免于同意之合同所必需规则的原理探究与落地适用*

伍旋航

(厦门大学 法学院，福建 厦门 361005)

0 引言

《个人信息保护法》确立了以“告知—同意”为核心的个人信息处理规则，强调了个人信息处理中对个人信息主体的权利保障。同意并非个人信息处理的唯一合法性基础。《个人信息保护法》第13条第1款第2项规定“为订立、履行个人作为一方当事人的合同所必需”(以下简称“合同所必需规则”)同属个人信息处理的合法性基础之一。合同所必需规则借鉴了GDPR第6.1(b)条的规定，但国内对该规则的原理内涵与具体适用仍不明晰。

为更好推动合同所必需规则的落地适用，本文结合GDPR第6.1(b)及相关规定，对合同所必需规则的内涵与实践适用进行了分析。

1 合同所必需规则的基本内涵

欧盟数据保护委员会曾通过了一项《关于在向个人信息主体提供在线服务时根据GDPR第6.1(b)条处理个人数据的准则》(2.0版)(以下简称《准则》)，上述指南对GDPR第6.1(b)条对合同所必需规则的基本内涵和适用标准作了详细规定，对理解合同所必需规则的原理具有重要意义。

1.1 设立合同所必需规则的考虑

个人信息处理的合法性基础主要有两大类：一是同意，二是法定许可(又称“同意例外”)。基于同意的个人信息处理体现了对个人同意授权的严格遵循，是在大数据时代赋予个人信息主体的一项自主决定权利。我国《个人信息保护法》允许个人信息处理者基于法定许可处理个人信息主要有三个层面的考虑。第一，个人信息来源于个人，但个人信息并非绝对独占的。个人信息还承载着除了个人利益之外的社会利益甚至国家利益。因此，特定情形下，个人信息主体需要让渡其享有的同意授权的权利，以实现不同利益之间的平衡[1]。这一利益平衡理念同样体现在GDPR，其序言指出“保护个人数据的权利不是一项绝对权利，必须考虑其在社会上的作用并应当根据比例性原则与其他基本权利保持平衡。”第二，网络时代下，衣食住行等各方面的科技智能化需要以广泛的个人信息处理为依托。此时，服务提供商作为信息处理者，依托个人信息处理为个人提供便利的智能服务。允许个人信息处理者基于同意之外的特定情形进行个人信息处理，能够降低信息处理成本，从生活服务提供上看，也是为了保障个人信息主体在社会生活中的基本需求实现和服务提供享受。第三，《个人信息保护法》的目标有两个，一是保护个人信息权益，二是促进个人信息合理利用。合同所必需规则便是对上述目标的有机协调[2]。

《个人信息保护法》第13条第1款第2项所设立的合同所必需规则，其目的并非单独给予个人信息处理者信息免于同意的“处理便利”，也有站立于个人信息主体视角的合理考虑。因此，设立合同所必需规则并无架空告知同意规则的恶意。况且“同意例外”只是提供了处理个人信息的“钥匙”，后续具体的个人信息处理行为依旧需遵守法律规定。综上，没有必要“一刀切”式地将合同所必需规则拒之门外不予适用，而是可以考虑对合同所必需规则进一步进行细化，补缺这一规则的不尽完善之处，为其落地适用进行理论铺陈。

1.2 与个人信息主体订立合同所必需

自《个人信息保护法》实施以来，以“订立合同所必需”作为处理个人信息的合法性基础并免于同意征求的规定，已经受到不少学者的批评[3]。一方面，国内对订立合同所必需的条文内容与GDPR的原文表述有差异，遗漏“应个人信息主体要求”这一主观要件，容易导致规则滥用[4]。另一方面，规则内涵不明确，解释的弹性空间过大导致对免于同意之合同所必需规则适用的认同感不高。

合同所必需规则并非对GDPR的简单移植，而是适应我国本土实践的“改造”。《准则》指出订立合同所必需是指对个人信息的处理是应个人信息主体的请求在正式订立合同前的一种客观需要。可以将这种个人信息处理视为合同订立的一项必要性措施。例如，线上邮政服务提供场景下，在正式订立运输服务合同前，个人信息主体主动提供邮寄目的地的地址信息以核查该地址能否正常邮寄，此时邮政服务提供商对这些地址信息的处理查询可被视为订立合同前所必需的个人信息处理。我国个人信息保护立法中订立合同所必需未明确规定“应个人信息主体要求”，但结合现实的个人信息处理场景，从一般公众期待和行业惯例来看，“应个人信息主体要求”已意涵在个人信息主体订立合同目的以及主动提供个人信息以促成合同切实订立的实际行动之中。因此，判断是否为“订立合同所必需”应基于合同订立前个人信息主体所处的具体情形加以评估[2]。《准则》还指出“订立合同所必需”强调个人信息处理的发起方为个人信息主体，不包含主动营销、由数据控制者发起或应第三方请求进行处理的情形。因此，“订立合同所必需”中所指向的合同并不包含个人信息保护政策等公开个人信息处理规则的文件。也即，个人信息处理者不能以与个人信息主体订立隐私政策协议、平台服务协议等为由进行事前的个人信息处理。“订立合同所必需”所指向的合同需要规定有实质性的功能实现或者服务提供内容。

综上，对“订立合同所必需”的把握要点可总结为两个方面：一是坚持综合研判、具体分析原则，结合个人信息主体订立合同前所处的情形、实施的行为加以判定；二是“合同”不包括隐私政策协议、平台服务协议等个人信息处理者为实现事前“免责”而自主提供且无实质合同内容的情形。

1.3 履行与个人信息主体的合同所必需

履行合同所必需处于合同订立之后的阶段。《准则》指出个人信息处理者如不能证明下述情形，则不能基于“履行合同所必需”处理个人信息：(1)存在合同；(2)依据所在国家的法律规定为有效合同；(3)数据处理行为系履行合同所必要。可见，《准则》对“履行合同所必需”的适用主要突出两点：一是强调个人信息处理者的举证责任；二是合同是否客观存在以及合同的法律效力。如图1所示，《准则》还进一步解释对必要性的评估与符合目的限制原则之间存在着密切的联系，并给出了详细的问题指引。

图1 评估适用GDPR第6.1(2)条的问题指引

结合《准则》提出的观点与我国《个人信息保护法》个人信息处理原则，本文认为可以从以下几个方面审查个人信息处理者的个人信息处理行为是否达至合同履行的“必需”标准。第一，合同内容的直接相关性。即要求所履行的合同的内容与个人信息处理者提供的产品或服务直接相关。合同内容与产品或服务提供直接相关排除单纯以个人信息处理行为作为合同内容的情形。“直接相关”表明个人信息处理者免于同意处理的个人信息与其提供的产品或服务之间是直接关系，不包含间接相关的情形[5]。第二，处理目的。即个人信息处理行为是实现合同切实目的之客观必需。处理目的为合同目的实现之客观必需，强调个人信息处理环节个人信息的使用目的应与合同订立之初约定的目的一致，不得相悖而行[6]。客观必需可理解为个人信息处理行为是合同履行必不可缺的前置环节。换言之，如无这一个人信息处理行为，合同约定的主要内容将无法继续履行或者合同目的将无法实现。第三，处理的信息范围。履行合同所必需还应考虑处理的信息范围，处理的信息范围限于合同目的实现所需的必要范围，处理的信息范围应保持对个人信息主体的最小影响。

值得一提的是，个人信息处理者应就个人信息处理行为符合上述要求进行举证。一方面契合罗森贝克提出 “谁主张，谁举证”的一般原理；另一方面，根据GDPR第5.2条的规定，个人信息处理者应就个人信息处理行为已落实目的限制、必要性原则等个人数据处理原则的要求进行举证证明。至于证明责任程度，本文认为需达至“如不能依据所收集的个人信息开展特定个人信息处理行为，则难以实现个人信息主体依据合同所期待实现的目的”的程度。

2 合同所必需规则的三层条件限定

在审查认定哪些个人信息处理情形符合合同所必需规则时，应坚持具体情形具体分析、具体场景具体区分的原则。结合个人信息处理的目的限制原则、最小必要原则以及《个人信息保护法》第13条第1款第2项的应有内涵，本文认为处理目的、处理范围以及处理场景三项条件可作为具体标准。

2.1 合同所必需之处理目的

个人信息处理背后处理目的纷繁复杂，但无论如何，适用合同所必需规则进行的个人信息处理，其信息处理目的必须满足目的限制要求，具备必要性。此外，上述个人信息处理的处理目的对个人信息主体而言是有利的，能够满足个人信息主体的基本功能享受和服务提供需求，而不应具有入侵性、权利损害性。需要注意的是，合同所必需规则并不适用于非基本功能之外的个人信息处理目的，更不能用于个人信息处理者改进商业模式所需。例如，为改进用户服务体验、升级用户功能而进行的个人信息处理不能以合同所必需规则为由获取信息处理的合法性基础，而必须征求个人信息主体的同意。《个人信息安全规范》对告知和明示同意的内容规定也作了功能区分，区分为基本功能下的告知和明示同意以及拓展功能下的告知和明示同意两种。基本业务功能个人信息收集说明载明的“如您不选择或者不同意我们采集、使用这些个人信息，将导致本产品(或者服务)无法正常运行，我们将无法为你提供服务”，体现了基本业务功能实现下基于合同所必需的信息收集情形。

综上，合同所必需规则对应的个人信息处理目的必然是严于《个人信息保护法》第6条所规定的目的明确原则的要求，其个人信息处理目的在符合《个人信息保护法》第6条基础上，可通过基本功能与拓展功能的区分，信息处理的目的与合同切实目的之间的一致性、关联性另行考察处理目的的必要性。

2.2 合同所必需之处理范围

审查是否满足合同所必需规则的要求，还可以从处理范围层面展开。“必需”一词其实已指出了个人信息处理范围的必要性要求。应用合同所必需规则进行的个人信息处理范围应严格限于必要个人信息范围之列。这是必需明确的，如不进行必要范围的限定，则告知同意规则很容易会形同虚设。必要个人信息范围的界定，可以依据个人信息收集的最小必要原则加以限定。《个人信息安全规范》将个人信息收集范围的最小必要解释为“只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量”，并从收集的类型、数量以及频率三个方面进行了限定与解读。(1)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现。(2)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。(3) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。此外，为直观梳理常见场景对应的个人信息处理的必要范围，本文认为可参考国家网信办最新发布的《常见类型移动互联网应用程序必要个人信息范围规定》。该规定对不同类别下互联网应用程序的必要个人信息范围进行了明确，具有一定的参考性。

2.3 合同所必需之处理场景

审查是否满足合同所必需规则的要求，还需考虑个人信息处理所处的具体场景。当前，个人信息处理与开发利用呈现出多环节、多主体以及多场景的应用特征[7]。而且自“场景理论”被提出以来，国内不少学者提出可通过引入“场景理论”实现对个人信息的动态保护[8]。更甚者提出以“场景与风险导向”代替知情同意规则[9]。可见，场景于个人信息保护之重要性，合同所必需规则在不同个人信息处理场景下的适用也应是动态的，通过场景的细化一定程度上能够填补当前合同所必需规则标准不明确的“漏洞”。

3 我国不同场景下合同所必需规则的适用展开

《个人信息处理中告知和同意的实施指南》附录部分列举了部分场景下合同所必需规则的适用情形。在此基础上，本文对合同所必需规则在具体场景的适用条件进行了详细梳理。

3.1 智慧生活场景下的合同所必需规则

智慧生活场景涉及设备激活、绑定与后续服务提供，该场景下合同所必需规则的适用如表1所示。这其中，仅有设备激活环节可适用订立合同所必需规则免于同意。并且可以看到，启动对智慧设备的激活是个人作为个人信息主体的一种主动行为，在个人信息主体以按键、开机等方式发出激活请求后，智慧设备背后的厂商应个人信息主体请求收集注册的用户名、设备名等必要信息是符合订立合同所必需规则的。

表1 智慧生活场景下合同所必需规则的适用情形

3.2 公共场所场景下的合同所必需规则

高铁站、汽车站以及公交车等是常见的与居民生活密切关联的公共场所。表2列举了该场景下合同所必需规则的适用情形。为提供基础的票务服务和行程管理，持卡人刷卡时，应当认为公共场所管理平台收集刷卡人的身份识别号、刷卡时间、乘车地点和下车地点等必要信息符合合同所必需规则。而且比较特殊的是，刷卡时所记录的信息具有双重的功能指向，既是订立合同所必需，也是行程过程中履行行程管理义务所必需。本文认为，此时刷卡人的“刷卡”行为可视为一种“准同意行为”，是刷卡人作为个人信息主体发出的合同订立要求。如此，既符合《个人信息保护法》第13条第1款第2项“为订立个人作为一方当事人的合同所必需”的要求，也与GDPR 第6.1(b)条“订立合同前应个人信息主体的请求而进行的必要数据处理”相契合，可进一步印证国内合同所必需规则落地实施的可行性。

表2 公共场所背景下合同所必需规则的适用情形

3.3 互联网金融服务场景下的合同所必需规则

网络借贷以及网络支付是常见的互联网金融服务场景。表3列举了合同所必需规则适用于上述场景的具体情形。上述场景下的产品与服务功能提供可区分为基本业务功能与扩展业务功能两大类。基于合同所必需规则对个人信息处理的必要性要求，仅在基本业务功能提供部分存在可以适用合同所必需规则豁免同意征求。首先，在网络借贷中，信贷服务提供是其基本的业务功能，互联网金融理财属于扩展业务功能。一方面，用户在平台或APP选择“立即申请”等具有信贷申请这一意思表示的按键时，网络借贷平台可基于订立合同所必需收集注册用户手机号码、借款人姓名、证件种类和号码、证件有效期限、银行卡号码。另一方面，收悉信贷申请后，信贷审批是实现信贷申请的必要环节，为履行对用户信贷申请的审批义务，收集注册用户手机号码、借款人姓名、证件种类和号码、证件有效期限、银行卡号码、个人征信信息应认为系履行合同所必需，可免于同意征求。其次，移动支付时代，微信、支付宝等网络支付已渗透至个人生活的方方面面。一方面，用户欲使用微信、支付宝等网络支付工具，必须进行实名等支付验证，此时应用户的网络支付开通要求，平台可免于同意收集注册用户手机号码、注册用户姓名、证件种类和号码、证件有效期限、银行卡号码等必要信息。另一方面，用户使用网络支付时，为促成网络支付交易的完成，平台同样可基于履行合同所必需规则收集注册用户手机号码、注册用户姓名、证件种类和号码、证件有效期限、银行卡号码等必要信息。

表3 互联网金融服务场景下合同所必需规则的适用情形

综上，上述适用合同所必需规则的情形仅限于实名验证、互联网金融服务支持等基本业务功能，对信用卡还款、金融理财等扩展业务功能则很少适用。

3.4 网上购物场景下的合同所必需规则

网络购物场景下，可基于订立合同所必需、履行合同所必需免于同意，具体适用情形如表4所示。本文将区分国内、跨境网络购物两大情形进行分析。首先是国内范围的网络购物。基于订立合同所必需收集的个人信息限于用户名、商品信息、配送地址以及支付渠道，并且上述信息收集主要为提交并确认用户订单所需。在订立网络购物合同过程中，如淘宝用户界面点击下单并显示下单成功后，淘宝作为个人信息处理者即可收集上述信息。此时，淘宝用户点击下单的行为已然向淘宝发出了订立网络购物合同的请求，为促成淘宝用户的订单交易，收集的必要个人信息可免于同意。此外，合同订立后，淘宝还负有保障商品交付以及售后服务提供的义务。因此，应当认为订单信息、支付信息、姓名、电话号码、地址属于平台运营商履行合同所必需的个人信息。其次是跨境购物。电商等网络购物平台作为“中间方”，提供交易服务时，基于用户下单，同样需要向相应的店铺经营者提供信息。此时，因为店铺经营者在国外，不可避免会涉及个人信息出境的问题。按照《个人信息保护法》第39条的规定，个人信息出境需要取得个人的单独同意。但因个人信息出境是用户成功订立跨境网络购物的必要前提，可适用订立合同所必需规则免于同意征求。之后，为保障跨境所购商品的正常发货、运输、签收，并提供售后服务，购物平台同样可基于履行合同所必需规则收集订单信息、支付信息、姓名、电话号码、地址等必要信息。同时上述个人信息出境亦是必要环节，可基于履行合同所必需规则免于单独同意的征求。

表4 网上购物场景下合同所需规则的适用情形

如图2所示，该场景下存在购物平台、用户以及店铺经营者三方关系。三方主体之间两两成立不同的合同关系：购物平台与用户、店铺经营者之间均分别成立网络服务合同关系，用户与店铺经营者则直接成立买卖合同关系。为订立、履行合同所必需，要求个人作为一方当事人与个人信息处理者之间共同构成合同双方。也即，上文提及的网络购物平台为订立、履行合同所必需处理必要个人信息，该合同指向的是网络购物平台与用户之间的网络服务合同，而非用户与店铺经营者之间的买卖合同。

图2 网络购物场景下合同所必需规则的适用

3.5 快递物流场景下的合同所必需规则

快递物流场景下合同所必需规则的适用情形如表5所示。该场景下，用户下单寄送快递，快递平台需收取快递订单信息并将面单打印粘贴在需寄送的快递上。此时，用户下单与填写快递面单是运输配送合同订立的关键，基于此收集寄件人的地址、电话、姓名应认为属于订立合同所必需的范畴。此外，履行合同过程中，出于配送服务提供需要，根据订单信息自动收集收件人地址、电话及姓名应认为属于履行合同所必需的范畴。

表5 快递物流场景下合同所必需规则的适用情形

当前物流运输发达，快递服务已成为上文提及的网络购物场景下的必要环节。此时，网络购物下的快递服务提供涉及用户、店铺经营者、快递服务提供者以及网络购物平台四方关系，个人信息在四方主体之间的流通处理是否存在以及如果存在具体如何确定合同所必需规则的适用空间？具体适用情形如表6所示。首先，为订立、履行合同所必需，要求合同双方当事人必需一方是个人，一方为个人信息处理者。因此只能在以下合同关系下讨论合同所必需的相关问题：(1)用户与店铺经营者(买卖合同关系)；(2)用户与网络购物平台(网络服务合同关系)；(3)用户与快递平台(运输合同关系)。第一，用户与店铺经营者构成买卖合同关系，如所购商品必需通过物流运输交付，应当认为店铺经营者收集收件人(即用户)地址、电话及姓名属于订立、履行买卖合同所必需的范畴。第二，用户与网络购物平台之间构成网络服务合同关系，网络购物平台主要是促成用户与店铺经营者之间的网络交易。网络购物平台不直接履行商品交付义务，但具有保障商品交付和售后服务提供的义务。此时，可基于履行合同所必需收集处理用户姓名、电话号码与地址信息(详见表4)。第三，用户与快递平台构成运输合同关系，因此为订立、履行双方的运输服务合同，快递平台可基于合同所必需规则收集处理收件人(即用户)地址、电话及姓名这些必要信息。

表6 快递作为网络购物必要组成时，合同所必需规则的适用列举

4 合同所必需规则适用的法律效果

上文主要就免于同意之合同所必需规则的原理内涵、具体适用情形展开，但这仅仅是合同所必需规则“什么情形下可以用”的阶段，合同所必需规则的落地实施还需要注重对规则适用后的法律效果把握。

4.1 合同所必需规则不排除其他合法性基础的适用

《个人信息保护法》对处理个人信息的情形进行了列举，从法律条文“符合下列情形之一……”的表述来看，同意以及《个人信息保护法》第13条第1款第2～7项规定的其他合法性基础之间是一种并列关系。因此，合同所必需规则并不能排除其他合法性基础的适用。如符合其他合法性基础如“履行法定职责所必需”等情形的也能适用，如此也能避免合同所必需规则被“一揽子”适用风险，提高适用的科学严谨性与精确度。不过，相较《个人信息保护法》第13条第1款第4、5项规定的合法利益、公共利益豁免以及合理范围内的公开个人信息处理，合同所必需规则的适用标准更为清晰。

4.2 合同所必需的同意豁免限于“单独同意”与一般同意

“同意”可具体区分很多种类型，除了一般同意以外，《个人信息保护法》第14条还规定了“单独同意”以及“重新取得同意”的情形，同时还会存在“撤回同意”的情形。结合《个人信息保护法释义》及条文内容来看，应当认为合同所必需规则可豁免“单独同意”征求，但对于“重新取得同意”这一情形可能不能转化适用。《个人信息保护法释义》指出“根据本条第2款的规定，本法中所有要求应当取得个人同意及单独同意、书面同意的规定，都是对基于同意这一合法性基础处理个人信息作出的要求，如果处理者是基于本条第1款同意以外的其他合法性基础处理个人信息，则不需要适用取得同意的要求”[10]。可见，“单独同意”可以为合同所必需规则这一其他合法性基础所豁免。况且“单独同意”适用的情形是法律、行政法规规定的，合同所必需规则也同属法定许可。因而，在适用合同所必需规则的情形下，豁免“单独同意”有一定的合理性。

与“单独同意”不同，“重新取得同意”不能因合同所必需规则而豁免。“重新取得同意”中的“重新”一词已揭示前期的个人信息处理系基于同意进行的。个人信息处理的合法性基础一旦确定不宜相互转化，在收集个人信息之后随意变更个人信息处理的合法性基础是不妥当的[10]。况且基于同意的个人信息处理要求更严，贸然以合同所必需规则豁免“重新取得同意”存在漏洞，容易导致合同所必需规则的滥用。《个人信息保护法》第16条规定“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。”这一条文规定本意在于限制个人信息处理者以提供产品或者服务为由强制个人信息主体进行同意授权或者缔约合同。该条规定与合同所必需规则既有联系又有区别。联系之处在于，当确为“必需”时，个人信息处理者可基于合同所必需规则免于同意处理上述必要个人信息，也可依据第16条的规定拒绝提供产品或者服务[5]。区别之处在于，显然合同所必需规则无法适用于“撤回同意”的情形。

4.3 合同所必需规则仅豁免同意征求义务

“告知-同意”仅是个人信息处理者应履行的过程性义务之一。因此，合同所必需规则仅仅豁免了个人信息处理者在收集个人信息前端环节的同意征求义务，个人信息处理过程中的其他应履行义务仍需履行。例如个人信息泄露时的及时通知义务、个人信息跨境提供的安全影响评估义务等。对于这一点，欧盟GDPR在《准则》中也有明确提及，合同所必需规则不豁免GDPR的其他要求。准确把握适用合同所必需规则后所豁免的义务范围，能够有效避免合同所必需规则的不恰当滥用，提升该项规则适用的规范性与落实执行的持久度。

4.4 合同所必需规则多为个人信息被处理者收益

对于个人信息主体而言，同意授权意味着个人享有选择与决定的权利。因而，“同意”一直被认为是实施个人信息保护的基石。通过前文的分析可知，合同所必需规则的适用目的并非赋予个人信息处理者“便利”，而更多的还是出于个人信息主体角度的考虑。在当前的数字经济时代，互联网与社会经济交互日益加深，个人生活难以完全脱离互联网。生活在互联网时代，个人信息处理纷繁复杂，且呈现出场景多样化的趋势。如果仅以“同意授权”作为个人信息处理的合法性基础，可以想象个人恐怕会笼罩在无尽的“同意授权”之中。合同所必需规则的创设其实扮演的是“减负”的作用，是基于个人信息主体权益维护、便捷互联网生活保障而衍生的合法性基础，多数情况下是有利于个人信息被处理者的。禁止个人信息处理者以改进商业模式或者拓展业务功能为由适用合同所必需规则也印证了合同所必需规则于个人信息主体有益的事实。但这并不意味着合同所必需规则只能适用被处理者获益的情形。数字经济时代下的利益获取，在个人信息主体与个人信息处理者之间是有不同界定的。个人信息主体的获益更加具体，而且是即时性的，而个人信息处理者的获益更多是潜在的、长期性的。

5 结束语

个人信息主体与个人信息处理者是个人信息处理中的两方主体。事实上普遍认为个人信息处理者处于优势地位，但法律意义上，两者都是平等的民事主体。两方民事主体之间因个人信息处理行为形成相应的权利义务关系。合同所必需规则恰好彰显了双方这样一种平等的民事关系，还体现了个人信息保护法与合同法之间的互动关系。并且，合同所必需规则已在《个人信息保护法》中有明文规定。因此，无论是从尊重私法自治还是执行落实法律规定的角度来看，合同所必需规则的实施均有其合理基础与合法依据。当然，正如学者指出的，合同所必需规则还存在条件限定过于宽泛、适用情形不尽明确的问题。对于上述问题，可以通过逐一明确规则适用标准、准确把握规则适用效果等途径解决，以推进合同所必需规则的落地实施。