任颖
关键词:数字时代 隐私权 平衡性原则 个人信息保护法 数据安全 民法典
中图分类号:DF0 文献标识码:A 文章编号:1674-4039-(2022)01-0188-200
“小隐隐陵薮,大隐隐朝市。”〔1〕个人享有独处生活不被干扰的权利,“独处与隐私于人更是必不可少”。〔2〕然而,“权利决不能超出社会的经济结构”。〔3〕随着数字时代的来临,形成于传统的隐私权保护面临变局。私人领域与物理空间的固有边界被互联互通的信息通信技术打破,“隐私止于屋门之前”“隐私不止于家内”的原则与数字社会运行模式并不兼容,个人对私人领域的排他性控制和支配受到限制,隐私权与个人信息保护存在交叉重叠,数字时代的隐私权保护面临多重困境。习近平总书记在全国网络安全和信息化工作会议上提出,要“发展数字经济”“维护网络安全”,严厉打击侵犯个人隐私的侵权行为,“维护人民群众合法权益”。〔4〕同时,2021年通过的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》也强调,要“打造数字经济新优势”“统筹数据开发利用、隐私保护和公共安全”。〔5〕这成为数字时代隐私权保护战略平衡的重要指引。数字时代隐私权保护的法理构造与规则重塑,既是新兴权利理论的重要发展,也是“数字中国”建设全面提速的重要保障。
一、数字时代隐私权保护面临的内生性矛盾与多重张力
数据开放共享是数字时代的重要发展动力,而隐私权则以保密性、私密性为根本属性。在大数据成为经济发展主要驱动力的背景下,隐私权保护面临内生性矛盾与多重张力。数据共享要求与隐私权保护价值目标之间存在矛盾,隐私权与个人信息保护交叉重叠,经营者的数据经济利益追求与用户的隐私人格利益排他性保护要求之间出现冲突,传统隐私侵权责任制度与数字社会运行模式并不兼容。大数据技术突破住宅隐私与场所隐私的物理边界,隐私内容一旦在网络上公开即可被无限转载、记录、存储,给隐私权人带来巨大困扰。数字时代下的隐私权保护困境亟待解决。
(一)数据共享要求与隐私权保护价值目标之间的矛盾
数据共享为公共管理效能与数字产业量级提升带来巨大契机的同时,也对隐私权保护形成新挑战。数据共享旨在打破物理空间的阻隔,实现数据存储、交换、访问、使用、处理的开放共享。〔6〕而隐私权保护则以私人生活不被他人知晓、干预或侵扰为核心价值。数据共享与隐私权保护价值目标之间存在矛盾。数字技术正在重构人类的社会生活,创造新的消费形态。以数据共享、数据公开为基础的数字经济发展,推动了生产与消费的深度融合,改变着生产和生活的方式。在数字学习、数字医疗、数字交通、数字消费的过程中,私人活动与私密信息以网络足迹的形式被储存,并能够被生产者和销售者追踪,进行家庭状况、健康医疗、消费倾向、基因信息等隐私数据分析,得出精准的用户画像。数字技术在给人类生产生活带来极大便利的同时,也形成了“独立于人类的异化力量”,〔7〕引发数据安全隐患,增加隐私泄露风险,数据共享给数字时代的隐私权保护带来了前所未有的挑战。
数据共享的深度推进打破了传统的隐私权保护原则。在传统经济的发展过程中,私人领域与公共领域的边界相对清晰,形成了禁止非法侵入私人空间的法律规定,而数字消费的广泛应用与数据共享的深入发展,逐步消解了私人领域与公共领域的边界,打破了传统的“隐私止于屋门之前”的原则。〔8〕“隐私止于屋門之前”的原则以物理空间隐私为核心,形成了以住宅范围为核心的传统空间隐私权概念,住宅被视为“风能进、雨能进、国王不能进”的“个人的城堡”,确立不受非法干扰、侵害的私人空间边界。但是,以住宅为边界的隐私权保护既不能满足公共场所的隐私保护要求,也不符合无边界数字空间的隐私保护特征。针对公共场所隐私侵权案件,德国联邦宪法法院确立“隐私不限于家内”的原则,〔9〕空间隐私从私人住宅扩展至饭店、电话亭等公共场所,但这一阶段的隐私权保护仍然有相对明确的物理空间边界。随着信息网络的广泛普及,物理空间的边界被打破,数据共享与数字空间的互联互通使隐私权失去隔绝空间的保护,个人隐私近乎透明地存在于无边界的数字空间当中,即便当事人身处住宅,通信网络中的人脸识别、电子身份识别、网络账户、消费记录,均可在无形中增大个人隐私泄露风险。网络的开放性更促进了自媒体的发展,个体的隐私很容易被网络捕捉并无限扩散,引发“人肉搜索”等问题。数字时代的隐私权保护由实体空间拓展至虚拟空间,隐私不仅不限于住宅,而且不限于物理空间。这一特殊性反映了数据共享要求与隐私权保护价值目标之间的冲突,也开启了隐私权保护原则发展的新进程。
(二)隐私权与个人信息保护交叉重叠
禁止重叠保护是基本的法律原则。在“数字中国”建设过程中,隐私权与个人信息保护出现交叉重叠,“个人信息和隐私的界分一直不明确”,隐私权与个人信息保护“规则的区分并不清晰”,〔10〕容易导致多头执法与重叠保护现象的出现。在主体方面,隐私权与个人信息权益的主体都是自然人。在客体方面,两者的保护对象相互交织。民法典第1032条、第1033条划定了隐私的法定范围,隐私权利的客体涵盖私人生活、私密活动、私密空间、私密部位、私密信息。其中,私密信息属于个人信息的内容。自然人对其个人信息既享有隐私人格权利,也享有信息自决权益。〔11〕隐私权人有权自主决定是否公开自己的私密信息。信息自决权益主体享有收集、利用、处理个人信息的决定权和控制权,以确保其保密意志受到充分的尊重和保障。〔12〕隐私权保护包含不允许他人干扰私人生活安宁、侵入私人空间、介入私密活动、窥视私密部位、非法处理私人信息的要求。个人信息保护禁止未经授权进行的访问,防范信息泄露风险,保障自然人的信息安全。个人信息保护法第51条规定,个人信息处理者应当采取必要措施防范个人信息泄露与安全风险,防止个人信息被篡改、窃取。《信息安全技术个人信息安全规范》第三部分明确了个人敏感信息的范围,第四部分对个人信息安全基本原则作出规定,强调要保护个人信息的保密性。这与隐私权保护的规则设置相重合。
隐私权与个人信息保护的交叉重叠,不符合其保护规则的二元结构及客观规律。隐私与个人信息保护遵循不同的规律,隐私强调私密性,隐私权人可以自行决定是否公开其私人活动,但原则上不能通过授权许可他人进行利用。个人信息侧重可识别性,主体能够通过授权许可他人利用其个人信息,对于个人信息的合理利用也构成了数字经济发展的动力之源。个人信息保护法第1条将“促进个人信息合理使用”作为立法的目的和宗旨;第4条明确了个人信息的范围,即已识别或可识别的自然人相关的信息,强调个人信息不包括匿名化处理后的信息。民法典第1036条对个人信息处理的免责情形作出规定,指出合理处理和利用自然人自行公开信息的行为原则上不承担民事责任。这与禁止他人利用个人隐私的要求存在差异。基于这一差异,应当在明确隐私与个人信息辩证关系的基础上,形成隐私权与个人信息保护规则的二元结构。数字时代的隐私权保护规则需要在互联互通的网络空间中,守护私人生活安宁、私人活动秘密、私密空间自由、私密部位及私人信息安全,具有人格利益与不可转让属性。个人信息除包含人格利益内容之外,还有经济利益属性,个人信息保护规则以规范和保障对于个人信息的处理、利用、流转为主要内容。这也是个人信息保护法立法的重心所在。〔13〕解决隐私权与个人信息保护交叉重叠问题,需要在区分隐私信息与一般个人信息的基础上,建立权益保护的二元准则。
(三)经济利益追求與用户隐私人格利益排他性保护要求之间的冲突
数字经济利益的实现以数据流转为主要动力。数据具有流通性、可复制性,并且可以重复利用,“数据不可能成为某种权利独占的标的”。〔14〕以此为基础,数字经济的发展具有开放性,而隐私权则具有排他属性。隐私权只能由权利主体享有,以主体对隐私人格利益的排他性支配权为核心内容,禁止他人或组织的干扰、披露和侵犯。从历史溯源上看,隐私权形成于传统经济时期。19世纪末期,塞缪尔·沃伦与路易斯·布兰代斯发表的《论隐私权》,开创了隐私权保护的系统理论。〔15〕20世纪中叶,《世界人权宣言》以及各国隐私权立法的相继出台,明确规定自然人享有对私人生活领域进行控制和支配的排他性权利,在人格尊严保障层面形成了对私人生活安宁的有力支撑。随着数字时代的来临,隐私人格利益保障的物理空间边界被打破,个人数据在数字空间的传播呈现出开放性特征,关联开放数据成为数字化产业的重要技术线路。开放化数据的采集、公布、传播、处理,“能够跨越不同的数据源”,“将开放信息转换为可计算的开放知识”。〔16〕数据的流转与传播越具有开放性,关联数据的规模越大,给经营者带来的经济价值也越多。但这与隐私人格利益保护的价值追求背道而驰。数据流转的开放性会影响主体对私人领域的排他性支配和控制。因此,数据流转的开放性与隐私权的私密性、排他属性存在冲突。
数据流转的经济利益追求直接影响主体对隐私的排他性控制和支配。隐私权保护注重私密性,一旦隐私被披露或传播,即会对主体的人格利益造成不可逆转的损害。但是,在以数据为载体的经济活动领域,只要人们在数字社会当中进行活动,就会形成他人可获知的隐私数据。这些数据的内容不仅本人知晓,而且能够被网络运营商、销售商等主体获取,并用于市场需求分析、消费倾向预判。这一状况与隐私人格利益保护的私密性特征并不相符。与此同时,数据控制人与数据主体的分离,也是影响主体隐私人格利益排他性保护的重要因素。隐私权主体并不能够完全控制其个人数据,反映主体的健康状况、家庭情况、基因信息等的隐私数据,掌握在医疗、检测、销售等主体手中,成为其开展经济活动的数据支持。由于数据本身具有可复制、易传播的特征,这些个人数据能够在不同的经营者之间进行流转,并且,其数据经济价值不因流转而贬损,也不归属于唯一的权利主体。数据经济利益并不遵循财产权利的排他性保护逻辑,〔17〕数据控制者在利用个人数据的同时出售数据并获利,增大了隐私信息泄露的风险,影响隐私权的排他性保护。数据自由流动与隐私人格利益排他性保护存在冲突。
(四)以“填平”为原则的私益救济与隐私侵权对不特定主体的危害无法兼容
传统的隐私侵权责任制度以“填平”为原则对私益损害进行弥补,但补偿性责任与数字社会隐私侵权所导致的危害不相适应。数字社会的隐私侵权案件多表现为对于不特定主体隐私利益的批量侵害。对于“批量公民个人信息”的“批量破解”“批量入侵”成为数字社会隐私侵权的主要特征。〔18〕在无边界的数字空间中,隐私侵权受害人范围被极大地拓展,导致以“不告不理”为前提的民事侵权责任制度适用受到制约。在责任形式方面,传统的隐私侵权责任以停止侵害、排除妨碍、消除影响、赔偿损失、恢复名誉为主要形式,强调对于已经造成的隐私侵权损害及时止损,并对权利损害进行弥补。但在数字社会当中,传统的隐私侵权责任形式表现出了较大的局限性。数字空间能够有效链接无数终端,缔造漫无边际的数据收集、发布环境,手持移动通信设备的每一个人都可以随时在这一空间中获取、下载、处理相关信息。在数字时代背景下,隐私一旦在信息网络中披露,就会在短时间内迅速扩散,衍生出无数新的侵害节点,停止侵害的难度较大。即便主体可以要求相关网络平台删除隐私信息,亦无法阻止他人的截屏、存储、传播。针对这一现象,有观点认为,可以通过规定赔礼道歉点击率,最大限度地恢复受害人的正常生活。但究竟达到多少点击率,才足以使受害人免受网络暴力,恢复原来的生活状态,则很难界定。随着数字时代的来临,传统隐私侵权责任制度的局限性日益凸显。
传统隐私侵权责任认定方式与数字社会运行模式并不兼容。传统经济模式下的隐私侵权认定,以物理空间中的私人领域受到干扰、侵害为前提。在这一时期,物理空间的隐私边界相对清晰,侵权行为人相对容易识别,侵权行为与损害结果之间具有明确、直接的因果关系。但数字社会的运行打破了这一认定方式。大数据技术的广泛应用极大地拓展了可能接触到隐私的侵权人范围,对于个人数据的挖掘、存储、处理、分析极具开放性,使数据行为本身“天然地具有很强的侵袭性”。〔19〕这给数字社会的隐私侵权认定带来了诸多难题。在侵权行为认定方面,数字经济发展中的销售商、数据处理企业、网络运营商等诸多主体均有可能接触到隐私数据,数据的存储、复制、传播的速度快、范围广,究竟什么行为是导致隐私泄露损害结果产生的直接原因很难认定。在实践当中,网络运营商等主体的行为多属于隐私侵权的条件,而非直接的原因。在侵权损害结果方面,虚拟空间的隐私侵权从有形的损害扩展到隐蔽性、无形性的损害。如运用数据技术进行的隐私数据收集、消费倾向分析、网络系统入侵、“人肉搜索”、监视监听等。如果不通过骚扰电话、群发短信、消息推送、垃圾邮件等方式外化,则很难直观地被识别出来,受害人甚至并不知道自己的隐私权益受到了不法侵害,无法适用传统的隐私侵权责任制度去维护自身的权益。数字时代隐私权保护的内生性矛盾亟待解决。
二、数字时代隐私权保护的法理构造
数字时代的隐私权保护,需要克服内生性的矛盾和冲突,在激活数字经济活力与维护隐私安全之间达到平衡。平衡理论已经在环境立法领域得到确立,但在隐私权保护领域尚未得到法律确认,制约了数字时代隐私权保护整体效能的提升。由于个人数据所承载的利益,既不是绝对私权,也不是公共用品,〔20〕而是数据公益与数据私益、用户利益与经营者利益、传统法益与新兴法益的复合体,因此,需要在约束力与保障力相平衡的路径上推进隐私权保护,既不能过度规制,也不能规制不足。过度规制会遏制数字经济发展活力,规制不足会导致私益受损,侵害用户合法权益。数字时代隐私权保护内生性矛盾的解决,需要从隐私权保护的平衡出发,使隐私权理论发展及法治实践与数字社会运行相兼容。
(一)数据公益与数据私益的双向平衡:
数据共享与隐私权保护之间冲突的化解数据公益与数据私益双向平衡的实现,以两者之间的辩证关系为依据,以化解数据共享与隐私权保护的冲突为脉络。数据公益主要表现为“社会公共利益”,数据私益以用户利益和经营者利益为核心。数据利益的主体众多,既包括网络平台、数据分析公司,还包括医疗、航空等诸多领域的商品及服务提供者,以及收集、处理个人數据的执法机构;〔21〕不仅涉及网络交易领域的数据利益,还关涉公共管理领域的公共利益保障。〔22〕在维护和实现多样态数据利益的过程中,数据共享成为数据效益最大化的重要立足点,也是数字时代发展的核心驱动力。数据是一种可以共享、重复利用而不会减损其价值的特殊载体,但开放数据共享会增加隐私泄露的风险,引发隐私权保护的内生性矛盾和冲突。解决这一冲突是隐私权理论面临的重要挑战,也是理论创新的重要契机。隐私权保护并不意味着要绝对排除和禁止数据共享,更不是以阻碍数字经济发展为代价固守旧有的理论框架,而是以隐私权理论的创新发展为出发点,以数据公益与数据私益的双向平衡为路径,推动数据共享与隐私权保护冲突的解决。以提纲挈领的方式推进数据公益与数据私益保障的平衡,是破解共享型数字经济模式下隐私权保护困境的关键所在。〔23〕
数据公益与数据私益之间辩证关系的法理思考,在欧盟隐私权保护过程中也有体现。《人权和基本自由欧洲公约》第8条第1款规定,“私人和家庭生活”具有“得到尊重的权利”;〔24〕第2款规定了例外情形,指出基于国家经济福利或安全保障的需要,可以对私人生活进行必要的干预。〔25〕《个人数据自动化处理中的个人保护公约》则进一步对数字经济发展背景下的隐私权保护作出了规定。该公约在序言部分指出,鉴于个人数据的跨界流动日益增强,宜扩大每个人的权利和基本自由,高度重视对于隐私权的尊重和保障,调和尊重隐私与保障信息自由流动的基本价值观。第11条规定,针对用于数据统计或科学研究等公益目的的个人数据文件,如果不存在侵犯数据主体隐私的风险,可以对数据主体的权利进行限制。第14条规定,不得仅为保护个人数据而禁止缔约国之间的数据跨境流动。这些规定为数据公益与数据私益的总体平衡提供了有益借鉴。
数据公益与数据私益的双向平衡,是数字时代隐私权保护平衡的重心所在,也是化解数据共享与隐私权保护之间的冲突,改变“重数据私益、轻数据公益”现象的重要立足点。〔26〕数字时代的隐私权保护既要避免以牺牲数据私益为代价追求数据公益的发展,也要防止固守传统隐私权保护模式而阻碍数据公益的发展。作为一种载体,数据在承载私益的同时,亦成为社会风险防控与公共利益维护的重要承载者,数据公益与数据私益的双向平衡十分必要。数据公益与数据私益之间双向平衡的实现,主要通过各利益主体的核心利益保护与非核心利益让渡来实现。〔27〕个体在维护隐私权益与人格尊严的同时,让渡对于非敏感信息进行公开、共享、使用的利益。企业在开发利用数据和提供信息服务的同时,通过让渡利益为敏感信息维护提供良好的数字环境。公共管理机构在收集、共享个人数据信息的同时,防止超出必要限度存储、利用个人数据或干预私人生活现象的发生,为数据公益与数据私益双向平衡的实现奠定实践基础。
(二)约束力与保障力的法律平衡:隐私权与个人信息保护的序位论与协同论
不同于传统法律效力学说将约束力作为效力内容的核心,随着技术、法律、社会的发展,约束力与保障力成为法律效力的两大支柱。〔28〕在提升约束力与保障力的过程中,隐私权保护主要表现为对行为人的限制和约束,个人信息保护则以推动和保障信息的合理利用为基础。正因为如此,有学者指出,隐私权“主要采用法律保护的方式”,个人信息保护方式则更加灵活多样。〔29〕面对复杂的数字社会现实,约束力与保障力的法律平衡,是凝聚隐私权与个人信息保护制度合力的重要前提。
约束力与保障力的法律平衡,构成合理调整隐私权与个人信息序位关系与协同关系的可行性基础。隐私权与个人信息保护的序位论,主要表现为隐私权保护优先于个人信息保护。民法典第1034条明确了隐私权保护优位原则,规定私密信息适用隐私权保护规则。如果隐私规则没有规定,适用个人信息保护规定。与此同时,隐私权与个人信息保护具有共同性、协同性,两者均体现了个人决定在何种程度上与他人进行沟通和交流的自主权利,需要运用协同性来探讨隐私权与个人信息保护的基本法则。〔30〕以约束力与保障力的法律平衡为路径,隐私权与个人信息保护既要遵从序位理论的约束,也要遵守协同论的要求,综合数据主体与数据持有人的立法诉求,解决其中存在的矛盾和冲突。数据主体在使用社交网络平台、交易支付平台等过程中,会形成以数据为载体的一系列网络足迹。这些数据由各种网络平台、数据分析及挖掘企业持有,由此产生了数据主体与数据持有人之间的矛盾和冲突。数据主体要求对数据持有人的行为进行约束,以保障隐私权与个人信息安全。数据持有人要求对自己存储、使用数据的行为进行保障,以分享数字经济的发展红利。数字时代的隐私权保护,需要在充分考虑网络平台、作为数据主体的自然人等主体的现实需求基础上,与网络平台市场竞争机制建设相结合,推动权益体系内在关系的协调,协同推进数字经济与权益保障。约束力与保障力的法律平衡,成为数字时代隐私权理论与法律实践发展的重要立足点。〔31〕
在推进约束力与保障力的法律平衡过程中, 加拿大采用隐私权與个人信息一体保护的立法路径。信息自由和个人隐私法(FIPPA)对个人信息与隐私保护进行了规定,该法案第20条第1款规定,如果披露个人信息会侵犯第三方的个人隐私,公共机构负责人应拒绝向申请人披露个人信息。第2款规定了披露个人信息应当考虑的相关事项,防范对当事人的个人隐私造成侵害,例如,信息披露是为了使公共机构的活动受到公众监督,会促进公共健康和安全或促进环境保护;所披露的个人信息与公平确定申请人的权利有关等。第3款列举了构成侵犯隐私权的个人信息披露行为,如果个人信息涉及医疗、精神或心理病史、诊断状况、治疗或评估,或描述第三方的收入,负债或信誉,与获得社会服务福利的资格或福利水平的确定有关,亦或是在纳税申报表上获得的,则披露个人信息被推定为对第三方个人隐私的侵犯。第4款规定了不构成侵犯隐私权的情形,如第三方以书面形式同意或被要求披露个人信息,为了研究或统计目的并符合相关法律规定的披露行为,披露内容是公共机构授予第三方的许可证或其他自由裁量情形等。处理隐私权与个人信息保护之间关系的立法经验值得借鉴。
(三)用户与经营者之间的利益平衡:数据流转与隐私人格利益排他性保护相协调
用户与经营者之间的利益平衡,以数据经济利益与隐私人格利益之间的协调为核心。传统隐私权益以对人格利益的排他性保护为核心。个人享有隐私权利,其他主体负有不侵害其隐私权益与人格尊严的义务。但数字经济的发展,使数据流转在承载人格利益的同时,负载着可以量化的经济利益内容,出现“人格方面的商业价值、商业利益与非商业利益”的混同,〔32〕并产生“有限排他权理论”“有限控制理论”主张。〔33〕“有限排他权”主张最早应用于知识产权领域,以“阻止他人未经许可向公众传播”。〔34〕在数字时代的隐私权保护过程中,“有限排他权理论”不是以公共传播的限制性条件为导向,而是以隐私权的排他性保护与数字经济开放性之间的平衡为核心。通过法律制度设计平衡数据上所承载的用户与经营者利益,在合理的限度内,促进数据传播与数据流转,激活数字经济发展活力,并排除数字经济发展过程中可能存在的隐私泄露风险和隐患,充分考量其中可能影响持续稳定发展的利益冲突,在利益协调与利益平衡基础上,为数字经济创新发展提供制度保障。以用户与经营者之间的利益平衡为目标,促进数据流转与隐私权排他保护相兼容,是“更好地从后隐私经济中获益”的重要前提。〔35〕
利益平衡原则在数字空间的确立以网络知识产权领域为起始,但在隐私权保护并未形成实体法上的利益平衡原则与程序法上的利益衡量方法相结合的法律架构,并不利于解决数字时代隐私权法律制度内在的价值冲突和利益矛盾。在“新的数据经济利益分配”格局下,〔36〕用户的利益以自由使用数据平台而不受隐私泄露风险的威胁为核心,经营者的利益是以最小的成本实现最大化的数据开发利用及自由流转,从而出现用户与经营者之间的数据利益冲突。解决数据利益的内在冲突,需要建立不同要素之间相互协调的系统,〔37〕推动利益平衡原则在隐私权保护实践中的应用。〔38〕数字时代隐私权保护的利益平衡原则需要通过立法形式加以确立,以平衡用户与经营者、网络使用者与网络服务提供商的利益。通过对数据的收集、查询、处理、流转等环节的立法规制,平衡用户与经营者之间的利益,保障网络使用者对本人数据的可控性,明确网络服务提供商的数据利益与自由边界。〔39〕用户与经营者、网络使用者与网络服务提供商之间利益平衡的核心,是推动数据流转与隐私权排他保护的兼容。
美国采取隐私权人格利益与“公开权”经济利益二元保护模式,通过隐私权与公开权设定分别保护人格权中的精神利益与经济利益。〔40〕与欧洲“权利话语”视角的隐私权保护不同,美国的隐私权保护以“市场话语”为主导,通过贸易规制解决隐私权保护与数据流动之间的矛盾,并形成了隐私权的法经济学理论。〔41〕加利福尼亚州民法典第1798节收录了2018年加利福尼亚州消费者隐私法案的内容,规定收集消费者个人信息的企业应当在收集时或者收集前告知消费者需要收集的个人信息的种类及用途。消费者有权要求收集其个人信息的企业,向其披露所收集的个人信息的种类和具体内容。收到经核实的消费者个人信息访问请求的企业应立即采取措施,免费向消费者披露和交付本节要求的个人信息资料。如果是以电子方式向消费者披露,则信息应为便携式的,并且在技术可行的范围内,应为易于使用的格式,允许消费者将该信息无障碍地传输给其他实体。这一规定为用户与经营者之间的利益协调提供了有益启示。
(四)传统法益与新兴法益的价值平衡:传统隐私界定与数字时代的隐私侵权认定
传统的隐私界定与法益保护以私人空间安宁为逻辑出发点,数字时代的隐私侵权认定与数据法益保护以数字身份不受侵扰为价值追求。传统隐私权理论产生于19世纪,以“一墙之隔”作为认定私人领域隐私权保护边界的标准。数据法益与传统法益的逻辑构造并不相同。数字空间中的私人领域与公共领域之间没有明确的物理边界,不论组织体还是个体在进行数据活动的过程中,距离他人的隐私领域可能仅有一步之遥,数字时代的隐私侵权认定具有特殊性。与传统法益不同,数字时代的隐私利益与数据法益保护面临新兴风险的威胁, 相应的隐私侵权认定与数据法益保护的价值目标,由私人空间的安宁逐渐向数字身份不受侵扰演进。〔42〕私人生活安宁与数字身份不受侵扰,成为数字时代传统法益与新兴法益价值平衡的题中应有之义。
作为应对数据风险的产物,数字时代的隐私侵权认定与数据法益保护主要由技术范式与理论范式两个方面组成。这两个方面的范式转型,打破了传统法益所立足的公共领域与私人领域二元保护模式,推动了二元论向整体论的转变。数字时代隐私权保护技术的发展并不以形成封闭的私人空间为目标,而是在保障主体自由使用网络数据资源的同时,防范隐私泄露风险的威胁。数字时代隐私理论的发展以共享数字经济红利与恪守隐私权保护红线的整体平衡为核心脉络,将整体论与系统观下的隐私权益维护视为理论发展与法律体系建设的关键所在。在整体论框架下,数字时代的隐私权保护需要综合考量传统法益与新兴法益的辩证关系,形成数字社会共同的数据收集、使用、流转规则,推动新兴领域的数据自由与私人生活安宁、传统法益与新兴法益之间的价值平衡。数字时代整体论视阈隐私权保护规则的确立,对于数字经济的健康持续发展具有关键性作用,也为数据法益的发展开拓了新的境界。
数字时代传统法益与新兴法益的价值平衡,以传统隐私界定向数字社会隐私侵权认定的进阶为基础。个人数据保护委员会在防范数字社会的隐私侵权方面发挥着重要作用。新加坡个人数据保护法(PDPA)规定,个人数据保护委员会的职责包括提高新加坡的数据保护意识,提供咨询、技术、管理或与数据保护有关的其他专业服务,就所有与数据有关的事项向政府提供意见等;个人数据委员会可以从管理局的公职人员和雇员中任命个人数据保护专员, 必要时还可以任命一定数量的助理专员、检查员;如果与个人数据有关的数据泄露事件已经发生,应当对数据泄露做出评估,对于依法应当报告的数据泄露事项,相关组织必须在作出该评估之日后的3日内尽快通知个人数据保护委员会,除法律另有规定外,在通知委员会之时或之后,该组织还须通知每一位受数据泄露事件影响的个人;针对未经授权披露个人数据、不当使用个人数据、未经授权重新识别匿名信息等侵权行为,规定了替代性争端解决、审查、发出警示及施加罚款的程序。这些规定为传统法益与新兴法益的价值平衡提供了有益经验。
三、数字时代隐私权保护平衡的原则支撑与规则重塑
数字时代隐私权保护的平衡,遵循平衡性原则的要求,防范隐私数据泄露与可反向识别数据保留带来的风险,通过民法典隐私权与个人信息保护的边界划定及立法协调,数据流转合规审查程序与隐私风险防控程序的有效对接,推动数字社会隐私侵权认定的个案平衡,以及数据违法惩处与和解制度的兼容适用,实现数据利用与隐私权保护的法律平衡。
(一)平衡原则:公共数据共享与可反向识别数据保留限制相平衡原则
“数字中国” 建设中隐私权保护的平衡性原则以公共数据共享与可反向识别数据保留限制相平衡为主要内容。平衡性原则成为应对数字化生存下私人生活安宁危机的重要支撑。数字消费的广泛应用,导致对私人领域的介入和干预从“一门之隔”变成了“一步之遥”。从“隐私止于屋门之前”、“隐私不限于家内”到“隐私不限于物理空间”原则的转变,成为隐私的公民身份功能向信息身份功能转变的重要表现。〔43〕新兴隐私权理论及保护原则的确立,既不能因噎废食,阻碍数据共享与数字红利的增长,也不能以牺牲隐私利益为代价推进数据资源共享与要素自由流动。数字空间公共领域与私人领域的边界模糊,更加凸显了保障安宁的私人空间,守护私密的数字生活的重要性。数字时代的隐私权保护遵循数据共享与隐私保护相平衡的基本规律,可以推进公共数据共享原则与可反向识别数据保留限制原则的平衡协调。
数据共享不是隐私共享,信息公开不是隐私公开。公共数据共享与禁止公开、利用隐私数据原则相对应,共同构成了数字时代运行的基本原则。公共数据共享过程需要对隐私数据进行匿名化处理。经过加工的数据可以公开、共享,“有效平衡了人格权保护与其他价值的关系”。〔44〕各地相继出台的《政务数据资源共享管理办法》,明确规定政务数据资源共享以保护国家秘密、商业秘密和个人隐私为前提。为了提升公共管理效能,防止数据“孤岛化”现象出现,公共数据共享应当成为数字时代的基本原则。与此同时,应当将数据“去标识化”作为数据处理利用的法定条件,通过强制加密、数据脱敏、匿名化等程序设置,最大限度地防范隐私泄露风险的发生。个人数据的强制加密,又可以分为非访问状态的“静态加密”与访问状态的“动态加密”,〔45〕通过多维度多层次的制度设置,有效防止数据收集、流转环节的隐私数据泄露。通过有条件地允许式调整方式,在数据共享过程中隐去可识别的个人数据,成为平衡合理限度内的数据共享与个体隐私权保护的重要实践。
可反向识别数据保留限制原则是平衡数据共享与隐私权保护的重要支撑。数据保留法定情形与例外规定的确立,是持有或控制数据的企业保有、存储个人数据的基本依据。数字技术的广泛应用,不仅使基于大数据技术的数字身份识别成为可能,而且即便是已经排除隐私信息的个人数据,在与其他数据相结合的情况下,仍然能够进行“数据集重新填补成像”,对个人隐私进行反向识别。因此,“经过加工无法识别特定个人”的规定需要在立法或司法解释中进行范围拓展,明确可反向识别的数据保留应当受到限制:第一,尽可能少地收集可识别的数字身份信息,是数据保留限制的基础性原则;第二,对于个人数据的保留,以存在反向识别风险的数据不可转让为前提,并且不应要求企业保留为单个一次性交易收集的个人数据,以及重新识别或以其他方式链接未被视为个人隐私的数据;第三,对于公权力机构而言,只有用于取证打击犯罪的数据可以适用数据保留规定,除此之外的其他情形,在完成数据收集的使用目的之后,应当及时清理个人数据,防范隐私泄露风险的发生。
(二)立法衔接:民法典隐私权与个人信息保护的边界划定及立法协调
数字时代隐私权保护的进阶,并不意味着将一切个人信息纳入隐私保护范围,而是在明确民法典隐私权与个人信息保护边界的基础上,以隐私权优先为原则,推动民法典与个人信息保护立法的协调。民法典人格權编将隐私权和个人信息保护共同列入第6章,反映了数字时代人格利益保护的特殊性。民法典第1034条明确了隐私权与个人信息保护之间的关系,如果没有隐私权保护的特别规定,则适用个人信息保护的一般规定。但这一宣示性的隐私规则仍有待细化、具体化,应当借鉴有益立法经验,将集合信息、政府公开信息、征信信息、驾驶员信息等列入隐私权保护的除外规定当中。集合信息是不能够对个人进行识别的信息,不应当列入数字时代隐私的范围。政府公开信息与征信信息是为社会管理需要而收集、使用的,相关部门可以基于征信等状况对主体作出限制消费等规定。驾驶员信息是保障知情权,让渡特定职业人员数据利益的体现,应当被列入隐私权保护的除外规定。隐私权并不保护当事人自愿公布的数据信息,〔46〕但个人信息保护则需要考量所公开信息的“反向识别”“再次识别”问题。一些信息单独披露没有问题,但这些信息与其他信息相结合,即能够对主体进行准确识别与人格画像,所以即便是主体自愿公开的数据也应当纳入个人信息保护范围。这成为民法典隐私权与个人信息保护边界划定的重要基础。
民法典与个人信息保护立法分别在私益保障与信息安全维护方面, 为数字时代隐私权保护的进阶提供规范支持。民法典第1038条对信息安全保障义务作出明确规定,以防范个人信息泄露。一方面,个人信息保护立法应当与民法典相衔接,推动隐私数据安全保障;另一方面,个人信息保护立法应当通过除外规定的设定, 明确不适用个人信息立法的信息类型, 明晰隐私权与个人信息的边界,允许企业合理利用不涉及个人隐私的数据信息,探索可行的商业模式,提升数字流动的便利性与开放性,最大限度地服务数字经济的提质升级。针对数据流转的开放性特征,个人信息立法还需要与数据立法、市场规制法、民法典相结合,形成平衡数据经济利益与隐私人格利益保障的立法架构。单独依靠一项立法远远不能够满足数字经济时代隐私权保护的现实需求。数据立法、市场规制法、民法典分别从国家数据安全、社会公正秩序、个体权益保障三个方面,推动了数字时代隐私权保护的进阶。数据安全法、个人信息保护法、网络安全法、数据安全管理办法、个人信息出境安全评估办法、儿童个人信息网络保护规定、个人信息安全规范、大数据服务安全能力要求从保障数据安全出发,对数据资源开发利用中的权益保障问题进行规定。反垄断法、反不正当竞争法、消费者权益保护法从保障数据市场公平竞争秩序出发, 对数据资源开发利用中隐私数据保护问题的解决提供支撑。
建议制定数据隐私保护准用性规则, 推动民法典隐私权保护与个人信息保护规则的协同共进。准用性规则是针对不同单行法之间需要参照适用的事项作出的规定。〔47〕由于数据收集、使用、处理中的数据隐私认定、维护、侵权救济涉及的法律关系十分复杂,立法内容覆盖面非常广,仅仅依靠单项法律规定,难以形成防范隐私泄露风险的整体合力。因此,应当从立法衔接出发,在个人信息保护法中规定应以民法典隐私权保护优先为前提,推动个人信息处理及合理利用,明确提出如果个人信息保护法没有规定的,适用消费者权益保护法未经同意不得发送广告信息等规定,数据垄断与不正当的市场竞争行为适用市场规制法的规定。在多维立法的有机协调基础上,形成数字时代的隐私权保护屏障,建立数据立法、市场规制法、民法典对数据生活社会关系调整的有机协调系统,共同形成体系化、系统化的隐私权保护协同立法路径。
(三)程序对接:数据流转合规审查程序与隐私风险防控程序的有效对接
数据流转的合规审查以尽可能少地处理和使用个人数据为指引。数据流转合规审查程序是数据流转的基础性程序。数据企业必须明确告知数据流转的目的、用途、必要性,数据流转目的的正当性及必要性由相关企业负责证明,并且不允许在数据活动开展过程中随意改变原有目的或用途,不允许任何超权限的数据开发利用,更不允许在履行告知义务的过程中,通过行为诱导个人授权数据流转。如果在数据活动过程中,确因客观原因发生变化而需要改变数据用途的,应当重新履行告知义务,并获得关于数据用途的明确许可和同意,才能够继续数据活动。这里的告知方式包括通过隐私政策、即时通知、用户协议等方式履行告知义务。与此同时,知情同意格式条款的设定需要在数據机构进行备案审查,严格禁止“默认勾选”式网络协议。通过对于隐私数据保护的明确告知,最大限度降低知情同意程序适用的法律风险,防范滥用格式条款现象的发生。
建议设置数据流转与再传输的访问权限审查程序。数据流转与再传输过程涉及主体众多,但不是所有主体都享有数据的访问权限。除数据主体有权访问其数据之外,个人数据访问权限可以适当地扩大。在这方面有两种观点:一是主张仅由特定人员负责个人数据流转,其他人员无访问权限;二是主张不同职级职员享有不同的数据访问权限。根据数据活动的特征,在数据流转与再传输过程中,将数据流转与再传输的访问权限具体到数据活动的负责人,能够在权责统一的基础上,更好地敦促相关负责人履行隐私保障义务,在进行数据流转与再传输时,采取安全保障措施,有效地防范数据滥用。建议企业设置首席隐私官,由其负责访问权限规定执行情况的审查,推进数据自由流动与数字时代隐私人格利益保护的平衡。
在数字经济发展过程中,数据流转合规审查程序与隐私风险防控程序的有效对接,对于平衡数据流转经济利益追求与隐私人格利益保护要求之间的冲突至关重要。从解决数据流转与用户隐私人格利益排他性保护之间的冲突出发,对数据企业、网络平台的隐私风险防控程序设置作出细化规定,是保障数字经济的持续稳定发展的必由之路。随着数据市场竞争的推进,经营者数据流转经济利益呈现分化趋势,数据不公、数据垄断成为影响行业公平竞争的新因素,但数据流转合规审查程序与隐私风险防控程序设置尚不健全, 网约车等平台的隐私泄露风险防控义务缺乏细化的法律规定,对于数据巨头收集、存储、处理、使用数据的行为规制亦不健全,脸书、优步、谷歌等企业均出现了泄露数据隐私现象。但单一的审查程序设置无法避免隐私数据泄露风险,数据流转合规审查程序与隐私风险防控程序的有效对接,成为私人生活、私密空间、私密活动、私密部位、私密信息不受干扰和侵犯的重要保障。针对数据流转中的法律规避行为,不仅需要在数据流转合规审查中设置隐私保护及比例审查程序,而且需要从隐私泄露风险防控出发,与隐私标识符设置相结合,推动隐私风险防控程序的建立和完善, 为隐私权益保护与数据正义的实现提供良好的数据竞争环境和程序法支持。
(四)法益衡量:动态系统论视阈下隐私侵权认定的个案平衡规则及制度兼容
建议确立数字社会隐私侵权认定的个案平衡规则,综合考量不同行业隐私权保护所面临问题的特殊性,确立动态系统论视阈下的隐私法益衡量规则。根据动态系统理论,“在个案中,不仅要确定相关的因素,同时也要尽可能地衡量不同因素在个案中的权重”,以此“寻找一个平衡的观点”。〔48〕数字社会隐私侵权认定的考量因素具有复杂性,对于一个主体而言是隐私的数据,对于另一个主体来说可能是期待广而告知的信息。例如,电话、邮件对于普通民众来说是隐私内容,但对于经纪商等从业者来说则并不是隐私数据。机械地将某一类数据列为应当严格限制公开的隐私内容,并不适应当下复杂的数据生活社会关系调整要求。概括式保护模式虽然执行起来相对简单,但可能会降低数字经济发展的质量。隐私侵权认定的个案平衡,需要从不同行业的特殊性出发,有针对性地完善相应的制度设计。针对这一问题,建议成立数据安全委员会,并在教育、医疗、交通等行政主管部门中分设数据隐私维护办公室。这一委员会应在国家网信部门指导监督与统筹协调下展开工作,负责数据隐私保护、数据安全维护工作。教育、医疗、交通等行政主管部门中分设的数据隐私维护办公室,负责具体领域的数据隐私保护事务,分别对涉及未成年人数据隐私、健康医疗数据安全、地理位置信息等数据活动进行专项监督管理,并有权依法出具认定意见。
建议设置隐私侵权责任认定的个案价值协调与法益衡量规则。第一,设立网络平台侵权人信息的报告义务与侵害事实披露制度。不仅司法机关有权要求网络服务提供商48小时内如实提供涉嫌侵权的行为人名称、网络地址等信息,行政主管机关同样有权要求数据企业提供侵权人信息,并要求其履行隐私侵害事实的披露义务。第二,与禁令制度相结合,综合考虑受害人、行为人、行为方式等因素,建立数据隐私无形性损害救济与惩罚性赔偿制度。通过区别于填平原则的惩罚性赔偿规定,最大限度地恢复受害人的正常生活,对赔礼道歉的数据传输形式作出强制性要求,提升违法的成本,与数字社会隐私侵权对不特定主体的危害相适应,推动相应的责任制度升级。第三,建立未成年人数据隐私影响评估与可注册平台年龄筛查制度,严格禁止出售未成年人数据行为,并且经过未成年人父母或其他监护人同意,不可以成为出售未成年人个人数据的豁免条件。社交网络平台、网络游戏等平台应当对网络使用者的年龄进行筛查,对未成年人能够注册登录的数据库进行严格限制。通过法律规定,设置未成年人数据隐私影响评估与未成年人擦除网络痕迹请求权,明确规定涉及未成年人的网络项目、数据活动需要进行隐私影响评估。企业需要将隐私影响评估报告提交给相关部门,以促进传统法益与新兴法益的价值平衡。
建议制定数据泄露及隐私侵权的惩罚性赔偿责任条款,并通过数据违法惩处与和解制度的兼容适用,形成隐私侵权的立体追责体系。数据泄露及隐私侵权案件既关涉数据私益保障问题,也涉及数据公益维护问题。对于批量侵害数据公益所引发的后果,无法用补偿性责任来弥补和恢复,而需要以惩罚性赔偿责任捍卫数字空间不特定主体的隐私权益。与此同时,在处理数据泄露及隐私侵权案件过程中,单独推进惩戒不利于对不特定主体遭受的损害进行恢复,而须通过数据违法惩处与和解制度的有效对接,形成系统化的责任制度设计。数字时代隐私侵权认定个案平衡规则的法律适用,以数据违法惩处与和解制度的兼容适用为路径。通过数据违法惩处与和解制度的对接与制度兼容,针对具体的个案情形,形成符合个案正义的责任认定结论。这对于数字经济与隐私保护平衡理念的实现具有重要意义,也成为数字社会隐私侵权法律责任制度发展的必然趋势。为避免所支付的和解金显著低于隐私侵权的损害,协商所达成的和解协议应当经数据机构的备案审查,才能够予以实施。同时,根据数据信息泄露的实际状况,和解协议的达成需要全面覆盖不同地域、不同领域的隐私侵权受害方,从责任制度转型出发,倒逼企业采取数据安全计划,从根本上防范数据风险的发生,营造良好、安全的隐私保护环境。
結语
隐私权形成于传统社会,以私权、支配权、排他性权利为重要特征。在互联网与大数据技术时代面前,人们所期许的“大隐隐朝市”的私人空间近乎透明地呈现在数字生活当中。数字技术的发展正在消解原有的隐私边界,给数字时代的隐私权保护带来内生性矛盾与多重张力。数据共享要求与隐私权保护价值目标之间存在矛盾,隐私权与个人信息保护交叉重叠,数据流转经济利益追求与用户隐私人格利益排他性保护要求存在冲突,以“填平”为原则的私益救济与数字社会隐私侵权对不特定主体的危害不相兼容。针对这些问题,数字时代的隐私权保护亟须完成平衡的法理构造与规则重塑。从数据公益与数据私益的双向平衡、约束力与保障力的法律平衡、用户与经营者之间的利益平衡、传统法益与新兴法益的价值平衡出发,合理借鉴域外隐私权与个人信息的区分保护和一体保护二元模式,推动数据共享与隐私权保护冲突的化解,隐私权与个人信息保护的序位论与协同论的发展,数据流转与隐私人格利益排他性保护的协调,以及传统隐私界定向数字社会隐私侵权认定的进阶,形成数字时代隐私权保护战略平衡的原则支撑与规则架构。针对新兴的数据风险,从平衡原则、立法衔接、程序对接、法益衡量出发,确立公共数据共享与反向识别个人数据保留限制原则,推动民法典隐私权与个人信息保护的边界划定及立法协调,促进数据流转合规审查与隐私风险防控程序的有效对接。在动态系统论视阈下,建立隐私侵权认定的个案平衡规则,推动数据违法惩处与和解制度的兼容适用,为数字时代战略制高点的守护提供坚强保障。