摘要:数字浪潮席卷后的沙滩留下了许多名为“数字权利”的贝壳,引起学界热烈讨论,然而目前尚缺乏像数据接入权一样最为基础的权利概念。因此从新兴权利这一视角出发,宪法人权条款、人格尊严条款和概括限制条款为该权利的证立提供了宪法规范依据。数据接入权相当于公民在数字空间的生命,是个人通过数据与互联网连接形成的参与数字活动的资格,是数字时代的基本人权。该权利的实现有赖于数字法律制度的构建,充分发挥国家、平台和用户各个主体参与数字治理的能动性,明晰行政部门职能定位,建立完备的国家监管机制。数据的接入保护宜以分类分级规则为指导,尊重个人隐私权、知情权;同时,侵权责任遵循过错推定责任原则,并以无过错责任为补充,关注预防性责任应对潜在风险,引入公益诉讼机制,从而为公民的数据接入保护拉起最后一道防线。
关键词:数据接入权;数字权利;宪法基本权利;法律保障;数字时代
一、引言
自从步入数字时代,学界关于数字人权的研究方兴未艾,对数字权利的讨论更是盛极一时。数字人权关注的是人之存在议题在数字时代的价值更新,数字权利则是在数字人权基础上对人的数字完整价值的进阶延伸。目前,围绕后者的展开主要包括三种:一是着眼权利客体概念之区分,将数字权利界定为隐私权、信息人格权和数据所有权构成的三元权利体系;二是分析数字权利的内涵与外延,从生存、人格、算法程序、财产四个方面提出权利架构建设;三是侧重宪法保护视野,重述数字权利属性以及主张发挥政府在数字治理中的主导作用。然而,无论是对传统法学权利保护的扩展补充,还是对数字权利结构的重新整合,均未揭示数字权利的发源———数据接入。之所以称之为“数据”接入而非“数字”接入,是因为数据是数字空间运行的具象化体现,单纯的代码数字本身并不能成为法律所保护的对象,只有数字依据对应代表的显象涵义才能够纳入法律的评价体系。数据接入权是指公民享有的、将可识别的个人数据(包括“物-物”和“人-物”接入类数据)与互联网实现联通接入的行动自由,兼备入场自由与退场自由两个方面的权利面向,是数字权利体系的基石,亦是所有数字权利的必要前提。没有数据接入,数字隐私、数字人格、数字财产便无从谈起。理论界提出的一系列新兴权利分为两种,即基于宪法基本权利数字化新表达的权利和宪法无明文规定但体现其法律精神的权利。该观点局限之处在于数字权利停留在原有法律秩序之下,数字变革仅为传统权利添加数字外观而无实质变化。依此逻辑将产生不合理展开,为保护如隐私、个人信息法律权利等新样态,通过宪法找到规范依据,从而上升至宪法基本权利。这种权利保护路径误解了宪法赋权面向,能够诉诸于宪法基本权利的应属与传统权利全然不同,符合国家、社会与人民立体化关系的新兴权利。数据接入权正是在众多数字权利中脱颖而出的对象,个体数据接入需求的实现有赖于社会系统的维系且受到社会系统功能分化的约束,同时上述权利运行方式依托于国家维护和干预。本文以权利新兴为视角,通过宪法规范基础证立数据接入权,论证其为数字时代的一项宪法基本权利,然后分析该权利现存的保护困局以及在此基础上如何实现保护与救济,旨在构建较为完善的数据接入法律保障制度,为数字权利的未来发展提供理论参考。
二、数据接入权的证立及其实现
尽管数据接入权尚处于理论研究缺位状态,但数字权利的依存早有迹可循。1950年欧洲《保护人权与基本自由公约》第8条“每个人享有……通信得到尊重的权利”将数据权利置于基本权利的地位初现,直至2000年《欧盟基本权利宪章》的颁布,将“个人数据之保护”正式纳入基本权利第二章自由权范畴,此外国际组织如经济合作与发展组织、亚太经济合作组织也认可数据权利的基本权利性质,可见宪法权利保护路径已被广泛接受。数字权利和数据权利有所不同,如今理论界所称的数据权利与最初的域外来源在内涵方面已发生了变化。现在的数据权利主体包括不同的利益相关者,主要涉及数据的来源与数据生产的不同阶段、不同主体的问题。而现今学界对于数字权利的探讨则更贴近前述域外的数据权利,将主体限制为个人,研究个人在数字空间中的行为自由和决定自由。因此,本文所论述的数据接入权属数字权利之列,是数字权利的基础表达,是一项数字时代立足于人数字化生存的全新概念,需要对其进行概念证成。
(一)数字时代宪法基本权利的新兴
数字技术是新时代人类的福祉。但技术这叶小舟不能全凭数字浪潮的支配,而是应抛下名为道德的锚,数字社会与人权奠基鸥水相依。首先,数字权利的运行与保护应以数字正义观为导向,贯穿数字源起、分配、规制的全过程,数字资源的基本保障、数字权利的合理配置、算法运行的有效规制受到来自分配、程序、信息正义的统摄。个体正义有赖于基本人权的实现,社会正义则依靠每个个体共同善的达成。其次,人权因主体差异而有不同的奠基功能。人权有利于唤醒个人因数字技术负外部性引起的思想麻木以及扩展大众对新技术运用的道德包容,为数字企业承担社会责任和维护数字民生提供伦理依据,将准公权力运用到平台规则建立、数据安全维护的秩序向度,为国家良法善治提供价值指引。除了保障每个人数据接入权利的实现,还要重点关注数字弱势群体的处境。最后,人权是道德语境的法律表达,人的自由、平等与尊严还需回归到法律语境得到实现。数据接入权涵盖新时代人格尊严的价值。是否选择接入网络、以何种媒介和渠道接入网络均是为了接入自由,平等地拥有接入条件是为实现平等,接入免受他人侵扰是为维护了尊严,数据接入权通过宪法基本权利确权方能得以充分实现。
道德与法律是数字时代的重要社会控制手段,法律被用于治国安邦的同时受到社会转向的影响,赋予基本权利新的数字化表达。自由权作为基本人性需求产生时代性进阶,言论自由、宗教信仰自由、通信自由超脱物理空间,突破了自由权行使所依赖的传统空间形态,网络平台成为自由的新型载体,在社交媒体上编辑文字点击发送即完成了一次言论表达,通过即时通讯软件可以实现音频、视频、图片的交流。在社会权方面,数字技术愈发关乎人的数字化生存,无论是生活方面的购物、支付,还是服务类的业务办理、政务服务,逐渐被网络全面覆盖。人的受教育权出现两极分化:一方面,经济发达地区的学校应用科技产品为教育方式提供助力,教育质量受到时代重塑;另一方面,数字贫困地区的基础教育设施尚不完善,科技设施难以进驻,数字鸿沟引发教育鸿沟。此外,公民的劳动权遭受数字化侵袭,AI和自动化技术普及正在消灭底层劳动力的存在价值,造成就业困难和失业频发的双重困境。尽管基本权利呈现利好与弊端共存的时代性表达,但仍需根据宪法原有保护核心和规范要素进行制度创新,宪法和部门法对于上述权利的射程范围调整和适用亟待升级。
以权利演进为视角,数字权利是数字时代必然催生的新兴权利,有着与传统权利截然不同的形态特征,突破时间空间的物理属性,数字权利关系正在潜移默化地改变法律关系交往,数据接入权应运而生,它是数字空间的“入场券”,值得从新兴权利队伍中被提炼为一项独立的法定权利。数据接入权概念缺失源自认知不足所带来的法律遗漏,其权利内容有别于2017年《网络安全法》第十二条第一款提及的网络接入。网络接入仅是数据接入的一种表现形式,无法包容评价“数据”涵盖的IP地址、设备信息、地理位置等载体数据和有关生命体征、身体数值等生物信息的本体数据。网络接入是公民享有网络设施和服务的工具性权利,数据接入则是决定个人“数字分身”存在的基础,换言之,失去数据接入意味着一个人数字生命的消亡,数据接入权即人在数字空间的生命权。以权利内容为视角,数据接入权保护对象是公民在数字空间出入的自主选择自由,这种入场与退场不是个人身体的空间变化,而是代表公民身份信息的可识别个人数据与互联网实现连接,以便在数字场域进出。本权利所述个人数据需要具备独特、可识别特性。独特要求每个人对应的数字代码不重复,可识别要求数字代码可以通过技术手段识别出其所代表的公民实名身份。考虑到现有数字技术,个人数据大致可分为两类:一为“物-物”接入类数据,即使用手机、手表、电脑等物体与网络达成物体与物体之间的连接,连接过程涉及的入网许可证、IP地址、拨号地址等数据信息归属于个人数据;二为“人-物”接入类数据,即通过指纹、声纹、虹膜、面部识别等生物信息实现人与网络的连接,此类数据因其不可替换属性需要严格管控。以权利构造为视角,数据接入权兼具行为权和接受权的特点。前者是指公民有资格决定以何种方式进入数字空间进行数字活动;后者是指权利人有权要求脱离数字空间而回归到现实领域,即数据接入的拒绝自由。由此引申到数据接入的形态问题,从积极和消极两个方面是理解本权利的重要视角。一方面,公民主动要求进入数字空间,国家有义务提供以此所需的基础网络设施,保障每个人都有接入的客观条件;另一方面,权利的性质要求权利人拥有不行使权利时不被打扰的防御面向,公民同样有权拒接入互联网或者接入后断开连接。其中应尤其注意数字弱势群体的需求。数字弱势群体是指受经济、教育、基础设施覆盖率等因素的负面影响而造成数字能力不足或数字条件缺乏的一类人群。此类群体在数据接入方面往往未享有充分的选择自由,其关于数据接入的积极与消极层面均处于被侵犯的状态。积极权利缺少客观物质条件而无法真正行使,消极权利更是无从谈起。因为消极权利的实现是建立在能行使而不行使的基础之上。在前者都无法满足的情形下,数字弱势群体实则失去了拒绝接入的消极权利。如此情况与基本权利要求的人人平等和人人享有的理念相悖,需要后续数字立法时予以补足。此外,数据接入权打破传统二元权利结构,加入数字技术服务提供者这一新主体,将公权力赋权变为私权力,创生出“国家公权力-平台私权力-个人私权利”的三元关系。这种权利结构要求平台成为除了国家对数据接入保护源生责任主体之外的衍生责任主体。最后,数据接入权的对应义务相比于其他新兴数字权利更容易为国家、社会所接纳。数据是我国未来经济建设的关键要素,数字经济的深度发展必然以信息基础设施建设为前提,这也是数据接入实现不可或缺的物质条件,而企业拥有的私权力本身需要受到其承担社会责任的约束,因此数据接入权运行过程与国家发展战略和义务承担本质上是一致的。
(二)数据接入权的宪法规范基础
新兴权利须经法律确权方能保护公民切实利益,否则便只能是时代特点装裹其外的瑰丽想象。虽然司法确权可以适当弥补立法的滞后性和快速兴起的权利需求,在数据接入方面却是窒碍难行。尤其对于数据接入权最易受到侵害的数字特殊群体,他们的认知和权利观念限制了司法作出数据接入回应性推定的路径。基于此,数据接入还需从立法规范的角度入法,从宪法条文探寻该权利的规范进路。
人权的宗旨,在于维护以人性尊严为核心的宪法权利,从而保障每个人的尊严存在与幸福生活的土壤。《宪法》第33条第3款被称为人权条款,“国家尊重和保障人权”位于第二章公民基本权利和义务的首条,这不仅是我国对权利与自由保护的宣言,还是新兴权利人权基础的重要来源。数字人权保护应当遵循规范性等同原则,线下人权不因转为线上而有所减损。在众多新兴价值中,数据接入最应先实现权利的宪法实证化,因其为一系列数字权利呼吁的必要前提。人权条款按照宪法教义学可解释为“国家尊重和保障数字人权”,使数据接入权实证化于法有据。数据接入权的实现与人权条款遵循同一逻辑展开。其一,国家是数据接入保障不可推卸的义务主体,负有维护其有效落实的职责。其二,尊重和保障数据接入对应国家义务的消极性与积极性,国家对数据接入自由采取不干预之边界态度,也为之落到实处而采取积极作为措施。诚然,仅凭人权条款作为本权利之法律归依略显单薄。该条款只是为数据接入的基本权利化提供了最低合法弹性空间,数据接入权的证立还需结合其他条款予以考量。
如果说人权条款是关于人基本生存的权利,那么人格尊严条款则是生存之上的进阶。《宪法》第38条之规定“公民的人格尊严不受侵犯”对应义务主体仅限国家而不包括私主体,这是一种对国家公权力界限的划定,国家进行数字社会治理、数字政府建设必须以不侵犯公民的人格尊严为最低必要限度,辅之积极作为创造保护人格尊严的条件。人不是科技的附庸,我们应警惕现今全盘数字化趋势。便民基础设施、政务服务系统逐渐被人工智能取代,数据接入的选择权与拒绝权显然未得到尊重,被迫接入成为常态。科技发展应当为人留存传统空间,逆数字化保留同样属于数据接入权的权利内涵,数字弱势并非遭受社会排斥的理由。一方面,公民拒绝接入数据的权利不受侵犯,人性尊严的没落与数据接入的断链不是附随关系;另一方面,接入数据的程度不受侵犯,对于指纹、掌纹、虹膜这类敏感数据,人应该享有控制接入的绝对的自治自决。人格尊严条款是数据接入权规范保障的原则性概括条款,用尊严对数据接入进行建构不仅是对人权条款的呼应,还是对数据接入受保护内蕴的深度挖掘。
人权条款和人格尊严条款对于数据接入的意义更多体现在宣示方面,而概括限制条款则为数据接入宪法化提供了规范路径参考。《宪法》第51条规定,公民行使自由和权利以不损害国家、社会、集体和他人利益为限,其中“自由和权利”不局限于宪法列举的基本权利,数据接入作为数字时代公民的一般行为自由在本条文之“自由”语义射程范围之内。至于不损害公共利益并非是过滤审查基本权利的先决条件,而是一般行为自由的外在规范依据。从这个角度而言,《宪法》第51条实际具有概括权利条款的作用。因此,对数据接入权利边界的划定是一种不违反比例原则的宽泛限制,该权利的运行不得超过国家财政、社会资源的承载力,不得减损他人权利。综上所述,数据接入权经过人权条款和人格尊严条款证明其达到人权高度的保护程度和具备基本权利的本质特性,概括限制条款则为其限制模式提供了基本思路,三者综合成为数据接入确认为基本权利的宪法依据。
(三)数据接入权的实现
2023年2月,国务院印发的《数字中国建设整体布局规划》指出,数字中国建设基础包括数字基础设施建设和数据资源体系两个方面。数据接入权的实现依靠上述两种客观条件。其一,互联网基础资源需要得到充分保障。中国互联网络信息中心发布的《第51次中国互联网络发展状况统计报告》显示,截至2022年12月,我国互联网普及率达75.6%;其中城镇地区普及率83.1%、农村地区普及率61.9%,城乡地区的互联网普及率差异较前一年缩小2.5个百分点。可见,农村地区的网络资源逐渐向好但仍有很大上升空间。数字基础设施建设是数据接入的重要抓手,在满足网络全面覆盖率的基础上,推进高质量用网,实现“市市通千兆”“县县通5G”,利用数字技术与农业生产相互融合,助力乡村振兴,以农村地区经济发展反哺网络基础设施的覆盖。其二,数据资源体系应建构梯次化层级,对数字弱势群体进行适当倾斜保护。数字适老化改造和无障碍服务构建规范标准,联合国家信息部门和网络服务平台,落实对数字弱势的扶持,促进数字包容,对重大制度架构设置听证程序,接受公众监督。同时,基础设施条件还尊重每个人的数据离场,数字政府应保留传统政务办理设计,为群众提供在线办理和线下办理的选项。
因为数字社会转向政府、平台与用户的三元权利架构,政府对于基层的控制力毕竟有限,平台私权力需要受到内外两部分的约束。外部规制主要来自国家命令控制式监管,国家设置数据接入的统一标准,通过行政授权的方式,赋予特定行政机关保证各类平台按此标准实施落地,任何企业或平台不得为公民的数据接入制造门槛。内部规制来自于法律引导的平台规则自我构建,例如《个人信息保护法》中的告知同意制度。暂且不论该制度存在许多需要修正的地方,隐私政策的出台为企业处理信息的合规性提供了法律参考,企业能够以此建立平台内部的合规制度。又如本法律第51条第一项之规定,法律要求个人信息处理者“制定内部管理制度和操作流程”,督促平台进行自我约束,而各类平台规则便于用户和市场对企业进行评级,用户可以通过不同平台隐私政策的比较,辨别平台在信息保护方面的优质程度,形成声誉机制。目前公权力在数字技术的资源调动实力并未拥有充分控制权,这就引出企业与政府的合作成为必然。网络服务平台关于数据接入行为的保护也可以参照该路径,利用硬法和软法相结合的方式敦促平台主动保护用户的数据接入权,从而建成数据接入合规。
秩序是自由的基础,考虑到数据接入权具有基本权利的特殊地位,该权利的法律设计以贯彻数字人权理念为出发点。首先,宪法基本权利章节明确规定本权利,添加“中华人民共和国公民的数据接入自由不受侵犯”,再以法律保留方式弥补《宪法》第51条涉及公共利益范围的不确定性,“禁止非法剥夺或限制公民的数据接入自由”,为立法机关通过立法允许合法限制数据接入提供弹性。其次,在相关网络立法中明确数据接入的保护。数据接入不可避免与电子商务、数据安全、网络安全、个人信息安全产生交集,现行网络法律如《电子商务法》《电子签名法》《数据安全法》等,可以在总则部分加入数据接入保护宣言或者在两类法益交集部分作出明文规定。最后,建立关于数据接入权的法律归责机制,明确侵权责任的划分。政府宏观进行数字治理,加强数字政府和数据接入宣传,提升主流社会对人的数字状况的关注与爱护,为民众提供数据接入受阻反馈和举报平台,从源头杜绝数据接入侵权。提升顶层制度设计能力,保证数据接入侵权证据收集渠道,监督企业及时提供数据维护救济。完善数据接入权双轨制保障体系,发挥国家强制力和平台私权力辅助治理的双重作用。
三、数据接入权保护面临的困阻
学界有关数字权利的研究日新月异,但是这种理论进展并不能满足人们对数字权利保护日益增长的需求。数据接入权在数字人权保护和数字治理的理论方面较为先进,却在实践方面存在不容小觑的落地障碍。法律法规缺位是一个方面,因利益分配和责任承担引发的权利博弈是另一个方面。如何厘清数据接入的责任主体和责任划分方式,构建配套保护模式的重要性由此可见。目前数据接入面临的困境主要来自数字人权理念未法制化、责任承担划分难题、保护机制缺乏联动规划等三个方面,这些问题需要未来在数据接入权的法律制度设计中逐一解决。
(一)现行法律在数据接入方面难以为继
其一,传统人权遭受威胁和数字人权理念在法律法规中难以落实。比如隐私权和知情权受到侵袭。自接入网络起,个人数据悄然成为大数据的分析对象,不论是否知情、是否同意,以隐私权为牺牲换取了购物网站的个性推荐、视频平台的喜好推送、社交软件的同城消息等服务;公权力主体进行反电信网络诈骗工作,对数据处理收集也让个人隐私无处遁形。以当前大数据渗透的情况来看,数据接入必然伴随不同程度的隐私损害,区别在于是否为本人所知晓。如果一项基本权利的实现以另一项人权为附加代价,那么人权只是以另一种更加隐秘的方式缺失了,容易造成保护新兴基本权利而侵害传统权的利顾此失彼的尴尬境地。尽管数字人权内涵的具体界定仍处于论争阶段,但研究者在网络接入和数据流通方面达成共识,现行法律亦有所体现。2022年《反电信络诈骗法》第21条规定电信业务、互联网服务提供者为用户提供互联网接入服务;2021年《数据安全法》规定国家鼓励数字治理、开发及利用;2021年《个人信息保护法》第13条规定了个人信息处理者处理信息的法定条件,网络立法中数字人权理念处于较为笼统的状态,详细的落地举措尚无规定,数字法律适用因没有具体标准而陷入凝滞,亟待公共政策和行政法规的进一步完善。
其二,数据接入权缺乏法律化回应。与数据接入相近的互联网接入,在现行法律中主要在反电信网络诈骗领域进行规定,限制实名制的网络准入条件和排除非法接入方式对于数据接入需要的保护力度还远远不够。在权利问题上,法律对于新兴数字权利确权不足。数据接入以网络接入为依托,通过手机、电视、电脑等媒介,实现个人数据与互联网的连接,从而进行数据活动。《反电信网络诈骗法》没有将网络接入作为一种民事权利进行保护,只是将其作为网络服务主体的义务和互联网治理的一部分。数据接入权的指向是个人得到数据最低入场自由的保护,根本上属于个人的私法权益,《民法典》对此未有明确规定。从责任框架角度来看,法律默认保障接入是属于网络运营商的义务,却忽视了国家在其中的职责。不同主体法律素养的差异性决定其对权利运作的手段的不同,保护接入权需要公权力和私权力的共同维护。在救济途径方面,若一个人被四大电信运营商拒之门外,他将无法享受与电信服务有关的业务,个人数字生命尚未出世即消逝,且没有任何权利名目以此来寻求救济。易言之,数据接入权目前处于法律空白的状态,既无法律概念规范,也无确立运行规则,这不利于回应公众对数据的现实需求。
其三,数据接入的公法私法共治格局不足。有学者提出数字权利与其他权利的附着关系导致其结构上属于一个权利集合,而政府在技术层面的实力远没有达到占据绝对控制地位,无法肩负对数字权利绝对保障的重担,他们认为将其纳入宪法体系存在法理障碍。据接入权与其他数字权利不同,是独立的权利内容,依赖公共网络基础设施运行和受到数字资源再分配的影响,属于国家宏观调控下的社会保障福利,国家依然享有根本控制决策,从宪法层面明确公权力对该权利的保障责任具备可行性。数据接入权的权利边界要求其在私法方面受到保护对待和合理限制,个人行使权利不得损害他人权利和社会利益,用私法补足《宪法》51条限制条款的模糊缺点,使企业对数据收集、使用、处理的权力不受消极性数据接入权的贬损。只有对数据接入的保护兼顾公法和私法两个方面,衡量国家、企业和个人权利主体的不同权益诉求,才能生成实证化的双重保护机制,建立以基本权利为指导、私法细化适用的数据秩序。
(二)数据接入权保护的责任分配之障碍
首先,国家数字行政组织结构松散致使责任分配不清。2023年3月,中央印发《党和国家机构改革方案》,组建国家数据局,将推进数据基础设施建设、整合开发利用数据资源、统筹数字社会规划建设划入其职能部署,原先属于网信办的职能移转至数据局并由国家发改委管理。其中,数据接入权实现所仰仗的数字基础设施布局亦属此列,经数据局宏观调控,但微观方面的数据安全监管、数字政府建设、数据产业发展职能仍然隶属于网信办、国务院办公厅和工信部,各部门职能交叉重叠容易出现责任承担混乱和相互推诿。而省级数据局各自的职能定位和范围又有所不同,呈现数据履职多头管理的状况,数据监管执法同样存在类似问题。中央与地方行政组织架构的差异和数据治理要求的统筹一体的治理理念相悖,直接导致行政法治纵向上下级政府和横向同级政府部门对接困难和沟通障碍。地方政府规章百花齐放却加剧了数据管理责任分配之困阻。不如设立体现层级标准的行政法规,既考虑到经济实力和数据资源的地方性,又能解决标准不一造成的适用难题。
其次,政府和平台数据资源不通引起监管权和私权力配合不足。政府拥有区别于企业的数据获取渠道,是多数信息原始取得的独家来源方,同时数字背景决定了数字治理注定不是政府单打独斗的战场,资源的共享与整合往往可以发挥“1+1>2”的效能,打造数据资源共治共享格局势在必行。政府数据共享早已先行。2016年,国务院印发《政务信息资源共享管理暂行办法》,确立政务信息资源共享应遵守“以共享为原则,不共享为例外”的原则,贵州、安徽拥有云上贵州、江淮大数据中心的资源共享平台。然而,数据共享处处掣肘,归结为数据本体低质,时效性和准确性欠佳,这为首席数据官制度的引入提供了可能。政府首席数据官能够为数据“生产—开放—评估”三阶段赋能,有效缓解当前共享平台单纯进行信息搬运缺乏提供者与利用者沟通的结构性失能,又因其第一责任人的身份,为后续追责指明方向。数据共治共享格局仍有很大的发展空间,企业对政府间数据共享同样重要,这就需要更多的法律制度设计去支撑,在政府和平台实现数据良性交流的前提下,行政监管与平台私权才能形成数字权利的保护合力。
最后,数据接入责任的多元主体架构未能有效建立运行。数字治理责任之分配应遵循数权结构统筹多方主体的能动性和利益,让各主体有协助数据接入保护意愿的前提是保护各自权益。个人数字权利如数据接入权、隐私权、知情权,除了法律明文规定排除来自国家、平台和其他个人的妨害,个人的投诉、建议、举报行为若能得到充分回应,这种维护自身权利利好的社会监督责任自然容易得到积极履行。政府数据权力如数据监管、数据主权、数据安全应适当保持谦抑性,避免政府借助技术使权力脱域化,扩张权力由“在场”变为“在线”。企业数据权益如商业秘密权、数据管理权、公平竞争权不得因与政府数据共享而减损。如果没有处理好各方利益,各主体将通过权利博弈换取利益,引发不服管、不愿管的局面。不仅如此,在数据接入的侵权责任承担方面尚缺乏与民事、行政、刑事责任的有效接轨,法律责任性质界定也尚不明晰。特定责任减免亦应纳入构建,对于协助数据接入建设管理的企业给予轻微违法容错机会,建立减责免责清单,激励企业参与数据共治。
(三)构建数据接入保护机制的现实窘况
一是行政监管尚缺乏统一数据治理体制。对数据的行政监管职责分配混乱,存在不同行政机关各自为政和同一项事物多方管理的局面。例如国家网信部门、国务院公安部门、电信主管部门等在关键信息基础设施保护方面均承担一定职责;网信部根据《关键信息基础设施安全保护条例》发挥统筹协调作用,指导相关设施保护和监管工作,公安部门负责对重大设施的认定和变化进行备案,并依照《网络安全法》制裁破坏关键设施的行为。尽管众部门各司其职,但还是在职能配置范围出现重复,未形成协同流畅的监管体制,这种情况在当前网络立法状况中屡见不鲜。跨行业、部门、地区监管使数字治理合作成为常态,容易造成权责定位不明确,甚至出现一事多标准的情形。而这种跨度大的多主体责任配置模式对网络平台的联动需求大幅提升。一方面,数据接入需要运营者承担参与协助的义务;另一方面,平台自我合规同样需遵守相关法律、行政法规,受有关部门监督,行政科层管控使监督效果受限。数据接入保护应规避上述数字治理的问题,建立强力有效的统一监管平台方为正解。
二是平台的数据治理权没有相应配套监督机制。网络平台对数据的接入、分析、管理享有独一无二的自主权,诸如二手平台闲鱼小法庭、淘宝小二介入、滴滴平台规则,创设了平台内部管理的专属逻辑。平台治理权来源于因占据技术高地形成的自我赋权和政府附加的管理权,平台对用户行为的判定和禁言、封号、权益调整等处于“一言堂”的状态,加之司法认可平台拥有其内部规则的解释权,为用户权益受损和寻求救济无门增加了不确定性。法律确认平台私权力进入反电信网络诈骗、维护网络安全、保障个人信息等领域,却暂无明晰的授权程序、权力行使范围的规定;数据处理者、电信业务经营者和互联网服务提供者的义务更多体现为一种法律强调,即可从其他法律规定推论出的强制性限制,而无具体责任内容。在缺乏统一监督平台和监督机制的情况下,技术权力化将导致权大于责的平台治理乱象,使数据接入脱离用户掌控。因而,现阶段网络综合治理不能以赋权作为主要立法方向,而应配套强有力的监督规则,实现平台权责统一的管理约束,为平台辅助公权力治理巩固数据三元权利结构夯实基础。
三是个人数字权利的保障机制普遍缺失。由于网络运营者的监督治理权缺乏有效约束手段,个人数据活动的有关权利难免受到蚕食,个人对其数据信息的知情权、决定权并未得到保障。用户对于自身数据与平台的接入程度往往不自知,除了可能被知晓的登录平台时显示的隐私政策。然而这类隐私规则的设置模式一般表现为用户点击同意后才能使用平台服务,加上大多数人并不会阅读其内容,导致隐私政策形同虚设甚至成为逼迫用户同意否则限制使用服务的门槛,这也是告知同意规则为人所诟病的原因之一。多数网民使用的手机数据权限被默认接入,例如微信8.0.39版本更新之后默认开启位置权限,新添加的“雷达加朋友”和“附近的人”功能泄露位置数据,直到用户在收到莫名的好友申请时才意识到位置数据在未经知情的情况下接入互联网。尤其在生物信息都能化作数据接入的身联网时代,网络平台对于个人数据获权和接入亟需一个透明的数据接入公开规则。再者,公众没有合适渠道参与数据治理的决策和监督,导致政策无法回应个人真实诉求。算法黑箱造成数据处理过程秘而不宣,用户难以判断是否存在数据侵权以及收集证据,致使维权效率低下。
四、数据接入权的保护与救济
前述已然呈现对数据接入权保护的证立及法律保护的必要性,在宪法规范亦有充分依据,且目前关于数据接入的保护仍处于法律真空阶段,数字法律治理环境整体欠佳。基于此,需建立层级化的数据接入实施规则并明确侵权责任的界定和救济,让数据接入权从司法实践层面也能得到保障。
(一)实施数据接入分类分级规则
根据保护目的和划分标准的不同,数据在概念划分上有截然不同的定义。由于数据接入权属于公民个人基本权利,数据接入所称之“数据”是指以电子方式存在,承载信息内容的公民数据集合。《数据安全法》所述数据并未以电子方式为限,这就意味着传统实体方式也成为可能,这与数据接入权利涵摄要求的数字空间不符,因此采取《网络安全法》界定的电子方式。不过现存法律对数据分类分级的描述尚且处于原则性层面,具体的方法并未建立,对于数据接入如何进行分类分级保护,还需探讨。
数据分类分级规则包括两层内容,即分类保护和分级保护。前者是指依照数据属性将不同数据进行归类保护,后者是指依据数据受危害难易和程度评估数据风险而进行的层级保护。首先,数据根据运作方式可分为代码规则、数字符号、信息内容三个类型。代码规则层指向代码编写的指令,计算机代码、手机系统代码、平台代码编写时不得写入禁止用户接入的指令,例如网络游戏平台对未成年人的接入代码属于附条件的接入。数字符号层指向公民在数字空间进行数字化内容的接入、生成和操作,公民的虚拟人生命在网络诞生。信息内容层指向公民接入行为产生数字符号表达的可被一般人识别的信息内容,如用户地址、真实姓名、电话号码等,这也是企业收集用户数据的主要价值来源。其次,数据按敏感程度可分为一般信息和敏感信息两大类。其中敏感信息参照《个人信息保护法》第28条划分为与人身安全有关的特别敏感1类、与人格尊严有关的较为敏感2类和与财产安全有关的一般敏感3类。全国信息安全标委会2021年发布《网络安全标准实践指南——网络数据分类分级指引》,将个人信息分为16个类别,可以划分到一般数据和敏感数据对应区间。对于一般数据,原则上不作接入告知,公民的数据接入行为视为默示同意一般数据的介入,属于数据接入行为本身的风险自担;对于敏感数据,敏感3类继续沿用当前告知同意的隐私政策,敏感1类和敏感2类需要设置接入提示,告知当前接入数据的敏感评级和风险并获得明示同意,且用户有权更正、删除以及随时撤回同意。上述分类分级保护需要在政府主导下发动多方主体参与,并广泛收集民众建议,制定数据分级的具体目录,建立相应的落实机制。
(二)数据接入侵权责任的确定
数据接入权作为公民私权,保护个人平等享有将数据与网络接入自由之法益,区别于传统侵权责任法主要是对有体物的保护,对数据接入的保护核心在于公民的接入行为不因基础设施条件缺乏或他人之作为和不作为而阻断,这就需要确定数据接入侵权的行为方式、归责原则和责任承担方式。由于侵权责任的划定本质上属于一种利益衡量,考虑到私法领域个人相较于企业数字能力处于弱势,其权利保护需要给予适当倾斜,数据接入侵权当以过错推定责任为原则,无过错责任为例外。在责任主体方面,国家不是民法典侵权责任编规定的责任主体,在此仅讨论其归责标准。国家侵害公民数据接入权的表现形式主要分为未提供数据接入条件和公权力及其工作人员违法行使职权排除接入两种。若公权力机关无法证明其无过错,应该提供接入、恢复原状或支付赔偿金,具体适用标准可以通过《国家赔偿法》进行规定。网络服务平台是公民进行数据接入的主要活动场所,亦是数据侵权的主要风险来源,应当负有较高的注意义务,例如对平台运行代码的按时检修是一种责任抗辩。倘若数字技术能力较强的个人通过平台代码漏洞攻击或编写程序攻击他人数据接入载体,导致他人无法数据接入的结果,过错推定原则可以减轻受害人对侵权人行为过程的举证压力。然而,过错推定原则并不能涵盖所有证据偏在问题,因而需要更为严格的无过错责任进行补充。对于网络服务提供者使用自动化处理技术的情形,即使用无过错责任原则。涉及算法黑箱问题,倘若平台在编写算法时植入非正义自动化运行价值而损害公民数据接入权,公民对算法内容的举证存在盲区,强归责的适用能够弥补双方的信息鸿沟和诉讼差距。数据接入侵权责任的构成要件与一般侵权行为的结构相同,包含侵权行为、主观过错和损害事实。其中,侵害数据接入权的致害行为包括三种类型:以不当手段消除数据接入依存设施、超越法律权限限制接入以及恶意限制接入。第一种是指破坏、重大变更信息基础设施的行为,破坏会直接造成数据无法接入,重大变更则会改变数据接入支持的地区、人群范围。第二种是指公权力机关超越法律授权对公民的数据接入进行非法限制,表现为政府机关无职权或超越职权限制、不满足法律条件的限制。第三种是指网络服务提供者或个人恶意对公民禁止或限制接入。过错的认定宜采用主客观相结合原则,行为人尽到注意义务及所用措施是否能有效减轻或规避侵权后果应结合判断。一般认为,故意损害他人数据接入的权利即为存在过错,过失则依据法律标准进行认定。数据接入保护的注意义务要求义务人在接入的前期准入和后期维护方面承担责任。平台建立初期关注数据接入的实体条件和算法程序设置,测试是否存在漏洞;后期定期检查和测试潜藏风险并及时升级平台系统避免黑客攻击。鉴于数据接入侵权的无形特性,关于损害事实的判断借助类型划分显形化,细分为风险性、情感性、经济性、信息性损害四种类型。风险性损害指因无法数据接入而导致接入后相关权利受阻的未来风险;情感性风险指因数据无法、不当、违法接入受到的精神损害;经济性损害指因无法接入引起的生活成本增加或财产损失;信息性损害指数据超敏感类型接入而用户未知晓导致的信息泄露。当然,上述损害得到法律认可才能认定为存在损害事实。
数据接入侵权责任的承担主要分为损害赔偿责任和预防性责任。损害赔偿责任又涵盖填补性赔偿责任和惩罚性赔偿责任两个方面。填补性赔偿责任旨在弥补侵权带来的损害。根据数据接入受损的表现形式来看,权利人受到的实际损害难以量化,不妨考虑侵权人因侵权而获利的标准进行计算。但是由此又延伸出另一个问题,有的数据接入侵权行为人并不以获利为出发点,并未从中取得实际财产性利益,而且个人本身通过数据接入权利获得的利益更多地属于人权层面,这无疑为数据接入侵权价值的量化增添了难度。因此填补性赔偿原则所适用的情况主要限缩在网络服务提供者这一责任主体,企业牟取不正当利益相对而言具有可量化性,至于其他责任主体的责任承担更多在恢复原状、赔礼道歉的范围。惩罚性赔偿的范围亦是如此。当企业侵害公民数据接入权的数量达到足以造成一定社会影响时,对企业的经济惩戒既能有效恢复社会稳定,也起到一定侵权预防的作用。单纯的事后救济模式终究具有局限,引入预防性侵权责任更能应对潜在风险,有助于消解数据接入断链扩大造成的公共利益不可逆危机。数据接入损害发生的事前保障机制,结合不同义务主体产生保障责任。国家作为数据接入保护的源生责任主体,在宏观层面主要发挥法规政策的导向作用。数字设施快速扩张有赖于国家对高新技术的政策鼓励与扶持,以至人们就业的生存空间遭受排挤,确保公民数据接入的拒绝权适宜走硬法与软法相结合的道路,通过适当降低新技术推广奖励或者为保留传统人工岗位的企业给予税收优惠或激励政策,将产生有效避免全盘数字化、缓解就业压力、为公民拒绝数据接入留存更大的选择空间等一举多得的效果。将数字合规纳入企业的合规审查中,规定经营有关民生业务如宽带网络、水电供应企业客服岗位电子和传统客服的比例。如对于国家机关内部的数字化进程则需转变观念,对数字政府、数字法院建设采取更加审慎的态度,设置硬性指标,规定国家机关对民服务窗口保留一定比例的传统人工窗口,让不行使数据接入权的公民享受同样的便利与服务。企业作为数据接入保护的衍生责任主体,应配合国家建立算法风险防控、数据影响评估系统,并结合数据分类分级规则,规范用户的接入行为和敏感评级,从源头减少侵权风险。
(三)数据接入的侵权救济方式
保护数据接入侵权救济之一在于明确侵权责任主体承担。鉴于数据接入损害行为的特点,除了前述能够确定加害行为人的归责方式,还存在多主体侵权的情形。在现实中不能排除无法进行数据接入但存在多个侵权主体的可能性,此时可以参照适用产品责任的分配逻辑。若侵权主体是网络服务提供者或服务算法程序的编写者,受害人可以二者择一选择主张;若接入侵害是算法程序引起的,网络平台赔偿后可以向编写者追偿,反之亦然。如果因第三人过错造成接入侵害,前述两主体在赔偿受害人损失后可以向第三人追偿。在公权力侵权的场景下,如果出现多个行为主体,则参照《行政诉讼法》相关规定确定责任主体。保护数据接入侵权救济之二在于保障救济途径多样通畅。在刑事法律方面,由于数据接入单独作为个人法益时尚不足以被刑法规范所涵盖,只有当数据接入侵害事实达到一定量级,足以危害数字社会秩序和相当危险性时才能被刑法救济,此时刑法保护的法益是以数据接入为入门,维护数字稳定的秩序。如果涉及信息内容层接入的侵权,则适用侵犯公民个人信息罪的有关规定。在行政法律方面,特别法如《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《数据安全法》规定,网络服务提供者侵害数字权利的法律责任承担多为行政责任,民事责任、刑事责任表现为指示性规范,缺乏具体规定,公民将救济数据接入权的诉求诉诸法律的途径狭窄。在民事法律方面,数据接入私权救济的框架亟待建构,划清个人数据接入使用的法律边界,提供有效的民事法律救济途径。以及合理利用民间救济力量,部分数据接入障碍可以通过技术方式解决的而毋需上升至法律,通过建立数字权利保护协会,帮助数字弱势群体和数字受害群体恢复数据接入权利状态。保护数据接入侵权救济之三在于完善救济秩序及运行机制。数据接入权保护首先通过入法确定其可诉性,再规范司法救济适用规则。由于数据接入与其他数字权利关联性强,个人基于数据接入侵权的法律事实可能同时存在多个可主张的权利,如被违法接入威胁的个人隐私权、数字财产权甚至人身安全,权利竞合产生多种救济理由,对此应根据各案实际权衡并结合以下标准。一为最小限制标准。司法救济优先选择对其他法律关系影响最小的权利。二为最大相关标准。裁量时考虑是否与权利人有利程度、司法救济目的和权利行使惯例最大相关。此外,在诉讼机制方面,引入数据接入保护公益诉讼机制,重点关注风险防控型诉讼。以人脸识别为例,居民小区物业在出入门禁处安装面部识别系统未经相关行政主管审核批准,业主的面部数据接入网络存在泄露风险,检察院通过公开听证方式判断风险等级并决定是否提起公益诉讼,督促行政部门履职和小区物业整改。司法实践已有案例,但尚且停留在个案规则,对此需要完善司法解释,建立一套能够普遍适用的判定规则。综上所述,数据接入侵权救济从风险预防和损害赔偿两个方面着手,有利于更好地降低个人数据接入风险,给予权利以有力救济。
五、结语
数据接入权是数字空间的敲门砖,正如数字化如雨瀑般铺满了社会周遭的一切,新兴权利像烟花一样竞相盛开。这是人权领域兴起的一场狂欢,也是对权利保护的一次挑战。当前亟需对数据接入权进行定义和制度构建,保障公民在数字时代的基本权利。目前,在法律制度中关于数字人权理念的缺位、法律回应不足、公法私法共治格局未形成等问题均应通过法律制度设计予以解决,明确数字部门的责任部署,激励和惩罚兼施,促进企业参与数字治理,加强公权力与私权力的配合以应对本权利实现的困境。而在侵权责任制度构建中,对用户的适当倾斜保护理念和举措,能有效缓解数据鸿沟引发的危害。以上构想还需要经历数据接入权宪法化、公法和私法共同规范,从而通过该权利的证成,为其他数字权利的保护提供理论参考。
本文刊发《广州大学学报(社会科学版)》2024年第2期
