論網絡服務提供者的“信義義務”

論網絡服務提供者的“信義義務”

文/張浩倫，上海交通大學凱原法學院

目前，網絡服務提供者對個人數據的收集已經超越傳統的身份數據、位置數據和網絡瀏覽數據范圍，對數據的挖掘利用程度也普遍超出“保證網絡交易行為達成”的“一次使用”1需要。以支付寶為例，其收集數據主體身份數據的范圍由身份證、銀行卡號、手機號信息拓展到了利用新型硬件技術采取的外貌數據和指紋數據等，2幾乎涵蓋了數據主體在使用該軟件時所能產生的一切行為痕跡。為了平衡網絡服務提供者與消費者之間的利益，網絡服務提供者在這些行為過程中必須履行“信義義務”。

1 信義義務來源：個人數據權益保護困境

1.1 我國數據權益保護規則：以支付寶為例

根據支付寶披露的信息，其對自身的數據服務行為要求可總結為四項基本原則：合法性原則、目的限制原則、知情同意原則和嚴格保密原則。3其中，合法性原則是指：（1）收集數據的行為不得違背法律規定；（2）應在法律允許的收集內容中為數據主體留出拒絕收集的空間；（3）根據法律規定可以強制收集部分數據主體數據。目的限制原則是指對數據的存儲期限、使用范圍等僅以隱私權政策列舉的目的為限。知情同意原則是指：（1）對數據的存儲、跨境流通和使用需要以數據主體授權為前提；（2）對數據存儲、使用等期間出現的風險應向數據主體告知，并主動提供可行的補救方案。嚴格保密原則是指：（1）進行數據共享、轉讓和公開披露需要遵行嚴格保密原則，只在合理評估風險的前提下將數據向第三方共享，非經數據主體授權或法律規定不對數據進行轉讓或任意的公開披露；（2）對數據服務工作人員適用最小夠用授權原則，嚴格限制工作人員對數據的接觸能力。

1.2 網絡空間個人數據保護的現實困境

數據收集階段作為數據提供者的數據主體與數據的權屬脈絡還有跡可循。但在數據分析、加工和處理的“二次使用”階段，卻很難分辨數據真正的權屬主體。數據進入“二次使用”階段經過了用戶、商家、電商平臺乃至第三方數據分析公司等多方主體的交互作用，雖然在形式上依然以“人”為主體，描述數據主體的各項信息，實質上卻蘊含了網絡服務提供者、商家、數據分析公司乃至電信運營商等主體的智力和勞力投入。若是簡單依據數據的人格特征將數據納入隱私權的絕對保護之下，無疑是對其它參與主體權利的侵害，必然引發公眾利益損害的嚴重后果。

2 信義義務原則：平衡網絡服務提供者與數據主體利益

若將網絡服務提供者與數據主體的關系理解為信義關系，并使網絡服務提供者對數據主體承擔信義義務，可以對數據主體權益進行較好保護。理由在于數據主體與網絡服務提供者表面上看是平等自愿的合約自由關系（如數據主體自愿簽署支付寶隱私權政策協議并提供數據），但實質卻是一種不完全合約關系：如支付寶即在其隱私權政策中主動說明在數據分析、加工或使用等過程中可能存在雙方或第三方難以掌握或證實的情況4，充分說明特別是在“二次使用”情境下人具有有限理性，通常很難在事前規定出難以預料的情形。因此，數據主體容易受到欺詐、誤導性陳述或不知情等不公平待遇，還容易承擔網絡服務提供者造成的“負外部性后果”5。根據信息不對稱理論，這種事實上的不平等關系可構成數據主體與網絡服務提供者的委托代理關系，6網絡服務提供者需回應數據主體的信賴履行信義義務，在合理限度內為數據主體的最大利益行事。

3 信義義務內容：網絡服務提供者信義義務具體規則

結合以上針對信義義務來源和原則的分析，筆者認為，信義義務的內容應當包括以下具體三項規則：

第一，忠實規則。該原則包含四項要求：（1）網絡服務提供者必須誠實行事，不得利用其身份、地位、知識或者機會為自己或者第三方謀取利益，并盡力避免與數據主體發生利益沖突；（2）網絡服務提供者應在雙方協議范圍內進行數據分析、加工或處理；（3）網絡服務提供者不能與第三方有任何關聯關系，除非數據主體知情同意并提供法律授權；（4）網絡服務提供者應為數據主體的最大利益服務。

第二，注意規則。內容具體如下：（1）謹慎、認真、勤勉地進行數據分析、處理和使用，保證其行為符合法律規定；（2）公平對待所有數據主體，不因數據主體身份、地位、知識等差別進行不同程度的數據挖掘；（3）設立專門的數據分析部門，隨時掌握數據狀況；（4）對社會公眾定期披露數據收集范圍、數據處理技術以及數據利用程度的變化，確保披露信息真實、準確、完整；（5）如實向監管部門提供有關情況和資料，不得監管部門行使職權。

第三，激勵規則。在數據服務的法律規制中引入被稱為英美法中“最嚴厲義務”7的信義義務，目的并不是犧牲網絡服務提供者的合理訴求而過度保護數據主體的權益，因此，須采取合理的激勵機制，將對網絡服務提供者的獎懲與其行為后果結合起來。具體而言，一方面應對網絡服務提供者的盡職行為予以獎勵，例如以合理的服務費形式就其為滿足數據主體特別需求提供的某類“二次使用”類服務收取費用；另一方面應對網絡服務提供者違反前述兩項規則的行為予以懲罰。但是，這項規則的執行當以尊重當事人意思自治的原則為前提，若雙方的數據服務協議文件中有網絡服務提供者接受報酬條件的約定，才能被承認具有法律效力。

4 結語

數據主體與網絡服務提供者表面上看是平等自愿的合約自由關系，但二者在市場中并非出于完全對等的地位。通過規定網絡服務提供者的信義義務，網絡服務提供者在運作過程中需在合理限度內為數據主體的最大利益行事。從而能夠實現二者間的利益平衡和法益保護。

注釋

1數據“一次使用”指個人或組織直接獲得的數據過程，如在購物網站購買商品時注冊的賬號、填寫的個人收貨信息等都是平臺或商家為了保證交易順利進行而對消費者個人隱私數據的 “一次使用”。參見顧理平，楊苗：《個人隱私數據 “二次使用”中的邊界》，載《新聞與傳播研究》2016年第9期。

2參見螞蟻金服：《支付寶隱私權政策》，https://docs.alipay.com/policies/privacy/alipay#c1，2017年11月7日最后訪問。

3同注3。

4同注3。

5汪其昌：《信義關系: 金融服務者與金融消費者關系的另一視角》，載《上海經濟研究》2011年第6期。

6同上注。

7徐曉松，徐東：《我國〈公司法〉中信義義務的制度缺陷》，載《天津師范大學學報（社會科學版）》2015年第1期。