孟 翔
广东尚尧律师事务所,广东 佛山 528000
近年来,各类APP 迅速发展,相比之下,法律规定和监管治理存在滞后现象,导致个人信息通过APP 被大量过度收集和不当使用,例如2020年北京互联网法院在个案中认定了某音APP 和某信读书等软件均存在侵害个人信息权益的情况。这表明,APP 个人信息泄露情况十分严重,相关治理刻不容缓。[1]对于APP 个人信息使用情况的治理,既要继续保留其合理使用的区域,又要严格约束其不能跨越使用边界,对此,本文将结合《民法典》中相关规定展开分析和说明。
在APP 等软件对个人信息的使用上,一直存在的一个核心问题,是如何确定合理使用的边界。对此,学界和实务界都存在众多争议,尚未确定。个人信息作为自然人人格标识的展现,它和个人隐私权不同。个人隐私权属于一种绝对防御性权利,不容侵犯;但是个人信息却允许被合理使用。例如对个人的消费习惯、消费偏好等的收集,有助于APP 等软件改善自己的用户体验,但是对此必须在合理范围内展开。然而,合理范围在哪里,它本质上不是一个理论上可以确定的问题,而需要在现实中不断摸索,积累经验。
一些调查表明,虽然法律规定了必要性原则,要求APP 对于用户个人信息的获取必须遵循必要上的最低限度。[2]但是在实际操作中,必要性原则的具体内容并不清晰。一些APP 所提供的服务会和其他领域交叉,或者自身就提供一种多元化服务,此时其从某一渠道中获得的个人信息,也会被其运用到其他领域和服务中。所谓的必要性原则,到底是基于单一领域的必要性原则,还是基于APP 整体功能的,并不清晰。此外,是否允许APP 可以将从某一领域内获得的个人信息运用到其他领域中,也充满争议。
APP 软件如何使用个人信息,对此很大程度上依赖于APP 软件的自我约束,以及相关监管。对此,作为个人信息的直接提供者——用户,既不知情,也无能为力,无法介入。用户只能期待APP软件使用过程是诚信、善意的,这构成了其合理信赖。[3]但是,由于双方信息获取差异性过大,以及在行业地位、技术上存在巨大的鸿沟,导致了用户对APP 软件无法实施监控。相关监管毕竟存在监管范围的局限性,这就导致缺乏用户监督构成了最大的监管漏洞。
许多用户并不乐意对APP 软件在过大范围内授权自己的个人信息,但是问题在于,他们对授权程度无法选择,并且一旦拒绝整体性授权,就意味着他们无法继续使用某个APP。此种情况下,如果缺乏其他同类替代品,且替代品执行不一样的个人信息搜集规定,他们往往被迫必须使用某个特定APP,并且接受其个人信息相关规定。实际情况中,许多同类型的APP 往往执行相同的个人信息搜集规则,并未给用户提供多样性选择。这就导致了用户对个人信息的授权看起来有选择权利,实际上并无选择权利。
APP 对个人信息合理使用的约束主要通过法律规定、司法诉讼和监管治理等实现,但是三者在对其发挥规制、约束作用上均还存在一些困难之处。
APP 对个人信息合理使用的约束困境突出体现在“知情—同意”规则运用的局限性上。个人信息收集上应当按照法律法规的规定和双方约定,遵循《网络安全法》第四十一条的规定,满足合法、正当、必要原则,收集信息的类型、目的、方式和内容都应该提前向用户公布说明,只有用户同意,才可以继续收集。[4]但这一规则是否能落入实效,是一个很大的疑问。无论是用户在其中的知情,还是用户在其中的同意,都很难被视为是在真正自由和充分了解下做出的选择。因为例如相关内容非常晦涩难懂、非常专业,用户对此无法理解,隐私政策访问路径个性化设置比较复杂,许多用户为了快速使用APP 往往会勾选通行的规则,即同意APP 对自己个人信息全面搜集。但如此,用户实际上放弃了自己真正的知情和同意权利,这种放弃并非主动,而往往是基于被迫。
APP 对个人信息合理使用的法律约束还体现为必要性内容的不清晰。《信息安全技术—个人信息安全规范》(GB/T 35273-2020)附录A 中,对于个人信息进行了具体类型的列举,规定APP搜集个人信息必须符合其目的,而且仅在必要的情况下搜集。但是由于目前相关列举虽然细致,却没有进一步说明不同APP 允许搜集哪些个人信息,以及如何确保其搜集目的、手段和内容之间符合必要性原则,也即符合比例原则,这就导致了即便APP 过度搜集个人信息,对其不恰当使用,法律上也很难对此具体界定和惩处。
APP 对个人信息是否合理使用,一旦相关情形进入到司法诉讼中,司法诉讼对其如何判定以及惩处,也存在一些困难。这一难点主要是在于,司法诉讼中并不能简单否定APP 对个人信息的任何使用,而必须要探索如何贯彻个人信息合理使用制度下公共利益与私人利益之间的平衡。[5]目前,司法诉讼中的相关困境主要体现为:
1.个人信息合理利用上存在举证困境。作为用户的个体,往往缺乏足够的举证能力,证明APP对个人信息利用上的不合理。相比之下,APP 却可以比较轻易地证明自己对个人信息利用上是“合理”的。这里就存在一种由网络信息技术导致的技术鸿沟,对其进行客观判断的主体,只能是具有同样知识技术背景的客观第三方专家或专业机构。即便是法官也很难凭借个人法律素养和经验进行合理判定。
2.即便APP 对个人信息的利用存在不合理,往往侵权后果上也难以明确。因为APP 不当使用个人信息主要体现为将其给其他机构、程序继续使用导致信息泄露,或者对其进行商业使用,从而变现,但是它给个人带来的侵害后果却是不明确的,往往只有极端案例下,侵害后果才凸显出来,大量其他情况下,侵害后果是隐蔽的、长期的和缓慢的。
3.APP 对个人信息的不当利用属于典型的违法成本低、维权成本高。这导致大量用户如果没有面临极端侵害情况,往往选择息事宁人,而不会主动维权。
在行政监管方面而言,如何能够对APP 搜集个人信息进行有效监管,目前也存在许多困境。监管理念的落后、监管制度的不成熟以及监管效果的不可控性,都是广泛存在的困境。2017 年6 月1日我国《网络安全法》施行以后,对移动APP 进行监管已经成为相关部门的工作重点,例如2017年中央网信办、工信部、公安部和国家标准委等部门都开展了专项工作,打击APP 过度搜集个人信息和保护个人隐私权的现象;2019 年,类似专项活动继续展开,并且还拓展了不同的举报渠道,不断编制新的规范文件,并让专业评估机构介入进行评估等。[6]这些活动虽然表明了行政监管的力度和决心,但是其问题在于,专项行动具有效果上的不可持续性。它没有能够形成长期、持续、稳定的监管效果。这就导致某些整改在整改之初效果良好,但是整改专项行动过去以后,随着时间的推进,整改效果会不断下降,最终APP软件可能又会在个人信息搜集上“故态复萌”。
针对如上APP 对个人信息搜集中存在的问题,以及其法律规制的相关困局,笔者从法律规定、司法诉讼和行政监管三个层面给出如下法律规制建议。
如上所述,“知情—同意”规则和必要性规则对于APP 合理使用个人信息的保证和约束效果越来越差,对此有必要通过规则补强的方式,才能让两项原则继续发挥作用,实现较好效果。
就“知情—同意”规则而言,要保证用户的“同意”是在拥有充分自主权的情况下,自主选择的“同意”,即便用户不同意APP 的搜集和使用个人信息规则,也能使用APP 的基本功能。要确保用户“知情—同意”的自主性,法律需要保证,用户即便不同意APP 的个人信息搜集和使用规则,也能够找到替代功能的APP,或者能够继续使用APP 的部分基本功能。对于前者,已经超出了法律的可能,所以法律应当保证用户在不同意APP 的个人信息搜集和使用规则下,也能够继续使用APP 的部分基本功能。这才是真正的个人信息自决,否则所谓的“同意”会等同于受害人同意“让盗窃变为赠与”的情况。[7]
要确保用户能真正知情和同意,还必须要继续细化APP 收集个人信息的必要性规则,即APP对个人信息收集的程度必须再进一步分级。笔者建议,法律应当出台相关更细的司法解释,将APP对个人信息收集的程度分为“个人信息的必要搜集”“个人信息的全面搜集”和“个人信息的个性化搜集”三类。APP 应当允许用户选择“个人信息的搜集”程度,通过最低限度的个人信息搜集措施,从而应用APP 的最基本功能。一旦用户想用更高级功能,则需要用户进一步重新对某些新的搜集需要进行授权。如果用户想一劳永逸,也可以选择“个人信息的全面搜集”。对于一些有个人偏好的用户,应当允许其对个人信息搜集进行一种个性化设置。
在司法诉讼中,为了更好地达成实质公平,也即更多激励用户维护自己的权利,对APP 信息搜集和利用的合理性形成外部约束,则要重新分配举证义务。用户如果认为APP 信息搜集和利用不够合理,只需要负担最基本的举证义务,从普通公众角度、根据普通公众的能力能提出最基本的证据即可。涉及APP 信息搜集和利用的专业领域,在普通人无法进入的阶段,APP 信息搜集和利用的相关举证将转移到APP 一方,或者由法官来依据职权搜集证据。如此,提高了相关案例的可诉性。
具体而言,APP 一方需要证明的方面包括:对用户“知情—同意”规则形成实质性运用,即双方达成真正合意。此外,还须证明自己搜集用户个人信息的范围、方式和内容是必要的,自己对用户个人信息的利用目的、方式是合理的,自己没有给用户个人信息保护上带来负面影响以及违反相关法律规定。对此,也需要司法实践中出台更细的解释规则,明确APP 一方证明的内容和证明的方式,需要提供何种证据来表明这一点。司法实践中还要继续细化APP 不当、非法搜集、使用用户个人信息情况下的法律责任的承担。从《民法典》角度看,其主要为民事责任,应当既包括财产利益的损失,也包括精神利益损失。[8]此外,《民法典》中所规定的人格权禁令制度也应当进一步运用在这里,形成良好的事前预防机制。
稳定、持续、效果确定的行政监管体系的建立,有助于行政机关对APP 搜集、使用个人信息形成持续的监控和约束,使得其违法成本被有效提高。如此,各类APP 软件不容易出现在“严打”期间谨慎行事,之后就放松的情况。因为APP 开发时间通常不长,更新较快,更迭周期短,这意味着“严打”性、专项式的行政监管在APP 监管上很容易形成一些漏洞。所以,行政监管需要深入到APP 个人信息数据的内部管理上,由此出发构建一套严谨的管控体系。[9]如此,让APP 在设计个人信息数据搜集和利用的底层逻辑上就接受监管,此后每一个环节都符合监管要求。如此,APP 个人信息数据的搜集和使用才能最大程度上被置于有效的行政监管之下,并且形成确定的监管效果。
当下我国各类APP 对个人信息搜集和使用上,仍旧呈现出明显的无序感。这种无序感深刻影响着个人信息数据保护与应用的相关市场,也限制了APP 对个人信息真正有必要的合理利用。对此,需要找到合理利用的边界、方式和内容,加强法律规定、制度建设、司法实践和行政监管各方面的约束,从而使得APP 对个人数据的合理利用真正成为可能。