内容提要：作为个人信息保护的核心规范之一，告知同意规则已以“入典”的方式在《中华人民共和国民法典》中得以确立。然而，该规则的实施面临困境，其中既有结构性问题，也有认知问题，更有内在悖论。这也意味着该困境难以彻底解决，只能采取缓解之策。已有的几种解决思路均存在难以克服的问题，并不理想。有必要在法典体系的视野下，基于解释论的立场求得“同意”困境的化解之道。个人信息保护的同意规则旨在保障自然人的信息自主和信息自决，此规范的评价基础是尊重人格尊严和自由发展。依据不同类型的处理行为是否触及人格尊严和自由发展这一核心利益，区分适用明示同意与默示同意，既具有正当性和可行性，可提供更佳的行为指引和裁判指引，又可为化解困境打开通道。

　　 关 键 词：个人信息保护  告知同意  行为区分说  民法典  解释论

　　 一、问题的提出

　　 大数据时代，个人信息的保护和利用已成为一个突出的问题。《中华人民共和国民法典》(以下简称《民法典》)先行以“入典”的方式确立了个人信息保护的若干核心规范。其中，告知同意规则无疑是最为基础和重要的法律规范。对《民法典》个人信息保护规范的解释论研究，首当其冲的是明晰告知同意的规范内涵。所谓个人信息保护的告知同意规则，一般称之为告知同意原则①或知情同意原则，②也有少数学者称其为规则。③可见，在术语表达上存在分歧。基于《民法典》第1035条第1款已将该原则具体化，将告知同意作为通常情况下处理个人信息应当满足的“条件”，④故学理上的抽象原则已转变为立法中的具体规则。本文据此将其称为规则。至于“告知同意”和“知情同意”的用语分歧，两者的英语词源均为“informed consent”，指的是告知后的同意。从其英语词源和我国立法表达来看，有将“告知后”或“被告知”推定为“知情”之意。在原理上，民事活动中的各当事人一般应自行收集必要信息；当在特定情形下需要保障一方知情利益时，民法往往通过对另一方施加告知、说明义务来实现。原因在于，知情与否属于当事人主观事项，难以知悉；与其纠缠于一方的知情与否，不如对另一方施加相对客观的告知义务，以提高规则的可行性。由此可见，一方的告知与另一方的知情在法律构造上是一种对应关系，法律往往通过施加告知义务来保障对方的知情，个人信息保护规则亦不例外。根据立法上的表达，笔者更倾向于使用“告知同意”的术语。此外，在告知同意机制之下，告知是同意的内在规范要求，⑤故亦可将告知同意规则简称为同意规则。

　　 个人信息处理通常应获得信息主体的同意，看似不证自明，然而，从国内外的实践来看，同意规则在实施上面临困境，甚至会形同虚设，进而致使以此为基础构架的个人信息保护制度被架空。我国学界也已认识到这一困境，展开了一些研究。但纵观现有的文献发现，对该困境及其成因的分析尚不透彻；并且，拘于之前的研究背景，大多数的研究是从立法或制度构建的角度提出建议。甚至，其中不乏如下观点：“知情同意作为保障个人信息的基础性机制已经走向穷途末路”，⑥“同意不应是个人信息处理的正当性基础”。⑦然而，我国立法逆水行舟，在《民法典》中明确规定了个人信息处理的告知同意要求，正在制订的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中也将进一步确立这种要求。此时，针对这一立法上日益稳固的规则再言放弃，已不合时宜，理性的选择应当是研究如何缓解乃至化解同意规则的实施困境。这也是目前亟待解决的一个问题。

　　 《个人信息保护法》尚在制定之中，草案还存在修改完善的空间，但一个基调是与《民法典》相关规定进行衔接和保持一致。因此，本文最终提出的解决方案将依据已经生效的《民法典》相关规则进行解释。面对个人信息保护的“同意”困境，既然《民法典》已将相应规则纳入其中，就有必要在《民法典》的体系之下，基于同意规则的评价基础和规范意旨，在解释论上得出既具有正当性和可行性，又有助于化解困境的同意规则的适用基准。

　　 二、同意规则的实施困境

　　 在告知同意机制之下，同意是一种告知后的同意。这一要求在形式上较易满足。在实践中，信息处理者通常会通过隐私政策、个人信息保护政策等文件履行告知义务，⑧并给个人点击同意的机会。然而，个人的同意却未必建立在知情的基础上。毕竟，一方的告知并不等于对方的知情，在网络空间尤为如此。个人信息保护的“同意”困境的形成，具有较复杂的原因，既有告知同意中的结构性问题，也有信息主体的认知问题。⑨

　　 (一)告知同意中的结构性问题

　　 1.信息过载及其规模效应

　　 在告知同意机制之下，信息处理者若有所隐瞒，将面临不利后果。然而，企业出于逐利动机，⑩往往通过信息混杂、行文冗长等方式隐藏重要信息，使个人不易发现。告知文件似乎并不是为了促进个人知情而拟定并提供的。具言之，于企业而言，其履行告知的“目的仅在于规避法律风险”，(11)为其信息处理行为寻求最大的合法化可能；而法律设定的、个人期待的目的在于通过告知促进个人信息保护。在对告知的动机和目的的理解上，不同主体之间可谓存在着一个根本性的背离。上述告知动机和目的上的背离，导致出现信息过载问题。告知文件的篇幅普遍较长，且用语专业晦涩，提供的信息趋于饱和，甚至严重过载。并且，信息过载还存在规模效应。一个人面对的是需要收集个人信息的成千上万的网站平台、手机应用以及线下商家，有些网站、应用和商家还经常修改、调整相关政策。因此，个人面对的是数百份乃至更多的可能随时修改的文件。信息过载会使接受者不知所措，导致接受者随意浏览、挑选信息甚至放弃阅读，这干扰了告知同意背后的基本机制的实现。(12)以上信息过载的负面效应也可得到实证数据的支撑。国外有研究成果表明，如果信息主体要阅读提供给他们的所有隐私政策，那么每年需平均付出244个小时；如果只是粗略阅读，那么每年需平均付出154个小时。(13)这意味着在信息网络社会，每人将平均每天花费40分钟阅读和理解各种网站、手机应用等服务的隐私政策。上述时间还只是阅读的时间，如果计入准确理解所需的时间、专业知识和精力，那么这一“知情”的成本更为高昂。在我国，据统计报道，在2020年第一季度，网民人均安装63款手机应用程序。(14)这些手机应用程序的隐私政策文件普遍较长。例如，百度的隐私政策包括总则和10个分则，其总则就有10467字；分则是按照产品服务分类规定的，每个分则也有上万字。(15)若粗略地以每份隐私政策一万字计算，则网民每年需要阅读63万字的隐私政策文件。由于隐私政策复杂，阅读和理解的成本高昂，加之潜在风险的遥远，因此信息主体对其置之不理便是自然而然的事情。这也符合个人行为的成本和效益的考量。

　　 2.数据聚合效应及难以预测的未来风险

　　 个人信息遭遇泄露和滥用的风险是潜在的，在大数据技术背景下尤为如此。一个人在不同时间提供的单条个人信息可能并不敏感，从而不会感到存在风险或威胁，但在数据聚合技术下，不敏感的个人信息互相叠加，互为线索，可能分析得出敏感的信息。这种处于未知领域的风险，个人实在难以预测和把握。人们对未来福利或风险的决策选择的难度明显高于对当下福利或风险的抉择，这一因素加剧了个人信息保护的“同意”困境。面对潜在的风险，个人也会抱有侥幸心理，丧失提防之心。如今，承载着个人信息的数据泄露事件不断出现，但作为信息主体的个人对此却无能为力。与其为这种风险所烦扰，不如选择忽视这种并不迫切的潜在风险，可能是大多数人的心态。与未知风险相比，同意处理个人信息的利益却近在眼前，如获得某种特定的信息网络服务。因此，个人的选择往往会受短期获益的影响。同意规则要求自然人在个人信息被收集时就评估信息处理的潜在风险，这其实存在一个结构性缺陷。个人信息的利用期限较长，甚至没有时间限制。从短期来看，个人或许是受益的，但风险往往潜伏在未来。概言之，同意时的成本效益考量依赖于对未知风险的判断，是同意机制中的一个结构性缺陷。

　　 3.选择空间的缺乏

　　 即使个人仔细阅读了隐私政策，但在作出个人信息利用的许可决定时往往缺乏选择的空间，只有一种全有或全无的选择状态。数据已成为信息网络时代最重要的资源之一，很多信息网络服务的商业模式依赖于个人信息的收集和数据的开发利用。个人在就信息处理作出是否同意的决定时，通常伴随着对相应的信息网络服务的需求。网络服务商利用了这种无法放弃的需求。虽然在法律的要求下，告知是网络服务商必须履行的义务，但用户也很难作出同意之外的选择，除非放弃使用该服务。于是，个人往往会即刻点击同意，而不会先研究隐私政策。对于没有选择余地的个人用户来说，研究也几乎不能改变选择的结果。

　　 (二)信息主体的认知问题

　　 1.理性人假设与现实不符

　　 一项法律原则或规则的假定前提至关重要，事关这一原则或规则得以存在的理论支撑。告知同意规则中存在一个假定前提，即自然人是一个理性人，会阅读并理解所有的隐私政策声明，并仔细权衡利益得失，最终作出一个自觉的、理性的选择。然而，这一假定前提在很大程度上与现实并不相符。2018年，中国消费者协会和北京市消费者协会分别进行了手机应用程序个人信息保护的实证调研。中国消费者协会的问卷调查显示，认真阅读手机应用权限和用户协议或隐私政策的受访者仅占26.7％。(16)北京市消费者协会的调查报告则得出更低的比例，“只有6.15％的人在安装或使用手机应用程序之前会经常看授权须知”。(17)由此可见，人并非具有无限的关注力和完全的理性。相反，人的行为会受到有限理性的约束，并会采取试探等带有风险性的决策策略，还可能受到习惯的影响，在同意决策上采取近似策略。正视这一点，意味着需要放弃对告知同意规则实施效果的完美追求，而采取更为现实的态度。

　　 2.知觉定式和边际递减效应

　　 告知同意机制高度依赖于自然人的认知。在心理学上，影响形成正确认知的因素包括背景知识、行为人的预期和知觉定式。(18)在知觉定式的影响下，人们对经常出现的事物会降低敏感度，通俗地讲，就是会产生“熟视无睹”的反应。不同的信息处理者征求类似内容的同意，也会引发心理学上的边际递减效应。也许个人对第一次或前几次的“同意”比较谨慎，越是往后，这种谨慎程度就会日益降低。甚至，过度的同意请求、超负荷的信息告知可能引发个人的抵触心理，但在不存在选择空间的情况下，为了使用信息网络服务，又不得不选择同意。边际递减效应实际上也是受习惯影响的。有学者对80人进行分组实验，结果表明：针对拖放、滑动、多选框选择或者只是简单的点击同意等不同的同意方式，网络用户在初期的反应会有所差别，其中左右或上下拖放的方式最容易引起用户的注意，但在习惯的影响之下，随着告知同意次数的增多，不同组别的用户对不同的同意方式所付出的时间都会减少，并在最后趋于相同。(19)这也印证了我们通常所说的“习以为常”这种行为习惯。

　　 3.疲于应对与堪忧的同意质量

信息过载、同意过频、风险难以预测以及各种认知问题综合在一起，导致自然人管理个人信息的难度越来越大，甚至处于失控状态。有实证研究成果表明，随着网络用户对个人信息的管理难度日益增大，加之数据泄露事件层出不穷，用户对个人信息保护会产生一种徒劳和厌倦之感；并且，比起保护个人信息的关注和需求，这种徒劳和厌倦之感会在更大程度上影响人们的行为。(20)在疲于应对的状态下，人们在作出决定时一般会付出更少的精力。甚至，即使网站或应用软件提供修改隐私和个人信息保护默认设置的机会，很多用户也不会再花心思去修改，因为个人已经陷入疲倦的状态。个人在疲倦状态下作出的同意决定的质量甚为堪忧，(点击此处阅读下一页)