【数据法学】刘泽刚:大数据隐私的身份悖谬及其法律对策(二)
B D A I L C
欢 迎 关 注
大数据运营在收集使用大量身份信息的同时却无法赋予用户网络主体身份。这种身份悖谬是由互联网结构、大数据模式以及法律规范不足共同导致的,也意味着数据自决和意思自治难以实现,政府监管和法律保护才是当前信息隐私保护可行的主导机制。欧盟统一立法创设数据主体,并影响了印度、巴西等人口大国的数据保护立法。但硬性拔高隐私身份定位付出的法律和经济代价也是沉重的。美国依托消费者身份利用现有机制加强信息隐私监管的实用主义路径与其普通法传统契合且成本较低。我国信息隐私主体的现有法律定位模糊。未来立法宜正视互联网发展的现实,兼采欧美之长,适度提高信息隐私身份定位,但应避免设置副作用明显的权利。宜在加强对企业监管的同时,综合利用消费者权益保护等机制提升大数据隐私的保护质效。
Paul Cézanne
大数据隐私的身份悖谬及其法律对策
文 / 西南政法大学行政法学院宪法教研室副教授 刘泽刚
二、欧美信息隐私身份的法律定位分析
(二)美国实用主义的“消费者”模式
美国选择了一条充分利用既有法律并尊重互联网现有架构的实用主义道路。美国在联邦层面没有对信息隐私保护进行统一立法的计划,其信息隐私保护规则分散在各个传统法律部门中。由此,美国隐私法又呈现出“九龙治水”的态势。仅以互联网监管来说,美国联邦贸易委员会(以下简称FTC)和美国联邦通讯委员会都有自己的管制领域。但经过多年发展,FTC已经成为美国最重要的信息隐私保护机关。很多学者认为FTC在美国数据保护体制中的地位实际上相当于欧盟法中的数据保护机关(DPA)。进入信息时代后, FTC以消费者保护机制为核心建立起一套信息隐私保护的“新普通法”。
FTC保护信息隐私的规范基础主要是《联邦贸易委员会法》第5条的规定。除此以外,FTC还有权执行一些比较具体的与隐私相关的法律,例如《反垃圾邮件法》、《儿童在线隐私保护法》、《电话营销与消费欺诈滥用防治法》等。FTC享有的这些执法权涵盖消费者权益的各个方面。而且通过对《联邦贸易委员会法》第5条的扩充适用,FTC还将消费者隐私保护的触角延伸到各种新兴的实践领域。尤其是“不公平和欺诈”本身就是有意设置的宽松表述方式。FTC据此在数据安全和隐私保护方面获得了非常广泛的权力。比如FTC可以采取强制执法措施制止违法行为,还可以要求企业采取积极整改措施,并可以追缴企业违法行为的不当得利,责令企业删除非法获取的消费者信息,协助消费者获得赔偿救济等。对某些违反隐私法令和规则的行为,FTC还可以直接主张获得民事罚款的支持;还可以向企业和消费者宣传法律规定,在有关消费者隐私的领域提出立法建议或监管方案,组织召开相关研究和研讨,开展全球隐私保护的国际合作等。FTC的执法范围已经覆盖到线下、线上以及移动端,执法对象更囊括了Google、Facebook、Twitter、Microsoft在内的知名企业。FTC有关消费者隐私权的执法重点虽然是美国本土消费者权益保护,但保护触角延展至全世界各地的消费者,避免他们遭受FTC管辖范围内企业不公平或欺诈行为的侵害。
除了联邦之外,美国各州也倾向于依托消费者身份进行信息隐私保护。这一点可从令人瞩目的《2018年加州消费者隐私法案》(The California Consumer Privacy Act of 2018,以下简称CCPA)看出。CCPA之所以引发全世界关注,除了因为作为全球第五大经济体的加州具有重要地位外,还与其明显受欧盟GDPR影响有关,同样高扬数据权利的立场。但CCPA仍保持着美国隐私法的特征。首先,仍然通过消费者身份保护信息隐私。在CCPA中“消费者”被界定为“作为加利福尼亚州居民的自然人”。这种界定非常宽泛,并没有像欧盟那样新增法律身份,为通过消费者范畴扩展隐私保护奠定了基础。从效果来看,在美国隐私法中,消费者几乎是与自然人相同的概念,只不过更强调了自然人在商业活动中相对弱势地位而需要被保护的特征。其次,尽管设立了若干新权利,但CCPA仍然是以隐私权为规范基础的。而欧盟在推出一系列“个人数据保护权”后,隐私权实际上已经“退居二线”。最后,CCPA的规范重心是商业活动,而非欧盟式的数据控制。CCPA设定的数据合规义务主体是各类企业,其监管对象是符合一定条件且对消费者隐私产生影响的企业经营行为。综合来看,CCPA虽然借鉴了GDPR的精神,但从本质上说仍然是典型的以消费者保护为中心的美式隐私保护法。
消费者身份也一直是美国联邦层面统一隐私保护立法规划依赖的法律身份。2012年2月23日,美国联邦政府提出一项名为《消费者隐私权法案》的立法框架。这份权利法案以消费者身份为基础提出了数字经济时代隐私保护的原则性规定。这些规定没有直接的法律强制性,互联网公司可以自愿选择是否采纳这些原则。然而一旦公开承诺遵守这些原则的互联网公司公然违反法案提出的原则就将面临FTC提起的强制诉讼。尽管至今美国联邦层面仍未出台正式和统一的信息隐私保护立法,但在2012年后提起的数次立法动议中都将消费者作为信息隐私的基本法律身份。2018年Facebook深陷“剑桥分析”事件引发美国朝野各界关于隐私保护联邦统一立法的讨论热潮。行业组织、大型互联网企业、权利保护团体、政府机关甚至是部分议员个人纷纷提出各种立法建议。这些立法建议的权利设置和法律用语都反映出欧盟GDPR的明显影响。但政府层面却依然保持了制度和用语方面的稳定性。2018 年9 月26日,美国联邦国家电信和信息管理局(NTIA)代表商务部公开征集“发展消费者隐私管理办法”的意见。这次征集意见的文件中提出了未来联邦政府层面隐私保护的基本框架。而其沿用了之前联邦政府类似文件中“消费者隐私”的术语。2018年12月19日,美国华盛顿哥伦比亚特区总检察长向特区高等法院提起诉讼,针对剑桥分析事件中Facebook违反《特区消费者保护程序法》起诉Facebook。作为剑桥分析事件在美国本土引发的第一起诉讼,该案也是基于消费者身份提起的。以上这些都充分说明消费者身份在美国隐私法中具有根深蒂固的地位。
(三)身份设定差异对欧美隐私监管逻辑的影响
综上,欧美信息隐私的法律身份设定存在明显差异。欧盟通过拟制数据主体这一法律身份,提升了信息隐私主体的法律地位。但由于前文所述各项原因,数据主体的身份设定实际上有不顾现实拔高自然人网络地位的嫌疑。这种法律定位与实际地位的差异体现在监管逻辑上的双层结构。从表层来看,欧盟似乎高举信息自决的旗帜,数据主体通过行使权利对数据处理过程进行自主控制,进而实现信息隐私保护目标。但这只是表面现象。实际上,由于互联网的基本架构并非由欧盟主导建成,欧盟也必须服从现有互联网的技术和产业规则。由于自然人在大数据条件下缺乏单一网络主体身份,欧盟的信息隐私保护同样无法依赖信息自决和意思自治实现。在深层结构上,监管才是欧盟信息隐私保护真正的主导机制。实际上,在GDPR还未生效的2016年,“欧洲监管中心”(Centre on Regulation in Europe,以下简称CERRE)就曾经发表报告指出,GDPR的主要规则都是公法性质的。尽管GDPR中也预留了一些通过私人行为影响数据处理过程的空间,但这些私人行为都是从公法角度构思的,且仅仅是公法监管行为的补充或辅助。CERRE呼吁应该为私法机制留下更多空间。但这种呼吁是缺乏现实依据的。数据主体只是一种虚悬的法律拟制身份。自然人想依靠这种身份对抗强大的互联网企业进而自主控制个人数据处理过程,无异于痴人说梦。
欧美通过监管互联网企业数据处理进程来保护信息隐私。“监管即隐私”是欧美共同遵循的深层逻辑。然而,由于欧盟设定的数据主体的权利不能脱离监管手段而独立存在。这种双层结构加剧了法律与现实之间的落差,明显提高了信息隐私保护的制度成本。美国则采取了务实的经验主义渐进逻辑,利用既有法律机制,顺应时代要求对相关法律手段进行强化和发展。由于没有系统地设置新型权利,美国信息隐私保护反而能直面问题,更好地兼顾各种利益。此外,欧美的规制重点也不一样。欧盟看重个人数据处理过程的规制,美国则重点从消费者权益保护角度进行规制。欧盟注重事前的合法性基础,从原则上说,没有合法理由就不能处理数据。而美国则对企业数据处理的活动采取了更加灵活和宽容的态度,但对违法行为的事后追究非常严厉。相比之下,欧盟设定数据主体的制度成本甚为巨大,严重影响了互联网经济的发展,也未能实现自主控制个人数据处理进程的目标。美国依靠消费者身份保护信息隐私,看似比较被动,但却充满了保护主义的温情和规制主义的实效。从效果来看,消费者这个看似比较被动的身份并没有阻碍美国信息隐私保护的健康发展。美国消费者对互联网安全也比欧盟的数据主体更有信心。据统计2017年美国成年公民通过网络购物的比例是69%,比欧盟高12个百分点。
三、我国信息隐私保护的身份定位思考
由于尚无统一的个人信息保护法,我国法律关于信息隐私的身份规定呈现多元性。尽管我国也无法逾越大数据网络架构去破解信息隐私身份悖谬,但未来立法可兼采欧美模式之长,赋予用户恰当的法律身份,适度提高信息隐私身份定位,稳健夯实信息隐私的保护机制。
(一)信息隐私身份术语的文本分析
我国信息隐私保护的身份定位仍然模糊。这一点在法律用语方面体现得非常充分。综合来看,现有法律规范中涉及隐私身份的术语大致有如下几种情况:
1. “个人”。《民法总则》使用了“个人” 、“他人”的表述。第111条规定自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。在刑法领域,更倾向于加上“公民”二字,使用“公民个人信息”的表述,例如刑法修正案九中规定的“侵犯公民个人信息罪”。在2011年实施的国家标准《信息安全技术术语》(GB/T 25069-2010)中也是用“个人”这个术语来描述“隐私”的:“个人所具有的控制或影响与之相关信息的权限,涉及由谁收集和存储,由谁披露。”2018年实施的《个人信息安全规范》(GB/T 35273-2017)沿用了 “个人信息”(Personal information)这个术语,并以一种非常接近GDPR的方式将其界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。
2. “用户”。《网络安全法》第四章“网络信息安全”大多数条文与个人信息保护有关。其中第40条和47条使用了“用户”的表述。需要注意的是,该章其他条文大多使用的是“个人”这种表述。同样规范“网络运营者”义务的第40条和第41条,前者使用的是“用户”,后者使用了“个人”。另外,在相关国家标准中“用户”是常见的技术术语。例如《信息安全技术术语》中专门界定了“用户标识”、“用户数据”等术语。
3. “消费者”。尽管“消费者”和“个人信息”是连用的,但《消费者权益保护法》第29条规定的关键身份无疑是消费者,其指向的也是消费者的数据和隐私。因此与“个人信息”的表述是明显不同的。
4. “个人信息主体”。自2013年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》(GBZ 28828-2012)使用“个人信息主体”这一表述后,其后推出的国家标准就更倾向于使用这一与GDPR“数据主体”非常接近的术语。例如2018年生效的《个人信息安全规范》以及2018年《个人信息安全影响评估指南(征求意见稿)》中都使用了“个人信息主体”这种表述,并将其界定为“个人信息所标识的自然人。”
(二)信息隐私身份的法律实效性分析
我国现有各类信息隐私身份的法律实效性存在明显差异。总体而言,身份越具体,法律规定就越有实效。尽管学界多以“个人信息”描述大数据隐私,但除刑事法律规范外,以“个人”为身份定位的规范通常都只是宣示或原则规范。《民法总则》第111条的规定就属于这类规范。该条文中的“他人个人信息”是一个不确定的概念。到底是他人的个人信息,还是涉及他人的个人信息,或是涉及他人人格的个人信息?语焉不详。法律关系也不太清晰。个人信息到底是一种财产还是其他性质的民事法律关系的客体?更重要的是,该条文中的“信息安全”严格来说并非民法概念。至少民法领域并没有专门而系统的信息安全原则。而“不得非法”之后的表述就更没有实质性的规范内容。毕竟首先应该有规范内容较为确定的民事法律原则和规范,才谈得上非法。综合来看,《民法总则》第111条中并无切实可行的法律机制,属宣示性规定。传统民事法律机制难以成为大数据隐私保护的主导机制。实践中,公民个人信息遭侵害后通过提起民事侵权诉讼维权的效果大多令人失望。即便是《民法总则》颁布后,个人提起的隐私权纠纷案件仍呈现“侵害规模大、胜诉比例低、诉讼动力不足”的特点。还有一些以“个人”为身份定位的规范属于原则性规范。这类规范提出了隐私保护应该遵循的原则,但没有可执行的机制和相应的法律后果。例如《网络安全法》第41条规定了若干个人信息安全的原则,包括合法、正当、必要、同意、守法等。但在该法中并未规定这些原则的执行机制。亟需立法补充相应监管机制。
相比而言,身份定位为“消费者”、“用户”或“个人信息主体”的规范往往属于可执行规范。这类规范对应可执行的隐私保护机制,而且能直接或间接地引发相应法律后果。消费者身份对应于消费者保护机制,用户和个人信息主体则对应于互联网或相关行业监管机制。以《消费者权益保护法》第29条为例,尽管表述上比较原则,但该条文有明确的行为规范,如消费者同意,经营者公布规则,不得泄露、出售、提供信息,非经同意不得向消费者发送商业信息等。需要注意的是,这些规定处于《消费者权益保护法》第三章“经营者的义务”,而没有规定于第二章“消费者的权利”。相关机制也更多都是经营者义务机制。而关于消费者权利的规定在该法第二章有原则性的规定,例如第1条“消费者在购买、使用商品和接受服务时享有人身、财产安全不受损害的权利。”第14条“消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。”除了消费者身份外,“用户”和“个人信息主体”身份关联的可执行规范往往表现为对网络运营者或相关业者有直接约束力的国家标准。尤其是“个人信息主体”虽然仅仅出现在国家标准中,尚未成为正式立法用语,但国家标准往往具有很强的实际效力。例如2018年1月6日,因支付宝、芝麻信用收集使用个人信息的方式不符合《个人信息安全规范》的精神,也违背了两家公司签署的《个人信息保护倡议》承诺,国家互联网信息办公室网络安全协调局约谈了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人。两家公司后续都对各自平台进行了相应整改。
(三)妥善设置信息隐私身份的几个关键问题
互联网内在的技术与产业逻辑是非常强大的。信息隐私的身份悖谬在短期内难以得到根本解决。我国未来立法也应尊重大数据的刚性架构,在充分借鉴欧美经验教训的基础上,探寻出化解信息隐私身份悖谬的规制路径。具体来说,有三方面问题值得特别注意。
第一,理性提高信息隐私身份。尽管如前文所述,在大数据条件下,自然人并无真正的单一网络身份。但通过立法合理设置信息隐私身份可以引导和调整互联网发展,构建更有利于信息隐私保护的制度环境。鉴于目前我国已有的相关国家标准已经充分吸收欧盟GDPR的术语和权利体系,而且GDPR也确有一定先进性,未来《个人信息保护法》可以采用“个人信息主体”这类与数据处理监管关联紧密的法律用语。原因是作为具有成文法传统的国家,个人信息保护法对信息隐私身份做出妥善规定有利于我国信息隐私保护法律规范体系的建构,对社会实践的引导作用非凡。其次,现有的人大及人大常委会制定的法律中确定的隐私身份主要有三种:个人、消费者、公民个人。个人身份定位过于泛泛,不能适应个人信息保护的规范需要。公民个人身份在刑法领域适用,不宜作为个人信息保护的基本身份定位。消费者身份定位虽然对应一些可执行规范,但由于我国消费者权益保护法远没有美国那样发达和有力,因此也不宜模仿美国将消费者作为个人信息保护的基本身份定位。所以我国应该在信息隐私身份设定上有所创建。最后,作为世界上最大的互联网经济体,我国应该能够在信息隐私保护方面起到一定引领作用。个人信息主体这个身份定位既强调了自然人在信息保护领域的特殊性,又从法律上拔高了自然人在互联网中的地位。尽管目前确立自然人单一网络身份的条件尚不成熟。但未来的互联网发展应该能逐步确立自然人的单一身份。我国个人信息立法既要总结过往经验,也应该面向未来。确立个人信息主体的法律地位是符合未来趋势的。需要特别说明的是,立法确立个人信息主体目前仍是引导性的而非实质性的措施。其实质是通过立法适度超前地提高自然人的网络地位,引导互联网走向尊重人格和隐私的发展道路,而非不顾现实地宣告自然人网络主体地位的确立。只要相关机制设计合理,完全可以避免欧盟拔高数据主体地位造成的不良后果。
第二,务实规定信息隐私权利。设定个人信息主体身份未必就会产生欧盟数据主体权利导致的负面后果。关键在于个人信息保护立法应有意识地避免设立难于实现或有较大副作用的权利。个人信息主体地位当然需要一系列权利的支撑才能成立。但不宜盲目跟从欧盟的规定。我国完全可以利用后发优势,对欧盟相关权利的运行效果做出综合研判,在此基础上,结合国情和需要谨慎务实地设计相关权利体系。此外,未来立法和执法中也应该注重加强对个人信息主体义务的设定和教育。在加强法律保护的同时提升个人信息主体的自律意识和自我保护能力。毕竟唯有具备一定的自律和责任意识的自然人才堪称个人信息主体。否则只是被动和软弱的数据保护的“受益者”而已。
第三,充分利用既有信息隐私保护机制。个人信息保护法的规范重点应该是政府监管机构、监管机制和监管义务。2017年日本个人信息保护法基本上就是循此逻辑立法的。我国个人信息保护立法不宜像欧盟那样在法律层面过细规定数据处理流程。毕竟立法一旦通过就具有制度刚性,过于精细的监管容易影响产业发展。个人信息保护法应该是原则性的统一立法。未来我国适宜多头并进,以讲求实效的精神,充分利用和发展现有保护机制。我国学界和实务界越来越多地倾向于欧盟GDPR的统一立法模式和数据保护制度。但GDPR建立的数据保护制度是具有强制法律效力的,而我国相关国家标准只具有引导功能。更关键的是,我们是否就应该走欧盟的大数据隐私保护路径?在现有互联网架构和大数据模式下建构起一个拟制的网络法律主体身份,其代价和阻力是非常大的。作为世界最大的互联网经济体,借鉴欧美的经验需要慎之又慎,尤其是欧盟的互联网法律规制方法在经济领域造成的负面效果是不容忽视的。比较现实的路径是“刚柔并济”。“柔”是指继续加强国家标准等规范性文件的制订和适用,综合运用警示约谈、行政指导、劝导示范、行政检查、行政奖励等柔性执法方式保护信息隐私。欧盟本身的实践证明强硬地推行会造成经济和法律层面的负面效果。所以,我国应用柔性观念去引导产业发展和制度建设。其次,我国应加强“刚”性有执行力的法律机制的发展与建设。除了制订个人信息保护法外,还应对现有法律机制进行梳理,充分利用和发展包括消费公益诉讼在内的法律机制对抗大型互联网企业大规模侵犯数据隐私的现象。在未来立法中做好顶层设计,谨慎规划,逐步规范隐私身份法律术语,重点加强具有执行力的大数据隐私保护机制的设置。
原载于《浙江社会科学》2019年第12期
仅作学习交流之用
Paul Cézanne
往期荐读
编辑:韩雨硕