近日,针对媒体报道相关手机应用软件存在侵犯用户个人信息的问题,工业和信息化部信息通信管理局约谈了北京百度网讯科技有限公司(百度)、蚂蚁金服集团公司(支付宝)和北京字节跳动科技有限公司(今日头条)三家企业。工信部相关负责人指出,上述三家企业均不同程度地存在用户个人信息收集使用规则、使用目的告知不充分的情况,要求三家企业本着充分保障用户知情权和选择权的原则立即进行整改。根据相关报道,三家网络运营商均存在通过“默认授权”方式收集用户个人信息的情况。
那么,我国相关法律对网络运营商在个人信息收集方面有哪些要求?通过“默认授权”方式获取个人信息的行为是否构成民事侵权?如果构成侵权,网络运营商可能承担哪些民事责任?以及网络运营商如何正确获得授权?
一、个人信息收集的合法性要求
2012年12月,全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》,该决定第一条规定:“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。” 2017年10月1日实施的《中华人民共和国民法总则》(以下简称“《民法总则》”)第一百一十一条规定从民事法律层面确定了自然人的个人信息权利不受侵犯,不得非法收集、使用、加工、传输他人个人信息等个人信息保护原则。因此,公民的个人信息受法律保护,任何组织和个人不得非法收集。那么,在个人信息收集方面有何规范要求?
《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国消费者权益保护法》均明确规定:“收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”另据刚刚发布的《个人信息安全规范(国家标准)》,收集个人信息时,应取得个人信息主体的明示同意,确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示,并且允许个人信息主体选择是否提供或同意自动采集。
基于对以上法律及相关规范的理解,我们认为,现行法律和规范对收集个人信息的具体要求大致如下:
1. 收集信息必须经用户同意,未经用户同意的,不得收集;
2. 必须明示收集信息的目的、方式和范围;
3. 必须公开收集规则、查询、更正信息的渠道以及拒绝提供信息的后果等;
4. 不得收集与其提供的服务无关的个人信息;
5. 不得以欺骗、误导或者强迫等方式收集信息;
6. 不得违反法律、法规的规定和双方的约定收集信息。
二、“默认授权”式个人信息收集是否构成侵权
蚂蚁金服及其他网络运营商的“默认授权”是个人信息收集行为已受到行政监管部门的关注和批评,但从民事法律上应当如何评价这种行为呢?通过“默认授权”方式收集个人信息是否构成民事侵权?
《民法总则》确立了个人信息权的法律地位及性质,明确个人信息权是一项法定的独立的民事权利。个人信息权主要是指对个人信息的支配和自主决定。个人信息权的内容包括个人对信息被收集、利用等的知情权,以及自己利用或者授权他人利用的决定权等内容。即便对于可以公开且必须公开的个人信息,个人应当也有一定的控制权。【1】
首先,“默认授权”侵犯了用户的“知情权”。充分了解方为知情,网络用户的个人信息知情权体现在以下几点:一是用户应当知悉是否存在收集个人信息这一事实。对此,《个人信息安全规范(国家标准)》也明确规定:“不得隐瞒产品或服务所具有的自动采集个人信息的功能。”;二是用户应当被完全告知个人信息收集的范围、目的以及规则;三是用户有权了解个人信息将被如何使用以及拒绝提供个人信息的后果;四是网络运营商在收集并使用用户的个人信息后,应当告知用户使用的成果及形式。
不少网络运营商在用户注册或其他环节,采用“默认勾选”包含收集个人信息规定的“一揽子协议”,用户往往在不知情的情形下进行了点击,或者短时间内很难从纷繁复杂的协议内容筛选、识别出涉及收集、使用个人信息等重要条款,就连最低限度的知悉都没有被保障,更不用说是收集的范围、目的以及规则。如《芝麻服务协议》中授权同意企业可以收集的信息包括但不限于个人身份信息、行为信息、交易信息、资产信息、设备信息等,甚至企业还可以从第三方机构中采集及处理各类用户信息,第三方可以不需要经过用户再次授权。
其次,“默认授权”侵犯了用户的“选择权”。用户的选择权以知情权为基础,只有充分了解才能做出自愿选择。为保障用户的选择权,网络运营商应当让用户有权选择是否被收集个人信息,以及在用户同意的情况下,让用户有权选择协议中其不同意的内容条款。另根据《个人信息安全规范(国家标准)》确立的“收集个人信息最小化要求”,收集的个人信息应与实现产品或服务的业务功能有直接关联。因此,如果用户不同意的部分并不涉及该手机软件相应正常功能的使用,网络运营商不得拒绝用户的选择。即使涉及部分正常功能使用,网络运营商也应当告知用户该选择会导致部分功能无法使用的事实,由用户自主选择。
“默认授权”往往未给予用户对于个人信息收集的选择同意权,而是在注册页面或其他进入手机应用软件环节页面中直接标注“已阅读并同意XX协议”等内容。有的网络运营商甚至采取了“点击注册即表示同意”的模式,不同意则无法注册使用,并未给用户提供自主选择“确认授权”、“确认同意”的操作步骤,使得用户被迫注册、安装、使用。
最后,“默认授权”侵犯了用户的“控制权”,使得用户在不知情的情形下失去了对自身信息的控制权。个人信息的控制权属于法定支配权的具体表现,用户有权支配控制其个人信息,有权排斥他人使用与自己相同的权利,可以禁止他人非法妨碍自己行使支配控制个人信息的行为。
网络运营商以隐蔽方式收集用户的个人信息,甚至可以从持有用户信息的其他第三方机构中自由获取相关信息,而不再需要用户的二次授权。在未保障用户知情权以及选择权情况下,网络运营商不得行使这一控制权,用户有权要求其立即停止。
因此,我们认为,网络运营商以“默认授权”方式收集用户个人信息的行为已经严重侵犯用户的个人信息权。
三、网络运营商可能承担哪些民事责任
《民法总则》第一百七十九条规定了承担民事责任的基本方式,主要有:(一)停止侵害;(二)排除妨碍;(三)消除危险;(四)返还财产;(五)恢复原状;(六)修理、重作、更换;(七)继续履行;(八)赔偿损失;(九)支付违约金;(十)消除影响、恢复名誉;(十一)赔礼道歉。就网络运营商以“默认授权”方式非法收集个人信息的侵权行为而言,其应当承担的民事责任可能包括以下几种:
(一)停止侵害
根据《网络安全法》第四十三条的规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集其个人信息的,有权要求网络运营者删除其个人信息,网络运营者应当采取措施予以删除。对于已经收集的个人信息,个人信息控制者在重新获得用户的同意才能保存并使用;用户不同意的,应当将已收集的信息删除,不得保留。因此,在未征得用户重新授权同意情形下,网络运营商需要从物理上删除已收集的个人信息,不得留有任何备份;已经对外使用或交付第三方的,应当删除对外链接数据或要求第三方删除相关数据。
(二)赔礼道歉
从民法总则条款的排序上看,立法倾向于将个人信息权界定为一种人身权利,对个人信息权的侵犯亦是对公民人身权益的一种侵犯。因此,除停止侵害外,网络用户还可以要求网络运营商在公开的场合或其自身平台上发布赔礼道歉声明。
(三)赔偿损失
赔偿损失的一个前提是认定损失是否发生及损失的大小,在个人信息被非法收集但尚未使用的情形之下,用户很难举证损害后果或实际损失大小。实践中,个人信息被非法收集之时,并未立即产生损害结果,损害后果往往发生在收集之后的环节中,例如保存环节的泄露、使用环节的非法展示和对外提供环节的共享转让以及公开披露。对于仅处于非法收集阶段而尚未产生实际损害后果时该如何赔偿,现有法律、司法解释并未予以明确。
因此,就损失赔偿而言,有学者建议应当建立法定民事赔偿最低限原则,由人民法院根据侵权行为性质、后果等情节酌定赔偿数额,其意义在于当网络用户无法举证其损害后果或损失时,仍然要求网络运营商给予惩罚性赔偿,否则网络运营商在较低违法成本下仍然不会重视保护公民的个人信息权。因此,可以想象法院在处理此类侵权案件时,给予网络用户一定数额的赔偿将成为其主要的责任承担方式。
(四)精神损害赔偿
如前所述,“默认授权”式个人信息收集是侵犯公民个人信息权的行为,是对个人人身权益的侵害,网络用户将处于一种担心个人信息泄露或被滥用的忐忑心理之中。根据《中华人民共和国侵权责任法》第二十二条以及《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第八条的规定,该行为如果给公民个人造成严重精神损害后果的,可以要求精神损害赔偿。至于如何确定精神损害赔偿数额,法院一般需要根据网络运营商侵害的个人信息内容、侵权方式、场合及侵权结果等因素来进行综合判断。在目前尚无个人信息权精神损害赔偿先例的情况下,法院可能参考此前侵犯隐私权的相关判例酌情确定赔偿数额。
四、网络运营商该如何正确获得授权
基于以上分析,“默认授权”式个人信息收集已经构成民事侵权,并应当承担相应的民事责任。因此,网络运营商收集个人信息的正确方式应当是在保证用户知情权、选择权以及信息控制权的情况下取得用户的“明示同意”。那么,究竟怎样的授权方式才算“明示同意”呢?
一是采用“主动勾选”方式。据《个人信息安全规范(国家标准)》要求,在用户首次安装APP时应弹出一款APP“核心功能需要的敏感个人信息”、“附加功能需要的敏感个人信息”,以及“共享、转让、公开披露的个人信息”等页面,保证用户明确了解并主动作出勾选选择。
二是杜绝“一揽子”协议。通过用户的一次点击,网络运营商将涉及用户个人信息收集、使用的重要条款包裹在一个大协议中,严重限制了用户的选择决定权。因此,网络运营商应当将个人信息收集使用条款作为单独的协议,让用户充分知悉收集的范围、目的及规则。
三是应当“一次一授权”。很多网络运营商在用户已经注销账号后仍保留相关的历史记录及数据,在用户再次登录时即视为已经授权。用户注销账号的行为应视为双方的协议终止,原个人信息收集使用协议不再具有法律效力,用户如果再次注册登录的,应当重新由用户选择是否同意个人信息收集使用协议。
尾注:
1. 王利明:“个人信息权与隐私权有何区别”,中国社会科学网2014年3月24日文,http://www.cssn.cn/zm/zm_bjtj/201403/t20140324_1040048.shtml。
作者:叶永尧 | 顾问律师
叶永尧律师曾在北京法院从事民商事审判工作多年,现为环球北京办公室顾问律师,主要从事民商事诉讼与仲裁、房地产、合规等法律业务。邮箱:yeyongyao@glo.com.cn
声明:本文来自环球律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。