敏感个人信息单独同意条款适用研究
2022-12-29陶斌智轩雅倩
陶斌智 轩雅倩
(广西师范大学 法学院,广西桂林 541000)
“单独同意”条款系《个人信息保护法》第28条所规定。所谓“单独”只能起到排除概括同意适用的作用,是同意的形式之一,还包括明确同意和书面同意[1],是指立法时对处置敏感信息或特定情况所采取的特殊规范,意在对信息管理者提出更为严格的规定,以维护个人信息主体知情权等个人信息权利。在该法实施前,对该规定的争论一直不绝于耳,论者主要围绕同意本身缺乏必要性和真实性,而使得单独同意条款的适用流于形式展开。
本文认为,该条款的设置是否科学合理,取决于人们对它在司法与社会实际运用过程中的深入检视。因此,笔者于“小包公·法律AI”类案检索平台中,对包含“敏感个人信息”的判决进行检索,共检索出46份有效判决书,其中,“淘宝公司诉美景公司不正当竞争纠纷”系列判决最具参考价值,本案的争议焦点之一为“用户勾选同意淘宝公司隐私政策的行为是否缺乏真实性”。两审法院均认为,淘宝公司在注册界面设置隐私政策链接提示用户在注册成功前阅读,表明其已经履行告知同意的义务;用户注册账号时勾选了淘宝公司的隐私政策,代表用户同意了淘宝公司处理其敏感个人信息,淘宝公司基于用户同意处理敏感个人信息的行为具有正当基础。但笔者认为两审法院将“勾选隐私政策即同意”作为裁判依据,有浮于表面之嫌,未深入考究“点击即同意是否代表实质同意”“隐私政策是否合法合规”等问题,这些问题的判断对裁判结果具有决定作用,而解决上述问题,首先需要对隐私政策的文本设计与实施进行考察并剖析成因。为此,笔者随机调查了5类20款APP隐私政策文本(1)需要说明的是,由于检索出的判决时间大都在《个人信息保护法》实施以前,我国法律当时并未要求处理敏感个人信息需要用户单独同意,仅仅运用以往的案例研究单独同意条款的适用情况,则说服力较弱。本文着重研究法律实施以后单独同意条款的使用情况,考虑到两者本质上属于同一问题,故在此合并研究。,发现APP供应商将勾选隐私政策作为使用软件基本服务的前置条件,变相强制用户同意隐私政策,实则逃避了对个人信息及隐私的约束,剥夺了用户的选择权,使得立法条款的适用流于形式。因此,笔者认为对单独同意条款的适用进行更为深入地探讨极为必要。
一、问题的提出:单独同意条款适用流于形式
《个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等文件共同明确了APP供应商在收集敏感个人信息之前应当履行告知义务,以及不同种类的APP可以且必要收集的敏感个人信息之范围,其目的是保障用户的敏感个人信息在最小限度内被收集,以贯彻单独同意条款。笔者从地图导航类、问诊挂号类、学习教育类、拍摄美化类、求职招聘类各选取4个代表性的APP隐私政策进行考察。为了评估隐私政策对单独同意条款实施的达成度,笔者将影响隐私政策的达成度细化为以下8个测度指标:a. 是否有隐私政策;b. 文本字数是否超过一万字;c.是否有简略版文本;d.是否存在强制授权; e.是否超出必要范围收集; f. 是否出现或出现类似“单独同意”的表述;g.对个人敏感信息搜集实际是否让用户单独同意;h.是否提前要求授权个人敏感信息(表1中分别用字母a-h以此表示这8个指标)。
表1 移动互联网应用程序的隐私政策评估
通过上述实证分析发现APP适用单独同意条款普遍存在以下问题。第一,用户被要求强制授权。笔者发现调查中65%的APP都出现强制授权的现象,它们与淘宝公司诉美景公司案的情况相同,利用用户对APP的刚性需求要求用户在注册时点击同意隐私政策,将勾选隐私政策作为使用软件基本服务的前置条件,变相强制用户同意隐私政策,否则便不允许用户使用APP,实则逃避了对数据信息及隐私的约束,剥夺了用户的选择权。例如,“好大夫在线”APP在用户拒绝勾选隐私政策后便迫使用户退出,或不受用户控制而自行闪退到手机主页面,当用户再次进入APP主页面则要求用户登录账号,但登录账号的前提是要去勾选同意隐私政策,否则不能登录;“赶集直招”APP在用户进入时提示收集用户的位置信息,用户点击“不允许”后再次弹出授权弹窗并言辞决绝不容用户选择,暗示性要求用户非同意收集其位置信息不可;进入“作业帮”APP时,出现“是否同意APP收集您的位置信息”的弹窗,但当用户并未点击“同意”时,在APP界面的左上角的定位处便已经显示出了用户所在的城市位置信息。
第二,信息收集者仅形式上履行告知义务。“告知”包括两个要点,一是APP供应商应当将所收集敏感个人信息的范围、使用事项等使用户真知知晓并理解,二是告诉用户其敏感个人信息是如何被收集、使用等事项。调查发现APP供应商往往认为出现“隐私政策”即完成了法律规定的告知义务,在上述“淘宝公司诉美景公司案”判决中法官也是如此判断,即淘宝公司在界面设置了隐私政策链接,即认定淘宝公司履行了告知义务,对用户是否真正知情隐私政策的条款或意义在所不问。但实际上APP供应商仅停留在了告知的第一个步骤,只是告诉用户具有“告知同意”的权利,并没有让用户真正行使同意权。
第三,敏感个人信息仍被一揽子夹杂授权。敏感个人信息之单独同意条款要求APP供应商在收集敏感个人信息时应当将该部分的授权请求单独拿出来,一项一项地征求用户同意,而不能将其打包捆绑、不加区分地一揽子纳入隐私政策,要求用户一次性整体授权。然而,调查中发现只有15%的APP在其隐私政策中出现了“单独同意”或类似表述,25%的APP对敏感个人信息收集实际上也没有经过用户单独同意。例如,“足迹”APP在隐私政策中仍将用户的实时地理位置信息置于非敏感个人信息中,要求用户一揽子授权。
如此看来,“行为同意”不等于“思想同意”,隐私政策仅为“点击即同意”协议[2],用户不真正享有自主决定权,使得单独同意条款的适用流于形式。
二、失灵成因:法律规范的局限分析
我国法律上敏感个人信息保护相关的法规多从框架性的角度出发,即从敏感个人信息处理的“单独同意”以及“必要目的”“严格保护”等原则性安全保障措施展开,法律规范关于是否贯彻保护制度的界定规则较为粗略,实用性较低。
(一)单独同意性质不明
我国法律上规定可基于用户的单独同意处理用户之敏感个人信息,同意与同意的撤回共同勾勒出用户在数据处理活动中的能动性边界。学界对告知同意存在的问题展开了广泛讨论,但目前对于“同意”的性质及效力依然存在争议。在法理论中,权利的性质将直接对该条款的适用产生影响,不同性质的权利其正当化的理由亦不相同,而“同意”的性质也势必会影响单独同意条款的适用。关于“同意”的性质,学术界存在意思表示说、违法阻却事由说。
立法机关曾在《个人信息保护法(草案)》一审稿中将同意界定为是自愿、明确作出的意思表示,但是在二审稿中改成了“同意由个人在充分知情的前提下,自愿、明确作出”,删除了“意思表示”一词,目前实施的《个人信息保护法》也维持了二审稿的表述。由此可见,我国法律上目前并未界定同意的性质。意思表示说认为,单独同意是用户作出的意思表示,其可适用《民法典》中关于意思表示的规定,即用户撤销因欺诈、胁迫或重大误解而做出的意思表示[3]。违法阻却事由说认为,基于用户单独同意而处理用户敏感个人信息的同意,属于免责事由或违法阻却事由,而非意思表示[4]。对此,笔者认为违法阻却事由说更加合理,而不赞同意思表示说。原因在于《个人信息保护法》第15条规定的“个人有权撤回其同意”无法完成民法意思表示理论上的逻辑推演。其一,处理者在处理信息前发出请求处理信息主体之敏感个人信息的要约,信息主体作出同于要约的意思表示(承诺),同时满足其他民事法律行为生效的条件,则该法律行为生效。民法理论上的意思表示撤回的意义在于阻止前项意思表示生效,故撤回的意思表示须较前项意思表示先行到达[5],但实践中信息主体根本无法达到法律的要求,暂且不论实践中一般都是“点击即同意即生效”的模式,设置“撤回同意”的端口的处理者也是极少数群体,例如小米直播APP便在其隐私设置中设立了“撤回同意”的勾选框,并解释“您将撤回对小米直播隐私政策的同意”。相反,大多数处理者都不会设置撤回端口,还会事前声明“如果你对隐私政策有疑问,请通过邮件的方式联系我们,我们将在收到反馈后十五天内予以回复”,可见若将其视为意思表示,信息主体则根本无法真正享有法律赋予的撤回权。其二,依梅仲协先生之见,意思表示的撤销需存在法定原因[6],而我国法律上规定的是基于同意处理的个人信息,信息主体对此享有任意撤回权。
若将用户作出的同意视为一种意思表示,则APP供应商不合法地适用或直接不适用单独同意条款,用户则将其意思表示扩大解释为一种胁迫或重大误解,便可撤销其意思表示。如此一来,势必会影响敏感个人信息处理之稳定性,增大APP供应商的运营成本,进而造成对单独同意条款适用的积极性降低。
(二)单独同意实现路径单一
如上文所述,APP经营者与用户往往时空交错,若欲履行单独同意条款设定的义务,APP经营者往往会通过APP主界面的隐私政策链接实现。但我国法律上目前并无专门针对隐私政策而立的规范性文件,从而引发隐私协议的性质不明、隐私政策文本合法性考察与规制缺乏直接依据等一系列问题。
学术界对隐私政策的性质存在争论,其性质的不确定性必然影响对个人敏感信息保护强度,性质之争主要分为两种学说:一是合同说,即将隐私政策视为APP经营者与用户之间的合同;二是规制工具说,即将隐私政策看作APP经营者向用户履行告知义务并让用户进行选择的一种方式[7]。若将隐私政策看作合同,即民事法律行为,其成立并生效的要件分别为行为人具有相应的民事行为能力、意思表示真实、不违反法律和行政法规的强制性规定(2)《民法典》第143条“具备下列条件的民事法律行为有效:(一)行为人具有相应的民事行为能力;(二)意思表示真实;(三)不违反法律、行政法规的强制性规定,不违背公序良俗。”,但仔细考察发现,APP隐私政策大多数均是无效的民事法律行为。原因在于隐私政策的同意与否决定用户是否能使用APP,用户往往是因为想要获得APP服务才被迫同意隐私政策,这中间就夹杂了用户的无奈与意思自治不自由,此时的同意是否为真实的意思表示有待考究。此外,法律规定处理个人敏感信息应当取得用户的单独同意,不能夹杂授权个人敏感信息,还规定处理敏感信息应当遵循非必要不收集原则,但考察发现仍有许多APP夹杂授权并收集非必要的敏感信息,此时隐私政策(合同)便违反了法律的强制性规定,故隐私政策归于无效。若将隐私政策当作供应商履行义务的规制工具,其仅具有规制告知功能,故供应商可以在告知文件中表述出所有的其想要告诉用户的信息,不必遵循单独告知同意等规定,此时便不违反法律和行政法规的强制性规定。
综上,隐私政策的定性很大程度会影响APP供应商对单独同意条款的主动适用意愿,但目前我国法律并未明确隐私政策的性质,其必然会留下法律漏洞或弹性解释空间,势必影响敏感个人信息的保护。
(三)实现单独同意保障粗疏
《个人信息保护法》第七章“法律责任”仅7条,第66、67、68条罗列了惩罚性行政责任、强制性行政责任和补救性行政责任,第69条、第70条分别规定了民事责任和刑事责任。实践中,被侵权人往往更关注自身经历不法侵害后所得到的救济和补偿,故笔者在此仅对民事法律责任进行论述。
根据我国现行法律法规的规定,用户的敏感个人信息权益受到侵害后,行为人承担的民事法律责任主要有停止侵害、赔礼道歉、赔偿损失。《个人信息保护法》第69条规定了损害赔偿责任,赔偿数额标准有:其一是个人实际受到的损失;其二是侵权人实际利益所得;其三是对前两条标准的兜底,可理解为当上述标准均难以确定时,则根据实际情况确定赔偿数额。该法的立法理念与最高人民法院通过的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款规定一致,法官在无法确定具体损失数额时可以行使自由裁量权确定以50万为上限的赔偿数额(3)最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款规定“被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”,而被侵权人也能基于此规定产生合理期待。由于信息系统的开放性与技术依赖性,司法实践中很难通过《个人信息保护法》第69条规定的前两条标准确定对于被侵权行为人如何进行赔偿、以及如何计算赔偿数额,法条并未对赔偿“实际情况”进行概括式说明或对应考量哪些因素进行情景列举,也没有配套法律、法规或司法解释对其辅助,故在这种“虚实结合”的法律关系中法官很难量化公民实际受到的损失。法律对侵害后果没有给予明确规定,无法确认具体赔偿的计算,这意味着没有向被侵权人提供产生心理预期的条件,在一定程度上也无法向侵权人传达法律规制其侵权行为的力度,被侵权人的人格权益无法得到很好的保护。也许有人会说,侵犯敏感个人信息的法律后果可以参照上述侵犯私密信息的法律后果。其实不然,采取了“隐私权”和“个人信息”的表达方式,说明将隐私作为人格“权”进行保护,主要是适用的是侵害人格权的一般保护方法与精神损害赔偿;而由于个人信息具有可利用性,将其作为人格“权益”进行保护,而利益的保护是有限制的,以防止利益保护过于宽泛而影响他人的行为自由[8]。
由上可知,违反单独同意条款后对用户所应承担的法律后果,取决于“实际情况”,但法律规定的“实际情况”不明,认定存在障碍,赔偿金额无法确认,导致处理者有恃无恐,使得单独同意条款适用的实际效果大打折扣。
三、破局设想:优化司法保护路径
对于单独同意条款适用的研究, 大多数学者聚焦于基础理论上, 围绕同一个问题去寻找法理上的支撑, 而忽略了在司法路径上的具体研究。单独同意条款之具体化,应坚持科学、公正司法。从方法上来说,要坚持《个人信息保护法》的稳定性与大数据时代的发展变动性相结合;从策略上来说,要正确处理立法具有滞后性的局限性;从技术上来说,要注意法律、规章及法律解释之间横、纵关系协调一致。解决单独同意条款适用流于形式的问题,最重要的是实现从“宏观思维”到“微观思维”的转变,需要司法机关运用司法权以辅助法律适用。
(一)构建单独同意条款的规范标准以增强可操作性
实践中在适用单独同意条款呈现出僵化和不完善特征的原因,即在于我国法律未明确规定单独同意的概念以及同意的性质,制定法中该条款具有抽象性与模糊性,对于该条款援引没有权威和准确的法律框架指引。鉴于该领域的法律实施不久,应维护制定法之稳定性与权威性,司法解释作为准立法[9],应当归纳基层法官基于裁判权对该类案件作出的裁判解释,构建一套符合我国国情的单独同意条款法律评判标准,对该条款的立法原意进行确认与深化,弥补制定法本身的局限,以推动单独同意条款在司法裁判中的价值实现。
我们应当立足我国法律体制现实,以宪法为依据(4)《个人信息保护法》最终纳入“根据宪法”条款,表征着个人信息保护法律体系在底层逻辑上的更动。,在总结我国个人信息权益保护实践,参考欧盟、美国等经验的基础上,规定单独同意的概念和性质。我国宪法为单独同意条款具体化提供了价值指引,回溯宪法的基本价值决定是厘清单独同意之意涵与性质的逻辑起点。《宪法》第33条第3款“国家尊重和保障人权”是其被公法给予保护的理论基石,第38条第1句“中华人民共和国公民的人格尊严不受侵犯”是其作为积极权利的规范依据,第40条第1句“中华人民共和国公民的通信自由和通信秘密受法律保护”属于个人信息权益内涵之一[10]。我们需要结合司法实践对个人信息权益、人格尊严以及通信相关权利纠纷中涉及的单独同意标准进一步细化。就其内涵,如何理解单独同意的内涵?笔者认为单独同意是指在处理敏感个人信息或处理其之特殊行为(例如,向第三方共享、公开披露等)时,处理者应对此逐项取得信息主体的同意。申言之,其一是禁止概括授权(一揽子授权),处理者需要单独向信息主体告知处理敏感个人信息的必要目的以及处理的影响,并取得信息主体明确的同意,若处理者采用捆绑授权迫使信息主体同意的,不能认定为同意,亦未取得处理敏感信息的合法性基础;其二是禁止强制授权,也有学者称为应贯彻拒绝提供服务的限制规则[11],若处理者要求以用户同意作为提供服务的置换条件,处理者发生纠纷时以此为由抗辩,人民法院不予支持。其三是需明确告知处理事项,只有处理者明确告知收集、存储、使用、加工等事项,才可能使信息主体真正知晓同意的后果,从而做一个保护敏感个人信息的“理性人”[12]。就其性质,应当将其定性为违法阻却事由。用户对其敏感个人信息享有合法权益,APP经营者对敏感信息处理的行为,客观上是对用户敏感个人信息权益的干扰,违反了法秩序,具有暂时甚至永久的非法性,而APP经营者必须具备正当合法性才能排除处理敏感信息带来的非法性。从我国法律上来看,该正当合法性来自单独同意和法定许可,二者构成了处理用户敏感个人信息的法基础。作为敏感个人信息权益的所有者的用户,在同意APP经营者处理其敏感信息后,APP经营者客观上实施的干扰行为,对于用户而言,便不构成干扰。同时,用户的敏感个人信息基于法定许可也可以被合理利用,从而平衡敏感个人信息权益之保护与利用的关系。
(二)强化类案检索机制以统一责任承担标准
法官在司法实践中所面临的首要问题应当是事实问题,而非法律问题。有关敏感个人信息权益案件的因素包含甚广,许多案件涉及虚拟空间、现实空间等极为复杂的社会关系以及互联网、大数据、云计算等专业性领域的问题,法官无法精通各领域的专业知识,缺乏类似案件的审判经验,个人固有的价值观和经验会更深刻地影响到涉及公民个人信息权益问题的司法决定,加之《个人信息保护法》第69条“实际情况”规定不明等立法缺陷,这些都给司法保护带来巨大的困难。公民在APP使用中涉及的敏感个人信息问题具有高度社会化的特质,需要依赖司法外的社会资源。除了通过司法解释厘清单独同意条款涉及的理论概念问题之外,还需要建立该类案件的类案检索机制,统一个人信息纠纷案件的责任承担标准,追求“类案类判”,降低因“类案不类判”而导致的上诉率。
在类案检索机制强化构建中,司法机关还需要增加援引单独同意条款的案例指引。然而,至今最高人民法院发布的指导案例中尚无提及如何适用该条款的判决,与每年数以百计增长的网民数量与敏感个人信息权益纠纷案件数量相比,如今援引该条款的案例指导尚无法肩负起规范适用标准的重任。最高人民法院应当在兼顾权威性的同时加大单独同意条款指导案例、公报案例、典型案例的发布力度,使之保持一定的规模和数量,才能回应实践中保护敏感个人信息权益时出现的各类疑难复杂问题。同时,应当在指导案例的发布主体和参照范围等方面进行扩张和革新,提升各级法院对指导性案例的地位、功能和重要性的认识,加大法官对指导案例援引力度,并对法官应用指导案例进行培训和开展学习,从而指导各级法院正确适用单独同意条款。需要注意的是,构建过程中还应平衡类案类判与法官自由裁量权之间的冲突,应当辩证地看待《个人信息保护法》第69条“实际情况”规定不明的问题,一方面它在客观上确实可能导致权益救济偏颇、同案不同判的情况,另一方面它也是立法机关给予司法机关以自由裁量的空间,利于在特殊情况下实现实质正义。试想当基层法院遇到类似上述“淘宝公司诉美景公司案”时,若在最高人民法院曾发布的指导案例、公报案例、典型案例上出现过此类案件,那么基层法院断然不敢做出与发布案例相反的判决,如此一来,当事人的上诉权和申诉权便不再具有存在的意义。但是,不同用户对敏感信息的主观敏感性不同,以地理位置信息为例,一些用户会在APP中主动展示自己的地理位置,而一些用户却认为这暴露了其地理位置安全。因此,司法机关在审理敏感信息保护纠纷案件时,应当以聚焦案件当事人、案件的情境等信息为原则,坚持具体情况具体分析,满足被侵犯用户的合理期待,在实质上实现案件的公平正义。
(三)扩大公益诉讼范围以补强个人信息保护
利用公益诉讼制度护航单独同意条款的适用,是现有法律框架下既有充分法律依据、又有较成熟实践经验的优良选择,通过公益诉讼途径确立单独同意条款的司法认定标准,并向全行业释放法治信号,有利于解决目前实践中的紧迫问题。
首先,违反单独同意条款致使敏感个人信息受侵害属于公益诉讼范围。单独同意条款已被《个人信息保护法》明确,彰显了对敏感个人信息的特殊保护、优先保护,个人信息权益是社会公益的应有之义,故在该权益受到侵害时,国家承担最终保护责任。《民事诉讼法》第55条赋予了检察机关公益诉讼主体地位,并规定了公益诉讼范围,损害社会公共利益是其核心要旨。近年来,公益诉讼案件的范围的适度拓展,一直是理论研究和实践共同关注的重点和亮点,但目前涉及个人信息保护的公益诉讼案件通常局限于非法买卖公民个人信息的刑事案件,针对APP通过隐私政策变相侵犯公民个人信息的案件较少,而此类案件的受害主体是不特定的用户的个人信息权益和隐私权,其损害社会公共利益的程度并不低于非法买卖公民个人信息的案件。况且,由于用户与APP供应商信息的不对称性,用户很难知晓APP供应商实际上是否对其敏感个人信息进行非法买卖或处理,此类案件必然属于社会公共利益受损的范围。其次,除了民事公益诉讼,依据我国《行政诉讼法》第25条一并提起行政公益诉讼,更有利于促进行业源头性治理并形成长效机制。监管作为敏感个人信息保护的重要方式,其效力直接影响保护成效,一方面要通过监管活动规制网络平台处理信息的行为,更重要的是通过行政执法手段的运用,保障法律的有效实施,从而推动网络平台行业治理、促进网络平台依法加强对敏感个人信息和隐私权保护。从长远目标来看,采取同时提起行政公益诉讼方式进行监督,可以激活行政监管职能,促进行政机关联合执法,发挥优势、形成合力,实现行业源头治理和形成长效机制。最后,公益诉讼有利于促进互联网企业合规化进程和行业健康发展。2019 年美国联邦贸易调查委员会指控抖音公司国际版TikTok,违背知情同意原则而非法收集敏感个人信息,抖音最终被处罚570万美元,为我国互联网企业敲响警钟,互联网行业健康发展必须规范个人信息保护,否则企业即使有暂时发展,走出去也会遭受损失。规范个人信息处理的公益诉讼不但不会制约行业发展,还可以促进企业个人信息保护制度、机制和技术的不断创新。抖音公司在美国被处罚后也加强了技术改进,实现迅猛发展。实践证明,选择告知同意原则的切入口提起公益诉讼,能够实现兼顾保护敏感个人信息权益和促进行业发展的社会效果。
四、结语
“单独同意”条款是保障敏感个人信息权益的重要原则性条款,但其高度的抽象性与模糊性使得法官在援引时或APP供应商使用时难免陷入主观解释。对该条款中各要素自由裁量的界定依旧是司法裁判领域的难点。我国法院受理个人信息纠纷的案件数量呈递增趋势,我国网民也呈现出递增趋势,但在缺乏规范性指引的背景下对该条款的适用仍较为形式化。法律适用的体系化完善是一项系统性工程,以构建单独同意条款的规范标准以增强可操作性为基础,通过建立类案件所制度与扩大公益诉讼的范围完善对该条款的司法适用,是达成单独同意条款立法目的、保障公民敏感个人信息权益的法律化路径。