鑒于公號【隱私護衛(wèi)隊】這篇《臉書因數據不透明或被愛爾蘭罰三千萬，合同代同意協(xié)議惹爭議》文章提及的“合同代替同意”對GDPR透明（transparency）原則的違反，加之此前該領域的權威大家洪延青老師已經對“合同所必需、基本功能服務所必需與同意豁免”做過鞭辟入里的觀點論證，【沐平】籍此偶發(fā)一次狼藉散漫不專業(yè)的思考與討論。

　　洪延青老師在公號【網安尋路人】發(fā)表的《對<常見類型移動互聯網應用程序必要個人信息范圍規(guī)定>的兩點理解》一文中寫道：

　　“因此，在公號君看來，此次四部門秘書局和辦公廳聯合發(fā)布的《常見類型移動互聯網應用程序必要個人信息范圍規(guī)定》，對應的正是《個人信息保護法（草案）》第13條中的”履行個人作為一方當事人的合同所必需“?；具壿嫗椤稠椆δ芊帐怯脩羲枰?，即用戶作為一方當事人，與企業(yè)之間簽訂了合同；那么為了履行這個合同，企業(yè)必需的個人信息，就是《規(guī)定》中所稱的必要個人信息。

　　因此，《常見類型移動互聯網應用程序必要個人信息范圍規(guī)定》實際上為后續(xù)《個人信息保護法》的落地，提前針對”履行個人作為一方當事人的合同所必需“做出了細化規(guī)則。

　　關于合同所必需和同意之間的區(qū)別，見【中國個人信息保護立法 | 合同所必需：魔鬼在細節(jié)之中】”

　　對此，筆者有點兒想不太明白，不太明白的思路如下：

　　《個人信息保護法》第十三條的第（一）項合法性事由【取得個人的同意】和第（二）項合法性事由【為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需】，一個是單方行為（單個意思表示發(fā)出），一個是雙方行為（兩個意思表示合意）。但在個人信息保護實務中，往往兩者是糾纏在一起的，基于第（一）項事由靠隱私協(xié)議的概括授權同意更像是一個雙方行為（合同），或許只有《個保法》第二十九條的單獨同意才更像單方行為。而第（二）項事由，也不能免除保護法上的同意，（保護法上的同意或許根本就不是民法上的單方行為這么簡單），因為其從實踐上來說大多通過合同、協(xié)議或規(guī)章制度來取得這種同意?！昂贤匦琛睆腉DPR的角度來說，為了遵守“透明”原則，不要將個人數據隱私收集隱藏在合同里來狡詐地獲取用戶同意。相反恰巧合同里不隱藏、不涉及隱私收集的相關內容，才有確為履行合同所必需的真正的、純粹的同意豁免。

　　《常見類型移動互聯網應用程序必要個人信息范圍規(guī)定》所述的各類APP基本功能必要收集的范圍也不構成《個保法》第十三條第（二）項的豁免，因為消費者也有拒絕基本功能所必需的信息收集進而選擇不用該APP（基本功能服務）的自由權利。這個《常見類型移動互聯網應用程序必要個人信息范圍規(guī)定》解決的是“不要超范圍搜集，不要強制收集”，而不是讓消費者喪失掉選擇同意的權利，授權同意不僅僅是一種單向意思表示，更多是一種自由選擇權利。也即是說無論是《個保法》還是GDPR的“合同所必需”，絕對不是“APP基本功能所必需”這種場景，連仿造也算不上。此外，必要性原則也絕不僅僅是“合同所必需”或“基本功能所必需”，其實質上是對“處理目的所必要的最小化收集和使用”的倡導原則。

　　也許“同意”、“合同所必需”、“基本功能所必需”是一個顏色條上的三個頻譜，還需再去深入立體式的描畫琢摹。