个人信息保护的当下困境及司法应对
——以手机APP 对个人信息的使用为切入点

秦 华，高允菁

（1.天津市高级人民法院 研究室，天津300100；2.武汉学院 法学系，湖北430212）

2017 年3 月，原《中华人民共和国民法总则》将对个人信息的保护纳入第五章民事权利中①。2020 年5 月，《中华人民共和国民法典》（下文简称《民法典》）不仅在总则部分继续沿用民法总则条文的表述，而且在人格权编中单独设置“隐私权和个人信息保护”一章，初步建立了个人信息保护的制度框架②。2021 年8 月颁布《中华人民共和国个人信息保护法》（下文简称《个人信息保护法》），进一步完善了个人信息保护制度。由此，有关个人信息保护的立法告一段落。如何确保个人信息保护的各项法律规定落到实处是急需关注的问题③。当前，手机已成为人们生活中必不可少的工具，手机APP 已成为收集处理个人信息的最重要渠道。本文以手机APP 中个人信息的保护为切入点，从用户、处理者、审判者三个视角深入分析个人信息保护面临的难题，探索解决之道。

一、手机APP 个人信息使用的现状分析

为真实了解手机APP 关于个人信息使用的现状，课题组选取了100 人进行问卷调查，其中包括随机选择的调查对象60名，以邀请方式选择的具有法学专业背景的调查对象20 名、具有计算机专业背景的调查对象20 名。调查发现，手机APP 个人信息使用呈现以下特征：

（一）大众对个人信息保护相关法律的了解不足

在100 名调查对象中，有97 人表示知道个人信息的含义④，38 人表示知道《民法典》《个人信息保护法》中关于个人信息保护的规定，但仅有13 人表示阅读过前述法律条文。尤其值得注意的是，具有计算机专业背景的20 人中，虽然13 人表示知道上述法律，但仅有2 人阅读过具体条文；具有法学专业背景的20 人中，虽然17人表示知道上述法律，但仅有9 人阅读过具体条文。这表明，民众对个人信息保护相关法律的了解程度较低，特别是与个人信息保护紧密相关的法学专业和计算机专业人士对有关法律的掌握严重不足，这势必影响法律的实施效果。

（二）大众对手机APP 个人信息使用协议重视不够

调查发现，人均使用的APP 数量为27个，其中除6 人使用老年机无法安装APP外，拥有15 个以下APP 的人数为9 人，拥有16 至30 个APP 的人数为56 人，拥有30 个以上APP 的人数为29 人。在安装APP 的94 人中，从未阅读过APP 协议的有69 人，阅读过部分条款的有21 人，阅读过全部条款的仅有4 人。在阅读过APP协议的25 人中，2 人表示会参考协议内容综合考虑是否放弃使用APP，19 人会参考APP 的重要性决定是否放弃使用APP，4人不会因为协议放弃使用APP。这表明，民众大量使用各类APP，但是对于APP 协议的重视程度并不高，大多数人认为APP协议并不重要，并且很少有人会因协议内容而放弃使用APP。

（三）大众对手机APP 使用个人信息情况掌握不到位

调查发现，大多数调查对象对于个人信息被处理使用的现象并不敏感。拥有手机APP 的94 人中，89 人知道自己的个人信息被APP 采集，其中28 人表示不清楚个人信息如何被使用，50 人表示大概清楚个人信息如何被使用，11 人较为清楚个人信息如何被使用。无人选择完全清楚。关于导致不清楚使用情况的原因（受访者可多选），72 人选择了APP 未明确告知，31 人选择了不具备相关知识，17 人选择不重要。

关于是否有必要掌握APP 使用个人信息的情况，76 人表示有必要，12 人表示不太必要，8 人表示完全没必要。在认为有必要或不太必要掌握APP 使用个人信息情况的人中，选择愿意花费时间掌握相关情况的有31 人，不太愿意花费时间掌握相关情况的有53 人，不愿意花费时间掌握相关情况的有4 人。

关于手机APP 获取管理权限的选择，58 人选择按照软件请求直接设置，29 人选择根据实际需求设置，9 人选择按照使用最低要求设置。未按照APP 请求直接设置权限的38 人中，36 人选择的理由是防止个人信息泄露。

这表明，民众普遍知道个人信息被收集，但是对如何被收集、收集的范围以及如何处理等情况的掌握程度较低，大部分人认为有必要掌握相关的使用情况，但是APP 未提供掌握情况所需的服务。

（四）大众个人信息被侵犯的救济途径不畅通

调查发现，所有人均认为自己的个人信息曾遭到滥用，且遭遇类型多样，其中79 人遭受过电话广告的侵扰，68 人接到过电信诈骗电话，39 人曾被不合理要求录入个人身份证号码，29 人遭遇过部分软件未被授权私自定位，25 人发现有APP 明显盗取其他APP 的使用记录，21 人发现交易信息泄露，19 人发现部分软件随意浏览并识别手机上存储的图片，6 人认为存在不合理的人脸识别行为。

遭遇个人信息被滥用或侵犯时，未选择权利救济的人数为79 人，选择权利救济的人数为21 人。选择权利救济的人中，4 人认为权利救济有成效，17 人认为没有成效。未选择权利救济的理由（理由可多选），73 人选择不知道该如何救济，42 人选择没有实际损失。

这表明，民众普遍遭遇过个人信息被滥用或侵犯的经历，但是大多数人认为目前没有具体、便利的救济途径，即使尝试进行救济成效也不显著。

二、手机APP 个人信息使用问题检视

《民法典》在第1035 条中确立了个人信息保护的合法、正当和必要原则[1]，《个人信息保护法》在此基础上作了扩充，分别确立了合法、正当、必要与诚信原则，目的明确、公开透明、质量及责任原则[2]。上述原则涵盖了个人信息使用的“授权—处理—负责”的全过程。笔者以手机APP 经营者处理个人信息为例，在实践中检视上述五项原则的执行情况。

（一）对合法、正当、必要与诚信原则执行情况的检视

1.获取用户个人信息存在“形式合法化”倾向。获得个人的同意是信息处理者对信息进行依法处理的前提[3]。实践中，以手机APP 为代表的个人信息处理者，获得个人同意的方式通常为用户使用APP 时需注册账户。用户点击同意APP 相关协议的行为，视为其同意向处理者提供个人信息。以调查对象常用的“支付宝”“微信”“抖 音”“中 国 银 行”“豆 瓣”“高 德 地 图”“百度”“喜马拉雅”“腾讯视频”“京东”等10款APP 为例⑤，上述APP 均在账户注册及使用过程中，要求用户单独点击确认同意APP 的使用协议，从形式上看均符合合法性的要求。但是，除购买理财产品的APP以限定最少阅读时间的方式要求用户阅读协议外，其他APP 均允许用户略过阅读协议直接点击同意选项。

2.获取用户个人信息超出“必要性”范畴。必要性原则要求，根据使用目的在最低限度内处理个人信息，尽可能减少对个人信息权益的影响[4]。10 款APP，大多具有特征鲜明的服务功能，如“支付宝”的支付功能、“中国银行”的金融功能、“微信”的社交功能、“京东”的购物功能、“抖音”的娱乐功能等，但上述APP 均不断研发提供其他领域的服务功能，如“支付宝”中包含大量游戏、社交、信息查询、理财等功能。由于APP 的功能不单一，对于个人信息的需求也较为宽泛，导致必要性原则难以实质落实。

3.用户个人信息规范使用的“诚信度”难以检验。诚信原则要求，个人信息处理者在处理个人信息的过程中要秉持善意，符合个人信息主体的合理信赖[5]。作为个人信息主体的用户自然希望处理者能从维护用户权益的角度出发，审慎处理个人信息，但是由于了解个人信息的处理需具备专业的互联网知识，故大多数用户放弃了对个人信息最基本的关注。调研发现，10 款APP 的隐私政策均设有“信息如何收集”的章节，该章节对于收集个人信息的具体内容、原因以及不授权的后果进行了陈述，但对于搜集的具体方式、用户了解和监督个人信息被搜集的途径并未作出陈述。由此，个人信息的规范使用只能依赖于APP 提供者的诚信，用户难以实施有效的监督。

（二）对目的原则执行情况的检视

1.增值服务使用目的告知不清晰。目的原则要求，信息处理者对于个人信息的使用目的应尽可能具体，尽可能降低风险。用户既有抽象的需求，也有具体的需求[6]。对于后者，可以直接搜集相关个人信息进行处理；对于前者，则需要处理者先将抽象的需求予以细化，不得以需求抽象为理由模糊处理个人信息收集的边界。调查发现，10 款APP 的隐私协议通常在协议开头部分强调个人信息的重要性以及泄露的风险，并对具体信息收集给予明确解释。如“中国银行”在隐私协议中约定：“当您使用转账汇款、手机银行支付、二维码支付功能时，您需要提供收款方姓名、银行卡卡号/账号、开户银行、资金用途等信息，并可能需要提供您的姓名、手机号码、证件类型及证件号码信息，以便于验证身份及使用上述功能的支付服务”。该条明确搜集信息的目的是实现具体的转账功能，但在“更多优质服务”项目下，由于处理目的尚未确定，导致难以清晰释明。

2.涉第三方服务情形下个人信息使用边界不清。目的原则要求，个人信息的处理需要与具体的服务目的直接相关，处理的范围和方式不得任意扩张[7]。用户为满足自身需求向处理者开放个人信息时，通常并不设定具体边界，而是交由处理者根据目的划定处理范围并设计处理方式。在上述过程中，为防止处理者过度处理个人信息，有必要约束处理者的选择。如“支付宝”在隐私协议中约定：“当您在商家进行消费时，我们需要按照法律法规及监管规定对商家进行管理，防范套现或欺诈风险，因此，我们将直接收集或向商家收集您的交易信息，包括交易金额、交易对象、交易商品、交易时间、配送信息（如有）。”该条约定的“交易金额”“交易对象”等信息均为电子消费直接相关的信息，依照常识即可判断上述信息未超出合理的界限。但是，在涉及第三方时，则表述较为模糊，对于个人信息的使用范围释明不清。

3.对用户的影响程度依赖于平台自我约束。在处理个人信息时，处理者应选择对个人造成的影响最小、损害风险远低于其增加效益的处理手段[8]。用户为满足需求，不得不让渡部分个人信息权益，但期待所让渡的权益是最低限度的。因此，个人信息处理者在获得个人授权后，要秉持审慎的态度，合理设计具体的处理范围和手段。调查发现，10 款APP 的隐私协议均承诺最低限度的收集和处理手机中的个人信息，但是否实质履行上述承诺，除特定行为可以依据常理进行初步判断外，大部分只能依赖APP 提供者的自我约束。

（三）对公开透明原则执行情况的检视

1.随时查阅个人信息使用情况难以实现。在个人信息的处理过程中，个人信息主体有权随时查阅个人信息的使用情况，并决定是否修正个人授权[9]。协议只是对个人信息处理的静态展示，只有通过查阅的方式，才能了解个人信息的动态运用和真实处理情况，进而评估处理者是否履行了对个人信息的保护义务。调查发现，10款APP 均未涉及个人信息处理的动态展示，也未设置便捷的查询端口，若用户查询个人信息的使用情况，需和APP 的人工客服进行沟通，但沟通效果并不理想，反映出APP 提供者不愿意公开相关使用情况。

2.手机平台消极履行全面披露义务。个人信息的处理全过程以及效果，除法律另有规定外，应当全部向个人信息主体提供，以保障主体的知情权[10]。随时查阅原则和全面披露原则是用户监督个人信息处理情况的重要手段。调研发现，10 款APP均通过更新隐私协议、版本更新说明等方式大致说明了个人信息处理的内容，但对于处理的过程以及除满足用户需求功能之外的处理效果，未提供易于用户理解的具体说明，也未提供便利用户咨询的端口或途径。整体而言，APP 提供者对全面披露个人信息使用状况持消极态度。

（四）对质量原则执行情况的检视

1.个别用户的个人信息失真。个人信息处理者在处理过程中要尽可能利用各种手段，确保处理的个人信息准确、完整、及时[11]。对用户个人而言，只有提供准确的个人信息，才能享受契合其需求的服务。对社会而言，只有掌握真实数据，才能进行有效的社会管理并做出准确研判。10 款APP 中，涉及金融功能的“支付宝”“微信”“中国银行”在处理相关金融活动时，以动态面部识别的方式，尽可能确保交易对象的真实性。除此之外，大多数APP 均以国家相关政策规定为由，要求用户在使用过程中，通过短信验证、银行卡验证以及身份证上传等方式完成实名认证。调查发现，由于高质量的个人信息处理有助于提升用户使用的满意度，APP 提供者对适用该原则持积极态度。不过，由于实践中存在用户冒用他人手机号、身份证号等个人信息注册使用APP 的现象，导致APP 搜集到的部分个人信息失真。

2.个人信息修正流程复杂繁琐。对错误个人信息的修正处理，能够避免或停止错误信息造成的不良影响以及社会风险[12]。实践中，存在大量不可避免的误差、失误以及部分人有意为之的隐瞒和欺诈，导致部分个人信息无法反映真实情况，影响个人信息处理的质量。用户在使用APP过程中，如发现相关信息失真或者错误，可以在提供必要证据的前提下，要求个人信息处理者予以修正。调查发现，10 款APP 根据功能的不同，对个人信息修改设置了不同条件。其中，手机号等能够及时验证的信息，可以随时修改，但对于从第三方获得的信息，则需要用户自行联系第三方修改。当第三方涉及公共管理职能部门时，无论证据是否充分，均需公共管理机构修改后，APP 才能作相应的修正，操作流程复杂。

（五）对责任原则执行情况的检视

1.保障个人信息安全的方式不明确。个人信息处理者得以实施处理行为的必要条件之一是有能力保护个人信息的安全[13]。鉴于当前侵害个人信息权益的现象频发，这对个人信息处理者的安全保障能力提出了较高的要求。用户要判断个人信息处理者的能力，自然要考察APP 提供者的安全保障能力。调查发现，10 款APP 的隐私协议均郑重承诺做好个人信息安全保障，但是对于保障的具体方式并未予以说明。调查发现，不少用户怀疑自己安装的APP 已然泄露了个人信息，但没有证据证明个人信息泄露与特定的APP 有关。

2.隐私协议条款责任承担内容缺位。个人信息处理者应当对其不当处理个人信息造成的损失承担法律责任，尤其是必要的赔偿责任[14]。依赖个人信息处理者的自我约束，实现个人信息处理的有效监管几乎是不可能的，只有明确个人信息处理者必须为自己的不当行为付出相应的代价，才能倒逼个人信息处理者依法依规实施处理行为。调查发现，10 款APP 隐私协议在作出安全保障的承诺之后，均对责任作出了明确承诺，但没有明确具体的责任承担方案。

三、民事审判中个人信息保护面临的困境

在全面推进依法治国的背景下，越来越多的公民在合法权益遭受侵犯时，选择通过司法维护自身权益。但是在司法实践中，相关权益的保护面临举证难、诉讼成本高、赔偿低的困境。

（一）举证难

具体来说，个人信息的司法保护面临的举证难，主要体现在以下几个方面：

1.对侵权主体举证难。以广告电话和短信为例，其中不少推销内容与用户的需求紧密相连，不难判断推送者掌握了相关个人信息，否则难以实施如此精准的广告投放。受到垃圾广告骚扰的受害人如果选择司法救济途径，将面临确定谁是侵权人的难题。一方面，广告投放人通常以虚拟号码拨打电话、发送短信，仅凭来电信息无法确定侵权人；另一方面，广告商家不承认购买过侵犯受害人权益的广告服务，也无法认定广告商家为侵权人。此外，个别广告的投放与受害人在特定个人信息处理者处提供的个人信息有关，受害人只能怀疑，并不能获得上述个人信息处理者使用信息的具体情况，导致该处理者难以认定为侵权人。

2.对侵权行为举证难。合法收集个人信息的行为，一般通过主体授权。虽然在授权过程中，主体拥有同意、查阅、复制、修改等权利，但自授权后，个人信息的收集与处理全部交由处理者控制，个人行使相关权利必须获得处理者的配合和支持[15]。一旦主体认为处理者有不当行为，只能要求处理者提供收集和处理个人信息的相关证据材料，而处理者不可能将不利于自己的证据交给欲让自己承担责任的主体。

3.对侵权后果举证难。在传统的侵权案件中，损害结果不仅可见，而且量化的裁判规则也较为成熟，可通过支付医疗费、护理费、交通费、误工费以及精神损害抚慰金等方式，合理弥补受害人因侵权遭受的人身及精神损失。而在涉及个人信息的侵权案件中，侵权后果却难以量化。即使能够认定处理者侵犯了个人信息主体的合法权益，但由于主体并未遭受人身损害，也难以证明主体受到了精神损害，导致主体无法主张明确的侵权责任。

（二）诉讼成本相对较高

个人信息保护案件所涉及的相关事实，尤其是个人信息处理的算法，需要具备一定的计算机专业知识背景。此外，司法诉讼也要求当事人必须具备一定的法律专业知识背景。不具备专业背景的个人信息主体，寻求司法救济首先要为获得必要的计算机和法律专业服务进行支出。由于个人信息处理所涉案件多属于与科技有关的新型案件，法院审理时通常较为谨慎，案件的审理期限一般较长，当事人需为此付出更多的时间成本。此外，由于个人信息处理者与个人信息主体主要通过互联网联系，实践中二者所处的实际地理位置相距甚远，而双方签订的相关协议通常约定由处理者所在地法院管辖，导致当事人还需支出路途奔波的费用。

（三）侵权损害赔偿与诉讼成本不成比例

在个人信息保护案件中，不仅侵权后果难以取证，而且即使完成举证责任，所获得的赔偿金额也很难覆盖维权所支付的成本。这是因为：1.个体的个人信息财产性价值不高，处理者获得收益的方式是占有数量庞大的个人信息。单独的个体仅能就其个人信息主张权利，所获赔偿金额极其微小。2.责任的计算范围狭窄。当前，侵犯个人信息的赔偿责任计算，采用的是传统侵权的赔偿责任计算方式，而非知识产权领域的赔偿责任计算方式，即法院支持的损失仅限于侵权导致的直接损失，不支持证明侵权行为发生、侵权结果等合理支出的调查费用。在个人信息侵权案件中，调查的费用远高于直接损失的金额。3.除赔偿责任外，判决处理者承担删除、修改、停止使用个人信息等侵权责任后，由于个人信息主体无力监督处理者，导致上述责任是否得到实际履行以及履行的效果亦难以查明。

四、完善个人信息保护的司法裁判进路

针对个人信息的司法保护面临的困境，不少学者建议从公法的角度解决问题，即通过政府积极监管，促进个人信息规范自由流通[16]。但公法并不能满足个人信息保护的全部需求，私法的协同发力不可或缺[17]。一方面，民事主体对于维护自身权益具有天然的积极性[18]，另一方面，个人信息权益遭到侵害的主体需要获得民事赔偿[19]。笔者认为，在保护个人信息方面，需要公法与私法的协同发力，对此司法裁判可以有以下作为：

（一）妥善处理个人信息保护纠纷案件的固有矛盾

1.妥善处理好个人信息的自由流通与严格保护之间的矛盾。虽然个人信息设置在《民法典》人格权编中，但是与传统的人格权相比，个人信息的财产属性更加浓厚，适用的领域也更加宽泛[20]。大数据的发展，离不开大量个人信息的处理。对个人信息案件的司法裁判，既要考虑个人信息的人格权属性，对于个人信息的使用进行合理限制，同时又要考虑个人信息的流通性，确保个人信息高效自由流转，以实现个人与社会福祉的共同增加。实践中，个别案件并未恰当处理二者的关系。比如，有的过度强调自由流通，导致处理者得以几乎不受任何限制的收集和处理个人信息；有的过度强调严格保护，导致处理者所能收集的信息极为有限，不仅制约处理者提供服务的质量，也影响相关的科技研发以更好地提供服务。因此，司法裁判应当避免机械地无差别保护所有种类的个人信息，有必要在区分个人信息的性质，分类要求处理者负担不同程度的义务。

2.妥善处理好法律的保守与科技的创新之间的矛盾。法律具有保守属性，法律的修订通常是对社会发展的总结，而非对社会发展的研判[21]。这份保守体现在《民法典》《个人信息保护法》虽然对个人信息保护作了制度安排，但对于争议较大的内容，选择了搁置处理。但立法的回避，不能成为司法裁判回避的理由。实践中，部分裁判沿用传统的民法裁判理念，导致司法裁判既不能回应内容不断丰富的个人信息权益的保护需求，也不能引导个人信息相关行业有序发展，反而竞相扩大收集个人信息的范围[22]。因此，在裁判过程中，裁判者应当在审慎的基础上，扮演好裁判规则构建者的角色。

3.妥善处理好单独的个人信息主体与强大的个人信息处理者之间力量悬殊的矛盾。民事诉讼的各方当事人在法律意义上地位平等，但是现实中双方力量的差异，影响对自身诉求的表达效果[23]。个人信息处理者在纠纷中，不仅享有技术优势地位，而且经济地位优势决定了其还享有更加专业的法律服务。诉讼实力的强弱对比，使得单独的个体无力去挑战强大的个人信息处理者。实践中，部分司法裁判没有考虑单独主体与处理者之间的地位悬殊，“公平”分配责任与确定“实际”的损失，导致单独的个体没有动力通过司法裁判寻求民事救济，违规的处理者也不畏惧可能的侵权责任，进而在个人信息的处理过程中轻视个人信息的保护。因此，在裁判过程中，裁判者应当有意识地在诉讼中平衡因各方当事人的力量悬殊而导致的实际不平等。

（二）秉持平衡、创新、分配的司法裁判理念

1.秉持平衡理念

审理个人信息保护纠纷案件，不仅要关注个案的审理，而且要将案件的裁判提升到社会整体的个人信息保护与流通的大背景下进行思考和平衡裁判结果。司法裁判所确立的规则，是对特定领域的交易成本进行划分[24]。裁判的对与错，不仅关系到案件当事人的权益能否得到维护，更关系到交易重新划分后，是否存在因不合理增加一方的交易成本，导致交易无法继续高效进行。在个人信息保护中，平衡理念体现在设定两条动态平衡的界限：对个人信息主体保护的界限在于，主体不应当因为个人信息的处理造成实质性的负面影响，一旦越过界限，则应当予以否定性评价，以保护信息主体的合法权益。对个人信息处理者责任划分的界限在于，处理者是否合理地尽到保护个人信息安全的义务，若已尽到合理义务，则可以减轻甚至免除处理者的责任，进而发挥鼓励创新的作用[25]。个人信息主体实质性受损的界限与处理者尽到合理义务界限之间相互重合的纠纷，则要求裁判者更加精致地平衡双方的利益。在此过程中，裁判者不仅需要掌握当下个人信息保护的最新政策，而且要具备评估裁判效果的能力。

2.秉持创新理念

现代社会治理对司法裁判提出了更高的要求，众多还没有法律规范的新兴领域，更可能因为成文规范缺失而产生纠纷。此时，社会要求司法裁判者不得回避纠纷的化解，而应当凭借对法律体系的整体掌握，探索出一套合理的裁判规则体系[26]。审理个人信息保护纠纷案件，要充分发挥主观能动性，秉持创新理念，大胆进行法律改造，探索个人信息保护的裁判规则。在个人信息保护纠纷中，创新理念要求裁判者综合运用《民法典》所确立的人格权体系和侵权责任法体系，尤其是其中蕴含的民法保护的价值层阶，积极探索区分不同性质的个人信息保护裁判规则。对个人影响不大，但涉及社会整体福祉增加的个人信息，可以适当宽容处理者的合理使用；对于敏感信息，则需要结合《个人信息保护法》确立的规则，要求处理者承担严格保护责任[27]。

3.秉持分配理念

裁判者在个人信息保护案件中，应当通过合理地分配举证等手段，尽可能缓解个人信息主体与处理者之间的权利义务不对等。法律虽然强调形式公平，但从未忽略实质公平[28]。如上所述，个人信息的收集和处理过程中存在着明显的力量失衡，司法对此若视而不见，不仅有损个案中个人信息主体正当权益的维护，而且可能放纵信息处理者对个人信息的任意处置。《民法典》和《个人信息保护法》已充分考量实践中个人信息主体与处理者之间力量的差异，赋予了处理者更多的证明责任、安全保护责任，并限制了敏感信息的使用。在司法裁判中，应当继续贯彻上述理念，确保双方均具备完整陈述并进行相关举证的能力，让争议尽可能得到正义的实质化解。

（三）构建符合个人信息保护特点的裁判规则

1.依据实质化要求确定“同意”的裁判标准

个人信息处理的前提是主体同意处理者根据必要的目的使用个人信息。实践中，主体同意通常表现为，同意处理者以格式合同形式呈现的隐私协议。该协议对于个人信息的收集范围、使用目的、保护政策等主要内容进行了约定。司法裁判对“同意”（即格式合同的效力）合法性的判断，应当注重审查以下三个方面：

（1）处理者是否将阅读隐私条款设定为“同意”的前置流程。由于格式合同由提供者制定，另一方不具备协商的可能，因此法律要求提供者就合同的主要内容，尤其是涉及减免提供者责任和增加相对人责任的条款，负有履行提示和说明的义务[29]。实践中，个人信息处理者一般会在隐私政策中以加粗加黑字体的方式，显著标示重要条款，提示用户重视相关内容。不过，提示发挥作用的前提是有效阅读文本。而前文关于APP 的调查发现，所有APP 都对用户阅读相关协议持“宽容态度”，用户可以轻松忽略对隐私条款的阅读。用户注册后、使用过程中，APP 会提示隐私条款的更新，但是依旧不要求用户强制阅读具体的内容。

因此，在司法裁判过程中，应当重视审查对用户而言是否有效。即，在判断个人信息处理者是否履行提示义务的问题时，不仅要审查处理者是否在形式上向信息主体提供了阅读相关协议以及重点条款的路径，而且更应该注重审查该路径的设置在实践中能否真正发挥出提示作用。若处理者采用的提示形式，不足以引导个人信息主体充分阅读相关协议以及重点条款，甚至引导个人信息主体忽略阅读的，则应当认定该提示形式并未完成应尽的合理提示义务，应当认定处理者承担对应条款不当然有效的法律后果[30]。

（2）处理者是否以具体方式列举敏感信息的收集范围及使用情况。为促进个人信息的自由流通，降低个人信息处理者的交易成本，可以对处理者拟定的权利义务分配秉持一定的宽容态度，但是在具体的条文适用时，应参照《个人信息保护法》确立的以敏感信息为代表的分级管理制度进行合理性审查。对于一般个人信息，只要求个人信息处理者说明使用的具体目的即可视为合理使用；对于敏感信息，则要求个人信息处理者的使用应当符合普通人的常识，超出一般理解的使用应当说明具体理由，涉及法律法规有关规定的，应当明确适用法律法规的具体名称及条文。实践中，APP 通过修订隐私协议，强调了敏感信息的使用，但对于敏感信息使用的必要性进行解释时，用语表述抽象，不利于用户准确了解敏感信息的具体使用情况。个别APP 在个性化广告推荐的条款中，以概括陈述的方式说明个人信息处理的相关事项，几乎等同于给予处理者不受限制的处理权限，违背了个人信息保护的必要原则。

因此，在司法裁判过程中，应当重视审查协议文本是否可以被用户清晰准确地理解，进而认定用户是否在正确理解的基础之上，作出真实的同意表示。如果处理者提供的格式协议未能就个人信息的使用情况提供易于用户理解的解释，或未对使用的具体范围和方式予以清晰的说明，则应当认定相关约定条款不对用户产生效力，处理者需重新就个人信息的使用情况进行解释。若处理者无法提供清晰合理的解释，应当认定其实施了侵犯个人信息权益的侵权行为。

（3）处理者是否为个人信息主体行使权利提供便利操作方式[31]。权利得到保障的前提是纳入协议，便捷的权利行使是权利保障实质化的关键。《民法典》及《个人信息保护法》确立了个人信息主体有权查阅、复制、修改以及删除个人信息的权利后，众多APP 的隐私协议中均对上述权利予以认可，并制定了相应条款。但在实践中，APP 提供者并未就用户行使查阅、复制、修改以及删除个人信息等权利提供便利的条件。用户实现上述权利的路径或被隐藏在APP 中难以引起用户注意，或被设计为一套复杂繁琐的流程，或根本没有设计。

因此，在司法裁判过程中，应当重视审查用户能否获得处理者的实质支持，有效行使《民法典》及《个人信息保护法》赋予的查阅、复制、修改以及删除个人信息等权利。若处理者未能证明为个人信息主体行使查阅、复制、修改以及删除个人信息等权利提供便利条件的，或实施了阻碍和拖延个人信息主体行使相关权利的，应当认定处理者违约，要求处理者履行相关义务，并承担违约责任。

2.平衡个人主体与处理者之间不平等地位的举证责任分配

民事裁判的基本原则是“谁主张，谁举证”。但是，基于诉讼两造现实力量的不平等，对于特定案件的举证责任可进行部分修正，在审理过程中裁判者可以动态调整举证责任的分配[32]。就个人信息保护而言，举证责任分配应当坚持以下规则：

（1）个人信息处理者负有证明合理使用个人信息并充分履行保证信息安全义务的举证责任。承担举证责任的前提是具备举证责任能力，若将举证责任机械地分配给无举证责任能力的一方，无疑直接宣告无举证能力者败诉[33]。个人信息主体授权处理者收集个人信息并进行处理后，无论个人信息储存于主体处还是处理者处，除极个别特殊情况外，处理的全过程（记录）均由处理者掌握，主体了解个人信息时，必须依靠处理者提供必要的帮助。当个人信息主体与处理者发生纠纷时，若处理者拒绝提供相关信息，主体则陷入无证可举的困境，权益保障将无从谈起[34]。

因此，在司法裁判过程中，法院应当基于个人信息处理者掌握个人信息处理全过程的事实，分配处理者承担个人信息使用情况的举证责任，以利于案件事实的查明。具体而言，分配给处理者的举证责任主要包含以下两个方面：其一，个人信息使用的正当性，处理者应当在案件审理过程中就其处理个人信息的情况予以完整说明，清晰、明确具体的说明个人信息的搜集、处理、使用以及对应目的等内容；其二，个人信息使用的安全性，处理者应当在案件审理过程中就其采取的关于个人信息保护的措施予以说明，重点说明相关措施是否符合既有的国家或行业同行标准，以及措施具体的落实情况。若处理者未能完成上述证明责任，应当认定承担相应的违约责任或侵权责任。

（2）对于生效裁判文书认可的举证，无相反证据的，可以直接采信。承担举证责任，必然意味着付出一定的代价。根据法律经济学的基本原理，法律应当将责任分配给付出成本最小的一方[35]。在个人信息保护纠纷案件中，对同样的事实进行举证，对于个人信息处理者而言，不外乎陈述已然发生的事实，但对于个人信息主体而言，则要承担学习必要的专业知识、向他人沟通索取信息等诉讼成本，更可能因为他人的不配合，导致诉讼成本的无限增加。因此，在个案中应当将举证责任分配给个人信息处理者。但是，由于个人信息处理者所处理的个人信息涉及的主体极其庞大，在个案中微不足道的成本，必然会随着案件量的增加逐渐凸显，若不加合理限制，将成为处理者的沉重负担，影响处理者对个人信息合理使用的积极性与创造性，导致个人信息的价值得不到充分发挥。虽然没有任何两个案件是完全相似的，但是大量类似的个人信息处理行为，就本质而言都是凭借同样的算法（运行规则）处理转化为数据形式的个人信息，单个的个人信息受到的保护和可能遭受的侵权风险，与其他类似的个人信息没有本质区别。

因此，在司法裁判过程中，法院应当审查审理的案件是否与已审结的案件存在关联。若经审查，审理的案件所涉事实，已在审结的案件中得到确认，并作出生效裁判的，可以直接采信相关生效裁判中认定的事实，不再要求举证责任者再次举证，减少举证责任人重复举证的成本支出。该种处理模式有助于鼓励处理者重视首案的举证责任，方便其通过一次高质量的有效举证，证明其自身已合法合理的履行相关义务，进而消除众多潜在的纠纷。当然，个人信息主体若能提供证据对抗生效裁判认定的事实，则应当重新审理认定相关争议事实。

3.有效规范个人信息侵权责任承担及履行

侵权行为发生后，要求侵权一方承担侵权责任，不仅可以弥补受害方的合理损失，而且也是对侵权方错误行为的处罚，可以发挥警示他人规范自身行为的作用，促进社会秩序整体有序[36]。就个人信息保护纠纷中的责任承担而言，应当坚持以下三项规则：

（1）将信息主体维护自身权益所负担的必要成本纳入赔偿范围[37]。侵权纠纷中，损失通常包含侵权行为导致的实际损失以及维护权益的必要合理支出。常见的侵权纠纷中，主要支持的损失为前者，但在知识产权纠纷中则明确将合理的维权成本纳入到损失当中，其主要原因之一是知识产权的救济行为通常需要支付高额维权成本。在个人信息保护纠纷中，通常实际产生的损失不仅数额低，而且不易确定，若仅以实际损失作为责任的界限，将导致个人信息主体陷入因维权而进一步扩大损失的困境。

因此，在司法裁判过程中，法院应当参照知识产权领域的侵权责任裁判规则，合理划定侵权责任的范围。具体而言，将个人信息主体维护合法权益所产生的误工费、交通费、律师费、调查费等合理支出，纳入到个人信息保护纠纷中侵权方应当承担的赔偿责任之内，有效降低主体的维权成本，进而鼓励个人信息权益的受害方积极运用法治思维，选择司法途径维护合法权益。

（2）将合理的精神损失纳入赔偿范围。个人信息的财产属性主要体现在，个人信息处理者利用收集到的个人信息进行数据分析，并提供给特定需求者获取收益。该收益一般建立在庞大的数据库中，单独信息主体的财产价值并不显著，或难以直接转换为具体金额，或转换出的金额数值过低。若局限于实际损失认定个人信息主体的损失，一方面造成受害人无法得到有效的赔偿，另一方面则造成个人信息处理者侵权的成本极低，对其无法产生足够的警示作用。所以，作为与隐私权并列的个人信息，应当承认其人格权的属性，进而认定侵犯个人信息权益，会造成一定程度的精神损害。

因此，在司法裁判过程中，可以依据个人信息的侵权类型，设定与各类型侵权行为相对应的精神损害赔偿的最低数额。由于实践中精神损害因人因事而异且举证困难，所以常见的侵权案件通常设定一些易于操作的标准，譬如伤残等级，量化精神损害的赔偿标准。个人信息保护案件可以采取类似的裁判思路，基于侵犯个人信息权益必然造成某种程度的精神损害的事实，以侵权类型设定最低精神损害赔偿标准，避免认定侵权行为存在后，被侵权人却陷入无法获得实际赔偿的困境。

（3）个人信息处理者承担赔偿责任之外的侵权责任时，负有证明已履行相关责任的说明义务。除去承担赔偿责任外，个人信息主体有权要求侵权者删除处理者已掌握的个人信息，以消除后续侵权的风险。但是，由于个人信息通常以电子数据的方式储存在特定的介质中，并不能像有形物一般独占或销毁。为确保相关责任得到切实履行，不能仅依赖个人信息处理者的自觉，更要对履行的过程和效果进行监督。

因此，在司法裁判过程中，法院在判决个人信息处理者履行特定行为时，应当充分考虑该行为是否可以被履行和证明。具体而言，首先要考量该履行行为是否可以在实践中要求处理者予以实现，否则造成的“空判”现象将严重影响司法裁判的权威。其次，应当要求个人信息处理者承担证明已履行特定行为的责任，让履行落到实处。最后，应当要求个人信息处理者在履行过程中所采取的方式进行必要的说明，证明履行的方式能够满足个人信息主体基于判决的合理期待[38]。

长久以来，对于个人信息的保护主要依赖于政府主管部门的行政管理，途径过于单一。随着《民法典》《个人信息保护法》等关涉个人信息的法律法规相继实施，越来越多的个人信息遭受侵犯的受害人开始寻求通过司法途径维护自身的合法权益。在大数据与数字经济快速发展的背景下，如何处理好个人信息保护与促进科技发展的紧张关系，是司法机关必须面对的全新课题。司法机关秉持平衡、创新、分配的司法理念，通过个案的审判逐渐明晰个人信息侵权行为的界定、举证责任、赔偿范围等，不仅有助于切实维护用户的个人信息权益，规范处理者的处理行为，更有助于为数字经济的发展提供良好的法治环境。

注释：

①原《中华人民共和国民法总则》第111 条：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

②《中华人民共和国民法典》第四编第六章中的第1034条至第1039 条，分别对个人信息的定义、处理原则、免责条款、主体权利、处理者义务、公职行为的保密义务作出了规定。

③《民法典》与《个人信息保护法》颁布不久，针对如何在实践中落实个人信息保护的问题，以引起众多学者的关注，并出版众多相关著作，其中比较有代表的有中国法制出版社出版的龙卫球主编的《中华人民共和国个人信息保护法释义》和程啸所著的《个人信息保护法理解与适用》，法律出版社出版的丁晓东所著《个人信息保护：原理与实践》。

④此处个人信息的定义是：以个人身份证号码、家庭居住地址、通讯方式、行踪、浏览记录、个人基本情况、亲友关系、网络痕迹等为代表的，通常以电子数据形式储存的一种指向您个人身份的信息。

⑤本文相关检验均围绕上述10 款APP 开展，后文不再进行陈述。