项定宜+申建平

摘要：《民法总则》第111条顺应信息时代的需求，规定个人信息在信息利用中受到法律保护，但规定得较为概括。信息主体同意是信息商业利用行为的合法要件之一，但绝对的同意要件会阻碍信息的充分利用。为实现人格尊严保护与信息利用平衡的法律理念，并结合个人信息的性质，应当将个人信息分为人格紧密型个人信息和人格疏远型个人信息。人格紧密型个人信息与人格尊严密切相关，同意要件应为积极同意；而人格疏远型个人信息与人格尊严相对较疏远，同意要件应为消极同意。基于个人信息类型化研究，建议司法裁判者区分适用个人信息商业利用的同意要件，以实现个人信息保护与信息利用的平衡。

关键词：个人信息权人格紧密型个人信息

人格疏远型个人信息

十八届四中全会通过《中共中央关于全面推进依法治国若干重大问题的决定》，提出“加强市场法律制度建设，编纂民法典”，为此，编纂民法典已经成为当前重大的立法工作。正如《法国民法典》反映自由经济时代的特色，《德国民法典》体现垄断经济时代的需求，我国民法典必须契合当前所处的信息时代要求。在信息时代，个人信息已经成为一项重要的社会资源。实践中，侵害个人信息的现象时有发生。特别是在网络环境下，个人信息的保护显得尤为必要。为此，我国正在制定的民法典有必要对个人信息保护作出专门规定。

一、《民法总则》第111条直接保护个人信息

随着信息技术和经济的发展，我国已大步迈入信息时代，大量个人信息的开放利用倒逼个人信息的法律保护。尤其是去年因个人信息泄露而导致的电信诈骗案件频繁发生，危及信息主体的财产权，甚至是生命权。从民法角度对个人信息进行保护，是当代民法典的历史责任。民法典应当如何保护个人信息，国外立法例有两种保护模式：第一，通过隐私权对个人信息进行保护。美国法将个人信息置于隐私权下保护，隐私权实际上承担着一般人格权的功能，只要涉及私人人格利益都可通过隐私权进行保护。第二，通过一般人格权对个人信息进行保护。德国法自“人口普查案”后认为信息自决权为一般人格权的内容，通过一般人格权保护个人信息。

第一种模式显然不适于我国，因为我国隐私权是一种具体人格权，而美国隐私权是包容具体人格权的一般人格权。在我国的法律语境下，个人信息与隐私是两种不同的人格要素。个人信息与隐私的性质不同，个人信息兼具私密性和社会性，信息时代个人信息的社会性表现更为显著，而隐私只具有私密性；个人信息存在商业化利用的现实性和可能性，因此个人信息权的内容表现为消极防御和积极控制信息利用两个方面，而隐私权的内容则仅仅表现为消极防御方面。王利明教授曾指出个人信息权与隐私权在权利属性、权利客体、权利内容、保护方式方面都有区别，并主张将个人信息权规定为独立的具体人格权。无论人格权是否独立成编，学者对个人信息与隐私的显著区别已达成共识，个人信息通过隐私权保护显然不妥。

就第二种模式而言，通过一般人格权保护个人信息，只是权宜之计。一般人格权存在内涵和外延的模糊性，不利于司法裁判的确定性。而且，个人信息权益与个人信息利用之间存在利益平衡的问题，如果采取一般人格权保护个人信息，司法机关需要在个人信息权益与个人信息利用之间进行权衡，必将导致司法裁量权过大的风险。信息时代个人信息人格权益受到侵害，已经成为严重的社会问题，对其进行民法保护是立法趋势。综上，我国民法典应当顺应信息时代的要求，以专门条款直接保护个人信息，而不能采取隐私权模式或一般人格权模式对个人信息进行间接保护。

我国刚颁布的《民法总则》顺应信息利用的大趋势，回应个人信息保护的现实需求，第111条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。该条款明确区分隐私权和个人信息权，凸显对个人信息保护的重视，规定个人信息利用的边界是“依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，即不得非法利用。何为合法的信息收集、使用、加工、传输行为？立法没有明确规定，但依据民法理论，在不违反法律及公序良俗的情况下，受害人于损害发生前同意承担不利后果的，侵害人免责。因此，充分尊重信息主体意愿的信息利用行为是合法行为，信息主体同意当然是信息利用行为的合法要件之一。笔者以个人信息商业利用同意要件为研究对象，期望对明确适用我国《民法总则》个人信息保护条款有所助益。

二、信息主体同意是个人信息商业利用行为的合法要件

实践中出现大量利用个人信息进行的数据分析、市场营销、数据交易行为，那么未征得信息主体同意的个人信息商业利用行为是否合法？从我国现行立法角度看，《征信业管理条例》第13条、第14条、第16条、第20条规定征信机构收集个人信息、利用个人信息、向他人提供信息都必须经过信息主体同意。《消费者权益保护法》第29条规定：“……经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息”。《全国人大常委会关于加强网络信息保护的决定》第2条也规定只有经过信息主体同意或法律、法规允许才可以利用个人信息。从比较法角度看，1995年《欧盟数据指令》第7条规定：“个人数据在下列情况可以处理：（a）数据主体明确作出同意……”《欧盟数据保护法规》第6条也有类似规定。由此可见，信息主体同意是个人信息商业利用行为的合法要件之一。

人类进入信息时代后，文字、方位、沟通都可以成为信息，信息化意味着从“一切太阳底下的事物中汲取信息，甚至包括很多我們以前认为和‘信息根本搭不上边的事情”。例如，大量聚合的飞机登机信息，以前不被认为有收集、利用的价值，现在却可以被机场免税店用来预测商品摆放、销售时间、销售业绩等。此外，个人为社会交往而主动提供个人信息，信息利用行为成为经济活动的必要前提。如果坚持信息主体的绝对同意，可能阻碍正常的信息流通和社会交往。因此，同意要件有必要进一步细化规定。endprint

同意分为两种情形：积极同意和消极同意。积极同意，简言之，同意后方可利用；消极同意，则是不拒绝即视为同意。1995年《欧盟数据指令》第2条规定“信息主体同意”是指信息主体通过专门或者通知的指示，表示同意个人信息被处理的意愿。2016年《欧盟数据保护法规》第4条（11）规定“同意”指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明确的指示。通过声明或明确肯定的行为作出的这种指示，意味着其同意与他或她有关的个人数据被处理。该法规第7条规定“同意”的要件包括：书面同意必须以易于理解且与其他事项显著区别的形式呈现，信息主体有权随时撤回同意，同意与撤回同意同样容易处理，第8条还规定儿童由其父母作出同意的指示。但是，《欧盟数据保护法规》没有对“同意”是积极同意或消极同意做进一步规定。我国《征信业管理条例》第13条、《消费者权益保护法》第29条、《全国人大常委会关于加强网络信息保护的决定》第2条都规定了同意要件，但都没有明确是积极同意还是消极同意。

有学者在论文中指出，同意不具有理论、经济上的正当性基础，不应当作为信息利用的前提条件。但笔者认为：（1）该文作者所指的同意为积极同意。积极同意确实会增加信息利用的成本，会增加对信息主体的侵扰，国际个人信息保护立法确有很多例外规定，但是消极同意就不会有这些弊端；（2）该文主张通过“宽进严出”的方式来保护个人信息，即由信息主体行使拒绝权的方式来保护个人信息，这正体现了消极同意的本质。但是，并非所有的个人信息均采取这种保护方式，不同类型的个人信息本质不同，社会对其需求亦不同，信息利用的同意要件也有所不同。因此，个人信息类型化对同意要件研究具有重要意义。

三、个人信息类型化分析

个人信息类型化分析是信息利用同意要件区分的基础。个人信息類型化研究的文献较少，主要观点是将个人信息区分为敏感信息与一般个人信息或者直接个人信息和间接个人信息分别保护，但这种单一分类都不足以对个人信息进行周全的类型化研究。学者们对个人信息区分保护的理念达成共识，但个人信息应当进行怎样的类型化区分更为科学、周全、合理，需要进行明确。

（一）类型化思维对个人信息保护研究的重要价值

源于“潘德克顿法学”的概念法学思维，强调对法律概念的分析和构造法律的结构体系，体系化的法律制度甚至是法典都以此为理论基石。然而，盖因法律的稳定性与滞后性，社会转型时期出现法律漏洞是必然现象。正如国外一学者所言“事实上的法律问题是很难根据抽象体系及术语相吻合的，实际问题是混乱无章、复杂且不可区分的，远超乎法典的体系”。运用类型化思维方法则可以弥补概念法学的不足，拉伦茨认为，立法者尝试尽可能精确地以概念来容纳典型的生活事实，但司法裁判为适当解决生活事实，就必须再度突破这些概念，因此寻找具体的法规范时我们必须一再求助于法律所意指的类型。大数据时代个人信息商业利用法律问题是传统社会立法者无法预见的新问题，对个人信息进行类型化研究有利于司法裁判者在三段论推理中合理评价法律事实和规范，以弥补法律漏洞。过度抽象的概念化思维以内容及意义上的空洞为代价，法官只有遵循类型化思考，才能期待得到“与生活接近”的裁判。

类型的确定并无绝对标准，必须与法律理念保持一致，确定相对合理的类型标准。德国当代法哲学家亚图·考夫曼认为法律规范的产生有两个关键要素，即法律理念和生活事实，法律规范就是使法律理念与事物的本质相调适。因此，个人信息类型化应当通过两步来确定：第一步，确定个人信息类型化的法律理念；第二步，结合生活事实全面认定个人信息的本质。

（二）个人信息类型化的法律理念

大数据时代人格尊严保护与信息自由的平衡、个体利益与社会利益的平衡是当前立法亟待解决的首要问题，学者已经基本认同个人信息保护立法的法律理念包括两个方面：

第一，保护人格尊严。信息利用者对信息主体的个人信息进行处理和利用，个人将被塑造成数据形象，这可能导致信息主体人格的扭曲、损害。传统伦理认为，个人信息关涉人格尊严，不能任由他人利用。信息技术的高速发展以及信息的被动利用，不可避免地侵扰人格尊严和个人安宁。1983年以来德国联邦宪法法院的《人口普查法》违宪审查案的裁判将个人信息承载的人格权益通过一般人格权进行保护。这种观点被我国台湾地区理论界所认可，并体现于台湾地区个人资料保护立法中。美国宪法没有一般人格权条款，取而代之的是隐私权。公认的隐私权正式法律概念的提出是美国学者沃伦和布兰代斯于1890年共同署名发表的《论隐私权》，他们把隐私权界定为“免受外界干扰的、独处的权利”。美国个人信息资料的保护源于隐私权，他们也多采用个人信息隐私权这一概念。无论是一般人格权理论，还是隐私权理论，各国都采取立法对个人信息人格权益进行保护，维护信息主体的信息安全。目前全球大概有三分之一的国家已经制定了个人信息保护法，以保护个人信息权益及承载的人格尊严。

第二，保护信息自由。与传统伦理不同，网络信息社会的黑客伦理反对权威主义和信息垄断，主张人们拥有自由利用信息的权利。信息自由是人的基本权利，有学者认为信息自由更是促进社会公正透明的重要保障，信息自由对转型国家尤其不可或缺。

信息自由理念在当前信息社会的最大体现就是个人信息利用。大数据时代背景下，个人信息商业利用中的个人信息保护问题，是传统社会立法者不可预见的新问题。然而，无论社会如何更替转型，利益始终是法律生成与发展的驱动力，立法者的任务正是通过界定、权衡、分配不同群体和不同主体的利益，以保障社会良性、稳定的秩序。下列个人信息商业利用行为均体现了公共利益：（1）数据分析行为。信息利用者收集个人信息并分析信息，运用信息可以开展有针对性的科研、医疗、保险、教育、预测、统计等活动，大数据已影响社会各方面，从商业、科技到政府、医疗、教育、人文等各领域，有利于社会公共利益的维护。（2）精准营销、定向广告行为。精准营销、定向广告行为减少了对不相关消费群体的侵扰，同时降低目标消费群体获取商家商品信息的成本，消费群体作为不特定人，其利益本身就是公共利益的一个维度。（3）信息交易行为。目前的信息由少数大企业控制，通过公平、合理的信息交易行为，使其他的信息利用者能够利用和分析这些信息，能够促进信息在更广的领域内流通。因此，大数据时代个人信息的商业利用有利于促进社会公共利益，立法允许信息的商业利用是兼顾信息主体人格尊严与信息自由的必然选择。endprint

（三）结合生活事实全面认定个人信息的本质

类型化要求确定一定标准对研究对象进行归类。个人信息常见的分类标准一般有以下几种：

1.直接个人信息和间接个人信息。这是一种学理上的分类，依据个人信息与信息主体的识别性，分为直接个人信息和间接个人信息。随着信息技术的发展，个人信息相互结合也可以识别信息主体，因此有学者说大数据时代已经没有不重要的个人信息，大数据越多越好。例如，朋友圈中晒出的照片和视频通常包含大量个人信息，包括姓名、性别、年龄、肖像、身高、职业、职务、学历、家庭住址、个人消费习惯以及地理位置等等，还有很多聊天记录甚至会显示个人银行账号、支付宝账号等。直接个人信息是指能够直接识别信息主体的个人信息，包括姓名、身份证号、肖像、声音、基因。间接个人信息是指需要结合其它个人信息方能识别信息主体的个人信息，如性别、年龄、身高、职业、学历、家庭住址、个人消费习惯、网络浏览记录、消费能力、地理位置、银行账号、支付宝账号等。直接个人信息与信息主体具有直接对应的关系，具有直接指代性，与信息主体的人格联系较为紧密。而间接个人信息则不同，本质上与信息主体的人身联系较为疏远，如网络视频中的自然人肖像模糊，性别的确定也不能直接对应某一个具体的信息主体，但性别信息如果与其它间接个人信息相互结合就可以识别出具体的信息主体，间接个人信息仍然应当受到法律保护。立法应当区分直接个人信息与间接个人信息，对直接个人信息的保护强于间接个人信息。

2.敏感个人信息和一般个人信息。这种分类多出现在个人信息保护立法中，大多数国家立法禁止对敏感信息进行收集、处理、利用，以彰显对敏感个人信息的特殊保护。就敏感信息的立法模式而言，大多数国家采取例举式，但具体例举的敏感信息种类稍有差异。如1995年《欧盟數据保护指令》规定的敏感信息包括关涉个人种族起源、政治观点、宗教或者哲学信仰、贸易伙伴，以及健康和性生活的个人信息。2012年该指令被修改为《欧盟数据保护条例》，增加了工会成员资格、基因资料、刑事犯罪资料三类敏感信息。2016年《欧盟数据保护法规》第9条规定的敏感信息包括种族、民族出身、政治观点、宗教或哲学信仰、工会成员、基因、生物特征、性生活或性取向信息。1998年英国《个人资料保护法》规定敏感个人信息包括种族、政治观点、信仰、工会所属关系等。2002年德国《联邦个人资料保护法》规定种族血统、政治观点、宗教或哲学信仰、工会成员资格、健康或性生活五类敏感信息。我国台湾地区2010年“个人资料保护法”明确列举了五种敏感信息，包括医疗、基因、性生活、健康检查及犯罪前科信息。我国2013年实施的《征信业管理条例》第14条第1款也有类似规定。

由此可见，敏感信息的界定因国别和时代不同而不同。尽管各国立法均例举敏感信息的种类，却都没有界定敏感信息的内涵。敏感信息的本质不在于私密性，不能等同于个人隐私，正如学者所言“敏感个人信息是指被认为具有特殊风险，从而通常受到特殊保护的个人信息”。由于敏感信息在政治、经济、文化、社会上的特殊性，立法严格禁止利用敏感信息，敏感信息之外的一般个人信息则可以在符合法律规定条件下进行合理利用，如我国《征信业管理条例》第14条第1款规定禁止采集敏感个人信息，第2款规定一般个人信息在取得信息主体明确、书面同意后可以利用。

3.个体性强的个人信息和社会性强的个人信息。理论和立法上都很少采取这种分类。个人信息是识别自然人的信息，毋庸置疑具有个体属性。然而，随着信息社会的发展，人们自愿在网络平台上共享个人信息，以促进社会交往。此外，信息主体在求职、网购、商业保险等社会活动中，往往被要求提供姓名、手机号码这些结构化信息，以降低交易成本、促成社会交往活动的顺利完成。无论是主动或被要求提供个人信息，都证明个人信息的社会属性在逐渐加强。不同的个人信息，其社会属性的强弱程度不同。个体性强的个人信息，主要反映在个人私人活动领域中，包括婚姻状况、性生活、个人健康信息，这些个人信息在一般社会交往活动中不是信息主体的个人表征，具有较强的私密性，社会性较弱。社会性强的个人信息主要包括三类：第一，作为社会交往主体符号的个人信息，如姓名、身份证号码、社会保险号码、手机号码。第二，社会活动中展示个人直观表征的个人信息，如肖像、声音、身高、体重。第三，动态行为信息，如网络浏览习惯、地理位置、消费爱好、消费能力、网络聊天记录、朋友圈信息等。与个体性强的个人信息相较而言，社会性强的个人信息与信息主体的人格尊严相对较为疏远，其合理利用的条件应当更宽松。为便于全面揭示典型个人信息的本质，请看下表：

如上文所述，保护人格尊严是个人信息立法的法律理念，因此应通过与人格尊严的关联程度来确定个人信息的本质。直接个人信息、敏感个人信息、个体性强的个人信息的本质是与人格尊严密切相关。间接个人信息、非敏感个人信息、社会性强的个人信息的本质是与人格尊严较为疏远。

（四）合理确定个人信息的类型

上表中每一种个人信息可以同时进入上述三个标准的视野，如姓名依据上面的分类标准，分别是直接个人信息、一般个人信息、社会性强的个人信息。婚姻状况则依次是间接个人信息、敏感个人信息、个体性强的个人信息。如此复杂、多元的分类标准，不利于立法者对个人信息利用行为进行合理、有效的类型化立法规制，也同样不利于司法裁判者作出事实判断和法律适用。个人信息保护法律规范的立法目标是个人信息保护与信息自由的平衡，个人利益与社会公共利益的平衡。鉴于个人信息类型化法律规范要使个人信息的本质与价值理念相调适，笔者尝试将个人信息分为两类：

1.人格紧密型个人信息。符合直接识别性、敏感性、个体性强三个特征中任何一个特征的个人信息，都属于人格紧密型个人信息。直接识别性、敏感性、个体性强均是人格紧密型个人信息的充分条件，满足其中任何一个条件就可以得出人格紧密型个人信息的结论。

2.人格疏远型个人信息。同时符合间接识别性、非敏感性、社会性强三个特征的个人信息，属于人格疏远型个人信息，如手机号、电子邮箱、微信号、微博号、地理位置信息等。间接识别性、非敏感性、社会性强是人格疏远型个人信息的必要条件，欠缺任何一个条件，就不是疏远型个人信息，而是紧密型个人信息，如种族、宗教信仰、党派由于欠缺非敏感性，所以是紧密型个人信息。姓名、身份证号、肖像欠缺间接识别性，是紧密型个人信息。endprint

笔者如此分类正是为了与兼顾信息保护和信息自由利用的价值理念相调适，对于人格紧密型个人信息，法律更多地将信息利用的同意权能赋权给信息主体；而对于人格疏远型个人信息，法律应当对其利用设置明确的基本要件，信息主体的同意权能受到法律限制。正如拉伦茨所言，“至少在私法的领域中，法律的目的只在于以赋予特定利益优先地位，而他种利益相对必须作一定程度退让的方式，来规整个人或社会团体之间可能发生，并且已经被类型化的利益冲突”。

四、基于个人信息类型化的同意要件

（一）人格紧密型个人信息

由于人格紧密型个人信息与信息主体的人格尊严紧密相关，个人信息保护法应当将此处的“同意”限定为积极同意、事前同意、书面同意。

1.积极同意。积极同意，简言之，明確同意后方可利用。有学者认为，信息主体对于直接个人信息具有“支配权”，应当适用财产规则进行保护，即未经信息主体明确同意不得利用其个人信息。宽松的消极同意可能对信息主体的人格尊严造成不可恢复原状的损害，建议对直接个人信息采取积极同意规则。笔者认为，直接个人信息的本质属于人格紧密型个人信息，积极同意规则应当适用于所有人格紧密型个人信息，包括直接个人信息、敏感个人信息、个体性强的个人信息。

2.事前同意。个人信息利用的环节包括收集、处理、利用。收集是后续环节的前提，收集前征得信息主体的同意，能够对其他环节防范于未然。反之，对于人格紧密型个人信息，如果收集时未征得信息主体同意，后续的处理、利用、交易环节信息主体更无法操控，其信息控制权即无意义。《欧盟数据保护法规》第7条规定信息主体可以撤回同意，而且撤回同意前的信息利用行为是合法利用行为。可见，经过事前同意的信息利用行为是合法利用行为。

3.同意的形式。同意体现了信息主体的意思表示，我国《民法总则》第140条规定：“行为人可以明示或者默示作出意思表示。沉默只有在有法律规定、当事人约定或者符合当事人之间的交易习惯时，才可以视为意思表示。”明示是指书面和口头的明确指示，默示是指通过积极行为表明同意的意思表示。沉默不得作为人格紧密型个人信息利用行为的同意要件，如《欧盟数据保护法规》明确规定沉默不得视为同意。其中，书面形式的明示功能和证据效力最强，我国台湾地区2010年“个人资料保护法”第20条第（六）项规定“经当事人书面同意”。我国《征信业管理条例》第14条第2款也有类似规定。人格紧密型个人信息的利用应当建立在保护人格尊严基础上，故严格的书面同意更有利于确保信息主体的知情同意权。

（二）人格疏远型个人信息

1.信息主体消极同意

人格疏远型个人信息与信息主体人格尊严联系较为疏远，即使没有经过信息主体的积极同意即利用，不会直接导致信息主体的人格权益受损。而且，大数据时代大量的人格疏远型个人信息被商业利用，如果采取积极同意、事前同意、书面同意，不具可行性：第一，信息利用者利用格式条款告知信息，难以充分实现信息主体的知情权，此时信息主体的积极同意就很难体现信息主体的真实意愿，如互联网企业采取隐私权政策的格式条款告知信息利用的范围、信息利用目的等条款存在用语模糊、不赋予用户磋商权利的弊端。第二，信息具有无形特点，且信息利用要经过产生、收集、存储、处理、传输、分析多环节，一旦进入后一环节，信息主体几乎无法进行独占性的控制；大数据的发展使信息的二次利用更有价值，但二次利用时其用途更是无法预先告知。第三，大数据时代信息多、生成快速、价值巨大，如果信息利用都须征得同意，则增加信息利用者的成本，也会给信息主体增加不断回复“同意”导致的时间成本。基于上述分析，笔者认为积极同意不适于人格疏远型个人信息的商业利用行为。

2.信息主体拒绝权

对于不需要积极、明确同意的个人信息商业利用情形，信息主体是否无控制权而任由他人利用呢？法律可以赋予信息主体拒绝权，以保障信息主体的信息控制权。我国台湾地区2010年“个人资料保护法”第20条规定：“非公务机关依前项规定利用个人资料行销者，当事人表示拒绝接受行销时，应即停止利用其个人资料行销。非公务机关于首次行销时，应提供当事人表示拒绝接受行销之方式，并支付所需费用。”无独有偶，我国《消费者权益保护法》第29条有类似规定。从现有法律规范来看，信息主体享有拒绝权，未拒绝的视为同意利用。信息主体行使拒绝权的前提是被充分告知信息利用范围、方式、目的、不利后果等，告知义务为信息利用者的法定义务，信息利用者违反告知义务将承担侵权损害赔偿责任。《欧盟数据保护法规》第21条规定信息主体的拒绝权，同样适用于人格疏远型个人信息。

对个人信息商业利用行为采取“消极同意+拒绝权”模式，2002年《欧盟电子隐私指令》规定“opt—out”模式，即为适例。该模式比传统的“opt—in”模式（即不得未经个人信息主体同意使用个人信息）更宽松。2004年“opt—out”模式被美国谷歌数字图书馆计划采用，出版商或作者明确拒绝谷歌使用时谷歌将停止使用并承担侵权责任，如未明确拒绝，视为出版商或作者放弃权利。这种模式虽然争议极大，但优势也得到认可：节约成本、有利于绝版作品进入公众视线、利于建设公共图书馆的数字图书馆。在当今大数据时代背景下，个人信息被频繁地加以利用，有利于促进经济发展与创新。对于人格疏远型个人信息而言，采取这种消极同意模式，既能促进大数据时代的发展，同时又能兼顾信息主体的人格尊严。如手机号码，采取“宽进严出”的消极同意规则有利于人际交往和经济活动需求。如果信息主体明确拒绝对方向该手机号码发送商业性广告，则对方应当停止，以此实现信息主体人格尊严保护与信息利用的平衡。

五、结论

综上所述，传统社会的个人信息保护理论所要求的积极、事先同意对于大量信息自动处理的大数据时代确有诸多不妥，正如学者所言“传统‘信息自决权保护范围过于宽泛，侵犯条件容易满足，这既不符合现实要求，也将导致该领域陷入‘法律化陷阱”。不同性质的个人信息要求的信息利用同意要件不同，对于人格紧密型个人信息，同意要件体现为积极同意；而对于人格疏远型个人信息，同意要件体现为消极同意。基于个人信息类型化采取区分的信息利用同意要件，有效地避免了学者担心的信息禁止的不利后果。大数据时代背景下个人信息商业利用同意要件应当区分适用：对于人格紧密型个人信息，同意要件表现为信息主体的积极、事前、书面同意；对于人格疏远型个人信息，信息主体在知情前提下可以拒绝，未拒绝的视为同意利用。

我国《民法总则》第111条没有规定个人信息利用的同意要件，既为未来细化个人信息利用的法律规则留下立法空间，同时将个人信息利用合法与否的裁量权赋予给司法裁判者。笔者基于个人信息的类型化研究，建议司法裁判者针对不同类型的个人信息适用不同的“同意”要件，以实现信息时代信息利用与个人信息保护的平衡。endprint