李莎莎
(华侨大学法学院,福建泉州362021)
[关键字]同意规则;场景与风险;个人信息;民法典
当前,中国经济正处于转型升级的关键时期,数字经济的发展对中国实现创新增长、推动高质量发展具有重要意义[1]。而大批量的个人信息被收集、处理、使用、共享等,个人生活被计算机进行虚拟自画像勾勒,信息技术为企业创造巨大财富价值的同时,个人信息隐私也遭受巨大冲击,信息泄露事件层出不穷。比起大数据红利,目前民众感受更深的似乎是隐私危机,因而要求确立个人信息保护制度的呼声越来越高。
我国个人信息保护法律法规散见于不同部门发布的规范性文件,公法率先担负起保护公民个人信息的法律职责,主要体现在《刑法修正案(九)》第十七条、《网络安全法》第二十二、三十七条、第四十一至四十四条、第六十四条、《电子商务法(尚未生效)》第五、二十三、二十五、三十二、七十九、八十七条。相比之下,私法制度在个人信息法律保护领域的步伐则相对缓慢[2],个人信息保护的私法请求权基础见于《民法总则》第一百一十一条、《侵权责任法》第三十六条、《消费者权益保护法》第十四、二十九、五十、五十六条。在司法实务中,侵犯个人信息仍适用传统的具体人格权救济途径。这一方面源于个人信息法律性质的不确定,另一方面源于大批量个人信息泄露带来的危险呈抽象状态,只有危险具体化时个人才愿拿起法律武器,比如行为具体化为民事上的隐私侵权(不断电话骚扰推销),或者刑事上的诈骗、胁迫。因此,大数据时代下的个人信息安全保障的最佳途径仍是公法保护,私法领域的个人信息保护应注重个人信息保护和利用的平衡。具体说来,公法领域改革重点在于统一保护法律规范的出台,私法领域改革重在重塑同意规则,针对个人信息敏感程度的不同,将个人信息类型化区别保护。
目前除了美国,世界各国的信息处理在立法上都坚持同意规则的适用,我国《消费者权益保护法》第二十九条、《网络安全法》第四十一条均有“收集、使用个人信息应当遵循……并经消费者同意”的规定,笔者将这种传统个人信息保护路径称为“完全同意论”。值得注意的是,“完全同意论”是“小数据”时代的产物,在大数据时代已显露出严重弊端。
从理论层面来看,同意规则之所以成为个人信息处理中的“帝王条款”乃基于个人信息自决理论。信息自决理论是指,人们有权自由决定他人如何获取个人信息。同隐私权一样,信息自决权应受社会限制。一方面表现在自决内容的限制,即个人信息是人与社会的连接方式,应适当予以披露,这更是信誉经济时代的必然号召。另一方面,大数据时代下个人信息本身难以控制,数据化的个人信息已脱离本人,它不仅涉及数据主体的利益,也牵涉企业的智慧财富,个人信息与企业服务之间存在利益交换,因此也不宜片面强调个人信息自决。
首先,大数据时代的同意真实性难以保证。简单说来,用户协议冗长且晦涩,即使明白权利义务关系但为获取服务也只能选择同意。其次,同意规则的践行需投入大量成本。数据企业需投入成本设计用户协议,对初始授权之外的事项将承担无休止的告知义务并另获授权。还应注意的是,信息收集者和处理者并不一定重合,信息处理者如何获得后续授权也是难题。对于个人来讲,一方面成本支出最终要由用户承担,另一方面,保护个人信息是为保障个人“独处的自由”和“精神上的安宁”,若信息处理所涉事项都需要主体同意将会为用户带来更多侵扰,这种无休止的“同意提示”可能比信息泄露本身带来的侵扰更大[3]。但学者田野认为,成本和负担的增加若有利于维护人格尊严则是必要且应当承受的,而同意规则的类型化可解决信息主体无休止的“同意”机械操作负担[4]。最后,从司法实务来看,同意规则面临必要性挑战。学者任龙龙认为,大数据时代的隐私危机是一种潜在的担忧,而非直接风险[5]。这正如笔者前述所言,个人信息的私法保护不需另辟蹊径,适用人格权救济即可解决,而大批量的个人信息泄露则需要公法规制以保障信息安全。而田野认为,对个人信息权益的损害不应作狭隘理解,除了隐私泄露、名誉损害、基因歧视等明显损害,信息处理未经本人同意就使人丧失自我决定的机会,这本身就是对人格尊严的损害[6]。这种反驳本身是抽象的,它从人类最高的善及核心价值出发,认定同意规则是个人人格完整的必要部分,这是在不加论证的情况下预先设定了一个至善至美的理想状态,是在隐藏和回避问题,这并非解决问题之道[7]。大数据时代下不能始终坚持抽象原则上的价值共识,而应面对现实,承认分歧,并试图理解产生该分歧的原因。
综上,对于是否继续适用同意规则,目前学术界有“同意规则抛弃论”和“同意规则修正论”两种立场。“同意规则抛弃论”强调同意不应是个人信息处理的正当性基础,主张完全抛弃同意规则的适用[8]。“同意规则修正论”认为同意原则在大数据时代已显现其弊端,但并不能否认同意规则的正当性,同意规则的修正才是正确的个人信息保护思路。而“同意规则修正论”又细分为两种观点,一种观点认为所有个人信息收集、处理均需同意,但同意的程度应类型化为明示、默示同意、有效同意等,另一种观点主张应将个人信息类型化,有些个人信息应适用同意规则,有些则不予适用。面对两种论点的博弈,作为个人信息保护的基石,目前同意规则是各国共识性认知并为各国立法普遍采纳,要撼动其基础性地位必须予以谨慎。再者,大数据、人工智能、生物技术不断升温的当下,有必要对科技发展作冷静思考,尤其是近段时间的基因编辑事件,一场人伦与科技的冲撞使我们更加明确不能为迎合技术发展需求而轻易放弃法的基本价值操守。“同意规则抛弃论”虽一阵见血地指出了同意规则面临的困境,但同意规则废除后的制度建构可能面临更多问题,以“宽进严出+删除权”的个人信息保护策略为例[9],同意规则不予适用情形下,大量个人信息被收集、处理,仅仅通过删除权来保护个人信息显然不合适。在没有一套完善的体系化保护路径之前,应走改良与革新之路而非直接推翻原有制度。在数据治理或个人信息保护过程中,我们应坚持以自主为核心价值,以个人信息保护和利用的平衡为指导理念,针对大数据时代的特殊性,对个人信息类型化区分适用同意规则。对此,与同意规则相对应的“场景与风险理念”值得借鉴。
美国联邦贸易委员会于2012 年最早提出场景理念,其认为不符合场景的数据行为均应赋予消费者选择权,而以下两种情况必须取得明确同意:其一,数据的使用与数据收集时声称的方式有本质上的区别;其二,敏感数据的收集[10]。而后《消费者隐私权利法案(草案)》对场景理念进行了细化,并将“尊重场景”(respect for context)视为原则之一。数据处理者以不符合场景的方式处理数据时,应对数据隐私风险进行评估并且向信息主体透明化处理过程、保证主体对信息的控制,比如以一种合理方式通知个人并且赋予其降低隐私风险的权利。场景由信息主体与控制者之间的交互关系具体判定,场景下的数据行为应当符合理性人的合理期待[11]。影响用户接受程度或个人信息敏感程度的因素统称为“信息场景”(data context)或“场景”(context)[12],场景应具体判断。可以说,美国法上的场景与风险理念既避免了信息主体审阅用户、隐私协议的困难,也降低了企业运营成本、提高企业的效率,有利于数据信息“石油”价值开发,但因场景风险分析极具模糊性而缺少对个人数据的保护,因此实践中也多遭诟病。另外,美国数据行为不以同意为前提也源于其企业自身已形成系统行业规范,要在中国直接适用美国模式不具现实意义。我国个人信息立法与欧盟的价值取向相同,都强调信息主体的同意,但欧盟在同意规则适用之下引入了场景与风险理念。欧盟《一般数据保护条例》(简称GDPR)第二十五条第1 款规定“数据控制者在处理……应考虑发展现状、执行成本、处理的性质、范围、内容和目的以及处理给个人的权利和自由造成的各种可能性与严重程度的风险”[13],该款是场景与风险理念的典型应用。但其场景风险评估义务是在同意基础上进行,更加严格设定同意的条件,加强同意规则的适用。可见在法律实施过程中,欧盟偏向个人数据保护,美国偏向数据的利用,都有其自身的问题。然而在探索应对传统数据信息保护困境的新思路时,两者都认同场景与风险理念。因此,在个人信息保护路径选择上,要实现数据红利与个人信息安全的利益平衡,我国个人信息保护立法思路应当有所转变,综合运用同意规则与场景风险理念,限缩“同意规则”的适用范围,对于影响个人核心利益的数据行为才适用同意规制,其他一般数据行为原则上不需要同意,而核心利益的认定应具体到个人信息的类型化上。
我国《信息安全技术公共及商用服务信息系统个人信息保护指南》(简称《指南》)将个人信息类型化为一般个人信息和个人敏感信息,其虽不是具有强制性效力的法律法规,但因其首次类型化个人信息而受到学者们的赞赏。另在场景与风险理念指引下,欧盟GDPR 和美国《消费者隐私权利法案(草案)》均有对个人信息进行敏感性区分之意,GDPR对性质上与基本权利和自由相关的极其敏感的个人数据采取更高层次的保护[14],《消费者隐私权利法案(草案)》的敏感性体现在可能给个人带来隐私风险的数据行为,而隐私风险指个人数据本身或与其他相关个人数据信息相关联时,对个人造成情绪困扰或人身、财产、就业或其他伤害的可能性[15]。可见一般个人信息与敏感个人信息的区分已被广泛接受,笔者也认同此种类型划分,但在具体范围界定上与《指南》的规定有所不同。
《指南》将“敏感信息”界定为“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息”的规定失之过宽,任何个人信息的泄露都有可能对该信息主体造成影响。对此,有学者将个人敏感信息界定为“一旦泄露或滥用,极易危及人身、财产安全或导致人格尊严受到损害、歧视性待遇的个人信息”[16]。疑问在于可对敏感个人信息下定义,但很难断定哪些个人信息一定属于敏感个人信息的范畴。笔者认为大可不必恼于此,类比人格权发展史,个人信息权益内容也应是不断发展变化的,个人敏感信息的判定不宜进行概括列举,诚如张新宝教授所言,“个人敏感隐私信息是一个动态范围,还应结合当下科技发展水平、社会发展动态等灵活修正其列举类型”[17]。在信息处理过程中的个人敏感信息判定适用“列举+兜底规范”的方式约束,对于数据企业、司法裁判者而言,个人信息性质的认定仍需结合场景具体分析风险。个人敏感信息包括但不限于可能引发歧视的健康信息、身份证号码、基因信息、生物特征信息、性取向、性生活、金融信息(收入和财产状况)、账户密码信息、通讯信息、精确地理位置,若其他个人信息符合信息主体对敏感性的合理期待时仍应判定为敏感信息。一言以蔽之,一般个人信息指不具有敏感性的个人信息。
《民法总则》第一百一十一条规定自然人享有个人信息受保护的权利,强调数据信息的依法取得并确保数据行为安全,但并未明确“信息主体同意为数据行为的前提”,未强调个人对数据的控制权、明确个人信息的性质及具体保护方式,因此有必要在民法典中予以明确。但目前针对人格权是否独立成编存在争议。基于人格权的消极防御性,梁慧星教授反对人格权独立成编,他认为人格权侧重点在于保护和救济,故在民事法律中,应侧重侵权法的修缮而非权利的具体化[18]。王利明教授支持人格权独立成编,他认为人格权在新时代下呈现消极防御和积极利用的双重功能,要提高人格权保护水平不能仅通过“人格权列举+侵权责任”的救济途径,还应详细规定具体人格权的权能,明确具有权利的行使,而侵权法明显不能囊括[19]。
尽管争论颇多,全国人大常委会法工委最终仍起草并公布《人格权(编)草案》(简称《草案》)并征求意见。《草案》系统规定了人格权的行使及保护方法,并在第六章将隐私权和个人信息并列,在分别作概念区分下并未明确二者的界限,似乎有个人信息附庸于隐私权的嫌疑。其中第八百一十一条第2 款是对隐私权的界定,第八百一十二条第(四)项是侵犯隐私权的行为之一,但私人信息与个人信息暧昧不清,敏感个人信息在概念上可与隐私权内容重合。也就是说,《草案》选择隐私权与个人信息分别保护,但事实上徒增概念上的混乱。因此有学者建议在该编中单独制定“个人信息权”一章,系统规定个人信息权的概念、基本原则、权利内容与限制,这样才能适应信息社会对个人信息权保护的基本需求[20]。确立“个人信息权”并非一定价值正确,纵观各国立法也并未有“个人信息权”(personal information right 或personal date right)的表述,在未对数据信息治理进行系统审视前,我们并不能从民事法律规范中明确到底谁享有对信息或数据的权利,因此个人信息保护重要的不是赋权,而是在信息动态化处理中明确信息主体对其个人信息享有自决权和知情权,而随信息时代的发展自决权应受到一定限制,这种限制建立在个人信息类型化上,一般个人信息应强调利用,敏感个人信息则仍应赋予个人自决权。
纵观《草案》关于个人信息的规定,从第八百一十三条到八百一十七条共计5 条,而其中第八百一十三条第1 款“自然人的个人信息受法律保护”是对《民法总则》第一百一十一条的重述,第2 款对个人信息的概念界定照搬《网络安全法》第七十六条第5项的规定;第八百一十四条与《网络安全法》第二十二条第3 款、第四十一第1 款重合;第八百一十五条规定信息主体的查阅、抄录、复制权、删除权,其关于删除权的规定与《网络安全法》第四十三条重合,但在此基础上细化了删除权适用情形;第816 条新规定了个人信息的合理使用;第817 条是《网络安全法》第42 条的重复。可见作为民事基本法性质的《人格权(编)》对个人信息的规定基本都仿照具有公法性质的《网络安全法》,更多关注于个人信息安全、从公法的角度体现其管制功能,并未体现其私法平等主体之间的权利义务关系,规则设计并不严谨。民事基本法中对个人信息的规定应重在规范个人信息处理过程中信息主体与数据企业的权利与义务,应明确个人信息具有消极防御和积极利用权能,消极防御重在为信息主体设定义务,积极利用重在赋予双方对等权利和义务,同时也应为数据的宏观治理保留余地。
民事基本法的目的之一即是平衡平等主体之间的利益,通过个人信息类型化适用同意规则是民事基本法平衡数据企业与信息主体利益、兼顾信息利用与信息保护的可靠手段。个人敏感信息因涉及到个人核心利益,应强调个人信息自决权,个人信息的处理应事先取得信息主体的同意,而一般个人信息应侧重于商业化利用,针对信息利用设定基本要件,而并不需事先同意。正如哈里?韦斯特曼所言,“至少在私法的领域中,法律的目的只在于:以赋予特定利益优先地位,而他种利益相对必须作一定程度退让的方式,来规整个人或社会团体之间可能发生,并且已经被类型化的利益冲突”[21]。
针对个人信息类型化适用同意规则在民法典中的具体安排,应先将个人信息类型化为一般个人信息与敏感个人信息,敏感个人信息采用前述“列举+兜底规范”模式界定,“个人敏感信息为一旦泄露或滥用,极易危及人身、财产安全或导致人格尊严受到损害、歧视性待遇的个人信息,包括但不限于健康信息、身份证号码、基因信息、生物特征信息、性取向、性生活、金融信息(收入和财产状况)、账户密码信息、通讯信息、精确地理位置。其他个人信息如符合信息主体的合理期待的,仍应判定为敏感信息。”一般个人信息不需要定义,除个人敏感信息之外其他均为一般个人信息。对同意规制的类型化适用可通过修改《草案》第814 条第1 款,在“征得被收集者同意”后增加“不具敏感性的一般个人信息除外”。
数字经济时代,大数据红利与信息安全的利益平衡是现实需求,而同意规则的适用并非利益平衡的工具,它在限制信息商业化利用的同时并未起到保障信息安全的作用。在欧美场景与风险的理念引导下,个人信息类型化适用同意规则将有助于实现个人、企业、国家三者之间的利益平衡。但应当注意的是,无论是一般个人信息还是敏感个人信息,信息处理过中出现隐私风险等可能损害信息主体利益的情形时,数据企业应当保证信息主体的知情选择权,由信息主体自主决定信息是否可继续处理或采取何种防范措施。再者,大数据分析技术要求数据企业本身不断提高风险分析能力,无论采用何种保护手段都需要数据企业主动参与进来,数据企业应建立风险评估系统,构建激励相容的数据治理之道。再者,无论对个人信息实行何种保护方式,都应在各个法律部门综合框架下设定保护机制,试图通过某个部门法实行对个人信息的全面保护并不现实,未来的个人信息保护制度应与数据治理相结合,在综合数据治理中谈论个人信息保护。●