人类社会已步入大数据时代，法律必须对个人信息和数据的治理作出回应，然而，传统的人格权侵权救济方式难以充分保护数据主体之权利。如何充分保护个人数据权利成为理论界和实务界亟待解决的问题。对此，中国社会科学院国际法研究所孙南翔助理研究员在《论作为消费者的数据主体及其数据保护机制》一文中，提出将消费者权益保护体系引入数据保护，构建不同以往的数据保护机制。

实践中，由于网络服务商处于强势地位而网络用户处于弱势地位，作为利益相关方的用户对个人信息缺乏控制能力。同时，在可预见的未来，希望通过技术保护用户信息利益的设想也难以实现。鉴于此，本文借鉴域外立法经验与相关理论，结合我国具体实际，探索数据主体的消费者权利，并以此为基础建立关于个人信息与数据的保护机制。

（一）对个人信息与数据的界定

尽管信息与数据具有密切相关性，但个人信息和数据仍具有区分的现实性和可能性。理由在于：

第一，在形式上，数据不具有直接的人格属性。而个人信息与身份属性具有密切的相关性，并具有一定程度的个人可识别性。

第二，在价值上，数据基于规模效应可产生商业价值。传统的信息价值依赖于信息主体的人格权益，信息的人格特征越清晰，信息的价值越大。而数据经济的关注点为数据的实质性内容及其聚合功能。数据规模愈小，数据价值也愈小。

第三，在立法上，个人信息概念和数据概念存在一定的差异性。个人信息基本上包括所有体现身份和人格属性的信息。对于不直接与人格权利相关的数据而言，对其的商业化利用不加以禁止。即经营者可合法收集、使用、加工、传输的对象为消费者的数据，而非敏感的个人信息。

为避免混淆，本文所指数据为数字化的信息，其是大数据时代最重要的生产资料。

（二）数据主体从自然人到消费者的角色嬗变的必要性

1、以人格权为基础的信息保护制度存在机制性难题

在规范对象和救济机制上，以人格权益为基础的信息保护制度存在机制性难题。

其一，低敏感的个人信息和数据不构成传统人格权保护的客体。网络空间的众多场景被视为“公共场所”，因此，个人信息和数据的收集与使用难以满足人格侵权的私密性要求。同时，由于互联网的去中心化，众多个人信息在网络上一经首次公开，就变相丧失了主张隐私保护的可能性。

其二，互联网用户通过人格权侵权主张获得救济的门槛颇高。首先，数据从业者在收集和利用个人信息方面具有一定的自由空间；此外，被侵权人请求承担侵权责任的前提条件是造成损害结果。而实践中，网络上的“损害”难以界定和判定，数据收集和处理的目的也并非绝对有损于用户。

其三，个人信息侵权救济机制成本过高导致互联网用户被迫放弃追偿权利。与信息收集者不同，信息主体将面临集体行动困境。一方面，互联网的个人信息可能不具有足够高的市场价值，具备有限理性的互联网用户鲜有动力提起诉讼并承担诉讼成本；另一方面，个体监测互联网企业是否存在侵权行为的难度极大。

2、消费者权益保护机制的引入实现数据保护与合理利用的双重目的

当前的数据经济呈现出一种复杂的利益关系，一方面是用户对于其个人信息的保护需要，另一方面是经营者对于个人信息数据化利用的需要。因此，从经营者和消费者的角度分析数据主体的权利成为新的出路。

一方面，作为消费者，数据主体享有倾斜保护政策优待。在消费者权益保护框架中，数据主体无须证明损害的存在，若互联网企业违反约定，那么数据主体就能够获得救济。另一方面，数据主体可通过消费者权益保护组织、有关公益组织等机构参与数据治理，实现卓有成效的集体行动。

此外，引入消费者权益保护机制使得数据利用合法化。进入大数据时代，数据从简单的信息开始转变为一种经济资源。消费者权益体系对数据资源的认可，不仅能够确保数据主体的信息权利，而且有利于数字经济的形成与可持续发展。

（三）数据主体从自然人到消费者的角色嬗变的可行性

理论上，若明确数据的价值属性，那么信息治理可从传统的侵权救济途径转向市场化的规制路径，由此，数据主体发生了从自然人到消费者的角色嬗变。这是切实可行的。

第一，个人数据可成为合同的对价。个人数据可作为商业交换的价格，如果用户访问一个由广告收入支持的网站，那么用户访问该网站所产生的数据其实就是用户所支付的服务价格。实际上，通过服务和数据之间的价值交换，用户缔结服务合同而成为消费者。

第二，互联网服务提供者从获取用户信息中获利。其一，互联网服务提供商通过收集、汇总个人数据从而更有效率地开展活动；其二，通过识别消费者的特征，互联网企业能够精准投放广告而获利。

第三，服务协议与数据政策具备合同属性。一方面，用户支付给企业非金钱性的“价格”——个人数据，以交换其获得的服务；另一方面，企业通过获得的数据实现经营收入，并以提供服务作为接收数据的对价。由此，用户和服务提供者之间建立起契约关系，数据主体实现从自然人到消费者的角色嬗变。

（一）互联网企业的绝对优势地位

实践中，由于在数据捕获时的议价不平等，大型互联网企业具有剥夺消费者权益的能力。诸多互联网企业通过制定格式合同等方式，使处于弱势地位的消费者不得不接受不公正的规则。面对格式合同，用户并无协商和谈判的余地。

（二）大数据技术的商业利用对信息自我控制的威胁

大数据技术突破传统的信息流动限制，涉及更多参与者、更复杂的关系，由此加深了互联网的信息不对称和技术不可控性。一方面，网络空间的建构物（即编码）使得个人对其信息的认知、收集和控制非常困难；另一方面，政府难以对去中心化的互联网活动进行全面的干预和控制。由此，大数据技术的商业利用时刻威胁着用户的消费者利益。

（三）被忽视的消费者经济利益

作为合同相对方的数据主体，其个人数据的经济利益长期被互联网企业所排他性地占用。企业免费使用个人数据的行为不仅忽视了消费者的合法利益，更违背了公平正义和市场规律。由此，通过法律保护机制提升消费者的应有福利，也是追求实质正义的必由路径。

（一）通过消费者权益重塑数据主体权利

应对大数据时代的消费者权益挑战的方法在于重构以消费者权益为中心的数据保护机制。本质上，消费者权益保护对互联网交易的保障在于确保交易的程序正义和实质正义，即平等的议价能力、公正的合同条件和有效的救济手段。

（二）消费者知情同意权对数据主体的适用

消费者权益保护中的缔约公正性包括消费者的知情要求和同意要件。

1、数据主体的知情要求

第一，数据主体应有事实上或推定上的认知。在使用服务前，用户对服务协议的条款和条件应具有事实上或推定上的认知。若互联网服务提供者未能履行向用户充分告知的义务或损害数据主体的知情权，那么该合同可能不生效。

第二，数据主体的权利和义务应不模糊地展示。服务协议中的用户权利和义务必须合理地展示，否则企业将面临法院不执行合同条款的风险。

第三，数据主体应具有合理的阅读机会。在缔结合同前，用户阅读、审阅和理解格式条款是消费者的一项基本权利。

2、数据主体的同意要件

双方合意表示是合同的基石，对合同的接受必须是积极的且明确的。作为消费者，在知悉互联网服务协议的条款后，数据主体应对互联网服务协议表示同意。

（三）消费者公平交易权对数据主体的适用

在互联网服务协议缔结中，强制所有服务提供者与数据主体进行磋商是不切实际的。解决程序公平和实质公正的方法在于确保互联网服务提供商提供的格式条款及其交易条件受实质公正的约束。

1、等价交易

公平交易原则的核心内容之一在于确保互联网企业对消费者数据的收集与其提供的服务成本相匹配。

2、禁止歧视

互联网企业时常基于用户的地理位置、浏览踪迹等进行价格歧视。价格歧视行为损害数据主体的公平交易权，更损害了社会的整体福利。

3、禁止欺诈和误导

互联网企业须移除任何可能导致欺诈或误导消费者的网络信息。

4、禁止对消费者权利的克减

互联网服务协议可能限制企业对数据主体的数据内容和服务承担的损害责任。实践中，若一方的责任豁免将会损害重要社会利益，那么法院倾向于认定该责任豁免无效。

（四）消费者权益救济机制对数据主体的适用

互联网服务提供者利用优势地位，在服务协议中能够剥夺消费者选择救济的方法和场所。消费者权益救济机制的引入能够确保数据主体在利益受损之后的救济是便利的、适当的，且符合当地公共秩序。

首先，在对抗互联网企业设定的不当救济机制中，消费者权益保护组织具有协调数据主体利益并对抗不合理救济规则的作用。其次，消费者权益保护机制能够通过集体行动，纠正互联网企业损害数据主体利益的行为。

（一）明确消费者权益保护法对数据主体的可适用性

从本质上，民法应保障契约自由，侧重等价交易；消费者权益保护法强调限制滥权，注重实质公正。合同机制和消费者权益保护两者相辅相成，共同保障数据主体的合法权益。但是我国消费者权益保护法仍未满足互联网服务消费者权益保护的需求。因此，在相关法律制定过程中，应明确数据与个人信息具备合同对价性，以此搭建互联网服务提供者和用户之间的诚信交易机制。同时，于消费者权益受损的情形时，可在补偿性机制方面引入惩罚性赔偿机制，以提高企业的违法成本，促进数据利用、处理和传输的法治化、有序化。

（二）认真对待个人信息和数据的经济价值

大数据时代，个人信息和数据具有财产权属性。若“数据与服务”之间的交易得以形成，那么数据主体将成为互联网服务协议的消费者，进而从传统的人格权保护迈入平等交易的财产权保护。这不仅能更充分保护用户的信息权，且能更有助于大数据行业的发展。

（三）建立从事前同意到事中诚信交易的监督机制

个人信息自决权是信息治理的重要理论基础，其逻辑在于通过强化个人的事先同意机制，约束互联网企业滥用信息的行为。但由于很多用户对同意的内容和对象并不具有充分的认知，片面强化同意要件会变相地弱化用户的合法权益。对数据规制的目的在于纠正数据收集、处理和转让过程中互联网企业非法的、欺诈的行为，故对消费者权益的保护还应发挥事中诚信交易机制的作用。对此，我国行政机构可同步构建数据交易的事先同意机制和事中诚信机制，通过确定等价交易、禁止欺诈等诚信交易理念，打造平等、公正的数据流动和交易机制。

（四）激励多元主体参与数据治理与保护

一方面，应最大程度上发挥数据主体的能动性。另一方面，我国的数据治理也应积极发挥消费者协会和其他消费者组织的作用。我国立法应承认数据主体的财产性权益，保障消费者及消费者权益保护组织有理有据地提起诉讼，并通过适用消费者权益保护法中的惩罚性赔偿制度，营造公平合理法治透明的数据交易环境。