作者：蔣筱熙? 深圳知識產權法庭副庭長

　　數據可以合法自由流通的前提是數據收集和使用的合法性和正當性。在數字虛擬社會中，人類維持數字化生存隱私安全時刻遭受到挑戰(zhàn)和威脅，數據能否有效地開放、共享，在根本上取決于對數據進行全面嚴格的保護。[1]自然人作為數據的重要來源主體之一，其個人信息作為數據的基礎來源已經成為經濟社會發(fā)展的重要數據資源類型。在互聯(lián)網時代，涉及個人數據的場景和個人信息收集技術手段不斷更新迭代，《民法典》《個人信息保護法》和《網絡數據安全法》均要求對個人信息的收集和處理符合“合法、正當、必要”基本原則，但對于究竟如何準確理解并正確適用“合法、正當、必要”原則，現行法律規(guī)定均沒有給出明確的標準。

　　互聯(lián)網平臺收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，這一規(guī)定已是公認的遵循原則。[2]該原則分別評價個人信息處理的形式合法性、目的正當性和手段必要性?！昂戏ㄔ瓌t”是對數據收集和使用最基本的法律要求，主要是指個人信息處理應符合法律的明確規(guī)定，包括依據合法、方式合法和結果合法，如符合告知同意程序、符合存儲期限要求?！罢敗⒈匾瓌t”屬于實質合法性范疇，是對個人信息處理目的與手段的評價。

　　一、合法原則對“知情+同意”的認定要求

　　合法原則要求個人信息處理應符合法律的明確規(guī)定，包括依據合法、方式合法和結果合法，除了滿足法律和行政法規(guī)[3]對平臺的要求，其中最為重要的是“取得個人同意”要件。個人信息收集作為整個個人信息生命周期管理的第一個環(huán)節(jié)，“知情+同意”原則是互聯(lián)網平臺合法收集處理個人信息的前提。知情要求用戶享有對被收集個人信息的內容以及使用方式和使用范圍的知情權，不僅包括信息主體對收集信息內容的知情，還應當包括對收集、使用的目的、方式和范圍的知情。

　　（一）“知情+同意”的立法規(guī)定

　　《個人信息保護法》規(guī)定除明確規(guī)定的事項外，處理個人信息須取得個人同意。不同國家對同意的認定方式不同。歐盟《通用數據保護條例》（以下簡稱GDPR）的立法原則是在取得數據前要保證足夠透明度，“應通過明確的肯定行為來表示許可同意”[4]，即必須構成明示同意?！睹绹鴶祿[私和保護法案》（American Data Privacy and Protection Act，以下簡稱“《法案》”）草案文本在保護邏輯上與歐盟GDPR和我國《個保法》存在著根本性的不同，體現出高自由度、重視個人數據底線保護之上的價值釋放的特點[5]，并不要求數據處理活動的開展以具備合法性基礎為前提，而是列明了特定情況下對敏感個人數據或事關生活財產安全數據的處理活動的限制，如與社會保險號碼、個人的精確地理位置信息、生物特征信息、密碼、非自愿拍攝的私密圖像、聚合數據、遺傳信息、個人身體活動信息等數據相關的處理活動的限制。

　　我國相關立法對于個人信息收集與歐盟和美國相比并不完全相同，《個人信息保護法》雖然在合理使用情形之外要求取得個人同意方可處理個人信息，但沒有要求“”明確的肯定行為”才能構成同意，也未如美國《法案》草案文本原則上不要求個人同意，這也為個人信息收集和處理者的行為提供了可探討的空間。從數據利用目的來看，我國數據立法的目標不應當是短時間內的個人數據權利的最大化，而應當是民眾利益或福利的最大化。民眾利益或福利當然包括個人數據權利，但也涉及國際安全、公共安全、經濟安全與社會穩(wěn)定等整體性利益，還包括以較低價格（或者免費）獲得創(chuàng)新性的產品或服務。[6]這也需要個人信息保護的在實踐中尋找各方利益的平衡。

　　（二）“知情+同意”司法認定實踐

　　知情的范圍和有效同意的意思表示的判斷標準是客觀標準，非互聯(lián)網平臺一方或者用戶個人的單方認識?？陀^標準的確定可以從信息處理者告知信息主體的“透明度”來衡量，即一般理性用戶在具體場景下，對信息處理主體處理特定信息的目的、方式和范圍知曉的清晰程度，以及作出意愿表示的自主、具體、明確程度。

　　黃某與騰訊科技廣州分公司、騰訊科技（北京）有限公司隱私權、個人信息權益網絡侵權責任糾紛[7]（以下簡稱“微信讀書案”）、米某與深圳市騰訊計算機系統(tǒng)有限公司隱私權、個人信息保護糾紛[8]（以下簡稱“米某微視案”），法院對個人非敏感信息收集的“知情+同意”的判斷標準是一致的：互聯(lián)網平臺獲取非敏感個人信息的授權同意，并不要求特別告知，而是綜合考慮用戶的選擇可能、選擇能力、進行相應選擇對用戶的實質影響等因素予以判斷。國家互聯(lián)網信息辦公室、工業(yè)和信息化部、公安部和國家市場監(jiān)督管理總局公開發(fā)布的《APP違法違規(guī)認定方法》認為用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限行為以及以默認選擇同意隱私政策等非明示方式征求用戶同意屬于“未經用戶同意”的行為。

　　對于用戶首次授權同意后又取消授權的情形，則需要根據具體的情形予以討論。王某訴騰旭公司個人信息保護糾紛案（以下簡稱“王某微視案”）[9]中，原告王某首次通過微信登錄“微視”APP，授權“微視”APP獲取其微信好友關系；后王某卸載“微視”APP恢復手機出廠設置后，重新下載“微視”APP和微信，通過原同一微信號再次登錄“微視”APP，王某在該次登錄“微視”APP時取消勾選，沒有授權同意微視使用“微信好友關系”，但查看“微視”APP后發(fā)現“微視”APP仍然在后臺保留使用其微信好友權限。法院認定在用戶卸載重新安裝登錄并且拒絕授權微視使用“微信好友關系” 后依然在后臺默認打開使用用戶“微信好友關系” 的行為不符合原告對其授權行為意思后果的“合理預判”，故“微視”APP在王某二次下載“微視”APP未予授權的情況下繼續(xù)使用其“微信好友關系”的行為并未獲得有效的用戶知情同意。

　　前述案例表明對用戶明確表示拒絕的選項，互聯(lián)網平臺違背個人意愿擅自使用或修改其個人信息或者以欺騙方式誘導個人數據主體對個人信息的授權，均屬于法律所認定的違法行為。

　　（三）強制授權的認定

　　實踐中，互聯(lián)網平臺的強制授權通常表現為用戶不同意互聯(lián)網平臺要求提供的全部信息則不能獲得基礎服務。胡某訴攜程公司大數據案[10]（以下簡稱“攜程大數據案”）中，攜程APP的《服務協(xié)議》《隱私政策》均要求用戶特別授權攜程及其關聯(lián)公司、業(yè)務合作伙伴共享用戶的注冊信息、交易、支付數據，并允許攜程及其關聯(lián)公司、業(yè)務合作伙伴對用戶信息進行數據分析，且對分析結果進一步商業(yè)利用。法院認為包括個人用戶日志信息、設備信息、軟件信息、位置信息等屬于個人信息。攜程APP在打開之后要求用戶在“同意（其《隱私政策》《服務協(xié)議》）并繼續(xù)”和“不同意并退出”中做出選擇。法院認為攜程APP的《服務協(xié)議》《隱私政策》恰恰以拒絕提供服務形成對用戶的強制，迫使用戶許可其采集和使用非必要信息。以拒絕提供服務作為取得授權的前提，構成強制授權。

　　在微信讀書案件中，法院對強制授權表達了不同的態(tài)度。騰訊公司采取了對頭像、昵稱、性別等公開身份信息與好友列表一次性授權、不授權即無法使用的方式。法院認為，在不違反法律規(guī)定及公序良俗的前提下，騰訊公司可以對服務內容進行選擇，并在征得用戶有效同意前提下收集與服務相關的信息。用戶若不同意收集某項信息則無法使用該APP應用，是騰訊公司對微信讀書運營模式的選擇。與微信已實際成為大多數網絡用戶必不可少的社交應用、不使用會帶來明顯不便有所區(qū)別的是，移動閱讀的需求并非為廣大用戶所必需，用戶不使用微信讀書不會感到生活明顯不便，亦不會被實質上剝奪在市場上選擇同類型產品的權利，用戶可以在市場競爭中做出選擇。

　　是否構成強制授權需要依據平臺基礎服務提供的功能進行判斷，這也符合用戶基于基礎服務選擇APP的初衷；但是，對于如何判斷基礎服務則缺乏統(tǒng)一的認識。此外，互聯(lián)網平臺的運營模式是否成為強制授權的合理理由在實踐中存在爭議，微信讀書案的判決顯示出尊重企業(yè)自主經營行為對服務市場的影響與用戶個人選擇權利之間的價值博弈，可以預見的是隨著互聯(lián)網平臺在數字產業(yè)與其他產業(yè)的“數實融合”過程中作用的凸顯，這類爭議會更加尖銳。

　　二、個人敏感信息、非敏感信息與正當原則的關系

　　正當原則不僅要求目的正當，還要求方式正當，即應遵循使用（包括共享和轉讓等）形式和程序的正當性。判斷個人信息處理是否正當，要求信息收集和處理者應當在個人同意的范圍內合理收集，同時要求充分告知，保證用戶對個人信息使用和收集的知情權以保證用戶充分理解平臺對個人信息的收集和使用方式和范圍符合其“合理期待”。平臺向用戶披露信息收集、處理的目的和范圍并為用戶提供拒絕自動化選項以保障對用戶利益影響最小化的義務標準往往通過正當性評價。正當性是一個抽象的概念，具體到實踐意味著在追求保護個人信息和收集處理個人信息使其得以流通和后續(xù)創(chuàng)新的二元價值平衡上對互聯(lián)網平臺處理個人信息的范圍和方式的容忍程度。

　　競爭法劃定了數字經濟中市場主體的經營行為邊界，而由于個人信息保護法律制度直接設立了數字經濟中最重要的個人數據的收集、流轉和處理規(guī)則，從某種程度上來說，個人信息保護法律制度本身對數字市場競爭會帶來影響。[11] 信息收集的目的在于數據集的流通使用，以促進數據合規(guī)高效流通使用為目的的數字經濟發(fā)展需要合理界定各方的權利和義務。非敏感個人信息對用戶人身和財產安全不會造成重大影響，以數據流通為目的的數據收集和處理，收集和處理方并不可能預見未來可能產生的流通對象和使用方式，如對其課以較高的告知義務，不利于數據流通。我國《數據安全法》確立了國家層面的數據分類分級保護制度，將該制度的核心目標確立為保護重要數據及核心數據，并完善跨境數據流動“分級分類+負面清單”監(jiān)管制度。對個人信息的收集亦可采用“分級分類+負面清單”模式，尤其是數據中小企業(yè)，如對所有個人信息收集均需履行告知及獲得明確授權的要求，則難以避免加重數據收集者的成本，妨礙數據流通及創(chuàng)新。

　　《關于構建數據基礎制度更好發(fā)揮數據要素作用的意見》明確要求推進個人數據分類分級確權授權使用。學界也有人提出了“兩頭強化、三方平衡”[12]的信息處理理論，即“強化個人敏感信息的保護”和“強化個人一般信息的利用”，平衡個人信息主體、信息控制者和管理者之間的利益，以期最大限度地調和個人信息保護與企業(yè)利用之間的矛盾，促進個人信息合理利用。

　　區(qū)分“敏感個人信息”與“一般個人信息”進行必要性判斷，符合數據產業(yè)發(fā)展需求及信息主體合理預期。一般個人信息與敏感個人信息因為識別性的差異，給信息主體所帶來的潛在信息風險也存在差異，強化“個人敏感信息的保護”是為了最大化保障敏感個人信息所附著的識別性利益，強化“個人一般信息的利用”是為了促進數據的正常使用，二者之間應該尋求平衡，而不是犧牲數據利用，追求個人信息保護的最大化。通過建立個人信息分級條款，對非敏感個人信息采取有條件的寬泛同意的模式（概括性模式），將知情同意的標準和信息披露的尺度要求降低。非敏感的個人信息與人格尊嚴的關聯(lián)度不大，其同意規(guī)則的設置可以淡化處理，以保證數據流動。[13]

　　三、信息收集必要性的認定

　　必要原則，又稱最小損害原則，是指在正當原則已被肯定后，在能達成目的的多個方式中，選擇對個人信息權利損害最小的方式，即需“禁止過度損害和保障不足”，從而保障個人信息處理不得超出正當目的、損害最小以及信息處理的內在利益平衡。

　　對于必要原則的理解，應當結合信息的分類層級和收集、處理個人信息的目的進行區(qū)別。若針對所有個人信息類型，均采用“實現功能所必需”的判斷標準，即沒有上述個人信息的參與，產品或服務的功能無法實現，忽略了產業(yè)發(fā)展對于創(chuàng)新性、安全性及產品優(yōu)化等方面的需求，不符合業(yè)務實際發(fā)展需求。《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》[14]規(guī)定必要個人信息，是指保障App基本功能服務正常運行所必需的個人信息，缺少該信息App即無法實現基本功能服務。一方面，必要原則要求個人信息處理不得超出正常提供服務的目的，并且對個人權益造成最小損害，禁止損害過度。另一方面，必要原則要求個人信息處理者積極作為，采取必要的組織與技術措施，最大程度保護個人信息，禁止保障不足。必要原則是從“后果”上規(guī)范行為與所追求的目的之間的比例關系。[15]在判斷互聯(lián)網平臺收集、使用個人信息是否必要時，需要綜合考慮產品或服務的性質和類型、對個人信息的收集和使用程度、對個人信息的合理保障等因素。不同的互聯(lián)網應用程序應當根據提供的不同服務界定不同的必要個人信息，例如地圖導航類、網絡約車類、即時通信類、網絡社區(qū)類、網絡支付類、求職招聘類、網上購物類、交通票務類等，所需要提供的必要信息并不相同。

　　必要性的判斷應當以個人信息處理所帶來的風險與特定目的實現所帶來的利益相比須符合一定比例，可以從個人信息種類和處理個人信息的目的兩個維度進行判斷。

　　從個人信息種類來說，對敏感個人信息，必要原則適用進行嚴格限制，以采用“實現功能所必需”的判斷標準。對一般個人信息，最小必要原則的適用可采用“該信息的使用，與實現功能相關”的判斷標準，除了實現基礎功能所必需外，可用于該功能的輔助功能實現及產品效果優(yōu)化提升等。

　　從處理個人信息的目的而言，理解“實現處理目的的最小損害”需以提供的產品或服務的功能或目的進行判斷。產品定位影響著產品相關功能設計合理性的認定，進而影響用戶對其個人信息處理的合理預期，即如果沒有某些個人信息，個人信息處理者的處理目的就完全無法實現或者說主要、核心的目的無法實現，即收集的范圍是實現互聯(lián)網平臺提供基本服務的信息收集范圍中對用戶個人信息權利影響最小的范圍，而對于衍生功能或平臺所稱為提供更好的服務體驗需要收集的信息并不屬于必要個人信息。

　　攜程大數據案中，法院認為包括個人用戶日志信息、設備信息、軟件信息、位置信息等屬于個人信息，攜程公司對個人信息的收集超出了最小范圍之限，攜程公司卻通過在向用戶提供服務前，以概括授權的方式，要求用戶對與預訂酒店無關的賬戶信息、設備信息以及位置信息等一并允許攜程公司予以收集、使用，超出了實現酒店預訂等核心、主要的處理目的所必須的信息范圍，特別是將信息分享給攜程公司可隨意界定的關聯(lián)公司、業(yè)務合作伙伴進行數據分析和商業(yè)利用，不符合最小損害原則要求，超越了形成訂單所必須的要素信息。其中將用戶信息分享給攜程公司可隨意界定的關聯(lián)公司、業(yè)務合作伙伴進行進一步商業(yè)利用更是既無必要性，又加重了用戶個人信息使用風險，屬于非必要信息的采集和使用。

　　同樣針對“微視”APP案、王某“微視”案中，法院認為“微視”APP獲取用戶“地區(qū)、性別”個人信息，但同時又允許用戶在微信和“微視”APP隨意更改和填寫，說明“地區(qū)、性別”信息的準確性、一致性并非使用“微視”APP服務所必須，騰訊公司亦未能證明在微視獲取微信用戶地區(qū)和性別作為使用微視的必要性，故認定被告收集地區(qū)和性別信息違反了必要性原則。

　　上述案例顯示，衡量互聯(lián)網對必要性信息的判斷是基于互聯(lián)網平臺提供的基礎功能決定的，對于超過基礎功能收集的信息的告知和授權方式則未明確具體要求。

　　四、互聯(lián)網平臺對個人信息收集使用的原則與合理使用的平衡

　　個人信息保護的價值兩端，一方面要最大化地保護個人信息的安全，另一方面又要考慮個人信息體現的數據要素價值的合理利用。但個人信息的保護和利用本身就是矛盾體……[16]，尤其是涉及公共利益或用戶個人利益時，用戶的知情同意并非數據處理的唯一合法基礎?！睹穹ǖ洹返?036條規(guī)定處理個人信息免責的三種情形，一是經信息主體同意合理實施的行為，二是合理處理自然人公開或者其他已經合法公開的信息；三是為維護公共利益或者該自然人的合法權益合理實施的行為。第1036條規(guī)定的后兩者情形可以理解為包括互聯(lián)網平臺在內的信息處理者合理使用個人信息的條件。不難看出《民法典》對 “合理使用”情形中需遵循“合理性”的要求?！秱€人信息保護法》第13條第2至7款，就個人信息“合理使用”的情形進行了規(guī)定，即前述情形中處理個人信息不以取得個人同意為前提[17]，相較于《民法典》，《個人信息保護法》中“合理使用”的適用空間更大也更為具體，對未經許可處理個人信息的行為要構成“合理使用”，也會在“必要”的基礎上，結合處理行為的“合理性”綜合考量。

　　（一）未征得明確授權同意情形下的合理使用的問題

　　互聯(lián)網平臺未經許可使用個人信息如需構成合理使用必須符合《民法典》和《個人信息保護法》明確規(guī)定的情形，現行法律并未將互聯(lián)網平臺作為數據處理者的行業(yè)利益納入合理使用范疇。有判決認為在沒有對信息主體造成不合理損害的前提下，認定某些個人信息的利用行為可以不必征得信息主體的同意。凌某某與北京微播視界科技有限公司隱私權、個人信息權益網絡侵權責任糾紛[18]中，法院認為在處理手機通訊錄中聯(lián)系人姓名和手機號碼時，既是對手機用戶個人信息的處理，又是對通訊錄中聯(lián)系人個人信息的處理，一般要征得兩類主體雙重同意，既應征得手機用戶同意，又應征得每條通訊錄聯(lián)系人的同意。但是，如果要求在任何使用場景下都必須嚴格征得雙重同意，有可能會導致具體場景下利益的失衡。法院認定被告未取得雙重同意構成侵權，但同時認為“適度允許互聯(lián)網行業(yè)在安全的前提下合理使用個人信息，則可以促進互聯(lián)網行業(yè)和數字經濟的發(fā)展，增加整個社會的福祉……”。

　　該案中，法院采用“功能主義”法經濟學立場，認為“雙重同意”可能導致具體場景利益失衡，“可能導致個人信息處理和數據利用的成本過高，甚至阻礙信息產業(yè)的健康發(fā)展”。[19]本案提出了一個問題，即互聯(lián)網行業(yè)和數字經濟利益是否可以作為可以合理使用的可能場景。

　　參考歐盟GDPR規(guī)定了五類未經許可處理個人數據構成合理使用的情形[20]，包括：履行個人參與的合同；數據控制者為履行法定職責；為了保護個人的核心利益；為公共利益或因官方權威要求而履行某項任務；對于數據控制者或第三方所追求的正當利益是必要的，但這種正當利益不得凌駕于需要通過個人數據保護以實現數據主體的基本權利與自由，特別是兒童的基本權利和自由?！皵祿刂普叩恼斃妗彪m然表明個人的權利不總是優(yōu)先，而是需要在用戶個人權利與數據控制者的合法利益之間作出平衡，該條的規(guī)定正如其附加限制條件，不能誤解為企業(yè)能夠以自身正當利益為由未經許可合理使用個人信息。目前GDPR可以使用“數據控制者的正當利益”的情形包括：1.如果企業(yè)與用戶有實際交易關系，或者與用戶在達成交易的過程中，可以適用本條通過默認許可（soft opt-in ）的方式，發(fā)送與此前交易商品或服務相關的營銷信息，直到用戶明確拒絕為止[21]；出于保障網絡信息安全目的處理個人信息、以預防欺詐為目的的數據處理活動[22]等。?

　　行業(yè)發(fā)展至少是被排除在企業(yè)正當利益之外。為互聯(lián)網行業(yè)的發(fā)展而允許其未經許可使用個人信息，則可能導致任何行業(yè)均可以以促進發(fā)展并以此作為公共利益為由使用個人信息，這一觀點顯然有悖于立法對合理使用規(guī)定的目的。公共利益雖然沒有一個可明確界定的范圍[23]，但一個特定行業(yè)的發(fā)展是否可以上升到公共利益層面，依賴于“誰來決定公共利益”，在沒有一個特定授權認定的情況下，并不適宜將特定行業(yè)發(fā)展前景上升為公共利益。司法并非不可判定產業(yè)利益是否屬于公共利益，正因為某一產業(yè)利益將關系更廣范圍、影響更深遠，針對具體案件時應當有更多數據或行業(yè)分析支撐，避免站在互聯(lián)網企業(yè)內部角度論證行業(yè)發(fā)展的合理性。

　　（二）同一主體運營的產品之間對積累的經營優(yōu)勢的合理利用問題

　　互聯(lián)網平臺是否可以對其成功開發(fā)及運營的其他產品或服務所積累的用戶關系等數據，在其開發(fā)的其他關聯(lián)產品中予以合理利用。

　　米某微視案和微信讀書案中法院均認可在不違反法律規(guī)范及原則、不侵害用戶合法權益為前提下，互聯(lián)網平臺對成功開發(fā)及運營微信所積累的用戶關系數據，可以在其關聯(lián)產品中予以合理利用，如在部分軟件中開發(fā)或增強社交功能，“微視”App中若要開展微信好友間的視頻動態(tài)社交，收集用戶微信好友關系信息并不違反必要性原則。

　　針對這一觀點有兩個問題需要考慮：第一，關聯(lián)產品如何界定；第二，個人用戶信息的合理使用是否可以擴展到商業(yè)目的，假定收集和處理個人信息的互聯(lián)網平臺具有正當利益，不同的互聯(lián)網產品提供的服務和用戶對象并不相同，不同的利害關系人對關聯(lián)產品的界定也不相同，是否允許互聯(lián)網平臺自我界定關聯(lián)產品需要慎重。現行已頒布生效的法律就個人信息合理使用范疇嚴格限定，并不得擅自擴充。大型互聯(lián)網平臺為平臺內經營者處理個人信息提供基礎技術服務、設定基本處理規(guī)則，是個人信息保護的關鍵環(huán)節(jié)。若不加區(qū)分地允許互聯(lián)網平臺對其成功開發(fā)及運營的其他產品或服務所積累的用戶關系等數據在其開發(fā)的其他關聯(lián)產品中使用，則意味著將合理使用范圍擴大到商業(yè)目的，相較于普通信息處理者的權利而言，反而擴大了互聯(lián)網平臺的利益，這種設定不符合立法目的。

　　個人信息的保護和促進數據價值的利用即使不算是絕對矛盾，也是兩種相沖突的價值追求。美國通過制定合理使用信息原則（以下簡稱“FIPP原則”）達到個人信息保護與合理利用的平衡。FIPP原則提出的合理使用個人信息原則包括透明性、個人參與、明確用途、數據最小化、使用限制、數據質量和完整性、安全性、可追責與審計。[24]遵循這一原則，2010年12月，美國聯(lián)邦貿易委員會發(fā)布的隱私問題報告中要求設計一個“do not track”系統(tǒng)讓用戶能夠控制自己在網絡上的隱私信息。[25]當用戶提出“do not track”請求表明不希望被追蹤時，遵守該規(guī)則的網站就不會追蹤用戶的個人信息用于商業(yè)廣告。仿照這個原則，對于不違反法律明確禁止的且不屬于用戶敏感信息的個人信息，可以由獲取信息的平臺明確用途、數據最小化、使用限制、數據質量和完整性、安全性、可追責的原則告知用戶，在用戶不明確提出反對的情況下可以收集個人信息。

　　結語

　　數據是數字經濟時代重要的生產要素，信息是數據的基礎，個人信息保護的目的是促進數據的合理使用。[26]要在充分保護個人信息的前提下，探索實現更加精確的數據確權，更加合理的數據使用，激發(fā)市場主體活力和創(chuàng)新力。數據作為新的生產要素，其顯現的價值在數字經濟中對于提升一國競爭力極其重要。無論是人工智能還是數字經濟的有序推進，合法的、干凈的數據是基本要求也是其得以快速、健康發(fā)展的基礎。充分保障個人作為數據來源主體的合法權益的同時，要承認和保護數據收集者和處理者等數據要素各參與方的合法權益，合理界定數據要素市場各方參與者的權利和義務。

　　保護是基礎，利用是目的。對個人信息的保護應采取更加宏觀的思維框架，在保證作為數據重要來源之一的個人信息獲取的合法性前提下，要平衡保護與數據獲取、流動、后續(xù)創(chuàng)新的問題，釋放數據流轉利用的渠道范圍及價值作用，正確處理個人數據原始所有者、數據收集者、處理者等數據流通過程中的權責劃分是鼓勵相關主體積極參與數據流通的關鍵。?

　　在與市場和諧關系方面，個人信息保護機制幫助市場更有效和穩(wěn)定的運行。規(guī)范互聯(lián)網平臺、APP服務商對用戶數據的收集和使用則是為數字經濟健康有序發(fā)展提供基本保障。在保證個人信息的取得和使用滿足法律要求的基礎上，尊重當事人意思自治與契約自由，用戶可以較低價格甚至免費獲得創(chuàng)新性的產品或服務，互聯(lián)網產品的提供者也在保證合法、正當地獲取個人信息、在個人信息的處理中遵守必要性和誠信原則的前提下使用和處理個人信息，實現個人數據權益保護與數據流動發(fā)展之間的平衡。

　　注釋：

　　1.彭誠信主編，《數據的邊界——隱私與個人數據保護》，上海人民出版社，第11頁。

　　2.《中華人民共和國民法典》第一千零三十五條規(guī)定：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理?！吨腥A人民共和國網絡安全法》第四十一條規(guī)定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息?！薄秱€人信息保護法》第五條規(guī)定，“處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息?！?/span>

　　3.如《信息安全技術個人信息安全規(guī)范》《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》等。

　　4.參見《歐盟通用數據條例》第32條。

　　5.《美國數據隱私和保護法案：發(fā)揮數據價值 利益團體妥協(xié)》，信通院互聯(lián)網法律研究中心，轉自微信公眾號“數字經濟與社會”，2022年6月10日。

　　6.何淵主編，《數據法學》，北京大學出版社2020年7月第1版，第19頁。

　　7.參見北京互聯(lián)網法院（2019）京0491民初16142號民事判決書。

　　8.參見北京互聯(lián)網法院（2019）京0491民初30918號民事判決書。

　　9.參見深圳市中級人民法院粵03（2021）民終9583號民事判決書。

　　10.參見浙江省紹興市中級人民法院（2021）浙06民終3129號民事判決書。

　　11.孟雁北等著，《大數據競爭——產業(yè)、法律與經濟學視角》，法律出版社2020年版，第232頁。

　　12.張新寶：《論個人信息權益的構造》，《中外法學》2021年第5期。

　　13.蔡一博：《<民法典>實施下個人信息的條款理解與司法應對》，《法律適用》2021年第3期（總第468期）。

　　14.國家互聯(lián)網信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局聯(lián)合印發(fā)《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》，2021年5月1日起施行。

　　15.蘭磊著，《論反壟斷法多元價值的平衡》，法律出版社，第1版，第74頁。

　　16.朱曉武 黃紹進著，《數據權益資產化與監(jiān)管——大數據時代的個人信息保護與價值實現》，人民郵電出版社2020年版，第64頁。

　　17.《個人信息保護法》第13條第2至7款：為訂立、履行個人作為一方當事人的合同所必需，或者實施人力資源管理所必需；為履行法定職責或者法定義務所必需；為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；為公共利益實施新聞報道、輿論監(jiān)督；個人自行公開或者其他已經合法公開的個人信息等。

　　18.參見北京互聯(lián)網法院（2019）京0491民初6694號民事判決書。

　　19.盧震豪：《我國<民法典>個人信息合理使用的情形清單與評估清單》，《政治與法律》2020年第11期。?

　　20.參見歐盟《通用數據保護條例》第43-47條的規(guī)定。

　　21.詳見與GDPR密切相關的ePrivacy Regulation(電子商務法)對電子營銷作出的規(guī)定。

　　22.GDPR RECITAL 47。

　　23.學者認為，公共利益的實體解釋理論無法界定“不特定多數”概念，對“利益”的內涵也無法形成共識。參見劉連泰：《如何解釋“”公共利益“”》。百度百科認為“公共利益”是指一定范圍內不特定多數人的共同利益，具有內容的可變性、不可窮盡性、直接相關性等特點。

　　24.孟雁北等著，《大數據競爭——產業(yè)、法律與經濟學視角》第234頁。

　　25.孟雁北等著，《大數據競爭——產業(yè)、法律與經濟學視角》第234頁。

　　26.參見中國人民銀行行長易綱在2021年香港金融科技周的視頻演講。