文 《法人》記者 李立娟
用戶對于APP數(shù)據(jù)安全的擔憂由來已久,但是如何才能真正的解決數(shù)據(jù)安全的問題,怎樣令監(jiān)管完善且有效?
在一些非法收集用戶信息的事件中,處置結(jié)果往往是相關部門約談企業(yè)或者像本次百度被江蘇消保委起訴。但多數(shù)的觀點仍認為,約談和公益訴訟,并不能從根本上遏制侵權(quán)行為。相對于數(shù)據(jù)收集可能帶來的利益,上述處理手段幾乎可以忽略。
對于如何做到事前保護體系的完善,北京盈科(杭州)律師事務所方超強律師在接受《法人》記者采訪時表示:“應該看到,國內(nèi)近幾年對于個人信息保護的立法程序是在不斷加強和完善的,包括《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《網(wǎng)絡安全法》等專門性法律法規(guī)的規(guī)定,也包括《消費者權(quán)益保護法》《網(wǎng)絡交易管理暫行辦法》等特別法律法規(guī)中的規(guī)定。”
這些法律法規(guī)以及部門規(guī)章規(guī)定了服務商個人信息收集和使用的原則,以及服務商應當采取的信息保護措施、公民針對個人信息的權(quán)利和救濟途徑、服務商計算機系統(tǒng)要求、行政和法律責任等。實際上,從整體框架上已經(jīng)構(gòu)建起一套比較合理規(guī)范的事前保護體系。
方超強進一步說,在實踐中,手機個人信息侵權(quán)事件仍然頻發(fā),關鍵在于以下幾點因素:首先,法規(guī)與政策的難以落地,比如就用戶注銷權(quán)而言,《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》早在2013年就規(guī)定了服務商應當為用戶提供注銷賬戶服務,但像阿里巴巴這樣的大公司也才在2017年才修改服務協(xié)議,給予注銷和過期回收。騰訊提供的QQ產(chǎn)品時至今日也未給予主動注銷服務;其次,細化的標準不足,無法指導服務商落實和完善法律法規(guī)規(guī)定的義務;再次,執(zhí)法力度還有待加強;最后,在司法層面上,法院對于判決用戶注冊協(xié)議中不當格式條款無效過于謹慎,使得很多對用戶權(quán)益有實質(zhì)性損害的格式條款仍被認定為有效,導致服務商更熱衷于強化格式條款。
億達律師事務所董毅智律師在接受《法人》記者采訪時表示,關于App收集用戶信息的行為,第一從立法層面來說,我國還沒有特別明確的法律規(guī)定,一般的處理措施是補償或者行政處罰,而不是更有威懾力的懲罰性賠償。但在美國,一般是懲罰性的賠償,而且有相應的判例,這源于兩個國家的法律體制還是有區(qū)別的。
第二是職務層面,實際上目前的公益訴訟進行的不是很到位。此前我國曾在多個領域出現(xiàn)過公益訴訟,比如環(huán)境公益訴訟,但是一些公益訴訟本身沒有堅持下去,而且沒有真正讓外界了解相關案件的進展或者征集相關的受害人進行信息收集。所以整個程序上和做法上,還是有一些不到位的地方,有待提高。
第三就是一些大的平臺在互聯(lián)網(wǎng)行業(yè)本身就有一個天然的壟斷性,一般都是數(shù)一數(shù)二的巨頭企業(yè),每個行業(yè)、每個垂直領域都有那么幾家。這種垂直壟斷造成了用戶的可選擇性很小,這就需要監(jiān)管部門、政府反壟斷部門做出適當?shù)膽土P。
但從目前來看,國內(nèi)并無可參考和推廣的司法環(huán)境,個人信息侵權(quán)者不可能承擔過高的懲罰性民事責任,違法成本較低
“像美國、歐洲,對谷歌、微軟進行處罰,都是很大額的處罰。那么我們國家在這方面,實際上是還沒有做。約談是一種進步,這首先是一種認可的,但還是希望在這方面有更為深遠的提高。”董毅智說。
對于App存在侵犯用戶個人隱私的情況,那么應用商店作為用戶下載App的途徑,把關責任如何界定?
方超強在接受《法人》記者采訪時表示,“應用商店”有雙重的身份:一方面,應用商店本身就是App應用程序提供者,其對于使用應用商店的用戶負有個人信息規(guī)范收集、利用與保密義務。
另一方面,作為應用服務提供者,對于應用商店內(nèi)的App安全性、合規(guī)性和真實性負有管理與審查義務,同時負有敦促App應用程序提供者落實個人信息保護措施的義務。
“此外,網(wǎng)信辦出臺的《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定》,對于應用商店服務提供者雖規(guī)定有督促義務,但未規(guī)定不履行敦促的行政責任,處罰措施等,從行政執(zhí)法監(jiān)管而言實如廢紙一般?!狈匠瑥姳硎荆毒W(wǎng)絡安全法》(第六十八條)雖然對于“應用軟件下載服務提供者”的違規(guī)行為規(guī)定了行政處罰措施,但僅限于對法律禁止信息傳播的管理失當,并不適用于個人信息的保護。
因此,從行政處罰和責任的角度而言,目前并無行政法規(guī)、規(guī)章強制要求“應用軟件下載服務提供者”對平臺內(nèi)App個人信息侵權(quán)和違規(guī)行為承擔責任,“應用軟件下載服務提供者”不履行敦促義務,不會招致行政處罰。
“雖然目前對于應用商店服務提供者的身份沒有明確的法律規(guī)定,但在個人看來,屬于《侵權(quán)責任法》第三十六條規(guī)定的網(wǎng)絡服務提供者,知道網(wǎng)絡用戶(App應用程序提供商)利用其網(wǎng)絡服務侵害他人民事權(quán)益,未采取必要措施的,與該網(wǎng)絡用戶承擔連帶責任。”方超強對《法人》記者強調(diào),“簡而言之,應用商店在特定條件下,應當為App應用程序提供者的個人信息侵權(quán)行為承擔連帶責任,尤其是應用商店對相關App做了推薦、宣傳、承諾的情況下”。
董毅智同時對記者說,這種責任是肯定的,“比如華為應用商店里,都明確標明有審核員,這是他們的一個內(nèi)控管理。所以,作為應用商店,本身其提供的是一種服務,那么就應該保證應用不能夠竊取消費者的隱私,這也是一個法定的義務”。
“隱私數(shù)據(jù)泄露與維權(quán)由來已久?!狈匠瑥妼Α斗ㄈ恕酚浾哒f,“發(fā)生于2010年的Facebook案例中的處理方式非常好,也非常提倡大公司更多地去承擔此類社會責任?!?/p>
他進一步說,F(xiàn)acebook的處置方式是協(xié)商出來的,而非法律或者法規(guī)規(guī)定的。Facebook愿意拿出600萬美元的巨額資金成立非營利基金來解決案件,無外乎以下幾個因素:第一,案件敗訴無異于丑聞,對于公司品牌形象和股價或有重大影響;第二,對于個人信息的侵權(quán)或面臨高額懲罰性賠償;第三,公司公關手段,扭轉(zhuǎn)和重塑個人信息捍衛(wèi)者的形象。
方超強進一步說:“但從目前來看,國內(nèi)并無可參考和推廣的司法環(huán)境,個人信息侵權(quán)者不可能承擔過高的懲罰性民事責任,違法成本較低。個人信息泄露的社會負面效益也并不如美國社會的反應那么大,中國公民在這方面的忍耐性也是不恰當?shù)匕l(fā)揮了優(yōu)良傳統(tǒng)?!?/p>
董毅智也認為,這種情況在國外是很常見的,比如說有些訴訟在和解或者調(diào)解之后,雙方成立相關的基金會,在我國現(xiàn)在做得還是非常不到位,可以借鑒國外的經(jīng)驗。
“但是,我們整個制度以及程序上有很大區(qū)別。比如在成立基金會后,什么機構(gòu)來組織基金會?基金會如何監(jiān)管、如何運作、如何收集相關費用?基金會日常的工作是什么?這些問題我們都沒有相關的規(guī)定,也沒有相關的嘗試?!倍阒钦f。
“但是,我還是認為應該鼓勵相關機構(gòu)進行一定的嘗試。而且應該允許在這個過程中犯錯,因為剛開始進行嘗試,基于每個國家的國情不一樣,它會有一些不盡如人意的地方,應該允許它犯錯、試錯,這樣的話才能把制度逐步完善起來?!倍阒菑娬{(diào)。
“引入獨立第三方進行專門的個人信息保護監(jiān)管是一個非常好的創(chuàng)意?!狈匠瑥妼Α斗ㄈ恕酚浾呓ㄗh道,但是在個人看來,第三方可以是電信主管部門指導的特定社團法人(類似于消協(xié)),也可以是商業(yè)主體。相對來說,社團法人具有非營利性質(zhì),不涉及經(jīng)濟利益,不存在測評與利益之間的尋租空間。而商業(yè)主體,容易將評測異化出“勒索”“付費不公布保護”等行為。
董毅智也認為這是可行的辦法,實際上像測評在IT行業(yè)一直就有。測評的核心問題就在于第三方機構(gòu)盈利模式,如果是純公益性的體制,那么其正常的運營相關費用,該如何產(chǎn)生,這些問題都應該思考。
他進一步說,另一種方式是由政府的財政上劃撥一部分,或者成立行業(yè)協(xié)會組織第三方機構(gòu),又或者是第三方機構(gòu)是獨立運營、自負盈虧。
“要強調(diào)的是,盈利模式是一個痛點,如果盈利模式不解決的話,第三方機構(gòu)的整個公正性是很難保證的。既然無法保證公正性,那么在市場上的認可度也會受到質(zhì)疑?!倍阒钦f。
在歐盟,存在通用的數(shù)據(jù)信息保護條款,相應的權(quán)利保護也更加嚴格。最廣為人知的是數(shù)據(jù)的遺忘權(quán),即用戶在某平臺注銷了賬戶,其留在該平臺上的所有歷史數(shù)據(jù)記錄需要被同步消除,后期在沒有得到該用戶的授權(quán)的情況下,平臺不能繼續(xù)給該用戶提供相應的服務。
方超強對《法人》記者解釋道,個人認為,這兩者本質(zhì)上還是有不同的,應該說“被遺忘權(quán)”包含了注銷賬戶刪除個人信息的內(nèi)容,“被遺忘權(quán)”的外延范圍更大。從歐盟與谷歌的相關判例來看。根據(jù)“被遺忘權(quán)”,個人信息所有人有權(quán)要求搜索引擎屏蔽不當消息,而不當消息不單單包括侵權(quán)信息,也包括未侵權(quán)的信息。而在國內(nèi),公開報道過的相關信息,無任何法律依據(jù)可以讓搜索引擎商屏蔽或者刪除。
董毅智同時認為,因為遺忘權(quán)實際上針對的是不良的信息,或者對個人的隱私產(chǎn)生不好的影響,所以個人可以要求網(wǎng)站把它徹底刪除。而對于App的隱私數(shù)據(jù)協(xié)議實際上是用戶和平臺之間正常的一種服務協(xié)議、約定,那么在解除這種服務關系之后,用戶要求把相應賬戶銷掉,從性質(zhì)上、法律關系上是完全不同的。
方超強進一步說,美國對于隱私權(quán)的理解與歐盟不同,更多地建立在自由的基礎上,以行業(yè)自律為主導。美國的規(guī)定首先無論立法還是司法,都具有一定的滯后性,尤其是在互聯(lián)網(wǎng)時代,這一滯后性的弊端就更加凸顯,所以需要行業(yè)自律的方式來做及時的調(diào)整和補充。
其次,服務與接受服務雙方自愿達成的個人信息利用約定,應當受法律保護,故而立法過嚴,會限定企業(yè)的個性與主觀創(chuàng)造性。
與此同時,行業(yè)自律不同于企業(yè)放任自我,對行業(yè)中的單個企業(yè)還是具有一定的約束作用,有較好的社會效益。
結(jié)合我國的實際情況,方超強對《法人》記者建議道:“可以出臺一部單獨的《個人信息保護法》,而《民法總則》中將個人信息獨立于隱私權(quán),單設一條予以規(guī)則,也為《個人信息保護法》的起草和出臺提供了依據(jù)和空間。該法主要避免目前有關個人信息保護的法律、法規(guī)、規(guī)章‘九龍治水’的現(xiàn)象。同時豐富和細化推薦性標準的落地,引導服務商切實貫徹法律?!?/p>
董毅智亦認為:我們的問題,就是缺乏一個系統(tǒng)的體系化隱私權(quán)法律構(gòu)架,從法律角度來說,首先應該是《民法總則》上有明確的規(guī)定,因為我們的民法典沒有修完,所以與隱私權(quán)相關的問題現(xiàn)在是零散的,散落于很多法律規(guī)定之中。目前就是單獨突出了一個行業(yè)化,因為隱私權(quán)屬于行業(yè)規(guī)范的范疇,就是屬于互聯(lián)網(wǎng)這個行業(yè)。那么在這個領域又單獨抽出了個隱私權(quán),隱私權(quán)的立法根據(jù)還是不牢靠的。
“所以,應該首先在主法上,比如在民法上把這個權(quán)限確定,然后跟憲法、刑法都銜接起來,然后才涉及下面網(wǎng)絡通信的相關法律。所以說這是一個系統(tǒng),這個系統(tǒng)的問題不解決,在實際操作中,肯定會出現(xiàn)很多亡羊補牢的事情?!倍阒亲詈髮Α斗ㄈ恕酚浾邚娬{(diào)。