作者李思羽博士研究生，主要研究方向为国际经济法、网络法摘要：基于互联网应用的个人信息交易，是当前数据经济的重要组成部分和基础性环节。但是基于互联网应用的个人信息交易可能存在双重市场失败：经营者过分追求自身利益侵害消费者权益的市场失败，以及消费者因偏见和错误进行非理性决策的市场失败。要充分保护互联网应用消费者权益，促进数字经济健康发展，需要从纠正经营者过度自利行为和消费者非理性行为两个方面着手，建立健全个人信息和数据保护立法。引言在互联网应用极大丰富的今天，各类互联网内容、应用、设备和服务供应商（以下简称“应用供应商”）通过收集、分析用户信息和行为数据，了解用户偏好从而优化应用和服务；同时，各类应用供应商和数据经纪商之间通过互相交易用户信息和数据，进一步开发这些信息和数据的价值，这构成了“数据经济”的重要组成部分。数据经济的发展，不仅提高了互联网应用的易用性、降低了用户搜寻成本、更好地满足用户的个性化需求，同时也提升了同类和关联互联网应用的整体生产和服务水平，刺激了消费市场发展。数据经济建立在对消费者个人信息的合理收集和使用基础上，为保护消费者权益、规范个人信息手机和使用，促进数据经济的健康发展，我国现行法律要求经营者收集、使用消费者个人信息应当明示收集、使用信息的目的、方式和范围，并经消费者同意。为履行披露义务并取得消费者同意，应用供应商通常在用户注册时通过格式“点击生效合同”（clickwrap contract）或通过弹出窗口或提示栏向消费者披露隐私政策、要求消费者确认是否同意，消费者需要点击隐私政策的“同意”按钮才能继续安装应用或享受高级服务；另外，应用供应商提供的隐私政策通常还规定，在基础合同或隐私政策合同发生变更的情况下，消费者继续使用应用的行为，视为默示同意应用供应商变更了的隐私政策。因此，形式上，应用供应商与消费者之间在基础交易合同项下，基于应用供应商提供的格式条款，就消费者个人信息的收集、使用形成了一个消费者个人信息交易合同。个人信息交易中的消费者保护困境在数据经济逐步起飞的大背景下，个人信息和行为数据成为一项经济资源，能够以合理的方式在市场上作为议价筹码。在消费者个人隐私获得保护的情况下，个人信息交易对合同双方都有利：对于消费者而言，个人信息和数据成为某种意义上的“金钱等价物”，能够利用其换取应用供应商的免费服务或定制化的高溢价服务；而应用供应商则能够将商业模式建立在向第三方收费的基础上，例如向希望给消费者定向推销的第三方经营者收费，或通过与数据经纪商交易获取收益，从而获得更高和更稳定的利润。 然而，消费者在个人信息交易中处于弱势地位，其权益可能受到侵犯：消费者个人隐私信息可能会被泄露，消费者个人信息（包括隐私信息和其他非隐私信息和行为数据等）可能会被不当使用。因为消费者因使用特定互联网应用而产生的数据集，对于该特定消费者而言是独一无二的，任何有关这些信息和数据的泄露和不当使用都将给相关消费者带来风险。例如，消费者隐私信息的泄露将使消费者尊严受损，非隐私信息的不当公布可能造成消费者的不适，消费者非隐私信息和行为数据的的不当使用可能导致弱势消费者群体（包括低收入和低技能群体）在商品市场受到价格歧视、在劳动市场遭到排挤等。但是，个人信息交易是在应用供应商提供的格式合同基础上订立，同时在互联网应用极其丰富并给予人们生活极大便利的环境下消费者难以理性地权衡利弊，这为有效保护消费者权益提出了挑战。一方面，格式化的个人信息交易合同，固有地存在着格式合同对消费者保护力度不足的一般风险，完全依靠应用供应商自我约束难以全面保护消费者权益；进一步地，数据经济很重要一部分建立在多方经营者共同对消费者个人信息和数据进行投资和开发的基础上时，消费者权益可能遭到强大的产业利益的侵害，从而导致和深化因经营者过度追求自身利益而侵犯消费者权益的市场失败。另一方面，个人信息交易合同无法约束第三方当事人，强制性的消费者权益保护法无法有效制约“黑客”行为，因此消费者个人信息泄露或被不当使用几乎是一项固有风险，而非或有风险，这就要求消费者充分权衡利弊得失，理性地做出是否进行个人信息交易的决策。但是，个人信息交易合同是基础的互联网应用交易的从属合同，在互联网应用蓬勃发展的大环境下进行利弊权衡，消费者容易受到偏见和认识错误的影响，从而常常做出非理性的选择——虽然更偏好个人信息安全，却在互联网应用基础合同环境下“出售”了个人信息。这就产生了由于消费者非理性行为而产生的市场失败。因此，基于互联网应用的个人信息交易可能存在双重市场失败：经营者过分追求自身利益侵害消费者权益的市场失败，以及消费者因错误和偏见进行非理性决策的市场失败。因经营者过度自利导致的市场失败我国《电信和互联网用户个人信息保护规定》第 10 条和《中华人民共和国消费者权益保护法》第 29 条要求经营者对收集的消费者个人信息必须严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。因此，目前经营者为了能够合法使用消费者个人信息和数据，通常对相关信息采取“去（身份）识别”（de-identification）处理 。但是，去身份识别并不是隐私保护完美的解决方案，因为对大多数去识别化的数据集，相关信息可以被重新识别（re-identified）。这意味着，即使相关数据控制人已经对其为交易需要而释放的数据提前进行匿名化处理，交易对手方或其他受让这些数据的人仍有可能将这些数据与特定个人用户重新建立关联。虽然“再识别”处理成本和技术难度较高，学术和实务届对其是否具有实际可操作性，以及对再识别信息与原信息匹配率是否有效还存在争议，但是再识别操作意味着个人信息一旦生成进入使用环节其危险性是极高的：用户隐私信息一旦被泄露，它可能永远无法从网络空间删除。这就要求经营者克制自身的逐利行为，在追求经济利益的采取措施有效保护消费者隐私安全。然而，无论是与消费者直接签订基础合同和个人信息交易合同的经营者，还是作为合同第三方当事人的经营者，都有可能基于过度自利行为而威胁消费者隐私安全。应用供应商的过度自利行为和消费者行动困境从与消费者直接订立合同的应用供应商方面看，依据《全国人大常委会关于加强网络信息保护的决定》第 2 点、《中华人民共和国消费者权益保护法》第 29 条、《电信和互联网用户个人信息保护规定》第9条、 《网络交易管理办法》第 18 条，《征信业管理条例》第 13 条，应用供应商收集、使用消费者个人电子信息通常应当满足三点强制性的法律规定：第一，收集消费者个人信息须经消费者同意；第二，公开收集、使用消费者个人信息的收集和使用规则；第三，按照法律规定和合同约定收集、使用这些信息。在互联网应用销售（或服务）合同作为基础合同的交易中，应用供应商为满足这三点强制性法律规定，并尽量减少消费者选择退出（opt out）个人信息交易合同的几率，通常采用只需消费者点击“同意”合同即成立，只要消费者不明确退出合同且合同条款不违反强制性法律规定合同即生效，这种格式化的“点击生效合同”订立个人信息交易合同；同时，个人信息交易合同通常在形式上被纳入为格式化的“点击生效”的基础交易合同，消费者在订立基础交易合同时，通过一次或数次点击“同意”按钮，即在订立基础交易合同同时又订立了个人信息交易合同。而消费者通常不会阅读这些格式合同，这不仅是因为格式合同冗长详细的书面表述对消费者的阅读能力提出较高要求，还因为通过电子设备显示的格式合同不适宜阅读、无法吸引消费者足够的注意力，同时如今各类应用极为丰富消费者难以逐一阅读。即使阅读了，消费者是否能够理解合同涉及的风险也是一个问题，尤其是考虑到应用供应商有激励通过文字表述形式尽可能淡化消费者对这些风险的注意。因此，以格式化“点击生效合同”形式订立个人信息交易合同，形式上虽然能够满足现行法律对于消费者个人信息保护的强制性规定，但是无法保障这些规定的有效执行。进一步地，个人信息交易合同在格式化的“点击生效合同”基础上订立，而消费者通常不会阅读格式合同，这使得经营者有机会加入“单边条款”，或通过合同减损消费者保护措施，并通过消费者点击“同意”将过度自利行为合法化，从而最小化其在利用开发消费者个人信息和数据可能受到的限制和约束。例如，应用供应商的隐私政策通常规定其可能通过 cookies等程序收集“非个人身份信息”用于广告优化或提供给第三方，而“非个人身份信息”的内涵和外延小于强制性法律规定所保护的“个人信息” ，这就可能不当缩小了消费者保护的范围。又如，应用供应商虽然承诺不会未经消费者同意向第三方分享其个人信息，但是加入了表述宽泛的除外条款。再如，应用供应商虽然承诺不会未经消费者同意向第三方分享其个人信息，但是没有披露其对“去可识别化”数据的使用和分享方式，由于这些数据可以经过“再识别化”过程重现消费者的个人信息，因此消费者对于这部分数据有一定权益却未能在个人信息交易合同中明确。对于应用供应商的可能的过度自利行为，难以通过消费者“用脚投票”与之进行权利平衡。原因在于，消费者通常根本不阅读格式合同及其依法向消费者披露的信息，即使阅读了也无法充分理解相关条款所表示的交易特征，更遑论仔细权衡合同内容对其负面影响进而决定是否签订合同。个人信息交易合同通常附于基础合同正文或以超链接形式提供，它与基础合同一道构成了字数甚巨的文件系统，阅读和理解这些文件花费的时间和学习精力很可能与消费者从基础合同中所获收益不成比例。因此，消费者面对互联网应用的“点击生效合同”虽然拥有选择“不同意”的自治权利，但是其通常无法有效行使，从而导致市场失败。第三方经营者的过度自利行为从作为合同第三方当事人的经营者方面看，他们可能通过与应用供应商的信息和数据交易，获得经过“去可识别化”处理消费者个人信息或消费者的“非个人身份信息”，而这些信息的不当使用会引起消费者的不适甚至造成个人隐私泄露，或将一部分消费者群体排除出市场。例如，这些信息可能包括非属敏感信息的消费者驾驶里程、消费活动范围、慈善活动的参与情况和健康情况等信息和数据，第三方企业能够利用这些信息进行精准营销，或是对某些消费者群体施以精准的价格歧视，因此，长期来看这将导致收入和技能水平较低的消费者群体受到排挤；在对数据进行“在识别化”处理的情形下，消费者乃至其亲友的隐私就有遭到泄露的危险，进而危及消费者的人身或财产安全。这些经营者并没有直接与消费者订立基础交易合同或个人信息交易合同，更不受消费者与应用供应商直接订立的个人信息交易合同及其该应用供应商隐私政策的约束，无法通过合同义务约束他们的行为。另外，我国现行有关保护消费者个人信息的强制性法律法规主要针对与消费者订立基础交易合同的应用供应商，并不直接针对参与数据交易的其他经营者，虽然《全国人大常委会关于加强网络信息保护的决定》第 1 点规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”，这虽然能够解释我国法律和相关政策禁止了各类经营者非法或不当使用“再识别”信息或数据的行为，但是目前并没有落实到具体的法律规定中，缺乏可执行性。因此，对于进行个人信息和数据交易的第三方经营者在我国几乎不存在有效的、具有可操作性的个人信息或消费者权益保护规则。这使得数据经济发展过程中，经营者流转、使用和深度开发消费者个人信息和数据的行为可能产生负的外部性，进而导致市场失败。因消费者非理性行为产生的市场失败长期来看，对于消费者而言其个人信息被泄露或不当使用的风险，是一项固有风险。虽然国家法律和个人信息交易合同通常禁止经营者滥用消费者个人信息，并应当采取安全保障措施，包括采取去识别化措施和禁止进行身份再识别处理，同时不得未经消费者同意与第三方分享去可识别化的信息和数据。但是，这些法律和合同规定无法有效约束第三方经营者或数据经纪商甚至“黑客”获取去识别化数据并进行身份再识别处理。另外，消费者个人信息和数据一旦通过互联网应用产生，很难完全从网络删除，因此隐私信息泄露的风险几乎无法消除。例如，曾有新闻报道，某消费者清空手机所有应用和个人资料后出售手机，不法分子进行数据恢复后从其支付宝账户中盗刷了大笔金额。隐私泄露的固有风险，这要求消费者在进行个人信息交易时，应当保持理性，充分权衡利弊。考虑到互联网应用合同采取“要么接受，要么退出”（take it or leave it）格式合同形式，理性消费者虽然缺乏议价能力但是能够基于自身偏好做出合理的利益权衡：那些一贯认为其隐私信息价值不高、更偏好便利的互联网应用的消费者，他们选择“购买”该应用、接受个人信息交易合同的行为是理性的；那些一贯重视个人信息保护的消费者，他们“不购买”相关互联网应用、拒绝签订个人信息交易合同的选择也是理性的。法律和市场监管者无需对这些理性的消费者提供特别的引导。法律和市场监管者需要施与特别规制的是，由于消费者错误和偏见导致的市场失败——一部分消费者更偏好“不出卖”其个人信息，但是仍然在自身偏见的误导和经营者激励措施的激励下签订个人信息交易、购买互联网应用。从行为经济学的角度看，这些消费者非理性行为原因有二：持有过度乐观的偏见，和对未来风险进行非理性贴现（也称“双曲贴现”，hyperbolic discounting）。消费者过度乐观导致的市场失败受过度乐观偏见影响的消费者，错误地低估了个人信息交易可能对其产生的损害风险，进而决定“出卖”个人信息换取互联网应用的便利。行为经济学认为，人们容易高估自己的能力，并且不擅长评估其遭遇负面事件的可能性，这种偏见被称为“不切实际的乐观主义”（unrealisticoptimism）或“过度乐观”（overoptimism）。具体到个人信息交易的场景中，一部分消费者虽然认识到了个人信息泄露或不当使用可能导致负面影响，但是如果受到过度乐观偏见的影响，将认为自己受到此种负面影响损害的概率低于实际的发生概率。举例而言，虽然许多人都有受到销或诈骗电话、短信或邮件骚扰的经历，认识到存在个人信息泄露的现实风险，但是仍然低估了自己因使用特定互联网应用而遭遇个人信息泄露产生负面影响的概率。同时，一个人拥有越多的互联网应用使用经历，他就越可能低估自己的网络行为风险，因此互联网应用的丰富和普及强化了过度乐观偏见。如果一个人认为其自身状况高于平均水平，这种类型的过度乐观被称为“高于平均效应”偏见，当然这通过数学即可证明不可能——不可能有超过 50% 的人比平均水平更好；同时，如果人们认为“个人行为、计划或特质”将减小负面事件发生的可能性，并相信事情是可以被控制的（例如，如果消费者认为自己能够控制输入应用的个人信息或通过合同控制其收集、使用），他们就更可能高估自身状况。因此，受过度乐观偏见影响的消费者，虽然希望避免个人信息泄露和不当使用风险，但是却可能由于处于互联网应用极大丰富的环境，或错误判断自身对个人信息的控制力，低估了负面影响的发生概率，因而签订了违背其本来意愿的个人信息交易合同。目前我国个人信息保护法律法规对于消费者的教育，主要是通过要求经营者在收集和使用消费者个人信息的方式和范围上对消费者进行信息披露并要求其同意确认，并没有相关法律规定有效矫正消费者过度乐观的偏见。而信息披露不足以矫正过度乐观，过度乐观偏见的产生基础正是在于消费者对于交易风险有一定认识，但是低估了着这种风险，因此，目前的个人信息法律法规还无法使相当一部分消费者对于个人信息交易风险进行正确评估。另外，现行法律过度依赖经营者履行法定义务，但是经营者并非矫正消费者过度乐观偏见的理想主体，因为他们有激励淡化交易风险，甚至误导消费者评估个人信息交易风险。消费者因对远期成本非理性贴现导致的市场失败另一类需要得到法律和市场监管者保护的非理性消费者，是那些对远期成本进行非理性贴现，并将远期成本的贴现价值是与近期收益进行权衡的消费者。现代经济学理论认为，人们会对未来的效用进行折现，但是折现率是变动的，因此人们的偏好是变动的。比如，假设某人更愿意今天获得 10 块钱收益，而不是等到明天获得 12 块钱，那么把时间维度拉长，人们不是宁愿今年获得 10 块钱，而第二年第一天获得 12 块钱，而是更偏好在一年零一天内获得 12 块钱。换言之，人们在当下总是不耐烦的、希望马上获得效用，但是当他们考虑未来时，他们是有耐心等待的，同时他们也会对未来的效用进行折现。但是，对于非理性的消费者而言，他的耐心是短暂的：当一年结束，未来的效用变成“今天”的效用，其偏好将发生改变，他依然偏好今天获得 10 块钱而非明天获得 12 块，因此长期来看他会在第一年的最后一天选择即刻获得10块钱而非明天获得12块。这种非理性的对未来效用贴现称为“双曲贴现”：人们对近期将发生的效用给予更高的折价率，而对于远期效用给予较低折价率，这解释了为什么在后果延迟的情况下，人们愿意实施有风险的行为。在个人信息交易情景下，消费者通常更偏好近期可确认的互联网应用使用效用，而非远期的个人信息安全保障；但是，在互联网应用使用过程中，个人信息遭到泄露或不合理使用的风险通常发生在远期，考虑到这一远期风险的负面影响更大、超过了互联网应用长期的效用价值，理性的消费者更偏好在长期内获得更高的价值——保护个人信息安全、避免签订“出卖”个人信息；但是，虽然消费者能够考虑到长远利益，当他们在实际面对是否购买相关的互联网应用决策时，即面临现时选择时他们的偏好将发生改变，他们往往错误地赋予了互联网应用近期效用以过高价值，而低估了个人信息泄露和不当使用负面影响所产生的成本，因而签订个人信息交易合同。另外，应用供应商为吸引消费者而提供的额外激励，进一步助推了消费者对近期利益的高估；同时，如果消费者考虑到个人信息安全事故并非必然发生的，其可能永远无需支付这一成本，那么消费者将进一步低估未来成本的折现价值。因此，进行“双曲折价”的消费者签订个人信息交易合同的行为，往往违背了其自身对于个人信息安全保障长期价值的评价。双曲折现是一种更为隐蔽的消费者非理性行为，消费者看似理性的近期行为违背了其长期偏好，从而可能使其长期的总体收益低于理想状况。如上所述，目前尚没有明确的法律法规对消费者的这种偏好进行矫正，经营者只要满足了当前个人信息保护法律有关个人信息收集、使用强制规则并履行了披露义务，实际上就能够利用消费者这种对不同期限的价值赋予不同折现率的错误激励消费者交易个人信息，从中获取利润。数据保护立法对个人信息交易合同的应然规制目标在互联网应用交易的背景下，消费者与作为经营者的应用供应商签订的个人信息交易合同，可能存在双重市场失败：经营者过度追求自身利益而利用格式合同和消费者“点击同意”剥夺法定的消费者权益，消费者基于自身的偏见和短视错误进行非理性行为从而导致的市场失败。我国现行的个人信息和数据保护立法，主要是围绕消费者个人信息和数据的收集、使用，规范电信业务经营者和互联网信息服务提供者的行为，这对于实现有效充分的保护消费者个人信息安全的目标是远远不够的：首先，现行法律法规过度看重通过“消费者同意”或“用脚投票”来制约经营者的自利行为，但是在互联网应用基础环境下，消费者实际上面临的是是否同意经营者提供的格式化的“点击生效”合同，他们通常不会阅读合同内容，同时普通消费者缺乏对复杂条文充分的理解能力，这导致消费者的自治权利无法有效地约束经营者过度自利行为。其次，现行法律法规缺乏对于数据交易市场上的第三方经营者和数据经纪商的规制，由于去身份识别化的数据存在再识别的风险，并且隐私和非隐私信息的不当使用都将给消费者带来近期和长期的负面影响，因此他们的行为影响着消费者权益是否能够得到有效保护，需要法律法规明确的指导和约束。同时，我国现行的个人信息和数据保护立法，主要采取的是“信息披露”立法技术——要求经营者公开其收集、使用规则，以实现对消费者进行教育，使之能够理性地进行消费活动的利弊权衡。然而，通过上文分析可知，至少有一部分消费者之所以进行非理性的消费，并非不知道个人信息交易所存在的固有风险：他们本意希望严格保护个人信息安全，但是却由于过度乐观的偏见和错误地对远期成本进行了贴现，从而做出了错误的消费决策。这就要求我国的个人信息和数据保护立法，不仅应当通过使得理性消费者能够获得决策必要的充分信息，更要有效纠正非理性消费者的偏见和错误认识，使之能够充分权衡利弊、理性消费。要纠正个人信息交易的市场失败，目前有两种类型的立法技术：一类是采取“家长主义”的立法方法，考虑到“点击生效”的格式合同确实能够降低交易成本、提升互联网应用市场规模，因此难以改变格式合同这种个人信息交易形式，那么相关的个人信息保护立法可以强制要求为格式合同中纳入更多规制经营者行为的规范，包括数据脱敏或去识别化的行为规则、数据交易规则、数据交易“后手”经营者义务规则以及其他约束经营者任意加入“单边条款”或免除其法定义务的条款等。另一类可以采纳的立法技术以尊重“消费者自治”为特征，例如在个人信息交易市场中纳入第三方评级机制，或认证商标体系，通过第三方的市场力量监督经营者的行为，通过市场机制教育消费者、提醒其审慎评估交易风险，但最终将对经营者进行优胜劣汰选择的决定权交到消费者手中。上述两种立法技术在制定和实施的有效性上各有利弊，究竟哪类立法技术更有利于保护消费者个人信息交易安全还有待实践的检验。结语在互联网应用交易的背景下，消费者与作为经营者的应用供应商签订的个人信息交易综上，我国的个人信息和数据保护立法应当同时从经营者和消费者两个方向着力：在经营者方面，通过更具有强制性的消费者保护措施，作为消费者自治权利的有力补充，防止经营者侵害法定的消费者保护权益。在消费者方面，个人信息和数据保护立法要实现敦促消费者理性消费，还需集中智慧探讨消除消费者偏见和错误的有效法律和政策措施。温馨小贴士《信息安全与通信保密》杂志创刊至今历时四十载，全程见证了我国网络安全发展进程，为了更好地服务国家网络强国建设和网信事业发展，本刊将勇于开拓积极创新，为网络安全与信息化领域的优秀学人提供一个全新的跨学科、跨领域的学术交流平台，努力推动网络空间学术理论的创新，服务国家战略的需求。为此，本刊近期将进行改版，除增加各种媒体手段的立体交融的互动内容之外，特增设《本期专题》、《学术争鸣》、《政策评论》、《产业观察》、《人物访谈》等栏目，围绕网络空间的重大战略性、前瞻性和储备性议题，从信息技术、经济管理、法律、政治、传播等学科，探索国内外网络空间重大理论和实践的发展。更多精彩内容欢迎关注《信息安全与通信保密》杂志2016年第10期！杂志订阅邮发代号:62-208国内订阅:全国各地邮局国外总发行:中国国际贸易集团有限公司期刊售价:¥20元(国内) $30元(港澳台) $48元(海外)银行汇款户名:四川信息安全与通信保密杂志社开户行:交通银行股份有限公司成都创业路支行账号:511610015010149182009邮局汇款地址:四川省成都市高新区创业路 8 号(610041)联系电话：028-85151528