論歐盟GDPR中個人數據保護與“同意”細分*

王雪喬

(中國社會科學院科技和社會研究中心，北京市 100732)

歐盟于2018年5月25日開始實施的《一般數據保護條例》(簡稱GDPR)[1]P1在“同意”方面做出了較為細化的規定，更加強調數據主體自身的“同意”在數據收集與處理中的重要性。GDPR條文中明確規定和區分了在收集與處理數據時針對個人數據需征得數據主體的“無爭議同意”與針對敏感數據需征得數據主體的“明示同意”兩種不同的“同意”類型，雖然GDPR條文中希望用 “無爭議同意”與“明示同意”的區分來作為保護個人數據的重要手段，但目前這種區分能否達到預期保護效果仍然處于爭議期。由此本文將著力針對這一點展開深入的分析，以明確GDPR做出這一區分的法律意義及局限性，并希望在此基礎上對我國個人數據保護提出建設性意見。

一、數據主體、個人數據、敏感數據與非敏感數據

數據保護有廣義與狹義之分。從廣義上看，所謂的數據保護主要涉及數據概念本身，不僅包括“有主”數據的保護，也包括“無主”數據的保護。此外，廣義的數據保護概念還涉及數據保護的技術手段，如加密的儲存設備與加密的區塊鏈等。但就狹義而言，數據保護直接涉及與數據相關的數據主體的個人數據隱私方面的問題，表明數據主體的個人數據隱私需要得到專門性保護。正是從數據保護的狹義性出發，人們必須充分關注數據主體對于與其相關的數據的收集、使用、處理與公開等方面的意見表達(即同意或反對)，這是體現對有關數據主體個人數據隱私加以保護的重要舉措。作為歐盟新頒的數據保護法案，GDPR具有承上啟下的重要作用，它不僅明確了數據主體的界定，還規定了個人數據與敏感數據的區分標準，使數據主體、個人數據與敏感數據等在法律適用中更加清晰化，進一步加強了數據保護的法律確權性。

(一)數據主體及其權利規定

數據主體的界定是解決個人數據保護問題的理論基礎，涉及保護“誰”的個人數據。根據GDPR第四條第1款的規定，個人數據的定義在更大程度上已與數據主體之間存在等同關系，即所謂 “個人數據”意指涉及一個身份已識別或可識別的自然人——即“數據主體”的所有信息[1]P33。同時該條款表明數據主體有權在其“身份已識別的或可識別的所有信息”受到侵害時尋求法律保護，而這就是所謂的個人數據保護權。[2]P81

1995年頒布的《歐盟數據保護指令》【Data Protection Directive (簡稱DPD)】[3]P12在幫助個人意識到隱私保護重要性方面起到了推進作用。但值得注意的是，從DPD到GDPR，“數據主體”這一衍生概念頻繁性地被適用于歐盟數據保護的法規中，其作用在于肯定數據主體作為信息載體也被賦予了權利特征。數據主體的權利通常是指一種被動的權利，是以“防止他人非法使用其個人數據”為核心內容的。根據GDPR的規定，數據主體的權利是限制第三方侵犯版權或阻止第三方竊取個人數據的權利。這種數據保護的權利設定是假設有第三方可能在“監督”或“竊取”數據主體的個人數據，同時這種假設的前提是認為只有當個人在數據保護方面受到侵害時，他們才會對自己原本并不關注的個人數據給予更多的重視。由此不難推出，數據主體的權利在知識產權保護領域的活躍程度是不如專利保護權或者商標保護權的。[4]P185在互聯網技術快速發展的今天，個人一般無法“洞悉”自己每一條信息的走向，大多數人正在默示同意的情況下生活在個人數據日益透明化的環境中。但是，由于個人數據直接關系到個人隱私，因此，個人數據的保護就提到了重要的議事日程上來。根據現行法律，數據隱私通常只受到責任規則的保護[5]，由于數據隱私直接與數據主體相聯，僅僅依靠責任規則是遠遠不夠的。如果沒有嚴格的法律規定，在線服務商顯然不會以負責任的態度主動地關注與數據隱私相關的數據主體的權利問題，因為數據主體的這種權利在很大程度上是與在線服務商無涉的。GDPR主要賦予了數據主體七項數據權利，包括知情權、訪問權、修正權、刪除權(被遺忘權)和限制處理權(反對權)、可攜帶權和拒絕權，[1]P1-32都是專門針對數據的控制者與處理者而提出。由此可見，GDPR對數據主體概念提供了明確的法律規定，確定了數據主體的權利基礎以及權利邊界，并對數據控制者與處理者進行了嚴格的的權利劃定，從而使數據主體的權利得到了法律上的優先肯定。這在一定程度上揭示了只有在獲得數據主體授權后方可對數據加以收集與處理的重要隱含條件。

(二)個人數據的定義與“身份識別”問題

GDPR第四條第1款對個人數據做出的定義是相當全面和廣泛的。從理論層面上說，這是在數據保護法中從個人數據與數據主體的關系出發界定個人數據概念，所表明的是，只有那些具有身份識別功能或可能具有身份識別功能的個人信息才能被稱為個人數據。但從法律實踐層面上看，對個人信息是否具有身份識別功能的判定是極其困難的，這表明個人數據認定的操作性極弱。一個人可以通過任何直接或間接方法被識別出來，他的網絡足跡或者發布的圖片都可以作為被識別的線索，信息的排列組合可以幫助人們通過“姓名”或不通過“姓名”而識別出一個人的真實身份。所以在具體適用和解讀個人數據時，個人信息的身份識別功能是作為核心內容加以考慮的。就常識而言，“姓名”是識別一個人的最直接、簡單的方式，所以，許多人為了防止被識別出來，可能使用假名來隱藏他們在互聯網上的信息。筆名是網站上隱藏身份的一種方法，它有助于網上用戶降低被第三方識別的風險。在社交網絡平臺上，即使是個人使用假名，親戚或朋友也可以從張貼的文章和在網站上寫的語言中識別出個人身份。從這個層次上看，識別一個人是很容易的，也是很清楚的。在亞馬遜或eBay中，有些客戶會使用假名來保護他們在網站上的交易記錄。事實上，當購買者在網上挑選貨品時，其身份不僅僅是與真名聯系在一起的，還有電話號碼、家庭地址和IP地址等都可能會與個人身份之間建立鏈接關系。因此，網絡消費的記錄在某種程度上可能會給第三方識別個人身份提供更為直接的線索，即使消費者使用虛假的名字和地址來隱藏自己的身份信息。

個人數據的實際定義是指“身份識別”，意味著個人數據應當能夠具有對個人進行身份識別的功能。個人數據是由許多要素組成的，其中包括可以允許其他人識別信息所有權人的要素，這是個人數據的重要內容。在杜蘭特與金融服務管理局(FSA)的糾紛案中，杜蘭特提出了一個主題訪問請求，以獲取金融服務管理局持有的有關他的個人數據。杜蘭特的論點是，英國數據保護法與歐盟DPD有關個人數據的定義都暗示了“個人數據”是寬泛和包容性定義，其中一個定義涵蓋了以杜蘭特名義進行的與杜蘭特有關的搜索所檢索到的任何信息。盡管上訴法院承認杜蘭特的論點，但是根據DPD第2條中個人數據的定義，它得出的結論是，該定義沒有杜蘭特所假設的那么廣泛。[6]P320確切地說，個人數據概念僅僅意味著一個人的具有身份識別功能的信息或者具有身份提示性的信息。例如，“Emma Watson”不是一種個人數據，因為任何人都可以按照個人喜好被命名為Emma或Watson。當“Emma Watson”同與之相關的其他可供識別的信息同時出現時，這個名字才會成為個人數據的一部分，并且足以證明一個人的身份。

(三)敏感數據與非敏感數據

在GDPR的規定中，“同意”必須是“自愿給出、特定、知情與無爭議的”。同時數據主體的授權也有級別區分。其中，“無爭議的”同意是最低級別，是基本的同意要求，“明示的”同意則是最高的同意標準。GDPR一方面選擇將無爭議的同意作為基本要求，另一方面則主張這種同意需要通過 “一個明晰肯定的行為或陳述”來進行表達。GDPR司法解釋第32條規定，數據主體明示同意的肯定性行為包括，在網上的勾選框里勾選同意，“選擇某個信息服務技術”或 “另一個陳述或操作” 等，它們均清楚地表明了對數據處理的“同意”意向。但如果行為人直接采取 “默示、將勾選框空置或不做出反應的行動”，則會被推定為不同意。[1]P6

在GDPR中“同意”是轉移個人數據的法律依據，但“同意”的內涵相對于DPD來說已經明顯縮小。DPD允許數據控制者在隱性的和“退出性”的同意基礎上進行個人數據轉移，但GDPR則要求數據主體通過“明晰肯定的行為或陳述”進行單一授權的意見規制。雖然GDPR保留了DPD對于處理“特殊類別的個人數據”需要給出“明示的同意”要求，但它擴展了與這些特殊類別相關的內容范圍。在GDPR出臺之前，法律意義上的“同意”很少與區分敏感數據和非敏感數據相聯，而且針對數據主體的同意所強調的是無爭議性同意，即在同意的意向性上必須是無爭議的。GDPR第六條規定，如果數據是常規的、非敏感的，無爭議同意就是必需的。敏感數據在第九條第一款中列舉出來，它需要的是明示同意。[1]P36-38敏感數據涉及到個人信息，包括身體或心理健康情況、倫理觀或種族信息等等。換言之，敏感數據是能夠進行個人身份識別的，這也是它與非敏感數據之間最為根本性的區別。根據DPD的規定，匿名處理是處理個人數據的重要原則，但是，匿名處理是難以與互聯網技術的快速發展相適應的。[7]P25在互聯網技術快速發展的今天，去匿名化已經成為很多在線服務商處理數據時更傾向的選擇，因為對于企業來說，能夠收集與處理具有用戶身份指向性的數據，對于后續精準投放廣告、發送個性化推送都是極為有利的。所以，GDPR針對敏感數據提出“明示同意”的較高標準有現實操作的必要性。

二、個人數據保護法律意義上的“同意”

GDPR從界定數據主體入手到嚴格區別個人數據與敏感數據，最終使得有關同意的規定得到細分處理，即明確規定，個人數據需要獲得數據主體的“無爭議同意”，敏感數據則需要獲得數據主體的“明示同意”[1]P6。筆者認為，對于同意等級的區分，一方面表明了對于數據主體信息自決權的重要尊重，另一方面也表明了數據主體的信息自決權是GDPR中的個人數據法律保護意義上的“同意”的基礎權利來源。在此，可以從信息自決權利視角來深入解讀這種區分的意義以及可能存在的限制性。

(一)GDPR關于“同意”的細分

GDPR第四條針對“同意”的意見表達給出了四個限定詞：自愿給出的、特定的、知情的、無爭議的，同時GDPR第32條司法解釋中還做出了反向說明，即“默示、將勾選框空置或不做出反應行動，都不能構成為同意”[1]P33。無爭議同意是由無爭議的行為產生出來的同意，它應該是具體的和表達性的。但是，筆者認為，因為“同意”行為與意向的給出具有時效性以及層次性，當下點擊同意并不代表用戶將自己的信息完全授予在線用戶平臺，允許其對自己的個人數據進行毫無保留的二次加工。很多人認為網絡世界是他們隱藏自己真實生活世界的面具，比如在Instagram(照片墻)的網絡平臺上發布的照片或者旅游標記，只是單純的分享行為。在現階段，無爭議行為在用戶與在線用戶平臺之間還未形成一致的認定標準，這導致實踐中常常很難對其進行判定。所以，在對于無爭議同意的具體操作上還需要對在線服務商與用戶之間進行特殊的法律規制。

根據歐盟“第29條”工作組的規定，“無爭議同意”應包括“明示同意”。與需要通過肯定性行為做出“無爭議同意”相比，“明示同意”顯然需要更多的條件，其要求更加嚴格。這種差別可能導致不同的策略、不同的產品和不同的服務。[8]P31GDPR強調對于特殊類別的個人數據必須出于特定目的而對處理給予“明示同意”，但卻沒有給出有關“明示同意”的確切定義。在DPD中，“明示同意”對于所有類別的個人數據都是必不可少。同樣地，《歐盟電子隱私指令》要求直接面對市場的非請求權溝通必須經過“事先明示同意”。[9]P1由于缺乏清晰的法律規制層面的行為判定標準，“明示同意”在法律判定時容易與“無爭議同意”產生不同的爭訟結果。從文義解釋上看，無爭議同意被認為是明確的同意，與之相反的默示同意則被推斷為不明確和模糊的。無爭議同意在學理上與明示同意相近，并非是包含子集關系。在“無爭議同意”場景中，數據主體的同意可以通過來自其他的聲明或行為的暗示做出這一點是可能的。但在“明示同意”場景中，這種選擇是不可用的，因為“明示同意”要求在線用戶平臺提供一個選擇輸入框。[10]P31-38針對“無爭議同意”和“明示同意”的不同需求，可能會導致呈現給用戶不同的界面選擇以及用戶需要對不同的界面采取的不同處理方式。然而，在用戶最后的選擇同意的環節很難將“明示同意”的特殊性與特殊類別的個人數據嚴格區分開來。

有人認為，選擇輸入框或聲明性同意是“明示同意”的最低標準，但這些對“無爭議同意”來說并非必要條件，因為無爭議同意只需要明確告之的通知(即“通知原則”)和“肯定性行為”[10]P1。由于技術手段很難在數據處理前就明確判定某一特殊的個人數據是敏感的還是非敏感的，所以，大多數在線服務商都采用選擇輸入框或“I agree”(我同意)的聲明模式，用來避免無效的法律授權。即使在線社交用戶向社交網絡平臺提供了他們的信息，這也不能完全表明他們對于數據使用通知的接受可以被視為完全的無爭議性的明示性同意。從某種角度來看，在線服務商在獲得用戶許可之前不得擅自使用用戶的數據具有合理性。但該原則也會帶來在線平臺濫用合法性的法律風險，即在通過有效同意的授權之后對個人數據進行無合規性的二次加工。從“貝爾訴阿爾弗雷德·弗蘭克斯和巴特利特有限公司”一案中可知，“得到嚴格使用的默許表明了共生的、知情的(即‘知道’原則)接受或支持，通過衡平法而將其視為‘贊同’(即同意)，否則將構成侵權”[11]P1?；ヂ摼W環境的自然結構造成信息不對稱，以及用戶與服務商之間的不公平，數據主體無法評估使用同意條款中描述的數據的合法性與權力相稱性。雖然GDPR對同意條款進行了層次的細分，但明示同意和無爭議同意之間的區分在實際操作層面并無顯著的差別。

(二)個人數據保護、信息自決與“同意”

知情同意條款是信息權利人對其個人信息支配權的體現，是一種具有獨占性的支配權。個人信息自決屬于私人生活自主決定權的范疇，其目的在于保護個人對其私人生活事務的自主決定。個人數據保護、信息自決與知情同意條款三者之間存在著不可分割的內在聯系。

1、信息自決與“同意”的關系。信息自決權在是指“個人依照法律控制自己的個人信息并決定是否被收集和利用的權利”[12]P125。實踐中，信息自決原則在網站現實技術中的應用就是表現為“同意”，且此種“同意”涉及用戶同意隱私政策以及用戶樂于遵守規則協議?！稓W盟基本權利憲章》第8(2)條規定，個人數據可以“根據當事人的同意或法律規定的其他合法依據”進行處理，由此可見，一旦當事人做出同意的意見表達，對于個人數據的處理就具有合法性?！巴庹埱蟊仨氁砸环N易于理解的形式提出，使用清晰明了的語言”[1]P34，這揭示了同意作為法律行為的授權必須具有知情、明確的功能要求。同意書向用戶發出通知，其中的說明政策是明確的，個人應該知道并自行響應規則。承認信息自決權，就是承認數據主體的決策作用，承認數據主體擁有主張自己法律權利歸屬。從法律效力以及合規角度來看，勾選同意或者不同意是一個被認可的法律授權行為。當讓數據主體勾選同意或者不同意的時候，或者隱私保護條款彈出時，這其實是公司或在線運營商向作為數據主體的用戶發出了一個明示邀約合同，但在合同中如何規制在線運營商的權力則是目前面臨的現實性問題。

2.信息自決與數據財產權的關系。每個個體都有“隱私保護的渴望”,人們希望隱私權能夠在立法框架內得到嚴格保護，減少個人隱私暴露于第三方的可能性。人們不太可能與陌生人接觸或不愿意與之分享隱私，這是常識。在占有性的個人主義語境下，信息自決在私人財產和市場法律中被認為是評估個人數據價值的最有效的方式。[13]P110信息自決權可以暗示著財產權或個人對其個人數據的權利，在此種情況下，個人數據具有個人財產的意義?！巴狻钡男Я︻愃齐娮影娴暮贤?，而從“信息就是用戶的數據”的角度來看，用戶自身應該對自己的個人數據負責，不應僅依賴于數據保護法規的保護。所以，如何在市場與個人用戶之間尋找平衡，則是立法者下一步需要落地的法律問題。個人數據被視為財產，這意味著數據主體就像處理個人財產一樣有權處理其個人數據。他們有權讓第三方處理或遺忘屬于自己的個人信息數據，這是數據主體的權利。GDPR的法律確立基礎包括三個要素，均是基于財產權的概念：第一，消費者被賦予對自己數據的明確權利；第二，即使在數據被轉移后，消費者仍然對這些數據具有“與之相伴”的權利，并可以約束第三方；第三，消費者可通過以“財產規則”為基礎的救濟方式得到保護。[14]P513對于普通財產而言，其重要特征是歸屬權，該財產將禁止第三方使用，權利人將有權對其進行處理。在本法律語境下，個人數據等同于正常財產。但是，如果將個人數據完全等同于普遍財產，那么，個人數據就會像便攜式財產那樣在市場上自由轉換，數據主體對于數據的控制權會因此受到削弱。[13]P115顯然，這不利于個人數據的保護。

3.“同意”的意義及其局限性?；谛畔⒆詻Q原則視角可知，GDPR在同意問題上蘊含兩方面意思。首先，它認為應該尊重隱私政策以及與用戶之間的合同關系。如果有人表示“是的，我同意”，或者勾選一個未勾選的方框明示“我同意”，即表明他們已經通過一個肯定的選擇行為表達了他們的同意意向。根據GDPR第4(11)條，當網站上的用戶表示同意隱私政策時，用戶與網站之間關于數據的合同開始生效。在正常情況下，任何默示或將勾選框空置都不能構成同意，這是監管機構保護用戶利益的視角，因為在虛擬的網絡世界中，用戶大多處于一種弱勢地位，他們無法探究網絡背后的真實情況，所以，運用具有信息自主權意義的同意條款來保護用戶是具有合理性的。同意性聲明有時可能會表明“數據主體接受對個人數據的擬議處理”。比如，一個人把車停在停車場，并把電話號碼留給工作人員，以便停車場工作人員在泊車成功后可以直接撥打他的電話。[15]P1雖然沒有在選擇框中選擇“是”或“否”，但這可被視為客戶和停車場服務之間的同意關系。其次，“同意”這種表達方式的設立并不能保證其所尋問的對象是真正的用戶，所以，GDPR將兒童作為特殊群體加以單獨考慮，具體設定了兒童個人數據保護的細則?？紤]到用戶可能未滿規定的年齡，歐盟“第29條”工作組明確規定，兒童的同意是無效的，因為他們并不能理解同意條款帶來的實際意義。在兒童用戶的父母與蘋果公司的爭訟案件中，孩子們花費了超過一千美元在App Store的應用程序購買游戲道具，最后判決蘋果公司退還了父母近2000萬英鎊的損失。[16]P34從關于兒童這一特殊群體的案例可以發現，信息自決的應用需要合理的監管，否則將會對青少年特別是兒童造成不利影響。

總體上說，信息自決原則是確定數據主體作用的重要保證，針對數據主體的同意條款的制定是實現信息自決的關鍵性因素。但是，針對數據主體在信息自決中的作用是否重要這一點曾經發生過激烈的討論。[17]P33古普斯認為，“同意”的神話太過理想，不適合復雜的網絡環境。[18]P250應當說，個人可以行使信息自決權，從而給予或拒絕同意某些形式的數據處理，這是體現信息自決權的一種方式，但不是唯一的方式。網絡用戶在網頁上以“同意”的形式簽署合同，從而使他人獲得監管網絡用戶的權利和責任。特別是在私人和商業環境中，個人對數據處理表示同意通常被認為是數據處理的主要法律依據。然而，“同意”在很大程度上是理論上的，并沒有實際性意義。人們普遍認識到在互聯網服務中，大多數人只是在不閱讀或不理解隱私聲明的情況下勾選同意框，或者服務提供商有時會假設網站訪問者會奇跡般地獲知隱私聲明，并僅通過訪問網站從而自動給予同意。也就是說，在現實生活當中大多數人是認同“同意”作為網上合理處理數據的前提方式的。

三、“同意就是同意”的合理性與局限性

GDPR明確提出了個人數據需要得到無爭議的同意與敏感數據需要得到明示的同意這一區分，但針對這一點，在線服務商卻提出了他們的質疑。在他們看來，“同意就是同意”，無爭議同意與明示同意這種區分只會將同意規則復雜化并難以操作，對此，我們應客觀地加以分析。

(一)“同意就是同意”的合理性

由于無法實施傳統意義上的那種面對面式的問卷調查，顯然在線服務商難以從數據主體的在線同意中分辨出哪些是“無爭議的”同意，哪些是“明示的”同意，這也是在線服務商提出 “同意就是同意”這一觀點之所以具有合理性的重要原因。對于在線服務商來說，能夠于在線服務中征求用戶的同意已經是對數據主體的個人數據隱私權的尊重了，不應該再額外地施加類似無爭議同意與明示同意的高門檻。大多數消費者并沒有意識到同意方式的重要性，網絡服務意味著便捷的信息來源以及可信的數據服務提供商。即使屏幕上出現明顯的勾選框，用戶潛意識的選擇是通過單擊表示同意，而不是仔細閱讀和思考其中的內容。此外，在Google尋求撤銷Gmail隱私權訴訟的案例中[19]P1，雖然用戶知道一些隱私政策已經侵犯了隱私信息，但他們更需要Google提供的互聯網服務以及信息的搜索。由于Google設定“每個用戶必須接受應該自動處理的電子郵件”的要求，所以，用戶通常傾向于在互聯網服務中扮演被動角色。也正是基于上述情況，在線服務商主張的“同意就是同意”就具有其合理性。這種合理性的主要原因在于從網絡使用的角度來看消費者自身并沒有針對同意加以細分的需求，他們只擁有網絡的使用權。

(二)“同意就是同意”的局限性

格特沃斯指出，在信息不對稱的、非法的處理可以通過有問題的同意條款而得以合法化的情況下，用戶給出同意的合理性就是應當深受質疑的，因為給出同意的重要前提應當是信息對稱與信息公平。[20]P100由此可見，有效同意的意見表達是需要以信息的對稱性與公平性作為前提的，否則這種意見表達的合法性就值得懷疑。由于在處理“同意”的問題上在線服務商與用戶之間存在著實質性的信息不對稱與不公平，所以在線服務商主張“同意就是同意”這一點是有其局限性的。

首先，重大的信息不公平存在于選擇輸入框的處理中，而且在當前的個人隱私政策下，為個人信息披露尋求法律救濟顯得十分困難，因此，對于作為數據主體的用戶來說，在線服務商在信息不對稱與不公平的關系中具有絕對的主動權。在這種情況下，倘若在線服務商主張“同意就是同意”這一點得到合法化，就是對作為數據主體的用戶的信息自決權的削弱乃至剝奪。本質上，數據主體勾選同意框就如同簽訂合同一樣與網站之間達成協議，用戶們大多只想使用網站上帶來的資源，個人隱私并非他們首要考慮的因素。如果沒有法律說明，個人極少有可能甚至完全不知個人信息暴露給公司的過程。商人們總是設置一些看似“明示的”、“知情的”政策條款，要求個人簽署同意來符合法律對公司規章的要求。而大部分同意條款鑒于其法律的專業性，僅通過個人理解力去解讀，是存在一定困難的。例如按照普通語言中心的分析，Google的隱私政策被認為是最好的，它需要花費35分鐘的時間才能詳細閱讀完畢。[21]P12001年，一項由隱私領導權倡議組織開展的調查研究結果顯示，只有3%的消費者認真閱讀隱私政策，64%的消費者短暫瀏覽或從未閱讀隱私政策條款。[22]P12隱私政策條款中涉及到收集私人數據的專業術語，對于沒有IT背景的消費者而言，很難理解其背后的機制運行。正如普通語言中心的專家在報告中所寫的那樣，“消費者不太可能閱讀或理解隱私政策沒有提供的保護”。GDPR在征求了在線服務商的意見后仍堅持立場，為個人數據與敏感數據的界定及其之間的區分設置了嚴格的法律標準。可見，GDPR的立法者已嘗試從源頭出發制止在線服務商的數據信息侵權行為，使得評判“同意”的標準明確化，致使在線服務商希望提供單一性的同意條款而不進行明示同意條款與無爭議同意條款之間區分的幻想落空。

其次，個人數據與敏感數據之間存在細分上的標準差異。如果在線服務商沒有對個人數據提供無爭議同意條款以及對敏感數據提供明示同意條款，只是提供單一性、無選擇標準的同意條款，個人數據與敏感數據之間的區分性保護就難以實現。在GDPR的規定中，在線服務商需要向數據主體提供不同的同意條款，他們同時還應對自身是否已經在區分這些不同的同意條款中涉及侵權問題做出判斷。GDPR已經明確地將實際操作中的問題留給了在線服務商，并非停留在給予用戶在在線服務商提供的同意格式表格中所做出的選擇之中。在線服務商作為用戶數據的占有者與使用者，他們在法律規制上須先發揮數據保護者的功能與作用；在數據的使用問題上，網絡用戶永遠是被動的接受者。GDPR主要關注和保護作為數據主體的網絡用戶，并非在線服務商。從用戶的在線個人數據保護的角度來看，這是一種正確的選擇。雖然數據主體在同意的意見表達上是主動的，但從數據使用的角度來看，數據主體是完全被動的，在線服務商作為數據使用方是主導者。筆者認為,GDPR的同意條款的細分設置充分考慮了后續數據處理者(包括在線服務商)需要承受的法律責任規制。

第三，對在線服務商而言，關于“明示同意”的一般要求會增加額外的開發成本和設計困難，基于成本考量，在線服務商通常是反對對同意進行細分。商業網站的所有權人可能更多關注的是網站的利潤和收益，他們對單一性的同意條款更加附和，由此來幫助他們減輕責任與義務負擔。目前越來越多的網站傾向于提供免費服務。[23]P2對于這些網站來說更重要的是建立一個訪問平臺，以獲取用戶的信息和個人數據。例如，Facebook完全依賴于大量的訪問者，這些訪問者很樂意通過互聯網建立個人檔案，以便與朋友、同學、同事分享興趣和喜好。在某種程度上，人們愿意把權利交給數據控制者，然后交換使用平臺的權利，所以，“同意”不僅僅是用戶的自我管理，更重要的是，它也是對社交網站公司商業行為的一種約束。

最后，由于第三方能夠通過跟蹤cookie來追蹤個人賬戶線索的綁定訪問，所以，在數據收集與處理過程中能夠獲得數據主體的“明示同意”就顯得尤為重要。目前，歐洲議會和理事會希望規范和限制網站中的一些活動，例如，一些網站拒絕向不接收第三方跟蹤cookie的訪問者開放權限，并且根據《歐盟電子隱私指令》在無提示的情況下無聲地收集數據，而《歐盟電子隱私指令》明確規定跟蹤cookie需要“明示同意”。歐盟“第29 條”工作組的規定中指出：“‘第三方’的概念僅僅通過查看瀏覽器的地址欄中顯示的URL的結構來定義?！盵8]P42-52由于社交網站總是要求用戶授權給第三方網站，或者當用戶點擊同意時，它可以不受限制地登錄到用戶的社交網頁上，所以，歐盟頒布的各種法規往往并沒有得到實際的執行。當用戶想要進入一個新網站(如Facebook、Twitter)時，該網站會要求用戶將自己的個人信息與自己的私人域名連接在一起，借此，該網站就可以從用戶的社交網頁處理用戶的所有信息并收集它們。這表明，用戶是在被動地接受第三方的進入和處理數據，這也正是監管機構擔憂的一方面。

總體說來，盡管“同意就是同意”原則在實踐中更具可操作性，但它不利于在線服務商建立對消費者個人數據加以保護的意識。當數據控制者在沒有獲得使用具有身份識別性的敏感數據權限的情況下處理數據時，用戶可以保留追究法律責任的權利。盡管“明示”同意和“無爭議”同意的區分在某種意義上不是很清晰，但它對在線服務商的發展和尊重用戶的隱私權卻有很大的影響。

四、GDPR、“知情同意” 與在線服務商的責任承擔

GDPR關于同意的細分關涉的是“知情同意”，更深入地說，它所帶來的是“知情同意”法律體系的重大變革，是“知情同意”的升華。但是我們不能否認，歐盟GDPR在個人數據保護問題上，除了具有強化“知情同意”規則的積極意義，也具有需要人們關注其在權利與責任問題上沒有厘清的局限性。

(一)GDPR與“知情同意”的體系變革

在最初的法律框架里(類似于DPD等)，只要用戶已經完成了線上“知情同意”，在線服務商就等于完成了其法律責任。但也正是“知情同意”，使得在線服務商能夠通過使用有關“知情同意”的自制合同，從而繞開其法律責任。例如，在谷歌在線APP兒童侵權案中，谷歌就利用了這種自愿原則。2014年9月美國聯邦官員通告谷歌已經同意訴訟和解，向用戶賠償1900萬美元，這些用戶的小孩涉嫌被谷歌用欺騙的方式通過Android系統的APP商店進行產品購買與移動支付。美國執法機構強調這些購買是具有欺詐性的，并對兒童造成了特別的傷害。蘋果公司同意在2013年1月支付3250萬美元的賠償。亞馬遜在2014年7月說它將給出相同的賠付。[16]P1目前，GDPR規定在“知情同意”中也存在著分級同意問題，即個人數據需要“無爭議的”同意，而敏感數據則需要“明示的”同意。自此，即使在線服務商已經完成了知情同意調查，它們還需要進一步完成針對個人數據的“無爭議的”同意與針對敏感數據的“明示的”同意的調查。只有滿足了上述兩個前提，在線服務商才能夠使用與處理數據主體的數據。

知情同意的設置行為表明，隱私權被視作一種基本的個人權利，且在此“知情同意”被視為一種在個人信息的合法使用或未經授權使用之間劃分界限的特殊工具。數據保護是處于對收集的數據提供合規的保護。對于國家數據保護權威部門來說，“知情同意”是極為重要的。以歐洲為例，超過70%的人表示他們關心在線服務商是如何使用他們的數據，同時超過74%的人希望在他們的網上數據被收集或處理時，能夠給出他們自己特別的有關同意的意見表達。[23]P124“知情同意”的道德合法性是建立在相信它會尊重個人自決權的基礎上。[24]P1但如果“知情同意”合同是由在線服務商自己制定出來，數據主體將可能成為被動的一方，因此，在知情同意問題上，就存在著如何讓一個數據主體由被動重新回到主動的問題。盡管“知情同意”對于在線服務商來說，是一把安全的降落傘，但在歐盟原有的法律框架內則會顯得保障力度不夠。GDPR基于現實要求應運而生，為“知情同意”提供了更有效的法律框架，維護了數據主體的信息自決權、自主權與主動權之間的緊密關系。此外，GDPR還通過強調針對個人數據要求實施“無爭議”同意，讓在線服務商必須建立更為完整的數據主體同意系統；而針對敏感數據則要求實施“明示”同意，將數據主體的“知情同意”由被動引向主動，從而有效地限制了在線服務商在知情同意上的主動性。

GDPR區分了明示同意與無爭議同意兩種不同的同意條款，這種區分標準還包含著兩種“提醒”功能，以提醒在線服務商在收集、使用、處理與公開數據時注意到兩個“數據陷阱”問題。第一種是，提醒在線服務商不可隨意按照私利去收集、使用、處理與公開所有的數據，一旦它們收集、使用、處理與公開了未經數據主體同意的數據，則需負相應的法律責任。另一種是，它希望提醒在線服務商一定要注意嚴格按照數據的敏感程度進行同意條款區分。根據GDPR對個人數據與敏感數據的嚴格區分規制在線服務商必須使用不同的同意標準：針對個人數據，使用“無爭議”同意標準；針對敏感數據，使用“明示”同意標準。如果在線服務商不能對此完成盡職調查的義務，則將對此承擔相應的法律后果。GDPR主要依賴數據主體承擔個人數據的保護風險，并在很大程度上需要數據主體詳細理解、評估和管理與其數據以及其數據處理過程相關的風險。此外，基于風險的監管模型可以在GDPR中適用，一方面，在監管體制下，可將數據主體本身作為監管方參與風險管理；另一方面，GDPR的監管機構可建立一些抗風險的條款，以及高風險數據處理操作的通用標準對未知的風險進行安全預警，例如數據持有的記錄、數據主體通知、數據保護影響評估和事前咨詢。國家數據保護機構可以提供影響評估報告，并通過產出高風險處理過程的詳細清單來選擇和定義要優先考慮和評估的風險。[25]P506-540

(二)GDPR、權利主體與在線服務商的責任承擔

法律關系主體，又稱權利主體，即法律關系的參加者，是法律關系中權利的享有者和義務的承擔者。享有權利的一方稱為權利人，承擔義務的一方稱為義務人。[26]P173針對GDPR的規定，人們關注權利如何分配，以及責任如何主張。數據主體以及數據的控制者和處理者共同構成了個人數據保護權的法律關系主體，而這些權利主體的權利客體在個人數據保護權中即為“個人數據”。[27]P293而正因為在GDPR中數據主體以及數據的控制者和處理者共同構成了個人數據保護權的法律關系主體，可以將其視為一個法律共同體，這才導致了數據主體、數據的控制者與處理者的權利與責任無法厘清情況的出現。

數據主體是個人數據保護的唯一權利人，但因為GDPR積極主張數據的控制者與處理者在個人數據保護權中的參與性，導致在個人數據保護權中數據主體的權利人地位因此被弱化：他同時扮演自己的個人數據向數據控制者與處理者開放的義務人。在數據主體作為義務人的情況下，數據的控制者與處理者反過來會成為個人數據保護的權利人，數據主體的個人數據能否得到真正有效的保護是受制于數據的控制者與處理者，而不是受制于數據主體是否同意自己的個人數據受到收集、控制與處理。在這種情況下，數據主體的“知情同意”的意義被削弱，而數據控制者與處理者的權利人地位相反則得到大幅度地加強。例如，在線服務商之所以堅持 “同意就是同意”而不支持“明示同意”與“無爭議同意”之分，就在于GDPR并沒有在數據主體、數據的控制者與處理者三者的權利與責任的關系上進行細分，因而在線服務商作為數據的控制者與處理者已經分不清此時他們究竟是個人數據保護的義務人還是權利人，他們究竟應該站在數據主體作為權利人的角度而以義務人的身份去保護數據主體的個人數據，還是應該站在其自身是權利人的立場上通過控制、使用與處理個人數據而去保護個人數據。為了避免在線服務商逃避責任，GDPR需要對數據主體、數控的控制者與處理者進行權利與責任的分層處理。

實際上，權利主體與在線服務商存在著兩個層次的權利與責任關系：第一個層次是指發生在個人數據的收集環節，此時數據主體是個人數據保護的權利人，數據的控制者與處理者則是個人數據保護的義務人。此時遵循的是知情同意規則，數據主體是能夠享有明確表達他們的同意或不同意權利要求的權利人，數據的控制者與處理者則是必須制定這種同意表格的義務人；第二個層次則是發生在個人數據的控制與處理環節，此時遵循的是責任規制規則，需要諸如在線服務商之類的數據的控制者與處理者能夠承擔責任。在數據控制與處理環節，數據控制者與處理者既是責任人，又是權利人，他們是得到數據主體的數據控制與處理授權的權利人，而數據主體則是有著向他們提供數據義務的義務人。就此而論，現行法律通常強調的數據隱私保護的責任規則實際上主要出現在個人數據保護的第二個層次上，是對數據的控制者與處理者的責任權利要求。出于數據保護上適用責任規則的考慮，[27]可從GDPR中得到印證: 數據處理者應該直接承擔罰款和數據主體索賠的責任，數據控制者負有連帶責任，除非數據處理者或控制者能夠證明對數據主體造成的損害不是他的責任，才可以免除責任。針對個人數據的保護，筆者認為，數據主體不僅擁有同意權，也存在將數據的控制權與處理權移交給其他控制者的責任與義務。因此，在數據控制與處理環節數據控制者與處理者可以不僅是被動的義務人，同時亦是主動的權利人。在后一種情況下，數據主體反而成為了數據提供的義務人。當數據主體不愿擔任數據提供義務人的角色時，這個環節將會無法成立，因為這個環節的核心內容是數據本身。

五、GDPR與我國個人數據保護同意規則的修正與完善

GDPR作為繼歐盟的DPD以來有突破性的關于個人數據保護的法案，其創新之處在于將同意細分作為對個人數據的無爭議同意和對敏感數據的明示同意，進一步加強了人們對個人數據保護過程中數據主體的信息自決權與知情同意權的重要認知?？梢灶A見，當GDPR著力改進有關“同意”的形式和方法時，會給作為數據主體的網絡用戶施加繁瑣的程序壓力：因為網絡用戶在很大程度上沒有能力評估其數據使用的合法性和相稱性，他們不能享有拒絕非法性和不相稱性的整體自主權。由于同意條款有時將可能成為在線服務商收集與處理數據責任的轉移工具，這樣一來可能會背離保護數據主體個人數據的初衷。從數據主體、數據的控制者與處理者之間的關系來看，數據主體的知情同意規則是個人數據收集環節的重要原則。在數據的控制與處理環節上，知情同意規則需要進一步加入諸如在線服務商之類的數據的控制者與處理者的責任承擔內容。總而言之，最終在個人數據保護問題上需要做到，數據主體的同意規則與諸如在線服務商之類的數據的控制者與處理者的責任承擔規則的一體化發展。

目前，我國已經在個人信息保護法(草案)的立法思路中效仿了歐盟國家的實踐，實施并落實嚴格的同意規則，尤其是針對高頻率處理數據的互聯網企業，均需進行數據合規審查以及同意規制。我國關于“同意規則”的合規存在三大特點: 第一，數據主體的同意是個人數據處理的重要且唯一的合法性基礎;第二， 對于個人數據處理行為的同意是一次性授權; 第三，對于個人數據不區分場景、類別、處理環節均要求適用“同意規則”。我國相關司法實踐亦嚴格遵守同意規則，數據處理行為是否獲得了數據主體的同意已經構成為該行為是否合法的重要評判標準。[27]從前面的大量分析可以看出，個人數據保護僅僅依靠同意規則遠遠滿足不了現實需求。在此，筆者提出三個路徑，以期對我國個人數據保護的同意規則的修正與完善有所幫助。

首先，進一步明確數據主體作為個人數據權利主體的法律地位，最大限度地確保同意是由數據主體做出的并且是他們真實意圖的表達。2017年在我國曾經出現了騰訊與華為圍繞手機用戶是否是數據主體的訴訟爭議。[28]此案例揭示了針對個人數據保護不僅需要遵循同意規則，同時還需確保承認數據主體對個人數據擁有的權利，因為任何同意規則的實施都是圍繞數據主體展開，如“數據主體”有關同意的意見表達問題；而且只有在數據主體的權利得到確認時，同意規則的實施以及所獲得的數據主體有關同意的表達才可能是真實有效的。因此，GDPR明確強調數據主體在個人數據保護中的定位和意義，對于我國個人數據保護同意規則的完善具有一定的借鑒意義。

其次，雖然同意規則是個人數據收集與處理的重要前提，但其并非是個人數據收集與處理的唯一的合法性基礎。因為在數據主體的同意之外，亦可將企業的責任擔當、數據主體的重大利益、合同履行利益、社會公共利益等也納入個人數據收集與處理合法性基礎范圍內加以考察，這也將打破同意條款可能成為企業(如在線服務商)收集與處理數據的責任轉移工具的法律怪圈。百度公司董事長兼首席執行官李彥宏曾經指出，“中國的消費者在隱私保護的前提下，很多時候是愿意以一定的個人數據授權使用，去換取更加便捷的服務”[29]。在現實應用場景中，消費者在下載相關的app 軟件后，允許在線服務商共享其信息數據，有利于數據的流通，但同時也可能使相關信息數據的傳輸、共享、利用脫離信息權利人的控制。[13]由此可見，當數據主體闡明其同意后，用戶就可能喪失對自己數據收集與處理的支配權。個人數據的收集與處理在取得數據主體的同意之外，還應該加入其它的考量因素，其中企業的責任擔當顯得格外重要，因為它可以防止數據控制者與處理者將已經獲得數據主體的同意作為在個人數據的處理與使用上濫權的借口，進而逃避相應的法律義務與責任。

最后，明確同意規則的區分適用，具體包括:區分同意規則在身份已經識別與身份可能識別的個人數據中的適用、一般性與敏感性的個人數據中的適用、敏感性與非敏感性的個人數據中的適用。同意細分的明確化可以進一步加強人們對無爭議同意在個人數據中的適用以及明示同意在敏感數據中的適用的認知。今后我國在對同意規則進行設計時，可以在區分身份已經識別與身份可能識別的個人數據的基礎上，進行更具指向性的個人數據保護。目前，我國對于以上兩種個人數據采用的是同等保護模式，在同意規則上亦是如此。此外，我國在同意規則的設計上可以在區分個人敏感數據與一般數據的基礎上，通過強化對前者的保護和強化對后者的利用，調和個人數據保護與利用的需求沖突，實現利益平衡[30]。針對敏感性與非敏感性數據的區分可以看到，應當通過區分無爭議同意與明示同意來強化數據主體對于敏感性數據的自覺保護意識，不能讓法律上對敏感性數據的保護缺位。過去有學者認為“個人信息保護法中不宜采用敏感個人信息概念”[31]P79，顯然這會造成法律上對敏感性數據保護缺位的風險。

總之，GDPR明確區分明示同意與無爭議同意能夠在個人數據保護中起到良好的規范作用，但在實踐中，在線服務商反對區分“明示同意”與“無爭議同意”。雖然在線服務商的“同意就是同意”立場具有一定的合理性，反映了互聯網上真正實現同意細分的操作性難度，但這并不能成為在線服務商逃避法律責任的一個借口。隨著互聯網的迅猛發展，有必要進一步合理規制在線服務商的責任問題，以及細化個人隱私保護條例，以達到個人數據的有效保護。GDPR細化同意規則是積極促進個人數據保護的重要嘗試，這對我國在個人數據保護法案中改進同意規則具有一定的借鑒意義。