论网络平台隐私政策的效力——以格式条款为视角

doi:10.12677/ds.2024.1010399

期刊菜单

论网络平台隐私政策的效力——以格式条款为视角
On the Effectiveness of Privacy Policies on Network Platforms—From the Perspective of Standard Terms

DOI: 10.12677/ds.2024.1010399, PDF, HTML, XML,
作者: 李淼：四川省社会科学院法学所，四川成都
关键词: 隐私政策；个人信息保护；格式条款；Privacy Policy； Personal Information Protection； Standard Terms

摘要: 大数据带来信息技术和网络高速发展的同时也导致网络平台隐私政策侵权事件频发。通过对网络平台隐私政策的概念、功能、性质以及其格式条款属性的研究，以格式条款为视角，进一步探讨隐私政策格式条款的特殊性以及隐私政策格式条款规制的原则和规则。最后，将网络平台隐私政策的效力分为不成立、无效以及可撤销三种情形，基于现有的相关法律规定，探讨其可行性，并做出进一步的讨论，以在侵权责任请求权路径之外为网络用户提供一个新的救济路径选择。

Abstract: Big data has brought about the rapid development of information technology and the Internet, but it has also led to frequent incidents of infringement of privacy policies of online platforms. Through the study of the concept, function, nature, and format attributes of privacy policies on online platforms, from the perspective of format clauses, this paper further explores the particularity of privacy policy format clauses and the principles and rules of privacy policy format clause regulation. Finally, the effectiveness of privacy policies on online platforms is divided into three situations: non-establishment, invalidity, and revocability. Based on existing relevant legal provisions, the feasibility of these situations is explored, and further discussions are made to provide a new relief path for online users beyond the path of infringement liability claims.

文章引用：李淼. 论网络平台隐私政策的效力——以格式条款为视角[J]. 争议解决, 2024, 10(10): 23-29. https://doi.org/10.12677/ds.2024.1010399

1. 引言

截至2024年6月，我国网民规模近11亿，互联网普及率已达78%。¹在现实生活中，网络平台常通过隐私政策获取授权以收集和利用用户的个人信息，然而，人们在上网的过程中大多不会认真阅读或者不会阅读隐私协议，甚至会因为选择“不同意”，就被强制退出或无法使用而被迫接受隐私协议。隐私政策在提高沟通效率的同时，也威胁着用户的个人信息安全。以格式条款为视角，探讨隐私政策的效力问题有助于对隐私政策进行更有效地规制，进一步保障用户的个人信息安全。

2. 网络平台隐私政策的概述

2.1. 隐私政策的概念

在数字时代背景下，个人信息及其经济价值呈指数级增长，网络平台中收集、利用个人信息的情况愈发频繁。隐私政策作为网络服务提供者说明其收集、利用、保护用户个人信息的目的和具体方式的手段，如今得以在网络平台中被广泛运用。隐私政策最开始常以一系列条款的形式出现在网络服务协议中[1]，后随着对个人信息保护力度的加大，数字时代下，脱离网络服务协议单独设置隐私政策文件的做法在网络平台变得更加普遍。

隐私政策，是指网络服务提供者披露其收集、利用用户个人信息的目的、范围和方式等内容，并公示其保护用户个人信息的原则和具体措施[2]。网络服务提供者可通过隐私政策向用户告知其可能收集哪些个人信息、对这些信息如何收集、如何储存、如何使用、如何保护、如何删除及用户如何投诉等等，用户在对其充分知情后通过同意授权网络服务提供者在授权范围内收集、使用其个人信息。隐私政策虽有“隐私”二字，但主要是与个人信息处理相关的文件，故其也被称为个人信息保护政策。

2.2. 隐私政策的功能

隐私政策主要有三大功能，分别是告知功能、选择功能以及制约功能[3]。首先是告知功能，《个人信息保护法》在《民法典》的基础上细化了知情同意规则，并赋予了个人信息主体以知情权，知情权是个人信息保护的基础和前提，在数字时代下，个人信息的收集、存储、处理和传播日益频繁，信息主体只有在足够了解自己的信息被如何收集和使用的情况下，才能有效行使自己的权利以保护自己的相关权益。对此，网络服务提供者通过隐私政策告知用户将如何收集、使用、储存个人信息，履行相应的告知义务以实现个人信息处理的透明化。知情同意规则是隐私政策的法理基础，隐私政策的告知功能一方面体现在对信息主体知情权的重要保障，一方面是使得知情同意规则得以有效适用的前提条件。

其次是选择功能。基于个人信息自我控制理论，信息主体对个人信息享有控制权。一个合格的隐私政策应当为信息主体提供一定的选择空间，确保信息主体有权自主决定是否同意提供个人信息并接受相应的保护。这种隐私政策设计有助于增强信息主体对个人信息的控制权，保护信息主体的隐私和数据安全。根据自愿原则，信息主体可以根据自身的需求和偏好自行决定是否同意隐私政策的全部内容或者部分内容。

最后是制约功能。相比前两个功能主要是针对个人信息主体，制约功能主要是针对信息处理者。通过公开透明的隐私政策，可以最大化地对信息处理者进行制约，有效预防信息滥用和侵犯个人隐私的情况发生，保护用户个人信息安全。通过明确规定信息处理者需要履行的义务，隐私政策可以为信息处理者设立一系列制约机制，使其在违反义务时受到相应的制约，为用户提供更多保障，确保其个人信息不被滥用或不当处理。

2.3. 隐私政策的性质

隐私政策自其出现之日起，关于其性质的争议就从未停止，关于其性质，目前学理界主要有企业自律说和合同说两种主张。

一是企业自律说。企业自律说源于美国，该主张认为隐私政策不是网络服务提供者与用户之间的合同，而应是网络服务提供者的自律规则。隐私政策不同于网络服务协议，相比于网络服务协议具有的明确的双方权利义务关系，隐私政策权利义务关系模糊，涵盖范围宽泛，通常涉及个人信息的收集、使用、共享和保护等方面，很难将其定位为一般的合同。隐私政策在性质上界定为市场自律规则，使得行政机关有权在网络服务者违反隐私政策时对其进行处罚[4]。

二是合同说。部分学者认为网络服务提供者提供隐私政策可看作是要约，平台用户的同意则可看作承诺，隐私政策是网络服务提供者与平台用户之间关于设立有关收集利用个人信息相关法律关系的协议。作为建立在网络服务提供者与用户双方合意的基础上的协议，应当视为网络服务合同的一部分。此外，网络平台中用户个人信息的采集与利用应当受到合同法的规制，平台服务提供者具有提供相应服务的义务，用户则具有提供个人信息所隐藏的价值的义务，隐私政策具有其对应的给付内容[5]。

通过比较研究，以上两种主张实则是从不同角度来看待隐私政策，二者不存在不可避免的冲突，不是非此即彼的关系，对其进行辩证统一地看待更有利于对隐私政策的理解。一方面，隐私政策被视为纯粹的企业自律规则过于片面，其原因在于隐私政策除了涉及企业内部事项，更多涉及对用户个人信息的保护。将其界定为纯粹的企业自律规则也与隐私政策中知情同意规则的法理基础相违背，此外，纯粹的行政手段也难以实现对用户个人信息的保护。另一方面，一概将隐私政策认定为合同也不完全恰当。实践中存在仅需用户阅读知情不要求用户同意的隐私政策，该类隐私政策未在网络服务提供者和用户之间达成合意，无法构成合同。

3. 隐私政策格式条款的规制

格式条款在《民法典》中被规定为是当事人为了重复使用而预先拟定，在订立合同时未与对方协商的条款。在如今的经济活动中，格式条款因有助于节省缔约成本，在日常生活中扮演着重要的角色。格式条款由使用者向合同相对方提出，即单方面强加于相对方，会使得使用者将格式条款变成仅对自己有利而对对方不利的手段。虽然在使用格式条款时，合同自由(缔约自由)在形式上被维护，但实质上更多是一般格式条款使用者的单方面强制。隐私政策具有格式条款的属性，可以通过格式条款对其进行规制。

3.1. 隐私政策的格式条款属性

根据《民法典》的相关规定，可以看出格式条款具有重复使用的目的、预先拟定以及订立合同时未与对方协商三个要素。

首先，关于具有重复使用的目的。尽管目前理论界对此还存在争议，但若否定该要件，则违背了合同自由的要求，扩大了调整范围[6]。网络服务提供者发布隐私政策所针对的对象是不特定的有意使用该特定服务的网络用户，网络服务者主观上具有重复使用的目的，隐私政策客观上也具有被重复使用的可能性，故可以认定隐私政策具有格式条款中重复使用目的的要素属性。

其次，关于预先拟定。相较于一般合同拟定过程中需要当事人之间进行协商，格式条款应当在合同订立前预先拟定，并对合同双方当事人产生约束力。隐私政策恰恰是网络服务提供者在与用户签订合同前就已经拟定好的，是网络服务提供者单方意志的体现，符合格式合同条款预先拟定的要素属性。

最后，关于订立合同时未与对方协商，该要素常被看作是认定格式条款的关键。格式条款提供者在制定隐私政策时，往往具有经济实力、信息技术等多方面的绝对优势，使得相对方没有讨价还价的能力，一定程度上违背了意思自治原则，无法做到真正的合同公平。隐私政策由网络服务提供者向网络用户提出，即单方面强加于用户，实践中网络用户往往因不同意就无法享受服务而被迫同意隐私政策，有必要运用格式条款规制来规制隐私政策，以保障网络用户的个人信息安全。

3.2. 隐私政策格式条款的特殊性

网络平台隐私政策依托于网络虚拟环境，由海量个人信息以及所带的巨大价值催生得来，相较于传统格式条款，隐私政策具有其不可忽视的特殊性。

首先，隐私政策以用户点击同意作为合同缔结方式。隐私政策依托于虚拟的网络环境，需借助超链接等方式提供隐私政策。相比于线下格式条款的签名或盖章同意，网络平台隐私政策在订立时，用户不能同网络服务提供者进行沟通协商，往往通过点击或勾选同意选项来表示承诺缔结合同。

其次，《个人信息保护法》对于不满十四周岁的未成年个人信息进行了特殊规定，故在隐私条款的表现形式上应当为未成年个人信息处理作出特别规定。对此，目前网络平台有多种具体的表现形式，一是划分年龄段，对于不同年龄段设定不同的规则；二是针对十四周岁的未成年人制定独立的隐私政策；三是严格按照法律规定，核实用户身份，对于未成年人，应征得其监护人的同意。

最后，隐私政策的特殊性还表现在所涉法律关系复杂和内容的动态变化上[7]。对于法律关系的复杂表现在所涉主体较多、所涉客体复杂以及所涉权利义务关系非典型三个方面。由于个人信息流转能带来巨大的价值，隐私政策基于个人信息流转，信息与多方主体关联，使得隐私政策所涉主体复杂。隐私政策的客体为用户个人信息和提供的网络服务，具有广泛性和复杂性。所涉权利义务关系非典型，主要体现在网络服务提供者在收集使用用户个人信息的同时还负有保障用户个人信息安全的义务。

3.3. 隐私政策格式条款规制的原则和规则

《个人信息保护法》第五、六条规定了必要性原则和目的正当原则。其中，对于必要性原则，通过对《个人信息安全规范》第四条的解读有助于对其进行更深层次的理解，个人信息的收集和使用应该有明确的目的，且不得超出必要范围，在收集、使用和处理个人信息时，应尽量减少收集的信息数量，只收集和使用达到特定目的所需的最小信息量。此外，个人信息的使用应限制在与收集目的相关的范围内，不得超出必要范围进行额外处理或使用，在达到收集目的后立即停止使用，并在一定时间内删除或匿名化，不得无限期存储[8]。目的正当原则要求网络服务提供者处理个人信息应当具有明确、合理的目的，且应当在隐私政策中向用户披露可能会收集哪些信息、如何使用处理信息以及可能产生的风险等等事项，以便用户可以自行进行风险预测，并在此基础上做出是否同意该隐私政策的决定。

隐私条款相较于一般的格式条款，其在提示说明的标准程度上应当更为详细和严格，对于隐私政策中网络服务提供者的告知义务，应达到足以引起网络用户注意的显著程度，对于关于个人信息的表述须更加清晰以便于用户理解，在内容上真实准确完整。与网络服务提供者更重要的提示说明义务相对应的是用户的同意也应偏向于看实质而非看形式，应当从实质层面看用户是否是在充分知情的条件做出的有效同意。

4. 格式合同视角下隐私政策的效力

4.1. 隐私政策条款不成为合同内容的认定

《民法典》第496条规定提供格式条款的一方未履行提示或者说明义务，致使对方没有注意或者理解与其有重大利害关系的条款的，对方可以主张该条款不成为合同的内容。隐私政策作为特殊的格式条款当然适用496条之规定。

首先，关于“格式条款提供者未履行提示或者说明义务”的认定。目前，大部分隐私政策提供方通常以字体加粗或加大字号等方式履行提示义务，少部分会使用红色字体或者黄色突出显示。网络服务提供者是否履行了合理的提示说明义务，重点应当在于能否足以引起用户注意。这里应当区分注意和理解，用户注意到并不等于用户已经理解，若网络服务提供者已经尽到了合体的提示说明义务，但用户没有理解或者错误理解，该隐私政策条款应当成为合同内同，只不过后续会在如何解释上按照格式条款解释顺序做进一步的解释，这种推定格式条款有效的规则即适用推定效力规则[9]。实践中，隐私政策常带有内容冗繁、用词专业晦涩等情况，如《抖音用户服务协议》共有13387个字，其中加粗字体占比近一半，“垂直搜索”等专业词汇频繁出现，大大降低了用户的阅读意愿。但这并不影响其成为合同内容，只会影响后续如何对其进行解释。除此之外，页面误导等情况也应如此。对于用户因为个人原因未注意或者未阅读隐私条款的情形，也可以适用推定效力规则，推定用户放弃知情权。

此外，关于“与其有重大利害关系”的认定。目前我国相关法律法规并没有对此问题做出明确规定，通过对实践中相关案例的总结，实务中对此普遍采用视具体情况而定的方法，但这样也变相导致了对此问题认定的混乱。对此，我们可以采用通常理解予以认定，即按照客观大众的理解初步判断是否与用户有重大利害关系。同时，为了维护交易的安全与稳定，我们还应当采取适用推定效力规则，对此发生争议，根据民法典先按照通常理解予以解释，若还存在争议，还可以做出不利于网络服务提供者的解释[10]。

4.2. 隐私政策条款无效的认定

根据《民法典》第497条规定，格式条款的无效主要有以下三种情形。一是属于本法总则部分或其他导致条款无效的事由；二是格式条款提供者不合理地免除或者减轻自己责任、限制对方主要权利；三是格式条款提供方排除对方的主要权利。其中，对于不合理地免除或减轻自己责任、限制对方主要权利导致隐私政策无效的认定一直是大家讨论的重点。

对于“主要权利”的理解，应当依照隐私政策的性质予以界定。隐私政策相比于一般的格式条款，由于其可能侵害用户的个人信息安全，故应当重点关注该主要权利是否包含或涉及知情权、决定权以及解释权，如果网络服务提供者提供的隐私政策限制或者剥夺了平台用户的此类权利，应当被认定为属于排除或不合理的限制对方的主要权利，该隐私政策认定为无效。同时，对于解释权部分，部分学者还认为应当采用“理性人”标准以判断是否排除或限制了对方的解释权，即网络服务提供者所履行的解释义务应当达到一个掌握相关知识和经验的同类网络服务提供者所应具有的解释水平和程度。

数字时代下，随着信息技术的高速发展，自动化决策得到广泛应用，信息茧房、算法歧视等问题随之而来。《个人信息保护法》第24条就对此做出了回应，其中第3款对“对个人权益有重大影响”和“仅通过自动化决策方式”做了相应的限制，要求对用户予以说明和用户有权拒绝。但由于未明确该权利的内涵和外延，且实践中对完全自动化决策的认定难度较大，对于是否达到认定隐私政策条款无效，并不明晰。困于自动化决策算法技术的专业性和技术性，网络服务提供者在隐私政策范围内的说明无法保障信息主体的知情权。

最后，《个人信息保护法》的出台表明了需要对敏感个人信息进行特别的保护。然而目前生活中的大多数APP的隐私政策并未满足法律所要求的需要特定目的或是充分必要的，且对敏感个人信息应取得的单独同意。隐私政策常依据一揽子式的概括同意方式，通过用户的一键式同意授权，在很长一段时间内不间断地收集利用用户的敏感个人信息。网络服务提供者通过不合理的方式扩大对用户敏感个人信息授权同意的理解，属于变相的不合理地排除用户对敏感个人信息的决定权，此类隐私政策应当被认定为无效[11]。

4.3. 隐私政策条款可撤销的认定

目前，我国《民法典》并没有延续之前合同法中所规定的格式条款可撤销的情形，但若符合《民法典》总则篇中可撤销法律行为的相关规定，对于该隐私政策是否可撤销，目前学界存在不同的看法。

对于《民法典》总则篇中的一般民事法律行为可撤销的判断，应当考虑到线下环境与网络平台的差异，隐私政策可撤销情形无法与一般可撤销情形保持完全一致。对于存在重大误解导致的隐私政策可撤销情形，用户可以根据误认网络服务提供者等情形请求撤销隐私政策，但该请求权实现路径较为困难，多种情况可以由该隐私政策条款不订入合同内容替代。对于存在显失公平导致隐私政策可撤销的情形，显失公平的根本目的在于避免优势方对合同协商弱势的利用，保障合同公平与合同自由，并非是等价交换理念的完全体现[12]。对于网络平台中的隐私政策，由于格式条款的属性，在订立隐私政策过程中用户处于天然的弱势地位，故需要更加慎重地判断用户与网络服务提供者是否形成了明显的给付失衡。对于不同意隐私政策则无法只用该软件，且该隐私政策同时并不符合收集个人信息的必要性和正当性，则可以认定达到明显失衡的标准，属于隐私政策条款可撤销的情形。法院在判定隐私政策条款是否显失公平时，会考虑程序和实质两方面，程序上主要表现为双方不对等地位下缺乏谈判产生的压迫条款和隐藏合意的隐形条款，显失公平在实质上常体现为过于严苛的条款或单方获利的结果。显失公平因缺乏统一的认定标准，需要法官进行个案判断，对此不同的法院有不同的解释方法，如美国部分法院采取“滑动标尺法”[13]。

5. 结语

隐私政策作为网络服务提供者为用户提供服务的前提，直接关系到用户个人信息的安全。然而，随着大数据时代的到来，网络平台对个人信息的收集、使用和保护方式也面临着新的挑战。隐私政策具有格式条款的属性，在格式条款视角下，对网络平台隐私政策的效力进行研究是非常重要的，探讨隐私政策效力之不成立、无效以及可撤销的效力情形，以确保隐私政策能够真正发挥其保护用户个人信息的最大作用，为构建安全的网络环境提供坚实的法律保障。

NOTES

¹参见第54次中国互联网发展状况统计报告发布。

参考文献

[1]	何培育, 王潇睿. 智能手机用户隐私安全保障机制研究——基于第三方应用程序“隐私条款”的分析[J]. 情报理论与实践, 2018, 41(10): 40-46.
[2]	高秦伟. 个人信息保护中的企业隐私政策及政府规制[J]. 法商研究, 2019, 36(2): 16-27.
[3]	苏晶晶. 论隐私政策协议的法律效力[D]: [硕士学位论文]. 天津: 天津师范大学, 2023.
[4]	王叶刚. 论网络隐私政策的效力——以个人信息保护为中心[J]. 比较法研究, 2020(1): 120-134.
[5]	郑佳宁. 知情同意原则在信息采集中的适用与规则构建[J]. 东方法学, 2020(2): 198-208.
[6]	李宇. 民法典分则草案修改建议[J]. 法治研究, 2019(4): 17-35.
[7]	田怡亭. 个人信息处理格式条款效力研究[D]: [硕士学位论文]. 武汉: 中南财经政法大学, 2022.
[8]	项定宜. 个人信息处理必要性原则的规范体系研究[J]. 北方法学, 2021, 15(5): 27-37.
[9]	杨显滨. 网络平台个人信息处理格式条款的效力认定[J]. 政治与法律, 2021(4): 14-25.
[10]	朱庆育. 民法总论[M]. 第2版. 北京: 北京大学出版社, 2016.
[11]	程啸. 论我国个人信息保护法中的个人信息处理规则[J]. 清华法学, 2021, 15(3): 55-73.
[12]	李潇洋. 论民法典中的显失公平制度——基于功能主义的分析[J]. 山东社会科学, 2021(5): 187-192.
[13]	蔡睿. 显失公平制度的解释论定位——从显失公平与公序良俗的关系切入[J]. 法学, 2021(4): 77-94.

为你推荐

友情链接