王黎黎

（大连海洋大学，辽宁 大连 116023）

2021年11月10日，英国最高法院就劳埃德诉谷歌案（Lloyd v Google LLC〔2021〕UKSC 50）作出判决，该判决被认为是近年来最令人期待的判决之一，因为它在某种程度上将对数据隐私领域的诉讼产生重大的影响。英国法院将重点聚焦在代表授权及损害赔偿，然而本案更能代表的是在个人信息保护中知情同意规则的法律适用之检视。

一、劳埃德诉谷歌案的案情及理论焦点

关于劳埃德（Richard Lloyd）先生（以下简称劳埃德）诉谷歌公司（Google LLC）（以下简称谷歌）一案，最初伦敦高等法院阻止了对谷歌提起上诉的企图，但上诉法院维持了这一决定。谷歌随后对这一决定提出上诉，此案由此升级到英国最高法院，并最终作出裁判。

（一）劳埃德诉谷歌案的案件事实［1］

劳埃德在商业诉讼出资人Therium诉讼资金IC的财务支持下，向谷歌提出索赔，指控其违反了《1998年数据保护法》第4（4）条规定的数据控制者职责。该指控称，在2011年末和2012年初的几个月里，谷歌秘密跟踪了数百万苹果用户的互联网活动，并在未经用户知情或同意的情况下将以这种方式收集的数据用于商业目的。

这一违法事件发生在2011年8月9日至2012年2月15日之间，谷歌涉嫌使用所谓的“Safari解决方案”绕过苹果的隐私设置。谷歌有一个名为“双击广告Cookie”的Cookie，可以作为第三方Cookie运行。如果用户访问了包含双击广告内容的网站，则会将其放置在设备上。双击广告Cookie使谷歌能够识别该设备对任何显示其广域网广告的网站的访问网络广告和收集相当数量的信息。它可以告诉用户访问某个网站的日期和时间、用户在那里停留的时间、访问哪些页面的时间以及浏览哪些广告的时间。在某些情况下，通过浏览器的IP地址，可以识别用户的大致地理位置。

尽管Safari的默认设置阻止了所有第三方Cookie，但这些设置的全面应用将阻止使用某些流行的web功能，所以苹果公司设计了一些例外。这些例外情况一直存在，直到2012年3月系统发生变化。但与此同时，例外情况使得谷歌有可能设计和实施Safari解决方案。其效果是，每当用户访问包含双击广告内容的网站时，在用户不知情或不同意的情况下，立即将双击广告Cookie放在苹果设备上。

通过这种方式，谷歌不仅能够收集或推断与用户上网习惯和地点有关的信息，而且还能够收集或推断与其兴趣和消遣、种族或民族、社会阶级、政治或宗教信仰或从属关系、健康、性兴趣、年龄、性别和财政状况。此外，据说谷歌聚合浏览器从显示类似模式的用户那里生成信息，创建了“足球爱好者”或“时事爱好者”等标签组。谷歌的双击服务随后向订阅广告的广告商提供这些群组标签，供他们在选择广告目标人群时选择。

据此劳埃德认为在上述时间内所有苹果用户都受到了损失，其能够作为所有用户的代表要求谷歌进行金钱赔偿。

（二）劳埃德诉谷歌案的裁判结果及依据

本案法官最终裁决支持谷歌，认为劳埃德因为谷歌“未经同意”的网络跟踪行为而代表众多苹果用户要求赔偿的行为不能够被支持。法官的主要理由有如下几点：

第一，关于“损害”，法官没有支持“数据失控”这一概念，即每一个受重大数据泄露影响的数据主体都有权因其个人数据的“失控”而获得赔偿。相反，法院确认，只有在数据主体遭受某种形式的物质损害，即有形的财务损失，或遭受痛苦的情况下，才能对因违反《1998年数据保护法》的行为作出赔偿。

第二，关于在代表诉讼中要求损害赔偿的问题，法官认为针对谷歌提出的索赔作为代表性的损害赔偿诉讼是不可行的。劳埃德试图通过本案上诉法院在《民事诉讼规则》第19.6条中描述为“代表程序的不同寻常和创新使用”［2］来克服这一困难，并在诉讼中主张能够代表数百万用户中的每一个的做法是不被允许的。①劳埃德承认，如果必须对每个用户可获得的赔偿进行单独评估，他不能使用此程序代表其他苹果用户索赔。但他认为，这种个别评估是不必要的。他辩称，作为一个法律问题，可以根据《1998年数据保护法》对个人数据“失去控制”给予赔偿，而无需证明索赔人因违规而遭受任何经济损失或精神痛苦。劳埃德进一步辩称，对于数据保护权利受到侵犯的每个人，可以适当地判给“统一金额”的损害赔偿，而无需调查其个案的任何特定情况。每人可获得的损害赔偿金额将是一个争议的问题，但索赔信中提出了750英镑的数字。乘以劳埃德先生声称代表的人数，将产生约30亿英镑的赔偿金。如果他为了代表遭受相同损失的每一成员提出代表诉讼，劳埃德必须证明，这些人中的每一个人的权利都遭受了侵犯，并因此受到损害。

第三，在法律适用上，最高院适用的是《1998年数据保护法》，而非英国GDPR《通用数据保护条例》（General Data Protection Regulation），后者与《2018年数据保护法》一起取代了《1998年数据保护法》。①法官在论述中提及《GDPR》（《通用数据保护条例》，General Data Protection Regulation）第82（1）条规定，“因违反本条例而遭受物质或非物质损害”的人应有权获得损害赔偿。此外第85段指出：“如果不及时适当地解决个人数据泄露问题，可能会对自然人造成物理、物质或非物质损害，例如失去对其个人数据的控制或限制其权利、歧视、身份盗窃或欺诈、财务损失、未经授权的化名撤销、声誉受损受专业保密保护的个人数据的保密性或任何其他对有关自然人造成重大经济或社会不利影响”。但是法官认为尽管GDPR的语言与1998年法案存在相似之处，即它区分了造成损害的行为和损害本身。但GDPR指的是“侵权”而不是“违反”；此外尽管序言第85条提到了失控，但并不认为所有侵权行为都会导致失控。

第13（1）条规定：“因数据控制员违反本法案任何要求而遭受损害的个人有权从数据控制员处获得损害赔偿”。（DPA1998）

第13（2）条规定：“因数据控制员违反本法案任何要求而遭受痛苦的个人有权从数据控制员处获得该痛苦的赔偿，前提是：（a）该个人也因违反本法案而遭受损害……”（DPA1998）②关于法律适用，法官认为劳埃德对第13条的适用是存在错误的，第一，数据主体寻求恢复的损害必须是由于数据控制者的违反而遭受的。这清楚地表明“违反”不同于“违约”，将两者混为一谈不符合法定语言。第二点是，第13（2）条提到了数据控制者违反的两种后果，即损害和痛苦。根据最初的法定措辞，后者只有在前者也可以成立的情况下才可获得赔偿。因此，法官Leggatt认为，第13（2）条中提及的损害，以及引申为第13（1）条，在逻辑上必须意味着物质损害，如金钱损失。

第四，法院认为本案与以往的诉讼不同。2012年8月，谷歌同意支付2250万美元的民事罚款，以解决美国联邦贸易委员会提出的指控。2013年11月，谷歌同意支付1700万美元，以解决在美国针对其提起的基于消费者的诉讼。在英格兰和威尔士，2013年6月，三名个人起诉谷歌，根据《1998年数据保护法》和普通法提出同样的指控并要求赔偿滥用私人信息。［3］在司法管辖权纠纷之后，他们的索赔在谷歌提供辩护之前得到解决。此次诉讼的创新之处在于，劳埃德并不像三位索赔人那样，仅凭自己的权利要求损害赔偿。他声称代表英格兰和威尔士的所有居民，他们在相关时间拥有一部苹果手机，其数据是谷歌未经他们同意而获得的，并有权代表所有这些人追讨损失。

（三）劳埃德诉谷歌案中关于知情同意规则的理论焦点

谷歌在劳埃德诉谷歌案中的行为侵犯了苹果用户的个人信息权益，并且违反了个人信息保护中关于知情同意规则的要求。

最高院认可对谷歌违反义务的指控。大法官Reed认为谷歌在数月内秘密跟踪数百万苹果用户的互联网活动，并将获得的数据用于商业目的的行为本身是违反法律要求的。

在判决的第21段中，最高院认为谷歌在本案中没有遵守这一要求：从数据主体处获得的信息没有被公平处理，除非数据控制员告知数据主体处理数据的目的——据说谷歌在本案中没有遵守这一要求。

在判决第22段中强调谷歌在本案中涉及到的处理数据行为没有遵守数据保护原则，即数据所有人已经同意谷歌处理数据。谷歌处理的单独用户的数据没有进行告知并得到用户的同意，同时谷歌的行为不存在公共利益等责任豁免情形，并不能够证明其对数据的处理具有正当性。

本案法官在141段中强调，如果个人在本案中就谷歌滥用私人信息提出侵权索赔，那么自然会获得用户损害赔偿。Gulati案［4］的判决表明，可以对滥用私人信息本身给予损害赔偿，理由是，除了可能造成的任何实质性损害或痛苦外，这妨碍了索赔人行使其控制信息使用的权利。毫无疑问，一个人的互联网浏览历史信息是一项具有商业价值的资产。［5］

二、Cookie技术下网络浏览信息与知情同意规则之法律分析

谷歌一案涉及的核心是未经个人同意而利用Cookie技术获得的个人信息用于商业目的而引发的诉讼。根据维基百科的定义，Cookie是指小型文本文件，某些网站为了辨别用户身份而储存在用户本地终端（Client Side）上的数据（通常经过加密）。Cookie技术曾被认为是造成个人隐私侵害的原因之一。［6］结合本案中谷歌就是未经用户的“同意”，使用其存储于互联网用户硬盘上的网络信息，包括用户的浏览记录、访问的网页名称及其域名、访问时间及频率等信息。

（一）Cookie技术下网络浏览信息的法律属性界定

在谷歌案件中，法官Leggatt论述谷歌通过Cookie技术所收集的信息再利用以实现广告投放等获得了巨额的利润。这一犀利的点评也揭示了谷歌在世界范围内不断受到诉讼的根本原因之一，即没有遵守数据使用的原则获取数据并从中受益。谷歌系列被诉案件①谷歌公司在美国、德国、澳大利亚、英国以及欧盟都涉及到数据纠纷案件。表明Cookie技术下网络浏览信息兼具人格属性与财产属性。有学者界定“网络行为数据”是指网络服务提供者通过Cookies等互联网跟踪记录程序收集的反映用户个人在线行为活动的数据，包括用户的浏览记录、交易记录、检索记录等。［7］

关于Cookie技术下网络浏览信息的属性争论，源于我国号称为中国Cookie第一案的朱烨隐私权纠纷一案②参见江苏省南京市中级人民法院〔2014〕宁民终字第5028号，中国裁判文书网。，一审法院③参见江苏省南京市鼓楼区人民法院〔2013〕鼓民初字第3031号，中国裁判文书网。认为网络浏览信息属于私人的私有领域范畴，属于隐私权所保护的个人权益范围；然而二审法院在审理中认为，收集网上浏览信息，该信息的匿名化特征，不符合个人信息的“可识别性”要求，而对于信息推送问题，二审法院认为，推送信息的终端是浏览器，而不是具体个人④参见江苏省南京市中级人民法院〔2014〕宁民终字第5028号，中国裁判文书网。。因此Cookie技术下的网络浏览信息不属于个人隐私的范畴，其不构成对原告隐私权的侵害。

我国最高人民法院2017年颁布的《关于侵犯公民个人信息案件的解释》第1条，明确将“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”纳入个人信息范畴。随后我国颁布的《个人信息保护法》第四条中再次延伸了这一理念，规定个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。同时在第28条中规定了敏感个人信息，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息。通过上述法律规定，Cookie技术下网络浏览信息是以电子方式记录的与个人相关的各种信息，同时可以根据不同的内容对网络浏览信息进行分类保护。上述网络浏览信息中如果涉及到个人留在网站的信用卡及其密码等信息则属于敏感个人信息的范畴。

（二）Cookie技术下知情同意规则之担忧

在朱烨隐私权纠纷一案中，终审法院论述Cookie技术是在世界范围网络服务商所使用的一项技术，主要用于服务器与浏览器之间的信息交互，其基本原理是建立起用户浏览器与网站服务器之间的联系，当用户利用浏览器访问网站时，网站服务器就会自动发送一个Cookie信息存储于用户浏览器，服务器端对浏览器浏览的网页内容通过技术分析预测出浏览器一方的个性需求，再通过此种预测向浏览器端提供个性化推介服务①参见江苏省南京市中级人民法院〔2014〕宁民终字第5028号，中国裁判文书网。。Cookie技术下网络浏览信息本身属于个人信息的范畴，但是随着大数据时代的到来，各种网络上的个人信息与个人数据都成为数字时代的生产资料，相应的网络浏览信息本身的经济价值也在增高。互联网企业获取、收集网络浏览信息进行整合之后，可以实现对用户的精准广告投放，同时用户在一定程度上并不知情自己的个人信息被利用的事实。例如在法国诉谷歌案件中，两家欧洲非营利性隐私和数字权利组织相继向法国国家信息与自由委员会投诉称，谷歌在处理个人用户数据方面采用了“强制同意”政策，其收集的数据包含大量用户个人信息，这些信息还在用户不知情的情况下被用于商业广告用途。2021年4月谷歌在澳大利亚面临的诉讼也涉及到Cookie技术下的网页浏览信息，谷歌能够获取用户个人信息，并利用这些信息对营销策略进行优化。此外，还将这些信息分享给商家的合作伙伴，实现广告的个性化定制。［8］一般来说，Cookie获取权限需要获得用户同意，但不同国家针对该条款的规定不同。在相关案件中，谷歌就是突破用户同意，收集并再次利用该信息进行商业化广告投放应用。很早就有美国学者指出，由网站提示的Cookie相关条款并不能被网络使用者所理解，因此并没有提供充分的“知情同意”。［9］

因此，Cookie技术下网络浏览信息与知情同意规则的联系表现在两方面，一方面是互联网公司能够存储并利用网络浏览信息时所得到的“知情同意”；［10］另一方面是当互联网公司将这些网络浏览信息进行数据分析利用，再次进行如广告的精准投放利用时所涉及的“知情同意”，即互联网企业是否将其使用数据的目的及方式等明确地告知当事人并获得对方的同意。

三、Cookie技术下知情同意规则法律适用之困境

关于知情同意规则的适用，欧盟以及本案作出判决的英国和我国都有相应的案例，我国《个人信息保护法》对知情同意规则的适用也做出了相较于GDPR的更新，然而从目前相关的案例看，知情同意规则的适用仍然存在困境。

（一）Cookie技术下知情同意规则之真实同意

在劳埃德与谷歌一案中，法官并没有详细论证“知情同意规则”，只是支持原告认为被告谷歌没有或者用户同意的诉讼请求。

在法国诉谷歌案件中［11］，主要的焦点问题是谷歌将用户“同意”选项设定为“全局默认设置”，不符合监管机构所规定的“特定同意”要求。谷歌要求用户必须完全同意隐私政策中的服务条款和数据处理条款，而非区分各种不同目的来同意各项条款。此外CNIL（法国国家信息与自由委员会）还表示，谷歌目前用于征求安卓软件用户个人信息的弹出式窗口似乎暗含威胁意味：如果用户不接受这些条款，服务将无法提供。很显然，欧盟GDPR严格规定企业获取数据时应当遵守数据保护的首要原则，如数据主体通过书面声明的方式作出同意，且书面声明涉及其他事项，那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分，均不具约束力。但是谷歌依然选择预先勾选了广告个性化的显示框规避真实明确同意的要求。

同一时间，谷歌在澳大利亚的案件中［12］，更能够真实地反映真实同意的困境。在该案例中，用户无法自由选择，即用户在使用安卓设备时关于“位置历史记录”这一选项的默认设置为关闭，但是根据谷歌技术的要求，只要“网络和应用活动”的设置为“打开”状态，那么无论用户是否将“位置历史记录”关闭，谷歌都能够收集用户的这一信息。这一案件虽然并没有出现终审结果，但是它反映了知情同意规则的使用难点，那就是用户是否能够真实的同意，这种同意是否被真实的尊重？明明在设置上可以选择关闭，但是实质上依然处于被收集的状态，那么用户的同意有何意义？

（二）Cookie技术下知情同意规则之二次利用网络浏览信息

在上文提及的法国与谷歌一案中，谷歌未提供用户数据的便捷访问渠道，没有告知用户数据处理目的，数据存储时间或用于广告个性化的个人数据类别，同时对收集的信息进行利用，法院认为这一行为造成用户无法管理其个人信息的使用。

根据美国康奈尔大学学者的调查，自从欧盟GDPR生效以来，许多公司不得不调整数据处理流程、同意书和隐私政策，以符合GDPR的透明度要求。在文章中，作者通过分析GDPR对欧盟所有27个成员国流行网站的影响来监测这一事件。对于每个国家，我们定期检查其500个最受欢迎的网站（总共6 579个），了解其隐私政策的存在和更新。虽然许多网站已经有隐私政策，但我们发现，在一些国家，截至2018年5月25日，多达15.7%的网站增加了新的隐私政策，导致84.5%的网站都有隐私政策，其中72.6%的网址隐私政策更新日期接近。最明显的是，62.1%的欧洲网站现在显示Cookie同意通知，比2018年1月增加了16%。我们的分析表明，核心web安全机制会给根据GDPR规则实施许可带来问题，选择退出第三方Cookie需要第三方合作。作者在本文的最终结论是，GDPR正在使网络更加透明，但仍然缺乏功能性和可用性机制，无法让用户同意或拒绝在互联网上处理他们的个人数据。［13］

此外，在澳大利亚竞争和消费者诉谷歌案中［14］，相关行为经济学家认为关于用户对各种屏幕的反映是不真实的，不能确定用户对选项的勾选意味着同意对网络浏览信息的再次利用，也体现了在某种情况下知情同意规则适用的局限性。

在我国的Cookie案件中，就百度公司在隐私政策中的告知是否充分。一审法院认为①参见江苏省南京市鼓楼区人民法院〔2013〕鼓民初字第3031号，中国裁判文书网。，虽然百度公司在网页中有《使用百度前必读》，但位置处于网页最下端，且字体较小，不足以起到明示告知和选择同意的效力。二审法院则认为，因为百度公司在《使用百度前必读》已经明示了使用Cookie技术的方式、使用Cookie技术的后果，且提供了禁用Cookie的渠道，因此，视为百度公司已经明示告知，从而不构成侵权。②参见江苏省南京市中级人民法院〔2014〕宁民终字第5028号，中国裁判文书网。如果该案发生在《个人信息保护法》施行后，且原告所主张的是侵害个人信息权，那是否结果可能会不一样呢？《个人信息保护法》明确规定在利用个人信息中，如果接收方变更原先的处理目的、处理方式，应当依照本法规定重新取得个人同意。因此法律在规定中考虑到了这种情况，而本问题讨论的依旧是适用中的困境。

四、Cookie技术下知情同意规则法律适用之对策

（一）知情同意规则是个人信息保护中的核心内容

在涉及到个人隐私权发展时，知情同意规则并没有被重点强调，往往强调的是确定隐私的边界。在美国，实际上知情同意规则最初是在医学领域所确定并发展起来的。“Informed consent”一词在美国可以追溯到1957年Salgo v.Leland Stanford Jr.University Board of Trustees的判决中，在该案件中法庭询问病人在接受治疗前是否被充分告知并同意进行治疗。到了70年代后，知情同意规则的适用范围变大，扩大至公民权利、妇女权利以及消费者权利等领域。［15］随后2012年美国提出了消费者隐私权利法案，旨在加强对消费者网络隐私的保护，限制互联网公司对消费者隐私数据的收集、保存、公开等行为；为了打击秘密追踪行为，要求谷歌、雅虎、微软和AOL在浏览器上安装“不追踪”按钮，使消费者能够更方便地决定是否接受上述公司的追踪行为。2018年美国《加州消费者隐私权法案》进一步规定企业在采集个人信息时，需要在采集行为发生前或发生时通知消费者，通知内容包括拟采集的信息类别、使用目的等。此外，法案规定企业在采集额外信息类别或将信息用于其他目的时，也应当对消费者进行符合要求的通知。

欧盟在2012年关于Cookie的一项指令要求，互联网企业利用Cookie追踪用户的使用习惯，必须取得使用者的“明确同意”，特别是涉及到互联网定向广告的投放。随后欧盟在GDPR中继续规定数据主体的“同意”是指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明确的指示。通过声明或明确肯定的行为作出的这种指示，意味着其同意与他或她有关的个人数据被处理。

英国从《1998年数据保护法案》到GDPR及《数据保护法案》（2018），为了进一步强化对个人的保护，新法案将给予公民更多的个人信息控制权。实际上对同意规则采用了更严格的方法，一是在“知情——同意”制度方面，个人同意的更加严格，增加了若干新的条件，例如要求同意必须是“明确且易于撤销的”。特别是当处理个人敏感数据时，同意必须非常明确。此外在个人数据获取方面，新法案允许个人向数据控制者要求披露与其相关的数据，并且不得收费。在劳埃德诉谷歌一案中，诚如法官给出的建议一样，如果劳埃德以个人名义起诉谷歌，要求就不当使用个人信息获得赔偿，也许诉讼结果就会发生改变。

在我国Cookie第一案中，二审法院认为Cookie技术是当前互联网领域普遍采用的一种信息技术，使用方式仅为将该匿名信息作为触发相关个性化推荐信息的算法之一，网络用户应当提高互联网适应能力。且百度公司在《使用百度前必读》中，已经说明Cookie技术、使用Cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制，原告在该种情况下仍然使用百度搜索引擎服务，应视为对百度公司采用默认“选择容易”方式的认可①参见江苏省南京市中级人民法院〔2014〕宁民终字第5028号，中国裁判文书网。。但是随着我国《民法典》以及《个人信息保护法》的施行，知情同意规则也成为我国个人信息适用的首要保护原则。我国《个人信息保护法》确立了知情同意的基本原则，未经个人信息处理者同意，受托人不得委托他人处理个人信息。

（二）Cookie技术下知情同意规则适用的具体对策

知情同意规则作为个人信息保护的基本原则，其设置的最终目的就在于获得用户的真实同意，相应地就要求企业在获取、收集个人信息时应当满足合法、正当、必要和诚信的原则，特别是不得通过误导、欺诈、胁迫等方式处理个人信息。

我们要对个人信息条款的内容设置进行改良，使得《个人信息保护法》的知情同意原则得到具体体现。上文中提及的澳大利亚竞争和消费者诉谷歌案中，谷歌被诉就存在胁迫用户同意的情形。这就要求对关于个人信息的条款进行合理设置。一方面在形式上，我们要改变一揽子同意的方式，防止用户因为“同意疲劳”或者不愿意付出时间进行长篇小字的阅读而只能选择同意个人信息条款；更要停止“被迫同意”的设置方式，即如果不接受该个人信息条款的设置则无法进行相应的使用。特别是以格式条款形式出现的隐私政策无法对用户的个人信息进行个性化设置。在传统“同意”模式下，信息收集者与信息主体之间有一道难以逾越的巨大鸿沟——“打包式”同意，在“概括同意”和“被迫同意”的前提下，声称保护用户个人隐私的隐私政策却没有达到预期的效果。［16］另一方面，我们要进行内容的合理规划，将个人信息条款简明扼要地表达清楚，停止将重要的告知内容隐藏在长篇的法律责任论述中，从而真正落实充分告知的透明性，从而获取知情后的同意。

我们要通过强化法律责任来具体落实知情同意原则，特别是在个人信息的二次利用中［17］，例如谷歌案件中对网络痕迹信息进行再次利用定向输出时就会违反个人信息这一原则，应当承担不仅仅局限于罚款的法律责任。我们肯定科技发展所带来的改变，但是我们也要对这种改变予以应对。［18］互联网公司利用Cookie技术收集的个人信息，通过对这些与个人相关的网络浏览痕迹进行再次整合与利用，从而实现弹窗式的精准广告投放的行为本身，是应当受到法律规制并承担违反最低义务的法律责任。例如在上文中法国诉谷歌一案中，谷歌对这种弹窗的按钮设置非常隐蔽，同时谷歌并不认为其行为违反个人信息的正当性。“网络行为数据的产生过程高度受控于网络服务提供者所提供的技术服务，我们在登录、点击与浏览任何一个网站时，除非服务商主动加以删除，否则产生的全部网上行为记录都会被实时储存在该网站的服务器当中。”［19］因此明确违反知情同意的法律责任，在司法与执法层面落实《个人信息保护法》中关于知情同意规则的确认。

本文中劳埃德诉谷歌实际上是目前我们面临互联网企业巨头的一个缩影，它侧面反映了个人在面对谷歌这样的互联网公司，如何能够真正地实现知情同意规则的法律适用。同样在百度一案中也反映出在我国，这一问题同样存在。

本文之所以选择英国劳埃德诉谷歌一案进行分析，还在于英国自2020年1月退出欧盟后，历经11个月过渡期，已经于2021年1月1日起开始自主运行本国的数据保护制度，独立于欧盟治理框架。英国对欧盟GDPR的一系列改革对于我国个人信息的保护都具有一定参考价值。

我们已经从接听骚扰电话的时代迈入了互联网中个人信息流失的时代，信息已经成为市场流通中的“生产要素”，我们接受这种技术发展带来的便利的同时，更要保护我们的个人信息。目前我国的《个人信息保护法》已经明确规定了个人信息的使用原则，但是如何在具体的个人信息保护中实现法律适用是我们必须并且能够在未来解决的新问题之一。