消費者個人信息保護(hù)的場景化路徑研究

摘 要： 在我國現(xiàn)行的消費者個人信息保護(hù)制度中，告知同意規(guī)則是個人信息處理的合法性基礎(chǔ)，但該規(guī)則具有“無差別”適用的特點。囿于這種“無差別”適用特點，隱私政策存在著“充分告知難”和“同意效果差”的規(guī)則適用困境。相較于《中華人民共和國消費者權(quán)益保護(hù)法》，《中華人民共和國個人信息保護(hù)法》為消費者個人信息處理提供了場景化規(guī)則適用的制度空間，上海“亮劍浦江”專項執(zhí)法也在一定程度上開啟了這種場景化規(guī)則適用的實踐探索。為了更好地平衡消費者個人信息保護(hù)與合理利用的關(guān)系，有必要從消費者個人信息和產(chǎn)品服務(wù)功能兩方面入手優(yōu)化消費者個人信息保護(hù)的場景化規(guī)則適用路徑。

關(guān)鍵詞： 消費者；個人信息保護(hù)；告知同意規(guī)則；場景化；規(guī)則適用

中圖分類號： D923.8

文獻(xiàn)標(biāo)志碼： A

文章編號： 1673-3851 （2024） 12-0703-09

Study on the contextualized path of consumer personal information

protection：Reflections on the \"undifferentiated\" application of

the rules of informed consent

Abstract： "In China′s current system for the protection of consumers′ personal information， the rules of informed consent is the basis for the legitimacy of the processing of personal information， but the rule is characterized by its \"undifferentiated\" application. Due to this characteristic， the privacy policy faces the dilemma of \"being difficult to fully inform\" and \"poor effect of consent\" in the application of the rules. Compared with Law of the People′s Republic of China on Protection of Consumer Rights and Interests， Personal Information Protection Law of the People′s Republic of China provides institutional space for the application of contextualized rules for the handling of consumers′ personal information， and Shanghai′s special law enforcement action entitled \"Shine the Sword on the Pujiang River\" has also opened up the practical exploration of the application of such contextualized rules to a certain extent. In order to balance the relationship between the protection of consumers′ personal information and the rational use of such information， it is necessary to optimize the application of the contextualized rules for the protection of consumers′ personal information from the perspective of consumers′ personal information and the function of product services.

Key words： consumers; protection of personal information; the rules of informed consent; contextualized; application of rules

隨著《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）的出臺，我國消費者個人信息保護(hù)制度日趨完善。在我國現(xiàn)行立法下，個人信息保護(hù)仍主要遵循告知同意規(guī)則，但該規(guī)則的“無差別”適用特點容易使消費者權(quán)益保護(hù)面臨困境。為了解決個人信息保護(hù)與合理利用的平衡難題，域外相關(guān)立法較早將場景理論 場景理論源于海倫·尼森鮑姆（Helen Nissenbaum）在2004年提出的“場景完整性理論”（也譯為“情境脈絡(luò)完整性理論”）。場景理論指出應(yīng)尊重個人信息原始收集時的具體情境，而且在后續(xù)傳播與利用時不得超出原初的情境脈絡(luò)。在該理論視角下，當(dāng)個人信息處理行為不符合場景中的信息規(guī)范時，場景完整性遭破壞，此時個人信息處理行為對信息主體的侵害風(fēng)險超出必要，喪失正當(dāng)性。場景完整性的一大重要評價依據(jù)是信息主體的“合理預(yù)期”（a reasonable expectation of privacy）。引入個人信息保護(hù)制度 2015年美國《消費者隱私權(quán)利法案（草案）》與2016年歐盟《通用數(shù)據(jù)保護(hù)條例》均確認(rèn)了“尊重場景”和“風(fēng)險導(dǎo)向”的制度理念。其中，即美國《消費者隱私保護(hù)法案（草案）》第103條明確提出“尊重場景（Respect for Context）”原則，其中規(guī)定消費者有權(quán)期待經(jīng)營者按場景一致的標(biāo)準(zhǔn)進(jìn)行個人信息收集、使用和披露，并在其后規(guī)定了一系列配套的場景化要求。歐盟《通用數(shù)據(jù)保護(hù)條例》特別強調(diào)了場景與風(fēng)險理念的重要性，如：第22條強調(diào)機構(gòu)應(yīng)“根據(jù)其個人信息處理行為的性質(zhì)、范圍、場景、目的及影響公民權(quán)利的可能性、敏感度等”承擔(dān)相應(yīng)責(zé)任；第50條允許在六種場景因素的考量下超出原始目的處理個人信息，并初步將信息主體“合理預(yù)期”納入考量。中。受此影響，范為［1］、丁曉東［2］等學(xué)者開始探索我國立法下場景理論的適用空間。此后亦有不少學(xué)者針對兒童［3］、讀者［4］、運動員［5］等特殊個人信息主體，對具體場景下的個人信息保護(hù)進(jìn)行制度探討。然而，“生活消費”我國《消費者權(quán)益保護(hù)法》第2條明確規(guī)定了本法的調(diào)整對象是“消費者為生活消費需要購買、使用商品或者接受服務(wù)”的相關(guān)權(quán)益，因此本文使用“生活消費”的表述。這一典型領(lǐng)域未受到足夠重視，消費者個人信息保護(hù)的場景理論研究仍存在一定不足。根據(jù)中國消費者協(xié)會發(fā)布的《2022年個人信息保護(hù)領(lǐng)域消費者權(quán)益保護(hù)報告》，我國高度重視消費者個人信息保護(hù)難題，近年來網(wǎng)信、電信、市場監(jiān)管等部門已經(jīng)開展了各類執(zhí)法行動［6］。但是，由于生活消費涉及的場景種類日益繁雜，一體化執(zhí)法難以應(yīng)對不同生活消費場景中各有側(cè)重的保護(hù)需求，“無差別”規(guī)則適用的傳統(tǒng)路徑面臨較大挑戰(zhàn)。為克服傳統(tǒng)執(zhí)法的不足并探索新的規(guī)則適用路徑，2023年6至12月上海市網(wǎng)信辦、市場監(jiān)管局等部門持續(xù)開展“亮劍浦江·消費領(lǐng)域個人信息權(quán)益保護(hù)專項執(zhí)法行動”（以下簡稱“亮劍浦江”專項執(zhí)法）［7］。該執(zhí)法行動是消費者個人信息保護(hù)場景化規(guī)則適用的一次有益嘗試。

本文首先梳理消費者個人信息保護(hù)制度中告知同意規(guī)則的演變歷程，揭示其“無差別”適用特點，然后進(jìn)一步分析實踐中告知同意規(guī)則的適用困境及其緣由，最后基于對“亮劍浦江”專項執(zhí)法的總結(jié)和反思，主張確立場景化規(guī)則的適用路徑，以此破解消費者個人信息保護(hù)面臨的實踐困境。

一、消費者個人信息保護(hù)制度中的告知同意規(guī)則

2012年全國人民代表大會常務(wù)委員會出臺了《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》，該決定首次確認(rèn)了告知同意原則 “告知同意”在學(xué)界又稱為“知情同意”。為統(tǒng)一法律用語，本文稱“告知同意”。，其第2條規(guī)定網(wǎng)絡(luò)服務(wù)提供者收集、使用公民個人電子信息應(yīng)當(dāng)符合告知（即明示收集、使用信息的目的、方式和范圍，并公開其收集、使用規(guī)則）和同意（經(jīng)被收集者同意）的原則性要求。此后，消費者個人信息保護(hù)制度中的告知同意規(guī)則不斷健全完善。

（一）《消費者權(quán)益保護(hù)法》中告知同意原則的確立

2013年出臺的《中華人民共和國消費者權(quán)益保護(hù)法》（以下簡稱《消費者權(quán)益保護(hù)法》）首次以法律的形式確立了告知同意原則［8］131。該法第29條第1款規(guī)定了經(jīng)營者收集、使用消費者個人信息應(yīng)當(dāng)符合告知和同意的原則性要求，其具體內(nèi)容與《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》一致。

值得注意的是，全國人大常委會法制工作委員會（以下簡稱全國人大法工委）將《消費者權(quán)益保護(hù)法》第29條第1款涉及告知同意的規(guī)范要求稱作“經(jīng)營者收集、使用消費者個人信息的原則”，并將其具體表述為“合法、正當(dāng)、必要及消費者自愿”原則［8］132。針對合法性原則，全國人大法工委援引了其他法律規(guī)范中的條文作為經(jīng)營者處理個人信息的合法性基礎(chǔ)，包括民法通則對名稱與肖像的保護(hù)性規(guī)定、刑法對非法出售或提供個人信息的責(zé)任規(guī)定等。然而，全國人大法工委并未對“正當(dāng)、必要性原則”作進(jìn)一步闡述，只特別強調(diào)了“消費者自愿原則”，即要求經(jīng)營者不得利用格式條款和技術(shù)手段強迫消費者同意授權(quán)個人信息。

綜上不難發(fā)現(xiàn)，《消費者權(quán)益保護(hù)法》第29條第1款只是簡單延續(xù)了《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》中已有的原則性規(guī)定。《消費者權(quán)益保護(hù)法》并未對經(jīng)營者的告知義務(wù)與消費者的同意權(quán)利作進(jìn)一步規(guī)定，也并未對消費者個人信息保護(hù)作具體的規(guī)則設(shè)計。或許正因如此，在相當(dāng)長的時間里，我國學(xué)者都將告知同意要求視為法律原則 在2020年《民法典》與2021年《個人信息保護(hù)法》出臺以前，學(xué)界普遍將告知同意的相關(guān)規(guī)定界定為“原則”，代表學(xué)者如張新寶、萬方、林洹民、田野等。。

（二）其他個人信息保護(hù)相關(guān)法律中告知同意規(guī)則的確立與完善

《消費者權(quán)益保護(hù)法》率先在法律層面明確了個人信息保護(hù)中的告知同意要求。此后，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國民法典》（以下簡稱《民法典》）以及《個人信息保護(hù)法》等法律繼續(xù)明確或細(xì)化了告知同意要求，逐漸使相關(guān)規(guī)范從法律原則轉(zhuǎn)變?yōu)榉梢?guī)則。

2016年出臺的《網(wǎng)絡(luò)安全法》基本延續(xù)了《消費者權(quán)益保護(hù)法》的規(guī)定，在第41條明確了網(wǎng)絡(luò)運營者收集、使用個人信息的告知同意要求。然而，相比原有的法律原則定性，全國人大法工委對該法第41條規(guī)范定性的表述較為含糊：在前文指出第41條是“個人信息收集使用規(guī)則”；在后文又指出第41條是“關(guān)于網(wǎng)絡(luò)運營者收集、使用個人信息應(yīng)遵循的原則”，并且僅從“合法原則”“正當(dāng)原則”“必要原則”三個方面進(jìn)行了解讀［9］。由此可見，《網(wǎng)絡(luò)安全法》并沒有解決告知同意要求的定性問題。

2020年出臺的《民法典》既延續(xù)了《消費者權(quán)益保護(hù)法》《網(wǎng)絡(luò)安全法》中的告知同意要求，又進(jìn)行了一定的完善。首先，該法區(qū)分設(shè)置了隱私權(quán)的同意規(guī)則與個人信息保護(hù)的告知同意規(guī)則：第1033條針對隱私權(quán)確立了“權(quán)利人明確同意”的規(guī)則；第1035條則針對個人信息處理明確了告知同意規(guī)則。其次，該法確定的告知同意規(guī)則不僅適用于收集或使用個人信息環(huán)節(jié)，而且適用于存儲、加工、傳輸、提供、公開等其他個人信息處理環(huán)節(jié)。最后，該法第1036條還規(guī)定了“維護(hù)公共利益或自然人合法權(quán)益”等特殊的同意豁免情形。對于《民法典》中告知同意要求的性質(zhì)，衣俊霖［10］認(rèn)為，因其“具有清晰、明確的構(gòu)成要件和法律后果”，故應(yīng)被視為法律規(guī)則而非法律原則。

2021年出臺的《個人信息保護(hù)法》就個人信息處理的具體規(guī)則進(jìn)行了更加系統(tǒng)的設(shè)計。首先，該法區(qū)分了一般個人信息和敏感個人信息的處理規(guī)則，在第二章第二節(jié)就敏感個人信息的處理規(guī)則單獨進(jìn)行了特別規(guī)定。其次，該法進(jìn)一步明確了告知豁免和同意豁免規(guī)則，其第18條規(guī)定在“應(yīng)當(dāng)保密或者不需要告知”的情形下無需告知“個人信息處理者的名稱或者姓名和聯(lián)系方式”，第13條在《民法典》的基礎(chǔ)上新增了“訂立、履行合同必需”“履行法定職責(zé)或義務(wù)”等若干同意豁免情形。最后，該法完善了告知同意規(guī)則的配套要求，第16條規(guī)定“個人信息處理者不得以個人不同意或撤回同意為由拒絕提供產(chǎn)品或服務(wù)，處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外”，進(jìn)一步保障了個人信息主體在事后的同意撤回權(quán)。

相較于《消費者權(quán)益保護(hù)法》中的告知同意原則，《個人信息保護(hù)法》完整確定了告知同意及其豁免規(guī)則，為差異化的個人信息處理行為留下了一定的制度空間，有利于平衡消費者個人信息保護(hù)與合理利用之間的關(guān)系。

（三）消費者告知同意規(guī)則的“無差別”適用特點

我國個人信息保護(hù)制度中的告知同意要求雖然經(jīng)歷了從原則到規(guī)則的演變，但是仍有不足。高富平［11］指出，這種單一的告知同意模式被適用于所有類別的個人信息與所有個人信息的處理環(huán)節(jié)，具有“無差別”適用特點。趙婧薇［12］也指出，現(xiàn)行的告知同意規(guī)則本質(zhì)上是一種“全有或全無”的模式，缺乏類型化的塑造。盡管《個人信息保護(hù)法》等法律已經(jīng)為例外情形預(yù)留了一定的空間，即排除了法律法規(guī)規(guī)定的特別情形，但是這些轉(zhuǎn)致條款所涉及的法律法規(guī)在現(xiàn)行立法中可能并不明確甚至根本不存在。相比《民法典》與《個人信息保護(hù)法》，《消費者權(quán)益保護(hù)法》確定的告知同意原則所彰顯的“無差別”適用特點尤為明顯：一方面，該法中的告知同意要求容易被規(guī)范內(nèi)涵并不清晰的“合法、正當(dāng)、必要原則”取代；另一方面，該法并未給無需適用告知同意規(guī)則的特別情形提供豁免適用的規(guī)則支撐。

我國《民法典》和《個人信息保護(hù)法》明確了告知同意豁免規(guī)則，進(jìn)一步推動了告知同意規(guī)則的體系化健全，使其呈現(xiàn)出“有差別”的趨勢。但在我國現(xiàn)行立法中，一般個人信息與敏感個人信息的界定標(biāo)準(zhǔn)仍舊不夠清晰，告知同意與告知同意豁免的適用條件也不是涇渭分明。告知同意規(guī)則在實際適用中依舊體現(xiàn)出明顯的“無差別”適用特點。

二、消費者個人信息處理告知同意規(guī)則的適用困境及其緣由

（一）告知同意規(guī)則的適用困境

“告知同意”一般通過隱私政策的形式體現(xiàn)。然而，經(jīng)營者常常利用一些利己高效的變通手段為個人信息的后續(xù)處理行為加固免責(zé)盾牌，導(dǎo)致本應(yīng)保障消費者知情權(quán)、決定權(quán)的隱私政策流于形式。

1.充分告知難

為了履行“充分告知”義務(wù)，同時規(guī)避法律風(fēng)險，經(jīng)營者大多采用格式條款的形式將全部需處理的個人信息事無巨細(xì)地加入隱私政策中。然而，這種篇幅冗長的隱私政策難以被消費者仔細(xì)閱讀，進(jìn)而無法保障消費者的“充分知情”。在《個人信息保護(hù)法》出臺后，通過復(fù)雜的隱私政策來“充分告知”的形勢仍然難以扭轉(zhuǎn)。僅2024年1月至6月期間，我國工信部就整治了百余個侵害消費者個人信息權(quán)益的App，并發(fā)布了5批違法違規(guī)通報［13］。在《個人信息保護(hù)法》出臺以前，違法違規(guī)通報的問題集中于“私自收集個人信息”問題（即未經(jīng)告知同意收集個人信息）；而到2024年，通報涉及的問題已經(jīng)調(diào)轉(zhuǎn)為“違規(guī)收集個人信息”以及“App強制、頻繁、過度索取權(quán)限”問題（即雖經(jīng)告知同意程序但還是存在侵害個人信息的行為）。這一轉(zhuǎn)變過程雖然在一定程度上體現(xiàn)出《個人信息保護(hù)法》等法律的實施成效，但也彰顯了現(xiàn)行告知同意規(guī)則在維護(hù)消費者個人信息自決權(quán)時的較大不足。事實上，隱私政策越是“充分告知”，越難以保障消費者“充分知情”。根據(jù)《個人信息保護(hù)法》第16條，只有在“提供產(chǎn)品或者服務(wù)所必需”的情況下，經(jīng)營者處理個人信息才符合“正當(dāng)、必要”原則。然而，在一些特定情況下，經(jīng)營者未在隱私政策中“充分告知”可能事出有因，但這將導(dǎo)致經(jīng)營者無法獲得消費者的同意授權(quán)而涉嫌違法。一方面，為保證消費者獲得良好的體驗，經(jīng)營者在隱私政策中往往難以告知所有個人信息收集行為的必要性。此時，如果遇到消費者點擊“不同意隱私政策”、概括性地對所有詢問收集的個人信息不予授權(quán)的情況，經(jīng)營者根本無法提供相應(yīng)服務(wù)。另一方面，不同情境下的同一個人信息甚至同一情境下的同一個人信息在不同處理階段表現(xiàn)出來的“必要性”也不盡相同。因此，監(jiān)管執(zhí)法部門不能苛求經(jīng)營者在設(shè)計隱私政策時面面俱到，更不能在執(zhí)法中無差別地適用形式標(biāo)準(zhǔn) 2021年12月國家網(wǎng)信辦發(fā)布的《App違法違規(guī)收集使用個人信息監(jiān)測分析報告》詳細(xì)規(guī)定了七種經(jīng)營者“超范圍收集個人信息的常見類型”，該報告為后續(xù)全國各地的相關(guān)執(zhí)法提供了標(biāo)準(zhǔn)與指導(dǎo)。。

2.同意效果差

一些經(jīng)營者會利用隱私政策不便閱讀的特點，不加節(jié)制地索取消費者的授權(quán)同意。甚至當(dāng)某些個人信息與經(jīng)營者提供的產(chǎn)品或服務(wù)毫無關(guān)聯(lián)時，經(jīng)營者也會利用其舉證優(yōu)勢，找各種看似合理的理由聲稱其收集行為具備必要性。這一行為背后的依據(jù)是隱私政策中有關(guān)個人信息收集目的的概括性條款。對超范圍的收集行為，若非監(jiān)管執(zhí)法部門根據(jù)案件的實際場景判定構(gòu)成“收集非必要個人信息”，消費者根本無從說理，只得被迫同意該“霸王條款”，以犧牲個人信息權(quán)益為代價換取經(jīng)營者提供的服務(wù)。即使經(jīng)營者并未超出必要范圍收集個人信息，也難以保障消費者的“同意”是出于真正自愿。由于個人信息處理與數(shù)據(jù)利用活動具有較強的專業(yè)性、技術(shù)性，消費者很難意識到個人信息處理行為將對自身權(quán)益產(chǎn)生的實際影響。以電商平臺為例，消費者同意授權(quán)提供“商品瀏覽信息”與“店鋪關(guān)注信息”，可能以為是為了“保留個人搜索記錄”或者“方便個人快捷進(jìn)入某商品或店鋪頁面”；但就經(jīng)營者而言，這種同意可能還意味著平臺可以通過算法技術(shù)加工收集到的個人信息，并向消費者推送個性化廣告。在此過程中，“大數(shù)據(jù)殺熟”等不利于消費者的風(fēng)險問題會進(jìn)一步加劇。當(dāng)然，這種同意效果困境有時也不能全部歸責(zé)于經(jīng)營者。在一些消費者個人信息處理的特殊情境中，經(jīng)營者的確難以事先在隱私政策中給出明確的目的說明。林洹民［14］通過剖析“數(shù)據(jù)分析”的過程來解釋這一現(xiàn)象：由于數(shù)據(jù)分析采用全本而非樣本，因此人們在事前根本無從知曉究竟會產(chǎn)生何種結(jié)果。在特定事由出現(xiàn)之前，經(jīng)營者根本無法預(yù)測某一個人信息收集行為的必要性，更無法在隱私政策中提示相應(yīng)風(fēng)險。“同意”與“告知”存在的錯位進(jìn)一步加深了同意效果困境。

（二）告知同意規(guī)則適用困境產(chǎn)生的緣由

告知同意規(guī)則的“無差別”適用特點正是這一規(guī)則在告知和同意兩個方面存在適用困境的根源：“無差別”的告知規(guī)則適用方面，監(jiān)管執(zhí)法部門如果完全按照“雙方的約定”來評價個人信息處理行為，就忽視了部分特殊情況下無法或無必要告知的可能；“無差別”的同意規(guī)則適用方面，隨著個人信息處理方式的日益多元，監(jiān)管執(zhí)法部門如果仍然不分場景嚴(yán)格適用“必要+同意”標(biāo)準(zhǔn)，就會導(dǎo)致消費者的同意產(chǎn)生一定程度的效力瑕疵。

1.“無差別”規(guī)則適用忽視了消費者的特殊性

由于告知同意規(guī)則在現(xiàn)行立法中仍主要體現(xiàn)為原則性、概括性的規(guī)定，因此監(jiān)管執(zhí)法部門在實務(wù)中大多需要援引一些規(guī)范性文件等下位法中對一般自然人的個人信息保護(hù)規(guī)定。然而，消費者作為一類特殊主體，與經(jīng)營者存在信息不對稱，明顯有別于一般意義上的民事主體。此時雙方關(guān)于消費者讓渡個人信息處理權(quán)能的隱私政策不同于一般的民事合同。傳統(tǒng)的“無差別”規(guī)則適用路徑既不能適配經(jīng)營者基于經(jīng)營目的而收集個人信息的行業(yè)特點，也無法區(qū)分消費者在各個生活消費場景中的不同利益面向，無法實現(xiàn)對消費者個人信息的有效保護(hù)。

2.“無差別”規(guī)則適用忽視了生活消費場景的特殊性

告知同意規(guī)則產(chǎn)生于使用面對面?zhèn)€性化交流模式的前信息時代［15］。在純粹的線下交易中，消費者與經(jīng)營者面對面直接交付產(chǎn)品或服務(wù)，此時不存在信息技術(shù)的加持，也不存在個人信息的流轉(zhuǎn)必要。即使偶爾出現(xiàn)少量需流轉(zhuǎn)的個人信息，也可由消費者基于充分知情作出授權(quán)同意。然而，隨著線上交易方式（如網(wǎng)購、外賣）和線上線下融合交易方式（如掃碼點餐）的日益興盛，經(jīng)營者大多通過App、小程序等方式在線收集消費者的個人信息，由此形成龐大的個人信息集合。若一律適用最嚴(yán)格的告知同意模式，不僅會讓經(jīng)營者負(fù)擔(dān)過高的個人信息處理成本，而且無法保證消費者對所有個人信息收集條目的充分知情。“無差別”告知同意規(guī)則的適用因交易方式的變遷而逐漸顯得力有不逮。

事實上，同樣類型的個人信息在不同場景下的認(rèn)定并不一致，而同意豁免中“所必需”“合理的范圍”等情形更是無法脫離特定情景來判斷。這一點尤其體現(xiàn)在一般個人信息與敏感個人信息的界定問題上。“敏感”一詞極具隱私意義，較大程度上保留了主觀心理方面的色彩。個人信息的敏感與否總是因不同主體對個人信息及其處理場景存在的差異性認(rèn)識而有所不同［16］。在生活消費的不同場景下，經(jīng)營者處理個人信息的風(fēng)險不盡相同，消費者對于個人信息處理行為的容忍度存在差異。據(jù)此，個人信息處理行為的正當(dāng)性應(yīng)結(jié)合具體場景來判斷。

三、消費者個人信息保護(hù)的場景化規(guī)則適用路徑

為彌合“無差別”規(guī)則適用路徑的局限，有必要確立消費者個人信息保護(hù)的場景化規(guī)則適用路徑。《個人信息保護(hù)法》等法律已經(jīng)為場景化規(guī)則適用留存了制度空間，而“亮劍浦江”專項執(zhí)法等實踐探索也為此提供了經(jīng)驗。場景化規(guī)則適用的路徑優(yōu)化可以從消費者個人信息和產(chǎn)品服務(wù)功能兩個視角展開。

（一）場景化規(guī)則適用的制度空間

個人信息兼具個體與社會流通的雙重屬性，故應(yīng)當(dāng)在具體場景中確立個人信息處理的合理邊界［17］。傳統(tǒng)的告知同意是一種靜態(tài)化的個人信息保護(hù)路徑，忽略了個人信息處理本質(zhì)上是一個由多方主體共同構(gòu)成的動態(tài)過程［18］。“不同階段與場景中，各主體的參與程度和利益期待會發(fā)生變化，因此一組利益沖突背后的主要矛盾并不穩(wěn)定。”［19］一方面，不同類型的個人信息具有的風(fēng)險并不一致，對個人信息處理不同階段的可控性也有所差異，無差別的保護(hù)可能使個人信息保護(hù)的目的落空。另一方面，在傳統(tǒng)的“無差別”規(guī)則適用路徑下，不論后續(xù)處理場景中的情況與風(fēng)險如何變化，雙方均須遵循一紙已經(jīng)滯后的隱私政策，這難免使得相應(yīng)的權(quán)利保護(hù)與義務(wù)負(fù)擔(dān)失去平衡。無差別、靜態(tài)化的個人信息保護(hù)或?qū)⑹シɡ硪罁?jù)。

1.場景化規(guī)則適用的基本要求

場景化規(guī)則適用主張通過“動態(tài)平衡”的方式保護(hù)個人信息，即綜合多種因素對不同場景、不同階段適用不同規(guī)則。“合理預(yù)期”是場景化規(guī)則適用的核心標(biāo)準(zhǔn)，其含義是“消費者在某一具體場景下對個人信息處理行為風(fēng)險的預(yù)期和假設(shè)”［20］。在特定場景下，消費者對于經(jīng)營者的個人信息處理行為不享有絕對的同意權(quán)。若個人信息處理場景與風(fēng)險相一致，就認(rèn)定處理行為符合消費者合理預(yù)期，此時不要求經(jīng)營者獲取消費者的同意［21］。換言之，只要符合特定的條件，消費者就必須對經(jīng)營者徑自處理個人信息的行為負(fù)擔(dān)一定的容忍義務(wù)。因此，消費者的“合理預(yù)期”受到不同生活消費場景因素的影響，會隨著個人信息類型、處理目的乃至經(jīng)營者的變化而存在差異。但是，場景化規(guī)則適用并不意味著脫離實際去設(shè)立模糊的個人信息處理標(biāo)準(zhǔn)，而是為了解決個案的具體適用問題，“防控具體的而非抽象的風(fēng)險”［22］。

2.《個人信息保護(hù)法》的制度空間

盡管告知同意規(guī)則尚未跳脫出“無差別”適用特點的局限，但是現(xiàn)行立法已經(jīng)在《消費者權(quán)益保護(hù)法》等早期法律的基礎(chǔ)上增加了告知同意豁免規(guī)則。同時，現(xiàn)行立法中有關(guān)個人信息分類保護(hù)的相關(guān)規(guī)定也意味著“告知”與“同意”的適用存在一定的浮動空間。《個人信息保護(hù)法》對特殊情形的差異化考量，在一定程度上體現(xiàn)了場景化保護(hù)的思想。因此，場景化規(guī)則適用并非空穴來風(fēng)。它雖然有著動態(tài)化的特征，但并未摒棄《個人信息保護(hù)法》中“正當(dāng)、必要、合理”原則的要求，也并非重構(gòu)既有的告知同意規(guī)則。場景化規(guī)則適用旨在借助案例與程序來動態(tài)性地界定個人信息保護(hù)規(guī)則［23］。在這一視角下，消費者的同意仍然是最核心的規(guī)范和要求。在此基礎(chǔ)上將“合理預(yù)期”標(biāo)準(zhǔn)作為告知豁免和同意豁免的依據(jù)，不僅有利于提高經(jīng)營者個人信息處理行為的效率，而且能夠平衡各方利益，進(jìn)而有效應(yīng)對“充分告知難”與“同意效果差”兩方面的困境。

（二）場景化規(guī)則適用的實踐探索

實踐中，一些法院在敏感個人信息的認(rèn)定標(biāo)準(zhǔn)等問題上早已開始探索場景化規(guī)則適用。在“龐理鵬訴北京趣拿公司案” 參見北京市第一中級人民法院（2017）京01民終509號二審民事判決書。中，法院認(rèn)為有些消費者單個、孤立、可公示的個人信息一旦被收集、提取和綜合，就具備可識別性，形成指向特定消費者個人的信息。姓名和手機號通常只是一般個人信息，但是在該案中，這些個人信息與行程信息結(jié)合后形成了一個信息組合。相比單個的姓名、手機號，該信息組合的泄露風(fēng)險更大，故應(yīng)當(dāng)被視為敏感個人信息。該案對個人信息的特殊認(rèn)定恰恰體現(xiàn)出消費者個人信息的敏感程度會隨著生活消費場景的不同而有所變化，傳統(tǒng)的二級分類標(biāo)準(zhǔn)并不適用于所有情形。在“王某訴微視案” 參見廣東省深圳市中級人民法院（2021）粵03民終9583號二審民事判決書。中，法院在判斷王某的“地區(qū)、性別”是否屬于主觀上不愿為他人知曉的隱私時，也結(jié)合了具體場景加以考量。法院認(rèn)為，由于王某并未在微視的編輯頁面修改“地區(qū)、性別”的展示效果，因此無法認(rèn)定王某具有“隱私保護(hù)期待”。最終，法院認(rèn)定被告不構(gòu)成對王某隱私權(quán)的侵害。遺憾的是，這些司法個案中的場景化規(guī)則適用并未在監(jiān)管執(zhí)法領(lǐng)域有效推行。現(xiàn)行的個人信息保護(hù)監(jiān)管執(zhí)法仍然延續(xù)著“無差別”規(guī)則適用的傳統(tǒng)路徑。而為了防止“無差別”規(guī)則適用引發(fā)相關(guān)行政爭議，許多地方監(jiān)管執(zhí)法部門只能選擇不作為。

2023年，上海市網(wǎng)信辦等部門通過“亮劍浦江”專項執(zhí)法率先開啟了消費者個人信息保護(hù)的場景化規(guī)則適用探索。這次專項執(zhí)法行動指向八大典型生活消費場景，總結(jié)了不同場景下存在的個人信息侵權(quán)違規(guī)行為，并通過合規(guī)指引等方式強化實現(xiàn)了對消費者個人信息的保護(hù)。

首先，界定場景化的個人信息與敏感個人信息。《上海市汽車銷售行業(yè)個人信息保護(hù)合規(guī)指引》（以下簡稱《汽車銷售合規(guī)指引》）將汽車銷售場景中的個人信息主體明確為車主、乘車人、行人等。相比僅保護(hù)車主個人信息的傳統(tǒng)做法，該指引擴(kuò)大了受保護(hù)的個人信息范圍，有利于降低潛在的侵權(quán)違規(guī)風(fēng)險。同時，該指引考慮到汽車銷售涉及的大額生活消費場景，將《個人信息保護(hù)法》并未明確的“征信記錄”納入敏感個人信息范疇。此外，監(jiān)管執(zhí)法部門指出，餐飲場景中的郵箱等會員和公司員工個人信息、停車掃碼場景中的車主手機號與車牌號、少兒培訓(xùn)場景中的學(xué)生姓名與監(jiān)護(hù)人手機號、商超購物場景中的家庭卡用戶身份證號碼等信息均具有較大的泄露風(fēng)險，但普遍未能獲得加密、去標(biāo)識化等安全保護(hù)措施［24］。與上述的“征信記錄”類似，這些個人信息雖沒有在現(xiàn)行立法中被明確認(rèn)定為敏感個人信息，但有必要基于其在場景中的特殊性受到類似敏感個人信息的保護(hù)。

其次，限縮經(jīng)營者個人信息處理的非必要權(quán)限。針對金融理財服務(wù)［25］、商超購物［26］等生活消費場景，監(jiān)管執(zhí)法部門指出：經(jīng)營者在向消費者提供“使用接收驗證碼”“定位附近門店”等功能時，不得頻繁提示注冊登錄，干擾消費者的正常使用。其背后的考量在于防止消費者因厭煩經(jīng)營者的非必要干擾行為而忽視長期風(fēng)險、違反真實意愿進(jìn)行“同意”。針對網(wǎng)絡(luò)理財小貸等生活消費場景［27］，監(jiān)管執(zhí)法部門明確指出“非必要關(guān)閉服務(wù)功能”屬于違法情形。《徐匯區(qū)餐飲行業(yè)“掃碼點餐”規(guī)范指引（試行）》針對強制掃碼點餐亂象，提倡保留實體菜單，并要求不提供人工點餐服務(wù)的經(jīng)營者須在經(jīng)營場所內(nèi)外顯著位置將這一信息掛牌告知。在上述的監(jiān)管執(zhí)法中，雖然“必要”的界定標(biāo)準(zhǔn)仍未明確，但是這些結(jié)合場景作出的個案判定有效遏制了經(jīng)營者超范圍收集個人信息的行為。

最后，對特定的個人信息處理行為作差異化考量。針對汽車銷售場景，《汽車銷售合規(guī)指引》第4條第3款明確了對外傳輸個人信息時的告知豁免情形，即汽車銷售行業(yè)經(jīng)營者可以在無法征得消費者同意的前提下“通過車輛攝像頭、雷達(dá)等方式采集車外個人信息且向車外提供”。車外個人信息由于在行車過程中時刻向不特定對象展現(xiàn)，因此不應(yīng)當(dāng)屬于消費者不愿為他人知曉的個人信息，不存在泄露風(fēng)險。經(jīng)營者無需采取匿名化措施亦無需獲取同意，即可出于提供服務(wù)的需要對外提供。針對租借充電器場景中的個人信息收集亂象，上海網(wǎng)信辦發(fā)布了《租借手機充電器場景下所需最小必要個人信息清單》［28］。監(jiān)管執(zhí)法部門認(rèn)為“租借充電器”這一生活消費場景涉及不同服務(wù)環(huán)節(jié)，而不同環(huán)節(jié)中個人信息處理的風(fēng)險各不相同，因此該清單分別為不同環(huán)節(jié)設(shè)立了差異化的標(biāo)準(zhǔn)。

（三）場景化規(guī)則適用的路徑優(yōu)化

1.消費者個人信息視角下的場景化路徑

針對一般個人信息與敏感個人信息的判定問題，可在現(xiàn)有的敏感性二分法基礎(chǔ)上增加“敏感程度”的場景化界定標(biāo)準(zhǔn)，并嘗試進(jìn)行告知同意規(guī)則的動態(tài)化適用。

（1）消費者敏感個人信息的場景化界定

個人信息涵蓋的范圍存在浮動性。精確界定一般與敏感個人信息的做法是不現(xiàn)實的［29］，因而有必要賦予敏感個人信息動態(tài)化的外延。在敏感程度的界定問題上，相比傳統(tǒng)的“可識別性”標(biāo)準(zhǔn)，場景化規(guī)則適用路徑更強調(diào)“關(guān)聯(lián)性”標(biāo)準(zhǔn)，即如果一般個人信息在具體的個人信息處理場景下可“鏈接”到敏感個人信息，就應(yīng)將其當(dāng)作為高風(fēng)險的個人信息對待［30］。結(jié)合“亮劍浦江”專項執(zhí)法的經(jīng)驗，首先，可以明確不同生活消費場景下個人信息的內(nèi)涵與外延，以提請監(jiān)管執(zhí)法部門與經(jīng)營者的高度注意。其次，基于“關(guān)聯(lián)性”標(biāo)準(zhǔn)評估消費者個人信息的敏感程度與風(fēng)險。此時可以通過直接列舉的方式確定該場景下敏感個人信息的范疇，亦或直接從《個人信息保護(hù)法》第28條第1款中的既有舉例進(jìn)行選取。未來，針對地圖導(dǎo)航、網(wǎng)絡(luò)購物、線上社交等其他典型的生活消費場景，也應(yīng)細(xì)化界定敏感個人信息。

（2）告知同意規(guī)則的動態(tài)化適用

針對不同場景以及不同類型的個人信息，可適用不同標(biāo)準(zhǔn)的告知同意規(guī)則。一方面，對于消費者敏感個人信息的收集行為，應(yīng)當(dāng)著重考察隱私政策的易讀性和獨立性。為了保障告知同意的實效，應(yīng)摒棄傳統(tǒng)文本式的隱私政策勾選模式。經(jīng)營者應(yīng)當(dāng)在消費者開始接受產(chǎn)品和服務(wù)時主動彈窗，以表格等形式清晰展示該項個人信息的收集目的與處理方式，并為每項敏感個人信息的收集設(shè)置勾選。此外在隱私政策的文本中，經(jīng)營者也有必要單獨列出敏感個人信息的收集項目，采用下劃線、粗體等突出顯示的方式表明其重要性，引導(dǎo)消費者閱讀。另一方面，在一般個人信息處理場景下，由于消費者的“合理預(yù)期”標(biāo)準(zhǔn)相對較低，故應(yīng)當(dāng)限縮告知同意規(guī)則的適用而僅采用默示同意的方式。經(jīng)營者在告知時也應(yīng)降低展現(xiàn)頻率，只在隱私政策最前端以摘要等方式清晰說明收集目的、處理方式等核心內(nèi)容，避免使用復(fù)雜語句。此時，消費者可減少點擊操作，得以被“充分告知”。

2.產(chǎn)品服務(wù)功能視角下的場景化路徑

《個人信息保護(hù)法》第16條是一種軟化處理的同意豁免情形。在“提供產(chǎn)品或者服務(wù)所必需”的前提下，若個人不同意或撤回同意，經(jīng)營者雖不可徑自處理個人信息，但有權(quán)拒絕提供產(chǎn)品或服務(wù)。實踐中囿于“提供產(chǎn)品或者服務(wù)所必需”標(biāo)準(zhǔn)的模糊，《個人信息保護(hù)法》第16條經(jīng)常成為經(jīng)營者實施“霸王條款”的依據(jù)。為解決這一難題，可進(jìn)行如下兩種路徑優(yōu)化。

（1）必要產(chǎn)品服務(wù)功能的場景化界定

不同場景中“提供產(chǎn)品或者服務(wù)所必需”的標(biāo)準(zhǔn)不盡相同，因而可將經(jīng)營者的業(yè)務(wù)功能劃分為“核心功能”與“非核心功能”。“核心功能”指經(jīng)營者若不收集相應(yīng)的個人信息，便無法正常提供消費者使用該產(chǎn)品或服務(wù)所根本期待的功能。核心功能可按照經(jīng)營者在對其產(chǎn)品或服務(wù)進(jìn)行推廣宣傳和定位時所采用的描述內(nèi)容進(jìn)行劃分。比如對于外賣服務(wù)軟件，“地址與聯(lián)系方式”即為核心功能項下必需的個人信息。經(jīng)營者若無法獲得該類個人信息的同意授權(quán)則無法提供“送貨上門”這一主要服務(wù)，故此時消費者應(yīng)當(dāng)負(fù)擔(dān)較大的容忍義務(wù)。“非核心功能”與“核心功能”相區(qū)分，多為經(jīng)營者出于改善消費者體驗、提升產(chǎn)品或服務(wù)質(zhì)量的需要而設(shè)置的。實踐中為了“登錄第三方賬號”，經(jīng)營者普遍要向消費者收集“身份綁定信息”。由于“身份綁定信息”在大部分生活消費場景下只起到輔助性作用，即使未被同意授權(quán)也不影響經(jīng)營者正常提供服務(wù)，因此該類信息的處理風(fēng)險超出消費者“合理預(yù)期”限度。

（2）“拒絕提供服務(wù)”的正當(dāng)性衡量

在劃分經(jīng)營者的業(yè)務(wù)功能后，可將“是否為提供產(chǎn)品或者服務(wù)所必需”進(jìn)一步闡釋為“是否為產(chǎn)品或服務(wù)的核心功能所必需”。具體而言，經(jīng)營者如果并未獲得提供核心功能所需個人信息的同意授權(quán)，那么就直接享有拒絕提供服務(wù)的當(dāng)然豁免權(quán)，并可將這一事由作為發(fā)生糾紛時的抗辯依據(jù)。反之，如果某個個人信息并非經(jīng)營者提供核心功能所必需，那么應(yīng)將選擇權(quán)交還給消費者。消費者不同意授權(quán)意味著經(jīng)營者喪失收集的必要性。此時經(jīng)營者不享有拒絕提供服務(wù)的權(quán)利，但可關(guān)閉相應(yīng)的非必要服務(wù)。在上述網(wǎng)絡(luò)理財小貸場景下的“非必要關(guān)閉服務(wù)功能”違法案例中，“存儲權(quán)限”為非核心功能，“麥克風(fēng)權(quán)限”為核心功能。故經(jīng)營者僅在收集“麥克風(fēng)權(quán)限”所需個人信息時，方有權(quán)在消費者點擊“不同意”按鍵后拒絕提供服務(wù)。

此外，為了防止經(jīng)營者對自身業(yè)務(wù)范圍作無限制的擴(kuò)張解釋，有必要將場景風(fēng)險作為“核心功能”界定的考量因素之一，即如果存在個人信息處理風(fēng)險更低的替代服務(wù)，就不應(yīng)當(dāng)以風(fēng)險更高的服務(wù)作為核心功能的界定事由。餐飲行業(yè)“強制掃碼點餐”就是一種典型體現(xiàn)。經(jīng)營者在面對“消費者系被迫提供精確位置、手機號等個人信息”的質(zhì)疑時，往往以優(yōu)化服務(wù)質(zhì)量為由主張收集行為的必要性［31］。場景化規(guī)則適用路徑為這一認(rèn)定難題提供了解決思路：人工點餐無需收集消費者的個人信息，相應(yīng)的場景風(fēng)險遠(yuǎn)小于掃碼點餐。因此，經(jīng)營者在有條件進(jìn)行人工點餐時，不得以“掃碼點餐屬于自身提供的核心功能”為由堅持通過掃碼收集個人信息，也不得徑自拒絕提供服務(wù)。此時仍然應(yīng)當(dāng)適用一般的告知同意規(guī)則，由消費者自主選擇采用何種點餐方式。

綜上，以“是否為產(chǎn)品或服務(wù)的核心功能所必需”為標(biāo)準(zhǔn)進(jìn)一步明確《個人信息保護(hù)法》第16條同意豁免的適用范圍。而在經(jīng)營者“核心功能”的界定上又以場景風(fēng)險為著眼點，通過動態(tài)化、差異化的個案判斷突破告知同意規(guī)則“無差別”適用特點的桎梏，為后續(xù)消費者個人信息保護(hù)的監(jiān)管執(zhí)法提供更為精細(xì)的判定標(biāo)準(zhǔn)。

四、結(jié) 語

在生活消費領(lǐng)域，現(xiàn)行立法中的告知同意規(guī)則無法有效適配不同消費情境中多重因素作用下的動態(tài)化場景。“亮劍浦江”專項執(zhí)法為消費者個人信息保護(hù)的場景化規(guī)則適用提供了探索經(jīng)驗。基于此，本文在明確場景化規(guī)則適用的制度空間基礎(chǔ)上，嘗試從兩方面確立消費者個人信息保護(hù)的場景化規(guī)則適用路徑。該路徑并非打破現(xiàn)有制度模式，而是從生活消費領(lǐng)域個人信息處理中各方主體利益平衡的視角出發(fā)，優(yōu)化告知同意規(guī)則的適用方式。當(dāng)然，在場景化規(guī)則適用路徑下，消費者個人信息的處理場景會出現(xiàn)疊加現(xiàn)象，因此還需綜合性地評定場景風(fēng)險并決定告知同意規(guī)則的適用方式。2023年3月，中國消費者協(xié)會發(fā)布《2022年個人信息保護(hù)領(lǐng)域消費者權(quán)益保護(hù)報告》，建議再次修訂《消費者權(quán)益保護(hù)法》以完善消費者個人信息保護(hù)制度［32］。如果正式啟動了法律修訂，如何健全完善消費者個人信息保護(hù)的場景化規(guī)則適用路徑將是值得深入探討的議題。

參考文獻(xiàn)：

［1］范為.大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)［J］.環(huán)球法律評論，2016，38（5）：92-115.

［2］丁曉東.數(shù)據(jù)到底屬于誰？：從網(wǎng)絡(luò)爬蟲看平臺數(shù)據(jù)權(quán)屬與數(shù)據(jù)保護(hù)［J］.華東政法大學(xué)學(xué)報，2019，22（5）：69-83.

［3］王婧怡，李明輝.數(shù)字時代兒童個人信息安全保護(hù)的困境與出路［J］.浙江理工大學(xué)學(xué)報（社會科學(xué)），2023，50（4）：484-492.

［4］鄭曉圳，鐘曉雯.論讀者個人信息處理中“同意”的類型化適用［J］.圖書館研究與工作，2023（10）：5-12.

［5］盧成.數(shù)字時代運動員個人信息保護(hù)的國際法規(guī)制研究［J］.中國政法大學(xué)學(xué)報，2023（4）：159-172.

［6］中國消費者協(xié)會.2022年個人信息保護(hù)領(lǐng)域消費者權(quán)益保護(hù)報告［R/OL］.（2023-03-08）［2024-02-15］.https：∥www.cca.org.cn/Detail？catalogId=492862039744581amp;contentType=articleamp;contentId=535616104992837.

［7］上海市人民政府辦公廳.針對強制索取、超范圍收集個人信息等八類問題，滬啟動“亮劍浦江·消費領(lǐng)域個人信息權(quán)益保護(hù)專項執(zhí)法行動［EB/OL］.（2023-06-16）［2024-02-15］.https：∥mp.weixin.qq.com/s/RXX-UK_mf__L_jT6-FtclA.

［8］李適時.中華人民共和國消費者權(quán)益保護(hù)法釋義［M］.北京：法律出版社，2013.

［9］楊合慶.中華人民共和國網(wǎng)絡(luò)安全法解讀［M］.北京：中國法制出版社，2017：89-91.

［10］衣俊霖.論個人信息保護(hù)中知情同意的邊界： 以規(guī)則與原則的區(qū)分為切入點［J］.東方法學(xué)，2022（3）：55-71.

［11］高富平.個人信息保護(hù)：從個人控制到社會控制［J］.法學(xué)研究，2018，40（3）：84-101.

［12］趙婧薇.個人信息保護(hù)中告知同意規(guī)則的規(guī)范構(gòu)造［J］.北方民族大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2022（2）：143-150.

［13］中華人民共和國工業(yè)和信息化部.關(guān)于侵害用戶權(quán)益行為的APP（SDK）通報： 2024年第5批，總第40批［A/OL］.（2024-06-28）［2024-06-30］.https：∥www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_671fab3ab5924eed852bf55886dfed96.html.

［14］林洹民.個人信息保護(hù)中知情同意原則的困境與出路［J］.北京航空航天大學(xué)學(xué)報（社會科學(xué)版），2018，31（3）：13-21.

［15］田野.大數(shù)據(jù)時代知情同意原則的困境與出路： 以生物資料庫的個人信息保護(hù)為例［J］.法制與社會發(fā)展，2018，24（6）：111-136.

［16］莫琳.敏感個人信息的界定及其完善［J］.財經(jīng)法學(xué)，2023（2）：21-35.

［17］丁曉東.個人信息的雙重屬性與行為主義規(guī)制［J］.法學(xué)家，2020（1）：64-76.

［18］趙祖斌.從靜態(tài)到動態(tài)：場景理論下的個人信息保護(hù)［J］.科學(xué)與社會，2021，11（4）：98-116.

［19］王靜，高志明.權(quán)利束視角下個人信息自動化處理中的利益衡平［J］.浙江理工大學(xué)學(xué)報（社會科學(xué)），2023，50（3）：307-315.

［20］Nissenbaum H. A contextual approach to privacy online［J］. Daedalus， 2011， 140（4）： 32-48.

［21］Nissenbaum H. Privacy as contextual integrity［J］. Washington Law Review， 2004， 79（1）： 119-157.

［22］李潤生.論個人健康信息“利用友好型”保護(hù)模式的建構(gòu)［J］.行政法學(xué)研究，2021（5）：79-90.

［23］丁曉東.《個人信息保護(hù)法》的比較法重思：中國道路與解釋原理［J］.華東政法大學(xué)學(xué)報，2022，25（2）：73-86.

［24］上海市互聯(lián)網(wǎng)信息辦公室.上海網(wǎng)信部門處罰一批未盡消費者個人信息保護(hù)義務(wù)單位 五大類問題值得關(guān)注［EB/OL］.（2024-01-29）［2024-05-10］.https：∥mp.weixin.qq.com/s/B_h-stKolOShBivtNCcBfA.

［25］上海市互聯(lián)網(wǎng)信息辦公室.亮劍浦江上海組織140余家金融理財服務(wù)類機構(gòu)開展個人信息保護(hù)普法培訓(xùn)［EB/OL］.（2023-09-05）［2024-02-10］.https：∥mp.weixin.qq.com/s/dzKhxwIIB4LclAOv7Q-CrQ.

［26］上海市互聯(lián)網(wǎng)信息辦公室.上海市消保委與連鎖經(jīng)營協(xié)會聯(lián)合推出上海市商超購物個人信息保護(hù)合規(guī)指引［EB/OL］.（2023-11-06）［2024-05-01］.https：∥mp.weixin.qq.com/s/4CgVyVJsWBN1dfGXYRR8eQ.

［27］上海市互聯(lián)網(wǎng)信息辦公室.亮劍浦江上海市網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)理財小貸場景違法違規(guī)收集使用個人信息案例解析》：一［EB/OL］.（2023-09-13）［2024-05-01］.https：∥mp.weixin.qq.com/s/-V8T8fYZa8u-lSeh69xhwA.

［28］上海市互聯(lián)網(wǎng)信息辦公室. 亮劍浦江約談?wù)?立案處罰 行業(yè)示范 上海市網(wǎng)信辦整治租借手機充電器場景侵害個人信息權(quán)益亂象［EB/OL］.（2023-08-30）［2024-05-10］.https：∥mp.weixin.qq.com/s/CxcHUvAs20xk0tHO8eCn5A.

［29］田暐，余少威.關(guān)于刑法“公民個人信息”獨立法益地位的探討［J］.浙江理工大學(xué)學(xué)報（社會科學(xué)版），2019，42（1）：75-81.

［30］Nissenbaum H. Privacy in Context： Technology， Policy， and the Integrity of Social Life［M］. New York： Stanford University Press， 2010：129.

［31］葉正夏.掃碼消費的個人信息保護(hù)及規(guī)制建議［J］.中國律師，2024（4）：72-74.

［32］中國消費網(wǎng).中消協(xié)建議：修訂《消費者權(quán)益保護(hù)法》，完善消費者個人信息保護(hù)法律制度［EB/OL］.（2023-03-09）［2024-02-25］.https：∥www.ccn.com.cn/Content/2023/03-09/1545082032.html.