胡文华 黄道丽 孔华锋

(公安部第三研究所 上海 201204)

0 引 言

在个人数据保护领域，同意规则是目前国际立法和实践中的通行做法。随着大数据时代的到来，传统的同意规则面临着诸多新挑战，网络服务提供商冗长的隐私政策、强势的格式条款并未给用户提供真正的选择空间，在诸多场景中用户同意难以真正实现。此外，过于严苛的“同意”规则会造成数据企业经营成本的增加，制约数据经济的发展。在此背景下，各国纷纷开始重新审视同意规则在个人数据保护中的实际效用，探索新时代语境下同意规则的合理性及适用问题。

整体上看，我国采用了国际上的通行做法，亦将同意规则确立为个人数据保护的重要机制。立法上我国已经通过《网络安全法》在基础法律层面确立了同意规则，并不断通过完善相应的配套法规和标准加以推进。司法实践中，我国已经发生了多起“同意规则”相关案例，同意规则在司法实践中进一步落实和加强。

在同意规则因大数据时代的到来面临诸多困境，各国纷纷对其进行反思和修正之际，我国目前对于“同意规则”的立法设计是否合理尚存争议，有学者认为“同意规则”无论是基于信息不对称理论还是信息自决理论，在理论基础上均不具有正当性。在实践中也缺乏必要性和可能性，在效用上不符合经济政策的考量，进而进一步认为同意并不是个人信息处理的正当性基础，建议建立一种“宽进严出+删除权”的个人信息保护策略[1]。也有学者认为虽然同意规则面临着诸多挑战，但面对这些挑战，解决路径绝非完全抛弃“个人同意”，而是正确认识“个人同意”在不同场景下应当发挥的作用，以及在不同场景下发现、设计不同的管控机制[2]。我国在个人数据保护框架中该如何应对同意规则需要进一步研究。本文将从“同意规则”的源流出发，立足国内实践，重新检视其在大数据时代面临的困境，进而为我国个人数据保护“同意”机制的设计和适用提出相应的修正建议。

1 个人数据保护“同意规则”的源流

个人数据保护中的“同意规则”是指数据控制者或数据处理者收集、使用个人数据应当获得数据主体的同意，数据主体对于上述行为的“同意”是进行个人数据处理的合法性基础。同意规则作为个人数据保护的重要机制，其理论基础主要在于个人信息自决权，旨在加强数据主体对其个人数据的控制力。国际条约层面，最早明确规定同意规则的是经济合作与发展组织(OECD)1980年颁布的《关于隐私保护与个人数据跨界流通的指导方针》，该方针提出了个人数据保护的八项基本原则。其中，收集限制原则(Collection Limitation Principle)明确规定个人数据的收集行为应当受到限制，个人数据的获取应当是合法正当的，在适宜的情况下，应当告知数据主体或获得其同意；使用限制原则(Use Limitation Principle)规定个人数据不应当为收集目的之外的目的披露、获取或使用，除非获得数据主体的同意或法律授权。通过上述两项原则，OECD明确了个人数据收集和使用阶段同意规则的适用问题。2005年亚太经济合作发展组织(APEC)颁布的《隐私保护框架》对于个人数据的收集行为，并未要求数据收集者要征得数据主体的同意，但明确规定收集的个人数据只能应用于与收集目的相符或相关的用途，并将获得数据主体的同意作为例外情形。

国家或区域立法层面，作为个人数据保护的先驱，欧盟早在1995年颁布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(以下简称“95指令”)中就明确规定了同意规则。95指令列出了六项个人数据处理的合法性基础，并将数据主体的同意作为首要基础，对于同意之外的其他合法性基础条件的满足则设置了更高的要求，严格限制了其他合法性规则的使用。在95指令中，个人数据的处理是指针对个人数据进行的包括收集、记录、存储、使用、披露等所有操作。进言之，95指令所规定的同意规则原则上适用于个人数据的全生命周期。2000年颁布的《欧盟基本权利宪章》第八条将个人数据保护上升到基本权利的高度，并再次明确了同意是个人数据处理的重要的合法性基础。同意规则在个人数据保护机制中的地位进一步提升。2016年欧盟颁布了《一般数据保护条例》(General Data Protection Regulation，以下简称“GDPR”)，GDPR基本沿袭了95指令中的同意规则。美国方面，美国没有专门的个人数据保护法，也更加重视个人数据的流通和利用，因而原则上对于个人数据无需获得数据主体的同意即可处理。但对于一些特殊领域或者特定环节的个人数据处理行为仍要求获得数据主体的同意方可处理。例如1970年颁布的《联邦公平信用法》规定了信用报告机构只有接到消费者的书面同意，才能向第三人披露消费者信用报告，但为了消费信用贷款、就业和承租调查、保险等相关业务中提供信息除外[3]；将于2018年施行的《儿童在线隐私保护法》明确规定了网络运营商收集处理儿童个人数据时应当获得其监护人的同意[4]。

从以上可以看出，尽管各国对于同意规则的规定略有不同，但整体上看，均从立法上承认了同意规则在个人数据保护方面的重要作用。近年来，随着大数据时代的到来，传统的同意规则开始面临诸多挑战，各国开始重新反思同意规则在个人数据保护领域的实际效用。2017年加拿大在其发布的《2016至2017个人信息保护及电子文件法案和隐私法案年度报告》中深刻反思了同意规则在当下的不足，认为技术的复杂性对真正的同意构成了挑战，并提出了新增个人数据处理合法性事由，明确绝对不能处理的个人数据范畴(即使数据主体同意也不可使用)，在同意规则之外，通过加强政府监管和企业问责来共同实现个人数据保护目的等完善意见[5]。欧盟方面，为弥补传统同意规则的不足，GDPR新增了同意可撤回的规定以及“被遗忘权”。2017年欧盟第29条数据保护工作组发布了《一般数据保护条例下“同意规则”适用指南》，对有效同意的要素做出了严格的限制，明确只有当数据主体享有控制力，并且数据控制者提供了真实选择机制的情况下，同意才是个人数据处理的合法基础[6]。美国方面，在OECD《关于隐私保护与个人数据跨界流通的指导方针》修订过程中，微软曾组织了一个由隐私专家组成的工作组针对该方针的修订出具意见稿。关于知情同意规则，该意见稿指出数据保护责任应当从数据主体转移至数据控制者，而不应当过分关注知情同意规则。数据控制者应对数据主体能否合理预见其数据被收集加以评估，以确定是否需要经过数据主体的同意[7]。

2 个人数据保护保护同意规则的国内实践

相较于欧美，我国个人数据保护起步较晚，对于同意规则的规定也主要是效仿国际上的做法。从目前我国有关个人数据保护的立法和司法实践来看，“同意规则”占据着举足轻重的地位。

2.1 立法实践

2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确规定网络服务提供者收集使用公民个人信息应当获得公民个人的同意。在之后的《消费者权益保护法》、《电信和互联网用户个人信息保护规定》、《征信业管理条例》、《地图管理条例》中均针对特定领域的个人数据收集使用行为规定了同意规则。

2017年施行的《网络安全法》以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高解释”)进一步明确了同意是个人数据处理的合法性基础。其中，两高解释对于非法获取和提供公民个人信息的行为做出了规定，明确了未经数据主体的同意收集或者提供公民个人信息的可能构成侵犯公民个人信息罪。《网络安全法》第二十二条第三款、第四十一条第一款、第四十二条第一款分别对同意规则做出了规定。其中第四十一条第一款明确了个人信息收集和使用环节应当严格适用同意规则，且未规定任何的例外情形。第四十二条第一款明确了个人数据提供环节亦应当严格遵守同意规则。虽然第四十二条将“经过处理无法识别特定个人且不能复原”的信息排除在同意规则的适用范围之外。但根据个人信息的定义，“经过处理无法识别特定个人且不能复原的”的信息不再属于个人信息。因此，《网络安全法》实际上规定了对于所有个人信息的收集使用提供等处理行为均应当严格适用同意规则。此外，需要注意的是，2014年施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条对个人数据的公开行为做出了规定。该条明确了网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料等个人隐私和其他个人信息，造成他人损害的应当承担侵权责任。但规定了以下例外：(1) 经自然人书面同意且在约定范围内公开；(2) 为促进社会公共利益且在必要范围内；(3) 学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人；(4) 自然人自行在网络上公开的信息或者其他已合法公开的个人信息；(5) 以合法渠道获取的个人信息；(6) 法律或者行政法规另有规定。从该条来看，除了获得数据主体的同意之外，个人数据的公开行为至少还有其四项合法性基础，但位阶较高的《网络安全法》并未作出类似例外规定。

综上，我国“同意规则”的立法规范存在以下特点：(1) 数据主体的同意是个人数据处理的重要合法性基础，但与国际趋势不同的是，我国将同意作为个人数据处理的唯一的合法性基础；(2) 对于个人数据处理行为的同意是一次性授权，尚未有关于撤回同意的规定；(3) 对于个人数据不区分场景、类别、处理环节均要求适用“同意规则”。

2.2 司法实践

我国已出现了多起“同意规则”适用纠纷相关案例。2014年朱烨诉百度案中，原告朱烨认为百度未经其知情同意，记录和跟踪了其所搜索的关键词，并利用记录的关键词对其浏览的网页进行广告投放，侵害了其隐私权，诉至法院，要求百度停止侵害并赔偿精神损失。一审法院认为百度利用cookie技术收集朱烨信息，并在其不知情和不愿意的情形下进行商业利用，侵犯了朱烨的隐私权。二审法院最终认为百度收集的cookie信息并非个人信息，且已经征得了朱烨的同意，不属于侵权行为，遂撤销原判，驳回朱烨全部诉求。该案的主要争议点在于百度收集信息的行为是否应当遵守同意规则以及百度是否已经满足了同意规则的要求，也导致了一二审截然不同的判决。

2015年周盛春诉阿里案中，原告周盛春诉称阿里巴巴《手机淘宝——软件许可使用协议》中“协议终止后，阿里巴巴有权继续保留您的信息，但阿里巴巴没有义务以任何形式向您提供该等信息”一款未明示信息收集的范围，违反了《消费者权益保护法》第二十九条的规定，应予撤销。另一条款——“对于使用许可软件时提供的资料及数据信息，您授予阿里巴巴及其关联公司独家的、全球通用的、永久的、免费的许可使用权利……”是格式合同，侵犯了用户通信和隐私权，应属无效条款。法院审理认定上述条款系双方真实意思表示，内容不违反法律、行政法规的强制性规定，合法有效，驳回了原告诉求。

2016年新浪诉脉脉反不正当竞争案中，针对Open API开发合作模式中数据收集者如何从第三方合法获取个人信息的问题，二审法院提出了“用户授权”+“平台授权”+“用户授权”的三重授权原则，即在Open API开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意。同时，第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围，再次取得用户的同意。三重授权原则的提出进一步提高了个人数据收集过程中的“同意”要求。

从以上案例可以看出，我国相关司法实践亦严格遵守同意规则，数据处理行为是否获得了数据主体的同意是该行为是否合法的重要评判标准。此外，部分司法案例将同意规则的要求加以细化和强化。

3 个人数据保护“同意规则”的检视

总体来说，我国已经在立法上确立了比欧美更为严格的同意规则，并在司法实践中不断加以落实。随着大数据时代的到来，互联网技术的发展，同意规则面临诸多挑战。对于数据主体而言，不合理的同意规则不仅不会给数据主体带来保护个人数据的效果，还可能会给数据主体带来负担。对于网络服务提供者而言，同意规则是把双刃剑，既可能成为其免责的利器也可能为其带来巨大的合规风险。对于社会而言，不合理的同意规则也会影响数据保护和数据利用的平衡，阻碍数据红利的释放。在各国开始纷纷反思同意规则之际，我国也亟需对同意规则进行重新检视。

3.1 同意效用的局限性

无论是欧盟还是美国，亦或是我们国家，无论是从个人数据保护法还是合同法的角度，“同意”均应当是建立在知情的基础之上，以个人自由意愿做出的表示。但现实中，知情的、自由的同意却很难达到。

首先，同意的前提是信息透明。只有建立在信息透明的基础上，数据主体的同意才是有意义的。在实践中，个人数据处理的透明度往往通过隐私政策或服务协议实现。但冗长的、语言生涩难懂的隐私政策或协议并不能实现真正的透明。此外，无论是在1980年 OECD颁布的《关于隐私保护与个人数据跨界流通的指导方针》时期，还是欧盟95指令时期，相较于大数据时代，彼时的个人数据收集使用行为不多，应用场景较少，在该环境下知情同意原则还能起到预期的作用。从透明度上看，应用场景和技术相对不复杂，使得数据控制者还能够通过隐私政策或者其他方式保证透明度。但是，到了大数据时代，收集和使用的个人数据急速增长，数据应用场景也不断增多，数据处理技术也是日新月异，这些根本性的变革导致了一个简单的隐私政策并不能说明数据收集和使用的情况。在这种情形下，很难保障数据主体做出的同意的意思表示是建立在充分知晓和理解其行为意义的情况下做出的。

其次，同意应当建立在选择自由的基础上。但在诸多场景中，数据主体和数据收集者或处理者地位的不平等性导致同意很难甚至不可能自由做出。例如网络服务提供者提供的隐私政策或者其他选择机制表面上赋予了数据主体以选择权，实际上数据主体并没有多少选择的空间。随着信息化的进一步发展，越来越多的人依赖网络服务，在这种背景下，数据主体要使用网络服务或产品，除了同意别无选择[6]。在就业场景中，鉴于雇佣关系的存在，雇员很难根据自己的意愿选择拒绝雇主对其个人数据处理的要求，而无需担心相应的负面影响[9]。鉴于此，在许多情形下同意流于形式，而失去了实质意义。

3.2 绝对同意的不可能性

在适当的场景中适用“同意”规则对于保护个人数据至关重要。但是在构成有效同意的要素不太可能存在的情况下，将削弱数据主体在实践中的地位。随着信息技术的发展以及数据应用场景的增加，绝对的同意在现实中并不可能[9]。

首先，在脱离初始方的场景下，数据控制者如何征得数据主体的同意？例如如何要求搜索引擎在收集处理个人数据时征求数据主体的同意？如何在大数据分析的场景下要求数据处理者获得数据主体的同意[10]？

其次，随着数据收集、处理方式日趋复杂化。在多数情况下，商业模式、供应商关系、技术应用的复杂性已经超过了个体的理解和预期能力。数据主体在表示“同意”意愿时，实际上很难预料到当时的“同意”行为究竟会对其带来何种程度的影响[12]。在此种情况下，个体很难具备通过主动选择进行信息决策控制使用和共享的能力。此外，从数据收集者角度看，信息技术日新月异，数据收集先于目的已经成为常态，意味着在一些情况下，数据控制者在收集数据时对于数据收集的目的和应用也是难以确定的。对于数据主体而言更是增加了同意内容和后果的不可知性。从这一层面来看，在诸多场景中，绝对的同意并不可能。

3.3 数据利用对于同意规则的冲击性

随着大数据时代的到来，大数据在推动经济转型创新、重塑国家竞争优势、提升政府治理能力等多领域发挥着巨大作用，数据资源日益成为人类社会的生产要素和国家基础性战略资源。在全球范围内，美欧等发达国家相继制定实施大数据战略文件，大力推动大数据发展和应用。我国也先后颁布了《国务院关于印发促进大数据发展行动纲要的通知》、《中华人民共和国国民经济和社会发展第十三个五年规划纲要》等战略性文件，明确提出要全面推动大数据发展和应用，释放数据红利。

在此背景下，个人数据作为大数据的重要基础资源，同样具有重大的商业价值和社会价值。因此，在个人信息保护立法过程中，不同于传统隐私权从个体出发为个体提供单一向度的权利保护，个人信息需要从保护和利用两个角度兼得的视角加以考量[11]。这也符合目前国际上个人数据保护的立法趋势。

与促进数据利用理念相悖的是，过分严苛的、不加区分的适用同意规则将大大增加数据收集处理的成本以及合规风险，阻碍个人数据的流通以及数据利用。因此，为促进个人数据的价值实现更高层次的释放，传统的同意规则需要有适度的缓和。

4 个人数据保护“同意规则”的修正

需要注意的是，虽然同意机制在当下产生了诸多问题，对其进行重新审视是必要的，但反思的结果不能是矫枉过正。个人数据保护，在规则设计方面，除同意规则之外，还有最小化原则、目的限制原则、公开原则、数据质量原则等，多种原则形成有机整体共同为个人数据保护保驾护航；在法律规范模式方面，不能完全依靠个人私权的模式，还需要公权力的介入，加强对数据处理行为的监管。在保护方式方面，仅仅依靠法律并不能充分解决个人数据保护的问题，还需要技术上的努力，法律与技术结合共同为个人数据提供保护。据此可以看出，个人数据保护从来、也不应当只是同意规则的问题。因此不能仅仅因为同意规则不能为个人数据提供充分的保护就否定其存在的价值。

目前，无论是从个人自决还是风险控制的角度出发，同意规则仍应当是个人数据保护的重要机制，只是传统的同意机制在大数据时代面临着新的挑战。在新的社会背景下，我们需要对同意规则进行修正，以更好地发挥其对个人数据保护的作用，同时也有效调和个人数据利用与保护之间的冲突。目前我国正在积极推进个人信息保护法的立法工作，鉴于同意规则面临的诸多问题，在未来的个人信息保护法中“同意规则”可以从以下几个方面进行修正和完善。

4.1 明确同意并非个人数据处理的唯一合法性基础

首先，将同意作为唯一合法性基础不符合国际上的通行做法。欧盟95指在令颁布之前的90年版本的草案中，曾将同意作为个人数据处理的唯一的合法性基础。但遭到了众多反对。最终在95版本中，于同意之外增加了“为企业追求合法利益所必须”、“为保护数据主体的重大利益所必须”、“为履行合同所必须”、“为履行法定义务所必须”、“为保护公共利益所必须”等五个合法性基础。在之后颁布的GDPR中仍延续了上述做法。OECD《关于隐私保护与个人数据跨界流通的指导方针》也并未将数据主体的同意作为必然要求，而是仅要求在“适宜的情况下”应当获得数据主体的同意。

其次，将同意作为唯一合法性基础不利于个人数据保护和利用的有效平衡。从上文对于同意规则的检视可以看出，同意并不总是个人数据保护的最佳机制，例如在真实的同意基本不可能实现的场景中，同意不仅不能为数据主体带来保护，甚至可能带来额外的负担。大数据时代，对于个人数据开发利用的需求进一步加大，在有些场景中，征求数据主体的同意需要付出高昂的成本甚至技术上不可能。将同意作个人数据处理的唯一的合法性基础不符合经济政策的考量。

再者，有些领域并不适宜将数据主体的同意作为个人数据处理的合法性基础，例如在征信行业中，如果所有征信信息的收集使用需要获得数据主体的同意，极有可能会导致征信数据不能反映数据主体真实的信用情况。

因此，在数据主体的同意之外，我国可以参考欧盟95指令、GDPR的做法，将企业追求的合法利益，数据主体的重大利益，合同履行利益、社会公共利益等也纳入个人数据处理合法性基础加以考量。以缓解同意规则本身的局限性，有效平衡个人数据利用和个人数据保护的冲突，实现双赢。

4.2 明确同意的可撤回性

鉴于信息技术的飞速发展，数据利用场景的日趋多元，数据主体在做出同意时很难准确预测其同意的后果。因此，在大数据时代，数据主体对于数据处理行为的同意表示应当可以撤回，以最大限度地保障其同意的真实性，这也符合个人数据保护原则中的“语境保全”原则。欧盟GDPR就明确规定了数据主体有权在任何时候撤回其同意。

4.3 明确同意规则的区分适用

鉴于同意规则效用的局限性、绝对同意的不可能性以及个人数据利用对于个人数据保护的冲击性，在同意规则适用时，应当根据综合考虑个人数据可识别风险的高低、敏感度层级、公开性程度以及所处的数据处理环节等因素，加以区分适用。

4.3.1 同意规则在已识别与可识别个人数据中的区分适用

《网络安全法》规定，“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《网络安全法》之外，我国诸多规范对个人信息的概念做出了界定。例如最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕)指出，“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。工业和信息化部发布的《电信和互联网用户个人信息保护规定》第四条规定，本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

从诸多定义可以看出，我国目前对于个人信息的界定较为统一，采用了欧盟的传统做法，将可识别性作为个人数据界定的要素。个人数据包括能够单独识别自然人的个人数据和需要与其他信息结合才能识别自然人的个人数据两种。对应欧盟法上的已识别个人数据和可识别个人数据。目前我国对于这两种个人数据采用的是同等保护模式，在同意规则的适用上亦是如此。

事实上，已经识别的个人数据和可识别的个人数据对数据主体的影响并不相同。前者具有较高的识别因子，能够直接指向数据主体，而后者仅仅具有识别的可能性，能否识别与具体的场景、当时的技术水平等外部因素密切相关。因此，二者给数据主体带来的风险是不同的，在数据保护水平和方式上应当区别对待。体现在同意规则的适用方面，对于可识别的个人数据，不适宜适用与已识别的个人数据同等的要求，甚至不适宜适用同意规则：首先，可识别的个人数据给个人带来的风险较小，在规则制定上应倾向于数据利用。其次，对于可识别的个人数据适用同意规则，效果可能会适得其反。因为对于仅具有可识别性的个人数据，如果要求数据控制者或处理者征求数据主体的同意，则意味着义务主体需要去积极识别该个人数据以将数据的使用情况告知数据主体并征得其同意。此种规则将促使大量仅具有识别性的个人数据变成已识别的个人数据，与数据保护的初衷相悖[12]。综上，对于可识别的个人数据的保护方式更多的应考虑通过安全保障原则、数据质量原则等其他数据保护原则加以规范，而不是通过同意规则。

4.3.2 同意规则在一般性与敏感性个人数据中的区分适用

根据敏感度层级的不同，个人数据可划分为一般个人数据和敏感个人数据。数据的敏感性程度不同，数据处理行为对于数据主体的影响也有所不同，对应的在个人数据的保护和利用规则上也应当有所不同。

对敏感个人数据加以特殊保护是目前国际上的通行做法。体现在同意规则的适用上，对敏感个人数据的收集或使用在征求数据主体的同意时，应当遵守更高规则的要求。欧盟GDPR要求敏感性个人数据的处理要获得数据主体明示(explicit)同意。新加坡2016年新生效的《个人数据保护法》规定对于一般数据获得数据主体的同意即可，对于敏感个人数据则须获得数据主体的书面同意。目前我国法律法规对于同意规则的适用上尚未明确区分一般个人信息和敏感个人信息，仅在国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》、《信息安全技术个人信息安全规范》中加以了区分。

未来我国在同意规则的设计中，在区分个人敏感数据与一般数据的基础上，可以通过强化对前者的保护和强化对后者的利用，调和个人数据保护与利用的需求冲突，实现利益平衡[11]。例如在同意的方式上，要求同意必须是明示的，必须是选择进入模式，技术或条件允许的话，通过即时的、单独的方式征求数据主体的同意，而不是通过冗长的隐私政策征求数据主体的同意。对于一般个人数据，则倾向于加强数据利用，在同意的要求上，可以设置较低的标准，例如可以使用选择退出模式，统一授权模式等。甚至，在规则设计上可以进一步给一般个人数据的利用松绑，无需获得数据主体的同意而是通过公权力加强监管的模式对其加以保护。

4.3.3 同意规则在公开和未公开个人数据中的区分适用

根据个人数据的公开程度，个人数据的公开包括完全公开、半公开和不公开。完全公开是指个人信息对公众公开，任何人均可获取该个人数据。半公开则是指个人信息对部分人公开，仅有相关权限或者特定的人才可以看到或收集。不公开则是指个人数据对除了数据主体以外的公众均不公开。

对于已经完全公开的个人数据要求获取数据主体的同意在许多情形下既不现实也无必要。例如，对于使用合法的新闻报道中的个人数据无需征求数据主体的同意。对于半公开的个人数据，是否需要征求数据主体的同意应当区别对待。主要原因在于，数据主体同意在此语境下使用个人数据，不代表同意在另一种语境下使用。因此，对于半公开的个人数据是否需要征求数据主体的同意需要中和考虑数据收集者的身份(是否属于半公开的对象)、数据使用的目的(是否仍在原语境中使用)等。对于尚未公开的个人数据则需要在同等条件下，遵循更高要求的同意要求。

4.3.4 同意规则在不同数据处理阶段的区分适用

广义的个人数据处理行为包括收集、使用、存储和转移、披露等各个环节。在数据处理的不同环节，数据主体对其个人数据的控制力并不相同，这也影响着同意规则能否真正实现的可能性。数据收集环节，数据主体与数据收集者直接交互，此种场景下，同意机制的落实相对简单。在数据收集之后的使用、利用等环节，实际上个人数据已经脱离了数据主体的控制，同意实际上很难实现，甚至在很多场景下，同意根本就是不可能实现或者实现的成本非常高昂。在这些情况下，同意规则或许并不是个人数据保护的最佳模式，而应当更多地考虑通过加强对数据处理行为的监管机制，例如加强数据处理者的安全保障义务，建立风险评估机制，加强责任问责制等来实现个人数据保护的目的。从这个角度看，在考虑是否应当适用同意规则时，数据处理阶段应当作为一个重要的考量因素。

5 结 语

目前，我国已经在立法上确立了比欧美更为严格的同意规则，并在司法实践中不断加以落实。我国“同意规则”的立法规范存在三大特点：(1) 数据主体的同意是个人数据处理的重要且唯一的合法性基础；(2) 对于个人数据处理行为的同意是一次性授权，尚未有关于撤回同意的规定；(3) 对于个人数据不区分场景、类别、处理环节均要求适用“同意规则”。我国相关司法实践亦严格遵守同意规则，数据处理行为是否获得了数据主体的同意是该行为是否合法的重要评判标准。

与国际层面面临的挑战和困境相似，我国个人数据保护的“同意规则”面临三大挑战：同意效用存在局限性，建立在知情的、自由的同意很难达到；绝对同意在诸多场景中不可能实现；个人数据利用成为个人数据立法的一个重要向度，不科学的同意规则的设计将会阻碍个人数据的流通以及数据利用。

虽然同意机制在我国当下实践中产生了诸多问题，但从现有立法体系和实施环境考察，其仍是目前我国个人数据保护的重要机制，本文建议从三大方面进行修正和完善：首先，明确同意并非个人数据处理的唯一的合法性基础。在数据主体的同意之外，我国可以参考95指令、GDPR的做法，将企业追求的合法利益、数据主体的重大利益、合同履行利益、社会公共利益等也纳入个人数据处理合法性基础加以考量。其次，明确同意的可撤回性，最大限度地保障数据主体同意的真实性。最后，明确同意规则的区分适用。具体包括：区分同意规则在已识别与可识别个人数据中的适用、一般性与敏感性个人数据中的适用、公开与未公开个人数据中的适用以及不同数据处理阶段的适用。