限量版犯賤

2023-12-27

“合法”強調(diào)的是一種“法律評價，“擁有”強調(diào)的是一種事實上的權(quán)屬
狀態(tài)，即所獲取的數(shù)據(jù)來源是合法的。“來源合法”主要以是否違反法律法規(guī)
的禁止性規(guī)定來判斷的。如《數(shù)據(jù)安全法》第八條規(guī)定“開展數(shù)據(jù)處理活動，
應(yīng)當(dāng)遵守法律、法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實
守信，履行數(shù)據(jù)安全保護義務(wù)，承擔(dān)社會責(zé)任，不得危害國家安全、公共利益，
不得損害個人、組織的合法權(quán)益”；《個人信息保護法》第二條規(guī)定“自然人
的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權(quán)益”；
《刑法》第二百八十五條，關(guān)于非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、非法控制計
算機信息系統(tǒng)罪的規(guī)定等。
數(shù)據(jù)來源的合法性可以分別從幾個維度進行分析：A. 公共數(shù)據(jù)（包括不予
開放、有條件開放、無條件開放的公共數(shù)據(jù)）、B. 企業(yè)數(shù)據(jù)（包括企業(yè)的公開
數(shù)據(jù)、企業(yè)收集的非個人信息數(shù)據(jù)）、C. 個人信息數(shù)據(jù)。
A. 公共數(shù)據(jù)來源合法性規(guī)則及判斷
23
近年來，我國對公共數(shù)據(jù)的合理利用有了越來越明確的法律、政策保障。
由于公共數(shù)據(jù)體量龐大，且蘊藏巨大的經(jīng)濟和社會價值潛力，國家鼓勵社會深
度利用公共數(shù)據(jù)，創(chuàng)造經(jīng)濟價值。2022 年 12 月國家正式發(fā)布的《關(guān)于構(gòu)建數(shù)據(jù)
基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》中強調(diào)，對各級黨政機關(guān)、企事業(yè)單
位依法履職或提供公共服務(wù)過程中產(chǎn)生的公共數(shù)據(jù)，加強匯聚共享和開放開發(fā)。
關(guān)于無條件開放的公共數(shù)據(jù)。企業(yè)或個人在收集數(shù)據(jù)時除了依照法律規(guī)定
進行收集外，還需要注意政府公共數(shù)據(jù)開放平臺中提供的《網(wǎng)站聲明》《數(shù)據(jù)
開放授權(quán)許可協(xié)議》《版權(quán)聲明》等內(nèi)容。例如，浙江省人民政府的數(shù)據(jù)開放
平臺在《浙江省數(shù)據(jù)開放平臺數(shù)據(jù)開放授權(quán)許可使用協(xié)議》中約定，用戶在使
用本平臺數(shù)據(jù)資源所產(chǎn)生的成果中應(yīng)注明公共數(shù)據(jù)資源來源為“浙江省數(shù)據(jù)開
放平臺”，“從平臺下載的日期”以及“用戶義務(wù)是本許可的重要條件，如未
遵守以上要求，則根據(jù)本許可授予的權(quán)利將自動終止，用戶應(yīng)立即刪除相關(guān)數(shù)
據(jù)并停止服務(wù)”等條款。其中，“用戶義務(wù)”包括用戶基于本平臺公共數(shù)據(jù)資
源開發(fā)的各類應(yīng)用和服務(wù)，應(yīng)遵守有關(guān)法律、法規(guī)和規(guī)章的規(guī)定，不得用于任
何可能危害國家安全和社會公共利益、侵犯商業(yè)秘密和個人隱私或其他不正當(dāng)
的用途；不得對本平臺進行技術(shù)性破壞，不得干擾或妨害浙江省數(shù)據(jù)開放平臺
提供正常的互聯(lián)網(wǎng)服務(wù)等。因此，數(shù)據(jù)開發(fā)利用主體在使用公開的公共數(shù)據(jù)時
也是受相關(guān)公共數(shù)據(jù)開放平臺的平臺服務(wù)協(xié)議約束的，數(shù)據(jù)收集時如違反相關(guān)
協(xié)議條款，則可能導(dǎo)致數(shù)據(jù)來源不合規(guī)。
對于有條件開放的公共數(shù)據(jù)。開發(fā)利用的方式主要有兩種：（1）協(xié)議許可
使用。由具備數(shù)據(jù)利用能力的個人或組織向公共管理和服務(wù)機構(gòu)提出申請獲取
限制開放或有條件開放的公共數(shù)據(jù)，經(jīng)同意并簽訂數(shù)據(jù)許可使用協(xié)議后實施數(shù)
24
據(jù)加工；（2）授權(quán)運營。由公共管理和服務(wù)機構(gòu)通過設(shè)立國有資本運營公司，
或直接與被授權(quán)運營主體簽訂特許經(jīng)營協(xié)議的方式開展公共數(shù)據(jù)授權(quán)運營。在
這兩種模式下，被授權(quán)的企業(yè)應(yīng)嚴(yán)格按照授權(quán)許可協(xié)議約定的數(shù)據(jù)范圍、使用
目的、開發(fā)利用方式和數(shù)據(jù)安全義務(wù)進行合理開發(fā)利用，對于超范圍、超期限
使用、超出約定目的開發(fā)等行為，則會導(dǎo)致獲取的公共數(shù)據(jù)來源不合法。
對于不予開放的公共數(shù)據(jù)。通常是依法依規(guī)予以保密的公共數(shù)據(jù)，應(yīng)嚴(yán)格
管控此類原始公共數(shù)據(jù)直接進入市場。企業(yè)或個人不得通過技術(shù)手段進行非法
獲取或利用。
B. 企業(yè)數(shù)據(jù)來源合法性規(guī)則及判斷
關(guān)于獲取企業(yè)公開數(shù)據(jù)的來源合法性。當(dāng)前主要集中在數(shù)據(jù)收集主體利用
相關(guān)軟件和技術(shù)手段在他人網(wǎng)站中對已公開的數(shù)據(jù)進行自動抓取（俗稱“爬蟲”）
上。從國內(nèi)外的司法實踐來看，對于數(shù)據(jù)爬取是否具備合法性的問題主要體現(xiàn)
為：第一，是否違反他人網(wǎng)站上的數(shù)據(jù)訪問控制措施或協(xié)議約定的范圍；第二，
公開數(shù)據(jù)的邊界界定；第三，該數(shù)據(jù)的使用目的正當(dāng)性；。
第一，訪問合法性。備受關(guān)注的美國 hiQ 訴 LinkedIn 案件中，LinkedIn 公
司作為全球最大的職業(yè)社交網(wǎng)站，hiQ 公司利用用戶在該網(wǎng)站上創(chuàng)建個人資料時
選擇的“整個公眾可見”的規(guī)則，通過從 LinkedIn 頁面中抓取用戶公開的職業(yè)
數(shù)據(jù)，并對該公開職業(yè)數(shù)據(jù)進行深度處理后進行銷售盈利。LinkedIn 公司曾經(jīng)
多次告知 hiQ 公司未經(jīng)同意抓取 LinkedIn 用戶公開職業(yè)數(shù)據(jù)的行為違反《美國
計算機欺詐和濫用法案》（Computer Fraud and Abuse Act，CFAA），并采取
措施阻止 hiQ 公司對其用戶公開職業(yè)數(shù)據(jù)的抓取。于是，hiQ 公司向加利福利亞
北部地區(qū)法院起訴了 LinkedIn 公司，訴稱 LinkedIn 公司阻止其訪問用戶公開
25
26
數(shù)據(jù)的行為是將數(shù)據(jù)私有財產(chǎn)化的不公平商業(yè)行為，是一種壟斷行為，違反了
托拉斯法與加州反不正當(dāng)競爭法。
地方法院經(jīng)審理后，頒布了初步禁令，要求 LinkedIn 不得限制 hiQ 的資料
抓取行為，并認為 hiQ 的行為并未觸犯 CFAA，接著 LinkedIn 即提出上訴，第九
巡回上訴法院在 2019 年支持地方法院的判決。其認為，一般情況下，當(dāng)計算機
網(wǎng)絡(luò)允許公眾訪問其數(shù)據(jù)時，根據(jù) CFAA，用戶訪問該公開可用數(shù)據(jù)可能不構(gòu)成
未經(jīng)授權(quán)的訪問。hiQ 尋求訪問的數(shù)據(jù)不屬于 LinkedIn 所有，也沒有被 LinkedIn
使用此類授權(quán)系統(tǒng)標(biāo)定為私人數(shù)據(jù)。LinkedIn 于 2020 年再上訴到最高法院，最
高法院則要求上訴法院重新審理解決 CFAA 的責(zé)任問題。該案在 2022 年 12 月 6
日終于塵埃落定，法院最終認定，由于 LinkedIn 的用戶協(xié)議明確禁止抓取其網(wǎng)
站和創(chuàng)建虛假個人資料，hiQ 違反了 LinkedIn 的用戶協(xié)議以及創(chuàng)建虛假個人資
料行為違法，最終裁決要求 hiQ 向 LinkedIn 賠償 50 萬美元，并在法律允許的
最大范圍內(nèi)通過了一項永久禁令，包括禁止：在未經(jīng)同意下直接或間接通過自
動化方式訪問或復(fù)制數(shù)據(jù)，根據(jù)從 LinkedIn 獲取數(shù)據(jù)而產(chǎn)生的開發(fā)、使用、銷
售等行為，永久刪除所擁有、保管和控制的 LinkedIn 會員資料數(shù)據(jù)，等共計六
項禁止行為。該案的系列判決在對于收集企業(yè)公開的數(shù)據(jù)規(guī)則及認定上，在世
界范圍內(nèi)有一定的影響和借鑒意義。
第二，數(shù)據(jù)公開的界定。在北京微夢創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司訴某科技公司
抓取微博數(shù)據(jù)案件（(2017)京 0108 民初 24512 號）中，北京市海淀區(qū)人民法院
認為，對于微夢公司未設(shè)定訪問權(quán)限的數(shù)據(jù)，應(yīng)屬微夢公司已經(jīng)在微博平臺中
向公眾公開的數(shù)據(jù)；例如，用戶在未登錄狀態(tài)下即可查看的新浪微博，系博主
本身未限制他人瀏覽且微夢公司未通過登錄規(guī)則等措施限制非用戶瀏覽的數(shù)據(jù)，
即為微博平臺中的公開數(shù)據(jù)。但對于微夢公司通過登錄規(guī)則或其他措施設(shè)置了
訪問權(quán)限的數(shù)據(jù)，則應(yīng)屬微博平臺中的非公開數(shù)據(jù)。對于不公開或者半公開的
數(shù)據(jù)，要獲取該數(shù)據(jù)必須獲得數(shù)據(jù)權(quán)利人授權(quán)，否則不僅構(gòu)成侵權(quán)，情節(jié)嚴(yán)重
的，還可能構(gòu)成犯罪。
第三，數(shù)據(jù)使用目的正當(dāng)性。在某點評軟件與某科技公司不正當(dāng)競爭糾紛
一案中（（2016）滬 73 民終 242 號），法院指出，Robots 協(xié)議只是關(guān)于搜索引
擎抓取網(wǎng)站信息的行為是否符合公認的行業(yè)準(zhǔn)則的問題，而搜索引擎抓取網(wǎng)站
信息后的使用行為是否合法，應(yīng)該在法律上進行明確規(guī)制，即該科技公司對于
網(wǎng)站信息的使用應(yīng)該符合《反不正當(dāng)競爭法》的相關(guān)規(guī)定。在本案中，科技公
司的搜索引擎抓取涉案信息的行為雖然沒有違反 Robots 協(xié)議，但不意味著抓取
信息后任意使用點評軟件平臺上的點評信息的行為是合法的，科技公司應(yīng)本著
誠實信用的原則，遵守公認的商業(yè)道德，合理控制來源于其他網(wǎng)站的信息的使
用范圍和使用方式。可以看出，對于抓取的數(shù)據(jù)使用不當(dāng)，也同樣可能影響數(shù)
據(jù)資產(chǎn)確認時來源合法性判斷。
關(guān)于企業(yè)收集的非個人數(shù)據(jù)來源合法性。企業(yè)收集的非個人數(shù)據(jù)包括，企
業(yè)自身經(jīng)營所產(chǎn)生的數(shù)據(jù)如設(shè)備運行數(shù)據(jù)、管理數(shù)據(jù)等；通過設(shè)備直接采集的
水文、氣候、地理測繪數(shù)據(jù)等。企業(yè)自身經(jīng)營產(chǎn)生的數(shù)據(jù)表面上不需要討論來
源合法的問題，但需要注意的是無論是數(shù)據(jù)資產(chǎn)入表，或數(shù)據(jù)資產(chǎn)交易流通，
登記或?qū)彶椴块T也可能要求企業(yè)提供其設(shè)備信息、數(shù)據(jù)庫模型、客戶數(shù)據(jù)及運
維日志等用以證明數(shù)據(jù)的“權(quán)屬”，故企業(yè)應(yīng)采取多種技術(shù)手段，對上述方式
所產(chǎn)生的數(shù)據(jù)保存好相關(guān)的數(shù)據(jù)收集鏈路證明，以備需要時能夠自證數(shù)據(jù)來源。
27
而對于企業(yè)通過設(shè)備直接收集的非個人數(shù)據(jù)，此類數(shù)據(jù)來源于客觀世界中，
通常并不像其他類型的數(shù)據(jù)有直接明確的主體，數(shù)據(jù)采集方通常認為無需向誰
獲取授權(quán)，也不存在數(shù)據(jù)采集合法性的問題。而這也往往是企業(yè)容易忽略的問
題，因為這些數(shù)據(jù)的獲取，多數(shù)均需要向相關(guān)的主管部門申請或報批，且往往
在數(shù)據(jù)采集的合法要求上，注意義務(wù)會更高，如收集該類數(shù)據(jù)時違反所屬行業(yè)
的相關(guān)法律規(guī)定，則除了影響數(shù)據(jù)合法性外還可能承擔(dān)相應(yīng)法律責(zé)任。
例如，國家測繪地理信息局《關(guān)于規(guī)范衛(wèi)星導(dǎo)航定位基準(zhǔn)站數(shù)據(jù)密級劃分
和管理的通知》規(guī)定，實時差分服務(wù)數(shù)據(jù)屬于受控數(shù)據(jù)，采取用戶審核注冊的
方式提供服務(wù)，其中提供優(yōu)于 1 米精度服務(wù)的，基準(zhǔn)站數(shù)據(jù)中心管理部門審核
注冊后應(yīng)向省級以上測繪地理信息行政主管部門報備用戶及使用目的等信息；
《測繪法》第八條規(guī)定外國的組織或個人在我國領(lǐng)域和我國管轄的其他海域從
事測繪活動，應(yīng)當(dāng)經(jīng)國務(wù)院測繪地理信息主管部門會同軍隊測繪部門批準(zhǔn)，并
遵守中華人民共和國有關(guān)法律、行政法規(guī)的規(guī)定，必須與我國有關(guān)部門或單位
合作進行，且不得涉及國家秘密和危害國家安全；高精地圖的數(shù)據(jù)采集等測繪
活動須由具有導(dǎo)航電子地圖資質(zhì)的單位進行；國家自然資源部《關(guān)于加強自動
駕駛地圖生產(chǎn)測試與應(yīng)用管理的通知》規(guī)定自動駕駛地圖的數(shù)據(jù)采集必須由導(dǎo)
航電子地圖制作單位單獨從事所涉及的測繪活動，汽車企業(yè)等合作方不能直接
參與測繪和數(shù)據(jù)采集環(huán)節(jié)；再如，《中華人民共和國氣象法》規(guī)定國務(wù)院其他
有關(guān)部門和省、自治區(qū)、直轄市人民政府其他有關(guān)部門所屬的氣象臺站及其他
從事氣象探測的組織和個人，應(yīng)當(dāng)按照國家有關(guān)規(guī)定向國務(wù)院氣象主管機構(gòu)或
者省、自治區(qū)、直轄市氣象主管機構(gòu)匯交所獲得的氣象探測資料。根據(jù)以上列
28
舉的相關(guān)規(guī)定，企業(yè)需要注意，應(yīng)遵循自身所屬行業(yè)的法律規(guī)范采集數(shù)據(jù)，否
則可能導(dǎo)致數(shù)據(jù)來源非法。
此外，組織擬通過交易獲取的數(shù)據(jù)，應(yīng)充分對擬交易數(shù)據(jù)資產(chǎn)進行盡職調(diào)
查，評估數(shù)據(jù)來源的合法性，避免因數(shù)據(jù)供方數(shù)據(jù)源污染導(dǎo)致自身權(quán)利損害.在
數(shù)據(jù)交易中對于無法判斷數(shù)據(jù)來源真實性合法性的情況時，應(yīng)盡可能要求對方
提供聲明、承諾、保證等保障數(shù)據(jù)來源的合規(guī)性，并且在數(shù)據(jù)交易協(xié)議中盡可
能地詳盡約定雙方的權(quán)利義務(wù)，避免因違反數(shù)據(jù)交易協(xié)議導(dǎo)致數(shù)據(jù)資產(chǎn)價值實
現(xiàn)的風(fēng)險不可控。
C. 個人信息數(shù)據(jù)來源合法性與個人信息確權(quán)授權(quán)機制
個人信息作為數(shù)據(jù)資產(chǎn)化中的重要數(shù)據(jù)要素，蘊藏著巨大的經(jīng)濟價值，幾
乎絕大多數(shù)據(jù)資產(chǎn)中都包含著個人信息。2022 年 12 月國家正式發(fā)布的《關(guān)于構(gòu)
建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》中，明確強調(diào)“以習(xí)近平新時
代中國特色社會主義思想為指導(dǎo)，深入貫徹黨的二十大精神，完整、準(zhǔn)確、
全面貫徹新發(fā)展理念，加快構(gòu)建新發(fā)展格局，堅持改革創(chuàng)新、系統(tǒng)謀劃，以
維護國家數(shù)據(jù)安全、保護個人信息和商業(yè)秘密為前提”，并在意見中，多
次提出了要建立健全的“個人信息確權(quán)授權(quán)機制”。這意味著數(shù)據(jù)資產(chǎn)化
時，對包含著個人信息的數(shù)據(jù)資源，組織應(yīng)有更高的注意義務(wù)。而個人信息
數(shù)據(jù)來源合法性這一法律問題上一直是備受各界關(guān)注的實務(wù)難點問題，也是本
章重點要分析的內(nèi)容。
“同意”是個人信息來源合法性基礎(chǔ)
對個人信息處理時，用戶是否“同意”是個人信息處理者處理個人信息的
前提條件，也是評估“合法、正當(dāng)、必要和誠信”基礎(chǔ)原則中最為重要的問題。
29
在《民法典》前時代，基于用戶“同意”處理個人信息處理是最顯性的合法性
規(guī)則，也是當(dāng)時最簡單有效的實踐。直到現(xiàn)在，大量明確具有法定義務(wù)或法定
職責(zé)的數(shù)據(jù)產(chǎn)品也仍然習(xí)慣于通過“同意”方式獲取合法性基礎(chǔ)，基于非同意
而構(gòu)建合法性基礎(chǔ)仍然需要一段時間的適應(yīng)期。
但實踐當(dāng)中，大量的組織在該環(huán)節(jié)卻難以獲得用戶的同意，用戶通常只愿
意提供個人信息以便于產(chǎn)品和服務(wù)的使用，但卻本能地拒絕同意組織使用所收
集的個人信息用于研發(fā)企業(yè)的數(shù)據(jù)產(chǎn)品，甚至將其投入市場交易以賺取利潤，
畢竟用戶并未有效從中獲得直接或間接的經(jīng)濟效益。另一方面，根據(jù)法律法規(guī)
的規(guī)定，在未有合法性基礎(chǔ)的情況下，企業(yè)也不得擅自處理個人信息，否則該
類數(shù)據(jù)產(chǎn)品即使投入市場也將面臨負面的法律苛責(zé)，也無法通過相關(guān)部門對于
數(shù)據(jù)來源合法性的審查。
《民法典》第九百九十九條延伸規(guī)定了“為公共利益實施新聞報道、輿論
監(jiān)督等行為的……可以合理使用個人信息”，第一千零三十五條規(guī)定了“但是
法律、行政法規(guī)另有規(guī)定的除外”以及“公開信息”和“維護公共利益或者該
自然人合法權(quán)益”情況下合理處理個人信息的合法性基礎(chǔ)。《個人信息保護法》
出臺又進一步擴大了合法性基礎(chǔ)的考量，明確增加了包括訂立合同、履行法定
職責(zé)等在內(nèi)的 7 類合法性基礎(chǔ)。這是《個人信息保護法》的重大創(chuàng)新，有力地
打破了以往完全依賴于“同意”機制獲取數(shù)據(jù)處理合法性基礎(chǔ)的桎梏，平衡和
經(jīng)濟效率、社會公平和個人保護之間的矛盾。
從《個人信息保護法》合法性基礎(chǔ)的順序編排及表達方式來看，不難得出
其極大地借鑒了 GDPR 第 6 條“處理的合法性”條款的結(jié)論。但相比較于 GDPR
第 6 條“處理的合法性”條款，我國《個人信息保護法》并沒有借鑒該條下“（f)
30
數(shù)據(jù)處理者是為實現(xiàn)控制者或者第三方所追求的合法利益所必需……”的合法
性基礎(chǔ)。在其范式下，企業(yè)可以基于研發(fā)企業(yè)數(shù)據(jù)產(chǎn)品或改善數(shù)據(jù)產(chǎn)品等原因，
而直接處理用戶的個人信息，卻無須獲得用戶的授權(quán)同意。
歐盟《通用數(shù)據(jù)保護條例》序言 (47)、(48) 和 (49)中將“防止欺詐”、
“直接的商業(yè)營銷”、“集團內(nèi)部管理”以及“網(wǎng)絡(luò)和信息安全”四類處理行
為明確視為個人信息處理者的合法利益。2014 年 4 月 9 日，歐盟第 29 條工作組
發(fā)布的《關(guān)于第 95/46/EC 號指令第 7 條下數(shù)據(jù)控制者合法利益概念指引》將“執(zhí)
行法律索賠”等列為了一項合法利益。然而，選擇以“實現(xiàn)控制者所追求的合
法利益”作為合法性基礎(chǔ)須實施必要的利益平衡評估，以確認其選擇的合法利
益不會凌駕于更高位階的合法利益之中。正如歐洲議會在 2021 年 3 月 25 日發(fā)
布的《關(guān)于 GDPR 實施兩年后執(zhí)行情況的評價報告》中所坦言：“合法利益經(jīng)常
被濫用作為處理的法律依據(jù)”，興許也正因為合法利益的確認是一項極高復(fù)雜
度的合規(guī)評估事項，也容易被聰明的市場主體濫用，我國《個人信息保護法》
并沒有加以援引。
“知情告知”是授權(quán)同意的前提
根據(jù)我國目前的法律規(guī)定以及行業(yè)實踐，個人信息的收集和使用以得到用
戶同意授權(quán)為普遍性存在。對于單個的個人信息而言，用戶是真正的控制者，
具有授權(quán)資格。企業(yè)經(jīng)過協(xié)議許可擁有用戶與個人信息相關(guān)的協(xié)議條款規(guī)定范
圍內(nèi)的使用權(quán)。但是，用戶之所以會實施“同意”一定是在充分的知情權(quán)保障
條件達下達成的，否則同意的效力則可能視為無效。
我國《個人信息保護法》第十四條規(guī)定，基于個人同意處理個人信息的，
該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。第四十四條另外規(guī)定，
31
個人對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個
人信息進行處理；法律、行政法規(guī)另有規(guī)定的除外。因此，我國往往將知情權(quán)
和決定權(quán)合并予以考慮，知情權(quán)往往通過“告知”規(guī)則實施而得以保障，而決
定權(quán)往往通過拒絕同意、拒絕一攬子同意、撤回同意、刪除權(quán)等措施而得以保
障。
《個人信息保護法》規(guī)定了知情權(quán)的基本范疇，包括（一）個人信息處理
者的名稱或者姓名和聯(lián)系方式；（二）個人信息的處理目的、處理方式，處理
的個人信息種類、保存期限；（三）個人行使本法規(guī)定權(quán)利的方式和程序；（四）
法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項。當(dāng)然，對于敏感類個人信息的處理，
可能還需要另行告知相應(yīng)的影響及風(fēng)險。因此，知情及同意不僅包括信息主體
對收集信息內(nèi)容的知情，還包括對收集、使用的目的、方式和范圍的知情及同
意。知情同意的質(zhì)量，可以從信息處理者告知信息主體的“透明度”來衡量，
即一般理性用戶在具體場景下，對信息處理主體處理特定信息的目的、方式和
范圍知曉的清晰程度，以及作出意思表示的自主、具體、明確程度。2022 年 12
月正式發(fā)布的《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》中明確
強調(diào)要建立健全個人信息數(shù)據(jù)確權(quán)授權(quán)機制。對承載個人信息的數(shù)據(jù)，推動數(shù)
據(jù)處理者按照個人授權(quán)范圍依法依規(guī)采集、持有、托管和使用數(shù)據(jù)，規(guī)范對個
人信息的處理活動，不得采取“一攬子授權(quán)”、強制同意等方式過度收集個人
信息，促進個人信息合理利用。探索由受托者代表個人利益，監(jiān)督市場主體對
個人信息數(shù)據(jù)進行采集、加工、使用的機制。對涉及國家安全的特殊個人信息
數(shù)據(jù)，可依法依規(guī)授權(quán)有關(guān)單位使用。
32
33
知情權(quán)模塊 知情權(quán)內(nèi)容
個人信息處理者
組織的名稱和聯(lián)
系方式
告知明確的個人信息處理者，以及個人如何聯(lián)
系個人信息處理者。
處理的目的
解釋個人信息處理者為什么使用個人信息主體
的個人信息并明確不同的目的，使用個人信息有很
多不同的原因,典型的目的可能包括營銷、訂單處理
和員工管理等。
處理的合法依據(jù)
解釋個人信息處理者收集和使用個人信息主體
的個人信息和/或特殊類別數(shù)據(jù)所依賴的合法依據(jù)。
個人信息的接收
方或接收方類別
明確個人信息處理者與誰共享個人信息主體的
個人信息。
將個人信息傳輸
到任何第三國或
國際組織的詳細
信息
如果個人信息處理者將他們的個人信息傳輸?shù)?br>境外任何國家或組織，須履行必要的法定義務(wù)。
個人信息的
存儲期限
個人信息處理者將存儲個人信息的期限，如果
個人信息處理者沒有特定的保留期，那么個人信息
處理者需要告訴個人信息主體個人信息處理者用于
決定保留他們信息期限的計算標(biāo)準(zhǔn)。
告訴個人信息主體，他們在個人信息處理者使
個人在處理方面
用其個人信息方面擁有哪些權(quán)利，例如查閱、副本、
享有的權(quán)利
更正/補充、刪除、限制和數(shù)據(jù)可移植性。
個人信息主體可以隨時撤回對個人信息處理的
撤回同意的權(quán)利
同意。
向監(jiān)管機構(gòu)
個人信息主體可以向監(jiān)管機構(gòu)投訴。
投訴的權(quán)利
說明個人信息處理者是僅根據(jù)自動處理（包括
自動化決策說明 特征分析）做出的決定，這些決定對個人有法律或
類似的重大影響。
當(dāng)然，知情權(quán)并非絕對，存在如下例外情況，一是當(dāng)有法律、行政法規(guī)規(guī)
定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個人告知相關(guān)處理事項。二是
特定情況下可以實施事后告知，例如緊急情況下為保護自然人的生命健康和財
產(chǎn)安全無法及時向個人告知的，個人信息處理者可以在緊急情況消除后及時告
知。
但實踐中面臨知情-同意制度的難點是，通過互聯(lián)網(wǎng)工具，如網(wǎng)站、APP、
小程序方式收集的個人信息，法律法規(guī)要求個人信息處理者履行知情同意原則，
但卻未能明確何種方式才能有效證明組織確實已實施告知并取得了用戶的同意。
而這將會影響到數(shù)據(jù)資產(chǎn)后續(xù)的會計確認以及交易流通，甚至也將影響數(shù)據(jù)資
產(chǎn)化、資本化的進程。如證監(jiān)會目前針對涉及數(shù)據(jù)處理的擬上市企業(yè)，通常會
34
重點關(guān)注數(shù)據(jù)來源合法性的問題，此時個人信息授權(quán)鏈路將會關(guān)乎到企業(yè)上市
進程。
在實踐中，組織只要能夠證明用戶首次進入（產(chǎn)品）時均會彈窗提示（該
界面是用戶實施注冊中不可繞過的交互，即可證明組織已履行該告知義務(wù)，而
不必證明“特定用戶進入時點擊了彈窗”。因此，出于該界面的證據(jù)留存考慮，
組織可以在產(chǎn)品發(fā)布后，第一時間通過電子存證或公證處公證等形式，完整保
存該界面，用以說明產(chǎn)品設(shè)計中，彈窗是必經(jīng)流程，否則用戶無法注冊。另外，
組織也可以通過引入第三方簽名服務(wù)方，對在線締結(jié)協(xié)議的形式和內(nèi)容進行固
定。
企業(yè)在產(chǎn)品研發(fā)和改善運營的同時，須實施必要的數(shù)據(jù)埋點設(shè)計。特別是：
1）彈窗點擊環(huán)節(jié)（可生成特定 COOKIE 或信標(biāo)，或者使用第三方 sdk 收集開發(fā)
者匿名設(shè)備標(biāo)識符 VAID 和應(yīng)用匿名設(shè)備標(biāo)識符 AAID）；2）用戶注冊勾選隱私
政策時；3）用戶點擊登錄產(chǎn)品的環(huán)節(jié)；4）重新同意環(huán)節(jié)。當(dāng)實施數(shù)據(jù)埋點后，
若涉及到用戶的否認，企業(yè)也可以提交服務(wù)器后臺日志記錄，用以證明特定用
戶的點擊記錄，以此留存用戶同意授權(quán)的痕跡。
另外，關(guān)于數(shù)據(jù)來源合法性的問題，從數(shù)據(jù)資產(chǎn)會計確認的角度，關(guān)于數(shù)
據(jù)權(quán)屬的登記部門如何審查數(shù)據(jù)來源合法性問題，也應(yīng)作為相關(guān)法律、政策、
標(biāo)準(zhǔn)文件需要關(guān)注的內(nèi)容。