鉴于公号【隐私护卫队】这篇《脸书因数据不透明或被爱尔兰罚三千万，合同代同意协议惹争议》文章提及的“合同代替同意”对GDPR透明（transparency）原则的违反，加之此前该领域的权威大家洪延青老师已经对“合同所必需、基本功能服务所必需与同意豁免”做过鞭辟入里的观点论证，【沐平】籍此偶发一次狼藉散漫不专业的思考与讨论。

　　洪延青老师在公号【网安寻路人】发表的《对<常见类型移动互联网应用程序必要个人信息范围规定>的两点理解》一文中写道：

　　“因此，在公号君看来，此次四部门秘书局和办公厅联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》，对应的正是《个人信息保护法（草案）》第13条中的”履行个人作为一方当事人的合同所必需“。基本逻辑为——某项功能服务是用户所需要的，即用户作为一方当事人，与企业之间签订了合同；那么为了履行这个合同，企业必需的个人信息，就是《规定》中所称的必要个人信息。

　　因此，《常见类型移动互联网应用程序必要个人信息范围规定》实际上为后续《个人信息保护法》的落地，提前针对”履行个人作为一方当事人的合同所必需“做出了细化规则。

　　关于合同所必需和同意之间的区别，见【中国个人信息保护立法 | 合同所必需：魔鬼在细节之中】”

　　对此，笔者有点儿想不太明白，不太明白的思路如下：

　　《个人信息保护法》第十三条的第（一）项合法性事由【取得个人的同意】和第（二）项合法性事由【为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需】，一个是单方行为（单个意思表示发出），一个是双方行为（两个意思表示合意）。但在个人信息保护实务中，往往两者是纠缠在一起的，基于第（一）项事由靠隐私协议的概括授权同意更像是一个双方行为（合同），或许只有《个保法》第二十九条的单独同意才更像单方行为。而第（二）项事由，也不能免除保护法上的同意，（保护法上的同意或许根本就不是民法上的单方行为这么简单），因为其从实践上来说大多通过合同、协议或规章制度来取得这种同意。“合同所必需”从GDPR的角度来说，为了遵守“透明”原则，不要将个人数据隐私收集隐藏在合同里来狡诈地获取用户同意。相反恰巧合同里不隐藏、不涉及隐私收集的相关内容，才有确为履行合同所必需的真正的、纯粹的同意豁免。

　　《常见类型移动互联网应用程序必要个人信息范围规定》所述的各类APP基本功能必要收集的范围也不构成《个保法》第十三条第（二）项的豁免，因为消费者也有拒绝基本功能所必需的信息收集进而选择不用该APP（基本功能服务）的自由权利。这个《常见类型移动互联网应用程序必要个人信息范围规定》解决的是“不要超范围搜集，不要强制收集”，而不是让消费者丧失掉选择同意的权利，授权同意不仅仅是一种单向意思表示，更多是一种自由选择权利。也即是说无论是《个保法》还是GDPR的“合同所必需”，绝对不是“APP基本功能所必需”这种场景，连仿造也算不上。此外，必要性原则也绝不仅仅是“合同所必需”或“基本功能所必需”，其实质上是对“处理目的所必要的最小化收集和使用”的倡导原则。

　　也许“同意”、“合同所必需”、“基本功能所必需”是一个颜色条上的三个频谱，还需再去深入立体式的描画琢摹。