丁晓东:个人信息的双重属性与行为主义规制

选择字号:   本文共阅读 528 次 更新时间:2020-02-18 14:23:09

进入专题: 个人信息   行为主义  

丁晓东  
这意味着个人信息的自由流通是个人自治的重要保证,当个人对他人的信息获取越充分,个体对他人的判断和个体作出理性选择的可能性就越大。

   但这种观点并没有深入考虑个人自主性的成因。首先,个人信息的无限制流通可能会引起个人无法被社会正确地理解与对待,从而造成社会对他人的误解。知名法律学者杰弗里·罗森曾出版《不希望的注视》,为信息隐私保护辩护。[56]罗森认为,应当区分两种关于个人的信息,一种是碎片化和肤浅化的个人信息,另一种则是“只能为一些朋友、爱人或家人所获知”的具有复杂性的真实知识。[57]在罗森看来,关于个人的复杂性知识只能通过缓慢的时间积累来获取,而社会却总是通过媒体报道或公共性事件而获取关于个人的碎片化信息。因此,罗森指出,隐私的“核心价值之一”是保护个人不会因为“在一个世界中的短暂一瞥而被脱离语境地错误界定与评判”。[58]

   此外,信息隐私对于普通公民个体人格发展具有重要作用,缺乏隐私为个人人格所构建的发展空间,个人将不可能培养独立的人格。对此,隐私研究的权威学者朱丽叶·科恩(Julie E. Cohen)曾经有过详细的论述。在科恩看来,人们之所以对隐私的价值认知不足,是因为没有意识到个人总是生活在社会中,总是为各种社会力量所支配。[59]例如,个人常常为商业信息所支配,而商业与信息融合而带来的“信息资本主义”又追求利润最大化,常常趋向于激发消费者的欲望和即时性的信息处理方式。对于公民个体的人格来说,这具有非常负面的作用,因为独立的人格与反思能力来源于“知识的积累以及迈向信息处理的更高级别的复杂性”。科恩指出,信息隐私恰巧可以在现代社会为公民提供一种庇护,当公民具有合理的隐私空间,他们就可以免受商业、政治、同龄人的即时性压力,而能够更为长远和审慎地思考问题和规划未来。[60]

   总之,将信息作为言论表达自由的对象,揭示了个人信息应当合理流通与利用的一面,但这并不能否认个人信息应受保护。恰恰相反,当我们深入言论自由理论,就会发现保护个人信息能够促进言论自由所意图实现的目标。就此而言,虽然言论自由理论主要建立在美国的言论自由基础之上,但其所揭示的原理和带来的启发却是普适性的,同样适用于包括中国在内的个人信息保护。

  

   四、个人信息的场景化行为主义规制

   将个人信息视为基本权利的客体,这更多反映了欧洲看待个人信息的立场,[61]而将个人信息视为他人言论自由的对象,这更多反映了美国看待个人信息的立场。前者为我们揭示了个人信息的个体属性;而后者则为我们揭示了个人信息的公共流通属性,两者从两个不同侧面揭示了个人信息不同于一般物品或财产的双重属性。[62]

   (一)个人信息的行为主义规制

   个人信息的双重属性为保护个人信息指出了方向。既然个人信息确权保护很难成立,而个人信息的无限制流通又可能侵犯个体与社会的相关权益,那么保护个人信息就应当对个人信息收集、储存、处理的各个环节进行行为主义的规制,确保个人信息流通的各个环节都能得到法律的合理介入。相比基本权利进路的法律保护,这样一种进路并没有采取个体主义与权利话语的观点,[63]也没有否认个人对于附着在个人信息上面的合法权益。[64]而相比起言论自由的进路,这样一种进路也没有对个人信息保护放任自流,没有借言论自由审查阻碍政府对个人信息的保护。[65]

   从行为主义规制的进路出发,个人信息保护应当根据不同行为所可能侵犯个体与社会的权益而进行不同程度的规制。例如,对于个人信息收集行为,应当采取相对宽松的规制策略,因为个人信息的收集与个人信息的流通共享密切相关,如果对个人信息的收集行为进行过于严厉的规制,那么个人信息就无法合理流通,个人信息中所可能蕴含的公共性价值就无法得到体现。而对于个人信息的处理,则应该进行更为严格的规制,因为相比起个人信息收集,个人信息的处理会直接对个人产生影响,会对个人权益产生更为直接的影响。此外,对于信息的储存与披露,则应当采取最为严格的规制策略,因为企业等信息收集者与处理者对个人信息的储存常常涉及海量个人信息,一旦发生信息泄漏,就可能造成个人和社会的安全风险。

   (二)基于场景的行为主义规制

   个人信息的行为主义规制应当是高度场景化的。它与刑法上的行为主义规制不同。在刑法上,当某些行为被确定为罪名之后,此类行为就被认定为犯罪,不论此类行为发生在哪种场景,针对何种对象。但个人信息的行为主义规制则不同,对个人信息进行规制的必要性与合理性往往取决于不同的场景与对象。例如,当自动驾驶汽车不经个人同意而收集和处理个人信息,此类行为完全具有正当性,因为此类场景就不可能为个人同意提供选择的机会;当电商企业收集与利用个人信息为消费者推荐一般商品时,此时电商企业对个人信息的收集与利用也具有一定的合理性,因为个性化推荐将总体上为个人提供更符合个性化偏好的产品;但当互联网企业收集个人信息并用于推送医疗广告,此类行为就可能面临违法,即使此类收集得到个人同意,此类行为也可能存在问题。因为在医疗领域,个人和医疗机构之间往往存在巨大的认知差距,医疗企业与互联网企业往往很可能会利用个人信息来向个人提供利润最为丰厚的医疗服务,而非最适合个人的服务。[66]

   个人信息应当进行场景化的行为规制,这与个人信息所承载的多重权益相关。上文的分析表明,保护个人信息其实并不是保护个人信息本身,而是通过保护个人信息来保护其他权益,这就是作为基本权利的个人信息权利不能成立的原因,也是为什么需要对个人信息采取行为主义规制进路的原因。但是,究竟个人信息背后的权益是什么?无论是数据保护的实践领域还是学术领域都没有共识。在实践领域,以欧盟《一般数据保护条例》为代表的数据保护立法其实包含了一系列的权益,其中既包括个体的知情权等消极性的隐私期待权利,也包括积极性的数据选择权与控制权,同时也包括了数据质量与数据安全等权利。因此,保护个人信息既包括了附着于数据上的人格性权益,财产性权益,也包括了风险预防性权益。而在学术领域,关于个人信息保护目的的讨论则更为多元,从保障个体权益、促进数据公平到维护社会数据规范、规制数据风险、促进公共讨论,不同理论从不同角度论证了个人信息所承载的多重权利。[67]正是因为个人信息保护背后如此多元的权益,使得个人信息保护常常高度依赖于场景。在一种场景下,个人信息保护可能会促进某种权益,但一旦场景变化,个人信息保护就不但无法促进某种权益,反而可能妨碍另一种合法权益的实现。[68]

   (三)场景化行为主义规制的实践

   当前,各个国家与地区的个人信息保护法都建立在“公平信息实践”(Fair Information Practices)的基础之上。这些法律一方面赋予个体以针对数据收集者与处理者的一系列信息权利,例如针对个人信息收集与使用的选择权、访问权、更正权、被遗忘权、携带权等等;另一方面则要求数据收集者与处理者承担一系列责任,例如要求个人信息收集的公开透明、保证个人的数据质量与数据安全。[69]这些规制虽然包含了行为主义的法律规制方式,但主要采取了个人权利的进路。尤其是欧盟的《一般数据保护条例》,大大强化了个人数据控制权。[70]

   就立法技术而言,这样一种立法模式无可指摘,或者说具有相当的合理性。在个人信息保护越来越成为共识的今天,这样一种立法模式可以较快地建立一套个人信息保护的法律框架。法律通过个人信息这样一个工具或抓手,赋予个体以针对个人信息收集者和处理者一系列权利,这可以确立个人信息保护的一般性规则,从而保护个人信息背后所承载的多种权益。从法律原理上来说,一般性的规则能够减少信息搜寻成本与认知成本,有利于个人尽快认知和利用法律进行维权,有利于数据收集者与处理者尽快地进行合规操作,也有利于执法主体尽快进行执法。[71]

   但即使立法上采取权利进路的个人信息保护,在司法与执法层面,对个人信息权利的解释也必然会采取场景化的行为主义规制方式。个人信息权利所包含的若干权利是否被侵犯,都需要在具体场景中加以确定。我们已经看到,在收集个人信息时,自动驾驶等场景就不太可能赋予个体以选择权。其他信息权利亦是如此。例如赋予个体以被遗忘权,这种权利虽然在纸面上可以被上升为一种权利,但这种权利的行使却需要在具体场景中结合多种因素加以确定。例如在实践中,谷歌就设置了一些场景化因素来审查用户提起的被遗忘权请求:数据所涉及的主体在公共生活中的角色、数据的性质、数据来源、数据所经历的时间。[72]这些因素的具体考虑使得被遗忘权虽然名义上仍然是一种“权利”,但实际上已经成为一种对个人信息进行行为主义规制的工具。[73]

   观察欧盟与美国的个人信息保护实践,也可以发现它们的个人信息保护接近于场景化的行为主义规制。以欧盟为例,在《欧盟数据保护指令》(95/46/EC)指令生效期间,负责解释该《指令》的第29条数据保护工作组(The Article 29 Working Party)就不断发布关于个人数据保护的具体指引,这些指引常常结合具体场景来对《指令》中所规定的各种权利与责任进行解释,事实上提供了一种行为主义的合规指引与执法指引。在欧盟《一般数据保护条例》生效后,欧盟数据保护委员会(European Data Protection Board)又接替了第29条数据保护工作组的这一功能。而美国并没有在联邦层面对个人信息保护进行统一立法,在一定程度上,美国联邦贸易委员会承担了个人信息保护的主要职能。就保护模式而言,美国联邦贸易委员会通过个案执法而不断勾勒个人信息保护的行为边界,从而在事实上形成了对个人信息的场景化行为主义规制。[74]因此,尽管欧盟与美国在个人信息保护方面有众多区别,但实际上他们有殊途同异之处,欧盟与美国都采取了场景化的行为主义规制道路,通过在具体场景中判断相关行为的合理性来最终确定个人信息保护的边界。

  

   结论与启示

   个人信息的公法性质是信息隐私或数据隐私保护的前提性问题:如果个人信息构成公法上的基本权利客体,那么法律体系就应当通过制度设计来落实这种基本权利保护;相反,如果个人信息构成他人言论自由表达的对象,那么个人信息就应当以自由流通与自由使用为基本原则,对个人信息流通与使用的限制都会因为违反言论自由原则而无效。这两种看待个人信息的视角揭示了个人信息的双重属性,从个人信息的双重属性出发,本文认为,个人信息权利无法成为一种独立性的基本权利,但同时个人信息也可能承载的多种合法权益,需要法律进行介入与规制。

   从个人信息的基本属性出发,个人信息保护应当采取基于场景的行为主义规制。相比起基本权利的进路,这种保护方式并不试图对个人信息进行确权。[75]在这个意义上,可以说本文拒绝“个人信息权利”,但承认“个人信息被保护的权利”。更准确地说,本文主张“个人信息相关权益被保护的权利”。如同本文一再强调的,个人信息本身并不值得保护,保护个人信息是基于路径依赖和实践可行性的考虑。通过个人信息这样一个工具和抓手,法律可以对个人信息所承载的相关权益进行较为全面的保护。

目前,中国正在紧锣密鼓地制定“个人信息保护法”“数据安全法”等法律。关于个人信息或个人数据的法律保护方式,有的观点主张走欧盟强化个人数据控制权的立法进路,而以企业界为代表的观点则主张采取美国以自由市场和自我规制为主导的保护模式。本文揭示了这两种观点都可能存在的问题:欧盟的进路过于忽略个人信息的流通与利用;美国的进路过于忽略个人信息背后所需要保护的多种权益。(点击此处阅读下一页)

    进入专题: 个人信息   行为主义  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/120258.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2021 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统