已阅读
对《网络安全法》合法正当必要原则的再思考
《网络安全法》第四十一第一款规定的“合法、正当、必要”是我国网络运营者收集使用个人信息应遵循的基本原则。为有效执行《网络安全法》,监管机构、标准制定机构先后出台了很多配套性文件,为基本原则的落地贡献良多。但我们也应同时看到,每一类配套性文件的出台都会引发热议,原因之一便在于各界对这三个基本原则的理解不甚相同。本文将回归《网络安全法》本身,尝试寻找有助于探究“合法、正当、必要”原则的条文和逻辑链条。
我们不妨将目光投向第四十一条第二款,“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。换言之,网络运营者收集使用个人信息需要同时满足三个条件:
依据其提供的服务收集相关的个人信息;
没有违反法律、行政法规的规定;
没有违反与与用户协商一致达成的约定。
第二个条件可以直接对应“合法原则”,如《征信业管理条例》第十四条规定“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”,如果征信机构违规采集了上述信息,则不符合“合法原则”。第三个条件更侧重规范后收集行为和使用行为,即确定了可以收集用户个人信息之后,网络运营者要按照其告知用户的收集目的、收集范围、收集方式等进行收集和使用。因此第一个条件便成为了问题的关键,如果我们能够明晰第一个条件,相当于在法律层面赋予了“合法、正当、必要”原则一个更具操作性的抓手。
那么,根据第一个条件及四十一条第一款规定的“同意”,我们来尝试推演一下判断网络运营者收集个人信息的类型、范围是否符合其要求的逻辑链:
图1
这个逻辑链条将“依据其提供的服务收集相关的个人信息”这一个问题分拆成了多个小问题,下文将根据这一思路逐一研究这些问题,尝试得出一个逻辑周延的答案。
(一)服务形式
从服务所依存的终端方面包括PC、平板电脑、手机、可穿戴设备等;从服务入口方面包含网页、WAP、客户端等;从服务提供方式上看,大体包括平台型(集成多个服务类型)与垂直型(仅提供一个服务类型)。
网络运营者在面向用户提供服务之前,便需要确定好终端和服务入口,并不是所有的服务类型都会全量运营。而在布局服务方式上更为复杂,如果网络运营者已经拥有了主流量服务,则可能出于引流、孵化或其他战略布局,以主流量服务为基础,集成其他一个或多个服务。这些不同的服务之间可能相关联,也可能毫无关系。
服务形式的确定很重要,从前端直接关系到底层技术,后端直接关系到所需的个人信息类型,比如PC与手机终端提供同样服务所需的个人信息无论是类型还是范围都可能有较大差异。但总体而言服务终端、入口、方式都是事实层面的判断问题,没有太大争议。
(二)服务内容
互联网业态精彩纷呈,笔者根据有限的认知和理解,在下表中仅呈现了部分互联网服务内容:
一级分类 |
二级分类 |
流量分发 |
搜索 |
浏览器 |
|
资讯内容 |
|
应用市场 |
|
社交 |
博文社交 |
问答社交 |
|
短视频社交 |
|
即时通讯社交 |
|
电商 |
平台电商 |
垂直电商 |
|
物流 |
物流 |
快递 |
|
娱乐 |
视频 |
直播 |
|
音乐 |
|
游戏 |
|
阅读 |
|
金融 |
支付 |
理财 |
|
信贷 |
|
保险 |
|
O2O |
地图 |
出行 |
|
旅游 |
|
外卖 |
表1
笔者只是对互联网服务进行了粗浅的分类,实际上很难做到泾渭分明,如短视频社交与短视频服务二者的服务媒介都是短视频,再如电商与物流,实践中这两项既有互相独立运营的,又有物流嵌入在电商环节中的情况。
另外,用户、监管机构、网络运营者对同一服务的认知和判断标准是不同的,用户是从使用习惯出发,对服务认知更趋向单一化和简单化;监管机构无论是资质监管还是内容监管,都可能存在同一服务涉及多头监管的情况;网络运营者主要是基于战略考量、商业布局来定位自身提供的服务。
(三)认定“服务”时考量的因素
鉴于实践中有不同的服务形式、服务内容,那我们该如何确定网络运营者提供了什么服务呢? 2019年6月1日,全国信息安全标准化技术委员会发布《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》(以下简称《指南》)在移动互联网场景下进行了很好的探索。
《指南》从用户的主要需求和根本期待出发,示范了16类基本业务功能,如地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、快递配送、交通票务等。这无疑有助于网络运营者比较准确的确定自己提供的服务类型,从而有助于推进上文逻辑链条向前发展。
但笔者认为,出于逻辑上的周延性以及更强的可操作性,《指南》还有进一步完善的空间,主要包括建议取消基本业务功能与非基本业务功能的划分。但功能进行基本与否的划分对实践产生的影响可能会与《指南》的初衷相悖:
1、可能存在逻辑不周延的情况
诚如上文所言,明确“服务”只是第一步,后续还会有“收集的个人信息是否与服务相关”的判断,因此如果抛开从服务→个人信息是否相关这一正向判断逻辑,而采用必需得出必要信息→所保障的基本业务功能这一反向判断逻辑一方面可能导致不周延的情况,导致遗漏了必要信息→所保障的非基本业务功能。因为我们无法将《网络安全法》的“服务”直接等同于基本业务功能,如果将保障非基本业务功能的个人信息排除在必要信息之外并不是很有说服力。
2、即便从用户角度出发,也很难得出用户“最主要需求和根本期待”这一结论
虽然用户、监管机构、网络运营者出于不同的角度对“服务”的认知不同,但对于他们来说并没有基本与非基本这种级别上的区分,以微信为例,并不是用户需求和期待它只是即时通信服务,微信在即时通信服务基础上集成的信息发布功能、金融功能等都被用户所接纳和使用,更不用说不同用户(个人自媒体和其他用户)对微信有不同的期待和使用方式。
即便是网络运营者可以随着用户期待而改变自己的“基本业务功能”定位,但这只是人为创设的一种“人工变化”,对于用户来讲并没有发生什么实质性的变化。
3、可能造成的法律后果
虽然《指南》并没有明确禁止网络运营者收集必要信息之外的个人信息,但如果按照《网络安全法》的规定来推演一下:
图2
如果《指南》不进一步制定保障非基本业务功能所必需的个人信息的指引,那么按照推演结论2,很可能导致网络运营者对超出《指南》范围的个人信息收集行为埋下了违法隐患。当然,这肯定不是《指南》制定的初衷,基于此笔者才真诚希望《指南》尽量采用的周延的逻辑设定,从而减少或避免因不周延带来的误解或歧义。
综上所述,笔者建议在确定“服务”时可考虑以下逻辑:
图3
由网络运营者可将上述内容公布在《隐私政策》中,由监管机构和第三方检测机构来审查、认定网络运营者对外披露的服务形式、内容是否与实际相一致。
相较于“服务”的认定,“相关性”的认定更具难度,我们尝试分类探讨一下。
(一)满足产品所需
笔者先澄清一下本文中几个概念的关系,即网络运营者提供的服务通过产品呈现给用户,如我们看到的不同网页、APP、客户端,而产品由不同的功能组成。以搜狐新闻为例,搜狐新闻的运营者向用户提供了新闻资讯分发服务,用户可以在手机上下载搜狐新闻APP或在电脑上直接访问搜狐网网站来使用这一服务,用户打开APP后,可以浏览新闻、发表评论、追踪新闻热点等多个功能。
可以看出,“功能”是网络运营者与用户直接交互的界面,那么为了满足功能所需而收集的个人信息应当属于服务相关性,这个结论应该能够达成共识。如用户要发表语音评论,网络运营者便需要收集用户的麦克风权限,继而收集其语音信息,并公布在评论区。但如果用户仅想发布文字评论,网络运营者设定了必需收集麦克风权限才可以发布文字评论,这就不属于“相关性”,收集的个人信息超出了该项功能所必需的范畴。
那么如果为了满足功能实现的底层技术需要收集和使用个人信息的,是否属于相关性。网络运营者的技术能力和成本预算差别很大,因此会存在有的产品在基础代码层面便设置了用户启用产品时调用相应的个人信息或系统权限的逻辑,那么这种情况该如何认定呢?希望监管机构能够全面考虑网络运营者的技术、资金能力、技术转换成本等因素,来进行明确,如果无法明确的,建议个例认定,避免“一刀切”的禁止。
解决了这一问题,我们可以进一步推动本文一开始提到的逻辑链条:
图4
(二)自身合法权益之所需
网络运营者作为民事主体与其他自然人享有平等的合法权益,网络运营者的合法权益包括增加自己的合法权益(改进服务质量、提高竞争力),防止他人损害自己的合法权益。线下场景很容易理解,对于前者,企业可通过收集不同商品的购买量、换退量、投诉、意见反馈等多项信息来确定商品质量、价格的改善方案,从而改善商品质量,提升竞争力。对于后者,企业在线下店铺销售商品时,企业可设置警报装置、加固货柜等预防措施避免商品被偷盗等。
不可否认,网络环境下的权益侵害无法被直接感知,但虚假流量,“羊毛党”、“黑产”等确实存在,且不容小觑。网络运营者如果采取技术措施防控风险,或者发现被侵权及时采取技术措施自救应是正当的。而维护自身权益的技术措施如果需要使用用户的个人信息,在网络运营者采取了符合法律要求的安全保障措施、去识别化等,且这类个人信息又不属于用户的个人敏感信息的情况系,考虑到“两利相权取其重”,建议将这种使用行为认定为服务有关。
具有争议的是如果网络运营者增加自己合法权益使用到个人信息是否属于相关性。笔者建议监管机构能够进一步明确这一问题。如果在现阶段没办法达成共识,可以尝试在在“同意”环节增设更多义务,如要求网络运营者因为这一相关性需获取用户个人信息的,应履行更显著、更充分的告知义务。
在此基础上,我们进一步推动逻辑链条:
图5
(三)履行法律义务之所需
有的法律法规直接规定了网络运营者承担法律义务需收集个人信息类型,如 “网络日志留存义务”和“实名制义务”(《网络安全法》及网信部门相关部门规章)。但实践中“网络日志”具体包含哪些内容并不确定,因此希望其他规范性文件能够加以解释。
还有未直接规定网络运营者承担法律义务时需收集的个人信息,如《互联网信息服务管理办法》《互联网论坛社区服务管理规定》《互联网跟帖评论服务管理规定》《微博客信息服务管理规定》等规定了网络运营者健全“信息发布审核、公共信息巡查”“及时处置违法违规账号”等诸多安全义务。而网络运营者在履行上述法律义务过程中,有些需要收集和使用用户个人信息才能实现,如《互联网跟帖评论服务管理规定》要求跟帖评论(发帖、回复、留言、弹幕等)服务提供者“对严重失信的用户应列入黑名单,停止对列入黑名单的用户提供服务,并禁止其通过重新注册登录方式使用跟帖评论服务”,网络运营者为了履行上述义务,禁止黑名单用户通过重新注册登录方式使用服务的,就需要结合使用账号体系和设备体系,来阻止黑名单用户通过更换设备或更换手机号码重新注册,增加黑名单用户再次注册登录的成本。
那么,这种仅规定了具体义务,而没有明确指出实现这些义务所需的个人信息该如何认定相关性呢?同样希望其他规范性文件能够明确,如果列明个人信息存在一定难度的,也可以交由网络运营者自行规定且显著、充分告知用户,并由监管机构根据公开的规则进行审查、认定“相关性”是否适当。
图6
结语
按照图6所示,本文将“同意”之前(关于“同意”的获取也很复杂,下次探讨)的相关问题逐一进行了梳理,功能所需、防止减少自身合法权益所需、履行法律直接规定所需而收集个人信息的,可直接认定为符合“依据其提供的服务收集相关的个人信息”;而对于技术所需、增加网络运营者权益、履行法律义务但未直接规定收集的个人信息类型的是否构成相关性仍有待监管机构进一步明确。
另外,上述为提供服务的有关的个人信息之间可能存在部分或全部重合,如某一功能所需的个人信息与防治减少权益所需个人信息可能一致,功能之间所需的个人信息也可能重叠,为了预防网络运营者“浑水摸鱼”,建议将监管重点放在审查网络运营者的收集使用规则中列明的各个服务相关性(收集使用目的)是否彼此独立,是否与每一个服务相关性所需的个人信息一一对应。即便用户不同意或不使用其中一个或部分服务或该服务所使用的个人信息,都不建议强制要求网络运营者也不得使用其他用户同意的服务所依赖的个人信息。
综上所述,如果上述问题与“同意”的获取都能得到有效且合理解决,相信即便我国只有“同意”一个合法性事由,也能够在平衡商业发展与用户个人信息权益之间找到路径。