個人信息權利和企業數據權利彼此聯結又相互沖突。問題關鍵是如何在具體的場景下，妥善劃定各自邊界和責任。

6月30日，螞蟻金服旗下用于淘寶、天貓的信用消費信貸產品——“花唄”的服務協議引發了軒然大波。對于實際閱讀比例不足5%的網絡用戶服務協議而言，這一事件堪稱異事，不免讓人“奇聞”共欣賞，“疑義”相與析。

《花唄用戶服務合同》：6月30日版VS. 7月3日版

觸動大眾神經的是《花唄用戶服務合同》中有關用戶信息收集的條款。根據第4.2條的約定，花唄用戶的如下信息均在服務商的掌握之下：

（1）所有身份信息；

（2）訪問服務商網站及服務商關聯公司網站、移動客戶端時提供或形成的任何數據和信息；

（3）所有財產信息，如店鋪/企業經營狀況、財稅信息、房產信息、車輛信息、基金、保險、股票、信托、債券等投資理財信息和負債信息等；

（4）在政府機構、行業自律組織留存的任何信息，如戶籍信息、企業工商信息、訴訟信息、執行信息和違法犯罪信息等；

（5）信用信息，如征信記錄和信用報告；

（6）社保和公積金信息、通訊號碼和費用信息以及往來通訊號碼、通話時長等通話詳單信息；

（7）銀行信息，如開卡銀行、銀行卡號、額度、還款情況等基本信息，刷卡時間、地點、金額等用卡信息。

此外，這還不是用戶一個人在戰斗，用戶的“關聯方”同樣也要提供他/她在服務商及其關聯公司、合作伙伴、阿里巴巴集團旗下公司處留存以及形成的任何數據和信息。如果這些都不足以讓你膽戰心驚的話，那么還有一條兜底條款——“其他通過合法途徑取得的與您接受服務有關的信息”。

上述信息收集條款因違反《網絡安全法》第41條和《電子商務法（草案）》第46條所明確規定的“必要性原則”受到批評。“必要性”即“必不可少”之意，香港站群服務器 美國服務器，它意味著服務商所收集的數據應當為服務提供所必需或相適應，收集的范圍和數量應當與用戶使用該服務的目的相匹配或成比例。在我國的《信息安全技術公共及商用服務信息系統個人信息保護指南》中，這一“必要性原則”被更精確地稱為“最小夠用原則”——只處理與處理目有關的最少信息。以此反觀上述第4.2條，法網顯然過于“周嚴”，更將信息主體擴張到“關聯方”，不但違反了合同在簽署雙方之間有效的“合同相對性原則”，更與“最少信息”相反，邊界直到所有與服務“相關”卻不一定“必要”的“最多信息”。

迫于外界壓力和業務合規的要求，7月3日，新一版的《花唄用戶服務合同》火速出爐。在這一版中，上述巨細靡遺的條款幾乎被刪除殆盡，關聯方的要求自然也不復存在，修改后的條款謹守“必要性原則”，將信息收集限定在“與服務相關的必要信息”上。盡管這次修改看起來誠意十足，可仍留有后門——其4.1.6條規定：“其他合法留存您信息的自然人、法人以及其他組織收集與本服務相關的必要信息。”在現有的法律框架下，用戶對服務商調取在他方存儲個人信息的概括授權，可能帶來兩方面的風險：一是可能違反他方就信息使用的“必要性”原則，畢竟花唄服務的“必要性”并非他方服務或管理的“必要性”；二是在服務商間接收集，而非用戶直接提供的場合，用戶不可能預知哪些信息會被收集（違反“透明性原則”），也無法評估收集的后果，從而難以在知情的基礎上同意（違反“實質同意原則”）。

總之，較諸6月30日版，7月3日版的《花唄用戶服務合同》已算浪子回頭，但仍留下未了的法律難題——對于運營商來說，怎樣做才對呢？其背后的制度癥結究竟在哪？

個人信息VS.數據

無論是個人信息，還是數據，都是網絡時代帶給法律制度的新挑戰。作為回應，將于今年10月1日實施的《民法總則》第111條和第127條，分別規定了“個人信息”和“數據”。然而，對于“個人信息”和“數據”的法律定位、制度設計和保護方式，立法者均未形成共識，因而上述條款僅僅具有權利保障的宣示性質——對于個人信息，不得“非法”收集、使用、加工、傳輸、買賣、提供或者公開；對于數據，法律予以保護。但究竟何為“非法”？如何“保護”？均語焉不詳。這一立法模糊造成的問題有三：