杜碧蓮
(中國人民公安大學,北京100038)
根據中國互聯網協(xié)會在2020年7月發(fā)布的《中國互聯網發(fā)展報告2020》,中國電子商務交易規(guī)模達34.81萬億元,已連續(xù)多年占據全球電子商務市場首位;全國數字經濟增加值達35.8萬億元,數字經濟總值已穩(wěn)居世界第二。①從1980年“大數據”一詞率先被學者阿爾溫·托夫勒提出,到2014年“大數據”一詞首次寫入政府工作報告,再到2020年發(fā)布《關于構建更加完善的要素市場化配置體制機制的意見》提出“加快培育數據要素市場”,數據正式被認為是基礎生產要素之一。數據成為經濟發(fā)展新引擎已毋庸置疑。
然而,大數據開發(fā)的同時也侵蝕了公民的個人信息安全。無所不在的數據收集,在用戶毫無察覺間監(jiān)視個人生活的點點滴滴;個人數據的對比、分析,可能使算法比用戶更了解自己,形成“信息繭房”,進而操控用戶的選擇和意志;數據的流轉,使得個人對個人數據的去向一無所知,進一步削弱了用戶對個人信息的控制等等。究其原因,在于當前法律制度的建設遠遠落后于數據產業(yè)的實踐,法學界對數字經濟缺乏系統(tǒng)性和跨學科的理論儲備,難以為中國的數據流通提供清晰而完整的法律地圖,致使數據流動面臨重大的法律風險,其中最突出的就是個人信息保護的風險。
個人信息保護與數據流動的平衡是數據產業(yè)發(fā)展的核心問題?!锻ㄓ脭祿Wo條例》(General Data Protection Regulation,簡稱GDPR)第一條即開宗明義地指出:“本條例旨在確立個人數據處理中的自然人保護和數據自由流通的規(guī)范。”個人信息保護是數據流動的基礎,數據流動是數據權利保護的目的。二者相輔相成,從長遠看是正相關的關系。無視個人信息保護,數據黑市、數據泄露以及緊隨其后的隱私侵犯、精準詐騙等數據濫用終究會將數據市場毀于一旦,影響國家的經濟發(fā)展。面對強大的互聯網企業(yè),個人力量柔弱不堪。只有國家對公民的個人信息提供權利保障,數據主體才能獲得真正的自由。
個人信息保護的法律屬性在我國仍具有較大爭議,但其蘊含的人格價值——人的尊嚴與自由早已達成廣泛共識。歐盟將個人信息權視為基本人權,②通過統(tǒng)一立法的模式,對個人信息的界定較為寬泛,對個人信息的保護較為嚴格,這大大增加了大數據企業(yè)的合規(guī)成本。美國則構建了開放式的隱私權,從沃倫和布蘭代斯的獨處權理論,③到普羅瑟的四分法理論,④再到威斯汀的隱私控制理論,⑤采取分散立法與行業(yè)自律結合的模式,對個人信息的保護較為寬松,更偏重數據自由流動的價值取向。我國個人信息保護亦采用分散立法的模式。筆者在北大法寶的法律法規(guī)庫對“個人信息”進行全文檢索,顯示目前我國有70余部法律、60余部法規(guī)、1200余部部門規(guī)章涉及個人信息保護,以下對部分較為典型的法律文件進行介紹。
?
盡管涉及個人信息保護的法律規(guī)范數不勝數,但絕大部分文本僅作原則性規(guī)定,對個人信息的保護客體、權利屬性、權利內容以及法律責任的具體規(guī)范尚顯闕如。
對個人信息范圍的界定,是大數據交易中完善個人信息保護無法回避的核心問題。我國的法律文件主要采取識別型個人信息定義,從語義上大多采取下定義+列舉的模式,但所列舉的范疇不盡相同(詳見下表)。
?
可以看到,隨著大數據時代的到來,每一次點擊、搜索、出行、通話、交易都有極大可能被“監(jiān)視”、收集并上傳至云端。無處不在的數據收集、用戶畫像,使得個人信息的邊界一再擴張。個人信息范圍的曖昧不清,導致法律適用存在極大的不確定性,信息主體難以主張自身權益,大數據企業(yè)在進行匿名化操作時也感到無所適從。如上表所示,除了姓名、出生日期、身份證號碼、聯系方式等直接識別信息之外,行蹤軌跡、交易信息甚至瀏覽記錄等都可能成為具有識別性的個人信息。因為對于公民而言,一般不具備數據資源和技術手段將匿名化數據復原,而對于數據控制者及數據處理者,通過大數據關聯分析、聚類、分類等數據挖掘分析方法,很容易使得原本匿名的信息重新具有識別性。
當前關于個人信息的兩種主流理論分類無法解決個人信息的界定問題。第一種分類是直接個人信息和間接個人信息,前者是指能單獨識別自然人的信息,如姓名、身份證號、聯系方式等,后者是指與其他信息結合能夠識別自然人的信息,如搜索記錄、行蹤軌跡、交易信息等。第二種分類是敏感個人信息與一般個人信息,區(qū)分標準是信息泄露是否會對信息主體造成不良影響,前者是指一旦泄露或濫用可能危害信息主體的人身和財產安全,⑥包括性生活及性取向信息、健康醫(yī)療記錄、身份證號、個人生物識別信息等。最富有爭議的,無疑是對間接個人信息和一般個人信息的界定與保護。因為直接個人信息與敏感個人信息是相對有限、固定的,對其進行匿名化操作即可為信息主體披上遮蔽身份的斗篷。而間接個人信息和一般個人信息在數據時代是無限泛化、動態(tài)增長的,對其進行徹底地去關聯性會降低數據價值,限制了數據在刺激市場經濟、方便個人生活、改善公共管理方面的功能。因此,采用傳統(tǒng)的靜態(tài)的個人信息界定模式已經無法適應當下數據產業(yè)的需求。
我國法律并未明確個人信息的權利屬性。《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》將個人信息納入隱私權保護,《民法總則》與《民法典》將個人信息保護與隱私權并列。司法實踐中,民事案件中的個人信息糾紛往往被納入隱私權或名譽權的保護范疇。但是這種保護存在諸多不足,如要求將個人信息向社會公開、個人信息的財產性利益無法得到保護、已經公開或者涉及公共利益的個人信息被排除在保護范圍之外等等。在民事法律與行政法規(guī)不完善的情況下,針對個人信息泄露和濫用導致的嚴重社會危害,只能由刑法作最后一道防線,導致了我國個人信息保護刑法先行的現狀。
我國法律并未明確個人信息的權利內容。盡管我國法律法規(guī)對個人信息保護的內容分布十分廣泛,但多以個人信息保密并承擔法律責任的原則性規(guī)定為主,對個人信息的權利內容的建構仍需完善。筆者認為,個人信息的權利包括人格權益和財產權益。我國法律對個人信息的人格權益有部分規(guī)定,對個人信息的財產權益尚未提及。
縱觀域外立法,個人信息的人格權益包括知情同意權、查詢權與修改權等。知情同意權是指只有在用戶知情同意的基礎上,才允許從業(yè)者收集和處理有限的用戶數據?!睹穹ǖ洹返?035條、《網絡安全法》第41條均有規(guī)定。查詢權是指個人有權向個人信息持有查詢其個人信息的來源、類別、內容、加工狀態(tài)及加工目的等;修改權是指個人因其個人信息的完整性、準確性和及時性存在謬誤或疑慮,向信息持有者進行更改的權利。通過修改不準確或不正當的個人信息,確保用戶個人畫像不受歪曲。對知情同意權和查詢權與修改權,《民法典》第1037條、《網絡安全法》第43條及2012年《全國人大常委會關于加強網絡信息保護的決定》第2條均有所體現。
相較于個人信息的人格價值,個人信息的財產權益是否成立,在學界尚存爭議。因個人信息蘊含著巨大經濟價值,在降低企業(yè)成本、指明投資方向、反映社會動態(tài)等方面發(fā)揮深刻作用,勞倫斯·萊斯格最先提出個人信息財產化的相關理論,⑦用于平衡大數據交易產業(yè)的發(fā)展和個人信息的保護,回應個人信息的利益分配問題。我國法律對個人信息的財產權益沒有回應,與此同時,大數據交易市場也面臨著數據定價的難題。
法律責任的落實是法律權利的保障,法律權利的完善是法律責任的依據。目前我國法律文件中對侵犯個人信息的法律責任的規(guī)定比較抽象,除刑法之外,多數采取宣示性規(guī)定——“造成損失的,承擔民事賠償責任”“依法給予處分或行政處罰”或“構成犯罪的承擔刑事責任”等,無法具體落實。究其原因,在于當前沒有權威的法律規(guī)范規(guī)定個人信息的保護范圍與個人信息權利內容,以致法律責任的追究缺乏切實的依據,無法進行危害程度和危害結果的量化規(guī)范。
在對個人信息的監(jiān)管上,存在多頭監(jiān)管、權責不明的問題。我國法律將個人信息保護的監(jiān)管權分散賦予各級地方政府、公安部門、網信部門、⑧工信部門和省級通信管理部門、⑨市場監(jiān)督管理部門⑩等各類政府監(jiān)管機構。這種分散式執(zhí)法在我國實踐中問題重重,容易導致不同的監(jiān)管機構各自為政,對個人信息保護標準不一;有的機構只服務于本部門傳統(tǒng)監(jiān)管任務,對個人信息保護互相推脫,導致個人信息監(jiān)管難度大、執(zhí)法資源浪費等。
計算機技術的日新月異導致個人信息的無限擴張,突破了傳統(tǒng)的個人信息界定模式的保護范圍。從靜態(tài)的分類保護個人信息界定方法,轉變?yōu)閯討B(tài)化、場景化的個人信息界定路徑,方能切合數據時代個人信息的發(fā)展特點,釋放數據活力,開發(fā)數據價值。
同一組信息,對于不特定個人而言可能不具有識別性,對信息主體的親朋好友來說顯而易見;同一個數據庫,如果用來進行可關閉的個性化推薦,則用戶與商家都喜聞樂見;如果用于價格歧視,則構成對信息主體的侵害。因此,“場景”是多種多樣的,包括信息的內容、數量、收集方式、信息持有者的信息和技術水平、信息的使用目的與后果以及科技發(fā)展程度等等。
對信息的界定,不應當是傳統(tǒng)的全有或全無模式,數據時代的匿名性是相對的,而全盤切斷信息的關聯性無異于切斷數據的價值源泉,而應當是評估構成個人信息的可能性,是一種程度化判斷,根據信息使用的具體場景,以及當事人可接受的風險程度,對信息的全生命周期進行動態(tài)評估。
受信息隱私權模式和個人信息自決權模式的影響,我國對個人信息的屬性主要有一般人格權說、獨立人格權說、隱私權說、財產權說以及知識產權說。
1.一般人格權說認為個人信息本身不是某一類人格要素,因此無法作為具體人格保護,應屬于一般人格權保護的對象,其弊端在于,一般人格權的保護范圍十分廣泛,法益保護界限不清晰,不利于法律的適用。
2.隱私權說認為“隱私權包括保護私生活安寧及信息自主兩個生活領域”,其弊端在于混淆了隱私和個人信息。個人信息中涉及不欲為外界知曉的部分與隱私有交叉,但隱私權無法保護已為他人所知曉的個人信息,也無法約束他人對信息的收集、處理等問題。
3.財產權說認為個人信息適用于交易,具有無體財產的屬性,是一種新型的財產權,其弊端在于當前信息交易雙方地位差距懸殊的情況下,財產權屬性不利于個人信息的保護,否則用戶終將失去對個人信息的控制權。
4.知識產權說認為個人信息經過一定處理后具有創(chuàng)造性價值,其弊端在于個人信息中不具有創(chuàng)新性的部分,如原始數據庫,不在知識產權保護的射程之內。
5.筆者認同個人信息獨立人格權說,指本人依法對其個人信息享有支配、控制并排除他人侵害的權利,既包括人格利益也包括財產利益。一方面,個人信息獨立人格權說具有人格權消極防御的一面;另一方面,人格權也并不排斥財產利益的保護,可進行積極的商業(yè)利用,通過人格權商品化的理論實踐進行保護。
以《網絡安全法》等法律為基礎,我國法律已初步構建了個人信息的具體權利,主要包括知情同意權、查詢權和修改權,但在實踐中詬病頗多。在知情同意機制中,隱私條文的艱澀與冗長,使得普通用戶望而生畏,此外,其格式化的條款,使用戶沒有機會進行變更和磋商。在查詢和修改機制中,企業(yè)基本沒有為用戶提供暢通的查詢渠道,甚至設置許多障礙,致使用戶進行查詢和修改的時間成本往往過高。
因此,需要在目前的基礎上完善個人信息的具體權利,形成個人信息權利束。細化規(guī)定知情同意權,如通俗易懂地解釋隱私條款、隱私設置的選項應當易于操作等,保障用戶對其個人信息的控制。落實查詢權與修改權,切實提高信息持有者操作便捷度。關于數據的財產權,則需要在數據確權的基礎上,完善個人信息的交易模式。有學者提出將個人信息分為基本個人信息、伴生個人信息和預測個人信息,個人基本信息的財產權屬于個人,伴生個人信息的財產權為個人與信息企業(yè)所共有,預測個人信息的財產權雖然也為個人與信息企業(yè)所共有,但財產份額上信息企業(yè)要多于個人。匿名信息已經失去了人身屬性,僅剩下財產權,屬于信息企業(yè)的無形財產,為信息企業(yè)所獨享。然而,伴生個人信息與匿名信息的區(qū)分存在前文所述的難題。
在民事責任方面,根據個人信息權利屬性,圍繞各項具體權利,即將出臺的個人信息保護法應當落實停止侵害、排除妨礙、消除危險、賠償損失等法律責任。在行政責任方面,需建立從中央到地方一以貫之的個人信息監(jiān)管機構,改變當下多頭管理、權責不明的現狀,要負責全生命周期的個人信息評估,執(zhí)行市場準入機制,加強對個人信息處理的監(jiān)督,落實對侵害個人信息案件的處罰等,從而多層次、全方位地保障個人信息主體的合法權益。
在大數據時代,對處于動態(tài)發(fā)展中的個人信息提供保護,要求我們轉變思維,從靜態(tài)分類保護的個人信息界定方法,轉變?yōu)閯討B(tài)化、場景化的個人信息界定路徑。在明確個人信息權利的獨立人格權性質的基礎上,完善個人信息權利,明確侵害個人信息權益的民事責任與行政法律責任,統(tǒng)一管理與執(zhí)法,才能在保護個人信息安全的前提下,促進數據流通,釋放數據活力。
注釋
①《中國互聯網發(fā)展報告2020》在京發(fā)布[EB/OL].https://www.isc.org.cn/zxzx/xhdt/listinfo-37989.html,2020-07-30.
②《歐盟基本權利憲章》第8條。
③Warren S D. Brandies L D,The Right to Privacy, Harvard Law Review.vol.4,No.5,1890。
④Prosser W L.“Privacy,”California Law Review,vol.48,No.3,1960。
⑤Alan F.Westin,Privary and Freedom,New York:Athenum,1967。
⑥GB/T 35273-2020《信息安全技術個人信息安全規(guī)范》3.2。
⑦[美]勞倫斯·萊斯格.代碼2.0:網絡空間中的法律[M].李旭,沈偉偉譯.清華大學出版社,2009:20。
⑧《兒童個人信息網絡保護規(guī)定》第二十四條:任何組織和個人發(fā)現有違反本規(guī)定行為的,可以向網信部門和其他有關部門舉報。網信部門和其他有關部門收到相關舉報的,應當依據職責及時進行處理。
⑨《電信和互聯網用戶個人信息保護規(guī)定》第三條:工業(yè)和信息化部和各省、自治區(qū)、直轄市通信管理局(以下統(tǒng)稱電信管理機構)依法對電信和互聯網用戶個人信息保護工作實施監(jiān)督管理。
⑩《電子商務法》第七十六條:電子商務經營者違反本法規(guī)定,有下列行為之一的,由市場監(jiān)督管理部門責令限期改正……(三)未明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序,或者對用戶信息查詢、更正、刪除以及用戶注銷設置不合理條件的。