在个人信息的私法保护中，合同法是最为常见和最为重要的一种保护方式。互联网公司与其他企业在收集个人信息前，常常会在其网站首页或产品说明书上标明企业的隐私政策，向用户告知企业是否会收集个人信息，如何收集个人信息，收集哪些个人信息，以及如何处理与分享个人信息。通过这种被称为“告知—同意”框架的机制，企业希望其对个人信息的收集与处理能够得到个人的同意与授权，从而保障其活动的合法性。而用户也被认为在一定程度上拥有了控制个人信息的权利，用户可以接受或拒绝企业的隐私政策。

　　自从“告知—同意”框架诞生以来，这一合同法机制就受到了广泛的批评。批评者认为，向用户告知企业的隐私政策，这一合同法机制并不能对用户提供真正有效的保护。批评者指出，用户既无兴趣，也无时间和专业知识阅读隐私政策。企业的隐私政策与很多“霸权条款”具有很高的相似性，当企业利用格式化的隐私政策获取用户同意与授权时，所谓的用户同意与授权经常是无可奈何的被动同意与被迫授权。

　　“告知—同意”的合同法机制是否像批评者所说的那样，面临着霸权条款与形式主义的困境？同时，现行的法律与制度设计又是否可以克服“告知一同意”框架的问题，通过全新的制度设计来重新激发个人信息合同法保护的活力？例如，如果个人没有兴趣阅读隐私政策，是否可以要求企业设计弹窗，引起用户对隐私政策的注意？如果隐私政策过长，是否可以要求企业以简明扼要的方式撰写隐私政策？如果隐私政策太过专业，是否可以要求企业以平白的语言撰写隐私政策？

　　本文对以“告知—同意”为代表的个人信息合同法保护进行反思。笔者指出，即使经过改良，合同法在保护个人信息方面也将仍然存在众多问题。改良后的“告知—同意”框架尽管会解决批评者所指出的某些问题，但也可能带来新的问题，如造成企业的合规困境、造成用户更多的选择困扰。根据这一判断，笔者认为，个人信息私法保护有必要进行范式转换，从合同法的保护机制转向信托法或信义法的保护机制。具体来说，个人信息的法律保护应当将用户与企业之间的关系视为类似客户与律师、病人与医生之间的信托关系，要求企业对用户承担信托责任或信义责任（fiduciary duty）。笔者指出，从信托责任或信义责任出发，可以重新激发个人信息私法保护的活力，也可以对个人信息保护的若干制度进行重新思考。

　　本文第一部分首先阐述“告知—同意”框架与个人信息的合同法保护，并且介绍对这种保护进路的批评意见；第二部分对改良版本的“告知—同意”框架进行分析，指出要求企业提高告知透明性的进路仍然面临种种问题，而且可能产生新的问题；第三部分对个人信息合同法保护面临困境的原因进行分析，并指出个人信息的私法保护应当转向信义法保护；第四部分指出在信义法框架下，个人信息保护的若干原理与制度应当重新设计；第五部分对全文进行总结。

　　一、“告知—同意”框架与个人信息的合同法保护

　　（一）起源与框架

　　“告知—同意”框架与个人信息的合同法保护起源于对信息隐私或数据隐私的保护。20世纪六七十年代，美国社会、学界与政府都意识到，政府与企业对个人信息的大规模收集会对个人的信息隐私或数据隐私带来重大挑战，必须保证此类信息收集过程中个人的知情权和选择权。在这一思想的指导下，企业的“告知—同意”框架被普遍运用。[1]

　　“告知—同意”框架首先被认为赋予了用户知情权与选择权。在信息隐私与公平信息实践的概念提出之前，对个人信息主要通过侵权法的方式进行保护。但这种保护所涉及的对象只是涉及隐私的个人信息，并不包括不涉及隐私的个人信息。相较而言，“告知—同意”框架直接赋予了个人以积极的信息权利，为个人提供选择接受或选择拒绝企业收集个人信息的机会。

　　其次，“告知—同意”框架也被认为为企业提供了指引与保障。一方面，“告知—同意”框架保证了企业对于个人信息的收集与利用遵循一定的原则，不会偏离企业自身所作出的隐私承诺。另一方面，“告知—同意”框架也为企业合规提供了途径，保证了企业对个人信息的使用建立在个体授权的基础之上。如果没有“告知—同意”框架和用户授权，企业可能会在无意间侵害用户的权益，或者打破用户对收集与处理个人信息的期待。

　　总之，在支持者看来，“告知—同意”框架为个人信息的收集与利用提供了一种基于意思自治的合同法机制。在这种合同法机制之下，企业与用户可以最大限度地发挥市场机制的作用。用户既可以选择拒绝企业收集个人信息，也可以选择“以隐私换便利”，以个人信息的被收集与被利用换取免费使用相关服务的机会。当然，企业也可以根据用户的隐私偏好不同而提供不同的服务。例如，美国电信服务商AT&T对不同隐私偏好的人群收取不同的费用，对于愿意被收集更多信息的用户，AT&T收取更低的费用；对于不愿意被收集信息的用户，AT&T则收取更高的费用。[2]

　　（二）批评

　　自从“告知—同意”框架被广泛采用以来，这种个人信息的合同法保护方式受到了多方的批评。批评者从各个方面指出，所谓的“告知—同意”框架与合同法保护方式既无法为用户提供有意义的知情权与选择权，也不利于企业合理地收集、利用和保护个人信息。[3]

　　从用户权益来看，批评者首先指出个人既无兴趣，也无时间、精力和能力去阅读隐私政策。就兴趣和意识而言，批评者借用法律经济学和行为主义的相关研究，指出个体对于风险的认知往往局限于熟悉的领域与风险较大的领域，如犯罪、疾病等问题，对于个人信息泄露的风险和带来的问题，个人往往感知较为迟钝。因此，对于企业隐私政策中规定的个人信息收集与使用的途径，用户往往没有太多兴趣去了解。[4]就时间和精力而言，批评者指出，个人阅读相关隐私政策需要花费大量的时间和精力，期望用户花费大量的时间与精力阅读企业不断更新的隐私政策，并不现实。[5]而就能力而言，批评者指出，用户一般不具备理解隐私政策的相关知识储备与能力；个人信息的种类、利用的方式与途径常常非常复杂，即使专业人员也常常难以理解，更不用说一般的普通用户。[6]

　　基于这些理由，批评者认为，“告知—同意”框架赋予用户的选择权并无实质性意义，既然用户对于隐私政策没有实质性的了解，那么其作出的选择也只能说是一种盲目的选择。用户可能在其心情好的时候选择同意企业的隐私政策，在其心情差的时候选择拒绝企业的隐私政策。而在更多的情况下，用户为了获得免费访问网站或者使用APP的机会，可能会不假思索地同意企业所规定的任何隐私政策。在这些情形中，用户都没有作出真正有意义的授权与同意，[7]所谓的合同法意思自治可能仅仅是企业的单方立法或私人立法。[8]批评者还从企业的角度进行了批评，指出“告知—同意”框架所提供的法律保护既无法为企业合理收集与利用个人信息提供合理途径，也无法为用户提供有效的隐私保护。一方面，“告知—同意”框架会给一部分用户带来恐慌，对于某些较为看重隐私保护的用户来说，企业隐私政策中的某些规定可能会让他们下意识地拒绝企业对个人信息的收集。但事实上，此类信息收集不但不会对个人的相关权益造成影响，而且还可能会给用户提供更好的服务，同时也促进企业的良性发展与科技进步。另一方面，由于“告知—同意”框架具有合同效力，这一框架也可能会造成企业不负责地使用个人信息。当企业通过“告知—同意”框架获取了个体的同意，就可能在个人授权的范围内随意地使用个人信息，如进行数据挖掘与数据出售，而不考虑这种使用可能给个人带来的潜在风险。

　　二、“告知—同意”框架的改良及其限度

　　（一）“告知—同意”框架的改良

　　对于“告知—同意”框架可能带来的问题，各个国家的立法者与监管者并非熟视无睹，与批评者一样，他们同样意识到了“告知—同意”框架可能带来的问题。但从全球的立法与监管的做法来看，他们并没有从整体上抛弃“告知—同意”框架，而是选择了对“告知—同意”框架进行改良，从而改善个人信息的合同法保护。

　　一方面，立法者与监管者从隐私政策透明性与公开性的角度对隐私政策进行了改进。隐私政策广受批评的问题之一是企业的隐私政策过于冗长、艰深和晦涩，面对这一问题，很多地区的监管者的回应策略是要求隐私政策变得简短、易懂和清晰。例如，2018年生效的欧盟《通用数据保护条例》规定，当控制者试图获取用户的同意时，“控制者应当以一种简洁、透明、易懂和容易获取的形式，以清晰和平白的语言来提供”相应信息。[9]欧盟的立法者之所以对隐私政策作出这一规定，其目的显然是希望用户有足够的时间、精力和能力理解隐私政策，从而使得“告知—同意”框架中的“告知”变得具有实质性意义。

　　另一方面，立法者与监管者还从隐私意识的角度强化了用户个人的选择意识。既然个人常常对隐私政策毫不在意，那么改善这一问题的方式就是强化用户的隐私意识，让用户提高警觉，督促用户慎重作出决策。[10]在操作层面，这意味着企业在提供隐私政策的时候应当更多采取弹窗的方式对用户进行告知，而不是隐藏在网站页面或APP的某个地方；当企业更新隐私政策时，也应当以显著的方式提醒用户隐私政策已经更改。此外，当企业通过“告知—同意”框架为用户提供同意与不同意的选项时，也应当更多采取“选择加入”（opt-in），而不是“选择退出”（opt-out）的方式让用户进行选择。“选择加入”的方式默认用户不同意企业的隐私政策，只有在明确选择同意的情况下，企业才能获取用户的授权。[11]

　　支持者认为，改良版本的“告知—同意”框架也可以更好地帮助企业合理收集与利用个人信息。一方面，透明清晰的隐私政策有利于用户作出更为理性的选择，帮助用户识别哪些企业真正负责任地收集与使用个人信息，哪些企业在不负责任地使用个人信息。这样，“告知—同意”机制就可以为激励企业在收集与利用个人信息时更为规范，避免企业之间的无序竞争。另一方面，透明清晰的隐私政策也有利于个人信息收集之后的保护。相比起晦涩模糊的隐私政策，透明清晰的隐私政策可以帮助企业进行自我监督，清晰的隐私政策就像是公司的章程，有利于企业兑现自己所作出的隐私承诺。

　　当然，不同的国家和地区对于“告知—同意”机制的改进采取了不同的监管框架。有的国家与地区（如美国）主要采取了非强制的方式。美国的联邦贸易委员会等机构发布了关于隐私政策的“最佳实践”（best practice），通过向企业推荐最佳版本隐私政策而帮助企业提高其隐私政策的透明性与公开性。[12]而欧盟等国家和地区则采取了强制性的监管方式，要求企业获取用户同意必须强化其告知的公开性与透明性，并且要求用户的同意必须“通过一个声明，或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的”方式来授权。[13]但无论是美国的非强制性规定还是欧盟的强制性规定，事实上都假设了改良版本的“告知—同意”框架仍然是个人信息保护的有效方式。

　　（二）改良的限度

　　一切听起来都很美好，但改良版的“告知—同意”框架一旦落实到具体场景，就可能再次面临多种困境。

　　一方面，企业改良隐私政策非常困难。当企业试图改良其隐私政策时，就会发现透明公开以及清晰平白等要求并不容易实现。企业的隐私政策常常非常复杂，如企业会在不同的场景下收集不同类的信息，在不同的场景与服务中对个人信息进行不同种类的处理。如果企业强行简化其隐私政策，缩短隐私政策的篇幅，那么企业的隐私政策就可能变得非常笼统，缺乏对企业具体隐私政策的精确描述。这种缺乏精确描述的隐私政策不但无法向用户准确传递信息，而且还可能在某些情形下造成故意隐瞒事实，对用户形成欺诈的后果。

　　平白清晰的语言要求同样很难实现。企业对于个人信息的收集与处理常常是一个专业性很强的活动，如企业对于个人信息的处理，常常使用差分隐私等各种较为复杂的技术，对于这类处理活动的解释，企业常常很难用平白清晰的语言进行表述；或者即使使用了平白清晰的日常语言，用户也仍然非常难以理解。结合前文中提到的简化企业隐私政策的要求，企业所面临的困境更为明显，一旦要求使用平白清晰而非专业性的语言描述隐私政策，企业的隐私政策就需要花费更多的篇幅对专业性问题进行解释，隐私政策也会变得非常冗长。

　　在实践中，隐私政策的合规要求常常让企业非常头疼。以Google的隐私政策合规为例，最近法国数据监管委员会对Google的隐私政策违规开出了5000万美元的巨额罚单，认为Google的隐私政策违反了《通用数据保护条例》中的透明性原则和提供充分信息的责任。[14]其理由是Google在不同的产品中使用了不同的隐私政策，没有向用户提供统一的隐私政策，而且其隐私政策常常需要用户点击展开信息，如此才能了解Google收集与使用个人信息的细节。[15]但在Google看来，其隐私政策的这种设置其实具有很强的合理性。Google之所以在不同产品中使用不同的隐私政策，原因就在于不同产品的个人信息收集与使用非常不同；而其之所以将某些个人信息使用说明放置在展开后的个人信息中，就是为了使企业的隐私政策整体上更为简化和易于访问。这里我们暂且不去细究法国数据监管委员会的处罚是否合理，但至少可以表明的是，企业实际上面临着隐私政策合规的困境。毋庸置疑，Google的法务团队是世界顶尖级的，如果Google的隐私政策尚且难以做到合规，其他企业的做法将更难符合监管机构的要求。

　　另一方面，就用户而言，改良版本的隐私政策也未必会影响用户的隐私意识，改变用户的隐私决策。对此，已有多位学者利用行为实验进行研究，其结果都显示，改良版本的隐私政策对用户的影响微乎其微。例如，奥姆瑞·本沙哈（Omri Ben-Shahar）和亚当·齐尔顿（Adam Chilton）两位学者设计了一个涉及性经验的敏感个人信息的实验，观察隐私政策改变对于个人选择的影响。结果两位学者发现，简化版本的隐私政策对于用户的隐私选择没有或基本没有影响。即使简化版本的隐私政策对个人进行了更多的危险警示，试图唤起个人的隐私意识，但在实验前后，无论是个人对于个人信息披露政策、分享个人信息的意愿，还是个人对于信息权利的观点，其实都没有任何改变。[16]

　　改良版本的“告知—同意”框架不仅可能对用户的决策影响微乎其微，还可能给个人带来额外困扰。“告知—同意”框架改良的本意是让用户更好地理解企业的隐私政策，督促用户作出更为审慎的选择，但这种强化个人选择的做法却可能让用户感到厌倦。欧盟的《通用数据保护条例》生效后，很多互联网企业在页面的显著位置设置了隐私政策，或者直接采取了弹窗的方式要求用户选择，以获取用户“自由作出的、充分知悉的、不含混的”同意。面对此类隐私政策的狂轰滥炸，用户一天需要对是否同意隐私政策作出十几次甚至是几十次的选择。特别是在“弹窗+选择加入”的模式中，用户需要花费不少的时间与精力来勾选。对于很多用户来说，这反而使选择权变成了一种负担。

　　三、个人信息的私法保护：从合同法到信义法

　　（一）个人信息的传统私法保护：合同法框架

　　增强企业隐私政策的公开性与透明性，这延续了传统私法的基本思路：通过私法所规定的信息披露来克服合同法的弊病。在对企业产品进行规制的方法中，其中重要的手段之一就是要求企业披露关于产品的基本信息，根据产品的类别不同，监管者会要求企业以不同的方式披露信息，达到告知用户、促进公平合同的目的。[17]例如，监管者可能要求食品包装企业披露食品的营养成分和比例，要求电器产品在醒目位置设置警示标志，要求香烟等产品在其包装盒上印制引起人不安和恶心的标识。在支持者看来，这种监管方式可以有效地减少用户的盲目性与机会主义，促使用户作出更接近于理性主体的合同选择。[18]在个人信息保护问题上，监管者之所以也坚持“告知—同意”的框架，就是希望这一框架也同样能够帮助用户更好地理解企业隐私政策，最大限度避免传统合同法的某些困境。

　　但研究表明，传统私法首先就存在局限性。就企业一方来说，它们常常需要决定披露哪些事项，[19]披露何种程度上的事实，[20]用何种语言与方式披露事实，[21]以及是否应当以披露事实为最终目的。[22]例如，一种药物可能具有多种副作用，有的副作用较为明显，有的副作用较为轻微；有的副作用有较为坚实的数据支撑，有的副作用不是非常确定；有的副作用可能较为严重但普通人一般不会注意，有的副作用则可能不严重但会引起人们的恐慌。当企业进行信息披露时，如果仅仅是基于合规需要进行披露，其产品说明或告知就会背离披露的初衷。例如，当企业披露过多信息时，就会造成信息过载和用户拒绝阅读；当企业披露一些不太严重但可能引起恐慌性的事实，就可能导致病人拒绝使用某种药物，而当企业选择不公布某些事实时，企业又可能面临欺诈或隐瞒用户的风险。

　　就用户而言，传统私法保护所要求的信息强制披露也存在局限性。相关研究者指出，面对海量的披露信息，用户面临着信息收集的难题，即很难有效地收集所有相关信息；[23]很难理解相关披露信息，使其成为有意义决策的一部分；[24]很难在短时间内记住所有的披露信息，[25]在最终决策中，用户也很难分析企业所披露的信息，使用此类信息帮助个人作出有效判断。在更多的情况下，企业所披露的信息常常无法影响个人的决策，而个人也常常不希望作出过多的决策。[26]

　　在隐私公告问题上，传统私法的一些问题被进一步放大了。当企业披露其隐私政策，试图将相关信息告知用户时，会发现个人信息保护中的不确定性因素更多。在传统私法所涉及的食品、医疗等问题上，人们对于相关的收益与风险至少还有一定的共同预期，如希望食品标示各类营养成分及其含量，标明药品的副作用。但在信息隐私的私法保护问题上，无论是个人信息的范围、[27]个人信息保护的目的，[28]还是收集与处理个人信息过程中所涉及的相关风险，[29]人们都没有共识。在这种背景下，企业很难在有限的篇幅里向用户明确地告知其隐私政策，尤其难以用简洁、平白、清晰的语言进行告知。用户在收集、理解与运用隐私政策中披露的相关信息时，也面临着比一般产品更大的困境。用户不仅面临个人时间、精力、专业、能力等方面的难题，而且还面临着系统性的判断难题。面对个人信息可能带来的系统性风险与不确定性风险，用户很难判断个人信息的收集、使用与泄露到底会给个人造成什么样的影响，其中存在哪些方面的风险与何种程度的风险。相比起其他产品与服务中的告知，用户对于隐私公告中的信息更难以理解和分析，也因此更难以根据隐私公告而作出合理的选择。

　　（二）个人信息的新私法保护：信义法框架

　　为了克服传统私法在保护个人信息问题上的困境，私法有必要从合同法的框架转向信托法的框架。狭义的信托法指的是财产信托法（trust law）， [30]但较为广义的信托法或信义法（fiduciary law）则囊括了更广的法律关系与法律责任，如可以用来描述律师对于客户的责任，[31]医生对于病人的责任，[32]雇主对于雇员的责任，[33]以及本文所探讨的网络平台等企业对于用户的信息信托责任。综合这些法律关系与法律责任的特点，可以发现信托关系与信托责任主要针对专业性知识较强、具有委托与信赖关系的双方。

　　相比起合同法，信托法中的信托关系主要强调如下两点特征：第一，受托人与委托人之间是一种基于信任的代表关系，[34]而非一种完全基于意思自治的合同关系。在信托关系中，受托方可能会因为和委托人的关系而得到好处或获得补偿，但受托方的活动仍然主要是为了委托方的利益，当受托方在进行相关活动时，必须以委托人或受益人的利益为根本出发点。[35]受托人必须对委托人或受益人尽到谨慎义务（duty of care）与忠诚义务（duty of loyalty）。所谓谨慎义务，指的是受托人必须谨慎行事、尽职尽责，以免损害委托人、受益人或客户的利益。[36]而所谓忠诚义务，指的是受托人必须牢记委托人或客户的利益，为客户的利益行事，避免潜在或实际的利益冲突。[37]综合而言，相比起合同法上的义务，信托关系中的受托人必须承担更多的责任，因为在合同关系中，合同中的一方只需按照合同的要求完成任务即可，但在信托关系中，受托方还需要促进合同规定之外的委托人利益。[38]

　　第二，受托人对于委托人的利益往往存在广泛的自由裁量权。[39]在信托关系中，委托人常常会将很多权力赋予受托人，由受托人对委托人或受益人的利益进行自由裁量。[40]而对于委托人或受益人的利益和实现方式，受托人也有权利和义务进行自由裁量，[41]而且这种自由裁量常常涉及对委托人所委托对某些关键资源进行的判断。[42]综合而言，相比起合同法上的权利，信托关系中的受托人在承担更多谨慎义务与忠诚义务的同时，也具有更为广泛的权力。有的学者将这种权力归纳为受托人“管理性功能”（management function）的实现，[43]也有的学者将这种权力视为委托人对受托人的“权力委托”（delegation of power）。[44]无论是哪一种理论，都表明了信托关系中受托人的权力更多来源于委托人的信任而非来自合同，正是这一特征赋予了受托人以较大的自由裁量权。

　　基于信托法的上述特征，我们可以发现以信托法的进路与框架保护个人信息，既可以继承合同法的某些优点，又可以避免合同法的某些问题，从而重新激发个人信息私法保护的活力。

　　就用户一方而言，基于信托法的个人信息保护可以降低法律对用户的不切实际的期望，也可以免除用户不断选择的困扰。上文的分析已经详细阐述了传统私法框架或合同法框架下个人在面临“告知—同意”框架时的理解困境与选择困境，但在信托法的框架下，个人并不需要对隐私政策有太多的了解，也不需要作出太多的选择，就像客户并不需要向律师了解所有的法律细节，也不需要在所有法律问题上都作出判断。不同于合同法，信托法对个人利益的保护主要通过整体性的保护与事后保护来实现，即要求受托人承担谨慎义务与忠诚义务。在个人信息保护的问题上，这意味着个人一方面不需要阅读、记忆、理解与分析判断太多的隐私政策，但另一方面仍然享有合理的隐私期待的权利。对于用户的个人信息，网络平台与其他企业在收集与使用个人信息时，必须尽到合理的谨慎义务与忠诚义务，承担保护个人信息的责任。

　　而就企业一方来说，基于信托法的个人信息保护既可以免除企业的合规困境，也可以促进企业更好地保护与利用个人信息。在信托法框架下，企业首先不用试图去完成常常难以完成的任务：在一份隐私公告中用清晰、简洁、平白的语言将极其复杂和专业的问题表述清楚。信托法常常预设了委托人与受托人在专业能力方面的巨大差距，并不奢望能够将此类问题都以合同的形式告知用户。另外，企业虽然在告知义务方面有所减轻，但在责任方面又要求企业在保护与利用个人信息时尽职尽责，避免企业以用户合同授权为由而滥用个人信息。在关于信托法的理论中，已经有很多学者指出，在专业性代理关系中运用合同法，这可能会带来很多“机会主义”（opportunism）的问题，即具有专业能力的一方可能会利用合同而专门为自身牟利，不顾专业能力较弱一方的利益。[45]但在信托法的框架下，机会主义的问题至少可以得到部分解决，因为企业的责任将根据谨慎义务与忠诚义务的标准进行判断，而不是仅仅根据是否为合同条款进行判断。[46]

　　在信息隐私与数据隐私的前沿研究中，已经有不少学者与专家提出了信息信托的概念。[47]例如，耶鲁大学法学院教授，耶鲁信息社会中心（Yale Information Society）杰克·巴尔金（Jack Balkin）教授指出，数字时代海量个人数据的收集和使用导致网络平台等企业与个人之间产生了一种信息信托的关系。[48]巴尔金教授提出了四点理由，指出当前个人与平台企业的关系与传统的信托关系之间具有相似性。第一，用户与网络平台之间的关系非常脆弱与不平等，网络平台通常具有高度的专业知识，而用户所拥有的知识则非常少，因此用户非常难以直接监督网络平台的活动，防止网络平台背叛用户的利益。第二，用户对于网络平台具有一定的依赖性，在网络与数字化时代，个人往往难以离开网络平台所提供的各种服务，而且也依赖于网络平台更好地保护个人信息。第三，网络平台也认同自身的专业化属性，一般都将自己视为某一方面的专家，以专家或专业服务者的身份获取用户的信息。第四，网络平台也认同自身的信托角色，知道公众会担忧它们会使用用户的信息，但它们一般认为自身是值得信赖的机构，即使获取用户的信息，它们也会负责任地使用，保证用户的信息权益不受损害。[49]

　　（三）信息信托与传统信托的区别

　　网络平台在个人信息保护中的信托责任具有一定的特殊性。在关于信息信托的讨论中，巴尔金教授以网络在线服务平台为例，指出此类平台的信托责任相对于传统信托责任的三点区别。

　　第一，在责任范围方面，信息信托责任要比传统信托责任范围窄。在传统信托责任中，人们对于医生、律师的责任常常有很高的期望，病人和客户可能会期望医生与律师避免任何有损他们利益的行为，并且采取多种措施来保障病人和客户的利益。但在个人信息的信息信托中，则不宜对企业施加同样宽泛的信托责任。这是因为，传统信托关系常常包含了报酬，如医生与律师可以从他们的服务中获取酬劳。而在信息信托关系中，很多网络平台实际上为用户提供了免费服务，如搜索引擎与社交平台类的企业；网络平台常常没有直接收取用户的服务费用。因此，在信息信托中，应当允许网络平台对于个人信息的合理商业化使用，判断网络平台是否违反信息信托责任，应当看网络平台对于个人信息的使用是否符合用户的合理预期，而不是网络平台是否存在商业化行为。[50]

　　第二，在谨慎义务方面，信息信托责任要比传统信托责任低。在传统信托责任中，病人和客户可能会期望医生与律师承担较多的谨慎义务，如提醒病人的饮食起居，提醒客户在相关法律活动中的注意事项。但在信息信托中，要求网络平台承担此类谨慎义务显然并不现实，网络平台不可能对用户的所有活动都进行提醒。[51]

　　第三，在信息披露责任方面，信息信托责任要比传统信托责任低。在传统信托责任中，医生与律师常常要承担很高的信息披露义务，如不得诱导或鼓励病人与客户公开信息。但在网络平台企业的活动中，激励用户公开其个人信息的做法非常普遍。特别是对于社交网络与搜索引擎平台来说，只有激励用户更多公开个人信息，社交网络与搜索引擎平台才能更好地发展。因此，在信息信托责任中，不能一般性地要求网络平台承担与医生和律师同等程度的信息披露职责。例如，当个人在网络平台上公开信息而感到后悔，不能据此判定网络平台违反信息信托责任。[52]

　　巴尔金对于信息信托责任的分析是在一般原理层面上展开的，因而其分析也基本适用于中国。要求平台企业承担信息信托责任，但这并不意味着网络平台需要承担与医生和律师同等的责任，负责照顾用户方方面面的利益，甚至要求网络平台承担财产信托中的责任，利用个人信息为个人创造财产性收益。用巴尔金的话来说，对于网络服务商的信托责任，应当更多将其视为一种“基于特定目的的信息信托”（special-purpose information fiduciaries）， [53]信息信托责任设置的主要目的在于保护用户的隐私权益与信息权益。

　　另外，在我国，国家、社会与公众对于网络平台责任的期待显然要比美国等西方国家高。相比美欧的网络平台法律制度，我国法律要求网络平台承担更多用户权益保护责任，尤其是人身安全权益保护的责任。例如，我国《电子商务法》规定，电子商务平台在“未采取必要措施”与“未尽到审核义务”的情形下应对用户承担“连带责任”或“相应责任”。[54]从这些规定中可以看出，我国法律要求网络平台尽到更多的信息审核义务，或者说更多扮演“信息守门员”的角色，[55]对用户承担更多的谨慎义务与治理责任。

　　这种责任对应到信息信托责任上，就是我国法律更多强调对用户个人信息的集体信托责任。所谓用户个人信息的集体信托责任，就是网络平台在保护用户个人信息时，应当更多考虑作为集体的用户预期与利益，而不是完全从个体的角度来看待用户预期与利益。在对信息信托责任的分析中，巴尔金在文章结尾处也强调了信息集体信托责任的重要性。巴尔金指出，大数据时代的信息信托责任将“从针对特定用户的保密和忠诚度的责任转向针对公众的值得信赖和公平竞争的责任”。在大数据与算法社会，“我们不能再依赖个人和公司之间特殊信托关系的概念来规范数据的使用和滥用”。相反，我们必须问，“对于整个社会而言，人们应当在收集、分析、使用、出售和披露数据过程中承担何种诚信与伦理行为的责任”。[56]在一定程度上，巴尔金的集体信托责任与我国的网络平台责任有很高的契合度。

　　四、信托责任视野下的个人信息保护制度

　　从信托责任出发，我们不仅可以重新激活个人信息的私法保护，也可以对个人信息保护的原理与制度进行重新分析与反思。

　　目前全球通行的个人信息保护制度都建立在“公平信息实践”的框架之上，这一框架规定了个人数据保护的若干原则与制度。[57]例如，极具影响力的欧盟《通用数据保护条例》规定，在处理个人数据时，应当遵循如下六项原则：（1）合法性、合理性和透明性：对涉及数据主体的个人数据，应当以合法的、合理的和透明的方式进行处理。（2）目的限制：个人数据的收集应当具有具体的、清晰的和正当的目的，对个人数据的处理不应当违背初始目的。（3）数据最小化：个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的。（4）准确性：个人数据应当是准确的，如有必要，必须及时更新；必须采取合理的措施确保个人数据的准确性，即违反初始目的的个人数据，及时得到擦除或更正。（5）限期储存：对于能够识别数据主体的个人数据，其储存时间不得超过实现其处理目的所必需的时间。（6）数据的完整性与保密性：处理过程中应确保个人数据的安全，采取合理的技术手段、组织措施，避免数据未经授权即被处理或遭到非法处理，避免数据发生意外毁损或灭失。此外，经济合作与发展组织（OECD）制定的《隐私保护与个人数据跨境流通指南》、[58]亚太经济合作组织（APEC）制定的《APEC隐私框架》也都作出了类似的规定，[59]将透明性与用户同意、目的限制、数据最小化、限期储存、数据质量与数据安全等原则与制度作为个人信息保护的基础。首先，就透明性、用户同意等强化个人信息控制的要求而言，正如本文一再指出的，这些原则与制度尽管具有一定的正当性，但也存在种种问题。为了避免这些问题，同时真正发挥“告知—同意”框架的作用，应当在信托法与信托责任的框架下重新界定透明性要求与用户选择机制。当企业的告知符合信托法上的谨慎义务与忠诚义务，能够真正促进用户利益时，应当对企业的告知义务做强制性要求。相反，如果企业的告知只能起到形式主义的作用，并不能真正促进用户利益，此时就不应将透明性与用户选择作为强制性规定，而且此时也不能因为企业已经履行了透明性与用户同意责任而免除其信息信托的责任。

　　其次，目的限制、数据最小化、限期储存等原则与制度也需要根据信托法进行一定的改造。从信托关系的视角来看，目的限制的要求过于偏重形式主义的合同法理念，它要求企业与个人在信息收集阶段就对信息收集的目的有明确判断。但从信息信托的视角出发，可以发现无论是企业还是个人，都很难在事前就预料到未来个人信息处理的众多场景，这一要求与信托关系中广泛存在的自由裁量存在张力关系。

　　数据最小化原则与目的限定原则也与企业所应当承担的谨慎义务与忠诚义务存在一定的矛盾。企业为了履行信托责任，特别是为了履行对于作为集体的用户的信托责任，常常需要对原始数据进行二次数据分析甚至是深度数据挖掘。例如，谷歌为了对流感趋势进行预测，就需要对用户的搜索记录进行大数据分析。此类具有一定公益性目的的数据并不一定会完全符合目的限制与数据最小化的要求，但却更符合用户个体的利益。

　　限期储存原则也可能与企业的谨慎与忠诚义务存在矛盾，不一定符合用户利益。例如，用户可能希望从企业获取其丢失的数据，而企业的自动限期删除制度会使得企业无法满足用户的此类要求。此外，企业如果想为用户提供更好的服务，也常常需要历史累积数据来提供大数据的支撑。例如，美团之所以能够进入打车市场（虽然后来因为市场监管原因没有进一步发展），其重要原因就在于美团拥有用户海量的饮食娱乐数据，因而能够根据这些数据布局与调配出租车。缺乏此类历史累积数据，互联网等企业等跨界发展与跨界服务就无法有效展开。

　　最后，就个人信息或个人数据的准确性、质量与安全来说，可以发现此类要求从总体上更为符合信息信托责任。在各国各地区和国际组织的个人信息保护制度中，越来越多的法律与公约开始强调企业等信息控制者与处理者对用户的信息安全责任与信息质量责任。例如，2004年制定的《APEC隐私框架》将“预防损害”放置在了个人信息保护原则的首位，[60]欧盟《通用数据保护条例》也在很多条文中体现了风险规制的思路。[61]就这一点而言，未来个人信息保护应当建构更多的风险防范的制度设计，如在事前风险预防方面对收集与处理个人信息进行风险评估与风险规制，要求企业等主体建立相关的风险预防措施，包括要求有能力的企业设立隐私保护官或数据保护官。[62]而在风险的事后救济方面，则可以考虑建立个人信息公益诉讼等制度，对未尽合理谨慎义务与忠诚义务的企业提起公益诉讼，保证企业切实履行信息信托责任。[63]

　　五、结语

　　半个世纪前，阿兰？威斯丁（Alan Westin）曾经把隐私界定为“个人、群体或机构对自身信息在何时、如何以及在什么程度与他人沟通的主张”，[64]这一界定奠定了现代信息隐私法的思想基础，也衍生了强化个体控制的个人信息法律保护制度。“告知—同意”框架为代表的机制正是建立在威斯丁的理论基础之上，试图通过强化信息披露而发挥个人信息的合同法保护。

　　本文质疑了这一进路的可行性。无论是传统的还是改良后的“告知—同意”框架，均会带来一系列的问题，不足以为用户提供良好的个人信息保护制度，为企业提供合理的收集与利用个人信息保护途径。究其原因，以“告知—同意”框架为代表的合同法依赖于意思自治与形式主义的主体平等，但在个人信息保护问题上，用户很难作出理性与有效的判断，用户与企业之间的关系也存在巨大的专业性差距。即使国家强制要求企业进行信息披露，以用户保护的理念重新激发合同法的活力，这种情况也难以改变。

　　基于个人信息保护的这些特征，本文提出了个人信息的信义法保护。这种保护强调以信托关系的视角看待用户与企业之间的关系，主张以信义法与信义责任的法律框架保护个人信息。近年来，越来越多的学者与专家主张，个人难以有效地进行隐私自我管理（privacy self-management）， [65]为了更有效地保护隐私，应当要求企业满足用户个体与用户群体的合理期待，而不是形式化地获得用户的同意与授权。在某种程度上，本文所提出的个人信息的信义法保护正是这种主张的延伸，它主张企业对于个人信息权益具有信义责任，企业具有一定的收集与处理个人信息的自由裁量权，但也应当承担更高的谨慎义务与忠诚义务。从这种信义法保护的视角出发，我们不但可以重新激发个人信息私法保护的活力，而且可以重新思考与改进个人信息保护的若干原理与制度。

[1]Joel R. Reidenberg, Resolving Conflicting International Data Privacy Rules in Cyberspace, 52STAN. L. REV., 2000, p.1315.

[2]https://www.dslreports.com/shownews/Opting- Out-of- ATTs-Gigapower- Snooping-is-Comically-Expensive-133132.

[3]较为综合全面的批评，参见Robert H. Sloan, Richard Warner Beyond Notice and Choice:Privacy, Norms, and Consent, 14 J. High Tech. L., 2014, p.370；万方：《隐私政策中的告知同意原则及其异化》，载《法律科学》2019年第2期，第61-68页。

[4]Alessandro Acquisti&Jens Grossklags et al., What Can Behavioral Economics Teach Us About Privacy? in Acquisti A., Vimercati S. C., Gritzalis S., Lambrinoudakis C.ed., Digital Privacy: Theory, Technologies and Practices, Auerbach Publications (Taylor and Francis Group), 2007, p.363.

[5]Lorrie Faith Cranor, Necessary But Not Sufficient: Standardized Mechanisms for Privacy Notice and Choice, 10 J. Telecomm.&High Tech. L., 2012, pp.273-274.

[6]M. Ryan Calo, The Boundaries of Privacy Harm, 86 Ind. L. J., 2011, pp.1131, 1149.; Daniel J. Solove, Privacy and Power: Computer Databases and Metaphors for Information Privacy, 53 Stan. L. Rev, 2001, pp.1393, 1452.

[7]Danielle Kie Hart, Contract Formation and the Entrenchment of Power, 41 LOY. U. CHI. L. J.175, 2009, pp.199-200.

[8]Mark A. Lemley, Terms of Use, 91 MINN. L. Rev, 2006, pp.459, 464-465.

[9]《通用数据保护条例》第12条。

[10]事实上，《通用数据保护条例》直接把“提高公众隐私意识”作为立法目标，参见《通用数据保护条例》第57条。

[11]对于“选择加入”与“选择退出”的分析，参见Hans Degryse&Jan Bouckaert, Opt in Versus Opt Out:A Free-Entry Analysis of Privacy Policies (Sep 2006).CESifo Working Paper Series No.1831; Cen- tER Discussion Paper No.2006-96. Available at SSRN: https://ssm.com/abstract =939511。

[12]例如，California Office of Privacy Protection.2008. Recommended Practices on Cali-fomia Information-Sharing Disclosures and Privacy Policy Statements. Sacra-mento: California Office of Privacy Protection. FTC (Federal Trade Commission).2012. Protecting Consumer Privacy in an Era of Rapid Change: Recommendations for Businesses and Policymakers. Washington, DC: FTC。

[13]《通用数据保护条例》第4条第（11）款。

[14]《通用数据保护条例》第12条、第13条规定。

[15]https://www.cnil.fr/en/cnils—restricted—committee—imposes—financial—penalty—50—million—euros— against-google-llc.

[16]Ben-Shahar, Omri, and Adam Chilton, Simplification of privacy disclosures: An experimental test, The Journal of Legal Studies, 2016, pp.41-67.

[17]Howard Latin, "Good" Warnings, Bad Products, and Cognitive Limitations, 41 UCLA L. Rev, 1994, p.1193.

[18]Ian Ayres &Alan Schwartz, The No Reading Problem in Consumer Contract Law. Stanford Law Review 66:545-609, 2014, p.605.

[19]Omri Ben-Shahar &Carl E.... Schneider, The Failure of Mandated Disclosure, 159 U. P A . L. Rev, 2011, pp.692-695.

[20]Omri Ben-Shahar &Carl E.... Schneider, The Failure of Mandated Disclosure, 159 U. P A . L. Rev, 2011, pp.695-696.

[21]Omri Ben-Shahar &Carl E.... Schneider, The Failure of Mandated Disclosure, 159 U. P A . L. Rev, 2011, pp.696-698.

[22]Omri Ben-Shahar &Carl E.... Schneider, The Failure of Mandated Disclosure, 159 U. P A . L. Rev, 2011, pp.698-702.

[23]Omri Ben-Shahar &Carl E.... Schneider, The Failure of Mandated Disclosure, 159 U. P A . L. Rev, 2011, pp.709-711.

[24]Omri Ben-Shahar &Carl E.... Schneider, The Failure of Mandated Disclosure, 159 U. P A . L. Rev, 2011, pp.711-719.

[25]Omri Ben-Shahar &Carl E.... Schneider, The Failure of Mandated Disclosure, 159 U. P A . L. Rev, 2011, pp.711-720.研究者指出，人们短期记忆的最大数量常常只有七项，而在信息披露中，所披露的事项常常远远超过七项。参见George A. Miller, The Magical Number Seven, Plus or Minus Two:Some Limits on Our Capacity for Processing Information, 63 Psychol. Rev.1956, pp.81, 90?

[26]Omri Ben-Shahar &Carl E.…Schneider, The Failure of Mandated Disclosure, 159 U. P A . L. Rev, 2011, pp.720-729.

[27]有学者指出，按“可识另的标准，几乎所有信息都可能成为个人信息，参见Nadezhda Purtova, The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law, Law, Innovation and Technology, Vol.10, No.1, 2018, pp.40-81。

[28]反映在学术讨论中，就是关于个人信息的权益是一种财产权还是人格权，这已经成为一个争论不休的焦点问题。

[29]Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, 126 HARV. L. Rev., 2013, p.1880.

[30]Lany E. Ribstein, The Revised Uniform Partnership Act:Not Ready for Prime Time, 49 Bus. Law, 1993, pp.45, 53-54.

[31]Edward D. Spurgeon and Mary Jane Ciccarello, The Lawyer In Other Fiduciary Roles: Policy and Ethical Considerations, 62 Fordham L. Rev, 1994, p.1357; Villiers, supra note 53, at 38-42; Paul Zwier, Is the Maryland Director and Officer Liability Statute Based on a Male-Oriented Ethical Model?, 18 U. Balt. L. Rev, 1989, p.368.

[32]Marc A. Rodwin, Strains in the Fiduciary Metaphor: Divided Physician Loyalties and Obligations in a Changing Health Care System, 15 Am. J. L.&Med, 1995, pp.241, 242; Michelle Oberman, Mothers and Doctors5 Orders: Unmasking the Doctor's Fiduciary Role in Maternal-Fetal Conflicts, 94 Nw. U. L. Rev, 2000.pp.451, 457.

[33]Matthew T. Bodie, Employment as Fiduciary Relationship 105 Geo. L. J, 2017, p.819.

[34]Dennis Hynes. See J. Dennis Hynes, Agency and Partnership: Cases, Materials, Problems 6-7(4th ed.1997); J. Dennis Hynes, Chaos and the Law of Borrowed Servant: An Argument for Consistency, 14 J. L.&Com, 1994, pp.1, 13-14, 45-46.

[35]Deborah A. DeMott, Beyond Metaphor: An Analysis of Fiduciary Obligation, 1988 Duke L. J., 1988, pp.879, 882.

[36]Tamar Frankel, Fiduciary Law, Oxford University Press, 2011, pp.169-172.

[37]Tamar Frankel, Fiduciary Law, Oxford University Press, 2011, pp.106-108.

[38]John H. Langbein, The Contractarian Basis of the Law of Trusts, 105 Yale L. J., 1995, pp.625, 642.

[39]Edward C. Halbach, Jr., Uniform Acts, Restatements, and Trends in American Trust Law at Century's End, 88 Cal. L. Rev, 2000, pp.1877, 1906.

[40]Margaret M. Blair & Lynn A. Stout, Trust, Trustworthiness, and the Behavioral Foundations of Corporate Law, 149 U. Pa. L. Rev.1735, 1784, 2001.

[41]Hanoch Dagan, The Distributive Foundation of Corrective Justice, 98 Mich. L. Rev, 1999, pp.138, 159-160.

[42]参见D. Gordon Smith, The Critical Resource Theory of Fiduciary Duty, 55 Vand. L. Rev, 2002, p.1399?

[43]Larry E. Ribstein, Fencing Fiduciary Duties, 91 B. U. L. Rev.899, 907, 2011.

[44]Tamar Frankel, Fiduciary Law, 71 Cal. L. Rev, 1983, pp.795, 809.

[45]George M. Cohen, The Negligence-Opportunism Tradeoff in Contract Law, 20 Hofstra L. Rev, 1992, pp.941, 957.

[46]Kenneth B. Davis, Jr., Judicial Review of Fiduciary Decisionmaking-Some Theoretical Perspectives, 80 Nw. U. L. Rev, 1985, pp.1, 5.

[47]除了本文重点介绍的巴尔金之外，乔纳森·奇特林（Jonathan Zittrain）、内尔·里查德（Neil Richards）等网络法与信息法学者也纷纷提出以信托法保护个人信息的主张。参见Jonathan Zittrain, Response, Engineering an Election: Digital Gerrymandering Poses a Threat to Democracy, 127 Haru. L. Rev. F, 2014, pp.335-336; Neil Richards, Intellectual Privacy: Rethinking Civil Liberties in the Digital Age, 2015, p.168.

[48]Jack M. Balkin, Information Fiduciaries and the First Amendment, 49 U. C. Davis L. Rev, 2016, p.1183.

[49]Jack M. Balkin, Information Fiduciaries and the First Amendment, 49 U. C. Davis L. Rev, 2016, p.1222.

[50]Jack M. Balkin, Information Fiduciaries and the First Amendment, 49 U. C. Davis L. Rev, 2016, pp.1183, 1225-1228.巴尔金的文献发表后，引发了哥伦比亚大学法学院的丽娜·卡晗（Lina M. Khan）和大卫·波曾（David E. Pozen）两位教授的批评，以及巴尔金教授对批评的回应。其中卡晗和波曾教授认为，面对互联网大型平台，巴尔金所提出的信息信托不现实，不具有可操作性。而巴尔金回应的主要观点是，卡晗与波曾低估了信息信托理论，同时，信息信托的确需要配合其他法律制度一同对平台进行监管，但这并不意味着就应当放弃信息信托。参见Lina M. Khan &David E. Pozen, A Skeptical View of Information Fiduciaries, 133 Harv. L. Rev.497(2019); Jack M. Balkin, The Fiduciary Model of Privacy, 134 Harv. L. Rev, 2020, pp.11-33.

[51]Jack M. Balkin, Information Fiduciaries and the First Amendment 49 U. C. Davis L. Rev, 2016, pp.1228-1229.

[52]Jack M. Balkin, Information Fiduciaries and the First Amendment, 49 U. C. Davis L. Rev, 2016, p.1229.

[53]Jack M. Balkin, Information Fiduciaries and the First Amendment, 49 U. C. Davis L. Rev, 2016, p.1229.

[54]《电子商务法》第38条规定：“电子商务平台经营者知道或者应当知道平台内经营者销售的商品或者提供的服务不符合保障人身、财产安全的要求，或者有其他侵害消费者合法权益行为，未采取必要措施的，依法与该平台内经营者承担连带责任。对关系消费者生命健康的商品或者服务，电子商务平台经营者对平台内经营者的资质资格未尽到审核义务，或者对消费者未尽到安全保障义务，造成消费者损害的，依法承担相应的责任。”

[55]关于“信息守门员”理论，参见Reinier H. Kraakman, Gatekeepers: The Anatomy of a Third-Party Enforcement Strategy, 2 Journal of Law, Economics and Organization, 1986, p.53; Marcelo Thompson, Beyond Gatekeeping: The Normative Responsibility of Internet Intermediaries, 18 Vand. J. Ent.&Tech. L, 2016, p.783.

[56]Jack M. Balkin, Information Fiduciaries and the First Amendment, 49 U. C. Davis L. Rev, 2016, pp.1183, 1233-1234.

[57]参见Marc Rotenberg, Fair Information Practices and the Architecture of Privacy:What Larry Doesn't Get, 2001 Stan. Tech. L. Rev, 2001, p.1.

[58]经济合作与发展组织（OECD）制定的《隐私保护与个人数据跨境流通指南》确定了个人数据保护的八项基本原则：（1）收集限定性原则：个人数据的收集应当有限定性，而且任何此类数据都应当以合法和公平的手段获取，在合适情况下应当获取数据主体的了解或同意。（2）数据质量原则：个人数据应当和它们将被使用的目的相关，应当是为了实现这些目的所必要的，而且应当准确、完整并且及时更新。（3）目的说明原则：应当在数据收集之前说明收集个人数据的目的，使用收集的个人数据也应当只限于实现此类目的，或者和此类目的并不冲突而且在每次改变使用时都已进行目的的说明。（4）使用限定性原则：除了以下情况，个人数据不应被披露、可访问或使用：a）数据主体已经同意；或者b）法律要求。（5）安全保障原则：应采取合理的安全保障措施，保护个人数据免受诸如丢失、未授权访问、销毁、使用、修改或公开数据的风险。（6）公开原则：对于个人数据的发展、实践和政策的公开，应当有一般性政策。对于确定个人数据是否存在，个人数据的性质，使用个人数据的主要目的，以及数据控制者的身份和常住地，应当有现成的方式来确定。（7）个人参与原则：个人应当有权：a）从数据控制者那里得知数据控制者是否有和他们相关的数据。b）以如下方式被告知： i.在一定的合理期限内；ii.如果收费的话，不超出合理限度；iii.以合理的方式；iv.以一种可理解的方式。c）如果a）项和b）项中的请求被拒绝了，可以获得拒绝的理由，并且可以对拒绝提出质疑。d）质疑关乎他们的数据，而且如果质疑是成功的话，可以要求将数据擦除、改正或完善。（8）可责性原则：数据控制者有责任采取措施，保证实现上面提到的原则。

[59]亚太经济合作组织（APEC）制定的《APEC隐私框架》规定了信息隐私的九项原则：（1）预防损害：基于个人对于隐私的正当期待，应当设计个人信息保护以避免对此类信息的滥用。此外，基于对滥用个人信息所带来的伤害风险，应当对此类风险施加特定的责任，而且救济措施应当和因为收集、使用和转移个人信息所带来的可能性和严重性相称。（2）告知：对于个人信息的操作与政策，个人信息的控制者应当提供清晰且容易访问的声明。为了保证在收集个人信息之前或收集个人信息时提供此类信息，必须确保所有合理的可操作措施都已经采用。（3）收集限定性：个人信息的收集应当限定于和收集目的相关的信息，而且此类信息应当通过合法和公平的方式获取，而且在合适的情况下应当告知个人或获取个人的同意。（4）个人信息的使用：收集的个人信息应当只用于完成收集的目标和其他相关目的，除非：a）个人信息的主体已经表达同意；b）对于个人请求的产品或服务是必要的；c）法律或其他具有法律效力的法律文书、声明所要求的。（5）选择：在合适的情形下，应当为个人提供一种清晰、显著、容易理解、容易访问和可承担的机制，以使得个人能够选择对所涉及的个人信息进行收集、使用和披露。对于收集可公开获取的信息，要求个人信息收集者提供此类机制可能并不合理。（6）个人信息的完整性：个人信息应当准确、完整以及在使用目标所需的限度内保持更新。（7）安全措施：个人信息的收集者应当采取恰当的措施，保护其收集的个人信息免受风险：如丢失或对个人信息的未授权访问，或未授权损害、使用、修改或披露信息或其他滥用。此类措施应当与损害的可能性和严重性、信息的敏感性和语境相称，而且应当接受间歇性的审查和重新评估。（8）访问和可更正：个人应当可以：a）向个人信息控制者确认，个人信息控制者是否有关于其的个人信息； b）在提供关于其身份的足够证据的情形下，要求以如下方式告知他们：i.在一定的合理时间内；ii.如果收费的话，不超过合理费用；iii.以一种合理的方式；iv.以一种普遍能理解的方式；c）确保他们信息的准确性，而且在恰当情况下予以纠正、完善、修改或删除信息。（9）可责性：个人信息控制者有责任采取措施，使得上述原则得以落实。当个人信息被转移给其他个人或组织，不论是国内转移还是跨国转移，个人信息的控制者都应当获取个人同意，或者应当采取合理注意义务、措施保证个人信息的接收者或组织也能以符合上述原则的方式保护信息。

[60]Asia-Pacific Economic Cooperation, APEC Privacy Framework, 2004/AA/M/014Z?ei?l, （Nov.2004）.

[61]关于《通用数据保护条例》中的风险规制思路，参见丁晓东：《个人信息私法保护的困境与出路》，载《法学研究》2018年第6期，第194-206页。

[62]例如，《通用数据保护条例》详细规定了数据保护官制度，参见《通用数据保护条例》第37-39条。

[63]丁晓东：《个人信息传统私法保护的困境与出路》，载《法学研究》2018年第6期，第206页。

[64]Alan Westin, Privacy and Freedom, New York:Atheneum, 1967, p.7.

[65]Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, 126 HARV. L. Rev, 2013, p.1880.