2022年06月15日 上一期 下一期
3上一篇  4下一篇  
返回本版列表    点击率:  字体: 放大  默认  缩小  
法学院
13 9/13 8 9 10 > >| PDF版
本版面文章
· 论习近平法治思想的法理学创新
· 隐私政策的性质与法律规制
· 江苏启动2022年青年普法志愿者
法治文化基层行活动
· 法学教育创新联盟2022年年会
在天津大学法学院举行
· 中国人民大学“法学专业虚拟教研室”启动会举行
· 西北政法大学成立

“数字经济中的民事权益保护”系列之七:
隐私政策的性质与法律规制

( 2022-06-15 ) 稿件来源: 法治日报法学院

  □ 程啸 (清华大学法学院教授)

  隐私政策(Privacy policy),也称隐私声明,是指网络服务提供者就其如何处理个人信息所作出的书面声明、陈述、允诺或者保证。“隐私政策”这一概念最早来自美国,而由于美国的网络信息产业最为发达,故此,世界上其他国家的网络服务提供者也都纷纷接受并使用了这一概念,我国很多网络公司也是如此。不过,在法律层面,我国只有一些文件和行业规定使用了“隐私政策”的概念。例如,国家互联网信息办公室秘书局等单位联合印发的《App违法违规收集使用个人信息行为认定方法》第一条规定:以下行为可被认定为“未公开收集使用规则”:1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。
  民法典、个人信息保护法、网络安全法等法律中并无“隐私政策”一词,而是使用了“处理信息的规则”“个人信息处理规则”的概念。例如民法典第一千零三十五条第1款第2项规定,处理个人信息的,应当公开处理信息的规则;个人信息保护法第十七条第3款规定,个人信息处理者通过制定个人信息处理规则的方式告知个人信息处理者的名称或者姓名和联系方式等事项。所谓个人信息处理规则,就是指个人信息处理者制定的,用于向个人信息被处理的自然人履行法定告知义务的、公开的书面声明、陈述或者承诺。个人信息处理规则具有普遍适用性与公开性,任何个人信息被处理的自然人都适用该规则,其实现的是履行法定告知义务的作用。需要注意的是,这个“个人信息处理规则”并非个人信息保护法第二章的“个人信息处理规则”。该章的个人信息处理规则是法律规定的个人信息处理者处理个人信息时应当遵循的各项规则,其中,就包含了第十七条规定的以包括个人信息处理规则在内的方式向信息主体履行告知义务的规则。
  隐私政策的基本性质就是个人信息处理者规则,也就是说,隐私政策实际上履行的就是实现法律规定的个人信息处理者处理个人信息前向自然人告知相关事项的义务之功能。我国个人信息保护法明确规定了处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。同时,个人信息权益的核心就是自然人对其个人信息处理享有知情权和决定权。保障知情权,就必须使得自然人对于个人信息处理充分知情。个人信息保护法第十七条第1款规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。同条第3款还明确规定,个人信息处理者通过制定个人信息处理规则的方式告知前述事项的,处理规则应当公开,并且便于查阅和保存。隐私政策既然属于个人信息处理规则,那么当然要适用个人信息保护的相关法律规范加以调整,如个人信息保护法第十七条、第三十一条、第四十八条。
  网络服务提供者之所以制定隐私政策,一方面是为了向用户承诺自己的处理行为是合法、正当、必要、公平且透明的,另一方面也是处理者自我行为约束的明确承诺或表态。如果隐私政策本身就违反法律的规定,则处理者据此从事的处理行为就是非法的。在侵害个人信息权益纠纷案中,认定个人信息处理者是否存在侵害行为,其制定的隐私政策具有很重要的作用。因为当隐私政策本身就违反个人信息保护法等法律时,当然就可据此认定处理者实施的个人信息处理行为是违法的。例如,A网络公司在隐私政策中宣称:“本公司将基于业务发展的需要而自行决定将收集的用户个人信息提供给有关单位。”显然,这个告知的事项即便经过用户的同意,也是无效的。一旦A公司据此将个人信息提供给B公司的,用户有权要求A公司承担侵害个人信息权益的民事责任。因为个人信息保护法第二十三条明确规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”所以,A公司只有取得个人的单独同意,才能将其处理的用户个人信息提供给B公司。反之,如果隐私政策是合法的,则处理者可以通过提交隐私政策来证明自己的处理行为的合法性,个人必须证明处理者实际实施的个人信息处理行为并不符合隐私政策或者存在违法情形。
  理论上有观点从合同的角度来看待隐私政策,认为隐私政策属于格式条款,即网络服务提供者通过制定隐私政策不仅要履行法定的告知义务,该隐私政策经由个人的同意还在网络服务提供者与网络用户之间形成了个人信息处理的合同关系。此种合同是网络服务提供者与网络用户就个人信息处理的相关问题达成的合意。它不是购买商品或接受服务的网络消费合同,因为网络消费合同一般是因为用户同意网络服务提供者制定的《用户协议》《网络平台交易规则》等格式条款而缔结的。既然隐私政策具有格式条款的性质,故此,需要适用民法典合同编的相关规范,尤其是第四百九十六条至第四百九十八条关于格式条款的规定加以调整。如果隐私政策中涉及对用户个人信息的处理的约定存在不合理地免除或者减轻网络服务提供者的责任、加重用户责任、限制用户主要权利;或者排除用户主要权利的,则这些条款无效。应当说,隐私政策的性质属于个人信息处理规则,即履行告知并取得个人同意的义务,而个人的同意性质上是自然人对其个人信息权益的处分,它阻却了处理行为的不法性。通常,仅仅是对于隐私政策的个人同意并不意味着在处理者与个人之间形成了关于个人信息处理的合同关系。当然,有时候隐私政策包含的内容可能较多,例如,还会包含网络服务提供者单方拟定的关于管辖、争议解决方式的规定,这些则属于格式条款,可以经由个人的同意而成立关于关系、争议解决方式的约定。
  (“数字经济中的民事权益保护”系列之六:《网络平台交易规则的性质与效力》详见于《法治日报》2022年6月8日9版)

   
相关文章: