Vol.791 项焱、陈曦:大数据时代美国信息隐私权客体之革新——以宪法判例为考察对象 | 信息隐私权
大数据时代美国信息隐私权客体之革新
——以宪法判例为考察对象
作者:项焱,武汉大学法学院教授;陈曦,武汉大学法学院博士研究生
原文发表于《河北法学》2019年第11期
为便于阅读略去本文脚注
感谢项焱老师、陈曦博士授权“法律思想”推送本文
摘要
科技发展与法律规制一直都是共同成长的,社会转型与情势变迁,则会使法律面临十分尖锐的挑战。在欧盟个人数据保护权的惊艳亮相之时,美国联邦最高法院也一直在探寻数据与信息隐私权的宪法关系。2018年,Carpenter v. United States一案中联邦最高法院的判决极大的拓宽了《宪法第四修正案》关于信息隐私权的适用范围,以主客观相结合的判定标准确立了数据作为信息隐私权客体的合法性与合理性,并为其(信息隐私权)提供了强有力的宪法保障。我国目前并未引入欧盟个人数据保护权概念,亦没有建构起美国式的信息隐私权保护体系。因此,如何在理论上把握信息隐私权客体的革新,以及在社会主义法治进程中如何对其加以规制,已然成为全社会广泛关注的议题。
关键词
大数据 信息隐私权 个人数据 宪法判例 主客观评判标准
一、问题的缘起
鉴于科技与法律的共生关系,科学技术的进步以及人类社会活动的科技化发展都会促进法律的发展。比如在版权法的发展进程中,印刷技术的成熟催生了版权法;复制和传播领域的技术进步又不断地打破版权法所维持的利益平衡,促使版权法不断的变革。而在美国隐私法的历史发展中,毋庸置疑,技术亦扮演了十分重要的角色。从摄影技术发展到电子窃听器的迅速普及,再到以互联网为核心的网络技术的革新,《信息自由法》(The Freedom of Information Act of 1966)、《隐私权法案》(The Privacy Act of 1974)、《电子通信隐私法》(The Electronic Communication Privacy Act of 1986)等制定法频出,Whalen v. Roe案以及United States v. Knotts案等宪法判例层出不穷。由此可见,科学技术的发展直接推动着美国立法的进步。
随着大数据时代的到来,2018年,美国联邦最高法院公布了一项有关信息隐私权最为重要的判决。2011年,Carpenter因被认为与一系列武装抢劫案有关,所以美国联邦调查局从MetroPCS和Sprint两家无线运营商处调取了Carpenter的手机基站定位数据(cell-site location information, CSLI),并因此绘制出了其在过去127天的活动轨迹。第六巡回上诉法院基于美国联邦调查局所提供的手机基站定位数据,最终判处Carpenter超过100年的刑期。Carpenter不服该判决,上诉至联邦最高法院,认为政府获取其手机基站定位数据的行为违反了《宪法第四修正案》关于“公民的个人隐私不受政府的任意侵犯”的规定,侵犯了其信息隐私权。2018年6月22日,美国联邦最高法院就Carpenter v. United States案作出判决,以5:4的表决结果确定了《宪法第四修正案》适用于手机基站定位数据保护,支持了Carpenter的诉求。
Carpenter案给予了信息隐私权更明确的宪法保护,完成了对信息隐私权的现代化更新。但无论是学界还是法律实务界,都鲜少有人探究信息隐私权的客体到底是什么。通说认为信息隐私权的客体是信息隐私。本文中,笔者试图以Carpenter案来分析联邦最高法院宪法判例中信息隐私权客体从“隐私”到“数据”的变化,从而得出数据才是信息隐私权客体的结论。我国目前并未引入欧盟个人数据保护权概念,亦没有建构起美国式的信息隐私权保护体系,对个人数据的保护并未形成完备的法律保护体系。因此,明确数据的权利客体地位对我国数据隐私保护具有一定借鉴意义。
[美]托克音顿、[美]艾伦:《美国隐私法:学说、判例与立法》,冯建妹等编译,中国民主法制出版社2004年版
二、信息隐私权客体变化的历史进路及其成因
在自由权理念指引下, 美国宪法保护的隐私权概念是宽泛的。从1965年的Griswold v. Gonnecticut案开始, 美国联邦宪法开始保护个人隐私权。至20世纪60年代后期,随着信息科技的高速发展,在互联网盛行的网络世界里, 个人数据隐私亟待得到宪法隐私权的全面保护。至此,自治性隐私权、物理性隐私权以及信息隐私权的“三分法”新型隐私权体系形成。在信息隐私权的发展过程中,1977年的Whalen v. Roe案正式开启了信息隐私权的宪法保护,此后宪法判例的不断更新亦完善了信息隐私权的内涵。
(一)典型宪法判例历史梳理
1977年的Whalen v. Roe案首次认定了宪法上的隐私权保护范围包括政府数据库中的信息(数据),是美国联邦最高法院关于信息隐私权的第一例判决。该案涉及纽约州的一项法案,它规定医生必须注明处方医生和配药信息,并将药物、剂量、病人姓名、地址和年龄等相关数据提交给国家卫生部门,以便计算机进行储存和处理。部分患者和医生提出质疑,认为医患关系中的个人数据是应当受到宪法保护的隐私范畴,法案的该项强制规定侵犯了公民的信息隐私权。Stevens大法官撰写了联邦最高法院的意见,认为该案中所涉的个人数据仅限于未被公开过的数据,一旦个人数据被第三方知晓,则不再属于宪法保护范畴。虽然上诉人的请求并未得到支持,但是法官在判决意见中认定:州法案在要求公权力机关收集、储存和散发信息的规定上触及到了宪法上的隐私权,信息隐私权的宪法保护从此得以确立,同时也是个人信息(数据)保护与传统隐私权互洽的一大进步。同年,Nixon v. General Services Administration一案再次肯定了Whalen v. Roe案所确立的信息隐私权。至此,信息隐私权的宪法保护模式初步形成。
1983年的United States v. Knotts案涉及蜂鸣器(beeper)无线电跟踪技术。它是一种用电池维持的跟踪器,能发出微弱的无线电讯号,只要使用接收器就能够接收到这种讯号。在该案中,明尼苏达州的执法人员怀疑一名被告购买三氯甲烷用于制造非法毒品甲基苯丙胺,遂与制造商达成协议,在该名被告再次购买三氯甲烷时,将蜂鸣器放置在其车内。警方通过蜂鸣器跟踪了被告的车辆,并利用发现的证据对被告定了罪。被告认为,执法人员的该行为违反了《宪法第四修正案》关于信息隐私权的规定。但联邦最高法院最后判决认为,在公共道路上驾驶汽车的人,在从一个地方到另一个地方的行动中,没有合理的隐私预期。这样的数据——从起点到终点——都是自愿传达给任何人的。虽然法院驳回了上诉人的意见,但是在该案中法官也阐述了一个事实:蜂鸣器发射的无线电讯号是需要人的“视觉”监控配合的,蜂鸣器并不能确保被跟踪物体的准确位置,相反,执法人员只能自己去辨别目标体是否在附近。依据无线电讯号所描绘出来的个人活动轨迹其实是执法人员视觉监督的延申,只是换了一种电子呈现方式。因此,利用蜂鸣器监控实际是对公民“私生活”的窥探,其核心是个人隐私。
1988年的United States Department of Justice v. Reporters Committee for Freedom of the Press案涉及的个人数据更广泛。在该案中,根据地方、州和联邦执法机构提供的数据,联邦调查局编制并保存了数百万人的犯罪鉴定记录和前科记录,其中包括逮捕、指控、定罪和监禁等历史数据。新闻自由记者委员会要求司法部和联邦调查局公布某涉案人员的犯罪前科数据,但该要求被司法部和联邦调查局以“犯罪前科数据所涉及的隐私利益是巨大的”拒绝了。联邦最高法院最终也认可了公民对其私人数据所享有的宪法性隐私权利。
2012年的United States v. Jones案涉及GPS数据隐私。2004年,被告Jones涉嫌贩毒,警方执法人员在被告的汽车底部安装一个GPS(28 天)跟踪装置,但跟踪无论在地理和时间上都超出了逮捕令的范围。联邦最高法院判决认为警方在被告的汽车上安装GPS装置,侵犯了Jones的“个人隐私”,但这一侵犯因构成政府的“搜查”行为而被豁免。由此可见,隐私依然是信息隐私权的核心。
2018年的Carpenter v. United States案是美国联邦最高法院在大数据背景下做出的有关信息隐私权保护的最为重要的判决。政府通常向无线运营商搜集手机基站定位数据多是用于商业领域,但这并不能否定Carpenter对于记录他行踪的该类数据拥有合理的隐私期待。该案中,政府从手机信号发射基站采集的数据具有强烈的时间节点标签,编年体式的数据打开了个人的私密空间,绘制了个人定点的生活轨迹,深度反映了公民生活的深度、广度、复杂度,是对公民生活行踪的复制。如果再结合其他相关数据分析,比如,公民常去教堂、参与政治游行或者用手机浏览同性网站等,这又会传递出公民的政治讯息、职业讯息、宗教讯息、性取向讯息等信息,这些信息一旦相关串联起来,就形成了一个人的生活隐私。其不仅可以对Carpenter的身份进行识别,甚至可以对Carpenter的思维意图进行预判。本案的焦点不在于公民在某个特定时刻使用手机以获取其相关数据,而在于海量模糊的数据像编年史般记录了公民个人每天每时每刻甚至数以年记的物理活动轨迹,数据本身不再具有隐私特性。
综上所述,从美国联邦最高法院关于《宪法第四修正案》隐私权条款的几个典型案例来看,美国信息隐私权客体经历了从“隐私”到“数据”的发展历程。1977年Whalen v. Roe案中Steven法官代表大多数人所撰写的法律意见认为,政府数据库中的具有行业特殊性的医患信息是典型的个人隐私范畴。在1983年的United States v. Knotts案中,法官多数意见认为公共道路上驾驶汽车的电子轨迹记录已经丧失了合理的隐私期待,隐私依然是信息隐私权的客体判定标准。1988年的United States Department of Justice v. Reporters Committee for Freedom of the Press案,联邦调查局编制并保存的数百万人的犯罪鉴定记录或“前科记录”,以及2012年United States v. Jones案中精确的GPS数据记录均直接显示出了公民的个人隐私,至此,信息隐私权客体依然是以“隐私”为核心的判定标准。直到2018年的Carpenter v. United States案,以编年体式的手机基站定位数据为代表的大数据,将美国信息隐私权客体内涵扩大化——客体的确定不再以客体本身是否是隐私为标准,而是以其最后的价值趋向是否会有体现个人隐私的可能为标准。这是一种全新的主客观相结合(“客观要素+隐私利益”)的权利客体确定规则,更符合现代电子信息社会发展的需求。传统的姓名、住址、民族、性取向、宗教信仰等要素本身就是个人隐私,就算是以电子方式呈现,也只是记录方式的改变,要素本身的隐私性质没有改变。而手机基站数据则不同,它具有明显的大数据特征——模糊性、碎片化、非私密性、可多次反复利用等,大数据中部分不直接涉及隐私的数据需要通过不同数据的组合、多次利用等才能反映出个人不同的隐私利益。也就是说,在同一数据池内,以不同的价值趋向为基准来进行“批量数据”的筛选,并组合出不同的数据组,则每一数据组的隐私利益是不同的。因此,在现代科技发展致使越来越多的大数据出现的背景下,以主客观相结合的方式将数据确定为信息隐私权的客体,目的就是为了更好地保护个人隐私利益。将数据作为客观要素,勾连以隐私利益为核心的主观要素,这样一种确立信息隐私权客体的规则弥补了仅以主观要素(隐私利益)确立信息隐私权客体的理论缺陷。与此同时,Harlan法官在Katz案中确立的隐私合理期待理论,即公民从主观上对其个人隐私有着真实的期待,而这种期待又被社会公众所认可亦得到了更全面和更与时俱进的诠释。
(二)信息隐私权客体的变迁缘由
通过梳理美国联邦最高法院就信息隐私权的典型判例可知,数据之所以取代隐私成为信息隐私权的客体主要基于以下三个原因:
1. 数据导向的数字化经济发展新趋势
20世纪90年代,信息技术的发展促使互联网成为美国新的经济增长点。在吸引全球大量资金的同时,美国占领了世界科技网络高地。在互联网、物联网高速发展的时代背景下,数字化变革以美国为中心点向世界范围扩散,全球经济活动对数据的依赖性不断增强,数据导向的数字经济模式形成,“大数据”时代初具雏形。当今大数据的应用需要云(Cloud)、移动(Mobile)、社交(Social)、分析(Analytical)等技术动力的支持,同时,大数据价值链包含数据源、数据收集与加工、数据应用等领域,涉及多方面利益群体的多元化的价值诉求。美国标准与技术研究院(National Institute of Standards and Technology,简称NIST)将大数据定义为“有别于传统数据框架,由广泛的数据所组成的集合,其具备数据体量大、种类多、数据流量大、数据变化性强的特点。”由此可知,大数据视域下的“数据”与传统数据不同,它是借助强大的计算能力和算法从海量数据池中发现事物之间的某种相关性从而得出数据的价值,行为数据和非结构化数据占比较大。由于数据价值挖掘过程中的参与者众多以及搜集范围的广泛性,无论是直接能识别公民个人身份的数据,亦或是其他毫无“可识别性”的数据,均在“大数据”概念范围之内。因此,在“大数据”盛行的时代,我们不得不考虑数据的法律意义。
2. 数据主权的威胁与挑战
移动互联网、物联网的高速发展促使数字化革命浪潮席卷全球,国家控制数据流通的难度空前加大,这给国家主权带来了前所未有的巨大冲击。虽然数据的自由流通对经济发展起着重要促进作用,但其亦承载了公民个人隐私安全、社会安全以及国家安全等问题。一旦个人、企业的隐私数据或秘密数据,以及国家的机密数据等遭到泄露, 大范围的政治、经济动荡发生的可能性增大,国家政治、经济安全无法保障,国家主权权威也受到挑战。因此,公民隐私的各类数据是否遭遇前所未有的“泄密风险”事关国家安全,国家有权采取措施保护这些信息不被窃取,这与国家自保和保护公民基本权利的功能相关。
3.政治无害性,社会已达成共识
数据的生产、加工的迂回度不断提高,加大了整个过程的系统性隐私风险。回到个人数据保护的法律视角,由于被纳入信息隐私权既有保护范围的数据仅限于私密性的首次可识别自然人的数据,例如与公民个人身体、生理、精神、经济、文化或社会身份有关的数据,因此,存在于公共领域的模糊化、碎片化的数据处于“无编制”的尴尬境地。但如果公民在公共场合被公共设备无意识拍摄或记录的不具有隐私特性的数据,通过二次或多次关联后又显示了其隐私特性的数据又该如何进行保护?以Carpenter案为例,政府通过移动通信基站获取的公民在某个特定时刻特定地点使用手机的定位数据并不涉及个人的敏感信息,但其通过手机基站定位数据描绘出了Carpenter的物理活动轨迹,将Carpenter在某个地点出现的各因素关联起来,即如何到达该地点,什么时间段到达,逗留时间长短,在该地点出现频率等各类数据综合分析,不仅可以对Carpenter的身份进行了识别,亦对Carpenter的思维意图进行了预判,最终以涉嫌抢劫罪将Carpenter起诉至法院。移动通信基站定位数据是典型的“大数据”,具有模糊性、混杂性、碎片化、数量巨大的特征,且这类数据均在首次收集时并未涉及到公民个人隐私,经过二次或多次关联使用才映射出公民的个人隐私信息。由此可知,在“大数据”盛行的时代,数据的内涵较之隐私范围更广。因此,将数据确立为信息隐私权的客体,信息隐私权的涵摄范围才更广,公民的个人信息隐私才能得到更好的保护。
[美]罗斯科·庞德:《法理学(第四卷)》,王保民、王玉译,法律出版社2007年版
三、数据作为信息隐私权客体的合理性证成
信息隐私权的客体是数据,而非信息隐私。因此,明确数据与信息隐私的概念与区别尤为重要。信息隐私通常被认为是在数据安全的背景下实现如何安全收集、共享及使用个人隐秘信息,这其中可能涉及加密,访问受限等手段。维基百科对信息隐私的定义为“收集和传播数据、技术、公众对隐私的期望、以及围绕在它们周围的法律和政治问题“。由此可见,信息隐私的核心依然是“隐私”。但隐私并不是一个静态的概念,它在不同国家、不同文化背景下,在不同历史发展阶段所呈现出来的内涵与外在表现形态都不同,且有一定个体差异性。有学者从社会学、法学等视域对隐私进行过定义。I. Altman从社会学角度将隐私界定为一种个人或者群体自我选择性的控制机制。A.F. Westin则从法学视角将隐私界定为个人或组织经由自我意愿向他人传递个人信息的声明。但是,随着大数据等新技术的发展,数据的内涵要远远大于隐私的内涵。欧盟《一般数据保护条例》(“GDPR“)中个人数据的定义为:以一项或多项要素已识别到或可被识别到的自然人(数据主体)的所有数据。美国联邦政府虽然没有像GDPR一样具有强制性的制定法明确对数据的定义,但部分州法律对数据有了明确界定,诸如美国《2018加州消费者隐私法案》(“CCPA“)以“可识别”为核心对个人数据进行定义,增加了自然人(数据主体)身份的“关联性数据”和“设备识别“要素,将一些无法直接指向自然人的数据,但如果能够识别到设备,也属于个人数据范畴。因此,数据相较于信息隐私具有更广泛的内涵。
(一)传统法律关系客体理论的不适应性
法律关系客体即法律关系主体的权利、义务所共同指向的对象。罗斯科·庞德认为:“物”在法律中是严格意义上的权利的客体,其与一方要求、另一方被要求进行的行为或自律(forbearance)有关。从字面含义理解,“物”可能首先或典型地被认为是一个有形的实物,但作为法律关系客体的“物”是法律意义上的“物”,与哲学意义上的客体——不以主体意志为转移的客观“物”是不同的。法律关系客体不仅具有哲学意义上的客体的一般属性,还具有其自身的特殊性,即能够满足主体的物质利益和精神需求。在英美法学理中,thing这个术语是在“权利客体“的意义上被使用的,意义等同于“财产(property)”,它既包括了有体的物,也包括了无体的权利。罗马经典法律教科书将“物”分为有体物、或者无体物,这样就能在任何程度的经济发展的社会中,将智力、纯粹人造的物、遗产、专利、商标、版权、信托、证券以及对他人提出的可变为金钱或金钱利益的请求等认定为权利客体,并适用有体物的规则去调整他们。但传统法律关系客体理论多是以物权为基础,对于后兴起的人格权客体理论涉及甚少。虽然“人格”一词早在罗马共和国时期就已出现,且朴素的人格权元素,如生命、健康、身体等也已出现在罗马法中,但直到缘起于德国的“一般人格权”的确立,人格权才正式出现在大众视野,“人格利益说”被认为是人格权客体的主要理论。综上所述,在美国法中,传统的法律关系客体应当包括物(thing)、智力成果、人格利益。
数据不是物。在美国法“物”的分类中,最重要的分类是有体物和财产。有体物是客观存在并且可以凭借人的感官而触觉到的实物,包括自然物和人的劳动创造物,如森林、土地、自然资源、建筑等。而数据是一系列由数码0和1表示的二进制电子符号集合,并通过计算机和互联网系统以文本、图像、声音、视频等方式呈现,虽然数据具有客观性,但其本质上是依赖互联网而存在的,是虚拟的,因此不是有体物。此外,数据亦不是传统财产权客体。首先,从经济学角度来看,数据的消失并不意味着社会财富值的减少。其次,数据的交易必须依附数据交易平台、代码等特定环境,个人并不能成为数据交易主体。再次,底层数据不能成为交易对象,只有经过清洗、建模后的数据才能进行交易,而且数据交易类型受限,贵阳大数据交易中心公开可进行交易的数据有金融大数据、医疗大数据等4000多种数据。最后,单个数据没有财产利益价值,必须批量交易才能产生财富价值。综上所述,数据的这些特征都与传统意义上的财产不同。因此,数据不符合财产权对“物”的定义。
数据不是智力成果。按照美国法理论,智力成果与“物“的概念有部分重合,但考虑到知识产权已发展成为独立的一门学科体系,遂将智力成果独立出来单论。智力成果是人们脑力活动的产物,一般包括科学著作、文学艺术作品、科学发明、商标、外观设计等。在美国知识产权保护体系中,智力成果主要包括发明、作品、商标和商业秘密等。数据是作品还是商业秘密?目前学界争论不断。但笔者认为,数据既不是发明,也不是商业秘密。作品必须是思想或情感的表现,是具有独创性的智力创作成果。但数据仅仅是依据既定程序通过代码形式显示出来的符号集合,并不是作者自己的选择、设计和安排的结果,因此数据不是思想或情感的表现,也不是具有独创性的智力创作成果。所谓商业秘密, 是指权利人采取保密措施的、不为公众所知悉的、能为权利人带来经济利益的信息。但直接将数据视为商业秘密欠妥。数据可分为两类,一类是直接涉及个人敏感信息或隐私的,该类数据的使用必须遵守相关法律规定,不能用于商业交易以谋取利益。因此不属于商业秘密。第二类是通过其他公共渠道获取的数据。但由于商业秘密必须具有防止被一般公众所知悉的秘密性,权利人必须努力采取合理措施维护秘密性,因此暴露在公共领域或网络公共平台的数据并不能构成商业秘密。
信息隐私权客体不是人格利益。传统的被纳入信息隐私权保护范围的数据仅限于私密性的首次可识别自然人的数据,例如与公民个人身体、生理、精神、经济、文化或社会身份有关的数据。但自迈入大数据时代以来,数据的模糊化、碎片化以及混杂性取代了传统数据的精确性特征,无论是直接能识别公民个人身份的数据,亦或是其他毫无“可识别性”的数据,均在“大数据”概念范围之内,而这类数据均是在首次收集时并未涉及到公民个人人格利益。因此,将信息隐私权的客体认定为人格利益是狭隘的。
(二)信息隐私权客体的重新界定
尽管数据是随着科技社会的发展而产生的一种新的客体,但是数据依然具有民事权利客体所要求的传统特征,是一类新型的民事权利客体。
第一,数据是能够客观反映事实的数字和资料,其不以人的意志为转移,具有客观性。牛津词典对数据的定义为:通过计算机操作所反映出来的数量、字符或符号,这些数量、字符或符号同时也可以电子信号的形式存储和传输,并被记录在磁性的、可视的或机械记录介质上。美国CCPA规定,个人数据系指直接或间接识别、关联特定消费者或家庭的电子符号集合,包括但不限于姓名、个人标识符、互联网协议地址、电子邮件地址等。不难看出,尽管数据的定义不尽相同,但这些被机械记录的数字、字符或符号集合是任何人都可以通过代码规则发现、制造并获得相同认知的,是不以人的意志为转移能够客观反映事实的。因此,数据具有客观性。
第二,数据具有独立性。数据的独立性体现在四个方面,首先,数据是互联网空间的产物,具有高度空间依赖性。但互联网空间并不隶属于物理空间,而是与物理空间并行的另一独立的静态虚拟空间,两者相互独立且相互联系;其次,数据的产生依赖于独特的代码规则,所有数据的产生,无论从存储、格式排版、注释以及编写等均需遵循特定程序和规则,物理空间的事物则是遵循自然规律产生的,而数据不会因为自然规律而产生;再次,数据与物理空间的事物相互独立。数据是互联网空间特有的虚拟产物,具有无形性,其无法独立存在于物理空间,亦不能独立在物理空间进行使用与流通。而物理空间的事物多为有形的具体物,亦或是可直接在物理空间使用和流通的物;最后,数据与数据相互独立。不同数据的产生基于不同代码规则,当A数据发生改变时,B数据并不会因此而改变,除非代码规则发生改变。因此,特定新兴事物的独立性必须在特定空间范围内进行探讨,不能跨空间混淆分析。有学者认为民事客体的独立性必须是能实际控制的并能划分与他人利益范围的独立载体,而数据无法脱离载体而存在的特性,决定了民事主体无法直接控制数据,即便同时控制了诸如电脑终端或储存设备等数据载体,也无法控制基于复制、网络流通或不当行为为他人所分享,并以此来否定数据的独立性,是不合理的。
第三,数据可被直接利用,是商品化的“物”。在罗马私法体系中,凡有经济价值并可转换为金钱价值的都是物,但也对物设定了界限,即物必须存在于自然界。由于商品经济的发展,从实体物、有价证券到智力成果,财产权客体的范围逐渐扩大。随着大数据时代的到来,有学者认为数据不满足罗马私法以及近代私法体系中对“物”的定义,因此不能成为法律意义上的“物”。但需要注意的是,20世纪80年代,互联网经济开始发展,大型数据库开始建设,直到2012年大数据时代到来,“数据”作为新兴事物,其法律属性才被越来越多的提及。因此,囿于社会经济和科技发展,罗马私法与近代私法体系并未留足空间探讨“数据”的法律属性。如果将新兴事物完全套用陈旧的法律理论来解释,则定会出现不适应。实际上,数据具有一般财产的属性,即实用价值与可交换属性,并能够满足人们的利益需求,并依赖特定平台进行交易。在数字技术并不发达的年代,只有名人的姓名、肖像等具有财产利益,一般群众的姓名与肖像只有在教育机构利用培训的学生考上名牌大学做广告等特定情形下才具有财产利益。在大数据时代的背景下,个人数据的潜在商业价值凸显,数据交易使得个人数据逐渐“商品化”,财产利益属性得到体现。例如,大数据交易中心将分散在各行业领域不同主体手中的数据资源汇集到统一的平台,并通过统一的标准规范体系来进行数据交易,从而实现数据共享和交换。美国学者劳伦斯·莱斯格(Lawrence Lessing)教授认为,应认识到数据的财产属性, 通过赋予数据以财产权的方式, 来强化数据本身经济驱动功能, 以打破传统法律思维之下依据单纯隐私或信息绝对化过度保护用户而限制、阻碍数据收集、流通等活动的僵化格局。
第四,数据具有一定人格属性。个人数据中多蕴含着与个人的尊严、名誉、隐私等密切相关的可识别的要素。某些数据虽然不能直接地表明个人身份,但可以与其他数据相结合后确定主体的身份,也属于指向某一特定主体的信息,如手机号码、家庭住址、门牌号码、通信地址等。这些要素更多体现为一种私益,人格属性突出。在美国,隐私权是个人数据保护的基础权利,而隐私权的本质就是以保护人的隐私为主,诸如姓名、肖像、民族等。德国学者Wilhelm Steinmüller 和Bernd Lutterbeck 提出的“信息自决权”也是典型的人格权。在德国法语境中,法律保护个人数据是为了维护个人的人格尊严和人格平等。再参考欧盟GDPR以及美国加利福尼亚州《2018消费者隐私法案》对个人数据的“可识别性”定义,不难看出,个人数据的核心是强调数据主体人格身份的“关联性”与“可识别性”。由此可见,个人数据的人格属性占据着十分重要的位置。
综上所述,数据作为大数据时代的新兴事物,其客观性、独立性、可直接利用性以及人格属性是其具备作为权利客体的一般属性。
(三)信息隐私权客体理论的适用范围
值得注意的是,宪法领域信息隐私权客体理论如何适用至侵权法领域?刑事领域的信息隐私权客体理论亦如何适用至民商事领域?针对第一个问题,需从宪法与侵权法就隐私权保护的一般关系来展开。美国法上的隐私权起源于侵权法,于1890年为Warren及Brandeis所倡导,在1960年经Prosser教授加以整理体系化。隐私权自诞生开始就有着浓郁的私法保护特色,但在以自由主义观念为主流的美国,公权力一直被认为是侵犯个人权利的最主要主体之一,尤其是911事件以及其他全球重大恐怖主义事件的频繁发生,公权力更多介入公民的个人生活。因此,限制公权力、保障公民基本权利成为了隐私权宪法保护的必然趋势。Louis Brandeis法官曾说过,宪法于侵权法就隐私权保护的不同就是侵害公民个人隐私的主体不同,宪法隐私权的侵害主体是公主体,侵权法上的隐私权的侵害主体是平等私主体,其他并无区别。遵循此逻辑,宪法判例中确定信息隐私权客体标准当然适用于侵权法领域。因此,宪法上的信息隐私权客体的变化,同样对侵权法信息隐私权的客体保护产生重要影响。
此外,通过梳理联邦最高法院关于信息隐私权的判决发现,法官在认定是否涉及公民信息隐私权的问题上,几乎都不承认政府的搜查行为侵犯了公民的信息隐私权,即使认定搜查行为侵犯了公民个人隐私,也会因为公共利益而豁免。因此,在刑事领域,基于公共利益考虑,确定信息隐私权客体的标准相对较高。而在民商事领域,确定信息隐私权客体依然是以隐私利益为核心,与刑事案件不同的是,一旦认定私主体的某一行为侵犯了公民个人信息隐私,则不涉及公共利益因素的考量。因此,刑事领域的信息隐私权的核心是如何调和个人隐私保护与公共利益,而民商事领域信息隐私权主要在于依侵权行为法保护个人隐私不受第三人的侵害,其核心问题在于如何调和个人隐私保护与言论自由。也就是说,民商事领域判定信息隐私权客体的标准比刑事领域低。基于此,数据在Carpenter案中成为了信息隐私权的客体,在民商事领域也应当类推适用。
江平、米健:《罗马法基础》,中国政法大学出版社2004年版
四、对中国的启示
美国的权利客体确立标准对我国确定个人数据保护的启示意义是明显的,但在外国形成并且经过考验的解决办法——不管怎样,没有经过修改——是不能够在我们的法律上转抄的。我国并没有像美国一样完备的隐私权保护体系。回顾我国立法境况, 在21世纪初期, 对于隐私权的直接保护这一重担依旧是由司法解释所承受;直至《侵权责任法》的颁行, 隐私权在我国立法层面才尘埃落定。而且我国现行关于隐私权的法律保护主要还是集中于如何使用、保护隐私权, 而没有深入到下一个层面, 即如何“限制”以及在何种程度上“限制”隐私权。因此,将数据作为权利客体的前提必须是个人数据保护基础权利的确立,其次才是完备法律保护体系的构建。
首先,厘清个人数据保护的权利基础——到底是个人数据保护权还是隐私权的保护。美国是以信息隐私权为基础权利对个人数据实行保护,但是美国的隐私权体系独具特色。它不像德国,有统一的人格权概念为隐私制度提供理论框架,美国隐私权制度是以中度抽象的实用性理论来指导隐私权制度。欧盟《一般数据保护条例》的生效也标志着个人数据保护权与隐私权实质“分离”,全新的个人数据保护权体系全面形成。因此,不能脱离美国本土文化来理解法律条文。笔者倾向以数据权利为权利基础,因为数据权并不是一项简单的权利,而是一种权利集合,它囊括了不同主体在相同客体上的涉及人格、隐私、财产、主权等多方面的权利。以数据权利来对个人数据进行保护会更全面。
其次,我国应当倡导《个人信息保护法》立法,并配套完备的规章制度,全方位健全信息网络世界的个人权益保护。我国目前暂未形成个人数据保护法律体系,对个人数据的保护散见于各部门法或其他法律文件,如《刑法》《民法总则》《网络安全法》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。但是,我国现行法律或其他法律文件规定主要集中在收集数据之前的预防与数据被侵害之后的维权,对数据应用,即收集、储存、处理、交易、使用、流通等过程并未明确规定。目前,我国已有学者在两会上建议,在《宪法》《民法通则》等法律基础上制定个人信息保护的基本法,专门设立“信息可携权”和“被遗忘权”,并在统一立法基础上,结合我国当前个人信息保护体制现状,由中央和地方各部门根据各自职责和权限,对不同的行业和领域分类管理等。因此,我们要从个人数据保护的顶层设计入手,突破部门法的局限去解决问题,对个人数据的定义、范围、权属争议、安全保障配套措施、国际流通、法律责任等多方面进行科学研究,赋予其更合理的法律定位,给出更科学的法律身份,促进《个人信息保护法》的尽快出台。
最后,美国的法律变革在相当程度上来源于法院,美国法院没有英国那样的政府体系和法律改革机构等等,其诸多思想都来自缓慢的蒸馏过程。因此,美国的判例法制度迅速、灵活的反映了社会发展对法律调整提出的不同要求。虽然我国最高人民法院发布的指导性案例不能直接成为我国的法律渊源,但指导性案例的制度性功能,即法律解释;法律规范的复合型确证,即制定法的间接授权、最高人民法院的自我确认以及其他规范性司法文件相互支撑;以及中国法律创生结构中的制度性实践,即试行立法,这三方面合在一起,可以认为指导性案例已经获得了某种法源性质。其已成为最高人民法院及其下级法院审理案件的裁判以及,而不仅仅是进行裁判说理所借助的实质理由。因此,充分发挥指导性案例制度的功能与价值,继续完善最高人民法院发布的指导性案例制度,为实现我国就个人信息保护领域的司法实践与立法实践的齐头并进奠定基础,这也是契合我国法律实际情况的必然选择。
王泽鉴:《人格权法:法释义学、比较法、案例研究》,北京大学出版社2012年版
五、结语
在互联网大数据时代,科技社会与经济社会的相互交融,使得信息领域也呈井喷式发展。大数据开启了一次重大的时代转型。美国的沃尔玛公司通过数据挖掘,把啤酒与尿布放在一起卖,在飓风来临前把手电筒和蛋挞(一种甜早点)一起卖,显著提高了公司的销售额;谷歌通过大数据预测“非典”的大爆发;美国麻省理工学院的“十亿价格项目”编制的网上商品CPI、阿里巴巴编制的淘宝CPI,提前洞见2008年国际金融危机的爆发等等,都是在大数据开发利用方面的经典案例。数据已成为国家的战略资源,是国家基础的“后备军”。基于前文的分析,在个人数据保护领域,美国在20世纪70年代才开始初有成效,但由于其独特的立法权及其机制的限制,美国一直没有统一的个人数据保护立法或者独立的监管机构,而是形成了以隐私权为基础权利,以行业自律、侵权法、行政法以及宪法四大领域为特色的个人数据保护体系。随着数据的权利客体地位的确立,美国更是在个人数据保护的法律进程中探寻出了独具美国特色的信息隐私权体系。反观我国,目前我国关于个人数据保护的法治环境依然面临着巨大考验,虽然《网络安全法》和《电子商务法》的出台填补了关于个人数据立法的空白,但是个人数据的法律保护依然缺乏体系,无法对当前社会涌现出的危害个人数据的行为提供充分、全面、及时的保护。数据法律属性是数据开发利用的前提, 是数据作为客体予以赋权的前提。因此,借鉴美国就信息隐私权的有益经验,为建设具有中国特色的个人数据保护社会主义法治体系提供良好法治环境是很有必要的。
本文系#信息隐私权#专题第2期
感谢您的阅读,欢迎关注与分享
法律思想 · 往期推荐
#数字人权#
Vol.762 高一飞:智慧社会中的“数字弱势群体”权利保障 | 数字人权
Vol.764 马长山:智慧社会背景下的“第四代人权”及其保障 | 数字人权
Vol.767 宋保振:“数字弱势群体”权利及其法治化保障 | 数字人权
Vol.769 刘志强:论“数字人权”不构成第四代人权 | 数字人权
Vol.770 [美]杰克·M.巴尔金:表达自由在数字时代的未来(敖海静译) | 数字人权
更多专题
→2020年推送合辑:Vol.706 『法律思想』2020年推送合辑
→2019年推送合辑:Vol.547 『法律思想』2019年推送合辑
→2018年推送合辑:Vol.405 『法律思想』2018年推送合辑
→2017年推送合辑:Vol.263 法思2017推送合辑
→教师节专题:Vol.216 教师节专题 | 法思专题索引
→法思百期精选:Vol 101.2【法思】百期特辑
法律思想 | 中国政法大学法理学研究所