1. 引言
个人信息保护一直是现代社会广受关注的法律问题之一,民法典也强调了民事主体对个人信息保护应承担的义务。网络时代个人信息保护的最有效原则便是知情同意规则,其在征求app使用者同意的基础上为高效利用信息与尊重个人自由提供了最大程度的平衡。大数据的飞速发展,日常性app的功能不断拓展,使得使用者失去了实质意义上的自由选择权,面对着商家的霸王条款,知情同意规则流于形式。构建一种具体普适性,更高效的知情同意规则势在必行。
2. App使用者知情同意规则适用困境
2.1. 使用者的自愿同意变成强迫同意
Web3.0大数据时代使得小数据时代的同意权愈发虚化,有学者主张以“知情同意”为核心的保护架构既不能为公民的个人信息提供实质性保护,又成为制约数据价值发展的重要因素 [1]。但因保护难度大便放弃此项权利并不合理。
知情同意规则要求在逻辑上首先对App隐私条款充分理解,假设每一个市场经济主体都是理性人,在充分理解条款意思的基础上,做出的同意选择 [2]。但实际上,同意并非自愿进行,而是被迫“接受”。如在苹果手机上下载应用软件,必须同意所有条件。大型互联网公司的App已经渗透到生活中的方方面面,一定程度上成为了生活必需品。人是社会关系的总和,很难让一个在社会生活中的人——App使用者完全按理性自主的方式去考量是否接受App的隐私条款。几乎所有的App在使用前,都会提供给使用者隐私条款,但只有在使用者同意之后才可以注册账号。形式上,App开发者已经充分履行了其信息保护义务。实质上使用者却只能接受开发者的要求才能进行下一步操作,个人信息保护的条款成了非选即走的一纸空文,自愿同意成了强迫同意 [3]。
需要明确。这种形式的同意,在同意了App隐私政策后,不应成为获得服务的前置条件。“同意”不应该是以个人信息换取服务的意思表示,而是运营商自身的义务。运营商的要求却使得用户无法拒绝,一旦拒绝便失去了被服务的机会,同意权流于形式。
2.2. 使用者对App隐私条款无修改权
签署个人信息保护条款,应当是双方自主,自愿,基于意思自治,达成合意的一个过程。从当下隐私条款的提供方式和复杂程度来看,同意行为是一种准法律行为,是否构成意思表示待定。市场上所有的App隐私政策,全部为一个预设好的格式条款,消费者根本没有选择权。App使用者格式条款的确有其益处:
市场化进程加快,交易量激增,商品交易重复进行,格式条款的普遍适用性免去了费时费力的逐一谈判,降低了交易的时间成本,改变了交易习惯,有利于商业活动的规模化发展。但对于个人信息保护条款,其本身由经验丰富的行业专家制订,在充分收集相关数据后,根据利益与风险模型完善责任分配条款,制订者利用格式合同完成了法定程度内对自身利益的最大化争取。加之商业的逐利性,其利用服务提供者的先机,最大程度将自身利益放大,将责任减轻,格式条款成了App运营商的免责条款。
在App中使用格式条款容易出现的主要问题。形式上来看,格式条款往往十分冗长,消费者根本无心查看。且很多运营商直接跳过了使用者查看环节,设置一个同意使用按钮,直接选中同意即可。内容上来看,制订者减轻或免除自身过错,将责任赋予对方,褫夺对方权利。
个人信息的敏感性,多样性使得格式条款无法实现其保护功能。App使用者面对格式条款,无协商过程,实质上已失去对隐私条款的修改权。
2.3. 使用者的撤回同意方式不便捷
《个人信息保护法》第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。而该法条的落实情况却十分一般。
从合同成立程序上看,App用户进入与退出机制不平等,勾选同意条款时点勾即可,瞬间达成;但撤回,撤销授权时程序复杂。App提供的撤回与撤销能力过于单一且霸道,实践中沦为形式。以百度公司的隐私条款为例 [4],其确实提供了撤回的选择,并在接下来停止收集个人信息。但市面上所有的App撤回的方式几乎只有一个:注销账号,这意味着用户无法继续使用App。撤回对隐私政策的同意与撤回对服务合同的承诺,两者不应以一种层面的撤销权去统一看待,必须有所区分。撤回同意的方式不能仅仅是刚性的注销账号,卸载软件,而是更多的趋向于用柔性的方式折中解决,如在撤回后用户失去和这一部分有关的一些功能 [5]。撤回权是用户的自由,却受到诸多限制。
这种极端化的撤回同意方式,相较于维护App使用者权利,更像是一种单方面的威胁。用户面对撤回同意的情景,无其他选项,撤回同意不便捷。
3. App使用者知情同意规则执行难的原因分析
3.1. 法律规定缺乏可操作性
《个人信息保护法》第四条这样定义个人信息:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。法条后半句实质上将匿名化处理后的信息排除出了个人信息保护的范围。国内外相当一部分学者主张将个人信息匿名化处理作为保护与利用的完美兼顾之举 [6],笔者不太赞同,因为此举要求匿名化处理结果的信息是绝对无法被识别于个人的。“去匿名化”技术发展超乎想象,即使将信息匿名化处理,去核心后碎片化切割,飞速发展的大数据,云计算,物联网,依然可以结合一点点的外部辅助信息,定位到个人身上。有学者认为,匿名化处理永远无法超过识别技术的进步,其“优势是永久性的” [7]。直接将匿名化处理后的信息排除出个人信息保护的范畴,容易引发更多深层次的个人信息侵权问题。其价值取向与操作现实性,并非最优选择。
《个人信息保护法》第十六条:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。最后一句的例外情形规定,究竟在何种情况下属于必须呢?相当数量的App要求开启手机定位系统,读取通讯录,否则无法使用App,判断收集的信息与实现的功能之间的必要性联系,法律没有给出明确规定,此举给App运营商留下巨大的操作空间。
《个人信息保护法》在保护个人的信息方面做出尝试已经极尽完善,但法条与现实之间存在的裂隙亦不可忽视。其规定的条文不够详实,但书的存在,往往成为App运营商摆脱限制的借口。
3.2. 使用者与App运营商地位不对等
App运营商在个人信息收集方面的优势远超使用者个人,两者地位不对等。在技术上,运营商自身开发的App算法,底层架构,使得App收集信息的手段,时间完全处于自身掌握中;在隐私政策篇幅上,极尽冗长 [8],关键信息被隐藏,消费者认真阅读每一款App的隐私政策完全不可能;在语义设置上,充满晦涩的专业术语,令人不知所云,如在隐私条款中的MAC,Cookie,Beacon等词语。App使用者完全不理解其含义,对收集信息的类型,方式,可能出现的后果,潜在危险离“知情”相去甚远 [9];在法律以及风险规避意识上,APP运营商拥有专业的法务团队,强大的社会关系。在格式条款的设计上,依靠自身精英团队,设置免责条款,减免义务,规避风险,最大程度地完成对个人信息的收集,利用,共享。2018年~2020年,南山法院判决涉及“深圳市腾讯计算机系统有限公司”(下称腾讯)的案件共478起,其中胜诉430起,败诉26起,法院未公布判决书正文,无法判断结果的22起。根据已公开的案件,腾讯胜诉率为94.3%,其中腾讯作为原告的胜诉率为100% (共41起),作为被告胜诉389起(共415起),胜诉率93.73%。App使用者如何与强大的企业对抗呢?
以数量来计算,每一位消费者使用或接触的App,网络平台,可能不止几百个。几百款隐私政策,平均每一款一万字,需要多少精力,时间,知情的成本越发高昂,加之商家巧妙的“隐藏”起隐私政策,代替以一个勾选即同意的按钮。知情权完全成了空中楼阁。
3.3. 使用者无替代选择路径
虽然国家持续推进反垄断监管,但大公司依靠先进技术,宣传,使其产品逐渐成为生活必需品,构成实质性垄断是不争的事实,消费者无法拒绝 [10]。在通讯,支付,导航等生活各领域,相对应的App已经成为必不可少的工具。以社交软件为例,若个人消费者不同意部分微信隐私政策,拒绝使用,其完全找不到代替品。因为中国社会中青壮年的主流通讯软件只有微信,拒绝即等于放弃工作,生活中的网络社交。App使用者面临这样的尴尬地位:无论是否接受隐私政策,为了融入社会,正常生活,都必须“自愿同意”。
市场经济自由竞争的环境下,App巨头垄断市场的手段往往通过柔性手段实现,一方面利用充足资金和数据,改善服务,加大宣传;另一方面,小企业只能选择加入并合作,否则将失去生存的机会。日常生活中,几款常用App已经彻底成为了生活一部分,使用者同意其个人信息收集政策与否完全无需运营商在意。
一旦App使用者无他选择时,合同成立以收集使用者个人信息为必要条件,无可避免。
3.4. 个人信息对运营商的巨大商业价值
哈耶克在《知识在社会中的利用》一文中提到:“合理的经济秩序应该具备的一个独特的性质是,我们所必须利用的关于各种具体情况的知识,从未以集中的或完整的形式存在,而只是以不全面而且时常矛盾的形式为各自独立的个人所掌握。”商业竞争很大程度是信息差的竞争。经济的运转离不开信息,大数据时代不妨把信息称作数据。
一切经济活动的开展目的只有一个:利润最大化。连接供给与需求之间,最紧密而高效的工具便是消费者的个人信息。拥有有效的个人信息本质上代表商家对需求的把握,一旦掌握了个人信息,以大数据,云计算等技术辅佐,可以精准的算出消费者的年龄,性别,民族,消费习惯,收入区间,日常偏好。以收集的数据为基础,针对个人精准投放不同的产品。一个现实的人,被数据解析,重建成为一个“消费模型”,阿里曾坦言要做到“比消费者还了解消费者”。个人信息是运营商制定企业战略,投放广告,把握行业变化,抢占市场份额最高效且最低成本的工具。
个人信息的经济价值、潜力还未被挖掘殆尽,因此在实践中,App使用者的知情同意权才会遇到诸多阻碍,阻碍本质上是消费者权益与运营商利用信息之间博弈的结果。
4. App使用者知情同意规则实施建议
4.1. 法律规则应对使用者倾斜保护
鉴于App运营商和使用者之间不对等的地位,以及当下消费者对个人信息被收集的潜在威胁了解有限,法律规则应当对使用者适当倾斜。
尽管《个人信息保护法》的规定比较系统,但面对复杂多变的形势,缺乏细节规定,容易被运营商找出漏洞并利用。通过出台相应的实施细则,明确使用者在不同意App隐私条款下,不得影响使用者对App的正常使用。根据App的本身提供的服务内容,来判断哪些信息采集是必要的,哪些是非必要的,针对非必要部分的反对,不能成为拒绝提供服务的借口。当下非选走即走的模式,必须被实施细则有效规制。
再如允许使用者对隐私条款部分内容进行修改,App运营者必须提供多样化,个性化的隐私条款,而非全部使用对己方有利的格式条款。杜绝一刀切地设置一个链接,其中包含了数种允许其收集各类信息的约定,以及轻易的利用免责条款免除自身法律责任。《民法典》第四百九十六条第二款规定 采用格式条款订立合同的,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提示对方注意免除或者减轻其责任等与对方有重大利害关系的条款,按照对方的要求,对该条款予以说明。《个人信息保护法》实施细则可与上述法条结合,细化对格式条款的设置,规定运营商必须提供简洁,细致,一般学识水平大众能领会的解释。还App使用者实质知情权。
4.2. 加大对App的执法处罚力度
个人信息本质上是典型的半公地财产,不仅混合了共有和私有财产属性,而且二者同等重要,相互影响 [11]。但学者们对App非法收集个人信息的研究思路集中于私法领域,以侵权责任,违约责任进行解决,鲜有强调公权力介入。个人信息的社会属性不容忽视,公权力机关适度介入是有必要的,加大App违法收集个人信息处罚力度是一条有效重构保护之路径。
首先主管机关要加大抽查力度,对App超范围收集个人信息进行处罚。抽查方式以定期抽查为主,突击检查为辅。检查要运用最新的技术进行,重点是运营商服务器中存储的信息。目前对运营商违法收集个人信息的行政处罚的法条是《网络安全法》第六十四条:网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。该条惩罚力度对于中小企业适宜,但对于几百亿体量的互联网巨头,一百万的罚款显然不如收集足量个人信息的收益高,在利益的驱动下,运营商大概率会铤而走险;其次对直接责任人罚款上限为十万,对来说,惩罚力度并不足以震慑企业高管。综合考量,建议将对公司的罚款上限设置为三百万,对直接责任人的上限设置为三十万。
4.3. 将App运营商纳入信用管理
引入信用管理机制,对违规收集个人信息的App运营商实施信用惩戒。App运营商信用管理机制不仅是响应多元化社会治理的举措,更是以低成本高效率保护App使用者知情同意权的有效举措。
具体将信用等级分类三类,第一类良好,第二类一般,第三类不良。针对信用良好的运营商,允许其在法律范围内合理使用收集的信息,充分挖掘信息的经济,社会价值。同时鼓励行业同仁学习其保护用户个人信息的办法;针对信用一般的运营商,应加大检查力度,持续跟进其违规收集个人信息案件的改进情况,限制其与第三方分享数据;针对信用不良的运营商,责令整改之后,在其App界面加入明显的信用不良标识,提醒使用者谨慎选择。同时将其服务器完全开放给监管部门,以接受任何时间进行的检查。
5. 结语
知情同意规则出现适用困境的原因并非是其价值追求与内在逻辑的问题,而是飞速发展的社会现实与理论之间的不协调导致的。我们不得不承认信息的利用与知情同意权的保护存在一定的冲突,但绝不能因此而放弃。知情同意规则出现问题是结构性不适应,同时与互联网平台的潜在性垄断也不无关系。尽管《个人信息保护法》较为全面地回应了个人信息保护问题,但无论是监管方式,处罚力度,其规定还是有可待细化之处。完善知情同意规则的路径还有待探索,利用行业协会进行自律性监督,将部分监管权下放协会,进行数据管理;加强对域外立法经验的学习等等都是可采取的措施。