依靠“隐私政策”弹窗可以满足合规要求吗?
目前绝大部分App通过在用户首次打开App时以弹窗形式展示用户协议和隐私政策(或者个人信息保护政策),依靠用户勾选的方式履行告知义务和取得同意义务。《个人信息保护法》(《个保法》)规定了除同意以外的其他合法性基础以及有效同意的构成要件,但是目前大多数隐私政策在《个保法》生效后,对于个人信息处理告知内容和形式,仍然未出现突破性的变化。
勾选隐私政策,构成有效同意吗?可以满足合规要求吗?
要彻底搞清这个问题,本文认为需要对隐私政策和同意的性质和法律意义作深入探究,因此通过梳理不同学者的研究,学习与思考,然后再尝试提出隐私政策在内容和形式层面的一点建议:应将不同合法性基础所进行的个人信息处理活动分别列明,并结合不同的用户交互设计充分履行告知义务;将基于同意而进行的数据处理单独列出以取得同意,实现真正的充分知情,自愿明确。
一、同意的定义和性质?
除了我国台湾地区“个人资料保护法”明确将同意界定为“意思表示”。大多数国家和地区的个人信息保护法律,包括我国相关法律法规基本上并没有界定什么是个人同意,而只是规定了同意的要件。
在我国个人信息保护法的起草过程中,在一审稿第14条第1款第1句曾规定:“处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。”
二审稿则删除了“意思表示”一词,该条第1款第1句被修改为:“处理个人信息的同意,应当由个人在充分知情的前提下自愿、明确作出。”
正式颁布的《个保法》第14条第1款第1句则规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”
因此,我国《个保法》未将“同意”规定为“意思表示”,但究竟同意的含义是什么呢?
1、为什么个人同意的性质不是意思表示?
根据程啸教授《论个人信息处理中的个人同意 》中的解释,个人对于个人信息处理者就其个人信息所要实施的处理活动而作出的同意,并非旨在发生民事法律后果的内心意思的外在表示,个人与个人信息处理者之间也没有就设立、变更、终止民事法律关系达成合意,即,个人作出的同意不是意思表示。
如果将个人同意的性质理解为意思表示,将导致民法中关于意思表示的法律规则被错误地适用于个人信息处理活动当中。
这一方面,会混淆民事行为能力与同意能力。个人信息处理中个人同意的年龄不同于民事行为能力的年龄规定,这是因为个人信息处理活动不是一种交易行为,而是对个人信息进行收集、存储、加工、使用、提供等活动的事实行为,不能将适用于交易行为的民事行为能力套用在个人信息处理。另外,个人信息处理中的个人同意的有效性还受到个人信息保护法中其他规定的制约,尤其是个人信息处理者是否充分地履行了告知义务。如果未充分告知,即使有个人同意,则仍然是无效的同意。
另一方面,会错误地将意思表示的撤销和撤回适用于个人信息处理中的个人同意。民法上关于意思表示的撤回、撤销以及撤销权的除斥期间的规定,都不能适用于个人信息处理中的个人同意。只要是基于个人同意处理个人信息的,个人有权随时撤回同意。试想如果一旦个人作出了同意,就不能撤回或者很难撤回,那么个人的同意就不可能是真正的同意,其对个人信息的处理就没有真正的决定权,无法充分地维护人格尊严和人身自由的。另外,就法律行为的撤销而言,撤销权的行使具有溯及力。但是,在个人信息处理中的个人撤回同意则不具有溯及力。由于处理者必须随时做好个人会撤回同意的准备,所以为了实现个人信息权益的维护与个人信息的合理使用之间的利益平衡,法律上必须作出这样的规定,这也是诚信原则与公平原则的要求。
2、个人同意的性质是什么?
程啸教授认为,自然人享有个人信息权益意味着,其他组织或个人应尊重而不得侵犯该权益,承认自然人的个人信息权益就必然导致对他人行为自由的限制。处理者对个人信息进行的任何处理行为(无论是收集、存储、使用,还是加工、传输、提供、公开等),客观上就构成对个人信息权益空间的侵入或干扰,违反了法秩序,具有(暂时认定的)非法性。要排除这种非法性,就必须具备法律上的正当性。在个人信息保护法上,此种正当性要么来自于个人的同意,要么来自于法律、行政法规的规定即法定的许可。
在消极的层面上,个人同意属于违法阻却事由即免责事由,排除行为的违法性(或过错)而使得行为人无需承担侵权责任,如同意(《民法典》第1219条、第1036 条)、自助行为、紧急避险、正当防卫;
在积极的层面上,个人同意是个人信息处理活动的合法根据或正当理由之一。个人信息处理中的个人同意为个人信息处理行为提供了合法根据,排除了该行为的非法性,从而使得处理行为具有合法基础,不构成对个人信息权益的侵害行为。
《民法典》第1036条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
《民法典》第1219条 医务人员在诊疗活动中应当向患者说明病情和医疗措施。需要实施手术、特殊检查、特殊治疗的,医务人员应当及时向患者具体说明医疗风险、替代医疗方案等情况,并取得其明确同意;不能或者不宜向患者说明的,应当向患者的近亲属说明,并取得其明确同意。
医务人员未尽到前款义务,造成患者损害的,医疗机构应当承担赔偿责任。
在常鹏翱教授《对准法律行为的体系化解读》中认为,患者同意应归准法律行为,理由主要是:
第一,它在构成上要求患者书面同意医疗机构的诊疗活动,表明患者有接受诊疗活动的意愿,这并非效果意思;
第二,它的法律效果是排除诊疗活动的违法性,与权利变动无关;
第三,这种法律效果的发生是法律所规定的,即在患者同意的前提下,只要医疗机构尽到了相应的审慎诊疗义务,就无需对患者因诊疗活动而产生的损害承担赔偿责任,即便患者同意的真实意思并不在排除诊疗活动的违法性,或患者并无不追究医疗机构损害赔偿责任的意思,也不影响该法律效果。与此不同,在医疗损害发生后,患者放弃损害赔偿请求权的行为是法律行为,因为它产生权利消灭的效果,而该效果又完全取决于患者的意思表示。
把患者同意应归准法律行为,前提需要认可常鹏翱教授对准法律行为作出的定义,准法律行为是指对外表示内心状态,但效果由法律直接规定的行为,可以简化为“表示行为+效果法定”的法律规范,表示行为是其构成要素,但法律效果完全由法律规定。
法律行为的制度功能旨在实现自由意志,其内在逻辑是通过表示行为来引起特定效果的效果意思,因而效果意思是法律行为最为根本的特质。准法律行为有表示意思,却没有效果意思,表示行为的对象可以是某种意愿,也可以是对某种事实情况的认知,还可能是某种情感态度或立场,但是准法律行为的表示对象绝非效果意思。
因此,金震华、吕伟欣律师在《隐私政策可诉吗?》中结合以上理论,认为个人同意作为信息处理者免责事由的同时,是一种准法律行为:
(1)在构成上个人同意个人信息处理者的处理活动,表明个人有被处理个人信息的意愿,但这个意愿并非效果意思,即不构成意思表示;
(2)在法律效果上通过个人的表示行为排除了个人信息处理者的违法性,且与权利变动无关;
(3)该等表示行为的法律效果的发生是由《民法典》、《个人信息保护法》等法律直接规定的。
二、目前隐私政策的法律意义是什么?
首先,同意隐私政策不构成合同关系。
一般而言,合同成立的典型方式是要约和承诺方式。要约是希望与他人订立合同的意思表示,承诺是受要约人同意要约的意思表示。
金震华、吕伟欣律师基于“表示行为+效果法定”的法律规范,认为隐私政策尽管不存在个人信息处理者表达自由意志的空间,但毕竟存在依照法律要求表达希望处理个人信息的诉求,这种意思应属于表示意思,同时该等表示意思需通过隐私政策发布的表示行为来落实,且该隐私政策的法律后果取得个人同意后可处理个人的信息系由《个保法》直接规定,因此符合准法律行为的构成要件。隐私政策发布的表示行为没有效果意思,不能构成意思表示,即不构成要约。
如上文所述,个人“同意”亦不构成意思表示,不能构成合同成立中的承诺,因此,个人就处理其个人信息表示同意,两者之间不能构成合同关系。
值得注意的是,如果仅仅为订立、履行个人作为一方当事人的合同所必需而处理个人信息的情况,本文认为仅同意隐私政策也不应该表示个人对整体合同(用户协议)的成立的意思表示,隐私政策可构成合同内容(用户协议)约定的一部分,可类比技术服务合同里的服务标准。
其次,隐私政策最大程度的功效是个人信息处理者遵循透明性原则,履行《个保法》规定的告知义务。
但目前隐私政策的内容和展现方式,无法满足《个保法》第17条著方式、清晰易懂的语言真实、准确、完整的标准,也更无法表明用户是在充分知情的前提下自愿、明确作出的同意。个人信息处理者必须充分地告知,从而确保个人是在充分知情的前提下而作出同意的。如果,个人在完全不知情或不充分知情的情况下所作出的同意,则是无效的。
例如,在内容层面,目前的隐私政策包含个人信息处理的全部基本情况。一般从如何收集和使用个人信息开始,其中一小节说明不需要取得同意的情形。对于突发卫生事件、为公共利益实施新闻报道或者处理合法公开的个人信息,由于其本身的不确定性,确也无法说明个人信息处理的情况。而对于为订立或者履行合同所必需,或者基于法定义务而进行的个人信息处理情况,却未单独说明。个人并无法清晰理解哪些个人信息处理是为履行合同所必需或者履行法定义务而展开的。最终,用户读完也并不清楚哪些个人信息处理是不需要取得自己的同意的。
另外,从形式上,隐私政策采用一次性告知,用户因为内容的冗长繁琐且没有可选择的余地而放弃阅读隐私政策。另外,即使目前仅仅使用基础功能,也要同意APP未来个人信息的处理活动。在后续具体的业务场景中个人信息处理涉及收集更多个人信息、敏感个人信息或对个人权益可能产生显著影响的处理活动,未再次告知用户,或者通过更新隐私政策增加个人信息处理目的,未将变动部分单独加强告知个人。
三、隐私政策的内容和形式的一点建议
本文认为隐私政策应作为个人信息处理情况告知书,如果个人信息处理包括除同意以外的合法性基础,则不应该通过用户勾选隐私政策获取同意。一般而言,个人信息处理者处理个人信息的法律基础可能有多种,因此应将不同合法性基础所进行的个人信息处理活动分别列明,并结合不同的用户交互设计充分履行告知义务。例如,为履行法律义务处理了哪些个人信息、为履行合同所必需处理哪些个人信息。对于基于非同意法律基础处理个人信息时,隐私政策或者隐私通知文案,应该是“我已阅读或者我已知晓”,而不是“我同意”。
将基于同意而进行的数据处理单独列出以取得同意,实现真正的充分知情,自愿明确。对于需要取得《个保法》要求单独同意的情形,则需要、在处理前单独弹窗或者其他形式取得同意;处理活动涉及敏感个人信息,或对个人权益可能产生显著影响的,还需要再次告知并取得用户单独同意。
合规要求与业务需求并不绝对是鱼和熊掌不可兼得,创造性设计合规的交互页面是我们必须要走的道路。
数据合规与治理 2022-02-18 02:46
#个人信息保护法 #告知 #同意