中心研究│个人信息保护中的“用户同意”规则:问题与解决
摘要:“用户同意”规则是建立在意思自治、平等自愿原则上的一项合理制度,在个人信息保护立法中得到广泛运用和认同,但是受限于法理基础、可操作性、实施环境等方面原因的制约,“用户同意”规则但是在实践过程中形同虚设,并未发挥应有的作用。对此,需要综合考虑互联网行业发展和个人信息保护的平衡,通过调整个人信息范围、调整网络服务提供者和用户之间的权利义务关系等方式,以及考虑引用举证责任倒置机制,以实现对“用户同意”规则的完善和发展,提高规则的科学性和合理性。
Abstract: Although the rule of the consent byusers, which based on the principle of autonomy of will and the principle of equityand free will,and has been highly applied and agreed in the lawmaking ofpersonal data protection, is a reasonable statutory rule, it doesn’t performwell in practise. Therefore, we need to balance the Internet industrydevelopment and the protection of personal data, by adjusting the range ofpersonal data and change the distribution of the rights and obligations betweenthe ISP and users, as well as designing the mechanism of shifting of burden ofevidence, to make the rule of the consent by users more reasonable andmaneuverable.
关键词:个人信息保护用户同意规则完善
Key Words: Personal data protection, consent byusers, rules, improvements
1.“用户同意”规则的立法现状
个人信息保护立法中的“用户同意”规则是指网络运营者[1]收集、使用[2]用户个人信息的活动应当经过用户同意(下文简称“用户同意”规则)。欧盟《一般数据保护条例》(GDPR)中指出,数据主体的“同意”是指数据主体依照其意愿自愿做出的任何指定的、具体的、知情的及明确的指示[3]。由于“同意”(consent)一词的语义比较明确,大多数国家和地区个人信息保护立法中并没有对“同意”这一概念作出界定,而是直接规定“用户同意”具体规则的内容。例如,英国《个人数据保护法》(1998年)规定,数据控制者只有在获得数据主体同意的情况下才可以收集和处理个人数据。[4]韩国在《个人信息保护法》将取得个人信息主体同意作为个人信息管理者收集和使用个人信息的前提[5]。新加坡在《个人数据保护法》(2012)中规定企业在收集、使用、披露个人数据之前必须经过个人主体的同意,法律另有规定的除外。[6]德国在《联邦数据保护法》第4条中规定,收集、处理和使用个人数据必须遵守本法和其他法律的规定,或者经数据主体同意[7]。
少数国家和地区(澳大利亚、韩国、澳门等)对特定情形下的个人信息收集、使用规定的是“用户知情”规则,并没有事先取得用户同意的强制要求。除此之外,大多数国家和地区个人信息保护立法基本都规定的是“用户同意”规则,即网络运营者需经用户同意后才能收集、使用用户个人信息。欧盟《一般数据保护条例》(GDPR)规定了用户同意的规则[8],英国《个人数据保护法》规定了“数据主体的同意”的规则[9],韩国《个人信息保护法》规定了需经信息主体同意的规则[10],新加坡《个人数据保护法》(2012)规定了需经个人主体同意的规则[11]。
我国在个人信息保护立法中同样采用了“用户同意”规则。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次在法律性文件中规定了个人信息收集的“用户同意”规则,要求网络服务提供者和其他企业事业单位收集公民个人电子信息时,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定。[12]《网络安全法》第41条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)明确“ 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息”。此外,在特定行业管理中对“用户同意”规则也作出了规定,甚至提出了更高的要求,比如《征信业管理条例》[13]规定,对于个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额等敏感信息的采集,征信机构必须在明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意后才能采集。
“用户同意”规则内容本身简单易懂,其法律制度设计具有法理上的应然性。个人信息保护在很大程度上以保护用户民事权益为核心。民事法律关系中,自愿原则是基本原则之一[14],“用户同意”规则是个人信息保护中自愿原则的自然体现。正是因为这个原因,在个人信息保护立法中,“用户同意”规则能够形成共识并被广泛采用,各国对该规则规定的具体内容也大体相同。对比国内外有关规定,个人信息保护的“用户同意”规则的具体内容主要有两个要素不可或缺:1.事先同意[15]。网络运营者在收集、使用用户个人信息前就应当经过用户同意。未经用户同意,不得收集用户个人信息;2.明示同意。网络运营者应当通过明示的方式取得用户同意,而不能通过默示或者显著性不强的方式取得用户同意,比如“明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。”[16]此外,也有部分国家个人信息保护立法中对用户同意权规定得更为深入,还进一步对“撤回同意”作出规定,规定用户随时有权撤回其对网络运营者的同意,比如欧盟《一般数据保护条例》(GDPR)规定“数据主体有权随时撤回其同意”[17]。
“事先”和“明示”这两个要素基本可以构成比较完备的“用户同意”规则的内容,在很多国家和地区的个人信息保护立法中都成为了比较成熟的法律制度,具体实践中也基本争议不大[18]。随着个人信息保护立法的发展和完善,个人信息监管要求不断细化,实践中也在对“用户同意”规则不断优化和改良,比如针对用户大多不会认真阅读“隐私政策”(privacy policy)的问题,网络运营者会采取技术方式强化对用户同意权的告知,在用户将滚动条完全拖拉至隐私政策全文的底部以前,无法点击“同意”按钮,或者通过强制读秒的方式,在展示隐私政策的一定时间内(如10秒、30秒),用户无法点击“同意”按钮,甚至是在具体应用场景中通过“弹窗”这种强告知方式来提示用户选择是否同意,以不断强化取得用户同意的过程。
2.“用户同意”规则实践中存在的问题
在个人信息保护立法中采用“用户同意”规则,基本成为大多数的共识,同时在实践中不断得到完善,操作也更为科学化。该规则似乎应该成为个人信息保护中最为有效的一项制度设计,但是实践中存在的很多问题,架空了“用户同意”规则,弱化了实施效果,导致“用户同意”规则没有发挥出应有的作用。
2.1逻辑基础发生偏移
“用户同意”规则的制度设计应该是一项触发性规则,即网络运营者提供服务的目的并不是收集、使用用户个人信息,而是在提供服务的过程中,因为需要收集、使用用户个人信息,触发了“用户同意”规则,由网络运营者征求用户的意见,根据用户是否同意的情况来确定是否收集、使用用户个人信息,用户同意则收集、使用,用户不同意则不收集、使用。然而,实践中该规则已经逐渐演变成免责性规则,很多网络运营者已经以收集、使用用户个人信息为目的,并且以取得用户同意作为免责性的前提。“用户同意”规则由“需要收集、使用用户个人信息时经用户同意”的触发性规则,变成了“只要取得了用户同意就可以收集、使用用户个人信息”的免责性规则。这与“用户同意”规则的设计初衷不符,“用户同意”规则由“安全阀”变成了“保护伞”。
虽然一些网络运营者采取了诸如“强制读秒”“下拉最底页”等强化告知的优化和改良措施,但“用户同意”规则还是没有取得应有的实施效果,对于个人信息保护实际上产生的促进作用有限。从某种程度上来说,反而加剧了对个人信息的侵犯。“用户同意”并没有对网络运营者收集、使用个人信息形成实质上制约,相反却成为了网络运营者收集、使用个人信息的“避风港”,用户在使用网络服务时,不得不以同意收集、使用个人信息为对价来获取相关网络服务。“用户同意”规则在一些场景中已经成为了象征性过程,网络运营者以“用户同意”为保护伞,几乎可以不受限制地收集、使用用户个人信息。“用户同意”规则的设计初衷是作为用户实现个人信息保护的防御机制,但在实施过程中却变成了一条“马其诺防线”,失去了其本应有的制度价值。
“用户同意”规则设计的逻辑基础应当是网络运营者基于提供服务的必要而收集、使用用户个人信息,超越服务所需而进行的收集、使用用户个人信息的行为改变了该规则的逻辑基础,从而也直接影响到该规则的实施效果。这是“用户同意”规则在实践中形同虚设的根本原因。很多时候,网络运营者其实并不需要收集、使用用户个人信息,就可以提供相应的服务,或者收集、使用的用户个人信息与提供服务之间并不直接关联。然而,由于“用户同意”规则的逻辑基础发生偏移,导致收集、使用个人信息的行为成为提供网络服务的必选项。用户在使用网络服务时(特别是使用一些应用程序时),虽然对技术要求不是很明白,但是直觉上也能感觉到网络运营者收集、使用个人信息的目的和范围都超出了必要的限度。事实上,网络运营者也很少能够公开或者向用户充分说明其收集、使用用户个人信息的必要性。
2.2 同意权被弱化为知情权
“用户同意”规则是基于用户的同意所进行的收集、使用,因此该规则应当建立在用户能够同等使用服务的前提下——用户同意与否不直接影响其享受服务,但是可能因为不同意而导致服务内容、质量等发生相应减损。然而事实上,“用户同意”规则被扭曲为“用户不同意即不能使用服务”——当用户不同意网络运营者收集、使用个人信息时,网络运营者直接拒绝提供服务。这种扭曲使得“用户同意”实际上变成了“用户知情”,用户只是知道网络运营者收集、使用其个人信息,但并无实质上的选择能力。只要用户需要获得服务,就必须接受同意,因此对于网络运营者来说,只是履行一个告知义务。用户能够保障的权利只有知情权。大大降低了用户在个人信息保护活动中的参与度和选择能力。从而,在完善和推进个人信息保护工作的过程中,强化对用户提示(如强制读秒、下拉最底页等)的做法,只能保证用户知情,而无益于用户同意权的实现。
2.3 用户救济成本高昂
虽然“用户同意”规则在个人信息保护立法中已经明确,但是救济成本也直接关系到权利的实现效果。事实上用户同意权得不到保证时,用户救济成本十分高昂。如果网络运营者不能保障用户同意权,用户不得不付出较大成本来实现救济。通常,用户寻求救济的途径包括私力救济和公力救济两种,私力救济由用户直接向网络运营者主张,这种途径相对便捷高效,但是需要网络运营者配合才能实现,在没有其他外力干预的情况下,网络运营者配合救济的可能性往往较低。公力救济包括行政机关的干预和司法途径,两者都以强制力为保障,因而需以程序正义为基础,实现权利救济需要经过严格的程序,对于用户来说,时间成本、金钱成本和举证成本都很高昂。用户同意权相对人身、财产权利而言,权利价值较低,很难想象用户为了同意权救济而付出较大成本。
还有一种极端情形可能存在,即使用户选择不同意,网络运营者仍然继续收集用户个人信息。比如,网络运营者提供了是否同意收集位置信息的选项给用户,而用户选择拒绝向网络运营者提供位置信息,网络运营者虽然在前端页面显示由于用户拒绝而不会收集用户位置信息,但是在提供服务的过程中,仍然有可能通过后台的方式收集用户位置信息,用户对此也难以发现或者证明。网络运营者提供“同意或不同意”的选项,只是为了在形式上满足合规性,实际上无论用户是否同意,网络运营者都会收集用户个人信息。网络服务提供则通过这种表面合规的方式,掩盖其后台收集用户个人信息的行为,隐蔽性很强,即使用户发现后予以主张,也很难对其进行取证。
主观上,用户同意权被侵犯时所需要面临的高昂救济成本,也会降低用户积极主张同意权的期待和热情,倾向于不对自己的同意权是否得到保证、是否得到充分保证的问题过于追究,这对用户同意权实践中的实施效果也会产生影响。
3.“用户同意”规则产生问题的原因分析
“用户同意”规则之所以存在上述问题,不能发挥其应有效果,包含了多层次原因,既有法理上的原因,也有规则操作性方面的原因,以及实施环境的原因,这些原因的综合作用架空了“用户同意”规则,影响其实施效果。
3.1 “用户同意”规则的法理基础不足
3.1.2 个人信息权利并非自然权利
个人信息权是随着社会经济发展、技术水平提高而提出的一项权利,并非自古有之,同时也还没有完全成为一项法定权利。《民法总则》制定出台过程中,对个人信息保护的问题给予了关注,但是最终也没有将个人信息明确确定为一项权利。个人信息应该受到保护的权利并非一项自然权利,不同时期、不同主体对个人信息保护的观念也存在差异,个人信息具有法定权利的属性。
首先,不同时期的个人信息保护的诉求大不相同。前互联网时代和互联网时代,人们对于个人信息保护的态度大不相同。前互联网时代,基于电信服务,用户对个人信息的收集、使用并不敏感,甚至有主动沟通联系的欲望。从另一个角度看,渴望交际也是人的基本情感需求之一。在信息通信相对不发达的前互联网时代,很多人都主动把自己的个人信息向社会公布,比如早期的电话黄页本,很多人对于自己的电话出现在黄页本上,不仅不感觉反感,甚至觉得是一件很期待的事情。然而,随着信息通信技术的发展和普及,人与人之间交流联系越来越方便,人们对于沟通联系的欲望随之下降。进入互联网时代后,信息通信技术已经能够充分满足人们对交际情感的需求,个人信息的传播和滥用已经开始演变为对个人生活安宁的一种侵犯。个人信息保护从人们的不关注、不敏感向权利化转变,不断有观点开始主张保护个人信息是一项基本民事权利。
不同主体对个人信息保护的态度也相差迥异。囿于职业、身份、经验、性格、喜好等多种因素的差异,不同的人对于自身个人信息的被收集、被使用的方式持有不同的态度。一部分人的个体意识、维权意识等较强,十分关注自己的个人信息被收集、被使用的情况,对个人信息保护具有较高的诉求,积极主张个人信息保护相关权利。与此相反,还有另一部分群体,对个人信息保护并不在意,甚至也不认为是一项个体权利,比如在服务行业、商业领域,特别是销售人员,一般都会积极、主动向社会公众公开自己的个人信息,期待自身特定类型的个人信息在更广的范围内扩散。
信息具有传播的潜在要求,只有处于传播中的信息,才产生相应的经济和社会价值。个人信息保护的问题不是从来就有的,正是由于个人信息的传播产生了价值,才出现个人信息保护的需要。在20世纪90年代中期,人们就逐渐开始认识到,信息技术的发展以及信息社会的形成,使得个人信息的收集、处理、储存、传输和使用变得更加容易和便捷。信息技术的广泛使用,使得个人信息传播的途径、方式等不断革新,个人信息传播的频率、速度、去向等也发生了大幅变化,变得越来越超出个人的控制范围,产生了个人信息保护的命题以及需求。因此,无论是在历史环境中分析,还是基于社会普适性考量,个人信息都不是一项自然权利,而应该是一项法定权利。法定权利不是当然的权利,而是一个由特定主体到普世主体,由少数人到全体公民的法律制度设计过程,其权利性质、权利内涵等都是基于社会发展水平和法律进步水平而不断调整的。
3.1.2 民法不足以实现个人信息保护的目的
有观点认为,个人信息自决权不能充分实现是“用户同意”规则存在问题的主要原因。网络环境下,用户缺乏对其个人信息的决定自由与控制能力[19],“用户同意”规则的法理基础是民法的自愿原则,主要以民事法律为渊源,基于民事法律关系进行的制度设计。民事法律关系主要是建立在主体双方平等的基础之上,双方对于建立民事法律关系具有大致相当的意思自治能力,能够在建立民事法律关系之前,平等地就双方拟确立的权利义务关系进行主张和调整。如果主体力量不对等,就有可能出现强势一方基于优势的谈判地位,签订不利于弱势一方的民事协议,这时就有必要通过保护性规则或者行政保护来平衡双方的不均势,实现平等的民事法律关系,比如在供水、供电、供热等公共服务领域,居民在签订服务协议时,几乎没有谈判的筹码,就有必要通过对格式合同条款的特别规定[20],来确保弱势当事人的利益得以保护。在个人信息保护领域,网络运营者与用户之间同样处于力量不对等的状况,由于技术水平不对等,用户难以获知网络运营者提供服务需要收集、使用哪些类型的个人信息,也难以判断提供其用户个人信息与网络运营者提供服务之间的直接联系;由于利益状态不对等,用户放弃获取服务的损失,与网络运营者放弃单个用户(拒绝提供个人信息的)的损失之间,利益失衡情况十分明显。用户在选择是否同意网络运营者收集、使用个人信息时,面临着“拒绝即无服务”的困境,网络运营者表面上给出是否同意的选项,但是用户只能选择同意。这也正是为什么大多数用户在同意收集、使用个人信息时,都不愿意仔细阅读“隐私政策”的原因。
可见,以民法体系来保护个人信息的法理基础不足,需要通过民法体系的特殊保护,如考虑在《合同法》中将“隐私政策”列为有名合同之一,或者通过行政法体系来实现个人信息保护。2017年通过的《民法总则》对个人信息保护问题就采用了模糊处理的办法,既没有规定“个人信息权”,也没有明确个人信息保护的救济途径[21]。反观个人信息保护行政立法,对个人信息保护的规定就比较明确,如《网络安全法》《电信和互联网用户个人信息保护规定》等都作出了比较全面的规定。
3.1.3 个人信息保护法益实现不足
很多人主张,个人信息在于保护个人权益,提出有关的权利学说,如认为个人信息权是一项独立的民事权利[22],指出“个人信息主要体现的是一个人的各种人格特征,故个人信息权是一种新型的具体人格权”;认为个人信息是一项财产权[23],指出“个人信息财产权是主体对其个人信息的商业价值进行支配的一种新型财产权”;认为个人信息属于数据所有权[24],认为企业和用户享有不同层次的所有权。一直以来,对于个人信息权的探讨始终十分激烈,基于不同视角分析个人信息权的权利属性各有其合理之处。在大数据产业发展的推动下,确定数据(其中个人信息是重要的数据形式之一)权属问题成为越来越紧迫的问题。这些对个人信息权利的探讨,都是在民法框架下展开的,以保护个人权利为法益,体现了个人信息保护立法的思路。然而,跳出民法保护的视角能够进一步发现,实际上个人信息保护问题在不同时期、针对不同主体都有不同的性质和地位。特别是中国具有“熟人社会”的整体环境和“善于隐忍”的国民性格,个人信息保护的个体法益相对较小,个体主张权利的欲望并不强烈。虽然在电信和互联网诈骗案件中,个人信息保护问题呼声高涨,认为个人信息泄露是电信和互联网诈骗能够成功实施的关键。但是,通过个人信息保护立法来打击电信和互联网诈骗的因果联系不强。相比之下,大规模的个人信息泄露事件往往对公共利益造成较大侵害,比如CSDN(www.csdn.net)用户信息泄露事件[25]、天涯社区个人信息泄露事件[26]、12306网站泄露用户隐私信息事件[27]等,以及个人信息跨境流动所带来的国家信息安全风险等,都直接对国家安全层面形成威胁。
因此,在民法保护的基础上,个人信息保护还需要实现更多的法益,比如确保信息安全、国家安全等。《网络安全法》就将个人信息保护问题列入“网络信息安全”章节。相对个体权利的保护,这是当前个人信息保护更为需要实现的法益。基于此种考虑,个人信息保护需要重点规范的是,收集主体是否是境外组织和个人,确保有关个人信息的数据依法有序跨境流动等等。这些因素都是有可能对国家安全(网络安全和信息安全)产生影响的问题。当前我国个人信息保护的重点工作,也正是要解决这些因素所可能带来的隐患,而非仅仅围绕个人信息保护个体权益的焦点推进个人信息保护立法工作。
在实现公共安全的法益的命题下,“用户同意”规则就显得或有或无,比如针对跨境数据流动问题,即便网络运营者逐一取得每个用户的同意,也不应允许其向境外整体转移个人信息的数据。《网络安全法》对此就有规定,要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;……”《网络安全法》没有在跨境数据流动制度中引入“用户同意”规则,就是因为此时公共利益的保护是主要法益。个人信息保护的重点不仅仅在于个体权利保护,同时涉及公共利益保护,“用户同意”规则并非个人信息保护的通用规则。
3.2 “用户同意”规则可操作性不足
免费服务是互联网商业模式的核心内容。网络运营者想要实现利润就必须有流量或者有用户。无论是强调流量还是强调用户数量,免费模式都是网络运营者实现流量、用户数量的首选方案。然而,网络运营者具有企业属性,以逐利为目的,免费模式不仅不能给企业带来直接的利润,反而在不断增加其成本和支出,需要靠前期大量投入来维持商业模式运转。即便如此,互联网领域又具有强开放性、强竞争性的特点,很少有网络运营者能够保证其用户黏性足以支撑其向用户收费,即便是超大型的网络运营者,也不会轻易向其用户收费。因此,只有调和了免费模式和赚取利润两者之间的矛盾,才能够实现成功的互联网商业模式。
如果不能通过直接收费的方式实现盈利,互联网行业实现盈利模式的途径大致只有增值服务、在线广告和电子商务等几种主要形式。其中在线广告服务是比较常见,也是很多网络运营者比较看重的商业模式。在线广告的营利模式十分常见,网络运营者通过在线广告来赚取收入,以弥补其向用户免费提供服务的投入,并进一步获得利润。在线广告投放也同样追求收益,广告主倾向于向精准式的投放广告支付更高的广告费。实现精准的广告投放的有效途径就是获取足够充分的用户个人信息,以准确描绘出用户的个人喜好、购物欲望等。而不能收集足够多的用户个人信息,就难以实现精准广告投放,提高投放效果。
在难以直接向用户收费实现盈利的情况下,网络运营者与用户本质上在进行着利益交换,用户用自己的个人信息来交换网络运营者提供的服务。如果用户权益没有遭受直接侵犯,网络运营者和用户之间基本形成了默契。“用户同意”规则在具体服务过程中,也就变得可有可无了。
除了营利模式的问题,规则的实现方式在实践中也缺乏标准。《网络安全法》规定“网络运营者收集、使用个人信息,应当……,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”实践中,对于如何理解并适用这种规则,存在不同的理解。目前来看,征得用户同意有显性和隐性两种方式,显性方式主要是通过用户协议、弹窗提示等方式直接征求用户的同意,并告知用户收集、使用信息的目的、方式和范围。隐性方式包括几种:(1)默认同意,即默认向用户展示同意的选择,引导用户直接同意,如通过唯一的“下一步”“同意”等按钮引导用户点击来获取用户同意(包括直接勾选同意的情形);(2)暗示同意,即使用十分隐讳的方式表明收集、使用用户个人信息的行为,理论上获取用户同意,如地图软件提示用户输入家庭、单位住址,实际上就是在收集用户个人信息(同时还是较敏感的信息),大多数用户实际上都感知不到自己的个人信息被收集了;(3)静默同意,即完全不向用户展示选择同意的页面,如需要用户进一步点击“用户协议”“自定义”等按钮才能发现存在涉及收集、使用其个人信息的条款,直接默认用户同意了这种收集、使用行为,这种情形比暗示同意的程度更深,用户完全不知道征求同意的过程,严格意义上说,都没有征求过用户同意。
通过上述隐形方式取得用户同意,可能存在违反《网络安全法》的情形,需要通过执法途径解决,比如静默同意的形式,实际上就不符合《网络安全法》“明示收集、使用信息的目的、方式和范围,并经被收集者同意”的要求。但是,对于默认同意、暗示同意两种形式,需要进一步研究其合法性问题。从形式看,这两种方法取得用户同意与《网络安全法》的要求是否相符值得探讨。《网络安全法》只规定了“明示收集、使用信息的目的、方式和范围”,但是没有强调需要用户“明示同意”。
从用户角度看,用户的认知水平不断提高,也应当在一定程度上理解其网络行为的具体性质。截至2017年6月,中国网民规模达到7.51亿,占全球网民总数的五分之一。互联网普及率为54.3%,超过全球平均水平4.6个百分点[28]。可以推断,在当今信息技术发展水平下,人们对于勾选同意的认知水平要远大于信息技术发展不成熟的时代。在选择使用一款应用程序(app)或者网络服务时,人们认知和使用互联网的能力不断提升,对于点击按钮、勾选同意等行为的理解,较之过去有所提升。同时,用户也很少因为个人信息收集、使用的问题而产生困扰。用户选择的理性程度也不断提高,对用户体验的感知更加敏感。由于大多数用户已经能够熟练使用信息技术产品,在选择应用程序或服务时,一般已经有了明确的意愿,用户在用户体验和个人信息权保障之间,往往更多地关注用户体验问题,频繁地、强硬地通过“明示”方式取得用户同意,无疑将降低用户体验,同时也并非用户关注的重点。对于网络运营者来说,不断地强化向用户取得同意的过程,容易增加用户的不信任感,对其自身业务发展的负面影响也不容忽视。
综上,无论是从用户的角度,还是从网络运营者的角度,“用户同意”规则本身在操作性上就存在问题,这也是该规则在实践中难以发挥的重要原因之一。
3.3 实施环境方面原因
中国社会传统就缺乏个人信息保护的意识。传统文化的长期熏陶,形成了中国的熟人式社会,每个人都身处于社会生活之中,亲朋之间互无禁忌,邻里之间“抬头不见低头见”,相互之间的交往十分频繁、密切,互相了解对方的个人信息、甚至是打探个人隐私几乎成为了人们日常生活的主要部分。长此以往,人们已经对通过个人信息的交换来建立和维持熟人关系的做法习以为常,对个人信息保护的观念比较淡薄。即使是面对陌生人,如果只是一般意义上的侵扰,如手机号码等个人信息泄露所带来的骚扰电话、垃圾短信等等,往往也不会过分计较。个人信息保护的问题是监管部门、专家学者关注的焦点,但具体到用户本身,积极主张的欲望不强。“用户同意”规则是通过法律制度设计赋予用户的一项权利,用户是驱动该规则的直接参与主体,如果用户本身没有积极实现的动力,自然很难实现该规则的应有效果。
电信和互联网诈骗也加大了个人信息保护的难度。诈骗案件一直是电信和互联网领域的顽疾,随着打击犯罪活动的力度不断增强,人们防范诈骗的意识不断提高。电信和互联网诈骗的难度也与日俱增,但是诈骗团伙为了追逐巨额的犯罪收入,也同时在更新犯罪手段。通过获取准确的个人信息,往往就能够成功实施诈骗犯罪。黑市交易中,个人信息成为犯罪分子追捧的交易内容,形成了黑色产业链[29],特别是价值极高的个人信息,比如利用服刑人员个人信息进行诈骗的案件中,由于被骗者验证真伪的难度极大,这类个人信息成为各方极力通过窃取等非法手段获取的目标。在某种意义上,电信和互联网诈骗的源头就是个人信息保护问题,近两年来比较出名的几起电信和互联网诈骗案件,都是因为个人敏感信息泄露所引发的,犯罪分子能够获取到准确的个人信息,是受害人被骗的关键,如徐玉玉案、人大教授被骗案等。
高额的犯罪利润导致个人信息黑色产业链日益庞大,难以在短时间内将其有效清除。黑色产业链对个人信息保护制度不断冲击,以获取更精准、更敏感的个人信息为核心目标,在这种黑色产业链的觊觎之下,个人信息保护“用户同意”规则能发挥的力量也十分单薄。这种对个人信息保护客观环境的长期影响也不容忽视,个人信息得不到应有的保护,严重侵犯个人信息案件时有发生,也会不断淡化用户行使同意权的积极性,降低网络运营者保障用户同意权的责任意识。
4.个人信息保护“用户同意”规则的完善思路
从长远看,“用户同意”规则实施效果不明显,会影响个人信息保护的实现目标,导致立法中进一步增加个人信息保护的严厉程度,实际上也会对产业发展形成制约,加剧产业发展和用户权益保护之间的矛盾。因此,有必要探讨对“用户同意”规则的完善思路,实现该规则的设计初衷,促进产业发展和个人信息保护的平衡。
结合理论分析和实践情况,目前的“用户同意”规则还存在很多瑕疵,该规则设计从保护用户权利的权利出发,但却没有实现保护用户权利的实际效果。目前,我国现行立法中,《网络安全法》对“用户同意”规则的规定较为原则[30]。这给未来个人信息保护对“用户同意”规则进行细化和完善,留出了立法空间和操作空间。通过进一步的立法或者实践中的操作,可以明确“用户同意”的具体形式和方法,平衡网络运营者的经营利益和用户体验。在细化和完善的过程中,应当遵循下述三个原则:
第一是利益兼顾,即同时照顾网络运营者和用户双方的利益,实现双方利益平衡,而非仅关注一方的利益。如果过分强调用户同意权的实现,苛以网络运营者较高义务,将有可能制约互联网行业发展。比如,基于互联网的虚拟性,即使网络运营者建立起较为完善的取得用户同意的程序,也很难确定授权同意的是否是用户本人。理论上可以进一步通过面部识别等技术来实现用户真实身份认证,但是这无疑将给企业增加较大的运营成本,不利于行业的长期发展。正如前文所述,用户本身的信息技术认知水平也在不断提高,也应当逐步具备基本的安全风险防范意识,避免被他人冒用自己的身份信息。因此,如何既能充分实现用户同意权,又能合理设定网络运营者的义务,需要坚持利益监管原则,实现双方权利义务相平衡。
第二是法益匹配,即基于更为重要的法益来调整和完善“用户同意”规则,通过实现法益来确定个人信息保护侧重于公法保护或者私法保护。个人信息保护的重点更多的是强调公共安全,实现公共安全是更为迫切的法益追求,因此应当基于这个原则来完善“用户同意”规则。
第三是区分处理,针对“用户同意”规则实践中所面临的实际问题,对涉及公共安全的个人信息保护问题和涉及个人权利的个人信息保护问题采用不同的法律制度,实现不同的法益,在公共安全部分弱化“用户同意”规则的采用,在个人权利保护部分,强调“用户同意”规则。为了实现区分处理,有必要对个人信息作更细化的分类。
遵循上述原则,完善“用户同意”规则。首先需要加速推进数据权属的基础性研究,明确个人信息保护的权利归属这一基本问题。鉴于前文所述原因,我国在个人信息保护立法中,在个人信息权利保护方面不一定要选择严格保护的立法模式,不宜将个人信息的范围划定过宽,同时通过具体法规、标准的方式对个人信息的各种类型作出细致的权属规定,将个人信息的范围限定在与个人信息密切相关的部分,对该部分个人信息保护采用“用户同意”规则,而其他部分的信息(与个人相关但属于窄范围的个人信息的)允许网络运营者合理进行商业化利用。
其次是需要具体化“用户同意”规则的实施指引。现有法律条款规定得较为原则,对于同意的形式、频次等还存在模糊的理解,需要通过细化法律规定、出台相关标准等方式进一步明确“用户同意”规则的具体内容,给网络运营者和用户双方都形成明确的指引。
最后需要是加大个人信息保护执法力度。“用户同意”规则充分发挥作用,还有赖于共同遵守个人信息保护立法要求的诚信环境。这种环境的建设有赖于法的权威性,而法的权威性是通过执法力度和水平来保证的。在完善“用户同意”规则的基础上,有步骤、有针对性的执法活动,逐步建立起个人信息保护执法体系和执法队伍,确保包括“用户同意”规则等在内的个人信息保护法律规定落到实处。
5.完善“用户同意”规则的具体措施
5.1 分类规定
个人信息是一个广义的概念,目前立法中采取了“定性+定量”的方式[31]。总体来看,个人信息划定范围比较宽,《网络安全法》所称“能够与其他信息结合识别自然人个人身份的各种信息”,这种界定几乎可以涵盖与个人有关的一切信息。对于公共安全来说,对个人信息作宽泛界定具有合理性。但是,对于个人权利来说,基于前述的传统观念、法益基础等分析,将个人信息范围界定过宽,就会产生前文分析的“用户同意”规则各种问题。
最早在广告邮件(垃圾邮件)管理中,有“opt-in”和“opt-out”两种规则[32]。“opt-in”是指用户主动选择加入后,广告商向其发送广告邮件,“opt-out”是指广告商向默认的用户列表发送广告邮件,用户选择退出的,广告商将其从用户列表剔除。“用户同意”规则的完善可以借鉴这一规则,首先对个人信息进行分类,区分为敏感信息(隐私信息)和一般信息。对于敏感信息(隐私信息)采用“opt-in”规则,即必须取得用户同意后才能收集、使用,对于一般信息采用“opt-out”规则,即默认收集、使用用户个人信息,但同时告知用户收集、使用的情况,用户拒绝收集、使用的才停止收集、使用活动。澳大利亚《隐私法》(1988年)中规定“关于一般信息,APP实体[33]仅在个人信息是与实现自身功能密切相关的情况下才可收集用户信息。关于敏感信息[34],仅当用户明确同意实体收集其敏感信息,并且敏感信息与实体实现自身功能密切相关的情况下,实体才可收集个人信息。”;韩国《个人信息保护法》没有明确体现“opt-in”规则,其中第20条规定:个人信息管理者管理的个人信息若从非信息主体方收集,应满足信息主体要求,向信息主体告知个人信息收集来源、个人信息管理目的等事宜。日本《个人信息保护法》规定个人信息处理业者在超出约定范围、约定目的使用个人信息时,才需要取得本人同意[35]。该规定的内容意指个人信息处理业者在约定范围、约定目的内使用个人信息无需取得用户同意,也可以视为一种“opt-out”规则。
5.2 限制使用功能
《网络安全法》规定“网络运营者不得收集与其提供的服务无关的个人信息”。该规定较为模糊,由于信息不对称和技术水平不对称,网络运营者很容易说明其收集个人信息与其提供服务的相关性,用户很难质疑这种相关性。因此,有必要对《网络安全法》这一规定作出进一步的细化规定,要求网络运营者对其提供的服务与收集的个人信息作出公开、明确的说明(比如通过隐私政策的方式),由行业协会、监管部门等进行指导、监督,以行业自律、行政监管的方式来打破网络运营者与用户之间的信息不对称,要求网络运营者明确其提供的网络服务与用户个人信息项目之间的清晰对应关系,并进一步允许用户通过不使用某些服务的方式来拒绝提供相应的个人信息,从而改变当前“不同意即无服务”的模式,转而成为“不同意即限制服务”的模式。这种做法也在某些网络运营者的服务过程中体现出来,比如用户拒绝提供位置信息,网络运营者就不能提供导航服务。
5.3 同意不免责
基于不同的法益,对“用户同意”规则作不同处理。基于公共安全的法益考量,“用户同意”不是必要条件。基于个人权利的法益考量,可以通过引入不免责机制来保证用户同意权的实现。现行立法中有一些“但书”的表述,如《征信业管理条例》第十四条第二款规定“征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。”这种“但书”的规定方式容易发生偏差,发生前述的逻辑基础偏移,从而更容易将其理解为免责性规则,而非触发性规则。例外规定往往会成为法律实施中的漏洞,通过符合例外性条款常常能够减少守法成本,导致例外规定变成一般性规定。相比之下,“原则(规则)规定”的表述具有更强的语气效果,更准确地体现出立法意图。比如,《电信和互联网用户个人信息保护管理规定》第九条规定“未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。”这样表述语义更为强烈,明确了“用户同意”是一项前提条件。因此,在个人信息保护立法过程中,不同的表述方式也可能影响规则的理解和实施效果,如果强调“用户同时”是一项前提条件,在其规则的表述中,就不宜使用“但书”的表述方式。
进而,在实体规定中进一步明确“用户同意”不构成网络运营者的免责基础。“用户同意”表明网络运营者收集、使用行为的合法性基础,但是网络运营者同时负有对个人信息妥善保管、合法使用等法定义务,这些法定义务都不能以“用户同意”作为抗辩基础。这一点需要通过明确的规定予以明确。
5.4 付费不同意
正如前述,目前国内很多网络服务都是建立在免费模式上,一些网络运营者不得不通过收集个人信息来弥补收入上的损失。同时,从用户的角度来说,一些用户对于收集个人信息极为敏感。因此,可以考虑允许用户通过付费的方式来避免让渡自己的个人信息权利。对于一些实际上不收集用户个人信息也完全可以提供服务的网络服务类型,这种“付费不同意”的方式有利于平衡用户需求和网络运营者投入。目前比较典型的网络服务类型就是网络游戏服务,一般来说,游戏服务都不需要收集用户个人信息,大型网络运营者可以通过游戏增值服务、广告服务等弥补免费提供游戏服务的收入损失,而小型游戏服务提供者则无力实现,因而不得不通过其他方式来弥补收入损失,收集个人信息并商业化利用是常见的方式之一。为了规范和避免对个人信息的过度收集和滥用,可以通过立法形式来将“付费不同意”的规则予以固化,这同样也是强化了“用户同意”规则的实现方式,用户通过“付费不同意”规则能够更有力地实现其同意的权利。
5.5 举证责任倒置
网络运营者和用户之间存在信息不对称、技术能力不对称,用户个人信息权利被侵犯时,很难提出有力的证明来支持其主张。网络运营者却掌握了大量的信息,即便是监管部门也不能有效掌握这些信息。这种不对称的现象与行政诉讼的情形十分类似,被告方掌握充分信息,而原告方却无力举证。比如,用户很难证明其个人信息是由网络运营者A所泄露,而非网络运营者B。因此,在个人信息保护制度设计中,可以引入行政诉讼中的举证责任倒置规则,用户主张个人信息权利被侵犯的额,由网络运营者来承担举证责任。比如,用户主张其个人信息被泄露,由被诉网络运营者来证明其个人信息保护措施得当,个人信息不存在泄露渠道等。这种规则在短期内会给网络运营者带来应诉压力,但是一旦举证责任倒置规则在个人信息保护领域普及和成熟,就能形成行业通行标准,破坏个人信息黑产业链,实现个人信息保护的预期效果。
6.总结
“用户同意”规则本着良好的设计初衷,以民法自愿原则为基础,看似十分合理。但是实践中仍然发生了很多问题,其法理基础、操作性、实施环境等不能为该规则提供保障。个人信息保护涉及不同行业领域、不同应用场景和不同的主体,制度设计十分复杂,需要建立多层次的制度体系才能有效调整和规范个人信息保护中存在的各种法律关系。“用户同意”规则虽然只是个人信息保护中的一项具体规则,但是在个人信息保护整体复杂体系中,也需要综合评判,面对“用户同意”规则实施过程中出现的各种问题,结合国内个人信息保护的客观环境和主观心态,对“用户同意”规则进行调整和完善,使该规则真正发挥应有的效果,促进个人信息收集、使用活动更为规范,维护个体权益和公共安全。
未来个人信息“用户同意”规则应当着眼于发展和保护的平衡,在缩小“个人信息”界定范围的基础上,基于个人权利保护的民事法律范畴,探讨和推进“用户同意”规则的完善思路和方法。缩小个人信息的划定范围是关键所在,在此基础上,通过强化网络运营者的保障义务、改变同意的具体方式、降低用户救济成本等措施,探索构建更为合理、好用的“用户同意”规则内容。
(本文原载于《网络信息法学研究》2018年第1期)
作者简介:方禹,中国信息通信研究院互联网法律研究中心副主任。
——
参考文献:
①王璐,孟小峰:《位置大数据隐私保护研究综述》,《软件学报》2014年4月第25卷第4期
②向欣:《网络中个人数据隐私权的民法保护》,成都:西南财经大学,2005年
③彭玉勇:《论网络服务提供者的权利和义务》,《暨南学报(哲学社会科学版)》2014年第12期
④任龙龙:《论同意不是个人信息处理的正当性基础》,《政治与法律》2016年第1期
⑤何钰娟:《互联网应用软件搜集用户信息侵犯用户隐私问题研究》,北京:北京邮电大学,2011年
⑥韩坤:《个人信息权的民法保护》,河南:河南大学,2015年
⑦刘迎霜:《“使用即同意”规则与网络服务提供者的法律规制》,《社会科学》2015年第7期
⑧邵丽颖:《大数据时代用户利益的法律保护》,《法学研究》2015·11(下)
⑨李勇:《论消费者个人信息之保护——以告知后同意为中心》,《经济纵横理论月刊》2014年第08期
⑩杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期
⑪张娟:《试论个人信息自决权的行政法保护》,《交通部管理干部学院学报》2009年第19卷第2期
⑫ 张琬:《试论个人信息自决权》,《扬州职业大学学报》2011年12月第15卷第4期
⑬贺栩栩:《比较法上的个人数据信息自决权》,《比较法研究》2013年第2期
⑭姚岳绒:《宪法视野中的个人信息保护》,上海:华东政法大学,2011年
⑮刘程:《论台湾地区<个人信息保护法>及借鉴》,《吉林省教育学院学报》2015年第11期第31卷
⑯徐贵东:《论我国供用水合同制度的完善》,甘肃省:甘肃政法学院,2015年
⑰雷博:《移动电信服务合同中格式条款的法律分析》,山东:烟台大学,2013年
⑱ 王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年7月第35卷第4期
[1]本文使用“网络运营者”的概念,参照《网络安全法》第七十六条第三项:网络运营者,是指网络的所有者、管理者和网络服务提供者。
[2]为行文方便,文中不区分“收集”和“使用”,统一使用“收集、使用”个人信息的表述。一些国家和地区对收集个人信息和使用个人信息规定不同的规则,文中另行脚注。
[3] GDPR第七条,参用中国政法大学互联网金融法律研究院组织翻译的中文译本。
[4]英国1998年《个人数据保护法》,数据控制者只有在满足下列条件之一的情况下才可以收集和处理个人数据:1. 数据主体的同意;……(https://www.dlapiperdataprotection.com/index.html?t=collection-and-processing&c=GB)
[5]韩国《个人信息保护法》第15条:个人信息管理者可在以下情况下为收集的既定目的(intended purpose)收集并使用个人信息:(1)取得信息主体同意的情况;……
[6]新加坡《个人数据保护法2012》第13条:企业在收集、使用、披露个人数据之前必须经过个人主体的同意,法律另有规定的除外;……
[7]参见:http://www.gesetze-im-internet.de/bdsg_1990/,访问日期:2017-09-25
[8] GDPR第七条
[9]同脚注4
[10]同脚注5
[11]同脚注6
[12]指的是能够识别公民个人身份和涉及公民个人隐私的电子信息。
[13]《征信业管理条例》第十四条第二款。
[14]《民法总则》第4条:民事主体从事民事活动,应当遵循自愿原则,按照自己的意思设立、变更、终止民事法律关系。
[15]部分国家和地区规定的是知情规则,并非对收集、使用都要求事先同意,如欧盟1980年《关于隐私保护与个人数据跨境流通指南》(OECD Guidelines on the Protection of Privacy and Trans-border Flowsof Personal Data)的“限制收集原则”(Collection Limitation Principle)兼顾了同意和知情, Thereshould be limits to the collection of personal data and any such data should beobtained by lawful and fair means and, where appropriate, with the knowledge orconsent of the data subject;而在“限制使用原则”(Use Limitation Principle)中明确了用户同意,Personaldata should not be disclosed, made available or otherwise used for purposesother than those specified in accordance with Paragraph 9 except:a) with theconsent of the data subject; ……
[16]《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)第九条
[17]欧盟《一般数据保护法案》(GDPR)第七条(The data subject shall have the right to withdraw his or her consentat any time.)
[18]学界有不同观点,参见《论同意不是个人信息处理的正当性基础》,任龙龙,《政治与法律》(2016年第1期)
[19]参见《论同意不是个人信息处理的正当性基础》,任龙龙,《政治与法律》(2016年第1期)
[20]我国《合同法》中的有名合同就包括“供用电、水、气、热力合同”。有名合同的目的之一就是调节当事人之间的利益状态严重失衡。
[21]《民法总则》第111条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
[22]王利明.论个人信息权在人格权法中的地位.苏州大学学报.2012.06
[23]刘德良.个人信息得财产权保护.法学研究.2007年第3期
[24]王融.关于大数据交易核心法律问题——数据所有权的探讨.大数据.2015018
[25]参见:人民网http://legal.people.com.cn/GB/17441462.html,访问日期:2017.9.20
[26]参见:新华网http://news.xinhuanet.com/fortune/2011-12/27/c_122490234.htm,访问日期:2017.9.20
[27]参见:中关村在线http://news.zol.com.cn/498/4988108.html,访问日期:2017.9.20
[28]数据来源:第40次《中国互联网络发展状况统计报告》
[29]2009年,央视“3·15”晚会就对山东移动出售用户信息的行为进行了揭示。此后,2012年、2015年“3·15”都对个人信息买卖黑色产业链进行了揭示。此外,央视其他专题节目以及各类媒体对个人信息黑色产业链都进行过深入的报道。
[30]《网络安全法》第四十一条:“ 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
[31]《网络安全法》第七十六条第五项:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
[32]参见维基百科”Opt-in email”, https://en.wikipedia.org/wiki/Opt-in_email
[33]即个人信息的控制者和处理者。
[34] 1988年《隐私法》所规定的个人敏感信息包括:(1)信息或观点,有关个人的:种族、政治观点、党派身份、宗教信仰、哲学信仰、专业或贸易组织成员身份、贸易联盟成员身份、性取向或经验、犯罪记录;(2)个人健康信息;(3)不属于个人健康信息的基因信息;(4)用于自动生物验证或识别的生物特征信息;(5)生物特征模板。
[35]日本《个人信息保护法》(平成15年法律第57号)第15条,参见https://www.ppc.go.jp/en/。其中,“个人信息处理业者”源自日语“個人情報取扱事業者”。