×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评|隐私政策可诉吗?

汉盛法评|隐私政策可诉吗?

2021-11-22   金震华、吕伟欣

内容摘要

隐私政策是个人信息处理者履行《个人信息保护法》项下告知义务的重要途径。我国《个人信息保护法》中的“同意”在性质属准法律行为,而个人信息处理者通过隐私政策等文件告知拟处理个人信息的后果由法律规定,不具有意思表示中的效果意思,因此在性质上亦属准法律行为。我国《民法典》未规定单方行为(单方允诺)是债的发生依据,作为准法律行为的隐私政策可类推适用单方行为,但不会产生债的法律效力,故而隐私政策本身不可诉。此外,一方面限于隐私政策不是合同,另一方面,隐私政策所涉及的个人信息属于人格权,因此在隐私政策中规定管辖法院或仲裁的无效。对于特殊行业,拟通过监管政策、行业标准等在《个人信息保护法》基础上升格保护标准的,以及个人信息处理者单方赋权或承担义务的事项,或为个人信息权能实现特殊提供服务的,均可通过《用户协议》作出条款性安排。

正文

2021年8月20日,我国《个人信息保护法》(“《个保法》”)颁布,同年11月1日实施。《个保法》的亮点之一是构筑了以“告知-同意”为核心的个人信息处理规则。在我国个人信息保护立法过程中,“告知-同意”经历了从“基本原则”到“具体规则”的演进历程。告知同意规则,系指任何组织或个人在处理个人信息时,应对个人信息被处理的个人进行告知,并在取得同意后方可从事相应的个人信息处理活动,除非法律另有规定,否则该等处理行为即属违法。[1] 作为一项基本规则,其包含告知规则与同意规则两方面,二者紧密联系,不可分割。没有充分、清晰的告知,个人无从对个人信息被处理作出同意的表示;反之,虽然充分、清晰的告知,却未取得个人的同意,对个人信息的处理亦属非法。[2]

隐私政策是个人信息处理者履行《个保法》项下告知义务的重要途径。在传统法律实践中,有将隐私政策视为合同,但实际履行告知义务的效果并不理想,其广受诟病的原因如下:(1)隐私政策实际上无人读、不可读、读不懂,告知同意无法实现其应有功能;(2)网络平台常在隐私政策中设置不合理、不公平、侵害个人信息权益的条款;(3)网络平台所提供的隐私政策等文本,通常为一揽子安排的格式合同,用户实际无法拒绝,面临“要么同意,要么放弃”之困境。为此,在《个保法》草案阶段,有观点提出,应对告知同意规则进行进一步细化,并以格式合同规范约束隐私政策。[3] 而在《个保法》颁行后,是否仍可将隐私政策视为格式合同?在个人信息处理者约履行义务时,是否可据此起诉法院?

一、为履行《个保法》项下告知义务而制定的隐私政策是合同吗?

在《个保法》颁布前,一般认为网络平台在网站、APP、小程序等媒介通过发布隐私政策方式将处理个人信息的事项告知用户(个人),并取得其同意的,在网络平台与用户之间建立合同关系。由于该等隐私政策系网络平台为重复使用而预先拟定,不存在协商情况,当属格式合同,应受《民法典》第四百九十六条至第四百九十八条的规制。

根据《民法典》第四百七十一条,合同成立的典型方式是要约和承诺方式。如隐私政策是合同,则个人信息处理者发布隐私政策属于要约,而用户(个人)点击同意则属于承诺。要约、承诺均属于意思表示范畴,即要约是希望与他人订立合同的意思表示,承诺是受要约人同意要约的意思表示。

可是,《个保法》第十四条第一款在一读稿中规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示”,而在二读稿与正式颁行版均放弃了“同意”的意思表示说。[4] 现行《个保法》框架下的“同意”不是意思表示,应认定“同意”不属于法律行为。从《个保法》第三十一条第一款的“同意能力”,以及《个保法》第十五条第一款“同意”的撤回维度分析,个人“同意”不应属于事实行为。可是,“同意”在构成上不存在意思表示中的效果意思,但确实存在表示意思和表示行为,且其行为后果由《个保法》直接规定,故应认定为准法律行为。[5] 可见,《个保法》中的个人“同意”不构成合同成立中的承诺,故而,个人信息处理者就处理个人信息事项向个人履行《个保法》规定的告知义务,个人就处理其个人信息表示同意,两者之间不会构成合同关系。

因此,网络平台的个人信息处理者在网站、APP、小程序等媒介通过发布隐私政策方式,将法定处理个人信息的事项告知用户并取得其同意的,在网络平台与用户之间不会产生合同关系。

此外,需要指出的是,国家标准化管理委员会在2020年颁布的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第5.6 款“征得授权同意的例外”之附注:“个人信息保护政策[6] 的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同”。显然,相关国家推荐性标准所持的隐私政策非合同观点与《个保法》下同意不是意思表示,两者在逻辑上保持一致。

二、《个保法》项下的隐私政策法律性质为何?

“告知-同意”规则是个人信息保护立法的重点内容,也是个人信息处理规则的核心。[7]“告知”是透明度原则在行为规范中的具体体现,[8] 隐私政策是个人信息处理者履行告知义务、提升透明度的重要方式,“同意”则是从个人选择权层面的规制,依赖充分、清晰的告知,个人可选择被收集的信息,并确定以何种方式被使用其个人信息。从个人信息处理者角度,其核心义务是在个人信息处理前做好告知工作。由于《个保法》否定了“同意”的意思表示说,因此,个人信息处理者就处理个人信息事项向个人履行《个保法》规定的告知义务,个人就处理其个人信息表示同意,两者之间不构成双方法律行为。

1、发布隐私政策是否属单方行为?

既然隐私政策不属于双方法律行为,那么是否属于单方行为?《民法典》第一百三十四条第一款规定:“民事法律行为可以基于双方或者多方的意思表示一致成立,也可以基于单方的意思表示成立”,此系单方行为的法律依据。对此,需要讨论隐私政策中所表达的内容是否存在个人信息处理者的意思表示。隐私政策的基本功能是落实《个保法》项下个人信息处理规则中的告知义务,其内容主要包括《个保法》第二章“个人信息处理规则”,第三章“个人信息跨境提供的规则”,第四章“个人在个人信息处理活动中的权利”等规定的相关告知事项,而第五章“个人信息处理者的义务”则更多的侧重在个人信息处理者的合规义务与监管报送义务等法定义务范畴。因此在《个保法》项下,几乎不存在个人信息处理者可表达自主意思,并产生其希望实现的法律效果之空间,换言之,其不存在意思表示构成中的效果意思。而无论双方意思表示,抑或单方意思表示,其核心是存在效果意思,否则就不构成法律行为。而《个保法》框架下隐私政策,主要的功能就是践行法定的告知义务,不存在个人信息处理者单方可以改变法定要求的意思表示空间,因此不属于单方行为。

2、发布隐私政策应属准法律行为中的意思通知

需要指出的是,隐私政策尽管不存在个人信息处理者表达自由意志的空间,但毕竟存在依照法律要求表达希望处理个人信息的诉求,这种意思应属于表示意思,同时该等表示意思需通过在网站、APP、小程序等途径进行发布的表示行为来落实,且该隐私政策的法律后果——取得个人同意后可处理个人的信息系由《个保法》直接规定,因此符合准法律行为的构成要件。

准法律行为在类型上包括意思通知、观念通知和感情表示三种。意思通知指行为人做出了某个意思并表达于外部,但是法律直接规定了该通知行为的法律后果,比较典型的是催告;而观念通知则是是指将一定的事实通知受领人以便其知悉此种事实,比较典型的如债权转让通知。由于隐私政策中的告知事项不属于既存事实的告知,而是想实现某种法定后果的意思进行告知,故而应属于意思通知范畴。

可见,通过隐私政策履行《个保法》项下的法定告知义务,因没有个人信息处理者表达效果意思的空间(由此排除单方意思表示----单方行为),但毕竟有表示意思和表示行为,且法律后果也是个保法直接规定,故当属准法律行为中的意思通知。

三、用户(个人)能否以个人信息处理者未履行隐私政策向法院起诉?

1、发布隐私政策可类推适用单方行为的相关规定

对于准法律行为一般可类推适用法律行为的规定。由于《个保法》项下履行法定告知义务的隐私政策在性质上属于准法律行为中的意思通知,因此与之最接近的是类推适用单方行为的规定。

单方行为中存在表意人的效果意思,表意人具有的意欲发生特定法律效果的内心意思;而在隐私政策中个人信息处理者须不折不扣地履行法定的告知事项,不存在限缩法定义务的自由意志的空间。唯有疑问的是,如果个人信息处理者未按照发布的隐私政策履行告知事项,或未保护用户在《个保法》项下的权利,用户是否可径直依据隐私政策向法院提起诉讼而维护自身合法权益?

2、单方行为之债于法无据

此问题的实质是要回答单方行为能否作为债权债务发生的依据?在各国立法例中,有将悬赏广告等单方行为(单方允诺)作为债的发生依据,换言之,在法律上认可不需要双方形成合意,仅一方主体单方意思表示即可形成债权债务关系。然需指出《民法典》第一百一十八条第二款规定:“债权是因合同、侵权行为、无因管理、不当得利以及法律的其他规定,权利人请求特定义务人为或者不为一定行为的权利”。显然,《民法典》并未规定单方行为(单方允诺)之债,故如欲使单方行为(单方允诺)发生债事效力,须找到“法律的其他规定”。

由于对个人信息的保护在民法框架下属于人格权保护范畴,故而《个保法》第五十条第二款“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼”,该款只能作为人格权请求权进行解释,不宜将此“请求”作为债权请求权的依据。此外,《民法典》第一百三十九条规定的:“以公告方式作出的意思表示,公告发布时生效”,亦不能作为单方行为之债的发生依据,因为该条仅规范了公告发生的时间效力,但并未言明是否发生债的效力。

3、隐私政策不可诉

《个保法》第七章法律责任,主要规定了民事责任、行政责任和刑事责任,即个人信息处理者违规处理个人信息,或未履行法定保护义务所产生的行政责任,处理个人信息造成损害而产生的侵权责任,以及构成犯罪依法追究的刑事责任。在民事责任层面,对侵害个人信息权益造成损害的,个人可依据《个保法》第六十九条向个人信息处理者主张侵权损害赔偿。对于个人要求行使查阅、复制、更正等权利,个人信息处理者拒绝该等请求,没有发生实际损失的,可依据《个保法》第五十条第二款向法院提起诉讼。此时,个人为行使《个保法》赋予的权利,在起诉时提供的隐私政策文本并不是其主张请求权的依据,只是证明其与个人信息处理者之间因个人信息处理而建立相应法律关系的证据。

可见,在《个保法》框架下,隐私政策可类推适用单方行为,但不能作为债权请求权的基础向法院起诉。换言之,隐私政策本身不可诉,个人不能要求个人信息处理者按照隐私政策文本履行其允诺的事项,其只能在向个人信息处理者主张人格权请求权或侵权损害赔偿的场景下,作为证据使用。

四、在隐私政策文本中是否可规定管辖条款?

在《个保法》颁行前,不少个人信息处理者在公布的隐私政策中都规定了争议解决条款,其中一类是规定法院诉讼,另一类是规定仲裁。

(1)关于管辖法院

在将处理个人信息的“同意”界定为意思表示的立法例中,通过隐私政策的履行告知义务,经个人作出同意的意思表示后,双方实际订立了隐私协议,貌似只要符合关于格式合同条款的要求,可以在隐私协议中约定司法管辖方面的内容。

如上所述,由于我国《个保法》未将处理个人信息的“同意”界定为意思表示,且个人信息处理者发表的隐私政策在性质上应属于准法律行为中的意思通知。对于双方行为的合同可以通过协议管辖的方式确定管辖法院,而准法律行为中的意思通知不能构成合同,故而不存在协议关系之可能。

此外,《民事诉讼法》第三十四条规定:“合同或者其他财产权益纠纷的当事人可以书面协议选择被告住所地、合同履行地、合同签订地、原告住所地、标的物所在地等与争议有实际联系的地点的人民法院管辖,但不得违反本法对级别管辖和专属管辖的规定”。由于我国《民法典》与《个保法》均将个人信息纳入人格权保护范畴,不属于财产权益,因此即便我国《个保法》将处理个人信息的同意视为意思表示,从人格权保护角度隐私政策亦不得作出协议管辖的规定。

(2)关于仲裁

一般认为,仲裁条款具有独立性,其效力可以独立于双方签署的交易合同。那么在隐私政策中是否可以规定仲裁条款,并使该条款独立于隐私政策,作为个人与个人信息处理者之间发生纠纷后的解决安排?

《仲裁法》第二条规定: “平等主体的公民、法人和其他组织之间发生的合同纠纷和其他财产权益纠纷,可以仲裁”。显然,我国仲裁法与民事诉讼法中的协议管辖观点相似,可仲裁的事项须为财产权益纠纷,而个人信息属于人格权范畴,不属于财产权益,因而具有不可仲裁性。

可见,在隐私政策中无论是规定法院管辖,抑或是仲裁条款,均不发生法律效力。需特别指出的是,即便双方当事人同意仲裁,且仲裁庭同意受理并作出裁决的,该裁决亦面临任何一方因不满意仲裁结果,而依据《仲裁法》第五十八条向法院申请撤销裁决的风险。

五、个人信息处理者单方赋权或承担义务的文本架构安排

在个人信息保护制度中,个人的权利内容(权能)包括积极权能和消极权能。积极权能,诸如访问权、复制权、可携权(转移权)和收益权等;消极权能,诸如及更正权、限制或反对处理权和删除权(被遗忘权)等。其中,个人积极权能的行使,有赖于个人信息处理者的积极协助与配合,甚至个人信息处理者需要花费相当的人力、物力或提供相应的服务。《个保法》在个人信息保护体系中,属于最底层、最基本的制度保障,行业主管机关、个人信息处理者可以提出更高的标准。在个人访问权、复制权、可携权等积极权能的行使上,个人信息处理者可以提供最基础,但同时也是效率较低的服务;也可以提供高效率、高品质的服务。从《个保法》层面分析,隐私政策中所规定内容属于法定权利保障与义务履行范畴,作为准法律行为,其功能仅限于将法定告知事项及拟处理信息的意思通知用户(个人)。

对于个人信息处理者在保障个人访问权、复制权、可携权等积极权能时所做出的允诺,应如何确保其效力,并可通过民事司法途径实施有效救济?如上所述,由于法定的告知、同意事项均属于准法律行为,同时《民法典》、《个保法》等均未规定未履行告知义务是债之发生的原因,因此从单方行为(单方允诺)角度,实无法通过民事司法实现救济。换言之,在隐私政策中规定超出法定权利,或履行法定义务以外的事项,在现行《个保法》框架下不具有法律约束力。

由此产生的问题是,个人信息保护法律体系能否为个人信息处理者与用户(个人)自主决定的信息处理事项提供制度保障。对此,如将个人信息处理中涉及个人积极权能的事项进行解构,会发现其中除了个人信息处理者履行法定义务外,还涉及个人信息处理者为用户(个人)提供服务等相关内容,即包括两部分内容:履行法定义务+提供个人信息权能实现的基本服务。显然,提供个人信息权能实现的增值或特殊服务不属于《个保法》规定的范畴,而个人信息处理者出于提高客户体验、增加客户粘性等考虑,为用户提供高品质、便捷、有效的个人信息权能实现之服务,应为数字社会所提倡与支持。鉴于隐私政策的主要功能在于实现个人信息保护的基本立法政策目标,无法再对“告知-同意”之准法律行为定性进行调整,同时由于个人信息处理者提供个人信息权能实现的增值或特殊服务事项,属于双方意思表示一致的合同范畴,故而不适宜在隐私政策中规定。

个人信息处理者建设网站、APP、小程序的目的是为了实现特定业务功能或交易,除隐私政策外,一般还会要求用户(个人)签署(点击)《用户协议》等文本。《用户协议》作为一种电子化的缔约方式,基于网络交易场景而使用,网络运营者预先设置了协议条款,规定与用户之间的权利义务,在法律性质上属于格式合同规制和调整的范畴。在《用户协议》文本中,一般会也包含隐私条款等内容,由于上述《个保法》对“告知-同意”规则的定位与定性,涉及法定告知事项的内容可由隐私政策规定;而对于特殊行业需要通过相关监管政策、行业标准等在《个保法》基础上升格保护的事项,以及个人信息处理者单方赋权或承担义务事项,或/与个人信息处理者提供个人信息权能实现的特殊服务事项,均可在《用户协议》中作出条款性安排。

附录

[1] 程啸:“论我国个人信息保护法中的个人信息处理规则”,载《清华法学》2021年第3期,第55页-第73页。

[2] 告知同意规则是判断个人信息处理行为合法与否的基本标准,从《民法典》第1035条第1款第1项分析,除非法律、行政法规另有规定,如处理行为未遵守该规则,原则上均构成非法。

[3] 韩旭至:“个人信息保护中告知同意的困境与出路——兼论《个人信息保护法(草案)》相关条款”,《经贸法律评论》,2021年第1期,第53页-55页。

[4] 2021年8月20日正式颁布的《个人信息保护法》第十四条第一款规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”。

[5] 关于《个保法》下“同意”的法律性质分析,参见金震华、吕伟欣:“何为《个人信息保护法》下的同意?”,载“数字经济与社会”公众号,2021年11月1日。

[6] 即通常所说的隐私政策。

[7] 在个人信息保护制度层面,各国选择“告知-同意”规则的原因包括:(1)从个人信息处理者角度,告知的成本相对低廉,处理者仅需统一发布信息收集通知即可,且告知一般可以线上隐私政策形式体现,由用户进行选择,以避免逐一磋商的高成本;(2)从个人体角度,“告知-同意”规则充分尊重个人意愿,给予根据自身偏好选择是否向个人信息处理者提供自己的信息;(3)从便利监管角度,“告知-同意”规则要求信息收集者对相关隐私政策或条款进行披露,属于一种轻微的监管,无须监管机关采取复杂的措施,且相对容易实施。

[8] 透明度是个人行使权利的前提条件,其有助于增进安全感及信任,提升对信息处理的接受度,实现信息价值的最大开发,因而被视为应对大数据时代隐私挑战的核心手段,我国《个保法》第七条明确规定了处理个人信息应当遵循公开、透明原则。

相关研究