“法益是作为个人、社会和国家的具体利益而成为法律保护对象，不管在解释论还是在立法论上，法益都起着指导性作用。”^[2]数据经济发展离不开作为基础构成信息元数据的处理，而任何一组数据的生成都是人类社会活动的信息化记载。因此，个人信息法益保护问题备受关注，但学界在个人信息法益属性方面存在不同的观点立场，如隐私权说、人格权说、基本权利说、公民个人信息权说、人格权兼财产权说以及超个人法益说等。除公民个人信息权说之外，其他较为有力的观点主要是基本权利说、人格权说、隐私权说。但无论基本权利说、人格权说亦或隐私权说均难以涵盖个人信息保护和利用一体两面、二律背反的权利特征。

基本权利说认为个人信息是个人基本权利与自由的客体，其常见于相关国际条约或区域性条约，如欧盟《通用数据保护条例》。中国也有学者主张此说^[3]。基本权利通常指宪法上的权利，宪法是基本权利的确认但并不是其终极根据。于此，将个人信息权视为一项基本权利主要存在以下问题：一是基本权利更多指向的宪法层面公民的基础性权利，如平等权主要强调一种法律意义上的平等，其与个人信息权并不存在关联。二是尽管通信自由和通信秘密与个人信息保护具有一定的关联性，但通信自由只是公民自由的一个方面，通讯信息也只是整体个人信息中一项组成部分。三是个人信息权不是一项具有推定性质的基本权利。中国《宪法》中并没有规定生命权，但生命权当然属于一项基本权利，无需在《宪法》中明确规定。而个人信息权是否具有推定意义上的基本权利属性，结论是否定的。“权利推定的方式有两种，一是由权利去推定权利，二是由义务去推定权利。”^[4]个人信息权显然难以采用这种推定方式证成其基本权利性质。除此，基本权利具有一定的历史性，个人信息权则属于近年来新兴权利类型，与基本权利的一贯性存在一定脱节。将个人信息权作为一项基本权利具有明显的逻辑悖论和法理欠缺性。

至于人格权说，该观点认为个人信息权是一项具体人格权。持此观点的学者主要是从个人信息权与隐私权存在差异角度论证个人信息权不能被隐私权完全涵盖，故而应该独立。主张应在民法总则的基础上进一步完善人格权的类型，规定个人信息权，细化具体人格权的内容，并对人格权的行使规则、利用规则、限制规则及权利冲突规则等作出明确规定^[5]。相对一般人格权，具体人格权的定位显然更具合理性，问题在于“无论从宪法亦或法理上解释自然人的人格权均具有强烈的个体专属性和不可交易性，在其权利行使过程中即便产生经济利益，也不能将其视为财产权利，否则必然贬损自然人之人格意义。”^[6]

隐私权说是个人信息保护法益之争中比较有力的学说观点，但隐私权与个人信息权相比，二者在客体范畴、权利性质、权利内容以及保护方式等方面均存在显著差异。“中国《民法总则》第111条规定是个人身份信息，并非隐私权层面的私人隐私信息。”^[7]隐私信息重在保护个人的私密空间，而个人信息侧重于识别，同时个人信息权还具有法益自决意义上的信息自决权。二者存在一定的交叉，但个人信息的概念范畴显然比隐私信息更宽泛。隐私权具有一定的消极性，体现为被侵害后的救济性，具有被动防御的特征。而个人信息权则不止于这种消极防御，亦具有积极利用的双重特征。在刑法上，将侵犯个人信息权犯罪置于“侵犯公民人身权利民主权利罪”之下，作为第253条之一，即表明立法者试图将侵犯公民个人信息权罪犯罪客体预设为个人的隐私权^[6]10。“刑法教义学固然以刑法规范为研究对象，但这并非意味着其放弃了批判。”^[8]随着DT乃至AI时代的到来，现行刑法基于传统隐私权的规制立场愈发难以适应各类新型数据犯罪形态。除此，“权利主体还享有积极利用其个人信息的基本权利，‘同意’即构筑了信息自由与刑法介入之间的边界。”^[9]

任何理论成为真理之前都要经历一个试错的阶段、纠偏的环节和证伪的过程，最后经过实践检验得以证立。当前，针对侵犯公民个人信息罪保护法益的诸多争论，充分表明该罪是刑法罪名中法益属性分歧较大一类犯罪。面对如此激烈的观点争议，如何辨析各观点学说之真理性，首先需要明确个人信息权作为一项新型独立性权利的法理依据，在此基础上科学界定侵犯公民个人信息罪之保护法益。

“法律作为人类社会一种文化现象和人类智慧的杰作，既带有尘世的重负，也具有天堂的吸引力。”^[10]随着社会由DT时代向AI时代快速过渡，信息技术逐渐成为引领社会变革的核心因素和主导力量。作为信息技术之基础构成的个人信息日益成为一项引领社会变革的基础性和战略性资源。现实生活中，各类新型数据犯罪早已跨越传统人格性利益损害阶段，新型数据犯罪已然常态化。由此，刑法需要转变保护理念和立场，将个人信息权作为一项新型独立性权利对待，结合司法实践科学、合理地拓展“侵犯公民个人信息罪”涵摄范围。

上述关于个人信息法益的学说观点均建立在将公民个人信息相关权利界定为一项权利的基础之上，只是在权利属性方面存在较大分歧，其核心争点是个人信息权是否具有独立性法律地位问题。此外，在法概念体系层面也存在权利说和非权利说之争，权利说属主流学说。权利说又分为独立性权利说和非独立权利说两种不同立场。独立性权利说认为，个人信息权属于一项独立的权利且在民法中已经予以确立，在刑法上也应起到法益解释层面的指导作用。非独立权利说则认为个人信息权只是隶属于其他权利的内容，其本身并不属于或者不应当属于一项独立的权利。若将个人信息权与其他权利予以明确划分，首先应当对其作为一项独立性权利的合理性予以充分论证。如果一项权利能够与其他权利进行明确划分，其自身也就具备独立性法律地位之基础。客观而言，“通过权利方式保护个人信息是一种世界趋势。”^[11]数据经济形态中个人信息被赋予传统工具意义之外的角色，否定个人信息权作为一项独立性权利是不合时宜的，其存在未认清数据经济时代个人信息权利保护与合理利用的重要性。反之，将个人信息权作为一项独立的、新型权利形态则更加科学、合理。原则承载价值，法律规制行为。个人信息处理法律规制具有对个人信息处理^①行为较强的限制性，若法律规定不明确，极易被信息处理者不当利用，进而侵害权利主体个人信息权。

“一项新兴(新型)权利要得到证成首先要符合权利的概念标准，即被保护的合理性。”^[12]个人信息权作为一项权利应当具有相应的法理依据，进而证成从应然权利到法律实然权利。有观点认为，要全面正确地理解权利的概念和内涵，关键是精准把握权利要素而非权利的定义。“权利的要素主要包括五个方面，即利益（interest）、主张（claim）、资格（entitlement）、力量（包括权威power和能力capacity）以及自由（free），其中任何一个都可以用来阐释权利概念，表示权利的某种本质^[13]。按照这一权利检验标准，个人信息权已具备作为一项独立性权利基本标准。此外，个人信息权既具有传统权利的发展过程，也具有作为新型权利的数据资源性特征。一方面，个人信息权存在从权利需求到权利发现再到实然或者法律化的过程。随着社会信息化发展，推动诸多新兴权利发轫于这种时代变革之中。另一方面，个人信息在网络环境中体现为一种数据，而数据承载的价值又体现为一定人身性、社会性和财产性等特征。事实上，尽管个人信息权尚未在民事基本法上给予明确的独立确权，也未明确个人信息权称谓。但随着中国首部《民法典》的颁布实施，现有的一些民事立法已然体现了这种实然意义上的个人信息权保护，如《个人信息保护法（草案）》一审稿中更是明确提出了个人信息权这一新型权利形态和概念。据此可以证立个人信息权作为一项独立性权利的存在，其在权利特征和权利要素方面也完全符合独立性权利的构成要素。

个人信息基本特征体现在其能够独立或与其他信息结合识别特定自然人身份。就权利属性而言，个人信息权的人格权属性侧重隐私性权利保护与消极防御；而财产权属性侧重于权利的自主性利用，强调权利的积极行使和他人使用的许可性（即知情同意）。但个人信息权既不同于纯粹的人格权，亦区别于新型财产权，而是介于二者之间以个人信息为客体的一项新型权利形态。个人信息权涵盖数据的占有权和处理权，由此衍生的新型财产性利益亦属其个人信息自决权的基本范畴。在权利类型上无论将其定性为人格权或者财产性权利，皆应建立在个人信息权——这一新型实体民事权利之上。当前，学界已就个人信息权作为一项实体民事权利基本达成共识，2020年5月28日颁布的《中华人民共和国民法典》从总则到分编也为其提供了实体法依据。除此，甚至有学者将其视为智慧社会背景下“第四代人权”的重要内容^[14]，强化其实体权利属性。中国个人信息保护法应确认权利主体在公法上的个人信息个人控制权，“不能也不应该回避基本权利话语。”^[1]3无论给予其何等法律地位，从权利本体论角度把握，赋予权利主体个人信息自决权^②学界是认可和支持的。“侵犯公民个人信息罪的保护法益是个人法益，但不是隐私权层面的法益，而是作为新型权利的个人信息权。”^[15]就权利控制论而言，此即为权利控制语义下权利主体中心主义的典型存在。法教义学以法律规范为基础，基于刑民一体化的思维，从《民法典》《网络安全法》到《个人信息保护法(草案)》等法规范的制定和完善，从刑法外部相关法律规范中寻找个人信息保护的权利类型，并结合刑法关于侵犯公民个人信息罪构成要件之规定，如此才能准确把握该罪的法益归属。在此基础上，明确侵犯公民个人信息罪保护法益为个人信息权。个人信息权法益的实践有赖于权利主体自主、有效的权利控制，以及在理性协调权利保护与公共需求冲突之后，依法行使信息流动的自主决定权。由此，明确个人信息权独立性法律地位，理性论证个人信息权法益及其法益自决性立场，科学发挥个人信息保护和利用作为个人信息权一体两面的权利特征及其实践价值是数据经济形态中个人信息权实现的基本要求。“凡是关系到别人权利的行为，而其准则与公共性不能一致的都是不正义的。”^[16]因此，权利主体对其个人法律权力的行使是单向的，不受个人信息公共属性的制约。

法律不是万能的，其自身不会洞察社会变革。针对个人信息权问题，也有学者认为这项权利并非物权等可以积极利用的绝对权，只有在权利被侵害且导致其他民事权利被侵害时才能得到法律救济^[17]。因此，明确个人信息处理的正当化依据与行为准则是实现个人信息权的基本要求，也是期待违法阻却机制有效实施的前提要件。“从法治的命题中可以合乎逻辑地引申出刑事法治命题和概念。”^[18]就法教义学而言，刑事法治是法教义学在刑事实践领域中的体现，也是刑法教义学的基本视阈和价值立场。个人信息权的刑事司法实践，理应建立在个人信息刑事法律规范基础上进行教义学展开。从权利的实践属性分析，虽然个人信息权表现出来的更多是其私权属性，但随着数据经济时代个人信息权属性的日益多元化及其内涵外延的多变性，权利主体必须在自主行使个人信息权前提下依法维权，理性应对。

刑法对个人信息权的保护与完善主要体现在相关刑法规范的变迁和发展方面。随着《民法典》对个人信息保护给予一般和独立性规定，刑法对个人信息的保护范围随之扩大。立法的变迁无不体现出个人信息权保护的严峻性和重要性，以预防犯罪、保护人权为立法宗旨的刑法，理应以个人信息权为核心，由单纯隐私权转向个人信息权，形成既具有理论逻辑自洽性亦彰显实践功能自足性的刑法结构样态，“完成个人信息保护从安全本位向权利本位的优雅转身。”^[19]

一是优化刑法保护结构，赋予个人信息权独立性刑事法律地位。

从法哲学层面分析，权利理论的科学性指标有两个，一个是可解释性，另一个是可实践性。针对侵犯个人信息权行为，中国刑法和民法保护的权利客体（本质）是属于公民基础性权利范畴的一项新型民事实体权利。由此，相应立法设计应坚持个人信息权立场，确立权利主体对其个人信息自主决定论，补强利益关系中弱势一方。就刑法规定而言，“在犯罪圈外，形式合理性是实质合理性的制度保障；而在犯罪圈内，实质合理性则是形式合理性的实现手段。”^[20]142-145相对传统隐私权法益为核心的个人信息保护理念，通过科学阐释个人信息权的时代性和法理内涵，合理延伸公民个人信息权涵摄范围，进而平衡和融合个人信息人格权和财产权的双重属性。在明确个人信息权作为一项独立性权利法律地位基础上，现行刑法亟须摒弃传统隐私权法益保护结构，提高“侵犯公民个人信息罪”刑法位阶。通过赋予个人信息权独立性刑事法律地位，合理拓展个人信息权的刑法空间，为有效协调和平衡个人信息保护与利用奠定规范和实践依据。

二是秉持谦抑理念，完善“先民后刑”的个人信息法律保护机制。

基于个人信息权权利属性的多元化分歧，在法律依据和适用上亦体现出较大的差异性。中国个人信息保护之所以呈先刑后民的法律保护机制，缘于中国民法关于公民个人信息权保护的立法滞后所致，并非民法本身不作为。司法实践中，由于保护理念的滞后性，针对个人信息处理行为中国民法并未予以重点关注，使得公民在寻求个人信息权保护时过于依赖刑法，主要依据刑法规范进行维权诉讼。随着《民法典》颁布实施，无论立法规定还是立法理念皆体现了对个人信息权保护的重视。法律作为国家治理社会的重要工具，各部门法之间是一个位阶高低、内容相异、处罚手段不同且衔接良好的有机体。基于刑民一体化的思维，结合《民法》《刑法》等有关法律规定，从建构和完善个人信息保护法律体系角度而言，立足发展的立场，中国个人信息保护法律体系的结构应当是开放性的。在中国《个人信息保护法》尚未颁行之前，《民法典》与《刑法》《网络安全法》等合力构筑了中国个人信息权保护的主要法律依据。在公民权利保护的法律预设中，民法无疑是保障公民主体地位的基本手段和基础规范，能够为个人信息权实现提供民事法律体系支撑。鉴于个人信息权的民事权利之特性，在民法已有明确规定的情况下，刑法应秉持谦抑性理念，尊重前置法相关规定，对侵犯个人信息权行为的法律规制首先应选择以《民法典》为主的民事法律规范予以调整和规制。只有在超出民事法律规范调整范畴时，方可出民入刑寻求刑法保护，即采“先民而后刑”的个人信息法律保护机制。在人类社会发展的历史规律中，科学技术的更新迭代，皆有伴随着社会结构重组以及相关法律规则的进步与完善，二者共生共长，共同推动人类社会的文明与进步。在全面依法治国，推进国家治理体系与治理能力现代化进程中，个人信息权利主体究竟是享受着大数据带的信息化阳光，还是迷失在浩瀚的数据海洋之中，完全取决于数据规则尤其是法律规则对个人信息的保护及其合理利用的理性规制。

三是优化罪刑体系，增强“侵犯公民个人信息罪”解释力。

刑罚正义的首要原则体现于在罪行与刑罚之间建立一种等量关系，而刑法的基本立场就是运用等量的规则或尺度，使得行与罪、罪与刑在相当的程度保持对等和平衡。但这种对等与平衡并不等于相同，如司法实践中常常发生“犯罪的认定可能因裁判理念差异、辩护技巧以及社会舆论因素等而有所不同。”^[21]随着时代发展和司法实践的客观需要，侵犯公民个人信息罪的司法内涵逐渐由单纯保护公民身份数据信息，发展至规制侵犯公民各项人身、社会活动以及其他直接或间接财产性信息的行为。就犯罪类型而言，侵犯公民个人信息罪属典型的情节犯。针对本罪定罪量刑的主要依据为最高人民法院、最高人民检察院于2017年5月颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（简称《解释》）的相关规定，即通过界定侵犯公民个人信息类型和数量、违法所得数额、信息用途、主体身份、前科情况、严重后果六项因素进行定罪量刑。其中多数案件是依据侵犯公民个人信息类型和数量这一情节因素予以定罪和量刑。为准确把握该罪名在《解释》颁布前后司法实践中实际适用情况，笔者借助中国裁判文书网对侵犯公民个人信息相关刑事案例的裁判文书进行定量实证分析。由于《刑法修正案（九）》将侵犯公民个人信息相关罪名进行了整合，笔者分别以侵犯公民个人信息罪与非法获取个人信息罪和出售、非法提供公民个人信息罪两组罪名对相关裁判文书下载分析。不预设时间、区域、审判级别，同时筛除指定管辖、减刑假释类相关裁判文书，无差别、随机各下载400篇，合计800篇相关裁判文书样本进行考察分析。非法获取公民个人信息罪与出售、非法提供公民个人信息罪400篇，其中涉案个人信息一千条以下14篇，占比3.5%；一千条到一万条16篇，占比4%；一万条到五万条74篇，占比18.5%；五万条到一百万条86篇，占比21.5%；一百万条到一千万条170篇，占比42.5%；一千万条以上40篇，占比10%。侵犯公民个人信息罪400篇，其中涉案个人信息一千条以下8篇，占比2%；一千条到一万条22篇，占比5.5%；一万条到五万条60篇，占比15%；五万条到一百万条100篇，占比25%；一百万条到一千万条158篇，占比39.5%；一千万条以上52篇，占比13%。由此可以看出，侵犯个人信息数量一万条至一千万条的案件比重最大，两组数据值分别占比82.5%和79.5%。考察《解释》第五条第一款第（三）（四）（五）项规定的“情节严重”之情形，分析可知，立法机关将个人信息内容进行了类型化界定，如将第（三）项个人信息内容界定为个人敏感信息，将第（四）项个人信息内容界定为一般个人信息，除此之外的信息类型划为其他个人信息范畴^③。据此，这种将个人信息从内容、类型到量的规定对侵犯公民个人信息犯罪定罪量刑的影响是客观的，发挥的作用也是直接的。

数据经济形态中的个人信息权法益蕴含着个人信息保护和利用的双重价值，从隐私权到个人信息权，体现了利益衡量的理论与制度发展，其权利范畴和规范客体亦由单纯的个人隐私性权利，演变为人格权和财产权双重客体。据此，侵犯个人信息权之行为其实质属性系属侵害个人法益的自然犯，而非侵害超个人法益的法定犯。“寻求社会保护与自由保障的平衡是刑法解释学永恒的追求，伴随信息化发展以及犯罪业态的迭代升级，刑法解释在网络时代遇到新的挑战。”^[22]中国刑法关于公民个人信息权保护的客体已然跨越由单一客体向多元客体转变的历史阶段，体现了刑法作为二次保障法的历史进步性。随着这一历史性转变的完成，司法实践亦为刑法发展指明了发展方向：其一，民刑兼容，明确个人信息权在民刑实体法中基础性权利位阶，由单一客体保护转向多元客体的规范和保护。不仅包括典型的、传统意义上的个人身份性数据和信息，亦包含信息化生活中通过大数据技术或平台挖掘、提取和收集的权利主体的各项身份性信息和生物数据，如身体方面的指纹信息、面部数据、社会交往中的通讯数据、经济交往中的财产性数据等；其二，明确个人信息权法益自决性立场，由安全本位向权利本位转变；从侧重传统、典型侵犯个人身份信息安全犯罪的预防，转向侵犯个人信息自主权犯罪的预防和惩治。以侵犯个人信息权财产性权益为例，个人信息处理者通过不当挖掘、读取和采集身份性信息，进而侵犯由身份信息附带和衍生的各类新型财产性利益、数据性利益。其三，从刑法目的论角度分析，通过打击侵犯公民个人信息权犯罪行为, 预防二次财产性犯罪，追求阻止预备行为实行化的法律效果，避免重复性评价。由此，立足实质犯罪论解释立场，以刑法第253条之一——侵犯公民个人信息罪这一刑法规范为逻辑起点，借助刑法教义学方法论，实现侵犯公民个人信息罪的法教义学解释及其民刑体系化建构。

德国古典哲学康德以二律背反提出形而上学难题，实际上提出了一个存在论的难题，其根源在于世界存在论上的不一致性。纯粹理性二律背反的发现不仅找到了形而上学陷入困境的根源，而且找到解决问题的基本途径，即实践。实践可以使主观见之于客观，论证相对性与绝对性的统一^[23]。在个人信息保护方面，个人信息权的语境实质是权利保护与个人信息利用二律背反的逻辑协调问题，也是权利处分自由以及要求他人（包括国家）给予法益尊重的法律问题，这本身就是一个实践性命题。同意原则是个人信息保护的首要基本原则，是权利主体自由意志的体现，也是权利主体实现信息处分自由的基本前提。“民法上的意思自治原则贯彻到信息处理和使用领域，必然要遵循知情同意原则。”^[24]针对个人信息保护与信息利用二律背反的实践困境，应结合个人信息处理在全产业链条不同环节、不同处理目的、不同数据类型、不同处理方式以及不同主体等给予场景化、差异化的“同意”预设。司法实践中，通过阐释个人信息权的法理属性，将“同意”形态进行场景化界定并不存在方法论上的困难。

“个人信息与普通数据最大的区别即在于其‘可识别性’记载和处理。”^[25]由于语境差异，相对欧盟、美国等发达国家中国公民个人信息权意识尚显淡薄。通常情况下，只有在数据处理行为直接涉及个人隐私、名誉或财产性利益等情形时才会引起权利主体的高度重视。由此即给予人们一种假象：只要不直接涉及个人隐私、名誉或财产性利益等，即便未经权利主体同意亦可进行个人信息处理。但在“大数据时代，碎片化的数据经过结构化处理即可形成完整的‘人格拼图’，使人们无所遁形。”^[26]这一点在数据性经济活动或商业活动中表现得尤为明显。除此，许多公权主体认为只要是履行职责所需，即可进行个人信息处理，无须经过权利主体同意。纵观中国相关法律规定，除《网络安全法》第41、第42条明确规定个人信息处理需经权利主体同意外，作为保障个人信息权的主要法律依据《民法典》和《个人信息保护法（草案）》亦明确个人信息处理须经权利主体同意，进一步充实了司法实践中针对非网络场景中非法处理个人信息行为“知情同意”原则的法律依据。

信息处理有法度, 即个人信息处理应以恪守法律规范为前提。但“法律的滞后性常常使实践走在理论前面，实践对前沿问题给出的判断经常在理论界引起争议。”^[27]如“随着网络爬虫技术在个人信息处理过程中广泛应用，其技术中立性立场逐渐衍变为‘道德上可疑的并被视为违法’的技术。”^[28]对正在制定的《个人信息保护法》是否应明确“知情同意”作为个人信息处理的合法性前提，学界颇有争议：其一，无正当依据。个人信息虽然与个人相关，却并非专属个人所有，其他人在个人信息上也有利益点，是否进行个人信息处理不应由权利主体个人决定。以个人征信系统为例，个人信用报告制度之所以能够发挥作用就是因为不需要经过权利主体同意，信用报告机构即可取得其敏感性数据。如果要求以同意为前提，由权利主体自行决定是否同意，必然导致整个信用报告系统崩溃。其二，缺乏实践性。由于个人信息的隐蔽性和分散性，除非严重危及个人隐私安全、荣誉或财产性利益等，权利主体未必有兴趣和精力对外界处理其个人信息进行制止和干预。信息化背景下，在现代信息化、智能化生活中时时需要个人信息进行商业或公共活动，严格和繁琐的“同意”履行程序必然影响个人信息化生活的便捷性，缺乏实际操作价值。其三，阻碍信息化发展。大数据时代，数据流动即创造价值，严格的个人信息处理规范，必然影响个人信息资源的充分与高效化利用，迟滞社会信息化发展。其四，信息处理成本提高。严格的“同意”规定在客观上造成程序繁琐、时间延迟以及数据流动成本的大幅增加。如为取得权利主体的知情同意，须先与其取得联系，同时需要制作、印刷和传达个人信息处理通知等信息材料。如此必然带来人力、物力和时间成本的规模化投入，而这些投入也必将反映在个人信息产品和服务的价格上，最终由包括权利主体在内的消费者承担。除此，产品成本的增加也会反映在个人信息处理者尤其是商业主体之间竞争格局的变化或失衡方面。

数据共享是数据利用、流通和产业发展的基础，但“个人信息共享应当获得信息权利人的授权。”^[29]否认个人信息权作为一项基础性权利的法律地位，忽视权利主体对其个人信息处理“知情同意”的必要性与合理性，仅在权利被侵害或导致其他民事权利受到客观侵害时才予以救济，本质上是否定个人信息权的实体权性质，不符合信息化可持续发展要求，也有悖现代法治社会发展趋势。以利用虚假广告非法获取公民个人信息为例，通过判例可知，此类行为利用虚假广告，非法获取公民个人信息的行为显然违反了权利主体对真实情况知情之前提，缺乏知情同意之合法性基础^④。根据国家互联网信息办公室、工业和信息化部、公安部以及国家市场监督管理总局2019年11月28日联合印发的《App违法违规收集使用个人信息行为认定方法》，明确规定九类可被认定为未经同意收集使用个人信息之行为^⑤。正确认识“知情同意”作为个人信息处理的合法性依据乃法理所求、实践所需。

合理即要求合乎自然逻辑和原理，而合法自然要求合乎法理与规范。个人信息处理是否必须经过权利主体明确同意，国际方面尚没有哪个国家制定非此即彼的规定，而是依据处理数据的类型、处理目的等区别对待。GDPR虽将“知情同意”视为个人信息处理的基本条件，但其中亦规定了诸多例外情形，如通过制定但书、克减条款等对例外情形作出补充^⑥，对权利作出适当限制，对义务和责任给予适当豁免。由此在很大程度上缓和了这一规范的严厉性。

在正确认识“知情同意”作为个人信息处理合法性依据的基础上，为促进信息化发展，根据个人信息处理场景的差异，可将同意的形态分为绝对同意与相对同意。绝对同意即原则上要求一切个人或组织在处理个人信息之前须征得权利主体知情同意，否则权利主体有权反对和采取必要措施对抗未经同意的信息处理行为。同时，不反对即视为同意，即相对同意。但涉及个人生物性数据、儿童个人信息等敏感性数据类型的处理，排斥相对同意形态，针对此类信息的处理仍须坚持绝对同意为前提。由此，“绝对同意”赋予权利主体的权利结构更加充分和完整。现实生活中，以上两种情形下的同意权即便存在差别，却并不显著。差别仅仅体现在实践中权利主体如何行使或把握个人信息权的问题，即权利主体个人信息权的单方行使方面。

作为个人信息自决权依据的“同意”，可等同于刑法教义学上的“被害人承诺”，其在实质犯罪论语境下具有阻却行为违法性进而阻却构成要件该当性之功能^[30]。在实质犯罪论体系中“承诺行为”因不具违法性而应排除其构成要件符合性特征。但“个人信息权作为一项民事权利，基于公共利益、他人权利保护等应受到适当限制，这一限制实际上也划定了个人信息权的权利边界。”^[31]具体而言，在“相对同意”形态之下，除非权利主体明确表示反对，否则对个人信息处理不加干预。只要处理目的合法且通过合法途径、采用合法方式处理个人信息，只需权利主体“相对同意”即可。理论的冲突与张力可以通过实践和验证方法进行缓和、协调并给予科学化定论。对何种场景下法律须明确规定“绝对同意”或“相对同意”，可通过对以上两种同意形态的概率性分析进行把握。实践中，针对某类个人信息处理行为一般人通常不会提出异议，如侦查机关为破案需要而对犯罪嫌疑人进行人格画像，对此类处理行为即无须以“同意”为前提。反之，若涉及个人信息处理的行为一般人通常情况下皆可能表示反对，此时即符合“绝对同意”之构成要件。典型案例如在邓某某等侵犯公民个人信息案中，被告被指控向他人非法出售公民个人信息，被告辩护称出卖的是淘宝店铺并非公民个人信息且未对注册人造成实际损害。但审判人员认为侵犯公民个人信息罪保护法益不仅包括人身民主权利，还包括社会管理秩序。即便获取个人信息行为得到权利主体同意且已支付相应对价，其仍侵犯了该罪客体，遂判处被告侵犯公民个人信息罪^⑦。本案中，对淘宝店铺的打包出售对象显然包括该店铺所有注册人信息，被害人在该店铺注册账号之时既已被告知注册风险，仍选择同意注册。此类情形下被害人同意即可视为“相对同意”，“相对同意”阻却此类出售行为之不法性。据此，“相对同意”的实践价值体现在：场景化的告知要求、便捷化的异议表达渠道、低成本的通知方式以及对社会信息化发展的促进等。

针对政府机关、司法部门等公权主体的个人信息处理行为，可遵循“相对同意”为主，“绝对同意”为补充的同意机制。通过畅通新闻媒介、行政、司法等监督渠道，推动个人信息处理者及时履行告知义务，确保权利主体作出同意形态的选择前的知情权。如此把握首先考虑的是公权主体履行工作职责所需。在避免损害权利主体个人利益前提下，为维护公共利益、保障公民生命财产安全以及为正常履职所必需等进行的个人信息处理行为皆可视为“相对同意”形态下信息处理行为。如为维护权利主体重大利益，订立或履行以权利主体为乙方当事人的个人信息处理或服务合同，因为合同行为本身即包含权利主体知情同意的意思表示，由此奠定了阻却个人信息处理行为的违法性基础。

通常情况下，个人信息处理行为须以权利主体“同意”的意思表示为前提，即以权利主体真实“同意”为其合法性基础。同时，“同意”的意思表示行为应建立在“知情”的基础之上，即在权利主体收到个人信息处理通知后，经过理性判断，自由作出的表明同意处理其个人信息的意思表示。严格而言，这种“真实同意”的意思表示必须同时满足条件：（1）同意是权利主体在充分知情的基础上作出的；（2）同意是清楚、明确的，而不是模糊的意思表示行为；（3）同意必须是权利主体经过理性判断后，根据其真实意愿自由作出的。

“意志自由是责任的基础，虽然自由意志难以得到科学证明，但自由意志是值得向往和保护的。”^[32]因此，同意的正当性建立在权利主体的自由意志基础之上。如果属于敏感、特殊类型的个人信息，则同意过程中必须明确提及或强调这些信息。特定情形下，对“知情同意”合法性依据的成立还有更为严格的要求。如在互联网虚拟化场景中处理未成年人信息或个人敏感性信息，若权利主体作出同意意思表示时并未充分知情，或未完全理解同意后果的风险性，此时对“同意”应做严格的法律解释。此外，在劳动合同中，劳动者的“同意”经常身不由己，此类情形也需要明确严格的法律解释立场。

关于同意嫌疵问题，常见情形如合同缔结过程中当事人通过各种“霸王条款”“格式条款”取得相对方所谓的“知情同意”。在互联网生活中通过类似格式条款以及故意隐匿信息等方式使权利主体“被同意”的情形更为常见。如在使用社交、美食、娱乐软件过程中，在填写个人信息后，弹出包含其隐私政策以及是否同意的“请求”，授权即可继续操作使用，不给权限则难以进行下一步操作。根据艾媒咨询发布的《2018年中国手机隐私权限测评报告》显示，54.3%的受访网民知道APP泄露隐私信息，但没有办法，只能继续使用。现实生活中，在个人信息受侵犯的问题上广大网民并不具有实质选择权。因为疑似越界调取用户权限的部分APP在行业内具有领先优势，强制使用推送功能、不给权限不让用、超范围索取权限，网民“同意”的意思表达通常也是被强迫之行为。中国《民法典》《消费者权益保护法》等法律规范对此类“格式条款”“霸王条款”皆规定了明确的禁止性条款。对滥用市场支配地位、无正当理由拒绝与相对人继续交易的行为，中国《反垄断法》对此也规定了相关责任追究机制。除此，《个人信息保护法（草案）》以及2018年5月实施的《信息安全技术个人信息安全规范》更是规定了明示同意（explicit consent）原则^⑧。但这些禁止性规范的贯彻执行，需要司法机关尤其是法院在审判实践中转变对侵犯公民个人信息权的认识之后方能予以贯彻落实。如在张某与北京某商业服务有限公司等侵权责任纠纷一案中，审判人员认为“使用免费高速充电服务，即视为同意安装APP”的内容提示之行为已履行告知义务，对可能存在的个人信息泄露风险因证据不足予以否认^⑨。据此可以推断审判人员对涉嫌新型侵犯个人信息权之类的“格式条款”“霸王条款”缺乏深层了解，对个人信息处理中权利主体真实同意缺乏科学认识。对以上同意嫌疵问题，司法机关理应依法予以纠正。

客观而言，以上一般性规范只有在满足一定构成要件时才能发挥其法律效力。在《个人信息保护法》立法过程中，强调权利主体同意的真实性是保障个人信息处理合法性的基本要求。除GDPR之外，中国香港地区《个人资料（隐私）条例》也明确规定除非获得权利主体明示同意，否则个人信息只可用于在收集资料时所声明的用途或与其直接有关的用途。但在司法实践中，“为避免法益概念的抽象化并充分发挥其限制处罚之机能，在确定个人信息权法益前提下应将之具体化。”^[33]参考域外立法例，为确保权利主体知情同意的实效性，保障个人信息处理合法进行，可予以必要限制：首先，明确告知权利主体个人信息处理目的、方式、途径等，以实现知情前提下的同意；其次，涉及个人敏感性数据，应及时、准确告知涉及信息的类型和目录；合同文本中不得以“小字体”，或网络和商业活动中不得以“点击同意”或类似方式取得权利主体之“同意”；最后，禁止滥用市场支配地位，以作为提供服务的前置性条件等方式取得权利主体的同意授权。

数据的信息化向来与信息权或数据权相伴而生，任何一项信息的权利属性，都是个人信息权的权利回归。本质而言，无论对个人信息的保护亦或利用在法律上均属于公民个人信息权的法益实践问题。个人信息权的法益实践不应局限于私权理念下的侵权责任赔偿问题，而应在科学阐释个人信息权作为一项新型权利形态以及独立性法律地位的基础上，明确个人信息权法益属性及其法益自决性立场。针对个人信息权一体两面的权利特征及其客观存在二律背反逻辑难题，应秉持个人信息处理在全产业链不同环节、不同处理目的、不同数据类型、不同处理方式以及不同主体等场景化、差异性的同意形态。由此，正确认识知情同意作为个人信息处理合法性的核心依据，明确相对同意这一权利主体同意的基本形态，强调真实同意作为权利主体同意的真实意思表达。作为信息化基础构成的个人信息日益成为新型违法和数据犯罪的重灾区，刑法作为人类治理社会、实现公平正义与善德之工具尚未在形式与实质上对其实现理性驾驭，需要在理性论证个人信息权保护的生成环境、结构框架以及实践效果基础上，推动刑法随着新型犯罪形态衍生与时俱进并适时作出回应。