孫南翔:論作為消費者的數據主體及其數據保護機制
【作者】孫南翔(中國社會科學院國際法研究所助理研究員,法學博士)
【來源】《政治與法律》2018年第7期「主題研討」欄目。因篇幅較長,已略去原文注釋。
內容提要:隨著信息存儲和傳輸的規模化與便利化,人類社會已經步入大數據時代。傳統的以人格權為基礎、使用侵權救濟的方法難以對數據主體所應享有的權利提供充分的保護。有必要在數據治理中引入消費者權益保護機制,以實現數據保護及數據合理利用的雙重目的。基於個人數據可成為合同對價,互聯網服務提供者從用戶數據中獲利,數據使用協議具備合同屬性等事實, 數據主體可完成從自然人到消費者的角色嬗變。通過設置事前磋商透明化、事中交易誠信化、事後救濟有效性等要求,作為數據主體的消費者權益體系得以建立。在數據保護機制的建構中,我國應認真對待個人信息和數據的價值性,充分發揮消費者權益保護法的作用,激勵政府、數據主體和消費者組織參與數據治理,進而實現網路空間的良法善治。
關鍵詞:數據主體;消費者;數據保護;誠信交易;數據治理
一、問題的提出:數據主體個人信息保護的困境
互聯網時代是數據的時代。新世紀以來,信息儲存和傳送的形式發生巨大變化,任何信息都可轉化成數據,並通過電子化便捷地傳送至世界各地。同時,隨著互聯網技術的普及和發展,海量數據隨時隨地被分享,因此,有學者提出,人類社會已經步入「大數據時代」。大數據時代意味著大規模信息的互聯與互通,為此,對個人信息和數據的治理成為時興的話題。
目前,大多數國家確立了用戶對個人信息的自決權或控制權。然而,根據個人信息自決權理論確立的個人信息同意機制在信息治理中面臨挑戰。在實踐中,個人信息自決權變相喪失。當前網路服務商處於強勢地位而網路用戶處於弱勢地位,即使互聯網服務提供商以隱私保護合約來履行告知義務,「告知與許可」原則也只是一個擺設,因為用戶的同意帶有明顯的被強制色彩,用戶不同意就無法享受服務。對於高度壟斷性的互聯網行業而言,由於用戶沒有其他的替代性選擇,網路用戶的知情權被虛置。
在技術層面,作為保護用戶隱私信息的去識別化機制也備受質疑。雖然信息的去識別化在一定程度上有助於緩解個人信息的過度披露,但該機制建立的前提是信息未達到規模級效應。例如,社會保障號碼一般被視為非常敏感的信息,出生日期則相對不敏感。然而,當前的信息技術表明如果個人的出生日期和出生城市能夠被獲知,那麼該個人的社保賬戶將可被精準地預測。如果一個資料庫包含大量的非敏感信息,那麼信息的加總將能夠追蹤到現實存在的個體。個人的搜索記錄可被視為某種匿名的信息,但其也可能具有識別性。例如,用戶對本地商業、特定醫療診斷的搜索信息等,並且個人也經常會搜索其名字以獲取信息資訊。換言之,去識別化的網路信息並非真正的匿名化。
總體而言,在網路世界中,作為利益相關方的用戶對個人信息缺乏控制能力。同時,在可預見的未來,希望通過技術保護用戶信息利益的設想也難以實現。有鑒於此,理論界和實務界亟待通過新的法律理念規範網路信息和數據的處理和利用。
近期,有部分學者開始探索作為消費者的網路用戶權利,試圖論證互聯網服務提供者與用戶之間達成網路信息交易的可能性,並構建起網路信息治理的機制。例如,約翰·紐曼創新性地主張互聯網企業提供的服務並不以索取服務費用為目的,而是以信息關注與獲取用戶隱私為對價。這個觀點帶來的啟發就是,信息治理可從傳統的個人信息自決理論轉向建立數據交易的市場化機制,並賦予數據主體消費者權益,進而實現良法善治。2014年,我國《消費者權益保護法》新增規定,要求經營者應當遵循合法、正當、必要原則收集、使用消費者個人信息。然而,關於收集和使用消費者信息的正當性和必要性內涵仍未取得共識,並且至今互聯網服務協議中的消費者權益保護問題很少被國內學界觸及,法院在審判中也很少提及互聯網服務中的消費者權益保護。因此,筆者借鑒域外的立法經驗與相關理論,結合中國的具體實際,探索數據主體的消費者權利,並以此為基礎建立關於個人信息與數據的保護機制。
二、數據主體從自然人到消費者的角色嬗變
(一)對個人信息與數據的界定
目前各國相關理論和立法上出現了「信息」與「數據」交互使用的現象。也有諸多學者主張將個人信息等同於個人數據。毫無疑問,在大數據時代,信息與數據具有密切的相關性。在網路世界中,信息的即時分享和快速交易均需要通過數據化技術來實現。不過,筆者認為,個人信息和數據仍具有區分的現實性和可能性,具體理由如下。
第一,在形式上,數據不具有直接的人格屬性。一般而言,個人信息與身份屬性具有緊密的相關性,並具有一定程度的個人可識別性。對個人信息的累積和分析可勾勒出完整的人格圖像,並挖掘個人不願為他人所知曉的敏感信息,進而對個人的正常生活造成困擾和不安。數據(electronic data)則一般限於在計算機及網路上流通的、在二進位的基礎上以0和1的組合而表現出來的比特形式,以此區別於以文學、圖像或視頻等形式顯示的信息(information)。由於被高度數字化,數據不具有直接的人格屬性。
第二,在價值上,數據基於規模效應可產生商業價值。傳統法律對信息的規制著眼於信息與主體的關聯性。在網路出現以前,名人許可商家在商品或服務的宣傳推銷中使用其姓名和肖像就是最典型的個人信息商品化。換言之,傳統的信息價值依賴於信息主體的人格權益,信息的人格特徵越清晰,信息的價值越大。在大數據時代,數據經濟的關注點為數據的實質性內容及其聚合功能。例如,對個人消費偏好、網頁瀏覽記錄等數據的收集和使用並不必然需要以數據主體的身份和人格相關聯。同時,只有海量數據被收集和分析,其對商家及互聯網企業的營銷才具有更大用途。數據規模愈小,數據價值也愈小。
第三,在立法上,個人信息概念和數據概念存在一定的差異性。我國《民法總則》第111條規定「自然人的個人信息受法律保護」,第127條規定「對數據的保護」。第127條最終捨棄了草案中的「數據信息」概念。由此可見,我國立法者認為信息與數據應有所區分。根據司法解釋,「公民個人信息」是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。由此可見,個人信息基本上包括所有體現身份和人格屬性的信息。對於不直接與人格權利相關的數據而言,對於非公權力主體而言,根據「法無禁止皆可為」的法治理念,一般對數據的商業化利用不加禁止。換言之,經營者可合法收集、使用、加工、傳輸的對象為消費者的數據,而非敏感的個人信息。
因此,為避免混淆,筆者於本文中所指的數據為數字化的信息,其是大數據時代最重要的生產資料。與個人信息相比,數據不具有直接的可識別性。需要指出的是,雖然數據和個人信息能夠在一定程度上進行界分,然而二者具有相通性,在實踐中,個人信息和數據也能夠進行轉化。例如,匿名數據通過反向數字化技術能夠再識別,並且與具體的個體再次發生聯繫。當然,對大多數個人和企業而言,反向數字化技術無疑是成本高昂的。
(二)數據主體從自然人到消費者的角色嬗變的必要性
1.以人格權為基礎的信息保護制度存在機制性難題
自然人作為數據主體享有特定的人格權益,其主要表現為個人的隱私權和信息權。個人的隱私權保護個人生活安寧不受他人非法干擾,個人的信息權以個人信息自決為理論基礎。作為自然人的信息主體所享有權利的保護客體為人格尊嚴與自由。然而,在規範對象和救濟機制上,以人格權益為基礎的信息保護制度存在機制性難題。
其一,低敏感的個人信息和數據不構成傳統人格權保護的客體。例如,在Dwyer v. Am. Express Co.案中,美國快遞企業將消費者姓名信息銷售給商戶,然而美國法院認定,被告通過將消費者姓名歸類和匯總而創造價值的做法並沒有剝奪個人擁有姓名的任何價值。因此,其不構成人格權保護的客體。除此之外,消費習慣、手機號碼、郵箱地址等信息也難以成為人格權保護的客體。進一步而言,網路空間的眾多場景被視為「公共場所」,因此,個人信息和數據的收集和使用難以滿足人格侵權的私密性要求。同時,由於互聯網的去中心化,眾多個人信息在網路上一經首次公開,就變相喪失了主張隱私保護的可能性。
其二,互聯網用戶通過人格權侵權主張獲得救濟的門檻頗高。例如,在2015年6月北京百度網訊科技公司與朱燁隱私權糾紛案的終審判決中,法院認為,由於網路服務商或數據從業者對於用戶瀏覽信息的自動抓取收集行為和個性化推薦行為欠缺公開性,並且網路服務商通過服務協議已明確告知網路用戶可使用包括禁用瀏覽文本、清除瀏覽文本或者提供禁用按鈕等方式阻止個性化推薦內容,因此,上述行為不構成隱私侵權。該案明確了數據從業者在收集和利用個人信息方面的自由空間。此外,被侵權人請求承擔侵權責任的前提條件是造成損害結果。實踐中,網路上的「損害」難以界定和判定,數據收集和處理的目的也並非絕對有損於用戶。例如,通過向第三方披露是否構成損害尚存疑問。
其三,個人信息侵權救濟機製成本過高導致互聯網用戶被迫放棄追償權利。與信息收集者不同,信息主體將面臨集體行動困境。一方面,互聯網的個人信息可能不具有足夠高的市場價值,具備有限理性的互聯網用戶鮮有動力提起訴訟並承擔訴訟成本。另一方面,個體監測互聯網企業是否存在侵權行為的難度極大。例如,對身份盜竊和間諜軟體運用的監測活動費時費力,諸多用戶將會毫無防備地接受互聯網企業提供的個人信息規則,因此,眾多互聯網用戶被迫放棄追償和追責權利。
2.消費者權益保護機制的引入實現數據保護與合理利用的雙重目的
以人格權益為基礎、使用侵權救濟的方法難以對作為自然人的數據主體應享有的權利提供充分的保護。探索對數據治理的新路徑具有現實性和必要性。正如內森·紐曼所言,21世紀互聯網信息保護機制的政策失靈與20世紀食品和安全信息上的失靈別無異樣,均體現為傳統的民法路徑無法應對現實的治理難題。本質上,當前的數據經濟呈現出一種複雜的利益關係,一方面是用戶對於其個人信息的保護需要,另一方面是經營者對於個人信息數據化利用的需要,即需要通過對個人信息收集和加工來形成某種數據資產。因此,從經營者和消費者的角度分析數據主體的權利成為新的出路。
消費者權益保護的路徑是在以傳統的意思自由為基礎的民法模式上增加社會公平價值的考量。一方面,作為消費者,數據主體享有傾斜保護政策優待。本質上,消費者權益保護法在原本於民事法律上絕對平等的「自然人」中區分出弱者「消費者」和強者「經營者」,以此使消費者的地位變得較為優越,以對抗地位強勢的經營者。在消費者權益保護框架中,數據主體無須證明損害的存在,若互聯網企業違反約定或協議,那麼數據主體將能夠獲得救濟。消費者權益保護的違約認定標準要求較低,低敏感的個人信息和數據足以成為消費者權益保護的對象。同時,消費者保護機制中的懲罰性賠償等對低價值性的個人信息和數據濫用的行為有威懾作用。另一方面,數據主體可通過消費者權益保護組織、有關公益組織等機構參與數據治理,實現卓有成效的集體行動。消費者是與商人(主要是法人)相對應的一個類群,他通過群體的聯合形成與經營者抗衡的力量。實際上,消費者權益保護機構能夠連接各個用戶,消除搭便車心理,並克制數據主體的過分要求,同時,基於網路空間的互聯互通性,個人信息與數據頻繁需要跨境傳輸,當互聯網服務提供者的住所地在國外時,在政府行為受限的情況下,消費者權益保護組織也能起到協調和保護本國數據主體利益的功能。
更為重要的是,引入消費者權益保護機制使得數據利用合法化。傳統人格權保護模式雖然可解決高敏感性的個人信息保護問題,卻無法滿足大數據時代的數據利用需要。人格權體系的邏輯在於防止個人信息和數據的傳輸和利用損害個人生活安寧,消費者權益體系的邏輯在於確保消費者享有個人信息和數據利用中的公平交易權。隨著社交網路等新興信息發布方式的出現,數據從簡單的信息開始轉變為一種經濟資源。由此,消費者權益體系對數據資源的認可,不僅能夠確保數據主體的信息權利,而且有利於數字經濟的形成與可持續發展。
在理想狀態下,市場力量將自發生成均衡,其將提供消費者關於信息交易條款的事先議價、事後監督權利,並且賦予消費者在企業違反協議時尋求救濟的能力。因此,在實踐中,一些發達國家和地區已經開始探索數據主體的消費者權益保護制度。例如,歐盟將《消費者合同不公正條款指令》適用於互聯網行業。由此,對數據主體權利的保護從民法思維轉向經濟法思維,該轉向具備現實性和必要性。實際上,對數據主體而言,人格權益和消費者權益二者互為補充,人格權益可解決高敏感性信息不合法泄露等問題,而消費者權益適用於其他個人信息和數據的使用與利用。
(三)數據主體從自然人到消費者的角色嬗變的可行性
當前,由於過分倚重信息的絕對安全,諸多國家在數據保護機制中忽視了數據經濟及數據資產化的內在訴求。在理論上,若明確數據的價值屬性,那麼信息治理可從傳統的侵權救濟途徑轉向市場化的規制路徑,由此,數據主體發生了從自然人到消費者的角色嬗變。這是切實可行的。
第一,個人數據可成為合同的對價。雖然諸多商品的價格是金錢性的,但是有些商品的價格完全是非金錢性的。畢竟,交易價格僅僅是交易商品價值之間的比率。在現實中,大多數價格被單一的金錢單位所表示,但是其並非確定價格的必要和唯一條件。價格也可以表示為商品之間的等價交換。例如,若市場上,甲與乙交換五個蘋果與十個橙子,那麼,蘋果的價格就可以表示為兩個橙子。個人數據也可作為商業交換的價格。在實踐中,向第三方披露用戶設備信息、全球定位系統(GPS)信息和網頁瀏覽歷史都是有價值的。
如果用戶訪問一個由廣告收入支持的網站,那麼用戶支付的服務價格就是其訪問該網站所產生的數據。該數據包括之前訪問的網站地址、其後訪問的網站地址、用戶的地理位置等。正如美國地區性法院所指出的,消費概念涉及多種元素,除金錢支付外,還包括登記、承諾、交付、獲得限制性內容。美國第一巡迴上訴法院進一步指出,在使用應用軟體時,在用戶瀏覽視頻時,其實際上向服務提供者提供個人信息和數據,例如他的安卓設備賬號和用戶設備上的定位信息。因此,該法院認定,雖然原告並沒有支付金錢,但原告對被告數據的獲得並非免費,而是構成服務的對價。實際上,通過服務和數據之間的價值交換,用戶締結服務合同而成為消費者。因此,個人數據可以作為合同對價而獨立存在。
第二,互聯網服務提供者從獲取用戶數據中獲利。當前,互聯網服務平台大多是「免費的」,雖然用戶支付零金錢費用,但是他們需要支付非金錢性的成本即個人數據。用戶的個人數據構成了互聯網服務提供者的獲利來源。具體而言,互聯網服務提供者的獲利方式主要來自於兩種。其一,互聯網服務提供商收集數據的行為對當事方是有價值的,因為個人數據的匯總能夠促使服務提供商更有效率地開展活動。例如,互聯網服務提供商可以通過消費者行為活動的收集和歸納,提升產品效能,從而獲得更好的金錢性回報。其二,通過識別消費者的特徵,互聯網企業能夠精準投放廣告從而獲得利益。對於大多數互聯網企業而言,廣告收入是其收入的主要來源。其依賴於對用戶數據的收集和利用。實踐中,互聯網服務提供者將收集多種「非敏感的」數據(如網路協議地址、地理定位、瀏覽歷史、設備信息等),進而對目標用戶進行精準定位,由此實施精準的營銷手段。事實上,廣告商頻繁地在互聯網平台進行競價,以獲得消費者關注的機會。同時,在互聯網環境中,瀏覽網站的用戶將被動閱讀「網路廣告」。由此,通過用戶的信息披露,互聯網平台和廣告商實現商業性的雙贏。
第三,服務協議與數據政策具備合同屬性。從本質上看,數據使用協議為授權合同。授權合同一般是許可者和被許可者之間達成的契約。雖然有些互聯網服務提供者主張,「數據保護政策」或「數據政策」並不是合同條款,其僅僅意味著經營者所欲達到的數據保護政策。然而,在實踐中,德國和美國法院均否認此類主張。他們認為該類型的文件具有(至少看似具有)契約本質,因為其與服務的標準條款不可分割,並且對潛在服務使用而言,遵守政策是雙方達成服務協議的必不可少的環節。在發生於美國Register.com, Inc. v. Verio, Inc.案中,審理法院指出:「雖然互聯網上的新商業使得法院面臨新的情況;但是其並沒有根本性地改變合同的原則,並且當受要約人知曉並接受要約人的條件時,那麼網站的合同條款就是有效且可執行的。」因此,互聯網服務提供者提供的服務協議和數據政策本身體現契約的特徵。
在大數據時代下,數據主體可通過服務協議與數據政策從自然人身份轉化為消費者身份。一方面,消費者提交個人數據以交換其獲得的服務,因此,用戶支付給企業非金錢性的「價格」,即個人數據。另一方面,企業通過獲得的數據實現經營收入,並以提供服務作為接收數據的對價。由此,用戶和服務提供者之間建立起契約關係,數據主體實現從自然人到消費者的角色嬗變。
三、大數據時代消費者權益面臨的挑戰
長期以來,合同法原則被認為是有效率的默認規則。民法本質上是對契約自由的保障,強調形式公平、私法自治。然而,互聯網服務企業的絕對優勢地位、大數據行業的內在特點、消費者經濟利益被忽視等挑戰著大數據時代的實質正義。
(一)互聯網企業的絕對優勢地位
與傳統合同相比,互聯網合同的特殊性體現為互聯網企業佔有絕對優勢地位。實踐中,由於在數據捕獲時的議價不平等,大型的互聯網企業具有剝奪消費者權益的能力。互聯網企業剝奪消費者權益的方式集中體現在互聯網服務協議的格式條款上。諸多互聯網企業通過制定格式合同,使處於弱勢地位的消費者不得不接受不公正的規則。其典型的不公正性體現為由於議價能力不平衡,弱勢方對合同缺乏有效的、真實的意思表示。
傳統上,合同應經過充分的磋商和討價還價後,確定履行方法、交易方式和貿易條件。然而,在互聯網語境下,互聯網服務提供者難以與用戶進行充分磋商,因此,互聯網服務協議多為格式合同,其旨在向所有消費者提供統一的條件,用戶並無協商和談判的餘地。此類型的合同大多設定相同的、不可磋商的條款,並以「要麼拿走、要麼放棄」的方式提供給消費者。甚至於,互聯網企業可通過設置不可更改的格式合同,削減其責任並減少用戶的法律救濟手段。
正如馬克·萊姆利所批評的,在格式合同下,在一個「技藝高超」的律師幫助下,一個軟體供應商能夠非常簡單地執行事實上其想要達成的條件,其只要增加文件頁數並通過去顯著化標示,將一些條款「變相隱藏」,用戶甚至可能在其購買、安裝、開始運行軟體後仍未能發現此類條款。由此,互聯網企業具有限制用戶消費者權益的能力和潛在動機。換言之,處於優勢地位的當事方可強迫、禁止或者以激勵的方式,使得消費者同意那些限制其自由的不公正條款。實踐中,互聯網企業的格式合同經常引起爭議,如我國花唄協議、微博內容協議爭議等即為例證。
(二)大數據技術的商業利用對信息自我控制的威脅
以雲計算、區塊鏈、物聯網等為代表的大數據技術突破傳統的信息流動限制,涉及更多的參與者、更複雜的關係,由此加深了互聯網的信息不對稱和技術不可控性。一方面,與現實世界不同,網路空間的建構物(即編碼)使得個人對其信息的認知、收集和控制非常困難。另一方面,政府難以對去中心化的互聯網活動進行全面的干預和控制。由此,大數據技術的商業利用時刻威脅著用戶的消費者利益,其主要體現為大規模個人數據聚集將增加網路安全事故發生後的損失程度;大量的信息彙編成數據使得以個人同意為基礎的信息使用機制被虛置;在做出銷售和價格決定前,使用數據挖掘技術增加企業歧視消費者的可能性。
正如美國聯邦政府的報告所言,商業企業持續利用大數據技術的潛在漏洞,獲得額外的利益。以數據安全和合理使用為例,當消費者閱讀「隱私政策」條款時,他們認為其個人信息將以技術的方式被嚴格保護,特別是,他們時常認為載有隱私政策的網站將不會分享他們的數據。然而,事實並不總是如此。企業制定隱私政策的主要目的在於免除其作為或不作為的責任,而非確保消費者隱私。
(三)被忽視的消費者經濟利益
作為合同相對方的數據主體,其個人數據的經濟利益長期被互聯網企業所排他性地佔用。在缺乏財產利益的情況下,互聯網企業將免費地使用個人數據。例如,2011年,一女士向騰訊公司請求獲得離世的丈夫的QQ密碼以取得郵箱中的信件和照片,騰訊公司以QQ號碼的所有權屬於騰訊,其丈夫僅享有使用權為由,拒絕了該女士的請求。為何互聯網企業能夠排他性地獲得用戶的所有信息和數據,即因用戶信息和數據的收集、處理、利用而產生的利益應該被誰佔有?究其本質,作為數據源泉的個人並未在大數據行業中獲得真正的實惠,現階段真正取得收益的是少數信息控制者和利用者,比如互聯網服務提供者、廣告公司等。
毫無疑問,如果將個人數據所蘊涵的財產價值賦予商家,就無異於承認任何人都有權佔有那些本來就被認為屬於他人的財產。更何況,若個人數據利益屬於服務提供者,那麼用戶將花費大量成本發現信息是否被搜集以及如何被使用。這顯然是不合理的。有學者研究發現,如果不存在要求企業改變其行為的法律,那麼在缺乏財產利益考量的情況下,企業有持續免費使用個人數據的動機。企業免費使用個人數據的行為不僅忽視了消費者的合法利益,更違背了公平正義和市場規律。由此,通過法律保護機制提升消費者的應有福利,也是追求實質正義的必由路徑。
四、 數據主體的消費者權益及其表現
(一)通過消費者權益重塑數據主體權利
互聯網企業的絕對優勢地位、大數據技術對信息自控的威脅,以及被忽視的消費者經濟利益都集中體現於互聯網交易過程。從消費者權益保護的歷史來看,消費者保護的淵源在於糾正市場失靈的困境,按照實質正義的要求對契約的形式進行相應調整。若民法強調自願的交易,那麼消費者權益保護的核心目標在於確保公平的交易。由此,應對大數據時代的消費者權益挑戰的方法在於重構以消費者權益為中心的數據保護機制。
本質上,消費者權益保護對互聯網交易的保障在於確保交易的程序正義和實質正義,也就是說,平等的議價能力、公正的合同條件和有效的救濟手段。具體而言,程序性的公正性意味著合同的談判或議價不存在壓制和無知的情形,實體性的合理性則體現為合同條件是正當的,雙方並未濫用權利。由此,以下筆者將從磋商、履約以及救濟階段分析數據主體的消費者權益。
(二)消費者知情同意權對數據主體的適用
在消費者權益保護層面上,消費者和服務提供者應充分磋商締結互聯網服務協議。一般而言,在確定互聯網交易是否公正時,法院將評估交易過程中載有雙方權利義務的互聯網協議是否被明確地展示給消費者,消費者是否有機會閱讀該協議,以及消費者是否清晰地、明確地表明對條款的接受。總之,消費者權益保護中的締約公正性包括消費者的知情要求和同意要件。
1.數據主體的知情要求
互聯網行業長期存在互聯網服務不透明的問題。若將消費者的知情要求適用於數據主體,那麼數據主體的權利內容可細分為以下方面。
第一,數據主體應有事實上的或推定上的認知。美國律師協會電子締約工作組曾指出,在電子化語境下,如果通過滾動條能夠展示協議的部分內容,或者通過以普通水平的用戶能夠注意的方式展示條款,那麼可認為互聯網企業已履行向用戶充分告知的義務。然而,在互聯網交易中,若企業將協議放置在不明顯的超級鏈接上,或理性的人將不會注意此類超級鏈接,或理性的人無法知曉其通過點擊同意將締結合同,那麼法院不會執行上述協議。因此,在互聯網語境下,在使用服務前,作為消費者,用戶對服務協議的條款和條件應具有事實上的或推定上的認知。如果互聯網服務提供者未能履行向用戶充分告知的義務或損害數據主體的知情權,那麼該合同可能不生效。
第二,數據主體的權利和義務應不模糊地展示。服務協議中的用戶權利和義務必須合理地展示,否則企業將面臨法院不執行合同條款的風險。一般而言,互聯網協議中的權利與義務包括用戶的提交事項、禁止性內容、互聯網群體規範、發布信息的責任、網站的所有權、拒絕或移除發布的情形、賬戶的終止、內容所有權的準據法、法院選擇、隱私政策、擔保聲明、責任限制、知識產權侵權、通知和關閉條款、使用數據的許可、第三方網站和服務、對協定的終止和修改的條款等。上述內容應清晰地列出和明示。在Hines v. Overstock.com, Inc.案中,美國一家互聯網銷售商在其網頁上寫明:「進入本網站構成用戶對本條款和條件的接受。」其條款包括任何與訪問網站方式相關的爭議都必須在鹽湖城進行秘密仲裁。然而,美國聯邦法院認為,作為消費者,數據主體並沒有獲得關於「條款和條件」的通知,進一步地說,法院指出網站並沒有提供用戶合理閱讀合同條款的機會,並且該鏈接以不顯著的方式展示,因此,該互聯網企業的瀏覽同意協定是無法執行的。
第三,數據主體應具有合理的閱讀機會。在Specht v. Netscape Communications Corp.案中,美國第二巡迴法院拒絕認可互聯網服務協議條款的有效性。其理由在於:在消費者做出同意前,尚不確定服務提供商是否提供消費者閱讀合同條款的機會。具體而言,在該案中,互聯網企業主張應依據互聯網服務協議進行強制性仲裁,並要求終止訴訟程序。然而,審理該案的法院指出,在消費者按下 「立即下載」按鈕免費下載軟體時,服務協議條款放置在屏幕下方的事實不足以表明該企業已經詢問過消費者,且不足以推定消費者已獲得通知。本質上,在締結合同前,用戶閱讀、審閱和理解格式條款是消費者的一項基本權利。德國法蘭克福地方法院曾指出,雖然三星企業提供超過50多頁的數據政策,但並沒有提供超級鏈接,或者是可以跳轉至特定頁面的選項,因此消費者無法合理獲知數據政策的內容,上述做法構成不公正的商業實踐。
2.數據主體的同意要件
在合同締結中,當事方同意對於合同成立是必不可少的。雖然互聯網改變了法院適用法律的事實背景,但不管是書面的、口頭的,或通過行為表達的,雙方合意表示仍是合同的基石。作為基本原則,對合同的接受必須是積極的且明確的。作為消費者,在知悉互聯網服務協議的條款後,數據主體應對互聯網服務協議表示同意。在互聯網語境下,消費者表示同意的方法主要有四種,即點擊同意、開封同意(shrinkwrap)、瀏覽同意和註冊同意。點擊同意的協議是通過用戶點擊「我同意」按鈕確定協議條款;開封同意的協議是通過獲得產品而表明同意;瀏覽同意一般是在網站中表明若用戶通過使用服務,或者安裝程序,則該協議將具有拘束力;註冊同意需要用戶進行註冊,才表明用戶對協議表達同意。
儘管存在不同的形式,消費者同意要件的核心在於建構消費者對格式合同的事實上或推定上的認同。對於不同形式的同意而言,對其認同的標準有所差異。針對瀏覽同意而言,由於數據主體可能在未閱讀協議前,甚至在不知曉協議網頁存在的前提下,持續性地使用網站及其服務,與點擊同意、開封同意和註冊同意相比,數據主體的同意需要更大程度的清晰度。
(三)消費者公平交易權對數據主體的適用
當事方之間缺乏磋商並不導致合同條款不可執行。在互聯網服務協議締結中,強制所有服務提供者與數據主體進行磋商是不切實際的。數據主體與服務提供者進行逐條磋商對雙方而言都是浪費時間,且成本昂貴。解決程序公平和實質公正的方法在於確保互聯網服務商提供的格式合同及其交易條件受實質公正的約束。對實質公正的衡量標準為:當摒棄當事方的優勢地位和強勢身份後,合同及其條款是否仍應該被認可。
1.等價交易
互聯網行業的生存與發展依賴信息的收集、傳輸和處理。然而,現實中的互聯網企業卻存在過度收集個人信息的動機,由此導致消費者往往需要提交超過適當水平的數據。因此,公平交易原則的核心內容之一在於確保互聯網企業對消費者數據的收集與其提供的服務成本相匹配。換言之,如果搜索引擎企業需要收集個人的信用卡等財務信息,這就明顯違反成本和收益相匹配的等價交易原則。例如,在我國,花唄服務協議等要求消費者授權其可向任何第三方查閱個人信息,甚至要求收集個人的通訊數據,此種過度收集個人數據的行為不符合必要性和比例原則,並且,具體而言,其侵犯了數據主體進行等價交易的權利。
2.禁止歧視
在現代社會中,根據種族、性別、年齡、性偏好、基因等差異,對個體或集體的歧視是違反現代法律精神的。例如,美國聯邦和州法律和法規在大多情況下禁止根據個人特徵進行歧視。在互聯網上,互聯網企業也時常基於用戶的地理位置、瀏覽蹤跡等進行價格歧視。互聯網便利了企業利用大數據挖掘技術分析個人行為習慣和消費模式,並且將其分析的結果用於對個人的營銷。然而,企業的營銷並不應導致歧視,特別是通過對個人的地理位置、瀏覽頁面、消費習慣、財務情況進行差別定價。價格歧視行為損害數據主體的公平交易權,更損害了社會的整體福利。
3.禁止欺詐和誤導
互聯網企業須移除任何可能導致欺詐或誤導消費者的網路信息。互聯網企業典型的欺詐或誤導做法包括:第一,誤導數據主體支付價款;第二,誘使數據主體落入「免費」試用的註冊或訂閱陷阱;第三,假冒偽劣產品的營銷;第四,虛假的推銷。例如,社交媒體推廣「1美元贏取智能手機」,但其隱藏了長期使用所花費的每年數百歐元的訂閱成本。在FTC v. Commerce Planet案中, 一企業在網路上邀請消費者使用免費的7天試驗產品,但若到期不取消,那麼消費者將直接支付每月59.95元的成員費。審理該案的法院認定,上述內容具有實質性的和事實上的誤導,由此可見,企業的行為構成不公正的商業實踐。因此,互聯網企業不應欺詐或誤導作為消費者的數據主體。
4.禁止對消費者權利的克減
互聯網服務協議確定了網路銷售的條件,其可能限制企業對數據主體的數據內容和服務承擔的損害責任。在實踐中,法院時常以維護公共政策為由,拒絕執行那些涉嫌濫用權利的條款。實踐上,如果一方的責任豁免將會損害重要社會利益,那麼法院傾向於認定該責任豁免無效。例如,在美國People v. Network Assocs., Inc.案中,被告在其防火牆軟體產品銷售中規定,任何個人在獲得該企業批准前不得公開發布對該軟體的評價。法院認為,其侵犯了數據主體的不可剝奪的消費者權利,因而是不公正的,上述軟體合同條款是無法執行的。
當然,需要指明的是,正如美國聯邦貿易委員會所言,「合同的非公平交易屬性會隨時間推移而變化,對公平交易標準的理解是逐步發展的。法律故意規定『非公平性』等一般性術語,是因為制定一個完全封閉的非公平交易實踐的清單是不可能的。實際上,此類清單將迅速過時或者留下漏洞」。因此,由於網路世界的技術特徵和規制環境的發展,消費者遭受互聯網企業不公正待遇的方式、特徵和表現形式可相應發生變化。
(四)消費者權益救濟機制對數據主體的適用
互聯網服務提供者利用優勢地位,在服務協議中能夠剝奪消費者選擇救濟的方法和場所。通過同意爭議前的強制性仲裁、集體訴訟豁免以及免除企業的救濟責任,互聯網用戶時常被迫放棄了開示證據、法院申訴等權利。綜合而言,救濟條件的不合理性表現在:其一,救濟條款是欺詐或誤導性的;其二,出於不便利性等原因,數據主體實際上被剝奪向法院申訴的機會;其三,合同準據法的非公正性剝奪數據主體的救濟機會;其四,救濟條款與法院地的公共秩序形成衝突。由此,消費者權益救濟機制的引入能夠確保數據主體在利益受損後的救濟是便利的、適當的,且符合當地公共秩序。
首先,在對抗互聯網企業設定的不當救濟機制中,消費者權益保護組織具有協調數據主體利益並對抗不合理救濟規則的作用。例如,德國消費者權益保護組織多次要求互聯網企業不再使用多種損害數據主體利益的條款。2017年3月,歐洲委員會和成員國消費者機構要求社交媒體遵守歐盟消費者規則,並移除不合法條款,其中重點涉及救濟機制。例如,歐洲委員會和成員國消費者機構指出,第一,社交媒體不能剝奪數據主體向其居住國法院申訴的權利;第二,社會媒體網路不能要求數據主體放棄法定的權利,例如數據主體在網路購買中的撤銷權利;第三,服務協議不能限制或完全地排除社交媒體與其服務履行相關的責任;第四,不應隱藏受資助的內容;第五,社交媒體不能單邊地改變條款和條件;第六,服務條款不能授予無限制的、自我裁量的移除內容的權力;第七,服務協議的合同終止必須由明確的規則所來調整,且當事人不能在不具備合理理由的情況下單邊做出終止決定。
其次,消費者權益保護機制能夠通過集體行動,糾正互聯網企業損害數據主體利益的行為。例如,英國、韓國等消費者權益保護組織對谷歌、蘋果等互聯網巨頭損害數據主體利益的行為提起訴訟。在性質上,消費者協會是聯繫廣大消費者的紐帶,依法對商品和服務進行監督。有鑒於此,消費者權益保護組織能夠在核實證據、查清事實基礎上,努力解決並化解糾紛,糾正互聯網企業威脅或損害數據主體利益的行為。2018年1月,我國江蘇省消費者權益保護委員會對北京百度涉嫌違反獲取消費者個人信息及相關行為提起民事公益訴訟。無疑,消費者權益保護組織能夠通過主動作為的方式,對抗強勢的互聯網企業,並切實維護作為數據主體的消費者的合法權益。
五、構建我國對數據主體的消費者權益保護機制
中國共產黨的十九大報告提出:「推動互聯網、大數據、人工智慧和實體經濟深度融合,建設網路強國、數字中國、智慧社會。」數字經濟的深度發展需要體系化的數據治理機制。在邁向網路強國的過程中,中國的數據治理應從傳統的以人格尊嚴和自由保護為中心的治理模式轉向以市場化機製為導向的治理模式,通過事前同意、事中誠信、事後救濟的多層機制安排,確保數據主體切實享有作為消費者的合法權益。
(一)明確消費者權益保護法對數據主體的可適用性
當前,以美國、歐盟國家學者為代表的學者提倡構建數據交易的市場化機制並重視數據主體的消費者權益。我國一些學者也有類似的建議。與傳統的合同相比,互聯網服務協議的當事方議價能力懸殊,並且相互磋商成本巨大。因此,確有必要通過專門的規定對數據主體的合法權益予以明確。從本質上,民法應保障契約自由,其側重等價交易;消費者權益保護法強調限制濫權,其注重實質公正。合同機制和消費者權益保護兩者相輔相成,共同保障數據主體的合法權益。
我國《消費者權益保護法》第29條為新增法條,其規定:「經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經消費者同意。」尚存疑問的是,該法指明其保護的對象是為生活消費需要而購買商品或接受服務的消費者,可見,我國消費者保護權益法仍未脫離現實世界的傳統框架,其仍未滿足互聯網服務消費者權益保護的需求。筆者建議,在我國民法典、電子商務法、個人數據保護法等法律的制定過程中,應明確數據與個人信息具備合同對價性,以此搭建互聯網服務提供者和用戶之間的誠信交易機制。同時,於消費者權益受損的情形時,可在補償性賠償機制方面引入懲罰性賠償機制,以提高企業的違法成本,促進數據利用、處理和傳輸的法治化、有序化。
(二)認真對待個人信息和數據的經濟價值
大數據時代,個人信息和數據具有財產權的屬性。對個人數據進行賦值並將數據價值初始配置於用戶,符合數據治理的客觀現實需求。在互聯網領域,若「數據與服務」之間的交易得以形成,那麼數據主體將成為互聯網服務協議的消費者,進而從傳統的人格權保護方法邁入平等交易的財產權保護方法。這不僅能更充分保護用戶的信息權,而且能更有助於整個大數據行業的發展。
在立法上,我國《國家安全法》《網路安全法》《民法總則》等法律確定了信息利用的合法、正當、必要原則,並要求網路運營者不得收集與其提供的服務無關的個人信息。然而,實踐中的難題在於如何界定信息利用的正當性和必要性。筆者認為,若個人信息和數據的可計價性得到承認,那麼對正當性和必要性的法律解釋由於涉及對最小限制的替代措施、成本、收益分析等,其都涉及經濟學的分析工具,均可通過法經濟學的成本和收益方法加以解決。 在必要性層面,由於互聯網服務提供者和消費者之間建立起契約關係,那麼消費者所披露的數據應等價於互聯網服務提供者的服務成本,進而通過等價交易確定必要性問題。在正當性層面,互聯網服務協議的締結應滿足程序正義、誠信交易等要求。如若互聯網服務提供者能夠切實維護消費者權益,那麼其對信息的收集、傳輸和利用便應當滿足法律上的正當性和必要性的要求。
(三)建立從事前同意到事中誠信交易的監督機制
個人信息自決權是信息治理的重要理論基礎,其邏輯在於通過強化個人的事先同意機制,以此約束互聯網企業濫用信息的行為。由於個人信息處理的便捷化和數據的規模化,用戶同意機制或許僅僅是提供給個人對信息的控制感,而未體現個人的實際控制權。現實中,多數消費者並沒有意識到當註冊微信、微博或瀏覽搜索引擎網站時,其已經與互聯網服務提供者達成服務協議。由於很多用戶對同意的內容和對象並不具有充分的認知,片面強化同意要件會變相地弱化用戶的合法權益。
在大數據時代,「過度收集數據」是服務提供者的不良傾向。對數據規制的目的在於糾正互聯網企業非法的、欺詐性的行為,以及諸如價格歧視的行為。實際上,上述問題都集中在數據的收集、處理和轉讓過程。由此,對消費者權益的保護還應發揮事中誠信交易機制的作用。筆者認為,我國行政機構可同步構建數據交易的事先同意機制和事中誠信機制,通過確定等價交易、禁止欺詐等誠信交易理念,打造平等的、公正的數據流動和交易機制。近期,中央網信辦等四部門已聯合開展隱私條款評審工作。筆者建議,相關部委在下一階段可以展開數據誠信交易評審工作。
(四)激勵多元主體參與數據治理與保護
當前,我國主要在政府主導下開展數據治理與保護工作。然而,從長遠看,國家行政機關缺乏足夠的人力、物力和時間監督所有的網路信息和數據流動。因此,在數據保護層面上,應從以下兩方面著手。一方面,應最大程度發揮數據主體的能動性。事實上,只要一部分網民能夠關注互聯網企業的數據收集和轉讓,那麼整個社會的消費者福利就將得以提升。由此,我國立法機關和司法機關的工作核心在於界定數據產權,並最大程度地發揮個人作用。另一方面,我國的數據治理也應積極發揮消費者協會和其他消費者組織的作用。由於消費者存在搭便車心理,且追究數據違約責任所帶來的收益較小,消費者權益保護組織應切實發揮保護每個消費者權益的功能。雖然我國消費者協議已開始對互聯網企業違反獲取用戶信息許可權等問題提起消費民事公益訴訟,但是對互聯網服務糾紛的責任主體、行為要件、處罰與賠償機制等仍存在爭議,互聯網服務糾紛的民事公益訴訟適用方法仍不明確。因此,筆者認為,我國立法機關應承認數據主體的財產性權益,保障消費者及消費者權益保護組織有理有據地提起訴訟,並通過適用消費者權益保護法中的懲罰性賠償制度,營造公平合理法治透明的數據交易環境。
轉載請註明出處。
分享本文:
點擊界面右上角按鈕,在彈出框中選擇「發送給朋友」或者「分享到朋友圈」
本刊微信號:ZZYFL-SASS
本刊微信鏈接二維碼:
TAG:政治與法律編輯部 |