APP下载

大数据时代下的个人信息与隐私*——基于域外法的比较研究

2015-02-13

研究生法学 2015年4期
关键词:数据保护隐私权个人信息

周 东



大数据时代下的个人信息与隐私*——基于域外法的比较研究

周东**

[摘要]个人信息保护的问题在大数据时代的背景下愈发引起人们的思考和重视。然而,要在我国构建合理的“个人信息保护网”,一个基础性问题是对个人信息与隐私的内涵进行辨析和区分。但国内对此研究甚少,多是一概而论。参考在该领域较成熟的域外法,欧盟是将个人信息保护作为独立的救济途径,与隐私保护双管齐下;而美国则是将个人信息径直通过“隐私渠道”来进行保护。但两者均将个人信息与隐私在概念上区分开来。在我国法律环境下,个人信息保护可以适当参考美国司法实践的做法。

[关键词]个人信息隐私大数据

*就法律名称使用而言,全世界制定个人信息保护法的国家主要采用三个概念:个人数据、个人信息和隐私。本文重点旨在区分个人信息与隐私之间的关系,对个人信息与个人数据的关系在后文会略做比较。

**周东,北京市人民代表大会常务委员会工作人员( 100000)。

引言

随着物联网、云计算的兴起,电子商务与社交网络迈进全新的发展阶段,庞大的数据资产开始包围着人们的工作与生活,象征着大数据时代的浪潮汹涌袭来。所谓“大数据”,目前并无确切统一的界定,因而在各个业界领域中呈现出不同的外延。不过,根据维克托教授所描述,这个概念最初始、最本源的特征即是指“信息量过大”,在此基础上则衍生出区别于纯粹“海量数据”的总体性、混杂性和相关性的特征。〔1〕参见[英]维克托·迈尔·舍恩伯格、肯尼斯·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第8、27~67页。个人信息则在这个背景下被电子化、数字化,不可阻挡地成为数据洪流中的重要部分。然而,大数据时代带给人们新型、高效的信息处理模式的同时,也带来了严重的个人信息安全问题,引发人们的深思和担忧。

我国现行法律框架中还没有专门的个人信息保护规定,有关个人信息直接或间接保护的内容散见于各阶层的法律规范中。〔2〕据统计,我国涉及到个人信息保护的法律法规有:全国人大及其常务委员会发布的法律近40部,国务院发布的行政法规近30部,工信部、银监会、保监会等部门发布的部门规章近200部。参见罗锦莉:“大数据时代下,尴尬的用户隐私”,载《金融科技时代》2012年第12期,第31页。这种立法滞后的状况既导致司法实践中的混乱,也引起学术领域的各种讨论。特别是个人信息以何种方式获得保障,是依附隐私还是单独设权,成为研究重点。有学者主张通过隐私途径,但只是将两者简单等同起来,提出“个人信息隐私权”这样模棱两可的概念。而笔者认为,在深入分析该问题前,必须先解答一个前置性问题,即个人信息的定义范畴及其与隐私间的关系。否则保护对象都尚未清楚,谈何来构建合理的保护框架?然而,这方面理论研究十分稀少。因此,本文选取了具有代表性、较为成熟的域外个人信息保护法律制度,旨在反思其涉及个人信息与隐私的内容对我国本土环境的借鉴意义,力求在一定程度上弥补目前国内研究的空白。

一、欧盟法律下个人信息与隐私的并行关系

(一)个人信息的基本法律地位

欧盟及欧盟成员国受到《数据保护指令》( General Directive)和《欧洲人权公约》( ECHR)的影响,在法律及案件审理中主要采用“个人数据”( Personal Data)和“隐私”( Privacy)的概念。在法律上,与个人信息保护紧密相关的有《数据保护指令》( 95/46/EC)〔3〕2012年1月25日,欧盟委员会发布了《一般数据保护规定》( GDPR)草案,旨在替代95/46/EC指令。2014 年3月12日,欧盟议会正式投票通过了《一般数据保护规定》。https: / /www.huntonprivacyblog.com/2014/03/articles/ european-parliament-adopts-draft-general-data-protection-regulation-calls-suspension-safe-harbor/,最后访问时间:2015年1月20日。、《隐私与电子通信指令》( 2002/58/ EC)、《有关公共访问欧洲议会、理事会及执委会文件的规则》( 1049/2001/EC)、《有关社会机构及团体处理个人数据下的个体保护和数据自由转移的规则》( 45/2001/EC)等,而与隐私保护紧密相关的则主要为《欧洲人权公约》。

在欧洲,信息保护被认为是一项基本人权,与隐私权的地位不分伯仲。德国联邦宪法法院在1983年的判决中首次确认“信息自决权”之后,欧盟成员国签订的许多人权条约都承认了该项权利。〔4〕参见[德]克里斯托弗·库勒:《欧洲数据保护法:公司遵守与管制》,旷野、杨会永译,法律出版社2008年版,第20页。其中最重要的,即《欧盟基本权利宪章》( The Charter)中第8条对个人信息保护的描述:“每一个人都有权保护自己的个人数据。”〔5〕《欧盟基本权利宪章》第8条规定,“个人数据保护: ( 1)每一个人都有权保护自己的个人数据。( 2)这些数据必须是为了特定目的,并征得数据相关人的同意或在其他法律规定的法律依据下进行公平的处理。每一个人都有权获取所收集的与之有关的数据,并且有权予以更正。( 3)这些规则的遵守情况应当受独立机构的管理。”参见Charter of Fundamental Rights of the European Union,2000/C 364/01。同时,一些成员国在宪法中也明确将信息保护作为基本人权之一。〔6〕参见法国《1789年人权宣言》第12条、葡萄牙《1976年宪法》第26条、西班牙《1978年宪法》第18条。欧洲法院在Rechnungshof案中也指出,“目前95/46法令调整着个人数据的处理,该处理易于侵害个人的基本自由,尤其是隐私权。对该指令的规定必须根据基本权利予以解释”。〔7〕See Court of Justice of the European Union,Joined Cases,C-465/00,C-138/01,C-139/01,para.68.因此,在欧盟法律体系之下,个人信息与隐私是两个并行的诉由,各自有着独立的法律基础,但彼此也有交叉,在诉讼适用的频率上也有区别。

(二)概念范畴:个人信息与隐私有所重叠

“个人数据”的权威解释见于《数据保护指令》第2条( a)项:“个人数据是指与一个身份已被识别或者身份可识别的自然人相关的任何信息;身份可识别是指其身份可以直接或间接,特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素来确定的人。”〔8〕See Data Protection Directive,95/46/EC,Sec.2 ( a).可以看出,这是一个相当宽泛的定义,几乎只要已经确定或者可以确定某个具体的人,与其相关的信息都是个人数据。这个定义基本被欧盟之后所有的数据保护法规沿用。而2012年作为《数据保护指令》修订版本的《一般数据规则》,则在此基础上进一步发展出“数据主体”的概念,“个人数据”即是指任何与数据主体有关的信息。〔9〕数据主体,是指一个已识别的自然人,或者通过管理人或其他自然或法人采取的合理措施可以直接或间接识别的自然人,该措施尤指使用身份证号码、地址数据、网络标识以及其他一个或多个特定于该自然人的物理、生理、遗传、心理、经济、文化和社会身份的因素。See General Data Protection Regulation,GDPR,Sec.4 ( 1).这个定义相较之前更为细致,在逻辑上也更为严密。

相比之下,“隐私”的概念界定就没有这么明晰了,只是由《欧洲人权公约》第8条笼统地规定:“每个人都有使自己的私人和家庭生活、家庭和通信得到尊重的权利。”〔10〕See European Court of Human Right,ECHR,Sec.8.而在欧盟司法实践中,隐私的界限也一直处在争议之中。例如,在Bavarian案中,欧盟常设法院认为,“在《欧洲人权公约》的判例法之下,‘私人生活’是一个很宽泛的概念,并没有给其自身一个详尽的定义”。〔11〕See Court of Justice of the European Union,Case T-194/04,para.114.而在Niemitz案中,欧洲法院则认为,“这种隐私权不只是保护个人可以自由行动的与外界隔绝的小范围,而且还为其与其他人建立和发展关系提供保护。因此,职业的或是商业的行为不应被排除在‘私人生活’之外”。〔12〕See Application No.13710/88,Series A,No.251-B,para.29.欧盟法律中“隐私”所涵盖的范围之广可见一斑。

这两个法律概念的边界既宽广又模糊,有所重叠可以说是必然的。这种重叠现象在欧盟的许多法律文件(如法规、判决)中都有所体现。有些文件暗示着“隐私并不都是个人信息”的观点。例如,《数据保护指令》第1条这样写道:“为与本指令相一致,成员国应当保护自然人的基本权利和自由,特别是他们与个人数据处理相关的隐私权。”〔13〕See Data Protection Directive,95/46/EC,Sec.1.从文义上看,这即是说隐私权中仅一部分内容涉及个人信息的处理,而并非全部都与之相关。《有关公共访问欧洲议会、理事会及执委会文件的规则》第4条第( b)项则指出,“机构应当拒绝对文件的公共访问,假如这种披露会破坏对个人的隐私及完整性的保护,尤其是这种保护与欧盟有关个人数据保护法规一致的时候”。〔14〕See Regulation regarding public access to European Parliament,Council and Commission Documents,1049/2001/ EC,Sec.4 ( b).可见,对隐私的侵害中只有一部分是触及个人信息的。而在Volker案中,欧洲法院则使用了“主要是对其私人生活的尊重,尤其是对其个人数据的保护”这样的描述。〔15〕See Court of Justice of the European Union,Joined Cases,C-92/09,C-93/09,para.77.此外,在Scarlet案中,欧洲法院更是明确指出,“ECHR第8条与《欧盟基本权利宪章》第7条(对隐私和家庭的尊重)和第8条(个人数据保护)是相对应的”。〔16〕See Court of Justice of the European Union,Case C-70/10,para.31.换言之,即隐私权的内容中仅一部分是由个人信息保护组成的。

反之,也有些文件则暗示着“个人信息并不都是隐私”的观点。在Bavarian案中,欧洲法院认为,“在1049/2001法规下将个人数据严格地界定为必须有能力实质性地、明确地破坏对个人隐私的保护,这是不合适的”。〔17〕See Court of Justice of the European Union,Case C-28/08,para.26.可见,个人信息并非一定具有内在的隐私属性,对保护个人信息法规的违反,并不一定会触及隐私的问题。同样的,常设法院在该案中主张,“姓和名可能构成个人数据。因此一份会议参加者的名单是个人数据,因为每一个人都可以被识别”。〔18〕See Court of Justice of the European Union,Case T-194/04,para.122.“然而,仅仅只是一份有个人姓和名的文件并不就意味着个人隐私受到了影响,即使ECHR第8条中‘私人生活’包括了职业活动。”〔19〕See Court of Justice of the European Union,Case T-194/04,para.123.这一点也被欧洲法院所肯定。〔20〕See Court of Justice of the European Union,Case C-28/08,para.43.

(三)司法实践:以个人信息保护为主要审判依据,以破坏隐私为辅助审判依据

由于个人信息和隐私在欧盟法律框架中都有相应的法律依据,并且都作为基本权利对待,因此在理论上,违反个人信息保护和破坏隐私都可以作为诉由。但在司法实践中,欧洲法院在审理涉及个人信息的案件时,绝大部分情况都是适用保护个人信息的法规来作出裁判。ECHR第8条虽然也有参考,但一般都只是在逻辑推导上作为论证强化的辅助,并没有将其作为审理的主要依据。而仅适用ECHR第8条进行裁判的情况更是极为罕见。

在EDPS案中,欧洲法院就指出,“个人数据保护在ECHR第8条的‘获得对隐私和家庭生活尊重的权利’的司法实践过程中,起着根本性的作用”。〔21〕See Court of Justice of the European Union,Case F-46/09,para.123.而ECHR第8条本身之所以较少被运用,一则可能是因为欧盟委员会或欧洲法院很难弄清楚有争议的数据处理过程到底是违反了该条下的何种因素,二则可能很难描述究竟是什么样的利益受到了威胁。在这个意义上,隐私理论最实际的存在价值,可能并非是处理现有个人信息保护法已规范的情形,而是为了预先适应可能出现的全新的或是无法控制的数据处理形式,在相关法律尚未成型时,保护个人信息免受潜在危险的损害。〔22〕See Lee A.Bygrave,Data Protection Pursuant to the Right to Privacy in Human Rights Treaties,International Journal of Law and Information Technology,Vol6 ( 1998),p.28.可见,对欧洲法院而言,隐私保护虽然原则上可与个人信息保护并行,但在实际操作中却基本处于次要的、辅助性的地位。

二、美国法律下个人信息与隐私的依附关系

(一)个人信息保护制度的特征

美国个人信息保护制度主要也体现在判例法上,是通过隐私权的判例法扩张以及部门单行成文法的制定而逐渐建立起来的。与欧盟制定统一的个人信息保护法不同的是,美国在制定法上的努力主要是针对个人信息滥用危险较大、个人利益需要特殊保护的特定信息。〔23〕参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第50页。换言之,每部法规通常是狭窄的,往往只规范某个特定对象。例如,《隐私法》专门规定联邦政府机构对公民个人数据的搜集和处理应遵循的规则,《联邦公平信用报告法》( FCRA)则专门保护消费者在金融领域不受不准确或武断的信用报告的不利影响等。

(二)司法实践:以隐私保护覆盖个人信息保护的倾向

不同于欧盟公开宣布个人信息是宪法意义上的基本人权,在美国,个人信息并非一个单独存在的权利,而是依附于隐私权的保护来实现自身的救济。换言之,个人信息保护建构于隐私保护之中,对个人信息的侵害构成隐私权下的一种诉由。因此,无论是立法还是司法,几乎都是将隐私权作为问题讨论的核心,这体现在: ( 1)纵观美国在个人信息保护专门领域上的成文法,基本上都是以隐私法的形式存在,如《电脑比对和隐私保护法》( CMPPA)、《录像带隐私保护法》( VPPA)等; ( 2)美国个人信息保护的司法实践有较大部分是通过联邦贸易委员会( FTC)监管下的行业自律来完成的。而FTC关注的并非个人信息本身,而是代表个人信息的隐私权是否得到保护以及各公司的隐私政策是否得到遵守。〔24〕See Marcia Hofmann,The Federal Trade Commission’s Enforcement of Privacy,PROSKAUER ON PRIVACY ( 2012),p.35.只有涉及隐私领域的违反,FTC才会动用其在FTC Section 5下的权力,将这种破坏隐私权的行为认定为是“欺诈性”的或“不公平”的贸易实践。〔25〕See Daniel J.Solove&Woodrow Hartzog,The FTC and the New Common Law of Privacy,George Washington University Law School ( 2013),p.10.

可见,个人信息在美国法律体系中虽然确实存在,但基本上是以法律事实的形式被认识,而很少有上升到法律权利的层面上来进行考察。这可能是与美国高度重视信息技术对经济发展的重要促进作用有关。因为相较于刻板的“个人信息权”,隐私权无论是在理论分析还是在实务操作上都具有更大的弹性和应变力,可以更好地在具体案例中与个人数据处理所带来的公共利益或经济利益进行权衡,并在适当的时候作出让步和牺牲。

然而,已经公开的个人信息如何在隐私领域进行保护?这个问题在美国学术界颇受争议,目前主要由美国《宪法第四修正案》中的隐私权合理期待( Reasonable Expectation of Privacy)来解决。〔26〕目前,美国绝大部分案件将隐私权合理期待建立在社会共同体或多数人认同的客观基础上,即这种期待在全社会看来是合法、合理及正当的。See Peter A.Winn,Katz and the Origins of the‘Reasonable Expectation of Privacy’Test,McGeorge Law Review ( 2008),p.41.该规则起源于Katz案,在该案中,最高法院认为当Katz关上电话亭的门时,他有正当理由期望没有人会听到他的公开谈话,正是这种期望——而不是电话亭本身——保护他不受政府的侵害。〔27〕See Katz v.United States,389 U.S.347 ( 1967).通过构建这种合理期待,法院再次给予已公开的个人信息在隐私领域的一般性保护。

不过,这种保护是比较有限的,因为当个人有意识的将个人信息提供给第三方时,要认定其对这些信息的隐私权期待为合理往往非常困难,即使提供的目的就是让第三方保守秘密。而法院往往会认定个人在提供信息时已经认可了第三方可能与其他方分享信息的风险,因而不属于《宪法第四修正案》的保护范围。在这种情况下,只有两种结果:对于特殊个人信息,通过特别隐私法律来予以保护,如运用《金融服务现代化法》( GLBA)来保护个人的金融信息;而对于其他的一般个人信息,则很可能不予保护。总之,美国法院虽然运用隐私权合理期待的理论对已公开的个人信息予以保障,但相较于未公开的个人信息,这种法律救济仍然显得力度小、范围窄。

(三)概念范畴:个人信息在定义上独立于隐私

虽然个人信息在司法实践中居于次位,但美国在这方面的概念界定并不匮乏。最普遍接受的定义,是美国国家标准与技术研究院( NIST)在《保护个人可识别信息隐秘性的指引》中提出的“个人可识别信息”( Personal Identifiable Information,PII),即“由一个机构持有的与个人相关的任何信息,包括( 1)任何可以用来区别或追踪个人身份的信息,如姓名、社会保险号、出生的日期和地点、母亲的未婚姓名或者生物识别记录;以及( 2)任何与个人相联系或可联系的其他信息,如医疗、教育、金融和职业的信息”。〔28〕See Guide to Protecting the Confidentiality of Personally Identifiable Information ( PII),Special Publication 800-122,Sec.2.1.可以看出,该定义与欧盟在《数据保护指令》中“个人数据”的定义十分相似,并且在涵盖范围上都非常广泛,实际上即是美国式的“个人数据”。而除PII之外,其他成文法也有可借鉴的定义。例如加利福尼亚州《数据泄露通知法》中的“个人信息”。〔29〕根据加利福尼亚州《数据泄露通知法》,个人信息是指“个人的名或其首字母和姓,与以下任何一种或多种数据因素的结合,且姓名和这些数据因素都未加密: ( 1)社会保险号; ( 2)驾驶证号码或加利福尼亚州身份证号码; ( 3)账号、信用卡或借记卡号码,与任何需要的安全码、存取码或允许接入个人金融账户的密码的结合; ( 4)不包括可从联邦、州或当地政府档案合法获得的个人公开信息”。See California Senate Bill,SB 1386,SEC.2 1798.29.( e).再例如《金融服务现代化法》中的“非公开个人信息”。〔30〕根据《金融服务现代化法》,“非公开个人信息”,是指“消费者提供给金融机构,或由任何与消费者的交易或给消费者的服务而产生,或金融机构通过其他方式所得到个人的、可识别的金融信息”。See Financial Service Modernization Act of 1999,GLBA,Chap.509,Sec.( 4) ( A).

不过相较之下,美国学者对于隐私概念的讨论就要充分、热烈的多了。尽管与定义个人信息相比,定义隐私要复杂的多,而准确地对其进行界定更是难上加难,但美国学者们仍不断尝试着完成这个艰巨的任务。就像其中一位所说:“即使对隐私权最有力的主张,也不得不承认在定义这个权利的本质和范围上仍然存在许多困难。”〔31〕See William M.Beaney,The Right to Privacy and American Law,31 L.&Contemp.Probs.(1996),pp.253,255.目前,比较权威的定义是韦斯廷教授在“Privacy and Freedom”一文中的描述,“隐私是个人、团体或机构主张自主决定在何时、采用何种方式、以何种程度来将他们的信息与其他方交流。在个人与社会参与的关系的角度考虑,隐私是一个人从社会总体中通过物理或心理的方式的自愿且暂时的脱离,不管是以个人形式还是小团体的形式”。〔32〕See Daniel J.Solove&Paul M.Schwartz,Informational Privacy Law,Wolters Kluwer Law&Business,p.42.

可以看出,在这种定义中,隐私实际上是一种对自身信息的控制以及与社会总体的脱离,本质上是人与信息、人与社会间的法律关系,而非信息本身。相应的,对隐私的侵害,是对这种自主权的侵害,而非对数据本身的破坏。也有学者提出同样的主张,将隐私所保护的利益分为四种: ( 1)信息隐私——个人控制他人掌握本人信息的利益; ( 2)领域利益——控制侵入行为领域的利益; ( 3)身体隐私——控制身体免受到干扰的利益; ( 4)通讯隐私——控制通讯免受监事和保密的利益。〔33〕See Diane Zimmerman,False Light Invasion of Privacy: The Light that Failed,New York University Law Review,Vol.64 ( 1989),p.67.在这个意义上,美国法律体系下,隐私与个人信息的概念之间其实并没有太大的联系,而个人信息保护也只是隐私保护中的一部分内容。换言之,无论个人信息的定义如何,在隐私语境下法律所考虑的焦点,都只是个人对这种信息的控制权是否遭到了减损,如有减损即启动隐私救济程序。

虽然这种做法进一步弱化了个人信息在美国司法实践中的地位,但这其实并不影响美国保护个人信息的力度。在审理案件中,对于需要保护的个人信息,法院通常是直接将其过渡到隐私权的范畴,再对隐私概念进行阐释,分析当事人对这种信息的控制关系是否值得保护,而甚少考虑个人信息究竟为何物。通过这般途径,对审理个人信息案件的“隐私渠道”进行强化、专精,进而发展出一套完整规范、操作性强的隐私法理学,再加上FTC尽心尽责的行业自律监管,相较于欧盟“双管齐下”的方式,美国法院也未必就会逊色。

三、国内对个人信息与隐私关系的理论

(一)个人信息在我国立法、学界的基本情况

个人信息在我国学术领域的称谓颇多,包括个人资料、个人数据、个人资讯或个人数据信息等,但总的来说,是以个人信息和个人数据为主。〔34〕参见齐爱民:《个人资料保护法原理及跨国流通法律问题研究》,武汉大学出版社2004年版,第3~4页;张新宝:“中国个人数据保护立法的现状与展望”,载《中国法律》2007年第3期,第2页;汤德宗:“资讯公开与资讯隐私法”,http: / /www.jconline.cn/Contents/Channel_1743/2007/1026/25107/content_25107.htm,最后访问时间: 2014年5月4日;刘德良:《网络时代弱势群体的法律保护》,法律出版社2013年版,第165页;蒋坡:《个人数据信息的法律保护》,中国政法大学出版社2008年版,第2~3页。而实际上,这些名词只是对英文“Data”的不同翻译而已,并没有本质的区别。不过,个人数据可能与计算机技术关系更密切,具有载体上的特定性或技术特定化倾向;而个人信息则属于上位概念,在技术和载体上具有中立性,以包括但不限于电子介质在内的各种媒介为载体,因而覆盖面更广。〔35〕参见刘德良:《论个人信息的财产权保护》,人民法院出版社2008年版,第20页。国内对个人信息的定义颇多,但大同小异,笔者认为其中蒋坡教授所提的“可以直接或间接识别特定自然人的信息”比较简洁全面。它包括以下几个特征: ( 1)主体是自然人; ( 2)广泛性; ( 3)可识别性; ( 4)时效性; ( 5)可共享性。〔36〕参见蒋坡:《个人数据信息的法律保护》,中国政法大学出版社2008年版,第3~5页。

如前文所述,我国目前涉及个人信息保护的法律法规不在少数。然而,这些规范基本上都只是简单提及“个人信息”一词(或类似表述内容),而并未专门、深入地进行阐释。〔37〕例如,《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》第18条规定,“用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。”再例如,《中华人民共和国居民身份证法》第6条第3款规定,“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密”。以上对个人信息均只一提,并未深述。最早对个人信息进行明确界定的法规应是2013年6月由工信部通过的《电信和互联网用户个人信息保护规定》。其中第4条规定,“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。可见,可以构成用户个人信息的数据有两类:一是可以单独或是与其他信息结合来识别用户的信息,二是用户使用服务的时间、地点等信息。

值得注意的是,虽然该法规并未对“与其他信息结合来识别用户的信息”作出具体解释,但它对此进行了举例,而其中诸如用户姓名、出生日期、住址、电话号码等都属于这类范畴。因此,该条款未列举的数据种类要纳入到“与其他信息结合来识别用户的信息”,至少应在和其他数据作为整体来识别个人的过程中,在对识别结果的贡献和本身的筛选能力上,与这些已经列举的个人信息有相当的水平。

不过,虽然工信部出台的这部法规对推动国内个人信息保护工作有着重要意义,但我国现行法律规范中与个人信息最相关的,应是隐私权法。然而,对于何谓隐私,学界一直存在重大争议。例如,刘凯湘教授认为,“隐私,是指不愿告人或不为人知的事情。隐私权就是个人信息、个人私事和个人领域不受他人侵犯的权利”。〔38〕参见刘凯湘:《民法总论》,北京大学出版社2006年版,第149页。而张新宝教授则认为,“隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权,而且权利主体对他人在何种程度上可以介入自己的私生活,对自己是否向他人公开隐私以及公开的范围和程度等具有决定权”。〔39〕参见张新宝:《隐私权的法律保护》,群众出版社2004年版,第12页。总的来说,隐私在我国语境下具有两个显著的特性: ( 1)私密性; ( 2)强烈的人格属性。

(二)个人信息与隐私间存在交叉关系

对比上述个人信息与隐私的概念,可以很直观地得出一个结论:个人信息注重可识别性,隐私注重私密性,两者在界定标准上并不一致,并非同一概念;但两者均旨在描述与特定个人相关的某些信息,显然又有所重叠。而这一点也为我国学界所普遍承认。例如,郭瑜教授认为,个人信息与个人隐私的最大区别在于:隐私应该在性质上属于私人的,属于未向社会公众公开的范畴;而个人信息则可能已经公开,或本来就属于公共事务的范畴。例如,披露个人宗教信仰、医疗记录、通讯内容、生活习惯等的敏感信息可能被隐私权所保护。但个人已经公布于众的消息(如而姓名、地址、电话号码等),不管怎么被使用,都很难再援引隐私权加以保护。〔40〕参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第30页。可见,个人信息虽然有部分处于保密状态,可以归入隐私范畴,但其多数情况并非如此。而对于这些个人信息,尤其是个人主动对外公开的信息,就难以将其纳入到隐私中来。

再例如,蒋坡教授认为,隐私权只能保护一部分个人信息和其中一部分权利。个人信息和隐私间存在着交叉,但不能因此将个人信息保护局限于隐私保护。具体而言,一部分隐私表现为个人信息,还有一部分则以个人领域、私事及其他涉及个人生活安宁与秩序的方式存在,与个人信息保护无关。同样的,一部分个人信息含有隐私的成分或内容,另一部分则与隐私无关。〔41〕参见蒋坡:《个人数据信息的法律保护》,中国政法大学出版社2008年版,第6页。而在确定两者间交叉部分的问题上,有学者指出,只要个人信息满足“信息主体不欲该信息被外人知悉”,该信息及对信息主体而言具有保密的意义和价值,就可以纳入隐私范畴加以保护。〔42〕参见张俊浩:《民法学原理》,中国政法大学出版社2000年版,第155页。

(三)非隐私性个人信息保护的理论分歧

不管是亟待处理的问题,还是包含的内容范围,个人信息都不止步于隐私。而对于那些超过隐私范畴的个人信息,应该以何种形式进行保护?针对这个问题,我国学界有不同的看法,主要分为两种观点: ( 1)将个人信息保护作为宪法性权利; ( 2)确认个人信息的财产权。

1.宪法性的个人信息权

根据郭瑜教授的观点,个人数据保护的初衷,是防止个人数据信息化处理使个人受到伤害。而这种伤害的方式多种多样,包括隐私泄露、形象扭曲、自由意志被控制、经济利益减损等,单单传统隐私权无法全部包含,因此需要赋予个人对个人信息处理的开始和进程有更广泛、更深刻影响的权利。〔43〕参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第90页。这种权利应是独立的、宪法性的基本权利,因为个人信息体现的是信息社会的一种独立的价值目标,具有政治和经济的双重含义,在信息社会具有全局性和根本性。而维护个人对个人数据信息化的控制权,是将个人作为社会和经济活动的主体而非客体的必然要求。它并不是一种绝对控制权或财产权,而是对个人自主权的尊重。〔44〕See Paul M.Schwartz,The Computer in German and American Constitutional Law: Towards an American Right of International Self-Determination,American Journal of Comparative Law Vol.37 ( 1989),p.113.

同样的,周汉华教授在《个人信息保护法(专家建议稿)》中也指出,根据国际社会的普遍经验和该法规定的内容兼及政府机关与其他个人信息处理者的实际,个人信息权利应被当作一项宪法上的基本权利对待,这既体现了该权利作为一项新型权利的特点和内在要求,也有利于相应的后续信息化法律制度建设。〔45〕参见周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第51页。

2.财产性的个人信息权

另一种观点,则是通过赋予个人信息财产价值来对其进行普适的保护。例如,刘德良教授提出了“个人信息财产权”,即以个人信息的商业价值为客体的支配权。他认为,随着网络时代和信息时代的到来,个人信息(包括传统条件下不具有商业价值的个人信息)的商业价值不断提升,已经变成越来越重要的商品,个人信息交易也逐渐成为信息产业的重要内容。因此,对个人信息进行创新确权非常必要。〔46〕参见刘德良:《论个人信息的财产权保护》,人民法院出版社2008年版,第112~114页。而个人信息财产权的建立,一方面是为了满足法律中公平正义与保护弱者的理念要求,使个体享有个人信息的使用价值和交换价值,成为信息的真正占有者,进而可以与商家就个人信息的商业价值问题进行公平谈判;另一方面,则是通过增加侵权行为成本来预防、减少个人信息的侵权行为,同时迫使商家在收集、加工和使用个人信息的过程中避免浪费,实现社会利益的最大化。〔47〕参见刘德良:《网络时代弱势群体的法律保护》,法律出版社2013年版,第178~181页。

再例如,汤擎教授主张个人信息所有权的存在,并且该所有权为信息的生成者所拥有。而无权处分人一旦对该主体的个人信息实施处分,或授权处分人对该信息处分不当,则都应当承担相应的侵权责任。〔48〕参见汤擎:“试论个人数据与相关的法律关系”,载《华东政法学院学报》2000年第5期,第40~41页。又如洪海林教授认为,个人信息财产化有其多维度的合理性缘由,但也需要对其具体运作模式进行法律规制。〔49〕参见洪海林:“个人信息财产化及其法律规制研究”,载《四川大学学报》2006年第5期,第122页。此外,齐爱民教授也主张信息财产权与物权、知识产权一起构成信息社会财产权的三大组成部分,以填补法律体系中保护个人信息权利的规则空白。〔50〕参见齐爱民:“论信息财产的法律保护与大陆法系财产权体系之建立——兼论物权法、知识产权法与信息财产法之关系”,载《学术论坛》2009年第2期,第151页。

四、个人信息保护制度的本土化困境

综合前文,不管是欧盟或美国的立法和司法实践,还是我国学界的主流理论,都将个人信息与隐私在概念上区别开来。本文认为,个人信息和隐私确有重叠的部分,但并不能将所有的个人信息都归入隐私范畴,而判断的标准就是个人信息是否向社会公开,或本来就属于公共事务。然而,在个人信息保护的权利源泉问题上,无论是理论层面还是实践层面,都有明显分歧。当然,这些做法或观点有其合理积极的因素,但如果在我国现有法律体系框架下重新对其审视,它们却未必能适应当前的国情。

(一)宪法性途径的困境

为个人信息赋予宪法性地位在欧盟已实践多年。但不同于欧盟的明确规定,我国《宪法》中并未提及“个人信息”一词,唯一相关的只有在第40条简单提到“通信自由和通信秘密受法律保护”,那么个人信息权的宪法性从何而来?这也是该途径的捉襟见肘之处。也有学者认为我国《宪法》第38条关于“个人尊严”的规定可以作为法律基础,即:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”〔51〕参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第89页。但是,对于该“人格尊严”是否为一项宪法权利,本身学理上就有争议。〔52〕我国《民法通则》列举的人格权中,并没有包括人格尊严权。2001年最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》第1条中,虽首次将“人格尊严权”作为单独的人格权与其他人格权并列。但仅依此规定,人格尊严权最多只是受到民法保护的民事权利,不具备宪法基本权利的性质,不能够对其他非民事法律关系产生约束力。而如果没有宪法意义上的人格尊严权,自然也就难以由此延伸出宪法意义上的个人信息权。因此,欧盟的做法在我国很难有正当的法律基础。

此外,这种对所有个人信息均实行一体化的人格权保护的做法在理论上也难以自圆其说。对于那些尚未公开的个人信息,若未经许可被他人擅自处理的话,对一个正常人而言,不仅可能直接造成心理或精神上的伤害,还可能造成人格尊严的减损,因此对其进行人格权保护恰如其分。但对于那些已经公开的个人信息,未经授权而擅自处理可能会使信息主体的精神安宁受到损害,但却很难说其人格尊严遭到直接的贬损。而这种心理烦扰实际上是一种行为的间接影响,并不适宜纳入人格权进行保护。〔53〕参见刘德良:《论个人信息的财产权保护》,人民法院出版社2008年版,第208页。

(二)财产性途径的困境

同样的,将个人信息财产化的做法在国内环境下是否合适也值得商榷。首先,现在关于个人数据财产权的建议,基本都是主张确认个人对其个人信息拥有所有权。但是,个人信息可以由多人同时掌握,一人获得该信息并不会使另一人丧失该信息,因此所有权的垄断性根本无法实现。并且从反面看,这种确权可能会夸大个人对个人信息的控制能力,阻碍社会对个人信息的正当使用,减少信息的流动。另外,从财产权产生的原理看,权利的主体也存在争议,因为个人虽是个人信息的源头,但未必就是个人信息的创造者或占有者。例如,厂商可能通过跟踪和分析消费者的购买记录而得出个人的购买习惯,这也是个人信息,但该信息产生的努力完全来自厂商,实际控制者也是厂商,个人在厂商透露前甚至不知道该信息的存在。给予个人该信息的所有权,其实就否认了厂商在该信息产生中的劳动。〔54〕参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第215页。那么,个人对其信息是否拥有知识产权?这更不可能,因为知识产权保护的是创造性劳动,而个人信息显然并非人类智力活动的成果。

其次,个人信息财产权的设立预示着个人信息交易市场将会形成。然而根据Schwartz教授的标准,在我国,这种交易市场很难运行和完善: ( 1)“隐私信息价格歧视”普遍存在,例如数据处理公司基于消费者对个人信息使用的不同偏好进行区别对待,而在市场化水平并不高的我国,个人信息交易市场很难对这种歧视作出灵敏反应; ( 2)个人信息搜集者与被搜集者的信息不对称在我国尤其严重,这将导致交易者对市场产生顾虑而选择退出,甚至可能发生“市场关闭”的情形; ( 3)个人信息市场主体之间实力差距悬殊将导致交易过程的实质不公平。〔55〕See Paul M.Schwartz,Property,Privacy,and Personal Data,Harvard Law Review Vol.117 ( 2004),p.39.

结论

那么,在我国法律环境下,应如何对个人信息进行保护呢?本文认为,可以参考美国在司法实践中的做法。

首先,法律保护的是个人对其个人信息的“相对控制权”,而并非个人信息本身,或是对个人信息的“绝对支配权”。这种“相对控制权”有三个特点: ( 1)它是个人决定其自身信息何时、何地、向何人、以何种方式等进行披露的权利; ( 2)它是有限的,即仅在个人信息尚未合理公开时存在; ( 3)它具有人格性,属于隐私权的范畴。

其次,要区分未公开个人信息和已公开个人信息的不同保护水平。对于未公开个人信息,个人对其享有“相对控制权”,因此一旦信息未经许可而被擅自处理时,可借由我国对个人隐私的保护制度来对该侵权行为造成的损害进行救济。而对已公开的个人信息,则要进一步区分个人是否自愿的情况:如果是个人自愿予以公开(如发布到社交网络、提供给第三方机构等),则个人对该信息的“相对控制权”即丧失,法律对该个人信息以合法渠道进行传播以及被合理使用不再干涉;而如果该信息是个人在非自愿的情况被公开(如不知情、欺诈或胁迫等),则个人对该信息的“相对控制权”仍然存续,可以借由隐私保护途径得到救济。

(实习编辑:张逸宁)

猜你喜欢

数据保护隐私权个人信息
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
纳税人隐私权的确立、限制与保护
数据保护护航IT转型
——戴尔易安信数据保护解决方案
警惕个人信息泄露
妈妈,请把隐私权还给我
欧盟通用数据保护条例中的数据保护官制度
谷歌尊重雕像“隐私权”的启示
“人肉搜索”侵害隐私权的法律解析
TPP生物药品数据保护条款研究