您的位置: 首页  > 学术论文 > 理论前沿 > 市场规制法学 > 消费者权益保护法

论作为消费者的数据主体及其数据保护机制

孙南翔    2019-12-06  浏览量:560

摘要: 随着信息存储和传输的规模化与便利化,人类社会已经步入大数据时代。传统的以人格权为基础、使用侵权救济的方法难以对数据主体所应享有的权利提供充分的保护。有必要在数据治理中引入消费者权益保护机制,以实现数据保护及数据合理利用的双重目的。基于个人数据可成为合同对价,互联网服务提供者从用户数据中获利,数据使用协议具备合同属性等事实,数据主体可完成从自然人到消费者的角色嬗变。通过设置事前磋商透明化、事中交易诚信化、事后救济有效性等要求,作为数据主体的消费者权益体系得以建立。在数据保护机制的建构中,我国应认真对待个人信息和数据的价值性,充分发挥消费者权益保护法的作用,激励政府、数据主体和消费者组织参与数据治理,进而实现网络空间的良法善治。

关键词: 数据主体;消费者;数据保护;诚信交易;数据治理

正文:

一、问题的提出:数据主体个人信息保护的困境
互联网时代是数据的时代。新世纪以来,信息储存和传送的形式发生巨大变化,任何信息都可转化成数据,并通过电子化便捷地传送至世界各地。同时,随着互联网技术的普及和发展,海量数据随时随地被分享,因此,有学者提出,人类社会已经步入“大数据时代”。[1]大数据时代意味着大规模信息的互联与互通,为此,对个人信息和数据的治理成为时兴的话题。
目前,大多数国家确立了用户对个人信息的自决权或控制权。[2]然而,根据个人信息自决权理论确立的个人信息同意机制在信息治理中面临挑战。[3]在实践中,个人信息自决权变相丧失。当前网络服务商处于强势地位而网络用户处于弱势地位,即使互联网服务提供商以隐私保护合约来履行告知义务,“告知与许可”原则也只是一个摆设,因为用户的同意带有明显的被强制色彩,用户不同意就无法享受服务。[4]对于高度垄断性的互联网行业而言,由于用户没有其他的替代性选择,网络用户的知情权被虚置。
在技术层面,作为保护用户隐私信息的去识别化机制也备受质疑。虽然信息的去识别化在一定程度上有助于缓解个人信息的过度披露,但该机制建立的前提是信息未达到规模级效应。例如,社会保障号码一般被视为非常敏感的信息,出生日期则相对不敏感。然而,当前的信息技术表明如果个人的出生日期和出生城市能够被获知,那么该个人的社保账户将可被精准地预测。[5]如果一个数据库包含大量的非敏感信息,那么信息的加总将能够追踪到现实存在的个体。个人的搜索记录可被视为某种匿名的信息,但其也可能具有识别性。例如,用户对本地商业、特定医疗诊断的搜索信息等,并且个人也经常会搜索其名字以获取信息资讯。[6]换言之,去识别化的网络信息并非真正的匿名化。
总体而言,在网络世界中,作为利益相关方的用户对个人信息缺乏控制能力。同时,在可预见的未来,希望通过技术保护用户信息利益的设想也难以实现。有鉴于此,理论界和实务界亟待通过新的法律理念规范网络信息和数据的处理和利用。
近期,有部分学者开始探索作为消费者的网络用户权利,试图论证互联网服务提供者与用户之间达成网络信息交易的可能性,并构建起网络信息治理的机制。例如,约翰·纽曼创新性地主张互联网企业提供的服务并不以索取服务费用为目的,而是以信息关注与获取用户隐私为对价。[7]这个观点带来的启发就是,信息治理可从传统的个人信息自决理论转向建立数据交易的市场化机制,并赋予数据主体消费者权益,进而实现良法善治。2014年,我国《消费者权益保护法》新增规定,要求经营者应当遵循合法、正当、必要原则收集、使用消费者个人信息。然而,关于收集和使用消费者信息的正当性和必要性内涵仍未取得共识,并且至今互联网服务协议中的消费者权益保护问题很少被国内学界触及,法院在审判中也很少提及互联网服务中的消费者权益保护。因此,笔者借鉴域外的立法经验与相关理论,[8] 结合中国的具体实际,探索数据主体的消费者权利,并以此为基础建立关于个人信息与数据的保护机制。

二、数据主体从自然人到消费者的角色嬗变
(一)对个人信息与数据的界定
目前各国相关理论和立法上出现了“信息”与“数据”交互使用的现象。[9]也有诸多学者主张将个人信息等同于个人数据。[10]毫无疑问,在大数据时代,信息与数据具有密切的相关性。在网络世界中,信息的即时分享和快速交易均需要通过数据化技术来实现。不过,笔者认为,个人信息和数据仍具有区分的现实性和可能性,具体理由如下。
第一,在形式上,数据不具有直接的人格属性。一般而言,个人信息与身份属性具有紧密的相关性,并具有一定程度的个人可识别性。对个人信息的累积和分析可勾勒出完整的人格图像,并挖掘个人不愿为他人所知晓的敏感信息,进而对个人的正常生活造成困扰和不安。[11]数据(electronic data)则一般限于在计算机及网络上流通的、在二进制的基础上以0和1的组合而表现出来的比特形式,以此区别于以文学、图像或视频等形式显示的信息(information)。[12]由于被高度数字化,数据不具有直接的人格属性。
第二,在价值上,数据基于规模效应可产生商业价值。传统法律对信息的规制着眼于信息与主体的关联性。在网络出现以前,名人许可商家在商品或服务的宣传推销中使用其姓名和肖像就是最典型的个人信息商品化。[13]换言之,传统的信息价值依赖于信息主体的人格权益,信息的人格特征越清晰,信息的价值越大。在大数据时代,数据经济的关注点为数据的实质性内容及其聚合功能。例如,对个人消费偏好、网页浏览记录等数据的收集和使用并不必然需要以数据主体的身份和人格相关联。同时,只有海量数据被收集和分析,其对商家及互联网企业的营销才具有更大用途。数据规模愈小,数据价值也愈小。
第三,在立法上,个人信息概念和数据概念存在一定的差异性。我国《民法总则》111条规定“自然人的个人信息受法律保护”,第127条规定“对数据的保护”。第127条最终舍弃了草案中的“数据信息”概念。由此可见,我国立法者认为信息与数据应有所区分。[14]根据司法解释,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。[15]由此可见,个人信息基本上包括所有体现身份和人格属性的信息。对于不直接与人格权利相关的数据而言,对于非公权力主体而言,根据“法无禁止皆可为”的法治理念,一般对数据的商业化利用不加禁止。换言之,经营者可合法收集、使用、加工、传输的对象为消费者的数据,而非敏感的个人信息。
因此,为避免混淆,笔者于本文中所指的数据为数字化的信息,其是大数据时代最重要的生产资料。与个人信息相比,数据不具有直接的可识别性。需要指出的是,虽然数据和个人信息能够在一定程度上进行界分,然而二者具有相通性,在实践中,个人信息和数据也能够进行转化。例如,匿名数据通过反向数字化技术能够再识别,并且与具体的个体再次发生联系。[16]当然,对大多数个人和企业而言,反向数字化技术无疑是成本高昂的。
(二)数据主体从自然人到消费者的角色嬗变的必要性
1.以人格权为基础的信息保护制度存在机制性难题
自然人作为数据主体享有特定的人格权益,其主要表现为个人的隐私权和信息权。个人的隐私权保护个人生活安宁不受他人非法干扰,个人的信息权以个人信息自决为理论基础。作为自然人的信息主体所享有权利的保护客体为人格尊严与自由。[17]然而,在规范对象和救济机制上,以人格权益为基础的信息保护制度存在机制性难题。
其一,低敏感的个人信息和数据不构成传统人格权保护的客体。例如,在Dwyer v. Am. Express Co.案中,美国快递企业将消费者姓名信息销售给商户,然而美国法院认定,被告通过将消费者姓名归类和汇总而创造价值的做法并没有剥夺个人拥有姓名的任何价值。[18]因此,其不构成人格权保护的客体。除此之外,消费习惯、手机号码、邮箱地址等信息也难以成为人格权保护的客体。[19]进一步而言,网络空间的众多场景被视为“公共场所”,因此,个人信息和数据的收集和使用难以满足人格侵权的私密性要求。[20]同时,由于互联网的去中心化,众多个人信息在网络上一经首次公开,就变相丧失了主张隐私保护的可能性。
其二,互联网用户通过人格权侵权主张获得救济的门槛颇高。例如,在2015年6月北京百度网讯科技公司与朱烨隐私权纠纷案的终审判决中,法院认为,由于网络服务商或数据从业者对于用户浏览信息的自动抓取收集行为和个性化推荐行为欠缺公开性,并且网络服务商通过服务协议已明确告知网络用户可使用包括禁用浏览文本、清除浏览文本或者提供禁用按钮等方式阻止个性化推荐内容,因此,上述行为不构成隐私侵权。该案明确了数据从业者在收集和利用个人信息方面的自由空间。此外,被侵权人请求承担侵权责任的前提条件是造成损害结果。[21]实践中,网络上的“损害”难以界定和判定,数据收集和处理的目的也并非绝对有损于用户。例如,通过向第三方披露是否构成损害尚存疑问。
其三,个人信息侵权救济机制成本过高导致互联网用户被迫放弃追偿权利。与信息收集者不同,信息主体将面临集体行动困境。[22]一方面,互联网的个人信息可能不具有足够高的市场价值,具备有限理性的互联网用户鲜有动力提起诉讼并承担诉讼成本。[23]另一方面,个体监测互联网企业是否存在侵权行为的难度极大。例如,对身份盗窃和间谍软件运用的监测活动费时费力,诸多用户将会毫无防备地接受互联网企业提供的个人信息规则,因此,众多互联网用户被迫放弃追偿和追责权利。
2.消费者权益保护机制的引入实现数据保护与合理利用的双重目的
以人格权益为基础、使用侵权救济的方法难以对作为自然人的数据主体应享有的权利提供充分的保护。探索对数据治理的新路径具有现实性和必要性。正如内森·纽曼所言,21世纪互联网信息保护机制的政策失灵与20世纪食品和安全信息上的失灵别无异样,均体现为传统的民法路径无法应对现实的治理难题。[24]本质上,当前的数据经济呈现出一种复杂的利益关系,一方面是用户对于其个人信息的保护需要,另一方面是经营者对于个人信息数据化利用的需要,即需要通过对个人信息收集和加工来形成某种数据资产。[25]因此,从经营者和消费者的角度分析数据主体的权利成为新的出路。
消费者权益保护的路径是在以传统的意思自由为基础的民法模式上增加社会公平价值的考量。一方面,作为消费者,数据主体享有倾斜保护政策优待。本质上,消费者权益保护法在原本于民事法律上绝对平等的“自然人”中区分出弱者“消费者”和强者“经营者”,以此使消费者的地位变得较为优越,以对抗地位强势的经营者。[26]在消费者权益保护框架中,数据主体无须证明损害的存在,若互联网企业违反约定或协议,那么数据主体将能够获得救济。消费者权益保护的违约认定标准要求较低,低敏感的个人信息和数据足以成为消费者权益保护的对象。同时,消费者保护机制中的惩罚性赔偿等对低价值性的个人信息和数据滥用的行为有威慑作用。另一方面,数据主体可通过消费者权益保护组织、有关公益组织等机构参与数据治理,实现卓有成效的集体行动。消费者是与商人(主要是法人)相对应的一个类群,他通过群体的联合形成与经营者抗衡的力量。[27]实际上,消费者权益保护机构能够连接各个用户,消除搭便车心理,并克制数据主体的过分要求,同时,基于网络空间的互联互通性,个人信息与数据频繁需要跨境传输,当互联网服务提供者的住所地在国外时,在政府行为受限的情况下,消费者权益保护组织也能起到协调和保护本国数据主体利益的功能。[28]
更为重要的是,引入消费者权益保护机制使得数据利用合法化。传统人格权保护模式虽然可解决高敏感性的个人信息保护问题,却无法满足大数据时代的数据利用需要。人格权体系的逻辑在于防止个人信息和数据的传输和利用损害个人生活安宁,消费者权益体系的逻辑在于确保消费者享有个人信息和数据利用中的公平交易权。随着社交网络等新兴信息发布方式的出现,数据从简单的信息开始转变为一种经济资源。[29]由此,消费者权益体系对数据资源的认可,不仅能够确保数据主体的信息权利,而且有利于数字经济的形成与可持续发展。
在理想状态下,市场力量将自发生成均衡,其将提供消费者关于信息交易条款的事先议价、事后监督权利,并且赋予消费者在企业违反协议时寻求救济的能力。[30]因此,在实践中,一些发达国家和地区已经开始探索数据主体的消费者权益保护制度。例如,欧盟将《消费者合同不公正条款指令》适用于互联网行业。[31]由此,对数据主体权利的保护从民法思维转向经济法思维,该转向具备现实性和必要性。实际上,对数据主体而言,人格权益和消费者权益二者互为补充,人格权益可解决高敏感性信息不合法泄露等问题,而消费者权益适用于其他个人信息和数据的使用与利用。
(三)数据主体从自然人到消费者的角色嬗变的可行性
当前,由于过分倚重信息的绝对安全,诸多国家在数据保护机制中忽视了数据经济及数据资产化的内在诉求。在理论上,若明确数据的价值属性,那么信息治理可从传统的侵权救济途径转向市场化的规制路径,由此,数据主体发生了从自然人到消费者的角色嬗变。这是切实可行的。
第一,个人数据可成为合同的对价。虽然诸多商品的价格是金钱性的,但是有些商品的价格完全是非金钱性的。毕竟,交易价格仅仅是交易商品价值之间的比率。在现实中,大多数价格被单一的金钱单位所表示,但是其并非确定价格的必要和唯一条件。价格也可以表示为商品之间的等价交换。例如,若市场上,甲与乙交换五个苹果与十个橙子,那么,苹果的价格就可以表示为两个橙子。个人数据也可作为商业交换的价格。在实践中,向第三方披露用户设备信息、全球定位系统(GPS)信息和网页浏览历史都是有价值的。
如果用户访问一个由广告收入支持的网站,那么用户支付的服务价格就是其访问该网站所产生的数据。该数据包括之前访问的网站地址、其后访问的网站地址、用户的地理位置等。[32]正如美国地区性法院所指出的,消费概念涉及多种元素,除金钱支付外,还包括登记、承诺、交付、获得限制性内容。[33]美国第一巡回上诉法院进一步指出,在使用应用软件时,在用户浏览视频时,其实际上向服务提供者提供个人信息和数据,例如他的安卓设备账号和用户设备上的定位信息。因此,该法院认定,虽然原告并没有支付金钱,但原告对被告数据的获得并非免费,而是构成服务的对价。[34]实际上,通过服务和数据之间的价值交换,用户缔结服务合同而成为消费者。[35]因此,个人数据可以作为合同对价而独立存在。
第二,互联网服务提供者从获取用户数据中获利。当前,互联网服务平台大多是“免费的”,虽然用户支付零金钱费用,但是他们需要支付非金钱性的成本即个人数据。用户的个人数据构成了互联网服务提供者的获利来源。具体而言,互联网服务提供者的获利方式主要来自于两种。其一,互联网服务提供商收集数据的行为对当事方是有价值的,因为个人数据的汇总能够促使服务提供商更有效率地开展活动。例如,互联网服务提供商可以通过消费者行为活动的收集和归纳,提升产品效能,从而获得更好的金钱性回报。其二,通过识别消费者的特征,互联网企业能够精准投放广告从而获得利益。对于大多数互联网企业而言,广告收入是其收入的主要来源。[36]其依赖于对用户数据的收集和利用。实践中,互联网服务提供者将收集多种“非敏感的”数据(如网络协议地址、地理定位、浏览历史、设备信息等),[37]进而对目标用户进行精准定位,由此实施精准的营销手段。事实上,广告商频繁地在互联网平台进行竞价,以获得消费者关注的机会。[38]同时,在互联网环境中,浏览网站的用户将被动阅读“网络广告”。由此,通过用户的信息披露,互联网平台和广告商实现商业性的双赢。
第三,服务协议与数据政策具备合同属性。从本质上看,数据使用协议为授权合同。授权合同一般是许可者和被许可者之间达成的契约。虽然有些互联网服务提供者主张,“数据保护政策”或“数据政策”并不是合同条款,其仅仅意味着经营者所欲达到的数据保护政策。[39]然而,在实践中,德国和美国法院均否认此类主张。他们认为该类型的文件具有(至少看似具有)契约本质,因为其与服务的标准条款不可分割,并且对潜在服务使用而言,遵守政策是双方达成服务协议的必不可少的环节。[40]在发生于美国Register.com, Inc. v. Verio, Inc.案中,审理法院指出:“虽然互联网上的新商业使得法院面临新的情况;但是其并没有根本性地改变合同的原则,并且当受要约人知晓并接受要约人的条件时,那么网站的合同条款就是有效且可执行的。”[41]因此,互联网服务提供者提供的服务协议和数据政策本身体现契约的特征。
在大数据时代下,数据主体可通过服务协议与数据政策从自然人身份转化为消费者身份。一方面,消费者提交个人数据以交换其获得的服务,因此,用户支付给企业非金钱性的“价格”,即个人数据。另一方面,企业通过获得的数据实现经营收入,并以提供服务作为接收数据的对价。由此,用户和服务提供者之间建立起契约关系,数据主体实现从自然人到消费者的角色嬗变。

三、大数据时代消费者权益面临的挑战
长期以来,合同法原则被认为是有效率的默认规则。[42]民法本质上是对契约自由的保障,强调形式公平、私法自治。然而,互联网服务企业的绝对优势地位、大数据行业的内在特点、消费者经济利益被忽视等挑战着大数据时代的实质正义。
(一)互联网企业的绝对优势地位
与传统合同相比,互联网合同的特殊性体现为互联网企业占有绝对优势地位。实践中,由于在数据捕获时的议价不平等,大型的互联网企业具有剥夺消费者权益的能力。[43]互联网企业剥夺消费者权益的方式集中体现在互联网服务协议的格式条款上。诸多互联网企业通过制定格式合同,使处于弱势地位的消费者不得不接受不公正的规则。其典型的不公正性体现为由于议价能力不平衡,弱势方对合同缺乏有效的、真实的意思表示。[44]
传统上,合同应经过充分的磋商和讨价还价后,确定履行方法、交易方式和贸易条件。然而,在互联网语境下,互联网服务提供者难以与用户进行充分磋商,因此,互联网服务协议多为格式合同,其旨在向所有消费者提供统一的条件,用户并无协商和谈判的余地。此类型的合同大多设定相同的、不可磋商的条款,并以“要么拿走、要么放弃”的方式提供给消费者。[45]甚至于,互联网企业可通过设置不可更改的格式合同,削减其责任并减少用户的法律救济手段。
正如马克·莱姆利所批评的,在格式合同下,在一个“技艺高超”的律师帮助下,一个软件供应商能够非常简单地执行事实上其想要达成的条件,其只要增加文件页数并通过去显著化标示,将一些条款“变相隐藏”,用户甚至可能在其购买、安装、开始运行软件后仍未能发现此类条款。[46]由此,互联网企业具有限制用户消费者权益的能力和潜在动机。换言之,处于优势地位的当事方可强迫、禁止或者以激励的方式,使得消费者同意那些限制其自由的不公正条款。[47]实践中,互联网企业的格式合同经常引起争议,如我国花呗协议、微博内容协议争议等即为例证。
(二)大数据技术的商业利用对信息自我控制的威胁
以云计算、区块链、物联网等为代表的大数据技术突破传统的信息流动限制,涉及更多的参与者、更复杂的关系,由此加深了互联网的信息不对称和技术不可控性。一方面,与现实世界不同,网络空间的建构物(即编码)使得个人对其信息的认知、收集和控制非常困难。[48]另一方面,政府难以对去中心化的互联网活动进行全面的干预和控制。由此,大数据技术的商业利用时刻威胁着用户的消费者利益,其主要体现为大规模个人数据聚集将增加网络安全事故发生后的损失程度;大量的信息汇编成数据使得以个人同意为基础的信息使用机制被虚置;[49]在做出销售和价格决定前,使用数据挖掘技术增加企业歧视消费者的可能性。[50]
正如美国联邦政府的报告所言,商业企业持续利用大数据技术的潜在漏洞,获得额外的利益。[51]以数据安全和合理使用为例,当消费者阅读“隐私政策”条款时,他们认为其个人信息将以技术的方式被严格保护,特别是,他们时常认为载有隐私政策的网站将不会分享他们的数据。然而,事实并不总是如此。企业制定隐私政策的主要目的在于免除其作为或不作为的责任,而非确保消费者隐私。[52]
(三)被忽视的消费者经济利益
作为合同相对方的数据主体,其个人数据的经济利益长期被互联网企业所排他性地占用。在缺乏财产利益的情况下,互联网企业将免费地使用个人数据。[53]例如,2011年,一女士向腾讯公司请求获得离世的丈夫的QQ密码以取得邮箱中的信件和照片,腾讯公司以QQ号码的所有权属于腾讯,其丈夫仅享有使用权为由,拒绝了该女士的请求。[54]为何互联网企业能够排他性地获得用户的所有信息和数据,即因用户信息和数据的收集、处理、利用而产生的利益应该被谁占有?究其本质,作为数据源泉的个人并未在大数据行业中获得真正的实惠,现阶段真正取得收益的是少数信息控制者和利用者,比如互联网服务提供者、广告公司等。[55]
毫无疑问,如果将个人数据所蕴涵的财产价值赋予商家,就无异于承认任何人都有权占有那些本来就被认为属于他人的财产。[56]更何况,若个人数据利益属于服务提供者,那么用户将花费大量成本发现信息是否被搜集以及如何被使用。[57]这显然是不合理的。有学者研究发现,如果不存在要求企业改变其行为的法律,那么在缺乏财产利益考量的情况下,企业有持续免费使用个人数据的动机。[58]企业免费使用个人数据的行为不仅忽视了消费者的合法利益,更违背了公平正义和市场规律。由此,通过法律保护机制提升消费者的应有福利,也是追求实质正义的必由路径。

四、数据主体的消费者权益及其表现
(一)通过消费者权益重塑数据主体权利
互联网企业的绝对优势地位、大数据技术对信息自控的威胁,以及被忽视的消费者经济利益都集中体现于互联网交易过程。从消费者权益保护的历史来看,消费者保护的渊源在于纠正市场失灵的困境,按照实质正义的要求对契约的形式进行相应调整。[59]若民法强调自愿的交易,那么消费者权益保护的核心目标在于确保公平的交易。由此,应对大数据时代的消费者权益挑战的方法在于重构以消费者权益为中心的数据保护机制。
本质上,消费者权益保护对互联网交易的保障在于确保交易的程序正义和实质正义,也就是说,平等的议价能力、公正的合同条件和有效的救济手段。具体而言,程序性的公正性意味着合同的谈判或议价不存在压制和无知的情形,实体性的合理性则体现为合同条件是正当的,双方并未滥用权利。[60]由此,以下笔者将从磋商、履约以及救济阶段分析数据主体的消费者权益。
(二)消费者知情同意权对数据主体的适用
在消费者权益保护层面上,消费者和服务提供者应充分磋商缔结互联网服务协议。一般而言,在确定互联网交易是否公正时,法院将评估交易过程中载有双方权利义务的互联网协议是否被明确地展示给消费者,消费者是否有机会阅读该协议,以及消费者是否清晰地、明确地表明对条款的接受。[61]总之,消费者权益保护中的缔约公正性包括消费者的知情要求和同意要件。
1.数据主体的知情要求
互联网行业长期存在互联网服务不透明的问题。若将消费者的知情要求适用于数据主体,那么数据主体的权利内容可细分为以下方面。
第一,数据主体应有事实上的或推定上的认知。美国律师协会电子缔约工作组曾指出,在电子化语境下,如果通过滚动条能够展示协议的部分内容,或者通过以普通水平的用户能够注意的方式展示条款,那么可认为互联网企业已履行向用户充分告知的义务。[62]然而,在互联网交易中,若企业将协议放置在不明显的超级链接上,或理性的人将不会注意此类超级链接,或理性的人无法知晓其通过点击同意将缔结合同,那么法院不会执行上述协议。[63]因此,在互联网语境下,在使用服务前,作为消费者,用户对服务协议的条款和条件应具有事实上的或推定上的认知。如果互联网服务提供者未能履行向用户充分告知的义务或损害数据主体的知情权,那么该合同可能不生效。
第二,数据主体的权利和义务应不模糊地展示。服务协议中的用户权利和义务必须合理地展示,否则企业将面临法院不执行合同条款的风险。一般而言,互联网协议中的权利与义务包括用户的提交事项、禁止性内容、互联网群体规范、发布信息的责任、网站的所有权、拒绝或移除发布的情形、账户的终止、内容所有权的准据法、法院选择、隐私政策、担保声明、责任限制、知识产权侵权、通知和关闭条款、使用数据的许可、第三方网站和服务、对协定的终止和修改的条款等。[64]上述内容应清晰地列出和明示。在Hines v. Overstock.com, Inc.案中,美国一家互联网销售商在其网页上写明:“进入本网站构成用户对本条款和条件的接受。”其条款包括任何与访问网站方式相关的争议都必须在盐湖城进行秘密仲裁。然而,美国联邦法院认为,作为消费者,数据主体并没有获得关于“条款和条件”的通知,进一步地说,法院指出网站并没有提供用户合理阅读合同条款的机会,并且该链接以不显著的方式展示,因此,该互联网企业的浏览同意协定是无法执行的。[65]
第三,数据主体应具有合理的阅读机会。在Specht v. Netscape Communications Corp.案中,美国第二巡回法院拒绝认可互联网服务协议条款的有效性。其理由在于:在消费者做出同意前,尚不确定服务提供商是否提供消费者阅读合同条款的机会。具体而言,在该案中,互联网企业主张应依据互联网服务协议进行强制性仲裁,并要求终止诉讼程序。然而,审理该案的法院指出,在消费者按下“立即下载”按钮免费下载软件时,服务协议条款放置在屏幕下方的事实不足以表明该企业已经询问过消费者,且不足以推定消费者已获得通知。[66]本质上,在缔结合同前,用户阅读、审阅和理解格式条款是消费者的一项基本权利。[67]德国法兰克福地方法院曾指出,虽然三星企业提供超过50多页的数据政策,但并没有提供超级链接,或者是可以跳转至特定页面的选项,因此消费者无法合理获知数据政策的内容,上述做法构成不公正的商业实践。[68]
2.数据主体的同意要件
在合同缔结中,当事方同意对于合同成立是必不可少的。虽然互联网改变了法院适用法律的事实背景,但不管是书面的、口头的,或通过行为表达的,双方合意表示仍是合同的基石。[69]作为基本原则,对合同的接受必须是积极的且明确的。作为消费者,在知悉互联网服务协议的条款后,数据主体应对互联网服务协议表示同意。在互联网语境下,消费者表示同意的方法主要有四种,即点击同意、开封同意(shrinkwrap)、浏览同意和注册同意。点击同意的协议是通过用户点击“我同意”按钮确定协议条款;开封同意的协议是通过获得产品而表明同意;浏览同意一般是在网站中表明若用户通过使用服务,或者安装程序,则该协议将具有拘束力;注册同意需要用户进行注册,才表明用户对协议表达同意。[70]
尽管存在不同的形式,消费者同意要件的核心在于建构消费者对格式合同的事实上或推定上的认同。对于不同形式的同意而言,对其认同的标准有所差异。针对浏览同意而言,由于数据主体可能在未阅读协议前,甚至在不知晓协议网页存在的前提下,持续性地使用网站及其服务,与点击同意、开封同意和注册同意相比,数据主体的同意需要更大程度的清晰度。[71]
(三)消费者公平交易权对数据主体的适用
当事方之间缺乏磋商并不导致合同条款不可执行。在互联网服务协议缔结中,强制所有服务提供者与数据主体进行磋商是不切实际的。数据主体与服务提供者进行逐条磋商对双方而言都是浪费时间,且成本昂贵。解决程序公平和实质公正的方法在于确保互联网服务商提供的格式合同及其交易条件受实质公正的约束。[72]对实质公正的衡量标准为:当摒弃当事方的优势地位和强势身份后,合同及其条款是否仍应该被认可。
1.等价交易
互联网行业的生存与发展依赖信息的收集、传输和处理。然而,现实中的互联网企业却存在过度收集个人信息的动机,由此导致消费者往往需要提交超过适当水平的数据。[73]因此,公平交易原则的核心内容之一在于确保互联网企业对消费者数据的收集与其提供的服务成本相匹配。换言之,如果搜索引擎企业需要收集个人的信用卡等财务信息,这就明显违反成本和收益相匹配的等价交易原则。例如,在我国,花呗服务协议等要求消费者授权其可向任何第三方查阅个人信息,甚至要求收集个人的通讯数据,此种过度收集个人数据的行为不符合必要性和比例原则,并且,具体而言,其侵犯了数据主体进行等价交易的权利。
2.禁止歧视
在现代社会中,根据种族、性别、年龄、性偏好、基因等差异,对个体或集体的歧视是违反现代法律精神的。[74]例如,美国联邦和州法律和法规在大多情况下禁止根据个人特征进行歧视。在互联网上,互联网企业也时常基于用户的地理位置、浏览踪迹等进行价格歧视。[75]互联网便利了企业利用大数据挖掘技术分析个人行为习惯和消费模式,并且将其分析的结果用于对个人的营销。[76]然而,企业的营销并不应导致歧视,特别是通过对个人的地理位置、浏览页面、消费习惯、财务情况进行差别定价。价格歧视行为损害数据主体的公平交易权,更损害了社会的整体福利。
3.禁止欺诈和误导
互联网企业须移除任何可能导致欺诈或误导消费者的网络信息。互联网企业典型的欺诈或误导做法包括:第一,误导数据主体支付价款;第二,诱使数据主体落入“免费”试用的注册或订阅陷阱;第三,假冒伪劣产品的营销;第四,虚假的推销。例如,社交媒体推广“1美元赢取智能手机”,但其隐藏了长期使用所花费的每年数百欧元的订阅成本。[77]在FTC v. Commerce Planet案中,一企业在网络上邀请消费者使用免费的7天试验产品,但若到期不取消,那么消费者将直接支付每月59.95元的成员费。审理该案的法院认定,上述内容具有实质性的和事实上的误导,由此可见,企业的行为构成不公正的商业实践。[78]因此,互联网企业不应欺诈或误导作为消费者的数据主体。
4.禁止对消费者权利的克减
互联网服务协议确定了网络销售的条件,其可能限制企业对数据主体的数据内容和服务承担的损害责任。在实践中,法院时常以维护公共政策为由,拒绝执行那些涉嫌滥用权利的条款。实践上,如果一方的责任豁免将会损害重要社会利益,那么法院倾向于认定该责任豁免无效。[79]例如,在美国People v. Network Assocs., Inc.案中,被告在其防火墙软件产品销售中规定,任何个人在获得该企业批准前不得公开发布对该软件的评价。法院认为,其侵犯了数据主体的不可剥夺的消费者权利,因而是不公正的,上述软件合同条款是无法执行的。[80]
当然,需要指明的是,正如美国联邦贸易委员会所言,“合同的非公平交易属性会随时间推移而变化,对公平交易标准的理解是逐步发展的。法律故意规定‘非公平性’等一般性术语,是因为制定一个完全封闭的非公平交易实践的清单是不可能的。实际上,此类清单将迅速过时或者留下漏洞”。[81]因此,由于网络世界的技术特征和规制环境的发展,消费者遭受互联网企业不公正待遇的方式、特征和表现形式可相应发生变化。
(四)消费者权益救济机制对数据主体的适用
互联网服务提供者利用优势地位,在服务协议中能够剥夺消费者选择救济的方法和场所。通过同意争议前的强制性仲裁、集体诉讼豁免以及免除企业的救济责任,互联网用户时常被迫放弃了开示证据、法院申诉等权利。[82]综合而言,救济条件的不合理性表现在:其一,救济条款是欺诈或误导性的;其二,出于不便利性等原因,数据主体实际上被剥夺向法院申诉的机会;其三,合同准据法的非公正性剥夺数据主体的救济机会;其四,救济条款与法院地的公共秩序形成冲突。[83]由此,消费者权益救济机制的引入能够确保数据主体在利益受损后的救济是便利的、适当的,且符合当地公共秩序。
首先,在对抗互联网企业设定的不当救济机制中,消费者权益保护组织具有协调数据主体利益并对抗不合理救济规则的作用。例如,德国消费者权益保护组织多次要求互联网企业不再使用多种损害数据主体利益的条款。[84]2017年3月,欧洲委员会和成员国消费者机构要求社交媒体遵守欧盟消费者规则,并移除不合法条款,其中重点涉及救济机制。例如,欧洲委员会和成员国消费者机构指出,第一,社交媒体不能剥夺数据主体向其居住国法院申诉的权利;第二,社会媒体网络不能要求数据主体放弃法定的权利,例如数据主体在网络购买中的撤销权利;第三,服务协议不能限制或完全地排除社交媒体与其服务履行相关的责任;第四,不应隐藏受资助的内容;第五,社交媒体不能单边地改变条款和条件;第六,服务条款不能授予无限制的、自我裁量的移除内容的权力;第七,服务协议的合同终止必须由明确的规则所来调整,且当事人不能在不具备合理理由的情况下单边做出终止决定。[85]
其次,消费者权益保护机制能够通过集体行动,纠正互联网企业损害数据主体利益的行为。例如,英国、韩国等消费者权益保护组织对谷歌、苹果等互联网巨头损害数据主体利益的行为提起诉讼。在性质上,消费者协会是联系广大消费者的纽带,依法对商品和服务进行监督。有鉴于此,消费者权益保护组织能够在核实证据、查清事实基础上,努力解决并化解纠纷,纠正互联网企业威胁或损害数据主体利益的行为。2018年1月,我国江苏省消费者权益保护委员会对北京百度涉嫌违反获取消费者个人信息及相关行为提起民事公益诉讼。[86]无疑,消费者权益保护组织能够通过主动作为的方式,对抗强势的互联网企业,并切实维护作为数据主体的消费者的合法权益。

五、构建我国对数据主体的消费者权益保护机制
中国共产党的十九大报告提出:“推动互联网、大数据、人工智能和实体经济深度融合,建设网络强国、数字中国、智慧社会。”数字经济的深度发展需要体系化的数据治理机制。在迈向网络强国的过程中,中国的数据治理应从传统的以人格尊严和自由保护为中心的治理模式转向以市场化机制为导向的治理模式,通过事前同意、事中诚信、事后救济的多层机制安排,确保数据主体切实享有作为消费者的合法权益。
(一)明确消费者权益保护法对数据主体的可适用性
当前,以美国、欧盟国家学者为代表的学者提倡构建数据交易的市场化机制并重视数据主体的消费者权益。[87]我国一些学者也有类似的建议。[88]与传统的合同相比,互联网服务协议的当事方议价能力悬殊,并且相互磋商成本巨大。因此,确有必要通过专门的规定对数据主体的合法权益予以明确。从本质上,民法应保障契约自由,其侧重等价交易;消费者权益保护法强调限制滥权,其注重实质公正。合同机制和消费者权益保护两者相辅相成,共同保障数据主体的合法权益。
我国《消费者权益保护法》29条为新增法条,其规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”尚存疑问的是,该法指明其保护的对象是为生活消费需要而购买商品或接受服务的消费者,可见,我国消费者保护权益法仍未脱离现实世界的传统框架,其仍未满足互联网服务消费者权益保护的需求。笔者建议,在我国民法典、电子商务法、个人数据保护法等法律的制定过程中,应明确数据与个人信息具备合同对价性,以此搭建互联网服务提供者和用户之间的诚信交易机制。同时,于消费者权益受损的情形时,可在补偿性赔偿机制方面引入惩罚性赔偿机制,以提高企业的违法成本,促进数据利用、处理和传输的法治化、有序化。
(二)认真对待个人信息和数据的经济价值
大数据时代,个人信息和数据具有财产权的属性。对个人数据进行赋值并将数据价值初始配置于用户,符合数据治理的客观现实需求。[89]在互联网领域,若“数据与服务”之间的交易得以形成,那么数据主体将成为互联网服务协议的消费者,进而从传统的人格权保护方法迈入平等交易的财产权保护方法。这不仅能更充分保护用户的信息权,而且能更有助于整个大数据行业的发展。
在立法上,我国《国家安全法》《网络安全法》《民法总则》等法律确定了信息利用的合法、正当、必要原则,并要求网络运营者不得收集与其提供的服务无关的个人信息。然而,实践中的难题在于如何界定信息利用的正当性和必要性。笔者认为,若个人信息和数据的可计价性得到承认,那么对正当性和必要性的法律解释由于涉及对最小限制的替代措施、成本、收益分析等,其都涉及经济学的分析工具,均可通过法经济学的成本和收益方法加以解决。在必要性层面,由于互联网服务提供者和消费者之间建立起契约关系,那么消费者所披露的数据应等价于互联网服务提供者的服务成本,进而通过等价交易确定必要性问题。在正当性层面,互联网服务协议的缔结应满足程序正义、诚信交易等要求。如若互联网服务提供者能够切实维护消费者权益,那么其对信息的收集、传输和利用便应当满足法律上的正当性和必要性的要求。
(三)建立从事前同意到事中诚信交易的监督机制
个人信息自决权是信息治理的重要理论基础,其逻辑在于通过强化个人的事先同意机制,以此约束互联网企业滥用信息的行为。由于个人信息处理的便捷化和数据的规模化,用户同意机制或许仅仅是提供给个人对信息的控制感,而未体现个人的实际控制权。[90]现实中,多数消费者并没有意识到当注册微信、微博或浏览搜索引擎网站时,其已经与互联网服务提供者达成服务协议。由于很多用户对同意的内容和对象并不具有充分的认知,片面强化同意要件会变相地弱化用户的合法权益。
在大数据时代,“过度收集数据”是服务提供者的不良倾向。对数据规制的目的在于纠正互联网企业非法的、欺诈性的行为,以及诸如价格歧视的行为。[91]实际上,上述问题都集中在数据的收集、处理和转让过程。由此,对消费者权益的保护还应发挥事中诚信交易机制的作用。笔者认为,我国行政机构可同步构建数据交易的事先同意机制和事中诚信机制,通过确定等价交易、禁止欺诈等诚信交易理念,打造平等的、公正的数据流动和交易机制。近期,中央网信办等四部门已联合开展隐私条款评审工作。笔者建议,相关部委在下一阶段可以展开数据诚信交易评审工作。
(四)激励多元主体参与数据治理与保护
当前,我国主要在政府主导下开展数据治理与保护工作。然而,从长远看,国家行政机关缺乏足够的人力、物力和时间监督所有的网络信息和数据流动。因此,在数据保护层面上,应从以下两方面着手。一方面,应最大程度发挥数据主体的能动性。事实上,只要一部分网民能够关注互联网企业的数据收集和转让,那么整个社会的消费者福利就将得以提升。由此,我国立法机关和司法机关的工作核心在于界定数据产权,并最大程度地发挥个人作用。另一方面,我国的数据治理也应积极发挥消费者协会和其他消费者组织的作用。由于消费者存在搭便车心理,且追究数据违约责任所带来的收益较小,消费者权益保护组织应切实发挥保护每个消费者权益的功能。虽然我国消费者协议已开始对互联网企业违反获取用户信息权限等问题提起消费民事公益诉讼,但是对互联网服务纠纷的责任主体、行为要件、处罚与赔偿机制等仍存在争议,互联网服务纠纷的民事公益诉讼适用方法仍不明确。因此,笔者认为,我国立法机关应承认数据主体的财产性权益,保障消费者及消费者权益保护组织有理有据地提起诉讼,并通过适用消费者权益保护法中的惩罚性赔偿制度,营造公平合理法治透明的数据交易环境。

作者简介: 孙南翔,中国社会科学院国际法研究所助理研究员,法学博士。

注释: [1]See Omer Tene, Jules Polonetsky, Privacy in the Age of Big Data: A Time for Big Decisions, Stanford Law Review Online, Vol.64(2012), p.63.
[2]参见龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》2017年第4期。
[3]参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。
[4]徐明:《大数据时代的隐私危机及其侵权法应对》,《中国法学》2017年第1期。
[5]Paul M. Schwartz, Daniel J. Solove, The PII Problem: Privacy and a New Concept of Personally Identifiable Information, New York University Law Review, Vol.86(2011), p.1846.
[6]Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, UCLA Law Review 1701,Vol.57(2010), pp.1717–1718.
[7]See John M. Newman, Antitrust in Zero-Price Markets: Foundations, University of Pennsylvania Law Review, Vol.164(2015), pp.149-203.
[8]值得说明的是,由于当前各国对互联网中面临的新情况都相似,消费者权益保护的目的和宗旨也基本相同,并且目前的挑战多集中在法律适用层面,笔者于本文中使用了美国、欧盟、德国等一些国家和地区的案例。
[9]梅夏英:《数据的法律属性及其民法定位》,《中国社会科学》2016年第9期。
[10]吴伟光:《大数据技术下个人数据信息私权保护论批判》,《政治与法律》2016年第7期。
[11]Daniel J. Solove,The Future of Reputation: Gossip, Rumor and Privacy on the Internet, available at http://docs. law. gwu. edu/facweb/dsolove/Future-of-Reputation/text/futureofreputation-ch1.pdf.,2018年2月22日访问。
[12]参见前注[9],梅夏英文。
[13]郭明龙:《论个人信息之商品化》,《法学论坛》2012年第6期。
[14]当然,由于数据问题的复杂性和较大分歧,我国《民法总则》也仅仅做出“开窗式”的宣誓性规定。参见陈甦主编:《民法总则评注(下册)》,法律出版社2017年版,第785页。
[15]参见最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)。
[16]See Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, UCLA Law Review, Vol.57(2010), pp.1716-1731.
[17]齐爱民、李仪:《论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间》,《法学评论》2011年第3期。
[18]See Dwyer v. American Express Company,652 N.E.2d 1351(Ill. App.1995).
[19]参见任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期。
[20]Daniel J. Solove, Privacy and Power: Computer Databases and Metaphors for Information Privacy, Stanford Law Review, Vol.53(2001), p.1432.
[21]参见2014年最高人民法院发布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释[2014]11号)。
[22]Jerry Kang, Information Privacy in Cyberspace Transactions, Stanford Law Review, Vol.50(1998), p.1254.
[23]Paul M.Schwartz, Property,Privacy, and Personal Data, Harvard Law Review, Vol.117(2004), p.2108.
[24]See Nathan Newman, The Costs of Lost Privacy: Consumer Harm and Rising Economic Inequality in the Age of Google, William Mitchell Law Review, Vol.40(2014), pp.849-1611.
[25]同前注[2],龙卫球文。
[26]参见杨立新:《网络交易民法规制》,法律出版社2018年版,第125-126页。
[27]谢晓尧:《消费者:人的法律形塑与制度价值》,《中国法学》2003年第3期。
[28]See Peter Rott, Data Protection Law as Consumer Law: How Consumer Organizations can Contribute to the Enforcement of Data Protection Law, Journal of European Consumer and Market Law, Vol.6(2017), p.117.
[29]参见北京知识产权法院(2016)京73民终588号民事判决书。
[30]Chris Jay Hoofnagle, Jan Whittington, Free: Accounting for the Costs of the Internet’s Most Popular Price, UCLA Law Review,Vol.61(2014), p.664.
[31]Peter Rott, Data Protection Law as Consumer Law: How Consumer Organizations can Contribute to the Enforcement of Data Protection Law, Journal of European Consumer and Market Law, Vol.6(2017), p.114.
[32]Caleb S. Fuller, Privacy Law as Price Control, European Journal of Law and Economics, No.3(2017), p.1.
[33]Yershov v. Gannett Satellite Info. Network, Inc.,104 F. Supp.3d 135(D. Mass.2015), at 147.
[34]Yershov v.Gannett Satellite Information Network, Inc.,820 F.3d 482(1st Cir.2016), at 489.
[35]即使有法官认为网络订阅并非必然构成消费,但是该法官也认同,支付行为并不是认定消费的必要条件。See Eilis v. Cartoon Network, Inc.,803 F.3d 1251(11th Cir.2015), at 1256.
[36]See Kelly D. Martin , Patrick E. Murphy, The Role of Data Privacy in Marketing, Journal of the Academy of Marketing Science, Vol.45(2016), pp.135-155.
[37]Avi Goldfarb, Catherine E. Tucker, Privacy Regulation and Online Advertising, Management Science, Vol.57(2011), p.59.
[38]Alexandre de Corniere, Romain de Nijs, Online Advertising and Privacy, RAND Journal of Economics, Vol.47(2016), p.48.
[39]Peter Rott, Data Protection Law as Consumer Law- How Consumer Organizations can Contribute to the Enforcement of Data Protection Law, Journal of European Consumer and Market Law, No.6(2017), p.114.
[40]Vgl. LG Berlin, MultiMedia und Recht 563,565- Google,19/11/2013(2014).
[41]ReGister.Com, Inc. v. Verio, Inc.,356 F.3d 393(2d Cir.2004), at 403.
[42]Richard S. Murphy, Property Rights in Personal Information: An Economic Defense of Privacy, Georgetown Law Journal, Vol.84(1996), p.2381.
[43]See Daniel J. Solove, The Digital Person: Technology And Privacy In The Information Age, New York: New York University Press,2004, pp.80-81.
[44]Max Helveston, Michael Jacobs, The Incoherent Role of Bargaining Power in Contract Law, Wake Forest Law Review, Vol.49(2014), p.1023.
[45]See Michael L.Rustad, Global Internet Law, Minnesota: West Academic Publishing (2016), pp.215-216.
[46]Mark A.Lemley, Beyond Preemption: The Law and Policy of Intellectual Property Licensing, California Law Review, Vol.87(1999), p.122.
[47]See Max Helveston, Michael Jacobs, The Incoherent Role of Bargaining Power in Contract Law, Wake Forest Law Review, Vol.49(2014), pp.1051-1055.
[48]Julie E. Cohen, Examined Lives: Informational Privacy and the Subject as Object, Stanford Law Review, Vol.52(2000), p.1437.
[49]See Sarah Ludington, Reining in the Data Traders: A Tort for the Misuse of Personal Information, Maryland Law Review, Vol.66(2006), pp.140-144.
[50]See Max N.Helveston, Consumer Protection in the Age of Big Data, Washington University Law Review, Vol.93(2016), p.863.
[51]See Executive Office of the President, Big Data: Seizing Opportunities, Preserving Values (2014), available at https://www.cfr.org/technologyand-science/white-house-big-data---seizingopportunities-preserving-values/p32916,2018年1月10日访问。
[52]Joseph Turow, etc., The Federal Trade Commission and Consumer Privacy in The Coming Decade, I/S: A Journal of Law and Policy, Vol.3(2007), p.724.
[53]See Nadezhda Purtova, Property Rights in Personal Data: Learning from the American Discourse, Computer Law and Security Review,Vol.25(2009), pp.507-521.
[54]参见前注[9],梅夏英文。
[55]同前注[4],徐明文。
[56]刘德良:《个人信息的财产权保护》,《法学研究》2007年第3期。
[57]同前注[2],龙卫球文。
[58]Nadezhda Purtova, Property Rights in Personal Data: Learning from the American Discourse, Computer Law and Security Review, Vol.25(2009), p.517.
[59]林越坚:《金融消费者:制度本源与法律取向》,《政法论坛》2015年第1期。
[60]Michael L.Rustad, Global Internet Law, Minnesota: West Academic Publishing (2016), p.267.
[61]See Hancock v. AT&T Co.,701 F.3d 1248(10th Cir.2012), at 1256.
[62]Christina L. Kunz, et al., Browse–Wrap Agreements: Validity of Implied Assent in Electronic Form Agreements, Business Lawyer, Vol.59(2003), p.279.
[63]See Sgouros v. TransUnion Corp.,817 F.3d 1029(7th Cir.2016), at 1033-1034.
[64]Michael L.Rustad, Global Internet Law, Minnesota: West Academic Publishing (2016), p.234.
[65]See HiNes v. Overstock.Com, Inc ,668 F.Supp.2d 362(E.D.N.Y.2009), at 367.
[66]SpEcht v. Netscape Communications Corp.,306 F.3d 17(2nd Cir.2002), at 32.
[67]European Commission, Unfair Contract Terms, available at http://ec.europa.eu/consumers/consumer_rights/rights-contracts/unfair-contract/index_en.htm,2017年12月22日访问。
[68]Vgl. LG Frankfurt, Beck Rechtsprechung (BeckRS)10907- Samsung,10/6/2016,(2016).
[69]See Mark A. Lemley, Terms of Use, Minnesota Law Review, Vol.91(2006), pp.459–460.
[70]See Michael L.Rustad, Global Internet Law, Minnesota: West Academic Publishing (2016), pp.220-238.
[71]Michael L.Rustad, Global Internet Law, Minnesota: West Academic Publishing (2016), p.231.
[72]See Carnival Cruise Lines, Inc. vs. Shute,499 U.S.585(1991).
[73]See Dennis D. Hirsch, Law and Policy of Online Privacy: Regulation, Self-regulation, or Co-regulation, The Seattle University Law Review, Vol.34(2010), p.439.
[74]Max N.Helveston, Consumer Protection in the Age of Big Data, Washington University Law Review, Vol.93(2016), p.863.
[75]See Cynthia Dwork, Deirdre K.Mulligan, It’s Not Privacy, and It’s Not Fair, Stanford Law Review Online, Vol.66(2013), pp.36-38.
[76]See Benjamin Zhu, A Traditional Tort for a Modern Threat: Applying the Intrusion Upon Seclusion to Dataveillance Observation, New York University Law Review,Vol.89(2014), pp.2387-2392.
[77]European Commission, The European Commission and Member States Consumer Authorities Ask Social Media Companies to Comply with EU Consumer Rules, Brussels,17 March 2017, available at http://europa.eu/rapid/press-release_IP-17-631_en.htm,2017年12月22日访问.
[78]FTC v. Commerce Planet,878 F.Supp.2d 1048(C.D. Cal.2012), at 1048.
[79]Max Helveston, Michael Jacobs, The Incoherent Role of Bargaining Power in Contract Law, Wake Forest Law Review, Vol.49(2014), p.1051.
[80]People v. Network Associates,758 N.Y.S.2d 466(11th Cir.2015), at 470.
[81]US FTC, FTC Policy Statement on Unfairness, available at https://www.ftc.gov/public-statements/1980/12/ftc-policy-statement-unfairness,2017年12月22日访问。
[82]Michael L.Rustad, Global Internet Law, Minnesota: West Academic Publishing (2016), p.245.
[83]See Lisa Zaltz v. JDate,2013 WL 3369073(E.D.N.Y.2013).
[84]Vgl. Verbraucherzentrale Bundesverband, Pokémon Go-Entwickler Niantic lenkt ein,, available at https://www.vzbv.de/pressemitteilung/pokemon-go-entwickler-niantic-lenkt-ein,2018年3月3日访问。
[85]European Commission, The European Commission and Member States Consumer Authorities Ask Social Media Companies to Comply with EU Consumer Rules, Brussels,17 March 2017, available at http://europa.eu/rapid/press-release_IP-17-631_en.htm,2017年12月22日访问。
[86]参见《中消协支持江苏消保委对百度提起公益诉讼》,http://legal.people.com.cn/n1/2018/0110/c42510-29755624.html,2018年3月3日访问。
[87]See Natali Helberger, Prederik Zuiderveen Borgesius, Agustin Reyna, The Perfect Match?A Closer Look at the Relationship between EU Consumer Law and Data Protection Law, Common Market Law Review, Vol.54(2017), pp.1427-1466.
[88]《互联网服务合同应写进民法典合同编》, http://www.legaldaily.com.cn/index/content/2017-07/26/content_7256630.htm?node=20908,2017年12月22日访问。
[89]虽然信息价值难以确定,但并非不可能。例如,在实践中,美国联邦贸易委员会可通过计算得出互联网企业应赔偿侵犯消费者权益的成本。See US FTC, ChoicePoint Settles Data Security Breach Charges; to Pay $10 Million in Civil Penalties,$5 Million for Consumer Redress, available at https://www.ftc.gov/news-events/press-releases/2006/01/choicepoint-settles-data-security-breach-charges-pay-10-million,2017年12月22日访问。
[90]See Omer Tene, Jules Polonetsky, Privacy in the Age of Big Data: A Time for Big Decisions, Stanford Law Review Online, Vol.64(2012), p.67.
[91]See Alexandre de Corniere, Romain de Nijs, Online Advertising and Privacy, RAND Journal of Economics, Vol.47(2016), pp.48-51.

版权声明: 《政治与法律》2018年第7期