姜盼盼 （ 吉林大學法學院 吉林 長春 130012 ）

1 引 言

個人信息（又稱個人數(shù)據(jù)、個人資料）保護法中的當事人同意，又稱告知后同意原則或者知情同意原則，一直以來被認為是個人信息和隱私權保護的核心原則[1]，其制度設計的要義是從程序上強化當事人的信息自決權[2]，增加個人信息處理的透明性[3]，真正地實現(xiàn)個人信息的自主性[4]。我國《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》（以下簡稱《指南》）、《信息安全技術個人信息安全規(guī)范》（以下簡稱《規(guī)范》）等規(guī)范性法律文件皆對當事人同意作出明確的規(guī)定，除此之外，歐盟《一般數(shù)據(jù)保護條例》(以下簡稱GDPR)和德國《聯(lián)邦個人資料保護法》（以下簡稱BDSG）也在立法上將當事人同意居于核心位置[5]。然而，隨著信息科技、社交網(wǎng)絡、電子商務等新興網(wǎng)絡媒體的蓬勃發(fā)展，當事人同意遭受到了諸多的質疑和批判[6]，新興的網(wǎng)絡經(jīng)濟逐漸削弱了當事人同意的功能[7]，使同意的外溢效應無法有效應對第三人的個人信息保護影響，以及同意的無限授權效應無法有效應對信息主體的個人信息保護影響[8]。概言之，這些問題都根源于當事人同意的有效性實現(xiàn)[9]，即如何確保當事人作出一個有意義的同意行為[10]，基于此，本文分別從當事人同意的表示方式、生效要件等這幾個維度，對我國與歐盟個人信息保護法中的當事人同意展開比較研究，最終為我國的個人信息保護法律制度構建提出有效的建議，也希望對圖書館管理過程中的讀者信息保護有所裨益。

2 實踐難題：當事人同意的外溢效應和無限授權效應

2.1 外溢效應：締結同意之雙方以外的第三人信息自決權的保障落空

個人信息的正當性處理，是擁有信息自決權的主體和處理個人信息的主體達成合意的結果[11]，無論是單方面的同意還是契約上的允許，二者都是通過當事人的同意，而使侵害當事人權利的行為正當化而阻卻違法[12]，一旦當事人同意的目的落空，其信息自決權就難以得到有效保障。一般情況，當事人的同意發(fā)生在締結雙方主體之間，不會影響到第三人的信息自決權。然而，新興的互動式電子商品在聲音及聲音內容的采集上，會影響到第三人的信息自決權。以美泰（Mattel）公司推出的新款芭比娃娃——“你好芭比”（HelloBarbie）為例[13]，這款產品能記錄孩子們的對話內容，再借助Wi-Fi將聲音內容傳達到軟件公司ToyTalk，ToyTalk 公司通過研發(fā)的語音處理技術裝置，來分析孩子們的聲音內容，進而改善芭比娃娃回應使用者的對話內容[14]。為了便于討論，暫且將購買產品且使用智能服務的使用者，叫做原始使用者，反之，叫做非原始使用者，又或者是締結同意之雙方以外的第三人。首先，原始使用者并不了解自己的個人信息會被第三方服務商采集，主觀上沒有意識到自己的個人信息被侵犯的風險；其次，原始使用者即使知悉第三方服務商會采集自己的個人信息，但對于原始使用者周圍的人們來說，他們是非原始使用者，是締結同意之雙方以外的第三人，他們并不知悉或者知悉但沒有同意自己的聲音內容被第三方服務商采集，這在客觀上會侵犯到他們的信息自決權，當事人同意的目的就會落空，產生原始使用者的同意取代了非原始使用者的同意的外溢效應。

2.2 無限授權效應：無法預見信息處理目的的個人信息自決權保障落空

處理者對個人信息的處理，要遵循目的明確原則，即處理者主觀上具有合法、正當、必要、明確的個人信息處理目的，一旦超出個人信息處理目的的范圍，就會產生當事人同意的無限授權效應，因此，無法預見信息處理目的的個人信息自決權保障也就會落空。大數(shù)據(jù)的發(fā)展引發(fā)了新形態(tài)的個人信息保護的爭議[15]，大數(shù)據(jù)時代的個人信息需要進一步的保護[16]。 以Google流感趨勢（Google Flu Trends，簡稱GFT）預測計劃為例[17]，根據(jù)Google制定的隱私權政策①，Google最初使用人們利用搜索引擎留下的記錄，改善Google 的搜索功能，而不是在收集個人信息目的之外進行流感趨勢預測，因為這超出了當事人同意的處理目的范圍，導致無限授權效應。這種信息處理目的之外產生的無限授權效應，影響到個人信息的保護，突破了傳統(tǒng)的當事人同意的規(guī)范性框架。

3 歐盟個人信息保護法中當事人同意的立法經(jīng)驗

3.1 當事人同意的表示方式：以積極肯定的方式表示同意

在我國有關個人信息保護的規(guī)范性法律文件中，只在《指南》和《規(guī)范》中明確規(guī)定了當事人同意的表示方式，在《指南》第3.10和第3.11中明確規(guī)定了默許同意和明示同意這兩種同意的表示方式，其中默許同意是指在個人信息主體無明確反對的情況下，認為個人信息主體同意；《規(guī)范》第3.6、第5.3和第5.5中分別規(guī)定了明示同意、收集個人信息時的授權同意和收集個人敏感信息的明示同意，將同意的表示方式分為兩種：明示同意和授權同意，其中明示同意是指個人信息主體通過書面聲明或主動做出肯定性動作，對其個人信息進行特定處理做出明確授權的行為，并且對肯定性動作作出了明確的指示：肯定性動作包括個人信息主體主動作出聲明（電子或紙質形式）、主動勾選、主動點擊“同意”“注冊”“發(fā)送”“撥打”等；授權同意包括明示同意和默示同意；將產品和服務的功能分為核心業(yè)務功能和附加業(yè)務功能，當收集一般個人信息時，核心業(yè)務功能和附加業(yè)務功能采用明示同意或默示同意，而當收集個人敏感信息時，核心業(yè)務功能應當采用明示同意，附加業(yè)務功能應當采用逐一明示同意。這是我國關于當事人同意表示方式的規(guī)定。

德國BDSG第4a條規(guī)定：同意的意思表示應采用書面形式，在特殊情形下，可授權使用其他形式。如果將書面同意和其他書面聲明一起提供，那么，書面同意和其他書面聲明也應該有嚴格的區(qū)分。第4a條就是一個明確的獨立條款，不能推定為同意，原則上當事人同意的方式只能采用書面同意，這樣可以避免當事人輕率地同意[18]。歐盟GPDR第4條第11款規(guī)定：數(shù)據(jù)主體的“同意”是一種通過積極的行為自愿做出的一種指定的、具體的、知情的及明確的指示②，同時第9條規(guī)定了特殊種類的個人數(shù)據(jù)處理應當采用明示同意。德國BDSG和歐盟GPDR規(guī)定的對當事人同意的表示方式包括了明示同意和默示同意，雖然德國規(guī)定當事人同意原則上采用書面形式，聯(lián)邦法院的判決也承認了默示同意的效力，但是在德國理論界有一定的爭議?？傊瑹o論是默示同意還是明示同意，當事人同意都通過一個積極肯定的行為來完成，比如說，當事人通過簽名或者主動勾選同意方框的方式表示同意其個人信息被收集；反之，如果當事人不同意其個人信息被收集，那么，可以選擇拒絕簽名或者勾選同意方框，這種方式與當事人積極簽名或者主動勾選同意方框的方式在個人信息保護的效力上有所減弱，理由就是沉默或者不作為并不符合同意的規(guī)定[19]。

3.2 當事人同意的生效要件

按照歐盟GPDR關于數(shù)據(jù)主體的同意定義，當事人的同意系出于自由意志、目的特定及告知后所表示之期望。2018年4月10日，歐盟“第29條”工作組發(fā)布新修訂的GDPR實施指南③，該指南提出構成GDPR下同意的生效要件包括：（1）同意必須為自主同意（freely given）；（2）同意必須特定（specific）；（3）同意必須基于告知后所為（informed consent）；（4）同意必須清晰且毫不含糊、明確地指出其意愿（unambiguous indication of the data subject's wishes）。這4個構成要件缺一不可，只有滿足這4個構成要件，同意才是有效的。

3.2.1 自由要素：當事人同意必須為自主同意

在我國《規(guī)范》第3.6對明示同意的定義中，明示同意是個人信息主體主動做出的肯定性動作，也就是說當事人同意系出于其自主決定，而不受欺詐、誘騙、強迫而做出的無效同意，這一點也在第5.1（a）收集個人信息的合法性要求中體現(xiàn)出來。德國BDSG第4a條第1項則明文規(guī)定當事人同意必須出于自主決定，由此可以看出，德國立法者將個人資料主體的自主決定性作為同意的首要生效要件。歐盟“第29條”工作組在新修訂的GDPR實施指南中對自主同意的解釋主要從雙方關系不對等（Imbalance of power）、附加條件（Conditionality）、細致程度要求（Granularity）以及不利后果（Detriment）這4個方面展開。主要內容是：首先，當雙方關系不對等時，需要在特定的場景下進行評估，比如存在雇傭合同的場景，按照GDPR第7條第4款的規(guī)定判斷當事人的同意是否在其自主的情況下做出同意，應盡可能地考慮合同的履行情況，當當事人與雇主簽訂雇傭合同時，是否有必要同意其個人信息就要被雇主所處理，如果當事人個人信息的處理不是合同履行所必需的，則雇傭合同的簽訂不能以當事人同意為前提。其次，控制者一旦選擇當事人同意為合法處理要件，不能放大當事人同意的效應，控制者只能在當事人同意的范圍內對其個人信息進行處理，超出當事人同意的范圍處理其個人信息不具有合法性。再次，在適當?shù)臅r候，對于不同的數(shù)據(jù)處理業(yè)務，應分別取得同意。最后，信息處理者需要證明當事人拒絕同意或者撤回同意不會承擔不利的后果。綜上所述，當事人同意必須出于自由意志，且沒有被欺詐、誘騙、強迫，否則，同意是無效的。

3.2.2 具體要素：當事人同意必須為具體特定的同意

當事人具體特定的同意，是指當事人對于收集、處理、利用其個人信息的目的和范圍有明確認識后的同意。當然，概括的同意，因為沒有具體指明信息處理的目的和范圍，不符合明確要素，因此，并非是有效的同意。至于當事人的同意是否符合具體特定的要件，則應該審視信息處理者在事前是否將收集、處理和利用的目的和范圍等事項充分告知當事人，同意的特定性離不開信息處理者的充分告知。德國BDSG第4條第2項規(guī)定了收集、處理和使用數(shù)據(jù)的目的，歐盟“第29條”工作組針對當事人同意的明確性要素指出，控制者處理信息的目的要特定，同時要將請求同意的內容明確體現(xiàn)出來，處理活動也受處理目的的限制。我國《規(guī)范》第4條中也明確規(guī)定了目的明確原則，即具有合法、正當、必要、明確的個人信息處理目的。

3.2.3 知情要素：當事人同意必須為告知后同意

所謂告知后同意，個人信息處理者在處理個人信息之前，應將其信息處理的目的和范圍等信息明確告知當事人，使得當事人根據(jù)被告知的內容衡量利弊，并據(jù)此作出同意與否的決定。也就是說，信息處理者應履行向當事人充分告知的義務，然后取得當事人的同意方為有效。告知后同意的目的就是信息的透明化，能夠讓當事人真正評估其同意的影響，真正落實個人信息決定權。我國《規(guī)范》第5.3是有關收集個人信息時的授權同意，分別從直接收集個人信息和間接收集個人信息兩個方面規(guī)定了個人信息控制者應履行的告知內容，以及在第5.5收集個人敏感信息時的明示同意中也做出了相應的規(guī)定。關于告知的內容，在《規(guī)范》第5.6隱私政策的內容和發(fā)布中規(guī)定了告知的具體內容。但是歐盟GDPR第13條第1項還進一步規(guī)定了數(shù)據(jù)保護局的詳細聯(lián)系方式以及向監(jiān)督機構申訴的權利，因此，從當事人主張和行使其權利的角度而言，歐盟GDPR的規(guī)定更為具體，可為我國個人信息法律保護的制度構建提供參考。關于告知的方法，歐盟“第29條”工作小組還采用了分層次告知方法。關于個人信息提供的方式，歐盟GDPR第12條第1項規(guī)定：控制者應當以一種簡單透明、明晰且容易獲取的方式，通過清晰明確的語言，采取合理措施提供信息?？刂普呖梢圆扇娌牧?、電子方式或者口頭方式。由此可以看出，歐盟GDPR提供信息的方式是多樣的，只要能夠采取清晰明確的語言，能夠為信息控制者所理解，真實地表達自己的意愿即可。

3.2.4 明確要素：當事人同意必須清楚且明確地指出其意愿

歐盟GDPR第7條第2款指出：如數(shù)據(jù)主體通過聲明的方式作出同意，且書面聲明涉及其他事項，那么同意應以易于理解且與其他事項顯著區(qū)別的形式呈現(xiàn)。構成違反本法的聲明的任何部分，均不具有約束力。由此可以看出，當事人同意針對其信息被特定處理還需要一個積極的行為或者聲明同意，當事人同意必須清楚且明確地指出其意愿，如果當事人同意的表達方式不明確或者含糊，則當事人的同意是無效的。信息處理者只有獲得當事人明確的同意，才能合法地處理其個人信息。歐盟“第29條”工作組也指出：數(shù)據(jù)主體的沉默或者不作為不是數(shù)據(jù)主體清晰明確的愿望表示④。我國《規(guī)范》第5.5（a）規(guī)定：收集個人敏感信息時的明示同意，對個人信息控制者的要求內容包括應確保個人信息主體的明示同意是其在完全知情的基礎上自愿給出的、具體的、清晰明確的愿望表示。由此可以看出，當事人同意必須是個人信息主體清晰明確的愿望表示。

3.3 當事人的同意能力

當事人的同意是在信息主體具備同意能力的前提下做出的，如果信息主體沒有同意能力，則信息控制者征得的同意是無效的。在現(xiàn)代科技社會，隨著手機、平板、電腦等新興電子產品的出現(xiàn)，對于它們的使用不分年齡，而對未成年人的個人信息處理，影響會更深，甚至影響其人格權的發(fā)展。有學者認為，當事人同意不要求具有行為能力，只需要具有理解能力，也就具有了辨識和判斷力，能夠理解同意的內涵和意義即可[20]。然而，未成年人理解能力的判斷標準不明確，不利于保護未成年人的合法權益，因此，需要以年齡為界限決定其同意能力。我國《規(guī)范》第5.5（c）規(guī)定：收集年滿14周歲的未成年人的個人信息前，應征得未成年人或其監(jiān)護人的明示同意；不滿14周歲的，應征得其監(jiān)護人的明示同意。由此可以看出，我國對于未成年人的個人信息保護年齡是以14周歲為界限，如此可以更好地保護未成年人的信息自決權。德國BDSG對未成年人的年齡無規(guī)定，但是在有關宗教的兒童教育法律中，明確規(guī)定兒童在年滿14周歲后，可自行決定是否加入或退出教會，并由此決定在校是否參加宗教課程。歐盟GPDR第8條規(guī)定了關于信息社會服務適用于兒童同意的條件，規(guī)定了16周歲以上兒童的個人數(shù)據(jù)處理為合法，兒童未滿16周歲時，數(shù)據(jù)處理只有在征得其父母的同意或授權兒童同意的范圍內合法。但會員國可以將年齡門檻降低，但是不得低于13周歲。由此可以看出，歐盟GPDR認為兒童和青少年仍然需要保護，尤其在網(wǎng)絡上，未成年人可能毫無戒心地提供其個人信息。

4 歐盟個人信息保護法中當事人同意對我國的立法啟示

4.1 嚴格限制默示同意：當事人同意原則上采用明示同意

歐盟GDPR和德國BDSG對默示同意的態(tài)度是持謹慎的態(tài)度，原則上是采用明示同意，嚴格限制默示同意。例如，德國BDSG第4a條第1款規(guī)定，當事人同意應當采用書面形式，特殊情況下可以采用其他形式，倘若采用默示同意，應在外觀上與書面同意嚴格區(qū)分；歐盟GDPR第7條第2款規(guī)定，當事人同意倘若采用默示同意，則應以易于理解且與其他事項顯著區(qū)別的形式呈現(xiàn)，一旦違反本法聲明的任何部分，均不具有約束力。由此可以看出，歐盟和德國對默示同意采取嚴格限制的態(tài)度。但是，德國和歐盟對默示同意的態(tài)度是值得贊同的，但是對于默示同意的適用仍有一些難題需要厘清，比如說，外觀上與書面同意嚴格區(qū)分的標準是什么，什么意義上才是易于理解，與其他事項顯著區(qū)別的判斷標準是什么，什么才是一個有意義的積極肯定的行為等等。除此之外，默示同意在個人信息收集中還有一些難點：信息主體的權益保護問題，比如說，隱私政策內容的霸王條款（無論信息主體是否同意，其個人信息都要被收集）；未成年人的權益保護問題，未成年人由于智力程度受限，辨別意識不強，對于成年人易于理解的條款，可能對他們來說就不易理解，那么，期待未成年人個人信息的自我管理實為奢談；默示同意的濫用問題，信息控制者往往在隱私條款中設置一些對自己有利的條款，使信息主體處于不利位置，信息控制者通常利用隱私條款中的“要約陷阱”或信息主體的疏忽大意收集個人信息，這樣難以落實信息主體的信息自決權[21]。在朱燁與北京百度網(wǎng)訊科技有限公司隱私權糾紛一案中[22]，案件的爭議焦點就包括當事人的同意方式，一審判決否定了默示同意，而二審判決肯定了默示同意。由此可以看出，默示同意給當事人同意的適用帶來了一定實踐難題。建議立法上明確規(guī)定當事人同意采用明示同意，避免采用“默示同意”“授權同意”等模糊的術語產生一定的司法適用困境，不能因為增加信息控制者的成本和負擔，而肯定默示同意，也不能因為片面的認為明示同意會無形之中阻礙信息科技的發(fā)展，而允許默示同意的存在空間。另外，默示同意的效力與明示同意的效力相比而言更弱一些，而且默示同意會弱化當事人的地位。

4.2 當事人同意的實質化：提倡同意的“四要件”生效模式

4.2.1 在自由要素方面：引入具體場景同意風險評估

基于信息控制者和信息主體的不對等關系，按照GDPR第7條第4款的規(guī)定，當事人同意的自主性需要根據(jù)具體場景進行評估，應盡最大可能考慮，還應考慮合同的履行，包括服務的提供是否是基于對履行合同不必要的個人數(shù)據(jù)的同意。在現(xiàn)實中，當事人的同意往往缺乏自主性，并不是自主決定的，由于雇傭關系等雙方地位不對等導致不能落實信息主體的信息自決權，通過在立法上引入具體場景同意風險評估，可以最大可能地保護信息主體的合法權益，在不同的具體場景下對同意的自主性做出評估，真正落實信息主體的信息自決權。總之，當事人同意必須出于自由意志，且沒有被欺詐、誘騙、強迫，否則，同意是無效的。

4.2.2 在具體要素方面：規(guī)定可期待性的同意限制原則

根據(jù)歐盟GDPR和德國BDSG的規(guī)定，當事人同意的具體要素，要求當事人同意是一個具體特定的同意，是針對信息處理的目的和范圍等特定事項有明確的同意。然而，具體特定的同意仍有解釋的空間，比如說，在學術研究領域，信息收集之初并不能完全確定收集信息的目的，從有利于學術發(fā)展的角度，只要符合學術研究的倫理標準，應允許當事人針對特定學術研究領域或者研究計劃而同意其個人信息被處理。本文認為，當事人同意固然必須為具體特定的同意，然而，在當事人合理可預見的范圍內，應該承認其同意之合法性，因此，建議在立法上規(guī)定可期待性的同意限制。

4.2.3 在知情要素方面：細化告知內容和采用分層次告知方法

當事人同意的前提是信息控制者的充分告知，只有了解了告知內容，才能做出有效的同意。首先，細化告知內容。歐盟GDPR第13條第1項還進一步規(guī)定了數(shù)據(jù)保護局的詳細聯(lián)系方式以及向監(jiān)督機構申訴的權利，在我國《規(guī)范》有關個人信息控制者的要求中，規(guī)定了個人信息控制者應當履行的告知內容，但是唯獨沒有將數(shù)據(jù)保護局的詳細聯(lián)系方式和向監(jiān)督機構申訴的權利明確納入其中，從當事人主張和行使其權利的角度而言，歐盟GDPR的規(guī)定更為全面，應當值得借鑒。其次，細化告知方法。根據(jù)歐盟GDPR第12條第1項的規(guī)定，除了在提供方式上要求簡單透明、明晰且容易獲取之外，還應該細化告知方法。根據(jù)歐盟“第29條”工作組的意見，采用分層次告知方法：第一層次，簡短告知法。此方法就是將必要信息或者核心信息告知信息主體，這些信息包括信息控制者的聯(lián)系方式、信息處理的目的等重要信息。第二層次，濃縮告知法。濃縮告知的內容包括公司的名稱、信息處理的目的、信息接受者的類別、回復與否是強制性或者自愿性以及未回復的可能后果等。第三層次，完整告知法。完整告知的內容包括所有歐盟國家的要求與特殊性，告知方式例如可以添附連接歐盟各個國家的鏈接網(wǎng)址。2018年4月13日，歐盟“第29條”工作組在關于一般義務的透明度原則適用的解釋中提到，使用分層隱私聲明或者通知并為信息主體提供各類信息鏈接，克服了屏幕上通知方式的單一性，另外，還可以利用諸如“推送”和“拉取”通知等符合透明度要求的創(chuàng)新方法。我國個人信息保護立法可以借鑒歐盟的做法，根據(jù)本國的背景采用分層次告知方法，比如在隱私聲明中采用醒目字體的形式，將告知內容中的必要信息、重要信息、全部信息分層次告知信息主體。

4.2.4 在明確要素方面：采用書面同意的方式比較妥當

明確要素要求當事人同意必須清楚且明確地指出其意愿。默示同意的方式，并非是當事人清楚且明確地指出其意愿，信息控制者處理個人信息之前，一定要征得當事人清晰、真實意愿的書面同意，否則同意是無效的。雖然在有些學者看來，無論在形式上是采取書面形式、口頭形式還是其他行為方式，只要能足夠清楚地表達當事人的意愿并為信息控制者能了解即可，因為信息控制者只要證明信息主體的同意是清楚明確的表達，是其真實的意愿，就是有效的同意[23]。本文認為，為了促使同意的進行能慎重其事，以減少爭議及有助于當事人權益的進一步保障，建議我國個人信息保護立法規(guī)定當事人同意以以書面為之，較為妥當。

4.3 未成年人的同意：建立行之有效的確認機制

當事人的同意是在信息主體具備同意能力的前提下做出的，因此，當事人的同意能力在考慮同意的有效性這個問題上至關重要，尤其是未成年人的個人信息同意。網(wǎng)絡發(fā)展迅猛，新興電子產品的涌現(xiàn)，引起了未成年人對新興產品的狂熱，但是，由于他們智力有限，可能不會做出一個有效的同意行為，因此，在收集未成年人的個人信息前，應征得未成年人或其監(jiān)護人的明示同意，這一點，在我國《規(guī)范》和歐盟GDPR關于收集未成年人的信息要求中都是有所體現(xiàn)。值得借鑒的是，歐盟GPDR第8條第2款還規(guī)定：考慮到現(xiàn)有技術，控制者應當做出合理的努力，去核實在此種情況下，父母作為責任主體的同意或授權。這款規(guī)定本質上是控制者核實未成年人做出同意行為有效性的義務，一種確認義務，只有在征得未成年人父母這一責任主體的同意或授權后，才可以合法地處理未成年人的個人信息。因此，建議我國在未來的個人信息保護立法過程中，將這一確認機制納入進來。從風險分配這個角度上講，通過建立行之有效的確認機制，而不是將確認當事人同意能力的風險轉嫁給未成年人，這一點還是值得借鑒和參考的，因為未成年人通常在經(jīng)濟上、信息技術上都處于相對劣勢地位，將風險由有能力控制的一方承擔，比較符合風險分配原則，能夠更好地貫徹法律保護未成年人的基本精神。

5 結 語

根據(jù)當事人同意的“四要件”生效模式，對于當事人同意的外溢效應而言，在美泰（Mattel）公司的新款芭比娃娃這個案例中，被竊聽的周圍的人們即非原始使用者沒有做出任何有效的同意，當然，該產品服務的原始使用者也不能替代非原始使用者做出有效的同意，第三方服務提供商沒有征得非原始使用者的同意，就對其信息進行處理，違背了當事人同意的“四要件”生效模式，因此，第三方服務提供商應該承當相應的法律責任；對于當事人同意的無限授權效應，在Google流感趨勢預測計劃這一案例中，個人信息的處理屬于目的之外的信息處理，未經(jīng)過當事人的同意，不符合當事人同意的“四要件”生效模式?？傊?，對于個人信息的保護，我們應立足我國國情，充分借鑒歐盟的立法經(jīng)驗，為我國的公民個人信息保駕護航。當然，個人信息的保護，除了需要完善立法之外，更需要信息主體的風險管理意識以及信息控制者的遵法意識。

注 釋：

① "We collect information to provide better services to all of our users-from figuring out basic stuff like which language you speak, to more complex things like which ads you'll find most useful, the people who matter most to you online, or which YouTube videos you might like."

②Article 4(11): any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.

③This Working Party was set up under Article 29 of Directive 95/46/EC.It is an independent European advisory body on data protection and privacy.Its tasks are described in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.

④ Silence or inactivity on the part of the data subject, as well as merely proceeding with a service cannot be regarded as an active indication of choice.