日前,据《华尔街日报》报道,华为技术有限公司正在通过其荣耀Magic智能手机收集用户活动信息,以打造其人工智能功能——例如使手机能够基于用户的短信内容推荐餐厅——其收集的信息包括热门社交应用微信的聊天信息。
华为收集微信聊天记录需双重授权
微信的所有者腾讯控股有限公司认为,华为的上述做法实际上夺取了腾讯的数据,并侵犯了微信用户的隐私。知情人士称,腾讯已请求政府部门介入此事。华为则在声明中对侵犯用户隐私予以否认,称所有用户数据都属于用户,而不属于微信或是荣耀Magic,该公司在荣耀Magic设备上处理用户数据之前经过了用户的授权。
华为和腾讯的切入路径是数据权属问题。然而,目前国内外法律对于个人数据权属问题都没有给出定论,基本都予以回避。
对个人敏感信息,用户自然希望微信能够妥善保存、保护,避免其泄露、损毁、丢失。按照《网络安全法》第41条的要求,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。华为想访问这些聊天内容,显然需要两重的授权同意——用户对此访问的同意和微信对此访问的同意。
按照现有法律,用户单方面的同意是不够的。《网络安全法》规定,在数据收集是合法的前提下,数据收集方有义务为数据保密并建立保护制度。因此,微信聊天数据应由微信保存,华为若要访问需获得微信的授权。
这个授权本质上属于商业之间的谈判,报道提到“华为与科大讯飞、高德、支付宝、携程等APP深度合作研发”,只不过,华为和微信合作比较困难而已。但不论谈判如何,按照现有法律的要求,微信的同意是华为能够访问数据的前提基础。
微信是唯一的信息媒介
有人认为,聊天内容这样的个人信息,肯定属于用户所有,用户想给谁就可以给谁,华为获得用户的授权就足够了,《网络安全法》虽然要求微信对用户信息保密,但是并不意味着微信获得了对用户个人信息的所有权。
还有观点称,微信是手机上的一个应用,用户的所有语音文字的输入、输出均是先经过手机再到微信,微信只是一个显示的界面而已。如果华为已获得用户同意收集用户信息,则可以理解成该手机上的用户信息都在其收集的范畴,优先级和范围远大于微信。换句话说,华为也是聊天内容(因为发生在手机终端之内)的合法收集者,地位上不输于微信。这样看的话,微信获得的用户对聊天内容的授权同意,与华为获得的对聊天内容的授权同意,具有同等的法律地位,因此两份授权同意应该等量齐观。所以华为也具有收集、使用微信聊天记录的权利。
从个人信息保护的通用法律框架来看,用户使用微信,用户是个人信息主体,微信是个人信息控制者。无论是《网络安全法》还是国外的个人信息保护法律,主要是规范个人信息主体和个人信息控制者之间的法律关系。所以有了授权同意、最少够用、公开透明等公认的个人信息保护基本原则。
华为手机凭借其提供操作系统的特殊地位,能调用用户通过输入法输入的信息内容。但我们应该特别注意一点:即便信息先经过华为手机这一方再发到微信,在用户的合理、合法的期待中,微信是唯一的信息媒介,连接用户和聊天对象。用户发信息的场景是在微信聊天这个场景内,这中间过程中实际出现的,无论是输入法还是手机内部的存储器,都仅仅是用户的工具而已。
按照国际上通信的关于个人信息控制者的定义,个人信息控制者是“有权决定个人信息处理目的、方式等的组织或个人”。这里的关键词是“有权”和“控制”,华为手机并不满足能够控制个人信息处理目的、方式的条件。
国家标准《个人信息安全规范》(草稿)对收集的定义非常明确——获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、收集公开信息间接获取等方式。
从法律的角度来看,个人与微信之间产生法律关系,这是用户的合法正当的期待。即便在事实层面,华为手机确实参与到这个过程中,但它的角色更多的是没有自主意识的锤头、斧子、钉子这样的工具。
数据属不属于用户?
在很多人的直觉中,聊天内容归用户所有。华为提出“数据是用户的”,其潜台词是用户的授权是可以压过《网络安全法》赋予微信把关人的角色。不过,目前法律并不支持数据属于用户这个说法。
大多数人的直觉应当给予足够的尊重,毕竟法律一个非常重要的功能就是符合、支撑社会大众的正当预期。但是还应当看到,我们之所以能用非常方便、非常多样的形式和我们的朋友、亲人聊天,是因为微信的存在、微信的创新。换句话说,聊天信息的内容是我们个人产生,但是其展现形式和传输依赖于微信。
为了鼓励互联网公司持续不断地创新,应当尊重微信在其中的付出,给予微信对聊天内容和记录把关人的地位和第一收集、利用者的角色,鼓励、支持其对自身的付出取得相应合理的回报。这是个政策判断,不是个法律判断。
再进一步,聊天内容可以被区分为两层:一是聊天内容传递的信息和含义,这无可争议归用户所有;二是聊天内容的保存形式,即是一串串0和1的组合,微信可以对这些数据把关、收集、利用。也就是说,用户可以把聊天内容的信息和含义分享给华为。但是,华为如果要直接访问表征用户“准备几点在哪里吃饭”的那一串0和1,只能通过微信,而且微信必须事先同意。
简单地说,聊天内容属于用户所有。这句话既对也不对。我们应当尊重两边。用户能够分享自己的信息和含义给任何一方,但是华为要访问具体的比特字符,还是需要微信的事先同意。
华为须说明如何获得授权是关键
上述规定和要求,进一步巩固了数据收集方把关人的地位,也面临着可能助长数据垄断、不正当竞争等问题。比如或会出现某企业以保护数据安全为由,拒绝其他企业对数据的访问。菜鸟和顺丰之前的争议就涉及这个问题。
避免垄断、不正当竞争等问题的路径主要有几种:一是确认用户有数据携带权,目前国内法律框架中并没有相关规定;二是华为提出诉讼,用不正当竞争等事由来强迫微信同意,这种路径很难;三是国家从公法角度确立数据访问权的公法框架,不过,以公法角度来切入私法领域的争议非常大,目前全球领域内只有非常少量的相关立法。
此外,华为提出“荣耀Magic设备上处理用户数据之前经过了用户的授权”,也牵扯出用户授权提取信息的法理争论。
对于个人敏感信息的收集、使用,简单地埋在长长的隐私政策文本中并不可取,至少应该用“增强式告知”,即独立于隐私政策文本之外,在用户注册账号、安装程序、首次使用时弹出告知界面。这个界面的内容应当浓缩隐私政策的核心内容,或者突出展示了用户最关心的信息。若华为想收集用户的聊天记录,则应该突出告知用户并征求用户的授权同意。如果为了进一步确保这个同意真实有效,华为还应当使用“即时告知”的方式,即针对个人敏感信息,单独、专门地告知,并再次征得用户授权同意。华为称自己获得了用户的授权并不够,说明如何获得用户的授权才是关键。
处理数据隐私欧盟门槛极高
欧盟的《数据隐私条例》(e-Privacy Regulation)目前处于草案阶段。与之前的《一般数据保护条例》相比,《数据隐私条例》更适用于个人通信内容。
根据目前草案的文本,欧盟委员会提出,尊重隐私生活,首先要求保障自然人电子通信的保密性。电子通信的保密性包含两个方面——内容和元数据。电子通信网络和服务提供商的保密性义务是首位的,在这点上,与我国《网络安全法》并无二致。对于电子通信内容能否对外共享利用的问题,《数据隐私条例》草案规定,电子通信网络和服务的提供商可以在以下两种情形中处理内容数据:仅当提供服务所必需且获得了终端用户的明确同意,同时只能用于向用户提供服务这个目的;所有的终端用户授权同意为特定目的而处理内容数据,且仅仅处理匿名化后的数据不能满足特定目的,同时提供商事先就此咨询了个人数据保护的监督部门。
从这个草案的规定来看,仅就微信向聊天内容提供推送相关服务信息来说,门槛已非常高,华为作为第三方,要想通过微信聊天内容来推送相关服务更是难上加难。
有人认为,欧盟设置如此高的门槛会阻碍互联网的发展,不过也有学者反对用这种观点将理性讨论一概拒之门外。