不久前媒體報導,有細心的手機用戶藉助於隱私記錄功能,查看手機上安裝的App訪問個人信息的情況,結果令人震驚。某移動教學App在十幾分鐘之內訪問用戶手機照片與個人文件接近25000次;另外一款辦公App,一個小時之內自發啟動7000次,不停地讀取用戶的通訊錄;還有App之間彼此呼應,啟動一個,自動喚醒另外十幾個,彼此「協同作戰」,大量讀取用戶信息。面對用戶提出的,這種做法是否侵犯個人信息權益的質疑,App運營者最方便、最現成的託詞就是:用戶安裝App的時候已經點擊了同意,建立在用戶同意基礎之上的行為是被允許的。但這種說法能夠成立嗎?
隨著社會生活日益網際網路化,人們越來越離不開各種各樣的App。我們在獲取App運營者提供的相應服務時,需要與其達成合意,同意其提出的某些條件,特別是授權其獲取相關個人信息,這是自願原則的體現,本來也無可厚非。事實上在很多場景下,獲取用戶的特定信息本來就是App可以發揮作用的前提條件。設想一下,用戶使用導航軟體,卻又不願意提供自己的位置信息,這本身就是自相矛盾的。但必須注意到,在收集個人信息方面,用戶的「同意」,並不是運營者可以包打天下的擋箭牌,更非其可以恣意妄為的藉口。
首先,個人信息保護,在性質上是屬於自然人基本人格權益保護,這同一個國家的基本法律秩序與價值觀存在密切聯繫,因此涉及個人信息保護的法律規則,有相當多的內容具有強行法的特徵。這些規則不會因為當事人的合意而改變,必須得到遵守。舉例來說,我國消費者權益保護法、網絡安全法都強調經營者、網絡運營者「收集、使用個人信息,應當遵循合法、正當、必要的原則」,即將實施的民法典第1035條也規定:「處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理」。這一規則就是強制性規則。如果App運營者過度收集對於App運行來說根本不必要的個人信息,就屬於過度收集個人信息的違法行為。即使用戶在安裝App的時候點擊過「同意」,相關的個人信息收集行為仍然不具有正當性。還需要注意的是,所謂的用戶知情同意,指的是即使App運營者收集用戶個人信息的行為在整體上沒有違反合法、正當、必要的原則,也仍然需要獲得用戶的同意。對此,網絡安全法、消費者權益保護法規定得都非常清晰:獲得用戶的同意與遵循合法、正當、必要原則,是「並列」關係,缺一不可。民法典也有相關規定。就此而言,用戶同意,不可能具有授權App運營者違反該原則的效果。這是因為我國的個人信息保護法的相關規則具有強行法特點,相關規則,不能被當事人的約定予以排除或改變。
其次,即使用戶在安裝App的時候點擊了「同意」,也並非一概可以解釋為已經概括地對App運營者所有的個人信息收集行為,都進行了有效授權。現在有一種情況相當普遍:App的運營者在用戶安裝協議中以模糊不清的表述,要求用戶一攬子地、概括地同意其收集相關範圍根本沒有得到清晰描述的各種個人信息。用戶對這種條款的同意並不意味著App運營者想怎麼幹就可以怎麼幹。這種所謂的一攬子授權,在很多情況下,其實沒有法律意義。因為在個人信息保護領域所講的用戶同意,是一種具有嚴格內涵的「知情同意」,也就是基於App運營者一方,對個人信息收集條款的意圖、目的和範圍之類的要素,作出明確解釋和清晰告知基礎之上,用戶一方給出的同意,才是有效的同意。如果運營者給出的相關表述含糊不清,一般用戶根本理解不了其含義,這就不屬於明確的解釋;如果把個人信息收集條款夾雜在一大堆其他文件之中,使得用戶無從識別其特殊的重要意義,這不屬於清晰的告知。如果存在這些情況,都不符合用戶「知情」的前提,相應的,用戶給出的同意也就沒有多大的價值。我國合同法和即將實施的民法典均規定,格式條款的使用者,如果不對涉及相對人重大利益關係的條款進行提示和說明,那麼相關的條款不被視為訂入合同之中。這種情況對於App運營者一方制定的收集個人信息的格式條款,同樣是適用的。
筆者在這裡並非為App運營者收集用戶個人信息的行為扣上一頂「原罪」的帽子。事實上,正常的收集用戶個人信息的行為,並不為法律所禁止,用戶對此也可以理解。但正如筆者反覆強調的是,畢竟個人信息保護涉及個人基本人格利益,具有強烈的倫理性因素,國家的相關法律對其有底線性要求。而這些底線是任何App運營者不得逾越的紅線。就此而言,用戶在安裝App的時候,點擊的那一下「同意」,並不能成為某些運營者在個人信息收集處理問題上恣意妄為的藉口。(作者:薛 軍 系北京大學法學院教授,北京大學電子商務法研究中心主任)