梅 傲 苏建维

(西南政法大学国际法学院 重庆 401120)

1 CNIL v. Google案中的知情同意

1.1案情回顾2019年1月，谷歌公司因其个性化广告政策涉嫌违反欧盟《一般数据保护条例》(General Data Protection Regulation，以下简称GDPR条例)被法国国家信息与自由委员会(Commission Nationale de l’Informatique et des Libertés，下简称CNIL)开出5000万欧元的罚单。谷歌公司不服该处罚决定，遂向法国最高行政法院(Conseil d'tat，亦称法国国务委员会)提起上诉。2020年6月19日，法国最高行政法院驳回谷歌公司的上诉[1]。此次谷歌公司受罚事件因产生了自2018年GDPR条例施行以来的首例大额罚单，引发舆论热议。

事件的发酵起源于法国两个民间组织——None Of Your Business(以下简称NYOB组织)和La Quadrature du Net(以下简称LQDN组织)对谷歌公司分别提出的投诉，矛头直指谷歌公司的“用户同意政策”。早在2018年4月，LQDN组织就发起了“反GAFAM”活动,反对谷歌(Google)、苹果(Apple)、脸书(Facebook)、亚马逊(Amazon)和微软(Microsoft)五间科技巨头公司的用户同意政策。LQDN组织认为这些科技巨头所谓的用户协议都是毫无意义的一纸空文，不能成为GAFAM公司放肆侵犯用户隐私行为的辩解理由。随后，NYOB组织亦发出控诉。NYOB组织指出，谷歌公司所谓的用户同意政策实为强迫性同意(forced consent)，谷歌公司是基于这种强迫性的用户同意而进行非法的用户个人数据处理(unlawful processing of the data subject’s personal data)。NYOB组织认为，这种强迫性的用户同意并非用户的真实意思，是安卓用户基于谷歌公司强大的权力(clear imbalance of power)、附条件地提供服务(conditional for service)和打包式的同意方式(granularity)而被强行达成同意。在GDPR条例的授权下，安卓用户有权利在没有损害的情况下拒绝同意这种处理个人数据的霸王条款[2]。LQDN与NYOB组织的激烈控诉终于有了回应，CNIL对谷歌公司展开了调查，并在2019年1月21日对谷歌公司开出5000万欧元的巨额罚单。

1.2问题焦点CNIL认为谷歌公司违反了GDPR的有关规定，其作出的处罚决定主要基于以下两方面的理由：

第一，谷歌公司没有遵守GDPR所要求的透明度义务和通知义务(transparency and notice requirements)。GDPR条例第12条规定了数据控制主体(data controller)的透明度义务，要求数据控制主体必须以简洁、透明、可理解和易于访问的形式并使用清晰而朴素的语言向数据主体提供相关的任何信息。CNIL认为谷歌公司所采取的措施并未能满足此要求。首先，用户数据用于个性化广告的相关信息并不容易被用户获取；其次，谷歌公司对用户数据处理后果的描述过于模糊(如“用于提供个性化服务的内容和广告”)，这些描述不能让用户理解谷歌公司对其进行的数据处理的程度及其后果；最后，在谷歌公司提供的有限的信息当中，针对某些特定的数据，谷歌公司并未披露明确的储存时间，也未让数据主体即谷歌用户自行选择储存的时间。

第二，谷歌公司没有获得安卓用户的有效同意(valid consent)。GDPR条例第6条第1款(a)项规定，数据主体已同意为一个或多个特定目的处理其个人数据时，该数据处理才是合法的。鉴于谷歌公司并没有满足透明度义务，并未对安卓用户进行满足GDPR条例项下的有效的“通知”(notice)，因此数据主体在信息不透明的情形下并没有构成“知情”，自然也不存在“知情”之下的“同意”。谷歌公司辩称，将个人数据处理用于个性化广告已经征得用户的同意。然而CNIL认为，在创建谷歌账号之前，用户必须勾选“我同意谷歌的服务条款”方框以及“我同意以如上所述和在隐私政策中进一步解释的方式处理我的信息”方框后，才能创建谷歌用户，这种“打包式”的同意方式并不满足GDPR条例第6款项下所要求的具体的同意标准。因此CNIL认为谷歌公司在并未获得用户的有效同意下便擅自处理用户的个人数据并将以用于个性化广告服务的投放，违反了GDPR条例的有关规定。

“知情同意”模式(informed consent model)虽有其固有缺陷，但作为目前运用最为广泛的数据主体授权方式，其可谓是最具大数据时代特色的授权模型。在个人隐私保护意识日趋强烈以及个人数据经济价值不断飞升的今天，毋容置疑的是，获取和利用个人数据必须要征得当事数据主体的同意，而问题就出现在科技企业获取和利用用户个人数据的方式上。号称史上最严格的数据保护条例——GDPR条例的出台，不仅为科技巨头企业带来了新的挑战，也为层出不穷的年轻科技企业带来了新的难题。在这风口浪尖之下，谷歌公司成了GDPR条例第一个“下手”的对象。各国越来越严格的数据立法已经是大势所趋，以CNIL v. Google案为引，剖析现有问题，改良“知情同意”模式，才是我国科技企业“走出去”与世界接轨的方法。

2 “知情同意”模式的源起与桎梏

CNIL向谷歌公司罚款的事件使得“知情同意”模式的问题暴露在众人眼前。然而，这种“打包式”同意方式的问题并非一开始便显露，而是随着时代的发展和科技的进步，才逐渐暴露在众人眼前。因此，要分析“知情同意”模式所遭遇的现实困境，就要厘清它的前世今生，剖析“知情同意”模式的源起和桎梏。

2.1“知情同意”模式的源起在60年代的欧洲，个人数据与隐私之间的界限并不清晰，数据的公法与私法性质区分也比较模糊[3]。由于科学技术的局限，那个年代的个人数据并没有现今一般具有巨大的流通性和商业价值，也没有像如今一样大量地弥漫在网络之中。因此，在那个时代，对个人数据的保护与对个人隐私的保护基本重叠，个人数据与个人隐私的界限在社会公共领域的区别并不显著。尽管个人信息仍然会聚集于某几个拥有处理设备的实体之中，但由于技术的限制，信息的聚集并未产生出巨大的商业效益。出于照顾人们害怕被监视的心理，当时欧洲的公权力机关针对这种数据搜集的行为，授予了人们一定的权利作为保护自身的手段，这种权利即拥有控制自己数据的权利[4]。然而，这些权利既不强硬，也不全面，对于公民自身权利的保护程度并不高，这是因为这种授权模式并不是为了要给予民众一种普遍性的、民主化的权利，而是为了要提高数据处理的透明度以确保民众能获取有关的信息，从而达到监督数据控制者的目的，使其谨慎行事。再者，过去的科技并没有像现今的科技一般那么发达与便利，各种社交软件、融媒体平台、资料数据库并未发展起来，人们获取信息的渠道非常地狭窄，因此，对于当时的普罗大众来说，这种计算机技术就如同玄学一般无法理解。正是当时的人们对这种新发展的处理数据的手段缺乏基础的认知，在这种情形下，给予公民选择的权利是不合理的，在技术上也难以操作。

到了70年代中期至90年代，计算机技术逐渐发展起来，笨重、巨大、操作困难的计算机摇身一变，成为了人人家里都能负担得起的个人电脑，计算机不再专属于国家政府和巨头企业。计算机的迅速普及使得人们开始对计算机技术和数据处理开始有了了解。与此同时，计算机技术的革新也带来了营销方式的革新[5]。尽管传统的营销方式如邮购(mail order)等仍占领市场的大部分，但计算机技术发展使得针对个人的直接营销成为可能，且在技术上更具有主导特性。虽然邮购营销方式也是一种直接营销，通过个人邮件的方式进行交流、达成交易，然而计算机技术却能大量、主动地搜集信息，实现对用户个人信息更大强度的操控。企业不再把个人客户视作传统目标客户群体的一部分，而是作为独立的个体去理解。在新的场景之下，个人信息的社会价值实现了飞升，如何处理和分析个人数据让其在市场上具备商业价值成为了企业新的关注点。在这种情形下，个人数据不应该被毫无限制地搜集、使用和分析，尤其是个人数据分析的结果最终还会作用到数据主体本身。因此在技术条件允许的情况下，个人理应有权进行谈判或者拥有选择的空间。

在80年代到90年代，尽管数据处理在不断地发展，但数据处理的复杂性仍然远低于当今的水准，人们能够充分理解当时的数据搜集、数据处理行为以及其带来的后果，从而做出有效的判断。显然，在没有充分且提前的告知之下，数据主体很难充分地行使数据自决权，实现个人利益的有效保护，因此“知情同意”模式便应运而生，并在往后得到广泛的运用。如今的市场已经离不开数据，数据的发展驱动着经济的发展，与此同时，个人数据要为商业所用，也离不开数据主体的参与。数据不再主要由政府机关用于公共目的事项，而是由借此盈利的私营公司所使用，因此数据主体参与到数据谈判中则显得尤为重要。

2.2“知情同意”模式的桎梏科技的发展日新月异，数据处理的复杂性极大地提高。例如，算法发展出了学习功能，算法的计算结果不能被准确地预估；个人数据的范围越来越广，人脸识别、指纹等人体生物信息也成为了可流通、可复制的个人信息；数据控制者和数据主体之间的数据鸿沟越来越大，信息的严重失衡导致了双方地位的不对等。一言以概之，科学技术的发展让“打包式”的“知情同意”模式的适用出现了现实的困境。

2.2.1 “学习”的算法打破“知情”的可预测性 概言之，算法就是告诉计算机“做什么”的一系列指令，是在特定计算公式的基础上将输入的数据转换为特定所需的输出结果的编码过程，数据的规模化、集合化效益，源于复杂算法对数据的运算加工。一方面，人们离不开算法，没有算法的加成，就无法将松散的数据转化成有价值的信息；另一方面，复杂且神秘的算法规则又将人们推向一个非常被动的位置。算法的存在并非一无是处，其在某种层面上具有高效性、准确性、非歧视性的特点。基于现代技术的蓬勃发展，算法具有了机械学习(machine learning)与深度学习(deep learning)的功能。机械学习功能与深度学习功能不同，机械学习具有机械性特点，机械学习方法的关注点在于对海量数据的表达，而不是完成某个特定的任务。这意味着算法可以通过预先被程序员设置好的目标而进行自我学习。在此之下，可以认为对算法的干预主要集中在设计算法的目标(即特定任务的算法)和算法所使用的数据之上[6]。算法基于这种机械学习功能可以自我迭代，从而使得算法超出可以理解与解释的范围，如今各大平台针对用户投放的个性化广告，即自动化决策(automated individual decision-making)，主要就是基于算法的机械学习功能。人们不再能充分地预知到算法的计算结果，犹如活在一个“黑箱社会”(black box socity)里[7]。

正因如此，复杂的算法就破坏了“知情同意”模式中的重要环节——知情。“知情同意”模式的成立基础建立在数据主体的充分知情之上，而知情的方式来源于两方面：一方面，数据控制者需要准确无误地通知数据主体，告知数据主体与其有关的数据处理信息，如搜集数据的手段、范围，数据的用途，数据处理的结果以及数据的储存时间等；另一方面，数据主体也需要充分地理解被告知的内容，才能在内心形成充分的预判之后作出准确的判断。算法的复杂与精细程度在不断攀升，这大大提高了“知情”的难度——数据控制者难以准确告知，数据主体难以充分理解。

2.2.2 多样化的个人数据不匹配“打包式”的“同意” 个人数据的形式呈现多样化的趋势，从姓名、性别、住址等常规个人数据，到面部识别、指纹、地理位置信息，甚至到网络搜索趋势等，一切能在网络上留得下的踪迹都能成为个人数据的来源。个人数据从可识别性的角度去分类，可分为个人数据与非个人数据[8]。顾名思义，个人数据是可以识别出个人身份的数据，如身份证号码、社保号码等社会编码，以及指纹、肖像等生物信息，而非个人数据则是不能识别出个人身份的数据，如性别、爱好、年龄、职业等。但非个人数据并非具有绝对的不可识别性。在实名化盛行的互联网，一个社交账号就如同一个电子活体般的存在。即便账号的姓名、头像等可以由用户自由选择，但一般来说，注册账号需要绑定电话号码或者邮箱，甚至在进行某些操作的时候(比如进行支付)需要与银行卡账号或者其他应用软件进行捆绑，因此在一个账号的生态圈内，非个人信息与个人特征化明显的账号结合，从而具有可识别性。一旦不具有可识别性的非个人数据拥有了可识别性，其经济价值也得到彰显。如今各路网站、网络平台、应用软件广受诟病的个性化广告正是基于用户的搜索偏好、搜索趋势、地理位置信息等个人数据而计算出来的结果。

个人数据的形式与内涵越来越宽泛，而现今大多数的隐私政策(或称用户同意政策)均为“打包式”的同意模式，而选项通常只有一个，即“同意”。一旦点击同意，人们的网络踪迹便全数掌控在数据控制者——科技企业的手中。这样带来的风险有两个：其一，普通用户并不能理解冗长繁杂且专业性极强的隐私政策，而同意隐私政策之后，用户的个人数据却又处于“随取随拿”的境遇之中，甚至连输入法、语音聊天等的内容都有可能被搜集而成为大数据的素材；其二，这些具有可识别性的非个人数据有泄露的风险。因此要迎合个人数据多样化的发展趋势，科技企业的用户同意政策也需要与时俱进。

2.2.3 数据主体与数据控制者之间的地位失衡 数据主体与数据控制者之间的地位由始至终应该是平等的，然而，数据搜集与流转规模急速膨胀的同时，也极大地削弱了数据主体在数据处理过程之中的参与，并且衍生出了“算法霸权”——作为数据保护权利人的数据主体，必须依靠、甚至受制于提供数据保护的数据控制者，数据控制者在技术上占据主导地位的同时，在地位上也得到大幅的增强[9]。从技术层面上看，数据控制者是对用户个人数据进行搜集、处理和共享的主体，用户要想实现自己的数据权益要依赖数据控制者在相应平台上提供技术支持；从风险程度上看，即便数据控制者向数据主体提供的个人数据保护措施不透明、不公开、不完善，但相对于损失小部分的用户而言，企业从其他海量的用户数据中获益更多。倘若个人不满意应用平台的用户同意政策而选择不使用该应用平台，个人还需承担丧失便利生活、被隔绝于网络社交在外的风险。因此在大多数情况下，人们只能选择服从这些数据控制者设定好的用户同意政策。数据主体和数据控制者之间的地位失衡，不能简单地靠单一的赋权手段来给予数据主体以保护。大数据时代之所以能创造巨大的经济价值，得益于数据的流通，而各国的数据立法最终的目的也殊途同归，即在数据流通与权益保护之间寻求平衡点，即便被称为史上最严格的个人数据保护条例——欧盟GDPR条例也如此。要平衡数据主体与数据控制者之间的地位，一方面要着重关注数据主体权利的具体发展，另一方面也要强调对数据控制者的约束，既不能让数据主体的合法权益被肆意侵害，也不能绑住数据控制者的手脚，让其丧失发展的空间。

3 “知情同意”模式的适用困境

由于上述的种种原因，“知情同意”模式的适用出现了困难：一方面，数据控制者很难满足透明度和通知义务，数据主体获取信息的途径非常繁琐；另一方面，数据主体难以做出有效的同意表示，既无法获取有效信息，又无法理解海量信息。无法满足的“知情”与“打包式”的“同意”之间出现了难以调和的矛盾，导致“知情同意”模式出现了适用困境。

3.1数据控制者难以满足透明度及通知义务通常认为，同意只有在同意方知情的情况下作出才是真实有效的。这要求同意方在作出同意决定的时候应该充分地知悉其在同意什么以及充分地意识到同意之后会带来什么样的结果，然后才能作出深思熟虑的决定[10]。知情的标准应该包含以下几个方面：首先，应该考虑提供哪些信息以及如何提供相关的信息，比如搜集、使用和共享的是哪些数据，处理这些数据的目的，采用了哪些保护措施以确保数据的安全，处理数据的相关人员或机构，对数据负责的主体，数据主体有哪些权利以及实现这些权利的方法等；其次，这些信息从内容上看应该足够明确、准确、详细、可靠、可理解的，从形式上看应该是容易获取的[11]。

CNIL指出，谷歌公司向用户提供的信息并不容易获取。那些诸如数据处理的目的、数据储存的时间、用于个性化广告的信息类别等的重要信息并未一开始就展示出来，这些重要的信息分散在不同文件的选项之中。要想获取这些信息，必须进行5到6步操作，用户要想获得谷歌公司搜集个人数据用于个性化广告的信息也必须进行多步骤的操作。即便用户最终搜寻到相关的信息，但由于一般用户并未受过阅读相关信息的专门训练，因此这些信息对于谷歌用户来说并不清晰易懂。CNIL进一步指出，谷歌用户并不能理解谷歌运作个人数据的具体范围，这也是因为谷歌公司在提供的信息当中对这些操作的描述非常地模糊。GDPR条例规定，数据控制者对数据主体作出的通知必须是独立、分离的通知，且要满足透明度原则。任何与数据处理相关的信息必须容易获取且可理解，其语言对于数据主体而言必须是清晰易懂。

3.2数据主体难以作出有效的同意表示在大数据时代的语境之下，知情同意模式在个人数据处理的过程中能否提供充分有效的保护受到学者的质疑。持此意见的学者认为，在用户同意政策这一对象之上存在诸多的问题：首先，人们并不会去阅读用户同意政策；其次，即便人们去阅读了用户同意政策，却不能读懂里面晦涩、模糊的语言表达；再者，即便人们阅读并且读懂了用户同意政策，但却缺乏相关的背景知识来支持其作出深思熟虑的决定；最后，即便人们阅读并且读懂了同意政策，并且具备相关的背景知识从而具备作出深思熟虑决定的能力，但数据控制者并不总是提供相应的选项供人们选择[12]。

CNIL认为谷歌用户作出的同意是无效的。谷歌公司声称，他们已经获得了用户的同意，同意其将用户数据运用于个性化广告之中。但实际上谷歌公司并未满足上文所提及的通知义务，在谷歌用户没有被充分通知有关信息的情形之下，他们无法察觉个人数据被使用的程度。比如，在一个谷歌软件中获取的数据可能会在谷歌搜索、谷歌地图、谷歌游戏商店等网站或应用软件之中流通，在没有被有效通知的情况之下大量数据被搜集、处理以及运用。

CNIL进一步表明，用户没有获得有效同意的是因为谷歌公司所提供的信息不明确、不清晰且不透明。首先，是默认设置的问题。谷歌公司给用户设定好的默认设置(default options)，其修改需要进行几步的操作，若用户没有进行默认设置的修改操作，就会自动同意谷歌公司对其进行自动化算法决策。其次，是“打包式”的“知情同意”模式问题。在创建谷歌公司的账号之前用户必须勾选“我同意谷歌的服务条款”方框以及“我同意以如上所述和在隐私政策中进一步解释的方式处理我的信息”方框，这并没有给用户选择与协商的余地，不点击这些同意方框便无法创建账号，强迫用户选择“留下”或“离开”(take it or leave it)。而谷歌公司的个人数据处理、个性化广告甚至是语音识别都是基于无效的同意，这显然没有达到GDPR条例的要求。GDPR条例规定，数据控制者要获得数据主体的同意，要求数据主体必须针对特定的目的分别作出同意，数据控制者必须服从目的限制原则(principle of purpose limitation)，在用户确定且明确的同意范围之内进行个人数据的搜集和处理[13]。数据控制者要达到以上的要求，就要划分清楚被处理的数据的范围以及数据处理的目的，且必须要向数据主体有效地表明这些信息[14]。

4 对“知情同意”模式的反思

“知情同意”模式的症结在于，一方面我们很难要求企业主动放弃自身利益去承担保护个人数据的社会责任；另一方面也要注意避免矫枉过正，避免过度限制个人数据的使用，影响社会数字经济的良性发展。要解决这个问题，须内外兼顾，双管齐下，首先要强化外部的制衡，不能单纯依赖企业自律，要强化数据控制者的责任与义务，形成良态的行业规范；其次，要引入“同意-过期”与“同意-退出”机制，将“打包式”的同意改良成分类、分层的同意；最后，落脚到我国的相关法律之中，就其能否更好地实现“知情同意”模式的应有之意，仍有可探讨的空间。

4.1强化数据控制者的责任与义务数据主体与数据控制者之间横垣着一条难以弥合的裂痕——数据控制者费尽心思地向数据主体披露与数据有关的各种信息，这类信息往往冗长、繁杂而且不便于理解，而数据主体并不愿意花时间去阅读这一类“必须”要点击同意才能进行下一步操作的信息。这对数据控制者而言，其并不能得知数据主体是否真正理解数据控制者的数据处理行为，对数据主体而言，其也不能真正理解数据控制者的真正意图，过载的信息让数据主体无法进行理性的决策[15]。这种情况的普遍存在极大地削弱了“知情同意”模式的作用与效果。正因如此，在实践中不能过度依赖用户的知情同意，而是要配合其他配套措施，强化对数据主体的约束。相比培养每一个独立自然人的数据理性，强化数据控制者的责任与义务是成本更低、效益更高的做法。

4.1.1 外部监管：设立数据安全监督机构 GDPR条例要求各成员国建立独立的数据监督机构，负责监督条例的实施，并授予这些机构调查、矫正、授权和建议等权力。这次对谷歌公司开出巨额罚单的机构——法国国家信息与自由委员会，便是这一类型的数据安全监督机构。数据安全监督机构的首要职能是监督。一般来说，监管一般涉及以下事项，包括网站和移动应用程序的安全认证、网络实名制的执行和访问日志的保存、数据安全事件的上报、数据安全事件应急机制的准备和应对、网络运营者提交数据的职责、跨境数据的安全评估、内部安全意识的培训以及数据保护责任人的任命等[16]；其次，数据安全监督机构需要起到指导作用。如制作数据安全指南、向数据企业提供数据安全建议等；最后，数据安全监督机构要开通专门通道给个人进行数据安全的反馈、数据侵权的投诉。

Facebook人工智能团队的客座研究员Josh Simons以及Facebook前隐私和公共政策顾问(2015-2017年)Dipayan Ghosh近期发表一篇名为《为什么以及如何规范脸书和谷歌的算法基础设施》的报告，两位作者认为，像Facebook以及Google这类大型数据企业应该被视为公共基础设施，由于这类企业利用算法集合了大量的社会资源信息，倘若监管不当亦或是约束不到位，这类企业手中所掌握的权力容易破坏民主社会的平衡。这些新型公共企业必须向公民和监管机构解释和概述他们采取了什么方法来确保它们的算法基础设施促进公平和正义[17]。该观点为政府与群众监督大型数据主体提供了正当的理由。但需要注意的是，技术的蓬勃发展既需要利益作为生长的土壤，又需要一定的空间作为成长的温室。对数据控制者进行的监督和管理要有别于对公共事务的监督和管理，在保证公民合法权益的前提下，要给科技与行业的发展留足大展拳脚的空间。

4.1.2 内部审查：规范数据风险评估程序 GDPR条例要求企业必须实施技术和组织层面的措施，以确保企业的数据保护水平与相应的风险相适应。通过上文分析可以得知，现有的“知情同意”模式并不能给用户的个人信息提供长久有效的保护，建立行业统一标准的数据风险评估程序是对现有的“知情同意”模式的补充。为了避免出现“作秀式”的数据安全风险评估，数据风险评估程序的规则应该由行业协会亦或是数据安全监督机构制定，且由其监督实施。数据控制者在统一的标准以及规范的程序之下进行数据安全评估，评估结果应进行公开[18]。数据安全风险评估并非一蹴而就、一劳永逸，必须要持续、动态地开展风险评估。个人数据聚合的规模在不断变化，处理个人数据的方式也在不断变化，因此数据安全问题其实也一直处在动态变化的过程之中。从这个角度来看，持续、动态的数据安全风险评估就显得尤为重要。

进行风险评估的目的并不在于彻底消除数据风险。从现实的角度来说，数据风险并不可能完全避免，也很难完全消除。风险评估的主要目的在控制数据风险，将数据风险控制在最小的范围之内。承认风险的合理存在，一方面能减轻各类数据企业的合规压力，另一方面也为数据企业合理利用数据扫清障碍[19]。

4.1.3 事后救济：完善数据主体维权途径 过于宽泛的用户同意会过分降低用户与用户数据之间的粘性，用户一旦点击“同意”，犹如将自己的个人数据完全出卖：一方面数据控制者在肆无忌惮地处理用户数据，另一方面数据主体无法掌控自己的个人数据，在遭遇数据侵权的情况下状告无门。要强化“知情同意”模式的效果，必须要完善数据主体的事后救济途径。在多数情况下，个人数据侵权的严重程度并不高，也未必会严重影响到用户的日常生活，因此用户个人并不会采取维权成本较高的诉讼方式用以维护自己的合法权益，而选择容忍这种侵权行为。但对数据控制者来说，这种积少成多的“掠取”行为却为其带来巨大的经济收益。因此，要给用户提供简便、低廉、有效的维权方式，拓宽数据主体的维权渠道。通过在数据安全监督机构设置真实有效的投诉通道等措施，在数据企业侵害用户的合法权益时来保障数据弱势群体的发声权利。同时，监督机构也需要对数据企业等数据控制者的用户协议进行长期、稳定、持续的监督，以保证用户协议的合法性以及合理性。

4.2引入“动态同意”模式“动态同意”模式(dynamic consent)是让个人参与到使用其个人数据过程中的一种新方法[20]。顾名思义，“动态同意”模式允许个人的同意表示存在一定的动态变化，让信息披露与知情同意处于持续、开放、动态变化的过程之中。这不仅可以强化信息主体的中心地位，让信息主体对其个人信息掌握更多的主动权，而且其具有高度的灵活性、便捷性和效率性的特点，信息的获取、个人偏好的设置更改、同意的作出与撤回都是即时性的，能让信息主体更好地应对瞬息万变的大数据时代[21]。

具体而言，笔者认为“动态同意”模式可分为“同意-过期”和“同意-退出”两种形态。“同意-过期”是一个自动的过程，由数据控制者设置从用户做出同意的表示到同意过期之间的一个时间区间，经过一段合理的时间之后，用户同意自动过期，届时数据控制者需要重新披露与处理用户数据相关的数据，而数据主体也需要重新作出新的同意表示。“同意-退出”则是一个半自动的过程，由数据主体自行决定某些特定的个人数据能否继续被使用以及个人数据能否被使用于一些特殊的用途之中。用户同意的作出都是可调整与修改的，用户也可以根据自己的偏好作出特定的同意范围，这要求数据控制者给数据主体提供相应的选项以供用户自由选择。“动态同意”模式被视为是最有希望的改良“知情同意”模式的方案之一，一方面其保留了知情同意的内核，以用户的同意为数据处理的法律基础，另一方面，它又改良了“知情同意”模式既有的框架，将“打包式”的同意改良成分类、分层的同意，将用户同意特定化、精确化，稳固“知情同意”模式的法律基础。

北京时间2020年6月23日，苹果公司召开WWDC全球开发者网络大会，介绍了最新的ios14系统。新系统将会对苹果应用推广带来一些变化：ios14系统要求应用程序先征得客户同意，才能使用广告客户标识符(identifier for advertising，简称IDFA)，且IDFA默认设置为关闭。一旦用户拒绝分享IDFA，开发者就只能得到一串无效字符，这意味着应用软件无法推荐个性化广告，也无法监测其广告投放效果。这是科技企业适用“动态同意”模式的例子之一。尽管最终迫于各种压力，苹果的这一举措要延迟实施。近年来，越来越多的数据控制者开始反思，过分地使用用户个人数据是否正当，是否应当让用户重新掌控其个人数据？苹果公司显然迈出了瞩目的一步。

4.3中国相关法律中的“知情同意”《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)并未明确地阐明数据控制者在处理数据时必须谨遵“知情同意”原则，仅在第29条笼统地规定任何组织、个人收集数据，必须采取合法、正当的方式。第20条与28条是与风险评估相关的规定，要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况。《数据安全法(草案)》的重点落在维护国家总体的数据安全，聚焦于重要数据的国家安全问题，更多在于规范有关主管部门以及数据控制者的行为，较少关注数据主体的私法权利，仅在个别条款有提及，如《数据安全法(草案)》第11条规定了任何组织和个人都有向有关主管部门投诉和举报的权利。这同时需要明确两个问题：其一，有关主管部门具体是指什么部门，各自的主管范围是哪些？其二，组织和个人投诉和举报的效果该如何进行监督和评估？这问题也亟待后续的配套措施出台解决。全国人大常委会法工委发言人记者会上，发言人提到《个人信息保护法(草案)》总体上沿袭欧盟国家在数据保护上做法，对个人数据进行严格的保护。《个人信息保护法》和《数据安全法》是我国在数据领域的基本法律，《个人信息保护法》从微观层面维护个人的信息权利，而《数据安全法》则从宏观层面维护国家整体的数据安全，但具体措施如何落实，包括如何保障“知情同意”模式有效实现在内的热议问题希望透过其中得到有效解决。

5 结 语

谷歌公司被罚为所有的数据企业敲响了警钟，警示它们不能再借助对民众的数据权利野蛮掘金而从中获利。在现今的网络时代，“知情同意”模式并未步入黄昏，其所遭遇的现实困境并不能成为抛弃“知情同意”模式的理由。通过强化数据控制者的责任与义务，从外部增强其效用，引入“动态同意”模式，从内部优化其功能，让“知情同意”模式更好地适应现今的社会发展，构建以数据权利为基础的安全网络环境。而我国要深度参与全球数据治理，既要实现与世界主流数据法律治理模式的对接，也要注意外国数据治理模式的本土化，以适应我国目前的国情。