論企業違反網絡隱私政策的違約責任適用

陽雪雅

(西南大學 法學院，重慶 400715)

引言

當我們越來越習慣于網絡世界時，網絡經營者收集或利用用戶數據成為其直接或者間接營利的方式。如2019年，百度在線廣告收入就達781億元，占營收比重72.7%。(1)參見魏蔚：《百度2019年營收1074億元凈利182億元》,http://www.bbtnews.com.cn/2020/0228/338618.shtml(北京商報網)，2020年4月23日訪問。為了讓廣告投放精準高效，利用個人信息的用戶“畫像”(profiling)，成為網絡服務提供者的殺手锏。(2)參見張新寶：《“普遍免費+個別付費”：個人信息保護的一個新思維》，載《比較法研究》2018 年第5期。可見，網絡經營者收集或利用用戶個人信息是其避免向消費者收費的一種有效方法。為了規避法律風險，“通知”與“同意”機制成為網絡經營者普遍采用的模式，該模式以隱私政策的形式向在線服務用戶提供有關服務信息和隱私實踐的通知。根據這些信息，用戶可以選擇是否使用特定的在線服務，以及是否行使這些服務可能提供的保護其隱私的任何選項。(3)參見Thomas B.Norton, The Non-Contractual Nature of Privacy Policies and a New Critique of The Notice and Choice Privacy Protection Model, Fordham Intellectual Property, Media and Entertainment Law Journal Fall,2016.不可否認，網絡經營者的隱私政策在保護信息主體個人信息方面起到了一定作用，但是網絡經營者違反隱私政策侵犯個人信息的情形還是時有發生。

2018年中國消費者協會發布《100款APP個人信息收集與隱私政策測評報告》，測評結果顯示，當前有關隱私條款還是存在十分突出的問題。主要表現為：(4)參見中國信息安全編輯部：《App個人信息收集與隱私政策相關報告摘編》，載《中國信息安全》2019年第4期。(1)網站隱私條款不明顯，或者內容比較冗長。即使隱私政策透明度較高的百度表現也不盡如人意。百度主頁沒有直接顯示任何與“隱私”有關的字眼，點擊“使用百度前必讀”，才會看到“百度隱私政策總則”。(2)隱私條款大都比較概括，個人信息主體很難全面了解個人信息使用、共享、轉讓等具體情況。(3)隱私政策缺乏方便快捷的訪問、修改、刪除個人信息的途徑。(4)有的隱私政策存在強迫接受情形，如用戶不接受就不能享受相應網站的服務。面對隱私政策自身存在的問題，隱私政策作為網絡經營者自我監管的工具亟需完善。

過去，法學界對網絡經營者的協議更多聚焦于網絡平臺用戶協議研究，對隱私政策關注較少。高秦偉在《個人信息保護中的企業隱私政策及政府規制》一文中特別強調應加強政府、企業和行業組織的合作規制，該文對完善隱私政策提供了十分有益的法學思考。(5)參見高秦偉：《個人信息保護中的企業隱私政策及政府規制》, 載《法商研究》2019年第2期。我國近兩年關注隱私政策的法學研究雖有增加，(6)近兩年文獻比較集中，如王葉剛：《網絡隱私政策法律調整與個人信息保護：美國實踐及其啟示》，載《環球法律評論》2020年第2期；李延舜：《我國移動應用軟件隱私政策的合規審查及完善——基于49例隱私政策的文本考察》，載《法商研究》2019年第5期；馮洋：《從隱私政策披露看網站個人信息保護——以訪問量前500的中文網站為樣本》，載《當代法學》2019年第6期；侯進令：《網絡隱私權政策司法裁判標準之建構》，載《廣西政法管理干部學院學報》2018年第3期。但相較于其他學科，還稍顯冷清。新聞學、信息學等學科的文獻更多集中于如何完善隱私政策的表現形式、隱私政策條款設計、隱私政策內容等方面。法學界對隱私政策的較少關注主要基于以下原因：第一，法律更多是對現實問題的回應，企業通過隱私政策自我規制以實現對個人信息的保護正處于發展階段，法律還未及時跟進。第二，企業使用“隱私政策(privacy policy)”或者“隱私聲明(privacy statement)”的表達一方面體現自我規制，另一方面寄希望于它是企業的道德聲明，并未意圖約束企業與消費者。第三，個人信息主體由于企業違反隱私政策而主張個人信息保護的案例比較少。在個人信息、隱私權民法保護均不完善的前提下，我國司法機關采取了將個人信息附屬于隱私權進行保護的方式。(7)參見王秀哲：《大數據時代個人信息法律保護制度之重構》，載《法學論壇》2018年第6期。在寫作該文時，本人以“隱私政策”作為關鍵詞在北大法寶進行案例檢索，法寶推薦118個案例，典型案例1例，對案例分析后，與隱私政策直接相關案例只有8例。個人信息主體一般直接以企業收集、處理或利用個人信息具有違法性而提起侵權之訴，隱私政策并未直接作為個人信息保護的基礎。雖然我國法學界對隱私政策缺乏關注，但是這應該是暫時現象，畢竟企業隱私政策已經出現了很多現實問題，也亟需要法學界的研究。

一、厘清網絡隱私政策的合同性質

從最廣泛的意義上來說，隱私條款是網絡經營者對其所開展的收集、保存、使用、共享等個人信息處理行為的說明。(8)參見洪延青：《網絡運營者隱私條款的多角色平衡和創新》，載《中國信息安全》2017年第9期。當然該隱私政策調整的是個人信息，而非傳統意義的個人隱私。隱私政策旨在提高網絡信息實踐的透明度，有了這個通知，用戶可以根據隱私偏好選擇是否使用相應的網站服務，該種模式就是“通知和選擇”。隱私政策與網絡經營者的服務協議存在很大區別，隱私政策通常采用瀏覽形式，用戶在使用本網站服務前不強制要求必須訪問和查看隱私政策。從形式上，它更像網絡經營者對用戶個人信息保護作出的聲明，因此有的網站也將它稱為“隱私聲明”。(9)如華為提供的就是《華為消費者業務隱私聲明》。

不可否認，很多情形下，網站的經營活動與個人信息存在一定的關系，以某購物網站隱私政策規定為例：我們會出于購物目的，收集和使用您的個人信息：(1)幫助成為網站的會員；(2)展示和推送商品和服務；(3)下單；(4)支付功能；(5)交付產品或服務功能；(6)客服與售后功能等。正因為隱私政策采用browse wrap(點擊瀏覽)形式，很多情形下你或許根本未了解，甚至也未同意，但是網絡經營者卻收集、使用了你的信息，而企業的行為在隱私政策范圍內往往是合法的，因為企業通過隱私政策進行了告知。隱私政策的性質如何界定，則成為保護用戶個人信息的關鍵。

反對隱私政策合同說的觀點成為學界主流觀點，其理由如下：(1)隱私政策的browse wrap形式旨在實現用戶瀏覽，并不是為了獲得用戶同意才生效，而網絡經營者的用戶協議采用click wrap形式(點擊同意)，則需要用戶同意，因此用戶協議是合同，而隱私政策一般不是合同。(2)用戶很難就隱私政策違約提出合同索賠，因為原告證明違約損害存在困境，僅僅因為個人信息被侵犯而提出情感傷害的索賠，并不足以構成違約損害賠償指控。(10)參見Rudgayzer v.Yahoo! Inc., No.5:12-CV-01399 EJD, 2012 WL 5471149, at *6(N.D.Cal.Nov.9, 2012).其實違反隱私政策難以證明財產損害在侵權訴訟中也一樣會遇見，僅僅是輕微的精神損害得不到救濟，只有嚴重的精神損害才能得到救濟。但是從損害證明的角度，個人信息侵權損害比個人信息違約損害更容易實現，其根本原因就在于個人信息并不視為財產，即使個人信息具有人格屬性與財產屬性，因此單純以違反隱私政策侵犯個人信息主張違約賠償，如何衡量財產價值也很難實現。(3)理論上允諾禁反言規則能否作為違約索賠的依據也存在一定爭議。允諾禁反言作為英美法系的傳統規則，是在合同法上約因理論對合同限制過窄的基礎上而產生，表現為即使不存在約因，但是可以根據允諾禁反言規則主張信賴利益的保護。從這個角度，允諾禁反言的保護，實際上是通過侵權進行保護。合同法上的允諾禁反言是指一方做出允諾，如果另一方依賴允諾，即使合同的基本要素(如損害賠償)沒有得到滿足，該允諾也可以被執行。(11)RESTATEMENT(SECOND)CONTRACTS § 90(1)(AM.LAW INST.1981).對于隱私政策，以允諾禁反言尋求合同法保護存在很大的障礙，因為用戶很難證明是因為對隱私政策的信賴而使用企業的服務。畢竟從網絡活動產生之初，用戶是因為網絡經營者的免費服務而愿意接受其服務，并非基于隱私政策的信任而接受其服務。網絡經營者采用免費方式，獲取用戶的流量和對網站的黏性度，約束網站和用戶的合同呈現的是用戶協議。

隱私政策的思想可追溯于美國“關于個人數據自動系統的建議小組”(Advisory Committee on Automated Personal Data Systems)在1973 年首先發布的“公平信息實踐準則”，(12)參見丁曉東：《論個人信息法律保護的思想淵源與基本原理——基于“公平信息實踐”的分析》，載《現代法學》2019年第3期。但是企業將隱私政策作為企業收集、利用個人信息的合規文本卻是在個人信息日益重要的今天才被逐漸重視。網絡的野蠻發展時代，我國很多企業沒有完善的隱私政策，甚至根本就沒有制定隱私政策，2018年南都個人信息保護研究中心發布的《2018年度常用App隱私政策透明度排行榜》中仍然有不少企業沒有隱私政策或使用不合理的隱私政策，(13)參見中國信息安全編輯部：《App個人信息收集與隱私政策相關報告摘編》，載《中國信息安全》2019年第4期。可見用戶并不是基于對隱私政策的信賴而與企業產生交易或服務關系，允諾禁反言很難成為違約救濟的充分理由。

隱私政策非合同說影響了個人信息保護的實踐。非合同說觀點下，企業違反隱私政策本身并不足以讓企業承擔違約責任，民事救濟領域只能尋求侵權保護，而侵權損害的不確定性又成為民事救濟最大的障礙，如Bose v.Interdick一案中，Bose 指控Interdick使用“flash cookie”，法院認為收集人口資料并不構成對消費者的損害或對收集者的不公正得利。此外，法院將互聯網上的廣告比作電視或報紙上的廣告，因此，即使Bose采取措施阻止數據收集，原告的傷害仍然不足以達到實質性損害程度。(14)參見Laura Fleming, How Much Dose J.Crew Really Know About You?: The Harsh Reality of a Mega-Retailer’S Privacy Policy, Syracuse Journal of Science & Technology Law Spring, 2015.即使有的案件認定為侵權，但是侵權賠償也很低。如我國俞某與浙江天貓網絡有限公司等網絡侵權責任糾紛一案，法院判決被告賠償原告俞某經濟損失1元。(15)參見(2018)京0108民初13661號判決書。可見相較于違約救濟，對個人信息通過侵權救濟，并不具有明顯的制度優勢。

隱私政策非合同說真的堅不可摧嗎？該學說的理論就是瀏覽協議不能成為合同，點擊同意協議可以成為合同，前者不可以強制執行，后者可以強制執行。為了使隱私政策成為合同，Madelyn Tarr提出用戶必須以click wrap或者其它可強制執行的形式有效同意公司的隱私政策，而不僅僅是他們已經閱讀了隱私政策。(16)參見Madelyn Tarr, Accountability is the Best Privacy Policy: Improving Remedies for Data Breach Victims Through Recognition of Privacy Policy as Enforceable Agreements, Georgetown Law Technology Review Fall, 2018.

單純的瀏覽協議很難成為合同的理論根植于傳統紙質合同形式，合同書體現了要約的所有內容，如果沒有同意即承諾，何謂合同成立？當然電子合同也必須存在要約與承諾，承諾形式往往體現為click wrap形式即點擊同意形式。隨著網絡經營活動的發展，瀏覽授權協議越來越被更多人接受，隱私政策要成為合同，隱私政策就必須出現彈出模式，讓用戶能瀏覽，從而選擇該網站服務。可見，以雙方當事人親自協議而成立的合同條款的理想模式為基礎的傳統契約法，已變遷至所剩無幾。(17)參見侯進令：《網絡隱私權政策司法裁判標準之建構》，載《廣西政法管理干部學院學報》2018年第3期。企業規避隱私政策合同性的方式就是很多隱私政策是以企業聲明或通知方式呈現。更有甚者，有的企業將隱私政策并未直接放在網站首頁，需要層層點開才能出現。

歐盟《一般數據保護條例》確立了個人信息同意原則，我國立法也借鑒了同意原則。落實同意原則就是通過隱私政策實現，雖然現行規定強調積極同意原則，但實踐中對于一般個人信息的默示同意也大量存在，何謂默示同意？即用戶未明確拒絕網絡經營者的收集或處理個人信息的行為就視為同意。

如何對待此類隱私政策，僅僅從要約和承諾的程序來觀察，失之偏頗，應對用戶與網絡經營者的法律關系進行更深入的梳理。網絡經營發展之初，企業提供網絡服務主要是為了獲得用戶的流量，提高用戶對網站的黏性度，并不看重用戶的個人信息，網絡經營者收集用戶個人信息的自我約束規則體現在用戶協議內容里面。隨著大數據的發展，用戶個人信息的價值日益突顯，這就催生了網絡經營者對用戶個人信息的需求。網絡經營者為了規避合同的約束，當然愿意選擇將隱私政策從用戶協議中脫離出來，甚至有的企業根本不規定隱私政策。(18)在訪問量排前500位的網站大樣本中，有152個網站未披露隱私政策。參見馮洋：《從隱私政策披露看網站個人信息保護——以訪問量前500的中文網站為樣本》，載《當代法學》2019年第6期。雖然我國至今未制定《個人信息保護法》，但是《網絡安全法》《電子商務法》《信息安全技術個人信息安全規范》《互聯網個人信息安全保護指南》等硬法和軟法的出臺對網絡經營者收集、處理或利用個人信息提供了規范指引，其中網絡經營者制定隱私政策就是其合規的表現。因此現在網絡經營者單獨制定隱私政策并不僅僅為了聲明，而是希望能取得用戶對個人信息的授權，同時企業為用戶提供免費或有償的網絡服務。

目前免費的網絡服務仍是網絡經營活動的常態，用戶如果不授權企業對個人信息的使用，則用戶也無法享受網絡企業的服務，個人信息的授權與企業的服務形成對價關系，即使用戶未直接對隱私政策點擊同意，甚至也未瀏覽隱私政策，(19)很多網絡經營者并未將隱私政策放置在首頁，有的是通過超鏈接的展示。但是用戶能使用企業網絡服務的前提就是用戶已經默示同意了該隱私政策，這從另外的層面解釋了一般個人信息默示同意的理論基礎。不過對于敏感信息、共享、超出目的的二次利用等對用戶利益影響重大的收集、處理等行為必須征得用戶的明示同意。

基于此，面對網絡經營者利用爬蟲抓取其他平臺個人數據的情形，由于被抓取個人數據的用戶未與該網絡經營者形成網絡服務關系，也就不存在提供個人信息的對價，該抓取行為對于用戶缺乏合理性。但是過分強調私權控制用戶的個人信息或者已經公開的個人信息財產利益，容易造成被爬取企業的數據壟斷，形成新的數據鴻溝，最終損害用戶等消費者利益，也不利于形成正當的數據競爭秩序。因此對于數據爬蟲行為，在保護用戶數據隱私的基礎上，可以區分場景判斷爬蟲行為的合理性，以促進數據的共享與互聯互通。(20)參見丁曉東：《數據到底屬于誰？——從網絡爬蟲看平臺數據權屬與數據保護》，載《華東政法大學學報》2019年第5期。對于用戶與爬蟲企業的權利義務關系，爬蟲行為的界限可以借鑒知識產權的合理使用與法定許可制度，如果爬蟲行為具有非營利性或者具有較大的社會福利，則允許合理使用。如果爬蟲行為是營利性的，可以適用法定許可，由用戶享有報酬，強制在用戶與爬蟲企業之間形成個人信息授權使用合同。可見對用戶個人信息的保護，在侵權救濟的基礎上可以借助合同理論進行更充分保護。

隱私政策合同說還可以通過隱私政策的內容進一步證明，隱私政策條款并不是網站對自己義務的單方聲明，也包括用戶義務。如《百度隱私政策總則》規定：您注冊百度賬號時須至少向我們提供賬號名稱、手機號碼及電子郵箱，并創建密碼……您使用我們的特定產品和服務時……您可能還需要進一步向我們提供與上述產品和服務的功能相關的信息……可見隱私政策的內容體現的是企業在提供某項服務時就需要收集、使用或者以其他方式處理用戶的個人信息，企業的隱私政策本質上是對企業和用戶雙方的權利義務規定，即企業提供服務時，用戶應允許企業收集或處理信息，用戶承擔作為或不作為的義務。民法義務的來源或者基于法定，或者基于約定，很明顯用戶對個人信息的容忍義務既然不是來自法定義務，則當然來自約定義務，即來自隱私政策協議的內容。可見，隱私政策并不是企業的單方聲明，也有對用戶的約束。同時隱私政策植根于企業與用戶的網絡活動，如果是browse wrap形式，雖然形式上缺乏用戶的同意，但實質上用戶能享受網絡企業的服務，同時用戶讓渡了個人信息的部分權利，實際上用戶已經同意了企業隱私政策的內容。

可見隱私政策的通知是企業的要約，用戶選擇了企業的服務，則表現為用戶的同意，企業收集或處理用戶的個人信息，則是企業履行行為，用戶主動提供或客觀容忍企業收集或處理個人信息，體現為用戶的履行義務，隱私政策作為合同是以用戶選擇企業服務的行為作為承諾的表現。隱私政策的“通知選擇”模式中的“選擇”本身就是同意的表現，當然這種“同意”與“點擊同意”存在一定的區別，“點擊同意”稱為積極同意，“選擇服務”方式稱為“默示同意”。考慮到個人信息有一般個人信息與敏感個人信息的區別，國內外的個人信息保護規定都強制要求敏感個人信息必須采用積極同意的方式。我國《網絡安全法》第三十五條規定，網絡運營者收集、使用公民個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。這里并未區分積極同意還是默示同意，即使采用較為狹窄的“積極同意說”，實踐中企業收集或處理個人信息，僅僅通過用戶協議并不能實現企業所有涉及用戶個人信息的活動，隱私政策正好能使企業收集或處理個人信息規范化，但是“同意”要件本身并沒有缺失，隱含在用戶的選擇服務行為中。我國首個個人信息保護國家標準——《信息安全技術公共及商用服務信息系統個人信息保護指南》區分了一般個人信息與敏感個人信息，敏感信息必須征得用戶的積極同意，(21)《信息安全技術公共及商用服務信息系統個人信息保護指南》第5.2.3條規定，處理個人信息前要征得個人信息主體的同意，包括默許同意或明示同意。收集個人一般信息時，可認為個人信息主體默許同意，如果個人信息主體明確反對，要停止收集或刪除個人信息；收集個人敏感信息時，要得到個人信息主體的明示同意。法治意識比較強的企業在涉及用戶的敏感信息時，會對用戶使用界面形式彈出“同意”選項，征得用戶的明示同意。可見，我們不能以“同意”形式不同否定默示同意的承諾性。

毫無疑問，兩種同意形式在保護用戶個人信息力度方面肯定存在差異，默示同意更容易使用戶疏忽對自己個人信息的重視，但是這并不能否認隱私政策也存在用戶的同意。正因為隱私政策的網絡特殊性，才使同意隱含在用戶選擇服務的行為中，該觀點也并未違背合同法的傳統理論，承諾可以根據交易習慣或雙方約定以行為的方式做出。企業的隱私政策是統一的，從技術上“一對多”的點擊同意模式完全可行，但是很多企業為了更便利地收集或處理用戶個人信息，選擇了瀏覽(browse wrap)模式，用戶知情并同意模式隱藏在“選擇”服務行為中，這是很多企業制定隱私政策的實踐，該種交易習慣認可了行為的承諾方式。即使紙質環境下，雙方當事人存在一份瀏覽協議，受允諾方即使未明示同意，但是履行了主要義務的，對方接受的，該瀏覽協議成立。當然用戶與企業之間存在付費的網絡服務關系，也不影響企業隱私政策的合同性質，用戶的付費是對特定服務的對價，但是用戶選擇該企業的對價仍然是個人信息的讓渡。

綜上，本文所闡釋的合同說是在網絡服務的特殊背景下解讀隱私政策合同說，為了保護用戶利益，應當賦予用戶隨時終止隱私政策合同的權利，即無條件解除權，以彌補用戶未充分了解隱私政策內容的合意不足。因此，網絡經營者應當為用戶退出網絡服務、刪除個人信息等解除隱私政策合同的行為提供程序與實體的權利保障。

至目前，司法實踐中違反隱私政策承擔違約責任的案例并不多，這方面的學術研究也比較冷清，但是個人信息的重要性毋庸置疑，僅以侵權法視角進行救濟，并不符合個人信息收集利用現狀。合同法的有名合同主要針對的是有體物合同或者服務合同，技術合同除外。而個人信息的財產性質決定了其也有可能成為合同客體，周江洪建議構建個人信息類合同，(22)參見周江洪：《關于〈民法典合同編〉草案(二次審議稿)的若干修改建議》，載《法治研究》2019年第2期。其實用戶與網絡經營者一對一訂立個人信息授權合同，考慮到交易成本，在現有技術、市場條件下還很難全面實行。因此單個用戶通過合同的方式與網絡服務提供者進行交易談判，將自身的網絡行為數據以一定的價格授權給服務商使用的可能性并不大。(23)參見梅夏英、朱開鑫：《論網絡行為數據的法律屬性與利用規則》，載《北方法學》2019年第2期。但是企業隱私政策合同說有利于促成統一的隱私政策轉化為不同用戶與網絡經營者制定差別性的隱私協議，從而使用戶更易于自主控制個人信息。

二、企業違反網絡隱私政策適用違約責任的價值

隱私政策的合同性質明確后，企業違反了隱私政策，就可以適用違約責任。企業違反隱私政策，可以采取侵權或者行政干預等多種救濟方式，違約責任是否有適用價值，則是需要考慮的內容。

(一)可以有效彌補現有救濟方式的不足

由于瀏覽協議理論的影響，長久以來隱私政策并不視為合同，違約救濟很難適用。為了規制企業隱私政策行為，侵權責任、行政機關的監管、行業自律三管齊下成為主要的規制方式。企業違反隱私政策，直接侵犯的是用戶的個人信息利益，但是侵權的私法救濟并不理想。如何證明財產損害與精神損害難度都很大。即使用戶遭受了一定的精神痛苦，但也要達到嚴重的精神損害，才能請求精神損害賠償。正因為損害在侵權責任中的重要性，因此在判斷企業違反隱私政策侵權時，不能單純從不當行為本身分析，還需要考慮次生損害的風險，如不當收集、處理個人信息，導致或促使后續違法行為的發生，如果以傳統因果關系或原因力視角分析，企業有不承擔侵權責任的風險。企業收集或處理個人信息力量的不對稱使用戶舉證證明侵權損害難度十分大，如李立彬與中國保險監督管理委員會“隱私權糾紛”一案，法院判定原告未能證明被告可能的數據泄露而遭受到實際損害。(24)參見(2016)京02民終3276號判決書。根據美國《計算機欺詐與濫用法(Computer Fraud and Abuse Act)》個人信息受損人要主張侵權責任，必須證明損害符合下列條件之一：“損失1人以上，任何1年期間聚集至少5000美元的價值；……”，(25)Del Vecchio, 2012 WL 1997697 at *3; 18 U.S.C.§ 1030(g)(2008).不過索賠人通常很難證明其中任何一個人因素，可以說最容易證明的因素是至少損失5000美元。然而5000美元不包括“非貨幣損失”。(26)同②。實質性損害的證明將個人尋求侵權保護阻擋在外。葉名怡主張擴大侵權行為類型，對于數據泄露、不當行為收集處理行為導致或促成下游犯罪、濫用個人信息歧視、數據監控下的不安與自我審查、消費操縱和關系控制五種新型損害，即使損害證明存在難度，但也應視為侵權責任成立。(27)參見葉名怡：《個人信息的侵權法保護》，載《法學研究》2018年第4期。葉名怡也看到了傳統侵權法在保護個人信息方面不足，主張在特定情形下適用無過錯責任、過錯推定責任。(28)同④。當然從侵權責任突破不失為平衡企業與用戶地位不平等的思路，但是如果以違約責任進路分析，現有民法理論和制度修正的空間就可以大大縮小，立法改動成本可以降低。

對于企業違反隱私政策行為，外在監管與行業自律成為企業違反隱私政策主要的規制工具。我國對于企業侵犯用戶個人信息的行為，主要是通過網信辦、工信部等部門負責管理和監督，缺乏常態化、能動的行政機制。2018年8月，中央網信辦、工信部、公安部、國家標準委四部門首次聯合開展隱私條款轉項工作，評審重點包括：“隱私條款內容、展示方式和征得用戶同意方式”。(29)參見洪延青：《網絡運營者隱私條款的多角色平衡和創新》，載《中國信息安全》2017年第9期。2019年1月，四部委正式發布《關于開展App違法違規收集使用個人信息專項治理的公告》，于2019年底前分批選取重點網絡產品和服務完成1000款左右App，對其隱私條款進行規制。運動式的行政監管雖然可以在一定程度上防范企業的不當行為，但卻不易形成制度常態。反觀行業自律，由于企業保護用戶個人信息的社會責任遠未實現，距達成行業自律的目標還很遙遠。

美國對企業違反隱私政策進行監管的機構主要是聯邦貿易委員會(FTC)，該委員會于1914年根據《聯邦貿易委員會第5號法案》成立，其職責是防止不公平競爭方式，以及不公平或欺騙性的貿易行為。(30)15 U.S.C.§45(a)(2)(2011).See G.S.Hans, Privacy Policies, Terms of Service, and FTC Enforcement: Broadening Unfairness Regulation for a New Era, Michigan Telecommunications and Technology Law Review Fall, 2012.聯邦貿易委員會下設消費者保護局(BCP)，BCP最新成立了隱私與身份保護部門(DPIP)，專注于保護消費者隱私、信用報告、身份盜竊和信息安全。(31)TC Bureau of Consumer Protection--Division of Privacy and Identity Protection, Fed.Trade Comm’n, http://www.ftc.gov/bcp/bcppip.shtm(last visited Oct.1, 2012).針對企業違反隱私政策行為，FTC保護消費者免受不公平和欺騙性貿易行為的侵害。(32)Federal Trade Commission Act, 15 U.S.C.§§41-58(2006); Fed.Trade Comm’n, A Guide to the Federal Trade Commission(Mar.2004), http://www.ftc.gov/bcp/edu/pubs/consumer/general/gen03.shtm.事實上，企業制定不公平的隱私政策比制定一個欺騙性隱私政策更普遍。根據《自由貿易協定》，(33)15 U.S.C.§45(a)(1).如果一種行為或做法：(1)對消費者造成或可能造成實際損害；(2)抵銷不了對消費或競爭的好處，且(3)消費者不能合理避免的，則該行為是不公平的。但是FTC更愿意根據第5條的欺詐條款而不是根據不公平條款提起訴訟，主要因為欺詐的標準更加明確。(34)參見Yan Fang, The Death of The Privacy Policy?: Effective Privacy Disclosures After in Re Sears, Berkeley Technology Law Journal Annual Review 2010.企業行為是否具有欺騙性的標準包括：(1)該行為或做法是否涉及誤導或可能誤導的陳述、遺漏或做法；(2)消費者在該情形下的行為是否合理；(3)該陳述、不作為或者行為是否對消費者就該產品或者服務的行為或者決定有重大影響。(35)Commerce, FTC Policy Statement on Deception, §V(Oct.14, 1983), available at http://www.ftc.gov/bcp/policystmt/ad-decept.htm[hereinafter FTC, Deception Policy.不公平標準相對模糊，特別要證明對消費者造成了實質性損害，大多數網站的隱私政策似乎不太可能達到這一標準。FTC傾向于采取欺騙性標準對企業隱私政策進行審查。

2012年8月，FTC宣布與谷歌就違反同意令達成和解，這是歷史上對違反FTC命令的最大處罰，然而罰款并沒有明確指控谷歌有不公平或欺騙行為或做法，而是說該公司違反了同意令的條款，做出了虛假陳述，這個術語更多地指向欺騙，而不是不公平。(36)David Sarno, Twitter Stores Full iPhone Contact List for 18 Months, After Scan, L.A.Times(Feb.14, 2012), http://articles.latimes.com/2012/feb/14/business/la-fi-tn-twitter-contacts-20120214.See G.S.Hans, Privacy Policies, Terms of Service, and FTC Enforcement: Broadening Unfairness Regulation for a New Era, Michigan Telecommunications and Technology Law Review Fall, 2012.另外，聯邦貿易委員會在信息隱私實踐方面執法效率有待提高，聯邦貿易委員會對企業的審計過程會持續很長時間——超過50%的案例會達到20年，(37)參見Shawn A.Johnson, A Law and Economics Approach to Privacy policy Misstatements: Considering the Need For a Cost-Benefits Analysis in The FTC’s Deception Framework, Columbia Science and Technology Law Review Fall, 2016.FTC的執法過程十分繁瑣，既可以根據消費者投訴，也可以主動審查，因此比較大的企業更容易被FTC監管，如谷歌公司，Facebook、Twitter公司，都被FTC審查處理過。自2000年以來，FTC已對多家公司提起了30多項隱私訴訟，其中大部分是通過行政訴訟與和解程序解決的。實際上，聯邦貿易委員會一直在努力對公司的隱私政策進行監管。(38)參見Yan Fang, The Death of The Privacy Policy?: Effective Privacy Disclosures After in Re Sears, Berkeley Technology Law Journal Annual Review 2010.

雖然實踐中，聯邦貿易委員會已經成為美國最廣泛和最具影響力的信息隱私監管力量，(39)參見Shawn A.Johnson, A Law and Economics Approach to Privacy policy Misstatements: Considering the Need For a Cost-Benefits Analysis in The FTC’s Deception Framework, Columbia Science and Technology Law Review Fall, 2016.但是聯邦貿易委員會對不公平隱私政策執法的乏力，執法力量的有限導致其主要工作重點是監管大企業，執法周期較長等不足也是現實存在的。所以，重視私人訴訟特別是違約訴訟可以有效彌補外來監管的乏力。

(二)可以重塑個人信息主體與企業的平等關系

隱私政策由企業單方制定和變更，不公平條款時有發生，規制不公平條款則是平衡企業與個人信息利益的路徑。但如何從源頭上實現企業與用戶的平等，需要更多的應對方法。雖然經濟學以理性經濟人為假設，但實踐中個人基于各種因素制約，理性的判斷很難實現，特別是面對隱私政策的多項內容時，用戶做出全有或全無的判斷更容易發生，或者簡單瀏覽或不瀏覽直接選擇該企業服務或者直接拒絕。

企業單方制定和修改的隱私政策，天然地使企業與用戶之間法律地位不平等，然而對隱私政策進行合同界定，使企業違反隱私政策時承擔違約責任，則可以重塑企業與用戶的平等關系。其理由如下：如果不將隱私政策視為有約束力的合同，在默示同意規則下，則用戶無論是否瀏覽隱私政策都不會影響企業責任，對企業無約束力。但是以隱私政策合同說為基礎，用戶沒有閱讀隱私政策而選擇了該企業服務，企業做到了告知義務，用戶個人主觀上沒有閱讀，雖然不影響合同成立，不過隱私政策作為格式合同，如果隱私政策存在不公平條款情形，用戶可以主張該條款無效，從而保護用戶的個人信息權利。如周盛春與阿里巴巴公司關于許可使用協議糾紛一案，該案主要爭議點就在于阿里巴巴公司對原告個人信息的處理是否公平，法院裁判爭議條款對企業特別授權內容并非優于協議其他條款而存在，而是受協議第六條的隱私政策與數據內容的制約，并不存在無效情形。該案說理有待商榷，爭議條款內容是：授權企業及關聯公司對于用戶個人信息獨家的、全球通用的、永久的、免費的許可使用權利(并有權在多個層面對該權利進行再授權)。此外，企業及關聯公司還有權(全部或部分地)使用、復制、修訂、改寫、發布、翻譯、分發、執行和展示用戶的全部資料數據或制作其派生作品，并以現在已知或日后開發的任何形式、媒體或技術，將上述信息納入其他作品內。法院對該條款的分析應從格式條款的公平性角度入手，很遺憾該案法官并未從不公平條款角度分析。(40)參見(2015)杭西知民初字第667號判決書。目前阿里巴巴公司已對案涉的協議條款進行了修改。雖然隱私政策合同說在合同訂立之前并不能改變用戶與企業的不平等關系，但是一旦隱私政策制定，用戶對隱私政策條款的公平性的控制則可以在一定程度上矯正企業與用戶的不平等關系。

此外，雖然企業制定隱私政策具有較大的控制權，但是最后的違約責任可以有效地約束企業行為，從而達致企業與個人的平等。由于每個自然人對個人信息重視程度不同，存在人際多樣性，面對企業違反隱私政策的行為，應當賦予自然人有對抗企業過大控制權的能力，即自然人在隱私政策制定過程中能合理選擇與網站的核心功能或附加功能相匹配的不同層次的隱私政策，即用戶不是完全被動地接受企業一攬子隱私政策，而是用戶能對不合理的隱私政策說不，從而讓企業承擔違約責任。比如某購物APP，其隱私政策還包括收集消費者的電話通訊錄，微信好友等功能，如果不接受則不能使用該網站的核心功能，即購物功能，該企業就違反了隱私政策。因為企業的隱私政策是為企業的經營主項——購物功能服務，而用戶無法享受其服務的原因就在于企業違反隱私政策的收集目的性原則，該行為屬于違約。當然用戶不同意附加功能的隱私政策，自然不能享受企業的附加服務，這才是存在權利義務對等關系。

法律世界的不平等十分多樣，但民法追求平等則具有十分重要之意義。如果僅僅局限于民事主體形式意義的平等，則企業與消費者不平等鴻溝只會越來越大，單純的隱私聲明不僅有悖道德，而且效果堪憂。雖然行業自律能在不同程度縮小不平等的鴻溝，但是每個自然人對個人信息認知有差異，如果在隱私政策制度中，完全忽略自然人的個人能力，顯然這并不可行。相反在特定情形下賦予隱私政策合同性質，隱私政策的制定就不完全是企業的單邊行為，用戶自主性增強，談判能力提高。此外，面對企業不當收集、處理個人信息行為，用戶又能以違約責任約束企業，用戶抗衡企業的能力進一步提高。而能力則反映了一個人可獲得個體福利的自由度。(41)參見[印度]阿馬蒂亞·森：《再論不平等》,王利文、于占杰譯，中國人民大學出版社2016年版，第56頁。

(三)可以提高企業利用個人信息的效率

個人信息權屬性質現在仍有分歧，理論上并未提供一致的解決方案，面對企業收集、處理或利用個人信息行為，合法性與合理性判斷則十分關鍵。私法體系下，法不禁止即可為，在現行個人信息的法律規范下，行業自律等規范指引了企業行為合法性的邊界，但是合理性標準卻十分模糊。現在比較常用的路徑就是明確個人信息的權屬，從而為企業用戶等不同主體配置相應的權利義務關系。時至今日，權屬問題眾說紛紜，畢竟個人信息與傳統的人身權、財產權存在很大的區別，權屬說是對傳統民事權利認識的思維工具，權屬界分可以實現明晰化，但是個人信息的產生具有很強的特殊性，傳統權利視角下的主客體分析法在個人信息的權屬分析中存在不敷適用的境地。其主要原因在于個人信息的人格屬性使個人信息存在主客體一元化的可能，個人信息的財產屬性又不同于傳統的權利性質，其產生面臨多主體的可能，個人信息的權屬不是單維度一刀切的界定。因此擱置權屬爭議從而適應現實的發展不失為理論研究的一種思路。企業收集、利用個人信息合理性的判斷標準還可以嘗試采用法經濟學方法進行分析。

根據科斯定理，如果成本為零，權利無論配置在哪一方，效益都是最大化。但是對于個人信息的分析就不能簡單套用科斯定理，如果將個人信息收集或處理配置給自然人，即自然人決定個人信息如何收集或處理，其利益完全由自然人享有，該配置效益很難最大化。首先，自然人對個人信息收集或處理存在有限理性，基于損失的畏懼，權利所有人往往會索要過高的價格，個人信息交易很難實現。其次，將個人信息碎片化為自然人單獨控制，很難發揮大數據的功效，個人信息的利用效率也會大打折扣。另外，個人信息的無形性特征使之可以共享，因此個人信息如果適用物權絕對性理論反而不利于其價值最大化發揮。當然個人信息收集或處理涉及很多環節，簡單地把個人信息權利絕對地配置給自然人不可取，但是完全配置給企業也不妥，至少從個人信息的源頭產生入手，區分個人信息權利主體有一定可取之處。(42)參見陽雪雅：《論個人信息的界定、分類及流通體系——兼評〈民法總則〉第111條》，載《東方法學》2019年第4期。但是無論個人信息屬于哪個主體，個人信息都是基于自然人而產生的，因此即使企業收集或處理個人信息，也需要考慮不損害自然人利益。

最初企業收集或處理個人信息處于野蠻發展階段，個人信息相關法律規范未及時跟進，企業濫用個人信息的情形十分惡劣，民事救濟更多依賴于侵權救濟，而侵權救濟往往又難以落實。行政監管或行業自律在我國還未形成制度體系，雖然企業實現了利潤最大化，但是自然人用戶利益受損情況十分嚴重，最終損害了社會公共利益。自然人個體救濟行為由于侵權救濟的乏力，行政監管的關照不夠，亟需要新的防范措施。企業也考慮到在面對個人信息，如果完全不承擔社會責任，最終會失去整個個人信息市場。因此企業企圖通過自我監管，如隱私政策來規范企業與用戶的關系，但是隱私政策傳統理論的“非契約性”學說使之約束企業行為的效力堪憂，其“形象工程”的意義更大于其實質功能。然而企業違反隱私政策承擔違約責任能有效提高企業利用個人信息的效率。根據卡爾多—希克斯標準，即在可能的情形下，受損者能夠從受益者的獲利中得到完全賠償，并且受益者仍能得到凈利，而該規則應當得到全體成員的一致接受。(43)參見[德]漢斯—貝斯德·舍費爾、克勞斯·奧特：《民法的經濟分析》，江清云、杜濤譯，法律出版社2009年版，第29頁。企業制定隱私政策如果不視為合同，則根本無法達到卡爾多—希克斯標準，因為這僅僅是企業單方制定的，企業與用戶并未一致接受，如果將隱私政策視為合同，企業會為自己的違約行為承擔違約責任，很明顯企業是個人信息的受益者，用戶作為受損者能從企業服務中獲利，即享受網絡服務，如果企業行為不當，用戶還可以獲得違約救濟，而企業仍有利潤激勵。

三、企業違反網絡隱私政策適用違約責任的障礙

即使企業違反隱私政策承擔違約責任，但是仍存在適用的障礙。個人信息保護領域，行政監管成為規制的主要路徑。無論是美國《加州消費者隱私法》(CCPA)還是歐盟《一般數據保護條例》(GDPR)都選擇了行政規制為主的監管模式。CCPA僅允許私人針對特定的數據泄露事故提起訴訟，不得針對CCPA項下其他違規行為提起訴訟。而GDPR僅僅在條文中認可訴訟權利，在民事訴訟的實體性和程序性問題上，仍存在著諸多理論和實踐障礙。(44)參見王融、黃致韜：《邁向行政規制的個人信息保護：GDPR與CCPA處罰制度比較》, https://mp.weixin.qq.com/s/87qPnJ7OK2KZpmoRSZbYxg,2020年3月29日訪問。

企業違反隱私政策，無論承擔違約責任還是侵權責任都會面臨共同的適用障礙，即用戶的實質損害較難證明。不過損害要件是侵權責任的必要條件，非違約責任的必要條件，違約行為才是承擔違約責任的必要條件，違約損害較于侵權損害證明標準相對較低。因為侵權責任適用還要避免干預行為人的自由，因此無損害就無救濟，而違約責任對于行為人而言，是行為人主動自愿對其權利義務的安排，違約責任的發生，行為人有更多的自由控制該風險，因此相較于損害要件，違約行為要件更重要，一般違約行為存在，就可以主張違約責任，物質性損害賠償的標準可以考慮企業違約收益所得進行具體衡量。但是在違約責任已經成立的基礎上，如何更好地保護用戶的個人信息利益，違約損害證明的重要性就突顯出來。可見損害在違約責任與侵權責任的地位是不一樣的，侵權責任中，損害是首先證明的要件，難以證明損害就很難通過侵權法進行救濟。違約責任中，違約行為是證明的第一要件，甚至也是最為核心的要件。但是損害的證明也是承擔損害賠償責任的關鍵標準。從最終的保障效果，違約責任可以使用戶更容易實現停止侵害、排除妨礙的救濟。

總之，違約行為是承擔違約責任的關鍵。但是實踐中企業與用戶信息不對稱，用戶很多情形下根本無法知道企業存在違反隱私政策的行為，往往是用戶已經遭受到實際損害才獲知企業已經有違約行為，面對此種情形，違約與侵權都比較容易成立。可見違約行為的難以發現是適用違約責任的障礙。

四、破解企業違反網絡隱私政策適用違約責任的障礙

由于信息的不對稱，用戶發現企業違反隱私政策的違約行為確實比較困難。一方面應增強企業隱私政策的透明度，David Thompson提出，隱私政策應清楚地描述企業將如何使用用戶的信息。隱私政策應在用戶登錄時顯示，而不是只顯示主頁，或者在每次登錄時以其他干擾性的方式顯示隱私政策，這些都是不合理的。可行做法是強制包含一個與個人隱私政策相關的明顯鏈接。(45)參見David Thompson,“I Agreed to What?”: A Call for Enforcement of Clarity in The Presentation of Privacy Policies, Hastings Communications and Entertainment Law Journal(COMM/ENT)2012.當然僅僅制定過程中強化隱私政策透明度還遠遠不夠，企業在收集、使用、分享、轉讓等環節中也應將用戶個人信息整個流程以簡明扼要的方式展示給用戶，便于用戶發現是否存在違約行為。隱私政策相關規范的主要目標應該是披露收集消費者信息的細節，同時讓消費者有權決定企業分享和收集哪些信息。(46)參見Laura Fleming, How Much Dose J.Crew Really Know About You?: The Harsh Reality of a Mega-Retailer’S Privacy Policy, Syracuse Journal of Science & Technology Law Spring, 2015.另一方面應對違約行為進行類型化研究。以《百度隱私政策原則》為例，(47)根據南都個人信息研究保護中心2018年12月25日發布的《2018年度常用App隱私政策透明度排行榜》，百度公司屬于隱私政策透明度比較好的企業。該隱私政策主要包括以下內容：(1)如何收集和使用個人信息；(2)如何使用cookie和同類技術；(3)如何共享、轉讓、公開披露個人信息；(4)如何保存和保護個人信息；(5)用戶的權利；(6)如何處理未成年人的個人信息；(7)個人信息如何跨境轉移；(8)隱私政策的修訂。隱私政策的目的就是讓用戶授權企業可以從事上述行為，表現的更多的是企業的權利。只有比較特殊的情形下，企業才承擔義務。如該隱私政策第4項、第5項、第6項、第7項一定限度內可以收集或處理個人信息，企業也應遵守合法、正當、必要、特定明確目的限制的原則。

因此可以根據義務違反與濫用權利的標準對違約行為進行劃分，包括四種：第一，企業違反隱私政策約定義務的行為。第二，企業違反程序性要件的違約行為。第三，企業違反目的范圍限制的違約行為。第四，企業違反比例性原則的違約行為等。下面分述之：

第一種，企業違反隱私政策約定義務的行為，主要表現為：(1)擅自泄露個人信息的行為。(2)未對個人信息盡到安全保障義務。隱私政策對企業的安全保障義務做了很多具體的規定，可以有效地約束企業行為。(3)為用戶行使個人信息權利提供保障的義務。隱私政策規定用戶享有訪問權、更正權、刪除權、改變授權同意范圍的權利，注銷賬戶權等。用戶權利的享有離不開企業行為的配合。

第二種，企業違反程序性要件的違約行為。企業在收集或處理個人信息過程中，很多情形下都應取得用戶明示同意。表現為：(1)收集自然人的敏感信息應征得用戶明示同意。何謂敏感信息概括加類型化的方法較妥當。《個人信息保護指南》界定的個人信息比較寬泛，如網絡瀏覽痕跡屬于敏感信息。而百度隱私政策總則未對瀏覽痕跡強制要求明示同意，因此才會出現百度曬賬單未取得用戶明示同意，引起一片嘩然。(2)企業與第三方共享用戶的個人信息，百度隱私政策規定應獲得用戶明確同意，但實踐中用戶不知道自己的個人信息何時、被何人共享十分普遍，因為很多企業并未取得用戶的明確同意，僅僅通過一攬子同意計劃實現，應視為違約。(3)根據隱私政策，企業事先獲得用戶的明確授權或同意的情形下，才能將用戶的個人信息轉讓給百度及其關聯公司外的任何公司、組織或個人，特殊情形除外。實踐中，個人信息如何被轉讓也常常缺乏用戶的明確授權或同意，應屬于企業的違約行為。(4)公開披露未取得明確同意的違約行為。(5)企業未征得監護人同意收集未成年人個人信息的違約行為。

第三種，企業違反目的范圍限制的違約行為。企業收集或處理個人信息都應在企業網絡服務的范圍內收集。如百度隱私政策總則規定：您使用我們的特定產品或服務時，為滿足向您提供產品或服務之目的，除證明時提供的信息外，您可能還需要進一步向我們提供與上述產品和服務的功能相關的信息。(48)《百度隱私政策總則》規定，為滿足向您提供產品和服務之目的，除注冊時提供的信息外，您可能還需要進一步向我們提供與上述產品和服務的功能相關的信息(例如您的真實姓名、出生日期、身份證號碼、常用地址、銀行卡、頭像和簡介等)。隱私政策關于企業的收集或處理個人信息的目的范圍一般都比較模糊，往往在用詞后面加“等”字，在具體判定企業是否存在該項違約行為時，應明確區分企業收集、處理個人信息的核心目的與附加目的，如收集用戶手機通訊錄就與很多網站的服務目的并無直接關系，可是很多企業通過一攬子隱私政策全部收集或者通過“等”的模糊表達收集了一些與企業自身網絡服務并不直接相關的個人信息，很明顯企業的此種行為應屬于違反網絡隱私政策目的范圍限制的違約行為。如百度隱私政策規定，我們的合作伙伴無權將共享的個人信息用于任何其他用途。實踐中用戶很難獲知企業合作伙伴使用個人信息的行為，當發生合作伙伴將共享的個人信息用于其他用途，用戶基于合同的相對性，可以直接要求企業承擔違約責任。

第四種，企業違反比例原則的違約行為。比例原則包括適當性原則、必要性原則和均衡原則三個子原則。(49)參見鄭曉劍：《比例原則在民法上的適用及展開》，載《中國法學》2016年第2期。企業在制定隱私政策時，為了使自己利益最大化，盡可能獲取用戶更多的個人信息，如位置信息、通訊錄信息，甚至登錄第三方的信息等等。該信息收集范圍必須受企業經營目的的制約，很明顯不同行業的企業收集信息的范圍應當有所差異，不能隨意擴大，違反了適當性原則。由于數據的價值日益重要，企業傾向于在處理環節中能有效控制個人信息，因此企業一般都會制定如何共享、轉讓、公開披露個人信息，特別是對于合作伙伴和關聯方，無須用戶同意，企業可以直接共享。但是企業的合作伙伴范圍十分寬泛，企業的共享是否能做到對用戶最小化傷害，還缺乏評估，同質化的隱私政策不一定符合必要性原則。隱私政策中最核心的就是用戶權利的規定，一般包括訪問權、更正權、刪除權、改變授權同意的范圍的權利等。個人信息范圍十分寬泛，包括用戶主動提供的信息、瀏覽痕跡等測量信息和企業的推測信息。(50)參見陽雪雅：《論個人信息的界定、分類及流通體系——兼評〈民法總則〉第111條》，載《東方法學》2019年第4期。由于測量信息的客觀性，更正可能性比較小，現在用戶能行使訪問權、更正權、刪除權的信息主要是第一種信息，而且這些權利行使的程序界面并不統一。(51)如《百度隱私總則》規定，如果您想刪除您的個人信息，您可以向我們提出刪除個人信息的請求，您可以通過【個人信息保護問題反饋】隨時與我們聯系。如果你想改變授權范圍，您可以登錄【賬號與安全】界面解除百度賬號與第三方賬號的綁定關系，可以在【搜索隱私設置】中方便地對搜索記錄進行開關設置。可見，用戶權利的實現更需要企業提供快捷、公平的程序機制和救濟機制。但是企業制定隱私政策時更注重達致企業一方對個人信息利益的最大化，容易造成用戶個人信息權利的難以實現，有違均衡性原則。

由于隱私政策透明度的缺失，用戶對隱私政策的不了解，甚至不關注，企業違約行為類型化便于用戶更清楚地認知企業行為的不當，從而更容易保護自己的個人信息權。違約行為一旦明確，企業行為不存在免責的抗辯事由情形外，就很容易適用違約責任，但是要切實保障用戶的個人信息權，違約損害如能證明，效果就會更好。違約損害與侵權損害面臨共同的困境，前面已述，這里就不再贅述。

但是違反隱私政策違約損害的難以證明，與一般的財產性合同違約損害有很大區別，后者損害發生，守約方相較于違約方更容易了解損害，但是前者個人信息涉及環節太多，而且個人信息損害與一般的物質性損害還是存在很大區別。其財產性損害即使是間接發生，用戶與企業的信息不對稱，更加制約了用戶舉證證明損害。考慮到知識產權與個人信息有相似之處，知識產權違約時，如果違約損害難以證明，可以要求違約方返還獲利。對于企業擅自披露個人信息行為，如果暫時還未發生后續詐騙等間接損害，單個主體很難評估自己的實際損害，這時可以以企業獲利進行賠償。也許個體受損額度較少，考慮到訴訟成本，可以將所涉及個人信息獲利集體返還。對于此種違約，公益訴訟或集體訴訟效果更好。當然完全寄希望獲利返還，也會存在以下障礙：首先，獲利返還的金額是全部返還還是部分返還，需要考慮多種因素，如果獲利有企業的勞動行為，應當將這部分利潤扣除。另外，單獨用戶獲利返還利益較小時，公益訴訟或集體訴訟不失為比較好的良策。但是公益訴訟由于人力、物力等條件的制約更多關注典型重大案例。集體訴訟會有搭便車問題，其激勵機制堪憂，恐難以完全實現違約責任救濟功能。違約損害證明還應進一步拓寬研究思路，雖然實質性損害暫時很難證明，但是如果不及時加以扼制，卻極有可能造成很嚴重的后果，這時可以將未來損害的威脅視為實際的、具體的或迫在眉睫的傷害，而不是推測性的或假設性的傷害，以此方便違約責任適用。(52)參見Madelyn Tarr, Accountability is the Best Privacy Policy: Improving Remedies for Data Breach Victims Through Recognition of Privacy Policy as Enforceable Agreements, Georgetown Law Technology Review Fall, 2018.可見，即使違約責任與侵權責任競合，面對物質性損害，違約責任的舉證負擔相較于侵權責任更低，而且根據《民法典》第九百九十六條規定，因當事人一方的違約行為損害對方人格權并造成嚴重精神損害,受損害方選擇請求其承擔違約責任的,不影響受損害方請求精神損害賠償，違約責任不承擔精神損害賠償責任的時代隨著未來民法典頒布也將結束。

結語

隱私政策合同說為個人信息民事救濟提供了更多的思考方向。緣何同意原則在一定情形下也可以表現為默示同意，過去更多從發展數據行業的角度，放寬同意的嚴格條件，但是該理由的悖論就在于個人信息用戶的利益如何體現。隱私政策合同說可以合理解釋用戶的默示同意在一定情形下具有合理性。隨著隱私政策的發展，隱私政策合同也必將從絕對的同質化發展為有差別的同質化，更能滿足不同用戶對個人信息的需求，實現個人信息人格利益與財產利益的協調。違反隱私政策承擔違約責任雖然會面臨與承擔侵權責任一樣的證明實質損害的困境，但是相較于侵權責任，違約行為的發現對違約責任構成更為重要，因此對違約行為細致梳理則是突破違約責任適用障礙的關鍵。當然用戶與企業的強弱差異也亟需違約救濟的具體程序和制度構建，主要表現為：增強企業根據隱私政策收集、處理、利用個人信息的透明度，便于發現相應的違約行為；健全個人信息公益訴訟和集體訴訟的激勵機制，有效彌補我國行政監管的不足；根據理論和實踐不斷總結損害后果的認定標準等。雖然違反隱私政策也可能產生違約責任與侵權責任的競合，不過違約責任的無過錯歸責原則及實質性損害的非必要性將使違約救濟更有利于保護用戶的合法利益，從而實現個人信息的有序合理流動。