电子合同情形下个人信息收集如何获得用户同意?
前不久,花呗的用户协议经网络媒体披露后在微信朋友圈刷屏,引起轩然大波,大家纷纷惊呼怎么你们家连我打电话时长几分几秒这样的具体个人信息都要收集?由于点击合同用户只有“同意”的权利,大家才想起来平时一向只对用户协议点击同意,大多数人可能压根儿没想过还应该要看一下呢。
其实对于从事网络安全法研究的人来说,一眼就能看出这是企业在履行网络安全法等法律法规规定的合规要求,因为法律要求企业收集用户信息必须经过用户同意,按照法律的要求,通过用户协议要求用户授予权限,正规企业才老老实实改协议,告知你它要收集这么、那么多信息,但公众和媒体又不接受,如此则守法合规的吃亏,那些压根儿不管什么法律要求的企业,收了你的隐私又怎么样?也没见怎么着呀?企业和监管机构该怎么办呢?
新华社的调查报道显示,手机应用软件无一例外要求用户全部提供各种权限,比如手机识别码,安装应用清单,地理位置,读取、发送短信、拨打电话,读取通讯录,等等,报道提到某同一款软件的苹果IOS版本与安卓版本对于权限索取要求居然是不同的,笔者分析这很可能是基于苹果市场的隐私保护原因。因为苹果是全球运营的总部位于美国的公司,他们的隐私保护深受美国法律影响,而安卓手机厂商和应用市场服务商都是本土企业,因此比较严格适应中国法律文化,这也是为什么在应用市场很多问题上IOS版本与安卓版本有差异的原因之一。大家不妨翻一下自己的手机安全软件,看一下授权情况,再下载或者回忆一下软件下载后的告知页面,是不是这样?
法律上,这种通过用户协议获取用户授权的属于概括性授权,在中国授权可以分为概括性授权和特别授权,前者如过去民间常说的“全权代理”,现在中国法院不认这种笼统的授权方式,要求对于“承认、变更、放弃、诉讼请求,和解,调解,上诉、反诉”等事关当事人重大权益的必须有当事人写明的特别授权。当然这是在诉讼中的要求,对于手机软件获得用户的收集个人信息的同意,这种概括性授权是否符合法律关于必须征得用户同意的条件呢?
先假设一下,法院认定可以。那么可能导致的结果局面就是,各公司无非聘请好的律师把用户协议关于要求授权的内容写得尽可能地多一些、尽可能长一些、尽 可能完备一些,用户基本上也还是不会看,也不会注意到的,也就仅此而已,其他没啥改变,果真如此的话,这是我们立法的目的和原意吗?
我个人的学术观点是,对于手机应用软件的权限索取要求,应当借鉴诉讼授权区分重大权利的思路,区分敏感个人信息权限和一般个人信息权限,对于一般个人信息,可以通过概括性授权予以同意,也就是通过用户协议点击合同的方式予以同意;对于敏感类的个人信息,则不能通过概括性授权同意,而应当坚持“个别告知、逐次告知,特别授权”同意的方式,那么,接下来就有几个问题,第一是敏感信息如何界定,第二敏感信息授权如何实现个别告知、逐次告知与特别授权,第三,如何平衡法律合规要求与用户体验。
第一个问题,敏感类个人信息如何界定
按照诉讼特别授权的思路,笔者以为敏感类个人信息的界定应当由法律法规、规章和规范性文件予以明确,最高人民法院关于侵犯个人信息罪的司法解释也是区分信息敏感程度的等级,也是类似的思路。结合目前各企业的实践来看,地址位置信息首当其冲是应当经每次提醒个别授权的敏感信息。我个人认为地理位置也应该区分可以精确到市县的大致位置和精确到目前技术可以达到更为精确的适应导航需求的位置信息,但不能太精确以免道德风险。对于前者可以从宽许可,后者则必须逐次告知并获得许可,因为这是事关用户安全的,一旦不慎可能导致重大安全风险,多年前我在业内一些会议就一直表达这样的观点,我很欣慰看到目前主要企业的技术设计思路也基本遵循了上述原则,这说明在事关安全隐私的重大问题上,设计人员和企业大多数还是有底线的。
读取、发送短信、读取通讯录,拨打电话,等等这些信息也属于敏感个人信息,但这些信息获取一方面要考虑应用的目的和读取信息的用途,比如对于通讯录管理软件和名片类软件,读取通讯录目的就在于履行合同,可以认为收集是正当的,但如果一个听书软件,读取通讯录和发短信就不一定有正当性。这个说明与证明正当性的责任,当然应当由个人信息收集者来承担。
第二个问题,如何实现个人信息的授权
对于非敏感信息,企业通过一个用户协议告知一下,象征性的,也算有了合同,勉强说得过去。而有些企业为了实现自己的商业目的,在一个应用软件内捆绑越来越多的内容,然后以自己具有相关业务为由要求获得用户的敏感个人信息,这种要求是否正当呢?这就涉及法律关于收集个人信息应当遵守“必要”原则,这个“必要”应解释为对用户的必要还是对企业的必要问题,我认为比较理想的状态是企业在应用设置时应该将信息收集设置为用户可以自行选择,如果用户选择了要求提供相关服务,却没有选择开通权限,用户调用服务时你需要开通权限,你再去要求用户开通不迟,如果可以做得更好一些,那就像国外有些网站通过技术设置强迫用户必须逐条阅读、点击同意用户协议否则不走向下一条那样,你可以设置为循序渐进的逐次获取同意,比如要求用户授权获取市县大致位置信息后,再请求获得比如大约200米精度的位置信息,这样逐步给人选择,才是尊重用户隐私和平衡实现企业商业目的的最佳途径。
其实现在很多手机软件虽然在下载和安装时没有提供选择,但通过安全软件,仍然可以关闭对上述敏感信息的授权。所以,从一定程度上来说,企业也可以解释为已经落实了网络安全法等法律的关于必须获得同意的合规要求。只不过,由于绝大多数中国互联网用户都属于“小白”,因此,这种所谓尊重用户的个人信息权利全靠企业的良心了。
第三个问题,可能企业技术人员会提出,如果按照最敏感的位置信息要逐次告知并获得同意,那比如在高速行驶的车辆上,基站一个个迅速变化,是否不停向用户发送请求?如此岂不是骚扰用户?
其实现在的实践已经实现了这种法律合规与用户体验的均衡,您看你位置变化现在大部分地图软件都会提示,但也不会过于频繁,这就是商业实践已经认识到合规要求与用户体验的平衡,相信我们的监管和司法审查也一定会认识到这一点的。
需要说明的是,虽然我曾经在起诉工行的公益诉讼二审中提出过概括性授权是否满足法律关于同意的要求的法律问题,但由于二审改判我败诉,法院并没有给出结论,以上观点仅仅是我学术研究的一家之言,我期待这一天尽快到来,但各位读者不妨看看现在自己手机里面的个人信息收集情况,大概也知道这当中有多大的困难要去逐步克服。
*本文作者:刘春泉(上海段和段律师事务所合伙人 中国电子商务协会政策法律委员会副主任)
刘春泉原创学术观点,。转载请遵守著作权法,注明出处并支付稿酬。
=