丁晓东:个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础

选择字号:   本文共阅读 230 次 更新时间:2020-05-13 00:03:06

进入专题: 个人信息   适用前提   法益  

丁晓东  
此时个人信息就会全部泄漏,对个人信息权利造成重大伤害。即使法律对个人身份的验证程序作出严格规定,此类风险也可能因为公民信息访问权、携带权的行使而加大。[49]

   第二,有些个人信息权利可能影响他人的合法权益。权利的冲突是权利保护中经常出现的情形,[50]在个人信息权利的行使中,这种冲突更为明显。个人信息虽然关乎个人,但常常包含他人信息,当个人行使个人权利时,就很可能会影响到他人的信息权利。以访问权为例,当个人行使访问权获取个人信息,此时个人很可能就获取了第三方的信息。而当个人将个人通讯录信息或个人相册信息从一个平台转移到另一个平台,此时他人的通讯录信息或相册信息甚至可能面临核心隐私被侵犯的风险。[51]因为在个人行使访问权或携带权之前,个人信息可能位于陌生人的场景,很难被陌生人识别;但在个人行使访问权或携带权之后,个人信息就转移到了熟人或半熟人的场景,比较容易为熟人或半熟人识别。[52]

   第三,有些个人信息权利可能给企业施加不合理的影响,影响企业的正当权益。以个人信息访问权、纠正权、删除权为例,个人信息一旦被合法收集,就可能在企业内部流转和分析,此时如果个体可以行使针对企业绝对性的访问权、纠正权、删除权等权利,那将意味着企业需要在所有的信息储存和分析部门都给予个人以访问、纠正和删除的权利。即使企业对于相关信息已经进行了匿名化处理,或者仅仅是在数据集合与统计中分析个人信息,个人也可以要求获取和纠正此类信息,在数据分析中删除此类信息。因为此类信息仍然可以重新识别和结合其他信息重新识别个人,因而属于个人信息的范畴。[53]在欧盟等地区,此类个人信息或个人数据权利等行使已经给企业造成了很多的不合理负担,因为企业不但面临普通个人的访问权、纠正权、删除权请求,而且可能面临社会组织、竞争对手所提起的大量请求。企业除了为个人寄送大量的个人信息,满足个人的信息访问权之外,还需要面对个人行使纠正权和删除权所带来的信息分析结果随时调整的风险。

   第四,有些个人信息权利可能影响市场机制,损害平台经济和数字经济的发展。个人信息权利保护以信息的“识别”性作为保护前提,包括个人信息的已识别性与可识别性,[54]但在大数据的背景下,绝大部分信息都可能被纳入个人信息的范围,因为绝大部分信息都可能因为和其他信息结合而识别个人。[55]因此,个人信息权利保护的相关权利很可能导致市场中的信息流通与共享受到很大限制。从市场经济的基本原理来看,市场之所以能够有效运转,就在于市场中的信息流通与共享使得市场中的主体能够及时有效地进行自我调节。市场中消费者的用户需求、价格偏好、消费习惯、消费预期,都需要通过个人的相关信息汇总而获得,离开了对于此类个人信息的收集和分析,市场就不可能有效运转。而在平台经济与数字经济中,这种信息的对称性尤其重要。无论是双边市场中所强调的平台的媒介功能,[56]还是长尾理论所强调的平台的去中心化功能,[57]都依赖于平台对于市场经济主体的相关信息进行合理收集和利用。就此而言,个人信息权利中的反对用户画像与自动化处理权等权利,如果上升为一种适用于所有场景的绝对性权利,未必有利于市场机制的正常运转。离开了用户画像等个性化推荐的能力,不仅个人可能无法在市场中获取有效信息和个性化服务,而且小微企业也可能会失去市场机会。只有大型企业、商场或商家才有可能在线上购买广告投放流量,或者在线下占据人们的注意力市场。

   第五,有些个人信息权利还可能影响公共利益。个人信息的合理使用首先对于公权力机构具有重要作用,特别是对于一些具有公共治理功能的公权力机构,个人信息的收集与处理是其治理能力的基础。离开了对个人信息的合理收集与利用,公权力机构就不可能有效地征税,有效地扶贫,有效地制定相关政策或对国家进行“数字化管理”。此外,很多场景下的个人信息收集与流通其实具有公共功能,允许个人对于个人信息行使纠正权、删除权等功能,会极大地妨碍个人信息的合理流通与公众的知情权。这一点最为明显的是针对谷歌、百度等搜索引擎和网站的纠正权和被遗忘权。[58]试想,如果个人有绝对权利可以修改自己在百度词条和维基百科上的信息,或者可以删除自己在百度和谷歌搜索中的搜索结果,那么很多关于个人的负面信息都可能从这些网站上消失,因为没有人会希望自己的负面信息在公共领域流通。[59]对于公众的知情权而言,这种删除权的任意行使会造成信息的真空,甚至造成信息的失真。

   综上所述,个人信息权利保护的法益既包括防御性的隐私权益,也包括人格尊严、财产权益、安全权益以及增强个人便利或个人信息能力的信息控制权。但信息控制权只能针对信息收集者与处理者,而且此类权利面临更多争议。也因此,个人针对信息收集者与控制者的信息控制权必然无法成为绝对性的权利,或者至少面临很多例外。例如《一般数据保护条例》已经对知情权和选择权规定了同意之外其他合法处理个人信息的机制。[60]访问权、纠正权、删除权、反对用户画像与自动化处理权和携带权等其他权利亦是如此,在法律规定与实践执法中,这些权利实际上都受到了各种条件和例外的限制。

  

   五、在具体场景与信息关系中思考信息权利

   个人信息权利保护的法益基础之所以如此复杂,而个人信息权利又可能和如此多的利益相冲突,根本原因在于个人信息权利保护高度依赖于具体场景中个人与信息收集者与处理者之间的关系。当我们谈论一般性权利,例如财产权、人身权甚至隐私权,这些权利即使有争议,也大致有一个共识性的范围。即使在不同的场景中,这些权利的范围也大致确定。但在个人信息权利保护的问题上,个人信息权利及其保护的根源就在于不平等不合理的信息关系。因此,分析与界定个人信息权利的边界,就必须把个人信息重新放置在信息关系中加以思考。

   在分类场景与信息关系中思考个人信息权利保护,这与个人信息权利保护的很多前沿研究是一致的。例如以国内学界越来越熟悉的海伦·尼森鲍姆(Helen Nissenbaum)的场景理论为例,场景理论的核心就是批判脱离场景与信息关系谈论个人信息权利保护。[61]在其研究中,尼森鲍姆列举了场景(context)、行为者(actors)、信息种类(information type)、传输原则(transmission priciple)等要素,以此说明个人信息权利保护在不同场景与信息关系中的不同规则。以场景为例,公共领域与私人领域划分是场景划分的一种,对于位于公共领域的个人信息,法律赋予给个人的信息权利要远远小于私人领域的个人信息。但尼森鲍姆也指出,公私领域的划分只是场景分类的一种。场景公正理论假设了更为多元的社会场景,每一种场景都需要不同的规则来确定个人信息权利保护的边界。[62]就信息角色而言,尼森鲍姆指出,对于不同的信息的发送者、接受者以及信息主体,法律赋予给个人的权利或个人信息流通的规则也不同。[63]例如在医疗场景中,医生收集病人信息与一般医疗化验人员收集信息就非常不同,医生收集病人信息并不需要时刻征询病人同意,但医疗化验人员则要受到更多知情同意的约束。就信息种类而言,尼森鲍姆指出,敏感信息与非敏感信息是个人信息分类的一种,但在不同场景与不同的信息关系中,此类分类完全可能会转化。[64]例如,脸部识别信息在线下场景的信息收集中,可能是非敏感信息甚至是公开信息,但在线上场景,此类信息就可能成为敏感信息。就传输原则而言,不同的场景与信息关系也非常不同。[65]例如医生与病人之间的信息传输原则,招聘场景中的雇主收集求职者信息的传输原则,就非常不同于商业场景中的网站收集消费者信息的信息传输原则。

   再以近年来兴起的个人信息的信义法(law of fiduciary)、[66]保密关系法(law of confidentiality)[67]保护为例,此类研究的共同点,也是将个人信息权利保护还原到具体场景与信息关系中进行保护。例如,就个人信息的信托法保护而言,此类研究者的关注点在于,信息收集者与处理者与个人之间形成了非常不平等的信息关系,而且此类关系是持续性和互相依赖性的。对于这样一种关系,赋予个体以对抗性的信息权利,很难对个人信息形成有效保护,也难以对信息收集者与处理者施加应尽的义务,提供信息收集和使用的有效空间。因此,信托法保护的路径主张对个人和信息收集者与处理者分别施加信息信托权利与信息信义义务。相比起传统的个人信息权利,信息信托权利常常需要结合场景与信息关系来确定权利的边界。个人信息的保密关系法保护具有同样的特点,也强调在具体场景与信息关系中确定个人信息权利的边界,而非事先确定个人信息的权利边界,然后再将其应用在具体场景中。

   在具体场景与信息关系中思考权利关系,这不仅是前沿理论的共识,也是不可避免的实践真理。在个人信息权利的确立中,最为形式化的信息权利宣示当属欧盟的法律框架。欧盟首先在《欧盟基本权利宪章》第8条以基本权利的形式规定了个人信息或数据的被保护权、访问权与纠正权,[68]其后又在《一般数据保护条例》第12条到第22条用大量的篇幅规定了不同类型的个人信息权利或数据权利。但在实际执法中,这些权利的边界仍然处于待定状态,仍然需要欧盟数据保护委员会(European Data ProtectionBoard)等机构提供场景化的指引,特别是需要执法案例与司法案例来最终确定各类权利的边界。

   在这个意义上,个人信息权利保护必须回到公平信息实践的“初心”,反思当前个人信息权利保护制度是否实现了公平信息实践所预期的目的。从形式上说,当前欧盟等国家和地区的个人信息权利保护制度很好地继承了“公平信息实践”所开创的制度,因为“公平信息实践”的最初版本中,的确包含了大量的个人信息权利。公平信息实践诞生之初,其核心的原则与制度就与当今各国普遍采用的个人信息制度类似。例如1973年版本的“公平信息实践”原则规定:①所有的个人信息记录系统都不得是秘密的;②个人必须有途径知晓其哪类信息记录在案以及其是怎么被运用的;③在未经个人同意的情况下,个人必须有途径阻止其被收集的信息不会被用于其他目的;④个人必须有途径对可识别的个人信息进行纠正或修改;⑤任何创设、保存、使用、散播个人可识别数据的机构在因为特定目的而使用数据时,都必须确保数据的可靠性,必须采取措施避免数据被滥用。[69]就当前全球各个国家和地区的个人信息权利保护法而言,这些法律与制度都继承并且强化了“公平信息实践”中的信息权利。除了“公平信息实践”中所规定的知情权、选择权、访问权、纠正权之外,欧盟等地区的个人信息权利保护法还规定了反对用户画像和自动化处理权、[70]携带权等权利。

   但从个人信息权利保护的“初心”或预期目的来说,当前很多个人信息权利保护制度对于“公平信息实践”的继承仅仅是形式性的,这些制度是否能够真正实现“公平信息实践”的初心,即实现的是信息收集者或处理者与个人之间的公平或合理的信息关系,仍然取决于相应制度是否能够在具体场景与信息关系中确立个人信息权利的合理边界。而要实现这一点,首要的任务就在于破除脱离具体场景与信息关系的权利思维和形式主义思维。这种思维可能可以大致应对某些权利问题,但对于个人信息权利保护而言,却可能导致各种不合理的信息实践。

对于很多法律人而言,在具体场景与信息关系中思考个人信息权利,看上去与法治的基本原理背道而驰。因为法治的基本原则恰巧要求普遍性的规则之治,[71]要求脱离人为关系来设计规则。[72]但需要指出的是,在关系中思考个人信息权利,并不排斥类型化的个人信息权利主张与规则治理,只是这种权利主张与规则治理更多依赖于从具体场景出发,通过自下而上的规则制定来勾勒和确定权利与规则。同时,这种类型化的规则治理更多从信息关系出发,通过信息关系中的合理信息实践或信息伦理来确定权利与规则。(点击此处阅读下一页)

    进入专题: 个人信息   适用前提   法益  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/121272.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2021 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统