鄭佳寧 中國政法大學民商經濟法學院教授、博士生導師。
內容摘要
用戶的知情同意作為企業採集用戶行為信息應遵守的一項原則,是用戶行為信息採集的合法性基礎。在信息採集中的選擇與參與機制中,我國宜採擇入為主的知情同意規則設計。在其必備前提——告知環節,針對信息採集行為的主體、行為信息的類別和使用目的、採集後的處理行為和用戶行為信息流向的第三方等方面,均應履行告知義務。對用以進行行為化定位等特殊用途,還應進行專門披露。在用戶同意規範制度的設計上,用戶同意類型需要進一步區分;同意的有效形式應該更加審慎;同時,對用戶同意外的其他採集合法性基礎應進行明確。
關鍵詞:數據信息 信息採集 合法性基礎 知情同意 擇入機制 擇出機制
用戶行為信息,可被定義為用戶使用網際網路企業所提供的服務或產品時,伴隨使用服務之行為而生成的一系列數據信息。具言之,包括用戶通過滑鼠、鍵盤、手機、智能手環、語音識別設備、智能化觸控設備等信息輸入端硬體設備訪問瀏覽器、網頁或其他設備界面,以進行諸如點開視窗、滑動瀏覽、輸入信息、關鍵詞搜索、發表評論、上傳圖片、提供定位、在線交易、下達指令、個性化設置等具體行為。用戶行為信息的生成既可能是用戶在使用網際網路產品或服務時主動、有意識地提供,也可能是用戶使用在線服務的行為軌跡,在無意識狀態下不知不覺地被網際網路企業的自動化信息抓取工具所採集而生成。用戶行為信息能夠直接反映用戶個人在信息世界中的行為概況,經分析後進行的數據畫像與基於畫像結果的定向廣告推送更關乎用戶的個人隱私與人格自由。因此,用戶對行為信息似乎理所應當地應擁有某種控制權利——不管這項權利是被視為獨立的自決權,還是被認作個人隱私空間在數據信息視域中的自然延伸。無論如何,均需承認的是,用戶才是行為信息商業化流轉的初始源頭。也正基於此,各國立法幾乎不約而同地將徵求用戶的知情同意作為企業採集用戶個人信息時應遵守的一項原則。
一
知情同意—用戶行為信息採集的合法性基礎
同意原則根植於契約自治理論之中。在行為信息採集的場景下,不同的網際網路企業與用戶之間均存在著內容近似的合同關係,而企業對用戶行為信息的採集恰是用戶與企業所訂立合同的內容之一。自動化、信息化的網絡平臺雖使得藉助網際網路技術訂立的合同在細節上與傳統意義上的合同有所不同——如我國《電子商務法》即規定用戶「提交訂單」之行為可以被視為締結電子商務合同的承諾行為。網際網路上用戶與企業之間的種種交易當屬合同法規制範疇,用戶行為信息的採集自然也在其列,其法理前提理應是由用戶與企業間訂立的諸如「服務協議」「軟體使用許可協議」甚至「隱私協議」等一系列協議而構建的合同關係。這種網際網路企業與用戶間就網際網路產品使用與網際網路服務而訂立的系列約定,因其權利義務關係的複雜且不斷發展的現狀而暫未在合同法中取得有名化地位,但亦在基本的對待給付上擁有共性,可資分析。
具言之,以合同理論的視角來看,網際網路服務合同的對待給付一面是企業所提供的諸多網絡產品或服務,另一面則相應地是用戶為企業所貢獻的價值。後者既可能體現為直接的現金給付,如用戶所支付的註冊費、會員費抑或直接為產品付出之費用。與此同時,也可能是間接的、潛在的價值讓渡,其典型正是企業對用戶進行的行為信息採集。這些用戶行為信息正如同隱藏的黃金礦脈,具有極高的價值回報潛力,將為企業帶來高額的收益——與用戶相關的數據信息已經被人們視作一種價值豐富的商品,只需極少的數據挖掘成本投入,就可能收穫巨額的利潤回報。應特別說明的是,商業實踐中用戶所享受的免費網際網路服務,並非毫無對價,往往是以用戶對行為信息採集之容忍為代價。正是因基於用戶行為信息的定向廣告推送所帶來的巨大利潤,以搜尋引擎網站為首的眾多網際網路企業方能向用戶提供「免費」的服務或產品。當然,在一些用戶為網際網路產品或服務付費的場景下,用戶行為信息本身也許並不單獨地構成合同的對待給付。但無論如何,在當今以用戶需求為導向的網際網路商業模式下,採集用戶行為信息已經與網際網路服務的個性化提供模式密不可分,網際網路企業很難對唾手可得的用戶數據信息資源做到視而不見、過而不取。
無論企業對用戶行為信息的採集是網際網路服務合同訂立的本質目的,還是網際網路服務提供所必然伴生的副產品,行為信息的採集均匿於用戶與企業間合同法律關係之中。那麼,用戶對於採集其行為信息的同意在這一過程中又處於何種位置呢?依循合同法理論的思路,用戶當然地享有締約之自由。因此,若且唯若用戶作出同意之意思表示,自願進入包含行為信息採集內容的契約關係時,企業對用戶行為信息的採集方才具備了正當化基礎。事實上,用戶同意所展示出的正當化採集行為之法律效力,並非僅停留在合同法理論中契約自由的層面。用戶自行選擇與企業建立以行為信息採集為內容的法律關係,更蘊含了作為私法築基之石的私人自治原則之價值。就行為信息採集的情境而言,同意是用戶個人就信息進行自決的意思表示,故而,將用戶同意作為企業採集用戶行為信息的合法化基礎無疑是對私人自治的尊重與保護。
誠如前論,徵詢用戶的同意正是私人自治原則在涵蓋信息採集內容的網際網路服務合同情境中的應有之義,亦是判定企業能否合法採集用戶行為信息的關鍵節點。應補充說明的是,用戶的同意並非徑直作出,同意與知情這一前提牢牢綁定,難以分離。如從契約自由的角度出發,個人自願創設契約關係並受其約束的當然前提便是清楚地知曉該契約的權利、義務與責任內容,任何合同的當事人都不會也不應受到未知條款的約束,這是合同法中不言自明的原理。從經濟學意義上而言,個人在信息不對稱的前提下對自身事務的安排當然也不再具有效率上的優先性。由此可知,用戶的知情是用戶對採集行為作出同意表示的必然邏輯前提,欠缺知情的同意無疑將存有瑕疵。
用戶的知情同意是用戶作為個體就本人事務自決之行為,那麼法律何以如此關注採集的同意這一私人自治之環節,甚至專門就其內容和形式作出規定呢?背後的原因在於,私人自治只有在各有關交易主體之間在經濟、社會等諸多方面力量均衡的條件下才能得以實現。在當前的技術背景下,諸多因素共同決定了,用戶在與企業就行為信息的採集的潛在角力過程中,幾乎必然落於下風。因而,用戶很難真正地在知情和理解的基礎上自由地行使對於自身行為信息採集和後續處理過程的自決權利。其中,最重要的影響因素如下:
其一,在經濟上佔據強勢地位的網際網路企業得以通過對隱私政策、用戶界面的刻意設計,使用戶難以形成對行為信息採集範圍、方式、用途的正確認知。隱私政策設計上,企業往往會向用戶提供篇幅冗長、排版混亂、結構複雜且文字詰詘聱牙的隱私相關條款,使得用戶難以清晰地知悉其行為信息經採集後可能伴隨的隱私風險。界面安排上,企業可以輕易地通過技術手段,在界面上插設誤導性連結、無法返回的按鍵、無必要且複雜的表格,甚至刻意遮蓋有關內容的彈窗,以在用戶瀏覽信息採集相關的隱私警示條款或作出同意表示時進行幹擾或影響。由此,複雜的隱私政策使得用戶無從確切地認識到行為信息採集的過程與潛在風險,不友好的界面則使得用戶即便對企業的採集行為心存顧慮,亦難以作出「不同意」的拒絕表示。
其二,信息的過載和不足同時存在,導致用戶知情大打折扣。一方面,在採集前的知情環節中,用戶面臨著大量數據信息的不間斷轟炸。宏觀上,當前數據主導的商業模式使得用戶行為信息的採集已經成為了網際網路企業生存和發展的必然手段,用戶無時無刻不面對著企業請求採集其信息的請求和附帶的告知條款。微觀上,正如前述,形形色色隱私政策都具有篇幅冗長、信息繁多的共通之處。故而,有助於用戶作出決定的少數有效信息被刻意混雜在海量無效、無關信息之中,信息篩選無異於大海撈針。如此畸高的信息提煉成本用戶當然無力承擔,知情流程自然將流於形式。因而,所接收信息總量過載並不意味著用戶擁有充足的信息來源,反而,用戶還同時面臨著信息不對稱所導致的有效信息不足。
其三,用戶固有的認知局限和行為偏差,加之智能化處理的黑箱效應,使得用戶信息自決的結果難以被準確預料。撇開信息不對稱的外部影響,理性的局限往往會使得人類陷入諸多偏差之中,最終將使用戶很難真正認識到用戶行為信息經採集、處理後可能對其隱私等人格權益帶來的不良影響,或即便認識到了風險,亦會因為對未來利益的忽視、過於樂觀和感性,忽略而容忍存在不可控風險的採集和處理行為,因而作出於己不利的信息自決。除此之外,即便是企業,亦無法完全掌控數據信息經自動化處理後可能帶來的嗣後風險,因為大多的處理行為已經在人工智慧的「黑盒」中進行,其極高的運算速度和複雜的程式設計無疑加劇了結果的不可預料性。
二
擇入機制與擇出機制的討論—知情同意原則的實踐抑或背離
有鑑於私人自治價值的局限,儘管各國幾乎均對信息採集同意這一私人自治環節進行了一定規則幹預,並將知情同意提高到了信息採集原則之高度。然而,知情同意原則在各國立法中的應用方式卻不盡相同,與保護個人信息和促進行為信息商業化利用的實效亦是大相逕庭。其中一項顯著的區別在於:是否將主動徵求用戶的知情同意作為一項必須的採集正當化前提;還是可憑藉用戶的不作為表現徑直推定用戶的知情同意,轉而賦予用戶不同意繼續被採集時的拒絕權利——這項區別標準正是知情同意的擇入機制與擇出機制劃分之關鍵。
擇入機制與擇出機制的提法圍繞著用戶在採集中的選擇與參與展開。企業雖然是用戶行為信息的採集者,但用戶行為信息的根本源頭是用戶本身,有關擇入機制與擇出機制的探討正體現了用戶在行為信息採集中不容忽視的角色。質言之,用戶對採集過程的參與有兩種基本的路徑:
一是擇入機制。即用戶主動通過肯定性的表示,選擇參與行為信息的採集進程。在擇入機制路徑下,用戶行為信息的採集前提是徵求用戶的許可,否則,採集的進行將欠缺合法性基礎。
二是擇出機制。即用戶在採集過程中擁有選擇退出的權利。企業對用戶行為信息的採集無須徵得用戶的事前同意即可開展,用戶所能做的選擇僅僅是採取行動退出採集流程。應予以明確的是,擇出機制中,所謂的用戶事前同意是被推定的「默示同意」,用戶所切實擁有的權利只是被採集後的「不同意」,即拒絕的權利。擇入機制與擇出機制的立法選擇背後體現了各國在平衡用戶與企業利益時不同的政策考量。擇入機制在設計上顯然更為偏重用戶對相關個人信息的掌控與自決,強調非經明示同意,企業不可擅自對用戶的行為信息進行任何方式的採集;而擇出機制則反而更為偏重用戶行為信息的商業化利用效率,企業對於採集便利化的訴求在這一機制下更易實現。
從當前全球的立法情況來看,歐盟由《一般數據保護條例》為統領的用戶個人信息保護規則採擇入機製作為主要的採集範式。該條例將用戶的知情同意作為採集合法最重要的前置條件,並將採集同意的證明責任置於數據控制者,即企業一方。故而,歐盟以擇入為主的採集機制設計更傾向於保護用戶就個人信息所擁有的權益。美國的用戶知情同意機制則以擇出式為主。聯邦立法上,按照《電信法案》的規定,網際網路內容提供商在為使用或分享採集敏感的用戶個人信息時,應當遵照擇入機制,取得用戶的同意;而在採集內容更為豐富的非敏感個人信息時,則只需採用擇出規則即可。值得注意的是,2016年美國聯邦通信委員會曾就加強寬帶和其他電信運營商在採集用戶個人信息時披露相關信息且徵求用戶同意的義務方面頒布了命令,要求網際網路服務提供商也應適用並遵照上述電信法案的規定。不過,該命令在2017年於立法程序上遭到了美國國會的否決。從該命令受挫之結果可以推斷出,美國聯邦層面在用戶信息採集上的政策導向顯然以企業的商業化利用為先。在州立法層面上,即便是當前最為嚴格的2018年《加州消費者隱私法案》,從其規定亦足以看出擇出機制的主導地位——企業採集用戶個人信息時並無徵求同意之義務。企業可先行採集用戶的行為信息,只是在採集行為發生時或發生前,應對用戶進行相應的信息披露。可見,美國以擇出機制為主的採集機制設計對企業採集用戶行為信息的效率和便利更為看重。
倘若以規則適用的視角切入,擇入機制和擇出機制的區別即體現在,當用戶本身並未對行為信息的採集作出肯定的意思表示時,是否存在一項默認用戶對此表示同意的預設規則。在擇入機制下,欠缺用戶的明確同意即意味著默認的規則是用戶行為信息採集的禁止,而在擇出機制下,只要用戶未曾通過某種流程表示反對,則默認用戶行為信息可被合法採集。事實上,在用戶行為信息採集這一過程中,預設規則的設置頗為必要:一方面,預設規則有著強制性規則所不具有的靈活性,它並不對身處商業實踐中的用戶或企業施加任何法律上的強制力,而僅僅為不完備的私人約定提供兜底的補缺規則。如此一來,用戶行為信息採集情境的多樣性得以被顧及,進而促進了用戶行為信息的商業化利用。另一方面,預設規則具有很強的規則粘性。事實上,相當比例的當事人在實際交易時會遵從預設規則的內容而不是耗費額外的締約成本,進行另行約定,這可歸因於預設規則對締約協商等交易成本的大幅減省之效。正因如此,用戶行為信息採集統一的預設規則必須審慎設計。
筆者認為,基於下述兩點理由,我國宜採擇入機制為主的知情同意的預設規則:
其一,從預設規則的法理來看,預設規則的一大功能,是緩釋締約雙方在信息地位上的不對稱所引發的不完全契約問題。就企業對用戶行為信息的採集而言,企業作為採集主體掌握著包含採集方法、目的、後續處理與風險在內的大多數相關信息,當然地佔據著信息高地。儘管將締約相關信息盡數披露給用戶能解決雙方在信息上的不匹配,有利於整體締約收益的提升,但企業作為逐利的理性人,顯然會更願意隱瞞部分信息,以追求己方在締約過程中的最優位置——與其做大蛋糕,不如利用信息之不對稱為己方爭取更多的利益分配。因而,為緩解用戶信息採集過程中企業與用戶間的信息不對稱,預設規則的安排就自然應當偏向處在信息劣勢的用戶一方,也即以須取得用戶事前知情同意的擇入機制為默認規則。如此一來,立法者將能藉助擇入機制的規則粘性改善用戶在行為信息採集過程中的信息劣勢,消減企業信息尋租之行為,從整體上促進用戶行為信息採集的社會效益產出。
其二,在某些歐洲學者看來,「先同意、後採集」的擇入機制無疑是對知情同意原則的根本貫徹;反之,擇出機制則是「掛羊頭賣狗肉」,以「默示同意」為幌子,實際則背離了知情同意原則的基本理念。蓋因從本質上看,這一擇出機制並沒有為用戶提供做出同意選擇的任何空間。擇出機制的邏輯下,用戶的沉默,或者訪問網站、點開手機App等不相干行為,將被企業視作對行為信息採集的「默示同意」。故而,往往在用戶登陸網頁、打開App或其他智能設備的同時,企業即已經基於此「默示同意」,使用Cookies等自動化工具開展採集,用戶對此無置喙餘地,所擁有的權利僅僅是退出與拒絕。況且在擇出機制下,即便是退出與拒絕權利的行使亦並不輕鬆,往往需要經由一系列程序方能成功退出,故用戶對應用擇出機制並不歡迎。故而,擇出機制在歐洲的實踐應用容易受到司法的否認。1995年英國的Linguaphone Institute Ltd 訴Data Protection Registrar一案中,英國數據保護法庭即否認了該案件中Linguaphone公司向用戶所提供的擇出式採集同意徵集方式的有效性。該案中,Linguaphone公司僅僅在訂單界面表格的尾部,用極小的字號,給用戶提供了表示拒絕個人信息採集的退出彈窗框。雖然,法庭未對擇出機製作出普遍意義上的論斷,但至少認為本案中Linguaphone公司採用的方式無法獲得用戶對採集的有效同意。
三
告知—知情同意原則的必備前提
知情同意原則下,企業應負告知義務已廣為立法與實務界所認可。然而,告知的內容和方式在各國卻尚無統一的標準。企業往往通過行文冗長、信息混雜、用詞艱澀的隱私政策等方式向用戶告知其行為信息的採集情況,知情環節時常淪為形式,用戶基於不充分知情所作同意在效力上亦飽受爭議。可以說,知情前提上存在的瑕疵,很大程度上影響了知情同意原則理論踐行的有效性。因此,知情同意原則中的告知環節應達到下列標準:
第一,採集告知的表現形式應當是清晰且顯著的。誠如前文所述,當前,載有告知內容的隱私政策、隱私協議、信息共享協議等文件在用語上青睞專業詞彙,致整體行文生澀難懂;在篇幅上好長篇大論,似把告知文稿當作免責協議,欲將所有相關內容融於一體;在結構設計上複雜混亂,輕重失調,將重要信息混藏於海量無關信息之中。這類採集告知使得用戶難以在真正知情的前提下作出同意,企業與用戶也就無法在行為信息的採集上達成合意。就此,立法者呼籲企業加強隱私政策的透明度,有學者亦對採集告知環節信息透明度的增強提出了如下建議:其一,用語上避免採用生澀的法律或計算機技術專業術語,轉而使用平實且直白的語言進行表達。在向用戶告知採集相關信息的環節中,專業的用語非但不能有利於表達,反而將使不具有專業素養的用戶難以理解有關內容。其二,告知形式應當顯著,這意味著記錄告知內容的隱私政策等形式須出現在用戶可能看見的界面之中,且這種看見的可能性至少應當是合理的。譬如,在用戶需要以電子籤名等方式提交採集同意之確認的界面上,既應簡明扼要地顯示將採集信息的類別、用途、採集方式、第三方等要點信息,又應在該界面上提供顯著的連結,以便用戶查看完整的隱私協議內容。
第二,採集告知的程度應當深入揭示採集行為信息的方法與目的,並適當提示行為信息經採集處理後的預備用途與潛在風險。有些企業以複雜且模糊的形式向用戶告知情況,其目的在於刻意隱藏或迴避信息採集後的處理和應用方式,以免用戶意識到風險而拒絕同意。目前,採集告知所缺失的典型內容,並非通過積極或消極方式所採集的行為信息本身之類別,而是這些被採集行為信息的後續處理過程,後者往往能夠在某種程度上改變行為信息的價值和其可能帶來的風險。因此,採集告知內容需要得到清晰化、分層化的處理。企業就行為信息採集所進行的告知不應當將確定的事實與可能的風險混為一談,不能對無法確知的後果進行武斷的保證,當然更不能刻意地模糊可能對用戶帶來隱私風險的後續處理過程。採集的告知在內容上應當是漸進的,具備一定的層次。第一層次的告知應當在採集行為本身的層面進行。企業應當以清晰且平實的方式向用戶說明採集主體、被採集行為信息的屬性和內容,以及所使用自動化採集工具的基本功能等情況。第二層次的告知則不應僅停留在採集環節本身,而應深入採集後自動化處理的層面,將人工智慧和算法對行為信息後續利用環節帶來的不確定性和潛在風險毫無保留地充分告知用戶。
具言之,企業至少應加強下述方面信息的告知:
首先,採集行為的主體。主體是合同締結時必須顯現的內容,不知主體,則用戶無法憑藉外部信息對採集者的信息安全把控能力作出預判。譬如,歐盟即要求隱私聲明等告知文件,應明確展示數據控制者的身份。歐盟語境下的數據控制者,實際上僅指向採集主體中單獨或共同決定個人數據採集、處理目的與方式的實體。筆者認為,披露控制者固然是必須之舉,其餘參與、輔助或者能直接經採集而獲取用戶行為信息的主體亦應被定義為採集者,並在告知中如實披露。如採集用戶信息的企業可能隸屬於某一集團,則其控制者既可能為母公司,又可能為承擔某一瀏覽器、網頁或手機App項目的特定子公司。此時無須踟躕於判斷控制者之身份,參與採集之採集者均應得到披露,且其在採集中的不同角色擔當亦應載明,以助用戶對採集主體形成正確認知。類似的做法亦應適用於同一界面多採集主體的情境,與因收購等控制權變動而發生主體性變化的情形。之所以對採集主體的告知作出堪稱嚴苛的要求,是因為用戶作出同意採集的決定在一定程度上是基於對所有採集者的商譽、隱私保護政策和措施的信賴。
其次,行為信息的類別和使用目的。行為信息是採集行為的對象,當然地居於應被告知內容的核心地位。用戶同意的具體性要求,是指就個人信息處理的同意,必須針對具體的情形明確作出。從合同理論的基本原理出發,意思表示必須是明確且具體的,概括的同意顯然不符合法理之要求。具體的同意自然需要相應的具體化告知,以消除用戶與企業間的信息不對稱。一是要明確欲採集信息的類別。即企業應對目標信息以合理的標準進行分類,向用戶告知具體的類別。二是要明確採集和使用用戶行為信息的目的,這既包括通用目的,也包括特殊目的。美國加州《消費者隱私法案》也明確要求企業對所採集消費者信息的特定使用目的進行告知。採集和使用行為信息的目的應事前即被明確告知,行為信息不得為未被告知的目的而使用。
再次,採集後的處理行為。企業的告知應如實闡述行為信息分析的深度,著力於消除採集後續處理行為中的信息不對稱現象。企業對信息的處理手法決定了數據挖掘所能達到的深度。Web 3.0時代下,各源頭信息的相互融合已成為大勢。特別需要注意的是,網際網路企業完全有能力,將通過電腦、手機客戶端、智能家居設備等多源頭採集的用戶行為信息融合一體,如Apple集團同時為電腦、手機、家居設備提供軟體服務,並通過Siri等跨平臺項目同時採集用戶信息。這種多傳感器信息融合(Multi-sensor Information Fusion, MSIF)的信息採集和處理方式很可能使得諸多原本十分簡單的行為信息在無數次的智能化融合後,成為能夠反映更為複雜現象的重要信息。此外,多傳感器信息融合處理還可能由人工智慧算法進行,其結果無法被完全預測,故原本與隱私等人格權益無涉的行為信息經融合後亦可能變得更為敏感。因而,倘若企業將可能同時通過多種設備採集用戶行為信息,應當對此進行清晰的特別告知。
複次,告知用戶行為信息流向的第三方。即便是經企業採集、處理後,用戶行為信息亦不同於企業製造的產品,不可為企業所自行交易、自由處置。這是因為只要未經匿名化這一特殊處理環節,行為信息就仍與用戶個體的人格緊密關聯,企業只有在滿足個人信息保護的基本條件後,才能對採集、處理後的信息具有完全的支配權,充分實現經營者信息的財產價值與個人人格尊嚴的和平共處。因而,行為信息的後續處置與流轉同樣不能繞開用戶,應在徵得用戶同意後方可為之。出於商業利益最大化的考量,網際網路企業與第三方之間的數據流通被刻意地隱瞞,利益相關者之外的知情者寥寥無幾。這也使得實際掌握了用戶行為信息的眾多數據中間商隱匿在社會視線和規範底線之外。這些身份晦暗的數據中間商專營數據處理與分析,採集到用戶行為信息的企業將信息傳輸給數據中間商,後者將其進行格式轉化、內容萃取或者行為化定位等處理,再將其打包轉賣。數據中間商因而成為用戶行為信息商業化流轉過程中必經環節。這一灰色交易鏈條顯然威脅到了用戶個人信息的安全,因而,是否有第三方參與處理或受讓用戶信息,理應在告知內容中佔有一席之地,用戶需在充分知情的前提下決定自身行為信息的進一步去向。
最後,當用戶行為信息被進一步處理且用以進行行為化定位、個性化推薦、自動化決策等用途時,企業應當告知用戶行為化處理之事實、原因、基本算法邏輯、預期分析後果與可能產生的風險。行為化定位處理的核心做法是藉助人工智慧的高速運算和自我調整能力,構築出用戶的數據畫像。當用戶的數據畫像被企業所掌握,對個人的隱私以及其他人格權益的影響將超乎一般的處理行為。與此同時,基於數據畫像,網際網路企業得以有針對性地進行個性化的客戶端界面設計、差異化的服務提供以及定向廣告推薦。這些額外的數據用途既為用戶帶來便利與舒適,也可能帶來隱私空間的侵擾、價格歧視、廣告騷擾等種種後果。此外,自動化決策,或稱AI輔助決策亦很可能給用戶帶來有失公平的待遇。基於行為信息的人工智慧預判和決策也許在宏觀方向上並無謬誤,但由於其本質是對用戶的內在特徵和行為模式的大數據推測,而非確定的事實,故其決策結果一定存在某種偏差。在數據分析技術廣泛運用的情形下,對於欠缺專業知識的普通用戶而言,用戶實際上很難知曉網際網路企業對其信息的知曉程度,自然也無從預知網際網路企業對其行為信息的上述用途究竟可能帶來怎樣的後果。故而,倘若企業欲將採集的行為信息用以進行行為化定位等特殊用途,則不僅應在使用目的中進行說明,還應當進行比一般用途更為具體的專門披露。
四
用戶同意規範制度的應然設計
(一)用戶同意的區別化樣式
用戶行為信息採集的情境千差萬別,所需同意的樣式不宜千篇一律,而應有合理的差異性。傳統的用戶同意規則界分方式,是因由採集或後續處理的情境之不同而設置寬嚴相異的同意規則。這種情境化分析的思路源於自然人隱私保護中將隱私侵害置於特定場景中看待的路徑。Nissenbaum教授提出了個人信息採集、處理和利用中涉及隱私保護的情境完整性理論,基於此,企業對於用戶行為信息的採集,理應符合用戶對由全部事件、行為、交易等共同構築的情境下隱私受保護的合理期待。倘若企業的採集行為超出了用戶基於情境的合理期待,則將可能有侵害用戶隱私之嫌,故而只有在獲取用戶尤為明確的同意表示後,企業的採集方能具有合法性基礎。
在下述兩種情境下,企業對用戶行為信息的採集應取得用戶的明確同意,除此之外的其他情境則一般的同意亦可:一是採集敏感的個人信息。倘使企業所採集的行為信息涉及敏感的個人信息,則在採集時應獲取用戶的明確同意。二是有特殊的後續處理目的。企業採集用戶行為信息既可能是提供網絡服務所必須,也可能是為了以個性化方式提高用戶體驗,還可能是希望藉此對用戶進行畫像,並基於畫像之結果進行行為化定位、個性化推薦甚至自動化決策。這些深層次的後續分析將更可能構成對用戶人格權益的侵害。故而,倘若用戶行為信息在採集後將被用於用戶畫像或基於此的行為化定位、個性化推薦、自動化決策等目的進行處理,則企業在採集時即應當告知用戶並徵求其明確同意。
上述傳統的用戶同意規則界分方式是以採集行為可能對用戶帶來的後果為導向的。值得注意的是,英國信息專員辦公室(Information Commissioner’s Office, ICO)於2012年將當時網際網路企業用於採集用戶行為信息的Cookies技術群根據採集功能差異劃分為四種類型,並規定了所對應的不同的同意樣式。這種劃分的基礎是自動化採集工具所具備的不同功能,因而,倘若某一自動化工具兼具兩種以上功能,則應當同時滿足各功能對應的同意樣式之要求。換言之,無論企業在採集時使用的是Cookies、Spyware、DPI還是其他自動化採集工具,都應當按照該工具實際功能所對應的用意樣式徵求用戶之同意。
依此區分,可將自動化採集工具區分為下述四類:一是特別必要的工具;二是與服務性能表現有關的工具;三是擁有特定功能的工具;四是用於行為化定位或個性化推薦的工具。其中,特別必要的工具往往是某種Cookie,其應用僅僅是為用戶提供網際網路產品或服務之必需,同時所採集的行為信息數量不多。故而,運用此類工具時可允許企業採用擇出機制,無須獲得用戶對於採集的明確同意,而是通過其持續不斷的訪問行為推定其默示同意,但企業至少應向用戶充分披露該採集工具的具體採集行為。至於後三者,則依其在採集用戶行為信息的規模、深度和影響上的不同,適用程度不同的徵求用戶同意之機制——用於行為化定位或個性化推薦的工具在採集功能上表現最為強勢,故應適用最為嚴格的明確同意之樣式。與服務性能表現有關的工具和擁有特定功能的工具則介於最寬鬆與最嚴格的同意樣式之間。
(二)同意形式的改造
歐盟《一般數據保護條例》中用戶表示同意的有效形式分成兩種,一是表明同意意願的聲明,二是某項清晰的確信行動。前者是主動地述說同意之意願,乃是傳統的同意形式,此處無須贅言。後者是以用戶負有確定含義的特定行為昭示用戶同意之意願。筆者認為,這在用戶行為信息的自動化採集中具有很強的實踐意義。因為在純粹的網絡化環境下,用戶通過點擊等行為所表示的同意信號能夠直接被自動化處理工具所接收,用戶行為信息的採集流程將始終得以自動、高效地進行。典型的表示同意的用戶行為是於在線的環境下點擊複選框。具言之,目前網站或手機App徵求用戶同意的通行做法是在頁面上顯示「我同意」「我接受」等類似複選框,用戶以雙擊滑鼠左鍵或手指輕摁的方式點擊同意按鈕,即可作出同意的意思表示。在高速的網際網路時代下,點擊的形式儘管便捷有餘,可作為用戶同意的一般外部表達形式,但顯然慎重程度不足,至少不應當成為承載用戶明確同意的表示形式。
質言之,設置用戶明確同意之形式,並不以追求效率為本質,而應將關注點更多地投注於外在表示形式與內在意志內容的一致性和匹配性,促使用戶的真實意思能夠得到最為準確的表達。比之過於簡單、隨意的點擊方式,電子籤名似乎更適宜作為用戶明確同意的外在表彰。一是籤名行為有締約的潛在內涵。比起機械性地點擊頁面或彈窗中的諸多選項,用戶在以電子籤名形式作出同意時,更能意識到該同意決定與自我之間的聯繫,以傳遞用戶內心之真意。二是具有多樣化的形式,能夠兼顧不同的採集情境。我國《電子籤名法》並未將電子籤名狹義地限定為數字籤名,而是以識別籤名人與確認籤名人認可兩項功能為電子籤名認定的核心。廣義的電子籤名認定路徑與網絡環境下多樣的採集情境更為匹配,不同敏感程度的用戶行為信息之採集可以採用不同的電子籤名形式要求。三是法定的電子籤名形式具有經法律確認的效力。電子籤名是網際網路商業交易普及背景下自然人籤字的衍生形式。為便利無紙化電子交易的進行,各國紛紛頒布法案,對電子籤名的法律效力加以確認。歐盟於1999年制定了《關於建立電子籤名共同法律框架的指令》;次年,美國頒布了《全球和國內商業法中的電子籤名法案》。我國亦於2004年公布《電子籤名法》,明確規定可靠的電子籤名具有與手寫籤名同等的法律效力。可靠的電子籤名在涉及用戶行為信息採集的網際網路服務合同場景下能夠完全有效地表示用戶的締約意思,這將使得用戶的同意擁有確定的合同法律效力,企業依約的採集行為將免於不確定的合規風險。此外,對於敏感程度極高的私密信息,一些學者提出要以嚴於告知同意原則的方式進行採集。於此,可靠的電子籤名作為同意形式的效力加強版本,或可成為私密行為信息採集同意的形式要件。
(三)同意的例外—其他採集合法性基礎的明確
採集行為的同意,本質上為用戶就個人信息進行自決的意思表示,故將用戶同意作為企業採集用戶行為信息的合法化基礎,無疑體現了對私人自治的尊重與保護。然而,儘管私人自治在私法領域中佔據著無上的崇高地位,但私人自治不是私法唯一的價值基礎。自由從來不能自外於其他人文價值而獨存,私法同時還追求正義、平等、安全與效率等其他價值。這些價值追求同樣應當經由法律規範而得到明確。《歐盟基本權利憲章》即規定,個人信息處理的正當性基礎既可以是用戶本人的同意,也可能是基於其他的法定事由。
明確用戶同意外的其他採集合法性基礎,體現了一種利益衝突與衡量的邏輯進路。首先,行為信息反映了用戶的網絡化蹤跡,是對個體進行數據造像的基礎。行為信息的背後當然蘊藏著關乎自然人人格的利益,尤其是自然人的隱私利益。法律規範賦予了自然人對個人信息的自決權能,讓用戶自己掌控行為信息的去向。這就是將用戶同意作為採集行為合法化基礎的目的所在。但在用戶個體的人格利益之外,用戶行為信息採集和運用過程還可能牽涉諸多同樣應當得到法律規範保護的利益,這其中既有公共利益,也有其他社會個體的利益。這些利益有著不同的取向,很可能與自然人的人格利益在用戶行為信息採集的節點發生衝突。例如,杭州野生動物世界在未徵得郭兵同意的情況下,將園區年卡系統升級為人臉識別,郭兵認為園區收集的面部特徵等信息屬於個人敏感信息範疇,故將杭州野生動物世界告上了法庭。又如,在2018年 「曬曬你的支付寶年度帳單」活動中,支付寶以默認勾選的方式隱秘地收集用戶信息,隨後,中國人民銀行杭州中心支行以支付寶實施7項違法行為為由,對其開出18萬元罰單。當認定公共利益或其他社會個體的利益在衝突中應得到優先考量時,即催生出知情同意原則的例外—其他應受法律保護之價值的存在,亦是用戶行為信息採集的合法性基礎。
這些合法性基礎通常包括下述內容:其一,公共利益的需要或政府的強制命令。作為社群主義哲學的產物,公共利益代表了社會中多數人的利益訴求。個人的權利行使並不能夠絕對自由,而是要顧及所在社會的公共利益。一旦面臨國家安全利益、公共衛生利益或其他重大公共利益受威脅的情形,企業應以公共利益為重,可不經用戶同意即採集必要的行為信息。此外,在犯罪偵查等情形下,企業應當遵照政府的強制性命令採集並向其提供相關信息。其二,企業踐行法定義務所必要。一些法定義務的承擔,需要企業通過採集用戶行為信息加以完成。譬如,為維護金融安全,我國從事網絡支付業務的網際網路企業不僅需要對用戶身份採取持續的識別措施,還應當確保用戶交易信息的真實、完整與可追溯性。這要求企業對用戶的交易類型、金額、時間、對象、大額支付用途和事由等進行記錄。其三,為企業或第三方的正當利益之必要。倘若法律設置了此項例外,則企業可以為追求自身或其他用戶的合法且正當之利益,在告知用戶後逕行採集其行為信息。這裡的正當利益可能包括支持、維護公司業務經營、網絡系統安全、用戶信息安全,以及其他重要的商業利益和運營需求。其四,企業履行與用戶之間的合同所必要。一些行為信息的採集是出於企業與用戶間合同履行所需,如用戶欲享受網絡購物服務,根據服務協議,企業需採集並儲存其瀏覽記錄、購物車信息;在網絡社交服務中,社交App
需採集用戶的點讚、評論等信息用以提供社交互動、參與服務;在快遞物流服務中,快遞物流平臺需採集用戶的名址、聯繫方式、物品名稱等信息,以履行安全寄遞的服務內容。此時的採集行為以服務合同法律關係為其合法性基礎,無須再取得用戶同意。
筆者認為,設置用戶同意的例外宜審慎為之。這要求立法者妥善處理知情同意原則與其他合法性基礎背後的深層利益衝突,以達到兼顧社會公共利益、商業化的數據需求和用戶人格利益的立法目的。應當清楚地意識到,設置用戶同意的例外,是對以個人信息私人自治為內在的同意原則之突破。因而,用戶同意例外情形之設計應當儘可能地明確,否則,用戶同意機制將被諸多的例外所架空,其作為採集合法性基礎的效力也將相應地遭到削弱。除此之外,即便是無需取得用戶同意的例外情形,企業的告知義務亦不得被豁免。企業應當向用戶詳細地告知無需取得其同意即可採集的行為信息類別、目的等信息。
上海市法學會歡迎您的投稿
fxhgzh@vip.163.com
相關連結
朱慈蘊:
封麗霞:
來源:《東方法學》2020年第2期(總第74期)女學者特刊。轉引轉載請註明出處。
原標題:《鄭佳寧:知情同意原則在信息採集中的適用與規則構建》