用户“同意”并非App恣意妄为的借口
不久前媒体报道,有细心的手机用户借助于隐私记录功能,查看手机上安装的App访问个人信息的情况,结果令人震惊。某移动教学App在十几分钟之内访问用户手机照片与个人文件接近25000次;另外一款办公App,一个小时之内自发启动7000次,不停地读取用户的通讯录;还有App之间彼此呼应,启动一个,自动唤醒另外十几个,彼此“协同作战”,大量读取用户信息。面对用户提出的,这种做法是否侵犯个人信息权益的质疑,App运营者最方便、最现成的托词就是:用户安装App的时候已经点击了同意,建立在用户同意基础之上的行为是被允许的。但这种说法能够成立吗?
随着社会生活日益互联网化,人们越来越离不开各种各样的App。我们在获取App运营者提供的相应服务时,需要与其达成合意,同意其提出的某些条件,特别是授权其获取相关个人信息,这是自愿原则的体现,本来也无可厚非。事实上在很多场景下,获取用户的特定信息本来就是App可以发挥作用的前提条件。设想一下,用户使用导航软件,却又不愿意提供自己的位置信息,这本身就是自相矛盾的。但必须注意到,在收集个人信息方面,用户的“同意”,并不是运营者可以包打天下的挡箭牌,更非其可以恣意妄为的借口。
首先,个人信息保护,在性质上是属于自然人基本人格权益保护,这同一个国家的基本法律秩序与价值观存在密切联系,因此涉及个人信息保护的法律规则,有相当多的内容具有强行法的特征。这些规则不会因为当事人的合意而改变,必须得到遵守。举例来说,我国消费者权益保护法、网络安全法都强调经营者、网络运营者“收集、使用个人信息,应当遵循合法、正当、必要的原则”,即将实施的民法典第1035条也规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。这一规则就是强制性规则。如果App运营者过度收集对于App运行来说根本不必要的个人信息,就属于过度收集个人信息的违法行为。即使用户在安装App的时候点击过“同意”,相关的个人信息收集行为仍然不具有正当性。还需要注意的是,所谓的用户知情同意,指的是即使App运营者收集用户个人信息的行为在整体上没有违反合法、正当、必要的原则,也仍然需要获得用户的同意。对此,网络安全法、消费者权益保护法规定得都非常清晰:获得用户的同意与遵循合法、正当、必要原则,是“并列”关系,缺一不可。民法典也有相关规定。就此而言,用户同意,不可能具有授权App运营者违反该原则的效果。这是因为我国的个人信息保护法的相关规则具有强行法特点,相关规则,不能被当事人的约定予以排除或改变。
其次,即使用户在安装App的时候点击了“同意”,也并非一概可以解释为已经概括地对App运营者所有的个人信息收集行为,都进行了有效授权。现在有一种情况相当普遍:App的运营者在用户安装协议中以模糊不清的表述,要求用户一揽子地、概括地同意其收集相关范围根本没有得到清晰描述的各种个人信息。用户对这种条款的同意并不意味着App运营者想怎么干就可以怎么干。这种所谓的一揽子授权,在很多情况下,其实没有法律意义。因为在个人信息保护领域所讲的用户同意,是一种具有严格内涵的“知情同意”,也就是基于App运营者一方,对个人信息收集条款的意图、目的和范围之类的要素,作出明确解释和清晰告知基础之上,用户一方给出的同意,才是有效的同意。如果运营者给出的相关表述含糊不清,一般用户根本理解不了其含义,这就不属于明确的解释;如果把个人信息收集条款夹杂在一大堆其他文件之中,使得用户无从识别其特殊的重要意义,这不属于清晰的告知。如果存在这些情况,都不符合用户“知情”的前提,相应的,用户给出的同意也就没有多大的价值。我国合同法和即将实施的民法典均规定,格式条款的使用者,如果不对涉及相对人重大利益关系的条款进行提示和说明,那么相关的条款不被视为订入合同之中。这种情况对于App运营者一方制定的收集个人信息的格式条款,同样是适用的。
笔者在这里并非为App运营者收集用户个人信息的行为扣上一顶“原罪”的帽子。事实上,正常的收集用户个人信息的行为,并不为法律所禁止,用户对此也可以理解。但正如笔者反复强调的是,毕竟个人信息保护涉及个人基本人格利益,具有强烈的伦理性因素,国家的相关法律对其有底线性要求。而这些底线是任何App运营者不得逾越的红线。就此而言,用户在安装App的时候,点击的那一下“同意”,并不能成为某些运营者在个人信息收集处理问题上恣意妄为的借口。(作者:薛 军 系北京大学法学院教授,北京大学电子商务法研究中心主任)
来源: 法制日报