。作者:张建文
西南政法大学 教授
来源:《法律科学》2023年第6期
目次
一、问题的提出
二、对非自动化决策方式的“直接营销”的法律调整:法律基础与拒绝直接营销的权利
三、《个人信息保护法》第24条第2款“自动化决策方式直接营销”条款的独特性
四、自动化决策方式直接营销的法律基础:重返对裁判意图的理解
五、重新认识《个人信息保护法》第24条第2款
六、结论
摘要:《个人信息保护法》第24条第2款是极具中国特色的调整自动化决策方式直接营销的法律规范。该条款不但在该法条内部而且在整个个人信息保护法内都具有相当的独立性;它形成了特殊的仅仅针对自动化决策方式直接营销的法律调整规则,使自动化决策方式直接营销作为个人信息处理的法律基础有了重大变革,“个人的同意”不再构成自动化决策方式直接营销的法律基础,与非自动化决策方式的直接营销以“取得个人的同意”作为法律基础的一般性要求形成鲜明对比。该款所蕴含的拒绝权,不是对自动化决策方式的拒绝,而是对整个直接营销的彻底拒绝,与同款对自动化决策方式的拒绝,也即对“不针对其个人特征的选项”的选择权形成对照。
关键词:直接营销;自动化决策方式直接营销;信息推送;商业营销;直接营销拒绝权
一、问题的提出
我国《个人信息保护法》第24条第2款有关“通过自动化决策方式向个人进行信息推送、商业营销”的规定,构成了自动化决策方式直接营销的法律依据。然而,自动化、决策方式直接营销作为个人信息处理行为的法律基础(合法性基础)在哪里?个人信息处理者是否需要事先取得当事人同意?有论者提出,“利用个人信息自动化决策首次推出决定,可以不取得个人的知情同意”“首次推送即使不当,也不认为构成侵权责任”。该论者可能没有意识到,首次推出决定可以不取得个人的知情同意,也不需要履行知情告知义务,实际上就意味着已经不再是以充分知情同意作为此类个人信息处理的法律基础,而需要在其他的具有法定许可性质的个人信息规定中寻找其法律基础。那么,此类处理个人信息行为的法律基础在哪里?有学者指出:“为了商业营销或信息推送而采取自动化决策,只是为了使得个人信息处理者的经济利益最大化。”尽管《个人信息保护法》第13条第1款规定了包含“取得个人同意”在内的九种具体情形,但是若仔细观察则可发现,竟然没有一种具体情形可以作为追求“使得个人信息处理者的经济利益最大化”的“通过自动化决策方式向个人进行信息推送、商业营销”处理活动的法律基础。可见,通过自动化决策方式向个人进行信息推送、商业营销的法律基础问题仍悬而未决。此外,《个人信息保护法》第24条第2款规定的“向个人进行信息推送、商业营销”不仅包括商业性质的营销,而且包括非商业性质的营销,但仅限于通过自动化决策方式的营销,我们可以将之称为“通过自动化决策方式的直接营销”。从更为广阔的视野来看,在我国法律上,通过非自动化决策方式的直接营销的立法规制由《民法典》《关于加强网络信息保护的决定》《广告法》以及《消费者权益保护法》分别提供,那么,《个人信息保护法》第24条第2款与其他相关立法规范之间的关系该如何协调?在法律适用上,该款的适用是否需要遵循其他立法的规定?如该款并没有要求通过自动化决策方式进行个人信息处理的处理者“经个人同意或者请求”才能向个人进行信息推送、商业营销的要求,而全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)第7条规定,“任何组织和个人未经电子信息接收者同意或者请求”不得向个人电子邮箱发送商业性电子信息,那么,信息处理者是否有义务遵守《决定》的要求,取得个人同意或者坐待个人主动请求?笔者主要关注的是作为个人信息处理行为的“通过自动化决策方式向个人进行信息推送、商业营销”,从对“直接营销”的立法规制入手,以直接营销的立法意图与规范结构为基础,比较以电子方式进行的直接营销与通过自动化决策方式进行直接营销时自然人拒绝直接营销权的法律性质。同时,结合我国有关通过自动化决策方式进行直接营销的司法裁判,尝试回答:依据《个人信息保护法》第24条第2款所规定的通过自动化决策方式向个人进行信息推送、商业营销时,作为个人信息处理行为的法律基础到底在哪里?通过自动化决策方式向个人进行信息推送、商业营销,是否应当遵守其他有关以电子方式进行的直接营销的立法规范?其他有关以电子方式进行直接营销的立法规范规定的拒绝直接营销的权利与通过自动化决策方式进行直接营销的法律规范中规定的拒绝权是否为相同的权利?
二、对非自动化决策方式的“直接营销”的法律调整:法律基础与拒绝直接营销的权利
在开始进一步的研究之前,有必要分析两个在本文中使用的术语,即商业营销和直接营销。有欧洲学者直言:“在直接营销的背景下,数据保护原则的应用和执行是整个欧洲数据保护法中最困难和最具挑战性的领域之一。”根据欧盟第29条工作组的定义,直接营销(direct marketing)是指“任何形式的促销行为,包括慈善机构和政治组织的直接营销(例如筹款等行为)”,包括提升品牌忠诚度和免费的优惠活动。更为精细的定义是:“通过任何方式(包括但不限于邮件、传真、电话、在线服务等等)进行的任何广告或营销材料的通信交流,这些行为均由直接营销商本身或由他人代表自己进行,并且针对特定的个人。”可以看出,直接营销的范围要远远大于商业营销,商业营销顾名思义仅限于商业性质的促销,包括商业性质的广告和营销材料的通信交流,与我国《广告法》第2条规定的“商业广告活动”相接近,而直接营销不仅包括商业营销,而且包括非商业营销,如“向个人进行的信息推送”。因此,可以看出,《个人信息保护法》第24条第2款属于通过自动化决策方式进行的直接营销。在不同的场合为了表述更为严谨,立法者使用“商业营销”的术语,主要用以指称直接营销中的商业营销部分。直接营销关涉至少两方的权益冲突:一方面是作为个人信息处理的法律基础,这意味着在处理者基于直接营销目的处理个人信息时,无须征得自然人的同意。在这里不无含混之处,即使同一位作者也不例外,该作者指出:数据处理者的合法利益,按照GDPR的立场“基于直销之目的的个人数据处理可以被视作为了其合法利益而进行”,也就是说直接营销从本质上讲是一项合法权益,因此从理论上而言,为该目的处理数据的行为不需要征得数据主体的同意。然而,就是该同一位作者也自相矛盾地说:“尽管营销属于数据控制者的合法利益,为了该目的进行处理数据无须征得数据主体的同意,但数据控制者最终还是得发送营销的通信,而这实际上是通过电子方式发送的,因此确实需要征得数据主体的同意”;对于电子营销信息,作者极其谨慎地建议:“采取接收者事先选择同意的模式无疑是最安全的策略。”另一方面则涉及当事人的权利,特别是自然人拥有不接受直接营销的权利。直接营销的规制,需要极其谨慎地予以对待。笔者在本文中聚焦的对象是“自动化决策方式的直接营销”,在一定程度上将其与(包括其他电子方式和非电子形式的直接营销在内的)非自动化决策方式的直接营销作独立的观察和分析。(一) 作为隐私权主要内容的私人生活安宁权构成“直接营销”立法规制的权利基础从逻辑的角度而非法律施行的早晚而言,《民法典》的相关规范构成了“直接营销”法律规制的权利基础,其第1033规定的禁止“以电话、短信、即时通信工具、电子邮件、传单等方式侵扰他人的私人生活安宁”,虽然没有明确将其保护对象和所禁止的范围限定在直接营销上,但是在文义上涵盖了商业营销和非商业营销,包括利用新型的信息技术进行的大规模营销,由此奠定了在规制直接营销时保护自然人权利的法律基础。将该项权利作为隐私权主要内容的私人生活安宁权,可以将“直接营销”法律规制的基础上溯至《宪法》第38条对作为“人的自我价值”的人格尊严保护。按照作为独立人格权的隐私权高于只是人格权益而非独立权利的个人信息保护的见解,似乎应将直接营销立法规制所保护的对象界定为高于个人信息而受法律保护。(二)《广告法》的“互联网广告与非互联网广告”二元化商业营销法律结构《广告法》的规范具有鲜明的特点:第一,《广告法》第1条所定义的广告,涵盖了“商品经营者或者服务提供者通过一定媒介和形式直接或者间接地介绍自己所推销的商品或者服务的商业广告活动”,其内涵接近于广义的商业性广告,但是没有包含非商业性广告,如信息推送,包括为政治鼓动或思想政治教育目的而进行信息推送的情形,导致其法律规范的效力射程无法涵盖非商业性广告。第二,《广告法》第43条第1款关于“未经当事人同意或者请求”的表述,明确了在个人信息领域中,无论是积极的同意,还是消极的同意,均是以同意作为处理个人信息的法律基础,同时,隐晦地向(包括但不限于自然人的)当事人提供了拒绝商业营销的权利,包括两种情形:在当事人被请求是否给予同意时积极拒绝商业营销的权利和在当事人没有主动请求(也没有主动拒绝)时消极拒绝商业营销的权利(也即在当事人无所作为时推定当事人拒绝商业营销)。这种拒绝商业营销的权利,同时针对电子方式和非电子方式的商业营销。非电子方式的商业营销包括“向住宅、交通工具等发送广告”,也可以涵盖以传单、邮寄方式发送的广告,而电子方式的商业营销大致应包括通过电话、短信、即时通信工具、电子邮件等发送广告。第三,《广告法》第43条第2款隐晦地向电子方式广告的接受者提供了拒绝直接商业营销的权利,针对以电子信息方式发送广告的情形,规定了发送者明示真实身份和联系方式的义务,以及向接受者提供拒绝继续接收方式的义务。由此仅仅针对以电子信息方式发送广告的接收者提供了拒绝继续商业营销的权利,并不包括以非电子方式发送广告的接收者。值得注意的是,《广告法》第44条第2款将互联网广告从以电子信息方式发送广告中独立出来,予以单独规制,并赋予其特殊的调整规则,即在互联网页面以弹出等形式发布的广告,应当显著标明关闭标志,确保一键关闭。从立法形式而言,《广告法》将该条款单独成条,是否意味着该条文与上下文之间是独立的?如果按照文义解释,是否意味着在互联网页面采取弹出等形式发布的广告,不需要当事人的同意或者请求即可发布?广告发布者所需要的只是给当事人提供“确保一键关闭”的关闭标志,足以令当事人实现其拒绝继续商业营销的权利即可?法律并不赋予当事人被请求是否给予同意时积极拒绝商业营销的权利和在当事人没有主动请求时(也没有主动拒绝时)消极拒绝商业营销的权利?对此不无疑问。从《互联网广告管理办法》第17条第2款的规定来看,该问题的答案应当是肯定性的,即广告发布者并非必须获得当事人同意或者请求。因为该款规定中,在涉及利用互联网发布、发送广告的情形时,只对两种情形持续强化了要应经用户同意、请求或者用户没有明确表示拒绝的限定,即“向其交通工具、导航设备、智能家电等发送互联网广告”和“在用户发送的电子邮件或者互联网即时通信信息中附加广告或者广告链接”,而对其他的利用互联网发布、发送广告的情形,特别是在互联网页面以弹出等形式发布的广告,并没有要求经用户同意或者请求。故此,有学者将其称为“拒绝规则”。这一点与本文所探讨的自动化决策方式的直接营销情形相同。(三)《决定》对电子商业营销的有限调整《决定》第7条也规定了发送商业性电子信息的调整规则。该条文蕴含了电子信息接收者(自然人)拒绝商业营销的权利,如“未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息”的表述,涵盖了积极的拒绝商业营销权利、消极的拒绝商业营销权利和拒绝商业营销继续的权利。在这里,“同意”是指在电子信息接收者被询问是否同意接收商业性电子信息时被动性地给予的同意,电子信息接收者主动向电子信息发送者表示“同意”发送商业性电子信息的情形则构成该条文中所谓的“请求”。因此,我们必须对“电子信息接收者明确表示拒绝”的表述与前句“未经电子信息接收者同意或者请求”之间的关系做整体性的解读。“电子信息接收者明确表示拒绝”并非是指允许发送者未经接收者同意或者请求即可发送,一旦接收者明确拒绝,则发送者即不得再发送,而是指电子信息接收者虽然曾经同意或者请求发送商业性电子信息,但嗣后不愿意继续接收商业性电子信息而明确表示拒绝的情形。但是,该规则具有明显的限定性:在调整对象上,一方面仅限于发送商业性信息的行为,不包括非商业性信息的推送,另一方面,仅限于以电子形式推送商业性信息的行为,不包含非电子方式的直接营销,也不包含非商业性的直接营销;在调整范围上,仅限于“不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息”,似乎未关注到利用互联网发布发送商业性电子信息的情形,如向交通工具、导航设备、智能家电以及互联网即时通信工具等发布、发送广告的情形。(四)《消费者权益保护法》对电子商业营销以及非电子商业营销的全面调整《消费者权益保护法》第29条对消费者保护领域中的个人信息保护问题作出规定,其第3款是关于商业营销的规定,“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的不得向其发送商业性信息”。其规定最为简略,但其涵盖范围却非常广泛,既包括非电子方式的商业营销,也包括电子方式的商业营销,成为司法和执法实践中最为常用的法律依据;不足之处在于没有对非商业性信息的发送作出规定。但是,从个人信息处理的视角来看,该条款在利用个人信息进行电子商业营销和非电子商业营销时,其法律基础是消费者的同意或者请求。 综上,通过对我国法上“直接营销”相关法律规范的仔细分析,可以发现:第一,我国法律(除《个人信息保护法》外)规定的“直接营销”实际上主要是商业营销,而且即使不是全部,也主要是关于电子方式的商业营销的规制,并未涵盖非商业性营销;包括非商业性营销(信息推送)的完整直接营销则来自《个人信息保护法》,而《个人信息保护法》的调整对象则限定为更具独立意义的“通过自动化决策方式进行”的直接营销。第二,从法律规范的文义和表述方式可以看出,依据相关法律(除《个人信息保护法》外)规定,在使用个人信息进行电子方式的商业营销时,完全是以个人的同意作为商家个人信息处理的法律基础,无论这种同意是来自于当事人在被寻求同意时被动表达的同意,还是在当事人主动请求时以主动方式表达的同意,但在当事人明确拒绝的情形下,则应视为撤回同意。由此而言,我国法律(除《个人信息保护法》外)在规定利用个人信息进行电子方式的商业营销,甚至非电子方式的商业营销时,对处理者的要求是极其严格的,那就是必须取得被处理信息者个人的同意,这构成了我国立法在调整商业营销时的基本立场,尽管这一规定不乏对消费者有过度保护之嫌。不过,如果将《个人信息保护法》第24条第2款“通过自动化决策方式进行信息推送、商业营销”作为独立的情形来分析,那么,其个人信息处理行为是否也能够或者说应当解释为须以当事人的同意作为其法律基础?而该款所蕴含的个人拒绝直接营销的权利,是来自于当事人撤回同意的当然后果,抑或是所谓独立的反自动化决策权(拒绝权)?这需要进一步研究。三、《个人信息保护法》第24条第2款“自动化决策方式直接营销”条款的独特性
在《个人信息保护法》第24条中,第1款可以视为对个人信息处理者利用个人信息进行自动化决策的一般要求,而第2、3款则是对相互独立的两种通过自动化决策方式进行的个人信息处理行为的规定。其中第2款仅限于自动化决策方式的直接营销(信息推送、商业营销)的情形,而第3款则是通过自动化决策方式作出决定的情形,且均规定了拒绝权。因此,对于第2款所涉的自动化决策方式的直接营销应当予以独立对待,进行个别化研究。与调整非自动化决策方式直接营销的立法相比,《个人信息保护法》规制的范围较为狭窄,仅限于“通过自动化决策方式向个人进行信息推送、商业营销”的情形,同时明确规定应向被推送人提供便捷的拒绝方式,以保障个人拒绝接受直接营销的权利。但是,《个人信息保护法》的规定,将自动化决策方式与直接营销(向个人进行信息推送、商业营销)结合起来,创设了独特的“通过自动化决策方式向个人进行信息推送、商业营销”的法律调整规则,这在比较法上是独一无二的。作为个人信息处理行为,通过自动化决策方式的直接营销行为,虽然是在没有任何人工参与的情况下通过计算机系统来作出的相应决策,但是,这里的“没有任何人工参与”仅是指处理过程中没有处理者对决定内容进行评估,而处理行为是否进行以及为何种目的、以何种方式进行,则有赖于处理者的事先决定。《个人信息保护法》上的直接营销作为个人信息处理活动的法律基础并不明确。我国《个人信息保护法》第24条并没有规定自动化决策方式直接营销的法律基础。笔者认为,在我国《个人信息保护法》第13条第1款没有规定以“数据处理者或第三方的正当权益”作为个人信息处理的法律基础的情形下,第24条第2款规定的自动化决策方式的直接营销将构成一类特殊的且独立的个人信息处理行为。(一)“个人的同意”不构成直接营销的法律基础这是因为该款的立法表述与《消费者权益保护法》《关于加强网络信息保护的决定》以及《广告法》规制非自动化决策方式的商业营销的表述方式都不相同,主要是没有关于要求经当事人同意或者请求以及在经当事人同意或者请求后没有明确拒绝的表述。我国其他立法在有关非自动化决策方式商业营销的法律调整方式上均要求当事人的事先同意,这就意味着在商业营销领域的个人信息处理是以当事人的同意为法律基础的,而不是以“为订立、履行个人作为一方当事人的合同所必需”。这是因为从立法者的视角而言,“商业营销”是为了处理者的利益特别是经济利益的行为,因而加重了直接营销处理者的义务,即处理者必须获得当事人的同意并承担当事人撤回同意的当然后果,而非以宽泛甚或不一定存在的订立合同意图作为其法律基础。而在“信息推送”的情况下,立法者要保护的利益不仅包括信息处理者的利益,而且可能包含公共利益或者第三方的利益。然而,《个人信息保护法》第24条第2款的规定则完全不提当事人的同意,这就意味着商家在从事商业营销时,基于法律许可即可进行个人信息处理;允许而且仅仅允许通过自动化决策方式进行直接营销时,处理者无须取得当事人同意。这种具有法定许可性质的个人信息处理定位,意味着立法者将通过自动化决策方式直接营销行为视为与普通的非自动化决策方式直接营销行为具有本质性差异的行为,故出台了不同的调整规则。“个人的同意”不构成自动化决策方式直接营销行为的法律基础,在自动化决策方式的直接营销中,(“向个人提供便捷的拒绝方式”所蕴含的)拒绝自动化决策方式的直接营销的权利,在性质上已经不再是基于个人同意而作为个人撤回同意所产生的当然法律后果,而是对一般意义上直接营销行为的彻底拒绝权,这种权利是一种更加独立的更具针对性(即针对直接营销行为)的拒绝权。这是因为,《个人信息保护法》第24条第2款规定的是无须取得当事人同意的自动化决策方式直接营销行为,立法向个人提供了根据个人意愿所可采取的两种应对措施:一种是在处理者“同时提供不针对其个人特征的选项”中所蕴含的个人对自动化决策方式直接营销中“个性化”的拒绝,但是这种拒绝体现为对不针对其个人特征的选项的选择权,另一种是“向个人提供便捷的拒绝方式”中所蕴含的对直接营销行为本身彻底拒绝的权利,无论是针对其个人特征的直接营销,还是不针对其个人特征的直接营销,在所不问,一经当事人拒绝,营销者即应立即停止营销行为。(二) 自动化决策方式直接营销的法律基础较为混杂作为“信息推送”个人信息处理的法律基础,《个人信息保护法》第13条第1款第2、3、4项均有可能被适用。如在企业集团向员工做自动化决策信息推送时可以适用“为实施人力资源管理所必需”的规定;交巡警向驾驶员所做的雨天安全行车提醒,纪检监察机关向机关干部在节假日期间推送的廉洁守则提醒等则可以适用“为履行法定职责所必需”的规定;金融机构等通过自动化决策向客户发送的反洗钱宣传信息等可以适用“为履行法定义务”所必需的规定;气象部门发布的台风、泥石流、特大暴雨等预警信息则可以适用“紧急情况下为保护自然人的生命健康和财产安全所必需”的规定。比较难以确定的是,在“自动化决策方式的商业营销”的情况下,处理者利用个人信息通过自动化决策方式发送的商业营销信息行为的法律基础。因为在此情况下,处理者所追求的往往是自己的利益(可能甚至主要是商业利益,但也不排除其他的正当利益),如银行通过自动化决策方式向优质客户发送的优惠借贷信息或者个性化基金项目推荐等行为,就难以匹配到适当的个人信息处理的法律规定。由此可知,《个人信息保护法》第13条第1款的规定,尽管不排除涉及处理者自己合法利益的情形,如“为订立、履行个人作为一方当事人的合同所必需”“为实施人力资源管理所必需”“为履行法定义务所必需”等情形,但对于保障信息处理者的正当利益而言,其适用范围有限。如将之作为“为订立、履行个人作为一方当事人的合同所必需”的法律基础显然不合适,因为法律主要保护的是信息处理者的商业利益,不能将该项表述作宽泛的解释。关于自动化决策方式直接营销的法律基础,另一种可能的解释是将《个人信息保护法》第24条第2款规定的“通过自动化决策方式向个人进行信息推送、商业营销”纳入第13条第1款第7项“法律、行政法规规定的其他情形”。有论者指出的“利用个人信息自动化决策首次推出决定,可以不取得个人的知情同意”,实际就是将利用个人信息进行自动化决策个人营销作为个人信息处理的法律基础。只是如此解释,可能会显得在《个人信息保护法》内部有关个人信息处理的法律基础并不统一,将本应在第13条规定的内容放在第24条第2款中,似乎存在在《个人信息保护法》内部参照适用的情形,但是如果从强调立法对第24条第2款的自动化决策方式的直接营销的独立性和特殊性考虑,也不能排除将其作为“法律规定的其他情形”予以解释。只是做如此解释,尚需要司法实践对所谓的“其他情形”予以进一步解释,阐明该款具有作为个人信息处理法律基础的作用。因此,该观点是否妥当,尚待进一步观察。 综上,如果把《个人信息保护法》第24条第2款看作是独立的专门针对自动化决策方式直接营销的特别规定的话,就会发现,它改变了我国有关直接营销(特别是商业营销)的法律调整方式,改变了将同意作为直接营销处理个人信息的法律基础,将其变成基于法定许可处理个人信息的行为,将以往直接营销法律调整中基于个人同意的拒绝直接营销权,转变为基于法律明确规定的直接营销拒绝权,同时向个人提供了“不针对其个人特征的选项”的反对自动化的决策权。由此,可以厘清我国《个人信息保护法》上自动化决策方式直接营销条款独立性以及其在直接营销法律调整中的特殊性。四、自动化决策方式直接营销的法律基础:重返对裁判意图的理解
“朱某诉北京百度网讯科技有限公司隐私权纠纷案”直接涉及个人信息处理者使用Cookie技术收集、利用匿名用户网络偏好信息进行网络精准广告是否构成侵犯公民个人隐私的问题。笔者认为,该案件实际上提供了一个近距离观察司法裁判意图的机会。从实体判决的角度而言,司法机关最终认定“百度网讯公司的个性化推荐行为不构成侵犯朱某的隐私权”并无不当,但是在2013年的法律框架之内,实现这个意图却是不容易的。上述案件的司法裁判将信息处理者的“个性化推荐行为”正当化的理由有三:一是将网络活动轨迹及上网偏好信息作出不属于个人信息的认定,即“百度网讯公司在提供个性化推荐服务中运用网络技术收集、利用的是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合‘个人信息’的可识别性要求”,理由是“网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴”;由此,“百度网讯公司个性化推荐服务收集和推送信息的终端是浏览器,没有定向识别使用该浏览器的网络用户身份”。二是课加用户特定的容忍义务,即“个性化推荐服务客观上存在帮助网络用户过滤海量信息的便捷功能,网络用户在免费享受该服务便利性的同时,亦应对个性化推荐服务的不便性持有一定的宽容度”。三是承认在个人信息保护领域中个人的默示同意。法院认为:“在《使用百度前必读》中,百度网讯公司已经明确说明Cookie技术、使用Cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制。朱烨在百度网讯公司已经明确告知上述事项后,仍然使用百度搜索引擎服务,应视为对百度网讯公司采用默认‘选择同意’方式的认可。”也就是说,当事人并没有明确表示同意,而是司法裁判中推定当事人的不作为是选择同意的方式。即使承认当事人同意使用Cookie技术,但适用Cookie技术向当事人投放商业广告,则又是不同的个人信息处理行为,前者属于信息收集,后者则属信息使用,因此,该案在论证逻辑和技术上的瑕疵是显而易见的。在该案中,司法机关的裁判意图是比较明显和确定的,即支持作为个人信息处理者的互联网企业可以不经用户许可而使用所合法收集的(包括匿名化的)个人信息进行自动化决策商业营销,实际上就是遵循将直接营销作为常见的大数据商业利用模式而承认其属于私人合法利益,即承认数据控制者的商业利益。难题在于,在缺乏将处理者的正当权益作为个人信息处理法律基础的情况下,才不得不想出来将个人信息做非个人化认定和课加用户特定的容忍义务,甚至不惜承认默示同意来实现允许处理者利用用户信息进行自动化决策商业营销的正当性。正如有学者在多年后对该司法裁判观点的含蓄的批评:“当时法院认定Cookie不属于个人信息是可以接受的”“我们不能用今天明确的规则来苛责彼时的法官的认知和判断。”司法机关不惜画蛇添足地采用了三种方式论证互联网企业利用用户信息进行自动化决策商业营销的正当性,实际上,在论证的手段或者裁判的路径上,该案件的论证瑕疵还不止于对Cookies的法律性质所作的非个人信息的认定,对默示同意的承认也不无不当之嫌。因为在司法实践者眼中,个人信息已经被视为互联网企业可以直接转化为股东价值的关键资产,无一例外地可被商业化。然而,我们禁不住要问:该案件若是放在《个人信息保护法》已经施行的今天,是否就能够找到合适的法律基础来实现这个裁判意图?五、重新认识《个人信息保护法》第24条第2款
承前所述,《个人信息保护法》通过自动化决策的方式向个人进行信息推送、商业营销的条款,具有极大的创新性和独特性,在立法例上是罕见地对通过自动化决策方式进行直接营销的法律调整。通过对该款规范与我国其他立法对非自动化决策方式的直接营销的调整规则的比较,可以发现,该款的法律规范的表述中悄悄地去掉了其他法律规范通常规定的取得个人同意(经当事人同意或请求)的规定,而这种规定也是比较法上对直接营销的一般性要求。这种改变形成了我国《个人信息保护法》上有关于自动化决策方式的直接营销的法律调整的中国特色。由此产生了两个改变:(1)改变了个人信息处理行为的法律基础,即从基于个人同意的个人信息处理,转变为基于法定许可的个人信息处理,这就意味着商业自动化决策不再需要征得个人的同意。但是,反观《个人信息保护法》第13条第1款有关基于法定许可的个人信息处理的规定,可以发现自动化决策方式直接营销行为的法律基础是较为混杂的。对于通过自动化决策方式向个人的信息推送而言,其第1款第2、3、4项规定的个人信息处理法律基础,均有可能被适用;在进行自动化决策商业营销的情况下,就难以为处理者为了实现自己的商业利益(个人信息使用者权益)找到适当的法律基础,“为订立、履行个人作为一方当事人的合同所必需”作为个人信息处理的法律规定,其所要保护的是个人的利益,而非处理者的利益,故我们对之不宜作宽泛解释。在司法实践中,对于自动化决策方式商业营销行为的法律基础问题比较难以确定。这种解释论操作会人为地造成自动化决策方式直接营销中信息推送和商业营销二者法律基础的不一致。有两种办法可以解决这个问题:一种是将自动化决策方式的直接营销本身作为独立的个人信息处理法律基础予以解释,即只需将《个人信息保护法》第13条第1款第7项所谓的“法律规定的其他情形”解释为其本身就蕴含了第24条第2款的内容即可。笔者认为这是一种更好的解决办法,由此可以将自动化决策方式的直接营销中的“信息推送”与“商业营销”两种情形中的个人信息处理法律基础统一起来。另一种为自动化决策方式的直接营销提供统一的个人信息处理的法律基础的,恰恰应当是被有意忽略的比较法上作为个人信息处理法律基础的“处理者或第三人的正当权益”(legitimate interests)的规定。尽管立法没有明确规定,但是不难想见,因其本身作为个人信息处理法律基础的内在正当性和合理性,必定会被司法实践关注。(2)改变了自动化决策方式的直接营销中个人拒绝权的法律意义,即从之前有关直接营销法律调整中的基于个人的同意以及经由撤回同意所产生的直接营销拒绝权,转变为独立的基于自动化决策方式直接营销所产生的直接营销拒绝权,这是一种更为独立的拒绝权,它所拒绝的不是自动化决策的方式,而是这种极具侵入性的直接营销行为本身。《个人信息保护法》条款中还提供了针对自动化决策方式本身的拒绝,不过这种拒绝本质上是一种对“针对其个人特征的选项”或“不针对其个人特征的选项”的选择权。这一点尤需注意。
六、结论
《个人信息保护法》第24条第2款无论是在该条文内部,还是在整个《个人信息保护法》内都是独立的,而且是唯一的调整自动化决策方式的直接营销的法律规范。其与《民法典》《关于加强网络信息保护的决定》《广告法》《消费者权益保护法》等调整非自动化决策方式的直接营销立法相比,具有独立性和特殊性。由此决定了关涉自动化决策方式的直接营销的法律调整,仅由《个人信息保护法》或者确切地说是由其第24条第2款一力承担,不再适用调整非自动化决策方式直接营销的其他立法规范,尤其是不适用同意规则。根据该款,通过自动化决策方式向个人进行信息推送、商业营销的情形,无须征得当事人同意,所需遵循的唯一的条件是“同时提供不针对其个人特征的选项”或“向个人提供便捷的拒绝方式”。此种法律调整方式的变革所带来的难题是对自动化决策方式的直接营销作为个人信息处理法律基础的确定问题,按照当前的《个人信息保护法》的规定,无疑会导致信息推送和商业营销的法律基础的含混,而且对自动化决策方式商业营销的法律基础的确定最为困难。所可能的应对方式有两条:一是将自动化决策方式的直接营销条款(《个人信息保护法》第24条第2款)整体上视为第13条第1款第7项所谓的“法律规定的其他情形”,彻底解决其法律基础问题;另一种是在司法实践中斟酌将被立法者有意忽视的“处理者或第三人的正当权益”作为自动化决策方式直接营销的法律基础。在面对《个人信息保护法》立法空白的情况下,何种解决方式为优,尚待司法实践的填补和检验。
(本文责任编辑 马治选 陈凌云)
因篇幅限制,略去原文注释及参考文献。
编辑:孙禹杰
审核:寇 蓉
签发:马治选
扫码关注《法律科学》