近年来，随着数字经济的发展，世界各国愈加重视对数据内在价值的发掘并积极探索数据经济的新模式。数据流通交易，即通过市场对数据资源进行有效配置，是数据供需双方在数据资源和需求积累到一定阶段后产生的必然现象，其有利于推动数据资源的二次开发与利用，实现数据要素的社会价值。根据国家互联网信息办公室发布的《数字中国发展报告（2022）》，2021年我国数据要素市场规模达815亿元，其中数据交易环节规模约占120亿元，而个人信息交易又在其中占有重要组成部分。不能否认的是，个人信息作为数据具有极高的流通及应用价值，各行业、各领域对使用与共享个人信息的客观需求一直存在，且不断加强。如何在个人信息交易的过程中保障个人的数据权利、隐私以及人格尊严等权利不受侵犯，这是各国立法者都在思考的问题。

 

截至目前我国尚未出台专门针对个人信息交易的正式法律，针对个人信息交易的讨论仍需回归到《中华人民共和国个人信息保护法》（“《个人信息保护法》”）为主体的数据保护立法以及《中华人民共和国民法典》（“《民法典》”）等支撑性法律的框架下。然而自《个人信息保护法》实施以来，无论是其条文抑或法律执行层面，各界对于其讨论的热度未曾减弱。本文将从个人信息交易的一般性原则出发，讨论个人信息交易的法律依据、指出在实践中出现的关于个人信息交易的合规问题，并结合国外相关法律对现有的法律框架提出一些立法建议。

 

一、个人信息交易的一般性原则

（一）个人信息的认定及权属边界

 

个人信息交易方应当要明确知悉哪些信息属于个人信息。根据《个人信息保护法》的规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的认定标准为具有“可识别性”，即能够单独或者结合其他信息可识别特定自然人的信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、通讯信息、健康信息、行踪信息等。“可识别性”既包括对自然人个体身份的识别，也包括对个体特征的识别：对个体身份的识别确定信息主体“是谁”，对个体特征的识别确定信息主体“是什么样的人”，即该信息能够显现个人自然痕迹或社会痕迹，勾勒出个人的人格形象。需要注意的是，个人信息经匿名化处理后即不再属于个人信息的范畴。根据《个人信息保护法》的规定，“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程。广东省高级人民法院发布的个人信息保护典型案例 “田某与某物业公司隐私权、个人信息保护纠纷案”中，被告某物业公司将其与原告业主田某的民事判决书在小区公开张贴公示（但对田某的姓名、身份证号码、详细地址等个人信息隐蔽）。原告田某认为某物业公司未将判决书中其民族、委托诉讼代理人的信息进行隐蔽处理就公开，侵犯其个人信息及隐私权。由于在本案中被告物业公司在张贴涉案民事判决书时，已经对案号、业主姓名、身份证号码、出生年月以及住址采取涂画的隐蔽措施，仅凭原告业主的民族、委托诉讼代理人信息要素无法识别为某一特定自然人，故法院判定物业公司公开的信息不属于田某的个人信息。

 

由于个人信息与人格权益的紧密连接，其背后蕴含的人格尊严与隐私权所形成的天然道德屏障，以及个人信息在社交场合的共享性、天然易获取性，导致难以通过传统意义上的“物权法定”界定其权属及权利边界。因此《民法典》并未直接规定个人信息的所有权属问题，转而明确自然人的个人信息受法律保护，这种保护体现为任何主体收集、使用、加工、传输、提供、删除个人信息等个人信息处理行为需要取得该个人的知情同意，且信息处理者不得非法买卖、提供或公开所收集的个人信息。在合法收集的前提下，信息处理者有权依法使用个人信息数据并获取收益。

 

（二）个人信息的收集与使用的基本原则

 

如果交易的数据被认定为个人信息，则相关法律对其收集与使用（包括交易）将施以高门槛的要求。具体而言，个人信息交易方应当确保收集个人信息的行为符合法律的规定。根据《个人信息保护法》的规定，处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。该原则分别评价个人信息处理的形式合法性、目的正当性和手段必要性。“合法原则”是对数据收集和使用最基本的法律要求，主要是指个人信息处理应符合法律的明确规定，包括依据合法、方式合法和结果合法，如符合告知同意程序、符合存储期限要求。“正当、必要原则”属于实质合法性范畴，是对个人信息处理目的与手段的合理性评价。具体而言，“正当性”要求信息收集和处理者应当在个人同意的范围内合理收集，同时要求充分告知，保证用户对个人信息使用和收集的知情权以保证用户充分理解信息收集和处理者对个人信息的收集、使用方式和范围符合其合理期待。“必要性”则强调“禁止过度损害和保障不足”，从而保障个人信息处理不得超出正当目的、损害最小以及信息处理的内在利益均衡。《个人信息保护法》还规定了处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。例如在（2021）粤03民终9583号王某与某互联网社交平台个人信息保护纠纷案件中，根据该社交平台App的登录要求，用户登录该App必须填写其地区和性别，不填写地区和性别则无法正常使用该App，但是App运营方无法证明在缺少用户“地区、性别”信息的情况下，该App将无法正常向用户提供服务或者导致产品或服务的现有功能将无法实现。二审法院最终判定该App强制获取用户地区、性别信息未满足互联网平台收集处理用户个人信息的必要性原则。

 

其次，个人信息处理者将收集的用户个人信息提供给第三方的，应当以显著方式、清晰易懂的语言真实、准确、完整地向用户个人告知个人信息的相关处理事项（包括个人信息接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类），并取得用户个人的同意。该同意应在用户充分知情的前提下由用户自愿、明确作出，且应当是用户的单独同意，即该“同意”应独立并特定指向该个人信息处理者的此次信息处理行为，而不应是指向不特定对象作出的概括性同意。需要注意的是，信息处理者对其是否尽到相应的告知同意义务负有举证责任。例如北京市互联网法院发布的个人信息保护典型案例“吕某与北京某信息技术有限公司个人信息保护纠纷案”中，吕某在使用某汽车信息软件运营商的软件的过程中，认为该软件运营商未经其同意便将手机号提供给其他主体导致其频繁收到第三方的电话询价，继而认定该软件运营商侵害了其个人信息权益。被告汽车信息软件运营商虽然提供了相关证据，但该等证据无法证明该汽车信息软件运营商向第三方提供吕某手机号取得了吕某的单独同意，最终法院判决该汽车信息软件运营商的行为构成侵权。

 

二、探索个人信息交易制度与体系逐渐完善

（一）《数据二十条》为个人信息交易提供制度保障

 

2022年底中共中央、国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》（“《数据二十条》”）提出了探索“数据分类分级确权授权使用和市场化流通交易”，明确在维护国家数据安全、保护个人信息和商业秘密的前提下，进行公共数据、企业数据、个人数据的分类分级，分别界定数据生产、流通、使用过程中参与各方所享有的合法权利。其中《数据二十条》创造性地提出激活数据要素为经济赋能、建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，也即在数据交易流转过程中适当淡化数据“所有权”的权属认定，转而以“数据相关权利结构性分置”为基本思路，强调“谁投入、谁贡献、谁受益”原则，着重保护数据要素各参与方的投入与产出收益，即保护投入方的合法收益权。在此基础上，《数据二十条》提出了数据资源持有权、数据加工使用权、数据产品经营权，及数据知识产权登记制度，为数据以及个人信息的市场化流通交易提供制度基础。但《数据二十条》仅为框架性规定，如何形成实施细则仍有待实践中进一步探索。

 

对于承载个人信息的数据，《数据二十条》明确允许合法采集、使用、合理利用个人信息，但应“审慎对待原始数据的流转交易行为”。此外，促进发展创新技术手段，如隐私计算技术、安全协议共享，对个人信息进行匿名化处理，确保可以分析使用个人数据但无法窥取原始信息，保障个人隐私及信息安全。即原则上，未通过技术手段“匿名化”处理的个人信息的原始数据，一般不参与流转交易，但允许对个人信息予以合理利用、合法受益。

 

（二）首例个人数据的场内交易

 

在《数据二十条》提供的政策与制度的支持与保障下，2023年中旬，被誉为全国首例“个人数据合规交易”在贵阳大数据交易所完成场内交易。该案例中，好活（贵州）网络科技有限公司（“好活公司”），在征得求职者（用户）的个人同意后，利用数字化技术，采集用户通过APP上传简历中的信息数据，并采用隐私计算等技术保障用户个人隐私安全，加工处理后形成“数据产品”，确保数据“可用不可见”。在此基础上，好活公司通过贵阳大数据交易所提供的“数据产品交易价格计算器”，针对适用的灵活用工就业服务场景，模拟计算出数据产品的参考交易估价。数据产品挂牌上市后，用工单位购买使用该产品，提供信息的个人用户亦可以通过平台获得数据产品交易产生的收益分成。

 

根据好活公司提供给用户的《个人信息权属确定协议》，明确个人用户对其资料和简历拥有财产权，好活公司承诺向用户分享因使用用户的个人简历信息所产生的部分销售利润，且用户有权随时撤回此项授权及同意[1]。

 

该案例作为全国首例个人数据合规流转交易，很好的体现了“谁投入、谁贡献、谁受益”的收益分配原则，在确保用户的知情同意权、撤回权及个人数据合规收集使用的前提下，实现用户与企业共享个人数据收益，是一次突破性的尝试。

 

三、个人信息交易的实践观察与合规建议

 

自2018年美国加州出台了第一部有关用户个人信息与隐私权利的立法，即《加州消费者隐私法》（California Consumer Privacy Act，包括后续出台的作为其修订与补充的《加州隐私权利法》（California Privacy Rights Act），为简化表述，以下统称称为 “CPRA”），截至目前，美国已有科罗拉多州、弗吉尼亚州等多个州通过了有关个人信息及隐私权利的单独法律。相较于欧洲发布且执行的《通用数据保护条例》（General Data Protection Regulation，“GDPR”），美国各州有关个人信息与数据隐私法律出台的时间虽然相对较晚，但突出强调在充分保护个人用户的合法数据及隐私权益的前提下，发挥个人信息作为生产要素的价值、释放市场多元主体创新活力，并从实践出发为强化用户个人权利的行使提供切实可行的路径。下文将从三个角度出发，简要总结并分析CPRA为主要立法导向的美国数据与隐私立法在保障用户个人权益方面的可借鉴之处。

 

（一）个人用户行使隐私权利应当有“清晰明确、可实施”的操作方法

 

根据我国《个人信息保护法》第四十五条的规定，个人有权向个人信息处理者查阅、复制其个人信息。个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。第二十三条的规定，个人信息处理者向其他个人信息处理者（接收方）提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第十五条规定，基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

 

我们浏览了目前国内市面上不同行业头部的网络服务提供商的网站、App及其隐私政策，并开设相关账户进行了用户体验。我们发现部分网络服务提供商未向用户提供查阅、复制其被收集的个人信息的便捷路径；部分服务提供商的网站及App上没有提供用户能够撤回其同意处理个人信息的便捷方式；部分服务提供商虽然在其App或者网站上列明了共享用户个人信息的第三方的清单，也列明了涉及向该等第三方共享的“用户个人信息”、“使用目的”、“使用场景”以及“收集方式”，但是未按照现有法律的要求取得用户就处理该等个人信息的单独同意。

 

上述问题在当前司法判例中也可见一斑。在（2022）粤01民终3937号周某与某电商平台的个人信息保护纠纷案件中，周某因其家人接到陌生电话，对方对周某在该电商平台曾经购物时所留的个人信息有所了解，周某遂致电该电商平台，希望平台提供其所收集的周某的个人信息（例如姓名、性别、出生年月、家庭信息、联系方式等），但遭到平台客服拒绝；同时周某向该平台的隐私专职部门邮箱发送邮件，也未获回复。周某遂将平台诉至法院。本案的焦点之一在于“原告周某是否已向平台行使了个人信息的查阅复制请求权”。平台对此抗辩主张周某拨打客服电话当日，入线海量用户来电，客服难以逐一核实来电人员的身份信息；其次，周某发送的邮件被平台邮箱网关系统自动屏蔽，平台未收到该邮件，因此周某并未向平台行使个人信息的查阅复制请求权且平台对此不存在过错。但法院认为平台在收到周某请求行使查阅、复制权时的首要工作是验证其个人信息主体身份，然后在合理的期间内作出答复，平台作为个人信息处理者，应当采取常态化、便捷化的技术措施保障用户的前述权利；但在本案中平台并未作出任何处理，实质构成无正当理由拒绝用户行使查阅、复制权。再如（2021）粤03民终9583号王某与某互联网社交平台个人信息保护纠纷案件中，原告王某请求撤回其对于该平台App使用寻找王某的“共同微信好友”的授权，彼时该平台虽然向原告提供的三种撤回授权的路径，但皆被法院判定为非便捷途径。

 

在上述案例中，对于用户行使其个人信息权利的请求，个人信息处理者对于其网页或者App上的设置显然并非是技术上的不能，而是个人信息处理者通过不友好的设置路径刻意规避向用户提供行使个人信息权利的便利。近年来，互联网产品呈现多元性和丰富性、其用户也存在广泛性和差异性的特征，不同用户就个人信息的期待也可能存在消极防御与积极利用的差异。因此，这就要求在信息收集和处理的过程中，个人信息处理者不能仅依靠模板化的“知情并同意”条款、亦不能有意规避，而是应主动向用户提供行使个人信息权利的便捷且有效的路径，确保最大限度尊重和保障不同用户的个人信息权益。对于上述情形，CPRA提供的立法思路以及实践中的合规化操作可作为参考。

 

根据CPRA的规定，“消费者（consumer）需要更强有力的法律，使他们在与经营者（businesses）谈判时处于更加平等的地位，以保护他们的权利。消费者应有权被清楚地告知（clear explanation）其个人信息的用途，并应有权控制、更正或删除其个人信息，包括允许消费者限制经营者使用其敏感的个人信息，禁止经营者出售及向第三方共享其个人信息[2]。”前述权利落实到实践中，CPRA规定了消费者就上述个人信息的处理行为享有被通知的权利（right to notice），同时该等通知通常应附带清晰便捷的路径，以便消费者能够便捷有效地行使该等权利。例如，如果经营者涉及出售或者分享用户的个人信息，其必须在网站首页以及隐私政策中列明一条清晰可见的显示“不要出售或者分享我的个人信息”（Do Not Sell or Share My Personal Information）的链接。该链接将导向一个新页面，使用户能够通过该页面提供的操作指示要求服务提供商禁止向第三方出售或者分享其个人信息（“opt-out”），通常为填写并提交一份列明用户姓名、邮箱的表格，以便经营者确定行使opt-out的用户身份。一旦用户行使了opt-out权利，则除非用户后续另行授权，经营者将不得向任何第三方出售或者分享该用户的个人信息[3]。继CPRA后，美国其他州的个人信息及隐私立法也都基本保留了上述用户的opt-out权利，行使opt-out的方式也都跟CPRA的规定基本类似。

 

以下述华特迪士尼公司为例，该公司用户行使opt-out的操作步骤为：首先，首页会提供一项链接：“Do Not Sell or Share My Personal Information”；点击链接后，会显示有关用户个人隐私权利的说明，以及告知用户如何行使opt-out权利。用户填写表格并提交后，公司会根据该信息确认用户身份，后续将不会向第三方出售或者分享该用户的个人信息。

 

 

再以下述Oreck公司的隐私政策为例。该隐私政策中清晰列明了用户按照法律所享有的查阅权、复制权、更正权、删除权等个人信息权利，且每项权利条款中均附有详细说明及链接，用户通过说明了解每项信息权利的具体内容，再通过该链接所载的表格简要填写相关信息后便能有效、便捷地行使其权利，无需再向公司致电或者发送邮件。

 

 

保护网络个人合法权益、促进数字经济健康发展，立法者除了应在法律条文上要求个人信息处理者保障个人信息权益及隐私权利，同样应注重用户个人行使该等权利应当有明确可执行性的便捷路径而不是仅仅停留在个人信息处理者的隐私政策条款上。对此，相关部门应进一步出台相关细则或指引，督促并指导个人信息处理者运用技术手段，建立常态化、便捷化的个人信息权利响应机制，并逐渐形成行业规范，不断降低成本，提升效率，匹配平台用户需求，切实全面保障用户的个人信息与隐私权利。

 

（二）在个人信息的交易过程中，个人用户作为消费者的权利应得到保障

虽然《数据二十条》提出为数据权利建立“产权”分置的运行机制，也提出推进非公共数据按市场化方式“共同使用、共享收益”的新模式，但是并未就个人信息交易过程中可能出现的实际问题提出解决思路，尤其是用户个人通常作为消费者购买了个人信息处理者提供的产品或者服务，其权利是否得到经营者的有效保障有待进一步验证。例如在“购买”个人信息过程中，“购买”个人信息所支付的对价是基于什么？是否做到公平合理？对于拒绝提供个人信息的用户，是否会遭受经营者歧视性对待？如果用户终止提供个人信息，是否就意味着不再享受相关收益或权益？这些都有待实践中进一步探索。而CPRA的相关规定可以为我国就该等问题的后续立法提供参考。根据CPRA的规定，经营者可以就其收集用户个人信息、向第三方出售或者共享个人信息、或者留存个人信息的行为向用户个人提供经济激励（financial incentives）。而该等经济激励，可以是直接向用户提供费用补偿，也可以是向用户提供不同价格、费率、水平以及质量的产品或者服务（例如价格折扣），但前提是该等差异化的价格或服务应当与用户向经营者提供数据的价值之间存在合理的关联性[4]。根据CPRA的要求，经营者建立并开展前述“数据激励计划”必须要符合以下四项要求[5]：

 

• 经营者必须向其用户提供有关数据激励计划的通知。该通知通常附在经营者的隐私政策中，其法定内容包括：对其提供的经济激励或差异性的价格或服务进行概述、介绍数据激励计划的重要条款、说明经济激励或差异性的价格或服务如何与用户数据对经营者的价值合理地关联起来（对此，经营者必须提供：对用户数据价值的善意评估，以此作为提供经济激励、或者差异化价格或服务的基础；以及用于计算用户数据价值的方法的说明）；

• 参与计划的个人应当已明确同意参与数据激励计划（Opt-in）；

• 参与计划的个人应当有权在任何时间撤回对参与数据激励计划的同意（Opt-out）；以及

• 不得以有失公平、合理、或者采取胁迫、放高利贷的做法开展数据激励计划。

用户明确同意参与数据激励计划，且经营者必须确保用户个人随时能够撤回该同意，这是开展该计划的前提。CPRA的该等规定与我国《个人信息保护法》的立法策略基本相同，同时我国首例个人信息场内交易也确认了用户应当享有前述权利。但是在其他问题上，CPRA关于用户个人与经营者之间权利义务的设置要更加全面。根据CPRA规定的“禁止歧视原则”，经营者不得因用户个人行使相关隐私权利（例如用户行使了opt-out权利）而对该用户采取歧视性对待，该等歧视性对待包括经营者拒绝向该用户提供任何产品或者服务（与我国《个人信息保护法》第十六条的规定类似），同时也包括经营者向该用户提供的任何产品或者服务存在价格或者质量上的差异；而唯一例外就是上文所述经营者提供的经济激励或差异性的价格或服务与用户个人信息给经营者带来的价值之间存在合理关联，也即经营者必须基于用户提供的个人信息对其产生的价值而给予用户相应的经济激励。基于该原则性规定，CPRA要求经营者必须向全体用户提供数据激励计划的通知，以便阐明数据激励计划的具体细节。由此用户能够知悉自己提供的个人信息所形成的价值及其计算方式，从而有助于用户判断是否参与计划；已参与计划的用户能够知悉自己是否与参与计划的其他用户享受同等的经济激励待遇；而未参与计划的用户也能据此判断自己是否遭受不公正对待。在参与计划后，用户主动要求退出数据激励计划或者要求经营者删除已收集的个人信息，经营者是否可以据此终止对用户提供经济激励？对此，《科罗拉多州数据法》（Colorado Privacy Act，“CPA”）规定了如果用户要求删除已收集的个人信息后，经营者终止给予经济激励的，那么经营者应当事先在其提供的数据激励计划通知中对此进行说明与解释[6]。而CPRA则强调经营者拒绝提供经济激励的前提是经营者已经能够证明其提供价格以及服务的差异性优惠与用户提供的个人信息价值之间存在关联性。无论是CPA还是CPRA，都将证明义务施加给经营者，其目的是避免用户个人合理正当的消费者权益不会因其是否参与数据交易受到不公正的侵害。

 

（三）建立健全数据保护评估制度

 

数据保护评估（GDPR中又叫做数据保护影响评估），最早是由GDPR提出，本质上要求数据控制者（controller）在“可能导致高风险”的数据处理场景下，采取系统而全面的方法来分析个人信息的处理，以识别和减轻数据保护风险。例如根据GDPR 第 35 条的规定，如果任何类型的处理可能对数据主体造成高风险，则企业在法律上必须执行数据保护影响评估。数据保护评估使企业能够确定风险的优先级并按比例处理这些风险，以便做出明智的决策。GDPR工作组后续提供了九种“可能导致高风险”的处理方式，其中包括：处理敏感数据或高度个人化的数据以及大规模数据处理等行为。

 

虽然CPRA暂未就数据保护评估作出单独规定，但美国其他大部分州出台的消费者数据及隐私保护法均对此有单独规定，例如最早对此进行规定的《弗吉尼亚州消费者数据保护法》（Virginia Consumer Data Protection Act，“VCDPA”）以及CPA。两部法律对数据保护评估的规定基本相同。根据该两部法律的相关规定，经营者以定向投放广告为目的处理个人数据、向第三方出售个人数据、以及处理个人的敏感数据，均属于开展对用户存在更高损害风险的数据处理行为，应当事先开展数据保护评估。法律要求经营者在准备评估的过程中，做好收益与风险的识别与衡量工作，分别是：通过数据处理能够流向经营者、用户个人以及公众的收益，以及信息处理过程对用户个人隐私可能带来的潜在的关联风险，而这些风险是可以通过经营者施加的保护措施予以降低[7]。除此以外，信息控制者在评估的过程中必须要考虑到“去标识化”工具的运用、用户对其个人信息保护的合理期待、经营者与用户之间的关系、在合法的范围内收集必要且相关联的个人信息、是否需要用户个人的隐私同意等因素。此外，两部法律均规定了当地州的检察长（Attorney General）有权直接检查经营者的数据保护评估是否符合法律的要求[8]。

 

由上述规定可以看出，在数据交易盛行的当下，开展个人信息交易、尤其涉及个人敏感信息，该等处理行为一旦未能做到合规开展而被不合法地泄露或者公开，用户隐私、以及人格尊严将会受到严重侵害，因此数据保护评估已成为企业所应采取的法定的必要措施。数据保护评估作为企业网络安全审查（cybersecurity audit）的重要部分，为企业创设、落实数据保护措施以及定期开展数据安全核查提供了基本准则与要求。我国《个人信息保护法》第五十六条规定了个人信息保护影响评估的基本要求，但是属于较为原则性的规定，其相关细则有待进一步深化。此外，《个人信息保护法》并未规定个人信息执法机构有权对企业的数据保护评估的报告及处理情况进行检查，该空白也有待后续立法进一步明确。

 

四、结语

正如美国法学界对于个人信息之于个人信息处理者的评价：“公司并不拥有个人信息的所有权，它们只是受委托持有该等信息”[9]，当前无论是欧盟出台的GDPR，我国出台的《个人信息保护法》，抑或美国各州出台的数据与隐私权利法案，其立法导向是让用户对于其个人信息拥有更加充分有效的控制。而在实践过程中，用户个人常处于弱势地位，受限于信息的缺失，往往无法做出合理的判断，在自身权益受到侵害时救济途径也较为有限。对此，我们建议，在开展个人信息交易之前，法律除了规定用户个人的法定权利之外，还应当确保个人信息处理者为个人行使该等权利提供清晰且明确的渠道，用户不会因渠道缺少，或者因繁冗的前置程序而实质丧失该等权利；在开展个人信息交易的过程中，法律除了应当强制信息处理者披露交易细节（例如个人信息的使用方式以及与第三方共享个人信息的主体）之外，也应当重点保障用户对于其个人信息交易而享有的收益权及其作为消费者所享有的权益不会受到不公平地侵害；而在开展个人信息交易之后，法律还要确保个人信息处理者定期完成个人信息的数据保护评估，及时发现个人信息处理过程中的漏洞与风险点，更新企业数据使用安全准则。在前述基础上，逐步做到企业对所持有的用户个人信息的合理利用、实现个人信息数据资源的社会价值。

 

注释：

[1]易中获取收益，作者：互联网法律评论；网址：

https://www.sohu.com/a/682665311_120287836

[2]California Privacy Rights Act, SEC. 2

[3]California Privacy Rights Act, SEC. 9

[4]California Privacy Rights Act, SEC. 11

[5]California Privacy Rights Act, SEC. 11

[6]Colorado Privacy Act, Rule 6.05 F

[7]Virginia Consumer Data Protection Act, § 59.1-580.B.; Colorado Privacy Act, Rule 8.04 A(8).

[8]Virginia Consumer Data Protection Act, § 59.1-580.C.; Colorado Privacy Act, Rule 8.06.

[9]“[n]o company is entitled to personal data; they are entrusted with it.” Fredrick Lee, CCPA Won’t Be Enough to Fix Tech’s Data Entitlement Problem, TECHCRUNCH (Feb. 7, 2020, 12:09 PM), 

https://techcrunch.com/2020/02/07/ccpa-wont-beenough-to-fix-techs-data-entitlement-problem/.