个人信息保护中知情同意原则的双重审查
2022-03-22江波均周浩
江波均 周浩
摘 要:知情同意是侵犯公民个人信息行为的免责事由,检察机关需要同时考察知情同意的形式要件和实体要件,只有要件齐备才能认定信息主体的知情同意。形式要件上,检察机关应当做到全面调查,准确认定同意表述的明示性。实体要件上,检察机关应开展多元审查,从信息主体的意愿、信息主体的能力和知情同意的内容三个方面进行考察。
关键词:个人信息保护 知情同意原则 形式要件 实体要件
一、问题的提出
[基本案情]杭州某房产置业有限公司(以下简称“房产置业公司”)系某房地产项目的开发公司,房地产项目于2020年9月正式开盘,该公司设立售楼部,向社会公开预售房产。在预售前,房产置业公司在售楼部安装“智慧案场系统”,该系统由人脸抓拍机、缓存服务器、人证对比机、监控级硬盘及系统平台账号等组成,对来到售楼部的到访客户进行人脸抓拍,目的在于对到访客户来源进行区分。自2020年11月“智慧案场系统”正式启用至2021年4月,到访记录共记录到访人数1万余人;抓拍人脸10万余张上传至云端服务器,其中涉及购买房产的客户100余人。
在“智慧案场系统”运行期间,房产置业公司在售楼部主出入口、人脸抓拍摄像头安装点粘贴写有“温馨提示:本售楼处安装有人脸识别系统,您已进入视频监控区域,我们承诺保护您的人脸等信息安全,详情可扫描二维码或询问接待人员了解”字样的监控警示牌;在人证对比机旁粘贴写有“温馨提示:刷证时会采集您的人脸及个人信息,用于查询来访记录和签约管理,我们承诺保证您的人脸等信息安全。详情可扫描二维码或询问接待人员了解”字样的告示牌。该公司在警示牌和告示牌旁放置二维码,内嵌《关于收集个人信息的知情同意书》。
经检察机关随机抽取10名客户进行询问,客户均表示自己对售楼部现场收集人脸生物识别信息、身份信息的情况并不知情,更未作出同意的表示。
本案中房产置业公司虽然设置了告示牌、提示标语等,但房产置业公司未能取得到访客户的书面同意,不能认为到访客户作出了知情同意的意思表示,房产置业公司作为信息处理者,违反了知情同意原则,应当对其行为进行惩处。
对知情同意原则的认定决定了实务案件的处理方向,因此需要厘清知情同意原则的基础理念。此外,民法典以及《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)均未对知情同意的具体内容和判断方法进行明确。由此在实务办案中,应当对知情同意原则的具体规则进行探究,以判断信息处理者的行为是否具有知情同意的有效性。
二、知情同意原则的基础理念
知情同意原则的认定方法具有重要性,但在认定侵犯公民个人信息的行为时,检察机关需要先行明确知情同意原则的基础理念。这不仅决定知情同意原则的具体内容,更有利于检察机关确定个人信息保护的具体方案。
(一)知情同意的性质
对知情同意的性质可以从三个角度分析。
1.个人信息权在民法典中的体系定位因素。《个人信息保护法》后于民法典实施,而民法典作为民事主体合法权益的法典,应作为追溯个人信息权的重要法律依据。从民法典第990条的规定看,民法典没有将个人信息权与生命权、姓名权、肖像权等作为明确的并列权利进行表述,但笔者认为,这并不是对个人信息权在人格权属性上的否定。实际上,如果我们进一步对民法典进行体系解释,将不难发现根据民法典的体例安排,个人信息权位于人格权编下,带有明显的人格利益属性。尽管人格权从消极防御走向积极行使,正不可避免走向“物质性人格权”[1]的权利保护模式,但人格权归根结底具有人身依附性。因此,对个人信息权的侵犯应属于侵权行为。
2.个人信息在法律视野中的自决权因素。《个人信息保护法》第44条规定,“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;……”。这一条款是对信息主体的“个人信息自决权”的直接规定。个人信息自决权在本质上是信息主体对于其个人信息享有自主决定、分配、处置和收益的权利,与肖像权、姓名权等一般人格权具有同等的权利内容。更进一步来说,个人信息的有用性在于其相对于社会公众的可识别性,这一种可识别性构成了个人信息保护的公民隐私属性和个人尊严基础,而《个人信息保护法》为信息主体赋权,实现从可识别性到可支配性和可控制性的飞跃,“虽未得‘权利’之名,已获‘权利’之实”[2],因此个人信息权在运用上也应当归属于人格权。
3.《个人信息保护法》在立法模式上的协作性因素。从立法保护的模式角度看,《个人信息保护法》“是一部综合性的法律,信息处理关系包含了公法调整和私法调整两个部分”[3],其中关于个人信息的定义与民法典的规定一致,应当视为规范概念的衔接。由此《个人信息保护法》中的私法调整部分与民法典产生立法模式上的协作性,应当作为民法典的特别民事法律规范部分。同时公法调整的部分又能够形成个人信息权益的防御机制。故无论从与民法典的体系定位还是协作性上来说,个人信息保护均具有明显的人身属性。
筆者认为,以上三点足以说明知情同意是侵权行为的免责事由,而不是在信息主体与信息处理者之间形成法律关系的意思表示。
(二)检察公益诉讼的保护模式
个人信息权益属于人格利益,信息处理者对于个人信息的处理客观上构成对公民个人信息权益的侵犯,其中知情同意成为信息处理者行为违法性的阻却事由。需要说明的是,民法典和《个人信息保护法》并不限制个人信息的商业利用,但在信息处理的过程中,存在着较多用途上的限制,且允许信息处理者对于同意随时撤回,这就意味着双方之间并非平等的双务合同关系,而是信息主体在限定范围对侵权行为的允许和权利的放弃,即使信息处理者向信息主体支付对价,也应解释为信息处理者应承担的侵权责任。所以,在诉讼类型上,尽管信息主体可以对信息处理者进行“许可”授权,但发生纠纷时,信息主体在诉讼上应当选择侵权之诉而不是违约之诉,这也成为检察机关提起公益诉讼的理念基础。
知情同意原则作为免责事由,其产生作用的机理有两点:一是信息处理者正在或者即将要进行信息处理行为,即存在侵犯公民个人信息的客观现实;二是信息处理者与信息主体之间存在力量对比的失衡。在紧迫性和失衡性的影响下,《个人信息保护法》公法调整的部分允许行政机关、司法机关等国家权力机关介入,打破力量失衡的僵局,并允许检察机关根据信息侵害的现状选取公益诉讼保护模式。由此,检察机关在履行公益诉讼职责中发现涉及公民个人信息违法案件线索时,既可以提起民事公益诉讼,对侵权行为进行追责,又可以提起行政公益诉讼,要求行政机关对违法行为进行查处。在两种公益诉讼模式的选择上,检察机关可以灵活把握,在行政公益诉讼优先性的前提下,有必要地开展民事公益诉讼。
三、知情同意原则的实务判断
公益诉讼办案是线性的过程,检察人员根据调查核实的情况形成事实,再对事实进行法律事实的研判和归纳,最后对案件进行法律依据的分析。知情同意的判断正处在线性流程的第二个节点上。本案发生于《个人信息保护法》正式实施之前,对法律事实的研判仅能以民法典作为依据。但民法典的法律规定过于原则,需要检察人员对知情同意原则进行形式要件與实体要件的探究。笔者认为,检察人员在办案时,需要围绕形式要件和实体要件两个方面内容进行全面调查。
(一)形式要件的判断
1.同意表述上的明示性。在民法领域,意思表示可以是明示作出,亦可以是默示作出。但是在知情同意原则中,知情同意不能以默示的方式作出,应当在表述上体现出明示性。理由如下:一是在民法领域,即使是默示的意思表示,也是属于例外情况,不具有形式上的通常性。默示的意思表示是尊重交易习惯和当事人约定的例外情况,在法律关系的形成与变更过程中,明示的意思表示仍是通常的表现形式。二是侵权行为的免责事由更应体现出双方的交互性。侵权行为是对当事人合法权益的侵犯,面对合法权益受到侵犯的情形,当事人亟需对侵权行为表明态度。尤其是如果要免除侵权责任,更须在侵权行为人与当事人之间产生信息交互。三是《个人信息保护法》赋予当事人撤回同意的权利,但同时对撤回同意前的免责情形予以信赖保护。这就要求当事人对免责事由作出明示同意,否则将导致实务中责任认定的混乱与困难。四是个人信息权益在民事权利体系中具有自然的演进历程,但直至2017年才正式被法律规范所保护。因此,作为一种较为新型的权利形态,表述上的明示性对于信息处理者和信息主体双方来说,更符合社会生活的现状。
基于上述各种因素,如果当事人并未口头或者书面作出知情同意的行动,那么不能认为信息处理者获得信息主体的免责授权,其处理信息的行为应当认定为违法行为。从案件事实出发,房产置业公司在售楼部的入口处和人证对比机旁设置了告示牌,且告示牌的位置较为显眼,但需要进一步查明信息主体是否明示同意信息处理者收集个人信息。为此,检察机关除了对现场进行勘察之外,还需要向信息处理者调取明示同意的依据。从房产置业公司反馈的情况看,该公司并未取得信息主体的明示同意。与此同时,在个人信息收集过程中,默示同意不是知情同意的方式,即使信息主体观察到了告示牌的内容,但其未明确表示同意,不得认定信息处理者已完成告知义务。
2.同意载体上的多元性。从信息处理者的角度出发,对其科以较高义务,是保护权利的必然要求,但在知情同意作出的形式上,允许信息处理者采取多元同意载体。除了对于《个人信息保护法》规定的五种特殊情形以外,信息处理者在多数场景中既可以采取口头同意的形式,也可以采用书面同意的形式,甚至还可以采用录音录像的载体形式。在实务中,这几种同意载体不仅可以单独使用,还可以组合使用。
从本质上来说,知情同意的载体是信息处理者对免责事由的固定形式,具有诉讼证明的作用。法律规范虽然没有作出严格要求,但是对于信息处理者来说,口头同意的载体形式存在证明难题。主要理由是个人信息权益诉讼作为侵权之诉,未能突破“谁主张,谁举证”的举证责任框架,甚至在《个人信息保护法》中,侵权责任在司法认定上采取过错推定原则。这就导致信息处理者面临证明难题——在信息主体的简单举证之后,信息处理者将承担举证不能的不利后果。
因此,检察人员须秉持客观公正立场,在调查时应全面收集证据,不仅要收集侵权行为的客观证据,还应当注重收集明示同意和同意载体的证据。信息处理者确系采取口头同意的,检察人员应当扩大信息主体的取证范围,尽可能在同意载体上核实真实情况。如因信息主体数量较多导致案件产生海量数据验真的现实需求,则可以由检察人员“合理运用抽样验证方式”[4],对信息主体进行抽样验证。本案中,房产置业公司抓拍人脸10万余张,到访记录显示人员1万余人,存在海量数据主体抽样验证的现实需求。检察机关调取到访客户记录,对到访客户进行抽样调查,并制作调查询问笔录。经过调查发现,房产置业公司不仅没有通过业务员进行收集个人信息的提示,更没有为信息主体提供知情同意的载体。该公司将知情同意书嵌入二维码,但该二维码未经信息主体的签字确认,不具有责任免除的效力。故本案中知情同意的形式要件不具备。
(二)实体要件的判断
知情同意的作出是法律意义上的行动,但法律行动并非物理性的单纯举动,因为“纯粹客观的外在举动不能取代主观的内心意愿”[5],这就要求知情同意原则的认定在形式要件之外,还需具备实质上的内容要件。对于检察人员来说,实体要件的判断需要进行全面审查。
1.信息主体的意愿。关于信息主体的意愿,《个人信息保护法》有明确规定,要求信息主体在作出同意时,应当是自愿的。这就排除了信息主体受欺诈、威胁或胁迫的违法情形。但是上述三种情形在司法实务中毕竟是少数,多数情况下是信息主体面对同意承诺时的“无所谓”态度。对这种态度进行细分,第一种是信息主体为了享受信息处理者提供的服务或者产品,对于个人信息处分的无关紧要的态度;第二种是信息主体认为不作出承诺将无法享受服务或产品,不得已而作出同意处分的态度。
实际上,知情同意原则的核心在于保护“信息主体对个人信息的自决权”[6],对此,信息主体在作出同意时的自主意识决定了自愿性和真实性。笔者认为,司法实务中对于上述两种情形应作不同处理。第一种态度中,信息主体对个人信息并不重视,体现了“交易对价”的自愿性,属于自由意志下的免责承诺。第二种态度中信息主体虽然作出同意,却违背其自主意愿,应当认定为违背意愿,进一步认定信息处理者违反了知情同意原则。需要明确的是对后者不能作一刀切处理,应当综合判断信息处理者是否向信息主体透露不作出知情同意就不能享受服务或者产品的信息。
从案例来说,房产置业公司在售楼部的入口处架设了人脸抓拍设备,且设备一直处于运行过程中,只要进入售楼部的到访客户都被抓拍人脸照片,甚至路过售楼部的人都会被采集人脸信息。从这一点上来说,房产置业公司虽然在人脸抓拍机旁设置了告示牌,但是告示牌也只是形式上的提醒作用,其采集人脸信息的行为具有独断性,未给予信息主体以自主选择权。另一方面,从存储的方式来看,房产置业公司将人脸信息存储于云端服务器,其收集、存储的方式亦未经过信息主体的同意,违背了信息主体的意愿。
2.信息主體的能力。知情同意不是法律行为,不适用民法中关于民事行为能力的规定,但需要根据信息主体的主观识别能力作为判断标准。这基于两个理由:一是免责事由是对自身权利的放弃,尽管民法典未明文将受害人同意作为侵权责任的抗辩事由,但是从受害人自甘风险的条款等都可以看到受害人同意需要具有识别能力。从这一点上来说,限制民事行为能力人在识别能力上确有不足。二是信息处理者与信息主体之间本身已存在地位失衡,在限制民事行为能力人的对比中将更为明显。因此,需要法律规范对信息主体的能力进行限定。
根据《个人信息保护法》的规定,“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意”。这为信息主体的能力认定提供直接标准,但对于因精神疾病而导致识别能力不足的情况,《个人信息保护法》未直接认定。笔者认为,对于这一类情形,原则上应认为此类人员不具有知情同意的能力,但可以根据其监护人或者法定代理人的知情同意情况进行综合判断。
在信息主体的能力认定上,检察机关应在调取信息的基础上,对信息主体进行分类审查。10余万张人脸中确实有部分人脸信息存在重合,为此检察人员将目光放在到访客户以及购房者上,经过仔细核查,发现该公司抓拍的人脸信息不仅包括成年到访客户,还包括陪同客户来到售楼部的未成年人。案发时《个人信息保护法》未出台,民法典未对敏感个人信息进行严格区分,但仍可以将民法典作为认定信息主体能力的依据。本案中,难以判断随访的未成年人具体年龄,但从身高、外貌判断,不难分辨其为限制民事行为能力人,同时检察人员对到访客户进行询问,确定未成年人确属年满8周岁的限制民事行为能力人。即使从信息主体的能力角度出发,该公司也已违反了知情同意原则的实体要件,但此类主体数量并不多,还需要结合知情同意的内容深入判断。
3.知情同意的内容。知情同意的内容应当公开且全面。在数据社会中,信息主体的认识能力和社会经验均存在不同,又因“持续性的信息不平等关系”[7]的影响,信息主体可能不知晓信息处理的内容、后果等。由此,为规范信息的产生、处理和发展,信息处理者在开示处理过程时,不仅要公开收集信息的种类、用途、处理方式、处理期限,还需要明确处理信息可能会导致的结果,更需要对信息主体进行数据安全保障的承诺。基于此,检察人员在审查知情同意内容时,要注意以下方面:
第一,提示内容要全面、留痕,信息处理者还应对后果等不利内容进行明确提醒。第二,目的或者用途应当正当合法,信息处理者不得将信息用于承诺之外的其他用途。对于委托处理的信息,应当向信息主体明确委托处理者的具体情况。第三,对于涉及到较为专业的事项时,信息处理者应当为信息主体提供相应的专业知识,防止因知识代际所带来的信息主体决策偏差。第四,信息处理者应当如实告知信息主体享有撤回同意的权利。由于信息处理者在个人信息侵权责任认定中采用过错推定原则,如检察人员发现信息处理者违反上述知情同意原则的内容,可以在充分调查核实的基础上,认定信息处理者收集信息的行为不具备实体要件。
如案例中,检察人员要判断知情同意的内容,需要从告示牌的内容上进行语义归纳。告示牌的内容显示,该公司提示的是在该场所内安装有人脸抓拍设备,会对到访客户进行人脸信息的采集,是对客观行为的描述,但可以得出结论,即该公司未告知采集信息后的真实使用目的、处理方式、可能导致的后果等,知情同意的内容不具备。可见,本案中知情同意的形式要件和实体要件均不具备。
综上所述,检察机关在判断知情同意时,不仅要全面调查以证明知情同意的形式要件齐备,更要深入审查以论证实体要件齐全。在双重判断的基础上,检察机关才能认定信息处理者的行为取得信息主体的知情同意。
[1] 王利明:《人格权的属性:从消极防御到积极利用》,《中外法学》2018年第4期。
[2] 曹博:《论个人信息保护中责任规则与财产规则的竞争及协调》,《环球法律评论》2018年第5期。
[3] 王苑:《个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系》,《华东政法大学学报》2021年第2期。
[4] 陈海鹰等:《网络犯罪案件办理程序若干节点问题研究》,《人民检察》2021年第10期。
[5] 袁国何:《诈骗罪中的处分意识:必要性及判别》,《法学研究》2021年第3期。
[6] 管洪博:《数字经济下个人信息共享制度的构建》,《法学论坛》2021年第6期。
[7] 丁晓东:《个人信息权利的反思与重塑 论个人信息保护的适用前提与法益基础》,《中外法学》2020年第2期。
1692500783364