易江鹏丨|易江鹏丨个人信息保护中的知情同意原则：困境与出路( 三 ) 麦琪|行为

（二）高成本与低效率
在个人信息的收集和利用上，适用知情同意原则意味着信息收集和利用者围绕个人信息开展的诸多活动需经被收集者的同意。知情同意原则的高成本体现在两方面：其一，被收集者需要花费大量的时间阅读隐私政策条款，时间成本巨大；其二，信息收集和处理者发出通知获得被收集者同意的成本偏高。“根据美国设区银行协会的统计，因为设计、测试、邮寄这些法定的隐私通知需要花费数十亿美元，每年因此花费的成本在2-5亿之间。”即便我国的隐私政策条款通常是以电子版的形式在互联网上呈现给被收集者，因而无须邮寄成本，但设计和修改隐私条款的成本也可不小觑。同时，隐私条款呈现的界面亦是需要成本的，诸如设置提示窗等。此外，在信息收集者与被收集者的场景下，收集者往往是无偿向用户提供产品和服务。在难以直接通过收费获得利润的情况下，信息收集者本质上与信息主体在进行着利益交换——信息主体以自己的个人信息换取“无偿”服务。凡此种种均构成信息收集者的成本，但这仅是其成本的一方面。
在另一方面，信息收集者的成本与告知同意原则的适用范围息息相关。当个人信息收集者将个人信息转让，实际的个人信息控制者该如何寻求被收集者的同意？如何确保实际控制者不超出被收集者最初的同意范围和目的？因为在大数据时代，个人信息收集先于目的可能已经司空见惯，这也意味着信息的实际控制人对于个人信息收集之后的处理目的可能是不明确的。若将知情同意原则认为是个人信息收集与利用的唯一合法性来源，成本巨大的同时也往往导致个人信息收集与利用的低效率。知情同意原则将会给收集者和被收集者带来沉重的负担。当然从这一个角度来看，在信息收集与利用的方方面面均适用知情同意原则似乎是不可能的，知情同意原则的适用应当保持在一定的范围之内。若保护信息权利主体对信息的绝对权利而忽视收集者与控制者的合理权利，其直接结果是针对后者的激励机制缺失。此种情形下的知情同意原则被过分严苛地适用，这将“不合理地增加信息控制者的成本，影响数据自由流动，最终损害社会的公共利益”。因此，这一角度的高成本实际上与知情同意原则的适用范围息息相关。
在大数据时代的背景下，无论是信息收集者还是被收集者，“传统‘告知同意’原则已经使得交易成本逐渐升高，为生活带来更多的不便利”。知情同意原则的适用无法且也不可能全方位覆盖个人信息收集与利用的方方面面，否则将会给个人信息的收集与利用造成极大的不便利。
三、知情同意原则：确立、具体化及理论澄清
在坦然面对上述困境与质疑之余，对知情同意原则本身的反思和溯源必不可少。首先应当考虑的是我国实证法是否规定了知情同意原则，若未规定，则上述困境与质疑自不攻自破。其次，为更好地回应困境，探讨该原则的正当性基础和理论依据也必不可少。
（一）在实证法上的确立
《草案》确立了知情同意原则，但其仅为未生效之草案而已。关于我国是否规定了知情同意原则，主流观点认为我国已规定。但仍有观点认为我国并未规定“知情同意原则”而仅仅为“知情同意具体规则”，但原则和规则的性质认定无碍于对“知情-同意”这一行为框架本身的判断。
事实上，自2012年以来，知情同意原则就开始出现在我国有关个人信息保护的规范性文件之中。2012年颁布的《关于加强网络信息保护的决定》第2条明确规定收集使用个人电子信息应当遵循知情同意原则。随后的规范性文件仿佛接力赛一般，接连规定了该原则。2013年新修订的消费者权益保护法以及2017年实施的网络安全法均规定了知情同意原则。在新近的规范性文件之中，民法典当属其一，其在第111条、第1035条、第1036条等条款规定了对个人信息的保护，也规定了知情同意原则。2020年10月份实施的《信息安全技术个人信息安全规范》区分一般个人信息、敏感个人信息、生物识别信息与儿童的个人信息对知情同意原则分别进行了具体的规定。《草案》也区分了一般个人信息和敏感个人信息对知情同意原则进行了分别的规定，但大体的结果是在收集与处理敏感个人信息方面，知情同意原则贯彻得更为严格。上述涉及个人信息保护的规范性文件无一例外都将知情同意明文规定，这也表明知情同意原则在我国实证法上的确立。