●于海防

同意对私法秩序的建构具有重要意义，法律向来注重同意的真实性。但在个人信息处理领域，长期以来，个人信息处理者（以下简称处理者）所设计推行的格式化告知同意机制重表示轻意思，对同意真实性的保障严重不足，导致同意非真实却有效的反差大规模存在。司法实践主要采取行为导向，关注同意的表面存在却忽视了同意的取得过程，缺少对同意效力的深度审查，导致真实的同意与司法中的同意存在巨大差距。个人信息处理同意〔1〕为便于行文，本文将“个人对处理其个人信息的同意”简称为“个人信息处理同意”。本文还使用了“用户”“同意人”的概念，指的是作出个人信息处理同意的个人。有名无实的问题受到学界关注，有观点强调意思自治在告知同意中的基础地位，〔2〕参见叶名怡：《论个人信息权的基本范畴》，载《清华法学》2018年第5期，第154页。也有观点认为应对告知同意进行合理限制，〔3〕参见张新宝：《个人信息收集：告知同意原则适用的限制》，载《比较法研究》2019年第6期，第14-16页。还有观点提出应依托传统理论解决同意瑕疵问题，〔4〕参见王进：《论个人信息保护中知情同意原则之完善》，载《广西政法管理干部学院学报》2018年第1期，第66页。但相关研究与传统理论融合不足，未能厘清传统理论在个人信息处理领域的具体运用。《民法典》第1035条仅对个人信息处理同意作出简单规定。《个人信息保护法》采取意图导向，在第14条中将个人信息处理同意的一般有效条件规定为充分知情、自愿、明确，这有助于矫正实践中同意真实性与有效性的大规模背离。而且，《个人信息保护法》还对同意的类型、同意的撤回、同意能力以及处理者的告知等作出规定，从而建立起较为完整的告知同意机制。

从《个人信息保护法》对个人信息处理同意有效条件的规定来看，其追求的是实质同意，而非形式同意，强调同意的真实性。然而，《个人信息保护法》既未明确个人信息处理同意的性质，也未界定何谓充分知情、自愿、明确，甚至连告知与同意之间的关系也未规定，那么在落实告知同意机制时，应当如何对同意的有效条件进行解释与认定，以实现对同意真实性的保障？一般而言，应当依托意思表示理论与规则弥补《个人信息保护法》的不足，解决同意有效条件的解释与认定等问题。但《个人信息保护法》对同意的规定明显异于《民法典》对意思表示的规定，并且删除了草案中同意属意思表示的规定，以至于学界对意思表示理论与规则能否适用于个人信息处理同意产生争议。

一、个人信息处理同意的性质界定

从不同性质出发，个人信息处理同意的规则适用将产生差异，有效条件也将得到不同解释。对个人信息处理同意的性质界定应以其传统的性质界定为基础，否则将导致同意在民法体系内的过度割裂。

（一）个人信息处理同意性质界定中的争议、核心问题与解决进路

学界对个人信息处理同意的性质争议较大，主要存在法律行为说、意思表示说、处分说、委托说、法律上的行为说、双重属性说等不同观点。法律行为说与意思表示说虽分别认为个人信息处理同意属于法律行为〔5〕参见王泽鉴：《人格权法》，北京大学出版社2013年版，第214页；刘召成：《人格商业化利用权的教义学构造》，载《清华法学》2014年第3期，第131页；李伟、蒋文杰：《隐私协议用户知情同意的认定》，载《中国检察官》2021年第1期，第8-9页。、意思表示〔6〕参见郑佳宁：《知情同意原则在信息采集中的适用与规则构建》，载《东方法学》2020年第2期，第199页；马新彦、张传才：《知情同意规则的现实困境与对策检视》，载《上海政法学院学报》2021年第5期，第105页；张勇：《APP个人信息的刑法保护：以知情同意为视角》，载《法学》2020年第8期，第124-125页。，但差异不大，因为法律行为的核心就是意思表示。处分说、委托说在意思表示的基础上作出进一步分析，或者认为同意构成对个人信息权益的处分，〔7〕参见万方：《个人信息处理中的“同意”与“同意撤回”》，载《中国法学》2021年第1期，第167-168页。或者认为同意成立了委托关系或信义关系。〔8〕参见丁晓东：《个人信息保护原理与实践》（第1版），法律出版社2021年版，第89-101页。这些观点可称为意思表示肯定说。法律上的行为说认为个人信息处理同意欠缺效果意思，其法律效果取决于法律规定，应界定为法律上的行为，属于法定免责事由，不能界定为意思表示，否则将导致意思表示规则的错误适用。〔9〕参见程啸：《论个人信息处理中的个人同意》，载《环球法律评论》2021年第6期，第41-47页。还有类似观点指出，个人信息处理同意不会产生法律效果，不会导致法律关系的变动，且可随时任意撤销而不产生任何责任，与意思表示撤销规则不符，不应界定为意思表示。〔10〕参见张新宝：《个人信息保护法的基础理论与制度安排》，https://www.civillaw.com.cn/gg/t/?id=38270#，2022年7月9日访问。这些观点可称为意思表示反对说。双重属性说则基于传统同意在不同场景中的性质差异，以及意思表示规则的不完全适用，认为个人信息处理同意在合同场景中属意思表示，在侵权场景中属受害人同意，分别适用相应的规则。〔11〕参见陆青：《个人信息保护中“同意”规则的规范构造》，载《武汉大学学报（哲学社会科学版）》2019年第5期，第120-124页。

从上述学界争议可以看出，个人信息处理同意性质界定中的核心问题在于确定个人信息处理同意与意思表示之间的关系，以及二者在规则适用上的关系。个人信息属人格权益，〔12〕参见王利明：《和而不同——隐私权与个人信息的规则界分和适用》，载《法学评论》2021年第2期，第19页。受传统法上的人格权法定原则约束，而意思表示肯定说却多是从意思自治出发，认为个人信息处理同意构成意思表示，既缺少详细的理由分析，也未合理解释二者在规则上的龃龉。〔13〕参见王泽鉴：《人格权法》，北京大学出版社2013年版，第142、214页。《个人信息保护法（草案一审稿）》第14条曾将同意规定为意思表示，但在正式颁布时却予以删除。意思表示反对说与《个人信息保护法》的立法走向看似一致，也符合人格权法定原则，其基于对法律效果发生根据的分析，依托《个人信息保护法》上的同意规则迥异于意思表示规则，对意思表示肯定说提出了较为有力的质疑。不过，法律上的行为包括法律行为、事实行为、准法律行为，若宽泛地将个人信息处理同意界定为法律上的行为，仅是承认其具有法律意义，却未界定其性质。双重属性说大致是肯定说与否定说的折中，基于不同场景对个人信息处理同意的性质予以分别界定，而未作出统一界定。

当前对个人信息处理同意性质的争议是传统法上的同意性质之争在个人信息处理领域的延续与发展，问题与观点均有重叠。笔者认为，对个人信息处理同意性质的讨论应当在个人信息保护实践的基础上，结合传统法相关研究展开，一来可起事半功倍之效，二来可保障民法同意理论的体系性。

（二）意思是个人信息处理同意法律效果的产生根据

法律效果是按照主体意思还是按照法律规定产生，是判断行为属于意思表示（或法律行为）还是事实行为、准法律行为的关键。〔14〕参见杨代雄：《法律行为论》，北京大学出版社2021年版，第39-40页。个人信息处理同意是一种基于自决而表达意思的声明，〔15〕Vgl. G. Von Zimmermann, Die Einwilligung im Internet, epubli GmbH, 2014, S. 17-20.不能认为相关法律效果的产生完全取决于法律规定，与意思无关。

个人信息处理同意主要属于人格权领域中的同意。人格权法基于对人格尊严、自由的保护，预先设定了人格权秩序，主体无法在法律规定范围以外通过意思取得或处分人格权。考虑到对人格利益的经济利用，人格权法允许法定范围内的人格权益（如姓名、名称、肖像、个人信息）通过同意、合同等方式成为许可使用的对象，〔16〕参见王利明：《人格尊严：民法典人格权编的首要价值》，载《当代法学》2021年第1期，第8页。但不允许脱离人格权法定秩序。按照《个人信息保护法》第13条第1款的规定，在六种法定情形中，处理个人信息无需取得个人同意，相关法律效果无疑取决于法律规定，与个人意思无关；而在其他情形，处理个人信息需经个人同意，便不能认为法律效果与个人意思无关。个人同意的基础在于《个人信息保护法》第44条所规定的决定权，其属《民法典》第126条规定的“其他民事权利”，使个人可通过同意或拒绝同意等方式决定其个人信息是否被处理以及以何种方式处理，〔17〕参见江必新、李占国主编：《个人信息保护法条文解读与法律适用》，中国法制出版社2021年版，第145页。个人的意思对于个人信息处理具有决定意义，体现了个人的自主、自治。

作为决定权的行使方式，同意有单方同意与合同同意之分，前者表现为个人单方的同意声明，后者表现为个人对处理者所提出的《个人信息处理协议》等合同文本的承诺。〔18〕在我国，通过合同取得个人信息处理同意并不受限。而且，在告知同意的网络格式化流程中，同意的作出基本上均以告知为前提，二者通常具有要约、承诺的对应关系，借助合同理论解释告知同意可行且简捷。在笔者看来，不论是单方同意还是合同同意，法律效果的产生根据均在于意思。其一，个人信息处理同意在表现为合同同意时产生合同关系，法律效果的产生根据必然是意思，而不是法律规定，否则将违反合同法基本理论。因此不能在一般意义上认为个人信息处理同意欠缺产生法律效果的内心意思，或者认为法律效果的产生根据系法律规定。其二，单方同意与合同同意均是同意人的意思表达，所引发的法律效果亦无本质不同，对二者法律效果的产生根据不应作不同理解。这正如代理权的授予不论通过单方还是双方民事法律行为完成，法律效果的产生根据并无二致。其三，个人信息还具有财产属性，〔19〕参见彭诚信：《论个人信息的双重法律属性》，载《清华法学》2021年第6期，第80页。蕴含经济价值，事实上具有一定的市场性，虽然受到人格权法定秩序的制约，但主体的正当意思仍应得到尊重并产生相应的法律效果。其四，个人信息处理同意既可以是简单的同意，也可以包含更多内容，处理者在《个人信息保护法》规定之外提供更多保障（如支付费用）而个人同意接受的，或同意附加期限、条件、条款的，〔20〕在告知同意中，虽然同意人只是简单地表示同意，但告知的内容成为同意的条款，只要不违反强行性规定，均为有效。个人信息处理同意并非身份行为（不得附条件），虽然《民法典》与《个人信息保护法》并未规定其可否附加条件、期限，但按理应当可以。可参见张平华：《认真对待人格权法律行为》，载《政法论坛》2019年第5期，第146页。由于法律并无相关规定，只能按照意思内容确定相应的法律效果。

笔者认为，法律对个人信息处理同意的规定，是在个人信息具有双重属性的前提下，允许个人通过同意的方式处分其权益，并通过有效条件、同意能力、撤回等规则对同意作出必要的规范，使个人在法定范围内自治。在同意的意思内容与法律规定完全相同时，所引发的自治效果与法定效果一致，既可以认为法律效果取决于意思，也可以认为其取决于法律规定，甚至可以认为其同时取决于二者。但在同意包含超出法律规定的正当内容时，其引发的自治效果为法律所承认，内容却未由法律所规定，法律效果无疑取决于意思。从整体上看，应当认为个人信息处理同意之法律效果的产生根据是法定范围内的意思。一般而言，个人信息处理同意所产生的法律效果并不是转移同意人的权利或为同意人设定义务，而主要是为处理者设定许可使用权，从而引起个人信息处理法律关系的设立以及相应的免责。若同意包含其他内容，只要不违反强行性规范与基本原则，便根据其内容产生相应的法律效果。个人信息处理法律关系在设立后，还会因个人行使转移权、删除权、撤回权等而变更或终止。

（三）个人信息处理同意属于非典型意思表示

《个人信息保护法》关于个人信息处理同意的规定并不完备，对同意有效条件的解释依据不足，同意的生效时间、生效地点、代理、归属等也无从确定，这些问题只能借助其他法上相关理论与规则的适用得以解决。对个人信息处理同意作出定性，目的不仅在于在法教义学上对应有的法律秩序进行准确的描述，〔21〕参见［德］尼尔斯·扬森：《民法教义学》，朱晓喆、沈小军译，载《苏州大学学报（法学版）》2016年第1期，第100-101页。更在于在定性的基础上合理确定其他法的适用，以弥补《个人信息保护法》的不足，解决实际问题。笔者认为，双重属性说与法律上的行为说缺陷明显，无助于问题的解决。按照双重属性说，个人信息处理同意在不同场景中分属意思表示与受害人同意。但是，首先，《个人信息保护法》第13条第1款第1项将同意统一规定为个人信息处理的基础，第14条统一规定了同意的有效条件，这意味着个人信息处理同意的法律性质应当是统一的，不应当因场景的不同而不同。其次，受害人同意在《民法典》中并无明文规定，且其性质与规则适用本就存在较大争议，无法成为个人信息处理同意问题的解决依据。按照法律上的行为说，个人信息处理同意既然非为意思表示（或者说法律行为），便应为事实行为或准法律行为。然而，事实行为虽可解释同意的免责效果，但不考虑主体意思，且不存在撤回可能，不合理之处甚多。此外，将个人信息处理同意界定为准法律行为具有一定合理之处，且类推适用法律行为规则能够解决诸多问题。但准法律行为尽管存在意思，核心要素却是表示，法律效果取决于法律规定，而非意思。〔22〕参见常鹏翱：《对准法律行为的体系化解读》，载《环球法律评论》2014年第2期，第50-52页。仅凭个人信息处理同意可通过合同作出，便不可能将其界定为准法律行为，更何况准法律行为欠缺完备的理论与制度，无法为相关问题的解决提供充足依据。相形之下，个人信息处理同意无疑与意思表示最为契合，尽管并非完全契合。

意思表示规则应适用于个人信息处理同意，但无法否认的是，意思表示规则无法予以全部适用。在法教义学上应当如何解决这种矛盾？笔者认为，德国学界的解决方式可资借鉴。在德国法上，齐特尔曼在1906年提出的法律行为说长期占据主流地位，其首先将同意界定为法律行为，然后通过对法律行为概念的推导与法律行为规则的适用解决具体问题。但法律行为规则难以适用于同意能力、同意的任意撤销等问题，以至于法律行为说被批评背离了在法教义学上应有的一致性。〔23〕Vgl. Michael Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, Nomos Verlagsgesellschaft, 2017, S. 39-40.1958年，德国联邦最高法院在一起重要案件的裁判中放弃了法律行为说。〔24〕Vgl. BGHZ 29, 33 （36）.之后学界与实务界主要根据具体场景确定同意的性质与规则适用，事实行为说、准法律行为说均有运用，但法律行为说在20世纪60年代末开始回归与修正。〔25〕Vgl. Ansgar Ohly, “Volenti non fit iniuria”- Die Einwilligung im Privatrecht, Mohr Siebeck, 2002, S. 4.科波特（Kohte）认为正当同意与法律行为具有相同的目的，并且二者功能等同，均旨在实现自决，都是私法自治的工具。因此，法律行为规则适用于同意具有正当性，但在高度个人化的领域应该对规则的运用作部分修正。〔26〕Vgl. Wolfhard Kohte, Die rechtfertigende Einwilligung, Archiv für die civilistische Praxis 185 （1985）, 105, 149-160.欧利（Ohly）在对各种学说综合分析后，认为法律行为说难以妥当解释为何并非所有法律行为规则均可适用于同意，反对法律行为说的学说也难以妥当解释为何同意会适用部分法律行为规则。〔27〕Vgl. Ansgar Ohly, “Volenti non fit iniuria”- Die Einwilligung im Privatrecht, Mohr Siebeck, 2002, S. 203.欧利将法律行为说修正为非典型法律行为说，认为广义的同意是一种非典型的法律行为，在将法律行为规则适用于各式同意时，应当根据同意的场景进行目的论还原，审查法律行为具体规则的可适用性，而非一概适用。〔28〕同上注，第205页。非典型法律行为说能够合理解释同意能否以及如何适用法律行为规则，并在法教义学上实现同意的体系性统一，已成为德国法上包括个人数据处理同意在内的同意问题研究的基础之一。〔29〕Vgl. Benedikt Buchner, Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, 2006, S. 231; Klose/Straub,Willensmängel bei der Einwilligung in eine ärztliche Behandlung, Medizinrecht 37 （2019）, 714, 716.2019年，《德国联邦数据保护法》根据《欧盟一般数据保护条例》（General Data Protection Regulation，以下简称GDPR）的要求进行了修订，将同意定义为“Willensbekundung”（意愿声明），此与“Willenserklärung”（意思表示）的涵义极为相近。

从传统法的角度来看，同意向来为私法自治的工具，与意思表示、法律行为有较高的契合度，而在欠缺统一的同意法律制度的背景下，〔30〕同意的条件在不同场景中有异，解释途径多样，我国法并未对同意作统一规定。《德国民法典》在第三章“法律行为”第182条以下规定了同意（Zustimmung），包括事前的同意（Einwilligung）与事后的同意（Genehmigung）。但这并不是一种统一的同意制度，因为其所针对的是对他人所为之法律行为的同意（参见台湾大学法律学院、台大法学基金会编译：《德国民法典》，北京大学出版社2017年版，第181页），是一种辅助行为（参见［德］维尔纳·弗卢梅：《法律行为论》，迟颖译，法律出版社2013年版，第1065页），而非通常意义上的对他人干涉自己事务的同意，后者是一种独立行为。“只有求助于法律行为理论，才能避免诉诸于虚构，否则将导致个人权利的淡化”。〔31〕Vgl. Wolfhard Kohte, Die rechtfertigende Einwilligung, Archiv für die civilistische Praxis 185 （1985）, 105, 152.非典型法律行为说符合同意与法律行为“和而有异”的关系，合理解释了法律行为规则对同意为何应予适用以及为何不应完全适用，较为合理。不过，基于概念使用习惯的不同以及法律行为与意思表示的区分，并考虑到合同同意的情形，在我国法上应使用“非典型意思表示”的表述。虽然《个人信息保护法》删除了草案中同意属意思表示的规定，但这并不能说明其认为同意非为意思表示，而只能说明其规避了同意的定性问题。事实上，《个人信息保护法》对同意规定的不足唯有意思表示理论与规则才能弥补。在笔者看来，个人信息处理同意具备意思表示的构成要素（后文详述），法律效果的产生根据在于意思，通常具有典型意思表示的特点，但基于《个人信息保护法》的规定而在同意能力、有效条件、任意撤回等方面具有非典型性或者说特殊性。顺应同意的传统法定性，通过非典型意思表示涵摄个人信息处理同意，既符合其特点，也保持了法教义学上应有的一致性。而且，借助于完备的意思表示理论与规则，可以保障个人信息处理同意的真实性，生效时间、生效地点、代理、归属等问题也将迎刃而解。

个人信息处理同意作为一种非典型意思表示，除非《个人信息保护法》有特别规定，否则便应适用《民法典》上的意思表示、法律行为以及合同等规则。不过，在适用这些规则时应进行目的论限缩，结合立法意旨与具体场景予以选择性适用。《消费者权益保护法》《电子商务法》等法律的适用，亦同此理。在意思表示的意义上，充分知情、自愿、明确属于同意的意思表示在个人信息处理场合的特别法要件，应被理解为《民法典》第143条所规定的“意思表示真实”在个人信息处理领域的具化。在主流的意思表示三要素学说下，〔32〕对于意思表示构成要素的争议历来激烈。意思表示三要素学说在我国为主流学说，认为意思表示的构成要素包括效果意思、表示意思与表示行为。本文基于意思表示三要素学说对同意问题展开分析。充分知情与自愿属意思范畴，与效果意思、表示意思相关，而明确属表示范畴，与表示行为相关。通过《民法典》的规定与意思表示理论对充分知情、自愿、明确进行解释属题中应有之义。需要注意的是，《个人信息保护法》第14条应被解释为效力性强制性规范，欠缺充分知情、自愿、明确中的任一条件，同意应归为无效，而非可撤销。

二、对充分知情的认定

（一）告知、充分知情与同意之间的因果递进关系

现代法上的知情同意确立于“二战”后关于人体实验的《纽伦堡法典》，确立的原因是人类被试者应充分了解和理解所涉事项，以便能够作出明智决定。〔33〕See Josephine Shaw, Informed Consent: A German Lesson, 35 International & Comparative Law Quarterly 871 （1986）.此后，知情同意被引入隐私、个人信息保护领域。在此方面，美欧均奉行知情同意，但均有不足，欧盟虽更为严格，却也未能充分保障同意的真实性，以至于同意成为一种“虚幻的同意”。〔34〕See Yoan Hermstruwer, Contracting around Privacy: The （Behavioral） Law and Economics of Consent and Big Data, 8 Journal of Intellectual Property, Information Technology and Electronic Commerce Law 11 （2017）.这一困境的成因复杂，如知情同意的结构问题、主体的认知问题等。〔35〕参见吕炳斌：《个人信息保护的“同意”困境及其出路》，载《法商研究》2021年第2期，第89页。但在笔者看来，私益保护与产业发展间的矛盾是知情同意遭遇困境最根本的原因，因对二者的不同取舍而产生了意思进路与利益进路。意思进路强调意思自由与同意真实，侧重私益保护，〔36〕参见陆青：《个人信息保护中“同意”规则的规范构造》，载《武汉大学学报（哲学社会科学版）》2019年第5期，第124-126页。遵循的是意图导向。利益进路强调个人信息的社会控制与公益面向，侧重产业发展，〔37〕参见高富平：《个人信息保护：从个人控制到社会控制》，载《法学研究》2018年第3期，第92-100页。遵循的是行为导向。我国《个人信息保护法》之前的立法偏向于利益进路、行为导向，《全国人民代表大会常务委员会关于加强网络信息保护的决定》（2012年）与《网络安全法》规定的是告知与同意，《民法典》规定的是同意，均不要求同意人知情，这在实践中引发了不良后果。在商业领域，处理者对告知同意机制的设计注重告知合规，很少顾及告知的阅读率与同意人是否知情。在司法领域，法院对同意人是否知情也未予足够关注，通常只要存在告知与同意的行为，便简单地按照权利睡眠者与外观主义理论，认为告知已经保障了同意人的审查机会，同意有效。《个人信息保护法》则偏向于意思进路、意图导向，〔38〕《个人信息保护法》第1条将立法目的表述为：“保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。”其第44条赋予个人知情权、决定权，第14条对同意有效条件的规定强调同意的真实性，所体现的便是意思进路、意图导向。不过，《个人信息保护法》也对私益保护与产业发展予以平衡。应当说，《个人信息保护法》以意思进路为主，以利益进路为辅。同时规定了告知、知情、同意，并将充分知情规定为同意的有效条件，有利于扭转这一局面。但该法未明确告知与充分知情以及同意之间的因果关系，若不进行妥当解释，无助于问题的解决。

按照《个人信息保护法》第14条的规定，同意应当在个人充分知情的前提下作出。虽然《个人信息保护法》并未规定同意人的知情由何而来，但按照传统同意理论，同意人的知情源于被告知。〔39〕See Article 29 Working Party, Opinion 15/2011 on the Definition of Consent, WP 187, 2011, p. 23.事实上，在一般意义上的格式化告知同意流程中，同意人的知情或充分知情只能由处理者的告知而来。从同意意思表示的形成过程来看，同意人只有在基于被告知而充分知情时，才能产生允许处理个人信息的效果意思，进而产生表示意思作出同意。若处理者不告知或不当告知，即便同意人作出同意行为，由于其不充分知情，便不存在效果意思、表示意思，同意的意思表示徒具表示外观，非为有效。因此，应当认为《个人信息保护法》所确立的是“告知→充分知情→同意”逐层递进的因果结构，任一环节得到否定性评价，均将导致处理行为非法。如此，则知情同意与告知同意在内涵上便相一致，均指向告知、充分知情、同意之间的因果递进关系。如果割裂这种因果递进关系，仅凭告知行为与同意结果，便认为处理者有权处理个人信息，将无法保障同意的真实性。

（二）充分知情基于有效告知而推定产生

处理者对同意人充分知情承担证明责任，〔40〕究竟是由同意人证明同意是无效的，还是由处理者证明同意是有效的？笔者认为，我国《个人信息保护法》第14条虽未如GDPR第7条一样规定由处理者证明其获得了有效同意，但此系规则应有之义。处理者要排除处理行为的非法性，需要主张同意有效，具备充分知情、自愿、明确三项要件事实，并承担相应的证明责任。但充分知情属主观心理事实，无法直接证明，只能通过客观事实间接证明。在格式化告知同意流程中，客观事实唯有告知与同意，充分知情前承告知、后引同意，只能基于在先的告知产生并得以证明，这种证明实际上是证据意义上的推定。因此，若处理者的告知有效，便应推定同意人充分知情。但问题是告知与知情长期存在冲突，告知越真实、准确、完整，就越冗长、繁琐，用户就越不会阅读，就越不知情。〔41〕参见丁晓东：《个人信息私法保护的困境与出路》，载《法学研究》2018年第6期，第202-203页。笔者认为，解决这种矛盾的关键在于区分告知的公法有效条件与私法有效条件。

首先，在《个人信息保护法》所采取的公私法结合模式下，告知兼具公法属性与私法属性，与同意并非一一对应的关系，其目的并非均为取得私法上的同意，也可能只是为了满足公法要求。〔42〕按照《个人信息保护法》第7、17、22条等的规定，处理者在不需要取得同意的场合，仍需进行告知，此种告知主要为公法属性的告知，与同意不具有对应关系。而在需要取得同意的场合，告知与同意具有对应关系。对告知的公法规制与私法规制目的并不相同，那么告知的公法有效条件与私法有效条件也不应相同。

其次，《个人信息保护法》虽以第17条为核心对告知的内容、方式作出多处规定，但并未要求告知能够令同意人充分知情。以往的告知同意实践表明，用户面对冗长的告知普遍“用脚投票”，抛弃所谓的审查机会。毋庸讳言，符合《个人信息保护法》第17条等规定的告知很难令用户充分知情，充分知情也绝不可能基于此种告知而推定产生。因此，《个人信息保护法》第17条等规定对告知的要求应被理解为对告知的法定最低要求，属于告知的过程性条件与公法有效条件，而在私法上，告知应具备更为严格的有效条件。

最后，在“告知→充分知情→同意”逐层递进的私法结构中，告知的作用就在于引致同意人充分知情，进而获取真实有效的同意。应当认为，告知只有能够引致一般理性人充分知情的，方为有效，才能在个案中推定具体同意人充分知情。引致充分知情应被理解为对告知的私法要求，属于告知的效果性条件与私法有效条件。因此在私法意义上，有效告知应当满足法定最低要求且能够进一步引致一般理性人充分知情。将充分知情解释为告知的效果性条件，既符合传统同意理论与意思表示理论，也符合实践需求，能够产生倒逼处理者改善告知同意机制的效果。

（三）对告知的有效性认定

从私法角度来看，作为一种意思表示，〔43〕在私法意义上，处理者的告知是请求获得个人信息处理同意的内心意愿的外在表达，且常包含法律规定之外的内容，关涉私法效果，属于意思表示。若处理者通过合同方式取得用户同意，告知便构成要约意思表示。有效的告知应当具备过程性条件与效果性条件，并且不得具有会产生不当影响的消极性因素（后文详述）。

1.过程性条件

告知的过程性条件主要表现为《个人信息保护法》对告知内容、方式所作的要求。根据该法第17条等条文对告知的规定，处理者的告知应包括下列内容：个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使法定权利的方式和程序；法律、行政法规规定应当告知的其他事项。告知的内容应当真实、准确、完整，不得具有误导、诱导、强迫等不当内容。在方式上，处理者的告知应当具有显著性，所使用的语言清晰、易懂。在转移个人信息、对外提供、自动化决策、处理敏感信息、跨境传输等场合，处理者的告知还需符合《个人信息保护法》第18、22、23、24、30、39条的相应规定。除此之外，在某些场景中，处理者的告知还应当符合《电子商务法》第17条以及《消费者权益保护法》第20、26条等与信息披露、格式条款相关的规定。

2.效果性条件

告知的效果性条件为一般理性人充分知情，即告知能够使一般理性人充分知悉同意或拒绝同意与基础服务之间的关系以及由此所产生的各种法律后果。法官应从意思表示的角度出发，在具体场景中叠加适用《个人信息保护法》与《民法典》等规定，先判断告知是否具备过程性条件，再判断告知是否具备效果性条件。只有在告知有效时，才有必要审查同意是否有效。

囿于冗长繁复、难以理解等原因，告知的阅读率向来极低，〔44〕See Lori Andrews, The Fragility of Consent, 66 Loyola of Los Angeles Law Review 15-17 （2020）.有观点认为以告知为重心的制度设计模式无法保障知情权的落实。〔45〕参见万方：《隐私政策中的告知同意原则及其异化》，载《法律科学》2019年第2期，第63页。但在笔者看来，在告知同意机制已成为法定机制的情况下，只能通过对告知的设计保障用户的知情。不过该机制设计不应从处理者的行为习惯出发，而应从用户不愿阅读告知的行为习惯出发。为使告知满足效果性条件的要求，处理者应当在满足法定最低要求之余增加“告知摘要”，即在完整告知的基础上，增加简短、显著、清晰、易懂的概要提示，〔46〕支付宝公司在2021年10月29日发布了其隐私权政策的简要版本，全文约千字，较易理解，虽仍过长，但已是重大进步，可以提高阅读率。本文提倡的“告知摘要”是一种更具高度归纳性的极简版本，不再是以往僵化的程序式提醒，而是直接告知对用户可能产生的重要影响，阅读性强，可以降低信息过载，符合一般用户的行为习惯与认知能力。使用户可以在极短时间内直接获知最为核心且重要的法律后果，知悉其拥有的权利与行使方式。“告知摘要”可以采取类似于《信息安全技术 个人信息安全规范》附录C中的功能界面，以百字左右的篇幅为宜，甚至可直接设置权限选项，供用户勾选。“告知摘要”直接向用户显示，用户需要进一步阅读的，可以点击获取完整告知。完整告知辅以“告知摘要”的机制设计在客观上可以达到令一般理性人充分知情的效果，若用户连极简的“告知摘要”也不阅读，则成为彻底的权利睡眠者，不妨碍告知产生效力。

三、对同意自愿性的认定

（一）自愿的涵义与要素

按照《个人信息保护法》第14条的规定，个人信息处理同意需自愿作出。自愿有原则与规则之分，《民法典》第5条规定的自愿原则相当于意思自治原则，〔47〕参见王利明：《中华人民共和国民法总则详解》，中国法制出版社2017年版，第25页。并无独立的裁判功能，除非是作为裁判理由的叠加。〔48〕参见于飞：《民法基本原则：理论反思与法典表达》，载《法学研究》2016年第3期，第96页。《个人信息保护法》第14条所规定的自愿作为同意的有效条件，具有独立的裁判功能，属规则意义上的自愿，可视为《民法典》第5条及第130条在《个人信息保护法》中的体现。自愿是所有意思表示的当然要求，只有出于自愿，意思表示才是真实的。但长期以来在处理者所设定的告知同意机制中，用户自由受限制，所表达的同意经常是虚有其表，自愿或者说意思自治已沦为一种形骸化的存在。《个人信息保护法》将本属题中之义的自愿明文规定为同意的有效条件，既是对实质意义上意思自治的强调，也是对处理者告知义务的强化。由于除《个人信息保护法》第14条外，该法对自愿别无其他规定，因此应当结合传统理论与《民法典》的规定对自愿的涵义与要素进行解释与认定。在传统理论中，意思表示自愿是指行为人的意思表示出于其自由意志，而非因他人不当干涉，〔49〕参见董安生：《民事法律行为》，中国人民大学出版社2002年版，第149页。其核心在于自由。《个人信息保护法》第14条中的自愿应被解释为同意人在未受不当干涉的情况下自由形成允许处理者处理其个人信息的同意意思。其关键要素有二，一是同意人具有同意意思，二是同意意思系自由形成。〔50〕在告知同意的格式化流程中，告知、同意均通过预设的固定化方式表达，这使得意思表示不真实基本上只会存在意思表示不自由的情形，而不会存在意思与表示不一致的情形。另外，对自愿的认定还应考虑同意能力问题。这种解释既是将同意定性为意思表示的必然结论，也是自愿的当然要求。

（二）具有同意意思

虽然对意思表示主观要件的构成因素争议激烈，但意思表示主观要件指的就是意思。〔51〕参见杨代雄：《法律行为论》，北京大学出版社2021年版，第102页。意思属于意思表示的必备因素，〔52〕参见张驰：《意思表示构成要素论》，载《东方法学》2014年第6期，第21页。缺乏意思将不构成意思表示。在作出个人信息处理同意时，同意人应当具有设立个人信息处理法律关系的同意意思，即同意人在主观上允许处理者处理其个人信息，并愿意将其表现于外部。前者属效果意思，后者属表示意思，处理者对意思的存在承担证明责任。如果同意人并无同意意思，那么其作出的同意行为便并非《民法典》第5条中的“按照自己的意思”、第130条中的“按照自己的意愿”，不满足《个人信息保护法》第14条对自愿的要求，徒具同意形式，不能构成有效同意。有无同意意思，是区分形式同意与实质同意的关键，在以往行为导向式的告知同意流程中，大量同意其实仅是形式同意，而非实质同意。

对同意意思的解释遵循了意图导向，可以纠正只要存在同意外观，处理者便可处理个人信息的错误认识，有利于提升同意的真实性。这种解释并不会过度加重处理者的负担，阻碍产业发展。因为同意人只有在知悉个人信息处理的各种法律后果后才能形成同意意思，而在告知同意的简单流程中，作为一种主观心理事实，同意意思只能推定产生，并且只能基于充分知情而推定产生。而如前文所述，充分知情系基于有效告知而推定产生。因此，只要处理者能够证明其告知有效，便可推定同意人充分知情，还可推定同意人具有同意意思。

（三）同意意思系自由形成

同意意思的形成应是自由的，不应受到外界的不当影响，否则同意便不是自愿作出的。〔53〕Vgl. Michael Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, Nomos Verlagsgesellschaft, 2017, S. 117.同意意思的形成是否自由也属于主观事实，外界无从窥知，只能进行推定。需要注意的是，基于充分知情可推定具有同意意思，但无法进一步推定同意意思系自由形成。例如，在双方关系不平等时，虽然处理者充分告知，同意人由此充分知情并产生同意意思，但双方的不平等关系会对同意意思的自由形成产生不当影响。一般而言，在告知同意流程中，能够影响同意意思形成过程的唯有告知，当告知具有会产生不当影响的消极性因素时，将导致同意意思的形成不自由。反之，若告知不具有这些因素，便应推定同意意思系自由形成。〔54〕《个人信息保护法》第31条仅规定了未成年人未年满14周岁不具有同意能力，对成年人同意能力的判断应当参照适用《民法典》上的民事行为能力规则。因此，如果处理者能够证明告知具备过程性条件与效果性条件，并且不具有消极性因素，便应认定同意人系基于有效告知而充分知情并自由形成同意意思。

笔者认为，参照意思表示理论，结合《民法典》《个人信息保护法》以及《信息安全技术 个人信息安全规范》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等规定，有效告知不得具有下列情形。第一，反复告知。反复告知、频繁索取权限会使用户不胜其烦，影响同意意思的自由形成，尤其是在用户已经拒绝同意时，处理者仍然反复告知。第二，捆绑告知。处理者将对个人信息处理的告知与其他内容捆绑在一起要求用户同意，可能会导致用户在未注意的情况下便作出同意。例如，处理者在基础服务合同中涵盖非必需的个人信息处理条款。〔55〕参见江必新、李占国主编：《个人信息保护法条文解读与法律适用》，中国法制出版社2021年版，第51页。第三，无法拒绝的告知。处理者的告知方式若会导致用户无法拒绝同意，同意意思的形成便不自由。例如，处理者违反《个人信息保护法》第24条与《互联网信息服务算法推荐管理规定》，采取自动化决策却未提供不针对个人特征的选项、便捷的拒绝方式，提供算法推荐服务却未提供选择或者删除用户标签的功能等。第四，拒绝交易的告知。处理者违反《个人信息保护法》第16条的规定，告知用户不同意便拒绝服务，会导致用户被迫作出同意。第五，在不平等关系下进行告知。告知若以处理者与用户间的不平等关系为基础，同意可能受到不适当的压力、影响，欠缺真实性。〔56〕Vgl. Marlene Voigt, Die datenschutzrechtliche Einwilligung, Nomos Verlagsgesellschaft, 2020, S. 74.例如，行政机关违反《个人信息保护法》第34条的规定超出法定职责范围要求收集个人信息，用人单位在实施人力资源管理之外要求收集劳动者的个人信息等。《德国联邦数据保护法》在GDPR的规定之外增加了“雇佣关系中的数据处理”，规定只有在雇员获取了法律或经济利益或者雇主与雇员追求相似利益时，才可以认定雇员的同意是自由的。第六，可能产生不当影响的其他因素。

基于上文分析可以看出，同意是否自愿作出，取决于同意人是否充分知情以及告知是否具有消极性因素，而充分知情本就由有效告知推定而来。因此，自愿与充分知情作为同意的主观条件，认定根源均在于告知。自此而言，告知应当成为告知同意机制的规制重点，只有对处理者的告知义务进行足够的强化，才能保障同意的真实性。告知在显著、清晰、易懂、真实、准确、完整以及引致同意人充分知情之外，还不得具有会导致同意意思形成不自由的消极性因素，如此方可被认定为有效。这看似会提升处理者的成本或减少有效同意的数量，却是向应有之义回归，并不会影响处理者的正当利益。

四、对同意明确性的认定

（一）“明确”的涵义与要素

在传统同意理论中，允许他人侵扰自己权益的同意是不能假设的，必须予以声明，〔57〕Vgl. Wolfhard Kohte, Die rechtfertigende Einwilligung, Archiv für die civilistische Praxis 185 （1985）, 105, 126.侵扰越严重，声明就必须越明确。〔58〕Vgl. Ansgar Ohly, “Volenti non fit iniuria”- Die Einwilligung im Privatrecht, Mohr Siebeck, 2002, S. 339.GDPR第4条第11项关于同意的定义在《欧盟数据保护指令》（95/46/EC）所规定的自由、具体、知情三项条件的基础上，增加了明确这一要求，使其超越了一般的同意标准。〔59〕See Article 29 Working Party, Opinion 15/2011 on the Definition of Consent, WP 187, 2011, p. 6.对同意强度的要求与同意后果的严重性呈现正相关，《个人信息保护法》第14条对同意明确性的规定与《民法典》第1033、1219条有共同之处，均要求在法定的涉及重大人格权益侵扰的场合，同意人应当明确而非含糊地作出同意。在传统法上，“明确”本身并不是一个复杂的问题，而在个人信息处理领域却恰恰存在大量同意不明确的问题，如骗取同意、系统提前勾选选项、采用含义不明的按钮、任意预设同意行为、随意设置人脸识别装置等，《个人信息保护法》对同意明确性的规定有利于解决这些问题。笔者认为，对“明确”的解释应当贯彻意图导向，结合传统理论与个人信息处理实践，解决告知同意机制中所存在的骗取同意等广受质疑的痼疾，保障同意的实质性与真实性。同意需明确作出，首先要求用户的行为应明确构成表达意思的表示行为，而非其他行为；其次要求表示行为所表达的同意意思应是明确的，而不是含糊的。因此，《个人信息保护法》第14条中的“明确”应被解释为同意人通过明确的表示行为表达明确的同意意思，既包括表示行为明确，也包括表达意思明确。

（二）表示行为明确

1.存在表示行为

同意可通过多种方式作出，需要讨论的主要是通过网络格式化流程大规模处理个人信息时，用户按照处理者预设方式作出的行为是否构成表示行为。在通常的告知同意流程中，同意方式往往由处理者预设，如点击、滑动、点头、摇晃等，其中点击是最主要的同意作出方式。〔60〕在主流的WIMP与Post-WIMP界面中，点击是最主要的人机交互方式。在点击之外，可能还存在输入验证码、勾选选项等动作，但往往最终仍以点击表示同意。此外，同意行为还可通过其他方式作出，如生物特征验证、录音录像等。点击等使用动作属于用户使用计算设备的惯常动作，通常属于非法律上的行为（即无法律意义的普通行为），而在用户作出同意的意思表示时，其又成为作为意思表示客观要件的表示行为。这便需要分析用户的使用动作究竟属于非法律上的行为还是表示行为。例如在“支付宝2017年度账单事件”中，用户以手指上滑动作打开年度账单，而根据页面中并不显著的声明，这一动作还构成对《芝麻服务协议》的同意，对手指上滑动作的定性直接决定了是否存在有效的同意、个人信息处理是否构成侵权。

表示是一种通过行为将意思从内心世界带到外部世界的过程，〔61〕参见米健：《意思表示分析》，载《法学研究》2004年第1期，第35页。表示行为便是描述这一过程的意思表示要素。主观的意思与客观的表示行为并非分离关系，因为表示行为应当在主体表示意思的驱使之下作出。因此，只有在用户具有表示意思，即用户有意通过点击等动作将允许处理个人信息的效果意思对外表达时，点击等动作才构成表示行为。但这一认定过程过于复杂，不适合个人信息处理实践。结合前文的分析，自愿主要表现为自由地形成同意意思，同意意思涵盖了效果意思与表示意思。那么，只要认定用户自愿，便可认定用户存在表示意思，其按照预设方式实施的动作便属表示行为。若无法认定用户自愿，用户便不具有表示意思，相关动作便属非法律上的行为。在上例中，告知欠缺显著性，并将账单服务与个人信息处理进行不必要的捆绑，导致用户既不充分知情，也不自愿，不存在表示意思，用户的手指上滑动作便不构成表示行为，《芝麻服务协议》不能成立。可以看出，认定用户行为是否构成表示行为的关键其实也在于告知。

2.表示行为需采明确方式

表示行为的方式决定了意思表示的形式，〔62〕参见王利明主编：《民法》（第8版），中国人民大学出版社2020年版，第131页。从意思表示理论及《民法典》第140条规定来看，意思表示的形式有明示、默示之分，却无明确、不明确之分，《民法典》第1033、1219条对明确同意的规定也未涉及表示行为的方式或者说意思表示的形式。那么，《个人信息保护法》第14条对同意明确性的规定是否如一些观点所认为的有效同意仅能为明示，而不能为默示？〔63〕参见马新彦、张传才：《知情同意规则的现实困境与对策检视》，载《上海政法学院学报》2021年第5期，第103页；程啸：《论个人信息处理中的个人同意》，载《环球法律评论》2021年第6期，第53页。笔者认为并非如此。《民法典》中明示、默示的意思表示与明确、不明确的意思表示是基于不同标准对意思表示进行的分类，不具有对应关系，明示的意思表示所表达的意思可能是含糊的，默示的意思表示所表达的意思却可能是十分明确的。《民法典》第1033、1219条对明确同意的规定并未限制表达方式，只要意思能够得到明确表达，明示、默示均可，沉默除外，因为沉默通常无法明确表达意思，只有在有法律规定、当事人约定或者符合当事人间的交易习惯时，才可视为意思表示。这一逻辑同样适用于个人信息处理同意。例如，人口普查员打电话询问被收集人是否同意提供个人信息，被收集人可在表示同意后提供个人信息，也可未表示同意便直接提供个人信息，后者是一种典型的以行为方式作出的默示同意，并且明确表达了同意意思。即便在GDPR中，默示同意也未被排除，因为GDPR中的同意除可表现为声明外，还可表现为其他行为。〔64〕Vgl. Marlene Voigt, Die datenschutzrechtliche Einwilligung, Nomos Verlagsgesellschaft, 2020, S. 104.因此，在关于同意明确性的法定要求之下，以择出机制为代表的沉默不构成《个人信息保护法》中适格的表示行为，即便处理者声明“使用即同意”，且用户也具有同意意思，用户沉默地使用也不构成有效同意。除此之外，口头、书面、行为、电子等方式的表示行为，只要明确表达同意意思，均为适格的表示行为。另外，在法律、行政法规规定需要取得单独同意、书面同意的场合，表示行为需采取相应形式，否则不满足明确性的要求。

（三）表达意思明确

1.意思表达对象清晰

同意的明确性要求用户的表示行为应当清晰地指向个人信息处理，而非其他。这意味着《个人信息保护法》虽未要求对个人信息处理的同意应当与对其他内容的同意相区分，但仍应进行区分，否则同意便可能是不明确的。当处理者将个人信息处理告知与其他内容混于一体予以混合告知、请求同意时，用户无法明确地对个人信息处理表达同意，也无法按照《个人信息保护法》第44条的规定对其表示拒绝。例如，京东商城在用户注册时将《京东用户注册协议》与《隐私政策》一并告知，用户只能一并同意或拒绝，而无法专门对《隐私政策》表示同意或拒绝。而且《京东用户注册协议》本身也混合了用户注册条款与个人信息处理条款，用户更是无法专门对个人信息处理表示同意或拒绝。欧洲数据保护委员会认为，GDPR虽未禁止混合告知，但实质上要求与用户知情同意相关的信息不得隐藏在一般条款中，对混合告知的接受不能看作对个人数据处理的同意。〔65〕See EDPB, Guidelines 05/2020 on Consent under Regulation 2016/679, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf, last visit on July 20, 2022.笔者认为，虽然我国《个人信息保护法》并未禁止混合告知，但混合告知会使用户处于无法清晰、明确地对个人信息处理表达同意的境地，〔66〕这种告知难以满足《个人信息保护法》第17条对告知应采取“显著方式”的要求，也很难产生令同意人充分知情的效果。需要注意的是，混合告知不同于俗称的“一揽子告知”，后者是将各种个人信息处理条款一并告知，所取得的同意并非不明确。用户即便作出同意，也会因不满足《个人信息保护法》对同意明确性的要求而无效。此外，混合告知还可能构成前文分析的不当告知、捆绑告知，导致同意无法满足充分知情、自愿两项条件。

2.意思表达无歧义

不论明示同意还是默示同意，也不论在实体环境还是在网络环境，表示行为所表达的个人信息处理同意意思均应是清楚、无歧义的。在网络环境中，告知同意流程由处理者设计并掌控，用户只能按照处理者预设的方式向处理者表达同意。若预设方式不合理，导致同意意思的表达存在歧义，便不能满足同意明确性的要求。当前供用户表达同意意思的主流预设方式主要是复选框与按钮，用户在输入相关信息后，主动勾选复选框、点击按钮完成意思表达。在只为取得特定权限的简单告知同意中，也可能只存在点击按钮这一种预设方式。为使同意意思表达无歧义，首先，复选框不可由处理者预先勾选，而应由用户主动勾选，否则复选框所对应的个人信息处理条款是否构成用户的意思内容便存在歧义。欧盟法院在2019年的C-673/17号案件中认为提供预先勾选的复选框不能取得有效的同意，〔67〕See CJEU, Judgment of 1 October 2019, No. C-673/17, Verbraucherzentrale Bundesverband eV v. Planet49 GmbH,ECLI:EU:C:2019:801.北京市第三中级人民法院在2017年的“吴建飞与互爱互动公司、腾讯公司网络服务合同案”〔68〕参见北京市第三中级人民法院（2017）京03民辖终831号民事裁定书。中也持这种看法。其次，供以点击的按钮需在语义上清楚无误地表达同意的意思，处理者应使用“同意”“允许”等按钮，不应使用易产生歧义的按钮。当前的一些APP所使用的按钮便存在歧义，例如“乐播投屏”APP（V5.5.16）使用的是“我知道了”按钮，“哔哩哔哩”APP（V6.54.0）使用的是“本机号码一键登录”按钮。这些按钮不仅不能无歧义地表达同意意思，还可能会因按钮语义的原因导致点击行为不构成表示行为。“饿了么”APP（V10.3.6）将注册与登录合二为一，复选框声明“未注册手机号登录后将自动生成账号，且代表你已阅读并同意《用户服务协议》《隐私政策》”，按钮被设置成“登录”，其滥用意思自治与合同自由，歧义更甚，即便用户勾选、点击，也不能认为作出了有效同意。

五、结语

将个人信息处理同意界定为非典型意思表示，不仅有利于民法同意理论的体系化，还可顺理成章地将意思表示理论与规则引入告知同意机制，借此解决长期以来告知同意机制仅有意思自治之名，却无意思自治之实的问题，矫正同意真实性与有效性之间的大规模背离。有效的个人信息处理同意的形成过程应当是，同意人基于有效告知而充分知情，在此基础上自由形成同意意思，进而明确表达同意。处理者对同意形成过程中的所有要件事实承担证明责任。因此，虽然《个人信息保护法》并未明确告知与同意及其有效条件之间的关系，但其所建立的告知同意机制实际上采取了“告知→充分知情→自愿→明确→同意”逐层递进的逻辑结构，只有加强对告知的规制，才能保障同意的真实性。

在个人信息处理主要通过网络大规模进行的背景下，个人信息处理中的告知、同意属于规模化标准电子意思表示。规模化标准电子意思表示兴起于网络，大数据、物联网、人工智能的勃兴推动其进一步发展，涉及领域众多，牵连利益广泛，权利冲突明显，在规制理念、规制模式等方面提出了新的问题。传统理论应当如何运用与变通以及法律应当如何规制，颇值进一步研究。