信息时代，大数据、人工智能等新兴技术和产业的兴起也逐渐引起人们对个人信息保护和利用的高度重视。我国《民法总则》第 111 条规定：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息，但对何为“依法取得”和“非法”并未作直接规定。

实际上，对个人信息“如何保护”与“怎样利用”之间一直存在着一个难以平衡的利益冲突：一方面政府等公务部门有许多基于“合法”的理由获取并利用个人信息，同时非公务部门的新兴企业也需收集、加工、控制和利用海量的个人信息进行创新、创业；另一方面因个人信息保护不利，带来的自然人人格尊严被侵犯、信息经济价值被忽视、隐私被公开、一般个人信息被不当利用甚至滥用带来的安全风险等问题，越来越明显，对个人信息加强保护，进而实行全面综合立法已经成为各国潮流。在个人信息“保护”与“利用”之间起联系纽带作用，较好地平衡二者之间的利益冲突，最重要基础和桥梁就是“知情同意”。 

个人信息权利主体对信息控制主体采集、加工、使用、储存、传输等控制行为的目的、范围、方式、依据、信息安全保障等内容具有知情权，信息控制主体对此有法定的告知义务。一般地，信息控制主体应以获得权利人的“同意”为前提条件。这种“同意”在法律性质上属于意思表示，通常情况下“同意”应遵循以下基本规则：（1）同意的作出必须是自由、非强迫的；（2）同意原则上应该是肯定、积极、主动的，对敏感个人信息、未成年人的个人信息的同意必须采用明示方式，对一般个人信息可以采用默示方式，沉默不构成同意；（3）同意可以被撤回或撤销；（4）对重要敏感信息的同意应单独取得，不能以一揽子协议捆绑同意来获得。

在“知情同意”原则下，允许有合理合法的例外规则。这些例外通常包括以下几种情况：（1）与国家安全、国防安全直接相关的；（2）与公共安全、公共卫生、重大公共利益直接相关的；（3）与犯罪侦查、起诉、审判和判决执行等直接相关的；（4）出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；（5）所收集的个人信息是个人信息主体自行向社会公众公开的；（6）从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；（7）根据个人信息主体要求签订和履行合同所必需的；（8）个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中包含的个人信息进行去标识化处理的；（9）法律法规规定的其他情形。例外情形下的同意，个人信息权利主体可按照政府信息公开等规定享有知情权。

总之，加强个人信息保护的同时也应鼓励合法合理的控制利用，具体以保障权利主体知情权、同意权为基础，在例外情形下未经同意也可合法、合理地利用个人信息。

作者：崔晓文 教授（绮惠律师事务所、重庆交通职业学院）