个人信息处理中个人同意规则释论

李 晴

（1.辽宁大学法学院，辽宁 沈阳 110036；2.沈阳师范大学法学院，辽宁 沈阳 110034）

知情同意是个人信息处理的合法基础之一，各国（地区）制定的个人信息保护立法大多作了明确规定。①Daniel J.Solove，“Introduction: Privacy Self-management and the Consent Dilemma”，Harvard Law Review，vol.126，p.1880(2013).我国《个人信息保护法》②全称为《中华人民共和国个人信息保护法》，为叙述方便，本文所涉及的我国有关法典、法律均采用简称。也构建了多元化的知情同意规则体系。近年来，个人同意规则成为学术研究的热点议题，理论成果不断涌现，争议焦点集中在个人同意的三个面向：个人同意的性质如何界定？个人同意可采取何种方式（形式）？个人同意有效要件有哪些？本文拟从解释论角度出发，对上述问题进行深入探讨，以期对个人信息保护知情同意规则的理解与适用有所裨益，并求教于学界同仁。

一、个人同意的法律性质的界定

在理论界，就个人同意的法律性质，学者间存在较大争议，主要有意思表示说、处分行为说、准法律行为说三种观点。意思表示说认为，个人同意具备意思表示的构成要素，故个人同意属于意思表示，从而对同意的方式、效力、撤回等诸多疑难问题，可以适用《民法典》关于法律行为的相关规定予以解决。③陆青：《个人信息保护中“同意”规则的规范构造》，《武汉大学学报（哲学社会科学版）》，2019 年第5 期。最高人民法院民法典贯彻实施工作领导小组：《民法典·人格权编理解与适用》，北京：人民法院出版社，2020 年，第377 页。有学者则在意思表示说基础上认为个人同意属于单方法律行为。处分行为说认为，个人同意是信息主体处分自己个人信息的行为。④万方：《个人信息处理中的“同意”与“同意撤回”》，《中国法学》2021年第1期。准法律行为说认为，信息主体的同意属于准法律行为，法律行为生效则直接发生权利变动，而同意行为不直接涉及权利变动，而只是为权利变动做准备。①王琳琳：《个人信息处理“同意”行为解析及规则完善》，《南京社会科学》2022年第2期。本文认为，意思表示说与处分行为说均难以成立，个人同意应界定为一种准法律行为，具体理由阐述如下。

首先，意思表示说难以成立。其一，个人同意不符合意思表示中内在意思的构成要素。意思表示由内心意思与外在表示构成，内心意思又分为行为意思、表示意思与效果意思。②史尚宽：《民法总论》，北京:法律出版社，2000年，第347-349页。在个人信息处理活动中，一方面，处理者公布的隐私政策和使用协议往往事无巨细，篇幅较长且包含深奥的技术语言，超出一般知识水平以及普通人的理解能力，信息超载与不对称现象普遍存在。故此，个人通常并没有充足的时间与耐心阅读隐私条款，往往直接将其越过并点击接受或者同意选项。此时，难谓信息主体认识到其行为具有何种法律上意义，即不存在表示意思。另一方面，信息主体之所以同意他人使用其个人信息，通常是为了方便生活需要。例如，在网络购物场景，消费者输入个人信息是为了完成交易不得已而为之。就其本意而言，出于对个人信息被泄露或滥用的忧虑，信息主体并不希望自己的个人信息被他人处理。易言之，个人表示同意并不意味着其追求民事法律关系的发生，为自己创设某种法律负担的同时，使处理者取得何种私法上的权利，即个人同意不包含效果意思的内核。其二，将个人同意定性为意思表示，会造成撤回与撤销概念的混淆。一方面，意思表示的撤销是指意思表示生效后，表意人取消其意思表示。在个人信息保护的视域下，个人取消其已到达处理者的同意，在性质上属于意思表示的撤销而不是撤回。③龙卫球：《中华人民共和国个人信息保护法释义》，北京：中国法制出版社，2021年，第66页。但依《个人信息保护法》第15条规定，④《个人信息保护法》第15条规定：“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”信息主体同意他人处理个人信息后，可以不受限制地撤回其同意。从其“撤回”这一语词的选用，可以推知立法者并未将个人同意视为意思表示。另一方面，将个人信息撤回等同于撤销，意味着个人信息处理期间，处理者实施的全部处理行为失去法律依据。由于欠缺基础关系支撑，处理者取得的经济利益作为不当得利必须返还给信息主体。如此严重的后果不仅超出了处理者可以预料的范围，而且势必对数据企业的经营活动造成严重阻碍，妨碍数字经济的可持续发展。《个人信息保护法》第15条第2款否定了撤回权行使的溯及力，使得撤销权所产生的法律后果与法律规定不符。有学者认为，此处的撤回不宜简单理解为固有意义上的意思表示撤回，而应理解为信息主体任意解除权。⑤韩旭至：《个人信息保护中告知同意的困境与出路》，《经贸法律评论》2021年第1期。不过，从《民法典》关于任意解除权的法律规范来看，任意解除权的行使往往要求权利人在合理期限之前通知相对人（《民法典》第563条、第730条）；造成对方损失的，还应向对方承担损害赔偿责任（《民法典》第787 条、第933 条）。从法律后果来看，《个人信息保护法》第15条第2款并未赋予处理者损害赔偿请求权，故不宜将个人信息撤回权解释为任意解除权。

其次，处分行为说难以成立。所谓处分行为，是指能够直接引起权利发生变动的法律行为。⑥〔德〕布洛克斯·瓦尔克：《德国民法总论》，张艳译，北京：中国人民大学出版社，2019年，第55页。个人同意他人处理自己的个人信息，仅意味着允许处理者在一定范围内处理其个人信息，并不希望处理者因此而对自己享有某种权利。事实上，《个人信息保护法》仅为信息主体构建了权利体系，如知情权、查询权、删除权等一系列权利，⑦申卫星：《论个人信息权的构建将其体系化》，《比较法研究》2021年第5期。并未赋予处理者何种民事权利，故个人同意不属于处分行为。

最后，准法律行为说可以成立。理由在于：其一，个人同意符合准法律行为的本质特征。法律行为与准法律行为均属于法律事实，两者的根本区别在于，法律效果是基于行为人的意思发生抑或是基于法律规定发生。法律行为的效力来源于私主体的意思自治，对于其追求的法律效果，法律尊重并且承认。但是准法律行为的效力则是直接来源于法律规定，私主体的意思表示并非准法律行为效力的决定性要素。在大多数情况下，行为人根本没有意思可供表示。①〔德〕迪特尔·梅迪库斯：《德国民法总论》，邵建东译，北京：法律出版社，2013年，第161页。在个人信息保护领域，信息主体固然作出了同意，但该同意并不是意思表示意义上的意思，而是将知道他人即将处理其个人信息的情况告知处理者。该同意的法律后果是阻却了处理个人信息行为的违法性，②See Paul Voigt＆Axel von dem Bussche，The EU General Data Protection Regulation(GDPR):A Practical Guide，Springer，2017，p.91-92．即处理者在个人同意的范围内处理个人信息不构成侵权行为，处理者无需向信息主体承担侵权责任。③申卫星：《数字权利体系再造：迈向隐私、信息与数据的差序格局》，《政法论坛》2022年第3期。④姚佳：《论个人信息处理者的民事责任》，《清华法学》2021年第3期。对此，《个人信息保护法》第13 条、《民法典》第1036 条分别从正反两个方面进行了权利义务的配置。基于这两条可以总结出如下结论：处理者在取得个人同意的情况下处理个人信息不承担民事责任。质言之，个人同意产生免除侵权责任的法律效果是基于法律的直接规定，而与个人具有何种内心意思没有必然关系。事实上，信息主体更希望对方不要处理自己的个人信息。其二，将个人同意定位于准法律行为，与立法者的态度相吻合。从立法演变来看，《个人信息保护法》的一审稿中，个人同意被明确定性为意思表示。⑤《个人信息保护法》一审稿第14 条第1 款规定：“处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示。”但在其二审稿中，意思表示这一语词被删除，个人同意的意思表示定性被改变。⑥《个人信息保护法》二审稿第14条第1款规定：“处理个人信息的同意，应当由个人在充分知情的前提下自愿、明确作出。”正式通过的《个人信息保护法》中立法者基本延续了二审稿中的语词选择。从立法变迁来看，立法者似乎采取了回避态度，不再明确界定个人信息的法律性质。不过，立法机构编写的释义书明确指出，个人同意基于法律规定产生排除处理行为违法性的效果，故与法律行为并不相同，更接近于准法律行为。⑦杨合庆：《中华人民共和国个人信息保护法释义》，北京：法律出版社，2022年，第54页。可见，立法机构已经改变了对个人同意法律性质的认知，否定了意思表示的观点，将其认定为准法律行为。其三，将个人同意界定为准法律行为，较之意思表示说更有比较优势。通说认为，在性质许可的范围内，准法律行为可以类推适用法律行为的相关规定。⑧王泽鉴：《民法总则》，北京：北京大学出版社，2009年，第266-269页。一方面，《个人信息保护法》上的特别规定应优先适用。例如，个人同意撤回的法律效果明显不同于意思表示的撤销，解释上可将其解释为《个人信息保护法》中特有的法律制度，此时排除适用《民法典》关于意思表示法律效果的规定，从而消解将撤回同意解释为行使任意解除权造成的法律适用争议。另一方面，在《个人信息保护法》没有作出明确规定的情况下，根据其性质可以类推适用《民法典》关于法律行为的规定，可以避免为个人同意重新创制一套新的法律规范，从而将《个人信息保护法》与《民法典》的相关规定有效衔接，既有利于节约立法资源，又能够为信息主体提供更加全面充分的保护。

二、信息主体表达同意的形式和方式

关于信息主体表示同意的合法形式，我国《个人信息保护法》并没有作出明确规定，学界亦未有定论。有的观点认为，信息主体表达同意的形式应当是书面同意或者授权。①齐爱民：《中华人民共和国个人信息保护法学者建议稿》，《河北法学》2019年第1期。有的观点认为，处理者只需取得本人同意即可，并非一定采取书面形式不可。②刘士国：《中华人民共和国人格权法律条文建议稿附理由》，北京：中国法制出版社，2017年，第190页。笔者认为，后者值得赞同。一方面，信息主体同意他人处理个人信息，性质上属于准法律行为，故《民法典》第135 条关于法律行为形式的规定，同样适用于个人信息保护的领域。这意味着个人同意不必仅仅局限于书面形式，口头形式或行为推定亦无不可。另一方面，从社会现实来看，一刀切式地要求采取书面形式未免与实际生活脱节。例如，在电话推销保险产品的场合，消费者同意投保后，可以在通话过程中向保险推销员告知自己的个人信息。又如，在“同意”和“不同意”两个按钮选项中，用户可选择点击任一按钮，这种操作方式显然与通常意义上的书面形式不同。

信息主体同意他人处理个人信息可以采取何种表达方式，《个人信息保护法》也未作出明确规定。有学者区分敏感个人信息与一般个人信息，认为处理前者应征得个人明示同意，处理后者仅需个人默示同意即可。③王利明：《数据共享与个人信息保护》，《现代法学》2019年第1期。有学者不区分个人信息的类型，认为个人同意必须以明示方式作出。④程啸：《论个人信息处理中的个人同意》，《环球法律评论》2021年第6期。笔者认为，个人同意作为准法律行为，在《个人信息保护法》未作出规定的情况下，可以类推适用《民法典》中法律行为的相关规定。⑤《民法典》第140 条规定：“行为人可以明示或者默示作出意思表示。沉默只有在有法律规定、当事人约定或者符合当事人之间的交易习惯时，才可以视为意思表示。”准此以言，个人同意可以采取明示方式，也可以采取默示方式。例如，在网络环境下，用户点击行为表示的同意信号能够直接被自动化处理工具接受。⑥郑佳宁：《知情同意原则在信息采集中的适用于规则构建》，《东方法学》2020年第2期。信息主体主动勾选、点击“同意”“注册”“发送”“我同意”“我接受”等类似选择框，可视为以默示方式作出了同意。值得注意的是，关于个人信息同意模式，比较法上存在所谓选择进入（opt-in）模式与选择退出（opt-out）模式。其中，美国《加州消费者隐私法案》采选择退出模式，即消费者不作反对即视为消费者同意他人处理其个人信息。⑦California Consumer Privacy Act.1798.105.欧盟《一般数据保护条例》和我国《个人信息保护法》采选择进入模式，即处理个人信息之前必须取得个人同意，否则视为侵权。⑧江必新、郭锋：《中华人民共和国个人信息保护法条文理解与适用》，北京：人民法院出版社，2021 年，第151 页。在选择进入模式背景下，若个人未作出明确同意，不能将个人单纯的沉默视为同意，即个人同意不能采取沉默方式作出。

三、信息主体同意的有效要件

个人同意发生法律效力须具备哪些要件，我国《个人信息保护法》并未作出明确规定，此时可类推适用法律行为有效要件的相关规定。⑨《民法典》第143条规定：“具备下列条件的民事法律行为有效：（一）行为人具有相应的民事行为能力；（二）意思表示真实；（三）不违反法律、行政法规的强制性规定，不违背公序良俗。”以下详述之。

（一）信息主体须有相应的行为能力

在个人信息保护领域，各国（地区）立法通常对未成年人的同意能力作出特别规定。①General Data Protection Regulation.Art.8.我国《个人信息保护法》第31 条第1 款规定处理不满14 周岁未成年人个人信息，应取得其父母或者其他监护人的同意。依反面解释，14 周岁以上的未成年人对于他人处理自己的个人信息能够独立作出有效的同意表示。不过，与线下生活场景不同，在网络环境下，网络平台通常不能看到用户的样貌，因而难以凭借外形特征等因素判定用户是否为未成年人。在14 周岁以下的未成年人普遍不办理身份证的情况下，处理者判断用户是否具有同意能力更为困难。由此引发一项信息收集悖论：在处理不满14 周岁未成年人的个人信息时，处理者必须取得该未成年人监护人的同意，但是处理者难以有效判定用户是否为目标主体，为化解处理者的尴尬处境，在解释上处理者可以直接从未成年人处收集所需的最小范围的个人信息。此时，未成年人即使不满14 周岁，其作出的个人同意也应认定合法有效。

自理论而言，既然《个人信息保护法》第14 条在义务的配置上，明确将监护人同意作为处理者处理不满14 周岁未成年人个人信息的前置条件，则在纠纷发生时，对处理者取得监护人同意承担举证证明责任的主体便应当是处理者。然而，现实生活中平台对此原则的贯彻并不理想，网络平台为规避自己的法律责任，通常会要求未成年人用户在使用产品或服务前，自己设法取得监护人的同意，②例如，《腾讯隐私政策》在未成年人保护部分即规定，“若您是14 周岁以下的儿童，在使用相关的产品或服务前，应当按照注册、使用流程，事先取得您的家长或法定监护人的同意，并由您的家长或法定监护人帮助您完成产品或服务注册流程。”实际上要求未成年人自己证明自己已年满14 周岁。然而，未成年人对披露个人信息的风险认识相对不足，特别是对已经脱离父母监护如寄宿学校的学生而言，要求他们事先取得监护人的同意不切实际。在立法过程中，我国《个人信息保护法》一审稿第15条③《个人信息保护法草案》一审稿第15条规定：“处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的，应当取得其监护人的同意。”曾将未成年人身份识别责任转嫁给监护人，但处理者很容易以自己不知情为借口，主张信息处理行为合法有效，从而削弱了对未成年人合法权益的保护。《个人信息保护法》二审稿第15条④《个人信息保护法草案》二审稿第15条规定：“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。”作出了实质修正，要求处理者设法识别用户是否为年满14周岁的未成年人。《个人信息保护法》第31条沿用了二审稿的规定。立法修改意味着立法者将取得未成年人监护人同意的举证责任分配给了处理者，更符合保护未成年人的价值取向，这样安排值得赞同。有疑问的是，若仅未成年人个人表示了同意，该同意行为的法律效力如何评价？本文认为，应结合《民法典》第144 条、第145 条与《个人信息保护法》第14 条的规定，区别不同情形予以判断。其一，不满8周岁未成年人作出的同意处理个人信息的行为无效。其二，14周岁至18周岁未成年人作出的同意有效。其三，8周岁以上不满14周岁未成年人作出的同意似应一分为二，在未成年人作出同意的行为令其纯获法律利益或者其作出同意的行为与其年龄、智力、精神健康状况相适应的情况下，未成年人同意有效；反之，未成年人同意落入效力待定的状态，处理者可以催告监护人是否追认，如果监护人进行了追认，那么未成年人同意有效，反之则其同意无效。不过，这一推理未免过于武断。一方面，网络平台大量收集未成年人个人信息，出于降低运营成本考虑，处理者并没有足够大的动力催告监护人。即使有意催告监护人，也可能由于不掌握监护人信息而难以实现。特别是，在我国法律上并没有规定处理者通知监护人的期间限制，这意味着处理者可以选择任意时间催告监护人。在此期间，处理者可以任意处理未成年人个人信息，这与保护未成年人的价值取向不相符合。另一方面，个人信息处理活动并非使未成年人纯获利益的行为，且处理过程也非常复杂，以一般未成年人的智力水平，通常难以预计个人信息被他人处理的意义或者后果。因此，从降低未成年人暴露于网络环境风险的角度出发，应将《个人信息保护法》第14 条解释为效力性强制性规定，处理者未取得其监护人同意时，该未成年人作出的同意无效。

需要指出的是，《个人信息保护法》并未对处理成年被监护人个人信息作出规定。有疑问的是，成年被监护人在个人信息处理中作出同意，其效力如何评价？有学者认为，对于成年被监护人，其在个人信息处理中的同意能力需要根据具体情形加以判断。①程啸：《论个人信息处理中的个人同意》，《环球法律评论》2021年第6期。本文认为，该观点值得商榷。一方面，信息主体以允许他人处理个人信息为手段，获得处理者的产品或服务，本质上并不属于纯获利益的法律行为。另一方面，在网络交易环境下，由于处理者欠缺判断用户是否为成年人的客观资料，故难以确认交易对象是否为成年被监护人。从保护弱势群体理念出发，成年被监护人与处理者发生纠纷时，应由处理者证明交易发生时已经知道用户为成年被监护人，且同意表示与该成年被监护人的年龄、智力和精神健康状况相适应。若处理者不能举证，则该成年被监护人作出的同意应认定为无效。

（二）信息主体的同意须自愿真实

处理者违背自愿原则取得个人同意，该同意的法律效力如何，《个人信息保护法》并没有作出明确规定。本文拟分以下三种情形，分别讨论瑕疵同意的法律效力问题。

1.当事人受到欺诈、胁迫作出的同意无效。依《民法典》第148 条、第150 条规定，受欺诈、胁迫实施的法律行为属于可撤销的法律行为。行为人受欺诈、胁迫作出的意思表示可撤销，这用于调整物理世界的有体物流转未尝不可，但延伸适用于个人信息保护则并不妥当。这是因为，就有体物的交易而言，意思自治与交易安全都是法律需要保护的价值，两者不可偏废。其运作机理是，立法赋予受欺诈（胁迫）人撤销权，由其选择是否撤销该法律行为。受欺诈（胁迫）人选择撤销法律行为后，该法律行为自始失去法律约束力。为协调受欺诈（胁迫）人与欺诈（胁迫）人的利益冲突，受欺诈（胁迫）人行使撤销权受法定期间限制，期间经过后撤销权归于消灭。而个人信息不同于物理世界的有体物，它本质上属于自然人不可或缺的人格要素。从价值位阶角度来看，意思自由与交易安全发生冲突时，在价值判断上应侧重优先保护前者。否则，一旦当事人未及时撤销其意思表示，除斥期间经过后势必丧失撤销权，处理者侵害人格权益的违法行为将被合法化，个人信息将成为处理者谋利的手段，人的主体地位将被贬低至与财产同等的客体地位，人格尊严难以受到有效保障。因此，宜将《个人信息保护法》第5 条解释为效力性强制性规定，将信息主体因受到欺诈、胁迫作出的同意表示认定为无效。

2.当事人在压迫关系下作出的同意无效。形式上，自然人与处理者均系平等关系的民事主体，但由于处理者拥有雄厚的技术优势和研发团队，双方的议价能力存在巨大的落差，实质上处于不平等地位。网络从业者往往滥用其强势地位，强迫用户同意收集、使用其个人信息，造成“不同意就离开”“使用即同意”的不对等局面。在这种态势下，处于弱势地位的用户虽不情愿，但最终往往只能无奈地选择同意处理个人信息。由于用户为使用产品或接受服务时只能被迫同意，有学者甚至认为知情同意的个人信息保护框架已经过时且无益。②范为：《大数据时代个人信息保护的路径重构》，《环球法律评论》2016年第5期。本文认为，处理者滥用其市场支配地位，形式上虽然取得处理其个人信息的同意，但由于强行剥夺了信息主体选择同意与否的机会，该同意应认定为无效。

（三）取得个人同意不存在违法

1.违反明确同意法律规定的个人同意无效。何谓明确同意，《个人信息保护法》没有作出明确的界定。有学者认为，明确同意相对默示同意而言。①王利明、程啸：《中国民法典释评·人格权编》，北京：中国人民大学出版社，2020年，第416页。本文认为这一观点值得商榷。依《民法典》第140条第1 款规定，明示同意与默示同意相对而言，属于意思表示的方式范畴，但明确同意不能与默示同意相提并论。依《民法典》第143 条规定，意思表示明确并非法律行为的有效要件，故明确同意是《个人信息保护法》对个人同意特别附加的要件。明确同意可以采取口头形式、书面形式等明示方式，也可以采取肯定性动作这一默示方式。②江必新、郭锋：《中华人民共和国个人信息保护法条文理解与适用》，北京：人民法院出版社，2021 年，第141 页。据此，所谓明确同意仅仅意味着个人的同意不能模糊不清，从而产生两种以上的解释结论。当就个人是否作出了明确同意发生争议时，应由处理者承担举证责任。若处理者举证不能，则应认定为个人未作出明确同意。由于明确同意是个人同意的固有特征，故此个人作出的同意不明确时，该同意表示无效。

2.违反单独同意法律规定的个人同意无效。《个人信息保护法》对个人单独同意类型作出了特殊规定。例如，依《个人信息保护法》第39 条规定，处理者向境外接收方提供个人信息时，应取得个人的单独同意。单独同意意味着处理者不能将该类个人信息与其他处理事项混合，概括地取得个人同意。若处理者违反法律规定，将需要单独同意事项与其他事项混同一处，致使个人未能注意该类个人信息的存在，则个人同意部分无效，亦即对需要单独同意的个人信息的同意无效，对其他个人信息的同意有效。有疑问的是，在个人信息出境场景之下，是否必须取得个人单独同意。有学者认为，个人同意是个人信息出境的必要条件，③张凌寒：《个人信息跨境流动制度的三重维度》，《中国法律评论》2021年第5期。单独同意是处理者向境外提供个人信息的唯一合法基础。④龙卫球：《中华人民共和国个人信息保护法释义》，北京：中国法制出版社，2021年，第186页。有学者认为，取得个人单独同意是指基于个人同意处理个人信息的情形，无须个人同意即可处理个人信息的情形并不包含在内。⑤程啸：《个人信息保护法理解与适用》，北京：中国法制出版社，2021年，第273页。本文认为，第二种观点值得赞同。以国家机关向境外提供个人信息为例，从文义解释来看，依《个人信息保护法》第39 条规定，国家机关除向个人告知境外接收方的相关事项外，似乎应取得个人的单独同意。但从形式逻辑来看，同意属于上位概念，内在包含着单独同意与概括同意两个子概念。处理者无须取得个人同意即可处理个人信息情形，包括无需个人单独同意即可处理个人信息。例如，公安机关锁定嫌疑人后该嫌疑人潜逃国外，公安机关向国际刑警组织提供该嫌疑人的个人信息属于履行法定职责，显然不需要取得嫌疑人的同意，取得其单独同意也就无从谈起。⑥彭錞：《论国家机关处理的个人信息跨境流动制度》，《华东政法大学学报》2022年第1期。

综上所述，在大数据时代，个人信息保护面临前所未有的压力与挑战，信息主体知情同意规则的落实困难重重。在信息主体与互联网企业天然存在“数字鸿沟”的背景下，削弱、否定知情同意法律地位的学说并不足取。⑦高富平：《个人信息保护：从个人控制到社会控制》，《法学研究》2018年第3期。应当采取的措施是，正视现有法律规定的不足，通过制定司法解释或发布指导案例的方式，细化个人信息保护知情同意规则，切实提升信息主体的谈判地位，增强其议价能力，为保障个人信息自决权提供充足、有力的法律依据。