个人信息利用中同意规范的分级多层适用,国际私法论文.docx

个人信息利用中同意规范的分级多层适用,国际私法论文摘 要： 国际法规范或者多数国家个人信息保卫法将信息主体同意作为信息利用的正当性基础, 大数据时代下, 部分学者开场否认同意基础的正当性。个人信息利用中对同意条款应采用分级多层的类型化适用:初始利用阶段, 设置财产规则保卫信息主体, 区分敏感个人信息和一般个人信息, 采用事前判定的方式分别适用明示同意和默示同意;二次利用阶段, 设置责任规则促进数据流通, 采用事后判定的方式救济信息主体, 同意规定此时并不存在适用的空间。 本文关键词语： 同意; 个人信息利用; 分级多层构造; 类型化; Abstract： The norms of International Law or Act on the Protection of Personal Information of mast countries uses the information subject as the justification basis for information utilization that some scholars in the big data era denied the legitimacy of the agreement. In the use of personal information, the consent clause should be applied a Hierarchical multilayered type: initial use of the stage, set the information body, distinguish between sensitive personal information and general personal information, the use of advanced judgement of the way to apply for consent and implied consent; in the secondary utilization stage, the responsibility rules are set to promote data circulation, and the information subject is relieved by means of post-judgment, and it is agreed that there is no applicable space at this time. Keyword： Agreement; Personal information utilization; Hierarchical multi-layer structure; Typed; 1、 问题的提出 在大数据时代, 随着对大数据分析的应用, 个人信息多样化利用的趋势成为一种必然。在宏大的利益驱动下, 数据从业者对个人信息的大规模利用成为一种普遍的经济现象。在信息技术快速革新的背景下, 数据从业者为了追求低成本、高效率的经济目的, 对信息价值的挖掘的分工也越来越明细, 华而不实信息控制者多会采取外包挖掘的方式与信息处理者合作, 节约时间和成本以开发信息价值, 双方实现双赢。因而, 信息收集、处理和利用等流转经过中每一环节都可能会损害信息主体的合法权益。怎样合理利用个人信息成为大数据时代信息发展的重要课题。 在传统信息保卫的法律规制中, 无论是理论通讲抑或国际通行立法均将知情同意要件作为个人信息利用的正当性基础, 即当数据从业者收集信息时应获得信息主体的同意。知情同意权属于人格权之一部分, 是人格尊严和人格自由在信息保卫法领域的详细具体表现出。 知情同意 在信息保卫中构建的学理根据主要是信息不对称理论, 该理论本质是为平衡信息主体对本身信息参控力度的缺失, 通过知情同意的机理给予信息主体在信息流转经过中以控制权, 防止信息利用者损害其知情权, 进而维护信息主体的个人尊严与自由。故传统信息规范将知情同意要件作为信息保卫与数据流通的平衡性法理基础。然而, 随着商务智能、无线传感器、云计算、物联网等新技术不断更新, 在大数据应用带来的利益驱动下, 数据从业者对个人信息的利用集中在对个人信息匿名化后的数据交易层面, 以充分挖掘信息价值, 提高经济效益。在信息流转经过中, 在信息收集阶段, 信息因未被处理而处于静止状态, 信息主体的权益此时并无太大风险;伴随大数据分析的应用, 数据从业者使得在利用经过中要对信息进行清洗、加工、建模进而生成数据再进行交易, 这一系列动态的信息处理经过对信息主体权益所造成的威胁要远远高于初始收集阶段, 也对传统以信息收集为主要规制环节的个人信息保卫框架提出挑战。近年来越来越多的学者开场否认同意是个人信息利用的正当性基础。任龙龙以为, 信息利用的原则重在防止滥用而非严格保卫, 同意条款缺乏必要性和真实性, 适用成本高、效率低, 会成为信息产业发展的羁绊因素1。范为以为, 作为传统架构 立足之本 的 知情同意 机制已失灵, 用户并无实际的控制权, 在网络语境中, 用户为使用产品或服务往往除点击同意之外并无其他选择2。崔聪聪等则从经济制度考量, 以为只要数据从业者与信息主体通过合作博弈达成了协议, 或者他们欲知足的利益明显大于消费者的自由需求时, 即得以径自利用信息而无须征得信息主体的同意3。 如上所述, 个人信息利用每个环节都可能对个人信息造成威胁, 完全依靠传统的知情同意条款会阻碍数据的自由流通, 一刀切地摒弃该理论则会动摇个人信息保卫的根基。故笔者倾向于对同意条款在个人信息的分层利用构造中区别规定, 以灵敏性的同意机理适应动态化的信息利用方式, 平衡个人信息保卫与数据自由发展的相关利益关系。 2、 关于同意基础的国外立法考察 2.1、 关于同意基础的国外立法例 最早对同意基础作出规定的是经济合作与发展组织, 其在1980年(OECD个人信息保卫指针中确立了八项原则, 华而不实限制收集原则和限制利用原则都对知情同意予以规定4。联合国大会于1990年通过的(联合国关于自动资料档案中个人资料的指南中规定了十大原则, 华而不实, 合法合理原则、目的特定原则均对同意基础作出详细规定5。欧盟对于个人信息保卫最为严格, 其以人权导向为基线在1995年公布(信息保卫指令 (下面简称(指令) , (指令规定了信息品质原则, 包括正当处理原则、目的明确和限制原则等均对信息主体的同意作出明确规定6。且第七条明确对同意条款的内容作出具体规定。与欧盟立法理念不同的是, 美国法对个人信息保卫的基本立场是反对滥用, 注重对个人经济关系的保卫。美国没有统一的个人信息保卫立法, 对个人信息保卫采用行业自律的形式以适应经济的动态发展。因而, 个人信息保卫原则对施行分散立法兼行业自律的美国更为重要。起初, 美国对于主体同意内容仅在(隐私法中予以规定, 即在1974年将美国自动化信息系统委员会提出的五项个人隐私保卫原则纳入(隐私法这一单行法中, 华而不实包括知情原则和同意原则。随后, 大数据分析的应用导致个人信息的被侵犯机率提高, 为此美国将个人信息区分为一般个人信息和敏感个人信息, 对于后者, 联邦针对特殊主体或特殊信息出台了十分立法, 例如1988年的(影视隐私保卫法、1998年的(儿童在线隐私权保卫法案等, 这些立法都对信息主体的同意作出了详细规定。能够看出, 为顺应立法潮流, 美国也逐步认同同意作为个人信息利用的正当性要件。 2.2、 欧美国家对同意基础的立法改革 近年, 随着大数据分析应用带来的宏大利益, 个人信息保卫法从重保卫到重利用的转变成为各国际组织或国家立法的新姿态。华而不实, 以 知情同意 为框架建立的个人信息保卫立法过于绝对, 大规模的信息利用的前提假如一刀切地建立在获得信息主体同意的基础上, 不仅不现实且成本过高, 故各国开场审视既有立法的缺乏, 改革立法, 以顺应数字时代的发展潮流。华而不实, 最为典型的当属欧盟(一般数据保卫条例7以及美国(消费者隐私权利法案 (草案) 8。 2020年1月, 欧盟颁布(一般信息保卫条例草案 (R) , 取代1995年(信息保卫指令, 该草案于2021年4月最终通过并予以公布, 2021年5月开场生效9。与(指令相比, (一般信息保卫条例新增关于 同意条件 的规定, 有别于过去将绝对同意作为信息处理的首要条件, (一般信息信息保卫条例关于同意的规定愈加细致。根据(指令第7条的规定, 同意必须是明确的;但(一般信息信息保卫条例第6条的表述删去了 明确 。与此同时, 第9条第2款规定, 特殊类型的信息在获得信息主体明确同意时, 且处理则不受相关限制。由此可知, 对于特殊类型数据处理的同意为明确同意, 而对其他一般信息的处理仅需同意;后者的外延应大于前者, 即同意应包含明确同意和默示同意10。能够看出, 比照之前的僵化性同意要件, 欧盟逐步采取一些变通的姿态, 对个人信息同意作出区分规定。2021年美国联邦引入三部隐私法案:(消费者隐私保卫法案 (草案) (下面简称(草案) (学生数字隐私与父母权利法案(数据经纪人责任以及透明法案。三部法案中, (草案最为典型, 软化了以 知情同意 为架构的信息法律规制, 建立起真正的以详细场景为依托、动态管理隐私风险的核心构架, 将个人信息保卫落实到实处, 在用户同意层面, 将同意条款作为补充性机制予以规定。第103条 (b) 款规定, 在详细场景中机构处理信息的行为合理, 则无需信息主体受权或者同意;当信息控制者利用信息的行为不合理, 威胁到信息主体的隐私时, 信息控制者需要对该风险进行评估, 并采取相应的救济手段11。美国(草案未将同意作为个人信息利用的首要前提, 而是在信息利用的经过中动态监管对信息主体可能引发的风险, 缓解信息主体同意的固化基础, 迎合数据产业的发展需求, 对协调个人信息利用和保卫极具指导意义。 能够看出, 欧美对信息主体同意条款作出较为灵敏细致的规定。欧盟因以人权为立法理念, 故将同意基础作为信息利用的首要前提, 但为适应信息的大规模应用, 不再僵硬地适用同意条款, 对信息作出一般个人信息和敏感信息, 分别适用默示同意和明示同意, 缓解了同意条款导致的僵化局面。反观美国, 因注重对个人经济关系的保卫, 对个人信息的保卫以行业自律为主, 仅对特殊主体单独立法。故在(草案中将同意基础作为补充机制, 在个人信息利用的经过中对个人信息进行动态风险评估, 灵敏性同意机制较欧盟更强。欧美对同意基础的立法改革顺应数字时代的发展, 值得借鉴。但对同意基础的规定还是过于简单, 欧盟仅规定了明示同意和默示同意, 而美国则将同意基础作为候补机制, 并未注意到个人信息利用的分级多层次化。故笔者在借鉴两者立法动态的前提下对同意基础进行类型化重塑, 在保证信息安全的前提下能动促进数据流通。 3、 同意规范的分级多层适用 大数据分析应用之前, 对个人信息商业化利用主要集中于对公众人物的肖像、名称、声音等标识, 彰显出个人信息的积极控制功能。故对此, 美国采用公开权的方式加以保卫, 德国则通过一般人格权积极面向予以保卫。随着大数据时代的到来, 对个人信息的商业利用不再仅限于对公众人物人格标识的利用, 而是对信息主体整体信息的利用, 且着重于对信息的二次利用, 即数据从业者运用大数据分析减少商业的不确定性以提高经济效率。笔者以为对同意基础的适用应进行分层构造的类型化适用, 对不同适用情形采用的保卫规则也不尽一样, 以此平衡信息主体和数据从业者的相关利益。 3.1、 同意基础分级多层适用的前提 3.1.1、 个人信息与数据之差异 将数据和信息进行区分是对同意基础进行类型化适用的逻辑前提, 对个人信息和数据的利用次元不同, 同意基础的要件也不同。 就信息的内容而言, 通讲以为个人信息法律属性集人格利益与财产利益于一身。个人信息财产属性通过对名人等公众人物的声音、名称、肖像等商业化利用彰显。笔者以为这仅仅仅是对个人信息人人格属性的经济性扩张, 其属性仍为人格利益, 由于此时的商业化利用仍具有人格标识。伴随大数据时代的到来, 数据从业者对个人信息大规模利用而生成数据, 很多学者将这种商业化利用认定为个人信息的财产属性。然而, 这种商业化利用并不是其财产属性, 而是在个人信息利用经过中产生的数据, 不再具有人格标识, 此时的数据脱离了人格因素, 仅具有财产属性。对初始信息的收集是信息主体为本身便捷性利益所交付的对价, 其享受便利性的同时应具有一定范围的容忍义务, 这并不是对个人信息的商业化利用。二次利用信息时, 在对个人信息进行匿名化处理之后, 其身份辨别性因素不再, 此时生成的数据仅具有财产属性。就数据的来源而言, 根据数据来源不同可将数据分为衍生数据和记录数据。首先, 衍生数据主要源于个人信息, 其生成离不开初始个人信息的聚合。但个人信息在处理经过中数据产业者通过脱敏技术、匿名化技术, 对数据源的属性审核处理, 当个人信息的隐私因子脱离之后才进行交易, 此时的数据具有财产属性。其次, 记录数据源于信息主体因使用互联网而被网络服务提供者以Cookies等工具记录的数据, 这种记录数据本身辨别不到特定身份主体因此不具有人格属性, 记录数据并不具有隐秘性, 数据产业者对该信息的利用并不会对信息主体造成隐私困扰。记录数据的无人格性特征在某种意义上深化了数据的财产属性。因而, 初始收集阶段, 个人信息仅具有人格利益, 信息主体对本身信息享有人格利益;因大数据分析的应用, 由个人信息生成的数据仅具有财产利益。 3.1.2、 敏感信息和一般信息的区别标准 尽管出台的法规抑或学者的阐述多使用 敏感信息 这一术语, 但却很少对其进行界定12。国外立法例和我们国家国内法规在信息主体同意层面都对个人信息进行区分, 即区分敏感信息和一般信息, 对敏感信息一般会加以十分规定, 由于这类信息牵涉信息主体的隐私, 所以个人敏感信息其实等同于信息主体的隐私。个人信息保卫立法一定要在不同的价值追求之间进行权衡:牵涉人格尊严及隐私的, 要做到严格保卫;只是一般性个人信息、事关经济利益的, 要考虑到社会交易的发展13。欧盟(一般信息保卫条例对(指令完善的点睛之处在于对第9条对特殊个人信息的利用进行了分类规范14。该规定将民族、政治、信仰、基因、健康、性生活与性取向等信息纳入特殊类型个人信息的射程内。从(一般信息保卫条例对数据处理条件的严格性规定来看, 层次越高的信息敏感度也越高, 利用的要求与限制条件也就相应越多, 以保卫华而不实的个人隐私与自由10。美国法因对个人信息保卫的形式采用行业自律形式, 将敏感信息进行单独立法。美国(草案在个人信息定义层面, 一改正过错去以 辨别性 对个人信息进行定义, 转而以 关联性 定义个人信息, 即 能够连结到特定个人或设备的信息 。我们国家(信息安全技术公共及商用服务信息系统个人信息保卫指南 (下面简称(指南) 明确个人信息分为个人敏感信息和个人一般信息。个人敏感信息是指一旦遭到泄露或修改, 会对标识的个人信息主体造成不良影响的个人信息。个人敏感信息能够包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等;个人一般信息是指除个人敏感信息以外的个人信息。 能够看出欧盟对个人敏感信息的定义采用列举式规范, 重在对信息主体人权的全方位保卫;美国(草案不同于欧盟, 对个人信息的定义是在信息利用经过中动态关联性评估, 反映其倡导行业自律的信息保卫理念。但是, 欧盟的列举式辨别规范过于绝对, 而美国的关联性评估则过于灵敏, 个人信息的范围不易界定。(指南对敏感信息的定义采用列举式方式, 规定较为笼统。测定个人信息的敏感程度应当折射所在社会的规范性文化, 敏感信息的判定标准应该与其社会的价值观和文化相一致15。因而, 笔者倾向于对敏感信息定义时可结合欧美立法改革的优势, 在对敏感信息进行列举式定义的前提下, 引入动态风险管理理念, 在信息利用经过中对列举敏感信息以外的一般信息进行关联性定义, 降低撞库辨别的风险, 以充分保卫信息主体的隐私权益。 3.2、 同意基础在个人信息初始利用中的适用:以财产规则保卫信息主体利益 个人信息的初始利用是指数据从业者直接获得信息主体信息的经过, 譬如在注册的账号、购买商品时填写的个人收货信息等都是平台或商家为了保证交易顺利进行而对信息主体个人信息 一次使用 。在初始信息利用中, 信息主体向数据从业者交付的信息基本上都是主动提供的, 主动提供个人隐私信息主要基于这样一些原因:获得愈加方便快速的服务;共享个人的生命体验以升华自个的人生价值;通过虚拟网络中相应信息共享补偿现实社会中的情感沟通缺失等16。对初始信息的收集是信息主体为本身便捷性利益向数据从业者所交付的对价, 信息主体享受便捷服务的同时应具有一定范围的容忍义务, 这并不是对个人信息的商业化利用。因而, 初始利用中个人信息基本上保存了人格属性的特征, 此时的信息并未生成数据, 其商业化利益并未凸显, 信息主体对其信息拥有所有权, 这是信息利用的基础性要件。故在信息权属明确的前提下, 此时对信息的保卫使用财产规则。财产规则意味着当归属确定后, 买方想从信息主体处获得信息, 必须通过自愿交易, 即以卖方同意的价格购买17。因而, 在对个人信息的初次利用中, 因关涉信息主体的人格利益, 此时适用主体同意条款, 在信息利用前须征得信息主体的同意。由此能够保证信息主体在信息处理经过中的参控力度, 使其拥有和数据产业者在信息交易中的议价能力, 加强信息主体的主动权, 以缓解信息主体在数据交易经过中处于弱势地位的状态18。 在信息初始利用中, 同意条款的适用需灵敏处理, 此时的同意作扩大解释, 分为明示同意和默示同意。如上所述, 个人信息分为一般个人信息和敏感个人信息。个人信息的敏感程度是决定个人隐私感悟的最重要因素之一19。非经本人同意的敏感信息处理睬在社会中造成超出本人预测料想的结果, 并对本人的人格发展造成不可预测料想的影响, 使得本人人格塑造的构造偏离本来的预期20。因而, 在对个人敏感信息利用时应严格规范, 以维护信息主体的人格自由和尊严, 而对敏感信息以外的个人信息, 因其对其隐私伤害较小, 采用较为软化的态度, 可减少数据产业者收集信息不必要的程序和成本, 促进数据流通。因而, 在利用敏感个人信息时, 必须获得信息主体的明确同意。而对于一般个人信息, 对信息主体的隐私威胁不会太大, 故应该允许默示同意条款的存在。无论基于国外立法例还是经济成本, 默示同意都有其存在的正当基础。如上所述, 欧盟(一般信息保卫条例规定, 除宗教、种族、政治观点、性取向等敏感信息必须获得信息主体明确同意外, 对一般个人信息的利用可采默示同意。从缔约成本的角度而言, 默示同意能够大幅降低缔结信息利用协议的成本, 对信息利用的各方主体均有利。大数据环境下数据从业者要对海量信息主体逐一获得受权不具有可行性, 假如所有的信息在利用时均必须获得信息主体的明确受权, 数据产业者也会因利用成本过高而采用违法方式利用信息, 这不仅给信息主体带来更大的隐私风险, 且数据产业者也会因而承当更高层次的法律风险21。因而, 将同意条款类型化区分为明示同意和默示同意, 对敏感个人信息和一般个人信息分别适用, 两类信息适用同意条款都有其相应的正当性基础, 宽严相济, 既可保证信息主体的隐私利益, 又可促进数据的自由流通, 保证数据经济的长足发展。 3.3、 同意基础在个人信息二次利用中的适用:以责任规则促进数据自由流通 二次利用是数据从业者对信息主体在初次信息收集的基础上, 对其进行加工、分析、处理得到以数字或图像形式呈现的数据并加以利用的经过, 这是通过分级与多层利用初始信息来最大限度地发挥信息的效用。根据信息管理学的一般原理, 个人信息的初始收集者需要在激活该信息的基础上将它传输给其他用户加以分享, 以帮助后者在作出相关决策时消除香农所称的 不确定性 3。大数据时代的到来, 物联网、通信产业的迅速发展, 电子方式交易爆炸式地浸透到人们的生活中, 几乎所有数据从业者都使用数据和计算机建模的形式来确定消费者的爱好或地理位置4。大数据分析的应用带来的好处在商业领域最直接的具体表现出即为此, 为数据从业者提供预测性指导方向, 以便其制定针对性方案, 节约成本及提高经济效率。数据价值更多地具体表现出在二次利用即对数据的深切进入挖掘和处理经过中, 数据的价值重在利用而非保卫, 该阶段应该以数据利用为核心, 规范相应法权规则。如上所述, 衍生数据在进行匿名化处理之后其人格属性不再, 而记录数据本身不带有人格标识符而不具有人格属性, 此时的数据仅具有财产属性。从正当性角度而言, 二次利用中, 数据从业者在初始个人信息利用中已经征得信息主体明示或默示同意, 此为二次利用正当性的逻辑前提。二次利用的首要条件是对个人信息中的人格因素脱敏, 在这里经过中并不牵涉主体的人格利益, 数据的权属已非信息主体, 此时并不需要再经过信息主体的二次同意。从效率角度而言, 经济的蓬勃发展促进了信息技术的发展, 信息排放 成为人们日常生活中的一部分, 过度限制信息收集, 与信息主体的信息自主权相悖。且在二次利用中, 假如再经过信息主体的受权同意, 不仅产生更高层次的经济成本, 匿名后的主体不明也使同意条款丧失了存在的价值。因而, 在二次利用阶段, 对数据的保卫应该放松管制, 以此促进数据流通, 反过来使信息主体受益。就法律保卫规则而言, 在二次信息利用中对个人信息的保卫应该采用责任规制。责任规则下, 信息的转移由法律设定买断或者卖断价格, 而不再取决于当事人之间的自愿交易, 即强迫交易17。由于数据此时仅有财产属性, 诚然在数据的生成中糅合了信息主体的详细信息, 但是无论从数据的主体复杂性和构造的多元性角度还是就数据自由的价值而言, 数据都需要保持一定的公共属性, 它不仅仅属于信息主体一方。对数据二次利用采用强迫交易, 采取事后判定的方式对信息主体予以救济。因而, 基于正当性角度、效率角度抑或法律规则保卫而言, 同意条款在个人信息的二次利用中均不具有存在的适宜性土壤。 4、 二次利用中匿名化风险及保卫策略 二次利用个人信息无需征得信息主体的同意是为了促进数据流通, 实为一种宽松的法律规制。但对信息利用的宽松并不是对信息主体权利的剥夺和相应主体责任的听任。个人信息的二次利用无需征得信息主体同意的正当性基础在于数据从业者对个人信息的匿名化处理。但是, 随着信息技术的发展, 匿名化的技术处理在隐私保卫应用的经过中会引发个人身份再辨别的风险。个人身份再辨别是指在对个人信息匿名化后, 数据利用者对信息主体进行再辨别的经过。个人信息匿名化本就是防止个人身份被辨别, 假如对个人信息采用匿名化技术后出现二次辨别的反向工程, 则个人信息匿名化技术也就 无用武之地 。当前大部分匿名化原则都针对静态数据, 并未考虑数据动态更新重新发布的数据中的个人隐私泄露问题。实践中, 数据不定时动态更新极其常见, 假如对更新的数据进行传统匿名化处理并重新发布, 则可能在多个不同发布版本中存在推理通道, 存在个人隐私泄露的风险22。因而, 当对个人信息进行匿名化处理之后假如出现二次身份辨别的事件, 应该怎样保卫信息主体的信息权益成为必须正视的问题。 就信息主体的权利构架而言, 赋予信息主体删除权是平衡二次信息利用所带来风险的必要方式1。删除权 (The Right to be Forgotten) , 也称为被遗忘权, 是信息主体能够要求信息利用者删除与其相关的信息。该权利雏形源于法国的遗忘权23。欧盟于2020年发布(一般数据保卫条例 (草案) (R) , 正式提出被遗忘权的概念, 第17条规定了 被遗忘权 24, 被遗忘权的行使不要求以信息不完好或者信息导致不合理的损害等后果为前提条件。当数据产业者或者第三方侵权人在二次利用中出现再辨别特定身份主体的侵权事件时, 此时信息主体的人格标识再次出现, 信息主体可及时向相关数据从业者提出删除信息的请求, 后者收到相关请求经核实后应及时删除。就相应主体责任而言, 存在两种情形。第一种情形是相关数据从业者造成的身份再辨别侵权事件。对信息利用行为的放松是为了促进数据流通, 前提还是要保证信息主体的信息利益。因而, 数据从业者在利用信息的经过中应该尽到安全保障义务, 在信息利用的经过中动态评估信息风险, 一旦出现二次信息主体、损害信息主体利益的情形, 就应该承当相应的违约或侵权责任。第二种情形是第三方主体利用相关技术进行二次辨别。若因而侵权造成信息主体损害, 第三方主体应该与数据从业者共同承当不真正连带责任。之所以课以数据从业者承当不真正连带责任, 是为了平衡受害人和数据从业者的利益。从受害人角度而言, 能够保证其得到充分的救济, 由于数据从业者一般处于经济优势地位, 有足够的赔付能力, 且能够通过保险来转移其部分风险;从数据产业者角度而言, 不能课以其承当过重的责任, 其承当的责任应与义务相匹配, 始作俑者是第三方主体, 在数据产业者向受害人赔偿损失后, 理应向第三方侵权人要求清偿。 5、 结束语 同意规定作为个人信息利用的正当性基础在于解决个人信息市场信息不对称性问题, 核心是保障信息主体对本身信息的自主决定权, 故在大规模信息利用的大数据时代, 给予信息主体知情同意权作为个人信息的法权保障仍有必要。但大数据分析的运用, 对信息具有更深层次的利用, 信息的价值主要通过对信息的二次挖掘和分析彰显。在信息利用的经过中, 不应对同意条款进行 全有或全无 方式的僵化适用, 而应对同意规定采用分层机构类型化适用。初次利用阶段, 个人信息基本保存其人格属性, 应对这一阶段的个人信息严格保卫, 故有同意基础的适用空间, 对个人信息区分敏感个人信息和一般个人信息, 分别适用明示同意和默示同意。二次利用阶段, 将初次收集的个人信息进行清洗、脱敏、建模、分析等生成的数据仅具有财产属性, 无论从正当性角度还是从效率角度抑或从法律保卫规则角度思辨, 同意规定并不存在适用的空间。如此, 对个人信息和数据分层保卫, 既可保卫信息主体的信息利益, 又可促进数据流通, 保持数据的公开性, 平衡自由、效率、公平、安全等各种价值, 充分发挥相关利益和资源的制度配置功能。 以下为参考文献： 1.任龙龙.论同意不是个人信息处理的正当性基础J.政治与法律, 2021 (1) :126-133. 2.范为.大数据时代个人信息保卫的途径重构J.环球法律评论, 2021 (5) :94. 3.崔聪聪, 巩姗姗, 李仪, 等.个人信息保卫法研究M.北京:北京邮电大学出版社, 2021:109. 4.Craig Mundie.Prinacy Pragmatism-Focus on Data Use, Not Data CollectionJ.Foreign Affairs, 2020 (93) :30. 5.齐爱民.大数据时代个人信息保卫法国际比拟研究M.北京:法律出版社, 2021:201. 6.Directive 95/46/EC, of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, 1995. 7.REGULATION (EU) 2021/679 OF EUROPEAN PARLIAMENTAND OF THE COUNCIL of 27 April 2021 on the protection of natural persons with regard to the processing of personal data and on the free movement od such data, and repealing Directive 95/46/EC (General Data Protection Regulations) . 8.Administration Discussion Draft:Consumer Privacy Bill of Rights Act of 2021. 9.Tiffany Curtis, Privacy Harmonization and The Developing World:the Impact of the EU s General Data Protection Regulation on Developing EconomiesJ.Wash.J.L.Tech. Arts, 2021 (12) :96. 10.高富平.个人数据保卫和利用国际规则:源流与趋势M.北京:法律出版社, 2021:126-128. 11.Administration Discussion Draft:Consumer Privacy Bill of Rights Act of 2021, 103 (b) . 12.Paul Ohm.Sensitive InformationJ.S.Cal.L.Rev, 2021 (88) :1132. 13.李延舜.个人信息权保卫的法经济学分析及其限制J.法学论坛, 2021 (3) :46. 14.General Data Protection Regulations, Article 9. 15.Amitai Etzioni.A Cyber Age Privacy Doctrine:More Coherent Less Subjective and OperationalJ.Brooklyn Law Review, 2021 (80) :1263-1308. 16.顾里平, 杨苗.个人隐私数据 二次使用 中的边界J.新闻与传播研究, 2021 (9) :76. 17.凌斌.法律救济的规则选择:财产规则、责任规则与卡梅框架的法律经济学重构J.中国法学, 2020 (6) :9-11. 18.Jacob M Victor.The EU General Data Protection Regulation:Toward a Property Regime for Protecting Data PrivacyJ.Yale Law Journal, 2020 (123) :520. 19.王敏.敏感数据的定义模型与现实悖论:基于92个国家隐私相关法规以及200个数据泄露案例的分析J.新闻界, 2021 (6) :4. 20.谢远扬.个人信息的私法保卫M.北京:中国法制出版社, 2021:43-44. 21.王玉林. 默示同意 在数据收集中的适用问题研究J.情报资料工作, 2021 (2) :24. 22.王平水, 王建东.匿名化隐私保卫技术研究综述J.小型微型计算机系统, 2018 (2) :250. 23.Jeffrey Rosen.The Right To Be ForgottenJ.Stanford Law Review Online, 2020 (64) :89. 24.General Data Protection Regulations, Article 17.