【原创】数字法治的理论与实践——以数据共享中的个人信息保护为中心
免费订阅请点击上方“互联网法律大会”
本文作者
纪雨璇
浙江大学光华法学院
法学本科生
人格权独立成编是《民法典》立法的亮点之一,凸显了“保护人格权、维护人格尊严”这一民法典的重要价值目标。人格权编第六章“隐私权和个人信息保护”为数字时代的个人信息保护提供了强有力的支撑,为将来《个人信息保护法》《数据安全法》等专门性立法提供了可行性基础和原则性规定。本文将以《民法典》对个人信息保护的规定为基础,从保护的必要性、对现状的反思、以及未来加强个人信息保护的展望三个角度对数据共享中的个人信息保护进行分析。
一、《民法典》保护个人信息的必要性
(一)数字时代的现实需要
互联网、大数据时代,随着科学技术日新月异的发展,数据的采集、共享、传播的方式愈发便捷、速度大幅提高,海量的数据中包含着大量个人信息,个人信息的可利用性提高,经济效用日益凸显。这同时也意味着个人信息被暴露在更容易被侵害的环境中:例如,App会在用户使用过程中收集其消费习惯、兴趣爱好、身份职业、家庭地址等个人信息,在未进行脱敏化处理的情况下提供给第三方进行二次开发或用于其他非法目的,用户的隐私在不经意间被泄露,生活安宁也会受到垃圾邮件、骚扰电话等的侵扰。与传统媒介相比,网络传播具有无边性、即时性,这使得网络侵权呈现出成本低、手段多、速度快、监管难的特点,造成的损害后果会被无限放大、不可回复。数字时代侵权的新特点决定了必须对个人信息等人格权提供事前的、及时的保护,做好风险预防的规则设计,赋予权利人对个人信息更加积极主动的控制权。
(二)人格权支配性的体现
人格权是人生而固有的权利,是一项绝对权,具有对世性、支配性和排他性,这决定了人格权不仅在被侵害时有消极防御的权能,更具有积极利用的权能,这表现在权利人有权自主决定人格权的行使和利用,在个人信息权领域有如下体现:在个人信息权遭受侵害之前就有权申请法院要求潜在侵权人不作为;有权决定个人信息的利用方式并允许他人进行传播,在信息收集发生错误或者收集目的已经达到的情况下,有权请求信息收集者、持有者及时清除相关信息。在保护隐私、充分尊重权利人意愿的前提下,应当允许用户以一定的个人信息授权给网络平台使用来换取更便捷的服务,例如购物软件通过检测浏览记录来推荐符合消费者需求的商品,视频网站通过检测观看记录来推送相似的视频。民法的基本原则是意思自治,在私人生活领域只要不影响公共利益,法律就应当尊重个人对个人信息甚至隐私的利用安排。
(三)顺应世界立法趋势
尊重和保护人格权是现代民法的重要价值追求,20世纪以来,保护个人信息的自决成为比较法对个人信息保护的大趋势。迄今为止全世界已有90多个国家制定了个人信息保护法。美国法注重个人信息的利用,美国早在1974年的《隐私法案》中承认公民有权决定个人信息的利用,美国加利福尼亚州在2018年通过了严格的网络隐私保护法规,对消费者的个人信息处置权作出进一步规定。而欧盟法则更重视个人信息的保护,数据共享领域对个人信息的保护规范有《一般数据保护法》(GDPR)、《电子隐私令》和《数据库指令》,GDPR第六条认可了个人在自愿的基础上对个人信息积极利用,并规定了数据处理的合法性条件,除此之外欧盟还设置有专门的数据保护机构,负责个人信息保护法律的执行、监管。《瑞士民法典》开创了人格权请求权的先河,该法典第28a条规定:“原告可以向法官申请:(1)禁止即将面临的侵害行为;(2)除去已经发生的侵害行为”。
二、《民法典》时代个人信息保护的反思与展望
《民法典》时代,加强个人信息保护的核心是兼顾数据开放共享与个人信息保护的有效平衡,既需要设计出完备的规则实现有法可依,又需要多方主体合力做到有法必依、执法必严。
(一)加强国家在个人信息保护中的主导作用
国家的主导作用体现在立法和执法两个方面。立法层面,目前《民法典》对于个人信息的保护多属于原则性规定,缺乏关于不同主体的权利和义务的细化规定,对个人信息保护的利益衡量不够清晰,亟需出台《个人信息保护法》《数据安全法》等专门性法律,进行统一的、具有可操作性的规范。对于数据共享的规范重点是完善授权规则,权利人的知情同意应当贯穿于数据共享的全过程,《民法典》第1035条中的权利人“同意”应当解释为明示同意,而不能将沉默视为同意。实践中用户在初次使用App时通常会与平台签订格式条款,其中包括数据共享的内容,一些条款可能写得非常模糊,为平台在发生纠纷时留下大量解释空间,必须严格限制概括授权,在格式条款中明示授权的范围。超出用户合理预期和社会一般认知的格式条款属于无效的格式条款。不仅要明确初次授权,还要对数据二次共享的内容、范围、方法进行告知,征得用户的明示同意。此外,对于不需要授权的情况法律也应当明确列举,为数据产业的发展和政府公共服务的开展提供行为预期。
执法层面,可以借鉴欧盟、瑞士、我国港澳地区的经验,设立独立的专门数据保护机构,负责个人信息保护法的执法监督,对信息从业者实行实名制监督、对用户实行真实身份可查验制度,提高违法行为的可追踪性。加强对信息从业者守法情况的监督,例如可以对数据共享的格式条款合法性进行事前审查,对App过度采集消费者信息的侵权行为进行调查,在此基础之上总结实践经验,向立法机关提出立法完善建议。
(二)发挥行业的自律作用
行业协会可以对国家立法解读和说明,并在结合自身业务特点和实践经验的基础之上制定更有针对性、可操作性的个人信息保护规则和相应的惩戒制度,可以拟定数据授权的示范格式条款供从业者参考,监督信息从业者在收集、存储、利用个人信息时进行充分的去个人化处理,通过行业内的带头作用以及消费者用脚投票产生的优胜劣汰压力,提高信息从业者的合规意识,调动从业者保护个人信息的积极性和主动性,从而为个人信息提供比立法更严格、充分的保护。
(三)发挥公众的监督参与作用
在法律和政策制定的过程中,拓宽公民的参与和表达渠道,通过网络等媒体渠道及时向公众公开草案、征求意见;在执法环节中,国家专门数据保护机构和行业协会应当定期公开数据使用情况和信息执法、法律实施监督情况,公开违法信息从业者名单,维护消费者知情权。可以建立专门的公众监督平台,提高处理投诉、申诉、举报的效率,为权利人监督违法信息使用行为、维护自身合法权益提供更加便捷的渠道。
(四)完善人格权禁令的程序立法
人格权禁令是《民法典》创设的一项专门针对人格权的临时性救济制度,可以在侵害发生之前起到及时制止、预防损害的作用,能够为个人信息保护提供迅速、实体独立的保护。《民事诉讼法》要及时完善人格权禁令的具体程序,兼顾程序效率与程序公正。由于权利人相较于信息从业者在证据收集能力上处于弱势,应采取与诉讼相比更低的“优势盖然性”证明标准,灵活运用陈述书、报告书等证据方法代替人证,必要时可以要求权利人提供担保;同时也要听取信息从业者方的意见,赋予其主动参与、提出抗辩的权利。侵害个人信息的威胁或侵权行为确实存在的,法院可颁发禁令责令信息从业者对相关信息进行删除、更正。
三、结语
当今的社会是信息社会,信息与社会经济发展、与每个人的日常生活都密切相关,法治要与时俱进,将个人信息保护作为大数据时代人格权保护的重要命题。只有强化对数据共享中的个人信息的保护,数据产业才能在法治的框架内良性发展,实现个人、信息从业者、国家三方主体的共赢。
END
浙江大学《人工智能与法学》课程成果
本文作者:纪雨璇
本文编辑:张婕妤
本文审阅:黄益豪
(限于篇幅,文中注释均已省略)
(本文观点和内容与本公众号无关)
延伸阅读:
主 编:黄益豪
副 主 编:涂懿敏
来稿请投:zjulaw@aliyun.com
转载须授权