个人信息之上除个人信息主体利益外,还存在着信息处理者利益与社会公共利益。大规模的个人信息处理行为若一刀切地建立在事前获取个人信息主体同意的基础之上,不仅不现实且成本过高,不合理地阻碍了个人信息的合理利用。个人信息处理场景在大数据时代背景下不断增加,告知虚化、同意疲劳等种种问题开始浮现。科学技术在提供便捷生活的同时也增加了个人信息侵害风险,复杂的数据处理行为使得信息主体难以准确判断风险。鉴于前述理由,以告知同意原则为核心的个人信息传统保护路径难以有效协调信息保护与利用之间的利益冲突和切实维护个人信息安全,亟需引入新思想重构个人信息保护路径以回应现实需求。西米蒂斯在对欧洲108号公约实施状况的调查中提出场景规则,认为需以场景为导向考虑个人信息的敏感程度,该理论后被有关学者倡导。海伦·尼森鲍姆进一步提出场景完整性理论,认为在特定场景中收集的个人信息,不得在超出该场景的情形下被处理。为保证个人信息处理风险控制在个人信息主体的合理预期范围内,信息处理者需在个人信息处理之前进行风险评估,并对个人信息处理的所有场景进行风险管理。学者将场景完整性理论和风险管理理论融为一体,合称场景风险理论。场景风险理论的核心思想在于个人信息处理活动的风险性在不同场景中不断变动,在判断个人信息处理行为的正当性时,需结合参与者、信息类型、流动原则三大关键要素对一个核心问题进行考量:个人信息处理行为的风险是否超过信息主体的合理预期。美国《消费者隐私权利保护法案(草案)》与欧盟的《一般数据保护条例》是将场景风险理论引入立法的典型代表。前述法案区分场景适用告知同意原则,对目的限定原则进行扩大解释,增加个人信息处理行为的合法性基础以协调个人信息保护和利用的冲突,并通过明确信息处理者的风险管理责任和强化外部执法威慑来保障个人信息处理安全。但这两个法案都未能真正地贯彻场景风险理论,因而难以彻底摆脱个人信息传统保护路径的局限性。我国在司法实践中已体现了场景风险理论的核心思想。在立法中,我们可参考域外经验,引入场景风险理论重构个人信息保护路径。法律应明确告知同意原则的适用路径:信息处理者在实施个人信息处理行为之前,需进行风险评估,若该行为符合信息主体对处理风险的合理预期,可不同意直接进行处理行为,而若该行为超出信息主体的合理预期,则应征求个人信息主体的明示同意。同时,法律应将维护公共利益之所需、信息处理者履行法定义务和履行合同义务所必要明确为豁免适用告知同意原则的例外情形以协调个人信息保护和利用之间的冲突。同时,由于个人信息处理的风险与日俱增并难以为信息主体所察觉,法律需构建起系统的个人信息处理风险管理体系,由信息处理者承担主要的风险管理责任,并将剩余的风险管理责任合理地分配给执法机关、司法机关、行业协会等多重社会主体,保障个人信息处理安全,实现个人信息保护和个人信息利用的共赢。