引言

在数字经济深度发展的今天，个人信息的价值被不断挖掘，其收集、处理、传输的场景日益复杂，由此引发的个人信息权益侵害问题也愈发突出。《中华人民共和国个人信息保护法》（以下简称《个保法》）以“告知—同意”为核心构建了个人信息处理的行为规范体系，其中单独同意作为一项特殊的同意形式，被明确适用于敏感个人信息处理、向第三方提供、公开及跨境传输等高风险场景，成为强化个人信息控制权、防范处理者滥用权利的关键制度设计。相较于一般同意形式，单独同意对处理者的程序要求更为严格，其核心目的在于通过提升处理者的程序成本，倒逼其履行审慎注意义务，确保个人在充分知情的基础上作出自主选择。但在司法实践与企业合规过程中，单独同意的适用却陷入了诸多困境：认定标准的模糊导致裁判尺度不一，形式化的同意流程使得伪单独同意现象频发，而长期的同意弹窗也引发了个人的同意疲劳，最终导致单独同意制度的保护功能失灵。这些问题不仅损害了个人信息主体的合法权益，也制约了数据要素的有序流转，不利于数字经济的健康发展。当前学界对单独同意的研究多集中于适用困境的梳理与完善路径的提出，但对其规范构造的核心内涵解读不够深入，未能清晰界定单独同意的制度价值与适用边界，也忽视了风险等级与同意强度的适配性问题。基于此，本文从规范分析视角出发，剖析单独同意的核心内涵与制度价值，梳理其适用困境，探索层级化的适用路径，明确其与其他同意形式的边界，同时引入自动化决策拒绝权作为补充，以期实现个人信息权益保护与数据流转效率的平衡，为单独同意规则的落地执行提供理论支撑与实践指引。

一、个人信息处理中单独同意的规范构造与制度价值

（一）规范构造的核心内涵

单独同意作为《个保法》确立的特殊同意形式，其规范构造并非简单的形式增强，而是由形式要件与实质要件共同构成的有机整体，二者相辅相成，缺一不可。从形式要件来看，单独同意的核心要求是单独作出、明确表达、可追溯，即处理者需针对特定的高风险信息处理事项，单独向个人征求同意，不得与其他事项捆绑，同意的意思表示需清晰明确，同时需留存完整的同意记录，便于后续核查与维权。这一形式要求区别于概括同意的整体性与明示同意的单一明确性，凸显了单独同意的针对性与严肃性。从实质要件来看，单独同意的核心是充分知情、自主选择、意思真实。充分知情要求处理者需以清晰、易懂的方式，全面告知个人信息处理的目的、范围、用途、风险及撤回方式，不得隐瞒关键信息或采用模糊表述；自主选择要求处理者不得将单独同意与核心服务捆绑，需提供合理的替代方案，保障个人的选择权，不得变相强制同意；意思真实则要求同意的作出排除欺诈、胁迫、重大误解等情形，杜绝默认勾选、强制同意等伪单独同意现象。实质要件的设置，本质上是对民商法意思表示理论的遵循，确保单独同意能够真正体现个人的真实意愿。需要明确的是，单独同意的规范构造具有明显的场景化特征，其要件要求需结合具体的处理场景进行动态调整。例如，在敏感个人信息处理场景中，实质要件的要求更为严格，处理者需详细告知信息处理的风险，提供更便捷的撤回方式；而在跨境传输场景中，形式要件的要求更为突出，需留存书面或电子形式的同意记录，确保同意的可追溯性。这种场景化的规范构造，既符合《个保法》分类分级保护的基本原则，也能够更好地适应不同高风险场景的保护需求。

（二）核心制度价值

单独同意的制度价值，本质上是通过程序正义实现实体正义，在个人信息主体与处理者之间构建权利平衡机制。具体而言，其制度价值主要体现在三个方面：其一，强化个人信息控制权，弥补一般同意形式的不足。在高风险信息处理场景中，个人信息的泄露或滥用可能对个人的人身、财产安全造成严重损害，单独同意通过提高同意的门槛，确保个人能够清晰认知信息处理的风险，自主决定是否同意，从而强化个人对自身信息的控制权。正如王利明教授所指出的，单独同意的设立，是我国个人信息保护制度走向精细化的重要标志，其核心价值在于强化个人的信息自主决定权。其二，倒逼处理者履行审慎注意义务，规范信息处理行为。单独同意要求处理者单独征求同意、充分履行告知义务、留存同意记录，这无疑增加了处理者的程序成本。这种程序成本的增加，能够倒逼处理者审慎对待高风险信息处理行为，梳理自身的信息处理流程，规范信息收集、使用、传输等环节的行为，减少违规处理行为的发生。杨立新教授在研究中指出，单独同意的构成要件设计，本质上是通过设定严格的程序要求，督促处理者履行自身义务，保障个人信息的安全。其三，平衡个人信息权益保护与数据要素流转效率。单独同意并非一味强化个人信息保护，而是通过精准界定高风险场景的适用范围，避免过度规制对数据流转造成阻碍。在非高风险场景中，处理者可适用一般同意形式，降低合规成本，促进数据要素的合理流转；而在高风险场景中，通过单独同意强化保护，避免个人信息权益受到侵害。这种差异化的规制方式，既符合《个保法》权益保护与产业发展并重的基本原则，也能够实现个人权益与社会利益的平衡。

二、个人信息处理中单独同意的适用困境

尽管单独同意具有重要的制度价值，但在实践适用过程中，受立法不完善、企业合规意识薄弱、司法认定标准不统一等多重因素影响，其陷入了诸多困境，导致制度功能难以充分发挥，甚至出现制度失灵的现象。

（一）认定标准模糊，裁判尺度不一

《个保法》仅明确了单独同意的适用场景，对其认定标准未作出具体规定，导致司法实践中裁判尺度不一，同案不同判现象频发。一方面，对于实质要件的认定存在争议，部分裁判者侧重形式审查，认为只要处理者单独征求了同意，即构成有效的单独同意，忽视了充分知情、自主选择的实质要求；另一部分裁判者则强化实质审查，要求处理者必须充分履行告知义务，保障个人的自主选择权，否则即便形式上单独征求了同意，也不认定为有效单独同意。另一方面，对于单独作出的认定标准存在模糊之处，实践中难以区分单独同意与分项同意。部分处理者将多个高风险处理事项拆分，分别征求同意，主张其构成单独同意；而部分裁判者则认为，单独同意需针对单一事项单独征求同意，多个事项的分项同意不符合单独作出的要求。这种认定标准的模糊，不仅导致司法裁判的混乱，也使得企业在合规过程中难以把握具体要求，要么过度合规增加经营成本，要么违规操作面临法律风险。

（二）形式化严重，伪单独同意现象频发

实践中，部分企业为降低合规成本，刻意规避单独同意的实质要求，设计形式化的同意流程，形成伪单独同意现象。常见的表现形式主要有三种：一是默认勾选同意，处理者在弹窗中设置默认勾选框，个人若不主动取消勾选，即视为同意，这种方式看似单独征求同意，实则剥夺了个人的自主选择权；二是捆绑同意，处理者将单独同意与核心服务捆绑，要求个人必须同意高风险信息处理事项，否则无法使用核心服务，变相强制个人同意；三是模糊告知，处理者在征求单独同意时，采用晦涩、模糊的语言，隐瞒信息处理的风险、范围等关键信息，导致个人在未充分知情的情况下作出同意。

伪单独同意现象的存在，使得单独同意沦为处理者规避法律义务的工具，违背了其强化个人信息控制权的制度初衷。而个人在维权过程中，往往难以举证证明同意的非自愿性与告知的不充分性，导致维权难度较大，单独同意的保护功能难以充分发挥。程啸教授在研究中指出，形式化的同意流程是当前单独同意规则适用中最突出的问题，严重影响了制度的落地效果。

（三）同意疲劳引发制度失灵

随着数字产品的普及，个人每天都会面临大量的同意弹窗，其中不乏单独同意的弹窗。长期以来，个人在面对繁琐的同意流程时，往往会产生同意疲劳，不再仔细阅读告知内容，而是习惯性地点击同意，导致单独同意的充分知情、自主选择要求难以实现，最终引发制度失灵。同意疲劳的产生，主要源于两个方面：一是处理者过度使用单独同意，将非高风险场景也纳入单独同意的适用范围，导致同意弹窗过多；二是同意流程繁琐，处理者在征求单独同意时，设置过多的步骤，或要求个人阅读冗长的告知内容，增加了个人的操作成本与时间成本。同意疲劳的存在，使得单独同意从强化个人控制权的机制，异化为形式化合规的工具，难以真正实现对个人信息权益的保护。当弹窗与告知被高频、同质化地重复时，信息主体的注意力会出现系统性衰减，导致充分知情在经验层面难以成立。此时，即便处理者满足了形式上的单独同意，也可能出现一种结构性悖论：越是强调程序，越可能消解程序的意义。因此，同意疲劳可被视为单独同意制度的内生风险，其本质是告知—同意机制在规模化场景下的边际效用递减。当处理者持续以弹窗堆叠方式履行告知义务时，信息主体的真实理解概率下降，处理者对用户是否真正理解的可归责性反而上升。换言之，处理者不能以我已经弹窗来当然推定用户理解，而应当通过信息压缩、关键提示、风险分级展示等方式，承担一种与风险相匹配的可理解性保障义务。这也与单独同意通过提高程序成本倒逼审慎注意义务的逻辑相衔接：程序成本不应体现在多弹窗，而应体现在把关键风险讲清楚、把选择权做真实。

（四）与其他同意形式边界混淆

实践中，单独同意与概括同意、明示同意、明确同意的边界认定存在混乱，进一步加剧了适用困境。部分处理者将概括同意等同于单独同意，通过隐私政策中的概括性条款，涵盖敏感个人信息处理、向第三方提供等需单独同意的场景，变相扩大自身权利；部分裁判者将单独同意等同于明示同意，认为只要个人明确作出同意，无论是否单独作出，均构成单独同意，忽视了单独作出的核心要求。

此外，单独同意与分项同意的边界也存在模糊之处，二者均要求针对特定事项作出同意，但单独同意强调单一事项、单独征求，而分项同意可针对多个事项分别征求同意，实践中往往难以准确区分二者的适用场景。这种边界的混淆，不仅导致企业合规的混乱，也使得司法裁判缺乏统一的标准，不利于单独同意规则的有效适用。

三、个人信息处理中单独同意的适用边界与完善路径

破解单独同意的适用困境，关键在于明确其适用边界，构建科学合理的适用路径，强化实质审查，同时兼顾个人信息权益保护与数据要素流转效率。结合《个保法》的立法精神与司法实践经验，笔者认为可从以下四个方面完善。

（一）以风险等级为基准，构建层级化适用路径

单独同意的适用应坚持风险匹配原则，以信息处理场景的风险等级为基准，构建层级化的适用路径，避免过度适用或适用不足。具体而言，可将个人信息处理场景分为高风险、中风险、低风险三个等级，分别适用不同强度的单独同意要求：其一，高风险场景，包括敏感个人信息中的生物识别信息、医疗健康信息、金融账户信息处理，向第三方批量提供个人信息，个人信息跨境传输等。此类场景中，信息泄露或滥用可能对个人的人身、财产安全造成严重损害，应适用最严格的单独同意要求，明确规定处理者需单独书面征求同意，详细告知信息处理的风险、范围、用途及撤回方式，提供便捷的撤回渠道，同时留存同意记录不少于5年。例如，在人脸识别信息处理场景中，处理者需单独向个人发送征求同意的书面通知或弹窗，明确提示人脸识别的风险，提供密码、刷卡等替代方案，确保个人的自主选择权。其二，中风险场景，包括一般敏感个人信息处理、向单一第三方提供个人信息、个人信息公开等。此类场景的风险程度低于高风险场景，可适用中等强度的单独同意要求，处理者可通过电子弹窗、短信等方式单独征求同意，明确告知核心信息，留存电子同意记录。其三，低风险场景，包括非敏感个人信息处理、为履行合同所必需的信息处理等。此类场景无需适用单独同意，处理者可适用一般明示同意，简化同意流程，降低合规成本，促进数据要素流转。

这种层级化的适用路径，既能够精准匹配不同场景的风险等级，强化高风险场景的个人信息保护，也能够避免过度规制对数据流转造成阻碍，实现保护与效率的平衡。同时，建议通过司法解释或监管指南的形式，明确不同风险等级场景的具体范围与单独同意要求，为司法裁判与企业合规提供明确指引。

（二）明确边界区分，厘清单独同意与其他同意形式的关系

要解决单独同意的适用混乱问题，需清晰厘清其与概括同意、明示同意、分项同意的边界，明确各自的适用场景与要求。一是区分单独同意与概括同意。概括同意是个人对多个信息处理事项作出的整体性同意，通常体现为对隐私政策的整体同意，其核心是概括性、整体性；而单独同意是针对特定高风险事项的单独同意，核心是特定性、单独性。二者的核心区别在于适用范围与自主性，概括同意不得涵盖需单独同意的高风险场景，处理者不得以概括同意替代单独同意，否则视为未获得有效同意。例如，APP运营公司不得在隐私政策中约定用户同意隐私政策即视为同意向第三方提供个人信息，此类约定因以概括同意替代单独同意而无效。二是区分单独同意与明示同意。明示同意是指个人以明确的方式作出同意，核心要求是明确表达，无需单独针对特定事项作出；而单独同意不仅要求明示，还要求单独作出，适用强度高于明示同意。从适用场景来看，明示同意适用于一般个人信息处理，而单独同意适用于高风险场景。例如，处理一般个人信息时，个人点击同意按钮即可构成明示同意；而处理敏感个人信息时，需单独针对该事项征求同意，仅点击整体同意按钮不构成有效单独同意。三是区分单独同意与分项同意。单独同意针对单一高风险事项单独征求同意，而分项同意针对多个高风险事项分别征求同意。实践中，分项同意可视为多个单独同意的集合，只要每个事项的同意均满足单独同意的要件，即可认定为有效；但如果多个事项捆绑征求同意，即使采用分项勾选的方式，也不构成有效单独同意。

（三）强化实质审查，遏制伪单独同意现象

破解单独同意形式化问题，需强化对单独同意的实质审查，明确伪单独同意的识别标准与法律后果，倒逼处理者履行实质义务。

其一，明确伪单独同意的具体识别情形，将默认勾选、捆绑同意、模糊告知、隐瞒风险等行为明确界定为伪单独同意，视为未获得有效单独同意。例如，处理者将单独同意与核心服务捆绑，要求个人必须同意才能使用服务，无论形式上是否单独征求同意，均认定为无效。其二，完善举证责任分配，实行举证责任倒置。个人主张处理者未获得有效单独同意的，由处理者举证证明其已履行单独征求同意、充分告知等义务，若处理者无法举证，即视为未获得有效单独同意，需承担相应的侵权责任。这种举证责任分配方式，能够减轻个人的维权负担，倒逼处理者规范同意流程。其三，明确形式留存要求，规定处理者需留存单独同意的完整记录，包括同意的时间、方式、内容、个人的确认信息等，留存期限不得少于5年。监管部门与法院可通过核查同意记录，判断单独同意的有效性，及时发现并查处伪单独同意行为。

（四）引入自动化决策拒绝权，缓解同意疲劳

针对同意疲劳引发的制度失灵问题，可引入自动化决策的拒绝权作为补充，优化同意流程，减轻个人的操作负担。具体而言，对于采用自动化决策方式处理个人信息的高风险场景，处理者除需征求单独同意外，还应赋予个人拒绝自动化决策的权利，个人有权要求处理者采用人工决策方式处理其信息。同时，优化同意流程，简化告知内容，采用清晰、易懂的语言，突出核心信息，避免冗长、晦涩的表述；对于重复的单独同意，可设置一次性同意+定期复核机制，个人作出一次单独同意后，处理者在一定期限内（如1年）无需重复征求同意，但需定期向个人告知信息处理情况，个人有权随时撤回同意。此外，监管部门应加强对处理者同意流程的监管，禁止过度适用单独同意，对频繁发送同意弹窗、设置繁琐同意流程的处理者予以处罚。

单独同意作为《个保法》确立的重要制度，是强化个人信息控制权、规范高风险信息处理行为的关键抓手，其规范构造体现了程序正义与实体正义相结合的理念，核心价值在于平衡个人信息权益保护与数据要素流转效率。当前，单独同意在实践中面临认定标准模糊、形式化严重、同意疲劳、边界混淆等困境，其根源在于立法不完善、司法认定标准不统一、企业合规意识薄弱。

要破解这些困境，需以风险等级为基准，构建层级化的适用路径，实现同意强度与场景风险的精准匹配；明确单独同意与其他同意形式的边界，避免适用混乱；强化实质审查，遏制伪单独同意现象，保障个人的自主选择权；引入自动化决策拒绝权，优化同意流程，缓解同意疲劳。唯有如此，才能充分发挥单独同意的制度功能，实现个人信息主体人格权益保护与数字经济健康发展的双赢。

随着人工智能、大数据等技术的持续发展，个人信息处理的场景将不断丰富，单独同意规则也将面临新的挑战，如人工智能场景下单独同意的适用、跨境数据流动中单独同意的协调等问题。未来，需结合技术发展与实践需求，持续优化单独同意的规范构造与适用路径，完善相关配套制度，同时加强国际合作，借鉴全球个人信息保护的先进经验，推动单独同意规则不断完善，为个人信息权益保护提供更坚实的法律保障。

四、结语

在数字时代浪潮席卷全球、个人信息价值日益凸显的今天，单独同意作为我国《个保法》的本土化创新工具，其生命力在于平衡，承载着强化个人信息控制权、规范高风险信息处理行为的重要使命，是平衡个人信息主体人格权益与数据要素流转效率的关键法治纽带。我们既不能因保护之名将其泛化，导致互联网经济因摩擦力过大而停滞；也不能任由处理者将其空洞化。未来应通过配套的司法解释与国家标准，进一步具象化单独同意的行为要件，构建起兼顾个人人格尊严与数字产业发展的制度环境。

参考文献：

1. [1]邵山.个人信息保护法告知同意规则的实务疑难问题研究[J].人民司法,2024(13):38-45.
2. [2]王洪亮,李依怡.个人信息处理中“同意规则”的法教义学构造[J].江苏社会科学,2022(03):102-112+243.
3. [3]邬杨.个人信息保护法中同意规则的法律效果[J].警学研究,2022(02):5-21.
4. [4]程啸.论《民法典》与《个人信息保护法》的关系[J].法律科学(西北政法大学学报),2022,40(03):19-30.
5. [5]郭锋,陈龙业,贾玉慧.《个人信息保护法》具体适用中的若干问题探讨——基于《民法典》与《个人信息保护法》关联的视角[J].法律适用,2022(01):12-22.
6. [6]王利明.敏感个人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景[J].当代法学,2022,36(01):3-14.
7. [7]杨立新,赵鑫.利用个人信息自动化决策的知情同意规则及保障——以个性化广告为视角解读《个人信息保护法》第24条规定[J].法律适用,2021(10):22-37.
8. [8]程啸.论我国个人信息保护法中的个人信息处理规则[J].清华法学,2021,15(03):55-73.
9. [9]汪晓华.我国敏感个人信息处理规范的优化进路[J].黑龙江省政法管理干部学院学报,2024(06):59-63.
10. [10]单玉菲.敏感个人信息处理中的告知同意规则研究[D].江西师范大学,2024.
11. [11]宋辰琦.知情同意规则在网络个人信息处理中的适用困境及进路[J].中阿科技论坛(中英文),2024(09):158-162.
12. [12]高沅.个人信息保护知情同意规则的适用研究[D].扬州大学,2024.
13. [13]刘家薪.敏感个人信息处理中单独同意规则的民法研究[D].上海师范大学,2023.
14. [14]唐钱松.个人信息保护中“知情同意”规则研究[D].重庆工商大学,2023.