一、问题的提出:隐私政策的“知情同意困境”
“隐私政策”是网络服务者说明个人信息收集、使用、共享和保护的具体方式的一系列条款。1隐私政策不仅是网络服务者履行关于信息处理的告知义务的规范载体,还是信息主体同意信息处理行为时的对象。无论是告知行为,还是同意行为,均属于知情同意规则的调整对象。知情同意规则又称告知同意规则,2是关于个人信息处理的一项基本规则,3它要求信息处理行为应当经过信息主体在充分知情的前提下的同意。42021年,第十三届全国人民代表大会常务委员会第三十次会议审议通过的《中华人民共和国个人信息保护法》(以下简称《个保法》)第14条明确规定了个人信息处理中的知情同意规则。
知情同意规则体现了信息主体在个人信息处理中的主导地位,尊重和保障了信息主体的信息自决权。5然而,知情同意规则在适用于隐私政策时面临着诸多困境。美国学者丹尼尔将知情同意规则的适用困境概括为四个层面:“(1)不阅读隐私政策;(2)阅读但不理解隐私政策;(3)阅读并理解隐私政策但缺乏足够的知识作出明智的选择;(4)阅读、理解并能够作出明智选择,但这种选择可能会因各种因素而被扭曲。”6国内学者也普遍认为知情同意规则的适用存在困境,只不过他们对导致困境的原因(以下简称致困原因)的理解不同:有学者将致困原因总结为结构性问题、认知问题和内在悖论三个方面;7有学者从授权机制与免责/问责机制两个维度对致困原因予以论证;8还有学者将致困原因归结为信息不对称、非理性决策和多环节的数据流通;9也有学者总结出了以告知义务为重心的规则设计缺陷和全有全无的同意模式缺陷两个致困原因。10
在个人信息处理规模化的背景下,隐私政策成为网络服务者获取个人信息处理权限的主要方式,隐私政策的“知情同意困境”成为个人信息保护的一大难题。本文将首先分析隐私政策“知情同意困境”的既有解决方案及其缺陷。其次,本文试图剖析隐私政策“知情同意困境”的理论根源。再次,本文将分析运用格式条款规则解决隐私政策“知情同意困境”的理论基础。最后,本文将阐述运用格式条款规则规制隐私政策的具体方案。
二、隐私政策“知情同意困境”的既有解决方案及其缺陷
面对知情同意规则的适用困境,不同的学者提出了不同的方案:有学者提出对于不同类型的个人信息分别适用不同的同意规则的方案;有学者提出对于不同的信息处理行为分别适用不同的同意规则的方案;有学者提出适用动态同意规则的方案。上述方案虽然各有可取之处,但是均存在一定的缺陷,无法有效化解隐私政策的“知情同意困境”。
(一)信息区分说及其缺陷
支持信息区分说的学者主张将个人信息区分为敏感信息与一般信息,并且认为针对前者应当适用明示同意规则,针对后者应当适用默示同意规则。《个保法》第29条规定了,处理敏感信息应当采取单独同意或者书面同意的方式。学者们也主张,针对敏感信息的同意应当是肯定的、明确的同意,11针对敏感信息的同意应当以积极、主动的方式作出,12针对敏感信息的同意应当是单独的、特定的同意,而非一揽子概括同意。13信息区分说虽然具有一定的理论价值,但是也存在一定的缺陷:
一方面,信息区分说倡导的区分同意的方案不如区分告知的方案更优。告知、知情与同意之间存在着因果递进关系,充分告知是有效知情乃至有效同意的前提。14若告知不充分,即使法律针对敏感信息采用单独同意的规制模式,同意也是徒有其表的。因此,《个保法》第30条规定了针对敏感信息的特殊告知义务,旨在从告知角度加强对敏感信息的保护。在实践中,隐私政策通常对敏感信息予以特别提示。从法律保护成本看,区分告知的方案比区分同意的方案成本更低。区分同意的方案需要设定单独同意模式,这要求网络服务者针对每项敏感信息单独设置同意模块。这会产生两个效果:一是网络服务者的服务成本显著提高;二是用户面对频繁出现的同意请求不胜其烦,难以作出始终如一的理性决策。区分告知的方案则可以将不同项的告知集中于同一隐私政策中,同时降低了网络服务者和用户的成本。
另一方面,敏感信息具有不确定性,难以为信息主体提供确定的指引。无论是穷尽列举模式,还是场景识别模式,都难以界定敏感信息的范围。概念加列举模式虽然可以兼顾灵活性与可预测性,但是该模式只是将问题还原到了对敏感性概念的判断之上。15因为信息主体对敏感信息的判断会受到外部因素和内在认知的影响,所以对敏感信息的界定缺乏确定性。16在国家层面,各国对于敏感信息的认定也存在较大的分歧。17有学者指出,对敏感信息的判断主要是价值判断,缺乏明确的衡量依据。18此外,信息具有聚合效应。这意味着某些信息本身不是敏感信息,而多个非敏感信息聚合之后却可能形成敏感信息。19总之,敏感信息的不确定性与区分同意的方案的缺陷都表明,信息区分说不足以纾解隐私政策的“知情同意困境”。
(二)行为区分说及其缺陷
支持行为区分说的学者主张,将个人信息处理行为区分为触及人格尊严、影响人格自由发展的个人信息处理行为和与人格尊严、自由发展无涉的个人信息处理行为,20并且针对这两种行为分别适用明示同意与默示同意的规则。行为区分说指出了信息区分说的缺陷,试图通过区分行为类别,为同意规则的区分适用提供确定的标准。然而,这一进路存在难以克服的缺陷:
第一,行为区分说毋宁是判断“是否需要获得用户同意”的标准,而非判断“不同的同意方式”的标准。在信息社会中,对个人信息的处理是一种常见行为,并非所有处理个人信息的行为都应当受到《个保法》的干预。需要法律干预的个人信息处理行为应当是那些给个人尊严和自由带来威胁的行为。21主张行为区分说的学者承认,知情同意规则的价值基础是人格尊严与人格自由发展。22因此,个人信息处理行为是否触及人格尊严和影响人格自由发展,决定了该行为是否应当受到《个保法》的干预,以及是否应当针对该行为适用知情同意规则。个人信息处理行为若触及人格尊严和影响人格自由发展,则必须获得信息主体的同意或具备其他合法情形;个人信息处理行为若不触及人格尊严也不影响人格自由发展,则无需获得信息主体的同意。因此,行为区分说主张的“是否触及人格尊严和影响人格自由发展”的标准与其说是区分同意强度的标准,毋宁说是关于是否适用知情同意规则的标准。
第二,行为区分说在方法上仍然脱离不了信息区分说的窠臼。行为区分说适用的关键在于区分个人信息处理行为。根据《个保法》第4条的规定,个人信息处理行为包括对个人信息的收集、存储、使用、加工、传输、提供、公开等行为。有学者将上述行为概括为收集、控制、分享、分析和应用五类行为。23在实践中,隐私政策一般涉及收集、共享、转让、公开和保存等行为。上述行为可以被分为两类:一类是不改变信息内容的行为,包括对信息的收集、控制、共享、传输、公开和存储等行为;另一类是基于个人信息生成、衍生信息的行为,包括对信息的加工、分析和应用等行为。前一类行为之所以可能触及人格尊严和影响人格自由发展,并不是因为其方式可能存在问题,而是因为这类行为所涉信息内容与人格尊严、自由发展的关联度较高。后一类行为之所以可能触及人格尊严和影响人格自由发展,是因为信息聚合效应使得原本不敏感的信息聚合之后形成敏感信息。敏感信息与人格尊严密切相关。24行为区分说难以摆脱信息区分说窠臼的根源在于,两者都是以“人格尊严受影响程度”为实质区分标准的方案。对信息区分说缺陷的批评同样适用于行为区分说。
(三)动态同意说及其缺陷
支持动态同意说的学者主张,将告知行为与同意行为技术化为一个持续、动态、开放的过程,为信息主体设置随时加入或退出的机制,赋予信息主体个性化地设定个人信息处理范围和方式的权利。25相比于信息区分说和行为区分说,动态同意说突破了既有的静态同意模式的局限,强调了对告知与同意的动态调整,值得肯定。然而,动态同意说仍然存在一定的缺陷:
第一,动态同意说下的随时退出机制的本质是赋予信息主体撤回其同意的权利,并非对同意规则的创新。信息主体在其信息被收集的初始阶段往往对于信息处理的后果缺乏清晰的认识,因此有必要赋予信息主体撤回其同意的权利。26《个保法》第15条明确规定了信息主体撤回其同意的权利。即使在静态同意模式下,信息主体依据《个保法》第15条也享有退出的权利。动态同意说下的随时加入与随时退出的机制无非是信息主体同意与撤回同意的权利反复行使的结果,并不是对同意规则本身的创新。
第二,动态同意说本身也存在一定局限性。一方面,在动态同意说之下,网络服务者所获取的处理个人信息的权限可能随时消灭,这种不确定性制约了个人信息利用的效率。27另一方面,动态同意说虽然主张信息主体可以选择个性化的偏好设置,但是对如何实现这种设置却付之阙如。28隐私政策的特点是针对不特定的海量用户设定统一的个人信息处理模式,其目的在于降低与用户协商并获取同意的成本。29这是个人信息处理规模化的必然结果。动态同意说尚未对如何改造隐私政策这一问题作出有效的回应。总之,动态同意说同样存在着难以克服的缺陷。
三、隐私政策“知情同意困境”的理论反思
无论是信息区分说、行为区分说还是动态同意说,针对隐私政策“知情同意困境”的既有解决方案均存在难以克服的缺陷。通过深入反思既有理论可知,作为知情同意规则理论基础的“理性人假设”和“个人信息自我控制理论”与隐私政策的场景并不适配。
(一)理性人假设的前提预设脱离隐私政策场景
理性人假设是经济学的三大假设之一,30也被称为经济人假设。31理性人假设最早可以被追溯到亚当·斯密的相关论述。32理性人假设对主体提出了完全理性、完全意志力和完全自利三项假设。33以《法国民法典》为代表的近代民法根据理性人假设将民事主体描绘为抽象理性人。34理性人假设认为,民事主体是“强而智”的人,是具有充分的理性和意志的、能够自主决定自己命运的人。因此,民法的适用在原则上不考虑不同的主体之间在知识、社会和经济方面的力量差异。35
个人信息处理中的知情同意规则也建立在理性人假设的基础之上。36知情同意规则假设每个信息主体都具备独立、理性地管理个人信息的能力,认为每个信息主体都能理性地分析个人信息处理行为对其自身的影响(风险和收益),进而作出是否同意个人信息被处理的理性决策。37然而,信息主体并非“强而智”的完全理性人:
第一,信息主体通常不阅读隐私政策的行为决策与理性人假设相悖。
根据理性人假设,主体为了理性决策、实现自身利益最大化,会尽可能掌握完全信息。38如果理性人假设成立,信息主体就会充分阅读隐私政策,评估隐私政策对个人信息的影响,进而作出是否同意隐私政策的理性决策;39然而,现实情况是,绝大多数用户并不会仔细阅读隐私政策。武汉大学某调研组于2021年对1036人进行访谈的结果显示,77.8%的受访者在安装软件时“很少或从未”阅读过隐私协议。40国外学者针对网站隐私政策的一项调查表明,经常阅读隐私政策的用户比例仅为4.5%。41
第二,信息主体的行为偏差与理性人假设不符。
国内外相关研究表明,信息主体的行为与态度之间存在着明显的偏差:他们在态度上非常重视个人信息,但在行为上却表现为“只考虑眼前利益,忽视长期风险”,“为了蝇头小利而随意提供个人信息”。42行为偏差意味着,信息主体经常以非理性的方式作出那些没有最大化他们的私利的决策,这与理性人假设中的完全理性、最大化个人利益的假设不符。信息主体的行为偏差表明,信息主体同意隐私政策的决定可能仅仅是基于网络服务所带来的眼前利益,而非基于对隐私政策的具体内容的赞同而作出的。
第三,信息主体的乐观主义态度与理性人假设不符。
信息主体对隐私政策抱持着乐观主义的态度,其原因可能是信息主体缺乏经验、存在认知偏差、对隐私政策存在误解,也可能是信息主体盲目信任网络服务者。图罗的一项调查显示,75%的人错误地认为,一个网站有隐私政策就意味着该网站不会与其他网站共享个人信息。43马林的一项研究显示,多数受访者高估了隐私政策在保护消费者数据方面的作用。44 2018年,中国消费者协会的一项问卷调查显示,22.2%的受访者不阅读隐私政策是出于对网络服务者的信任。45信息主体对隐私政策的乐观主义态度使得他们不会认真权衡同意隐私政策的利益与风险,进而不加考虑地同意隐私政策。
总之,知情同意规则建立在理性人假设的基础之上,但事实表明,信息主体并不是完全理性、完全意志和完全自利的理性人。信息主体往往不阅读隐私政策、随意授权信息处理权限、盲目信赖隐私政策,进而引致了隐私政策的“知情同意困境”。可见,解决隐私政策“知情同意困境”的出路在于修正理性人假设的理论前提,站在倾斜保护弱者的立场上反思知情同意的规范模式。
(二)个人信息自我控制理论难以应用于隐私政策场景
知情同意规则源于个人信息自我控制理论。46该理论具有两个不同的来源:一是个人信息自决权,该权利确立于1984年德国联邦宪法法院审理的“人口普查案”,它构成了欧盟个人信息保护立法的重要基础;47二是隐私自我管理理论,该理论源于美国卫生、教育和福利部在1973年发布的名为“公平信息实践原则”的报告。48无论是个人信息自决权还是隐私自我管理理论,其核心观点都强调信息主体对个人信息的自我控制。
根据个人信息自我控制理论,信息主体享有以下自由:其一,是否允许其个人信息被处理的自由;其二,选择信息处理者的自由;其三,决定信息处理者获取、处理其个人信息的范围和方式的自由。然而,在当前的隐私政策模式下,信息主体无权自主选择个人信息处理的范围和方式,只能选择是否全盘同意网络服务者的个人信息处理方案。49这就带来了一系列的问题:
第一,信息主体缺乏选择空间导致个人信息自我控制流于形式。
隐私政策作为网络服务者单方拟定的条款,具有不可协商性。此时,个人信息自我控制仅仅表现为关于“同意或者拒绝”全部隐私条款的选择权。在现实中,几乎所有的应用程序都以“阅读并同意隐私政策”作为使用的前提。信息主体要想获得网络服务,除了同意之外别无选择。50问题在于,许多应用程序已经成为人们工作或生活的必备工具,不使用它们将影响个人正常的工作或生活。51另一些应用程序之间虽有可替代性,但它们的隐私政策大同小异,信息主体的选择对其个人信息被处理的程度影响不大。
第二,隐私政策的涉他性超出了个人信息自我控制的范围。
隐私政策中常见的一种涉他条款是规定网络服务者将用户的个人信息共享给关联方的条款。例如,《腾讯隐私保护指引》第1.9条规定:“为了让你的推荐得到更多展示,在你使用看一看的推荐功能时(如点击‘在看’),我们可能向腾讯集团的其他app提供你的推荐记录……”该条款表明,微信在某些情况下可能将用户个人信息分享给腾讯集团的其他应用程序,用户无论同意与否,都不足以控制此种分享行为。隐私政策中另一种常见的涉他条款是授权第三方条款。例如,根据《百度地图隐私政策》第3条第4款的规定,百度可能将用户个人信息共享给软件服务提供商、智能设备提供商、系统服务提供商、小程序服务提供方、生活服务平台以及服务提供商等第三方。大量的涉他条款导致用户的个人信息不仅被特定网络服务者所获取,还可能被数量不明的第三方合法获取。隐私政策的涉他性最终会导致个人信息自我控制的“失效”。
从更深的层次看,个人信息自我控制理论其实是“私法自治”理念在个人信息领域的具体表达。个人信息自我控制理论难以应用于隐私政策场景的事实表明,私法自治有其适用的限度。在隐私政策模式下,网络服务者利用其在信息获取和谈判中的优势地位,单方制定了利己的规则,信息主体只能选择“全部同意或拒绝”,这在一定程度上构成了对信息主体的“强制”,动摇了私法自治的根基。52如果完全按照隐私政策调整网络服务者与信息主体之间的关系,那么,此种“私法自治”理念就会变成网络服务者侵害信息主体权益的工具。
四、运用格式条款规则解决隐私政策“知情同意困境”的理论基础
作为知情同意规则的理论基础的“理性人假设”与“个人信息自我控制理论”在理论上所共享的价值是“私法自治”。私法自治得以有效运行的前提是私人之间处于平等的地位。53前文的分析表明,信息主体只能全盘接受或者全盘拒绝隐私政策,其相对于网络服务者处于明显的弱势地位。如果说《个保法》所规定的知情同意规则贯彻了“私法自治”的原则,那么,矫正这种“私法自治”的任务可能将落在《中华人民共和国民法典》(以下简称《民法典》)的格式条款规则上。
(一)隐私政策的法律性质是格式条款
隐私政策的格式条款属性是我们运用格式条款规则规制隐私政策的前提。关于隐私政策的法律性质,理论上存在着企业自律说与合同说两种观点。比较而言,合同说更具有说服力。本文认为,隐私政策不仅属于合同,而且是网络服务者单方拟定的格式条款。
1.关于隐私政策法律性质的两种学说:企业自律说与合同说
持企业自律说的学者认为,隐私政策是网络服务者的自律准则。隐私政策制度起源于美国,企业自主设立隐私政策的直接原因是相关立法的缺失,其主要目的是以透明度吸引更多的用户,同时落实相关监管要求。54从比较法上看,欧盟与美国都将隐私政策视为企业自律的重要手段。55从隐私政策的内容上看,隐私政策往往表现为宽泛的声明,不足以构成合同条款。56
持合同说的学者认为,隐私政策是在网络服务者与用户之间设定的合同。斯科特教授认为,“毫不夸张地说,隐私政策是一项要约,其内容是邀请用户接受以特定的方式处理信息,并且通过使用网站或提交信息的方式证明。网站的承诺、用户对网站的使用以及个人信息的提交都足以作为支持合同义务的考虑因素”。57另有观点认为,“合同法应该在隐私政策的执行中发挥作用,特别是考虑到有些条款包含向用户保证隐私政策将对其具有约束力的语句”。58我国也有学者认为,对网络服务的提供以用户同意隐私政策为前提,因此,隐私政策属于合同。59
2.隐私政策属于格式条款的理由
隐私政策虽然在客观上可能起到企业自律准则的作用,但是其本质是合同,并且是网络服务者单方制定的格式条款。60具体理由如下:
第一,隐私政策是网络服务者与用户之间订立的合同。隐私政策是网络服务者向不特定的用户发出的处理其个人信息的要约,其满足要约的“内容具体明确”和“受拘束的意思表示”两个构成要件。用户点击同意或者使用网络服务者提供的服务的行为则构成承诺。用户的承诺使得双方之间的合同成立。企业自律准则与合同的根本区别在于:企业自律准则强调的是企业对自身行为的管理和控制,是内部行为准则,不需要获取他人的同意即可成立,而合同的成立则需要受要约人对要约的同意。隐私政策若仅为企业自律准则,就不需要用户的同意。
第二,隐私政策在网络服务者与用户之间构建了民事权利义务关系。根据隐私政策,网络服务者享有的主要权利是根据合同约定获取、处理用户特定个人信息,网络服务者负担的主要义务是依照合同约定和法律规定的范围、目的、方式处理个人信息。用户享有的权利是要求网络服务者依照合同约定和法律规定处理其个人信息,用户负担的义务是依照合同约定提供其个人信息。61隐私政策的核心内容是用户授权网络服务者处理其个人信息。正是基于用户授权的特点,《个保法》规定了信息主体享有撤回同意的权利。在司法实践中,多数法院将隐私政策认定为网络服务者与用户之间的合同。62
第三,隐私政策是网络服务者为了重复使用而预先拟定的且未与用户协商的条款,符合格式条款的不可协商性、重复使用性和附从性三个特征。格式条款的本质特征是不可协商性。63网络服务的用户对于服务者提供的隐私政策缺乏选择空间,只有完全同意或者拒绝两种选项,这符合格式条款不可协商性的特征。网络服务者制定隐私政策是为了重复使用隐私政策,避免与不特定用户作个别协商,这符合格式条款重复使用性的特征。在围绕隐私政策的博弈中,网络服务者往往处于优势地位,其对于隐私政策相关条款的设定具有明显的优势,而用户处于弱势地位,只能对全部条款概括接受,这符合格式条款附从性的特征。
(二)“有限理性人”视角下限制私法自治的正当性
“有限理性人”是行为经济学的基本理论假定,是行为经济学研究者在批判古典经济学的“理性人假设”的基础之上提出的概念。所谓“有限理性人”,就是有限理性、有限意志和有限自利的人。64有限理性是指人的行为并不总是理性的,甚至在大多数时候都是非理性的。人的理性判断受到可获得性启发、过度乐观、沉没成本谬误、损失厌恶和框架效应等多种效应的限制。65有限意志是指人受到习惯、传统、嗜好、欲望、多重自我等因素影响,明知最优选择而坚持其他选择。66有限自利是指人的行为有时不是受将自身利益最大化这一目标的驱动,而是受到公平等其他价值的驱动。67现实中的人很少会像理性的效用最大化者那样行事;相反,他们依赖于一系列启发和偏见,以可预测的非理性的方式塑造他们的决定。68“有限理性人”的理论假设构成了现代民法限制私法自治的理论基础。
1.“有限理性人”理论对消费者的“私法自治”的限制
相关研究表明,消费者是“有限理性人”:第一,“他们总是冲动行为,比起长期的满足感,更喜欢短期的回报”;69第二,“他们选择稳定而不是改变,即使改变可能对他们有利”;70第三,“他们经常会在自己想要的东西和喜欢的东西之间产生分歧,甚至在反复接触之后也是如此”。71基于消费者“有限理性人”的特点,《民法典》第128条强调了对消费者的特别保护,《民法典》第494条、第622条到第624条等条文也都体现了倾斜保护消费者的立场。
2.“有限理性人”理论是运用格式条款规则限制私法自治的理论基础
格式条款是现代经济发展的产物。它一方面节约了交易成本、提高了缔约效率,另一方面也背离了私法自治,成为强势主体压榨弱势主体的工具。72格式条款接受方通常存在下列“非理性”的行为:(1)不阅读格式条款;73(2)忽视责任豁免条款、救济选择条款等重要条款;74(3)缺乏对长远风险条款的评估能力。基于格式条款接受方“有限理性人”的特点,《民法典》第496条到第498条规定了格式条款的订入规则、效力规则和解释规则,通过对格式条款接受方的倾斜保护来平衡双方利益。75
五、运用格式条款规则规制隐私政策的具体方案
既然隐私政策在法律性质上属于格式条款,运用格式条款规则规制隐私政策的方案也具备“有限理性人”这一理论支撑,那么运用格式条款规则规制隐私政策的方案就具有可行性。《民法典》中的格式条款规则包括订入规则、效力规则和解释规则,下文将分别从这三项规则出发,讨论隐私政策的格式条款规制方案,以破解隐私政策的“知情同意困境”。
(一)运用格式条款订入规则限缩同意的范围
《民法典》第496条规定了格式条款的订入规则。通过运用格式条款订入规则限缩用户同意范围的具体路径是,将网络服务者未履行提示或者说明义务的重大利害关系条款排除在合意之外,使得网络服务者丧失关于相关处理行为的合法性依据。运用格式条款订入规则规制隐私政策的关键是,界定“重大利害关系条款”与“提示或者说明义务”。
1.关于隐私政策中的重大利害关系条款的界定
“重大利害关系条款”是一个不确定的概念,《民法典》相关释义将其界定为规定免除(减轻)提供方责任、加重对方责任、限制(排除)对方主要权利等内容的条款。76此种界定描述了重大利害关系条款的表象,但未揭示其本质。有学者敏锐地指出,重大利害关系条款是指背离了法律规定的条款。77通过参考《个保法》的相关规定,梳理网络服务者制定的隐私政策,笔者主张从四个维度界定重大利害关系条款。一是区分涉他条款与普通条款:前者涉及第三方的信息处理行为,属于重大利害关系条款;后者则需要进一步分析。二是区分信息加工条款与信息收集条款:前者因为涉及对个人信息的深度处理,可能产生主体不可欲的结果,如“大数据杀熟”,所以属于重大利害关系条款;后者则需要进一步分析。三是区分必要信息收集条款与非必要信息收集条款:前者涉及提供网络服务必须获取的信息,一般不属于重大利害关系条款;后者则一般属于重大利害关系条款。四是区分可单独识别信息的处理条款与须结合其他信息才能识别出特定自然人的信息的处理条款:通过可单独识别信息可识别出特定自然人,与处理这些信息相关的隐私政策条款一般属于重大利害关系条款;对于需要结合其他信息才能被用来识别出特定自然人的信息来说,相关的隐私政策条款一般不属于重大利害关系条款。
2.关于网络服务者的提示或者说明义务
网络服务者履行提示义务的主要方式是将重大利害关系条款文本加粗、加下划线,从而将其突出显示。在理论上,未履行提示义务的情形包括两类:一是在隐私政策中未对相关条款文本进行显著标识;二是在隐私政策中过度使用显著标识。78例如,有法官认为,黑体标示条款明显多于非黑体字条款的情况,不能起到提请消费者合理注意的作用。79在司法实践中,法官认为相关隐私政策提供方未履行提示义务的情形主要包括:(1)在使用App时无需点击或者勾选隐私政策;80(2)未以明显方式提示“已阅读并同意隐私政策”模块;81(3)系统默认勾选“我已经阅读并同意隐私政策”。82影响网络服务者履行提示义务的因素还包括履行提示义务的时机。因为网络服务者仅在用户首次接受服务时提示用户阅读隐私政策,而在后续处理信息时未予以一定程度的提示,所以用户难以对信息处理的实际效果产生清醒的认识。可见,在网络服务者履行提示义务的时机方面,仍有改进的空间。网络服务者的说明义务的发生以用户要求为前提,网络服务者可以通过隐私政策中设置的专门邮箱或电话回复用户的相关疑问,以履行说明义务。
(二)运用格式条款效力规则排除隐私政策的无效条款
《民法典》第497条规定了格式条款的无效规则。在隐私政策中,网络服务者为了实现自身利益最大化,会利用隐私政策需要得到一揽子同意的特点,制定“损人利己”的条款,使用户作出不利己的“同意”。运用格式条款效力规则排除隐私政策的无效条款,有利于还原用户的真实意思。
第一,借鉴德国法上的黑名单、灰名单制度,明确隐私政策的绝对无效条款和相对无效条款。83《德国民法典》第308条和第309条分别列举了8种价值判断性禁止条款和13种非价值判断性禁止条款,前者就是所谓灰名单,后者就是所谓黑名单。84在德国法上,对于落入黑名单范围内的格式条款,该条款绝对无效;对于落入灰名单范围内的格式条款,关于该条款是否无效的问题,法院要结合其他因素判断。85隐私政策中的黑名单、灰名单可以参照《App违法违规收集使用个人信息行为认定办法》(以下简称《认定办法》)等专门性规范文件来确定。例如,《认定办法》规定了六类违法违规行为:(1)未公开收集使用规则;(2)未明示收集使用个人信息的目的、方式和范围;(3)未经用户同意收集使用个人信息;(4)违反必要原则,收集与其提供的服务无关的个人信息;(5)未经同意向他人提供个人信息;(6)未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息。隐私政策涉及第(3)类与第(5)类行为的相关条款应被纳入黑名单,相关条款绝对无效。例如,关于个人信息可以不经用户同意共享给关联公司的条款和关于以提供更好服务为名义不经用户同意将个人信息共享给第三方的条款都应当是绝对无效的。隐私政策涉及第(4)类行为的相关条款也应落入黑名单的范围内,相关条款绝对无效。例如,向用户过度索取信息的条款应当是绝对无效的。隐私政策涉及《认定办法》规定的其他行为的相关条款应落入灰名单的范围内,相关条款相对无效。
第二,运用诚实信用原则判断隐私政策条款的效力。黑名单、灰名单制度不能穷尽所有的关于隐私政策条款无效的情形,86因此,判断隐私政策条款的效力还需要法律原则的指引。在比较法上,判断格式条款效力的一个重要的标准是诚实信用原则。87《民法典》第497条规定的格式条款独有的关于无效事由的核心判断标准是当事人之间的权利义务失衡,这一情形本质上违反了诚实信用原则。88对于隐私政策条款效力的判断也可以借助诚实信用原则作出。例如,《携程隐私政策》授权携程及其关联公司、业务合作伙伴共享用户的注册信息、交易与支付数据,并允许携程及其关联公司、业务合作伙伴对用户信息进行数据分析和进一步商业利用。法院认为,这是“无限加重用户个人信息使用风险”的条款,89违反了诚实信用原则。
(三)运用格式条款解释规则对隐私政策争议条款进行解释
《民法典》第498条规定了格式条款解释规则。当合同各方当事人对格式条款的理解产生争议时,确定格式条款的含义也是平衡格式条款当事人利益的重要路径。在运用格式条款解释规则解释隐私政策争议条款时,应当遵循以下两项规则:
其一,隐私政策的解释应当遵循通常解释优先于不利解释的规则。根据《民法典》第498条的规定,格式条款的解释存在着通常解释、不利解释两种解释方法。如果从“一般人”角度看格式条款不存在歧义,则法官应按通常理解予以解释。如果从“一般人”角度看格式条款存在歧义,则法官在解释时应适用不利解释规则。90在司法实践中,法官或认为格式条款并不存在实质性歧义,91或认为格式条款不存在两种以上的解释,在这两种情况下,均不适用不利解释规则。92具体到隐私政策方面,有关个人信息处理的专业术语条款通常具有固定的含义,一般不会引起歧义,因此不适用不利解释规则。用户如果不理解相关专业术语的含义,可以请求网络服务者履行说明义务。
其二,隐私政策不利解释的本质在于平衡网络服务者与用户之间的利益。基于格式条款提供方的信息优势和缔约地位优势,格式条款天然地具有利益偏向性。93有学者指出,不利解释是对格式条款双方强弱对比悬殊引发的实质不公平的矫正。94对于格式条款双方利益是否均衡的判断,包括了对于给付与对待给付是否等值的判断和对于双方风险分配是否合理的判断两个子判断。从等值性的角度看,有学者主张“服务换信息”的个人信息对价观,95即用户提供个人信息以换取网络服务者的免费服务。然而,这一观点并不准确,因为网络服务的付费用户依然要同意隐私政策,提供相同类型的个人信息,付费的代价只是减少广告的侵扰和享受更优质的服务。因此,隐私政策条款关于收集非必要信息的条款可能违反等值性原则。当双方对隐私政策中关于收集非必要信息的条件、范围和方式等事项的条款产生争议时,法官应当作出不利于网络服务者的解释。从风险分配角度看,如果对隐私政策的相关条款的解释使用户承担过度的风险,则法官应作出不利于网络服务者的解释。例如,针对“平台方不会主动向关联公司以外的第三方共享用户的个人信息”这一条款,网络服务者从反对解释的角度主张其向关联公司共享信息不需要用户的同意,此种解释的结果是使用户丧失了对第三方处理个人信息的行为的控制。对于此类条款,法院应作不利于网络服务者的解释。
结 语
在信息社会中,“知情同意困境”是规范个人信息保护与利用行为的难点。《民法典》与《个保法》所规定的知情同意规则旨在回应这一问题,但相关规则存在被隐私政策架空的风险。运用格式条款规则规制隐私政策的具体路径是对《民法典》和《个保法》所规定的知情同意规则进行修正和完善。此种路径契合隐私政策的本质属性,符合“有限理性人”的理论假设。运用格式条款规则规制隐私政策的核心优势是:综合运用订入规则、效力规则和解释规则三种规则,区分对待隐私政策的不同条款,从而精准地划定同意的有效边界。《个保法》实施以来的司法实践印证了运用格式条款规则规制隐私政策方案的可行性。
来源:《法制与社会发展》