<output id="5zixi"></output>
<output id="5zixi"><legend id="5zixi"></legend></output>
<p id="5zixi"><del id="5zixi"><div id="5zixi"></div></del></p>

<tr id="5zixi"><label id="5zixi"></label></tr>
<p id="5zixi"></p>
  • <tr id="5zixi"><label id="5zixi"></label></tr><td id="5zixi"><ruby id="5zixi"></ruby></td><acronym id="5zixi"><meter id="5zixi"></meter></acronym><object id="5zixi"><strong id="5zixi"><address id="5zixi"></address></strong></object>

    丁曉東的個人空間

    博客

    個人信息權利的反思與重塑

      一、問題的提出
     
      個人信息保護在中國已經提上日程。2012年,全國人大常委會審議通過了《全國人民代表大會常務委員會關于加強網絡信息保護的決定》,開啟了個人信息的法律保護之路。2015年,《刑法修正案(九)》規定了侵犯公民信息罪,將“違反國家有關規定,向他人出售或者提供公民個人信息”的所有主體都納入刑法調整范圍。2016年,《網絡安全法》對個人信息保護作出了規定,規定網絡運營者收集個人信息應當遵循合法、正當、必要的原則,而且應當獲得個人的知情同意。2017年,《民法總則》又在第 111 條規定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”2020年,全國人大常委會將制定《個人信息保護法》,可以預見在不久的將來,就會有專門的《個人信息保護法》出臺。
     
      伴隨著國家的立法進程,圍繞著個人信息權利的理論探討也成為熱點,學術界從不同角度對其進行了討論。例如就個人信息權是否成立的問題,有的學者主張個人信息可以成為一種權利;[1]有的學者認為個人信息是一種利益,不足以成為一種權利;[2]還有的學者則主張一種個人信息被保護權或個人信息相關權益被保護權,認為個人信息是一種保護相關權益的工具。[3]有的討論則關注個人信息權利或利益的屬性問題,例如有的學者認為個人信息所要保護的是個人的人格性利益,[4]有的學者認為個人信息所要保護的是個人的財產性利益,[5]有的學者則指出個人信息所保護的是個人的安全利益,[6]有的學者指出個人信息上還附著了他人利益與公共利益。[7]此外,還有的討論則從部門法的角度對個人信息進行探討,就部門法性質而言,有的學者主張個人信息權利是一種憲法性權利或基本權利,[8]有的學者則認為個人信息權利是一種私法性權利。[9]就部門法保護手段而言,有的學者重點從公法的角度對個人信息保護進行闡述,[10]有的學者重點從私法角度對個人信息保護進行分析。[11]學者們的共識是:傳統的隱私權已經不足以保護公民的合法權益,法律需要從隱私權保護轉向個人信息權利或權益的保護。[12]
     
      本文分享此種共識,并且從參與上述討論獲得了很多有益的洞見。但本文將關注一個更基礎性的問題:個人信息權利保護的適用前提與法益基礎。在本文看來,這一問題仍然討論不足。尤其是個人信息權利保護的適用前提,盡管個人信息權利保護的中文文獻已經浩如煙海,但中文文獻對這一問題的討論仍然處于空白。對這一問題不進行深入討論,就可能造成對個人信息權利保護原理與制度的誤解。
     
      本文從個人信息權利保護的適用前提切入,指出全球通行的個人信息權利保護制度只能適用于具有持續性信息不平等的關系,個人信息權利只能針對商業性或專業性收集個人信息的主體。無論是歐洲、美國還是國際組織的個人信息權利保護制度,都排除了純粹個人或家庭活動中的個人信息收集與處理,也排除了執法過程中的信息收集與處理。離開這一前提談論個人信息權利保護,就無法正確認識個人信息權利保護的法益基礎和基本原理,也無法正確設計個人信息權利保護的法律框架。
     
      在此基礎上,本文歸納了侵權隱私、執法隱私與信息隱私(個人信息保護)三種不同的法律框架,指出當前以公平信息實踐為基礎的個人信息保護框架不能應用于侵權隱私與執法隱私。個人信息保護實際上采取了一種二元治理的框架,將個人正當程序權利與合作治理方法結合起來。這種治理框架既區別于傳統私法,也區別于傳統公法。由于個人信息權利總是針對信息能力不平等的關系性主體,因此個人信息權利的法益具有多元性,分析個人信息權利,也必須將其還原到具體場景的信息關系中,在信息關系中確定個人信息權利的邊界。
     
      二、持續性不平等信息關系:個人信息權利保護的適用前提
     
      在中文學術界,對于個人信息的保護往往會回溯和參照隱私保護的框架。眾所周知,沃倫(Smauel Warren)與布蘭代斯(Louis Brandeis)于1890年發表了《隱私權》,提出了隱私權的概念。[13]其后,這一權利分別被英美法系與大陸法系所繼承和發展。在美國,威廉姆·普羅斯(William Prosser)在侵權法重述中進行了歸納,將隱私侵權歸納為四種類型:對于獨處的侵犯(intrusion upon seclusion);未經他人同意公開私人事實(disclosure of private facts);公開扭曲他人形象致誤解(false light);擅自利用他人姓名或肖像為自身牟利(appropriation)。[14]在德國、中國等大陸法系國家,隱私權被歸入人格權的范疇,侵犯隱私主要以侵犯人格權的案由進行立案和救濟。[15]
     
      當個人信息權利保護被提上議程,很多研究自然而然地以侵權法的框架來分析個人信息權利保護問題,探討個人信息的權利類型、法益基礎與制度設計。但這里卻實際上有個前提性問題需要我們思考:個人信息權利保護是否可以針對所有活動中的所有主體?分析這一問題,可以發現個人信息權利中的知情權、選擇權、訪問權、糾正權、刪除權、攜帶權等權利,都只能對具有專業性或商業性收集能力的主體進行主張,這些權利既不能對日常活動中的個人信息收集與處理進行主張,也不能針對國家執法中的個人信息收集與處理進行主張。個人信息權利保護的這一前提性問題,至少可以從三個方面的論據進行證明。
     
      第一,不同國家和地區的法律都表明了這一點。以歐盟《一般數據保護條例》為例,其適用首先排除了平等主體之間的信息收集與處理。第2條第2款(c)項規定:“自然人在純粹個人或家庭活動中所進行的個人數據處理”不屬于《一般數據保護條例》的調整范圍。[16]《一般數據保護條例》“重述”進一步指出:“本條例不適用于自然人在純粹個人或家庭活動中與專業或商業活動無關的個人數據處理。個人或家庭活動包括:通信和持有地址,或在此類活動范圍內進行的社交活動和在線活動。”只有對于“為此類個人或家庭活動提供處理個人數據手段的控制者或處理者”,《一般數據保護條例》才能適用。[17]其次,《一般數據保護條例》還將“有關主管部門為預防、調查、偵查、起訴刑事犯罪、執行刑事處罰、防范及預防公共安全威脅而進行的個人數據處理”排除在外,[18]此類個人數據或個人信息的收集與處理也受法律規制,但其規制方式與《一般數據保護條例》以及通行的個人信息權利保護制度有很大區別。[19]因為此類個人信息收集的主體雖然和個人之間也具有不平等的信息能力,但二者不具有持續性的信息關系。
     
      美國的個人信息權利保護法律制度同樣表明了這一點。以美國的領域立法為例,美國的《家庭教育權利與隱私法》(Family Educational Rights and Privacy Act of 1974)的規制對象是公共機構,如潛在雇主、公共資助的教育機構和外國政府。[20]美國的《1974年隱私法》(Priva-cy Act of 1974)的規制對象是美國聯邦規制機構收集與處理個人信息,[21]美國的《健康保險可攜帶性和責任法》(Health Insurance Portability and Accountability Act)的規制對象是醫療保健提供方、提供或支付醫療費用的實體、醫療信息交換所、商業伙伴等實體。[22]美國的《兒童在線隱私保護法》(Children's Online Privacy Protection Act)的規制對象是在線收集兒童信息的網站等主體。[23]這些法律都將個人信息權利保護的范圍限定在具有持續性不平等信息關系的主體之間,既排除了個人日常活動中的信息收集與處理,也排除了政府執法中的個人信息收集與處理。對于政府執法中的個人信息權利保護,美國法律和歐盟一樣,都以特殊的法律框架來加以規制,例如以憲法第四修正案以及相關聯邦立法來規制。[24]美國州層面的立法更說明了這一點,例如2020年1月1日生效的《加州消費者隱私法》,顧名思義其規制對象主要是信息能力不平等的商家或企業,這一法律賦予個人的信息權利,也屬于針對商主體的消費者權利。事實上,《加州消費者隱私法》不僅排除了一般自然人的信息收集與處理活動,而且排除了小微企業的信息收集與處理活動。《加州消費者隱私法》將受管轄的企業范圍限定在年收入超過2500萬美元,或者為了商業目的而接受50000條以上個人信息或者年收入的50%及以上為銷售消費者個人信息所得的公司。[25]
     
      第二,從個人信息權利保護的思想資源來看,也可以看到個人信息權利保護的適用前提。無論是沃倫、布蘭代斯、普羅斯等人所提的隱私權,還是大陸法系基于人格權的隱私保護,都建立在侵權法的思想基礎之上的,都預設了侵權方與被侵權方的防范關系與平等主體關系。但個人信息權利保護或所謂的信息隱私,其思想框架卻起源于阿蘭·威斯丁(Alan Westin)對于個人信息控制的主張。[26]這種主張具有明確的指向對象,明確了個人信息權利保護所針對的對象并非日常生活中的個體,而是具有專業性或商業性信息收集特征的主體,尤其是利用數據庫等現代科技大規模收集個人信息的主體。[27]就此而言,尤其需要注意和澄清的是,雖然美國法上采取了“大隱私”的概念,將信息隱私也視為隱私保護的一種,但實際上美國的信息隱私與傳統的侵權隱私具有結構性的差異。美國的信息隱私其實等同于歐盟和其他地區的個人信息權利保護,兩者有著類似的針對對象和制度框架。
     
      第三,從個人信息權利保護的制度框架來看,也可以看到個人信息權利保護的適用前提。全球通行的個人信息權利保護的制度框架起源于“公平信息實踐”(fair information practices)原則,這一原則給個體賦予了一系列信息權利,給信息收集者與處理者施加了一系列義務。[28]但同樣須注意的是,公平信息實踐所處理的是不平等的信息關系,公平信息實踐原則所規制的對象,要么是具有專業性信息收集能力的公共機構,要么是具有商業性或專業性信息收集能力的企業或類似主體。不可否認,歐盟和美國對于公平信息實踐的繼承和適用有一定的差異,例如歐盟《一般數據保護條例》以數據控制者和數據處理者的概念來概括政府、企業和專業信息收集者與處理者,而美國的《1974年隱私法案》和《加州消費者隱私法》則對政府規制機構和企業進行區別立法。[29]但二者的差異并不妨礙其共同之處。無論是歐盟還是美國,都排除了純粹個人活動中的信息收集與處理,同時以不同的法律框架來規制政府執法中的個人信息權利保護問題。
     
      綜上所述,個人信息權利保護只能適用于特定的信息關系,個人信息權利保護不能像隱私權保護那樣,可以針對不特定的第三人。探討個人信息的權利類型與法益基礎,也必須從這個前提出發。不論將個人信息視為何種權利和類型,此類權利都只能針對形成持續性不平等信息關系的收集者與處理者。[30]在這個意義上,可以說個人信息權利保護中的相關權利既非傳統民法權利,也非傳統憲法權利。因為傳統民事權利主要針對平等的民事主體,而傳統憲法權利主要針對國家。但無論是個人信息權利保護中的知情權、選擇權、糾正權、刪除權,還是被遺忘權和攜帶權,都屬于特定信息關系中的新型權利。如果將其納入民法權利的范疇,也必須突破傳統民法權利的平等法律關系,以不平等的民法權利關系來看待個人信息權利保護。如果將其納入憲法性權利,則這種權利也只能針對專業收集個人信息的公共機構,不能針對偶爾或單次性獲取個人信息的執法機構。
     
      三、侵權隱私、執法隱私與信息隱私
     
      個人信息權利保護為何只能針對信息不平等關系中的專業或商業信息收集者與處理者?回答這一問題,我們可以以侵權隱私、執法隱私與信息隱私的法律框架進行進一步分析,通過這三種法律框架的區分,我們可以更深入理解個人信息權利保護適用范圍限定的原因,同時理解隱私與個人信息權利保護的整體圖景。
     
      首先,在侵權隱私的框架中,法律只對個人信息做非常有限的保護,而且依賴于侵權法這一被動性的保護方式。在美國,只有當相關主體侵犯了普羅斯所歸納的四種隱私侵權類型中的一種或多種權益時,而且只有當個人提起訴訟,此時法律才對個人信息進行保護。在大陸法系,只有當相關主體侵犯了人格權中的隱私權時,而且同樣只有當個人提起訴訟,法律才對個人信息進行保護。對于純粹個人活動或平等民事主體之間的個人信息收集與處理,國家主要采取以社會規范調整為主導的方式,只有在侵犯核心隱私而且公民提起訴訟時,國家法律才會介入。[31]
     
      法律之所以對個人信息進行限定性保護與被動性保護,其原因在于個人信息具有很強的流通屬性,在日常生活中,當我們打聽他人的姓名、手機號、職業,甚至八卦他人的婚姻狀況,都是非常常見的行為。如果賦予個人對于其信息的積極性權利,要求獲取個人信息都必須獲取個人同意,這將導致人們日常交往的失效與社會運轉的失靈,導致打聽他人信息也屬違法的結果。個人信息的訪問權、糾正權和刪除權亦是如此,個人不可能要求訪問他人所掌握的個人信息,也不可能要求糾正他人所掌握的個人信息,更不可能要求他人刪除他人所掌握的個人信息。賦予個人以針對他人或平等主體的信息權利,既不合理,也不現實。[32]
     
      其次,在執法隱私的框架中,個人信息權利保護框架也不能簡單適用于作為公權力機構的執法機關。這其中的原因不僅在于公權力機構的執法目的是為了公共利益,因而區別于商業機構對于個人信息的收集和利用。更為重要的原因是,公權力機構在執法過程中和個體形成的關系,并不存在持續性的信息關系。從信息收集與處理的關系類型來說,執法隱私所形成的個人與國家關系其實更接近于傳統的侵權隱私中的個人與侵入者,二者都是某個主體對個人的隱私空間的一次性或多次性侵入。對于這種一次性的侵入,法律一般根據侵入的合理性來判斷是否違法。套用卡拉布雷西的財產規則與責任規則的理論,就是法律僅僅為此類場景的個人信息設置責任規則而非財產規則。[33]
     
      因此,個人相對于執法機構的權利仍然限定于傳統核心隱私的范疇。在美國等國家和地區的司法實踐來看,法院主要以“合理預期”的標準來確定執法機構是否侵犯公民的隱私,即政府執法過程的搜查或信息收集是否違反了一般理性人的合理預期。[34]對于政府在執法或搜查過程中所合法獲得的個人信息,個人一般不具有知情選擇權、訪問權、糾正權、刪除權等權利。這其中的道理不難理解。如果執法機構獲取個人信息都需要獲得個人同意,那么個人就會有足夠的時間與機會藏匿或刪除執法所需信息,同樣,如果個人對于自身信息具有訪問權、糾正權、刪除權等權利,那么個人就能利用這些權利破壞執法所需要的信息與證據。無論是何種權利,都將從根本上破壞國家的執法能力。
     
      最后回到信息隱私法即個人信息權利保護法的框架。從信息關系上來說,個人和信息收集者與處理者之間構成了一種持續性的信息不平等關系,區別于侵權隱私中的信息能力平等之間的關系,也區別于執法隱私中的非持續性信息關系。就此類關系的法律性質而言,此類關系更類似于勞動法與消費者保護法等社會法的關系。在社會法的關系中,勞動者與用人單位之間,消費者與商家之間都形成了一種持續性的不平等法律關系。個人信息權利保護中的關系亦是如此。個人信息的收集者與處理者介于公權力與私主體之間,與個人之間形成了一種不平等的持續性法律關系,這種關系既不同于平等主體之間的民事法律關系,也不同于個人與國家公權力之間形成的關系。[35]
     
      對于這樣一種關系,以公平信息實踐為基礎的個人信息權利保護制度采取了多種法律部門綜合保護的進路。其中既包括了知情同意的民法框架,針對商家的消費者權利保護框架,還包括了對違反相關信息權利進行處罰的行政法框架。但需注意的是,這些綜合性的法律框架并非移植或套用傳統侵權隱私或執法隱私,也并非是不同部門法的簡單疊加。相反,個人信息權利保護中的部門法之間相互交叉,使得每個部門法都區別于傳統的部門法框架。
     
      以個人信息的民法保護為例,個人信息權利保護制度更依賴于合同法保護,而對侵權法的進路相對依賴較少,因為傳統侵權法所能發揮的作用有限,個人很難有動力、精力與把握去贏得個人信息侵權的訴訟。[36]相較之下,合同法至少可以為個人提供更多的知情權和選擇權,因而成為個人信息權利保護制度的重要組成部分。[37]但另一方面,即使信息收集者與處理者通過用戶同意獲得個人信息,而且完全滿足合同法的要件,也并不能保證信息收集者與處理者對于個人信息的支配權。在個人信息被收集后,個人仍然擁有訪問權、糾正權、刪除權、信息安全權等多種不可讓渡的權利。
     
      以個人信息的消費者法保護為例,個人信息權利也區別于消費者法所賦予個人的消費者權利,一般消費者權利主要包括知情權、選擇權,以及某些國家和地區所認可的“撤回權”或“后悔權”,[38]但個人信息權利保護中的相關權利則遠遠超出一般的消費者權利。[39]針對信息收集者,消費者不僅有知情權和選擇權,還具有對個人信息的訪問權、糾正權、刪除權、攜帶權、信息安全權等多種權利,這些權利無論從類型的多樣性,還是從權利主張的強度上來說,都遠遠超過一般的消費者權利。消費者在購買商品后,不可能要求查看或兌換支付的幣種,或者對支付的金錢進行銷毀和刪除,但個人在同意信息收集者收集其個人信息并獲得免費服務后,仍然有權利要求信息收集者糾正或刪除個人信息。
     
      最后以個人信息的行政法保護為例,個人信息權利保護也區別于一般行政規制中所采取的普遍規制的立場。在一般的行政法與行政規制中,法律與行政規章一般對被規制對象采取一視同仁的立場,施加相同的責任。但在個人信息權利保護中,法律對于被規制對象所施加的義務主要是程序保障責任,即要求信息收集者與處理者保障信息主體的相關權利得到正常行使。就這一點而言,個人信息權利保護法的行政法框架其實非常具有彈性。在個人信息權利得到充分保障和行使的前提下,信息收集者與處理者既可能因為個人的拒絕而完全無法收集與使用個人信息,也可能因為個人授權而獲得寬泛的收集與處理個人的權利。
     
      綜合而言,個人信息權利保護法采取了一種馬格卡·米尼斯基(Margot Kaminski)所謂的“二元治理”(binary governance)結構,它將個人正當程序權利與合作治理方法結合起來。[40]這種治理結構類似公共參與治理,一方面,它將個人針對國家的正當程序權利主張轉嫁到針對信息收集者與信息處理者身上;另一方面,它借鑒了合作治理中的意思自治與國家監管。它和傳統侵權隱私、執法隱私所適用的對象具有重大區別,在部門法的保護方式上,這種保護也區別于傳統部門法的簡單疊加。
     
      四、個人信息權利保護的法益基礎
     
      在分析了個人信息權利保護的適用前提及其原因之后,現在可以進一步分析個人信息權利保護的法益基礎或保護目的,此種分析將為我們思考個人信息權利保護的制度框架奠定基礎。
     
      首先,個人信息權利保護的法益包含了防御性隱私權益。相比傳統侵權隱私,個人信息權利保護的適用對象雖然限縮了,但其法益卻沒有限縮,個人信息權利保護仍然包含了侵權隱私中所包含的法益。傳統侵權隱私所包含的法益,仍然是個人信息權利保護的共識與起點。如果信息收集者與處理者在個人不知情的情形下收集和處理個人秘密或私密信息,此時個人既可以選擇以個人信息權利保護法的框架進行救濟,也可以選擇傳統侵權隱私法的框架進行救濟。[41]正如我國《民法典人格權編(草案)》所規定的:“個人信息中的私密信息,同時適用隱私權保護的有關規定。”[42]
     
      其次,個人信息權利保護的法益還包含了針對信息控制者與處理者的信息自主控制權益,例如本文一再提到的知情權、選擇權、訪問權、糾正權、刪除權、反對用戶畫像與自動化處理權和攜帶權等權利。就部門法性質而言,此類積極性權利并非針對平等主體的傳統民法性權利,也非針對國家執法的傳統憲法性權利。就權益的類型分類而言,這些權利有的具有人格性權益,有的具有財產性權益,有的具有個人的安全性權益,有的具有個人的便利性權益,有的具有實現公共政策的目的。而在更多的情況下,這些權利往往是多種不同類型權益的集合。
     
      例如在個人對于收集信息時的知情權和選擇權中,就包含了個人的人格性權益、財產權權益與安全性權益。因為對個人進行告知,賦予個人選擇權,這包含對個人人格的尊重,[43]也賦予了個人在很多場景下對個人信息的財產化利用,[44]同時使得個人能夠在一定程度上防范和預期相關的風險。[45]在個人信息訪問權與糾正權中,此類權利則包含了個人的人格性權益、安全性權益與便利性權益。因為此類權利有利于個人通過訪問和糾正個人信息而保護自身的人格,也有利于個人防范相關風險,同時給自己帶來相關便利。在個人信息的刪除權、反對用戶畫像與自動化處理權中,此類權利包含了個人的人格性權益與安全性權益。因為此類權利有利于個人通過刪除和反對用戶畫像與自動化處理而保護自身的人格,也有利于個人防范相關風險。[46]而在個人信息攜帶權中,個人除了可以通過攜帶信息而實現其人格性權益、財產性權益、安全性權益、便利性權益之外,還具有實現公共政策的功能,因為這一權利可能可以促進數據流動,在一定程度上抵消數字經濟中的網絡鎖定效應,從而促進市場更充分的競爭。[47]
     
      需要指出的是,相比起防御性的隱私權利,個人針對信息收集者與處理者的信息自決權更具爭議性。這其中的原因有幾點。第一,有些信息權利看起來有可能保護個人權益,但實際上個人卻無法有效行使這些權利,造成個人信息相關權利保護的落空,或者給個人帶來其他風險。以個人知情權和選擇權為例,面對信息能力不平等的信息收集者與處理者,個人很難有足夠的興趣、時間、專業作出真正理性的選擇。個人信息權利保護中的“告知—選擇”框架和同意機制,很多時候不但沒有帶來真正理性的選擇,反而變成了無知和恐慌狀態下的武斷選擇,不利于個人信息相關權利的保護。[48]同時,由于此類武斷選擇,個人信息知情權和選擇權也造成了企業與公共機構無法合理有效地收集與利用此類信息為個人提供服務,為個人提供更多的便利。另一個例子是個人信息訪問權、攜帶權等權利,此類權利雖然賦予了個體以訪問和獲取相關信息的權利,有利于維護公民相關權利,但此類權利也同時給個體帶來了很多風險。因為一旦他人或犯罪份子冒用個人身份,利用信息訪問權和攜帶權獲取個人信息,此時個人信息就會全部泄漏,對個人信息權利造成重大傷害。即使法律對個人身份的驗證程序作出嚴格規定,此類風險也可能因為公民信息訪問權、攜帶權的行使而加大。[49]
     
      第二,有些個人信息權利可能影響他人的合法權益。權利的沖突是權利保護中經常出現的情形,[50]在個人信息權利的行使中,這種沖突更為明顯。個人信息雖然關乎個人,但常常包含他人信息,當個人行使個人權利時,就很可能會影響到他人的信息權利。以訪問權為例,當個人行使訪問權獲取個人信息,此時個人很可能就獲取了第三方的信息。而當個人將個人通訊錄信息或個人相冊信息從一個平臺轉移到另一個平臺,此時他人的通訊錄信息或相冊信息甚至可能面臨核心隱私被侵犯的風險。[51]因為在個人行使訪問權或攜帶權之前,個人信息可能位于陌生人的場景,很難被陌生人識別;但在個人行使訪問權或攜帶權之后,個人信息就轉移到了熟人或半熟人的場景,比較容易為熟人或半熟人識別。[52]
     
      第三,有些個人信息權利可能給企業施加不合理的影響,影響企業的正當權益。以個人信息訪問權、糾正權、刪除權為例,個人信息一旦被合法收集,就可能在企業內部流轉和分析,此時如果個體可以行使針對企業絕對性的訪問權、糾正權、刪除權等權利,那將意味著企業需要在所有的信息儲存和分析部門都給予個人以訪問、糾正和刪除的權利。即使企業對于相關信息已經進行了匿名化處理,或者僅僅是在數據集合與統計中分析個人信息,個人也可以要求獲取和糾正此類信息,在數據分析中刪除此類信息。因為此類信息仍然可以重新識別和結合其他信息重新識別個人,因而屬于個人信息的范疇。[53]在歐盟等地區,此類個人信息或個人數據權利等行使已經給企業造成了很多的不合理負擔,因為企業不但面臨普通個人的訪問權、糾正權、刪除權請求,而且可能面臨社會組織、競爭對手所提起的大量請求。企業除了為個人寄送大量的個人信息,滿足個人的信息訪問權之外,還需要面對個人行使糾正權和刪除權所帶來的信息分析結果隨時調整的風險。
     
      第四,有些個人信息權利可能影響市場機制,損害平臺經濟和數字經濟的發展。個人信息權利保護以信息的“識別”性作為保護前提,包括個人信息的已識別性與可識別性,[54]但在大數據的背景下,絕大部分信息都可能被納入個人信息的范圍,因為絕大部分信息都可能因為和其他信息結合而識別個人。[55]因此,個人信息權利保護的相關權利很可能導致市場中的信息流通與共享受到很大限制。從市場經濟的基本原理來看,市場之所以能夠有效運轉,就在于市場中的信息流通與共享使得市場中的主體能夠及時有效地進行自我調節。市場中消費者的用戶需求、價格偏好、消費習慣、消費預期,都需要通過個人的相關信息匯總而獲得,離開了對于此類個人信息的收集和分析,市場就不可能有效運轉。而在平臺經濟與數字經濟中,這種信息的對稱性尤其重要。無論是雙邊市場中所強調的平臺的媒介功能,[56]還是長尾理論所強調的平臺的去中心化功能,[57]都依賴于平臺對于市場經濟主體的相關信息進行合理收集和利用。就此而言,個人信息權利中的反對用戶畫像與自動化處理權等權利,如果上升為一種適用于所有場景的絕對性權利,未必有利于市場機制的正常運轉。離開了用戶畫像等個性化推薦的能力,不僅個人可能無法在市場中獲取有效信息和個性化服務,而且小微企業也可能會失去市場機會。只有大型企業、商場或商家才有可能在線上購買廣告投放流量,或者在線下占據人們的注意力市場。
     
      第五,有些個人信息權利還可能影響公共利益。個人信息的合理使用首先對于公權力機構具有重要作用,特別是對于一些具有公共治理功能的公權力機構,個人信息的收集與處理是其治理能力的基礎。離開了對個人信息的合理收集與利用,公權力機構就不可能有效地征稅,有效地扶貧,有效地制定相關政策或對國家進行“數字化管理”。此外,很多場景下的個人信息收集與流通其實具有公共功能,允許個人對于個人信息行使糾正權、刪除權等功能,會極大地妨礙個人信息的合理流通與公眾的知情權。這一點最為明顯的是針對谷歌、百度等搜索引擎和網站的糾正權和被遺忘權。[58]試想,如果個人有絕對權利可以修改自己在百度詞條和維基百科上的信息,或者可以刪除自己在百度和谷歌搜索中的搜索結果,那么很多關于個人的負面信息都可能從這些網站上消失,因為沒有人會希望自己的負面信息在公共領域流通。[59]對于公眾的知情權而言,這種刪除權的任意行使會造成信息的真空,甚至造成信息的失真。
     
      綜上所述,個人信息權利保護的法益既包括防御性的隱私權益,也包括人格尊嚴、財產權益、安全權益以及增強個人便利或個人信息能力的信息控制權。但信息控制權只能針對信息收集者與處理者,而且此類權利面臨更多爭議。也因此,個人針對信息收集者與控制者的信息控制權必然無法成為絕對性的權利,或者至少面臨很多例外。例如《一般數據保護條例》已經對知情權和選擇權規定了同意之外其他合法處理個人信息的機制。[60]訪問權、糾正權、刪除權、反對用戶畫像與自動化處理權和攜帶權等其他權利亦是如此,在法律規定與實踐執法中,這些權利實際上都受到了各種條件和例外的限制。
     
      五、在具體場景與信息關系中思考信息權利
     
      個人信息權利保護的法益基礎之所以如此復雜,而個人信息權利又可能和如此多的利益相沖突,根本原因在于個人信息權利保護高度依賴于具體場景中個人與信息收集者與處理者之間的關系。當我們談論一般性權利,例如財產權、人身權甚至隱私權,這些權利即使有爭議,也大致有一個共識性的范圍。即使在不同的場景中,這些權利的范圍也大致確定。但在個人信息權利保護的問題上,個人信息權利及其保護的根源就在于不平等不合理的信息關系。因此,分析與界定個人信息權利的邊界,就必須把個人信息重新放置在信息關系中加以思考。
     
      在分類場景與信息關系中思考個人信息權利保護,這與個人信息權利保護的很多前沿研究是一致的。例如以國內學界越來越熟悉的海倫·尼森鮑姆(Helen Nissenbaum)的場景理論為例,場景理論的核心就是批判脫離場景與信息關系談論個人信息權利保護。[61]在其研究中,尼森鮑姆列舉了場景(context)、行為者(actors)、信息種類(information type)、傳輸原則(transmission priciple)等要素,以此說明個人信息權利保護在不同場景與信息關系中的不同規則。以場景為例,公共領域與私人領域劃分是場景劃分的一種,對于位于公共領域的個人信息,法律賦予給個人的信息權利要遠遠小于私人領域的個人信息。但尼森鮑姆也指出,公私領域的劃分只是場景分類的一種。場景公正理論假設了更為多元的社會場景,每一種場景都需要不同的規則來確定個人信息權利保護的邊界。[62]就信息角色而言,尼森鮑姆指出,對于不同的信息的發送者、接受者以及信息主體,法律賦予給個人的權利或個人信息流通的規則也不同。[63]例如在醫療場景中,醫生收集病人信息與一般醫療化驗人員收集信息就非常不同,醫生收集病人信息并不需要時刻征詢病人同意,但醫療化驗人員則要受到更多知情同意的約束。就信息種類而言,尼森鮑姆指出,敏感信息與非敏感信息是個人信息分類的一種,但在不同場景與不同的信息關系中,此類分類完全可能會轉化。[64]例如,臉部識別信息在線下場景的信息收集中,可能是非敏感信息甚至是公開信息,但在線上場景,此類信息就可能成為敏感信息。就傳輸原則而言,不同的場景與信息關系也非常不同。[65]例如醫生與病人之間的信息傳輸原則,招聘場景中的雇主收集求職者信息的傳輸原則,就非常不同于商業場景中的網站收集消費者信息的信息傳輸原則。
     
      再以近年來興起的個人信息的信義法(law of fiduciary)、[66]保密關系法(law of confidentiality)[67]保護為例,此類研究的共同點,也是將個人信息權利保護還原到具體場景與信息關系中進行保護。例如,就個人信息的信托法保護而言,此類研究者的關注點在于,信息收集者與處理者與個人之間形成了非常不平等的信息關系,而且此類關系是持續性和互相依賴性的。對于這樣一種關系,賦予個體以對抗性的信息權利,很難對個人信息形成有效保護,也難以對信息收集者與處理者施加應盡的義務,提供信息收集和使用的有效空間。因此,信托法保護的路徑主張對個人和信息收集者與處理者分別施加信息信托權利與信息信義義務。相比起傳統的個人信息權利,信息信托權利常常需要結合場景與信息關系來確定權利的邊界。個人信息的保密關系法保護具有同樣的特點,也強調在具體場景與信息關系中確定個人信息權利的邊界,而非事先確定個人信息的權利邊界,然后再將其應用在具體場景中。
     
      在具體場景與信息關系中思考權利關系,這不僅是前沿理論的共識,也是不可避免的實踐真理。在個人信息權利的確立中,最為形式化的信息權利宣示當屬歐盟的法律框架。歐盟首先在《歐盟基本權利憲章》第8條以基本權利的形式規定了個人信息或數據的被保護權、訪問權與糾正權,[68]其后又在《一般數據保護條例》第12條到第22條用大量的篇幅規定了不同類型的個人信息權利或數據權利。但在實際執法中,這些權利的邊界仍然處于待定狀態,仍然需要歐盟數據保護委員會(European Data ProtectionBoard)等機構提供場景化的指引,特別是需要執法案例與司法案例來最終確定各類權利的邊界。
     
      在這個意義上,個人信息權利保護必須回到公平信息實踐的“初心”,反思當前個人信息權利保護制度是否實現了公平信息實踐所預期的目的。從形式上說,當前歐盟等國家和地區的個人信息權利保護制度很好地繼承了“公平信息實踐”所開創的制度,因為“公平信息實踐”的最初版本中,的確包含了大量的個人信息權利。公平信息實踐誕生之初,其核心的原則與制度就與當今各國普遍采用的個人信息制度類似。例如1973年版本的“公平信息實踐”原則規定:①所有的個人信息記錄系統都不得是秘密的;②個人必須有途徑知曉其哪類信息記錄在案以及其是怎么被運用的;③在未經個人同意的情況下,個人必須有途徑阻止其被收集的信息不會被用于其他目的;④個人必須有途徑對可識別的個人信息進行糾正或修改;⑤任何創設、保存、使用、散播個人可識別數據的機構在因為特定目的而使用數據時,都必須確保數據的可靠性,必須采取措施避免數據被濫用。[69]就當前全球各個國家和地區的個人信息權利保護法而言,這些法律與制度都繼承并且強化了“公平信息實踐”中的信息權利。除了“公平信息實踐”中所規定的知情權、選擇權、訪問權、糾正權之外,歐盟等地區的個人信息權利保護法還規定了反對用戶畫像和自動化處理權、[70]攜帶權等權利。
     
      但從個人信息權利保護的“初心”或預期目的來說,當前很多個人信息權利保護制度對于“公平信息實踐”的繼承僅僅是形式性的,這些制度是否能夠真正實現“公平信息實踐”的初心,即實現的是信息收集者或處理者與個人之間的公平或合理的信息關系,仍然取決于相應制度是否能夠在具體場景與信息關系中確立個人信息權利的合理邊界。而要實現這一點,首要的任務就在于破除脫離具體場景與信息關系的權利思維和形式主義思維。這種思維可能可以大致應對某些權利問題,但對于個人信息權利保護而言,卻可能導致各種不合理的信息實踐。
     
      對于很多法律人而言,在具體場景與信息關系中思考個人信息權利,看上去與法治的基本原理背道而馳。因為法治的基本原則恰巧要求普遍性的規則之治,[71]要求脫離人為關系來設計規則。[72]但需要指出的是,在關系中思考個人信息權利,并不排斥類型化的個人信息權利主張與規則治理,只是這種權利主張與規則治理更多依賴于從具體場景出發,通過自下而上的規則制定來勾勒和確定權利與規則。同時,這種類型化的規則治理更多從信息關系出發,通過信息關系中的合理信息實踐或信息倫理來確定權利與規則。事實上,在現代法治實踐中,這種基于具體場景和個案演化的規則制定方式并不少見,例如在行政規制中,很多前沿學術研究已經認識到,基于具體情境的正當性判斷,反而比形式主義法治更可能符合法治的基本精神。[73]而在競爭法研究中,反壟斷判斷必須基于理性規則(ruleofreason)來進行理性判斷,而不能依賴規則本身(rulesperse)進行判斷,這也已經成為學界共識。[74]與個人信息權利保護類似,這些法律部門所遇到的問題更難以標準化,更依賴于具體情境中的相關因素,也因此更需要在場景與具體關系中進行判斷。一旦脫離具體場景與信息關系,相關的個人信息權利主張就可能喪失正當性基礎,蛻變為形式主義。
     
      六、結語:重構大數據時代的個人信息權利保護
     
      2020年,伴隨著《加州消費者隱私法》的生效,面對歐盟以《一般數據保護條例》為代表的個人信息保護制度的強大影響,[75]信息隱私的兩位學者伍德羅·哈特佐格(Woodrow Hartzog)與尼爾·里查德(Neil Richards)大聲疾呼,當前正是美國信息隱私重構的憲法性時刻。[76]因為歐盟的個人信息權利保護制度未必適合美國,而美國自身的個人信息權利保護又面臨種種不足,美國必須在這歷史的關鍵時刻制定更為合理的個人信息權利保護制度。就此而言,中國面臨著相同的挑戰,面對歐美個人信息權利保護制度的競爭壓力,是否能夠走出一條獨特的個人信息權利保護道路,對于中國而言既是挑戰,也是機遇。而將挑戰轉化為機遇的前提是,我們對于個人信息權利保護的基本原理應當有清晰的認識。特別是對于個人信息權利保護的適用前提與目的,應當盡快走出相關認知誤區。
     
      正如本文所表明的,分析個人信息權利保護首先應當認清其適用前提。首先應當區分侵權隱私、執法隱私與信息隱私,對于現行以公平信息實踐為基礎的個人信息權利保護,應當明確這種保護只能針對具有持續性信息不平等關系的信息收集者與處理者,即只能應用在信息隱私的情形中。如果將個人信息權利保護制度適用于侵權隱私或執法隱私,那將誤解個人信息權利保護的前提性問題,造成法律適用上的混淆。
     
      其次,正如“公平信息實踐”一詞所表明的,保護個人信息的目的在于實現信息的合理實踐;或者如同尼森鮑姆所指出的,個人信息保護的目的在于實現信息的合理流通。在這個意義上,當我們分析與探討個人信息的相關理論時,必須認識到確立個人信息被保護的權利,其目的在于通過這類權利的確立來實現個人的相關權益、他人的相關權益、企業的相關權益、市場的相關權益以及公共利益。因此個人信息權利不是絕對性權利,不能用靜態的形式主義的觀念去理解和確定個人信息的邊界。相反,我們應當在具體場景和信息關系中重新勾勒和確定個人信息權利。
     
      在大數據時代,這一任務變得更為繁重。因為在大數據時代,形式主義的個人信息權利保護已經更加難以保護個人的相關信息權益,同時保證他人、企業、市場與公眾對于信息的合理需求。在大數據時代,以識別為基礎的個人信息范圍大大擴展,造成了個人信息權利保護管轄范圍變得非常寬泛;同時,大數據與人工智能發展的需要又使得數據的二次利用成為必要,對個人信息權利保護中的“目的限制”“信息最小化”等原則也形成挑戰。解決此類問題,更需要我們突破傳統強化個人信息賦權的進路,從信息信托、代表制等公私法混合的思路重新設計個人信息權利保護制度。只有如此,我們才能避免個人信息權利保護制度的異化,追尋個人信息權利保護的初心。

    閱讀(239 評論(0
    我要評論
    歡迎您

    最新評論

    北大法律信息網
    www.chinalawinfo.com
    法律動態
    網站簡介
    合作意向
    網站地圖
    隱私政策
    版權聲明
    北大法寶
    www.pkulaw.cn
    法寶動態
    法寶優勢
    經典客戶
    免費試用
    產品服務
    專業定制
    購買指南
    郵件訂閱
    法律會刊
    北大英華
    www.pkulaw.com
    英華簡介
    主要業務
    產品列表
    英華網站
    聯系我們
    用戶反饋
    返回頂部
    二維碼
    不要添了,我高潮了视频