隐私是高度人格性的利益。大数据运营需要用户不断提供与其身份相关的信息。与此同时,用户在大数据模式中的身份却是卑微和被动的。这种身份悖谬严重制约了隐私保护的效果。因此,在法律上对信息隐私进行准确身份定位显得非常重要。已有的研究并没有正视大数据隐私身份悖谬的现实,我国法律对信息隐私的身份定位模糊,也缺乏有效的保护机制。在日益严峻的隐私保护环境下,我国可以兼采欧美模式之长,在加强既有法律机制的同时,逐步发展符合国情的数据保护制度,赋予用户恰当的法律身份,夯实大数据隐私保护的基础。
在大数据条件下隐私和身份间存在着明显的悖谬关系:用户在不断提供各种身份信息的同时却处于没有独立身份的被动地位。“身份”亦作“身分”,在现代汉语中有“出身和社会地位”“身价”等涵义。自然人在传统空间拥有单一的主体身份,并据此从事各种活动、获得财产、建立人际关系,进而发展自身个性和人格。这种看似天经地义的事情在互联网中却难以实现。自然人在互联网中最常见的身份就是“用户”。但用户却并非单一和持久的网络身份。用户身份并不以注册为前提,只要享受了某种服务或使用了某种应用就可成为用户。成为用户最重要的前提是“用”,而使用的前提则是提供一些与身份相关的数据。以谷歌公司为例,其用户分为三类。“注册用户”、“非注册用户”、“被动用户” 。不难发现,三类用户的共同点在于通过某种方式提供了某种程度的身份信息。严格来讲,用户并不实际拥有其在网络上的各种身份。这些身份就是某些特定数据,但用户无法决定这些数据如何使用,且在停止某种服务注销相关账户后也不能带走这些身份数据。事实上,自然人在现有互联网条件下基本不具有独立性,且对其数据收集、存储、处理也没有自主性。在大数据条件下,自然人更像是被动服从于互联网统治的,而非真正的主体。比较理想的状况是自然人在互联网上应该有单一的数字身份,并且包括了个人进行各种网络活动产生的大量数据。自然人应该能自由调取这些数据,决定是否以及提供哪些数据给相应的服务平台或企业,而且有权在终止服务后彻底销毁因享受服务产生的相关数据。但这种理想的网络主体身份却难获得现实支撑。这种身份悖谬严重制约了隐私保护的效果。隐私是高度人格性的利益。在互联网基本架构稳定的前提下,身份是个人信息构成和保护的关键要素,在隐私保护领域,只有能识别出身份的信息才是个人信息。但用户在大数据模式中的身份却是卑微和被动的。这种身份悖谬限制了隐私保护的主动性和实效性,则更需在法律上对信息隐私进行准确身份定位,才有可能保护隐私。而产生这种身份悖谬的原因十分复杂,主要基于以下几个方面:
大数据隐私的身份悖谬首先是由现有互联网的结构决定的。对互联网来说用户的身份就是一系列数据。原因是互联网是一个协议分层系统,不管上层应用有多么丰富多样,其底层却由数据和协议主导,身份问题并不重要。互联网的分层架构是一个数据移动、处理、呈现的过程,这一分层系统至少包括底部的“实体层”(Physical Layer)和顶部的“应用层”(Application Layer),还有夹在二者之间的“链接层”(Link Layer)、“网络层”(Network Layer)和“传输层”(Transport Layer)。越底部的层级越靠近硬件;越上面的层越靠近用户。每一层都是为了完成一种功能。为实现这些功能,就需要遵守共同的规则,也就是“协议”(Protocol)。互联网的每一层都定义了很多协议,这些协议总称为互联网协议(Internet Protocol Suite)。归根结底,协议和数据才是互联网的核心要素。在顶层的用户是靠提供数据才能进入这个系统并享受服务。在最初的互联网协议中并没有纳入普通用户或自然人的身份。互联网领域的身份至少有三个层次:身份(Identity)、身份验证(Authentication)和授权(Authorization)。“身份”与社会档案具有一致性。“身份验证”是指获准进入某渠道的资格验证。“授权”则是指获准进行某些操作的授权。用户须提供一系列数据并经过以上三个层次的身份确认才能获得某种网络应用或服务。尽管很多国家采取了“前台自愿,后台实名”的做法,然后台本质上是一种身份信息的一致性验证和备份。实名信息并没有赋予用户在互联网的独立身份。相反,针对不同的服务和平台,用户每次都需要进行注册和验证。这是因为用户与互联网之间并没有独立的安全协议,其信息安全与隐私都由应用层决定。自然人在互联网上的用户身份是碎片式的,而非单一的网络身份。
只要互联网的基本架构不变就很难确立自然人的单一网络身份。即便是被寄予厚望的区块链(Blockchain)恐怕也无能为力。区块链从本质上来说是一项通用技术(General Purpose Technology),可以提供去中心化的信任机制,无需像现有互联网反复对个人进行身份验证。而且通过区块链技术创建的互联网身份具有难以篡改的优点,拥有区块链身份的主体能够有效管理自己的身份数据,只需选择必要的身份数据片段而不必一并提交给应用等优势。单从技术角度看,区块链具有确立自然人网络主体身份的潜力,更利于保护隐私。但任何寄望于单一技术改变现有制度的想法都是幼稚的。互联网发展至今,已形成强大的利益格局和制度惯性,任何结构性的改变都需要付出高昂代价。目前尚未出现任何改变互联网基本架构的趋势。
数据是大数据时代的基本资源,与身份相关的数据价值更高。大数据运营模式以高度集中达到“大”的数据进行集中、流动和占有为前提。这些特征增加了隐私保护的难度。首先,大数据以数据的集中使用为前提。从全球范围来看,大部分用户的数据被锁定在诸如谷歌、脸书、雅虎等大应用运营商的集约式的“数据筒仓”(Data Silos)中。而集中则意味着攻击目标明确和系统性的危险。2013年雅虎10亿用户个人信息被盗。其后公司加强了安全防护,但2017年又发生了雅虎30亿用户个人信息被盗。此类事件频发充分证明了数据高度集中的危害。其次,数据只有在流动中才能实现价值。但大数据处理环节众多且复杂,强调数据主体的控制会削弱数据流动的价值。数据挖掘却是以牺牲人格利益的方式进行的。数据挖掘的目标和方式都不太明确,所以在数据处理前往往无法预先询问相关权利人并获得许可。企业通过数据挖掘发现有价值的模式,从而产生经济价值。而普通用户对数据如何运用却毫不知情,也无法干预。在大数据模式下,数据与个人的联系是动态的,而且其变化难以预测。个人信息与客观数据间的界限更加模糊,信息隐私的保护也更加困难。最后,在大数据条件下用户提供的数据和其活动形成的新的数据并不归其所有,也不由其支配。这些数据是大数据经济的基本资源。在各种数据中,与身份相关的数据无疑是最有价值的。用户如果想终止服务,在绝大多数情况下都无法带走或删除其在享受服务期间产生的数据。当然,在GDPR正式实施后,数据携带已经成为一种权利。一些企业也开始采取积极措施促进不同平台间数据的顺利转移。2017年谷歌、Facebook、微软和Twitter联合发起一项名为“数据迁移”(Data Transfer Project,简称DTS)的开源项目,旨在为用户提供在参与该项目的服务提供商之间直接无缝地移动数据。这无疑是一大进步。但这个项目依然是以数据结构为基础的,包括数据模式、适配器、任务管理库三个组成部分。其中尽管有“验证适配器”的模块,但其重点并非身份的构建,而是数据的转移。主导权仍然在企业或者服务提供商手中。享受DTS的依然是“用户”。更重要的是,数据主体能够携带的数据只是由其提供的个人数据。但必须强调的是GDPR的数据携带权并不包括对数据主体个人行为进行事后分析而获得派生或推测数据。这意味着个人即便销户也无法带走和删除与其相关的大量数据。
(三)规范不足原因:身份即问题
互联网发展早期弥漫着乐观主义情绪。参与构建互联网的技术精英以及富于前瞻性的观察家都将互联网视为自由人的自由联合。甚至认为此种联合势必突破旧制度框架,为人类提供更自由的规范体系。然而,事情并未按此逻辑发展。互联网此后被牟利和控制逻辑主导。待出现种种失范,进而引发规范难题时,法律界才从旁观和跟随中猛醒并发现法律并未做好充分准备。尤其是在互联网中自然人隐私保护缺乏恰当的身份保障。
尽管从直觉出发,信息隐私保护应该首先确定数据或信息的所有权或者归属权问题,即谁拥有数据这个基本问题,并在数据所有权(者)清晰的前提下确定信息隐私保护相关的权利和义务。但事实却并没有循此路线发展。即便是欧盟也只是采取了“数据主体”,而非“数据所有者”的概念作为其个人数据保护的规范基础。尽管有人乐于宣称企业并不拥有个人数据,用户才拥有数据。但此类宣示除了引来叫好外,既不能改变现实,更不能改变规范。实际上,法学界从多个角度力求证明个人对数据的所有权。但无论基于财产权、所有权、知识产权等传统法律路径中的任何一条都难以证明自然人对其数据的拥有。自然人与其数据间到底应该是何种法律联系?这个问题恐怕一时间难于做出实质性的解决。但大数据隐私保护却日渐紧迫。法律有两个选择:一是通过立法改变互联网的结构或者至少改变其运作的部分规则。二是不干预互联网自身发展,从既有法律规范中选取相应机制进行规范。对此欧盟和美国分别选择了不同的路径。
二、欧美信息隐私身份的法律定位分析
欧美大数据隐私法呈现“地方性”特征,分野非常明显。欧盟秉持理想主义创设“数据主体”身份,并赋予其一系列权利,试图提升自然人对其个人数据的控制。美国则采取实用主义立场,充分利用既有法律身份和监管机制进行隐私保护,尤其倚重消费者权益保护机制。总体来说,美国做法更加务实和有效。欧盟做法具有明显的理想性和前瞻性。但从运行实效看,数据主体在大数据条件下难以行使控制权,因而仍是虚悬的主体身份,且过于强调权利也易造成较大的经济和法律成本。
(一)欧盟理想主义的“数据主体”模式
欧盟通过统一立法建构个人数据保护的“精细规制”框架,并且拟制了一个振奋人心的法律主体身份:数据主体。但这并没有解决大数据隐私保护的身份难题。尽管1995年《数据保护指令》(以下简称1995年指令)和GDPR都使用了“数据主体”术语,但分析其规范结构却不难看出这一法律身份充满不确定性。
首先,数据主体具有概念上的不确定性。GDPR第4条(1)项的“数据主体”界定为“已被识别”“任何一个的自然人”,或“可识别”的“控制者或自然人”。为的是区分与自然人的人格紧密相关的个人数据和仅与自然人相关的客观数据。客观数据当然有可能与自然人有关,但只要其关联程度并非足以影响人格,就不必作为个人数据进行法律保护。正因为如此,GDPR将个人资料界定为“任何与数据主体有关的信息”。但这里存在规范层面的不确定性。毕竟“可识别”更多是一个技术和事实层面的问题,很难从规范上对其进行预先确认。大数据条件下的数据处理流程和信息流动过程并没有对应的信息区分机制。相反,在互联网高速发展的情况下,信息的可识别性是高度依赖于技术和营商模式的,而非法律规范。从技术角度看,在某种框架下无法被识别的信息可能在另一个框架下能被轻易识别;过去不能被识别的信息,在新技术下就可能被识别。结合GDPR其他规定来看,在没有技术支持下的法律规范的不确定性就更明显。如第4条(11)项规定“数据主体的‘同意’指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。”但在大数据条件下,“可识别”本来就具有不确定性。数据挖掘后很可能出现新的可识别的数据主体,但在他们“同意”之前,其数据已经被处理和利用。大数据隐私的身份悖谬在第4条两项规定的对照中显得非常清晰。究其原因,就在于“数据主体”并不是一种真正的主体身份,其法律地位依赖于特定数据处理流程和技术。更关键的是,尽管法律上赋予数据主体多种权利,却没有赋予其数据所有权。这是因为立法毕竟无法突破互联网架构和大数据模式造成的自然人与其数据间关系的不确定性。说到底,数据主体概念的重心仍然在于数据,而非主体身份。
其次,数据主体规范地位具有不确定性。数据主体概念暗含的自然人控制其个人数据的观念是难以落实的。自主控制观念在GDPR的文本中虽无正式表述,但在相关说明(Recital)中却有明确阐述。数据主体对数据的控制主要通过一系列控制权得以实现,其中包括访问权、被遗忘权、数据可携带权、免于服从单纯自动化处理决定的权利等。但这些权利都是基于互联网发展早期的现实提出的。在大数据时代,几乎所有数据控制权遭遇了现实的失败。数据控制权主要依赖数据控制者和处理者主动履行相关义务才能行使。欧盟将数据处理涉及的行为者分为数据控制者(Data Controllers)和数据处理者(Data Operators)。数据控制者掌握数据处理的主动权,而且是数据集中和处理的枢纽,因此承担更多的数据保护义务。互联网经过多年发展后已经形成了规模效应。绝大部分数据都由几个大公司掌握和运用。欧盟抓住了互联网应用层高度集中这一特征,重点规制大企业的数据处理。Google Spain案中,欧盟法院将搜索引擎界定为数据控制者,引发了很多争议。在很长一段时间内,大多数人都认为搜索引擎只是一个中性的提供便利的平台。法院的判决直接改变了搜索引擎企业的法律地位,课予其更多的法律责任,变相地促使其主动调整了自己的隐私政策和数据处理流程。相较而言,在欧盟数据保护制度中“数据主体”基本上是一个被动的“受益者”。欧盟官方和民间并没有更多考虑如何加强数据主体的自我约束,而是努力扩展数据主体的使用豁免,使其不必承当过重的法律义务。个人网络行为变化带来的高度隐私风险最终被转变为更沉重的企业责任。
最后,数据主体的实施质效有很大的不确定性。从实际情况看,数据主体人为拔高用户地位的做法的代价是明显的。首先是经济方面的代价。高标准和比较僵化的合规条件导致欧盟区域内的互联网企业创业和运营成本都比较高。尽管欧盟一直力推单一数字市场计划,但其互联网经济发展缺乏动力。欧盟的互联网管制模式不仅拖累了欧盟企业,也打击了其他国家和地区互联网企业在欧盟开展业务的信心。在GDPR生效两个月后,便有一千多个美国新闻媒体在欧盟无法访问。其中不乏因为合规成本过高而主动和彻底放弃欧盟业务的媒体。欧盟这种高举数据主体权利的做法还引发了法律规范方面的危机。尤其是欧盟将自己的数据保护标准强加给他国的做法不仅有借权利之名设立数据贸易壁垒之嫌,而且缺乏坚实稳固的规范理由,容易引发国际法和公法方面的规范争议。
尽管存在一些不足,但欧盟通过统一立法创设数据主体的先进性是毋庸置疑的。1995年指令以及2018年生效的GDPR在全球造成了巨大影响。包括我国在内的很多国家在隐私保护规则制订方面都深受欧盟影响。尤其需要指出的是,2018年印度和巴西这两个人口大国在隐私保护立法方面都取得长足进展。两国在信息隐私身份设定方面都明显受到欧盟数据主体概念的影响。2018 年8 月14 日,巴西《通用数据保护法》(Lei Geral de Proteção de Dados,简称LGPD)获得通过并将于2020年2月正式生效。LGPD采用了“数据主体”的概念。无独有偶,2018年7月印度推出《2018 年个人数据保护法案》(The Personal Data Protection Bill)尽管没有采取欧盟“Data subject”的表达,而是采用了“Data principal”的表述,但其功能和界定都与欧盟“数据主体”如出一辙。和法案一并提交的报告简洁明了地解释了将个人界定为“数据主体”的原因:“个人必须是数据主体,因为她是数字经济中的焦点行动者”。但正如前文分析得那样,大数据经济中个人的实际地位是被动和卑微的,大企业和政府才是真正的主角。无疑,印度和巴西延续了欧盟在个人数据保护领域的理想主义。考虑到欧盟、印度和巴西共有人口20多亿,不能不说“数据主体”是一个非常成功的法律概念。
(二)美国实用主义的“消费者”模式
美国选择了一条充分利用既有法律并尊重互联网现有架构的实用主义道路。美国在联邦层面没有对信息隐私保护进行统一立法的计划,其信息隐私保护规则分散在各个传统法律部门中。由此,美国隐私法又呈现出“九龙治水”的态势。仅以互联网监管来说,美国联邦贸易委员会(以下简称FTC)和美国联邦通讯委员会都有自己的管制领域。但经过多年发展,FTC已经成为美国最重要的信息隐私保护机关。很多学者认为FTC在美国数据保护体制中的地位实际上相当于欧盟法中的数据保护机关(DPA)。进入信息时代后, FTC以消费者保护机制为核心建立起一套信息隐私保护的“新普通法”。
FTC保护信息隐私的规范基础主要是《联邦贸易委员会法》第5条的规定。除此以外,FTC还有权执行一些比较具体的与隐私相关的法律,例如《反垃圾邮件法》《儿童在线隐私保护法》《电话营销与消费欺诈滥用防治法》等。FTC享有的这些执法权涵盖消费者权益的各个方面。而且通过对《联邦贸易委员会法》第5条的扩充适用,FTC还将消费者隐私保护的触角延伸到各种新兴的实践领域。尤其是“不公平和欺诈”本身就是有意设置的宽松表述方式。FTC据此在数据安全和隐私保护方面获得了非常广泛的权力。比如FTC可以采取强制执法措施制止违法行为,还可以要求企业采取积极整改措施,并可以追缴企业违法行为的不当得利,责令企业删除非法获取的消费者信息,协助消费者获得赔偿救济等。对某些违反隐私法令和规则的行为,FTC还可以直接主张获得民事罚款的支持;还可以向企业和消费者宣传法律规定,在有关消费者隐私的领域提出立法建议或监管方案,组织召开相关研究和研讨,开展全球隐私保护的国际合作等。FTC的执法范围已经覆盖到线下、线上以及移动端,执法对象更囊括了Google、Facebook、Twitter、Microsoft在内的知名企业。FTC有关消费者隐私权的执法重点虽然是美国本土消费者权益保护,但保护触角延展至全世界各地的消费者,避免他们遭受FTC管辖范围内企业不公平或欺诈行为的侵害。
除了联邦之外,美国各州也倾向于依托消费者身份进行信息隐私保护。这一点可从令人瞩目的《2018年加州消费者隐私法案》(The California Consumer Privacy Act of 2018,以下简称CCPA)看出。CCPA之所以引发全世界关注,除因作为全球第五大经济体加州具有重要地位外,还与其明显受欧盟GDPR影响有关,同样高扬数据权利的立场。但CCPA仍保持着美国隐私法的特征。首先,仍然通过消费者身份保护信息隐私。在CCPA中“消费者”被界定为“作为加利福尼亚州居民的自然人”。这种界定非常宽泛,并没有像欧盟那样新增法律身份,为通过消费者范畴扩展隐私保护奠定了基础。从效果来看,在美国隐私法中,消费者几乎是与自然人相同的概念,只不过更强调了自然人在商业活动中相对弱势地位而需要被保护的特征。其次,尽管设立了若干新权利,但CCPA仍然是以隐私权为规范基础的。而欧盟在推出一系列“个人数据保护权”后,隐私权实际上已经“退居二线”。最后,CCPA的规范重心是商业活动,而非欧盟式的数据控制。CCPA设定的数据合规义务主体是各类企业,其监管对象是符合一定条件且对消费者隐私产生影响的企业经营行为。综合来看,CCPA虽然借鉴了GDPR的精神,但从本质上说仍然是典型的以消费者保护为中心的美式隐私保护法。
消费者身份也一直是美国联邦层面统一隐私保护立法规划依赖的法律身份。2012年2月23日,美国联邦政府提出一项名为《消费者隐私权法案》的立法框架。这份权利法案以消费者身份为基础提出了数字经济时代隐私保护的原则性规定。这些规定没有直接的法律强制性,互联网公司可以自愿选择是否采纳这些原则。然而一旦公开承诺遵守这些原则的互联网公司公然违反法案提出的原则就将面临FTC提起的强制诉讼。尽管至今美国联邦层面仍未出台正式和统一的信息隐私保护立法,但在2012年后提起的数次立法动议中都将消费者作为信息隐私的基本法律身份。2018年Facebook深陷“剑桥分析”事件引发美国朝野各界关于隐私保护联邦统一立法的讨论热潮。行业组织、大型互联网企业、权利保护团体、政府机关甚至是部分议员个人纷纷提出各种立法建议。这些立法建议的权利设置和法律用语都反映出欧盟GDPR的明显影响。但政府层面却依然保持了制度和用语方面的稳定性。2018 年9 月26日,美国联邦国家电信和信息管理局(NTIA)代表商务部公开征集“发展消费者隐私管理办法”的意见。这次征集意见的文件中提出了未来联邦政府层面隐私保护的基本框架。而其沿用了之前联邦政府类似文件中“消费者隐私”的术语。2018年12月19日,美国华盛顿哥伦比亚特区总检察长向特区高等法院提起诉讼,针对剑桥分析事件中Facebook违反《特区消费者保护程序法》起诉Facebook。作为剑桥分析事件在美国本土引发的第一起诉讼,该案也是基于消费者身份提起的。以上这些都充分说明消费者身份在美国隐私法中具有根深蒂固的地位。
(三)身份设定差异对欧美隐私监管逻辑的影响
综上,欧美信息隐私的法律身份设定存在明显差异。欧盟通过拟制数据主体这一法律身份,提升了信息隐私主体的法律地位。但由于前文所述各项原因,数据主体的身份设定实际上有不顾现实拔高自然人网络地位的嫌疑。这种法律定位与实际地位的差异体现在监管逻辑上的双层结构。从表层来看,欧盟似乎高举信息自决的旗帜,数据主体通过行使权利对数据处理过程进行自主控制,进而实现信息隐私保护目标。但这只是表面现象。实际上,由于互联网的基本架构并非由欧盟主导建成。欧盟也必须服从现有互联网的技术和产业规则。由于自然人在大数据条件下缺乏单一网络主体身份,欧盟的信息隐私保护同样无法依赖信息自决和意思自治实现。在深层结构上,监管才是欧盟信息隐私保护真正的主导机制。实际上,在GDPR还未生效的2016年,“欧洲监管中心”(Centre on Regulation in Europe,以下简称CERRE)就曾经发表报告指出,GDPR的主要规则都是公法性质的。尽管GDPR中也预留了一些通过私人行为影响数据处理过程的空间,但这些私人行为都是从公法角度构思的,且仅仅是公法监管行为的补充或辅助。CERRE呼吁应该为私法机制留下更多空间。但这种呼吁是缺乏现实依据的。数据主体只是一种虚悬的法律拟制身份。自然人想依靠这种身份对抗强大的互联网企业进而自主控制个人数据处理过程,无异于痴人说梦。
欧美通过监管互联网企业数据处理进程来保护信息隐私。“监管即隐私”是欧美共同遵循的深层逻辑。然而,由于欧盟设定的数据主体的权利不能脱离监管手段而独立存在。这种双层结构加剧了法律与现实之间的落差,明显提高了信息隐私保护的制度成本。美国则采取了务实的经验主义渐进逻辑,利用既有法律机制,顺应时代要求对相关法律手段进行强化和发展。由于没有系统地设置新型权利,美国信息隐私保护反而能直面问题,更好地兼顾各种利益。此外,欧美的规制重点也不一样。欧盟看重个人数据处理过程的规制,美国则重点从消费者权益保护角度进行规制。欧盟注重事前的合法性基础,从原则上说,没有合法理由就不能处理数据。而美国则对企业数据处理的活动采取了更加灵活和宽容的态度,但对违法行为的事后追究非常严厉。相比之下,欧盟设定数据主体的制度成本甚为巨大,严重影响了互联网经济的发展,也未能实现自主控制个人数据处理进程的目标。美国依靠消费者身份保护信息隐私,看似比较被动,但却充满了保护主义的温情和规制主义的实效。从效果来看,消费者这个看似比较被动的身份并没有阻碍美国信息隐私保护的健康发展。美国消费者对互联网安全也比欧盟的数据主体更有信心。据统计2017年美国成年公民通过网络购物的比例是69%,比欧盟高12个百分点。
三、我国信息隐私保护的身份定位思考
由于尚无统一的个人信息保护法,我国法律关于信息隐私的身份规定呈现多元性。尽管我国也无法逾越大数据网络架构去破解信息隐私身份悖谬,但未来立法可兼采欧美模式之长,赋予用户恰当的法律身份,适度提高信息隐私身份定位,稳健妥夯实信息隐私的保护机制。
(一)信息隐私身份术语的文本分析
我国信息隐私保护的身份定位仍然模糊。这一点在法律用语方面体现得非常充分。综合来看,现有法律规范中涉及隐私身份的术语大致有如下几种情况:
1.“个人”。《民法总则》使用了“个人” 、“他人”的表述。第111条规定自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。在刑法领域,更倾向于加上“公民”二字,使用“公民个人信息”的表述,例如刑法修正案九中规定的“侵犯公民个人信息罪”。在2011年实施的国家标准《信息安全技术术语》(GB/T 25069—2010)中也是用“个人”这个术语来描述“隐私”的:“个人所具有的控制或影响与之相关信息的权限,涉及由谁收集和存储,由谁披露。”2018年实施的《个人信息安全规范》(GB/T 35273—2017)沿用了 “个人信息”(Personal information)这个术语,并以一种非常接近GDPR的方式将其界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。
2.“用户”。《网络安全法》第四章“网络信息安全”大多数条文与个人信息保护有关。其中第40条和47条使用了“用户”的表述。需要注意的是,该章其他条文大多使用的是“个人”这种表述。同样规范“网络运营者”义务的第40条和第41条,前者使用的是“用户”,后者使用了“个人”。另外,在相关国家标准中“用户”是常见的技术术语。例如《信息安全技术术语》中专门界定了“用户标识”、“用户数据”等术语。
3.“消费者”。尽管“消费者”和“个人信息”是连用的,但《消费者权益保护法》第29条规定的关键身份无疑是消费者,其指向的也是消费者的数据和隐私。因此和“个人信息”的表述是明显不同的。
4.“个人信息主体”。自2013年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》(GBZ 28828-2012)使用“个人信息主体”这一表述后,其后推出的国家标准就更倾向于使用这一与GDPR“数据主体”非常接近的术语。例如2018年生效的《个人信息安全规范》以及2018年《个人信息安全影响评估指南(征求意见稿)》中都使用了“个人信息主体”这种表述,并将其界定为“个人信息所标识的自然人。”
(二)信息隐私身份的法律实效性分析
我国现有各类信息隐私身份的法律实效性存在明显差异。总体而言,身份越具体,法律规定就越有实效。尽管学界多以“个人信息”描述大数据隐私,但除刑事法律规范外,以“个人”为身份定位的规范通常都只是宣示或原则规范。《民法总则》第111条的规定就属于这类规范。该条文中的“他人个人信息”是一个不确定的概念。到底是他人的个人信息,还是涉及他人的个人信息,或是涉及他人人格的个人信息?语焉不详。法律关系也不太清晰。个人信息到底是一种财产还是其他性质的民事法律关系的客体?更重要的是,该条文中的“信息安全”严格来说并非民法概念。至少民法领域并没有专门而系统的信息安全原则。而“不得非法”之后的表述就更没有实质性的规范内容。毕竟首先应该有规范内容较为确定的民事法律原则和规范,才谈得上非法。综合来看,《民法总则》第111条中并无切实可行的法律机制,属宣示性规定。传统民事法律机制难以成为大数据隐私保护的主导机制。实践中,公民个人信息遭侵害后通过提起民事侵权诉讼维权的效果大多令人失望。即便是《民法总则》颁布后,个人提起的隐私权纠纷案件仍呈现“侵害规模大、胜诉比例低、诉讼动力不足”的特点。还有一些以“个人”为身份定位的规范属于原则性规范。这类规范提出了隐私保护应该遵循的原则,但没有可执行的机制和相应的法律后果。例如《网络安全法》第41条规定了若干个人信息安全的原则,包括合法、正当、必要、同意、合法等。但在该法中并未规定这些原则的执行机制。亟需立法补充相应监管机制。
相比而言,身份定位为“消费者”、“用户”或“个人信息主体”的规范往往属于可执行规范。这类规范对应可执行的隐私保护机制,而且能直接或间接地引发相应法律后果。消费者身份对应于消费者保护机制,用户和个人信息主体则对应于互联网或相关行业监管机制。以《消费者权益保护法》第29条为例,尽管表述上比较原则,但该条文有明确的行为规范,如消费者同意,经营者公布规则,不得泄露、出售、提供信息,非经同意不得向消费者发送商业信息等。需要注意的是,这些规定处于《消费者权益保护法》第三章“经营者的义务”,而没有规定于第二章“消费者的权利”。相关机制也更多都是经营者义务机制。而关于消费者权利的规定在该法第二章有原则性的规定,例如第1条“消费者在购买、使用商品和接受服务时享有人身、财产安全不受损害的权利。”第14条“消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。”除了消费者身份外,“用户”和“个人信息主体”身份关联的可执行规范往往表现为对网络运营者或相关业者有直接约束力的国家标准。尤其是“个人信息主体”虽然仅仅出现在国家标准中,尚未成为正式立法用语,但国家标准往往具有很强的实际效力。例如2018年1月6日,因支付宝、芝麻信用收集使用个人信息的方式不符合《个人信息安全规范》的精神,也违背了两家公司签署的《个人信息保护倡议》承诺,国家互联网信息办公室网络安全协调局约谈了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人。两家公司后续都对各自平台进行了相应整改。
(三)妥善设置信息隐私身份的几个关键问题
互联网内在的技术与产业逻辑是非常强大的。信息隐私的身份悖谬在短期内是难以得到根本解决的。我国未来立法也应尊重大数据的刚性架构,在充分借鉴欧美经验教训的基础上,探寻出化解信息隐私身份悖谬的规制路径。具体来说,有三方面问题特别值得注意。
第一,理性提高信息隐私身份。尽管如前文所述,在大数据条件下,自然人并无真正的单一网络身份。但通过立法合理设置信息隐私身份可以引导和调整互联网发展,构建更有利于信息隐私保护的制度环境。鉴于目前我国已有的相关国家标准已经充分吸收欧盟GDPR的术语和权利体系,而且GDPR也确有一定先进性,未来《个人信息保护法》可以采用“个人信息主体”这类与数据处理监管关联紧密的法律用语。原因是作为具有成文法传统的国家,个人信息保护法对信息隐私身份做出妥善规定有利于我国信息隐私保护法律规范体系的建构,对社会实践的引导作用非凡。其次,现有的人大及人大常委会制定的法律中确定的隐私身份主要有三种:个人、消费者、公民个人。个人身份定位过于泛泛,不能适应个人信息保护的规范需要。公民个人身份在刑法领域适用,不宜作为个人信息保护的基本身份定位。消费者身份定位虽然对应一些可执行规范,但由于我国消费者权益保护法远没有美国那样发达和有力,因此也不宜模仿美国将消费者作为个人信息保护的基本身份定位。所以我国应该在信息隐私身份设定上有所创建。最后,作为世界上最大的互联网经济体,我国应该能够在信息隐私保护方面起到一定引领作用。个人信息主体这个身份定位既强调了自然人在信息保护领域的特殊性,又从法律上拔高了自然人在互联网中的地位。尽管目前确立自然人单一网络身份的条件尚不成熟。但未来的互联网发展应该能逐步确立自然人的单一身份。我国个人信息立法既要总结过往经验,也应该面向未来。确立个人信息主体的法律地位是符合未来趋势的。需要特别说明的是,立法确立个人信息主体目前仍是引导性的而非实质性的措施。其实质是通过立法适度超前地提高自然人的网络地位,引导互联网走向尊重人格和隐私的发展道路,而非不顾现实地宣告自然人网络主体地位的确立。只要相关机制设计合理完全可以避免欧盟拔高数据主体地位造成的不良后果。
第二,务实规定信息隐私权利。设定个人信息主体身份未必就会产生欧盟数据主体权利导致的负面后果。关键在于个人信息保护立法应有意识地避免设立难于实现或有较大副作用的权利。个人信息主体地位当然需要一系列权利的支撑才能成立。但不宜盲目跟从欧盟的规定。我国完全可以利用后发优势,对欧盟相关权利的运行效果做出综合研判,在此基础上,结合国情和需要谨慎务实地设计相关权利体系。此外,未来立法和执法中也应该注重加强对个人信息主体义务的设定和教育。在加强法律保护的同时提升个人信息主体的自律意识和自我保护能力。毕竟唯有具备一定的自律和责任意识的自然人才堪称个人信息主体。否则只是被动和软弱的数据保护的“受益者”而已。
第三,充分利用既有信息隐私保护机制。个人信息保护法的规范重点应该是政府监管机构、监管机制和监管义务。2017年日本个人信息保护法基本上就是循此逻辑立法的。我国个人信息保护立法不宜像欧盟那样在法律层面过细规定数据处理流程。毕竟立法一旦通过就具有制度刚性,过于精细的监管容易影响产业发展。个人信息保护法应该是原则性的统一立法。未来我国适宜多头并进,以讲求实效的精神,充分利用和发展现有保护机制。我国学界和实务界越来越多地倾向于欧盟GDPR的统一立法模式和数据保护制度。但GDPR建立的数据保护制度是具有强制法律效力的,而我国相关国家标准只具有引导功能。更关键的是,我们是否就应该走欧盟的大数据隐私保护路径?在现有互联网架构和大数据模式下建构起一个拟制的网络法律主体身份,其代价和阻力是非常大的。作为世界最大的互联网经济体,借鉴欧美的经验需要慎之又慎,尤其是欧盟的互联网法律规制方法在经济领域造成的负面效果是不容忽视的。比较现实的路径是“刚柔并济”。“柔”是指继续加强国家标准等规范性文件的制订和适用,综合运用警示约谈、行政指导、劝导示范、行政检查、行政奖励等柔性执法方式保护信息隐私。欧盟本身的实践证明强硬地推行会造成经济和法律层面的负面效果。所以,我国应用柔性观念去引导产业发展和制度建设。其次,我国应加强“刚”性有执行力的法律机制的发展与建设。除了制订个人信息保护法外,还应对现有法律机制进行梳理,充分利用和发展包括消费公益诉讼在内的法律机制对抗大型互联网企业大规模侵犯数据隐私的现象。在未来立法中做好顶层设计,谨慎规划,逐步规范隐私身份法律术语,重点加强具有执行力的大数据隐私保护机制的设置。