衣俊霖｜论个人信息保护中知情同意的边界——以规则与原则的区分为切入点(5)

个案式规制存在两个主要缺陷，因而无法取代知情同意规则。首先，个案规制在法系层面可能遭遇水土不服。我国法系以成文法为主干和中枢，尽管近年来对司法案例日益重视，但距离自下而上的规则制定的设想仍有很大差距。若忽略我国法系之特征，以个案规制取代一般法律规则，或恐有南橘北枳的结果。其次，个案式规制缺乏形式确定性，因而可能不利于信息产业的发展。面对大规模、自动化的个人信息处理活动，各国都格外重视通过颁布制定法为信息从业者提供标准、清晰的行为规范，判例法国家亦概莫能外。诚然，对个案的整理和研究是对法律规则的有益补充，但面对批量自动化的个人信息处理，假若必于个案逐一审查以决定个人同意是否必要，则难以实行、易滋争议，既增加诉累又不利于交易安全。因此，应以知情同意作为判断信息处理合法性之一般规则，以形成易于理解、便于预测的“合法/非法”评价。
二、同意行为的法律性质和表示方式
自相关立法启动以来，许多学者已从解释论的视角对同意行为进行了全面、深入的辨析，初步勾画出知情同意在事实涵摄意义上的边界。尽管如此，有两个重要问题仍未形成定论。其一是同意的法律性质问题，即同意行为是否可定位于委托代理、许可、信托授权、合法依据、免责事由等法律概念之一，抑或兼具多重属性。其二，在同意行为的表示方式上，是否必须采取明示方式，以及默示或拟制同意是否符合规范性要求。
同意行为的法律性质
1.同意行为是免责事由、合法性依据
作为法律事实，同意行为最显著的法律性质包括：侵权损害之免责事由和个人信息处理之合法依据。对此，法律条文已给予明确佐证。根据民法典第1036条第1项的规定，在自然人及其监护人同意的范围内合理处理个人信息的，不承担民事责任。在侵权法意义上，信息主体的同意行为属于一种免责事由。实际上，允诺阻却违法是比较法上公认的基本原则，只是不得违背公序良俗或法律规定。同意行为构成免责事由并非个人信息保护之个例，“医疗领域同样存在医生的说明义务和病人的同意免责，知情阻却违法以医生尽说明义务为必要，否则不发生免责效果，个人信息处理规则与此无异”。与此同时，同意行为是个人信息处理的合法性依据。“个人同意为个人信息处理行为提供了合法根据，排除了该行为的非法性，从而使得处理行为具有合法基础”。民法典第1035条、个保法第13条都把取得个人同意作为处理个人信息的合法性理由之一。