高 莉
内容提要 随着大数据技术的发展和应用,有关个人数据“隐私已死”的论调一度甚嚣尘上。大数据立法缺失、传统隐私法律保护不足等加剧了大数据领域数据隐私与商业创新的利益冲突。大数据专门立法或现行法的适用应以尊重语境、信息公平、权利属性等理论为基础,发掘数据隐私与商业创新的内在一致性和协调性。利用准财产权概念化、结构化个人数据权利等方式保护数据利益,将更有利于平衡数据隐私和商业创新的冲突。
大数据至今仍是一个模糊概念。就大数据的特征而言,2001 年由Doug Laney 提出不同以往的“3Vs”特征,即体积(Volume,即数据的大小和规模)、速度(Velocity,即数据生成和处理的速度)和变化(Variety,即分析数据的不同形式和范围)[1]Doug Laney. 3D Data Management: Controlling Data Volume, Velocity, and Variety[OB/OL]. http://blogs.gartner.com/doug-laney/files,2001-02-06.。这三点特征专注于计算,即对数据进行排序和分析,处理日益庞大的数据集及其所带来的复杂性问题。最近,又有人提出了第四个“V”(Veracity),即数据的准确性,意指用户输入错误、冗余数据或数据的损坏不应造成对个人数据总体价值的影响。基于上述特征,可以说“大数据已为现实打开了一个全新的视角,大数据模式暗示着掌握世界的新方式”[2]Viktor Mayer Schonberger, Kenneth N Cukier, Big Data: A Revolution That Will Transforming How We Live, Work, and Think,Boston:Houghton,2013.。与此同时,我们也应当意识到大数据所带来的新的风险和挑战:大数据应用必然需要海量数据,其中包含大量个人信息甚至个人敏感信息,无论出于安全或便利考虑,隐私保护仍然十分必要,但传统隐私法对数据隐私的过度保护会使隐私利益与商业利益根本对立起来,呈现出博弈和抉择的紧张关系,这不利于大数据发展应用及国家大数据战略的实施。面对大数据的复杂性,数据隐私保护与商业创新之间如何平衡是当前亟待深入研究的重要课题。
传统法律将隐私权视为人格权。美国一直在隐私法框架下对个人信息进行保护,而我国《民法总则》第111 条延续第110 条“一般人格权”条款、第111 条“具体人格权”条款,规定了个人信息权利[1]张新宝:《我国个人信息保护法立法主要矛盾研讨》,〔长春〕《吉林大学社会科学学报》2018年第5期。。明确对个人信息的保护,对于保护公民的人格尊严,使公民免受非法侵扰,维护正常的社会秩序具有现实意义[2]张新宝:《中华人民共和国民法总则释义》,〔北京〕中国人民大学出版社2017 年版,第220页。。然而,不可否认的是,在大数据时代,传统隐私模式对个人数据信息的保护也存在局限性,主要表现如下:
第一,知情同意规则存在适用局限性。有一种观点认为,由于大数据和其他信息技术的存在,通知、选择和用途限制等基本的隐私实践已不符合实际。例如“物联网”,实质上就是一种不断增长的智能连接设备网络,其依赖于数据的捕获、共享和使用,包括个人身份数据和任何时间的行为。若每次进行数据收集时都提供通知和选择是不切实际的[3]参见〔美〕马克·罗滕伯格、茱莉亚·霍维兹、杰拉米·斯科特主编:《无处安放的互联网隐私》,苗淼译,〔北京〕中国人民大学出版社2017年版,第170页。。在数据驱动型经济社会中,知情同意规则之所以存在适用局限性,其根源在于:技术层面上,大数据是数据自动化采集技术发展的必然结果。大数据技术通过数字网络将传感器、其他设备以及个人连接起来,使数据收集呈现自动化、隐匿性特征,增加了知情同意规则的适用难度;再者,大数据的技术力量来自数据集的二次利用,从而产生无限多样的对未来情势的预判和见解,但数据共享和流通过程中数据集将在多大范围内流转并不确定,这极大地阻滞了知情同意规则的适用。规范层面上,依据我国《网络安全法》第41 条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《民法典各分编(草案)》第814 条规定,收集、使用个人信息应当征得被收集者同意。从上述法条来看,这些规定过于笼统,且未明确知情同意规则的适用范围和适用方式,致使个人信息控制权被虚置。
第二,“透明度悖论”导致隐私监管失灵。透明度在隐私监管规则中一直占有重要地位。透明度在公开和保密之间形成张力,大数据应用需要透明度加以阐明,透明度的提高有助于人们减少对个人信息被不当使用的担忧,进而在个人与政府、企业之间构筑数据利用的信任基础。有研究者提出大数据的“透明悖论”[4]Nei M.Richards,JonathanH.King,“Three Paradoxes of Big Data”,Stanford Law Review Online,2013,66,pp.41-46.,即某些机构为了执行任务或提供服务,会隐匿其收集的数据及其行为。那么如何发现数据及其收集行为并要求他们实现透明度呢?大数据的威力很大程度上源于数据集的二次利用,以产生新的预测和推论。在政府问责制中,透明度确实发挥了积极作用,但在大数据背景下的隐私监管极其困难,因为数据收集和使用通常都是迅速而秘密地进行的,在此过程中的行为通常由技术加以控制,这些新特点无疑给目前的隐私监管带来新的挑战。
第三,再识别技术致使匿名化规制失效。在互联网时代,身份可以指特定的人或与特定的人关联的信息。身份认同是通过基本权利来定义的,保护隐私尤其是信息隐私,通过赋予个人决定自己意愿的权利,有助于保护身份。然而在大数据技术的背景下,隐私保护并不充分,大数据分析可以让管控变得温和,甚至在个人自决权行使之前身份就已被掌握甚至披露。正如保罗·奥姆(Paul Ohm)指出的那样,“科学家已经证明他们可以经常对匿名数据中隐藏的个人信息进行再识别和重新匿名处理,其容易程度令人吃惊”。大数据所带来的便利性令人惊异,但政府和企业不仅需要提取大量个人信息,在某些情况下(如打击恐怖主义)还需要识别个人身份,并不可避免地共享信息。随着越来越多的政府、企业或其他机构应用大数据技术,人们的身份保护将受到越来越多的挑战,这也是令人担忧的。
数据保护模式的选择一定程度上取决于所处的时代背景。在大数据时代,通过数字网络把人与传感器、数字设备连接起来,访问和传送数据的能力得到极大释放,海量信息被悄无声息地采集、传播、分析、共享,大数据技术对隐私侵入式的影响日愈凸显。面对大数据时代隐私困境,“隐私已死”论调一度在美国占据主导地位,特别是存在于技术中心主义学者或企业家的主张中。2012年2月奥巴马在白宫公布了《消费者隐私权法案》,该法案提出七项原则,其中第三项原则为“尊重语境”,即“公司收集、使用并披露消费者数据的方式应与消费者提供数据的语境一致”。这是一条富有创新性的原则,但“语境”一词过于模糊,为该原则的解释和适用带来障碍。在“语境”的无数解释版本中,社会领域语境尤其引人关注,该解释认为语境意指在由不同社会空间所构成的整个社会范围内规范管理信息流动,涵盖实践、功能、目标、制度结构、价值观和行为规范等方方面面,在此基础上再进一步建立分类规则。社会领域语境说延伸出“语境完整理论”,所谓“语境完整”就是以整个社会领域为研究范畴,从大数据功能和目标出发,考量大数据实践中蕴含的伦理价值观和多元化利益,以此形成信息合理流动的制度规范[1]参见〔美〕马克·罗滕伯格、茱莉亚·霍维兹、杰拉米·斯科特主编:《无处安放的互联网隐私》,苗淼译,〔北京〕中国人民大学出版社2017年版,第128-130页。。尊重语境为数据隐私保护提供了一个全新的视角。以尊重语境为理论基础,构建数据隐私与商业创新之间的平衡机制,需要把握以下两点:
第一,尊重语境蕴藏社会价值评估机制。尊重语境以信息流动的恰当性为基本原则,即数据流动应符合合理信息规范。根据信息流动的语境模型,可将关键参数限定为:行为因素、信息类别和传递原则“三要素”,三者相互独立。当行为或实践符合信息规范时,就遵循了尊重语境原则。反之,若行为或实践干扰了固有的信息流动规范,使隐私与预期产生矛盾,就违反了尊重语境原则。尊重语境为隐私预期提供了初步诊断的工具,蕴含了对已存在信息流动与新型信息流动进行评估和比较的框架:首先,考量受影响方的利益,即对其利益、所承担的风险和成本进行评估;其次,考量一般道德和政治价值,超越了可以优化整体效益的简单权衡取舍,全面考察成本和效益的合理分配;最后,考量特定语境的价值观、目的和用途,如隐私与安全、隐私与利润等各类矛盾的比较和平衡。尊重语境打破了将隐私与商业利益、隐私与国家安全等对立起来的二分法,使服务对象从个人信息主体的利益扩展到涵盖社会目的和价值等方面。
第二,尊重语境契合知识产权利益平衡原理。在大数据生态体系中,“面对利益的多元化及其冲突化,需要借助立法的利益衡量实现对利益关系的调节,使得各个利益主体能够各得其所、各安其位。”[2]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,〔北京〕《中国法学》2015年第3期。尊重语境就是承认数据隐私保护中蕴藏多元利益主体且利益关联和交互,数据隐私保护与数据利用之间不宜设置鸿沟甚至制造对立。“语境”不仅包括客观成分,还包括个人对其信息利用的信赖程度和认知价值等主观变量,一定的透明度对于实现个人数据保护与创新利用的双重语境至关重要。尊重语境还需要对动态社会和文化规范进行鉴别[1]参见〔美〕马克·罗滕伯格、茱莉亚·霍维兹、杰拉米·斯科特主编:《无处安放的互联网隐私》,苗淼译,〔北京〕中国人民大学出版社2017年版,第174页。。某种意义上说,知识产权是以私权为手段,换取信息披露和公开,从而促进社会知识增殖,满足不特定公众接近新知识的渴求,最终达到公共利益保护之目的。“私权秉性是知识产权法的起点,但是维护知识产权制度最终惠及公众的制度价值,是其最终归宿。”[2]冯晓青、周贺微:《知识产权的公共利益价值取向研究》,〔南京〕《学海》2019年第1期。私权保护和增进社会福祉皆是知识产权的价值蕴含。知识产权强保护与弱保护之间的博弈将一直存在而不会消弭,这便是知识产权制度中“公共领域保留”为社会正义发挥效用的重要砝码。知识产权保护范围扩张与否取决于私权法定与公共领域保留的相互协调,取决于上游创新与下游创新激励的动态平衡。与之相类似,在数据驱动型经济中,数据流通、数据共享、数据交易与数据隐私同样重要,需要获得法律正当性支持。从关系理论角度看,数据隐私、数据流通、数据共享、数据交易之间存在法律、经济等方面的交叉,以及私权与公共利益的交互。个人数据隐私采用隐私权方法,适用隐私法保护具有法制传统,更易逻辑自洽,但隐私法过渡介入,尤其是在那些个人数据是否属于隐私范畴不能自明的情况下,必然损害数据流通交易及大数据创新发展等利益。这里既涉及私权,又涉及通过大数据创新、应用最终惠及公众的公共利益。对于客户数据保护,若单独适用隐私法将切断数据保护与信息自决权之间的联系,削弱凝结在数据之上的默认的财产性权利;同时公共利益保护也不宜泛化,以防止其挤占私权空间。
综上所述,尊重语境实质上是兼顾多元化利益,发现个人隐私利益与大数据创新实践的交汇点,让大数据创新实践的结果最终惠及公众,形成利益多赢的良好局面,这与知识产权利益平衡的价值内核相契合。但数据保护是否能归入知识产权范畴,还需要对数据性质进行全面分析。就目前而言,大数据时代对个人数据信息适用隐私权保护是极其有限的,即便是针对传统的数据库,隐私权保护也显得力有未逮。数据库保护主要是为避免数据所有人不受第三方提取、再次利用整个或大部分数据库而产生的不利影响,而第三方“非实质性”提取或利用数据库是被允许的。大数据领域中个人数据信息是非静止性的,它处于不断增容和变化中,并从数量和质量两个方面延展,汇集成庞大的数据生态系统。不可否认,在数据驱动型经济中,个人数据挖掘、大数据分析、物联网、人工智能等都不同程度地推动个人数据从“静止单元”汇聚成“生态系统”。在此情形下,企业利用或二次利用数据集时不仅需要投入人力、物力等成本,还会运用不同算法、加密技术等使数据分析更具决策应用价值,因而客户数据便具有了“知识”基础,不再是单一信息。这为个人数据信息可以运用知识产权保护提供了一定的条件依据。
根据经济学原理,信息并非稀缺资源,而是一种非竞争性财产。大数据时代,信息传递变得轻而易举,“电子地球村的思想几乎快要成为现实”[3]〔澳〕彼得·德霍斯:《知识财产法哲学》,周林译,〔北京〕商务印书馆2017年版,第242页。。关于信息公平,传统哲学主要选择在契约公平、功利主义公平、分配结果公平等理论框架中探索其价值和意义。本文将结合大数据时代的新特点,从以下三个维度探索信息公平的价值蕴含:
第一,信息是一项基本利益。在大数据生态系统中,数据信息的挖掘、收集、传递、流通和共享等过程蕴藏着计划安排下的理性思考和决策。依据罗尔斯的利益理论,利益是对理性期望的满足,基本利益就是那些对实现生活计划有总体作用的东西[4]〔美〕约翰·罗尔斯:《正义论》1972年版,第93页。转引自〔德〕彼得·德霍斯:《知识财产法哲学》,周林译,〔北京〕商务印书馆2017年版,第245页。。从罗尔斯的主张可以窥见,信息之所以纳入人类基本利益,就是基于信息对于计划实现的作用。信息是基本利益,一方面公民需要足够信息以使基本公平原则在日常生活中发挥效用,个人信息保护也是个人实现公平权利的题中应有之义。另一方面,从某种意义上说,政府、企业充分接触数据信息是保障个体实现平等权利的基础。因为面对大数据分析的自主性和自决性,数据信息的不完美会直接导致数据分析的偏差,影响决策的公平性。
第二,信息分配是相对公平的实现。有人运用罗尔斯的分配公平理论对抽象物(如信息、知识)分配问题进行探讨[1]参见〔澳〕彼得·德霍斯:《知识财产法哲学》,周林译,〔北京〕商务印书馆2017年版,第248-249页。。其实,罗尔斯并未将信息分配绝对化,而是明确信息财产化具有工具性价值,并承认信息分配的差异化存在。以知识产权为例,从激励创新角度出发,允许对社会有价值的知识产品为某些人所控制而排除他人获得,以此激励占有人生产出更多对社会有用的知识产品。这是一种默认的不平等,体现了差异化原则。差异化原则应当有所限制,否则会增加信息流通的障碍,因此知识产权法律在创设私权的同时,也确立了信息披露、保护期限等制度,以平衡信息分配中的不平等关系。若将上述原理运用于大数据产业中的数据信息分配问题,我们不难发现,大范围的信息财产化发展和无障碍信息流通并不利于大数据产业的发展和创新,与信息分配的相对公平原则背道而驰。
第三,信息公平是重要的全球化议题。2018年5月,被称为“史上最严”个人信息保护专门立法——欧盟《通用数据保护条例》(GDPR)实施,预示着欧盟对数据利益全球影响力的扩张,也由此掀起了有关个人信息保护和数据流通国际化的大讨论。“大数据”是未来国际贸易竞争中的重要元素已基本成为人们的共识。凭借着互联网的时空压缩技术,个人信息能够近乎零成本地跨境流动,这为主权国家的管辖和监管带来了新的挑战。那么,数字化信息是否有必要纳入全球化的监管体系中?笔者认为,可以借助有关知识产权的全球信息安全理论予以解读:知识财产的全球保护计划的代价是,给机会主义者以从事直接的非生产性逐利活动的机会。实力雄厚的国家或跨国公司可能会通过劝说一个超国家机构提高已经存在的保护程度,以此来提高自己的收益。因此,知识产权被赋予了地域性特征。关于大数据保护和监管是否全球化的问题,就目前而言,答案应当是否定的。但值得一提的是,数据保护在保护主权和赋予地域性特征的同时,应当关注法律框架及制度的国际协调性,以免影响本国数据的跨境流通和国际利益。
第一,财产权之挑战
与信息隐私权相关联,个人数据产权化观点也备受争议。“资源”作为财产权客体,要求具有竞争性、排他性和稀缺性。个人数据信息通常被认为是一种公共产品,“排斥”往往过于昂贵,又由于生产成本低,信息本身就拥有了“内在非竞争性”。但在数据驱动型经济中,数据挖掘、聚合、分析都存在技术因素和生产成本,由此带来的市场竞争优势使排他性成为现实,甚至数据控制者会通过技术基础设施、应用加密技术等来阻止对个人数据的访问。法律和经济方面的研究证实,如果立法认可并没有赋予个人数据事实上的财产权,它们将以一种与排除其他资源的能力相称的方式分配。概而言之,如果个人数据赋予传统财产权将面临诸多问题:首先,个人数据中人格利益的“商品化”困境。个人数据与个人身份有关,传播或泄露个人数据信息特别是“敏感数据”会给个体带来痛苦,因此必须关照道德利益,而道德利益却难以“商品化”。其次,个人数据的“不可控性”,这与大数据特征有关。“大数据”源于数据生产、收集的能力和速度的大幅提升[2]〔美〕麦肯锡全球研究院(MGI):《大数据:创新、竞争和生产力的下一个新领域》,https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/big-data-the-next-frontier-for-innovation,2011.。大数据技术使访问、收集、传送、分享数据的能力极大释放,数据信息流动甚至跨境流动趋向畅通无阻,不易控制。最后,物权对象边界难以确定。王泽鉴先生将物权客体——物定义为“人的身体之外,能为人力所支配,具有独立性,能满足人类社会生活需要的有体物及自然力”[1]王泽鉴:《民法物权》,〔北京〕中国政法大学出版社2001年版,第52 页。。而在大数据时代,数据无形性、动态性、传播特殊性等无法满足物权特定和公示公信的基本要求,数据集二次利用也使其估价变得愈发困难。
第二,准财产权之证成
“准财产权”概念最早运用于与葬礼有关的权利义务中,早期普通法并未赋予对尸体的产权或所有权,但基于尸体免受侵犯的考虑而赋予了“准财产权”[2]Gianclaudio Malgieri,“‘Ownership’of Customer(Big)Data in the European Union: Quasi-Property as Comparative Solution”,Journal of Internet Law,2016,20(5),pp.1-37,pp.1-37.。“准财产权”被视为类似财产权范畴,即“法律试图通过关系理论或制度模拟财产排他性功能”,这是传统财产权的延伸。准财产利益是在有限条件下通过关系权利机制架构排他权框架的,因而与传统财产权存在本质区别。个人数据准财产化的合理性主要有以下几点理由:首先,个人身份无法“商品化”。个人数据与个人身份密切联系,尤其在大数据时代数据转移的隐匿性加剧了个人数据控制难度。同时在数据流通和数据共享过程中,一旦某些数据与特定主体身份联系在一起,匿名化处理等技术措施将失去意义。其次,数据利益的竞争需要。如今各国都非常重视大数据发展应用,大数据被视为国际贸易竞争中重要的战略资源,只有数据流通才能实现国际贸易中的纵向和横向竞争。因此,法律应当赋予其有限的排他权,以保护数据利益当事人的合法权利。最后,保护客体界限难以确定。大数据时代的个人数据是动态集聚的,而物权保护需要严格静止地界定其对象边界,显然个人数据物权保护并非可行路径。相对而言,准财产化是一个有效的解决方案,它可以通过法律描述保护主题、类别、特点等来回避对保护客体进行精准定义,即明确“标的物的存在性”,同时对权利交叉可能性保持一定容忍度。
综上所述,我们可以通过对个人数据的准财产属性化来重新概念化个人数据权利:以准财产权形式来保护个人数据,建构以商业贸易为中心、兼顾多元利益主体及其相互利益关系的保护。因为传统意义上的财产权类似于“绝对统治”,这对于信息经济来说是不合适的;数据隐私很大程度上依赖于某些信息产生的“背景”;此外在大数据“液态”世界中,很难确定权利边界,等等。这些现实困境促使我们寻找一种更加“虚无”和事后保护的形式。
从大数据立法域外实践来看,数据保护准财产权化路径主要有两种实现方式:版权保护和商业秘密。
第一,版权保护
版权主要针对数据库保护。美国适用版权法对数据库予以保护,条件是数据库的选择或安排具有一定程度的创造性;欧盟则采用专门立法方式,保护任何“表明在取得、核查或提出内容方面有实质性和/或数量上大量投资的数据库”。值得指出的是,数据库是将个人数据视为“单元”,对数据库的保护是一种整体保护、静态保护,这显然不适用于数据驱动经济环境下的数据收集与数据处理。此外,对数据库的保护是无法应对隐私问题的,因为它只保护数据库所有者不受第三方“提取和/或重用整个数据库或大部分数据库”的影响。这意味着允许“非实质性”提取和/或重新利用数据,单个的信息不受保护,并且很容易被公开[3]Gianclaudio Malgieri,“‘Ownership’of Customer(Big)Data in the European Union: Quasi-Property as Comparative Solution”,Journal of Internet Law,2016,20(5),pp.1-37,pp.1-37.。
GDPR将欧洲知识产权框架应用于个人数据保护,使数据主体对个人数据既有经济权利,又有道德权利。个人数据的道德权利主要通过纠正权、删除权等加以实现,以保护数据的完整性、准确性和不可剥夺性。道德权利的主张可向任何第三方提出,不限于合同当事人。可见,个人数据纳入版权保护是一种经济利益和人格利益结合的途径。然而,有许多学者质疑版权保护模式与现有理论和制度之间存在协调性问题:一是“独创性”基本条件。版权法保护的作品要求具有独创性,而个人数据尤其是原始数据往往在日常生活中自然产生,并非创造性产物。二是国际贸易中的制度协调。譬如美国版权法并不关照道德利益,如果个人数据纳入版权法保护,对美国与欧盟或其他国家在数据流通中的冲突缺乏有效解决机制。三是价值目标及重要原则。知识产权是以私权与公共利益保护平衡为宗旨,基于交换价值,知识产权通过赋予私权来激励创新,并要求权利人公开其信息,以满足公众接近知识之诉求。这与信息隐私恰好相反,信息隐私保护的中心目标是抑制个人信息被收集、使用和分配。
第二,商业秘密
欧盟GDPR隐含了准财产权尤其是商业秘密保护个人数据的若干默认规则,如目的限制、数据最小化等基本原则以及纠正权、删除权、访问权等重要权属,都体现了“欧洲数据保护框架将个人数据的默认权利分配给个人,并应用知识产权范例来改进这种结构,避免信息产业事实上的数据盗用”[1]Gianclaudio Malgieri,“‘Ownership’of Customer(Big)Data in the European Union: Quasi-Property as Comparative Solution”,Journal of Internet Law,2016,20(5),pp.1-37.。
商业秘密属于广义的知识产权,它与传统财产权存在本质差别,甚至与版权和专利权也有所不同。商业秘密与专利权互为补充。相对于专利权,商业秘密具有成本低、保护时间无限制、无需公开等优势,尤其对于尚不能满足专利权条件又具有重要商业价值的数据信息来说,商业秘密保护无疑具有天然优势。理论上,将商业秘密应用于数据主体的个人数据,与对数据控制者访问权行使过程中适用商业秘密保护之要求相似,消费者可以对其个人数据享有商业秘密权。事实上,由于个人数据通常是保密的,消费者在其个人数据上持有商业秘密是不证自明的。个人数据享有商业秘密权意味着,此种关系语境存在于商业贸易关系中,消费者通过商业秘密来保护其个人数据,以修正消费者与数据控制者在商业关系中的不对等地位,改善消费者在此关系中的利益脆弱性。
总之,以商业秘密形式保护个人数据,是一种以贸易为中心的保护,这有利于激励企业方为获得商业许可加大对个人数据的保护力度,并内化管理成本;有利于促进企业方根据数据访问、收集、分析等所得到的消费者偏好,提供针对性的个性化服务,从而改善数据主体与数据控制者之间的关系。
第一,目的限制原则
GDPR第5(1)(b)条规定了目的限制原则,即收集个人数据必须以“明确和合法”为目的。目的限制原则意在使数据主体能控制其个人信息,同时削弱持有数据所形成的市场垄断,从而促使初创期的企业参与竞争。需要指出的是,GDPR中所述的目的限制原则,包含了一个特性——兼容性,即“如果后续的数据处理超出指定的最初目的但与之兼容,这样的处理是被允许的”。GDPR第5(1)(b)条规定,处理“统计目的”并不会被认为是不相容的。有观点认为,兼容性规定过于抽象,在大数据环境中较难实现:首先,“兼容性”要求考虑数据被收集的语境,这与大数据的应用理念相悖,大数据分析预测效果在很大程度上取决于数据的广度和数据收集范围,它需要纵向和横向、现在和未来的不同数据。其次,“兼容性”要求考虑“个人数据的性质”,这是在应用大数据措施时不断变化的另一个因素。最后,“兼容性”要求使用可能的安全措施,比如变形(pseydonymization)措施会大大削弱数据质量和洞察力,损失可识别数据的精度。
笔者认为,目的限制原则既是GDPR的重要基石,也是商业秘密的默认规则。当消费者可以通过商业秘密保护其个人数据时,企业只能与之签订商业许可协议,才能获得使用该数据信息的授权。这种授权属于“一揽子”授权,在商业许可范围内,企业应当依据明确约定的目的使用客户数据信息,免去了每次收集、使用客户数据信息时都适用知情同意规则的繁琐程序,既提高了企业利用数据信息的实际效率,又实现了对个人数据利益的保护。我国可以借鉴欧盟做法确立目的限制原则,但有两点需要注意:一是可以运用“概括+列举”的方式构建该原则的具体适用规则。通过反向列举“非法”情形以增加目的限制原则适用的可操作性。二是兼容性规则的制定需审慎。兼容性规则实质上体现了尊重语境原则。从激励创新角度看,兼容性规则是具有存在合理性的,但不宜泛化,由此在建构兼容性规则时,需要从尊重语境、信息公平、客户预期、社会价值等方面综合考量,进一步细化兼容性规则的适用情形。比如对某些超越了个人预期但具有较高社会价值、且对隐私影响降到最低的数据利用应当鼓励,并为此预留适度的法律空间。
第二,数据最小化原则
数据最小化是通过限制个人数据的流通数量来达到隐私保护目标,它同样属于商业秘密的默认规则。GDPR第5(1)(c)条明确指出,数据必须“限于与所处理的目的有关的必要条件”。从立法者意图出发,数据最小化原则的遵循意味着既要最大限度地保护个人数据权益,又能为网络安全提供保障。数据控制者没有足够的动机来采用最优的网络安全措施,这很可能增加数据泄漏风险,数据最小化可以最小化这种风险。理论上,仅仅由控制者持有个人数据可能会破坏数据主体的自主性,数据最小化也减少了这些担忧。数据最小化原则可追溯到欧盟数据保护指令(DPD)的规定中,但GDPR 赋予数据最小化原则更加收紧的适用标准,GDPR规定的个人数据“仅限于必要的内容”。从本质上说,数据最小化原则的制度设计偏重于对个人数据的隐私保护,主要手段是通过确立数据主体相应的权利来限制数据实际控制者对个人数据的使用量,从而保护数据隐私利益。
不难看出,数据最小化原则赋予了数据主体对其个人数据更有力的控制权。与数据主体权利相对应的即是数据控制者的义务和责任,它意图在数据收集、使用、处理、分享过程中使处于利益不平衡的数据主体与数据控制者双方最大限度趋于平衡。笔者建议,确立数据最小化原则的同时,还需要从以下几个维度细化规定:首先,明确最初收集的数据范围和类别。其次,明确可以保留个人数据的有限时间。因为数据控制者保存个人信息的时间越长,数据被内部和外部侵入的风险就越大。最后,明确纠正权、删除权、数据移植权等权利分配。数据主体享有纠正权、删除权等权利,可以要求数据控制者删除与预期使用目的不相符的个人数据;数据移植权可赋予数据主体对其个人数据拥有更强的控制力——自主决定数据的流转。只有进一步细化规则,数据最小化原则才具有实际意义。
第三,去识别化规则
与公开发布的信息相比,不公开数据更能减少隐私风险。因此,去识别化规则与商业秘密的内核相契合。个人信息具有身份属性,“个人可识别信息(Personally Identifiable Information,PII)”是个人信息保护的核心概念。去识别化规则是数据最小化原则的具体体现。构建去识别化规则,应当明确将去识别化义务配置给信息业者,即信息业者在数据收集、存储、适用过程中应履行对个人信息去识别化的义务,可以采取去识别化技术手段或其他隐私保护措施,同时划定个人可识别信息的范畴和界限,进一步制定去识别化的标准。