何晓斌

关键词：个人信息；告知同意；隐私政策；开放结构；合作规制

个人信息保护领域的告知同意是与个人信息保护制度同时出现的。早在1970年，德国《黑森州信息保护法案》就将同意作为信息处理的合法性依据。①1972年美国提出“公平的信息实践准则”，其第2项和第3项分别规定了信息主体获得告知和同意的权利。②在我国，《中华人民共和国民法典》（以下简称《民法典》）人格权编第六章围绕告知同意搭建个人信息保护法律框架，2021年全国人大常委会审议通过的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）将告知同意进一步具体化，确立以告知同意为核心的个人信息保护规则。告知同意因信息主体自主控制在道德论证上的优势，超越了各国保护模式的差异，成为个人信息保护法律制度的普遍选择。

在个人信息制度发展中，告知同意也引发了一些争议。有批评者提出，“严重依赖告知同意的隐私框架既无法满足信息流量和速度的急剧增加，也无法要求个人担负起理解政策、作出选择并监督实施的责任”①。也有学者从隐私政策实施的角度出发，认为告知同意在实践中存在文本冗长复杂、频繁告知与多次同意繁琐不便、信息主体虚假同意等问题。②即使支持告知同意的学者也认为告知同意问题颇多，并提出“弱同意”“采用择人为主的知情同意规则设计”或“对告知同意原则作出合理限制”等理论改造方案。③

那么，批评告知同意的真实意图是什么？改造方案与批评意见是针锋相对的吗？应当如何解释立法在面对诸多质疑的情况下仍然坚持将告知同意作为个人信息保护制度的核心？本文将从上述问题出发，仔细甄别批评意见与改进方案背后的理论逻辑，以期深化对告知同意的理解，并形成逻辑统一的理论解释方案。

一、告知同意：一种民事格式条款？

在个人信息保护中，告知同意指个人信息处理者告知信息主体信息处理情况，并由信息主体自主决定或选择，因此又被称为“告知——同意／选择”。大多数法律并没有对告知同意的形式要求和实现标准做出具体规定，实践中，告知同意的表现形式之一为格式文本形式的隐私政策，比如《支付宝隐私权政策》《微博个人信息保护政策》《谷歌隐私权政策》。隐私法专家丹尼尔·索洛夫教授把对告知同意的批评与隐私政策直接联系起来，并归纳为层层递进的四个方面：（1）人们拒绝阅读隐私政策；（2）即使阅读也无法理解；（3）即使阅读并理解，但由于缺乏足够的背景知识而无法作出明智选择；（4）在阅读、理解并作出明智选择的情况下，这些选择可能因各种决策困难而被歪曲。④可见，隐私政策存在的问题成为告知同意面临的主要诘难。

（一）基于隐私政策的批评

不可否认，告知同意常见的表现形式就是隐私政策。在隐私政策中，信息控制者告知用户信息处理情况，并由用户勾选是否同意。该过程包括了信息处理者告知和信息主体同意两个阶段。对告知同意的批评意见也可以分为针对“告知”的批评和针对“同意”的批评两部分，前者侧重告知的实效性，后者则侧重同意的正当性。

在诸多批评意见中，鲜有人质疑告知的正当性，支持者和批评者都认为信息主体有权获知个人信息处理隋况。二者的分歧在于，后者认为隐私政策存在严重的实效性问题，主要表现为“信息过载”造成的告知成本过高，（彭包括信息主体阅读隐私政策的高成本和数据企业沉重的运营负担。⑥对同意的批评则集中于信息主体意志的不自由，对个人意志的限制威胁到告知同意的正当性。此类批评主要指向捆绑服务、一揽子授权等变相强制用户同意的情形。由于对多项授权的捆绑和对自由协定的拒斥，隐私政策被认为主要体现信息处理者的利益，难以反映信息主体的自由意志。

上述批评主要基于隐私政策这一表现形式，并遵循了对民事格式条款的分析路径，批评的内容也在很大程度上与格式条款的问题重合。王泽鉴教授在分析消费合同格式条款时提出，“一般消费者对此种条款多未注意，不知其存在；或虽知其存在，但因条款内容多属复杂，字体细小，不易阅读；或虽加阅读，因文义艰涩，难以了解其真意；纵能了解其真意，知悉对己不利条款的存在，亦无从变更，只能在接受与拒绝之间加以选择”①。上述对格式条款的批评，与个人信息保护中对告知同意的批评如出一辙。

（二）告知同意的私法改革方案

为平衡格式条款订立双方事实上的实力不均，私法意图从合同法基本原则对格式条款效力进行干预，特别是加强对格式条款效力的判断。我国《民法典》针对格式条款确立了三项基本规则——提示说明规则、条款无效规则和不利解释规则，这与《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》）和《中华人民共和国保险法》对格式条款的规定一致。②民法格式条款规则事实上拟制了一种“矫正的合同”，意图以责任的个别化消解交易标准化造成的信息壁垒。从实质内容而言.格式条款规则将合同内容与合同效力相勾连，对合同双方不平等地位进行强势矫正。但从外观上看，格式条款仍旧是一种合同，仅要求提供格式条款一方履行提示和说明义务。格式条款内容仍被视为双方合意的体现，对格式条款的矫正也是在傳统民事合同的基础上展开的。

此外，理论界和实务界也提出了一些与格式条款私法规则类似的解决方案。比如，针对告知的时效性，欧盟第29条工作组提出“分层告知”③。在同意问题上，则出现了概括同意、默示同意等改造方案。这些改造方案，通过拟制同意迳行赋予特定处理场景下处理行为的合法性，④抑制明示同意的适用空间。相较于隐私政策，拟制的同意把作为合法性基础的同意转化为场景的合理性，以同意类型化产生的规模效应削减个别化同意的高成本；但它仍以“同意无损害”作为价值前提，并未从根本上打破信息主体与信息处理者之间“基于合意”的封闭式束缚。

可见，无论否定告知同意，还是改造告知同意，都采用了一种基于民事合同的思考进路。否定者将告知同意等同于民事格式条款，并将民事合同关系中的主体相对性和纠纷私益性作为告知同意的固有特征；分层告知、拟制同意等方案虽然试图改造个别化的告知同意，但固守基于合意的民事法律关系结构，把告知同意理解为局限于信息主体与信息处理者二者关系的事务。正因为如此，对告知同意的辩护也存在问题，特别是无法回应批评者提出的如下两个诘难：

其一，分层告知、拟制同意等类型化方案难以解决由于信息处理的规模化和聚合效应造成的结构性难题。⑤特别是在大数据条件下，信息的收集由传统的单链条操作转为多元主体组成的复式信息处理结构，信息主体嵌入由多元主体构成的无休止的参与者链。①类型化方案在一定程度上降低了隐私政策的实效性问题，但面对上述复杂的信息处理场景，该方案不再具有实践优势。

其二，改造方案难以实现信息处理中的公共价值需求。一种批评告知同意的意见认为，我们享受的个人信息处理服务依赖平台企业“分摊了信息收集和维护成本”②，此时要求信息处理获取信息主体的同意，在正当性上存在成色不足。该观点虽然对平台经济误解甚深，但指出了个人信息，特别是信息处理行为所附着的信息主体以外的利益价值。“个人信息是一个多元价值集合体”③，除了供信息主体进行社会交往以外，个人信息处理在提供网络生活服务、构建社会信用体系、维护社会治安等公共服务领域发挥着重要角色。作为个人信息保护核心的告知同意应当内在地容括公共价值，而不是通过例外情形加以规定，应激性的改造方案反映出改造者“告知同意与公共价值对立”这一价值预判。

从民事格式条款的角度出发理解告知同意，在内容、形式、执行方式等方面形成的封闭结构将缔约双方的不平等地位进一步固化，并造成了一些难以回避的问题。一方面，告知同意加剧双方在订立合同时的信息不对等，它不再是一种个人信息保护机制，而沦为信息处理者钟爱的免责方式。另一方面，合同的执行本质上是对价支付，当前的个人信息保护尚未提供对价支付的基础。人们既对确立包含经济利益的实体权利心怀戒备，也对信息处理者的经济垄断忧心忡忡。总之，囿于民事合同对双方主体的封闭结构，改革方案对隐私政策效力的强力介入收效甚微。

一、告知同意的开放结构

告知同意并不天然地表现为格式条款式的强力束缚。历史学家马丁·佩尼克在对19世纪医疗领域的告知同意进行分析后发现，因为医疗理论认为知识和自主对患者健康有益，长期以来告知真相和寻求同意都是医疗传统的重要组成部分，但其内容和目的与今天的知情同意概念大不相同，其正当性源自治疗效果，而非个体权利。④告知同意的原初形态更清晰地展示出其本来面目：它本质上是一种程序优化方式，而非用以免责的格式条款。对个人信息保护来说，法律并未将格式条款作为告知同意的法定形式；恰恰相反，当前各国立法对告知同意的原则性规定，为创新告知同意形式预留了空间。告知同意通过更为开放的运行结构实现个人信息保护的价值目标。

（一）复次的告知同意阶段

告知同意并不是一次性完成的，而是一个持续的过程。该过程至少涵盖了两个告知同意阶段：一是初始的告知同意，即信息主体与信息处理者对是否允许信息处理的初步同意，比如当前信息主体对隐私政策勾选同意的决定。二是后续的告知同意，当信息处理的细节（包括信息种类、收集目的、应用方式等）发生变化或超出初始同意的范围，应当及时通知信息主体并获得其同意。后续告知同意的典型表现形式为“动态同意”，即通过信息处理者不断与信息主体重新接触，为他们提供信息处理的实时信息，并使主体能够轻松提供或撤销同意。①此时的告知同意不只局限于信息收集阶段，而是贯穿整个信息处理流程。

复次告知同意削弱了初始同意的角色，为告知同意的开放结构创造了时空条件。在初始的隐私政策中，缔约主体及法律关系内容固定，“在情况发生变化时，重新接触个人以获得新的或更新的同意通常是不切实际的”②。持续的同意旨在改变隐私政策一揽子对核心功能、附加功能提供的一次性的授权同意，③使信息主体与控制者的有效互动成为可能，“有利于解决用户仅能在信息收集阶段行权的僵化性问题”④。后续的告知同意本质上是一种以时间换空间的保障路径，通过时间上的延伸，将信息处理流程整体纳入告知同意的辐射范围，拓展了信息主体与处理者的互动空间。因为持续同意对后续信息处理的清晰授权，个人信息特别是重要敏感信息得到有效保护，而信息处理者则通过提高全流程信息处理的透明度强化了信息主体的信任。⑤

对告知同意持续性状态的误解，除了对后续告知同意的忽视，还包括对“前告知同意”阶段某些影响因素的错误考量。信息主体斟酌是否需要信息处理服务或具体选择哪一信息处理者这一阶段，并不应纳入告知同意有效性的评价范围，对因网络服务提供者拒绝服务而不得不虚假同意的批评，⑥并不应构成对告知同意正当性的诘难，此时用户享有的否决权表明主体意志仍处于自由状态。网络服务提供者的上述强势表现，属于互联网产业发展到一定阶段出现的遏制创新和竞争、损害消费者福利的现象，⑦应属不正当竞争和反垄断法的规制领域，而不应归责于告知同意。它显著区别于欧盟第29条工作组所列举的“权力不平衡”状态下的同意，如政府机构要求公民同意、学校要求学生同意、雇主要求雇员同意等情形。⑧此时的虚假同意，早已因双方的先前契约（比如宪法、劳动合同）而将信息主体置于信息处理者难以逃避的权力辐射范围，因此，既不是前告知同意阶段的同意，也非初始的同意，而是先前契约实施过程中的后续同意。

（二）多元的主体交互关系

以往对告知同意的辩护，往往从同意者一方出发，強调信息主体的自治，⑨忽视了告知同意的相对方——信息处理者，以及信息处理可能涉及的多方主体在该制度中可能扮演的积极角色。该理解方式产生了两个难以避免的后果：一方面，将信息主体预设为自己利益的最佳决策者，极力主张尊重和保障个人对自己事务的自主决定权。对主体完美理解能力的预设只是理想的表达，对自主性而言既非常规，也不适当，①无视同意者在理性、情感、道德上的差异和缺陷对告知同意后果的影响。另一方面，受传统隐私权私法保护模式的影响，将告知同意理解为一项仅与信息主体相关的消极防御外来侵扰的制度，忽略了信息处理相关主体功能的发挥。

信息处理过程中，信息主体与处理者呈现交互的信息控制关系。二者虽各自扮演不同的角色，但信息的安全、流通与使用却无法仅靠其中一方就可以实现。信息主体利益的实现，取决于信息处理者的技术水平和通力配合：信息处理者则需要通过积极改善自身技术条件以满足信息主体愈加苛刻的个人信息保护需要，从而赢得信息主体信任并获得信息处理同意。因此，告知同意不应当一味排斥信息处理者，并将其视为信息保护的最大威胁。②告知同意的功能需要在信息主体与处理者的交互过程中实现。

告知同意的开放结构也要求对信息处理者角色的理解，不应局限于作为民事法律关系的相对方，而应当将其作为个人信息保护中的重要机构设置。进入数字化生存时代，平台企业成为数字信息处理的“基础设施”，平台企业在告知同意的具体实施机制设计上是否对用户友好，将直接影响到用户数量、信息规模以及由此产生的经济收益。因此，平台有动机迎合信息主体的告知同意要求。同时，平台企业在告知同意相对方和信息处理者身份上的重合，决定了其在整个信息处理流程中的重要角色。当前包括欧盟《一般数据保护条例》在内的信息保护法强调责任原则、透明原则，都意在调动信息处理者参与信息治理的积极性。③当然，强调作为相对方的信息处理者的作用，并不是要削弱信息主体在告知同意中的主导地位，而是重新评估和定位处理者在个人信息保护中的功能角色，“设法平衡数字平台（包括行业平台）的效益与风险，确保其开放性，并为协作式创新提供机会”④。

（三）行为授权的程序价值

告知同意的本质目的在于通过“授权可能对自己造成损害的行为”⑤这一程序賦予信息处理正当性。告知同意对个人信息所提供的保护，并不关心信息处理的最终结果是否最优，其价值预设为：在诸多极具个性化的信息利用方式中，信息主体最具资格来判定哪些结果有利、哪些结果有害，并自愿承担由此带来的后果。欧盟《一般数据保护条例》第6条同时将信息主体同意与为信息主体重要利益而为的处理作为信息处理合法性依据，表明告知同意应当是价值无涉的，只要经过信息主体自由同意，信息处理即使对主体利益造成损害也属合法。正如医疗领域通过手术的告知同意允许医生对自己的身体造成伤害，否则即使用心良好也可能构成违法。⑥因此，告知同意不以正向实体利益实现为唯一目标，反映了处理信息主体与其他社会主体之间关系的自由价值准则。即当行为利害仅止于自身而不关涉他人，就不应受到法律和社会的束缚而可自由行动，并且自得其乐或自食其果。①

虽然作为程序架构的告知同意不追求实体利益，但程序运行本身需要成本，只是成本收益需要从制度整体运行层面进行分析。有学者将《一般数据保护条例》中信息处理合法性依据的诸多例外规定作为批评告知同意的重要理由，认为告知同意的相对化源于其高成本。②前文所述分层告知、拟制同意等改革方式，也涉及告知同意的成本核算。以个人信息具有公共性或社会性为理由，规定可不经信息主体同意径行进行信息处理，似乎更具经济性。但在实践中，履行合同约定、履行法律义务、保护公共利益、行使公共职权等看似成本较低的信息处理合法性依据，不但在概念上含混不清，而且“大多数情形都是需要个案判断且具有严格限制的”③，对复杂情形的认定需要更多制度成本。在敏感信息的处理上，告知同意的成本核算则面临更为突出的问题：对民族种族、政治观点、宗教信仰、基因信息、健康信息等敏感信息进行特殊保护已经成为共识；但与此同时，此类信息在科学研究、公共卫生、社会福利等领域所具有的重大公共价值超过一般信息。此时，对个人敏感信息的特殊保护与基于信息公共性而回避告知同意将会产生不可调和的矛盾。

在与公共利益的关系上，告知同意这一程序架构遵循特殊的价值判准和利益实现方式。在数字化生存状态下，个人信息风险防控成为公共利益的重要形态。基于科学研究、传染病防护、犯罪侦查等需要进行的信息处理当然属于公共价值实现领域，而确保信息处理中的信息存储与流通安全，防范敏感个人信息滥用风险，构建相对自主的言论自由空间，④避免基于数据画像的制度性歧视，以及告知同意确立的简明信息交易规则对信任经济的助力，⑤同样属于公共利益的重要组成部分，此类公共利益的实现均需要以告知同意作为制度支撑。更为重要的是，从程序主义的视角出发，基于公共利益的信息处理具有天然的道德优势，其价值实现应当优先通过告知同意建立的主体信任机制，否则越过主体的自主决定而实现其宣称的公共价值容易令人怀疑。在诸如突发公共卫生事件、暴力恐怖袭击等极端情况下，之所以可以不经信息主体同意进行信息处理，其原因主要在于情况之紧急与构建信任机制的现实复杂性，而非公共利益在道德上的不可指摘。

三、告知同意的公法介入

在个人信息保护中，以信息主体自主控制为核心价值的告知同意，本应对以公共价值为导向的公法介入保持警惕，但由于其开放结构.公法的介入不仅现实可行，而且十分必要。即使对告知同意采用民事格式条款式的理解，告知同意这一程序架构中信息主体与信息处理者客观存在的权力差距，也为公法介入传统私法主体之间的关系提供了充分的事实依据。⑥而告知同意开放结构中的复次阶段、多元主体、程序价值等特点，则为公法介入提供了可能。

（一）公法介入告知同意的基础

公法对告知同意的介入，源于私法保护内在的逻辑紧张。私法保护主要关注实体利益分配是否符合公平正义，但其结果却表现为对告知同意主体力量对比现状的维护。民法禁止提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利等情形，意在矫正格式条款在民事权利义务分配上的失衡，“成为实现一般交易条件之实质正义的转换工具”①。但从其表述方式和规范结构来看，私法中的否定性立法意在实现自治空间的最大化，②在合同领域表现为对合同双方意思自治的高度尊重。因此，告知同意私法保护中的否定性规范结构决定了，私法保护的制度底色是在维护而非矫正信息处理双方的不平等。

此外，对告知同意的私法保护也存在能力不足。格式条款的定型化本为降低大规模重复性市场交易中个别磋商的高成本，私法保护在源头上维系集体磋商的同时，却在出现纠纷时因实质性评价标准的欠缺导致法官最终只能诉诸个别化的正义观念。面对大规模信息处理中的告知同意，私法无法完成常态化保护的任务。

告知同意的开放性结构，为覆盖信息处理过程、容括多元主体参与、体现行为授权程序价值的公法介入提供了制度空间。告知同意的公法介入表现出如下特征：第一，公法介入主要体现为对信息处理过程中信息主体自由意志的保障，而非信息处理后的利益分配。由于信息处理过程是动态的，公法对告知同意的介入应当覆盖信息处理的各个阶段，动态化保障信息主体在各个环节的意思表达。当信息处理者掩盖真实处理目的、强迫信息主体同意或违背约定进行个人信息处理时，公法都可以及时介入，确保信息处理符合信息主体的真实意愿。

第二，告知同意的开放结构打破了民事合同相对性的限制，政府机关、行业组织、消费者权益保护组织等都以直接或间接方式融入告知同意的运行过程。仅就隐私政策而言，企业公布的隐私政策“为行政机关提供了规制依据，进而形成了企业自我规制和政府规制的互动”③。此外，从信息处理的复杂主体结构来看，多元主体的加人为多链条信息处理造成的告知同意结构性难题提供了解决思路。告知同意的开放结构适宜且需要建立多元共治的合作规制体系。

第三，公法介入并非结果导向的法律评价，它把告知同意视为矫正信息处理主体间不平等关系的法定程序，而不是合同双方意定的利益分配方式。公法将告知同意各方的自由协商作为社会（市场）秩序的组成部分，将群像化的主体自由意志视为公共利益的重要内容。此外，由于公法在权力结构和价值判断上区别于个体和社会组织，在紧急情况下可以发挥其公益性保护优势以实现信息处理的灵活性和便捷性。公法介入以程序架构而非数据确权的方式，缓解信息自主控制与信息公共价值之间的紧张关系，成为国家维护数字空间秩序的基本手段。

（二）公法介入告知同意的形式

基于告知同意的开放结构，公法吸纳了信息处理流程的各个主体，从而表现为既具有政府规制，也包含自我规制和元规制的多元主义合作规制体系。其中，政府规制以科层式的权力行使为主要内容，自我规制则以市场竞争为主要动力，元规制则成为连接政府规制与自我规制的桥梁，它们通过发挥各自规制优势，共同实现告知同意的制度目标。

1.形式多样的政府规制

政府规制将国家权力作为告知同意的制度保障。“每个人寻求着他自己的自我选择好生活的观念，而政治机构的存在，则提供了使这种自我确定的获得能够进行的制度性尺度。”①在保障信息主体自主控制的制度实践中，政府规制通过矫正信息处理各方的不平等地位，建立符合各方真实意愿的信息市场秩序。

对告知同意的政府规制主要包括三种形式。一是传统政府监管，公权力直接作用于告知同意过程，比如周期性的个人信息治理活动、独立机构的常规化监管。欧盟《一般数据保护条例》第六章规定独立监管机构，赋予其对信息处理者的调查、警示、惩戒和强制告知等权力，对包括告知同意在内的规定的执行进行监管。美国《加州消费者隐私保护法》则将政府规制的权力交由州总检察长，由其根据需要对企业保障消费者选择退出、以消费者容易理解的方式告知、增强消费者及其代理人获取信息的能力等事项制定规则和程序。②二是授权监管，由政府授权某些具有专业技术和经验的社会组织代为对告知同意的实施过程进行监管。该监管方式基于公立机构和第三方机构之间建立的相互依赖关系，在科层制权力运行逻辑的基础上使权力进一步下沉，在政府机构和公共、私人机构之间进行权力交换.实现信息治理中由层级结构到组织网络的组织结构转换。③三是标准规制，确立针对告知同意的执行规范。标准制定过程的开放性、代表性和包容性使更多主体参与其中，旨在确保市场主体能够采用，能促进而非阻碍市场发展，④呈现出创制上的探索性、内容上的具体化以及效力上的非正式性等特点。2020年，国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术个人信息安全影响评估指南》国家标准，详列信息处理者告知和信息主体同意的具体标准，在服务国家监管的同时，也为第三方评估提供参考依据。

2.灵活的自我规制与元规制

基于告知同意的开放结构，信息处理者成为告知同意实施过程中多元主体交互的中间机构，也成为公法介入告知同意的主要媒介。一方面，信息处理者基于市场竞争、内部秩序和自我价值实现等需求产生自我规制的动力；另一方面，信息处理者基于政府明示或暗示的监管命令，主动采取具有探索性且符合政府政策目标的行为，以符合元规制的要求。从元规制到自我规制，信息处理者逐渐远离政府权力的影响范围，裁量的权力从作为规制者的政府转移到作为被规制者的信息处理者手中，信息处理者以更为灵活的技术设计和标准回应信息主体的告知同意需求。2020年欧盟委员会通过的《数字服务法》《数字市场法》则视平台为互联网生态的“守门人”，前者要求平臺提高透明度，采取风险管理措施，为用户提供有效保障；后者将保持平台开放性、禁止阻止用户卸载预装软件或应用程序等符合告知同意开放结构的平台架构作为平台的法定义务。⑤由此，平台自我规制成为公法介入告知同意的重要形式。

告知同意中的自我规制，主要指向信息处理者及其行业协会等社会组织设立的告知同意标准和验证方法。①作为非正式权威的信息处理者获取市场优势资源时，便可以在规则制定、规则执行或适用制裁过程中居于主导地位，直接或间接俘获规制过程。②基于市场主体理性，信息处理者倾向于在信息处理中通过与信息主体建立普遍信任关系而不是依靠其针对信息主体的强势地位获得主体同意。信息处理者公布隐私政策则可视为自我规制的表现，只要有少部分精明消费者理解条款信息，就会迫使经营者不得不向所有消费者提供更为合理的条款，③除了个体的自我规制之外，处理者也会以元规制，即非正式、灵活和合作的形式，进行契约化、程序化、专业化的组织监管来实现对自我规制的规制。

（三）公法介入告知同意的限度

尽管公法在告知同意的实现上表现出明显优势，但由于告知同意本质上是处理信息处理者与信息主体关系的法律设置，以维护信息主体意志自由为核心价值，公法对告知同意的介入需要围绕上述制度要求展开，并遵循以下限制：

第一，公法介入的目的是确保信息主体自主决策，而不是代替信息主体决策。告知同意开放结构为公法介入提供了制度空间，但公法介入本身并非开放结构的终极诉求。开放结构的价值，指向信息处理过程中平等可协商的自主决策环境，通过开放结构下的公法介入，矫正信息处理者与信息主体的不平等地位，从而保障告知同意所欲实现的自由意志。为此，我们需要区分作为原则的告知同意和作为合法性依据的告知同意。其中，立法者所说的“确立以‘告知——同意为核心的个人信息处理一系列规则”⑤，其告知同意应作一般原则理解。基于合同履行、人力资源管理、法定职责、自行公开等理由而为的信息处理，虽不由信息主体直接决策，但都内含告知同意的实质要素。作为具体合法性依据的告知同意，则在形式和内容上均需确保来自信息主体的直接意志决断。

第二，在告知同意的公法规制体系中，各类规制工具存在优先级，自我规制与元规制优先于政府规制。自我规制与元规制来自信息处理者的自我约束，在公法引导下信息处理者放弃优势地位，基于信息主体信任获得同意，是信息处理的理想状态。当政府成为信息处理者，其自我约束源于合理行政原则的内在要求；而以数字平台为主要代表的信息处理者则遵循市场逻辑，通过诚信守约塑造良好的市场形象抢占市场。而在政府规制中，以标准规制为代表的间接规制则优于以行政命令为代表的直接规制，以保护告知同意的自主空间。

结语

告知同意是个人信息保护制度的重要组成部分，是我国个人信息立法的核心，对告知同意的理解直接影响个人信息保护法律制度的构建。摒弃对告知同意的民事格式条款式理解，从告知同意的开放结构出发，通过政府规制、元规制、自主规制构成的多元合作规制，构建多方主体协商互动的告知同意实施体系，是一种可靠的制度选择。放眼全球市场，以告知同意作为信息处理的主要依据，有利于摒弃各国、各地区在政治制度、历史文化、价值理念上的差异，从而形成我国在新兴技术发展上的制度优势。开放结构的告知同意，并不会像批评者想象的那样，成为信息流动和制度创新的阻碍；反而在公法介入的合作规制体系下，通过平台企业与用户的良性互动激发技术创新，为中国企业走向世界市场提供制度竞争力。

（责任编辑：张莉）