告知同意原则的理论基础介绍

当下，有学者对告知同意原则持批判态度，甚至有学者认为在大数据时代，收集数据已经不再是需不需要的问题，个人信息在现实中不可避免地被收集着，既然收集行为不可回避，就只需要关注对个人信息使用行为的规制，应当越过告知同意原则。^[16]而笔者认为，告知同意原则有其坚固的理论基础，应当在个人信息保护中坚持适用告知同意原则。

（一）个人信息自决权理论

信息自决权的含义是信息主体对其自身信息的控制权和选择权，即公民有权决定其自身信息在何时、何地，以何种方式被收集、储存、使用的权利。^[17]最先提出“个人信息自决权”这一表述的是德国学者施泰姆勒（Stienmuller）。他认为，人们有权自由决定周遭的世界在何种程度上获知自己的所思所想以及行动。^[18]而后在1983年，德国宪法法院在“人口普查案”的判决中首次使用了“信息自决权”这一表述，其宪法依据是德国基本法中有关“人性尊严”和“人格自由发展”的规定。自此，“信息自决权”便成为个人信息保护中的宪法依据。^[19]信息自决权的核心价值是自决，信息主体对其信息有自由决定的权利，违背信息主体意愿而进行收集或使用的行为均构成对信息主体自决权的侵犯。换言之，如果信息主体对信息处理者收集、使用其个人信息的行为不同意、不授权，则信息处理者不得擅自对该个人信息进行处理。而只有当信息主体对信息处理者的收集、使用行为进行授权和同意时，信息主体才需要对自己的同意和授权的行为负责。

（二）隐私权理论

不同于德国的个人信息自决权理论，美国则是以隐私权作为告知同意原则的基础。美国的相关法规中有关告知同意原则的规定，均源于对隐私权保护的不断完善。如前文提到的美国《正当信息通则》的确立。也有学者指出：“每个人都有权决定他的思想、观点和情感在多大程度上与他人分享。”^[20]对应到美国宪法上，其在第四修正案中明确规定了对公民人身、信件等隐私权的保护。^[21]为应对大数据时代的发展所带来的新的信息保护的问题，美国将隐私权扩展到个人信息保护领域，变消极为积极，来加强对个人信息领域的监管。

综上，告知同意原则在德国法律体系中源于“个人信息自决权”，在美国则源于对“隐私权”的扩张保护。就我国而言，不管是《全国人民代表大会常务委员会关于加强网络信息保护的决定》对信息主体同意的规定，还是民法典对告知同意原则合法性的认可，抑或《中华人民共和国个人信息保护法（草案）》对告知同意原则的进一步细化，均源自我国宪法第38条对人格尊严的保护规定。^[22]总结三者相同之处，将告知同意原则对应到宪法上，都是在强调人格尊严价值，在本质上都是对人的尊严以及人的自由的回应。(https://www.xing528.com)

除去上述两种理论基础，也有学者认为告知同意原则源于信息不对称理论。^[23]信息不对称主要是指信息处理者处理信息的行为可能是信息主体所不知情的。随着个人信息市场的快速扩张，个人信息被使用的频率愈加高涨，在此过程中，信息处理者所拥有的经济实力、业务能力等使得其拥有更加强大的市场地位，而与之相对应的信息主体，则由于对自身信息控制能力的不足使得其处于弱势地位。由此，设置告知同意原则来增加强势一方即信息处理者的告知义务，让信息处理者主动披露对信息的收集、使用等相关过程，即在处理信息主体个人信息前，需要告知信息主体，让信息主体明晰自己的信息处于被处理的状态，以及处于何种处理状态。其实质是通过增强信息处理者法定义务，从而使得弱势一方即信息主体能够相对提升保护个人信息的能力，尽量弥补信息主体对自身信息控制力的缺失，减少信息不对称带来的不利影响，尽量达到信息主体与信息处理者之间的实质平等。

对于信息不对称理论，笔者认为其并不能成为告知同意原则的最根本的理论基础，抑或说信息不对称理论作为告知同意原则的理论基础，没有“人的尊严”这一理论来源更直接有力。信息不对称理论对于告知同意原则来说更多地体现在市场交易等经济活动中合法获取个人信息时，因市场中的信息不对称情况，需适用告知同意原则来应对解决。当然告知同意原则对于应对信息不对称情况的作用是毋庸置疑的。

由此，我们可以得出，随着个人信息市场的扩张，个人隐私受到空前的侵犯，基于维护市场发展中对个人信息的利用与个人信息的保护之间的平衡，也基于人的尊严和意思自由的理念，产生了告知同意原则。洛克Locke在其《政府论》中提到“一切自然人都是自由的，除他自己同意以外，无论什么事情都不能使他受制于任何世俗的权力”。^[24]在信息主体和信息处理者的关系中，唯有信息主体的“同意”才能够使信息处理者获得收集信息主体个人信息的权利，也只有“同意”才能够产生使信息主体将个人信息交出的义务，“同意”是信息处理者收集信息的唯一正当性基础。

当前，学界中出现了对告知同意原则持批判态度的观点，如有的学者质疑其在个人信息处理过程中的正当性基础，提出在保护个人信息时可以采取“宽进严出+删除权”的策略；^[25]有的学者主张重构个人信息保护路径进而取而代之。^[26]甚至有学者认为应当如大数据和隐私领域的专家舍恩伯格（Schönberger）所言，不再关注个人的许可，转而加强对信息处理者的制裁。^[27]对于此类观点，笔者认为，告知同意原则对于个人信息保护而言，侧重于事前的预防。如果在信息收集前不考虑用户的主体地位，只是寻求事后的救济手段，其往往无法弥补信息安全事件所带来的后果，个人信息的泄露也并非物质补偿等能够弥补的。因此，笔者认为，在个人信息保护中应当坚持适用告知同意原则，信息主体的“同意”在信息的收集和使用中是不能被取代的。