摘要:从文化比较的视角来看,不同国家或地区对公民个人信息保护的路径有所差异.但是,同处信息时代,受到信息的社会性和分享性特征的影响,个人信息保护路径的目标与倾向又呈现出共性.我国新出台的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中,国家安全主导的思维仍然居于重要地位,在审查过程中,面临着个人信息保护与数据利用的裁量与抉择.借鉴其他国家的有益经验,结合中国的本土国情,我国在审查和解释《个人信息保护法》时,要将公共利益作为标准来衡量保护个人信息权益还是促进信息利用,认清信息的本质,构建信息数据分享流通机制,将信任原则纳入到《个人信息保护法》中,在个人信息保护路径上给出中国方案.
关键词:个人信息保护;基本路径;差异与共性;比较分析;重思建构;
Abstract:From the perspective of cultural comparison, different countries or regions have different ways of protecting citizens' personal information. However, in the age of information, influenced by the sociality and sharing characteristics of information, the goals and tendencies of personal information protection mode show similarities. In China newly published “Personal Information Protection Law of the People's Republic of China”(PIPL), the national security oriented thinking is still in an important position. In the process of review, it is faced with the discretion and choice of the protection or utilization of personal information. Referring to the beneficial experience of other countries and combining with China's local conditions, when reviewing and interpreting the PIPL, China should take public interest as the standard to protect personal information rights and interests or promote utilization of information, recognize the nature of information, build the mechanism of data sharing and circulation, incorporate the principle of trust into the personal information protection law, and propose China's scheme on personal information protection approach.
Keyword:personal information protection; basic ways; differences and similarities; comparative analysis; rethinking and construction;
基于不同的社会土壤和文化环境,不同国家或地区形成了各具特色的个人信息保护路径.以美国为代表的国家受洛克自由主义理论的影响,从消极自由的角度理解隐私权,强调个人隐私不受侵犯.虽然联邦层面没有出台个人信息保护有关的法律,但是法院可以采用技术手段,对宪法相关条款加以解释,将个人信息保护的相关权益纳入隐私权的保护范围,进一步拓宽了隐私权的范畴,使其成为宪法确认的基本权利.欧盟受康德自主原则理论的浸染,并经历了二战的惨痛,其在审视个人信息保护问题上采用的是人格尊严的视角,将个人信息权纳入人格权的基本权利领域,强调个人信息的自决权.例如在德国人口普查等一系列案件中,确认了个人信息的宪法权利地位.以美国和欧盟为代表,形成了个人信息保护的2种主要路径,近年来,许多国家在个人信息保护方面的立法都是在参照这2种模式的基础上展开的.
从功能比较的视角来看,在信息时代和疫情背景下,个人信息保护成为全球各地普遍存在的难题.个人信息与隐私的交叉融合,体现了其具有人格属性,包含着极大的个人利益,但是,信息从一开始就是具有社会属性的,信息的本质决定了其价值在于利用.个人信息保护规则一方面体现了个人利益与社会利益之间的博弈,另一方面体现了信息利用与个人保护之间的角逐.尽管目前我国已出台了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),在法的运行环节,针对不同或相类似的场景,执法者和司法者面临着促进信息分享还是保护信息控制的抉择,如何平衡个人利益与社会利益的考量,继续探索个人信息保护的中国方案就显得非常必要.
1 个人信息保护的基本路径
受文化背景差异的影响,欧盟、美国、中国在个人信息保护路径上作出了不同的选择.欧盟秉承风险预防原则,强调个人信息的自决权.美国受自由主义观念的影响,信奉个人隐私权神圣不可侵犯.我国从自身的实际出发,同时借鉴了欧盟和美国的立法经验,从实用主义出发,将个人信息的保护视为一种朴素的国家保护义务.
1.1 欧盟:基于风险预防原则的人格尊严保护
欧盟从保障人的尊严角度出发,认为个人数据处理的行为会带来人格侵犯的风险,所以欧盟的个人数据保护立法通过赋予个人充分的信息自决权,以对抗个人数据处理过程中面临的风险.
二战以后,在欧洲发生了巨大的身份认同危机,欧洲知识分子和精英阶层也在思考欧洲存在的意义,最终是通过保护人权与基本权利的方式达成共识[1].在成员国内,各国确立了尊严、公民权利等基本权利,并由欧盟法院作为最后裁决者;在欧盟成员国以外,以国际公约的形式确认了缔结国的人权义务,并由《欧洲人权公约》作为最终裁决依据[2].
风险预防原则最早体现在1977年德国颁布的《联邦数据保护法》,联邦议会指出,其立法目的就是防止数据处理对“个人完整性”(personal integrity)的损害.1978年,法国也在有关法律中表示,由于个人信息的“信息计算”可能对“人类身份、隐私、个人或公共的自由”构成威胁,及至1995年通过的第95/46/EC号《数据保护指令》和2016年发布的《一般数据保护条例》,基于人格尊严为核心的风险预防的立场一直延续[3].
1.2 美国:结合场景差异的隐私权保护
如果说欧洲人说的“隐私权”偏重从人性尊严出发来保护个人的积极自由,那么,美国人说的“隐私权”比较偏重限制国家权力和保护个人消极自由[4].美国通过第14条修正案的正当程序条款,对“自由”概念进行扩大解释,将之作为推定隐私权的依据[5].建立在消极自由理论上的隐私权保护侧重于对抗国家的权力,在Commonwealth of Kentucky v. Jeffrey Wasson案中,法院认为隐私权是一种政府无权去侵犯的公民绝对权利的尊严,但是这种权利的主张不得超出社会生活直接保障所需要的一切限度[6].政府无权侵犯公民的隐私,亦没有限制公民行使并不直接伤害社会自由的权力[7].此外,美国法院采用比例原则来衡量侵犯公民隐私领域的合法性,即政府在利用个人信息隐私的过程中,必须是为了公共利益,而且选择损害最小的方法来实现这一目标.
欧洲国家之所以从人格尊严的积极自由的角度保护个人隐私,是因为其认为个人信息处理行为本身就具有危害性.而美国则从隐私权保护的消极自由角度出发,在不同的场景和领域中保护个人隐私.在涉及到敏感个人信息的社会场景中,比如金融、个人健康数据、未成年保护,个人信息保护就会单独立法进行事前的防范.若是那些风险较小的领域,个人信息处理带来的风险微乎其微,就不需要立法上的风险事前防范,所以美国个人信息保护路径可以称为依据场景差异化的保护.
1.3 中国:以国家安全为主导的实用型保护
西方发达国家对个人信息保护源自于内驱力,我国个人信息保护制度的动力来自于外部压力.自1993年起,我国实施“金”字工程,大规模的、网络化的个人信息数据库开始诞生.公安部、统计部门、中国人民银行等也开始建立单独的、专门的数据库,此外,一个统一的全国巨型公民个人信息数据库也在建设当中.随着诸多政府数据库的建立,公民被政府记录的活动也越来越多,但是个人信息保护方面的法律制度却是严重缺失的,绝大部分政府巨型数据库是靠内部工作规范保护个人隐私权[8].随着国内电子政务的开展,互联网企业的出现,在诸多权利的角逐中,我国最终选择安全主导模式,形成了中国特色的综合法律保护机制,明确了“国家网信部门”承担个人信息保护以及监管的职责.
在立法目的与风险防范问题上,我国既没有采取欧盟严格的风险预防原则,也没有像美国实行更宽松的风险预防.在促进信息产业发展还是保护个人信息权益之间,我国充分考虑个人信息合理利用与相应风险后作出决策,恰恰体现了我国对于个人信息的保护采取了实用主义的路径.
2 个人信息保护路径的异同
通过上文对个人信息保护基本路径的归纳,不难发现不同国家或地区的保护路径差异性很大,主要在于个人信息保护路径的理论基础不同.但仔细分析,实质上个人信息保护路径在原理上有相通之处,皆旨在找到个人信息保护与利用之间的平衡点,并且有对个人信息控制限缩的倾向.
2.1 理论基础不同:“洛克主义”或“康德主义”
当今,个人信息隐私权的保护路径主要建立在2种理论框架上:一是洛克的自由主义;二是康德的自主原则理论.个人信息隐私权的“洛克主义”从实体上确立了个人信息保护的原则,例如个人信息处理过程中的禁止伤害原则.个人信息隐私权的“康德主义”从程序上提供了保护框架,例如“知情-同意”制度,即在个人信息数据获取、使用过程中,个体在对相关事实作出选择与同意之前,要充分尊重个体的知情权.
“洛克主义”侧重于自由的消极面向,强调个人隐私权不受侵犯,私人生活要摆脱公众的干涉.其中,美国是受“洛克主义”影响的典型代表,其隐私保护的特质是严格的个人主义,主张“隔离”“独处”与“秘密”,并通过侵权方面的立法加以落实[9].洛克范式下,隐私是“自我所有权”的客体,隐私所有者以财产形式占有隐私,并排除他人侵犯.因此,美国更加强调隐私权的财产特征,尤其是“私人空间的神圣不可侵犯”[10].
“康德主义”强调人的尊严,注重人格独立、个人自由发展与身份认同,在隐私权方面以这种理论为基础发展出信息自决权,甚至将这一权利上升为宪法性的“基本权利”.例如,德国通过判例的形式将个人信息保护纳入人格尊严的范畴,人格尊严属于一般性的基本权利.人格尊严的保护路径中,无论是人格的形成,还是尊严的赋予,都离不开公共环境,所以这种路径更多地侧重于个人信息自决权与公共利益的平衡.
有学者认为,在新的技术背景下,信息隐私权呈现出“洛克主义”与“康德主义”相融合的趋势[11].在信息时代,个人信息隐私权的概念已经发生了变化,其不再是独处、私密的含义,而是逐渐转化为接触、亲近的概念.这2种哲学理论也有相互转化的趋势,“康德主义”取代“洛克主义”,成为信息隐私权的哲学基础.“洛克主义”强调的财产理论与“康德主义”的个人自决原则相结合,诞生了新时代个人信息隐私权的学说.即将信息隐私理解为个人信息处分的经济行为,在这个认识下,“告知-同意”原则变成社会经济属性上的合理抉择,“即将个体看作将隐私作为商品经营的企业所有者”[12].
2.2 保护目标相同:实现个人信息保护与利用的平衡
“史上最严”的个人数据安全保护规则——欧盟的GDPR,其就个人信息权利方面的规定就有10余项,包括个人信息获取时的知情权、个人信息使用时的许可权、个人信息修改权、个人信息删除权等.欧盟还成立了独立的监管机构——欧洲信息保护监督局,来保障个人信息有关的一系列权利.此外,为了将个人信息权益保护落到实处,欧盟从各个方位对企业提出了高标准的隐私保护管理要求,并对侵害个人信息权益的违法者设置了较高的违法成本.对于违反个人信息权益的罚款起步就是1 000万欧元或企业上一财年全球营业总额的2%,并以较高者为准,可见欧盟对于个人信息的保护十分严厉.但是,经过实践,欧盟意识到过于严厉地保护个人信息权益并不利于信息数据的流通与使用.比如,公共机构持有个人健康数据的敏感信息,这类数据尚未得到共享使用,但是这些数据能够在欧盟产生巨大的价值,若数据不能进行流通就不利于罕见或慢性疾病治疗方法的研究.欧盟对严格的个人信息保护进行了反思,积极回应数据流通与利用的需求,于2020年11月出台《数据治理法案》,该法案在一定程度上意识到GDPR规定过于严格,不利于数据的利用,是对个人信息的保护与利用进行平衡的一种尝试.
美国本着促进经济发展的立场,提倡数据的流通与利用,这一点与欧盟采取严厉的处罚措施来预防数据流动的风险是相反的.但是,这并不意味着美国没有在隐私权保护问题上作出努力.2014年,在美国发布的《大数据:把握机遇,守护价值》(“大数据”白皮书)中指出,虽然大数据改变了世界,但是并没有改变美国人对于保护个人隐私的坚定信仰.美国在联邦层面和州层面立法,共同推动个人信息的保护.比如,在华盛顿州提出的《华盛顿隐私法案》中,赋予了消费者对个人信息的访问权、修改权、删除权等,并对适用群体进行了界定.同样地还有加利福利亚州,在其2020年通过的《加利福利亚州用户隐私法》中,法案不仅赋予了消费者对其个人信息享有的权益,并且对企业收集、处理数据的一系列行为作出了具体的规定.另外,美国联邦贸易委员会(FTC)提出了设计原则、选择原则、透明原则来保护个人信息,并对企业内部的工作和日常事项进行严格的要求.由此看出,美国在促进个人信息利用价值的同时,规定了收集、处理的要求,进而保护个人利益,以实现信息保护与利用的平衡.
我国《个人信息保护法》吸取欧盟的GDPR的经验,对个人信息实行严格的保护,体现在第4章中规定了个人在信息处理活动中的一系列权利.尽管该法第5章及第7章中,课以个人信息处理者诸多义务并对违法主体规定了严格的法律责任,但这并不意味着不保护数据的利用.比如,第6条规定处理个人信息应当具有明确、合理的目的,应当限于实现处理目的的最小范围,不得过度收集个人信息,也显示了对个人信息权益保护与促进数据利用的平衡.此外,第13条中规定了无需取得个人同意的情形,这些情形一般是出于公共利益的考量.这样既有利于紧急情况下数据的合理利用,又能保证这样的决定是在充分考虑个人信息权益的基础上作出的.在对个人信息所要保护权益的重要性进行权衡的过程中,要遵循比例原则,找到个人利益与公共利益的平衡点.在剖析我国《个人信息保护法》的过程中,不难发现,个人信息保护目标是实现个人信息保护与促进数据利用的平衡[13].
2.3 保护倾向相同:对个人信息控制的限缩
美国、欧盟、中国虽然选择了不同的保护路径,但在信息时代,受信息数据自身特征的影响,皆呈现出共同的倾向,即对个人信息控制的限缩.
美国个人信息的保护路径受“洛克主义”的消极自由观念的影响,一向是充分保障个人的自由与权利免受他人的干涉.但是,信息社会面临着个人信息保护与公共安全的博弈,现实是,在重大公共安全面前,个人信息利益的保护往往作出让步.在911恐怖袭击事件后,美国认识到公共安全的重要性比对个人信息保护更加凸出,Regan表示,“911恐怖袭击以后,美国对于信息隐私的讨论有了截然不同的特征——安全担忧超越了隐私问题”[14].2017年,美国总统特朗普签署了34号两院联合决议,进而取消了《保护宽带及其他电信服务客户隐私规定》,这表明美国对公民的个人信息保护的限缩.此外,美国法院在有关个人信息保护的判决上,往往持司法谦抑的态度.法院往往运用比例原则,在紧急情况下只能采取损害最小的手段,一般在保护公共利益的同时,就不得不对个人隐私权进行部分限制.
欧盟的GDPR将保护个人信息上升为基本权利,强调应当绝对保护该项权利,但这意味着相关机构需要花费更多人力和成本去履行更多义务与职责,并付出巨额的执法成本.过去的几年里,欧盟对GDPR中个人信息控制论作出反省,并制定了《数据治理条例》,旨在鼓励相关机构掌握的数据在各成员国之间的分享.数据分享意味着个人掌握和利用数据的能力都是有限的,不管怎样的“分享”都是由数据持有者开启,所以这意味着信息数据的所有者一旦同意信息授权给数据持有者利用,在信息分享过程中,其对数据的控制就会减弱,这也体现了欧盟对个人信息控制限缩的倾向.
近年来,我国审判实践中与个人信息相关的隐私权案件也体现了对个人信息控制限缩的倾向.例如,在“王某某诉深圳市腾讯计算机系统有限公司网络侵权责任纠纷案”中,法院认为“微视APP作为一款短视频社交应用软件,其与事实上的运营主体微信APP都是被告.被告在遵守法律规定的前提下,有权将其研发、运营微信APP所积累的用户关系在其关联产品中合理利用.微视APP收集、使用用户的性别、地区和微信好友关系信息的目的主要是增强其社交分享的产品属性,符合产品定位,故……不侵犯个人信息收集使用的必要性原则”[15].在司法实践中,在以法律为依据的前提下,法官在使用自由裁量的过程中,往往也会为了保护数据商业利用等其他利益,倾向于对个人信息控制进行限缩.
3 个人信息保护路径异同的缘由
从文化背景来看,不同国家或地区有着不同的社会土壤,自然会选择不同的理论作为个人信息保护路径的基础,但并不意味着其在根本原理方面也存在类似的情况.原因在于:一方面,从信息论的视角来看,信息的本质在于利用,其价值在于流通与分享;另一方面,信息隐私具有公共属性,承担着一定的社会功能,进而需要考量个人信息保护与利用的平衡.
3.1 理论基础不同的原因:法律文化差异
各具特色的法律文化铸就了差异有别的价值观念,就个人信息保护方面,人们选择何种保护路径以及在何种程度上保护,皆是其基于不同的法律文化作出的价值选择.
美国崇尚自由主义,美国人的隐私利益是自由,一般将“合理隐私期待”标准作为是否侵权的依据.该标准包括2方面的内容:一是权利人主观上对隐私的保护已经形成了合理的预期;二是此种预期具有“正当性”.比如,欧洲人认为即使他们在公园里脱光了自己的衣服,也不代表自己放弃了隐私,因为这属于控制自己形象的权利.但是,美国人会认为在公众场合的裸体行为从社会一般人的角度来看,必然会减少对隐私利益保护的期待,保护程度也相应减少.在美国,有关隐私的论述着眼于对个人的好处,为了达成保护个性、人际关系中的爱和信任,隐私权可能给某种社会需求的实现带来损害.
欧洲个人信息保护的核心是个人尊严被尊重的权利,这种隐私权的渊源可以追溯到17,18世纪,那时,上层社会的人被处决时,受到的是杀头的惩罚,而下层阶级则是绞死,这导致欧洲人一直为平权做斗争,他们追求个人受到尊重,隐私法便成为调节社会不同阶层人与人之间的手段.此外,尊重个人信息的权利还与欧洲二战时期的纳粹历史有关.在战争中,部分国家通过个人信息对特定群体进行大规模分类与甄别,进而对犹太人进行迫害.在德国人口普查案中,由于此类信息的收集引起了德国惨痛的纳粹记忆,德国法院最终强调个体对于信息处理者享有“信息自决权”.
我国传统文化中,也有关于隐私的相关内容,“亲亲相隐”的规则恰是隐私利益的体现,这种利益可以说是一种家族利益、集体利益.这种隐私价值的形成与我国古代的政治社会结构有关,我国缺乏对个人信息隐私保护的土壤,强调“家国同构”的观念,在这种观念中,隐私利益不归属于个人,而归于家族甚至是集体.我国《个人信息保护法》中也有从公共性或集体权益的角度看待个人信息保护之处,比如设定了“个人信息保护负责人”,并且设立专门的公益诉讼制度.
3.2 保护目标相同的原因:信息隐私承担着社会功能
在工业时代,信息隐私权是在古典自由主义理论的基础上建立起来的,强调个人领域与公共领域的分离.在信息时代,古典自由主义理论无法适应时代的发展,私人与公共之间的界限不再那么清晰.隐私的边界也在不断地发生动态性的变化,不再仅仅是私主体对于公共领域的一种孤立和隐藏.隐私本身就带有强烈的公共特征与公共利益,若是简单地将隐私理解为私人利益,将私人利益划归到公共利益的对立面,将不利于实践的发展.
Simmel[16]认为,隐私是一种“普遍的社会形式”,是一种能够帮助界定社会关系的社会形式.从社会理论视角来看隐私观念,其认为隐私是社会结构的基础要素,隐私也承担着一定的社会功能.有学者指出,最初对于隐私权的定位不是个人权益,而是关注公共利益与社会利益.在法的运行过程中,隐私保护的视角也经历了从一般社会利益到个人利益的转换.信息时代,在新的技术背景的影响下,更应该从社会的视角考量个人信息保护的价值,不仅考察个人可能受到的具体伤害,还应该考察社会层面的潜在伤害,不仅需要顾及法律后果,还要关注社会后果和伦理后果.如在疫情防控过程中,确诊患者的个人位置信息有助于疫情防控机关精准布控,阻止疫情进一步蔓延与扩散,在更大程度上有助于公共安全与利益,实现个人信息的转化价值.正是因为信息隐私承担着社会功能,个人信息保护不能局限于个人利益的保护,还要考虑到公共利益,进而实现个人信息保护与利用平衡的目标.
3.3 保护倾向相同的原因:信息的本质在于利用
就目前实践而言,《个人信息保护法》往往会设置对个人信息保护的一系列预防措施,但是并没有对数据的责任主体设置严格的标准,这就使得对个人信息的监管无法落到实处,个人信息保护规则可能成为“摆设”性规则.比如,被称为“史上最严”的GDPR对Google和Facebook等互联网巨头企业处以高额的罚款,事实上并没有收到预期的效果,甚至不利于相关互联网企业在该地的投资[17].原因在于,信息的本质在于利用,对信息的严格控制不符合信息的基本属性.
“信息论之父”Shannon[18](克劳德·香农)指出:“信息是用来消除随机不确定性的东西”.信息是用来克服变数的,谁的手里掌握着更多的信息,谁就掌握着事实的确定性.信息是用来衡量一个人可以传达什么的东西,信息只有在分享与利用过程中才能消除不确定性,实现信息的价值.
另外,信息的分享与利用为社会带来了更多的积极影响.就人的发展而论,只有当人们充分知晓自己人生的可能性,并自主作出决定,才可以视作自由的选择.从经济社会发展来说,数据是信息时代最重要的生产要素,是现代数字经济的源泉.信息数据还为现代文化的繁荣作出了贡献,随着互联网技术发展日趋成熟,平台为人们的思想交流提供了便利,使得各种思想交流的需求得以释放.实现信息资源共享才能达到信息传播的根本需要[19].信息的互惠分享也可以创造盈余价值.到目前为止,伴随着互联网技术的发展,信息的分享与利用经历了3代的发展:第1代是信息单向发布;第2代是去中心化的信息交互;第3代是网际互联和数据互通.每一次技术的革新和升级都推动了信息盈余的扩大,可见,信息只有在利用的过程中才能创造巨大价值.
4 我国个人信息保护路径的重思
各国家或地区虽受传统文化的影响,保护路径有所差异,但在信息时代,其保护路径也有趋同的倾向.我国以当前人民与社会发展的实际需求为基础,形成了中国特色个人信息保护方式,但还应紧跟信息时代潮流,不断完善我国的个人信息保护路径.
4.1 将公共利益作为审查标准
个人信息同时具有个体性与公共性的属性,这就导致了审查机关面临着保护个人信息还是促进利用的判断,审查机关应力争做到在个人信息保护与数据利用之间寻求平衡.在审查过程中,审查机关可以将公共利益作为保护个人权益还是促进信息利用的标准.比如,在上述“微视APP网络侵权责任纠纷案”中,法院认为微视APP的产品属性主要是增强其社交分享,有利于公共利益,故不侵犯个人信息使用的必要性原则.德国最高人民法院曾在“师评案”中作出过这样的判决:个人信息自决权作为一般人格权,其行使范围应该受到限制,原告的个人信息自决权应该受到被告言论自由权的限制,原告的人格利益应当让步.这样有利于实现整体利益的最大化.公共利益作为一种相容性的利益,在公共利益最大化因素遭受侵害时,同一区域内的其他人利益也会遭受侵害,所以,在个人信息保护领域中需要考虑公共利益的最大化因素.对公共利益的判定可以根据比例原则进行审查.就政府收集个人信息数据而言,如果政府部门获取个人信息的措施不具备充分的公共利益的主张,同时还影响了公民个人信息利用的自由或权益,那就不可以通过审查.
但是随着新兴技术的不断发展,关涉公民的个人信息利益的范围愈加广泛,对公共利益与个人利益之间的权衡会出现分歧,这就需要在政府与个人之间建立良性的协商机制,让信息主体不断投入到与自己利益相关的信息保护规范上进行公共商谈,缓解国家管理与公民权利的矛盾,降低信息主体内部的利益冲突,进而形成对公民个人信息保护的有效模式.
4.2 构建信息数据分享流通机制
信息数据的本质在于利用,分享是数据法律的基础价值.当前,整个数据要素市场都建立在“分享”基础上.这里的“分享”指的是提供给他人使用,有2层含义:一是数据本身是可以交换的,可以有对价的交易,亦可以是商业合作或共享;二是数据无偿地给他人使用,“分享”涵盖了数据开放.重要的是,不管怎样的“分享”,都由数据持有者开启,而不是无序利用.这意味着每个人掌握和利用数据的能力是有限的,需要获取别人的数据,也要建立分享流通的机制.也就是说,“分享”是数据实现价值的最主要方式.
目前数据理论面临着基本矛盾问题,信息数据中包含着人格、财产等利益,有学者提出用“权利束”理论解决数据确权的困境问题,但是信息数据在现实场景中是动态变化的,传统的物权或知识产权的民事权利体系是无法解决信息数据确权困境的,但数据分享流通机制成功打破了数据确权的理论困境.在分享的情况下,私主体得到的利益是暂时的和局部的,并且这种私人利益中包含着公共利益的部分,充分体现了公共利益和私人利益的融合.
既然放弃传统的数据静态确权的路径,建立信息数据分享流通机制,那么这个机制具体如何运行以保护数据权益呢.数据权益的保护主要依靠互联网平台之间建立内部的数据操作规则.例如,在美国,关于数据方面的争端一般不涉及权属方面的论证,而是由司法裁判者根据《1986年计算机欺诈与滥用法》在具体场景中对数据处理行为进行自由裁量.在德国,数据控制者、数据处理者之间一般会达成数据访问规则,第三方若想访问数据,需得到授权.数据控制者或者处理者未遵守其所订立的数据规则的,需要承担相应的责任.数据访问规则在数据的流通市场中发挥了重要的作用,某种程度上可以成为司法机关在疑难案件中裁判的依据.
4.3 将信任原则纳入《个人信息保护法》
不管是隐私权的“洛克主义”还是“康德主义”,都强调信息主体对个人信息享有的占有、控制和处分.而在当下,已经很难将任何信息都加以独占,甚至对于信息流动更是无法进行“控制”.在信息流动和分享的语境下,信息相关主体之间的信任就显得尤为重要,当个人信息所有者在披露个人信息的过程中,就意味着其自愿在他人面前呈现脆弱性,对于获得信息的一方,应该秉持信任的理念,在利用信息的过程中,不得超出信息所有者的合理期望.
如果信任是隐私的核心,那么对隐私侵权的救济应该是对违反信任的救济[20].违反特定的社会信任可以参考违反保密义务的侵权行为理论,在违反保密义务的侵权之诉中,原告需要证明:1)泄露的信息不是微不足道的或者已经广为人知的;2)最初的披露发生在信任的背景之下;3)信息的使用造成了明确的伤害.这样,违法保密义务的侵权行为理论可以为法官解决受害者隐私侵权问题提供一条清晰、实用的道路.
信息时代,互联网和各种数字平台成为了陌生人之间分享隐私细节的独特场所,但是传统的理论没有为这种场域下的信息分享提供足够的保护.当个人披露信息时,就应合理预计到被进一步披露的风险,而信息的接收者将信息传播给更广泛的受众时,个人是没有对信息接收者的索赔权的.但是隐私信任理论认为,在某些情况下,个人可以合理期望信息接收人不会再次传播信息.因此,当第三者进一步对信息进行披露,可能会被认定侵犯隐私或违反保密义务.
在疫情防控工作中,若将信任原则纳入到个人信息保护中,将会筑牢个人信息保护的“防火墙”.国家为了防控疫情的公共安全的需要,向公众搜集个人信息,个人合理期待这些信息没有进一步泄露和商业化使用的风险.一方面,有关部门要明确个人信息披露的范围,避免与疫情防控无关的身份证号、手机号等个人信息的披露,主动删除不具有防疫价值的普通民众的行程等阶段性个人信息.另一方面,当个人信息被第三方进一步披露时,个人可根据信任原则进行索赔,确保既能实现疫情防控的需要,确诊患者又不会被曝光在众目睽睽之下而侵犯到个人权益.
5 结 语
通过上文的比较研究可以发现,美国、欧盟、中国从自身特色出发,结合信息数据的特征,作出了个人信息保护路径的抉择.在这场全球数字经济的竞争中,我国个人信息保护面临着国内外双重压力,亟须博采众长后积极调整创新.在《个人信息保护法》的解释与适用中,确保数据利用向善和数据使用者不会作恶,而并非给个人更多控制权,尤其是不能将对人格利益的保护直接转化对数据使用的控制.否则,就是给人画了一张吃不到的饼,还徒增社会成本.网络和数据已经渗透到整个社会运行中,要让数据和网络在符合社会价值观和人类发展方向的基础上运作发展,真正形成有效的个人信息保护路径.
参考文献
[1] Habermas J.关于欧洲宪法的思考[M]_伍慧萍,朱苗苗,译.上海:人民出版社, 2013
[2]邵晶晶,韩晓峰 国内外数据安全治理现状综述[J] .信息安全研究, 2021.7(10):922- 932
[3]丁晓东.《个人信息保护法》的比较法重思:中国道路与解释原理[J]华东政法大学学报, 2022.25(2):73- 86
[4] James Q.The two western cultures of privacy:Dignity versus liberty[J]. Yale Law Journal,2004.113(6):1151- 1222
[5] FindL aw. Griswold v.Connecticut[OL].[2022-08 -281]https://caselaw. findlaw. com/us- supreme -court/381/479
[6] HMdb. org. Commonwealth of Kentucky v. Jfrey Wasson[OL][2022-08 20]. hts://www. hmdb. org/m. asp?m=179364
[7]靳海婷.美、德个人信息宪法保护路径比较及启示一-以个人信息 的双重属性切入[J]重庆邮电大学学报:社会科学版, 2018,30(4):46- 55 .
[8]孙平政府巨型数据库时代的公民隐私权保护[J].法学, 2007 (7):23- 41
[9] Sloot B.Privacy as virtue:Moving beyond the inpidual in the age of big data[D] .Amsterdam:Intersentia,2017:13- 14
[10] Nissenbaum H.Privacy as contextual integrity[J]. Washington Law Review,2004.79(1):119- 158
[11]余成峰信息隐私权的宪法时刻规范基础与体系重构[J]中外法学, 2021,33(1):32- 56
[12] Richardson J.Law and the Philosophy of Privacy[M]. New York.Routledge.2016:69- 71
[13]申卫星论个人信息保护与利用的平衡[J].中国法律评论, 2021 (5):28- 36
[14] Bygrave L A. Privacy and data protection in an international perspective[J]. Scandinavian Studies in Law,2010,56.165- 200
[15]中国裁判文书网.广东省深圳市中级人民法院(2021 )粤03民终9583号民事判决书[EB/OL].[2022-08- 30] https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html
[16] Simmel G.The Sociology of Georg Simmel[M].New York:Free Press,1950
[17]梅夏英在分享和控制之间数据保护的私法局限和公共秩序构建[J]中外法学, 2019,31(4):845- 870
[18] Shannon C E.A mathematical theory of communication[J].The Bell System Technical Journal, 1984,27(3):379- 423
[19]杨贝.个人信息保护进路的伦理审视[J]法商研究, 2021 ,38(6):31- 45
[20] Waldman A E .Privacy as trust: Sharing personal information in a networked world[J]. University of Miami Law Review,2015.69(3):559- 630