查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《比较法研究》
论网络隐私政策的效力
【副标题】 以个人信息保护为中心【作者】 王叶刚
【作者单位】 中央财经大学法学院{副教授,法学博士}【分类】 人身权
【中文关键词】 隐私政策;隐私权;个人信息;合同变更;格式条款
【英文关键词】 privacy policy; the right of privacy; personal information; contract modification; form clause
【期刊年份】 2020年【期号】 1
【页码】 120
【摘要】

制定隐私政策是网络服务提供者自律的重要工具,也是网络服务提供者应对个人信息保护立法,确保其用户个人信息收集、利用行为符合法律规定的重要方式。经用户同意的隐私政策将在用户与网络服务提供者之间成立合同关系,在个人信息收集、利用方面具有取得用户授权的效力,此类隐私政策的变更在性质上属于合同变更,应当取得用户同意,否则对用户不产生拘束力。未经用户同意的隐私政策属于纯粹的企业自律规则,无法在网络服务提供者与用户之间成立合同关系,在用户个人信息收集、利用方面并不具有取得用户授权的效力,此类隐私政策的变更无须取得用户的同意,变更后的隐私政策对用户不产生拘束力。

【英文摘要】

The formulation of privacy policy is an important self-regulation tool of network service providers as well as a crucial way for network service providers to deal with legislation in personal information protection and ensure that the collection and utilization of their users' personal information are in accordance with law. The privacy policy agreed by the users will establish a contractual relationship between the users and the network service provider, and obtain the validity of authorization from the users in the collection and utilization of personal information. The change of such privacy policies is a contract modification in nature and should be agreed by the users; otherwise, it will not be legally binding for the users. The privacy policy without users' consent is a pure self-regulation rule of the enterprise, and it is impossible to establish any contractual relationship between the network service provider and the users, also can not obtain the validity of authorization from the user in the collection and utilization of personal information. The change of such policies does not require the users' consent, and the changed privacy policy is not legally binding for the users.

【全文】法宝引证码CLI.A.1285503    
  

一、问题的提出

在当今信息网络大数据的背景下,网络隐私保护已成为人们关注的热点问题。本文据以讨论的案例是“安徽美景信息科技有限公司与淘宝(中国)软件有限公司不正当竞争纠纷案”,该案的基本案情是:[1]原告淘宝(中国)软件有限公司(以下简称“淘宝公司”)属于阿里巴巴集团控股有限公司旗下的关联公司,也是阿里巴巴卖家端“生意参谋”零售电商数据产品的开发者和运营者。淘宝公司制定了《淘宝平台服务协议》以及《法律声明及隐私权政策》,规定淘宝公司有权收集、利用用户的个人信息,用户在使用淘宝时必须与淘宝公司签订《淘宝平台服务协议》,并同意其《法律声明及隐私权政策》。在收集网络用户浏览、搜索、收藏、交易等行为痕迹所产生的巨量原始数据基础上,原告借助特定的算法深度分析用户信息、数据,得出了相关的预测型、统计型等衍生数据,从而为淘宝、天猫商家的网店运营提供系统的数据化参考服务。被告安徽美景信息科技有限公司(以下简称“美景公司”)运营的“咕咕互助平台”及“咕咕生意参谋众筹”网站,将原告数据产品中的数据内容作为自己的数据出售、传播,淘宝公司主张美景公司的行为构成不正当竞争。本案的争议焦点之一在于,淘宝公司收集并使用网络用户信息的行为是否正当?美景公司主张,淘宝公司私自抓取、公开使用淘宝网络用户的相关信息,侵犯了网络用户的个人隐私以及商户的经营秘密,所得出的数据具有违法性。而淘宝公司则主张,其已通过《淘宝平台服务协议》以及淘宝网《法律声明及隐私权政策》就用户个人信息的收集、利用等取得了用户的授权,属于正当的个人信息收集、利用行为。

该案被称为“全国首例大数据产品不正当竞争案”,当事人争议的焦点之一,是淘宝公司通过平台服务协议与隐私政策取得收集、利用用户个人信息授权的行为是否正当、合法,这就涉及网络隐私政策在用户个人信息收集、利用方面的效力问题。网络隐私政策也称隐私政策,它是指网络服务提供者以在线文件的方式披露其收集、利用用户个人信息的目的、范围和方式等内容,并公示其保护用户个人信息的原则和具体措施。隐私政策不同于网络服务协议,其一般体现为独立网页或者链接,专门用于处理用户个人信息、隐私问题。[2]隐私政策在实践中有多种表现形式,如“隐私政策”“隐私声明”“个人信息保护指引”“隐私权政策”以及“应用权限”等。在我国,网络服务提供者制定隐私政策,主要是为了履行其公示收集、利用用户个人信息的范围、方式等内容的法定义务,因为依据《中华人民共和国网络安全法》(以下简称《网络安全法》)第41条的规定,网络服务提供者在收集、使用用户个人信息时,应当明示收集、使用用户个人信息的目的、方式和范围。《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《网络信息保护决定》)第2条也规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”因此,制定隐私政策,公示用户个人信息收集、利用、保护的范围、方式等内容,可以说是网络服务提供者经营“合规”的重要途径。同时,网络服务提供者通过隐私政策展示其用户个人信息保护水平以及具体的保护措施,也可以消除网络用户对于其隐私或者个人信息保护的担忧,从而吸引更多的潜在用户。从实践来看,不论是大型的搜索引擎的服务商,还是各类手机应用App的提供者,绝大多数网络服务提供者都制定了自己的隐私政策。从各类网络服务提供者所制定的隐私政策来看,其一般包含如下内容:一是网络服务提供者收集、利用、共享用户个人信息的目的、范围和方式;二是网络服务提供者保护用户个人信息的具体措施;三是特殊主体(主要是儿童)个人信息收集、利用的特殊规则;四是隐私政策的变更与修改方式。有的网络服务提供者还专门在隐私政策中披露Cookie以及同类技术的使用方法,以及修改用户个人信息的方法等。

虽然大多数网络服务提供者都制定了自己的隐私政策,但在用户个人信息收集、利用方面,隐私政策究竟能够产生何种效力,我国现行立法并没有对此作出规定,学理上也存在一定的争议,具体而言:一是网络服务提供者在通过隐私政策公示其收集、利用用户个人信息的方式、范围时,能否产生取得用户授权的效力?也就是说,在网络服务提供者已经制定隐私政策的情形下,其是否还有必要通过其他方式(如网络服务协议)就用户个人信息的收集、利用再次取得用户的授权?二是网络服务提供者能否单方变更其隐私政策?如果网络服务提供者单方变更了其隐私政策,其能否依据变更后的隐私政策收集、利用用户的个人信息?三是在网络服务提供者违反隐私政策收集、利用用户个人信息时,用户能否依据隐私政策向网络服务提供者提出请求?例如,用户能否主张网络服务提供者的行为构成违约,并请求其承担违约责任?

要回答上述问题,首先需要明确隐私政策的性质,并在此基础上进一步明确其在用户个人信息收集、利用方面的效力。本文拟对此展开研究,以求教于大家。

二、隐私政策性质的界定

(一)隐私政策——企业自律的重要方式

自隐私政策产生之日起,关于其性质与效力的争议就始终存在,[3]具体而言,关于隐私政策的性质,主要有如下两种主张:此人家庭地位极低

一是合同说。此种观点认为,隐私政策是网络服务提供者与网络用户之间的合同。Scott Killingsworth认为,隐私政策具有合同的目的和特点,网络服务提供者发布其隐私政策,公布其收集、利用个人信息的方式,可以看作是要约,网络用户的同意是承诺,网络服务提供者关于用户个人信息保护的允诺与网络用户同意网络服务提供者收集、利用其个人信息之间构成合同的双方义务,因此,网络用户应当有权依据合同向网络服务提供者主张隐私政策的内容。[4]我国也有学者认为,隐私政策应当属于网络服务提供者与用户之间的协议,在提供网络服务之前,网络服务提供者需要征得用户对隐私政策的同意,否则,相关的服务条款并不生效,因此,隐私政策并不是网络服务提供者的一种单方声明,而应当是建立在双方合意基础上的协议,是网络服务合同的组成部分。[5]

二是企业自律规则说。此种观点认为,隐私政策是网络服务提供者的自律规则,而不是网络服务提供者与用户之间的合同。其主要理由在于,一般而言,网络服务提供者在向用户提供网络服务时,往往会专门与用户订立网络服务协议,以明确双方的权利义务关系,隐私政策不同于网络服务协议,其所涵盖的范围较为宽泛,很难将其解释为合同。[6]隐私政策在性质上是一种市场自律规则(market selfregulation),网络服务提供者违反隐私政策时,行政机关有权对其进行处罚。[7]按照此种观点,对网络服务提供者所公布的隐私政策而言,不论用户是否同意,其都无法在当事人之间成立合同关系,隐私政策在性质上属于网络服务提供者的自律规则。

从比较法上看,不论是在美国,还是在欧洲,隐私政策均具有很强的企业自律规则色彩。隐私政策产生于美国,隐私政策的产生与美国的隐私法律保护模式存在直接关联。[8]美国法关于隐私、个人信息保护的法律是碎片化的(piecemeal),其主要针对特定领域或者特定的技术而单独立法,前者如《儿童网络隐私保护法案》(Children's Online Privacy Protection Act),后者如《联邦有线通讯政策法案》(Cable Communications Policy Act)、《视频隐私保护法》(Video Privacy Protection Act)。虽然在一些特定的领域,针对特别敏感的个人信息保护问题,也有一些一般性的立法,[9]但总体而言,美国法主要通过“零售式”分散立法的模式,对特定行业和领域内个人信息提供保护。[10]通过单行法保护特定主体或者特定领域内的隐私与个人信息,虽然能够增强隐私与个人信息保护的针对性,但也留下了许多法律保护的空白领域,在这些空白领域,企业往往会制定自己的隐私政策,这一方面是为了公示自己的用户隐私与个人信息保护方法,从而吸引更多的网络用户;另一方面,企业也可以借助隐私政策实现自我规制(selfregulation),以减少行政机关的额外干预。[11]由此也形成了如下两种保护路径:一是针对特定领域隐私与个人信息保护的制定法调整模式,二是制定法调整领域之外的企业自律模式。[12]从实践来看,美国法主要采用了以市场为主导、以行业自律为中心的模式,即企业自律模式,[13]此种模式是以“告知—选择”(notice and choice)机制为基础的,即网络服务提供者通过隐私政策等方式告知收集用户个人信息的方式和收集个人信息的原因,同时告知收集用户个人信息的用途以及用户信息共享的范围,并赋予网络用户一定的选择权。[14]在征得用户同意之后,通常即意味着网络服务提供者就用户个人信息的收集、使用取得了用户的授权,该行为也就具有了合法性。[15]“告知—选择”机制的初衷是由用户决定自己个人信息被收集和利用,从而保护个人自主决定其个人信息是否被收集与利用的权利,当然,此种机制在实践中往往被认为是一种法律规定的替代形式,而且与法律规定相比,其形式更为灵活,实施成本更低,也更容易执行,并可以有效避免立法过度干预市场以及不当限制创新和竞争。

可见,在美国,隐私政策是企业公示其用户个人信息收集、利用方式以及范围的重要方式,主要是一种企业自律规则。在企业违反其隐私政策时,主要由联邦贸易委员会(FTC)提起诉讼,纠正企业违反其隐私政策的行为,以保障网络服务提供者的行为与其隐私政策相一致。[16]当用户发现企业违反其隐私政策时,也可以向FTC报告,但用户个人无法依据《联邦贸易委员会法案》以其私人权利遭受侵害为由提起诉讼(no private right of action),如果用户主张网络服务提供者违反了其隐私政策,造成了其损害,则其应当在《联邦贸易委员会法案》之外寻找其他的法律基础向网络服务提供者提出请求。[17]例如,如果网络服务提供者所提供的隐私政策会对用户的行为产生重要影响,使用户产生了合理的信赖,则在网络服务提供者违反隐私政策的行为可能造成用户损害时,用户应当有权请求网络服务提供者承担虚假陈述(misrepresentation)的侵权责任。[18]从实践来看,除FTC对网络服务提供者违反隐私政策的行为进行规制外,一些用户也依据合同向网络服务提供者提出了请求。例如,在有些案件中,用户主张隐私政策应当在网站与用户之间成立合同关系。[19]虽然一些法院认为,通过合同调整隐私政策是可行的,但在大多数案件中,用户的合同诉讼都是以失败而告终,主要原因在于,一方面,与欧洲不同,美国并没有承认个人信息权利为一项基本人权,法律仅仅为监管机构预留了行政执法权,个人通常不能直接依据个人信息保护法的规则提起私法上的诉讼,一些法律虽然允许个人提起诉讼,但也设置了大量的限制性条件,如需要个人证明遭受了实际损害。[20]而在企业违反隐私政策的情形下,用户的损害通常较小,或者难以证明自己遭受了何种损害。[21]另一方面,在美国法中,要成立合同,需要一方的允诺必须使对方产生合理的信赖,即“允诺者应合理期待其允诺会引诱承诺者或第三人的行为或不行为”,而且只有强制执行该允诺,才能避免不公平的后果,此时,该允诺才具有约束力,才能成立合同。[22]而隐私政策的内容可能较为冗长,涵盖事项较为宽泛,用户可能并没有阅读隐私政策,很难认定用户对隐私政策的内容存在合理的信赖,因此,不宜将其认定为合同。例如,在Dyer v. Northwest Airlines Corporations案中,在“9·11事件”发生后,应美国国家航空航天局(NASA)的要求,被告美国西北航空公司将客户的姓名、住址、信用卡账号以及行程等信息共享给了国家航空航天局,其中包括原告的信息;原告主张被告的行为违反了其在网页上所公布的隐私政策,构成违约;而被告则主张,其在网页上公布的隐私政策并不构成合同,而且即便构成合同,原告也无法主张违约责任,因为原告无法证明其遭受了合同上的损失。法院认为,原告的违约责任主张不能成立,主要原因在于:第一,被告所公示的隐私政策内容较为宽泛,不宜认定其能在当事人之间成立合同关系;第二,原告可能并没有登录被告的网站查看其隐私政策,对隐私政策并不存在合理的信赖;第三,即便原告事先阅读了被告的隐私政策,但是原告无法证明其因为被告的行为而遭受了何种合同上的损失。基于上述理由,法院最终驳回了原告的违约请求。[23]从整体上看,美国法上的隐私政策主要是企业自律规则,大量的违反隐私政策的行为都是由FTC进行调整的,FTC在实践中成为隐私政策最为重要的规范主体。[24]虽然少数法院也从合同的角度理解隐私政策,但合同法在调整隐私政策方面所发挥的作用很小。

与美国法不同,欧盟法倾向于认为,个人对其个人信息的控制是一项基本人权,这也是维护个人人格尊严的重要体现,[25]按照这一立法理念,个人信息受到立法强有力的保护,也就是说,在个人信息保护领域,对个人信息以及作为其价值基础的人格尊严的保护,处于优先性的地位。[26]在欧盟范围内,个人信息保护主要具有如下特点:一是以统一的数据保护指令的形式确立较高的个人信息保护标准。与美国碎片化的隐私与个人信息法律保护模式不同,欧盟通过统一的数据保护指令的方式保护个人信息。例如,欧盟在1995年制定了专门的个人数据保护指令(the Data Protection Directive of 1995),该指令在“自由”、“隐私”以及“基本权利”等价值的基础上,力图统一欧盟范围内的个人信息保护规则,[27]为此,该指令确立了严格的个人信息保护标准,而且该指令要求欧盟各成员国的国内法应当与其保持一致,这实际上确立了欧盟各成员国国内法中个人信息保护的最低标准(minimum requirements),欧盟成员国可以根据本国情况设置更高的保护标准,当然前提是不能影响个人信息在成员国之间的流动。[28]2016年,欧盟颁行了《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),尽管GDPR可以适用于各成员国,但与1995年数据保护指令类似,其也要求成员国将其转化为国内法,目前,多数欧盟成员国已经在不同程度上将其转化为国内法。二是注重通过行政手段保护个人信息。欧盟所有的成员国都制定了个人信息保护法律,并有专门的个人数据保护机构负责实施。[29]各国还设置了独立的监管机构(supervisory authority),以保证条例在各自国家施行。该监管机构具有很大的权力,它可以阻止信息的流动,处罚信息处理行为,销毁违反法律处理个人信息所得到的信息数据。[30]GDPR的施行会带来大量的潜在的处罚,也使各成员国的机构享有更大的执法权力,每个监管机构对数据控制者和处理者都有数据保护方面的调查权力。同时,GDPR第51条、第52条还要求各成员国应当通过一个或者多个独立的政府公共机构,负责监控条例的贯彻适用,各监管机构完全独立行动,并依据条例的规定行使职权,各成员国应当为其监管机构的运行提供条件。目前,多数欧盟成员国都明确规定了本国数据保护局(DPA)的职权,其享有发出违规警告、开展审查、命令删除数据等多项职权。[31]三是通过对个人进行赋权的方式,强化对个人信息的保护。一方面,欧洲许多宪法性文件以及条约都将隐私视为一项基本人权,与言论自由等价值并列。[32]这些宪法性文件规定的个人所享有的权利可以向政府之外的主体主张,例如,个人可以援引《欧洲公约》(the European Convention)等文件向侵害其隐私权的报纸或者杂志提起诉讼。[33]这实际上是基本权利的第三人效力在个人信息保护方面的具体体现。[34]另一方面,数据保护体例中就个人对其个人信息所享有的权利作出了明确、细化的规定。例如,GDPR第16条至第22条规定了数据主体享有纠正权、删除权、限制处理权、数据可移植性权利以及拒绝权、自主决定权等。如果个人认为数据控制者违反了指令的规定,则其有权向监督机构提出控诉。[35]如果个人认为数据控制者违反指令的行为侵害了其个人信息权利,造成了其损害,其还有权获得有效的司法救济。[36]

当然,虽然欧盟注重通过统一的、综合性的立法对个人信息提供保护,强调政府规制,但行政机关很少采用命令控制型的规制方法,而是十分注重企业的自我规范。在此背景下,隐私政策成为网络服务提供者自我调整的重要方式,虽然隐私政策的内容应当符合法律关于个人信息保护的基本要求,但其仍然具有企业自律的色彩,主要体现为:一方面,网络服务提供者可以通过隐私政策履行其保护用户个人信息的相关义务。依据GDPR第5条、第13条的规定,网络服务提供者在收集、利用用户个人信息时,应当以合法、公正、透明的方式处理用户个人信息,在收集、利用用户个人信息时,应当向户披露收集、处理个人信息的目的、方式、范围以及信息共享的相关情况等。网络服务提供者可以通过制定隐私政策的方式履行上述义务,这既是网络服务提供者履行法定义务的一种方式,也是其实现合规控制、自律的一种途径。另一方面,网络服务提供者可以根据自身情况,通过隐私政策确定其用户个人信息保护的标准。也就是说,法律虽然规定了个人信息保护的基本要求,但其实质上是确立了相关主体保护个人信息的最低标准,在符合该最低标准的基础上,网络服务提供者为了获得竞争优势,可以根据自身个人信息保护能力等情况,以隐私政策的方式确定更高的用户个人信息保护标准。[37]当然,网络服务提供者公布其隐私政策后,其自身应当受到该隐私政策的约束,[38]在网络服务提供者违反其隐私政策时,行政机关有权对其进行处罚,用户也有权请求网络服务提供者承担责任。

可见,不论是在美国,还是在欧盟,隐私政策均具有企业自律的色彩,当然,二者仍然存在一定的区别:一方面,二者的自律程度不同。在欧盟,企业所制定的隐私政策应当符合数据保护体例与企业所在欧盟成员国国内个人信息保护法律所规定的个人信息保护标准,因此,此种企业自律是法律规定范围内的自律,隐私政策所确立的个人信息保护标准应当符合法律关于个人信息保护的最低要求。而美国法上的隐私政策主要是在法律没有对隐私、个人信息保护作为规定时而制定的,具有替代法律规定的功能,其企业自律色彩更为浓厚。另一方面,二者的调整方式不同。美国法注重对企业隐私政策进行事后规制,即事后纠正企业违反隐私政策的行为;欧盟虽然也通过行政手段与个人信息权利保护的方式对隐私政策进行事后调整,但其也通过法律确定个人信息保护的基本要求,这也是企业隐私政策所应当符合的法定条件,这实际上是采用了事先调整与事后规制并重的方式调整企业隐私政策。

(二)隐私政策并非纯粹的企业自律规则

从上述美国和欧盟的隐私政策调整方式来看,其主要是将隐私政策作为企业自律规则。严格地说,合同说与企业自律规则说是从不同角度观察隐私政策,前者是从企业与用户之间的关系观察隐私政策,而后者则是从行政机关与企业之间的关系层面观察隐私政策,二者之间并不存在必然的冲突。笔者认为,从企业自律规则的角度观察隐私政策,虽然具有一定的合理性,但将隐私政策界定为纯粹的企业自律规则,并不符合隐私政策的特点,也难以有效调整隐私政策,更不利于保护用户的个人信息权利,具体而言:

第一,将隐私政策界定为纯粹的企业自律规则,与隐私政策的内容、特征等不相符。一方面,从内容上看,如果将隐私政策视为纯粹的企业自律规则,则其调整事项应当是纯粹的企业内部事项,否则很难将其视为“自律”规则,而事实上,隐私政策的内容虽然也涉及企业的自律,即企业内部应当设置相关的机制,规范收集、利用用户个人信息的行为,保障其收集、利用用户个人信息的行为符合法律规定。例如,欧盟数据条例要求企业内部应当设置数据控制者(a data controller),具体负责个人数据的处理以及运用,并与本国的监管机构(supervisory authority)接触,以保障其收集、处理用户个人信息的合法性。[39]但隐私政策的内容并不限于企业内部事项,其更涉及用户个人信息权利的保护,企业隐私政策甚至能够直接决定用户个人信息保护的水平,并明确用户就其个人信息保护可以向网络服务提供者主张哪些权利,这显然已经超出了纯粹企业内部事项的范畴,将其视为纯粹的企业自律规则,显然过于片面。另一方面,从效力层面看,一些隐私政策要发生法律效力,必须经过用户同意,取得用户授权。如果将隐私政策界定为纯粹的企业自律规则,则只要隐私政策不违反法律的强制性规定,满足了法律所规定的用户个人信息保护的最低标准,就可以发生效力,而不需要用户的同意。但从实践来看,在许多情形下,隐私政策的生效需要用户同意,否则将无法发生效力。一些网络服务提供者甚至提供弹性化的隐私政策,允许用户就其个人信息的收集、利用进行个性化的授权(如有的App允许用户选择被收集、利用的个人信息的类型和范围),网络服务提供者基于隐私政策所享有的权利也限于用户的授权范围,对于用户未授权允许网络服务提供者收集的个人信息,网络服务提供者不得收集和利用,这显然不同于纯粹的企业自律规则。

第二,将隐私政策视为纯粹的企业自律规则,难以实现对隐私政策的有效调整。以隐私政策具有浓厚企业自律色彩的美国法为例,如前所述,在美国,隐私政策的调整主要是由FTC负责实现的,但受其功能的限制,FTC对隐私政策的调整是十分有限的,其主要调整不公平交易行为,保障具体交易过程的公平性,防止个人在交易中受到价格压迫或者受到虚假广告的损害。[40]在网络隐私保护方面,FTC侧重于规范交易过程中的隐私保护问题,也正是因为这一原因,有学者将美国的网络隐私保护模式称为消费者保护模式(consumer protection model),[41]这种功能上的局限性也严重制约了FTC在保护网络隐私方面的作用。在过去几十年,虽然FTC的职权在不断扩大,负责执行超过70部法律,但在网络隐私保护方面,由于缺乏明确的制定法依据,FTC只是查处欺诈交易(deception)和不公平交易行为(unfair practices)。对于欺诈行为,FTC将其界定为在通常情况下可能误导消费者的行为,造成消费者的损害,当然,网络服务提供者的隐私政策构成欺诈用户并不要求其事实上产生了欺诈用户的后果,而只要求该隐私政策误导(misleads)或者可能误导(likely to mislead)用户即可,这通常需要结合隐私政策的条款、网络服务的内容以及交易的具体方式等,综合进行判断。[42]据此,如果企业坚持,在没有造成损害的情形下,企业可以不告诉用户自己将如何收集、利用用户的个人信息,也就是说,FTC虽然可以要求企业遵守其隐私政策,但并不能要求企业隐私政策必须包含有关用户隐私或者个人信息保护的特定条款,甚至不能要求企业必须制定隐私政策,这就产生了一个怪诞的后果,即同样是侵害用户隐私的行为,与没有隐私政策的企业相比,有隐私政策的企业反而更容易受到惩罚。[43]而对不公平交易行为而言,FTC将其界定为,造成或者可能造成用户损害,且用户自己无法合理避免,而且此种损害无法通过对用户以及竞争带来的好处所抵消。与欺诈交易行为不同,不公平交易行为并不需要行为人违反期限的承诺或者行为,在侵害网络隐私的案件中,损害可以是金钱损失,也可以是健康、安全、情绪等多种损害形式,因此,FTC适用不公平行为的几率更高,因为欺诈往往更难证明。[44]当然,从FTC关于不公平交易行为的界定来看,其适用条件也是十分严格的。除不公平和欺诈行为以及特殊主体保护的情形外,FTC在保护用户网络隐私方面缺乏法律上的依据。[45]可见,将隐私政策视为纯粹的企业自律规则,会影响隐私政策的法律调整。

此外,隐私政策的目的是保护个人信息,企业违反隐私政策主要是造成用户损害,通过行政手段调整隐私政策的目的也是为了保护个人信息,因此,在确定企业违反隐私政策的法律责任时,主要应当考虑其行为的后果,即用户的损害,而如果将隐私政策作为企业的自律规则,行政机关在处罚违反隐私政策的行为时,并不当然需要考虑用户的损害,这可能不利于对企业进行正确归责,造成处罚结果的畸轻畸重问题。还应当看到,将隐私政策界定为纯粹的企业自律规则,也不利于及时纠正企业违反隐私政策的行为。企业违反隐私政策主要造成用户的损害,因此,允许用户就企业违反隐私政策的行为主张权利,也可以及时发现与纠正企业违反隐私政策的行为。反之,如果将隐私政策视为纯粹的企业自律规则,在企业违反隐私政策时,主要依赖行政机关纠正该行为,而行政机关发现企业违反隐私政策一般也只是在产生一定损害后果、甚至是大规模侵权时,才会纠正企业违反隐私政策的行为,[46]这显然不利于及时发现和纠正违反隐私政策的行为。

第三,将隐私政策视为纯粹的企业自律规则,也不利于保护用户的个人信息权利。将隐私政策界定为企业自律规则,通过行政手段虽然可以对企业隐私政策的规则设计进行控制,保障其符合法律规定的个人信息保护的最低标准,但在企业违反隐私政策时,行政手段将难以有效保护用户的个人信息权利。一方面,将隐私政策视为纯粹的企业自律规则,在网络服务提供者违反其隐私政策时,行政机关虽然可以对其进行处罚,但行政处罚的罚款等并不会用于救济受害人,这就难以实现对用户的救济。也就是说,行政处罚虽然可以纠正网络服务提供者违反隐私政策的行为,但并不能直接救济用户所遭受的损害。另一方面,在网络服务提供者以网页等方式公示其隐私政策时,用户是基于对企业隐私政策的信赖而与网络服务提供者订立网络服务协议、接受网络服务的,而且网络服务提供者隐私政策所公示的用户个人信息保护水平一般会高于法律所规定的个人信息保护要求,此时,将隐私政策视


  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买

果然是京城土著

;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1285503      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多