<output id="5zixi"></output>
<output id="5zixi"><legend id="5zixi"></legend></output>
<p id="5zixi"><del id="5zixi"><div id="5zixi"></div></del></p>

<tr id="5zixi"><label id="5zixi"></label></tr>
<p id="5zixi"></p>
  • <tr id="5zixi"><label id="5zixi"></label></tr><td id="5zixi"><ruby id="5zixi"></ruby></td><acronym id="5zixi"><meter id="5zixi"></meter></acronym><object id="5zixi"><strong id="5zixi"><address id="5zixi"></address></strong></object>

    丁曉東的個人空間

    博客

    個人信息的雙重屬性與行為主義規制

      引言

      個人信息保護已經成為全球熱點與難題。在過去幾年里,歐盟《一般數據保護條例》生效,美國的Facebook發生個人信息泄漏事件;美國加州制定《2018年加州消費者隱私法案》,中國將《個人信息保護法》與《數據安全法》列入立法規劃。這一系列事件都使得人們開始探討,如何運用法律保護個人信息,何種形式與何種程度的個人信息保護是恰當的。

      探討個人信息保護,首先需要在公法上界定個人信息的性質。公法對于對象的法律定性常常是法律保護的前提性問題。例如,只有當公法或者具有公法性質的政治共識明確了公民的私有財產受到法律保護,[1]私法才能在此基礎上設定對于不動產與動產的私法保護。相反,如果公法確定某類物品的性質屬于國家所有或公眾所有,那么法律對于此類物品的保護就必然區別于一般物品。例如法律不能將傳統物權理論中的先占原則適用于發現油田,也不能將物權理論適用于空氣上。[2]個人信息保護亦是如此,無論是個人信息的公法保護還是私法保護,都需要先在公法或公法理論上明確個人信息的法律定性。在此之后,法律才能確定個人信息保護的框架。

      本文分析個人信息保護的兩種觀點。第一種觀點將個人信息權視為基本權利,根據這種觀點,個人信息是基本權利的客體,法律應對個人信息進行確權保護。第二種觀點則將個人信息視為言論表達的對象,他人對于個人信息的獲取與使用受到言論自由與信息流通的保護。在目前關于個人信息保護的中文研究中,個人信息作為他人言論對象的屬性較少被關注與提及,但個人信息作為他人言論對象的屬性已經被國際學界特別廣泛討論。而且,隱私權理論的提出者布蘭代斯(Louis Brandeis)本身就是言論自由理論的開創者之一,[3]從言論的角度思考個人信息,可以幫助我們更為深刻地理解個人信息保護問題。

      從個人信息保護的兩種觀點出發,可以發現個人信息具有雙重屬性:個人信息的個體屬性與公共流通屬性。簡單地強調個人信息的某一種屬性均不足以闡述個人信息的本質特征,也不足以為個人信息保護搭建合理的法律框架。從個人信息的雙重屬性出發,也可以對個人信息保護進行重新思考。個人信息保護應當更多依賴于場景化的行為主義規制,基于場景的行為主義規制可以更好地維持個人信息雙重屬性的平衡。

      在展開正文之前需要說明,本文并未嚴格區分個人信息與個人數據的概念。在當前全球話語體系中,這兩個概念指涉的對象基本相同,都指涉了已經識別或結合其他信息/數據可以識別個人的信息/數據。總體而言,美國更多使用個人信息的概念,而歐洲更多使用個人數據的概念。

      一、作為基本權利客體的個人信息

      (一)防御性信息權利

      在個人信息保護越來越受到重視的背景下,個人信息常常被視為一種基本權利的客體。根據這種理論,個人信息權是一種基本權利,個人首先有權防止其消極性的隱私權益受到相關主體的侵擾。縱觀全球個人信息的立法與政策,可以發現防御性的信息權利在一系列制度中都有體現。

      首先,個人信息保護制度常常要求或提倡收集個人信息的公開透明,以保證個人信息不會被秘密收集。[4]例如我國《網絡安全法》規定,收集個人信息應當公開收集和明示收集。[5]OECD制定的《隱私保護與個人數據跨境流通指南》(以下簡稱《指南》)規定,收集個人數據應當有一般性政策。[6]亞太經濟合作組織(APEC)制定的《APEC隱私框架》(以下簡稱《框架》)規定,信息控制者應當提供訪問與使用個人信息的說明。[7]

      其次,很多個人信息保護制度都規定了“目的限制”“數據最小化”“限期儲存”等個人信息收集與處理的原則,以保證個人信息不會被過度收集、過度處理與過度儲存。據此對個人信息只能進行最低限度的收集,對個人信息的處理只能為了滿足服務活動所必要,而且個人信息的儲存期限不能超過必要時限。例如我國《網絡安全法》規定網絡運營者不得收集無關信息,違反法律法規或與個人約定的信息。[8]OECD的《指南》規定收集個人數據的范圍應當限定于其說明的范圍。[9]歐盟的《一般數據保護條例》(以下簡稱《條例》)規定了個人數據的存儲期限不得超過必要時間。[10]

      最后,個人信息保護制度也大都對信息安全進行規定,要求企業承擔對于信息的安全保障義務。例如OECD的《指南》規定數據控制者應當采取必要措施保護個人數據安全。[11]亞太經濟合作組織的《框架》規定,信息控制者應當采取采取防護措施滿足個體的隱私期待,并且對特定類型的風險進行額外防護。[12]

      從理論淵源來看,將個人信息權利視為一種消極性的防范性權利,這繼承了沃倫與布蘭代斯等學者所提出的隱私權理論。沃倫與布蘭代斯將隱私權定義為“獨處的權利”,[13]正如每個人需要一定的固定空間,防止他人的侵害,保護隱私就是為個人人格建立一種“獨處與隱私”的空間。[14]此后,這種權利為很多學者所接受與重述,并且對個人信息保護的制度與實踐也產生了重要影響。

      (二)控制性信息權利

      個人信息保護制度不僅包含對公民消極性信息權利的保護,而且也包含對積極性信息權利的保護。分析全球的個人信息保護立法與政策,也同樣可以發現很多體現積極性信息權利的制度。

      首先,個人信息保護制度一般都把個人“選擇”或“同意”作為收集個人信息的合法性要件。例如APEC的《框架》規定,收集個人信息,除了確保個人的知情權,還應當賦予個體以選擇的權利。[15]美國聯邦貿易委員會在其推薦的個人信息收集準則中規定,網站除了賦予消費者以收集個人信息的選擇權,還需要向消費者告知網站如何利用個人信息,并且為消費者提供退出選項。[16]

      其次,個人信息保護制度還確立了信息更正權等一系列信息權利,賦予個人以更多地控制自身信息的能力。例如OECD規定,個人對于其信息具有信息糾正權等權利。[17]APEC的《框架》規定對個人信息的收集“應當準確、完整并且及時更新”。[18]而歐盟的《條例》進一步賦予了個體以數據“被遺忘權”“攜帶權”等新型權利,進一步強化了個體對于個人信息或個人數據的控制權。

      從理論淵源來看,控制性信息權利繼承了阿蘭·威斯丁等學者的個人信息保護理論。1967年,威斯丁出版了信息隱私法上的里程碑式的著作《隱私與自由》,將隱私界定為“個人、群體或機構對自身信息在何時、如何以及在什么程度與他人溝通的主張”。[19]此后,這種以自主控制個人信息界定隱私的觀點在學界和業界獲得了很多支持,對個人信息保護的理念與制度都產生了很大影響。

      二、作為言論自由表達對象的個人信息

      將個人信息視為言論自由表達對象的客體,中文學術界仍然較少從這種角度探討個人信息保護。但這一視角卻可以為個人信息保護提供重要參照,在西方特別是美國學界的個人信息保護研究中,很多研究都從言論自由的角度來探討個人信息保護的理論基礎。

      (一)作為言論自由對象的個人信息

      將個人信息視為言論自由的對象,這看上去有些違背常識,因為一般認為,個人信息保護與言論自由所保護的對象不同。信息或數據一般被認為是對事實的記錄,個人信息或個人數據即以電子等方式所記錄與儲存的已識別或結合其他信息可以識別個人的信息或數據。但言論自由所保護的常常是人們所表達的觀點或意見,其目的在于保證人們的思想與觀點不受不正當的壓制。[20]以言論的角度看待個人信息,這似乎誤解了言論自由的目的,不恰當地擴大了言論自由所保護的范圍。

      但信息與觀點或意見的區別并不那么明顯,對信息的披露本身就可能構成觀點或意見。美國著名的紐約時報言論自由案(N. Y. Times Co. v. United States)就說明了這一點。在此案中,《紐約時報》披露了美國國防部的“五角大樓文件”,這些文件與時任美國總統林登·約翰遜所表述的內容并不一致。當時的美國聯邦最高法院法官一致認定,即使“五角大樓文件”僅僅是一些事實性的資料,這些資料也構成了美國言論自由條款所保護的對象。[21]

      在涉及官員等公眾人物的個人信息時,個人信息更是常常被認定為言論自由所保護的范圍。而且當媒體對個人信息的錯誤使用而涉嫌誹謗,媒體也可能會因為言論自由保護而受到豁免。例如在《紐約時報》訴沙利文案(New York Times Co. v. Sullivan)中,雖然《紐約時報》使用了錯誤的個人信息,刊登了內容不實的廣告,對原告沙利文警官造成了聲譽上的損害,但美國最高聯邦法院還是一致認為,《紐約時報》對于公眾人物信息的使用受到言論自由條款的保護;除非能夠證明《紐約時報》存在實際惡意(actual malice),否則《紐約時報》的行為就不能被認定為誹謗。[22]

      非官員甚至非公眾人物的個人信息也可能因為議題的公共性而受到言論自由條款的保護。在巴特案中,一位佐治亞大學的體育教練起訴媒體,認為媒體對其個人信息或事實的描述存在誹謗情形,但法庭的多數意見認為,雖然該體育教練并非公共官員,但他主動地參與公共活動,自愿地將自己的人格卷入“一項重要公共爭議的‘漩渦’”中。[23]因此雖然該教練不屬于沙利文案中的官員類型,但同樣屬于“公共人物”,同樣適用于沙利文所確立的“確實惡意”的證明標準。此后,在羅森布魯姆案中,一位非名人的原告起訴一家廣播站,認為其報道他因為擁有淫穢言論而被捕的報道存在不真實性,屬于誹謗。法庭的多數意見認為,對于言論自由來說,“公共人物”的概念并不取決于本人是公共性的還是私人性的,而在于該人物所涉及的公共議題是不是公共性的。[24]只要該“事項是具有公共性或普遍性利益的,不能因為只是這牽扯到了一位私人,或者因為該個體并沒有‘自愿地’地介入,就認定該事項不那么重要”。[25]在法庭多數意見看來,憲法上的言論自由條款所保證的是公共事務能夠被充分討論,這使得即使是私人非自愿地卷入公共議題,也應當被定義為公共人物,適用于沙利文案所確立的證明標準。美國最高法院雖然此后在格茨案中推翻了羅森布魯姆案中的判決,在一定程度上回到了巴特案的立場,[26]但就公法原理而言,羅森布魯姆案的判決顯示了個人信息完全可能具有公共性價值,因而應當受到言論自由的保護。

      有專家指出,就個人信息保護而言,法律所針對常常是大型企業對非公共人物或不具有公共議題的個人信息的收集,對于此類個人信息,很難說它們屬于言論自由所保護的對象。例如尼爾·理查德(Neil M. Richards)教授指出,在企業對個人信息的收集中,大量的信息其實涉及個人的畫像類信息,例如個人的購物偏好、健康信息、財務信息、種族、體重、愛好、宗教、閱讀偏好、房屋所有權等信息。[27]此類信息更多具有財產性價值而不具有公共性價值,因此現代信息隱私法所規制的信息更多類似于商品而非言論。[28]

      但即使純粹商業化或商品化的個人信息,也可能被視為商業言論自由的對象,從而受到言論自由條款的保護。在2011年的索雷爾訴艾美仕市場研究公司案中,佛蒙特州的一項立法禁止制藥公司獲取與利用處方類個人信息對醫生進行定制廣告,但美國最高法院的多數意見認為,此類對個人信息的使用限制涉嫌違反美國憲法中的言論自由保護。[29]肯尼迪大法官在法庭意見中指出,暫時沒有必要在這個案件中判斷信息是否屬于言論自由所保護的范圍。因為根據已有情況,已經可以確定佛蒙特州的此項立法違反了第一修正案的言論自由保護,藥劑師可以為科學、新聞或其他目的向第三方捐贈或出售此類信息,但此案中的立法卻根據言論內容和發言者身份而進行歧視性地限制。[30]肯尼迪大法官進一步建議,創建、銷售和傳播個人信息,這應當納入言論自由的保護范圍。[31]

      在索雷爾案之前,美國的地區法院也曾經在一些案例中將個人信息視為言論自由的對象。例如在全連公司訴美國聯邦貿易委員會(Trans Union Corp. v. FTC)案中,全連公司質疑美國《公平信用報告法》(FCRA)的合憲性,因為該法規定,除非出于特定目的,否則禁止公司共享消費者的信用報告。在這一案件中,華盛頓地區巡回法院認為,消費者的商業記錄也有權得到言論自由條款的保護,只是這種保護要比其他類型的言論更為寬松。[32]此外,在美國西部公司訴美國通訊委員會(U. S. West,Inc. v. FCC)的案件中,針對美國《電信法案》中所規定的用戶電信信息,例如“客戶訂閱的電信服務的數量、技術配置、類型、目的地和使用量有關的信息”,美國聯邦第十巡回上訴法庭也認為,此類個人信息屬于言論自由的對象,受到美國聯邦憲法第一修正案的保護。[33]

      (二)個人信息作為言論自由對象的公法內涵

      將信息視為他人言論自由的對象,法律對于個人信息保護的立場將大為不同。首先,個人所擁有的防御性信息權利——即個人信息保護中的隱私期待利益——將會因為言論自由保護而變小。當媒體報道公眾人物或具有公共議題中的非公眾人物時,即使此類報道侵犯個體的隱私期待,甚至因為錯誤使用個人信息而造成誹謗,此時媒體也可能因為言論自由保護而得以免責。在個人信息商業化使用的場景中,當個人授權信息收集者或控制者進行商業化使用,信息收集者或控制者將可以隨意使用此類信息。在此情況下,政府以保護信息隱私的理由而規制個人信息將面臨重重障礙。

      其次,公民個體所擁有的控制性信息權利將受到更大地挑戰。如果將信息視為他人言論自由對象,那么第三方對于個人信息的收集與使用從原則上來說就應當是自由的,不受個體對于自身信息權利控制的限制。對于進入公共空間的個人信息,這一點尤其明顯。例如對于網站公開可見的個人信息,美國法院曾經在很多案件中援引言論自由條款,認為對于此類信息的收集不需要經過個人同意。[34]再比如,對于個人信息的更正權、刪除權、攜帶權等權利,也無法成為法定性權利。個人可以通過發表聲明來反駁其他主體對個人信息的錯誤使用,但無權要求其他主體更正或刪除個人信息,也無權要求其他主體提供數據攜帶的便利。因此,不難理解當歐盟引入“被遺忘權”,賦予公民對于谷歌等搜索引擎的數據被遺忘權,[35]美國的很多學者都對此提出了反對意見。反對者指出,這樣一種權利會極大削弱言論自由的價值,因為谷歌這樣的搜索引擎事實上扮演了公共空間與公共論壇的角色,允許個體刪除他人發表的不利于自身的信息,這侵犯了他人的言論自由權利。[36]

      三、重新思考個人信息的公法性質

      將個人信息視為基本權利的客體與他人言論自由的對象,這兩種看待個人信息的視角從不同側面揭示了個人信息的屬性,但兩種視角均不足以全面闡述個人信息的公法特征。

      (一)個人信息作為基本權利客體的反思

      將個人信息視為基本權利的客體,其問題在于忽略了個人信息的公共性價值:個人信息對于共同體具有信息流通的價值。[37]以個人的消極性信息權利為例,此種權利很難適用于所有場景。在日常生活的很多場景中,此種權利都不可能被主張。例如在一個小群體中,通過朋友而要到他人電話或微信名片,并給他人打電話或添加微信好友,此類行為雖然可能對他人造成困擾,但很難說其就一定構成了對他人信息隱私的侵犯。更不用說我們周圍的熟人或親人對個人信息的收集與運用,此類行為雖然可能侵犯個人的獨處空間,但由于個人本身就生活于社群之中,此類行為往往被認為是正常社交的一部分,不應將打聽周圍熟人或親人的個人信息的行為視為侵犯個人的信息隱私。

      因此,防御性個人信息權的問題在于過于強調個體主義權利,沒有充分考慮信息隱私保護的公共性背景或社群背景。對于這一點,耶魯大學法學院羅伯特·波斯特(Robert Post)教授曾經有過精辟分析。在重新闡釋沃倫與布蘭代斯的隱私權文獻中,波斯特指出,沃倫與布蘭代斯所提出的隱私權或“獨處的權利”并不是泛泛而談的獨處或防止侵擾,并不是提倡一種類似梭羅隱居在瓦爾登湖的權利。[38]相反,沃倫與布蘭代斯所說的隱私權有著非常具體的語境,其所針對的正是現代媒體尤其是八卦媒體興起下的隱私侵權。在其文章中,沃倫與布蘭代斯生動地描繪了新聞媒體是如何侵犯個人隱私的。沃倫與布蘭代斯指出,如今新聞媒體已經“在各個方面都脫離了規矩和體面”,流言蜚語“已經不再只是來源于那些懶漢和惡毒的人”,相反,流言蜚語已經成為了一種“厚顏無恥的工業化的生產”。[39]為了吸引顧客,媒體不顧節操地刊發性關系的各種細節,完全不顧社群的某些社會規范。因此,沃倫與布蘭代斯雖然提出了作為獨處的隱私,但他們也同時是強調了隱私與公共社群的關系,認為隱私的邊界必須結合“每個具體案例的多種情境”來進行考慮。[40]在這個意義上,很難說隱私權是一種完全個體主義的基本權利,如果簡單將個人信息保護中的隱私權上升為一種個體主義的基本權利,那就忽視了隱私權背后的社群利益與社群規范。

      控制性的信息權利更是面臨個體主義的難題。控制性的信息權利觀主張個體對于信息的控制,但日常生活中他人對于個人信息的合理利用無處不在,每個人都可能打探其他人的姓名、電話等各種能夠直接或間接識別個人的信息,即使個人不希望他人獲取此類信息,也不能說此類打探信息的行為就屬侵犯他人的個人信息權利。在企業與政府收集與利用個人信息的情形中,賦予個體以絕對性的控制權,也并不一定合理與現實。畢竟,如果個體擁有對個人信息的絕對控制權,那么企業與政府在利用個人信息時就需要不斷獲得用戶的同意,這無疑會阻礙信息的集合效應與規模化效應。從個人信息公共利用與發展大數據與人工智能產業的角度來說,這樣一種高度個體主義的權利不利于產業對于個人信息的合理使用。[41]同時,從個人信息權利保護的角度來看,期望個體能夠保護自己的信息權利,這也對于個人信息權益保護的思考過于簡單。有很多的研究已經指出,面對千變萬化的信息收集場景與海量可能識別個體的個人信息,個體其實很難對自身信息權益進行有效的保護,大量的個人信息保護工作實際上仍然要依賴于公共監管機構的監管與作為消費者集體的監督。[42]

      (二)個人信息作為言論自由對象的反思

      另一方面,將個人信息視為他人言論自由的對象,存在個人信息保護不足的問題。對此可以結合公法上的言論自由理論進行分析。

      言論自由的目的之一是促進思想的自由市場,[43]言論自由可以促進信息的自由傳播,它可以幫助社會篩選出正確的思想,淘汰落后的思想。[44]個人信息無疑也可以部分起到此類作用。有的學者指出,基于個人信息的統計常常是思想自由市場中的重要因素,具有改變科學范式與公眾輿論的功能。例如對于醫療研究而言,很多醫療研究的突破都是建立在個人醫療健康類信息的統計基礎之上的,離開了個人信息的自由流通與使用,很多公益性或商業性的醫療研究就無從談起。[45]因此,將個人信息視為言論自由的對象,保護對個人信息的共享與利用,這就是在保護思想的自由市場,也同時保護了社會公共利益。[46]

      思想的自由市場理論正確揭示了個人信息的流通屬性與公共屬性,但和其他領域中的市場一樣,言論市場也存在壟斷和侵犯消費者權益的可能,主張完全自由放任的洛克納主義并不可取。[47]當企業收集了大量個人信息之后,企業利用此類個人信息所進行的研究和利用可能是為了支配消費者,而不是為消費者提供更好的服務。例如一些公司收集了海量個人信息之后利用此類信息來進行“大數據殺熟”,或者進行“實時定價”而榨取更多的消費者價值。從這種角度來看,即使存在一種言論與信息的自由市場,這種市場也常常存在很多問題,需要法律對這種信息市場進行規制。

      言論自由的目的之二在于促進公共討論與人民自治。言論使得人民能夠充分表達自己的意見,使人民能夠接收到有用的信息,正如隱私權的提出者之一布蘭代斯所言:“國家的最終目的是讓人們自由地發展自己的能力……言論的作用是使人們擺脫非理性恐懼的束縛。”[48]個人信息在很多場景下具有此種功能。公共人物或公共議題中的個人信息自不必說,此類信息可能會對公共討論產生重大影響;[49]但即使是非公共人物或非公共議題,其中的個人信息也可能會在未來成為公共議題。例如某條個人信息可能是一個犯罪活動的線索,通過此條個人信息可以最終發現某項犯罪活動,或者可能導致某項丑聞的暴露與公開。[50]因此,公共議題與非公共議題是可以相互轉換的,今天的非公共議題很可能在未來就會成為公共性的議題,個人信息即便暫時沒有公共性,未來也會成為具有公共性的信息,從而對于人民的知情權與公共討論具有重要作用。

      但即使個人信息具有公共屬性或潛在的公共屬性,這也并不意味著所有個人信息都不值得保護或都應當“大白于天下”。[51]從公共討論的視角出發,保護公民的個人信息不被過度收集,這事實上有利于人們更多參與公共活動,更愿意表達自己的意見。正如保羅·葛維寶教授所言,言論自由所促進目的應當的是人們對公共生活的積極參與,當法律對隱私權益進行足夠的保護時,人們反而可能會更為充分、公開和堅定的表達自己。相反,當人們“害怕被人偷聽,害怕被公眾曝光,害怕自己的言辭成為流言蜚語的話題,害怕自己的親密關系被公開審查,害怕自己所說的話被認可或不被認可時”,公共討論反而就會受到抑制,言論自由所保護的目的就會受到削弱。[52]在個人信息利用的場景中,這一理論分析也同樣適用,恰當的個人信息保護也有利于公共討論與人民自治,而放任自流的個人信息利用則可能導致人民被操控。例如在Facebook的劍橋分析公司丑聞中,Facebook將個人信息分享給劍橋分析公司,但劍橋分析公司并不是利用此類信息為消費者提供更好服務,而是將此類信息運用于競選等政治活動中,以此來操控很多政治活動。[53]在此類個人信息的商業利用中,相關企業就沒有通過個人信息的合理利用來為公民提供更好的信息,[54]反而利用信息來操控選民,剝奪人們反思和慎重選擇的能力。因此,無論是對于個人信息的收集還是利用,無論是商業性還是非商業性的場景,對個人信息進行保護和對相關行為進行規制都具有合理性與必要性。[55]

      言論自由的目的之三在于促進個體自治。這種觀點認為,言論使得個體能夠獲得更多信息,從而使其具有更多的自主性。就個人信息而言,這意味著個人信息的自由流通是個人自治的重要保證,當個人對他人的信息獲取越充分,個體對他人的判斷和個體作出理性選擇的可能性就越大。

      但這種觀點并沒有深入考慮個人自主性的成因。首先,個人信息的無限制流通可能會引起個人無法被社會正確地理解與對待,從而造成社會對他人的誤解。知名法律學者杰弗里·羅森曾出版《不希望的注視》,為信息隱私保護辯護。[56]羅森認為,應當區分兩種關于個人的信息,一種是碎片化和膚淺化的個人信息,另一種則是“只能為一些朋友、愛人或家人所獲知”的具有復雜性的真實知識。[57]在羅森看來,關于個人的復雜性知識只能通過緩慢的時間積累來獲取,而社會卻總是通過媒體報道或公共性事件而獲取關于個人的碎片化信息。因此,羅森指出,隱私的“核心價值之一”是保護個人不會因為“在一個世界中的短暫一瞥而被脫離語境地錯誤界定與評判”。[58]

      此外,信息隱私對于普通公民個體人格發展具有重要作用,缺乏隱私為個人人格所構建的發展空間,個人將不可能培養獨立的人格。對此,隱私研究的權威學者朱麗葉·科恩(Julie E. Cohen)曾經有過詳細的論述。在科恩看來,人們之所以對隱私的價值認知不足,是因為沒有意識到個人總是生活在社會中,總是為各種社會力量所支配。[59]例如,個人常常為商業信息所支配,而商業與信息融合而帶來的“信息資本主義”又追求利潤最大化,常常趨向于激發消費者的欲望和即時性的信息處理方式。對于公民個體的人格來說,這具有非常負面的作用,因為獨立的人格與反思能力來源于“知識的積累以及邁向信息處理的更高級別的復雜性”。科恩指出,信息隱私恰巧可以在現代社會為公民提供一種庇護,當公民具有合理的隱私空間,他們就可以免受商業、政治、同齡人的即時性壓力,而能夠更為長遠和審慎地思考問題和規劃未來。[60]

      總之,將信息作為言論表達自由的對象,揭示了個人信息應當合理流通與利用的一面,但這并不能否認個人信息應受保護。恰恰相反,當我們深入言論自由理論,就會發現保護個人信息能夠促進言論自由所意圖實現的目標。就此而言,雖然言論自由理論主要建立在美國的言論自由基礎之上,但其所揭示的原理和帶來的啟發卻是普適性的,同樣適用于包括中國在內的個人信息保護。

      四、個人信息的場景化行為主義規制

      將個人信息視為基本權利的客體,這更多反映了歐洲看待個人信息的立場,[61]而將個人信息視為他人言論自由的對象,這更多反映了美國看待個人信息的立場。前者為我們揭示了個人信息的個體屬性;而后者則為我們揭示了個人信息的公共流通屬性,兩者從兩個不同側面揭示了個人信息不同于一般物品或財產的雙重屬性。[62]

      (一)個人信息的行為主義規制

      個人信息的雙重屬性為保護個人信息指出了方向。既然個人信息確權保護很難成立,而個人信息的無限制流通又可能侵犯個體與社會的相關權益,那么保護個人信息就應當對個人信息收集、儲存、處理的各個環節進行行為主義的規制,確保個人信息流通的各個環節都能得到法律的合理介入。相比基本權利進路的法律保護,這樣一種進路并沒有采取個體主義與權利話語的觀點,[63]也沒有否認個人對于附著在個人信息上面的合法權益。[64]而相比起言論自由的進路,這樣一種進路也沒有對個人信息保護放任自流,沒有借言論自由審查阻礙政府對個人信息的保護。[65]

      從行為主義規制的進路出發,個人信息保護應當根據不同行為所可能侵犯個體與社會的權益而進行不同程度的規制。例如,對于個人信息收集行為,應當采取相對寬松的規制策略,因為個人信息的收集與個人信息的流通共享密切相關,如果對個人信息的收集行為進行過于嚴厲的規制,那么個人信息就無法合理流通,個人信息中所可能蘊含的公共性價值就無法得到體現。而對于個人信息的處理,則應該進行更為嚴格的規制,因為相比起個人信息收集,個人信息的處理會直接對個人產生影響,會對個人權益產生更為直接的影響。此外,對于信息的儲存與披露,則應當采取最為嚴格的規制策略,因為企業等信息收集者與處理者對個人信息的儲存常常涉及海量個人信息,一旦發生信息泄漏,就可能造成個人和社會的安全風險。

      (二)基于場景的行為主義規制

      個人信息的行為主義規制應當是高度場景化的。它與刑法上的行為主義規制不同。在刑法上,當某些行為被確定為罪名之后,此類行為就被認定為犯罪,不論此類行為發生在哪種場景,針對何種對象。但個人信息的行為主義規制則不同,對個人信息進行規制的必要性與合理性往往取決于不同的場景與對象。例如,當自動駕駛汽車不經個人同意而收集和處理個人信息,此類行為完全具有正當性,因為此類場景就不可能為個人同意提供選擇的機會;當電商企業收集與利用個人信息為消費者推薦一般商品時,此時電商企業對個人信息的收集與利用也具有一定的合理性,因為個性化推薦將總體上為個人提供更符合個性化偏好的產品;但當互聯網企業收集個人信息并用于推送醫療廣告,此類行為就可能面臨違法,即使此類收集得到個人同意,此類行為也可能存在問題。因為在醫療領域,個人和醫療機構之間往往存在巨大的認知差距,醫療企業與互聯網企業往往很可能會利用個人信息來向個人提供利潤最為豐厚的醫療服務,而非最適合個人的服務。[66]

      個人信息應當進行場景化的行為規制,這與個人信息所承載的多重權益相關。上文的分析表明,保護個人信息其實并不是保護個人信息本身,而是通過保護個人信息來保護其他權益,這就是作為基本權利的個人信息權利不能成立的原因,也是為什么需要對個人信息采取行為主義規制進路的原因。但是,究竟個人信息背后的權益是什么?無論是數據保護的實踐領域還是學術領域都沒有共識。在實踐領域,以歐盟《一般數據保護條例》為代表的數據保護立法其實包含了一系列的權益,其中既包括個體的知情權等消極性的隱私期待權利,也包括積極性的數據選擇權與控制權,同時也包括了數據質量與數據安全等權利。因此,保護個人信息既包括了附著于數據上的人格性權益,財產性權益,也包括了風險預防性權益。而在學術領域,關于個人信息保護目的的討論則更為多元,從保障個體權益、促進數據公平到維護社會數據規范、規制數據風險、促進公共討論,不同理論從不同角度論證了個人信息所承載的多重權利。[67]正是因為個人信息保護背后如此多元的權益,使得個人信息保護常常高度依賴于場景。在一種場景下,個人信息保護可能會促進某種權益,但一旦場景變化,個人信息保護就不但無法促進某種權益,反而可能妨礙另一種合法權益的實現。[68]

      (三)場景化行為主義規制的實踐

      當前,各個國家與地區的個人信息保護法都建立在“公平信息實踐”(Fair Information Practices)的基礎之上。這些法律一方面賦予個體以針對數據收集者與處理者的一系列信息權利,例如針對個人信息收集與使用的選擇權、訪問權、更正權、被遺忘權、攜帶權等等;另一方面則要求數據收集者與處理者承擔一系列責任,例如要求個人信息收集的公開透明、保證個人的數據質量與數據安全。[69]這些規制雖然包含了行為主義的法律規制方式,但主要采取了個人權利的進路。尤其是歐盟的《一般數據保護條例》,大大強化了個人數據控制權。[70]

      就立法技術而言,這樣一種立法模式無可指摘,或者說具有相當的合理性。在個人信息保護越來越成為共識的今天,這樣一種立法模式可以較快地建立一套個人信息保護的法律框架。法律通過個人信息這樣一個工具或抓手,賦予個體以針對個人信息收集者和處理者一系列權利,這可以確立個人信息保護的一般性規則,從而保護個人信息背后所承載的多種權益。從法律原理上來說,一般性的規則能夠減少信息搜尋成本與認知成本,有利于個人盡快認知和利用法律進行維權,有利于數據收集者與處理者盡快地進行合規操作,也有利于執法主體盡快進行執法。[71]

      但即使立法上采取權利進路的個人信息保護,在司法與執法層面,對個人信息權利的解釋也必然會采取場景化的行為主義規制方式。個人信息權利所包含的若干權利是否被侵犯,都需要在具體場景中加以確定。我們已經看到,在收集個人信息時,自動駕駛等場景就不太可能賦予個體以選擇權。其他信息權利亦是如此。例如賦予個體以被遺忘權,這種權利雖然在紙面上可以被上升為一種權利,但這種權利的行使卻需要在具體場景中結合多種因素加以確定。例如在實踐中,谷歌就設置了一些場景化因素來審查用戶提起的被遺忘權請求:數據所涉及的主體在公共生活中的角色、數據的性質、數據來源、數據所經歷的時間。[72]這些因素的具體考慮使得被遺忘權雖然名義上仍然是一種“權利”,但實際上已經成為一種對個人信息進行行為主義規制的工具。[73]

      觀察歐盟與美國的個人信息保護實踐,也可以發現它們的個人信息保護接近于場景化的行為主義規制。以歐盟為例,在《歐盟數據保護指令》(95/46/EC)指令生效期間,負責解釋該《指令》的第29條數據保護工作組(The Article 29 Working Party)就不斷發布關于個人數據保護的具體指引,這些指引常常結合具體場景來對《指令》中所規定的各種權利與責任進行解釋,事實上提供了一種行為主義的合規指引與執法指引。在歐盟《一般數據保護條例》生效后,歐盟數據保護委員會(European Data Protection Board)又接替了第29條數據保護工作組的這一功能。而美國并沒有在聯邦層面對個人信息保護進行統一立法,在一定程度上,美國聯邦貿易委員會承擔了個人信息保護的主要職能。就保護模式而言,美國聯邦貿易委員會通過個案執法而不斷勾勒個人信息保護的行為邊界,從而在事實上形成了對個人信息的場景化行為主義規制。[74]因此,盡管歐盟與美國在個人信息保護方面有眾多區別,但實際上他們有殊途同異之處,歐盟與美國都采取了場景化的行為主義規制道路,通過在具體場景中判斷相關行為的合理性來最終確定個人信息保護的邊界。

      結論與啟示

      個人信息的公法性質是信息隱私或數據隱私保護的前提性問題:如果個人信息構成公法上的基本權利客體,那么法律體系就應當通過制度設計來落實這種基本權利保護;相反,如果個人信息構成他人言論自由表達的對象,那么個人信息就應當以自由流通與自由使用為基本原則,對個人信息流通與使用的限制都會因為違反言論自由原則而無效。這兩種看待個人信息的視角揭示了個人信息的雙重屬性,從個人信息的雙重屬性出發,本文認為,個人信息權利無法成為一種獨立性的基本權利,但同時個人信息也可能承載的多種合法權益,需要法律進行介入與規制。

      從個人信息的基本屬性出發,個人信息保護應當采取基于場景的行為主義規制。相比起基本權利的進路,這種保護方式并不試圖對個人信息進行確權。[75]在這個意義上,可以說本文拒絕“個人信息權利”,但承認“個人信息被保護的權利”。更準確地說,本文主張“個人信息相關權益被保護的權利”。如同本文一再強調的,個人信息本身并不值得保護,保護個人信息是基于路徑依賴和實踐可行性的考慮。通過個人信息這樣一個工具和抓手,法律可以對個人信息所承載的相關權益進行較為全面的保護。

      目前,中國正在緊鑼密鼓地制定“個人信息保護法”“數據安全法”等法律。關于個人信息或個人數據的法律保護方式,有的觀點主張走歐盟強化個人數據控制權的立法進路,而以企業界為代表的觀點則主張采取美國以自由市場和自我規制為主導的保護模式。本文揭示了這兩種觀點都可能存在的問題:歐盟的進路過于忽略個人信息的流通與利用;美國的進路過于忽略個人信息背后所需要保護的多種權益。從信息的雙重屬性出發,未來中國的個人信息或個人信息保護應當尋求獨特的中國道路,通過行為主義的規制方式逐步勾勒個人信息保護的合理邊界。

      具體而言,行為主義的規制方式可以在立法、執法、司法等層面落地。在立法層面,我國的個人信息保護法與相關法律法規可以將“尊重場景”的原則作為個人信息保護與數據治理的基本原則之一,就像美國的《消費者隱私權利草案》一樣。在執法層面,執法機關除了結合法律法規在具體場景中進行個案化執法,還應當在執法中形成執法案例匯編,以案例匯編勾勒個人信息保護的邊界。在司法層面,司法機關也應當以司法判決和司法案例編撰來分析個人信息保護。此外,企業等主體也應當積極參與場景化的個人信息保護,通過對一線場景中的個人信息保護進行研究與總結,企業不但可以進行更為有效的自我規制,而且也可以為國家的個人信息行為主義規制提供參照。

      總之,面對個人信息的保護難題,采取基于場景的行為主義規制,更符合個人信息雙重屬性,實現個人信息保護與個人信息流通的雙贏。[76]在全球個人信息保護與數據治理的制度競爭中,這一進路也符合中國的現實需求,有利于中國在全球的個人信息保護與數據治理中發出自己的聲音。

    閱讀(192 評論(0
    我要評論
    歡迎您

    最新評論

    北大法律信息網
    www.chinalawinfo.com
    法律動態
    網站簡介
    合作意向
    網站地圖
    隱私政策
    版權聲明
    北大法寶
    www.pkulaw.cn
    法寶動態
    法寶優勢
    經典客戶
    免費試用
    產品服務
    專業定制
    購買指南
    郵件訂閱
    法律會刊
    北大英華
    www.pkulaw.com
    英華簡介
    主要業務
    產品列表
    英華網站
    聯系我們
    用戶反饋
    返回頂部
    二維碼
    不要添了,我高潮了视频