吕湛

（中国政法大学 研究生院，北京 100088）

一、同意条款形式合规的必然性

自2012年全国人大常委会作出《关于加强网络信息保护的决定》以来，互联网企业收集、处理用户个人信息便需要征得用户同意①。正式法律文件中，同意制度首次于《消费者权益保护法》确立，随后在《网络安全法》《民法典》《个人信息保护法》《信息安全技术个人信息安全规范》《信息安全技术个人信息告知同意指南》等相关法律法规、国家标准中得到进一步确认、细化，并藉此衍生出一系列配套制度，例如同意的变更与撤回、未成年人监护人同意制度、对企业的处罚等。不过，尽管用户同意是互联网企业收集、处理信息的前提，但现实中用户却很少阅读隐私协议，更妄论“同意”了；即使用户进行了阅读，对于收集、处理个人信息的内容也未必能全然理解；纵然理解，在行业内垄断并不罕见的情况下②，考虑到互联网基础服务在生活中的必要性，用户恐怕也不得不点击同意；结合隐私协议的长度和同质化程度，用户选择不进行阅读恰恰是经济理性的决定。因此，虽然有知情同意制度的保驾护航，但是互联网企业仍然会凭借同意条款获得形式上的合规，以尽可能多地用户的个人信息。

（一）用户阅读率低的尴尬

用户确实总体上不阅读隐私协议，只有四成左右的用户会以有时及以上的频率阅读隐私协议，其中认真读完的比例仅为26.74%③。再以网络购物为例，能在总体上阅读电子合同的消费者仅占4%；有大约44%的消费者根本什么都不看；有33%的消费者只在大额交易时才会快速阅读条款；并且有多项调查均表现出类似的结论④[1-2]。面对如此之低的阅读率，理论界或实践中主要有两种办法，意图彻底或部分解决这一问题。其一是让协议的语言尽可能明确显著、清晰易懂⑤，由此用户即有可能对简单的隐私协议进行阅读。不过情况未必如此，至少有多组行为实验显示，缩短、简化隐私协议对提高阅读率没有影响[3-4]，立法者对此寄予的厚望恐怕要落空了；其二是提示用户如果不阅读隐私协议则可能招致风险或损失，并且对关键条款进行额外标注，但是从行为实验的结果来看依然效果甚微[5]。

上述两种办法的效果均不显著，甚至几乎为零，这就为同意制度蒙上了一层阴影。无论是我国还是以欧盟为代表的大多数国家或地区，用户同意的前提都是知情⑥。况且从逻辑的角度看，如果用户都对获取个人信息都不知情，那么谈何同意呢？可是在用户普遍不阅读隐私协议的大背景下，实践中互联网企业获取的同意大多是徒有其表的。另一方面，上述的办法只有理论上的可行性，现实中反而不可能达成。隐私协议的语言明确、提示显著和简短易懂，三者往往不可兼得。如果想要兼得简短易懂和提示显著，只怕还可能起到反作用，当加粗提示的部分占据相当比例时，用户已经无从知晓何为重点条款、何为非重点条款了，同意可能被认定为无效⑦；语言明确和简短易懂之间，在术语方面天然存在专业术语和外行的隔阂，在篇幅方面，如果企业强行简化其隐私政策，缩短隐私政策篇幅，那么隐私政策则会变得非常笼统，无法传递精确描述，从而可能某些情形下隐藏事实，对用户构成欺诈，增加企业的运营风险。因此，不仅可能的解决措施效果甚微[6]，其与法律和惯例所要求的语言明确、提示显著也存在不可调和的矛盾。

另一方面，“阅读率低”不仅在用户使用APP 之前产生作用，在用户使用APP 的过程中也会产生影响。最典型的便是受到单方变更条款的影响，即互联网企业通常会约定：平台有权不时修改协议……如果用户继续使用平台服务，视为接受修订后的条款⑧。随着数字经济的发展，法律也随着不断跟进，互联网企业，如电商平台，对隐私协议或用户服务协议的变更非常频繁[7]。这当然是符合效率的，但是也让本就摇摇欲坠的同意制度更为风雨飘摇。个人信息的相关权利，无论其权利性质如何，是人格权权益抑或基本人权的范畴，我国及其他国家对此都非常重视，因此一般均要求只有在用户明示同意的情况下，互联网企业才可收集、处理个人信息⑨。但是，如果互联网企业由于政策变化或其他原因，需要额外收集、处理个人信息，发布修订后的同意条款，就意味着大多数用户默示同意，且几乎不可能做到多数用户明示同意。事实上，要求所有用户再进行一次确认，并非经济的选择，也不具有可操作性。这样的事实与法律发生了冲突，让同意条款的效力更加捉摸不定，为企业的形式合规提供了土壤。

（二）“用户不读”正是经济理性的体现

格式条款的出现有其必然性，从互联网企业的视角来看，格式条款的广泛应用对于降低交易成本、提高交易效率、简化谈判进程具有重要的作用[8]。不过，从用户的角度看，不阅读或许也是更有利的。整体上看，其背后的原因主要包括互联网行业垄断性强、互联网基础服务不可或缺、隐私协议阅读成本过高且同质化严重等。

一方面，互联网行业存在普遍的垄断，用户的选择本就十分有限。虽然各市场领军的企业从BAT（百度、阿里和腾讯）到ATM（阿里、腾讯和美团）不断发生变化、迭代，但是，有一点始终未曾改变，各细分领域依然为巨头们所掌握，例如2020年12月的网约车市场中，滴滴出行的活跃用户（乘客端）为8157.3 万，旗下的花小猪为1400.7 万，除了嘀嗒出行有1799.2 万活跃用户外，余下的竞争对手中用户最多的首汽约车也只有268.5 万⑩；2020年1-4月，外卖平台交易额美团占比57.9%，饿了么占比40.2%，其他平台占比仅1.9%⑪；2019年的网络购物平台中，天猫（50.1%）、京东（26.5%）和拼多多（12.8%）占据了接近九成的市场份额⑫……用户使用各种APP 主要还是为了满足购物、出行、社交等基础需求，面对近乎垄断的市场，用户实际上别无选择。此外，互联网服务已经由新奇的服务转变为生活中必不可少的基础服务，例如第三方支付、即时通讯等，用户不仅别无选择，也不得不选择。因此，互联网巨头垄断的实质结果是让用户在现代化生活的便利与潜在的个人信息风险之间做选择，而非自由缔约。如果不对此加以规制，就会让这些占据优势市场地位的互联网企业进一步限制用户的意思表示[9]，让“同意”成为“不得不同意”。现实也确实如此，从不阅读隐私协议的用户中，有六成从不阅读的原因是不授权就无法使用APP，因此不如不读⑬。

另一方面，除了用户别无选择且不得不选择同意之外，仔细查看隐私协议成本高昂，同时也没有实际意义。APP 的隐私协议常常超过一万字⑭，其阅读成本显然无法忽略，况且一般日常生活中使用的APP 往往有十个以上，全部阅读的成本是个人无法承受的，更妄论隐私协议时不时更改的部分了。此外，互联网企业在发展的过程中，会逐渐从野蛮生长走向正规，大多会参照法律法规进行数据合规，以防政府对其处罚，结果就是隐私协议会趋于一致，例如京东的隐私协议的第一项到第八项与与淘宝网的隐私协议的第二项到第十项几乎完全一致，只有保护和储存个人信息是否分列为两节，以及部分细节上存在区别。即使是不同领域的APP，其隐私协议结构的差异性也很小，例如在如何收集信息的部分，均包含法律所要求收集的个人信息、基于基础功能收集的个人信息、基于扩展功能收集的个人信息、无需征求同意的豁免和隐私协议的变更⑮。这种情况下，用户很难察觉到隐私协议的差别，自然也减小了阅读的必要性。在从不阅读隐私协议的用户中，除了六成用户是因为不同意便不能使用app 外，另有16.6%的用户认为用户协议大同小异，没有阅读的必要⑯。

（三）小结

如果用户不进行阅读隐私协议，法学家可能会认为用户会因此招致种种不利后果，因而在立法上想尽办法促进用户阅读。不过，由于前文所述垄断导致的“不得不同意”、过高的阅读成本、不同企业间隐私协议的高度相似，致使用户无法进行信息理解和信息比较，面临的信息成本极为高昂，无法做出有效的信息决策，让不做选择成为了最优选择。用户既然不阅读隐私协议，自然也不会阅读其中的同意条款。在用户“不得不用”的情况下，互联网企业总能获取个人信息的授权，从而满足形式上的合规。此时，市场已经失灵，知情同意制度本身已经无法保护用户的个人信息，需要通过少数精明人、司法或者行政规制等额外手段进行救济[10]。更何况，企业通过格式条款获得的利好是建立在用户的选择权减少，法律风险增加等不利因素的基础上的，在立法上更倾向于用户本是应有之义。

二、形式合规欠缺正当性基础

实践中“表面获得用户同意，实则收集非必要个人信息的同意条款，”并不罕见⑰。然而，用户的“阅读率”低会影响同意的前提——知情，使互联网企业获取个人信息的授权并不圆满，进而影响其作为格式条款的公平性；互联网各行业的垄断，令用户的同意流于表面，其同意的背后多少有被迫的成分。况且，再考虑到互联网服务对现代生活的必要性，即使用户发现隐私协议对非必要的信息征求了同意，用户大多也会选择先使用服务解决燃眉之急，而非投诉互联网企业。这说明，即使用户看了隐私协议，不同意其中的授权，互联网企业依然能获得形式上的合规。因此，同意条款的形式合规并不因为其获得授权而具有正当性。

（一）同意条款作为格式条款的效力瑕疵

同意条款是一种格式条款，为保护格式条款相对方，尤其是消费者，《民法典》《消费者权益保护法》《最高人民法院关于适用<中华人民共和国合同法>若干问题的解释（二）》（以下简称《合同法解释（二）》）等均对格式条款提供方加以限制，以保护相对方的合法权利。如果同意条款符合《民法典》第496-498 条，《消费者权益保护法》第26 条以及《合同法解释（二）》9-10 条的情形，则可能面临可撤销或无效的结果。具体而言，审查同意条款的效力应遵循从形式到实质的审查路径。形式审查是指通过运用若干程序性事项以确定格式条款内容是否存在效力问题的过程，实质审查则是对订入合同格式条款的内容进行公平与否的效力评价。顺序上，应当先运用形式性规则优先确定格式条款的形式是否符合法律规定，再对符合条件而成为合同内容之一部分的格式条款进行公平与否的实质审查[11]。

从形式上看，假设互联网企业严格遵守法律和传统惯例，对相关文字、符号、字体等进行特别标识，并给予足够的说明，显著提醒用户包括同意条款在内的有利害关系的条款，那就满足了形式的要求，实践中的案件确实也大多满足形式要件[12]。按照传统观点，只要用户勾选了协议，点击了“确定”按钮，就推定其已经阅读了用户协议中的格式条款并受到条款的约束，不得以未实际阅读为由摆脱合同的约束，也与实践结果相一致[13]。不过，一则可能会出现标识文字与未标识文字数量旗鼓相当的情况，从而会被法院撤销⑱；二则隐私协议的内容实属庞杂，如果加上其他服务协议的条款，再考虑到法律用语对于公众的晦涩，结合前文所言，实则不可能为用户所阅读；可是，如果对“合理提示及说明义务”进行合理的扩大解释，则应囊括限定字数、用语简明等新的要求，固然能顾全用户的利益。但这又很有可能无法涵盖全部具有重大利害关系的内容，使互联网企业面临左右违法的窘境⑲。法不强人所难，无论是对互联网企业还是用户而言均是如此，笔者认为对格式条款传统的形式审查已经无法适应新时代下的经济活动，形式合规自然也不具备绝对的合理性。

再从实质内容上看，我国虽然未确立个人信息权，但是个人信息保护相关权益属于人格权益，尽管不意味着用户对该权益享有排他的、绝对的支配与控制[14]，也属于消费者的合法权益。如果互联网企业违反最小必要原则收集用户信息⑳，那么如何认定同意条款的效力，是否可以认定为《消费者权益保护法》第26 条中通过格式条款的方式限制消费者权利的情形？倘若从限制消费者权利的角度来看比较牵强，在以个人信息为对价交换互联网服务的大背景下[15]，消费者对此也并非蒙在鼓里，结合各领域互联网巨头垄断的情况，则可能将此认定为《消费者权益保护法》第26 条第2 款中“利用格式条款并借助技术手段强制交易”的情形，从而否定同意条款针对非必要个人信息收集的效力。同时，这也符合个人信息保护的一般规则，即互联网企业不得因用户不同意处理非必要信息为由，拒绝提供产品或服务。由此可见，同意条款的格式条款属性使其形式合规的合法性存在疑问。

（二）个人信息保护法律法规对同意条款的影响

除了格式条款的角度之外，《民法典》第153 条第1 款“违反法律、行政法规的强制性规定”也可能有用武之地。《合同法解释（二）》将强制性规定限定在效力性规范，排除了管理性规范。具体而言，效力性规范是指法律及行政法规明确规定违反该类规定将导致合同无效的规范，或者虽未明确规定违反之后将导致合同无效，但若使合同继续有效将损害国家利益和社会公共利益的规范。效力性强制性规定包括涉及金融安全、市场秩序、国家宏观政策等公序良俗的；交易标的禁止买卖的；违反特许经营规定的；交易方式严重违法的；交易场所违法的，而关于经营范围、交易时间、交易数量等行政管理性质的强制性规定，一般应当认定为“管理性强制性规定”。

同意条款虽然表面上获得了用户的同意，但实则用户并未阅读，这种情况即使不是众所周知，至少业内人士也是心知肚明的。因此，当互联网企业违反最小必要原则收集用户信息，以及借助垄断地位将同意隐私协议与获取产品、服务绑定时，用户实则别无选择，不宜认定将用户形式上的同意认定为抗辩理由，可以认定互联网企业因此违反了个人信息保护相关法律。那么是否能认定个人信息保护相关法律为效力性规范呢？法律和司法解释并未给出明确、清晰的答案。不过从规范内容上看，上述个人信息保护相关规则不具有关于经营范围、交易时间、交易数量的行政管理性质，相反这与互联网企业是否能够不受限制地获取个人信息密切相关。从我国移动端App 动辄上亿月活用户的现状来看，互联网企业获取用户信息是涉及社会公共利益和公共秩序的，立法者显然也认识到了这一问题，例如《个人信息保护法》第58 条对提供基础性互联网平台服务、用户数量巨大、业务类型复杂的企业进行了规制。行业内部常见的垄断，让隐私协议可以与提供服务、产品绑定，使用户不得不接受额外的信息收集，且未提供其他可替代方案，也属于交易方式严重违法的范畴，构成侵害社会公共利益的违法事实。因此，笔者认为从违反效力性强制规范导致无效的角度来看，隐私协议的同意条款也可能归于无效。

另外，关于单方变更条款的问题，虽然也存在违反明示同意的问题，但与前文提及的违反最小必要原则及利用垄断地位有所不同。一般情况下，根据《个人信息保护法》第14 条的规定，互联网企业单方变更个人信息处理相关条款时，应当重新取得个人同意，且这里的同意依然是明示的，仍然存在签署问题。但是单方变更条款在一定条件下有其法律依据，即《电子商务法》第34 条所规定的，电商平台单方修改服务协议和平台规则的，应当在其首页显著位置公开征求意见，采取合理措施确保有关各方能够及时充分表达意见，修改内容应当至少在实施前七日予以公示。通过公示规则以及赋予用户解除权，对于保护用户而言，起到的作用是杯水车薪[7]。这种一定期限内赋予用户解除权的做法，虽然有《电子商务法》予以背书，但实际上是默认用户同意，与《个人信息保护法》的要求的明示同意有所不同，不仅未能缓解同意带来的窘境，反而为互联网企业的合规大开方便之门，使其可以在最初通过尽量少处理个人信息来吸引用户，待到形成用户规模、使用习惯固定后，修改个人信息处理规则，获取用户的“默示同意”。

（三）垄断对用户意思表示的影响

在收集个人信息这个市场中，互联网企业和个人就是实质的交易主体，前者提供互联网服务，后者提供个人信息作为对价。当然，这一市场中的主体并非均是传统的商事主体，用户个人权益的受损对市场秩序没有直接的影响，但是不妨从类比的角度发现形式合规背后的不合理。考虑到互联网行业的普遍垄断，在收集个人信息这个市场中，滥用市场支配地位的发生不无可能，同意条款的“形式合规”正如垄断行为的“表面自由缔约”。如果用户不同意收集个人信息，互联网企业即不提供互联网服务，有可能属于《反垄断法》第17 条第3 款“没有正当理由，拒绝与交易相对人进行交易”的情形。用户被迫同意这种形式上的合规，就如被迫接受不合理条件的经营者，表面上是交易自愿、自由意志的，实际上则是别无选择的。互联网企业将拒绝提供服务作为交换个人信息的手段，虽然并非当然违法，可考虑到互联网在现代生活中的基础设施属性，它们的拒绝交易很可能对对人们生活和社会秩序造成严重影响，对用户的倾斜是天然正当的[16]。虽然前文的用户被迫同意并不能简单等同于民法上的胁迫与欺诈，与后者的构成要件有所不同，而且有些情形也确是网络交易本身的性质所致，但这些“胁迫”行为说明用户个人的同意权不足以保障用户作出不含效力瑕疵的真实意思表示[17]，同意条款的形式合规恰恰掩盖了这一点，就如“交易自由”掩盖了垄断下的滥用支配地位。

三、应对个人信息进行额外保护

同意条款被广泛设置在隐私协议中，以使互联网企业获取非必要个人信息的行为正当化。从现实情况看，用户形式上的同意不仅不能保证他们的个人信息安全吗，反而为互联网企业获取个人信息打开方便之门。除此之外，同意制度本身还可能有其他负面效果，如限制信息流通、阻碍数字产业发展等[18]。不过，知情同意制度有其独到之处，在尊重个人权利方面有其指引和教育作用。况且我国在《民法典》中明确规定了个人信息处理的告知同意要求，正在制订的《个人信息保护法》中也将进一步确立这种要求，此时针对这一立法上日益稳固的规则再言放弃，已不合时宜，理性的选择应当是研究如何缓解乃至化解同意规则的实施困境[19]。因此，应当寻找其他办法来对个人信息进行额外保护，例如统一隐私协议内容、区分基本业务与扩展业务、促进数据交易、推行个人信息公益诉讼等，以弥补同意制度的不足，尽可能消除形式合规造成的影响。

（一）通过行政手段规范个人信息的收集

立法应当顺应市场规律，承认用户几乎不会阅读同意条款的现实。如果遵循传统观点，用户勾选进入App 后就属于放弃个人权利，不利于保护个人信息，也对用户施加了过高的成本，提出的要求未免难以达到；如果执着于同意条款的实际推行，要求互联网企业提供用户会阅读、能理解的隐私协议文本，则会必然会产生语义模糊、遗漏重要权利等法律风险，对其施加不必要的成本，阻碍互联网行业的发展。因此，不如不再重视“同意”，而是鼓励统一隐私协议的书写，将企业间协议的差异压缩到很小的程度。由此，用户得以把更多注意力留给其它维度，比如价格；企业也会加强在这些维度上的竞争，最终对社会福利带来净效应。不再重视同意，不等于同意制度没有价值，其将作为互联网企业是否合规的标杆，也是用户藉此维权的条文依据，但其本身不再作为唯一的，或者最重要的正当性来源。用户的信赖不必建立在其所阅读的隐私协议之上，而是基于对个人信息的处理标准的统一适用，换而言之，其信赖从根本而言是出于对国家治理能力的信任[17]。这种同意以国家的强制力作为后盾，相信国家会对过分收集个人信息的企业予以监管、处罚，较之形式上的点击同意，自然更为意思自由。

基于此，立法时应当更重视与必要信息相关的规则，以让企业制定隐私政策时便尽可能不收集不必要的个人信息。这方面我国的立法尚出于初级阶段，立法杂乱而繁多，例如《常见类型移动互联网应用程序必要个人信息范围规定》（下简称《常见App 必要个人信息范围》）、《信息安全技术|移动互联网应用程序（App）收集个人信息基本规范》（下简称《App 收集个人信息基本规范》）等。后二者分别对包括地图、网约车、外卖等39 类App 的必要个人信息范围进行了列举，以及在附录A 中列举了21类App 的必要信息，以及在附录B 中列举了与信息相对应的服务等，是非常值得进一步细化、规范的成果。不过在这些内容中也存在矛盾，例如《常见App 必要个人信息范围》与《App 收集个人信息基本规范》中对网约车的支付信息是否必要存在不一致。对此，我国应尽快结合现实情况出台完善、统一的上位规则，以弥补同意条款不能保护的范畴。除了颁布必要个人信息相关规则之外，还应当对合法性基础的适用顺序作出一定的要求。如果只是颁布了规则，而没有对其适用顺序作出规定，互联网企业依然可以通过“取得用户同意”从而获得一揽子授权，绕过相关规则的限制。因此，应当优先适用合同所必需、法律所必需等必要个人信息的合法性基础，来弥补同意带来的形式合规问题。

另一方面，政府对必要信息的限制以及相应的监管，必然限制互联网收集、处理个人信息，同时不可能完全预见信息必要性的变化，会对其发展造成不利影响；如果放松对条款的限制，那么则会使政府监管成为摆设，无法发挥应有的作用[20]。为消弭这种不利影响，也应当为企业创新设置例外规则。出于便捷、体验等原因，用户会对一款App 存在基础功能以外的需求，互联网企业自然也会针对这种需求提供服务，二者都是合理的市场行为。不过，其中涉及的信息不再是必要信息，同时既然是用户自发产生便捷、体验等其他需求，那么则有其额外的动力权衡个人信息风险与从App 中的获益，同意条款虽然在一般情况下无用武之地，面对额外的服务则有所不同。对此，我国的《信息安全技术个人信息安全规范》已经在附录C 中给出了方案，即根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求，划分出产品或服务的基本业务功能和扩展业务功能，对不同的功能采取不同的策略。不过，《信息安全技术个人信息安全规范》只是推荐性国家标准，尚不具有法律上的强制力，应尽早将基本业务与扩展业务的区分纳入具有强制力的规范体系中。

（二）促进数据“交易”

在大数据技术快速发展的背景下，互联网企业收集个人信息有其内在的商业驱动，一是基于用户的个人信息可以进行个性化推荐、品牌监测等高效率的营销活动，也是当前互联网上最热门、最普遍的应用；二是基于用户的各类交易信息从而进行的经营分析报告、反欺诈、反虚假交易、促销和团购选品等辅助活动[21]。互联网行业乃至其为之服务的行业，如医药行业、金融行业等，收集用户个人信息的需求是客观存在的。同意规则将权利赋予用户，希望用户的意思自治可以对信息流通进行规制，却得到名存实亡的同意条款，企业凭借形式上的合规获取了用户信息，用户自决则形同虚设。因此，如果有其他渠道来满足互联网企业的需求，那么就通过形式合规获取用户信息的手段就可能会被替代，降低对用户的影响，数据交易市场也许是比较有效的方式。

由于数据产权规则不明确、保护个人信息的脱敏手段未形成统一标准、交易内容可能涉及国家安全等，数据交易市场尚不是一个成熟的市场，还处于摸索阶段[22]，因此暂时不宜作为满足互联网行业数据需求的手段。不过，个人信息民事权益作为一种新型人格权，兼具人身和财产属性，可以为用户带来经济效益[23]，不妨由此入手。实践中，无论是用户已经认识到的用信息交换产品或服务，还是常见的利用个人信息交换小赠品、社交网络的抽奖、新App 的优惠等[24]，都说明利用个人信息进行交易是常规市场行为。因此，可以对互联网企业通过额外服务交换个人信息的行为不做过多限制，以此保证互联网行业创新的活力。这种情况下，企业所得的个人信息，是对企业而言预期收益最大的信息（除基于最小必要性原则下可处理的信息），对用户而言又是相对可让渡的那部分信息。经济激励机制提供了一个议价平台，用户和企业可通过交涉和协商寻求一种双赢的格局。当然，其中还包括告知方法的问题，例如如果用户提供个人信息，则可以享受额外服务或减免；与如果用户不提供个人信息，则会失去某项服务或需额外缴费，之间存在不同的强制性，是否对此进行规制仍有待不断探索[25]。

（三）利用少数精明人

当大多数用户都不阅读隐私协议时，依然有少数“精明人”为自身利益会仔细阅读隐私协议乃至其中的同意条款。为争取这些精明人，企业就会修改自身的条款以满足精明人的需要，只要从精明人处获得的收益，大于放弃收集、处理信息的损失时，那么互联网企业就会修改同意条款。但是，精明人理论会受到精明人占比的限制，有观点认为只有精明人占比超过三分之一时，才能有效地影响企业的决策[26]。在隐私协议这个博弈领域内，精明人的比例显然过低了。况且，巨头企业可以通过和解、分别缔约等手段，给予精明人独特的地位，从而消解精明人效应。笔者认为公益诉讼可以一定程度上解决精明人占比不足、可能被消解的问题。一方面，提起公益诉讼的主体一般是有丰富经验的公益组织，或者是检察官，能力上满足精明人的要求；另一方面，精明人会存在占比过低导致议价能力差，无法改变不当条款的情况，以及单独与企业达成和解而无法产生公开影响的情况，公益诉讼则有检察院的独立性、法院裁判的强制力和公开性作为保障。该领域已经满足了设置公益诉讼的条件，其一，同意条款乃至隐私协议往往涉及上亿条个人信息，关乎于社会公共利益，符合公益诉讼的前置条件；其二，用户个人起诉诉权所及只有个人的信息，个人起诉只能保护个人利益，所获赔偿却与实际受到的损失相差甚远，维权的成本和收益不成正比，公益诉讼将众多案件合并为一个案件，可以解决这一问题；其三，互联网企业通常在技术、人才、资金等方面都具有优势地位，用户个人与之相较实力、地位悬殊，但检察院作为国家机关，互联网企业面对个人的优势地位便不复存在了[27-28]。

《个人信息保护法》第70 条确立了公益诉讼制度，个人信息公益诉讼工作也早已开展，最高检于2021年4月22日便公布了十一件典型案例，其中有涉及违规处理个人信息的案件，当信息处理者违反最小必要原则处理个人信息时，既有直接要求其改正的民事公益诉讼，也有敦促行政机关执法行政公益诉讼。如果将公益诉讼作为补充，就可以有效地对互联网企业的隐私协议进行规制，对其中形式合规但实质不公平的部分进行纠正，先前关于违反最小必要原则手机个人信息的案件便是很好的例子。

四、结论

同意条款是互联网企业追求形式合规的产物，由于语言冗长、行业垄断普遍等原因，用户的同意是浮于表面的，实际上不能产生立法者所预想的用户根据自由意志来引导个人信息流动的效果，更无法起到保护个人信息的作用，也让企业面临违法的风险。因此，应当承认用户同意没有预想中重要的事实，对有必要收集的个人信息出台国家标准，尽可能统一行业内的隐私协议，降低互联网企业和用户的缔约成本；对有意愿进行商业模式创新的企业，可以在基础业务之外选择扩展业务，同意条款将在此焕发活力；就企业本身收集信息的需求，应当通过合法途径予以疏导，尽快完善数据交易市场，并允许企业对用户采取激励措施换取个人信息，实现双赢的结果；同意条款无法保护个人信息，应采取其他手段对之加以弥补，虽然各项立法尚不成熟，但个人信息的公益诉讼是很好的选择。

[注释]

① 《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2 条。

② 参见《国家市场监督管理总局行政处罚决定书》（国市监处〔2021〕14-21 号、27-37 号等），再考虑到《反垄断法》第19 条所规定的市场份额，互联网行业的垄断并不罕见，下文会列出部分行业数据。

③ 参见《国家市场监督管理总局行政处罚决定书》（国市监处〔2021〕14-21 号、27-37 号等），再考虑到《反垄断法》第19 条所规定的市场份额，互联网行业的垄断并不罕见，下文会列出部分行业数据。

④ 中国消费者协会：App 个人信息泄露情况调查报告，网址：http://www.cca.org.cn/jmxf/detail/28180.html。

⑤ 《艾媒报告 2018 中国手机 APP 隐私权限测评报告》提到只有 12.4%的用户认真阅读隐私协议，网址：https://www.iimedia.cn/c400/61251.html。

⑥ 例如《个人信息保护法》第17 条，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项……再如GDPR 在序言中谈到，数据控制者事先定的同意声明应以易理解、同意声明应以易理解、获取方式提供，使用明确、简洁的语言并且不能包含公平条款。其中第12 条也规定了有关数据处理通信过清晰易懂语言，以一种简洁明了、透明以及易获得的形式提供……

⑦ 例如《个人信息保护法》第14 条规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。；再如GDPR 第3 条规定，数据主体的同意：是指数据主体依据其个人意愿，自由、明确、知情并清楚地通过陈述或积极行为表示对其个人数据进行处理的同意。

⑧ 例如在孙丁丁与江苏苏宁易购电子商务有限公司一案中，法院认为六页的黑体标示条款明显多于非黑体字条款。因此，经过字体加黑的管辖权条款与其他条款并无明显区别，未起到提请消费者合理注意的作用……因苏宁公司未能采取合理方式提请消费者注意，对本案当事人不具有法律约束力。

⑨ 例如，《淘宝平台服务协议》在第七项协议变更上，加粗标注了“如您在变更事项生效后仍继续使用淘宝平台服务，则视为您同意已生效的变更事项”，网址：https://terms.alicdn.com/legal-agreement/terms/TD/TD201609301342_19559.html。

⑩ 同④注，以及《个人信息保护法》第14 条、GDPR 第3 条。

⑪Analysys 易观：《中国网约车市场洞察2020》，第23 页。

⑫Fastdata 极数：《2020年1-4月中国本地生活外卖行业发展分析报告》，第16 页。

⑬ 网经社电子商务研究中心：《2019年度中国网络零售市场数据检测报告》，第13 页。另外，文中所提及的市场占比是指全体电商平台的市场份额占比，如果只考虑综合性电商平台，阿里、京东和拼多多的市场占比将会更高。

⑭ 同①注，中国消费者协会：《App 个人信息泄露情况调查报告》。另外，立法者实际上也意识到了这一问题，例如GDPR 在序言第43 部分谈到，为了确保数据主体的同意是基于自由意志作出，在数据主体和控制者之间存在明显的不平衡时，尤其是当数据控制者为公权力机关时，不可能所有的同意都是自由作出的情况下，数据主体的同意不能作为处理个人数据的有效法律基础。不过GDPR 并未给出除否认同意效力之外的、明确的、具有针对性的解决办法。

⑮ 淘宝的《隐私权政策》共计 17931 字，网址：https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html?spm=a2145.7268393.0.0.f9aa5d7cW0DnJj；京东的《京东隐私政策》共计15605 字，网址：https://about.jd.com/privacy；微信的《微信隐私保护指引》共计 11509 字，网址：https://weixin.qq.com/cgi-bin/readtemplate?t=weixin_agreement&s=privacy&cc=CN；微博的《微博个人信息保护政策》共计10416 字，网址：https://m.weibo.cn/c/privacy；高德地图的《高德地图开放平台隐私权政策》共计10962 字，网址：https://lbs.amap.com/pages/privacy/。文中相关隐私协议的内容，来源与此相同，不再引注。

⑯ 参见《美团隐私政策》，网址：https://rules-center.meituan.com/m/detail/guize/2；《支付宝隐私政策》，网址：https://render.alipay.com/p/c/k2cx0tg8。

⑰ 同①注，中国消费者协会：《App 个人信息泄露情况调查报告》。

⑱ 参见中国消费者协会：《100 款App 个人信息收集与隐私政策测评报告》，其中通讯社交、新闻阅读、电子邮箱、影音播放类型的App 大多都会收集用户定位、位置信息，部分类型甚至达到了100%。但是从《常见类型移动互联网应用程序（App）必要个人信息范围（公开征求意见稿）》可以看出，即时通信类、网络社区类、邮箱云盘类、在线影音类、短视频类、新闻资讯类的App，必要信息并不包含用户位置信息。这可以证明，实践中广泛存在表面获得用户同意，来使其收集非必要个人信息的行为正当化。

⑲ 案例同⑦注，以及《美团隐私政策》个人信息收集部分6715 字，加粗部分2485 字；《微信隐私保护指引》中个人信息收集部分共4954 字，加粗部分1968 字；《支付宝隐私政策》个人信息收集部分3554 字，加粗部分1424 字，比例均在40%左右。

⑳ 例如黄某与被告腾讯科技（深圳）有限公司广州分公司、腾讯科技（北京）有限公司隐私权、个人信息权益网络侵权责任纠纷案，北京互联网法院，（2019）京0491 民初16142 号一审民事判决书，其中提及“微信好友”的概念，便需要解释是微信App 内的好友，还是微信读书App 中的好友。本案中，腾讯即因为“微信好友”概念指代不清，因此被法院认定未能获得用户有效同意，因而败诉。

㉑ 《个人信息保护法》第6 条、《网络安全法》第41 条等。

㉒ 中国消费者协会的《App 个人信息泄露情况调查报告》显示消费者大多知晓个人信息是使用服务的对价。

㉓ 《个人信息保护法》第16 条；《网络安全法》第41 条等。

㉔ 《最高人民法院副院长奚晓明在全国民商事审判工作会议上的讲话-充分发挥民商事审判职能作用为构建社会主义和谐社会提供司法保障》第2 条。

㉕ 《全国法院民商事审判工作会议纪要》第30 条。

㉖ 最高人民检察院发布十一件检察机关个人信息保护公益诉讼典型案例之一，江西省南昌市人民检察院督促整治手