来源 | 北大法宝法学期刊库
《法商研究》2026年第2期
作者 | 冯洁语,南京大学法学院教授
北大法律信息网签约作者
内容提要:现有的个人数据对价论,虽然顾及了当事人约定个人数据提供义务对合同法和个人信息保护法的影响,但是受欧盟及其成员国立法发展的影响,过于强调数据交易规范与数据保护规范、合同义务与个人数据处理行为的区分,忽视了合同法与个人信息保护法的协动关系。从数据私法的内部体系建构来看,数据保护与数据利用处于同一位阶,自我决定与自我负责、信赖责任处于同一位阶。从个人数据合同对价法的外部体系建构来看,当事人约定的个人数据提供义务在债法义务体系中的定位,在不同的商业模式下有所不同。但最关键的是,当事人可以通过约定将本需同意才能处理的个人数据升格为履行合同所需的个人数据。由此,交易法规范和保护法规范可以实现协动。
关键词:个人数据对价化;履行合同必需规则;知情同意;数据交易;数字产品合同
一、问题的提出
近年来,欧盟学者逐渐承认消费者(即个人数据提供者)可以用个人数据作为合同的对待给付。此种学说影响了立法。以《德国民法典》为代表的欧盟立法,将消费者没有支付价款但提供了个人数据的合同纳入数字产品合同的范围。根据《德国民法典》第327条第3款的规定,如果消费者以个人数据为对价,那么第327条以下关于数字产品合同的规则同样适用。欧盟的学说和立法影响了我国的学术讨论。近年来,关于个人数据能否作为合同的对待给付义务(数据对价化论)的讨论日益增多,支持与反对的观点兼而有之。支持论者认为,个人数据作为合同对价与《中华人民共和国个人信息保护法》(以下简称《个保法》)的规定不冲突,且有利于保护消费者。反对论者则认为,个人数据作为合同对价以人格权商业化利用为理论基础,但该理论无法解释所有的个人数据利用模式,无法与个人数据保护制度相协调,可能会弱化人格尊严保护。个人数据作为合同对待给付,也面临合同法规则如何适用的难题。例如,经营者是否因消费者提供不完整的个人数据而享有履行抗辩权?前述争论本质上涉及,是否需在《个保法》外构建个人数据对价合同法,以《中华人民共和国民法典》(以下简称《民法典》)中的一般规范补充《个保法》的规范是否有其意义。前述问题也是实践中的问题。目前,大量的软件经营者虽然不收取金钱作为对待给付,但是往往在软件使用协议或隐私协议中要求消费者提供个人数据。如果消费者因软件使用问题遭受损害,那么违约的归责原则应当采何种标准?例如,高德地图和百度地图均为消费者提供“出行保障计划”,为受到错误导航的消费者提供补偿,但该补偿是否仅为软件公司提供给消费者的福利,而非义务。免费软件在使用过程中出现问题,继而引发合同纠纷的情况也逐渐发生。就此而言,问题有二:(1)构建个人数据对价合同的内部体系是什么?(2)该内部体系如何外显,即如何构建个人数据对价合同的外部体系。
二、个人数据对价合同法的理论构建
目前我国学界对个人数据对价合同法的构建,深受德国以数据作为合同对待给付的立法模式和学说的影响。早期理论构建的重心往往在于论证个人数据作为对待给付的可能性,新近学说逐步转向具体制度的构建。就前者而言,问题在于以个人数据为对待给付的约定如何与《个保法》第15条规定的任意撤回权、第16条规定的禁止捆绑原则以及《中华人民共和国民事诉讼法》第263条规定的强制执行等衔接。就后者而言,问题在于个人数据作为给付义务,在何种程度上可以适用同时履行抗辩权、违约责任等规定。
(一)个人数据作为对待给付的可能性
反对将提供数据作为合同给付义务的主要理由有三:(1)将提供个人数据作为合同的对待给付义务,会架空《个保法》第15条规定的任意撤回权。如果提供个人数据构成经营者提供服务的对价,那么消费者不提供个人数据或者提供的个人数据不完整将构成违约,消费者将无法行使任意撤回权。(2)如果提供个人数据是合同义务,那么消费者为履行该义务只能作出同意,而这有违《个保法》第16条前半句确立的禁止捆绑原则。(3)该义务无法强制履行,故意义不大。
我国学者之前往往致力于反驳上述三点理由,且反驳的核心是区分合同中的合意和处理个人数据的合意。需要处理个人数据的合同存在两个层次的合意:一方面,该合同的成立需要当事人的要约和承诺;另一方面,处理个人数据需要个人同意。数据对价化和任意撤销权的关系据此明确。(1)任意撤回权指向合同的履行行为,并不影响合同的有效。至少在撤回以前,合同仍有效存在。(2)即使消费者撤回其对处理个人数据的同意,也仅对将来发生效力,而不发生溯及效力,不影响已经处理的个人数据。此外,就禁止捆绑原则问题的解决而言,关键在于多大程度上考虑合同履行和数据处理的关联。有学者认为,《个保法》第16条确立的禁止捆绑是所谓的相对捆绑禁止,企业可以基于消费者未同意之外的理由拒绝给付。
(二)个人数据作为对待给付的具体制度
在明确了现行法不存在障碍后,学者也提出了相应的理论构建方案。根据目前我国的主流学说,数据提供可作为对待给付,提供个人数据与提供数字服务之间形成给付与对待给付关系。因此,需处理个人数据的合同是双务、有偿合同,可适用债法规则。这主要体现在两个方面:(1)对格式条款的规制;(2)给付障碍规则的适用。就前者而言,若约定提供个人数据的条款是格式条款,则在订入合同时优先适用《个保法》第14条、第17条等规定,因为《个保法》对说明义务的要求更高。该格式条款同样应当受到内容规制。就后者而言,目前的主流观点是即便消费者撤回处理数据的同意,经营者也不能以此为由主张同时履行抗辩权。在此种情况下,经营者甚至没有损害赔偿请求权,因为允许经营者向消费者主张损害赔偿,将变相剥夺消费者的任意撤回权,使得消费者无法自愿作出同意。经营者只享有解除权。但经营者不提供服务的,消费者可以主张减价权或者解除权。
(三)既有理论的不足
目前个人数据对价化理论存在以下两个特点:(1)该理论的基础是区分作为个人数据处理的同意行为与作为合同成立的意思表示。个人数据处理的同意是否有效,并不会影响合同的效力。这样就能解释为何任意撤回权不影响合同义务成立。(2)民法规范在一定程度上向《个保法》“妥协”,消费者不履行合同约定的个人数据提供义务,几乎不会导致违约责任。经营者不会因为消费者不履行个人数据提供义务而享有同时履行抗辩权或解除权等权利。如此一来,可以避免同意因合同义务的拘束而不符合自愿原则的要求。但正因如此,既有理论存在不足。理由有三:(1)既有理论过于强调区分合同与个人数据处理行为,导致对价理论并无实益。一方面,个人数据提供义务无法被强制履行,如果消费者拒绝提供其数据,那么该给付义务就陷入履行不能。另一方面,即使当事人在合同中约定了提供个人数据的义务,也不会排除任意撤回权。换言之,当事人不能以合意方式排除任意撤回权。在这个意义上,即使对价理论成立,经营者的债权也欠缺请求力,沦为自然债权;或者消费者提供个人数据的义务仅为不真正义务。(2)消费者数据提供义务和经营者数字产品提供义务之间的双务性较弱。尽管对价理论支持者认为数据提供义务构成对待给付义务,但该义务与经营者提供数据产品的义务不构成双务关系。这引发了矛盾:一方面,数据提供和产品提供处于给付与对待给付状态,另一方面,经营者不因消费者不提供个人数据而享有同时履行抗辩权。如此一来,双务合同最为核心的履行抗辩权制度不能适用于个人数据提供义务,该理论的意义大打折扣。(3)消费者撤回同意几乎不会导致违约责任。既有的对价理论支持者没有认可消费者的违约责任。即便消费者没有提供个人数据或者在提供个人数据后撤回同意,经营者也不能主张违约损害赔偿,而只能主张解除合同。
三、个人数据对价合同法理论的发展与分歧
针对上述理论的不足,学说也有相应的改进方向。总体而言,从目前比较法的发展来看,学说呈现两种截然相反的可能性:弱化对价化和强化对价化理论。
(一)德国法改革的方向:弱化对价化理论
以德国法为代表的学说改进方向是弱化对价化理论。弱化体现为两点:(1)弱化个人数据提供义务和经营者给付义务之间的关系,(2)改变个人数据提供义务的内容。针对个人数据提供义务和经营者给付义务的关系,除双务合同的双务关系外,另一种可能性是以法律行为附条件为核心的条件关系。经营者提供数字产品的义务附条件,且该条件就是消费者同意。从实践中消费者与经营者的合同来看,企业很少会真正对消费者苛加给付义务,而是将数据提供设计为不真正义务,即使消费者不同意,经营者也不享有履行请求权或损害赔偿请求权。此种观点虽然没有成为主流观点,但是对德国法的修改产生了重要影响。2020年德国立法者修改了《德国民法典》第312条第1a款和第327条以下条文。第327条以下设置了第一目“数据产品的消费者合同”。第312条第1款和第327条第1款均规定消费者合同适用于消费者与经营者的有偿合同。从第312条第1a款和第327条以下条文的文义来看,如果消费者向经营者负有数据提供的义务,那么该合同同样适用消费者合同规则,除非该数据是经营者履行其义务所必需的数据。该条的意义有二:(1)立法者试图将数据提供和支付金钱等同对待。即使消费者没有以金钱方式支付对价,但因其提供了个人数据或有义务提供个人数据,故该合同仍构成消费者合同。(2)消费者的义务较弱,其义务不是积极同意而是提供,且该提供不限于积极提供,还包括消极地由经营者获取个人数据。德国立法者认为,即使消费者没有意识到经营者会利用该数据进行其他商业活动,但只要消费者允许经营者获取个人数据,那么其就履行了该提供义务。
至于此种提供义务和经营者提供产品的义务是否具有双务关系,德国立法者并未澄清,因为“对于第327条等条文的适用而言,将数据提供义务归入债法的何种体系、是否构成对待给付或等价关系等问题影响不大。”立法者更关心的问题是如何保护消费者。修正后的《德国民法典》第327m条第3款确立的归责原则和买卖合同的归责原则没有区别,经营者承担过错推定责任。此种情况下,法律不因为消费者没有支付金钱对价而减轻经营者的责任。
但是,对价理论在德国法修订中的意义似乎仅限于归责原则。对价理论没有给经营者带来益处。根据《德国民法典》第327q条第3款的规定,即便消费者撤回对个人数据处理的同意,经营者也不能主张损害赔偿。该款规定旨在保护消费者自由行使任意撤回权,不用担心遭受不利。就该条来看,经营者不仅没有违约损害赔偿请求权,而且没有无因管理或不当得利等返还请求权。甚至在经营者和消费者就撤回同意确立了违约金,违约金条款自动不生效,无须经过格式条款内容控制的检验。
(二)美国法的发展:强化对价理论
与德国法相比,美国法强化了对价理论。根据美国传统判例,隐私协议原则上不是合同,不具拘束力。在美国,隐私协议往往采用浏览生效协议的形式,而非如在中国必须取得消费者的明确同意(点击浏览协议)。在浏览生效协议模式下,消费者不主动点击隐私协议,网站也不会主动向消费者提示该协议,故根据传统合同订立理论,该协议难以成为消费者和网站之间合同的一部分。但在2005年“捷蓝航空案”中,法院认可了隐私协议是合同的一部分。在该案中,捷蓝航空公司通过电话和网站获取乘客的个人数据;根据该公司的隐私政策,公司将使用“网络踪迹(cookies)”保存消费者姓名和电子邮件地址,避免消费者重复输入信息,其收集的任何财务和个人信息不会与第三方共享并将受到安全服务器的保护。该公司还声称已采取安全措施,以防止数据丢失、滥用或更改。但是,捷蓝航空公司后来将消费者的数据转移给了第三人,消费者遂提起违约之诉。双方的争议焦点之一是消费者未必实际阅读该隐私协议,故该协议能否作为消费者和公司之间合同的一部分。法院认为,尽管全体消费者未必阅读了相关的隐私政策,但不能据此否定该隐私政策具备合同效力。
自该案之后,越来越多的消费者基于违约起诉经营者侵害隐私,美国学者也越发重视隐私协议的合同属性。多数学者指出,现行美国法无法应对新技术发展,尤其是对于浏览生效型隐私政策的合同性质认识不足,故后续理论研究往往围绕此类隐私政策展开,因为明示的点击浏览型构成合同并无太大争议。多数判决认可将默示的隐私政策作为合同,即便消费者没有明确对隐私协议表示同意。默示的隐私政策构成合同的要件包括:(1)条款可被合理注意到,以“显著的方式呈现”;(2)条款内容对消费者形成了信赖;(3)消费者继续浏览网站构成默示同意。还有学者进一步指出,消费者在浏览器中设置了禁止追踪(Do-Not-Track),不仅意味着消费者行使了撤回权或拒绝权,而且意味着该行为构成了消费者和经营者间的合同。
(三)小结:过于强调同意规则和合同效力二分而走向“歧途”
德国法的改革方向是强调区分个人信息保护法中的同意规则与民法中的合同效力,而这导致对价理论的实际意义越来越小。此种方案在我国理论上也有体现。有学者认为,因经营者具备技术优势,可以通过技术手段自力获取消费者的信息,无须消费者配合,故构建对价关系对经营者意义不大。针对消费者的给付义务,我国有学者最近提出了所谓的“开放接口说”,即消费者的给付义务不是作出《个保法》中的同意,而是向经营者开放接口,供其搜集个人数据。
弱化对价化理论的思路,本质上是彻底分离个人信息保护法与民法的规范领域,强调个人数据保护规范与交易规范的二分。这一问题也是《个保法》和《民法典》的协动问题。笔者以为,弱化对价理论的方向不是未来技术和法律发展的方向。德国法和欧盟法之所以弱化对价理论,是因为欧盟各国没有经营者有大规模处理个人数据的需求,保护个人数据仍是首要任务。
相反,美国的经营者对于大规模处理数据有所需求,美国法在个人数据处理上未如德国法严苛。美国法最初否定隐私政策的合同效力,但随着消费者数据保护的需求不断提升,逐步走向了认可隐私政策合同拘束力、赋予消费者违约救济权利的道路。相较于德国法的改革方向,美国法的优势之一是捆绑个人数据处理的同意和合同的合意。此种捆绑方案颇有借鉴价值。只有进一步强化对价化理论,才能更好衔接个人数据保护和流通。要言之,笔者主张在一定情况下双方可以通过合同约定,设立个人负有提供个人数据的真正义务。要证成这一点,首先需要明确强化对价化理论的现实意义。
四、个人数据对价化的实益选择与体系效应
弱化对价化理论思路的主要问题,是忽视了该理论的意义。对价化理论的价值是实现《民法典》与《个保法》、个人数据的交易规范与保护规范的协动。
(一)《个保法》保护规则与《民法典》交易规则的体系融
对价理论实现了《个保法》与《民法典》的体系联动。个人数据保护适用《个保法》的规定,而消费者与经营者签订的以个人数据为对价的合同,适用《民法典》合同编通则和买卖合同的规定。但是,对价理论的问题目前集中在两个方面:(1)为了配合欧盟对个人数据的保护,该理论不得已过度妥协,以致反而达不到预期的效果。(2)就《个保法》与《民法典》应如何协动而言,不论是主张个人数据提供义务构成合同给付义务的观点,还是主张个人数据提供构成经营者提供数字产品的条件的观点,它们所确立的标准均是单一的。对价理论将个人数据提供作为合同义务或合同效力的一部分,将个人数据对价合同归入《民法典》中的买卖合同,故可直接适用买卖合同(合同编通则)的规范。
单一的解决方案无法应对数据交易发展带来的变化。《德国民法典》最新的修正即是例证。这一问题的实质是以《个保法》为核心的数据保护规则和以《民法典》为核心的数据交易规则应当如何协调。对价理论框架下区分履行行为与合同行为的观点,掩盖了问题的实质。《个保法》与《民法典》的体系融贯,涉及外部体系和内部体系两个方面的衔接。
一方面,《个保法》制度可以归入《民法典》的概念体系。例如,关于个人同意是否属于意思表示的性质争论,就涉及法律行为相关制度能否适用于同意。事实上,对价理论同样试图在外部体系上实现二者的融贯,将个人数据提供义务定性为合同义务。但是,对价理论没有直接回应同意和法律行为制度之间的联系。我国私法深受法律行为制度影响,有关法律行为的规定也是民法体系中规范密度最高的部分之一。将同意纳入法律行为规范的适用范围,可以丰富同意的构成要件和法律效果。现实交易存在多种形态,而在不同形态中区分判断同意是否满足《个保法》要求的自愿、明确原则,需要结合不同交易中当事人的合同内容和合同地位。这就意味着有必要根据民法中的合同法规范检验同意的有效性。反过来,《个保法》也影响了《民法典》的规范适用。(1)《个保法》在个人数据保护的领域中,更为详细地规定了权利类型和侵权规制。例如,《个保法》第28条以下区分一般个人信息与敏感个人信息,对个人信息侵权确立了过错推定责任,影响了《民法典》中个人信息和隐私侵权的归责原则。(2)《个保法》保护个人数据的规范能补强《民法典》对隐私权和个人信息权的保护。《民法典》可以通过转介条款引入《个保法》的价值。例如,经营者通过合同约定过度搜集个人信息的,该约定可因《民法典》第153条第2款而无效。
另一方面,与外部体系融贯相比,两部法律内部体系的融贯更为关键。内部体系融贯是领域法研究的核心问题之一。外部体系中的概念推演固然重要,但将某一现象“镶嵌”到外部体系的何种位置,必然伴随着价值判断。因此,更为关键的是寻求两部法律共同的价值位阶,实现内部体系融合。当然,价值之间的权衡不能脱离法律条文,否则会导致裁判者恣意裁量,破坏成文法的拘束力。裁判者应当重视的不是个人价值,而是从制定法的规则体系及其脉络中获得的价值。由此进一步要追问的问题是,在个人数据对价合同中,《个保法》和《民法典》相关规则体现了哪些共同价值。
首先,《个保法》与《民法典》均须从仅侧重数据保护或利用转向数据保护与利用并重。就前者而言,《个保法》是个人数据保护法,但同样是数据利用法的基石。《个保法》第13条规定了多种个人数据处理的正当化基础。从《欧盟通用数据保护条例》的类似规定来看,各基础之间没有顺位之分,知情同意只是其中一种。在没有取得同意的情况下,经营者还可以基于履行义务的必要性、公共利益等基础处理个人数据。此种情况下,个人数据保护让位于数据利用产生的利益。就后者而言,《民法典》合同编绝非仅侧重交易,该编也存在保护个人自由的规则。例如,缔约过失规则是典型的保护个人自我决定的规则。
其次,两部法律皆尊重自我决定。在个人数据处理中,知情同意规则处于核心地位,其背后的宪法基本权支撑是个人信息自我决定权。尽管私法中没有独立于基本权的信息自我决定权,但该基本权可通过第三人效力影响民事主体利用个人数据。知情同意规则体现了信息自我决定权在私法中的处分层次问题,即数据权人在何种程度上可以将自己的个人数据“让与”其他主体使用。与之相对应,民法的基本价值是意思自治,只要不涉及公共利益,当事人就有权决定如何形成法律关系。而在法律关系形成后,当事人应当受到拘束。《个保法》第15条第1款第1句规定了当事人对个人信息处理的同意权,但该条第2款规定了撤回不影响先前处理的效力。就这一点而言,信息权人一旦作出同意,就要受到其同意的拘束。《民法典》也对意思表示的形式拘束力做了类似规定。由此可见,在尊重自我决定方面,数据的保护法和交易法具有共同的价值。
再次,自我决定的另一面是“自我负责”,在确定行为的法律意义时,需要考虑保护相对人的信赖。换言之,如果当事人的行为引起了相对人的合理信赖,那么当事人要对自己的行为负责。信赖保护是私法的重要原则,但在《个保法》中未受到充分重视。事实上,信赖保护原则同样适用于《个保法》的同意规则。
最后,个人利益保护应与社会公共利益保护相协调。《个保法》第13条规定了因公共利益可以利用个人数据的情况。而在《民法典》中,公共利益通过转介条款影响法律行为的效力,或者以原则中的不确定法律概念的方式影响私主体行使权利。当然,通过转介条款引入的做法,也反映了《民法典》作为私法对于公共利益的审慎态度。除了存在转介条款等情况外,私主体行使权利原则上不受公共利益干涉。这一点同样体现在民法对于民事主体所享有的利益的保护上。一般而言,侵权法仅保护绝对权,如果某种利益没有经法律认可成为绝对权,那么仅在行为人以悖俗方式侵害该利益时,法律才会予以救济。
综上所述,《个保法》与《民法典》的多项基本原则具有共同性,存在构建统一内部体系的可能。而在这些原则中,数据的利用与保护并重原则处于较高位置,其他原则均是该原则的具体化。
(二)个人数据对价化的体系效应
既然《个保法》与《民法典》是双向互动和体系衔接的,那么强化对价化理论能够带来体系增益。个人数据对价化理论的主要目标,是实现《民法典》和《个保法》的双向互补,以更好地保护消费者,促进个人数据的流通。此种双向互补的体系效应体现在以下三个方面。
第一,在合同定性上,将个人数据提供作为合同义务,消费者与经营者的合同可以被认定为有偿合同,从而避免适用无偿合同中的义务人责任减免规则。例如,根据《民法典》第662条第2款的规定,赠与合同中赠与人仅就故意或保证无瑕疵承担责任。实践中,大量的数字产品合同均不需要消费者支付金钱。如果认为该合同是无偿合同,那么当出现产品瑕疵时,消费者可能无法获得救济。采个人数据对价化理论后,该合同是有偿合同,故经营者应依买卖合同一般规则承担瑕疵担保责任。
第二,债法规则可以调整个人数据提供义务的约定。在数字产品合同中,双方当事人往往会约定消费者负有提供个人数据的义务。一方面,此类条款的效力需要通过民法中法律行为效力的规则加以判断。例如,消费者提供个人数据的义务属于《民法典》第497条第2~3项(格式条款的内容控制)规定的情况的,该约定无效。这是对《个保法》的必要补充。《个保法》规定的知情同意规则,旨在确保个人在知情的情况下自愿、明确作出同意,没有就双方当事人权利义务不均衡的问题规定处理方案。换言之,《个保法》不调整当事人间的实质权利义务。相反,《民法典》关于格式条款内容控制的规定,旨在避免格式条款提供者违反诚信,对相对人施加不公平的影响。另一方面,如果消费者不履行个人数据提供义务,那么数据产品提供者享有相应的解除权,以避免消费者根本违约导致的利益失衡。相反,数据产品提供者提供的产品或服务有瑕疵的,消费者能基于《民法典》第577条等规定主张违约责任或者解除合同。
第三,《个保法》规则可以调整个人数据作为对价的合同。这一点尤其体现在《个保法》对合同订立的影响。例如,如果经营者以格式条款的方式要求消费者提供个人数据,那么其需要尽到《个保法》第17条规定的告知和说明义务。该条细化了知情同意规则,可以弥补《民法典》的不足。又如,《个保法》第24条第3项规定的算法解释权,可以进一步补充《民法典》缔约过失规则中的信息提供义务。
五、个人数据对价合同内容的具体展开
(一)个人数据提供义务的理论构成
1. 不同商业模式下个人数据提供义务在债法中的定位
在数字产品合同中,经营者负有提供数字产品或服务的主给付义务。但一概认为消费者提供个人数据的义务构成对待给付,可能扭曲双方当事人的真意。当事人是否具备将个人数据作为对待给付的意思,需要结合我国目前处理个人数据的实务操作和数字产品的商业模式进行判断。
实践中,经营者处理个人数据的协议分为两种:(1)经营者和消费者在使用协议中约定消费者有义务提供个人数据,并通过隐私协议取得消费者的同意。使用协议中的个人数据提供义务往往体现为,拒绝提供相应数据的消费者将无法享受相应的服务或其使用受到限制。(2)经营者与消费者在使用协议中未约定提供个人数据的义务,仅通过隐私协议取得消费者的同意。
目前常见的数字产品合同的商业模式大致可以分为三种:(1)完全免费模式,即经营者提供给消费者的产品或服务完全不收取费用。例如,高德地图等导航软件提供地图软件和导航服务时,服务提供者不收取任何费用。(2)免费增值模式,即经营者提供的基础产品或基础服务不收取费用,但若消费者欲使用高级功能,则需要支付相应的费用。例如,京东网站提供服务不收取费用,但消费者可以开通付费会员,获得更多服务。(3)打折模式,即经营者提供的产品或服务收取费用,但提供个人数据的消费者可以享有折扣。例如,消费者在部分淘宝店铺注册会员的,可以享有折扣价格。又如,《华润万家会员章程》第1条明确规定,消费者申请华润万家卡时提供信息和消费情况的,将可以获得更为个性化的优惠券。
就个人数据提供义务是否存在而言,即使经营者没有约定消费者负有提供个人数据的义务,消费者仍可能基于诚信原则或合同解释,负有提供个人数据的从给付义务。当然,若确实无法认定消费者负有该从给付义务,则消费者提供个人数据仅是为了协助经营者履行其义务,在性质上更宜为不真正义务。
在经营者与消费者明确了约定个人数据提供义务的情形中,该义务是否主给付义务不无疑问。在免费完全模式和免费增值模式下,消费者提供个人数据难以被认定为主给付义务。理由有三:(1)虽然经营者通过个人数据获得了衍生的大数据,但经营者盈利基本不依赖处理的个人数据。以高德地图为例,其盈利主要源自广告和与车商的合作。广告收入的基础是消费者数量而非消费者的个人数据。(2)有偿合同中的给付与对待给付在价值上通常大致相当,且此种相当体现为双方当事人主观认可的双务性。不论在完全免费模式下,还是在免费增值模式下,不同消费者提供的个人数据的定价各有不同,但获得的产品或服务相同。经营者一般不认为其提供的产品、服务与消费者提供的个人数据处于双务关系中。(3)在免费增值模式下,经营者的基础版产品、服务不收取任何费用,进阶版产品、服务才收取一定的费用,故从消费者的视角来看,其在使用进阶版产品、服务时才意识到自己支付了对价。需注意的是,有学者认为经营者利用个人数据的主要目的是分析消费者行为,以更好销售其产品,故不存在真正的完全免费模式。但是,合同是否无偿、对待给付是否存在,是法律问题而非经济问题。关键问题是从理性人视角解释合同,并判定消费者是否负担了主给付义务。尤其在完全免费模式下,消费者能够意识到其同意经营者处理个人数据,但无法意识到该义务和经营者提供服务之间存在双务性。只有在打折模式下,消费者的个人数据和金钱共同构成了对待给付。消费者能够清楚地意识到自己的个人数据构成了合同对价。当然,消费者是否知道提供个人数据具备法律效力(法律拘束意思),仍需从第三人视角进行判断。
2. 个人数据提供义务在《个保法》中的定位
根据个人数据提供义务性质的差异,该义务在《个保法》中的定位也有所不同,具体表现如下:(1)如果个人数据提供义务是不真正义务或者是基于补充解释等而成立的从给付义务,那么其对《个保法》规范的影响较为有限。经营者在处理消费者数据时必须取得消费者的同意,或者基于履行合同所必需而处理个人数据。(2)如果双方约定了明确的数据提供义务,且该义务构成从给付义务,那么虽然经营者处理个人数据的正当性基础仍是消费者同意,但由于个人数据提供范围存在约定,故约定的范围应当作为处理范围的标准。(3)如果当事人约定的数据提供义务构成主给付义务,那么因该义务和经营者提供产品或服务之间存在双务性,故经营者处理数据的正当性基础将受到影响。在双务性不成立时,处理个人数据的正当性基础是《个保法》第13条第1项规定的知情同意。但在当事人约定该义务时,处理个人数据的正当性基础是《个保法》第13条第2项规定的履行合同所需规则。双方合意将所涉数据变成了履行所需的个人数据。对此,关键问题是如何理解履行合同所需规则。
理论上就“必要个人数据”存在三种观点:(1)经济必要性,即只要某个人数据有助于经营者收回成本,其就属于履行合同所需的个人数据。以个性化广告为例,广告提供者收集和处理的个人数据就属于必要个人数据。(2)客观必要性,即从合同的客观目的出发,履行该类合同通常所需的个人信息才是必要个人数据。我国立法倾向于客观必要性标准。《常见类型移动互联网应用程序必要个人信息范围规定》区分不同类型的应用程序,并根据其功能需要规定了每类程序所需的个人信息。此种做法契合我国通说。(3)主观必要性,即当事人在合同中约定的具体个人数据就是必要个人数据。
经济必要性标准过于宽松,能将一切有经济价值的个人数据纳入必要个人数据,架空知情同意规则。客观必要性标准过于严苛。主观必要性标准结合了必要个人数据规则和当事人约定的合同义务,可与《个保法》第16条第2分句做统一解释:必要个人数据与合同本身相关,而非与经济目的或客观合同目的相关。判断何谓“必要”,实为合同解释。此外,因当事人约定数据提供义务,受制于《民法典》的合同效力规则,故主观必要性标准影响个人数据保护的问题并不存在。民法中意思自治的界限也框定了《个保法》数据利用和保护的范围。可见,主观必要性标准实现了《民法典》与《个保法》规范的联动。基于合同约定,原本不属于该合同履行最低限度的个人数据,可以升格为必要个人数据。这体现了民法强调的自己责任和私法自治。在个人数据“升格”以后,处理个人数据的正当性基础不再是同意规则而是履行合同所需规则。
综上所述,个人数据提供义务的性质差异,也对《个保法》产生了不同影响。当事人未约定该义务时,即使数据提供构成从给付义务,该义务也应符合《个保法》中处理个人数据的要求。当事人约定了该义务的,法律应尊重当事人合意,以合意作为判断同意的范围,而且处理个人数据的正当性基础也从知情同意规则转变为履行合同所需规则。
(二)完全免费模式和免费增值模式下的规范适用
1. 未约定个人数据提供义务的情况
当事人未约定个人数据提供义务的,该义务或为不真正义务,或在例外情况下为从给付义务。即使其构成从给付义务,该义务也源自合同补充解释或者诚信原则,故经营者在处理个人数据时需遵循《个保法》第5条和第6条第2款确立的最小必要原则。既然以假定的当事人意思补充合同约定,那么理性消费者仅可能提供与合同目的紧密相关的个人数据。在该义务构成不真正义务时,消费者没有个人数据提供义务且享有任意撤回权。消费者撤回同意,不影响合同效力。但从客观合同目的角度来看,消费者仍需提供必要的个人数据,否则合同无法履行。消费者不提供必要个人数据,并不会导致违约,经营者因此无法履行自己的债务也不构成履行迟延。
于此种情况下,消费者和经营者的合同关系仅为软件使用合同关系。经营者事后更新软件等,均仅构成软件使用许可合同的变更,不影响个人数据的处理。
2. 约定个人数据提供义务的情况
在完全免费模式和免费增值模式下,当事人约定的数据提供义务是从给付义务,经营者在处理个人数据时仍需消费者同意。消费者负担作出同意的义务,其依《个保法》第13条第1项作出同意的行为构成义务的履行。由此,该同意受到《民法典》和《个保法》的双重规制。
第一,意思表示规则的适用。消费者的同意在性质上是意思表示,需要适用意思表示的规则。根据“否定说”,同意原则上不适用意思表示规则,因为《个保法》是保护规则,同意的作用在于阻却违法性。同意仅可被认定为准法律行为,不能直接适用意思表示的规则,而只能在个案具体衡量后类推适用意思表示的相应规则。例如,同意不适用意思表示欺诈、胁迫和重大误解的规则,理由有二:(1)《个保法》规定同意必须在充分知情后自愿作出,故在前述情况下可径直认为个人没有作出同意,而非作出了可撤销的同意。也就是说,此时不存在需要填补的漏洞。(2)即使意思表示可撤销的规则可以适用,意义也不大,因为消费者享有任意撤回权。但是,为了保护相对人,避免同意不生效过度影响相对人,持“否定说”者认为,如果个人对于继续处理数据存在利益并重新作出了同意,那么有必要限制前一个同意不生效的法律效果,让后一个有效同意的效果可以溯及既往。
“否定说”与《个保法》的内部体系和外部体系均不符,过于强调数据保护,忽视了数据利用和相对人信赖保护。《个保法》强调自愿原则,但从内部体系融贯的角度来看,各原则不能偏执一端,因为原则不以“全有全无”的方式适用,而是相互让步、妥协,以达到最优状态。从外部体系角度来看,《个保法》并未正面规定同意的效力,存在需要填补的漏洞。填补漏洞需要考虑具备可比较性的制度。在民法体系中,同样作为自我决定工具的意思表示制度正是可供类推适用的制度。从价值衡量角度来看,意思表示涉及表意人的自我决定、相对人的信赖保护、第三人的交易安全三种价值之间的平衡。目前通说所采的是折中的表示主义,较好权衡了三者。该说同样可以适用于《个保法》中的同意。相比我国目前学说对于同意所采的有效和不生效的两层级,意思表示的有效、可撤销、效力待定和无效的四层级更为精确。适用意思表示规则,可以矫正部分情况下因同意不生效而产生的不妥当结果。
就具体适用而言,同意的效力同样区分成立和生效两个方面。在同意的成立方面,如果经营者在处理个人数据时尽到了《个保法》第17条规定的告知义务,那么即使个人在作出同意时欠缺表示意识也不能主张同意不成立。根据意思表示原理,该同意可类推适用意思表示错误的撤销规则。例如,消费者不清楚软件隐私协议的法律意义就勾选了同意的,消费者可以类推适用重大误解规则撤销其同意,而非同意不成立。这协调了单纯保护自我决定的意思主义和单纯保护信赖或交易安全的表示主义。
在同意的效力方面,同样区分有效、可撤销、效力待定和无效四个层级。其中,尤以同意可撤销的情况最为典型。例如,因欺诈或者胁迫作出同意的情况下,按照《个保法》的规则,同意因违反自愿原则而不生效。即便个人因数据处理而享有利益,其也只能重新作出同意,且嗣后重新作出的同意没有溯及力。因此,经营者基于该受欺诈或胁迫的同意处理个人数据,构成违法行为。对此,德国学者只能通过目的性限缩的方式避免不妥结果。相反,如果按照《民法典》中意思表示瑕疵的规则处理,那么因受欺诈、胁迫者的个人意思自由受到影响而公共利益并未遭受损害,故同意在撤销以前仍然有效。如果受欺诈或胁迫的个人认为处理个人数据对其有利,那么其可以选择不撤销该同意,且该同意在撤销以前仍然有效,无须通过目的性限缩对合法化之前的数据进行处理。德国学者之所以采取目的性限缩这一迂回的方式实现类似于同意可撤销的效果,是因为要避免国内法规定的法律效果影响欧盟法的统一性。
此外,在第三人欺诈的情况下,所需保护的价值也从意思自由转向信赖和交易安全保护。个人数据处理同样存在类似的问题。例如,消费者受到第三方的欺诈而作出同意的,同意能否撤销取决于相对人是否知道第三人欺诈。否则,经营者在处理个人数据时均面临消费者主张第三人欺诈、同意不生效的风险。经营者无法防范此种风险。
同意也有可能存在重大误解。因发生错误的情况没有侵害个人对同意的知情权,故不会违反《个保法》的要求。在错误的情况下,经营者提供了正确的信息,但消费者是否基于正确的理解作出同意或者在作出同意过程中存在错误标识,不影响同意仍是在知情的基础上自愿作出。例如,经营者在隐私协议中允许消费者选择提供个人数据的范围,消费者在阅读该协议后想要勾选提供必要的个人数据,但误勾选了提供全部个人数据。此种情况下,该同意仍然有效,但消费者可基于重大误解撤销其同意。当然,消费者因此要承担信赖利益的损害赔偿责任。
在上述撤销权之外,消费者也可以行使《个保法》第15条第1款第1句规定的任意撤回权。撤回同意之后,消费者可以主张《个保法》第47条规定的删除权。这和撤销的效果在一定程度上相同,且消费者不用承担信赖利益的损害赔偿。因此有学者认为,撤销权仅在不产生信赖赔偿的场合中才有意义。但是,撤销同意和撤回同意仍然存在区别。撤回同意不会影响之前对个人数据的处理,但撤销具有溯及力,数据处理自始不合法。这会影响经营者能否取得衍生数据权利。
第二,债法规则的适用。既然提供个人数据的义务是从给付义务,那么债法的相关规则可以适用。(1)除了受《民法典》中法律行为效力的调整外,该约定的效力既受制于格式条款内容控制规则,也受制于《个保法》关于说明义务的规定。(2)个人数据提供义务不是条件,因为合同的效力与该义务无关。例如,根据《腾讯微信软件许可及服务协议》第6.2条的规定,当事人约定的个人数据提供义务与合同效力无关,而仅与合同履行相关。这一点也区别于条件型关联。合同约定的个人数据提供义务成为合同的一部分。经营者嗣后改变其隐私协议,属于合同变更,需要重新取得消费者同意。(3)该义务具备可诉性,会导致损害赔偿责任。与通说观点相反,笔者认为从自己责任的基本价值出发,如果消费者在订立合同时已经有效承诺提供个人数据,那么其理应受到拘束。承认该义务的可诉性,并不会影响个人数据的保护。消费者没有依约提供个人数据将构成违约,经营者可以请求实际履行,也可能在消费者提供虚假数据时享有损害赔偿请求权。(4)合同义务与合同履行之间存在有限度的分离,二者的效力互不影响。不履行义务仅构成违约,而不影响合同效力。当事人可以在数据产品合同中约定消费者提供个人数据的义务。这并不违背消费者基于《个保法》享有的任意撤回权。消费者拒绝履行该义务或撤回同意,也不意味着消费者解除合同。同意和要约的效力判断要分别以《个保法》和《民法典》为根据。尽管如此,在缔约过程中,消费者对要约的承诺和对数据处理的同意可以是同一的。也就是说,消费者在订立合同时只需作出一项意思表示,其中包含两种法律效果。与德国法通说相反,笔者认为消费者在订立合同时,可以针对未来的数据处理作出概括同意。德国学者之所以持不同观点,是因为消费者对概括同意不明确,难以理解为何处理、如何处理,对概括同意的效力存疑。要求消费者在每次提供数据时均作出同意,过于烦琐,影响交易效率。如果经营者在处理个人数据时尽到了《个保法》规定的说明义务,那么消费者对未来处理个人数据的同意也有效。(5)在经营者违约而消费者主张违约救济的权利受到限制的情形下,与其借助对价理论保护消费者权益,倒不如关注如何保护消费者权益这一问题本身。在现行法上,可适用《中华人民共和国消费者权益保护法实施条例》第7条第2款关于赠送商品的规定。
(三)打折模式下的规范适用
在打折模式下,消费者以金钱和个人数据共同作为对待给付,此时的规范适用较为简明。(1)此种情况下,由于经营者处理数据的正当化基础是履行合同所必需规则,因此消费者是否作出同意均不影响经营者处理数据。由此,消费者的给付义务不是作出同意的作为义务,而是容忍经营者处理其个人数据的不作为义务。(2)个人数据提供义务构成主给付义务的一部分,与经营者产品提供义务之间构成双务性。消费者不提供个人数据构成违约,经营者不仅享有履行抗辩权,而且享有相应的违约救济权利。当然,需要注意的是,此时仅构成部分违约。(3)如果经营者违约,由于此时是双务合同,消费者自然可以主张一切救济方式。例如,因经营者运营不善导致软件崩溃且造成消费者损失的,消费者可以基于《民法典》第577条主张违约损害赔偿。
(四)选择退出模式作为个人数据保护的民法构成
在当事人可以明确约定个人数据提供作为给付义务的背景下,保护消费者的问题还需进一步考虑。由于消费者负有提供数据的义务,仅《个保法》规定的任意撤回权不足以保护消费者。即使其撤回同意,仍可能被经营者诉请实际履行相应的义务。因此,法律有必要赋予消费者消灭合同义务的权利。需要指出的是,个人数据的保护和流通、意思自治和自己责任均是同一位阶的价值。消费者对个人数据给付义务作出了有效允诺,理应严守合同。因此,只有在特殊情况下,为保护人格尊严等不受侵害,才得允许消费者解除合同。
一方面,在不定期的数字产品合同中,个人基于《民法典》第563条第2款享有任意解除权,可以随时解除合同,消灭个人数据提供义务。个人甚至可以直接卸载或者停用相关产品,避免继续提供个人数据。另一方面,在定期的数字产品合同中,消费者可以主张类推适用《民法典》第1022条第2款,基于正当理由解除合同。根据该款规定,在定期肖像权许可使用合同中,如果发生了有损于肖像权人人格尊严或人格发展的重大情形变化,那么肖像权人可以脱离合同拘束。在数字产品合同中,消费者同样可能面临经营者滥用其个人数据的情况。例如,在提供数字产品的过程中,经营者大规模泄露个人数据。尽管特定的消费者可能未受侵害,但因该消费者对于经营者继续履约失去合理信赖,故应当赋予其解除合同的权利。参酌《民法典》第1022条第2款,若出现有损于个人人格尊严或人格发展的重大情形,则个人可以解除数字产品合同。
尤其需关注的是合同解除后的返还问题。消费者的给付可能由两部分构成,一部分是容忍对方处理数据,另一部分是金钱。合同解除后,消费者首先可以要求经营者删除其数据。但是,消费者能否请求经营者返还个人数据的使用利益?为了解决这一问题,《德国民法典》第327o条在用语上仅用了“为履行合同所支付的款项”,有意排除了数据返还的问题。理论上就此存在争议。有学者认为可以类推用益的价值返还。笔者同样持此种观点,因为经营者使用个人数据进行商业分析或大模型训练,均会产生相应的收益,对此也有返还的必要。
上述允许消费者解除的模式,类似于英美法在个人数据保护领域所采用的选择退出模式,具有降低取得同意成本、促进数据流通的优点。
六、代结语:多元数据处理正当化事由体系的构建
对于个人数据,我国过去侧重于对个人数据的保护,格外重视知情同意规则,忽视了数据处理的其他正当化事由。从整体法秩序统一的视角来看,数据法同样存在内部体系和外部体系的衔接与构造问题。知情同意规则蕴含的价值基础是尊重自我决定乃至保护人格尊严,但数据私法的内在体系不仅限于这一种价值。从《民法典》和《个保法》的条文设置来看,除数据保护外,还存在数据利用和流通的内在价值。这与自我决定相关,且自我决定意味着自我负责和遵守信赖原则。
我国学说和立法应当从侧重数据保护转向数据保护和利用并重。基于此,在外部体系的构造方面,同样需要重视代表了其他内在价值的正当化事由,尤其是履行合同所需规则。当事人约定个人数据提供义务的意义也正在于此。履行合同所需规则,可以实现《民法典》代表的数据交易规则和《个保法》代表的数据保护规则的协动。当事人约定个人数据提供义务后,该数据也成为履行合同所需的个人数据,故无须消费者再同意,也能相应排除个人的任意撤回权。基于此,个人数据处理形成了同意和履行合同所需并重的多层次正当性基础。
点击进入下方小程序
获取专属解决方案~
责任编辑 | 王睿
审核人员 | 张文硕
本文声明 | 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北大法律信息网(北大法宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。
热门跟贴