当前位置:首页 > Kaiyun最新官网 > 书刊
万方:网站隐私声明的效力与解释规则 北外法学201902时间: 2024-07-15 01:33:25 | 作者: 书刊
【来源】北宝法学期刊库《北外法学》2019年第2期 (文末附本期期刊要目)。 因篇幅较长,已略去原文注释。
内容提要:目前我国仅从个人信息保护角度对网络经营者处理用户个人信息的行为进行约束。但是隐私声明的法律性质尚不明晰,由此带来的关于其效力及解释等问题也存在争议,导致网络用户的选择权、知情权及个人信息权益落空。对于实践中常出现的同一份隐私条款的中英文版本以及触屏版及电脑版之间内容不一致,认定应当按照合同的解释原理选择不利于格式合同提供者以及最有利于保护消费者个人信息权利的方式来选择适用版本。
一般认为,网站的隐私声明可以分为两类。一类为单一的隐私保护承诺。由于适用该类型隐私保护承诺的主要作用为简单的内容介绍,其所收集的用户资料相对有限,且用户与该类型网站并无任何交易行为,通常认为该类型的隐私保护政策只能作为一种单方声明,是一种单方的意思表示,体现出说明、承诺、选择方案、拒绝的后果等内容,而此种“告示”并非合同,也无须额外取得用户的同意。另一类是附载在某种网络服务之上的隐私声明条款,由于该部分条款一般无法事先与用户进行协商,但是如果用户选择拒绝该条款的内容则会直接导致其无法获得相应的产品或服务。第二种隐私声明模式常出现于经营性网站之中,这是由于该类网站出于开展经营活动的需要不可避免地存在某些收集、储存或使用用户个人信息的行为。《全国人大常委会关于加强网络信息保护的决定》规定网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息不得违反法律、法规的规定和双方的约定。此处的“约定”用语可推导出立法机关对于隐私声明性质的态度——将其视为合同。另外,《最高人民法院公报》中来云鹏与北京四通立方公司服务合同纠纷案的判决书中将新浪网在网站页面上向用户展示的网站服务条款内容认定为格式条款的合同。由此,可以将第二种类型的网站隐私声明之性质界定为格式合同。
我国《网络安全法》明确要求网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。违反此项规定的网络运营者、网络产品或者服务的提供者以及直接负责的主管人员和其他直接责任人员应当依法承担相应的责任。目前我国并未对各经营性网站的隐私声明进行直接规定,仅从个人信息保护的角度对网络经营者处理用户个人信息的行为进行约束。因此,隐私声明的法律效力尚不明晰,由此带来的关于其解释及适用等问题也存在一定争议,导致网络用户的选择权、知情权及个人信息等部分权益落空。本文拟从网站隐私声明的法律性质入手,针对其在现实生活中产生的各种问题进行分析并明确其效力及解释规则。
虽然,根据前文所述,隐私声明在性质上属于格式合同,但是我国对格式合同的法律适用在《合同法》与《消费者权益保护法》的两个立法层面上还存在一定的衔接问题。
我国《合同法》从39条到41条依次规定了格式条款的定义、格式条款提供方的说明义务、格式条款的效力以及解释规则。在实践中,由于法律径行规定当格式条款的提供方未合法履行说明义务时该条款一律无效,显然对格式条款免责或限制责任的情形在处理上没有顾及自由,仅能由我国《合同法》第41条的解释规则予以平衡,赋予当事人一定的解释空间使当事人自由协商的非格式条款成为矫正格式条款的不公平的依托。后最高人民法院又试图以司法解释的方式来调和其中因一刀切而导致的不公平问题,于是又赋予了相对人在格式条款提供方违反合理提示说明义务时的撤销权,以及当格式条款提供方同时违反《合同法》第39条及第40条的规定时法院应当认定该部分格式条款无效。至此,司法解释实际上直接否定了一直以来对于未向相对方提示说明免除或限制其责任的条款视为未订入合同一说,而直接认可该类合同的效力。这不仅是为了消除普通消费者无法理解已经载入合同文书中的条款被规定为“未订入”的逻辑混乱,也符合《合同法》上对于重大误解、显失公平等情形下相对人的有权请求法院予以撤销的法理依据。
我国《消费者权益保护法》(以下简称《消法》)第26条也对格式条款提供方的提示说明义务以及格式条款的效力作出了规定。该次《消法》修订的一大特色是,经营者收集、使用消费者个人信息的原则及方式亦被纳入其中。具体而言,网站的经营者所发布的隐私政策不仅需要符合格式条款的提示说明义务,也需要同时满足收集、使用消费者个人信息的要求。未尽到说明提示义务的经营者不仅需要承担民事责任,若涉及侵害消费者个人信息权利的情形还需要承担罚款、停业整顿等行政责任。
虽然两部法律都对格式条款进行了规定,但是针对网站的隐私协议的法律适用仍然存在一定差别。
首先,两者的价值取向不同。《合同法》针对的是更广泛的交易类型,因此从宏观角度关注格式条款提供方说明义务的具体履行方式,是否在合同订立时采用了足以引起对方注意的文字、符号、字体等特别标识,并以此作为衡量义务履行程度的标尺。而《消法》为了倾斜性保护消费者的权利则选择以列举的方式罗列出需要对消费者予以说明的与消费者有重大利害关系的内容。同时,《消法》的保护范围更广,不仅格式条款,通知、声明、店堂告示等方式都不能对消费者权利有所限制或排除,也不能减轻或免除经营者自身的责任。那么本文文首所列的两种隐私声明,无论是单一的隐私保护承诺还是作为格式合同的隐私政策都应当符合我国《消法》的内容要求,否则该违反的部分无效。从这个角度而言,《合同法》和《消法》的规定并无抵触,而两者互相配合适用能更好地勾勒出经营者在隐私政策中需要承担的责任范围。
其次,两者的义务内容不同。虽然都是从格式条款提供方的说明提示义务着手,但是两部法律规范的内容及主体略有不同。《合同法》要求双方遵循公平原则拟定条款,并要求格式条款提供方提请相对人注意免除或者限制其责任的条款。而《消法》除需满足《合同法》中的告知义务要求之外还对条款的实质内容之公平性进行审查,若其格式条款内容含有作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,甚至利用格式条款及借助技术手段强制交易的,该内容均无效。此时,《消法》实际上综合了《合同法》中关于格式合同以及《合同法》第54条可变更、可撤销合同的相关规定。不同的是,《消法》更为严格且直接地规定在此种情形下合同中部分内容均被归为无效。
《合同法》中的义务主体一般为合同的相对人。而在针对消费者个人信息的存储层面,《消法》将经营者及其工作人员均列为义务的主体,均需向消费者承担严格保密,不得泄露、出售或者非法向他人提供消费者个人信息的义务。该规定突破了合同相对性的限制,对于其他在信息处理环节中有可能侵害消费者个人信息的行为予以纠正,可产生更好的保护消费者个人信息权利的效果。
最后,两者的效力类型不同。《合同法》上格式条款按照其内容的不同及格式条款制定方是否履行告知义务可分为有效、无效及可撤销三种情形。而反观《消法》,只有有效及无效两种情形。两种法律产生效力的差异出现在一种情形之下,即《合同法司法解释二》第9条规定的情形:当提供格式条款的一方当事人违反提示说明义务导致对方没有注意到免除或限制自己责任的条款时,例如,在人身保险合同中,明确规定某种疾病不在承保的范围内,并不能因为保险人违反说明、提示义务而直接认定无效,格式条款接受方可以根据自己的实际情况向法院主张撤销该条款,或由法院依职权认定无效。
两者虽然在义务的内容及效力上略有不同,但并不会造成适用体系上的混乱局面。《消法》在告知义务上的规定对于保护消费者权益具有重大意义,补齐了我国《合同法》上对于告知义务规定过于简单难以操作的短板,为消费者维权提供了法律依据。从特殊法优先适用的角度而言,对于格式条款的效力往往直接按照《消法》的相关规定进行认定。具体来说,针对提供隐私声明的网站经营者而言,不仅需要按照《合同法》的要求采取合理的方式向对方履行告知提示义务,还需要依据《消法》的规定遵守保密义务,公开其收集、使用消费者个人信息的规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
无论何种类型的网站,只要网络用户打开网页开始浏览就立即会留下浏览足迹。对于部分经营性网络服务提供者而言,网络用户点开其网页即可成立合同。另外一些情况下需要网络用户以点击“同意”的方式确认使用。
合同的成立须存在多方当事人,同时当事人之间应当达成合意。实际上,细细阅读各网站的隐私声明会发现其成立往往遵循两种模式,存在不同的问题。
在对各网站的隐私声明进行实体调研期间,笔者发现一种属于行业普遍规则却充斥着剥夺消费者权利的规定普遍存在于各大商品服务及信息服务类网站的隐私声明之中。例如,某购物网站的隐私声明规定如下:一旦您开始使用本网各项产品或服务,即表示您已充分理解并同意本政策。某占国内市场主导地位的搜索引擎之隐私声明亦云:如果您不同意本隐私声明的任何内容,您应立即停止使用本产品和/或服务;当您使用本公司任一产品和/或服务时,则表示您同意且完全理解本隐私声明的全部内容。
以上述某购物网站的隐私声明为例。消费者打开网站页面等同于开始使用其服务,而首次进入该网站的消费者根本无从知晓其隐私声明所包含的具体内容,如何能强令其因点击行为而直接授权网站获取其个人信息?对于消费者而言,更希望获得的是便捷和舒适的消费体验,而网站的隐私声明往往设置于页面最末端极其不显眼之处,不煞费苦心往往不得寻也。如此一来,消费者打开网站即为同意且知情的推定演变成了一场“巧取豪夺”,无论其是否真实知情或同意都已经开始被适用网站的隐私条款。消费者往往在不知情中甚至尚未开始交易就被经营者免费获取了诸如设备信息、日志信息以及搜索偏好等与个人相关的信息。
而在前述搜索引擎的隐私声明中更列明了如消费者不同意其隐私声明的任何内容则应当停止使用其产品或服务的规定。此处并未提及且直接规避了该搜索引擎由于用户的前期使用而遗留给网站的个人信息的处置问题。相比较而言某些旅游预订网站的隐私声明条文就显得对消费者较为友善,如“本隐私声明适用于在本网站上收集的数据”。此种以信息数据为指向性规范对象的隐私声明相对打开页面即为同意的规定而言能更好地保护消费者的利益。
消费者的同意或继续使用该产品或服务的行为性质上属于承诺。由于网站的隐私条款明确列出使用网站的行为即视为同意其隐私声明,那么消费者打开网页的行为完全符合我国《合同法》第22条及第26条的规定,即根据交易习惯或者要约表明可以通过行为作出承诺,且该承诺自根据要约的要求作出承诺的行为时即生效。使得承诺之行为发生法律效力之前提是该行为属于民事法律行为,而民事法律行为以意思表示为要素,即一个适格的承诺行为应当是建立在消费者对隐私声明充分知情且认可的基础上之行为,是基于其自觉将其内部意思外部化的作为。缺乏意思表示的要件无法成立民事法律行为。从时间上来说,该打开网页的行为不可能早于对该网站隐私声明的知情,因此该行为不具有表达知情且同意条款内容的意思要件,不会也不可能产生承诺的效力。
按照前文对于隐私声明的分类,在非经营性互联网信息服务中属于“告示”类的隐私声明无须用户同意可直接生效,但其中涉及处理用户个人信息的问题依然需要遵照《网络安全法》的规定。在经营性互联网信息服务网页上所附载的隐私声明属于合同,因此用户首次点击打开网页的行为并不能直接令该隐私声明产生效力。经营性互联网服务商一般会要求网络用户注册会员以接受其服务,此时网站的隐私声明条款被列入注册协议的一部分,当用户点击“同意”时即视为接受了该协议的全部内容。此时的注册协议亦为无法协商的格式条款,其中如有对消费者有重大利害关系的内容,网络经营者应当进行解释说明,否则该条款可被撤销;如协议中还含有排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,则该条款可能被归为无效。
实际上,以上困境可以从技术的角度找到出路。例如,可通过调整点击网页使用网站服务和阅读隐私声明之间的顺序。2011年5月通过的欧盟指令赋予了个人拒绝网站使用Cookies的权利。具体而言,各网站需在用户首次打开并浏览页面之前在弹出的界面上选择是否赋予网站使用Cookies的权利,即使用户选择“否”也不会影响其对网站服务的后续使用。目前大多数国内网站并没有使用这种醒目的方式提醒用户关注其隐私声明,少数以弹出方式提醒用户注意内容的也并非涉及隐私声明内对个人信息之提取问题。而且即使赋予了消费者以选择权,若其选择“不同意”,往往会直接导致无法浏览页面或无法使用网站的后续服务。我国2019年发布的《个人信息安全规范》已经意识到该问题,并对网络信息控制者剥夺消费者选择权的这种“捆绑式”行为作出了一定的规制。
合同成立以后,当事人不得对自己的要约与承诺随意撤回,合同生效以后当事人需按照合同的约定履行。已经成立的法律行为推定有效,除非存在某些违反强制规范而产生某些效力瑕疵。网站隐私声明的效力主要受其格式条款的性质的影响。
网站的隐私声明一般包括经营者因提供商品或服务收集、使用及共享个人信息的类型、方式和用途,消费者权益意识较强的企业往往还会在网站中告知或以即时提示的方式在收集、使用及共享个人信息时给予用户明示选择权,并在产品设置中允许用户即时撤销授权。由于隐私声明属于格式条款,根据《合同法》第39条的要求,需对涉及免除或限制自己责任的条款进行重点提示。网络经营者往往采取将此类内容文字部分进行黑体加粗或者标下划线处理。但是,对于该部分条款是否产生效力,不仅要做形式上的考察,还需要对其部分内容进行审查,看其是否属于对消费者不公平、不合理的规定。以某购物网站的隐私条款为例,该网站以黑体加粗的形式明确标示出无须征得消费者授权同意但仍可收集其个人信息的情形,包括但不限于:与国家安全、国防安全有关的;与公共安全、公共卫生、重大公共利益有关的;学术研究机构基于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;以及法律法规规定的其他情形。这些规定虽然在客观上是对于经营者告知义务的免除,但是若从各项内容单独分析则不难得出消费者权益并未因这些保护其他重要利益而受到侵害的结论。因此,该部分条款有效。
在某些特殊情况之下本应当由网络运营商承担的责任,由于其使用语言进行“巧妙”包装,从实体上将责任和风险转嫁给了网络用户,将隐私声明变为免责声明。例如,某网站在隐私声明中用醒目的方式列出对于未成年人保护的内容:本网站非常重视对未成年人个人信息的保护。若您是18周岁以下的未成年人,在使用本网站的服务前,应事先取得您家长或法定监护人的书面同意。该声明并非本着保护未成年人利益的初衷,而是将本应当由网络运营商承担的告知及获取同意之义务转嫁给未成年人,实际上降低了自身的责任,对于后续可能发生的未成年人信息泄露等问题采取了回避态度,因而该文字的性质更接近免责声明。某招聘网站同样用黑体字标示出其责任免除的部分内容:尽管本网站已经采取了相应的安全防范措施,仍可能不可避免某一第三方躲过了我们的安全措施并进入我们的数据库查找到您的简历。本网站认为在您把您的简历放入我们的数据库时,您已经意识到并同意承担这样的风险。对于因此而引起的任何法律纠纷,本网站不承担任何法律责任。此项声明违反了工信部颁布的《电信和互联网用户个人信息保护规定》(后文简称《保护规定》)中厘定的电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责原则,体现出对消费者权益的漠视态度。同时也不符合《保护规定》中对于用户个人信息泄露后的操作规程,与我国保护网站用户个人信息安全的态度背道而驰。对于这些直接侵犯消费者权益的内容应当按照《消法》第26条的规定,认定以格式条款的方式减轻免除了经营者之责任的条款内容无效。
条款的无效与合同整体的效力是分离的,单独合同条款的无效不会导致合同整体无效因而不会完整影响当事人之间的权利义务关系。相反,确认条款的无效甚至可以被视作为保全合同整体效力的“截肢”行为。若按照我国《合同法》的规定,显失公平应当是基于整个合同对于当事人双方权利义务分析得出的结论。单独对某个条款进行是否显失公平进行判断是危险的,会导致当事人为达到逃避履行合同义务而人为肢解合同的各部分。从判定公平性的角度而言,合同本身应当被视为一个整体,不应当也无必要单独评价各条款是否具有完全的公平性。对于合同无效的规定应当作出趋严适用,这是由于合同本身是双方合意的结果。由外力来干涉合同效力的行为会在一定程度上影响到合同的稳定性,因此对于合同绝对无效的标准应当慎之又慎。一般若合同不具有影响到第三人利益或双方恶意串通损害国家及社会公共利益的情形不宜直接认定合同无效。即使出现对于一方不甚公平的条款,若直接认定无效反而容易造成违法一方当事人逃避合同责任的途径。法经济学家也从不同角度得出坚持履行合同往往比不履行合同更有效率的结论。在格式条款的情形下,一方当事人由于完全未参与条款的制订,欠缺合同成立所需的合意要件,此时以法律规定的方式来平衡双方的权利义务关系给予未参与制订条款一方更多的选择利益反而是出于对公平的斟酌。
根据我国《网络安全法》的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围。网络运营者往往以发布隐私声明的方式来履行其告知义务。“明确”的使用目的,又称“目的限制”原则(purpose limitation),如何界定隐私声明中所称的“明确”使用之目的是判断其是否遵守法律规定以及约定的重要参考因素。
目的限制原则是欧洲的数据保护的基本原则之一。一般认为,目前GDPR中所使用的目的限制原则源自《欧洲人权公约》(ECHR)第8条关于隐私的保护,后欧洲理事会(Council of Europe)发布了《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,下称《公约》或“108号公约”)更为明确地规定了除非法律另有规定,所收集的信息需被严格限定的原则。这种严格限定体现在:首先,不得以未明确的目的而存储信息,此时目的是否明确由国家制定法律来进行规范;其次,处理数据的目的不得与初始目的不相容(incompatible);另外,该原则与数据最小化原则产生积极联动,以保障收集的数据足够、相关且不得超出其存储的目的之范围;最后,决议也提及若能将数据匿名化则不受以上原则的约束。GDPR的第5条第1款直接将目的限制原则表述为:个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。同时该条款也适当保留了一项例外情形,即因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的。
我国已生效的国家标准《信息安全技术个人信息安全规范》中首次清晰地规定了目的明确原则,即处理个人信息需要具有合法、正当、必要、明确的处理目的。中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》称,在调查中发现首要的问题就是App过度收集和使用个人信息的情况。100款App中,59款App涉嫌过度收集“位置信息”,过度收集或使用个人信息的情况较多,另外“通讯录信息”“身份信息”“手机号码”也是用户个人信息过度收集或使用较多的内容,在受测评中分别有28款、23款、22款App涉嫌存在此类情况。除此之外,用户的个人照片、个人财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。实际上,除部分未制定隐私声明的App,许多被调查的App的隐私声明也大多并不符合目的明确原则。虽然,网站经营者往往已将收集用户个人信息的内容及目的公布于其隐私声明之中,但是往往由于声明中的语言太过于晦涩,目的并不明确。隐私政策笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限和地点等未明确说明不仅违背了目的明确原则,同时也使隐私协议的效力受到影响。即使用户点击了“同意”,也会由于该告知义务本身的瑕疵而使得处理个人信息不具有合法性。
但是,随着大数据的使用越来越广泛,目的限制原则本身也受到了诸多质疑。其中最知名的一个例子是谷歌流感趋势预测。预测流感趋势并非团队收集信息的初衷,只是在对大量数据分析的基础之上偶然所得。当然,仅仅从成本收益的角度来看判断是否应当继续适用目的限制原则会忽略个人数据的人格权属性。由于个人数据信息与自然人的人格独立性、完整性休戚相关,因此其一旦遭到泄露滥用会直接影响到自然人的日常生活,甚至造成巨大的精神利益上的损害。这种损害无法直接量化并以数字的形式体现在成本分析之中,也就无从以此为基础研究该原则存废的合理性。目前,具有参考性的是美国所采取的“风险性评估”手段,风险性评估实际上从理论上跨越了个人信息处理的目的限制原则,突破了将信息的使用限定于原始收集目的的约束,能够让个人信息的价值在社会生活中产生最大化效应。
合理地明确使用目的,应当从三个维度着手。首先,考虑收集个人信息目的的合法性要求,即不得收集法律法规明令禁止收集的个人信息。其次,考虑信息收集目的的具体性。例如所收集的信息类型是否与实现产品或服务的业务功能有直接关联,即无该信息的参与产品服务本身的全部功能无法合理实现。最后,要衡量采集个人信息的行为是否与目的相符。这就需要考察个人信息收集的频次以及数量是否为实现产品业务功能所必需,否则即为超出使用目的的信息收集行为。
目前,由于许多网站涉及大量的境外用户,因此在网页设计上采用了多语言文本的方式。此时,网站的主体内容均存在不同的语言文字版本,但文字所体现的内容具有一致性。通过对比分析,笔者发现部分网站的隐私声明中英文版本并不一致。虽然在文字上并无直接相互抵触的内容,但是英文版本往往会承诺更多的义务,同时赋予消费者更多的信息披露选择权。
例如,某网站的英文版隐私声明:顾客可删除或根据自己的偏好重新设定自己的账户信息。但其中文版的隐私声明中并未包含此项内容。同时,该网站英文版的隐私声明详细地列明了该网站将会提取的消费者相关信息及数据,包括IP地址、浏览页面以及浏览时间等信息用于内部商业运营及市场营销目的,这些目的包括但不限于:①应客户要求提供产品及服务;②为网页提供个性化的营销提供素材;③为客户提供特殊产品以及推荐新产品。而对应的中文版本中却丝毫未提及对于以上用户信息的使用问题。
出现这样的现象,一方面是不同国家及地区对于个人信息权利保护及隐私声明的立法有较大差别,导致对不同地域消费者的最低保护标准有差别。以欧盟及美国为例。欧洲法模式以制定统一的个人信息保护法为特征,因此又称统一模式。在此立法模式下,欧盟通过制定综合性的个人信息保护法律对个人信息全生命周期进行管理。美国则采用分散立法和行业自律相结合的模式,对个人隐私保护进行分散立法。
各国关于隐私声明的立法要求及适用范围均有所不同,直接导致了网络隐私声明的区域化差异。具体而言,美国联邦层面并没有针对隐私声明的统一立法,仅在儿童隐私保护方面有所关注并推出了美国儿童网络隐私保护法(COPPA)。在州立法层面,加利福尼亚州网络隐私保护法案(CalOPPA)对隐私声明问题作出了明确规定。该法案不仅适用于所有加州地区提供互联网服务的企业,也同时能对使用境外网络服务的本地用户起到保护作用。加拿大政府推出了个人信息及电子数据法案(PIPEDA),该法案仅对加拿大公司适用,要求所有处理个人信息的网络及实体企业均采用隐私声明的方式向用户进行披露。英国的1998年数据保护法仅对英国企业有约束力,要求企业任何收集、储存及使用个人信息的行为需满足法令要求,同时贯彻最小使用原则。欧盟对于网站隐私声明的规制最为严格,适用范围最广(适用对象为所有欧盟国家公民)。2012年欧盟监管机构曾要求谷歌公司大幅修订其隐私声明,尤其针对其内部平台对于用户个人数据的分享问题,如拒绝执行则将对其进行制裁。之后,谷歌公司根据欧盟的要求对其隐私条款作出了广泛和全面的修改。美国的个人信息保护是从消费者保护法的角度入手,要求企业必须以消费者实际使用的终端上容易阅读的形式,提供关于隐私声明的告知。
我国的《网络安全法》虽并未明确要求网络运营者必须在网站设置隐私声明,但是在《网络安全法》第22条及第41条中明确规定了网络运营者收集、储存及使用用户信息的方式,并需要满足向用户明示且取得用户同意的要求。同时,工信部颁布的《保护规定》中还要求电信业务经营者、互联网信息服务提供者在自己经营、服务场所或者网站上公布用户信息收集及使用情况。除此之外,2017年7月中央网络信息办公室、工信部、公安部、国家标准委四部门联合开展隐私条款专项工作,对十款网络产品和服务的隐私条款进行评审。由此可见,我国实际是以要求提供经营性互联网信息服务的网络运营商在网站设置隐私声明的方式履行向用户披露信息收集、储存以及使用情况之义务的。但是,实际上对于提供非经营性互联网信息服务的网络运营者并没有此类强制设立隐私条款的要求。由此可以推定并得出结论:我国目前仅对于提供经营性互联网信息服务的网络运营者有强制设置隐私声明的要求。但是对于具体向用户告知信息的内容和方式并没有作出更为细化的规定,同时,许多网站并没有按照法律规定在取得用户信息时征得用户的同意。
经营者出于对成本的考量以及对消费者权益的漠视而提供不同语言版本之间无法对应的隐私声明条款,那么,在各文本并未标示出特定的适用对象的前提下,不同语言版本的隐私声明究竟属于不同的合同还是属于一份合同的不同文本?笔者认为如在隐私声明中无对于适用地域及人群的特别保留,则无论哪种文本的隐私声明对于消费者而言都可以平等适用,并不能因为国内的用户更习惯使用中文页面而自动排除英文版隐私声明的适用空间。
根据我国《合同法》第125条的规定,合同文本采用两种以上文字订立并约定具有同等效力的,对各文本使用的词句推定具有相同含义;各文本使用的语句不一致的,应当根据合同的目的予以解释。该隐私声明的订立目的自然是为了保护消费者的合法权益,保障其个人信息及相关的数据不被不合理地泄露及使用。在此种语境之下,自然是应当适用对消费者权利保护更为周延的英文版本之隐私声明。另外根据《合同法》第41条的规定,对于格式条款的理解产生争议的,应当作出不利于格式条款提供方之解释。对于提供格式条款的网络经营者而言,直接适用英文版本的隐私声明对其约束更多、要求更高。因此,无论是根据《合同法》第125条抑或《合同法》第41条,均会导致对消费者知情权和个人信息权保护更为完备的英文版本隐私条款的适用。
虽然在技术框架和操作系统上存在差异,但无论是在移动触屏版通信设备还是在电脑的使用过程中,服务提供商均有收集所需个人信息的技术支持。但是,不同设备所收集的信息种类及用途会略有不同。例如,手机等设备的客户端会记录所下载使用的App启用频次,以及调用手机用户的位置信息,甚至访问收集通讯录,而此类信息对于电脑版而言既无必要有时也无收集的可能。因此,触屏版和电脑版网络由于其使用系统不同、提供内容不同、收集信息侧重点不同,确实存在不同的隐私声明的适用空间。
欧盟委员会于2017年1月10日提出一项新法案《隐私与电子通信条例》(Regulation on Privacy and Electronic Communications)以加强对于电子通信数据的监管。该法案将即时通信、 VoIP等OTT服务纳入监管范围,规定任何电子通信数据如短信、电子邮件、通话等的收听、截取、存储、监控、扫描或者其他类型的拦截行为均需被禁止。对我国而言,考虑到触屏版和电脑版网页的使用主体的一致性以及国家对于个人信息保护的强制性要求,两者虽然可以允许有部分内容上的差异,但是仍然需要满足明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等要求,并以适当的方式获取信息主体的明确同意。因此,同一主体从不同渠道(触屏版电子设备或电脑)登录网站界面时,网络经营者可以根据不同的设备所提供的服务提供不同版本的隐私声明,但是底线要求是仍需要履行我国《网络安全法》第四章所规定的网络经营者对主体的个人信息保护义务。
近些年来,随着我国对于网络安全和个人信息保护的重视逐渐提高,人们开始越来越多地关注网站提供的隐私声明。网站的隐私声明既是网络经营者与网络用户就收集、存储和使用用户个人信息的行为进行的约定,同时也是网络经营者履行其按照法律规定的强制信息披露义务的途径。强制披露的告知义务之履行与网络用户的知情权保障之间仍然存在一定的鸿沟,网络经营者仍有可能以晦涩的语言表述、不同文字版本的说明等方式规避其应当履行的义务,但是合理利用格式条款的规制规则以及合理的法律解释可以尽可能缩减其间的差距,真正实现保护网络用户个人信息安全的初衷。
7.帮助信息网络犯罪活动罪中“明知他人利用信息网络实施犯罪”的“犯罪”概念研究
《北外法学》(BFSU Legal Science)创刊于2019年,是由北京外国语大学法学院主办、中国社科文献出版社定期出版的学术集刊,每年两期,上半年和下半年各出一期。本刊强调原创、重视学术规范,主张以国际化的视角研究中国问题,致力于为中国法治事业和中外法学交流提供智力支持。