刘颖 王佳伟
摘要:现有的实践显示,平台经济领域中个人信息的“告知—同意”模式深陷困境:经营者的告知义务流于形式,信息主体的同意行为缺乏有效性,该模式未能平衡好保护个人权益和促进数据利用之间的关系。面对实践中的困境,须以法律解释方法,在明确告知义务与同意行为法律性质的基础上,寻求“告知—同意”新的解释框架。告知义务兼具公法和私法属性。隐私政策仅是告知义务的履行行为,不应认定为合同,信息主体作出同意的表示是基于对经营者和国家监管的信赖。构建“告知—同意”新的解释框架,应以告知义务为核心,塑造以信赖为中心的互动环境。告知义务应朝着标准化和场景化发展,宜采用网络用户类群化标准判断,针对不同类别的信息主体确立不同程度的告知责任。而互信环境的建立,不仅需要明确信息主体的多项请求权基础,还应规范好平台经济领域的数据处理活动和竞争秩序。
关键词:“告知—同意”规则;告知义务;个人信息;平台经济;同意机制
中图分类号:D922.29 文献标识码:A 文章编号:1009 3060(2023)03 0111 14
第三代互联网商业模型( web3.0)催生了众多大型数字平台 , 打破了传统的产业分类 , 塑造了全新的平台经济模式。按照《国务院反垄断委员会关于平台经济领域的反垄断指南》中的定义 , 平台是指通过网络信息技术 , 使相互依赖的双边或者多边主体在特定载体提供的规则下交互 , 以此共同创造价值的商业组织形态。平台经济是指以互联网平台为主导 , 协调资源配置 , 挖掘尚待利用的人力、数据、资本 , 重构生产要素体系的新经济形态。平台经济领域经营者(以下简称经营者)通过智能终端、ApI(应用程序接口)、SDK(软件工具开发包)、IoT设备、测览器、传感器等自动收集用户的个人信息 , 并运用智能算法对用户进行数字“画像”, 以此进行针对性营销、定制广告等行为。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)确立了以“告知—同意”为核心的一系列规则 , 该模式已成为经营者在处理个人信息时最为重要的合法性基础。然而 , 在固有的制度性缺陷、显著的权力不对称等因素的影响下 ,“告知—同意”模式壇变为平台经济领域经营者侵犯个人信息权益、无限制护取商业利益的“自由通行证”。现有理论学说与司法实践一般强调以格式条款作为对“告知—同意”规则进行规制的方式 , 缺乏针对告知义务和同意行为法律性质方面的深入探讨。本文在探讨告知义务和同意行为法律性质的基础上 , 剖析当前“告知—同意”模式面临的困境 , 构建新的解释框架 , 以期发挥该制度应有的价值。
一、问题的提出:“告知—同意”模式深陷困境
平台经济不仅是商业的范式转变 , 也是法律理论的范式转变。个人在使用平台服务过程中对自身的信息数据无法实际掌控 , 导致“告知—同意”模式存在着“虚化”的风险 , 并使同意机制深陷困境。告知沦为经营者获取个人信息的程序性事项 , 同意也无法发挥使个人了解风险、有效控制个人信息的作用。
(一)告知义务流于形式
网络空间中的信息具有非竞争性和非排他性 , 随着数据应用链条的不断拉长 , 个人信息处理的场景愈发多样化 , 链条上的个人信息处理者也随之增加 , 告知作为确保用户“知情同意”的决定因素 , 面临着适应多样化场景的颗粒度挑战。实践中 , 经营者为降低成本 , 往往在隐私政策中以“一揽子”方式规定所有涉及个人信息的处理活动:或采用概括笼统的内容而未结合自身业务进行着重说明;抑或隐瞒某一步骤和某一关键信息;也可能是在未征得同意的情况下违规处理个人信息。
经营者对隐私条款内容、阅读界面显示、弹窗按键安排等具有绝对掌控力。研究表明 , 向个人展示通知的时间 , 以及通知的视觉设计和框架语言 , 都会影响用户作出与隐私相关的决定。在隐私条款内容上 , 经营者往往并未考虑普通公众的理解能力 , 其在隐私条款内容中采用专业的术语和冗长的篇幅 , 使得用户难以清楚地知悉个人信息被处理后的风险。在界面安排上 , 经营者设置复杂、不可回撤的步骤阻碍用户阅读隐私政策。例如 , 要求用户退出当前交易或测览界面才能链接到隐私政策文件。在弹窗形式上 , 则设置较短的时限(包括倒计时的形式), 促使用户跳过隐私政策。
(二)同意的作出缺乏有效性
同意作为独立的法律行为 , 具有改变作出同意之人与相对人之间的法律关系的规范力量。因此 , 有效的同意不仅要求信息主体实际知悉 , 还要求该同意由信息主体自主作出。而在平台经济中 , 这两项要素都难以得到满足。
信息主体的实际知情要素难以得到保障。由于隐私政策篇幅冗長且语言晦涩难懂 , 个人往往不会阅读这些隐私政策。即使用户进行了阅读 , 其在短时间内也无法理解将会产生怎样的实质风险。特别是平台经营者将智能算法应用于个人信息的分析 , 导致风险走向不可控的边缘。此外 ,《个人信息保护法》多处规定了须取得单独同意的情形 , 由于依托平台技术的企业数量众多 , 个人使用对应服务都须进行相应的同意决策。诚如有研究认为 ,“同意”制度已然进入了“微观同意”(microconsent)时代 , 精细而看似无害的决策使得用户产生“同意疲劳”, 因而无法清晰地理解每一个决策背后的意义。
平台经济中的权力不对等显著影响同意的自主性。经营者往往将信息主体的同意作为使用相应服务的必要条件 , 用户首次登陆平台时 , 会出现“登陆/注册即表示您同意服务协议和隐私政策”的字样 , 甚至有些经营者在隐私政策中明确规定“本隐私政策属于服务协议不可分割的一部分”。这实际上混淆了个人信息处理的同意与签订互联网服务合同的同意 , 全国信息安全标准化技术委员会发布的《信息安全技术个人信息告知同意指南(征求意见稿)》第9.2条 d)项指出 , 个人信息控制者应当将个人信息处理的同意与其他同意区分开来 , 不得将其隐匿在其他事项中并使得个人信息主体接受。信息主体必须以合理的方式被告知自身的信息被谁收集、何时被收集以及将用于什么目的。此外,有学者指出,受到人的有限理性、外部的可得性启发(认为熟悉的风险比不熟悉的风险更危险)以及经营者与他人的影响,个人在平台经济中作出的是一种“被扭曲的决策”(skewed decision- making)。而经营者在信息、技术、资金上具有优势,大数据挖掘以及深度学习算法的应用能够让经营者进行操纵性引导,通过不断推荐和修正用户感兴趣的内容,潜移默化地改变用户的决策。同意必须是自主的,它不能是轻推、操纵、错误信念或知识差距的结果。如果同意是由系统性的、无形的权力实践所塑造的,那么这样的同意是无效的。在大数据背景下,同意规则遭遇了危机。由于平台经济中权力的不对等,个人的同意在多数场合沦为反射性的动作,无法体现个人的真实意愿。
二、厘清“告知—同意”模式的法律性质
“告知—同意”作为个人信息保护的基础性制度已被成文法明确规定,面对实践中的困境,须运用法律解释方法,明确告知义务与同意行为的法律性质,并在此基础上寻求“告知—同意”新的解释框架,保护好个人信息处理过程中的主体权益,促进数据发挥基础性资源的作用。
(一)告知义务兼具公私法混合的性质
“告知—同意”是个人与平台经济领域经营者建立法律关系的前置程序。私法上,作为持续性合同的缔约方,经营者应承担《民法典.合同编》规定的各项义务。告知义务涉及合同成立、履行及终止的整个过程。经营者在订立合同过程中违反告知义务,故意隐瞒与订立合同有关的重要事实或者提供虚假情况,应当承担缔约过失责任。在合同履行过程中,经营者应根据合同的性质、目的和交易习惯履行通知、保密等义务。合同终止后,经营者应遵循诚信原则,根据交易习惯履行通知和保密等义务,例如,服务终止后经营者应通知用户其个人信息的后续处理方式。作为格式合同的提供者,经营者亦负有提示和说明与对方有重大利害关系的条款的义务,例如履行服务合同所必须收集的个人信息类别。由此可知,经营者承担合同法上告知义务的范围较广,但由于缺乏明确的规定,仅能依诚实信用等原则来推论义务的具体内容。
在公法层面,《网络安全法》第41条从网络信息安全的角度规定经营者“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”的义务。《个人信息保护法》则规定了透明度义务,经营者不仅要向用户告知第17条规定的具体事项,还需要保持数据处理过程的透明度,以便能够向用户、监管机构证明其履行了相应的技术和组织措施来保障用户个人信息的安全。此外,经营者的告知义务必须满足相应的国家标准和行业标准,否则就会受到行政执法层面的制裁。因此,平台经济领域经营者的告知义务兼具公法和私法性质。
1. 隐私政策不是合同而是告知义务的履行
隐私政策系经营者履行告知义务最主要的方式。不少学者认为,应将其界定为格式合同,发挥合同法的调整作用。有学者提出,应当将经营性网站隐私声明之性质界定为格式合同 , 也有学者认为,通过合同法调整隐私政策符合用户与网络服务提供者之间关系的本质特征。司法实践也往往将隐私政策视为用户与经营者签订的合同,如在“许昌与趣游时代北京科技有限公司网络服务合同纠纷案”中,法院将网络游戏注册页面中显示的“须勾选阅读并同意”的用户协议和用户隐私政策认定为预先拟定的格式合同。尽管从现有的讨论来看,隐私政策属于合同似乎并无争议,但本文认为,将隐私政策界定为合同既不符合现行法,也无任何必要。为平衡好个人信息处理过程中各方的利益,仅将隐私政策认定为告知义务的履行行为更具现实意义。
首先,将隐私政策认定为合同不符合现有个人信息保护的规范体系。《个人信息保护法》第13条第1款第2项前半句规定了经营者可径行处理“为订立或者履行个人作为一方当事人的合同所必需”的个人信息,此条款中的“合同”指的是网络服务合同或买卖合同。若将隐私政策视为格式条款而成为合同的一部分,就会造成适用上的困境。为了履行该“隐私合同”,经营者所有处理个人信息的行为都具有合法依据,从而架空了“同意”制度。比较法上,欧盟《一般数据保护条例》(GDPR)第6条同样规定了“为履行数据主体作为合同一方当事人的必要(necessary)行为”。欧盟数据保护委员会(EDPB)指出,数据处理行为的“必要性”需要基于合同目的本身进行判断,而并非将数据处理行为作为合同的目的或标的之一。易言之,个人信息的处理行为不能被视为一项服务而成为合同的标的。全国信息安全标准化技术委员会2020年3月6日发布了国家标准《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》),其中第5.6条的 g)项注释明确指出,个人信息保护政策(隐私政策)的主要功能为公开个人信息控制者收集、使用个人信息的范围和规则。因此,不宜将其视为合同。
其次,将隐私政策认定为合同不符合规范信息处理的原则。《民法典.人格权编》规定个人信息受到保护,这意味着个人信息權益是一项新型的人格权益。个人信息的保护是法律赋予个人干预信息处理过程的权利 , 其不同于姓名权人、肖像权人能够积极利用自己姓名、名称、肖像的权利,因此对隐私政策的同意不能被视为一项交易行为。另外,将隐私政策视为合同就必须追问其合同目的。合同目的是典型交易目的,在某些情况下动机也可被认定为目的。经营者的动机或目的可以被认为是在获得用户的同意后进行信息处理的活动,但从用户角度来说,其目的很难被准确地界定。
最后,将隐私政策认定为合同无法为信息主体提供充分的救济。用户购买商品或服务,已经与经营者形成了合同关系,隐私政策属于经营者履行私法上告知的义务,用户受到损害,完全可以通过私法上的请求权主张相应违约或侵权责任。在救济方式上,《消费者权益保护法》第26条第2、3款将经营者的通知、声明、店堂告示等方式视同格式条款进行规制,将不公平不合理的通知、声明、店堂告示等内容视为无效。因此,通过类推适用,用户同样可以通过主张隐私条款无效获得救济。更为重要的是,合同法的进路强调探究合同双方的合意,无法完全规制经营者的行为。“告知—同意”饱受垢病的一个原因,就是经营者能够通过使用有关“知情同意”的自制合同从而绕开其法律责任。法院必须审查隐私政策以及经营者的处理活动是否符合法律规定、是否符合国家标准,而不能仅仅停留在双方意思表示是否真实的基础上。如果仅仅关注合意的成立与范围,反而会因缺少规范性审查而无法有效保障信息主体的权益。
将隐私政策界定为告知义务的履行行为,更具有现实意义。在此前提下,用户能够以经营者违反义务为由主张违约责任,排除经营者凭“用户已同意”之事由所进行的抗辩,而且监管力量也能够介入审查隐私政策的内容,对不合规的经营者施予行政监管措施。
2.“告知”制度是自我约束和监管配合的重要机制
学理上对于“告知—同意”模式往往更强调同意的作用,而忽略告知行为的重要意义,仅仅将其作为“知情同意”的条件。本文认为,即使“同意”制度存在着诸多不足,“告知”制度仍是经营者实现自我约束和配合监管的重要机制。
一方面,隐私声明为经营者提供了一个评估内部做法的机会,能够确保其个人信息处理行为是必要和适当的。根据品牌、法律、政策以及市场发展的考虑,隐私政策可以作为一个决策平台,使经营者决定是否继续数据处理或部署相应技术。随着我国对于个人信息保护的重视,经营者的隐私政策开始受到公共的关注和监督。2019年,一款名为“ ZAO”的换脸软件风靡网络,其“用户协议”第6条第1款就规定了极不合理的授权条款:“您同意或者确保实际权利人同意授予 ZAO及其关联公司以及 ZAO用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利。”在舆论和监管压力之下,ZAO修改了用户协议,增加“删除”功能。这一负面案例说明,经营者对于隐私政策的制定必须符合法律法规的要求,不得不公正、不合理地免除自身的责任或增加自身的权利。那些做出更高保护水平承诺的经营者将会获得用户更多的信赖。因此,隐私政策的透明化可以激励经营者通过实施各种技术与组织措施来保障用户的权益。
另一方面,告知义务的履行能够增强维护信息主体权益的第三方的力量,从而起到间接维护信息主体的作用。经营者的隐私政策大多采取的是可机读的电子形式,其提供的个人信息处理规则越详细,监管力量对其越能够发挥作用。此处的监管力量不仅来自国家机关,也来自那些以保护用户信息安全为盈利模式的商业主体。第三方商业机构通过各种追踪应用和检测工具,能够发现经营者隐私政策中存在的漏洞以及信息处理实践与承诺不相符合的情形。这些实体对经营者无序收集和利用个人信息的行为起到了良好的制约作用,显著保障了用户的知情权。在网络安全漏洞治理产业中,经营者为了检测系统的安全性,会将其系统上传到网络安全众测平台上,并设置相应的测试目标和奖励,由“白帽子”(计算机专家和网络黑客)测试漏洞并予以反债。经营者告知义务的实践也可采用此种思路,由“隐私白帽”、普通用戶实现隐私政策或通知程序的众测。
(二)同意系单方授权行为
同意的特殊法律问题恰恰在于,一方面法律秩序将其作为独立的法律行为加以规范,而另一方面它仅构成需经同意法律行为的辅助行为,其法律效果始终仅涉及需经同意法律行为的效力。诚然,在众多场景下,个人为获取某项产品和服务,须同意经营者处理其相应的个人信息,此时同意仅构成订立买卖合同或服务协议的辅助行为。例如,个人使用网约车服务必须向平台经营者提供手机号码和位置信息。但是,同意还是一项独立的法律行为。在平台与用户的持续性法律关系中,即使单笔交易完成,经营者仍然会保有该个人信息,并将其用于后续的处理行为。
有学者将信息主体与信息处理者的关系认定为信息信托法律关系,并将同意行为视为信托法上的授权行为。有学者认为,信息控制者为信息主体提供了一种持续性的代理行为。亦有学者从积极与消极两个层面进行分析后提出:从积极层面上来讲,个人同意是个人信息处理活动的合法根据或正当理由之一;而从消极层面上来说,个人同意属于违法阻却事由。本文认为,对于个人信息处理活动的同意应被认定为单方授权行为,它相对于需经同意法律行为而言具有独立性。因为同意在一定程度上体现了信息主体享有对自己的个人信息的处分权能。只要信息主体在充分知情的情况下自愿、明确地作出同意行为,作为相对人的经营者就享有了对该主体个人信息的使用权益。同时,正因为同意是一项单方法律行为,信息主体可基于自身意愿随时撤回先前作出的同意。《民法典.人格权编》第993条规定:“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外。”解释上,可将此条的“等”认定为“等外等”,即把个人信息解释进去,为个人信息的许可(授权)使用提供明确依据。值得说明的是,个人信息的同意并不意味着信息主体与经营者之间建立起了许可合同法律关系。这是因为信息主体作出同意行为,并不像肖像权人那样有着指向商业化利用这一特定法律效果的意愿。
将同意界定为授权行为要解决的问题是:授予经营者的权利为何?司法实践提出了区分“数据资源整体”和“单一数据个体”的思路,“数据资源整体”系经营者投入了大量人力、物力,经过合法经营而形成的,经营者对数据资源应当享有竞争权益。而就“单一数据个体”而言,经营者仅享有有限使用权,因为这些数据仍属于用户的原始数据,其对于社会的价值贡献仍未脱离用户信息所包含的资讯内容,数据采集主体并未提供创造性劳动成果。依此进路,信息主体的同意授权是经营者对“单一数据个体”进行挖掘、聚合而使其成为“数据资源整体”这一过程的合法基础。
1.授权行为的作出系基于信赖
信息主体的授权是基于对经营者与国家监管力量的信赖而作出的。隐私政策开篇表明经营者保护个人信息权益的态度,即使未进行阅读,用户也愿意相信经营者维护隐私和个人信息安全的能力。此外,随着各类规范性文件以及个人信息安全规范国家标准的颁布,各行业的隐私政策和安全实践逐渐走向统一化和标准化,用户的信赖从根本上来说是对国家治理能力的信赖。
信赖利益的保护是私法体系上的重要原则。美国合同法理论上的“全面同意”概念能够为解释信息主体的同意授权提供有益的思考。卡尔.卢埃林(karl N. Llewellyn)指出,消费者合同中并不存在真正意义上的同意,实际上已经同意的只是少数经过协商的条款和普遍的交易类型,不存在对任何不合理条款的全面同意。那些未被阅读的附属细则,以及对不合理条款的拒绝,没有理由削弱构成协议主要内容且经过协商的条款的合理含义。这意味着尽管消费者并没有完全了解合同包含的所有条款,但那些不合理、具有歧视性的条款并不会对消费者产生拘束力。如果另一方有理由相信,表意人若知道协议中含有某一特定条款就不会同意,则该条款不属于协议的一部分。上述观点的核心思想在于一方当事人并不受合理预期以外条款的制约,这暗含着对涉及消费者场景下合同条款的“实质重于形式”的审查比格式条款的救济更具灵活性。结合个人信息处理场景,信息主体授权同意的基础并不取决于隐私政策中的具体内容。由于经营者的告知义务由法律、国家标准及行业标准等所规制,因此某些不合理的条款因违反法律而自然无效,且某些被刻意删减的条款也应构成信息处理者应负义务的重要内容。
信赖是解释专家民事责任基础的主要工具。作为塑造平台经济环境的参与者,经营者相对于用户来说在资金、技术、人力上均具有绝对优势,对于信息的流向、行为的影响更加了解,是个人信息处理活动的专家。因此,要求经营者承担作为专家的勤勉与忠实义务具有必要性。《个人信息保护法》第五章规定了信息处理者的一系列义务,第58条特别强调了“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的义务,这即是专家责任的实证法体现。此外,为保护信息主体的信赖利益,在发生相应纠纷时,应当由个人信息处理者承担举证责任。《个人信息保护法》第69条第1款明确了个人信息侵权行为适用过错推定原则,个人信息处理者若不能证明自己没有过错(表现为隐私政策制定的合理性和不存在误导、欺诈、胁迫等事由),则应当承担损害赔偿、恢复原状等责任。
2.对信息主体“阅读义务”之否定
法律行为的成立和生效与否,须依意思表示的解释规则检视之。按效果主义理论,法律行为的生效,以表意人尽了合理注意义务后是否能够期待受领人理解他的意思表示为判断基准。因此,表意人应考虑他能够认识到的情形后再作出相应的外在表示,否则便“可归责”于表意人。然而,平台经济领域中信息主体的“知情”要素难以得到保障。现有“告知—同意”的解释框架在将隐私政策认定为合同的前提下,以信息主体的“知情同意”为核心,且过度扩张了用户合理注意义务的范围,似乎要求作出同意之人负有积极的“阅读义务”。
阅读义务指的是当民事主体签署了他们所认为的合同后,他们就有义务阅读这些条款。如果一份合同不需要被阅读就可以生效,那么接受合同的人就会面临这样的风险:未阅读的条款之后可能会产生不符合其利益的约束力。不少平台的隐私政策在前言部分均会要求用户应“仔细阅读、充分理解” , 尽管未达到为用户设定义务的程度,但若发生纠纷,经营者往往会以此作为抗辩的事由。以用户的明示同意为由,主张其受到经营者隐私政策的约束,事实上就是要求用户必须仔细查阅相关政策条款,防止其中存在侵犯自身权益的条款。如在“新浪邮箱缩减案”中,法院认为,原告注册了新浪的免费电子邮箱是表示确认网站服务条款内容的行为,即对被告四通利方公司“新浪网”服务条款要约的遵守。尽管该案中来云鹏实际上并未注意到新浪的单方修改权条款,而在新浪变更邮箱服务内容时方才了解,但法院仍然认可该权利的成立。而在“朱炸诉北京百度网讯科技有限公司”一案中,二审法院认为:“ cookie技术是当前互联网领域普遍采用的一种信息技术,仅涉及匿名信息的收集、利用,网络服务提供者对个性化推荐服务依法明示告知即可,网络用户亦应当努力掌握互联网知识和使用技能,提高自我适应能力。”上述司法裁判暗含的逻辑是:作为完全民事行为能力人,网络用户应尽到阅读这些与自身权益相关条款内容的义务,不阅读或阅读以后继续使用的行为将被推定为用户对这些条款表示同意。
对“阅读义务”的否定即是对合同法进路下以同意为核心的解释框架之否定,背后的逻辑是保护信息主体对市场环境与监管力量的合理信赖。信息主体应承担的义务不能转变为搜寻具体条款的义务。当隐私政策隐匿在不显眼的超链接中时,或未能以明显的方式提示用户注意时,应由经营者承担未完全履行告知义务的不利后果。
(三)总结:完善告知义务的必要性
通过对告知义务与同意行为法律性质的分析,可知完善“告知”制度以确保经营者切实履行好告知义务的必要性。一方面,经营者的告知义务是信息主体掌控自身事务的重要前提。“知情”毕竟是主观概念的范畴,要求告知义务准确、明晰即是在最大程度上保证信息主体的知情可能性。合同法即以获取信息或通知的能力和途径来替代“知情”。因此,在确定信息主体的同意行为是否有效的问题上,应着重考察经营者是否充分保障了表意人的知情权,而非关注表意人的意思表示本身的真实性,以避免落入“阅读义务”的陷阱。另一方面,“告知”制度在维护信息主体权益方面有其独特的价值。经营者告知义务的实践,不仅能够帮助其实现自我行为的约束、及时调整策略,也能够增强第三方监管的力量,进而促进个人权益保护与数据利用两者价值间的平衡。
三、构建“告知—同意”新的解释框架
现有的实践困境表明,以“知情同意”为核心的解释框架难以保障个人信息处理过程中的主体权益。尽管立法要求同意的作出必须“自愿、明确”,但在解释上不宜仅关注同意,并对其进行“弱同意”“强同意”等程度的细分。信息主体受到时间成本、理解能力和有限理性等因素的影响,作出的同意授权行为难谓自由与明确。新的解释框架不再将重点放在对同意行为意思表示圆满度的考察,而是注重落实经营者的告知义务,规范平台经济领域的竞争秩序,构建起经营者与信息主体之间的互信结构,推动个人信息依法合理地流动。
(一)构建以告知义务为核心的解释规则
“告知—同意”制度具有风险分配的功能,强调告知义务为核心有利于落实对经营者的义务履行的实质性审查。在实行过错推定责任的背景下,个人信息处理者作为处理活动的掌控方,需要提供实质性的证据证明自己已履行了法定的义务,否则将承受不利后果。随着商业实践的不断发展,微观场景下通知与同意的混合使得个案事实均不相同,各项细节(包括超链接的形式、字体颜色、通知位置)都对信息主体作出同意授权有着重要影响。可以说,在平台经济中,考察经营者是否以合理方式提请用户注意成为一个事实密集型的问题。在互联网平台经济领域下,告知内容与同意授权通常被要求处于同一界面,告知的语言、展示形式、时机、频率和位置等均属于信息主体知情权的权益归属内容。因此,通过设置细致严格的告知义务标准能够确保同意的有效性。
1.推动告知义务的标准化和场景化
告知义务的标准化指的是,随着国家各项治理的深入推进,经营者在相同或相似场景下的履行方式、告知内容、隐私政策具体条款等方面将逐渐统一、趋同化,信息主体也将对自身数据被处理的过程和标准产生集中、理性的认识。告知义务的场景化理论依据来源于情境脉络完整性理论,这一语境主张信息流由三个要素构成—参与者(发送方、主体、接收方)、信息类型和传输原则。告知义务的场景化要求经营者必须根据不同的信息主体、信息类别、合同目的等调整义务履行的方式方法,真正确保信息主体在特定场景下的知情权。标准化和场景化并不是相互沖突的一对概念,标准化是相对同类经营者的横向对比,而场景化则针对的是个人信息处理链条上的不同场域,两者相辅相成,共同构成互信环境的基础。
现行民法上存在着与本文讨论主题关系密切的一组规范性表达,即医疗人员的“说明义务”与患者或近亲属的“明确同意”。两者存在某些类似之处,如:身体权与个人信息权益均属消极权益,病患的同意均可看作为一种持续性的授权,等等。对上述规则的分析可为本文解释平台经济中的告知义务提供一些规范性思路。《民法典.侵权责任编》第1219条第1款规定了医疗人员在诊疗活动中的普通说明义务和特殊说明义务。普通说明义务仅需说明病情和医疗措施,其目的是为了获得患者的配合和协作 , 无须患者同意;特殊说明义务是指在需要实施手术、特殊检查、特殊治疗时,医疗人员就医疗风险、替代医疗方案等情况向患者或在例外情况下向患者家属作出具体说明,此种情况下需要获得患者或家属的明确同意。特殊告知义务是为了确保患者或家属的知情权,并使其能够基于自主的意愿作出决定。如同对医疗人员的告知义务所作出的划分,本文也将经营者的告知義务划分为普通说明义务和特殊说明义务。普通说明义务包括个人信息处理者的基本情况,个人信息主体的权利及实现方式,收集的个人信息类型和方式、处理目的,以及对外共享、转让的第三方的身份,等等。普通说明义务的基本表现形式为隐私政策,目的是详细介绍个人信息处理活动。特殊说明义务则主要包括两类:一类是在处理个人敏感信息、向第三方提供个人信息等法律规定需要取得单独同意的情形时,经营者应进行单独的告知;另一类是在扩展业务功能开启前、收集使用个人信息的目的或范围发生变化、停止收集个人信息等特殊情况时所进行的告知,这些情形下的告知是为了增进信息主体对具体业务功能与所收集信息之间关联性的理解。之所以设置具体的特殊告知义务,是因为当前互联网平台往往涉及多项业务功能,同时存在不同的个人信息处理阶段,用户难以掌控自身授权行为在哪个处理阶段产生的效果。
经营者的普通说明义务与特殊说明义务的区分体现了其告知义务发展的两个应有方向:标准化和场景化。普通说明义务需详细地说明信息控制者处理个人信息的活动,特殊告知义务则是为了确保特定场域下信息主体的知情权。
一方面,普通说明义务符合标准化、法定化的特征,可以由相关部门或者行业自律组织发布标准条款。比较法上,欧洲议会针对《EDPB对 GDPR实施两周年执行情况的评估报告》的决议提出,当前数据保护实践仍然主要依赖手工操作和任意格式,并充斥着不兼容的系统;欧洲议会倡导 EDPB开发隐私策略模板,允许数据主体、控制者和数据保护部门之间进行机器对机器的沟通(自动化数据保护)。我国《个人信息安全规范》附录 D即发布了个人信息保护政策模板,以供信息处理者参考。可以说,推动普通说明义务的内容与形式的标准化具有了现实基础,平台经济的发展已经具备一定的规模,对于各种服务类型的实践活动也已经形成了行业共识,《常见类型移动互联网应用程序必要个人信息范围规定》总结了39类常见 App的基本功能服务即是例证。因此,在此基础上进一步推动隐私政策模板化具有很强的可行性和必要性。普通说明义务的标准化不仅能够降低交易成本,也有利于第三方监管力量的定期核查。对经营者的普通说明义务规定得越详细、越规范,其就越能够在市场上获得认可,因此,也更可以充分发挥“告知”制度实现经营者自我约束和增强监管力量的作用。
另一方面,特殊说明义务的场景化有助于维护个人信息权益。在个人信息对外流转的过程中,其只要保持了“可识别性”,就仍承载着个人的人格权益。经营者若仅采用“一揽子”的方式履行告知义务,必然无法保障信息主体的知情权,从而阻碍其对信息处理活动实施具体干预的权利。因此,平台经济领域中的告知义务需保持颗粒度与细致化。根据情境脉络完整性理论,不同情境下的信息流处理、告知义务的内容与履行方式亦应不同。例如,搜索引擎的使用一般不需要进行注册或登录,经营者应采用弹窗等显著方式提示用户注意各个网站对cookie技术等的使用;又如,当用户选择使用平台的“海外淘”服务时,经营者在向境外第三方提供个人信息前,应当采用打断用户操作界面的方式,告知用户此时传输个人信息的接收方、范围、目的以及相应保障措施。
2.应以网络用户类群化标准进行判断
关于如何判断具体情形下经营者是否已履行完备的告知义务,本文认为,应当对经营者规定比“一般理性人”更高的责任标准,可称之为网络用户类群化标准,即要求经营者针对不同类别的信息主体提供不同程度的告知义务。实际上,此类群化标准在法学界已有一定的适用基础。有观点指出,民法上的“理性人”必须是某种类型人,比如理性的商人、理性的特殊行业从业者、理性的消费者,各种类型的理性人具备该类型人士的中等能力与智识。我国刑法上判断预见能力也存在类型人标准说,即以行为人所属领域一般人的预见能力为标准来判断。实践中,经营者会对收集或交易获得的数据资源进行挖掘,标签化个人信息并建立用户画像,继而在此基础上实现对用户的分类,以进行定向广告投放与精准营销。甚至,个人信息的贩卖都已呈精细分类趋势。可见,要求经营者对自身产品或服务面向的用户进行识别和分类,这在技术上已具备可行性。当然,不能以商业实践中的分类标准来要求经营者,具有规范意义的标准应考虑用户的不同民事行为能力以及其对个人信息处理活动的认知水平的差异性。
应强调,该类群化标准是对平台经营者所提出的更高水平的要求,而告知义务仍必须按法律规定,以“显著方式、清晰易懂的语言”来履行,并确保其“真实、准确、完整”。同意作为一项独立的法律行为,要求行为人具备相应的民事行为能力,但经营者的告知不能仅仅向监护人提供,作为 APP或平台的主要使用者,无民事行为能力人和限制民事行为能力人也需要知悉相关的数字环境基本情况。《个人信息保护法》首次规定不满十四周岁未成年人的个人信息属于敏感信息,处理该类信息应当制定专门的个人信息处理规则。因此,经营者对于无民事行为能力人或限制民事行为能力人,应当选取语音、动画等易于其理解的方式与符合其认知水平的内容进行告知。
不同的群体对个人信息处理活动的认知水平不同,经营者有义务了解其所收集的信息主体,并确定该群体可能理解的内容。在数字时代,不仅未成年人和老年人的认知水平有限,被算法操纵的算法消费者群体也处于劣势地位。工信部于2021年4月7日通过了《互联网网站适老化通用设计规范》和《移动互联网应用(APP)适老化通用设计规范》,指出适老化网站、APP在提供文字放大、语音阅读服务等辅助功能时,还应提供简约界面版本和信息影像化的人工智能推送形式,以支持老年人感知界面内容、获取服务。至于个人信息处理者不清楚自己的隐私政策或“告知—同意”实践能否满足网络用户类群化标准的判断,可以采取事前测试的方式进行。例如,对于隐私政策的可读性、信息收集过程的可理解性,可由法律专业人士、计算机领域专家、产品目标受众等组成的测评团队先行测试,并进行后期的调整与优化。
(二)塑造以信赖关系为中心的互动环境
通过落实以告知义务为核心的解释规则,明确法律预期,有利于督促经营者切实压实责任,持续规范经营。在此基础上,为确保《个人信息保护法》“规范个人信息处理活动”与“促进个人信息合理利用”立法目的的实现,仍需改变平台经济环境中信息主体与经营者悬殊的权力不对等局面,塑造以信赖关系为中心的互动环境。信息主体的个人信息权益具有典型的消极属性,表现为干预信息处理活动的权利,该权利的行使需信息处理者提供有效渠道。我们要解释和构造的“知情同意”模式,不单单是一种形式意义上的简单的“一键确认”,而是一种信赖授权与授权信赖辩证统一的知情同意,用户基于信赖而将相应风险的掌控交由平台经营者,同时平台又基于此种授权而从事一种可资信赖的数据收集与利用活动。平台经济领域个人信息处理活动的治理难题主要体现在两个方面:一是当信息主体受到损害时,因个人信息并不是一项权利,难以获得充分的救济;二是互联网领域野蛮生长,为了占据数据先发优势或保持持续经营能力,经营者往往只能在合规与竞争之间择一选之。因而,以信赖关系为中心的互动环境的构建,需要解决好上述两个问题。明确信息主体的请求权基础有助于个体权益的维护,发挥好反垄断法和反不正当竞争法的作用更有助于规范经营者的数据处理行为。
1.明确信息主体的请求权基础
个人信息权益保护具有私法面向,信息主体的权益遭受侵害时,当事人可主张多项私法上的请求权。作为特别法的《个人信息保护法》已对信息主体的救济作了特别规定。其第69条不仅明确了过错推定原则以解决信息主体举证困难的问题,也解决了个人信息处理活动中损害结果难以认定的问题。第70条则赋予“人民检察院、法律规定的消费者组织和由国家网信部门确定的组织”就个人信息侵权行为提起集体诉讼的主体资格,从而避免个人承担过重的诉讼成本。
当个人信息处理者违反“告知—同意”规则且违法处理个人信息时,应被认定为违反合同约定,信息主体可根据合同的性质主张个人信息处理者承担民事责任。如果处理者仅违反告知义务而未违法处理个人信息,则仅有信息主体的知情权受到侵犯。知情权作为一种相对权,不属于《民法典.侵权责任编》所保护的范围。因此,信息主体可根据《民法典.合同编》第577条主张个人信息处理者承担采取补救措施或者赔偿损失等违约责任。
除此之外,根据《民法典.侵权责任编》第1183条,个人信息权益作为新型人格权益,受到侵害的信息主体还能主张侵权法上的精神损害赔偿,在侵权责任的判定上,存在着侵犯隐私权和侵犯个人信息权益两种情形。当前与个人信息相关案件的审理模式也体现了采取不同标准分别论述是否构成隐私权侵权与个人信息侵权的进路。
隐私权依其内容可分为生活安宁和保守秘密两种类型,对应的侵权行为即侵扰与披露。《民法典. 人格权编》第1033条将“处理他人的私密信息”作为隐私权侵权行为之一,根据第1035条第2款之规定,可知其中包括了侵扰型和披露型两种类型,“收集、存储、使用、加工”私密信息属于前者,而“传输、提供、公开”私密信息则属于后者。在“黄某诉被告腾讯科技(深训)有限公司广州分公司、腾讯科技(北京)有限公司隐私权、个人信息权益网络侵权责任纠纷案”(以下简称“微信读书案”)中,法院对于原告被公开的读书信息进行了实质性判断,认为该信息未达到私密性标准,亦认定“原告未在本案中主张因读书信息公开导致其生活安宁受到侵扰”,从而否定了隐私权侵权的诉请。在“王某某诉深训市腾讯计算机系统有限公司网络侵权责任纠纷案”中,法院认定“微信好友关系已被包括软件运营商在内相关主体所知悉,具有一定的公开性”,因此不属于私密信息(隐私),且原告在首次登陆时授权微视 APP使用其好友关系,微视 APP对微信用户好友关系信息的使用方式也不会对私人生活安宁造成非法侵扰,因而不构成隐私权侵权。
由此可见,隐私权侵权的判定往往需要结合具体场景,即使认定经营者未履行合理的告知义务以及未获得信息主体的有效同意,仍需要根据信息的类型和经营者的行为实质进行综合判断。法院会分别认定信息处理行为是否构成披露私密信息或侵扰生活安宁。就前者而言,私密信息应当符合社会一般合理认知下“不宜公开”的要求。然而,经营者收集个人信息是为了改善或扩展其业务功能,一般不存在刺探个人隐私的目的,难以满足相应构成要件。因此,披露型隐私侵权行为较难获得司法的支持。就后者而言,侵扰型隐私侵权行为在平台经济环境中更为常见,相较之下,信息主体主张信息处理行为侵扰生活安宁或许有更大的胜诉可能性,但其也需提供生活安宁被侵扰的证据,例如,信息泄露导致信息主体被诈骗电话骚扰,安全系统多次检测到个人邮箱被非法訪问,等等。
相对而言,个人信息权益的侵权行为往往较容易认定。在“微信读书案”中,法院认为“微信读书在关于微信好友列表与读书信息的使用方式上的告知是不充分的”,且容易令一般用户误以为微信中的好友不同于微信读书中的好友,而实际上微信读书的用户可以看到大量微信好友在微信读书中的信息。因而,法院认定微信读书 APP“并未以合理的6透明度,告知原告并获得原告的同意”,侵害了原告的个人信息权益。这是因为个人信息处理活动具有相对完善的规范,在断定上不受经营者主观因素的影响。即使是处理法院认定“具有一定公开性”的个人信息,也必须限定在合理范围内,对个人权益有重大影响时还应依法取得个人同意。
2.规范平台经济领域经营者的竞争秩序
平台经济极大地改变了商业发展模式,平台内经营者必须依托平台经营者才能够实现服务或产品的交易,拥有较大话语权的平台经营者凭借其掌握的用户和数据优势,滥用市场支配地位,侵犯众多平台内经营者的利益,而最终的成本仍由处于弱势的消费者承担。由于数据已成为极其重要的生产要素,掌握数据先发优势就等同于掌握竞争上的决定性优势,因此,具有竞争性关系的经营者之间存在着数据资源的争夺。如果这种争夺的秩序不加以规范,势必会对处于竞争漩涡中心的信息主体造成实质性损害。
将经营者的数据处理行为纳入反垄断法与反不正当竞争法的适用范围内,能够有效地规制乱象丛生的数据竞争局面,规范市场行为,构建起多主体、全社会共同参与的个人信息保护与处理体系。在一个充分竞争的市场中,信息主体具有“用脚投票”的能力,履行告知义务的经营者将会获得市场的青眯。我国有关反不正当竞争的司法实践已经总结出了第三方通过。Pen API获取用户信息时应坚持“用户授权”十“平台授权”十“用户授权”的三重授权原则。判断用户在做出同意决策时是否有选择权的问题上,法院也会将产品或服务在市场中所处的地位纳入考量因素。例如,在“微信读书案”中法院指出:“与微信已实际成为大多数网络用户必不可少的社交应用、不使用会带来明显不便有所区别的是,移动阅读的需求并非为广大用户所必需,用户不使用微信读书不会感到生活明显不便,亦不会被实质上剥夺在市场上选择同类型产品的权利。”按此逻辑,如果某一经营者经由相关市场界定符合具有市场支配地位的构成要件,那么法院在具体个案中,对该经营者“告知—同意”规则的设置和履行情况应进行更严格的司法审查。
比较法上已经出现以反垄断法为工具来判断经营者是否构成违法收集个人数据行为的实践。2019年,德国的反垄断机构(Bundeskartellamt)认定脸书(Facebook)在收集、整合和利用用户个人信息方面存在滥用市场支配地位的行为。根据脸书的条款,用户要想使用其社交网络服务,必须同意脸书收集脸书旗下(例如 whatsAPP和Instagram)或其他第三方网站和应用程序中用户的个人数据。该机构指出,考虑到脸书的市场支配地位,用户在方框中打钩以同意该公司的使用条款的行为不足以成为脸书进行如此密集的数据处理的合法性基础。用户的唯一选择是接受全面的数据处理行为,否则就不能使用其社交网络服务。在这种困难的情况下,用户的选择不能称为自愿同意。德国联邦法院已经认可了反垄断机构的裁决,但由于脸书采取了诉讼拖延策略,导致相关主要程序仍未完结。此案系剥削型滥用市场支配地位之构成要件涵摄适用于个人信息处理领域的首创,在脸书公司违反数据保护的欧盟法律与德国民法的基本原则时,法院以反垄断法为工具维护了用户的个人信息权益。对正处于执法新阶段与立法关键期的我国来说,此案例足具规范上的借鉴意义。我国已有学者提出,反垄断法应当实现从“关注价格”向“关注个人信息保护”的制度转型,应将企业间的个人信息保护合谋与支配地位企业的个人信息剥削视为新型垄断行为,在数据驱动型集中的竞争损害分析中更多关注个人信息的损害。
解释上,《反垄断法》第22条第1款第5项“在交易时附加其他不合理的交易条件”的条款可以作为司法和执法判断经营者是否构成剥削型滥用市场支配地位的法律依据。《国务院反垄断委员会关于平台经济领域的反垄断指南》第16条第5项明确将“强制收集非必要用户信息”列为是否构成“搭售或者附加不合理交易条件”的具体考虑因素。应当看到,以滥用市场支配地位规则来规制经营者的告知义务与信息处理行为,需要司法和监管实践的不断努力,并通过案例的类型化来形成违法行为判断的一般性规则,包括如何认定平台经济中的市场支配地位、显著性侵害程度的标准以及行为的不当性。无论如何,通过反垄断法与反不正当竞争法规制经营者个人信息处理行为的方式,为“告知—同意”规则的解释提供了有益的思考,也为保护个人信息权益、促进个人信息合理利用提供了崭新的规制工具。
四、结语
“告知—同意”作为个人信息保护的一项重要制度,具有历久弥新的生命力。“告知—同意”解释框架的构建始终要遵循合法、正当、必要原则,坚持透明度原则、目的限制原则、数字最小范围原则和准确性原则等基本原则。通过对“告知—同意”的法释义分析可知,告知义务的实质性审查具有重要作用。告知义务履行的内容、方式与时机存在着标准化的必要性,而这一任务应由国家、行业与社会共同予以完善。同时,告知义务的履行与同意授权的作出在时间和空间上密切相关,因而告知义务也需要向场景化方向发展,唯有如此才能保障信息主体的知情权,确保其自由地行使干预信息处理活动的权利。在解释上,不宜过分关注同意授权行为,在任意性撤回同意权已然确立的背景下,保护“概括同意”背后的合理信赖,不仅需要明确私法上的救济,更需要通过规制经营者的竞争行为和数据活动,实现保护个人信息、规范个人信息有序流动的价值追求。
Nature Identification and Normative Interpretation of “inform-consent"Mode of Personal Information in Platform Economy
LIU Ying',WANG Jiawei
(1.School of Law,Tongji University,Shanghai 200092,China; 2. Shanghai Collaborative Innovation Center of AI Social Governance,Shanghai 200092,China)
Abstract:Existing practice shows that the “inform-consent" mode of personal information in the platform economy is in deep trouble: the operator's obligation to inform is a mere formality, the information subject's consent behavior lacks effectiveness, and it fails to balance the relationship between the protection of individual rights and the promotion of data utilization. Faced with the dilemma in practice, it is necessary to seek a new interpretive framework of “inform-consent" on the basis of clarifying the legal nature of the obligation to inform and the act of consent. The obligation to inform has both public and private law attributes. The Privacy Policy is only the performance of the disclosure obligation and should not be considered as a contract. Consent as a unilateral authorization act is basedI on trust in the operator and state supervision. To construct a new interpretive framework of “inform-consent", the obligation to inform should be the core, and an interactive environment centered on trust should be created. The obligation to inform should be more standardized and scenario-based, and it is advisable to adopt the classification criteria of network users to establish different degrees of notification responsibilities for different types of information subjects. The establishment of a mutual trust environment not only needs to clarify the basis of multiple claims of information subjects, but also regulate data processing activities and competition order in the field of the platform economy.
Key words: inform-consent rule;obligation to inform;personal information;platform economy;consent mnechanism
(責任编辑:周春玲)