王雪乔

(中国社会科学院科技和社会研究中心，北京市 100732)

欧盟于2018年5月25日开始实施的《一般数据保护条例》(简称GDPR)[1]P1在“同意”方面做出了较为细化的规定，更加强调数据主体自身的“同意”在数据收集与处理中的重要性。GDPR条文中明确规定和区分了在收集与处理数据时针对个人数据需征得数据主体的“无争议同意”与针对敏感数据需征得数据主体的“明示同意”两种不同的“同意”类型，虽然GDPR条文中希望用 “无争议同意”与“明示同意”的区分来作为保护个人数据的重要手段，但目前这种区分能否达到预期保护效果仍然处于争议期。由此本文将着力针对这一点展开深入的分析，以明确GDPR做出这一区分的法律意义及局限性，并希望在此基础上对我国个人数据保护提出建设性意见。

一、数据主体、个人数据、敏感数据与非敏感数据

数据保护有广义与狭义之分。从广义上看，所谓的数据保护主要涉及数据概念本身，不仅包括“有主”数据的保护，也包括“无主”数据的保护。此外，广义的数据保护概念还涉及数据保护的技术手段，如加密的储存设备与加密的区块链等。但就狭义而言，数据保护直接涉及与数据相关的数据主体的个人数据隐私方面的问题，表明数据主体的个人数据隐私需要得到专门性保护。正是从数据保护的狭义性出发，人们必须充分关注数据主体对于与其相关的数据的收集、使用、处理与公开等方面的意见表达(即同意或反对)，这是体现对有关数据主体个人数据隐私加以保护的重要举措。作为欧盟新颁的数据保护法案，GDPR具有承上启下的重要作用，它不仅明确了数据主体的界定，还规定了个人数据与敏感数据的区分标准，使数据主体、个人数据与敏感数据等在法律适用中更加清晰化，进一步加强了数据保护的法律确权性。

(一)数据主体及其权利规定

数据主体的界定是解决个人数据保护问题的理论基础，涉及保护“谁”的个人数据。根据GDPR第四条第1款的规定，个人数据的定义在更大程度上已与数据主体之间存在等同关系，即所谓 “个人数据”意指涉及一个身份已识别或可识别的自然人——即“数据主体”的所有信息[1]P33。同时该条款表明数据主体有权在其“身份已识别的或可识别的所有信息”受到侵害时寻求法律保护，而这就是所谓的个人数据保护权。[2]P81

1995年颁布的《欧盟数据保护指令》【Data Protection Directive (简称DPD)】[3]P12在帮助个人意识到隐私保护重要性方面起到了推进作用。但值得注意的是，从DPD到GDPR，“数据主体”这一衍生概念频繁性地被适用于欧盟数据保护的法规中，其作用在于肯定数据主体作为信息载体也被赋予了权利特征。数据主体的权利通常是指一种被动的权利，是以“防止他人非法使用其个人数据”为核心内容的。根据GDPR的规定，数据主体的权利是限制第三方侵犯版权或阻止第三方窃取个人数据的权利。这种数据保护的权利设定是假设有第三方可能在“监督”或“窃取”数据主体的个人数据，同时这种假设的前提是认为只有当个人在数据保护方面受到侵害时，他们才会对自己原本并不关注的个人数据给予更多的重视。由此不难推出，数据主体的权利在知识产权保护领域的活跃程度是不如专利保护权或者商标保护权的。[4]P185在互联网技术快速发展的今天，个人一般无法“洞悉”自己每一条信息的走向，大多数人正在默示同意的情况下生活在个人数据日益透明化的环境中。但是，由于个人数据直接关系到个人隐私，因此，个人数据的保护就提到了重要的议事日程上来。根据现行法律，数据隐私通常只受到责任规则的保护[5]，由于数据隐私直接与数据主体相联，仅仅依靠责任规则是远远不够的。如果没有严格的法律规定，在线服务商显然不会以负责任的态度主动地关注与数据隐私相关的数据主体的权利问题，因为数据主体的这种权利在很大程度上是与在线服务商无涉的。GDPR主要赋予了数据主体七项数据权利，包括知情权、访问权、修正权、删除权(被遗忘权)和限制处理权(反对权)、可携带权和拒绝权，[1]P1-32都是专门针对数据的控制者与处理者而提出。由此可见，GDPR对数据主体概念提供了明确的法律规定，确定了数据主体的权利基础以及权利边界，并对数据控制者与处理者进行了严格的的权利划定，从而使数据主体的权利得到了法律上的优先肯定。这在一定程度上揭示了只有在获得数据主体授权后方可对数据加以收集与处理的重要隐含条件。

(二)个人数据的定义与“身份识别”问题

GDPR第四条第1款对个人数据做出的定义是相当全面和广泛的。从理论层面上说，这是在数据保护法中从个人数据与数据主体的关系出发界定个人数据概念，所表明的是，只有那些具有身份识别功能或可能具有身份识别功能的个人信息才能被称为个人数据。但从法律实践层面上看，对个人信息是否具有身份识别功能的判定是极其困难的，这表明个人数据认定的操作性极弱。一个人可以通过任何直接或间接方法被识别出来，他的网络足迹或者发布的图片都可以作为被识别的线索，信息的排列组合可以帮助人们通过“姓名”或不通过“姓名”而识别出一个人的真实身份。所以在具体适用和解读个人数据时，个人信息的身份识别功能是作为核心内容加以考虑的。就常识而言，“姓名”是识别一个人的最直接、简单的方式，所以，许多人为了防止被识别出来，可能使用假名来隐藏他们在互联网上的信息。笔名是网站上隐藏身份的一种方法，它有助于网上用户降低被第三方识别的风险。在社交网络平台上，即使是个人使用假名，亲戚或朋友也可以从张贴的文章和在网站上写的语言中识别出个人身份。从这个层次上看，识别一个人是很容易的，也是很清楚的。在亚马逊或eBay中，有些客户会使用假名来保护他们在网站上的交易记录。事实上，当购买者在网上挑选货品时，其身份不仅仅是与真名联系在一起的，还有电话号码、家庭地址和IP地址等都可能会与个人身份之间建立链接关系。因此，网络消费的记录在某种程度上可能会给第三方识别个人身份提供更为直接的线索，即使消费者使用虚假的名字和地址来隐藏自己的身份信息。

个人数据的实际定义是指“身份识别”，意味着个人数据应当能够具有对个人进行身份识别的功能。个人数据是由许多要素组成的，其中包括可以允许其他人识别信息所有权人的要素，这是个人数据的重要内容。在杜兰特与金融服务管理局(FSA)的纠纷案中，杜兰特提出了一个主题访问请求，以获取金融服务管理局持有的有关他的个人数据。杜兰特的论点是，英国数据保护法与欧盟DPD有关个人数据的定义都暗示了“个人数据”是宽泛和包容性定义，其中一个定义涵盖了以杜兰特名义进行的与杜兰特有关的搜索所检索到的任何信息。尽管上诉法院承认杜兰特的论点，但是根据DPD第2条中个人数据的定义，它得出的结论是，该定义没有杜兰特所假设的那么广泛。[6]P320确切地说，个人数据概念仅仅意味着一个人的具有身份识别功能的信息或者具有身份提示性的信息。例如，“Emma Watson”不是一种个人数据，因为任何人都可以按照个人喜好被命名为Emma或Watson。当“Emma Watson”同与之相关的其他可供识别的信息同时出现时，这个名字才会成为个人数据的一部分，并且足以证明一个人的身份。

(三)敏感数据与非敏感数据

在GDPR的规定中，“同意”必须是“自愿给出、特定、知情与无争议的”。同时数据主体的授权也有级别区分。其中，“无争议的”同意是最低级别，是基本的同意要求，“明示的”同意则是最高的同意标准。GDPR一方面选择将无争议的同意作为基本要求，另一方面则主张这种同意需要通过 “一个明晰肯定的行为或陈述”来进行表达。GDPR司法解释第32条规定，数据主体明示同意的肯定性行为包括，在网上的勾选框里勾选同意，“选择某个信息服务技术”或 “另一个陈述或操作” 等，它们均清楚地表明了对数据处理的“同意”意向。但如果行为人直接采取 “默示、将勾选框空置或不做出反应的行动”，则会被推定为不同意。[1]P6

在GDPR中“同意”是转移个人数据的法律依据，但“同意”的内涵相对于DPD来说已经明显缩小。DPD允许数据控制者在隐性的和“退出性”的同意基础上进行个人数据转移，但GDPR则要求数据主体通过“明晰肯定的行为或陈述”进行单一授权的意见规制。虽然GDPR保留了DPD对于处理“特殊类别的个人数据”需要给出“明示的同意”要求，但它扩展了与这些特殊类别相关的内容范围。在GDPR出台之前，法律意义上的“同意”很少与区分敏感数据和非敏感数据相联，而且针对数据主体的同意所强调的是无争议性同意，即在同意的意向性上必须是无争议的。GDPR第六条规定，如果数据是常规的、非敏感的，无争议同意就是必需的。敏感数据在第九条第一款中列举出来，它需要的是明示同意。[1]P36-38敏感数据涉及到个人信息，包括身体或心理健康情况、伦理观或种族信息等等。换言之，敏感数据是能够进行个人身份识别的，这也是它与非敏感数据之间最为根本性的区别。根据DPD的规定，匿名处理是处理个人数据的重要原则，但是，匿名处理是难以与互联网技术的快速发展相适应的。[7]P25在互联网技术快速发展的今天，去匿名化已经成为很多在线服务商处理数据时更倾向的选择，因为对于企业来说，能够收集与处理具有用户身份指向性的数据，对于后续精准投放广告、发送个性化推送都是极为有利的。所以，GDPR针对敏感数据提出“明示同意”的较高标准有现实操作的必要性。

二、个人数据保护法律意义上的“同意”

GDPR从界定数据主体入手到严格区别个人数据与敏感数据，最终使得有关同意的规定得到细分处理，即明确规定，个人数据需要获得数据主体的“无争议同意”，敏感数据则需要获得数据主体的“明示同意”[1]P6。笔者认为，对于同意等级的区分，一方面表明了对于数据主体信息自决权的重要尊重，另一方面也表明了数据主体的信息自决权是GDPR中的个人数据法律保护意义上的“同意”的基础权利来源。在此，可以从信息自决权利视角来深入解读这种区分的意义以及可能存在的限制性。

(一)GDPR关于“同意”的细分

GDPR第四条针对“同意”的意见表达给出了四个限定词：自愿给出的、特定的、知情的、无争议的，同时GDPR第32条司法解释中还做出了反向说明，即“默示、将勾选框空置或不做出反应行动，都不能构成为同意”[1]P33。无争议同意是由无争议的行为产生出来的同意，它应该是具体的和表达性的。但是，笔者认为，因为“同意”行为与意向的给出具有时效性以及层次性，当下点击同意并不代表用户将自己的信息完全授予在线用户平台，允许其对自己的个人数据进行毫无保留的二次加工。很多人认为网络世界是他们隐藏自己真实生活世界的面具，比如在Instagram(照片墙)的网络平台上发布的照片或者旅游标记，只是单纯的分享行为。在现阶段，无争议行为在用户与在线用户平台之间还未形成一致的认定标准，这导致实践中常常很难对其进行判定。所以，在对于无争议同意的具体操作上还需要对在线服务商与用户之间进行特殊的法律规制。

根据欧盟“第29条”工作组的规定，“无争议同意”应包括“明示同意”。与需要通过肯定性行为做出“无争议同意”相比，“明示同意”显然需要更多的条件，其要求更加严格。这种差别可能导致不同的策略、不同的产品和不同的服务。[8]P31GDPR强调对于特殊类别的个人数据必须出于特定目的而对处理给予“明示同意”，但却没有给出有关“明示同意”的确切定义。在DPD中，“明示同意”对于所有类别的个人数据都是必不可少。同样地，《欧盟电子隐私指令》要求直接面对市场的非请求权沟通必须经过“事先明示同意”。[9]P1由于缺乏清晰的法律规制层面的行为判定标准，“明示同意”在法律判定时容易与“无争议同意”产生不同的争讼结果。从文义解释上看，无争议同意被认为是明确的同意，与之相反的默示同意则被推断为不明确和模糊的。无争议同意在学理上与明示同意相近，并非是包含子集关系。在“无争议同意”场景中，数据主体的同意可以通过来自其他的声明或行为的暗示做出这一点是可能的。但在“明示同意”场景中，这种选择是不可用的，因为“明示同意”要求在线用户平台提供一个选择输入框。[10]P31-38针对“无争议同意”和“明示同意”的不同需求，可能会导致呈现给用户不同的界面选择以及用户需要对不同的界面采取的不同处理方式。然而，在用户最后的选择同意的环节很难将“明示同意”的特殊性与特殊类别的个人数据严格区分开来。

有人认为，选择输入框或声明性同意是“明示同意”的最低标准，但这些对“无争议同意”来说并非必要条件，因为无争议同意只需要明确告之的通知(即“通知原则”)和“肯定性行为”[10]P1。由于技术手段很难在数据处理前就明确判定某一特殊的个人数据是敏感的还是非敏感的，所以，大多数在线服务商都采用选择输入框或“I agree”(我同意)的声明模式，用来避免无效的法律授权。即使在线社交用户向社交网络平台提供了他们的信息，这也不能完全表明他们对于数据使用通知的接受可以被视为完全的无争议性的明示性同意。从某种角度来看，在线服务商在获得用户许可之前不得擅自使用用户的数据具有合理性。但该原则也会带来在线平台滥用合法性的法律风险，即在通过有效同意的授权之后对个人数据进行无合规性的二次加工。从“贝尔诉阿尔弗雷德·弗兰克斯和巴特利特有限公司”一案中可知，“得到严格使用的默许表明了共生的、知情的(即‘知道’原则)接受或支持，通过衡平法而将其视为‘赞同’(即同意)，否则将构成侵权”[11]P1。互联网环境的自然结构造成信息不对称，以及用户与服务商之间的不公平，数据主体无法评估使用同意条款中描述的数据的合法性与权力相称性。虽然GDPR对同意条款进行了层次的细分，但明示同意和无争议同意之间的区分在实际操作层面并无显著的差别。

(二)个人数据保护、信息自决与“同意”

知情同意条款是信息权利人对其个人信息支配权的体现，是一种具有独占性的支配权。个人信息自决属于私人生活自主决定权的范畴，其目的在于保护个人对其私人生活事务的自主决定。个人数据保护、信息自决与知情同意条款三者之间存在着不可分割的内在联系。

1、信息自决与“同意”的关系。信息自决权在是指“个人依照法律控制自己的个人信息并决定是否被收集和利用的权利”[12]P125。实践中，信息自决原则在网站现实技术中的应用就是表现为“同意”，且此种“同意”涉及用户同意隐私政策以及用户乐于遵守规则协议。《欧盟基本权利宪章》第8(2)条规定，个人数据可以“根据当事人的同意或法律规定的其他合法依据”进行处理，由此可见，一旦当事人做出同意的意见表达，对于个人数据的处理就具有合法性。“同意请求必须以一种易于理解的形式提出，使用清晰明了的语言”[1]P34，这揭示了同意作为法律行为的授权必须具有知情、明确的功能要求。同意书向用户发出通知，其中的说明政策是明确的，个人应该知道并自行响应规则。承认信息自决权，就是承认数据主体的决策作用，承认数据主体拥有主张自己法律权利归属。从法律效力以及合规角度来看，勾选同意或者不同意是一个被认可的法律授权行为。当让数据主体勾选同意或者不同意的时候，或者隐私保护条款弹出时，这其实是公司或在线运营商向作为数据主体的用户发出了一个明示邀约合同，但在合同中如何规制在线运营商的权力则是目前面临的现实性问题。

2.信息自决与数据财产权的关系。每个个体都有“隐私保护的渴望”,人们希望隐私权能够在立法框架内得到严格保护，减少个人隐私暴露于第三方的可能性。人们不太可能与陌生人接触或不愿意与之分享隐私，这是常识。在占有性的个人主义语境下，信息自决在私人财产和市场法律中被认为是评估个人数据价值的最有效的方式。[13]P110信息自决权可以暗示着财产权或个人对其个人数据的权利，在此种情况下，个人数据具有个人财产的意义。“同意”的效力类似电子版的合同，而从“信息就是用户的数据”的角度来看，用户自身应该对自己的个人数据负责，不应仅依赖于数据保护法规的保护。所以，如何在市场与个人用户之间寻找平衡，则是立法者下一步需要落地的法律问题。个人数据被视为财产，这意味着数据主体就像处理个人财产一样有权处理其个人数据。他们有权让第三方处理或遗忘属于自己的个人信息数据，这是数据主体的权利。GDPR的法律确立基础包括三个要素，均是基于财产权的概念：第一，消费者被赋予对自己数据的明确权利；第二，即使在数据被转移后，消费者仍然对这些数据具有“与之相伴”的权利，并可以约束第三方；第三，消费者可通过以“财产规则”为基础的救济方式得到保护。[14]P513对于普通财产而言，其重要特征是归属权，该财产将禁止第三方使用，权利人将有权对其进行处理。在本法律语境下，个人数据等同于正常财产。但是，如果将个人数据完全等同于普遍财产，那么，个人数据就会像便携式财产那样在市场上自由转换，数据主体对于数据的控制权会因此受到削弱。[13]P115显然，这不利于个人数据的保护。

3.“同意”的意义及其局限性。基于信息自决原则视角可知，GDPR在同意问题上蕴含两方面意思。首先，它认为应该尊重隐私政策以及与用户之间的合同关系。如果有人表示“是的，我同意”，或者勾选一个未勾选的方框明示“我同意”，即表明他们已经通过一个肯定的选择行为表达了他们的同意意向。根据GDPR第4(11)条，当网站上的用户表示同意隐私政策时，用户与网站之间关于数据的合同开始生效。在正常情况下，任何默示或将勾选框空置都不能构成同意，这是监管机构保护用户利益的视角，因为在虚拟的网络世界中，用户大多处于一种弱势地位，他们无法探究网络背后的真实情况，所以，运用具有信息自主权意义的同意条款来保护用户是具有合理性的。同意性声明有时可能会表明“数据主体接受对个人数据的拟议处理”。比如，一个人把车停在停车场，并把电话号码留给工作人员，以便停车场工作人员在泊车成功后可以直接拨打他的电话。[15]P1虽然没有在选择框中选择“是”或“否”，但这可被视为客户和停车场服务之间的同意关系。其次，“同意”这种表达方式的设立并不能保证其所寻问的对象是真正的用户，所以，GDPR将儿童作为特殊群体加以单独考虑，具体设定了儿童个人数据保护的细则。考虑到用户可能未满规定的年龄，欧盟“第29条”工作组明确规定，儿童的同意是无效的，因为他们并不能理解同意条款带来的实际意义。在儿童用户的父母与苹果公司的争讼案件中，孩子们花费了超过一千美元在App Store的应用程序购买游戏道具，最后判决苹果公司退还了父母近2000万英镑的损失。[16]P34从关于儿童这一特殊群体的案例可以发现，信息自决的应用需要合理的监管，否则将会对青少年特别是儿童造成不利影响。

总体上说，信息自决原则是确定数据主体作用的重要保证，针对数据主体的同意条款的制定是实现信息自决的关键性因素。但是，针对数据主体在信息自决中的作用是否重要这一点曾经发生过激烈的讨论。[17]P33古普斯认为，“同意”的神话太过理想，不适合复杂的网络环境。[18]P250应当说，个人可以行使信息自决权，从而给予或拒绝同意某些形式的数据处理，这是体现信息自决权的一种方式，但不是唯一的方式。网络用户在网页上以“同意”的形式签署合同，从而使他人获得监管网络用户的权利和责任。特别是在私人和商业环境中，个人对数据处理表示同意通常被认为是数据处理的主要法律依据。然而，“同意”在很大程度上是理论上的，并没有实际性意义。人们普遍认识到在互联网服务中，大多数人只是在不阅读或不理解隐私声明的情况下勾选同意框，或者服务提供商有时会假设网站访问者会奇迹般地获知隐私声明，并仅通过访问网站从而自动给予同意。也就是说，在现实生活当中大多数人是认同“同意”作为网上合理处理数据的前提方式的。

三、“同意就是同意”的合理性与局限性

GDPR明确提出了个人数据需要得到无争议的同意与敏感数据需要得到明示的同意这一区分，但针对这一点，在线服务商却提出了他们的质疑。在他们看来，“同意就是同意”，无争议同意与明示同意这种区分只会将同意规则复杂化并难以操作，对此，我们应客观地加以分析。

(一)“同意就是同意”的合理性

由于无法实施传统意义上的那种面对面式的问卷调查，显然在线服务商难以从数据主体的在线同意中分辨出哪些是“无争议的”同意，哪些是“明示的”同意，这也是在线服务商提出 “同意就是同意”这一观点之所以具有合理性的重要原因。对于在线服务商来说，能够于在线服务中征求用户的同意已经是对数据主体的个人数据隐私权的尊重了，不应该再额外地施加类似无争议同意与明示同意的高门槛。大多数消费者并没有意识到同意方式的重要性，网络服务意味着便捷的信息来源以及可信的数据服务提供商。即使屏幕上出现明显的勾选框，用户潜意识的选择是通过单击表示同意，而不是仔细阅读和思考其中的内容。此外，在Google寻求撤销Gmail隐私权诉讼的案例中[19]P1，虽然用户知道一些隐私政策已经侵犯了隐私信息，但他们更需要Google提供的互联网服务以及信息的搜索。由于Google设定“每个用户必须接受应该自动处理的电子邮件”的要求，所以，用户通常倾向于在互联网服务中扮演被动角色。也正是基于上述情况，在线服务商主张的“同意就是同意”就具有其合理性。这种合理性的主要原因在于从网络使用的角度来看消费者自身并没有针对同意加以细分的需求，他们只拥有网络的使用权。

(二)“同意就是同意”的局限性

格特沃斯指出，在信息不对称的、非法的处理可以通过有问题的同意条款而得以合法化的情况下，用户给出同意的合理性就是应当深受质疑的，因为给出同意的重要前提应当是信息对称与信息公平。[20]P100由此可见，有效同意的意见表达是需要以信息的对称性与公平性作为前提的，否则这种意见表达的合法性就值得怀疑。由于在处理“同意”的问题上在线服务商与用户之间存在着实质性的信息不对称与不公平，所以在线服务商主张“同意就是同意”这一点是有其局限性的。

首先，重大的信息不公平存在于选择输入框的处理中，而且在当前的个人隐私政策下，为个人信息披露寻求法律救济显得十分困难，因此，对于作为数据主体的用户来说，在线服务商在信息不对称与不公平的关系中具有绝对的主动权。在这种情况下，倘若在线服务商主张“同意就是同意”这一点得到合法化，就是对作为数据主体的用户的信息自决权的削弱乃至剥夺。本质上，数据主体勾选同意框就如同签订合同一样与网站之间达成协议，用户们大多只想使用网站上带来的资源，个人隐私并非他们首要考虑的因素。如果没有法律说明，个人极少有可能甚至完全不知个人信息暴露给公司的过程。商人们总是设置一些看似“明示的”、“知情的”政策条款，要求个人签署同意来符合法律对公司规章的要求。而大部分同意条款鉴于其法律的专业性，仅通过个人理解力去解读，是存在一定困难的。例如按照普通语言中心的分析，Google的隐私政策被认为是最好的，它需要花费35分钟的时间才能详细阅读完毕。[21]P12001年，一项由隐私领导权倡议组织开展的调查研究结果显示，只有3%的消费者认真阅读隐私政策，64%的消费者短暂浏览或从未阅读隐私政策条款。[22]P12隐私政策条款中涉及到收集私人数据的专业术语，对于没有IT背景的消费者而言，很难理解其背后的机制运行。正如普通语言中心的专家在报告中所写的那样，“消费者不太可能阅读或理解隐私政策没有提供的保护”。GDPR在征求了在线服务商的意见后仍坚持立场，为个人数据与敏感数据的界定及其之间的区分设置了严格的法律标准。可见，GDPR的立法者已尝试从源头出发制止在线服务商的数据信息侵权行为，使得评判“同意”的标准明确化，致使在线服务商希望提供单一性的同意条款而不进行明示同意条款与无争议同意条款之间区分的幻想落空。

其次，个人数据与敏感数据之间存在细分上的标准差异。如果在线服务商没有对个人数据提供无争议同意条款以及对敏感数据提供明示同意条款，只是提供单一性、无选择标准的同意条款，个人数据与敏感数据之间的区分性保护就难以实现。在GDPR的规定中，在线服务商需要向数据主体提供不同的同意条款，他们同时还应对自身是否已经在区分这些不同的同意条款中涉及侵权问题做出判断。GDPR已经明确地将实际操作中的问题留给了在线服务商，并非停留在给予用户在在线服务商提供的同意格式表格中所做出的选择之中。在线服务商作为用户数据的占有者与使用者，他们在法律规制上须先发挥数据保护者的功能与作用；在数据的使用问题上，网络用户永远是被动的接受者。GDPR主要关注和保护作为数据主体的网络用户，并非在线服务商。从用户的在线个人数据保护的角度来看，这是一种正确的选择。虽然数据主体在同意的意见表达上是主动的，但从数据使用的角度来看，数据主体是完全被动的，在线服务商作为数据使用方是主导者。笔者认为,GDPR的同意条款的细分设置充分考虑了后续数据处理者(包括在线服务商)需要承受的法律责任规制。

第三，对在线服务商而言，关于“明示同意”的一般要求会增加额外的开发成本和设计困难，基于成本考量，在线服务商通常是反对对同意进行细分。商业网站的所有权人可能更多关注的是网站的利润和收益，他们对单一性的同意条款更加附和，由此来帮助他们减轻责任与义务负担。目前越来越多的网站倾向于提供免费服务。[23]P2对于这些网站来说更重要的是建立一个访问平台，以获取用户的信息和个人数据。例如，Facebook完全依赖于大量的访问者，这些访问者很乐意通过互联网建立个人档案，以便与朋友、同学、同事分享兴趣和喜好。在某种程度上，人们愿意把权利交给数据控制者，然后交换使用平台的权利，所以，“同意”不仅仅是用户的自我管理，更重要的是，它也是对社交网站公司商业行为的一种约束。

最后，由于第三方能够通过跟踪cookie来追踪个人账户线索的绑定访问，所以，在数据收集与处理过程中能够获得数据主体的“明示同意”就显得尤为重要。目前，欧洲议会和理事会希望规范和限制网站中的一些活动，例如，一些网站拒绝向不接收第三方跟踪cookie的访问者开放权限，并且根据《欧盟电子隐私指令》在无提示的情况下无声地收集数据，而《欧盟电子隐私指令》明确规定跟踪cookie需要“明示同意”。欧盟“第29 条”工作组的规定中指出：“‘第三方’的概念仅仅通过查看浏览器的地址栏中显示的URL的结构来定义。”[8]P42-52由于社交网站总是要求用户授权给第三方网站，或者当用户点击同意时，它可以不受限制地登录到用户的社交网页上，所以，欧盟颁布的各种法规往往并没有得到实际的执行。当用户想要进入一个新网站(如Facebook、Twitter)时，该网站会要求用户将自己的个人信息与自己的私人域名连接在一起，借此，该网站就可以从用户的社交网页处理用户的所有信息并收集它们。这表明，用户是在被动地接受第三方的进入和处理数据，这也正是监管机构担忧的一方面。

总体说来，尽管“同意就是同意”原则在实践中更具可操作性，但它不利于在线服务商建立对消费者个人数据加以保护的意识。当数据控制者在没有获得使用具有身份识别性的敏感数据权限的情况下处理数据时，用户可以保留追究法律责任的权利。尽管“明示”同意和“无争议”同意的区分在某种意义上不是很清晰，但它对在线服务商的发展和尊重用户的隐私权却有很大的影响。

四、GDPR、“知情同意” 与在线服务商的责任承担

GDPR关于同意的细分关涉的是“知情同意”，更深入地说，它所带来的是“知情同意”法律体系的重大变革，是“知情同意”的升华。但是我们不能否认，欧盟GDPR在个人数据保护问题上，除了具有强化“知情同意”规则的积极意义，也具有需要人们关注其在权利与责任问题上没有厘清的局限性。

(一)GDPR与“知情同意”的体系变革

在最初的法律框架里(类似于DPD等)，只要用户已经完成了线上“知情同意”，在线服务商就等于完成了其法律责任。但也正是“知情同意”，使得在线服务商能够通过使用有关“知情同意”的自制合同，从而绕开其法律责任。例如，在谷歌在线APP儿童侵权案中，谷歌就利用了这种自愿原则。2014年9月美国联邦官员通告谷歌已经同意诉讼和解，向用户赔偿1900万美元，这些用户的小孩涉嫌被谷歌用欺骗的方式通过Android系统的APP商店进行产品购买与移动支付。美国执法机构强调这些购买是具有欺诈性的，并对儿童造成了特别的伤害。苹果公司同意在2013年1月支付3250万美元的赔偿。亚马逊在2014年7月说它将给出相同的赔付。[16]P1目前，GDPR规定在“知情同意”中也存在着分级同意问题，即个人数据需要“无争议的”同意，而敏感数据则需要“明示的”同意。自此，即使在线服务商已经完成了知情同意调查，它们还需要进一步完成针对个人数据的“无争议的”同意与针对敏感数据的“明示的”同意的调查。只有满足了上述两个前提，在线服务商才能够使用与处理数据主体的数据。

知情同意的设置行为表明，隐私权被视作一种基本的个人权利，且在此“知情同意”被视为一种在个人信息的合法使用或未经授权使用之间划分界限的特殊工具。数据保护是处于对收集的数据提供合规的保护。对于国家数据保护权威部门来说，“知情同意”是极为重要的。以欧洲为例，超过70%的人表示他们关心在线服务商是如何使用他们的数据，同时超过74%的人希望在他们的网上数据被收集或处理时，能够给出他们自己特别的有关同意的意见表达。[23]P124“知情同意”的道德合法性是建立在相信它会尊重个人自决权的基础上。[24]P1但如果“知情同意”合同是由在线服务商自己制定出来，数据主体将可能成为被动的一方，因此，在知情同意问题上，就存在着如何让一个数据主体由被动重新回到主动的问题。尽管“知情同意”对于在线服务商来说，是一把安全的降落伞，但在欧盟原有的法律框架内则会显得保障力度不够。GDPR基于现实要求应运而生，为“知情同意”提供了更有效的法律框架，维护了数据主体的信息自决权、自主权与主动权之间的紧密关系。此外，GDPR还通过强调针对个人数据要求实施“无争议”同意，让在线服务商必须建立更为完整的数据主体同意系统；而针对敏感数据则要求实施“明示”同意，将数据主体的“知情同意”由被动引向主动，从而有效地限制了在线服务商在知情同意上的主动性。

GDPR区分了明示同意与无争议同意两种不同的同意条款，这种区分标准还包含着两种“提醒”功能，以提醒在线服务商在收集、使用、处理与公开数据时注意到两个“数据陷阱”问题。第一种是，提醒在线服务商不可随意按照私利去收集、使用、处理与公开所有的数据，一旦它们收集、使用、处理与公开了未经数据主体同意的数据，则需负相应的法律责任。另一种是，它希望提醒在线服务商一定要注意严格按照数据的敏感程度进行同意条款区分。根据GDPR对个人数据与敏感数据的严格区分规制在线服务商必须使用不同的同意标准：针对个人数据，使用“无争议”同意标准；针对敏感数据，使用“明示”同意标准。如果在线服务商不能对此完成尽职调查的义务，则将对此承担相应的法律后果。GDPR主要依赖数据主体承担个人数据的保护风险，并在很大程度上需要数据主体详细理解、评估和管理与其数据以及其数据处理过程相关的风险。此外，基于风险的监管模型可以在GDPR中适用，一方面，在监管体制下，可将数据主体本身作为监管方参与风险管理；另一方面，GDPR的监管机构可建立一些抗风险的条款，以及高风险数据处理操作的通用标准对未知的风险进行安全预警，例如数据持有的记录、数据主体通知、数据保护影响评估和事前咨询。国家数据保护机构可以提供影响评估报告，并通过产出高风险处理过程的详细清单来选择和定义要优先考虑和评估的风险。[25]P506-540

(二)GDPR、权利主体与在线服务商的责任承担

法律关系主体，又称权利主体，即法律关系的参加者，是法律关系中权利的享有者和义务的承担者。享有权利的一方称为权利人，承担义务的一方称为义务人。[26]P173针对GDPR的规定，人们关注权利如何分配，以及责任如何主张。数据主体以及数据的控制者和处理者共同构成了个人数据保护权的法律关系主体，而这些权利主体的权利客体在个人数据保护权中即为“个人数据”。[27]P293而正因为在GDPR中数据主体以及数据的控制者和处理者共同构成了个人数据保护权的法律关系主体，可以将其视为一个法律共同体，这才导致了数据主体、数据的控制者与处理者的权利与责任无法厘清情况的出现。

数据主体是个人数据保护的唯一权利人，但因为GDPR积极主张数据的控制者与处理者在个人数据保护权中的参与性，导致在个人数据保护权中数据主体的权利人地位因此被弱化：他同时扮演自己的个人数据向数据控制者与处理者开放的义务人。在数据主体作为义务人的情况下，数据的控制者与处理者反过来会成为个人数据保护的权利人，数据主体的个人数据能否得到真正有效的保护是受制于数据的控制者与处理者，而不是受制于数据主体是否同意自己的个人数据受到收集、控制与处理。在这种情况下，数据主体的“知情同意”的意义被削弱，而数据控制者与处理者的权利人地位相反则得到大幅度地加强。例如，在线服务商之所以坚持 “同意就是同意”而不支持“明示同意”与“无争议同意”之分，就在于GDPR并没有在数据主体、数据的控制者与处理者三者的权利与责任的关系上进行细分，因而在线服务商作为数据的控制者与处理者已经分不清此时他们究竟是个人数据保护的义务人还是权利人，他们究竟应该站在数据主体作为权利人的角度而以义务人的身份去保护数据主体的个人数据，还是应该站在其自身是权利人的立场上通过控制、使用与处理个人数据而去保护个人数据。为了避免在线服务商逃避责任，GDPR需要对数据主体、数控的控制者与处理者进行权利与责任的分层处理。

实际上，权利主体与在线服务商存在着两个层次的权利与责任关系：第一个层次是指发生在个人数据的收集环节，此时数据主体是个人数据保护的权利人，数据的控制者与处理者则是个人数据保护的义务人。此时遵循的是知情同意规则，数据主体是能够享有明确表达他们的同意或不同意权利要求的权利人，数据的控制者与处理者则是必须制定这种同意表格的义务人；第二个层次则是发生在个人数据的控制与处理环节，此时遵循的是责任规制规则，需要诸如在线服务商之类的数据的控制者与处理者能够承担责任。在数据控制与处理环节，数据控制者与处理者既是责任人，又是权利人，他们是得到数据主体的数据控制与处理授权的权利人，而数据主体则是有着向他们提供数据义务的义务人。就此而论，现行法律通常强调的数据隐私保护的责任规则实际上主要出现在个人数据保护的第二个层次上，是对数据的控制者与处理者的责任权利要求。出于数据保护上适用责任规则的考虑，[27]可从GDPR中得到印证: 数据处理者应该直接承担罚款和数据主体索赔的责任，数据控制者负有连带责任，除非数据处理者或控制者能够证明对数据主体造成的损害不是他的责任，才可以免除责任。针对个人数据的保护，笔者认为，数据主体不仅拥有同意权，也存在将数据的控制权与处理权移交给其他控制者的责任与义务。因此，在数据控制与处理环节数据控制者与处理者可以不仅是被动的义务人，同时亦是主动的权利人。在后一种情况下，数据主体反而成为了数据提供的义务人。当数据主体不愿担任数据提供义务人的角色时，这个环节将会无法成立，因为这个环节的核心内容是数据本身。

五、GDPR与我国个人数据保护同意规则的修正与完善

GDPR作为继欧盟的DPD以来有突破性的关于个人数据保护的法案，其创新之处在于将同意细分作为对个人数据的无争议同意和对敏感数据的明示同意，进一步加强了人们对个人数据保护过程中数据主体的信息自决权与知情同意权的重要认知。可以预见，当GDPR着力改进有关“同意”的形式和方法时，会给作为数据主体的网络用户施加繁琐的程序压力：因为网络用户在很大程度上没有能力评估其数据使用的合法性和相称性，他们不能享有拒绝非法性和不相称性的整体自主权。由于同意条款有时将可能成为在线服务商收集与处理数据责任的转移工具，这样一来可能会背离保护数据主体个人数据的初衷。从数据主体、数据的控制者与处理者之间的关系来看，数据主体的知情同意规则是个人数据收集环节的重要原则。在数据的控制与处理环节上，知情同意规则需要进一步加入诸如在线服务商之类的数据的控制者与处理者的责任承担内容。总而言之，最终在个人数据保护问题上需要做到，数据主体的同意规则与诸如在线服务商之类的数据的控制者与处理者的责任承担规则的一体化发展。

目前，我国已经在个人信息保护法(草案)的立法思路中效仿了欧盟国家的实践，实施并落实严格的同意规则，尤其是针对高频率处理数据的互联网企业，均需进行数据合规审查以及同意规制。我国关于“同意规则”的合规存在三大特点: 第一，数据主体的同意是个人数据处理的重要且唯一的合法性基础;第二， 对于个人数据处理行为的同意是一次性授权; 第三，对于个人数据不区分场景、类别、处理环节均要求适用“同意规则”。我国相关司法实践亦严格遵守同意规则，数据处理行为是否获得了数据主体的同意已经构成为该行为是否合法的重要评判标准。[27]从前面的大量分析可以看出，个人数据保护仅仅依靠同意规则远远满足不了现实需求。在此，笔者提出三个路径，以期对我国个人数据保护的同意规则的修正与完善有所帮助。

首先，进一步明确数据主体作为个人数据权利主体的法律地位，最大限度地确保同意是由数据主体做出的并且是他们真实意图的表达。2017年在我国曾经出现了腾讯与华为围绕手机用户是否是数据主体的诉讼争议。[28]此案例揭示了针对个人数据保护不仅需要遵循同意规则，同时还需确保承认数据主体对个人数据拥有的权利，因为任何同意规则的实施都是围绕数据主体展开，如“数据主体”有关同意的意见表达问题；而且只有在数据主体的权利得到确认时，同意规则的实施以及所获得的数据主体有关同意的表达才可能是真实有效的。因此，GDPR明确强调数据主体在个人数据保护中的定位和意义，对于我国个人数据保护同意规则的完善具有一定的借鉴意义。

其次，虽然同意规则是个人数据收集与处理的重要前提，但其并非是个人数据收集与处理的唯一的合法性基础。因为在数据主体的同意之外，亦可将企业的责任担当、数据主体的重大利益、合同履行利益、社会公共利益等也纳入个人数据收集与处理合法性基础范围内加以考察，这也将打破同意条款可能成为企业(如在线服务商)收集与处理数据的责任转移工具的法律怪圈。百度公司董事长兼首席执行官李彦宏曾经指出，“中国的消费者在隐私保护的前提下，很多时候是愿意以一定的个人数据授权使用，去换取更加便捷的服务”[29]。在现实应用场景中，消费者在下载相关的app 软件后，允许在线服务商共享其信息数据，有利于数据的流通，但同时也可能使相关信息数据的传输、共享、利用脱离信息权利人的控制。[13]由此可见，当数据主体阐明其同意后，用户就可能丧失对自己数据收集与处理的支配权。个人数据的收集与处理在取得数据主体的同意之外，还应该加入其它的考量因素，其中企业的责任担当显得格外重要，因为它可以防止数据控制者与处理者将已经获得数据主体的同意作为在个人数据的处理与使用上滥权的借口，进而逃避相应的法律义务与责任。

最后，明确同意规则的区分适用，具体包括:区分同意规则在身份已经识别与身份可能识别的个人数据中的适用、一般性与敏感性的个人数据中的适用、敏感性与非敏感性的个人数据中的适用。同意细分的明确化可以进一步加强人们对无争议同意在个人数据中的适用以及明示同意在敏感数据中的适用的认知。今后我国在对同意规则进行设计时，可以在区分身份已经识别与身份可能识别的个人数据的基础上，进行更具指向性的个人数据保护。目前，我国对于以上两种个人数据采用的是同等保护模式，在同意规则上亦是如此。此外，我国在同意规则的设计上可以在区分个人敏感数据与一般数据的基础上，通过强化对前者的保护和强化对后者的利用，调和个人数据保护与利用的需求冲突，实现利益平衡[30]。针对敏感性与非敏感性数据的区分可以看到，应当通过区分无争议同意与明示同意来强化数据主体对于敏感性数据的自觉保护意识，不能让法律上对敏感性数据的保护缺位。过去有学者认为“个人信息保护法中不宜采用敏感个人信息概念”[31]P79，显然这会造成法律上对敏感性数据保护缺位的风险。

总之，GDPR明确区分明示同意与无争议同意能够在个人数据保护中起到良好的规范作用，但在实践中，在线服务商反对区分“明示同意”与“无争议同意”。虽然在线服务商的“同意就是同意”立场具有一定的合理性，反映了互联网上真正实现同意细分的操作性难度，但这并不能成为在线服务商逃避法律责任的一个借口。随着互联网的迅猛发展，有必要进一步合理规制在线服务商的责任问题，以及细化个人隐私保护条例，以达到个人数据的有效保护。GDPR细化同意规则是积极促进个人数据保护的重要尝试，这对我国在个人数据保护法案中改进同意规则具有一定的借鉴意义。