王羚吕
(武汉大学 法学院,湖北 武汉 430072)
网络用户在接受网络社交、网上购物等网络服务前,需对网络服务提供者公布于注册界面的电子格式合同表示同意。(1)电子格式合同并非严格的法律概念,而是习惯叫法。网络服务提供者公布于注册界面的合同通过数据电文的形式体现,其内容全部为格式条款,用电子格式合同指代这类合同比较贴切。此处使用格式条款这一法律概念反而显得有些别扭。因此,本文在指代网络用户与网络服务提供者签订的合同时,采用电子格式合同的概念;在指代合同中的具体条款时,采用格式条款的概念。此类电子格式合同规定了网络服务提供者将如何收集网络用户的个人信息。网络用户在点击“同意”按钮前通常并未仔细阅读过电子格式合同的内容。现行法律制度下,网络用户有阅读电子格式合同的义务。(2)根据《民法典》第496条第2款,提供方未履行提示说明义务导致接受方未能理解格式条款的内容,接受方才能主张格式条款未订入合同。接收方未阅读格式条款导致自己未能理解格式条款的内容,不能主张格式条款未订入合同。即使网络用户未阅读格式条款,其点击“同意”按钮也意味着格式条款订入合同。[1]网络服务提供者通过对格式条款标红(3)参见新余市中级人民法院(2018)赣05民终515号民事判决书。、加粗(4)参见天水市中级人民法院(2016)甘05民终427号民事裁定书。等方式提醒网络用户注意,法院据此认为网络服务提供者已经履行信息提示义务,网络用户主张争议格式条款未订入合同难以获得支持。我国法院在审查格式条款时,主要从提供方是否履行提示说明义务出发进行形式审查,尽量避免对合同内容进行实质性干预。[2]这导致网络用户未阅读即同意的电子格式合同通常有效,网络用户应当受其约束。
现行法将网络用户假定为理性人,只要给予其机会就会检查合同条款、审视其范围并做出审慎的决定。[3]理性人理念通过强调个人信息主体的自主决断,来平衡个人信息的保护和利用。[4]24此种理论预设与现实情况存在较大出入,究竟是坚持理性人的理论预设,认为网络用户应当对自己不阅读就同意的行为负责,还是立足于大多数人不阅读即同意的现实情况,重新考察同意对网络用户的约束力,是需要解决的问题。换言之,在少有网络用户阅读《个人信息保护政策》(实践中与个人信息保护有关的电子格式合同的名称不统一,为行文方便,本文统一称为《个人信息保护政策》)的情况下,能否根据网络用户点击“同意”按钮的行为径行认定其同意网络服务提供者的《个人信息保护政策》。
要论证网络用户受其同意的约束的正当性,首先需要明确用户同意的功能是什么,并在此基础上检视用户同意是否确实发挥了其预设功能。只有同意的预设功能能够切实有效地发挥作用,要求网络用户受其同意的约束才有正当性可言。我国采用知情同意机制解决个人信息保护问题,这也是多数国家的通行做法。[5]处理个人信息应当坚持“同意原则”,是因为“同意原则”既可以保障个人信息主体的信息安全,又可以促进个人信息的合理利用,前者为消极防御功能,后者为积极利用功能。[6]
1.消极防御功能。《民法典》第111条一般性地规定“自然人的个人信息受法律保护”,目的在于宣告自然人的个人信息权益不得被侵犯。第1035条将“征得同意”作为处理个人信息的条件,个人信息保护中的“同意原则”在民事基本法中得以确立。在网络服务这一特殊领域,“同意原则”其实早已存在,《中华人民共和国网络安全法》第41条第1款明确将“被收集者同意”作为收集他人个人信息的前置条件。在网络环境下,“被收集者同意”即为“用户同意”。未经用户同意,网络服务提供者不得收集用户个人信息,就是消极防御功能的体现。在未表示同意前的初始状态,每个人的个人信息都将获得法律的绝对保护(禁止利用)。对于没有利用个人信息意愿的人,此种绝对保护将一直延续。
2.积极利用功能。信息时代,个人信息是一种资源。网络服务提供者通过向网络用户提供“免费”的网络服务,获取网络用户的个人信息,并在一定范围内进行商业利用,已经发展成为一种商业模式。例如,求职者可以将其个人简历放入招聘网站的简历数据库,向招聘网站购买了相应服务的招聘企业或人员可以通过该招聘网站的简历数据库找到求职者的简历。[7]在这一过程中,用户接受了招聘网站提供的“求职服务”,招聘网站则将求职者的个人信息提供给招聘企业并获得服务费。网络用户在向网络服务提供者提供个人信息时,即在为网络服务提供者输送资源,[8]故所谓的“免费”网络服务实际上是有对价的。网络用户为了接受网络服务,同意网络服务提供者收集其个人信息,体现了积极利用功能。“用户同意”可构成网络服务提供者收集网络用户个人信息的正当性基础,网络用户应当容忍网络服务提供者的信息收集行为。
1.检视的背景:不阅读即同意的现状及成因。对部分网络服务提供者的《个人信息保护政策》的字数进行统计(见表1),可以发现《个人信息保护政策》的篇幅很长,即使不考虑《个人信息保护政策》的排版方式、语言风格是否会导致阅读障碍,仅是浏览一遍《个人信息保护政策》也要花费不少时间。2001年,哈里斯民意调查显示美国成年网民中从不阅读网站隐私权声明的网民占比16.3%(5)原文为17.3%,系笔误。,很少阅读者占比33.3%,有时阅读者占比31.8%。[9]2007年1月,针对美国47399个家庭开展的统计显示,只有不超过1%的消费者会阅读最终用户许可协议(End User License Agreement)超过1秒钟[10],而最终用户许可协议平均有2277个单词,按照正常速度阅读需要8-10分钟。[11]依据上述事实可知:大部分网络用户在点击“同意”按钮前并未阅读《个人信息保护政策》,少数用户可能会浏览《个人信息保护政策》,但不会花太长时间,不可能充分理解其内容。
个人信息安全实属重要,为何网络用户会在不理解《个人信息保护政策》内容的情况下轻率表示同意呢?原因在于:其一,《个人信息保护政策》由格式条款组成。个人信息的收集属于专业问题,一般人并不具有相关知识背景,理解起来比较困难。格式条款的措辞往往十分考究,要发现其中的法律风险实属不易。网络用户即使发现了风险,也无协商变更格式条款内容的可能。[12]在“看也看不懂”“看了也没用”这种心理的支配下,大部分人选择了“不看”。其二,与假设的“理性人”不同,现实中的人的理性是有限的,更关注当前利益的满足而忽略未来可能产生的损害。[13]当今是一个信息爆炸的时代,各种信息淹没了人们的眼球,人们不得不学会选择性阅读。枯燥乏味的《个人信息保护政策》条文与吸人眼球的网络服务同时登台亮相,不少网络用户对“征求同意”这一前置程序已是不胜其烦,能停下来认真阅读《个人信息保护政策》者实属罕见。其三,每个网络服务提供者都有自己的《个人信息保护政策》,如果一个网络用户接受多项网络服务,则其必将签订诸多《个人信息保护政策》,点击“同意”变成了“例行公事”。
表1 部分《个人信息保护政策》的总字数(6)使用Microsoft Word的“字数统计”功能统计,单位“个”。被统计的资料名称如下:《微信隐私保护指引》(更新日期:2020年09月09日)、《微博个人信息保护政策》、《淘宝隐私权政策》(更新日期:2020年8月12日)、《QQ隐私保护指引》(更新日期:2020年 11月3日)、《百度隐私政策总则》《京东隐私政策》(更新日期:2020年10月13日,生效日期:2020年10月20日)、《亚马逊隐私声明》(更新日期:2020年10月1日)、《知乎个人信息保护指引》(更新日期:2020年 10 月 26日)、《“抖音”隐私政策》(更新日期:2020年9月15日)、《智联招聘隐私政策》(更新日期:2020年9月24日,生效日期:2020年10月1日)、《拼多多隐私政策》(更新日期:2020年9月16日)、《爱奇艺隐私政策》(更新时间:2020年9月11日,生效日期:2020年9月26日)。
这些原因在一定程度上说明了网络用户不阅读即同意的社会现象并非全然不合理。检视用户同意预设功能的实际运行效果应当将不阅读即同意这一社会现实考虑在内。
2.消极防御功能的弱化。消极防御功能主要在于保障网络用户的个人信息权益。网络用户拒绝网络服务提供者收集其个人信息,“用户同意”的消极防御功能便实现了。在网络服务提供者征求同意时,网络用户应当有表示同意或不同意的自由。通常网络用户和网络服务提供者在签订《个人信息保护政策》时,双方市场地位明显不对等,这种双方市场地位的不对等极易阻碍网络用户做出自主的同意。此时,固然网络用户享有“不同意”的权利,但其不同意系以不接受此种网络服务为代价,当这种代价足以影响某一位网络用户的正常生活时,他便无自主同意的可能。以微信为例,其已经成为大多数人正在使用的社交软件,对人们的工作、生活影响甚巨,要跟上信息时代的步伐,很难不使用它。[4]22将同意微信的《个人信息保护政策》作为使用微信服务的前置条件让同意失去了自主性,因为人们不使用微信服务的代价很大,网络用户不同意微信《个人信息保护政策》的可能性极小,此时“用户同意”的消极防御功能难以发挥作用。
3.积极利用功能的异化。积极利用功能既可能为网络用户带来利益,也可能使网络用户面临风险,相比消极防御功能,其对网络用户提出了更高的要求。网络用户在表示同意前知悉同意事项及其后果,积极利用功能才能正常发挥作用。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条确立了“告知后同意”规则。《信息安全技术公共及商用服务信息系统个人信息保护指南(GB/Z 28828-2012)》(7)性质上属于指导性技术文件,2012年11月5日颁布,2013年2月1日实施。(以下简称《指南》)第5.2.2条和5.2.3条规定了需告知的事项和征求同意的方式。最新修订的《信息安全技术个人信息安全规范(GB/T 35273-2020)》(8)性质上属于推荐性国家标准,2020年3月6日修订,2020年10月1日实施。(以下简称《安全规范》)第5.4条区分收集一般个人信息、敏感个人信息、未成年人个人信息,对“告知后同意”规则进行了进一步细化。“告知后同意”规则即在保障网络用户的知情权。网络服务提供者大都将《个人信息保护政策》置于注册界面,并要求用户认真阅读后再决定是否同意,似乎已经履行了告知义务。但鉴于其系以格式条款履行告知义务,此种履行告知义务的方式能否实现告知义务所欲实现的保障网络用户知情权的目的则不无疑问。现实是大部分网络用户不阅读《个人信息保护政策》,少部分阅读过《个人信息保护政策》的网络用户也可能读不懂。在这种情况下,很难说用户对《个人信息保护政策》的内容知情。网络用户在表示同意前往往并不知情,可能是因为格式条款不易理解所致,也可能是因为网络用户自身懈怠所致,但无论何种原因,均说明目前“告知后同意”规则尚未很好地发挥其保护网络用户知情权的功能。
网络用户在接受网络服务之前未认真阅读《个人信息保护政策》,轻率地表示“同意”,确实有“不认真对待权利”的嫌疑,由此遭受的个人信息保护方面的风险似乎理应由网络用户承担。但是,在一个几乎人人都是网民的时代,全民皆沦为“不认真对待权利”之人,不得不让我们反思到底怎样才算“认真对待权利”。如果每个网络用户都需承担审视《个人信息保护政策》的义务,在点击“同意”按钮前需认真阅读《个人信息保护政策》,并在充分理解协议内容的基础上做出是否同意的意思表示,则整个社会将负担巨大的成本。将所有网络用户认真阅读《个人信息保护政策》的时间加起来将是一个天文数字。一味地以网络用户需对自己负责为由将审视《个人信息保护政策》的义务加在网络用户身上,而不考虑网络用户于现实生活中履行此项义务可能付出的代价,实属强人所难。网络用户不阅读即同意,“用户同意”仅有同意的外观而没有实质的决策判断过程。网络服务提供者以同意的外观作为其收集用户个人信息的正当性基础,此时,“用户同意”无异于异化为网络服务提供者肆意收集用户个人信息的“免死金牌”。[14]128
不阅读即同意的社会现状并非完全没有合理性,其本身就是社会大众共同选择的结果。在网络用户不阅读即同意《个人信息保护政策》的现实背景下,用户同意的预设功能难以发挥作用。此时,认为网络用户应当受《个人信息保护政策》约束的正当性不足。但是网络用户通过点击同意按钮同意了《个人信息保护政策》,认为网络用户不受《个人信息保护政策》的约束也不妥当。认定“用户同意”的效力陷入了两难境地。
“用户同意”徒具形式,其预设功能难以发挥作用。以至于有学者提出质疑,认为同意并非个人信息处理的正当性基础,并主张采用“宽进严出+删除权”(9)“宽进严”指信息处理者无需事先征得信息主体的同意,便可以处理个人信息,但给信息主体造成损害的需承担严格责任。“删除权”使用户在合理情形下可以请求删除其个人信息。的个人信息保护策略取代“告知后同意”模式。[15]此种信息保护策略由信息主体行使拒绝权来保护个人信息,与“消极同意”的本质相同。[16]32-33在个人信息保护领域全面推行“消极同意”,实际上否认了“积极同意”存在的必要性。(10)积极同意指信息主体必须积极采取行动表示同意,消极同意指信息主体不反对便视为同意,积极同意的意义在于尊重信息主体的人格尊严。然而就敏感个人信息的收集而言,“消极同意”无法体现对人格尊严的尊重,应当取得信息主体的“积极同意”。(11)《指南》第5.2.3条、《安全规范》第5.4条规定收集个人敏感信息,应征得信息主体的明示同意。
同意原则体现了对信息主体人格尊严的尊重,不能抛弃。于是学者们在坚持同意原则的前提下,积极探寻破解同意困境之道。有学者认为大数据时代行政机关有义务保护公民个人信息安全,主张由行政机关制定《个人信息保护政策》范本,供网络服务提供者使用。[17]有学者主张由行政机关公布“黑名单”,列举无效的格式条款。[14]162-163有学者认为有的个人信息与人格尊严的联系紧密,有的个人信息与人格尊严的联系不紧密,主张对人格紧密型个人信息采用“积极同意”模式,对人格疏远型个人信息采用“消极同意”模式。[16]37-38
上述学者主要立足于立法层面建言献策,这对完善我国个人信息保护法律体系很有价值。但是在法律体系尚未完善之前,对于已经发生的纠纷,只能在现有法律框架内寻求解决办法。下文将在解释论层面探讨“用户同意”的效力,考察用户究竟应当在何种程度上受其同意的约束。
1.“用户同意”的法律性质。用户同意属于法律行为(12)《中华人民共和国个人信息保护法(草案)》第14条规定同意为意思表示。,原则上应适用民法关于法律行为的一般规定[18],但考虑到此种“用户同意”是在网络环境下对电子格式合同所为之同意,不阅读即同意的现象普遍存在,按照法律行为的一般规定判断用户同意的效力,用户同意很容易被认定为有效。网络用户轻率的同意对其具有约束力,将导致“用户同意”消极防御功能的弱化和积极利用功能的异化,与《民法典》加强个人信息保护的初衷相悖。其实,网络用户的同意是否轻率,与其表示同意时应负的注意义务有关。为网络用户设定过高的注意义务,则原本理性的决策也将被判定为轻率的决策。无视不阅读即同意这一普遍现象,简单根据法律行为的一般规定认定用户同意有效并不妥当。认定用户同意的效力,首先需要确定大数据时代网络用户在个人信息保护问题上负担的注意义务,在此基础上对法律行为的一般规定进行调整,最终确立用户同意的效力判断规则(论证思路见图1)。
图1
2.“用户同意”的认识内容。要研究“用户同意”的法律效力,必须首先弄清楚网络用户在表示“同意”前“知道或应当知道”哪些事项。知情是意思自治的基础,网络用户只有在知情的情况下所做出的“同意”才对其具有法律拘束力。但是,就如老师“全都讲过”不意味着学生“都能掌握”一样,网络服务提供者的“告知”并不等于网络用户的“知情”。网络服务提供者的告知方式、告知内容的信息量、网络用户的精力均可能成为用户知情的限制性因素。在网络服务提供者以电子格式合同履行告知义务的情况下,不能将网络服务提供者的告知范围当做网络用户的知情范围,更不能将其当做网络用户同意的范围。为了降低网络个人信息保护的社会成本,避免人人皆需成为个人信息保护专家,在认定网络用户的知情范围时,不宜对网络用户提过高的要求。
能够确定无疑的是,网络用户在对《个人信息保护政策》表示同意时必定知悉网络服务提供者(合同的相对方),同时知道自己在接受何种服务的过程中签订了该《个人信息保护政策》(签订合同的事由)。在当今这个快节奏的时代,虽然无法期待网络用户在签订《个人信息保护政策》时仔细阅读协议的内容,但是要求网络用户在表示“同意”前知悉网络服务提供者和其所欲接受的网络服务则并无不当。
3.“认识内容”所对应的“决策事项”。要求网络用户对网络服务提供者有所认识,是因为其需决定是否将自己的个人信息交给网络服务提供者,要求网络用户对网络服务有所认识,是因为其需决定提供个人信息的范围。用户同意虽为一个意思表示,实则包含两项决策内容,为了方便分析,本文将“用户同意”拆分为“对收集者的同意”和“对收集范围的同意”两项决策事项,并分别讨论用户在这两项决策事项上应当承担的责任,最终确定“用户同意”对网络用户产生的拘束力。
(1)对收集者的同意。网络服务提供者具备网络用户所认可的条件时,网络用户才会允许其收集自己的个人信息。网络用户同意网络服务提供者收集其个人信息,使得网络服务提供者的信息收集活动得以开展,“对收集者的同意”是对网络服务提供者个人信息收集行为的解禁。
(2)对收集范围的同意。网络服务提供者因提供服务收集用户个人信息实属正当,但也仅限于在此目的范围内收集,超出该目的范围,便无正当性可言。一项网络服务需涉及哪些个人信息,依网络服务的性质而定。网络服务的种类决定了网络服务提供者收集个人信息的范围。“对收集范围的同意”要求网络服务提供者在目的范围内收集个人信息,为网络服务提供者的个人信息收集行为设限。
4.“用户同意”的担责条件。哲学上认为同意蕴含着责任,同意一经作出,便意味着同意主体责任的产生。同意主体承担责任的条件包括同意主体方面的条件和同意相对方方面的条件。同意主体方面的条件包括:同意主体知情(具备认知能力);同意主体有意志自由;同意有限定的意向。(13)同意包含着限定的意向,同意蕴含的责任与同意主体的意向相关联。与同意主体意向无关或者相对立的责任,不能归于同意主体。例如,A同意B使用他的汽车,B在A不知情的情况下使用这辆车去抢劫。不能说A同意B将汽车用作犯罪工具,因为同意有相对的限定范围,虽然A并没有排除B将汽车用作犯罪工具的可能性,但是按照通常理解A不会同意他人用自己的汽车实施犯罪行为,故B的行为超出了A同意的限定范围,不能将B抢劫的责任归于A。同意相对方方面的条件包括:相对方不得欺诈;相对方不得知情不告知;相对方不得强制。[19]整合同意主体和同意相对方两方面的条件,可以将同意的担责条件归纳为:一是同意相对方如实告知;二是同意主体具备认知能力;三是同意主体有意志自由;四是同意有限定的意向。(14)同意主体方面的条件和同意相对方方面的条件从正反两方面说明了同意的担责条件,同意主体方面的条件已经体现了同意的担责条件的本质,同意相对方方面的条件从反面重复了一遍,大部分内容可以被同意主体方面的条件包含,因此两方面的条件可以整合为:同意主体知情、同意主体有意志自由、同意有限定的意向。不过知情条件与相对方有关,同意相对方故意告知虚假事实或者故意隐瞒事实真相,可能导致同意主体不知情,这是知情的外部条件。同意相对方如实告知,同意主体要理解告知的内容,需要具备相应的认知能力,这是知情的内部条件。因此同意主体知情还可以细分为同意相对方如实告知、同意主体具备认知能力。同时符合上述四个条件,同意主体需承担同意所蕴含的责任。下文分别分析“对收集者的同意”和“对收集范围的同意”是否具备担责条件。
(1)对收集者的同意。网络服务提供者征求用户同意时,已经明示了自己的名称,符合同意相对方如实告知的条件。网络用户具备识别和判断网络服务提供者的能力,符合同意主体具备认知能力的条件。网络用户可以选择签订或者不签订格式条款,符合同意主体有意志自由的条件。网络用户的同意对象是网络服务提供者,而非其他人,符合同意有限定的意向的条件。因此“对收集者的同意”具备担责的条件。
(2)对收集范围的同意。首先,如果网络服务提供者在《个人信息保护政策》中规定了信息收集的范围,并用通俗的语言进行了说明,则符合同意相对方如实告知的条件。其次,网络服务需要何种个人信息,网络用户实际上很难判断,只能从网络用户具备完全民事行为能力的角度出发,姑且认为符合同意主体具备认知能力的条件。(15)网络服务提供者履行了如实告知义务,网络用户具备完全民事行为能力,逻辑上可以推导出网络用户知情,推理的前提是完全民事行为能力人是纯粹的"理性人"。将推理前提改为完全民事行为能力人仅具有有限理性,存在认知局限,不可能事事都擅长,则不能推导出网络用户知情。推理前提不同,对网络用户是否知情、同意是否对网络用户具有拘束力的回答便不同。现行法采用纯粹"理性人"的前提,从立法论出发探求破解同意困境之道的学者采用有限"理性人"的前提,本文从解释论出发寻求解决方案,遵从现行法的立场。再次,信息收集的范围规定在格式条款中,网络用户不能协商变更信息收集的范围,很难认为网络用户有意志自由。签订与不签订格式条款的自由主要体现为选择合同相对方的自由(即同意收集者的自由),而非决定合同内容的自由(即同意收集范围的自由),因为格式条款本身排除了格式条款接收方决定合同内容的自由。当然网络用户不签订格式条款必然不会受其约束,网络用户不能更改信息收集范围,但可以选择不接受,有拒绝的自由,姑且认为符合同意主体有意志自由的条件。最后,某种网络服务需要收集何种信息,由网络服务的性质决定,不以合同当事人的意志为转移。网络用户在对收集范围表示同意时,自然只愿意提供必要的信息,其同意中包含了限定的意向。网络服务提供者在《个人信息保护政策》中规定的收集范围,超出了提供网络服务的目的范围,便超出了网络用户对其同意的限定,超出的部分对网络用户不具有拘束力。(16)《安全规范》第5.2条规定网络服务提供者只能收集与提供服务直接有关的个人信息。可见,如果网络服务提供者在提供服务的目的范围内收集用户个人信息,则“对收集范围的同意”具备担责的条件。
5.“用户同意”的法律效力。
(1)对收集者的同意。“对收集者的同意”具备担责的条件,网络用户应当承担同意导致的责任。但“对收集者的同意”有明确的限定意向,其同意的对象仅仅指网络服务提供者,而不包括第三方。网络服务提供者不得将其收集的个人信息提供给第三方,第三方要收集用户个人信息,需要单独征得用户同意。(17)实践中存在网络服务提供者私自将用户个人信息提供给第三方的情况。例如,网络用户在微博APP中浏览某个物品,之后打开淘宝APP,该物品就出现在了搜索框中。原因在于:
其一,某第三方本身就与一种新的服务类型相联系,之所以要引入第三方,就是因为其超出了当前网络服务提供者的服务范围。第三方因提供当前网络服务提供者所不能提供的服务而需收集网络用户个人信息的,也是因提供服务而收集用户信息的一种类型,应当在提供服务之前单独征求用户同意。其二,网络用户在对《个人信息保护政策》表示同意前,尚需决定是否将其个人信息提供给当前网络服务提供者,此时若同时要求其决定是否将其个人信息提供给第三方,增加了网络用户决策的难度,使其在准备不足的情况下决策将来之事项,影响其决策的质量。其三,当前网络服务提供者提供的服务是否已经囊括了第三方提供的服务,对此可能会因为对服务范围大小的认识不同而得出不同的结论。例如,一项“网购”服务内在地包含“确认订单”“支付”“邮寄”等服务则毫无疑问。即使认为当前网络服务提供者提供的服务内在地包含了第三方提供的服务,当前网络服务提供者向第三方提供用户个人信息是在提供服务的目的范围内合理使用用户个人信息,其在初次征求用户同意时可以一并“帮”第三方征求用户同意,这同样不利于保护网络用户的个人信息权益。因为网络服务提供者将网络用户对它的同意与对第三方的同意挂钩,网络用户如不同意第三方收集其个人信息,便无接受当前网络服务的可能。(18)《安全规范》附录C要求网络服务提供者划分服务的基本业务功能和拓展业务功能,并规定:“当产品或服务所提供的基本业务功能无需一次性全部开启时,应根据个人信息主体的具体使用行为逐步开启基本业务功能”“个人信息主体不同意收集扩展业务功能所必要收集的个人信息的,不应拒绝提供基本业务功能或降低基本业务功能的服务质量”。可见同一网络服务提供者不能将无需一次性全部开启的基本业务功能相互捆绑,不能将基本业务功能与拓展业务功能相互捆绑,那么不同网络服务提供者自然也不能将其提供的服务相互捆绑。其四,假如网络服务提供者向第三方提供用户个人信息并非出于提供服务的目的,而是出于商业化利用的目的,此种行为对网络用户的影响甚巨,更需要第三方事先征求用户同意。
在法律上宜认为对收集者的同意是一种具体的同意,仅指对合同相对方的同意,不包括对合同内容所涉的第三方的同意。第三方如欲收集网络用户的个人信息,需亲自征求网络用户的同意。网络服务提供者即使基于提供服务的目的向第三方提供用户的个人信息,也需第三方单独获得用户的同意。当然,考虑到每次接受服务前均需表示同意不可避免的会影响到用户体验且无助于用户个人信息保护,应当将征询同意限制在网络用户初次接受某种服务时。(19)《安全规范》附录C要求网络服务提供者在基本业务功能开启前、拓展业务功能首次使用前告知网络用户并征求同意。获得网络用户初次同意的第三方可在初次同意的范围内收集用户个人信息,无需再次征求同意,除非其收集行为超出了初次同意的范围或者其变更了《个人信息保护政策》。
(2)对收集范围的同意。网络服务提供者在提供服务的目的范围内收集用户个人信息,则“对收集范围的同意”具备担责条件,网络用户应当承担同意导致的责任。但是“对收集范围的同意”有明确的限定意向,网络用户仅同意在提供服务的目的范围内收集其个人信息。如果《个人信息保护政策》约定的个人信息收集范围超出了提供服务的目的范围,即使网络用户对其表示了同意,其对网络用户也不具有拘束力。
在法律上宜将“对收集范围的同意”理解为一种概括的同意,即“同意于提供服务的目的范围内收集个人信息”,此时网络用户对《个人信息保护政策》中收集范围的同意并非当然对其具有拘束力。该项概括同意的法律效力,由法院于纠纷发生后在个案中认定。如果法院经审理查明,确定了网络服务提供者在提供某项网络服务时所需的个人信息的范围,则此项概括的同意在法院所确定的范围内发生效力,对于超出法院所确定的范围的事项,应当认为网络用户并未对其表示同意,对网络用户不发生效力。(20)确定某种网络服务需要收集的个人信息的范围,是特定领域的专业判断问题,而非法律判断问题,法官可以请求行政机关协助,咨询工业和信息化部或当地通信管理局的意见。
综上所述,“对收集者的同意”是一种具体的同意,其为网络服务提供者的信息收集行为解禁,网络用户应当受其同意的约束,容忍网络服务提供者的信息收集行为。“对收集范围的同意”是一种概括的同意,其为网络服务提供者的信息收集行为设限。网络服务提供者在提供服务的目的范围收集用户信息,网络用户应该受其同意的约束;网络服务提供者超出目的范围收集用户信息,网络用户不受其同意的约束。因此,即使网络用户对《个人信息保护政策》表示了同意,只要《个人信息保护政策》规定的收集范围超出了提供服务的目的范围,超出的部分便没有约束力。