蒋筱熙：互联网平台处理个人信息行为合法、正当、必要原则的判断标准

　　作者：蒋筱熙  深圳知识产权法庭副庭长

　　数据可以合法自由流通的前提是数据收集和使用的合法性和正当性。在数字虚拟社会中，人类维持数字化生存隐私安全时刻遭受到挑战和威胁，数据能否有效地开放、共享，在根本上取决于对数据进行全面严格的保护。[1]自然人作为数据的重要来源主体之一，其个人信息作为数据的基础来源已经成为经济社会发展的重要数据资源类型。在互联网时代，涉及个人数据的场景和个人信息收集技术手段不断更新迭代，《民法典》《个人信息保护法》和《网络数据安全法》均要求对个人信息的收集和处理符合“合法、正当、必要”基本原则，但对于究竟如何准确理解并正确适用“合法、正当、必要”原则，现行法律规定均没有给出明确的标准。

　　互联网平台收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，这一规定已是公认的遵循原则。[2]该原则分别评价个人信息处理的形式合法性、目的正当性和手段必要性。“合法原则”是对数据收集和使用最基本的法律要求，主要是指个人信息处理应符合法律的明确规定，包括依据合法、方式合法和结果合法，如符合告知同意程序、符合存储期限要求。“正当、必要原则”属于实质合法性范畴，是对个人信息处理目的与手段的评价。

　　一、合法原则对“知情+同意”的认定要求

　　合法原则要求个人信息处理应符合法律的明确规定，包括依据合法、方式合法和结果合法，除了满足法律和行政法规[3]对平台的要求，其中最为重要的是“取得个人同意”要件。个人信息收集作为整个个人信息生命周期管理的第一个环节，“知情+同意”原则是互联网平台合法收集处理个人信息的前提。知情要求用户享有对被收集个人信息的内容以及使用方式和使用范围的知情权，不仅包括信息主体对收集信息内容的知情，还应当包括对收集、使用的目的、方式和范围的知情。

　　（一）“知情+同意”的立法规定

　　《个人信息保护法》规定除明确规定的事项外，处理个人信息须取得个人同意。不同国家对同意的认定方式不同。欧盟《通用数据保护条例》（以下简称GDPR）的立法原则是在取得数据前要保证足够透明度，“应通过明确的肯定行为来表示许可同意”[4]，即必须构成明示同意。《美国数据隐私和保护法案》（American Data Privacy and Protection Act，以下简称“《法案》”）草案文本在保护逻辑上与欧盟GDPR和我国《个保法》存在着根本性的不同，体现出高自由度、重视个人数据底线保护之上的价值释放的特点[5]，并不要求数据处理活动的开展以具备合法性基础为前提，而是列明了特定情况下对敏感个人数据或事关生活财产安全数据的处理活动的限制，如与社会保险号码、个人的精确地理位置信息、生物特征信息、密码、非自愿拍摄的私密图像、聚合数据、遗传信息、个人身体活动信息等数据相关的处理活动的限制。

　　我国相关立法对于个人信息收集与欧盟和美国相比并不完全相同，《个人信息保护法》虽然在合理使用情形之外要求取得个人同意方可处理个人信息，但没有要求“”明确的肯定行为”才能构成同意，也未如美国《法案》草案文本原则上不要求个人同意，这也为个人信息收集和处理者的行为提供了可探讨的空间。从数据利用目的来看，我国数据立法的目标不应当是短时间内的个人数据权利的最大化，而应当是民众利益或福利的最大化。民众利益或福利当然包括个人数据权利，但也涉及国际安全、公共安全、经济安全与社会稳定等整体性利益，还包括以较低价格（或者免费）获得创新性的产品或服务。[6]这也需要个人信息保护的在实践中寻找各方利益的平衡。

　　（二）“知情+同意”司法认定实践

　　知情的范围和有效同意的意思表示的判断标准是客观标准，非互联网平台一方或者用户个人的单方认识。客观标准的确定可以从信息处理者告知信息主体的“透明度”来衡量，即一般理性用户在具体场景下，对信息处理主体处理特定信息的目的、方式和范围知晓的清晰程度，以及作出意愿表示的自主、具体、明确程度。

　　黄某与腾讯科技广州分公司、腾讯科技（北京）有限公司隐私权、个人信息权益网络侵权责任纠纷[7]（以下简称“微信读书案”）、米某与深圳市腾讯计算机系统有限公司隐私权、个人信息保护纠纷[8]（以下简称“米某微视案”），法院对个人非敏感信息收集的“知情+同意”的判断标准是一致的：互联网平台获取非敏感个人信息的授权同意，并不要求特别告知，而是综合考虑用户的选择可能、选择能力、进行相应选择对用户的实质影响等因素予以判断。国家互联网信息办公室、工业和信息化部、公安部和国家市场监督管理总局公开发布的《APP违法违规认定方法》认为用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限行为以及以默认选择同意隐私政策等非明示方式征求用户同意属于“未经用户同意”的行为。

　　对于用户首次授权同意后又取消授权的情形，则需要根据具体的情形予以讨论。王某诉腾旭公司个人信息保护纠纷案（以下简称“王某微视案”）[9]中，原告王某首次通过微信登录“微视”APP，授权“微视”APP获取其微信好友关系；后王某卸载“微视”APP恢复手机出厂设置后，重新下载“微视”APP和微信，通过原同一微信号再次登录“微视”APP，王某在该次登录“微视”APP时取消勾选，没有授权同意微视使用“微信好友关系”，但查看“微视”APP后发现“微视”APP仍然在后台保留使用其微信好友权限。法院认定在用户卸载重新安装登录并且拒绝授权微视使用“微信好友关系” 后依然在后台默认打开使用用户“微信好友关系” 的行为不符合原告对其授权行为意思后果的“合理预判”，故“微视”APP在王某二次下载“微视”APP未予授权的情况下继续使用其“微信好友关系”的行为并未获得有效的用户知情同意。

　　前述案例表明对用户明确表示拒绝的选项，互联网平台违背个人意愿擅自使用或修改其个人信息或者以欺骗方式诱导个人数据主体对个人信息的授权，均属于法律所认定的违法行为。

　　（三）强制授权的认定

　　实践中，互联网平台的强制授权通常表现为用户不同意互联网平台要求提供的全部信息则不能获得基础服务。胡某诉携程公司大数据案[10]（以下简称“携程大数据案”）中，携程APP的《服务协议》《隐私政策》均要求用户特别授权携程及其关联公司、业务合作伙伴共享用户的注册信息、交易、支付数据，并允许携程及其关联公司、业务合作伙伴对用户信息进行数据分析，且对分析结果进一步商业利用。法院认为包括个人用户日志信息、设备信息、软件信息、位置信息等属于个人信息。携程APP在打开之后要求用户在“同意（其《隐私政策》《服务协议》）并继续”和“不同意并退出”中做出选择。法院认为携程APP的《服务协议》《隐私政策》恰恰以拒绝提供服务形成对用户的强制，迫使用户许可其采集和使用非必要信息。以拒绝提供服务作为取得授权的前提，构成强制授权。

　　在微信读书案件中，法院对强制授权表达了不同的态度。腾讯公司采取了对头像、昵称、性别等公开身份信息与好友列表一次性授权、不授权即无法使用的方式。法院认为，在不违反法律规定及公序良俗的前提下，腾讯公司可以对服务内容进行选择，并在征得用户有效同意前提下收集与服务相关的信息。用户若不同意收集某项信息则无法使用该APP应用，是腾讯公司对微信读书运营模式的选择。与微信已实际成为大多数网络用户必不可少的社交应用、不使用会带来明显不便有所区别的是，移动阅读的需求并非为广大用户所必需，用户不使用微信读书不会感到生活明显不便，亦不会被实质上剥夺在市场上选择同类型产品的权利，用户可以在市场竞争中做出选择。

　　是否构成强制授权需要依据平台基础服务提供的功能进行判断，这也符合用户基于基础服务选择APP的初衷；但是，对于如何判断基础服务则缺乏统一的认识。此外，互联网平台的运营模式是否成为强制授权的合理理由在实践中存在争议，微信读书案的判决显示出尊重企业自主经营行为对服务市场的影响与用户个人选择权利之间的价值博弈，可以预见的是随着互联网平台在数字产业与其他产业的“数实融合”过程中作用的凸显，这类争议会更加尖锐。

　　二、个人敏感信息、非敏感信息与正当原则的关系

　　正当原则不仅要求目的正当，还要求方式正当，即应遵循使用（包括共享和转让等）形式和程序的正当性。判断个人信息处理是否正当，要求信息收集和处理者应当在个人同意的范围内合理收集，同时要求充分告知，保证用户对个人信息使用和收集的知情权以保证用户充分理解平台对个人信息的收集和使用方式和范围符合其“合理期待”。平台向用户披露信息收集、处理的目的和范围并为用户提供拒绝自动化选项以保障对用户利益影响最小化的义务标准往往通过正当性评价。正当性是一个抽象的概念，具体到实践意味着在追求保护个人信息和收集处理个人信息使其得以流通和后续创新的二元价值平衡上对互联网平台处理个人信息的范围和方式的容忍程度。

　　竞争法划定了数字经济中市场主体的经营行为边界，而由于个人信息保护法律制度直接设立了数字经济中最重要的个人数据的收集、流转和处理规则，从某种程度上来说，个人信息保护法律制度本身对数字市场竞争会带来影响。[11] 信息收集的目的在于数据集的流通使用，以促进数据合规高效流通使用为目的的数字经济发展需要合理界定各方的权利和义务。非敏感个人信息对用户人身和财产安全不会造成重大影响，以数据流通为目的的数据收集和处理，收集和处理方并不可能预见未来可能产生的流通对象和使用方式，如对其课以较高的告知义务，不利于数据流通。我国《数据安全法》确立了国家层面的数据分类分级保护制度，将该制度的核心目标确立为保护重要数据及核心数据，并完善跨境数据流动“分级分类+负面清单”监管制度。对个人信息的收集亦可采用“分级分类+负面清单”模式，尤其是数据中小企业，如对所有个人信息收集均需履行告知及获得明确授权的要求，则难以避免加重数据收集者的成本，妨碍数据流通及创新。

　　《关于构建数据基础制度更好发挥数据要素作用的意见》明确要求推进个人数据分类分级确权授权使用。学界也有人提出了“两头强化、三方平衡”[12]的信息处理理论，即“强化个人敏感信息的保护”和“强化个人一般信息的利用”，平衡个人信息主体、信息控制者和管理者之间的利益，以期最大限度地调和个人信息保护与企业利用之间的矛盾，促进个人信息合理利用。

　　区分“敏感个人信息”与“一般个人信息”进行必要性判断，符合数据产业发展需求及信息主体合理预期。一般个人信息与敏感个人信息因为识别性的差异，给信息主体所带来的潜在信息风险也存在差异，强化“个人敏感信息的保护”是为了最大化保障敏感个人信息所附着的识别性利益，强化“个人一般信息的利用”是为了促进数据的正常使用，二者之间应该寻求平衡，而不是牺牲数据利用，追求个人信息保护的最大化。通过建立个人信息分级条款，对非敏感个人信息采取有条件的宽泛同意的模式（概括性模式），将知情同意的标准和信息披露的尺度要求降低。非敏感的个人信息与人格尊严的关联度不大，其同意规则的设置可以淡化处理，以保证数据流动。[13]

　　三、信息收集必要性的认定

　　必要原则，又称最小损害原则，是指在正当原则已被肯定后，在能达成目的的多个方式中，选择对个人信息权利损害最小的方式，即需“禁止过度损害和保障不足”，从而保障个人信息处理不得超出正当目的、损害最小以及信息处理的内在利益平衡。

　　对于必要原则的理解，应当结合信息的分类层级和收集、处理个人信息的目的进行区别。若针对所有个人信息类型，均采用“实现功能所必需”的判断标准，即没有上述个人信息的参与，产品或服务的功能无法实现，忽略了产业发展对于创新性、安全性及产品优化等方面的需求，不符合业务实际发展需求。《常见类型移动互联网应用程序必要个人信息范围规定》[14]规定必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。一方面，必要原则要求个人信息处理不得超出正常提供服务的目的，并且对个人权益造成最小损害，禁止损害过度。另一方面，必要原则要求个人信息处理者积极作为，采取必要的组织与技术措施，最大程度保护个人信息，禁止保障不足。必要原则是从“后果”上规范行为与所追求的目的之间的比例关系。[15]在判断互联网平台收集、使用个人信息是否必要时，需要综合考虑产品或服务的性质和类型、对个人信息的收集和使用程度、对个人信息的合理保障等因素。不同的互联网应用程序应当根据提供的不同服务界定不同的必要个人信息，例如地图导航类、网络约车类、即时通信类、网络社区类、网络支付类、求职招聘类、网上购物类、交通票务类等，所需要提供的必要信息并不相同。

　　必要性的判断应当以个人信息处理所带来的风险与特定目的实现所带来的利益相比须符合一定比例，可以从个人信息种类和处理个人信息的目的两个维度进行判断。

　　从个人信息种类来说，对敏感个人信息，必要原则适用进行严格限制，以采用“实现功能所必需”的判断标准。对一般个人信息，最小必要原则的适用可采用“该信息的使用，与实现功能相关”的判断标准，除了实现基础功能所必需外，可用于该功能的辅助功能实现及产品效果优化提升等。

　　从处理个人信息的目的而言，理解“实现处理目的的最小损害”需以提供的产品或服务的功能或目的进行判断。产品定位影响着产品相关功能设计合理性的认定，进而影响用户对其个人信息处理的合理预期，即如果没有某些个人信息，个人信息处理者的处理目的就完全无法实现或者说主要、核心的目的无法实现，即收集的范围是实现互联网平台提供基本服务的信息收集范围中对用户个人信息权利影响最小的范围，而对于衍生功能或平台所称为提供更好的服务体验需要收集的信息并不属于必要个人信息。

　　携程大数据案中，法院认为包括个人用户日志信息、设备信息、软件信息、位置信息等属于个人信息，携程公司对个人信息的收集超出了最小范围之限，携程公司却通过在向用户提供服务前，以概括授权的方式，要求用户对与预订酒店无关的账户信息、设备信息以及位置信息等一并允许携程公司予以收集、使用，超出了实现酒店预订等核心、主要的处理目的所必须的信息范围，特别是将信息分享给携程公司可随意界定的关联公司、业务合作伙伴进行数据分析和商业利用，不符合最小损害原则要求，超越了形成订单所必须的要素信息。其中将用户信息分享给携程公司可随意界定的关联公司、业务合作伙伴进行进一步商业利用更是既无必要性，又加重了用户个人信息使用风险，属于非必要信息的采集和使用。

　　同样针对“微视”APP案、王某“微视”案中，法院认为“微视”APP获取用户“地区、性别”个人信息，但同时又允许用户在微信和“微视”APP随意更改和填写，说明“地区、性别”信息的准确性、一致性并非使用“微视”APP服务所必须，腾讯公司亦未能证明在微视获取微信用户地区和性别作为使用微视的必要性，故认定被告收集地区和性别信息违反了必要性原则。

　　上述案例显示，衡量互联网对必要性信息的判断是基于互联网平台提供的基础功能决定的，对于超过基础功能收集的信息的告知和授权方式则未明确具体要求。

　　四、互联网平台对个人信息收集使用的原则与合理使用的平衡

　　个人信息保护的价值两端，一方面要最大化地保护个人信息的安全，另一方面又要考虑个人信息体现的数据要素价值的合理利用。但个人信息的保护和利用本身就是矛盾体……[16]，尤其是涉及公共利益或用户个人利益时，用户的知情同意并非数据处理的唯一合法基础。《民法典》第1036条规定处理个人信息免责的三种情形，一是经信息主体同意合理实施的行为，二是合理处理自然人公开或者其他已经合法公开的信息；三是为维护公共利益或者该自然人的合法权益合理实施的行为。第1036条规定的后两者情形可以理解为包括互联网平台在内的信息处理者合理使用个人信息的条件。不难看出《民法典》对 “合理使用”情形中需遵循“合理性”的要求。《个人信息保护法》第13条第2至7款，就个人信息“合理使用”的情形进行了规定，即前述情形中处理个人信息不以取得个人同意为前提[17]，相较于《民法典》，《个人信息保护法》中“合理使用”的适用空间更大也更为具体，对未经许可处理个人信息的行为要构成“合理使用”，也会在“必要”的基础上，结合处理行为的“合理性”综合考量。

　　（一）未征得明确授权同意情形下的合理使用的问题

　　互联网平台未经许可使用个人信息如需构成合理使用必须符合《民法典》和《个人信息保护法》明确规定的情形，现行法律并未将互联网平台作为数据处理者的行业利益纳入合理使用范畴。有判决认为在没有对信息主体造成不合理损害的前提下，认定某些个人信息的利用行为可以不必征得信息主体的同意。凌某某与北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷[18]中，法院认为在处理手机通讯录中联系人姓名和手机号码时，既是对手机用户个人信息的处理，又是对通讯录中联系人个人信息的处理，一般要征得两类主体双重同意，既应征得手机用户同意，又应征得每条通讯录联系人的同意。但是，如果要求在任何使用场景下都必须严格征得双重同意，有可能会导致具体场景下利益的失衡。法院认定被告未取得双重同意构成侵权，但同时认为“适度允许互联网行业在安全的前提下合理使用个人信息，则可以促进互联网行业和数字经济的发展，增加整个社会的福祉……”。

　　该案中，法院采用“功能主义”法经济学立场，认为“双重同意”可能导致具体场景利益失衡，“可能导致个人信息处理和数据利用的成本过高，甚至阻碍信息产业的健康发展”。[19]本案提出了一个问题，即互联网行业和数字经济利益是否可以作为可以合理使用的可能场景。

　　参考欧盟GDPR规定了五类未经许可处理个人数据构成合理使用的情形[20]，包括：履行个人参与的合同；数据控制者为履行法定职责；为了保护个人的核心利益；为公共利益或因官方权威要求而履行某项任务；对于数据控制者或第三方所追求的正当利益是必要的，但这种正当利益不得凌驾于需要通过个人数据保护以实现数据主体的基本权利与自由，特别是儿童的基本权利和自由。“数据控制者的正当利益”虽然表明个人的权利不总是优先，而是需要在用户个人权利与数据控制者的合法利益之间作出平衡，该条的规定正如其附加限制条件，不能误解为企业能够以自身正当利益为由未经许可合理使用个人信息。目前GDPR可以使用“数据控制者的正当利益”的情形包括：1.如果企业与用户有实际交易关系，或者与用户在达成交易的过程中，可以适用本条通过默认许可（soft opt-in ）的方式，发送与此前交易商品或服务相关的营销信息，直到用户明确拒绝为止[21]；出于保障网络信息安全目的处理个人信息、以预防欺诈为目的的数据处理活动[22]等。 

　　行业发展至少是被排除在企业正当利益之外。为互联网行业的发展而允许其未经许可使用个人信息，则可能导致任何行业均可以以促进发展并以此作为公共利益为由使用个人信息，这一观点显然有悖于立法对合理使用规定的目的。公共利益虽然没有一个可明确界定的范围[23]，但一个特定行业的发展是否可以上升到公共利益层面，依赖于“谁来决定公共利益”，在没有一个特定授权认定的情况下，并不适宜将特定行业发展前景上升为公共利益。司法并非不可判定产业利益是否属于公共利益，正因为某一产业利益将关系更广范围、影响更深远，针对具体案件时应当有更多数据或行业分析支撑，避免站在互联网企业内部角度论证行业发展的合理性。

　　（二）同一主体运营的产品之间对积累的经营优势的合理利用问题

　　互联网平台是否可以对其成功开发及运营的其他产品或服务所积累的用户关系等数据，在其开发的其他关联产品中予以合理利用。

　　米某微视案和微信读书案中法院均认可在不违反法律规范及原则、不侵害用户合法权益为前提下，互联网平台对成功开发及运营微信所积累的用户关系数据，可以在其关联产品中予以合理利用，如在部分软件中开发或增强社交功能，“微视”App中若要开展微信好友间的视频动态社交，收集用户微信好友关系信息并不违反必要性原则。

　　针对这一观点有两个问题需要考虑：第一，关联产品如何界定；第二，个人用户信息的合理使用是否可以扩展到商业目的，假定收集和处理个人信息的互联网平台具有正当利益，不同的互联网产品提供的服务和用户对象并不相同，不同的利害关系人对关联产品的界定也不相同，是否允许互联网平台自我界定关联产品需要慎重。现行已颁布生效的法律就个人信息合理使用范畴严格限定，并不得擅自扩充。大型互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。若不加区分地允许互联网平台对其成功开发及运营的其他产品或服务所积累的用户关系等数据在其开发的其他关联产品中使用，则意味着将合理使用范围扩大到商业目的，相较于普通信息处理者的权利而言，反而扩大了互联网平台的利益，这种设定不符合立法目的。

　　个人信息的保护和促进数据价值的利用即使不算是绝对矛盾，也是两种相冲突的价值追求。美国通过制定合理使用信息原则（以下简称“FIPP原则”）达到个人信息保护与合理利用的平衡。FIPP原则提出的合理使用个人信息原则包括透明性、个人参与、明确用途、数据最小化、使用限制、数据质量和完整性、安全性、可追责与审计。[24]遵循这一原则，2010年12月，美国联邦贸易委员会发布的隐私问题报告中要求设计一个“do not track”系统让用户能够控制自己在网络上的隐私信息。[25]当用户提出“do not track”请求表明不希望被追踪时，遵守该规则的网站就不会追踪用户的个人信息用于商业广告。仿照这个原则，对于不违反法律明确禁止的且不属于用户敏感信息的个人信息，可以由获取信息的平台明确用途、数据最小化、使用限制、数据质量和完整性、安全性、可追责的原则告知用户，在用户不明确提出反对的情况下可以收集个人信息。

　　结语

　　数据是数字经济时代重要的生产要素，信息是数据的基础，个人信息保护的目的是促进数据的合理使用。[26]要在充分保护个人信息的前提下，探索实现更加精确的数据确权，更加合理的数据使用，激发市场主体活力和创新力。数据作为新的生产要素，其显现的价值在数字经济中对于提升一国竞争力极其重要。无论是人工智能还是数字经济的有序推进，合法的、干净的数据是基本要求也是其得以快速、健康发展的基础。充分保障个人作为数据来源主体的合法权益的同时，要承认和保护数据收集者和处理者等数据要素各参与方的合法权益，合理界定数据要素市场各方参与者的权利和义务。

　　保护是基础，利用是目的。对个人信息的保护应采取更加宏观的思维框架，在保证作为数据重要来源之一的个人信息获取的合法性前提下，要平衡保护与数据获取、流动、后续创新的问题，释放数据流转利用的渠道范围及价值作用，正确处理个人数据原始所有者、数据收集者、处理者等数据流通过程中的权责划分是鼓励相关主体积极参与数据流通的关键。 

　　在与市场和谐关系方面，个人信息保护机制帮助市场更有效和稳定的运行。规范互联网平台、APP服务商对用户数据的收集和使用则是为数字经济健康有序发展提供基本保障。在保证个人信息的取得和使用满足法律要求的基础上，尊重当事人意思自治与契约自由，用户可以较低价格甚至免费获得创新性的产品或服务，互联网产品的提供者也在保证合法、正当地获取个人信息、在个人信息的处理中遵守必要性和诚信原则的前提下使用和处理个人信息，实现个人数据权益保护与数据流动发展之间的平衡。

　　注释：

　　1.彭诚信主编，《数据的边界——隐私与个人数据保护》，上海人民出版社，第11页。

　　2.《中华人民共和国民法典》第一千零三十五条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理。《中华人民共和国网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”《个人信息保护法》第五条规定，“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”

　　3.如《信息安全技术个人信息安全规范》《常见类型移动互联网应用程序必要个人信息范围规定》等。

　　4.参见《欧盟通用数据条例》第32条。

　　5.《美国数据隐私和保护法案：发挥数据价值 利益团体妥协》，信通院互联网法律研究中心，转自微信公众号“数字经济与社会”，2022年6月10日。

　　6.何渊主编，《数据法学》，北京大学出版社2020年7月第1版，第19页。

　　7.参见北京互联网法院（2019）京0491民初16142号民事判决书。

　　8.参见北京互联网法院（2019）京0491民初30918号民事判决书。

　　9.参见深圳市中级人民法院粤03（2021）民终9583号民事判决书。

　　10.参见浙江省绍兴市中级人民法院（2021）浙06民终3129号民事判决书。

　　11.孟雁北等著，《大数据竞争——产业、法律与经济学视角》，法律出版社2020年版，第232页。

　　12.张新宝：《论个人信息权益的构造》，《中外法学》2021年第5期。

　　13.蔡一博：《<民法典>实施下个人信息的条款理解与司法应对》，《法律适用》2021年第3期（总第468期）。

　　14.国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合印发《常见类型移动互联网应用程序必要个人信息范围规定》，2021年5月1日起施行。

　　15.兰磊著，《论反垄断法多元价值的平衡》，法律出版社，第1版，第74页。

　　16.朱晓武 黄绍进著，《数据权益资产化与监管——大数据时代的个人信息保护与价值实现》，人民邮电出版社2020年版，第64页。

　　17.《个人信息保护法》第13条第2至7款：为订立、履行个人作为一方当事人的合同所必需，或者实施人力资源管理所必需；为履行法定职责或者法定义务所必需；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督；个人自行公开或者其他已经合法公开的个人信息等。

　　18.参见北京互联网法院（2019）京0491民初6694号民事判决书。

　　19.卢震豪：《我国<民法典>个人信息合理使用的情形清单与评估清单》，《政治与法律》2020年第11期。 

　　20.参见欧盟《通用数据保护条例》第43-47条的规定。

　　21.详见与GDPR密切相关的ePrivacy Regulation(电子商务法)对电子营销作出的规定。

　　22.GDPR RECITAL 47。

　　23.学者认为，公共利益的实体解释理论无法界定“不特定多数”概念，对“利益”的内涵也无法形成共识。参见刘连泰：《如何解释“”公共利益“”》。百度百科认为“公共利益”是指一定范围内不特定多数人的共同利益，具有内容的可变性、不可穷尽性、直接相关性等特点。

　　24.孟雁北等著，《大数据竞争——产业、法律与经济学视角》第234页。

　　25.孟雁北等著，《大数据竞争——产业、法律与经济学视角》第234页。

　　26.参见中国人民银行行长易纲在2021年香港金融科技周的视频演讲。