在現實生活中, 有些網站規定特別複雜的內容, 讓消費者點擊同意。 由於消費者未加留意, 或者不小心就點擊了同意鍵, 就會出現不利於自己的選擇。 這種行為屬於變相違法。
2017年9月8日, 軟體產品和資訊服務交易博覽會上展示的大資料資訊應用。 圖/視覺中國
文 | 陳媛媛
近年來, 因APP默認勾選、協力廠商資料獲取等問題引發的糾紛頻出, 將個人資訊保護的議題高密度地置於公共視野中。
大資料時代, 消費者該怎樣保護自己的合法權益, 怎樣維護自己的隱私、切實保護好自己的個人資訊?除了依靠商家自覺之外, 法律、監管等方面還能有何作為?對此, 新京報記者採訪了天津大學法學院卓越教授、中國民法學研究會副會長楊立新。
勾選專案必須醒目
新京報:互聯網公司用預設勾選的方式, 導致消費者在未留意的時候點擊同意, 有沒有法律對這種行為進行規制?
楊立新:對於個人資訊權, 《民法總則》已經做了特別明確的規定, 這就是第111條:“自然人的個人資訊受法律保護。 ”在互聯網領域, 由於在網路上進行交易的特點, 在簽訂合同之前無法進行協商, 只能採取點擊同意或者勾畫的方式, 確認接受交易規則。 這是客觀現實所致, 不得不採取這樣的締約方式。
不過, 按照國家有關部門的規定, 在網路交易過程中, 凡是涉及締約接受交易規則的條款, 必須在電腦頁面醒目的位置, 用醒目的字型大小和字體, 進行充分的說明。 這些要求, 都包含在《民法總則》第111條關於“任何組織和個人需要獲取他人個人資訊的, 應當依法取得, 並確保資訊安全, 不得非法收集”的範圍之內, 否則即屬於違法、違規行為。
在現實生活中, 有些網站採取規避的方法, 儘管在內容上也符合點擊同意的要求, 但是卻採取相應的技術手段或者隱蔽的方式, 或者規定特別複雜的內容, 讓消費者點擊同意。 由於消費者未加留意, 或者不小心就點擊了同意鍵,
新京報:現在有很多購物平臺、心理測試、網上答題, 消費者想參與就必須選同意, 這是否屬於霸王條款?
楊立新:對於這樣的問題, 需要看到網路交易的客觀實際情況。 在網路交易中, 雙方當事人是背對背進行交易, 無法進行面對面的談判協商, 如果消費者想在網路交易平臺上進行交易, 首先必須同意交易平臺提出的交易規則, 如果不同意網路交易平臺提出的交易規則, 就無法進入交易平臺進行交易。 這樣的做法並不違法。
關鍵的問題是, 要看網路交易平臺提供的交易規則是否合法。 對此, 商務部和國家工商管理總局對網路交易平臺提供交易規則,
在現行的網路交易中, 如果消費者不同意交易規則的內容, 當然就不能進入網路交易平臺上進行交易。 對此, 不屬於不公平交易, 不能夠有異議。
如果說網路交易平臺提供的交易規則內容違法, 那可以主張廢除這樣的交易規則, 有顯失公平的後果, 也可以行使撤銷權撤銷這樣的交易, 造成損害的還可以請求損害賠償。
個人資訊不能超範圍使用
新京報:個人的資料資訊, 什麼情況下使用是合法的?什麼情況下使用,是在侵犯公民個人隱私?
英特爾公司首席執行官布賴恩·克爾紮尼奇1月8日在美國拉斯維加斯消費電子展上談使用者資料。 圖/新華社
在有權獲得他人資訊的情況下,獲取了他人的個人資訊,必須按照實際需要使用個人資訊,不能超出實際需要的使用範圍利用他人的個人資訊。《民法總則》《消費者權益保護法》和人大常委會關於網路資訊安全的決定規定了以下行為是侵害個人資訊權的行為:一是非法出售他人個人資訊,二是非法向他人提供他人個人資訊,三是非法洩露他人個人資訊,四是非法篡改他人個人資訊,五是非法毀損他人個人資訊,六是丟失他人個人資訊,七是對洩露他人個人資訊未及時採取補救措施,八是非法收集、使用、傳輸他人個人資訊,九是提供或者公開他人個人資訊等,都是侵害他人個人資訊權的侵權行為。
這些侵權行為,因為《民法總則》都已經規定了個人資訊是自然人的人格權,個人資訊已經從隱私權保護中分離出來,因此不用隱私權來保護,而是直接以個人資訊權來加以保護。
只有衍生資料才能交易
新京報:個人資訊通過演算法處理後,出現了商業的特徵,在經濟上具有交易價值。那麼,大資料時代,個人資訊權是當做財產權處分比較合適,還是將其視作人格權比較合適?
楊立新:個人資訊通過存儲、搜尋、開發、機器學習和演算法處理後,形成的新資料,我們把它叫做衍生資料。這種資料已經和個人資訊發生了分離,需具備無法識別個人資訊的特徵。以這種資料建立的民事權利就是資料專有權。資料專有權是智慧財產權性質的權利,特別具有財產的價值,是智慧財產權的一種新的類型,與原來的個人資訊權作為人格權已經完全不同。換言之,個人資訊權是自然人的人格權,經過加工產生的衍生資料,已經不是人格權了,而是形成了一個新的權利,就是經過加工產生衍生資料的人的資料專有權,其中當然包括財產價值,依據智慧財產權保護的方法對其財產價值給予保護。
新京報:什麼樣的資訊可以用於商業化交易?什麼樣的資訊屬於個人隱私絕對不能進行交易?
楊立新:在我看來,資訊有三種形式:第一種資料叫做個人隱私資訊,這是隱私權保護的範圍,保護個人隱私資訊的權利就是隱私權。第二種資料叫做個人身份資訊,是表明一個人身份特徵的個人資訊,例如,身份證號碼、電話號碼、個人帳戶資訊等,這種個人資訊用個人資訊權予以保護。第三種就是衍生資料,是對網路上留存的龐大的、海量的、雜亂無章的個人資料進行加工處理形成的新的資料,與個人的身份資訊已經進行了脫敏,這種資料就是衍生資料,確立的權利就是資料專有權。
在這三種資料形式中,只有衍生資料才可以進行商業處分。至於個人隱私資訊和個人身份資訊,都屬於自己的人格權支配的範圍,依照法律的規定進行支配,例如把個人隱私資訊提供給他人作為文學創作的素材,或者把個人身份資訊提供給他人作為進行交易的憑據,但是它們不是商品,不可以進行商業性質的交易。
資訊給哪個協力廠商要說清楚
新京報:網路公司是否有權利將消費者的資訊交給協力廠商公司使用,這麼做違法嗎?
新京報:現實中,消費者在登錄一些網站時,經常會被問道,是否同意將個人資訊用於協力廠商,但並未告知具體將消費者資訊給了哪個協力廠商,這算侵權嗎?
楊立新:這是霸王條款,算是侵權。因為《互聯網交易管理辦法》不僅規定了經營者應採用顯著方式提請消費者注意與消費者有重大利害關係的條款,還規定了,對於資訊收集,要求經營者需明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。否則,這就是侵權行為。也就是說,經營者到底將收集到的資訊給了哪個協力廠商,適用什麼範圍、要去做什麼,這都需要跟消費者講明白。而且,消費者理當有充分的選擇權。
新京報:現在還存在一種“過度獲取公民個人資訊”的情況,比如很多APP,為什麼需要讀取你的通訊錄?為什麼一個手電筒需要讀取連絡人?這些被調用的許可權會不會洩露個人資訊?
楊立新:這個問題還是在《民法總則》第111條規定的個人資訊權的內容之中,《民法總則》第111條後段規定:“任何組織和個人需要獲取他人個人資訊的,應當依法取得並確保資訊安全,不得非法收集、使用、加工、傳輸他人個人資訊,不得非法買賣、提供或者公開他人個人資訊。”這就是有關組織和個人獲取他人個人資訊的原則。
網路交易平臺組織進行網路交易,是有權獲取參加交易的人的相關資訊的,但是獲取消費者的個人資訊,一是要有權獲取,二是獲取的必須是相關資訊。無權獲取而獲取他人個人資訊,是侵權行為;有權獲取他人個人資訊,但是超出合法的範圍而收集與交易不相關的個人資訊,同樣也是侵權行為,都要承擔侵權責任。對此的防範方法,就是只要你不同意,你就明確表明自己的態度,不要輕易點擊。
應採取更具體的立法措施
新京報:網上存在大量互聯網平臺背後收集、使用消費者資訊卻不告知的情況。對此,從立法方面入手,該怎樣保護消費者個人隱私?
楊立新:出臺《個人資訊安全保護法》還是很有必要。不過目前,對於個人資訊的保護,在立法上就有充足的根據。首先,《民法總則》規定的個人資訊權,就是前邊列舉的《民法總則》第111條;其次,《消費者權益保護法》用三個條文規定的消費者的個人資訊權及其保護;再次,人大常委會關於加強網路資訊安全的決定有11個條文都是規定對個人資訊的保護,其實已經相當於有一部個人資訊保護法了。
但現在的問題是,對於侵害個人資訊的刑事立法比較完備,侵害個人資訊構成犯罪的,能夠追究其刑事責任。但是,對於侵害個人資訊的侵權行為,顯然制裁不力。對此應該採取更具體的立法措施,對侵害個人資訊的行為認定為侵權行為,責令承擔損害賠償責任。
但是,由於侵害個人資訊權的行為,侵害每一個人的個人資訊情節都比較輕微,按照現在的規則難以追究其侵權責任,因此我建議,立法規定與消費者權益保護法類似的最低賠償額制度。例如,侵害一個人的個人資訊只賣了一塊錢,就可以按照《消費者權益保護法》規定的最低賠償額賠償500塊,或者按照《食品安全法》的規定賠償一千塊,就能夠調動個人資訊權人保護自己權利的積極性,對侵害個人資訊權的行為人予以有力的制裁,保護好個人的資訊權。
□新京報訪談員 陳媛媛
我們發佈了一個“稿事”計畫!如何投稿?請戳“閱讀原文”。
編輯:思凝
什麼情況下使用是合法的?什麼情況下使用,是在侵犯公民個人隱私?英特爾公司首席執行官布賴恩·克爾紮尼奇1月8日在美國拉斯維加斯消費電子展上談使用者資料。 圖/新華社
在有權獲得他人資訊的情況下,獲取了他人的個人資訊,必須按照實際需要使用個人資訊,不能超出實際需要的使用範圍利用他人的個人資訊。《民法總則》《消費者權益保護法》和人大常委會關於網路資訊安全的決定規定了以下行為是侵害個人資訊權的行為:一是非法出售他人個人資訊,二是非法向他人提供他人個人資訊,三是非法洩露他人個人資訊,四是非法篡改他人個人資訊,五是非法毀損他人個人資訊,六是丟失他人個人資訊,七是對洩露他人個人資訊未及時採取補救措施,八是非法收集、使用、傳輸他人個人資訊,九是提供或者公開他人個人資訊等,都是侵害他人個人資訊權的侵權行為。
這些侵權行為,因為《民法總則》都已經規定了個人資訊是自然人的人格權,個人資訊已經從隱私權保護中分離出來,因此不用隱私權來保護,而是直接以個人資訊權來加以保護。
只有衍生資料才能交易
新京報:個人資訊通過演算法處理後,出現了商業的特徵,在經濟上具有交易價值。那麼,大資料時代,個人資訊權是當做財產權處分比較合適,還是將其視作人格權比較合適?
楊立新:個人資訊通過存儲、搜尋、開發、機器學習和演算法處理後,形成的新資料,我們把它叫做衍生資料。這種資料已經和個人資訊發生了分離,需具備無法識別個人資訊的特徵。以這種資料建立的民事權利就是資料專有權。資料專有權是智慧財產權性質的權利,特別具有財產的價值,是智慧財產權的一種新的類型,與原來的個人資訊權作為人格權已經完全不同。換言之,個人資訊權是自然人的人格權,經過加工產生的衍生資料,已經不是人格權了,而是形成了一個新的權利,就是經過加工產生衍生資料的人的資料專有權,其中當然包括財產價值,依據智慧財產權保護的方法對其財產價值給予保護。
新京報:什麼樣的資訊可以用於商業化交易?什麼樣的資訊屬於個人隱私絕對不能進行交易?
楊立新:在我看來,資訊有三種形式:第一種資料叫做個人隱私資訊,這是隱私權保護的範圍,保護個人隱私資訊的權利就是隱私權。第二種資料叫做個人身份資訊,是表明一個人身份特徵的個人資訊,例如,身份證號碼、電話號碼、個人帳戶資訊等,這種個人資訊用個人資訊權予以保護。第三種就是衍生資料,是對網路上留存的龐大的、海量的、雜亂無章的個人資料進行加工處理形成的新的資料,與個人的身份資訊已經進行了脫敏,這種資料就是衍生資料,確立的權利就是資料專有權。
在這三種資料形式中,只有衍生資料才可以進行商業處分。至於個人隱私資訊和個人身份資訊,都屬於自己的人格權支配的範圍,依照法律的規定進行支配,例如把個人隱私資訊提供給他人作為文學創作的素材,或者把個人身份資訊提供給他人作為進行交易的憑據,但是它們不是商品,不可以進行商業性質的交易。
資訊給哪個協力廠商要說清楚
新京報:網路公司是否有權利將消費者的資訊交給協力廠商公司使用,這麼做違法嗎?
新京報:現實中,消費者在登錄一些網站時,經常會被問道,是否同意將個人資訊用於協力廠商,但並未告知具體將消費者資訊給了哪個協力廠商,這算侵權嗎?
楊立新:這是霸王條款,算是侵權。因為《互聯網交易管理辦法》不僅規定了經營者應採用顯著方式提請消費者注意與消費者有重大利害關係的條款,還規定了,對於資訊收集,要求經營者需明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。否則,這就是侵權行為。也就是說,經營者到底將收集到的資訊給了哪個協力廠商,適用什麼範圍、要去做什麼,這都需要跟消費者講明白。而且,消費者理當有充分的選擇權。
新京報:現在還存在一種“過度獲取公民個人資訊”的情況,比如很多APP,為什麼需要讀取你的通訊錄?為什麼一個手電筒需要讀取連絡人?這些被調用的許可權會不會洩露個人資訊?
楊立新:這個問題還是在《民法總則》第111條規定的個人資訊權的內容之中,《民法總則》第111條後段規定:“任何組織和個人需要獲取他人個人資訊的,應當依法取得並確保資訊安全,不得非法收集、使用、加工、傳輸他人個人資訊,不得非法買賣、提供或者公開他人個人資訊。”這就是有關組織和個人獲取他人個人資訊的原則。
網路交易平臺組織進行網路交易,是有權獲取參加交易的人的相關資訊的,但是獲取消費者的個人資訊,一是要有權獲取,二是獲取的必須是相關資訊。無權獲取而獲取他人個人資訊,是侵權行為;有權獲取他人個人資訊,但是超出合法的範圍而收集與交易不相關的個人資訊,同樣也是侵權行為,都要承擔侵權責任。對此的防範方法,就是只要你不同意,你就明確表明自己的態度,不要輕易點擊。
應採取更具體的立法措施
新京報:網上存在大量互聯網平臺背後收集、使用消費者資訊卻不告知的情況。對此,從立法方面入手,該怎樣保護消費者個人隱私?
楊立新:出臺《個人資訊安全保護法》還是很有必要。不過目前,對於個人資訊的保護,在立法上就有充足的根據。首先,《民法總則》規定的個人資訊權,就是前邊列舉的《民法總則》第111條;其次,《消費者權益保護法》用三個條文規定的消費者的個人資訊權及其保護;再次,人大常委會關於加強網路資訊安全的決定有11個條文都是規定對個人資訊的保護,其實已經相當於有一部個人資訊保護法了。
但現在的問題是,對於侵害個人資訊的刑事立法比較完備,侵害個人資訊構成犯罪的,能夠追究其刑事責任。但是,對於侵害個人資訊的侵權行為,顯然制裁不力。對此應該採取更具體的立法措施,對侵害個人資訊的行為認定為侵權行為,責令承擔損害賠償責任。
但是,由於侵害個人資訊權的行為,侵害每一個人的個人資訊情節都比較輕微,按照現在的規則難以追究其侵權責任,因此我建議,立法規定與消費者權益保護法類似的最低賠償額制度。例如,侵害一個人的個人資訊只賣了一塊錢,就可以按照《消費者權益保護法》規定的最低賠償額賠償500塊,或者按照《食品安全法》的規定賠償一千塊,就能夠調動個人資訊權人保護自己權利的積極性,對侵害個人資訊權的行為人予以有力的制裁,保護好個人的資訊權。
□新京報訪談員 陳媛媛
我們發佈了一個“稿事”計畫!如何投稿?請戳“閱讀原文”。
編輯:思凝