财新传媒
位置:博客 > 李汶龙 > 评微视案 |不要再“合理、正当、必要”了,知情同意是个单维是非问题

评微视案 |不要再“合理、正当、必要”了,知情同意是个单维是非问题

文/李汶龙

微信读书案抖音案,最新公布的微视案是(我看到的)民法典颁布之后第三个关于数据隐私的中国司法案例。不得不说的是,司法推理质量依旧不高,之前判例暴露出的问题非但没有改进,本案又出了新问题。

三份判决也暴露出了一些共有的问题,我梳理在下方:

其一,判决鲜有基于条文(具体的概念、标准、“测试”)进行庖丁解牛式的缜密推理。更多地如微视案一样,法官统一堆积若干条文,然后一句云淡风轻的“基于上述条文,我们得出如下结论”。至于推理的部分,要么完全地不透明,要么就是王顾左右而言他(下文详述)。

其二,以企业利益或经济发展为出发点,先认定其合理性,再找补是否需要保护权利。抖音案中我曾提到,“知情同意不能拿来平衡”,说得就是这个道理。微视案也存在这样的问题:法官甚至站在企业内部的角度论证收集数据“存在一定的合理性”,基于此论证企业不提供真正的知情同意也是正当的。

其三,法官对问题本质的把握有所不足(如果不是刻意回避)。推理往往从一个实体规则落实问题演变成对“合理、正当、必要”原则的铺陈。

前两个问题在之前的评论中都有涉及,这次我将焦点放在第三个问题,将其称为“习惯性虚化”。这里的虚化指的是在存在既有规则的情况下,法官习惯性忽视规则本身的适用,转而向更一般性的原则后撤,以获取更多斡旋空间。

微视案的案件事实并不复杂。原告发现使用微视必须通过QQ或者微信登录,而微视使用了其他腾讯产品搜集的个人信息。原告认为自己的“隐私权”受到侵犯,要求 1)停止使用数据;2) 删除服务器上所有个人信息;3) 在腾讯/微视官网显著位置公开道歉;4) 赔偿损失及合理支出1万元;5) 被告承担诉讼费用。与前两起案件类似,举证质证占据判决大多篇幅,法院认定网络侵权纠纷,推理分为隐私权、信息利益,以及侵权责任三部分。

知情同意 v 合理使用

本质上,这个案件关乎未经同意获取和使用数据的问题。法官关注到微视是否存在索取同意之名,不断强调微视存在这个指引,那个协议,并因此得出结论“存在明确授权”。然而,法官的使命不是确认是否存在形式上的同意,而是剖析同意的有效性。或许是因为原告没有明确将其描述为诉求,关于同意的分析几乎没有出现在判决当中。

在判决某一个角落(第31页),法官曾明确点出了问题的核心:“本案争议的焦点在于是否有保障用户的知情权、选择权和删除权”。基于此,判决中的一个论点理应继续延伸论证,既微视获取数据的使用权具有强制性。(第32页)但是,法官并未在同意的语境下讨论这一事实,而是另辟蹊径:

“这是被告对微视APP运营模式的选择,符合该社交软件类应用的产品定位,具有一定的合理性,且微视APP并不属于大多数网络用户必不可少的应用,市场上存在多款同类型产品,用户也完全可以选择其他符合其需求的产品”。(意思就是,不想用你可以不用啊!)

判决还强调了用户被允许撤销微视对微信好友关系的使用,但没有在同意的语境下展开讨论。如果依据个人信息保护法对于同意的定义,未经允许收集使用数据+可以撤销的模式 (opt-out)并不能满足合规要求。由GDPR发展出来的知情同意的要件(后为中国个人信息保护法借鉴)要求同意必须是在收集数据之前自由作出的 (opt-in)。

除了这个法律问题之外,微视实际上连opt-out模式也没有实现。法官发现了原告使用的版本(v.5.2.1)并不支持所谓“撤销”。随后微视找补,更新了版本之后 (v.6.8.588)才允许用户控制数据的使用。令人瞠目的是,法院对此的评估是

“这是被告为优化用户体验所作的改进,本院予以肯定。综上所述,本院认为被告的相关收集、使用行为已保障用户的知情权、选择权和删除权。”

试问,微视无论在政策上还是在技术上都没有提供用户有效同意的渠道,所谓“保障选择权“是如何实现的?

司法推理的空间

知情同意的语境没有完全展开,判决很快地转向“合理、正当、必要”等大口袋原则。这样一种习惯性的虚化在此前的判决中也有很明显的体现。如果说抖音案中法官尚能以个人信息保护法没有出台,不知道有效同意的要件是什么为理由,那么微视案中法官这样辩护明显就说不过去了。

当然有人可能会说,法官基于这些原则推理也没有错啊?去平衡经济利益和个人的数据权益也是法官应该做的事情啊?

诚然,“习惯性虚化”这个锅不应该全由司法者来背。司法推理之所以可以天马行空,跟立法者提供了过多空间有很大关系。例如民法典就将上述大口袋原则写入条文之中。但是,《民法典》没有明确的是规则和原则之间的关联,以及法官能够在多宽的语境中展开推理(究竟适用规则还是原则)。这些司法实践已经超越了条文文本,大抵只能有赖于法官的水平和操守。

一个基本的推理原则是:具体的合规问题就讨论合规的要件,而非动不动就讲个“正当、合理、必要”。这就好比一个不咋样的学者,想要讨论一个法律问题,却不善于进入思考的沟壑,于细微处见真章。于是索性放宽主题,题目叫得越大越好(干脆就叫《论法》)。这样想咋写咋写,反正跟法律相关就行。习惯性虚化会带来一个推理滑坡:法官索性不讨论具体合规问题,而在大原则上天马行空。

法官当然可以(且应当讨论)平衡的问题,但要讲个语境和层级。借用欧洲人权法院的框架,在讨论必要性、比例原则以及基本权利平衡(第三个测试)之前,法官首先要对合法性(第一个测试)展开讨论。如果法官得出结论已然违法,就无需往后进行具体语境中的平衡。置合法性(本案中的知情同意)的问题不顾,大跨步进入到权益平衡的讨论,这无异于本末倒置。

除此之外,关于个人权利与经济利益的平衡,理应交给最高法院处理,且应在审议法律本身质量(而非本案中的法律适用)的语境下展开。初级法院在不讨论合规问题的情况下就开始讨论权益平衡,有越俎代庖之虞。

知情同意就是一个单维的是非问题,初级法院最重要的使命就是处理好这个简单的合规问题。

合理隐私期待

最后再来说一下判决对于隐私权的处理。虽然传统的隐私语境已然不适合数据保护的讨论,但本案中法官对于隐私的理解明显是过时的,尤其忽略了公共隐私 (public privacy) 等新理念的发展。在现代,不是在裹着捂着不让别人知道的信息才会受到保护。隐私保护依赖“私人空间”的想象在数字时代已经瓦解,对于隐私的理解也应革新。

其次,判决对于企业和个人在隐私问题上的关系的认定也有失偏颇。个人与企业的关系不是刺探者与被刺探者的关系。商家将个人的数据握在手中,不意味着数据就向全社会公开了,也不意味着个人对于数据就没有隐私期待了。一个更为合理的认知框架是商家是数据的守卫者(custodian),应当为个人的隐私利益负责。

本案对隐私合理期待理论的应用也有问题。说得粗糙一些,如果原告没有(主观)期待还跑到你这里来告什么?客观上,隐私的含义已经在数字时代不断变迁。用纽约大学Helen Nissenbaum教授的理论来说,人们期待的不再是私人的信息或数据是否对外开放,而是数据或者信息的使用有没有超越既有的语境(contextual integrity)——而这正是原告诉求的本质,也即未经同意不要超越微信语境之外使用数据。这也是数据保护法设立目的限制原则 (purpose limitation) 的初衷。那种“你把数据给了企业你活该”、“不想用这个服务你可以用其他服务啊”的思维理应被质疑,更不应该出现在司法推理当中。最后,是否存在隐私期待可以交由当事人举证,但判定合理隐私期待中的合理性,是法官应尽的义务,需要在司法推理中展开,而不能沦为举证责任问题。

除了surveillance capitalism这样普适的问题之外,中国的数据保护之路还存在独特的门槛。法官的推理能力上不来,数据保护就将形同虚设。因此,如果原告能够看到这篇文章,我的建议是继续往上告吧,哪怕是为了法官能力的提升。告得多了,法官在推理上更加用功了,我们的数据保护才有希望。  



推荐 0