論作為消費者的數據主體及其數據保護機制*

孫南翔

（中國社會科學院國際法研究所，北京100720）

一、問題的提出：數據主體個人信息保護的困境

互聯網時代是數據的時代。新世紀以來，信息儲存和傳送的形式發生巨大變化，任何信息都可轉化成數據，并通過電子化便捷地傳送至世界各地。同時，隨著互聯網技術的普及和發展，海量數據隨時隨地被分享，因此，有學者提出，人類社會已經步入“大數據時代”。①See Omer Tene，Jules Polonetsky，Privacy in the Age of Big Data：A Time for Big Decisions，Stanford Law Review Online，Vol．64（2012），p．63．大數據時代意味著大規模信息的互聯與互通，為此，對個人信息和數據的治理成為時興的話題。

目前，大多數國家確立了用戶對個人信息的自決權或控制權。②參見龍衛球：《數據新型財產權構建及其體系研究》，《政法論壇》2017年第4期。然而，根據個人信息自決權理論確立的個人信息同意機制在信息治理中面臨挑戰。③參見范為：《大數據時代個人信息保護的路徑重構》，《環球法律評論》2016年第5期。在實踐中，個人信息自決權變相喪失。當前網絡服務商處于強勢地位而網絡用戶處于弱勢地位，即使互聯網服務提供商以隱私保護合約來履行告知義務，“告知與許可”原則也只是一個擺設，因為用戶的同意帶有明顯的被強制色彩，用戶不同意就無法享受服務。④徐明：《大數據時代的隱私危機及其侵權法應對》，《中國法學》2017年第1期。對于高度壟斷性的互聯網行業而言，由于用戶沒有其他的替代性選擇，網絡用戶的知情權被虛置。

在技術層面，作為保護用戶隱私信息的去識別化機制也備受質疑。雖然信息的去識別化在一定程度上有助于緩解個人信息的過度披露，但該機制建立的前提是信息未達到規模級效應。例如，社會保障號碼一般被視為非常敏感的信息，出生日期則相對不敏感。然而，當前的信息技術表明如果個人的出生日期和出生城市能夠被獲知，那么該個人的社保賬戶將可被精準地預測。⑤P aul M．Schwartz，Daniel J．Solove，The PII Problem：Privacy and a New Concept of Personally Identifiable Information，New York University Law Review，Vol．86（2011），p．1846．如果一個數據庫包含大量的非敏感信息，那么信息的加總將能夠追蹤到現實存在的個體。個人的搜索記錄可被視為某種匿名的信息，但其也可能具有識別性。例如，用戶對本地商業、特定醫療診斷的搜索信息等，并且個人也經常會搜索其名字以獲取信息資訊。⑥P aul Ohm，Broken Promises of Privacy：Responding to the Surprising Failure of Anonymization，UCLA Law Review 1701，Vol．57（2010），pp．1717-1718．換言之，去識別化的網絡信息并非真正的匿名化。

總體而言，在網絡世界中，作為利益相關方的用戶對個人信息缺乏控制能力。同時，在可預見的未來，希望通過技術保護用戶信息利益的設想也難以實現。有鑒于此，理論界和實務界亟待通過新的法律理念規范網絡信息和數據的處理和利用。

近期，有部分學者開始探索作為消費者的網絡用戶權利，試圖論證互聯網服務提供者與用戶之間達成網絡信息交易的可能性，并構建起網絡信息治理的機制。例如，約翰·紐曼創新性地主張互聯網企業提供的服務并不以索取服務費用為目的，而是以信息關注與獲取用戶隱私為對價。⑦S ee John M．Newman，Antitrust in Zero－Price Markets：Foundations，University of Pennsylvania Law Review，Vol．164（2015），pp．149－203．這個觀點帶來的啟發就是，信息治理可從傳統的個人信息自決理論轉向建立數據交易的市場化機制，并賦予數據主體消費者權益，進而實現良法善治。2014年，我國《消費者權益保護法》新增規定，要求經營者應當遵循合法、正當、必要原則收集、使用消費者個人信息。然而，關于收集和使用消費者信息的正當性和必要性內涵仍未取得共識，并且至今互聯網服務協議中的消費者權益保護問題很少被國內學界觸及，法院在審判中也很少提及互聯網服務中的消費者權益保護。因此，筆者借鑒域外的立法經驗與相關理論，⑧值 得說明的是，由于當前各國對互聯網中面臨的新情況都相似，消費者權益保護的目的和宗旨也基本相同，并且目前的挑戰多集中在法律適用層面，筆者于本文中使用了美國、歐盟、德國等一些國家和地區的案例。結合中國的具體實際，探索數據主體的消費者權利，并以此為基礎建立關于個人信息與數據的保護機制。

二、數據主體從自然人到消費者的角色嬗變

（一）對個人信息與數據的界定

目前各國相關理論和立法上出現了“信息”與“數據”交互使用的現象。⑨梅夏英：《數據的法律屬性及其民法定位》，《中國社會科學》2016年第9期。也有諸多學者主張將個人信息等同于個人數據。⑩吳偉光：《大數據技術下個人數據信息私權保護論批判》，《政治與法律》2016年第7期。毫無疑問，在大數據時代，信息與數據具有密切的相關性。在網絡世界中，信息的即時分享和快速交易均需要通過數據化技術來實現。不過，筆者認為，個人信息和數據仍具有區分的現實性和可能性，具體理由如下。

第一，在形式上，數據不具有直接的人格屬性。一般而言，個人信息與身份屬性具有緊密的相關性，并具有一定程度的個人可識別性。對個人信息的累積和分析可勾勒出完整的人格圖像，并挖掘個人不愿為他人所知曉的敏感信息，進而對個人的正常生活造成困擾和不安。①D aniel J．Solove，The Future of Reputation：Gossip，Rumor and Privacy on the Internet，available at http：／／docs．law．gwu．edu／facweb／dsolove／Future－of－Reputation／text／futureofreputation－ch1．pdf．，2018年2月22日訪問。數據（electronic data）則一般限于在計算機及網絡上流通的、在二進制的基礎上以0和1的組合而表現出來的比特形式，以此區別于以文學、圖像或視頻等形式顯示的信息（information）。②參見前注⑨，梅夏英文。由于被高度數字化，數據不具有直接的人格屬性。

第二，在價值上，數據基于規模效應可產生商業價值。傳統法律對信息的規制著眼于信息與主體的關聯性。在網絡出現以前，名人許可商家在商品或服務的宣傳推銷中使用其姓名和肖像就是最典型的個人信息商品化。③郭明龍：《論個人信息之商品化》，《法學論壇》2012年第6期。換言之，傳統的信息價值依賴于信息主體的人格權益，信息的人格特征越清晰，信息的價值越大。在大數據時代，數據經濟的關注點為數據的實質性內容及其聚合功能。例如，對個人消費偏好、網頁瀏覽記錄等數據的收集和使用并不必然需要以數據主體的身份和人格相關聯。同時，只有海量數據被收集和分析，其對商家及互聯網企業的營銷才具有更大用途。數據規模愈小，數據價值也愈小。

第三，在立法上，個人信息概念和數據概念存在一定的差異性。我國《民法總則》第111條規定“自然人的個人信息受法律保護”，第127條規定“對數據的保護”。第127條最終舍棄了草案中的“數據信息”概念。由此可見，我國立法者認為信息與數據應有所區分。④當 然，由于數據問題的復雜性和較大分歧，我國《民法總則》也僅僅做出“開窗式”的宣誓性規定。參見陳甦主編：《民法總則評注（下冊）》，法律出版社2017年版，第785頁。根據司法解釋，“公民個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。⑤參 見最高人民法院、最高人民檢察院聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號）。由此可見，個人信息基本上包括所有體現身份和人格屬性的信息。對于不直接與人格權利相關的數據而言，對于非公權力主體而言，根據“法無禁止皆可為”的法治理念，一般對數據的商業化利用不加禁止。換言之，經營者可合法收集、使用、加工、傳輸的對象為消費者的數據，而非敏感的個人信息。

因此，為避免混淆，筆者于本文中所指的數據為數字化的信息，其是大數據時代最重要的生產資料。與個人信息相比，數據不具有直接的可識別性。需要指出的是，雖然數據和個人信息能夠在一定程度上進行界分，然而二者具有相通性，在實踐中，個人信息和數據也能夠進行轉化。例如，匿名數據通過反向數字化技術能夠再識別，并且與具體的個體再次發生聯系。⑥See Paul Ohm，Broken Promises of Privacy：Responding to the Surprising Failure of Anonymization，UCLA Law Review，Vol．57（2010），pp．1716－1731．當然，對大多數個人和企業而言，反向數字化技術無疑是成本高昂的。

（二）數據主體從自然人到消費者的角色嬗變的必要性

1．以人格權為基礎的信息保護制度存在機制性難題

自然人作為數據主體享有特定的人格權益，其主要表現為個人的隱私權和信息權。個人的隱私權保護個人生活安寧不受他人非法干擾，個人的信息權以個人信息自決為理論基礎。作為自然人的信息主體所享有權利的保護客體為人格尊嚴與自由。⑦齊愛民、李儀：《論利益平衡視野下的個人信息權制度——在人格利益與信息自由之間》，《法學評論》2011年第3期。然而，在規范對象和救濟機制上，以人格權益為基礎的信息保護制度存在機制性難題。

其一，低敏感的個人信息和數據不構成傳統人格權保護的客體。例如，在Dwyer v．Am．Express Co．案中，美國快遞企業將消費者姓名信息銷售給商戶，然而美國法院認定，被告通過將消費者姓名歸類和匯總而創造價值的做法并沒有剝奪個人擁有姓名的任何價值。⑧See Dwyer v．American Express Company，652 N．E．2d 1351（Ill．App．1995）．因此，其不構成人格權保護的客體。除此之外，消費習慣、手機號碼、郵箱地址等信息也難以成為人格權保護的客體。⑨參見任龍龍：《論同意不是個人信息處理的正當性基礎》，《政治與法律》2016年第1期。進一步而言，網絡空間的眾多場景被視為“公共場所”，因此，個人信息和數據的收集和使用難以滿足人格侵權的私密性要求。⑩D aniel J．Solove，Privacy and Power：Computer Databases and Metaphors for Information Privacy，Stanford Law Review，Vol．53（2001），p．1432．同時，由于互聯網的去中心化，眾多個人信息在網絡上一經首次公開，就變相喪失了主張隱私保護的可能性。

其二，互聯網用戶通過人格權侵權主張獲得救濟的門檻頗高。例如，在2015年6月北京百度網訊科技公司與朱燁隱私權糾紛案的終審判決中，法院認為，由于網絡服務商或數據從業者對于用戶瀏覽信息的自動抓取收集行為和個性化推薦行為欠缺公開性，并且網絡服務商通過服務協議已明確告知網絡用戶可使用包括禁用瀏覽文本、清除瀏覽文本或者提供禁用按鈕等方式阻止個性化推薦內容，因此，上述行為不構成隱私侵權。該案明確了數據從業者在收集和利用個人信息方面的自由空間。此外，被侵權人請求承擔侵權責任的前提條件是造成損害結果。①參 見2014年最高人民法院發布的《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》（法釋［2014］11號）。實踐中，網絡上的“損害”難以界定和判定，數據收集和處理的目的也并非絕對有損于用戶。例如，通過向第三方披露是否構成損害尚存疑問。

其三，個人信息侵權救濟機制成本過高導致互聯網用戶被迫放棄追償權利。與信息收集者不同，信息主體將面臨集體行動困境。②Jerry Kang，Information Privacy in Cyberspace Transactions，Stanford Law Review，Vol．50（1998），p．1254．一方面，互聯網的個人信息可能不具有足夠高的市場價值，具備有限理性的互聯網用戶鮮有動力提起訴訟并承擔訴訟成本。③Paul M．Schwartz，Property，Privacy，and Personal Data，Harvard Law Review，Vol．117（2004），p．2108．另一方面，個體監測互聯網企業是否存在侵權行為的難度極大。例如，對身份盜竊和間諜軟件運用的監測活動費時費力，諸多用戶將會毫無防備地接受互聯網企業提供的個人信息規則，因此，眾多互聯網用戶被迫放棄追償和追責權利。

2．消費者權益保護機制的引入實現數據保護與合理利用的雙重目的

以人格權益為基礎、使用侵權救濟的方法難以對作為自然人的數據主體應享有的權利提供充分的保護。探索對數據治理的新路徑具有現實性和必要性。正如內森·紐曼所言，21世紀互聯網信息保護機制的政策失靈與20世紀食品和安全信息上的失靈別無異樣，均體現為傳統的民法路徑無法應對現實的治理難題。④S ee Nathan Newman，The Costs of Lost Privacy：Consumer Harmand Rising Economic Inequality in the Age of Google，William Mitchell Law Review，Vol．40（2014），pp．849－1611．本質上，當前的數據經濟呈現出一種復雜的利益關系，一方面是用戶對于其個人信息的保護需要，另一方面是經營者對于個人信息數據化利用的需要，即需要通過對個人信息收集和加工來形成某種數據資產。⑤同前注②，龍衛球文。因此，從經營者和消費者的角度分析數據主體的權利成為新的出路。

消費者權益保護的路徑是在以傳統的意思自由為基礎的民法模式上增加社會公平價值的考量。一方面，作為消費者，數據主體享有傾斜保護政策優待。本質上，消費者權益保護法在原本于民事法律上絕對平等的“自然人”中區分出弱者“消費者”和強者“經營者”，以此使消費者的地位變得較為優越，以對抗地位強勢的經營者。⑥參見楊立新：《網絡交易民法規制》，法律出版社2018年版，第125－126頁。在消費者權益保護框架中，數據主體無須證明損害的存在，若互聯網企業違反約定或協議，那么數據主體將能夠獲得救濟。消費者權益保護的違約認定標準要求較低，低敏感的個人信息和數據足以成為消費者權益保護的對象。同時，消費者保護機制中的懲罰性賠償等對低價值性的個人信息和數據濫用的行為有威懾作用。另一方面，數據主體可通過消費者權益保護組織、有關公益組織等機構參與數據治理，實現卓有成效的集體行動。消費者是與商人（主要是法人）相對應的一個類群，他通過群體的聯合形成與經營者抗衡的力量。⑦謝曉堯：《消費者：人的法律形塑與制度價值》，《中國法學》2003年第3期。實際上，消費者權益保護機構能夠連接各個用戶，消除搭便車心理，并克制數據主體的過分要求，同時，基于網絡空間的互聯互通性，個人信息與數據頻繁需要跨境傳輸，當互聯網服務提供者的住所地在國外時，在政府行為受限的情況下，消費者權益保護組織也能起到協調和保護本國數據主體利益的功能。⑧S ee Peter Rott，Data Protection Law as Consumer Law：How Consumer Organizations can Contribute to the Enforcement of Data Protection Law，Journal of European Consumer and Market Law，Vol．6（2017），p．117．

更為重要的是，引入消費者權益保護機制使得數據利用合法化。傳統人格權保護模式雖然可解決高敏感性的個人信息保護問題，卻無法滿足大數據時代的數據利用需要。人格權體系的邏輯在于防止個人信息和數據的傳輸和利用損害個人生活安寧，消費者權益體系的邏輯在于確保消費者享有個人信息和數據利用中的公平交易權。隨著社交網絡等新興信息發布方式的出現，數據從簡單的信息開始轉變為一種經濟資源。⑨參見北京知識產權法院（2016）京73民終588號民事判決書。由此，消費者權益體系對數據資源的認可，不僅能夠確保數據主體的信息權利，而且有利于數字經濟的形成與可持續發展。

在理想狀態下，市場力量將自發生成均衡，其將提供消費者關于信息交易條款的事先議價、事后監督權利，并且賦予消費者在企業違反協議時尋求救濟的能力。⑩C hris Jay Hoofnagle，Jan Whittington，Free：Accounting for the Costs of the Internet’s Most Popular Price，UCLA Law Review，Vol．61（2014），p．664．因此，在實踐中，一些發達國家和地區已經開始探索數據主體的消費者權益保護制度。例如，歐盟將《消費者合同不公正條款指令》適用于互聯網行業。①Peter Rott，Data Protection Law as Consumer Law：How Consumer Organizations can Contribute to the Enforcement of Data Protection Law，Journal of European Consumer and Market Law，Vol．6（2017），p．114．由此，對數據主體權利的保護從民法思維轉向經濟法思維，該轉向具備現實性和必要性。實際上，對數據主體而言，人格權益和消費者權益二者互為補充，人格權益可解決高敏感性信息不合法泄露等問題，而消費者權益適用于其他個人信息和數據的使用與利用。

（三）數據主體從自然人到消費者的角色嬗變的可行性

當前，由于過分倚重信息的絕對安全，諸多國家在數據保護機制中忽視了數據經濟及數據資產化的內在訴求。在理論上，若明確數據的價值屬性，那么信息治理可從傳統的侵權救濟途徑轉向市場化的規制路徑，由此，數據主體發生了從自然人到消費者的角色嬗變。這是切實可行的。

第一，個人數據可成為合同的對價。雖然諸多商品的價格是金錢性的，但是有些商品的價格完全是非金錢性的。畢竟，交易價格僅僅是交易商品價值之間的比率。在現實中，大多數價格被單一的金錢單位所表示，但是其并非確定價格的必要和唯一條件。價格也可以表示為商品之間的等價交換。例如，若市場上，甲與乙交換五個蘋果與十個橙子，那么，蘋果的價格就可以表示為兩個橙子。個人數據也可作為商業交換的價格。在實踐中，向第三方披露用戶設備信息、全球定位系統（GPS）信息和網頁瀏覽歷史都是有價值的。

如果用戶訪問一個由廣告收入支持的網站，那么用戶支付的服務價格就是其訪問該網站所產生的數據。該數據包括之前訪問的網站地址、其后訪問的網站地址、用戶的地理位置等。②Caleb S．Fuller，Privacy Law as Price Control，European Journal of Law and Economics，No．3（2017），p．1．正如美國地區性法院所指出的，消費概念涉及多種元素，除金錢支付外，還包括登記、承諾、交付、獲得限制性內容。③Yershov v．Gannett Satellite Info．Network，Inc．，104 F．Supp．3d 135（D．Mass．2015），at 147．美國第一巡回上訴法院進一步指出，在使用應用軟件時，在用戶瀏覽視頻時，其實際上向服務提供者提供個人信息和數據，例如他的安卓設備賬號和用戶設備上的定位信息。因此，該法院認定，雖然原告并沒有支付金錢，但原告對被告數據的獲得并非免費，而是構成服務的對價。④Yershov v．Gannett Satellite Information Network，Inc．，820 F．3d 482（1st Cir．2016），at 489．實際上，通過服務和數據之間的價值交換，用戶締結服務合同而成為消費者。⑤即 使有法官認為網絡訂閱并非必然構成消費，但是該法官也認同，支付行為并不是認定消費的必要條件。See Eilis v．Cartoon Network，Inc．，803 F．3d 1251（11th Cir．2015），at 1256．因此，個人數據可以作為合同對價而獨立存在。

第二，互聯網服務提供者從獲取用戶數據中獲利。當前，互聯網服務平臺大多是“免費的”，雖然用戶支付零金錢費用，但是他們需要支付非金錢性的成本即個人數據。用戶的個人數據構成了互聯網服務提供者的獲利來源。具體而言，互聯網服務提供者的獲利方式主要來自于兩種。其一，互聯網服務提供商收集數據的行為對當事方是有價值的，因為個人數據的匯總能夠促使服務提供商更有效率地開展活動。例如，互聯網服務提供商可以通過消費者行為活動的收集和歸納，提升產品效能，從而獲得更好的金錢性回報。其二，通過識別消費者的特征，互聯網企業能夠精準投放廣告從而獲得利益。對于大多數互聯網企業而言，廣告收入是其收入的主要來源。⑥S ee Kelly D．Martin，Patrick E．Murphy，The Role of Data Privacy in Marketing，Journal of the Academy of Marketing Science，Vol．45（2016），pp．135－155．其依賴于對用戶數據的收集和利用。實踐中，互聯網服務提供者將收集多種“非敏感的”數據（如網絡協議地址、地理定位、瀏覽歷史、設備信息等），⑦Avi Goldfarb，Catherine E．Tucker，Privacy Regulation and Online Advertising，Management Science，Vol．57（2011），p．59．進而對目標用戶進行精準定位，由此實施精準的營銷手段。事實上，廣告商頻繁地在互聯網平臺進行競價，以獲得消費者關注的機會。⑧Alexandre de Corniere，Romain de Nijs，Online Advertising and Privacy，RAND Journal of Economics，Vol．47（2016），p．48．同時，在互聯網環境中，瀏覽網站的用戶將被動閱讀“網絡廣告”。由此，通過用戶的信息披露，互聯網平臺和廣告商實現商業性的雙贏。

第三，服務協議與數據政策具備合同屬性。從本質上看，數據使用協議為授權合同。授權合同一般是許可者和被許可者之間達成的契約。雖然有些互聯網服務提供者主張，“數據保護政策”或“數據政策”并不是合同條款，其僅僅意味著經營者所欲達到的數據保護政策。⑨P eter Rott，Data Protection Law as Consumer Law－How Consumer Organizations can Contribute to the Enforcement of Data Protection Law，Journal of European Consumer and Market Law，No．6（2017），p．114．然而，在實踐中，德國和美國法院均否認此類主張。他們認為該類型的文件具有（至少看似具有）契約本質，因為其與服務的標準條款不可分割，并且對潛在服務使用而言，遵守政策是雙方達成服務協議的必不可少的環節。⑩Vgl．LG Berlin，MultiMedia und Recht 563，565－Google，19／11／2013（2014）．在發生于美國Register．com，Inc．v．Verio，Inc．案中，審理法院指出：“雖然互聯網上的新商業使得法院面臨新的情況；但是其并沒有根本性地改變合同的原則，并且當受要約人知曉并接受要約人的條件時，那么網站的合同條款就是有效且可執行的。”①ReGister．Com，Inc．v．Verio，Inc．，356 F．3d 393（2d Cir．2004），at 403．因此，互聯網服務提供者提供的服務協議和數據政策本身體現契約的特征。

在大數據時代下，數據主體可通過服務協議與數據政策從自然人身份轉化為消費者身份。一方面，消費者提交個人數據以交換其獲得的服務，因此，用戶支付給企業非金錢性的“價格”，即個人數據。另一方面，企業通過獲得的數據實現經營收入，并以提供服務作為接收數據的對價。由此，用戶和服務提供者之間建立起契約關系，數據主體實現從自然人到消費者的角色嬗變。

三、大數據時代消費者權益面臨的挑戰

長期以來，合同法原則被認為是有效率的默認規則。②R ichard S．Murphy，Property Rights in Personal Information：An Economic Defense of Privacy，Georgetown Law Journal，Vol．84（1996），p．2381．民法本質上是對契約自由的保障，強調形式公平、私法自治。然而，互聯網服務企業的絕對優勢地位、大數據行業的內在特點、消費者經濟利益被忽視等挑戰著大數據時代的實質正義。

（一）互聯網企業的絕對優勢地位

與傳統合同相比，互聯網合同的特殊性體現為互聯網企業占有絕對優勢地位。實踐中，由于在數據捕獲時的議價不平等，大型的互聯網企業具有剝奪消費者權益的能力。③S ee Daniel J．Solove，The Digital Person：Technology And Privacy In The Information Age，New York：New York University Press，2004，pp．80－81．互聯網企業剝奪消費者權益的方式集中體現在互聯網服務協議的格式條款上。諸多互聯網企業通過制定格式合同，使處于弱勢地位的消費者不得不接受不公正的規則。其典型的不公正性體現為由于議價能力不平衡，弱勢方對合同缺乏有效的、真實的意思表示。④M ax Helveston，Michael Jacobs，The Incoherent Role of Bargaining Power in Contract Law，Wake Forest Law Review，Vol．49（2014），p．1023．

傳統上，合同應經過充分的磋商和討價還價后，確定履行方法、交易方式和貿易條件。然而，在互聯網語境下，互聯網服務提供者難以與用戶進行充分磋商，因此，互聯網服務協議多為格式合同，其旨在向所有消費者提供統一的條件，用戶并無協商和談判的余地。此類型的合同大多設定相同的、不可磋商的條款，并以“要么拿走、要么放棄”的方式提供給消費者。⑤See Michael L．Rustad，Global Internet Law，Minnesota：West Academic Publishing（2016），pp．215－216．甚至于，互聯網企業可通過設置不可更改的格式合同，削減其責任并減少用戶的法律救濟手段。

正如馬克·萊姆利所批評的，在格式合同下，在一個“技藝高超”的律師幫助下，一個軟件供應商能夠非常簡單地執行事實上其想要達成的條件，其只要增加文件頁數并通過去顯著化標示，將一些條款“變相隱藏”，用戶甚至可能在其購買、安裝、開始運行軟件后仍未能發現此類條款。⑥M ark A．Lemley，Beyond Preemption：The Law and Policy of Intellectual Property Licensing，California Law Review，Vol．87（1999），p．122．由此，互聯網企業具有限制用戶消費者權益的能力和潛在動機。換言之，處于優勢地位的當事方可強迫、禁止或者以激勵的方式，使得消費者同意那些限制其自由的不公正條款。⑦S ee Max Helveston，Michael Jacobs，The Incoherent Role of Bargaining Power in Contract Law，Wake Forest Law Review，Vol．49（2014），pp．1051－1055．實踐中，互聯網企業的格式合同經常引起爭議，如我國花唄協議、微博內容協議爭議等即為例證。

（二）大數據技術的商業利用對信息自我控制的威脅

以云計算、區塊鏈、物聯網等為代表的大數據技術突破傳統的信息流動限制，涉及更多的參與者、更復雜的關系，由此加深了互聯網的信息不對稱和技術不可控性。一方面，與現實世界不同，網絡空間的建構物（即編碼）使得個人對其信息的認知、收集和控制非常困難。⑧Julie E．Cohen，Examined Lives：Informational Privacy and the Subject as Object，Stanford Law Review，Vol．52（2000），p．1437．另一方面，政府難以對去中心化的互聯網活動進行全面的干預和控制。由此，大數據技術的商業利用時刻威脅著用戶的消費者利益，其主要體現為大規模個人數據聚集將增加網絡安全事故發生后的損失程度；大量的信息匯編成數據使得以個人同意為基礎的信息使用機制被虛置；⑨S ee Sarah Ludington，Reining in the Data Traders：A Tort for the Misuse of Personal Information，Maryland Law Review，Vol．66（2006），pp．140－144．在做出銷售和價格決定前，使用數據挖掘技術增加企業歧視消費者的可能性。⑩See Max N．Helveston，Consumer Protection in the Age of Big Data，Washington University Law Review，Vol．93（2016），p．863．

正如美國聯邦政府的報告所言，商業企業持續利用大數據技術的潛在漏洞，獲得額外的利益。①S ee Executive Office of the President，Big Data：Seizing Opportunities，Preserving Values（2014），available at https：／／www．cfr．org／technologyand－science／white－house－big－data－－－seizingopportunities－preserving－values／p32916，2018年1月10日訪問。以數據安全和合理使用為例，當消費者閱讀“隱私政策”條款時，他們認為其個人信息將以技術的方式被嚴格保護，特別是，他們時常認為載有隱私政策的網站將不會分享他們的數據。然而，事實并不總是如此。企業制定隱私政策的主要目的在于免除其作為或不作為的責任，而非確保消費者隱私。②Jo seph Turow，etc．，The Federal Trade Commission and Consumer Privacy in The Coming Decade，I／S：A Journal of Law and Policy，Vol．3（2007），p．724．

（三）被忽視的消費者經濟利益

作為合同相對方的數據主體，其個人數據的經濟利益長期被互聯網企業所排他性地占用。在缺乏財產利益的情況下，互聯網企業將免費地使用個人數據。③S ee Nadezhda Purtova，Property Rights in Personal Data：Learning from the American Discourse，Computer Law and Security Review，Vol．25（2009），pp．507－521．例如，2011年，一女士向騰訊公司請求獲得離世的丈夫的QQ密碼以取得郵箱中的信件和照片，騰訊公司以QQ號碼的所有權屬于騰訊，其丈夫僅享有使用權為由，拒絕了該女士的請求。④參見前注⑨，梅夏英文。為何互聯網企業能夠排他性地獲得用戶的所有信息和數據，即因用戶信息和數據的收集、處理、利用而產生的利益應該被誰占有？究其本質，作為數據源泉的個人并未在大數據行業中獲得真正的實惠，現階段真正取得收益的是少數信息控制者和利用者，比如互聯網服務提供者、廣告公司等。⑤同前注④，徐明文。

毫無疑問，如果將個人數據所蘊涵的財產價值賦予商家，就無異于承認任何人都有權占有那些本來就被認為屬于他人的財產。⑥劉德良：《個人信息的財產權保護》，《法學研究》2007年第3期。更何況，若個人數據利益屬于服務提供者，那么用戶將花費大量成本發現信息是否被搜集以及如何被使用。⑦同前注②，龍衛球文。這顯然是不合理的。有學者研究發現，如果不存在要求企業改變其行為的法律，那么在缺乏財產利益考量的情況下，企業有持續免費使用個人數據的動機。⑧Nadezhda Purtova，Property Rights in Personal Data：Learning from the American Discourse，Computer Law and Security Review，Vol．25（2009），p．517．企業免費使用個人數據的行為不僅忽視了消費者的合法利益，更違背了公平正義和市場規律。由此，通過法律保護機制提升消費者的應有福利，也是追求實質正義的必由路徑。

四、數據主體的消費者權益及其表現

（一）通過消費者權益重塑數據主體權利

互聯網企業的絕對優勢地位、大數據技術對信息自控的威脅，以及被忽視的消費者經濟利益都集中體現于互聯網交易過程。從消費者權益保護的歷史來看，消費者保護的淵源在于糾正市場失靈的困境，按照實質正義的要求對契約的形式進行相應調整。⑨林越堅：《金融消費者：制度本源與法律取向》，《政法論壇》2015年第1期。若民法強調自愿的交易，那么消費者權益保護的核心目標在于確保公平的交易。由此，應對大數據時代的消費者權益挑戰的方法在于重構以消費者權益為中心的數據保護機制。

本質上，消費者權益保護對互聯網交易的保障在于確保交易的程序正義和實質正義，也就是說，平等的議價能力、公正的合同條件和有效的救濟手段。具體而言，程序性的公正性意味著合同的談判或議價不存在壓制和無知的情形，實體性的合理性則體現為合同條件是正當的，雙方并未濫用權利。⑩Michael L．Rustad，Global Internet Law，Minnesota：West Academic Publishing（2016），p．267．由此，以下筆者將從磋商、履約以及救濟階段分析數據主體的消費者權益。

（二）消費者知情同意權對數據主體的適用

在消費者權益保護層面上，消費者和服務提供者應充分磋商締結互聯網服務協議。一般而言，在確定互聯網交易是否公正時，法院將評估交易過程中載有雙方權利義務的互聯網協議是否被明確地展示給消費者，消費者是否有機會閱讀該協議，以及消費者是否清晰地、明確地表明對條款的接受。①See Hancock v．AT＆T Co．，701 F．3d 1248（10th Cir．2012），at 1256．總之，消費者權益保護中的締約公正性包括消費者的知情要求和同意要件。

1．數據主體的知情要求

互聯網行業長期存在互聯網服務不透明的問題。若將消費者的知情要求適用于數據主體，那么數據主體的權利內容可細分為以下方面。

第一，數據主體應有事實上的或推定上的認知。美國律師協會電子締約工作組曾指出，在電子化語境下，如果通過滾動條能夠展示協議的部分內容，或者通過以普通水平的用戶能夠注意的方式展示條款，那么可認為互聯網企業已履行向用戶充分告知的義務。②C hristina L．Kunz，et al．，Browse-Wrap Agreements：Validity of Implied Assent in Electronic Form Agreements，Business Lawyer，Vol．59（2003），p．279．然而，在互聯網交易中，若企業將協議放置在不明顯的超級鏈接上，或理性的人將不會注意此類超級鏈接，或理性的人無法知曉其通過點擊同意將締結合同，那么法院不會執行上述協議。③See Sgouros v．TransUnion Corp．，817 F．3d 1029（7th Cir．2016），at 1033－1034．因此，在互聯網語境下，在使用服務前，作為消費者，用戶對服務協議的條款和條件應具有事實上的或推定上的認知。如果互聯網服務提供者未能履行向用戶充分告知的義務或損害數據主體的知情權，那么該合同可能不生效。

第二，數據主體的權利和義務應不模糊地展示。服務協議中的用戶權利和義務必須合理地展示，否則企業將面臨法院不執行合同條款的風險。一般而言，互聯網協議中的權利與義務包括用戶的提交事項、禁止性內容、互聯網群體規范、發布信息的責任、網站的所有權、拒絕或移除發布的情形、賬戶的終止、內容所有權的準據法、法院選擇、隱私政策、擔保聲明、責任限制、知識產權侵權、通知和關閉條款、使用數據的許可、第三方網站和服務、對協定的終止和修改的條款等。④Michael L．Rustad，Global Internet Law，Minnesota：West Academic Publishing（2016），p．234．上述內容應清晰地列出和明示。在Hines v．Overstock．com，Inc．案中，美國一家互聯網銷售商在其網頁上寫明：“進入本網站構成用戶對本條款和條件的接受。”其條款包括任何與訪問網站方式相關的爭議都必須在鹽湖城進行秘密仲裁。然而，美國聯邦法院認為，作為消費者，數據主體并沒有獲得關于“條款和條件”的通知，進一步地說，法院指出網站并沒有提供用戶合理閱讀合同條款的機會，并且該鏈接以不顯著的方式展示，因此，該互聯網企業的瀏覽同意協定是無法執行的。⑤See HiNes v．Overstock．Com，Inc，668 F．Supp．2d 362（E．D．N．Y．2009），at 367．

第三，數據主體應具有合理的閱讀機會。在Specht v．Netscape Communications Corp．案中，美國第二巡回法院拒絕認可互聯網服務協議條款的有效性。其理由在于：在消費者做出同意前，尚不確定服務提供商是否提供消費者閱讀合同條款的機會。具體而言，在該案中，互聯網企業主張應依據互聯網服務協議進行強制性仲裁，并要求終止訴訟程序。然而，審理該案的法院指出，在消費者按下 “立即下載”按鈕免費下載軟件時，服務協議條款放置在屏幕下方的事實不足以表明該企業已經詢問過消費者，且不足以推定消費者已獲得通知。⑥SpEcht v．Netscape Communications Corp．，306 F．3d 17（2nd Cir．2002），at 32．本質上，在締結合同前，用戶閱讀、審閱和理解格式條款是消費者的一項基本權利。⑦E uropean Commission，Unfair Contract Terms，available at http：／／ec．europa．eu／consumers／consumer＿rights／rights－contracts／unfaircontract／index＿en．htm，2017年12月22日訪問。德國法蘭克福地方法院曾指出，雖然三星企業提供超過50多頁的數據政策，但并沒有提供超級鏈接，或者是可以跳轉至特定頁面的選項，因此消費者無法合理獲知數據政策的內容，上述做法構成不公正的商業實踐。⑧Vgl．LG Frankfurt，Beck Rechtsprechung（BeckRS）10907－Samsung，10／6／2016，（2016）．

2．數據主體的同意要件

在合同締結中，當事方同意對于合同成立是必不可少的。雖然互聯網改變了法院適用法律的事實背景，但不管是書面的、口頭的，或通過行為表達的，雙方合意表示仍是合同的基石。⑨See Mark A．Lemley，Terms of Use，Minnesota Law Review，Vol．91（2006），pp．459-460．作為基本原則，對合同的接受必須是積極的且明確的。作為消費者，在知悉互聯網服務協議的條款后，數據主體應對互聯網服務協議表示同意。在互聯網語境下，消費者表示同意的方法主要有四種，即點擊同意、開封同意（shrinkwrap）、瀏覽同意和注冊同意。點擊同意的協議是通過用戶點擊“我同意”按鈕確定協議條款；開封同意的協議是通過獲得產品而表明同意；瀏覽同意一般是在網站中表明若用戶通過使用服務，或者安裝程序，則該協議將具有拘束力；注冊同意需要用戶進行注冊，才表明用戶對協議表達同意。⑩See Michael L．Rustad，Global Internet Law，Minnesota：West Academic Publishing（2016），pp．220－238．

盡管存在不同的形式，消費者同意要件的核心在于建構消費者對格式合同的事實上或推定上的認同。對于不同形式的同意而言，對其認同的標準有所差異。針對瀏覽同意而言，由于數據主體可能在未閱讀協議前，甚至在不知曉協議網頁存在的前提下，持續性地使用網站及其服務，與點擊同意、開封同意和注冊同意相比，數據主體的同意需要更大程度的清晰度。①Michael L．Rustad，Global Internet Law，Minnesota：West Academic Publishing（2016），p．231．

（三）消費者公平交易權對數據主體的適用

當事方之間缺乏磋商并不導致合同條款不可執行。在互聯網服務協議締結中，強制所有服務提供者與數據主體進行磋商是不切實際的。數據主體與服務提供者進行逐條磋商對雙方而言都是浪費時間，且成本昂貴。解決程序公平和實質公正的方法在于確保互聯網服務商提供的格式合同及其交易條件受實質公正的約束。②See Carnival Cruise Lines，Inc．vs．Shute，499 U．S．585（1991）．對實質公正的衡量標準為：當摒棄當事方的優勢地位和強勢身份后，合同及其條款是否仍應該被認可。

1．等價交易

互聯網行業的生存與發展依賴信息的收集、傳輸和處理。然而，現實中的互聯網企業卻存在過度收集個人信息的動機，由此導致消費者往往需要提交超過適當水平的數據。③See Dennis D．Hirsch，Law and Policy of Online Privacy：Regulation，Self－regulation，or Co－regulation，The Seattle University Law Review，Vol．34（2010），p．439．因此，公平交易原則的核心內容之一在于確保互聯網企業對消費者數據的收集與其提供的服務成本相匹配。換言之，如果搜索引擎企業需要收集個人的信用卡等財務信息，這就明顯違反成本和收益相匹配的等價交易原則。例如，在我國，花唄服務協議等要求消費者授權其可向任何第三方查閱個人信息，甚至要求收集個人的通訊數據，此種過度收集個人數據的行為不符合必要性和比例原則，并且，具體而言，其侵犯了數據主體進行等價交易的權利。

2．禁止歧視

在現代社會中，根據種族、性別、年齡、性偏好、基因等差異，對個體或集體的歧視是違反現代法律精神的。④Max N．Helveston，Consumer Protection in the Age of Big Data，Washington University Law Review，Vol．93（2016），p．863．例如，美國聯邦和州法律和法規在大多情況下禁止根據個人特征進行歧視。在互聯網上，互聯網企業也時常基于用戶的地理位置、瀏覽蹤跡等進行價格歧視。⑤See Cynthia Dwork，Deirdre K．Mulligan，It’s Not Privacy，and It’s Not Fair，Stanford Law Review Online，Vol．66（2013），pp．36－38．互聯網便利了企業利用大數據挖掘技術分析個人行為習慣和消費模式，并且將其分析的結果用于對個人的營銷。⑥S ee Benjamin Zhu，A Traditional Tort for a Modern Threat：Applying the Intrusion Upon Seclusion to Dataveillance Observation，New York University Law Review，Vol．89（2014），pp．2387－2392．然而，企業的營銷并不應導致歧視，特別是通過對個人的地理位置、瀏覽頁面、消費習慣、財務情況進行差別定價。價格歧視行為損害數據主體的公平交易權，更損害了社會的整體福利。

3．禁止欺詐和誤導

互聯網企業須移除任何可能導致欺詐或誤導消費者的網絡信息。互聯網企業典型的欺詐或誤導做法包括：第一，誤導數據主體支付價款；第二，誘使數據主體落入“免費”試用的注冊或訂閱陷阱；第三，假冒偽劣產品的營銷；第四，虛假的推銷。例如，社交媒體推廣“1美元贏取智能手機”，但其隱藏了長期使用所花費的每年數百歐元的訂閱成本。⑦E uropean Commission，The European Commission and Member States Consumer Authorities Ask Social Media Companies to Comply with EU Consumer Rules，Brussels，17 March 2017，available at http：／／europa．eu／rapid／press－release＿IP－17－631＿en．htm，2017年 12月 22日訪問．在FTC v．Commerce Planet案中，一企業在網絡上邀請消費者使用免費的7天試驗產品，但若到期不取消，那么消費者將直接支付每月59．95元的成員費。審理該案的法院認定，上述內容具有實質性的和事實上的誤導，由此可見，企業的行為構成不公正的商業實踐。⑧FTC v．Commerce Planet，878 F．Supp．2d 1048（C．D．Cal．2012），at 1048．因此，互聯網企業不應欺詐或誤導作為消費者的數據主體。

4．禁止對消費者權利的克減

互聯網服務協議確定了網絡銷售的條件，其可能限制企業對數據主體的數據內容和服務承擔的損害責任。在實踐中，法院時常以維護公共政策為由，拒絕執行那些涉嫌濫用權利的條款。實踐上，如果一方的責任豁免將會損害重要社會利益，那么法院傾向于認定該責任豁免無效。⑨M ax Helveston，Michael Jacobs，The Incoherent Role of Bargaining Power in Contract Law，Wake Forest Law Review，Vol．49（2014），p．1051．例如，在美國People v．Network Assocs．，Inc．案中，被告在其防火墻軟件產品銷售中規定，任何個人在獲得該企業批準前不得公開發布對該軟件的評價。法院認為，其侵犯了數據主體的不可剝奪的消費者權利，因而是不公正的，上述軟件合同條款是無法執行的。⑩People v．Network Associates，758 N．Y．S．2d 466（11th Cir．2015），at 470．

當然，需要指明的是，正如美國聯邦貿易委員會所言，“合同的非公平交易屬性會隨時間推移而變化，對公平交易標準的理解是逐步發展的。法律故意規定‘非公平性’等一般性術語，是因為制定一個完全封閉的非公平交易實踐的清單是不可能的。實際上，此類清單將迅速過時或者留下漏洞”。①US FTC，FTCPolicy Statement on Unfairness，available at https：／／www．ftc．gov／public－statements／1980／12／ftc－policy－statement－unfairness，2017年12月22日訪問。因此，由于網絡世界的技術特征和規制環境的發展，消費者遭受互聯網企業不公正待遇的方式、特征和表現形式可相應發生變化。

（四）消費者權益救濟機制對數據主體的適用

互聯網服務提供者利用優勢地位，在服務協議中能夠剝奪消費者選擇救濟的方法和場所。通過同意爭議前的強制性仲裁、集體訴訟豁免以及免除企業的救濟責任，互聯網用戶時常被迫放棄了開示證據、法院申訴等權利。②Michael L．Rustad，Global Internet Law，Minnesota：West Academic Publishing（2016），p．245．綜合而言，救濟條件的不合理性表現在：其一，救濟條款是欺詐或誤導性的；其二，出于不便利性等原因，數據主體實際上被剝奪向法院申訴的機會；其三，合同準據法的非公正性剝奪數據主體的救濟機會；其四，救濟條款與法院地的公共秩序形成沖突。③See Lisa Zaltz v．JDate，2013 WL 3369073（E．D．N．Y．2013）．由此，消費者權益救濟機制的引入能夠確保數據主體在利益受損后的救濟是便利的、適當的，且符合當地公共秩序。

首先，在對抗互聯網企業設定的不當救濟機制中，消費者權益保護組織具有協調數據主體利益并對抗不合理救濟規則的作用。例如，德國消費者權益保護組織多次要求互聯網企業不再使用多種損害數據主體利益的條款。④V gl．Verbraucherzentrale Bundesverband，Pokémon Go－Entwickler Niantic lenkt ein，，available at https：／／www．vzbv．de／pressemitteilung／pokemon－go－entwickler－niantic－lenkt－ein，2018年3月3日訪問。2017年3月，歐洲委員會和成員國消費者機構要求社交媒體遵守歐盟消費者規則，并移除不合法條款，其中重點涉及救濟機制。例如，歐洲委員會和成員國消費者機構指出，第一，社交媒體不能剝奪數據主體向其居住國法院申訴的權利；第二，社會媒體網絡不能要求數據主體放棄法定的權利，例如數據主體在網絡購買中的撤銷權利；第三，服務協議不能限制或完全地排除社交媒體與其服務履行相關的責任；第四，不應隱藏受資助的內容；第五，社交媒體不能單邊地改變條款和條件；第六，服務條款不能授予無限制的、自我裁量的移除內容的權力；第七，服務協議的合同終止必須由明確的規則所來調整，且當事人不能在不具備合理理由的情況下單邊做出終止決定。⑤E uropean Commission，The European Commission and Member States Consumer Authorities Ask Social Media Companies to Comply with EU Consumer Rules，Brussels，17 March 2017，available at http：／／europa．eu／rapid／press－release＿IP－17－631＿en．htm，2017年 12月 22日訪問。

其次，消費者權益保護機制能夠通過集體行動，糾正互聯網企業損害數據主體利益的行為。例如，英國、韓國等消費者權益保護組織對谷歌、蘋果等互聯網巨頭損害數據主體利益的行為提起訴訟。在性質上，消費者協會是聯系廣大消費者的紐帶，依法對商品和服務進行監督。有鑒于此，消費者權益保護組織能夠在核實證據、查清事實基礎上，努力解決并化解糾紛，糾正互聯網企業威脅或損害數據主體利益的行為。2018年1月，我國江蘇省消費者權益保護委員會對北京百度涉嫌違反獲取消費者個人信息及相關行為提起民事公益訴訟。⑥參見《中消協支持江蘇消保委對百度提起公益訴訟》，http：／／legal．people．com．cn／n1／2018／0110／c42510－29755624．html，2018年3月3日訪問。無疑，消費者權益保護組織能夠通過主動作為的方式，對抗強勢的互聯網企業，并切實維護作為數據主體的消費者的合法權益。

五、構建我國對數據主體的消費者權益保護機制

中國共產黨的十九大報告提出：“推動互聯網、大數據、人工智能和實體經濟深度融合，建設網絡強國、數字中國、智慧社會。”數字經濟的深度發展需要體系化的數據治理機制。在邁向網絡強國的過程中，中國的數據治理應從傳統的以人格尊嚴和自由保護為中心的治理模式轉向以市場化機制為導向的治理模式，通過事前同意、事中誠信、事后救濟的多層機制安排，確保數據主體切實享有作為消費者的合法權益。

（一）明確消費者權益保護法對數據主體的可適用性

當前，以美國、歐盟國家學者為代表的學者提倡構建數據交易的市場化機制并重視數據主體的消費者權益。⑦S ee Natali Helberger，Prederik Zuiderveen Borgesius，Agustin Reyna，The Perfect Match？A Closer Look at the Relationship between EU Consumer Law and Data Protection Law，Common Market Law Review，Vol．54（2017），pp．1427－1466．我國一些學者也有類似的建議。⑧《 互聯網服務合同應寫進民法典合同編》，http：／／www．legaldaily．com．cn／index／content／2017－07／26／content＿7256630．htm？node＝20908，2017年12月22日訪問。與傳統的合同相比，互聯網服務協議的當事方議價能力懸殊，并且相互磋商成本巨大。因此，確有必要通過專門的規定對數據主體的合法權益予以明確。從本質上，民法應保障契約自由，其側重等價交易；消費者權益保護法強調限制濫權，其注重實質公正。合同機制和消費者權益保護兩者相輔相成，共同保障數據主體的合法權益。

我國《消費者權益保護法》第29條為新增法條，其規定：“經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。”尚存疑問的是，該法指明其保護的對象是為生活消費需要而購買商品或接受服務的消費者，可見，我國消費者保護權益法仍未脫離現實世界的傳統框架，其仍未滿足互聯網服務消費者權益保護的需求。筆者建議，在我國民法典、電子商務法、個人數據保護法等法律的制定過程中，應明確數據與個人信息具備合同對價性，以此搭建互聯網服務提供者和用戶之間的誠信交易機制。同時，于消費者權益受損的情形時，可在補償性賠償機制方面引入懲罰性賠償機制，以提高企業的違法成本，促進數據利用、處理和傳輸的法治化、有序化。

（二）認真對待個人信息和數據的經濟價值

大數據時代，個人信息和數據具有財產權的屬性。對個人數據進行賦值并將數據價值初始配置于用戶，符合數據治理的客觀現實需求。⑨雖 然信息價值難以確定，但并非不可能。例如，在實踐中，美國聯邦貿易委員會可通過計算得出互聯網企業應賠償侵犯消費者權益的成本。See USFTC，ChoicePoint Settles Data Security Breach Charges；to Pay＄10 Million in Civil Penalties，＄5 Million for Consumer Redress，available at https：／／www．ftc．gov／news－events／press－releases／2006／01／choicepoint－settles－data－security－breach－charges－pay－10－million，2017年12月22日訪問。在互聯網領域，若“數據與服務”之間的交易得以形成，那么數據主體將成為互聯網服務協議的消費者，進而從傳統的人格權保護方法邁入平等交易的財產權保護方法。這不僅能更充分保護用戶的信息權，而且能更有助于整個大數據行業的發展。

在立法上，我國《國家安全法》《網絡安全法》《民法總則》等法律確定了信息利用的合法、正當、必要原則，并要求網絡運營者不得收集與其提供的服務無關的個人信息。然而，實踐中的難題在于如何界定信息利用的正當性和必要性。筆者認為，若個人信息和數據的可計價性得到承認，那么對正當性和必要性的法律解釋由于涉及對最小限制的替代措施、成本、收益分析等，其都涉及經濟學的分析工具，均可通過法經濟學的成本和收益方法加以解決。在必要性層面，由于互聯網服務提供者和消費者之間建立起契約關系，那么消費者所披露的數據應等價于互聯網服務提供者的服務成本，進而通過等價交易確定必要性問題。在正當性層面，互聯網服務協議的締結應滿足程序正義、誠信交易等要求。如若互聯網服務提供者能夠切實維護消費者權益，那么其對信息的收集、傳輸和利用便應當滿足法律上的正當性和必要性的要求。

（三）建立從事前同意到事中誠信交易的監督機制

個人信息自決權是信息治理的重要理論基礎，其邏輯在于通過強化個人的事先同意機制，以此約束互聯網企業濫用信息的行為。由于個人信息處理的便捷化和數據的規模化，用戶同意機制或許僅僅是提供給個人對信息的控制感，而未體現個人的實際控制權。⑩See Omer Tene，Jules Polonetsky，Privacy in the Age of Big Data：A Time for Big Decisions，Stanford Law Review Online，Vol．64（2012），p．67．現實中，多數消費者并沒有意識到當注冊微信、微博或瀏覽搜索引擎網站時，其已經與互聯網服務提供者達成服務協議。由于很多用戶對同意的內容和對象并不具有充分的認知，片面強化同意要件會變相地弱化用戶的合法權益。

在大數據時代，“過度收集數據”是服務提供者的不良傾向。對數據規制的目的在于糾正互聯網企業非法的、欺詐性的行為，以及諸如價格歧視的行為。①See Alexandre de Corniere，Romain de Nijs，Online Advertising and Privacy，RAND Journal of Economics，Vol．47（2016），pp．48－51．實際上，上述問題都集中在數據的收集、處理和轉讓過程。由此，對消費者權益的保護還應發揮事中誠信交易機制的作用。筆者認為，我國行政機構可同步構建數據交易的事先同意機制和事中誠信機制，通過確定等價交易、禁止欺詐等誠信交易理念，打造平等的、公正的數據流動和交易機制。近期，中央網信辦等四部門已聯合開展隱私條款評審工作。筆者建議，相關部委在下一階段可以展開數據誠信交易評審工作。

（四）激勵多元主體參與數據治理與保護

當前，我國主要在政府主導下開展數據治理與保護工作。然而，從長遠看，國家行政機關缺乏足夠的人力、物力和時間監督所有的網絡信息和數據流動。因此，在數據保護層面上，應從以下兩方面著手。一方面，應最大程度發揮數據主體的能動性。事實上，只要一部分網民能夠關注互聯網企業的數據收集和轉讓，那么整個社會的消費者福利就將得以提升。由此，我國立法機關和司法機關的工作核心在于界定數據產權，并最大程度地發揮個人作用。另一方面，我國的數據治理也應積極發揮消費者協會和其他消費者組織的作用。由于消費者存在搭便車心理，且追究數據違約責任所帶來的收益較小，消費者權益保護組織應切實發揮保護每個消費者權益的功能。雖然我國消費者協議已開始對互聯網企業違反獲取用戶信息權限等問題提起消費民事公益訴訟，但是對互聯網服務糾紛的責任主體、行為要件、處罰與賠償機制等仍存在爭議，互聯網服務糾紛的民事公益訴訟適用方法仍不明確。因此，筆者認為，我國立法機關應承認數據主體的財產性權益，保障消費者及消費者權益保護組織有理有據地提起訴訟，并通過適用消費者權益保護法中的懲罰性賠償制度，營造公平合理法治透明的數據交易環境。