本文作者:王亭入
关于个人信息处理的规则,欧盟已经比较成熟且规则落地执行时间长,鉴于我国的个人信息保护立法大量参考欧盟,现将信息处理的规则比较如下:
| 民法典/网络安全法 | 个人信息保护法草案 | GDPR |
民法典:第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则... 网络安全法:第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 | 第五条 处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。 第六条 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。 第七条 处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。 | 第五条 个人数据应当: a.以对数据主体合法(lawfully)、正当(fairly)和透明(transparent)的方式进行处理(合法、正当、透明); b.收集应当有具体的、清晰的和正当的目的,收集后的处理不应超出一开始收集数据的目的 |
民法典:第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件: (一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外; (二)公开处理信息的规则; (三)明示处理信息的目的、方式和范围; (四)不违反法律、行政法规的规定和双方的约定。 | 第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; (二)为订立或者履行个人作为一方当事人的合同所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息; (六)法律、行政法规规定的其他情形。 | 第六条 只有至少满足以下一项条件的情况下,才可以处理个人数据: a. 数据主体同意为一个或多个特定目的(specificpurpose)处理其个人数据; b. 处理数据对于履行与数据主体之间的合同是必要的,或者在签订合同前基于数据主体的要求要进行处理; c. 为了履行法定义务所必须; d. 对于保护数据主体或另一自然人的核心利益所必须; e. 为了公共利益或基于官方权利履行某项任务; f. 处理数据对于数据控制者或者第三方的正当利益(legitimateinterest)是必要的,但是如果数据主体需要保护其数据以实现数据主体更优先的利益、基本权利和自由,则本项不适用,特别是数据主体是而儿童的情况; 第f项不适用于公共机构履行职责时的数据处理。 |
| 第十四 条处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。 第十六条基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。 | 第四条 数据主体的同意,是指数据主体依照其意愿,自由作出的(freelygiven)、具体的(specific)、知情的(informed)、清晰无误的(unambiguous)任何指示,通过声明或者明确肯定的行为作出,意味着其同意与他有关的个人数据被处理。
第七条 1. 如果处理是建立在同意的基础上,数据控制者应当能证明获得了同意; 2. 如果数据主体通过书面声明的方式作出同意,且书面声明同时还涉及到其他(与同意无关)的事项,那么同意必须以以下方式呈现:与其他事项显著区别;使用容易理解并容易获得的形式;使用清晰平白的语言。违反上述规定的同意无效; 3. 数据主体有权随时撤回其同意。撤回之前的处理行为的效力不受影响。在数据主体做出同意之前,就应当被告知上述权利。撤回同意应当和作出同意同样简便易行。 在评估同意是否自由作出(freely given)时,除了其他情形外,特别要关注对于合同的履行,包括提供服务的合同,是否把数据主体同意处理合同履行并非必要的信息作为条件。 |
从上表可以看出,同意是处理个人信息首要的途径。那么什么构成有效的同意则几乎等同于数据处理是否合规。就此,欧盟第29条工作组在2011年就发布了《Opinion15/2011 on the definition of consent》对95/46/EC指令中的同意进行解释。在GDPR通过后,第29条工作组在2017年发布了《Guidelines on consent under Regulation2016/679》对GDPR中的同意进行解释,并在2018年进行了修正。欧盟数据保护委员会(EuropeanData Protection Board)接替了第29条工作组后,在2020年5月4日发布了《Guidelines05/2020 on consent under Regulation 2016/679》进一步对GDPR中的同意进行解释。[1]从2011年到2020年,欧盟对于同意的解释和立场基本没有变化。 GDPR第四条对同意提出了四个要件,EDPB对四个要件的具体内容进行了进一步解释: -清晰无误的意愿(unambiguous indication of wish)
欧盟认为,“freely”意味着数据主体能进行真正的选择和控制。作为基本规则,GDPR要求,如果数据主体无法真正的进行选择,感觉是被迫同意不然就可能遭受不利后果,这样的同意都是无效的。如果同意条款是和其他条款捆绑导致数据主体不能进行协商,应当推定同意不是自由做出的。相应的,如果数据主体不能在没有不利后果的情况下拒绝或者撤回同意,则同意一开始也不是自由作出的。在判断自由作出时,GDPR还会考虑数据控制者和数据主体之间地位的不对等的情况(imbalance of power)。1.地位不对等(imbalance of power)
欧盟认为,公共机构(public authority)和雇主原则上不能用同意作为获得处理个人数据的理由,因为他们与数据主体之间的地位实在是不对等,数据主体很容易担心自己受到不公平的待遇,因而总是会作出同意,尽管内心未必情愿。因此,如果公共机构或雇主想要通过同意证明自己处理数据主体的数据是合规的,通常而言就有很重的举证责任,而不仅仅是形式上获得了数据主体的同意,还要证明数据主体没有因为地位不对等而影响其是否作出同意的思考。除了公共机构和雇主,其他领域也要考虑这种地位不对等的情况。进行判断的方法是,数据主体得以做出真正的选择,如果不同意也没有受到欺骗、恐吓、胁迫或重大的负面后果(例如,大量额外成本)的风险。只要有任何强迫、压力或不能行使自由意志的因素,则同意就不是自由的。
2.受限制(conditionality)
GDPR第七条第四项很重要,它避免了数据处理打着合同的名义,将非履行合同所必须的条件,打包到合同条款中,通过这种捆绑的方式获得数据主体的同意,也即合同和同意是两码事,合同履行所必需的数据应当进行严格解释,对于这部分数据可以通过合同作为处理的依据,对于其他数据,则需要同意或者其他依据。
数据控制者经常会争辩,尽管自己的服务需要获取个人数据用于额外的用途,市面上还存在其他数据控制者提供的与自己同样的服务(equivalent service),也就是说,如果数据主体不想提供个人数据给自己,完全可以寻求其他数据控制者的同等服务,因此,数据主体愿意提供个人数据给自己是一种自由选择。但是欧盟不这么看,欧盟认为,这种自由选择依赖于其他市场主体如何做,以及数据主体是否认为两种服务是真正相同的。这还意味着数据控制者要实时监控市场,确保市场上存在同样的服务。因此,欧盟不认为数据控制者基于市场上还存在其他选择而获得的同意是合规的,这意味着在这种情况下,服务提供者不能以数据主体不同意为由拒绝提供服务。
欧盟还认为,就COOKIES而言,不能将获得存储用户数据或者获取用户已经存储的数据的同意,作为用户获得服务或一些功能的条件。EDPB举了一个例子。一个网站的首页什么都不显示,只显示COOKIES信息。除非点击“我同意”,不然用户看不到网站信息。这种情况用户的即便是点击了我同意,也不是freely given,因为用户没有真正的选择,除了同意外,看不到网站内容,这是不合规的。
3.间隔(granularity)
一个服务可能为了多个目的而进行多种数据处理活动。在这种情况下,数据主体应当有权自由选择接受哪些目的,而不是必须一揽子的同意全部目的的数据处理。GDPR序言43对此也提出了同样的要求。如果获得同意的过程或程序不允许数据主体就不同的处理活动分别给出同意,这种同意应当推定是不会自由作出的。这意味着,数据主体要清晰地列出自己的每一个目的,并给出用户就部分目的同意、部分目的拒绝的选择。
4.不利后果(detriment)
GDPR序言42明确,用户可以在没有任何不利后果的情况下拒绝或撤回同意,而且举证责任首先在数据控制者。比如,数据控制者需要证明,撤回同意不会导致数据主体额外支出成本。其他不利后果的例子包括,受到欺骗、恐吓、胁迫或重大的负面后果。EDPB举了一个例子,一个社交软件要求获得用户的测速仪权限。这个权限跟APP运行并不必要,但是这有助于帮助数据控制者了解用户的运动情况。如果用户后来撤销了这个权限的同意,用户发现APP的运行受到了影响。这就是不利后果。另外一个例子是,一个零售商获得了用户的同意,向用户的邮箱发送一般折扣信息。后来零售商获得了用户更多的信息,比如历史购物记录,然后就可以更精准的向用户提供折扣信息。后来用户撤销了历史购物记录的同意,她不再收到这种精准的折扣信息,但是仍然可以继续收到一般的折扣信息。由于精准折扣信息本来就是增值服务,这种增值服务的消失就不算是不利后果。
GDPR第六条要求同意必须是针对一个或多个具体的目的给出。如果是多个具体的目的的情形,那么数据主体对于每一个目的都有选择权。这里有三层含义:
-对目的要进行说明
-不同的目的不能混同或者捆绑,而是要进行区分,这样同意才可以有选择的针对一些或全部目的给出
-与获得同意有关的信息要和其他事项的信息进行区分
GDPR第五条第一项之b的规定意味着获得有效同意的前提包括,数据处理具有明确的、清晰的、和正当的目的,这实际上是目的限制原则。这一原则与就特定目的获得同意结合起来,是对数据主体的一种保障,以避免在数据被收集以后,被用于逐渐增加的不同目的或者处理目的变得模糊不清(这种现象称之为functioncreep)。就特定目的获得同意,自然也意味着数据主体应当事先被告知处理的具体目的,不然其给出的同意就很难说是针对特定的目的,很可能是在不清楚具体的目的都是什么的情况下给出的,因此就不能构成有效的同意。
EDPB特别指出,如果数据控制者处理数据是为了多个不同的目的,那么应当就每个目的提供单独的Opt-In的选项。
知情来自于GDPR第五条透明原则的要求。数据控制者应当在获得同意之前,就提供信息给数据主体,以供数据主体审阅并作出是否给出同意的结论。EDPB认为,数据控制者至少应当提供以下六种信息,才能满足知情的要求:
-控制者身份
-寻求同意的每一个数据处理活动的目的;
-收集和使用的数据都是什么;
-撤回同意的权利;
-将数据用于自动化决策的相关信息,如适用;
-没有GDPR第46条描述的充分决定和适当的保障措施的情况下,数据转移的潜在风险。
因此,GDPR实际上对于数据控制者提供信息提出了要求,但是GDPR并没有限制提供信息的方式。GDPR的要求是,与数据处理有关的信息应当以清晰平白的语言提供,社会一般大众能都轻松理解。这说明,数据控制者不能使用冗长的、晦涩难懂的、充满专业术语的隐私政策来提供信息,与数据处理有关的信息不能隐藏在通用的条款中。
本文认为,关于知情,这并不是数据保护领域独有的要求,在任何需要同意的领域,例如医疗诊治,只有充分知情的情况下给出的同意,才能使有效的同意。数据保护领域知情同意也有与其他领域同意不同的特点,例如欧盟将撤回同意权利的保障是作为一开始获得的同意是否有效的必要不充分条件。无论如何,知情并不是同意的全部内涵,这一点在我国的数据保护实践中要尤其注意。
(四):清晰无误的意愿(unambiguous indication of wish)
GDPR要求同意必须是数据主体的声明或者清晰的肯定性行为,这意味着同意的作出,必须是通过主动的动作或声明。关于“声明”,同意可以通过书面的或者(被记录下来的)口头声明的方式给出,包括电子的方式。关于“清晰的肯定性行为”指的是,数据主体必须是故意的去同意,包括物理性的动作(physicalmotion)比如在屏幕上手动滑动进度条、选择几个数字或字母等。因此,使用预选勾选的Opt-In的方式不构成有效的同意。数据主体的沉默或者不作为,或者仅仅是继续使用某项服务,都不能视为数据主体主动做出了选择。
EDPB提醒,对于数据处理的同意不能和合同的同意混为一谈。要求用户一揽子接受包含着数据处理内容的一般合同条款不构成清晰的肯定性行为。GDPR不允许数据控制者采用预选勾选的方式或者Opt-Out的方式,这种只有数据主体主动介入才能阻止同意的方式都不合规。
关于清晰无误,也意味着数据主体的某个声明或动作是清晰无误的关于给出处理数据的同意的,而不是为了其他目的做出声明或动作,典型的例子,某些网站会有声明:继续浏览此网站会表示你接受了本网站的用户协议,我们可以收集你的个人数据。即便用户继续浏览了网站,也不能视为用户给出了有效的同意,原因是很难说清楚,用户继续浏览网站的动作,对网站声明的回应,还是单纯的想阅读网站的内容而对网站声明根本不屑一顾。
无论如何,同意都必须在进行处理数据前获得,否则就是不合规的。
(五):明示同意(Explicit Consent)
明示同意是同意的加强版,PLUS版本。在一些情况,仅仅按照上述四要件获得同意是不够的的,GDPR为此发展出了明示同意的概念,这种同意和明示同意的区分,也在我国的《信息安全技术个人信息安全规范》GB/T35273-2020中得到了体现。
那么什么情况下,需要明示同意,在欧盟,是GDPR第九条、第二十二条和第四十九条。第九条规定,对于种族、民族、政治观点、宗教或哲学信仰、或工会成员的个人数据、基因数据、用于识别特定人的生物识别数据、自然人健康、性生活、性取向的数据,应当禁止处理,例外情况可以处理,可以处理的第一种例外情况就是获得数据主体的明示同意。第二十二条是关于包括画像在内的自动化决策相关的个人数据的处理。第四十九条是关于在没有足够决定和保障措施下的数据转移的规定。
明示同意除了要遵守同意的四要件外,GDPR对其格外的要求是明示(explicit)。关于明示,指的是数据主体作出同意的方式,意味着数据主体必须通过“明确声明”(expressstatement)的方式给出同意。最典型的例子就是书面声明。其他的方式例如,在数字化和网络环境中,可以通过填写电子表单、发送电子邮件、上传带签名的扫描件、使用电子签名等实现,再比如,可以在电话交流过程中获得明确声明,前提是提供了对数据主体而言正当的、易于理解的和清晰的解释,并且数据主体做出了具体确认(例如按某个具体的按键)。从理论上来说,口头声明也能实现明确声明的效果,但是举证太难。
关于同意,EDPB在其指南中,特意强调,数据控制者负有举证获得同意的义务,以及撤回同意的权利保障是判断是否获得了有效同意的必要条件之一。
通过对欧盟GDPR关于同意和明示同意的介绍,可知欧盟对于同意具有非常清晰的操作规则,EDPB甚至在指南中细化到对Opt-Out和预先勾选Opt-In这两种操作方式予以明确排除的地步。作为比较,我国对于同意的理解和实践,往往简化为知情同意,有时候还与正当、合理和必要原则混为一谈
关于同意,我国《民法典》第一千零三十五条规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。
《网络安全法》第四十一条第一款规定, 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。第二款规定,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
《个人信息保护法(草案)》第五条规定,处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。 第六条规定,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。 第七条规定,处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。 第十四条规定,处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
将我国上述关于同意的立法与欧盟比较,欧盟GDPR确立的合法、正当和透明三原则和四要件在我国立法中的字面对应关系是:
| 欧盟 | 我国法律 | 《信息安全技术个人信息安全规范》GB/T35273-2020 | 《个人信息保护法(草案)》 |
| 合法原则 | 合法原则(民法典+网络安全法) | 合法原则 | 合法 |
| 正当原则 | 正当原则(民法典+网络安全法) | 正当原则 | 正当 |
| 透明原则 | * | * | 透明 |
| * | 必要原则(民法典+网络安全法) | 必要原则 | 最小范围 |
自由作出的要件 (freely given) | * | * | 自愿 |
具体的要件 (specific) | * | 目的明确 | 明确、合理的目的 |
知情的要件 (informed) | 公开处理信息的规则;明示处理信息的目的、方式和范围(民法典) 公开收集、使用规则,明示收集、使用信息的目的、方式和范围(网络安全法) | 公开透明 | 充分知情 |
清晰无误的意愿要件 (unambiguous indication ofwish) | * | * | 明确作出意思表示 |
通过上表可以看出,GDPR的三原则和四要件在《个人信息保护法(草案)》中均存在明显对应。但是鉴于草案自身的性质,目前我们从案件实操而言,只能以《民法典》和《网络安全法》作为法律依据,并可以参考《信息安全技术个人信息安全规范》GB/T35273-2020的内容。
GDPR中的透明原则在《民法典》和《网络安全法》,以及《信息安全技术个人信息安全规范》GB/T35273-2020均没有明文对应。但是要看到,欧盟关于透明原则落地执行的具体要求就是知情,而我国立法对于知情则有相同表述。因此,可以视为我国关于透明原则也有相同的要求。
GDPR中的自由作出要件在《民法典》和《网络安全法》,以及《信息安全技术个人信息安全规范》GB/T35273-2020均没有明文对应。但是,自由或者说自愿是最朴素的法律原理之一,任何不自由或者不自愿作出的意思表示,都不是有效的意思表示。例如在合同法中,因为强迫或者重大误解而签订的合同,是无效/可撤销的。因此,可以视为我国关于自由作出要件也天然持有相同的要求。EDPB对于自由作出在数据保护领域的详细解读无疑对我国是极好的借鉴,用户是否自由作出同意也是目前侵害个人信息权益法律纠纷的重灾区,遗憾的是,现有的判例并没有很好的认识到这一点。
GDPR中的具体的要件,在《民法典》和《网络安全法》中并没有明文对应,而在《信息安全技术个人信息安全规范》GB/T35273-2020中则有明文对应。具体的要件是跟处理的目的而言的,《民法典》和《网络安全法》都要求处理者明示处理信息的目的、方式和范围。则,如何理解“明示处理信息的目的”在我国就非常重要,那么自然EDPB对于具体的要件的及时对我国解释“明示处理信息的目的”就非常具有借鉴意义。
GDPR中的清晰无误的意愿要件,在《民法典》和《网络安全法》,以及《信息安全技术个人信息安全规范》GB/T35273-2020均没有明文对应。但正如《个人信息保护法(草案)》对于“明确作出意思表示”的明文规定一样,如果意思表示不明确,晦涩不明,那么就会产生争议,因此,即便是我国法律没有明文规定,明确作出意思表示从法理上当然是同意的要件或者说要求之一。
通过上面的分析可以看出,GDPR关于同意的所有要求在我国的数据保护立法中是实质性的一一对应的,那么EDPB关于同意的指南自然对我国的司法和执法就具有了异乎寻常的重要意义。
GDPR关于明示同意的要求,在我国的法律中还没有得到体现,仅有《个人信息保护法(草案)》和《信息安全技术个人信息安全规范》GB/T35273-2020有对应内容。可以肯定的是,明示同意这个领域,一定会写入未来的个人信息保护立法中。
案例一:黄某诉腾讯等隐私权、个人信息权益网络侵权责任纠纷案
本文前文对该案进行了详细介绍,此处就该案涉及的同意的问题,予以分析。涉案的微信读书APP版本只能通过微信账户登录。案件的第一个焦点问题是,原告第一次登录微信读书时,界面显示为“登录后开发者将获得以下权限:获得你的公开信息(昵称、头像、地区及性别);寻找与你共同使用该应用的好友”,该两项没有勾选操作设置,下方有“确认登录”操作键。这里的“宣召与你共同使用该应用的好友”其效果就是将微信的好友关系交给微信读书APP。案件的第二个焦点问题是,微信读书可以将原告的读书信息,直接公开给原告微信好友中也使用微信读书的人,尽管二者在微信读书软件中并不是好友关系。
关于第一个焦点问题,一审判决认为,从合法性、正当性看,当事人的主要争议焦点在于是否获得原告的有效同意。原告主张,微信读书采用账户信息和好友关系一次性授权、用户无法分别进行选择、不同意就无法使用应用的登录方式,实际上剥夺了用户的选择权,原告并非自愿选择。本案中,原告用微信登录微信读书时,单独拉起微信的授权页面,授权内容为“寻找与你共同使用该应用的好友”,一般用户即可知晓微信读书经过用户授权则获得用户的微信好友列表。故仅从知悉收集信息的内容来看,达到了用户知情的标准。在同意环节,腾讯公司采取了对头像、昵称、性别等公开身份信息与好友列表一次性授权、不授权即无法使用的方式。本院认为,用户是否自主选择,应在充分尊重用户及服务提供者双方意愿基础上,综合考虑用户的选择可能、选择能力、进行相应选择对用户的实质影响等因素予以判断。微信读书为一款阅读应用,在不违反法律规定及公序良俗的前提下,腾讯公司可以对服务内容进行选择,并在征得用户有效同意前提下收集与服务相关的信息。用户若不同意收集某项信息则无法使用该应用,这是腾讯公司对微信读书运营模式的选择。与微信已实际成为大多数网络用户必不可少的社交应用、不使用会带来明显不便有所区别的是,移动阅读的需求并非为广大用户所必需,用户不使用微信读书不会感到生活明显不便,亦不会被实质上剥夺在市场上选择同类型产品的权利,用户可以以“用脚投票”的方式在市场竞争中做出选择。因此,一审判决认定,仅就本案中微信读书收集原告好友列表信息的方式来看,腾讯公司不违反法律规定。
关于第二个焦点问题,一审判决认为,《微信读书软件许可及服务协议》中,与好友列表及读书信息处理有关的条文包括第2.1条:“你启用本软件后,可以阅读、赠送、分享、评论你通过本服务购买的电子读物,你也可以浏览你的微信好友通过本服务阅读、分享的读物及其读书想法等。”第5.5条:“你理解并同意,本服务默认生成软件使用信息(包括但不限于你的书架、你正在阅读的读物、你推荐的读物及你的读书想法等信息)并向与你有微信好友关系的其他用户开放浏览可见。”这些内容不仅没有显著提示,并且,两处“好友”更容易让一般用户想到的是微信读书软件内的好友,而难以联想到注册微信读书即可在没有微信读书好友关系的情况下,将微信好友关系迁移到微信读书,且读书信息默认被公开。此外,协议直接以无提示的方式规定上述读书信息“不属于个人隐私或不能公开的个人信息”,意图规避可能存在的侵害个人信息或隐私的风险。因此,关于微信好友列表与读书信息的使用方式上,微信读书的告知是不充分的。在这种易造成误认的前提下,“私密阅读”的提示表述为“书架上的书籍好友可见”,难以让一般用户联想到该“好友”是微信中的好友而并非微信读书中有关注关系的好友;在“我关注的”页面仅显示微信读书中的相互关注关系,右上角“”标识也难以让用户联想到点开此按钮可以看到大量微信好友在微信读书中的信息。在此基础上,即使设置了用户可手动开启私密阅读等选项,也因告知的不清晰、不充分而可能影响用户的真实选择意愿。
案例评述:在上述微信读书案件中,一审判决关于第二个焦点问题的逻辑准确,但是关乎第一个焦点问题的说理则出现了三处可能并不妥当之处。第一,一审判决认为从合法性、正当性看,当事人的主要争议焦点在于是否获得原告的有效同意。这种逻辑相当于将合法性和正当性原则等同于同意,即便是从立法本身也不能得出这种结论,这属于重大错误。第二,“寻找与你共同使用该应用的好友”,一审判决认为一般用户即可知晓这句话的意思是,微信读书经过用户授权则获得用户的微信好友列表。但是本文不这么认为,如果这句话是“寻找与你共同使用该应用的微信好友”,一般用户则可以毫不费力的理解出一审判决的意思,但是原文仅有“好友”,现在所有的社交媒体和工具,微信,微博,QQ等都有好友关系,我们也会将手机通讯录中的联系人称呼为好友,而手机号则是所有社交关系的起点,这句话也可以被理解为获得其他好友关系。当然,这算是一个小的瑕疵。第三,一审判决关于用脚投票的逻辑是错误的。参考EDPB关于自由作出(同意)的指南,“数据控制者经常会争辩,尽管自己的服务需要获取个人数据用于额外的用途,市面上还存在其他数据控制者提供的与自己同样的服务(equivalent service),也就是说,如果数据主体不想提供个人数据给自己,完全可以寻求其他数据控制者的同等服务,因此,数据主体愿意提供个人数据给自己是一种自由选择。但是欧盟不这么看,欧盟认为,这种自由选择依赖于其他市场主体如何做,以及数据主体是否认为两种服务是真正相同的。这还意味着数据控制者要实时监控市场,确保市场上存在同样的服务。因此,欧盟不认为数据控制者基于市场上还存在其他选择而获得的同意是合规的。”本文同意欧盟的这种观点,简言之,微信读书并没有提供用户真正的选择,因而获得的同意是无效的。
一审判决还有一处可能不妥,即关于具体的目的问题。GDPR要求不同的目的应当分别给出,数据主体有权接受或拒绝其中的部分目的。这一点在我国立法中并没有规定或者确定可以援引的依据。我国仅仅规定了数据处理者应当“明示处理信息的目的”,显然欧盟在法律的解释上一贯的精细化,而我国从判例来看,对于何为“明示”往往限定于字面含义,即明白清楚的让用户知晓即可,而不会深究不同的目的需要区分明示,区分处理的效果。
本案在前文有详细介绍,本处只讨论与同意有关的问题。腾讯公司是微信APP和微视APP的开发者。用户只能通过微信账号或者QQ账号登陆微视APP。在首次使用微信账号登陆微视时,页面显示“获得你的公开信息(昵称、头像、地区及性别)”为不可勾选的强制设定;页面同时显示“寻找与你共同使用该应用的好友”,该选项前面的勾选框是默认勾选,用户可以手动取消勾选。如果登录后,想要取消微信通讯录向微视开放的授权,对于原告王某使用的微视版本V5.2.1而言(被诉的版本),只能在微信中进行设置,设置路径为:微信-设置-隐私-授权管理-关闭微视朋友关系,而不能在微视中设置。更新的微视版本,例如V6.8.1.588可以取消微信通讯录向微视开放的授权。原告认为微信账号关联的地区、性别和微信通讯录(即好友关系)不应当被微视获得并使用,侵害原告的个人信息权益和隐私权。
微视APP“使用条款”栏目内有《微视软件许可及服务协议》,协议首部记载“为使用 “微视”软件及服务,你应当仔细阅读并遵守《微视软件许可及服务协议》,以及《腾讯服务协议》、《QQ号码规则》、《腾讯微信软件许可及服务协议》、《隐私政策》。”微视APP“隐私政策”栏目内设有“腾讯隐私保护平台”、包含“隐私保护政策”、“价值观”、“产品指引”。“隐私保护政策”中说明了“我们收集哪些信息”、“我们如何使用收集的信息”、“你所享有的权利”。
《微信软件许可及服务协议》是用户注册使用微信时必须同意的协议。该协议首部即导言用加黑字体载明:为使用腾讯微信软件,你应当阅读并遵守《腾讯微信软件许可及服务协议》,以及《腾讯服务协议》、《QQ号码规则》。请你务必审慎阅读、充分理解各条款内容,特别是免除或宪制责任的条款,以及开通或使用某项服务的单独协议,并选择接受或不接受。限制、免责免责条款可能以加粗形式提示你注意。除非你已阅读并接受本协议所有条款,否则你无权下载、安装或使用本软件及相关服务。你的下载、安装、使用、获取微信账号、登陆行为视为你已阅读并同意上述协议的约束。第7.2.2条载明,用户选择微信与其他软件或硬件信息互通后,其他软件和硬件的提供方可以获取用户在微信主动公开或传输的相关信息。用户在选择前应充分了解其他软件或硬件的产品互通功能及信息保护策略。《微信隐私保护指引》首部第V点载明:你可以通过本指引所列途径访问、更正、删除你的个人信息,也可以撤回同意注销账号、投诉举报以及设置隐私功能。第1点我们收集的信息中第1.1载明:当你注册微信服务时,我们会收集你的昵称、头像、手机号码,收集这些信息是为了帮助你完成微信注册,保护微信账号的安全。若你不提供这些信息,你可能无法正常使用我们的服务。你还可以根据自身需求选择填写性别、地区等信息。1.11条载明:当你使用微信给其他软件或硬件互通功能时,其他软件和硬件的提供方在经你同意后可以获取用你在微信主动公开或传输的相关信息。你在选择前应充分了解其他软件或硬件的产品互通功能及信息保护策略。第4点你的权利首部载明:在你是使用微信期间,为了你可以更加便捷的访问、更正、删除你的个人信息,同时保障你撤回对个人信息的同意及注销账号的权利我们在产品设计中为你提供了相应的操作设置,你可以参考下面指引进行操作。此外,我们还设置了投诉举报渠道,你的意见将会得到及时的处理。第6.4.6条载明:撤回向其他应用的信息授权(后面具体说明了在微信中撤回给其他应用授权的路径)。
一审判决并没有区分或解释合法和正当原则,而是直接从本案出发,认为合法和正当原则在本案中的体现就是,被告是否保障了用户的知情权、选择权和删除权。就知情权而言,微信和微视的各种用户协议对于信息共享做了说明;就选择权而言,微视对于微信好友关系的收集为可选择选项,对地区和性别为强制选项,用户如果不同意,只能不使用该应用或者另行注册账号进行登录,这是腾讯公司对微视运营模式的选择,符合该软件社交类应用的产品定位,具有一定的合理性,且微视并不属于大多数网络用户必不可少的应用,市场上存在多款同类型产品,用户也完全可以全责其他符合其需求的产品。就删除权而言,用户可以在微信和升级后的微视中撤销对于微信好友关系的授权,升级后的微视是被告为优化用户体验所作出的选择,得到一审判决的特意肯定。由于知情权、选择权和删除权得到了保障,进而合法和正当原则得到了落实。因此,腾讯公司没有侵害个人信息权益。
案例评述:一审判决关于同意的说理存在以下值得商榷的地方。第一,与微信读书案类似,本案中,一审判决将合法和正当原则等同于知情同意,这是一种基础性概念错误。第二,在关于知情权的分析中,一审判决认为微信和微视的各种协议对信息共享做了说明,且存在“寻找与你共同使用该应用的好友”的授权页面,达到了知情。诚然,《民法典》和《网络安全法》仅要求“明示收集、使用信息的目的、方式和范围”,但是微信和微视属于不同的数据处理者,微信将数据提供给微视,相当于向第三方提供,而数据保护领域对于向第三方提供数据有非常严格的要求,微信的各种协议中含有的向第三方的概括性说明,并不足以达到明确告知用户,微信的好友关系会提供给微视的效果,而且无论是这些协议还是“寻找与你共同使用该应用的好友”的授权页面,都没有说明收集和使用的数据都是什么(例如微信好友的头像、昵称、性别、OPEN-ID等),具体用途是什么。第三,“寻找与你共同使用该应用的好友”,该选项前面的勾选框是默认勾选,用户可以手动取消勾选。这种提前勾选的当时在欧盟是明确无效的。第四,与微信读书案类似,一审判决再次出现了站在企业立场上说话的逻辑,一审判决认为,“就选择权而言,微视对于微信好友关系的收集为可选择选项,对地区和性别为强制选项,用户如果不同意,只能不使用该应用或者另行注册账号进行登录,这是腾讯公司对微视运营模式的选择,符合该软件社交类应用的产品定位,具有一定的合理性,且微视并不属于大多数网络用户必不可少的应用,市场上存在多款同类型产品,用户也完全可以全责其他符合其需求的产品。”翻译过来就是,一审判决再次支持了“乐意用就接受我的条件,不乐意用就请使用别的同类产品。”的逻辑。这一点,在欧盟同样是明确无效的抗辩。而且,即便是在中国,很难想象微视强制获得地区和性别没有违反必要性原则,对于一款视频APP,地区和性别与提供视频播放服务并没有直接关系。第五,就删除权而言(在欧盟,删除权是有效同意的必要不充分条件之一),一审判决认为用户可以在微信和升级后的微视中撤销对于微信好友关系的授权,升级后的微视(的撤销功能)是被告为优化用户体验所作出的选择,得到一审判决的特意肯定。一审判决的这个结论有点令人匪夷所思。因为,即便我国包括《个人信息保护法(草案)》在内都没有提出GDPR中撤回同意应当和给出同意一样便利的要求,但是请注意用户同意微信将好友关系交予微视是默认勾选的,用户只需要点击同意即可完成操作,相反在微信中撤销同意则具有复杂的操作路径,而且路径仅在冗长的《微信隐私保护指引》第6.4.6条进行了说明,而且用户竟然一开始在微视中无法撤销同意,只能通过微信进行操作。一审判决肯定升级后的微视可以进行撤销同意的操作本无可厚非,但是一审判决作出肯定出现的位置只能被理解为是对撤销权是否得到保障的推理。这种获得同意和撤回同意的严重不平衡,很难说符合正当原则,但是一审判决之所以这么推理,是因为其一开始就没有准确把握合法、正当、必要三原则与同意的独立地位,将合法正当与同意混为一谈。