大数据时代期刊作者隐私保护的价值平衡与法治规范
2022-04-07姚锋
姚 锋
(湖南大学 期刊与出版社;新闻与传播学院,湖南 长沙 410082)
“斯诺登事件”的发生,让大范围利用大数据技术实施社会监控的图景和对个人隐私保护的担忧逐渐引起公众的关注。这种基于智能算法的大数据技术也赋予了现代政府前所未有的社会监控能力。网络数据巨头积极采用新型的、非接触式的大数据搜集方式,让这些内外部数据聚合和共享形成有关个人行为、言论、偏好、人际关系、社会活动等全方位信息的个人数字档案成为当下大数据时代的重要特征[1]前言。而涉及大数据的立法更是近年我国的立法热点(1)据笔者在“北大法宝”查询可知,我国“中央法规”级别的文件名包含“大数据”的法律文书达107个,其中,近5年(2018年至今)共颁布了49个。从中也可以管窥到大数据时代一斑。。
微信创始人张小龙在其微信公开课的演讲中曾有如下论述:“从历史来看,科技越发达,个人隐私会越少。”(2)张小龙在多个场合表述了该观点。详细内容可参阅《腾讯张小龙:科技越发达,个人隐私会越少》,http://www.bjnews.com.cn/finance/2020/01/09/671946.html。大数据时代,海量数据中更是难免会混杂不少的个人信息,甚至是各类隐私信息。同时,个人的私人生活不断以数据的形式呈现在网络空间中,产生“数字孪生身份”。作为大数据时代其中一员的期刊作者,在投稿的过程中也会面临隐私被侵犯的风险。期刊出版过程中的各主体在大数据时代,也不可避免地会被这一时代大势所影响,其涉及的价值平衡和法治规范就成为大数据时代中的一个重要议题。
一、从法律的角度审视期刊作者的个人隐私
(一)隐私和隐私权的概念及其辨析
从字面意思来理解隐私,首先应对“隐”和“私”分别作辨析和理解。“隐”就是主体从主观上想隐藏,不愿让外人知道;“私”可视为不愿让外人获悉的客观信息,仅属于个人事务。隐私就是和个人相关,和公共事务无关;但是如果受到侵扰,客观上可能让主体的人格利益受到侵害,主观上让主体处于不安宁、不安全的心理状态。
隐私权作为一项法律权利,其发端可以追溯到1890年。美国学者塞缪尔·沃伦(Samuel Warren)与路易斯·布兰代斯(Louis Brandieis)联名发表了《隐私权》一文,率先提出隐私权的概念,可视为该权之滥觞。从此,隐私权在美国逐步确立了自己的法律地位,并日益成为世界各国法学界备受关注的话题。该权不仅在英美法系国家得以确立为一项基本的人权(美国隐私权立法的价值强调“个人自主”),在大陆法系国家中也被认为是人格权的重要内容之一(德国隐私权立法的价值强调“人性尊严”)。随着时间的推移和共识的凝聚,隐私权逐渐成为一项受到普遍认可和尊重的国际人权。20世纪中期的《世界人权宣言》《公民权利和政治权利国际公约》等国际人权文件就明文规定了隐私权是一项基本人权。
我国立法一直以来对隐私保护非常重视(3)据笔者从“北大法宝”查询可知,现有的法律规范中仅统计法律这一效力级别,“隐私”二字在法律文本标题中出现的频次就高达102;而在文中则绝大多数以“保护隐私”和“不得侵犯隐私”等近似表述出现,譬如在《个人信息保护法》《数据安全法》《广告法》《民事诉讼法》等文本内容中均可见。。尽管我国法学界对隐私权的关注和研究起步相对较晚,关于隐私的定义和范围等概念性问题在理论上也见解不一,但总体趋同。归纳其中的核心观点,隐私信息即个人的私事信息,是属于私人领域之内的事情,与之相对应的是公共领域信息。自然人的姓名、照片、身份信息、财产信息、消费记录、就医记录等等,都属于个体的隐私。每个人的私事都有不被他人干涉的权利,这就是隐私权。总之,隐私权的学术研究虽在法学理论和司法实践中取得了一定的成果,但也有不少具体领域的问题需要在大数据时代环境下进行新的探索。
(二)隐私和个人信息法律属性的异同
在大数据时代,厘清隐私和个人信息在法律范畴的异同,有着基础性的法律意义。从法理上来看,对隐私或个人信息的侵害主要表现为非法的披露和骚扰。国内较早关注隐私权的学者张新宝认为:“个人隐私是指私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集、刺探和公开。”[2]7王利明则指出:“个人隐私一部分属于个人信息,但并非所有的隐私都是个人信息。数字化技术的发展推动很多隐私被数字化处理,从而因其独具的身份识别特征被纳入个人信息的范畴。”[3]62王泽鉴从隐私保护的角度提出,隐私权的保护在一定程度上使个人拥有自主保留或公开隐私的“个人自决”[4]177。
从成文法来看,我国《民法典》人格权编第六章第一千零三十二条和第一千零三十四条分别对隐私和个人信息进行了明确规定。从条文表述可知,二者的范围既有区别又存在重叠,在具体适用上则互为依托(4)《民法典》第一千零三十四条第二款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”。根据相关条文规定,个人信息具有可识别性,能够单独或者与其他信息结合识别特定自然人;隐私的明显特征则是私密性,是自然人不愿为他人知晓的私密空间、私密活动、私密信息(5)参见《民法典》第一千零三十二条第二款。。区分隐私权和个人信息权益时,不宜将所有无涉公共事务的私人领域信息都纳入隐私范畴,而应该对个人信息进行相对合理的层级划分。
法律范畴中的个人信息外延极其广泛,《民法典》的界定如下:它既有人身性的信息,也有财产性的信息(6)参见《民法典》第一千零三十四条第一款:“涉及自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、行踪信息等”。,有学者据此认为不宜简单表述为“个人信息权”[5]98。《个人信息保护法》则强调了对具体的“敏感”个人信息的保护(7)参见《个人信息保护法》第二十八条:“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息等”。。该法还从第四十四条到四十七条规定了个人信息主体的一系列权利(8)包括知情权、决定权、查询权、更正补充权、复制权、删除权、可携权等内容。,这些具体权利具有显著的技术性,是伴随着个人信息处理过程中陆续发生的。
总而言之,就法律范畴而言,个人信息和隐私既有区别,又有紧密的联系。《个人信息保护法》第二条规定“自然人的个人信息受法律保护”继承了《民法典》第一千零三十四条第一款,确定了不论是归属人格权保护的信息主体人格相关信息,还是以各种数据形式具现的有无“价值”的个人信息数据,哪怕是被信息主体所遗忘的信息要素,只要是能“识别特定自然人”的信息,都应受到某种程度的法律保护,而其中属于个人不欲为人所知晓的私密信息属于个人隐私。
(三)和期刊作者相关的隐私和隐私权
大数据时代对个人隐私而言,可谓是一把双刃剑:人们在享受获取信息的便利性的同时,其实也在不知不觉中一点点把自己的隐私范围缩小。而隐私本质是一种信息,一种属于私人的排他性的不愿为他人知晓或干涉的信息。就期刊作者而言,亦是如此。期刊作者相关的隐私是一个抽象的概念,不能代替具体事物和人的行为,只能是由期刊作者个人信息衍生的相关隐私信息。
从历史的视角来看,隐私随着人类的发展而产生流变,即随着时代和生活经验的变化而变化,是一个动态且灵活的概念。自人类进入大数据时代后,隐私这一概念面临着日新月异发展的网络技术的挑战,主要表现就是大数据挖掘技术的不断成熟使得隐私的范畴越来越窄,对其保护则越来越难。数字技术的发展可轻松地记录下数据使用主体几乎所有的在线信息,即使这些信息是其无意公开或想要删除的。作为依附大数据等网络技术的期刊出版过程中的各主体,也处于这一时代的洪流之中,包括期刊作者在内的各主体的隐私信息面临风险挑战,亟须通过价值平衡与法治规范予以调整和保障。
有期刊领域的学者对作者的个人信息和隐私作了较好的归纳和区分。一是基本信息。除了最基本的姓名、性别、年龄、联系方式外,还有部分相对私密的,诸如民族、出生地、学历学位、工作单位、开户银行的信息、支付宝和微信等第三方支付账号、身份证号码、个人照片等。二是设备信息。指作者所使用的各种手机或电脑等设备的基本信息,如卫星定位信息、Mac地址、软件聊天记录等。三是社会关系信息。指作者在相关研究领域和相关联系人的关系、工作单位信息等。四是网络行为信息。譬如作者在某期刊官网上浏览的内容、时间、网站访问记录以及网络消费记录等。上述大部分信息被大部分的作者视为个人隐私[6]73。
一个人享有多少隐私权和一个人的隐私权是否受到侵害是两个问题[7]3。应该注意到,隐私权是否受到侵犯的主观感受因人而异,且在个体间的差距颇大。期刊作者的群体广泛,对个人信息的自决权限的需求大小各不相同,譬如部分女性作者对年龄的公布较为反感。还有些女性作者天性敏感,安全阀值较低,特别抵触将自己个人信息披露,唯恐因此带来未测之危险。与之相反,有些有阅历的年长作者相对豁达,对自认为不重要的信息显得不那么上心。普遍的情形则是绝大部分作者的心态是介于上述两种极端情形之间。正是因为存在这种状况,所以更需要期刊出版过程中的相关主体达成平衡状态,并通过法治予以规范。本文的论述即在这一基础之上展开。
二、大数据时代涉及期刊作者隐私保护的表现形式
在大数据时代,作者因网络投稿和咨询等行为,其产生的个人信息在期刊编辑部的日常管理和使用过程中被互联网不同程度地记忆下来,再经过云储存、云计算等技术的分析整合,个人信息中的隐私有可能被无限制地公开、扩散,从而引发诸多社会问题。而正是大数据时代的4V特点[8]124,让网络违法行为的成本大大降低,危害后果大大增加,即造就了侵犯期刊作者隐私的种种行为呈现更容易、更隐蔽、更严重的表现形式。而大数据时代隐私侵权的新现象——个人数据的不正当交易、私人活动的全方位监控、私人领域的无障碍侵入[9]52-56则让这一状况愈加严峻。
(一)现象
大数据时代,几乎人手一台的智能手机,让人人皆在“网”中,隐私和个人信息一起,交织在我们的日常网络生活和工作之中。从期刊作者的视角来看,期刊作者从撰文到投稿,再到公开发表,皆难以离开网络化和数据化。其中,作者个人的隐私权与期刊的出版权以及新闻出版的自由和公开、公众的知情权和个人隐私与言论表述等存在着繁杂的统一矛盾关系,寻找到它们之间的平衡状态就显得尤为重要。
一是个人信息利用的社会性和期刊出版行业封闭性的对立统一。对自我隐私的保护,作为社会化的芸芸众生均存在着一定的需求。在当下社会大环境下,绝大多数的人都使用过快递服务,而快递单上的信息包含寄收双方的隐私,它们的泄露可能会激发心怀不轨之人作恶的动机。从概率上来看,但凡使用过快递的人都存在一定程度上的隐私泄露风险,区别主要在于性别、职业和身份的不同而导致风险大小的不同,譬如女性独居者的手机号码和住址等信息更易被心怀不轨的人盯上。具体到期刊出版行业作者的个人信息,一般来说应是流通于出版行业的范围内,只有出版发行诸多流程中的相关人员才能接触。但行业的封闭性是相对的,社会化的经济逐利动机永不停歇。因此,不能排除极少数别有用心之人作祟,导致作者的个人信息和隐私批量地流入黑灰色产业,成为某种意义的“社会交易物”。较为常见的后果现象是:作者的电子邮箱被泄露之后,很可能会收到有针对性的各类骚扰商业邮件。
二是期刊编辑规范的统一性和作者选择性的对立统一。经查,涉及期刊出版的相关标准,无论是何年的版本,对作者信息的统一性规范均必不可少。作者本应有权自行决定在期刊发文时将个人信息公开多少、多大范围内公开等基本权利,但现阶段的期刊出版,尤其是核心类期刊,作者面对的是愈发稀缺的发表资源,客观上让作者缺乏和编辑部交涉、谈判的话语权,不得不按刊物的统一规范提供个人信息,失去了自由支配权。被索取这些信息的作者不仅是其囿于弱势地位的无奈表现,而且是群体无意识的生动体现。
当下,期刊出版行业尚没有强制性的统一标准和规范,导致各期刊编辑部基本上是各行其是,而期刊界从业人员法律意识相对不足,在对作者隐私的保护意识上更是难以跟上大数据时代的步伐和法治社会的要求。现实状况是,大部分编辑部基本上认识到了保护作者隐私的必要性和重要性,但在具体保护的手段上则各有不同。有些期刊对作者的个人信息公开得较多,而有些期刊则只公开了最低限度的个人信息。譬如大部分法学类期刊的作者简介非常简洁,往往只涉及姓名、所在高校、职称、学历(该现象和法学类期刊作者普遍是法律研究人员不无关系);还有相当一部分核心刊物,为了追求关注度和流量,选择在本刊的公众号上逐一公开作者的个人图像。从后果的角度来看,因大数据的共享和网络联通性的现实存在,期刊作者群体的部分隐私流入公域网络从理论上看来是大概率事件。
三是期刊作者的个体性和期刊传播的社会性的对立统一。从全球范围内来看,人权和平等的意识基本上已深入人心。对隐私权越是重视,越意味着对人的独立人格的尊重,就越能体现人类的文明之光。期刊作者在期刊上发表文章,是知识性成果的独立创作行为,作者投稿行为的目的是希望公开发表文章本身,但对其个人信息的公开范围和多寡的诉求则各有不同,具有鲜明的个体性特征。从期刊的角度来看,文章一经公开发表,是希望该知识成果在社会层面产生广泛的关注和影响,个体性和社会性二者难免会产生对立统一。进入大数据时代,这一现象尤为突出。期刊作者的个人隐私一旦泄露,流通和传播的速度将会大大加快。这意味着个人的隐私等信息传播由以前的口口相传跨越为网网相传,影响的广度和深度相较于以往不可同日而语。
(二)困局
2013年被称作大数据元年。近十年来,大数据技术的持续发展和广泛应用也随着技术的进步渗入期刊出版的诸多环节,大数据时代的市场和商业的异化难以避免。目前,绝大部分编辑部使用的采编系统都是由专业的商业化网站技术公司负责搭建和运营。从市场效率出发,采编系统在设计之初就会自动对来稿作者的个人信息进行储存和分析,个人信息数据成为一种极具商业价值的资源,也可视为一种可市场化的无形资产,呈现出与过往完全不同的资产属性,为链条商业节点各方竞相争夺,这就难免会对个人隐私产生一定的威胁。总之,除了上述现象,期刊出版过程中的作者隐私保护还出现了以下困局:
其一,从宏观角度来看,期刊出版界产生的各类大数据的彼此联通和充分利用尚有障碍,对普遍意义上的个人信息的分级分类还未引起重视,权责利清晰的期刊出版领域公共性大数据管理制度体系还未启动建设。因此,期刊的行政主管部门对包括隐私在内的个人信息的统筹、协调和管理的难度较大。
其二,从微观角度来看,来自各个期刊出版主体的数据统计的口径不规范、标准不统一、时间不准确、可信度不高等情况较为普遍,期刊出版主体之间的各类数据共享路径不畅通。编辑部与编辑部之间的信息孤岛、数据壁垒仍然存在,导致编辑和作者做了不少重复性工作,效益难以保证。这也是第一个问题的延伸和细化。
其三,从风险防控来看,期刊出版采编过程中产生的各类数据安全有隐患,个人信息保护和数据安全管理跟不上大数据时代快速发展的脚步,存在作者隐私泄露、个人数据曝光以及期刊网站对数据自动爬取、滥采滥用、不当使用和违规违法交易数据等风险。譬如,抛开大数据技术和云计算的智能分析不论,有心人只凭借网络上诸多碎片化的期刊发表信息,就可关联出某个学者所具有的明显个人特征的学术研究的轮廓。这让申报课题等竞争性事务中的不正当情形从信息的源头上就难以杜绝。
4)将得到的图像(图4(d))与原鸡蛋轮廓二值图像(图3(c))进行“异或”运算,提取出鸡蛋的蛋黄特征,此时发现图像中除了蛋黄区域外还有鸡蛋边界的存在,如图4(e)所示。
其四,从采编流程来看,大数据的迭代让期刊作者隐私的保护难度增加。随着大数据的深入和网络化的普及,绝大多数的期刊出版主体均和强势的知识平台合作,采用数字化的网站采编来处理日常来稿,绝大部分作者的投稿方式由直接使用期刊官方电子邮箱或传统纸质投稿转为在线投稿方式,此举大大提升了编辑部的工作效率,但作者的工作量反而有所增加。譬如,在针对意向期刊网站投稿之前,无论文章是否刊用,作者均避不开需要注册账户并填写作者个人信息等一系列繁琐流程。更关键的是,现有采编流程对作者隐私保护不力。编辑部在稿酬发放时,一般均要求作者提供电话号码、住所、所在学校、银行卡号以及开户行等信息,这些大部分和隐私息息相关。再如,容易忽视的还有纸质刊物的邮寄过程,作者的个人隐私在物流环节中可能存在让外部人截取和知悉的风险。以上列举的涉及个人隐私的环节,在大数据的大环境下其保护难度可想而知。
其五,从现实环境来看,期刊出版在编辑和出版的一系列流程中,各类数据的庞杂分散和集中汇聚的现象同时并存。期刊出版产生的各类数据的保护和利用与学术圈共同体(主要包括编辑、作者、审稿人、读者等)的期待和要求尚存在差距。同时,由于经济发展水平、地域、主办单位重视和投入程度等现实因素,期刊出版主体数据管理和应用能力差异明显,期刊出版主体的数字化水平参差不齐,其产生的大数据,包括作者的隐私信息随时面临着被商业收集乃至被侵犯的风险。
三、大数据时代期刊作者隐私保护涉及的价值主体及其平衡
(一)作者作为个人隐私的支配价值主体
个人隐私主体拥有对自身信息使用的自主支配,是从个人隐私具体权能中抽象出个人信息权利的本质属性,不论大数据时代如何拓展,自然人作为隐私权主体的法律地位不能漠视。但这并不意味着作者拥有的该支配价值就具有绝对的排他性。
首先,期刊出版过程中产生的个人信息记录了地址、身份、特征、喜好等内容,使“数字孪生身份”有了时空基准、事实认定、价值判断等基本功能,使海量数据因为有了主体参与表达、决定,而具有生命气息,成为个人信息主体的“第二生命”。其次,《个人信息保护法》第一条所规定的“根据宪法”四个字直接明示了个人信息权利的宪法渊源,即个人信息与人权、人格尊严、人身自由、通信秘密自由、表达自由等紧密相连,自主决定使得信息生产生活有了价值意义,决定着信息实践的价值实现与检验基准。最后,数字信息技术也是一柄双刃剑,其带来的福利性权利贯穿其他各项人权之中,为人的发展的实现创造了条件,但也让作者隐私和个人信息等个人权利面临更大的风险。如何找到其中的平衡状态就显得尤为重要。
大部分作者在使用投稿系统时,对个人密码的设计习惯不够严谨,使用的登录密码过于简单,且没有养成定期修改密码的习惯。作者应强化自我隐私保护意识,控制个人信息在网络上的公开程度和范围以选择对这些信息的可访问人群,尽力避免个人信息管理不善造成的隐私泄露。对已造成的隐私风险,则应对侵犯后果进行有效救济,譬如要求其删除相关信息,对年份久远的持续性隐私被侵犯状态,可依据被遗忘权,向相关网络平台及其主管部门提出交涉和申诉,以保护个人隐私的“自决状态”。
(二)编辑部作为期刊出版具体工作的执行价值主体
在我国,编辑部作为期刊出版主体处理作者个人信息是有法律依据的,其中法律位阶最高的法律依据主要有两个:一是《个人信息保护法》第一条明文规定“促进个人信息合理利用”,那就意味着如不合理利用,则可能涉嫌侵犯作者隐私;二是《民法典》第一千零三十五条规定了利用的具体方式(9)“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”。期刊出版主体具有告知义务、合法获取义务、安全保障义务等核心义务,其在收集数据前应尽量遵守《个人信息保护法》中规定的“通知与同意”原则,公示网站中收集数据的目的和用途,且在获取个人信息后,必须采用积极有效的措施保护这些数据不易被泄漏,尤其要注意主观上防范不力和客观上技术手段对作者隐私的保护不够这两类情形。
我国的期刊从不同的角度可以进行不同的分类,譬如专业期刊、大众期刊和综合性期刊等。各编辑部日常工作按照不同类别期刊的特点,对作者的个人信息采用各自不一的来稿、用稿等标准化处理流程。譬如,某具有较强的隐私保护意识和法治思维的期刊在知网上就以“启事”的形式强调:“凡通过网站向本刊投稿以及参与本刊主办的各类学术活动者,均请按要求提供完整准确的个人信息,以免后续反复索要而影响信息交流和工作进程。读者、作者的个人相关信息只用于编辑部正常的工作流程。”可见,编辑部的网站应在醒目位置公示一套公开、透明、完整的采编流程和对作者个人信息的利用规则。此举既是确保作者等相关主体的知情权,也是对期刊网站的各类使用主体(包括但不限于编辑、审稿专家和作者)行为进行约束。
具体来说,期刊编辑部宜对来稿建立各项文章信息的登记数据库,记录包括来稿时间、作者姓名、民族、单位(精确到所在的二级部门)、职称职务、投稿作品名、Email地址、联系电话、已出版作品等情况。在实际操作中,经办的编辑会根据自身对隐私的理解,索取的信息范围会有所区别。对已被刊发的文章,编辑部的财务部门会进一步要求作者提供其身份证号码、银行账号等信息以发放稿酬。这些流程客观上让编辑部能较为全面地了解作者的个人情况,既有利于对期刊的作者群体进行有效分类、管理和服务,在短时间内对作者在学术和文化领域的地位作出初步评估以开展诸如审稿和参加学术活动等后续合作,也有利于出版后期为作者提供进一步服务,譬如代缴个人所得税,寄送稿费、样书、样刊等;而存在的风险则是:作者的个人信息,甚至是隐私,也在以上的管理、使用过程中悄无声息地被不同程度地泄露。以上这些具体工作,也需要编辑部在执行中根据实际情况在价值权衡的基础上,再进行取舍。
(三)主管部门作为期刊出版工作的监管价值主体
在国家机构改革之前,期刊出版的主管部门是国务院下属的新闻出版总署,现在由中共中央宣传部统管。不论主管部门如何变动,皆需依法按规来实施监管。具体涉及期刊作者的隐私和个人信息问题,有学者提出的“最小化、多层次、分领域”[10]117监管模式就具备较强的实践指导价值。还有学者提出,“依据公民敏感隐私信息程度的差异,将作者个人信息在搜集、处理、传播和利用阶段进行分级、分权限管理”[6]73-76,厘清个人信息和个人隐私的关系,做到对作者个人信息和隐私权的保护、利用和限权并重,同时加强对个人敏感隐私信息的保护力度,实现作者个人、期刊出版主体和社会公益三方法律关系的价值平衡,在保护的同时,也要顾及推动文化发展、科技进步与社会和谐等社会价值的实现。
大数据利用的方向之一,就是在数据搜集主体占有海量的数据后,通过算法技术找到其中不易为人察觉的关联。其一般常用于商业领域或司法领域。商业上的应用,如对目标消费者的习惯消费行为“画像”,再有针对性地进行商业营销;司法上应用,如法院在执行“老赖”等民事索赔案件时,利用被执行人的消费大数据来判断其是否具备赔偿能力。上文提及的利用个人的学术信息碎片,再通过大数据技术归纳出具有明显个人学术偏好和特征的学术轮廓,也是典型例子。总之,编辑部作为信息收集和处理主体对于作者而言居于强势地位,容易对作者的隐私造成侵犯,尤其需要国家监管主体主动介入,当好“管理者”“服务者”和“守护者”,在遵循保护和利用客观秩序的基础上,维持个人信息处理关系中权利义务的价值平衡状态。
(四)期刊协会作为期刊行业的服务价值主体
从期刊出版发展和学术繁荣的角度来说,期刊出版行业的自我服务和自我管理必不可少,也是作者隐私保护的重要途径之一。当然,行业自律的方式也存在局限性,并不是期刊出版行业中的每一个参与者都有意愿加入和遵循行业自律公约。后文述及的带有强制性的法治规范则可在很大程度上克服这一缺陷,形成互补以达成平衡状态。
目前,《印刷行业公约》《新闻出版广播影视从业人员职业道德自律公约》等和地方期刊行业自律公约已发挥了一定的自我服务的作用。作为自治团体,全国期刊协会及各省期刊协会应不断完善期刊出版行业的自律机制,强调对作者隐私权的保护,在落实各级法律法规精神的基础上,尽快颁行“期刊行业自律公约”。中国互联网行业协会制定了《中国互联网行业自律公约》就有专门保护网络隐私权的条款(10)譬如,该公约的第八条规定:“自觉维护消费者的合法权益,保守用户信息秘密;不利用用户提供的信息从事任何与向用户作出的承诺无关的活动,不利用技术或其他优势侵犯消费者或用户的合法权益。”,值得期刊出版行业借鉴。
从行业自我服务、自我管理价值的细节来说,期刊协会应在期刊行业主管部门的指导下,采用以听证会在内的合理合法流程,共同制定涉及编辑部、作者等相关主体共同参与的期刊出版行业惯例,拟定期刊出版格式合同范本,实现各方的权责利的价值平衡,即制定完善的个人信息和敏感个人信息的处理规则,划定个人信息处理者应当承担的义务和责任,以及提供作者个人隐私受到侵害时的救济方式等;尤其应强化编辑出版主体对作者负有保护隐私的义务,守好隐私保护的第一关。
四、大数据时代期刊作者隐私保护的法治规范
在大数据时代,期刊作者隐私的法治规范保护的前提就是:在根据敏感数据是核心领域,隐私数据应分类分级[9]138,153的前提下,妥善处理作者个人信息权益与期刊出版权、作者隐私权与编辑的编辑权等基础性法律关系,在确保作者个体权益与公众利益整体协调平衡的基础上,通过成体系的法治规范,合法地平衡对个人隐私的保护与个人信息合理使用的界限。
(一)宪法上的依据和规范
《宪法》对人格权的保护非常重视。其中的人权条款、人格尊严条款、通信自由与通信秘密等条款,作为个人信息基本权利的权源条款,为个人信息权利提供充分的法治实践土壤基础与法理支撑,也在不同程度影响着执法机关、司法机关将有关宪法条款精神融入传统上只受民商事法律调整的包括作者隐私在内的私人间信息处理的法律关系之中。《个人信息保护法》第一条中的“根据宪法”表述,这一看似简单的四个字,将个人信息权益与公民基本权利进行了联结,反映了前者得到了国家根本法的明文认可,为个人信息保护制度构建奠定了法治根基,可援用我国《宪法》第三十三条与第三十八条等为个人信息自决权在我国的证成提供了较为充足的宪法规范解释空间,也可从“根据宪法”的规范内涵中推导出隐私权体系的具体权能,以此为基础再结合其他法律法规衍生出更多公法与私法上的个人信息权益。期刊作者隐私的保护也可因此从法治规范层面得到进一步的完善。
(二)以《个人信息保护法》为针对性规范
大数据时代的云储存,加之数据的极速传递,极大拓展了包括个人隐私在内的各类信息的范围与效率,无形中大大提高了相应的隐私权、个人信息保护要求。在《个人信息保护法》正式出台之前,我国关于个人信息保护只有零星的法规法条分布在效力不一的规范性文件中,有关个人信息保护的原则、规则或机制都是零星和不成系统的。
2021年底施行的《个人信息保护法》融公私法保护与监管于一体,将私权主体和公权部门的权利与责任统合起来,同时在大数据时代对个人信息的保护与利用皆予以强化和规范。《个人信息保护法》第二十九条、第三十条在法律上首次专门规定对敏感个人信息处理的告知同意[11]67。同时,该法还明确要求,信息处理者应当“公开”信息处理的规则,“明示”处理的目的、方式和范围。具体实践中,用户知情同意的有效性,可从信息处理者告知信息主体的“透明度”来衡量,上述提及的期刊网站中应予以公示的“启事”即为典型例子。
《个人信息保护法》作为个人信息保护领域基础性的专门法,仍然难以全面覆盖大数据时代包括期刊作者隐私在内形形色色的个人信息被侵犯的情形。《个人信息保护法》应与下文将述及的《民法典》《数据安全法》《网络安全法》《电子商务法》等法律共同编织一张个人隐私的法律保护网。譬如,《民法典》第一百一十一条确定了个人信息权及义务人对自然人个人信息权所负有义务的规定,第一千零三十九条确定了政府处理个人信息的基本规范,这两个条款和《个人信息保护法》中相近规定形成了良好的互补效应。
(三)以《民法典》为主的私法基础规范
《民法典》与《个人信息保护法》是我国个人信息保护法律体系中最重要、最基本的法律,但二者存在调整范围与调整方法上的差异。具体而言,《民法典》与《个人信息保护法》的关系可以分为四种情形:其一,《个人信息保护法》的规定对《民法典》相关规定进行了细化和丰富;其二,《个人信息保护法》通过引致条款或相关规定指向了《民法典》的相关个人信息保护条款,形成二者的相互联系和互相促进;其三,《个人信息保护法》有特别法属性,相对于一般法而言的《民法典》,相似规定一般而言应当优先适用;其四,《个人信息保护法》与《民法典》有不同的规范目的而分别适用于不同的情形[12]19。
从期刊作者的隐私保护角度来审视,《民法典》还有两项针对性的保护制度。一是确立了“谁搜集、谁保护、谁泄露、谁担责”的基本原则,由信息搜集者承担绝对的保护责任;同时,规定了惩罚性赔偿措施,加大了侵权人的赔偿幅度[6]73-75。二是确立了人格权侵害禁令制度。这是一种非暂时性、非保全性的实体上的禁令制度。从《民法典》第九百九十七条的立法目的来看,立法者意欲在人格权领域建立一种可“及时制止”不法侵害的便捷裁决机制。
《民法典》明确规定的隐私权作为一项具体的人格权,总体上具有对世效力;但即便是信息主体,也不可能排他、独占地支配其个人信息。《民法典》从私法规范的层面,较好地平衡了包括对期刊作者隐私在内的个人信息权益的保护与网络科技研发、国家数字经济发展两者之间的关系。譬如,其第九百九十九条规定“为公共利益实施新闻报道、舆论监督等行为”可以合理使用个人信息,第一千零三十七条还专门规定了侵害个人信息的免责事由。
(四)以《数据安全法》《网络安全法》为主的公法基础规范
在大数据时代的信息海洋中,与个人信息相关的利益主体呈现多元化趋势,人和人之间的利益关系变得动态而复杂多样,仅将期刊作者隐私作为私权客体的私法保护逻辑,在规范效力、制度功能等方面存在着局限。个人隐私的公法保护义务意味着国家不仅应履行尊重私人生活、避免影响个人安宁的消极义务,还应通过积极保护,支持自然人抵御个人信息处理中尊严减损的风险。因此,国家立法从公共利益的角度出发就显得尤为重要。《个人信息保护法》第六章“履行个人信息保护职责的部门”(第六十条到第六十五条)明确了履行个人信息保护职责部门及其职责的相关规定,为公法介入包括作者隐私在内的个人信息管理提供了规范条款上的依据。就期刊作者隐私保护方面,国家网信部门宜履行统筹协调作者隐私保护的相关监督管理职责,完善编辑部和作者的投诉、申诉的举报工作机制。
《数据安全法》《网络安全法》及其配套的立法,侧重从网络技术规范上对期刊作者隐私提供保护。由于网络技术的路径依赖,我国的网络环境大量使用了跟踪和监控技术,譬如以百度和谷歌为代表的搜索网络巨头更是如此。而作者日常处理稿件使用的智能手机等电子设备也大部分使用了这些技术,这些技术和硬件让作者用户处于几乎无限制的个人信息受监控状态。期刊出版的主管部门还应利用行政手段,颁布诸如“出版物作者的隐私权保护章程(条例)”之类的规范性文件,从公法的层面对作者隐私予以保护。
(五)综合性的法治规范
构建期刊作者隐私保护综合性的法治规范体系,首要的是营造公民基本权利保障的法治氛围,即在信息收集、处理等全链条中体现出由个人信息自主决定的基本价值指向,再通过多方面创造充分的客观规范与社会条件,为隐私权保护的实现提供实质性的前提条件。
从整体来看,“对个人信息应采取公法与私法并重的综合性保护方法”[9]26。因为囿于包括隐私在内的个人信息保护领域所涉面的复杂性,单纯以某个方面法律的救济途径难以较好地实现个人信息保护之目的,从多元化保护的角度进行救济,可有效破局[13]89。其中,要从人格尊严的角度强调国家保护个人隐私的义务的存在,从具体立法技术上而言,应通过转介条款和引致条款,让各类规范互联以编织保护期刊作者隐私的“规范网”。从社会公共利益角度出发,期刊作者的隐私泄露,也可适用《个人信息保护法》第七十条明确规定的三种个人信息的公益诉讼制度。从救济程序角度出发,应发挥社会组织在投诉程序和调解程序以及诉调对接中的功能,形成多维并进的程序救济机制[14]77;从侵权责任角度出发,可有条件承认预期侵权制度[15]21,以此实现期刊作者个人隐私侵权损害救济。
刑法层面的法律救济途径可从近年高发的个人信息案件中得以显示,大数据时代中对个人信息的侵害手段在日益升级,公检法的打击、侦办困难较大,而作为个体的期刊作者维权成本高昂,加之信息不对称,很难有效防范,导致隐私侵权的救济困难,宜在公共安全的维度下创建打击个人信息犯罪的全新机制,以确保侵权救济的实现;应在宪法的人格尊严条款立法精神的指导下,在司法实践中对包括侵犯期刊作者隐私的个人信息犯罪进行宪法解释和调适,构建面向个人信息全生命周期的刑法保护体系,特别是我国刑法应加大对敏感个人信息特殊保护的力度[16]2,本文所阐述的期刊作者隐私权即可归入此范畴。
总而言之,个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务[17]145。对于期刊作者隐私保护这一范畴,《个人信息保护法》《民法典》《数据安全法》《网络安全法》等相关法律已提供了框架性的法律依据,从公法和私法维度构建了基本的法律规范。法律效力层级以下,还包括和个人信息相关的法规条例和地方性立法。以上规范均可以通过诸如“转介性条款”“引致条文”等立法技术,实现有关期刊作者隐私保护的各类条文的互通,以达成规范的动态化和体系化。
