数字隐私保护的权利体系构造

郭如愿

摘要：在互联网情境中，个人不仅彻底失去“空间”与“活动”的天然屏障，还以直观的信息形式裸露于数字情境。虚拟数字情境打破隐私、个人信息及信息三者之间相对泾渭分明的分布格局，使个人信息、信息及数据皆有成为数字隐私的可能性，但传统隐私权难以有效保护数字隐私。要实现数字隐私保护，除依靠权利人积极主张权利外，还需要相对人的充分“合作”与“自愿”履行，只有确保权利人与相对人的“权利配置”能力相匹配，才能保证数字隐私保护的高效“权利配置”。基于此，有必要将数字隐私可能遭受侵害的动态情境，类型化为“收集一分析一保存”数字隐私的保护情境，并将信息化及数据化隐私决定的“知情权”，信息化隐私决定的“同意权”与“删除权”，以及数据化隐私决定的“不被洞察权”与“退出权”，按照权利配置标准嵌入数字隐私动态保护情境，以此构造出高效的数字隐私保护权利体系。

关键词：数字隐私；信息；数据；隐私权；权利体系

个人信息与隐私天然紧密关联。隐私有能力使“我”由“面目清晰”回到“面目模糊”状态，如此可使“我”以“人的尊严”方式被对待，否则，“我”将受到“我”而非“人”之对待。一个人之所以能够从“人”变成“我”，正是因为此人的信息被他人所掌握，且知道得越多，形象就越清晰。这在数字时代表现得更加明显。互联网为隐私向信息及数据延拓提供了完备的情境基础与不竭的内生动力。《中华人民共和国数据安全法》第3条表明数据与信息在表征方式上存在差异。如果将信息等同于直观数字情境，那么，数据则等同于虚拟数字情境，数据不仅更易成为隐私侵害的工具，还难以被传统隐私权规范。对此，只有在明确、区分数据与信息规范意涵的基础上，将传统隐私重塑为数字隐私，同时将传统隐私权保护重塑为数字隐私的权利保护，才能使数字隐私获得有效保护。

一、数字隐私的信息及数据重塑

在互联网情境中，传统隐私表征为可为用户直观感知的信息化隐私，以及不可为用户直观感知却可被互联网企业借助技术手段直观感知的数据化隐私。

（一）数字隐私的直观信息化

如今，人们在网络空间进行了大量类真实空间的行为，同时，亦在网络空间遗留下大量关涉个人智力、情感和关系的个人信息。这些个人信息在网络空间逐渐形成了数量庞大的信息流，收集、处理和传播的信息量呈指数级增长。与此同时，通过信息技术实现的收集、处理、利用、分享个人信息形式，已然把部分物理空间转变为信息空间，且对此共同体与彼共同体、公共领域和私人领域等进行了深刻的重塑。可以说，信息技术的发展已经使人们的社会活动和生活空间具有了以数字化、虚拟化、全球化及个性化为基本特征的网络化逻辑，社会活动和生活空间正在被争夺且融合为网络空间。

需要注意的是，网络空间的隐喻是表达一种由具体的人类认知所介导的经验空间，在本质上并不是全新的、独特的空间，而是相对的、可变的，是通过实践、概念及表现形式相互作用而构成的，其实质是现有空间的组合、适应和扩展，并最终以信息的方式予以表征。譬如，在网络空间，信息表达着空间，人们在网络空间中的距离等各种体验感也是通过获取信息来感知的。测试距离不再用路程或时间来表达，而是用点击次数或检索次数，同时，“网站”“导航”“转到”“返回”“下载”“上传”等空间隐喻通常被用来描述用户体验。尽管网络空间技术产生的并置与现实空间技术产生的并置是不同的，但它们仍然是并置的，与此同时，信息与空间之间的同构性得以体现。由此，网络空间模糊化了私人领域与公共领域之间的界分，空间的概念因虚拟技术的普遍适用而逐渐向信息化转变。

如果说个人隐私在传统社会实践模式下，还能够经由空间、活动等要素予以间接保护，空间、活动等要素为个人隐私的保护争取到了一定的缓冲地带。那么，在互联网情境中，个人隐私将彻底失去了空间、活动等天然屏障，且以（个人）信息直接裸露于虚拟空间，使个人很难通过居所等传统的物理空间设施（甚至表情）来保护自己的隐私利益，同时，可作为隐私保护的时间与空间失去了原本意义。不仅如此，由于信息量大、信息流速快以及信息存续久，在线公开的个人信息可能会以隐私形式重现于社交互动中，鉴于物理空间和网络空间的重叠，这种意外甚至可以实时发生。

（二）数字隐私的虚拟数据化

在网络等信息技术作用下，信息还会转化为能被互联网企业识别的虚拟数据，信息与数据在实质意涵上并不存在差别。尽管如此，互联网企业具有强大的技术应用能力与强烈的数据价值挖掘需求，对数据的“识别”能力要远优于用户。此时，如果按照非互联网情境中的个人信息“识别”标准，用户数据很难被认为是个人信息，这不仅会使用户信息得不到完满保护，也会使用户隐私遭受互联网企业的侵害。因此，在虚拟数字情境中，个人信息的“识别”标准应该以互联网企业的识别能力作为参照标准，个人数据就当然可被归入用户的个人信息范畴。不仅如此，在虚拟数字情境中，数据与数据之间的关联度更高、关联结果更加多样，这会使用户隐私的边界随之扩张。相较于用户隐私、用户信息及信息三者之间相对泾渭分明的分布格局，在虚拟数字情境中，用户隐私、用户数据及数据之间不再是相互包含而是相互交叉的关系，且信息与数据皆有成为用户隐私的可能性。

在虚拟数字情境中，有成为隐私可能性的数据也有被隐私权保护的必要性。尽管数据不能直接指涉用户，更不能直接被当作用户隐私，但这并不意味着数据就没有成为用户隐私的可能性，毕竟，在实践中，一条无伤大雅的用户信息与另外一条并无恶意的信息相结合就有可能转化为极为敏感的用户隐私。譬如，在“慈溪别墅案”中存在着个人买来却尚未居住的样板房别墅是否可以构成个人隐私的争议。对此，本文持肯定态度。开发商对不同楼盘的装修存在差异，这如同摆放在超市里琳琅满目的商品一般，因未与特定主体发生关联而相当于普通信息。从林女士合法合规购入楼盘样板房别墅的那一刻，该楼盘样板房别墅的装修风格已然与林女士的主观意志、个性需求发生了紧密关联，楼盘样板房别墅因与林女士发生关联，就不再是普通信息，而是可识别林女士的个人信息。通过对该楼盘样板房别墅装修风格的分析、透视，甚至能够由此获知林女士的私密信息。由此，不论是个人信息还是普通信息，在一定情境中都有可能成为个人隐私，那么，将隐私范围擴展至与个人事务相关的信息有一定必要性，这同样适用于与用户隐私相关的数据。

在虚拟数字情境中，数据并不全部都从个人、传感器或者中间商处获取，网站公共数据源亦是数据的获取来源，这些海量数据无法都成为用户隐私，只有与用户相关联的数据才有可能成为用户隐私。与用户信息可能发生关联的数据，也就可能会与用户发生关联，在互联网情境中，只有那些与用户信息（数据）发生关联继而生成用户隐私的数据才有可能成为隐私。实际上，用户对隐私的关注度在不同的情境中会有很大差异，而互联网企业在特定结构中塑造的虚拟现实情境正是通过大量的元数据实现的，且互联网企业会基于不同目的而处理用户数据，用户数据与不同处理情境的结合可能会产生用户隐私的实际效果，而不同处理情境则是由大量的元数据构造产生的。因此，可能成为用户隐私的数据，也就是用户数据可能面临的处理情境。

二、数字隐私保护的权利模式及配置标准

传统隐私权难以有效保护数字隐私，有效的数字隐私保护模式实则是能够实现数字隐私保护的多元权利有效配置的结果。

（一）传统隐私权难以保护数字隐私

不同的权利对象会使个人意志以不同的方式得以实现，个人意志的实现总是需要特定或者不特定相对人予以配合，权利对象决定权利客体继而决定权利内容。毕竟，人们需要借助于具体的对象来表达内在自我，从而达到内在成长和自我实现。及至隐私权，权利人的保护诉求会在隐私上得到体现，隐私权保护诉求会因隐私的不同表征而反映至隐私权客体上，继而形成与之相对应的隐私权内容。隐私在确保权利人行为自由的同时，也为不特定主体划定了自由禁区。不过，隐私不同于其他权利对象，具有较强的情境特性。在前互联网时代，隐私不具有天然公示性，非基于个人主动披露，外人往往难以获知。即便个人主动披露，往往也是基于特定情境，相对人会因规范约束而不敢轻易侵害隐私权。他人对隐私只要是消极不作为，即可实现隐私权保护。此时的隐私形式与所处情境都较为稳定，这也决定隐私权较为单一、明确。

不同于此，用户与互联网企业互动会产生大量关涉用户的信息、数据。不论是在情境切换上，还是在彼此組合上，信息与数据具有成为用户隐私的较大可能性，用户隐私、信息及数据三者之间的边界趋于模糊。数字隐私的独特表现形式，决定了隐私权保护的复杂性及特殊性。在特定互联网情境中，对于不同的信息或数据，用户会表现出不同的隐私权保护需求。在德国，隐私权更多被置于“一般人格权”范畴予以保护，之所以如此安排，可能更多是因为一般人格权难以确切限定，不受其他权利的固定范围限制要求。为更好地保护数字隐私，最恰当的做法莫过于，将较为典型的保护情境（最易于遭受侵害）类型化，基于用户的合理隐私保护诉求，以及数字隐私的独特表现形式，以实现数字隐私保护为目的，将各项权利分别予以界定。事实上，权利实现原本就参差不齐，是循序渐进的，而最终决定权利实现差序格局的，是社会经济发展不平衡所带来的财富占有多寡差异。若要实现数字隐私保护，除依靠用户积极主张权利外，还要依赖互联网企业的充分合作与自愿履行。

可能正是因为深刻认识到，隐私权的保护愈来愈差，斯图尔特（Stewart）大法官声称宪法中没有全面的“隐私权”。在德国，隐私权更多被置于“一般人格权”范畴可以保护。总之，若要使数字隐私能够获得切实保护，就应该在特定互联网情境类型中，在准确把握数字隐私的基础之上，分别以用户与互联网企业为切入点，重新塑造数字隐私保护模式。

（二）数字隐私保护的权利模式择取

法律的概念并非毫无目的诞生，也并非毫无目的被凑在一起。概念设计者在设计概念时，虽然并不真正完全掌握该概念的一起重要特征，却也是基于某种目的性考虑。在接受或探讨法律之时，人民对之同样莫不“有所期待”，权利在一定程度上亦是如此。作为以保护隐私利益为规范目的的隐私权，在隐私受情境影响且呈现出多元表现形式的情况下，隐私权注定会复杂多样且具有较强的情境特性。数字隐私向信息及数据的外在延拓，决定了“个人信息保护”是“数字隐私保护”的手段，“数字隐私保护”则是“个人信息保护”的目的。

首先，隐私权与个人信息保护在法理上的目的是一致的。虽然《中华人民共和国民法典》（以下简称《民法典》）中，隐私权保护要优先于个人信息保护，然而，“优先保护”并不意味着“择一保护”或“择一不保护”。另从《民法典》第990条第2款可知，个人信息与隐私权都是为了保护人之尊严，这一点两者并无区别。

其次，关涉个人信息保护的立法实践表明隐私权与个人信息保护具有内在的统一可能性。当数字隐私向信息及数据延拓时，用户不得不通过保护信息及数据实现隐私保护，不论是《民法典》还是《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），都深刻体现为民事主体控制个人信息继而保护人格尊严，这与隐私权保护目的并不存在实质区别。欧盟的《通用数据保护条例》明显是以“个人数据保护权”替代了隐私权。《跨境数据流动与隐私保护指南》保护个人信息的目的正是保障个人自由及隐私，而美国的“隐私权”或“个人信息保护”，与欧洲的“数据保护”实则指代相同内涵。

再次，通过保护个人信息实现良好隐私权保护实效表明，隐私权与个人信息保护具有内在的统一现实性。互联网企业对用户实施的数据挖掘、数据处理，使用户隐私可能遭受刺探、侵扰、泄露或公开，这无疑会对数字隐私构成侵害。可以说，个人信息在理论上与“人格”或“隐私”范畴紧密关联，个人信息与数字隐私的侵害形式相似，通过保护个人信息就可以起到保护“数据人格”的效果，继而起到保护数字隐私的效果。如果说隐私权与人格尊严具有直接的、内在的质的联结，那么，个人信息保护则是与人格尊严具有间接的、外在的量的联结，是在互联网情境中保护人的尊严的具体方式。

有鉴于此，对于数字隐私的保护，应由传统隐私权的消极保护模式，向个人信息的积极权利保护模式转变。数字隐私的权利保护模式，应是在特定互联网情境中，为数字隐私保护之“目的”归纳出具体的一系列权利配置（权利束），权利配置（权利束）则是将能够实现这一利益的权利相捆绑。

（三）数字隐私保护的权利配置标准

数字隐私的“权利配置”并非最终目的，而是为了更好地保护数字隐私，实现关涉数字隐私的多元利益之间的平衡，继而实现社会秩序之井然有序。在不同情境中的信息或数据，对用户意味着不同的隐私侵害风险，对其他主体则意味着不同的价值资源。产权界定旨在有效配置资源与减少资源浪费。倘若交易费用不为零，只有清楚界定权利方可实现市场的良好运作，而不同产权界定将导致不同资源配置结果，譬如，在养牛与种麦的例子中，牛吃麦造成了损害，但牛肉的产量也会增加，如果界定牛主赔偿，后者会较富有，反之牛主会较富有。同样，如果将那些处于不同互联网情境中，且可能引发不同隐私侵害风险的信息或者数据作为市场交易对象，其交易成本不可能为零。为了获取此类信息或数据的市场资源，在特定情境中，对此类信息或数据进行合理的“权利配置”就显得尤为重要。然而，考虑到信息或数据不同于有体物，具有天然的流动性特征，若以产权界定的传统思维对待之，就极易导致“租值消散”。不仅如此，考虑到特定情境中的信息或数据关乎人格尊严，具有天然的伦理价值优先性。对于数字隐私的“权利配置”，需要在效率、公平、正义等价值理念下，综合平衡多方主体的利益。

数字隐私的“权利配置”是否科学，取决于特定情境中的“权利配置”与供求者或需求者的“权利配置”能力是否匹配，匹配度愈高，则数字隐私的保护实效就越好，就愈能实现“权利配置与市场供求状态相协调”和“权利配置与权利主体的能力相协调”等目的。反过来，在特定情境中，供给者与需求者之间的高水平均衡状态之达致，又对数字隐私的“权利配置”提出了具体要求。假设供求均衡中存在着两方主体，A是供给者，B是需求者，供给小于需求，B的议价能力高于A。若要寻求供给与需求之间的高水平均衡状态，就需要：其一，提高B的制度成本，降低A的制度成本。其二，增加A的权利配置比例，减少B的权利配置比例。其三，加大B的信息披露程度，实现意思高度自治。提高国家对B的约束强度，防止A的权益遭受侵蚀。

数字隐私的“权利配置”是法律对相关主体关系的调整，而均衡配置的权利结构不仅会降低制度成本，还会提高个人、组织和国家的效率。对此，波斯納主张法律制度应该注重对初始权利配置的更改。就数字隐私的权利保护而言，供需关系总是在特定情境中围绕着具体数字隐私进行，体现为用户与互联网企业的数字隐私保护关系，由此决定了供需双方的主体特征与主观诉求，继而决定了特定情境中数字隐私的“权利配置”。若要实现数字隐私“权利配置”的科学、高效，首先，需要明晰数字隐私保护的特定情境；其次，在特定情境中，基于数字隐私具体剖析、审视双方当事人主观诉求的合理性；再次，基于未来整体效率之考量，寻求与之相匹配的权利／义务。

三、数字隐私保护的权利配置

在互联网情境中，信息化隐私与数据化隐私最终决定着数字隐私权的具体权利种类。其中，知情权由信息化及数据化隐私所共同决定。知情权是指用户有权知道，有关其信息、数据将被处理的一切相关信息，知情权应该是不同情境中的实质知情权，互联网企业履行告知义务不仅要求完整全面，还要有所侧重。也即是，用户的知情权之实效并不与互联网企业极其繁重的充分告知义务成正比。告知义务取决于不同情境中数字隐私的侵害风险，而用户的知情权对象应该限于此情境中的用户信息（数据）。

（一）由信息化隐私决定的同意权与删除权

在直观情境中，同意权发挥着数字隐私保护的主导作用，而删除权实则发挥着数字隐私保护的辅助作用。

1.修正同意权以发挥主导保护作用

《欧盟数据保护指令》将“同意”作为合法处理个人信息的条件之一，此外，《欧盟基本权利宪章》明确承认“同意”作为处理个人信息的法律基础。美国多项信息单行法及欧盟《通用数据保护条例》都是强化用户同意权的实证规范。在我国，《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条、《中华人民共和国消费者权益保护法》第29条第1款、《电信和互联网用户个人信息保护规定》第9条、《中华人民共和国网络安全法》第41条第1款、《民法典》第1035条第1项、《个人信息保护法》第13条第1项皆规定了处理者只有取得个人同意，方可处理个人信息。由此，立法者赋予个人对其信息的全面且绝对控制。

在信息社会里，个人对其信息的决定权，不仅塑造了个人在社会里的身份认同，还决定了个人与他人之间的社会关系。同意权是用户自主性的体现，即便是缺乏深度理解与专业知识的用户同意，因用户的自主性得以维护，这对于用户而言仍是一种有价值的同意。用户的同意权正是用户在知情权的基础上，以用户信息为对象的权利，用户可依此对互联网企业作出清楚的同意表示。用户的同意权是隐私权立法兼顾隐私权保护与信息自由处分的基本制度设置，其初衷为了让权利人知悉隐私被侵害风险，并自主决定接受与否。然而，绝对意义上的同意权会阻碍产业发展，使用户行使权利沦为形式，有必要修正同意权为相对意义上的实质权利。

对此，应系统联动“权利一风险一合规”以保障同意权实效。法律提供基准性界权的积极价值在于，使用户和互联网企业能够较易找到彼此交易的起点。以信息或数据表征的数字隐私，承受的侵害风险集中于收集、分析、存储等情境，通过强化以信息为对象的同意权在收集情境中的适用，能够均衡多元情境中权利配置的协调与实效，不仅可依托互联网企业合规强化用户在信息收集情境中的权利行使效率，还可有效降低产业合规成本。

2.强化删除权以发挥辅助保护作用

在传统社会，人与人互动交流产生的信息留存，会因人的正常记忆衰退而减少，遗忘是人的常态，记忆则更多是特权阶级的优待。如果每一件稍纵即逝的小事皆可被长久、准确地记录，这会让人们生活在被监控的压抑氛围中，人们可能再也没有自发行为。如今，这俨然成为现实。大多数用户当前对信息被记录的事实似乎早已习惯，但这并不表明用户信息理应被记录。即便用户行使了同意权，但随着用户对社会的认知愈发深刻，这可能会影响到用户对隐私的理解，可能会将彼时不认作隐私的信息当作隐私。此时，“记忆”可能会使数字隐私招致侵害。在舍恩伯格看来，合理的遗忘对社会是一种重要的美德。用户可通过遗忘机制有效阻隔互联网企业接近自己，而合理的遗忘机制正是脱胎于隐私权，是用户应对大数据的有效武器，能够帮助用户有效解决数字时代的隐私侵害问题，是数字隐私保护在大数据时代的必然发展趋势。

“谷歌诉冈萨雷斯被遗忘权案”使被遗忘权成为统一的法律概念。从被遗忘权的行使来看，被遗忘权的实质是用户通过删除其信息，以达到弱化他人记忆的目的，删除权的核心价值是用户隐私权保护，被遗忘权的规范脉络对此有所体现。从《一般数据保护规则》草案第17条“rightto be forgotten and to erasure”修改为“right to erasure”，到《通用数据保护条例》第17条“right to erasure（right to be forgotten）”，“right to erasure”始终为立法者所青睐。美国《加州消费者隐私法案》第105条规定，消费者有权要求企业删除从消费者处收集到的个人信息。由此，被遗忘权的目的在于“遗忘”，而实现“遗忘”的手段则是“删除”，那么，用户删除权则是帮助用户通过“遗忘”最终实现用户隐私权保护。在我国，根据《个人信息保护法》第47条与《民法典》第1037条的规定，删除权是一项人格权益，通过删除的方式予以实现。

合理的删除权，应该是由用户提起，经由社会界定，其权利边界是确保言论自由与公共利益。实有必要考察用户提出删除权所涉案件中，多方主体的利益诉求及其冲突，以确保不同主体之间在权利牺牲与权利获得之间的平衡。如果删除权与他人合理的知情权或者言论自由发生冲突，删除权应该受到一定限制。另外，为维护公共安全等公共利益，删除权也应予适度限制。如在韩国“素媛案”中的强奸犯赵××，出狱后因“仍然暴力”使其具有较大的社会危害可能性，公众有权利知悉赵××的相关信息。除此之外，考虑到不良舆情、网络暴力等危害，以及互联网企业的低删除成本，应强化用户的删除权能，将删除义务主体由互联网企业延拓至可能的关联主体，根据权利行使情况、义务履行效果、实际危害程度等要素设置责任类别，以尽力减轻数字隐私侵害后果。

（二）由数据化隐私决定的不被洞察权与退出权

在虚拟情境中，用户难以直观感受数字隐私，更难以主张数字隐私保护，不被洞察权与退出权不仅填补数字隐私的保护空白，还能有效强化数字隐私的保护力度。

1.构造不被洞察权，以填补数字隐私保护空白

在前互联网时代，人们在日常生活中经常搜索他人信息并从中获取价值，如乡村媒婆开展业务时往往要了解男女以确保双方人品可靠。主体的认知能力普遍有限，对象有一定的自主性，能够凭塑造出的外在形象，有效控制他人对己的“洞察”，隐私权能够在主体与对象之间形成平衡。不过，主体投入大量时间、金钱成本，过度洞察并穿透他人外在形象，获知对象不愿为他人所知的信息的行为是不合理的：其一是无正当理由且未尊重被洞察人自主呈现于外的形象：其二是不合理突破被洞察人设置的自我防线；其三是凭此获知了被洞察人不愿为他人所知的信息（隐私）。

如今，用户的外在“形象”等同于同意互联网企业收集的“信息”。然而，互联网企业通过智能整合、分析用户登录的数据、Cookies数据及IP数据等，不仅能够以极高精确率将这些（用户）数据与用户关联起来，还能够在这些（用户）数据基础之上获知新的用户信息，并依此实施利于自身的行为。用户已难以有效阻却互联网企业对己洞察，每一个用户都有可能在互联网企业面前“赤裸裸”暴露。互联网企业洞察用户，一是以用户数据为基础，以相关信息技术为支撑。二是用户难以真正发现互联网企业对其实施的洞察行为。三是互联网企业洞察用户以准确获知用户隐私并进一步使自身获利。由此，不被洞察权的权利主体是用户，义务主体是互联网企业，不被洞察权更多适用于虚拟的互联网情境，以用户数据为权利对象，其目的在于保护用户在虚拟互联网情境中的隐私权，同时阻却用户在遭受隐私权侵害后可能引发的“衍生性危害后果”。

作为互联网企业洞察用户的基础，用户数据来源于用户信息，其中，用户信息是互联网企业经用户同意收集到的信息，用户不仅对此有着理性认知，经由“同意”已然使这些信息表达着用户的主观意志。进一步言之，用户的主观意志实则通过这些“信息”明确表达，并依此将自我“形象”呈现给互联网企业。此时，用户对这些信息可能产生的效果（正常理性之人的合理认知）并没有隐私期待，这些信息事实上已经为互联网企业对用户的洞察程度划定了明确的合理边界。对此，美国《加州消费者隐私法案》第125条有所体现。互联网企业应该尊重用户经由“同意”以用户信息设定的外在“形象”。同時，互联网企业对用户数据的“分析”应该参照用户的认知能力，否则，将会穿透用户在互联网企业面前设定的自我形象，触及用户具有合理隐私期待的数据范畴。对此，可通过在分析情境中监管算法、弱化算力予以保障权利的有效运行。

2.深化退出权以加强数字隐私保护力度

《个人信息保护法》对可携带权的制度设计存在着忽略情境之弊，且难以契合虚拟数字情境。相较于此，退出权的权利对象实质是与用户数据发生关联，且有可能组合出用户隐私的数据，在形式上则是在分析情境中可能与用户数据发生关联的“情境”。不论是虚拟数据还是数据呈现出的直观情境并不必然属于用户隐私，只不过，在与用户数据结合之后才有成为用户隐私的可能性，此时，该数据（情境）在理论上才具备成为退出权对象的可能性。虽然数据是抽象的存在，不过，与数据相对应的情境则是直观的，用户不仅能够感知，还能够综合已同意互联网企业收集的用户信息（数据）进行理性判断。可以说，退出权在一定程度上是可携带权在虚拟数字空间的一次制度深化。

《欧盟数据保护指令》第14条与《通用数据保护条例》第22条皆赋予信息主体以退出权。退出权须以互联网企业妥洽履行告知义务为基础，用户须向互联网企业肯定地作出退出的选择。若用户无明确拒绝行为，可被视为对互联网企业处理相关数据行为的默认。用户对信息收集与数据分析，有时较难“真正”把控，此时，以具体情境作为判断对象，采用“选择退出”以保护用户隐私权可能更为有效，且互联网企业的制度成本远低于收益。退出权能够有效修复用户基于同意权可能承担的隐私权侵害风险，避免同意权异化为互联网企业的免责机制。退出权还能够较好兼顾用户隐私权保护与互联网企业发展。诚如Joy Su所言，“虽然退出权并非普遍可取，但如果项目的规模足够大，退出权更能将交易成本减至最低”。

四、数字隐私保护的权利体系

数字隐私保护的权利体系构造，是通过将数字隐私保护的权利契合于数字隐私动态保护情境予以实现。

（一）数字隐私动态保护情境的环节分类

不可否认，《个人信息保护法》将个人信息处理概括为收集、加工、使用、存储、传输、提供等，但从信息、数据、智能算法的彼此关联度以及由此产生的数字隐私侵害风险来看，加工、使用、传输皆可视为分析，仅在程度上存在区别。分享是互联网企业之间的信息共享，使数字隐私面临相似于收集情境的风险。因此，本文将典型数字隐私动态保护情境类型化为收集、分析及保存。首先，收集是数字隐私可能遭受侵害风险的开端，也是保护数字隐私的逻辑起点。存在着互联网企业收集用户信息即是数字隐私的可能性，或者用户信息虽非数字隐私，但在简单排序、组合用户信息后即可获取数字隐私。其次，分析是互联网企业发展的关键，也是数字隐私保护的重要环节。在算法等信息技术作用下，用户数据可彼此关联以生成数字隐私。用户数据因与普通数据（情境）发生关联也有生成数字隐私的可能性。最后，保存是互联网企业存储用户信息的环节。被保存的用户信息要么本身就是数字隐私，要么是在外力作用下彼此关联后转化成为数字隐私。

（二）数字隐私保护情境的权利体系构造

在对用户进行情境赋权的基础上，结合动态情境分类，有针对性地构建数字隐私的权利保护体系。

首先，數字隐私在收集环节的动态生成方式是“用户信息+用户信息”。在收集环节强化用户的同意权能，不仅不会加剧制度成本，还能兼顾产业发展、降低数字隐私侵害可能性。其次，数字隐私在分析环节的动态生成方式是“用户数据+用户数据”或“用户数据+数据／情境”。对此，考虑到双方信息之极度不对等，及互联网企业的合规成本远低于制度收益，除要求互联网企业有效履行告知义务外，还应强化其不得过度洞察用户的合规义务，提供有效的退出权行使渠道，以及配套与之对应的违规惩处机制。最后，数字隐私在保存环节的动态生成方式是“用户信息+用户信息”。数字隐私可能会因用户认知提升、用户信息泄露、匿名技术失败等而存在较大侵害风险。网络效应会加剧数字隐私侵害危害，使用户与互联网企业承担极端代价，应在合理限度内遵循利益平衡，尽量拓宽删除义务主体范围，按实际情境细化、严格责任。

基金项目：2023年度最高人民检察院检察理论研究课题“数字时代个人信息保护检察民事公益诉讼制度研究”（项目编号GJ2023D47）；2023年北京物资学院青年科研基金项目“数字物流经济持续发展中的数据权益保障机制研究”（项目编号2023XJQN27）。

（责任编辑：王万华）