基于OECD個人數據分類的“通知—同意”原則的有效性困境與出路

摘?要：[目的/意義]大數據環境下，“通知—同意”原則作為個人數據處理正當性基礎之地位受到質疑，期望找到一種可以使其繼續發揮效用并能充分保護個人數據的出路。[方法/過程]利用文獻法介紹了OECD個人數據分類和“通知—同意”原則的獨特價值及其在若干國家數據隱私法中的界定、適用條件?；贠ECD個人數據分類分析了“通知—同意”原則的有效性困境，包括通知的獲取成本上升、通知不能充分保障數據主體的知情權、二元同意不利于個人數據保護、同意不能有效實現數據主體的控制權。[結果/結論]提出圍繞降低通知的獲取成本、創新性提供隱私通知、推行分等級同意和撤回同意、實施“情境合理+擬制同意”模式、增設合理推斷權以強化數據隱私保護等策略進行解困。

關鍵詞：OECD;通知;同意;個人數據分類;觀測數據;派生數據;推斷數據;數據私隱保護

DOI：10.3969/j.issn.1008-0821.2021.03.017

〔中圖分類號〕G203?〔文獻標識碼〕A?〔文章編號〕1008-0821（2021）03-0168-10

Validity?Dilemma?and?Solutions?of“Notice-Consent”Principle?Based?on

a?New?Personal?Data?Taxonomy?Proposed?By?OECD

Wang?Ying

（School?of?History?and?Culture，Hubei?University，Wuhan?430062，China）

Abstract：[Purpose/Significance]In?the?context?of?big?data，the?status?of?the“notice?-consent”principle?as?the?basis?of?the?legitimacy?of?personal?data?processing?is?questioned，hoping?to?find?a?way?to?make?it?continue?to?play?a?role?and?fully?protect?personal?data.[Method/Process]This?study?used?the?documents?method?to?introduce?a?new?data?taxonomy?proposed?by?OECD?and?the?distinctive?values?of?privacy“notice-consent”principle，its?stipulations?in?data?privacy?laws?of?some?countries?and?international?organizations?were?introduced?and?the?application?conditions?of“notice-consent”principle?were?analyzed.Then，validity?dilemma?for“notice-consent”principle?based?on?a?new?data?taxonomy?proposed?by?OECD?was?analyzed，including?the?rising?acquisition?cost?of?the?notice，the?notice?can?not?fully?guarantee?the?data?subjects?right?to?know，binary?consent?is?not?conducive?to?personal?data?protection，and?consent?cannot?effectively?realize?the?control?right?of?the?data?subject.[Result/Conclusion]At?last，some?solutions?were?proposed，like?reducing?the?acquisition?cost?of?notices，innovatively?providing?privacy?notices，practicing?graduated?consent?and?the?withdrawal?of?consent，implementing?the?mode?of“situational?rationality+pseudo-consent”and?adding?right?to?reasonable?inferences?to?strengthen?data?privacy?protection.It?is?expected?that?they?can?not?only?promote?the?full?protection?of?personal?data，but?also?promote?the?development?of?big?data?application.

Key?words：OECD;notice;consent;personal?data?taxonomy;observed?data;derived?data;inferred?data;data?privacy?protection

最近，OECD的一個圓桌會議提出了基于數據起源的個人數據分類，它區分了提供的數據、觀測數據、派生數據和推斷數據[1]。①提供的數據是來自個人采取直接行動的數據，由此他或她完全知道導致數據產生的行動。比如，個人在貸款申請環境下披露的數據（初始數據）、使用信用卡購買產品時創建的數據（事務性數據）或通過在線社交網絡共享的數據（發布的數據）。②觀測數據是其他人已經觀察到并以數字格式記錄下來的數據。比如，在線Cookies數據、傳感器數據及通過閉路電視攝像頭結合面部識別捕捉的觀測數據。③派生數據是由其他數據生成的數據，之后它們成為與特定個體相關的新數據元素。比如，計算數據（如基于訪問次數與購買物品的比率計算客戶盈利能力的數據）。④推斷數據是基于概率分析過程的產物，是用來預測行為相關性檢測的結果，然后，這些預測被用來對個體進行分類。比如，統計數據（如信用風險評分、預期壽命評分）和高級分析數據（如基于對大量和多樣化的醫療數據集的分析得出的未來健康結果的可能性）。提供的數據和觀測數據可以稱為“一次數據”或原始數據，而派生數據和推斷數據可以稱為“二次數據”，是對一次數據進行挖掘加工的產物。

大數據環境下，醫療診斷、電子商務、信用征集等會涉及個人數據的采集、處理和分析，比如，監視設備對臨床實驗病人采集的數據、移動手機上的位置數據、會員卡上的購買數據、可穿戴設備上的生物特征數據[2]、信用風險評分數據和基于訪問次數與購買物品的比率計算客戶的盈利能力數據等。顯然，這些數據不都是數據主體主動提供的數據，相反，多數是觀測數據、派生數據和推斷數據?，F在越來越多的數據是在沒有個人參與或知道的情況下創建的，比如派生數據是以一種相當“機械”的方式創建的、推斷數據的創建并沒有數據主體的參與甚至不知道所做的任何判斷。這可能對“通知—同意”原則帶來挑戰，因為它主要是在以“提供的數據”為主的環境下制定的。對于非“提供的數據”，數據管理者如何將數據收集、使用目的、方式等通知到相關個人并獲得同意呢？很明顯，“通知—同意”原則在觀測數據、派生數據和推斷數據的適用性方面是有問題的。為了解決“通知—同意”原則的有效性問題，本文將試圖回答下列問題：①“通知—同意”原則有什么獨特價值使其在大數據環境下仍需繼續存在？②若干國家數據隱私法如何界定“通知—同意”原則？并在此基礎上歸納它的適用條件。③基于OECD個人數據分類，“通知—同意”原則遭遇的有效性困境是什么？最后，提出了解困之路，期望“通知—同意”原則既能繼續發揮效用，又能促進大數據交易和應用。

1?“通知—同意”原則及其價值

1.1?“通知—同意”原則的基本含義

通知和同意是當前最重要的在線同意范式[3]，經常也被叫做知情同意，其核心要義是向網站訪問者和在線物品、服務的用戶通知信息流動實踐并向用戶提供或參與或不參與的選擇[4]。“通知—同意”原則是個人信息保護的基石，恰如意思自治在民法中的地位。美國聯邦貿易委員會《網絡隱私：給國會的報告》（Privacy?Online：A?Report?to?Congress）指出：①通知是最根本的原則。在收集任何個人信息時，實體機構要將信息實踐活動告知給用戶。沒有通知，用戶將不能就關于是否披露個人信息以及披露個人信息到什么程度做出一個知情決定。此外，僅僅當用戶收到實體機構政策的通知并知道他的或她的權利時，其他隱私原則才有意義。②廣泛接受的核心隱私原則是用戶選擇或同意。簡單來說，選擇意味著讓用戶選他的或她的個人信息如何被利用[5]。

1.2?“通知—同意”原則的獨特價值和意義

1）與自由競爭市場模式兼容

“通知—同意”原則與自由競爭市場模式兼容，競爭的自由市場允許買賣雙方以市場決定的價格交易物品。理想情況下，買方有權獲取做出自由合理購買決定的必要信息。因為個人信息可以被設想為在線交易價格的一部分，如果告知買方關于賣方收集和使用個人信息的方式并且允許買方自由地決定價格是否恰當，一切都被認為是好的[4]。在“通知—同意”原則下，買方（相對弱者）將獲得由賣方提供的關于交易客體的全面、準確的信息，同時它還保留是否進行交易的決策權，這樣就可以彌補交易雙方在交易實力上的差異，確保雙方在一種相對公平的基礎上進行交易[6]。理想的市場假定自由理性主體可以在沒有第三方（例如政府監管部門）干預的情況下做決定。這樣做不僅僅彰顯了對關鍵參與者的尊重，而且讓市場有效運轉并產生最大的總效用[7]。

2）減少信息不對稱

“通知—同意”原則使信息弱勢方（數據主體）能夠掌握充足的信息，盡可能消除數據控制者和數據主體間的信息不對稱，使數據主體能夠做出最利于自己的決定。信息不對稱可以分為隱蔽行動和隱蔽信息。隱蔽行動指一方影響另一方利益的行動難以被另一方所覺察或預測到[8]，如數據控制者在數據主體不知情的情況下隨意收集、使用、轉讓他們的個人信息，尤其是個人敏感信息，這有可能給數據主體帶來傷害。隱蔽信息是指判斷一方行動合理與否所需的信息難以為另一方所獲得[9]，比如，數據控制者進行個人信息收集、使用的范圍和目的等都很難被數據主體獲知?！巴ㄖ狻痹瓌t，于數據主體而言，能夠幫助其掌握充足的信息，進而盡可能做出最有利于自己的決定，而且可以降低信息的不對稱性，進而促進隱私市場更好地運轉;于數據控制者而言，其必須在收集、使用、轉讓個人信息之前獲得數據主體的同意;于隱私市場而言，它還能促進社會在隱私市場的投資[9]。

“通知—同意”原則要求必須要獲得數據主體的明示或隱含的同意才能處理個人數據。尤其是對于敏感數據，必須要獲得數據主體的明示同意，并且最好以能夠被記錄和保存的形式獲得同意。比如澳大利亞、馬來西亞和韓國等。

可見，“通知—同意”原則主要適用于個人數據，并最好采用“充分告知+明示同意=合法處理”模式，即數據控制者要求數據主體提供個人數據時，要向其發出充分告知并最好獲得書面的明示同意才可排除數據處理的違法性與數據控制者的侵權責任。

3?基于OECD個人數據分類的“通知—同意”原則的有效性困境

“通知—同意”原則的確立是以小數據時代的社會特征為坐標系的。于彼時，個人可以就少量的信息與信息處理者進行面對面的交流[22]，采取的是“充分告知+明示同意=合法處理”模式。當社會進入大數據時代后，數據量和數據處理模式都發生了根本性變化，導致“通知—同意”原則陷入了有效性困境。

3.1?“通知”的獲取成本上升

絕大多數數據控制者都會發送隱私通知給提供的數據主體，但是他們并不愿意閱讀，導致不能達到充分告知的目的?！洞髷祿讓m報告》也注意到“隱私疲勞”現象，并且發現即使美國廣告商提供數據使用信息，也沒有幾個人愿意閱讀或理解它[23]。數據主體不愿意閱讀“通知”的主要原因是通知的獲取成本上升，表現在：

第一，隱私通知的可讀性較低，導致獲取“真正的通知”成本上升?！疤峁┑臄祿敝黧w通常可以看到隱私通知，但是人們不愿意閱讀篇幅長、以法律術語書寫的、主要目的是為保護組織使用數據而并非告知數據主體的隱私通知[24]，問題的關鍵在于隱私通知的可讀性較低。筆者2012年對隱私政策可讀性調查也證實了這一點。澳大利亞、加拿大、克羅地亞、日本、新西蘭、英國和美國圖書館協會隱私政策的Flesch-Kincaid?Grade?Level平均值為14.8，這代表絕大多數國家的隱私政策需要大學及以上文化程度的人才能讀懂[25]。但現實是，數據主體不僅有高學歷用戶，還有低學歷用戶，一般低學歷用戶就很難讀懂隱私通知。因而，如果數據主體想讀懂隱私通知，就不得不付出大量成本獲取“真正的”通知。

第二，隱私通知的數據使用目的表述不清晰，導致獲取“有意義的通知”成本上升。事實上，即便隱私政策以較短的、分層的、結構化的、清晰的信息進行展示，人們也沒有認真花費時間閱讀隱私條款。這涉及到“實際的同意”和“有意義的同意”間的權衡（Trade-off）問題。雖然“提供的數據”數據主體可以閱讀到隱私政策，但是他們真的知道其同意的是什么嗎？就目前情況而言，答案似乎令人懷疑[26]。大數據應用目的在數據收集之初很難明確說明，而且數據使用也很難按照最初預期目的開展，很可能被用于其他目的。另外，大數據應用通常會通過一些設備或系統的復雜算法來完成。對于個人和監管部門來說，很多算法是不透明的，因為機構通常把它們視為自己的私有財產[27]。由于數據使用目的表述不清楚，如果數據主體迫切需要使用該服務，就不得不付出大量成本獲取“有意義的同意”。

3.2?“通知”不能充分保障數據主體的知情權

OECD《關于隱私保護與個人數據跨界流動的指導方針》（Guidelines?on?the?Protection?of?Privacy?and?Trans?Border?Data?Flows?of?Personal?Data）確立的個人參與、公開、目的明確等8項原則規定了公民對本人數據的知情權和控制權[28]。的確，數據主體有權知悉、了解、查詢與自己相關的個人數據收集者的權限范圍、收集目的、用途等。這是數據主體最重要的權利，也是行使其他權利的基礎，否則數據主體享有的其他法定權利都形同虛設。大數據環境下，“通知”很難確實保障數據主體的知情權，源自多重因素：

首先，向非“提供的數據”主體發送的“通知”變得虛無。目前大數據應用對象也會涉及觀測數據、派生數據和推斷數據等，它們是被動產生的、自動生成的，而非數據主體主動提供的。那么，隱私通知就變得虛無，這可能會產生問題，因為非“提供的數據”主體可能不知道數據正在被收集和處理，那么數據主體的知情權就沒有得到保障。

其次，數據主體的認知偏差。大數據環境下，非“提供的數據”并不總包含個人數據，比如，傳感器數據和天氣預報數據等觀測數據。的確，部分非“提供的數據”屬于非個人數據，但是非個人數據的累積可能會導致個別自然人信息可被識別。在某一臨界點之前，數據并沒有被認為是個人數據，但是臨界點過后，通過數據分析和處理可能會發現該數據指向一個真實的、確定的人[31]?？梢?，大數據應用很容易將非個人數據轉化為個人數據。由于數據控制者對非“提供的數據”與非個人數據認知存有偏差，導致其往往忽視對非“提供的數據”主體隱私通知的發送，進而造成數據主體的知情權沒有得到保障。

3.3?二元“同意”不利于個人數據保護

最初，“同意”通常都是二元同意，即要么同意要么拒絕。二元同意不是隱私架構師40年前所設想的，當時他們期望授權的個人能夠對數據處理做出知情決定。實際上，它肯定不是保護信息隱私或信息自由流動的最優機制。在“通知—同意”模式設立之初，個人一般能知道正在處理數據的機構、被收集的信息范圍和信息將如何被使用。如今，云計算、大數據和物聯網等技術的出現，與最初的“同意”所適用的環境已經完全不同。另外，傳統數據的點對點轉移正在被分布式系統流動代替，對個人而言很難知道哪個機構正在處理其個人數據。新的技術和商業模式導致個人數據正在被大量不可見的主體收集、共享并用于已知的和未知的目的，致使大量觀測數據、派生數據和推斷數據的誕生。由于二元同意僅反映了在最初環境下某個時刻的決定，因而它正在受到越來越多的挑戰[29]。

二元同意對于派生數據和推斷數據是不適用的，具體表現在：①二元同意的決定不是根據后來的挖掘加工環境而確定的。我們知道，隸屬于“二次數據”的派生數據和推斷數據，是在“一次數據”的基礎上進行挖掘、加工而產生的。因而，數據主體的同意是針對“一次數據”的使用目的而做出的，而非后來的挖掘加工環境，那么二元同意則無法適用于派生數據和推斷數據。②二元同意沒有賦予數據主體關于派生數據和推斷數據的撤回同意。如果人們沒有做出真正的同意，或者如果他們有撤回同意的想法但卻不能實現，那么該同意就不滿足個人數據保護標準[36]。尤其對“二次數據”而言，“一次數據”主體更應有撤回同意的權利，因為其可能根本不了解后來的數據使用環境和目的。作為數據主體，應該有權撤回同意，歐盟、馬來西亞等的數據隱私法也對這項權利賦予了法律地位。

3.4?“同意”不能有效實現數據主體的控制權

“通知—同意”的設立初衷是通過“同意”保障個人數據主體控制權。數據主體控制權包括數據主體的決定權和以維護個人數據準確性為核心的知情權、更正權等。數據主體對本人數據的控制權在數據主體各項權利中居于核心地位。然而，大數據時代，“同意”不能有效實現數據主體的控制權，具體表現在：

第一，數字環境下，同意已然成為一種形式化的行為。首先，“提供的數據”的同意存在意思表示瑕疵。很多情況下，用戶對“提供的數據”的“同意”也非真正的“同意”。比如，在極大多數情況下，用戶只要不同意手機App等互聯網應用要求用戶提供數據的概括同意，就完全無法使用或在相當程度上無法使用該App的服務。在這一事實情況下，用戶的“同意”只是一種無可奈何、不得不做出的“同意”[30]，同意成為不真實、不自由的瑕疵意思表示。至此，用戶被迫提供一些數據，且不清楚概括同意隱含的數據使用方式，導致用戶不能真正實現對其提供的數據的控制權。其次，暗數據導致數據主體未對同意產生影響。大數據環境下，用戶隨時隨地都會在網絡空間和現實生活中留下軌跡（即提供的數據和觀測數據），有些根本沒有被利用即成為暗數據（Gartner將暗數據定義為組織在常規業務活動中收集、處理和存儲的信息資產，但通常沒有被用于分析業務關系和直接產生經濟效益等）。然而，暗數據中可能暗藏風險，其中最大的問題是用戶自己都不知道哪些信息已經成為暗數據以及具體存儲位置[31]。在此情況下的同意有時會讓用戶產生一種能夠控制個人數據的錯覺，并使其更加相信他們可以對正在被處理的數據產生影響。實際上，用戶對正在被處理的數據并未產生真正意義上的影響，并且不能控制其個人數據。

第二，“通知”的虛無進一步導致非“提供的數據”主體不能實現控制權。首先，觀測數據和提供的數據一樣，也是由數據主體間接或被動“提供”的數據，例如位置數據、單擊活動或者步行或講話等特殊方式產生的[32]。對于觀測數據，通常都是設備、系統自動收集的數據，很難對觀測數據的主體發送隱私通知，那么數據主體的控制權自然難以實現，除非采用的是退出機制。其次，派生數據是從現存數據推斷出來的、但數據主體卻不知道的數據。比如，病人的派生數據可能涉及具體的健康特征（如骨密度）和統計信息（如疾病風險）。因為病人不知情派生數據的存在及其后續的披露[33]會引起很多問題，甚至使問題變得更加棘手，因為很難與數據主體取得聯系并獲得其同意。再次，推斷數據可用于個人分類，那么就能識別出某個具體的個人，隨之會產生隱私風險，比如，從Facebook和Twitter數據可以推斷出抑郁癥的易感性，微軟公司同樣可以通過搜索引擎的交互數據預測Parkinson疾病和Alzheimer疾病等[42]。這些推斷數據應該歸入個人數據，那么對于它的使用同樣需要取得原始個人數據主體的同意。但是，推斷數據主體的追溯很困難，導致很難發送通知。

4?“通知—同意”原則的解困之路

“通知—同意”原則的上述有效性困境雖客觀存在，但卻不能因此得出“通知—同意”原則無存在必要的結論。全然否定“通知—同意”原則，是對必要性和有效性的混淆。必要性回答的是法律制度“是否具有正當性”，是對制度設計價值的考察，有效性回答的是“實施效果如何”，是對制度實施功效的檢測[34]。僅憑有效性問題無法訴諸對“通知—同意”原則的否定，“在個人和信息處理者的不對等關系中，權利人同意是一個最好的制約性權利”[35]。因而，要進一步采取一些措施改進“通知—同意”原則使其繼續發揮其獨特價值。

4.1?降低通知的獲取成本

由于隱私通知的可讀性較低、數據使用目的表述不清晰，導致隱私通知獲取成本上升，因而，可以從下述兩個方面降低隱私通知的獲取成本。

1）使用目的要清晰界定

根據歐盟、澳大利亞的數據隱私法及我國國家標準《信息安全技術?個人信息安全規范》等的規定，隱私通知內容要易理解，并使用具體的文字和簡單的句子結構。要做到容易理解，隱私通知就要給出詳細的解釋。簡單地描述數據使用目的，比如“開發新服務”“提供個性化的服務”這樣的通用目的是不夠的，因為它沒有描述服務是什么、如何利用數據開發、什么涉及到個性化等[36]。大數據應用目的必須要在隱私通知中明確界定，以便數據主體據此做出是否同意的決定。雖然在數據收集之初就預測數據使用目的很困難，但數據分析機構也必須盡早識別數據處理目的，并與數據主體溝通，以便降低主體被誤導的幾率。當大數據分析的后期階段將大數據用于不同目的時，需要相應地更新隱私通知，確保主體了解新內容并決定是否繼續給予同意[37]。

2）政策文本可讀性要提高

根據中國互聯網絡信息中心調查[38]，截至2018年6月，初中、高中/中專/技校學歷的網民占比分別為37.7%和25.1%。顯然，隱私通知面對的潛在數據主體有高學歷的人群，也有低學歷的人群。由于數據主體學歷層次不同，因此必須提高隱私通知的可讀性，以便于任何學歷的用戶都能讀懂。所以，隱私通知既要短小、易懂，也要用簡潔的語言全面表達所需的內容。加拿大數據隱私法就要求機構提高隱私通知文本的可讀性，使其能夠保護更多弱勢群體，例如兒童和精神障礙者，還要求機構盡可能確保通知用戶的語言不能復雜難懂[39]。

4.2?創新性地提供隱私通知

“通知”不能充分保障數據主體的知情權，原因之一就是隱私通知沒有以合適的方式提供給數據主體。因而，可以采取創新的方式提供隱私通知，這一點也反映在歐盟GDPR、加拿大PIPEDA中，它們都為隱私通知的創新提供方式預留了空間。創新性地提供隱私通知，既能便于用戶及時獲取隱私通知，又能充分保障用戶的知情權。

針對提供的數據，創新性的隱私通知可以是用戶發出請求時的網站隱私聲明、彈出式通知、懸停通知、視頻、語音提示、信息圖表、視窗，甚至是口頭交流等[48]。例如，YouTube視頻的Channel4采用的是伴隨型的隱私通知[40]，The?Guardian[41]和O2[42]使用卡通動畫來解釋其隱私通知。一種比較典型的創新性隱私通知是Just-in-time通知。英國信息委員辦公室認為Just-in-time通知可以作為一種清晰的、有效的隱私通知業務規則來使用[43]。Just-in-time通知是在數據收集者訪問敏感數據時立即向用戶發出的簡短通知，但同時包含可以提供詳細隱私信息的鏈接[44]。

對于觀測數據而言，為了保障觀測數據主體的知情權，當用戶進入某些會自動捕獲用戶數據的場景時，數據控制者應該創新性提供隱私通知，賦予其知情權，使用戶知道該場景會自動捕獲個人數據，然后用戶可以決定是否退出該場景。具體而言，針對觀測數據的創新性隱私通知方法可以是語音提示、彈出式通知，甚至是在顯著的位置上粘貼隱私通知等。

4.3?推行分等級同意和撤回同意

1）分等級同意

簡單的二元同意可以減少用戶負擔和降低對機構的要求，然而它卻增加了不同意的可能性[45]，因此它不適用于大數據應用。大數據環境下可以采用分等級同意，它超越了簡單的二元同意。分等級同意是指“個人可以對數據的某些使用給予同意，另外的某些使用給予不同意，而無需全部同意或全部拒絕”，可以使人們同意或不同意對數據的各種不同使用，而不是一個最初簡單的二元選擇[49]。

分等級同意是一種符合法律的、倫理的和經濟推理的有用工具。它體現了人類社交世界的深層結構，在合同法和侵權行為法的框架中這一特征尤其明顯。分等級同意理論確立了測量各種人際關系的合理標準，為諸如執行標準協議、證明政治脅迫正當以及識別憲法意義等這樣的老問題提供了令人意想不到的答案[46]。事實上，加拿大PIPEDA就引進了分等級標準——“按比例浮動（Sliding?Scale）”獲得有效的同意，其規定“如果有理由預期機構活動所針對的個人了解其同意的個人信息收集、使用或披露的性質、目的和后果”，個人的同意才會有效[47]。

2）撤回同意

短期研究經常會忽略維持同意的問題，因為參與者撤回同意的可能性不高。對于長期研究而言，尤其當參與者不記得當時的同意內容時，“通知—同意”的周期性更新則顯得非常必要了。比如用戶接受了一個商業軟件的協議條款后，通常的假設就是除非用戶完成卸載軟件，否則就是同意使用條款。當協議條款發生變化，例如在升級卸載的情況下，可能需要再度征求用戶同意。然而，商業軟件通常把撤回同意的責任強加在用戶身上，要求他們自行退出[48]。因此，要賦予數據主體以隨時撤回其同意的權利。比如，歐盟、加拿大、馬來西亞的數據隱私法就有相應的規定。

4.4?實施“情境合理+擬制同意”模式

明示同意因其過高的標準與非“提供的數據”相背離，使得“通知—同意”原則陷入有效性困境。因此，可以考慮在明示同意之外增加擬制同意，以綜合的情境合理判斷替代單一的告知前提，從而縮減信息自決空間、降低同意生效標準、增強適用靈活性?？梢酝菩小扒榫澈侠?擬制同意=合法處理”模式，適用邏輯為只要確保信息處理過程通過情境合理測試，則無需明示同意也可構成與明示同意效果相同的合法處理。其中“情境合理”是擬制同意適用的前提與假定，“擬制同意”是決定規范如何處理的法律行為，“合法處理”是滿足上述兩項要件之后的法律效果。情境合理測試應包含下述方面：①首先排除法定明示同意情形之適用，其中涉及未成年人信息處理、自動化決策、敏感數據等;②考察數據控制者義務履行和規則遵守情況;③初次使用看環境、二次使用看目的;④從數據最小化轉向風險最小化。由于派生數據和推斷數據這些“二次數據”依賴于“一次數據”的后續挖掘，故應以風險最小化理念替代信息最小化標準[49]。

4.5?增設合理推斷權以強化數據隱私保護

當前只有二元選擇的“通知—同意”原則不是有效的隱私保護策略。比如，消費者權益保護法就說明了賦權（“通知—同意”原則）和其他隱私保護規則如何一起作為法律的輔助工具保護用戶權利[50]。因此，為了使“通知—同意”原則繼續有效，不應該只是賦權，還應該通過法律強化隱私保護，比如在數據隱私法中增設合理推斷權保護派生數據和推斷數據等“二次數據”。若干國家數據隱私法旨在保護人們的隱私、身份、聲譽和自主權，但目前未能保護數據主體免受推斷分析的新風險。在歐洲，個人數據的廣義概念可以解釋為涉及或影響個人的推斷、預測和假設。推斷可定義為通過演繹或推理而不是僅僅從數據主體處觀察或收集而產生的與被識別或可識別的自然人有關的信息。進一步地，GDPR第29條工作組《關于分析和自動化決策的指南》認為“個人的派生或推斷數據是數據主體本身沒有直接提供的、‘新個人數據”。顯然，通過推斷產生的派生數據和推斷數據屬于個人數據，那么數據主體就需要防范推斷數據和派生數據帶來的隱私風險。然而，現有的數據隱私法沒有關于對侵犯數據主體進行不合理推斷的問責，使得對數據主體的權利保護不充分。為了彌補問責缺口并促進推斷的正當性，可以在數據隱私法中增設“合理推斷權”。“合理推斷權”有助于消除目前由“高風險推斷”造成的問責差距?！案唢L險推斷”指的是通過大數據分析得出的、具有隱私侵入性或有損聲譽的推斷，或在用于重要決策時具有預測性或基于觀點的可驗證性較低的推斷。在算法對個人做出“高風險推斷”的情況下，數據推斷權將要求數據控制員事先提供理由，以確定所作推斷是合理的[42]。

5?結?語

大數據環境下，“通知—同意”原則的有效性受到了質疑，陷入了通知的獲取成本上升、通知不能充分保障數據主體的知情權、二元同意不利于個人數據保護、同意不能有效實現數據主體的控制權等困境。為了消解“通知—同意”原則的有效性困境，本文提出了降低通知的獲取成本、創新性提供隱私通知、推行分等級同意和撤回同意、實施“情境合理+擬制同意”模式、增設合理推斷權以強化數據隱私保護等策略，期望“通知—同意”原則繼續發揮其獨特的價值。

參考文獻

[1]Working?Party?on?Security?and?Privacy?in?the?Digital?Economy.Summary?of?the?OECD?Privacy?Expert?Roundtable：Protecting?Privacy?in?a?Data-driven?Economy：Taking?Stock?of?Current?Thinking[EB/OL].https：//www.oecd.org/officialdocuments/publicdisplaydocumentpdf/？cote=dsti/iccp/reg（2014）3&doclanguage=en，2019-01-10.

[2]Information?Commissioners?Office.Big?Data?and?Data?Protection[EB/OL].https：//rm.coe.int/big-data-and-data-protection-ico-information-commissioner-s-office/1680591220，2019-01-10.

[3]Sloan?R?H，Warner?R.Beyond?Notice?and?Choice：Privacy，Norms，and?Consent[J].J.High?Tech.L.，2014，（2）：370-412.

[4]Nissenbaum，Helen.A?Contextual?Approach?to?Privacy?Online[J].Journal?of?the?American?Academy?of?Arts?&?Sciences，2011，（3）：32-48.

[5]Federal?Trade?Commission.Privacy?Online：A?Report?to?Congress[R/OL].https：//www.ftc.gov/sites/default/files/documents/reports/privacy-online-report-congress/priv-23a.pdf，2019-01-10.

[6]秦天寶.遺傳資源獲取與惠益分享的法律問題研究[M].武漢：武漢大學出版社，2006：367.

[7]Nissenbaum，Helen.A?Contextual?Approach?to?Privacy?Online[J].Journal?of?the?American?Academy?of?Arts?&?Sciences，2011，（3）：32-48.

[8]朱貽庭.應用倫理學辭典[M].上海：上海辭書出版社，2013：138-139.

[9]張民安，林泰松.信息性隱私權研究：信息性隱私權的產生、發展、適用范圍和爭議[M].廣州：中山大學出版社，2014：316.

[10]徐麗枝.個人信息處理中同意原則適用的困境與破解思路[J].圖書情報知識，2017，（1）：6-13.

[11]姚秋英.人格權研究[M].北京：中國政法大學出版社，2012：138.

[12]蔣舸.個人信息保護法立法模式的選擇——以德國經驗為視角[J].法律科學：西北政法學院學報，2011，29（2）：113-120.

[13]（英）洛克.政府論（上冊）[M].葉啟芳，瞿菊農，譯.北京：商務印書館，2013：74.

[14]丁曉東.歐盟《一般數據保護條例》（GDPR）[EB/OL].https：//mp.weixin.qq.com/s/aYzMpuZDy5_Y9vsJP8KDBQ，2019-01-10.

[15]Privacy?Guide：A?Guide?to?Compliance?with?Privacy?Laws?in?Australia[EB/OL].https：//www.nfplaw.org.au/sites/default/files/media/Privacy_Guide_Cth.pdf，2019-01-10.

[16]PIPEDA?Fair?Information?Principle?3-Consent[EB/OL].https：//www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/p_principle/principles/p_consent/，2019-01-10.

[17]Transfers?of?Personal?Data?from?Malaysia：Understanding?the?Requirements?of?the?Personal?Data?Protection?Act?2010[EB/OL].https：//www.financierworldwide.com/transfers-of-personal-data-from-malaysia-understanding-the-requirements-of-the-personal-data-protection-act-2010/#.XC2z11UzbDc，2019-01-10.

[18]Michael?Young.New?Malaysian?Data?Privacy?Law[EB/OL].https：//www.alstonprivacy.com/new-malaysian-data-privacy-law/，2019-01-10.

[19]Korea?Personal?Information?Protection?Act[EB/OL].http：//koreanlii.or.kr/w/index.php/Personal_Information_Protection_Act，2019-01-10.

[20]Ko?H，Leitner?J?M，Kim?E，et?al.Structure?and?Enforcement?of?Data?Privacy?Law?in?South?Korea[J/OL].Brussels?Privacy?Hub?Working?Paper，2016，2（7）.https：//www.brusselsprivacyhub.org/publications.html，2019-01-10.

[21]吳衛軍，徐巖.法治視野中的行政權之規制[M].北京：電子科技大學出版社，2017：45-46.

[22]田野.大數據時代知情同意原則的困境與出路——以生物資料庫的個人信息保護為例[J].法制與社會發展，2018，24（6）：111-136.

[23]Executive?Office?of?the?President.Big?Data：Seizing?Opportunities，Preserving?Values[EB/OL].https：//obamawhitehouse.archives.gov/sites/default/files/docs/20150204_Big_Data_Seizing_Opportunities_Preserving_Values_Memo.pdf，2019-01-10.

[24]Information?Commissioners?Office.Big?Data，Artificial?Intelligence，Machine?Learning?and?Data?Protection[EB/OL].https：//ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf，2019-01-10.

[25]王英.若干國家和地區圖書館協會隱私政策的內容分析[J].大學圖書館學報，2012，（5）：46-5，27.

[26]Daniar?Supriyadi.Personal?and?Non-personal?Data?in?the?Context?of?Big?Data.Tilburg?University[EB/OL].http：//arno.uvt.nl/show.cgi？fid=142300，2019-01-10.

[27]Citron?D?K，Pasquale?F?A.The?Scored?Society：Due?Process?for?Automated?Predictions[J].University?of?Maryland?Francis?King?Carey?School?of?Law，Legal?Studies?Research?Paper，2014，89（8）.

[28]李朝暉.個人征信中信息主體權利的保護——以確保信用信息公正準確性為核心[J].法學評論，2008，（4）：31-36.

[29]The?Policy?and?Research?Group?of?the?Office?of?the?Privacy?Commissioner?of?Canada.Consent?and?Privacy[EB/OL].https：//www.priv.gc.ca/en/opc-actions-and-decisions/research/explore-privacy-research/2016/consent_201605/，2019-01-10.