個人信息保護中告知同意的開放結構及其公法實現

何曉斌

關鍵詞：個人信息；告知同意；隱私政策；開放結構；合作規制

個人信息保護領域的告知同意是與個人信息保護制度同時出現的。早在1970年，德國《黑森州信息保護法案》就將同意作為信息處理的合法性依據。①1972年美國提出“公平的信息實踐準則”，其第2項和第3項分別規定了信息主體獲得告知和同意的權利。②在我國，《中華人民共和國民法典》（以下簡稱《民法典》）人格權編第六章圍繞告知同意搭建個人信息保護法律框架，2021年全國人大常委會審議通過的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）將告知同意進一步具體化，確立以告知同意為核心的個人信息保護規則。告知同意因信息主體自主控制在道德論證上的優勢，超越了各國保護模式的差異，成為個人信息保護法律制度的普遍選擇。

在個人信息制度發展中，告知同意也引發了一些爭議。有批評者提出，“嚴重依賴告知同意的隱私框架既無法滿足信息流量和速度的急劇增加，也無法要求個人擔負起理解政策、作出選擇并監督實施的責任”①。也有學者從隱私政策實施的角度出發，認為告知同意在實踐中存在文本冗長復雜、頻繁告知與多次同意繁瑣不便、信息主體虛假同意等問題。②即使支持告知同意的學者也認為告知同意問題頗多，并提出“弱同意”“采用擇人為主的知情同意規則設計”或“對告知同意原則作出合理限制”等理論改造方案。③

那么，批評告知同意的真實意圖是什么？改造方案與批評意見是針鋒相對的嗎？應當如何解釋立法在面對諸多質疑的情況下仍然堅持將告知同意作為個人信息保護制度的核心？本文將從上述問題出發，仔細甄別批評意見與改進方案背后的理論邏輯，以期深化對告知同意的理解，并形成邏輯統一的理論解釋方案。

一、告知同意：一種民事格式條款？

在個人信息保護中，告知同意指個人信息處理者告知信息主體信息處理情況，并由信息主體自主決定或選擇，因此又被稱為“告知——同意／選擇”。大多數法律并沒有對告知同意的形式要求和實現標準做出具體規定，實踐中，告知同意的表現形式之一為格式文本形式的隱私政策，比如《支付寶隱私權政策》《微博個人信息保護政策》《谷歌隱私權政策》。隱私法專家丹尼爾·索洛夫教授把對告知同意的批評與隱私政策直接聯系起來，并歸納為層層遞進的四個方面：（1）人們拒絕閱讀隱私政策；（2）即使閱讀也無法理解；（3）即使閱讀并理解，但由于缺乏足夠的背景知識而無法作出明智選擇；（4）在閱讀、理解并作出明智選擇的情況下，這些選擇可能因各種決策困難而被歪曲。④可見，隱私政策存在的問題成為告知同意面臨的主要詰難。

（一）基于隱私政策的批評

不可否認，告知同意常見的表現形式就是隱私政策。在隱私政策中，信息控制者告知用戶信息處理情況，并由用戶勾選是否同意。該過程包括了信息處理者告知和信息主體同意兩個階段。對告知同意的批評意見也可以分為針對“告知”的批評和針對“同意”的批評兩部分，前者側重告知的實效性，后者則側重同意的正當性。

在諸多批評意見中，鮮有人質疑告知的正當性，支持者和批評者都認為信息主體有權獲知個人信息處理隋況。二者的分歧在于，后者認為隱私政策存在嚴重的實效性問題，主要表現為“信息過載”造成的告知成本過高，（彭包括信息主體閱讀隱私政策的高成本和數據企業沉重的運營負擔。⑥對同意的批評則集中于信息主體意志的不自由，對個人意志的限制威脅到告知同意的正當性。此類批評主要指向捆綁服務、一攬子授權等變相強制用戶同意的情形。由于對多項授權的捆綁和對自由協定的拒斥，隱私政策被認為主要體現信息處理者的利益，難以反映信息主體的自由意志。

上述批評主要基于隱私政策這一表現形式，并遵循了對民事格式條款的分析路徑，批評的內容也在很大程度上與格式條款的問題重合。王澤鑒教授在分析消費合同格式條款時提出，“一般消費者對此種條款多未注意，不知其存在；或雖知其存在，但因條款內容多屬復雜，字體細小，不易閱讀；或雖加閱讀，因文義艱澀，難以了解其真意；縱能了解其真意，知悉對己不利條款的存在，亦無從變更，只能在接受與拒絕之間加以選擇”①。上述對格式條款的批評，與個人信息保護中對告知同意的批評如出一轍。

（二）告知同意的私法改革方案

為平衡格式條款訂立雙方事實上的實力不均，私法意圖從合同法基本原則對格式條款效力進行干預，特別是加強對格式條款效力的判斷。我國《民法典》針對格式條款確立了三項基本規則——提示說明規則、條款無效規則和不利解釋規則，這與《中華人民共和國消費者權益保護法》（以下簡稱《消費者權益保護法》）和《中華人民共和國保險法》對格式條款的規定一致。②民法格式條款規則事實上擬制了一種“矯正的合同”，意圖以責任的個別化消解交易標準化造成的信息壁壘。從實質內容而言.格式條款規則將合同內容與合同效力相勾連，對合同雙方不平等地位進行強勢矯正。但從外觀上看，格式條款仍舊是一種合同，僅要求提供格式條款一方履行提示和說明義務。格式條款內容仍被視為雙方合意的體現，對格式條款的矯正也是在傳統民事合同的基礎上展開的。

此外，理論界和實務界也提出了一些與格式條款私法規則類似的解決方案。比如，針對告知的時效性，歐盟第29條工作組提出“分層告知”③。在同意問題上，則出現了概括同意、默示同意等改造方案。這些改造方案，通過擬制同意逕行賦予特定處理場景下處理行為的合法性，④抑制明示同意的適用空間。相較于隱私政策，擬制的同意把作為合法性基礎的同意轉化為場景的合理性，以同意類型化產生的規模效應削減個別化同意的高成本；但它仍以“同意無損害”作為價值前提，并未從根本上打破信息主體與信息處理者之間“基于合意”的封閉式束縛。

可見，無論否定告知同意，還是改造告知同意，都采用了一種基于民事合同的思考進路。否定者將告知同意等同于民事格式條款，并將民事合同關系中的主體相對性和糾紛私益性作為告知同意的固有特征；分層告知、擬制同意等方案雖然試圖改造個別化的告知同意，但固守基于合意的民事法律關系結構，把告知同意理解為局限于信息主體與信息處理者二者關系的事務。正因為如此，對告知同意的辯護也存在問題，特別是無法回應批評者提出的如下兩個詰難：

其一，分層告知、擬制同意等類型化方案難以解決由于信息處理的規模化和聚合效應造成的結構性難題。⑤特別是在大數據條件下，信息的收集由傳統的單鏈條操作轉為多元主體組成的復式信息處理結構，信息主體嵌入由多元主體構成的無休止的參與者鏈。①類型化方案在一定程度上降低了隱私政策的實效性問題，但面對上述復雜的信息處理場景，該方案不再具有實踐優勢。

其二，改造方案難以實現信息處理中的公共價值需求。一種批評告知同意的意見認為，我們享受的個人信息處理服務依賴平臺企業“分攤了信息收集和維護成本”②，此時要求信息處理獲取信息主體的同意，在正當性上存在成色不足。該觀點雖然對平臺經濟誤解甚深，但指出了個人信息，特別是信息處理行為所附著的信息主體以外的利益價值。“個人信息是一個多元價值集合體”③，除了供信息主體進行社會交往以外，個人信息處理在提供網絡生活服務、構建社會信用體系、維護社會治安等公共服務領域發揮著重要角色。作為個人信息保護核心的告知同意應當內在地容括公共價值，而不是通過例外情形加以規定，應激性的改造方案反映出改造者“告知同意與公共價值對立”這一價值預判。

從民事格式條款的角度出發理解告知同意，在內容、形式、執行方式等方面形成的封閉結構將締約雙方的不平等地位進一步固化，并造成了一些難以回避的問題。一方面，告知同意加劇雙方在訂立合同時的信息不對等，它不再是一種個人信息保護機制，而淪為信息處理者鐘愛的免責方式。另一方面，合同的執行本質上是對價支付，當前的個人信息保護尚未提供對價支付的基礎。人們既對確立包含經濟利益的實體權利心懷戒備，也對信息處理者的經濟壟斷憂心忡忡。總之，囿于民事合同對雙方主體的封閉結構，改革方案對隱私政策效力的強力介入收效甚微。

一、告知同意的開放結構

告知同意并不天然地表現為格式條款式的強力束縛。歷史學家馬丁·佩尼克在對19世紀醫療領域的告知同意進行分析后發現，因為醫療理論認為知識和自主對患者健康有益，長期以來告知真相和尋求同意都是醫療傳統的重要組成部分，但其內容和目的與今天的知情同意概念大不相同，其正當性源自治療效果，而非個體權利。④告知同意的原初形態更清晰地展示出其本來面目：它本質上是一種程序優化方式，而非用以免責的格式條款。對個人信息保護來說，法律并未將格式條款作為告知同意的法定形式；恰恰相反，當前各國立法對告知同意的原則性規定，為創新告知同意形式預留了空間。告知同意通過更為開放的運行結構實現個人信息保護的價值目標。

（一）復次的告知同意階段

告知同意并不是一次性完成的，而是一個持續的過程。該過程至少涵蓋了兩個告知同意階段：一是初始的告知同意，即信息主體與信息處理者對是否允許信息處理的初步同意，比如當前信息主體對隱私政策勾選同意的決定。二是后續的告知同意，當信息處理的細節（包括信息種類、收集目的、應用方式等）發生變化或超出初始同意的范圍，應當及時通知信息主體并獲得其同意。后續告知同意的典型表現形式為“動態同意”，即通過信息處理者不斷與信息主體重新接觸，為他們提供信息處理的實時信息，并使主體能夠輕松提供或撤銷同意。①此時的告知同意不只局限于信息收集階段，而是貫穿整個信息處理流程。

復次告知同意削弱了初始同意的角色，為告知同意的開放結構創造了時空條件。在初始的隱私政策中，締約主體及法律關系內容固定，“在情況發生變化時，重新接觸個人以獲得新的或更新的同意通常是不切實際的”②。持續的同意旨在改變隱私政策一攬子對核心功能、附加功能提供的一次性的授權同意，③使信息主體與控制者的有效互動成為可能，“有利于解決用戶僅能在信息收集階段行權的僵化性問題”④。后續的告知同意本質上是一種以時間換空間的保障路徑，通過時間上的延伸，將信息處理流程整體納入告知同意的輻射范圍，拓展了信息主體與處理者的互動空間。因為持續同意對后續信息處理的清晰授權，個人信息特別是重要敏感信息得到有效保護，而信息處理者則通過提高全流程信息處理的透明度強化了信息主體的信任。⑤

對告知同意持續性狀態的誤解，除了對后續告知同意的忽視，還包括對“前告知同意”階段某些影響因素的錯誤考量。信息主體斟酌是否需要信息處理服務或具體選擇哪一信息處理者這一階段，并不應納入告知同意有效性的評價范圍，對因網絡服務提供者拒絕服務而不得不虛假同意的批評，⑥并不應構成對告知同意正當性的詰難，此時用戶享有的否決權表明主體意志仍處于自由狀態。網絡服務提供者的上述強勢表現，屬于互聯網產業發展到一定階段出現的遏制創新和競爭、損害消費者福利的現象，⑦應屬不正當競爭和反壟斷法的規制領域，而不應歸責于告知同意。它顯著區別于歐盟第29條工作組所列舉的“權力不平衡”狀態下的同意，如政府機構要求公民同意、學校要求學生同意、雇主要求雇員同意等情形。⑧此時的虛假同意，早已因雙方的先前契約（比如憲法、勞動合同）而將信息主體置于信息處理者難以逃避的權力輻射范圍，因此，既不是前告知同意階段的同意，也非初始的同意，而是先前契約實施過程中的后續同意。

（二）多元的主體交互關系

以往對告知同意的辯護，往往從同意者一方出發，強調信息主體的自治，⑨忽視了告知同意的相對方——信息處理者，以及信息處理可能涉及的多方主體在該制度中可能扮演的積極角色。該理解方式產生了兩個難以避免的后果：一方面，將信息主體預設為自己利益的最佳決策者，極力主張尊重和保障個人對自己事務的自主決定權。對主體完美理解能力的預設只是理想的表達，對自主性而言既非常規，也不適當，①無視同意者在理性、情感、道德上的差異和缺陷對告知同意后果的影響。另一方面，受傳統隱私權私法保護模式的影響，將告知同意理解為一項僅與信息主體相關的消極防御外來侵擾的制度，忽略了信息處理相關主體功能的發揮。

信息處理過程中，信息主體與處理者呈現交互的信息控制關系。二者雖各自扮演不同的角色，但信息的安全、流通與使用卻無法僅靠其中一方就可以實現。信息主體利益的實現，取決于信息處理者的技術水平和通力配合：信息處理者則需要通過積極改善自身技術條件以滿足信息主體愈加苛刻的個人信息保護需要，從而贏得信息主體信任并獲得信息處理同意。因此，告知同意不應當一味排斥信息處理者，并將其視為信息保護的最大威脅。②告知同意的功能需要在信息主體與處理者的交互過程中實現。

告知同意的開放結構也要求對信息處理者角色的理解，不應局限于作為民事法律關系的相對方，而應當將其作為個人信息保護中的重要機構設置。進入數字化生存時代，平臺企業成為數字信息處理的“基礎設施”，平臺企業在告知同意的具體實施機制設計上是否對用戶友好，將直接影響到用戶數量、信息規模以及由此產生的經濟收益。因此，平臺有動機迎合信息主體的告知同意要求。同時，平臺企業在告知同意相對方和信息處理者身份上的重合，決定了其在整個信息處理流程中的重要角色。當前包括歐盟《一般數據保護條例》在內的信息保護法強調責任原則、透明原則，都意在調動信息處理者參與信息治理的積極性。③當然，強調作為相對方的信息處理者的作用，并不是要削弱信息主體在告知同意中的主導地位，而是重新評估和定位處理者在個人信息保護中的功能角色，“設法平衡數字平臺（包括行業平臺）的效益與風險，確保其開放性，并為協作式創新提供機會”④。

（三）行為授權的程序價值

告知同意的本質目的在于通過“授權可能對自己造成損害的行為”⑤這一程序賦予信息處理正當性。告知同意對個人信息所提供的保護，并不關心信息處理的最終結果是否最優，其價值預設為：在諸多極具個性化的信息利用方式中，信息主體最具資格來判定哪些結果有利、哪些結果有害，并自愿承擔由此帶來的后果。歐盟《一般數據保護條例》第6條同時將信息主體同意與為信息主體重要利益而為的處理作為信息處理合法性依據，表明告知同意應當是價值無涉的，只要經過信息主體自由同意，信息處理即使對主體利益造成損害也屬合法。正如醫療領域通過手術的告知同意允許醫生對自己的身體造成傷害，否則即使用心良好也可能構成違法。⑥因此，告知同意不以正向實體利益實現為唯一目標，反映了處理信息主體與其他社會主體之間關系的自由價值準則。即當行為利害僅止于自身而不關涉他人，就不應受到法律和社會的束縛而可自由行動，并且自得其樂或自食其果。①

雖然作為程序架構的告知同意不追求實體利益，但程序運行本身需要成本，只是成本收益需要從制度整體運行層面進行分析。有學者將《一般數據保護條例》中信息處理合法性依據的諸多例外規定作為批評告知同意的重要理由，認為告知同意的相對化源于其高成本。②前文所述分層告知、擬制同意等改革方式，也涉及告知同意的成本核算。以個人信息具有公共性或社會性為理由，規定可不經信息主體同意徑行進行信息處理，似乎更具經濟性。但在實踐中，履行合同約定、履行法律義務、保護公共利益、行使公共職權等看似成本較低的信息處理合法性依據，不但在概念上含混不清，而且“大多數情形都是需要個案判斷且具有嚴格限制的”③，對復雜情形的認定需要更多制度成本。在敏感信息的處理上，告知同意的成本核算則面臨更為突出的問題：對民族種族、政治觀點、宗教信仰、基因信息、健康信息等敏感信息進行特殊保護已經成為共識；但與此同時，此類信息在科學研究、公共衛生、社會福利等領域所具有的重大公共價值超過一般信息。此時，對個人敏感信息的特殊保護與基于信息公共性而回避告知同意將會產生不可調和的矛盾。

在與公共利益的關系上，告知同意這一程序架構遵循特殊的價值判準和利益實現方式。在數字化生存狀態下，個人信息風險防控成為公共利益的重要形態。基于科學研究、傳染病防護、犯罪偵查等需要進行的信息處理當然屬于公共價值實現領域，而確保信息處理中的信息存儲與流通安全，防范敏感個人信息濫用風險，構建相對自主的言論自由空間，④避免基于數據畫像的制度性歧視，以及告知同意確立的簡明信息交易規則對信任經濟的助力，⑤同樣屬于公共利益的重要組成部分，此類公共利益的實現均需要以告知同意作為制度支撐。更為重要的是，從程序主義的視角出發，基于公共利益的信息處理具有天然的道德優勢，其價值實現應當優先通過告知同意建立的主體信任機制，否則越過主體的自主決定而實現其宣稱的公共價值容易令人懷疑。在諸如突發公共衛生事件、暴力恐怖襲擊等極端情況下，之所以可以不經信息主體同意進行信息處理，其原因主要在于情況之緊急與構建信任機制的現實復雜性，而非公共利益在道德上的不可指摘。

三、告知同意的公法介入

在個人信息保護中，以信息主體自主控制為核心價值的告知同意，本應對以公共價值為導向的公法介入保持警惕，但由于其開放結構.公法的介入不僅現實可行，而且十分必要。即使對告知同意采用民事格式條款式的理解，告知同意這一程序架構中信息主體與信息處理者客觀存在的權力差距，也為公法介入傳統私法主體之間的關系提供了充分的事實依據。⑥而告知同意開放結構中的復次階段、多元主體、程序價值等特點，則為公法介入提供了可能。

（一）公法介入告知同意的基礎

公法對告知同意的介入，源于私法保護內在的邏輯緊張。私法保護主要關注實體利益分配是否符合公平正義，但其結果卻表現為對告知同意主體力量對比現狀的維護。民法禁止提供格式條款一方不合理地免除或者減輕其責任、加重對方責任、限制對方主要權利等情形，意在矯正格式條款在民事權利義務分配上的失衡，“成為實現一般交易條件之實質正義的轉換工具”①。但從其表述方式和規范結構來看，私法中的否定性立法意在實現自治空間的最大化，②在合同領域表現為對合同雙方意思自治的高度尊重。因此，告知同意私法保護中的否定性規范結構決定了，私法保護的制度底色是在維護而非矯正信息處理雙方的不平等。

此外，對告知同意的私法保護也存在能力不足。格式條款的定型化本為降低大規模重復性市場交易中個別磋商的高成本，私法保護在源頭上維系集體磋商的同時，卻在出現糾紛時因實質性評價標準的欠缺導致法官最終只能訴諸個別化的正義觀念。面對大規模信息處理中的告知同意，私法無法完成常態化保護的任務。

告知同意的開放性結構，為覆蓋信息處理過程、容括多元主體參與、體現行為授權程序價值的公法介入提供了制度空間。告知同意的公法介入表現出如下特征：第一，公法介入主要體現為對信息處理過程中信息主體自由意志的保障，而非信息處理后的利益分配。由于信息處理過程是動態的，公法對告知同意的介入應當覆蓋信息處理的各個階段，動態化保障信息主體在各個環節的意思表達。當信息處理者掩蓋真實處理目的、強迫信息主體同意或違背約定進行個人信息處理時，公法都可以及時介入，確保信息處理符合信息主體的真實意愿。

第二，告知同意的開放結構打破了民事合同相對性的限制，政府機關、行業組織、消費者權益保護組織等都以直接或間接方式融入告知同意的運行過程。僅就隱私政策而言，企業公布的隱私政策“為行政機關提供了規制依據，進而形成了企業自我規制和政府規制的互動”③。此外，從信息處理的復雜主體結構來看，多元主體的加人為多鏈條信息處理造成的告知同意結構性難題提供了解決思路。告知同意的開放結構適宜且需要建立多元共治的合作規制體系。

第三，公法介入并非結果導向的法律評價，它把告知同意視為矯正信息處理主體間不平等關系的法定程序，而不是合同雙方意定的利益分配方式。公法將告知同意各方的自由協商作為社會（市場）秩序的組成部分，將群像化的主體自由意志視為公共利益的重要內容。此外，由于公法在權力結構和價值判斷上區別于個體和社會組織，在緊急情況下可以發揮其公益性保護優勢以實現信息處理的靈活性和便捷性。公法介入以程序架構而非數據確權的方式，緩解信息自主控制與信息公共價值之間的緊張關系，成為國家維護數字空間秩序的基本手段。

（二）公法介入告知同意的形式

基于告知同意的開放結構，公法吸納了信息處理流程的各個主體，從而表現為既具有政府規制，也包含自我規制和元規制的多元主義合作規制體系。其中，政府規制以科層式的權力行使為主要內容，自我規制則以市場競爭為主要動力，元規制則成為連接政府規制與自我規制的橋梁，它們通過發揮各自規制優勢，共同實現告知同意的制度目標。

1.形式多樣的政府規制

政府規制將國家權力作為告知同意的制度保障。“每個人尋求著他自己的自我選擇好生活的觀念，而政治機構的存在，則提供了使這種自我確定的獲得能夠進行的制度性尺度。”①在保障信息主體自主控制的制度實踐中，政府規制通過矯正信息處理各方的不平等地位，建立符合各方真實意愿的信息市場秩序。

對告知同意的政府規制主要包括三種形式。一是傳統政府監管，公權力直接作用于告知同意過程，比如周期性的個人信息治理活動、獨立機構的常規化監管。歐盟《一般數據保護條例》第六章規定獨立監管機構，賦予其對信息處理者的調查、警示、懲戒和強制告知等權力，對包括告知同意在內的規定的執行進行監管。美國《加州消費者隱私保護法》則將政府規制的權力交由州總檢察長，由其根據需要對企業保障消費者選擇退出、以消費者容易理解的方式告知、增強消費者及其代理人獲取信息的能力等事項制定規則和程序。②二是授權監管，由政府授權某些具有專業技術和經驗的社會組織代為對告知同意的實施過程進行監管。該監管方式基于公立機構和第三方機構之間建立的相互依賴關系，在科層制權力運行邏輯的基礎上使權力進一步下沉，在政府機構和公共、私人機構之間進行權力交換.實現信息治理中由層級結構到組織網絡的組織結構轉換。③三是標準規制，確立針對告知同意的執行規范。標準制定過程的開放性、代表性和包容性使更多主體參與其中，旨在確保市場主體能夠采用，能促進而非阻礙市場發展，④呈現出創制上的探索性、內容上的具體化以及效力上的非正式性等特點。2020年，國家市場監督管理總局、國家標準化管理委員會發布《信息安全技術個人信息安全影響評估指南》國家標準，詳列信息處理者告知和信息主體同意的具體標準，在服務國家監管的同時，也為第三方評估提供參考依據。

2.靈活的自我規制與元規制

基于告知同意的開放結構，信息處理者成為告知同意實施過程中多元主體交互的中間機構，也成為公法介入告知同意的主要媒介。一方面，信息處理者基于市場競爭、內部秩序和自我價值實現等需求產生自我規制的動力；另一方面，信息處理者基于政府明示或暗示的監管命令，主動采取具有探索性且符合政府政策目標的行為，以符合元規制的要求。從元規制到自我規制，信息處理者逐漸遠離政府權力的影響范圍，裁量的權力從作為規制者的政府轉移到作為被規制者的信息處理者手中，信息處理者以更為靈活的技術設計和標準回應信息主體的告知同意需求。2020年歐盟委員會通過的《數字服務法》《數字市場法》則視平臺為互聯網生態的“守門人”，前者要求平臺提高透明度，采取風險管理措施，為用戶提供有效保障；后者將保持平臺開放性、禁止阻止用戶卸載預裝軟件或應用程序等符合告知同意開放結構的平臺架構作為平臺的法定義務。⑤由此，平臺自我規制成為公法介入告知同意的重要形式。

告知同意中的自我規制，主要指向信息處理者及其行業協會等社會組織設立的告知同意標準和驗證方法。①作為非正式權威的信息處理者獲取市場優勢資源時，便可以在規則制定、規則執行或適用制裁過程中居于主導地位，直接或間接俘獲規制過程。②基于市場主體理性，信息處理者傾向于在信息處理中通過與信息主體建立普遍信任關系而不是依靠其針對信息主體的強勢地位獲得主體同意。信息處理者公布隱私政策則可視為自我規制的表現，只要有少部分精明消費者理解條款信息，就會迫使經營者不得不向所有消費者提供更為合理的條款，③除了個體的自我規制之外，處理者也會以元規制，即非正式、靈活和合作的形式，進行契約化、程序化、專業化的組織監管來實現對自我規制的規制。

（三）公法介入告知同意的限度

盡管公法在告知同意的實現上表現出明顯優勢，但由于告知同意本質上是處理信息處理者與信息主體關系的法律設置，以維護信息主體意志自由為核心價值，公法對告知同意的介入需要圍繞上述制度要求展開，并遵循以下限制：

第一，公法介入的目的是確保信息主體自主決策，而不是代替信息主體決策。告知同意開放結構為公法介入提供了制度空間，但公法介入本身并非開放結構的終極訴求。開放結構的價值，指向信息處理過程中平等可協商的自主決策環境，通過開放結構下的公法介入，矯正信息處理者與信息主體的不平等地位，從而保障告知同意所欲實現的自由意志。為此，我們需要區分作為原則的告知同意和作為合法性依據的告知同意。其中，立法者所說的“確立以‘告知——同意為核心的個人信息處理一系列規則”⑤，其告知同意應作一般原則理解。基于合同履行、人力資源管理、法定職責、自行公開等理由而為的信息處理，雖不由信息主體直接決策，但都內含告知同意的實質要素。作為具體合法性依據的告知同意，則在形式和內容上均需確保來自信息主體的直接意志決斷。

第二，在告知同意的公法規制體系中，各類規制工具存在優先級，自我規制與元規制優先于政府規制。自我規制與元規制來自信息處理者的自我約束，在公法引導下信息處理者放棄優勢地位，基于信息主體信任獲得同意，是信息處理的理想狀態。當政府成為信息處理者，其自我約束源于合理行政原則的內在要求；而以數字平臺為主要代表的信息處理者則遵循市場邏輯，通過誠信守約塑造良好的市場形象搶占市場。而在政府規制中，以標準規制為代表的間接規制則優于以行政命令為代表的直接規制，以保護告知同意的自主空間。

結語

告知同意是個人信息保護制度的重要組成部分，是我國個人信息立法的核心，對告知同意的理解直接影響個人信息保護法律制度的構建。摒棄對告知同意的民事格式條款式理解，從告知同意的開放結構出發，通過政府規制、元規制、自主規制構成的多元合作規制，構建多方主體協商互動的告知同意實施體系，是一種可靠的制度選擇。放眼全球市場，以告知同意作為信息處理的主要依據，有利于摒棄各國、各地區在政治制度、歷史文化、價值理念上的差異，從而形成我國在新興技術發展上的制度優勢。開放結構的告知同意，并不會像批評者想象的那樣，成為信息流動和制度創新的阻礙；反而在公法介入的合作規制體系下，通過平臺企業與用戶的良性互動激發技術創新，為中國企業走向世界市場提供制度競爭力。

（責任編輯：張莉）