作者:常俊峰 甘雨来 邓哲 争议解决部 金杜律师事务所

上一篇文章《个人信息收集行为的法律边界》提到,《网络安全法》规定,互联网信息服务提供者在提供服务过程中收集、使用用户个人信息的,应当遵循“合法、正当、必要”原则,同时收集个人信息应征得被收集者或其监护人同意。实践中,取得被收集者同意一般系通过授权接入或者用户自行填写等方式实现。

但是,有案例显示,即使网络服务提供者在收集个人信息时取得了被收集者的许可,其仍被认定构成侵犯公民个人信息罪。那到底怎样取得授权、取得什么样的授权才算“合法”,对此,我们结合处理的案件及相关案例,梳理了市场主体取得个人信息授权的风险点,供各位参考。

1. “乘人之危”获取授权的行为可能被认定构成恶意规避法律适用,不具有法律效力

在《李某某、陈某某侵犯公民个人信息罪一审判决书》中[1],涉案单位从事网络借贷业务,其中需要收集借款人姓名、地址、手机号码、紧急联系人、芝麻积分、通讯录等个人信息。对此法院认为,借款人基于财务状况紧张而向涉案单位提交材料申请借款,涉案单位系乘人之危强行取得借款人对其个人信息的获取及使用授权该行为属于恶意规避法律适用以达到侵犯他人合法权益之目的,不具有法律效力。法院判决并未就“恶意规避法律”的具体内容展开。对此,我们理解,是否“合法”又与是否“必要”直接挂钩,如借款人拒绝提供上述全部信息,其中部分信息并非提供该项服务所必须,涉案单位不为其提供相关服务,由此可能被认定构成“恶意规避法律”。

其实,类似情况在实践中多有发生。日常使用手机应用软件时,用户如不许可授权获取或使用特定信息,部分网络服务提供者可能拒绝提供相关服务。上述情况是否构成前述判决中提到的“恶意规避法律适用”?针对该问题,我们理解应按照是否“必要”,分情况讨论。

例如,以提供出行交通相关的网络服务为例,如用户拒绝软件获取用户的定位信息,则相关软件实际无法有效发挥功能。在此情况下,用户信息的获取与服务提供具有密切关联,属于提供该项网络服务的“必选项”,则不应认定服务提供商“乘人之危”强行要求用户提供个人信息。但是,如果提供出行交通相关网络服务商希望获取用户的征信信息或者消费记录等与出行交通无关的个人信息,并在用户拒绝提供时不予服务的,网络服务提供者可能被认定构成“乘人之危”。

值得注意的是,实践中,行政机关已明确认定上述行为违法并作出行政处罚。在某人力资源公司行政处罚决定书中,公安机关认定的该人力资源公司的违法事实为:其所运营的某手机APP在用户明确表示不同意后仍收集个人信息,并频繁征求用户同意干扰正常使用,在用户不同意收集非必要个人信息或打开非必要权限后拒绝提供业务功能。该等行为被认定违反了《网络安全法》第四十一条之规定,未履行个人信息保护义务。[2]

2. 为获取个人信息而进行虚假宣传、无法实现被收集者填写信息的目的,可能被认定为信息收集缺乏正当性和合法性依据

在《薛某某、吴某、黄某某敲诈勒索罪一审刑事判决书》[3]中,被告人运营的某从事网络借贷中介业务的APP平台,对外宣传声称可以进行网络借款。但事实上该平台本身不从事借贷业务,也不具有放贷功能,只能发挥网络借贷中介的功能。法院认定,该平台无法直接满足借款人从平台上获取资金的需求,也没有将其实质为网络借贷中介的身份向借款人释明,因此其收集借款人的个人信息的行为缺乏正当性、合法性依据。

据此,在网络服务提供者获取个人信息之前,应当向被收集者明确网络服务提供者的真实身份以及所提供服务的真实内容。

3. 在被收集者对信息真实用途缺乏明确认知情况下的授权使用,不具有阻却获取个人信息行为违法性的效力

在《李某某、陈某某侵犯公民个人信息罪一审判决书》中[4],被告人抗辩其在授权协议中已明确告知借款人其信息可能被共享至第三方主体。但是,法院认为,借款人授权的真实意思为基于个人信息审核而直接获得借款,而非授权涉案公司将个人信息对外出售无差别获利。在权利人对个人信息真实用途缺乏明确认知情况下的授权使用,不具有真实意思表达的基础,不具有阻却获取个人信息行为违法性的效力。

因此,虽然授权协议中写明了个人信息可能被共享至第三方主体,但若网络服务提供者未明确告知相关信息共享至第三方的用途或使用方式,该类“宽泛”的授权往往被认定为无效授权,进而不能阻却该类获取个人信息行为的违法性。

4. 超越范围、超出必要限度收集公民个人信息数据的行为可能被认定不具有正当性,侵犯第三人信息权益的授权不具有法律效力

仍旧是在《李某某、陈某某侵犯公民个人信息罪一审判决书》中[5],法院查明,涉案公司在收集借款人个人信息时,收集输出的信息不仅局限于借款人本人的姓名、身份号码、联系方式等基础信息,还包括借款人的通讯录信息、通话记录信息等。法院认为:“该类信息收集、使用的违法性直接指向了对借款人亲友个人信息权益的侵犯,明显超出了正常借贷行为所需的信息范围,超范围、超必要限度收集、使用公民个人信息数据的行为不具有正当性,侵犯第三人合法权益的授权也不具有法律效力。”

据此,网络服务提供者在收集个人信息时,相关信息涉及到其他个人,例如通讯录或者通话记录等,此举等同于间接获取了第三方个人信息。该等行为通常被认定为超范围、超必要获取个人信息,违反了“合法、正当、必要”原则。在此情况下,个人对于其信息授权也可能被法院认定为无效。

5. 授权协议的格式条款是否做到了权责对等

最后,实践中法院也可能审查授权协议的格式条款是否权责对等。在前述案例中,法院认为相关授权协议即属于格式条款。如果格式协议中均为对权利人(个人信息提供人)权利的限制以及对涉案公司责任的免除,则仅以授权协议不能认定公司已经履行了“格式条款”中责任免除的明确告知义务。

综上,随着法律对于个人信息保护力度的持续提升,网络信息服务提供者不能仅仅以格式条款、制式授权等形式豁免其获取、使用个人信息应履行的责任。在取得个人信息授权时,应贯彻“合法、正当、必要”原则,并且明确告知被收集者信息获取的主体、范围及真实用途等重要内容。

 

[1] 浙江省绍兴市越城区人民法院审理的(2019)浙0602刑初850号

[2] 台公(黄)(城北)行罚决字[2020]00917号

[3] 浙江省绍兴市越城区人民法院(2019)浙0602刑初150号

[4] 浙江省绍兴市越城区人民法院审理的(2019)浙0602刑初850号

[5] 浙江省绍兴市越城区人民法院审理的(2019)浙0602刑初850号