【条文主旨】
本条是关于不得因不同意或者撤回同意而拒绝提供产品或服务的规定。
【条文理解】
根据告知同意规则,除法律、法规另有规定外,个人信息处理者处理个人信息应当取得个人同意,且个人可以撤回其同意。本条规定的内容是告知同意规则的重要保障和必要延伸。
一、制定背景
信息网络科技的高速发展使得社会的生产和生活被高度数字化、信息化。现实生活中,特别是在手机、电脑应用程序使用中,运营者或所有者相对于使用的个人,通常具有优势地位,尤其一些市场占有率较高、所提供的服务或产品具有一定独特性的应用程序,运营者与使用者实质上处于非常不平等的地位。在这种情况下,如果应用程序所有者以个人不同意其处理信息为由拒绝提供产品或服务,个人实际上很难有能力拒绝或者阻止个人信息被收集。拒绝收集可能意味着要牺牲生活便利甚至被排除在现代社会生活之外,不但无法享受科技发展所带来的社会普遍性红利,反而成为社会生活中的“少数派”。因此,作为弱势一方的个人若想使用该应用程序,即使该个人信息不是应用程序所必需,也不得不同意提供。此时,个人的同意并非真实、自愿,而是妥协之后的无奈选择。在这种情况下,个人信息处理中的告知同意规则实际上已经被架空,个人已经丧失了同意的自由,更谈不上对个人信息处理的决定权,根本无法真正去限制或拒绝信息处理者对其个人信息的处理。[1]可以说,上述行为和现象严重损害告知同意规则在个人信息处理中的基础性地位,损害了个人信息保护和利用的正常秩序,也引起了国家有关部门的高度重视。全国信息安全标准化技术委员会秘书处组织编制并于2020年9月18日发布的《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》对实践中移动互联网App在处理个人信息时常见的十大问题及其表现形式进行了归纳,其中一个典型的问题是超范围收集,即违反必要原则,收集与业务功能无关的个人信息,或收集个人信息的范围、频度等超出实现App业务功能实际需要,其中一个典型的情形是强制收集非必要个人信息,因用户不同意收集非必要个人信息,App拒绝提供业务功能。例如,因用户拒绝提供某服务类型最小必要个人信息以外的信息,App拒绝提供该类型服务基本业务功能;仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;在非必需的服务场景,诱导或强制采集个人生物识别信息、手持身份证照片等个人敏感信息,如可以通过密码方式验证而确保安全性的,却诱导用户使用指纹识别或人脸识别的方式验证。2021年5月1日施行的《网络交易监督管理办法》第13条第2款也专门对此予以规定:“网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息……”
在充分吸收前期有益经验并借鉴域外立法的基础上,《个人信息保护法》专门设置本条对实践中存在的个人信息处理者以拒绝提供产品或者服务的方式胁迫或者变相胁迫个人同意的违法行为进行规制。
二、自愿同意的逻辑推演
告知同意规则是认定个人信息处理是否合法的基本规则。告知同意规则包含告知规则和同意规则,前者围绕告知的义务展开,后者围绕同意的权利展开。在个人信息的处理中,同意系对个人信息权益的重大处分,理应设置较为严格的条件。关于同意的要件,不同国家的规定不尽相同。比如,GDPR第4条第11款规定了有效同意必须具备四个要件:(1)自由作出的(Freely?Given);(2)具体的(Specific);(3)被告知的(Informed);(4)明确的(Unambiguous)。这一标准被认为提高了有效同意的门槛,欧盟的数据保护机构也倾向于严格地解释这四项标准。以违反“自由”(“Freely?Given”)要件为例,欧盟将此类同意认定为无效同意。《巴西通过数据保护法》第8条也对同意的要件予以规定,如果同意有瑕疵,则禁止处理个人数据。我国《个人信息保护法》第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”根据该规定,有效的同意应当具备如下要件:(1)同意是个人在充分知情的前提下作出的;(2)同意是真实自愿的;(3)同意是明确具体的。其中,本条规定在一定程度上看,是自愿要件的逻辑推演和逻辑必然。在个人信息处理中,个人就其个人信息将要被处理而作出的同意必须是本人真实、自由意愿的展现,如果个人没有不同意的自由或者撤回同意后将无法使用相关产品或者接受相关服务,那么个人的同意就不可能是自愿的,这种同意是无效的。
三、处理个人信息属于提供产品或者服务所必需的界定
必要原则是规范个人信息处理行为的基本原则。《
民法典》第1035条第1款规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”本法第5条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”《民法典》和本法均强调,处理个人信息应当遵循必要原则。关于必要原则的定义,GDPR规定,数据最小化(Data?Minimisation),是指处理个人数据应当是对实现数据处理目的而言适当的、相关的和必要的。有观点从正面角度,通过分析要件来定义必要原则,认为必要原则包括合理关联性、最小损害性、均衡性、最大有效性等方面的内容。其中,合理关联性是指个人信息处理手段与目的间应具有合理关联性,不得超出特定、明确、合理的正当目的。最小损害性是指应以最小损害的方式,处理合法收集的个人信息,还应进行个人信息风险评估。均衡性是指面对利益冲突时应实现利益均衡。最大有效性是必要原则的积极面向,指个人信息处理者应采取最大有效性的必要措施,确保个人信息持续处于安全状态。[2]国家市场监督管理总局、国家标准化管理委员会2020年3月发布的《信息安全技术个人信息安全规范》(GB/T?35273—2020)第4条“个人信息安全基本原则”规定,最小必要是指只处理满足个人信息主体授权同意的目的所需的最少个人信息的类型和数量,并强调,目的达成后应及时删除个人信息。实践中,也有相关行政部门采用反面定义的方式解释必要个人信息或最小必要信息。例如,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》第3条规定:“本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。”再如,《信息安全技术移动互联网应用(App)收集个人信息基本规范(征求意见稿)》亦对移动互联网应用程序收集个人信息时的“最小必要信息”的含义进行了解释,该规范认为,最小必要信息是指保障某一服务类型正常运行所最少够用的个人信息,包括一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息以及
法律法规要求必须收集的个人信息。前述两份文件均从反面定义最小必要信息,即如果缺少一项信息,App即不能够实现正常功能,那么该信息就是最小必要信息。
根据前述规定,所必需的信息包括两类情形,第一类是从功能角度出发,缺少该信息,将导致该服务不能实现正常功能,如对于提供网络支付服务的应用程序,相关银行账户信息即维持基本功能所必需的信息,缺少银行账户信息,支付服务便不能实现。第二类是从法律法规角度出发,即国家对某些服务规定了用户必须提供的个人信息,如针对提供交通票务服务的应用程序,根据实名制管理的规定,旅客身份证件信息就是个人必须提供的信息。缺少前述必要信息,个人信息处理者得拒绝向个人提供相应的产品和服务。又如,金融消费者不能或者拒绝提供必要信息,致使银行、支付机构无法履行反洗钱义务的,根据《中国人民银行金融消费者权益保护实施办法》第29条第2款的规定,银行、支付机构可以根据《
反洗钱法》的相关规定对其金融活动采取限制性措施;确有必要时,银行、支付机构可以依法拒绝提供金融产品或者服务。
【条文适用】
一、关于“不同意就不提供服务”是否属于强迫同意
从民事审判的角度,如何认定本条所规定的信息处理者拒绝提供产品或者服务的法律效果,是本条适用的一个难点。本条所规定的情形在App应用程序中最为常见,即平台信息处理者不管所提供的产品或服务与要求提供个人信息是否有直接关联、是否必要,往往把收集个人信息作为提供产品或服务的前提条件,不同意就无法继续安装或使用该应用程序。对信息处理者的这种行为,有意见认为,这属于交易条件的自由选择,并不属于强迫,因为网络用户如果不同意,可以“用脚投票”,不选择使用该产品或者服务,而部分网络服务提供商提供低廉的服务正是以能获取个人信息报偿作为对价和前提的。但是,这种观点忽略了信息网络时代对人们生活方式的改变和对信息自决权的异化。正如前文所说,信息网络科技的高速发展使得社会的生产和生活被高度数字化、信息化,面对各种类型的信息处理者,个人实际上很难有能力拒绝或者阻止个人信息被收集,个人信息处理中的告知同意规则实际上已经被架空,个人实质上已丧失了信息自决权或者同意的自由。关于自由作出同意,欧盟数据保护委员会(EDPB)指出,数据控制者经常会争辩,尽管自己的服务需要获取个人数据用于额外的用途,市面上还存在其他数据控制者提供的与自己同样的服务,也就是说,如果数据主体不想提供个人数据给自己,完全可以寻求其他数据控制者的同等服务,因此,数据主体愿意提供个人数据给自己是一种自由选择。但是欧盟不这么看,欧盟认为,这种自由选择依赖于其他市场主体如何做,以及数据主体是否认为两种服务是真正相同的。这还意味着数据控制者要实时监控市场,确保市场上存在同样的服务。因此,欧盟不认为数据控制者基于市场上还存在其他选择而获得的同意是合规的。也就是说,虽从理论上讲,用户可采取“用脚投票”的方式自由选择其交易对象,以此抵制其不愿意的授权同意行为,但很难保证市场上存在丰富的、可供选择的同质服务主体。在缺乏充分市场选择的情况下,实质上会导致数据主体为使用某项产品或者服务而不自由或者不自愿作出同意,具有强迫或者变相强迫的因素。针对本条所规定的情形,《使用人脸识别技术处理个人信息民事案件规定》第4条规定:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;……(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”可见,上述
司法解释将本条所规定的情形明确界定为强迫或者变相强迫同意的情形。
二、《使用人脸识别技术处理个人信息民事案件规定》的其他相关内容
除本条规定的情形外,《使用人脸识别技术处理个人信息民事案件规定》还规定了强迫或者变相强迫同意的其他情形,如“捆绑授权”。实践中,“捆绑授权”的方式在App应用程序中非常普遍。具体到人脸信息,存在的捆绑授权主要有两类:一种是将产品或者服务基本功能和附加功能所需要的个人信息予以捆绑,通过“一揽子告知同意”等形式,要求自然人同意处理其人脸信息,否则任何一项业务功能都无法使用。另一种是将产品或者服务的附加功能所需要的个人信息予以捆绑,要求自然人一并同意处理包括其人脸信息在内的个人信息,否则附加功能无法实现。根据《使用人脸识别技术处理个人信息民事案件规定》第2条第3项的规定,对于人脸信息的处理必须经自然人单独同意,以充分保障自然人对敏感个人信息的信息自决权。因此,无论上述何种模式设计,都包含了强制索取人脸信息的因素,导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不愿提供且非必要的人脸信息。针对捆绑授权乱象,2021年5月1日施行的《网络交易监督管理办法》第13条专门规定:“网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。”《信息安全技术个人信息安全规范》(GB/T?35273—2020)第5.3条也规定:“当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括:a)不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求……f)不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。”为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《使用人脸识别技术处理个人信息民事案件规定》参照上述相关规定,在第4条第2项中明确:信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。根据该项的规定,无论人脸信息是否属于提供产品或者服务所必需,均不能采取与其他授权捆绑等方式取得同意。
值得一提的是,《使用人脸识别技术处理个人信息民事案件规定》第4条的规定与《个人信息保护法》第16条的基本精神是一致的。只是二者规范信息处理行为的角度不同,《使用人脸识别技术处理个人信息民事案件规定》第4条的规定重在明确强迫收集人脸信息的行为效力,而本条旨在明确信息处理者的行为义务,二者切入点不同,但所要实现的规范目的是一致的,即禁止信息处理者以拒绝提供产品、服务的方式强迫或者变相强迫个人同意其索权请求。
