随着大数据技术的开发应用,在个人信息主体与信息收集利用者之间引发出一系列权属争议问题。如何配置权利,答案应建立在个人信息保护与数据开发利用的二元价值平衡基础上。在此问题上,美国和欧盟代表两种不同的取舍模式,而中国则介于二者之间。中、美、欧三者之间的不同,深刻反映出中西方之间以及大西洋两岸根深蒂固的法律文化差异。
网络空间原本十分充裕的信息资源,随着大数据技术的开发应用,迅速成为多方声索的稀缺资源,卷入资源争夺的主体有二:一是个人信息主体,二是信息收集利用者。前者事关自然人的人格完整性,后者事关经济社会利益和大数据产业发展。双方的权益内容存在交叉重叠,由此引发一系列权属争议。如何配置权利?答案应建立在个人信息保护与数据开发利用的二元价值平衡基础上。美国和欧盟代表两种截然不同的取舍模式。介于二者之间,中国早期采纳“美国式实践”,近来又转向“欧盟式立法”。中、美、欧在个人信息保护与大数据开发利用之间的价值权衡,深刻反映出中西方之间以及大西洋两岸根深蒂固的法律文化差异。
一、大数据技术带来的隐私保护难题
在大数据时代,互联网上几乎所有活动都会留下详细记录或元数据,通过用户计算机或智能手机的IP地址、网页浏览器采集的cookie数据以及其他各种识别符均可关联到特定个人。尽管各国的大数据采集规则普遍要求对数据做匿名化处理,但这仅具有形式意义,恰似精心伪装的犯罪嫌疑人留在现场的指纹一样,大数据技术完全可通过寻找匿名行为信息的关联性实现再识别,数据科学因此提出了“数据指纹”的概念。那些形式上已被匿名化处理的数据,只要被特定算法关联起来,便可迅速画出“数据人像”。在这样的技术条件下,原本不属于个人信息的数据,完全可通过大数据分析得出有关私人事务的信息。此时,若仍坚持认为不含有姓名、身份证号的cookie信息不属于个人信息的观点无异于掩耳盗铃。种种迹象表明,大数据技术已将人类置入“透明人”的时代,个人信息的概念和隐私权的保护范围需重新界定。
隐私保护固然是世界各国立法的价值追求,但承载着个人隐私的数据资源还蕴含着重要的经济和社会利益。随着现代社会信息化程度的提升,数据不再只是人际沟通的符号,它被视为与“石油”并驾齐驱的“新能源”。若基于隐私保护之考虑,将所有与个人有关的数据均纳入个人信息或个人隐私的范畴,则绝大多数具有大数据开发价值的信息都将囊括其中,这对于大数据资源的开发利用将带来沉重负担和法律风险,这与国家鼓励大数据产业发展的政策导向存在张力。
因此,考虑到大数据在当今世界已成为国家竞争力、创新力和生产力发展之基础,法律上对个人信息和隐私权的界定也不得不兼顾数据资源的商业开发和社会公共价值,这已成为大数据时代隐私权保护的全球性难题。作为全球两大经济体和两大法域,美国和欧洲在此问题上呈现出显著的价值分野。
二、美国鼓励数据开发利用的价值取向及其意义
美国网络法的一个根深蒂固的观念是“让互联网自然演化”,这种充分尊重市场和网络自治的观念深刻影响了美国的个人信息保护法——通过扩张适用普通法的隐私权概念,以“旧瓶装新酒”的方式保护个人信息,这反映出美国在个人信息保护领域的价值取向。
首先,美国当前的个人信息保护制度仍高度依赖普通法上的“四类隐私权”体系,而隐私权是一种消极防御性权利,防御机制的启动以损害为前提,是否有损害因此成为信息开发利用之边界,而大数据技术对个人信息的利用往往只意味着潜在致害风险,少有即刻发生的有形损害,这给数据开发利用提供了广阔空间。
其次,美国针对个别行业领域构建的制定法的事前保护机制,以“可识别个人身份的信息(Personally identifiable information,简称PII)”作为其保护界限,但在解释适用中,“制定法、法官和政策制定者均采纳限缩解释倾向,仅将当下确定能识别个人身份(identified)的信息视为PII”,这限缩了个人信息的类型与隐私保护范围。
作为代价,美国以私权自治为基础的个人信息保护体制积弊重重,由此导致个人信息和隐私泄露事件此起彼伏。从“斯诺登事件”披露的情况来看,美国大型互联网公司如脸书、微软、苹果、雅虎、谷歌均存在泄露用户个人信息的问题。自进入21世纪以来,加强隐私保护的呼声在美国虽日益高涨,但至今难有结构性改变。这背后重要的原因在于,美国在历史上始终是个信赖法院并对政府干预保持高度警惕的国家,在个人信息保护问题上,美国人更信赖法院的中立性以及普通法在事后进行利益平衡的灵活性。正在这样的法律文化和制度结构中,美国互联网产业始终领跑全球,但个人信息和隐私保护状况却备受诟病。
三、德国/欧盟优先保护隐私的价值取向及其意义
如果说美国是个崇尚行为自由的国家,那么,德国/欧盟则更强调人格尊严的至高无上。德国联邦宪法法院早在1983年的“人口普查案”中就通过解释适用基本法(宪法)第1条第8项的人格尊严和第2条第1项的一般人格权概念,发展出一项独立的“信息自决权”,作为一项由联邦宪法法院创设并在《德国联邦数据保护法》中得到发展的绝对权,个人信息自决权将个人信息视为自然人身体的一部分予以优先保护,权利内容涵盖知情、同意、更正、删除、封存、限制、拒绝等。受德国影响,《欧盟基本权利宪章》第8(1)条将个人信息视为宪法性基本权利,此种价值取舍模式塑造了德国和欧盟较高的隐私保护水平。
首先,德国的信息自决权致力于为核心人格领域提供绝对保护。“由于德国的信息自决权具有宪法背景,……一旦涉及核心人格领域,法院需判断被诉行为是否对核心人格领域构成重大影响,若是,则法院无需做利益平衡,径行对承载核心人格利益的个人信息提供绝对保护。”这样的个人信息保护机制相当于给信息开发利用设置了“一票否决制”。
其次,德国法上的个人信息概念更为抽象且宽泛。《德国联邦数据保护法》自颁布以来始终将个人信息界定为“确切可识别个人身份的信息(identified)”和“可能识别个人身份的信息(identifiable)”两种,并为两类个人信息提供均等保护。由于大数据时代几乎所有与个人有关的信息都可视为“可能识别个人身份的信息”,个人信息的边界由此彻底开放。
最后,德国的信息自决权致力于实现个人信息主体对其个人信息的积极控制,其控制方式随着信息技术、新型判例和立法的发展而不断增多。此类衍生性权利与个人信息自决权的“源权利”特征一脉相承,而且,个人信息自决权的宽泛解释空间和衍生功能为个人信息保护提供了弹性空间,可防范有意为之的法律规避行为。
同美国相比,德国/欧盟致力于实现对个人信息自我控制所做的绝对权立法,造就了个人信息优先保护的典范。在法律适用中一个显而易见的差异是,“欧盟的法律禁止无法律授权的信息处理行为;但在美国,总体的理念是允许自由开发利用个人信息,除非该行为给他人造成法律上的损害或遭到法律的明文禁止。”毋庸置疑的是,欧盟和美国两种价值取舍模式都是其“地域文化、社会规范、政治和经济哲学以及历史经验综合权衡的结果”。
四、积极确权与行为规范模式互动发展的美欧立法经验
立法技术上,美国和德国早期均采用积极确权模式来保护个人信息。作为权利立法的反推效果,德国的个人信息自决权和美国的隐私权在划定权益保护范围的基础上,间接设置了信息收集利用之行为界限,其基本逻辑为:通过确认(或解释)权利来反推他人的行为自由。这不仅解决了个人信息的权利性质及其排他性范围问题,而且为法益保护提供了弹性化的裁量平台,法院可透过法益保护范围的限缩或扩张解释,相对灵活地调整信息开发利用者的自由空间。
但实践情况表明,积极确权模式存在结构性缺陷:(1)法律上的确权和支配不等于事实上的确权和支配。信息的无限复制与快速传播使得个人信息在脱离人身之后几乎不具有事实上的可支配性,因此,个人信息虽被界定为私有,但权利人却无法实际拥有它。(2)积极确权模式无法给相对人提供清晰的合规指引和行为预期。权利立法通常是以抽象概念界定权利,或通过“事后诸葛亮”式的判例于事后定分止争,这两种确权方式都会导致权利边界模糊,无法给相对人提供清晰稳定的合规指引。
积极确权模式的内在逻辑迫使人们不得不寻找更好的立法模式,行为规范模式应运而生,其总体思路是从权利界定转向行为规制,即通过评估信息开发利用行为对个人信息主体的潜在影响来设定行为规范,以此为信息开发利用提供合规指引并间接保护个人信息。但在立法技术上,行为规范的设定不可能“因案设法”,故难以精确对待样态各异的信息开发利用行为,因此行为规范立法不得不设置大量一般规则与例外条款,但即便如此,行为规范立法仍无法摆脱弹性不足的问题。此时,积极确权立法将隆重登场,弹性化的权利立法可作为兜底机制,由法院在事后针对个案情形,通过灵活解读法益保护范围来调整行为自由之界限,以此缓解行为规范的列举负担与僵化难题。在法律效力上,个人信息的私法保护主要借助侵权法来实施,在缺乏行为规范立法时,行为违法性的判断完全由法官自由裁量,这难以为行为人提供准确的法律预期。一旦有了行为规范立法,相对清晰的行为规范体系同时也为侵权责任的认定提供了裁量基准,违反成文法明示的行为规范,通常可直接判定侵权法上的过错或违法性要件的成就。行为规范立法由此产生公、私法上的双重效力,这有助于加强公、私法两种保护机制的协调配合。与此同时,清晰确定的行为规范立法在实践中可能会因对策行为而被规避,此时侵权法又可发挥兜底性的保护作用。
五、单一行为规范模式的中国立法选择及其僵化问题
若以美欧的“积极确权+行为规范”模式作为参照系,中国的个人信息保护属于单一的“行为规范”模式。这源于《民法总则》第111条及其转致的《网络安全法》第4章的内容。《民法总则》第111条并未从法益保护角度确认个人信息的权利性质和法益内容,而是在宣示“个人信息受法律保护”的基本立场基础上,从信息收集利用者一方切入,以行为约束的方式划定了信息收集利用之行为界限。
在法律适用过程中,积极确权与行为规范模式的结构性差异,决定了两种截然不同的法律适用逻辑。其中,积极确权模式是对个人信息的法益保护范围做正面界定,而行为规范模式则是直接针对相对人的行为自由做出限定。前者便于合理划分法益保护范围,后者可为信息开发利用提供相对明确的合规指引。根据这一逻辑,中国单一的行为规范模式虽有助于为信息开发利用行为提供相对明确的合规指引,但个人信息主体的法益保护范围只能透过相对人的行为界限做反推,这意味着,单一的行为规范模式不仅导致个人信息的保护范围受限,而且在保护水平上也缺乏必要的弹性,难以为敏感程度不同的个人信息提供差别化保护,具体表现如下:
第一,不同类型个人信息的区别对待难题。从个人信息所承载的法益重要性程度来看,敏感性身份信息因其直接表征和彰显个人身份的特质,蕴含重要的人格利益,现行法已通过具体人格权对部分身份信息提供特别保护;而行为信息只有与其它信息结合方可识别个人身份,其所承载的人格法益相对较弱,但它却是大数据开发利用的核心资源,只有区别对待这两类信息才能在法益保护与信息开发利用的二元价值之间维持平衡。但问题是,单一的行为规范立法难以区别对待不同类型的个人信息,差别化保护的期待因此落空。
第二,透明度的判断标准与知情同意的质量问题。设置透明度规则的目的旨在保护个人信息主体的自由意志和自我决定,因而透明度的判断标准理应从个人信息主体的权益保护角度出发,以一般理性受众在具体场景下能否知情作为判断标准。但在行为规范模式中,透明度的判断是以信息收集利用者是否履行了披露义务作为判断标准,但一方的披露不等于对方知情。由此导致的问题是,法律虽以保障个人信息主体知情权为目的设定透明度和知情同意规则,但立法技术上却以信息收集利用者角度看其是否公开披露了信息收集使用规则,这实际上是以相对人的行为违法性评价取代了个人信息主体的法益保护评价,法律适用上已偏离立法初衷。
第三,行为规范的适用范围问题。《民法总则》第111条中的行为规范适用于直接向个人信息主体收集信息之人自无疑问,但从前手处获取信息之“后手”是否也需遵循同一规则?从实践情况来看,个人信息的交易与二次开发利用极为普遍,侵犯个人信息的行为也越来越多地从信息收集者转向开发利用者,行为规范的适用对象自然也应向信息开发利用者扩张。但我国的行为规范立法回避了个人信息的权利性质界定,由此导致权利排他性范围的不确定。
第四,剩余权利的归属难题。实践中更为棘手的问题是,行为规范立法负面列举之外的领域,究竟属于信息收集利用者的行为自由,还是个人信息主体的权益范围?从《民法总则》第111条的文义来看,似应理解为“不得非法……”之外的领域皆属行为自由,这样一来,剩余权利被一刀切地配置给了信息收集利用者。这为信息开发利用预留了巨大空间,但个人信息主体的法益保护水平却显著降低。法律上该如何配置这些剩余权利?这显然需要结合特定时空背景进行利益权衡与价值判断,而非一刀切地将未来许诺给互联网公司。因此,在剩余权利配置问题上,立法要给司法预留必要的裁量空间,授权法官基于个案进行自由裁量,这正是“积极确权+行为规范”模式的灵活性优势所在。
六、法律文化差异与中国的改革方向
网络隐私的保护范围及其立法模式在中、美、欧之间的差异,深刻反映出东西方以及大西洋两岸根深蒂固的法律文化差异。美国对行为自由的崇尚和对政府管制的高度警惕,造就了狭窄的个人信息概念和隐私权保护范围;德国和欧盟对人格尊严的优先乃至绝对保护,造就了抽象且宽泛的个人信息概念和隐私权保护范围。作为价值取舍的结果,双方均为此获得了相应的收益并承受了一定的经济或社会代价。从这个意义上看,个人信息的保护范围并无固定范式,适合当地文化并自成体系的制度设计便是最优选择。
但在具体立法模式的选择上,美欧探索形成的“积极确权+行为规范”模式在实践中具有相当的优越性,而中国选择的单一的行为规范立法对个人信息所承载的人格法益的保护缺乏必要的弹性空间和解释依据。美欧的“积极确权+行为规范”模式的优势在于,面对纷繁复杂的个人信息类型和样态各异的信息收集利用行为,受案法院可通过“积极确权+行为规范”的比较权衡框架,在法益保护和信息开发利用的“天平”两端做比较权衡和相对灵活的价值判断,从而避免在个人信息保护问题上出现法益保护不足或者过度限制信息开发利用空间之双重风险。从这个意义上看,中国现行法的核心缺陷是缺乏法益保护的裁量平台。问题之所在,同时也是答案之所藏。由此也决定了未来立法的矫正方向:即引入“法益保护”的裁量平台。故此,笔者建议正在制定中的民法典明确承认“个人信息权”,以此确立法益保护的裁量基础。
