文/李汶龙

继微信读书案、抖音案，最新公布的微视案是（我看到的）民法典颁布之后第三个关于数据隐私的中国司法案例。不得不说的是，司法推理质量依旧不高，之前判例暴露出的问题非但没有改进，本案又出了新问题。

三份判决也暴露出了一些共有的问题，我梳理在下方：

其一，判决鲜有基于条文（具体的概念、标准、“测试”）进行庖丁解牛式的缜密推理。更多地如微视案一样，法官统一堆积若干条文，然后一句云淡风轻的“基于上述条文，我们得出如下结论”。至于推理的部分，要么完全地不透明，要么就是王顾左右而言他（下文详述）。

其二，以企业利益或经济发展为出发点，先认定其合理性，再找补是否需要保护权利。抖音案中我曾提到，“知情同意不能拿来平衡”，说得就是这个道理。微视案也存在这样的问题：法官甚至站在企业内部的角度论证收集数据“存在一定的合理性”，基于此论证企业不提供真正的知情同意也是正当的。

其三，法官对问题本质的把握有所不足（如果不是刻意回避）。推理往往从一个实体规则落实问题演变成对“合理、正当、必要”原则的铺陈。

前两个问题在之前的评论中都有涉及，这次我将焦点放在第三个问题，将其称为“习惯性虚化”。这里的虚化指的是在存在既有规则的情况下，法官习惯性忽视规则本身的适用，转而向更一般性的原则后撤，以获取更多斡旋空间。

微视案的案件事实并不复杂。原告发现使用微视必须通过QQ或者微信登录，而微视使用了其他腾讯产品搜集的个人信息。原告认为自己的“隐私权”受到侵犯，要求 1)停止使用数据；2) 删除服务器上所有个人信息；3) 在腾讯/微视官网显著位置公开道歉；4) 赔偿损失及合理支出1万元；5) 被告承担诉讼费用。与前两起案件类似，举证质证占据判决大多篇幅，法院认定网络侵权纠纷，推理分为隐私权、信息利益，以及侵权责任三部分。

知情同意 v 合理使用

本质上，这个案件关乎未经同意获取和使用数据的问题。法官关注到微视是否存在索取同意之名，不断强调微视存在这个指引，那个协议，并因此得出结论“存在明确授权”。然而，法官的使命不是确认是否存在形式上的同意，而是剖析同意的有效性。或许是因为原告没有明确将其描述为诉求，关于同意的分析几乎没有出现在判决当中。

在判决某一个角落（第31页），法官曾明确点出了问题的核心：“本案争议的焦点在于是否有保障用户的知情权、选择权和删除权”。基于此，判决中的一个论点理应继续延伸论证，既微视获取数据的使用权具有强制性。（第32页）但是，法官并未在同意的语境下讨论这一事实，而是另辟蹊径：

“这是被告对微视APP运营模式的选择，符合该社交软件类应用的产品定位，具有一定的合理性，且微视APP并不属于大多数网络用户必不可少的应用，市场上存在多款同类型产品，用户也完全可以选择其他符合其需求的产品”。（意思就是，不想用你可以不用啊！）

判决还强调了用户被允许撤销微视对微信好友关系的使用，但没有在同意的语境下展开讨论。如果依据个人信息保护法对于同意的定义，未经允许收集使用数据+可以撤销的模式 (opt-out)并不能满足合规要求。由GDPR发展出来的知情同意的要件（后为中国个人信息保护法借鉴）要求同意必须是在收集数据之前自由作出的 (opt-in)。

除了这个法律问题之外，微视实际上连opt-out模式也没有实现。法官发现了原告使用的版本(v.5.2.1)并不支持所谓“撤销”。随后微视找补，更新了版本之后 (v.6.8.588)才允许用户控制数据的使用。令人瞠目的是，法院对此的评估是

“这是被告为优化用户体验所作的改进，本院予以肯定。综上所述，本院认为被告的相关收集、使用行为已保障用户的知情权、选择权和删除权。”

试问，微视无论在政策上还是在技术上都没有提供用户有效同意的渠道，所谓“保障选择权“是如何实现的？

司法推理的空间

知情同意的语境没有完全展开，判决很快地转向“合理、正当、必要”等大口袋原则。这样一种习惯性的虚化在此前的判决中也有很明显的体现。如果说抖音案中法官尚能以个人信息保护法没有出台，不知道有效同意的要件是什么为理由，那么微视案中法官这样辩护明显就说不过去了。

当然有人可能会说，法官基于这些原则推理也没有错啊？去平衡经济利益和个人的数据权益也是法官应该做的事情啊？

诚然，“习惯性虚化”这个锅不应该全由司法者来背。司法推理之所以可以天马行空，跟立法者提供了过多空间有很大关系。例如民法典就将上述大口袋原则写入条文之中。但是，《民法典》没有明确的是规则和原则之间的关联，以及法官能够在多宽的语境中展开推理（究竟适用规则还是原则）。这些司法实践已经超越了条文文本，大抵只能有赖于法官的水平和操守。

一个基本的推理原则是：具体的合规问题就讨论合规的要件，而非动不动就讲个“正当、合理、必要”。这就好比一个不咋样的学者，想要讨论一个法律问题，却不善于进入思考的沟壑，于细微处见真章。于是索性放宽主题，题目叫得越大越好（干脆就叫《论法》）。这样想咋写咋写，反正跟法律相关就行。习惯性虚化会带来一个推理滑坡：法官索性不讨论具体合规问题，而在大原则上天马行空。

法官当然可以（且应当讨论）平衡的问题，但要讲个语境和层级。借用欧洲人权法院的框架，在讨论必要性、比例原则以及基本权利平衡（第三个测试）之前，法官首先要对合法性（第一个测试）展开讨论。如果法官得出结论已然违法，就无需往后进行具体语境中的平衡。置合法性（本案中的知情同意）的问题不顾，大跨步进入到权益平衡的讨论，这无异于本末倒置。

除此之外，关于个人权利与经济利益的平衡，理应交给最高法院处理，且应在审议法律本身质量（而非本案中的法律适用）的语境下展开。初级法院在不讨论合规问题的情况下就开始讨论权益平衡，有越俎代庖之虞。

知情同意就是一个单维的是非问题，初级法院最重要的使命就是处理好这个简单的合规问题。

合理隐私期待

最后再来说一下判决对于隐私权的处理。虽然传统的隐私语境已然不适合数据保护的讨论，但本案中法官对于隐私的理解明显是过时的，尤其忽略了公共隐私 (public privacy) 等新理念的发展。在现代，不是在裹着捂着不让别人知道的信息才会受到保护。隐私保护依赖“私人空间”的想象在数字时代已经瓦解，对于隐私的理解也应革新。

其次，判决对于企业和个人在隐私问题上的关系的认定也有失偏颇。个人与企业的关系不是刺探者与被刺探者的关系。商家将个人的数据握在手中，不意味着数据就向全社会公开了，也不意味着个人对于数据就没有隐私期待了。一个更为合理的认知框架是商家是数据的守卫者(custodian)，应当为个人的隐私利益负责。

本案对隐私合理期待理论的应用也有问题。说得粗糙一些，如果原告没有（主观）期待还跑到你这里来告什么？客观上，隐私的含义已经在数字时代不断变迁。用纽约大学Helen Nissenbaum教授的理论来说，人们期待的不再是私人的信息或数据是否对外开放，而是数据或者信息的使用有没有超越既有的语境(contextual integrity)——而这正是原告诉求的本质，也即未经同意不要超越微信语境之外使用数据。这也是数据保护法设立目的限制原则 (purpose limitation) 的初衷。那种“你把数据给了企业你活该”、“不想用这个服务你可以用其他服务啊”的思维理应被质疑，更不应该出现在司法推理当中。最后，是否存在隐私期待可以交由当事人举证，但判定合理隐私期待中的合理性，是法官应尽的义务，需要在司法推理中展开，而不能沦为举证责任问题。

除了surveillance capitalism这样普适的问题之外，中国的数据保护之路还存在独特的门槛。法官的推理能力上不来，数据保护就将形同虚设。因此，如果原告能够看到这篇文章，我的建议是继续往上告吧，哪怕是为了法官能力的提升。告得多了，法官在推理上更加用功了，我们的数据保护才有希望。