【数据法学】刘泽刚:大数据隐私的身份悖谬及其法律对策(一)
B D A I L C
欢 迎 关 注
大数据运营在收集使用大量身份信息的同时却无法赋予用户网络主体身份。这种身份悖谬是由互联网结构、大数据模式以及法律规范不足共同导致的,也意味着数据自决和意思自治难以实现,政府监管和法律保护才是当前信息隐私保护可行的主导机制。欧盟统一立法创设数据主体,并影响了印度、巴西等人口大国的数据保护立法。但硬性拔高隐私身份定位付出的法律和经济代价也是沉重的。美国依托消费者身份利用现有机制加强信息隐私监管的实用主义路径与其普通法传统契合且成本较低。我国信息隐私主体的现有法律定位模糊。未来立法宜正视互联网发展的现实,兼采欧美之长,适度提高信息隐私身份定位,但应避免设置副作用明显的权利。宜在加强对企业监管的同时,综合利用消费者权益保护等机制提升大数据隐私的保护质效。
Lan Fisher
大数据隐私的身份悖谬及其法律对策
文 / 西南政法大学行政法学院宪法教研室副教授 刘泽刚
一、大数据隐私身份悖谬及原因分析
在大数据条件下隐私和身份间存在着明显的悖谬关系:用户在不断提供各种身份信息的同时却处于没有独立身份的被动地位。“身份”亦作“身分”,在现代汉语中有“出身和社会地位”、“身价”等涵义。自然人在传统空间拥有单一的主体身份,并据此从事各种活动、获得财产、建立人际关系,进而发展自身个性和人格。这种看似天经地义的事情在互联网中却难以实现。自然人在互联网中最常见的身份就是“用户”。但用户却并非单一和持久的网络身份。用户身份并不以注册为前提,只要享受了某种服务或使用了某种应用就可成为用户。成为用户最重要的前提是“用”,而使用的前提则是提供一些与身份相关的数据。以谷歌公司为例,其用户分为三类:“注册用户”、 “非注册用户”和“被动用户”。不难发现,三类用户的共同点在于通过某种方式提供了某种程度的身份信息。严格来讲,用户并不实际拥有其在网络上的各种身份。这些身份就是某些特定数据,但用户无法决定这些数据如何使用,且在停止某种服务注销相关账户后也不能带走这些身份数据。事实上,自然人在现有互联网条件下基本不具有独立性,且对其数据收集、存储、处理也没有自主性。在大数据条件下,自然人更像是被动服从于互联网统治的,而非真正的主体。比较理想的状况是自然人在互联网上应该有单一的数字身份,并且包括了个人进行各种网络活动产生的大量数据。自然人应该能自由调取这些数据,决定是否以及提供哪些数据给相应的服务平台或企业,而且有权在终止服务后彻底销毁因享受服务产生的相关数据。但这种理想的网络主体身份却难获得现实支撑。这种身份悖谬严重制约了隐私保护的效果。隐私是高度人格性的利益。在互联网基本架构稳定的前提下,身份是个人信息构成和保护的关键要素,在隐私保护领域,只有能识别出身份的信息才是个人信息。但用户在大数据模式中的身份却是卑微和被动的。这种身份悖谬限制了隐私保护的主动性和实效性,因而更需要在法律上对信息隐私进行准确身份定位,才有可能保护隐私。而产生这种身份悖谬的原因十分复杂,主要基于以下几个方面:
(一)互联网结构原因:身份即数据
大数据隐私的身份悖谬首先是由现有互联网的结构决定的。对互联网来说用户的身份就是一系列数据。原因是互联网是一个协议分层系统,不管上层应用有多么丰富多样,其底层却由数据和协议主导,身份问题并不重要。互联网的分层架构是一个数据移动、处理、呈现的过程,这一分层系统至少包括底部的“实体层”(Physical Layer)和顶部的“应用层”(Application Layer),还有夹在二者之间的“链接层”(Link Layer)、“网络层”(Network Layer)和“传输层”(Transport Layer)。越底部的层级越靠近硬件;越上面的层越靠近用户。每一层都是为了完成一种功能。为实现这些功能,就需要遵守共同的规则,也就是“协议”(Protocol)。互联网的每一层都定义了很多协议,这些协议总称为互联网协议(Internet Protocol Suite)。归根结底,协议和数据才是互联网的核心要素。在顶层的用户靠提供数据才能进入这个系统并享受服务。在最初的互联网协议中并没有纳入普通用户或自然人的身份。互联网领域的身份至少有三个层次:身份(Identity)、身份验证(Authentication)和授权(Authorization)。“身份”与社会档案具有一致性。“身份验证”是指获准进入某渠道的资格验证。“授权”则是指获准进行某些操作的授权。用户须提供一系列数据并经过以上三个层次的身份确认才能获得某种网络应用或服务。尽管很多国家采取了“前台自愿,后台实名”的做法,然后台本质上是一种身份信息的一致性验证和备份。实名信息并没有赋予用户在互联网的独立身份。相反,针对不同的服务和平台,用户每次都需要进行注册和验证。这是因为用户与互联网之间并没有独立的安全协议,其信息安全与隐私都由应用层决定。自然人在互联网上的用户身份是碎片式的,而非单一的网络身份。
只要互联网的基本架构不变就很难确立自然人的单一网络身份。即便是被寄予厚望的区块链(Blockchain)恐怕也无能为力。区块链从本质上来说是一项通用技术(General Purpose Technology),可以提供去中心化的信任机制,无需像现有互联网反复对个人进行身份验证。而且通过区块链技术创建的互联网身份具有难以篡改的优点,拥有区块链身份的主体能够有效管理自己的身份数据,只需选择必要的身份数据片段而不必一并提交给应用等优势。单从技术角度看,区块链具有确立自然人网络主体身份的潜力,更利于保护隐私。但任何寄望于单一技术改变现有制度的想法都是幼稚的。互联网发展至今,已形成强大的利益格局和制度惯性,任何结构性的改变都需要付出高昂代价。目前尚未出现任何改变互联网基本架构的趋势。
(二)大数据模式原因:身份即资源
数据是大数据时代的基本资源,与身份相关的数据价值更高。大数据运营模式以高度集中达到“大”的数据进行集中、流动和占有为前提。这些特征增加了隐私保护的难度。首先,大数据以数据的集中使用为前提。从全球范围来看,大部分用户的数据被锁定在诸如谷歌、脸书、雅虎等大应用运营商的集约式的“数据筒仓”(Data Silos)中。而集中则意味着攻击目标明确和系统性的危险。2013年雅虎10亿用户个人信息被盗。其后公司加强了安全防护,但2017年又发生了雅虎30亿用户个人信息被盗。此类事件频发充分证明了数据高度集中的危害。其次,数据只有在流动中才能实现价值。但大数据处理环节众多且复杂,强调数据主体的控制会削弱数据流动的价值。数据挖掘却是以牺牲人格利益的方式进行的。数据挖掘的目标和方式都不太明确,所以在数据处理前往往无法预先询问相关权利人并获得许可。企业通过数据挖掘发现有价值的模式,从而产生经济价值。而普通用户对数据如何运用却毫不知情,也无法干预。在大数据模式下,数据与个人的联系是动态的,而且其变化难以预测。个人信息与客观数据间的界限更加模糊,信息隐私的保护也更加困难。最后,在大数据条件下用户提供的数据和其活动形成的新的数据并不归其所有,也不由其支配。这些数据是大数据经济的基本资源。在各种数据中,与身份相关的数据无疑是最有价值的。用户如果想终止服务,在绝大多数情况下都无法带走或删除其在享受服务期间产生的数据。当然,在欧盟《通用数据保护条例》(以下简称GDPR)正式实施后,数据携带已经成为一种权利。一些企业也开始采取积极措施促进不同平台间数据的顺利转移。2017年谷歌、Facebook、微软和Twitter联合发起一项名为“数据迁移”(Data Transfer Project,简称DTS)的开源项目,旨在为用户提供在参与该项目的服务提供商之间直接无缝地移动数据。这无疑是一大进步。但这个项目依然是以数据结构为基础的,包括数据模式、适配器、任务管理库三个组成部分。其中尽管有“验证适配器”的模块,但其重点并非身份的构建,而是数据的转移,主导权仍然在企业或者服务提供商手中。享受DTS的依然是“用户”。更重要的是,数据主体能够携带的数据只是由其提供的个人数据。GDPR第20条规定“数据主体有权以结构化、通用化和机器可读的格式接收他或她提供给控制者的有关他或她的个人数据,并有权将这些数据传输给另一个控制者,原数据控制者不得阻碍。”但必须强调的是GDPR的数据携带权并不包括对数据主体个人行为进行事后分析而获得派生或推测数据。这意味着个人即便销户也无法带走和删除与其相关的大量数据。
(三)规范不足原因:身份即问题
互联网发展早期弥漫着乐观主义情绪,参与构建互联网的技术精英以及富于前瞻性的观察家都将互联网视为自由人的自由联合,甚至认为此种联合势必突破旧制度框架,为人类提供更自由的规范体系。然而,事情并未按此逻辑发展。互联网此后被牟利和控制逻辑主导。待出现种种失范,进而引发规范难题时,法律界才从旁观和跟随中猛醒并发现法律并未做好充分准备。尤其是在互联网中自然人隐私保护缺乏恰当的身份保障。
尽管从直觉出发,信息隐私保护应该首先确定数据或信息的所有权或者归属权问题,即谁拥有数据这个基本问题,并在数据所有权(者)清晰的前提下确定信息隐私保护相关的权利和义务。但事实却并没有循此路线发展。即便是欧盟也只是采取了“数据主体”,而非“数据所有者”的概念作为其个人数据保护的规范基础。尽管有人乐于宣称企业并不拥有个人数据,用户才拥有数据。但此类宣示除了引来叫好外,既不能改变现实,更不能改变规范。实际上,法学界从多个角度力求证明个人对数据的所有权。但无论基于财产权、所有权、知识产权等传统法律路径中的任何一条都难以证明自然人对其数据的拥有。自然人与其数据间到底应该是何种法律联系?这个问题恐怕一时间难于做出实质性的解决。但大数据隐私保护却日渐紧迫。法律有两个选择:一是通过立法改变互联网的结构或者至少改变其运作的部分规则。二是不干预互联网自身发展,从既有法律规范中选取相应机制进行规范。对此欧盟和美国分别选择了不同的路径。
二、欧美信息隐私身份的法律定位分析
欧美大数据隐私法呈现“地方性”特征,分野非常明显。欧盟秉持理想主义创设“数据主体”身份,并赋予其一系列权利,试图提升自然人对其个人数据的控制。美国则采取实用主义立场,充分利用既有法律身份和监管机制进行隐私保护,尤其倚重消费者权益保护机制。总体来说,美国做法更加务实和有效。欧盟做法具有明显的理想性和前瞻性。但从运行实效看,数据主体在大数据条件下难以行使控制权,因而仍是虚悬的主体身份,且过于强调权利也易造成较大的经济和法律成本。
(一)欧盟理想主义的“数据主体”模式
欧盟通过统一立法建构个人数据保护的“精细规制”框架,并且拟制了一个振奋人心的法律主体身份:数据主体。但这并没有解决大数据隐私保护的身份难题。尽管1995年《数据保护指令》(以下简称1995年指令)和GDPR都使用了“数据主体”术语,但分析其规范结构却不难看出这一法律身份充满不确定性。
首先,数据主体具有概念上的不确定性。GDPR第4条(1)项的“数据主体”界定为“已被识别”“任何一个的自然人”,或“可识别”的“控制者或自然人”。为的是区分与自然人的人格紧密相关的个人数据和仅与自然人相关的客观数据。客观数据当然有可能与自然人有关,但只要其关联程度并非足以影响人格,就不必作为个人数据进行法律保护。正因为如此,GDPR将个人资料界定为“任何与数据主体有关的信息”,但这里存在规范层面的不确定性。毕竟“可识别”更多是一个技术和事实层面的问题,很难从规范上对其进行预先确认。大数据条件下的数据处理流程和信息流动过程并没有对应的信息区分机制。相反,在互联网高速发展的情况下,信息的可识别性是高度依赖于技术和营商模式的,而非法律规范。从技术角度看,在某种框架下无法被识别的信息可能在另一个框架下能被轻易识别;过去不能被识别的信息,在新技术下就可能被识别。结合GDPR其他规定来看,在没有技术支持下的法律规范的不确定性就更明显。如第4条(11)项规定“数据主体的‘同意’指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。”但在大数据条件下,“可识别”本来就具有不确定性。数据挖掘后很可能出现新的可识别的数据主体,但在他们“同意”之前,其数据已经被处理和利用。大数据隐私的身份悖谬在第4条两项规定的对照中显得非常清晰。究其原因,就在于“数据主体”并不是一种真正的主体身份,其法律地位依赖于特定数据处理流程和技术。更关键的是,尽管法律上赋予数据主体多种权利,却没有赋予其数据所有权。这是因为立法毕竟无法突破互联网架构和大数据模式造成的自然人与其数据间关系的不确定性。说到底,数据主体概念的重心仍然在于数据,而非主体身份。
其次,数据主体规范地位具有不确定性。数据主体概念暗含的自然人控制其个人数据的观念是难以落实的。自主控制观念在GDPR的文本中虽无正式表述,但在相关说明(Recital)中却有明确阐述。数据主体对数据的控制主要通过一系列控制权得以实现,其中包括访问权、被遗忘权、数据可携带权、免于服从单纯自动化处理决定的权利等。但这些权利都是基于互联网发展早期的现实提出的。在大数据时代,几乎所有数据控制权遭遇了现实的失败。数据控制权主要依赖数据控制者和处理者主动履行相关义务才能行使。欧盟将数据处理涉及的行为者分为数据控制者(Data Controllers)和数据处理者(Data Operators)。数据控制者掌握数据处理的主动权,而且是数据集中和处理的枢纽,因此承担更多的数据保护义务。互联网经过多年发展后已经形成了规模效应。绝大部分数据都由几个大公司掌握和运用。欧盟抓住了互联网应用层高度集中这一特征,重点规制大企业的数据处理。Google Spain案中,欧盟法院将搜索引擎界定为数据控制者,引发了很多争议。在很长一段时间内,大多数人都认为搜索引擎只是一个中性的提供便利的平台。法院的判决直接改变了搜索引擎企业的法律地位,课予其更多的法律责任,变相地促使其主动调整了自己的隐私政策和数据处理流程。相较而言,在欧盟数据保护制度中“数据主体”基本上是一个被动的“受益者”。欧盟官方和民间并没有更多考虑如何加强数据主体的自我约束,而是努力扩展数据主体的使用豁免,使其不必承当过重的法律义务。个人网络行为变化带来的高度隐私风险最终被转变为更沉重的企业责任。
最后,数据主体的实施质效有很大的不确定性。从实际情况看,数据主体人为拔高用户地位的做法的代价是明显的。首先是经济方面的代价。高标准和比较僵化的合规条件导致欧盟区域内的互联网企业创业和运营成本都比较高。尽管欧盟一直力推单一数字市场计划,但其互联网经济发展缺乏动力。欧盟的互联网管制模式不仅拖累了欧盟企业,也打击了其他国家和地区互联网企业在欧盟开展业务的信心。在GDPR生效两个月后,便有一千多个美国新闻媒体在欧盟无法访问。其中不乏因为合规成本过高而主动和彻底放弃欧盟业务的媒体。欧盟这种高举数据主体权利的做法还引发了法律规范方面的危机。尤其是欧盟将自己的数据保护标准强加给他国的做法不仅有借权利之名设立数据贸易壁垒之嫌,而且缺乏坚实稳固的规范理由,容易引发国际法和公法方面的规范争议。
尽管存在一些不足,但欧盟通过统一立法创设数据主体的先进性是毋庸置疑的。1995年指令以及2018年生效的GDPR在全球造成了巨大影响。包括我国在内的很多国家在隐私保护规则制订方面都深受欧盟影响。尤其需要指出的是,2018年印度和巴西这两个人口大国在隐私保护立法方面都取得长足进展。两国在信息隐私身份设定方面都明显受到欧盟数据主体概念的影响。2018 年8 月14 日,巴西《通用数据保护法》(Lei Geral de Prote?觭?觔o de Dados,简称LGPD)获得通过并将于2020年2月正式生效。LGPD采用了“数据主体”的概念。无独有偶,2018年7月印度推出《2018 年个人数据保护法案》(The Personal Data Protection Bill),尽管没有采取欧盟“Data subject”的表达,而是采用了“Data principal”的表述,但其功能和界定都与欧盟“数据主体”如出一辙。和法案一并提交的报告简洁明了地解释了将个人界定为“数据主体”的原因:“个人必须是数据主体,因为他是数字经济中的焦点行动者”。但正如前文分析的那样,大数据经济中个人的实际地位是被动和卑微的,大企业和政府才是真正的主角。无疑,印度和巴西延续了欧盟在个人数据保护领域的理想主义。考虑到欧盟、印度和巴西共有人口20多亿,不能不说“数据主体”是一个非常成功的法律概念。
原载于《浙江社会科学》2019年第12期
仅作学习交流之用
Lan Fisher
往期荐读
编辑:韩雨硕