个人信息隐私利益与自决利益的权利实现路径
点击蓝字关注我们
作者及文章来源
商希雪,中国政法大学刑事司法学院讲师,网络法学研究院研究员,法学博士。
本文受国家社会科学基金项目(17CFX022)资助,本文原载于《法律科学(西北政法大学学报)》2020年第3期,因篇幅较长,已删去脚注,可点击阅读原文获取全文。摘要
个人信息人格权益的完整保护路径为:对于隐私利益,由侵权责任制度提供法律保护;对于自决利益,信息主体可通过行使自决权在“数据隐私”与“数字便利”间做出选择,适用违约责任法律模式。相对于人格权利益,个人信息的财产价值主要由数据生产者实现,而如何界定非个人数据决定了个人处分权能的行使空间与数据财产权益的归属。目前立法关于“关联性”与“识别性”的定性实则采取了技术标准,因此被合规化处理的个人数据所衍生的经济利益属于数据生产者,排斥信息主体的直接权益主张。
关键词
数据隐私;信息自决;处分协议;非个人数据
从利益主体角度来看,个人信息作为权利客体,蕴含着个人的人格利益与信息利用者的经济利益。对于不同的利益主体,个人信息权利属性的侧重点不同,个人信息所承载的全部权益主要包括数据生产者的数据财产权益和信息主体的数据自决权益(包含隐私权在内的人格利益)。在加快发展数字经济的当下,互联网企业纷纷收集与利用个人信息,甚至“隐私换取效率”论调也一时甚嚣尘上,引起了社会公众的强烈抗议与声讨。有观点认为,立法应从知情权和自决权两个维度实现用户的个人信息保护诉求。然而,一方面,公众所表达的隐私诉求,从法律角度分析实则远远超越了传统隐私权保护的范畴;另一方面,个体的个人信息权(益)不止指向隐私诉求,其人格权益同时蕴含传统隐私权利益与信息自决利益。事实上,在个人信息未经主体同意而被终端APP自动共享或被投放精准营销广告的“侵权”场景中,公众对该类行为侵犯其“个人隐私”的指责,从法律角度定性,究竟是在表达何种法定权利或个人利益被侵犯?该权利目前是否已得到立法的确认?进一步,在当前法律体系下,个人信息权(益)司法保护不足的原因是什么?相应地,立法又该做出怎样的完善?从上述问题出发,本文认为,对于公民个人信息权(益)的全面保护,存在以下逻辑层次的理论探讨:
第一,隐私权与个人信息权的关联与区别体现于哪些核心利益的不同? 个人信息的自决利益(如控制、支配等权能)是传统隐私权所不能包容与保护的。那么,自决权利的行使模式是采纳物权学说还是债权学说?对于个人信息权与个人隐私权的分离和独立,法律定位又该如何落实?从上述问题出发,通过对《民法典人格权编(草案)》三审稿第6章的分析,将对个体的个人信息权的定位与定性问题做出探析与解答。第二,个人信息的隐私权救济模式,明显将侵害信息自决权但未侵犯司法所定性为侵犯隐私的行为排除在法律保护范围之外。司法实务中的个人信息纠纷案件,在案由分类、行为违法性判断、因果关系认定、责任形态设置等方面存在一系列难题。对于信息主体来说,个人信息权的财产属性并不明显,个人信息权主要承载信息隐私利益与自决性利益,两者在权利属性上存在本质的区别,故对应不同的司法保护路径。因此,对于隐私信息之外的其他个人信息,信息主体所应享有的自决权利应如何行使与落实?将该问题继续分解来看,信息自决权背后法律保护的价值是什么?承载哪些个人合法利益?又该如何实现个人信息所承载的分散性人格利益与集中性财产利益间的平衡?对应的法律保护路径及责任分配该如何设置?第三,与此同时,数据隐私理念与传统隐私权的法律含义也存在公众认知上的悖离。一方面,数据的个体隐私利益,在大数据时代面临语义扩张的趋势;与之冲突的是,另一方面,即使从传统隐私权范畴考量,个人的隐私信息也面临法益减少与功能弱化的倾向。因此,关于数据隐私权的确立,一个关键性问题是:个人信息权所蕴含的隐私利益与隐私权之间是什么关系?适应数据隐私语义的时代更新趋势,隐私权与个人信息权(益)的保护模式在立法上应如何体现和界分?第四,数字经济视野下,个人信息的经济价值主要在于信息主体之外的其他利益相关方(如互联网企业)对数据的二次利用,其中涉及到数据的脱敏化处理及“非个人数据”的产生与界定。《网络安全法》没有区分“能够识别公民个人身份”的信息和“涉及公民个人隐私”的信息,而是将两者统一纳入广义的“能够识别公民个人身份”的信息范畴。对于个体的隐私利益或自决利益,如果不再符合“识别性”与“关联性”特征,则不必然关系到个体的信息保护。因此,在非个人数据的界定上,“关联性”与“识别性”的定性标准如何确立?进一步,如何认定不可被识别的“非个人数据”?上述问题决定了数据产业下游环节中数据商业利益合法性的判断。因此,如何在处分协议中明确信息自决权的行使,包括信息收集范围、处理状态、可控程度、违约责任、侵权责任等问题,是保障落实发展数字经济国家政策中至关重要的制度安排。综上,通过层层递进的逻辑推演,本文旨在呈现信息主体的完整信息权利内容,以及数据生产者数据财产权益的法律构建思路。一
个人信息权(益)完整内容解析
根据国家标准《个人信息安全规范》对个人信息的规定,参照信息对个人的重要程度,信息可被分为三类:1.隐私信息;2.个人敏感信息;3.一般个人信息。可以看到,个人信息的概念远超隐私信息的范围,因此个人信息权的内涵与外延不同于隐私权。首先,在立法层面,隐私权不能替代个人信息权;其次,在司法救济角度,隐私权的民事侵权救济模式,不能完整保护公民个人信息所蕴含的全部个人利益。通过考察国外立法例与理论的变迁,可以看到,个人信息隐私利益的法律保护方式主要通过两种途径:1.对个人信息的立法确权;2.对侵权行为的司法诉讼。由该思路出发,两者的界分主要从立法确权与司法救济两个维度对比,从而厘清信息主体的个人信 息权的真实利益内容。
(一)个人信息权(益)与隐私权的关系区分在目前法律体系下,个人信息权(益)与隐私权该如何进行明确的界分? 其一,对于个人信息权(益),2016年11月7日发布的《网络安全法》对个人信息的定义删除了“隐私信息”的描述,不再区分“能够识别公民个人身份”的信息与“涉及公民个人隐私”的信息,统称为“能够识别公民个人身份”的信息,由此可见,“隐私性”不再是公民个人信息的构成要素。自此,在立法上,个人信息权(益)与隐私权呈分离形态。2019年1月30日修正后的《个人信息安全规范(草案)》对个人信息的定义仍然延续这一本质特征,并且细化个人信息应承载的表达内容,认为“可以识别特定自然人身份”与“反映特定自然人活动情况”是个人信息最核心的内容。其二,对于隐私权,2001年最高人民法院作出的《关于确定民事侵权精神损害赔偿责任若干问题的解释》将“隐私”区别于姓名、肖像、名誉以及荣誉,而认定其为一种“人格利益”,体现出我国法律对隐私权的保护不再依附于“名誉权”等间接保护方式,而是以“人格利益”受到侵害的方式给予直接保护。《侵权责任法》第2条明确列举了隐私权,标志着从立法层面上,我国的隐私权概念已得到真正的确立。《民法总则》第110条第1款亦明确列举了隐私权,第111条规定了个人信息受法律保护,但未明确提出个人信息权。在学理阐述上,隐私权客体涵盖个人信息、个人空间、个人行为等内容。同时,个人信息又包括隐私信息、个人敏感信息、一般个人信息。两者交集的部分即隐私信息。那么,隐私信息该如何定性与保护?是否与隐私权的法律认定规则完全一致?对于个人信息权(益)与隐私权的关系,在学理上以及公众认知中,似乎所有与个人相关的信息均可称之为“隐私”。但法律上如何确立侵犯隐私的标准?从隐私权法律保护路径来看,隐私权主要依赖司法实践根据个案具体情况予以认定。本文认为,隐私权的一般立法规定与司法处理规则,当然同样适用于隐私信息的认定和保护。但是,信息与传统隐私权客体存在形态不同,对于隐私信息的隐私权保护模式,是否会因信息自身的存在形态、技术特征及网络平台适用场景,存在额外的阻断事由?事实上,区分个人信息权(益)和隐私权应结合具体的信息使用场景。例如,在“朱某诉北京百度网讯科技公司隐私权纠纷案”中,司法判决重点围绕隐私权与侵权行为的定性问题展开。二审法院主要基于以下三项判断作出了终审判决:1.用户网上活动轨迹虽具隐私属性,但一旦与用户身份分离,便不再属于个人(隐私)信息范畴。2.百度并未将用户的搜索数据与个人信息公开展示,不符合利用网络公开个人信息侵害个人隐私的行为特征,并且未强制用户必须接受个性化推荐服务。尽管朱某强调自己因个性化推荐服务感到恐惧和紧张,但法院不能也不应仅凭个人主观感受而认定个性化推荐服务对朱某造成实质性损害。3.百度根据行业通行做法明确告知了cookie技术有关事项,并未侵犯用户的选择权和知情权。用户选择继续使用应视为默认“选择同意”。基于上述论断,二审法院认为百度个性化推荐行为不构成侵犯用户的隐私权。由上述司法推理做进一步推断:1.对于隐私信息,一旦与用户身份相分离,达到不可识别的程度,即不再属于隐私权的客体;2.对于隐私信息,如果未被披露或公示,仅仅是在分析该隐私信息基础上针对用户自身推送个性化服务,亦不属于侵犯隐私权的行为;3.在获取个人信息阶段,若用户通过“同意机制”行使自决权利,即使对于隐私信息,亦应视为用户允许信息收集者使用其隐私信息。换言之,信息主体对于隐私权客体范畴的个人信息,亦可行使信息自决权。由此来看,“授权同意”是阻却隐私信息可采取隐私权保护的事由,亦是行使信息自决权(益)的一种体现。进而,信息的隐私利益与自决利益会因“授权同意规则”存在统一保护。综上,本文认为,个人信息隐私利益与隐私权存在重合;同时结合个人信息的一般定义,对于隐私性个人信息,如果失去了“关联性”与“识别性”法律特征,则不应再被视为个人隐私。体现在最新的立法进程中,《民法典人格权编(草案)》三审稿第6章强化了对隐私权和个人信息的保护,并为即将制定的《个人信息保护法》留下了衔接空间。除此之外,涉及个人信息权利(益)保护的法律及其他规范性文件还有《侵权责任法》《信息网络传播权保护条例》《信息安全技术公共及商用服务信息系统个人信息保护指南》《计算机信息网络国际联网安全保护管理办法》《互联网电子公告服务管理办法》以及最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等。尽管《民法总则》《民法典人格权编(草案)》三审稿并未对个人信息权做出确权表示,但却清晰显示了个人信息权的民事法律属性。审视目前的立法现状,隐私权与个人信息权的关系区分并不清晰。这是因为,一方面,在我国目前的法律体系中,还没有关于个人隐私权的明确定义,其权利内容并不清晰;另一方面,隐私权的客体包括私人活动、个人信息与个人领域,其中个人信息是指包括所有个人情况的资料。隐私信息的范围界定采取的是相关性原则,即凡是与个人情况有所关联的信息,均属于隐私权客体范围。307-308隐私权的立法确定与司法保护距今已有百年,然而,纵观国内外立法例,基于社会生活的时代发展性和生活复杂性,隐私权的具体权利内容仍难以通过立法给出明确定义,或对其外延进行穷尽的列举。同理,对于个人信息所承载的隐私利益内容,同样难以被立法进行明确界定。因此,对于个人隐私信息的界定,即传统隐私权外延所包容的信息对象,实则并没有确定的法律标准。故而,对于个人隐私信息,同样存在立法不明的问题,司法需结合具体情景进行判断。同时,在司法保护上,受传统隐私权制度的影响,司法救济中对隐私权客体的界定主要采取与荣誉权及名誉权的关联性标准。一般而言,在司法实践中,当隐私性个人信息涉及名誉权或荣誉权损失时,才可能被隐私权的保护范畴容纳。基于上述考虑,侵权程序保护下要求的实质侵害要件以及司法机关对隐私定性的多重考虑,严重阻碍了对个人信息权所涵盖隐私利益与自决利益的全面保护。从隐私权角度,个人信息分为隐私性信息与非隐私性信息(本文进一步细分为个人敏感信息与一般个人信息),隐私性个人信息当然属于隐私权范畴,并适用传统隐私权保护制度。那么,对于非隐私性质的个人信息的权属定位则是个人信息权性质确立的关键前提。总结当前相关的学术讨论,主要争议点在于个人信息权是归属于一般人格权还是新型民事权利。《民法总则》《民法典人格权编(草案)》三审稿对个人信息的权属问题也未给出确切的结论。然而,本文认为,上述对个人信息公私权利性质的争论并无实质性必要,个人信息权利本身并非一个笼统的概念描述。从利益主体角度,个人信息作为权利客体,蕴含个人的人格利益与信息利用者的经济利益。因此,针对个人信息这一权利载体,多方利益相关者在不同的产业环节,存在不同性质的利益诉求和功能实现。进一步说,在不同的产业阶段,针对数据的保护与利用,在利益相关方、处理行为、权益保护等方面实则各有侧重,呈现为动态性表现,必然对应不同且独立的法律保护路径,需要从不同的主体及其关注的利益角度,对个人信息予以不同性质的权利定性与规制定位。一方面,从法律保护模式来看,个人信息自决利益的权利实现,主要在于立法确认个人信息权利体系(重点是非隐私性个人信息的权利组成)。本文认为,个人信息自决权利体系涵盖知情同意权、反对权、访问权、更正权、删除权、限制处理权、被遗忘权、数据可携权等子权利,各子权利是相互独立的,而非个人信息权利的权能组成。另一方面,司法应在个案实践中,基于不同的信息使用场景确立相应的权利保护路径。对于隐私信息,当然适用上述个人信息保护规则。因此,对于被侵犯隐私信息的个人,可根据自身诉求主张隐私权或自决权的法律保护路径。(二)信息主体的个人信息权(益)内容从法理上来说,赋权的前提是利益本身存在保护必要性,并涉及保护目的及侵害防范等问题。本文认为,对于信息主体,个人信息主要承载的是人格利益,因此个人的信息权利蕴含隐私利益与信息自决利益。这是因为,集合性的个人数据才具有公共管理价值和大规模的商业效益,而单个个人信息的经济利益和公共利益非常微弱。在当前我国个人信息法律保护路径中,《民法总则》第111条与《民法典人格权编(草案)》三审稿第6章只是确认了个人信息的法律地位,却并未明确提出“个人信息权”以及进一步明晰其子权利组成与具体权能的行使。后者第813条至第817条关于个人信息的专门规定,主要针对信息主体的自决权利;对于个人信息的隐私利益保护,则体现于隐私权部分的第812条第4款中,与其他隐私权利内容并列规定。这样的立法体系设置反映了隐私权与个人信息权的子权利组成及法律定位。由此来看,在当前的民法保护视野下,个人信息所承载的个人权利可分为隐私权利保护与自决权利保护。关于个人信息保护,在当前社会舆论中尽管公众强烈声讨“隐私换效率”的论调,但其却为信息获取的本质规律,而与之对应的保护机制即为主体同意机制,通过为数据控制者设定责任和义务来实现自决权利。《个人信息安全规范(修订草案)》仍然试图通过提高获得同意的标准、细化征得同意的操作程序来增强点击同意的有效性。但由于隐私协议中格式条款的海量化和数据处理的复杂性,导致了同意机制的现实无效。本文认为,目前公众对信息安全保障的不满、对信息隐私保护的呼吁,实则源于同意机制的“形同虚设”,属于制度落实不足问题,并非源于权属不明。在数字产业运营环节中,尤其是在信息获取阶段,如何落实与保护信息主体对隐私信息的隐私利益与其他信息的自决利益,才是真正回应公众的“隐私保护诉求”务实之举。二
个人信息自决利益的权利架构
信息时代的到来出现了新型侵权形态,存在仅侵犯个人信息权(自决权)但未侵犯隐私权的情形。例如,第三方平台未经同意使用用户的头像和昵称,一般而言,这种情况并未侵犯个人的隐私权,却损害了用户的自决权益。对于此类新型损害人格利益的行为,立法应对新型权利形态与责任模式进行及时更新与提供应对。然而,在目前司法实践中,侵犯个人信息利益的案件大多以侵犯隐私权为由予以司法救济。因此,现阶段司法无法对个人信息的自决利益提供保护。而对于信息自决利益的立法保护,目前法律规定多是给数据收集者或数据利用者设置义务与责任。自决权主要行使于信息的收集阶段,对于信息主体,如果获取的是个人敏感信息及其他一般个人信息,则对应的是信息主体的自决利益。数据获取者(如终端设备APP)与信息主体之间的协约通常被称为“隐私协议”,本文认为宜称之为“处分协议”,处分协议旨在保障消费者让渡信息权益的自愿性,涉及信息自决权的行使。主体同意制度则是行使信息自决权的主要路径,那么,在同意机制下让渡范围与处理程度的选择权如何实现?
(一)信息自决的法益保护价值《民法典人格权编(草案)》三审稿对于个人信息的立法思路表明,个人信息可以视为人格利益客体,属于民法所保护的权利范围。然而,传统隐私保护模式不完全适用于数据隐私,从《网络安全法》《民法典人格权编(草案)》三审稿对于个人信息的立法态度来看,立法者认为“个人信息”与“隐私权”确实存在交叉关系,有所重合的部分是“个人隐私信息”。对该部分个人信息可完全适用传统的隐私权保护制度,而对于“个人隐私信息”之外的个人信息,即本文所分类的个人敏感信息与一般个人信息,由于相关人身利益与传统隐私权关联不大,传统隐私权制度并不能提供相应的法律保护。因此,对于个人敏感信息与其他一般个人信息,主要通过信息自决权的行使得到保护。隐私利益的核心内涵包括个人生活安宁和生活秘密。对于信息自决权的保护初衷,从当前学界主要观点来看,同样是出于对个人生活安宁的保护。例如,通过“数据画像”对用户进行广告投放与精准营销的行为,大数据算法的指引可能潜意识地影响到个体的自主消费选择与决策,甚至会打扰个人的正常生活秩序。有观点认为,可将安宁生活权益纳入个人信息的保护范畴。对于因信息泄露而导致权利人安静生活状态受到严重侵扰的,应认定为因侵害人格权而引发明显精神痛苦。除此之外,侵犯信息自决利益对个体造成的危害还可能涉及因泄露个人信息而造成的人身或财产安全危险。(二)权利模式选择:物权说与债权说之争从德国隐私权与个人信息关系的互动发展进程来看,个人信息自决权使隐私权的具体内容得到了进一步扩展,信息自决权是隐私权保护中的重要组成部分。对于信息自决权,目前存在物权说(信息主体对个人信息享有物权)和债权说(信息主体和网络服务提供者之间为债权债务关系)两种理论。本文采纳债权说观点。这是因为,一方面,侵害信息自决权的行为通常表现为非法获取、披露、共享、使用、篡改、删除个人信息。因此,信息自决权实则为防御性权利。另一方面,自决权利主要涵盖以下自决内容:1.对信息隐私利益的让渡,主要针对信息主体与数据运营者之间协商,在数据的收集与处理过程中需要信息主体的同意与协商等自决行为。信息主体的主要诉求是获取更便利高效的数据产品或服务,而不涉及对信息的占有、使用、收益、处分等物权权能行使。2.对信息经济利益的分配与实现,主要针对数据运营者之间(包括数据收集者、存储者、处理者、使用者、交易者等)通过某些数据利用行为完成,最常见情形是各数据经营者之间对于数据的共享或交易。事实上,在信息收集后的下游数据产业环节中,并不经常涉及信息主体的自决权行使。在收集环节后的产业链中,主要通过两种方式落实信息自决权:一是数据运营者的保护义务与违规责任设置。例如,《个人信息安全规范(修订草案)》深化了“同意原则”,进一步将其细分为“收集个人信息时的授权同意”与“收集个人敏感信息时的明示同意”。对于前者,要求向个人信息主体明示个人信息处理的目的、方式、范围、规则等。对于后者,还要求个人信息主体通过书面声明或主动作出勾选、声明等行为对个人信息特定处理作出明确授权。信息自决权的行使往往需要数据控制者的作为方能实现,因此,自决权利行使具有请求权性质。二是数据运营者对个人信息的脱敏处理要求。信息主体的信息自决权,主要适用于数据收集与获取的第一环节,在下游的产业环节中,脱敏处理后的非个人数据进行合法商业流通时,使得单个信息主体的参与难度增加,信息主体已然谈不上对其信息的绝对控制,不符合物权的权能特性。(三)个人信息处分权能的行使信息自决权的实现主要依赖主体同意机制,但是,知情同意机制仅为执行方式,而立法尚未确立与细化具体的自决权,因此实践中不足以落实对信息主体自决利益的保护,尚需立法的引导。信息主体对于个人信息存在着双重需求:一方面,要交付给互联网企业使用其互联网服务与产品所需的个人信息,以享受信息工具的便利;另一方面,在享受便利的同时,互联网企业应保证被获取的个人信息不被泄露、公开或共享,使其保持在封闭状态。但是,在隐私与便利的取舍之间,信息主体是否享有自由的选择权利?由于数据企业的技术和市场垄断地位以及隐私协议本身复杂难懂,使得信息自决权利成为“字面上的权利”。2019年1月22日,Google公司因违反GDPR被法国国家互联网信息中心(以下简称“CNIL”)处以5000万欧元罚款。CNIL在裁定中分析:由于访问步骤复杂、书写分散,Google用户在提供个人数据时难以了解被告知的信息,同时,用户也无法在之后的处理环节中获知个人数据被处理的程度,例如广告投放个性化服务,因此,Google公司在数据获取与处理环节违背了信息披露的透明原则。针对这一问题,目前许多部门都对互联网企业规范化收集、使用用户个人信息,维护个人信息安全等方面作出了相应规定,包括范围与限度。《个人信息安全规范(修订草案)》从评估机制、人员培训、隐私政策、审计系统等方面对数据企业防范个人信息的泄露、损毁和丢失等情况提出了要求。个性化的产品和服务是个人甘愿交付隐私信息或其他个人信息的初衷诉求,对应的保护机制是主体同意机制。本文认为,应在细化的处分协议中允许信息主体做出真实的自决选择。具体来说,在处分协议中,在授权限度上应设置更加细化的多项选择,包括部分权限(地理位置、通话记录、联系人、相册、摄像头等)与部分功能(存储的读取与写入、拨打电话和发送短信的发起与读取权限)。《个人信息安全规范(修订草案)》规定的信息自决行为包括:查询、更正、删除、撤回同意、注销账户、获取个人信息副本等。《电子商务法》第24条规定电子商务经营者应当保障用户信息查询、更正、删除以及用户注销的方式与程序。《民法典人格权编(草案)》三审稿第815条规定了自然人有查阅、抄录、复制、异议、更正、删除等积极权利。GDPR个人信息权利体系则包括数据主体访问权、更正权、被遗忘权、限制处理权、数据可携权、反对权。对比而言,对于仍可被识别的个人信息,信息主体享有最大程度的自决权利。GDPR第20条规定的数据可携带权(right to data portability)是信息自决权的延伸,意味着个人有权决定其个人数据被披露的对象、范围或程度等。在不同的个人信息应用场景下,特定的个人信息自决权利可作为抗辩或阻断理由,例如,登陆未注册的数字服务时,利用已注册的第三方服务的账户即可登陆,在此过程中要确定是否行使了数据可携权。同时,真实自愿性的衡量标准包括:1.同意当场不存在任何威胁;2.表达不同意时无责任后果;3.同意后可随时撤回。随着《互联网个人信息安全保护指南》《App违法违规收集使用个人信息行为认定方法(征求意见稿)》等规范性文件的颁布,在企业用户协议中,个人信息的自决利益将会得到切实的保障。三
个人数据隐私权益的悖论分析
纵观国内外法学研究历史,隐私权概念的出现仅有一百多年。已经历了四代观念的更新,具体到隐私权与个人信息以及与个人信息权的关系上,信息技术的迭代更新也推动了信息隐私的界定范围、应用场景、利益内容、权利边界等相关概念的变革。因此,不能用传统(第二代)民事隐私的视角审视个人信息权以及个人信息的产业环节。若在第二代隐私权语义环境下讨论个人信息权利,会导致公民现实权利的保护缺失。立法者与公众达成对数据隐私理念的共识,是数据权利保护模式改革顺利开展的前提。
(一)狭义的“数据隐私权”实践中个人信息的司法救济主要以隐私权保护为主,但是,从北京地区法院所审理的个人信息案件数量来看,2014年—2017年隐私权纠纷仅有82件,不正当竞争纠纷案件则有818件。司法实践中以隐私权救济个人信息权(益)较少的原因在于,被非法获取的个人信息大多并不属于传统的隐私范畴。因此,在当前的司法操作中,狭义的“数据隐私权”仍然属于传统的隐私权范围,法院并未针对个人数据对隐私权做出扩张性解释。也就是说,以数据形式呈现的个人隐私,包括私密个人信息、私密网络空间、私密网络行为、私密行为记录等隐私信息,本身属于传统隐私范畴。非规范的获取行为,在没有实施下游或后续侵害行为时,例如移动终端APP之间未经主体同意的个人数据自动共享,即使涉及到个人隐私信息,但由于该个人隐私信息仍然处于封闭状态,尚未被公开披露,因此并无传统隐私权的适用空间。在传统隐私权的界定上:其一,理论层面上,隐私是指公民不愿为他人知悉或公开的私人信息、行为或习惯等人格性利益;其二,实务角度下,司法适用隐私权规定时,一般认为具有隐私性质的人格权益,本质上应与家庭和财产安全、私人生活等具有高度的关联性。对比而言,个人的诸多数据痕迹,如点赞记录、行为轨迹、消费习惯等,并不必然与私人生活的私密性高度关联。因此,数据的隐私性与传统的隐私权制度所蕴含的隐私含义,尽管有所重合,但在适用与理解上不属同一法律语境,由此呈现出公众认知及传统理念与数据隐私的分歧和冲突。(二)个人信息隐私寓意及功能的弱化本文认为,新型信息技术推动下的数据共享与传输中,隐私的数字化载体也在一定程度上改写了隐私的传统含义。数据产业中隐私语义与隐私权功能存在不同程度的限缩,基于此,隐私理念的突破也对传统法律保护模式的转变提供了契机。有观点认为,只要未经公开,自然人不愿意公开、披露的信息都可以构成隐私的内容,自然人就此享有隐私权。本文对此并不认同,这是因为司法惯例并非如此,而这样扩大化的隐私认知于法律层面而言实则是无效的表达。事实上,对涉诉个人信息的隐私性判断是司法审判的必要环节,被认定为个人隐私的信息包括可指向特定个体的自然人基因信息、病历资料、家庭住址等,而不包括电话号码、通讯录等已被广泛知悉的个人信息。然而,不可否认,在行业规范与公众认知上,数据隐私的理念确实存在扩张的趋势,同时也出现了计算差分隐私的算法模型,以使用户能够了解在信息被收集过程中有多少隐私被泄露。腾讯社会研究中心和DCCI互联网数据研究中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2018年上半年)》将所有移动终端App安装时要求获取的用户权限进行了概括,具体分为核心隐私权限、重要隐私权限与普通隐私权限。其中,最重要的核心权限包括访问联系人、获取手机号、读取短信记录、读取位置信息等。由此看到,对于信息的隐私性判断,出现司法定性与行业认可(体现为公众认知及态度)间的分歧。这是因为:一方面,数据隐私的内容更为丰富,涵盖个人信息、个人事务、个人空间等;另一方面,数据隐私的范围更加广泛,除了传统含义的个人隐私(如身份、职业、健康、婚恋、财产、信用等),个人的网络痕迹也被视为数据隐私范畴,如上网浏览记录、言论发表、购物记录、点赞记录等,也可能称之为“个人隐私”。然而,公众在个人信息所承载的人格利益诉求的表达上,存在以下层面的误区:其一,传统的隐私保护目的是保证个人的隐私性信息处于封闭或自身可控状态,核心诉求是不被公众所知悉。曝光隐私信息,需达到社会公开的程度,造成个人社会评价的降低,并给当事人带来实际物质损失与精神伤害,才可能构成侵犯隐私权。对比来看,数据产业中常见操作是智能设备终端APP间的数据共享与互相读取,在这一应用场景中,个人信息仍然在封闭状态下流动,目的是各商家便于精准营销。由此来看,侵犯隐私权客体对象的个人隐私信息,与侵犯个人信息权客体对象的个人信息,所指向的范围并不相同,也并非在同一个法律语义环境下,故不宜采取同样的保护规则。其二,个人在个人信息面前的谨慎态度,主要针对银行账号密码、贷款信息等与财产利益相关的个人信息。而对于与生活习惯相关的信息,如果不能侧面反映财务状况,往往并不会过度在意。同时,基于“愿意交付一些隐私来交换便捷性”的认知,大多数用户在理性上也认可通过向互联网企业交付个人信息以换取个性化的数字产品或服务。可以看到,用户并非是担心向互联网企业交付个人信息(无论该信息是否具有传统意义的私密性),而是个人信息脱离自身可控的隐蔽状态后,在他方的掌握下信息隐蔽性已变得不可控。例如,有可能面临信息被披露给第三方的风险,再加上网络信息传播深度、广度与速度,个人信息一经泄露,产生的后果会比传统传播方式更为严重。由此可知,信息载体的特殊性引发信息泄露后果的严重性,进而,受传统隐私理念影响,公众对数据隐私产生了认知偏差。而数据隐私语义扩张的根源正在于此,将数据隐私置于传统隐私权制度下探讨时,实则属于虚化的语义扩张,不宜将公众认知下的“数据隐私”均纳入传统隐私权保护制度之下讨论。(三)数据隐私理念的扩张数字生活中,被各类网络终端应用所公开的个人网络痕迹或使用记录,已从实质上扩大了隐私权范畴。例如,外卖软件与通讯录软件绑定后,外卖软件可以查看通讯软件中联系人使用该外卖软件的记录,包括订餐内容、订餐价格等,尽管个人订餐情况在广义上并不属于公众所认知的隐私范畴,但基于网络传播的范围广与速度快等特性,对于某些情况以及特定个人,也可能因此带来困扰和不便。由法律规定看,个人信息的范围远超出民事定义为“个人隐私”的信息范围。然而,此处的问题是,是否非“隐私性”个人信息就无“隐私性”可言?若是如此,对于“非隐私性”信息的泄露,是不是不会产生个人隐私所防御的危害?依常识来看,答案显然是否定的,对于个体而言,即使非隐私性信息也必然附着“隐私性”成分。尤其是在信息传播技术如此发达的今天,如果个人信息被公开传播的范围和对象过于广泛,造成影响范围的不可控,即使是一般性个人信息,也可能给个人带来不可逆的负面影响,这是由个人信息载体的技术特征所决定的。因此,在个人信息领域,民法定义中的“隐私”理念应做出扩张性的解释,由此引出了“数据隐私”的概念。数据化隐私权概念的提出,是对传统隐私理念的突破,网络传播的快速性与广泛性,促成了数据化隐私权理念的形成,数据化隐私权有赖于网络空间而存在,隐私意识与理念存在扩张的现象与趋势。因此,不同于传统私法领域中隐私权客体,个人的数据隐私不单纯针对隐私利益,一般个人信息和敏感信息亦蕴含隐私保护价值。基于上述考虑,从比较法角度来看,各国法律制度和法治实践已提出了“个人敏感信息”概念,在个人信息保护领域,“个人敏感信息”正成为个人信息保护法律制度规制的核心对象。目前,民事法律之外的其他部门法已经对信息敏感度做了多层次的规定。例如,《征信业管理条例》第14条禁止收集医疗敏感信息,收集财产敏感信息需要数据主体的明示同意。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条对于涉及四种不同敏感度信息的犯罪行为,规定了不同的量刑幅度。《个人信息安全规范》明确规定,个人敏感信息是“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。根据该定义,个人敏感信息针对的是个人的传统隐私权益或其他人身或财产性利益。经上述分析,公众对数据隐私的认知误区为:出于与商业利益的冲突立场,公众将所有可商业化利用的个人数据均视为是其自身的“数据隐私”。本文认为,相对于传统隐私理念,尽管在网络社会中数据化隐私理念存在扩张趋势,但是,从严格的法律保护角度来看,对于各类个人信息,在不同产业环节与应用场景中,对应的权利保护方式不可一概而论,应分步骤进行考虑:首先,要判断与个人信息有关的其他法定人身或财产利益(此处称之为“主权利”)是否受到侵害?如果存在主权利被侵犯,则按照既有的主权利法律保护模式获得救济。其次,如果不存在与之相关的主权利,则属于单纯地侵犯个人信息权利,应从个人信息的自决利益角度提供保护。四
个人信息的财产权益归属
(一)非个人数据的认定与个体信息权利的消灭
个人信息与数据的分界主要体现在非个人数据的生成环节。对非个人数据的认定主要针对数字产业环节,非个人数据的认定标准是什么?欧盟《非个人数据自由流动条例》第3条对于数据的定义引用了GDPR对数据的定义,即“个人数据”是指任何指向一个已识别或可识别的自然人(“信息主体”)的信息。该可识别的自然人能够被直接或间接识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。由此推知,非个人数据是不可再被识别到特定主体的数据。而对于“识别”标准又如何定性?本文认为,去掉识别性的过程即是去隐私化的过程,也是信息主体的信息权利开始消灭的节点。这也意味着,信息主体的隐私利益已然不存在,同时,自决权利也无法再行使,由此,个人信息一经被认定为非个人数据,信息主体则无法作为利益相关方参与到数据产业环节中。1.技术脱敏处理的可行性“识别性”与“关联性”的具体内容决定了非个人数据的认定标准。反数据追踪与控制的技术应用实现了数据的可隐形。因此,技术的可靠性一定程度上保证了隐私的不可识别性。保障性技术主要有:(1)数据的加密(incode)与解密(descode)技术。由于数据的本质是编码,因此,使用不同的算法对原始的信息即明文(plaintext)以代码的形式(密码)实施加密从而转换为密文(ciphertext),将该编码信息转化为明文的过程即为解密。例如,国家商用密码管理办公室制定了一系列的密码标准。(2)同态密码技术与安全多方计算技术,可以对加密后的密文进行数据挖据与分析,同时也保证了数据的安全。(3)匿名化与假名化的数据处理,匿名化处理旨在降低数据利用过程中隐私泄露的风险,利用区块链技术、密码学中零知识证明技术、群签名技术、环签名技术可以实现大数据处理中的匿名化。匿名化技术采取不同的方法,包括泛化、压缩、分解、置换以及干扰等,但不同方法在安全性上存在差异。假名化(pseudonymisation),则是指对个人数据处理后,在没有特定信息参考的情况下,不能指向特定的个人。从欧盟法律规制层面而言,假名化数据与匿名化数据的不同主要在于,前者仍然属于个人数据,需适用《欧盟数据保护通用条例》。目前,学界提到多种保护隐私的方法和测量隐私是否泄露的工具,包括K-anonymity(k-匿名化)、l-diversity(l-多样化)、T-closeness(T-接近化)、ε-differential privacy(差分隐私)、同态加密、零知识证明等。通过这些工具,直观上衡量某个公开数据的隐私性,并使用密码学、统计学等工具保障数据的隐私性。由此来看,起码在技术设置上,可以实现一定程度的数据不可识别性。所以,不同于传统隐私的信息载体,个人信息的数字化形式为加密技术提供了适用空间。而技术的中立性可使数字化的隐私信息处于一个较为安全的状态,因此,技术保障的可行性在一定程度上消灭了个人数据的“隐私性”与权属。2.“识别性”与“关联性”的法律标准从技术层面反观法律设置,在我国个人信息立法进程中,2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,公民个人信息包括直接识别的公民个人信息、间接识别的公民个人信息和“反映特定自然人活动情况的各种信息”。因此,反映自然人活动情况的各种信息必须达到能够单独识别或者与其他信息结合能够识别特定自然人身份时才可认定为公民个人信息。由此,“个人信息”的内涵与外延经历了从“隐私性信息”到“能够识别公民个人身份的信息”。《个人信息安全规范》采取了“识别性”与“关联性”标准。由此来看,个人信息的“个人属性”本质上由“可识别性”予以支撑。那么,“关联性”与“识别性”的关系是什么?本文认为,判断“关联性”是认定“识别性”的前提阶段,“关联性”是“可识别性”的决定因素。具体来说:(1)对于“关联性”的认定,只要内容要素(内容本身描述特定个体的情况)、目的要素(数据可能用于评估他人)、结果要素(作为兜底考量因素,当内容与目的均不存在的情况下数据使用可能影响特定个人)中符合任一项,即可认定该信息与个人存在“关联性”。进一步,当数据既不是“明显关于”也不明确“链接”到具体个人时,就要考虑“传记重要性”和“聚焦性”。(2)对于“识别性”的认定,《网络安全法》《个人信息安全规范》均采取了广义标准,GDPR中“个人数据”通常被理解为“与已识别或可识别的自然人有关的任何信息”。“识别性”是认定个人信息的核心要素,分为“已识别”与“可识别”。“已识别”的界限相对明确,而“可识别”的界限需结合具体应用场景,且判断有可能并不精准。这是因为,“能识别”是一个动态考量机制,应兼顾技术现状、数据变化(如特定主体处遇与状态的变化),在判断“能识别”时要考虑诸多因素,包括识别成本、识别预期目的、数据处理的结构方式、数据控制者的预期利益、个人利益所面临的风险、组织功能紊乱的风险(违反保密义务)以及技术失效。因此,从目的解释角度,采取“可识别性”标准的立法意图在于确认信息的归属主体。《民法典人格权编(草案)》三审稿第6章第817条第1款从侧面印证了这一论断,即“未经被收集者同意,不得向他人提供个人信息。但是经过处理无法识别特定个人且不能复原的除外。”由该规定可以看出,个人对自身信息消灭信息权利的条件包括:(1)经过处理无法识别特定个人;并且(2)不能复原。因此,我国最新立法动态通过反向描述定义了“识别性”与“关联性”的法律标准,即,达到无法识别且不能复原的程度,因此必然需要数据脱敏技术的支持。本文认为,该规定实则是对个人数据处理技术提出了标准和要求,并且,这一技术要求的目的是为保护个人信息不被披露的个人利益。进一步推断,达到脱敏技术标准后即可以被披露,而被披露则意味着信息主体对于信息隐私利益与自决利益的消灭。综上,认定个人信息及保护相关人格利益的逻辑判断思路如下:第一阶段:先从内容、目的、结果三方面依次判断“关联性”;第二阶段:根据“已识别”与“能识别”的分类,结合具体场景判断可否达到“可识别”程度;第三阶段:结合上述两阶段考量,做出是否为个人信息的判断;第四阶段:根据隐私权保护的立法规定与一般司法处理规则,做出是否为“隐私信息”的判断;第五阶段:追溯信息主体在授权协议(如用户协议、服务协议、隐私协议、处分协议等各类平台协议)中是否已做出事前的同意。若允许使用或经过(二次)授权,则视为合法且合理使用,未侵犯信息主体的隐私利益与自决利益。(二)数据生产者权利与信息主体权利的隔离形态1.集合性数据个体层面的信息对于经济和社会的作用影响极其微观,尤其在大数据时代,集合性的个人信息价值显现为宏观效应。因此,从个体层面的个人信息演变为公共性数据资产是信息处理过程中必要一环。然而,集合性的个人数据,即使涉及传统隐私范畴的个人信息,如诊疗记录、财产状况、婚恋状态等,是否仍属于隐私权范畴?对于该问题,在集合性数据处理的场景下,对信息主体的权利保护应分两种情况:(1)集合性数据中未对个体的单个信息做脱敏化技术处理;(2)集合性数据中对个体的单个信息已做脱敏化技术处理,且达到不可识别且无法复原的标准。对于隐私的定义,一个共识性的理解是“单个用户的某些个人属性”才被认为是隐私,而一群用户的某些属性,是否可以不被认为是隐私?例如,匿名化与假名化处理后的数据,一方面,从隐私保护的角度来说,隐私权的有关法律法规保护的是单个自然人的隐私权益,对于群体性隐私权尚无明文规定。另一方面从可识别性角度而言,如果在集合性数据中,仍然可以单独识别出某一个体的隐私信息,则仍属于数据隐私。如已经无法识别,则集合化的隐私数据不再是数据隐私。由此来看,公共应用场景中的集合信息,一定程度上削弱了数据的隐私利益与自决利益。而数据经济产业中,往往都是对个人数据进行规模化的集体处理以实现企业经济效益,而非针对单个信息进行牟利。因此,数据产业的集体化处理模式,也缩减了获取信息之后的下游产业环节中信息主体可能行使权利的空间。在大数据产业领域中,产业链大致分为:个人数据收集(数据源)—数据存储—数据分析与挖掘—数据流通—数据应用等5个步骤。个体参与产业环节以及可行使权利的阶段,仅限于数据的获取阶段。2.非个人数据非个人数据包括机器生成数据(machine-generated data)与“脱敏处理”后的个人数据,此处主要探讨后者。数字产业流程按步骤分别为获取、整理、分析、评估个人数据,再通过数据分析结果辅助产品或服务的研发。出于同样的思路,移动终端APP要求获取的用户权限通常涉及获取、收集、存储、使用、处理、再加工等行为,从而对处理后的数据做进一步的流动、共享与交易,由此实现社会价值与市场价值。因此,数据控制者的处理行为权限实则是其数据财产权的延伸,即,企业的信息处理行为是在行使数据产品或服务生产者所享有数据权利的收益权能。同时也应注意,数据产品上附着的财产性权益不能等同于财产所有权。财产所有权是指所有人依法对自己的财产享有占有、使用、收益和处分的权利。从比较法角度考察数据产品的权属问题,以欧盟为例,目前欧盟立法体系中著作权、数据库权、商业秘密保护、合同机制等法律制度,并不能为非个人数据提供完整的保护。针对这一问题,2017年1月,欧盟委员会发布了《关于数据自由流动与欧盟数字经济中新兴问题的工作文件》,该文件中包含的《关于建立欧洲数据经济的通讯》围绕数据自由流通中已存在的或潜在的障碍,提供了在欧盟取消不合理或不成比例的数据位置限制的选择,还考虑到了访问和传输非个人机器生成的数据、数据责任以及非个人数据的可移植性、互操作性与标准有关的问题。欧盟委员会还在该通讯中表示,应对非个人的机器生成数据(machine-generated data)设置数据产权,即,“数据生产者权利”。具体来说,企业可授权第三方访问其数据库,以促进数据的共享、流动及增值。进一步,欧盟委员会考虑在“公平、合理、无歧视(FRAND)”原则下建立数据许可框架,以此为中小企业和初创业公司提供公平利用数据的机会。再反观当前我国的现实情况,目前大数据产业中可交易的数据主要有网络公开数据与企业内部数据两类。例如,贵阳大数据交易所可交易的数据类型高达30多种,覆盖各行各业的大数据类型。对于大数据交易,当前存在的一个重要法律难题是大数据产权界定不清晰,以及缺乏交易规则和标准。目前的司法实践也反映了这一点,以北京地区的司法案件为例,不正当竞争纠纷占个人信息案件59%,并且相对于隐私权纠纷,不正当竞争纠纷的原告胜诉率也高达67%。其中,比较典型的案例如中国大数据产品不正当竞争第一案(淘宝诉美景公司案)、新浪微博诉脉脉不正当竞争案等。在淘宝诉美景公司案二审判决书中,法院判定淘宝收集并使用用户信息的行为是正当的,淘宝对“生意参谋”享有财产权益。在判决分析中,法院认为,考虑到发展大数据经济已成为国家的重要发展战略,数据的商业价值日益凸显,因此,对于无偿利用他人数据产品的行为应当予以打击,以此鼓励大数据产品开发者的创造积极性。本文认为,如果未经数据产品或服务生产者的同意,实际侵犯的是该生产者的数据竞争性商业利益,例如直接市场营销价值。对于该类不法行为,目前主要通过《反不正当竞争法》进行处理,但是,《反不正当竞争法》对于数据生产者的“竞争性财产权益”仍然不能提供充足的法律支持。该案判决的法律依据包括《网络安全法》第22条、第41条、第42条、第76条,《反不正当竞争法》第2条,《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第17条。可以看到,本案判决中所参照的仅为“不正当竞争行为”的定义规定,对符合不正当竞争的一般构成做出判断。除此之外,法官在自由裁量范围内,基于公平原则指出,原告付出了人力、物力与财力,并经过长期运营积累形成的数据产品属于劳动成果。而被告对该数据产品无偿使用并牟利的行为属于不劳而获,并且采取被告侵权获利的计算方式确定赔偿数额,适用返还不当得利的责任形式。该案中确立的司法保护规则是法官通过自由裁量对基本法律原则进行了合理阐释,但对于数据产品的权属问题,目前尚无明确的法律规定,处于立法缺失状态。在该问题上,关乎信息主体权利保护的问题是,在收集数据之后的产业环节中,数据运营者之间对于数据衍生产品的交易是否仍关涉个人信息保护?即,信息主体是否仍可进一步参与行使数据权利?在个人信息自决权的行使中,遵循用户同意原则主要针对的是数据产业最初的信息获取阶段,包括隐私/处分协议中择入式(opt in)与择出式(opt out)的选择模式,以维护信息主体的知情权与自决权。接下来,在后续的处理、应用、共享、流动等数据产业环节中,基于前述的技术脱敏化标准:(1)在个人数据未做脱敏处理的情况下,未经用户同意数据控制者所实施的数据处理与共享,侵犯了数据主体的隐私利益(若为隐私信息)或自决利益。《个人信息安全规范(修订草案)》第7.12款规定,在约束信息系统自动决策情况下,当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。因此,该规定意味着,对于未经脱敏的个人信息,无论在哪一产业环节,信息主体始终享有信息自决的权利。(2)如果个人数据已经过脱敏化处理,达到了无法识别且不可复原的标准,则信息主体的权利至此已近消灭。此时经过处理、加工或分析后的非个人数据已经成为了数据产品或服务,所带来的权益应当归 数据处理主体享有。数据产品或服务上附着的财产权益实则是一种竞争性财产权益,包括商业利益与市场竞争优势等。(三)个人信息集中性财产价值与分散性人格利益的冲突及平衡企业数据产权的合理性基础如下:1.数据企业原始的个人数据资源积累,已使其占据互联网产业的优势市场竞争地位,蕴含极大的商业价值;2. 存储个人数据需要付出较高的维护成本;3.个人数据经加工处理后,可形成有直接或间接经济价值的数据产品或服务。关于企业的数据权益,例如在腾讯诉抖音多闪案、淘宝诉美景案、大众点评诉爱帮网案、新浪诉脉脉案等司法案例中,法院判决中均承认原始收集数据的企业对于数据的保存、维护与处理投入了一定的人力物力等劳动或生产成本,应享有竞争法上的财产性权益。本文认为,对于企业之间的数据权益争端,冲突本质在于维护市场优势地位以及潜在的数据开发价值。相比较而言,企业的数据垄断地位(市场竞争优势)与信息主体的利益冲突,主要集中于信息主体的自决利益(包括信息主体对个人隐私的自决权),如信息主体有权决定是否披露或转移个人信息到第三方平台。法院在“微博诉脉脉案”中确立的授权规则为:第三方平台通过Open API(开放平台)获取用户信息时应适用“用户授权”+“平台授权”+“用户授权”的三重授权。经过用户的二度授权与原始收集者的共享授权,在双方数据权利同时行使下原收集数据方可传至第三方平台。那么,“平台授权”的权利是何种性质的权利,是否为数据使用权?“用户授权”的权利又是何种权利,是否为自决权利和隐私权?本文认为,用户的二度授权问题主要影响用户的信息自决权(益),该类场景主要指向信息主体的数据可携权。对于企业间的数据权益冲突,信息主体是否以及在何种限度内行使数据可携权,在一定程度上决定了平台之间的数据共享权限。个人数据可携权的合理性基础为:(1)信息主体在平台上进行个人数据动态的维护及更新工作,包括上传、宣传、处理和加工等。(2)数据内容包括信息主体的个人状态或情况,关乎其隐私、安宁、安全利益。因此,信息主体有权自主控制对数据内容的管理、处理和转移等,包括数据副本获取权和数据转移权。然而,信息可携权完全侧重单方面保护用户一方,而没有考虑数据企业保持市场优势地位的诉求。GDPR设立个人数据可携权的现实背景为,在欧盟境内GDPR主要规制对象为欧盟境外的互联网企业,从企业所在国的经济发展角度看实则非常不利。这是因为,数据控制者(收集者或处理者)对可被携的人数据付出了维护与加工工作,事实上,以数据可携权为代表的数据自决权(益)一定程度上阻碍数字产业的创新发展。对此,在落实数据可携权时,企业可在自身数据权益范围内在“用户协议”中明确指出信息主体行使可携权的条件及限制。当然,对企业数据财产权益的认可与保护,并不是否定信息主体的人格利益(隐私利益与自决利益)。个人信息权(益)经常关联的人格权利益涉及姓名、肖像、隐私/名誉、信用评价等内容,因此信息主体应当被赋予更广泛且更细致的信息自决权,以保护个人信息上所承载的多种人格利益,从而避免企业为追求数据财产利益而贬损信息主体的人格尊严。个人信息所负载的人格利益是极为多元的,立法上难以穷尽列举或设定普适的保护标准,基于个性化场景适用原则,在不同个人数据产业使用中,企业可以在其用户处分协议中做出特定且细化的场景适用规则。例如,在网络交易领域,《电子商务法》第23条原则性规定了电子商务经营者在收集、使用用户的个人信息时应做到合规,整体上为网络交易用户对信息自决权的行使提供了法律依据,但未细化自决权益及相关消费者权益的保护。只有通过立法对企业设定合规义务与责任方可在各类平台协议中落实契约意识与保护责任。基于上述思路,为化解人格利益的分散性与数据财产的集中性之间的矛盾,法律规制应从以下三个方面着手:1.一般立法与专门立法并行。目前立法体系下总括性立法如《民法总则》第111条、《民法典人格权编(草案)》第6章,以及未来出台的《个人信息保护法》需对个人信息权利进行明确列举,从而对个人信息权利有较为统一的法律保护标准;另一方面,在特定领域中设置专门的法律条款,如《电子商务法》第18条、第19条针对网购交易中的“大数据杀熟”“捆绑销售”等特定“算法侵权”情形提供了具体应对策略。2.行业规范先行及细化落实。除立法层面提供统一标准外,在信息技术日新月异、信息产品或服务层出不穷的今天,鉴于网络与信息立法的滞后特征,若要对个人信息权(益)进行及时保护,更应从行业规范角度,出于落实与细化立法规定的目的,针对不同的个人信息应用场合设置对应的使用规则及责任形态,以保障在此商业应用场景中信息主体可能被侵犯或影响的人格权利益得到现实维护,从而限制在此情景下企业的商业使用目的及其利益,以实现双方的利益平衡。例如,在网络社交领域,基于法律规定与合规责任,社交网站在“用户隐私协议”中应表明将为用户提供在访问、限制处理、删除、注销、匿名化、被遗忘、转移至第三方平台等权利行使上的便利,这也是企业所承担数据安全责任的附随义务。3.行政执法配套实施。行政机关要同时加强行政执法,例如,国家市场监督管理总局在2019年4月1日至9月30日期间在全国范围内开展“打击侵害消费者个人信息违法行为”专项执法行动,以维护安全的消费环境。综上,从立法确权、行业规范、行政执法三个维度实现个人信息所承载的分散性人格利益与集中性财产利益间的平衡,最终促进信息行业规范发展。(四)数据生产者与信息主体的保护责任分配首先,在责任形式上,如果被获取的个人信息不属于隐私信息,那么不规范或非法获取信息行为本质上侵犯的是公民的信息自决行为。如果获取的是隐私信息,则出现侵犯隐私权与信息自决权的重合,在责任承担上可能出现侵权责任与违约责任的竞合。其次,在责任分配上,由于智能设备运作需要依赖WiFi、蓝牙、Zigbee、GPS卫星导航等无线电通信技术,而一旦某个通信协议出现了技术漏洞,将会引发连锁反应的安全问题。因此,基于技术架构不同,数据载体面临的数据风险也不尽相同,数字产品或服务的运营者面临的安全责任亦可能不同。然而,目前学界讨论中几乎形成一种共识,即企业要开放与利用尽可能全面且高端的支持技术来保障个人数据的安全。然而,技术标准的提高,对于企业而言则意味着运营成本的增加,而企业资本本身是逐利的,客户的数据安全维护本身不能直接产生商业利益,因此企业对于技术保护表现出消极与排斥的态度。事实上,一味强调提高互联网企业技术保护的法律标准,无疑会极大增加企业的合规成本,经营成本的上升则可能导致企业选择可规避的路径。由此,对个人数据隐私较高的法律保护标准在现实中往往难以真正落实。一个具有前车之鉴的例子是,随着GDPR生效,鉴于高昂的法律合规成本,我国很多互联网企业纷纷宣布退出欧洲市场,严重延滞了电子商务国际化的进程。因此,尽管民众对提高立法保护标准的呼声日渐高涨,由于存在现实执行的阻力,法律上单方面的施压,并不能切实促进个人信息保护,结果可能适得其反,并同时阻碍与限制数字经济产业的发展。法律制度作为社会管理的工具之一,本质在于协调与平衡各方社会主体的利益冲突,在个人利益与社会整体利益之间做出价值取舍与最优化安排。同时,用户缺乏积极获知处分协议的意识也不利于数据处理规范化环境的形成。根据一项对德国网民的调查,用户通常不会仔细阅读同意条款,例如数据收集和利用的解释条款、数据收集请求信息,并且一旦表示同意后则不会撤回。由此,在个人数据的处分上也呈现出“隐私悖论”现象,大多数用户乐意分享被数据收集者所追踪的个人动态信息。信息主体对于隐私信息仍然存在自决权,例如,信息主体可以选择主动披露个人的隐私信息。退一步讲,即使只在相对封闭的社交平台披露,一经公开发布也即意味着信息主体具有自甘风险的意愿,默认允许泄露给第三方的风险发生。因此,本文认为,应将合规责任一部分转移给用户的自愿选择(包括付费模式、功能使用范围自选等制度),由市场筛选出根据自身情况权衡披露风险与使用利益后再做出使用选择的用户。在上述基础上,为形成数据人格利益与企业利益的良性互动,互联网企业需为用户免费提供简便的基础性技术产品和服务,以不断满足顾客的优先需求、获得用户注意力、增加用户粘性、增强企业获取市场优势地位及整合资源的能力,进而通过第三方服务收费和高端顾客定制服务收费最终实现盈利,这就是互联网企业所独有的普遍免费商业模式。同时,学界也提出数据产业中的个性化(定制化)服务与一般化服务模式、付费模式与免费模式等。还有学者认为,大数据时代个人信息商业使用的方式是以服务换取信息的对价化交易模式,本文认可这一观点。“隐私政策的性质已经不再是一种声明,而是建立在双方合意基础上的协议,是网络服务合同不可缺少的一部分。”因此,基于上述个人信息商业使用模式,应从合同法视角来审视个人信息的类商品化交易过程,用户是通过自决方式交付个人信息的“隐私利益”(广义),企业使用用户个人信息开发互联网产品或服务一般是为实现直接市场营销价值(如精准投放广告)或个性化推荐服务,从而变相实现其经济价值。由此来看,在个人信息转让过程中,基于人格权商品化使用的合理性论述,用户与企业之间可构成信息无偿使用合同。另外,数字产业规范体系中要区分原始的数据与衍生的数据产品或服务。对应地,体现在数据产业阶段上:1.在数据获取阶段,《刑法》第253条对非法获取、出售、提供等不法信息处理行为做了入罪规定。本文认为,当非法获取信息行为的危害后果未达刑事处罚程度时,侵犯公民信息罪中的定性与定量标准可参照适用于信息非法获取等侵权行为的认定。同时,信息收集一般适用目的限制原则。然而,信息技术发展日新月异、数据不断被挖掘与使用以开发出新型数据产品或服务,从这一角度看,目的限制原则对于数字产业创新存在一定限制。2.在后续数据加工中,应在使用目的设定上存在一定灵活性,例如淘宝《隐私权政策》第9条规定了隐私权政策变更的兜底条款,即对于后续的可能目的变动,会以另行通知与重新获取用户同意的方式取得使用合理性。立足于上述理论研究与现实背景,在隐私/处分协议的选择权中,用户经衡量后愿意交付一部分个人信息是为了体验满足个性需求的产品或服务,并相信企业只将该个人信息用于提升用户体验。这样,由市场倒逼数据企业的垄断势态,最终形成信息让渡—用于开发产品或服务—用户信任—更多的信息让渡—用于开发更好的产品与服务的数据商业利用的良性循环,这正是信息自决权与隐私/处分协议的功能与目的所在。最后,对于信息主体的隐私利益与自决利益以及企业的数据权益,在立法体系设置中可做以下安排:1.企业之间的数据权益调整,应在《反垄断法》《反不正当竞争法》《知识产权法》中予以规制;2.对于信息主体的信息权益,宜由《民法总则》《民法典各分编》《个人信息保护法》纳入保护范围;3.对于企业与信息主体之间的数据权益分配,可在《电子商务法》《合同法》《消费者权益保护法》《侵权责任法》中做出设置。五
结语
对于信息主体,个人信息主要承载其人格利益而非经济利益,旨在维护人的自由与尊严。信息主体的信息利益保护诉求是出于保护完整人格利益,包括但不限于传统隐私权,还有信息的自决性利益。除了传统隐私权制度对个人隐私信息的侵权保护模式,也应通过处分协议的约定方式,对个人的信息自决权利以违约责任方式提供法律救济。因此,数据隐私的风险问题,本质根源不在于数据的共享与开发,而在于新型数据权利制度架构的缺失。立法需要突破传统隐私权保护模式下的隐私认知理念与权利设置体系。一方面,通过突破对传统隐私理念的认知,在数据载体与消费场景中达成共识性的“数据隐私”理念;另一方面,大数据时代的个人数据商业化利用中,商家通过算法技术分析特定用户的消费习惯与行为偏好从而提供投其所好的产品或服务以进行精准营销,这正是个人数据最为核心的商业营利价值。为推动数字经济发展,对于数据生产者的数据财产权益,数字产业环节中经脱敏技术处理后的集合性数据与非个人数据,在一定程度上可阻却信息主体的信息保护诉求。除此之外,在私权处分范围内,基于个人的处分意愿,数据主体本身也应担负一定的信息保护责任。进而,为避免企业过度追求数据财产利益而贬损信息主体的人格利益,我国的制度应从立法确权、行业规范、行政执法三个维度构建,以实现个人信息所承载的分散性人格利益与集中性财产利益之间的平衡,最终促进信息产业的规范发展。
延伸阅读:
1.商希雪:《超越私权属性的个人信息共享——基于《欧盟一般数据保护条例》正当利益条款的分析》,载《法商研究》2020年第2期。
2.商希雪:《生物特征识别信息商业应用的中国立场与制度进路——鉴于欧美法律模式的比较评价》,载《江西社会科学》2020年第2期。