金枪哥喷剂官网
9958874
9958874
支付宝年度账单反思录
作者:季 旭
北京大学法学院2017级金融法方向法律硕士(法学)
来源:《金融法苑》总第99辑
主办:北京大学金融法研究中心
主编:彭冰
本辑执行主编:李敏
中国金融出版社2019年6月出版,北大法宝V5期刊数据库、中国知网等期刊数据库收录,更多信息请登录:
北京大学金融法研究中心网站(www.finlaw.pku.edu.cn)和关注微信平台(北京大学金融法研究中心、Pkufinlaw)查看
摘要:支付宝自动勾选《芝麻信用协议》的行为违反了告知—同意的个人信息收集规则。但有网友表示支付宝的行为并无苛责之处,因为本身也没有人阅读协议。本文就此反思了告知—同意规则,认为面对复杂的隐私条款,用户没有能力作出适当判断。就算用户有能力,不计其数的隐私条款与信息的聚合效应使用户无法在全面评估信息透露风险的基础上进行决策。遗憾的是,无论是将隐私条款简单化,还是利用技术手段,都无法避免告知—同意的弊端。因此,本文认为,政府应当介入线上消费者信息安全保护,加强对隐私条款的监管,同时重视个人信息的后续使用和分析监管。
关键词:告知—同意规则 隐私条款 政府监管
伴随着2018年钟声的敲响,支付宝推出的个性化年度账单迅速占领了微信朋友圈。一时间,晒清单、晒预测成为新年刮起的第一股时尚之风。遗憾的是,这股时尚之风似乎以迅雷不及掩耳之势逆转为新年第一股侵权之风即芝麻信用官方道歉,年度账单负责人被有关部门约谈。
一、支付宝年度账单事件
(一)风风火火晒账单
时间总是偷偷流逝,打开账单,这一年是不是过得不太一样。动人的文案,加上流行的焦糖色作为主调的文艺配图,支付宝于2018年1月3日推出支付宝年度账单。独特的创意使其在一系列的年底账单大战中脱颖而出。
小王也被这样动人的文案吸引,迅速整理了自己一年波澜壮阔的内心,颤抖着在焦糖色的背景图上滑开了自己的账单。年账单上,2017年12月30日的日历纸像落叶一样飘下,日期转向了2017年的最后一天,网购、缴费充值、全年出行、线下支付、信用守约等页面慢慢滑过。视角也逐渐从客厅中的一角向外扩展至街道、城市,乃至地球,汇聚成了一张全年总消费扇形图,显示一年里你到底剁了多少次手。小王一边肉疼,一边感慨着自己居然花了这么多钱。最终,一张由蚂蚁智能助理总结的年度关键词图片显示出来,小王定睛一看,颜值正义;小王内心甚喜,顺手转发至微信朋友圈。小王心想,只有这样高端的消费水准,如此精准的年度关键词,才符合自己低调奢华的人设,就等着别人点赞了。
显然,英雄所见略同,支付宝年度账单迅速成为年度首个爆款,湮没了你我他的微信朋友圈,朋友圈里一派喜气洋洋。
(二)隐隐约约有风险
在晒账单、互相点赞的温情中,突然出现了不同的声音。当天下午,一名叫岳屾山的律师发微博称支付宝侵犯了消费者的选择权。据他描述,在支付宝年度账单首页有一行特别小,并且已经被自动勾选的选项:我同意《芝麻服务协议》。账单的查看与《芝麻服务协议》没有关联性,就算取消同意,也依旧可以看到年度账单。但如果没有注意到这个选项,就会视为直接同意这个协议。此外,首次勾选后,再次点进账单页面,这个选项就会消失。同时,这名律师晒出了《芝麻服务协议》的具体内容。[1]
一石激起千层浪,这件事情很快引起了大家的关注,不少人惊诧,支付宝账单首页竟然有这个选项?我怎么没看到?小王也十分诧异,急忙点开了岳律师晒出的账单首页。原来,在文案的下方,有一行极小的蓝色字,悄悄地藏在了棕色的背景下,几乎与背景融为一体。一定只有处女座才能看见这行字,小王心想,不过《芝麻信用协议》的内容究竟是什么呢?为什么账单要自动勾选同意该协议呢?其中到底有什么不能言说之事呢。支付宝年度账单竟然偷偷帮我们勾选了协议,小王隐隐约约觉得这件事情并不简单。
(三)叽叽喳喳来讨论
《中国消费者报》立刻针对事件编发《紧急!查看支付宝年度账单前,请先看看这个》的文章。文章迅速取代之前的支付宝年度账单,引爆了微信朋友圈。无论是在微博上,还是在微信朋友圈中,关于支付宝年度账单的讨论迅速升级。
网友的评论主要分为三派:一派痛斥支付宝店大欺客,侵犯消费者的选择权与隐私,决定再也不用支付宝了;另一派坚定支持支付宝,认为支付宝账单根本不是事儿,美其名曰反正自己的信息不值钱就算没有自动勾选,也没有人会去看协议内容,觉得支付宝自动勾选反而帮自己省事儿;还有一派则不动声色,只是含糊提及支付宝侵犯消费者的选择权,呼吁大家赶快去取消授权。其中,第三派的意见居多。
同时,有人对支付宝账单的舆情作出报告,发现舆情最激烈的地方恰好位于腾讯的总部——广东。支付宝年度账单事件马上被阴谋化,事件变得更加扑朔迷离。
小王看着大家的评论,一方面,觉得支付宝问都不问自己,就勾选同意的行为着实气人;另一方面,也觉得就算是让自己选,自己也会在不阅读协议具体内容的情形下,选择同意协议,似乎也没有什么差别。小王想了想,摸不着头脑,便跟风前往支付宝取消了信息授权。
(四)模模糊糊道了歉
1月3日晚23时34分,芝麻信用官方微博针对《中国消费者报》报道所质疑的侵犯消费者知情权及选择权问题作出回应,称默认勾选我同意协议这件事肯定是错了,并就此事给大家带来的恐慌和误解表示歉意。1月4日零点7分支付宝官方微博转发芝麻信用认错微博,表示我也不知道该说什么,一起承担吧,也算是模模糊糊地表达了歉意。
年度账单方面也紧急作出调整,取消2017年账单默认同意选项,并于随后,支付宝账单上的《芝麻服务协议》变更为《在年账单中查询并展示你的信用信息》,明确提示为了供你了解这一年的信用成就,你授权支付宝查询你的芝麻分及信用履约记录等信息,以用于在年度账单中向你展示;并提示在你完成授权后,如你想关闭对支付宝的授权,可在支付宝App里取消授权。
芝麻信用、支付宝回应后,很快小王便忘记了这件事情。一个月后,小王为了使用芝麻信用,重新勾选了同意《芝麻信用协议》。当然,小王没有点开协议,也不知道协议里面到底说了什么。
(五)悲悲凉凉被约谈
支付宝年度账单事件作为2018年年初消费者最为关注的热点新闻事件之一,自然也引起了监管部门的关注。1月6日,国家互联网信息办公室约谈了支付宝与芝麻信用的有关负责人,要求其采取有效措施,防止类似事件再次发生。网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺;应严格按照《网络安全法》的要求,加强对平台的全面排查,进行专项整顿。[2]
(六)有喜有忧来总结
支付宝账单事件中,令人欣喜的是,我国公民法律意识提升,越发关注个人信息保护。但遗憾的是,广大网友们尽管有了个人信息意识,但对其安全保护关注不够,更多的是一时兴起,来得快去得也快。此外,尽管《芝麻信用协议》内容暂时引起了大家的关注,但面对各个App中纷繁复杂的隐私条款,绝大多数人仍然是束手无策,只能轻松而欢快地click一下。
针对支付宝年度账单事件的新闻铺天盖地,但是相关法律文章寥寥无几。因此,本文试图从个人信息收集角度对事件进行分析,作出反思。
二、支付宝做错了什么?
网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺。那网络运营商在收集使用个人信息时应该怎么做呢?支付宝收集使用个人信息的方式哪里有问题呢?
(一)我国个人信息收集的原则
根据《网络安全法》第四十一条规定,网络运营者在收集、使用个人信息时,应当明确告知被收集者收集、使用信息的原因、方式、范围以及用途,并且要征得被收集者的同意。《征信业管理条例》第十三条也有类似规定,即在未经被收集人同意的情形下,不得收集个人信息。《个人信息安全规范》中则对该规定进行细化,要求网络经营者在收集个人敏感信息时还必须征得被收集人的明示同意。由此可知,我国个人信息收集的原则是告知—同意规则,要求信息控制者和信息处理者在收集、处理数据前事先告知用户,并得到用户明示或默示的许可同意。[3]
(二)告知—同意规则为何?
告知—同意规则源于美国,被美国联邦贸易委员会(FTC)认定为线上隐私保护的最为重要的原则。[4] 告知—同意规则包含两方面的内容。告知强调的是信息的透明度。美国FTC认为在个人隐私方面信息的告知包括:(1)明确的收集方;(2)明确的个人数据用途;(3)明确的任何潜在的数据使用者;(4)收集的数据的性质与收集信息的方式;(5)为确保数据的秘密性、完整性与高质量,收集者采取的措施。[5]同意则是个人选择权的体现,其依赖于充分有效的告知。[6]FTC认为,简单来说,同意意味着给予消费者选择,消费者可以选择被收集的个人数据以什么方式被使用[7]。
美国选择告知—同意规则作为线上消费者隐私权保护的机制主要基于三点理由:第一,从信息收集者角度来说,告知的成本低廉,收集者只需要统一的发布信息收集通知。并且,告知一般都以线上隐私条款的面貌出现,采用格式条款的形式,再由用户进行选择,避免了逐一磋商的高成本。[8]第二,站在用户的立场,告知—同意规则充分尊重了个人的意愿。个人信息由个人控制,告知—同意给予用户根据自己的偏好选择是否向信息收集者提供自己的信息,充分尊重了意思自治。[9]第三,监管者也十分偏爱这种省事的监管模式。告知—同意规则只要求网络经营者对相关隐私条款进行披露,是一种轻微的监管,不需要繁冗的官僚机构与复杂的监管措施,相对容易制定。这种温和的特性也不容易引起强烈的政治反对。[10]
正因为告知—同意规则的上述优点,1980年,经济合作与发展组织(OECD)颁布的《隐私保护与个人信息跨国流通指南》也确立了类似的规则。自此,告知—同意规则作为首选的个人信息收集原则影响了全世界的消费者线上隐私保护机制。[11]我国线上隐私保护也选择了该模式。
(三)支付宝自动勾选协议的违规性
如前所述,我国采取告知—同意的个人信息收集的原则。根据该原则,网络运营者在进行信息搜集时,需要获得被收集者的同意。
1.支付宝是否进行了告知?用户在查询自己的年度账单时,那一行小小的、几乎与背景融为一体的字,真的能被用户发现吗?从正常理性人的角度来看,很难尽如此高的注意义务,而事实也证明看见那一行我同意《芝麻信用协议》的用户寥寥无几。在这种情况下,支付宝真的尽到了告知义务吗?
回到我国成文法中,《网络安全法》第四十一条要求网络运营者应当明确告知被收集者收集、使用信息的原因、方式、范围以及用途。何谓明确告知呢?《网络安全法》中没有进一步的解释。《网络安全法》中大多只是原则性规定,《个人信息安全规范》(以下简称《规范》)则对这些规定进行了细化。尽管《规范》是国家推荐性标准,不属于强制性标准,由企业自愿采用。但《规范》为《网络安全法》提供了一套标准,可以作为判断合规性的一个模板,辅助判断支付宝是否有违规行为。
《规范》附录C——保障个人信息主体选择同意权的方法中给出了两个模板设计功能界面,尽管其内容是针对个人敏感信息而言,但可以为我们理解何谓明确告知提供参照。两个模板都是直接清晰展示隐私条款的内容,重点内容用黑色加粗的字体标识,一个是要求用户逐一填写自己的敏感信息;另一个虽然不要求用户直接填写,但要求用户逐一对自己的敏感信息进行同意与否的确认。由此可见,明确告知说明告知的方式必须是直接清晰的,以足够引起用户注意的方式告知。
而支付宝的别具一格的告知方式,那一行小小的字难以与背景相区别,似乎就根本不想让用户看见,也无法引起用户的注意。因此,本文认为,支付宝没有尽到告知的义务。
2.用户是否表示了同意?即使我们认为那一行小小的字可以视为支付宝对《芝麻信用协议》进行了告知,支付宝自动默认勾选的行为也难以解释为用户的同意。
《规范》第5.5条写明,收集个人敏感信息应取得主体的明示同意,且这种明示同意是在完全知情的基础上给出的。个人敏感信息在《规范》中的定义包含财产信息、征信信息,明示同意则要求个人信息主体作出书面声明或者作出主动勾选主动点击等肯定性动作。根据《芝麻信用协议》,收集的信息包括您的个人信息、行为信息、交易信息、资产信息、设备信息等,[12]其中资产信息无疑属于财产信息,所以《芝麻信用协议》中收集的包括个人敏感信息,需要信息主体的明示同意。支付宝年度账单自动默认协议的行为违反了《规范》的要求。
因此,本文认为,自动默认的同意协议不能视为个人信息主体的同意,支付宝、芝麻信用在收集用户信息时违反了《网络安全法》中的告知—同意规则。
三、完美的告知—同意规则?
如前所述,尽管支付宝自动勾选同意显然违反了告知—同意的个人信息收集原则,但是广大网友却众说纷纭。网友们的言论反映了当下人们对个人信息保护的不同态度,有的人关注,有的人无视。同样的事情也发生在最近网友对李彦宏在中国发展高层论坛上的两极化评价上。3月26日,李彦宏在论坛上表示,中国用户在个人隐私方面更加开放,一定程度上愿用隐私换方便和效率。[13]该言论迅速引起网友们的关注,根据知微传播分析的数据显示,网友评论的最高频词有傻愿意不要脸不愿意。显然,我国网民对个人信息保护方面的态度呈现两极化分布态势。
对于不在意自己个人信息安全的人们,告知—同意规则成为一纸空文,他们既不在乎告知的内容,也不在乎同意之后的后果。权利固然可以放弃,但个人信息具有社会性,不只是一个人的私事。信息资源是重要的生产要素、无形资产和社会财富,推动着全球产业分工深化和经济结构调整,重塑着全球经济竞争格局。[14]因此,即使个人不在意自己的个人信息,也不能说明其个人信息失去了保护的价值。而那些在意自己个人信息的人们,即使有告知—同意规则,发现自己也很难对个人信息形成有效管理。他们需要花费大量的时间阅读隐私条款,即使如此,晦涩的语言、复杂的信息使用也让他们发现自己很难作出有效的决定。
尽管告知—同意是规制线上隐私保护的最为重要的原则,但本文认为该规则并不能促使用户基于隐私条款作出理性的决定,完美起到保护消费者隐私的作用。
(一)主观角度:用户无法依据公开的信息作出适当决定
告知—同意规则的假设前提是用户阅读隐私条款后,凭借自身的理性作出适当的决定。遗憾的是,实践与研究都表明,在个人信息保护方面,人们缺乏作出理性决定的能力。[15]
1.用户不阅读隐私条款。根据研究,很少有用户阅读隐私条款。[16]FTC主席John Leibowitz这样评价告知—同意规则:最初,这似乎是一个好主意。但实际在很多情况下,消费者不会注意、阅读或理解隐私政策。[17]
用户怠于阅读隐私条款往往与其过于冗长有关。以《芝麻信用协议》为例,全文长达约2500字,正常人的普遍阅读速度是500字/分钟,这意味着用户要花费至少5分钟的时间完成隐私条款的阅读。这无疑增加了用户负担。谁愿意在使用一个App之前阅读5分钟枯燥的隐私条款?笔者作为一个受过近5年法学教育的法律系学生,非常负责地告诉大家:我,从来不读这些隐私条款。
2.用户不理解隐私条款。就算用户阅读了冗长的隐私条款,也很难理解条款中复杂的法律术语,也就无法准确理解隐私条款的含义。隐私条款一般是由专业的法律人花费大量时间撰写的。要求普通公民在极短的时间内迅速、准确理解条款的含义无疑是难于上青天。
仍然以《芝麻信用协议》为例,协议中提及敏感信息。何谓敏感信息?且不说这是一个在法学界仍有争议的问题。即使进行法教义学解释,也需要翻看其他法律法规。一个用户花了5分钟阅读协议不说,还需要再去查询法律法规,我想大多数人的选择应该就是跳过,直接按下同意键吧。因此,用户缺少相关的专业背景以充分、准确理解隐私条款的含义。
3.用户无法基于隐私条款作出理性判断。人本身就是感性动物,面对纷繁复杂的世界,很难作出理性的判断。即使某个用户仔细阅读了隐私条款,经过复杂的法律法规研究,准确理解了隐私条款,也很难作出理性的决定。心理学和实证研究指出,用户的决定并非基于深思熟虑的理性。Richard Thaler教授和Cass Sunstein教授指出错误的假设是,几乎所有的人几乎都会做出对他们最有利的选择,或者至少比其他人做出的选择更好。[18]由此可见,人们不阅读隐私条款,就算阅读隐私条款也无法理解条款,就算阅读并且理解了隐私条款,也很难作出明智的、理性的决策。
(二)客观角度:告知—同意规则本身的缺陷
即使(一)中的情形不存在,用户具有足够的耐心、专业的知识,能够作出理性的判断,告知—同意规则本身的设计也给用户对个人信息被收集、使用的成本评估造成了阻碍,无法实现高质量的个人信息管理。
1.堆积如山的隐私条款使用户负担过重。随着互联网的发展,收集、使用个人信息的网络运营商越来越多,每个运营商都提供自己的隐私条款。当这些隐私条款堆积起来,给用户造成极大的阅读负担。堆积如山的隐私条款使用户难以管理自己的个人信息。面对各个公司的隐私条款,普通人没有足够的时间与精力进行阅读与研究。研究估计,如果每个人都阅读他们在一年内访问过的网站的每项隐私政策,那么生产力就会损失7810亿美元,[19]更遑论各个网站的隐私政策还经常修改。因此,在众多网络运营者隐私条款的轰炸下,仅仅依靠个人力量,用户难以管理自己的个人信息。
2.单独、孤立的隐私条款使用户无法评估信息透露的成本。如前所述,用户很难面对个人信息的收集作出理性的决定。就算用户就每次的信息分享作出理性的决定,其也无法预见未来这些数据的汇总与分析。
大数据时代背景下可以对用户的个人信息进行挖掘与分析。这便可能出现一个时间点用户透露了一项非敏感信息,在其他时间点与该用户之前透露的同样是非敏感的信息汇合,分析出了该用户的敏感信息。而该用户从未透露,也没有预见到该敏感信息的透露。[20]同样的道理,随着数据的汇总,无法识别的信息也可能会被识别出来。这也可以被称为信息的聚合效应。[21]
信息的聚合效应表明,评估个人信息透露的成本与风险应当与下游信息的使用与分析挂钩。而告知—同意规则要求用户在信息最初的收集阶段评估信息透露给自己带来的风险,从而单独、提前地作出同意与否的决定。这确实强人所难。因此,告知—同意规则使用户无法了解在单个网络经营商披露的信息在后续数据分析中潜在的风险。在此情形下,要求用户权衡透露信息的成本与收益,对自己的个人信息进行有效管理是不可能实现的。
四、令人失望的告知—同意规则的改进及局限
学者们察觉到告知—同意规则在个人信息保护上的局限性,并试图提出各种各样的方法来解决这些问题。但这些方法真的有效吗?本文认为这些方法在实践中收效甚微。学者们提出的改进措施主要可以分为两类:一是尽可能简化隐私条款;二是利用技术手段帮助人们理解隐私条款。
(一)简化条款的局限性
隐私条款的复杂性的确影响了用户的阅读与理解,因此,简化条款似乎成了极妙的选择,成为挽救告知—同意规则的良药。[22]有的学者主张隐私条款应当运用更加简明易懂的语言;[23]有的学者主张隐私条款应当分层通知,分为简单的、完整的两种类型的隐私条款以供用户选择;[24]有的学者提出应当设置标准的信息披露合同;[25]还有的学者提出应当将信息放在一个表格中,增强信息的可读性。[26]比较特别的是,Calo教授建议,可使用体验式的通知(visceral notice)以更加感性的方式让人们注意到隐私条款,如香烟盒上的图形警告。这些学者无不努力使隐私条款简单化,更容易让人们理解。
遗憾的是,简化的效果微乎其微。其主要是出于两个原因。一方面,隐私条款具有高度的专业性,是极其复杂的,本身便不容易被简化。简单的语言意味着更长的词语。[27]举例说明,不可抗力是一个专业的法律术语,若用简单的语言表达,则需要解释为合同订立时不能预见、不能避免并不能克服的客观情况。包括自然灾害、如台风、地震、洪水、冰雹;政府行为,如征收、征用;社会异常事件,如罢工、骚乱三方面。另一方面,简化与充分的信息披露之间存在着天然的矛盾。简化意味着信息收集者必须对隐私条款中的内容进行取舍,将一些本该披露的信息删除。也许有人会指出可以删除隐私条款中不重要的内容,但如何判断不重要也容易引起争议。将信息格式化、标准化或者加以概述,意味着某些信息被忽略或者扭曲。[28]因此,将复杂的事物简单化本身便不简单;在要求充分披露与简明易懂的基础上,隐私条款的简化是难以实现的。
(二)技术手段的失败
消费者线上隐私保护是随着互联网的发展而产生的问题,以技术对抗技术,因此用技术手段保护个人信息被提出。以针对性广告投放(behavioral advertising)为例,网站根据用户的访问记录进行分析,有针对性地向用户推销,这其中显然涉及个人信息收集的问题。为此,技术人员发明了不少技术手段用于保护个人信息。如万维网开发了隐私偏好平台(Platform for Privacy Preferences,P3P),网站浏览器可以自动阅读网站的隐私条款,与用户的个人信息保护习惯作比较,自动排除那些用户可能拒绝其条款的网站。[29]但讽刺的是,P3P本身也在收集用户的信息,其隐私条款也晦涩难懂。还有一种防止网站跟踪的技术,这种技术类似于手机中的垃圾电话过滤系统。[30]但遗憾的是,在现实中很少有网站对该技术表明态度,有些网站甚至拒绝使用这种技术的用户访问。因此,用技术手段保护用户的个人信息的思路虽然具有创新性,但是在目前的技术背景下很难实现。
五、告知—同意规则路在何方?
告知—同意规则并不能真正起到保护消费者个人信息的作用,而简化与技术手段都很难避免其不足,那我们是否还需要该规则呢?如果需要,该规则又需要作出怎样的调整呢?
(一)是否应该摒弃告知—同意规则?
告知—同意规则的前提是强制要求信息收集者披露自己的隐私条款。有学者认为应当摒弃强制披露规则。其认为既然强制披露广泛的失败,又无法被改进,即使信息的披露是有一定作用的,也应当抛弃强制披露以促使立法者寻找真正适用于问题的对策。[31]
本文不同意这种观点,主要有两方面的理由:第一,人们有权知道自己的信息被用于何处,并决定是否允许这样使用。同时,告知—同意规则先天体现了民法上的重要原则——意思自治。个人信息是否透露的选择权应当交由个体决定,而个体的决定必然建立在信息披露的前提之下。只有充分的信息披露,人们的决定才会变得真正有价值。第二,告知—同意规则促进信息收集者改进和完善信息收集、使用的行为。该规则能够给信息收集者施压,让他们意识到自己处在相关机构与舆论的监督之下,从而尽可能地使信息收集、使用的过程合规。告知—同意规则降低了市场获取信息的成本,使信息收集者的相关规则暴露在公众视野中,方便了公众和舆论的监督。以芝麻信用为例,支付宝年度账单事件引起争议之后,2018年2月19日芝麻信用便参照《规范》出台了新的协议。因此,本文认为尽管告知—同意规则有诸多弊端,但不应该被废止。
(二)完善告知—同意规则的建议
在前述分析中,本文认为用户无法通过告知—同意规则作出适当的决定,单凭该规则无法实现信息管理的目标。正如监管机构对上市公司信息披露的监管一样,本文认为政府应当介入线上消费者信息安全保护。值得注意的是,政府的监管应当是适当的。政府的介入有时候很容易成为家长式监管,这是需要避免的。一方面,个体对个人信息有自决权,政府过度的干涉可能会限制人们的自主选择权;另一方面,个人信息的收集、利用可以促进企业、社会经济发展。政府过度的监管可能导致企业缩手缩脚,使个人信息无法发挥社会效用,限制企业的发展。因此,在监管层面,本文主要提出两点建议。
1.加强对隐私条款的监管。在征得用户同意的情况下,网络运营商便可以收集、使用个人信息。在这种倾向下,政府只需要对用户是否作出同意的意思表示进行形式审查。但由于用户无法做出适当的选择,这种形式审查很难保护消费者的个人信息安全。因此,笔者认为政府必须改变监管态度,对隐私条款进行监管。当然,对隐私条款的监管也不是毫无边界的,要防止其落入家长式监管的境地。本文认为具体可以有两种手段。
一是以法律的形式明确基本的隐私条款规范。这种规范编纂的方式可以参照《美国统一商法典》的形式,各条款的效力可以通过当事方的协商变更,但当事人的基本义务不得通过协议加以排除,可以通过协议确定履行这些义务的标准,但确定的标准不得明显不合理。[32]尽管我国目前虽然有《规范》,但其只是国家推荐性标准,违法成本极低。
二是建立隐私条款备案审查制度。面对堆积如山的隐私条款,备案审查制度让国家机关、社会团体、企业事业组织以及公民都参与到对隐私条款的审查中,可以减轻人们的负担。当然,备案审查绝不是替代消费者作出选择。从我国《立法法》来看,我国备案审查制度实际上确立了备审有限结合的原则,即以备案为主、以审查为辅的原则。在审查方面,主动审查与被动审查并用。[33]在隐私条款方的备案审查方面,也应当采用相同的原则。一方面,隐私条款数量巨大,被动审查有助于减少监管部门的工作量,从而提高工作效率;另一方面,由相关机关、组织和个人提请有针对性的审查更有助于审查机关在审查中有的放矢,从而提升审查的效果。[34]因此,网络运营商的隐私条款应当统一到监管部门备案;监管部门既可以在隐私条款权利义务明显失衡的情况下自行对隐私条款进行审查,也可以根据其他国家机关,社会团体(如消费者协会)、企业事业组织(如网络运营商的竞争者)以及公民(如律师)的要求与建议,对相关隐私条款进行审查。
2.重视个人信息的后续使用、分析监管。在关注个人信息保护方面,大多数的关注焦点都在信息收集上。但如前所述,信息的聚合效应使个人信息安全风险极易发生在后续信息的使用与分析中。用户个人在这方面是无能为力的,需要政府干预。在信息后续使用的监管上,本文的建议如下:
第一,要求信息收集者对后续信息的使用进行披露。在不少隐私条款中都有这样的表述:您授权我们在必要的时候将您的信息提供给第三方。什么是必要的时候,第三方是谁,这些信息都是不明确的。尽管在隐私协议签订时提供信息的对象与时间不确定,但可以要求信息收集者在后续过程中对此进行披露。
第二,由于信息安全在后续信息的使用与分析过程中面临着极大的挑战,即使已经征得事前同意,在涉及用户重大敏感信息时,信息的具体使用方式仍然应再次得到用户的同意。个人信息的使用在事前是不可评估的,自然而然,个人也就无法提前就这些不可预见的使用方式作出决定。对于后续信息的使用是否需要用户新的同意,这依赖于信息收集者对后续信息使用的披露。政府可以通过概括+列举的形式预设一些需要重新征求用户同意的情形。在符合相关情形的条件下,督促信息收集者再次征求用户意见。
六、结语
互联网的发展之下,个人信息的收集、使用、分析更加受到人们的关注。告知—同意规则尽管有诸多弊端,无法切实起到保护消费者信息安全的作用。但不可否认告知—同意规则有其自身的价值,它体现了个体对自身信息的控制权与民法上的意思自治的原则。因此,该规则不应当被抛弃。在个人无法实现对自己信息安全管理的情形下,政府应当介入,弥补告知—同意规则的不足。当然,政府的监管应当是适度且谨慎的,以防落入家长式监管方式中。这一方面是因为政府的监管不能替代个人的选择,是否透露个人信息仍然应交由个人选择;另一方面是因为个人信息具有社会性色彩,政府的过度监管会影响企业与社会的发展。在大数据的背景下,个人的信息安全管理是脆弱的,只有与政府一同携手,才能真正实现个人信息安全与社会发展之间的平衡。
注释
[1]岳屾山.查看支付宝年度账单前,请先看看这个[OL].https://m.weibo.cn/status/4192093063120566?wm=33332001&from=1084193010&sourcetype=weixin&featurecode=newtitle,2018年4月10日最后访问.
[2]田珍祥.事件篇:默认勾选侵犯知情权强力监督刷爆朋友圈[OL].http://www.ccn.com.cn/html/news/xiaofeiyaowen/2018/0315/343561.html,2016年3月26日最后访问.
[3]李媛.大数据时代个人信息保护研究[D].西南政法大学经济法学院博士论文,2016.
[4]The Sectrays Advisory Committee On Automated Personal Data Systems, U.S.Department of Health, Education & Welfare,Records, Computers, and theRights of Citizien, 1973, pp.41-42.
[5]Federal Trade Commission, Privacy Online: A Report to Congress , 1998, p.7. availableathttp://www.ftc.gov/sites/default/files/documents/publicevents/exploring-privacy-roundtable-series/priv-23a0.pdf,March26, 2018.
[6]Reidenberg J. R., Breaux T. Cranor L. F., et al.Disagreeable Privacy Policies: MismatchesBetween Meaning and Users Understanding, Berkeley Technology Law Journal 30, issue. 1, 2015,p. 44.
[7]Federal Trade Commission, Privacy Online: A Report to Congress , 1998, p.7. availableathttp://www.ftc.gov/sites/default/files/documents/publicevents/exploring-privacy-roundtable-series/priv-23a0.pdf,March26, 2018.
[8]Gindin S.E., Nobody Reads Your Privacy Policy or Online Contract: Lessons: Learned andQuestions Raised by the FTCs Action against Sears,NorthwesternJournal of Technology and Intellectual Property 8, 2009, pp. 1-37.
[9]Maccarthy M., New Directions in Privacy: Disclosure, Unfairness and Externalities, AJournal of Law and Policy for the Information Society 6, 2011, p. 427.
[10][美]欧姆拉·本·沙哈尔,卡尔·E.施耐德著,陈晓芳译.过犹不及:强制披露的失败[M].北京:法律出版社,2015:5-6.
[11] Cranor L. F., Necessary but not Sufficient: Standardized Mechanisms for Privacy Noticeand Choice,Journal on Telecommunications and High Technology Law 10, 2012, p.278.
[12]岳屾山.查看支付宝年度账单前,请先看看这个[OL].https://m.weibo.cn/status/4192093063120566?wm=33332001&from=1084193010&sourcetype=weixin&featurecode=newtitle,2018年4月10日最后访问.
[13]搜狐网.李彦宏观点中国用户愿意用隐私换效率惹争议,网友纷纷吐槽[OL].http://www.sohu.com/a/226420311363549,2018年4月2日最后访问.
[14]中共中央办公厅、国务院办公厅《2006—2020国家信息化发展战略》,载中国政府网:http://www.gov.cn/test/2009-09/24/content1425447.htm,2018年4月2日最后访问.
[15] Solove D. J.Introduction: Privacy Self-Management and the Consent Dilemma, HarvardLaw Review 126, 2013, p.1885.
[16]Omri Ben-Shahar & Carl E. Schneider, The Failure of Mandated Disclosure,University of Pennsylvnia Law Review 159, 2011, pp. 665–678.
[17]Jon Leibowitz. Fedral Trade Commission, So Private, So Public: Individuals, theInternet & the Paradox of Behavioral Marketing, Remarks at the FTC TownHall Meeting on Behavioral Advertising: Tracking, Targeting, & Technology,2007.
[18]Daniel Kahneman. Thinking, Fast and Slow, Canada, Doubleday Canada, 2011, p.41. DanielKahneman and Amos Tversky,etds. Choices, Values, and Frames, AmericanPsychologist 39, 1984, pp.341-350. Daniel Kahneman, Paul Slovic and Amos Tversky. Judgement under Uncertainty: Heuristics and Bias, Science, New Series185, 1982,pp.1124-1131.
[19]Aleecia M. Mc Donald and Lorrie Faith Cranor. The Cost of Reading Privacy Policies,I/S: A Journal of Law and Policy for the Information Society, 2008, pp.543,564.
[20]Solove D.J. Introduction: Privacy Self-Management and the Consent Dilemma, Harvard LawReview 126, 2013, p.1880.
[21]Joseph Turow and Lauren Feldman & Kimberly Meltzer.Open to Exploitation: AmericanShoppers Online and Offline, Annenberg Public Policy Center of the Universityof Pennsylvania, 2005.
[22][美]欧姆拉·本·沙哈尔,卡尔·E.施耐德著,陈晓芳译.过犹不及:强制披露的失败[M].北京:法律出版社,2015:113.
[23]Mike Yang. Trimming Our Privacy Policies, Official Google Blog,http://googleblog.blogspot.com/2010/09/trimming-our-privacy-pol-icies.html,2018年4月2日最后访问.
[24]Centerfor Information Policy Leadership, Hunton & Williams LLP, Ten Steps toDevelop a Multilayered Privacy Notice 1,2007,http://www.informationpolicycentre.com/files/Uploads/Documents/Centre/TenStepswhitepaper.pdf, April 2, 2018.
[25]Lauren Willis argues for, inter alia, a simplified Loan Price Tag in the lendingcontext. See Lauren E. Willis, Decisionmaking and the Limits of Disclosure:The Problem of Predatory Lending: Price, 65 Maryland Law Review 707, 2006, pp.820-821.
[26]Alan Levyand Manoj Hastak.Consumer Comprehension of Financial Privacy Notices, a reportprepared for seven federal agencies suggesting the use of tables in financialprivacy disclosure, 2008,https://www.federalregister.gov/documents/2000/05/24/00-12755/privacy-of-consumer-financial-information,April 2, 2018.
[27][美]欧姆拉·本·沙哈尔,卡尔·E.施耐德著,陈晓芳译.过犹不及:强制披露的失败[M].北京:法律出版社,2015:135.
[28][美]欧姆拉·本·沙哈尔,卡尔·E.施耐德著,陈晓芳译.过犹不及:强制披露的失败[M].北京:法律出版社,2015:123.
[29]Kimberly Rose Goldberg, Note, Platform for Privacy Preferences (P3P): Finding Consumer Assent to Electronic Privacy Policies,https://ir.lawnet.fordham.edu/cgi/viewcontent.cgi?referer=http://xueshu.baidu.com/s?wd=paperuri%3A%287adf26a35c0498979ed73f1eb0d7e022%29&filter=sclongsign&sckspara=q%3DPlatform%20for%20Privacy%20Preferences%20%28%E2%80%9CP3P%E2%80%9D%29%3A%20Finding%20Consumer%20Assent%20to%20Electronic%20Privacy%20Policies&scus=12030649393785810294&tn=SEbaiduxueshuc1gjeupa&ie=utf-8&httpsredir=1&article=1302&context=iplj,April 2, 2018.
[30]Christopher Soghoian, The History of the Do Not Track Header, Slight Paranoia,http://paranoia.dubfire.net/2011/01/history-of-do-not-track-header.html, April2, 2018.
[31][美]欧姆拉·本·沙哈尔,卡尔·E.施耐德著,陈晓芳译.过犹不及:强制披露的失败[M].北京:法律出版社,2015:123.
[32]百度文库:《美国商法典》,https://wenku.baidu.com/view/b82cb35bf78a6529657d532d.html,载百度文库,2018年3月28日最后访问。
[33]温辉.政府规范性文件备案审查制度研究[J].法学杂志,2015(1).
[34]陈道英.全国人大常委会法规备案审查制度研究[J].政治与法律,2012(7).
新书悦享
购买链接:
中国金融出版社淘宝直营店:
北京大学金融法研究中心
或者
即可订阅
北京大学金融法研究中心微信号
打开微信,点击右上角"+"号,添加朋友,粘贴微信号,搜索即可!