全文共2672字，阅读时间约8分钟。

“同意”是我国个人信息处理最重要的合法性基础之一。然而，随着数据处理技术的发展和互联网的不断普及，立法上以“同意”为核心的个人信息处理合法性基础规则已无法适应时代的发展和需求。华东政法大学法律学院高富平教授在《个人信息使用的合法性基础——数据上利益分析视角》一文中，立足于个人信息保护的宗旨，分析数据上存在的合法利益，以维护数据上的合法利益保护作为个人信息处理的合法性基础，为正在制定的个人信息保护法提供参考。

（一）信息主体的利益：人格尊严与自由

之所以对个人信息加以保护，就是因为需要对信息主体权利或主体利益加以保护。个人信息与主体的勾联性，要求任何人在处理个人信息（收集和使用）时要尊重人格尊严和自由，防范个人信息处理对个人主体权益造成威胁和侵犯。因此，保护人格尊严和自由成为个人信息保护最重要的方面之一。

在确定个人信息上主体权益保护时，需要注意法律术语的差异。在英美法系国家，尤其以美国为代表，一切与人有关的权益保护均落入“privacy”（隐私）范畴，因而个人信息保护也纳入隐私保护，被称为信息隐私（informationprivacy）。但是在欧洲，个人数据保护被视为对个人数据上基本权利（个人数据保护权）的保护，纳入基本权利保护法体系，该法律体系不直接保护隐私利益。从遵循大陆法传统的角度，我国宜采隐私与个人信息保护分立体制，《民法总则》在具体人格权（包括隐私权）之外规定个人信息受保护也充分证明了这一点，但这并不妨碍在个人信息保护法中设置相应条款对个人隐私利益加以保护。

（二）信息使用者利益

个人信息不仅关系个人权益，而且也关系包括自然人、法人和非法人组织在内的他人利益。这是因为个人信息具有社会性、工具性、功能性。个人信息保护法律制度不仅要保护个人信息上个人的权益，同时也要保护个人信息的合法利用和流通，即使用者利益，这是数据时代的趋势和要求。社会中的主体，包括个人、企业、政府或其他任何合法组织，均有权利用基于特定目的合法收集的个人信息服务于相关的特定活动，或基于法律规定，利用该信息从事其他行为。这在使用个人信息实现自身利益的同时，也会直接或间接增进社会福祉，因此，必须承认个人信息使用者合法利用个人信息的权利，即个人信息使用者权益。

促进和保障个人信息的使用是发展数字经济，释放数据红利的前提。个人信息保护制度应当建立在保障个人信息能够被社会化利用的基础上，促进个人信息社会价值的实现，这是个人信息保护法的重要目的。由此可见，个人信息保护在保护信息主体人格尊严和自由的同时，还要促进和保护个人信息的合理收集、利用和流通，以实现个人信息在现代社会应有的价值。

（三）公共利益

公共利益是指不特定人可以享受的利益，也是社会公共秩序所维护的利益。随着人类活动愈发趋向数字化，个人信息成为社会运行的基础资源。因此，除个人信息使用者自身的利益外，个人信息收集、使用或流通行为还可能基于公共利益而发生。在遇到公共利益时，个人应当部分牺牲个人利益或让渡私权。例如，在公共管理领域，公安机关在公民申领身份证时收集公民必要身份信息属于典型的基于公共利益收集个人信息；在刑事侦查阶段，侦查机关经批准后可实施相应的侦查技术措施以获取为侦查、起诉或审判所必要的信息。为了加快我国社会诚信体系建设，相关有权机关在其履行职责、提供服务过程中产生或者获取的、可用于识别自然人、法人和非法人组织信用状况的数据和资料，均可以不经个人信息主体的同意而收集并建设统一的平台，供社会查询使用。

个人信息的价值和利益具有多元性。个人信息具有个人价值、使用者利益（社会利益）和公共价值，个人信息承载着个人利益、社会利益和公共利益，因此，个人信息的保护必须恰当考虑这三重价值和利益的实现，才能构建合理正当的个人信息处理法律基础。

（一）“同意”不是且不应成为个人信息使用的一般规则

“同意规则”一般化的法律效果是，个人信息的使用由个人决定，个人信息成为由个人支配的客体，形成个人信息支配权。但从实然的角度看，“同意”并非我国个人信息处理的唯一合法性基础，也不应将其作为个人信息处理的必要要件。这是因为知情同意作为个人信息处理的必要条件使得个人信息上所涉社会价值严重失衡并且知情同意难以实现个人利益的有效保护。因此，个人信息法律制度有必要探寻其他有效的规制模式，以增强对个人利益保护的有效性，并实现个人利益、信息使用者利益和公共利益的平衡。

（二）多元合法性基础的构建

我国个人信息保护和利用面临的问题根源在于我们没有正视个人信息上存在的多元利益，并在平衡多元利益的基础上建立个人信息使用的规则。在今后制定个人信息保护法的过程中，我们需要首先明确个人信息上的利益体系，在此基础上明确个人尊严和自由利益的保护是基本目的，同时也要协调保护个人信息控制者的使用利益和公共利益。

1.信息主体的人格尊严和自由利益与信息主体的其他利益

在信息使用者基于保护信息主体的利益（除人格尊严和自由）之目的处理个人信息时，需要衡量信息主体的人格尊严和自由利益与信息主体的其他利益。当信息主体的其他利益优于信息主体的人格尊严和自由利益时，信息使用者的个人信息处理行为则具有正当性，可直接实施个人信息处理而无需征得信息主体的同意。反之，信息使用者则不能自主决定进行个人信息处理操作，除非存在其他正当性。那么，何种利益优于人格尊严和自由？在具体个案的语境中，各基本人权之间的位阶存在不确定性，但生命权整体居于首要地位，故法律至少可以确定当信息使用者基于保护与生命相关的重要利益时，对个人信息进行处理具有正当性，无需经过信息主体的同意。

2.信息主体的人格尊严和自由利益与信息使用者的利益

在“知情同意”有效性难以保障的数字化时代，法律不妨承认信息使用者基于自身合法利益进行的信息处理具有正当性，使信息使用者的合法利益成为个人信息处理的合法性基础之一。但这并不意味着，信息使用者具有任何合法利益都可以直接进行个人信息处理，信息使用者仍然需要尊重信息主体的权益，这种尊重主要表现为履行相应的告知义务，也即让其知情，知情或同意都是收集个人信息的合法性基础，知情并不一定需要同意，让主体知晓也是对主体权益的尊重或保护。

同时，信息使用者的合法利益应满足一定的条件，从而使个人信息的使用具有正当性：第一，信息使用者的利益本身要具有合法性、现时性和特定性；第二，对于信息主体的人格尊严和自由利益，信息使用者的利益具有相对优先性；第三，相关个人信息处理为实现该合法利益所必需。

3.信息主体的人格尊严和自由利益与公共利益

在个人信息保护领域，当基于公共利益目的进行的个人信息处理与信息主体的人格尊严或自由发生冲突时，也需要对个人的权利和自由作出一定的限制。“同意原则”在以公共利益目的进行的个人信息处理中没有适用的余地，公共利益可以独立作为个人信息处理的合法性基础之一。但需要严格控制公共利益的界定，否则会造成公共利益对个人利益的侵蚀。在个人信息保护领域，尽管基于公共利益的个人信息收集、利用和流通无需经过信息主体的同意，但其必须具有明确的法律规定。