个人信息分类保护制度及其体系研究
2020-02-12王思庆
■袁 泉 王思庆
传统个人信息立法立足于单向利益保护,形成“一刀切”的个人信息保护模式,造成了利益失衡的现实困境。个人信息具有社会属性,其制度目标具有多元化特点。个人信息应采取分类保护模式,以信息生命周期为基础,综合考量信息之上的多元法益,形成一套以个人私密信息、个人事实信息、个人预测信息为划分类型的分类体系。个人私密信息应纳入隐私权保护范畴,个人事实信息遵循利益配置的保护原则,赋予个人预测信息以财产权并依据消费者权益保护法予以规制。
数据容量、数据速度、数据多样化的强强联合使人类社会以一种极具变革性的方式迈进了大数据时代。①为应对大数据技术对个人信息利益、隐私利益的挑战,各国积极立法展开应对。我国于2020年5月28日通过的《中华人民共和国民法典》(简称《民法典》)在人格权编专设章节规定隐私权和个人信息,初步形成了隐私权与个人信息保护分置的模式,彰显了立法者强化个人信息保护的立场。但是,《民法典》对个人信息的保护仍然延续了传统的“告知-同意”路径,并未脱离“一刀切”模式,导致个人信息保护制度在利益配置上无法兼顾多方主体,亦无法实现个人信息的多元化规制目标。在信息驱动型经济发展趋势下,如何构建一套灵活动态的个人信息保护制度成为核心议题。本文拟在检视传统个人信息保护制度局限性的基础上,关注个人信息的社会属性、制度目标及其对传统思维模式转换的客观要求,以准确把握个人信息应当遵循的规制路径,在此基础上,提出立足于信息生命周期理论的个人信息分类保护框架,并就类型化信息的具体保护机制进行讨论。
一、传统个人信息保护模式及其弊端
个人信息保护有两个制度源头:一是欧盟立足于基础权利与人权保护的个人信息制度,另一个是美国基于权利自由与行业自治的大隐私权制度。尽管二者对个人信息保护的理论基础不同,但其制度指向是相同的,即强调个人信息的单边性保护,导致个人信息制度呈现出“一刀切”的体系样态。这种制度模式影响了各国个人信息保护规则的形成与发展,[1]成为当今世界主流的个人信息立法的制度模型。
(一)欧盟模式
第二次世界大战时期法西斯与纳粹主义肆虐的残酷经历,促使战后欧洲许多国家积极强化对人权的保护,并将其发展成为超越国家体系的根本性权利。基于此,欧盟个人信息保护制度一直以来都深深根植于人格尊严等基础性权利之中,给予个人信息最高等级保护的同时,也使信息自由流转受到了相对严格的限制。欧洲国家一直都谨慎对待信息处理给个人的基础性权利带来的影响②,个人信息权利基础化(fundamentalisation)趋势的推动更将个人信息保护提升至宪法高度。《欧盟基本权利宪章》(Charter of Fundamental Rights of the EU)第8条第1款明确了欧盟把个人信息权作为一项基本人权,在欧盟机构与信息主体之间建立联系以保护其利益。为推动个人信息在欧盟成员之间的自由流动并确保欧盟国家建立起统一的高水平个人信息保护制度,欧盟于1995年10月正式通过了 《关于保护个人信息处理中的主体及信息自由流转的指令(95/46/EC)》(EU Data Protection Directive),该指令规定了严格的个人信息处理原则,包括:信息质量原则、同意原则、透明化原则、获取与修正原则、保密原则以及安全原则,奠定了欧盟个人信息保护模式的基本架构与核心。出于对欧盟成员国隐私保护立法参差不齐现状的反思[2],欧盟委员会于2012年1月发布了关于修改并取代1995年《个人信息保护指令》的新规定,并于2016年正式颁布了《一般数据保护条例》(General Data Protection Regulation,简称GDPR),欧盟内部建立起了一个严格、统一的个人信息保护和流通体系。
总体而言,欧盟的个人信息保护制度站在了严格保护信息主体的立场,以权利论作为信息保护的载体,以此规避信息技术发展下的信息处理与使用对个人产生的负面影响。在立法路径上,欧盟采取了综合化立法模式(omnibus approach)。一方面,通过统一立法实现个人信息保护的体系化,保证任何领域的个人信息在信息处理和流通的各个环节——无论是公共机关还是私营部门的适用——都能得到法律的规制,使信息主体的根本性权利免受损害;另一方面,通过《一般数据保护条例》实现欧盟内部个人信息保护的一体化,不仅改变了过去不同成员国在信息处理与流通的具体规则上的相互龃龉,也提高了欧盟内部个人信息传输的效率和安全性。
(二)美国模式
与欧盟将个人信息置于基本人权的法律地位不同,美国把信息主体视为一般的市场消费者,并以自己的个人信息作为商品进行交换。例如,1970年《公平信用报告法》(Fair Credit Reporting Act)、《金融服务现代化法案》(Financial Sevices Moderization Act)、《录像带隐私保护法》(Video Privacy Protection Act)等诸多法案以“消费者(consumers)”定义被处理信息的主体,而《电信法》(Telecommunications Act)与《有线法》(Cable Act)则分别以“用户(customers)”和“订购者(subscribers)”将信息主体界定在明确的消费关系之中。此外,相较于欧盟以信息保护为核心,美国宪法更侧重于对信息自由传输的保护,这也使得宪法第一修正案关于言论自由的规定成为信息处理者的保护伞。③
美国在立法路径上采取分散化立法模式(sectoral approach)。一方面,在公共领域针对联邦机构的个人信息处理行为制定隐私法;另一方面,针对私营领域的各个行业分别立法。可以说,美国个人信息保护机制是一个由各种联邦法律、州法律以及大量的行业自治规则共同组成的混合体。其中,作为美国事实上的个人信息保护机构——联邦公平交易委员会 (FTC,即Federal Trade Commission)具有横向执法权而不仅限于某一行业,通过对个案的调查形成一整套规则,强化和明确了相关公司在信息收集、处理和使用过程中的义务。
(三)传统模式的弊端:利益失衡
欧盟与美国立足于不同的制度出发点,却殊途同归地将个人信息保护制度推向了相同的现实困境:强调个人信息的单向价值保护并对不同信息采取“一刀切”的保护模式,使传统个人信息保护机制在大数据时代捉襟见肘,表现出严重的利益失衡。二者截然不同的个人信息保护制度源于其对个人信息性质的不同认知,这种认知与其根深蒂固的法律传统是分不开的。欧盟之所以将个人信息视为一项基本权利源于其自二战以来不断强化的人权保护需求,而美国法律倾向于对信息隐私采取消费者保护模式则主要源于其长久以来“消费者主权”传统。[3]
在欧盟,个人信息作为一项基础性人权具有不可转移性,信息主体不得通过“许可”的方式转让自己的基础性权利,包括其隐私及数据所包含的基础性利益,这源于其不断强化的个人信息控制权。欧盟法律认为一旦允许信息主体转让个人信息权,将无法避免个人的信息利益失去控制,使得信息权利难以有效实施,并进一步影响了民主政治中主体自治原则的落实。可以说,信息控制权在欧盟个人信息保护体系中具有极为重要的地位。[4]基于此,GDPR将对个人信息权利的保护置于信息自由交易权之上,以避免对信息控制权的侵害。
但是,在大数据时代的个人信息除具有人格利益外,亦具有极高的经济价值与公共价值,赋予个人信息权以不可转移性可能有悖于信息主体的真实意愿,也不利于个人信息的经济价值最大化。可以说,欧盟法律在个人信息权上设立了一个“不得自由契约”“不得自由同意”的真空地带。[5]
与欧盟不同,美国以消费者经济利益为核心的原则促使法律不得不强化消费者的选择权限。美国法律框架下,个人信息是以商品的形式存在,不再作为一项涉及人格尊严与自决的根本性权利;信息主体只是普通的隐私消费者,而非个人信息权的享有者;法律更倾向于维护信息处理者的权益,以维持个人信息交换的公平公开为目标,而非信息主体利益免受信息处理的损害。因此,美国的信息隐私制度立足于自由主义原则及市场化力量,而欧盟的个人信息制度则以社会保障规范为基础。[6]
市场化保护模式下的美国无法赋予信息主体以GDPR同等程度的保护,在信息主体与信息处理者的权利拉锯战中,法律倾向于信息处理者一方,这种利益失衡的个人信息制度与美国科技公司所带来的巨大经济利益不无关系。[7](P62)一方面,基于经济原因立法者不得不积极保护科技公司在收集和使用用户信息过程中的权益;另一方面,保证消费者在市场失灵时能够获得来自FTC的保护。作为美国事实上的个人信息保护机构,FTC致力于规制市场欺骗行为及不公平交易,而这种规制也以消费者权益损害为核心。因此,FTC所面向的市场关系相对有限——其作用主要表现为对消费者权益的保护和对公平市场交易的推动,无法满足大数据时代个人信息保护的巨大需求。总之,美国市场化的个人信息保护路径着眼于个人信息的经济价值,以为科技型企业提供友好的市场环境为目的,在此背景之下,强化了行业自制的作用,弱化了消费者作为信息隐私权利人的基础性利益。
二、个人信息制度目标的多元化与法律保护思维模式的转换
个人信息保护法律规则的形成和实施过程中,一直充斥着“个人信息保护”“个人信息制度”等语汇的使用,这产生了一个巨大的、不容忽视的负面效应,即形成了一个似乎正当的事实——个人信息就是个人的信息,个人信息保护就是对个人的信息利益进行保护。事实上,个人信息具有社会属性,个人信息的制度目标是多元化的。
(一)个人信息的社会属性
个人信息不只是一项关乎单一主体的权利,其利益形态的多元化决定了个人信息无法成为一项独立的民事权利。传统观点普遍认为,个人信息是一项仅与个人密切相关,甚至应当归属于个人的权利——亦即“个人信息自决权”。这种观点在某种程度上混淆了“个人信息保护”与“个人对自己信息利益的保护”之间的关系,将个人信息视为独属于私人领域的事务。个人信息并非一项为个人创设的权利,对其进行立法关乎规制个人与公私机构在个人信息流转过程中的利益关系,对政治的发展、信息社会的构建,都有着至关重要的意义。[8]
个人信息并不属于个人领域,它具有工具属性,对其进行法律探索必须贴合工具中立的基本原则。个人与个人信息的联结就在于后者可以识别、关联到前者,后者的描述对象包含了前者。从这一角度讲,个人信息是指可以通过识别、关联和描述等方式指向特定个人,并以此将他与其他主体相区隔的信息类型。
个人信息具有标签性作用。个人信息不仅是个人标签自我的工具,同时也是他人识别特定主体的工具。[9]一个人只要属于社会团体中的一分子,就不可避免要通过个人信息的方式被他人标识、识别,并通过个人信息的方式与他人建立联系。在此意义上讲,任何人的信息都属于社会群体的基础性工具,具有中立属性,很难说应当归属于哪一方主体。与其说个人信息是以个人为描述对象的信息类型,毋宁讲是社会成员沟通交往、建立联系的纽带。因此,个人信息无法作为特定主体的私权对象,它具有明显的工具属性,这决定了个人信息在一定程度上的社会性和公共性。
(二)个人信息制度目标的多元化
关于个人信息保护的目的,学界众说纷纭。主流观点认为,应当以保障“个人信息自决权”为个人信息保护法的目标。[10]也有学者在大陆法系的框架下指出,个人信息保护法保护的是个人的人格权利。德国学者Klippel教授曾将个人信息法的客体界定为以下四项:处理个人信息的利益、保证个人信息正确且完整的利益、目的最小化的利益、信息隐私的利益。另有观点认为,个人信息保护法的目的是保障人格利益和财产利益免受损害,亦即是对上述两项利益的前置保护规范。[11]上述观点虽各有其理论依据,尤其是后两项观点已经初步形成了反对将个人信息保护法和个人信息自决权保护法等同视之的雏形。但遗憾的是,上述观点都将个人利益保护视为个人信息保护法几乎唯一的目标,严重忽视了企业利益与社会公共利益的客观需求。
多元的利益形态和利益主体决定了个人信息保护制度指向的是规制个人信息之上的所有法律冲突和利益纠纷。个人信息保护制度的客体是一切信息之上的合法利益,而非个人关于自己信息的利益。申言之,个人信息之上如果只存在一个利益主体,那么法律保护的就是单一主体的利益;如果个人信息之上存在着诸多利益主体以及价值样态,那么这些主体的利益都应当得到法律的保护。个人信息之上的利益形态纷繁复杂,法律欲对个人信息进行保护和规制,就必然需要充分衡量不同主体的利益需求,设计复杂精细的个人信息保护机制。在此意义上,个人信息保护制度所依赖的,并非单纯对一方权利的强化和保护,而是要综合考量信息的各个相关利益主体。这再一次表明了,法律要解决的并非“个人的信息权利保护”,而是“与个人相关联的信息”之上的所有法律冲突和利益纠纷。
个人信息保护法的目的是妥善安排好个人信息之上的各项利益关系,在保障信息各方主体基本利益的前提下实现社会福祉的最大化。个人信息保护法的落脚点在于“信息”而非“个人”,之所以被称为“个人信息保护法”,只是因为法律保护的客体是“与个人有所关联的信息”。个人信息保护法的客体并不仅仅关涉个人利益,任何主体关乎个人信息的利益都应得到法律的保障和支持。
《民法典》第111条并未将个人信息以权利的形式界定,没有赋予个人以主动性的信息控制权,而是从消极层面确立了他人对个人信息不得为之行径。亦即只明确了关于个人信息的禁止性规范,尚未赋予个人以积极主动性权利。这种规定方式不仅符合个人信息的社会属性,同时表明个人信息保护的目标不仅仅是对信息主体单一利益的保护。我们必须从更宏大的视角出发,认识到个人信息保护制度的真正目的是妥善解决信息各方主体之间的利益纠纷,以保证个人信息被有序、可控地使用和流转。
三、个人信息保护模式的转型:分类保护论的提出
民法在构建个人信息保护制度时,首先应当考虑的是如何在保障个人信息利益的前提下促进信息流转与共享,让个人信息更好地参与到民事法律关系中,如何降低信息市场主体的交易成本与风险,如何确保信息的利益人进行民事交往的安全与稳定等问题。因此,个人信息的根本差异应着眼于其在信息链各个阶段的特点及其生成和使用功能的差异。正是各类信息生成方式和使用功能上的特殊性,才导致它们在生命周期的不同阶段,信息收集、分析、处理、转移、利用、消亡的范围和规则不可能等同划一。传统的个人信息保护理论完全立足于个体主体并从静态规制角度出发,这不仅与个人信息的利益形态多样化和保护目标多元化的特点不相吻合,而且无法兼顾多方主体对个人信息迥然相异的利益需求。本文对个人信息社会属性与保护目的的分析,实质上构成了对当前个人信息“一刀切”保护模式的反思与批判,提倡个人信息保护必须以信息生命周期为基石,综合考量个人信息的利益样态和利益主体等因素,构建一套灵活动态的个人信息保护制度。
(一)信息生命周期理论
对信息生命周期的讨论最早可以追溯到1943年,C.F.Gosnell在对学校图书馆文献老化率进行研究时发现任何知识或其载体的价值,都会随时间的推进而逐渐减损。[12]换言之,知识或其载体的价值并非一成不变,而是随时间的推移而日益退减。1986年,由著名资源管理学家Donald A.Marchand和Forest W.Horton合作的《Infotrends:Profiting From your Information Research》[13]首次提出了根据信息生命的周期对其进行管理的思路,认为信息管理与一般意义上的产品生产相类似,在逻辑上存在若干阶段,每一阶段的演进都伴随着管理成本与信息价值的增减。从这个角度来看,信息生命周期与其说是提出了一个理论,不如说发现了一个信息运动的客观规律,它描述了信息从产生至最后消亡的全部过程,提出了上述过程应当在逻辑上可以被划分为若干阶段,信息在不同阶段的价值表现有所不同。
信息的价值在于交流和应用。大数据时代,个人信息保护之所以受到从未有过的关注与讨论就在于信息的价值被充分挖掘和利用,在一定程度上损害了个人的权益。欧盟与美国的个人信息模式之所以导致利益失衡现象的发生,就在于没能平衡好信息价值最大化与个人权益保护之间的关系。信息生命周期理论告诉我们,信息的价值通过流转、分析和使用得以实现,而在此过程中,信息价值并不是均匀地递增或减损,而是呈现出个体特有的价值衰减规律。[14]换言之,在生命周期的不同阶段,信息的价值呈现出不具有统一性的波动曲线。这就意味着,“一刀切”模式下的个人信息保护制度是不符合信息生命周期的发展规律的,立法者应当综合考量信息在不同阶段的价值,制定有针对性的保护策略。
(二)个人信息分类标准
为避免“一刀切”模式导致的利益失衡,实现法律制度与双向动态的信息生态的契合,我们应当对个人信息进行类型化区分。着眼于各类信息在社会经济生活中的产生方式和使用功能的差异,以信息的生命周期和利益形态为界分标准,构建一套积极趋利的个人信息分类保护机制。
1.信息生命周期。个人信息的生命周期是可以被划分为收集、编辑整理、分析处理和信息利用四个阶段,④不同阶段信息的呈现样态也各不相同,具体表现为原始信息、事实信息和预测信息三类。
第一阶段,个人信息收集。作为个人信息生命周期的起点,信息收集是指个人在被告知的前提下,允许自己的信息被获取的过程。此时,个人信息表现为未经加工、整合的个人原始信息。
第二阶段,个人信息编辑整理。信息的编辑整理是指,企业将收集的用户信息进行分类和规整,形成相对完成的用户画像的过程。信息的生成源于用户对个人原始信息的提供以及企业对已获取信息的简单整合。因此,信息内容主要表现为对个人主体特征的客观揭示和总结,具有高度真实性,属于个人事实信息的范畴。
第三阶段,个人信息分析处理。信息分析处理主要表现为“预测性分析”(predictive analytics),即基于统计模型的使用而产生的新信息。例如,企业通过对用户消费记录、网络浏览记录、购物习惯等信息的分析,设计一个基于价格的用户购买统计模型,在模型的指导下预测用户的购买偏好。“预测性分析”本质上是一个概率,它并不能准确告诉我们将要发生的,而只能预测未来可能发生的。⑤换言之,此时信息的内容主要表现为对个人未来行为的预期和评估,属于个人预测信息的范畴。
第四阶段,个人信息利用。信息利用是一把双刃剑。一方面,海量信息和复杂算法的使用提升了社会整体的发展,带来更多机遇;另一方面,信息利用过程中的质量问题也引发一系列法律问题。此时,信息的质量、准确性、完整性、敏感性和信息利用的风险密切相关。在个人信息利用阶段,信息呈现出多元化样态,原始信息、事实信息、预测信息均具备被利用和转移的可能性,这同时也提升了该阶段的个人信息保护难度。
基于个人信息生命周期的动态演化可知,信息在收集、编辑整合、分析处理三个阶段的表现形式各不相同,分别为“原始信息”“事实信息”“预测信息”,在信息利用阶段则表现出多元化特点。从民法角度分析,个人信息在整个生命周期中的价值波动与其自身的呈现形态密切相关。
2.利益形态。个人信息在生命周期的不同阶段呈现出截然不同的价值形态,这不仅关乎信息之上的多元利益主体,还与信息在生命周期的不同阶段所呈现的样态密切相关。其中,个人和企业作为信息生命周期的主要参与者,从信息收集到信息利用的整个过程,二者与信息之间的关系都呈现出此消彼长的转化,尤其表现在对信息样态形成的贡献程度方面。[15]在生命周期的第一和第二阶段——信息收集和编辑整理,信息样态的形成主要源于个人的主动提供,企业在原始信息的生产环节贡献度极低。原始信息表现为真实的用户信息,因此个人与信息之间呈现出强关系联结。在生命周期的第三阶段——信息分析处理,信息样态的形成主要源于企业通过大数据技术挖掘、分析获得的预测性信息——也就是所谓的“数据资产”。此时,企业与信息之间呈现出强关系联结。反之,个人与信息之间的关系逐步弱化。随着个人、企业对信息的关系的强弱发生渐进式转化,个人信息在不同样态之上的价值呈现也有所不同。
四、个人信息分类保护的合理化构建及其体系展开
个人信息分类保护应当以多维度的信息分类标准为依据,遵循信息生命的客观规律,结合信息各个阶段的不同价值形态设置有针对性的保护机制。这种分类保护体系不仅可以有效规避传统“一刀切”模式导致的利益失衡,还能够实现个人信息权益保护与信息利用的价值最大化。
(一)个人信息的类型
立足于信息生命周期与其在不同周期阶段呈现的利益形态,可以重构个人信息的结构体系。具体而言,个人信息可被划分为三类:个人私密信息、个人事实信息、个人预测信息。
第一,个人私密信息也称敏感信息,是指涉及个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的信息。[16]此类信息风险系数极大,在信息样态上表现为个人事实信息,但在价值形态上呈现出隐私性,故而区别于一般事实信息。
第二,个人事实信息生成于生命周期的第二阶段——信息编辑整理,是指以个人的客观状况为描述内容,能够直接关联到特定信息主体身份的信息类型,包括个人联络信息、数字足迹信息、社会交往信息等。此类信息在样态形成过程中,个人贡献占比较高,信息的生成主要源于个人的主动提供和企业的归类整合。换言之,个人作为信息的主要提供者或生产者存在,而企业在信息样态的形成中具有一定参与度,但并非对信息的形成产生实质性贡献。例如,个人的邮箱、工作单位、教育背景等我们社会交往所必需的信息均属此列。这一类信息在范围上并不必然属于个人私密领域,具有一定的公开性;在价值上同时表现出人格价值和经济价值;在信息内容上,表现为真实的个人信息;在信息样态的形成上,企业的劳动贡献占比较小。
第三,个人预测信息也称“数据产品”,生成于信息生命周期的第三阶段——信息分析处理,是指以个人的未来行为或风险预测为描述对象的信息。此类信息在样态形成过程中,个人贡献占比较低,其生成主要依赖于企业的加工处理。在呈现内容上,此类信息表现出极强的不确定性和预测性,而非对个人当前事实状态的描述。就此意义而言,此类信息具有“准知识产品”的特性。例如,金融机构出具的用户信誉预期报告、保险机构出具的客户寿命预测分析等都属于个人预测信息。在价值形态上,个人预测信息作为信息收集者向用户提供的数据产品,呈现出极强的经济价值。
(二)个人信息的类型化保护
个人私密信息应纳入隐私权的保护范畴。个人私密信息的界定本身就是通过公共领域和私人领域的划分实现的,而隐私权所保护的正是自然人的私人生活与私人秘密不受非法干涉与侵犯。隐私权的界定,同样是以公共领域和私人领域的划分为前提。个人信息自主权,亦即个人信息隐私从属于隐私权的保护范围。[17]隐私的本质就是私人生活领域,个人私密信息实质上指向隐私的核心部分:个人信息隐私。一旦明确了个人私密信息的隐私权属性,就可以在隐私权的基础之上,构建对个人私密信息的保护,《民法典》第1034条第二款的规定也遵循了这一保护模式。第一,个人私密信息不具有直接的财产利益内容,属于人格权的一部分。第二,个人私密信息具有支配性,未经个人同意的私密信息披露将直接导致侵权。第三,个人对私密信息的权利并非完全意义上的绝对权,同样受到一定的限制和约束。个人私密信息只能在法律允许的范围之内受到保护。亦即个人对私密信息的绝对支配权具有可克减性(derogation),并受公共利益之限制。
个人事实信息应遵循利益配置原则予以保护。个人事实信息是指,以个人真实状态为描述对象,能够关联到特定主体身份的个人信息,包括个人联络信息、数字足迹信息、社会交往信息等。个人事实信息之上同时呈现出人格利益和财产利益。一方面,个人事实信息关涉个人生活安宁权和个人自由,对其进行滥用将损害个人的行为自由和选择自由。另一方面,个人事实信息能够为企业所分析、利用并引导其商业行为,产生巨大的经济效能。因此,个人事实信息呈现出多元利益的特殊结构,法律在对它进行制度设计时,必须遵循利益配置原则。滥用个人事实信息,侵犯了个人生活安宁权利和行为自由权利,应承担侵害信息主体人格权的法律责任。与此同时,保护个人对事实信息的财产利益,允许其通过授权许可的方式将信息财产利益进行转让。需要指出的是,个人事实信息财产权指向的是信息之上的商业利用价值,个人权利所排除的,是他人对自己信息随意进行商业性使用。换言之,纯粹的信息披露或获悉并不损害信息主体的信息财产权利益,也无须获得个人同意。只有在以商业利用为目的的个人事实信息使用时,个人的财产性权利才彰显其意义。
个人预测信息(数据产品)应赋予其财产权地位,遵循消费者权益保护模式。反不正当竞争法对企业数据产品利益的保护有限且消极,只有财产化路径才能实现数据资源的优化配置,推进数据驱动型经济的稳定发展。[18]个人预测信息具有普遍性、排他性、可让渡性,符合财产权的基本特征。[19](P42)数据产品应遵循消费者权益保护路径,以构建一个公平有序的数据市场环境和以倾斜性集体保护等原则为主的数据产品消费者保护框架。[20]首先,消费者权益保护路径充分契合了数据产品财产化以后,个人与企业之间的对应关系。其次,消费者权益保护路径在以交易自由为基础的市场化模式上增加了社会公平价值的考量。[21]第三,在授权许可模式下,个人与企业之间呈现出一种自由的市场交易关系,消费者权益保护路径有助于在效率优先的市场环境中强化公平的交易准则。格式合同的产生源于企业经营者对效率的追求,而这同时意味着对“契约自由”——这一核心原则的弱化。[22]在《消费者权益保护法》框架内,公平价值作为法律条款的道德底线,应优先于效率原则。[23]将个人信息授权许可纳入消费者权益保护伞之下,有助于解决授权许可合同中的“用户同意”和“格式条款”等问题,提高个人信息交易市场的公平性与有序性。
注释:
①大数据的特征被形容为“3V架构”:数据容量(volume)、数据速度(velocity)、数据多样化(variety)。Brian Gentile,The New Factors of Production And the rise of Data-Driven Applications,FORBES (Dec,1,2018).
②德国1977年《联邦数据保护法》首次提出:“信息处理影响了相关主体的法律利益。”此后,法国1978年《国家数据保护法》指出:“信息学给个人存在、人格权利、隐私、个人和公共自由带来了威胁。”
③在Sorrell v.IMS Health Care案件中,最高法院认为蒙特达成州法律影响了药品市场的言论自由,违反了宪法第一修正案。参见:131 S.Ct.2653 (2011).
④美国联邦贸易委员会在2016年的一份报告中提到,从碎片化的数据到所谓的“大数据”,数据的生命周期可以被分为四个阶段:收集、编辑和整合、分析、使用。Federal trade Commission,Big Data:A tool for Inclusion or Exclusion?——Understanding the Issues (DEC.1,2018).
⑤Mike W.,Big Data Reduction 2:Understanding Predictive Analytics (Dec.1,2018).