個人信息處理中禁止捆綁規則的相對化構造

楊旭

內容摘要：我國個人信息保護法第16 條確立了個人信息處理中的禁止捆綁規則，該條文義傾向于絕對禁止的立場，但應對該條及相關規定予以相對化構造，從而推進數字經濟健康、有序發展。其評價基礎為信息自決與營業自由的互動，主要適用范圍是合同場景下對個人信息的商業化利用，但處理行為構成履行合同義務的必然技術要求除外。相對禁止捆綁規則應采取具體要件而非概括考量的規范模式，其構成要件包含兩部分內容：一是存在將同意與產品或者服務相捆綁的事實，二是不屬于不應被禁止的例外。而例外性構成要件又包括兩種具體下位情形： 信息主體無需同意即可從同一個或者不同經營者處以可期待方式獲得具有同等功能之替代性給付， 或者能夠以支付合理價款作為替代方式從特定經營者處獲取同一種給付?；谝烂穹ǖ涞?53 條第1 款確立的解釋框架，即可在現行法上構造完整的相對禁止捆綁規則，其要義為“無例外不捆綁，同意違反即無效”，而信息處理者的市場力量、產品或者服務的性質等考量因素則居于輔助地位或者發揮具體化功能。據此，“某讀書App 案”的裁判結論得以證立，其裁判理由也得以完善。

關鍵詞：禁止捆綁規則 信息自決 營業自由 相對化構造 個人信息處理 個人信息保護法

中圖分類號：DF529 文獻標識碼：A 文章編號：1674-4039-（2024）02-0109-121

一、問題的提出

數字經濟的迭代發展使個人信息之商業化利用價值尤其突顯，從而引發商業平臺等信息處理者強制處理個人信息的現象層出不窮，倘若不加以有效規制將嚴重危及信息主體的利益。為此，我國個人信息保護法（以下簡稱“個保法”）第16條確立了禁止捆綁規則，〔1#〕即“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外”?！?#〕此前最高人民法院《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱《人臉識別規定》）第4條第1項、數個國家行政監管機關聯合發布的《常見類型移動互聯網應用程序必要個人信息范圍規定》（以下簡稱《必要個人信息規定》）第4條等也有類似規定。這些較低位階規定的上位法依據應為個保法第16條，因此在解釋上應作統一處理。

盡管上述規定的文義較為清晰，但結合既有的學說與司法實踐不難發現其中存在疑問。個保法第16條第1分句創設“不得以……為由，拒絕……”的禁令，由此似乎傾向于絕對禁止捆綁的立場。但這是否意味著，只要不屬于“提供產品或者服務所必需”的例外情形，信息處理者將同意與產品或者服務相捆綁的做法就一概應予禁止？ 全國人大常委會法工委所作權威解釋及相關學說幾乎毫無例外地采取絕對立場，〔3%〕但司法實踐中的觀點卻有所不同。在“黃某與某科技（深圳）有限公司廣州分公司、某科技（北京）有限公司隱私權、個人信息權益網絡侵權責任糾紛案”（以下簡稱“某讀書App案”）中，被告科技公司通過對頭像、昵稱、性別等公開身份信息與好友列表一次性授權、不授權即無法使用的方式取得原告黃某同意，法院認為“用戶若不同意收集某項信息則無法使用該應用……是某公司對某讀書app運營模式的選擇”，而“用戶不使用某讀書app不會感到生活明顯不便，亦不會被實質上剝奪在市場上選擇同類型產品的權利”，所以“某讀書app收集原告好友列表信息的方式……不違反法律規定”?！?%〕如此看來，禁止捆綁規則并非絕對，而應呈現為存有更多例外情形的相對化構造。

因此必須追問的是，究竟應當如何理解個保法第16條確立的禁止捆綁規則？ 盡管“某讀書App案”發生在個保法生效前，法院所作裁判說理也并非完美無缺，但借此已清楚指明問題之核心所在。本文認為，“某讀書App”之類的移動互聯網應用程序代表當前數字經濟中的典型商業模式，而個保法第16條第1分句等規定在文義上所體現的絕對禁止捆綁立場會摧毀其合法存在與持續運營的根基， 唯有轉向相對化構造才能實現信息主體與信息處理者之間的價值及利益均衡， 從而推進數字經濟的健康、有序發展。下文以“某讀書App案”的裁判理由作為研討對象及推進線索，首先證成相對禁止捆綁規則的正當性基礎，然后闡明對個保法第16條予以相對化構造的解釋路徑，最后闡明相對化構造在具體情形中適用的操作要點。

二、相對禁止捆綁規則的正當性證成

要以“某讀書App案”為例在現行法上確立相對禁止捆綁規則，就應當先行闡明個保法第16條背后的評價基礎。其核心是在信息主體同意制度乃至整個合法性基礎制度的框架下妥當平衡信息主體與信息處理者的利益，在價值層面尤其體現為信息自決與營業自由之間的評價互動。據此便能準確界定個保法第16條第1分句的適用范圍與主要場景，并理清該條第2分句但書規定與第13條第1款第2項前段關于履行合同必需之規定的區別，進而指明對禁止捆綁規則予以相對化構造的正當性所在。

（一）評價基礎

作為信息主體同意的有效性要件，禁止捆綁規則是對個保法第14條第1款第1句中“自愿”要求的具體化。于此脈絡，所謂“自愿”并不直接等同于私人自治，而是根植于更為復雜的價值互動：一方面，作為典型的功能規定性概念，〔5.〕同意系以信息自決作為核心價值，旨在維護信息主體對其個人信息的自主決定，禁止捆綁規則尤其致力于此；另一方面，是否將產品或者服務與同意相捆綁，直接關涉信息處理者的商業模式選擇與商業利益之實現，屬于其營業自由的范圍。為此，有必要先行探明其各自的規范依據及互動途徑。

信息自決在我國并無明文規定，但可以從憲法第38條第1句的“人格尊嚴”中推出?！?%〕德國聯邦憲法法院在其“人口普查案”判決中指明，信息自決之要義為“個人原則上有權自主決定其個人數據的公開與利用（Preisgabe%und%Verwendung）”?！?%〕作為憲法一般人格權的下位權利，其規范依據為德國基本法第2條第1款連同第1條第1款。德國基本法第2條第1款前段規定“任何人均享有自由發展其人格的權利”， 但這并不直接就是一般人格權， 而是旨在揭示一般行為自由這種更為開放的兜底性權利，〔8%〕據此，還可以衍生出私人自治及合同自由等經濟性自由權?！?%〕而要推出一般人格權，還應連同德國基本法第1條第1款的“人之尊嚴”。該款規定“人之尊嚴不可觸碰”，所以一般人格權的受保護程度應高于私人自治與合同自由。我國憲法第38條第1句中的“尊嚴”即“人之尊嚴”，這種將“人格”與“尊嚴”并列的表述應理解為“通過將‘人格與‘人之尊嚴相聯系來加強對一般人格權的保護”?！?07〕那么作為其下位權利，信息自決也應分享相同意涵，即一方面包含人格發展自由，在私法上尤其體現為私人自治，另一方面又蘊含人之尊嚴。

對于營業自由，我國憲法也未作統一規定，而是區分不同的所有制形式。具體而言，第16條第1款承認國有企業“有權自主經營”，第17條第1款賦予集體經濟組織以“獨立進行經濟活動的自主權”，兩者共同構成公有制企業營業自由在憲法上的規范依據?！?1%〕盡管個保法第16條所涉“提供產品或者服務”的信息處理者往往是私營企業，屬于非公有制范疇，但并不因此而排除其營業自由。由于憲法第15條第1款規定“國家實行社會主義市場經濟”，而第6條第2款又確立“多種所有制經濟共同發展的基本經濟制度”，再加上第11條第1款將作為非公有制經濟的私營經濟歸為“社會主義市場經濟的重要組成部分”，所以至少就是否享有營業自由而言，并無理由對私營企業與國有企業、集體經濟組織從根本上予以差別對待?！?2%〕再者，第11條第2款明確規定，國家保護“私營經濟等非公有制經濟的合法的權利和利益”，距直接承認營業自由僅一步之遙。綜合上述規定，便能推出作為私營企業的信息處理者之營業自由。因為事關我國基本經濟制度，其保護范圍不但包括個體商業利益，而且涉及“互聯網行業發展”利益，并能促進“數字經濟的發展”且“增加整個社會的福祉”?！?3%〕

其實，信息自決和營業自由不只是憲法上的基本權利，而且應當被提升為超越公私法藩籬的客觀價值。這種客觀價值具有原則的屬性，屬于典型的“最佳化命令”，即“要求某事在事實上和法律上可能的范圍內盡最大可能被實現”，并且“能以不同的程度被實現”?！?4%〕所以要妥當構造禁止捆綁規則，必須盡可能實現其各自要求，而不得偏廢于其中一端。再者，信息自決蘊含人之尊嚴，營業自由關涉公共利益及數字經濟的整體發展，兩者在抽象意義上并無高下之分，只能取向于具體情形中的評價互動。據此，“某讀書App案”的裁判理由應予贊同。其已清楚認識到，禁止捆綁規則不僅應當維護信息自決及其他關涉信息主體人格尊嚴的價值及利益，而且必須充分顧及信息處理者的營業自由等反對價值及利益。正因為如此，要判斷“用戶是否自主選擇，應在充分尊重用戶及服務提供者雙方意愿基礎上”進行，而“用戶若不同意收集某項信息則無法使用該應用，這是該科技公司對讀書app運營模式的選擇”?！?5#〕由此，便較為清楚地揭示出該案中相關價值及利益之沖突與互動的基本結構。

（二）適用場景

依個保法第16條之文義及其所處體系脈絡，禁止捆綁規則的適用前提有二：一是處理行為應當基于信息主體同意，而非履行合同必需等其他合法性基礎；二是處理行為不屬于第16條第2分句所定例外情形。結合數字經濟中個人信息商業化利用的典型模式，便可以厘清第16條第1分句所定禁止捆綁規則的主要適用場景。

對個人信息的商業化利用尤其體現為以“信息/數據換給付”為核心內容的商業模式。于此情形，信息主體主動向信息處理者提供或者被動地容忍其收集個人信息，并由信息處理者進行后續的商業化利用，而信息處理者則向信息主體提供產品、服務或者其他形式的給付。例如，即時通信、搜索引擎、社交網絡等商業平臺的運營者雖然向用戶提供所謂的“免費”服務，但同時又借助用戶畫像、個性化推薦等技術手段，通過向第三方經營者收取廣告費用等方式而實現營利?！?6#〕這種精準營銷可能對用戶決策產生決定性影響，甚至使其淪為被操控的客體，〔17#〕無疑會嚴重危及用戶之尊嚴。正因如此，該商業模式應以同意作為合法性基礎，從而適用包括禁止捆綁、任意撤回等在內的整套有關同意之規則?！?8#〕再者，由于同意作為對待給付與產品或者服務等給付之間形成雙務性聯結，〔19#〕此類商業模式便屬于個保法第16條第1分句中“以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務”的情形。也就是說，用戶若在訂立合同階段不同意處理其個人信息，信息處理者就會拒絕與之訂立合同；用戶若在履行階段撤回同意，信息處理者就會拒絕履行提供產品或者服務等給付義務，甚至部分或者全部終止合同。

然而，對個人信息的商業化利用也未必全然落入禁止捆綁規則的適用范圍，尤其以網絡購物、旅游服務等商業平臺運營者為用戶提供個性化交易撮合等服務的情形最為典型。前述雙務合同系基于給付與對待給付之間的牽連關系，在規范意義上將產品或者服務系于用戶同意。這種雙務性聯結并非技術上之必然要求，因此才有禁止捆綁的可能性。與此不同，要履行以提供個性化交易撮合等服務為內容的合同義務，必須進行用戶畫像等個人信息處理行為，這恰恰是大數據分析的根基所在。只要承認此類服務及相關合同義務的合法存在，就不應禁止捆綁。但平臺運營者往往只有成功撮合交易才能向平臺內經營者收取報酬， 所以履行此類義務的同時服務于信息主體及信息處理者雙方利益。于此情形，為避免信息處理者因片面追求自身商業利益而侵害用戶之尊嚴，依然應以同意作為合法性基礎，〔20#〕因而有必要借助個保法第16條第2分句之但書將其排除。申言之，此但書規定雖然與第13條第1款第2項前段關于履行合同必需之規定相近，但含義卻并不相同。正因如此，《必要個人信息規定》第4條中的“非必要個人信息”與第3條所界定的“必要個人信息”并非簡單地彼此互斥，〔21#〕而是與個保法第16條第2分句殊途同歸，旨在排除那些技術上必需的個人信息商業化利用行為。

但需注意，信息處理者倘若轉而利用個人信息進行產品或者服務優化、企業戰略調整等其他形式的商業化利用，〔22"〕或者將對相關處理行為之同意系于非個性化服務，〔23"〕便不再屬于技術上的必然要求，還應受禁止捆綁規則調整。概言之，信息處理者倘若對個人信息進行商業化利用，而相關處理行為又不構成履行合同義務的必然技術要求，便應落入個保法第16條第1分句的適用范圍。就“某讀書App案”而言，被告科技公司以營利為目的而運營“某讀書App”，其對原告黃某的頭像、昵稱、性別等公開身份信息和某信通信工具好友列表等信息所實施的收集及后續處理行為構成其整個營利活動中必不可少的關鍵環節，無疑構成對個人信息的商業化利用；而在原告黃某使用某信賬號登陸“某讀書App”應用程序時，若不同意授權被告公司處理相關個人信息，將導致無法使用整個應用軟件的全部功能，明顯超出履行合同義務之技術必然要求的范圍。然而，這些以“某讀書App”為代表的商業模式是否一概處于禁止捆綁之列？

（三）立場轉換

對于前述問題，答案是否定的。因為絕對禁止捆綁會從根本上摧毀此類商業模式合法存在與持續運營的根基，且不利于維護信息主體利益。首先，如前所述，營業自由旨在維護信息處理者對商業模式的自主選擇及其商業利益之實現，而一旦采取絕對禁止的立場，便會嚴重危及甚至完全否定信息處理者的營業自由。以“信息/數據換給付”的商業模式為例，源于給付與對待給付之間的牽連關系，平臺運營者往往將產品或者服務與用戶同意相捆綁。于此，絕對禁止必然導致用戶同意一概無效，無異于從根本上否定此種商業模式合法存在的可能性，所謂商業模式的自主選擇更是無從談起。其次，對用戶信息予以商業化利用是平臺運營者的重要營利途徑。為充分實現其商業利益，恰恰應允許運營者盡可能廣泛地處理用戶信息，而將產品或者服務與同意相捆綁不失為一種行之有效的手段，〔24"〕盡管應當受到信息自決的適當限制。但是反過來，假如直到訂立合同后才另行征求信息主體同意，或許不少用戶會拒絕處理其個人信息。那么很明顯，絕對禁止捆綁將完全與處理者的商業利益背道而馳。最后，采取絕對禁止的立場還會不當侵蝕信息自決。因為對于用戶而言，將產品或者服務與同意相捆綁并不會必然導致信息自決落空。只要其就同意與否存在合理選擇空間，私人自治與人之尊嚴便均已得到維護。而絕對禁止捆綁卻不加區分地完全排除捆綁的可能性，導致信息主體基于自主選擇所作同意也遭否定，〔25+〕顯然超出必要限度。

恰恰相反，倘若轉而采取相對化構造，便能疏解上述困境。如前所述，信息自決與營業自由均為最佳化命令，應在事實上和法律上可能的范圍內盡最大可能被實現。即便應該承認，在處理人臉信息等敏感信息的情形下，除信息自決外還牽涉其他關乎信息主體人格尊嚴的價值及利益，〔26"〕但支持禁止捆綁的價值及利益的總和也絕不可能在抽象意義上一概壓倒信息處理者的營業自由等反對價值及利益。所以要妥當構造禁止捆綁規則，就絕不能在抽象意義上作“一刀切”式的決斷，而必須取向于兩者在具體情形中的“條件式優先關系”?！?7"〕只有在信息自決可能或者已經遭受較為嚴重之侵害從而因此優先于營業自由的情形下，才應禁止捆綁；相反，假如信息自決未受任何侵害或者所受侵害較小，就應當向營業自由讓步，那么捆綁便屬于正當的商業行為。因此，盡管個保法第16條第1分句的文義較為絕對，而《人臉識別規定》第4條第1項與《必要個人信息規定》第4條亦無不同，但為盡可能兼顧信息自決與營業自由，還應對禁止捆綁規則予以相對化構造。但問題在于，相對化構造在現行法上的解釋路徑應當如何選??？

三、禁止捆綁規則的相對化解釋路徑

毋庸置疑， 禁止捆綁規則最核心構成要件為存在將信息主體同意與產品或者服務相捆綁的事實。而所謂相對化構造，其實質是在個保法第16條第2分句的但書以外增設更多例外情形，也就是營業自由優先于信息自決的“條件式優先關系”，從而避免一旦捆綁即遭禁止的僵化結果。為探尋相對化構造的妥當解釋路徑，并對“某讀書App案”予以更深入研討，需從兩個方面著手：一是采取何種方式對個保法第16條第1分句創設例外情形，即規范模式問題；二是如何在現行法上實現此種創設例外的規范模式，即解釋框架問題。

（一）規范模式

在規范模式上，“某讀書App案”判決傾向于作概括考量，即“綜合考慮用戶的選擇可能、選擇能力、進行相應選擇對用戶的實質影響等因素予以判斷”。但其實這種基于綜合判斷的概括考量模式既非唯一選項，又非最優方案。為澄清這一問題，有必要將目光轉向比較法。簡要考察該規則在比較法上的規范模式及具體樣態，不但可以充分印證相對化構造的正當性，還能為重構我國個保法第16條第1分句及相關規定積累豐富的素材。

1.歐盟法上的概括考量模式

歐洲的數據保護立法起初未規定禁止捆綁規則。1995年頒布的歐盟《數據保護指令》（以下簡稱歐盟《指令》）僅在第2條（h）項有關“數據主體同意”的定義中設自愿性要求，即同意必須“自愿”或者“不受強制”地作出?！?8/〕直到2016年，歐盟《通用數據保護條例》（以下簡稱歐盟GDPR）在第4條（11）項對“同意”延續“自愿”要求的基礎上，以第7條第4款確立禁止捆綁規則，即“在判斷同意是否自愿作出時，應當盡最大可能考慮但不限于，包括提供服務在內的合同履行是否以同意處理個人數據作為條件，而該處理非為履行合同所必需”。就文義而言，該款規定明顯傾向于相對禁止的立場。因為其僅僅要求“盡最大可能考慮”是否將同意與給付相捆綁，而并非不加區分地一概予以禁止；再加上“不限于”就更加清楚地表明，捆綁與否并不單獨構成同意自愿性的判斷標準，還需結合其他因素綜合考量?！?9/〕盡管在學說上存在不同觀點，〔30/〕但相對禁止的立場能夠得到更多立法理由的支撐：第42段立法理由第5句指出，“假如數據主體并無真正且自由的選擇，或者不能不受損害地拒絕作出或者撤回同意，那么不應當認為同意系自愿作出”；第43段立法理由第1句前段指出，“為確保同意系自愿作出，同意不應當為在特定情形處理個人數據提供有效的合法性基礎，即數據主體與控制者之間存在明顯不對等”。故此，對于歐盟GDPR第7條第4款應作相對化理解，從而確立概括考量的規范模式。

然而，該款規定并未指明除將給付與同意相捆綁外還需考慮的其他因素，相關立法理由也只是簡單提及“真正且自由的選擇”“不受損害”“明顯不對等”“合理地/以可期待的方式另行獲取同等價值的服務”等。為更深刻理解這些考量因素及其相互關系，需轉向德國法。

2.德國法上的具體要件模式

不同于歐盟的概括考量模式，德國法上的禁止捆綁規則設有具體構成要件，并在法律制定與修改過程中逐步形成與完善。德國原聯邦數據保護法起初未規定禁止捆綁規則，只是在2003年修法時在第4a條第1款第1句增加同意的自愿性要求。但自1996年起，許多電子通信與電子媒體領域的專門立法已陸續設有明文，〔31+〕確立了相對禁止的立場。其中，2004年修訂的德國電子通信法原第95條第5款與2007年頒布的德國電子媒體法原第12條第3款尤其重要， 兩者對2009年修訂的德國原聯邦數據保護法最終確立該規則具有重要影響。該法第28條第3b款規定：“當事人不經同意就不能或者不能以可期待的方式另行獲取同等價值的合同給付的，責任機構不得將合同訂立依賴于第3款第1句規定的當事人同意。于此情形作出的同意無效?！比欢?，由此并未全面確立普遍的禁止捆綁規則，而是既有拓展又有限縮。進入德國原聯邦數據保護法意味著，禁止捆綁從專門針對電子通信和電子媒體領域的特別規定躍升為私人領域數據處理的普遍規則。但第28條第3b款第1句又將適用范圍限于同條第3款第1句所涉情形，即“為直接營銷或者廣告之目的而處理或者利用個人數據”。在修法過程中，聯邦參議院曾要求擴展其適用范圍，但聯邦政府與聯邦議會均明確表示拒絕?！?2+〕據此，既不能將第28條第3b款第1句擴張適用于直接營銷和廣告以外的情形，又不能基于反面推論從第4a條第1款第1句關于自愿性要求的規定中推出普遍的禁止捆綁?！?3+〕

很明顯，德國法也同樣采取相對禁止捆綁的立場。在增設原聯邦數據保護法第28條第3b款之同時，電子通信法原第95條第5款也作有相應修改，兩者共同構成德國法上禁止捆綁規則的核心規定，直到2018年歐盟GDPR生效從而在德國直接適用為止。

3.模式比較與選擇

經比較不難發現，不同立法例對與信息主體同意相捆綁之對象的措辭不盡相同，但這并不影響其各自對我國現行法的重要借鑒意義。盡管歐盟GDPR第7條第4款表述為“包括提供服務在內的合同履行”，但學說上均認為應將其擴展至訂立合同的情形；〔34+〕德國原聯邦數據保護法第28條第3b款第1句雖然表述為“合同訂立”，但其立法者也無明確意圖將履行合同階段完全排除在外。所以相較而言，我國個保法第16條第1分句中的“提供產品或者服務”更為周延，只需對其文義稍做拓展即可將訂立合同和履行合同兩個階段全部包含在內。

要構造相對禁止捆綁規則，關鍵在于清晰界定“雖有捆綁、但不禁止”的例外情形。在此方面，歐盟GDPR第7條第4款以“應當盡最大可能考慮但不限于”確立概括考量的規范模式，而德國原聯邦數據保護法第28條第3b款則采取較為具體的構成要件，即“不能或者不能以可期待的方式另行獲取同等價值的合同給付”。究其實質，概括考量模式舍棄具體要件而取向整體語境的判斷，由此雖然能夠提升個案的正確性與適當性，但會不可避免地損及法的安定性?！?5#〕為使其可得適用，有必要參考相應的立法理由。但其中，“真正且自由的選擇”“不受損害”和“明顯不對等”因過于籠統而需被具體化，僅具有輔助論證的功能。那么就只?！昂侠淼?以可期待的方式另行獲取同等價值的服務”，而這恰恰與德國原聯邦數據保護法第28條第3b款如出一轍，呈現出明顯的繼受痕跡。如此看來，即便在立法上確立概括考量模式，待適用時仍需轉化為相對具體的構成要件。更何況，具體要件在維護法的安定性與提升操作便利性上無疑再勝一籌。所以在個保法第16條的解釋框架下，“某讀書App案”之裁判理由所選取的規范模式并不可取，只能在理解具體構成要件時予以適當吸收。

（二）解釋框架

要將具體構成要件的規范模式納入現行法，便應對個保法第16條第1分句創設“合理地/以可期待的方式另行獲取同等價值的”給付作為例外性構成要件。但問題在于，該規定本身也難稱完備。其僅僅創設“不得以……為由，拒絕……”的禁令，卻并未指明違反此禁令所應發生的法效果。那么為確立相對禁止捆綁規則的解釋框架，就必須先行補充相應的法效果，然后指明增設例外性構成要件的解釋及續造方向。

違反禁止捆綁規則的法效果應為信息主體同意無效。其理由在于，一方面是最高司法機關的權威解釋。根據《人臉識別規定》第4條，倘若違反禁止捆綁規則，則“信息處理者以征得自然人或者其監護人同意為由抗辯的，人民法院不予支持”。而之所以能夠在信息主體一方未作任何主張的前提下徑直“不予支持”，只能是出于對同意效力的根本性否定。也正因如此，最高人民法院的權威釋義將該條的要旨歸納為“強迫同意無效規則”?！?6-〕另一方面，這一結論也可以從比較法上獲得印證。如前所述，德國原聯邦數據保護法第28條第3b款第2句規定，“于此情形作出的同意無效”。歐盟GDPR第43段立法理由第1句前段也指出，“為確保同意系自愿作出， 同意不應為在特定情形處理個人數據提供有效的合法性基礎，即數據主體與控制者之間存在明顯不對等”，而第7條第4款規定的禁止捆綁規則也在此列。但有必要進一步追問的是，其于我國現行法上的直接法律依據究竟何在？

在此方面，有學者認為禁止捆綁“是對格式合同規則的落實”，即“若收集處理個人信息與相關產品并不相關，基于格式條款的個人信息收集就屬于民法典第497條所規定的無效條款”?！?7-〕然而，這一觀點值得商榷。民法典第497條的規范對象系作為合同重要組成部分的格式條款，而信息主體同意卻是有別于基礎合同的獨立法律行為，兩者分別處于不同的規范層次?！?8-〕即便承認信息主體同意應該類推適用格式條款的規定，但第497條旨在對格式條款進行內容審查，〔39-〕禁止捆綁規則卻指向同意是否自愿作出或者撤回的純粹程序性事項。而且，《人臉識別規定》第4條的制定過程也清楚表明禁止捆綁規則與格式條款內容審查規則之間的重要區別。最初的草案曾擬就兩種不同的方案：第一種是將其納入格式條款的效力審查規則，第二種是使其回歸信息主體同意的規范體系。經征求全國人大常委會法工委意見，最終版本的司法解釋選擇第二種方案。理由在于，包括捆綁在內的“強迫或者變相強迫主要通過模式設計來實現”，但“從格式條款內容上看，強迫同意的模式設計一般不會出現在格式條款的內容中，故難以依據民法典第497條對其予以否定性評價”?！?0%〕就此而言，同意無效的依據并非格式條款內容審查規則。

其實， 違反禁止捆綁規則的法效果依據應為民法典第153條第1款有關法律行為違法無效的規定。因為從形式上看，信息主體同意屬于以意思表示為核心的法律行為，而個保法第16條第1分句中的“不得”清楚表明其構成第153條第1款第1句所稱“法律、行政法規的強制性規定”。該款作為“關于完全法律的規則”〔41%〕并不能獨立適用，其首要功能恰恰在于為缺少法效果的強制性規范提供補充。且如前所述，個保法第16條是對自愿性要求的具體化，其評價基礎是在信息自決與營業自由之間求得平衡，使兩種價值均可以在法律上和事實上可能的范圍內盡最大可能被實現。只有在禁止捆綁的情形下從根本上否定同意的效力，才能確保信息主體對個人信息享有真正的決定自由，從而不因拒絕或者撤回同意而遭受不利益。此外應當承認，個保法第16條不直接針對同意的具體內容，而是涉及純粹程序性事項，屬于意思表示不自由的情形。但在我國現行法上，要否定因脅迫等原因導致意思表示不自由而可撤銷的法律行為的效力，只能通過訴訟或者仲裁的途徑實現。如此繁復的撤銷權行使方式無疑會將絕大多數信息主體拒之門外，因此在很大程度上削減禁止捆綁規則的實際效果。所以要實現信息自決，就必須基于民法典第153條第1款第1句為個保法第16條補充同意無效的法效果。

再將視角轉向構成要件一端，民法典第153條第1款對于構造相對禁止捆綁規則依然具有重要意義。除具有上述法效果補充功能外，該條還能為具體的強制性規范的解釋與續造提供重要的方向性指引。其中第2句關于“該強制性規定不導致該民事法律行為無效的除外”的規定不僅表明并非所有的強制性規定均否定法律行為的效力，而且意味著否定法律行為效力的強制性規定也并不一概導致特定種類的法律行為無效，最終還需進一步考察具體情形中的價值及利益沖突樣態?！?2%〕而且，其作為但書的句式表達與邏輯結構決定了相應的論證負擔應當由主張限制強制性規定適用范圍的一方承擔。循此框架，便可以將前述“合理地/以可期待的方式另行獲取同等價值的”給付確立為個保法第16條第1分句的例外性構成要件。但為作此解釋或者續造，必須予以充分論證和具體化。

四、相對禁止捆綁規則的具體化適用

基于上述分析，相對禁止捆綁規則之要義應在于“無例外不捆綁，同意違反即無效”。而進一步觀察不難發現，前述例外性構成要件本身并不清晰，而是包含“另行獲取”“合理地/以可期待的方式”“同等價值”等模糊甚至需價值填充的概念。所以要完成個保法第16條第1分句的具體化適用，有必要先重點論證落入此例外性構成要件的具體情形，并指明相應的解釋及續造方法，然后揭示在具體情形中參酌的輔助性考量因素。在此過程中，個保法第16條第1分句的僵化文義得以矯正，“某讀書App案”的裁判理由也得以完善。

（一）例外情形

如前所述，禁止捆綁規則主要適用于信息處理者對個人信息進行商業化利用的情形，但處理行為構成履行合同義務的必然技術要求除外。具體而言，一方面尤其包括以“信息/數據換給付”為核心內容的商業模式，另一方面又包括超出技術上必然要求之范圍的商業化利用。對于這兩種彼此交叉重疊的主要適用場景而言，同意的自愿性均源于信息主體對產品或者服務等給付的自由選擇。那么基于對“合理地/以可期待的方式另行獲取同等價值的”給付的不同理解，這種自由選擇既可以體現在由不特定經營者提供的數種具有同等功能的產品或者服務之間，又可以體現在對特定經營者提供的同一種產品或者服務的不同獲取途徑之上。

1.在數種具有同等功能的產品或者服務之間自由選擇

從整個市場上看，假如信息主體無需同意便能從同一個或者不同經營者處以可期待的方式另行獲取具有同等功能的產品或者服務等替代性給付，那么其所作同意便不會僅僅由于存在捆綁的事實而違反自愿性要求。也就是說，只要市場上存在其他具有同等功能的替代性給付，而且能通過同意以外的其他可期待方式獲取，信息主體便真正享有自由選擇空間，而不會因拒絕作出或者撤回同意而遭受不應有的不利益。然而，歐洲數據保護委員會卻對此持反對意見。其理由主要在于，這會導致對于有無自由選擇之判斷取決于其他市場競爭者的商業模式及其所提供給付能否真正具有可替代性，并因此課以信息處理者為確保同意持續有效而不斷監測市場發展狀況的義務，因為其他競爭者可能在隨后階段改變其服務狀態?！?3&〕但其實，使信息處理者負有適當的市場監測義務并無不妥，甚至是維護信息自決的當然之義。既然禁止捆綁規則旨在確保信息主體對是否處理其個人信息的自由選擇，那么市場上有無可供選擇的替代性給付也應從信息主體視角加以判斷?！?4&〕信息主體通常為消費者，而基于此類群體的視角的市場監測義務對作為經營者的信息處理者而言并不困難，甚至是其在激烈的市場競爭中謀求生存及發展之必要前提。唯有如此，才能通過市場本身的力量來矯正信息主體與信息處理者之間潛在的不平等關系，〔45&〕以確保同意之自愿性及有效性。

在此例外情形下，前述例外性構成要件中的“另行獲取”的“另行”是指，替代性給付既可以從同一個經營者處獲取，又可以從市場上的其他經營者處獲取，其關鍵在于所涉經營者并不特定，而是取向于整個市場。相應地，適格的替代性給付與原給付必定不完全相同，因此所謂“同等價值”并非意指產品或者服務的同一性，而是在功能上具有較高程度的一致性。而“合理地/以可期待的方式”即無需同意，而是通過其他有償或者無償的適當方式獲取。即便屬于此種例外情形，信息處理者也是毫無疑問地將其所提供的產品或者服務與同意相捆綁，從而落入個保法第16條第1分句“以個人不同意處理其個人信息或者撤回同意為由，拒絕提供”的可能文義之核心區域。但如前所述，信息主體此時確實享有真正的自由選擇空間，使同意無效既嚴重侵害信息處理者的營業自由，也未必符合信息主體的自主意愿，因此必須通過目的性限縮予以排除?！澳匙x書App案”之裁判理由尚不充分。其認為，原告“不會被實質上剝奪在市場上選擇同類型產品的權利”，而是完全能夠通過“‘用腳投票的方式在市場競爭中做出選擇”。而進一步的問題尤其在于，原告要從同一個或者不同經營者處獲取具有同等功能的服務是否也必須同意處理其個人信息。倘若在查明事實的基礎上作出否定回答，便構成禁止捆綁的例外情形；反之，還應當禁止捆綁，那么同意便因此無效。

然而，這一例外情形也存在難以克服的局限性。通常而言，要成為替代性給付只需在核心內容上具有可替換性即可，而不要求在質量、設計、價款等方面完全具有嚴格的同一性?！?6&〕但對社交網絡、即時通信等情形，往往因網絡效應而不存在可供選擇的替代性給付。于此情形，即便不同經營者提供的產品或者服務完全相同，信息主體轉向其他經營者也定然遭受不應有的不利益。由于大部分相關聯系人（或稱“好友”）往往繼續使用原本所選給付，信息主體便可能因轉向替代性產品或者服務而失去大部分聯系人，尤其包括那些在現實生活中并不認識而只有使用特定經營者所提供之給付才能取得聯系的虛擬社交對象?！?7#〕就此而言，此類經營者要將產品或者服務與同意相捆綁，就只能訴諸其他合法途徑。

2.對同一種產品或者服務之不同獲取途徑的自由選擇

在特定雙方當事人之間，假如信息主體能夠以支付合理價款作為替代方式從特定經營者處獲取同一種產品或者服務等給付， 那么其所作同意也不會僅僅因為存在捆綁的事實而違反自愿性要求。也就是說，不論市場上是否存在具有同等功能的替代性給付，倘若特定經營者就同一種產品或者服務將支付合理價款作為同意以外的另一種獲取路徑， 那么信息主體就依然享有真正自由選擇的空間。于此情形，盡管信息主體可能因拒絕作出或者撤回同意而喪失“免費”獲取產品或者服務等給付的機會，但這并不構成影響其自由選擇的不利益。因為其原本狀態并未因此被改變，而只是放棄可能獲得的利益?！?8'〕盡管長期以來，用戶出于互聯網領域的“免費心理”而習慣性獲取免費的產品或者服務，但其并不當然對此享有普遍權利?！?9'〕歸根結底，禁止捆綁規則僅意在維護信息主體能夠自主決定其個人信息是否被處理，而并不致力于確保其始終能以免費方式獲取本身具有金錢價值的給付?！?0'〕當然，經營者完全可以在信息主體拒絕作出或者撤回同意后繼續免費提供給付，此為其營業自由的當然之義。

這一例外情形對信息處理者和信息主體均具有重要意義。如若不然，前述提供具有網絡效應之給付的經營者便會陷入兩難境地：一旦將同意與產品或者服務相捆綁，就因違反禁止捆綁規則而不能合法處理個人信息；倘若將兩者相分離，例如在訂立合同后再征求信息主體同意，則后者便不存在同意的緣由與動機?！?1#〕如此，不但會導致信息處理者無法將其產品或者服務變現，而且可能危及數據驅動型商業模式的經濟基礎?！?2'〕相反，倘若承認此例外情形，這種困境便迎刃而解：處理者要么通過對個人信息進行商業化利用而向第三方收取個性化廣告費用等方式將產品或者服務間接變現，要么通過向用戶收取合理費用而直接變現。反過來，對信息主體而言，既然同意處理其個人信息便可以免費獲得產品或者服務， 那么經營者收取合理價款作為替代性獲取路徑便可以對用戶形成正向激勵，推動其自愿作出同意的積極性。并且，允許用戶在同意處理個人信息與支付合理價款之間進行自由選擇，還能夠提升用戶關于其個人信息之商業價值的明確意識，進而增加個人信息的商業化利用及其金錢價值的透明度?！?3'〕這在學說上也被稱為“通過商業化利用而防范商業化利用”?！?4'〕

在此例外情形下，前述例外性構成要件中的“另行獲取”之“另行”并不是指在經營者與給付內容上有所不同，而是從同一個經營者處獲取相同給付的交易模式存有差異，其關鍵在于所涉經營者具有特定性，指向的給付則完全相同。因此所謂“同等價值”意指產品或者服務之同一性，而“合理地/以可期待的方式”即通過支付合理價款而非同意處理個人信息的方式獲取該相同給付。倘若屬于此種例外情形，盡管信息主體一旦拒絕支付合理價款就只能通過同意而獲取產品或者服務，也至多落入第16條第1分句的可能文義之邊緣地帶。但如前所述，信息主體并不當然享有免費獲取產品或者服務的權利，使同意無效將會過度干預信息處理者的營業自由，所以必須通過限制解釋予以排除。準此以言，還能對“某讀書app案”在此方面予以進一步的事實認定與裁判說理。但關鍵在于，經營者為將產品或者服務直接變現所定價款必須具有合理性，否則信息主體便可能因拒絕作出或者撤回同意而被迫支付較高甚至高額的價款。于此情形，同意已非真正的自由選擇，難以符合自愿性要求。

至于價款合理與否的判定標準，應當以經營者所提供產品或者服務的客觀價值為準，而并非用戶個人信息及其商業化利用的經濟價值。因為以支付合理價款作為替代性路徑旨在拓展用戶的行動與選擇空間，而只有以該產品或者服務本身的客觀價值為標準確定價款，才能使信息主體免受處理者施加的外在壓力的不當影響?！?5&〕與此不同，倘若以用戶個人信息及其商業化利用的經濟價值作為標準，實質上是確保經營者不因信息主體拒絕作出或者撤回同意而遭受經濟上的不利益，并不符合創設禁止捆綁規則的初衷。不僅如此，現階段要對用戶個人信息及其商業化利用的經濟價值進行定價還相當困難，但產品和服務的定價卻已有相對成熟的規則可供遵循。例如，奧地利數據保護執法機構曾判定，要獲取新聞門戶網站提供的無廣告、無數據追蹤等處理行為的線上訂閱服務，價款應為相同經營者在市場上提供紙質訂閱的價格，也就是每月6歐元?！?6&〕即便對于即時通信、社交網絡等不具有可替代性的產品或者服務而言，要確定其價格通常也不會存在難以克服的障礙。

（二）考量因素

在上述例外情形的基礎上，還可以提出適用相對禁止捆綁規則的若干考量因素，如前已提及的處理對象是否構成敏感信息等。但在具體要件而非概括考量的規范模式下，此類考量因素僅具有次要的輔助性地位或者具體化功能。所以“某讀書App案”的裁判理由所提及的“選擇可能、選擇能力、進行相應選擇對用戶的實質影響等因素”只要不為例外性構成要件及其下位情形所包含，就只能在此意義上發揮作用。

1.信息處理者的市場力量

相對禁止捆綁規則并不要求信息處理者在相關市場中居于壟斷地位。在前述德國法上，電子媒體法原第12條第3款和電子通信法原第95條第5款曾傾向于后者，但原聯邦數據保護法第28條第3b款則正確地取消此要求。原因在于，首先即便對電子媒體與電子通信等基礎性服務作此要求并無不妥，〔57&〕但在其他私人交易的領域中卻很少有企業達到如此高的標準?！?8&〕一旦推而廣之，將導致禁止捆綁規則喪失實際意義?！?9&〕其次，假如所有經營者均未達到市場支配地位的門檻，即便市場在整體上將服務與同意相捆綁也不會違反上述規定，〔60&〕但用戶并無真正的自由選擇空間。正確的理解應為，即便特定經營者在相關市場中不居于支配地位，但倘若用戶要另行獲取適格的替代性給付就只能同意處理其個人信息，那么任何經營者將給付與同意相捆綁均導致同意無效。最后，在雙寡頭壟斷市場的情形下，假如一個經營者將產品或者服務與同意相捆綁，另一個經營者提供無需同意即可獲得的具有同等功能的替代性給付，那么用戶依然享有自由選擇的空間，〔61&〕其對前者所作同意依然符合自愿性要求。正因為如此，只有將個人信息保護法與反壟斷法在評價上予以適當分離，〔62-〕才能準確理解同意的自愿性要求和禁止捆綁規則。也就是說，信息處理者的市場力量即使在特定情形下構成判斷同意的自愿與否的充分條件，但也只具有輔助性地位。

2.產品或者服務等給付的性質

對于應否禁止捆綁而言，產品或者服務等給付是否構成生活必需品等因素也不當然具有決定性意義。因為個保法第16條第1分句旨在確保同意的自愿性，從而必須且只能聚焦于同意的作出過程本身。即便認為構成生活必需品必然導致同意不自愿，但反過來，不構成生活必需品卻不必然意味著同意系自愿作出?！?3-〕而不論是否構成生活必需品，只要用戶的實際需求確實存在便應予充分認可，并著力防止損及同意的作出或者撤回的自愿性。因此，法院關于“與某信已實際成為大多數網絡用戶必不可少的社交應用、不使用會帶來明顯不便有所區別的是，移動閱讀的需求并非為廣大用戶所必需，用戶不使用某讀書App不會感到生活明顯不便”的考慮，至多在替代性給付的功能是否一致、替代性價款是否合理等細節問題上發揮具體化功能。