APP下载

论对可穿戴设备收集数据的法律定性及保护路径

2021-05-13毕文轩

中国科技论坛 2021年5期
关键词:个人信息用户设备

毕文轩

(上海交通大学凯原法学院,上海 200030)

科技的高速发展使得越来越多的高科技产品进入我们的生活,其中比较典型的技术便是近年来出现的可穿戴设备。可穿戴设备在早期是被职业体育联盟中的运动队使用,通过可穿戴设备可以实时对运动员的各项生理数据进行监控,并做出及时反馈。后来,可穿戴设备逐渐普及给普通用户。一方面,可穿戴设备搜集到的数据有利于训练者及时知悉自己的相关身体状况,以便及时调整训练安排;但另一方面对通过可穿戴设备收集到的用户各项数据的收集、储存、利用等并未有法律上明确的监管规范,这就会给用户的隐私带来极大的风险。现阶段对于由可穿戴设备收集到的数据应当如何处理,学界还鲜有专门系统的研究。因此,本文在全面分析可穿戴设备收集到数据的法律性质基础上,厘清相关概念之间的关系,探究对该类数据正当利用与必要监管之间的利益平衡,针对为用户隐私提供保护的必要性和可能性,探究可穿戴设备在现实应用场景中可能存在的问题,并结合科技创新的现实需求,对现有法律制度提出完善建议。

1 可穿戴设备的现实应用现状及可能存在的风险

可穿戴设备又称为智能化穿戴设备,是近年来兴起的一种新型智能化设备,其主要是将无线传播技术、多媒体技术及智能化技术相融合,并假以人们生活中常见的物品形式存在。根据美国国家篮球协会 (NBA)及其球员工会之间签订的集体谈判协议规定,可穿戴设备是指一种由个人佩戴并能测量个人运动信息 (如距离、速度、加速度、减速度、跳动等)、生物特征信息 (如心率、心率变异性、温度、血氧、水合,乳酸或葡萄糖等)或其他与个人健康或身体情况相关信息的设备[1]。随着技术变得越来越精细和复杂,将可穿戴设备作为生活用品使用在大众生活中已不鲜见[2]。可穿戴技术的历史可以追溯到17世纪,当时的数学家戴着一个带珠子的小戒指以帮助其进行各种计算[3]。而助推当代可穿戴技术发展应属 “Nike+”设备[4],其被广泛放置于耐克跑鞋鞋底的小切口中用于收集使用者的数据。自此之后,在体育界中通过可穿戴设备实时收集数据的趋势逐渐产生,可穿戴设备市场规模也逐渐发展壮大,但围绕对可穿戴设备调整的法律规范仍然存在空白。

可以预见的是,随着技术的不断发展,可穿戴设备会被更多地应用到公众日常的生活和训练中。由于该技术在使用初期表现为非侵入性特点,会降低使用者的防范意识并长时间允许其连续从事数据收集活动,但此举也可能极大地增加用户数据安全的风险,从而对用户的隐私与人格自由产生重要影响。通过可穿戴设备对用户数据进行收集分析,通常包括采集、上传、集成应用与反馈四个环节[5],每个环节的流转都会提高数据被泄露或被侵入的可能。

(1)在采集阶段,目前的许多可穿戴设备都缺乏存取控制和远程控制功能。通常来说,授权查看、授权使用、查看内容、使用内容等都是对存取控制的方式,但当下许多可穿戴设备为用户提供的数据存取控制权限功能较少,无法对用户具有隐私属性的信息进行高级别安全处理。而远程控制功能则是当用户的可穿戴设备丢失时,为了保护其隐私不被他人侵犯而赋予用户可在远程对其数据信息进行删除、加密等的能力。但目前多数可穿戴设备还不具有这样的功能,一旦可穿戴设备被他人拾得,用户的隐私将面临极大的风险。

(3)在集成交互阶段,数据面临的主要风险来源是未经许可对数据的擅自集成以及对信息的不规范披露。具言之,许多数据集成的第三方机构未严格遵守其职业规范,对用户不同种类型的数据进行集成融合,进而分析出用户的行踪、职业、习惯等隐私并对其实施算法歧视等行为。同时,一些集成平台常常会在公开场合中不当披露用户的其他信息 (位置、头像等),给用户隐私造成风险。

(4)在信息反馈阶段,主要问题在于对用户反馈数据的保管。分析机构将反馈信息发送给用户后,有时并不会对自己的留存信息进行及时删除或者采取高级别的保管,这些信息常常会因为黑客攻击、幕后交易等被曝光,从而威胁用户隐私。

综上,可穿戴设备在对用户数据收集分析中可能面临的主要风险如表1所示。

表1 可穿戴设备可能面临的风险

2 可穿戴设备收集得到数据的性质分析与监管模式选择

由于可穿戴设备收集得到的数据包含很多种类型,不同类型的数据在使用时需要注意的隐私问题以及合规标准亦有所不同,因而需要对这些收集得到的数据进行具体分类,再根据不同类型的数据对其采取不同的监管策略。

2.1 可穿戴设备收集得到数据的性质分析

根据Jason等的描述,由可穿戴设备收集的数据被定义为绩效数据或生物统计数据[6]。由可穿戴设备采集到的数据与传统临床医学中采集到的数据相比,有着更强的数据交互性,具体表现在三个方面:①可穿戴设备可以实时收集到佩戴者的各项生理数据 (如睡眠、血糖、血脂等);②可穿戴设备可以以用户个人可识别信息 (如身高、体重、性别等)作为主体辅助追踪,记录用户健康情况;③可穿戴设备可以通过搜集用户周围数据 (如温度、地理位置、湿度、噪音值等),利用云计算将其传送至平台中作为个人健康档案记录。这三种类型的数据由于涉及到的具体内容不同,其法律性质也有所不同,对其提供保护的路径选择自然也有所差异。

笔者认为,生理数据既属于个人信息又属于隐私,因而在使用前必须要获取用户许可;个人可识别数据通常属于用户的个人信息,因而可以在获得用户许可或者基于重大公共利益时对其进行使用;用户周围数据由于其开放性和非人身依附性的特点,既不属于个人信息也不属于隐私,因而第三方主体可以自行收集并使用。理由如下:

每一次读书,其实都是在书中读自己,读到自己的卑微和愚顽,并且明白原来高贵和智慧不是谁的专利和禁脔,自己也可以染指——通过读书。

第一,隐私权与个人信息权之间既存在交集也有所界分。隐私权属于人格权的一种,其权利归属与适用范围在学界几无太大争议。但个人信息权作为近年来出现的新型权利,对其性质的争论却一直没有停歇。有学者认为个人信息权属于物权的一种形式[7];有学者主张个人信息权本质上属于隐私权[8];还有学者认为个人信息中既包含人格要素也包含财产要素,因而其具有人格权和财产权兼具的属性[9];更有学者认为个人信息或为人格要素,或为财产要素,个人信息权只是一个概括性和描述性的指称,其本质上是一种框架权[10]。从比较法上看,由于美国法中隐私权调整范围广泛,其大多将个人信息视为隐私权的一部分;而日本法虽秉承大陆法系的立法理念,但由于二战后受美国的影响,其隐私权的范畴从传统意义上仅保护私生活安宁的消极属性权利逐渐演变为具有积极属性的信息隐私权[11]。根据德国法之规定,个人信息系一般性人格要素,信息自决权不是 《德国民法典》第823条所称的 “其他权利”,它仍属于一般人格权的一部分[12]。对此笔者认为,在我国现有法律框架内,个人信息权与隐私权分属于不同的具体人格权类别。因此,二者在权利属性、权利客体以及权利的内容等方面存在不同程度的差异。

具体而言,隐私权系指禁止他人无端干预个人私领域之权利[13]。与其他侵权行为相比,隐私侵权行为是晚近发展而来的,并且可能会随着技术的发展而不断发展,以期为保护权利人的隐私提供更多的补救措施[14]。个人信息权常常又被称为信息自决权,即指个人可以依照法律控制自己的个人信息并决定其是否被收集和利用的权利[15]。这两项权利有时具有一定的相似性,例如二者的权利主体都仅限于自然人,而不包括法人;二者都体现了权利人对自己生活的自主决定,并体现对其人格尊严和个人自由的保护;未公开的个人信息属于隐私的范畴,部分隐私也可以属于个人信息等。但需要指出的是,此二者权利依然存在明显区别,主要表现为:①二者的权利属性有所不同。隐私权是一种精神性的人格权,从本质上讲属于广义人格权的一种,因此在其中并不包含过多的财产价值属性。个人信息权的性质则属于财产权与人格权的综合,既包含有一定的人格精神价值,同样还存在着特定的财产价值[16]。例如,明星的签字或者肖像不但可以彰显其身份和地位,同样具有相当的财产价值。②二者的权利客体有所不同。隐私权着重体现个人特定信息或行动的不为公众知悉性,而个人信息权则重在体现特定主体的身份识别性。因为隐私依赖于当事人的主观判断,任何消息或者信息都可能成为当事人的隐私,无论其是否会指向某个具体的自然人,如行走轨迹、定位等。个人信息权则不同,其最重要的作用是指向特定的主体,但这些信息是否公开在所不问[17]。根据2020年10月21日全国人大法工委公开的 《中华人民共和国个人信息保护法 (草案)》 (下文简称 《个人信息保护草案》)第4条之规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。显然,立法者也将可识别性与关联性作为判断是否构成个人信息的主要依据。需要注意的是,隐私一旦暴露便无法恢复原状,而个人信息在被侵害后则可以被恢复。同时,隐私通常并不要求特定的存在形态,而个人信息一般需要被以某种有形形式记载。③二者的权利内容有所不同。隐私权的内容主要是保护个人生活安宁且不被外人打扰,侵害隐私权之诉讼通常被归纳为四种类型:侵扰个人生活安宁、公开他人不愿揭露的私人事务、使他人处于遭受公众误解的情况、擅自利用他人姓名或肖像。个人信息权则重点体现为对个人信息的支配与自主决定[18],其具体内容包括自己对信息利用或授权他人利用的决定权以及对信息收集和利用等的知情权,最主要的侵犯方式是未经许可擅自收集并利用他人信息的行为。需要强调的是,隐私权是一种消极的防御性权利,通常只有在遭受侵犯时才可请求他人予以恢复和赔偿,而不能主动去实施。个人信息权则不同,其首先便具有 “自决”属性,即个人可以自主决定何时、何地、以何种方式行使该项权利。很明显,个人信息权属于积极的主动权利。

第二,生理数据、个人可识别数据与周围数据的性质存在明显差异。①生理数据属于隐私与个人信息。生理数据具有很强的私密性和人身依附性,虽然它们并不能直接被观测到,但生活中在获取这些信息前通常应取得当事人同意,否则会对其生理和生活造成影响。例如,当下某些运用在用户身上并收集其生理数据的可穿戴设备所使用的传感器,通常是通过附着在用户身体上的绷带状贴片,从而对其心率、呼吸、运动、血液氧合、脑活动、肌肉功能、体温和血压变化等数据进行收集。有些设备甚至可以获取用户汗液中的所有构成 (包括电解质、蛋白质和重金属含量等),从而有效建立起一个可以长期跟踪并分析用户数据的微型 “实验室”。这些数据一旦被泄露,用户的新陈代谢、神经系统、气体交换状况、排毒状态以及荷尔蒙系统等极为私密的信息便会被公开,对用户身心健康所造成的影响不言自明。同时,生理数据与使用者具有高度的人格相关性,这些数据足以指向某个特定的主体,甚至可以刻画出其具体形象。对于这些信息,用户具有当然决定是否公开以及如何使用的权利。因此,当生理数据遭受侵犯时,用户可以依据保护隐私权或者个人信息权的规则来实现权利的救济。②个人可识别信息属于个人信息而非隐私。可识别信息通常包括身高、体重、性别、年龄等,这些信息与生理信息相比更加外显,足以指向某个特定主体并使其与其他主体相区别,因而属于典型的个人信息。与生理数据类似的是,个人可识别信息同样与人身具有关联性,其本质属于广义人格权的一种。但需要注意的是,可识别信息并非法律概念上的隐私,原因在于隐私更强调内容的秘密性,而个人信息对此则并无必然要求。换言之,凡是在一定范围内会为社会特定人或不特定人所周知的个人信息,都难以归入到隐私权的范畴[19]。由于身高、性别、年龄等信息的收集势必会在公共管理中有所涉及,那么其便会在一定范围内为特定人所知悉,根据隐私一旦公开便无法恢复的特点,其很难被隐私权所涵盖。③用户周围数据既非隐私也非个人信息。无论是隐私还是个人信息,都要求该内容与自然人有紧密关联,并能对其进行明确的指向。而用户周围数据则很难满足该种要求,其一般是指可穿戴设备者周围的温度、地理位置、湿度等因素,这些信息本身既不归属用户本人,又不具有人身关联属性,即便获取后也无法明确指向特定的主体。因此,周围数据通常也仅被用来辅助分析设备使用者的训练及恢复状况,该类数据并非用户隐私或者个人信息,第三方可以相对自由地对其进行收集和使用。

2.2 可穿戴设备收集得到数据监管模式的比较考察与反思

如上所述,可穿戴设备被利用于日常训练时可能会对用户的隐私或个人信息造成风险,那么相关监管者需要采取必要的监管措施以降低风险发生的概率。下文从比较法的视角,着重介绍美国和欧盟在处理可穿戴设备隐私风险时的监管模式,并通过对两种模式的比较为我国未来可能采取的措施提供一定参考。

(1)美国:分散式立法模式监管。美国通常情况下是采用隐私权保护的做法来替代对个人信息的保护,主要原因在于其没有人格权制度,因此其隐私权具有很大的弹性,可以将许多新型人格利益纳入其管辖范围内,具有大陆法系中一般人格权的特点[20]。但是,隐私权证明标准的弹性空间较大。美国的隐私权被规定在 《宪法》第四修正案中,它是由Brandeis和Warren于1890年首次提出,被描述为 “让人独自相处的权利”[21]。在其论文中还提到,随着技术的发展,日后许多机械设备甚至可能会窥探到人们在壁橱里窃窃私语的谈话。因此,隐私法学应当也正在努力追赶技术的步伐[22]。随着视频、图片和其他可以将个人图像和个人信息公之于众的技术兴起,又随着自媒体的不断发达,每个人都非常担心自己的敏感个人信息被公开[23]。

在美国法中,与可穿戴技术以及隐私最为密切相关的便是隔离时的入侵,其定义是一个人有意采取物理上的或其他方式侵入他人已经采取隔离措施的私人事务领域,并对后者的生活构成高度冒犯,那么该种行为即是对他人隐私权的侵犯[24]。实际在普通法中,侵权法上的侵扰个人生活安宁的认定一直非常微妙[25]。自1960年该种类型的隐私侵权类型成立以来,法官们都竭力在保障个人生活空间免受侵扰以及维持人的一般行动自由和表达自由之间的平衡[26]。因此,法院为了将侵扰个人生活安宁的情形限定在保护隐私利益的范畴内,在不断的判例中逐渐明确了两项原告必需的基本证明责任:其一,原告对于其隐私需有实际的期待,并且该期待在客观上应是合理的[27];其二,这种对私人领域的侵扰行为具有很强的攻击性且十分无礼[28]。但是,现代技术却为原告满足此种证明责任造成了很大的困难。例如,某些技术能够将人们无意间在广播等媒体中流露的数据和信息进行汇总然后公布。由于此类信息是通过面向不特定公众进行传播的,因此可以说信息产生者对此类信息并没有 “实际的隐私期待”。此外,由于某些技术可以在人们不察觉的情况下收集其私人信息,因而此举也很难被归入到具有 “高度攻击性”的范畴之中。正因如此,许多信息被侵扰的受害者很难达到此种举证责任的要求,这也就为笼统地通过隐私权为用户提供保护造成了一定的障碍。

(2)欧盟:统一式立法模式监管。欧洲法对于保护个人信息采取的模式多是以制定专门的个人信息保护法为特点,因而也被称为统一模式[29]。其中,以欧盟最为典型。欧盟对健康隐私的态度以其基本权利义务为标志,最显著的代表便是 《欧盟基本权利宪章》,该宪章对欧盟机构和欧盟成员国具有法律约束力[30]。该文本包含两项至关重要的基本权利,即隐私权和保护个人数据的权利,只有在严格的条件下才可能受到限制。

欧盟有关隐私和个人数据保护的法律框架目前主要包括 《数据保护指令》和 《通用数据保护条例》 (下文简称GDPR)。前者通常适用于任何对个人数据的处理,包括仅收集个人数据的行为。它描述了在处理个人数据时应遵守的原则,如正当程序、目的说明、准确性、比例性、机密性和数据安全性,并确定不能以对数据主体进行识别的形式超出必要的保管时间。2018年在欧盟内施行的GDPR旨在加强对个人数据权利的保护并提高欧盟数据保护规则的效率,其一系列规定可能对加强与可穿戴设备有关的个人健康隐私权利保护产生积极影响。其中的重要改进包括阐明欧盟数据保护规则的适用范围,详细说明有效同意的条件,引入 “设计保护数据”和 “默认情况下”的法律义务以及对数据泄露的规制。在GDPR中, “有关健康的数据”类别被视为通常禁止处理的 “特殊数据类别”,GDPR将 “有关健康的数据”定义为 “与身心有关的个人数据”。GDPR的序言明确指出,个人的健康包括提供揭示其健康状况信息的医疗保健服务,该概念包括任何数据,这些数据揭示了与数据主体过去、现在或将来身体状况或心理健康状况有关的信息。例如,在提供医疗保健服务中收集的信息,用于健康目的的标识符,从身体部位或身体物质的测试或检查获得的信息 (包括遗传数据和生物样本),或来自医生或其他卫生专业人员测试的任何其他信息 (如数据主体的疾病、残疾、临床治疗或实际生理或生物医学状态)。GDPR中的部分条款可能会影响到公民的健康隐私,但为健康目的对数据的科学研究例外。因为GDPR的序言明确提到,科学研究目的还应包括在公共卫生领域出于公共利益所进行的研究。GDPR本身并未阐明如何确定科学研究的目的范围,而研究的范围却在扩张,因为许多私人公司事实上越来越倾向于将自己定位为 “数据科学”领域的活跃者,这在一定程度上增加了执法的难度。

此外,由官方工作组对欧盟 《电子隐私指令》第29条的观点可知,医疗数据应当被视为 “有关健康的数据”,包括在医疗环境中因使用设备或应用所生成的任何数据[31]。工作组的说法实际上是对 “健康数据”进行了广义解释,即有关一个人的肥胖、血压、遗传、饮酒、吸烟或任何其他方面的信息,以及在未来存在科学证明或普遍认为的疾病风险信息。从这个意义上,随着时间的推移以及与其他数据结合,许多当下看来对生活方式影响程度较低的数据都可能属于 “健康数据”。同时, “生活方式和福祉数据”等在医疗环境中通过处理可以从中合理推断出个人健康信息的数据也被认为是健康数据。2015年11月,荷兰数据监管机构发现耐克推出的一款应用违反了数据保护法。本案中,该应用收集了用户各种指标并长期跟踪用户的活动,从而使公司能够评估其用户状况。荷兰的数据监管机构认为只有在基于用户 “明确同意”的情况下才能对这些有关健康的数据进行处理,而该 “明确同意”必须基于用户对信息的知晓。但事实上,用户并不了解耐克的数据处理活动,因此也就无法提供任何知情同意。故而许多人认为,可穿戴设备收集的数据即便想不被视为 “有关健康的数据”,也需要达到非常高的证明标准,否则在欧盟将会面临不合规的风险。

(3)两种模式的对比及对我国的启示。美国和欧盟的这两种数据监管模式,在当下已然成为世界的主流趋势。从本质上讲,两种监管模式的核心区别在于立法侧重保护的是数据型企业还是普通公众。美国的监管模式侧重于保护数据型企业对公民个人数据信息的利用,而欧盟的监管模式则侧重于保护公民对个人信息所有的权益。具体到企业收集用户信息时应当遵循的知情同意机制的建构,根据当前的立法情况,美国的用户知情同意机制以择出式为主,而欧盟则是以择入式为主。根据美国 《电信法案》之规定,网络服务提供者为使用或分享目的而收集用户敏感个人信息时,应当取得用户的同意 (即择入机制);而在采集覆盖范围更广的非敏感个人信息时,用户可以明示选择拒绝收集行为 (即择出机制)。类似情况在2018年的 《加利福尼亚州消费者隐私法案》相关规定中也有所体现。GDPR明确表示,企业收集用户信息的正当性应当建立在获得用户许可的前提之上。

诚然,不同立法选择背后体现的是各国在面对保护企业商业效率以及用户利益时的不同政策考量。美国作为当今互联网产业最发达的国家,近年来相继涌现出Google、Facebook、Twitter等一大批知名互联网企业,以数据采集、传输、分享和利用为主的商业模式早已成熟并为美国经济做出了重大贡献。因此,立法者在制定法律的过程中难免会给予互联网产业的经营者一定程度的政策优惠或倾斜。个人信息很多时候与公民个人的隐私权益密切相关,而欧盟作为受到大陆法系理念影响颇深的地区,对公民的财产权和人格权历来都极为重视。如果某法律政策需要在欧盟地区得到广泛实施,那么其至少需要与各成员国内国法所提供的最低保护程度相一致。因此,这也降低了欧盟统一立法的灵活性和创造性,造成了欧盟颁布的与数据相关的法律法规相比于美国法而言更为保守的事实。

纵观两种数据监管模式并结合我国自身的国情现实,笔者认为,我国宜采取择入机制为主知情同意的监管模式。主要原因在于:在现实市场中,经营者与用户之前存在巨大的信息不对称,经营者非常清楚信息收集的方法、使用目的、处理结果、可能风险等,此时用户自然处在信息洼地。即便经营者在采集信息前向用户做了说明,但其中掺杂的诸多晦涩表达与专业术语对大多数消费者而言都是难以理解的。更何况,当前许多经营者会为了降低合规风险而选择刻意隐瞒信息,这就愈发巩固了这种信息不公平地位。如果立法者选择择入式机制构建用户数据收集的知情同意规则,会在一定程度上弥补用户的信息缺陷,减少企业的寻租行为,促进用户数据信息采集的整体社会效益产出[32]。相比之下,择出机制实则并未给用户提供做出选择的任何空间,本质上有悖于用户收集信息知情同意原则的基本原理[33]。因为推定用户同意信息收集的初始设定,会使多数用户在数据被收集的过程中丧失基本的判断和选择,使得许多原本并不希望被外界知晓的数据信息外泄。而且在择出机制下,即便用户选择退出时也并非拥有和同意时对等的便捷性,许多网络经营者会设置层层手续以便干扰消费者实施退出行为。在我国当下,公民自身的隐私保护观念普遍薄弱,盗卖贩卖公民信息的地下市场和灰色产业屡禁不止,互联网企业对信息安全的重视程度不高[34]。如果采取择出机制的立法监管模式,非但可能导致公民个人信息灰色交易市场范围的扩张,也无益于对公民个人信息的保护。

需要注意的是,在对由可穿戴设备收集到的数据进行规制模式的选择方面,有观点认为对用户隐私的保护应当由用户来选择,法律只需要尊重其选择即可。因而即便出现了相关隐私侵权纠纷也只需要司法个案调节即可,而无需创设相关制度来约束。但笔者认为,通过可穿戴设备收集用户个人信息虽属于私人自治行为,但其中还涉及到社会、经济等多方利益的角力,数据收集企业无论在信息还是市场地位都属于优势一方,立法如果缺位会导致此种不对等状况进一步加剧,无益于规范市场秩序和保护消费者利益。如前所述,虽然用户对于可穿戴设备对其信息的搜集系属其个人自决行为之范畴,但法律仍然要对其具体内容和形式做出相应的规定。主要原因在于作为民法核心的私人自治只有在平等主体之间才具有施行的价值,如果当事双方的地位存在严重的不对等,一味尊重所谓的私人自治则会对弱小的一方造成更大的损害,也难谓私法公平、正义之价值观。例如, 《民法典》第145条规定的限制行为能力人从事的非纯获益法律行为需要得到其监护人追认方能生效,第497、498条规定的对格式条款的解释,无不体现了法律在一定限度内对私人自治的介入以及对弱势一方的保护。

在当前环境中,与可穿戴设备等企业在数据信息采集过程中所扮演的角色不同,用户往往在各方面都处在弱势的一方,很多时候其往往并不能充分自由地行使自己对信息的自决权。具言之,阻碍用户行使数据信息自决的因素包括以下三方面:首先,信息收集企业在隐私政策解释、用户界面设计以及信息的采集范围、方式、用途等方面具有绝对的优势地位。例如,很多企业向用户提供的隐私条款往往篇幅冗长、专业术语繁多、语言表述晦涩难懂,因此用户很难清晰地知晓自己信息被采集后的使用方式和用途。同时,很多企业提供的用户信息收集告知书会隐瞒数据使用风险的情形,甚至还可能在用户首次拒绝信息收集的请求之后,重复向用户发送各种隐蔽的信息搜集请求,以使后者在不知情的情况下授权同意。即便日后用户起诉至法院,企业也大可依据手中所掌握的用户同意来主张自己责任豁免。因此,如果不对企业收集信息的方式进行立法上的调整,则很难切实保护用户的信息安全。其次,过量的信息和操作流程提高了用户的决策成本,阻碍其做出正确的选择。在隐私条款中,企业看似向用户提供了诸多信息,但真正有助于用户筛选的极少数量的信息却被淹没在海量的无用信息中,即便用户能够甄别出这些有效的信息,也会极大地增加其信息筛选成本和决策成本。更何况当下许多用户的各项电子设备中所需要面对的应用形形色色,完全寄希望于依靠用户自己能力进行识别的做法显然不具有可行性。最后,以收集用户信息作为用户实现应用功能之目的,会大大压缩用户自由选择的空间。除了信息不对称以及用户的决策成本之外,当前用户之所以可以免费使用大多数智能设备中的应用,其对价都是用户对自己个人信息的让渡。换言之,如果某个用户拒绝将个人信息透露给企业,那么他将无法正常使用该企业开发的应用功能。正是这种 “不授权就不能使用”的现实处境,造成用户只得接受并无拒绝信息收集的权利。之后如果诉至法院,企业又会拿着用户所谓 “自愿”的授权同意书来主张自己行为的合法。如此循环往复,用户始终处在极度被动的境地而很难有所改变。同时,由于算法和人工智能技术对个人信息加工和处理的介入,很多企业都无法掌握并预测经自动化处理后的信息可能给用户带来的风险和后果,更遑论要求每个普通消费者自己去预测并进行风险评估。正是考虑到企业与用户之间的信息不对称、畸高的用户决策成本以及用户 “不得不同意”的现实,单凭司法在个案中的逐一调解很难发挥出规范市场秩序、保护用户集体利益和公共利益的目的。因此,需要在立法层面给予相应的制度供给,以确保用户在享受科技便捷服务的同时也不必担心自身合法利益会遭受到不必要的侵犯。值得欣慰的是, 《个人信息保护草案》第18条即规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知对信息处理的目的、方式、种类、保存时限等内容,以便保障用户在充分知情的状态下对个人信息的处理做出判断。

3 对可穿戴设备使用监管的相关建议

2016年6月国务院出台了 《关于促进和规范健康医疗大数据应用发展的指导意见》,其中突出表现了对健康医疗数据安全保障的重视[35]。新颁布的 《民法典》与 《个人信息保护草案》都明确规定个人信息应受法律保护,鉴于在居民日常生活中可穿戴设备的广泛使用已成必然之趋势,本文试就可穿戴设备使用过程中涉及的有关个人数据保护和监管模式选择进行探究,以期更好地促进科技对公民个人生活的影响。

3.1 明确个人信息权利保护的正当性

公民个人信息应受法律保护,任何对其的使用或加工行为均应符合法律之规定。新近出台的 《民法典》第111条以及 《个人信息保护草案》第2条都明确规定了个人信息应当受到法律保护。需要注意的是,相较于之前 《民法总则》和 《民法典》而言,虽然 《个人信息保护草案》仍未言明个人信息的具体权利属性,但其首次提出自然人享有 “个人信息权益”的说法,同时明确规定了其他民事主体对个人信息的保护义务,这也意味着在法律层面,公民个人信息已经成为一种可得保护的利益,对其的获取、加工和使用等行为必须遵守法律的规定。换言之,正是因为该条对权利人以外的第三人在使用公民个人信息时提出了特定的作为或不作为义务,也就使得个人信息这种特定的利益具有了类权利属性,可以仿照权利保护的方式予以保护。正如相关参与立法者的表述,个人信息权利是公民在现代信息社会享有的重要权利,据此应在民事权利一章中对其单列一条进行保护[36]。也有学者担心,如果给予个人信息一种近似于所有权的支配权地位,那么其必然和他人的自由产生冲突,甚至会产生对他人行为的支配效果[37]。对此笔者认为,当下无论是给予个人信息权利化的保护还是利益化的保护,个人信息保护的正当性依据确已充分,任何未经许可对公民个人信息的收集、使用、加工、传播等行为都会违反法律的规定,受到必要的事前监管与事后处罚。因此,在设计具体的个人信息保护制度时,应当区分其具体的应用场景和使用环境,制定统一的信息筛选标准,对不同类型的数据进行分级保护,在满足社会对数据自由流通需求的同时,对个人信息提供更加行之有效的保护和支撑。

具体到对可穿戴设备的使用而言,由于缺乏行业监管,可穿戴设备收集到的数据在传输格式、安全级别设置、加密保密、集成平台接口、数据传输协议等方面都没有统一的标准,这也导致各个设备供应商自己独自创设相关的标准并自行试用,因此引发了数据孤岛、保护歧视等诸多问题。同时,虽然最新出台的 《民法典》人格权编第6章第1034条明确规定,自然人的生物识别信息属于个人信息,应当受到法律保护,但对于生物识别信息所包含的具体内容却并未详细列举,还远远无法达到具体规制可穿戴设备数据收集行为的目的。 《个人信息保护草案》第29条虽然将个人生物特征、医疗健康等信息认定为个人敏感信息,并规定了处理敏感信息的 “特定的目的”以及 “充分的必要性”原则,但仍未对生物特征信息的具体类型进行阐述。换言之,由可穿戴设备收集到的心率、肺活量、体重、身高等数据是否在法律上属于同样的数据类型而无需加以区分;究竟何者数据应当作为隐私或个人信息,何者又可以自由使用尚无明确标准。因此,对由可穿戴设备搜集到的数据类型进行类型划分,仍然是对个人生理信息进行有效保护的重要前提。对此笔者建议,首先应当在国家层面建立统一的标准,以确保各种类型可穿戴设备中的数据自收集到上传再到储存的过程中遵循统一的标准,避免多主体介入数据流通而导致的责任不明现象发生。再者,应当对由可穿戴设备收集到的用户信息进行统一分类标识,并要求相关责任主体对不同的数据施以不同的安全级别控制,以确保对其提供必要的保护。具言之,生理数据属于隐私与个人信息,应当施以最高级别的数据安全保护 (即必须得到用户的许可才能进行使用),当该种数据被他人侵犯时,当事人可以依据 《民法典》第1166条对其进行保护;个人可识别信息仅属于个人信息而非隐私,应当被赋予次等级别的数据保护 (即只有在当事人许可或为满足公共利益需要时才能使用),当该种数据权益被侵犯时,权利人可援用 《民法典》第1034条以及其他专门法的规定来对其进行保护;而用户周围数据由于既非隐私也非个人信息,施加的数据保护级别相对较低,一般情况下用户是无权阻止他人对其进行使用的。此外,对于在体育等特殊领域使用可穿戴设备的监管问题,我国相关职业体育联盟也可以参考借鉴NBA对于可穿戴设备使用的做法。具体包括:禁止球员在比赛中使用可穿戴设备,而在日常训练中使用可穿戴设备也需要严格遵循使用者自愿的基本原则,将可穿戴设备限制在六个品牌的范围内[38]。如果俱乐部希望通过书面方式请求运动员提供个人信息,以便要求其佩戴该可穿戴设备,那么,该请求不仅会发给球员,还会发给一个六人小组,其中的成员包括球员工会的三名代表以及NBA的三名代表,并由其统一裁定该请求是否应被通过。

3.2 确定多元利益平衡的个人信息收集模式

在对个人信息的收集方面, 《民法典》第1035条以及 《个人信息保护草案》第5—10条均做出并确立了合法性、正当性、必要性、知情同意、公开透明、准确及时性以及安全性等多项原则。具言之,数据控制者在收集个人信息前应当在当事人知情的前提下取得其同意,收集个人信息的手段和程序应当合法,收集到的个人信息类型及数量应当以实现其必要目的为限,并且收集信息的目的、方式、范围等都应当公开透明。毫无疑问,此次 《民法典》以及 《个人信息保护草案》首次明确了数据控制者在收集个人信息时应当履行的基本原则,为个人信息的司法和行政保护提供了重要的指导。但是也应当注意到,草案并未就如何理解上述原则做出进一步说明。以知情同意为例,数据控制者应当采取何种方式获得用户的同意,在何种情况下可以确保用户已经知情,以及是否存在例外情形等。诚然,无论是 《民法典》还是 《个人信息保护草案》都并非是具体的操作手册,但相对抽象的原则往往会给数据保护的具体实践工作带来重大的不便。

《个人信息保护草案》第50条首次系统规定了个人信息处理者的安全保护义务及其需要履行的具体职责,如制定内部管理制度和操作规程,采取相应的加密、去标识化等安全技术措施等。因此,对于可穿戴设备数据的收集主体而言,首先,应当建立可穿戴设备收集个人信息的必要基准标准,以确保可穿戴设备的供应商和高等研究机构必须遵循,并帮助消除数据泄露的潜在风险。尽管数据泄露的固有风险始终存在,但基准标准有助于始终确保相关机构可以采用特定协议来保护数据。此外,应当在每个数据研究机构和设备提供商设立专门的隐私合规官,通过引入第三方监管的机制以确保合规政策落地。合规官应接受行政机关的独立委托,并接受相关执法人员的随机检查,以确认公正性和专业性。如果发现某研究机构或设备供应商在搜集数据过程中存在不合规事宜,则应及时向上级主管部门汇报,后续要对涉事机构采取警告、罚款等措施。同时,还应明确规定发布用户生理健康数据的程序,并在每个用户签署同意发布许可书之前向其充分解释发布的后果。若是出于研究目的利用特定主体 (如运动员等)数据,则应除去位置、年龄、身高和体重数据之外的所有生理信息。如果需要增加其他数据信息,则需要向上一级数据监管机构申请。需要注意的是,为了维护用户的隐私,所有研究都必须在严格的保密政策下进行,直到发布为止。同时,用户应具有选择是否发布其数据的权利,该种授权仅仅具有一次效力。换言之,下次即便发布者要发布同样的数据,也依然需要获得用户的再次授权。

3.3 创设基于科研目的使用个人信息的例外

保护可穿戴设备收集到数据的目的不是为了禁止对此类数据的使用,而是为了通过对数据全面而合理的使用,以期更好地提升消费者和社会整体福利。其中,对数据进行分析的科研机构扮演着重要的角色。因为仅仅依靠市场盈利主体对这些数据进行使用,可能有时其会出于盈利角度而丧失客观立场。例如,职业体育联盟NFL曾对相关脑震荡的研究长期进行压制,以防止其披露从事该项运动的负面后果[39]。因此,以科研目的进行研究的机构应当遵循特定的行为规范准则来使用这些生理数据,对数据研究所采取的保护措施必须与促进科研创新之间实现利益平衡,以帮助提高用户在运动和康复方面的安全性。

在立法层面可以创设基于科研目的使用个人信息的例外规定。根据实定法对个人信息的处理可知, 《民法典》第1036条明确了数据控制者的免责情形,具体包括用户同意、对已公开信息的利用以及为维护公共利益的例外; 《个人信息保护草案》第13条规定了处理个人信息的合法性基础,其中包括获得信息主体的同意、履行法定职责之必要、为应对公共卫生事件等紧急情况所必需等几种情形。由此不难看出,无论是 《民法典》第1036条还是 《个人信息保护草案》第13条,均体现了我国在此次个人信息立法时,并未将当事人同意作为唯一的数据合法获取基础,而是加入了维护公共利益的考量因素。此举意味着,我国并未完全沿袭德国的信息自决权理论,仅仅把个人信息看作是体现个人利益的载体,而是充分考虑了个人信息所负载的社会公共利益与经济利益,采取了个人信息处理的多元基础。例如,为了疫情防控的需要,有关部门对患者的出行轨迹、接触病史、病情特征等需要及时掌握和了解,此时在不征得患者同意的情况下进行信息收集恰恰体现了对社会公共利益的保护。对可穿戴设备收集到数据的使用,一方面有助于用户发现自身的生理特点并给予其个性化的改进建议,另一方面,相关的科研机构在汇总了大量用户生理信息之后可以对现有的体育训练、康复模式进行反思和重构,有利于整个训练康复领域的进步。因此,笔者建议对于可穿戴设备在用户训练与康复中的使用原则上应予认可。但需要注意的是,对于希望借助可穿戴设备获取用户相关信息进行科研的机构而言,其必须满足两个条件,即必须要在获得数据前向用户提前告知并获得许可,且需要基于公共利益的目的。因此,我国应当尽快在相关法律法规中明确,基于科研目的对该类数据的使用行为不会被限制,并明确对滥用用户数据的行为施以必要惩罚。唯有如此,由可穿戴设备收集到的用户数据才能在促进用户健康发展方面发挥更加积极正面的作用。

3.4 完善可穿戴设备政策规范并加强行业自律管理

除了法律上的监管之外,还可以在可穿戴设备收集使用数据的监管过程中充分发掘行业自律组织的自律功能,以期与政府监管形成二元共治的监管模式。笔者建议对于可穿戴设备收集数据的管理应当着重从以下三方面考虑:首先,应加强可穿戴设备的知情同意规范与认证制度。由于可穿戴设备具有检测时间长、检测数据量大等特点,需要在制度层面要求各企业在收集用户数据前,以简明、清晰的语言告知可穿戴设备的用户其所收集的数据信息、具体持续时间以及采集数据内容等,这样既有助于提高获取用户同意的效率,也可确保数据收集的合规性。其次,应在可穿戴设备供应商中成立相关的行业自律组织,并尽快出台相关的行业基本行为规范。因为无论是法律还是行政法规,从制定到颁布都需要很长的时间,并且其中的许多规定也相对笼统,不宜直接操作。相比之下,行业自律规范就具有时效性与易实践性的特点。因此,充分发挥行业自律的作用,既有利于在现实环境中对用户数据安全提供切实保护,也有助于推动相关法律法规的制定。最后,可穿戴设备的具体佩戴者也需要在生活中提高自己的数据信息保护意识,在使用相关设备前应首先了解设备采集的数据内容、持续时间以及数据使用范围。同时,参照 《个人信息保护草案》第54条之规定,个人信息处理者以及相关行业组织在处理个人信息处理活动前,应对其处理目的、处理方式等是否合法、正当、必要等进行风险评估,以确保公民的权益不受侵犯。当然,用户也需要主动了解可穿戴设备提供方采取的隐私保护策略,包括采集数据的方式、分析平台的类型、数据存储的管理等,以避免自己陷入风险。

4 结语

数据被誉为21世纪的 “石油”,无论是国家层面亦或企业层面,掌握越多的数据资源就意味着可以提前抢占发展的高地。可穿戴设备创造的初衷在于,更好地服务于公众的运动康复并适时提供必要的健康建议。但是,应当注意到可穿戴设备在使用过程中依然可能给用户的隐私带来极大隐患。因此,需要在立法层面首先对用户的个人信息给予明确定位,并尽快设定用户个人信息收集的模式。其次,在执法层面需要进一步强化企业在收集、使用、保管等环节对用户个人信息的规范流程,并加强相关行业的自律管理。最后,对于经可穿戴设备收集到的用户个人数据应当给予一定的基于科研使用的例外,以便更好地促进相关技术的正常发展。

猜你喜欢

个人信息用户设备
谐响应分析在设备减振中的应用
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
警惕个人信息泄露
基于MPU6050简单控制设备
关注用户
关注用户
关注用户
500kV输变电设备运行维护探讨
如何获取一亿海外用户