個人信息商業利用同意要件研究

項定宜+申建平

摘要：《民法總則》第111條順應信息時代的需求，規定個人信息在信息利用中受到法律保護，但規定得較為概括。信息主體同意是信息商業利用行為的合法要件之一，但絕對的同意要件會阻礙信息的充分利用。為實現人格尊嚴保護與信息利用平衡的法律理念，并結合個人信息的性質，應當將個人信息分為人格緊密型個人信息和人格疏遠型個人信息。人格緊密型個人信息與人格尊嚴密切相關，同意要件應為積極同意；而人格疏遠型個人信息與人格尊嚴相對較疏遠，同意要件應為消極同意。基于個人信息類型化研究，建議司法裁判者區分適用個人信息商業利用的同意要件，以實現個人信息保護與信息利用的平衡。

關鍵詞：個人信息權人格緊密型個人信息

人格疏遠型個人信息

十八屆四中全會通過《中共中央關于全面推進依法治國若干重大問題的決定》，提出“加強市場法律制度建設，編纂民法典”，為此，編纂民法典已經成為當前重大的立法工作。正如《法國民法典》反映自由經濟時代的特色，《德國民法典》體現壟斷經濟時代的需求，我國民法典必須契合當前所處的信息時代要求。在信息時代，個人信息已經成為一項重要的社會資源。實踐中，侵害個人信息的現象時有發生。特別是在網絡環境下，個人信息的保護顯得尤為必要。為此，我國正在制定的民法典有必要對個人信息保護作出專門規定。

一、《民法總則》第111條直接保護個人信息

隨著信息技術和經濟的發展，我國已大步邁入信息時代，大量個人信息的開放利用倒逼個人信息的法律保護。尤其是去年因個人信息泄露而導致的電信詐騙案件頻繁發生，危及信息主體的財產權，甚至是生命權。從民法角度對個人信息進行保護，是當代民法典的歷史責任。民法典應當如何保護個人信息，國外立法例有兩種保護模式：第一，通過隱私權對個人信息進行保護。美國法將個人信息置于隱私權下保護，隱私權實際上承擔著一般人格權的功能，只要涉及私人人格利益都可通過隱私權進行保護。第二，通過一般人格權對個人信息進行保護。德國法自“人口普查案”后認為信息自決權為一般人格權的內容，通過一般人格權保護個人信息。

第一種模式顯然不適于我國，因為我國隱私權是一種具體人格權，而美國隱私權是包容具體人格權的一般人格權。在我國的法律語境下，個人信息與隱私是兩種不同的人格要素。個人信息與隱私的性質不同，個人信息兼具私密性和社會性，信息時代個人信息的社會性表現更為顯著，而隱私只具有私密性；個人信息存在商業化利用的現實性和可能性，因此個人信息權的內容表現為消極防御和積極控制信息利用兩個方面，而隱私權的內容則僅僅表現為消極防御方面。王利明教授曾指出個人信息權與隱私權在權利屬性、權利客體、權利內容、保護方式方面都有區別，并主張將個人信息權規定為獨立的具體人格權。無論人格權是否獨立成編，學者對個人信息與隱私的顯著區別已達成共識，個人信息通過隱私權保護顯然不妥。

就第二種模式而言，通過一般人格權保護個人信息，只是權宜之計。一般人格權存在內涵和外延的模糊性，不利于司法裁判的確定性。而且，個人信息權益與個人信息利用之間存在利益平衡的問題，如果采取一般人格權保護個人信息，司法機關需要在個人信息權益與個人信息利用之間進行權衡，必將導致司法裁量權過大的風險。信息時代個人信息人格權益受到侵害，已經成為嚴重的社會問題，對其進行民法保護是立法趨勢。綜上，我國民法典應當順應信息時代的要求，以專門條款直接保護個人信息，而不能采取隱私權模式或一般人格權模式對個人信息進行間接保護。

我國剛頒布的《民法總則》順應信息利用的大趨勢，回應個人信息保護的現實需求，第111條規定“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。該條款明確區分隱私權和個人信息權，凸顯對個人信息保護的重視，規定個人信息利用的邊界是“依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”，即不得非法利用。何為合法的信息收集、使用、加工、傳輸行為？立法沒有明確規定，但依據民法理論，在不違反法律及公序良俗的情況下，受害人于損害發生前同意承擔不利后果的，侵害人免責。因此，充分尊重信息主體意愿的信息利用行為是合法行為，信息主體同意當然是信息利用行為的合法要件之一。筆者以個人信息商業利用同意要件為研究對象，期望對明確適用我國《民法總則》個人信息保護條款有所助益。

二、信息主體同意是個人信息商業利用行為的合法要件

實踐中出現大量利用個人信息進行的數據分析、市場營銷、數據交易行為，那么未征得信息主體同意的個人信息商業利用行為是否合法？從我國現行立法角度看，《征信業管理條例》第13條、第14條、第16條、第20條規定征信機構收集個人信息、利用個人信息、向他人提供信息都必須經過信息主體同意。《消費者權益保護法》第29條規定：“……經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息”。《全國人大常委會關于加強網絡信息保護的決定》第2條也規定只有經過信息主體同意或法律、法規允許才可以利用個人信息。從比較法角度看，1995年《歐盟數據指令》第7條規定：“個人數據在下列情況可以處理：（a）數據主體明確作出同意……”《歐盟數據保護法規》第6條也有類似規定。由此可見，信息主體同意是個人信息商業利用行為的合法要件之一。

人類進入信息時代后，文字、方位、溝通都可以成為信息，信息化意味著從“一切太陽底下的事物中汲取信息，甚至包括很多我們以前認為和‘信息根本搭不上邊的事情”。例如，大量聚合的飛機登機信息，以前不被認為有收集、利用的價值，現在卻可以被機場免稅店用來預測商品擺放、銷售時間、銷售業績等。此外，個人為社會交往而主動提供個人信息，信息利用行為成為經濟活動的必要前提。如果堅持信息主體的絕對同意，可能阻礙正常的信息流通和社會交往。因此，同意要件有必要進一步細化規定。endprint

同意分為兩種情形：積極同意和消極同意。積極同意，簡言之，同意后方可利用；消極同意，則是不拒絕即視為同意。1995年《歐盟數據指令》第2條規定“信息主體同意”是指信息主體通過專門或者通知的指示，表示同意個人信息被處理的意愿。2016年《歐盟數據保護法規》第4條（11）規定“同意”指數據主體依照其意愿自愿做出的任何指定的、具體的、知情的及明確的指示。通過聲明或明確肯定的行為作出的這種指示，意味著其同意與他或她有關的個人數據被處理。該法規第7條規定“同意”的要件包括：書面同意必須以易于理解且與其他事項顯著區別的形式呈現，信息主體有權隨時撤回同意，同意與撤回同意同樣容易處理，第8條還規定兒童由其父母作出同意的指示。但是，《歐盟數據保護法規》沒有對“同意”是積極同意或消極同意做進一步規定。我國《征信業管理條例》第13條、《消費者權益保護法》第29條、《全國人大常委會關于加強網絡信息保護的決定》第2條都規定了同意要件，但都沒有明確是積極同意還是消極同意。

有學者在論文中指出，同意不具有理論、經濟上的正當性基礎，不應當作為信息利用的前提條件。但筆者認為：（1）該文作者所指的同意為積極同意。積極同意確實會增加信息利用的成本，會增加對信息主體的侵擾，國際個人信息保護立法確有很多例外規定，但是消極同意就不會有這些弊端；（2）該文主張通過“寬進嚴出”的方式來保護個人信息，即由信息主體行使拒絕權的方式來保護個人信息，這正體現了消極同意的本質。但是，并非所有的個人信息均采取這種保護方式，不同類型的個人信息本質不同，社會對其需求亦不同，信息利用的同意要件也有所不同。因此，個人信息類型化對同意要件研究具有重要意義。

三、個人信息類型化分析

個人信息類型化分析是信息利用同意要件區分的基礎。個人信息類型化研究的文獻較少，主要觀點是將個人信息區分為敏感信息與一般個人信息或者直接個人信息和間接個人信息分別保護，但這種單一分類都不足以對個人信息進行周全的類型化研究。學者們對個人信息區分保護的理念達成共識，但個人信息應當進行怎樣的類型化區分更為科學、周全、合理，需要進行明確。

（一）類型化思維對個人信息保護研究的重要價值

源于“潘德克頓法學”的概念法學思維，強調對法律概念的分析和構造法律的結構體系，體系化的法律制度甚至是法典都以此為理論基石。然而，蓋因法律的穩定性與滯后性，社會轉型時期出現法律漏洞是必然現象。正如國外一學者所言“事實上的法律問題是很難根據抽象體系及術語相吻合的，實際問題是混亂無章、復雜且不可區分的，遠超乎法典的體系”。運用類型化思維方法則可以彌補概念法學的不足，拉倫茨認為，立法者嘗試盡可能精確地以概念來容納典型的生活事實，但司法裁判為適當解決生活事實，就必須再度突破這些概念，因此尋找具體的法規范時我們必須一再求助于法律所意指的類型。大數據時代個人信息商業利用法律問題是傳統社會立法者無法預見的新問題，對個人信息進行類型化研究有利于司法裁判者在三段論推理中合理評價法律事實和規范，以彌補法律漏洞。過度抽象的概念化思維以內容及意義上的空洞為代價，法官只有遵循類型化思考，才能期待得到“與生活接近”的裁判。

類型的確定并無絕對標準，必須與法律理念保持一致，確定相對合理的類型標準。德國當代法哲學家亞圖·考夫曼認為法律規范的產生有兩個關鍵要素，即法律理念和生活事實，法律規范就是使法律理念與事物的本質相調適。因此，個人信息類型化應當通過兩步來確定：第一步，確定個人信息類型化的法律理念；第二步，結合生活事實全面認定個人信息的本質。

（二）個人信息類型化的法律理念

大數據時代人格尊嚴保護與信息自由的平衡、個體利益與社會利益的平衡是當前立法亟待解決的首要問題，學者已經基本認同個人信息保護立法的法律理念包括兩個方面：

第一，保護人格尊嚴。信息利用者對信息主體的個人信息進行處理和利用，個人將被塑造成數據形象，這可能導致信息主體人格的扭曲、損害。傳統倫理認為，個人信息關涉人格尊嚴，不能任由他人利用。信息技術的高速發展以及信息的被動利用，不可避免地侵擾人格尊嚴和個人安寧。1983年以來德國聯邦憲法法院的《人口普查法》違憲審查案的裁判將個人信息承載的人格權益通過一般人格權進行保護。這種觀點被我國臺灣地區理論界所認可，并體現于臺灣地區個人資料保護立法中。美國憲法沒有一般人格權條款，取而代之的是隱私權。公認的隱私權正式法律概念的提出是美國學者沃倫和布蘭代斯于1890年共同署名發表的《論隱私權》，他們把隱私權界定為“免受外界干擾的、獨處的權利”。美國個人信息資料的保護源于隱私權，他們也多采用個人信息隱私權這一概念。無論是一般人格權理論，還是隱私權理論，各國都采取立法對個人信息人格權益進行保護，維護信息主體的信息安全。目前全球大概有三分之一的國家已經制定了個人信息保護法，以保護個人信息權益及承載的人格尊嚴。

第二，保護信息自由。與傳統倫理不同，網絡信息社會的黑客倫理反對權威主義和信息壟斷，主張人們擁有自由利用信息的權利。信息自由是人的基本權利，有學者認為信息自由更是促進社會公正透明的重要保障，信息自由對轉型國家尤其不可或缺。

信息自由理念在當前信息社會的最大體現就是個人信息利用。大數據時代背景下，個人信息商業利用中的個人信息保護問題，是傳統社會立法者不可預見的新問題。然而，無論社會如何更替轉型，利益始終是法律生成與發展的驅動力，立法者的任務正是通過界定、權衡、分配不同群體和不同主體的利益，以保障社會良性、穩定的秩序。下列個人信息商業利用行為均體現了公共利益：（1）數據分析行為。信息利用者收集個人信息并分析信息，運用信息可以開展有針對性的科研、醫療、保險、教育、預測、統計等活動，大數據已影響社會各方面，從商業、科技到政府、醫療、教育、人文等各領域，有利于社會公共利益的維護。（2）精準營銷、定向廣告行為。精準營銷、定向廣告行為減少了對不相關消費群體的侵擾，同時降低目標消費群體獲取商家商品信息的成本，消費群體作為不特定人，其利益本身就是公共利益的一個維度。（3）信息交易行為。目前的信息由少數大企業控制，通過公平、合理的信息交易行為，使其他的信息利用者能夠利用和分析這些信息，能夠促進信息在更廣的領域內流通。因此，大數據時代個人信息的商業利用有利于促進社會公共利益，立法允許信息的商業利用是兼顧信息主體人格尊嚴與信息自由的必然選擇。endprint

（三）結合生活事實全面認定個人信息的本質

類型化要求確定一定標準對研究對象進行歸類。個人信息常見的分類標準一般有以下幾種：

1.直接個人信息和間接個人信息。這是一種學理上的分類，依據個人信息與信息主體的識別性，分為直接個人信息和間接個人信息。隨著信息技術的發展，個人信息相互結合也可以識別信息主體，因此有學者說大數據時代已經沒有不重要的個人信息，大數據越多越好。例如，朋友圈中曬出的照片和視頻通常包含大量個人信息，包括姓名、性別、年齡、肖像、身高、職業、職務、學歷、家庭住址、個人消費習慣以及地理位置等等，還有很多聊天記錄甚至會顯示個人銀行賬號、支付寶賬號等。直接個人信息是指能夠直接識別信息主體的個人信息，包括姓名、身份證號、肖像、聲音、基因。間接個人信息是指需要結合其它個人信息方能識別信息主體的個人信息，如性別、年齡、身高、職業、學歷、家庭住址、個人消費習慣、網絡瀏覽記錄、消費能力、地理位置、銀行賬號、支付寶賬號等。直接個人信息與信息主體具有直接對應的關系，具有直接指代性，與信息主體的人格聯系較為緊密。而間接個人信息則不同，本質上與信息主體的人身聯系較為疏遠，如網絡視頻中的自然人肖像模糊，性別的確定也不能直接對應某一個具體的信息主體，但性別信息如果與其它間接個人信息相互結合就可以識別出具體的信息主體，間接個人信息仍然應當受到法律保護。立法應當區分直接個人信息與間接個人信息，對直接個人信息的保護強于間接個人信息。

2.敏感個人信息和一般個人信息。這種分類多出現在個人信息保護立法中，大多數國家立法禁止對敏感信息進行收集、處理、利用，以彰顯對敏感個人信息的特殊保護。就敏感信息的立法模式而言，大多數國家采取例舉式，但具體例舉的敏感信息種類稍有差異。如1995年《歐盟數據保護指令》規定的敏感信息包括關涉個人種族起源、政治觀點、宗教或者哲學信仰、貿易伙伴，以及健康和性生活的個人信息。2012年該指令被修改為《歐盟數據保護條例》，增加了工會成員資格、基因資料、刑事犯罪資料三類敏感信息。2016年《歐盟數據保護法規》第9條規定的敏感信息包括種族、民族出身、政治觀點、宗教或哲學信仰、工會成員、基因、生物特征、性生活或性取向信息。1998年英國《個人資料保護法》規定敏感個人信息包括種族、政治觀點、信仰、工會所屬關系等。2002年德國《聯邦個人資料保護法》規定種族血統、政治觀點、宗教或哲學信仰、工會成員資格、健康或性生活五類敏感信息。我國臺灣地區2010年“個人資料保護法”明確列舉了五種敏感信息，包括醫療、基因、性生活、健康檢查及犯罪前科信息。我國2013年實施的《征信業管理條例》第14條第1款也有類似規定。

由此可見，敏感信息的界定因國別和時代不同而不同。盡管各國立法均例舉敏感信息的種類，卻都沒有界定敏感信息的內涵。敏感信息的本質不在于私密性，不能等同于個人隱私，正如學者所言“敏感個人信息是指被認為具有特殊風險，從而通常受到特殊保護的個人信息”。由于敏感信息在政治、經濟、文化、社會上的特殊性，立法嚴格禁止利用敏感信息，敏感信息之外的一般個人信息則可以在符合法律規定條件下進行合理利用，如我國《征信業管理條例》第14條第1款規定禁止采集敏感個人信息，第2款規定一般個人信息在取得信息主體明確、書面同意后可以利用。

3.個體性強的個人信息和社會性強的個人信息。理論和立法上都很少采取這種分類。個人信息是識別自然人的信息，毋庸置疑具有個體屬性。然而，隨著信息社會的發展，人們自愿在網絡平臺上共享個人信息，以促進社會交往。此外，信息主體在求職、網購、商業保險等社會活動中，往往被要求提供姓名、手機號碼這些結構化信息，以降低交易成本、促成社會交往活動的順利完成。無論是主動或被要求提供個人信息，都證明個人信息的社會屬性在逐漸加強。不同的個人信息，其社會屬性的強弱程度不同。個體性強的個人信息，主要反映在個人私人活動領域中，包括婚姻狀況、性生活、個人健康信息，這些個人信息在一般社會交往活動中不是信息主體的個人表征，具有較強的私密性，社會性較弱。社會性強的個人信息主要包括三類：第一，作為社會交往主體符號的個人信息，如姓名、身份證號碼、社會保險號碼、手機號碼。第二，社會活動中展示個人直觀表征的個人信息，如肖像、聲音、身高、體重。第三，動態行為信息，如網絡瀏覽習慣、地理位置、消費愛好、消費能力、網絡聊天記錄、朋友圈信息等。與個體性強的個人信息相較而言，社會性強的個人信息與信息主體的人格尊嚴相對較為疏遠，其合理利用的條件應當更寬松。為便于全面揭示典型個人信息的本質，請看下表：

如上文所述，保護人格尊嚴是個人信息立法的法律理念，因此應通過與人格尊嚴的關聯程度來確定個人信息的本質。直接個人信息、敏感個人信息、個體性強的個人信息的本質是與人格尊嚴密切相關。間接個人信息、非敏感個人信息、社會性強的個人信息的本質是與人格尊嚴較為疏遠。

（四）合理確定個人信息的類型

上表中每一種個人信息可以同時進入上述三個標準的視野，如姓名依據上面的分類標準，分別是直接個人信息、一般個人信息、社會性強的個人信息。婚姻狀況則依次是間接個人信息、敏感個人信息、個體性強的個人信息。如此復雜、多元的分類標準，不利于立法者對個人信息利用行為進行合理、有效的類型化立法規制，也同樣不利于司法裁判者作出事實判斷和法律適用。個人信息保護法律規范的立法目標是個人信息保護與信息自由的平衡，個人利益與社會公共利益的平衡。鑒于個人信息類型化法律規范要使個人信息的本質與價值理念相調適，筆者嘗試將個人信息分為兩類：

1.人格緊密型個人信息。符合直接識別性、敏感性、個體性強三個特征中任何一個特征的個人信息，都屬于人格緊密型個人信息。直接識別性、敏感性、個體性強均是人格緊密型個人信息的充分條件，滿足其中任何一個條件就可以得出人格緊密型個人信息的結論。

2.人格疏遠型個人信息。同時符合間接識別性、非敏感性、社會性強三個特征的個人信息，屬于人格疏遠型個人信息，如手機號、電子郵箱、微信號、微博號、地理位置信息等。間接識別性、非敏感性、社會性強是人格疏遠型個人信息的必要條件，欠缺任何一個條件，就不是疏遠型個人信息，而是緊密型個人信息，如種族、宗教信仰、黨派由于欠缺非敏感性，所以是緊密型個人信息。姓名、身份證號、肖像欠缺間接識別性，是緊密型個人信息。endprint

筆者如此分類正是為了與兼顧信息保護和信息自由利用的價值理念相調適，對于人格緊密型個人信息，法律更多地將信息利用的同意權能賦權給信息主體；而對于人格疏遠型個人信息，法律應當對其利用設置明確的基本要件，信息主體的同意權能受到法律限制。正如拉倫茨所言，“至少在私法的領域中，法律的目的只在于以賦予特定利益優先地位，而他種利益相對必須作一定程度退讓的方式，來規整個人或社會團體之間可能發生，并且已經被類型化的利益沖突”。

四、基于個人信息類型化的同意要件

（一）人格緊密型個人信息

由于人格緊密型個人信息與信息主體的人格尊嚴緊密相關，個人信息保護法應當將此處的“同意”限定為積極同意、事前同意、書面同意。

1.積極同意。積極同意，簡言之，明確同意后方可利用。有學者認為，信息主體對于直接個人信息具有“支配權”，應當適用財產規則進行保護，即未經信息主體明確同意不得利用其個人信息。寬松的消極同意可能對信息主體的人格尊嚴造成不可恢復原狀的損害，建議對直接個人信息采取積極同意規則。筆者認為，直接個人信息的本質屬于人格緊密型個人信息，積極同意規則應當適用于所有人格緊密型個人信息，包括直接個人信息、敏感個人信息、個體性強的個人信息。

2.事前同意。個人信息利用的環節包括收集、處理、利用。收集是后續環節的前提，收集前征得信息主體的同意，能夠對其他環節防范于未然。反之，對于人格緊密型個人信息，如果收集時未征得信息主體同意，后續的處理、利用、交易環節信息主體更無法操控，其信息控制權即無意義。《歐盟數據保護法規》第7條規定信息主體可以撤回同意，而且撤回同意前的信息利用行為是合法利用行為。可見，經過事前同意的信息利用行為是合法利用行為。

3.同意的形式。同意體現了信息主體的意思表示，我國《民法總則》第140條規定：“行為人可以明示或者默示作出意思表示。沉默只有在有法律規定、當事人約定或者符合當事人之間的交易習慣時，才可以視為意思表示。”明示是指書面和口頭的明確指示，默示是指通過積極行為表明同意的意思表示。沉默不得作為人格緊密型個人信息利用行為的同意要件，如《歐盟數據保護法規》明確規定沉默不得視為同意。其中，書面形式的明示功能和證據效力最強，我國臺灣地區2010年“個人資料保護法”第20條第（六）項規定“經當事人書面同意”。我國《征信業管理條例》第14條第2款也有類似規定。人格緊密型個人信息的利用應當建立在保護人格尊嚴基礎上，故嚴格的書面同意更有利于確保信息主體的知情同意權。

（二）人格疏遠型個人信息

1.信息主體消極同意

人格疏遠型個人信息與信息主體人格尊嚴聯系較為疏遠，即使沒有經過信息主體的積極同意即利用，不會直接導致信息主體的人格權益受損。而且，大數據時代大量的人格疏遠型個人信息被商業利用，如果采取積極同意、事前同意、書面同意，不具可行性：第一，信息利用者利用格式條款告知信息，難以充分實現信息主體的知情權，此時信息主體的積極同意就很難體現信息主體的真實意愿，如互聯網企業采取隱私權政策的格式條款告知信息利用的范圍、信息利用目的等條款存在用語模糊、不賦予用戶磋商權利的弊端。第二，信息具有無形特點，且信息利用要經過產生、收集、存儲、處理、傳輸、分析多環節，一旦進入后一環節，信息主體幾乎無法進行獨占性的控制；大數據的發展使信息的二次利用更有價值，但二次利用時其用途更是無法預先告知。第三，大數據時代信息多、生成快速、價值巨大，如果信息利用都須征得同意，則增加信息利用者的成本，也會給信息主體增加不斷回復“同意”導致的時間成本。基于上述分析，筆者認為積極同意不適于人格疏遠型個人信息的商業利用行為。

2.信息主體拒絕權

對于不需要積極、明確同意的個人信息商業利用情形，信息主體是否無控制權而任由他人利用呢？法律可以賦予信息主體拒絕權，以保障信息主體的信息控制權。我國臺灣地區2010年“個人資料保護法”第20條規定：“非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。非公務機關于首次行銷時，應提供當事人表示拒絕接受行銷之方式，并支付所需費用。”無獨有偶，我國《消費者權益保護法》第29條有類似規定。從現有法律規范來看，信息主體享有拒絕權，未拒絕的視為同意利用。信息主體行使拒絕權的前提是被充分告知信息利用范圍、方式、目的、不利后果等，告知義務為信息利用者的法定義務，信息利用者違反告知義務將承擔侵權損害賠償責任。《歐盟數據保護法規》第21條規定信息主體的拒絕權，同樣適用于人格疏遠型個人信息。

對個人信息商業利用行為采取“消極同意+拒絕權”模式，2002年《歐盟電子隱私指令》規定“opt—out”模式，即為適例。該模式比傳統的“opt—in”模式（即不得未經個人信息主體同意使用個人信息）更寬松。2004年“opt—out”模式被美國谷歌數字圖書館計劃采用，出版商或作者明確拒絕谷歌使用時谷歌將停止使用并承擔侵權責任，如未明確拒絕，視為出版商或作者放棄權利。這種模式雖然爭議極大，但優勢也得到認可：節約成本、有利于絕版作品進入公眾視線、利于建設公共圖書館的數字圖書館。在當今大數據時代背景下，個人信息被頻繁地加以利用，有利于促進經濟發展與創新。對于人格疏遠型個人信息而言，采取這種消極同意模式，既能促進大數據時代的發展，同時又能兼顧信息主體的人格尊嚴。如手機號碼，采取“寬進嚴出”的消極同意規則有利于人際交往和經濟活動需求。如果信息主體明確拒絕對方向該手機號碼發送商業性廣告，則對方應當停止，以此實現信息主體人格尊嚴保護與信息利用的平衡。

五、結論

綜上所述，傳統社會的個人信息保護理論所要求的積極、事先同意對于大量信息自動處理的大數據時代確有諸多不妥，正如學者所言“傳統‘信息自決權保護范圍過于寬泛，侵犯條件容易滿足，這既不符合現實要求，也將導致該領域陷入‘法律化陷阱”。不同性質的個人信息要求的信息利用同意要件不同，對于人格緊密型個人信息，同意要件體現為積極同意；而對于人格疏遠型個人信息，同意要件體現為消極同意。基于個人信息類型化采取區分的信息利用同意要件，有效地避免了學者擔心的信息禁止的不利后果。大數據時代背景下個人信息商業利用同意要件應當區分適用：對于人格緊密型個人信息，同意要件表現為信息主體的積極、事前、書面同意；對于人格疏遠型個人信息，信息主體在知情前提下可以拒絕，未拒絕的視為同意利用。

我國《民法總則》第111條沒有規定個人信息利用的同意要件，既為未來細化個人信息利用的法律規則留下立法空間，同時將個人信息利用合法與否的裁量權賦予給司法裁判者。筆者基于個人信息的類型化研究，建議司法裁判者針對不同類型的個人信息適用不同的“同意”要件，以實現信息時代信息利用與個人信息保護的平衡。endprint