李偉 蔣文杰

摘 要：隨著互聯(lián)網(wǎng)的高速發(fā)展，個(gè)人數(shù)據(jù)在網(wǎng)絡(luò)上的安全問題日益突出，如何在與網(wǎng)絡(luò)服務(wù)商交往過程中保護(hù)個(gè)人數(shù)據(jù)安全已成為學(xué)界熱議之話題。隱私協(xié)議的存在為服務(wù)商與用戶交往提供更多可能，由于隱私協(xié)議為服務(wù)商單方提供，公平性存疑，故需采納知情同意機(jī)制來維護(hù)用戶的個(gè)人數(shù)據(jù)安全。事實(shí)上，用戶知情同意的認(rèn)定標(biāo)準(zhǔn)非常模糊，需要對(duì)該標(biāo)準(zhǔn)進(jìn)行明晰與厘清。隱私協(xié)議作為用戶知情同意權(quán)行使的主要載體，其性質(zhì)應(yīng)界定為合同。隱私協(xié)議不足的本質(zhì)是違反了公平、誠(chéng)信原則，具體體現(xiàn)為隱私協(xié)議保障用戶知情同意不力;探究知情同意的本質(zhì)和表示方式有助于進(jìn)一步了解知情同意;引入知情同意的構(gòu)成要件作為認(rèn)定標(biāo)準(zhǔn)，可以達(dá)到較為清晰明確對(duì)知情同意進(jìn)行認(rèn)定的目的。

關(guān)鍵詞：知情同意 用戶數(shù)據(jù)保護(hù) 隱私協(xié)議 構(gòu)成要件

基本案情

淘寶公司以公示的隱私協(xié)議為載體經(jīng)用戶同意后收集、使用用戶原始數(shù)據(jù)，經(jīng)過淘寶公司一定的脫敏化處理和信息深度挖掘后形成了“生意參謀”產(chǎn)品，以給用戶提供更好的服務(wù)。美景公司則以提供遠(yuǎn)程登錄“生意參謀”數(shù)據(jù)產(chǎn)品淘寶用戶電腦的技術(shù)服務(wù)為招攬，通過組織、幫助他人利用已訂購(gòu)“生意參謀”產(chǎn)品服務(wù)的淘寶用戶所提供的子賬戶獲取“生意參謀”數(shù)據(jù)產(chǎn)品中的數(shù)據(jù)內(nèi)容，自己從中牟取商業(yè)利益。

淘寶公司以美景公司不正當(dāng)競(jìng)爭(zhēng)為由提起訴訟，美景公司則認(rèn)為淘寶公司所收集用戶原始信息的行為不合法，故以原始數(shù)據(jù)為基礎(chǔ)的“生意參謀”產(chǎn)品不能認(rèn)為是淘寶公司的財(cái)產(chǎn)，美景公司的行為不構(gòu)成不正當(dāng)競(jìng)爭(zhēng)。2019年，杭州中級(jí)人民法院對(duì)淘寶軟件有限公司（簡(jiǎn)稱淘寶）訴安徽美景信息科技有限公司（簡(jiǎn)稱美景）涉“生意參謀”零售電商數(shù)據(jù)平臺(tái)不正當(dāng)競(jìng)爭(zhēng)糾紛案進(jìn)行二審終審，維持一審杭州互聯(lián)網(wǎng)法院判決。[1]

一、問題的提出

淘寶訴美景案被稱為我國(guó)首例大數(shù)據(jù)產(chǎn)品不正當(dāng)競(jìng)爭(zhēng)糾紛案，對(duì)我國(guó)今后大數(shù)據(jù)糾紛的解決將會(huì)起著巨大影響。法院認(rèn)定，數(shù)據(jù)公司在對(duì)網(wǎng)絡(luò)用戶瀏覽、搜索等行為痕跡所產(chǎn)生的巨量原始數(shù)據(jù)基礎(chǔ)上，經(jīng)過處理后形成的衍生數(shù)據(jù)依法享有合法權(quán)益。一般情況下，數(shù)據(jù)公司會(huì)通過與用戶簽訂隱私協(xié)議進(jìn)而取得對(duì)原始數(shù)據(jù)進(jìn)行處理的權(quán)利。但此時(shí)是否能直接依據(jù)契約自由原則，視為用戶已經(jīng)知情同意數(shù)據(jù)公司取得對(duì)原始數(shù)據(jù)的處分，值得討論。

在淘寶訴美景案中，法院明確涉案數(shù)據(jù)產(chǎn)品“生意參謀”不具備能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的可能性，故其不屬于網(wǎng)絡(luò)安全法中的用戶個(gè)人信息，而屬于用戶非個(gè)人信息（單獨(dú)或者與其他信息結(jié)合不能識(shí)別特定個(gè)人的信息）。事實(shí)上，“生意參謀”是淘寶公司通過收集用戶原始數(shù)據(jù)加工處理后得到的，也就是說“生意參謀”的合法性與收集原始數(shù)據(jù)的方式具有關(guān)聯(lián)性，收集原始數(shù)據(jù)的方式不合法，那么“生意參謀”的合法性便存疑。法院在審理認(rèn)定中并沒有討論“生意參謀”原始數(shù)據(jù)的收集方式是否合法，而是跳過該過程將“生意參謀”認(rèn)定為非個(gè)人信息，相當(dāng)于直接承認(rèn)收集原始數(shù)據(jù)的方式是合法的，此處值得深入討論。法院對(duì)收集、處理用戶個(gè)人數(shù)據(jù)合法性的認(rèn)定表明，法院對(duì)隱私協(xié)議是否合法合理沒有進(jìn)行審查，如此，服務(wù)商將會(huì)對(duì)隱私協(xié)議采取放任的態(tài)度，用戶的知情同意權(quán)便會(huì)受到影響。因此，為了保護(hù)網(wǎng)絡(luò)用戶的知情同意權(quán)，對(duì)隱私協(xié)議的規(guī)范不可避免。對(duì)此，可以采取一套合理有效的知情同意認(rèn)定標(biāo)準(zhǔn)，只有符合知情同意的隱私協(xié)議才能成為服務(wù)商收集、處理用戶數(shù)據(jù)的依據(jù)。

就現(xiàn)行立法而言，知情同意的認(rèn)定標(biāo)準(zhǔn)處于一種模糊不確定的狀態(tài)。網(wǎng)絡(luò)安全法第41條第1款規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用用戶數(shù)據(jù)信息應(yīng)遵循合法、正當(dāng)、必要原則，告知收集使用方式、目的和范圍，并經(jīng)用戶同意。其中的“正當(dāng)”具體應(yīng)如何理解，法條沒有進(jìn)一步明晰。消費(fèi)者權(quán)益保護(hù)法第29條第1款與網(wǎng)絡(luò)安全法的規(guī)定相類似，不是非常清晰。《信息安全技術(shù)——個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《規(guī)范》，該《規(guī)范》由全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)2017年12月29日正式發(fā)布，2018年5月1日實(shí)施，該《規(guī)范》的目的在于，遏制個(gè)人信息非法收集、濫用、泄露等亂象，最大程度地保障個(gè)人合法權(quán)益和社會(huì)公共權(quán)益）對(duì)網(wǎng)絡(luò)服務(wù)商收集、處理用戶個(gè)人數(shù)據(jù)作出了較為明確的規(guī)定，但由于其是推薦性標(biāo)準(zhǔn)，所起的作用僅僅是執(zhí)法參考和說理依據(jù)。所以，立法方面關(guān)于知情同意認(rèn)定的規(guī)定不多，知情同意認(rèn)定標(biāo)準(zhǔn)過于模糊、不確定，所以亟需對(duì)知情同意認(rèn)定的有關(guān)規(guī)定進(jìn)行完善、明晰。

綜上，本文的研究重點(diǎn)是，網(wǎng)絡(luò)服務(wù)商的隱私協(xié)議應(yīng)當(dāng)滿足哪些條件，才可以視為符合知情同意。為此，文章先從隱私協(xié)議對(duì)知情同意保護(hù)的現(xiàn)實(shí)困境出發(fā)，分析實(shí)踐中隱私協(xié)議的不足表現(xiàn)，在隱私協(xié)議性質(zhì)的界定基礎(chǔ)上探究隱私協(xié)議不足的本質(zhì)原因。然后，探究知情同意的本質(zhì)與表示方式，以便知情同意認(rèn)定標(biāo)準(zhǔn)的構(gòu)建。最后，由于知情同意的成立需檢視其構(gòu)成要件是否滿足，所以在知情同意認(rèn)定標(biāo)準(zhǔn)問題上，引入知情同意的構(gòu)成要件作為認(rèn)定標(biāo)準(zhǔn)或許可以緩解知情同意認(rèn)定標(biāo)準(zhǔn)較為模糊所帶來的困境。

二、隱私協(xié)議對(duì)用戶知情同意保護(hù)的現(xiàn)實(shí)困境

隱私協(xié)議作為用戶與服務(wù)商溝通的“橋梁”，通過與用戶建立信任來進(jìn)一步影響用戶提供個(gè)人數(shù)據(jù)的意愿。[2]可以說，隱私協(xié)議與知情同意的關(guān)系非常密切，在研究知情同意的認(rèn)定上更是繞不開隱私協(xié)議，因?yàn)椋瑢?duì)知情同意認(rèn)定提出的建議最后均需要落實(shí)在隱私協(xié)議的設(shè)置上。通過對(duì)淘寶、京東、網(wǎng)易、百度、亞馬遜等著名網(wǎng)絡(luò)服務(wù)商隱私協(xié)議的分析、總結(jié)，我們發(fā)現(xiàn)，由于服務(wù)商的優(yōu)勢(shì)地位和信息控制，往往會(huì)使得用戶的知情同意難以得到有效保障。

（一）隱私協(xié)議保護(hù)用戶知情同意不足之表現(xiàn)

首先，無論是國(guó)內(nèi)的淘寶、百度、京東等大流量的服務(wù)商，還是國(guó)外亞馬遜、Facebook等巨頭，其隱私協(xié)議均存在內(nèi)容繁雜、篇幅較長(zhǎng)、表達(dá)過于專業(yè)化的現(xiàn)象。專業(yè)人士對(duì)這些隱私協(xié)議的理解尚不能以輕松形容，普通大眾對(duì)其的理解則可以想象，這對(duì)用戶知情權(quán)的實(shí)現(xiàn)造成了阻礙，進(jìn)一步影響用戶的具體特定同意。

其次，網(wǎng)絡(luò)服務(wù)商對(duì)于隱私協(xié)議的更改比較頻繁，很多情況下更改之后并不會(huì)提示用戶，服務(wù)商更傾向于將更改后的協(xié)議放置在公告平臺(tái)上，讓用戶自己去尋求有關(guān)更改信息，這一做法的實(shí)際效果與預(yù)想的相去甚遠(yuǎn)。原因在于用戶在服務(wù)商的網(wǎng)站上尋求服務(wù)時(shí)并不會(huì)尋找有關(guān)隱私協(xié)議的信息，即便愿意尋找，公告平臺(tái)處于網(wǎng)站上的位置也不明顯，需要花費(fèi)一定時(shí)間才能尋找到，更不會(huì)關(guān)注隱私協(xié)議是否更改;還有就是一些服務(wù)商更改后的協(xié)議與之前的協(xié)議沒有進(jìn)行對(duì)照列示，這些原因?qū)е掠脩魧?duì)更改后隱私協(xié)議的忽視，也會(huì)影響用戶知情權(quán)的保障。

再次，實(shí)踐中隱私協(xié)議有關(guān)收集用戶個(gè)人數(shù)據(jù)的內(nèi)容并不全然與執(zhí)行合同或提供服務(wù)之目的有著直接或間接的關(guān)系，與法律的規(guī)定相左。歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）第7條第4款規(guī)定，在評(píng)估同意是不是自由作出時(shí)，應(yīng)最大限度考慮合同的執(zhí)行包括服務(wù)的提供是否以基于不必要的同意個(gè)人數(shù)據(jù)處理為條件。[3]有學(xué)者認(rèn)為，服務(wù)商無需通過同意來獲取與執(zhí)行合同或提供服務(wù)所必需的個(gè)人數(shù)據(jù)，在收集、處理其他相關(guān)個(gè)人數(shù)據(jù)時(shí)，用戶的知情同意為其提供了合法性基礎(chǔ)。[4]我國(guó)網(wǎng)絡(luò)安全法第41條第2款規(guī)定，收集的個(gè)人數(shù)據(jù)必須與所提供的服務(wù)相關(guān)。這樣一來，法律的規(guī)定幾乎沒有給服務(wù)商獲取執(zhí)行合同或提供服務(wù)所必需的個(gè)人數(shù)據(jù)以外的數(shù)據(jù)空間，而現(xiàn)實(shí)中的隱私協(xié)議卻依然存在獲取非必要數(shù)據(jù)的現(xiàn)象。

最后，一些隱私協(xié)議的構(gòu)造與設(shè)置存在不合理的地方，體現(xiàn)在選擇-加入與選擇-退出機(jī)制的采用上。選擇-加入機(jī)制，是指用戶以積極方式，如勾選同意之方框，來表示允許服務(wù)商對(duì)該個(gè)人數(shù)據(jù)的收集、處理。選擇-退出機(jī)制，就是服務(wù)商在隱私協(xié)議中預(yù)先擬定用戶之同意，再由用戶進(jìn)行選擇，若對(duì)某項(xiàng)表示反對(duì)，則通過刪除或者勾選不同意之方框來表示不同意。[5]對(duì)比兩種機(jī)制的優(yōu)劣，選擇-退出機(jī)制對(duì)用戶個(gè)人數(shù)據(jù)的保護(hù)弱于選擇-加入機(jī)制，因?yàn)樵趥€(gè)人的信息數(shù)量一定的情形下，將較多的信息納入到隱私協(xié)議中（即允許服務(wù)商進(jìn)行收集、處理），勢(shì)必增加該部分信息安全的風(fēng)險(xiǎn)。事實(shí)上，采用選擇-退出機(jī)制的隱私協(xié)議中用戶大多都會(huì)遺漏將一些不必要或者重要的信息排除出協(xié)議外，這些被遺漏排除出協(xié)議的信息將處于隱私協(xié)議內(nèi)，其安全性由用戶單獨(dú)把握變成用戶與服務(wù)商共同主導(dǎo)，而多一個(gè)信息主導(dǎo)者無疑增大了信息安全的風(fēng)險(xiǎn)。所以，在兩者功能、提供難度等相似的情況下，前者的適用空間因?qū)?shù)據(jù)保護(hù)不足必將被后者擠壓。對(duì)此，歐盟也因選擇-退出機(jī)制的劣勢(shì)和其不符《一般數(shù)據(jù)保護(hù)條例》第4條第11款所要求“肯定”之方式，而將選擇-退出機(jī)制排除適用。[6]由于我國(guó)法律法規(guī)未規(guī)定隱私協(xié)議的采用機(jī)制，所以實(shí)踐中，仍有部分服務(wù)商采用選擇-退出機(jī)制，這對(duì)保護(hù)用戶數(shù)據(jù)安全非常不利。

（二）隱私協(xié)議的性質(zhì)與困境之本質(zhì)

實(shí)踐中隱私協(xié)議中的問題更甚，上述是經(jīng)過分析服務(wù)商隱私協(xié)議總結(jié)出來的幾個(gè)主要問題。然而，這只是隱私協(xié)議對(duì)用戶知情同意保護(hù)不力的外在表現(xiàn)，其保護(hù)不力的本質(zhì)究竟為何？是否與隱私協(xié)議的性質(zhì)相關(guān)？是接下來需要探討的問題。

學(xué)術(shù)界關(guān)于隱私協(xié)議的性質(zhì)界定有著不同看法，主要分為兩個(gè)學(xué)說，即合同說與規(guī)制工具說。

合同說，就是網(wǎng)絡(luò)服務(wù)商與網(wǎng)絡(luò)用戶之間的隱私協(xié)議應(yīng)定性為合同。這一學(xué)說仍然將隱私協(xié)議視為契約自由的產(chǎn)物，贊成這一學(xué)說的不僅有外國(guó)學(xué)者，[7]也有國(guó)內(nèi)學(xué)者認(rèn)為隱私協(xié)議不是一種聲明，而是建立在雙方合意基礎(chǔ)上的協(xié)議。[8]司法實(shí)踐中，也有法院將隱私協(xié)議視為合同的一種，例如，我國(guó)法院在審理盧星與小米科技有限責(zé)任公司網(wǎng)絡(luò)購(gòu)物合同糾紛案中，法院就將該案中的隱私協(xié)議視為合同。[9]在該案中，小米公司的隱私協(xié)議規(guī)定了管轄的條款，在盧星與小米公司發(fā)生糾紛向法院起訴后，一審法院直接裁定將案件移送至管轄條款規(guī)定的法院，二審法院適用民事訴訟法第34條的規(guī)定認(rèn)為當(dāng)事人間存在有效的管轄約定，進(jìn)而維持原判。[10]

規(guī)制工具說，該說認(rèn)為：隱私協(xié)議是服務(wù)商進(jìn)行告知與選擇機(jī)制的主要方式，有效的告知要求滿足用戶的知情權(quán)，即須明確告知用戶收集、使用個(gè)人信息的方式、范圍、目的等，用戶的選擇依賴于告知和同意而作出。該機(jī)制的目的主要在于實(shí)現(xiàn)用戶自己把握自身信息的被收集與使用，達(dá)到真正的個(gè)人信息自主，讓希冀于收集使用用戶信息的服務(wù)商限制自己不法收集使用用戶信息的欲望。[11]還有一些支持規(guī)制工具說的學(xué)者認(rèn)為隱私協(xié)議不僅有著靈活性強(qiáng)、易于執(zhí)行、成本低廉的特點(diǎn)，甚至可以部分替代監(jiān)管的作用。[12]

上述兩種學(xué)說是從不同角度和關(guān)系進(jìn)行探討的，合同說從服務(wù)商與用戶兩者間的關(guān)系出發(fā)，規(guī)制工具說從服務(wù)商與規(guī)制機(jī)關(guān)的關(guān)系進(jìn)行展開，[13]兩者均具有一定爭(zhēng)議。對(duì)于合同說，其比較符合生活中大眾關(guān)于隱私協(xié)議的認(rèn)知，但還是有部分學(xué)者對(duì)隱私協(xié)議視為合同，持反對(duì)意見。Daniel和Woodrow認(rèn)為隱私協(xié)議是指網(wǎng)絡(luò)服務(wù)商以在線文件的方式自愿主動(dòng)聲明自己對(duì)消費(fèi)者個(gè)人信息保護(hù)的原則和措施，他們認(rèn)為隱私協(xié)議僅僅只是一種聲明，并不是合同。[14]還有部分反對(duì)合同說的學(xué)者認(rèn)為，隱私協(xié)議不能視為合同，僅構(gòu)成企業(yè)政策告知書，理由是合同乃當(dāng)事人共同協(xié)商的產(chǎn)物，而如今的隱私協(xié)議基本由網(wǎng)絡(luò)服務(wù)商提供，根本不是磋商的產(chǎn)物，且?guī)缀鯖]有給用戶提供更改的空間，因此隱私協(xié)議不能被視為合同。[15]對(duì)于規(guī)制工具說，該學(xué)說存在不合理的地方，用戶信息具有的商業(yè)價(jià)值對(duì)服務(wù)商來說具有極大的吸引力，隱私協(xié)議又為服務(wù)商所提供，僅寄希望于隱私協(xié)議發(fā)揮限制服務(wù)商的功能恐怕不太現(xiàn)實(shí)。本文認(rèn)為，將隱私協(xié)議定性為合同更加合適，理由如下。

第一，隱私協(xié)議的成立是服務(wù)商要約與用戶承諾的結(jié)果，符合合同屬性的要求，且合同說在我國(guó)司法實(shí)踐中被采納過，也符合普通大眾的認(rèn)知，將其認(rèn)定為合同具有正當(dāng)性。至于學(xué)者對(duì)該學(xué)說的反對(duì)意見，若將隱私協(xié)議視為聲明或政策告知書，那么服務(wù)商獲取用戶信息的合法性基礎(chǔ)便會(huì)消失，因?yàn)槁暶髋c政策告知書僅具有告知功能，用戶與服務(wù)商的交往系單向，自服務(wù)商指向用戶，用戶的同意便無以表達(dá)，沒有用戶的同意便收集使用用戶信息實(shí)屬于法無據(jù)，因此不能將隱私協(xié)議視為聲明或政策告知書。至于規(guī)制工具說，其自身的缺陷太難彌補(bǔ)，僅關(guān)注隱私協(xié)議限制服務(wù)商這一功能，合同說也有著相似的功能，因?yàn)楹贤?guī)定雙方權(quán)利義務(wù)，根據(jù)權(quán)利義務(wù)相一致原則，在服務(wù)商享有收集使用用戶信息權(quán)利的情形下，勢(shì)必會(huì)被課與一定義務(wù)，以此達(dá)到權(quán)利義務(wù)相一致，所以規(guī)制工具說的部分限制功能合同說也同樣具有。總而言之，兩者相權(quán)，合同說更具有優(yōu)勢(shì)。

第二，從自由經(jīng)濟(jì)學(xué)派關(guān)于自由經(jīng)濟(jì)的觀點(diǎn)探討隱私協(xié)議的存在與本質(zhì)。對(duì)于自由經(jīng)濟(jì)來說，其主要基于四個(gè)理論預(yù)設(shè)：理性人;完全競(jìng)爭(zhēng);法律上人格平等與行為自由;社會(huì)利益表現(xiàn)為個(gè)人利益的總和。[16]理性人可以具體為生產(chǎn)者、銷售者與消費(fèi)者，他們處于商品交換的兩端，處于一端的生產(chǎn)者與銷售者追求的是利益最大化，因而盡量降低成本獲取最大利益;而處于另一端的消費(fèi)者追求的則是效用最大化，使盡量低的成本獲取好的商品或服務(wù)。[17]現(xiàn)實(shí)中，網(wǎng)絡(luò)服務(wù)商提供的是網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)用戶的需求卻不一定是網(wǎng)絡(luò)服務(wù)，但其需求都得借助網(wǎng)絡(luò)服務(wù)來實(shí)現(xiàn)。例如，若僅是瀏覽新聞，則供給與需求是一致的，此時(shí)用戶的需求為服務(wù)商提供的網(wǎng)絡(luò)服務(wù)，服務(wù)商為服務(wù)提供者;若為網(wǎng)購(gòu)，用戶的需求為商品或服務(wù)（非網(wǎng)絡(luò)服務(wù)），服務(wù)商一般不直接提供商品與服務(wù)，而是作為平臺(tái)提供網(wǎng)絡(luò)服務(wù)來實(shí)現(xiàn)消費(fèi)者的用戶與賣方的交易，此時(shí)服務(wù)商提供的網(wǎng)絡(luò)服務(wù)只是實(shí)現(xiàn)交易的工具，不是用戶獲取的目標(biāo)。用戶與服務(wù)商的交往，是建立在兩者之間的數(shù)據(jù)流通上，主要方式包括瀏覽、點(diǎn)擊、同意等。在民法總則明確了網(wǎng)絡(luò)數(shù)據(jù)可作為財(cái)產(chǎn)權(quán)，我國(guó)民法典也明確了該項(xiàng)權(quán)利后，數(shù)據(jù)對(duì)數(shù)據(jù)權(quán)利者的意義就不再限于人格上，用戶在網(wǎng)絡(luò)上尋求服務(wù)時(shí)，所產(chǎn)生或提供的原始數(shù)據(jù)（包括用戶的各種信息）基本屬于用戶自身所有，服務(wù)商獲取原始數(shù)據(jù)時(shí)須征得數(shù)據(jù)所有者的同意，否則獲取數(shù)據(jù)于法無據(jù)。自此，用戶尋求服務(wù)時(shí)離不開服務(wù)商，服務(wù)商獲取用戶的原始數(shù)據(jù)須征得用戶的同意，這種關(guān)系需要穩(wěn)定下來，就需要一種“契約”來實(shí)現(xiàn)。因?yàn)槠跫s具有的法律價(jià)值之一便是有利于當(dāng)事人形成權(quán)利義務(wù)的預(yù)期，當(dāng)事人可以根據(jù)自己的選擇預(yù)見法律行為的后果，維護(hù)交易關(guān)系的穩(wěn)定性。[18]這種契約就是人們熟知的隱私協(xié)議，因此將隱私協(xié)議視為“合同”具有充分的合理性。

明確隱私協(xié)議的合同屬性，不難發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)商的隱私協(xié)議是由服務(wù)商預(yù)先擬定，目的是提供給不特定的多數(shù)用戶重復(fù)使用，無論是協(xié)議中的條款還是協(xié)議本身，均不存在用戶與服務(wù)商的磋商的情形。格式條款的認(rèn)定要從主客觀兩方面進(jìn)行考察，并排除其消極要件，其中預(yù)先擬定與重復(fù)使用屬于主觀方面，單方提出是客觀方面，自由磋商為消極要件。[19]因此，隱私協(xié)議滿足格式合同的要件，其性質(zhì)可進(jìn)一步定性為格式合同。

在前述基礎(chǔ)上，探究保護(hù)知情同意的困境便容易了許多。我國(guó)法律對(duì)格式合同的規(guī)定主要集中在被廢止的合同法中，而其中的內(nèi)容已被民法典所承繼，民法典對(duì)提供格式合同一方自由進(jìn)行限制，要求提供的合同須遵循公平原則，合理、合法地設(shè)置雙方權(quán)利義務(wù)，不能加重對(duì)方的義務(wù)或減少對(duì)方的權(quán)利。隱私協(xié)議作為格式合同的一種，須滿足民法典中的第496條對(duì)提供格式條款一方所做的要求，即提供的隱私協(xié)議應(yīng)滿足公平原則，而從實(shí)踐中隱私協(xié)議在此原則上表現(xiàn)不足的情況來看，隱私協(xié)議保障用戶的知情同意并沒有落到實(shí)處，其本質(zhì)就是格式合同未能滿足公平、誠(chéng)信原則。

三、知情同意的本質(zhì)與表示方式

在對(duì)知情同意本質(zhì)研究的基礎(chǔ)上，才可以更深層次地了解知情同意。而對(duì)表示方式的探究，是因?yàn)椴捎煤线m的表示方式對(duì)隱私協(xié)議的構(gòu)造與設(shè)置有著決定性影響，進(jìn)而更有利于知情同意的認(rèn)定。對(duì)知情同意本質(zhì)與表示方式的研究，是為知情同意認(rèn)定標(biāo)準(zhǔn)引入構(gòu)成要件進(jìn)行鋪墊。

（一）對(duì)質(zhì)疑知情同意的回應(yīng)

知情同意作為意思自治原則在網(wǎng)絡(luò)服務(wù)商收集、使用網(wǎng)絡(luò)用戶個(gè)人數(shù)據(jù)的原則性條款，一直為人所詬病，甚至有人認(rèn)為應(yīng)放棄這一機(jī)制，尋求其他路徑。質(zhì)疑者認(rèn)為，知情同意機(jī)制已經(jīng)跟不上互聯(lián)網(wǎng)、大數(shù)據(jù)的發(fā)展。首先，用戶難以理解冗長(zhǎng)的隱私協(xié)議，往往選擇跳過閱讀直接進(jìn)行同意;其次，用戶往往因?yàn)楂@取心儀服務(wù)而被迫同意;最后，用戶經(jīng)常對(duì)數(shù)據(jù)被收集不知情，難以向收集者甚至第三人主張權(quán)利。[20]傳統(tǒng)的知情同意機(jī)制雖有若干弊端，但并不能對(duì)其全盤否定，其仍有存續(xù)的必要。知情同意作為意思自治原則在數(shù)據(jù)收集領(lǐng)域的適用，體現(xiàn)的是用戶的自由意志，其在網(wǎng)絡(luò)數(shù)據(jù)收集領(lǐng)域重要性猶如意思自治在民法中的地位，具有不可替代性。[21]而且，我國(guó)有關(guān)法律、司法解釋與部門規(guī)章也突出了知情同意的重要性，如網(wǎng)絡(luò)安全法第41條、《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條、《征信業(yè)管理?xiàng)l例》第13條等，都規(guī)定了收集用戶個(gè)人數(shù)據(jù)需以用戶知情后同意為前提。從我國(guó)學(xué)界主流見解來看，多數(shù)學(xué)者也均將知情同意權(quán)作為個(gè)人信息權(quán)的具體權(quán)能或者權(quán)利內(nèi)容。[22]所以，鑒于知情同意的重要性與不可替代性，不能對(duì)其全盤否定，為了使其適應(yīng)互聯(lián)網(wǎng)的快速發(fā)展，需對(duì)其進(jìn)行改善。本文著重對(duì)知情同意的認(rèn)定標(biāo)準(zhǔn)進(jìn)行明晰。

（二）知情同意的本質(zhì)探究

互聯(lián)網(wǎng)的發(fā)展是把雙刃劍，人們享受著其帶來的便利，同時(shí)也面臨其帶來的風(fēng)險(xiǎn)，這個(gè)風(fēng)險(xiǎn)主要就是個(gè)人信息安全保障不足，信息有著泄露的可能。在這個(gè)時(shí)代，互聯(lián)網(wǎng)上個(gè)人信息保護(hù)備受關(guān)注，知情同意機(jī)制是個(gè)人信息保護(hù)的基礎(chǔ)。[23]知情同意機(jī)制要求用戶知情得到保障后進(jìn)行同意，是用戶獲取隱私協(xié)議的信息經(jīng)過思量后作出的選擇，可以將其二分為主觀知情狀態(tài)和客觀同意行為，前一狀態(tài)得到保障是后一行為的有效要件。

知情是主觀獲取信息的狀態(tài)。在認(rèn)定知情的過程中，無法洞察用戶主觀是否已知悉隱私協(xié)議的內(nèi)容，只能借助于客觀的隱私協(xié)議與之后的同意行為來進(jìn)行推定。由于服務(wù)商和用戶之間的市場(chǎng)地位不對(duì)等，服務(wù)商有著明顯的優(yōu)勢(shì)地位，將無法推定用戶知情的風(fēng)險(xiǎn)轉(zhuǎn)嫁給服務(wù)商是比較合適的，即若隱私協(xié)議符合公平、誠(chéng)信原則，則用戶進(jìn)行同意后，無論用戶是否真正知情，皆認(rèn)定其已知情。反之，則推定用戶知情未得到保障，其同意效力受到質(zhì)疑。將用戶主觀心理不可探究的知情與否取決于外在可視隱私協(xié)議是否符合公平、誠(chéng)信原則更有利于知情的認(rèn)定，這為接下來的引入構(gòu)成要件作為知情同意認(rèn)定標(biāo)準(zhǔn)定下了基調(diào)。

關(guān)于同意的本質(zhì)。德國(guó)學(xué)術(shù)界意見不一，有認(rèn)為是法律行為，有認(rèn)為是事實(shí)行為，還有認(rèn)為是準(zhǔn)法律行為。[24]歐盟《一般數(shù)據(jù)保護(hù)條例》第4條第11款將同意認(rèn)定為用戶自愿作出的意思表示。中國(guó)臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》第7條第1項(xiàng)將同意定性為意思表示。王澤鑒先生認(rèn)為當(dāng)事人同意的本質(zhì)應(yīng)屬于法律行為，其目的是體現(xiàn)個(gè)人數(shù)據(jù)保護(hù)中當(dāng)事人自主，建構(gòu)私法上的規(guī)范機(jī)制。[25]我國(guó)有關(guān)立法沒有對(duì)用戶同意的本質(zhì)作出規(guī)定，但從有關(guān)條款可以探知立法者對(duì)于同意的態(tài)度，如網(wǎng)絡(luò)安全法第41條第1款規(guī)定的“收集、使用用戶個(gè)人信息應(yīng)當(dāng)經(jīng)過用戶同意”，在這里同意宜視為法律行為，因其功能是給服務(wù)商收集使用之行為提供合法性基礎(chǔ)，使服務(wù)商與用戶之間產(chǎn)生收集、使用個(gè)人數(shù)據(jù)的法律關(guān)系，具備法律行為應(yīng)有的要素。

（三）知情同意的表示方式

在表示方式上，用戶同意行為之表示須為書面形式、電子形式，還是口頭形式也被允許;同意須明示表示，還是默示表示也可被接受，這些問題值得斟酌。我國(guó)臺(tái)灣地區(qū)“個(gè)人資料保護(hù)法”第7條第2項(xiàng)中對(duì)同意并沒有明文規(guī)定需要明示，換言之，在對(duì)法條進(jìn)行解釋時(shí)，默示同意有其存在空間。而從另一角度看，承認(rèn)默示同意或許對(duì)用戶的保護(hù)不足，還有可能增加服務(wù)商日后舉證之困難。[26]從該項(xiàng)還可以看出同意可以采用書面、口頭或電子形式，日常中，普通大眾接觸到的基本是電子形式的隱私協(xié)議。歐盟《一般數(shù)據(jù)保護(hù)條例》則沿襲1995年的《數(shù)據(jù)保護(hù)指令》，其第4條第11款并不要求必須采取書面形式，只需要具體明確即可，這給另外兩種形式的同意留下了空間。歐盟《一般數(shù)據(jù)保護(hù)條例》立法理由第32點(diǎn)對(duì)該款中“明確的肯定形式”做了補(bǔ)充說明，確定“明確的肯定形式”包括電子形式和口頭聲明。[27]可知?dú)W盟對(duì)同意有著積極肯定的要求，默示同意沒有存在之空間。

我國(guó)有關(guān)立法對(duì)同意的方式與形式均未規(guī)定，僅《規(guī)范》第3.6條對(duì)同意作出了較為具體規(guī)定，其規(guī)定同意應(yīng)由用戶通過書面聲明或者主動(dòng)做出肯定性動(dòng)作進(jìn)行表示，包括用戶主動(dòng)作出聲明、主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”“注冊(cè)”“發(fā)送”“撥打”等行為。由此可見，《規(guī)范》對(duì)同意有著積極主動(dòng)要求的傾向，從立法層面與實(shí)踐層面須銜接配合來看，我國(guó)將來之立法也會(huì)對(duì)同意有著積極主動(dòng)要求的趨勢(shì)，這樣一來，默示同意幾乎沒有存在的空間。至于口頭同意，其取證著實(shí)困難，在現(xiàn)行技術(shù)未能解決取證難之問題時(shí)，不宜將口頭同意納入同意的范圍之內(nèi)，如若某一服務(wù)商本身之技術(shù)、資金足夠解決取證難等問題，在有關(guān)法律修改或者制定時(shí)可以考慮對(duì)其預(yù)留空間，保留同意方式之彈性。至于服務(wù)商的隱私協(xié)議采用選擇-退出機(jī)制是否可行，單從上述規(guī)范的積極主動(dòng)同意之規(guī)定來看，選擇-退出機(jī)制無疑符合條件，但是該機(jī)制對(duì)用戶個(gè)人數(shù)據(jù)的保護(hù)力度卻不及選擇-加入機(jī)制，因?yàn)橛脩舨坏貌蝗萑谭?wù)商隱私協(xié)議之預(yù)設(shè)，對(duì)服務(wù)商收集、使用資料的范圍、方式等具有不明確的認(rèn)識(shí)，對(duì)個(gè)人數(shù)據(jù)保護(hù)具有較大不確定性。況且，在選擇-加入機(jī)制已足夠滿足數(shù)據(jù)之收集、執(zhí)行合同之必要的情況下，實(shí)在沒必要冒著犧牲用戶個(gè)人數(shù)據(jù)安全的風(fēng)險(xiǎn)來賦予選擇-退出機(jī)制以合法性。故，我國(guó)在知情同意的表示方式上，宜采用積極主動(dòng)明示同意的形式;在技術(shù)條件允許的情況下，保留口頭同意之空間;并放棄選擇-退出機(jī)制之適用可能性。如此，對(duì)知情同意的表示方式進(jìn)行細(xì)化明確的規(guī)定，更有利于對(duì)知情同意進(jìn)行界分、認(rèn)定。

四、知情同意構(gòu)成要件的引入

知情同意是否有效成立，須對(duì)其構(gòu)成要件進(jìn)行檢視，因此，將構(gòu)成要件作為知情同意的認(rèn)定標(biāo)準(zhǔn)具有一定合理性。歐盟《一般數(shù)據(jù)保護(hù)條例》第7條規(guī)定了同意的構(gòu)成要件，將同意的構(gòu)成要件分成知情的同意、具體特定的同意、自由的同意。[28]從知情同意屬于法律行為，法律行為的本質(zhì)為意思表示可以推出，用戶的同意需要明確具體，非出于服務(wù)商欺詐和脅迫等意思表示不自由的情況。[29]法律行為生效須具備生效要件，依照最新實(shí)施的民法典第143條，當(dāng)事人具有相應(yīng)的民事行為能力為其生效要件之一;相似的，用戶的同意也要求網(wǎng)絡(luò)用戶具有同意能力。至于個(gè)人敏感數(shù)據(jù)，其與用戶個(gè)人隱私有著高度重合，敏感數(shù)據(jù)泄露具有不可逆轉(zhuǎn)性和長(zhǎng)期性的特征， 因此有必要對(duì)其加以額外的法律保護(hù)，[30]這也是本文將其從普通數(shù)據(jù)獨(dú)立出來進(jìn)行研究的原因。

（一）用戶須知情

用戶的知情權(quán)對(duì)應(yīng)于服務(wù)商的告知義務(wù)，而告知義務(wù)的履行途徑主要依靠于服務(wù)商的隱私協(xié)議。本文認(rèn)為，隱私協(xié)議的內(nèi)容滿足知情權(quán)的要求和知情的表示方式滿足個(gè)人數(shù)據(jù)保護(hù)的要求時(shí)，才可認(rèn)為用戶的知情權(quán)得到了保障。

隱私協(xié)議的內(nèi)容滿足知情權(quán)的要求，服務(wù)商必須給用戶提供更加清晰全面、突出重點(diǎn)、淺顯易懂的信息和要求，自主充分地履行告知義務(wù)，這樣才能讓用戶作出理性的選擇，同意權(quán)才能有效地行使，所以知情權(quán)的保障要求服務(wù)商提供符合公平、誠(chéng)信理念的隱私協(xié)議。京東、百度、網(wǎng)易等網(wǎng)絡(luò)服務(wù)商的隱私協(xié)議均不同程度有著不合理設(shè)置，其中主要問題有：隱私協(xié)議內(nèi)容冗長(zhǎng)，重點(diǎn)信息未突出，重要信息不簡(jiǎn)明扼要;過多使用專業(yè)詞匯，不利于廣大網(wǎng)絡(luò)用戶的理解;有些詞語意思較為模糊，未作出明確的解釋;網(wǎng)絡(luò)服務(wù)商更改隱私協(xié)議的頻率過于頻繁，每次變更的內(nèi)容過多且未與之前的協(xié)議作對(duì)比。上述問題均會(huì)一定程度影響用戶知情權(quán)的保障，因此，在認(rèn)定隱私協(xié)議是否滿足用戶知情權(quán)時(shí)需考慮協(xié)議中有無上述問題之存在。淘寶隱私協(xié)議也具有篇幅太長(zhǎng)，使用專用詞匯，詞語意思不明確等問題，因?yàn)檫@些問題，淘寶隱私協(xié)議并沒有對(duì)用戶知情保障到位。

如前所述，選擇-退出機(jī)制不利于保障用戶知情，這種情形下，個(gè)人數(shù)據(jù)安全得不到足夠保障，故隱私協(xié)議應(yīng)放棄選擇-退出模式。在法律沒有明確規(guī)定下，難免會(huì)有服務(wù)商采取選擇-退出模式的隱私協(xié)議，如此，在對(duì)用戶知情這一要件進(jìn)行認(rèn)定時(shí)，隱私協(xié)議是否采用選擇-退出機(jī)制將是一個(gè)合適的考量標(biāo)準(zhǔn)。

（二）用戶須具有同意能力

同意作為民事法律行為，其行使主體應(yīng)具有同意能力，這里需要考慮同意能力如何認(rèn)定。歐盟《一般數(shù)據(jù)保護(hù)條例》規(guī)定，只有在兒童年滿16周歲時(shí)，基于其同意的數(shù)據(jù)處理才是合法的;如果兒童未滿該年齡，則只有在有監(jiān)護(hù)權(quán)的父母同意或授權(quán)的情況下，數(shù)據(jù)處理才是合法的;歐盟各成員國(guó)可以規(guī)定更低的年齡門檻，但不得低于13周歲。由此看來，歐盟《一般數(shù)據(jù)保護(hù)條例》將16周歲規(guī)定為具有同意能力年齡，但考慮未成年人接觸網(wǎng)絡(luò)的頻率越來越大，接觸的門檻越來越低，成員國(guó)可以規(guī)定更低的年齡這一規(guī)定考慮了不同的國(guó)情，規(guī)定的年齡過小不足以保護(hù)未成年用戶，規(guī)定得過高則脫離實(shí)際。德國(guó)法對(duì)當(dāng)事人同意的年齡未加規(guī)定，但其通說認(rèn)為不應(yīng)以民法規(guī)定的18歲（成年年齡）為同意能力年齡，而以當(dāng)事人是否具備同意能力為標(biāo)準(zhǔn)。[31]是否具備同意能力是指當(dāng)事人是否具備理解普通事物的能力，在個(gè)案中，以當(dāng)事人的狀況和數(shù)據(jù)信息收集者收集利用的目的和范圍來認(rèn)定。[32]從域外有關(guān)立法與學(xué)說來看，普遍不贊成將成年年齡設(shè)置為同意能力年齡，主要原因是由于接觸網(wǎng)絡(luò)年齡層級(jí)愈發(fā)年輕化。

我國(guó)《規(guī)范》第5.5條c款規(guī)定收集未滿14周歲的未成年人信息前，應(yīng)征得其監(jiān)護(hù)人的明示同意;而民法典第1035條第1項(xiàng)規(guī)定，收集信息要經(jīng)過該自然人或者其監(jiān)護(hù)人同意，但法律、行政法規(guī)另有規(guī)定的除外。這就說明收集未成年人等無民事行為能力人或者限制民事行為能力人的個(gè)人信息，應(yīng)征得其監(jiān)護(hù)人同意?？梢钥闯觯穹ǖ鋵?duì)收集未成年人的信息的要求更加苛刻。淘寶隱私協(xié)議中并沒有明確規(guī)定具有同意能力的年齡，僅僅規(guī)定未成年人未經(jīng)父母或監(jiān)護(hù)人的同意不得創(chuàng)建賬戶和提供數(shù)據(jù)，此處淘寶隱私協(xié)議將完全行為能力年齡視為同意能力年齡，符合民法典的規(guī)定，但該規(guī)定是否符合現(xiàn)實(shí)？臺(tái)灣學(xué)者許文義認(rèn)為同意僅需具有辨識(shí)和判斷力，能夠理解同意的內(nèi)涵和意義即可。[33]本文以為，對(duì)于現(xiàn)在未成年人接觸網(wǎng)絡(luò)越來越早，將成年年齡設(shè)置為同意能力年齡確實(shí)過高，那么在現(xiàn)實(shí)使用網(wǎng)絡(luò)的年齡層級(jí)年輕化的情形下，將來立法如何規(guī)定同意年齡？本文的觀點(diǎn)是，在基本符合民法典對(duì)同意能力要求下，實(shí)務(wù)中法院或者有關(guān)行政機(jī)關(guān)在考慮同意能力年齡時(shí)可以適當(dāng)降低。這主要是考慮到許多未成年人早早地接觸到了網(wǎng)絡(luò)，并不是所有未成年人對(duì)信息的收集不能正視其后果，可以說，相當(dāng)一部分高年齡的未成年人了解信息收集的有關(guān)風(fēng)險(xiǎn)。在實(shí)際情況不宜將成年年齡認(rèn)定為同意能力年齡，為了不盲目地阻礙服務(wù)商的正常經(jīng)營(yíng)行為，減少其成本，應(yīng)結(jié)合未成年人具體的心智水平、社會(huì)閱歷等因素來認(rèn)定其同意能力，可以適當(dāng)?shù)陀诔赡昴挲g。而對(duì)于未成年人信息保護(hù)的這一方面，已有一些網(wǎng)絡(luò)服務(wù)商從事前設(shè)置了保護(hù)機(jī)制，猶如青少年模式，還可以設(shè)置信息收集前的提示音等方式提醒未成年人合理、謹(jǐn)慎地使用互聯(lián)網(wǎng)。[34]而在事后的救濟(jì)和賠償?shù)确矫婵煞裨谟嘘P(guān)規(guī)定上得以確立是保護(hù)未成年人信息的另一種途徑，值得我們繼續(xù)摸索以及研究。

（三）用戶須具體特定同意

具體特定的同意是指用戶具體特定的意思表示，即對(duì)于服務(wù)商收集、處理、分享個(gè)人數(shù)據(jù)信息的目的和范圍有清楚明確的認(rèn)識(shí)，對(duì)可能發(fā)生的結(jié)果有所預(yù)料。該要件以用戶知情為基礎(chǔ)，只有對(duì)所需提供的信息種類、范圍、途徑等各方面都知情，才能權(quán)衡利弊，作出具體特定的同意行為。國(guó)外對(duì)同意要求具體特定也不缺少法理依據(jù)，如歐盟《一般數(shù)據(jù)保護(hù)條例》第4條第11款要求同意是清晰具體的。我國(guó)網(wǎng)絡(luò)安全法第41條第1款要求收集、使用信息的目的、方式要明示，據(jù)此，如果用戶是因?yàn)闆]有指明收集處理數(shù)據(jù)信息的目的和方式而概括同意，那么該同意應(yīng)認(rèn)定為無效收集處理信息的合法性基礎(chǔ)不存在。淘寶隱私協(xié)議中規(guī)定了收集使用用戶數(shù)據(jù)信息的各種目的，而且還有兜底條款，兜底條款中明確規(guī)定會(huì)事先征求用戶的同意，這便為用戶行使特定的同意提供了保障。盡管如此，淘寶隱私協(xié)議要滿足該要件，還需對(duì)用戶知情進(jìn)行考量，從前文得知，在保障知情方面，淘寶隱私協(xié)議不符要求，故此要件淘寶隱私協(xié)議也不滿足。

（四）用戶須自主同意

德國(guó)《聯(lián)邦個(gè)人資料保護(hù)法》第4a條第1款規(guī)定，當(dāng)事人同意應(yīng)建立在數(shù)據(jù)主體自主同意的基礎(chǔ)上。也就是說同意有效的前提是當(dāng)事人的意志處于自由狀態(tài)，未受到外界任何強(qiáng)迫或壓力。我國(guó)網(wǎng)絡(luò)安全法第44條沒有德國(guó)法規(guī)定得那么具體，只是規(guī)定任何個(gè)人或組織不得以竊取或其他非法方式獲取個(gè)人數(shù)據(jù)信息。這里的“非法方式”可以解釋包括強(qiáng)迫或使用戶意思不自由的方式，由此來看，我國(guó)法律規(guī)定對(duì)用戶自主同意的保障程度并不低。要認(rèn)定自主同意，需對(duì)影響用戶同意自由的因素進(jìn)行探究，影響用戶自主同意主要有當(dāng)事人雙方市場(chǎng)地位不對(duì)等和用戶受到不當(dāng)刺激、引誘兩類情形。

在網(wǎng)絡(luò)服務(wù)商與用戶雙方之間，一方是服務(wù)提供者，一方是服務(wù)接受者，兩者的市場(chǎng)地位通常是不對(duì)等的。市場(chǎng)地位不對(duì)等可能影響著用戶進(jìn)行同意的意思表示自由。這種情形下，網(wǎng)絡(luò)服務(wù)商提供的隱私協(xié)議通常只有同意與否兩種選擇，要么同意全盤接受隱私協(xié)議，要么就只能拒絕同意進(jìn)而放棄心儀的商品或者服務(wù)。這種市場(chǎng)地位不對(duì)等的原因，或是由雙方經(jīng)濟(jì)實(shí)力和談判實(shí)力不對(duì)等所致，或是由于雙方之間資訊不對(duì)等導(dǎo)致，更多的是前兩種原因交錯(cuò)導(dǎo)致的。[35]在僅由資訊不對(duì)等導(dǎo)致市場(chǎng)地位不對(duì)等時(shí)，可以借助資訊的揭露和告知來緩和不對(duì)等。[36]在前一種原因?qū)е碌那樾蜗?，問題較為復(fù)雜，雙方公平互利地交往怕是難以實(shí)現(xiàn)，更可能的是服務(wù)商“店大欺客”，限制用戶同意自由。用戶拒絕同意即不能與服務(wù)商簽訂合同獲取服務(wù)，一旦同意則有可能發(fā)生侵害用戶資訊自主權(quán)的情況，這樣一來，自由同意逐漸淪為假象。

在市場(chǎng)地位不對(duì)等的情況下，如何保證用戶同意自由地作出？用戶的市場(chǎng)地位無法提升到與網(wǎng)絡(luò)服務(wù)商相等或者大致相等的程度，所以能做的就是對(duì)服務(wù)商的優(yōu)勢(shì)地位進(jìn)行約束，對(duì)此，是否可以從立法層面進(jìn)行規(guī)定？或者類似于消費(fèi)者保護(hù)一樣希冀于行業(yè)自律發(fā)揮作用？從立法層面來看，法律手段的管理功能具有明顯的滯后性，因?yàn)橹贫ɑ蛘J(rèn)可一定的法律規(guī)范這一過程總是落后于社會(huì)關(guān)系本身產(chǎn)生于發(fā)展的過程。[37]立法的過程是緩慢穩(wěn)重的，不是在短時(shí)間內(nèi)就可以與互聯(lián)網(wǎng)快速發(fā)展相匹配，這種滯后性不適合發(fā)展迅速的互聯(lián)網(wǎng)行業(yè)。再者，用戶的同意屬于私法自治的范疇，若單個(gè)用戶一廂情愿地接受不公平的隱私協(xié)議也無可厚非，法律不能在此情形下進(jìn)行父權(quán)式干預(yù)，只有在不公平的隱私協(xié)議可能侵害多數(shù)人時(shí)，法律才會(huì)被希望發(fā)生調(diào)節(jié)作用。所以從立法層面對(duì)服務(wù)商的地位進(jìn)行限制可能并不是合適的途徑。從行業(yè)自律方面來看，可以由行業(yè)自身制定自律規(guī)范，并經(jīng)有關(guān)主管機(jī)關(guān)審核的方法，來達(dá)到限制服務(wù)商不對(duì)等地位保護(hù)用戶的目的，例如歐盟《一般數(shù)據(jù)保護(hù)條例》第40條和德國(guó)聯(lián)邦資料保護(hù)法第38a條就進(jìn)行了類似規(guī)定。事實(shí)上，經(jīng)過審核后的行業(yè)自律已經(jīng)失去了行業(yè)自律本身的意義，其性質(zhì)更類似于主管機(jī)關(guān)的審核，這種途徑的缺點(diǎn)在于行業(yè)標(biāo)準(zhǔn)如何制定，能否充分保障用戶知情同意的要求。另外，自律規(guī)范的能否落實(shí)也是個(gè)實(shí)際的問題。

由此來看，上述兩種途徑均有其弊端，尋求更適合的途徑不可避免。在雙方地位不對(duì)等的情形下，可以由行政機(jī)關(guān)公布隱私協(xié)議的范本或應(yīng)記載與不得記載事項(xiàng)，來限制服務(wù)商的優(yōu)勢(shì)地位。[38]這種行政管制手段，一方面可以克服行業(yè)自律強(qiáng)制性較弱的不足，行業(yè)自律這條路走不通是由于我國(guó)不具有自律傳統(tǒng)和觀念，民間組織發(fā)展不健全，自治能力較差，自律規(guī)范難以落實(shí)。[39]另一方面可以抑制立法途徑的滯后性和一昧地父權(quán)式干預(yù)。這種由政府機(jī)關(guān)進(jìn)行把關(guān)，既不放任雙方自我管理，又排除完全的立法干預(yù)，或許是一種平衡網(wǎng)絡(luò)服務(wù)商與用戶之間利益較為穩(wěn)妥的方法。

正如上述所說，當(dāng)事人雙方市場(chǎng)地位不對(duì)等可能會(huì)引發(fā)用戶同意不自由的情形，在市場(chǎng)地位不對(duì)等的情況下進(jìn)行同意是否自由的認(rèn)定具有一定難度，需采取介于立法規(guī)制與行業(yè)自律之間的行政管制手段來克服立法滯后性與自律規(guī)范難以落實(shí)的弊端。此種情形下，用戶同意是否滿足自主同意之要求？德國(guó)聯(lián)邦法院表示，當(dāng)事人若對(duì)于契約的成立具有依賴性，且相對(duì)人將當(dāng)事人是否同意相對(duì)人對(duì)其數(shù)據(jù)信息進(jìn)行收集、處理設(shè)置為契約成立與否的條件，這種情況下，當(dāng)事人的決定并不處于真正自由的狀態(tài)。[40]淘寶現(xiàn)行隱私協(xié)議只有同意與否兩種選擇，該協(xié)議是否剝奪用戶自主同意權(quán)則要分析用戶對(duì)合同成立的依賴度。事實(shí)上，用戶之所以選擇在淘寶上獲得相關(guān)商品或服務(wù)并不僅僅只在于獲得商品或服務(wù)本身，為自己省去時(shí)間、精力成本和淘寶對(duì)用戶的個(gè)性化服務(wù)也是用戶選擇在淘寶上獲得商品或服務(wù)的重要原因，如若只考慮用戶獲取商品或服務(wù)這一目的，勢(shì)必會(huì)得到用戶對(duì)合同成立不具有依賴性的結(jié)論，因?yàn)橛脩敉瑯右部蓮木〇|、亞馬遜等類似的服務(wù)商獲取相同的商品或服務(wù)，但由于提供的個(gè)性化服務(wù)與淘寶有差別，所以才會(huì)導(dǎo)致用戶對(duì)合同的成立具有依賴性。因此在探討用戶對(duì)合同成立的依賴性時(shí)，還需將其從淘寶獲得服務(wù)的其他原因納入考量的范圍。

用戶同意不自由的情形不單因當(dāng)事人市場(chǎng)地位不對(duì)等導(dǎo)致。根據(jù)德國(guó)聯(lián)邦最高法院的見解，用戶同意不自由的情形還包括受到超乎尋常獎(jiǎng)勵(lì)措施的刺激與誘導(dǎo)，如贈(zèng)送禮品、抽獎(jiǎng)等，這樣應(yīng)認(rèn)定用戶的同意屬于不自主。[41]這是因?yàn)橛脩粼谑艿秸T惑與刺激時(shí)，無法理性對(duì)同意作出評(píng)估，此時(shí)可以認(rèn)定用戶同意之意思自由受到不當(dāng)影響。[42]

綜上所述，造成同意不自由的原因包括雙方市場(chǎng)地位不對(duì)等和用戶受到引誘。在前一情形下，需要綜合考慮用戶對(duì)合同成立的依賴性;在后一情形下，只要用戶受到不當(dāng)刺激、誘導(dǎo)，應(yīng)認(rèn)定為同意不自由。

（五）有關(guān)個(gè)人敏感數(shù)據(jù)的同意

個(gè)人敏感數(shù)據(jù)是指，一旦泄露或?yàn)E用，極易危及人身、財(cái)產(chǎn)安全或?qū)е氯烁褡饑?yán)受到損害、歧視性待遇的個(gè)人數(shù)據(jù)。[43]歐盟各成員國(guó)在上世紀(jì)70年代對(duì)敏感數(shù)據(jù)的保護(hù)主要通過隱私權(quán)來實(shí)現(xiàn)，其有幾個(gè)不足之處：一是隱私權(quán)保護(hù)的是一種與自身私密的信息，而敏感數(shù)據(jù)范圍包含且不限于私密信息，以較小保護(hù)范圍的隱私權(quán)來保護(hù)較大范圍的敏感數(shù)據(jù)實(shí)在欠妥;二是隱私權(quán)的保護(hù)具有消極性，即被侵害后才能實(shí)施，而敏感數(shù)據(jù)傳播、轉(zhuǎn)移的快捷性要求對(duì)其保護(hù)不能是延后、消極的，否則難以阻斷傳播，排除繼續(xù)損害;三是傳統(tǒng)隱私權(quán)受侵害后的損失具有確定性，而敏感數(shù)據(jù)的損失不一定即時(shí)就能得到確定，其損害可能發(fā)生在不可預(yù)的將來，所以傳統(tǒng)的隱私權(quán)保護(hù)制度已不符時(shí)代所需求。德國(guó)在上世紀(jì)70年代將個(gè)人數(shù)據(jù)進(jìn)行劃分，以導(dǎo)致危害的程度為標(biāo)準(zhǔn)，將危害程度高的設(shè)為敏感數(shù)據(jù)。2018年歐盟實(shí)施的《一般數(shù)據(jù)保護(hù)條例》也堅(jiān)持此種劃分標(biāo)準(zhǔn)，并逐步對(duì)敏感數(shù)據(jù)的保護(hù)進(jìn)行完善。由此來看，對(duì)敏感數(shù)據(jù)區(qū)別于普通數(shù)據(jù)信息進(jìn)行保護(hù)逐步得到大多數(shù)國(guó)家的認(rèn)可。我國(guó)的張新寶先生也主張“區(qū)分不同的個(gè)人信息以劃定保護(hù)和利用程度的不同”的觀點(diǎn)，將個(gè)人信息區(qū)分為個(gè)人敏感隱私信息與個(gè)人一般信息，重點(diǎn)保護(hù)個(gè)人敏感信息。[44]

對(duì)于敏感數(shù)據(jù)同意的認(rèn)定，首先需明確哪些數(shù)據(jù)是敏感數(shù)據(jù)。有關(guān)法律為個(gè)人數(shù)據(jù)提供了根本性的保障，但并沒有標(biāo)明“敏感數(shù)據(jù)（信息）”。網(wǎng)絡(luò)安全法給個(gè)人信息下了定義，認(rèn)為“個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息等”?！兑?guī)范》未明確區(qū)分個(gè)人一般信息和個(gè)人敏感信息，但也給出了個(gè)人敏感信息的概念和從國(guó)家標(biāo)準(zhǔn)層面界定和列舉了個(gè)人敏感信息的內(nèi)涵和外延。[45]雖說《規(guī)范》有關(guān)敏感數(shù)據(jù)的內(nèi)容已經(jīng)為國(guó)內(nèi)最為完善、科學(xué)的規(guī)定，但仍然有著不盡如人意的地方，在敏感數(shù)據(jù)的界定上，未像2012年頒布的《信息安全技術(shù)個(gè)人信息保護(hù)指南》那樣作出“各行業(yè)個(gè)人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個(gè)人信息主體意愿和各自業(yè)務(wù)特點(diǎn)確定”靈活的規(guī)定。[46]即《規(guī)范》的規(guī)定過于剛性，事實(shí)上每個(gè)人的敏感數(shù)據(jù)不是完全一樣的，而是隨主體與行業(yè)不同而有差別，對(duì)敏感數(shù)據(jù)的界定還應(yīng)考慮具體情況。

在對(duì)哪些數(shù)據(jù)屬于敏感數(shù)據(jù)已被認(rèn)定的情形下，由于敏感數(shù)據(jù)對(duì)用戶人身利益有著重要影響，其重要性明顯高于普通數(shù)據(jù)，需對(duì)其進(jìn)行高于普通數(shù)據(jù)的保護(hù)。我國(guó)《征信業(yè)管理?xiàng)l例》中的第13、14條對(duì)個(gè)人普通數(shù)據(jù)允許經(jīng)用戶同意而收集，對(duì)于特殊數(shù)據(jù)（可理解為敏感數(shù)據(jù)）禁止收集，除非明確告知信息主體可能產(chǎn)生的后果，并取得主體的書面同意，這兩條規(guī)定體現(xiàn)出對(duì)敏感數(shù)據(jù)的特殊保護(hù)。[47]而且敏感數(shù)據(jù)的可識(shí)別性越強(qiáng)，被保護(hù)的強(qiáng)度應(yīng)越大;敏感數(shù)據(jù)可能對(duì)消費(fèi)者造成損害的風(fēng)險(xiǎn)及損害范圍與程度越大，被保護(hù)的強(qiáng)度也應(yīng)越大。[48]敏感數(shù)據(jù)的同意應(yīng)視數(shù)據(jù)視敏感度而進(jìn)行界定，否則敏感數(shù)據(jù)區(qū)分高低就毫無意義。所以，先依具體情況分析出哪些數(shù)據(jù)屬于用戶個(gè)人敏感數(shù)據(jù)，再依敏感數(shù)據(jù)的敏感度對(duì)同意進(jìn)行認(rèn)定，該認(rèn)定標(biāo)準(zhǔn)應(yīng)高于普通數(shù)據(jù)。這樣一來，才能對(duì)不同的敏感數(shù)據(jù)的同意進(jìn)行恰當(dāng)?shù)卣J(rèn)定。

五、結(jié)語

當(dāng)下，個(gè)人數(shù)據(jù)保護(hù)已經(jīng)成為時(shí)代焦點(diǎn)之法律命題，在將來，也必將是時(shí)代之焦點(diǎn)議題。知情同意原則作為個(gè)人數(shù)據(jù)保護(hù)的私法基石，也必將繼續(xù)發(fā)揮著不可磨滅的作用。知情同意原則的貫徹不僅有利于用戶個(gè)人信息安全的保護(hù)，而且也為服務(wù)商收集、處理數(shù)據(jù)奠定了合法性基礎(chǔ)。至于知情同意的認(rèn)定標(biāo)準(zhǔn)，宜以知情同意的構(gòu)成要件為條件，將知情同意構(gòu)成要件視為知情同意的認(rèn)定標(biāo)準(zhǔn)。

用戶知情方面，在隱私協(xié)議的構(gòu)成設(shè)置上，宜采用選擇-加入機(jī)制保障知情權(quán)，且隱私協(xié)議應(yīng)提供突出重點(diǎn)、淺顯易懂的內(nèi)容。同意能力年齡的設(shè)置上，在無其他更為明確確定的理由下，考慮到保護(hù)過小未成年人的數(shù)據(jù)安全和實(shí)踐中使用網(wǎng)絡(luò)年齡層級(jí)愈發(fā)年輕化等因素，法院或者行政部門在同意能力年齡認(rèn)定上可以試著以實(shí)際情況如個(gè)人心智的成熟度等因素為依據(jù) 。具體特定同意方面，服務(wù)商所需用戶數(shù)據(jù)的范圍與處理方式等應(yīng)是具體明確的，使用戶服務(wù)商收集、處理、分享個(gè)人數(shù)據(jù)信息的目的和范圍有清楚明確的認(rèn)識(shí)，對(duì)可能發(fā)生的結(jié)果有所預(yù)料，這樣用戶的同意才是特定的、有效的。自主同意方面，在當(dāng)事人雙方市場(chǎng)地位不對(duì)等的場(chǎng)合下，可以由有關(guān)行政機(jī)關(guān)介入對(duì)服務(wù)商的優(yōu)勢(shì)地位進(jìn)行限制，即行政機(jī)關(guān)公布隱私協(xié)議應(yīng)記載與不得記載事項(xiàng)，服務(wù)商的隱私協(xié)議不符合行政機(jī)關(guān)的要求則應(yīng)認(rèn)定為不滿足知情同意;若為用戶受引誘、刺激而作出同意的情形，則可直接認(rèn)定為同意不自主。在個(gè)人敏感數(shù)據(jù)同意方面，先依具體情況分析出哪些數(shù)據(jù)屬于用戶個(gè)人敏感數(shù)據(jù)，再依敏感數(shù)據(jù)的敏感度對(duì)同意進(jìn)行認(rèn)定，且敏感數(shù)據(jù)的同意標(biāo)準(zhǔn)也應(yīng)高于普通數(shù)據(jù)。

回到淘寶公司訴美景公司一案中來，二審法院作出維持原判表明二審法院肯定了一審法院對(duì)于淘寶公司隱私協(xié)議形式及內(nèi)容的合法性，即淘寶公司隱私協(xié)議經(jīng)用戶同意之后獲取用戶信息的約定合法有效。本文對(duì)此不與贊同，隱私協(xié)議生效與否當(dāng)然以經(jīng)用戶同意為必要條件，但更為重要的一點(diǎn)在于隱私協(xié)議本身的形式與內(nèi)容是否能滿足用戶知情的需要。

一審法院將淘寶公司收集用戶數(shù)據(jù)的行為是否正當(dāng)歸納為案件爭(zhēng)議焦點(diǎn)，并認(rèn)定淘寶公司收集使用用戶信息的行為合法正當(dāng)，主要理由為：淘寶公司公開了隱私協(xié)議并經(jīng)用戶在隱私協(xié)議等文件中的許可授權(quán)后，收集、使用原始數(shù)據(jù)的目的、方式和范圍在法律范圍之內(nèi)，即表明滿足了用戶知情同意原則，淘寶公司的收集、使用行為即受法律保護(hù)。二審法院亦表明爭(zhēng)議焦點(diǎn)之一在于淘寶公司隱私協(xié)議收集用戶數(shù)據(jù)的約定是否有效，二審法院認(rèn)為合同條款效力問題不屬于案件審理范疇，且無任何證據(jù)表明淘寶公司憑隱私協(xié)議收集涉案信息屬于非法行為，應(yīng)認(rèn)定淘寶公司依據(jù)約定合法取得數(shù)據(jù)。

一審法院審查認(rèn)定的重點(diǎn)偏向了用戶同意層面，而忽視了用戶知情層面，一味強(qiáng)調(diào)淘寶公司公開隱私協(xié)議并獲得了用戶授權(quán)許可即滿足知情同意原則，殊不知隱私協(xié)議的形式和內(nèi)容才是實(shí)踐中影響用戶知情權(quán)的主要因素所在，經(jīng)本文第二部分和第四部分的分析，淘寶公司在隱私協(xié)議篇幅、措辭用語、重點(diǎn)信息突出、更改隱私協(xié)議后的告示等方面做的不夠，并未能充分保障用戶的知情權(quán)，所以一審法院對(duì)該爭(zhēng)議焦點(diǎn)的認(rèn)定說服力有所欠缺。二審法院同樣未全面檢視淘寶公司隱私協(xié)議形式與內(nèi)容，僅憑無證據(jù)表明淘寶公司依隱私協(xié)議的約定獲取用戶數(shù)據(jù)行為屬于違法行為就肯定該公司收集、使用用戶數(shù)據(jù)的正當(dāng)性更有理屈詞窮之嫌。

對(duì)于隱私協(xié)議中用戶知情同意的認(rèn)定，我國(guó)當(dāng)前并無一套明確之標(biāo)準(zhǔn)。鑒于隱私協(xié)議由處于市場(chǎng)優(yōu)勢(shì)地位之網(wǎng)絡(luò)服務(wù)商提供，且屬于格式合同，要保障用戶信息數(shù)據(jù)安全，需要由行政力量主導(dǎo)規(guī)范隱私協(xié)議，對(duì)隱私協(xié)議施以“枷鎖”，對(duì)此，可以考慮引入知情同意構(gòu)成要件作為隱私協(xié)議用戶知情同意合法有效與否的認(rèn)定標(biāo)準(zhǔn)。

注釋：

[1] 參見杭州市中級(jí)人民法院：（2018）浙01民終7312號(hào)民事判決書。

[2]參見劉百靈、萬璐璐、李延暉：《網(wǎng)絡(luò)環(huán)境下基于隱私政策的隱私保護(hù)研究綜述》，《情報(bào)理論與實(shí)踐》2016年第9期。

[3]參見京東法律研究院：《歐盟數(shù)據(jù)憲章〈一般數(shù)據(jù)保護(hù)條例〉GDPR評(píng)述及實(shí)務(wù)指引》，法律出版社2018年版，第232頁。

[4] 參見林玫君：《論個(gè)人資料保護(hù)法之“當(dāng)事人同意”》，《東海大學(xué)法學(xué)研究》總第51期，第157頁。

[5]參見翁清坤：《告知后同意與消費(fèi)者個(gè)人資料之保護(hù)》，《臺(tái)北大學(xué)法學(xué)論叢》2013年版，第87頁。

[6] 同前注[3]。

[7] See Scott Killingsworth， Minding Your Own Business： Privacy Policies in Principle and in Practice，7 J. Intell. Prop. L. 57， 91-92 （1999）.

[8]參見談詠梅、錢小平：《我國(guó)網(wǎng)站隱私保護(hù)政策完善之建議》，《現(xiàn)代情報(bào)》2006年第1期。

[9] 參見甘肅省天水市中級(jí)人民法院：（2016）甘05民終427號(hào)民事裁定書。

[10] 《中華人民共和國(guó)民事訴訟法》第34條。

[11] See Joel R. Reidenberg et al.， Privacy Harms and the Effectiveness of the Notice and Choice Framework， 11 I/S： J.L. & Poly for Info. Socy 485， 489-90 （2015）.

[12] See Ben-Shahar O.， Schneider C. E.， The Failure of Mandated Disclosure，University of Pennsylvania Law Review， vol. 159， issue. 3， 682（2011）.

[13] 參見高秦偉：《個(gè)人信息保護(hù)中的企業(yè)隱私政策及政府規(guī)制》，《法商研究》2019年第2期。

[14] See Daniel J. Solove & Woodrow Hartzog， The FTC and the New Common Law of Privacy， 114 Colum.L.Rev.583，587（2014）.

[15] See Jay P.Kesan， Carol M：Hayes， Masooda N.Bashir， Information Privacy and Data Control in Cloud Computing： Consumers， Privacy Preferences， and Market Efficiency， 70 Wash. And Lee L. Rev. 341，426（2013）.

[16] 參見劉凱湘、張?jiān)破剑骸兑馑甲灾卧瓌t的變遷及其經(jīng)濟(jì)分析》，《中外法學(xué)》1997年第4期。

[17] 參見王麗萍：《對(duì)契約自由及其限制的理性思考》，《山東大學(xué)學(xué)報(bào)》2006年第6期。

[18] 同前注[17]。

[19] 參見朱巖：《格式條款的基本特征》，《法學(xué)雜志》2006年06期。

[20] 參見范為：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》，《環(huán)球法律評(píng)論》2016年第5期。

[21] 參見齊愛民：《信息法原論》，武漢大學(xué)出版社2010年版，第58頁。

[22] 參見余筱蘭：《信息權(quán)在我國(guó)民法典編纂中的立法遵從》，《法學(xué)雜志》2017年第4期; 齊愛民、李儀：《論利益平衡視野下的個(gè)人信息權(quán)制度——在人格利益與信息自由之間》，《法學(xué)評(píng)論》2011年第3期; 陳甦：《民法總則評(píng)注 （下冊(cè)）》，法律出版社2017年版，第785頁。

[23] 參見田野：《大數(shù)據(jù)時(shí)代知情同意原則的困境與出路——以生物資料庫的個(gè)人信息保護(hù)為例》，《法治與社會(huì)發(fā)展》2018年第6期。

[24] Von Zimmerman， Georg， Die Einwilligung im Internet， Berlin，2014. S.10-12.

[25]參見王澤鑒：《人格權(quán)法》，北京大學(xué)出版社2013年版，第214頁。

[26] 同前注[4]。

[27] Erwaegungsgrund （32） in Verordung （EU） 2016/679 des Europaeischen Parlaments und des Rates vom 27. April 2016.

[28] 同前注[3]。

[29] 同前注[4]。

[30]參見陳騫、張志成：《個(gè)人敏感數(shù)據(jù)的法律保護(hù)：歐盟立法及借鑒》，《湘潭大學(xué)學(xué)報(bào)》2018年第3期。

[31] Rogosch， Die Einwilligung im Datenschutzrecht， Nomos Verlag， S. 293.

[32] OLG Frankfurt am Main， Urteil vom 30.06.2005， Az.： 6 U 168/04.

[33]參見許文義：《個(gè)人資料保護(hù)法論》，臺(tái)灣三民書局2001年版，第239頁。

[34]參見胡梅、劉征峰：《未成年人個(gè)人信息保護(hù)研究——以〈未成年人保護(hù)法（修訂草案）〉為視角》，《預(yù)防青少年犯罪》2020年第2期。

[35] 同前注[4]。

[36] 同前注[5]。

[37] 參見顧愛平、王琪生：《法律手段的局限性及彌補(bǔ)途徑》，《法學(xué)雜志》1992年第4期。

[38] 同前注[4]。

[39]參見齊愛民：《個(gè)人信息保護(hù)法研究》，《河北法學(xué)》2008年第4期。

[40] 同前注[31]。

[41] BGH v. 16.07.2008， DuD 2008，818，820.

[42] Radlanski， Das Konzept der Einwilligung in der datenschutzrechtlichen Realit?t ， Mohr Siebeck Verlag， S.83-84.

[43]參見胡文濤：《我國(guó)個(gè)人敏感信息界定之構(gòu)想》，《中國(guó)法學(xué)》2018第5期。

[44]參見張新寶：《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，《中國(guó)法學(xué)》2015年第3期。

[45] 參見《信息安全技術(shù)——個(gè)人信息安全規(guī)范》第3.2條。

[46]參見《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》第3.7條。

[47]參見《征信業(yè)管理?xiàng)l例》第13條。

[48]參見鞠曄、王平：《云計(jì)算背景下歐盟消費(fèi)者個(gè)人敏感數(shù)據(jù)的法律保護(hù)》，《法學(xué)雜志》2014年第8期。