“部分App所设置的功能则为‘用户不同意’就无法使用服务，用户往往处于没有其他选择的困境，无法行使同意权或拒绝权。因此，这些情形不能视为其个人信息处理真正给予了同意和有效授权。”广东省法学会网络与电子商务法学研究会会长刘颖说。

他建议，对于授权自身敏感信息处理，在充分知情、自愿、明确、单独等要素的有力支撑下，引入“单独同意”规则以有效遏制上述乱象。

刘颖也是暨南大学法学院教授，曾任该院党委书记，近日，就数据归属、数据安全等话题，他接受了南方日报、南方+记者采访。

（通讯员/受访者 供图）

隐私条款太繁杂？可设置简要版与详细版

南方+：互联网平台在数据收集时，往往非常隐秘，甚至在用户不知情情况下完成。

刘颖：首先，需要增强互联网平台收集处理数据的透明度。比如通过隐私政策明确告知互联网平台收集数据的范围、处理数据的方式以及处理目的，收集的数据应该遵循必要限度。

其次，对于繁杂的隐私条款问题，关键在于隐私条款设置方式的完善，可以通过将隐私政策区分为简要版与详细版的方式加以完善。简要版主要明确可能涉及个人敏感信息的内容或者其他可能对个人权益产生影响个人信息收集情况进行简要说明，并着重提示，取得个人的单独同意。详细版则提供有需求进一步了解互联网平台收集数据的流程的用户做维权使用。

再者，互联网平台应该具有信用，互联网平台凭借用户对平台的信赖收集数据，且相对于用户而言，互联网平台处于信息优势地位。因此，互联网应该对所收集的个人数据负责，为用户的权益考虑，自觉遵守保密、忠诚以及注意义务。

南方+：一方面，App授权可以优化服务，但另一方面，也会引发隐私保护难题，应该如何平衡？

刘颖：个人信息（个人数据）上承载着诸多主体的利益。各国立法虽然没有赋予数据主体类似物权的绝对权，但赋予数据主体知情权、选择权、访问权、更正权等权利，以保护数据主体的利益。各国立地还通过去身份化、匿名化等技术及制度，限制了个人信息保护法的适用范围，保护了数据处理者的隐私利益和其他数据利益。同时，包括我国《个人信息保护法》在内的各国立法均将数据主体的“同意”作为数据处理者收集、处理个人数据的首要原则，初步实现了数据主体利益与数据处理者利益的平衡。

App需要通过用户同意提供个人信息处理授权优化服务，部分App所设置的功能则为用户不同意就无法使用服务，因此用户往往处于没有其他选择的困境，无法行使同意权或拒绝权。因此，这些情形不能视为其个人信息处理真正给予了同意和有效授权。

对于授权自身敏感信息处理，在充分知情、自愿、明确、单独等要素的有力支撑下，引入“单独同意”规则以有效遏制上述乱象。

数据财产利益怎么分？应归属于处理者

南方+：有观点认为，个人、平台等多方参与了数据的创造，因为数据归属于多方参与者，但个人与平台的力量相比非常小。

刘颖：个人信息（个人数据）上承载着诸多主体的利益。虽然我国《民法典》承认个人信息上具有人格利益，但单个或少量的个人信息没有或至少没有太多财产价值。

的确，个人、平台等多方主体参与了数据的财产价值创造。在经客观合理标准认定个人数据已经去身份化或匿名化后，处理者加工产生的数据财产利益应当认定归属于处理者。如此，才能发挥数据的生产要素功能，促进数字经济的发展。

南方+：在要素市场并不充分的情况下，谈数据“主权”，是否会限制数据流通？如何平衡发展与保护的关系？

刘颖：数据主权延续了传统的“主权”概念，强调数据的治理仍然从属于国家主权，包含最高性、领土性和排他性等基本原则。强调数据流通是由于发展数字经济的自由与效率的要求。强调数据“主权”从另一方面可以使得数据更安全地流通，从而更好地服务于数字经济，促进数字市场的发展。

但是，强调数据“主权”，主张数据本地化，不可超过必要限度，否则，可能导致数字贸易壁垒，限制了数字经济的发展。平衡发展与保护的关系关键在于厘清数据“主权”的范畴。在数据跨境流动过程中，作为数据主权主体的国家，需要在事前根据具体场景的跨境数据流动予以审批或评估，作个案裁量，实现既促进数据流动，又保护数据安全。

重要数据统一管理？关键应落实“单独同意”

南方+：生物特征往往具有唯一性，对隐私保护要求较高。《数据安全法》提出数据分类分级，对于关键数据，有专家提出，由国家统一采集、统一管理，而不是交给企业来自行采集。您认可这种说法吗？

刘颖：这一说法存在一定的偏颇。目前，“重要数据”“核心数据”的内涵与外延都有待明确。根据《数据安全法》第21条的规定，“国家建立数据分类分级保护制度”，“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”。对于核心数据，需要“实行更加严格的管理制度”。

企业在处理相关数据时，有可能涉及到诸如生物特征数据等敏感个人信息，有可能被列入重要数据的范畴，而且可能对其服务产生重大影响。解决收集处理关键数据可能造成的高风险问题不应该将“由国家统一采集、统一管理”作为应对之策，而应该落实、完善“单独同意”“书面同意”等的规定，同时严格执行风险评估制度，允许多方主体对企业收集处理活动进行监督。

根据《数据安全法》第29条的规定开展数据处理活动应当加强风险监测，第30条规定，重要数据处理者应当对数据处理活动定期开展风险评估。近期部分电商平台采取了“数据断供”的做法，对订单处理链路加密，将消费者敏感个人信息进行脱敏、加密，该做法是企业实施风险预防措施的具体体现。

假如因为有关生物特征的数据对隐私保护要求较高而由国家统一采集、统一管理，有悖于《民法典》有关个人信息的私权保护理念，也不利于数字经济的发展。

南方+：企业在数据加密中如何平衡成本与效益？

刘颖：企业数据加密合规的标准是安全。实现数据安全必然会与数据的性能之间产生矛盾，可能导致的业务性能极大地下降甚至业务不可用。因此，在此种矛盾价值衡量中，

首先，要优先保护个人信息利益，这不仅我国《民法典》已在人格权编将个人信息规定为人格法益，而且其中的个人生物特征、医疗健康、金融账户、个人行踪敏等敏感个人信息一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息。

其次，有必要跟踪加密技术和去身份化技术的发展，尽可能使加密对业务性能的影响最小化，同时使整个加密的节点随着业务的发展动态的扩展。（2021-09-22）

【策划】陈韩晖

【统筹】程鹏? 赵兵辉

【记者】郜小平? 柴亚娟（见习记者）

【出品】南方产业智库

原文链接：https://static.nfapp.southcn.com/content/202109/22/c5767679.html?from=weChatMessage&date=bnVsbA==&code=200&evidence=097247ff-0ffe-454b-8273-a7a477992b7a&firstColID=6542&appversion=8000&colID=6542&layer=2

责编：李伟苗