原标题:狂欢的“红娘”与失序的婚恋平台
智道
栏目主持人:於兴中
在这场“红娘”的狂欢中,企业的自律机制为何失灵了
□曹骓序 张小曦
《诗经》云:“娶妻如何,匪媒不得。”冰人本是“为他人作嫁衣”,但近日,以婚介为业的世纪佳缘网却闯祸了。据报道,该网允许工作人员在后台浏览用户聊天记录等信息,以获取用户择偶喜好,进行所谓的精准营销。
此事引来一片哗然。要知道不久前,世纪佳缘等婚恋网曾签署了保护用户隐私的自律公约。12月7日,世纪佳缘发布道歉声明,并移除允许员工自由浏览用户信息的功能。不过,公众似乎对此却不买账。引人深思的是,在这场“红娘”的狂欢中,企业的自律机制为何失灵了?
失序的婚恋平台
从婚恋网站的商业模式来看,用户提供个人信息是该商业模式运转的关键。在账号注册阶段,用户需向世纪佳缘网提供性别、身高、收入、年龄、婚姻状况、教育背景等详尽的个人信息。类似的婚恋网站均如此要求。显然,此类庞大且极其隐私的信息无疑是婚恋平台的商业矿脉。
世纪佳缘一度为员工提供了可以查看用户信息的后台系统。通过该系统,销售人员每天可以“捞取”上百条会员信息,自由获取用户浏览过的异性情况、聊天记录等内容,进而进行电话或短信营销轰炸。据称,某门店一个月可呼出3万余通电话,发送十万余条信息。
自合同法的角度观之,用户与世纪佳缘之间达成了居间合同,平台有义务为用户介绍合适的对象或机会。在正常情形下,员工根据用户的交友偏好提供个性化服务,似乎无可厚非。但本案却没有那么简单。
为了宣示自己保护用户隐私的决心,世纪佳缘网在官网上公布了详尽的隐私政策。我国通说将隐私政策界定为格式合同,若隐私政策不存在排除消费者主要权利等情形,自然属于有效条款。
讽刺的是,世纪佳缘却违反了自己精心起草的文本。例如,《世纪佳缘隐私保护政策》规定,“若世纪佳缘使用您的个人信息,超出了与收集时所声称的目的及具有直接或合理关联的范围,世纪佳缘将以合理的方式向您告知,并在使用前再次征得您的同意”。显然,就短信或电话营销而言,世纪佳缘并未征得用户的事前同意。
我国个人信息保护法规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。我国民法典也规定,除法律另有规定或者权利人明确同意外,任何组织或者个人不得以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。
但纵观世纪佳缘的隐私政策,其不仅未告知用户将使用其信息进行营销,也未明确告知收集其浏览记录等信息的目的,更遑论给予用户消费者权益保护法等法律规定的拒绝接收营销信息的权利。
显然,这是一种侵犯个人信息与隐私权的行为。对于个人信息保护而言,透明性是很重要的价值追求。有鉴于此,欧盟GDPR(通用数据保护条例)规定了数据主体的知情权,要求处理者在采集个人信息前告知数据主体采集的目的、信息类型等“隐私信息”。我国个人信息保护法也规定,处理个人信息要遵循公开、透明原则。
需被认真对待的“聊天记录”
有论者谓,世纪佳缘“窃取”了用户信息,这一论断并非危言耸听。笔者认为,婚恋平台用户的浏览历史、聊天记录等内容不仅是个人信息,而且是敏感个人信息或隐私,应获更严肃的对待。
我国在民法典中采取了隐私与个人信息的二元区分机制。如私自偷窥或泄露该等信息,无疑构成个人信息侵权与隐私侵权的竞合。
按我国个人信息保护法规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身财产安全受到危害的个人信息”。从内容上看,相较于一般个人信息,用户与异性敞开心扉的聊天自然有更强的私密性。其不仅可能涉及私密情话,而且可能涉及金融账号或金钱往来。一旦泄露,不仅可能造成对用户人格的贬损,而且可能危及其财产安全。
从媒体曝光的情况来看,聊天信息中不乏“我是腿控,你能拍张照片给我看看吗”等露骨话语。在国外,也不乏这样的信息收集现象。
今年,美国婚恋平台MeetMindful曾发生泄露超过1.2GB用户个人数据的事件,其中包括约会偏好、“身体细节”等信息。对此,世纪佳缘部分员工却不以为意,认为这是成人之美。“他喜欢长头发的,你就说长发,照着他看过的异性条件描述就行了。”
从内容上看,此类个人信息无疑构成用户的隐私。我国民法典第一千零三十二条规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
对于这种敏感个人信息,企业在进行采集或使用时,应征得用户的单独同意。世纪佳缘在隐私政策中表示,当用户使用世纪佳缘的相亲交友功能时,“世纪佳缘将收集以下信息:a)关注、浏览偏好及您的操作、使用行为信息;b)反馈、相亲房间发言、打赏及您主动提供的信息”。但这显然是一种不合规的概括性同意,未以醒目的方式提示用户并征得其单独同意。上述规定所针对的场景也只是“相亲交友功能”,而并非针对世纪佳缘员工的私自偷窥聊天记录等行为。
外部监督机制是否为破局良策?
事发当天,世纪佳缘就发表致歉声明,并提出了“涉事门店整改”“全员学法”“考核上岗”“处罚责任人员”等措施,但舆情危机却未得到化解。为何公众拒绝相信企业的整改与道歉?事实上,世纪佳缘的用户信息保护问题由来已久。
2020年7月,世纪佳缘APP因存在私自收集个人信息等侵害用户权益的行为而被工信部通报。更为讽刺的是,世纪佳缘此前曾签署各类自律公约,但单靠自律似乎并未促使企业切实采取措施保护用户隐私。
既然内部性的自律机制失效,那外部监督机制是否会成为良策?我国个人信息保护法第五十八条规定,“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。
目前,监管部门尚未就独立机构的人选条件、架构设置与运行方式等出台细则。但可以肯定的是,世纪佳缘号称注册用户高达2.2亿,理应遵循该条规定。
我国不少学者肯认此类外部监督机制的作用,认为有助于增加企业隐私合规的透明性,却也表达了对其“独立性”的担忧。
清华大学法学院教授程啸认为,此种独立机构类似于上市公司的独立董事,独立机构的成员和个人信息处理者不能存在隶属关系,独立机构不对个人信息处理者负责。中国人民大学法学院教授张新宝也认为,独立机构与企业难免存在利益冲突,而如何保障独立性是其成败关键。
这种担忧亦曾发生在大洋彼岸。2019年7月,美国联邦贸易委员会(FTC)与脸书公司达成和解。和解令要求脸书成立一个独立于本公司董事会的隐私委员会,由独立的外部提名委员会任命成员。只在绝大多数脸书董事协商一致后,方可解雇委员会成员。隐私委员会将负责遴选合规官、隐私评估员。脸书时任首席执行官扎克伯格和指定的合规官要向FTC提交季度证明、年度证明,以说明公司如何在隐私政策方面遵守和解令。
2020年5月,脸书公布了委员会成员名单。隐私委员会现有3位成员,其均为脸书现任董事,分别是佩吉·阿尔福德、南希·基勒弗和罗伯特·M·金米特。其中,南希·基勒弗担任隐私委员会主席,她曾是前麦肯锡合伙人。
脸书公布了该委员会的职责:“在组建隐私委员会的过程中,我们的董事会已将监督隐私和数据相关风险的责任委托给了隐私委员会。包括管理层定期评估我们的隐私计划以及任何与风险评估和风险管理相关的政策。”
对该隐私委员会,却不乏批评的声音。有论者认为隐私委员会流于形式,并未对脸书运营者提出新的要求。
在婚恋平台这一场场红娘的营销狂欢中,平台运营者存在诸多令人诟病之处。世纪佳缘的错显然并非一纸致歉声明便可化解,而内部自律机制的失灵显然预示着企业与监管者需要进行一番守法与执法的变革。
笔者想强调的是,文辞优美而略显炫技的隐私政策似乎成了不可告人的遮羞布。近年来,国内企业在隐私政策或用户协议的写作上越来越炫技,冗长而缺乏可读性,让人不知所措。这种形式或文本意义上的合规举措无疑产生了负外部性。实际上,我们需要直面一个严峻的课题:如何促使企业从形式合规走向实质合规?
责编:王硕