大數據隱私的身份悖謬及其法律對策
作者:劉澤剛  
    摘要:  大數據運營在收集使用大量身份信息的同時卻無法賦予用戶網絡主體身份。這種身份悖謬是由互聯網結構、大數據模式以及法律規范不足共同導致的,也意味著數據自決和意思自治難以實現,政府監管和法律保護才是當前信息隱私保護可行的主導機制。歐盟統一立法創設數據主體,并影響了印度、巴西等人口大國的數據保護立法。但硬性拔高隱私身份定位付出的法律和經濟代價也是沉重的。美國依托消費者身份利用現有機制加強信息隱私監管的實用主義路徑與其普通法傳統契合且成本較低。我國信息隱私主體的現有法律定位模糊。未來立法宜正視互聯網發展的現實,兼采歐美之長,適度提高信息隱私身份定位,但應避免設置副作用明顯的權利。宜在加強對企業監管的同時,綜合利用消費者權益保護等機制提升大數據隱私的保護質效。
    關鍵詞:  個人信息 信息隱私 隱私保護 數據主體 消費者隱私

一、大數據隱私身份悖謬及原因分析

在大數據條件下隱私和身份間存在著明顯的悖謬關系:用戶在不斷提供各種身份信息的同時卻處于沒有獨立身份的被動地位。“身份”亦作“身分”,在現代漢語中有“出身和社會地位”“身價”等涵義。自然人在傳統空間擁有單一的主體身份,并據此從事各種活動、獲得財產、建立人際關系,進而發展自身個性和人格。這種看似天經地義的事情在互聯網中卻難以實現。自然人在互聯網中最常見的身份就是“用戶”。但用戶卻并非單一和持久的網絡身份。用戶身份并不以注冊為前提,只要享受了某種服務或使用了某種應用就可成為用戶。成為用戶最重要的前提是“用”,而使用的前提則是提供一些與身份相關的數據。以谷歌公司為例,其用戶分為三類。“注冊用戶”、 “非注冊用戶”、 “被動用戶”。不難發現,三類用戶的共同點在于通過某種方式提供了某種程度的身份信息。嚴格來講,用戶并不實際擁有其在網絡上的各種身份。這些身份就是某些特定數據,但用戶無法決定這些數據如何使用,且在停止某種服務注銷相關賬戶后也不能帶走這些身份數據。事實上,自然人在現有互聯網條件下基本不具有獨立性,且對其數據收集、存儲、處理也沒有自主性。在大數據條件下,自然人更像是被動服從于互聯網統治的,而非真正的主體。比較理想的狀況是自然人在互聯網上應該有單一的數字身份,并且包括了個人進行各種網絡活動產生的大量數據。自然人應該能自由調取這些數據,決定是否以及提供哪些數據給相應的服務平臺或企業,而且有權在終止服務后徹底銷毀因享受服務產生的相關數據。但這種理想的網絡主體身份卻難獲得現實支撐。這種身份悖謬嚴重制約了隱私保護的效果。隱私是高度人格性的利益。在互聯網基本架構穩定的前提下,身份是個人信息構成和保護的關鍵要素,在隱私保護領域,只有能識別出身份的信息才是個人信息。但用戶在大數據模式中的身份卻是卑微和被動的。這種身份悖謬限制了隱私保護的主動性和實效性,則更需在法律上對信息隱私進行準確身份定位,才有可能保護隱私。而產生這種身份悖謬的原因十分復雜,主要基于以下幾個方面:

(一)互聯網結構原因:身份即數據

大數據隱私的身份悖謬首先是由現有互聯網的結構決定的。對互聯網來說用戶的身份就是一系列數據。原因是互聯網是一個協議分層系統,不管上層應用有多么豐富多樣,其底層卻由數據和協議主導,身份問題并不重要。互聯網的分層架構是一個數據移動、處理、呈現的過程,這一分層系統至少包括底部的“實體層”(Physical Layer)和頂部的“應用層”(Application Layer),還有夾在二者之間的“鏈接層”(Link Layer)、“網絡層”(Network Layer)和“傳輸層”(Transport Layer)。越底部的層級越靠近硬件;越上面的層越靠近用戶。每一層都是為了完成一種功能。為實現這些功能,就需要遵守共同的規則,也就是“協議”(Protocol)。互聯網的每一層都定義了很多協議,這些協議總稱為互聯網協議(Internet Protocol Suite)。歸根結底,協議和數據才是互聯網的核心要素。在頂層的用戶是靠提供數據才能進入這個系統并享受服務。在最初的互聯網協議中并沒有納入普通用戶或自然人的身份。互聯網領域的身份至少有三個層次:身份(Identity)、身份驗證(Authentication)和授權(Authorization)。“身份”與社會檔案具有一致性。“身份驗證”是指獲準進入某渠道的資格驗證。“授權”則是指獲準進行某些操作的授權。用戶須提供一系列數據并經過以上三個層次的身份確認才能獲得某種網絡應用或服務。盡管很多國家采取了“前臺自愿,后臺實名”的做法,然后臺本質上是一種身份信息的一致性驗證和備份。實名信息并沒有賦予用戶在互聯網的獨立身份。相反,針對不同的服務和平臺,用戶每次都需要進行注冊和驗證。這是因為用戶與互聯網之間并沒有獨立的安全協議,其信息安全與隱私都由應用層決定。自然人在互聯網上的用戶身份是碎片式的,而非單一的網絡身份。

只要互聯網的基本架構不變就很難確立自然人的單一網絡身份。即便是被寄予厚望的區塊鏈(Blockchain)恐怕也無能為力。區塊鏈從本質上來說是一項通用技術(General Purpose Technology),可以提供去中心化的信任機制,無需像現有互聯網反復對個人進行身份驗證。而且通過區塊鏈技術創建的互聯網身份具有難以篡改的優點,擁有區塊鏈身份的主體能夠有效管理自己的身份數據,只需選擇必要的身份數據片段而不必一并提交給應用等優勢。 單從技術角度看,區塊鏈具有確立自然人網絡主體身份的潛力,更利于保護隱私。但任何寄望于單一技術改變現有制度的想法都是幼稚的。互聯網發展至今,已形成強大的利益格局和制度慣性,任何結構性的改變都需要付出高昂代價。目前尚未出現任何改變互聯網基本架構的趨勢。

(二)大數據模式原因:身份即資源

數據是大數據時代的基本資源,與身份相關的數據價值更高。大數據運營模式以高度集中達到“大”的數據進行集中、流動和占有為前提。這些特征增加了隱私保護的難度。首先,大數據以數據的集中使用為前提。從全球范圍來看,大部分用戶的數據被鎖定在諸如谷歌、臉書、雅虎等大應用運營商的集約式的“數據筒倉”(Data Silos)中。而集中則意味著攻擊目標明確和系統性的危險。2013年雅虎10億用戶個人信息被盜。其后公司加強了安全防護,但2017年又發生了雅虎30億用戶個人信息被盜。此類事件頻發充分證明了數據高度集中的危害。其次,數據只有在流動中才能實現價值。但大數據處理環節眾多且復雜,強調數據主體的控制會削弱數據流動的價值。數據挖掘卻是以犧牲人格利益的方式進行的。數據挖掘的目標和方式都不太明確,所以在數據處理前往往無法預先詢問相關權利人并獲得許可。企業通過數據挖掘發現有價值的模式,從而產生經濟價值。而普通用戶對數據如何運用卻毫不知情,也無法干預。在大數據模式下,數據與個人的聯系是動態的,而且其變化難以預測。個人信息與客觀數據間的界限更加模糊,信息隱私的保護也更加困難。最后,在大數據條件下用戶提供的數據和其活動形成的新的數據并不歸其所有,也不由其支配。這些數據是大數據經濟的基本資源。在各種數據中,與身份相關的數據無疑是最有價值的。用戶如果想終止服務,在絕大多數情況下都無法帶走或刪除其在享受服務期間產生的數據。當然,在GDPR正式實施后,數據攜帶已經成為一種權利。一些企業也開始采取積極措施促進不同平臺間數據的順利轉移。2017年谷歌、Facebook、微軟和Twitter聯合發起一項名為“數據遷移”(Data Transfer Project,簡稱DTS)的開源項目,旨在為用戶提供在參與該項目的服務提供商之間直接無縫地移動數據。這無疑是一大進步。但這個項目依然是以數據結構為基礎的,包括數據模式、適配器、任務管理庫三個組成部分。其中盡管有“驗證適配器”的模塊,但其重點并非身份的構建,而是數據的轉移。主導權仍然在企業或者服務提供商手中。享受DTS的依然是“用戶”。更重要的是,數據主體能夠攜帶的數據只是由其提供的個人數據。但必須強調的是GDPR的數據攜帶權并不包括對數據主體個人行為進行事后分析而獲得派生或推測數據。這意味著個人即便銷戶也無法帶走和刪除與其相關的大量數據。

(三)規范不足原因:身份即問題

互聯網發展早期彌漫著樂觀主義情緒。參與構建互聯網的技術精英以及富于前瞻性的觀察家都將互聯網視為自由人的自由聯合。甚至認為此種聯合勢必突破舊制度框架,為人類提供更自由的規范體系。然而,事情并未按此邏輯發展。互聯網此后被牟利和控制邏輯主導。待出現種種失范,進而引發規范難題時,法律界才從旁觀和跟隨中猛醒并發現法律并未做好充分準備。尤其是在互聯網中自然人隱私保護缺乏恰當的身份保障。

盡管從直覺出發,信息隱私保護應該首先確定數據或信息的所有權或者歸屬權問題,即誰擁有數據這個基本問題,并在數據所有權(者)清晰的前提下確定信息隱私保護相關的權利和義務。但事實卻并沒有循此路線發展。即便是歐盟也只是采取了“數據主體”,而非“數據所有者”的概念作為其個人數據保護的規范基礎。盡管有人樂于宣稱企業并不擁有個人數據,用戶才擁有數據。但此類宣示除了引來叫好外,既不能改變現實,更不能改變規范。實際上,法學界從多個角度力求證明個人對數據的所有權。但無論基于財產權、所有權、知識產權等傳統法律路徑中的任何一條都難以證明自然人對其數據的擁有。自然人與其數據間到底應該是何種法律聯系?這個問題恐怕一時間難于做出實質性的解決。但大數據隱私保護卻日漸緊迫。法律有兩個選擇:一是通過立法改變互聯網的結構或者至少改變其運作的部分規則。二是不干預互聯網自身發展,從既有法律規范中選取相應機制進行規范。對此歐盟和美國分別選擇了不同的路徑。

二、歐美信息隱私身份的法律定位分析

歐美大數據隱私法呈現“地方性”特征,分野非常明顯。歐盟秉持理想主義創設“數據主體”身份,并賦予其一系列權利,試圖提升自然人對其個人數據的控制。美國則采取實用主義立場,充分利用既有法律身份和監管機制進行隱私保護,尤其倚重消費者權益保護機制。總體來說,美國做法更加務實和有效。歐盟做法具有明顯的理想性和前瞻性。但從運行實效看,數據主體在大數據條件下難以行使控制權,因而仍是虛懸的主體身份,且過于強調權利也易造成較大的經濟和法律成本。

(一)歐盟理想主義的“數據主體”模式

歐盟通過統一立法建構個人數據保護的“精細規制”框架,并且擬制了一個振奮人心的法律主體身份:數據主體。但這并沒有解決大數據隱私保護的身份難題。盡管1995年《數據保護指令》(以下簡稱1995年指令)和GDPR都使用了“數據主體”術語,但分析其規范結構卻不難看出這一法律身份充滿不確定性。

首先,數據主體具有概念上的不確定性。GDPR第4條(1)項的“數據主體”界定為“已被識別”“任何一個的自然人”,或“可識別”的“控制者或自然人”。為的是區分與自然人的人格緊密相關的個人數據和僅與自然人相關的客觀數據。客觀數據當然有可能與自然人有關,但只要其關聯程度并非足以影響人格,就不必作為個人數據進行法律保護。正因為如此,GDPR將個人資料界定為“任何與數據主體有關的信息”。但這里存在規范層面的不確定性。畢竟“可識別”更多是一個技術和事實層面的問題,很難從規范上對其進行預先確認。大數據條件下的數據處理流程和信息流動過程并沒有對應的信息區分機制。相反,在互聯網高速發展的情況下,信息的可識別性是高度依賴于技術和營商模式的,而非法律規范。從技術角度看,在某種框架下無法被識別的信息可能在另一個框架下能被輕易識別;過去不能被識別的信息,在新技術下就可能被識別。結合GDPR其他規定來看,在沒有技術支持下的法律規范的不確定性就更明顯。如第4條(11)項規定“數據主體的‘同意’指的是數據主體通過一個聲明,或者通過某項清晰的確信行動而自由作出的、充分知悉的、不含混的、表明同意對其相關個人數據進行處理的意愿。”但在大數據條件下,“可識別”本來就具有不確定性。數據挖掘后很可能出現新的可識別的數據主體,但在他們“同意”之前,其數據已經被處理和利用。大數據隱私的身份悖謬在第4條兩項規定的對照中顯得非常清晰。究其原因,就在于“數據主體”并不是一種真正的主體身份,其法律地位依賴于特定數據處理流程和技術。更關鍵的是,盡管法律上賦予數據主體多種權利,卻沒有賦予其數據所有權。這是因為立法畢竟無法突破互聯網架構和大數據模式造成的自然人與其數據間關系的不確定性。說到底,數據主體概念的重心仍然在于數據,而非主體身份。

其次,數據主體規范地位具有不確定性。數據主體概念暗含的自然人控制其個人數據的觀念是難以落實的。自主控制觀念在GDPR的文本中雖無正式表述,但在相關說明(Recital)中卻有明確闡述。數據主體對數據的控制主要通過一系列控制權得以實現,其中包括訪問權、被遺忘權、數據可攜帶權、免于服從單純自動化處理決定的權利等。但這些權利都是基于互聯網發展早期的現實提出的。在大數據時代,幾乎所有數據控制權遭遇了現實的失敗。數據控制權主要依賴數據控制者和處理者主動履行相關義務才能行使。歐盟將數據處理涉及的行為者分為數據控制者(Data Controllers)和數據處理者(Data Operators)。數據控制者掌握數據處理的主動權,而且是數據集中和處理的樞紐,因此承擔更多的數據保護義務。互聯網經過多年發展后已經形成了規模效應。絕大部分數據都由幾個大公司掌握和運用。歐盟抓住了互聯網應用層高度集中這一特征,重點規制大企業的數據處理。Google Spain案中,歐盟法院將搜索引擎界定為數據控制者,引發了很多爭議。在很長一段時間內,大多數人都認為搜索引擎只是一個中性的提供便利的平臺。法院的判決直接改變了搜索引擎企業的法律地位,課予其更多的法律責任,變相地促使其主動調整了自己的隱私政策和數據處理流程。相較而言,在歐盟數據保護制度中“數據主體”基本上是一個被動的“受益者”。歐盟官方和民間并沒有更多考慮如何加強數據主體的自我約束,而是努力擴展數據主體的使用豁免,使其不必承當過重的法律義務。個人網絡行為變化帶來的高度隱私風險最終被轉變為更沉重的企業責任。

最后,數據主體的實施質效有很大的不確定性。從實際情況看,數據主體人為拔高用戶地位的做法的代價是明顯的。首先是經濟方面的代價。高標準和比較僵化的合規條件導致歐盟區域內的互聯網企業創業和運營成本都比較高。盡管歐盟一直力推單一數字市場計劃,但其互聯網經濟發展缺乏動力。歐盟的互聯網管制模式不僅拖累了歐盟企業,也打擊了其他國家和地區互聯網企業在歐盟開展業務的信心。在GDPR生效兩個月后,便有一千多個美國新聞媒體在歐盟無法訪問。其中不乏因為合規成本過高而主動和徹底放棄歐盟業務的媒體。歐盟這種高舉數據主體權利的做法還引發了法律規范方面的危機。尤其是歐盟將自己的數據保護標準強加給他國的做法不僅有借權利之名設立數據貿易壁壘之嫌,而且缺乏堅實穩固的規范理由,容易引發國際法和公法方面的規范爭議。

盡管存在一些不足,但歐盟通過統一立法創設數據主體的先進性是毋庸置疑的。1995年指令以及2018年生效的GDPR在全球造成了巨大影響。包括我國在內的很多國家在隱私保護規則制訂方面都深受歐盟影響。尤其需要指出的是,2018年印度和巴西這兩個人口大國在隱私保護立法方面都取得長足進展。兩國在信息隱私身份設定方面都明顯受到歐盟數據主體概念的影響。2018 年8 月14 日,巴西《通用數據保護法》(Lei Geral de Proteção de Dados,簡稱LGPD)獲得通過并將于2020年2月正式生效。LGPD采用了“數據主體”的概念。無獨有偶,2018年7月印度推出《2018 年個人數據保護法案》(The Personal Data Protection Bill)盡管沒有采取歐盟“Data subject”的表達,而是采用了“Data principal”的表述,但其功能和界定都與歐盟“數據主體”如出一轍。和法案一并提交的報告簡潔明了地解釋了將個人界定為“數據主體”的原因:“個人必須是數據主體,因為她是數字經濟中的焦點行動者”。但正如前文分析得那樣,大數據經濟中個人的實際地位是被動和卑微的,大企業和政府才是真正的主角。無疑,印度和巴西延續了歐盟在個人數據保護領域的理想主義。考慮到歐盟、印度和巴西共有人口20多億,不能不說“數據主體”是一個非常成功的法律概念。

(二)美國實用主義的“消費者”模式

美國選擇了一條充分利用既有法律并尊重互聯網現有架構的實用主義道路。美國在聯邦層面沒有對信息隱私保護進行統一立法的計劃,其信息隱私保護規則分散在各個傳統法律部門中。由此,美國隱私法又呈現出“九龍治水”的態勢。僅以互聯網監管來說,美國聯邦貿易委員會(以下簡稱FTC)和美國聯邦通訊委員會都有自己的管制領域。但經過多年發展,FTC已經成為美國最重要的信息隱私保護機關。很多學者認為FTC在美國數據保護體制中的地位實際上相當于歐盟法中的數據保護機關(DPA)。進入信息時代后, FTC以消費者保護機制為核心建立起一套信息隱私保護的“新普通法”。

FTC保護信息隱私的規范基礎主要是《聯邦貿易委員會法》第5條的規定。除此以外,FTC還有權執行一些比較具體的與隱私相關的法律,例如《反垃圾郵件法》《兒童在線隱私保護法》《電話營銷與消費欺詐濫用防治法》等。FTC享有的這些執法權涵蓋消費者權益的各個方面。而且通過對《聯邦貿易委員會法》第5條的擴充適用,FTC還將消費者隱私保護的觸角延伸到各種新興的實踐領域。尤其是“不公平和欺詐”本身就是有意設置的寬松表述方式。FTC據此在數據安全和隱私保護方面獲得了非常廣泛的權力。比如FTC可以采取強制執法措施制止違法行為,還可以要求企業采取積極整改措施,并可以追繳企業違法行為的不當得利,責令企業刪除非法獲取的消費者信息,協助消費者獲得賠償救濟等。對某些違反隱私法令和規則的行為,FTC還可以直接主張獲得民事罰款的支持;還可以向企業和消費者宣傳法律規定,在有關消費者隱私的領域提出立法建議或監管方案,組織召開相關研究和研討,開展全球隱私保護的國際合作等。FTC的執法范圍已經覆蓋到線下、線上以及移動端,執法對象更囊括了Google、Facebook、Twitter、Microsoft在內的知名企業。FTC有關消費者隱私權的執法重點雖然是美國本土消費者權益保護,但保護觸角延展至全世界各地的消費者,避免他們遭受FTC管轄范圍內企業不公平或欺詐行為的侵害。

除了聯邦之外,美國各州也傾向于依托消費者身份進行信息隱私保護。這一點可從令人矚目的《2018年加州消費者隱私法案》(The California Consumer Privacy Act of 2018,以下簡稱CCPA)看出。CCPA之所以引發全世界關注,除因作為全球第五大經濟體加州具有重要地位外,還與其明顯受歐盟GDPR影響有關,同樣高揚數據權利的立場。但CCPA仍保持著美國隱私法的特征。首先,仍然通過消費者身份保護信息隱私。在CCPA中“消費者”被界定為“作為加利福尼亞州居民的自然人”。這種界定非常寬泛,并沒有像歐盟那樣新增法律身份,為通過消費者范疇擴展隱私保護奠定了基礎。從效果來看,在美國隱私法中,消費者幾乎是與自然人相同的概念,只不過更強調了自然人在商業活動中相對弱勢地位而需要被保護的特征。其次,盡管設立了若干新權利,但CCPA仍然是以隱私權為規范基礎的。而歐盟在推出一系列“個人數據保護權”后,隱私權實際上已經“退居二線”。最后,CCPA的規范重心是商業活動,而非歐盟式的數據控制。CCPA設定的數據合規義務主體是各類企業,其監管對象是符合一定條件且對消費者隱私產生影響的企業經營行為。綜合來看,CCPA雖然借鑒了GDPR的精神,但從本質上說仍然是典型的以消費者保護為中心的美式隱私保護法。

消費者身份也一直是美國聯邦層面統一隱私保護立法規劃依賴的法律身份。2012年2月23日,美國聯邦政府提出一項名為《消費者隱私權法案》的立法框架。這份權利法案以消費者身份為基礎提出了數字經濟時代隱私保護的原則性規定。這些規定沒有直接的法律強制性,互聯網公司可以自愿選擇是否采納這些原則。然而一旦公開承諾遵守這些原則的互聯網公司公然違反法案提出的原則就將面臨FTC提起的強制訴訟。盡管至今美國聯邦層面仍未出臺正式和統一的信息隱私保護立法,但在2012年后提起的數次立法動議中都將消費者作為信息隱私的基本法律身份。2018年Facebook深陷“劍橋分析”事件引發美國朝野各界關于隱私保護聯邦統一立法的討論熱潮。行業組織、大型互聯網企業、權利保護團體、政府機關甚至是部分議員個人紛紛提出各種立法建議。這些立法建議的權利設置和法律用語都反映出歐盟GDPR的明顯影響。但政府層面卻依然保持了制度和用語方面的穩定性。2018 年9 月26日,美國聯邦國家電信和信息管理局(NTIA)代表商務部公開征集“發展消費者隱私管理辦法”的意見。這次征集意見的文件中提出了未來聯邦政府層面隱私保護的基本框架。而其沿用了之前聯邦政府類似文件中“消費者隱私”的術語。2018年12月19日,美國華盛頓哥倫比亞特區總檢察長向特區高等法院提起訴訟,針對劍橋分析事件中Facebook違反《特區消費者保護程序法》起訴Facebook。作為劍橋分析事件在美國本土引發的第一起訴訟,該案也是基于消費者身份提起的。以上這些都充分說明消費者身份在美國隱私法中具有根深蒂固的地位。

(三)身份設定差異對歐美隱私監管邏輯的影響

綜上,歐美信息隱私的法律身份設定存在明顯差異。歐盟通過擬制數據主體這一法律身份,提升了信息隱私主體的法律地位。但由于前文所述各項原因,數據主體的身份設定實際上有不顧現實拔高自然人網絡地位的嫌疑。這種法律定位與實際地位的差異體現在監管邏輯上的雙層結構。從表層來看,歐盟似乎高舉信息自決的旗幟,數據主體通過行使權利對數據處理過程進行自主控制,進而實現信息隱私保護目標。但這只是表面現象。實際上,由于互聯網的基本架構并非由歐盟主導建成。歐盟也必須服從現有互聯網的技術和產業規則。由于自然人在大數據條件下缺乏單一網絡主體身份,歐盟的信息隱私保護同樣無法依賴信息自決和意思自治實現。在深層結構上,監管才是歐盟信息隱私保護真正的主導機制。實際上,在GDPR還未生效的2016年,“歐洲監管中心”(Centre on Regulation in Europe,以下簡稱CERRE)就曾經發表報告指出,GDPR的主要規則都是公法性質的。盡管GDPR中也預留了一些通過私人行為影響數據處理過程的空間,但這些私人行為都是從公法角度構思的,且僅僅是公法監管行為的補充或輔助。CERRE呼吁應該為私法機制留下更多空間。但這種呼吁是缺乏現實依據的。數據主體只是一種虛懸的法律擬制身份。自然人想依靠這種身份對抗強大的互聯網企業進而自主控制個人數據處理過程,無異于癡人說夢。

歐美通過監管互聯網企業數據處理進程來保護信息隱私。“監管即隱私”是歐美共同遵循的深層邏輯。然而,由于歐盟設定的數據主體的權利不能脫離監管手段而獨立存在。這種雙層結構加劇了法律與現實之間的落差,明顯提高了信息隱私保護的制度成本。美國則采取了務實的經驗主義漸進邏輯,利用既有法律機制,順應時代要求對相關法律手段進行強化和發展。由于沒有系統地設置新型權利,美國信息隱私保護反而能直面問題,更好地兼顧各種利益。此外,歐美的規制重點也不一樣。歐盟看重個人數據處理過程的規制,美國則重點從消費者權益保護角度進行規制。歐盟注重事前的合法性基礎,從原則上說,沒有合法理由就不能處理數據。而美國則對企業數據處理的活動采取了更加靈活和寬容的態度,但對違法行為的事后追究非常嚴厲。相比之下,歐盟設定數據主體的制度成本甚為巨大,嚴重影響了互聯網經濟的發展,也未能實現自主控制個人數據處理進程的目標。美國依靠消費者身份保護信息隱私,看似比較被動,但卻充滿了保護主義的溫情和規制主義的實效。從效果來看,消費者這個看似比較被動的身份并沒有阻礙美國信息隱私保護的健康發展。美國消費者對互聯網安全也比歐盟的數據主體更有信心。據統計2017年美國成年公民通過網絡購物的比例是69%,比歐盟高12個百分點。

三、我國信息隱私保護的身份定位思考

由于尚無統一的個人信息保護法,我國法律關于信息隱私的身份規定呈現多元性。盡管我國也無法逾越大數據網絡架構去破解信息隱私身份悖謬,但未來立法可兼采歐美模式之長,賦予用戶恰當的法律身份,適度提高信息隱私身份定位,穩健妥夯實信息隱私的保護機制。

(一)信息隱私身份術語的文本分析

我國信息隱私保護的身份定位仍然模糊。這一點在法律用語方面體現得非常充分。綜合來看,現有法律規范中涉及隱私身份的術語大致有如下幾種情況:

1.“個人”。《民法總則》使用了“個人” 、“他人”的表述。第111條規定自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。在刑法領域,更傾向于加上“公民”二字,使用“公民個人信息”的表述,例如刑法修正案九中規定的“侵犯公民個人信息罪”。在2011年實施的國家標準《信息安全技術術語》(GB/T 25069—2010)中也是用“個人”這個術語來描述“隱私”的:“個人所具有的控制或影響與之相關信息的權限,涉及由誰收集和存儲,由誰披露。”2018年實施的《個人信息安全規范》(GB/T 35273—2017)沿用了 “個人信息”(Personal information)這個術語,并以一種非常接近GDPR的方式將其界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。

2.“用戶”。《網絡安全法》第四章“網絡信息安全”大多數條文與個人信息保護有關。其中第40條和47條使用了“用戶”的表述。需要注意的是,該章其他條文大多使用的是“個人”這種表述。同樣規范“網絡運營者”義務的第40條和第41條,前者使用的是“用戶”,后者使用了“個人”。另外,在相關國家標準中“用戶”是常見的技術術語。例如《信息安全技術術語》中專門界定了“用戶標識”、“用戶數據”等術語。

3.“消費者”。盡管“消費者”和“個人信息”是連用的,但《消費者權益保護法》第29條規定的關鍵身份無疑是消費者,其指向的也是消費者的數據和隱私。因此和“個人信息”的表述是明顯不同的。

4.“個人信息主體”。自2013年實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》(GBZ 28828-2012)使用“個人信息主體”這一表述后,其后推出的國家標準就更傾向于使用這一與GDPR“數據主體”非常接近的術語。例如2018年生效的《個人信息安全規范》以及2018年《個人信息安全影響評估指南(征求意見稿)》中都使用了“個人信息主體”這種表述,并將其界定為“個人信息所標識的自然人。”

(二)信息隱私身份的法律實效性分析

我國現有各類信息隱私身份的法律實效性存在明顯差異。總體而言,身份越具體,法律規定就越有實效。盡管學界多以“個人信息”描述大數據隱私,但除刑事法律規范外,以“個人”為身份定位的規范通常都只是宣示或原則規范。《民法總則》第111條的規定就屬于這類規范。該條文中的“他人個人信息”是一個不確定的概念。到底是他人的個人信息,還是涉及他人的個人信息,或是涉及他人人格的個人信息?語焉不詳。法律關系也不太清晰。個人信息到底是一種財產還是其他性質的民事法律關系的客體?更重要的是,該條文中的“信息安全”嚴格來說并非民法概念。至少民法領域并沒有專門而系統的信息安全原則。而“不得非法”之后的表述就更沒有實質性的規范內容。畢竟首先應該有規范內容較為確定的民事法律原則和規范,才談得上非法。綜合來看,《民法總則》第111條中并無切實可行的法律機制,屬宣示性規定。傳統民事法律機制難以成為大數據隱私保護的主導機制。實踐中,公民個人信息遭侵害后通過提起民事侵權訴訟維權的效果大多令人失望。即便是《民法總則》頒布后,個人提起的隱私權糾紛案件仍呈現“侵害規模大、勝訴比例低、訴訟動力不足”的特點。還有一些以“個人”為身份定位的規范屬于原則性規范。這類規范提出了隱私保護應該遵循的原則,但沒有可執行的機制和相應的法律后果。例如《網絡安全法》第41條規定了若干個人信息安全的原則,包括合法、正當、必要、同意、合法等。但在該法中并未規定這些原則的執行機制。亟需立法補充相應監管機制。

相比而言,身份定位為“消費者”、“用戶”或“個人信息主體”的規范往往屬于可執行規范。這類規范對應可執行的隱私保護機制,而且能直接或間接地引發相應法律后果。消費者身份對應于消費者保護機制,用戶和個人信息主體則對應于互聯網或相關行業監管機制。以《消費者權益保護法》第29條為例,盡管表述上比較原則,但該條文有明確的行為規范,如消費者同意,經營者公布規則,不得泄露、出售、提供信息,非經同意不得向消費者發送商業信息等。需要注意的是,這些規定處于《消費者權益保護法》第三章“經營者的義務”,而沒有規定于第二章“消費者的權利”。相關機制也更多都是經營者義務機制。而關于消費者權利的規定在該法第二章有原則性的規定,例如第1條“消費者在購買、使用商品和接受服務時享有人身、財產安全不受損害的權利。”第14條“消費者在購買、使用商品和接受服務時,享有人格尊嚴、民族風俗習慣得到尊重的權利,享有個人信息依法得到保護的權利。”除了消費者身份外,“用戶”和“個人信息主體”身份關聯的可執行規范往往表現為對網絡運營者或相關業者有直接約束力的國家標準。尤其是“個人信息主體”雖然僅僅出現在國家標準中,尚未成為正式立法用語,但國家標準往往具有很強的實際效力。例如2018年1月6日,因支付寶、芝麻信用收集使用個人信息的方式不符合《個人信息安全規范》的精神,也違背了兩家公司簽署的《個人信息保護倡議》承諾,國家互聯網信息辦公室網絡安全協調局約談了支付寶(中國)網絡技術有限公司、芝麻信用管理有限公司的有關負責人。兩家公司后續都對各自平臺進行了相應整改。

(三)妥善設置信息隱私身份的幾個關鍵問題

互聯網內在的技術與產業邏輯是非常強大的。信息隱私的身份悖謬在短期內是難以得到根本解決的。我國未來立法也應尊重大數據的剛性架構,在充分借鑒歐美經驗教訓的基礎上,探尋出化解信息隱私身份悖謬的規制路徑。具體來說,有三方面問題特別值得注意。

第一,理性提高信息隱私身份。盡管如前文所述,在大數據條件下,自然人并無真正的單一網絡身份。但通過立法合理設置信息隱私身份可以引導和調整互聯網發展,構建更有利于信息隱私保護的制度環境。鑒于目前我國已有的相關國家標準已經充分吸收歐盟GDPR的術語和權利體系,而且GDPR也確有一定先進性,未來《個人信息保護法》可以采用“個人信息主體”這類與數據處理監管關聯緊密的法律用語。原因是作為具有成文法傳統的國家,個人信息保護法對信息隱私身份做出妥善規定有利于我國信息隱私保護法律規范體系的建構,對社會實踐的引導作用非凡。其次,現有的人大及人大常委會制定的法律中確定的隱私身份主要有三種:個人、消費者、公民個人。個人身份定位過于泛泛,不能適應個人信息保護的規范需要。公民個人身份在刑法領域適用,不宜作為個人信息保護的基本身份定位。消費者身份定位雖然對應一些可執行規范,但由于我國消費者權益保護法遠沒有美國那樣發達和有力,因此也不宜模仿美國將消費者作為個人信息保護的基本身份定位。所以我國應該在信息隱私身份設定上有所創建。最后,作為世界上最大的互聯網經濟體,我國應該能夠在信息隱私保護方面起到一定引領作用。個人信息主體這個身份定位既強調了自然人在信息保護領域的特殊性,又從法律上拔高了自然人在互聯網中的地位。盡管目前確立自然人單一網絡身份的條件尚不成熟。但未來的互聯網發展應該能逐步確立自然人的單一身份。我國個人信息立法既要總結過往經驗,也應該面向未來。確立個人信息主體的法律地位是符合未來趨勢的。需要特別說明的是,立法確立個人信息主體目前仍是引導性的而非實質性的措施。其實質是通過立法適度超前地提高自然人的網絡地位,引導互聯網走向尊重人格和隱私的發展道路,而非不顧現實地宣告自然人網絡主體地位的確立。只要相關機制設計合理完全可以避免歐盟拔高數據主體地位造成的不良后果。

第二,務實規定信息隱私權利。設定個人信息主體身份未必就會產生歐盟數據主體權利導致的負面后果。關鍵在于個人信息保護立法應有意識地避免設立難于實現或有較大副作用的權利。個人信息主體地位當然需要一系列權利的支撐才能成立。但不宜盲目跟從歐盟的規定。我國完全可以利用后發優勢,對歐盟相關權利的運行效果做出綜合研判,在此基礎上,結合國情和需要謹慎務實地設計相關權利體系。此外,未來立法和執法中也應該注重加強對個人信息主體義務的設定和教育。在加強法律保護的同時提升個人信息主體的自律意識和自我保護能力。畢竟唯有具備一定的自律和責任意識的自然人才堪稱個人信息主體。否則只是被動和軟弱的數據保護的“受益者”而已。

第三,充分利用既有信息隱私保護機制。個人信息保護法的規范重點應該是政府監管機構、監管機制和監管義務。2017年日本個人信息保護法基本上就是循此邏輯立法的。我國個人信息保護立法不宜像歐盟那樣在法律層面過細規定數據處理流程。畢竟立法一旦通過就具有制度剛性,過于精細的監管容易影響產業發展。個人信息保護法應該是原則性的統一立法。未來我國適宜多頭并進,以講求實效的精神,充分利用和發展現有保護機制。我國學界和實務界越來越多地傾向于歐盟GDPR的統一立法模式和數據保護制度。但GDPR建立的數據保護制度是具有強制法律效力的,而我國相關國家標準只具有引導功能。更關鍵的是,我們是否就應該走歐盟的大數據隱私保護路徑?在現有互聯網架構和大數據模式下建構起一個擬制的網絡法律主體身份,其代價和阻力是非常大的。作為世界最大的互聯網經濟體,借鑒歐美的經驗需要慎之又慎,尤其是歐盟的互聯網法律規制方法在經濟領域造成的負面效果是不容忽視的。比較現實的路徑是“剛柔并濟”。 “柔”是指繼續加強國家標準等規范性文件的制訂和適用,綜合運用警示約談、行政指導、勸導示范、行政檢查、行政獎勵等柔性執法方式保護信息隱私。歐盟本身的實踐證明強硬地推行會造成經濟和法律層面的負面效果。所以,我國應用柔性觀念去引導產業發展和制度建設。其次,我國應加強“剛”性有執行力的法律機制的發展與建設。除了制訂個人信息保護法外,還應對現有法律機制進行梳理,充分利用和發展包括消費公益訴訟在內的法律機制對抗大型互聯網企業大規模侵犯數據隱私的現象。在未來立法中做好頂層設計,謹慎規劃,逐步規范隱私身份法律術語,重點加強具有執行力的大數據隱私保護機制的設置。

注釋:
是指訪問設置谷歌Cookies(DoubleClick 或 Analytic cookies)的第三方網站的用戶。
參見《網絡安全法》第76條:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”
[加]唐塔普斯科特、亞歷克斯·塔普斯科特:《區塊鏈革命——比特幣底層技術如何改變貨幣、商業和世界》,凱爾等譯,中信出版集團股份有限公司2016年版,第39-41頁。
Ali Muneeb, “Trust-to-Trust Design of a New Internet”, Princeton University Doctoral Dissertations, 2017, p.60.
關于DTS項目的詳細情況,可參見Data Transfer Project, “Data Transfer Project Overview and Fundamentals”, https://datatransferproject.dev/dtp-overview.pdf, 2019年1月2日訪問。
有學者認為盡管個人數據有特殊性,但仍可在傳統民事權利客體的理論框架內對其進行法律定位。參見程嘯:“論大數據時代的個人數據權利”,《中國社會科學》2018年第3期。有從權利屬性角度出發,對數據權利的法律特征進行了概括。參見李愛君:“數據權利屬性與法律特征”,《東方法學》2018年第3期。更關注政策和市場的研究者更重視企業間的數據分享和再利用以及自動化生成的匿名化數據的財產屬性等較為緊迫的實際問題。參見閆桂勛等:“數據共享安全框架研究”,《信息安全研究》2019年04期;王融、余春芳:“2018年數據保護政策年度觀察:趨勢展望”,《信息安全與通信保密》2019年04期。
Determann Lothar, “No One Owns Data” (February 14, 2018), UC Hastings Research Paper No. 265, https://ssrn.com/abstract=3123957, 2019年3月2日訪問, p.6.
GDPR的相關說明(Recital)第7條明確指出:“自然人應該能控制其個人數據”。See https://gdpr-info.eu/recitals/no-7/, 2018年11月26日訪問。
U Vrabec Helena, “The Failure of Control Rights in the Big Data Era – Does a Holistic Approach Offer a Solution? ”(October 20, 2016). in Bakhoum, M, Gallego Conde, B, Mackenordt, M-O & Surblyte G (Eds.), Personal Data in Competition, Consumer Protection and IP Law - Towards a Holistic Approach?, Berlin Heidelberg: Springer, 2017, pp.12-15.
參見CJUE, Case C-131/12,,Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD), Mario Costeja González, 13 May 2014, §§ 35-38.
Brendan van Alsenoy, Brendan, “The Evolving Role of the Individual Under EU Data Protection Law” (August 10, 2015). CiTiP Working Paper 23/2015, https://ssrn.com/abstract=2641680, 2019年1月2日訪問, p.6.
Jeff South, “More Than 1000 U.S. News Sites Are Still Unavailable in Europe, Two Months after GDPR Took Effect”, NiemanLab 7 August 2018, http://www.niemanlab.org/2018/08/more-than-1000-u-s-news-sites-are-still-unavailable-in-europe-two-months-after-gdpr-took-effect/, 2019年1月8日訪問。
參見LGPD第5條, https://www.pnm.adv.br/wp-content/uploads/2018/08/Brazilian-General-Data-Protection-Law.pdf, 2018年12月26日訪問。
參見該法案第3條第(14)項,https://meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill%2C2018_0.pdf, 2018年12月26日訪問。
Committee of Experts under the Chairmanship of Justice B.N. Srikrishna, “A Free and Fair Digital Economy Protecting Privacy, Empowering Indians”, http://meity.gov.in/writereaddata/files/Data_Protection_Committee_Report.pdf, 2018年12月26日訪問, p.8.
Solove Daniel J., Hartzog Woodrow, “The FTC and the New Common Law of Privacy”, Columbia Law Review, Vol.114, No.3 (2014), p.586.
Hartzog Woodrow, Solove Daniel J., “The Scope and Potential of FTC Data Protection”, George Washington Law Review Vol.83, No.6 (2015), p.2232.
Office of the Press Secretary, “We Can’t Wait: Obama Administration Unveils Blueprint for a “Privacy Bill of Rights” to Protect Consumers Online”, https://obamawhitehouse.archives.gov/the-press-office/2012/02/23/we-can-t-wait-obama-administration- unveils-blueprint-privacy-bill-rights, 2018年11月18日訪問。
See Kara Swisher, “Introducing the Internet Bill of Rights”, The New York Times 04 October 2018, https://www.newsstandhub.com/the-new-york-times/kara-swisher-introducing-the-internet-bill-of-rights, 2019年2月6日訪問。
National Telecommunications and Information Administration, “Developing the Administration's Approach to Consumer Privacy”, https://www.federalregister.gov/documents/2018/09/26/2018-20941/developing-the-administrations-approach-to-consumer-privacy, 2019年1月6日訪問。
Tony Romm, Brian Fung, Aaron C. Davis and Craig Timberg, “It’s About Time: Facebook Faces First Lawsuit from U.S. Regulators after Cambridge Analytica scandal”, The Washington Post 19 December 2018, https://www.washingtonpost.com/technology/2018/12/19/dc-attorney-general-sues-facebook-over-alleged-privacy-violations-cambridge-analytica-scandal/?noredirect=on&utm_term=.203b357d43fd, 2019年3月28日訪問。
Pierre Larouche, Martin Peitz, Nadya Purtova, “Consumer Privacy in Network Industries, A CERRE Policy Report”, https://cerre.eu/publications/consumer-privacy-network-industries, 2019年1月28日訪問, p53.
Alan Mcquinn, Daniel Castro, “Why Stronger Privacy Regulations Do Not Spur Increased Internet Use?”, Information Technology & Innovation Foundation July 2018, p.18.
參見“王金龍訴漢庭隱私權糾紛案”((2014)浦民一(民)初字第501號);“龐理鵬訴中國東方航空股份有限公司案”(2017)京01民終509號、“北京趣拿信息技術有限公司隱私權糾紛案”(2015)海民初字第10634號等。
陳晨、李思頔:“個人信息的司法救濟——以1383份‘App越界索權’裁判文書為分析樣本”,《財經法學》2018年第6期。
作者簡介:劉澤剛,哲學博士,西南政法大學行政法學院副教授。
文章來源:《浙江社會科學》2019年第12期。
發布時間:2019/12/16
 
分享到: 豆瓣 更多
【打印此文】 【收藏此文】 【關閉窗口】
 
捕鱼达人广告