财新传媒
位置:博客 > 李汶龙 > 评抖音案:知情同意不能拿来平衡

评抖音案:知情同意不能拿来平衡

/李汶龙

 

 

上一篇文章谈到了微信读书案,与其同日公布的判决还有抖音案。值得一提的是,抖音的母公司最近因为特朗普的幼稚无能而陷入了危机中,面临因政治因素而不得不割裂国际业务的窘境。陷入这场风波的不仅仅是字节跳动,特朗普政府刚推出了的所谓Clean Framework直指所有中国互联网企业。一个西方民主国家能够使用这样的字眼和逻辑真是让我瞠目结舌。

 

话题回到判决本身。相较于微信读书案,抖音案中的逻辑不清和天马行空要更加严重。法院最终虽然作出了有利于原告凌某的判决,但对法律规则的误读和臆断可能会影响到未来案件中有效的个人信息和隐私权保护。

 

如果说微信读书案中体现出来的是司法激进主义,试图突破传统思考融入更前沿的理论发展,那么抖音案的理路可以算得上是司法保守主义,立论于既有(但不相关)的法律框架。

 

抖音案的判决书页很长,不过大部分是关于举证质证,相关的推理起始于第36页。我在这里主要讨论三个问题:(1)架空知情同意;(2) 所谓“合理使用”的谬误;(3) 数字时代 “私密性”的认定。

 

一、戛然而止:第三人同意难以获取就可以(都)不获取了吗?

 

抖音案中存在一个明显违反知情同意原则的事实,判决也予以确认。虽然抖音的《隐私政策》中提及推荐“可能认识的人”的功能,但该政策表述的逻辑是利用用户的手机通讯录进行推荐,而非本案中搜刮原告用户之外的其他人手机中关于原告的姓名和电话号码。两种机理逻辑不同,法院认定为不实告知。(第40页)

 

未经同意处理数据是否就构成侵权?这是本案的一个核心问题。

 

法院采取两段论,将是否征得同意(第39-40页)和是否构成侵权(第40页以下)分开论述。如此安排似乎在暗指除了知情同意外,个人信息不当使用的侵权行为还需要额外的考量。的确,在知情同意与信息侵权的空隙之间,法院插入了所谓“个人信息合理使用”的讨论。从判决文本中,我们无法得知这一标准的出处和法律基础。考虑到法官的出身以及历史上的司法实践,这一标准很有可能是借用知识产权领域当中的“合理使用”。

 

法院从知情同意跳转到“合理使用”的逻辑更是让人费解。判决提到所谓“双重同意”,即不仅需要征求原告同意,还需征求通讯录中所有其他人的同意。但是目前的商业实践中,获取同意主要通过注册阶段的弹窗。在没有用户界面(user interface)的情形下,企业往往不愿做这种劳神费力还碰一鼻子灰的事情。法院也站在了企业的角度,认为要求获得第三人同意是所谓的“绝对化保护”(第40页)。所谓“合理使用”也就在否认知情同意的语境下应运而生。

 

第三人同意难以获取就可以选择不获取了吗?并非如此。

 

判决是以存在困难的事实直接掩盖了抖音未获取原告的事实。第三人的问题暂且不谈,这些人也没有进入到诉讼当中。但是,仅基于法院确认的原告凌某没有提供知情同意的事实就足以定案。

 

从另一个角度观察,《民法典》中只明确了同意作为数据处理的正当基础也是一大缺陷。(详见《民法典中的数据保护问题》)参考欧洲实践,GDPR中实际上也存在着“合理使用”的情形,例如第6条除规定知情同意之外还创设了其他的法律基础,包括正当利益(legitimate interest)、数据主体的重大利益 (vital interests)以及公共利益 (public interest)。值得注意的是,这些其他的法律基础的适用范围非常窄,且与商业目的使用完全两码事。换言之,商业数据处理几乎不可能基于同意之外的其他法律基础,知情同意是处理数据的必要前提。

 

置同意问题不顾而另辟蹊径,这是对《民法典》赤裸裸的违背。民法典第1035条并未对知情同意开设例外或者提供弹性。该条所谓“除非法律、行政法规另有规定”需要有法律基础,与本案无关(国家不可能为了支持企业以商业目的使用数据起草一部法律给民法典开设例外)。

 

仔细对比判决文本可以发现自我矛盾之处。一方面判决大部分内容转向对“合理使用”的讨论,认为知情同意的缺失本身不构成侵权。另一方面,判决下文对处理地理位置数据的分析中又影射了未经同意处理数据就构成“对个人信息的不当使用和过度处理”(第48-9页)。

 

二、另起炉灶:所谓“个人信息合理使用”

 

按照法院的推理,抖音原本可以胜诉,因为连未经同意处理信息也可以被视为“合理使用”。而法院最终判定抖音败诉,并非自我否认了“合理使用”的说法,而是基于另外的事实,即被告将cookies(注:一种用于跟踪记录互联网用户在电子设备上的网络行为的程序)的时限设定为10年。法院认为这不合理扩大了个人信息泄露的风险,因此违反必要原则(第43-4页)。抛开cookies的问题暂且不谈(应该没有什么异议),我这里仅就所谓“合理使用”略论一二。

 

很明显,能够提出“合理使用”说明法官采取了一种数据财产化的思路,这跟知识产权的合理使用一脉相承。但是,数据并非财产,也无法完整地纳入到财产规则体系当中。

 

所谓“合理使用”不合理的地方在于,它完全架空了知情同意这一规则。法院能够做到这一点,是以更为基本的“合法、必要、正当”原则为名,试图开创可以越过同意原则的数据处理合法基础。

 

如上文提到,在企业商用数据的语境下,这样的替代法律基础几乎不存在。因此,法院最终“平衡”出的结论也令人匪夷所思。判决指出,未经同意进行数据的收集和匹配“并不会对原告产生打扰”、“通常亦不会不合理地损害原告利益”。(第43页)很明显,前者是一个隐私权的论断,不应出现在数据保护语境;而后者是一个未经证的意见。

 

值得赞扬的是,判决对权益衡量提出了一个标准,即“没有对信息主体造成不合理损害”。(第41、43页)但仔细观察文本可以发现,法院之所以认为不存在伤害,是因为其对伤害的认知极为狭窄,仅限于数据泄露可能造成的人身或财产损害的问题(但本案完全不涉及数据安全的问题)。知情同意背后保护的利益,以及未获得授权处理数据可能造成的损害,判决中只字未提。因此,所谓“合理使用”的概念正遮掩了同意制度本身的价值;因为合理,所以不存在伤害,逻辑颠倒。

 

正如我在微信读书案中提到,数据保护的内核是个人的信息自决权 (right to informational self-determination)。如果数据的处理不是基于自决的基础上,必须有足够的法律基础。否则,权利既被侵犯,伤害即已形成。考虑数据安全责任而不考虑信息自决对不同类型伤害的混淆,凸显出法官对伤害认知、定性和理解的局限。

 

此外,所谓平衡是指冲突价值之间的平衡。法院在设立这样一个“跷跷板”时,完全无视同意制度代表的个人信息保护价值。判决中提到的平衡价值为“满足使用户社交需求”‘“不应过度严格保护个人信息”“促进数字经济发展的社会福祉”……如此种种实际上与所谓“合理使用信息”同出一端。平衡之前价值认知既已偏颇,之后的推理质量可想而知。不承认信息自决和知情同意所代表的价值和利益,所谓“合理使用”只是一个挡箭牌。

 

愚以为,法院之所以能够形成如此分析框架,除了没有形成对隐私和个人信息保护独立、清晰、完整的认知之外,还跟我国宪法没有得到有效的实施、解释和发展,导致司法推理中无法明示权利的法律基础有关。另外,我国司法实践也没有形成连贯的、充分的、平衡的分析框架和原则。在这一点上,欧洲人权法院和欧盟法院的实践和分析架构值得借鉴(法定原则、必要原则、比例原则)。

 

总之,在获取同意这个问题上不存在斡旋空间,也无需拿来跟其他因素权衡。数据保护制度中权利和自由的平衡与知情同意规则的执行并不是在一个维度之上。

 

三、数字时代的“私密性”的认定

 

微信读书案中,我提到了隐私分类和隐私伤害分类的区别。抖音案是另外一个只关注什么是隐私而不关注隐私伤害的例证。很明显,法院的思考并没有放在抖音搜集、处理数据对原告以及其他人可能造成的伤害上。判决主要围绕三种数据(姓名和手机号码、社交关系和地理位置)是否属于隐私,或者具有私密性展开讨论。虽然判决依旧采用两段论(先分析本体,再分析侵权),但即便第二部分得出的结论也是“社交关系不具有私密性,不属于隐私”(第47页)。

 

法院认为,姓名和电话号码不具有私密性,因为这些信息通常会披露给其他人;社交关系不具有私密性,因为原告不能自证明;地理位置页不具有私密性,因为原告不能证明其需要加密……这种推理很明显是基于一种前互联网时代的思考(“因为我认为私密,所以不告诉别人”)。如今我们已经不再如此保护信息、空间或者身体,互联网也很大程度上瓦解了“私有领域”的概念。究竟私密性的认定能否基于向他人披露是一个很有争议的问题。与其黑白二分的讨论是否具有私密性,一个更重要的问题是对谁披露,什么语境下披露。一个人完全可以认为号码是私密信息,同时披露给一个我信任的人,甚至小范围的朋友圈。因此,是否私密取决于披露的对象和环境。法官需要作具体语境的分析,而不应基于一个基本社会假设,更不应将其作为一种举证负担施予个人身上。愚以为,对于隐私或者私密性的认知不应过窄,尤其是在数字时代应当确保这一概念有足够的弹性。所谓“私密”,只要能认定当事人有合理期待即可。这里的基本假设是默认有,而非默认无;因此原告无需自证私密性。在此基础之上,对于法官而言一个更重要的任务是去认知、厘清和评估对隐私造成的伤害,以及在两段论的后半部分真正讨论伤害本身。很遗憾的是,两份判决的推理都没有展现出法官能够建立如此理论的能力。

 

当然,抖音案中法官陷入到隐私的认定跟原告的诉讼策略不无关系。原告的诉求有二:认定窥探行为(侵犯私密空间)和侵扰生活安宁。倘若把语境定为安宁,那么原告很难在隐私权的问题上胜诉。数据的收集和匹配都是直接指向原告本人并且是在后台完成的,其影响并未扩张到第三人或者他们的社交环境。此外,在隐私的分类中,空间隐私和信息隐私彼此对立。考虑到《民法典》对隐私的分类(生活安宁、私密空间、私密部位、私密信息),抖音案明显是关于信息隐私的问题,原告的主张偏离了应有的轨道。相较之下,微信读书案中原告并未明述隐私类别的做法更为明智。

 

四、结语

 

微信读书案和抖音案两相对比,暴露出我国司法实践中的很多问题。《民法典》的出台澄清了一些概念,但并未带来法律的确定性,有时甚至有负面影响。其中问题最大的莫过于将民法基本原则视为数据保护原则,导致司法适用过程中存在过大的自由裁量。如果法官在推理时很轻易就可以从法律规则的讨论退回到法律原则,甚至无视法律规则的违反,那么《民法典》设立的保护机制已然被置诸高阁。此外,两起案件同出自一个法院,法律推理模式可以如此迥异,基本共识和分析框架的缺乏令人堪忧。两份判决向我们展示了自由裁量范围过大,一方面可以促进更前沿、跨法域的思考,而一方面也会导致既有规则的不当延伸。

 

附:抖音案判决全文

 



推荐 4