易江鹏丨|易江鹏丨个人信息保护中的知情同意原则：困境与出路( 四 ) 麦琪|行为

（二）规范构成的具体化趋向
实证法固然明文规定了知情同意原则，但规范性法律文件对知情同意原则规定的详简却尚不知。按照时间顺序进行纵向考察意义重大，可揭示出相关规则的规定趋势。从规范性文件的效力层级上出发，本文将选取网络安全法、民法典以及《草案》的部分规定作为基础，尝试揭示知情同意原则的规范构成。网络安全法第41条、第42条以及民法典第1035条、《草案》第13条、第14条等条文均规定了告知同意原则，具体规范见表1：

文章插图
表1 网络安全法、民法典与《草案》之知情同意原则的对比
从上表中，我们可以发现从网络安全法到民法典，在到《草案》，有关知情同意原则的规定不断细化和具体。在遵循的原则上，《草案》使用了若干个条文进行了规定，至少还新增了诚信原则。在描述信息收集和利用者的行为上，网络安全法并没有采用“处理”之表述，但民法典和《草案》均采用了“处理”之表述，且二者的含义一致。在明示的范围上，从网络安全法到《草案》也呈现出扩张的趋势，处理者的身份、联系方式以及被收集者的行权方式和程序都纳入明示范围。于是，从内容上看，隐私政策条款也将呈扩张之势，条款的日益冗长似不可避免。另外，民法典和《草案》均规定了对个人信息的合理使用情形，此时为豁免适用告知同意原则的情形，且豁免情形呈现出扩大趋势。
知情同意原则在实证法中被明确规定，且其规定呈进一步细化的趋势。同时合理使用情形的增加实则是对知情同意原则的调整。这些一方面表明了现行法对知情同意原则所遭遇困境的纾解尝试，更表明了知情同意原则在大数据时代的生命力似乎依然旺盛。

文章插图
（三）理论基础探源：误读与澄清
实证法规定了知情同意原则，但其无法直接体现该原则的正当性。对知情同意原则的质疑其实也是对其正当性的质疑，因此有必要溯源该原则背后的理论基础，从而在应然层面上寻找正当性依据。知情同意原则在传统上最早是适用于医疗领域的，其运作机理为：在将风险充分告知予患者及其家属的基础上，承认患者对医疗行为的选择，其也要承担相应的风险。后来知情同意原则在个人信息收集与处理上被适用，该原则具有两大理论来源，即“一是欧盟个人信息保护体制中的个人信息自决权理论；二是美国法上的信息隐私权理论”。而美国的隐私权理论范围极为广泛，涵盖了对个人信息的保护。其本质上体现为个人对自己的隐私的控制权，具体到个人信息，其具体体现为对个人信息的控制权。
个人信息自决权的承认是来自一系列经典的判例，其中“小普查案”和“人口普查案”是两个最为经典的判例。但学者指出，个人信息自决权理论是对上述案例的误读而产生，上述案例有具体的适用背景。以“人口普查案”为例，其具体背景存在两个：其一，法院针对的仅仅是对国家强制的信息收集行为；其二，法院将信息严格限制在了自动化个人信息处理这一前提之下。而时下流行的个人信息自决权理论不限制国家的收集和处理行为，也不限制具体某一类的个人信息，而是一般适用于各种情境。该权利理论主张信息自决权使得个人对一切个人信息拥有绝对控制权，它会导致“信息禁止”这一危险和可怕的结果。这其实是强化了个人意志的支配范围，也是在个人信息保护和促进信息从业者收集与利用个人信息这两个价值上绝对地倒向了前者。适度地保护个人信息固然无可厚非，但物极必反，因此，上述意义下的个人信息自决权无法被承认。当然我们可以对个人信息决定权做出去符合我们认识的解释，即将我们对个人信息权的观念注入其中对其进行内涵重构，具体来说“信息自决权可以是相对控制甚至是弱控制”。在如此理解“个人信息自决权”后，实际上殊途同归，最后承认的也仅仅是需要在平衡保护个人的个人信息和促进对个人信息的收集与利用这二者之间的关系，承认的仅是个人对个人信息有限的控制权而已。