数字化转型社会中的个人信息权研究
——以共享经济为场域
2018-02-22李帅
李 帅
一、数字化转型社会中的个人信息现状
(一)“快递员私售用户个人信息案”与之反映的现实问题
2018年4月,10名顺丰快递员工因利用工作之便获取并私售用户个人信息而获刑。其中,第一被告人河北分公司的杜某,通过公司通讯录随机查找各地能够接触到用户个人信息的员工,以每条信息1—2元的报酬私自收购,再通过网络二次倒卖,在一年多的时间内先后经手19965条用户信息,获利16万余元。[注]《10名顺丰前员工侵犯个人信息获刑》,搜狐财经网https://www.sohu.com/a/232473364_827418,2018年10月30日最后访问。
该案直观反映出个人信息已具备复合价值属性,多元主体的利益交织程度甚于以往各个时期。以社会的数字化转型为背景,技术的赋能使得信息和数据能够以更为多样的形式生成和存储,能够通过更为简单、快速的路径实现流转,也能够在网络数据库中长久留存甚至在相当长的时期内不予灭失。可见,数字社会以信息的电子化、海量性、高流转性为主要特征,再伴随其综合应用后可能产生的巨大经济利益,导致公民个人信息安全的监管和保障难度大幅提升。
(二)数字社会中个人信息受损的重点场域
社会的数字化转型表现在日常生活中,主要以互联网产业对公民的影响最为典型,代表领域有网络金融理财、远程医疗服务、社会在线征信等。本文选择共享经济作为主要研究场域,一方面因为以“网购”为主的共享经济模式已具备广泛的社会认知度,公民个人信息越来越多地在共享经济过程中发挥作用,受损的情况也随之日益增多;另一方面在于数字化社会以网络平台为活动依托,而平台居中促成资源互易又是共享经济的核心特征,因而选择共享经济中的个人信息权保护问题,能够实现与前述两个话题的良好契合。
用户参与共享经济,自注册行为开始便不断依据平台要求上传个人信息,而且每使用一个新平台就会相应创建一个新的账户,提交个人信息的行为也随之重复进行。这在云技术发展、网络存储能力提升的当下,极易导致用户个人信息清洗和“被遗忘”的周期延长,[注]被遗忘权(right to be forgotten):公民要求行政主体从特定数据库中移除自己负面、过时的个人身份资讯搜索结果的权利。由于该项权利在一定程度上与言论自由存在冲突,并且可能不利于互联网安全审查,在学界引发争议,故当前只有欧盟将其规定为公民的法定权利。从而诱发平台或商家对相关信息的持续挖掘、占有和利用。在顺丰快递员私售用户信息案中,涉案人员得以交易用户个人信息的原因,就是大量实体经营者希望扩充用户信息占有量,从而通过“精准推送”等方式获取更为广泛的对象客户群体,最终谋取更多经济利益。因而在当前的数字化社会,除传统商业资源外,商家在市场竞争中的重要资本就是用户的个人信息及其商业活动信息。
二、个人信息权的法理内涵
(一)个人信息的概念及其权利性证成
个人信息,泛指与公民个体相关的所有信息,其关涉范围涵盖了具体个人的生活、学习、工作等领域,以及消费、理财、医疗等事项环节。经济合作与发展组织(OCED)将个人信息包括的内容确定为自然人的姓名、出生日期、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动,以及其他可以识别个人身份的信息。[注]Organization for Economic Co-operation and Development, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, 2013.这一定义强调了个人信息的身份识别性,因此,虽然采用列举形式,但并未将个人信息的具体种类限缩在前述范围中,其边界是可以伴随社会发展而不断拓展的。
从权利客体角度来看,个人信息既非严格意义上的有体物,也不能全部视为个人创造的知识成果,因而并不满足传统民事权利中物权和知识产权所指向的对象。之所以能够成为一项权利,核心在于个人信息所蕴含的价值与众多受到现行法律保护的权益密切相关,甚至体现了更为丰富的内涵。虽然我国当前尚未明确公民对其个人信息享有的是何种具体权利,但基于个人信息涵盖的内容与个人生活基本状态密切相关这一现实,仍然可以从现行法律规范中找到依据:《宪法》中关于保障人权、人格尊严、住宅安全和通信秘密的规定,在一定程度上成为个人信息获得权利保障的根本法基础;[注]《中华人民共和国宪法》第33条第3款:“国家尊重和保障人权。”第38条第1款:“中华人民共和国公民的人格尊严不受侵犯。”第39条:“中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。”第40条第1款:“中华人民共和国公民的通信自由和通信秘密受法律的保护。”《民法总则》明确指出“自然人的个人信息受法律保护”,[注]《中华人民共和国民法总则》第111条:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”。这一原则性规范奠定了个人信息权作为一项基本权利的地位。
(二)“个人信息权”概念的提出
对个人信息进行专门立法保护是世界上很多国家的通行做法,但是,对于个人信息的概念至今尚未形成统一的用语和定义。在各国立法上,与个人相关的信息被分别冠以“个人资料”“个人信息”或“个人隐私”等称呼。我国学者在进行研究时同样对个人信息使用了不同的称谓,如齐爱民、孔令杰将其称为个人资料,周汉华称为个人信息,还有称个人隐私[注]刁胜先:《论网络隐私权之隐私范围》,载《西南民族大学学报》(人文社科版)2004年第2期。,个人数据、个人数据隐私权[注]孙宇:《试论网络环境下我国个人数据隐私权的保护》,载《科技信息》2010年第1期。从学理角度看,个人资料更多是档案法领域内的概念,较多应用于行政机关保管期限、信息资料脱密期限等问题的研究中。个人隐私是我国《政府信息公开条例》采用的术语,侧重点在于阐述信息公开的例外事项,因而,一方面强调国家安全层面的“保密”,与保密法紧密相关,并非着重关注个人信息的多维价值;另一方面在涵盖范围上小于个人信息,更多关注的是公民个人不愿公开或不想为人所知的隐秘性内容,在判定标准上具有较强的主观性。此外,根据学术检索的结果来看,使用“个人信息”的学者和成果占据主要地位。[注]根据笔者在中国知网上的检索数据,以“个人信息”为标题关键词的论文有940篇,以“个人隐私”为标题关键词的论文有221篇,以“个人数据”为标题关键词的论文有92篇,以“个人资料”为标题关键词的论文有98篇。检索时间:2018年9月20日。
基于对“个人信息”概念的认知,学界出现将“个人信息权”作为公民法定权利的观点。在研究初期的观点中,个人信息权多被视为一种“宪法上的基本权利”[注]郭明龙:《个人信息权利的侵权法保护》,法制出版社2012年版,第44页。,其理论解释除了对我国《宪法》第33条和第38条进行演绎之外,[注]同前引[4]。还有参考域外“信息自决权”内涵的成分。[注]姚岳绒:《宪法视野中的个人信息保护》,华东政法大学2011年博士学位论文。此后,实践的发展推动理论变革,虽然将个人信息权作为宪法基本权利加以理解的学说已不再占据主流地位,但不可否认其具备关键性的开源意义。
(三)个人信息权的内容与属性
1.权利构成要素
个人信息依托自然人的基本特征和日常活动产生,并伴随该个人的存在和发展不断完善,因此自然人本人就是信息权的权利主体。特定领域中,因具体活动事项的不同,个人信息权的主体范围在一定程度上受到限缩。在当前我国的立法体系中,除《民法总则》将保护对象确定为“自然人个人信息”之外,其他几部规范诸如《网络安全法》《消费者权利保护法》以及《电信和互联网用户个人信息保护规定》等都将受保护的权利主体限定为“用户”或“消费者”,但这并未对法律的实质性保护产生影响。也就是说,在此应当以《民法总则》的规定为原则,将个人信息权的权利主体确定为自然人。另一方面,与之相对应,个人信息权的义务主体范围则是不确定的,既包括行政主体、社会组织、各类企业,也包括其他自然人。
关于个人信息权的具体内容,一方面可以结合前述法律规范实质内容中“打击的行为种类”一项反推,即公民就其个人信息享有的占有、使用、收益、处分的权利,以及维护这种既定状态并对抗他人侵犯和破坏的权利。另一方面可以参考欧盟《一般数据保护法》,将修改权、更新权等内容包括在内。[注]参见欧盟《一般数据保护法》(GDPR)第三章第三节“纠正和删除”。
2.权利属性
分析一般意义上个人信息权的性质,是探索共享经济环境下该权利属性发生拓展及变化的学理基础。结合当前研究成果,可以将个人信息权的性质主要划分为以下两方面:
(1)人格权属性
立足于权利主体对信息可公开程度的主观态度差别,可以将个人信息权与其相邻的隐私权进行区分。[注]“隐私权”在法律上的提出可以追溯至1890年,塞缪尔·沃伦(Samuel Warren)和路易斯·布兰迪斯(Louis Brandeis)借助“人格”(personality)概念发展出“独处的权利”(the right to be let alone),在此可将其理解为一种秘密范式意义上的隐私权。Samuel D. Warren & Louis D. Brandeis, The Right to Privacy, 1 Kingston Law Review 66-102, 1968.隐私权的哲学基础侧重于人格尊严,强调远离大众视野并且禁止对外宣扬,而个人信息权则基于对本人信息的自决能力,在一定范围内允许社会群体知悉相关内容。[注]石佳友:《网络环境下的个人信息保护立法》,载《苏州大学学报》(哲学与社会科学版)2012年第6期。尽管在私密性、与人格尊严的紧密程度等方面均不及隐私权,[注]冉克平、丁超俊:《隐私权与个人信息权的界分——以司法判决为中心的分析》,载《天津法学》2016年第3期。但个人信息体现人格特征、能够识别具体身份的功能和价值,还是决定了个人信息权具备人格权属性。
王利明和齐爱民两位教授均持“独立人格权说”,认为个人信息权是一种具有独立意义的人格权,并建议未来制定《人格权法》时单独规定“个人信息权”的内容。[注]王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期;齐爱民、张哲:《识别与再识别:个人信息的概念界定与立法选择》,载《重庆大学学报》(社会科学版)2018年第2期。刁胜先则认为在民法保护中采取“个人信息权”的称谓合理,但应将其归入“一般人格权”的范畴,且保护范围尚待深入。[注]刁胜先:《论个人信息的民法保护基础——兼论个人信息、民法保护的精神利益与物质利益》,载《内蒙古社会科学》2011年第5期。可见,学者虽然对个人信息权的“人格权”属性存在差异化认知,但基本认可该项权利与人格权的内涵存在耦合部分。
(2)财产权属性
个人信息除了承载人格利益、体现与隐私等内容相关的人格价值之外,还可能经其他主体(特别是商业活动主体)的利用而创造经济价值或社会价值。特别是个人信息具备较隐私数据而言更强的开放性,更为其财产权能的发挥创造了可能。
20世纪60年代起,就有欧美学者主张以财产权保护个人信息。[注]孔令杰:《个人资料隐私的法律保护》,武汉大学出版社2009年版,第75页。米勒(Athur R. Miller)认为保护个人信息最直接的途径就是将其界定为数据主体拥有的财产权,[注]Athur R. Miller, Personal Privacy in the Computer Age: The Challenge of New Technology in an Information-Oriented Society,67 Michgan Law Review, 1969.威斯丁(Alan F. Westin)则指出可将个人对信息的权利视为一种决定权,并且应将这种权利界定为财产权。[注]Alan F. Westin, Privacy and Freedom, 324—325, 1967. 转引自孔令杰:《个人资料隐私的法律保护》, 武汉大学出版社2009年版,第75-76页。在我国,虽然有学者认为财产化路径可能导致个人信息的任意流动变得难以控制,[注]李震山:《人性尊严与人权保障》,元照出版公司2001年版,第284—285页。但《民法总则》对于数据和网络虚拟财产等无体物的原则性保护规定,[注]《中华人民共和国民法总则》第127条:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”实际上为个人信息获得财产性保障提供了依据。
三、共享经济场域下的个人信息权及其保障模式
(一)共享经济环境下个人信息的生成
共享经济的大规模发展始于2008年,主要标志为闲置物品共享需求的增长与各类互联网平台的出现。这一历程揭示了共享经济发展的驱动力因素,科恩(Nancy Koehn)将其中同参与者有关的部分总结为“消费者感觉有更大的主动权”以及“消费者和供应者都在交换过程中更加受益”。[注]National & World Affairs: The Big Share, A talk with Nancy Koehn held by the Harvard Gazette, https://news.harvard.edu/gazette/story/2014/08/the-big-share/,2018年10月30日最后访问。可见,受到行为目的和预期效果的驱使,用户在共享经济过程中具有明显的主动性,会自主向平台或商家提供个人身份信息以完成资格验证,提供住址、联系方式等信息以实现商品的配送等。因而作为共享经济时代贸易往来的重要载体,用户个人信息能够在很大程度上影响买卖双方的选择。
结合共享经济依托平台完成各类交易的特征,可将该过程中生成用户个人信息的行为依据主体身份的差别划分为两类:其一,用户方的购买行为或支付行为。消费者在特定网站选购商品、服务或针对共享设施付费,其线上个人信息的产生主要依托本人的输入、上传以及扫码行为。这一过程中,相关信息经网络直接传输至电商服务器,实现个人信息的第一次线上流转。其二,平台方或商家方的加工行为。消费者的购买或支付行为完成后,伴随商品出库、服务实现及设施的提供,前述用户个人信息被平台或商家加工自用,或者提供给物流企业用以配送商品并实时反馈更新信息,实现了个人信息的第二次以及后续更为频繁的利用与流转。在此过程中,最常见的信息加工模式,例如交通工具共享类平台的运营方通过后台可获取用户的位置信息及日常活动路线信息,经加工后可以为用户推送道路沿线的相关服务等。
(二)共享经济语境下个人信息权的内涵
与信息1.0时代以及传统经济模式下的个人信息权相比,互联网技术与共享经济的发展在很大程度上丰富了该项权利的内涵。以上文所述个人信息的产生途径及流转方式为基础,个人信息权的公民主体除了享有对信息的占有、使用、收益、处分、更新、修改等权利之外,还可以行使数据的访问权、删除权、限制或拒绝数据控制者处理数据等多项与网络数据处理行为密切相关的权利。如果按照这些具体权利内容的性质进行划分,可以将共享经济时代个人信息权的内涵总结为五大体系,即权利主体对个人信息的自决权、管理权、许可权、禁止权以及收益权。[注]刁胜先:《论个人信息权的权利结构——以“控制权”为束点和视角》,载《北京理工大学学报》(社会科学版)2011年第3期。
具体而言,以共享经济运行为背景,新增的数据访问权主要指用户要求平台或商家告知其个人信息是否被处理的权利,以及有权在适当的阶段访问并获得如下信息:企业处理相关数据的目的、预期的数据保存时间、依托数据作出的自动化商业决策等。数据删除权的内容主要包括:要求平台或商家即时删除错误信息,并不得长期不当留存已注销的账户信息的权利。限制或拒绝数据控制者处理数据的权利主要指的是:当平台或商家可能实施违法的数据处理行为,或者其行为的目的不正当,抑或其实施行为所依托的个人信息真实性有瑕疵等,用户有权限制或拒绝相关主体实施对其个人信息的处理行为。
(三)新时期个人信息权的复合性特征
1.人格权与财产权的复合
与传统经济模式下相同,共享经济中的个人信息权同样具备人格权和财产权相结合的双重属性。其原因一方面在于此时的个人信息离不开用户个体,具有可识别身份的作用,故成为人格权子集;另一方面,因为企业掌握此类信息的数量多寡、范围大小及准确性程度会直接影响其经济效益,因而共享经济环境下的个人信息又具备了企业资产地位,在很多情况下都得到相关主体的加密保护,具备了财产法上“物”的特征。
2.权利主体的复合
基于多样化的生成途径,个人信息的来源主体除了作为消费者的用户之外,还包括共享经济中的各个参与者。而且在共享经济的多数环节中,这些信息是在平台或商家手中发挥效用,并经其加工和持续更新而获得商业价值。因而,个人信息权的内涵在此时发生如下变化:一方面表现为占有权和控制权的部分丧失;另一方面表现为与其他主体(尤其是互联网平台、商家等企业)共享使用权和处分权,即用户对个人信息的所有权不再完整。
此外,伴随“互联网+经济、政务、文化”等事业的不断发展,个人信息权的主体亦不再局限于“网民”,很多非网络使用者的个人信息同样会受到共享经济商业竞争的影响。以此为背景,个人信息权的权利主体身份多元性,也成为当前共享经济环境下的又一趋势。
3.公私法益的复合
互联网共享经济时代到来之前,个人信息权当然地属于其产生主体,即公民个人,因而其中所体现的法益也以个人私权利为主。但如今社会经济活动的复杂化以及互联网媒介作用的持续发挥,使这项冠以“个人”名称的权利呈现出越来越多的公共利益价值。
个人信息权的公法法益性主要体现在:第一,与市场活动、公共秩序相关的社会经济价值及管理价值。当个人信息权的个人主体和企业主体滥用权利,实施诸如信息不当共享甚至交易等行为时,极有可能诱发共享经济参与者的不正当竞争,扰乱市场秩序。因而监管者特别强调对个人信息权的合法应用与保障,维护经济良好运行。第二,与公共安全和公共福利相关的社会公益价值。为更高效地促进社会福祉、防止共享经济中的公共资源浪费,行政主体正在逐步强化自身作为利用者和管理者的双重作用,为公民个人信息权提供切实保障,并不断探索个人信息利用的限度和价值。[注]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。
4.作用场景的复合
信息数据“线上——线下”的交互流通,是互联网技术给信息传播与作用方式带来的巨大变革。这种跨域效果的实现,使个人信息自生成之后便持续处于价值变动的过程中。换言之,平面媒体和传统经济时代,个人信息阶段性的纯静止状态不复存在,任意一串互联网代码或者任何一次数据的线上传输都会改变个人信息的绝对内容,使其发生价值上的增益或减损。这种作用场域的复合性甚至是多维性,在凸显共享经济模式能够极大限度发挥信息效益这一特征的同时,也对复合场域中个人信息的全面保障提出要求。
(四)共享经济时代保障个人信息数据权的应然模式
我国自2012年起开始围绕网络时代个人信息的保护进行有针对性的立法,颁布实施的规范主要包括《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等,并通过对《消费者权益保护法》和《刑法》的修订明确了滥用公民个人信息应当承担的民事、刑事责任。然而综观已有规范体系,“重刑事处罚与行政管理,轻民事确权与民事归责”的情况较为明显,这对于具有高度复合性特征的个人信息权来说存在规制短板,而造成这一现象的重要原因之一,就在于个人信息权的保障思路有待转变。
1.现行模式:基于侵权思路的保障
长期以来,我国的法律实践并未严格区分隐私权与个人信息权,因而受隐私保护模式的影响,对于个人信息权也基本采用隐私权化的附属保护思路,[注]张建文、高完成:《司法实践中个人信息的保护模式及其反思——以隐私权的转型为视角》,载《重庆邮电大学学报》(社会科学版)2016年第3期。实施秘密范式下的侵权保护。该模式注重对既有状态的维护,主要发挥一种消极的防御功能,因而,现行法律规范的具体内容多以对侵害行为的限制和惩罚为主。这种模式仅需直接指出防御的是何种行为,而不必明确防御的是何种权利受到侵犯,这对于我国尚未确定个人信息权利属性的现实而言,实际上持有的是一种被动适应态度,笔者认为可以将其视为阶段性或过渡性立法。
不可忽视的是,这种模式延续了互联网社会未全面形成时期的特征,虽然能够发挥良好的信息保障功能,却并未将主观视角置于权利主体,将不可避免地欠缺对合理利用行为的鼓励和支持,可能会阻碍共享经济的发展向纵深拓展,故应当继续探索其他更为合理的保障模式。
2.发展趋势:基于实体权利思路的保障
如前文所述,除了产生信息的个人之外,参与共享经济的企业也享有对用户个人信息的部分权利。基于权利属性和权利主体的复合特征,从实体权利的内容角度,采用耶林提出的“权利束”[注]权利束(Bundle of Rights):是解释财产所有权复杂性的隐喻。亦是将对某项财产的“全部”所有权描述为不同利益相关者各种权利的划分。See Jane B. Baron, Rescuing the Bundle-of-Rights Metaphor in Property Law, 82 University of Cincinnati Law Review 56-85, 2014.思路对个人信息相关行为进行调整与规制,在当前呈现出明显的适宜性。美国学者欧姆(Pahl Ohm)指出,随着互联网“去匿名化”(De-anonymize)和“再识别”(Re-identify)技术的发展,传统权利路径下的事后补救对于个人信息的保护已不再妥当,需要转变思路选用一种事前规制模式,而实体权利机制具备这一优势。[注]Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA Law Review 1701-1778, 2010.
在这种思路指导下,立法模式更加关注不同主体就个人信息所享有的权利内容、行使权利的阶段以及每种具体权利的利用与保护要求。具体来说,可以将个人信息权划分为个人主体的人格权部分、财产权部分,以及曾对信息进行过加工制作的企业主体的财产权部分等。
四、构建数字化转型社会中个人信息权的新型保障模型
以数字化转型中的社会为背景探索个人信息权的应用与保障,需要充分结合权利的法定要素、权利行使的核心环节加以考量。而构建不同于以往形态的个人信息权保障模式,则要在全面理解权利内涵的基础上,实现以下四个方面的“新型化”。
(一)权利地位的法定化
借鉴个人信息保护的国际经验,实践中首先要解决的问题就是权利的法律定位。以共享经济时代的大数据交互为背景,在承认个人信息已具备“流通物”属性的基础上,建议进一步明确个人信息权的以下两项法律地位:
1.公民基本权利
对《民法总则》第111条的规定做进一步解释,将公民的个人信息权确定为一项基本权利。通过这一原则性规范,一方面提升个人信息权的法律地位层级,另一方面指导其他专门性法律法规中“用户个人信息保障”“消费者个人信息保障”部分的细化。
2.以人格权为主,兼具财产权特征的新型复合性权利
基于个人信息权的多重特性,在确立其新型复合权利地位的同时,需要特别注意贝格尔森教授曾提到的权利模式的限度问题:第一,个人信息权的存续期间。因与人格权密切相关,故对个人信息的保护仅限于该自然人的有生之年,这与物权的永久性不同。第二,个人信息首次收集者(original collector)的权利,在此可对应上文提及的“曾对信息进行过加工制作的企业主体的财产权部分”。应规定此类主体只能在一定程度上对个人信息进行处理和利用,且这种利用只局限于该主体内部,不能随意出售和共享给第三方。然而,当前企业间的并购时有发生,这就对如何判定所谓的“内部利用”提出更高要求。第三,出于公益使用个人信息的例外。应当允许公共媒体基于保障社会公益之目的,在未征询权利人同意的情况下将个人信息予以公开。当然,在此可以规定对权利人提供事后补偿的标准及措施。第四,网络服务中的强制缔约义务。用户可以拒绝网络服务商在有限合理的使用空间之外,再要求该用户同意服务商使用其个人信息。同时,网络服务提供商非经正当理由,不得拒绝提供网络服务,也就是负有强制缔约义务。实际上这种观点的背后就是把网络视为一种公共基础设施,不能限制公众对网络、对平台的使用。[注]Vera Bergelson, It's Personal but Is It Mine? - Toward Property Rights in Personal Information, 37 UC Davis Law Review 379, 438-445, 2003.
(二)权利主体权责的明确化
1.信息提供主体的权利义务
以共享经济为例,其经济行为链条中与个人相关的信息大多数来源于信息提供者(多数情况下为用户个人)的主动行为,并以获得特定商品、服务为目的,因此具备民事合同领域中准备行为或要约行为的性质,特殊情况下还可以视为一种承诺。所以,以合同行为的存在与发展为框架,建议赋予信息提供主体以下权利:对信息接收方个人信息数据保障条款的知情权,对信息接收方数据共享主体清单的知情权,以及因个人信息泄露而遭受不利益的求偿权等。相应地,建议将信息提供主体的义务规定为:真实准确提供个人信息的义务,以及持续更新信息以保证其时效性的义务等。
2.信息接收主体的权利义务
共享经济中,第三方平台和实体经营者作为个人信息的接收主体,既是其传输纽带又是关键的处理者与利用者,对共享经济发展质效起决定作用。因此,建议将信息接收主体的权利规定为:要求用户提供真实准确信息的权利,对用户提交的个人信息进行加工处理的权利,以及在有限范围内占有、使用、处分这些信息并以此收益的权利等。相应地,其作为信息收集和利用者的义务主要包括:合法、正当且在必要限度内收集、利用和共享用户个人信息的义务,采取必要措施保障用户个人信息数据安全的义务等。此外,针对因信息接收主体过错导致的用户个人信息数据权受损事实,平台和商家应当承担连带责任。
(三)权利客体的类型化
从全面保障个人信息权的角度对个人信息进行细化分类,针对不同类别适用不同规则,更加有利于权利的保障。
1.隐私信息和非隐私信息
隐私信息的确定标准主要基于信息主体的个人意愿,即是否愿意将属于个人的相关信息公布于众,或者允许公众公开使用和传播,因此在多数情况下,公民个人的身份信息、财产状况等敏感信息都可以划归为隐私信息。相比之下,非隐私信息则是指除敏感隐私之外的其他信息内容。当然,由于“隐私”的界定在很大程度上带有主观色彩,所以对于不同信息主体而言,其隐私信息和非隐私信息在具体内容上可能存在差异。因此法律保障措施的设置,应当对隐私信息实施不予公开或者经权利人同意的有限公开,对非隐私信息则应当综合考量其与公民个人的密切程度、公开后是否会对信息主体造成不利影响等因素,决定是否能够公开与流转。
2.实体性个人信息和程序性个人信息
按照个人信息承载内容的性质,将能够明确定位到个人,或者能够直接推断出个人身份的信息界定为实体性个人信息;将个人在相关活动中产生的与自身有关,但并不能单独据此判定个人身份的信息界定为程序性个人信息,诸如在共享经济行为中产生的网络购物习惯信息、日常活动路线信息等。建议对实体性个人信息绝对保密或进行脱密处理后再予共享,对程序性个人信息则可以在隐去数据主体的前提下,进行直接共享。
(四)公民权利保护意识的内嵌化
共享经济中,虽然企业作为“加工者”享有部分的个人信息权,但此处有关自我保护意识的构建,主要针对的还是处在相对弱势地位、信息数据内容与其自身绝对相关的用户个人。很多情况下,用户仅将关注重点放在获取商品和服务的质效上,而忽视甚至无法认知自己作为信息源的事实,仅仅局限于持续制造此类数据而缺乏保护观念。[注]郭建利主编:《互联网+法治思维与法律热点问题探析》,法律出版社2016年版,第65页。
建议以“快递员私售用户个人信息案”为视角,将其作为数据安全教育的典型案例,使用户知悉提供个人信息的情形、方式以及可能产生的后果,从而提升自我保护意识。例如,培养用户具备以下能力:要求平台上的商家承诺合理运用其个人信息,并且不对非相关企业公开或共享包含其详细居住地址的个人隐私信息等。此外,还应通过一定的宣传教育使个人认知并了解其信息权的基本内涵,从合法行权的角度提升公民对这项新兴权利的关注,夯实个人信息权利保障的主观基础。最终,促进权利保护意识内嵌为公民基本观念的一部分,同时也内嵌为数字化社会的核心价值组成体。