范圍內(nèi)對(duì)其個(gè)人信息進(jìn)行處理，超出當(dāng)事人同意的范圍處理其個(gè)人信息不具有合法性。再次，在適當(dāng)?shù)臅r(shí)候，對(duì)于不同的數(shù)據(jù)處理業(yè)務(wù)，應(yīng)分別取得同意。最后，信息處理者需要證明當(dāng)事人拒絕同意或者撤回同意不會(huì)承擔(dān)不利的后果。綜上所述，當(dāng)事人同意必須出于自由意志，且沒(méi)有被欺詐、誘騙、強(qiáng)迫，否則，同意是無(wú)效的。

3.2.2 具體要素：當(dāng)事人同意必須為具體特定的同意

當(dāng)事人具體特定的同意，是指當(dāng)事人對(duì)于收集、處理、利用其個(gè)人信息的目的和范圍有明確認(rèn)識(shí)后的同意。當(dāng)然，概括的同意，因?yàn)闆](méi)有具體指明信息處理的目的和范圍，不符合明確要素，因此，并非是有效的同意。至于當(dāng)事人的同意是否符合具體特定的要件，則應(yīng)該審視信息處理者在事前是否將收集、處理和利用的目的和范圍等事項(xiàng)充分告知當(dāng)事人，同意的特定性離不開(kāi)信息處理者的充分告知。德國(guó)BDSG第4條第2項(xiàng)規(guī)定了收集、處理和使用數(shù)據(jù)的目的，歐盟“第29條”工作組針對(duì)當(dāng)事人同意的明確性要素指出，控制者處理信息的目的要特定，同時(shí)要將請(qǐng)求同意的內(nèi)容明確體現(xiàn)出來(lái)，處理活動(dòng)也受處理目的的限制。我國(guó)《規(guī)范》第4條中也明確規(guī)定了目的明確原則，即具有合法、正當(dāng)、必要、明確的個(gè)人信息處理目的。

3.2.3 知情要素：當(dāng)事人同意必須為告知后同意

所謂告知后同意，個(gè)人信息處理者在處理個(gè)人信息之前，應(yīng)將其信息處理的目的和范圍等信息明確告知當(dāng)事人，使得當(dāng)事人根據(jù)被告知的內(nèi)容衡量利弊，并據(jù)此作出同意與否的決定。也就是說(shuō)，信息處理者應(yīng)履行向當(dāng)事人充分告知的義務(wù)，然后取得當(dāng)事人的同意方為有效。告知后同意的目的就是信息的透明化，能夠讓當(dāng)事人真正評(píng)估其同意的影響，真正落實(shí)個(gè)人信息決定權(quán)。我國(guó)《規(guī)范》第5.3是有關(guān)收集個(gè)人信息時(shí)的授權(quán)同意，分別從直接收集個(gè)人信息和間接收集個(gè)人信息兩個(gè)方面規(guī)定了個(gè)人信息控制者應(yīng)履行的告知內(nèi)容，以及在第5.5收集個(gè)人敏感信息時(shí)的明示同意中也做出了相應(yīng)的規(guī)定。關(guān)于告知的內(nèi)容，在《規(guī)范》第5.6隱私政策的內(nèi)容和發(fā)布中規(guī)定了告知的具體內(nèi)容。但是歐盟GDPR第13條第1項(xiàng)還進(jìn)一步規(guī)定了數(shù)據(jù)保護(hù)局的詳細(xì)聯(lián)系方式以及向監(jiān)督機(jī)構(gòu)申訴的權(quán)利，因此，從當(dāng)事人主張和行使其權(quán)利的角度而言，歐盟GDPR的規(guī)定更為具體，可為我國(guó)個(gè)人信息法律保護(hù)的制度構(gòu)建提供參考。關(guān)于告知的方法，歐盟“第29條”工作小組還采用了分層次告知方法。關(guān)于個(gè)人信息提供的方式，歐盟GDPR第12條第1項(xiàng)規(guī)定：控制者應(yīng)當(dāng)以一種簡(jiǎn)單透明、明晰且容易獲取的方式，通過(guò)清晰明確的語(yǔ)言，采取合理措施提供信息?？刂普呖梢圆扇娌牧稀㈦娮臃绞交蛘呖陬^方式。由此可以看出，歐盟GDPR提供信息的方式是多樣的，只要能夠采取清晰明確的語(yǔ)言，能夠?yàn)樾畔⒖刂普咚斫?，真?shí)地表達(dá)自己的意愿即可。

3.2.4 明確要素：當(dāng)事人同意必須清楚且明確地指出其意愿

歐盟GDPR第7條第2款指出：如數(shù)據(jù)主體通過(guò)聲明的方式作出同意，且書面聲明涉及其他事項(xiàng)，那么同意應(yīng)以易于理解且與其他事項(xiàng)顯著區(qū)別的形式呈現(xiàn)。構(gòu)成違反本法的聲明的任何部分，均不具有約束力。由此可以看出，當(dāng)事人同意針對(duì)其信息被特定處理還需要一個(gè)積極的行為或者聲明同意，當(dāng)事人同意必須清楚且明確地指出其意愿，如果當(dāng)事人同意的表達(dá)方式不明確或者含糊，則當(dāng)事人的同意是無(wú)效的。信息處理者只有獲得當(dāng)事人明確的同意，才能合法地處理其個(gè)人信息。歐盟“第29條”工作組也指出：數(shù)據(jù)主體的沉默或者不作為不是數(shù)據(jù)主體清晰明確的愿望表示④。我國(guó)《規(guī)范》第5.5（a）規(guī)定：收集個(gè)人敏感信息時(shí)的明示同意，對(duì)個(gè)人信息控制者的要求內(nèi)容包括應(yīng)確保個(gè)人信息主體的明示同意是其在完全知情的基礎(chǔ)上自愿給出的、具體的、清晰明確的愿望表示。由此可以看出，當(dāng)事人同意必須是個(gè)人信息主體清晰明確的愿望表示。

3.3 當(dāng)事人的同意能力

當(dāng)事人的同意是在信息主體具備同意能力的前提下做出的，如果信息主體沒(méi)有同意能力，則信息控制者征得的同意是無(wú)效的。在現(xiàn)代科技社會(huì)，隨著手機(jī)、平板、電腦等新興電子產(chǎn)品的出現(xiàn)，對(duì)于它們的使用不分年齡，而對(duì)未成年人的個(gè)人信息處理，影響會(huì)更深，甚至影響其人格權(quán)的發(fā)展。有學(xué)者認(rèn)為，當(dāng)事人同意不要求具有行為能力，只需要具有理解能力，也就具有了辨識(shí)和判斷力，能夠理解同意的內(nèi)涵和意義即可[20]。然而，未成年人理解能力的判斷標(biāo)準(zhǔn)不明確，不利于保護(hù)未成年人的合法權(quán)益，因此，需要以年齡為界限決定其同意能力。我國(guó)《規(guī)范》第5.5（c）規(guī)定：收集年滿14周歲的未成年人的個(gè)人信息前，應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意；不滿14周歲的，應(yīng)征得其監(jiān)護(hù)人的明示同意。由此可以看出，我國(guó)對(duì)于未成年人的個(gè)人信息保護(hù)年齡是以14周歲為界限，如此可以更好地保護(hù)未成年人的信息自決權(quán)。德國(guó)BDSG對(duì)未成年人的年齡無(wú)規(guī)定，但是在有關(guān)宗教的兒童教育法律中，明確規(guī)定兒童在年滿14周歲后，可自行決定是否加入或退出教會(huì)，并由此決定在校是否參加宗教課程。歐盟GPDR第8條規(guī)定了關(guān)于信息社會(huì)服務(wù)適用于兒童同意的條件，規(guī)定了16周歲以上兒童的個(gè)人數(shù)據(jù)處理為合法，兒童未滿16周歲時(shí)，數(shù)據(jù)處理只有在征得其父母的同意或授權(quán)兒童同意的范圍內(nèi)合法。但會(huì)員國(guó)可以將年齡門檻降低，但是不得低于13周歲。由此可以看出，歐盟GPDR認(rèn)為兒童和青少年仍然需要保護(hù)，尤其在網(wǎng)絡(luò)上，未成年人可能毫無(wú)戒心地提供其個(gè)人信息。

4 歐盟個(gè)人信息保護(hù)法中當(dāng)事人同意對(duì)我國(guó)的立法啟示

4.1 嚴(yán)格限制默示同意：當(dāng)事人同意原則上采用明示同意

歐盟GDPR和德國(guó)BDSG對(duì)默示同意的態(tài)度是持謹(jǐn)慎的態(tài)度，原則上是采用明示同意，嚴(yán)格限制默示同意。例如，德國(guó)BDSG第4a條第1款規(guī)定，當(dāng)事人同意應(yīng)當(dāng)采用書面形式，特殊情況下可以采用其他形式，倘若采用默示同意，應(yīng)在外觀上與書面同意嚴(yán)格區(qū)分；歐盟GDPR第7條第2款規(guī)定，當(dāng)事人同意倘若采用默示同意，則應(yīng)以易于理解且與其他事項(xiàng)顯著區(qū)別的形式呈現(xiàn)，一旦違反本法聲明的任何部分，均不具有約束力。由此可以看出，歐盟和德國(guó)對(duì)默示同意采取嚴(yán)格限制的態(tài)度。但是，德國(guó)和歐盟對(duì)默示同意的態(tài)度是值得贊同的，但是對(duì)于默示同意的適用仍有一些難題需要厘清，比如說(shuō)，外觀上與書面同意嚴(yán)格區(qū)分的標(biāo)準(zhǔn)是什么，什么意義上才是易于理解，與其他事項(xiàng)顯著區(qū)別的判斷標(biāo)準(zhǔn)是什么，什么才是一個(gè)有意義的積極肯定的行為等等。除此之外，默示同意在個(gè)人信息收集中還有一些難點(diǎn)：信息主體的權(quán)益保護(hù)問(wèn)題，比如說(shuō)，隱私政策內(nèi)容的霸王條款（無(wú)論信息主體是否同意，其個(gè)人信息都要被收集）；未成年人的權(quán)益保護(hù)問(wèn)題，未成年人由于智力程度受限，辨別意識(shí)不強(qiáng)，對(duì)于成年人易于理解的條款，可能對(duì)他們來(lái)說(shuō)就不易理解，那么，期待未成年人個(gè)人信息的自我管理實(shí)為奢談；默示同意的濫用問(wèn)題，信息控制者往往在隱私條款中設(shè)置一些對(duì)自己有利的條款，使信息主體處于不利位置，信息控制者通常利用隱私條款中的“要約陷阱”或信息主體的疏忽大意收集個(gè)人信息，這樣難以落實(shí)信息主體的信息自決權(quán)[21]。在朱燁與北京百度網(wǎng)訊科技有限公司隱私權(quán)糾紛一案中[22]，案件的爭(zhēng)議焦點(diǎn)就包括當(dāng)事人的同意方式，一審判決否定了默示同意，而二審判決肯定了默示同意。由此可以看出，默示同意給當(dāng)事人同意的適用帶來(lái)了一定實(shí)踐難題。建議立法上明確規(guī)定當(dāng)事人同意采用明示同意，避免采用“默示同意”“授權(quán)同意”等模糊的術(shù)語(yǔ)產(chǎn)生一定的司法適用困境，不能因?yàn)樵黾有畔⒖刂普叩某杀竞拓?fù)擔(dān)，而肯定默示同意，也不能因?yàn)槠娴恼J(rèn)為明示同意會(huì)無(wú)形之中阻礙信息科技的發(fā)展，而允許默示同意的存在空間。另外，默示同意的效力與明示同意的效力相比而言更弱一些，而且默示同意會(huì)弱化當(dāng)事人的地位。

4.2 當(dāng)事人同意的實(shí)質(zhì)化：提倡同意的“四要件”生效模式

4.2.1 在自由要素方面：引入具體場(chǎng)景同意風(fēng)險(xiǎn)評(píng)估

基于信息控制者和信息主體的不對(duì)等關(guān)系，按照GDPR第7條第4款的規(guī)定，當(dāng)事人同意的自主性需要根據(jù)具體場(chǎng)景進(jìn)行評(píng)估，應(yīng)盡最大可能考慮，還應(yīng)考慮合同的履行，包括服務(wù)的提供是否是基于對(duì)履行合同不必要的個(gè)人數(shù)據(jù)的同意。在現(xiàn)實(shí)中，當(dāng)事人的同意往往缺乏自主性，并不是自主決定的，由于雇傭關(guān)系等雙方地位不對(duì)等導(dǎo)致不能落實(shí)信息主體的信息自決權(quán)，通過(guò)在立法上引入具體場(chǎng)景同意風(fēng)險(xiǎn)評(píng)估，可以最大可能地保護(hù)信息主體的合法權(quán)益，在不同的具體場(chǎng)景下對(duì)同意的自主性做出評(píng)估，真正落實(shí)信息主體的信息自決權(quán)。總之，當(dāng)事人同意必須出于自由意志，且沒(méi)有被欺詐、誘騙、強(qiáng)迫，否則，同意是無(wú)效的。

4.2.2 在具體要素方面：規(guī)定可期待性的同意限制原則

根據(jù)歐盟GDPR和德國(guó)BDSG的規(guī)定，當(dāng)事人同意的具體要素，要求當(dāng)事人同意是一個(gè)具體特定的同意，是針對(duì)信息處理的目的和范圍等特定事項(xiàng)有明確的同意。然而，具體特定的同意仍有解釋的空間，比如說(shuō)，在學(xué)術(shù)研究領(lǐng)域，信息收集之初并不能完全確定收集信息的目的，從有利于學(xué)術(shù)發(fā)展的角度，只要符合學(xué)術(shù)研究的倫理標(biāo)準(zhǔn)，應(yīng)允許當(dāng)事人針對(duì)特定學(xué)術(shù)研究領(lǐng)域或者研究計(jì)劃而同意其個(gè)人信息被處理。本文認(rèn)為，當(dāng)事人同意固然必須為具體特定的同意，然而，在當(dāng)事人合理可預(yù)見(jiàn)的范圍內(nèi)，應(yīng)該承認(rèn)其同意之合法性，因此，建議在立法上規(guī)定可期待性的同意限制。

4.2.3 在知情要素方面：細(xì)化告知內(nèi)容和采用分層次告知方法

當(dāng)事人同意的前提是信息控制者的充分告知，只有了解了告知內(nèi)容，才能做出有效的同意。首先，細(xì)化告知內(nèi)容。歐盟GDPR第13條第1項(xiàng)還進(jìn)一步規(guī)定了數(shù)據(jù)保護(hù)局的詳細(xì)聯(lián)系方式以及向監(jiān)督機(jī)構(gòu)申訴的權(quán)利，在我國(guó)《規(guī)范》有關(guān)個(gè)人信息控制者的要求中，規(guī)定了個(gè)人信息控制者應(yīng)當(dāng)履行的告知內(nèi)容，但是唯獨(dú)沒(méi)有將數(shù)據(jù)保護(hù)局的詳細(xì)聯(lián)系方式和向監(jiān)督機(jī)構(gòu)申訴的權(quán)利明確納入其中，從當(dāng)事人主張和行使其權(quán)利的角度而言，歐盟GDPR的規(guī)定更為全面，應(yīng)當(dāng)值得借鑒。其次，細(xì)化告知方法。根據(jù)歐盟GDPR第12條第1項(xiàng)的規(guī)定，除了在提供方式上要求簡(jiǎn)單透明、明晰且容易獲取之外，還應(yīng)該細(xì)化告知方法。根據(jù)歐盟“第29條”工作組的意見(jiàn)，采用分層次告知方法：第一層次，簡(jiǎn)短告知法。此方法就是將必要信息或者核心信息告知信息主體，這些信息包括信息控制者的聯(lián)系方式、信息處理的目的等重要信息。第二層次，濃縮告知法。濃縮告知的內(nèi)容包括公司的名稱、信息處理的目的、信息接受者的類別、回復(fù)與否是強(qiáng)制性或者自愿性以及未回復(fù)的可能后果等。第三層次，完整告知法。完整告知的內(nèi)容包括所有歐盟國(guó)家的要求與特殊性，告知方式例如可以添附連接歐盟各個(gè)國(guó)家的鏈接網(wǎng)址。2018年4月13日，歐盟“第29條”工作組在關(guān)于一般義務(wù)的透明度原則適用的解釋中提到，使用分層隱私聲明或者通知并為信息主體提供各類信息鏈接，克服了屏幕上通知方式的單一性，另外，還可以利用諸如“推送”和“拉取”通知等符合透明度要求的創(chuàng)新方法。我國(guó)個(gè)人信息保護(hù)立法可以借鑒歐盟的做法，根據(jù)本國(guó)的背景采用分層次告知方法，比如在隱私聲明中采用醒目字體的形式，將告知內(nèi)容中的必要信息、重要信息、全部信息分層次告知信息主體。

4.2.4 在明確要素方面：采用書面同意的方式比較妥當(dāng)

明確要素要求當(dāng)事人同意必須清楚且明確地指出其意愿。默示同意的方式，并非是當(dāng)事人清楚且明確地指出其意愿，信息控制者處理個(gè)人信息之前，一定要征得當(dāng)事人清晰、真實(shí)意愿的書面同意，否則同意是無(wú)效的。雖然在有些學(xué)者看來(lái)，無(wú)論在形式上是采取書面形式、口頭形式還是其他行為方式，只要能足夠清楚地表達(dá)當(dāng)事人的意愿并為信息控制者能了解即可，因?yàn)樾畔⒖刂普咧灰C明信息主體的同意是清楚明確的表達(dá)，是其真實(shí)的意愿，就是有效的同意[23]。本文認(rèn)為，為了促使同意的進(jìn)行能慎重其事，以減少爭(zhēng)議及有助于當(dāng)事人權(quán)益的進(jìn)一步保障，建議我國(guó)個(gè)人信息保護(hù)立法規(guī)定當(dāng)事人同意以以書面為之，較為妥當(dāng)。

4.3 未成年人的同意：建立行之有效的確認(rèn)機(jī)制

當(dāng)事人的同意是在信息主體具備同意能力的前提下做出的，因此，當(dāng)事人的同意能力在考慮同意的有效性這個(gè)問(wèn)題上至關(guān)重要，尤其是未成年人的個(gè)人信息同意。網(wǎng)絡(luò)發(fā)展迅猛，新興電子產(chǎn)品的涌現(xiàn)，引起了未成年人對(duì)新興產(chǎn)品的狂熱，但是，由于他們智力有限，可能不會(huì)做出一個(gè)有效的同意行為，因此，在收集未成年人的個(gè)人信息前，應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意，這一點(diǎn)，在我國(guó)《規(guī)范》和歐盟GDPR關(guān)于收集未成年人的信息要求中都是有所體現(xiàn)。值得借鑒的是，歐盟GPDR第8條第2款還規(guī)定：考慮到現(xiàn)有技術(shù)，控制者應(yīng)當(dāng)做出合理的努力，去核實(shí)在此種情況下，父母作為責(zé)任主體的同意或授權(quán)。這款規(guī)定本質(zhì)上是控制者核實(shí)未成年人做出同意行為有效性的義務(wù)，一種確認(rèn)義務(wù)，只有在征得未成年人父母這一責(zé)任主體的同意或授權(quán)后，才可以合法地處理未成年人的個(gè)人信息。因此，建議我國(guó)在未來(lái)的個(gè)人信息保護(hù)立法過(guò)程中，將這一確認(rèn)機(jī)制納入進(jìn)來(lái)。從風(fēng)險(xiǎn)分配這個(gè)角度上講，通過(guò)建立行之有效的確認(rèn)機(jī)制，而不是將確認(rèn)當(dāng)事人同意能力的風(fēng)險(xiǎn)轉(zhuǎn)嫁給未成年人，這一點(diǎn)還是值得借鑒和參考的，因?yàn)槲闯赡耆送ǔＴ诮?jīng)濟(jì)上、信息技術(shù)上都處于相對(duì)劣勢(shì)地位，將風(fēng)險(xiǎn)由有能力控制的一方承擔(dān)，比較符合風(fēng)險(xiǎn)分配原則，能夠更好地貫徹法律保護(hù)未成年人的基本精神。

5 結(jié) 語(yǔ)

根據(jù)當(dāng)事人同意的“四要件”生效模式，對(duì)于當(dāng)事人同意的外溢效應(yīng)而言，在美泰（Mattel）公司的新款芭比娃娃這個(gè)案例中，被竊聽(tīng)的周圍的人們即非原始使用者沒(méi)有做出任何有效的同意，當(dāng)然，該產(chǎn)品服務(wù)的原始使用者也不能替代非原始使用者做出有效的同意，第三方服務(wù)提供商沒(méi)有征得非原始使用者的同意，就對(duì)其信息進(jìn)行處理，違背了當(dāng)事人同意的“四要件”生效模式，因此，第三方服務(wù)提供商應(yīng)該承當(dāng)相應(yīng)的法律責(zé)任；對(duì)于當(dāng)事人同意的無(wú)限授權(quán)效應(yīng)，在Google流感趨勢(shì)預(yù)測(cè)計(jì)劃這一案例中，個(gè)人信息的處理屬于目的之外的信息處理，未經(jīng)過(guò)當(dāng)事人的同意，不符合當(dāng)事人同意的“四要件”生效模式。總之，對(duì)于個(gè)人信息的保護(hù)，我們應(yīng)立足我國(guó)國(guó)情，充分借鑒歐盟的立法經(jīng)驗(yàn)，為我國(guó)的公民個(gè)人信息保駕護(hù)航。當(dāng)然，個(gè)人信息的保護(hù)，除了需要完善立法之外，更需要信息主體的風(fēng)險(xiǎn)管理意識(shí)以及信息控制者的遵法意識(shí)。

注 釋：

① "We collect information to provide better services to all of our users-from figuring out basic stuff like which language you speak, to more complex things like which ads you'll find most useful, the people who matter most to you online, or which YouTube videos you might like."

②Article 4(11): any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.

③This Working Party was set up under Article 29 of Directive 95/46/EC.It is an independent European advisory body on data protection and privacy.Its tasks are described in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.

④ Silence or inactivity on the part of the data subject, as well as merely proceeding with a service cannot be regarded as an active indication of choice.