APP下载

隐私协议用户知情同意的认定

2022-02-28蒋文杰

中国检察官 2022年2期
关键词:敏感数据服务商知情

● 李 伟 蒋文杰/文

[基本案情]

淘宝公司以公示的隐私协议为载体经用户同意后收集、使用用户原始数据,经过淘宝公司一定的脱敏化处理和信息深度挖掘后形成了“生意参谋”产品,以给用户提供更好的服务。美景公司则以提供远程登录“生意参谋”数据产品淘宝用户电脑的技术服务为招揽,通过组织、帮助他人利用已订购“生意参谋”产品服务的淘宝用户所提供的子账户获取“生意参谋”数据产品中的数据内容,自己从中牟取商业利益。

淘宝公司以美景公司不正当竞争为由提起诉讼,美景公司则认为淘宝公司所收集用户原始信息的行为不合法,故以原始数据为基础的“生意参谋”产品不能认为是淘宝公司的财产,美景公司的行为不构成不正当竞争。2019年,杭州中级人民法院对淘宝软件有限公司(简称淘宝)诉安徽美景信息科技有限公司(简称美景)涉“生意参谋”零售电商数据平台不正当竞争纠纷案进行二审终审,维持一审杭州互联网法院判决。[1]

一、问题的提出

淘宝诉美景案被称为我国首例大数据产品不正当竞争纠纷案,对我国今后大数据纠纷的解决将会起着巨大影响。法院认定,数据公司在对网络用户浏览、搜索等行为痕迹所产生的巨量原始数据基础上,经过处理后形成的衍生数据依法享有合法权益。一般情况下,数据公司会通过与用户签订隐私协议进而取得对原始数据进行处理的权利。但此时是否能直接依据契约自由原则,视为用户已经知情同意数据公司取得对原始数据的处分,值得讨论。

在淘宝诉美景案中,法院明确涉案数据产品“生意参谋”不具备能够单独或者与其他信息结合识别自然人个人身份的可能性,故其不属于网络安全法中的用户个人信息,而属于用户非个人信息(单独或者与其他信息结合不能识别特定个人的信息)。事实上,“生意参谋”是淘宝公司通过收集用户原始数据加工处理后得到的,也就是说“生意参谋”的合法性与收集原始数据的方式具有关联性,收集原始数据的方式不合法,那么“生意参谋”的合法性便存疑。法院在审理认定中并没有讨论“生意参谋”原始数据的收集方式是否合法,而是跳过该过程将“生意参谋”认定为非个人信息,相当于直接承认收集原始数据的方式是合法的,此处值得深入讨论。法院对收集、处理用户个人数据合法性的认定表明,法院对隐私协议是否合法合理没有进行审查,如此,服务商将会对隐私协议采取放任的态度,用户的知情同意权便会受到影响。因此,为了保护网络用户的知情同意权,对隐私协议的规范不可避免。对此,可以采取一套合理有效的知情同意认定标准,只有符合知情同意的隐私协议才能成为服务商收集、处理用户数据的依据。

就现行立法而言,知情同意的认定标准处于一种模糊不确定的状态。网络安全法第41条第1款规定:网络运营者收集、使用用户数据信息应遵循合法、正当、必要原则,告知收集使用方式、目的和范围,并经用户同意。其中的“正当”具体应如何理解,法条没有进一步明晰。消费者权益保护法第29条第1款与网络安全法的规定相类似,不是非常清晰。《信息安全技术——个人信息安全规范》(以下简称《规范》,该《规范》由全国信息安全标准化委员会2017年12月29日正式发布,2018年5月1日实施,该《规范》的目的在于,遏制个人信息非法收集、滥用、泄露等乱象,最大程度地保障个人合法权益和社会公共权益)对网络服务商收集、处理用户个人数据作出了较为明确的规定,但由于其是推荐性标准,所起的作用仅仅是执法参考和说理依据。所以,立法方面关于知情同意认定的规定不多,知情同意认定标准过于模糊、不确定,所以亟需对知情同意认定的有关规定进行完善、明晰。

综上,本文的研究重点是,网络服务商的隐私协议应当满足哪些条件,才可以视为符合知情同意。为此,文章先从隐私协议对知情同意保护的现实困境出发,分析实践中隐私协议的不足表现,在隐私协议性质的界定基础上探究隐私协议不足的本质原因。然后,探究知情同意的本质与表示方式,以便知情同意认定标准的构建。最后,由于知情同意的成立需检视其构成要件是否满足,所以在知情同意认定标准问题上,引入知情同意的构成要件作为认定标准或许可以缓解知情同意认定标准较为模糊所带来的困境。

二、隐私协议对用户知情同意保护的现实困境

隐私协议作为用户与服务商沟通的“桥梁”,通过与用户建立信任来进一步影响用户提供个人数据的意愿。[2]可以说,隐私协议与知情同意的关系非常密切,在研究知情同意的认定上更是绕不开隐私协议,因为,对知情同意认定提出的建议最后均需要落实在隐私协议的设置上。通过对淘宝、京东、网易、百度、亚马逊等著名网络服务商隐私协议的分析、总结,我们发现,由于服务商的优势地位和信息控制,往往会使得用户的知情同意难以得到有效保障。

(一)隐私协议保护用户知情同意不足之表现

首先,无论是国内的淘宝、百度、京东等大流量的服务商,还是国外亚马逊、Facebook等巨头,其隐私协议均存在内容繁杂、篇幅较长、表达过于专业化的现象。专业人士对这些隐私协议的理解尚不能以轻松形容,普通大众对其的理解则可以想象,这对用户知情权的实现造成了阻碍,进一步影响用户的具体特定同意。

其次,网络服务商对于隐私协议的更改比较频繁,很多情况下更改之后并不会提示用户,服务商更倾向于将更改后的协议放置在公告平台上,让用户自己去寻求有关更改信息,这一做法的实际效果与预想的相去甚远。原因在于用户在服务商的网站上寻求服务时并不会寻找有关隐私协议的信息,即便愿意寻找,公告平台处于网站上的位置也不明显,需要花费一定时间才能寻找到,更不会关注隐私协议是否更改;还有就是一些服务商更改后的协议与之前的协议没有进行对照列示,这些原因导致用户对更改后隐私协议的忽视,也会影响用户知情权的保障。

再次,实践中隐私协议有关收集用户个人数据的内容并不全然与执行合同或提供服务之目的有着直接或间接的关系,与法律的规定相左。欧盟《一般数据保护条例》(GDPR)第7条第4款规定,在评估同意是不是自由作出时,应最大限度考虑合同的执行包括服务的提供是否以基于不必要的同意个人数据处理为条件。[3]有学者认为,服务商无需通过同意来获取与执行合同或提供服务所必需的个人数据,在收集、处理其他相关个人数据时,用户的知情同意为其提供了合法性基础。[4]我国网络安全法第41条第2款规定,收集的个人数据必须与所提供的服务相关。这样一来,法律的规定几乎没有给服务商获取执行合同或提供服务所必需的个人数据以外的数据空间,而现实中的隐私协议却依然存在获取非必要数据的现象。

最后,一些隐私协议的构造与设置存在不合理的地方,体现在选择-加入与选择-退出机制的采用上。选择-加入机制,是指用户以积极方式,如勾选同意之方框,来表示允许服务商对该个人数据的收集、处理。选择-退出机制,就是服务商在隐私协议中预先拟定用户之同意,再由用户进行选择,若对某项表示反对,则通过删除或者勾选不同意之方框来表示不同意。[5]对比两种机制的优劣,选择-退出机制对用户个人数据的保护弱于选择-加入机制,因为在个人的信息数量一定的情形下,将较多的信息纳入到隐私协议中(即允许服务商进行收集、处理),势必增加该部分信息安全的风险。事实上,采用选择-退出机制的隐私协议中用户大多都会遗漏将一些不必要或者重要的信息排除出协议外,这些被遗漏排除出协议的信息将处于隐私协议内,其安全性由用户单独把握变成用户与服务商共同主导,而多一个信息主导者无疑增大了信息安全的风险。所以,在两者功能、提供难度等相似的情况下,前者的适用空间因对数据保护不足必将被后者挤压。对此,欧盟也因选择-退出机制的劣势和其不符《一般数据保护条例》第4条第11款所要求“肯定”之方式,而将选择-退出机制排除适用。[6]由于我国法律法规未规定隐私协议的采用机制,所以实践中,仍有部分服务商采用选择-退出机制,这对保护用户数据安全非常不利。

(二)隐私协议的性质与困境之本质

实践中隐私协议中的问题更甚,上述是经过分析服务商隐私协议总结出来的几个主要问题。然而,这只是隐私协议对用户知情同意保护不力的外在表现,其保护不力的本质究竟为何?是否与隐私协议的性质相关?是接下来需要探讨的问题。

学术界关于隐私协议的性质界定有着不同看法,主要分为两个学说,即合同说与规制工具说。

合同说,就是网络服务商与网络用户之间的隐私协议应定性为合同。这一学说仍然将隐私协议视为契约自由的产物,赞成这一学说的不仅有外国学者,[7]也有国内学者认为隐私协议不是一种声明,而是建立在双方合意基础上的协议。[8]司法实践中,也有法院将隐私协议视为合同的一种,例如,我国法院在审理卢星与小米科技有限责任公司网络购物合同纠纷案中,法院就将该案中的隐私协议视为合同。[9]在该案中,小米公司的隐私协议规定了管辖的条款,在卢星与小米公司发生纠纷向法院起诉后,一审法院直接裁定将案件移送至管辖条款规定的法院,二审法院适用民事诉讼法第34条的规定认为当事人间存在有效的管辖约定,进而维持原判。[10]

规制工具说,该说认为:隐私协议是服务商进行告知与选择机制的主要方式,有效的告知要求满足用户的知情权,即须明确告知用户收集、使用个人信息的方式、范围、目的等,用户的选择依赖于告知和同意而作出。该机制的目的主要在于实现用户自己把握自身信息的被收集与使用,达到真正的个人信息自主,让希冀于收集使用用户信息的服务商限制自己不法收集使用用户信息的欲望。[11]还有一些支持规制工具说的学者认为隐私协议不仅有着灵活性强、易于执行、成本低廉的特点,甚至可以部分替代监管的作用。[12]

上述两种学说是从不同角度和关系进行探讨的,合同说从服务商与用户两者间的关系出发,规制工具说从服务商与规制机关的关系进行展开,[13]两者均具有一定争议。对于合同说,其比较符合生活中大众关于隐私协议的认知,但还是有部分学者对隐私协议视为合同,持反对意见。Daniel和Woodrow认为隐私协议是指网络服务商以在线文件的方式自愿主动声明自己对消费者个人信息保护的原则和措施,他们认为隐私协议仅仅只是一种声明,并不是合同。[14]还有部分反对合同说的学者认为,隐私协议不能视为合同,仅构成企业政策告知书,理由是合同乃当事人共同协商的产物,而如今的隐私协议基本由网络服务商提供,根本不是磋商的产物,且几乎没有给用户提供更改的空间,因此隐私协议不能被视为合同。[15]对于规制工具说,该学说存在不合理的地方,用户信息具有的商业价值对服务商来说具有极大的吸引力,隐私协议又为服务商所提供,仅寄希望于隐私协议发挥限制服务商的功能恐怕不太现实。本文认为,将隐私协议定性为合同更加合适,理由如下。

第一,隐私协议的成立是服务商要约与用户承诺的结果,符合合同属性的要求,且合同说在我国司法实践中被采纳过,也符合普通大众的认知,将其认定为合同具有正当性。至于学者对该学说的反对意见,若将隐私协议视为声明或政策告知书,那么服务商获取用户信息的合法性基础便会消失,因为声明与政策告知书仅具有告知功能,用户与服务商的交往系单向,自服务商指向用户,用户的同意便无以表达,没有用户的同意便收集使用用户信息实属于法无据,因此不能将隐私协议视为声明或政策告知书。至于规制工具说,其自身的缺陷太难弥补,仅关注隐私协议限制服务商这一功能,合同说也有着相似的功能,因为合同规定双方权利义务,根据权利义务相一致原则,在服务商享有收集使用用户信息权利的情形下,势必会被课与一定义务,以此达到权利义务相一致,所以规制工具说的部分限制功能合同说也同样具有。总而言之,两者相权,合同说更具有优势。

第二,从自由经济学派关于自由经济的观点探讨隐私协议的存在与本质。对于自由经济来说,其主要基于四个理论预设:理性人;完全竞争;法律上人格平等与行为自由;社会利益表现为个人利益的总和。[16]理性人可以具体为生产者、销售者与消费者,他们处于商品交换的两端,处于一端的生产者与销售者追求的是利益最大化,因而尽量降低成本获取最大利益;而处于另一端的消费者追求的则是效用最大化,使尽量低的成本获取好的商品或服务。[17]现实中,网络服务商提供的是网络服务,网络用户的需求却不一定是网络服务,但其需求都得借助网络服务来实现。例如,若仅是浏览新闻,则供给与需求是一致的,此时用户的需求为服务商提供的网络服务,服务商为服务提供者;若为网购,用户的需求为商品或服务(非网络服务),服务商一般不直接提供商品与服务,而是作为平台提供网络服务来实现消费者的用户与卖方的交易,此时服务商提供的网络服务只是实现交易的工具,不是用户获取的目标。用户与服务商的交往,是建立在两者之间的数据流通上,主要方式包括浏览、点击、同意等。在民法总则明确了网络数据可作为财产权,我国民法典也明确了该项权利后,数据对数据权利者的意义就不再限于人格上,用户在网络上寻求服务时,所产生或提供的原始数据(包括用户的各种信息)基本属于用户自身所有,服务商获取原始数据时须征得数据所有者的同意,否则获取数据于法无据。自此,用户寻求服务时离不开服务商,服务商获取用户的原始数据须征得用户的同意,这种关系需要稳定下来,就需要一种“契约”来实现。因为契约具有的法律价值之一便是有利于当事人形成权利义务的预期,当事人可以根据自己的选择预见法律行为的后果,维护交易关系的稳定性。[18]这种契约就是人们熟知的隐私协议,因此将隐私协议视为“合同”具有充分的合理性。

明确隐私协议的合同属性,不难发现网络服务商的隐私协议是由服务商预先拟定,目的是提供给不特定的多数用户重复使用,无论是协议中的条款还是协议本身,均不存在用户与服务商的磋商的情形。格式条款的认定要从主客观两方面进行考察,并排除其消极要件,其中预先拟定与重复使用属于主观方面,单方提出是客观方面,自由磋商为消极要件。[19]因此,隐私协议满足格式合同的要件,其性质可进一步定性为格式合同。

在前述基础上,探究保护知情同意的困境便容易了许多。我国法律对格式合同的规定主要集中在被废止的合同法中,而其中的内容已被民法典所承继,民法典对提供格式合同一方自由进行限制,要求提供的合同须遵循公平原则,合理、合法地设置双方权利义务,不能加重对方的义务或减少对方的权利。隐私协议作为格式合同的一种,须满足民法典中的第496条对提供格式条款一方所做的要求,即提供的隐私协议应满足公平原则,而从实践中隐私协议在此原则上表现不足的情况来看,隐私协议保障用户的知情同意并没有落到实处,其本质就是格式合同未能满足公平、诚信原则。

三、知情同意的本质与表示方式

在对知情同意本质研究的基础上,才可以更深层次地了解知情同意。而对表示方式的探究,是因为采用合适的表示方式对隐私协议的构造与设置有着决定性影响,进而更有利于知情同意的认定。对知情同意本质与表示方式的研究,是为知情同意认定标准引入构成要件进行铺垫。

(一)对质疑知情同意的回应

知情同意作为意思自治原则在网络服务商收集、使用网络用户个人数据的原则性条款,一直为人所诟病,甚至有人认为应放弃这一机制,寻求其他路径。质疑者认为,知情同意机制已经跟不上互联网、大数据的发展。首先,用户难以理解冗长的隐私协议,往往选择跳过阅读直接进行同意;其次,用户往往因为获取心仪服务而被迫同意;最后,用户经常对数据被收集不知情,难以向收集者甚至第三人主张权利。[20]传统的知情同意机制虽有若干弊端,但并不能对其全盘否定,其仍有存续的必要。知情同意作为意思自治原则在数据收集领域的适用,体现的是用户的自由意志,其在网络数据收集领域重要性犹如意思自治在民法中的地位,具有不可替代性。[21]而且,我国有关法律、司法解释与部门规章也突出了知情同意的重要性,如网络安全法第41条、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条、《征信业管理条例》第13条等,都规定了收集用户个人数据需以用户知情后同意为前提。从我国学界主流见解来看,多数学者也均将知情同意权作为个人信息权的具体权能或者权利内容。[22]所以,鉴于知情同意的重要性与不可替代性,不能对其全盘否定,为了使其适应互联网的快速发展,需对其进行改善。本文着重对知情同意的认定标准进行明晰。

(二)知情同意的本质探究

互联网的发展是把双刃剑,人们享受着其带来的便利,同时也面临其带来的风险,这个风险主要就是个人信息安全保障不足,信息有着泄露的可能。在这个时代,互联网上个人信息保护备受关注,知情同意机制是个人信息保护的基础。[23]知情同意机制要求用户知情得到保障后进行同意,是用户获取隐私协议的信息经过思量后作出的选择,可以将其二分为主观知情状态和客观同意行为,前一状态得到保障是后一行为的有效要件。

知情是主观获取信息的状态。在认定知情的过程中,无法洞察用户主观是否已知悉隐私协议的内容,只能借助于客观的隐私协议与之后的同意行为来进行推定。由于服务商和用户之间的市场地位不对等,服务商有着明显的优势地位,将无法推定用户知情的风险转嫁给服务商是比较合适的,即若隐私协议符合公平、诚信原则,则用户进行同意后,无论用户是否真正知情,皆认定其已知情。反之,则推定用户知情未得到保障,其同意效力受到质疑。将用户主观心理不可探究的知情与否取决于外在可视隐私协议是否符合公平、诚信原则更有利于知情的认定,这为接下来的引入构成要件作为知情同意认定标准定下了基调。

关于同意的本质。德国学术界意见不一,有认为是法律行为,有认为是事实行为,还有认为是准法律行为。[24]欧盟《一般数据保护条例》第4条第11款将同意认定为用户自愿作出的意思表示。中国台湾地区《个人资料保护法》第7条第1项将同意定性为意思表示。王泽鉴先生认为当事人同意的本质应属于法律行为,其目的是体现个人数据保护中当事人自主,建构私法上的规范机制。[25]我国有关立法没有对用户同意的本质作出规定,但从有关条款可以探知立法者对于同意的态度,如网络安全法第41条第1款规定的“收集、使用用户个人信息应当经过用户同意”,在这里同意宜视为法律行为,因其功能是给服务商收集使用之行为提供合法性基础,使服务商与用户之间产生收集、使用个人数据的法律关系,具备法律行为应有的要素。

(三)知情同意的表示方式

在表示方式上,用户同意行为之表示须为书面形式、电子形式,还是口头形式也被允许;同意须明示表示,还是默示表示也可被接受,这些问题值得斟酌。我国台湾地区“个人资料保护法”第7条第2项中对同意并没有明文规定需要明示,换言之,在对法条进行解释时,默示同意有其存在空间。而从另一角度看,承认默示同意或许对用户的保护不足,还有可能增加服务商日后举证之困难。[26]从该项还可以看出同意可以采用书面、口头或电子形式,日常中,普通大众接触到的基本是电子形式的隐私协议。欧盟《一般数据保护条例》则沿袭1995年的《数据保护指令》,其第4条第11款并不要求必须采取书面形式,只需要具体明确即可,这给另外两种形式的同意留下了空间。欧盟《一般数据保护条例》立法理由第32点对该款中“明确的肯定形式”做了补充说明,确定“明确的肯定形式”包括电子形式和口头声明。[27]可知欧盟对同意有着积极肯定的要求,默示同意没有存在之空间。

我国有关立法对同意的方式与形式均未规定,仅《规范》第3.6条对同意作出了较为具体规定,其规定同意应由用户通过书面声明或者主动做出肯定性动作进行表示,包括用户主动作出声明、主动勾选、主动点击“同意”“注册”“发送”“拨打”等行为。由此可见,《规范》对同意有着积极主动要求的倾向,从立法层面与实践层面须衔接配合来看,我国将来之立法也会对同意有着积极主动要求的趋势,这样一来,默示同意几乎没有存在的空间。至于口头同意,其取证着实困难,在现行技术未能解决取证难之问题时,不宜将口头同意纳入同意的范围之内,如若某一服务商本身之技术、资金足够解决取证难等问题,在有关法律修改或者制定时可以考虑对其预留空间,保留同意方式之弹性。至于服务商的隐私协议采用选择-退出机制是否可行,单从上述规范的积极主动同意之规定来看,选择-退出机制无疑符合条件,但是该机制对用户个人数据的保护力度却不及选择-加入机制,因为用户不得不容忍服务商隐私协议之预设,对服务商收集、使用资料的范围、方式等具有不明确的认识,对个人数据保护具有较大不确定性。况且,在选择-加入机制已足够满足数据之收集、执行合同之必要的情况下,实在没必要冒着牺牲用户个人数据安全的风险来赋予选择-退出机制以合法性。故,我国在知情同意的表示方式上,宜采用积极主动明示同意的形式;在技术条件允许的情况下,保留口头同意之空间;并放弃选择-退出机制之适用可能性。如此,对知情同意的表示方式进行细化明确的规定,更有利于对知情同意进行界分、认定。

四、知情同意构成要件的引入

知情同意是否有效成立,须对其构成要件进行检视,因此,将构成要件作为知情同意的认定标准具有一定合理性。欧盟《一般数据保护条例》第7条规定了同意的构成要件,将同意的构成要件分成知情的同意、具体特定的同意、自由的同意。[28]从知情同意属于法律行为,法律行为的本质为意思表示可以推出,用户的同意需要明确具体,非出于服务商欺诈和胁迫等意思表示不自由的情况。[29]法律行为生效须具备生效要件,依照最新实施的民法典第143条,当事人具有相应的民事行为能力为其生效要件之一;相似的,用户的同意也要求网络用户具有同意能力。至于个人敏感数据,其与用户个人隐私有着高度重合,敏感数据泄露具有不可逆转性和长期性的特征, 因此有必要对其加以额外的法律保护,[30]这也是本文将其从普通数据独立出来进行研究的原因。

(一)用户须知情

用户的知情权对应于服务商的告知义务,而告知义务的履行途径主要依靠于服务商的隐私协议。本文认为,隐私协议的内容满足知情权的要求和知情的表示方式满足个人数据保护的要求时,才可认为用户的知情权得到了保障。

隐私协议的内容满足知情权的要求,服务商必须给用户提供更加清晰全面、突出重点、浅显易懂的信息和要求,自主充分地履行告知义务,这样才能让用户作出理性的选择,同意权才能有效地行使,所以知情权的保障要求服务商提供符合公平、诚信理念的隐私协议。京东、百度、网易等网络服务商的隐私协议均不同程度有着不合理设置,其中主要问题有:隐私协议内容冗长,重点信息未突出,重要信息不简明扼要;过多使用专业词汇,不利于广大网络用户的理解;有些词语意思较为模糊,未作出明确的解释;网络服务商更改隐私协议的频率过于频繁,每次变更的内容过多且未与之前的协议作对比。上述问题均会一定程度影响用户知情权的保障,因此,在认定隐私协议是否满足用户知情权时需考虑协议中有无上述问题之存在。淘宝隐私协议也具有篇幅太长,使用专用词汇,词语意思不明确等问题,因为这些问题,淘宝隐私协议并没有对用户知情保障到位。

如前所述,选择-退出机制不利于保障用户知情,这种情形下,个人数据安全得不到足够保障,故隐私协议应放弃选择-退出模式。在法律没有明确规定下,难免会有服务商采取选择-退出模式的隐私协议,如此,在对用户知情这一要件进行认定时,隐私协议是否采用选择-退出机制将是一个合适的考量标准。

(二)用户须具有同意能力

同意作为民事法律行为,其行使主体应具有同意能力,这里需要考虑同意能力如何认定。欧盟《一般数据保护条例》规定,只有在儿童年满16周岁时,基于其同意的数据处理才是合法的;如果儿童未满该年龄,则只有在有监护权的父母同意或授权的情况下,数据处理才是合法的;欧盟各成员国可以规定更低的年龄门槛,但不得低于13周岁。由此看来,欧盟《一般数据保护条例》将16周岁规定为具有同意能力年龄,但考虑未成年人接触网络的频率越来越大,接触的门槛越来越低,成员国可以规定更低的年龄这一规定考虑了不同的国情,规定的年龄过小不足以保护未成年用户,规定得过高则脱离实际。德国法对当事人同意的年龄未加规定,但其通说认为不应以民法规定的18岁(成年年龄)为同意能力年龄,而以当事人是否具备同意能力为标准。[31]是否具备同意能力是指当事人是否具备理解普通事物的能力,在个案中,以当事人的状况和数据信息收集者收集利用的目的和范围来认定。[32]从域外有关立法与学说来看,普遍不赞成将成年年龄设置为同意能力年龄,主要原因是由于接触网络年龄层级愈发年轻化。

我国《规范》第5.5条c款规定收集未满14周岁的未成年人信息前,应征得其监护人的明示同意;而民法典第1035条第1项规定,收集信息要经过该自然人或者其监护人同意,但法律、行政法规另有规定的除外。这就说明收集未成年人等无民事行为能力人或者限制民事行为能力人的个人信息,应征得其监护人同意。可以看出,民法典对收集未成年人的信息的要求更加苛刻。淘宝隐私协议中并没有明确规定具有同意能力的年龄,仅仅规定未成年人未经父母或监护人的同意不得创建账户和提供数据,此处淘宝隐私协议将完全行为能力年龄视为同意能力年龄,符合民法典的规定,但该规定是否符合现实?台湾学者许文义认为同意仅需具有辨识和判断力,能够理解同意的内涵和意义即可。[33]本文以为,对于现在未成年人接触网络越来越早,将成年年龄设置为同意能力年龄确实过高,那么在现实使用网络的年龄层级年轻化的情形下,将来立法如何规定同意年龄?本文的观点是,在基本符合民法典对同意能力要求下,实务中法院或者有关行政机关在考虑同意能力年龄时可以适当降低。这主要是考虑到许多未成年人早早地接触到了网络,并不是所有未成年人对信息的收集不能正视其后果,可以说,相当一部分高年龄的未成年人了解信息收集的有关风险。在实际情况不宜将成年年龄认定为同意能力年龄,为了不盲目地阻碍服务商的正常经营行为,减少其成本,应结合未成年人具体的心智水平、社会阅历等因素来认定其同意能力,可以适当低于成年年龄。而对于未成年人信息保护的这一方面,已有一些网络服务商从事前设置了保护机制,犹如青少年模式,还可以设置信息收集前的提示音等方式提醒未成年人合理、谨慎地使用互联网。[34]而在事后的救济和赔偿等方面可否在有关规定上得以确立是保护未成年人信息的另一种途径,值得我们继续摸索以及研究。

(三)用户须具体特定同意

具体特定的同意是指用户具体特定的意思表示,即对于服务商收集、处理、分享个人数据信息的目的和范围有清楚明确的认识,对可能发生的结果有所预料。该要件以用户知情为基础,只有对所需提供的信息种类、范围、途径等各方面都知情,才能权衡利弊,作出具体特定的同意行为。国外对同意要求具体特定也不缺少法理依据,如欧盟《一般数据保护条例》第4条第11款要求同意是清晰具体的。我国网络安全法第41条第1款要求收集、使用信息的目的、方式要明示,据此,如果用户是因为没有指明收集处理数据信息的目的和方式而概括同意,那么该同意应认定为无效收集处理信息的合法性基础不存在。淘宝隐私协议中规定了收集使用用户数据信息的各种目的,而且还有兜底条款,兜底条款中明确规定会事先征求用户的同意,这便为用户行使特定的同意提供了保障。尽管如此,淘宝隐私协议要满足该要件,还需对用户知情进行考量,从前文得知,在保障知情方面,淘宝隐私协议不符要求,故此要件淘宝隐私协议也不满足。

(四)用户须自主同意

德国《联邦个人资料保护法》第4a条第1款规定,当事人同意应建立在数据主体自主同意的基础上。也就是说同意有效的前提是当事人的意志处于自由状态,未受到外界任何强迫或压力。我国网络安全法第44条没有德国法规定得那么具体,只是规定任何个人或组织不得以窃取或其他非法方式获取个人数据信息。这里的“非法方式”可以解释包括强迫或使用户意思不自由的方式,由此来看,我国法律规定对用户自主同意的保障程度并不低。要认定自主同意,需对影响用户同意自由的因素进行探究,影响用户自主同意主要有当事人双方市场地位不对等和用户受到不当刺激、引诱两类情形。

在网络服务商与用户双方之间,一方是服务提供者,一方是服务接受者,两者的市场地位通常是不对等的。市场地位不对等可能影响着用户进行同意的意思表示自由。这种情形下,网络服务商提供的隐私协议通常只有同意与否两种选择,要么同意全盘接受隐私协议,要么就只能拒绝同意进而放弃心仪的商品或者服务。这种市场地位不对等的原因,或是由双方经济实力和谈判实力不对等所致,或是由于双方之间资讯不对等导致,更多的是前两种原因交错导致的。[35]在仅由资讯不对等导致市场地位不对等时,可以借助资讯的揭露和告知来缓和不对等。[36]在前一种原因导致的情形下,问题较为复杂,双方公平互利地交往怕是难以实现,更可能的是服务商“店大欺客”,限制用户同意自由。用户拒绝同意即不能与服务商签订合同获取服务,一旦同意则有可能发生侵害用户资讯自主权的情况,这样一来,自由同意逐渐沦为假象。

在市场地位不对等的情况下,如何保证用户同意自由地作出?用户的市场地位无法提升到与网络服务商相等或者大致相等的程度,所以能做的就是对服务商的优势地位进行约束,对此,是否可以从立法层面进行规定?或者类似于消费者保护一样希冀于行业自律发挥作用?从立法层面来看,法律手段的管理功能具有明显的滞后性,因为制定或认可一定的法律规范这一过程总是落后于社会关系本身产生于发展的过程。[37]立法的过程是缓慢稳重的,不是在短时间内就可以与互联网快速发展相匹配,这种滞后性不适合发展迅速的互联网行业。再者,用户的同意属于私法自治的范畴,若单个用户一厢情愿地接受不公平的隐私协议也无可厚非,法律不能在此情形下进行父权式干预,只有在不公平的隐私协议可能侵害多数人时,法律才会被希望发生调节作用。所以从立法层面对服务商的地位进行限制可能并不是合适的途径。从行业自律方面来看,可以由行业自身制定自律规范,并经有关主管机关审核的方法,来达到限制服务商不对等地位保护用户的目的,例如欧盟《一般数据保护条例》第40条和德国联邦资料保护法第38a条就进行了类似规定。事实上,经过审核后的行业自律已经失去了行业自律本身的意义,其性质更类似于主管机关的审核,这种途径的缺点在于行业标准如何制定,能否充分保障用户知情同意的要求。另外,自律规范的能否落实也是个实际的问题。

由此来看,上述两种途径均有其弊端,寻求更适合的途径不可避免。在双方地位不对等的情形下,可以由行政机关公布隐私协议的范本或应记载与不得记载事项,来限制服务商的优势地位。[38]这种行政管制手段,一方面可以克服行业自律强制性较弱的不足,行业自律这条路走不通是由于我国不具有自律传统和观念,民间组织发展不健全,自治能力较差,自律规范难以落实。[39]另一方面可以抑制立法途径的滞后性和一昧地父权式干预。这种由政府机关进行把关,既不放任双方自我管理,又排除完全的立法干预,或许是一种平衡网络服务商与用户之间利益较为稳妥的方法。

正如上述所说,当事人双方市场地位不对等可能会引发用户同意不自由的情形,在市场地位不对等的情况下进行同意是否自由的认定具有一定难度,需采取介于立法规制与行业自律之间的行政管制手段来克服立法滞后性与自律规范难以落实的弊端。此种情形下,用户同意是否满足自主同意之要求?德国联邦法院表示,当事人若对于契约的成立具有依赖性,且相对人将当事人是否同意相对人对其数据信息进行收集、处理设置为契约成立与否的条件,这种情况下,当事人的决定并不处于真正自由的状态。[40]淘宝现行隐私协议只有同意与否两种选择,该协议是否剥夺用户自主同意权则要分析用户对合同成立的依赖度。事实上,用户之所以选择在淘宝上获得相关商品或服务并不仅仅只在于获得商品或服务本身,为自己省去时间、精力成本和淘宝对用户的个性化服务也是用户选择在淘宝上获得商品或服务的重要原因,如若只考虑用户获取商品或服务这一目的,势必会得到用户对合同成立不具有依赖性的结论,因为用户同样也可从京东、亚马逊等类似的服务商获取相同的商品或服务,但由于提供的个性化服务与淘宝有差别,所以才会导致用户对合同的成立具有依赖性。因此在探讨用户对合同成立的依赖性时,还需将其从淘宝获得服务的其他原因纳入考量的范围。

用户同意不自由的情形不单因当事人市场地位不对等导致。根据德国联邦最高法院的见解,用户同意不自由的情形还包括受到超乎寻常奖励措施的刺激与诱导,如赠送礼品、抽奖等,这样应认定用户的同意属于不自主。[41]这是因为用户在受到诱惑与刺激时,无法理性对同意作出评估,此时可以认定用户同意之意思自由受到不当影响。[42]

综上所述,造成同意不自由的原因包括双方市场地位不对等和用户受到引诱。在前一情形下,需要综合考虑用户对合同成立的依赖性;在后一情形下,只要用户受到不当刺激、诱导,应认定为同意不自由。

(五)有关个人敏感数据的同意

个人敏感数据是指,一旦泄露或滥用,极易危及人身、财产安全或导致人格尊严受到损害、歧视性待遇的个人数据。[43]欧盟各成员国在上世纪70年代对敏感数据的保护主要通过隐私权来实现,其有几个不足之处:一是隐私权保护的是一种与自身私密的信息,而敏感数据范围包含且不限于私密信息,以较小保护范围的隐私权来保护较大范围的敏感数据实在欠妥;二是隐私权的保护具有消极性,即被侵害后才能实施,而敏感数据传播、转移的快捷性要求对其保护不能是延后、消极的,否则难以阻断传播,排除继续损害;三是传统隐私权受侵害后的损失具有确定性,而敏感数据的损失不一定即时就能得到确定,其损害可能发生在不可预的将来,所以传统的隐私权保护制度已不符时代所需求。德国在上世纪70年代将个人数据进行划分,以导致危害的程度为标准,将危害程度高的设为敏感数据。2018年欧盟实施的《一般数据保护条例》也坚持此种划分标准,并逐步对敏感数据的保护进行完善。由此来看,对敏感数据区别于普通数据信息进行保护逐步得到大多数国家的认可。我国的张新宝先生也主张“区分不同的个人信息以划定保护和利用程度的不同”的观点,将个人信息区分为个人敏感隐私信息与个人一般信息,重点保护个人敏感信息。[44]

对于敏感数据同意的认定,首先需明确哪些数据是敏感数据。有关法律为个人数据提供了根本性的保障,但并没有标明“敏感数据(信息)”。网络安全法给个人信息下了定义,认为“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息等”。《规范》未明确区分个人一般信息和个人敏感信息,但也给出了个人敏感信息的概念和从国家标准层面界定和列举了个人敏感信息的内涵和外延。[45]虽说《规范》有关敏感数据的内容已经为国内最为完善、科学的规定,但仍然有着不尽如人意的地方,在敏感数据的界定上,未像2012年颁布的《信息安全技术个人信息保护指南》那样作出“各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定”灵活的规定。[46]即《规范》的规定过于刚性,事实上每个人的敏感数据不是完全一样的,而是随主体与行业不同而有差别,对敏感数据的界定还应考虑具体情况。

在对哪些数据属于敏感数据已被认定的情形下,由于敏感数据对用户人身利益有着重要影响,其重要性明显高于普通数据,需对其进行高于普通数据的保护。我国《征信业管理条例》中的第13、14条对个人普通数据允许经用户同意而收集,对于特殊数据(可理解为敏感数据)禁止收集,除非明确告知信息主体可能产生的后果,并取得主体的书面同意,这两条规定体现出对敏感数据的特殊保护。[47]而且敏感数据的可识别性越强,被保护的强度应越大;敏感数据可能对消费者造成损害的风险及损害范围与程度越大,被保护的强度也应越大。[48]敏感数据的同意应视数据视敏感度而进行界定,否则敏感数据区分高低就毫无意义。所以,先依具体情况分析出哪些数据属于用户个人敏感数据,再依敏感数据的敏感度对同意进行认定,该认定标准应高于普通数据。这样一来,才能对不同的敏感数据的同意进行恰当地认定。

五、结语

当下,个人数据保护已经成为时代焦点之法律命题,在将来,也必将是时代之焦点议题。知情同意原则作为个人数据保护的私法基石,也必将继续发挥着不可磨灭的作用。知情同意原则的贯彻不仅有利于用户个人信息安全的保护,而且也为服务商收集、处理数据奠定了合法性基础。至于知情同意的认定标准,宜以知情同意的构成要件为条件,将知情同意构成要件视为知情同意的认定标准。

用户知情方面,在隐私协议的构成设置上,宜采用选择-加入机制保障知情权,且隐私协议应提供突出重点、浅显易懂的内容。同意能力年龄的设置上,在无其他更为明确确定的理由下,考虑到保护过小未成年人的数据安全和实践中使用网络年龄层级愈发年轻化等因素,法院或者行政部门在同意能力年龄认定上可以试着以实际情况如个人心智的成熟度等因素为依据 。具体特定同意方面,服务商所需用户数据的范围与处理方式等应是具体明确的,使用户服务商收集、处理、分享个人数据信息的目的和范围有清楚明确的认识,对可能发生的结果有所预料,这样用户的同意才是特定的、有效的。自主同意方面,在当事人双方市场地位不对等的场合下,可以由有关行政机关介入对服务商的优势地位进行限制,即行政机关公布隐私协议应记载与不得记载事项,服务商的隐私协议不符合行政机关的要求则应认定为不满足知情同意;若为用户受引诱、刺激而作出同意的情形,则可直接认定为同意不自主。在个人敏感数据同意方面,先依具体情况分析出哪些数据属于用户个人敏感数据,再依敏感数据的敏感度对同意进行认定,且敏感数据的同意标准也应高于普通数据。

回到淘宝公司诉美景公司一案中来,二审法院作出维持原判表明二审法院肯定了一审法院对于淘宝公司隐私协议形式及内容的合法性,即淘宝公司隐私协议经用户同意之后获取用户信息的约定合法有效。本文对此不与赞同,隐私协议生效与否当然以经用户同意为必要条件,但更为重要的一点在于隐私协议本身的形式与内容是否能满足用户知情的需要。

一审法院将淘宝公司收集用户数据的行为是否正当归纳为案件争议焦点,并认定淘宝公司收集使用用户信息的行为合法正当,主要理由为:淘宝公司公开了隐私协议并经用户在隐私协议等文件中的许可授权后,收集、使用原始数据的目的、方式和范围在法律范围之内,即表明满足了用户知情同意原则,淘宝公司的收集、使用行为即受法律保护。二审法院亦表明争议焦点之一在于淘宝公司隐私协议收集用户数据的约定是否有效,二审法院认为合同条款效力问题不属于案件审理范畴,且无任何证据表明淘宝公司凭隐私协议收集涉案信息属于非法行为,应认定淘宝公司依据约定合法取得数据。

一审法院审查认定的重点偏向了用户同意层面,而忽视了用户知情层面,一味强调淘宝公司公开隐私协议并获得了用户授权许可即满足知情同意原则,殊不知隐私协议的形式和内容才是实践中影响用户知情权的主要因素所在,经本文第二部分和第四部分的分析,淘宝公司在隐私协议篇幅、措辞用语、重点信息突出、更改隐私协议后的告示等方面做的不够,并未能充分保障用户的知情权,所以一审法院对该争议焦点的认定说服力有所欠缺。二审法院同样未全面检视淘宝公司隐私协议形式与内容,仅凭无证据表明淘宝公司依隐私协议的约定获取用户数据行为属于违法行为就肯定该公司收集、使用用户数据的正当性更有理屈词穷之嫌。

注释:

[1] 参见杭州市中级人民法院:(2018)浙01民终7312号民事判决书。

[2]参见刘百灵、万璐璐、李延晖:《网络环境下基于隐私政策的隐私保护研究综述》,《情报理论与实践》2016年第9期。

[3]参见京东法律研究院:《欧盟数据宪章〈一般数据保护条例〉GDPR评述及实务指引》,法律出版社2018年版,第232页。

[4] 参见林玫君:《论个人资料保护法之“当事人同意”》,《东海大学法学研究》总第51期,第157页。

[5]参见翁清坤:《告知后同意与消费者个人资料之保护》,《台北大学法学论丛》2013年版,第87页。

[6] 同前注[3]。

[7] See Scott Killingsworth, Minding Your Own Business: Privacy Policies in Principle and in Practice,7 J.Intell. Prop. L. 57, 91-92 (1999).

[8]参见谈咏梅、钱小平:《我国网站隐私保护政策完善之建议》,《现代情报》2006年第1期。

[9] 参见甘肃省天水市中级人民法院:(2016)甘05民终427号民事裁定书。

[10] 《中华人民共和国民事诉讼法》第34条。

[11] See Joel R. Reidenberg et al., Privacy Harms and the Effectiveness of the Notice and Choice Framework, 11 I/S: J.L. & Pol’y for Info. Soc’y 485, 489-90 (2015).

[12] See Ben-Shahar O., Schneider C. E., The Failure of Mandated Disclosure,University of Pennsylvania Law Review, vol. 159, issue. 3, 682(2011).

[13] 参见高秦伟:《个人信息保护中的企业隐私政策及政府规制》,《法商研究》2019年第2期。

[14] See Daniel J. Solove & Woodrow Hartzog, The FTC and the New Common Law of Privacy, 114 Colum.L.Rev.583,587(2014).

[15] See Jay P.Kesan, Carol M:Hayes, Masooda N.Bashir, Information Privacy and Data Control in Cloud Computing: Consumers, Privacy Preferences, and Market Efficiency, 70 Wash. And Lee L. Rev. 341,426(2013).

[16] 参见刘凯湘、张云平:《意思自治原则的变迁及其经济分析》,《中外法学》1997年第4期。

[17] 参见王丽萍:《对契约自由及其限制的理性思考》,《山东大学学报》2006年第6期。

[18] 同前注[17]。

[19] 参见朱岩:《格式条款的基本特征》,《法学杂志》2006年06期。

[20] 参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。

[21] 参见齐爱民:《信息法原论》,武汉大学出版社2010年版,第58页。

[22] 参见余筱兰:《信息权在我国民法典编纂中的立法遵从》,《法学杂志》2017年第4期; 齐爱民、李仪:《论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间》,《法学评论》2011年第3期; 陈甦:《民法总则评注 (下册)》,法律出版社2017年版,第785页。

[23] 参见田野:《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》,《法治与社会发展》2018年第6期。

[24] Von Zimmerman, Georg, Die Einwilligung im Internet, Berlin,2014. S.10-12.

[25]参见王泽鉴:《人格权法》,北京大学出版社2013年版,第214页。

[26] 同前注[4]。

[27] Erwaegungsgrund (32) in Verordung (EU)2016/679 des Europaeischen Parlaments und des Rates vom 27. April 2016.

[28] 同前注[3]。

[29] 同前注[4]。

[30]参见陈骞、张志成:《个人敏感数据的法律保护:欧盟立法及借鉴》,《湘潭大学学报》2018年第3期。

[31] Rogosch, Die Einwilligung im Datenschutzrecht,Nomos Verlag, S. 293.

[32] OLG Frankfurt am Main, Urteil vom 30.06.2005,Az.: 6 U 168/04.

[33]参见许文义:《个人资料保护法论》,台湾三民书局2001年版,第239页。

[34]参见胡梅、刘征峰:《未成年人个人信息保护研究——以〈未成年人保护法(修订草案)〉为视角》,《预防青少年犯罪》2020年第2期。

[35] 同前注[4]。

[36] 同前注[5]。

[37] 参见顾爱平、王琪生:《法律手段的局限性及弥补途径》,《法学杂志》1992年第4期。

[38] 同前注[4]。

[39]参见齐爱民:《个人信息保护法研究》,《河北法学》2008年第4期。

[40] 同前注[31]。

[41] BGH v. 16.07.2008, DuD 2008,818,820.

[42] Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität , Mohr Siebeck Verlag,S.83-84.

[43]参见胡文涛:《我国个人敏感信息界定之构想》,《中国法学》2018第5期。

[44]参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期。

[45] 参见《信息安全技术——个人信息安全规范》第3.2条。

[46]参见《信息安全技术公共及商用服务信息系统个人信息保护指南》第3.7条。

[47]参见《征信业管理条例》第13条。

[48]参见鞠晔、王平:《云计算背景下欧盟消费者个人敏感数据的法律保护》,《法学杂志》2014年第8期。

猜你喜欢

敏感数据服务商知情
干扰条件下可检索数字版权管理环境敏感数据的加密方法
航天卫星领域专业服务商
论IaaS云服务商的著作权侵权责任
实现虚拟机敏感数据识别
基于透明加密的水下通信网络敏感数据防泄露方法
基于4A平台的数据安全管控体系的设计与实现
知情图报
浅析知情同意在药物临床试验中的实施
静海县人大常委会组织知情观察
期刊展示宣传服务商