财新传媒
位置:博客 > 李汶龙 > 评微信读书案:当南山必胜客遇上司法激进主义

评微信读书案:当南山必胜客遇上司法激进主义

​文/李汶龙

 

2020年7月末,北京互联网法院公布了两份被称之为“民法典时代的判决”:(2019) 京0491民初6694号和 (2019) 京0491民初16142号(以下分别称之为微信读书案和抖音案)。仔细读过,我感慨这应该算是我读过的推理最为缜密、想法最为前瞻(至少是微信读书案),且篇幅最长的中文判决书(隐私、言论自由领域)。两份判决具有很多相似性:都涉及互联网巨头公司(微信、抖音);都涉及隐私权和数据保护问题;都“参考”了尚未生效的《民法典》;原告消费者都取得了初审胜诉。

 

两起案件的法律事实都比较清晰简单。微信读书案中,腾讯微信读书团队想利用微信强大的网络外部性,在产品之间建立起功能关联,从而促进新品的发展和竞争。由于具有天然的数据网络优势,微信读书团队并没有选择让用户自然形成独立的社交网络,而是依附于已经形成的覆盖近乎全中国的微信社交网。微信好友因此可以在微信读书上看到其他人在看或推荐的书,甚至包括读书笔记。原告黄某认为,尽管同属腾讯旗下产品,其间的数据互通并未经得用户同意。黄某主张隐私权和数据保护权益遭到侵害的诉求得到了初审法院的支持。

 

抖音案中,原告凌某(可能)做了一个实验:在手机通讯录里除本人之外没有其他联系人的情况下,注册抖音并观察其好友推荐的情况(“可能认识的人”功能)。凌某最初推测是抖音和腾讯存在暗箱操作,导致微信好友列表被抖音利用。但庭审举证过程显示,实际上并不是抖音在利用凌某的通讯录或者微信好友列表,而是反向在其他人的手机通讯录中搜寻凌某的姓名和电话号码,用以向凌某推荐“可能认识的人”。抖音案中原告的诉求(抖音非法窥探和使用了其隐私和个人信息,侵扰了其生活安宁,干扰且破坏了其社交关系)也得到了法院的支持。

 

仔细看过抖音案可以发现,虽然法律问题与微信读书案类似,但法律推理、分析框架和判决暴露出的问题完全迥异。且考虑到篇幅限制,我决定另起一文单独讨论抖音案。

 

一、个人信息、数据分类和风险管控

 

微信读书案的判决很多篇幅在讨论本案涉及到的数据(例如微信好友关系、读书信息)是否是个人信息。我在别处提到(GDPR基础班2020第4讲),个人数据或信息概念所依赖的若干标准,例如相关性和可识别性,在现今数字社会都得到了极度延展,导致个人数据这个概念本身的规范意义大大限缩。倘若对个人和数据的相关性做广义解释(如GDPR采取的进路),任何数据都可以成为我们的个人数据。另一方面,数据的匿名化可以有效保护数据的假设已经被颠覆,因为在技术层面任何的匿名过程几乎都是可逆的,而且非常容易实现。因此,个人信息这个概念本身的规范意义已经被大幅限缩。

 

将个人信息保护置于侵权法框架中,很重要的一个问题是利用个人信息是否就构成侵权行为?如果不是,法院还需要考量什么样的因素?

 

在微信读书案中,法院界定了个人信息的概念之后,就将重心置于数据分类的问题,并试图将其推理分析建立在数据分类的基础之上。法院选择引入不同规范对数据的分类,一方面可能是出于《民法典》尚未生效,推理仍需基于现行法,而另一方面是司法实践尚未形成连贯一致的分析框架。

 

基于数据分类讨论个人信息不当使用侵权的这一思考模式问题很大。《个人信息安全规范》将信息区分为一般个人信息和个人敏感信息,目的是为了对后者规定更高程度的安全保障措施。相较而言,《民法典》对于个人信息的保护并不基于此。由于隐私权与个人信息保护的机制彼此独立,讨论个人信息保护也无需考虑私密信息。既然《民法典》确认了要保护个人信息,无论本案涉及何类信息都需受到保护。法院选择引入现有规范中数据分类的思维惯性,无疑冲淡了“个人信息不当使用何时构成侵权行为”的问题。

 

法院得出的结论——认为微信好友列表和读书信息属于“兼具防御性期待及积极利用期待”的第三类个人信息——似乎缺乏法律基础(无论是司法先例还是立法标准)。而且,所提出的第三类数据与第二类数据——“不具备私密性(不愿为他人知晓)的一般信息”——存在怎样的异同未经论证。质疑这两类数据界限不明的反例很好举,因为很多数据都可以同时满足:(1) 为我所用(以及所谓法院所提出的“积极利用期待”)和 (2)不愿为他人知晓(也即法院强调的“私密性”)。凡是企业在线上线下收集的行为数据(例如点击鼠标的位置和内容,物理位置数据等)都满足上述要件。

 

此外,该判决还存在一个概念混淆问题。例如,关于数据分类的讨论放在了微信好友列表、读书信息是否属于隐私项下。(第29页)判决虽明确表示隐私权(私密信息)和个人信息(保护)之间的关系需“着重考量”,但微信读书案的主要败笔恰恰在此。

 

隐私权保护和数据保护的考量指标不明确导致法院的推理逻辑存在瑕疵,下述一二。首先,法院对民法典提出的私密信息和个人信息概念的二分未加批判地使用和延伸导致推理立基不稳。关于大数据范式对于什么是个人信息,什么是私密信息的颠覆和挑战我不再赘述。判决对此也予以认可,并注意到不同数据分类(个人信息、敏感信息、私密信息)存在概念关系不清,堆叠重合的情形。(第30-34页)

 

其次,法院采用企业常用的“场景化模式”理念有违其裁判角色。企业提出这样的理念是为了划清什么语境下使用数据不违法。作为司法裁判,法院恰恰应该站在反面,划清哪些情形不受到场景变化,统一会对个人隐私构成伤害。换言之,法院的使命是理清伤害的范围而非合理使用的范围,尤其考虑到法院讨论这个问题是在隐私而非数据保护的语境下。后者尚且存在人格保护与经济利用的平衡,而前者更应聚焦于伤害之上。在这一点上,判决起初对语境的铺陈已经认识到了这一点:“虽然隐私权和个人保护都保护个人尊严,但个人信息权益同时涉及数据的利用和流通”。隐私权的保护虽然也要考虑到价值权衡,但其宗旨是对隐私伤害的救济,而非信息保护和信息流动的平衡。

 

再次,判决提到了合理隐私期待的问题;这是一个欧美隐私判例法中很重要的一个衡量标准。尽管有些学者(例如Alan Westin)强调隐私的保护和利用之间的关系,并且提到有些消费者对隐私利用的渴望远高于保护。但对于法官而言,尤其是进入到了诉讼环节,应该对什么是隐私期待持较为保守的态度。如若一定要强调隐私利用的维度,也应基于足够的本土实证评估,明确实证语境下中国用户的“合理隐私期待”。没有实证评估的情况下,仅在理念层面上去揣测原告甚至整个中国网民的隐私期待并不足信。这种概念层面上的臆断是上述衡量指标和理论缺失导致的直接结果。

 

这段推理最大的问题在于,判断隐私侵权不基于伤害本身而要建立在分析什么是私密信息的概念基础之上。值得注意的是,判决在结构上通常采取两段论,先判断某项数据或者私人事实是否够成个人信息或者隐私,再判断科技公司利用该数据或事实是否够成侵权。但是,第二段的推理往往贫瘠,结论主要是第一段概念范畴讨论的自然延伸。例如,法院在讨论是否侵犯隐私权的问题时着重探讨的是数据的私密程度,也即是否是《民法典》所说的“私密信息。(第41页)

 

最终判决并未直面回答什么是个人信息不当使用侵权这个问题,而是转向其他问题的讨论,例如微信读书是否“侵扰私人安宁”。(因而从私密信息的范畴又转向安宁权的范畴)除此之外,微信读书案中还提到“数据是否形成对原告人格的刻画,进而对人格利益造成损害“的标准。(第46页)这明显是关于隐私伤害讨论的论点,已经跳脱出《民法典》关于隐私本身分类的范畴,值得称赞。但令人遗憾的是,判决又很快从隐私伤害的语境重新回到隐私权本身,强行以此得出“原告读书信息未达到私密性标准”的结论。

 

通观整个推理链条,在个人信息保护的语境下,法院并未在信息分类这个基础上立足过久,最终还是回到了隐私权(什么属于私密信息)的讨论上。但是,个人信息保护的论据还隐私权的论点之间存在着很大的间隙。此外,民法典》不围绕隐私伤害展开而是讨论隐私本身的维度,无疑给司法实践确立隐私侵权带来难题。正如微信读书案中所展示的,司法推理会在隐私本身的维度和隐私伤害的表现形式间往复徘徊。

 

二、隐私、侵权和伤害

 

理论上,隐私权和数据保护权的理路有所不同。数据保护规则所保护的是数据,而隐私权保护的是人本身。数据保护规则(狭义或者初代的)重在数据处理的正当性,而隐私权需要探究的是个人受到的隐私伤害。

 

《民法典》第1033条看上去是在列举隐私权的侵权行为或者可能造成的伤害(参加Prosser提出的四种隐私侵权),本质上却是对隐私本身的分类(私人生活安宁、私密空间、私密活动、私密部位、私密信息)。本案中法院之所以关注隐私本身的范畴而非对隐私造成的伤害,也是因为民法典对隐私的定义和类型予以说明,弥补了这一空白。第29页民法典第1032(2)条)

 

这两种不同分类之间存在着很重要(但却被法院忽略)的间隙或断层。所谓侵权,是以隐私伤害作为判断依据,而非隐私本身。单纯关注隐私为何会导致保护范围过宽。判决中所谓“隐私具有绝对权利属性”的论断正是例证。与此相反,构成隐私本身不意味着就提供救济;只有生成了隐私伤害之后,且无正当抗辩理由,隐私权才被侵犯。《民法典》第1033条所列举的行为都是中性的,形式这些行为并不意味着就是隐私侵权行为(例如使用了电话、短信等通讯工具不意味着就侵犯了私人生活安宁)。侵权行为的成立还需要对伤害本身进行更明晰的确认和评估。

 

如何确定隐私伤害的边界或者隐私侵权行为的本质是一个更为复杂、需要理论基础的探索。《民法典》及其先在规范并未在这个关键问题上提供足够的确定性,这可能导致的结果有两种:法院或者会放大侵权行为的范围,影响到正常的商业实践;或者限缩侵权范围,使消费者无法得到足够的保护。无论怎样,认定隐私伤害或者隐私侵权行为没有明确的指标会导致司法自由裁量过大。

 

三、知情同意、选择自由和市场竞争

 

当事人双方在微信读书如何正当获取微信好友列表的方式上存在分歧。原告主张微信读书是“一次(概括)授权且无法拒绝”的模式,而腾讯辩称是“两次(分别)授权,可以拒绝”的模式。法院基于举证认定,用户必须授权微信读书获得头像、昵称、性别、位置及共同使用应用的好友,否则无法以微信账号登录使用微信读书(第36-7页)

 

值得注意的是,判决在讨论何谓有效同意的问题上,完全站在了竞争法或者消费者权益的立场,思考个人是否能够通过知情同意获得选择产品的自由。(第40-1页)确保消费者在市场中能够有众多选择,且择出最符合自己需求的产品或者服务,这是消费者保护法和竞争法的宗旨而非知情同意的应有之义。知情同意仅确保同意本身是明确充分,基于事实作出的。(事实可能是市场中没有其他类似产品可以选)因此,用户可以选择不同意,但是企业以数据处理作为使用(免费)服务前提的做法本身并不必然违背数据保护规则。反观法院的推理,认定腾讯“不违反法律规定”的理由是微信读书的市场规模和外部性效应本身并没有微信那么大,因此脱离微信读书本身不会带来很大不便,而且市场中尚有其他微信读书竞品可供选择。很明显,这已经完全跳脱出知情同意的范畴,进入到竞争法的思考模式。

 

四、知情同意制度的立法漏洞和司法续造

 

如我在前文(《民法典中的数据保护问题》)所述,同意制度的关键在于如何定义有效同意,以及获取同意的方式。倘若这些重要面向不予以明确,同意制度极易成为企业获取免责或者形式合规的工具。尤其考虑到民法典第1036条规定,但凡用户同意,行为人将不承担民事责任(但需“合理实施的行为”)

 

由于《民法典》尚未生效,微信读书案中法院未以第1035条关于用户同意作为数据处理的前提要件,而是援引了《民法总则》第111条和《网络安全法》第41条。前者并未明确涉及同意原则,后者明确规定“(需)经被收集者同意”。

 

值得赞扬的是,该法院在探究何谓“知情同意”虽未提供任何法律基础(个人信息保护法出台之前也不太可能存在)的情况下,提出了对知情同意的评估不仅仅应该停留在形式层面(是否有问询同意),还应展开质量评估,也即同意是否有效的问题。(第42页)

 

欧洲对于有效同意形成了若干指标——自由提供 (freely given)、知情作为前提 (informed)、非概括函授同意 (specific)、若有不同处理行为则需分别同意(separate)、同意不能存在模糊不清 (unambiguous)、同意可以撤回 (revocable)。微信读书案判决书并未提及或采纳这些指标,而是以所谓“透明度”作为一个笼统的质量评估指标,并在语境中对其进行解读。从判决中无法得知这个打了引号的概念出自哪里。(似乎是舶来概念)仔细梳理司法推理的思路可以得出,法院虽未明示,但潜在地使用了这些欧洲指标。其所提出的三个论点(第43-44页)本质上分别表达了同意的获取应该特别、独立(同意微信处理数据并不意味着同意微信读书也能处理数据)、自由提供(法院甚至将其上升至信息自决权的高度)、在知情的前提下提供(微信读书并未告知用户其与其他阅读应用的不同——读书信息向所有人公开)

 

判决还对《微信读书软件许可及服务协议》的“透明度”进行了评估,认定其对用户的告知是不充分的。司法推理中提到的“显著提示”、“无提示的方式”似乎暗指仅仅将信息深藏在用户协议的做法是不够的,企业尚需在更直接、有互动的情境下进行告知。

 

五、企业合规高手与司法激进主义

 

总结而言,北京互联网法院的保护倾向值得称赞,但判决文本本身不乏纰漏,甚至存在根本性缺陷。究其原因,一方面来自司法的不(完全)公开,导致学术讨论和司法推理无法相互渗透。另一方面是立法技术的不足及守旧观念的桎梏。关于前者,法官们的努力让我们看到了希望;但至于后者,我们只能寄希望于法律改革尽快到来。有必要一提的是,个人信息保护法几乎不可能突破民法典设定的限制。

 

再说说合规。其实仅就案件事实来看,腾讯未必会败诉。倘若上诉,且高等法院采取更加实证而非激进的视角,或许案件的结果也会有翻转。微信读书案中的产品出自同一公司旗下,数据跨产品使用的情况非常普遍(这也是为什么腾讯希望广泛布局的原因)。个人以为,腾讯在合规层面做得近乎合理,甚至可以代表行业典范。但有趣的是,南山必胜客遇上了一群有情怀的法官,在多重法律语境中提出了一个令腾讯法务无力回天的伦理问题。

 

最后审视一下司法实践。可以说,本案中的司法推理大胆且激进,所使用的理论和思维模式并非依据条文谨慎得出,而参考了关于知情同意的理念之争,尤其是数字时代下的治理挑战及出路的讨论。除了上述竞争法思维、用户画像危害的提出之外,法院还明确提及了德国的信息自决权的理念。如判决指出,在数字时代用户应享有通过经营个人信息而自主建立信息化“人设”的自由,也应享有解决信息化“人设”的自由,而行使这种自由的前提是用户清晰、明确地知晓此种自由。(第44页)

 

诚然,如此激进的推理是否符合法制可以争论,但如此有情怀、追求正义的法官让我们看到了法治的希望。司法激进主义有助于实现个案正义,并且能够促进理论缺失和伤害标准不清等问题的解决。于此同时,我们也需要意识到实现正义不能仅凭如此特殊方式,且司法实践不一致会带来社会危害。抖音案虽结局相同,但推理迥异,即是明证。

 

(未完待续)

 

附:黄某诉腾讯微信读书案一审判决书

 

 



推荐 1