财新传媒
位置:博客 > 李汶龙 > 民法典的同意之殇

民法典的同意之殇

 

 

中国法学界翘首以盼的民法典昨日正式提请人大审议。

 

去年年末民法典征求意见之时,我开始关注草案中的数据保护规则。洋洋洒洒写了近两万字评论,尝试解构规范指出其逻辑的混淆和保护之不足。(有兴趣的读者可以翻阅汪庆华教授的公众号“大数据和人工智能研究院”,文章名为《民法典中的数据保护问题——评议隐私权和个人信息保护章节及修改意见》)今日提请审议稿公布,数据保护规则只字未改,不免令人失落。

 

究竟该如何评价这部法典?

 

记得几年前在法大的校园,听刘家安教授讲起拿破仑以此为傲的法兰西民法典,跟朱庆育教授细细比读繁杂的德国民法典与《民法总则》。当时感受到民法学者对别国法典的艳羡,以及对国内能有这样一部法典的期许。

 

面对这样一部体量庞大、涵盖甚广的规则体系,宽泛作进退二分的判断有失偏颇。但仅从数据保护的角度观察,民法典隐私与数据保护章节无疑是数字时代的一大倒退。其他问题暂且不提(详见上文),这里只对核心的同意制度略辩一二。

 

《民法典》草案倚重同意制度,但对同意如何获取,是否能够代表用户的理性选择,多大程度上会存在偏颇滥用都没有作出规定。一个合理的假设是这些问题将交由《个人信息保护法》处理。可令人困惑的是,民法典一方面要在个人信息保护的问题上说两句,又不把关键基础打扎实,平添了很多的不确定性。这种犹抱琵琶半遮面的做法会给《个人信息保护法》带来诸多束缚和难题。

 

所谓同意,绝不等同于不看“隐私政策“或“用户协议”的情况下快速点击同意键了事。网络语境下,作出点击同意的行为是一方面,但行为作出的前提、动机和环境更为重要,因为他们决定了行为的有效性。这里借鉴欧盟数据保护法的概念:同意必须明确作出,不能存在捆绑和擦边球;同意必须自愿作出,不应存在强迫、引诱或者附加条件;同意必须在充分了解了前提和后果的情况下作出——用户协议和隐私政策不是律师写给律师看的法律文件,而应当让消费者看得懂。

 

通读草案的文本(第1033, 1035, 1037, 1038条)可以得出结论,无论是对隐私的侵犯还是对数据的滥用,但凡能在形式上获取用户同意即可免去法律责任。在立法者心中,同意被视为一种天然有效的保护机制。这样一种思考假设可以追溯到上世纪中叶,隐私理论发展渐进之时。彼时人类距离数字资本主义的诞生尚有半个世纪之远。借用Alan Westin的经典概念:

 

The individual’s desire for privacy is never absolute, since participation in society is an equally powerful desire. Thus each individual is continually engaged in a personal adjustment process in which he balances the desire for privacy with the desire for disclosure and communication of himself to others, in light of the environmental conditions and social norms set by the society in which he lives. The individual does so in the face of pressures from the curiosity of others and from the processes of surveillance that every society sets in order to enforce its social norms. (Westin, 2018, ‘Privacy and Freedom’)

 

按照这一理念,隐私是一个个人可以控制、并且不断调节的机制。前数字时代这样一种概念构造或许成立,但如今所谓的“私有领域”已经不复存在。一旦我们踏入数字风险社会,隐私就已经不再是我们自己的,也不由我们控制。正如哈佛教授 Shoshana Zuboff 所言,隐私并没有被侵蚀减损,而是从私有领域流散,均匀地分散在公私各个领域,为商业、政府和社会所用。(Zuboff 2020, ‘What Make Us Dance’) 在这样的社会环境下,同意制度无法扮演一个有效的保护机制。我们所同意内容之复杂,同意后果之严重,同意程序富含诡计和狡诈云云,都远远超出普通人的认知和承受能力范围之外。

 

然而,《民法典》草案几乎将所有保护规则建筑于同意制度之上。过度依赖这一制度,不明确其适用界限,也不说明其他替代性法律基础,个人信息保护将成为空谈。如我在上文中提到,这样的制度安排既无法提供充分保护,也无利于数字经济的发展。第1038条第一款虽暗指存在同意之外的其他合法基础,可以允许数据公司在未经同意(甚至明示拒绝的情况下)向他人合法提供个人信息,但草案对此处理得甚为模糊。

 

更有甚者,第1037条将同意视为民事责任豁免的条件。上述诸多难题没有解决,这里有添设例外条款,就好比在已经漏水的小船上又凿了个大窟窿。这意味着但凡企业能够获取用户同意,无论以何种方式,都将获得挡箭牌。所谓的民事责任豁免完全没有界定或限缩,不知会给实践带来多大不确定性。

 

需要指出的是,即便在数据保护标准较高的欧盟也未能摆脱同意困境。一方面ePrivacy条令几经更迭,一方面EDPB多次更新关于同意制度的适用指引。就在5月初最新发布的文件当中,关于同意的有效性(何时无效)问题再度提起。欧盟谈及的 cookie banner 等机制在中国没有根基,尚且无从谈起。

 

西方科技学界对于同意的有效性以及适用局限已有诸多讨论,并带动了法律规则的渐进优化。一个很明晰的结论是:同意制度不应被过度依赖,适用情形应当被严格限缩。如隐私法美国学者 Daniel Solove 摆出的浅显道理:没有人会去看隐私政策;即便有人去看,也看不懂;即便看懂了,也什么都做不了。在企业法务和律师精心设计的复杂语境下,所有的用户几乎都是弱者,跟理性人模型相去甚远。自力救济在信息不对称、权力不对等的环境下根本无法发挥作用。近年来无论是信息鸿沟还是在权力落差也都愈发深化。若要保护我们的数据,同意制度的适用范围必当限缩,此外还需额外的保护机制。

 

根据 Graham Greenleaf 教授对全球数据保护发展的观察,中国《个人信息保护法出台》之前全球已经有超过60%的国家给我们提供了蓝本。在西有GDPR,东有CCPA的格局下,我们仍然持有过时且简单的认知模式,视同意制度的局限与修补于不顾,民法典时代的个人信息保护更加令人堪忧。更遗憾的是,专门法出台之前,《民法典》草案已经定下基调,去除了若干可能。未来新法几乎不可能有悖于基础规范。

 

若要说民法典对于我们个人信息保护的意义,可以归结为一句话:

 

给你个同意按钮玩玩就不错了。

 



推荐 1