108号公约现代化与个人信息收集合法性依据的重构*

程海玲

(西南政法大学民商法学院，重庆 401120)

2019年的“央视315晚会”曝光了一款由声牙科技有限公司研发的“探针盒子”，当用户手机无线局域网处于打开状态时，该盒子能迅速识别出用户手机的MAC地址，最终转换成手机号码，一些公司将这种盒子放在商场、写字楼、超市等地，在用户毫不知情的情况下，收集其个人信息。无独有偶，2018年11月，中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》中指出，参与测评的100款App(均为9月1～3日期间在App Store、安卓市场下载)普遍存在过度收集个人信息甚至是敏感信息的情况(1)中国消费者协会.100款App个人信息收集与隐私政策测评报告[R].北京：中国消费者协会，2018.。可以说，前述有关个人信息收集的种种乱象，对大数据时代的我们而言，早已司空见惯不足为奇，大数据时代使得个体暴露成为“透明人”或“被看透的人”(2)Simitis S. Reviewing Privacy in An Information Society.University of Penn Sylvania Law Review,1987,(77):707.。

个人信息收集作为个人信息处理(3)一般认为，“个人信息处理”包含了个人信息收集、存储、使用、共享、转让、公开披露等活动，本文也是在这一意义上使用该词。的开端环节，“不从源头设计个人信息保护，无法真正防范信息安全风险”(4)SeeIra S. Rubinstein. Regulating Privacy by Design[J].Berkeley Technology Law Journal, 2011,(26):1410.。明确个人信息收集的合法性依据，既能够划定行为人收集他人个人信息的行为标准(5)Wade, Ariel E. A New Age of Privacy Protection: A Proposal for An International Personal Data Privacy Treaty.George Washington International Law Review,2010, (42):659-686.，也提供了保护信息主体的规范基础，更明定了司法机关的裁判依据。本文在透析确立个人信息收集合法性依据的立法宗旨之基础上，从我国现有相关规范出发，阐释其中存在的漏洞，进而通过借鉴欧洲委员会《关于个人数据处理中的个人保护公约》中有关个人信息收集合法性依据的现代化规范，探讨大数据时代我国个人信息收集合法性依据的重新构建。

一、确立个人信息收集合法性依据的立法宗旨

大数据与人工智能相结合，使人类走向大数据时代，形成以数据为基础的社会运行发展模式(data-based society),网络通信技术和数据经济成为引领社会发展的引擎，信息数据的利用秩序成为数据时代的制度基础。在大数据背景下，个人信息被称为“新石油”(6)张里安，韩旭至.大数据时代下个人信息权的私法属性[J].法学论坛，2016,(3)：119.，“收集和整理个人信息都是获取权力的方式”(7)A. Michael Froomkin. The Death of Privacy[J].Stanford Law Review,2000,(52):1462.，市场中的“经济人”因逐利本性使然通常会选择成本更低的违法手段处理个人信息以谋求自身利益的最大化。探寻确立个人信息收集合法性依据之立法宗旨，能够引导我们深化对个人信息收集合法性依据的认识。

(一)保护信息主体的人格尊严和人身自由

自然人的个人信息与其生命、身体、健康、名誉、自由等人格要素一样，是构成完整法律人格不可或缺的基本要素(8)郑晓剑.人格权客体理论的反思[J].政治与法律，2011,(3)：108.。虽然我国学术界对于个人信息内涵的认识还存在些许分歧，但基本上都认可了个人信息的“可识别性”，认为通过个人信息可以勾勒出个人的“信息化形象”(9)张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015,(3)：45.，即“把当事人直接或间接地认出来”(10)齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉：武汉大学出版社，2004.4.。

人格尊严，是自然人作为人的基本条件之一，也是文明社会进步的重要标志之一，包含了承认和尊重自然人作为法律主体的意思。人身自由，是自然人参与各种社会关系、参加各项社会活动的根本保障，也是自然人行使其他人身权和财产权的基础和前提。《民法总则》第109条(11)《民法总则》第109条：自然人的人身自由、人格尊严受法律保护。，作为民事权利一章的开篇规定，凸显了自然人人身自由和人格尊严的根本性地位。

个人信息“可识别性”的内在属性使然，决定了个人信息与信息主体的人格尊严和人身自由直接相关。依据马斯洛需要层次理论，“人格标识的完整性与真实性是主体受到他人尊重的基本条件”(12)[美]亚伯拉罕·马斯洛.动机与人格[M].许金声，译.北京：中国人民大学出版社，2007.31.，只有消除个人对“信息化形象”被他人操控的疑虑和恐慌，保持其信息化人格与其自身的一致性(13)〔15〕张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015,(3)：45.，避免造成信息主体的人格扭曲，才能保障信息主体有自尊并受到他人尊重地生存与生活。在大数据时代，得益于科技的飞速发展进步，个人信息处理呈现出空前新局面。无论是在线上抑或在线下，公共空间抑或私人领域，自然人的一切活动都可能形成个人信息痕迹，进而勾勒出个人信息化形象,无处不在的个人信息处理无疑会严重影响信息主体的人格尊严和人身自由。通过保护个人信息不受信息数据处理等技术的侵害，可以达到保护个人人格尊严和人格自由的效果(14)Michael Henry. International Privacy Protection [M]. Reed Elsevier(UK),2001:164.。

基于人的尊严和自由乃是人的基本权利的定位，个人信息对于信息主体的人格尊严和人身自由价值，应当是个人信息保护立法中首要考虑的因素〔15〕。个人信息之所以日益获得强化的保护，也与其体现了人格尊严和人格自由存在密切关系(15)王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学，2013,(4)：64.。就个人信息收集合法性依据的确立而言，其首要立法宗旨乃保护信息主体的人格尊严和人身自由，自然毋庸置疑亦不待多言。

(二)促进个人信息的自由流通

法律的主要作用之一是调整及调和种种相互冲突的利益，无论是个人的利益还是社会的利益(16)[美]E.博登海默.法理学：法律哲学与法律方法[M].邓正来，译.北京：中国政法大学出版社，1999.398.。个人信息保护涉及三种利益，即个人信息本身所附着的信息主体的个人利益，以及与个人信息处理紧密结合的信息使用者的利益和公共利益(17)高富平.个人信息使用的合法性基础——数据上利益分析视角[J].比较法研究，2019,(2)：74.。在合理范围内促进个人信息自由流通，既符合信息主体或者社会公共利益的需要，也能为信息收集者带来经济利益。例如，经营者通过收集和分析特定主体的个人信息，可以为信息主体提供更便捷高效的个性化服务，进而极大地节省信息主体寻求服务的时间、精力，这既符合信息主体的利益需要，也为信息收集者带来了经济利益；而基于科学研究目的收集、使用个人信息，将科研成果造福于整个社会，信息主体和其他社会公众都能从中受益。欧洲委员会《关于个人数据处理中的个人保护公约》“说明报告”中也指出，全球信息流动在现代社会发挥着越来越重要的作用，不仅能激发创新，促进社会和经济进步，也能使基本权利和自由得以行使，并在确保公共安全方面发挥着重要作用。

从另一个角度而言，大数据分析作为一种技术手段，海量信息的存在是该技术有效运作的逻辑前提，数据资源的可获取性和可流通性是大数据应用和产业发展的基础，如果个人信息数据无法流通、无法获取，大数据产业就会成为无水之源(18)金耀.个人信息去身份的法理基础与规范重塑[J].法学评论，2017,(3)：125.。大数据技术的运用、大数据产业的发展已势不可挡，过分阻碍个人信息的自由流通以谋求对信息主体的充分保护是掩耳盗铃式的愚昧行为，注定为时代所摒弃。是故，信息主体享有的保护并非绝对的，而是应受到限制的(19)谢琳,李旭婷.个人信息财产权之证成[J].电子知识产权，2018,(6)：60.，而该限制的判断标准正是个人信息自由流通的合理需要。

因此，无论是就个人信息自由流通产生的实际结果还是就大数据时代发展的必然趋势而言，促进个人信息的自由流通都是且应当是确立个人信息收集合法性依据的立法宗旨之一。

综上所述，信息主体人格尊严与人身自由的保护、个人信息自由流通的需要，二者共同决定了个人信息收集合法性依据的规范内容。二者在大数据时代都具有极其重要的地位，不可偏废。

二、我国个人信息收集合法性依据的规范梳理与分析

法律的发展始终是与社会现实相伴随的，随着社会现实的变化而相应地调整法律，是立法者的重要任务之一(20)王建国.关注社会现实:法律发展不可或缺的主题——解读卡多佐的社会学法学思想[J].法学评论，2008,(5)：7.。社会生活中大量出现的关于个人信息处理的案例，催生了我国个人信息保护的相关立法。

(一)我国个人信息收集合法性依据的规范梳理

关于个人信息收集的合法性依据，我国现行法律的直接规定体现在以下法律条文中(21)此处需要强调，我国一些行政法规、部门规章也规定了个人信息收集的合法性依据，前者如《征信业管理条例》第13条第1款“采集个人信息应当经信息主体本人同意，未经本人同意不得采集。但是，依照法律、行政法规规定公开的信息除外”等；后者如工业和信息化部发布的《电信和互联网用户个人信息保护规定》第9条第1款“未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息”、工业和信息化部发布的《规范互联网信息服务市场秩序若干规定》第11条“未经用户同意，互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息(以下简称“用户个人信息”)，不得将用户个人信息提供给他人，但是法律、行政法规另有规定的除外”。另外，国家标准GB/T 35273-2017《信息技术安全 个人信息安全规范》第5.3条规定了“收集个人信息时的授权同意”、第5.4条规定了“征得同意的例外”的十余种情形，但该标准仅为推荐性国家标准，不具有强制适用效力。，笔者对其进行表格化梳理如表1所示。

表1 我国现行法律中关于个人信息收集合法性依据的规定

(二)我国个人信息收集合法性依据的规范分析

1.“同意”几乎是个人信息收集的唯一合法性依据

通过上述表格化的梳理不难看出，在关于个人信息收集合法性依据的现行法律规范中，基本上都将“信息主体的同意”作为个人信息收集的唯一合法性依据，即“在立法上明示个人信息收集须经信息主体的同意从而将同意一般化”(22)高富平.个人信息保护：从个人控制到社会控制[J].法学研究，2018,(3)：85.。虽然《征信业管理条例》规定了“已依法公开的信息”这一例外情形，但该条例适用范围有限；虽然《规范互联网信息服务市场秩序若干规定》明确了“法律、行政法规另有规定的除外”的同意豁免，但该规定对商业领域的个人信息收集而言几乎形同虚设(23)在公权力机关收集个人信息领域，《身份证法》《刑事诉讼法》《统计法》等的相关规定可作为其合法性依据；而在个人信息商业收集领域，我国现行法律中并无其他合法性依据的规定。。我国现行的个人信息收集合法性依据体系明显缺失了“依据法定情形收集个人信息”的分支，对信息收集者而言要求过高，有违“促进个人信息自由流通”之立法宗旨。

值得乐观的是，《中华人民共国民法典·人格权编》(二次审议稿)所确立的个人信息收集合法性依据打破了“同意单行”的局面，将信息主体的同意和其他法定情形并列，开启了革新个人信息收集合法性依据的新格局，但其内容规定过于笼统和模糊，个人信息收集的合法性依据还有待进一步细化。

2.规范内容过于原则，缺乏可操作性

法律的可操作性是法律生命之皈依，缺乏可操作性的立法等于无法。从前述相关规范来看，其内容流于形式或者为宣示性规定，缺乏可操作的具体规则(24)张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015,(3)：45.。具体而言，《民法总则》第111条从基本法的角度确立了个人信息收集的合法性原则，对规范个人信息收集行为意义重大，但该条文主要是从禁止侵害的角度进行规范，并未直接提供合法收集个人信息的行为指引；而《网络安全法》《消费者权益保护法》《决定》虽然规定了“信息主体的同意”这一合法性依据，但缺乏关于同意的明确要求，导致实践中对何为有效同意争议频现，通过“一揽子协议”征得用户同意的做法盛行，使得同意制度“有名无实”，不能真正保护信息主体的合法权益。

如前所述，个人信息蕴含着信息主体的人格利益，而多数情况下信息主体与信息收集者“并非处于平等协商的地位”(25)Paolo Balboni, et al. Legitimate Interest of the Data Controller New Data Protection Paradigm: Legitimacy Grounded on Appropriate Protection. International Data Privacy Law,2013,(3):4.，以及内在于这种不平等中的损害个体隐私的风险(26)Vera Bergelson. It’s Personal But Is It Mine? Toward Property Rights in Personal Information.University of California,2003,(37):379-446.，将信息主体的同意作为个人信息收集的合法性依据有其必要性，也与意思自治基本原则的理念相吻合，具有正当性。但基于我国现行个人信息收集合法性依据规范体系出现的偏差，即法定收集情形虚无、同意构成要件缺失，导致我国理论界出现了对“同意”的否认，甚至有学者认为同意“不能为个人信息处理提供正当性基础”(27)任龙龙.论同意不是个人信息处理的正当性基础[J].政治与法律，2016,(1)：128.。仔细反思，症结乃在于我国现行法律对信息主体的同意“定位错误”，且欠缺关于同意有效要件的规定，单凭信息主体的同意根本不可能完成保护信息主体合法权益暨促进个人信息自由流通的“丰功伟业”。

按照我国当前的立法规划(28)十三届全国人大二次会议于2019年3月14日上午在人民大会堂举行新闻发布会，大会发言人张业遂在回答中外记者提问时说，全国人大常委会已将制定个人信息保护法列入本届立法规划，相关部门正在抓紧研究和起草，争取早日出台。，《个人信息保护法》的立法工作已提上日程，作为系统性规范个人信息保护相关问题的法律，其必然应就个人信息收集的合法性依据及其具体要求作出统一明确的规定，打破当前“数规并举，保护无力”的窘境。

三、“108号公约+”关于个人数据收集合法性依据的现代化规范

欧洲委员会《关于个人数据处理中的个人保护公约》(Convention for the protection of individuals with regard to the processing of personal data)(以下简称“108号公约+”)(29)“108号公约+”(“Convention 108+”)即“108号公约”的现代化，2018年5月18日部长委员会第128次会议在埃尔西诺通过了“108号公约”的修订协议。，作为国际社会应对信息技术发展及个人数据(30)“个人数据”乃欧盟对于“个人信息”的称谓，二者并无实质差异，文章在表述欧盟相关内容时，统一使用“个人数据”一词。保护问题的最新成果，旨在保护每个人的数据处理权利。该公约条款具备的一般性、技术中立性以及开放性使得其具有成为一项普遍标准的独特潜力。“108号公约+”就个人数据收集的合法性依据做出了相对较为完备的规定，其内容颇值得我们参考借鉴。

(一)个人数据收集的两大合法性依据：数据主体的同意及其他法定情形

“108号公约+”第5条第2款规定，各缔约方应规定数据处理可在数据主体自由做出的、具体的、知情的和明确的同意或者法律规定的其他合法依据上进行。

1.数据主体的同意：自由做出的、具体的、知情的、明确的

“108号公约+”明确规定了数据主体同意的有效要件，其“说明报告”对此内容予以补充，综合来看，数据主体的有效同意需满足以下要件：

(1)自由做出的(freely given)

“自由做出的”意味着给予数据主体真正的选择和控制。“说明报告”指出，不得直接或者间接地对数据主体施加任何经济性的或其他性质的影响或压力，如果数据主体没有真正地或自由地选择，或者无法在权利不受损害的情况下拒绝或撤销同意，则不应视为自由做出的同意。可见，“自由做出的”与传统民法上意思表示自由的内涵相一致，为确保数据主体做出的同意是出自其内心真意，任何可能影响数据主体意思表示自由的因素之存在均可能影响同意的有效性。同时，“自由做出的”包含了数据主体可以自由撤销其所作出的同意之义，即“若撤销同意不自由，则作出同意不自由”。同意数据主体撤销不影响数据控制者在同意撤销前所进行的处理行为的合法性，但在没有其他法定合法依据的情况下，数据控制者不得继续处理个人数据。

(2)具体的(specific)

“具体的”旨在确保数据主体在一定程度上的用户控制度和透明度，同意应涵盖为同一目的或多种目的而进行的所有处理活动(在有多种目的情况下，需要数据主体就各目的分别给予同意)。数据主体对基于同一目的的不同处理活动可能做出不一致的同意决定，如针对提供个性化服务的目的，数据主体可能同意收集其位置数据，但不同意收集其健康数据等。“具体的”要求数据控制者须采用精细化的同意机制，以防止控制者在数据主体初始同意数据收集后，逐步扩大或模糊数据处理目的。因此，就模糊或笼统的目的而做出的同意，例如“改善用户体验”“将来的研究”等，由于缺乏更为细节性的描述，通常不符合“具体的”之标准。

(3)知情的(informed)

“知情的”与“108号公约+”第8条规定的处理的透明性的要求相一致。在数据收集者直接或间接收集数据主体的个人数据之前，须积极主动地通过任何适当的形式向数据主体提供某些重要信息，包括数据收集者的身份信息、收集的法律依据和目的、收集的数据类型、数据主体拒绝提供数据的后果以及数据主体享有的权利等。“知情的”能够保证数据主体在知晓其决定含义的前提下做出决定。同时，数据收集者提供的信息应是易于获取的、易读的和易理解的，并可为相关数据主体采用，例如，必要时以适合儿童阅读的语言提供信息，不得给数据主体的“知情”设置障碍。我国学者也普遍认为同意应当是在知情的基础上做出的，并将其表述为“知情同意”，还有学者认为，知情同意原则作为个人信息保护法的一项基本原则，其重要性相当于意思自治原则在民法中的地位(31)齐爱民.信息法原论[M].武汉：武汉大学出版社，2010.58.。

(4)明确的(unambiguous)

数据主体的同意必须是有意选择的自由表达，通过声明(书面形式或者口头方式，书面形式包括电子形式等)或者明确的肯定行为做出，在特定语境中清楚地表明对个人数据拟议处理的接受。因此，单纯的沉默、不作为或预先验证的形式(pre-validated forms or boxes)不构成同意。是故，数据主体的同意必须是明显无疑的，也即“108号公约+”对数据主体的同意采取的是“选择进入(opt-in)机制”的明示同意，而不认可“选择退出(opt-out)机制”的默示同意的有效性。

2.其他法定情形：“必要性”的实质要求

“说明报告”第46段解释了其他法定合法依据的内容。依据其规定，“法律规定的合法依据”的概念主要包括：为履行数据主体是一方当事人的合同(或应数据主体要求采取的先合同措施)所必要的数据处理；为保护数据主体或第三人的重大利益所必要的数据处理；为遵守数据控制者所承担的法律义务所必要的数据处理；为公共利益或为控制者或第三人的首要合法利益所进行的数据处理。

“说明报告”第47段对“公共利益”进行了解释，法律应规定数据处理所依据的公共利益，尤其是货币、预算和税收、公共卫生和社会保障，预防、调查、侦查和起诉刑事犯罪及违反职业道德规范的行为以及执行刑事处罚，保护国家安全、国防，执行民事诉讼请求以及保护司法独立和司法程序。

另外，“108号公约+”赋予数据主体的反对权也印证了基于“其他法定合法依据”尤其是“数据控制者的首要合法利益”收集个人数据的行为效力。就反对权而言，数据控制者可能有凌驾于数据主体的利益(或权利)和自由之上的数据处理的合法基础，例如，法律主张的确立、行使或辩护或者公共安全理由可被视为是证明继续处理的正当性的首要合法基础。但这必须通过个案加以证明，如果未能证明在进行处理的过程中存在这种令人信服的合法基础，则处理可能被视为非法。也即，数据收集者若基于其首要合法利益进行个人数据收集行为，根据个案情况进行利益衡量后认定其收集行为具有正当性时，数据主体无权反对数据收集者的收集行为。

“108号公约+”规定的其他法定合法依据与欧盟《一般数据保护条例》的规定(32)见欧盟《一般数据保护条例》第6条。实质上相一致。总体而言，依据其他法定情形收集个人数据的要求相对较为严格，仅限于“为履行合同所必要”“为履行法定义务所必要”“为保护重大利益所必要”“为公共利益而处理”“为首要合法利益而处理”的情形以及其他与该类情形具有同等重要性的情形。除了为公共利益或为控制者或第三人的首要合法利益而进行的数据处理外，其他法定情形均特别强调了处理的“必要性”，而公共利益和控制人或第三人的首要合法利益本身就暗含了利益的至高性，符合“必要性”的实质要求。因此，其他法定情形均须符合必要性的实质要求。

(二)两大合法性依据之间的关系

虽然“108号公约+”未直接说明不同合法性依据之间的关系，但从其所构造的合法性依据的体系及立法目的来看，数据主体的同意和其他法定合法依据应是相互独立的。不同的合法性依据不能混用，对外表明数据处理是依据数据主体的同意进行的，而实际上还存在着其他法律依据，这对数据主体而言是不公平的。数据控制者必须在开始收集个人数据之前就确定所适用的法律依据，而不能在事后随意变换数据收集的法律依据，例如，在同意的有效性存疑时，不允许数据控制者追溯利用合法利益等依据来证明数据处理的合法性(33)Article 29 Data Protection Working Party. Guidelines on Consent under Regulation 2016/679 [EB/OL].[2017-11-28](2019-04-13).https://ec.europa.eu/newsroom/article29/item-detail.cfm?Item_id=623051.。

此外，就“数据主体的同意”和“为履行与数据主体的合同所必要”两个合法性依据而言，应注意区别两者的界限。在适用时要特别注意，避免数据收集者将数据主体的同意直接地或间接地作为合同的对价，从而在实质上剥夺了数据主体同意或拒绝同意的权利。如果合同的履行是以数据主体同意处理其个人数据为条件，但该数据处理并非履行合同所必要，此时需要充分考虑数据主体的同意是否是基于自由意愿做出的。也即是说，应确保处理个人数据的目的不被掩饰或与提供非必要的个人数据的服务条约相捆绑，进而确保对数据处理的同意不会直接或间接成为合同的对价。简言之，收集个人数据的两个合法性依据——同意和合同，两者不能模糊界限或合并，不得通过合同的形式实质上剥夺数据主体自由同意的权利。

综上所述，欧洲委员会“108号公约+”构建了数据主体的同意和其他法定情形并立的个人数据收集合法性依据体系。其中，数据主体的同意需要满足自由做出、具体、知情、明确的构成要件；其他法定合法情形包括为履行与数据主体的合同所必要、为保护数据主体或第三人的重大利益所必要、为遵守数据控制者的法律义务所必要、为公共利益或为控制者或第三人的首要合法利益所进行的数据处理等，其他法定情形均须满足必要性的实质要求。不同的合法性依据相互独立，数据收集者在开始收集个人数据之前即应确定收集个人数据的法律依据。

四、重构我国个人信息收集合法性依据的思考

我国正在制定的《个人信息保护法》作为个人信息保护的专门立法，需要顺应大数据时代发展的机遇和挑战，秉承保护信息主体的人格尊严和人身自由以及促进个人信息自由流通之立法宗旨，就个人信息收集的合法性依据作出妥当的体系性安排。

首先，必须明确的是，《个人信息保护法》的立法宗旨应为实现个人信息保护与个人信息自由流通之间的平衡，而并非单一地保护个人信息本身(34)周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向[J].法学研究，2018,(2)：15.。基于保护信息主体的人格尊严和人身自由的宗旨及意思自治基本原则的精神，将同意作为个人信息收集的合法性依据具有正当性和必要性，关键在于细化同意的构成要件，使同意能够真正肩负起保护信息主体合法权益的使命；同时，基于促进个人信息自由流通的需要，亦应将一些法定情形确立为个人信息收集的合法性依据，进而实现信息主体权益保护与个人信息自由流通之间的平衡。

(一)个人信息收集的合法性依据：信息主体的同意和其他法定情形

大数据时代，促进个人信息的自由流通有其正当性依据和现实需要。将同意作为个人信息收集的唯一合法性依据，不符合个人信息处理所涉及的信息控制者的利益和公共利益的需要，有违促进个人信息自由流通的立法宗旨。基于此，我国在制定《个人信息保护法》时，应打破信息主体的同意系个人信息收集的唯一合法性依据的局面，将个人信息收集的合法性依据确立为“信息主体的同意”及“其他法定情形”。

1.信息主体的同意：形式要件与实质要件兼备

细化同意的构成要件是确保同意这一合法性依据“生根发芽”的“内在动力”。《个人信息保护法》可以通过规定同意的定义以明确同意的构成要件。

形式要件方面，信息主体的同意应为明示同意。同意必须符合特定的形式要求，清晰地表达出信息主体对拟进行的个人信息收集行为的接受，比如“通过声明或明确的行动”而做出同意。沉默、预先勾选好对话框或不作为均不能表明信息主体做出了同意。个人信息收集作为个人信息处理的开端环节，采用“选择退出(opt-out)”的同意机制存在很大的风险，有违保护信息主体人格尊严和人身自由的理念。对于大数据时代采用明示同意可能引发的信息主体“同意疲劳”的困境，也应交由信息收集者解决。科技的发展加之利益的驱动、市场的竞争，相信信息收集者能够有效地应对这一挑战。

实质要件方面，首先，同意必须是建立在信息主体知情的基础上，由信息主体自由做出，信息主体并得自由撤销其所做出的同意。“知情”的要求对应了信息收集者的告知义务，特别是要告知信息收集者的身份、信息收集的目的、可能发生的风险及信息主体享有的权利等，告知的内容应简洁明了、易于理解，不得给信息主体造成不必要的损害；“自由做出”与传统民法中意思表示自由的内涵相一致，但在信息网络领域，基于信息主体与信息收集者之间地位的不平等，影响信息主体自由做出同意的因素增多，对此必须予以防范，应注重审查信息主体在特定情形下是否真正能够自由做出同意。其次，信息主体的同意必须是具体的、明确的。信息收集者必须细化信息收集的目的，不得通过“一揽子协议”获取信息主体的同意；所设计的同意获取机制必须能够确保信息主体做出的同意是清晰无疑的，在对信息主体同意内容的理解发生争议时，应做出不利于信息收集者的解释。

2.其他法定情形：满足“直接相关”或“必需”的实质要求

根据《民法典·人格权编》(二次审议稿)第816条和国家标准GB/T 35273-2017《信息技术安全 个人信息安全规范》的现有规范内容(35)国家标准GB/T 35273-2017《信息技术安全 个人信息安全规范》“5.4征得同意的例外” 以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意：a)与国家安全、国防安全直接相关的；b)与公共安全、公共卫生、重大公共利益直接相关的；c)与犯罪侦查、起诉、审判和判决执行等直接相关的；d)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；e)所收集的个人信息是个人信息主体自行向社会公众公开的；f)从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；g)根据个人信息主体要求签订和履行合同所必需的；h)用于维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障；i)个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的；j)个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的；k)法律法规规定的其他情形。，参考借鉴“108号公约+”的规定，我国应增加“个人信息控制者履行法律法规规定的义务所必需”(36)该项合法性依据也出现在国家市场监督管理局、中国国家标准化管理委员会2019年1月30日发布的《信息技术安全 个人信息安全规范》(草案)中，但应将其所规定的适用条件“相关的”修改为“所必需的”。和“为维护信息控制者或第三人的首要合法利益”这两种情形作为个人信息收集的其他合法性依据。这样基本上确立了基于“公共利益直接相关”“维护信息主体的重大合法权益所必需”“履行与信息主体的合同所必需”“履行信息控制者的法定义务所必需”“收集已依法公开的信息”(37)虽然“108号公约+”未将该项作为个人信息收集的合法性依据，但依据基本法理，加之促进个人信息自由流通的立法宗旨，信息收集者收集已依法公开的个人信息应是合法的，故该项规定有必要继续保留。“维护信息控制者或第三人的首要合法利益”六大考量因素的“列举加兜底”式的其他合法情形框架。

在具体适用时应注意，对“收集依法公开的个人信息”，若收集该信息将侵害信息主体的重大利益或者信息主体明确拒绝，则不得收集；其他法定情形均需满足“直接相关”或“必需”的要求，否则可能不当损害信息主体的合法权益。在适用“维护信息控制者或第三人的首要合法利益”时，必须进行个案衡量，权衡个人信息处理所涉及的信息主体的利益和信息控制者或第三人的首要合法利益，在信息控制者或第三人的首要合法利益具有优势地位即满足“必需”的实质要求时，方可进行收集，当然此时还要求“信息收集者采取额外保障措施以减少对信息主体的影响”(38)谢琳.大数据时代个人信息使用的合法利益豁免[J].政法论坛，2019,(1)：78.。同时，在适用兜底条款时需进行严格解释和个案衡量，所考量的利益必须与前面各项所列举的利益具有同等的重要性。

(二)信息主体的同意与其他法定情形的关系

信息主体的同意与其他法定情形是相互独立的，彼此不能混用。为了保护信息主体的合法权益，信息收集者在开始收集个人信息前，即应确定收集个人信息的法律依据，而不得在收集行为开始后发生争议时根据需要随意变更收集的法律依据。

值得强调的是，“信息主体的同意”与“为履行与信息主体的合同所必需”是两个不同的合法性依据，信息收集者不得恣意将信息主体的同意作为合同的对价进而模糊两者的界限。基于履行与信息主体的合同而收集个人信息，该信息的收集对合同的履行应是必需的。这意味着有可能需要以获得同意作为部分信息处理的附加条件，信息处理若不是为履行合同，那它必须获得当事人(自由做出)的同意(39)王进.论个人信息保护中知情同意原则之完善——以欧盟《一般数据保护条例》为例[J].广西政法管理干部学院学报，2018,(1)：61.。

五、结语

“私法的基本概念是人”(40)星野英一.私法中的人[M].王闯，译.北京：中国法制出版社，2004.20.，对私权的保障和人性需求的关怀乃是私法的根本任务(41)申卫星.中国民法典的品格[J].法学研究，2006,(3)：78.。大数据时代，为避免先进而可怕的信息技术“对独立人格的维护和自由人格的发展造成难以弥补的损害”(42)张建文.隐私权的现代性转向与对公权力介入的依赖[J].社会科学家,2013,(6)：14.，同意作为个人信息收集的合法性依据具有正当性和必要性，细化同意的构成要件是同意制度有效运作的基础和保障；同时基于个人信息收集所蕴含的信息收集者的利益和社会公共利益的需要，为公共利益直接相关、履行与信息主体的合同所必需、履行信息收集者的法定义务所必需、维护特定重大利益等其他法定事由也应该成为个人信息收集的合法性依据。需要强调的是，该合法性依据仅针对一般个人信息的收集而言，对于特殊个人信息(如儿童的个人信息、个人敏感信息等)的收集，基于该类信息所蕴含的个人利益的重大性，其合法性依据的要求更为严格，有待进一步探讨。