易江鹏丨|易江鹏丨个人信息保护中的知情同意原则：困境与出路( 七 ) 麦琪|行为

因此，经匿名化处理的个人信息能够在一定程度上为信息从业者自由利用，在这个意义上其突破了告知同意原则。但此种情形下的利用也存在边界，经处理的个人信息须满足无法识别特定个人且不能复原的要求。个人信息是否经过匿名化处理会导致后续的处理者需满足不同的要求，此也是进行场景化行为规制的体现。
（四）个人信息的合理使用
为了协调个人信息保护与处理及利用的关系，民法典第1036条规定了两项例外，《草案》第13条在规定4项具体例外之余还规定了“法律、行政法规规定的其他情形”这一兜底条款。从逻辑上看，原则加上例外才构成对某一拟规范对象的全部规则，才具有完整的创设法律效果的力量。在这个意义上，知情同意原则和其例外共同构成一个规范群，仅当涉案事例不属于其例外情形，知情同意原则才有适用的余地。由此，实证法之下的知情同意原则仅仅是信息处理的合法性基础之一。这样的做法也和国际上的做法接轨，同意并非是信息处理中唯一的合法性基础。具体在内容上，知情同意原则的例外情形包含以下几类：（1）处理公开信息；（2）为维护社会公共利益；（3）为维护处理者的合法权益；（4）特殊情况下保护民事主体生命健康和财产安全所必需。其中处理公开信息可视为被收集者的默示同意而纳入知情同意原则本身之中，也可视为一种例外。同时《草案》第13条第1款第（二）项来自欧盟《通用数据保护条例》第6条第1款，其可归入维护处理者的合法权益，第（三）项须具体分析法定职责和义务是为了公共利益还是私人利益而分别归入（2）（3）（4）中，第（四）项即为（4），第（五）项可归入维护社会公共利益。这样的一些例外缓和了知情同意原则过于僵化的弊端，也合理地划定了知情同意原则的适用范围，因此有学者称上述例外为“合理使用制度”。
《草案》中规定的例外相较于民法典规定得更为广泛和具体，其中不乏高度抽象的表达，诸如“公共利益”。此类高度模糊的表达又在另一个角度上存在着扩张知情同意原则例外的可能。对例外的具体内容，本文不再一一展开，例外使得处理者无需经个人信息主体同意便可基于合法利益豁免使用个人信息，其存在及情形的不断扩张已经表明立法者针对知情同意原则存在的困境已经做出了适当的调适。退一步说，即便现行法规定的例外不够合理，但当协调个人信息保护与利用的观念深入立法者的脑海，例外的增多和合理化是必然的。
当然除了上述四种路径，针对被收集在表达同意可能存在不自由的问题，《草案》第17条规定除非存在例外，否则不得因为被收集者不同意而拒绝，也是缓解困境之路。在上文，笔者零星地提及场景化的理念，场景化的理念表现为依据风险和利益的而不同适用不同的规则，知情同意原则与合理使用制度、一般个人信息与私密信息、个人信息经匿名化与否均构成场景化的区分规制，在合理使用制度中场景化更为明显。因此，知情同意原则与场景化并不构成当然的悖反，知情同意原则也一定程度上体现了场景化的理念。
五、结论
在个人信息保护与利用上，告知同意原则面临着种种困境，对该原则的质疑声不断。但现行法已经明确规定了知情同意原则，《草案》也是如此；在内容上，知情同意原则的相关规则不断细化和完善，诸如不适用的情形增多。这二者均可凸显告知同意原则的顽强生命力。在此背景下，合理的态度并非完全否定知情同意原则，而应在现有的法律体系下对困境进行突破。具体来说，首先，利用格式条款规制检验隐私政策条款中的免责条款；其次，利用民法典相关条款对“知情同意”的内涵进行澄清，将处理者充分履行告知义务推定为被收集者知情，被收集者是否完全阅读相关条款系其意思自治的范围，是行使个人信息自决权益的表现；再次，可借助匿名化处理个人信息对个人信息进行利用，但需注意匿名化之后须实现无法直接或结合其他信息实现对特定个人身份的识别；最后，民法典和《草案》对知情同意原则规定了诸多例外，例外情形在趋势上呈现为增加态势，这时立法者从例外的角度划定知情同意原则适用边界的表现，也是对困境的纾解措施之一。其中个人信息经匿名化与否、知情同意原则与合理使用制度均是场景化理念的体现，知情同意原则和场景化规制理念并不天然悖反。当采取上述路径后，知情同意原则的困境可得纾解，更好的个人信息保护体系才能形成。