陳文煊 北京世寧律師事務所律師
(全文共3856字)
近日,北京互聯網法院公開宣判了淩某某訴北京微播視界科技有限公司(抖音App的運營主體)隱私權、個人信息權益網絡侵權責任糾紛壹案((2019)京0491民初6694號))。該案涉及備受關註的個人信息利益與互聯網產業發展的權衡問題,法院在諸多前沿問題上進行了深入詳盡的分析,當之無愧可被稱為《民法典》頒布後個人信息保護第壹案。壹審法院就本案所作的大膽創新和突破,較好地平衡了個人信息保護與產業發展的需求,為相關行業健康、有序地創新及發展指明了方向。
本案的核心爭議焦點之壹涉及通訊錄在社交App中的利用問題,涉及通訊錄信息的使用是否需要取得通訊錄持有人、以及每壹條通訊錄信息的指向主體雙方的雙重授權的問題。在壹審判決中,法院明確提出了個人信息“合理使用”的概念和規則,並就個人用戶註冊抖音App之後,App對通訊錄信息的使用,通過充分論證認定構成“合理使用”(壹審判決書第40-43頁),這壹觀點具有重要的現實意義和規範意義。
1、姓名和電話號碼屬於特殊的個人信息,具有社會屬性,對其控制與占有不應被絕對化
壹審判決認定:“姓名和手機號碼的組合信息屬於特定自然人的聯系方式,壹般用於社交聯絡,承載社交功能。隨著社交活動在網絡空間的發展,各類應用軟件的廣泛使用,手機號碼亦不再局限於電話語音通話的場景,還常用於各類應用軟件的賬號創建、身份驗證、搜索用戶等場景,成為用戶在網絡上建立、拓展、遷移社交關系過程中經常被使用的信息。”(壹審判決書第41頁)
個人信息是非常特殊的權利或者權益客體,具有多種類型、包羅萬象,不同的個人信息彼此之間的差異可能極大,對具體的個人信息的保護方式,以及“知情同意”的具體方式,應當進行個案化、場景化、特殊化的分析。就通訊錄這種個人信息而言,其特殊性在於雙向性、社會性、傳播性,還應著重考慮“個人合理期待”(“個人隱私期待”系其涵蓋內容)的問題。
姓名和電話號碼屬於特殊的個人信息,其具有社會屬性,其控制和占有不應被絕對化。每個人向他人披露其電話號碼,目的是在人與人之間建立社會交往,對他人在壹定範圍內使用及披露其電話號碼具有明確的預期。任何壹個用戶將自己的手機號碼提供給他人時,均建立了雙方通過手機號進行聯系的合理期待,這本身就構成了手機號和姓名使用的同意(僅僅有手機號還不夠,與姓名匹配才能建立起溝通關系),或者至少形成了默示許可。在這種情況下,只要沒有違背和超出這種預期,也沒有違背公序良俗,就不存在侵害個人信息的行為,也不應當過分嚴格地加以限制,否則,將與人類社會的正常交往和信息流通的基本需求相悖。在互聯網信息技術和商業模式高速發展的今天,個人工作和生活的互聯網化程度已經達到了相當高的水平,在此環境下,個人在傳播自己的手機聯系方式的時候,也已有足夠的預期,這些獲得其手機聯系方式的人會通過其他的社交App或者通訊工具,來與其建立起除了手機通訊錄以外的聯系路徑。
例如,在實踐中,A的親朋好友B應C的請求,將A的電話號碼提供給C、而沒有征得A同意的情況是非常常見的,也沒有違背社會善良風俗。而在本案中,甚至A(原告)的親朋好友B(向“抖音”授權獲取其通訊錄的、存儲有原告手機號碼的用戶)向“抖音”提供A的手機號碼,其使用範圍也僅僅是B希望將A和B之間在現實中的關系遷移到“抖音”虛擬社區中來,此時,“抖音”的角色只是壹個中立的技術工具,其甚至不存在前述例子中C還會進壹步利用A的手機號碼(如打電話給A)的行為,只不過是方便了B這壹業已從A處獲得A 的手機號碼的個人與A在“抖音”中建立聯系而已。這裏的用戶上傳通訊錄,並不是向社會公開具體每個人的個人信息,涉及的僅是在本已建立社會關系的兩個人之間,試圖再行建立網絡社交關系,並沒有超出所涉兩個人各自的合理預期範圍。
2、通訊錄中所記載內容的所有權應當屬於通訊錄所有人,抖音App在符合用戶隱私期待的範圍內已獲得充分許可,用戶對此有合理預期,無需雙重授權
壹審判決充分考慮了手機用戶及其他有建立社交關系需求的用戶利益、手機聯系人利益、互聯網行業發展三方面的利益平衡,認為“將現實生活中的社交關系遷移至網絡空間是很多網絡用戶的合理需求。”(壹審判決書第42頁)“如果要求在任何使用場景下都必須嚴格征得雙重同意,有可能會導致具體場景下利益的失衡。數據是數字經濟時代重要的生產要素,信息是數據的基礎,對個人信息過於絕對化的保護,可能導致個人信息處理和數據利用的成本過高,甚至阻礙信息產業的健康發展。”(壹審判決書第40-41頁)
當社交關系的壹方選擇向社交App的運營者提供其現實或者在其他虛擬場景下的人際關系以實現社交關系的互聯網化時,對於App而言,其獲取該種社交關系即具有合法性、正當性基礎。就通訊錄的性質而言,通訊錄與每個自然人具體的姓名、電話號碼不同,體現的是整體的信息,每個人的通訊錄都各不相同,其應當作為壹個整體來考慮,通訊錄中所記載內容的所有權應當屬於通訊錄所有人,抖音App在符合用戶隱私期待的範圍內已獲得充分許可,用戶對此有合理預期,從這個意義上講,無需再獲取雙重授權。
討論雙重授權,其實探討的是通訊錄所有人是否需要經過每壹位聯系人的授權,才能將載有他人聯系方式的通訊錄授權App讀取訪問;如果通訊錄所有權人還需要逐壹取得具體每壹位聯系人的同意,才能上傳其通訊錄,否則即涉嫌未經許可披露他人信息,有可能因此被起訴至法院,這與社會常識相悖。從App運營商角度來說,我國法律、法規、行政規章、司法實踐、甚至國家標準均從未對通訊錄的所有權進行界定,也沒有要求在這種情形下必須取得通訊錄所涉具體每個人及通訊錄所有人的雙重授權。從互聯網行業從業者及社會公眾的壹般認知及普遍操作來說,均認為在此情形下獲得通訊錄所有權人的授權似已足夠。實踐中,行政執法部門也從沒有對從業者作出類似要求、審查或者處罰。在此情形下,要求被告對此必須提前預見並采取措施,超越了現行法律規定,也對被告施加了無法預期的法律義務和標準。因此,只要在符合壹方授權的範圍、以及以符合用戶隱私期待的範圍和方式使用,均未給通訊錄的雙方用戶造成損害,就未侵害用戶的個人信息和隱私,此時要求App再向另壹方獲得授權,既無必要,亦不可行。
3、個人信息的收集,與其使用的方式、使用的目的、使用的範圍密切相關,不應將信息收集的問題和信息使用的問題完全割裂開來
壹審判決認為,(抖音App)“就讀取、匹配和推薦行為而言,該信息處理基於社交功能,根據用戶的社交需求,對於社交關系成立與否進行判斷,並進壹步根據用戶的意願做出推薦或者不推薦的選擇,是實現社交功能常見和必要的步驟。在這壹過程中,原告的姓名和手機號碼並未被公開披露,亦沒有證明存在直接泄露等風險,對於原告的其他人身和財產利益並沒有產生潛在侵害的可能性。”(壹審判決書第41-42頁)
從我國的各項相關規定上看,信息的收集、使用總是被置於壹起進行規定的。在此前諸多個人信息侵權案件中,收集和使用行為也通常被結合起來考慮。事實上,單純的收集行為本身,往往也很難存在損害後果,上升不到承擔民事責任的高度,反而可以用於改善服務質量、提升用戶體驗。
與之類似,在本案中,從個人信息的使用方式和使用目的來看,抖音App中“可能認識的人” 只是展示在原告私人控制的個人抖音賬號中,對象只是推薦給原告壹個人查看,沒有對外公開或披露,其目的是方便原告更好地使用App所帶有的社交功能,無論是信息的使用方式、使用目的、使用範圍,都是正當的,沒有損害原告的合法權益,反而為原告帶來社交上的便利。因此,被告基於其他用戶上傳其通訊錄中所記載的原告信息而進行的推薦,其目的和手段均是正當的、合法的。
需要特別指出的是,我們的觀點並非認為在任何情況下,對通訊錄信息的使用均只需要獲得通訊錄所有人單方的授權就足夠了,出於保護個人信息和隱私的需要,在某些情形下,需要取得雙方的“雙重授權”。但是,對於通訊錄信息的使用,在如同本案中所涉及的情形,即“抖音”APP在獲得用戶的明確授權、目的和使用方式僅僅限於對已經存在和建立的社交關系的互聯網化、且給予了用戶退出的選擇權、未超越用戶隱私期待的情況下,有關的獲取、存儲、使用通訊錄的行為是合法、正當的。我們完全贊同,在其他的壹些情形下,如未經授權利用通訊錄信息對用戶進行詐騙廣告推送、暴力催收高利貸等行為,應當受到嚴格的規制。因此,任何“壹刀切”的規則——在任何情況下必須獲得通訊錄雙方的授權、或者在任何情況下只需要獲得通訊錄單方的授權,都是不可取的,應當作具體的、個案的、場景化的分析。
值得註意的是,從立法政策層面上說,個人信息“合理使用”情形的適用範圍,與“個人信息”定義的寬窄問題是息息相關的。如果個人信息定義較為寬泛,則合理使用的門檻應較低、構成合理使用的情形應更為廣泛;反之,如果與個人有關的信息需要滿足壹定條件才構成“個人信息”,則合理使用的情形和範圍則應收窄,以此平衡個人信息保護和產業利用的關系。
“合理使用”規則對於互聯網企業的啟示是,個人信息紛繁復雜、種類繁多、情況多樣,其收集、存儲、使用、共享、公開等方面,均存在著諸多需要具體情況具體分析的法律問題。在產品和流程設計、《用戶協議》、《隱私政策》或者《個人信息保護政策》的構建、企業內部合規操作流程搭建的過程中,需要仔細考慮特定場景下的合法性和合規性問題。 取得用戶“知情同意”的具體方式,則可以具體視個人信息的具體類型、內容、性質、敏感程度、使用方式、使用目的和使用範圍等因素而綜合評判選擇。