우리나라를 비롯한 미국, 유럽에서 정보주체의 권리를 보호하기 위한 법률의 기본적 접근 방식은 정보주체에게 자기의 프라이버시 또는 개인정보 관리에 대한 결정을 내릴 수 있는 일련의 권리를 제공하는 것이고 그 핵심이 ‘동의’권이다. 그러나 온라인상의 다양한 서비스에서 실재 동의가 진정성 있게 본연의 역할을 수행하고 있는가에 대하여는 부정적이다. 본 연구에서는 이러한 ‘동의’ 규범이 지니는 한계에 대하여 분석하고 개선과제를 도출하고자 하였다. 현행 동의 규정의 한계를 요약하면 다음과 같다. 첫째, 빅데이터·인공지능·사물인터넷 환경에서 데이터가 처리되고 분석되는 방식과 목적이 사람의 개입 없이 계속 변화한다. 따라서 데이터 처리 목적과 범위를 특정하는 현행법상의 ‘고지-동의’ 방식은 그 유효요건을 충족하기 곤란하다. 둘째, 그 결과 '동의'의 실질적 목적이라고 할 수 있는 ‘프라이버시·개인정보 자기관리’가 곤란해졌다. 처리되는 개인정보의 광범위성, 몰이해적 고지사항, 정보주체와 개인정보처리자간 정보의 비대칭성 등은 동의과정에서 정보주체의 진정한 참여를 불가능하게 만들었다.
이러한 ‘동의’의 한계를 해결하기 위하여 ‘프라이버시·개인정보 자기관리’를 전적으로 동의에 기반한 개인의 책임하에 두는 것이 아니라, 국가의 후견주의적 개입을 통해 보장할 필요가 있다. 그 구체적 방안으로 옵트아웃과 국가 후견주의를 적절히 조화시키면서, 옵트인은 예외적 경우에만 허용하는 방안이 고려될 수 있다. 또한 정보주체의 프라이버시·개인정보 관리능력을 향상시키는 것은 지금까지 그렇듯 한계가 있으므로, 오히려 개인정보처리자의 프라이버시·개인정보 관리능력을 향상시키는 방안을 모색하여야 한다. 그밖에 개인정보의 가치는 수집 당시가 아니라 각종 이용과정에서 더 적절히 평가될 수 있으므로 개인정보 보호를 수집 중심에서 '이용'중심으로 전환하여야 한다.