数字身份的多元面向及其法律保护

2022-03-02 05:55陆青
社会科学辑刊 2022年6期
关键词:个人信息身份数字化

陆青

数字身份是指数字化方式呈现的身份。作为“连接着人类现实世界和虚拟世界的唯一沟通桥梁”〔1〕,数字身份拓展了人际交往的时间和空间,拓展了人的自由的边界,形成了各种新型的法律关系。但与此同时,技术的发展也给人带来了在虚拟世界中的种种“身份危机”:伴随着指纹识别、人脸识别等身份认证技术的不断发展,数字身份被盗用、冒用的案例也屡见不鲜;各种“数字码”“数字档案”在对人进行种种“数字赋值”的同时,也引发了人们对寻求合理身份认同的焦虑和不安;基于人的行为轨迹和行为习惯而生成的种种数字画像,以及由此带来的商业利用,不免给人的行动自由和隐私保护带来诸多困扰;随着人工智能、仿真技术的不断发展,各种数据编程形成了越来越逼真的“数字化身”,在拉近虚拟人和现实人距离的同时,也引发了诸多伦理和法律问题。如何体系性地把握数字身份,并寻求相应的规范方案,成为当下数字法学理论研究中的重要命题之一。

总体来说,目前关于数字身份的讨论,大致存在身份识别、身份认同和数字化身三个不同面向。对此,笔者认为,之所以会形成这三个不同面向,究其根本在于身份一词本身所蕴含的丰富内涵。数字时代的到来极大地拓展了个体构建自我的无限可能性。从静态意义上的身份识别,到动态意义上的身份认同,再到多重身份和角色扮演意义上的数字化身,反映着个体不断证明自我,塑造自我和探索自我的实践过程。当然,这三个不同面向上的数字身份,彼此之间也存在着一定关联。身份认同建立在身份识别的基础之上,而身份认同一旦确立,在一定程度上也可用于身份识别。至于数字化身与身份认同的关系,又需要结合不同的化身技术和自我体验进行具体分析。因此,对不同面向上的数字身份以及由此产生的法律关系的调整,又需要在一定的通盘考虑的视角下进行。基于此,本文将首先从身份识别、身份认同和数字化身这三个面向对数字身份及其面临的法律问题进行依次的梳理,在此基础上,提出对数字身份法律保护的一些整体性思考,抛砖引玉,求教于同仁。

需要补充的是,在传统民法上,“身份”一词常对应于人格而言。民法调整人身关系和财产关系。其中的人身关系包括人格和身份两个部分。在此意义上理解的“身份(status)”,更多强调个人在家庭中的某种地位或资格。但本文中所探讨的“身份(identity)”和“数字身份(digital identity)”,尤其是在身份识别和身份认同面向上的数字身份,本质上属于人格的范畴。故所谓“数字身份”,也可表述为“数字人格”。另外,更广意义上的数字身份还包括企业和资产的数字身份,但本文限定在个人数字身份层面予以讨论。

一、身份识别面向上的数字身份

无论是传统社会还是现代社会,身份的核心功能之一在于识别社会关系中的特定主体。在此意义上,身份是用来区别“我”和其他主体的特定标识。在社会发展的早期,人际关系以熟人交往为主,因此人脸是身份识别的主要手段。但随着社会发展、人员流动,身份识别作为社会治理、社会控制的重要手段的意义日益得到彰显,而身份识别的方式也在不断演变。

传统社会对人的身份识别,聚焦于个体特有的物理属性和社会属性(出生、地域、职业特征等)。每个人都只有一个相对固定的身份:在肖像之外,作为身份重要标识的姓名也与特定的父权制家庭秩序相关联。因此,这一时期的身份识别与身份认同显得更为交织。但伴随着现代社会的到来,个人身份逐渐摆脱了各种社会属性的制约,存在一个“相对纯化”的过程。比如,作为证明公民身份的居民身份证,所需要登记的项目包括姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息、证件的有效期和签发机关。其中,只有公民身份号码是每个公民唯一的、终身不变的身份代码(《居民身份证法》第3条)。

随着网络社会的到来,个人可以通过账号密码登录的方式形成数字世界中的各种数字身份,进而从事相关的网络活动。但这种基于数字代码形成的数字身份,未必与现实世界中的个人身份是对应关系,同时还存在着隐私泄露和身份盗用等巨大风险。无论是从保护个人的人身财产安全,还是从网络监管和打击犯罪的角度,都在一定程度上存在着确认网络世界背后真实主体身份的规范需求。为了确保数字身份的安全可信,实践中又存在技术和法律两个方面的发展。

在技术层面,各种数字化的身份识别和认证技术应运而生。一方面,人脸、指纹、掌纹、巩膜、声音识别、心电图识别算法等各种生物识别技术的开发和应用,使得身体本身不断地成为数据挖掘的对象。这些在生物识别技术下形成的个人身份信息的数据组合,同样可构成个人的数字身份。需要说明的是,这一面向上的数字身份,其核心功能依然在于对现实世界主体的身份识别。但生物识别技术的广泛应用,也带来了新的法律和伦理问题:除了大量个人信息采集可能带来的隐私保护等问题,生物识别信息被他人盗用后产生的安全问题似乎更为严重:若账号密码被盗用,个人依然可以通过修改密码等方式来避免进一步的风险产生,而生物识别信息往往是不可修改的个人身份代码。对个体基因类的生物识别信息的挖掘,甚至还可能影响到整个家族群体利益。因此对于生物识别信息,在采集使用上常需要更严格的限制;另一方面,可信数字身份系统的建设也被逐渐提上日程。比如,公安部第三研究所研发的网络电子身份标识(eID)、第一研究所和中央网信办、国家发改委、科技部指导下公安部第一研究所组织的网络可信身份认证服务平台(CTID)等,均致力于解决公民可信身份认证的问题。

既有的身份认证,更多采用中心化的PKI(公钥加密)认证技术。其身份安全的实现逻辑包含两个部分:一是存在一个绝对安全可信的第三方证书颁发与管理机构(CA),为用户颁发带有CA签名的数字证书,其他人可通过验证数字证书中CA提供的数字签名检验证书的真伪;二是CA为用户颁发的数字证书中包含用户的真实身份信息与用户的公钥,用户可通过向其他人提供数字证书来证明自己的身份。但此类数字证书管理体系存在严重依赖绝对安全可信的第三方的缺陷,而且数字证书还存在被破解与伪造等风险。随着区块链技术的发展,建立在去中心化身份标识基础上的可信数字身份技术逐渐受到重视和应用。去中心化身份标识(DIDs)是一种新型的可验证的“自我主权式”的身份标识符,通常和加密相关的内容(如公钥、服务端点)关联,以建立安全的通信通道。用户可以根据自身需要向不同身份验证机构、部门提供所需要的身份信息,从而更好地实现身份的自我管理。〔2〕

在法律层面,网络实名制是解决“身份对应人”问题的重要规范手段。《反恐怖主义法》《网络安全法》等法律,以及有关部门制定的《电话用户真实身份信息登记规定》《区块链信息服务管理规定》《互联网域名管理办法》《互联网用户账号信息管理规定》等部门规章等均对网络实名制作出了规定,要求在申请网络接入、域名注册、电话入网等服务以及使用即时通信、信息发布和区块链信息服务和应用时,提供用户真实身份信息。有关网络服务提供者应当对用户身份进行核验,保证网络信息可追溯,并为查处利用网络从事违法犯罪活动提供条件。但实名制下身份信息的过度采集、暴露同样引发人们对身份信息安全的顾虑。对此,《网络安全法》第24条明确规定,“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。《个人信息保护法》则在此基础上进一步明确由国家网信部门统筹协调有关部门“支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设”。

在完善数字身份认证技术和相关法律制度之外,对于不同数字化场景下身份采集和认证引发的种种风险,同样需要进行规范与应对。针对实践中存在的个人身份信息大规模被盗用、冒用等行为,《刑法》上除伪造、变造、买卖身份证件罪,使用虚假身份证件、盗用身份证件罪之外,还规定了非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统数据罪等网络犯罪以及相关的刑事处罚措施。在民事制度层面,对数字身份权益的保护主要体现在对作为身份识别要素的各种个人信息的保护上。从《民法总则》到《民法典》,再到《个人信息保护法》,对于个人信息的保护规范正日趋完善。而根据《个人信息保护法》第4条关于个人信息的界定,个人信息是指以电子或者其他方式记录的“与已识别或者可识别的自然人有关的”各种信息。另外,《民法典》第1017条和第1023条第2款还分别拓展了身份表征型人格权,即姓名权和肖像权的保护范围。这些规范虽然并未直接将数字身份作为直接的调整对象,更多聚焦在人格权保护领域,但为我国数字身份认证和数字身份信息的采集使用提供了基础性规范依据。此外,随着疫情防控常态化,健康码应用的普及,在短时间内塑造了新的数字身份,推动了突发公共卫生事件下的国家认证基础设施建设,但其引发的法律问题也备受关注。〔3〕在司法实践中,最高人民法院于2021年颁布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息进行了规范调整。

总体来说,随着数字技术的发展,身份的识别与验证方式变得多元化,基于身份识别要素组合而成的数字身份的类型也日益丰富。需要强调的是,无论是在技术层面还是在法律层面,围绕身份识别面向上所理解的数字身份的焦点问题始终是证明个人身份的安全和可信,故又被称为“安全可信的数字身份(证书)”。

二、身份认同面向上的数字身份

身份认同面向上的数字身份,对应于身份识别意义上的静态数字身份,又可称为动态数字身份。在此意义上所理解的身份,强调个体自我的呈现是一个动态的建构过程。根据社会认同理论,我们对自己的看法是时刻随着我们在“个体与社会认同连续体”中所处的位置而变化的。“如果站在个体认同的那一端,我们主要把自己看成是一个独立的个体。而在社会认同那一端,我们则把自己看作某一特定群体中的一员。自我概念的突出点随着社会情境的变化而变化。当个体自我凸显时,我们的行为更多的是基于群体内比较,即与同一群体内的其他成员相互比较。而当社会自我凸显时,我们的行为则反映的是一种群体间比较。我们都有多重社会身份,每种社会身份认同对行为的影响同样取决于激活该身份的特定情境。”〔4〕在此视角下,身份并不是真实的我本身,而是各种人际关系的“镜子”中映射出的我的社会形象,即我的社会镜像。

网络时代的到来,无疑为身份认同理论提供了最为丰富、生动的注解。个体可以在网络世界中进行不同形式的自我表达和叙事,而这种自我表达和叙事身份的建构过程以数字化的方式存储和记录下来,就形成了个人在网络情境下的动态数字身份,即以数字化方式呈现的个人社会镜像。其中,尤其值得关注的是建立在大数据和算法基础上的“数字画像”技术。数字画像分为团体画像和个人画像,前者是指通过数据挖掘技术生成的反映某类人群基本特征的数据组合;后者是指反映特定个体某种或某些特征的数据组合。在某种意义上,数字画像所呈现的正是通过对当事人的行为监控所形成的团体或个人数字身份。〔5〕实践中,数字画像技术被广泛应用于社会治理和商业运作领域。但与社交平台中主体更为主动地参与身份建构不同,数字画像技术所刻画的数字身份往往会脱离主体本身的自我控制,被动地甚至可能无意识地参与到其数字身份的建构过程。“个体无法拒绝平台依托技术优势赋形于自身的数字形象,而平台关注的也只是如何基于算法进行精准推送,至于个体到底怎样并不重要。平台无须对个体进行形象描摹(不过一旦需要,它也可以进行描摹),它只关心你关心什么,你的兴趣爱好是什么,然后根据算法持续不断地定点推送信息。这种基于个性特点的推送一定程度上满足了个体的不同需求,不同个体每天收到的信息也都各不相同,但与此同时,它也限制了人们的信息域和信息源,造成信息区隔和信息壁垒。”〔6〕作为数字身份生成环境的数字场域常常依托于某种既定的算法技术,这就导致了个体的身份叙事始终受制于某种程式化的算法规则。它更强调规律性而不是偏差,规范性而不是变化,符合模式而不是打破模式,因此也在深层次上影响着个人的人格自由、平等以及个性发展的多样性——身份被困在了他人所建造的笼子里!〔7〕

在身份认同面向上理解数字身份,还需要特别关注后者的储存和遗忘问题。基于数据、文档储存记忆的特质,数字身份的呈现可以脱离时空的限制,这就给主体的身份建构带来如下重要影响:一是数字身份的碎片化特征影响了人的身份建构的完整性。比如,利用传统搜索引擎输入某个感兴趣的人名,往往可能获取的只是一些去情境化的身份信息片段。更为严重的是,如果截取某人的言行片段并通过网络手段加以不法利用,甚至可能对个人真实的身份呈现造成歪曲;二是数字身份的非历时性特征阻碍了个体寻求自我重新认同的可能。在传统社会中,个人的身份认同依赖于现实世界中特定地域、特定群体内的人际互动,个人也更容易通过自己的言行举止改变自身的社会形象,从而在过去和现在的历史延续中形成更为完整的身份叙事。而在网络世界中,关于“过去的我”的大量信息可以脱离时空限制为社会公众所认知,可能会对“现在的我”的身份建构造成严重困扰;三是数字身份可以脱离现实主体而获得某种网络意义上的“永生”,由此又带来数字身份在延续和继承方面的问题。

关于动态数字身份的法律保护,存在不同的规范进路。

第一种进路是直接将个人的身份认同权益作为法律保护的对象。比如,在意大利法上,从20世纪70年代以来,通过学理和实务的发展逐渐确立了以“个人身份权”作为一种具体人格权,指个人在身份建构中所形成的“社会镜像”不被他人无端歪曲的权利。意大利最高法院认为,“个人在智力、政治、社会、宗教、意识形态、职业等方面的自我特征,是其在特定的、明确的情境下将自我表露于外部社会下的产物,不应该受到外部的改变、歪曲、侵犯、抵制”〔8〕。在此基础上,主流观点认为,对网络语境下动态数字身份的保护也可以类推个人身份权的规范逻辑,因此数字身份权益在本质上还是属于个人身份权益的范畴。〔9〕不过,我国法还鲜有案例直接提及身份认同(权益)。

第二种进路是通过保护隐私和个人信息间接地对动态数字身份予以法律保护。这也是目前更为主流的规范思路。在欧洲,从1995年的欧盟《数据保护指令》到2018年生效的《通用数据保护条例》,不断加大对个人信息保护的力度。个人信息保护法关注个人身份在不同社会情境下的正确呈现,还关注个人身份的自主性和完整性,避免身份的碎片化呈现以及通过机器算法的自动化呈现给个人发展带来的不利影响。在我国,《民法典》专章规定隐私权和个人信息保护,《个人信息保护法》又就个人信息保护进行了单独立法。在原则层面,“总则”第8条特别提到“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”。在规则层面,第24条就前文提到的自动化决策进行了专门规定;第25条就公共场所的个人图像和身份识别信息的采集和设备设置等进行了专门规定;第28条至第32条规定了敏感个人信息的处理规则;第49条规定了死者个人信息的保护等,这些都在一定程度上回应了身份认同面向上的数字身份保护问题。当然,对于该法是否规定了“被遗忘权”和“可携带权”,依然存在争议。①《个人信息保护法》第47条规定个人享有删除权的具体情形。有观点认为,所谓被遗忘权的实质就是删除权,即赋予个人对于其个人信息处理的决定权,个人有权在一定情形下要求个人信息处理者删除所处理的其个人信息,故无需叠床架屋地规定被遗忘权,如程啸:《论〈个人信息保护法〉中的删除权》,《社会科学辑刊》2022年第1期。也有观点认为,第47条所规定的删除权与被遗忘权存在明显区别,如王利明:《论个人信息删除权》,《东方法学》2022年第1期。至于《个人信息保护法》第45条是否规定了某种意义上的可携带权,也存在不同的声音,参见陈吉栋:《超越元宇宙的法律想象:数字身份、NFT与多元规制》,《法治研究》2022年第3期。在审判实践中,因缺乏明确的规范指引,对于身份认同意义上的权益诉求往往持更为谨慎保守的态度。比如,在“朱某诉百度网讯科技有限公司案”②江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。中,法院认为,“百度在提供个性化推荐服务中运用网络技术收集、利用的是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合‘个人信息’的可识别性要求。网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴”③江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。;也有法院对运用算法技术导致的身份认知错误予以了特别关注。在“梁某、广东维讯实业有限公司与企查查科技有限公司网络侵权责任纠纷案”④广州市中级人民法院(2021)粤01民终29639号民事判决书。中,企查查平台的相关企业信用报告中将一些无关企业的失信被执行人信息等错误地关联到了梁某名下。法院认为,企查查公司这一错误关联行为不仅侵害了梁某和维讯公司的名誉权,同时因其个人信息处理行为的不准确、不完整而侵害了梁某的个人信息权益,应当为算法造成的错误承担法律责任。

第三种方式是“数字人”的规范路径。澳大利亚学者R.Clark最早提出“数字人(digital persona)”的概念,并将其定义为“由数据所形成,并通过交易来维系的个体的公开化的人格模型”。他把数字人区分为“投射的数字人(projected digital personae)”和“强加的数字人(imposed digital personae)”,前者是指个人通过数字化方式传达给他人的自我形象;后者是指外部机构通过数字化方式所赋予、界定的个体形象。在此基础上,荷兰学者A.Roosendaal结合web2.0时代社交媒体的新发展,又增加了综合前两类数字人而形成的“混合的数字人(hybrid digital personae)”概念。其认为数字人和画像(profile)都是个人的数字化再现,而无论是基于何者作出的决策,都将在深层次上影响到个人的自治和隐私。〔10〕引入“数字人”的概念是否有助于对动态数字身份的保护,还有待观察。

三、数字化身面向上的数字身份

化身(avatar),又称“替身”。该词源于古代印度教,通常是指神或精灵等超自然力量通过某种方式以人类或动物的形态实体化呈现于人类世界之中。〔11〕但现今所讨论的化身,又称“数字化身”,更多是指现实世界中的个人在虚拟世界中所扮演的角色。数字化身,有时也被称为“虚拟数字人”或“数字AI”,但后者的外延似乎更为宽泛,与现实主体未必存在直接的映射关系。比如,利用语音合成、深度学习等技术,可以塑造出具有人类形象的数字播音员、数字主播等。

数字化身最初适用于“第二人生”之类的网络游戏。但随着“元宇宙”概念的提出和相关技术的开发应用,各种数字化身的应用场景和表现形式变得极为广泛。数字化身既可以与现实世界中的个体形象保持一致,也可以将个人头像和全身形象设计为与自己实际容貌、外形、装扮酷似的2D或3D效果。用户甚至还可以选择在数字世界中扮演完全不同的身份角色,从而在特定的虚拟场景下获得一种完全不同于现实世界中的人际关系的沉浸式体验。在身份的自我建构意义上,数字化身充分满足了个人试图建构多重身份的情感需求。当然,即使在虚拟世界之外,个人同样有在不同社会情境下建构多重身份的可能。借助于数字化身,“多重身份”的生命体验将会变成一种常态现象。

在数字化身面向上解读数字身份,存在不同的理解。有观点主张将数字化身和数字身份严格区别开来,指出数字身份是元宇宙建设及其问题的起点与归宿,而只有通过数字身份认证才能在元宇宙中破解数字化身所致的信任难题。〔12〕这一理解的实际指向的就是前文所探讨的身份识别面向上的数字身份。也有观点认为,“元宇宙中的化身相当于数字身份,数字形象与区块链上的身份标识共同组成元宇宙中的数字身份”〔13〕。这里所提及的“数字形象”,实际上指向身份认同面向上的数字身份。在笔者看来,数字化身提供了一种看待数字身份的综合性面向。它既有身份认证层面的意义,也有身份认同层面的价值,但又并非前两个面向的简单叠加。具体来说,第一,数字化身在本质上当然是虚拟的,但其与现实主体之间存在着特殊的交互关系。“在元宇宙中,化身的交互性首先体现为它与物理身体的交互。一旦发生沉浸行为,主体往往会具备双重大脑、双重身体和双重目光,不断地游走、切换于物理世界和元宇宙之间……其次体现为化身之间的交互。元宇宙虽然是一个虚拟世界,但是发生在期间的行为、情感都是真切的”〔14〕;第二,数字化身常常带有一定的财产属性。特别是在游戏语境下,数字化身依托于特定的游戏账号。用户可以通过购买装备甚至游戏场景,以体验不同形态的数字化身。甚至有观点认为,“现阶段数字化身的法律性质还是《民法典》第127条规定的‘网络虚拟财产’,需要花重金购置,仍非主体”〔15〕。数字账号(有时也称为“ID账号”)和数字化身,究竟是事物的一体两面,还是在数字账号之上承载着数字化身,尚有探讨的余地。因此在“主客体二元对立”的传统观念下,人身性与财产性截然不同。但数字化身本身并非现实主体,故赋予其财产属性,似乎也未尝不可。不过,随着元宇宙技术的发展,现实主体与数字化身的交互关系日益增强,后者的人身性与财产性的边界将会更加模糊,必然对传统的身份观造成更大的冲击。

现行法上,关于在数字化身面向上数字身份保护并未有完整、明确的规范方案,但在学理和实务方面都有不同程度的探索。在学理上,有学者探讨人工智能虚拟偶像的法律性质。其主张区分偶像被动虚拟化与偶像主动虚拟化、虚拟偶像化三种不同的形态来分析其中的法律关系,同时认为在不违背法律规定及公序良俗的情况下,发展到一定阶段的偶像主动虚拟化和虚拟偶像化也可获得法律主体地位。①具体观点详见李晶:《论人工智能虚拟偶像的法律性质》一文。但虚拟主体可否超越既有的民事主体规范框架,拟制为法律上权利义务的承载者,依然值得商榷。新近有学者专门讨论元宇宙背景下数字化身和数字身份的规范问题,并提出相关技术架构和法律规制下的多元规制体系。〔16〕司法实践则主要聚焦于游戏ID和账号的法律保护问题。比如,在“韩某诉郭某姓名权、肖像权案”②北京市朝阳区人民法院(2017)京0105民初1832号民事判决书。中,法院认为,自然人注册的游戏ID等特定名称具有一定的知名度,并与自然人建立了特定联系,且为特定公众所知悉,则该游戏ID具有姓名的特征,应当与自然人的真实姓名一起受到法律保护。在“张某诉上海状游信息科技有限公司名誉权案”③上海市浦东新区人民法院(2016)沪0115民初88312号民事判决书。中,因原告的游戏账号被被告封停,原告要求被告对其名下的18个游戏角色赔礼道歉。法院认为,网络游戏虚拟角色显然不属于法律意义上的人,其本质应属于物,且系虚拟财产范畴,故不具有法律上的人格,不应享有名誉权。当然,实践中更多的案例则涉及财产面向上的讨论。如“于某诉孙某合同纠纷案”①北京市第二中级人民法院(2009)二中民终字第18570号民事判决书。中,法院认为游戏账号等级、虚拟货币、虚拟装备、虚拟动植物、虚拟ID账号及游戏角色属性等均属于网络虚拟财产的属性。当涉及玩家和游戏服务平台之间的纠纷时,法院往往对玩家所主张的虚拟财产权益持更为谨慎的态度。如在“上海盛大网络有限公司与林某网络服务合同纠纷案”②浙江省温州市中级人民法院(2009)浙温民终字第623号民事判决书。中,法院认为,网络虚拟物品作为一种无形财产,虽可与现实财产发生联系并具有交换价值,但网络游戏作为人们精神需求的核心价值依然不变。以购买游戏装备的方式来提升游戏角色的魔法技能与生命值,或者进行游戏虚拟物品的买卖,都不应予以提倡,并将违背网络游戏的核心价值。但在“陆某与杭州网易雷火科技有限公司网络侵权责任纠纷案”③广西壮族自治区高级人民法院(2019)桂民再681号民事判决书。中,法院认为,尽管在相关的服务协议中平台禁止玩家以营利为目的进行游戏道具交易,但网络游戏服务提供者若要对游戏规则进行修改或限制,应通过修改游戏软件设置以实现。而在软件设置允许的范围内,游戏玩家有权根据个人喜好选择游戏项目和游戏方式。值得关注的是,最高人民法院曾发布“民法典颁布后人格权司法保护典型民事案例”中的“‘AI陪伴’软件侵害人格权案”,对全面理解数字化身可能面临的法律问题颇有启发意义。〔17〕该案中,用户借助被告所开发的案涉软件可以使用原告的姓名、肖像创设虚拟人物,制作互动素材,将原告的姓名、肖像、人格特点等综合而成的整体形象投射到AI角色上。法院认为,该AI角色形成了原告的虚拟形象,被告的行为属于对包含了原告肖像、姓名的整体人格形象的使用。同时,用户可以与该AI角色设定身份关系、设定任意相互称谓、通过制作素材“调教”角色,从而形成与原告真实互动的体验,被告对于案件的上述功能设置还涉及自然人的人格自由和人格尊严。被告未经同意使用原告姓名与肖像、设定涉及原告人格自由和人格尊严的系统功能,构成对原告姓名权、肖像权、一般人格权的侵害。需要指出的是,该案关注的是被动创设为虚拟形象的现实主体的人格权益保护问题,即该AI角色相对于用户是一个“他者”的存在。至于作为用户化身意义上的数字身份保护问题,还有待实践探索。

四、完善个人数字身份法律保护的基本思路

数字时代身份观念的变化,在哲学、社会学、心理学等不同领域均有大量的研究和洞见,但在法学领域尚未得到充分反馈。之所以产生这样的情况,或许与法规范层面对“身份”概念的理解有关。本文开头提到,在现行法中,“身份”一词存在不同的用法。所以若使用“身份权”等概念,容易让人误解为指亲属法意义上的身份权利。更深层次的原因或许在于,本文所探讨的数字身份相关问题,在一定程度上已经得到了现行法的回应。尤其是随着《个人信息保护法》的出台,对于本文所探讨的个人身份信息的采集和使用、生物识别类敏感信息的保护、自动化决策和算法技术的应用、死者个人信息的保护等诸多问题,都提供了一定的规范方案。在笔者看来,关注数字身份的不同面向并思考其在法律层面可能面临的不同规范需求,目的并不在于叠床架屋地提供一套全新的制度设计方案,而是以数字身份为中心来反思现行法在制度设计和解释适用方面存在的问题,并给出相应的完善建议。

数字身份法律保护的重心在于对数字环境下人的身份建构的自主性和完整性的保护。换言之,就是要通过彰显数字时代个人的身份权益,以化解数字技术的不当应用可能带来的种种身份危机。但与此同时,数字化方式的自我呈现,不仅依赖于数字技术本身的发展,同时还关乎公私法层面多元利益的平衡问题。因此,完善数字身份的法律保护,还需要结合数字身份的不同面向,针对不同的权利诉求给出更有针对性的回应。

在身份识别面向上,现行法的规范重心始终是确保数字身份的可信和安全。一方面,法律调整的手段和机制始终是围绕着现实主体所展开的。只有明确了网络行为背后的现实主体,才能在法律上确立相应的权利义务的承载者。在此意义上,身份信息被采集得越多,个人身份识别的可信度就越强;另一方面,身份信息被过度采集以及非法利用,不仅会给作为身份采集对象的个体带来人身和财产上的安全隐患,也会给社会治理造成诸多难题,因此需要平衡可信和安全两种不同的价值取向。但需要提醒的是,不同场景下数字身份识别的规范功能并不相同:有的是为了满足公法管制的需要,有的是为了明确私人领域的主体身份。因此,在制度设计上就需要明确谁向谁在何种场景下提供何种程度的身份信息。在公法管制层面,未来或许可以借鉴《居民身份证法》的规范思路,对“数字身份证”进行专门规范。《居民身份证法》的立法目的在于“证明居住在中华人民共和国境内的公民的身份,保障公民的合法权益,便利公民进行社会活动,维护社会秩序”,但这并不意味着在任何场合公民都必须出示身份证件来证明身份,该法第14、15条对此有明确的规定。基于数字时代身份管理的需要,若设计国家统一的数字身份证,其在申领和发放、使用和查验上同样要有明确的规范指引。当然,类似的立法如何与《居民身份证法》相衔接,如何结合数字身份的特殊性明确其登记的事项、有效的期限、适用的场景等问题,都需要进一步深入思考;在私法领域,既有的《个人信息保护法》为身份信息的采集和适用提供了基本的规范框架,但随着身份识别技术的不断发展,进一步规范和限制各种生物识别信息的采集使用,同时为去中心化的数字身份验证系统提供规范支撑,对于保障个体数字身份管理上的自主性有着重要的意义。

在身份认同面向上,数字身份的建构是一个动态的过程,是通过一系列数据操作展现人的社会镜像。对此,前述所讨论的动态数字身份保护的三种规范路径,究竟孰优孰劣,还有待学理和实践的进一步探讨。但笔者倾向于认为,在现有的法秩序中引入“个人身份权(益)”的概念,依然有着颇为现实的规范实益。一方面,它有助于丰富和发展既有的人格权规范体系。个人身份权旨在保障个人在社会生活中所呈现的社会镜像不被他人无端歪曲。这种人格权益并不能为传统意义上的肖像权、姓名权、名誉权、隐私权等具体人格权所覆盖。①具体阐释见陆青:《数字时代的身份构建及其法律保障:以个人信息保护为中心的思考》,《法学研究》2021年第5期。在传统社会中,受物理世界固有的时空限制,个人对其社会镜像的形成往往拥有更强的自主性。而数字时代从根本上改变了社会镜像的生成场域。它不仅具有去情境化、碎片化的特质,甚至可能脱离个体的主观认知,这就为个人身份权的彰显提供了现实基础。当然,作为一种新兴权益,个人身份权应被纳入一般人格权的范畴进行个案评价,还是可以通过实务的发展逐渐演化成为一种具体的人格权,有赖于未来司法实践的探索以及对数字身份社会认识的变化。另一方面,它有助于更好地评价和完善现有的个人信息保护规范体系。在身份建构的视域下,个人信息保护实现了从“身份结果”保护到“身份生成过程”保护的规范模式转变。〔18〕但既有的个人信息保护规则过于强调对可识别的个人信息的规范处理,在一定程度上忽略了数字化的自我呈现给人的身份认同带来的复杂影响。这也导致了在前述“朱某诉百度网讯科技有限公司案”和“任甲玉诉北京市百度网讯科技有限公司侵犯名誉权、姓名权、一般人格权纠纷案”中,法院倾向于对当事人所主张的权利诉求持否定的态度。在笔者看来,维持个人在各种社会关系中身份建构的自主性和完整性恰恰是《个人信息保护法》第1条所称的“个人信息权益”的核心内容。因此,个人身份权益保护作为分析工具,可以更好地阐释个人信息保护的基本原则、个人信息处理规则以及个人在个人信息处理活动中的权利构造等。比如,在对《个人信息保护法》第24条第3款“通过自动化决策方式作出对个人权益重大影响的决定”进行解释时,就可以将该自动化决策方式给个人身份认同上带来的重大困扰作为核心评价内容。再如,在解释该法第45条第3款和第47条时,无论是否将其分别界定为“可携带权”和“被遗忘权”,都可从个人身份建构上的自主性进行规范评价,并通过审判实践的积累和发展使相关权利的行使边界逐渐明晰。

在数字化身的面向上,数字化身是否需要以及以何种方式纳入法律的调整范围,需要结合数字化身技术的发展水平和现实主体参与数字身份构建的程度予以具体考量。在既有的数字化身技术下,数字化身主要体现为游戏工具层面。因此司法实践也更多集中于对游戏账号、装备等作为虚拟财产的保护问题。在此意义上,还需要进一步明确游戏玩家和游戏服务提供商对于此类虚拟财产的权属分配规则,以赋予玩家对数字化身塑造中更大的自主性。值得关注的是,在“韩某诉郭某姓名权、肖像权案”中,法院将具有一定社会知名度的游戏ID纳入到了姓名权的保护范畴。如何评价数字化身的社会知名度,还有待从学理和实践两方面进行深入探索。随着元宇宙技术的发展,现实主体对数字化身的“沉浸”程度将会得到极大提升。如前述“‘AI陪伴’软件侵害人格权案”中,法院关注到了被动创设为虚拟形象的现实主体的人格权益保护问题。在未来,数字化身能否交易、复制、共同管理、继承等问题将在深层次上不断考验法律人的智慧。

总体来说,个人数字身份的法律保护,需要结合数字身份的多元面向,以及个人身份建构的具体场景才能得出相对完整的结论。但从“个人信息保护”到“数字身份保护”的研究范式转变,不仅可以加深不同学科在身份、数字身份理解上的沟通和对话,更重要的意义在于增强对数字化生存方式的某种洞察力。在此基础上形成的理论自觉或许能更好地回应社会生活和数字经济发展的规范需求。

猜你喜欢
个人信息身份数字化
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
家纺业亟待数字化赋能
警惕个人信息泄露
高中数学“一对一”数字化学习实践探索
高中数学“一对一”数字化学习实践探索
跟踪导练(三)(5)
妈妈的N种身份
身份案(下)
数字化制胜