摘要：合同所必需规则与告知同意规则构成企业合法处理个人信息的“两大支柱”。由于合同所必需规则无需取得个人“同意”，其理应成为企业的首选。然而，作为平台企业的一种日常经营行为，个性化营销却被欧盟排除在合同所必需规则的适用范围之外，且该立场为我国学界所普遍认同。从实际看来，限缩解释立场是规则借鉴背景下一种错误的“路径依赖”：其一，合同所必需规则具备独立的适用地位，适度的扩张并不会导致告知同意规则的“消融”；其二，限缩解释路径既不足以从信息自决理论中推导而出，亦与我国个人信息保护的制度目标相违背。借助比较研究及案例分析，可以类型化方式对合同所必需规则的扩张适用路径予以具体阐明。作为争议的核心，个性化营销场景之于合同所必需规则的适用可通过合同目的和比例原则的考量予以单独证成。

关键词：告知同意规则；合同必需规则；个性化广告；合同目的；比例原则

2024 年4 月17 日，欧洲数据保护委员会（以下简称“EDPB”）发布的一份《意见》指出，以Meta 为代表的大型数字平台最新提倡的“同意或付费”模式无法满足GDPR 有关同意的相关规定。结合此前EDPB 在“Meta 行为定向广告案”（以下简称Meta 案）的态度可见，行为定向广告（俗称“个性化广告”）在欧盟法律体系中几乎失去了合法生存的土壤。具体而言，因涉及个人信息的使用，个性化广告取得合法性的途径主要有二：一是GDPR（6）（1）（a） 款的告知同意规则，二是GDPR（6）（1）（b） 款的合同所必需规则。在个性化广告的情境中，这两个规则的主要区别在于是否可以通过“附条件”的方式取得用户的同意。现实中，由于个性化广告本身对用户而言是一种“负累”，在不附加任何条件的情况下（例如付费或拒绝提供服务），平台企业几乎不可能取得用户的同意。换言之，禁止“附条件”的告知同意规则在此情境中无法有效适用，因此合同所必需规则是欧盟平台企业取得个性化广告合法性的唯一可能。然而，在Meta 案中EDPB 彻底否认了这种可能，其反映了欧盟对于合同所必需规则予以限缩解释的保守立场以及对于数字平台企业“强监管”的高压态势。

与GDPR 类似，我国《个人信息保护法》第13 条第1 款前两项规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（1）取得个人的同意；（2）为订立、履行个人作为一方当事人的合同所必需。”从合同所必需规则的字面涵义来看，无论是GDPR 的“有必要（necessary）”，还是我国《个人信息保护法》的“所必需”，都没有为该项规则的准确理解提供有效指引。例如，“必需”针对哪个主体，是信息主体抑或是信息处理者？“必需”的范围如何界定，如何才能达到“必需”的程度？对此，国内有学者认为，我国合同所必需规则中的“必需”一词，应仿效欧盟予以限缩解释，并应明确排除个性化广告场景适用该规则的可能。4然而，全盘继受欧盟观点的做法明显欠缺对我国实际的考虑。基于对合同所必需规则的进一步深入理解，以及立足于我国与欧盟截然不同的制度、产业和政策现状，本文认为，对我国《个人信息保护法》第13 条第1 款第2项前段规定的合同所必需规则的理解应采取适当宽松的立场，强调将以个性化营销为代表的“个人信息对价化”情境纳入，从而准确界定合同所必需规则的适用范围。基于此，下文将分成以下三部分进行论证：一是对合同所必需规则的内涵进行精确界定；二是对合同所必需规则的限缩解释路径进行反思与批判；三是对合同所必需规则的扩张适用路径予以具体阐释。

一、合同所必需规则内涵的再审视

由于合同所必需规则与告知同意规则形成了相互替代的关系，学界多从“告知同意规则被架空”的角度，对合同所必需规则的扩张适用展开批判。笔者认为，这种观点混淆了合同所必需规则与告知同意规则的实质内涵，进而得出了错误的结论。对此，本文将从规则界定的视角展开论证。

（一）合同所必需规则的独立地位：两类“同意”行为的实质界分

上述Meta 案中的投诉者认为，点击“同意（服务协议）条款”按钮的行为就意味着构成GDPR（6）（1）（a） 条款规定的“同意”，这实质上蕴含了一个混淆概念的错误观点：合同所必需规则中“同意缔约”的行为等同于告知同意规则中的“同意”，二者之间没有区别，因此告知同意规则可以“替代”合同所必需规则。国内不少学者也持类似观点，“为履行合同而必须处理个人信息的情形……处理者也是在取得自然人的同意的基础上处理个人信息的”，因此该规定并无必要；甚至有学者认为，合同所必需规则就是告知同意规则在当今时代的“变种”。

然而，以上种种观点实质上都没有厘清告知同意规则和合同所必需规则的确切涵义。告知同意规则中的“同意”是一种标准更高的同意，这种同意以“个人在充分知情的前提下自愿、明确作出”为前提，且个人信息处理者不得以个人不同意处理为由拒绝提供产品或者服务。因此，该“同意”并不能作为服务提供的对价，其本质上对个人信息处理者而言是一种单方面的义务，个人信息处理者不能以“不同意”为由而拒绝向信息主体提供服务。与此不同，合同所必需规则层面的“同意”实质体现的是意思自治以及契约自由原则，而契约意思自由的核心，即契约的法律效果完全系由当事人的意思决定。由此可见，合同所必需规则中的“同意”针对的是合同双方相互的权利义务，在个人信息处理的语境之下，信息主体固然有拒绝信息处理的权利，但与此同时个人信息处理者也可以此为由拒绝向信息主体提供服务。除了前述的“同意捆绑”（以个人信息为对价）之外，合同所必需规则的适用还意味着“同意能力”“任意撤回”等专为告知同意规则所设立的规则不可同时适用。总的来说，合同所必需规则与告知同意规则之间的法律意涵截然不同，用后者的存在来“抹杀”前者适用空间的做法显然是有误的。

（二）合同所必需规则的平等适用：“告知—同意”并非效力位阶更高原则

我国立法者明确表示“告知—同意”是一系列有关个人信息处理规则的核心。有学者据此认为“告知—同意”应被视为个人信息保护中必须坚守的原则，认为“告知—同意”是个人信息保护制度的“帝王条款”。原则意味着统摄整部法律的功用，假如“告知—同意”被视为一项原则而不仅是一项规则，这意味着当告知同意规则与合同所必需规则产生冲突时，“告知—同意”应具有适用的优先性。正如Meta 案中，投诉者认为某些“以数据处理为主要目标”的合同必须依赖“同意”作为合法性基础，这实质上就是“告知—同意”作为一项基本原则优先于合同所必需规则观念的体现，但这种观点并不正确：

首先，这种观点并不符合本项规定的立法意图。“缔约或履约之所必需之规定，将成为绝大多数业务场景下收集信息的依据”，合同所必需规则作为一项平等的合法性依据，“旨在避免因（告知）同意过于泛滥而破坏正常的私法交易秩序，具有重要意义”。因此，“告知—同意”非但不是位阶更高的所谓的“帝王条款”，在企业出于业务需要收集信息的场景下，合同所必需规则反而更具适用的优先性。

其次，基于法律解释的角度，虽然我国《个人信息保护法》第13 条第1 款第1 项及第44 条明确规定了信息主体对其个人信息的决定权，但这种“决定”并不意味着一种近似财产权的信息控制和支配权，而只是一种矫正信息处理者与信息主体失衡关系的工具性权利。换言之，同样作为处理双方之间关系的工具，合同所必需规则与告知同意规则之间应在效力上平等适用，而绝非所谓“仅凭有效的合同尚不足以合法处理个人信息，还应在此基础上根据该第13 条第1 款第1 项取得信息主体的同意”。

再次，爱尔兰数据保护局（以下简称DPC）与欧盟亦早就该问题达成共识。第29 条工作组（EDPB 的前身）曾经对《95/46/EC 指令》第7条（合同所必需规则条款的前身）指出，“该文本……没有对六种依据进行法律区分，也没有表明它们之间存在等级关系”。DPC 同样认为，投诉者的这种区分将会产生法律适用的先后顺序问题，然而GDPR 第6 条第1 款并没有要求某些数据处理必须基于“告知—同意”，亦未规定“告知—同意”作为合法性基础的优先性。

由此可见，我国立法者所言及的“核心”仅仅是针对告知同意规则在适用场景的普遍性，将其视为效力位阶上“更高一等”的原则，并以此来限制合同所必需规则适用的做法，显然是对立法本意的歪曲。

二、合同所必需规则限缩解释路径的反思与批判

目前，法律界普遍认为对合同所必需规则的解释应采取严格限缩的立场。具体而言，该观点认为个人信息处理行为必须与合同的核心目的严格相符，且该合同目的应指向信息主体而非信息处理者（即只考虑信息主体的利益），并明确排除广告业务适用该条款的可能。例如国内有学者认为，合同所必需规则的适用应采取关联性标准，“‘关联’应采取从严解释的方式，任何与提供的服务无关的均不能适用……如广告业务并非必然需要处理个人信息”；实务界的法官也认为：“‘缔约或履约之必需’之规定……必须受到目的限制原则的约束，不得利用这一条款进行个性化营销”。本文并不否认合同所必需规则的适用应以合同目的为限，但对于是否应该将合同目的严格限缩在“指向信息主体利益”的范围之内，本文持否定态度。从立法目的来看，限缩解释的观点源于对信息自决理论的误解，进而导致对个人信息保护的总体目标产生理解偏差；从适用效果来看，采用严格限缩解释的方法将导致合同所必需规则因适用范围过于狭窄而失去实践意义。

（一）信息自决理论的正本清源：保护与利用并重

“信息自决论”是限缩解释说的理论基础。国内学者普遍认为，为了实现个人信息权益保护的立法目标，我国个人信息保护应贯彻信息自决的价值理念，合同所必需规则亦应置于信息自决权的权利规范之下。但是，由于合同所必需规则主要承载的是私人自治以及合同自治的价值，对个人信息的保护强度存在“规范落差”，因此有碍于信息主体作为人之尊严的实现，故应严格限制合同所必需规则的适用范围。简言之，此类观点将信息自决视作对个人信息的“绝对支配”，将告知同意规则作为实现信息支配的唯一手段，并将该规则以外其他个人信息处理的合法性依据视为对信息自决的“威胁”，因此主张对合同所必需规则的适用予以限制。然而，这种观点显然有误：

其一，信息自决并不足以成为个人信息保护的全部理论基础。以“保护个人信息权益”作为首要立法目标并不意味着法律制度绝对受制于信息主体利益。我国《个人信息保护法》第1 条规定：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。”可见，在保护个人信息权益、维护个人信息自决的基础上促进个人信息的合理利用亦是重要的立法目标。再者，信息自决理论所引发的举证成本收益失衡下的激励困境、个人有限理性无法回应复杂风险而呈现的保护不足等问题，都进一步削弱了其作为个人信息保护的“基石”地位。

其二，信息自决不意味着赋予信息主体对个人信息绝对的支配权。信息自决理论最早来源于1984 年德国联邦宪法法院的“人口普查案”，其在当下的实质核心要义在于“我有权决定何时、何地、以何种方式传递有关我的信息”，与传统隐私权理论强调相对性质的“个案衡量”不同的是，在信息自决的视野之下任何个人信息都将置于“个人信息权”的绝对支配。然而，这种理解是对“人口普查案”的误读。德国联邦宪法法院虽然认为人口普查违宪，且提出了个人信息自决的理念，但其又随即表示“没有绝对不得限制的个人信息自决权”， 因为每个人都具有社会属性，即便是所谓的“个人”信息，在某种程度上亦是社会现实的写照。由此可见，德国联邦宪法法院亦认识到个人信息对社会发展的重要作用，因而否认了信息主体对个人信息的“绝对支配”。此外，结合该案的具体背景可知，德国联邦宪法法院提及的“信息自决”实际限制在国家机关作为个人信息处理者的情景之下，与私法领域的个人信息处理并无关涉。

其三，告知同意规则并不是实现信息自决的唯一手段，合同所必需规则无需“限缩”也能实现个人信息自决的目标。合同所必需规则承载的私人自治理念与信息自决理念在本质上并无冲突，合同所必需规则所豁免的只是告知同意规则层面的“同意”，是否决定与个人信息处理者进入信息处理关系仍然取决于信息主体在契约意思自治层面的自由意志。换言之，基于合同所必需规则就能“强制”取得个人信息的观点只是一种望文生义的错误理解。合同所必需条款中的私人自治理念虽然在一定程度上体现了信息处理者的利益，从而造成个人信息在保护强度上的“规范落差”，但究其根本，合同所必需规则并没有为个人信息处理者创设任何新的权利，所谓的“规范落差”仅体现于告知同意规则层面的义务豁免，这种“防御性质”的规定将导致信息主体“沦为客体或者单纯工具进而损害其作为人之尊严”的说法恐过于夸大；反之，在某些情形下限制告知同意规则的适用范围恰恰体现了我国《个人信息保护法》中“保护与利用并重”的法价值目标追求和对信息处理双方关系的精细调整。

（二）限缩解释路径的现实困境：从“独立”沦为“附庸”

限缩解释的路径意味着，只有严格符合信息主体一方合同目的的个人信息处理行为才能适用合同所必需规则。然而，这种狭隘的理解与原本的制度目标相去甚远。以小红书为例，其实质是一款照片分享的社交应用软件。假如根据《常见类型移动互联网应用程序必要个人信息范围规定》第5 条规定，“网络社区类”APP 应用的必要个人信息为“注册用户移动电话号码”，那么，小红书在收集用于注册的电话号码时就可以适用合同所必需规则。换言之，在用户拒绝提供注册电话号码时小红书有权拒绝为用户提供服务。然而，电话号码是注册账号的前提，假如用户连基本的账号都没有，那么小红书又如何能为用户提供相关的社交服务？

据此可知，这种服务提供上的“不能”是一种事实上的不可能，而非基于可选择意义上的拒绝。无论合同所必需规则是否存在，小红书都不可能在用户没有社交账户的前提下为用户提供有关的社交服务。在此情形下，合同所必需规则的意义仅在于为个人信息处理者提供“拒绝服务”的合法依据，从而豁免在告知同意规则层面原本必然需要承担的责任。这意味着告知同意规则仍然是绝大部分情形下个人信息处理的合法性依据，合同所必需规则只有在告知同意规则彻底不能适用时才“不得不”启用，因此限缩解释的实质就是将合同所必需规则视为告知同意规则的一种“附庸”。无疑，这种狭隘的解释方式与将合同所必需规则打造为企业“绝大多数业务场景下收集信息的依据”、通过例外性规定为同意的适用留下狭小空间从而“促进个人信息的社会化利用”，即普适化适用的制度目标相去甚远。

三、合同所必需规则扩张适用的路径阐释

（一）合同所必需规则扩张适用的思路以及类型化路径

1. 扩张适用的基本思路

虽说适用合同所必需规则之时应考虑我国的实际情况，但这并不意味着对欧盟观点的全盘否定。事实上，为了防止告知同意制度被架空，合同所必需规则的适用应当满足一定的条件。例如，EDPB 曾主张评估合同所必需规则能否适用时需要考虑“作为一名普通的用户是否会对合同中预设的处理目的形成合理期待”。法工委的释义书对此进一步明确，合同所必需规则下个人信息的处理行为“应符合合同相对人、社会公众的合理期待或者行业惯例……并兼顾实现合同目的和保护个人信息权益的比例性原则”。

综上，合同所必需规则适用的前提是双方基于合同行为而处理个人信息，不属于为了订立、履行合同的个人信息处理行为则应被排除在本规则之外，故合同目的便是首要考虑的条件；其次，适用合同所必需规则意味着信息主体不再受告知同意规则的“强力”保护，所以需要从比例原则的角度来考虑个人信息权益减损的程度与适用合同所必需规则带来的收益之间的比例关系，并通过利益的权衡来调整本项规则的适用范围。因而，合同所必需规则的扩张适用应满足以下两点限制：一是符合合同目的的认定；二是满足比例原则的限制。下文将以此为基本思路，并结合我国实际来对扩张适用的类型化路径进行详细论证。

2. 扩张适用的类型化路径

根据必要性程度的从高到低，个人信息处理者对个人信息的使用可以分为以下三种类型：第一，提供必要服务；第二，作为对待给付，成为企业营利的重要构成；第三，对待给付目的以外的额外收集。以百度公司隐私政策的部分章节为例：对于情形一，提供个人的账号名称、手机号码以及密码是百度公司提供账号注册服务的前提，该情形当然应符合合同所必需之规定。

对于情形三，出于改善产品服务、优化内部管理等目的收集个人信息，其本质是为了“改进”服务而非“提供”服务，因此当然不属于主给付义务而被排除于合同目的之外。此外，“改进服务”是一种十分宽泛的个人信息处理目的，任何出于安全、审计、运营等目的都可能被解释成为“改进服务”，如果该目的被解释成“必需”从而适用合同所必需条款，那么告知同意规则将会被完全架空，个人信息主体的权益将得不到有效保障。因此，即使基于比例原则，对待给付目的以外的对个人信息的收集处理也应排除适用合同所必需规则。对于情形二，在互联网行业“免费盛行”的当下，将数据作为对待给付的最典型情境就是将个人信息用于个性化广告推送。平台企业利用个人信息进行个性化营销的行为能否适用合同所必需规则，这既是Meta 案的争议核心，亦是本文的关注重点。

（二）合同目的视角下合同所必需规则对于个性化营销的适用

与合同目的相符，是个性化营销行为适用合同所必需规则的第一个前提条件。个性化营销行为涉及的合同内容体现为“以个人信息作为对待给付”，该部分条款属于纯粹非典型合同，其合同目的难以根据有名合同在法律上的规定予以直接确认，需结合具体合同进行具体分析。主要分析方法有二：一是基于典型合同目的或结合具体条款的客观目的考察法，二是基于合同双方动机的主观目的考察法。由于该合同的非典型属性以及格式条款的限制，仅凭合同的外观无法准确识别合同目的，故有必要进一步结合动机考察的方法⸺当合同双方内心所欲达到的目的不一致时，应以双方均已知或应知的表示于外部的目的为准。“表示于外部”表明合同目的的判断应从社会的一般观念出发。在商业社会中，“天下没有免费午餐”应是每个社会成员的共识。“免费午餐”的经济学本质是作为定价战略的交叉补贴（cross-subsidization），意即商业社会中任何服务都是有偿的，任何表面无偿的服务都将以间接方式来实现有偿之目的。对于百度的搜索引擎产品而言，其商业模式的本质是由第三方企业、百度公司、百度用户之间形成的“三方市场”，百度公司通过免费提供服务来获取用户的注意力资源，第三方企业为了将商业信息传递给消费者，再通过付费广告的方式来获取百度用户的关注，百度公司最终获得广告费，由此形成了商业上的闭环。分发个性化广告的前提便是获取与用户有关的行为信息，因此作为一名理性人，理应对“以个人信息作为对待给付”这一表示于外部的目的形成预期。中国消费者协会于2018 年8 月发布的《App 个人信息泄露情况调查报告》亦印证了这一猜想。报告中明确提及有77% 的受访者认为推销广告是手机App 采集个人信息的最主要原因。正如DPC 所言，通过投放定向广告来赚取利润的行为是Meta 商业模式的本质，亦是Meta 与用户达成交易的关键所在，因此在产品服务协议已经对此予以明确的情况下，接受个性化广告作为交易的对价应符合用户的“合理期待”。

然而，EDPB 却从相反的角度来理解合同目的，其认为个人信息如何具体运用于个性化定向广告的处理是一套技术上非常复杂的流程，在产品服务协议或隐私政策中对其简要提及的方式并不会在一般情况下使得用户形成预期。依此来看，该观点将“告知”视作为合同所必需规则适用的前提。我国《个人信息保护法》第14 条第1 款前段规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。”可见，在我国法律的语境中，“充分知情”是以告知同意规则作为个人信息处理合法性基础情形下的要求，而非对合同所必需或其他合法性基础的要求，合同所必需规则的适用不应以告知规则为限。进言之，合同所必需规则视野下强调的是平等主体之间的意思自治，意欲使合同双方知晓其民事法律行为所将产生何种私法效果的规则不是“告知”，而应是意思表示，且后者显然比前者更容易达成。意思表示真实是合同成立的法定条件之一，而意思表示不真实可以分为“意思表示不一致”与“意思表示不自由”两种情形。如上所述，以个人信息作为互联网“免费”服务的对待给付应符合用户的合理期待，故应认定为意思表示一致；是否与互联网平台企业缔结以个人信息作为对待给付之合同亦同样取决于用户的自由选择，因此当然符合意思表示之自由。在意思表示真实的情况下，以个人信息作为对待给付的合同理应认定为有效，进而适用合同所必需规则。

（三）比例原则视角下合同所必需规则对于个性化营销的适用

符合比例原则的要求，是个性化营销行为适用合同所必需规则的第二个前提条件。狭义比例原则的实质是一种法益的均衡，即相应举措所实现的法益应该大于举措本身所破坏的法益。基于网络用户的视角，其当然不希望自身的个人信息被利用，因为这会增加个人信息泄露的风险，也会由于个性化广告的存在而影响服务体验，加之广告本身与互联网平台所提供的服务之间并没有直接关联，广告很容易被视作一种“有害”“多余”之物，并依此认为个性化营销的行为“不合比例”。然而，这种理解显然是片面的。可以试想，如果要获取相应的互联网平台服务，除了接受个性化营销这种“免费”的方式，当然还有付费的方式；按照相同的逻辑，付费当然也会影响用户的服务体验，这种影响相比于“免费”甚至有过之而无不及。因此，在衡量比例性的时候，既不能仅从用户的视角予以评估，也不能仅以个性化广告的“有无”来进行考虑，而应以一种更全面的视角来衡量比例性：在微观层面，考虑对用户影响的同时，也要兼顾网络平台经营者的利益；在宏观层面，则需要跳出个性化广告的狭隘视角，从政治博弈、产业发展和政策导向的层面予以整体的衡量。

1. 从交易双方的微观层面考量比例原则

不可否认，作为数字市场守门人，超大型平台理应承担与其角色相匹配的加重义务。其中，数据（隐私）合规义务便是其加重义务的重要组成部分。对此，我国《个人信息保护法》第58 条第1 项明确规定了超大型互联网平台应该“建立健全个人信息保护合规制度体系”，并成立独立的个人信息保护机构予以监督。然而，这种数据隐私层面的加重义务主要体现在增强内容审查、优化算法设计、调整服务条款等防范“系统性风险”的合规措施之上。换言之，平台加重义务的核心在于“如何合规地利用个人信息”，而绝非一禁了之。追求利润是商业活动的核心，营利是商事关系的本质特征，“有利可图”是企业的生存前提。在用户以个人信息为对价换取平台企业服务的商业化情境中，平台企业利用个人信息为第三方企业提供个性化广告推送便是其获取利润并维持生存的重要条件。据Meta 财报显示，Meta2023 年第四季度的广告收入为387.06 亿美元，占总营收的96% 以上。有分析人士表示，如果大量用户选择拒绝个性化广告，那么受此影响Meta 公司的估值可能会下降12% 至25%。由此可见，以个人信息保护为由禁止个性化广告推送，就相当于脱离了企业生存的前提来强调企业责任，“只谈义务不谈权利”的做法显然违背了现代法律权利与义务相一致的基本原理。

反之，对于用户而言，让渡部分个人信息的使用权益并没有在实质上对其造成利益上的重大减损。基于目的原则的限制以及网络平台企业作为“数字市场守门人”的加重合规义务，个人数据的安全性可以得到法律上的有效保障。因此考虑到信息侵权的成本，在一般情况下，用户的个人信息并不会因为企业的使用而遭受泄露。此外，即便聚焦到个性化广告推送的具体情境，亦难言会对用户造成何种消极影响⸺目前国内很多APP 都会在“设置”中提供关闭个性化服务的选项，然而，该选项取消的仅仅是“个性化”，而广告是不能取消的，因为广告本身并不会涉及个人信息的使用。换言之，相比于接收随机出现的广告，个性化广告可能反而在某种程度上提升了用户的体验。

综上，个性化广告的有无对于企业而言意味着“生死存亡”，而对于用户而言仅仅是“影响体验”，个性化广告的存续对于企业的意义显然远大于对用户利益的减损。因此，为了维护个性化广告的合法性，理应对个性化营销适用合同所必需规则的做法予以肯定。

2. 从产业背景的宏观层面考量比例原则

欧盟在大数据时代来临之际推出GDPR，除了强化个人数据保护的本旨之外，还掺杂着更多政治因素的考量。经有关统计，2022 年美国数字经济蝉联世界第一，规模达17.2 万亿美元；中国位居第二，规模为7.5 万亿美元；作为欧盟数字产业规模最大的国家，德国仅为2.9 万亿美元，排名第三。目前欧盟数字经济发展趋于保守，无力在技术上与中美抗衡。为了维护自身的“数字主权”，欧盟推出多项数据安全保护法与数字服务税来限制外国数字科技巨头对其市场份额的过度挤占。自2008 年微软因涉及垄断电脑操作系统而被处以21.6 亿欧元的天价罚款起，欧盟几乎把所有5 亿欧元以上的罚款都开给了美国的数字科技公司（本文中的Meta公司亦然）。不难发现，公民的隐私保护只是欧盟数字安全立法的表象，通过反制美国数字霸权以扶持本土数字产业的发展才是最终目的。

与欧盟相反，作为数字大国，我国本土互联网企业不但消化了国内市场的绝大部分份额，以TikTok、Shein 和Alipay+ 为代表的中国互联网产品更是频频在海外“攻城略地”，呈现蓬勃发展之势。因此，作为当下互联网产业“免费”商业模式中最重要的一环，我国并无必要在法律上过度挤压个性化广告的生存空间，以免“自缚手脚”般地打击本土互联网产业的发展。此外，以让渡个人信息的部分使用权益来换取互联网服务的实质亦是一种灵活的“数据交易”，契合我国当下的数据要素市场化改革的政策背景。2022 年12 月，《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确提出要构建“合规高效、场内外结合的数据要素流通和交易制度”。作为数据要素市场建设的重要一环，进一步加强个人数据的商业化流通利用应与我国发展的大方向相符。概而言之，将个性化营销场景纳入合同所必需规则的适用范围，非但不会如欧盟般面临海外互联网巨头的竞争威胁，反而有助于维护我国互联网行业的稳定。此外，承认个人信息作为对价情形下适用合同所必需规则的合法性，亦有利于为企业合法收集利用个人数据提供更为便捷的途径，从而充分发挥数据对企业的赋能，进一步巩固和提升我国数字产业的竞争优势。

四、结语

我国《个人信息保护法》通过“博采众长、兼容并包”的方式，确立了先进的个人信息保护制度。然而，继受不意味着全盘接受，真正适用的法律还需要植根于本土社会和文化之中，以回应本国的现实需求。合同所必需规则是源于欧盟GDPR 的“舶来品”，对该规则的本土适用若照搬域外解释的做法，显然是欠缺对我国本土实践的足够审视。在数据要素市场建设如火如荼的背景下，作为数字产业大国，营造开放包容的法律氛围应当是我国数据立法的基调。因而，我国的数据法治建设理应由“规制思维”向“治理思维”转变，重点思考如何通过法理的阐释，在风险可控的基础上赋予合同所必需规则更广阔的适用空间，从而降低我国企业的数据合规成本，以契合当下国际数字产业竞争的现实需要。