作者：溫昱，吉林大學(xué)法學(xué)院法學(xué)理論專業(yè)博士研究生。

來源：《甘肅政法學(xué)院學(xué)報》2019年第2期。

摘要：個人數(shù)據(jù)承載著數(shù)據(jù)主體的人格利益與財產(chǎn)利益，個人數(shù)據(jù)權(quán)利兼具人格權(quán)與財產(chǎn)權(quán)雙重面向。在廓清個人數(shù)據(jù)權(quán)利理論和規(guī)范性證成基礎(chǔ)上，建構(gòu)個人數(shù)據(jù)權(quán)利體系可分為：個人數(shù)據(jù)人格權(quán)與個人數(shù)據(jù)財產(chǎn)權(quán)。個人數(shù)據(jù)人格權(quán)包括：自決權(quán)、同意權(quán)、修改權(quán)和被遺忘權(quán)；個人數(shù)據(jù)財產(chǎn)權(quán)包括：使用權(quán)、收益權(quán)和數(shù)據(jù)可攜權(quán)。以個人數(shù)據(jù)權(quán)體系檢視 “支付寶年度賬單事件”中 《芝麻服務(wù)協(xié)議》，暴露出個人數(shù)據(jù)控制企業(yè)與數(shù)據(jù)主體間權(quán)利義務(wù)失衡以及用戶個人數(shù)據(jù)權(quán)的大面積缺位，凸顯了我國以立法形式確立個人數(shù)據(jù)權(quán)、保護(hù)個人數(shù)據(jù)的緊迫性。

關(guān)鍵詞：個人數(shù)據(jù)；數(shù)據(jù)利益；個人數(shù)據(jù)權(quán)；個人數(shù)據(jù)權(quán)利體系；《芝麻服務(wù)協(xié)議》

2018年伊始，支付寶公布了一年一度的用戶 “年度個人賬單”，網(wǎng)友們紛紛曬出自己2017年年度賬單。就在支付寶年度賬單刷屏熱潮之際，有法律界人士指出，支付寶用戶在查看賬單時，就被默認(rèn)勾選 “同意”了 《芝麻服務(wù)協(xié)議》。因選項字體非常小，設(shè)置居于頁面左下端，不易被發(fā)覺，所以網(wǎng)友一般都會默認(rèn)同意這個協(xié)議，允許支付寶收集并處理用戶的各種信息甚至包括用戶存儲在第三方的信息，支付寶此舉侵犯了用戶多項權(quán)利。作為回應(yīng)芝麻信用發(fā)表聲明承認(rèn)默認(rèn)勾選 “我同意 《芝麻服務(wù)協(xié)議》”的行為不當(dāng)并向廣大用戶致歉。在對 “支付寶年度賬單事件”的討論中，網(wǎng)民及法律界人士關(guān)注點都集中在 “默認(rèn)勾選侵犯消費(fèi)者自主選擇權(quán)”、“有侵犯消費(fèi)者網(wǎng)絡(luò)隱私權(quán)之嫌”。但鮮有人注意到 《芝麻服務(wù)協(xié)議》文本中暴露出的對用戶個人數(shù)據(jù)權(quán)利的漠視以及個人數(shù)據(jù)控制公司與個人數(shù)據(jù)主體間權(quán)利義務(wù)顯著不對等，凸顯出我國個人數(shù)據(jù)權(quán)的大面積空白。有鑒于此，本文以此次事件為契機(jī)，分析個人數(shù)據(jù)權(quán)的形成邏輯與內(nèi)容，建構(gòu)個人數(shù)據(jù)權(quán)體系草圖；并以個人數(shù)據(jù)權(quán)體系審視 《芝麻服務(wù)協(xié)議》，在應(yīng)然權(quán)利層面揭示其文本中用戶個人數(shù)據(jù)權(quán)保護(hù)的失位。

一、個人數(shù)據(jù)權(quán)的法理辨析

 （一）個人數(shù)據(jù)的法益厘定

 個人數(shù)據(jù)的定義有 “概括”式與 “概括＋列舉”式兩種。前者如歐盟 《個人數(shù)據(jù)保護(hù)指令》第2條定義：“個人數(shù)據(jù)是指關(guān)于已經(jīng)識別或可識別的自然人的任何信息；可識別的個人是指可以直接或間接、特別是通過身份證號碼或身體、生理、精神、經(jīng)濟(jì)、文化或社會身份之一或若干特定因素而可識別的人?！比毡?《個人信息保護(hù)法》規(guī)定個人信息是指能夠識別特定個人的信息。既包括姓名等公開確定的信息，也包括能夠容易與其他信息相比照并能夠通過比照確定特定個人的信息。后者如我國 《個人信息保護(hù)法 （專家意見稿）》第9條給出的定義：“個人信息是指個人姓名、住址、出生日期、身份證號碼、醫(yī)療記錄、人事記錄、照片等單獨(dú)或與其他信息對照可以識別出特定的個人的信息?！币约皻W盟于2016年通過、已于2018年5月25日正式生效的 《個人數(shù)據(jù)保護(hù)條例》（GDPR）第4條第1款規(guī)定：“個人數(shù)據(jù)是指任何指向一個已識別或可識別的自然人的信息。該可識別的自然人能夠被直接或者間接的識別，尤其是通過參照如姓名、身份證號碼、定位數(shù)據(jù)、在線身份識別此類標(biāo)識，或通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會身份的要素?！?/p>

綜上，個人數(shù)據(jù)關(guān)鍵在于 “已識別或可識別”的特征，即 “識別就是指個人信息與信息主體存在于某一客觀確定的可能性，簡單的說就是通過這些個人信息能夠把信息主體直接或間接地認(rèn)出來”。個人數(shù)據(jù)能夠與特定個人產(chǎn)生連接，對其處理會對該自然人的生活造成影響甚至損害，這正是個人數(shù)據(jù)需要被保護(hù)的原因。識別的可能性指向的是個人某一方面特征。這種特征可能是涉及個人最私密領(lǐng)域，與個人隱私、個人尊嚴(yán)息息相關(guān)，也可能無關(guān)人格尊嚴(yán)但可以為個人帶來經(jīng)濟(jì)利益，還有可能以上二者兼具。所以個人數(shù)據(jù)承載的既有個人人格利益，也有財產(chǎn)利益。個人數(shù)據(jù)的人格利益與財產(chǎn)利益并非涇渭分明，二者常常混雜于一。人格商品化趨勢下，人格權(quán)的經(jīng)濟(jì)利益被放大，個人數(shù)據(jù)的人格利益與財產(chǎn)利益之間分出了依存關(guān)系：個人數(shù)據(jù)的人格利益亦能 “開發(fā)個人特征經(jīng)濟(jì)價值中所得的一種類似財產(chǎn)的利益”?？梢妭€人數(shù)據(jù)兼具人格利益與財產(chǎn)利益。其中財產(chǎn)利益來源有二：一為個人數(shù)據(jù)本就負(fù)載的財產(chǎn)利益；二是人格利益通過技術(shù)手段產(chǎn)生的財產(chǎn)利益。

 （二）個人數(shù)據(jù)權(quán)利的權(quán)利屬性

個人數(shù)據(jù)的法律保護(hù)核心在于完善個人數(shù)據(jù)權(quán)利輪廓，個人數(shù)據(jù)的權(quán)利配置是針對個人數(shù)據(jù)負(fù)載利益的確權(quán)，促進(jìn)個人數(shù)據(jù)作為資源的優(yōu)化配置。學(xué)界關(guān)于個人數(shù)據(jù)權(quán)的權(quán)利屬性頗多爭議，概括而言有三種觀點：人格權(quán)說、財產(chǎn)權(quán)說、隱私權(quán)說。

第一，人格權(quán)說，進(jìn)一步分為一般人格權(quán)理論與獨(dú)立人格權(quán)理論。由于個人數(shù)據(jù)是個人日常生活的忠實記錄，個人的一言一行、所思所想都可以通過網(wǎng)絡(luò)以數(shù)據(jù)的形式記錄并保留。加之隨著算法的迭代，數(shù)據(jù)挖掘能力越強(qiáng)因而數(shù)據(jù)間關(guān)聯(lián)性也愈加緊密，直接的影響就是個人的幾乎所有行為和想法都可以在瞬間被以數(shù)據(jù)形式收集、記錄、整理與儲存。這些個人數(shù)據(jù)組合而成的就是足以反映特定個人人格的關(guān)鍵信息。美國有學(xué)者將此定義為一種 “數(shù)字化人格 ” （computer persona):數(shù)字行為在一段時間內(nèi)積累到一定程度，就能夠構(gòu)成與實際人格相似的數(shù)字人格即以在交易中體現(xiàn)出來的數(shù)據(jù)為基礎(chǔ)的個人公共形象，被用來作為該個人的代號。因而持一般人格權(quán)論者認(rèn)為一般人格利益涵蓋個人數(shù)據(jù)上承載的所有精神性人格利益，即只有一般人格權(quán)才足以提供個人數(shù)據(jù)的充分保護(hù)。個人數(shù)據(jù)所體現(xiàn)的利益是人格尊嚴(yán)、人性自由、人身完整等基本利益，所以個人數(shù)據(jù)權(quán)屬于一般人格權(quán)范疇。以王利明教授為代表的民法學(xué)者主張個人信息權(quán)是一種獨(dú)立人格權(quán)。類似的有德國在１９８３年一個典型案例 中，提出了一個全新的概念 “個人信息數(shù)據(jù)自決權(quán) ” （a right to informational self—determination），作為一項獨(dú)立的全新的特別人格權(quán)。

第二，財產(chǎn)權(quán)理論認(rèn)為，個人數(shù)據(jù)的可識別性及由此形成的數(shù)據(jù)化人格拼圖，使得日常生活中個人的行為偏好或社會關(guān)系、生理特征都可以通過網(wǎng)絡(luò)被處理以及商業(yè)化利用。并且隨著數(shù)據(jù)挖掘技術(shù)的進(jìn)步，數(shù)據(jù)與數(shù)據(jù)之間的關(guān)聯(lián)性越來越強(qiáng)，大數(shù)據(jù)分析技術(shù)水平的提高進(jìn)一步使數(shù)據(jù)的商業(yè)價值得到了充分放大。所以，附著在個人數(shù)據(jù)上的種種經(jīng)濟(jì)價值得以體現(xiàn)，使其具備了財產(chǎn)屬性。概言之，個人信息因具備稀缺性、有用性、可控性這三個屬性，屬于法律上的財產(chǎn)。個人信息財產(chǎn)權(quán)是信息主體對個人信息的商業(yè)價值進(jìn)行支配的一種新型財產(chǎn)權(quán).如美國學(xué)者 Alan F ·Westin認(rèn)為應(yīng)將個人對信息的權(quán)利界定為財產(chǎn)權(quán)，在處置個人信息時可適用限制危險商品的方式予以限制。薩繆爾森教授指出 “信息是財產(chǎn)的法律觀點得到越來越多的認(rèn)同，也有促進(jìn)信息產(chǎn)業(yè)發(fā)展的考慮”。

第三，隱私權(quán)理論植根英美法系隱私權(quán)法律文化中，隱私權(quán)是一種框架性權(quán)利。無論學(xué)說還是判例，其存在皆為人格完整不可缺少的要件。亦有觀點提出，隱私權(quán)升級為個人信息控制權(quán) （the privacy—as —control theory）包含個人數(shù)據(jù)權(quán)，這是 “個人、團(tuán)體或機(jī)構(gòu)自由地決定在何時、用何種方式、在何種程度向他人傳遞與自己有關(guān)的信息的權(quán)利主張”。王澤鑒教授也主張 “隱私權(quán)包括保護(hù)私生活不受干擾及信息自主兩個生活領(lǐng)域”。

以上三種觀點，人格權(quán)理論強(qiáng)調(diào)個人數(shù)據(jù)表征的人格利益以及個人數(shù)據(jù)權(quán)主體基于自己的決定，意識自我、決定自我、形成自我；但忽視了個人數(shù)據(jù)的財產(chǎn)利益以及其發(fā)展要求，且一般人格權(quán)的外延不確定性容易使得對個人數(shù)據(jù)的法律保護(hù)含混而不具有司法實踐中的可操作性。財產(chǎn)權(quán)說順應(yīng)人格商品化趨勢也有助于數(shù)據(jù)流通，但沒有意識到個人數(shù)據(jù)與財產(chǎn)權(quán)一般客體的區(qū)別及由此帶來的個人數(shù)據(jù)權(quán)與財產(chǎn)權(quán)的權(quán)能差別。隱私權(quán)理論缺陷在于個人數(shù)據(jù)與隱私有交叉但不重合，隱私權(quán)無法涵蓋個人數(shù)據(jù)權(quán)的全部內(nèi)容。并且 “一概而論的賦予所有個人信息以同一權(quán)利基礎(chǔ)是不正確的。不同的個人信息，或者體現(xiàn)人格利益，或者體現(xiàn)商業(yè)利益，或者同時體現(xiàn)人格利益與商業(yè)利益，試圖以一個權(quán)利作為保護(hù)所有個人信息的基礎(chǔ)是不可行的”。筆者認(rèn)為，個人數(shù)據(jù)權(quán)是由于大數(shù)據(jù)技術(shù)迅猛發(fā)展帶來的社會關(guān)系現(xiàn)實的重大變化而產(chǎn)生的此前未曾出現(xiàn)過的權(quán)利形態(tài)。個人數(shù)據(jù)權(quán)是一種多元權(quán)利，其以個人數(shù)據(jù)為權(quán)利客體，兼具人格權(quán)特性與財產(chǎn)權(quán)特性。本文建議應(yīng)當(dāng)將個人數(shù)據(jù)權(quán)利定位為權(quán)利叢，給予其基于個人數(shù)據(jù)人格屬性和財產(chǎn)屬性的雙重價值面向的權(quán)利設(shè)置。

 （三）個人數(shù)據(jù)權(quán)利的規(guī)范性證成

盡管個人數(shù)據(jù)權(quán)利符合邊沁等功利主義法學(xué)家對權(quán)利的論述：“權(quán)利的特質(zhì)在于給予所有者以利益……權(quán)利對于享有者來說就是利益和好處”，但對于個人數(shù)據(jù)權(quán)研究而言，不僅要分析權(quán)利的屬性問題，對權(quán)利的證成也是必要的，即如何把一項利益要求轉(zhuǎn)化為一種權(quán)利。對此，AlonHarel認(rèn)為取決于證成此要求的理由究竟是內(nèi)在理由還是外在理由。內(nèi)在理由是能夠使得具體要求轉(zhuǎn)化為一種權(quán)利的理由，其是以統(tǒng)一的、非語境的、類似規(guī)則的方式運(yùn)行的。外在理由是影響權(quán)利受保護(hù)的力度或嚴(yán)格性，但無法證成該要求為一種權(quán)利的理由，其是以變化的、語境的、特殊的方式運(yùn)行的。質(zhì)言之，內(nèi)在理由具有獨(dú)立于情景的統(tǒng)一嚴(yán)格性，而非由情景檢驗其嚴(yán)格性。外在理由則是在對具體情景的細(xì)致考察基礎(chǔ)上視情景而定其嚴(yán)格性。只有內(nèi)在理由，才能證成權(quán)利。

數(shù)據(jù)主體對個人數(shù)據(jù)利益的要求必須找到能夠支撐其為一項權(quán)利的內(nèi)在理由。依前文所述，個人數(shù)據(jù)權(quán)利證成最主要的內(nèi)在理由莫過于其反應(yīng)了康德哲學(xué)自主性原則：人是目的，不是手段，道德上的自主是人性和一切有理性事物尊嚴(yán)的前提。個人數(shù)據(jù)的自主體現(xiàn)著人作為道德行動者的人格尊嚴(yán)，而 “人格尊嚴(yán)與時間空間均無關(guān)，而是應(yīng)在法律上被實現(xiàn)的東西，其存立的基礎(chǔ)在于人所以為人，乃基于其心智，此一心智使其有能力自非人的本質(zhì)脫離”。這是一種個人利益自主為核心的 “權(quán)利人權(quán)利觀”：數(shù)據(jù)主體有權(quán)利自主決定其個人數(shù)據(jù)的用途。

但是僅以自主作為證成個人數(shù)據(jù)權(quán)利的內(nèi)在理由并不充分。行為經(jīng)濟(jì)學(xué)的研究成果嚴(yán)重沖擊了自主原則的理性基礎(chǔ) 。且若僅以自主為內(nèi)在理由證成的個人數(shù)據(jù)權(quán)利，也會導(dǎo)致拉茲所說 “對權(quán)利保護(hù)的嚴(yán)格性與權(quán)利人利益之間存在一個縫隙 ”的情形出現(xiàn)。為給權(quán)利找到一個權(quán)利人利益之外、獨(dú)立的理由，拉茲提出 “共同善”，即權(quán)利的分量或者重要性等于權(quán)利人的利益再加上其他人的利益 （普遍利益或公共利益）。以 “共同善權(quán)利觀”作為證成個人數(shù)據(jù)權(quán)利內(nèi)在理由的另一路徑在于，個人數(shù)據(jù)與特定的數(shù)據(jù)主體相連，對某一主體的個人數(shù)據(jù)權(quán)利的保護(hù)并不會損害其他人對自身個人數(shù)據(jù)的利益，同時還有助于在網(wǎng)絡(luò)與大數(shù)據(jù)結(jié)合而成的全景敞視社會 形成尊重人的自主性和保障人格尊嚴(yán)的共同善文化，所有人都會受益于這種善。共同善權(quán)利觀構(gòu)成了個人數(shù)據(jù)權(quán)利正當(dāng)性的有利辯護(hù)理由之一，能夠強(qiáng)化個人數(shù)據(jù)權(quán)利保護(hù)的力度。

“共同善權(quán)利觀”與 “權(quán)利人權(quán)利觀”并非不可調(diào)和，如 Harel所說，當(dāng)我們?yōu)橐豁棛?quán)利進(jìn)行辯護(hù)時，并非只以權(quán)利人的利益作為唯一的依據(jù)。二者共同作為證成個人數(shù)據(jù)權(quán)利的內(nèi)在理由，統(tǒng)合于拉茲 “弱版本的共同善權(quán)利觀”：保障數(shù)據(jù)主體的個人數(shù)據(jù)權(quán)利，不僅有利于對數(shù)據(jù)主體個人數(shù)據(jù)利益的保護(hù)，也是在大數(shù)據(jù)時代下對維護(hù)尊重人格尊嚴(yán)、強(qiáng)調(diào)人的自主性的共同善文化做出了貢獻(xiàn)。

二、個人數(shù)據(jù)權(quán)體系的建構(gòu)

（一）個人數(shù)據(jù)權(quán)體系的內(nèi)容

技術(shù)進(jìn)步賦予個人數(shù)據(jù)權(quán)有別于傳統(tǒng)權(quán)利的獨(dú)特性，時代對大數(shù)據(jù)技術(shù)應(yīng)用的需求以及對技術(shù)可能帶來風(fēng)險的警惕也給予個人數(shù)據(jù)權(quán)更豐富的內(nèi)容。以歐盟 《個人數(shù)據(jù)保護(hù)條例》為代表，其對個人數(shù)據(jù)權(quán)作了非常詳細(xì)的規(guī)定：知情權(quán)、訪問權(quán)、反對權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜權(quán)。齊愛民教授認(rèn)為，個人數(shù)據(jù)權(quán)應(yīng)包括決定權(quán)、保密權(quán)、查詢權(quán)、更正權(quán)、封鎖權(quán)、刪除權(quán)、報酬請求權(quán)。湯擎教授提出個人數(shù)據(jù)權(quán)有控制權(quán)、享益權(quán)、知情權(quán)、完整權(quán)、請求司法救濟(jì)權(quán)。王利明教授認(rèn)為個人數(shù)據(jù)權(quán)包括處分權(quán)、要求更正權(quán)、更新權(quán)、了解信息用途的權(quán)利。筆者整理了典型國家、地區(qū)法律法規(guī)對個人數(shù)據(jù)權(quán)內(nèi)容的規(guī)定，如下表。

個人數(shù)據(jù)權(quán)是大數(shù)據(jù)時代孕育的新興權(quán)利，其應(yīng)當(dāng)是一個表征權(quán)利束 （叢）的統(tǒng)合概念，代表著一系列不同類型和性質(zhì)的權(quán)利。個人數(shù)據(jù)權(quán)體系的意圖在于確權(quán)，建立能夠賦予數(shù)據(jù)主體如上表中所述系列權(quán)利的基本權(quán)利束框架。誠如姚建宗教授多年前預(yù)見的，新興權(quán)利必然是因為社會的發(fā)展同時帶來社會利益關(guān)系多元化的事實，而這也必然引起主體對自身利益的敏感以及權(quán)利意識的不斷增強(qiáng)。=個人數(shù)據(jù)權(quán)利客體的多元利益格局必然導(dǎo)致權(quán)利多元并分成不同類型。個人數(shù)據(jù)權(quán)利所承載的利益關(guān)系中又以人格利益與財產(chǎn)利益最為重要，所以個人數(shù)據(jù)權(quán)主要分為個人數(shù)據(jù)人格權(quán)與個人數(shù)據(jù)財產(chǎn)權(quán)兩類，結(jié)合國內(nèi)外個人數(shù)據(jù)權(quán)利學(xué)說與司法實踐，筆者總結(jié)個人數(shù)據(jù)權(quán)利體系：1.個人數(shù)據(jù)人格權(quán)。包括自決權(quán)、同意權(quán)、修改權(quán)、被遺忘權(quán)；2.個人數(shù)據(jù)財產(chǎn)權(quán)。包括使用權(quán)、收益權(quán)、數(shù)據(jù)可攜權(quán)。

 （二）個人數(shù)據(jù)權(quán)體系詳解

1.個人數(shù)據(jù)人格權(quán)

(1)自決權(quán)

自決權(quán)概念肇始于德國司法實踐，通常被認(rèn)為是一般人格權(quán)的下位概念，是 “個人得本著自主決定的價值與尊嚴(yán)，自行決定何時及于何種范圍內(nèi)公開其個人的生活事實 ”的權(quán)利落地在個人數(shù)據(jù)權(quán)利體系的具體化。個人數(shù)據(jù)自決權(quán)強(qiáng)調(diào)自由、自主、自治，以確保數(shù)據(jù)主體捍衛(wèi)個人人格尊嚴(yán)和人格自由發(fā)展。個人數(shù)據(jù)自決權(quán)是個人數(shù)據(jù)人格權(quán)的基礎(chǔ)權(quán)利，也為整個個人數(shù)據(jù)權(quán)利體系奠定了價值基礎(chǔ)。之所以如此說，是因為個人數(shù)據(jù)自決權(quán)體現(xiàn)了人作為道德上自決的主體的一般行為自由，其是自由發(fā)展人格的必要條件。特別是在數(shù)據(jù)自動化處理的條件下，自決權(quán)初衷在于保護(hù)個人數(shù)據(jù)不被無限制地收集、濫用。人格自由發(fā)展與個人尊嚴(yán)是所有承載人格利益的權(quán)利的出發(fā)點，同時也是由人格利益發(fā)展出的財產(chǎn)性權(quán)利的落腳點。個人數(shù)據(jù)自決權(quán)要求數(shù)據(jù)主體對其個人數(shù)據(jù)———無論是涉及人格利益、還是有關(guān)財產(chǎn)利益，均有自主決定其用途以及何時、何地、以何種方式被收集、處理和應(yīng)用的權(quán)利。個人數(shù)據(jù)與數(shù)據(jù)主體之間的利益關(guān)聯(lián)并非個人數(shù)據(jù)自決權(quán)的關(guān)注要點，其權(quán)利行為重在自由選擇、自主決定，即 “每項個人資料之收集，無論是否涉及隱私，皆需尊重當(dāng)事人之自決或自主權(quán)利”。這也是個人數(shù)據(jù)自決權(quán)外延大于隱私權(quán)外延所在。并且隱私權(quán)在大數(shù)據(jù)時代倒逼下，其權(quán)利發(fā)展動向趨于朝著個人數(shù)據(jù)自決權(quán)靠近。有美國學(xué)者將隱私權(quán)定義為 “個人對控制個人信息范圍的請求權(quán)，在這一范圍內(nèi)主體收集、披露和利用確認(rèn)為自己的信息”。此名為隱私權(quán)，實為個人數(shù)據(jù)自決權(quán)之全部精髓。個人數(shù)據(jù)自決權(quán)是個人數(shù)據(jù)權(quán)利體系中一般人格利益的負(fù)載權(quán)利。所以，其也被認(rèn)為是 “要求信息技術(shù)體系具有保密性與公正性的基本權(quán)利”。個人數(shù)據(jù)自決權(quán)內(nèi)容不是數(shù)據(jù)主體完全控制、支配個人數(shù)據(jù)，而是個人數(shù)據(jù)被收集、處理和應(yīng)用時有權(quán)知悉、做出同意或反對，在被收集、處理和應(yīng)用后有修改、撤回同意、刪除 （被遺忘）和要求收益的權(quán)利。

（２）同意權(quán)

同意權(quán)是個人數(shù)據(jù)權(quán)利之前哨。同意權(quán)是個人數(shù)據(jù)自決權(quán)的自然延伸，主體只有明確每一個涉及自己資料提供和被利用的過程，在每一步程序中都有基于自己意志的選擇與決定的可能性，并且擁有法律賦予的對抗他人恣意的權(quán)利，如此每個主體的人格尊嚴(yán)才不會受到貶損 。個人數(shù)據(jù)的收集、處理和應(yīng)用的整個流程均應(yīng)以數(shù)據(jù)主體的同意為開始的標(biāo)志。同意權(quán)邏輯上必然包含知情權(quán)，其相對面必然是數(shù)據(jù)服務(wù)提供商的告知義務(wù)。同意以知情為前提，以告知為必須。所以個人數(shù)據(jù)流通領(lǐng)域現(xiàn)行的 “告知－同意”框架以獲得數(shù)據(jù)主體對他人使用其個人數(shù)據(jù)的同意作為數(shù)據(jù)處理行為的合法性基礎(chǔ)。此次 “支付寶年度賬單事件”之所以在用戶中引起軒然大波，也是因為支付寶無視用戶個人數(shù)據(jù)同意權(quán)而默認(rèn)勾選同意的舉動，破壞了用戶作為數(shù)據(jù)主體對其個人數(shù)據(jù)被收集、存儲與使用流程的自主選擇與決定。這也說明了 “告知－同意”框架現(xiàn)實中規(guī)制作用的羸弱。

盡管如此，同意權(quán)仍然位于個人數(shù)據(jù)權(quán)利體系的核心地位。同意的范圍不僅包括對個人數(shù)據(jù)的收集、存儲與處理行為，也包含數(shù)據(jù)收集的目的、同意的意思作出方式、同意效力覆蓋的階段等?；趯?“告知－同意”框架失效困境的反思，各國對個人數(shù)據(jù)同意權(quán)的立法呈現(xiàn)出同意的有效標(biāo)準(zhǔn)愈發(fā)嚴(yán)格的趨勢。如歐盟 《個人數(shù)據(jù)保護(hù)條例》通過系列規(guī)定對數(shù)據(jù)主體的個人數(shù)據(jù)同意權(quán)提供了堅實的法律保障。首先，數(shù)據(jù)主體的同意必須是在充分知情的情況下做出，明晰且具體的。相應(yīng)的，數(shù)據(jù)控制者應(yīng)當(dāng)以簡單、明確且易于獲取的方式，通過清楚準(zhǔn)確的語言，采取合適的方式向數(shù)據(jù)主體提供需要數(shù)據(jù)主體同意的數(shù)據(jù)信息。數(shù)據(jù)主體應(yīng)當(dāng)知情和同意的內(nèi)容如下：數(shù)據(jù)控制者以及數(shù)據(jù)控制者代表人的身份和聯(lián)系方式、數(shù)據(jù)保護(hù)機(jī)構(gòu)的詳細(xì)聯(lián)系方式。個人數(shù)據(jù)處理的目的以及處理的法律基礎(chǔ)。涉及第三方的，必須說明數(shù)據(jù)控制者或者第三方追求的合法利益。如果有，還應(yīng)當(dāng)提供個人數(shù)據(jù)接收者或者接收者的類別。自動決策機(jī)制下，包括對個人數(shù)據(jù)的剖析及相關(guān)算法邏輯以及這種處理對數(shù)據(jù)主體產(chǎn)生的預(yù)期影響與意義。個人數(shù)據(jù)的存儲周期。若無法提供，則應(yīng)當(dāng)說明采取該周期的標(biāo)準(zhǔn)。

并且數(shù)據(jù)主體有權(quán)利隨時撤回其同意。同意的撤回并不影響同意被撤回前數(shù)據(jù)主體基于其同意取得的合法收益。同意的撤回應(yīng)當(dāng)與同意作出一樣容易。在作出同意前，數(shù)據(jù)主體應(yīng)當(dāng)被告知以上內(nèi)容。 

針對個人數(shù)據(jù)被處理時 “一次同意多次有效”情況給數(shù)據(jù)主體權(quán)益造成的侵害，韓國 《個人信息保護(hù)法》對個人數(shù)據(jù)同意權(quán)確立了 “一事一同意原則”：個人信息控制者約定目的之外的個人信息使用和對外提供，需要重新獲得信息主體的獨(dú)立同意，并且再次履行相應(yīng)的告知義務(wù)。韓國法先進(jìn)之處在于同意權(quán)的 “非捆綁行權(quán)模式”：每項需授權(quán)事項的同意均獨(dú)立，即數(shù)據(jù)主體可選擇同意其中某些項而拒絕其他項。這種同意權(quán)設(shè)置打破了 “要么全盤同意，要么退出”的格式合同，對審視 《芝麻服務(wù)協(xié)議》偏頗之處以及我國個人數(shù)據(jù)保護(hù)領(lǐng)域同意權(quán)發(fā)揮實效頗具啟示。后文再稟。

 （３）修改權(quán)

個人數(shù)據(jù)修改權(quán)是自決權(quán)的延展，知情、同意的后續(xù)，亦是被遺忘權(quán)的前哨，可說是一項承上啟下的權(quán)利。修改權(quán)內(nèi)容有二：一是數(shù)據(jù)主體享有要求修改或者授權(quán)他人要求修改其不準(zhǔn)確、不正當(dāng)個人數(shù)據(jù)的請求權(quán)；二是數(shù)據(jù)主體有權(quán)要求個人數(shù)據(jù)控制者無不當(dāng)延誤的修改有關(guān)其個人不準(zhǔn)確的個人數(shù)據(jù)。修改權(quán)旨在保證個人數(shù)據(jù)的真實性與完整性，以確保其個人數(shù)據(jù)化人格畫像不受歪曲。相應(yīng)的，數(shù)據(jù)控制者、數(shù)據(jù)處理者有保證其收集、處理的個人數(shù)據(jù)完整性的妥善保管義務(wù)，不僅其自身沒有改動數(shù)據(jù)主體個人數(shù)據(jù)的權(quán)利，亦要防止除個人數(shù)據(jù)主體及個人數(shù)據(jù)主體授權(quán)的人之外的其他人對個人數(shù)據(jù)完整性的侵犯。

 （４）被遺忘權(quán)

被遺忘權(quán)是個人數(shù)據(jù)人格利益捍衛(wèi)的最后一道屏障。盡管被遺忘權(quán)行權(quán)的條件并非必須窮盡個人數(shù)據(jù)人格權(quán)的其他權(quán)利，但被遺忘權(quán)以刪除為其行權(quán)手段，卻是最激烈也最有效的 “抑制和刪除信息獲取渠道的權(quán)利”。

被遺忘權(quán)初現(xiàn)于歐盟2014年 “谷歌西班牙案”。我國司法實務(wù)中也已經(jīng)有相似案件出現(xiàn)。兩起案件被告均為提供互聯(lián)網(wǎng)搜索引擎服務(wù)企業(yè)，因而部分學(xué)人局限于搜索引擎范圍將被遺忘權(quán)的內(nèi)容解釋為斷開鏈接或者刪除搜索鏈接。然而大數(shù)據(jù)技術(shù)迅猛發(fā)展，被遺忘權(quán)的概念演進(jìn)至今，早已從最初的 “被遺忘權(quán)第一案”擴(kuò)張開來。被遺忘權(quán)相應(yīng)的義務(wù)主體不僅是谷歌、百度之類的互聯(lián)網(wǎng)搜索引擎，更是淘寶、支付寶之類直接掌握和控制大量用戶第一手個人數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)。被遺忘權(quán)的內(nèi)容不應(yīng)囿于斷開鏈接等間接方式，而必須擴(kuò)展為直接從數(shù)據(jù)控制者源頭處刪除其個人數(shù)據(jù)。結(jié)合域外立法、司法經(jīng)驗和我國互聯(lián)網(wǎng)現(xiàn)狀，被遺忘權(quán)內(nèi)容應(yīng)概括為：當(dāng)出現(xiàn) （ａ）數(shù)據(jù)主體依法撤回其同意；（ｂ）就數(shù)據(jù)收集、處理的目的而言，該個人數(shù)據(jù)已非必要；（ｃ）數(shù)據(jù)控制者收集、處理個人數(shù)據(jù)的合法基礎(chǔ)喪失。數(shù)據(jù)主體有權(quán)要求個人數(shù)據(jù)控制者無不當(dāng)延誤的刪除其有關(guān)個人數(shù)據(jù)。當(dāng)個人數(shù)據(jù)控制者已將其控制的個人數(shù)據(jù)公開，并且根據(jù) 負(fù)有刪除義務(wù)，數(shù)據(jù)控制者在考量合理成本與可用技術(shù)手段后，還應(yīng)當(dāng)采取合理措施、包括技術(shù)手段，通知正在處理該數(shù)據(jù)的其他控制者：數(shù)據(jù)主體要求該個人數(shù)據(jù)的所有控制者刪除此個人數(shù)據(jù)及鏈接和復(fù)制件。上述 、 下列情形不是必須被適用：（ａ）為了行使言論自由權(quán)利；（ｂ）為了遵守法定義務(wù)或者基于公共利益使用；（ｃ）行權(quán)很可能損害為了公益而存檔、科學(xué)或歷史研究、統(tǒng)計目的的實現(xiàn)。

 ２．個人數(shù)據(jù)財產(chǎn)權(quán)

 （１）使用權(quán)

數(shù)據(jù)主體有權(quán)使用其個人數(shù)據(jù)。盡管數(shù)據(jù)主體并不一定直接占有、控制其個人數(shù)據(jù)，但基于個人數(shù)據(jù)與數(shù)據(jù)主體的天然聯(lián)系，數(shù)據(jù)主體對可為自己帶來經(jīng)濟(jì)利益的人格要素享有使用以獲利的權(quán)利。數(shù)據(jù)主體有權(quán)使用數(shù)據(jù)控制者、處理者掌握的個人數(shù)據(jù)，但不包括數(shù)據(jù)控制者、處理者利用其獨(dú)有算法處理的加工過程和分析成果。相應(yīng)的，數(shù)據(jù)處理者、控制者負(fù)有保證個人數(shù)據(jù)完整與提供個人數(shù)據(jù)的義務(wù)。使用權(quán)旨在限制數(shù)據(jù)寡頭企業(yè)對個人數(shù)據(jù)的 “無邊界權(quán)利”，通過賦予數(shù)據(jù)主體使用數(shù)據(jù)的權(quán)利，可以在一定程度上對沖大數(shù)據(jù)開發(fā)和利用帶來的負(fù)外部性 。

 （２）收益權(quán)

收益權(quán)是指數(shù)據(jù)主體基于其個人數(shù)據(jù)被處理而從該數(shù)據(jù)的控制者、處理者處獲得收益的權(quán)利。為使消費(fèi)者對自身個人信息享有法律上可執(zhí)行的財產(chǎn)利益，需要精巧地構(gòu)建信息財產(chǎn)權(quán)制度，這預(yù)示了要將一些特定的權(quán)利加入到個人信息中來。大數(shù)據(jù)的挖掘與處理技術(shù)使得個人數(shù)據(jù)成為資源，能夠創(chuàng)造經(jīng)濟(jì)價值，收益權(quán)旨在確保個人數(shù)據(jù)主體有權(quán)分享大數(shù)據(jù)時代的紅利，基于個人數(shù)據(jù)財產(chǎn)利益的開發(fā)而獲益。個人數(shù)據(jù)本身是競爭性資源，法律亦能使之 “稀缺”，進(jìn)而劃定產(chǎn)權(quán)及其邊界。并且在產(chǎn)權(quán)機(jī)制中，信息權(quán)利的價值是由賣方來定的。收益權(quán)的設(shè)置增加了數(shù)據(jù)控制者獲得數(shù)據(jù)主體同意其使用、處理個人數(shù)據(jù)的成本，有利于提升個人數(shù)據(jù)交易中數(shù)據(jù)主體的議價能力。

 （３）數(shù)據(jù)可攜權(quán)

數(shù)據(jù)可攜權(quán)出自歐盟 《個人數(shù)據(jù)保護(hù)條例》（GDPR）第20條right to data portability，是指數(shù)據(jù)主體有權(quán)無障礙的以結(jié)構(gòu)化、通用的、機(jī)器讀取的方式將有關(guān)其自身的個人數(shù)據(jù)從某一數(shù)據(jù)控制者傳輸?shù)搅硪粩?shù)據(jù)控制者處。技術(shù)允許的條件下，數(shù)據(jù)主體有權(quán)直接將其個人數(shù)據(jù)從一個數(shù)據(jù)控制者處傳輸?shù)搅硪粋€控制者處?？紤]到數(shù)據(jù)主體與數(shù)據(jù)控制者之間的權(quán)利義務(wù)對等以及利益平衡， “有關(guān)其自身的個人數(shù)據(jù)”不宜擴(kuò)張，應(yīng)當(dāng)將其范圍限縮為：一、數(shù)據(jù)主體自己提供給數(shù)據(jù)控制者的個人數(shù)據(jù)；二、數(shù)據(jù)主體在使用數(shù)據(jù)控制者開發(fā)的產(chǎn)品、接受數(shù)據(jù)控制者提供的服務(wù)時，數(shù)據(jù)控制者收集的數(shù)據(jù)主體的數(shù)據(jù)。比如數(shù)據(jù)主體在使用產(chǎn)品、接受服務(wù)過程中留下的數(shù)據(jù)痕跡，但不包括數(shù)據(jù)控制者運(yùn)用自己的算法分析、處理數(shù)據(jù)主體個人數(shù)據(jù)與數(shù)據(jù)痕跡后得出的結(jié)論，且前提是該分析運(yùn)算過程不侵犯數(shù)據(jù)主體的同意權(quán)。個人數(shù)據(jù)的轉(zhuǎn)移也不意味著對前任數(shù)據(jù)控制者行使了被遺忘權(quán)，前任數(shù)據(jù)控制者控制和處理的數(shù)據(jù)不會自動被刪除，數(shù)據(jù)主體也不可僅因個人數(shù)據(jù)被轉(zhuǎn)移就要求前任數(shù)據(jù)控制者刪除其個人數(shù)據(jù)，除非滿足被遺忘權(quán)行權(quán)的條件。

數(shù)據(jù)可攜權(quán)不僅可以幫助數(shù)據(jù)主體實現(xiàn)對其個人數(shù)據(jù)在整個流通過程的有效控制，促進(jìn)數(shù)據(jù)的利用與流通，并且有利于實現(xiàn) “要想從擁有者那里得到利益，就必須通過自愿交易”，使數(shù)據(jù)主體基于其個人數(shù)據(jù)被傳輸、被處理而真正獲益。數(shù)據(jù)可攜權(quán)亦可以放大個人數(shù)據(jù)的競爭性，激勵數(shù)據(jù)控制者對個人數(shù)據(jù)的高效、充分利用，達(dá)到促進(jìn)技術(shù)發(fā)展和產(chǎn)業(yè)繁榮的目的。

三、《芝麻服務(wù)協(xié)議》的理論分析

“年度賬單”事件伴隨著芝麻信用及時糾錯和誠摯道歉迅速消失在公眾關(guān)注的視野中，但《芝麻服務(wù)協(xié)議》（以下簡稱 《協(xié)議》）文本本身對于個人數(shù)據(jù)權(quán)設(shè)置以及個人數(shù)據(jù)的保護(hù)而言仍然具有警示意義和研究價值。結(jié)合上文對個人數(shù)據(jù)權(quán)體系的梳理，試對《芝麻服務(wù)協(xié)議》分析如下。

 （一）《協(xié)議》的現(xiàn)實困境

 《協(xié)議》屬于點擊合同（click—wrapcontract），指用戶在使用網(wǎng)上服務(wù)或商品時，由網(wǎng)上服務(wù)或商品提供商發(fā)出的格式條款，用戶點擊 “同意”按鈕表示承諾以達(dá)成意思表示一致的合同，服務(wù)和商品才會提供。此種情況下，“點擊”即為 “同意”。結(jié)合前文對同意權(quán)的分析可知，《協(xié)議》本質(zhì)是 “告知－同意”框架下的格式合同。這種點擊合同對芝麻信用一類的網(wǎng)絡(luò)服務(wù)、商品提供商而言，是以低成本、標(biāo)準(zhǔn)化方式獲得用戶同意的手段，也是獲得處理用戶個人數(shù)據(jù)合法性基礎(chǔ)的易于操作的靈活機(jī)制。這種機(jī)制 （點擊合同）的廣泛應(yīng)用避免了公權(quán)力對合法商業(yè)活動過度管制而扼殺產(chǎn)業(yè)活躍性和技術(shù)創(chuàng)新的危害。對于用戶而言，點擊合同亦是一個快速、簡單的途徑———知悉其將要接受的服務(wù)或商品的可能伴隨的風(fēng)險和注意事項。

 盡管如此，《協(xié)議》在現(xiàn)實中遇到諸多點擊合同本身帶來的困境。

１．對用戶

點擊合同本質(zhì)是格式合同，其弊端在于合同提供方極可能利用其優(yōu)勢地位 “制定有利于己不利于消費(fèi)者的條款”?！秴f(xié)議》規(guī)定了許多情形下的芝麻信用免責(zé)事項，但對何種情況下用戶責(zé)任的免除未做說明。

并且 “如果規(guī)定同意是獲得服務(wù)的前提條件，消費(fèi)者為了獲得其所需要的服務(wù)和商品，則除了同意別無選擇，此時這種選擇和同意是毫無意義和不切實際的”。

 ２．對網(wǎng)絡(luò)服務(wù)、商品提供商

“很少有用戶會仔細(xì)閱讀網(wǎng)站的隱私協(xié)議。企業(yè)的隱私協(xié)議往往是用戶試圖了解企業(yè)如何收集、使用、分享其個人信息的重要且唯一的途徑。隱私協(xié)議與隱私保護(hù)聲明是行業(yè)自治的“告知—同意”框架基礎(chǔ)，（用戶）閱讀并理解隱私協(xié)議與隱私保護(hù)聲明是其價值與正當(dāng)性的基礎(chǔ)。但是，對用戶而言，隱私協(xié)議冗長、晦澀，網(wǎng)站的隱私保護(hù)聲明通常也無法讓用戶滿意?，F(xiàn)階段的科技水平也無法改善這種情況。”

 “'通知與同意’的方式是實踐中應(yīng)用平臺、程序或者網(wǎng)站服務(wù)要求個人明確同意對其個人數(shù)據(jù)信息收集使用的做法。但是只有在臆想的世界中用戶才真正閱讀這些通知的內(nèi)容，并在表明其同意之前真的理解其含義。'通知和同意’在服務(wù)者和用戶之間形成了一個不平等的有關(guān)隱私的談判平臺，服務(wù)者提供了一個復(fù)雜的，要么同意要么離開的隱私條款，而實際上，用戶僅僅有幾秒鐘的時間去評估它，這是一種市場失效。”

 《協(xié)議》“告知－同意”框架，已經(jīng)失去制度設(shè)計初衷，甚至加劇了用戶與芝麻信用之間的權(quán)利義務(wù)不對等。芝麻信用利用其技術(shù)、資源優(yōu)勢以及行業(yè)主導(dǎo)地位，獨(dú)占并控制著用戶的個人數(shù)據(jù)，進(jìn)而形成對個人數(shù)據(jù)的壟斷狀態(tài)。在此背景下，其為用戶提供的 《協(xié)議》，對用戶而言只有 “是”或 “否”的選擇，擠壓彼此的議價空間，無法形成有效的談判機(jī)制。這也是此次事件中用戶被直接強(qiáng)制勾選 “同意”按鈕的潛在動因。

 （二）《協(xié)議》的個人數(shù)據(jù)權(quán)缺位

 德肖維茨指出，權(quán)利來自于人類的不義。并且要真正建立一種實用的權(quán)利理論，要大家同意什么構(gòu)成了 “不義”。因為這些不義造成的惡行，迫使我們制定出一套權(quán)利體系來防止它們再度發(fā)生，并且要立即行動。因而，我們需要知曉個人數(shù)據(jù)權(quán)缺位的具體情形。權(quán)利窮則需思變，變則通，通則新權(quán)立。結(jié)合個人數(shù)據(jù)權(quán)體系，省視 《協(xié)議》內(nèi)容，筆者指出其在應(yīng)然權(quán)利層面上的個人數(shù)據(jù)權(quán)空缺以及保障用戶個人數(shù)據(jù)的不周之處。

 １．個人數(shù)據(jù)定義含混且未做區(qū)分

個人數(shù)據(jù)是用戶數(shù)據(jù)利益的載體，兼有人格利益與財產(chǎn)利益，故需區(qū)別對待。進(jìn)一步講，人格利益含有對個人私密領(lǐng)域的控制，所以一部分個人數(shù)據(jù)涉及個人隱私 （我們稱其為敏感數(shù)據(jù)）是不可以被賦予財產(chǎn)價值，不具有交易性。這一部分?jǐn)?shù)據(jù)應(yīng)當(dāng)在芝麻信用為用戶提供服務(wù)的整個過程中被刻意忽略且不被收集和處理。前文已說明個人數(shù)據(jù)是能夠單獨(dú)或者與其他信息組合而識別特定自然人的任何信息，也即直接或間接能夠關(guān)聯(lián)到特定人的信息都是個人數(shù)據(jù)。但 《協(xié)議》并未采用這種通用解釋，僅將一部分直接與自然人關(guān)聯(lián)的敏感信息如 “宗教信仰、基因、指紋、血型、疾病和病史”以及 “聊天、短信、通話”定義為 “個人信息”。而用戶的“行為信息、交易信息、資產(chǎn)信息、設(shè)備信息”在 《協(xié)議》同一條文中與 “個人信息”并列出現(xiàn)，可見這些數(shù)據(jù)并未被列入個人數(shù)據(jù)當(dāng)中。《協(xié)議》對個人數(shù)據(jù)定義的粗疏，導(dǎo)致文本多處對于個人數(shù)據(jù)未做任何區(qū)分?！秴f(xié)議》第一條將芝麻信用的 “處理”行為對象定義為 “任何數(shù)據(jù)”；第二條第一款中規(guī)定芝麻信用可以采集處理用戶的 “各類信息”；第二條第四款規(guī)定芝麻信用可以直接利用用戶的 “全部信息”進(jìn)行分析、比對。

 《協(xié)議》對個人數(shù)據(jù)的定義去除了全部的間接相關(guān)個人數(shù)據(jù)以及部分非敏感的直接相關(guān)的個人數(shù)據(jù)，其范圍非常狹小。這種做法雖有利于防范個人數(shù)據(jù)利益泛化，但矯枉過正，與全面保護(hù)個人數(shù)據(jù)的趨勢背道而馳。

 ２．無視數(shù)據(jù)主體同意權(quán)

數(shù)據(jù)主體的同意是芝麻信用處理用戶個人數(shù)據(jù)的合法性基礎(chǔ)。本文第二部分論述了同意權(quán)的行權(quán)是 “告知－同意”框架實質(zhì)內(nèi)容，具體而言包括芝麻信用明確、詳細(xì)告知義務(wù)，用戶明晰、具體且 “一事一授權(quán)”的同意。以此來看：

（１）規(guī)避告知義務(wù)

 ①對收集用戶個人數(shù)據(jù)的目的僅作宣示性陳述，如籠統(tǒng)的 “提供客觀、科學(xué)、全面的信用管理及評價，以及其他本協(xié)議下服務(wù)的需要”、“提供更優(yōu)質(zhì)服務(wù)，享受有關(guān)優(yōu)惠、更加便利的流程體驗等”，沒有具體、明確說明收集用戶個人數(shù)據(jù)的方式及用途。②文本多處采用 “您已充分理解并同意”、“您充分理解并知曉”、“您理解”字樣，將芝麻信用的告知義務(wù)，轉(zhuǎn)嫁為用戶自身的知曉或理解。但是用戶對相關(guān)內(nèi)容的理解、知曉不能免除芝麻信用的提示、說明義務(wù)。何況用戶并非數(shù)據(jù)專業(yè)人士，由于雙方客觀上存在的數(shù)據(jù)鴻溝，用戶作為 “數(shù)據(jù)貧困一方”不可能做到充分的知曉、理解。③同意權(quán)理論認(rèn)為，告知應(yīng)以明確、清楚且便于用戶理解和接收的方式作出。此標(biāo)準(zhǔn)同樣適用于告知內(nèi)容變化時。因此，當(dāng) 《協(xié)議》內(nèi)容發(fā)生變動時，由于事涉用戶相關(guān)數(shù)據(jù)利益，芝麻信用應(yīng)當(dāng)以 “適當(dāng)方式”、“單獨(dú)”通知用戶。

（２）突破 “一事一同意”原則且 “一次同意多次重復(fù)”《協(xié)議》第二條第 （一）款以 “避免過程繁瑣”為由，芝麻信用向第三方提供用戶信息時只需用戶 “同意”一次，不需要用戶對同類提供行為的 “再次授權(quán)”。也就是說芝麻信用僅需用戶的一次性同意，即可以向不特定第三方提供用戶個人數(shù)據(jù)。第 （四）款提出，用戶僅需對芝麻信用分析用戶全部信息并得出結(jié)果的行為做出同意，而芝麻信用將上述分析結(jié)果對第三方輸出，無需另行獲得用戶同意。第三方不特定決定了其接受芝麻信用提供的用戶個人數(shù)據(jù)目的不盡相同，芝麻信用為其提供個人數(shù)據(jù)也有不同考量。這種雙向的不確定、不一致導(dǎo)致芝麻信用的提供數(shù)據(jù)行為無法以 “一事”概括之。不同目的需要的用戶同意內(nèi)容不同，并且按照同意權(quán)理論，針對每一件不同事項的同意均應(yīng)當(dāng)獨(dú)立。從分析用戶個人數(shù)據(jù)到得出分析結(jié)論再到將結(jié)論提供給第三方，是三個性質(zhì)完全不同的行為，盡管三者均屬處理該用戶個人數(shù)據(jù)的流程，但三者涉及的用戶個人數(shù)據(jù)利益關(guān)系完全不同，所以每一行為均要用戶的同意，不可一概僅作一次性同意。

同意有作出，自然會有撤回。根據(jù)同意權(quán)理論，用戶向芝麻信用提出撤回對自己個人數(shù)據(jù)被使用的同意時，芝麻信用應(yīng)當(dāng)配合用戶撤回同意并且使得用戶對同意的撤回與用戶同意的作出一樣簡單、容易。而非 “有權(quán)不支持”用戶的撤銷行為。用戶對其個人數(shù)據(jù)的同意權(quán)意味著用戶有權(quán)同意或不同意，也有權(quán)撤回其同意。所以，芝麻信用阻礙用戶作出同意以及妨礙用戶撤回其同意的行為都是對用戶個人數(shù)據(jù)同意權(quán)的不正當(dāng)妨害。

 ３．妨害數(shù)據(jù)主體被遺忘權(quán)

被遺忘權(quán)暗含之意是個人數(shù)據(jù)的控制者、處理者不能永久占據(jù)某些個人數(shù)據(jù)。如前述，當(dāng)用戶撤回同意或者就數(shù)據(jù)收集、處理的目的而言，該個人數(shù)據(jù)已非必要時，用戶可以行使被遺忘權(quán)，要求芝麻信用刪除個人數(shù)據(jù)，并不得以任何形式留存副本。所以在用戶享受芝麻信用服務(wù)終止后，芝麻信用不應(yīng)當(dāng)再 “保留用戶使用其服務(wù)期間形成的各種信息和數(shù)據(jù) ”；并且，芝麻信用保留用戶個人數(shù)據(jù)行為是基于 “后續(xù)異議、糾紛處理”的或然事件，以及 “未來查詢相關(guān)信息的需要”，并非是為了公益考量、科研目的等被遺忘權(quán)阻卻事由。因而，芝麻信用對用戶被遺忘權(quán)的妨害不具有正當(dāng)性。

 ４．其他個人數(shù)據(jù)權(quán)利的空缺《協(xié)議》第二條第 （一）款、第 （二）款，第三條，第四條，第五條不同程度上均為芝麻協(xié)議的免責(zé)條款，此舉無異于在規(guī)避己方責(zé)任的同時加重了用戶的負(fù)擔(dān)。但對于用戶的其他個人數(shù)據(jù)權(quán)利，諸如修改、使用和獲得相應(yīng)報酬的權(quán)利以及數(shù)據(jù)可攜權(quán)并沒有出現(xiàn)在 《協(xié)議》中。個人數(shù)據(jù)權(quán)是一個集合概念，是以自決權(quán)為核心形成的個人數(shù)據(jù)權(quán)利叢，每項權(quán)利對于數(shù)據(jù)主體個人數(shù)據(jù)利益保護(hù)的側(cè)重點不同。個人數(shù)據(jù)權(quán)利彼此間有天然聯(lián)系和邏輯演進(jìn)關(guān)系，缺失其中任一都不是保護(hù)數(shù)據(jù)主體人格利益與財產(chǎn)利益的完整進(jìn)路。

         結(jié) 語

（人類）經(jīng)驗顯示，新權(quán)利不斷應(yīng)運(yùn)新惡行而生，或是來自承認(rèn)舊日做法的惡劣。個人數(shù)據(jù)權(quán)之所以涌現(xiàn)并越發(fā)得到各界重視，就是因為許多個人數(shù)據(jù)被濫用、被竊取和被挖掘的案例頻現(xiàn)。在我國缺乏對個人數(shù)據(jù)保護(hù)立法的大背景下，個人數(shù)據(jù)控制者對用戶個人數(shù)據(jù)權(quán)利的妨礙以及對用戶個人數(shù)據(jù)利益的忽視絕非芝麻信用一家，只不過 “支付寶年度賬單事件”將這份 “不平等”《協(xié)議》曝光在公眾面前。并且，盡管其內(nèi)容缺乏對用戶個人數(shù)據(jù)權(quán)的尊重和維護(hù)，但由于相關(guān)法律缺位，《協(xié)議》的不平等并不具有任何現(xiàn)實的違法性。所以 “大數(shù)據(jù)時代，對原有規(guī)范的修修補(bǔ)補(bǔ)已經(jīng)滿足不了需要，也不足以防范大數(shù)據(jù)帶來的風(fēng)險———我們需要全新的制度規(guī)范，而不是修改原有規(guī)范的適用范圍”。個人數(shù)據(jù)權(quán)體系就是對現(xiàn)實訴求的理論回應(yīng)，個人數(shù)據(jù)權(quán)體系必然要經(jīng)歷從 “應(yīng)有權(quán)利”到 “法定權(quán)利 ”再到 “實然權(quán)利 ”的歷史轉(zhuǎn)變。個人數(shù)據(jù)權(quán)體系從應(yīng)然到實然的過程，仰賴應(yīng)有權(quán)利對個案的熏陶喚起個別主體的權(quán)利自覺意識進(jìn)而發(fā)展為社會絕大多數(shù)人的權(quán)利訴求共識。在此基礎(chǔ)上，以立法形式肯定這種權(quán)利訴求，并將之以相應(yīng)制度設(shè)置確定下來。《協(xié)議》的示范意義即在于此。