王雪喬

(中國社會科學(xué)院科技和社會研究中心，北京市 100732)

歐盟于2018年5月25日開始實施的《一般數(shù)據(jù)保護條例》(簡稱GDPR)[1]P1在“同意”方面做出了較為細(xì)化的規(guī)定，更加強調(diào)數(shù)據(jù)主體自身的“同意”在數(shù)據(jù)收集與處理中的重要性。GDPR條文中明確規(guī)定和區(qū)分了在收集與處理數(shù)據(jù)時針對個人數(shù)據(jù)需征得數(shù)據(jù)主體的“無爭議同意”與針對敏感數(shù)據(jù)需征得數(shù)據(jù)主體的“明示同意”兩種不同的“同意”類型，雖然GDPR條文中希望用 “無爭議同意”與“明示同意”的區(qū)分來作為保護個人數(shù)據(jù)的重要手段，但目前這種區(qū)分能否達到預(yù)期保護效果仍然處于爭議期。由此本文將著力針對這一點展開深入的分析，以明確GDPR做出這一區(qū)分的法律意義及局限性，并希望在此基礎(chǔ)上對我國個人數(shù)據(jù)保護提出建設(shè)性意見。

一、數(shù)據(jù)主體、個人數(shù)據(jù)、敏感數(shù)據(jù)與非敏感數(shù)據(jù)

數(shù)據(jù)保護有廣義與狹義之分。從廣義上看，所謂的數(shù)據(jù)保護主要涉及數(shù)據(jù)概念本身，不僅包括“有主”數(shù)據(jù)的保護，也包括“無主”數(shù)據(jù)的保護。此外，廣義的數(shù)據(jù)保護概念還涉及數(shù)據(jù)保護的技術(shù)手段，如加密的儲存設(shè)備與加密的區(qū)塊鏈等。但就狹義而言，數(shù)據(jù)保護直接涉及與數(shù)據(jù)相關(guān)的數(shù)據(jù)主體的個人數(shù)據(jù)隱私方面的問題，表明數(shù)據(jù)主體的個人數(shù)據(jù)隱私需要得到專門性保護。正是從數(shù)據(jù)保護的狹義性出發(fā)，人們必須充分關(guān)注數(shù)據(jù)主體對于與其相關(guān)的數(shù)據(jù)的收集、使用、處理與公開等方面的意見表達(即同意或反對)，這是體現(xiàn)對有關(guān)數(shù)據(jù)主體個人數(shù)據(jù)隱私加以保護的重要舉措。作為歐盟新頒的數(shù)據(jù)保護法案，GDPR具有承上啟下的重要作用，它不僅明確了數(shù)據(jù)主體的界定，還規(guī)定了個人數(shù)據(jù)與敏感數(shù)據(jù)的區(qū)分標(biāo)準(zhǔn)，使數(shù)據(jù)主體、個人數(shù)據(jù)與敏感數(shù)據(jù)等在法律適用中更加清晰化，進一步加強了數(shù)據(jù)保護的法律確權(quán)性。

(一)數(shù)據(jù)主體及其權(quán)利規(guī)定

數(shù)據(jù)主體的界定是解決個人數(shù)據(jù)保護問題的理論基礎(chǔ)，涉及保護“誰”的個人數(shù)據(jù)。根據(jù)GDPR第四條第1款的規(guī)定，個人數(shù)據(jù)的定義在更大程度上已與數(shù)據(jù)主體之間存在等同關(guān)系，即所謂 “個人數(shù)據(jù)”意指涉及一個身份已識別或可識別的自然人——即“數(shù)據(jù)主體”的所有信息[1]P33。同時該條款表明數(shù)據(jù)主體有權(quán)在其“身份已識別的或可識別的所有信息”受到侵害時尋求法律保護，而這就是所謂的個人數(shù)據(jù)保護權(quán)。[2]P81

1995年頒布的《歐盟數(shù)據(jù)保護指令》【Data Protection Directive (簡稱DPD)】[3]P12在幫助個人意識到隱私保護重要性方面起到了推進作用。但值得注意的是，從DPD到GDPR，“數(shù)據(jù)主體”這一衍生概念頻繁性地被適用于歐盟數(shù)據(jù)保護的法規(guī)中，其作用在于肯定數(shù)據(jù)主體作為信息載體也被賦予了權(quán)利特征。數(shù)據(jù)主體的權(quán)利通常是指一種被動的權(quán)利，是以“防止他人非法使用其個人數(shù)據(jù)”為核心內(nèi)容的。根據(jù)GDPR的規(guī)定，數(shù)據(jù)主體的權(quán)利是限制第三方侵犯版權(quán)或阻止第三方竊取個人數(shù)據(jù)的權(quán)利。這種數(shù)據(jù)保護的權(quán)利設(shè)定是假設(shè)有第三方可能在“監(jiān)督”或“竊取”數(shù)據(jù)主體的個人數(shù)據(jù)，同時這種假設(shè)的前提是認(rèn)為只有當(dāng)個人在數(shù)據(jù)保護方面受到侵害時，他們才會對自己原本并不關(guān)注的個人數(shù)據(jù)給予更多的重視。由此不難推出，數(shù)據(jù)主體的權(quán)利在知識產(chǎn)權(quán)保護領(lǐng)域的活躍程度是不如專利保護權(quán)或者商標(biāo)保護權(quán)的。[4]P185在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的今天，個人一般無法“洞悉”自己每一條信息的走向，大多數(shù)人正在默示同意的情況下生活在個人數(shù)據(jù)日益透明化的環(huán)境中。但是，由于個人數(shù)據(jù)直接關(guān)系到個人隱私，因此，個人數(shù)據(jù)的保護就提到了重要的議事日程上來。根據(jù)現(xiàn)行法律，數(shù)據(jù)隱私通常只受到責(zé)任規(guī)則的保護[5]，由于數(shù)據(jù)隱私直接與數(shù)據(jù)主體相聯(lián)，僅僅依靠責(zé)任規(guī)則是遠(yuǎn)遠(yuǎn)不夠的。如果沒有嚴(yán)格的法律規(guī)定，在線服務(wù)商顯然不會以負(fù)責(zé)任的態(tài)度主動地關(guān)注與數(shù)據(jù)隱私相關(guān)的數(shù)據(jù)主體的權(quán)利問題，因為數(shù)據(jù)主體的這種權(quán)利在很大程度上是與在線服務(wù)商無涉的。GDPR主要賦予了數(shù)據(jù)主體七項數(shù)據(jù)權(quán)利，包括知情權(quán)、訪問權(quán)、修正權(quán)、刪除權(quán)(被遺忘權(quán))和限制處理權(quán)(反對權(quán))、可攜帶權(quán)和拒絕權(quán)，[1]P1-32都是專門針對數(shù)據(jù)的控制者與處理者而提出。由此可見，GDPR對數(shù)據(jù)主體概念提供了明確的法律規(guī)定，確定了數(shù)據(jù)主體的權(quán)利基礎(chǔ)以及權(quán)利邊界，并對數(shù)據(jù)控制者與處理者進行了嚴(yán)格的的權(quán)利劃定，從而使數(shù)據(jù)主體的權(quán)利得到了法律上的優(yōu)先肯定。這在一定程度上揭示了只有在獲得數(shù)據(jù)主體授權(quán)后方可對數(shù)據(jù)加以收集與處理的重要隱含條件。

(二)個人數(shù)據(jù)的定義與“身份識別”問題

GDPR第四條第1款對個人數(shù)據(jù)做出的定義是相當(dāng)全面和廣泛的。從理論層面上說，這是在數(shù)據(jù)保護法中從個人數(shù)據(jù)與數(shù)據(jù)主體的關(guān)系出發(fā)界定個人數(shù)據(jù)概念，所表明的是，只有那些具有身份識別功能或可能具有身份識別功能的個人信息才能被稱為個人數(shù)據(jù)。但從法律實踐層面上看，對個人信息是否具有身份識別功能的判定是極其困難的，這表明個人數(shù)據(jù)認(rèn)定的操作性極弱。一個人可以通過任何直接或間接方法被識別出來，他的網(wǎng)絡(luò)足跡或者發(fā)布的圖片都可以作為被識別的線索，信息的排列組合可以幫助人們通過“姓名”或不通過“姓名”而識別出一個人的真實身份。所以在具體適用和解讀個人數(shù)據(jù)時，個人信息的身份識別功能是作為核心內(nèi)容加以考慮的。就常識而言，“姓名”是識別一個人的最直接、簡單的方式，所以，許多人為了防止被識別出來，可能使用假名來隱藏他們在互聯(lián)網(wǎng)上的信息。筆名是網(wǎng)站上隱藏身份的一種方法，它有助于網(wǎng)上用戶降低被第三方識別的風(fēng)險。在社交網(wǎng)絡(luò)平臺上，即使是個人使用假名，親戚或朋友也可以從張貼的文章和在網(wǎng)站上寫的語言中識別出個人身份。從這個層次上看，識別一個人是很容易的，也是很清楚的。在亞馬遜或eBay中，有些客戶會使用假名來保護他們在網(wǎng)站上的交易記錄。事實上，當(dāng)購買者在網(wǎng)上挑選貨品時，其身份不僅僅是與真名聯(lián)系在一起的，還有電話號碼、家庭地址和IP地址等都可能會與個人身份之間建立鏈接關(guān)系。因此，網(wǎng)絡(luò)消費的記錄在某種程度上可能會給第三方識別個人身份提供更為直接的線索，即使消費者使用虛假的名字和地址來隱藏自己的身份信息。

個人數(shù)據(jù)的實際定義是指“身份識別”，意味著個人數(shù)據(jù)應(yīng)當(dāng)能夠具有對個人進行身份識別的功能。個人數(shù)據(jù)是由許多要素組成的，其中包括可以允許其他人識別信息所有權(quán)人的要素，這是個人數(shù)據(jù)的重要內(nèi)容。在杜蘭特與金融服務(wù)管理局(FSA)的糾紛案中，杜蘭特提出了一個主題訪問請求，以獲取金融服務(wù)管理局持有的有關(guān)他的個人數(shù)據(jù)。杜蘭特的論點是，英國數(shù)據(jù)保護法與歐盟DPD有關(guān)個人數(shù)據(jù)的定義都暗示了“個人數(shù)據(jù)”是寬泛和包容性定義，其中一個定義涵蓋了以杜蘭特名義進行的與杜蘭特有關(guān)的搜索所檢索到的任何信息。盡管上訴法院承認(rèn)杜蘭特的論點，但是根據(jù)DPD第2條中個人數(shù)據(jù)的定義，它得出的結(jié)論是，該定義沒有杜蘭特所假設(shè)的那么廣泛。[6]P320確切地說，個人數(shù)據(jù)概念僅僅意味著一個人的具有身份識別功能的信息或者具有身份提示性的信息。例如，“Emma Watson”不是一種個人數(shù)據(jù)，因為任何人都可以按照個人喜好被命名為Emma或Watson。當(dāng)“Emma Watson”同與之相關(guān)的其他可供識別的信息同時出現(xiàn)時，這個名字才會成為個人數(shù)據(jù)的一部分，并且足以證明一個人的身份。

(三)敏感數(shù)據(jù)與非敏感數(shù)據(jù)

在GDPR的規(guī)定中，“同意”必須是“自愿給出、特定、知情與無爭議的”。同時數(shù)據(jù)主體的授權(quán)也有級別區(qū)分。其中，“無爭議的”同意是最低級別，是基本的同意要求，“明示的”同意則是最高的同意標(biāo)準(zhǔn)。GDPR一方面選擇將無爭議的同意作為基本要求，另一方面則主張這種同意需要通過 “一個明晰肯定的行為或陳述”來進行表達。GDPR司法解釋第32條規(guī)定，數(shù)據(jù)主體明示同意的肯定性行為包括，在網(wǎng)上的勾選框里勾選同意，“選擇某個信息服務(wù)技術(shù)”或 “另一個陳述或操作” 等，它們均清楚地表明了對數(shù)據(jù)處理的“同意”意向。但如果行為人直接采取 “默示、將勾選框空置或不做出反應(yīng)的行動”，則會被推定為不同意。[1]P6

在GDPR中“同意”是轉(zhuǎn)移個人數(shù)據(jù)的法律依據(jù)，但“同意”的內(nèi)涵相對于DPD來說已經(jīng)明顯縮小。DPD允許數(shù)據(jù)控制者在隱性的和“退出性”的同意基礎(chǔ)上進行個人數(shù)據(jù)轉(zhuǎn)移，但GDPR則要求數(shù)據(jù)主體通過“明晰肯定的行為或陳述”進行單一授權(quán)的意見規(guī)制。雖然GDPR保留了DPD對于處理“特殊類別的個人數(shù)據(jù)”需要給出“明示的同意”要求，但它擴展了與這些特殊類別相關(guān)的內(nèi)容范圍。在GDPR出臺之前，法律意義上的“同意”很少與區(qū)分敏感數(shù)據(jù)和非敏感數(shù)據(jù)相聯(lián)，而且針對數(shù)據(jù)主體的同意所強調(diào)的是無爭議性同意，即在同意的意向性上必須是無爭議的。GDPR第六條規(guī)定，如果數(shù)據(jù)是常規(guī)的、非敏感的，無爭議同意就是必需的。敏感數(shù)據(jù)在第九條第一款中列舉出來，它需要的是明示同意。[1]P36-38敏感數(shù)據(jù)涉及到個人信息，包括身體或心理健康情況、倫理觀或種族信息等等。換言之，敏感數(shù)據(jù)是能夠進行個人身份識別的，這也是它與非敏感數(shù)據(jù)之間最為根本性的區(qū)別。根據(jù)DPD的規(guī)定，匿名處理是處理個人數(shù)據(jù)的重要原則，但是，匿名處理是難以與互聯(lián)網(wǎng)技術(shù)的快速發(fā)展相適應(yīng)的。[7]P25在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的今天，去匿名化已經(jīng)成為很多在線服務(wù)商處理數(shù)據(jù)時更傾向的選擇，因為對于企業(yè)來說，能夠收集與處理具有用戶身份指向性的數(shù)據(jù)，對于后續(xù)精準(zhǔn)投放廣告、發(fā)送個性化推送都是極為有利的。所以，GDPR針對敏感數(shù)據(jù)提出“明示同意”的較高標(biāo)準(zhǔn)有現(xiàn)實操作的必要性。

二、個人數(shù)據(jù)保護法律意義上的“同意”

GDPR從界定數(shù)據(jù)主體入手到嚴(yán)格區(qū)別個人數(shù)據(jù)與敏感數(shù)據(jù)，最終使得有關(guān)同意的規(guī)定得到細(xì)分處理，即明確規(guī)定，個人數(shù)據(jù)需要獲得數(shù)據(jù)主體的“無爭議同意”，敏感數(shù)據(jù)則需要獲得數(shù)據(jù)主體的“明示同意”[1]P6。筆者認(rèn)為，對于同意等級的區(qū)分，一方面表明了對于數(shù)據(jù)主體信息自決權(quán)的重要尊重，另一方面也表明了數(shù)據(jù)主體的信息自決權(quán)是GDPR中的個人數(shù)據(jù)法律保護意義上的“同意”的基礎(chǔ)權(quán)利來源。在此，可以從信息自決權(quán)利視角來深入解讀這種區(qū)分的意義以及可能存在的限制性。

(一)GDPR關(guān)于“同意”的細(xì)分

GDPR第四條針對“同意”的意見表達給出了四個限定詞：自愿給出的、特定的、知情的、無爭議的，同時GDPR第32條司法解釋中還做出了反向說明，即“默示、將勾選框空置或不做出反應(yīng)行動，都不能構(gòu)成為同意”[1]P33。無爭議同意是由無爭議的行為產(chǎn)生出來的同意，它應(yīng)該是具體的和表達性的。但是，筆者認(rèn)為，因為“同意”行為與意向的給出具有時效性以及層次性，當(dāng)下點擊同意并不代表用戶將自己的信息完全授予在線用戶平臺，允許其對自己的個人數(shù)據(jù)進行毫無保留的二次加工。很多人認(rèn)為網(wǎng)絡(luò)世界是他們隱藏自己真實生活世界的面具，比如在Instagram(照片墻)的網(wǎng)絡(luò)平臺上發(fā)布的照片或者旅游標(biāo)記，只是單純的分享行為。在現(xiàn)階段，無爭議行為在用戶與在線用戶平臺之間還未形成一致的認(rèn)定標(biāo)準(zhǔn)，這導(dǎo)致實踐中常常很難對其進行判定。所以，在對于無爭議同意的具體操作上還需要對在線服務(wù)商與用戶之間進行特殊的法律規(guī)制。

根據(jù)歐盟“第29條”工作組的規(guī)定，“無爭議同意”應(yīng)包括“明示同意”。與需要通過肯定性行為做出“無爭議同意”相比，“明示同意”顯然需要更多的條件，其要求更加嚴(yán)格。這種差別可能導(dǎo)致不同的策略、不同的產(chǎn)品和不同的服務(wù)。[8]P31GDPR強調(diào)對于特殊類別的個人數(shù)據(jù)必須出于特定目的而對處理給予“明示同意”，但卻沒有給出有關(guān)“明示同意”的確切定義。在DPD中，“明示同意”對于所有類別的個人數(shù)據(jù)都是必不可少。同樣地，《歐盟電子隱私指令》要求直接面對市場的非請求權(quán)溝通必須經(jīng)過“事先明示同意”。[9]P1由于缺乏清晰的法律規(guī)制層面的行為判定標(biāo)準(zhǔn)，“明示同意”在法律判定時容易與“無爭議同意”產(chǎn)生不同的爭訟結(jié)果。從文義解釋上看，無爭議同意被認(rèn)為是明確的同意，與之相反的默示同意則被推斷為不明確和模糊的。無爭議同意在學(xué)理上與明示同意相近，并非是包含子集關(guān)系。在“無爭議同意”場景中，數(shù)據(jù)主體的同意可以通過來自其他的聲明或行為的暗示做出這一點是可能的。但在“明示同意”場景中，這種選擇是不可用的，因為“明示同意”要求在線用戶平臺提供一個選擇輸入框。[10]P31-38針對“無爭議同意”和“明示同意”的不同需求，可能會導(dǎo)致呈現(xiàn)給用戶不同的界面選擇以及用戶需要對不同的界面采取的不同處理方式。然而，在用戶最后的選擇同意的環(huán)節(jié)很難將“明示同意”的特殊性與特殊類別的個人數(shù)據(jù)嚴(yán)格區(qū)分開來。

有人認(rèn)為，選擇輸入框或聲明性同意是“明示同意”的最低標(biāo)準(zhǔn)，但這些對“無爭議同意”來說并非必要條件，因為無爭議同意只需要明確告之的通知(即“通知原則”)和“肯定性行為”[10]P1。由于技術(shù)手段很難在數(shù)據(jù)處理前就明確判定某一特殊的個人數(shù)據(jù)是敏感的還是非敏感的，所以，大多數(shù)在線服務(wù)商都采用選擇輸入框或“I agree”(我同意)的聲明模式，用來避免無效的法律授權(quán)。即使在線社交用戶向社交網(wǎng)絡(luò)平臺提供了他們的信息，這也不能完全表明他們對于數(shù)據(jù)使用通知的接受可以被視為完全的無爭議性的明示性同意。從某種角度來看，在線服務(wù)商在獲得用戶許可之前不得擅自使用用戶的數(shù)據(jù)具有合理性。但該原則也會帶來在線平臺濫用合法性的法律風(fēng)險，即在通過有效同意的授權(quán)之后對個人數(shù)據(jù)進行無合規(guī)性的二次加工。從“貝爾訴阿爾弗雷德·弗蘭克斯和巴特利特有限公司”一案中可知，“得到嚴(yán)格使用的默許表明了共生的、知情的(即‘知道’原則)接受或支持，通過衡平法而將其視為‘贊同’(即同意)，否則將構(gòu)成侵權(quán)”[11]P1。互聯(lián)網(wǎng)環(huán)境的自然結(jié)構(gòu)造成信息不對稱，以及用戶與服務(wù)商之間的不公平，數(shù)據(jù)主體無法評估使用同意條款中描述的數(shù)據(jù)的合法性與權(quán)力相稱性。雖然GDPR對同意條款進行了層次的細(xì)分，但明示同意和無爭議同意之間的區(qū)分在實際操作層面并無顯著的差別。

(二)個人數(shù)據(jù)保護、信息自決與“同意”

知情同意條款是信息權(quán)利人對其個人信息支配權(quán)的體現(xiàn)，是一種具有獨占性的支配權(quán)。個人信息自決屬于私人生活自主決定權(quán)的范疇，其目的在于保護個人對其私人生活事務(wù)的自主決定。個人數(shù)據(jù)保護、信息自決與知情同意條款三者之間存在著不可分割的內(nèi)在聯(lián)系。

1、信息自決與“同意”的關(guān)系。信息自決權(quán)在是指“個人依照法律控制自己的個人信息并決定是否被收集和利用的權(quán)利”[12]P125。實踐中，信息自決原則在網(wǎng)站現(xiàn)實技術(shù)中的應(yīng)用就是表現(xiàn)為“同意”，且此種“同意”涉及用戶同意隱私政策以及用戶樂于遵守規(guī)則協(xié)議。《歐盟基本權(quán)利憲章》第8(2)條規(guī)定，個人數(shù)據(jù)可以“根據(jù)當(dāng)事人的同意或法律規(guī)定的其他合法依據(jù)”進行處理，由此可見，一旦當(dāng)事人做出同意的意見表達，對于個人數(shù)據(jù)的處理就具有合法性?！巴庹埱蟊仨氁砸环N易于理解的形式提出，使用清晰明了的語言”[1]P34，這揭示了同意作為法律行為的授權(quán)必須具有知情、明確的功能要求。同意書向用戶發(fā)出通知，其中的說明政策是明確的，個人應(yīng)該知道并自行響應(yīng)規(guī)則。承認(rèn)信息自決權(quán)，就是承認(rèn)數(shù)據(jù)主體的決策作用，承認(rèn)數(shù)據(jù)主體擁有主張自己法律權(quán)利歸屬。從法律效力以及合規(guī)角度來看，勾選同意或者不同意是一個被認(rèn)可的法律授權(quán)行為。當(dāng)讓數(shù)據(jù)主體勾選同意或者不同意的時候，或者隱私保護條款彈出時，這其實是公司或在線運營商向作為數(shù)據(jù)主體的用戶發(fā)出了一個明示邀約合同，但在合同中如何規(guī)制在線運營商的權(quán)力則是目前面臨的現(xiàn)實性問題。

2.信息自決與數(shù)據(jù)財產(chǎn)權(quán)的關(guān)系。每個個體都有“隱私保護的渴望”,人們希望隱私權(quán)能夠在立法框架內(nèi)得到嚴(yán)格保護，減少個人隱私暴露于第三方的可能性。人們不太可能與陌生人接觸或不愿意與之分享隱私，這是常識。在占有性的個人主義語境下，信息自決在私人財產(chǎn)和市場法律中被認(rèn)為是評估個人數(shù)據(jù)價值的最有效的方式。[13]P110信息自決權(quán)可以暗示著財產(chǎn)權(quán)或個人對其個人數(shù)據(jù)的權(quán)利，在此種情況下，個人數(shù)據(jù)具有個人財產(chǎn)的意義。“同意”的效力類似電子版的合同，而從“信息就是用戶的數(shù)據(jù)”的角度來看，用戶自身應(yīng)該對自己的個人數(shù)據(jù)負(fù)責(zé)，不應(yīng)僅依賴于數(shù)據(jù)保護法規(guī)的保護。所以，如何在市場與個人用戶之間尋找平衡，則是立法者下一步需要落地的法律問題。個人數(shù)據(jù)被視為財產(chǎn)，這意味著數(shù)據(jù)主體就像處理個人財產(chǎn)一樣有權(quán)處理其個人數(shù)據(jù)。他們有權(quán)讓第三方處理或遺忘屬于自己的個人信息數(shù)據(jù)，這是數(shù)據(jù)主體的權(quán)利。GDPR的法律確立基礎(chǔ)包括三個要素，均是基于財產(chǎn)權(quán)的概念：第一，消費者被賦予對自己數(shù)據(jù)的明確權(quán)利；第二，即使在數(shù)據(jù)被轉(zhuǎn)移后，消費者仍然對這些數(shù)據(jù)具有“與之相伴”的權(quán)利，并可以約束第三方；第三，消費者可通過以“財產(chǎn)規(guī)則”為基礎(chǔ)的救濟方式得到保護。[14]P513對于普通財產(chǎn)而言，其重要特征是歸屬權(quán)，該財產(chǎn)將禁止第三方使用，權(quán)利人將有權(quán)對其進行處理。在本法律語境下，個人數(shù)據(jù)等同于正常財產(chǎn)。但是，如果將個人數(shù)據(jù)完全等同于普遍財產(chǎn)，那么，個人數(shù)據(jù)就會像便攜式財產(chǎn)那樣在市場上自由轉(zhuǎn)換，數(shù)據(jù)主體對于數(shù)據(jù)的控制權(quán)會因此受到削弱。[13]P115顯然，這不利于個人數(shù)據(jù)的保護。

3.“同意”的意義及其局限性?；谛畔⒆詻Q原則視角可知，GDPR在同意問題上蘊含兩方面意思。首先，它認(rèn)為應(yīng)該尊重隱私政策以及與用戶之間的合同關(guān)系。如果有人表示“是的，我同意”，或者勾選一個未勾選的方框明示“我同意”，即表明他們已經(jīng)通過一個肯定的選擇行為表達了他們的同意意向。根據(jù)GDPR第4(11)條，當(dāng)網(wǎng)站上的用戶表示同意隱私政策時，用戶與網(wǎng)站之間關(guān)于數(shù)據(jù)的合同開始生效。在正常情況下，任何默示或?qū)⒐催x框空置都不能構(gòu)成同意，這是監(jiān)管機構(gòu)保護用戶利益的視角，因為在虛擬的網(wǎng)絡(luò)世界中，用戶大多處于一種弱勢地位，他們無法探究網(wǎng)絡(luò)背后的真實情況，所以，運用具有信息自主權(quán)意義的同意條款來保護用戶是具有合理性的。同意性聲明有時可能會表明“數(shù)據(jù)主體接受對個人數(shù)據(jù)的擬議處理”。比如，一個人把車停在停車場，并把電話號碼留給工作人員，以便停車場工作人員在泊車成功后可以直接撥打他的電話。[15]P1雖然沒有在選擇框中選擇“是”或“否”，但這可被視為客戶和停車場服務(wù)之間的同意關(guān)系。其次，“同意”這種表達方式的設(shè)立并不能保證其所尋問的對象是真正的用戶，所以，GDPR將兒童作為特殊群體加以單獨考慮，具體設(shè)定了兒童個人數(shù)據(jù)保護的細(xì)則?？紤]到用戶可能未滿規(guī)定的年齡，歐盟“第29條”工作組明確規(guī)定，兒童的同意是無效的，因為他們并不能理解同意條款帶來的實際意義。在兒童用戶的父母與蘋果公司的爭訟案件中，孩子們花費了超過一千美元在App Store的應(yīng)用程序購買游戲道具，最后判決蘋果公司退還了父母近2000萬英鎊的損失。[16]P34從關(guān)于兒童這一特殊群體的案例可以發(fā)現(xiàn)，信息自決的應(yīng)用需要合理的監(jiān)管，否則將會對青少年特別是兒童造成不利影響。

總體上說，信息自決原則是確定數(shù)據(jù)主體作用的重要保證，針對數(shù)據(jù)主體的同意條款的制定是實現(xiàn)信息自決的關(guān)鍵性因素。但是，針對數(shù)據(jù)主體在信息自決中的作用是否重要這一點曾經(jīng)發(fā)生過激烈的討論。[17]P33古普斯認(rèn)為，“同意”的神話太過理想，不適合復(fù)雜的網(wǎng)絡(luò)環(huán)境。[18]P250應(yīng)當(dāng)說，個人可以行使信息自決權(quán)，從而給予或拒絕同意某些形式的數(shù)據(jù)處理，這是體現(xiàn)信息自決權(quán)的一種方式，但不是唯一的方式。網(wǎng)絡(luò)用戶在網(wǎng)頁上以“同意”的形式簽署合同，從而使他人獲得監(jiān)管網(wǎng)絡(luò)用戶的權(quán)利和責(zé)任。特別是在私人和商業(yè)環(huán)境中，個人對數(shù)據(jù)處理表示同意通常被認(rèn)為是數(shù)據(jù)處理的主要法律依據(jù)。然而，“同意”在很大程度上是理論上的，并沒有實際性意義。人們普遍認(rèn)識到在互聯(lián)網(wǎng)服務(wù)中，大多數(shù)人只是在不閱讀或不理解隱私聲明的情況下勾選同意框，或者服務(wù)提供商有時會假設(shè)網(wǎng)站訪問者會奇跡般地獲知隱私聲明，并僅通過訪問網(wǎng)站從而自動給予同意。也就是說，在現(xiàn)實生活當(dāng)中大多數(shù)人是認(rèn)同“同意”作為網(wǎng)上合理處理數(shù)據(jù)的前提方式的。

三、“同意就是同意”的合理性與局限性

GDPR明確提出了個人數(shù)據(jù)需要得到無爭議的同意與敏感數(shù)據(jù)需要得到明示的同意這一區(qū)分，但針對這一點，在線服務(wù)商卻提出了他們的質(zhì)疑。在他們看來，“同意就是同意”，無爭議同意與明示同意這種區(qū)分只會將同意規(guī)則復(fù)雜化并難以操作，對此，我們應(yīng)客觀地加以分析。

(一)“同意就是同意”的合理性

由于無法實施傳統(tǒng)意義上的那種面對面式的問卷調(diào)查，顯然在線服務(wù)商難以從數(shù)據(jù)主體的在線同意中分辨出哪些是“無爭議的”同意，哪些是“明示的”同意，這也是在線服務(wù)商提出 “同意就是同意”這一觀點之所以具有合理性的重要原因。對于在線服務(wù)商來說，能夠于在線服務(wù)中征求用戶的同意已經(jīng)是對數(shù)據(jù)主體的個人數(shù)據(jù)隱私權(quán)的尊重了，不應(yīng)該再額外地施加類似無爭議同意與明示同意的高門檻。大多數(shù)消費者并沒有意識到同意方式的重要性，網(wǎng)絡(luò)服務(wù)意味著便捷的信息來源以及可信的數(shù)據(jù)服務(wù)提供商。即使屏幕上出現(xiàn)明顯的勾選框，用戶潛意識的選擇是通過單擊表示同意，而不是仔細(xì)閱讀和思考其中的內(nèi)容。此外，在Google尋求撤銷Gmail隱私權(quán)訴訟的案例中[19]P1，雖然用戶知道一些隱私政策已經(jīng)侵犯了隱私信息，但他們更需要Google提供的互聯(lián)網(wǎng)服務(wù)以及信息的搜索。由于Google設(shè)定“每個用戶必須接受應(yīng)該自動處理的電子郵件”的要求，所以，用戶通常傾向于在互聯(lián)網(wǎng)服務(wù)中扮演被動角色。也正是基于上述情況，在線服務(wù)商主張的“同意就是同意”就具有其合理性。這種合理性的主要原因在于從網(wǎng)絡(luò)使用的角度來看消費者自身并沒有針對同意加以細(xì)分的需求，他們只擁有網(wǎng)絡(luò)的使用權(quán)。

(二)“同意就是同意”的局限性

格特沃斯指出，在信息不對稱的、非法的處理可以通過有問題的同意條款而得以合法化的情況下，用戶給出同意的合理性就是應(yīng)當(dāng)深受質(zhì)疑的，因為給出同意的重要前提應(yīng)當(dāng)是信息對稱與信息公平。[20]P100由此可見，有效同意的意見表達是需要以信息的對稱性與公平性作為前提的，否則這種意見表達的合法性就值得懷疑。由于在處理“同意”的問題上在線服務(wù)商與用戶之間存在著實質(zhì)性的信息不對稱與不公平，所以在線服務(wù)商主張“同意就是同意”這一點是有其局限性的。

首先，重大的信息不公平存在于選擇輸入框的處理中，而且在當(dāng)前的個人隱私政策下，為個人信息披露尋求法律救濟顯得十分困難，因此，對于作為數(shù)據(jù)主體的用戶來說，在線服務(wù)商在信息不對稱與不公平的關(guān)系中具有絕對的主動權(quán)。在這種情況下，倘若在線服務(wù)商主張“同意就是同意”這一點得到合法化，就是對作為數(shù)據(jù)主體的用戶的信息自決權(quán)的削弱乃至剝奪。本質(zhì)上，數(shù)據(jù)主體勾選同意框就如同簽訂合同一樣與網(wǎng)站之間達成協(xié)議，用戶們大多只想使用網(wǎng)站上帶來的資源，個人隱私并非他們首要考慮的因素。如果沒有法律說明，個人極少有可能甚至完全不知個人信息暴露給公司的過程。商人們總是設(shè)置一些看似“明示的”、“知情的”政策條款，要求個人簽署同意來符合法律對公司規(guī)章的要求。而大部分同意條款鑒于其法律的專業(yè)性，僅通過個人理解力去解讀，是存在一定困難的。例如按照普通語言中心的分析，Google的隱私政策被認(rèn)為是最好的，它需要花費35分鐘的時間才能詳細(xì)閱讀完畢。[21]P12001年，一項由隱私領(lǐng)導(dǎo)權(quán)倡議組織開展的調(diào)查研究結(jié)果顯示，只有3%的消費者認(rèn)真閱讀隱私政策，64%的消費者短暫瀏覽或從未閱讀隱私政策條款。[22]P12隱私政策條款中涉及到收集私人數(shù)據(jù)的專業(yè)術(shù)語，對于沒有IT背景的消費者而言，很難理解其背后的機制運行。正如普通語言中心的專家在報告中所寫的那樣，“消費者不太可能閱讀或理解隱私政策沒有提供的保護”。GDPR在征求了在線服務(wù)商的意見后仍堅持立場，為個人數(shù)據(jù)與敏感數(shù)據(jù)的界定及其之間的區(qū)分設(shè)置了嚴(yán)格的法律標(biāo)準(zhǔn)?？梢姡珿DPR的立法者已嘗試從源頭出發(fā)制止在線服務(wù)商的數(shù)據(jù)信息侵權(quán)行為，使得評判“同意”的標(biāo)準(zhǔn)明確化，致使在線服務(wù)商希望提供單一性的同意條款而不進行明示同意條款與無爭議同意條款之間區(qū)分的幻想落空。

其次，個人數(shù)據(jù)與敏感數(shù)據(jù)之間存在細(xì)分上的標(biāo)準(zhǔn)差異。如果在線服務(wù)商沒有對個人數(shù)據(jù)提供無爭議同意條款以及對敏感數(shù)據(jù)提供明示同意條款，只是提供單一性、無選擇標(biāo)準(zhǔn)的同意條款，個人數(shù)據(jù)與敏感數(shù)據(jù)之間的區(qū)分性保護就難以實現(xiàn)。在GDPR的規(guī)定中，在線服務(wù)商需要向數(shù)據(jù)主體提供不同的同意條款，他們同時還應(yīng)對自身是否已經(jīng)在區(qū)分這些不同的同意條款中涉及侵權(quán)問題做出判斷。GDPR已經(jīng)明確地將實際操作中的問題留給了在線服務(wù)商，并非停留在給予用戶在在線服務(wù)商提供的同意格式表格中所做出的選擇之中。在線服務(wù)商作為用戶數(shù)據(jù)的占有者與使用者，他們在法律規(guī)制上須先發(fā)揮數(shù)據(jù)保護者的功能與作用；在數(shù)據(jù)的使用問題上，網(wǎng)絡(luò)用戶永遠(yuǎn)是被動的接受者。GDPR主要關(guān)注和保護作為數(shù)據(jù)主體的網(wǎng)絡(luò)用戶，并非在線服務(wù)商。從用戶的在線個人數(shù)據(jù)保護的角度來看，這是一種正確的選擇。雖然數(shù)據(jù)主體在同意的意見表達上是主動的，但從數(shù)據(jù)使用的角度來看，數(shù)據(jù)主體是完全被動的，在線服務(wù)商作為數(shù)據(jù)使用方是主導(dǎo)者。筆者認(rèn)為,GDPR的同意條款的細(xì)分設(shè)置充分考慮了后續(xù)數(shù)據(jù)處理者(包括在線服務(wù)商)需要承受的法律責(zé)任規(guī)制。

第三，對在線服務(wù)商而言，關(guān)于“明示同意”的一般要求會增加額外的開發(fā)成本和設(shè)計困難，基于成本考量，在線服務(wù)商通常是反對對同意進行細(xì)分。商業(yè)網(wǎng)站的所有權(quán)人可能更多關(guān)注的是網(wǎng)站的利潤和收益，他們對單一性的同意條款更加附和，由此來幫助他們減輕責(zé)任與義務(wù)負(fù)擔(dān)。目前越來越多的網(wǎng)站傾向于提供免費服務(wù)。[23]P2對于這些網(wǎng)站來說更重要的是建立一個訪問平臺，以獲取用戶的信息和個人數(shù)據(jù)。例如，F(xiàn)acebook完全依賴于大量的訪問者，這些訪問者很樂意通過互聯(lián)網(wǎng)建立個人檔案，以便與朋友、同學(xué)、同事分享興趣和喜好。在某種程度上，人們愿意把權(quán)利交給數(shù)據(jù)控制者，然后交換使用平臺的權(quán)利，所以，“同意”不僅僅是用戶的自我管理，更重要的是，它也是對社交網(wǎng)站公司商業(yè)行為的一種約束。

最后，由于第三方能夠通過跟蹤cookie來追蹤個人賬戶線索的綁定訪問，所以，在數(shù)據(jù)收集與處理過程中能夠獲得數(shù)據(jù)主體的“明示同意”就顯得尤為重要。目前，歐洲議會和理事會希望規(guī)范和限制網(wǎng)站中的一些活動，例如，一些網(wǎng)站拒絕向不接收第三方跟蹤cookie的訪問者開放權(quán)限，并且根據(jù)《歐盟電子隱私指令》在無提示的情況下無聲地收集數(shù)據(jù)，而《歐盟電子隱私指令》明確規(guī)定跟蹤cookie需要“明示同意”。歐盟“第29 條”工作組的規(guī)定中指出：“‘第三方’的概念僅僅通過查看瀏覽器的地址欄中顯示的URL的結(jié)構(gòu)來定義?！盵8]P42-52由于社交網(wǎng)站總是要求用戶授權(quán)給第三方網(wǎng)站，或者當(dāng)用戶點擊同意時，它可以不受限制地登錄到用戶的社交網(wǎng)頁上，所以，歐盟頒布的各種法規(guī)往往并沒有得到實際的執(zhí)行。當(dāng)用戶想要進入一個新網(wǎng)站(如Facebook、Twitter)時，該網(wǎng)站會要求用戶將自己的個人信息與自己的私人域名連接在一起，借此，該網(wǎng)站就可以從用戶的社交網(wǎng)頁處理用戶的所有信息并收集它們。這表明，用戶是在被動地接受第三方的進入和處理數(shù)據(jù)，這也正是監(jiān)管機構(gòu)擔(dān)憂的一方面。

總體說來，盡管“同意就是同意”原則在實踐中更具可操作性，但它不利于在線服務(wù)商建立對消費者個人數(shù)據(jù)加以保護的意識。當(dāng)數(shù)據(jù)控制者在沒有獲得使用具有身份識別性的敏感數(shù)據(jù)權(quán)限的情況下處理數(shù)據(jù)時，用戶可以保留追究法律責(zé)任的權(quán)利。盡管“明示”同意和“無爭議”同意的區(qū)分在某種意義上不是很清晰，但它對在線服務(wù)商的發(fā)展和尊重用戶的隱私權(quán)卻有很大的影響。

四、GDPR、“知情同意” 與在線服務(wù)商的責(zé)任承擔(dān)

GDPR關(guān)于同意的細(xì)分關(guān)涉的是“知情同意”，更深入地說，它所帶來的是“知情同意”法律體系的重大變革，是“知情同意”的升華。但是我們不能否認(rèn)，歐盟GDPR在個人數(shù)據(jù)保護問題上，除了具有強化“知情同意”規(guī)則的積極意義，也具有需要人們關(guān)注其在權(quán)利與責(zé)任問題上沒有厘清的局限性。

(一)GDPR與“知情同意”的體系變革

在最初的法律框架里(類似于DPD等)，只要用戶已經(jīng)完成了線上“知情同意”，在線服務(wù)商就等于完成了其法律責(zé)任。但也正是“知情同意”，使得在線服務(wù)商能夠通過使用有關(guān)“知情同意”的自制合同，從而繞開其法律責(zé)任。例如，在谷歌在線APP兒童侵權(quán)案中，谷歌就利用了這種自愿原則。2014年9月美國聯(lián)邦官員通告谷歌已經(jīng)同意訴訟和解，向用戶賠償1900萬美元，這些用戶的小孩涉嫌被谷歌用欺騙的方式通過Android系統(tǒng)的APP商店進行產(chǎn)品購買與移動支付。美國執(zhí)法機構(gòu)強調(diào)這些購買是具有欺詐性的，并對兒童造成了特別的傷害。蘋果公司同意在2013年1月支付3250萬美元的賠償。亞馬遜在2014年7月說它將給出相同的賠付。[16]P1目前，GDPR規(guī)定在“知情同意”中也存在著分級同意問題，即個人數(shù)據(jù)需要“無爭議的”同意，而敏感數(shù)據(jù)則需要“明示的”同意。自此，即使在線服務(wù)商已經(jīng)完成了知情同意調(diào)查，它們還需要進一步完成針對個人數(shù)據(jù)的“無爭議的”同意與針對敏感數(shù)據(jù)的“明示的”同意的調(diào)查。只有滿足了上述兩個前提，在線服務(wù)商才能夠使用與處理數(shù)據(jù)主體的數(shù)據(jù)。

知情同意的設(shè)置行為表明，隱私權(quán)被視作一種基本的個人權(quán)利，且在此“知情同意”被視為一種在個人信息的合法使用或未經(jīng)授權(quán)使用之間劃分界限的特殊工具。數(shù)據(jù)保護是處于對收集的數(shù)據(jù)提供合規(guī)的保護。對于國家數(shù)據(jù)保護權(quán)威部門來說，“知情同意”是極為重要的。以歐洲為例，超過70%的人表示他們關(guān)心在線服務(wù)商是如何使用他們的數(shù)據(jù)，同時超過74%的人希望在他們的網(wǎng)上數(shù)據(jù)被收集或處理時，能夠給出他們自己特別的有關(guān)同意的意見表達。[23]P124“知情同意”的道德合法性是建立在相信它會尊重個人自決權(quán)的基礎(chǔ)上。[24]P1但如果“知情同意”合同是由在線服務(wù)商自己制定出來，數(shù)據(jù)主體將可能成為被動的一方，因此，在知情同意問題上，就存在著如何讓一個數(shù)據(jù)主體由被動重新回到主動的問題。盡管“知情同意”對于在線服務(wù)商來說，是一把安全的降落傘，但在歐盟原有的法律框架內(nèi)則會顯得保障力度不夠。GDPR基于現(xiàn)實要求應(yīng)運而生，為“知情同意”提供了更有效的法律框架，維護了數(shù)據(jù)主體的信息自決權(quán)、自主權(quán)與主動權(quán)之間的緊密關(guān)系。此外，GDPR還通過強調(diào)針對個人數(shù)據(jù)要求實施“無爭議”同意，讓在線服務(wù)商必須建立更為完整的數(shù)據(jù)主體同意系統(tǒng)；而針對敏感數(shù)據(jù)則要求實施“明示”同意，將數(shù)據(jù)主體的“知情同意”由被動引向主動，從而有效地限制了在線服務(wù)商在知情同意上的主動性。

GDPR區(qū)分了明示同意與無爭議同意兩種不同的同意條款，這種區(qū)分標(biāo)準(zhǔn)還包含著兩種“提醒”功能，以提醒在線服務(wù)商在收集、使用、處理與公開數(shù)據(jù)時注意到兩個“數(shù)據(jù)陷阱”問題。第一種是，提醒在線服務(wù)商不可隨意按照私利去收集、使用、處理與公開所有的數(shù)據(jù)，一旦它們收集、使用、處理與公開了未經(jīng)數(shù)據(jù)主體同意的數(shù)據(jù)，則需負(fù)相應(yīng)的法律責(zé)任。另一種是，它希望提醒在線服務(wù)商一定要注意嚴(yán)格按照數(shù)據(jù)的敏感程度進行同意條款區(qū)分。根據(jù)GDPR對個人數(shù)據(jù)與敏感數(shù)據(jù)的嚴(yán)格區(qū)分規(guī)制在線服務(wù)商必須使用不同的同意標(biāo)準(zhǔn)：針對個人數(shù)據(jù)，使用“無爭議”同意標(biāo)準(zhǔn)；針對敏感數(shù)據(jù)，使用“明示”同意標(biāo)準(zhǔn)。如果在線服務(wù)商不能對此完成盡職調(diào)查的義務(wù)，則將對此承擔(dān)相應(yīng)的法律后果。GDPR主要依賴數(shù)據(jù)主體承擔(dān)個人數(shù)據(jù)的保護風(fēng)險，并在很大程度上需要數(shù)據(jù)主體詳細(xì)理解、評估和管理與其數(shù)據(jù)以及其數(shù)據(jù)處理過程相關(guān)的風(fēng)險。此外，基于風(fēng)險的監(jiān)管模型可以在GDPR中適用，一方面，在監(jiān)管體制下，可將數(shù)據(jù)主體本身作為監(jiān)管方參與風(fēng)險管理；另一方面，GDPR的監(jiān)管機構(gòu)可建立一些抗風(fēng)險的條款，以及高風(fēng)險數(shù)據(jù)處理操作的通用標(biāo)準(zhǔn)對未知的風(fēng)險進行安全預(yù)警，例如數(shù)據(jù)持有的記錄、數(shù)據(jù)主體通知、數(shù)據(jù)保護影響評估和事前咨詢。國家數(shù)據(jù)保護機構(gòu)可以提供影響評估報告，并通過產(chǎn)出高風(fēng)險處理過程的詳細(xì)清單來選擇和定義要優(yōu)先考慮和評估的風(fēng)險。[25]P506-540

(二)GDPR、權(quán)利主體與在線服務(wù)商的責(zé)任承擔(dān)

法律關(guān)系主體，又稱權(quán)利主體，即法律關(guān)系的參加者，是法律關(guān)系中權(quán)利的享有者和義務(wù)的承擔(dān)者。享有權(quán)利的一方稱為權(quán)利人，承擔(dān)義務(wù)的一方稱為義務(wù)人。[26]P173針對GDPR的規(guī)定，人們關(guān)注權(quán)利如何分配，以及責(zé)任如何主張。數(shù)據(jù)主體以及數(shù)據(jù)的控制者和處理者共同構(gòu)成了個人數(shù)據(jù)保護權(quán)的法律關(guān)系主體，而這些權(quán)利主體的權(quán)利客體在個人數(shù)據(jù)保護權(quán)中即為“個人數(shù)據(jù)”。[27]P293而正因為在GDPR中數(shù)據(jù)主體以及數(shù)據(jù)的控制者和處理者共同構(gòu)成了個人數(shù)據(jù)保護權(quán)的法律關(guān)系主體，可以將其視為一個法律共同體，這才導(dǎo)致了數(shù)據(jù)主體、數(shù)據(jù)的控制者與處理者的權(quán)利與責(zé)任無法厘清情況的出現(xiàn)。

數(shù)據(jù)主體是個人數(shù)據(jù)保護的唯一權(quán)利人，但因為GDPR積極主張數(shù)據(jù)的控制者與處理者在個人數(shù)據(jù)保護權(quán)中的參與性，導(dǎo)致在個人數(shù)據(jù)保護權(quán)中數(shù)據(jù)主體的權(quán)利人地位因此被弱化：他同時扮演自己的個人數(shù)據(jù)向數(shù)據(jù)控制者與處理者開放的義務(wù)人。在數(shù)據(jù)主體作為義務(wù)人的情況下，數(shù)據(jù)的控制者與處理者反過來會成為個人數(shù)據(jù)保護的權(quán)利人，數(shù)據(jù)主體的個人數(shù)據(jù)能否得到真正有效的保護是受制于數(shù)據(jù)的控制者與處理者，而不是受制于數(shù)據(jù)主體是否同意自己的個人數(shù)據(jù)受到收集、控制與處理。在這種情況下，數(shù)據(jù)主體的“知情同意”的意義被削弱，而數(shù)據(jù)控制者與處理者的權(quán)利人地位相反則得到大幅度地加強。例如，在線服務(wù)商之所以堅持 “同意就是同意”而不支持“明示同意”與“無爭議同意”之分，就在于GDPR并沒有在數(shù)據(jù)主體、數(shù)據(jù)的控制者與處理者三者的權(quán)利與責(zé)任的關(guān)系上進行細(xì)分，因而在線服務(wù)商作為數(shù)據(jù)的控制者與處理者已經(jīng)分不清此時他們究竟是個人數(shù)據(jù)保護的義務(wù)人還是權(quán)利人，他們究竟應(yīng)該站在數(shù)據(jù)主體作為權(quán)利人的角度而以義務(wù)人的身份去保護數(shù)據(jù)主體的個人數(shù)據(jù)，還是應(yīng)該站在其自身是權(quán)利人的立場上通過控制、使用與處理個人數(shù)據(jù)而去保護個人數(shù)據(jù)。為了避免在線服務(wù)商逃避責(zé)任，GDPR需要對數(shù)據(jù)主體、數(shù)控的控制者與處理者進行權(quán)利與責(zé)任的分層處理。

實際上，權(quán)利主體與在線服務(wù)商存在著兩個層次的權(quán)利與責(zé)任關(guān)系：第一個層次是指發(fā)生在個人數(shù)據(jù)的收集環(huán)節(jié)，此時數(shù)據(jù)主體是個人數(shù)據(jù)保護的權(quán)利人，數(shù)據(jù)的控制者與處理者則是個人數(shù)據(jù)保護的義務(wù)人。此時遵循的是知情同意規(guī)則，數(shù)據(jù)主體是能夠享有明確表達他們的同意或不同意權(quán)利要求的權(quán)利人，數(shù)據(jù)的控制者與處理者則是必須制定這種同意表格的義務(wù)人；第二個層次則是發(fā)生在個人數(shù)據(jù)的控制與處理環(huán)節(jié)，此時遵循的是責(zé)任規(guī)制規(guī)則，需要諸如在線服務(wù)商之類的數(shù)據(jù)的控制者與處理者能夠承擔(dān)責(zé)任。在數(shù)據(jù)控制與處理環(huán)節(jié)，數(shù)據(jù)控制者與處理者既是責(zé)任人，又是權(quán)利人，他們是得到數(shù)據(jù)主體的數(shù)據(jù)控制與處理授權(quán)的權(quán)利人，而數(shù)據(jù)主體則是有著向他們提供數(shù)據(jù)義務(wù)的義務(wù)人。就此而論，現(xiàn)行法律通常強調(diào)的數(shù)據(jù)隱私保護的責(zé)任規(guī)則實際上主要出現(xiàn)在個人數(shù)據(jù)保護的第二個層次上，是對數(shù)據(jù)的控制者與處理者的責(zé)任權(quán)利要求。出于數(shù)據(jù)保護上適用責(zé)任規(guī)則的考慮，[27]可從GDPR中得到印證: 數(shù)據(jù)處理者應(yīng)該直接承擔(dān)罰款和數(shù)據(jù)主體索賠的責(zé)任，數(shù)據(jù)控制者負(fù)有連帶責(zé)任，除非數(shù)據(jù)處理者或控制者能夠證明對數(shù)據(jù)主體造成的損害不是他的責(zé)任，才可以免除責(zé)任。針對個人數(shù)據(jù)的保護，筆者認(rèn)為，數(shù)據(jù)主體不僅擁有同意權(quán)，也存在將數(shù)據(jù)的控制權(quán)與處理權(quán)移交給其他控制者的責(zé)任與義務(wù)。因此，在數(shù)據(jù)控制與處理環(huán)節(jié)數(shù)據(jù)控制者與處理者可以不僅是被動的義務(wù)人，同時亦是主動的權(quán)利人。在后一種情況下，數(shù)據(jù)主體反而成為了數(shù)據(jù)提供的義務(wù)人。當(dāng)數(shù)據(jù)主體不愿擔(dān)任數(shù)據(jù)提供義務(wù)人的角色時，這個環(huán)節(jié)將會無法成立，因為這個環(huán)節(jié)的核心內(nèi)容是數(shù)據(jù)本身。

五、GDPR與我國個人數(shù)據(jù)保護同意規(guī)則的修正與完善

GDPR作為繼歐盟的DPD以來有突破性的關(guān)于個人數(shù)據(jù)保護的法案，其創(chuàng)新之處在于將同意細(xì)分作為對個人數(shù)據(jù)的無爭議同意和對敏感數(shù)據(jù)的明示同意，進一步加強了人們對個人數(shù)據(jù)保護過程中數(shù)據(jù)主體的信息自決權(quán)與知情同意權(quán)的重要認(rèn)知?？梢灶A(yù)見，當(dāng)GDPR著力改進有關(guān)“同意”的形式和方法時，會給作為數(shù)據(jù)主體的網(wǎng)絡(luò)用戶施加繁瑣的程序壓力：因為網(wǎng)絡(luò)用戶在很大程度上沒有能力評估其數(shù)據(jù)使用的合法性和相稱性，他們不能享有拒絕非法性和不相稱性的整體自主權(quán)。由于同意條款有時將可能成為在線服務(wù)商收集與處理數(shù)據(jù)責(zé)任的轉(zhuǎn)移工具，這樣一來可能會背離保護數(shù)據(jù)主體個人數(shù)據(jù)的初衷。從數(shù)據(jù)主體、數(shù)據(jù)的控制者與處理者之間的關(guān)系來看，數(shù)據(jù)主體的知情同意規(guī)則是個人數(shù)據(jù)收集環(huán)節(jié)的重要原則。在數(shù)據(jù)的控制與處理環(huán)節(jié)上，知情同意規(guī)則需要進一步加入諸如在線服務(wù)商之類的數(shù)據(jù)的控制者與處理者的責(zé)任承擔(dān)內(nèi)容?？偠灾?，最終在個人數(shù)據(jù)保護問題上需要做到，數(shù)據(jù)主體的同意規(guī)則與諸如在線服務(wù)商之類的數(shù)據(jù)的控制者與處理者的責(zé)任承擔(dān)規(guī)則的一體化發(fā)展。

目前，我國已經(jīng)在個人信息保護法(草案)的立法思路中效仿了歐盟國家的實踐，實施并落實嚴(yán)格的同意規(guī)則，尤其是針對高頻率處理數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)，均需進行數(shù)據(jù)合規(guī)審查以及同意規(guī)制。我國關(guān)于“同意規(guī)則”的合規(guī)存在三大特點: 第一，數(shù)據(jù)主體的同意是個人數(shù)據(jù)處理的重要且唯一的合法性基礎(chǔ);第二， 對于個人數(shù)據(jù)處理行為的同意是一次性授權(quán); 第三，對于個人數(shù)據(jù)不區(qū)分場景、類別、處理環(huán)節(jié)均要求適用“同意規(guī)則”。我國相關(guān)司法實踐亦嚴(yán)格遵守同意規(guī)則，數(shù)據(jù)處理行為是否獲得了數(shù)據(jù)主體的同意已經(jīng)構(gòu)成為該行為是否合法的重要評判標(biāo)準(zhǔn)。[27]從前面的大量分析可以看出，個人數(shù)據(jù)保護僅僅依靠同意規(guī)則遠(yuǎn)遠(yuǎn)滿足不了現(xiàn)實需求。在此，筆者提出三個路徑，以期對我國個人數(shù)據(jù)保護的同意規(guī)則的修正與完善有所幫助。

首先，進一步明確數(shù)據(jù)主體作為個人數(shù)據(jù)權(quán)利主體的法律地位，最大限度地確保同意是由數(shù)據(jù)主體做出的并且是他們真實意圖的表達。2017年在我國曾經(jīng)出現(xiàn)了騰訊與華為圍繞手機用戶是否是數(shù)據(jù)主體的訴訟爭議。[28]此案例揭示了針對個人數(shù)據(jù)保護不僅需要遵循同意規(guī)則，同時還需確保承認(rèn)數(shù)據(jù)主體對個人數(shù)據(jù)擁有的權(quán)利，因為任何同意規(guī)則的實施都是圍繞數(shù)據(jù)主體展開，如“數(shù)據(jù)主體”有關(guān)同意的意見表達問題；而且只有在數(shù)據(jù)主體的權(quán)利得到確認(rèn)時，同意規(guī)則的實施以及所獲得的數(shù)據(jù)主體有關(guān)同意的表達才可能是真實有效的。因此，GDPR明確強調(diào)數(shù)據(jù)主體在個人數(shù)據(jù)保護中的定位和意義，對于我國個人數(shù)據(jù)保護同意規(guī)則的完善具有一定的借鑒意義。

其次，雖然同意規(guī)則是個人數(shù)據(jù)收集與處理的重要前提，但其并非是個人數(shù)據(jù)收集與處理的唯一的合法性基礎(chǔ)。因為在數(shù)據(jù)主體的同意之外，亦可將企業(yè)的責(zé)任擔(dān)當(dāng)、數(shù)據(jù)主體的重大利益、合同履行利益、社會公共利益等也納入個人數(shù)據(jù)收集與處理合法性基礎(chǔ)范圍內(nèi)加以考察，這也將打破同意條款可能成為企業(yè)(如在線服務(wù)商)收集與處理數(shù)據(jù)的責(zé)任轉(zhuǎn)移工具的法律怪圈。百度公司董事長兼首席執(zhí)行官李彥宏曾經(jīng)指出，“中國的消費者在隱私保護的前提下，很多時候是愿意以一定的個人數(shù)據(jù)授權(quán)使用，去換取更加便捷的服務(wù)”[29]。在現(xiàn)實應(yīng)用場景中，消費者在下載相關(guān)的app 軟件后，允許在線服務(wù)商共享其信息數(shù)據(jù)，有利于數(shù)據(jù)的流通，但同時也可能使相關(guān)信息數(shù)據(jù)的傳輸、共享、利用脫離信息權(quán)利人的控制。[13]由此可見，當(dāng)數(shù)據(jù)主體闡明其同意后，用戶就可能喪失對自己數(shù)據(jù)收集與處理的支配權(quán)。個人數(shù)據(jù)的收集與處理在取得數(shù)據(jù)主體的同意之外，還應(yīng)該加入其它的考量因素，其中企業(yè)的責(zé)任擔(dān)當(dāng)顯得格外重要，因為它可以防止數(shù)據(jù)控制者與處理者將已經(jīng)獲得數(shù)據(jù)主體的同意作為在個人數(shù)據(jù)的處理與使用上濫權(quán)的借口，進而逃避相應(yīng)的法律義務(wù)與責(zé)任。

最后，明確同意規(guī)則的區(qū)分適用，具體包括:區(qū)分同意規(guī)則在身份已經(jīng)識別與身份可能識別的個人數(shù)據(jù)中的適用、一般性與敏感性的個人數(shù)據(jù)中的適用、敏感性與非敏感性的個人數(shù)據(jù)中的適用。同意細(xì)分的明確化可以進一步加強人們對無爭議同意在個人數(shù)據(jù)中的適用以及明示同意在敏感數(shù)據(jù)中的適用的認(rèn)知。今后我國在對同意規(guī)則進行設(shè)計時，可以在區(qū)分身份已經(jīng)識別與身份可能識別的個人數(shù)據(jù)的基礎(chǔ)上，進行更具指向性的個人數(shù)據(jù)保護。目前，我國對于以上兩種個人數(shù)據(jù)采用的是同等保護模式，在同意規(guī)則上亦是如此。此外，我國在同意規(guī)則的設(shè)計上可以在區(qū)分個人敏感數(shù)據(jù)與一般數(shù)據(jù)的基礎(chǔ)上，通過強化對前者的保護和強化對后者的利用，調(diào)和個人數(shù)據(jù)保護與利用的需求沖突，實現(xiàn)利益平衡[30]。針對敏感性與非敏感性數(shù)據(jù)的區(qū)分可以看到，應(yīng)當(dāng)通過區(qū)分無爭議同意與明示同意來強化數(shù)據(jù)主體對于敏感性數(shù)據(jù)的自覺保護意識，不能讓法律上對敏感性數(shù)據(jù)的保護缺位。過去有學(xué)者認(rèn)為“個人信息保護法中不宜采用敏感個人信息概念”[31]P79，顯然這會造成法律上對敏感性數(shù)據(jù)保護缺位的風(fēng)險。

總之，GDPR明確區(qū)分明示同意與無爭議同意能夠在個人數(shù)據(jù)保護中起到良好的規(guī)范作用，但在實踐中，在線服務(wù)商反對區(qū)分“明示同意”與“無爭議同意”。雖然在線服務(wù)商的“同意就是同意”立場具有一定的合理性，反映了互聯(lián)網(wǎng)上真正實現(xiàn)同意細(xì)分的操作性難度，但這并不能成為在線服務(wù)商逃避法律責(zé)任的一個借口。隨著互聯(lián)網(wǎng)的迅猛發(fā)展，有必要進一步合理規(guī)制在線服務(wù)商的責(zé)任問題，以及細(xì)化個人隱私保護條例，以達到個人數(shù)據(jù)的有效保護。GDPR細(xì)化同意規(guī)則是積極促進個人數(shù)據(jù)保護的重要嘗試，這對我國在個人數(shù)據(jù)保護法案中改進同意規(guī)則具有一定的借鑒意義。