华政学报 | 徐伟 涉第三人信息的处理规则及其原理——兼评凌某某诉抖音案
涉第三人信息的处理规则及其原理
——兼评凌某某诉抖音案
作者简介
徐伟 上海政法学院佘山特聘岗教授,法学博士
本文系国家法治与法学理论研究项目“数字经济时代企业数据之争的私法调整研究”(项目号19SFB3037)的阶段性研究成果。感谢研究助理俞秀芝在资料查找等方面的协助。
目 次
一、问题的提出
二、涉第三人信息的现行解决方案
三、权利冲突视角下涉第三人信息规则的证成
四、结语
摘 要
个人向信息处理者提供的个人信息中涉及了第三人信息时,是否需经第三人同意;若第三人不同意,信息处理者是否负有删除该信息的义务。这是涉第三人信息纠纷中的关键问题。《民法典》和《个人信息保护法》都未能对此问题的解决提供直接的法律依据;司法裁判中提出的合理使用规则,也存在价值选择和逻辑体系上的诸多不足。涉第三人信息问题的分析,不应主要着眼于第三人与信息处理者间的法律关系,而是应着眼于个人与第三人间的法律关系。个人与第三人所享有的信息内容存在重叠,在二者都行使其信息权利时,会发生权利冲突。在第三人提出异议前,权利冲突尚未发生,且个人不构成权利滥用;在第三人提出异议后,第三人的信息权利超越个人的信息权利,信息处理者应根据第三人的意愿采取删除等措施。
关键词
个人信息 合理使用 权利冲突 权利滥用
一、问题的提出
我国个人信息相关立法和理论研究,多以个人信息处理者从个人处获得仅涉及个人自身信息的情形为预设对象。但在商业实践中,广泛存在的另一场景是:个人信息处理者从个人处获得了涉第三人的信息。比如,个人信息处理者读取个人的通讯录、聊天记录、邮件记录、交易记录、评论或留言记录等场合,通讯录等信息固然属于被读取者的个人信息,但通讯录中每一位联系人(第三人)的姓名、手机号码、工作单位等,又属于该联系人的个人信息。那么,处理涉第三人的个人信息时,需遵循怎样的规则呢?对此,我国立法并无直接的规定,理论界的探讨也不多见。
一种直观的判断是,涉第三人信息的场景,仍然可以适用个人信息保护的相关规则,因为只要转换观察的视角,将第三人转换为被处理信息的个人,那么第三人便与个人无异,故没有必要区分涉第三人的规则与个人信息规则。这一推论尽管在逻辑上成立,但却无法回应现实的需求,典型的反例是:在实务中,个人信息处理者读取个人通讯录的行为,需要获得个人的同意,但不需要获得通讯录中每位联系人(第三人)的同意。如果我们承认这一普遍做法是合理的,那么,《个人信息保护法》第13条第1款第1项中处理个人信息需要“取得个人的同意”规则,便不适用于读取通讯录场景中的“第三人”。可见,试图简单地将“第三人”视为“个人”,从而适用同样的个人信息保护规则,难以成立。
那么,涉第三人信息时,应适用怎样的规则?其与个人信息规则差别何在?为何会产生此种差别?对此,立法和理论尚不明朗。但商业实践中此类现象日益增多,司法实务中也已出现了相关诉讼。为此,有必要从基本原理方面入手,彻底厘清涉第三人信息的法律规则。
在展开分析前,首先说明本文的研究对象。涉第三人信息的场景中,第三人信息可能是由个人提供,也可能是由其他信息处理者提供。若是后者,则可适用《个人信息保护法》第23条,本文不做探讨。本文仅探讨第三人信息由个人提供的情形。在此情形中,至少涉及三方当事人:个人、个人信息处理者和第三人。就此,可进一步细分为个人信息处理者在处理第三人信息时,获得了个人的同意和未经个人同意的情形。若信息处理者未经个人同意,则其对第三人信息的处理行为已丧失潜在的正当性基础,可认定信息处理者的行为违法,本文不再探讨。据此,真正值得探讨的情形是:个人信息处理者在处理第三人信息时,已获得了个人同意,但第三人并不同意。本文的分析,正是针对此情形。
信息处理者对信息的处理行为包括了收集、存储、使用、加工、传输、提供、公开、删除等多种行为,不同行为在不同场景下,考量的因素会有所不同。为将论证聚焦,本文将以信息处理者的“收集”行为为例,阐释涉第三人信息的法律规则。之所以选择“收集”行为,主要考虑是:收集信息是其他信息处理行为的基础,其较明显地体现了当事人间利益诉求的差异,也是法律保护个人信息的关键环节之一。同时,能否收集(是否要删除已收集的信息)往往是实务中当事人争议的焦点。当然,本文所展示的理论原理,对其他处理行为也适用。
二、涉第三人信息的现行解决方案
在我国,涉第三人信息纠纷的典型案件,是凌某某诉抖音案(以下简称抖音案)。2019年2月9日,原告凌某某在手机通讯录没有其他联系人的情况下,下载安装了被告提供的抖音软件。原告随后通过手机号码和短信验证码登录了抖音,登录过程的界面显示,默认勾选了“我已阅读并同意用户协议和隐私政策”。登录后,在抖音软件“你可能认识的人”项下,显示有30位抖音用户,原告与其中20位存在社交关系(比如是微信好友、QQ好友等)。经法院调查,被告之所以能向原告准确推荐与其存在社交关系的好友,是因为此20人曾授权被告收集的通讯录中有原告的手机号码。鉴于被告从原告好友通讯录中获得其姓名和手机号码等信息的行为未经原告同意,原告起诉要求被告停止2019年2月9日前收集、存储、使用原告姓名和手机号码的行为,并删除未经原告明确授权而收集、存储的原告个人信息(包括姓名、手机号码、社交关系)。为使本文论证有更明确的指向,下文将结合抖音案对涉第三人信息的规则展开分析。
(一)
可能适用的法律规则
在抖音案中,法院最终认定,被告微播视界公司(以下简称抖音)从原告好友通讯录中收集原告姓名和手机号码的行为合法。本文认同这一结论(但理由与法院不同,详见本文“第三人提出异议前权利滥用之否定”部分)。但问题在于:如何推导出这一结论?鉴于法院判决时(2020年7月30日)《民法典》尚未生效,《个人信息保护法》也尚未通过,故法院在说理时并未结合这两部法律展开分析,而是在理论层面论证了本案中的收集行为构成对个人信息的合理使用。因此,本文将先结合我国《个人信息保护法》和《民法典》对收集行为展开分析,然后对个人信息合理使用理论作出回应。
我国处理个人信息的合法性基础集中规定在《个人信息保护法》第13条。根据该条,处理个人信息原则上应取得个人同意。例外情形则包括为履行法定职责或者法定义务所必须等。从第13条规定的七项例外情形来看,可能适用于抖音案的情形主要有以下三种。
第一,“为订立、履行个人作为一方当事人的合同所必需”(第1款第2项前段)。此处,能否将被告抖音收集原告(第三人)信息的行为理解为是被告为履行其与个人(通讯录中含原告信息的抖音用户)合同所必需,即被告为了能向个人提供好友推荐服务,故收集了原告的信息。这种理解在文义逻辑上虽然成立,但存在诸多不足。首先,本条规范的典型情形,应是信息处理者为订立、履行个人作为当事人的合同时,收集其本人的信息,而非收集他人的信息。其次,本条的比较法来源,是欧盟的《数据保护条例通则》(General Data Protection Regulation)第6条1(b)。该条规定,“处理只有在符合下列至少一种情形,且是该情形所涵盖的范围内时,才合法:……(b)处理行为对履行数据主体作为当事人的合同是必要的,或者是因数据主体的要求而为订立合同做准备”。根据学者对该规定的说明,该规定适用于“处理合同一方(数据主体)的数据对合同另一方(数据控制者)履行合同是必要的”。可见,比较法上也是将本规定限定于处理合同当事人本人的信息。最后,更重要的是,若将本条解释为包含为履行合同而收集第三人信息,将面临正当性诘难,即为何可以为了一方的利益而完全无视对第三人意愿的尊重。因此,本规则无法作为依据。
第二,“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”(第1款第5项)。此处,能否将收集第三人信息的行为理解为是为了相关产业的发展而对第三人的权益作了适当限制?抖音案中,法院便认为,对个人信息过于绝对化的保护将可能阻碍信息产业的发展。“数据是数字经济时代重要的生产要素,信息是数据的基础,对个人信息过于绝对化的保护,可能导致个人信息处理和数据利用的成本过高,甚至阻碍信息产业的健康发展。”但这一理解也存在诸多不妥。本规则规范的典型情形,是新闻媒体在报道过程中使用了个人信息,比如性别、年龄、所在地区等,读取通讯录的行为并不在本规则所规范的典型情形范围内。更重要的是,本规则适用的前提是“为公共利益”。一般而言,公共利益“主要包括国家公权力机关为了制定国家经济、社会政策的需要而处理有关公民的个人信息,或者为了国家安全、公共安全、公共卫生等,以及与刑事侦查、起诉、审判和判决执行相关等事务”,处理信息有助于相关产业的发展,不属于典型的公共利益。比如,征收某一地块后出让给开发商建成超市,虽有助于就业、税收和相关产业的发展等,但一般并不将商业开发认定为是不动产征收中的“公共利益”。退一步而言,即便信息产业发展是公共利益,但抖音案中是否允许抖音读取通讯录信息能否直接关联到产业的发展,不无疑问,因为读取通讯录是软件自我推广的手段之一,并非唯一手段。事实上,社交软件以外的多数软件,并没有读取通讯录,也成功实现了自我推广。
有学者认为,若“具体场景下的电子平台存在如水利、金融命脉之‘关键基础设施’的可能,即使为私主体运营之商事活动,亦可能蕴涵公共利益属性”。因此,“‘抖音案’的问题,在于抖音平台作为娱乐内容平台,是否达到‘关键基础设施’标准从而构成‘维护公共利益’情形。”这一以平台的重要性程度来判断平台业务行为是否构成公共利益的方式,实难赞同。我国之所以对“关键信息基础设施”予以特别规范,是“为了保障关键信息基础设施安全,维护网络安全”(《关键信息基础设施安全保护条例》第1条),即避免因其遭受破坏或数据泄露而严重危害国家安全、国计民生等,而非为了在其业务发展上给予特别保护。因此,不可因某一平台是“关键基础设施”而使该平台的个人信息保护规则有所不同。据此,本规则无法作为依据。
第三,“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”(第1款第6项)。所谓“本法规定”,主要指向《个人信息保护法》第27条,根据该条,个人自行公开或者其他已经合法公开的个人信息,可以在合理的范围内处理,个人明确拒绝或对个人权益有重大影响的除外。抖音案若欲适用本规则,需至少满足第三人信息在信息处理者收集前已公开。故问题在于:原告将其手机号码告诉其好友,是否构成“公开”?一般而言,公开指公之于众,即“不特定的人可以通过合法的途径而获悉……如果只是在很小的亲友圈子内公开,如在微信朋友圈中公开,只有特定的人才可以获得的个人信息,不应认为是公开的信息。”但为强化对权利的保护,公开也可指仅向有限的人告知某一事项,比如将某学生是乙肝患者的信息(隐私)告知全班同学。就本规定而言,法律规则是,已合法公开的信息原则上将允许他人处理,无需经信息主体同意。为有效保护信息主体的权益,在本条的解释上,公开应采狭义,即只有公之于众,才应认定为公开。因此,将姓名和手机号码告知好友,不应认定为本规定中的“公开”。据此,本规则无法适用。
综上,《个人信息保护法》第13条中所列举的情形,都无法作为信息处理者(抖音)收集第三人(原告)信息的合法性依据。
《民法典》中可能的依据,是第1036条信息处理者对处理行为不承担责任的规定,以及第999条所谓的“人格权合理使用”条款。其中,第1036条规定了三种情形:自然人或其监护人同意、信息已合法公开、维护公共利益或该自然人合法权益。第一种情形与本文讨论的情形无关;第二种情形与《个人信息保护法》第13条和第27条的情形相同,不再赘述;唯第三种情形,有所不同。
《民法典》第1036条第3项规定“为维护公共利益或者该自然人合法权益,合理实施的其他行为”。该规定与《个人信息保护法》第13条第1款第5项的差别有二:一是该项的范围比《个人信息保护法》更宽泛,并没有限制于“实施新闻报道、舆论监督等行为”;二是增加了“为该自然人合法权益”情形。对第一个规则,因判断的关键仍在于“公共利益”,故上文对公共利益的分析依然成立。第二个规则,有学者认为可能适用于抖音案,“其理由在于,信息主体无往不在数字经济中,‘双重同意’所致高成本亦将在另案事后反射于信息主体的信息处理和数据利用,故有损信息主体合法权益。”这一论证其实是通过“多回合赛局”的理念,对“为该自然人合法权益”作宽泛解释。但就该规范目的来看,其应是为了保护自然人直接甚至迫切的合法利益而设置的例外规则,其“通常是基于维护个人信息主体或其他个人的生命、财产等合法权益,此合法权益原则上应以重大为要,且个人信息主体由于疾病或其他原因无法作出同意或者授权的情形”。此外,本规则中的“该自然人”,应主要指与信息处理者存在直接法律关系的“个人”,而非“第三人”。因此,维护“该自然人”合法权益也无法适用于抖音案。
除《民法典》第1036条外,《民法典》第999条还规定了人格权合理使用的一般性规则。但本条对人格权合理使用作了较严格的限制,仅限于“为公共利益实施新闻报道、舆论监督等行为”,可以合理使用民事主体的姓名、肖像、个人信息等。因此,就个人信息而言,第999条的规则与《个人信息保护法》第13条第1款第5项相同,故也无法作为法律依据。
综上,《民法典》和《个人信息保护法》中的相关规则,都难以为信息处理者收集第三人的信息提供直接的法律规则。
(二)
抖音案中的合理使用规则
在缺乏直接法律规则的情况下,如何论证被告抖音收集原告信息的正当性?对此,法院尝试从个人信息合理使用角度展开论证。需说明的是,法院在判决书中提出的涉第三人信息合理使用,仅是理论上的一种论证,目前并没有直接的法律依据。
法院的说理逻辑如下:(1)原告的姓名、手机号码、根据诸多好友所形成的社交关系,属于个人信息。(2)根据个人信息的一般规则,处理个人信息需经用户同意,故在涉第三人信息的时候,需经个人和第三人的“双重同意”。“在处理手机通讯录中联系人姓名和手机号码时,既是对手机用户个人信息的处理,又是对通讯录中联系人个人信息的处理。所以,这种处理行为一般要征得两类主体的同意,既应征得手机用户同意,又应征得每条通讯录联系人的同意,即应征得双重同意。”(3)若构成“个人信息合理使用”,则可以不必征得信息主体的同意。
那么,为何法院要引入个人信息合理使用理论呢?从判决书来看,其直接的目的,是为了证成被告抖音的收集等行为的正当性,更进一步的目的,则是为了平衡各方当事人在本案场景下的利益,尤其是信息产业界的利益。“如果要求在任何使用场景下都必须严格征得双重同意,有可能会导致具体场景下利益的失衡。数据是数字经济时代重要的生产要素,信息是数据的基础,对个人信息过于绝对化的保护,可能导致个人信息处理和数据利用的成本过高,甚至阻碍信息产业的健康发展。”在认可个人信息合理使用的前提下,法院从姓名和手机号码信息的特点与属性、信息使用的方式和目的、对各方利益可能产生的影响三个方面,对如何认定本案是否构成合理使用作了详细分析。
法院判决后,有学者对法院说理予以肯定,并进一步做了系统性的理论概括和阐释,提出个人信息的合理使用应采“双清单模型”,即先满足“开放情形清单”(指法律列举的合理使用情形),再满足“开放评估清单”(指判断合理使用时需考量的因素),两者皆满足方构成个人信息的合理使用。
但是,以合理使用来正当化抖音对原告信息的收集,存在诸多理论不足,择其要者如下。
第一,也是最重要的,这一思路在价值取向上有失偏颇。抖音案所称的“个人信息合理使用”理论若成立,便意味着,在一定条件下,可以牺牲对个人信息的保护为代价,可无视个人的意愿,换取信息产业的发展。而条件只不过是:获取用户同意的成本较高。若这一论断成立,则恰好印证了一个并不妥当的判断:我国信息产业发展之所以迅速,重要原因之一是我国并不注重对个人信息的保护。
从我国的立法规定来看,立法者并没有接受这个价值选择。无论是《民法典》抑或是《个人信息保护法》,其采取的价值选择都是:除非是基于公共利益的需要,否则处理个人信息应尊重个人的意愿,一般需经个人同意。比如,《个人信息保护法》第13条列举的无需取得个人同意的例外情形中,为履行法定职责或法定义务所必需、为应对突发公共卫生事件、紧急情况下为保护自然人的生命健康和财产安全所必需、为公共利益实施新闻报道等,都直接指向公共利益。而为订立履行个人作为一方当事人的合同所必需、按照依法制定的劳动规章和依法签订的集体劳动合同实施人力资源管理所必须,可以理解为,既然是履行合同和人力资源管理所必需,故个人在订立合同时,实际上已同意对其信息的处理。同样,自行公开的信息,也可推定为个人已同意他人处理其信息。至于合法公开的信息,他人在处理其信息时,仍需尊重个人的意愿,并非可以自由处理。
因此,促进信息产业的发展,实不在立法者考虑个人信息无需同意的例外情形中,这或许是因为,个人信息关涉人格价值,而产业发展主要为财产价值,为了后者而克减前者,本就与人格利益应予优位保护的价值取向不符。当然,不应否认的是,信息产业的发展对一国而言非常重要,在抽象和整体角度而言,其也是一种公共利益。但在具体个案中,不应抽象地将降低企业处理信息的成本、促进企业的发展作为公共利益对待。泛泛地将促进产业发展作为公共利益,将为企业不当处理个人信息大开方便之门。将公共利益限制在直接涉及公益的范围,应是更妥当的方案。
第二,以合理使用来正当化信息处理者的收集行为,会导致外在体系的逻辑冲突。就个人与信息处理者的关系而言,尽管从商业逻辑来看,往往是信息处理者希望获取个人的手机通讯录信息,主动请求读取通讯录,但从法律关系来看,信息处理者与个人间是服务合同,处理者是为了履行向个人提供推荐好友等服务,而需要读取个人的通讯录。换言之,是个人向信息处理者提供了通讯录信息,只不过该提供是由信息处理者读取通讯录的方式来实现。若从侵权的角度观察,个人与信息处理者是帮助关系,即信息处理者为个人实现向自己推荐好友提供了帮助。既然二者间是帮助关系,意味着二者在违法与否的定性问题上往往是“一荣俱荣一损俱损”的状态,即若被帮助者的行为(个人向信息处理者提供通讯录行为)合法,则帮助者的行为(信息处理者读取通讯录行为)必然合法。
若依合理使用理论,意味着信息处理者读取(收集)通讯录联系人的行为本应是违法行为,故才需通过合理使用来正当化该行为。但一旦将处理者的读取行为认定为违法行为,便意味着个人提供通讯录的行为(被帮助者的行为)也是违法行为。而这一结论有悖于当前的普遍商业实践和社会公众的普遍认识。可见,对信息处理者与第三人间的收集行为是否违法的认定,会传导到信息处理者与个人间读取行为违法与否的认定。合理使用理论只顾及了信息处理者与第三人间的关系,但未能一以贯之地协调处理信息处理者与个人间的关系,进而导致了法律外在体系的逻辑冲突。
同样,一般认为,在第三人提出异议后,信息处理者负有删除其信息的义务。但合理使用也难以解释,为何第三人提出异议后便从原来的合理使用转变为不再满足合理使用?因为合理使用的正当性基础在于公共利益,故对合理使用的认定不应因第三人的意愿而改变。
第三,从内在体系来看,我国在肖像权合理使用上的规则,也可佐证将收集信息行为纳入合理使用的不当。我国曾在《中华人民共和国民法通则》第100条规定:“公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。”可见,若以营利为目的使用他人肖像,则必须经本人同意,并无例外情形。《民法典》第1019条则强化了对肖像权的保护,即不再强调行为是否以营利为目的,只要未经同意,便不得制作、使用、公开肖像权人的肖像,法律另有规定的除外。因此,就历史解释来看,我国在肖像权保护上的规则是:若以营利为目的制作、使用、公开肖像,都需经肖像权人同意,即不构成合理使用。若以非营利为目的,除法定情形外(主要规定在《民法典》第1020条),也仍需经肖像权人同意。
在个人信息场景中,企业收集第三人的信息,应认定为是以营利为目的。法律上认定是否以营利为目的,并不以行为人是否能从其行为中直接获得经济利益为标准。只要该行为能为行为人带来潜在的利益,便可能构成以营利为目的。在抖音案等企业基于商业上发展的需要而收集第三人信息的场合,应认定为满足“以营利为目的”。
鉴于肖像权和个人信息都属于人格权项下的具体权益,故二者在合理使用规则上一般应采相似的规则。据此,若认可企业以营利为目的收集第三人信息构成合理使用,则与我国在肖像权上将以营利为目的的情形排除在合理使用范围外的制度选择,存在体系上的不一致。而肖像权上的规则是我国立法已明确表达出来了的价值选择,故理论和司法实务中若要创设营利为目的场景下的个人信息合理使用,无疑应更为慎重。更何况,我国《个人信息保护法》第13条等条文中所明文列举的信息处理无需经个人同意的情形,都体现出基于公共利益或对信息主体意愿的尊重。这事实上也间接否定了营利为目的的场合存在合理使用的可能。
综上,以合理使用正当化对第三人信息的收集行为,会存在内在体系上的价值选择不一致和外在体系上的逻辑冲突,且该径路所体现出的价值取向本就不妥,故不应采此路径。
三、权利冲突视角下涉第三人信息规则的证成
既然以合理使用理论作为正当化信息处理者收集第三人信息的正当性基础存在诸多不足,那要如何在法律上解释涉第三人信息的规则呢?本文此处将论证,权利冲突理论是更可取的解释方案。
(一)
法律分析视角的转换
采合理使用论者,是从信息处理者与第三人间的关系角度,对信息处理者的收集行为做法律上的评价。这一观察的问题在于,没有继续追问为何信息处理者会收集第三人的信息。不可否认的是,信息处理者确实是在未经第三人同意的情况下,通过读取个人通讯录的方式,收集了第三人的信息。但信息处理者之所以要读取通讯录,就法律角度而言,是为了履行其与个人间的服务合同。详言之,尽管从商业和现实来看,是信息处理者为了推广其软件、发展其业务等目的而希望读取个人的通讯录,但处理者的这一心态在法律上被划入“动机”层面,往往并不具有法律上的意义。具有法律意义的,是信息处理者弹框申请读取通讯录的“要约”行为和个人点击同意的“承诺”行为。从信息处理者和个人间的服务合同来看,信息处理者负有向个人提供好友推荐等服务的义务,而个人负有向处理者提供其通讯录信息的义务。个人履行其提供通讯录义务的方式,是通过允许信息处理者读取其通讯录的方式来实现。可见,从法律的角度而言,与其说是信息处理者未经第三人同意收集了其信息,不如说是个人未经第三人同意,将其信息提供给了信息处理者。因此,严格而言,不是信息处理者“收集”了第三人的信息,而是个人向信息处理者“提供”了第三人的信息。可见,法律上真正需要评价的行为,与其说是信息处理者的收集行为,不如说是个人的提供行为。如果个人有权在未经第三人同意的情况下将通讯录信息提供给信息处理者,那么所谓的信息处理者收集第三人信息的行为,便不应在法律上被否定性评价,否则将出现法律评价上的矛盾。那么,个人能否未经第三人同意而向信息处理者提供涉第三人的信息?从表现形式来看,这似乎是一方未经许可处分他人之物(或权利)的行为,即是一个“无权处分/侵权”问题。但这一定性并不准确,因为个人提供的联系人信息,既是第三人的信息,同时也是个人自己的信息。即对个人而言通讯录信息是其个人信息,且属于敏感个人信息。对通讯录中某一特定联系人(第三人)而言,相关姓名和电话号码等信息,也是其个人信息。基于信息主体有权自行决定如何处理其个人信息的规则,个人和第三人都有正当的权利来决定其个人信息被如何处理。因此,此处的问题,实质上是权利冲突问题,而非侵权问题。
权利冲突与侵权是两个性质完全不同的法律问题,二者的核心差别,在于合法性的不同。“侵权行为是加害人在无任何正当依据(违反法定义务)的情况下,外在地侵入他人权利的范围……权利冲突是双方在均具有法律依据的情况下,因正当地行使权利而陷入对峙与僵局,冲突双方均没有突破各自的内在权利界限,更没有外在地侵入对方的权利范围。”在涉第三人信息场景中,个人与第三人所要处理的个人信息,存在部分重叠。个人希望向信息处理者提供其个人信息,而第三人不同意提供其个人信息,故而发生权利冲突。
涉第三人信息场景纠纷的特殊之处在于,该冲突的外在表现,往往是第三人向信息处理者主张权利,而非向个人主张权利。一般而言,出现权利冲突时,诉讼中的双方当事人往往是发生权利冲突的当事人。但在第三人信息场合,第三人并不是向个人提出主张,要求个人不得向信息处理者提供其信息,而是向信息处理者主张,要求其不得收集(或删除)其信息。原因或许在于:一方面,基于熟人的考量,第三人不愿与个人“对簿公堂”。更重要的是,第三人若欲实现其权利(信息不被收集),必须通过信息处理者在技术上的“配合”才能实现,个人对此无能为力。涉第三人信息纠纷的这一特点在一定程度上误导了学界和司法裁判,导致其将论证的思路囿于第三人与信息处理者之间。事实上,第三人与信息处理者间的关系,取决于个人与第三人间的关系。无视或未厘清个人与第三人的法律关系时,不可能真正有效回答第三人与信息处理者的关系。
(二)
第三人提出异议前权利滥用之否定
个人与第三人间的权利冲突,发生在何时呢,是发生在个人向信息处理者提供其通讯录信息时,还是发生在第三人提出异议要求信息处理者删除信息时?根据一般原理,权利冲突的发生以双方主体都要求行使权利为前提,仅仅是双方都享有权利并不必然会导致权利冲突。“即便两项权利不能同时实现,也并不意味着必然发生权利冲突,因为权利冲突以双方行使权利的主观意愿为前提条件。”比如,在离婚纠纷中,只有双方都主张对子女的抚养权时,才会发生权利冲突。若一方主张而另一方并不主张抚养权,则不会发生权利冲突。据此,当个人向信息处理者提供通讯录信息时,第三人往往并不知晓此事,更勿论行使权利,故此时并不会发生权利冲突。需强调的是,此时也不存在侵权,因为侵权的前提之一是行为的违法性(若不承认违法性要件,则该要求可体现在行为人违反注意义务的过错要件中),尽管个人在行使权利时完全可能预见到第三人的意愿并未得到尊重,也并不意味着个人负有结果回避的义务,因为通过行使权利(提供自己的通讯录信息)来使自己的利益得到满足,是权利的应有之义,这与侵权的本质,即行为违法性不符。
真正的难题在于,此时是否存在权利滥用?这取决于个人信息的权利内容和权利边界。其中的关键,在于个人是否对信息享有广泛的积极利用的权利内容。我国目前立法和理论研究多聚焦于个人信息的消极防御内容,即通过赋予个人信息权利来预防个人的正当权益受到侵害。比如,《个人信息保护法》第四章“个人在个人信息处理活动中的权利”所规定的权利,如知情、查阅、复制、更正、删除等权利,都主要指向对个人信息的侵害行为。虽然该法第44条提及了个人对其信息的“决定权”,即“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。”但鉴于本条在决定权后立即作了“有权限制或者拒绝他人对其个人信息进行处理”的“补充说明”,表明此处所谓的“决定权”,主要仍指向对个人信息的侵害行为。
尽管我国立法主要关注的是个人信息的消极防御内容,但立法中确实也赋予了个人对其信息的积极利用权能,典型是个人信息“可携权”。《个人信息保护法》第45条第3款规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”就是否要确立可携权,立法过程中存在较大争议。通过的《个人信息保护法》最终加入了本规定,表明立法者肯定了个人对其信息享有积极利用的权利内容。
在可携权的行使过程中,很可能发生个人要求转移的信息中包含了涉第三人的信息。事实上,将个人好友信息从一个平台转移到另一个平台,正是行使可携权的典型场景。若转换视角,将手机“视为”一个“信息处理者”,抖音为另一信息处理者,则通讯录信息从手机转移至抖音平台,正是个人行使可携权的一种表现。因此,既然立法确立了可携权,便意味着此种信息的转移并不需要经信息所涉第三人的事先同意,否则可携权将在现实中被架空。据此,可携权的正当性表明,个人向信息处理者提供涉第三人信息时,是在其权利范围内正当行使权利,并未构成权利滥用。
综上,个人向信息处理者提供信息是个人在正当行使自己的信息权利。此时既无权利冲突,也无权利滥用,更无侵权。第三人在此时往往并不知晓其信息被提供,故此时往往也并不会发生纠纷。
(三)
第三人提出异议后权利冲突之适用
真正发生纠纷的,是第三人知晓后,不同意个人将其信息提供给信息处理者时(现实中多表现为不同意信息处理者收集其信息,并要求删除其信息),法律上要如何处理。此时,个人和第三人间的权利行使无法同时得到满足,即出现了权利冲突。那么,应如何化解这一冲突?就此,分析如下。
首先,我国法律并未就此冲突给出制度安排。至今为止,我国立法从未直接处理过个人信息场景下个人与第三人间的法律关系问题。能间接联结二者关系的,是个人与信息处理者的关系,尤其是个人信息的删除权和决定权。(1)关于删除权,《民法典》第1037条第2款规定:“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”在涉第三人场合,信息处理者是“合法”地从个人处收集了第三人信息,也未与第三人间有合同关系,故本款无法适用。《个人信息保护法》第47条也规定了个人可以要求信息处理者删除其信息的五种情形,包括个人撤回同意、个人信息处理者违反法律、行政法规或者违反约定处理个人信息等。这些列举的情形都与涉第三人场合不符。故删除权无法适用于涉第三人信息场合。(2)关于决定权,《个人信息保护法》第44条赋予了信息主体一般意义上的“决定权”,即“有权限制或者拒绝他人对其个人信息进行处理”。但问题是:一方面,该决定权是否包含可由个人自由决定的随时可要求删除信息的权利,不无疑问。详言之,在法律已规定了个人有权要求删除的具体情形后,就删除纠纷,似应优先适用具体的规定,而非适用一般性的决定权条款。另一方面,即便信息主体享有宽泛的决定权,也无法径直得出第三人可要求信息处理者删除其信息的结论,因为第三人和个人都对信息享有决定权。因此,决定权也无法作为第三人要求信息处理者删除信息的依据。
其次,鉴于我国并无解决权利冲突的直接规定,故对此问题的解决,需依权利冲突的一般原理加以展开。权利冲突的解决方式主要有二:一是权利间的相互让步;二是权利的超越与补偿。前者指对权利冲突所指向的正当利益进行重新分配,使双方分别享有权利的部分利益,即权利主体对各自权利的不完全实现;后者指一项权利超越与之对立的另一项权利,并由胜出的一方权利人实际行使权利,且往往需就此向被超越的一方予以补偿,即超越的一方通过补偿来“买断”对方的权利。采权利相互让步方案的条件之一,是冲突所涉及的利益具有可分性。但在涉第三人信息场合,双方因信息部分重叠而发生冲突,该利益不具有可分性,故权利让步方案无法适用,唯一可能的方案是权利超越。
最后,问题的关键是,个人与第三人的信息权利,何者应该超越对方?就此,可能的论证途径包括:确定权利位阶、确定利益位阶、经济分析、利益衡量和价值选择、竞争法则,等等。这些论证途径虽然名义不同,但在实质考量因素方面,其实往往交织在一起。故在具体的案件中,这些论证所得出的结论,往往相似。同时,鉴于数字社会治理逻辑的重大变化,且涉第三人信息的场景多样,故本文无意在多种论证途径中做选择,并就多样的场景分别展开分析。而是仅就抖音案所涉的社交场景,将考量还原到最底层,即生活事实层面,做简要说明。从实践情况来看,社交软件在隐私中往往会提供一个选项:允许或不允许他人通过手机号码找到我。这意味着,用户可以拒绝自己的信息被匹配后,被推荐给其他人。若这是被公众普遍认可的合理做法,便意味着,第三人拒绝信息被提供的权利,应超越个人向信息处理者提供通讯录中该第三人信息的权利。虽然生活中的普遍做法无法直接证成法律规则上的应然选择,但基于法律对常情的尊重,似可得出结论:在推荐好友的场景中,第三人的信息权利应超越个人的信息权利。
在第三人信息权利超越个人信息权利的前提下,需进一步明确相应的法律后果。就此,说明如下。(1)个人的信息权利被超越,并不意味着其权利被废除、消灭或自始不存在,而只是在承认双方权利正当性的前提下,确认由胜出的一方实际行使权利,被超越的一方权利人作出让步,即负有容忍义务。容忍义务意味着“某人有义务不提反对或异议,这种反对或异议是他本来有权提出的;对一个行为,本来就不能或不可阻止,就无所谓容忍了。”(2)个人和信息处理者都无需就第三人提出异议前的行为,对第三人承担责任,因为其行为并无不当。相反,根据权利冲突一般原理,超越的一方(第三人)应对被超越的一方(个人)予以经济补偿,如此才能彰显权利作为受保护的正当利益的本质属性。只是,因此种场景中信息的经济利益较小,且实务中个人也鲜有因此去起诉第三人,故这一经济补偿仅具理论上的说明意义。(3)在第三人提出异议后,若信息处理者未及时采取删除等措施,则需就此对第三人承担侵权赔偿责任。在第三人异议后,个人的权利被超越,此时个人产生了容忍义务,即不得继续向信息处理者提供第三人的信息。所谓不再继续提供,因个人在技术上无法删除信息处理者所存储的信息,故实务中表现为由信息处理者删除第三人的信息。若信息处理者未予删除,应承担侵权赔偿责任。(4)第三人提出异议的请求权基础,并不是《个人信息保护法》第47条关于删除权利的规定,而是第44条关于决定权的规定。(5)信息处理者因第三人的要求删除其信息后,无需因无法向个人完整提供好友推荐服务而对个人承担违约责任,因为是个人自身无法再提供第三人信息。
(四)
权利冲突与合理使用的比较
为更清晰展示本文所采的权利冲突径路的特点,可将其与抖音案中法院所采的合理使用径路,作一比较。二者在客观效果上都有助于说明信息处理者在未经第三人同意时,是否可以收集其信息。但二者在思考路径和诸多法律规则上则完全不同。
第一,关注的法律关系不同。合理使用是以第三人和信息处理者间的法律关系作为分析的对象,并从信息处理者的视角出发,考虑其收集行为的正当性。权利冲突理论,是以个人和第三人间的法律关系为分析的对象,信息处理者并非分析的重点,因为其主要是起到个人与第三人之间“中介”的作用,是根据二者的意愿来采取相应的行为。信息处理者行为的正当与否,主要取决于个人与第三人间法律关系分析的结果。
第二,对行为的法律评价不同。关于合理使用的性质,“虽然多数国家的著作权法将合理使用作为一种‘权利的限制’来规定,但在学理上,人们对合理使用的性质并未达成一致认识。目前,较有影响的观点有‘权利限制说’‘侵权阻却说’和‘使用者权利说’。”我国《著作权法》将合理使用规定在第二章(著作权)第四节(权利的限制)下,故若采“权利限制说”,则意味着:个人信息的权利内容中并不能涵盖信息处理者对其信息的收集。若采“侵权阻却说”,意味着收集行为本是违法行为,同时也会“传导”到个人允许信息处理者读取其通讯录的行为也本应是违法行为。权利冲突理论下,个人与第三人都有权利决定如何处理其信息。故个人向信息处理者提供通讯录信息,信息处理者的收集行为,以及第三人不同意信息处理者收集其个人信息,皆有正当性基础。虽然一方的权利行使,会给另一方行使权利造成障碍,但这并不意味着行使权利一方的行为违法。在权利冲突时,最终第三人权利超越了个人权利,但法律上并不因此而对个人超越之前的行为作出否定性评价。
第三,解释力的广度不同。合理使用仅处理第三人与信息处理者间的关系,这导致其在理论的解释力上存在“盲区”,引发了其他理论难题。比如,合理使用试图论证信息处理者未经第三人同意而收集其信息的正当性,但却难以回答,为何在第三人提出异议后,信息处理者应删除其信息。因为既然是合理使用,即其正当性基础在于因对公共利益的考虑而限制私主体的权益,那么该使用行为便与第三人的意愿无关,不会因第三人异议与否而发生变化。
抖音案中,法院为了得出抖音在原告提出删除请求后,负有删除信息的义务,给出了牵强的理由。法院认为,抖音对原告姓名和手机号码的使用可以细化为读取、存储、匹配和推荐。其中,读取、匹配和推荐行为是实现社交功能常见和必要的步骤,构成合理使用。但存储行为并非实现社交功能所必须,超过了处理个人信息的必要原则,故不构成合理使用。法院的这一说理会面临诸多质疑。在抖音读取通讯录信息且没有匹配成功后,若抖音不能存储联系人信息,那么要如何做到一旦联系人注册了抖音账户后,能向个人推荐该好友?是隔三差五地重读通讯录吗?如果允许抖音不断读取通讯录,那与将第一次读取的通讯录信息一直存储,在对通讯录信息的保护程度方面,又有何实质性的差别?读取、存储、匹配和推荐,应是实现推荐好友功能而一体的行为,很难在法律上将它们区别对待。
其实,法院这一说理真正想要解决的问题是在第三人要求抖音删除其信息时,如何论证抖音有删除的义务。由于合理使用法律后果的“刚性”,一旦将第三人提出要求前抖音的收集、存储和匹配等行为解释为构成合理使用,便难以再要求信息处理者在第三人提出要求后负有删除的义务。为了正当化信息处理者的删除义务,法院选择了将第三人提出删除请求前和提出请求后的所有情形,都纳入不构成合理使用的范围。这才导致了法院在将读取、匹配、推荐都认定为合理使用行为的同时,却又将存储行为认定为并非合理使用。若采权利冲突理论,则上述问题可迎刃而解。在第三人提出删除要求前,个人是在正常行使自己的个人信息权利,向信息处理者提供通讯录信息,并要求其存储、匹配和推荐好友。此时,既不应认为第三人同意了,也不应认为第三人否定了个人对其信息的处理,而是应认为第三人未对是否行使其信息权利作出表示。当第三人作出不同意信息被信息处理者收集的表示(其实质是不同意个人向信息处理者提供其信息)后,法律上第三人的信息权利应超越个人的信息权利,此时个人对其信息权利的行使便受到限制,不得向信息处理者提供第三人信息,而因为个人在技术上无法删除信息处理者所存储的信息,故信息处理者负有删除信息的义务。
最后,也对权利冲突和默示许可作一比较。默示许可也是一种可能的解释涉第三人信息纠纷的理论径路。依“选择退出”默示许可理论,推定第三人同意个人向信息处理者提供并处理其信息,除非第三人明确表示反对。默示许可解释上的不足在于,其推定第三人同意,在很多情况下与客观事实不符。因为第三人多数时候并不是同意了,而是其对自己信息被处理一无所知。尽管就抽象而言,第三人可以预见到自己的信息可能会被他人提供给信息处理者,但这一抽象意义上的同意实在过于宽泛。因此,在解释上将第三人认定为权利冲突中的第三人既未同意也未否定对其信息的处理,而非推定其同意,与客观事实更相符。
四、结语
信息的特点在于传递和共享,故某一信息同时涉及多个主体是生活中的常态,这本是生活中习以为常的现象。但随着个人信息权益的提出和强调,以及我国法律对宽泛的个人信息权益的确认和保护,信息主体间的权利冲突必将成为这个时代广泛出现的现象。
本文旨在厘清信息主体权利冲突纠纷的基本法律原理。为聚焦论证,本文以抖音案所体现的社交软件场景为中心,以读取通讯录信息这一“提供/收集”行为为例,展示了在第三人提出异议前和异议后,相关行为的法律性质。本文所提出的以权利冲突理论来解释涉第三人信息的法律规则,虽是以“提供/收集”行为为例,但这些论证对其他信息处理行为也基本成立。因为只要信息处理者的处理行为是为向个人提供服务所必要,则信息处理者的行为是否正当都会取决于个人与第三人间权利冲突后的法律后果。当然,若处理行为并非向个人提供服务所必要,则处理者的行为有悖于信息处理中的“必要”原则,其行为对个人而言是非法,对第三人而言则更是没有法律依据。
在抖音案中,法院从信息处理者的视角出发,以合理使用制度来论证信息处理者行为的正当性,是问错了问题,开错了药方。问题的关键,并不是信息处理者与第三人的法律关系,而是个人与第三人的法律关系。法律需重点评价的,并不是信息处理者对第三人信息的“收集”行为,而是个人对信息处理者的“提供”行为。我们不可能在未厘清乃至无视个人与第三人间法律关系的情况下,成功厘清信息处理者与第三人的法律关系。同时,本文也提醒,对信息/数据问题的分析,不应将视野局限于用户和信息处理者之间,也应注意到不同用户间也可能出现相互冲突的诉求。希望本文提出的权利冲突理论径路,能为此类案件的有效解决,乃至我国涉第三人信息法律规则的构建,有所启迪!
(责任编辑:陆宇峰)
(推送编辑:钟瑾睿)
本文载于《华东政法大学学报》2022年第6期。因篇幅较长,已略去原文注释。如需了解更多,请查阅原文。阅读和下载全文pdf请点击下方“阅读原文”或登陆本刊官网xuebao.ecupl.edu.cn;编辑部在线投稿系统已更新,欢迎学界同仁登录journal.ecupl.edu.cn惠赐大作!
推荐阅读
彭 錞 | 论国家机关处理的个人信息跨境流动制度——以《个人信息保护法》第36条为切入点
王 苑 | 个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系
金 耀 | 人信息私法规制路径的反思与转进郭春镇丨数字化时代个人信息的分配正义
于柏华 | 处理个人信息行为的合法性判准一一从《民法典》第111条的规范目的出发
订阅方式
//
【向编辑部订阅】
1.银行汇款
户名:华东政法大学
账号:1001223609026407097
开户支行:中国工商银行愚园路支行
2.邮局汇款
地址:上海市长宁区万航渡路1575号《华东政法大学学报》编辑部
邮编:200042
订阅电话:021-62071670
【邮局订阅】
国内读者可到全国各地邮政公司办理
邮局发行代号:4-618