文章導讀: 從這個草案的規定來看,僅就微信向聊天內容提供推送相關服務信息來說,門檻已非常高,華為作為第三方,要想通過微信聊天內容來推送相關服務更是難上加難。
編者按:一家是中國智能手機出貨量第一,一個是中國互聯網社交用戶數第一,同在深圳的華為和騰訊這倆巨頭,近日卻為了爭奪用戶數據而“大打出手”。
騰訊指控華為榮耀Magic手機侵害了騰訊的數據和用戶的數據,并稱已請監管部門介入,而華為則認為所有數據都是用戶的數據,并且已經獲得了用戶的授權。這是繼順豐與菜鳥之爭后,近期出現的又一起數據爭奪戰。當前不完善的數據權屬法條,成為大眾關注的焦點。
數據保護和網絡安全法律專家洪延青認為,該事件中,華為手機只是用戶的工具,微信是唯一的信息媒介,用戶能夠分享自己的信息和含義給任何一方,但是華為若要訪問具體的比特字符,按照現有的法律規定,還是需要微信的事先同意。
(本文刊發于《中國經濟周刊》2017年第32期)
日前,據《華爾街日報》報道,華為技術有限公司正在通過其榮耀Magic智能手機收集用戶活動信息,以打造其人工智能功能——例如使手機能夠基于用戶的短信內容推薦餐廳——其收集的信息包括熱門社交應用微信的聊天信息。
華為收集微信聊天記錄需雙重授權
微信的所有者騰訊控股有限公司認為,華為的上述做法實際上奪取了騰訊的數據,并侵犯了微信用戶的隱私。知情人士稱,騰訊已請求政府部門介入此事。華為則在聲明中對侵犯用戶隱私予以否認,稱所有用戶數據都屬于用戶,而不屬于微信或是榮耀Magic,該公司在榮耀Magic設備上處理用戶數據之前經過了用戶的授權。
華為和騰訊的切入路徑是數據權屬問題。然而,目前國內外法律對于個人數據權屬問題都沒有給出定論,基本都予以回避。
對個人敏感信息,用戶自然希望微信能夠妥善保存、保護,避免其泄露、損毀、丟失。按照《網絡安全法》第41條的要求,網絡運營者應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。華為想訪問這些聊天內容,顯然需要兩重的授權同意——用戶對此訪問的同意和微信對此訪問的同意。
按照現有法律,用戶單方面的同意是不夠的。《網絡安全法》規定,在數據收集是合法的前提下,數據收集方有義務為數據保密并建立保護制度。因此,微信聊天數據應由微信保存,華為若要訪問需獲得微信的授權。
這個授權本質上屬于商業之間的談判,報道提到“華為與科大訊飛、高德、支付寶、攜程等APP深度合作研發”,只不過,華為和微信合作比較困難而已。但不論談判如何,按照現有法律的要求,微信的同意是華為能夠訪問數據的前提基礎。
微信是唯一的信息媒介
有人認為,聊天內容這樣的個人信息,肯定屬于用戶所有,用戶想給誰就可以給誰,華為獲得用戶的授權就足夠了,《網絡安全法》雖然要求微信對用戶信息保密,但是并不意味著微信獲得了對用戶個人信息的所有權。
還有觀點稱,微信是手機上的一個應用,用戶的所有語音文字的輸入、輸出均是先經過手機再到微信,微信只是一個顯示的界面而已。如果華為已獲得用戶同意收集用戶信息,則可以理解成該手機上的用戶信息都在其收集的范疇,優先級和范圍遠大于微信。換句話說,華為也是聊天內容(因為發生在手機終端之內)的合法收集者,地位上不輸于微信。這樣看的話,微信獲得的用戶對聊天內容的授權同意,與華為獲得的對聊天內容的授權同意,具有同等的法律地位,因此兩份授權同意應該等量齊觀。所以華為也具有收集、使用微信聊天記錄的權利。
從個人信息保護的通用法律框架來看,用戶使用微信,用戶是個人信息主體,微信是個人信息控制者。無論是《網絡安全法》還是國外的個人信息保護法律,主要是規范個人信息主體和個人信息控制者之間的法律關系。所以有了授權同意、最少夠用、公開透明等公認的個人信息保護基本原則。
華為手機憑借其提供操作系統的特殊地位,能調用用戶通過輸入法輸入的信息內容。但我們應該特別注意一點:即便信息先經過華為手機這一方再發到微信,在用戶的合理、合法的期待中,微信是唯一的信息媒介,連接用戶和聊天對象。用戶發信息的場景是在微信聊天這個場景內,這中間過程中實際出現的,無論是輸入法還是手機內部的存儲器,都僅僅是用戶的工具而已。
按照國際上通信的關于個人信息控制者的定義,個人信息控制者是“有權決定個人信息處理目的、方式等的組織或個人”。這里的關鍵詞是“有權”和“控制”,華為手機并不滿足能夠控制個人信息處理目的、方式的條件。
國家標準《個人信息安全規范》(草稿)對收集的定義非常明確——獲得對個人信息的控制權的行為,包括由個人信息主體主動提供、通過與個人信息主體交互或記錄個人信息主體行為等自動采集,以及通過共享、轉讓、收集公開信息間接獲取等方式。
從法律的角度來看,個人與微信之間產生法律關系,這是用戶的合法正當的期待。即便在事實層面,華為手機確實參與到這個過程中,但它的角色更多的是沒有自主意識的錘頭、斧子、釘子這樣的工具。
數據屬不屬于用戶?
在很多人的直覺中,聊天內容歸用戶所有。華為提出“數據是用戶的”,其潛臺詞是用戶的授權是可以壓過《網絡安全法》賦予微信把關人的角色。不過,目前法律并不支持數據屬于用戶這個說法。
大多數人的直覺應當給予足夠的尊重,畢竟法律一個非常重要的功能就是符合、支撐社會大眾的正當預期。但是還應當看到,我們之所以能用非常方便、非常多樣的形式和我們的朋友、親人聊天,是因為微信的存在、微信的創新。換句話說,聊天信息的內容是我們個人產生,但是其展現形式和傳輸依賴于微信。
為了鼓勵互聯網公司持續不斷地創新,應當尊重微信在其中的付出,給予微信對聊天內容和記錄把關人的地位和第一收集、利用者的角色,鼓勵、支持其對自身的付出取得相應合理的回報。這是個政策判斷,不是個法律判斷。
再進一步,聊天內容可以被區分為兩層:一是聊天內容傳遞的信息和含義,這無可爭議歸用戶所有;二是聊天內容的保存形式,即是一串串0和1的組合,微信可以對這些數據把關、收集、利用。也就是說,用戶可以把聊天內容的信息和含義分享給華為。但是,華為如果要直接訪問表征用戶“準備幾點在哪里吃飯”的那一串0和1,只能通過微信,而且微信必須事先同意。
簡單地說,聊天內容屬于用戶所有。這句話既對也不對。我們應當尊重兩邊。用戶能夠分享自己的信息和含義給任何一方,但是華為要訪問具體的比特字符,還是需要微信的事先同意。
華為須說明如何獲得授權是關鍵
上述規定和要求,進一步鞏固了數據收集方把關人的地位,也面臨著可能助長數據壟斷、不正當競爭等問題。比如或會出現某企業以保護數據安全為由,拒絕其他企業對數據的訪問。菜鳥和順豐之前的爭議就涉及這個問題。
避免壟斷、不正當競爭等問題的路徑主要有幾種:一是確認用戶有數據攜帶權,目前國內法律框架中并沒有相關規定;二是華為提出訴訟,用不正當競爭等事由來強迫微信同意,這種路徑很難;三是國家從公法角度確立數據訪問權的公法框架,不過,以公法角度來切入私法領域的爭議非常大,目前全球領域內只有非常少量的相關立法。
此外,華為提出“榮耀Magic設備上處理用戶數據之前經過了用戶的授權”,也牽扯出用戶授權提取信息的法理爭論。
對于個人敏感信息的收集、使用,簡單地埋在長長的隱私政策文本中并不可取,至少應該用“增強式告知”,即獨立于隱私政策文本之外,在用戶注冊賬號、安裝程序、首次使用時彈出告知界面。這個界面的內容應當濃縮隱私政策的核心內容,或者突出展示了用戶最關心的信息。若華為想收集用戶的聊天記錄,則應該突出告知用戶并征求用戶的授權同意。如果為了進一步確保這個同意真實有效,華為還應當使用“即時告知”的方式,即針對個人敏感信息,單獨、專門地告知,并再次征得用戶授權同意。華為稱自己獲得了用戶的授權并不夠,說明如何獲得用戶的授權才是關鍵。
處理數據隱私歐盟門檻極高
歐盟的《數據隱私條例》(e-Privacy Regulation)目前處于草案階段。與之前的《一般數據保護條例》相比,《數據隱私條例》更適用于個人通信內容。
根據目前草案的文本,歐盟委員會提出,尊重隱私生活,首先要求保障自然人電子通信的保密性。電子通信的保密性包含兩個方面——內容和元數據。電子通信網絡和服務提供商的保密性義務是首位的,在這點上,與我國《網絡安全法》并無二致。對于電子通信內容能否對外共享利用的問題,《數據隱私條例》草案規定,電子通信網絡和服務的提供商可以在以下兩種情形中處理內容數據:僅當提供服務所必需且獲得了終端用戶的明確同意,同時只能用于向用戶提供服務這個目的;所有的終端用戶授權同意為特定目的而處理內容數據,且僅僅處理匿名化后的數據不能滿足特定目的,同時提供商事先就此咨詢了個人數據保護的監督部門。
從這個草案的規定來看,僅就微信向聊天內容提供推送相關服務信息來說,門檻已非常高,華為作為第三方,要想通過微信聊天內容來推送相關服務更是難上加難。
有人認為,歐盟設置如此高的門檻會阻礙互聯網的發展,不過也有學者反對用這種觀點將理性討論一概拒之門外。
京公網安備 11010502049343號