阳雪雅:论企业违反网络隐私政策的违约责任适用
摘要:网络隐私政策存在合同说与非合同说两种观点。隐私政策违约责任的适用能有效弥补现有救济方式的不足,可以重塑个人信息主体与企业的平等关系,从而提高企业利用个人信息的效率。传统的点击同意理论与浏览同意理论都不能充分解释网络隐私政策的合同性质。应从免费的网络服务本质出发,用户如果不授权企业对个人信息的使用,则用户也无法享受网络经营者的服务,个人信息的授权与企业的服务形成对价关系,企业发布隐私政策是要约,用户选择企业的服务,则表现为用户对隐私政策的同意。另外隐私政策合同说还可以通过隐私政策的内容进一步证明。不过对于敏感信息等对用户利益影响重大的收集、处理等行为必须征得用户的明示同意。违约行为的难以发现是适用违约责任的障碍,因此对违约行为细致梳理则是突破违约责任适用障碍的关键。当然用户与企业的强弱差异也亟需违约救济的具体程序和制度的构建。关键词:隐私政策;点击同意;浏览同意;违约责任
目次引言一、厘清网络隐私政策的合同性质二、企业违反网络隐私政策适用违约责任的价值三、企业违反网络隐私政策适用违约责任的障碍四、破解企业违反网络隐私政策适用违约责任的障碍结语
引言
当我们越来越习惯于网络世界时,网络经营者收集或利用用户数据成为其直接或者间接营利的方式。如2019年,百度在线广告收入就达781亿元,占营收比重72.7%。为了让广告投放精准高效,利用个人信息的用户“画像”(profiling),成为网络服务提供者的杀手锏。可见,网络经营者收集或利用用户个人信息是其避免向消费者收费的一种有效方法。为了规避法律风险,“通知”与“同意”机制成为网络经营者普遍采用的模式,该模式以隐私政策的形式向在线服务用户提供有关服务信息和隐私实践的通知。根据这些信息,用户可以选择是否使用特定的在线服务,以及是否行使这些服务可能提供的保护其隐私的任何选项。不可否认,网络经营者的隐私政策在保护信息主体个人信息方面起到了一定作用,但是网络经营者违反隐私政策侵犯个人信息的情形还是时有发生。
2018年中国消费者协会发布《100款APP个人信息收集与隐私政策测评报告》,测评结果显示,当前有关隐私条款还是存在十分突出的问题。主要表现为:(1)网站隐私条款不明显,或者内容比较冗长。即使隐私政策透明度较高的百度表现也不尽如人意。百度主页没有直接显示任何与“隐私”有关的字眼,点击“使用百度前必读”,才会看到“百度隐私政策总则”。(2)隐私条款大都比较概括,个人信息主体很难全面了解个人信息使用、共享、转让等具体情况。(3)隐私政策缺乏方便快捷的访问、修改、删除个人信息的途径。(4)有的隐私政策存在强迫接受情形,如用户不接受就不能享受相应网站的服务。面对隐私政策自身存在的问题,隐私政策作为网络经营者自我监管的工具亟需完善。
过去,法学界对网络经营者的协议更多聚焦于网络平台用户协议研究,对隐私政策关注较少。高秦伟在《个人信息保护中的企业隐私政策及政府规制》一文中特别强调应加强政府、企业和行业组织的合作规制,该文对完善隐私政策提供了十分有益的法学思考。我国近两年关注隐私政策的法学研究虽有增加,但相较于其他学科,还稍显冷清。新闻学、信息学等学科的文献更多集中于如何完善隐私政策的表现形式、隐私政策条款设计、隐私政策内容等方面。法学界对隐私政策的较少关注主要基于以下原因:第一,法律更多是对现实问题的回应,企业通过隐私政策自我规制以实现对个人信息的保护正处于发展阶段,法律还未及时跟进。第二,企业使用“隐私政策(privacy policy)”或者“隐私声明(privacy statement)”的表达一方面体现自我规制,另一方面寄希望于它是企业的道德声明,并未意图约束企业与消费者。第三,个人信息主体由于企业违反隐私政策而主张个人信息保护的案例比较少。在个人信息、隐私权民法保护均不完善的前提下,我国司法机关采取了将个人信息附属于隐私权进行保护的方式。在写作该文时,本人以“隐私政策”作为关键词在北大法宝进行案例检索,法宝推荐118个案例,典型案例1例,对案例分析后,与隐私政策直接相关案例只有8例。个人信息主体一般直接以企业收集、处理或利用个人信息具有违法性而提起侵权之诉,隐私政策并未直接作为个人信息保护的基础。虽然我国法学界对隐私政策缺乏关注,但是这应该是暂时现象,毕竟企业隐私政策已经出现了很多现实问题,也亟需要法学界的研究。
一、厘清网络隐私政策的合同性质
从最广泛的意义上来说,隐私条款是网络经营者对其所开展的收集、保存、使用、共享等个人信息处理行为的说明。当然该隐私政策调整的是个人信息,而非传统意义的个人隐私。隐私政策旨在提高网络信息实践的透明度,有了这个通知,用户可以根据隐私偏好选择是否使用相应的网站服务,该种模式就是“通知和选择”。隐私政策与网络经营者的服务协议存在很大区别,隐私政策通常采用浏览形式,用户在使用本网站服务前不强制要求必须访问和查看隐私政策。从形式上,它更像网络经营者对用户个人信息保护作出的声明,因此有的网站也将它称为“隐私声明”。
不可否认,很多情形下,网站的经营活动与个人信息存在一定的关系,以某购物网站隐私政策规定为例:我们会出于购物目的,收集和使用您的个人信息:(1)帮助成为网站的会员;(2)展示和推送商品和服务;(3)下单;(4)支付功能;(5)交付产品或服务功能;(6)客服与售后功能等。正因为隐私政策采用browse wrap(点击浏览)形式,很多情形下你或许根本未了解,甚至也未同意,但是网络经营者却收集、使用了你的信息,而企业的行为在隐私政策范围内往往是合法的,因为企业通过隐私政策进行了告知。隐私政策的性质如何界定,则成为保护用户个人信息的关键。
反对隐私政策合同说的观点成为学界主流观点,其理由如下:(1)隐私政策的browse wrap形式旨在实现用户浏览,并不是为了获得用户同意才生效,而网络经营者的用户协议采用click wrap形式(点击同意),则需要用户同意,因此用户协议是合同,而隐私政策一般不是合同。(2)用户很难就隐私政策违约提出合同索赔,因为原告证明违约损害存在困境,仅仅因为个人信息被侵犯而提出情感伤害的索赔,并不足以构成违约损害赔偿指控。其实违反隐私政策难以证明财产损害在侵权诉讼中也一样会遇见,仅仅是轻微的精神损害得不到救济,只有严重的精神损害才能得到救济。但是从损害证明的角度,个人信息侵权损害比个人信息违约损害更容易实现,其根本原因就在于个人信息并不视为财产,即使个人信息具有人格属性与财产属性,因此单纯以违反隐私政策侵犯个人信息主张违约赔偿,如何衡量财产价值也很难实现。(3)理论上允诺禁反言规则能否作为违约索赔的依据也存在一定争议。允诺禁反言作为英美法系的传统规则,是在合同法上约因理论对合同限制过窄的基础上而产生,表现为即使不存在约因,但是可以根据允诺禁反言规则主张信赖利益的保护。从这个角度,允诺禁反言的保护,实际上是通过侵权进行保护。合同法上的允诺禁反言是指一方做出允诺,如果另一方依赖允诺,即使合同的基本要素(如损害赔偿)没有得到满足,该允诺也可以被执行。对于隐私政策,以允诺禁反言寻求合同法保护存在很大的障碍,因为用户很难证明是因为对隐私政策的信赖而使用企业的服务。毕竟从网络活动产生之初,用户是因为网络经营者的免费服务而愿意接受其服务,并非基于隐私政策的信任而接受其服务。网络经营者采用免费方式,获取用户的流量和对网站的黏性度,约束网站和用户的合同呈现的是用户协议。
隐私政策的思想可追溯于美国“关于个人数据自动系统的建议小组”(Advisory Committee on Auto-mated Personal Data Systems)在1973年首先发布的“公平信息实践准则”,但是企业将隐私政策作为企业收集、利用个人信息的合规文本却是在个人信息日益重要的今天才被逐渐重视。网络的野蛮发展时代,我国很多企业没有完善的隐私政策,甚至根本就没有制定隐私政策,2018年南都个人信息保护研究中心发布的《2018年度常用App隐私政策透明度排行榜》中仍然有不少企业没有隐私政策或使用不合理的隐私政策,可见用户并不是基于对隐私政策的信赖而与企业产生交易或服务关系,允诺禁反言很难成为违约救济的充分理由。
隐私政策非合同说影响了个人信息保护的实践。非合同说观点下,企业违反隐私政策本身并不足以让企业承担违约责任,民事救济领域只能寻求侵权保护,而侵权损害的不确定性又成为民事救济最大的障碍,如Bose v. Interdick一案中,Bose指控Interdick使用“flash cookie”,法院认为收集人口资料并不构成对消费者的损害或对收集者的不公正得利。此外,法院将互联网上的广告比作电视或报纸上的广告,因此,即使Bose采取措施阻止数据收集,原告的伤害仍然不足以达到实质性损害程度。即使有的案件认定为侵权,但是侵权赔偿也很低。如我国俞某与浙江天猫网络有限公司等网络侵权责任纠纷一案,法院判决被告赔偿原告俞某经济损失1元。可见相较于违约救济,对个人信息通过侵权救济,并不具有明显的制度优势。
隐私政策非合同说真的坚不可摧吗?该学说的理论就是浏览协议不能成为合同,点击同意协议可以成为合同,前者不可以强制执行,后者可以强制执行。为了使隐私政策成为合同,Madelyn Tarr提出用户必须以click wrap或者其它可强制执行的形式有效同意公司的隐私政策,而不仅仅是他们已经阅读了隐私政策。
单纯的浏览协议很难成为合同的理论根植于传统纸质合同形式,合同书体现了要约的所有内容,如果没有同意即承诺,何谓合同成立?当然电子合同也必须存在要约与承诺,承诺形式往往体现为click wrap形式即点击同意形式。随着网络经营活动的发展,浏览授权协议越来越被更多人接受,隐私政策要成为合同,隐私政策就必须出现弹出模式,让用户能浏览,从而选择该网站服务。可见,以双方当事人亲自协议而成立的合同条款的理想模式为基础的传统契约法,已变迁至所剩无几。企业规避隐私政策合同性的方式就是很多隐私政策是以企业声明或通知方式呈现。更有甚者,有的企业将隐私政策并未直接放在网站首页,需要层层点开才能出现。
欧盟《一般数据保护条例》确立了个人信息同意原则,我国立法也借鉴了同意原则。落实同意原则就是通过隐私政策实现,虽然现行规定强调积极同意原则,但实践中对于一般个人信息的默示同意也大量存在,何谓默示同意?即用户未明确拒绝网络经营者的收集或处理个人信息的行为就视为同意。
如何对待此类隐私政策,仅仅从要约和承诺的程序来观察,失之偏颇,应对用户与网络经营者的法律关系进行更深入的梳理。网络经营发展之初,企业提供网络服务主要是为了获得用户的流量,提高用户对网站的黏性度,并不看重用户的个人信息,网络经营者收集用户个人信息的自我约束规则体现在用户协议内容里面。随着大数据的发展,用户个人信息的价值日益突显,这就催生了网络经营者对用户个人信息的需求。网络经营者为了规避合同的约束,当然愿意选择将隐私政策从用户协议中脱离出来,甚至有的企业根本不规定隐私政策。虽然我国至今未制定《个人信息保护法》,但是《网络安全法》《电子商务法》《信息安全技术个人信息安全规范》《互联网个人信息安全保护指南》等硬法和软法的出台对网络经营者收集、处理或利用个人信息提供了规范指引,其中网络经营者制定隐私政策就是其合规的表现。因此现在网络经营者单独制定隐私政策并不仅仅为了声明,而是希望能取得用户对个人信息的授权,同时企业为用户提供免费或有偿的网络服务。
目前免费的网络服务仍是网络经营活动的常态,用户如果不授权企业对个人信息的使用,则用户也无法享受网络企业的服务,个人信息的授权与企业的服务形成对价关系,即使用户未直接对隐私政策点击同意,甚至也未浏览隐私政策,但是用户能使用企业网络服务的前提就是用户已经默示同意了该隐私政策,这从另外的层面解释了一般个人信息默示同意的理论基础。不过对于敏感信息、共享、超出目的的二次利用等对用户利益影响重大的收集、处理等行为必须征得用户的明示同意。
基于此,面对网络经营者利用爬虫抓取其他平台个人数据的情形,由于被抓取个人数据的用户未与该网络经营者形成网络服务关系,也就不存在提供个人信息的对价,该抓取行为对于用户缺乏合理性。但是过分强调私权控制用户的个人信息或者已经公开的个人信息财产利益,容易造成被爬取企业的数据垄断,形成新的数据鸿沟,最终损害用户等消费者利益,也不利于形成正当的数据竞争秩序。因此对于数据爬虫行为,在保护用户数据隐私的基础上,可以区分场景判断爬虫行为的合理性,以促进数据的共享与互联互通。对于用户与爬虫企业的权利义务关系,爬虫行为的界限可以借鉴知识产权的合理使用与法定许可制度,如果爬虫行为具有非营利性或者具有较大的社会福利,则允许合理使用。如果爬虫行为是营利性的,可以适用法定许可,由用户享有报酬,强制在用户与爬虫企业之间形成个人信息授权使用合同。可见对用户个人信息的保护,在侵权救济的基础上可以借助合同理论进行更充分保护。
隐私政策合同说还可以通过隐私政策的内容进一步证明,隐私政策条款并不是网站对自己义务的单方声明,也包括用户义务。如《百度隐私政策总则》规定:您注册百度账号时须至少向我们提供账号名称、手机号码及电子邮箱,并创建密码您使用我们的特定产品和服务时您可能还需要进一步向我们提供与上述产品和服务的功能相关的信息可见隐私政策的内容体现的是企业在提供某项服务时就需要收集、使用或者以其他方式处理用户的个人信息,企业的隐私政策本质上是对企业和用户双方的权利义务规定,即企业提供服务时,用户应允许企业收集或处理信息,用户承担作为或不作为的义务。民法义务的来源或者基于法定,或者基于约定,很明显用户对个人信息的容忍义务既然不是来自法定义务,则当然来自约定义务,即来自隐私政策协议的内容。可见,隐私政策并不是企业的单方声明,也有对用户的约束。同时隐私政策植根于企业与用户的网络活动,如果是browse wrap形式,虽然形式上缺乏用户的同意,但实质上用户能享受网络企业的服务,同时用户让渡了个人信息的部分权利,实际上用户已经同意了企业隐私政策的内容。
可见隐私政策的通知是企业的要约,用户选择了企业的服务,则表现为用户的同意,企业收集或处理用户的个人信息,则是企业履行行为,用户主动提供或客观容忍企业收集或处理个人信息,体现为用户的履行义务,隐私政策作为合同是以用户选择企业服务的行为作为承诺的表现。隐私政策的“通知选择”模式中的“选择”本身就是同意的表现,当然这种“同意”与“点击同意”存在一定的区别,“点击同意”称为积极同意,“选择服务”方式称为“默示同意”。考虑到个人信息有一般个人信息与敏感个人信息的区别,国内外的个人信息保护规定都强制要求敏感个人信息必须采用积极同意的方式。我国《网络安全法》第三十五条规定,网络运营者收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。这里并未区分积极同意还是默示同意,即使采用较为狭窄的“积极同意说”,实践中企业收集或处理个人信息,仅仅通过用户协议并不能实现企业所有涉及用户个人信息的活动,隐私政策正好能使企业收集或处理个人信息规范化,但是“同意”要件本身并没有缺失,隐含在用户的选择服务行为中。我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》区分了一般个人信息与敏感个人信息,敏感信息必须征得用户的积极同意,法治意识比较强的企业在涉及用户的敏感信息时,会对用户使用界面形式弹出“同意”选项,征得用户的明示同意。可见,我们不能以“同意”形式不同否定默示同意的承诺性。
毫无疑问,两种同意形式在保护用户个人信息力度方面肯定存在差异,默示同意更容易使用户疏忽对自己个人信息的重视,但是这并不能否认隐私政策也存在用户的同意。正因为隐私政策的网络特殊性,才使同意隐含在用户选择服务的行为中,该观点也并未违背合同法的传统理论,承诺可以根据交易习惯或双方约定以行为的方式做出。企业的隐私政策是统一的,从技术上“一对多”的点击同意模式完全可行,但是很多企业为了更便利地收集或处理用户个人信息,选择了浏览(browse wrap)模式,用户知情并同意模式隐藏在“选择”服务行为中,这是很多企业制定隐私政策的实践,该种交易习惯认可了行为的承诺方式。即使纸质环境下,双方当事人存在一份浏览协议,受允诺方即使未明示同意,但是履行了主要义务的,对方接受的,该浏览协议成立。当然用户与企业之间存在付费的网络服务关系,也不影响企业隐私政策的合同性质,用户的付费是对特定服务的对价,但是用户选择该企业的对价仍然是个人信息的让渡。
综上,本文所阐释的合同说是在网络服务的特殊背景下解读隐私政策合同说,为了保护用户利益,应当赋予用户随时终止隐私政策合同的权利,即无条件解除权,以弥补用户未充分了解隐私政策内容的合意不足。因此,网络经营者应当为用户退出网络服务、删除个人信息等解除隐私政策合同的行为提供程序与实体的权利保障。
至目前,司法实践中违反隐私政策承担违约责任的案例并不多,这方面的学术研究也比较冷清,但是个人信息的重要性毋庸置疑,仅以侵权法视角进行救济,并不符合个人信息收集利用现状。合同法的有名合同主要针对的是有体物合同或者服务合同,技术合同除外。而个人信息的财产性质决定了其也有可能成为合同客体,周江洪建议构建个人信息类合同,其实用户与网络经营者一对一订立个人信息授权合同,考虑到交易成本,在现有技术、市场条件下还很难全面实行。因此单个用户通过合同的方式与网络服务提供者进行交易谈判,将自身的网络行为数据以一定的价格授权给服务商使用的可能性并不大。但是企业隐私政策合同说有利于促成统一的隐私政策转化为不同用户与网络经营者制定差别性的隐私协议,从而使用户更易于自主控制个人信息。
二、企业违反网络隐私政策适用违约责任的价值
隐私政策的合同性质明确后,企业违反了隐私政策,就可以适用违约责任。企业违反隐私政策,可以采取侵权或者行政干预等多种救济方式,违约责任是否有适用价值,则是需要考虑的内容。
(一)可以有效弥补现有救济方式的不足
由于浏览协议理论的影响,长久以来隐私政策并不视为合同,违约救济很难适用。为了规制企业隐私政策行为,侵权责任、行政机关的监管、行业自律三管齐下成为主要的规制方式。企业违反隐私政策,直接侵犯的是用户的个人信息利益,但是侵权的私法救济并不理想。如何证明财产损害与精神损害难度都很大。即使用户遭受了一定的精神痛苦,但也要达到严重的精神损害,才能请求精神损害赔偿。正因为损害在侵权责任中的重要性,因此在判断企业违反隐私政策侵权时,不能单纯从不当行为本身分析,还需要考虑次生损害的风险,如不当收集、处理个人信息,导致或促使后续违法行为的发生,如果以传统因果关系或原因力视角分析,企业有不承担侵权责任的风险。企业收集或处理个人信息力量的不对称使用户举证证明侵权损害难度十分大,如李立彬与中国保险监督管理委员会“隐私权纠纷”一案,法院判定原告未能证明被告可能的数据泄露而遭受到实际损害。根据美国《计算机欺诈与滥用法(Computer Fraud and Abuse Act)》个人信息受损人要主张侵权责任,必须证明损害符合下列条件之一:“损失1人以上,任何1年期间聚集至少5000美元的价值;”,不过索赔人通常很难证明其中任何一个人因素,可以说最容易证明的因素是至少损失5000美元。然而5000美元不包括“非货币损失”。实质性损害的证明将个人寻求侵权保护阻挡在外。叶名怡主张扩大侵权行为类型,对于数据泄露、不当行为收集处理行为导致或促成下游犯罪、滥用个人信息歧视、数据监控下的不安与自我审查、消费操纵和关系控制五种新型损害,即使损害证明存在难度,但也应视为侵权责任成立。叶名怡也看到了传统侵权法在保护个人信息方面不足,主张在特定情形下适用无过错责任、过错推定责任。当然从侵权责任突破不失为平衡企业与用户地位不平等的思路,但是如果以违约责任进路分析,现有民法理论和制度修正的空间就可以大大缩小,立法改动成本可以降低。
对于企业违反隐私政策行为,外在监管与行业自律成为企业违反隐私政策主要的规制工具。我国对于企业侵犯用户个人信息的行为,主要是通过网信办、工信部等部门负责管理和监督,缺乏常态化、能动的行政机制。2018年8月,中央网信办、工信部、公安部、国家标准委四部门首次联合开展隐私条款转项工作,评审重点包括:“隐私条款内容、展示方式和征得用户同意方式”。2019年1月,四部委正式发布《关于开展App违法违规收集使用个人信息专项治理的公告》,于2019年底前分批选取重点网络产品和服务完成1000款左右App,对其隐私条款进行规制。运动式的行政监管虽然可以在一定程度上防范企业的不当行为,但却不易形成制度常态。反观行业自律,由于企业保护用户个人信息的社会责任远未实现,距达成行业自律的目标还很遥远。
美国对企业违反隐私政策进行监管的机构主要是联邦贸易委员会(FTC),该委员会于1914年根据《联邦贸易委员会第5号法案》成立,其职责是防止不公平竞争方式,以及不公平或欺骗性的贸易行为。联邦贸易委员会下设消费者保护局(BCP),BCP最新成立了隐私与身份保护部门(DPIP),专注于保护消费者隐私、信用报告、身份盗窃和信息安全。针对企业违反隐私政策行为,FTC保护消费者免受不公平和欺骗性贸易行为的侵害。事实上,企业制定不公平的隐私政策比制定一个欺骗性隐私政策更普遍。根据《自由贸易协定》,如果一种行为或做法:(1)对消费者造成或可能造成实际损害;(2)抵销不了对消费或竞争的好处,且(3)消费者不能合理避免的,则该行为是不公平的。但是FTC更愿意根据第5条的欺诈条款而不是根据不公平条款提起诉讼,主要因为欺诈的标准更加明确。企业行为是否具有欺骗性的标准包括:(1)该行为或做法是否涉及误导或可能误导的陈述、遗漏或做法;(2)消费者在该情形下的行为是否合理;(3)该陈述、不作为或者行为是否对消费者就该产品或者服务的行为或者决定有重大影响。不公平标准相对模糊,特别要证明对消费者造成了实质性损害,大多数网站的隐私政策似乎不太可能达到这一标准。FTC倾向于采取欺骗性标准对企业隐私政策进行审查。
2012年8月,FTC宣布与谷歌就违反同意令达成和解,这是历史上对违反FTC命令的最大处罚,然而罚款并没有明确指控谷歌有不公平或欺骗行为或做法,而是说该公司违反了同意令的条款,做出了虚假陈述,这个术语更多地指向欺骗,而不是不公平。另外,联邦贸易委员会在信息隐私实践方面执法效率有待提高,联邦贸易委员会对企业的审计过程会持续很长时间——超过50%的案例会达到20年,FTC的执法过程十分繁琐,既可以根据消费者投诉,也可以主动审查,因此比较大的企业更容易被FTC监管,如谷歌公司,Facebook、Twitter公司,都被FTC审查处理过。自2000年以来,FTC已对多家公司提起了30多项隐私诉讼,其中大部分是通过行政诉讼与和解程序解决的。实际上,联邦贸易委员会一直在努力对公司的隐私政策进行监管。
虽然实践中,联邦贸易委员会已经成为美国最广泛和最具影响力的信息隐私监管力量,但是联邦贸易委员会对不公平隐私政策执法的乏力,执法力量的有限导致其主要工作重点是监管大企业,执法周期较长等不足也是现实存在的。所以,重视私人诉讼特别是违约诉讼可以有效弥补外来监管的乏力。
(二)可以重塑个人信息主体与企业的平等关系
隐私政策由企业单方制定和变更,不公平条款时有发生,规制不公平条款则是平衡企业与个人信息利益的路径。但如何从源头上实现企业与用户的平等,需要更多的应对方法。虽然经济学以理性经济人为假设,但实践中个人基于各种因素制约,理性的判断很难实现,特别是面对隐私政策的多项内容时,用户做出全有或全无的判断更容易发生,或者简单浏览或不浏览直接选择该企业服务或者直接拒绝。
企业单方制定和修改的隐私政策,天然地使企业与用户之间法律地位不平等,然而对隐私政策进行合同界定,使企业违反隐私政策时承担违约责任,则可以重塑企业与用户的平等关系。其理由如下:如果不将隐私政策视为有约束力的合同,在默示同意规则下,则用户无论是否浏览隐私政策都不会影响企业责任,对企业无约束力。但是以隐私政策合同说为基础,用户没有阅读隐私政策而选择了该企业服务,企业做到了告知义务,用户个人主观上没有阅读,虽然不影响合同成立,不过隐私政策作为格式合同,如果隐私政策存在不公平条款情形,用户可以主张该条款无效,从而保护用户的个人信息权利。如周盛春与阿里巴巴公司关于许可使用协议纠纷一案,该案主要争议点就在于阿里巴巴公司对原告个人信息的处理是否公平,法院裁判争议条款对企业特别授权内容并非优于协议其他条款而存在,而是受协议第六条的隐私政策与数据内容的制约,并不存在无效情形。该案说理有待商榷,争议条款内容是:授权企业及关联公司对于用户个人信息独家的、全球通用的、永久的、免费的许可使用权利(并有权在多个层面对该权利进行再授权)。此外,企业及关联公司还有权(全部或部分地)使用、复制、修订、改写、发布、翻译、分发、执行和展示用户的全部资料数据或制作其派生作品,并以现在已知或日后开发的任何形式、媒体或技术,将上述信息纳入其他作品内。法院对该条款的分析应从格式条款的公平性角度入手,很遗憾该案法官并未从不公平条款角度分析。虽然隐私政策合同说在合同订立之前并不能改变用户与企业的不平等关系,但是一旦隐私政策制定,用户对隐私政策条款的公平性的控制则可以在一定程度上矫正企业与用户的不平等关系。
此外,虽然企业制定隐私政策具有较大的控制权,但是最后的违约责任可以有效地约束企业行为,从而达致企业与个人的平等。由于每个自然人对个人信息重视程度不同,存在人际多样性,面对企业违反隐私政策的行为,应当赋予自然人有对抗企业过大控制权的能力,即自然人在隐私政策制定过程中能合理选择与网站的核心功能或附加功能相匹配的不同层次的隐私政策,即用户不是完全被动地接受企业一揽子隐私政策,而是用户能对不合理的隐私政策说不,从而让企业承担违约责任。比如某购物APP,其隐私政策还包括收集消费者的电话通讯录,微信好友等功能,如果不接受则不能使用该网站的核心功能,即购物功能,该企业就违反了隐私政策。因为企业的隐私政策是为企业的经营主项——购物功能服务,而用户无法享受其服务的原因就在于企业违反隐私政策的收集目的性原则,该行为属于违约。当然用户不同意附加功能的隐私政策,自然不能享受企业的附加服务,这才是存在权利义务对等关系。
法律世界的不平等十分多样,但民法追求平等则具有十分重要之意义。如果仅仅局限于民事主体形式意义的平等,则企业与消费者不平等鸿沟只会越来越大,单纯的隐私声明不仅有悖道德,而且效果堪忧。虽然行业自律能在不同程度缩小不平等的鸿沟,但是每个自然人对个人信息认知有差异,如果在隐私政策制度中,完全忽略自然人的个人能力,显然这并不可行。相反在特定情形下赋予隐私政策合同性质,隐私政策的制定就不完全是企业的单边行为,用户自主性增强,谈判能力提高。此外,面对企业不当收集、处理个人信息行为,用户又能以违约责任约束企业,用户抗衡企业的能力进一步提高。而能力则反映了一个人可获得个体福利的自由度。
(三)可以提高企业利用个人信息的效率
个人信息权属性质现在仍有分歧,理论上并未提供一致的解决方案,面对企业收集、处理或利用个人信息行为,合法性与合理性判断则十分关键。私法体系下,法不禁止即可为,在现行个人信息的法律规范下,行业自律等规范指引了企业行为合法性的边界,但是合理性标准却十分模糊。现在比较常用的路径就是明确个人信息的权属,从而为企业用户等不同主体配置相应的权利义务关系。时至今日,权属问题众说纷纭,毕竟个人信息与传统的人身权、财产权存在很大的区别,权属说是对传统民事权利认识的思维工具,权属界分可以实现明晰化,但是个人信息的产生具有很强的特殊性,传统权利视角下的主客体分析法在个人信息的权属分析中存在不敷适用的境地。其主要原因在于个人信息的人格属性使个人信息存在主客体一元化的可能,个人信息的财产属性又不同于传统的权利性质,其产生面临多主体的可能,个人信息的权属不是单维度一刀切的界定。因此搁置权属争议从而适应现实的发展不失为理论研究的一种思路。企业收集、利用个人信息合理性的判断标准还可以尝试采用法经济学方法进行分析。
根据科斯定理,如果成本为零,权利无论配置在哪一方,效益都是最大化。但是对于个人信息的分析就不能简单套用科斯定理,如果将个人信息收集或处理配置给自然人,即自然人决定个人信息如何收集或处理,其利益完全由自然人享有,该配置效益很难最大化。首先,自然人对个人信息收集或处理存在有限理性,基于损失的畏惧,权利所有人往往会索要过高的价格,个人信息交易很难实现。其次,将个人信息碎片化为自然人单独控制,很难发挥大数据的功效,个人信息的利用效率也会大打折扣。另外,个人信息的无形性特征使之可以共享,因此个人信息如果适用物权绝对性理论反而不利于其价值最大化发挥。当然个人信息收集或处理涉及很多环节,简单地把个人信息权利绝对地配置给自然人不可取,但是完全配置给企业也不妥,至少从个人信息的源头产生入手,区分个人信息权利主体有一定可取之处。但是无论个人信息属于哪个主体,个人信息都是基于自然人而产生的,因此即使企业收集或处理个人信息,也需要考虑不损害自然人利益。
最初企业收集或处理个人信息处于野蛮发展阶段,个人信息相关法律规范未及时跟进,企业滥用个人信息的情形十分恶劣,民事救济更多依赖于侵权救济,而侵权救济往往又难以落实。行政监管或行业自律在我国还未形成制度体系,虽然企业实现了利润最大化,但是自然人用户利益受损情况十分严重,最终损害了社会公共利益。自然人个体救济行为由于侵权救济的乏力,行政监管的关照不够,亟需要新的防范措施。企业也考虑到在面对个人信息,如果完全不承担社会责任,最终会失去整个个人信息市场。因此企业企图通过自我监管,如隐私政策来规范企业与用户的关系,但是隐私政策传统理论的“非契约性”学说使之约束企业行为的效力堪忧,其“形象工程”的意义更大于其实质功能。然而企业违反隐私政策承担违约责任能有效提高企业利用个人信息的效率。根据卡尔多—希克斯标准,即在可能的情形下,受损者能够从受益者的获利中得到完全赔偿,并且受益者仍能得到净利,而该规则应当得到全体成员的一致接受。企业制定隐私政策如果不视为合同,则根本无法达到卡尔多—希克斯标准,因为这仅仅是企业单方制定的,企业与用户并未一致接受,如果将隐私政策视为合同,企业会为自己的违约行为承担违约责任,很明显企业是个人信息的受益者,用户作为受损者能从企业服务中获利,即享受网络服务,如果企业行为不当,用户还可以获得违约救济,而企业仍有利润激励。
三、企业违反网络隐私政策适用违约责任的障碍
即使企业违反隐私政策承担违约责任,但是仍存在适用的障碍。个人信息保护领域,行政监管成为规制的主要路径。无论是美国《加州消费者隐私法》(CCPA)还是欧盟《一般数据保护条例》(GDPR)都选择了行政规制为主的监管模式。CCPA仅允许私人针对特定的数据泄露事故提起诉讼,不得针对CC-PA项下其他违规行为提起诉讼。而GDPR仅仅在条文中认可诉讼权利,在民事诉讼的实体性和程序性问题上,仍存在着诸多理论和实践障碍。
企业违反隐私政策,无论承担违约责任还是侵权责任都会面临共同的适用障碍,即用户的实质损害较难证明。不过损害要件是侵权责任的必要条件,非违约责任的必要条件,违约行为才是承担违约责任的必要条件,违约损害较于侵权损害证明标准相对较低。因为侵权责任适用还要避免干预行为人的自由,因此无损害就无救济,而违约责任对于行为人而言,是行为人主动自愿对其权利义务的安排,违约责任的发生,行为人有更多的自由控制该风险,因此相较于损害要件,违约行为要件更重要,一般违约行为存在,就可以主张违约责任,物质性损害赔偿的标准可以考虑企业违约收益所得进行具体衡量。但是在违约责任已经成立的基础上,如何更好地保护用户的个人信息利益,违约损害证明的重要性就突显出来。可见损害在违约责任与侵权责任的地位是不一样的,侵权责任中,损害是首先证明的要件,难以证明损害就很难通过侵权法进行救济。违约责任中,违约行为是证明的第一要件,甚至也是最为核心的要件。但是损害的证明也是承担损害赔偿责任的关键标准。从最终的保障效果,违约责任可以使用户更容易实现停止侵害、排除妨碍的救济。
总之,违约行为是承担违约责任的关键。但是实践中企业与用户信息不对称,用户很多情形下根本无法知道企业存在违反隐私政策的行为,往往是用户已经遭受到实际损害才获知企业已经有违约行为,面对此种情形,违约与侵权都比较容易成立。可见违约行为的难以发现是适用违约责任的障碍。
四、破解企业违反网络隐私政策适用违约责任的障碍
由于信息的不对称,用户发现企业违反隐私政策的违约行为确实比较困难。一方面应增强企业隐私政策的透明度,David Thompson提出,隐私政策应清楚地描述企业将如何使用用户的信息。隐私政策应在用户登录时显示,而不是只显示主页,或者在每次登录时以其他干扰性的方式显示隐私政策,这些都是不合理的。可行做法是强制包含一个与个人隐私政策相关的明显链接。当然仅仅制定过程中强化隐私政策透明度还远远不够,企业在收集、使用、分享、转让等环节中也应将用户个人信息整个流程以简明扼要的方式展示给用户,便于用户发现是否存在违约行为。隐私政策相关规范的主要目标应该是披露收集消费者信息的细节,同时让消费者有权决定企业分享和收集哪些信息。另一方面应对违约行为进行类型化研究。以《百度隐私政策原则》为例,该隐私政策主要包括以下内容:(1)如何收集和使用个人信息;(2)如何使用cookie和同类技术;(3)如何共享、转让、公开披露个人信息;(4)如何保存和保护个人信息;(5)用户的权利;(6)如何处理未成年人的个人信息;(7)个人信息如何跨境转移;(8)隐私政策的修订。隐私政策的目的就是让用户授权企业可以从事上述行为,表现的更多的是企业的权利。只有比较特殊的情形下,企业才承担义务。如该隐私政策第4项、第5项、第6项、第7项一定限度内可以收集或处理个人信息,企业也应遵守合法、正当、必要、特定明确目的限制的原则。
因此可以根据义务违反与滥用权利的标准对违约行为进行划分,包括四种:第一,企业违反隐私政策约定义务的行为。第二,企业违反程序性要件的违约行为。第三,企业违反目的范围限制的违约行为。第四,企业违反比例性原则的违约行为等。下面分述之:
第一种,企业违反隐私政策约定义务的行为,主要表现为:(1)擅自泄露个人信息的行为。(2)未对个人信息尽到安全保障义务。隐私政策对企业的安全保障义务做了很多具体的规定,可以有效地约束企业行为。(3)为用户行使个人信息权利提供保障的义务。隐私政策规定用户享有访问权、更正权、删除权、改变授权同意范围的权利,注销账户权等。用户权利的享有离不开企业行为的配合。
第二种,企业违反程序性要件的违约行为。企业在收集或处理个人信息过程中,很多情形下都应取得用户明示同意。表现为:(1)收集自然人的敏感信息应征得用户明示同意。何谓敏感信息概括加类型化的方法较妥当。《个人信息保护指南》界定的个人信息比较宽泛,如网络浏览痕迹属于敏感信息。而百度隐私政策总则未对浏览痕迹强制要求明示同意,因此才会出现百度晒账单未取得用户明示同意,引起一片哗然。(2)企业与第三方共享用户的个人信息,百度隐私政策规定应获得用户明确同意,但实践中用户不知道自己的个人信息何时、被何人共享十分普遍,因为很多企业并未取得用户的明确同意,仅仅通过一揽子同意计划实现,应视为违约。(3)根据隐私政策,企业事先获得用户的明确授权或同意的情形下,才能将用户的个人信息转让给百度及其关联公司外的任何公司、组织或个人,特殊情形除外。实践中,个人信息如何被转让也常常缺乏用户的明确授权或同意,应属于企业的违约行为。(4)公开披露未取得明确同意的违约行为。(5)企业未征得监护人同意收集未成年人个人信息的违约行为。
第三种,企业违反目的范围限制的违约行为。企业收集或处理个人信息都应在企业网络服务的范围内收集。如百度隐私政策总则规定:您使用我们的特定产品或服务时,为满足向您提供产品或服务之目的,除证明时提供的信息外,您可能还需要进一步向我们提供与上述产品和服务的功能相关的信息。隐私政策关于企业的收集或处理个人信息的目的范围一般都比较模糊,往往在用词后面加“等”字,在具体判定企业是否存在该项违约行为时,应明确区分企业收集、处理个人信息的核心目的与附加目的,如收集用户手机通讯录就与很多网站的服务目的并无直接关系,可是很多企业通过一揽子隐私政策全部收集或者通过“等”的模糊表达收集了一些与企业自身网络服务并不直接相关的个人信息,很明显企业的此种行为应属于违反网络隐私政策目的范围限制的违约行为。如百度隐私政策规定,我们的合作伙伴无权将共享的个人信息用于任何其他用途。实践中用户很难获知企业合作伙伴使用个人信息的行为,当发生合作伙伴将共享的个人信息用于其他用途,用户基于合同的相对性,可以直接要求企业承担违约责任。
第四种,企业违反比例原则的违约行为。比例原则包括适当性原则、必要性原则和均衡原则三个子原则。企业在制定隐私政策时,为了使自己利益最大化,尽可能获取用户更多的个人信息,如位置信息、通讯录信息,甚至登录第三方的信息等等。该信息收集范围必须受企业经营目的的制约,很明显不同行业的企业收集信息的范围应当有所差异,不能随意扩大,违反了适当性原则。由于数据的价值日益重要,企业倾向于在处理环节中能有效控制个人信息,因此企业一般都会制定如何共享、转让、公开披露个人信息,特别是对于合作伙伴和关联方,无须用户同意,企业可以直接共享。但是企业的合作伙伴范围十分宽泛,企业的共享是否能做到对用户最小化伤害,还缺乏评估,同质化的隐私政策不一定符合必要性原则。隐私政策中最核心的就是用户权利的规定,一般包括访问权、更正权、删除权、改变授权同意的范围的权利等。个人信息范围十分宽泛,包括用户主动提供的信息、浏览痕迹等测量信息和企业的推测信息。由于测量信息的客观性,更正可能性比较小,现在用户能行使访问权、更正权、删除权的信息主要是第一种信息,而且这些权利行使的程序界面并不统一。可见,用户权利的实现更需要企业提供快捷、公平的程序机制和救济机制。但是企业制定隐私政策时更注重达致企业一方对个人信息利益的最大化,容易造成用户个人信息权利的难以实现,有违均衡性原则。
由于隐私政策透明度的缺失,用户对隐私政策的不了解,甚至不关注,企业违约行为类型化便于用户更清楚地认知企业行为的不当,从而更容易保护自己的个人信息权。违约行为一旦明确,企业行为不存在免责的抗辩事由情形外,就很容易适用违约责任,但是要切实保障用户的个人信息权,违约损害如能证明,效果就会更好。违约损害与侵权损害面临共同的困境,前面已述,这里就不再赘述。
但是违反隐私政策违约损害的难以证明,与一般的财产性合同违约损害有很大区别,后者损害发生,守约方相较于违约方更容易了解损害,但是前者个人信息涉及环节太多,而且个人信息损害与一般的物质性损害还是存在很大区别。其财产性损害即使是间接发生,用户与企业的信息不对称,更加制约了用户举证证明损害。考虑到知识产权与个人信息有相似之处,知识产权违约时,如果违约损害难以证明,可以要求违约方返还获利。对于企业擅自披露个人信息行为,如果暂时还未发生后续诈骗等间接损害,单个主体很难评估自己的实际损害,这时可以以企业获利进行赔偿。也许个体受损额度较少,考虑到诉讼成本,可以将所涉及个人信息获利集体返还。对于此种违约,公益诉讼或集体诉讼效果更好。当然完全寄希望获利返还,也会存在以下障碍:首先,获利返还的金额是全部返还还是部分返还,需要考虑多种因素,如果获利有企业的劳动行为,应当将这部分利润扣除。另外,单独用户获利返还利益较小时,公益诉讼或集体诉讼不失为比较好的良策。但是公益诉讼由于人力、物力等条件的制约更多关注典型重大案例。集体诉讼会有搭便车问题,其激励机制堪忧,恐难以完全实现违约责任救济功能。违约损害证明还应进一步拓宽研究思路,虽然实质性损害暂时很难证明,但是如果不及时加以扼制,却极有可能造成很严重的后果,这时可以将未来损害的威胁视为实际的、具体的或迫在眉睫的伤害,而不是推测性的或假设性的伤害,以此方便违约责任适用。可见,即使违约责任与侵权责任竞合,面对物质性损害,违约责任的举证负担相较于侵权责任更低,而且根据《民法典》第九百九十六条规定,因当事人一方的违约行为损害对方人格权并造成严重精神损害,受损害方选择请求其承担违约责任的,不影响受损害方请求精神损害赔偿,违约责任不承担精神损害赔偿责任的时代随着未来民法典颁布也将结束。
结语
隐私政策合同说为个人信息民事救济提供了更多的思考方向。缘何同意原则在一定情形下也可以表现为默示同意,过去更多从发展数据行业的角度,放宽同意的严格条件,但是该理由的悖论就在于个人信息用户的利益如何体现。隐私政策合同说可以合理解释用户的默示同意在一定情形下具有合理性。随着隐私政策的发展,隐私政策合同也必将从绝对的同质化发展为有差别的同质化,更能满足不同用户对个人信息的需求,实现个人信息人格利益与财产利益的协调。违反隐私政策承担违约责任虽然会面临与承担侵权责任一样的证明实质损害的困境,但是相较于侵权责任,违约行为的发现对违约责任构成更为重要,因此对违约行为细致梳理则是突破违约责任适用障碍的关键。当然用户与企业的强弱差异也亟需违约救济的具体程序和制度构建,主要表现为:增强企业根据隐私政策收集、处理、利用个人信息的透明度,便于发现相应的违约行为;健全个人信息公益诉讼和集体诉讼的激励机制,有效弥补我国行政监管的不足;根据理论和实践不断总结损害后果的认定标准等。虽然违反隐私政策也可能产生违约责任与侵权责任的竞合,不过违约责任的无过错归责原则及实质性损害的非必要性将使违约救济更有利于保护用户的合法利益,从而实现个人信息的有序合理流动。
END