肖 潇
2021年10月18日,习近平总书记在十九届中央政治局第三十四次集体学习时讲话指出:“数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。”(1)习近平:《不断做强做优做大我国数字经济》,《求是》2022年第2期。无论是从国内还是从欧盟对数字身份的治理实践都可以看出,数字经济健康发展的基本前提是构建以数字信任为基础的数字身份。(2)国强、李新友:《欧盟数字身份进展情况研究》,《信息安全研究》2020年第7期,第587页。尤其是以数字身份为形式的交易身份已经在全球范围内被广泛利用,数字身份正在成为个人在数字时代进行交易的主要手段。(3)Clare Sullivan, “Digital Identity and Mistake”, International Journal of Law and Information Technology, Vol.20,No.3,2012,p.224.目前蓬勃发展的数字经济正是以身份信息收集和转换为资本的能力为重要的核心竞争力,信息和数据正在成为资本的重要来源(4)汝绪华、汪怀君:《数字资本主义的话语逻辑、意识形态及反思纠偏》,《深圳大学学报(人文社会科学版)》2021年第2期。,而此种身份形态正是数字身份。
国内外理论界对于数字身份的概念存在不同理解,一种观点认为,数字身份是独一组描述个体数据,是个体的所有在数字上可得信息的总和(5)Julian Kinderlerer, etal., Ethics of Information and Communication Technologies, Brussels: European Commission,2012,p.38.;另一种见解认为,数字身份即法定身份的数字化,例如健康码可以塑造数字身份(6)胡凌:《健康码、数字身份与认证基础设施的兴起》,《中国法律评论》2021年第2期,第103页。;还有观点认为,数字身份即“在线身份”(online identity) ,是个体在互联网上使用的身份,当从事在线活动时其身份主体能为电子技术手段可及(7)邱仁宗、黄雯、翟晓梅:《大数据技术的伦理问题》,《科学与社会》2014年第1期。;类似见解认为数字身份是用以区分网络用户的身份标识(8)钟红山:《数字身份的法律效力及其应用》,《商业时代》2004年第17期。。实际上,对于数字身份概念理解的差异源于对数字身份观察维度的不同,本文所指涉的数字身份是以数字形式存储和传输的信息组成的个人身份,可以根据存在样态的不同,区分为静态数字身份和动态数字身份,前者如账号密码或者区块链上的身份,后者如通过网页历史记录对用户进行的画像或者标识。(9)Clare Sullivan, “Digital Identity and Mistake”, International Journal of Law and Information Technology,Vol.20,No.3,2012,p.225.数字身份是与公民法定身份是截然不同且相对的概念,后者建立在以户籍登记为确认程序、以身份证号为标识码的身份之上,在技术层面法定身份已经延伸至面部数据、指纹数据、声音数据等生物识别特征数字化;前者仅关注网络空间中的身份,并不关注真实身份信息(法定身份)。
传统理论中,个人信息保护关注的是自然人身份。(10)程啸:《个人信息保护法理解与适用》,北京:中国法制出版社,2021年,第59-60页。《个人信息保护法》第4条第1款规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”该规定采取正反两方面规定的方式,明确将“匿名化处理后的信息”排除在个人信息之外,原因在于此种信息已经丧失个人信息所要求的直接或者间接可识别性的特征,不再属于个人信息,其流动也就不再受到权利人同意等限制。(11)江必新、郭锋主编:《〈中华人民共和国个人信息保护法〉条文理解与适用》,北京:人民法院出版社,2021年,第40页。但是“匿名化处理后的信息”并不等于匿名主体的信息,《个人信息保护法》第4条关于个人信息的界定提炼了已识别和可识别两项标准,但究竟何为可识别则存在解释空间。一般而言,可识别针对的是信息本身对自然人身份的识别可能性,强调的是一般大众基于该信息对自然人身份的识别,而非行政机关或者司法机关等利用技术手段的识别可能。数字身份则采取截然不同的逻辑,数字身份并不关注自然人身份,它是类似于标识符号一般的存在,其传导链条为“数字身份信息—数字主体—公民身份”。数字身份蕴藏着巨大的商业价值,但与之不匹配的是,数字身份的权利配置无论是在规范上还是在法理上均不成熟和完备。症结在于,数字身份具有极强的虚拟性,其主体性难以得到理论证明或者事实证明。正是由于数字身份常常无法直接对应到自然人,导致数字身份被商家大量利用而不必遵循隐私权和个人信息保护规则,针对数字身份的名誉侵权等行为也未得到有效规制,等等。在实践中,常常发生数字身份被冒犯、数字身份被盗用、数字身份易追溯、数字身份认同等法律和伦理问题(12)董军、程昊:《大数据时代个人的数字身份及其伦理问题》,《自然辩证法研究》2018年第12期。,其根源在于,数字身份的权利配置未得到正视。一言以蔽之,数字身份是否能够建构和生成权利以及何种权利则成为数字时代不容忽视的新命题。
第一,虚拟性和不稳定性是数字身份的基本特征,数字身份可以通过假名、匿名与头像、签名等结合的方式在网络空间行为。但是,这些身份信息通常具有虚拟性或者虚假性,由此造成至少两方面的困境:其一,作为数字身份主体,以数字身份具有虚拟性为由肆意行为而不必承担严苛的法律责任,从法经济学的层面讲,低成本或者低代价的行为客观上能助长侵权行为。从社会学的角度来看,数字身份是人得以释放压力、宣泄情绪的“宝地”,也正是由此形成了数字身份的异化现象。(13)张婧羽、李志红:《数字身份的异化问题探析》,《自然辩证法研究》2018年第9期。数字身份中基于个人数据的身份信息,容易导致身份盗窃或者伪造,进而导致财产损失和精神伤害。而且,数字身份具有不稳定性,这意味着可以很容易隐藏数字身份或者更改内容,扩张数字身份的不受约束性。但是,数字身份主体的行为自由被放大,不仅可能损害他人合法权益,而且可能损害国家利益或者社会公共利益。其二,尽管存在社群规范和平台自治规则的约束,但是此种约束毕竟是有限的,尤其是对受害者的损失并未得到行之有效的弥补和妥当的处理。例如,依循传统观点认为,对虚拟主体无法造成精神损害,因此不符合侵权责任的损害要件。(14)李会彬:《网络言论的刑法规制范围》,《法治研究》2014年第3期。概言之,数字身份的风险性值得关注和警惕,数字身份的虚拟性在客观上助长了行为人的侵权动机,且将受害人置于褪去权利外衣的裸露的法外空间。
第二,毋庸置疑的是,网络空间的匿名性、假名性导致了网络空间的不信任。尽管个体都会在形式上提供大量关于自己的信息,但是这些信息是否属实则难以为相对人所知晓和查证。这是数字身份的固有属性,也正是这种性质导致了数字时代的有限信任,“以文本为基础的网上交流语境的某些特征强烈排斥在这种语境中发展亲密的友谊关系”。(15)在线亲密性是个相互对立的范畴:一方面,个体表现主义盛行,计算机媒体通信(Computer Mediated Communication, CMC)语境为人们表达和发展个性,并与他人建立关系提供了许多新空间,空间和身份的虚拟可能使得个体更愿意以数字身份进行各种表达;但另一方面,网络交流环境决定了亲密的有限性。(16)[荷]尤瑞恩·范登·霍文、[澳]约翰·维克特主编:《信息技术与道德哲学》,赵迎欢、宋吉鑫、张勤译,北京:科学出版社,2013年,第103页、第102-103页。可以注意到,在当下的网络空间中,越来越多的人以实名方式在网络空间中行动,这也从侧面反映出来了个体意识到网络空间中的虚拟性阻碍了他们的亲密交流。由此观之,数字身份信息具有特殊性,在为数字身份进行权利配置时需要在表达自由与个人信息保护之间寻求平衡。
第三,数字身份并非仅仅是信息元素的集合,它更是一个关系符号。身份的本质是关系符号而非信息元素,因此通过个人信息对身份信息施加保护时,不能忽视其关系符号的特性。就此而言,将可识别性作为个人信息的判断标准是值得商榷的。值得思考的是,现行法关于隐私权与个人信息保护的规定能否契合以数字身份为核心建构的新型网络互动模式?实际上,大数据技术的应用人工智能的发展,存在消解主体边界和主体关系结构的问题。(17)陈璞:《论网络法权构建中的主体性原则》,《中国法学》2018年第3期,第75页。运用隐私权和个人信息保护规则对数字身份进行保护存在法理困境,数字主体在网络空间中强烈的表达主义,而且通过公开个人信息可以从社交网络中受益,因此数字身份主体在网络空间中可能已经接受了身份冒险,即将自己的个人信息公之于众。从某种意义上说,数字身份主体已经同意了数字身份信息的使用。但是,数字主体通常是基于要么接受、要么放弃的方式对数据进行控制,此种模式下的知情同意可能落入“自治陷阱”,因此依靠个体控制难以实现权利保护目的。(18)Paul M. Schwartz, “Privacy and Democracy in Cyberspace”, Vanderbilt Law Review,Vol.52,No.6,1999,pp.1660-1662.
第四,尽管数字身份存在对生命实体进行数据化的特征,但是数字身份在形式上却未必能够直接对应到个体法定身份。例如,网页浏览记录作为个体在互联网上的行为记录,这种记录与法定身份缺乏直接联系,任何个体都可能利用该台计算机浏览该网页。但无论如何,个体的浏览网页行为是具备数字身份的主体所实施的。个体在特定的数字身份之下是否构成民事法律主体,并进而配备权利义务则成为不得不直面的理论问题。数字身份与法定身份存在显著区别,数字身份对应的是一个精准的标识符,在这个意义上,数字身份是信息的集合。数字主体从不同维度不同面向观察,具有不同的内容。例如,在技术层面,数字主体是用数据建构起来的身份虚体,本质上是数据聚合的产物。在个体层面,数字主体是对生命实体的数据化,对现实主体的网络化。(19)徐强:《抑像抑或真实:数字主体的身份确认》,《南京师大学报(社会科学版)》2022年第1期,第160页。在法律层面,数字身份则是实体社会中民事主体的延伸。(20)李佳伦:《网络虚拟人格对民法典中民事主体制度的突破》,《法学论坛》2017年第5期,第56页。在福柯看来,主体性的建构离不开话语的生产。同理,数字主体在网络上每生产一次数据,主体性便被重构一次。就此而言,数字身份具有多元性。
在数字时代,隐私透明化、数据错误、算法控制、数字鸿沟等情形引发数字难民现象,或许这是现代性到后现代性进化的必由之路。(21)颜昌武、叶倩恩:《现代化视角下的数字难民:一个批判性审视》,《学术研究》2022年第2期。在此背景下,重塑数字主体的权利,对数字身份进行合理的权利配置能够弥合数字时代的现代性难题。数字身份与生命实体是个体在数字时代一体两面的形象,“真正需要重塑的不是虚拟世界的数字主体,而是实存世界的现实主体”(22)徐强:《抑像抑或真实:数字主体的身份确认》,《南京师大学报(社会科学版)》2022年第1期,第157页。,与其说是对数字身份的权利重塑,不如说是对自然人主体制度的权利重构。学理上,已经有学者开始关注到数字身份权益同样受到个人信息保护规则的保护,对可识别性进行了理论反思,提出“蕴藏在个人信息背后的个人身份权益及数字化方式呈现的数字身份权益,才是个人信息保护的对象”。(23)陆青:《数字时代的身份构建及其法律保障:以个人信息保护为中心的思考》,《法学研究》2021年第5期。事实上,为数字身份配置权利应当遵循数字身份与自然人权利的共性及其特殊性要求。
数字身份具有商业价值,它甚至构成数字资产的基本要素和重要内容。尽管数字身份具有虚拟性,但是无论如何数字身份以特定的个体为行为主体,以数字身份进行交易的主体仍然是现实主体。因此,对于商家而言,通过对数字身份的数据挖掘和信息分析,可以实现广告的精准投放,最大化商业宣传效果。事实上,在网络世界中,不仅可以实现对消费者或者用户的画像,同样可以实现对数字身份背后数字主体的画像。饶有趣味的是,用户画像的效果并不会因为数字身份的虚拟性而被消减。有鉴于此,法国法上承认并保护个人与其数字身份的心理联系以及由此产生的经济潜力,认识到当个人的数字身份遭到破坏时对个人造成的心理和经济伤害。(24)Clare Sullivan, Sophie Stalla-Bourdillon, “Digital Identity and French Personality Rights-A Way Forward in Recognising and Protecting An Individual’s Rights in His/Her Digital Identity”, Computer Law & Security Review,Vol.31,No.2,2015,p.279.
数字身份兼具私益与公益混合的利益面向。尤其是在数字时代,数字治理成为国家治理的基本模式,数字身份作为数字治理的重要一环,其中蕴含着公益属性:一方面,以数字身份为核心建构起来的主体对公共利益的可能侵害性;另一方面,其他主体对数字身份的推算也可能危及国家安全和社会稳定(25)葛秋萍、王珏:《大数据技术应用中个人数字身份的伦理规制》,《中州学刊》2020年第10期,第98页。。数字身份赋权不仅是应对数字身份主体可能遭受来自他人的侵害之虞,也是维护公共利益的应然抉择。
总之,在互联网所创造的新型互动模式和交易模式之下,传统的民事主体理论和制度必然会受到冲击,与之匹配的民事权利体系也应当得到重塑。
第一,网站经营者利益的让渡。美国在《通信规范法》(Communications Decency Act,1995)第230条规定“交互式计算机服务的提供者或用户不得被视为其他信息内容提供者提供的任何信息的发布者或发言人”(26)47 U.S.C. § 230.,这意味着任何发布第三方内容的在线中介(互联网服务提供商 (ISP)或交互式计算机服务提供商)受到一系列法律的保护。尽管某些刑事和基于知识产权的索赔有重要例外,但该项法案为在线中介创造了广泛的保护。可以说,在互联网发展早期,此项法案使创新和在线言论自由得以蓬勃发展,但是互联网已经进入到一个由注重效率转变为注重公平的阶段。(27)涂子沛:《数文明:大数据如何重塑人类文明、商业形态和个人世界》,北京:中信出版社,2018年,第275页。目前,平台经济的高速发展,理应为平台施加相应的法律义务和社会责任,让渡部分利益。在具体理论路径上,应当赋予网站经营者对平台的所有权人地位。理由在于,网站经营者对网站行使完全的支配控制权,并能从其网站运营中通过在网站上销售商品、销售用户信息和开放广告空间获得利益。(28)网站运营商还通过使用clickwrap协议和使用条款对其用户行使法律权力。(29)Nancy S. Kim, “Website Proprietorship and Online Harassment”, Utah Law Review,Vol.2009,No.3,2009,pp.1034-1035.他们可以要求用户注册,阻止某些互联网协议地址,并删除内容。
第二,最大化平台自治约束力。基于数字身份的特殊性,宜在平台自治与法律介入之间寻求平衡,完善平台对数字身份的权益保护。例如,平台可以完善其惩戒机制,在发生行为人对其他数字身份主体实施不当行为时,根据行为的类型和后果,参照法律救济方式进行惩戒。例如,在侵犯数字身份的人格权益时,要求其在社群范围内进行赔礼道歉;在侵犯数字身份的虚拟财产权益时,剥夺行为人的虚拟财产,并赔偿给受害人。诸如此类的方式其实正是契合劳伦斯·莱斯格所说的“网络空间的生活主要是由代码来规制的”。(30)[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》(修订版),李旭、沈伟伟译,北京:清华大学出版社,2018年,第91页。
第三,数字身份的主体地位。数字身份的主体地位一直存在争议。以虚拟空间中的数字化身为例,其能否取得权利主体地位便存在“肯定说”(31)李晶:《论人工智能虚拟偶像的法律性质》,《浙江社会科学》2020年第9期,第62页。“否定说”(32)陆青:《数字时代的身份构建及其法律保障:以个人信息保护为中心的思考》,《法学研究》2021年第5期,第19页。两种截然对立的观点。实际上,数字化身也是数字身份,但是取得权利主体地位的是数字身份对应的法定身份。我们难以否认现实世界中存在主体对虚拟空间中的数字化身享有权利。传统观点认为,虚拟主体并非法律主体,无法成为被侵权人,对虚拟主体的侵权必然影响现实主体。(33)孙占利:《虚拟主体基本法律问题探略》,《法学评论》2008年第2期,第52页。但实际上,此种观点无法解决实践中的一些问题,例如商家通过IP地址向电脑用户定向投放广告或者收集信息。因此,正视数字身份的主体性地位,是对数字身份权利配置的基础。哈贝马斯在《交往与社会进化》一书中对主客体关系的论述尤为精辟,他引导我们反思以数字身份建构的个体,究竟数字身份是网络世界的客体还是主体?人受网络世界奴役,成为网络世界的附庸,抑或人主宰网络世界,通过数字身份实现个体价值。有论者直陈,数字世界的真正主宰既不是生命实体,也不是身份虚体,而是平台、算法和资本。(34)徐强:《抑像抑或真实:数字主体的身份确认》,《南京师大学报(社会科学版)》2022年第1期。但平台的营利属性决定了其与数字主体截然不同的利益诉求。“商业平台在乎的只是以广告营销为目的的信息可追溯性”。(35)[法]让·保罗·富尔芒托等:《数字身份认同:表达与可追溯性》,武亦文、李洪峰译,北京:中国传媒大学出版社,2021年,第7页。对数字主体的身份确认,就是重构人的主体性,强化生命实体在虚拟世界中的主体地位。(36)徐强:《抑像抑或真实:数字主体的身份确认》,《南京师大学报(社会科学版)》2022年第1期。此外,数字身份以网络虚拟空间为平台,需要妥当地在虚拟世界与现实世界中搭建桥梁。这个桥梁既不能过度限制私人在虚拟空间中的自由,剥夺虚拟空间的核心优势,也要服务于网络治理。因此,只有建构了数字身份主体性,数字身份才能够被有效规制和治理,这是社会治理的重要环节,同时数字身份的数字主体的合法权益才能得到保护和捍卫。
“法权的网络化进程不仅要照顾信息技术发展的客观规律性,更要坚持把人的价值属性摆在首要位置。”(37)陈璞:《论网络法权构建中的主体性原则》,《中国法学》2018年第3期,第75页。不过,数字身份主体的人格权利常常难以得到法律支持,其根源在于法律上推定数字身份的虚拟性与法定身份的社会现实性之间存在脱节。但是,数字身份人格权利却常常具有保护的价值。以名誉权为例,由于虚拟社会评价的现实性,虚拟社会评价完全可以造成精神痛苦与财产损失,因此虚拟主体的名誉与现实主体的名誉具有同等保护的价值。(38)葛江虹:《论网络虚拟名誉及其民法保护》,《河南大学学报(社会科学版)》2017年第4期,第4页。法定身份之所以重要,是因为以物理世界中的真实身份建立起的信誉和信任,本质上是一种社会关系,与此类似的是,数字身份在相应的社群中,也逐渐培养了互联网信任和社群信任,甚至互联网信任与真实的人之间的信任常常发生混淆。
按照《民法典》和《个人信息保护法》关于个人信息的界定,“可识别性”作为个人信息的基本判断标准,那么可识别性究竟是仅仅指涉真实身份,还是真实身份和数字身份兼而有之?换言之,具有识别“数字身份”的信息是否同样值得法律保护不无疑问。例如,通过ID、PIN、MAC、DNS掩码或者其他的硬件设备或者网络信息即可以链接到数字身份,但无法直接链接到真实身份,此时的数字身份是否值得运用个人信息保护规则进行保护?可以注意到,对于某些人而言,在互联网空间中,数字身份信息可能比真实身份信息更重要;同样地,对于另外一些人而言,相较于真实身份信息,数字身份信息可能并不那么重要。价值的多元性与互联网所拓展的交流空间交织,完全可能呈现前述境况。因此,我们不能主观地将个人信息保护范畴限定在法定身份,数字身份是数字时代不容忽视的身份形态。
数字身份前所未有地开启了个人掌控自我形象、建构声誉的可能性,从更大范围看,数字身份有助于建立社交圈,而社交圈关系便直接关系到数字身份的集体维度。(39)其实,数字身份的权利并不限于建立起数字身份的名誉,与法定身份同样地,数字身份能够建立起系统的人格权利。兹以隐私权和匿名权举要说明。
互联网的公共空间并非仅具有公共属性,公共空间的私人属性常常遭到忽视。(40)[法]让·保罗·富尔芒托等:《数字身份认同:表达与可追溯性》,武亦文、李洪峰译,北京:中国传媒大学出版社,2021年,第26页、第89页。数字主体在网络空间中活动本身并不意味着其完全让渡了在公共空间的私人权利。尤其是在数字时代,数据已经成为隐私的主要载体,隐私将成为首要的社会问题。(41)涂子沛:《数文明:大数据如何重塑人类文明、商业形态和个人世界》,北京:中信出版社,2018年,第235页。有论者认为,数字技术并没有改变传统隐私的核心价值和范畴,即私人空间的不受侵犯性。(42)[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》(修订版),李旭、沈伟伟译,北京:清华大学出版社,2018年,第216页。但值得思考的是,数字身份所配置的私人空间范围是否与传统身份的私人空间能等同视之。本文认为,传统身份的私人空间以真实的特定社群为参照空间,私人空间的非法暴露可能导致真实身份所配置的名誉、形象等遭受破坏或者改变,无论这种隐私是好的还是坏的,都与当事人的自身意愿相左,其底层逻辑是对人格尊严和人格自由的侵犯。数字身份的私人空间具有多元性,可能面向多个完全不同的社群,因此针对每个社群均可以建立起隐私边界。隐私与羞耻感存在密切联系,隐私的保护对象其实是个体作为社会主体在社会中的形象地位,即自我表现或者表达的内容与自己在社会中树立的形象发生背离,从而可能有损自身的社会评价。(43)J. David Velleman, “The Genesis of Shame”, Philosophy and Public Affairs,Vol.30,No.1,2001,pp.27-52.数字身份同样具有可信度的需求,个体凭借在特定社群中建立的数字身份形象,能够享受人格尊严,获取人格自由,相应地,此种人格自由和人格尊严也理所应当地得到尊重和捍卫。
在大数据时代,数字身份的可识别性得到增强,这意味着隐私时刻处于被暴露的危险境地。如果非法追溯数字身份可能违背数字主体的初衷,侵扰数字主体的生活安宁,构成对隐私权的侵犯。数字身份的隐私风险来自两方面:其一,随着实名制的发展,数字身份绑定了个人真实身份信息,并可能存储隐私信息,存在隐私泄漏和盗用身份信息等风险;(44)阮晨欣:《法益衡量视角下互联网可信身份认证的法律限度》,《东方法学》2020年第5期,第45页。其二,数字身份在社群中本身的隐私或者信息,例如盗用他人账号泄露他人的聊天记录。前者是数字身份对应的法定身份对应的隐私或者信息,后者是数字身份本身的隐私或者信息。在实践中,侵犯数字主体的隐私权的案例屡见不鲜,尤其以“人肉搜索”为典型。在轰动一时的“铜须门事件”中,网游会长与已婚网游会员发生“一夜情”,众多网友通过“人肉搜索”将该网游会长身份信息公之于众。(45)搜狐网:《魔兽世界惊爆“铜须门”》,http://news.sohu.com/20060429/n243059990.shtml,2022年6月25日。隐私与个人信息的范畴并非泾渭分明,个人信息的披露如果不符合主体的合理期待,那么即构成隐私信息。例如,在前述“铜须门事件”中,该网游会长在网游世界中活动,并没有披露其个人身份信息的期待,但是网民将数字主体在网络空间中的信息及私密活动与真实身份信息结合,便构成了隐私信息,受隐私权的保护。
在特定网站浏览网页,即便网站通过算法向数字主体进行个性化推荐,但是这个被推荐页面通常仅能为该数字主体自己控制,并未散诸公共空间,数字主体隐私被侵犯的可能性便大大降低。与之不同的是,在公共空间中,为数字主体设置“可能感兴趣的人”或者“可能感兴趣的内容”则会变相披露数字主体的隐私。最近引起轰动的“微信读书案”即为适例,根据《微信读书软件许可及服务协议》,该案中的读书信息包括但不限于用户的书架、正在阅读的读物、读书想法及读书时长等用户使用该App的主要痕迹。这些信息的组合,在一定程度上可勾勒出具体用户的人格侧面,影响其社会评价。在该场景中,读书信息属于个人信息。在未明确告知的情况下,App运营者向未主动关注的好友默认公开读书信息不符合用户的合理预期,构成对个人信息权益的侵害。(46)黄某与被告腾讯科技(深圳)有限公司广州分公司、腾讯科技(北京)有限公司隐私权、个人信息权益网络侵权责任纠纷,北京互联网法院(2019)京0491民初16142号民事判决书。当读书信息积累到一定数量,汇集融合前述信息可能会暴露用户不愿为他人知晓的私密活动或私密信息,从而侵害用户的隐私权。
不过,虽然“通知—删除”是将隐私法扩展到互联网的一个潜在解决方案,但侵权法也可能扩展到保护数字领域的隐私。(47)Jana McGowen, “Your Boring Life, Now Available Online: Analyzing Google Street View and the Right to Privacy,” Texas Wesleyan Law Review,Vol.16,No.4,2010,p.492.“通知—删除”在数字身份隐私侵犯的情境中,数字身份的权利行使将面临“我就是我”的证明难题。实际上,如果是数字身份所在平台内的隐私侵犯,平台可以结合注册时提交的验证问题对数字身份进行验证,如果平台无法完成此项验证,平台应当负担责任;在平台外的隐私侵犯,则在用户发出通知之后,其他平台应当结合一般观念对相应信息是否侵犯隐私进行基本的审查,这是一般的注意义务。
值得注意的是,随着区块链技术的发展,以去中心化为核心特征建构的公私钥体系取代传统互联网的身份认证体系,其应用领域深度拓展,区块链甚至被称为下一代云计算的雏形。在这个层面上,区块链中的公私钥即为用户的数字身份。去中心化数字身份认证和隐私保护方法是兼顾效率与安全的信任机器和数据加工厂,可以在金融、国防和物联网等诸多领域发挥作用。例如,区块链、去中心化身份标识、PKI和可验证声明等技术的结合,构建了去中心化可信数字身份的基础,而同态加密、代理重加密、环签名等技术则构成了隐私保护的基础技术。(48)汪德嘉、宋超:《数字身份:在数字空间,如何安全地证明你是你》,北京:电子工业出版社,2020年,第1页。区块链数字身份的安全系数高、保密性强、成本低廉,但是此种数字身份的去中心化特征引发的难题是,此种数字身份是否还享有权利,此种权利依靠什么得到保障,这将是未来需要回答的理论议题。
“匿名作为一种特权”成为数字时代的新命题之一。(49)[荷]霍文等主编:《信息技术与道德哲学》,赵迎欢、宋吉鑫、张勤译,北京:科学出版社,2013年,第156-158页。这意味着,一方面,原则上任何人不能破坏他人匿名的自由;另一方面,只有在面对正当利益权重高于掩盖真实身份的自由时,通过正当和规范的程序,才可以不经数字主体同意而在数字身份与真实身份之间建立联系,这可以称之为“刺破数字身份的面纱”。数字身份以网络为活动空间,此种公共空间层面的匿名权,既是一种宪法权利,在民主社会,匿名权是很多权利的基础,例如言论自由、集会自由(50),也是一种人格权利。
无论是社交、电商平台还是搜索平台,其核心功能均在于记录,“淘宝记录消费、微信记录社交、百度记录全网信息和搜索信息,它们的商业模式,都是由记录衍生而来的”。(51)涂子沛:《数文明:大数据如何重塑人类文明、商业形态和个人世界》,北京:中信出版社,2018年,第119页、第230页。互联网TCP/IP协议这一基本协议组,在访问网页或者浏览网站时,网络服务器都需要识别访问地址,如此IP地址被披露和记录。但是IP地址并不会暴露主体的公民身份,但是会呈现数字身份。(52)[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》(修订版),李旭、沈伟伟译,北京:清华大学出版社,2018年,第51-52页。之后发展出了更为有效的cookeis技术,它不仅能够通过网页追踪和识别用户计算机,还能保存网页浏览记录。在数字空间中,由于网络运营商、商家或者搜索引擎能够通过归档数据、核实信息来建模,因此他们完全可能比数字主体更了解自身的网络行为。一方面,在由“多人一机”发展到“一人一机”或者“一人多机”的设备配置情况之下,历史记录基本能够经过数字身份比较精确地匹配到公民身份;另一方面,历史记录具有预测网络行为的能力。因此对于“身份剥夺”的第一重保护就是重新管理我们的历史记录。(53)[法]让-保罗·富尔芒托等:《数字身份认同:表达与可追溯性》,武亦文、李洪峰译,北京:中国传媒大学出版社,2021年,第128页。
本文认为,管理历史记录是数字主体的人格权利实现方式。平台应当在显著位置设置关闭数字主体在平台上历史记录存储的功能。这是法律赋予用户与平台平等对话的权利的方式。依照《电子商务法》第24条的规定,电子商务经营者负有为用户提供查询、更正、删除信息的途径或方式的义务(54)《电子商务法》第24条:“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。(第一款)电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。(第二款)”,这实际上赋予了数字主体自行管理历史记录的权利。所幸的是,目前淘宝、微信等已经设置了个性化推荐的关闭功能,这无疑是重要进步,但是该功能并未设定在显著醒目位置,而且还有大量App尚未得到改进。(55)澎湃新闻:《淘宝微信抖音上线算法关闭键 用户可自行关闭个性化推荐》,https://m.thepaper.cn/baijiahao_17161722,2022年6月20日。
数字身份的财产权利来源于三个方面:一是数字身份对应数据所产生的潜在利益;二是数字身份的积极财产利益,例如游戏账号;三是数字身份的消极财产利益,例如大数据杀熟使得数字主体付出的代价。
“全面记录的时代必定同时是一个全面计算的时代。”(56)涂子沛:《数文明:大数据如何重塑人类文明、商业形态和个人世界》,北京:中信出版社,2018年,第310页。进入数字经济时代,商事主体以信息收集和算法分析能力为重要竞争要素。数字主体在网络上以暴露个人数据为代价享受算法决策的福利,大众消费时代大众广告也发生向数字时代直接营销蜕变。就此而言,个性化推荐或者用户画像有商业利用的必然性。数字身份数据或者信息进行流通或者商业利用本身无可厚非,例如将医疗数据用作医疗目的,将交易数据用作推荐数据,但是人们反对或者难以接受的是自身数据非但未利于自身的生产生活,反倒成了遭受歧视或者商家或者社会为其设定不当画像的素材与依据。
尽管数字身份作为一种元素或者符号,但是此种数字身份可能享有著作权或者其他财产价值。一方面,当数字身份与特定的形象或者内容结合产生独创性时,完全可能衍生著作权。事实上,目前通过游戏形象或者社交账号设计的作品已经不断涌现。另一方面,结合《民法典》第126条、第127条的规定,网络虚拟财产正式作为一种民事利益正式上升到法律层面进行保护。(57)高郦梅:《网络虚拟财产保护的解释路径》,《清华法学》2021年第3期。由此,游戏账号及虚拟设备等财产性利益均能为法律所保护。
经济学上,“大数据杀熟”也称为价格歧视,但是价格歧视未必仅仅针对“熟人”。从目前相关新闻报道所披露的信息看,国内许多平台或者App均存在利用大数据杀熟等价格歧视情形。同一平台针对不同用户或者不同时段的用户作区别定价,既可能违反价格法,也涉嫌侵犯用户的知情权,可能构成价格歧视。(58)陈静:《线上“杀熟”,这锅大数据不背》,经济日报:http://paper.ce.cn/jjrb/html/2018-03/30/content_359007.htm,2022年6月20日。实际上,商家的自由定价权是符合市场规律的,不同用户或者同一用户享受不同的价格,是商家按照市场规律的结果,则属于正常现象。类似于线下购物模式,店家在商品标签上标明价格,但实际上由于议价能力的不同、商家销售策略的选择等因素,实际成交价格也可能存在区别。但是,依照《电子商务法》第17条“电子商务经营者应当全面、真实、准确、及时地披露商品或者服务信息,保障消费者的知情权和选择权”之规定,商家应当在商品页面保留原价格,以保证消费者的知情权和消极财产利益。
古今中外,身份管理都是国家治理与政体运行的基本制度之一。进入数字时代,个体的身份性被网络扩张,通常每个个体至少具备两种身份,即法定身份和数字身份。每个人都有能力也有资格享受着这两种身份所带给自己的效率福利或者精神回馈。但是数据正在变成“数惧”(59)涂子沛:《数文明:大数据如何重塑人类文明、商业形态和个人世界》,北京:中信出版社,2018年,第26页。,这是一个不容忽视的问题。数字时代,正是信息数据塑造了我们的数字身份。数字身份在形成社会福利、提升社会交往效率和促进经济发展的同时,也带来了诸多社会治理尤其是网络治理上的难题,如何对其进行规制,是未来的重要课题。此外,数字身份认证事关数字身份的安全性,如何设计数字身份认证系统是法律、信息系统、通信科学等学科跨学科共同对话的方向。