高富平丨滴滴被罰80.26億背後，一個信息處理中的核心問題亟需引起重視_風聞

編者按

7月21日，據中國網信網消息，國家互聯網信息辦公室依法對滴滴全球股份有限公司涉嫌違法行為進行立案調查。經查實，滴滴全球股份有限公司違反《網絡安全法》《數據安全法》《個人信息保護法》的違法違規行為事實清楚、證據確鑿、情節嚴重、性質惡劣。7月21日，國家互聯網信息辦公室依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。

國家網信辦指出，滴滴共存在16項違法事實，主要歸納為8個方面，其中除嚴重影響國家安全外，“過度收集信息”成為認定滴滴違法的又一關鍵詞。這其實也反映了當下個人信息處理中的核心問題，即在各類APP和平台中，“同意規則”被泛化理解，導致平台的處理權限被無限放大，侵犯隱私、威脅數據安全、平台壟斷等一系列亂象由此出現。本文從對“同意”與“授權”這一對法律概念的辨析入手，分析個人信息處理的邊界這一基礎問題。本公眾號特此編髮，供讀者思考。

滴滴被罰80.26億背後，一個信息處理中的核心問題亟需引起重視

高富平丨華東政法大學互聯網法治研究院院長、教授

本文刊載於《探索與爭鳴》2021年第4期

原題《同意≠授權——個人信息處理的核心問題辨析》

非經註明，文中圖片均來自網絡

2012年12月28日,全國人大常委會發布《關於加強網絡信息保護的決定》（以下簡稱《決定》)，標誌着我國開始引人個人信息保護制度。《決定》確立的個人信息保護規則後被《消費者權益保護法》《網絡安全法》《電子商務法》等法律所吸收。個人信息保護規範的基本內容為:個人信息收集和使用應遵循合法、正當、必要等原則，經被收集者同意，收集和保存後，應當依法或依約處理或使用。由於這些法律沒有規定“同意”的例外情形，加上“同意”是組織(法人和非法人、營利性和非營利性法人)最容易做到且能夠證明其合法性的方式，因此同意規則被泛化。

其危害有兩方面:一方面，造成個體對個人信息享有一般性決定權的錯覺。因為按照形式邏輯，既然使用個人信息要經個人同意，那麼似乎可以得出未經個人同意就構成侵權的結論。只是未經同意使用個人信息是否構成民事侵權，仍然存在爭議，至少沒有為司法實踐採納。但是，在公法領域，未經個人同意的使用(含收集)即構成違法行為，而違法行為即應承擔相應的法律責任(行政處罰甚至刑事責任)。公法規則的強制性進一步強化了個人信息屬於個人,由個人控制或決定的觀念。另一方面，只要有了個人的同意（哪怕是形式意義上的概括式同意)，組織使用個人信息即合法使“同意”反而成為個人信息濫用的“保護傘”。

《民法典》以個人信息“處理”替代了個人信息“收集和使用”，但仍然堅持以“同意”為前提,只是明確“同意”存在法定例外(第1035條第1款第1項),並規定了免責情形(第1036條)。在個人信息保護模式(權利保護或法益保護)存在爭議的背景下，當不存在法定例外時，對未經同意處理個人信息是否構成侵權，恐怕仍然會有不同的理解。這不僅是由於法律規定不清晰，還有實踐中存在將信息主體的“同意”等同於“授權”的原因。

例如，國家推薦標準《個人信息安全規範》(GB/T 35273—2020)第5.4條“收集個人信息時的授權同意”規定: a)收集個人信息，應向個人信息主體告知收集、使用個人信息的目的、方式和範圍等規則，並獲得個人信息主體的授權同意。同樣,《互聯網個人信息安全保護指南》直接將同意表述為“授權同意”或“同意和授權”。司法實踐中也普遍將同意視為授權，甚至提出“三重授權説”。如果將“同意”理解為“授權”，那麼未經信息主體授權使用個人信息當然構成侵權。

在《民法典》實施後，個人信息民事保護將成為個人維權重要方式，法院將面臨非經個人同意使用信息是否構成侵權的拷問。同時《個人信息保護法》正在制定過程中，如何規定“同意”也關係着未經個人同意是否侵權的判斷。因此,我們有必要對個人信息保護法(下文簡稱“個保法”)中的“同意”在私法中的法律效果進行探討，尋求其正確的法律意義和效果。

各類“同意”的私法效果檢討

個人在許多場景中都需要表達同意。最常見的有，在社會活動中，作為同行專家同意推薦、同意結項等簽字﹔在組織活動中，上級領導對下屬某種行為的許可，如同意報銷、同意下屬從事某行為等。“同意”也會進入到民事法律行為中，從《民法典》來看，至少以下情形涉及到“同意”:法定代理人對被代理人(監護人)行為的同意(第19、22、145條)、監護人選擇的同意(第27、28條)、被代理人同意(第168、169條)、義務人同意履行過訴訟時效的債務(第192、195條)、權利人同意登記簿記載事項的同意(第220、221條)、業主對錶決事項的同意(第278、279條)、共有人的同意(第301條)、用益物權人對所有權設定地役權的同意（第379條)、擔保人對債務轉讓的同意(391條)、抵押權人對抵押權變更的同意(第409條)、出質人對質權人使用質物和轉質同意(第431、434條)、在合同訂立過程對要約的同意(第479條)、標的變更的同意(第516條)、債權人對債務轉移的同意(第551條)、合同權利義務轉讓同意(第555條)、保證人對債務合同變更的同意（第695至697條)、租賃合同中出租人同意（第715至718條，第753條)和承租人同意(第744條)、承攬合同中定作人同意(第772條)、建設工程合同中的發包人同意(第790條)、合作開發人對專利申請的同意(第860條)、委託合同中委託人同意(第922、923條)和受託人同意(第931條)行紀合同中委託人同意(第954.955條)合夥人對合夥事務的同意(第970、974條)、器官捐獻的同意(第106條)、倫理委員會對新藥或治療方法進行臨牀試驗的審查同意(第1008條)、肖像權人對使用肖像的同意（第1019、1020條)、權利人對侵害隱私行為的同意(第1033條)、自然人對個人信息處理的同意(第1036、1038條)、現役軍人對配偶離婚的同意(第1081條)、撫養義務人對孤兒送養同意(第1096條)、收養關係建立的同意（第1103、1104、1109、1114條)、診療活動中患者或近親屬的同意(第1219、1226條)等。

顯然，這些“同意”是當事人的意思表示，其基本含義是認可某事實或允許某人做某事，從而產生特定的法律效果，但法律效果卻不盡相同。有些“同意”產生變更法律關係或權利義務內容的效果，有些可能僅阻卻違法或接受某種法律後果，甚或放棄某種權利;也有個別“同意”含有授權意思，比如,《民法典》第1019條規定“未經肖像權人同意，不得製作、使用、公開肖像權人的肖像”，實質上這裏的“同意”即為“授權”。但是，《民法典》所規定的其他“同意”卻鮮有“授權”的含義或效果。

那麼，民法中的“授權”又是什麼含義呢?《民法典》較少使用“授權”，僅有委託代理中使用了代理權授予(第165、174、925條)。顯然,代理權授予中授權的法律屬性屬於單方意思表示，其法律效果是限制自己行為,為他人創設了意志自由(被稱為權限或法律地位)。類似地,《民法典》中也大量使用“許可”一詞，如專有技術許可合同中技術許可(第843條、第862—875條)。同時，集成電路布圖設計專有權、植物新品種權、計算機軟件著作權等其他知識產權許可也可以參照適用技術許可合同(第876條)。實際上,在《著作權法》《商標法《專利法》等知識產權法律中，均承認知識產權人許可他人使用受保護智力成果的權利。另外,《民法典》賦予自然人許可他人使用姓名、肖像等識別性人格要素的權利(第993條)。顯然，“許可”適用於民事主體享有法律規定的權利,權利人通過限制自己的權利,而為他人創設使用某種財產或人格要素的自由(權利)。“許可”有時候也被稱為“授權”,均內含當事人的同意的意思表示,只是它為受許可人(被授權人)創設明確的行為自由(邊界)，在法律上明確為“授權”或“許可”，而不稱為“同意”。

人臉識別進校

通過上述梳理，我們可以得出基本結論：僅從《民法典》的用語來看，若要表達“授權”的含義，往往會明確使用“授權”“許可”等詞彙，而基本不會與“同意”混用。但是有例外，在肖像權相關規則(第1019條)中,“同意”即與“授權”含義基本相同。“同意”並不一定與“授權”聯繫在一起或具有相同法律後果，而“同意”的法律後果依據其適用的場景、針對的對象或事務而有所區別,呈現出多樣性的趨勢。那麼，個人信息使用或處理的“同意”是否具有“授權”的法律效果呢?這可能還需要深入分析“個保法”中“同意”的法律基礎。

域外“個保法”中“同意”的法律效果

“個保法”中的“同意”來源於社會生活中個人對個人事務處理的意志表達，類似於醫療過程中的患者同意，甚至可以説二者具有相同的法理基礎，即根源於對自然人作為生命主體的尊重，是對人的尊嚴保護。因此,我們需要尋找“個保法”為信息主體（數據主體)設置“同意”的背後邏輯。

通過對“個保法”初期立法研究發現，個人信息保護的基本含義是對個人信息處理行為進行保護，而不是對個人信息的保護，個人信息保護並沒有賦予個人對個人信息的決定權或支配權。法律給予信息主體以同意的基本邏輯是,個人信息是關於個人的,而個人是具有獨立意志的主體,因而處理個人信息不能像處理客體那樣隨意，而應當尊重個人意志或者以不侵犯個人尊嚴或自由方式進行。但是，由於人是一種社會存在，披露個人信息和藉助個人信息識別交往或交易的對象是社會運行的基本要求，因而個人信息又不是或不完全是屬於個人、由本人決定才能為社會使用的“東西”。於是，個人信息處理中個人保護面臨的問題是:既要保護個人作為信息主體的權利,又不能讓個人説了算，賦予其決定權。因此，“個保法”一開始就承認個人信息（個人數據)具有社會性、公共性，而不是屬於個人可絕對支配的“財產”，也即承認個人信息（個人數據)是社會主體可用的資源，而不是非經個人決定不得使用的“財產”。

這樣的立法定位決定了如何設計和理解信息主體的“同意”成為“個保法”的關鍵問題。在美國，在聯邦層面只有特殊領域的立法對特定情形和特定範圍的個人信息設置了“事先同意”門檻，而總體上由使用個人信息主體自主決定選擇是否要“同意”(opt-in)，並認為“選退”(opt-out)也是對主體權利的尊重。因此，在美國，“同意”似乎只是判斷個人信息使用是否正當，進而是否侵犯信息隱私(數據隱私)的考量因素。在美國特有的法治環境下，靈活的同意規則滿足了個人信息處理中個人保護(信息隱私)的目標。

歐洲也是個人數據保護制度的發源地，一開始歐洲採取統一的制定法保護個人數據處理中個人的權益。考察歐洲個人數據保護法對“同意”的法律定位，對我們更具有借鑑意義。歐洲“個保法”源起於瑞典、德國、法國等國，形成於歐洲委員會(又譯歐洲理事會，縮寫COE)1981年制定《個人數據自動處理中的個人保護公約》(以下簡稱《公約》)。《公約》對個人保護的邏輯建立在基本權利基礎上，它假定個人數據處理必須有合法性基礎，遵循法律原則進行處理，以避免處理對個人權利的侵害。對於如何保護個人數據處理中的個人權利,《公約》採納的是基於原則的規範模式，並將數據主體的權利置於基本原則中。《公約》既不承認數據主體享有單一權利，也沒有將“同意”明確為數據主體的一項權利，而是將之規定在第5條數據處理的合法性基礎中，“同意”只是合法處理的法律依據或理由之一。第5條第3款實際上規定了數據處理的合法性有三個要件:(1)處理目的合法;(2)處理具有法律基礎(同意或法律規定的合法事由);(3)處理行為合法（比如公正、必要、正確等)。

為落實《公約》並推進“個保法”規則的統一,歐盟議會和歐盟理事會於1995年通過了《關於涉及個人數據處理的個人保護以及此類數據自由流通的《95/46/EC/號指令》(以下簡稱《指令》)。之後又以統一的歐盟法律《統一數據保護條例》(Regulation(EU)2016/679，縮寫為GDPR，2018年5月生效）替代了具有指導成員國立法效力的《指令》。雖然歐盟的法律一直朝着強化保護個人權利的方向發展，但是，以基本原則保護個人數據處理中個人權利的框架沒有變化，自《指令》開始，歐盟一直堅持“同意”只是合法處理法律基礎之一，而並沒有在主體權利中規定數據主體享有同意權。事實上，在數據主體對個人數據的使用沒有獨立決定權的情形下，主體的同意就不是基於權利而做出的。在個人不能完全決定個人數據使用的情形下，個人也就不能自由地決定個人數據使用，更不能為他人創設權利(自由)，產生授權效果。

實際上，從《指令》到GDPR，數據主體的權利均源自公民的基本權利(人權)，數據主體的權利是不可能被放棄或讓渡的。因此，歐盟的法律一方面規定“數據主體有權在任何時候撤銷其同意”，這使數據處理仍然受數據主體意志左右﹔另一方面，歐盟的法律強調數據主體權利的絕對受保護性，要求數據控制者利益讓渡於數據主體利益，且不因場景變化影響數據主體權利的實現。在這個意義上，筆者認為，歐盟“個保法”具體化的主體權利只是基本權利在個人數據處理領域的體現，因而被認為是不可讓渡的權利。因此，數據主體的同意不是對這些權利的處分或讓渡。那麼，“同意”的法律意義何在呢?理解“個保法”中“同意”的法律效力，我們仍然應當回到自《公約》確立的個人數據處理合法性原則上。《公約》的核心是第5條所規定的個人數據處理的合法性判斷三要件。《指令》第二章“個人數據處理合法的一般規則”是對《公約》第二章“數據保護基本原則”的細化，而GDPR第二章則將該章內容拆分為三章。R其中,《指令》第7條對《公約》第5條第2款處理的法律基礎進行了細化，併為GDPR第6條所繼受。細化主要表現為明確了“同意”之外的法定事由，在這之外的5項法律基礎體現了個人數據的社會性和公共性，尤其是將“數據控制者或第三方為追求合法利益目的而進行的必要數據處理”(以下簡稱為“合法利益")也作為個人數據處理的合法基礎。這大大擴張了“同意”之外的合法性基礎,是數據控制者的“合法利益”需要與數據主體的權利相平衡，使個人數據處理(使用)法律基礎的判斷更加具有彈性。除了明確個人數據處理的合法性基礎外，《指令》和GDPR的主體規範主要是建立行為處理規範，為行為合法性判斷提供依據。因此，依據歐盟“個保法”，個人數據處理的合法性判斷仍然堅持《公約》第5條提出的三個標準。

這意味着，歐盟“個保法”下的個人數據處理(使用)合法性判斷仍然堅持合法目的、合法基礎和合法處理行為三要件,而“同意”只是合法基礎一種。在這三要件中,合法目的是前提。“個保法”並不觸及目的合法性，目的是否合法需要依據整體法律判斷，但“個保法”以個人信息使用目的合法為前提條件，如果使用個人信息用於違法目的(如欺詐)，那麼即可以“一票否定”其合法性。在合法目的假設下，個人信息處理的合法性首先看是否存在合法性基礎。如果沒有合法性基礎，那麼亦可以否定其合法性。在這個意義上，在沒有其他法律基礎，又未取得個人同意而使用信息時，亦可以判定個人信息處理行為不合法。但是有法律基礎並不意味着個人信息處理行為就具有合法性。因為法律基礎只是個人信息處理的必要不充分條件，有法律基礎只是合法性的前提條件，其處理行為是否合法還需要判斷個人信息處理是否符合“個保法”的基本原則和具體規定。而這一判斷涉及“個保法”的整體適用，情況比較複雜。比如，未依法盡告知義務，或者超範圍使用等都將導致個人信息處理行為違法。

如果上述判斷是正確的，那麼由歐洲開創的統一制定法模式，也仍然是將“同意”作為合法性基礎之一，而不是單獨非經同意即違法。最為關鍵的是，歐洲“個保法”也並非採權利法模式，採取簡單未經同意即違法的法律規則，而是採行為規範模式，並建立多層次的合法性判斷標準來判斷個人數據處理行為是否合法。

我國信息主體同意的私法效果

與域外的立法實踐不同,我國是由《民法典》先對個人信息處理作出了基本規範,而後制定《個人信息保護法》。由於《民法典》的基本法地位,決定了我國“個保法”的同意法律效力首先要在《民法典》的體系下思考。因此，我們首先需要考察《民法典》對“同意”的規範及其法律後果。筆者認為,《民法典》所規定的“同意”，不能理解為人格要素的“許可”(授權使用)意義，民法對個人信息處理的合法性也不能僅看是否獲得個人同意。

《民法典》與現行法的不同在於,其規定了“同意"之外存在法定例外(第1035條第1款第1項)，只是並沒有明確存在哪些例外，而是交給其他法律規定。單憑這一條並不能説明未經同意必然不構成侵權。因為在權利規範模式下，亦可以建立以個人授權為一般原則，而以法定事由豁免未經授權使用的責任。之所以説“同意”不等於“授權”，未經同意不一定構成侵權，主要原因是《民法典》對個人信息的法律保護仍然採行為規範模式，而不是權利規範模式。

《民法典》將個人信息保護置於人格權編，而個人信息也被定義為能夠識別出個人的任何信息。這使得個人信息與姓名、肖像等傳統的識別性人格要素具有高度相似性。民法上的姓名權、肖像權的核心是姓名、肖像的使用權（包括許可使用),由此建立了非經權利人許可(授權)不得使用姓名、肖像的規則。但是，傳統人格權並沒有觸及姓名、肖像之外的個人信息。當個人信息納入人格權編且受保護的個人信息也具有可識別性，人們最易將其類比作姓名、肖像等識別性人格要素。既然姓名、肖像可以許可使用，那麼個人進行同意亦相當於或者可以視為許可他人使用個人信息。但是，存在以下理由，使我們不能將個人信息的“同意”視為“授權”。

第一，姓名、肖像具有直接標識獨立個體、與個人關聯的聯繫力，是一個人形象、名譽、榮譽甚至整體個體利益的載體。因此，選擇這兩個符號，賦予個人積極的支配權，有利於維護人格權益，尤其實現人格利益的商業化利用。同時，姓名、肖像本身邊界清晰，識別和判斷簡單易行,且有公認的社會規則，能夠給他人以合理行為預期，賦予其排他性權利不會給社會主體造成負擔,帶來過高的交易成本。但是，姓名、肖像之外的個人信息雖然具有識別個人的功能，但是大多情形下並不具有單獨識別性，能否識別個人取決於能夠掌握多少數據(與多少數據結合)、採用什麼算法等，單個信息的識別性往往不容易判斷。個人信息的權利化會給整個社會造成過高的負擔,增加社會的運行和交易成本。

第二，將“同意”視為“授權”會變相地導致個人信息保護權利化，承認個人對個人信息具有支配性權利，這與個人信息社會性和公共性的定位相悖。如前所述，個人信息的社會性和公共性是域外“個保法”默認的前提，“個保法”僅在於建立個人信息公正合理使用的規則，而不是建立未經個人決定(同意)不得使用的規則。這樣的定位使私法規範不能將個人信息私權化，成為個人意志可以決定的東西。

第三，《民法典》對個人信息保護採行為規範模式，而非權利規範模式，個人信息處理行為的合法性是侵權行為判斷的基礎。《民法典》第1035條“個人信息處理的原則和條件”將“同意”視為個人信息處理的條件之一，但並不是非經同意不得使用的權利規範模式。第1036條第1項將“同意”視為個人信息處理合法性的必要但不充分條件，“同意”只是合法處理的前提，還必須在“同意”的範圍內“合理實施”處理行為。依據第1036條第1項，僅有個人同意的處理行為不合理，仍然需要承擔法律責任﹔同樣，有法律規定的其他依據（例外規定)，處理行為存在超範圍等不合法、不合理的行為，仍然可以認定為處理行為不合法。根據《民法典》，我們可以得出這樣結論﹔未經信息主體同意並不一定侵權,而獲得了信息主體同意也並不一定不侵權。“同意”並沒有為使用人創設自由，也沒有為信息主體與行為人(信息處理者)之間界分出自由和非自由邊界。因此，雖有同意行為，但“同意”只是行為合法性判斷因素之一，而不產生“授權”的法律效果。

“個保法”的“同意”規範與民法的銜接

2020年首次公開的《個人信息保護法（草案)》在個人信息保護方式方面基本採納了歐盟GDPR的框架，尤其是採納了個人信息處理合法性的基礎規定，只是其合法性基礎(第13條)規定在“個人信息處理規則”一章，而不是在總則的基本原則中。第13條的內容也大致相當於GDPR第6條對個人數據處理合法性的規定，主要差別是缺少“為信息處理者(GDPR中表述為數據控制者)合法利益而處理”這一合法性基礎。筆者認為，採納個人信息處理合法性基礎規定使我國個人信息的處理具有並行的法律依據，既避免了《民法典》之前的分散立法將“同意”作為唯一合法性基礎，同時也避免了《民法典》第1035條以“同意”為一般原則，以法律另有規定為例外的規定。單純以此作為合法性基礎，宜得出沒有法律的規定例外時，未經“同意”的個人信息處理就是侵權結論。這主要是因為個人信息具有可以為社會使用的屬性，在法律的有限規定之外是否都要徵得個人同意並沒有確定的答案，這才有“正當”在個人信息處理基本原則中存在的必要。《民法典》第1035條將“合法、正當、必要原則”作為個人信息處理的基本原則，“正當”應當成為個人信息合法性的兜底原則。實際上，“正當”給法官在審理具體案件過程中的法律規定情形之外，對未經同意是否違法（侵害信息主體權益）有了判斷的空間，忽略正當原則對個人信息處理的合法性基礎進行判斷是錯誤的。

圖片來源：人民網人民數據

“個保法”是保護個人信息權益的專門法，其對合法性的認定應當成為民法判斷是否侵害個人信息上人格權益的依據。既然民法對個人信息採法益保護模式，以個人信息處理行為是否合法作為侵害其人格利益的依據，那麼個人信息處理行為是否合法應當依據專門法的規定加以判斷。如果“個保法”建立了一套行之有效的個人信息處理合法性判斷標準和方法，那麼，個人信息民法保護需要判斷的主要是:這樣的違法或不合理的處理行為是否給個人造成損害，違法行為與損害之間是否存在因果關係。因此，在個人信息侵權保護中，個人信息處理的合法性判斷應當依據“個保法”。

如前所述，個人信息處理的合法性原則本質上是由三個遞進的要件組成，首先是目的合法，其次是處理具有合法性基礎，最後是處理行為合法和合理。如果“個保法”以合法目的為假設條件的話,那麼，“合法性基礎＋合法的處理行為”才構成完整的個人信息處理的合法性標準。“同意”對於個人信息處理合法性的判斷的影響在於，它只是處理行為具有法律依據或基礎，甚至可以説，它只是合法性的前提條件，而在此前提條件下，還要看個人信息處理行為是否遵守了具體法律規定，實質性地保護了主體權利。因此，個人信息處理的合法性判斷涉及到“個保法”的綜合適用。筆者看來,我國“個保法”應當堅持這樣的個人信息處理合法性判斷的標準和方法,這才符合“個保法”對個人信息本身性質和個人信息處理中的個人保護方法的定位。

結論

在上述個人信息合法性認知框架下，將“同意”視為“授權”有百害而無一利。首先，這會導致默認個人對個人信息享有支配權或決定權的不利後果。在民法視角下，任何授權或許可行為均以“有權”為前提，而如果民法保護個人信息上人格利益，那麼就不存在授權或許可的法律基礎。其次，將“同意”視為“授權”，還容易導致信息處理者（使用者)一旦有了“同意”，就認為有了在同意範圍內(暫且不論同意是否有效)有使用個人信息的自由。但是,如前所述，“個保法”中的“同意”並不具有這樣的效力和效果，個人信息立法也從來不欲按照如此效果來設計同意規範。在“個保法”中，“同意”實際上只意味着他人可以處理，而並不意味着處理者具有不承擔任何責任的自由。實際上，“同意”後的處理行為不僅須遵守具體法律規定，而且還要合理公平，不實質性地侵害個人權益。非經個人同意的處理並不一定侵權，經個人同意的處理也並不一定不侵權，獲得個人同意並不一定免責。這裏對“同意”的效力的討論仍然是以有效同意為前提，如果再考慮到“同意”存在諸多瑕疵（比如，同意時個人並不能對處理者使用哪些信息及後果作出準確的判斷等)，我們更不應當將“同意”視為“授權”。在筆者看來，與交易或服務捆綁的概括式同意，最多是個人信息收集的一道必經程序，僅能夠表明“我知道你在使用我的數據”。