不久前媒體報道,有細心的手機用户藉助於隱私記錄功能,查看手機上安裝的App訪問個人信息的情況,結果令人震驚。某移動教學App在十幾分鍾之內訪問用户手機照片與個人文件接近25000次;另外一款辦公App,一個小時之內自發啓動7000次,不停地讀取用户的通訊錄;還有App之間彼此呼應,啓動一個,自動喚醒另外十幾個,彼此“協同作戰”,大量讀取用户信息。面對用户提出的,這種做法是否侵犯個人信息權益的質疑,App運營者最方便、最現成的託詞就是:用户安裝App的時候已經點擊了同意,建立在用户同意基礎之上的行為是被允許的。但這種説法能夠成立嗎?
隨着社會生活日益互聯網化,人們越來越離不開各種各樣的App。我們在獲取App運營者提供的相應服務時,需要與其達成合意,同意其提出的某些條件,特別是授權其獲取相關個人信息,這是自願原則的體現,本來也無可厚非。事實上在很多場景下,獲取用户的特定信息本來就是App可以發揮作用的前提條件。設想一下,用户使用導航軟件,卻又不願意提供自己的位置信息,這本身就是自相矛盾的。但必須注意到,在收集個人信息方面,用户的“同意”,並不是運營者可以包打天下的擋箭牌,更非其可以恣意妄為的藉口。
首先,個人信息保護,在性質上是屬於自然人基本人格權益保護,這同一個國家的基本法律秩序與價值觀存在密切聯繫,因此涉及個人信息保護的法律規則,有相當多的內容具有強行法的特徵。這些規則不會因為當事人的合意而改變,必須得到遵守。舉例來説,我國消費者權益保護法、網絡安全法都強調經營者、網絡運營者“收集、使用個人信息,應當遵循合法、正當、必要的原則”,即將實施的民法典第1035條也規定:“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理”。這一規則就是強制性規則。如果App運營者過度收集對於App運行來説根本不必要的個人信息,就屬於過度收集個人信息的違法行為。即使用户在安裝App的時候點擊過“同意”,相關的個人信息收集行為仍然不具有正當性。還需要注意的是,所謂的用户知情同意,指的是即使App運營者收集用户個人信息的行為在整體上沒有違反合法、正當、必要的原則,也仍然需要獲得用户的同意。對此,網絡安全法、消費者權益保護法規定得都非常清晰:獲得用户的同意與遵循合法、正當、必要原則,是“並列”關係,缺一不可。民法典也有相關規定。就此而言,用户同意,不可能具有授權App運營者違反該原則的效果。這是因為我國的個人信息保護法的相關規則具有強行法特點,相關規則,不能被當事人的約定予以排除或改變。
其次,即使用户在安裝App的時候點擊了“同意”,也並非一概可以解釋為已經概括地對App運營者所有的個人信息收集行為,都進行了有效授權。現在有一種情況相當普遍:App的運營者在用户安裝協議中以模糊不清的表述,要求用户一攬子地、概括地同意其收集相關範圍根本沒有得到清晰描述的各種個人信息。用户對這種條款的同意並不意味着App運營者想怎麼幹就可以怎麼幹。這種所謂的一攬子授權,在很多情況下,其實沒有法律意義。因為在個人信息保護領域所講的用户同意,是一種具有嚴格內涵的“知情同意”,也就是基於App運營者一方,對個人信息收集條款的意圖、目的和範圍之類的要素,作出明確解釋和清晰告知基礎之上,用户一方給出的同意,才是有效的同意。如果運營者給出的相關表述含糊不清,一般用户根本理解不了其含義,這就不屬於明確的解釋;如果把個人信息收集條款夾雜在一大堆其他文件之中,使得用户無從識別其特殊的重要意義,這不屬於清晰的告知。如果存在這些情況,都不符合用户“知情”的前提,相應的,用户給出的同意也就沒有多大的價值。我國合同法和即將實施的民法典均規定,格式條款的使用者,如果不對涉及相對人重大利益關係的條款進行提示和説明,那麼相關的條款不被視為訂入合同之中。這種情況對於App運營者一方制定的收集個人信息的格式條款,同樣是適用的。
筆者在這裏並非為App運營者收集用户個人信息的行為扣上一頂“原罪”的帽子。事實上,正常的收集用户個人信息的行為,並不為法律所禁止,用户對此也可以理解。但正如筆者反覆強調的是,畢竟個人信息保護涉及個人基本人格利益,具有強烈的倫理性因素,國家的相關法律對其有底線性要求。而這些底線是任何App運營者不得逾越的紅線。就此而言,用户在安裝App的時候,點擊的那一下“同意”,並不能成為某些運營者在個人信息收集處理問題上恣意妄為的藉口。