摘 要： 在我国现行的消费者个人信息保护制度中，告知同意规则是个人信息处理的合法性基础，但该规则具有“无差别”适用的特点。囿于这种“无差别”适用特点，隐私政策存在着“充分告知难”和“同意效果差”的规则适用困境。相较于《中华人民共和国消费者权益保护法》，《中华人民共和国个人信息保护法》为消费者个人信息处理提供了场景化规则适用的制度空间，上海“亮剑浦江”专项执法也在一定程度上开启了这种场景化规则适用的实践探索。为了更好地平衡消费者个人信息保护与合理利用的关系，有必要从消费者个人信息和产品服务功能两方面入手优化消费者个人信息保护的场景化规则适用路径。

关键词： 消费者；个人信息保护；告知同意规则；场景化；规则适用

中图分类号： D923.8

文献标志码： A

文章编号： 1673-3851 （2024） 12-0703-09

Study on the contextualized path of consumer personal information

protection：Reflections on the \"undifferentiated\" application of

the rules of informed consent

Abstract： "In China′s current system for the protection of consumers′ personal information， the rules of informed consent is the basis for the legitimacy of the processing of personal information， but the rule is characterized by its \"undifferentiated\" application. Due to this characteristic， the privacy policy faces the dilemma of \"being difficult to fully inform\" and \"poor effect of consent\" in the application of the rules. Compared with Law of the People′s Republic of China on Protection of Consumer Rights and Interests， Personal Information Protection Law of the People′s Republic of China provides institutional space for the application of contextualized rules for the handling of consumers′ personal information， and Shanghai′s special law enforcement action entitled \"Shine the Sword on the Pujiang River\" has also opened up the practical exploration of the application of such contextualized rules to a certain extent. In order to balance the relationship between the protection of consumers′ personal information and the rational use of such information， it is necessary to optimize the application of the contextualized rules for the protection of consumers′ personal information from the perspective of consumers′ personal information and the function of product services.

Key words： consumers; protection of personal information; the rules of informed consent; contextualized; application of rules

随着《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的出台，我国消费者个人信息保护制度日趋完善。在我国现行立法下，个人信息保护仍主要遵循告知同意规则，但该规则的“无差别”适用特点容易使消费者权益保护面临困境。为了解决个人信息保护与合理利用的平衡难题，域外相关立法较早将场景理论 场景理论源于海伦·尼森鲍姆（Helen Nissenbaum）在2004年提出的“场景完整性理论”（也译为“情境脉络完整性理论”）。场景理论指出应尊重个人信息原始收集时的具体情境，而且在后续传播与利用时不得超出原初的情境脉络。在该理论视角下，当个人信息处理行为不符合场景中的信息规范时，场景完整性遭破坏，此时个人信息处理行为对信息主体的侵害风险超出必要，丧失正当性。场景完整性的一大重要评价依据是信息主体的“合理预期”（a reasonable expectation of privacy）。引入个人信息保护制度 2015年美国《消费者隐私权利法案（草案）》与2016年欧盟《通用数据保护条例》均确认了“尊重场景”和“风险导向”的制度理念。其中，即美国《消费者隐私保护法案（草案）》第103条明确提出“尊重场景（Respect for Context）”原则，其中规定消费者有权期待经营者按场景一致的标准进行个人信息收集、使用和披露，并在其后规定了一系列配套的场景化要求。欧盟《通用数据保护条例》特别强调了场景与风险理念的重要性，如：第22条强调机构应“根据其个人信息处理行为的性质、范围、场景、目的及影响公民权利的可能性、敏感度等”承担相应责任；第50条允许在六种场景因素的考量下超出原始目的处理个人信息，并初步将信息主体“合理预期”纳入考量。中。受此影响，范为［1］、丁晓东［2］等学者开始探索我国立法下场景理论的适用空间。此后亦有不少学者针对儿童［3］、读者［4］、运动员［5］等特殊个人信息主体，对具体场景下的个人信息保护进行制度探讨。然而，“生活消费”我国《消费者权益保护法》第2条明确规定了本法的调整对象是“消费者为生活消费需要购买、使用商品或者接受服务”的相关权益，因此本文使用“生活消费”的表述。这一典型领域未受到足够重视，消费者个人信息保护的场景理论研究仍存在一定不足。根据中国消费者协会发布的《2022年个人信息保护领域消费者权益保护报告》，我国高度重视消费者个人信息保护难题，近年来网信、电信、市场监管等部门已经开展了各类执法行动［6］。但是，由于生活消费涉及的场景种类日益繁杂，一体化执法难以应对不同生活消费场景中各有侧重的保护需求，“无差别”规则适用的传统路径面临较大挑战。为克服传统执法的不足并探索新的规则适用路径，2023年6至12月上海市网信办、市场监管局等部门持续开展“亮剑浦江·消费领域个人信息权益保护专项执法行动”（以下简称“亮剑浦江”专项执法）［7］。该执法行动是消费者个人信息保护场景化规则适用的一次有益尝试。

本文首先梳理消费者个人信息保护制度中告知同意规则的演变历程，揭示其“无差别”适用特点，然后进一步分析实践中告知同意规则的适用困境及其缘由，最后基于对“亮剑浦江”专项执法的总结和反思，主张确立场景化规则的适用路径，以此破解消费者个人信息保护面临的实践困境。

一、消费者个人信息保护制度中的告知同意规则

2012年全国人民代表大会常务委员会出台了《关于加强网络信息保护的决定》，该决定首次确认了告知同意原则 “告知同意”在学界又称为“知情同意”。为统一法律用语，本文称“告知同意”。，其第2条规定网络服务提供者收集、使用公民个人电子信息应当符合告知（即明示收集、使用信息的目的、方式和范围，并公开其收集、使用规则）和同意（经被收集者同意）的原则性要求。此后，消费者个人信息保护制度中的告知同意规则不断健全完善。

（一）《消费者权益保护法》中告知同意原则的确立

2013年出台的《中华人民共和国消费者权益保护法》（以下简称《消费者权益保护法》）首次以法律的形式确立了告知同意原则［8］131。该法第29条第1款规定了经营者收集、使用消费者个人信息应当符合告知和同意的原则性要求，其具体内容与《关于加强网络信息保护的决定》一致。

值得注意的是，全国人大常委会法制工作委员会（以下简称全国人大法工委）将《消费者权益保护法》第29条第1款涉及告知同意的规范要求称作“经营者收集、使用消费者个人信息的原则”，并将其具体表述为“合法、正当、必要及消费者自愿”原则［8］132。针对合法性原则，全国人大法工委援引了其他法律规范中的条文作为经营者处理个人信息的合法性基础，包括民法通则对名称与肖像的保护性规定、刑法对非法出售或提供个人信息的责任规定等。然而，全国人大法工委并未对“正当、必要性原则”作进一步阐述，只特别强调了“消费者自愿原则”，即要求经营者不得利用格式条款和技术手段强迫消费者同意授权个人信息。

综上不难发现，《消费者权益保护法》第29条第1款只是简单延续了《关于加强网络信息保护的决定》中已有的原则性规定。《消费者权益保护法》并未对经营者的告知义务与消费者的同意权利作进一步规定，也并未对消费者个人信息保护作具体的规则设计。或许正因如此，在相当长的时间里，我国学者都将告知同意要求视为法律原则 在2020年《民法典》与2021年《个人信息保护法》出台以前，学界普遍将告知同意的相关规定界定为“原则”，代表学者如张新宝、万方、林洹民、田野等。。

（二）其他个人信息保护相关法律中告知同意规则的确立与完善

《消费者权益保护法》率先在法律层面明确了个人信息保护中的告知同意要求。此后，《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国民法典》（以下简称《民法典》）以及《个人信息保护法》等法律继续明确或细化了告知同意要求，逐渐使相关规范从法律原则转变为法律规则。

2016年出台的《网络安全法》基本延续了《消费者权益保护法》的规定，在第41条明确了网络运营者收集、使用个人信息的告知同意要求。然而，相比原有的法律原则定性，全国人大法工委对该法第41条规范定性的表述较为含糊：在前文指出第41条是“个人信息收集使用规则”；在后文又指出第41条是“关于网络运营者收集、使用个人信息应遵循的原则”，并且仅从“合法原则”“正当原则”“必要原则”三个方面进行了解读［9］。由此可见，《网络安全法》并没有解决告知同意要求的定性问题。

2020年出台的《民法典》既延续了《消费者权益保护法》《网络安全法》中的告知同意要求，又进行了一定的完善。首先，该法区分设置了隐私权的同意规则与个人信息保护的告知同意规则：第1033条针对隐私权确立了“权利人明确同意”的规则；第1035条则针对个人信息处理明确了告知同意规则。其次，该法确定的告知同意规则不仅适用于收集或使用个人信息环节，而且适用于存储、加工、传输、提供、公开等其他个人信息处理环节。最后，该法第1036条还规定了“维护公共利益或自然人合法权益”等特殊的同意豁免情形。对于《民法典》中告知同意要求的性质，衣俊霖［10］认为，因其“具有清晰、明确的构成要件和法律后果”，故应被视为法律规则而非法律原则。

2021年出台的《个人信息保护法》就个人信息处理的具体规则进行了更加系统的设计。首先，该法区分了一般个人信息和敏感个人信息的处理规则，在第二章第二节就敏感个人信息的处理规则单独进行了特别规定。其次，该法进一步明确了告知豁免和同意豁免规则，其第18条规定在“应当保密或者不需要告知”的情形下无需告知“个人信息处理者的名称或者姓名和联系方式”，第13条在《民法典》的基础上新增了“订立、履行合同必需”“履行法定职责或义务”等若干同意豁免情形。最后，该法完善了告知同意规则的配套要求，第16条规定“个人信息处理者不得以个人不同意或撤回同意为由拒绝提供产品或服务，处理个人信息属于提供产品或者服务所必需的除外”，进一步保障了个人信息主体在事后的同意撤回权。

相较于《消费者权益保护法》中的告知同意原则，《个人信息保护法》完整确定了告知同意及其豁免规则，为差异化的个人信息处理行为留下了一定的制度空间，有利于平衡消费者个人信息保护与合理利用之间的关系。

（三）消费者告知同意规则的“无差别”适用特点

我国个人信息保护制度中的告知同意要求虽然经历了从原则到规则的演变，但是仍有不足。高富平［11］指出，这种单一的告知同意模式被适用于所有类别的个人信息与所有个人信息的处理环节，具有“无差别”适用特点。赵婧薇［12］也指出，现行的告知同意规则本质上是一种“全有或全无”的模式，缺乏类型化的塑造。尽管《个人信息保护法》等法律已经为例外情形预留了一定的空间，即排除了法律法规规定的特别情形，但是这些转致条款所涉及的法律法规在现行立法中可能并不明确甚至根本不存在。相比《民法典》与《个人信息保护法》，《消费者权益保护法》确定的告知同意原则所彰显的“无差别”适用特点尤为明显：一方面，该法中的告知同意要求容易被规范内涵并不清晰的“合法、正当、必要原则”取代；另一方面，该法并未给无需适用告知同意规则的特别情形提供豁免适用的规则支撑。

我国《民法典》和《个人信息保护法》明确了告知同意豁免规则，进一步推动了告知同意规则的体系化健全，使其呈现出“有差别”的趋势。但在我国现行立法中，一般个人信息与敏感个人信息的界定标准仍旧不够清晰，告知同意与告知同意豁免的适用条件也不是泾渭分明。告知同意规则在实际适用中依旧体现出明显的“无差别”适用特点。

二、消费者个人信息处理告知同意规则的适用困境及其缘由

（一）告知同意规则的适用困境

“告知同意”一般通过隐私政策的形式体现。然而，经营者常常利用一些利己高效的变通手段为个人信息的后续处理行为加固免责盾牌，导致本应保障消费者知情权、决定权的隐私政策流于形式。

1.充分告知难

为了履行“充分告知”义务，同时规避法律风险，经营者大多采用格式条款的形式将全部需处理的个人信息事无巨细地加入隐私政策中。然而，这种篇幅冗长的隐私政策难以被消费者仔细阅读，进而无法保障消费者的“充分知情”。在《个人信息保护法》出台后，通过复杂的隐私政策来“充分告知”的形势仍然难以扭转。仅2024年1月至6月期间，我国工信部就整治了百余个侵害消费者个人信息权益的App，并发布了5批违法违规通报［13］。在《个人信息保护法》出台以前，违法违规通报的问题集中于“私自收集个人信息”问题（即未经告知同意收集个人信息）；而到2024年，通报涉及的问题已经调转为“违规收集个人信息”以及“App强制、频繁、过度索取权限”问题（即虽经告知同意程序但还是存在侵害个人信息的行为）。这一转变过程虽然在一定程度上体现出《个人信息保护法》等法律的实施成效，但也彰显了现行告知同意规则在维护消费者个人信息自决权时的较大不足。事实上，隐私政策越是“充分告知”，越难以保障消费者“充分知情”。根据《个人信息保护法》第16条，只有在“提供产品或者服务所必需”的情况下，经营者处理个人信息才符合“正当、必要”原则。然而，在一些特定情况下，经营者未在隐私政策中“充分告知”可能事出有因，但这将导致经营者无法获得消费者的同意授权而涉嫌违法。一方面，为保证消费者获得良好的体验，经营者在隐私政策中往往难以告知所有个人信息收集行为的必要性。此时，如果遇到消费者点击“不同意隐私政策”、概括性地对所有询问收集的个人信息不予授权的情况，经营者根本无法提供相应服务。另一方面，不同情境下的同一个人信息甚至同一情境下的同一个人信息在不同处理阶段表现出来的“必要性”也不尽相同。因此，监管执法部门不能苛求经营者在设计隐私政策时面面俱到，更不能在执法中无差别地适用形式标准 2021年12月国家网信办发布的《App违法违规收集使用个人信息监测分析报告》详细规定了七种经营者“超范围收集个人信息的常见类型”，该报告为后续全国各地的相关执法提供了标准与指导。。

2.同意效果差

一些经营者会利用隐私政策不便阅读的特点，不加节制地索取消费者的授权同意。甚至当某些个人信息与经营者提供的产品或服务毫无关联时，经营者也会利用其举证优势，找各种看似合理的理由声称其收集行为具备必要性。这一行为背后的依据是隐私政策中有关个人信息收集目的的概括性条款。对超范围的收集行为，若非监管执法部门根据案件的实际场景判定构成“收集非必要个人信息”，消费者根本无从说理，只得被迫同意该“霸王条款”，以牺牲个人信息权益为代价换取经营者提供的服务。即使经营者并未超出必要范围收集个人信息，也难以保障消费者的“同意”是出于真正自愿。由于个人信息处理与数据利用活动具有较强的专业性、技术性，消费者很难意识到个人信息处理行为将对自身权益产生的实际影响。以电商平台为例，消费者同意授权提供“商品浏览信息”与“店铺关注信息”，可能以为是为了“保留个人搜索记录”或者“方便个人快捷进入某商品或店铺页面”；但就经营者而言，这种同意可能还意味着平台可以通过算法技术加工收集到的个人信息，并向消费者推送个性化广告。在此过程中，“大数据杀熟”等不利于消费者的风险问题会进一步加剧。当然，这种同意效果困境有时也不能全部归责于经营者。在一些消费者个人信息处理的特殊情境中，经营者的确难以事先在隐私政策中给出明确的目的说明。林洹民［14］通过剖析“数据分析”的过程来解释这一现象：由于数据分析采用全本而非样本，因此人们在事前根本无从知晓究竟会产生何种结果。在特定事由出现之前，经营者根本无法预测某一个人信息收集行为的必要性，更无法在隐私政策中提示相应风险。“同意”与“告知”存在的错位进一步加深了同意效果困境。

（二）告知同意规则适用困境产生的缘由

告知同意规则的“无差别”适用特点正是这一规则在告知和同意两个方面存在适用困境的根源：“无差别”的告知规则适用方面，监管执法部门如果完全按照“双方的约定”来评价个人信息处理行为，就忽视了部分特殊情况下无法或无必要告知的可能；“无差别”的同意规则适用方面，随着个人信息处理方式的日益多元，监管执法部门如果仍然不分场景严格适用“必要+同意”标准，就会导致消费者的同意产生一定程度的效力瑕疵。

1.“无差别”规则适用忽视了消费者的特殊性

由于告知同意规则在现行立法中仍主要体现为原则性、概括性的规定，因此监管执法部门在实务中大多需要援引一些规范性文件等下位法中对一般自然人的个人信息保护规定。然而，消费者作为一类特殊主体，与经营者存在信息不对称，明显有别于一般意义上的民事主体。此时双方关于消费者让渡个人信息处理权能的隐私政策不同于一般的民事合同。传统的“无差别”规则适用路径既不能适配经营者基于经营目的而收集个人信息的行业特点，也无法区分消费者在各个生活消费场景中的不同利益面向，无法实现对消费者个人信息的有效保护。

2.“无差别”规则适用忽视了生活消费场景的特殊性

告知同意规则产生于使用面对面个性化交流模式的前信息时代［15］。在纯粹的线下交易中，消费者与经营者面对面直接交付产品或服务，此时不存在信息技术的加持，也不存在个人信息的流转必要。即使偶尔出现少量需流转的个人信息，也可由消费者基于充分知情作出授权同意。然而，随着线上交易方式（如网购、外卖）和线上线下融合交易方式（如扫码点餐）的日益兴盛，经营者大多通过App、小程序等方式在线收集消费者的个人信息，由此形成庞大的个人信息集合。若一律适用最严格的告知同意模式，不仅会让经营者负担过高的个人信息处理成本，而且无法保证消费者对所有个人信息收集条目的充分知情。“无差别”告知同意规则的适用因交易方式的变迁而逐渐显得力有不逮。

事实上，同样类型的个人信息在不同场景下的认定并不一致，而同意豁免中“所必需”“合理的范围”等情形更是无法脱离特定情景来判断。这一点尤其体现在一般个人信息与敏感个人信息的界定问题上。“敏感”一词极具隐私意义，较大程度上保留了主观心理方面的色彩。个人信息的敏感与否总是因不同主体对个人信息及其处理场景存在的差异性认识而有所不同［16］。在生活消费的不同场景下，经营者处理个人信息的风险不尽相同，消费者对于个人信息处理行为的容忍度存在差异。据此，个人信息处理行为的正当性应结合具体场景来判断。

三、消费者个人信息保护的场景化规则适用路径

为弥合“无差别”规则适用路径的局限，有必要确立消费者个人信息保护的场景化规则适用路径。《个人信息保护法》等法律已经为场景化规则适用留存了制度空间，而“亮剑浦江”专项执法等实践探索也为此提供了经验。场景化规则适用的路径优化可以从消费者个人信息和产品服务功能两个视角展开。

（一）场景化规则适用的制度空间

个人信息兼具个体与社会流通的双重属性，故应当在具体场景中确立个人信息处理的合理边界［17］。传统的告知同意是一种静态化的个人信息保护路径，忽略了个人信息处理本质上是一个由多方主体共同构成的动态过程［18］。“不同阶段与场景中，各主体的参与程度和利益期待会发生变化，因此一组利益冲突背后的主要矛盾并不稳定。”［19］一方面，不同类型的个人信息具有的风险并不一致，对个人信息处理不同阶段的可控性也有所差异，无差别的保护可能使个人信息保护的目的落空。另一方面，在传统的“无差别”规则适用路径下，不论后续处理场景中的情况与风险如何变化，双方均须遵循一纸已经滞后的隐私政策，这难免使得相应的权利保护与义务负担失去平衡。无差别、静态化的个人信息保护或将失去法理依据。

1.场景化规则适用的基本要求

场景化规则适用主张通过“动态平衡”的方式保护个人信息，即综合多种因素对不同场景、不同阶段适用不同规则。“合理预期”是场景化规则适用的核心标准，其含义是“消费者在某一具体场景下对个人信息处理行为风险的预期和假设”［20］。在特定场景下，消费者对于经营者的个人信息处理行为不享有绝对的同意权。若个人信息处理场景与风险相一致，就认定处理行为符合消费者合理预期，此时不要求经营者获取消费者的同意［21］。换言之，只要符合特定的条件，消费者就必须对经营者径自处理个人信息的行为负担一定的容忍义务。因此，消费者的“合理预期”受到不同生活消费场景因素的影响，会随着个人信息类型、处理目的乃至经营者的变化而存在差异。但是，场景化规则适用并不意味着脱离实际去设立模糊的个人信息处理标准，而是为了解决个案的具体适用问题，“防控具体的而非抽象的风险”［22］。

2.《个人信息保护法》的制度空间

尽管告知同意规则尚未跳脱出“无差别”适用特点的局限，但是现行立法已经在《消费者权益保护法》等早期法律的基础上增加了告知同意豁免规则。同时，现行立法中有关个人信息分类保护的相关规定也意味着“告知”与“同意”的适用存在一定的浮动空间。《个人信息保护法》对特殊情形的差异化考量，在一定程度上体现了场景化保护的思想。因此，场景化规则适用并非空穴来风。它虽然有着动态化的特征，但并未摒弃《个人信息保护法》中“正当、必要、合理”原则的要求，也并非重构既有的告知同意规则。场景化规则适用旨在借助案例与程序来动态性地界定个人信息保护规则［23］。在这一视角下，消费者的同意仍然是最核心的规范和要求。在此基础上将“合理预期”标准作为告知豁免和同意豁免的依据，不仅有利于提高经营者个人信息处理行为的效率，而且能够平衡各方利益，进而有效应对“充分告知难”与“同意效果差”两方面的困境。

（二）场景化规则适用的实践探索

实践中，一些法院在敏感个人信息的认定标准等问题上早已开始探索场景化规则适用。在“庞理鹏诉北京趣拿公司案” 参见北京市第一中级人民法院（2017）京01民终509号二审民事判决书。中，法院认为有些消费者单个、孤立、可公示的个人信息一旦被收集、提取和综合，就具备可识别性，形成指向特定消费者个人的信息。姓名和手机号通常只是一般个人信息，但是在该案中，这些个人信息与行程信息结合后形成了一个信息组合。相比单个的姓名、手机号，该信息组合的泄露风险更大，故应当被视为敏感个人信息。该案对个人信息的特殊认定恰恰体现出消费者个人信息的敏感程度会随着生活消费场景的不同而有所变化，传统的二级分类标准并不适用于所有情形。在“王某诉微视案” 参见广东省深圳市中级人民法院（2021）粤03民终9583号二审民事判决书。中，法院在判断王某的“地区、性别”是否属于主观上不愿为他人知晓的隐私时，也结合了具体场景加以考量。法院认为，由于王某并未在微视的编辑页面修改“地区、性别”的展示效果，因此无法认定王某具有“隐私保护期待”。最终，法院认定被告不构成对王某隐私权的侵害。遗憾的是，这些司法个案中的场景化规则适用并未在监管执法领域有效推行。现行的个人信息保护监管执法仍然延续着“无差别”规则适用的传统路径。而为了防止“无差别”规则适用引发相关行政争议，许多地方监管执法部门只能选择不作为。

2023年，上海市网信办等部门通过“亮剑浦江”专项执法率先开启了消费者个人信息保护的场景化规则适用探索。这次专项执法行动指向八大典型生活消费场景，总结了不同场景下存在的个人信息侵权违规行为，并通过合规指引等方式强化实现了对消费者个人信息的保护。

首先，界定场景化的个人信息与敏感个人信息。《上海市汽车销售行业个人信息保护合规指引》（以下简称《汽车销售合规指引》）将汽车销售场景中的个人信息主体明确为车主、乘车人、行人等。相比仅保护车主个人信息的传统做法，该指引扩大了受保护的个人信息范围，有利于降低潜在的侵权违规风险。同时，该指引考虑到汽车销售涉及的大额生活消费场景，将《个人信息保护法》并未明确的“征信记录”纳入敏感个人信息范畴。此外，监管执法部门指出，餐饮场景中的邮箱等会员和公司员工个人信息、停车扫码场景中的车主手机号与车牌号、少儿培训场景中的学生姓名与监护人手机号、商超购物场景中的家庭卡用户身份证号码等信息均具有较大的泄露风险，但普遍未能获得加密、去标识化等安全保护措施［24］。与上述的“征信记录”类似，这些个人信息虽没有在现行立法中被明确认定为敏感个人信息，但有必要基于其在场景中的特殊性受到类似敏感个人信息的保护。

其次，限缩经营者个人信息处理的非必要权限。针对金融理财服务［25］、商超购物［26］等生活消费场景，监管执法部门指出：经营者在向消费者提供“使用接收验证码”“定位附近门店”等功能时，不得频繁提示注册登录，干扰消费者的正常使用。其背后的考量在于防止消费者因厌烦经营者的非必要干扰行为而忽视长期风险、违反真实意愿进行“同意”。针对网络理财小贷等生活消费场景［27］，监管执法部门明确指出“非必要关闭服务功能”属于违法情形。《徐汇区餐饮行业“扫码点餐”规范指引（试行）》针对强制扫码点餐乱象，提倡保留实体菜单，并要求不提供人工点餐服务的经营者须在经营场所内外显著位置将这一信息挂牌告知。在上述的监管执法中，虽然“必要”的界定标准仍未明确，但是这些结合场景作出的个案判定有效遏制了经营者超范围收集个人信息的行为。

最后，对特定的个人信息处理行为作差异化考量。针对汽车销售场景，《汽车销售合规指引》第4条第3款明确了对外传输个人信息时的告知豁免情形，即汽车销售行业经营者可以在无法征得消费者同意的前提下“通过车辆摄像头、雷达等方式采集车外个人信息且向车外提供”。车外个人信息由于在行车过程中时刻向不特定对象展现，因此不应当属于消费者不愿为他人知晓的个人信息，不存在泄露风险。经营者无需采取匿名化措施亦无需获取同意，即可出于提供服务的需要对外提供。针对租借充电器场景中的个人信息收集乱象，上海网信办发布了《租借手机充电器场景下所需最小必要个人信息清单》［28］。监管执法部门认为“租借充电器”这一生活消费场景涉及不同服务环节，而不同环节中个人信息处理的风险各不相同，因此该清单分别为不同环节设立了差异化的标准。

（三）场景化规则适用的路径优化

1.消费者个人信息视角下的场景化路径

针对一般个人信息与敏感个人信息的判定问题，可在现有的敏感性二分法基础上增加“敏感程度”的场景化界定标准，并尝试进行告知同意规则的动态化适用。

（1）消费者敏感个人信息的场景化界定

个人信息涵盖的范围存在浮动性。精确界定一般与敏感个人信息的做法是不现实的［29］，因而有必要赋予敏感个人信息动态化的外延。在敏感程度的界定问题上，相比传统的“可识别性”标准，场景化规则适用路径更强调“关联性”标准，即如果一般个人信息在具体的个人信息处理场景下可“链接”到敏感个人信息，就应将其当作为高风险的个人信息对待［30］。结合“亮剑浦江”专项执法的经验，首先，可以明确不同生活消费场景下个人信息的内涵与外延，以提请监管执法部门与经营者的高度注意。其次，基于“关联性”标准评估消费者个人信息的敏感程度与风险。此时可以通过直接列举的方式确定该场景下敏感个人信息的范畴，亦或直接从《个人信息保护法》第28条第1款中的既有举例进行选取。未来，针对地图导航、网络购物、线上社交等其他典型的生活消费场景，也应细化界定敏感个人信息。

（2）告知同意规则的动态化适用

针对不同场景以及不同类型的个人信息，可适用不同标准的告知同意规则。一方面，对于消费者敏感个人信息的收集行为，应当着重考察隐私政策的易读性和独立性。为了保障告知同意的实效，应摒弃传统文本式的隐私政策勾选模式。经营者应当在消费者开始接受产品和服务时主动弹窗，以表格等形式清晰展示该项个人信息的收集目的与处理方式，并为每项敏感个人信息的收集设置勾选。此外在隐私政策的文本中，经营者也有必要单独列出敏感个人信息的收集项目，采用下划线、粗体等突出显示的方式表明其重要性，引导消费者阅读。另一方面，在一般个人信息处理场景下，由于消费者的“合理预期”标准相对较低，故应当限缩告知同意规则的适用而仅采用默示同意的方式。经营者在告知时也应降低展现频率，只在隐私政策最前端以摘要等方式清晰说明收集目的、处理方式等核心内容，避免使用复杂语句。此时，消费者可减少点击操作，得以被“充分告知”。

2.产品服务功能视角下的场景化路径

《个人信息保护法》第16条是一种软化处理的同意豁免情形。在“提供产品或者服务所必需”的前提下，若个人不同意或撤回同意，经营者虽不可径自处理个人信息，但有权拒绝提供产品或服务。实践中囿于“提供产品或者服务所必需”标准的模糊，《个人信息保护法》第16条经常成为经营者实施“霸王条款”的依据。为解决这一难题，可进行如下两种路径优化。

（1）必要产品服务功能的场景化界定

不同场景中“提供产品或者服务所必需”的标准不尽相同，因而可将经营者的业务功能划分为“核心功能”与“非核心功能”。“核心功能”指经营者若不收集相应的个人信息，便无法正常提供消费者使用该产品或服务所根本期待的功能。核心功能可按照经营者在对其产品或服务进行推广宣传和定位时所采用的描述内容进行划分。比如对于外卖服务软件，“地址与联系方式”即为核心功能项下必需的个人信息。经营者若无法获得该类个人信息的同意授权则无法提供“送货上门”这一主要服务，故此时消费者应当负担较大的容忍义务。“非核心功能”与“核心功能”相区分，多为经营者出于改善消费者体验、提升产品或服务质量的需要而设置的。实践中为了“登录第三方账号”，经营者普遍要向消费者收集“身份绑定信息”。由于“身份绑定信息”在大部分生活消费场景下只起到辅助性作用，即使未被同意授权也不影响经营者正常提供服务，因此该类信息的处理风险超出消费者“合理预期”限度。

（2）“拒绝提供服务”的正当性衡量

在划分经营者的业务功能后，可将“是否为提供产品或者服务所必需”进一步阐释为“是否为产品或服务的核心功能所必需”。具体而言，经营者如果并未获得提供核心功能所需个人信息的同意授权，那么就直接享有拒绝提供服务的当然豁免权，并可将这一事由作为发生纠纷时的抗辩依据。反之，如果某个个人信息并非经营者提供核心功能所必需，那么应将选择权交还给消费者。消费者不同意授权意味着经营者丧失收集的必要性。此时经营者不享有拒绝提供服务的权利，但可关闭相应的非必要服务。在上述网络理财小贷场景下的“非必要关闭服务功能”违法案例中，“存储权限”为非核心功能，“麦克风权限”为核心功能。故经营者仅在收集“麦克风权限”所需个人信息时，方有权在消费者点击“不同意”按键后拒绝提供服务。

此外，为了防止经营者对自身业务范围作无限制的扩张解释，有必要将场景风险作为“核心功能”界定的考量因素之一，即如果存在个人信息处理风险更低的替代服务，就不应当以风险更高的服务作为核心功能的界定事由。餐饮行业“强制扫码点餐”就是一种典型体现。经营者在面对“消费者系被迫提供精确位置、手机号等个人信息”的质疑时，往往以优化服务质量为由主张收集行为的必要性［31］。场景化规则适用路径为这一认定难题提供了解决思路：人工点餐无需收集消费者的个人信息，相应的场景风险远小于扫码点餐。因此，经营者在有条件进行人工点餐时，不得以“扫码点餐属于自身提供的核心功能”为由坚持通过扫码收集个人信息，也不得径自拒绝提供服务。此时仍然应当适用一般的告知同意规则，由消费者自主选择采用何种点餐方式。

综上，以“是否为产品或服务的核心功能所必需”为标准进一步明确《个人信息保护法》第16条同意豁免的适用范围。而在经营者“核心功能”的界定上又以场景风险为着眼点，通过动态化、差异化的个案判断突破告知同意规则“无差别”适用特点的桎梏，为后续消费者个人信息保护的监管执法提供更为精细的判定标准。

四、结 语

在生活消费领域，现行立法中的告知同意规则无法有效适配不同消费情境中多重因素作用下的动态化场景。“亮剑浦江”专项执法为消费者个人信息保护的场景化规则适用提供了探索经验。基于此，本文在明确场景化规则适用的制度空间基础上，尝试从两方面确立消费者个人信息保护的场景化规则适用路径。该路径并非打破现有制度模式，而是从生活消费领域个人信息处理中各方主体利益平衡的视角出发，优化告知同意规则的适用方式。当然，在场景化规则适用路径下，消费者个人信息的处理场景会出现叠加现象，因此还需综合性地评定场景风险并决定告知同意规则的适用方式。2023年3月，中国消费者协会发布《2022年个人信息保护领域消费者权益保护报告》，建议再次修订《消费者权益保护法》以完善消费者个人信息保护制度［32］。如果正式启动了法律修订，如何健全完善消费者个人信息保护的场景化规则适用路径将是值得深入探讨的议题。

参考文献：

［1］范为.大数据时代个人信息保护的路径重构［J］.环球法律评论，2016，38（5）：92-115.

［2］丁晓东.数据到底属于谁？：从网络爬虫看平台数据权属与数据保护［J］.华东政法大学学报，2019，22（5）：69-83.

［3］王婧怡，李明辉.数字时代儿童个人信息安全保护的困境与出路［J］.浙江理工大学学报（社会科学），2023，50（4）：484-492.

［4］郑晓圳，钟晓雯.论读者个人信息处理中“同意”的类型化适用［J］.图书馆研究与工作，2023（10）：5-12.

［5］卢成.数字时代运动员个人信息保护的国际法规制研究［J］.中国政法大学学报，2023（4）：159-172.

［6］中国消费者协会.2022年个人信息保护领域消费者权益保护报告［R/OL］.（2023-03-08）［2024-02-15］.https：∥www.cca.org.cn/Detail？catalogId=492862039744581amp;contentType=articleamp;contentId=535616104992837.

［7］上海市人民政府办公厅.针对强制索取、超范围收集个人信息等八类问题，沪启动“亮剑浦江·消费领域个人信息权益保护专项执法行动［EB/OL］.（2023-06-16）［2024-02-15］.https：∥mp.weixin.qq.com/s/RXX-UK_mf__L_jT6-FtclA.

［8］李适时.中华人民共和国消费者权益保护法释义［M］.北京：法律出版社，2013.

［9］杨合庆.中华人民共和国网络安全法解读［M］.北京：中国法制出版社，2017：89-91.

［10］衣俊霖.论个人信息保护中知情同意的边界： 以规则与原则的区分为切入点［J］.东方法学，2022（3）：55-71.

［11］高富平.个人信息保护：从个人控制到社会控制［J］.法学研究，2018，40（3）：84-101.

［12］赵婧薇.个人信息保护中告知同意规则的规范构造［J］.北方民族大学学报（哲学社会科学版），2022（2）：143-150.

［13］中华人民共和国工业和信息化部.关于侵害用户权益行为的APP（SDK）通报： 2024年第5批，总第40批［A/OL］.（2024-06-28）［2024-06-30］.https：∥www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_671fab3ab5924eed852bf55886dfed96.html.

［14］林洹民.个人信息保护中知情同意原则的困境与出路［J］.北京航空航天大学学报（社会科学版），2018，31（3）：13-21.

［15］田野.大数据时代知情同意原则的困境与出路： 以生物资料库的个人信息保护为例［J］.法制与社会发展，2018，24（6）：111-136.

［16］莫琳.敏感个人信息的界定及其完善［J］.财经法学，2023（2）：21-35.

［17］丁晓东.个人信息的双重属性与行为主义规制［J］.法学家，2020（1）：64-76.

［18］赵祖斌.从静态到动态：场景理论下的个人信息保护［J］.科学与社会，2021，11（4）：98-116.

［19］王静，高志明.权利束视角下个人信息自动化处理中的利益衡平［J］.浙江理工大学学报（社会科学），2023，50（3）：307-315.

［20］Nissenbaum H. A contextual approach to privacy online［J］. Daedalus， 2011， 140（4）： 32-48.

［21］Nissenbaum H. Privacy as contextual integrity［J］. Washington Law Review， 2004， 79（1）： 119-157.

［22］李润生.论个人健康信息“利用友好型”保护模式的建构［J］.行政法学研究，2021（5）：79-90.

［23］丁晓东.《个人信息保护法》的比较法重思：中国道路与解释原理［J］.华东政法大学学报，2022，25（2）：73-86.

［24］上海市互联网信息办公室.上海网信部门处罚一批未尽消费者个人信息保护义务单位 五大类问题值得关注［EB/OL］.（2024-01-29）［2024-05-10］.https：∥mp.weixin.qq.com/s/B_h-stKolOShBivtNCcBfA.

［25］上海市互联网信息办公室.亮剑浦江上海组织140余家金融理财服务类机构开展个人信息保护普法培训［EB/OL］.（2023-09-05）［2024-02-10］.https：∥mp.weixin.qq.com/s/dzKhxwIIB4LclAOv7Q-CrQ.

［26］上海市互联网信息办公室.上海市消保委与连锁经营协会联合推出上海市商超购物个人信息保护合规指引［EB/OL］.（2023-11-06）［2024-05-01］.https：∥mp.weixin.qq.com/s/4CgVyVJsWBN1dfGXYRR8eQ.

［27］上海市互联网信息办公室.亮剑浦江上海市网信办发布《网络理财小贷场景违法违规收集使用个人信息案例解析》：一［EB/OL］.（2023-09-13）［2024-05-01］.https：∥mp.weixin.qq.com/s/-V8T8fYZa8u-lSeh69xhwA.

［28］上海市互联网信息办公室. 亮剑浦江约谈整改 立案处罚 行业示范 上海市网信办整治租借手机充电器场景侵害个人信息权益乱象［EB/OL］.（2023-08-30）［2024-05-10］.https：∥mp.weixin.qq.com/s/CxcHUvAs20xk0tHO8eCn5A.

［29］田暐，余少威.关于刑法“公民个人信息”独立法益地位的探讨［J］.浙江理工大学学报（社会科学版），2019，42（1）：75-81.

［30］Nissenbaum H. Privacy in Context： Technology， Policy， and the Integrity of Social Life［M］. New York： Stanford University Press， 2010：129.

［31］叶正夏.扫码消费的个人信息保护及规制建议［J］.中国律师，2024（4）：72-74.

［32］中国消费网.中消协建议：修订《消费者权益保护法》，完善消费者个人信息保护法律制度［EB/OL］.（2023-03-09）［2024-02-25］.https：∥www.ccn.com.cn/Content/2023/03-09/1545082032.html.