不久前媒體報道,有細心的手機用戶借助于隱私記錄功能,查看手機上安裝的App訪問個人信息的情況,結果令人震驚。某移動教學App在十幾分鐘之內訪問用戶手機照片與個人文件接近25000次;另外一款辦公App,一個小時之內自發啟動7000次,不停地讀取用戶的通訊錄;還有App之間彼此呼應,啟動一個,自動喚醒另外十幾個,彼此“協同作戰”,大量讀取用戶信息。面對用戶提出的,這種做法是否侵犯個人信息權益的質疑,App運營者最方便、最現成的托詞就是:用戶安裝App的時候已經點擊了同意,建立在用戶同意基礎之上的行為是被允許的。但這種說法能夠成立嗎?
隨著社會生活日益互聯網化,人們越來越離不開各種各樣的App。我們在獲取App運營者提供的相應服務時,需要與其達成合意,同意其提出的某些條件,特別是授權其獲取相關個人信息,這是自愿原則的體現,本來也無可厚非。事實上在很多場景下,獲取用戶的特定信息本來就是App可以發揮作用的前提條件。設想一下,用戶使用導航軟件,卻又不愿意提供自己的位置信息,這本身就是自相矛盾的。但必須注意到,在收集個人信息方面,用戶的“同意”,并不是運營者可以包打天下的擋箭牌,更非其可以恣意妄為的借口。
首先,個人信息保護,在性質上是屬于自然人基本人格權益保護,這同一個國家的基本法律秩序與價值觀存在密切聯系,因此涉及個人信息保護的法律規則,有相當多的內容具有強行法的特征。這些規則不會因為當事人的合意而改變,必須得到遵守。舉例來說,我國消費者權益保護法、網絡安全法都強調經營者、網絡運營者“收集、使用個人信息,應當遵循合法、正當、必要的原則”,即將實施的民法典第1035條也規定:“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理”。這一規則就是強制性規則。如果App運營者過度收集對于App運行來說根本不必要的個人信息,就屬于過度收集個人信息的違法行為。即使用戶在安裝App的時候點擊過“同意”,相關的個人信息收集行為仍然不具有正當性。還需要注意的是,所謂的用戶知情同意,指的是即使App運營者收集用戶個人信息的行為在整體上沒有違反合法、正當、必要的原則,也仍然需要獲得用戶的同意。對此,網絡安全法、消費者權益保護法規定得都非常清晰:獲得用戶的同意與遵循合法、正當、必要原則,是“并列”關系,缺一不可。民法典也有相關規定。就此而言,用戶同意,不可能具有授權App運營者違反該原則的效果。這是因為我國的個人信息保護法的相關規則具有強行法特點,相關規則,不能被當事人的約定予以排除或改變。
其次,即使用戶在安裝App的時候點擊了“同意”,也并非一概可以解釋為已經概括地對App運營者所有的個人信息收集行為,都進行了有效授權。現在有一種情況相當普遍:App的運營者在用戶安裝協議中以模糊不清的表述,要求用戶一攬子地、概括地同意其收集相關范圍根本沒有得到清晰描述的各種個人信息。用戶對這種條款的同意并不意味著App運營者想怎么干就可以怎么干。這種所謂的一攬子授權,在很多情況下,其實沒有法律意義。因為在個人信息保護領域所講的用戶同意,是一種具有嚴格內涵的“知情同意”,也就是基于App運營者一方,對個人信息收集條款的意圖、目的和范圍之類的要素,作出明確解釋和清晰告知基礎之上,用戶一方給出的同意,才是有效的同意。如果運營者給出的相關表述含糊不清,一般用戶根本理解不了其含義,這就不屬于明確的解釋;如果把個人信息收集條款夾雜在一大堆其他文件之中,使得用戶無從識別其特殊的重要意義,這不屬于清晰的告知。如果存在這些情況,都不符合用戶“知情”的前提,相應的,用戶給出的同意也就沒有多大的價值。我國合同法和即將實施的民法典均規定,格式條款的使用者,如果不對涉及相對人重大利益關系的條款進行提示和說明,那么相關的條款不被視為訂入合同之中。這種情況對于App運營者一方制定的收集個人信息的格式條款,同樣是適用的。
筆者在這里并非為App運營者收集用戶個人信息的行為扣上一頂“原罪”的帽子。事實上,正常的收集用戶個人信息的行為,并不為法律所禁止,用戶對此也可以理解。但正如筆者反復強調的是,畢竟個人信息保護涉及個人基本人格利益,具有強烈的倫理性因素,國家的相關法律對其有底線性要求。而這些底線是任何App運營者不得逾越的紅線。就此而言,用戶在安裝App的時候,點擊的那一下“同意”,并不能成為某些運營者在個人信息收集處理問題上恣意妄為的借口。(作者:薛 軍 系北京大學法學院教授,北京大學電子商務法研究中心主任)
(責任編輯:梁艷)
晉公網安備 14090202000008號 
