不久前媒體報道,有細心的手機使用者藉助於隱私記錄功能,檢視手機上安裝的App訪問個人資訊的情況,結果令人震驚。某移動教學App在十幾分鍾之內訪問使用者手機照片與個人檔案接近25000次;另外一款辦公App,一個小時之內自發啟動7000次,不停地讀取使用者的通訊錄;還有App之間彼此呼應,啟動一個,自動喚醒另外十幾個,彼此“協同作戰”,大量讀取使用者資訊。面對使用者提出的,這種做法是否侵犯個人資訊權益的質疑,App運營者最方便、最現成的託詞就是:使用者安裝App的時候已經點選了同意,建立在使用者同意基礎之上的行為是被允許的。但這種說法能夠成立嗎?
隨著社會生活日益網際網路化,人們越來越離不開各種各樣的App。我們在獲取App運營者提供的相應服務時,需要與其達成合意,同意其提出的某些條件,特別是授權其獲取相關個人資訊,這是自願原則的體現,本來也無可厚非。事實上在很多場景下,獲取使用者的特定資訊本來就是App可以發揮作用的前提條件。設想一下,使用者使用導航軟體,卻又不願意提供自己的位置資訊,這本身就是自相矛盾的。但必須注意到,在收集個人資訊方面,使用者的“同意”,並不是運營者可以包打天下的擋箭牌,更非其可以恣意妄為的藉口。
首先,個人資訊保護,在性質上是屬於自然人基本人格權益保護,這同一個國家的基本法律秩序與價值觀存在密切聯絡,因此涉及個人資訊保護的法律規則,有相當多的內容具有強行法的特徵。這些規則不會因為當事人的合意而改變,必須得到遵守。舉例來說,我國消費者權益保護法、網路安全法都強調經營者、網路運營者“收集、使用個人資訊,應當遵循合法、正當、必要的原則”,即將實施的民法典第1035條也規定:“處理個人資訊的,應當遵循合法、正當、必要原則,不得過度處理”。這一規則就是強制性規則。如果App運營者過度收集對於App執行來說根本不必要的個人資訊,就屬於過度收集個人資訊的違法行為。即使使用者在安裝App的時候點選過“同意”,相關的個人資訊收集行為仍然不具有正當性。還需要注意的是,所謂的使用者知情同意,指的是即使App運營者收集使用者個人資訊的行為在整體上沒有違反合法、正當、必要的原則,也仍然需要獲得使用者的同意。對此,網路安全法、消費者權益保護法規定得都非常清晰:獲得使用者的同意與遵循合法、正當、必要原則,是“並列”關係,缺一不可。民法典也有相關規定。就此而言,使用者同意,不可能具有授權App運營者違反該原則的效果。這是因為我國的個人資訊保護法的相關規則具有強行法特點,相關規則,不能被當事人的約定予以排除或改變。
其次,即使使用者在安裝App的時候點選了“同意”,也並非一概可以解釋為已經概括地對App運營者所有的個人資訊收集行為,都進行了有效授權。現在有一種情況相當普遍:App的運營者在使用者安裝協議中以模糊不清的表述,要求使用者一攬子地、概括地同意其收集相關範圍根本沒有得到清晰描述的各種個人資訊。使用者對這種條款的同意並不意味著App運營者想怎麼幹就可以怎麼幹。這種所謂的一攬子授權,在很多情況下,其實沒有法律意義。因為在個人資訊保護領域所講的使用者同意,是一種具有嚴格內涵的“知情同意”,也就是基於App運營者一方,對個人資訊收集條款的意圖、目的和範圍之類的要素,作出明確解釋和清晰告知基礎之上,使用者一方給出的同意,才是有效的同意。如果運營者給出的相關表述含糊不清,一般使用者根本理解不了其含義,這就不屬於明確的解釋;如果把個人資訊收集條款夾雜在一大堆其他檔案之中,使得使用者無從識別其特殊的重要意義,這不屬於清晰的告知。如果存在這些情況,都不符合使用者“知情”的前提,相應的,使用者給出的同意也就沒有多大的價值。我國合同法和即將實施的民法典均規定,格式條款的使用者,如果不對涉及相對人重大利益關係的條款進行提示和說明,那麼相關的條款不被視為訂入合同之中。這種情況對於App運營者一方制定的收集個人資訊的格式條款,同樣是適用的。
筆者在這裡並非為App運營者收集使用者個人資訊的行為扣上一頂“原罪”的帽子。事實上,正常的收集使用者個人資訊的行為,並不為法律所禁止,使用者對此也可以理解。但正如筆者反覆強調的是,畢竟個人資訊保護涉及個人基本人格利益,具有強烈的倫理性因素,國家的相關法律對其有底線性要求。而這些底線是任何App運營者不得逾越的紅線。就此而言,使用者在安裝App的時候,點選的那一下“同意”,並不能成為某些運營者在個人資訊收集處理問題上恣意妄為的藉口。