平臺經濟中個人信息“告知—同意”的性質認定與規范解釋

劉穎　王佳偉

摘要：現有的實踐顯示，平臺經濟領域中個人信息的“告知—同意”模式深陷困境：經營者的告知義務流于形式，信息主體的同意行為缺乏有效性，該模式未能平衡好保護個人權益和促進數據利用之間的關系。面對實踐中的困境，須以法律解釋方法，在明確告知義務與同意行為法律性質的基礎上，尋求“告知—同意”新的解釋框架。告知義務兼具公法和私法屬性。隱私政策僅是告知義務的履行行為，不應認定為合同，信息主體作出同意的表示是基于對經營者和國家監管的信賴。構建“告知—同意”新的解釋框架，應以告知義務為核心，塑造以信賴為中心的互動環境。告知義務應朝著標準化和場景化發展，宜采用網絡用戶類群化標準判斷，針對不同類別的信息主體確立不同程度的告知責任。而互信環境的建立，不僅需要明確信息主體的多項請求權基礎，還應規范好平臺經濟領域的數據處理活動和競爭秩序。

關鍵詞：“告知—同意”規則；告知義務；個人信息；平臺經濟；同意機制

中圖分類號：D922.29??? 文獻標識碼：A?? 文章編號：1009 3060（2023）03 0111 14

第三代互聯網商業模型（ web3.0）催生了眾多大型數字平臺 ， 打破了傳統的產業分類 ， 塑造了全新的平臺經濟模式。按照《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》中的定義 ， 平臺是指通過網絡信息技術 ， 使相互依賴的雙邊或者多邊主體在特定載體提供的規則下交互 ， 以此共同創造價值的商業組織形態。平臺經濟是指以互聯網平臺為主導 ， 協調資源配置 ， 挖掘尚待利用的人力、數據、資本 ， 重構生產要素體系的新經濟形態。平臺經濟領域經營者（以下簡稱經營者）通過智能終端、ApI（應用程序接口）、SDK（軟件工具開發包）、IoT設備、測覽器、傳感器等自動收集用戶的個人信息 ， 并運用智能算法對用戶進行數字“畫像”， 以此進行針對性營銷、定制廣告等行為?！吨腥A人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）確立了以“告知—同意”為核心的一系列規則 ， 該模式已成為經營者在處理個人信息時最為重要的合法性基礎。然而 ， 在固有的制度性缺陷、顯著的權力不對稱等因素的影響下 ，“告知—同意”模式壇變為平臺經濟領域經營者侵犯個人信息權益、無限制護取商業利益的“自由通行證”?，F有理論學說與司法實踐一般強調以格式條款作為對“告知—同意”規則進行規制的方式 ， 缺乏針對告知義務和同意行為法律性質方面的深入探討。本文在探討告知義務和同意行為法律性質的基礎上 ， 剖析當前“告知—同意”模式面臨的困境 ， 構建新的解釋框架 ， 以期發揮該制度應有的價值。

一、問題的提出：“告知—同意”模式深陷困境

平臺經濟不僅是商業的范式轉變 ， 也是法律理論的范式轉變。個人在使用平臺服務過程中對自身的信息數據無法實際掌控 ， 導致“告知—同意”模式存在著“虛化”的風險 ， 并使同意機制深陷困境。告知淪為經營者獲取個人信息的程序性事項 ， 同意也無法發揮使個人了解風險、有效控制個人信息的作用。

（一）告知義務流于形式

網絡空間中的信息具有非競爭性和非排他性 ， 隨著數據應用鏈條的不斷拉長 ， 個人信息處理的場景愈發多樣化 ， 鏈條上的個人信息處理者也隨之增加 ， 告知作為確保用戶“知情同意”的決定因素 ， 面臨著適應多樣化場景的顆粒度挑戰。實踐中 ， 經營者為降低成本 ， 往往在隱私政策中以“一攬子”方式規定所有涉及個人信息的處理活動：或采用概括籠統的內容而未結合自身業務進行著重說明；抑或隱瞞某一步驟和某一關鍵信息；也可能是在未征得同意的情況下違規處理個人信息。

經營者對隱私條款內容、閱讀界面顯示、彈窗按鍵安排等具有絕對掌控力。研究表明 ， 向個人展示通知的時間 ， 以及通知的視覺設計和框架語言 ， 都會影響用戶作出與隱私相關的決定。在隱私條款內容上 ， 經營者往往并未考慮普通公眾的理解能力 ， 其在隱私條款內容中采用專業的術語和冗長的篇幅 ， 使得用戶難以清楚地知悉個人信息被處理后的風險。在界面安排上 ， 經營者設置復雜、不可回撤的步驟阻礙用戶閱讀隱私政策。例如 ， 要求用戶退出當前交易或測覽界面才能鏈接到隱私政策文件。在彈窗形式上 ， 則設置較短的時限（包括倒計時的形式）， 促使用戶跳過隱私政策。

（二）同意的作出缺乏有效性

同意作為獨立的法律行為 ， 具有改變作出同意之人與相對人之間的法律關系的規范力量。因此 ， 有效的同意不僅要求信息主體實際知悉 ， 還要求該同意由信息主體自主作出。而在平臺經濟中 ， 這兩項要素都難以得到滿足。

信息主體的實際知情要素難以得到保障。由于隱私政策篇幅冗長且語言晦澀難懂 ， 個人往往不會閱讀這些隱私政策。即使用戶進行了閱讀 ， 其在短時間內也無法理解將會產生怎樣的實質風險。特別是平臺經營者將智能算法應用于個人信息的分析 ， 導致風險走向不可控的邊緣。此外 ，《個人信息保護法》多處規定了須取得單獨同意的情形 ， 由于依托平臺技術的企業數量眾多 ， 個人使用對應服務都須進行相應的同意決策。誠如有研究認為 ，“同意”制度已然進入了“微觀同意”（microconsent）時代 ， 精細而看似無害的決策使得用戶產生“同意疲勞”， 因而無法清晰地理解每一個決策背后的意義。

平臺經濟中的權力不對等顯著影響同意的自主性。經營者往往將信息主體的同意作為使用相應服務的必要條件 ， 用戶首次登陸平臺時 ， 會出現“登陸/注冊即表示您同意服務協議和隱私政策”的字樣 ， 甚至有些經營者在隱私政策中明確規定“本隱私政策屬于服務協議不可分割的一部分”。這實際上混淆了個人信息處理的同意與簽訂互聯網服務合同的同意 ， 全國信息安全標準化技術委員會發布的《信息安全技術個人信息告知同意指南（征求意見稿）》第9.2條 d）項指出 ， 個人信息控制者應當將個人信息處理的同意與其他同意區分開來 ， 不得將其隱匿在其他事項中并使得個人信息主體接受。信息主體必須以合理的方式被告知自身的信息被誰收集、何時被收集以及將用于什么目的。此外，有學者指出，受到人的有限理性、外部的可得性啟發（認為熟悉的風險比不熟悉的風險更危險）以及經營者與他人的影響，個人在平臺經濟中作出的是一種“被扭曲的決策”（skewed decision- making）。而經營者在信息、技術、資金上具有優勢，大數據挖掘以及深度學習算法的應用能夠讓經營者進行操縱性引導，通過不斷推薦和修正用戶感興趣的內容，潛移默化地改變用戶的決策。同意必須是自主的，它不能是輕推、操縱、錯誤信念或知識差距的結果。如果同意是由系統性的、無形的權力實踐所塑造的，那么這樣的同意是無效的。在大數據背景下，同意規則遭遇了危機。由于平臺經濟中權力的不對等，個人的同意在多數場合淪為反射性的動作，無法體現個人的真實意愿。

二、厘清“告知—同意”模式的法律性質

“告知—同意”作為個人信息保護的基礎性制度已被成文法明確規定，面對實踐中的困境，須運用法律解釋方法，明確告知義務與同意行為的法律性質，并在此基礎上尋求“告知—同意”新的解釋框架，保護好個人信息處理過程中的主體權益，促進數據發揮基礎性資源的作用。

（一）告知義務兼具公私法混合的性質

“告知—同意”是個人與平臺經濟領域經營者建立法律關系的前置程序。私法上，作為持續性合同的締約方，經營者應承擔《民法典.合同編》規定的各項義務。告知義務涉及合同成立、履行及終止的整個過程。經營者在訂立合同過程中違反告知義務，故意隱瞞與訂立合同有關的重要事實或者提供虛假情況，應當承擔締約過失責任。在合同履行過程中，經營者應根據合同的性質、目的和交易習慣履行通知、保密等義務。合同終止后，經營者應遵循誠信原則，根據交易習慣履行通知和保密等義務，例如，服務終止后經營者應通知用戶其個人信息的后續處理方式。作為格式合同的提供者，經營者亦負有提示和說明與對方有重大利害關系的條款的義務，例如履行服務合同所必須收集的個人信息類別。由此可知，經營者承擔合同法上告知義務的范圍較廣，但由于缺乏明確的規定，僅能依誠實信用等原則來推論義務的具體內容。

在公法層面，《網絡安全法》第41條從網絡信息安全的角度規定經營者“公開收集、使用規則，明示收集、使用信息的目的、方式和范圍”的義務?！秱€人信息保護法》則規定了透明度義務，經營者不僅要向用戶告知第17條規定的具體事項，還需要保持數據處理過程的透明度，以便能夠向用戶、監管機構證明其履行了相應的技術和組織措施來保障用戶個人信息的安全。此外，經營者的告知義務必須滿足相應的國家標準和行業標準，否則就會受到行政執法層面的制裁。因此，平臺經濟領域經營者的告知義務兼具公法和私法性質。

1. 隱私政策不是合同而是告知義務的履行

隱私政策系經營者履行告知義務最主要的方式。不少學者認為，應將其界定為格式合同，發揮合同法的調整作用。有學者提出，應當將經營性網站隱私聲明之性質界定為格式合同 ， 也有學者認為，通過合同法調整隱私政策符合用戶與網絡服務提供者之間關系的本質特征。司法實踐也往往將隱私政策視為用戶與經營者簽訂的合同，如在“許昌與趣游時代北京科技有限公司網絡服務合同糾紛案”中，法院將網絡游戲注冊頁面中顯示的“須勾選閱讀并同意”的用戶協議和用戶隱私政策認定為預先擬定的格式合同。盡管從現有的討論來看，隱私政策屬于合同似乎并無爭議，但本文認為，將隱私政策界定為合同既不符合現行法，也無任何必要。為平衡好個人信息處理過程中各方的利益，僅將隱私政策認定為告知義務的履行行為更具現實意義。

首先，將隱私政策認定為合同不符合現有個人信息保護的規范體系?！秱€人信息保護法》第13條第1款第2項前半句規定了經營者可徑行處理“為訂立或者履行個人作為一方當事人的合同所必需”的個人信息，此條款中的“合同”指的是網絡服務合同或買賣合同。若將隱私政策視為格式條款而成為合同的一部分，就會造成適用上的困境。為了履行該“隱私合同”，經營者所有處理個人信息的行為都具有合法依據，從而架空了“同意”制度。比較法上，歐盟《一般數據保護條例》（GDPR）第6條同樣規定了“為履行數據主體作為合同一方當事人的必要（necessary）行為”。歐盟數據保護委員會（EDPB）指出，數據處理行為的“必要性”需要基于合同目的本身進行判斷，而并非將數據處理行為作為合同的目的或標的之一。易言之，個人信息的處理行為不能被視為一項服務而成為合同的標的。全國信息安全標準化技術委員會2020年3月6日發布了國家標準《信息安全技術個人信息安全規范》（以下簡稱《個人信息安全規范》），其中第5.6條的 g）項注釋明確指出，個人信息保護政策（隱私政策）的主要功能為公開個人信息控制者收集、使用個人信息的范圍和規則。因此，不宜將其視為合同。

其次，將隱私政策認定為合同不符合規范信息處理的原則?！睹穹ǖ?人格權編》規定個人信息受到保護，這意味著個人信息權益是一項新型的人格權益。個人信息的保護是法律賦予個人干預信息處理過程的權利 ， 其不同于姓名權人、肖像權人能夠積極利用自己姓名、名稱、肖像的權利，因此對隱私政策的同意不能被視為一項交易行為。另外，將隱私政策視為合同就必須追問其合同目的。合同目的是典型交易目的，在某些情況下動機也可被認定為目的。經營者的動機或目的可以被認為是在獲得用戶的同意后進行信息處理的活動，但從用戶角度來說，其目的很難被準確地界定。

最后，將隱私政策認定為合同無法為信息主體提供充分的救濟。用戶購買商品或服務，已經與經營者形成了合同關系，隱私政策屬于經營者履行私法上告知的義務，用戶受到損害，完全可以通過私法上的請求權主張相應違約或侵權責任。在救濟方式上，《消費者權益保護法》第26條第2、3款將經營者的通知、聲明、店堂告示等方式視同格式條款進行規制，將不公平不合理的通知、聲明、店堂告示等內容視為無效。因此，通過類推適用，用戶同樣可以通過主張隱私條款無效獲得救濟。更為重要的是，合同法的進路強調探究合同雙方的合意，無法完全規制經營者的行為?！案嬷狻憋柺芄覆〉囊粋€原因，就是經營者能夠通過使用有關“知情同意”的自制合同從而繞開其法律責任。法院必須審查隱私政策以及經營者的處理活動是否符合法律規定、是否符合國家標準，而不能僅僅停留在雙方意思表示是否真實的基礎上。如果僅僅關注合意的成立與范圍，反而會因缺少規范性審查而無法有效保障信息主體的權益。

將隱私政策界定為告知義務的履行行為，更具有現實意義。在此前提下，用戶能夠以經營者違反義務為由主張違約責任，排除經營者憑“用戶已同意”之事由所進行的抗辯，而且監管力量也能夠介入審查隱私政策的內容，對不合規的經營者施予行政監管措施。

2.“告知”制度是自我約束和監管配合的重要機制

學理上對于“告知—同意”模式往往更強調同意的作用，而忽略告知行為的重要意義，僅僅將其作為“知情同意”的條件。本文認為，即使“同意”制度存在著諸多不足，“告知”制度仍是經營者實現自我約束和配合監管的重要機制。

一方面，隱私聲明為經營者提供了一個評估內部做法的機會，能夠確保其個人信息處理行為是必要和適當的。根據品牌、法律、政策以及市場發展的考慮，隱私政策可以作為一個決策平臺，使經營者決定是否繼續數據處理或部署相應技術。隨著我國對于個人信息保護的重視，經營者的隱私政策開始受到公共的關注和監督。2019年，一款名為“ ZAO”的換臉軟件風靡網絡，其“用戶協議”第6條第1款就規定了極不合理的授權條款：“您同意或者確保實際權利人同意授予 ZAO及其關聯公司以及 ZAO用戶全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利?！痹谳浾摵捅O管壓力之下，ZAO修改了用戶協議，增加“刪除”功能。這一負面案例說明，經營者對于隱私政策的制定必須符合法律法規的要求，不得不公正、不合理地免除自身的責任或增加自身的權利。那些做出更高保護水平承諾的經營者將會獲得用戶更多的信賴。因此，隱私政策的透明化可以激勵經營者通過實施各種技術與組織措施來保障用戶的權益。

另一方面，告知義務的履行能夠增強維護信息主體權益的第三方的力量，從而起到間接維護信息主體的作用。經營者的隱私政策大多采取的是可機讀的電子形式，其提供的個人信息處理規則越詳細，監管力量對其越能夠發揮作用。此處的監管力量不僅來自國家機關，也來自那些以保護用戶信息安全為盈利模式的商業主體。第三方商業機構通過各種追蹤應用和檢測工具，能夠發現經營者隱私政策中存在的漏洞以及信息處理實踐與承諾不相符合的情形。這些實體對經營者無序收集和利用個人信息的行為起到了良好的制約作用，顯著保障了用戶的知情權。在網絡安全漏洞治理產業中，經營者為了檢測系統的安全性，會將其系統上傳到網絡安全眾測平臺上，并設置相應的測試目標和獎勵，由“白帽子”（計算機專家和網絡黑客）測試漏洞并予以反債。經營者告知義務的實踐也可采用此種思路，由“隱私白帽”、普通用戶實現隱私政策或通知程序的眾測。

（二）同意系單方授權行為

同意的特殊法律問題恰恰在于，一方面法律秩序將其作為獨立的法律行為加以規范，而另一方面它僅構成需經同意法律行為的輔助行為，其法律效果始終僅涉及需經同意法律行為的效力。誠然，在眾多場景下，個人為獲取某項產品和服務，須同意經營者處理其相應的個人信息，此時同意僅構成訂立買賣合同或服務協議的輔助行為。例如，個人使用網約車服務必須向平臺經營者提供手機號碼和位置信息。但是，同意還是一項獨立的法律行為。在平臺與用戶的持續性法律關系中，即使單筆交易完成，經營者仍然會保有該個人信息，并將其用于后續的處理行為。

有學者將信息主體與信息處理者的關系認定為信息信托法律關系，并將同意行為視為信托法上的授權行為。有學者認為，信息控制者為信息主體提供了一種持續性的代理行為。亦有學者從積極與消極兩個層面進行分析后提出：從積極層面上來講，個人同意是個人信息處理活動的合法根據或正當理由之一；而從消極層面上來說，個人同意屬于違法阻卻事由。本文認為，對于個人信息處理活動的同意應被認定為單方授權行為，它相對于需經同意法律行為而言具有獨立性。因為同意在一定程度上體現了信息主體享有對自己的個人信息的處分權能。只要信息主體在充分知情的情況下自愿、明確地作出同意行為，作為相對人的經營者就享有了對該主體個人信息的使用權益。同時，正因為同意是一項單方法律行為，信息主體可基于自身意愿隨時撤回先前作出的同意?！睹穹ǖ?人格權編》第993條規定：“民事主體可以將自己的姓名、名稱、肖像等許可他人使用，但是依照法律規定或者根據其性質不得許可的除外?！苯忉屔?，可將此條的“等”認定為“等外等”，即把個人信息解釋進去，為個人信息的許可（授權）使用提供明確依據。值得說明的是，個人信息的同意并不意味著信息主體與經營者之間建立起了許可合同法律關系。這是因為信息主體作出同意行為，并不像肖像權人那樣有著指向商業化利用這一特定法律效果的意愿。

將同意界定為授權行為要解決的問題是：授予經營者的權利為何？司法實踐提出了區分“數據資源整體”和“單一數據個體”的思路，“數據資源整體”系經營者投入了大量人力、物力，經過合法經營而形成的，經營者對數據資源應當享有競爭權益。而就“單一數據個體”而言，經營者僅享有有限使用權，因為這些數據仍屬于用戶的原始數據，其對于社會的價值貢獻仍未脫離用戶信息所包含的資訊內容，數據采集主體并未提供創造性勞動成果。依此進路，信息主體的同意授權是經營者對“單一數據個體”進行挖掘、聚合而使其成為“數據資源整體”這一過程的合法基礎。

1.授權行為的作出系基于信賴

信息主體的授權是基于對經營者與國家監管力量的信賴而作出的。隱私政策開篇表明經營者保護個人信息權益的態度，即使未進行閱讀，用戶也愿意相信經營者維護隱私和個人信息安全的能力。此外，隨著各類規范性文件以及個人信息安全規范國家標準的頒布，各行業的隱私政策和安全實踐逐漸走向統一化和標準化，用戶的信賴從根本上來說是對國家治理能力的信賴。

信賴利益的保護是私法體系上的重要原則。美國合同法理論上的“全面同意”概念能夠為解釋信息主體的同意授權提供有益的思考?？?盧埃林（karl N. Llewellyn）指出，消費者合同中并不存在真正意義上的同意，實際上已經同意的只是少數經過協商的條款和普遍的交易類型，不存在對任何不合理條款的全面同意。那些未被閱讀的附屬細則，以及對不合理條款的拒絕，沒有理由削弱構成協議主要內容且經過協商的條款的合理含義。這意味著盡管消費者并沒有完全了解合同包含的所有條款，但那些不合理、具有歧視性的條款并不會對消費者產生拘束力。如果另一方有理由相信，表意人若知道協議中含有某一特定條款就不會同意，則該條款不屬于協議的一部分。上述觀點的核心思想在于一方當事人并不受合理預期以外條款的制約，這暗含著對涉及消費者場景下合同條款的“實質重于形式”的審查比格式條款的救濟更具靈活性。結合個人信息處理場景，信息主體授權同意的基礎并不取決于隱私政策中的具體內容。由于經營者的告知義務由法律、國家標準及行業標準等所規制，因此某些不合理的條款因違反法律而自然無效，且某些被刻意刪減的條款也應構成信息處理者應負義務的重要內容。

信賴是解釋專家民事責任基礎的主要工具。作為塑造平臺經濟環境的參與者，經營者相對于用戶來說在資金、技術、人力上均具有絕對優勢，對于信息的流向、行為的影響更加了解，是個人信息處理活動的專家。因此，要求經營者承擔作為專家的勤勉與忠實義務具有必要性?！秱€人信息保護法》第五章規定了信息處理者的一系列義務，第58條特別強調了“提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者”的義務，這即是專家責任的實證法體現。此外，為保護信息主體的信賴利益，在發生相應糾紛時，應當由個人信息處理者承擔舉證責任?！秱€人信息保護法》第69條第1款明確了個人信息侵權行為適用過錯推定原則，個人信息處理者若不能證明自己沒有過錯（表現為隱私政策制定的合理性和不存在誤導、欺詐、脅迫等事由），則應當承擔損害賠償、恢復原狀等責任。

2.對信息主體“閱讀義務”之否定

法律行為的成立和生效與否，須依意思表示的解釋規則檢視之。按效果主義理論，法律行為的生效，以表意人盡了合理注意義務后是否能夠期待受領人理解他的意思表示為判斷基準。因此，表意人應考慮他能夠認識到的情形后再作出相應的外在表示，否則便“可歸責”于表意人。然而，平臺經濟領域中信息主體的“知情”要素難以得到保障?，F有“告知—同意”的解釋框架在將隱私政策認定為合同的前提下，以信息主體的“知情同意”為核心，且過度擴張了用戶合理注意義務的范圍，似乎要求作出同意之人負有積極的“閱讀義務”。

閱讀義務指的是當民事主體簽署了他們所認為的合同后，他們就有義務閱讀這些條款。如果一份合同不需要被閱讀就可以生效，那么接受合同的人就會面臨這樣的風險：未閱讀的條款之后可能會產生不符合其利益的約束力。不少平臺的隱私政策在前言部分均會要求用戶應“仔細閱讀、充分理解” ， 盡管未達到為用戶設定義務的程度，但若發生糾紛，經營者往往會以此作為抗辯的事由。以用戶的明示同意為由，主張其受到經營者隱私政策的約束，事實上就是要求用戶必須仔細查閱相關政策條款，防止其中存在侵犯自身權益的條款。如在“新浪郵箱縮減案”中，法院認為，原告注冊了新浪的免費電子郵箱是表示確認網站服務條款內容的行為，即對被告四通利方公司“新浪網”服務條款要約的遵守。盡管該案中來云鵬實際上并未注意到新浪的單方修改權條款，而在新浪變更郵箱服務內容時方才了解，但法院仍然認可該權利的成立。而在“朱炸訴北京百度網訊科技有限公司”一案中，二審法院認為：“ cookie技術是當前互聯網領域普遍采用的一種信息技術，僅涉及匿名信息的收集、利用，網絡服務提供者對個性化推薦服務依法明示告知即可，網絡用戶亦應當努力掌握互聯網知識和使用技能，提高自我適應能力?！鄙鲜鏊痉ú门邪岛倪壿嬍牵鹤鳛橥耆袷滦袨槟芰θ?，網絡用戶應盡到閱讀這些與自身權益相關條款內容的義務，不閱讀或閱讀以后繼續使用的行為將被推定為用戶對這些條款表示同意。

對“閱讀義務”的否定即是對合同法進路下以同意為核心的解釋框架之否定，背后的邏輯是保護信息主體對市場環境與監管力量的合理信賴。信息主體應承擔的義務不能轉變為搜尋具體條款的義務。當隱私政策隱匿在不顯眼的超鏈接中時，或未能以明顯的方式提示用戶注意時，應由經營者承擔未完全履行告知義務的不利后果。

（三）總結：完善告知義務的必要性

通過對告知義務與同意行為法律性質的分析，可知完善“告知”制度以確保經營者切實履行好告知義務的必要性。一方面，經營者的告知義務是信息主體掌控自身事務的重要前提?！爸椤碑吘故侵饔^概念的范疇，要求告知義務準確、明晰即是在最大程度上保證信息主體的知情可能性。合同法即以獲取信息或通知的能力和途徑來替代“知情”。因此，在確定信息主體的同意行為是否有效的問題上，應著重考察經營者是否充分保障了表意人的知情權，而非關注表意人的意思表示本身的真實性，以避免落入“閱讀義務”的陷阱。另一方面，“告知”制度在維護信息主體權益方面有其獨特的價值。經營者告知義務的實踐，不僅能夠幫助其實現自我行為的約束、及時調整策略，也能夠增強第三方監管的力量，進而促進個人權益保護與數據利用兩者價值間的平衡。

三、構建“告知—同意”新的解釋框架

現有的實踐困境表明，以“知情同意”為核心的解釋框架難以保障個人信息處理過程中的主體權益。盡管立法要求同意的作出必須“自愿、明確”，但在解釋上不宜僅關注同意，并對其進行“弱同意”“強同意”等程度的細分。信息主體受到時間成本、理解能力和有限理性等因素的影響，作出的同意授權行為難謂自由與明確。新的解釋框架不再將重點放在對同意行為意思表示圓滿度的考察，而是注重落實經營者的告知義務，規范平臺經濟領域的競爭秩序，構建起經營者與信息主體之間的互信結構，推動個人信息依法合理地流動。

（一）構建以告知義務為核心的解釋規則

“告知—同意”制度具有風險分配的功能，強調告知義務為核心有利于落實對經營者的義務履行的實質性審查。在實行過錯推定責任的背景下，個人信息處理者作為處理活動的掌控方，需要提供實質性的證據證明自己已履行了法定的義務，否則將承受不利后果。隨著商業實踐的不斷發展，微觀場景下通知與同意的混合使得個案事實均不相同，各項細節（包括超鏈接的形式、字體顏色、通知位置）都對信息主體作出同意授權有著重要影響?？梢哉f，在平臺經濟中，考察經營者是否以合理方式提請用戶注意成為一個事實密集型的問題。在互聯網平臺經濟領域下，告知內容與同意授權通常被要求處于同一界面，告知的語言、展示形式、時機、頻率和位置等均屬于信息主體知情權的權益歸屬內容。因此，通過設置細致嚴格的告知義務標準能夠確保同意的有效性。

1.推動告知義務的標準化和場景化

告知義務的標準化指的是，隨著國家各項治理的深入推進，經營者在相同或相似場景下的履行方式、告知內容、隱私政策具體條款等方面將逐漸統一、趨同化，信息主體也將對自身數據被處理的過程和標準產生集中、理性的認識。告知義務的場景化理論依據來源于情境脈絡完整性理論，這一語境主張信息流由三個要素構成—參與者（發送方、主體、接收方）、信息類型和傳輸原則。告知義務的場景化要求經營者必須根據不同的信息主體、信息類別、合同目的等調整義務履行的方式方法，真正確保信息主體在特定場景下的知情權。標準化和場景化并不是相互沖突的一對概念，標準化是相對同類經營者的橫向對比，而場景化則針對的是個人信息處理鏈條上的不同場域，兩者相輔相成，共同構成互信環境的基礎。

現行民法上存在著與本文討論主題關系密切的一組規范性表達，即醫療人員的“說明義務”與患者或近親屬的“明確同意”。兩者存在某些類似之處，如：身體權與個人信息權益均屬消極權益，病患的同意均可看作為一種持續性的授權，等等。對上述規則的分析可為本文解釋平臺經濟中的告知義務提供一些規范性思路?！睹穹ǖ?侵權責任編》第1219條第1款規定了醫療人員在診療活動中的普通說明義務和特殊說明義務。普通說明義務僅需說明病情和醫療措施，其目的是為了獲得患者的配合和協作 ， 無須患者同意；特殊說明義務是指在需要實施手術、特殊檢查、特殊治療時，醫療人員就醫療風險、替代醫療方案等情況向患者或在例外情況下向患者家屬作出具體說明，此種情況下需要獲得患者或家屬的明確同意。特殊告知義務是為了確?；颊呋蚣覍俚闹闄?，并使其能夠基于自主的意愿作出決定。如同對醫療人員的告知義務所作出的劃分，本文也將經營者的告知義務劃分為普通說明義務和特殊說明義務。普通說明義務包括個人信息處理者的基本情況，個人信息主體的權利及實現方式，收集的個人信息類型和方式、處理目的，以及對外共享、轉讓的第三方的身份，等等。普通說明義務的基本表現形式為隱私政策，目的是詳細介紹個人信息處理活動。特殊說明義務則主要包括兩類：一類是在處理個人敏感信息、向第三方提供個人信息等法律規定需要取得單獨同意的情形時，經營者應進行單獨的告知；另一類是在擴展業務功能開啟前、收集使用個人信息的目的或范圍發生變化、停止收集個人信息等特殊情況時所進行的告知，這些情形下的告知是為了增進信息主體對具體業務功能與所收集信息之間關聯性的理解。之所以設置具體的特殊告知義務，是因為當前互聯網平臺往往涉及多項業務功能，同時存在不同的個人信息處理階段，用戶難以掌控自身授權行為在哪個處理階段產生的效果。

經營者的普通說明義務與特殊說明義務的區分體現了其告知義務發展的兩個應有方向：標準化和場景化。普通說明義務需詳細地說明信息控制者處理個人信息的活動，特殊告知義務則是為了確保特定場域下信息主體的知情權。

一方面，普通說明義務符合標準化、法定化的特征，可以由相關部門或者行業自律組織發布標準條款。比較法上，歐洲議會針對《EDPB對 GDPR實施兩周年執行情況的評估報告》的決議提出，當前數據保護實踐仍然主要依賴手工操作和任意格式，并充斥著不兼容的系統；歐洲議會倡導 EDPB開發隱私策略模板，允許數據主體、控制者和數據保護部門之間進行機器對機器的溝通（自動化數據保護）。我國《個人信息安全規范》附錄 D即發布了個人信息保護政策模板，以供信息處理者參考?？梢哉f，推動普通說明義務的內容與形式的標準化具有了現實基礎，平臺經濟的發展已經具備一定的規模，對于各種服務類型的實踐活動也已經形成了行業共識，《常見類型移動互聯網應用程序必要個人信息范圍規定》總結了39類常見 App的基本功能服務即是例證。因此，在此基礎上進一步推動隱私政策模板化具有很強的可行性和必要性。普通說明義務的標準化不僅能夠降低交易成本，也有利于第三方監管力量的定期核查。對經營者的普通說明義務規定得越詳細、越規范，其就越能夠在市場上獲得認可，因此，也更可以充分發揮“告知”制度實現經營者自我約束和增強監管力量的作用。

另一方面，特殊說明義務的場景化有助于維護個人信息權益。在個人信息對外流轉的過程中，其只要保持了“可識別性”，就仍承載著個人的人格權益。經營者若僅采用“一攬子”的方式履行告知義務，必然無法保障信息主體的知情權，從而阻礙其對信息處理活動實施具體干預的權利。因此，平臺經濟領域中的告知義務需保持顆粒度與細致化。根據情境脈絡完整性理論，不同情境下的信息流處理、告知義務的內容與履行方式亦應不同。例如，搜索引擎的使用一般不需要進行注冊或登錄，經營者應采用彈窗等顯著方式提示用戶注意各個網站對cookie技術等的使用；又如，當用戶選擇使用平臺的“海外淘”服務時，經營者在向境外第三方提供個人信息前，應當采用打斷用戶操作界面的方式，告知用戶此時傳輸個人信息的接收方、范圍、目的以及相應保障措施。

2.應以網絡用戶類群化標準進行判斷

關于如何判斷具體情形下經營者是否已履行完備的告知義務，本文認為，應當對經營者規定比“一般理性人”更高的責任標準，可稱之為網絡用戶類群化標準，即要求經營者針對不同類別的信息主體提供不同程度的告知義務。實際上，此類群化標準在法學界已有一定的適用基礎。有觀點指出，民法上的“理性人”必須是某種類型人，比如理性的商人、理性的特殊行業從業者、理性的消費者，各種類型的理性人具備該類型人士的中等能力與智識。我國刑法上判斷預見能力也存在類型人標準說，即以行為人所屬領域一般人的預見能力為標準來判斷。實踐中，經營者會對收集或交易獲得的數據資源進行挖掘，標簽化個人信息并建立用戶畫像，繼而在此基礎上實現對用戶的分類，以進行定向廣告投放與精準營銷。甚至，個人信息的販賣都已呈精細分類趨勢?？梢?，要求經營者對自身產品或服務面向的用戶進行識別和分類，這在技術上已具備可行性。當然，不能以商業實踐中的分類標準來要求經營者，具有規范意義的標準應考慮用戶的不同民事行為能力以及其對個人信息處理活動的認知水平的差異性。

應強調，該類群化標準是對平臺經營者所提出的更高水平的要求，而告知義務仍必須按法律規定，以“顯著方式、清晰易懂的語言”來履行，并確保其“真實、準確、完整”。同意作為一項獨立的法律行為，要求行為人具備相應的民事行為能力，但經營者的告知不能僅僅向監護人提供，作為 APP或平臺的主要使用者，無民事行為能力人和限制民事行為能力人也需要知悉相關的數字環境基本情況?！秱€人信息保護法》首次規定不滿十四周歲未成年人的個人信息屬于敏感信息，處理該類信息應當制定專門的個人信息處理規則。因此，經營者對于無民事行為能力人或限制民事行為能力人，應當選取語音、動畫等易于其理解的方式與符合其認知水平的內容進行告知。

不同的群體對個人信息處理活動的認知水平不同，經營者有義務了解其所收集的信息主體，并確定該群體可能理解的內容。在數字時代，不僅未成年人和老年人的認知水平有限，被算法操縱的算法消費者群體也處于劣勢地位。工信部于2021年4月7日通過了《互聯網網站適老化通用設計規范》和《移動互聯網應用（APP）適老化通用設計規范》，指出適老化網站、APP在提供文字放大、語音閱讀服務等輔助功能時，還應提供簡約界面版本和信息影像化的人工智能推送形式，以支持老年人感知界面內容、獲取服務。至于個人信息處理者不清楚自己的隱私政策或“告知—同意”實踐能否滿足網絡用戶類群化標準的判斷，可以采取事前測試的方式進行。例如，對于隱私政策的可讀性、信息收集過程的可理解性，可由法律專業人士、計算機領域專家、產品目標受眾等組成的測評團隊先行測試，并進行后期的調整與優化。

（二）塑造以信賴關系為中心的互動環境

通過落實以告知義務為核心的解釋規則，明確法律預期，有利于督促經營者切實壓實責任，持續規范經營。在此基礎上，為確?！秱€人信息保護法》“規范個人信息處理活動”與“促進個人信息合理利用”立法目的的實現，仍需改變平臺經濟環境中信息主體與經營者懸殊的權力不對等局面，塑造以信賴關系為中心的互動環境。信息主體的個人信息權益具有典型的消極屬性，表現為干預信息處理活動的權利，該權利的行使需信息處理者提供有效渠道。我們要解釋和構造的“知情同意”模式，不單單是一種形式意義上的簡單的“一鍵確認”，而是一種信賴授權與授權信賴辯證統一的知情同意，用戶基于信賴而將相應風險的掌控交由平臺經營者，同時平臺又基于此種授權而從事一種可資信賴的數據收集與利用活動。平臺經濟領域個人信息處理活動的治理難題主要體現在兩個方面：一是當信息主體受到損害時，因個人信息并不是一項權利，難以獲得充分的救濟；二是互聯網領域野蠻生長，為了占據數據先發優勢或保持持續經營能力，經營者往往只能在合規與競爭之間擇一選之。因而，以信賴關系為中心的互動環境的構建，需要解決好上述兩個問題。明確信息主體的請求權基礎有助于個體權益的維護，發揮好反壟斷法和反不正當競爭法的作用更有助于規范經營者的數據處理行為。

1.明確信息主體的請求權基礎

個人信息權益保護具有私法面向，信息主體的權益遭受侵害時，當事人可主張多項私法上的請求權。作為特別法的《個人信息保護法》已對信息主體的救濟作了特別規定。其第69條不僅明確了過錯推定原則以解決信息主體舉證困難的問題，也解決了個人信息處理活動中損害結果難以認定的問題。第70條則賦予“人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織”就個人信息侵權行為提起集體訴訟的主體資格，從而避免個人承擔過重的訴訟成本。

當個人信息處理者違反“告知—同意”規則且違法處理個人信息時，應被認定為違反合同約定，信息主體可根據合同的性質主張個人信息處理者承擔民事責任。如果處理者僅違反告知義務而未違法處理個人信息，則僅有信息主體的知情權受到侵犯。知情權作為一種相對權，不屬于《民法典.侵權責任編》所保護的范圍。因此，信息主體可根據《民法典.合同編》第577條主張個人信息處理者承擔采取補救措施或者賠償損失等違約責任。

除此之外，根據《民法典.侵權責任編》第1183條，個人信息權益作為新型人格權益，受到侵害的信息主體還能主張侵權法上的精神損害賠償，在侵權責任的判定上，存在著侵犯隱私權和侵犯個人信息權益兩種情形。當前與個人信息相關案件的審理模式也體現了采取不同標準分別論述是否構成隱私權侵權與個人信息侵權的進路。

隱私權依其內容可分為生活安寧和保守秘密兩種類型，對應的侵權行為即侵擾與披露?！睹穹ǖ? 人格權編》第1033條將“處理他人的私密信息”作為隱私權侵權行為之一，根據第1035條第2款之規定，可知其中包括了侵擾型和披露型兩種類型，“收集、存儲、使用、加工”私密信息屬于前者，而“傳輸、提供、公開”私密信息則屬于后者。在“黃某訴被告騰訊科技（深訓）有限公司廣州分公司、騰訊科技（北京）有限公司隱私權、個人信息權益網絡侵權責任糾紛案”（以下簡稱“微信讀書案”）中，法院對于原告被公開的讀書信息進行了實質性判斷，認為該信息未達到私密性標準，亦認定“原告未在本案中主張因讀書信息公開導致其生活安寧受到侵擾”，從而否定了隱私權侵權的訴請。在“王某某訴深訓市騰訊計算機系統有限公司網絡侵權責任糾紛案”中，法院認定“微信好友關系已被包括軟件運營商在內相關主體所知悉，具有一定的公開性”，因此不屬于私密信息（隱私），且原告在首次登陸時授權微視 APP使用其好友關系，微視 APP對微信用戶好友關系信息的使用方式也不會對私人生活安寧造成非法侵擾，因而不構成隱私權侵權。

由此可見，隱私權侵權的判定往往需要結合具體場景，即使認定經營者未履行合理的告知義務以及未獲得信息主體的有效同意，仍需要根據信息的類型和經營者的行為實質進行綜合判斷。法院會分別認定信息處理行為是否構成披露私密信息或侵擾生活安寧。就前者而言，私密信息應當符合社會一般合理認知下“不宜公開”的要求。然而，經營者收集個人信息是為了改善或擴展其業務功能，一般不存在刺探個人隱私的目的，難以滿足相應構成要件。因此，披露型隱私侵權行為較難獲得司法的支持。就后者而言，侵擾型隱私侵權行為在平臺經濟環境中更為常見，相較之下，信息主體主張信息處理行為侵擾生活安寧或許有更大的勝訴可能性，但其也需提供生活安寧被侵擾的證據，例如，信息泄露導致信息主體被詐騙電話騷擾，安全系統多次檢測到個人郵箱被非法訪問，等等。

相對而言，個人信息權益的侵權行為往往較容易認定。在“微信讀書案”中，法院認為“微信讀書在關于微信好友列表與讀書信息的使用方式上的告知是不充分的”，且容易令一般用戶誤以為微信中的好友不同于微信讀書中的好友，而實際上微信讀書的用戶可以看到大量微信好友在微信讀書中的信息。因而，法院認定微信讀書 APP“并未以合理的6透明度，告知原告并獲得原告的同意”，侵害了原告的個人信息權益。這是因為個人信息處理活動具有相對完善的規范，在斷定上不受經營者主觀因素的影響。即使是處理法院認定“具有一定公開性”的個人信息，也必須限定在合理范圍內，對個人權益有重大影響時還應依法取得個人同意。

2.規范平臺經濟領域經營者的競爭秩序

平臺經濟極大地改變了商業發展模式，平臺內經營者必須依托平臺經營者才能夠實現服務或產品的交易，擁有較大話語權的平臺經營者憑借其掌握的用戶和數據優勢，濫用市場支配地位，侵犯眾多平臺內經營者的利益，而最終的成本仍由處于弱勢的消費者承擔。由于數據已成為極其重要的生產要素，掌握數據先發優勢就等同于掌握競爭上的決定性優勢，因此，具有競爭性關系的經營者之間存在著數據資源的爭奪。如果這種爭奪的秩序不加以規范，勢必會對處于競爭漩渦中心的信息主體造成實質性損害。

將經營者的數據處理行為納入反壟斷法與反不正當競爭法的適用范圍內，能夠有效地規制亂象叢生的數據競爭局面，規范市場行為，構建起多主體、全社會共同參與的個人信息保護與處理體系。在一個充分競爭的市場中，信息主體具有“用腳投票”的能力，履行告知義務的經營者將會獲得市場的青瞇。我國有關反不正當競爭的司法實踐已經總結出了第三方通過。Pen API獲取用戶信息時應堅持“用戶授權”十“平臺授權”十“用戶授權”的三重授權原則。判斷用戶在做出同意決策時是否有選擇權的問題上，法院也會將產品或服務在市場中所處的地位納入考量因素。例如，在“微信讀書案”中法院指出：“與微信已實際成為大多數網絡用戶必不可少的社交應用、不使用會帶來明顯不便有所區別的是，移動閱讀的需求并非為廣大用戶所必需，用戶不使用微信讀書不會感到生活明顯不便，亦不會被實質上剝奪在市場上選擇同類型產品的權利?！卑创诉壿?，如果某一經營者經由相關市場界定符合具有市場支配地位的構成要件，那么法院在具體個案中，對該經營者“告知—同意”規則的設置和履行情況應進行更嚴格的司法審查。

比較法上已經出現以反壟斷法為工具來判斷經營者是否構成違法收集個人數據行為的實踐。2019年，德國的反壟斷機構（Bundeskartellamt）認定臉書（Facebook）在收集、整合和利用用戶個人信息方面存在濫用市場支配地位的行為。根據臉書的條款，用戶要想使用其社交網絡服務，必須同意臉書收集臉書旗下（例如 whatsAPP和Instagram）或其他第三方網站和應用程序中用戶的個人數據。該機構指出，考慮到臉書的市場支配地位，用戶在方框中打鉤以同意該公司的使用條款的行為不足以成為臉書進行如此密集的數據處理的合法性基礎。用戶的唯一選擇是接受全面的數據處理行為，否則就不能使用其社交網絡服務。在這種困難的情況下，用戶的選擇不能稱為自愿同意。德國聯邦法院已經認可了反壟斷機構的裁決，但由于臉書采取了訴訟拖延策略，導致相關主要程序仍未完結。此案系剝削型濫用市場支配地位之構成要件涵攝適用于個人信息處理領域的首創，在臉書公司違反數據保護的歐盟法律與德國民法的基本原則時，法院以反壟斷法為工具維護了用戶的個人信息權益。對正處于執法新階段與立法關鍵期的我國來說，此案例足具規范上的借鑒意義。我國已有學者提出，反壟斷法應當實現從“關注價格”向“關注個人信息保護”的制度轉型，應將企業間的個人信息保護合謀與支配地位企業的個人信息剝削視為新型壟斷行為，在數據驅動型集中的競爭損害分析中更多關注個人信息的損害。

解釋上，《反壟斷法》第22條第1款第5項“在交易時附加其他不合理的交易條件”的條款可以作為司法和執法判斷經營者是否構成剝削型濫用市場支配地位的法律依據?！秶鴦赵悍磯艛辔瘑T會關于平臺經濟領域的反壟斷指南》第16條第5項明確將“強制收集非必要用戶信息”列為是否構成“搭售或者附加不合理交易條件”的具體考慮因素。應當看到，以濫用市場支配地位規則來規制經營者的告知義務與信息處理行為，需要司法和監管實踐的不斷努力，并通過案例的類型化來形成違法行為判斷的一般性規則，包括如何認定平臺經濟中的市場支配地位、顯著性侵害程度的標準以及行為的不當性。無論如何，通過反壟斷法與反不正當競爭法規制經營者個人信息處理行為的方式，為“告知—同意”規則的解釋提供了有益的思考，也為保護個人信息權益、促進個人信息合理利用提供了嶄新的規制工具。

四、結語

“告知—同意”作為個人信息保護的一項重要制度，具有歷久彌新的生命力?！案嬷狻苯忉尶蚣艿臉嫿ㄊ冀K要遵循合法、正當、必要原則，堅持透明度原則、目的限制原則、數字最小范圍原則和準確性原則等基本原則。通過對“告知—同意”的法釋義分析可知，告知義務的實質性審查具有重要作用。告知義務履行的內容、方式與時機存在著標準化的必要性，而這一任務應由國家、行業與社會共同予以完善。同時，告知義務的履行與同意授權的作出在時間和空間上密切相關，因而告知義務也需要向場景化方向發展，唯有如此才能保障信息主體的知情權，確保其自由地行使干預信息處理活動的權利。在解釋上，不宜過分關注同意授權行為，在任意性撤回同意權已然確立的背景下，保護“概括同意”背后的合理信賴，不僅需要明確私法上的救濟，更需要通過規制經營者的競爭行為和數據活動，實現保護個人信息、規范個人信息有序流動的價值追求。

Nature Identification and Normative Interpretation of “inform-consent"Mode of Personal Information in Platform Economy

LIU Ying'，WANG Jiawei

（1.School of Law，Tongji University，Shanghai 200092，China; 2. Shanghai Collaborative Innovation Center of AI Social Governance，Shanghai 200092，China）

Abstract：Existing practice shows that the “inform-consent" mode of personal information in the platform economy is in deep trouble： the operator's obligation to inform is a mere formality， the information subject's consent behavior lacks effectiveness， and it fails to balance the relationship between the protection of individual rights and the promotion of data utilization. Faced with the dilemma in practice， it is necessary to seek a new interpretive framework of “inform-consent" on the basis of clarifying the legal nature of the obligation to inform and the act of consent. The obligation to inform has both public and private law attributes. The Privacy Policy is only the performance of the disclosure obligation and should not be considered as a contract. Consent as a unilateral authorization act is basedI on trust in the operator and state supervision. To construct a new interpretive framework of “inform-consent"， the obligation to inform should be the core， and an interactive environment centered on trust should be created. The obligation to inform should be more standardized and scenario-based， and it is advisable to adopt the classification criteria of network users to establish different degrees of notification responsibilities for different types of information subjects. The establishment of a mutual trust environment not only needs to clarify the basis of multiple claims of information subjects， but also regulate data processing activities and competition order in the field of the platform economy.

Key words： inform-consent rule;obligation to inform;personal information;platform economy;consent mnechanism

（責任編輯：周春玲）