杜碧蓮
(中國人民公安大學(xué),北京100038)
根據(jù)中國互聯(lián)網(wǎng)協(xié)會在2020年7月發(fā)布的《中國互聯(lián)網(wǎng)發(fā)展報告2020》,中國電子商務(wù)交易規(guī)模達(dá)34.81萬億元,已連續(xù)多年占據(jù)全球電子商務(wù)市場首位;全國數(shù)字經(jīng)濟(jì)增加值達(dá)35.8萬億元,數(shù)字經(jīng)濟(jì)總值已穩(wěn)居世界第二。①從1980年“大數(shù)據(jù)”一詞率先被學(xué)者阿爾溫·托夫勒提出,到2014年“大數(shù)據(jù)”一詞首次寫入政府工作報告,再到2020年發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》提出“加快培育數(shù)據(jù)要素市場”,數(shù)據(jù)正式被認(rèn)為是基礎(chǔ)生產(chǎn)要素之一。數(shù)據(jù)成為經(jīng)濟(jì)發(fā)展新引擎已毋庸置疑。
然而,大數(shù)據(jù)開發(fā)的同時也侵蝕了公民的個人信息安全。無所不在的數(shù)據(jù)收集,在用戶毫無察覺間監(jiān)視個人生活的點(diǎn)點(diǎn)滴滴;個人數(shù)據(jù)的對比、分析,可能使算法比用戶更了解自己,形成“信息繭房”,進(jìn)而操控用戶的選擇和意志;數(shù)據(jù)的流轉(zhuǎn),使得個人對個人數(shù)據(jù)的去向一無所知,進(jìn)一步削弱了用戶對個人信息的控制等等。究其原因,在于當(dāng)前法律制度的建設(shè)遠(yuǎn)遠(yuǎn)落后于數(shù)據(jù)產(chǎn)業(yè)的實(shí)踐,法學(xué)界對數(shù)字經(jīng)濟(jì)缺乏系統(tǒng)性和跨學(xué)科的理論儲備,難以為中國的數(shù)據(jù)流通提供清晰而完整的法律地圖,致使數(shù)據(jù)流動面臨重大的法律風(fēng)險,其中最突出的就是個人信息保護(hù)的風(fēng)險。
個人信息保護(hù)與數(shù)據(jù)流動的平衡是數(shù)據(jù)產(chǎn)業(yè)發(fā)展的核心問題?!锻ㄓ脭?shù)據(jù)保護(hù)條例》(General Data Protection Regulation,簡稱GDPR)第一條即開宗明義地指出:“本條例旨在確立個人數(shù)據(jù)處理中的自然人保護(hù)和數(shù)據(jù)自由流通的規(guī)范。”個人信息保護(hù)是數(shù)據(jù)流動的基礎(chǔ),數(shù)據(jù)流動是數(shù)據(jù)權(quán)利保護(hù)的目的。二者相輔相成,從長遠(yuǎn)看是正相關(guān)的關(guān)系。無視個人信息保護(hù),數(shù)據(jù)黑市、數(shù)據(jù)泄露以及緊隨其后的隱私侵犯、精準(zhǔn)詐騙等數(shù)據(jù)濫用終究會將數(shù)據(jù)市場毀于一旦,影響國家的經(jīng)濟(jì)發(fā)展。面對強(qiáng)大的互聯(lián)網(wǎng)企業(yè),個人力量柔弱不堪。只有國家對公民的個人信息提供權(quán)利保障,數(shù)據(jù)主體才能獲得真正的自由。
個人信息保護(hù)的法律屬性在我國仍具有較大爭議,但其蘊(yùn)含的人格價值——人的尊嚴(yán)與自由早已達(dá)成廣泛共識。歐盟將個人信息權(quán)視為基本人權(quán),②通過統(tǒng)一立法的模式,對個人信息的界定較為寬泛,對個人信息的保護(hù)較為嚴(yán)格,這大大增加了大數(shù)據(jù)企業(yè)的合規(guī)成本。美國則構(gòu)建了開放式的隱私權(quán),從沃倫和布蘭代斯的獨(dú)處權(quán)理論,③到普羅瑟的四分法理論,④再到威斯汀的隱私控制理論,⑤采取分散立法與行業(yè)自律結(jié)合的模式,對個人信息的保護(hù)較為寬松,更偏重數(shù)據(jù)自由流動的價值取向。我國個人信息保護(hù)亦采用分散立法的模式。筆者在北大法寶的法律法規(guī)庫對“個人信息”進(jìn)行全文檢索,顯示目前我國有70余部法律、60余部法規(guī)、1200余部部門規(guī)章涉及個人信息保護(hù),以下對部分較為典型的法律文件進(jìn)行介紹。
?
盡管涉及個人信息保護(hù)的法律規(guī)范數(shù)不勝數(shù),但絕大部分文本僅作原則性規(guī)定,對個人信息的保護(hù)客體、權(quán)利屬性、權(quán)利內(nèi)容以及法律責(zé)任的具體規(guī)范尚顯闕如。
對個人信息范圍的界定,是大數(shù)據(jù)交易中完善個人信息保護(hù)無法回避的核心問題。我國的法律文件主要采取識別型個人信息定義,從語義上大多采取下定義+列舉的模式,但所列舉的范疇不盡相同(詳見下表)。
?
可以看到,隨著大數(shù)據(jù)時代的到來,每一次點(diǎn)擊、搜索、出行、通話、交易都有極大可能被“監(jiān)視”、收集并上傳至云端。無處不在的數(shù)據(jù)收集、用戶畫像,使得個人信息的邊界一再擴(kuò)張。個人信息范圍的曖昧不清,導(dǎo)致法律適用存在極大的不確定性,信息主體難以主張自身權(quán)益,大數(shù)據(jù)企業(yè)在進(jìn)行匿名化操作時也感到無所適從。如上表所示,除了姓名、出生日期、身份證號碼、聯(lián)系方式等直接識別信息之外,行蹤軌跡、交易信息甚至瀏覽記錄等都可能成為具有識別性的個人信息。因?yàn)閷τ诠穸?,一般不具備?shù)據(jù)資源和技術(shù)手段將匿名化數(shù)據(jù)復(fù)原,而對于數(shù)據(jù)控制者及數(shù)據(jù)處理者,通過大數(shù)據(jù)關(guān)聯(lián)分析、聚類、分類等數(shù)據(jù)挖掘分析方法,很容易使得原本匿名的信息重新具有識別性。
當(dāng)前關(guān)于個人信息的兩種主流理論分類無法解決個人信息的界定問題。第一種分類是直接個人信息和間接個人信息,前者是指能單獨(dú)識別自然人的信息,如姓名、身份證號、聯(lián)系方式等,后者是指與其他信息結(jié)合能夠識別自然人的信息,如搜索記錄、行蹤軌跡、交易信息等。第二種分類是敏感個人信息與一般個人信息,區(qū)分標(biāo)準(zhǔn)是信息泄露是否會對信息主體造成不良影響,前者是指一旦泄露或?yàn)E用可能危害信息主體的人身和財產(chǎn)安全,⑥包括性生活及性取向信息、健康醫(yī)療記錄、身份證號、個人生物識別信息等。最富有爭議的,無疑是對間接個人信息和一般個人信息的界定與保護(hù)。因?yàn)橹苯觽€人信息與敏感個人信息是相對有限、固定的,對其進(jìn)行匿名化操作即可為信息主體披上遮蔽身份的斗篷。而間接個人信息和一般個人信息在數(shù)據(jù)時代是無限泛化、動態(tài)增長的,對其進(jìn)行徹底地去關(guān)聯(lián)性會降低數(shù)據(jù)價值,限制了數(shù)據(jù)在刺激市場經(jīng)濟(jì)、方便個人生活、改善公共管理方面的功能。因此,采用傳統(tǒng)的靜態(tài)的個人信息界定模式已經(jīng)無法適應(yīng)當(dāng)下數(shù)據(jù)產(chǎn)業(yè)的需求。
我國法律并未明確個人信息的權(quán)利屬性。《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》將個人信息納入隱私權(quán)保護(hù),《民法總則》與《民法典》將個人信息保護(hù)與隱私權(quán)并列。司法實(shí)踐中,民事案件中的個人信息糾紛往往被納入隱私權(quán)或名譽(yù)權(quán)的保護(hù)范疇。但是這種保護(hù)存在諸多不足,如要求將個人信息向社會公開、個人信息的財產(chǎn)性利益無法得到保護(hù)、已經(jīng)公開或者涉及公共利益的個人信息被排除在保護(hù)范圍之外等等。在民事法律與行政法規(guī)不完善的情況下,針對個人信息泄露和濫用導(dǎo)致的嚴(yán)重社會危害,只能由刑法作最后一道防線,導(dǎo)致了我國個人信息保護(hù)刑法先行的現(xiàn)狀。
我國法律并未明確個人信息的權(quán)利內(nèi)容。盡管我國法律法規(guī)對個人信息保護(hù)的內(nèi)容分布十分廣泛,但多以個人信息保密并承擔(dān)法律責(zé)任的原則性規(guī)定為主,對個人信息的權(quán)利內(nèi)容的建構(gòu)仍需完善。筆者認(rèn)為,個人信息的權(quán)利包括人格權(quán)益和財產(chǎn)權(quán)益。我國法律對個人信息的人格權(quán)益有部分規(guī)定,對個人信息的財產(chǎn)權(quán)益尚未提及。
縱觀域外立法,個人信息的人格權(quán)益包括知情同意權(quán)、查詢權(quán)與修改權(quán)等。知情同意權(quán)是指只有在用戶知情同意的基礎(chǔ)上,才允許從業(yè)者收集和處理有限的用戶數(shù)據(jù)。《民法典》第1035條、《網(wǎng)絡(luò)安全法》第41條均有規(guī)定。查詢權(quán)是指個人有權(quán)向個人信息持有查詢其個人信息的來源、類別、內(nèi)容、加工狀態(tài)及加工目的等;修改權(quán)是指個人因其個人信息的完整性、準(zhǔn)確性和及時性存在謬誤或疑慮,向信息持有者進(jìn)行更改的權(quán)利。通過修改不準(zhǔn)確或不正當(dāng)?shù)膫€人信息,確保用戶個人畫像不受歪曲。對知情同意權(quán)和查詢權(quán)與修改權(quán),《民法典》第1037條、《網(wǎng)絡(luò)安全法》第43條及2012年《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條均有所體現(xiàn)。
相較于個人信息的人格價值,個人信息的財產(chǎn)權(quán)益是否成立,在學(xué)界尚存爭議。因個人信息蘊(yùn)含著巨大經(jīng)濟(jì)價值,在降低企業(yè)成本、指明投資方向、反映社會動態(tài)等方面發(fā)揮深刻作用,勞倫斯·萊斯格最先提出個人信息財產(chǎn)化的相關(guān)理論,⑦用于平衡大數(shù)據(jù)交易產(chǎn)業(yè)的發(fā)展和個人信息的保護(hù),回應(yīng)個人信息的利益分配問題。我國法律對個人信息的財產(chǎn)權(quán)益沒有回應(yīng),與此同時,大數(shù)據(jù)交易市場也面臨著數(shù)據(jù)定價的難題。
法律責(zé)任的落實(shí)是法律權(quán)利的保障,法律權(quán)利的完善是法律責(zé)任的依據(jù)。目前我國法律文件中對侵犯個人信息的法律責(zé)任的規(guī)定比較抽象,除刑法之外,多數(shù)采取宣示性規(guī)定——“造成損失的,承擔(dān)民事賠償責(zé)任”“依法給予處分或行政處罰”或“構(gòu)成犯罪的承擔(dān)刑事責(zé)任”等,無法具體落實(shí)。究其原因,在于當(dāng)前沒有權(quán)威的法律規(guī)范規(guī)定個人信息的保護(hù)范圍與個人信息權(quán)利內(nèi)容,以致法律責(zé)任的追究缺乏切實(shí)的依據(jù),無法進(jìn)行危害程度和危害結(jié)果的量化規(guī)范。
在對個人信息的監(jiān)管上,存在多頭監(jiān)管、權(quán)責(zé)不明的問題。我國法律將個人信息保護(hù)的監(jiān)管權(quán)分散賦予各級地方政府、公安部門、網(wǎng)信部門、⑧工信部門和省級通信管理部門、⑨市場監(jiān)督管理部門⑩等各類政府監(jiān)管機(jī)構(gòu)。這種分散式執(zhí)法在我國實(shí)踐中問題重重,容易導(dǎo)致不同的監(jiān)管機(jī)構(gòu)各自為政,對個人信息保護(hù)標(biāo)準(zhǔn)不一;有的機(jī)構(gòu)只服務(wù)于本部門傳統(tǒng)監(jiān)管任務(wù),對個人信息保護(hù)互相推脫,導(dǎo)致個人信息監(jiān)管難度大、執(zhí)法資源浪費(fèi)等。
計算機(jī)技術(shù)的日新月異導(dǎo)致個人信息的無限擴(kuò)張,突破了傳統(tǒng)的個人信息界定模式的保護(hù)范圍。從靜態(tài)的分類保護(hù)個人信息界定方法,轉(zhuǎn)變?yōu)閯討B(tài)化、場景化的個人信息界定路徑,方能切合數(shù)據(jù)時代個人信息的發(fā)展特點(diǎn),釋放數(shù)據(jù)活力,開發(fā)數(shù)據(jù)價值。
同一組信息,對于不特定個人而言可能不具有識別性,對信息主體的親朋好友來說顯而易見;同一個數(shù)據(jù)庫,如果用來進(jìn)行可關(guān)閉的個性化推薦,則用戶與商家都喜聞樂見;如果用于價格歧視,則構(gòu)成對信息主體的侵害。因此,“場景”是多種多樣的,包括信息的內(nèi)容、數(shù)量、收集方式、信息持有者的信息和技術(shù)水平、信息的使用目的與后果以及科技發(fā)展程度等等。
對信息的界定,不應(yīng)當(dāng)是傳統(tǒng)的全有或全無模式,數(shù)據(jù)時代的匿名性是相對的,而全盤切斷信息的關(guān)聯(lián)性無異于切斷數(shù)據(jù)的價值源泉,而應(yīng)當(dāng)是評估構(gòu)成個人信息的可能性,是一種程度化判斷,根據(jù)信息使用的具體場景,以及當(dāng)事人可接受的風(fēng)險程度,對信息的全生命周期進(jìn)行動態(tài)評估。
受信息隱私權(quán)模式和個人信息自決權(quán)模式的影響,我國對個人信息的屬性主要有一般人格權(quán)說、獨(dú)立人格權(quán)說、隱私權(quán)說、財產(chǎn)權(quán)說以及知識產(chǎn)權(quán)說。
1.一般人格權(quán)說認(rèn)為個人信息本身不是某一類人格要素,因此無法作為具體人格保護(hù),應(yīng)屬于一般人格權(quán)保護(hù)的對象,其弊端在于,一般人格權(quán)的保護(hù)范圍十分廣泛,法益保護(hù)界限不清晰,不利于法律的適用。
2.隱私權(quán)說認(rèn)為“隱私權(quán)包括保護(hù)私生活安寧及信息自主兩個生活領(lǐng)域”,其弊端在于混淆了隱私和個人信息。個人信息中涉及不欲為外界知曉的部分與隱私有交叉,但隱私權(quán)無法保護(hù)已為他人所知曉的個人信息,也無法約束他人對信息的收集、處理等問題。
3.財產(chǎn)權(quán)說認(rèn)為個人信息適用于交易,具有無體財產(chǎn)的屬性,是一種新型的財產(chǎn)權(quán),其弊端在于當(dāng)前信息交易雙方地位差距懸殊的情況下,財產(chǎn)權(quán)屬性不利于個人信息的保護(hù),否則用戶終將失去對個人信息的控制權(quán)。
4.知識產(chǎn)權(quán)說認(rèn)為個人信息經(jīng)過一定處理后具有創(chuàng)造性價值,其弊端在于個人信息中不具有創(chuàng)新性的部分,如原始數(shù)據(jù)庫,不在知識產(chǎn)權(quán)保護(hù)的射程之內(nèi)。
5.筆者認(rèn)同個人信息獨(dú)立人格權(quán)說,指本人依法對其個人信息享有支配、控制并排除他人侵害的權(quán)利,既包括人格利益也包括財產(chǎn)利益。一方面,個人信息獨(dú)立人格權(quán)說具有人格權(quán)消極防御的一面;另一方面,人格權(quán)也并不排斥財產(chǎn)利益的保護(hù),可進(jìn)行積極的商業(yè)利用,通過人格權(quán)商品化的理論實(shí)踐進(jìn)行保護(hù)。
以《網(wǎng)絡(luò)安全法》等法律為基礎(chǔ),我國法律已初步構(gòu)建了個人信息的具體權(quán)利,主要包括知情同意權(quán)、查詢權(quán)和修改權(quán),但在實(shí)踐中詬病頗多。在知情同意機(jī)制中,隱私條文的艱澀與冗長,使得普通用戶望而生畏,此外,其格式化的條款,使用戶沒有機(jī)會進(jìn)行變更和磋商。在查詢和修改機(jī)制中,企業(yè)基本沒有為用戶提供暢通的查詢渠道,甚至設(shè)置許多障礙,致使用戶進(jìn)行查詢和修改的時間成本往往過高。
因此,需要在目前的基礎(chǔ)上完善個人信息的具體權(quán)利,形成個人信息權(quán)利束。細(xì)化規(guī)定知情同意權(quán),如通俗易懂地解釋隱私條款、隱私設(shè)置的選項(xiàng)應(yīng)當(dāng)易于操作等,保障用戶對其個人信息的控制。落實(shí)查詢權(quán)與修改權(quán),切實(shí)提高信息持有者操作便捷度。關(guān)于數(shù)據(jù)的財產(chǎn)權(quán),則需要在數(shù)據(jù)確權(quán)的基礎(chǔ)上,完善個人信息的交易模式。有學(xué)者提出將個人信息分為基本個人信息、伴生個人信息和預(yù)測個人信息,個人基本信息的財產(chǎn)權(quán)屬于個人,伴生個人信息的財產(chǎn)權(quán)為個人與信息企業(yè)所共有,預(yù)測個人信息的財產(chǎn)權(quán)雖然也為個人與信息企業(yè)所共有,但財產(chǎn)份額上信息企業(yè)要多于個人。匿名信息已經(jīng)失去了人身屬性,僅剩下財產(chǎn)權(quán),屬于信息企業(yè)的無形財產(chǎn),為信息企業(yè)所獨(dú)享。然而,伴生個人信息與匿名信息的區(qū)分存在前文所述的難題。
在民事責(zé)任方面,根據(jù)個人信息權(quán)利屬性,圍繞各項(xiàng)具體權(quán)利,即將出臺的個人信息保護(hù)法應(yīng)當(dāng)落實(shí)停止侵害、排除妨礙、消除危險、賠償損失等法律責(zé)任。在行政責(zé)任方面,需建立從中央到地方一以貫之的個人信息監(jiān)管機(jī)構(gòu),改變當(dāng)下多頭管理、權(quán)責(zé)不明的現(xiàn)狀,要負(fù)責(zé)全生命周期的個人信息評估,執(zhí)行市場準(zhǔn)入機(jī)制,加強(qiáng)對個人信息處理的監(jiān)督,落實(shí)對侵害個人信息案件的處罰等,從而多層次、全方位地保障個人信息主體的合法權(quán)益。
在大數(shù)據(jù)時代,對處于動態(tài)發(fā)展中的個人信息提供保護(hù),要求我們轉(zhuǎn)變思維,從靜態(tài)分類保護(hù)的個人信息界定方法,轉(zhuǎn)變?yōu)閯討B(tài)化、場景化的個人信息界定路徑。在明確個人信息權(quán)利的獨(dú)立人格權(quán)性質(zhì)的基礎(chǔ)上,完善個人信息權(quán)利,明確侵害個人信息權(quán)益的民事責(zé)任與行政法律責(zé)任,統(tǒng)一管理與執(zhí)法,才能在保護(hù)個人信息安全的前提下,促進(jìn)數(shù)據(jù)流通,釋放數(shù)據(jù)活力。
注釋
①《中國互聯(lián)網(wǎng)發(fā)展報告2020》在京發(fā)布[EB/OL].https://www.isc.org.cn/zxzx/xhdt/listinfo-37989.html,2020-07-30.
②《歐盟基本權(quán)利憲章》第8條。
③Warren S D. Brandies L D,The Right to Privacy, Harvard Law Review.vol.4,No.5,1890。
④Prosser W L.“Privacy,”California Law Review,vol.48,No.3,1960。
⑤Alan F.Westin,Privary and Freedom,New York:Athenum,1967。
⑥GB/T 35273-2020《信息安全技術(shù)個人信息安全規(guī)范》3.2。
⑦[美]勞倫斯·萊斯格.代碼2.0:網(wǎng)絡(luò)空間中的法律[M].李旭,沈偉偉譯.清華大學(xué)出版社,2009:20。
⑧《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第二十四條:任何組織和個人發(fā)現(xiàn)有違反本規(guī)定行為的,可以向網(wǎng)信部門和其他有關(guān)部門舉報。網(wǎng)信部門和其他有關(guān)部門收到相關(guān)舉報的,應(yīng)當(dāng)依據(jù)職責(zé)及時進(jìn)行處理。
⑨《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》第三條:工業(yè)和信息化部和各省、自治區(qū)、直轄市通信管理局(以下統(tǒng)稱電信管理機(jī)構(gòu))依法對電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)工作實(shí)施監(jiān)督管理。
⑩《電子商務(wù)法》第七十六條:電子商務(wù)經(jīng)營者違反本法規(guī)定,有下列行為之一的,由市場監(jiān)督管理部門責(zé)令限期改正……(三)未明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序,或者對用戶信息查詢、更正、刪除以及用戶注銷設(shè)置不合理?xiàng)l件的。