呂湛

（中國政法大學 研究生院，北京 100088）

一、同意條款形式合規(guī)的必然性

自2012年全國人大常委會作出《關(guān)于加強網(wǎng)絡信息保護的決定》以來，互聯(lián)網(wǎng)企業(yè)收集、處理用戶個人信息便需要征得用戶同意①。正式法律文件中，同意制度首次于《消費者權(quán)益保護法》確立，隨后在《網(wǎng)絡安全法》《民法典》《個人信息保護法》《信息安全技術(shù)個人信息安全規(guī)范》《信息安全技術(shù)個人信息告知同意指南》等相關(guān)法律法規(guī)、國家標準中得到進一步確認、細化，并藉此衍生出一系列配套制度，例如同意的變更與撤回、未成年人監(jiān)護人同意制度、對企業(yè)的處罰等。不過，盡管用戶同意是互聯(lián)網(wǎng)企業(yè)收集、處理信息的前提，但現(xiàn)實中用戶卻很少閱讀隱私協(xié)議，更妄論“同意”了；即使用戶進行了閱讀，對于收集、處理個人信息的內(nèi)容也未必能全然理解；縱然理解，在行業(yè)內(nèi)壟斷并不罕見的情況下②，考慮到互聯(lián)網(wǎng)基礎(chǔ)服務在生活中的必要性，用戶恐怕也不得不點擊同意；結(jié)合隱私協(xié)議的長度和同質(zhì)化程度，用戶選擇不進行閱讀恰恰是經(jīng)濟理性的決定。因此，雖然有知情同意制度的保駕護航，但是互聯(lián)網(wǎng)企業(yè)仍然會憑借同意條款獲得形式上的合規(guī)，以盡可能多地用戶的個人信息。

（一）用戶閱讀率低的尷尬

用戶確實總體上不閱讀隱私協(xié)議，只有四成左右的用戶會以有時及以上的頻率閱讀隱私協(xié)議，其中認真讀完的比例僅為26.74%③。再以網(wǎng)絡購物為例，能在總體上閱讀電子合同的消費者僅占4%；有大約44%的消費者根本什么都不看；有33%的消費者只在大額交易時才會快速閱讀條款；并且有多項調(diào)查均表現(xiàn)出類似的結(jié)論④[1-2]。面對如此之低的閱讀率，理論界或?qū)嵺`中主要有兩種辦法，意圖徹底或部分解決這一問題。其一是讓協(xié)議的語言盡可能明確顯著、清晰易懂⑤，由此用戶即有可能對簡單的隱私協(xié)議進行閱讀。不過情況未必如此，至少有多組行為實驗顯示，縮短、簡化隱私協(xié)議對提高閱讀率沒有影響[3-4]，立法者對此寄予的厚望恐怕要落空了；其二是提示用戶如果不閱讀隱私協(xié)議則可能招致風險或損失，并且對關(guān)鍵條款進行額外標注，但是從行為實驗的結(jié)果來看依然效果甚微[5]。

上述兩種辦法的效果均不顯著，甚至幾乎為零，這就為同意制度蒙上了一層陰影。無論是我國還是以歐盟為代表的大多數(shù)國家或地區(qū)，用戶同意的前提都是知情⑥。況且從邏輯的角度看，如果用戶都對獲取個人信息都不知情，那么談何同意呢？可是在用戶普遍不閱讀隱私協(xié)議的大背景下，實踐中互聯(lián)網(wǎng)企業(yè)獲取的同意大多是徒有其表的。另一方面，上述的辦法只有理論上的可行性，現(xiàn)實中反而不可能達成。隱私協(xié)議的語言明確、提示顯著和簡短易懂，三者往往不可兼得。如果想要兼得簡短易懂和提示顯著，只怕還可能起到反作用，當加粗提示的部分占據(jù)相當比例時，用戶已經(jīng)無從知曉何為重點條款、何為非重點條款了，同意可能被認定為無效⑦；語言明確和簡短易懂之間，在術(shù)語方面天然存在專業(yè)術(shù)語和外行的隔閡，在篇幅方面，如果企業(yè)強行簡化其隱私政策，縮短隱私政策篇幅，那么隱私政策則會變得非?；\統(tǒng)，無法傳遞精確描述，從而可能某些情形下隱藏事實，對用戶構(gòu)成欺詐，增加企業(yè)的運營風險。因此，不僅可能的解決措施效果甚微[6]，其與法律和慣例所要求的語言明確、提示顯著也存在不可調(diào)和的矛盾。

另一方面，“閱讀率低”不僅在用戶使用APP 之前產(chǎn)生作用，在用戶使用APP 的過程中也會產(chǎn)生影響。最典型的便是受到單方變更條款的影響，即互聯(lián)網(wǎng)企業(yè)通常會約定：平臺有權(quán)不時修改協(xié)議……如果用戶繼續(xù)使用平臺服務，視為接受修訂后的條款⑧。隨著數(shù)字經(jīng)濟的發(fā)展，法律也隨著不斷跟進，互聯(lián)網(wǎng)企業(yè)，如電商平臺，對隱私協(xié)議或用戶服務協(xié)議的變更非常頻繁[7]。這當然是符合效率的，但是也讓本就搖搖欲墜的同意制度更為風雨飄搖。個人信息的相關(guān)權(quán)利，無論其權(quán)利性質(zhì)如何，是人格權(quán)權(quán)益抑或基本人權(quán)的范疇，我國及其他國家對此都非常重視，因此一般均要求只有在用戶明示同意的情況下，互聯(lián)網(wǎng)企業(yè)才可收集、處理個人信息⑨。但是，如果互聯(lián)網(wǎng)企業(yè)由于政策變化或其他原因，需要額外收集、處理個人信息，發(fā)布修訂后的同意條款，就意味著大多數(shù)用戶默示同意，且?guī)缀醪豢赡茏龅蕉鄶?shù)用戶明示同意。事實上，要求所有用戶再進行一次確認，并非經(jīng)濟的選擇，也不具有可操作性。這樣的事實與法律發(fā)生了沖突，讓同意條款的效力更加捉摸不定，為企業(yè)的形式合規(guī)提供了土壤。

（二）“用戶不讀”正是經(jīng)濟理性的體現(xiàn)

格式條款的出現(xiàn)有其必然性，從互聯(lián)網(wǎng)企業(yè)的視角來看，格式條款的廣泛應用對于降低交易成本、提高交易效率、簡化談判進程具有重要的作用[8]。不過，從用戶的角度看，不閱讀或許也是更有利的。整體上看，其背后的原因主要包括互聯(lián)網(wǎng)行業(yè)壟斷性強、互聯(lián)網(wǎng)基礎(chǔ)服務不可或缺、隱私協(xié)議閱讀成本過高且同質(zhì)化嚴重等。

一方面，互聯(lián)網(wǎng)行業(yè)存在普遍的壟斷，用戶的選擇本就十分有限。雖然各市場領(lǐng)軍的企業(yè)從BAT（百度、阿里和騰訊）到ATM（阿里、騰訊和美團）不斷發(fā)生變化、迭代，但是，有一點始終未曾改變，各細分領(lǐng)域依然為巨頭們所掌握，例如2020年12月的網(wǎng)約車市場中，滴滴出行的活躍用戶（乘客端）為8157.3 萬，旗下的花小豬為1400.7 萬，除了嘀嗒出行有1799.2 萬活躍用戶外，余下的競爭對手中用戶最多的首汽約車也只有268.5 萬⑩；2020年1-4月，外賣平臺交易額美團占比57.9%，餓了么占比40.2%，其他平臺占比僅1.9%?；2019年的網(wǎng)絡購物平臺中，天貓（50.1%）、京東（26.5%）和拼多多（12.8%）占據(jù)了接近九成的市場份額?……用戶使用各種APP 主要還是為了滿足購物、出行、社交等基礎(chǔ)需求，面對近乎壟斷的市場，用戶實際上別無選擇。此外，互聯(lián)網(wǎng)服務已經(jīng)由新奇的服務轉(zhuǎn)變?yōu)樯钪斜夭豢缮俚幕A(chǔ)服務，例如第三方支付、即時通訊等，用戶不僅別無選擇，也不得不選擇。因此，互聯(lián)網(wǎng)巨頭壟斷的實質(zhì)結(jié)果是讓用戶在現(xiàn)代化生活的便利與潛在的個人信息風險之間做選擇，而非自由締約。如果不對此加以規(guī)制，就會讓這些占據(jù)優(yōu)勢市場地位的互聯(lián)網(wǎng)企業(yè)進一步限制用戶的意思表示[9]，讓“同意”成為“不得不同意”?，F(xiàn)實也確實如此，從不閱讀隱私協(xié)議的用戶中，有六成從不閱讀的原因是不授權(quán)就無法使用APP，因此不如不讀?。

另一方面，除了用戶別無選擇且不得不選擇同意之外，仔細查看隱私協(xié)議成本高昂，同時也沒有實際意義。APP 的隱私協(xié)議常常超過一萬字?，其閱讀成本顯然無法忽略，況且一般日常生活中使用的APP 往往有十個以上，全部閱讀的成本是個人無法承受的，更妄論隱私協(xié)議時不時更改的部分了。此外，互聯(lián)網(wǎng)企業(yè)在發(fā)展的過程中，會逐漸從野蠻生長走向正規(guī)，大多會參照法律法規(guī)進行數(shù)據(jù)合規(guī)，以防政府對其處罰，結(jié)果就是隱私協(xié)議會趨于一致，例如京東的隱私協(xié)議的第一項到第八項與與淘寶網(wǎng)的隱私協(xié)議的第二項到第十項幾乎完全一致，只有保護和儲存?zhèn)€人信息是否分列為兩節(jié)，以及部分細節(jié)上存在區(qū)別。即使是不同領(lǐng)域的APP，其隱私協(xié)議結(jié)構(gòu)的差異性也很小，例如在如何收集信息的部分，均包含法律所要求收集的個人信息、基于基礎(chǔ)功能收集的個人信息、基于擴展功能收集的個人信息、無需征求同意的豁免和隱私協(xié)議的變更?。這種情況下，用戶很難察覺到隱私協(xié)議的差別，自然也減小了閱讀的必要性。在從不閱讀隱私協(xié)議的用戶中，除了六成用戶是因為不同意便不能使用app 外，另有16.6%的用戶認為用戶協(xié)議大同小異，沒有閱讀的必要?。

（三）小結(jié)

如果用戶不進行閱讀隱私協(xié)議，法學家可能會認為用戶會因此招致種種不利后果，因而在立法上想盡辦法促進用戶閱讀。不過，由于前文所述壟斷導致的“不得不同意”、過高的閱讀成本、不同企業(yè)間隱私協(xié)議的高度相似，致使用戶無法進行信息理解和信息比較，面臨的信息成本極為高昂，無法做出有效的信息決策，讓不做選擇成為了最優(yōu)選擇。用戶既然不閱讀隱私協(xié)議，自然也不會閱讀其中的同意條款。在用戶“不得不用”的情況下，互聯(lián)網(wǎng)企業(yè)總能獲取個人信息的授權(quán)，從而滿足形式上的合規(guī)。此時，市場已經(jīng)失靈，知情同意制度本身已經(jīng)無法保護用戶的個人信息，需要通過少數(shù)精明人、司法或者行政規(guī)制等額外手段進行救濟[10]。更何況，企業(yè)通過格式條款獲得的利好是建立在用戶的選擇權(quán)減少，法律風險增加等不利因素的基礎(chǔ)上的，在立法上更傾向于用戶本是應有之義。

二、形式合規(guī)欠缺正當性基礎(chǔ)

實踐中“表面獲得用戶同意，實則收集非必要個人信息的同意條款，”并不罕見?。然而，用戶的“閱讀率”低會影響同意的前提——知情，使互聯(lián)網(wǎng)企業(yè)獲取個人信息的授權(quán)并不圓滿，進而影響其作為格式條款的公平性；互聯(lián)網(wǎng)各行業(yè)的壟斷，令用戶的同意流于表面，其同意的背后多少有被迫的成分。況且，再考慮到互聯(lián)網(wǎng)服務對現(xiàn)代生活的必要性，即使用戶發(fā)現(xiàn)隱私協(xié)議對非必要的信息征求了同意，用戶大多也會選擇先使用服務解決燃眉之急，而非投訴互聯(lián)網(wǎng)企業(yè)。這說明，即使用戶看了隱私協(xié)議，不同意其中的授權(quán)，互聯(lián)網(wǎng)企業(yè)依然能獲得形式上的合規(guī)。因此，同意條款的形式合規(guī)并不因為其獲得授權(quán)而具有正當性。

（一）同意條款作為格式條款的效力瑕疵

同意條款是一種格式條款，為保護格式條款相對方，尤其是消費者，《民法典》《消費者權(quán)益保護法》《最高人民法院關(guān)于適用<中華人民共和國合同法>若干問題的解釋（二）》（以下簡稱《合同法解釋（二）》）等均對格式條款提供方加以限制，以保護相對方的合法權(quán)利。如果同意條款符合《民法典》第496-498 條，《消費者權(quán)益保護法》第26 條以及《合同法解釋（二）》9-10 條的情形，則可能面臨可撤銷或無效的結(jié)果。具體而言，審查同意條款的效力應遵循從形式到實質(zhì)的審查路徑。形式審查是指通過運用若干程序性事項以確定格式條款內(nèi)容是否存在效力問題的過程，實質(zhì)審查則是對訂入合同格式條款的內(nèi)容進行公平與否的效力評價。順序上，應當先運用形式性規(guī)則優(yōu)先確定格式條款的形式是否符合法律規(guī)定，再對符合條件而成為合同內(nèi)容之一部分的格式條款進行公平與否的實質(zhì)審查[11]。

從形式上看，假設互聯(lián)網(wǎng)企業(yè)嚴格遵守法律和傳統(tǒng)慣例，對相關(guān)文字、符號、字體等進行特別標識，并給予足夠的說明，顯著提醒用戶包括同意條款在內(nèi)的有利害關(guān)系的條款，那就滿足了形式的要求，實踐中的案件確實也大多滿足形式要件[12]。按照傳統(tǒng)觀點，只要用戶勾選了協(xié)議，點擊了“確定”按鈕，就推定其已經(jīng)閱讀了用戶協(xié)議中的格式條款并受到條款的約束，不得以未實際閱讀為由擺脫合同的約束，也與實踐結(jié)果相一致[13]。不過，一則可能會出現(xiàn)標識文字與未標識文字數(shù)量旗鼓相當?shù)那闆r，從而會被法院撤銷?；二則隱私協(xié)議的內(nèi)容實屬龐雜，如果加上其他服務協(xié)議的條款，再考慮到法律用語對于公眾的晦澀，結(jié)合前文所言，實則不可能為用戶所閱讀；可是，如果對“合理提示及說明義務”進行合理的擴大解釋，則應囊括限定字數(shù)、用語簡明等新的要求，固然能顧全用戶的利益。但這又很有可能無法涵蓋全部具有重大利害關(guān)系的內(nèi)容，使互聯(lián)網(wǎng)企業(yè)面臨左右違法的窘境?。法不強人所難，無論是對互聯(lián)網(wǎng)企業(yè)還是用戶而言均是如此，筆者認為對格式條款傳統(tǒng)的形式審查已經(jīng)無法適應新時代下的經(jīng)濟活動，形式合規(guī)自然也不具備絕對的合理性。

再從實質(zhì)內(nèi)容上看，我國雖然未確立個人信息權(quán)，但是個人信息保護相關(guān)權(quán)益屬于人格權(quán)益，盡管不意味著用戶對該權(quán)益享有排他的、絕對的支配與控制[14]，也屬于消費者的合法權(quán)益。如果互聯(lián)網(wǎng)企業(yè)違反最小必要原則收集用戶信息?，那么如何認定同意條款的效力，是否可以認定為《消費者權(quán)益保護法》第26 條中通過格式條款的方式限制消費者權(quán)利的情形？倘若從限制消費者權(quán)利的角度來看比較牽強，在以個人信息為對價交換互聯(lián)網(wǎng)服務的大背景下[15]，消費者對此也并非蒙在鼓里，結(jié)合各領(lǐng)域互聯(lián)網(wǎng)巨頭壟斷的情況，則可能將此認定為《消費者權(quán)益保護法》第26 條第2 款中“利用格式條款并借助技術(shù)手段強制交易”的情形，從而否定同意條款針對非必要個人信息收集的效力。同時，這也符合個人信息保護的一般規(guī)則，即互聯(lián)網(wǎng)企業(yè)不得因用戶不同意處理非必要信息為由，拒絕提供產(chǎn)品或服務。由此可見，同意條款的格式條款屬性使其形式合規(guī)的合法性存在疑問。

（二）個人信息保護法律法規(guī)對同意條款的影響

除了格式條款的角度之外，《民法典》第153 條第1 款“違反法律、行政法規(guī)的強制性規(guī)定”也可能有用武之地?！逗贤ń忉專ǘ穼娭菩砸?guī)定限定在效力性規(guī)范，排除了管理性規(guī)范。具體而言，效力性規(guī)范是指法律及行政法規(guī)明確規(guī)定違反該類規(guī)定將導致合同無效的規(guī)范，或者雖未明確規(guī)定違反之后將導致合同無效，但若使合同繼續(xù)有效將損害國家利益和社會公共利益的規(guī)范。效力性強制性規(guī)定包括涉及金融安全、市場秩序、國家宏觀政策等公序良俗的；交易標的禁止買賣的；違反特許經(jīng)營規(guī)定的；交易方式嚴重違法的；交易場所違法的，而關(guān)于經(jīng)營范圍、交易時間、交易數(shù)量等行政管理性質(zhì)的強制性規(guī)定，一般應當認定為“管理性強制性規(guī)定”。

同意條款雖然表面上獲得了用戶的同意，但實則用戶并未閱讀，這種情況即使不是眾所周知，至少業(yè)內(nèi)人士也是心知肚明的。因此，當互聯(lián)網(wǎng)企業(yè)違反最小必要原則收集用戶信息，以及借助壟斷地位將同意隱私協(xié)議與獲取產(chǎn)品、服務綁定時，用戶實則別無選擇，不宜認定將用戶形式上的同意認定為抗辯理由，可以認定互聯(lián)網(wǎng)企業(yè)因此違反了個人信息保護相關(guān)法律。那么是否能認定個人信息保護相關(guān)法律為效力性規(guī)范呢？法律和司法解釋并未給出明確、清晰的答案。不過從規(guī)范內(nèi)容上看，上述個人信息保護相關(guān)規(guī)則不具有關(guān)于經(jīng)營范圍、交易時間、交易數(shù)量的行政管理性質(zhì)，相反這與互聯(lián)網(wǎng)企業(yè)是否能夠不受限制地獲取個人信息密切相關(guān)。從我國移動端App 動輒上億月活用戶的現(xiàn)狀來看，互聯(lián)網(wǎng)企業(yè)獲取用戶信息是涉及社會公共利益和公共秩序的，立法者顯然也認識到了這一問題，例如《個人信息保護法》第58 條對提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的企業(yè)進行了規(guī)制。行業(yè)內(nèi)部常見的壟斷，讓隱私協(xié)議可以與提供服務、產(chǎn)品綁定，使用戶不得不接受額外的信息收集，且未提供其他可替代方案，也屬于交易方式嚴重違法的范疇，構(gòu)成侵害社會公共利益的違法事實。因此，筆者認為從違反效力性強制規(guī)范導致無效的角度來看，隱私協(xié)議的同意條款也可能歸于無效。

另外，關(guān)于單方變更條款的問題，雖然也存在違反明示同意的問題，但與前文提及的違反最小必要原則及利用壟斷地位有所不同。一般情況下，根據(jù)《個人信息保護法》第14 條的規(guī)定，互聯(lián)網(wǎng)企業(yè)單方變更個人信息處理相關(guān)條款時，應當重新取得個人同意，且這里的同意依然是明示的，仍然存在簽署問題。但是單方變更條款在一定條件下有其法律依據(jù)，即《電子商務法》第34 條所規(guī)定的，電商平臺單方修改服務協(xié)議和平臺規(guī)則的，應當在其首頁顯著位置公開征求意見，采取合理措施確保有關(guān)各方能夠及時充分表達意見，修改內(nèi)容應當至少在實施前七日予以公示。通過公示規(guī)則以及賦予用戶解除權(quán)，對于保護用戶而言，起到的作用是杯水車薪[7]。這種一定期限內(nèi)賦予用戶解除權(quán)的做法，雖然有《電子商務法》予以背書，但實際上是默認用戶同意，與《個人信息保護法》的要求的明示同意有所不同，不僅未能緩解同意帶來的窘境，反而為互聯(lián)網(wǎng)企業(yè)的合規(guī)大開方便之門，使其可以在最初通過盡量少處理個人信息來吸引用戶，待到形成用戶規(guī)模、使用習慣固定后，修改個人信息處理規(guī)則，獲取用戶的“默示同意”。

（三）壟斷對用戶意思表示的影響

在收集個人信息這個市場中，互聯(lián)網(wǎng)企業(yè)和個人就是實質(zhì)的交易主體，前者提供互聯(lián)網(wǎng)服務，后者提供個人信息作為對價。當然，這一市場中的主體并非均是傳統(tǒng)的商事主體，用戶個人權(quán)益的受損對市場秩序沒有直接的影響，但是不妨從類比的角度發(fā)現(xiàn)形式合規(guī)背后的不合理。考慮到互聯(lián)網(wǎng)行業(yè)的普遍壟斷，在收集個人信息這個市場中，濫用市場支配地位的發(fā)生不無可能，同意條款的“形式合規(guī)”正如壟斷行為的“表面自由締約”。如果用戶不同意收集個人信息，互聯(lián)網(wǎng)企業(yè)即不提供互聯(lián)網(wǎng)服務，有可能屬于《反壟斷法》第17 條第3 款“沒有正當理由，拒絕與交易相對人進行交易”的情形。用戶被迫同意這種形式上的合規(guī)，就如被迫接受不合理條件的經(jīng)營者，表面上是交易自愿、自由意志的，實際上則是別無選擇的?；ヂ?lián)網(wǎng)企業(yè)將拒絕提供服務作為交換個人信息的手段，雖然并非當然違法，可考慮到互聯(lián)網(wǎng)在現(xiàn)代生活中的基礎(chǔ)設施屬性，它們的拒絕交易很可能對對人們生活和社會秩序造成嚴重影響，對用戶的傾斜是天然正當?shù)腫16]。雖然前文的用戶被迫同意并不能簡單等同于民法上的脅迫與欺詐，與后者的構(gòu)成要件有所不同，而且有些情形也確是網(wǎng)絡交易本身的性質(zhì)所致，但這些“脅迫”行為說明用戶個人的同意權(quán)不足以保障用戶作出不含效力瑕疵的真實意思表示[17]，同意條款的形式合規(guī)恰恰掩蓋了這一點，就如“交易自由”掩蓋了壟斷下的濫用支配地位。

三、應對個人信息進行額外保護

同意條款被廣泛設置在隱私協(xié)議中，以使互聯(lián)網(wǎng)企業(yè)獲取非必要個人信息的行為正當化。從現(xiàn)實情況看，用戶形式上的同意不僅不能保證他們的個人信息安全嗎，反而為互聯(lián)網(wǎng)企業(yè)獲取個人信息打開方便之門。除此之外，同意制度本身還可能有其他負面效果，如限制信息流通、阻礙數(shù)字產(chǎn)業(yè)發(fā)展等[18]。不過，知情同意制度有其獨到之處，在尊重個人權(quán)利方面有其指引和教育作用。況且我國在《民法典》中明確規(guī)定了個人信息處理的告知同意要求，正在制訂的《個人信息保護法》中也將進一步確立這種要求，此時針對這一立法上日益穩(wěn)固的規(guī)則再言放棄，已不合時宜，理性的選擇應當是研究如何緩解乃至化解同意規(guī)則的實施困境[19]。因此，應當尋找其他辦法來對個人信息進行額外保護，例如統(tǒng)一隱私協(xié)議內(nèi)容、區(qū)分基本業(yè)務與擴展業(yè)務、促進數(shù)據(jù)交易、推行個人信息公益訴訟等，以彌補同意制度的不足，盡可能消除形式合規(guī)造成的影響。

（一）通過行政手段規(guī)范個人信息的收集

立法應當順應市場規(guī)律，承認用戶幾乎不會閱讀同意條款的現(xiàn)實。如果遵循傳統(tǒng)觀點，用戶勾選進入App 后就屬于放棄個人權(quán)利，不利于保護個人信息，也對用戶施加了過高的成本，提出的要求未免難以達到；如果執(zhí)著于同意條款的實際推行，要求互聯(lián)網(wǎng)企業(yè)提供用戶會閱讀、能理解的隱私協(xié)議文本，則會必然會產(chǎn)生語義模糊、遺漏重要權(quán)利等法律風險，對其施加不必要的成本，阻礙互聯(lián)網(wǎng)行業(yè)的發(fā)展。因此，不如不再重視“同意”，而是鼓勵統(tǒng)一隱私協(xié)議的書寫，將企業(yè)間協(xié)議的差異壓縮到很小的程度。由此，用戶得以把更多注意力留給其它維度，比如價格；企業(yè)也會加強在這些維度上的競爭，最終對社會福利帶來凈效應。不再重視同意，不等于同意制度沒有價值，其將作為互聯(lián)網(wǎng)企業(yè)是否合規(guī)的標桿，也是用戶藉此維權(quán)的條文依據(jù)，但其本身不再作為唯一的，或者最重要的正當性來源。用戶的信賴不必建立在其所閱讀的隱私協(xié)議之上，而是基于對個人信息的處理標準的統(tǒng)一適用，換而言之，其信賴從根本而言是出于對國家治理能力的信任[17]。這種同意以國家的強制力作為后盾，相信國家會對過分收集個人信息的企業(yè)予以監(jiān)管、處罰，較之形式上的點擊同意，自然更為意思自由。

基于此，立法時應當更重視與必要信息相關(guān)的規(guī)則，以讓企業(yè)制定隱私政策時便盡可能不收集不必要的個人信息。這方面我國的立法尚出于初級階段，立法雜亂而繁多，例如《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》（下簡稱《常見App 必要個人信息范圍》）、《信息安全技術(shù)|移動互聯(lián)網(wǎng)應用程序（App）收集個人信息基本規(guī)范》（下簡稱《App 收集個人信息基本規(guī)范》）等。后二者分別對包括地圖、網(wǎng)約車、外賣等39 類App 的必要個人信息范圍進行了列舉，以及在附錄A 中列舉了21類App 的必要信息，以及在附錄B 中列舉了與信息相對應的服務等，是非常值得進一步細化、規(guī)范的成果。不過在這些內(nèi)容中也存在矛盾，例如《常見App 必要個人信息范圍》與《App 收集個人信息基本規(guī)范》中對網(wǎng)約車的支付信息是否必要存在不一致。對此，我國應盡快結(jié)合現(xiàn)實情況出臺完善、統(tǒng)一的上位規(guī)則，以彌補同意條款不能保護的范疇。除了頒布必要個人信息相關(guān)規(guī)則之外，還應當對合法性基礎(chǔ)的適用順序作出一定的要求。如果只是頒布了規(guī)則，而沒有對其適用順序作出規(guī)定，互聯(lián)網(wǎng)企業(yè)依然可以通過“取得用戶同意”從而獲得一攬子授權(quán)，繞過相關(guān)規(guī)則的限制。因此，應當優(yōu)先適用合同所必需、法律所必需等必要個人信息的合法性基礎(chǔ)，來彌補同意帶來的形式合規(guī)問題。

另一方面，政府對必要信息的限制以及相應的監(jiān)管，必然限制互聯(lián)網(wǎng)收集、處理個人信息，同時不可能完全預見信息必要性的變化，會對其發(fā)展造成不利影響；如果放松對條款的限制，那么則會使政府監(jiān)管成為擺設，無法發(fā)揮應有的作用[20]。為消弭這種不利影響，也應當為企業(yè)創(chuàng)新設置例外規(guī)則。出于便捷、體驗等原因，用戶會對一款App 存在基礎(chǔ)功能以外的需求，互聯(lián)網(wǎng)企業(yè)自然也會針對這種需求提供服務，二者都是合理的市場行為。不過，其中涉及的信息不再是必要信息，同時既然是用戶自發(fā)產(chǎn)生便捷、體驗等其他需求，那么則有其額外的動力權(quán)衡個人信息風險與從App 中的獲益，同意條款雖然在一般情況下無用武之地，面對額外的服務則有所不同。對此，我國的《信息安全技術(shù)個人信息安全規(guī)范》已經(jīng)在附錄C 中給出了方案，即根據(jù)個人信息主體選擇、使用所提供產(chǎn)品或服務的根本期待和最主要的需求，劃分出產(chǎn)品或服務的基本業(yè)務功能和擴展業(yè)務功能，對不同的功能采取不同的策略。不過，《信息安全技術(shù)個人信息安全規(guī)范》只是推薦性國家標準，尚不具有法律上的強制力，應盡早將基本業(yè)務與擴展業(yè)務的區(qū)分納入具有強制力的規(guī)范體系中。

（二）促進數(shù)據(jù)“交易”

在大數(shù)據(jù)技術(shù)快速發(fā)展的背景下，互聯(lián)網(wǎng)企業(yè)收集個人信息有其內(nèi)在的商業(yè)驅(qū)動，一是基于用戶的個人信息可以進行個性化推薦、品牌監(jiān)測等高效率的營銷活動，也是當前互聯(lián)網(wǎng)上最熱門、最普遍的應用；二是基于用戶的各類交易信息從而進行的經(jīng)營分析報告、反欺詐、反虛假交易、促銷和團購選品等輔助活動[21]?；ヂ?lián)網(wǎng)行業(yè)乃至其為之服務的行業(yè)，如醫(yī)藥行業(yè)、金融行業(yè)等，收集用戶個人信息的需求是客觀存在的。同意規(guī)則將權(quán)利賦予用戶，希望用戶的意思自治可以對信息流通進行規(guī)制，卻得到名存實亡的同意條款，企業(yè)憑借形式上的合規(guī)獲取了用戶信息，用戶自決則形同虛設。因此，如果有其他渠道來滿足互聯(lián)網(wǎng)企業(yè)的需求，那么就通過形式合規(guī)獲取用戶信息的手段就可能會被替代，降低對用戶的影響，數(shù)據(jù)交易市場也許是比較有效的方式。

由于數(shù)據(jù)產(chǎn)權(quán)規(guī)則不明確、保護個人信息的脫敏手段未形成統(tǒng)一標準、交易內(nèi)容可能涉及國家安全等，數(shù)據(jù)交易市場尚不是一個成熟的市場，還處于摸索階段[22]，因此暫時不宜作為滿足互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)需求的手段。不過，個人信息民事權(quán)益作為一種新型人格權(quán)，兼具人身和財產(chǎn)屬性，可以為用戶帶來經(jīng)濟效益[23]，不妨由此入手。實踐中，無論是用戶已經(jīng)認識到的用信息交換產(chǎn)品或服務，還是常見的利用個人信息交換小贈品、社交網(wǎng)絡的抽獎、新App 的優(yōu)惠等[24]，都說明利用個人信息進行交易是常規(guī)市場行為。因此，可以對互聯(lián)網(wǎng)企業(yè)通過額外服務交換個人信息的行為不做過多限制，以此保證互聯(lián)網(wǎng)行業(yè)創(chuàng)新的活力。這種情況下，企業(yè)所得的個人信息，是對企業(yè)而言預期收益最大的信息（除基于最小必要性原則下可處理的信息），對用戶而言又是相對可讓渡的那部分信息。經(jīng)濟激勵機制提供了一個議價平臺，用戶和企業(yè)可通過交涉和協(xié)商尋求一種雙贏的格局。當然，其中還包括告知方法的問題，例如如果用戶提供個人信息，則可以享受額外服務或減免；與如果用戶不提供個人信息，則會失去某項服務或需額外繳費，之間存在不同的強制性，是否對此進行規(guī)制仍有待不斷探索[25]。

（三）利用少數(shù)精明人

當大多數(shù)用戶都不閱讀隱私協(xié)議時，依然有少數(shù)“精明人”為自身利益會仔細閱讀隱私協(xié)議乃至其中的同意條款。為爭取這些精明人，企業(yè)就會修改自身的條款以滿足精明人的需要，只要從精明人處獲得的收益，大于放棄收集、處理信息的損失時，那么互聯(lián)網(wǎng)企業(yè)就會修改同意條款。但是，精明人理論會受到精明人占比的限制，有觀點認為只有精明人占比超過三分之一時，才能有效地影響企業(yè)的決策[26]。在隱私協(xié)議這個博弈領(lǐng)域內(nèi)，精明人的比例顯然過低了。況且，巨頭企業(yè)可以通過和解、分別締約等手段，給予精明人獨特的地位，從而消解精明人效應。筆者認為公益訴訟可以一定程度上解決精明人占比不足、可能被消解的問題。一方面，提起公益訴訟的主體一般是有豐富經(jīng)驗的公益組織，或者是檢察官，能力上滿足精明人的要求；另一方面，精明人會存在占比過低導致議價能力差，無法改變不當條款的情況，以及單獨與企業(yè)達成和解而無法產(chǎn)生公開影響的情況，公益訴訟則有檢察院的獨立性、法院裁判的強制力和公開性作為保障。該領(lǐng)域已經(jīng)滿足了設置公益訴訟的條件，其一，同意條款乃至隱私協(xié)議往往涉及上億條個人信息，關(guān)乎于社會公共利益，符合公益訴訟的前置條件；其二，用戶個人起訴訴權(quán)所及只有個人的信息，個人起訴只能保護個人利益，所獲賠償卻與實際受到的損失相差甚遠，維權(quán)的成本和收益不成正比，公益訴訟將眾多案件合并為一個案件，可以解決這一問題；其三，互聯(lián)網(wǎng)企業(yè)通常在技術(shù)、人才、資金等方面都具有優(yōu)勢地位，用戶個人與之相較實力、地位懸殊，但檢察院作為國家機關(guān)，互聯(lián)網(wǎng)企業(yè)面對個人的優(yōu)勢地位便不復存在了[27-28]。

《個人信息保護法》第70 條確立了公益訴訟制度，個人信息公益訴訟工作也早已開展，最高檢于2021年4月22日便公布了十一件典型案例，其中有涉及違規(guī)處理個人信息的案件，當信息處理者違反最小必要原則處理個人信息時，既有直接要求其改正的民事公益訴訟，也有敦促行政機關(guān)執(zhí)法行政公益訴訟。如果將公益訴訟作為補充，就可以有效地對互聯(lián)網(wǎng)企業(yè)的隱私協(xié)議進行規(guī)制，對其中形式合規(guī)但實質(zhì)不公平的部分進行糾正，先前關(guān)于違反最小必要原則手機個人信息的案件便是很好的例子。

四、結(jié)論

同意條款是互聯(lián)網(wǎng)企業(yè)追求形式合規(guī)的產(chǎn)物，由于語言冗長、行業(yè)壟斷普遍等原因，用戶的同意是浮于表面的，實際上不能產(chǎn)生立法者所預想的用戶根據(jù)自由意志來引導個人信息流動的效果，更無法起到保護個人信息的作用，也讓企業(yè)面臨違法的風險。因此，應當承認用戶同意沒有預想中重要的事實，對有必要收集的個人信息出臺國家標準，盡可能統(tǒng)一行業(yè)內(nèi)的隱私協(xié)議，降低互聯(lián)網(wǎng)企業(yè)和用戶的締約成本；對有意愿進行商業(yè)模式創(chuàng)新的企業(yè)，可以在基礎(chǔ)業(yè)務之外選擇擴展業(yè)務，同意條款將在此煥發(fā)活力；就企業(yè)本身收集信息的需求，應當通過合法途徑予以疏導，盡快完善數(shù)據(jù)交易市場，并允許企業(yè)對用戶采取激勵措施換取個人信息，實現(xiàn)雙贏的結(jié)果；同意條款無法保護個人信息，應采取其他手段對之加以彌補，雖然各項立法尚不成熟，但個人信息的公益訴訟是很好的選擇。

[注釋]

① 《全國人民代表大會常務委員會關(guān)于加強網(wǎng)絡信息保護的決定》第2 條。

② 參見《國家市場監(jiān)督管理總局行政處罰決定書》（國市監(jiān)處〔2021〕14-21 號、27-37 號等），再考慮到《反壟斷法》第19 條所規(guī)定的市場份額，互聯(lián)網(wǎng)行業(yè)的壟斷并不罕見，下文會列出部分行業(yè)數(shù)據(jù)。

③ 參見《國家市場監(jiān)督管理總局行政處罰決定書》（國市監(jiān)處〔2021〕14-21 號、27-37 號等），再考慮到《反壟斷法》第19 條所規(guī)定的市場份額，互聯(lián)網(wǎng)行業(yè)的壟斷并不罕見，下文會列出部分行業(yè)數(shù)據(jù)。

④ 中國消費者協(xié)會：App 個人信息泄露情況調(diào)查報告，網(wǎng)址：http://www.cca.org.cn/jmxf/detail/28180.html。

⑤ 《艾媒報告 2018 中國手機 APP 隱私權(quán)限測評報告》提到只有 12.4%的用戶認真閱讀隱私協(xié)議，網(wǎng)址：https://www.iimedia.cn/c400/61251.html。

⑥ 例如《個人信息保護法》第17 條，個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項……再如GDPR 在序言中談到，數(shù)據(jù)控制者事先定的同意聲明應以易理解、同意聲明應以易理解、獲取方式提供，使用明確、簡潔的語言并且不能包含公平條款。其中第12 條也規(guī)定了有關(guān)數(shù)據(jù)處理通信過清晰易懂語言，以一種簡潔明了、透明以及易獲得的形式提供……

⑦ 例如《個人信息保護法》第14 條規(guī)定，基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。；再如GDPR 第3 條規(guī)定，數(shù)據(jù)主體的同意：是指數(shù)據(jù)主體依據(jù)其個人意愿，自由、明確、知情并清楚地通過陳述或積極行為表示對其個人數(shù)據(jù)進行處理的同意。

⑧ 例如在孫丁丁與江蘇蘇寧易購電子商務有限公司一案中，法院認為六頁的黑體標示條款明顯多于非黑體字條款。因此，經(jīng)過字體加黑的管轄權(quán)條款與其他條款并無明顯區(qū)別，未起到提請消費者合理注意的作用……因蘇寧公司未能采取合理方式提請消費者注意，對本案當事人不具有法律約束力。

⑨ 例如，《淘寶平臺服務協(xié)議》在第七項協(xié)議變更上，加粗標注了“如您在變更事項生效后仍繼續(xù)使用淘寶平臺服務，則視為您同意已生效的變更事項”，網(wǎng)址：https://terms.alicdn.com/legal-agreement/terms/TD/TD201609301342_19559.html。

⑩ 同④注，以及《個人信息保護法》第14 條、GDPR 第3 條。

?Analysys 易觀：《中國網(wǎng)約車市場洞察2020》，第23 頁。

?Fastdata 極數(shù)：《2020年1-4月中國本地生活外賣行業(yè)發(fā)展分析報告》，第16 頁。

? 網(wǎng)經(jīng)社電子商務研究中心：《2019年度中國網(wǎng)絡零售市場數(shù)據(jù)檢測報告》，第13 頁。另外，文中所提及的市場占比是指全體電商平臺的市場份額占比，如果只考慮綜合性電商平臺，阿里、京東和拼多多的市場占比將會更高。

? 同①注，中國消費者協(xié)會：《App 個人信息泄露情況調(diào)查報告》。另外，立法者實際上也意識到了這一問題，例如GDPR 在序言第43 部分談到，為了確保數(shù)據(jù)主體的同意是基于自由意志作出，在數(shù)據(jù)主體和控制者之間存在明顯的不平衡時，尤其是當數(shù)據(jù)控制者為公權(quán)力機關(guān)時，不可能所有的同意都是自由作出的情況下，數(shù)據(jù)主體的同意不能作為處理個人數(shù)據(jù)的有效法律基礎(chǔ)。不過GDPR 并未給出除否認同意效力之外的、明確的、具有針對性的解決辦法。

? 淘寶的《隱私權(quán)政策》共計 17931 字，網(wǎng)址：https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html?spm=a2145.7268393.0.0.f9aa5d7cW0DnJj；京東的《京東隱私政策》共計15605 字，網(wǎng)址：https://about.jd.com/privacy；微信的《微信隱私保護指引》共計 11509 字，網(wǎng)址：https://weixin.qq.com/cgi-bin/readtemplate?t=weixin_agreement&s=privacy&cc=CN；微博的《微博個人信息保護政策》共計10416 字，網(wǎng)址：https://m.weibo.cn/c/privacy；高德地圖的《高德地圖開放平臺隱私權(quán)政策》共計10962 字，網(wǎng)址：https://lbs.amap.com/pages/privacy/。文中相關(guān)隱私協(xié)議的內(nèi)容，來源與此相同，不再引注。

? 參見《美團隱私政策》，網(wǎng)址：https://rules-center.meituan.com/m/detail/guize/2；《支付寶隱私政策》，網(wǎng)址：https://render.alipay.com/p/c/k2cx0tg8。

? 同①注，中國消費者協(xié)會：《App 個人信息泄露情況調(diào)查報告》。

? 參見中國消費者協(xié)會：《100 款App 個人信息收集與隱私政策測評報告》，其中通訊社交、新聞閱讀、電子郵箱、影音播放類型的App 大多都會收集用戶定位、位置信息，部分類型甚至達到了100%。但是從《常見類型移動互聯(lián)網(wǎng)應用程序（App）必要個人信息范圍（公開征求意見稿）》可以看出，即時通信類、網(wǎng)絡社區(qū)類、郵箱云盤類、在線影音類、短視頻類、新聞資訊類的App，必要信息并不包含用戶位置信息。這可以證明，實踐中廣泛存在表面獲得用戶同意，來使其收集非必要個人信息的行為正當化。

? 案例同⑦注，以及《美團隱私政策》個人信息收集部分6715 字，加粗部分2485 字；《微信隱私保護指引》中個人信息收集部分共4954 字，加粗部分1968 字；《支付寶隱私政策》個人信息收集部分3554 字，加粗部分1424 字，比例均在40%左右。

? 例如黃某與被告騰訊科技（深圳）有限公司廣州分公司、騰訊科技（北京）有限公司隱私權(quán)、個人信息權(quán)益網(wǎng)絡侵權(quán)責任糾紛案，北京互聯(lián)網(wǎng)法院，（2019）京0491 民初16142 號一審民事判決書，其中提及“微信好友”的概念，便需要解釋是微信App 內(nèi)的好友，還是微信讀書App 中的好友。本案中，騰訊即因為“微信好友”概念指代不清，因此被法院認定未能獲得用戶有效同意，因而敗訴。

? 《個人信息保護法》第6 條、《網(wǎng)絡安全法》第41 條等。

? 中國消費者協(xié)會的《App 個人信息泄露情況調(diào)查報告》顯示消費者大多知曉個人信息是使用服務的對價。

? 《個人信息保護法》第16 條；《網(wǎng)絡安全法》第41 條等。

? 《最高人民法院副院長奚曉明在全國民商事審判工作會議上的講話-充分發(fā)揮民商事審判職能作用為構(gòu)建社會主義和諧社會提供司法保障》第2 條。

? 《全國法院民商事審判工作會議紀要》第30 條。

? 最高人民檢察院發(fā)布十一件檢察機關(guān)個人信息保護公益訴訟典型案例之一，江西省南昌市人民檢察院督促整治手