查看原文
其他

华政学报 | 刘泽刚 欧盟个人数据保护的“后隐私权”变革

刘泽刚 华东政法大学学报 2022-04-25

欧盟个人数据保护的“后隐私权”变革



刘泽刚,西南政法大学副教授。本文系2014年重庆市社会科学规划项目“大数据时代的隐私风险与法律规制变革研究”(项目号2014YBFX107)的阶段性研究成果。


目 次

一、欧盟个人数据保护权的由来与内容

二、后隐私权变革:个人数据保护权兴起的多重意义

三、欧盟个人数据保护权的局限

四、欧盟个人数据保护权对我国的启发意义



摘 要 个人数据保护权的兴起是大数据时代法制发展的新动向。在欧盟范围内,个人数据保护权取代隐私权,成为信息隐私保护和数据保护法制重构的首要权利。个人数据保护进入“后隐私权”时代。与强调消极防御的隐私权不同,个人数据保护权具有鲜明的主动防护特征。与人格权、信息自决权相比,它的规范内容更加确定。欧盟力推个人数据保护权兼具浓厚的法律和产业背景。棱镜门事件后,个人数据保护权的影响力突破区域局限,对全球大数据时代相关市场和法律规范重构发挥重大作用。然而,个人数据保护权也不是没有成本的制度设置,运用不当可能拖累互联网经济发展,甚至会产生保护主义的过度防御问题。我国应对欧盟个人数据保护权的效应进行综合研判,可在规范基础、制度结构和法律形态方面对其进行适当借鉴,但不宜盲目照搬其立法形态。


关键词 个人数据保护权 隐私权 人格权 信息自决权 个人数据保护法


“互联网时代精神教父”凯文•凯利(Kevin Kelly)调侃法律“是一组写在纸上而不是电脑上的复杂条款。工作速度慢;计算的对象是公正与秩序(理想状态下)”。尽管如此,他仍然认为“法律有利于人类进步”的观念使“烦琐的法律体系巩固了西方社会的基础”。无论法律能否促进人类进步,它都必须与科技共同演进,否则难以维护公正与秩序。20世纪70年代以来,人类逐步走向信息社会,以隐私权为基础的个人数据保护法制应运而生。但近年来,个人数据保护权(The right to protection of personal data) 取代隐私权成为欧盟数据保护的基础权利。个人数据保护进入“后隐私权”时代。这是信息隐私和个人数据保护领域的重大变革。分析个人数据保护权的特征、意义与局限,对理解信息法制的发展趋势以及构建我国相关制度是有价值的。

 

一、欧盟个人数据保护权的由来与内容

 

(一)由来

2016年4月27日,欧盟通过了《通用数据保护条例》(General Data Protection Regulation)(以下简称《条例》)。《条例》经两年过渡期后取代1995年95/46/EC号指令 于2018年5月25日正式生效。这标志着欧盟建立了统一的个人数据保护法制。

20世纪70年代以来,西方各国陆续建立个人数据保护法制。但各国对个人数据保护的重视程度不同,法律规定各异,甚至存在冲突。为改变这种状况,欧盟推出1995年指令。该指令的基本目标有二:一是协调各国对自然人在数据处理领域的基本权利和自由的保护;二是保证成员国之间个人数据的自由流动。因此,欧盟统一的个人数据保护框架本身就是为了改善相关权利和自由的保护而产生。1995年指令设立了所有欧盟成员国必须遵守的个人数据保护和流动的准则,但允许成员国依据自身情况,施行合标准的规则。该指令不仅极大改善了欧盟区域内个人数据的保护,更推动了全球信息法制的发展。因为指令特别强调应限制向不具备充分数据保护水平的国家传输数据,促使欧盟主要贸易伙伴纷纷调整或建构自己的个人数据保护标准,进而推动了全球个人数据保护秩序的建立。

然而,法律的脚步往往落后于现实的发展。在1995年指令颁布时只有约百分之一的人使用互联网。进入21世纪后,互联网已成为人们生活和工作的基本工具。社会网络网站、云计算、定位技术给人们带来便利的同时也潜藏着新的风险。另外,欧盟内部个人数据保护一体化的进程缓慢,相关法律要求和规则往往被忽视,相关权利的应用也十分有限。在2011年的一项调查中,百分之九十的欧洲人希望在欧盟范围内有同等的数据保护。

基于此种情况,欧盟委员会(European Commission)于2012年1月25日向欧洲议会以及欧盟理事会提出了《关于涉及个人数据处理的个人保护以及此类数据自由流动的条例的建议》。各界原本期望该条例草案于2014年经过立法程序确定其效力。然而,由于引发的争议过大,经过大幅修改后在2016年4月方完成立法程序。虽历经周折,《条例》出台仍然标志着适应信息社会的个人数据保护法制在欧洲诞生。与1995年指令相比,《条例》可谓焕然一新。实际上,该条例如此“难产”,主要是因为欧盟想要避免立法出台就落后于现实。为此,欧盟特别在意这部条例的前瞻性和适应性,在多种机制和规范方面有所创新。但最大的变化无疑是权利基础的变化。1995年指令第1条规定:“为与本指令相一致,成员国应当保护自然人的基本权利和自由,尤其是与数据处理有关的隐私权。”《条例》第1条则变为:“本条例保护自然人的基本权利和自由,尤其是他们的个人数据保护权(their right to the protection of personal data)。”这绝不仅是表述上的调整,而是意味着个人数据保护权取代了隐私权成为欧盟数据保护法制的首要权利。《条例》对个人数据保护权的规定宣告个人数据保护从此有了明晰的权利基础,摆脱了过去以隐私权为主但又难于精确描述的尴尬状态。

(二)内容

个人数据保护权最早见于2000年《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union,以下简称《宪章》)。2007年《里斯本条约》更是将这一权利作为欧盟的一项构架性权利。《宪章》第8条“个人数据保护”(Protection of personal data)第1款规定:“每个人都拥有保护与他(或她)有关的个人数据的权利。”在该条第2款、第3款中没有进一步规定个人数据保护权的具体内容,而是简要概括了个人数据合法处理的一般原则。作为里斯本条约的一部分,《欧洲联盟运作方式条约》(Treaty on the functioning of the European Union)第16条的规定与《宪章》基本相同,也主要是宣告性的,没有具体内容。《条例》首次集中规定了该权利的具体内容。

其实,1995年指令中已经罗列了《条例》中的大部分权利。但这些权利条款分散于指令第二章“关于个人数据处理合法性的一般规则”的第二节、第三节、第四节、第五节和第七节等部分。《条例》则在第三章以“数据主体的权利”(Rights of the data subject)命名,并用较大篇幅集中规定了权利内容。这说明个人数据保护权已经具备独立和整合的形态。第三章规定的各项权利的主体是数据主体(data subject)。而个人数据保护权的主体是一切自然人。从字面上看,数据主体的权利与个人数据保护权并非同义。但遵循条例的内在逻辑,不难发现这两种表述的内涵基本是一致的。关键在于,条例是通过界定“数据主体”的方式来定义“个人数据”的。按照《条例》第4条的定义,数据主体是指“一个已被识别的自然人或者控制者或其他自然人或法人可通过合理可行的直接或间接手段识别的自然人,特别是通过身份证号码、位置数据、在线身份或者一个或多个与其身体、生理、基因、精神、经济、文化或者社会身份有关的特殊因素来确定的人”。强调已被识别或可识别性的特性,为的是区分与自然人的人格紧密相关的个人数据(personal data)和仅与自然人相关的客观的数据(data)。当然,客观数据有可能与自然人有关,但如果这种关联程度并非足以影响人格,就不必被视为个人数据并纳入法律保护的范畴。而《条例》将个人数据简洁明了地界定为“任何与数据主体有关的信息”,实际包含了对数据主体的严格要求。此外,第三章实际上还规定了数据主体之外的各方当事人的义务和权利,例如数据控制者的义务、数据接收者的权利等。整体来看,应当将《条例》第三章的规定视为个人数据保护权的主要内容。

个人数据保护权是个集合概念,包含五个方面的多种具体权利和相关义务。(1)透明性和方式。这部分规定了数据控制者的一系列义务,包括提供透明的信息和沟通;为数据主体行使权利建立相应程序和机制,以及对数据接收者的沟通义务。后者被表述为“涉及数据接收者的权利”(Rights in relation to recipients)。(2)告知和获取数据。包括告知数据主体(Information to the data subject)和数据主体接触数据的权利(Right of access for the data subject)。(3)编辑和删除。包括修改权(Right to rectification)、删除权(Right to erasure)、数据便携性的权利(Right to data portability)。(4)拒绝权和自动化的个人决策的权利。即拒绝权(Right to object)和自动化个人决策方面的权利,包括存档(Automated individual decision-making, including profiling)。(5)限制条款。规定了对个人数据保护权进行限制必须遵守的条件与形式。删除权和数据便携性的权利是1995年指令没有规定的。另外,《条例》对同意权的规定更为严格,数据主体的同意只能是具体的,不能被假设。很明显,这些规定有利于提升人们对自身数据的控制能力。

个人数据保护权的效力已为实践肯定,并成为未来欧盟个人数据保护领域最具实效的权利。从实质内容上看,虽然1995年指令采用的是关于个人数据处理的隐私权保护这样的表述,但其基本精神与个人数据保护权是一致的。在司法领域,个人数据保护权早已获得了欧洲法院判例的支撑。其中比较著名的是与德国相关的两个合并处理的案件。2008年两原告向德国黑森州(Land of Hesse)有关当局申请欧洲农业担保基金 (EAGF)和欧洲农村发展农业基金 (EAFRD)的资金支持并获得批准。按照欧盟相关条例的规定,“德国联邦农业与食品办公室”这一联邦机构(Bundesanstalt)的网站有义务刊登关于他们的数据。两原告诉请威斯巴登行政法院要求黑森州不要刊登关于他们的数据,因为这将会侵犯其个人数据保护的基本权利。德国法院提请欧洲法院审查欧盟相关规则的合法性。欧洲法院最后支持了原告的立场,认为欧盟相关条例一般而言侵犯了受益者私生活受尊重的权利,尤其是侵犯了他们的个人数据保护权。

近年来,欧盟多个成员国通过的一系列支持“被遗忘的权利”的判决,更是秉持了《条例》的基本精神。

 

二、后隐私权变革:个人数据保护权兴起的多重意义

 

个人数据保护权的兴起有着明显的规范和建构意义。它不仅是“后隐私”时代个人数据保护法清晰的规范基础,还提供了一个法律与数据处理双向建构的可持续发展框架。此外,尽管个人数据保护权是在欧盟框架内兴起的,但已经发挥明显的域外效力。个人数据保护权已经并将持续推动全球个人数据保护标准的发展和提高,其理念和实践已经改变了跨国互联网企业的隐私政策,推动美国提升其对欧盟公民的隐私保护力度,而且还引发了一些国家对欧盟标准的效仿。

(一)规范意义

个人数据保护权为欧盟个人数据保护制度提供了清晰的权利基础。相较于隐私权,个人数据保护权对信息隐私的保护力度更大。

1.为个人数据保护法制提供了清晰的权利基础

20世纪七八十年代,个人数据保护法兴起伊始,各方对其权利基础的认识是比较模糊的。因此,最早的一批法律规范使用的都是“隐私和个人自由”之类比较宽泛的说法。直到20世纪90年代,这种情况也没有得到改观。欧盟个人数据保护制度从建立伊始就毁誉参半。其中有一个重要原因,就是很多人认为数据保护缺乏坚实的法律权利支撑。尽管1995年指令明确其权利基础是“自然人的基本权利和自由,尤其是与数据处理有关的隐私权”,但有观点认为欧盟误导公众相信其数据保护是对既存的基本权利的执行,却从来没有对隐私权进行立法规划所要求的精确界定与分析。《条例》将个人数据保护权作为基本权利,第一次为欧盟个人数据保护法制设定了清晰的权利基础。

除隐私权外,还有很多人支持将人格权或信息自决权作为个人数据保护的基础性权利。由于这种观点在国内也有一定市场,所以有必要对这两种权利的不适应性做些分析。

个人数据兼具人格和财产性质。个人数据保护虽涉及财产,但其重心却在人格。那么个人数据保护权是不是就能归为人格权呢?这样的想法似乎很有道理,也为很多国内学者支持。但“人格权”是一个目的论色彩很强的概念。即便是在重视一般人格权的德国,其内涵也是比较模糊的。德国宪法层面的人格权的规范依据是《基本法》第2条第1款的规定:“人人享有个性自由发展的权利,但不得侵害他人权利,不得违反宪法秩序或道德规范。”后经德国联邦宪法法院的一系列判例逐渐确定了其特征和功能,但“一般人格权,相较于出版自由、艺术自由和其他传播基本权而言,属于典型的对比权(Kontrastrecht)”。也就是说,一般人格权主要是在与其他权利的权衡中起作用的一个功能性概念,明显不太适合用于个人数据保护这样的具体情境中。此外,隐私权在德国法中并无明文规定,相关法益是藉由一般人格权来加以实现的。但这只能算德国法的特点,而不能算是可以普遍推广的优点。德国《联邦数据保护法》规定:“本法的目的在于防止个人隐私权在个人数据处理中受到侵害。”这里使用了在德国并无实定法地位的隐私权的表述,主要是因其国内数据保护立法必须受欧盟背景影响。因为欧盟长期主张隐私权是个人数据法制要保护的首要权利。但换个角度看,如果使用一般人格权的表述恐怕会产生更多的不确定性。总体来看,人格权和一般人格权都是抽象和宏阔的权利概念,并不太适合个人数据保护这种非常具体的情境。

信息自决权(Recht auf informationelle selbstbestimmung)是源自德国的一个权利术语。此概念最早见于1983年联邦宪法法院“人口普查案” (Volkszählung)的判决。有不少学者认为信息自决权是个人数据保护的基本权利。甚至有学者认为欧盟数据立法也应该重新调整,将规范基础建立在德式信息自决权基础之上。很明显,这种观点没有得到欧盟立法和司法的支持。在经常被引用的相关案例中判决最终依据的是比例原则而非信息自决权。联邦宪法法院曾明确指出信息自决权概念的提出仅仅是为了凸显一般人格权。 20世纪80年代,计算机使用尚不普及,移动通信和互联网技术仍不成熟。那时要获取、处理和利用个人数据是比较困难的,个人在理论上仍可以支配与其相关的信息。反观今日,人们深陷信息技术编织的无边大网,信息自决绝非数据主体单枪匹马便可做到的。在大数据时代,把“控制”作为隐私的基础很可能是一种“错位的信任”(Misplaced Confidences)。相反,即便是有限的“自决”也要以复杂和高效的个人数据法律保护机制为前提。况且信息自决权本身的内涵也不甚确定,很难被数据保护法援引作为具体保护规则的依据。对德国之外的国家来说,费劲地引入信息自决权恐怕很难获得实定法规范的支撑。毕竟不是所有国家都有一般人格权的传统。信息自决权对全球层面的个人数据保护法制来说基本是一个冗余的权利。

综上所述,人格权和信息自决权都不适合作为个人数据保护的权利基础。而隐私权之所以在个人数据保护领域“退居二线”,则是由于个人数据保护权能为信息隐私提供更有针对性和有力的保护。

2.为信息隐私提供了比隐私权更有力的保护

2000年《宪章》将第8条“个人数据保护”与第7条“对私人和家庭生活的尊重”并列。似乎有意强调个人数据保护权与传统隐私权的差别。但我们不能过度推理认为个人数据保护权就是一种与隐私权完全无关的权利。欧盟委员会在条例建议中阐述基本权利事项时,声称个人数据保护权与隐私权紧密关联。欧洲法院也持有同样立场,在一个判决中明确指出个人数据保护权与隐私权是紧密相关的。欧盟官方的立场是个人数据保护权是一种独立的权利,但该权利与隐私权息息相关。至于两种权利的关联性到底是什么?欧盟官方文件与实践却没有全面和明确的界定。比较合理的看法是:尽管在表现形态上明显突破了传统隐私权的特征,但个人数据保护权仍是隐私权在互联网条件下的升级表现形态。在互联网时代,隐私权最大的变化发生在信息领域。信息隐私的对象并不局限于业已存在的私隐信息,而是广泛表现为个人数据挖掘加工过程产生的各种数据权益。信息隐私的保护方式也不局限于保密或不公布,而是更看重在利用的过程中对数据主体的相关具体权益的保护。欧盟将信息时代数据处理流程中的各种与隐私相关的具体权益汇总表述成个人数据保护权,并且提供了与传统隐私权相比力度更大的保护,主要体现在以下几个方面。

第一,保护范围拓展。一般而言,隐私权并不保护当事人自愿公布的数据信息,但个人数据保护权对公开的数据也进行保护。2003年意大利数据保护机关宣布禁止销售者违背数据最初公布目的,使用从网上收集的个人数据进行直销。2005年法国也出现类似案例。巴黎上诉法院裁决,未经数据主体同意,以不同于公布时的目的搜集互联网等公共空间上的数据是违法的。这些事件涉及的数据从性质上说都是可以公开获取的,但对其搜集使用仍然侵犯了个人数据保护权。之所以会采取这样宽泛的立场,是因为很难从法律上一般性地区分哪些数据可能对私人生活产生重大影响。互联网上的公布数据更是如此。很多技术可用于互联网数据主体识别,因此应该对出现在互联网上的数据进行普遍法律保护。

第二,保护方式升级。隐私权是一种强调事后补救的消极防御的权利。个人数据保护权则是一种强调事前防范与主动防护的权利。隐私权保护涉及与众多利益和权利的平衡,其保护力度总体来说是比较低的。如《欧洲人权公约》第8条针对私人生活和家庭生活保护使用的是“尊重”这样的表述。与其他权利“不得侵犯”“保护”等词汇相比,保护力度可谓低下。但隐私权包含内容迥异的分支,细分各种隐私权并给予不同强度的保护,势所必然。对个人数据隐私保护仅予以消极的“尊重”明显不够。个人数据一旦被侵害,事后补救往往无济于事。因此,将“个人数据保护权”独立出来,并赋予其主动防护性是非常必要的。《条例》中“自设计开始的个人数据保护”(data protection by design)是主动防护性的最好例证。这个观念是从早先“设计的隐私”(privacy by design)发展而来的,要求在设计产品和服务时就应充分考虑数据保护的要求。自设计开始的个人数据保护强调事前预防而非事后救济、默认保护而非专门保护、设计内嵌的防护而非事后追加保护设计、全面防护而非局部保护、开放保护而非封闭保护、合作性保护而非对抗性保护。这些特征突出了个人数据保护权的主动防护取向。

第三,司法目标平衡。隐私权在欧洲主要是由国内法院系统以及欧洲人权法院进行管辖。《条例》放弃隐私权的表述转而强调个人数据保护权,进而将个人数据保护争议交由欧盟设立的欧洲法院管辖,摆脱了在数据保护领域对欧洲人权法院的依赖。客观分析可知,欧洲法院所属的欧盟是一个更侧重经济社会一体化的组织,而欧洲人权法院所属的欧洲理事会则更侧重公正和人权保护。因此,欧洲人权法院专注于传统人权保护;而个人数据保护具有非常强的经济性,由欧洲法院进行综合衡量和保护更加恰当。

(二)建构意义

自从互联网兴起以来,法律长期无法适应信息技术与产业的需要。欧盟个人数据保护权则一改“跟随跑”策略,采取了与信息技术及产业相互嵌入、齐头并进、互相构建的积极策略。个人数据保护权提出了一系列要求。这些要求不仅是为了增强数据主体对个人信息的自主权,也塑造了相关产业发展的形态和方向,同时也为政府制定政策提供了规范基础。个人数据保护和数据处理制度相互嵌入主要体现在以下几个方面。

1.流程嵌入

个人数据保护权是与数据处理流动的程序紧密相关的。个人数据保护权利包含的十多种具体权利都与数据处理和流动过程紧密联系。如果不了解数据(信息数据)处理流程的特性,就无法理解个人数据保护领域的权利诉求。另一方面,个人数据保护权也在塑造着数据处理的流程。近年来,为了适应个人数据保护权的高标准,很多跨国互联网企业都调整了自己的处理流程。最典型的例证是谷歌等大公司为了应对“被遗忘的权利”的要求,都专门设置了相应的审查和删除数据流程。

2.技术嵌入

个人数据保护权利强调责任原则。但这种责任的确立却是以相关技术为前提的。例如,要确定一个人是否是数据主体,就与数据处理的技术特征相关。在某种技术条件下不能被识别的人,在另一种技术条件下就很可能被识别,从而成为数据主体。此外,数据控制者和处理者的责任有很大差别,但要区分控制者和处理者也需要技术上的阐释。另外,个人数据保护权所包含的默认和设计保护精神也促使企业在产品和服务的规划阶段就充分利用各种技术保证符合相应权利的要求。

3.价值嵌入

个人数据保护法制具有双重目标,即保护数据权利和促进数据自由流通。在信息经济时代,个人数据具有非常高的市场价值,已经成为一种不折不扣的商品。大部分对个人数据的滥用正是在商业利益的驱使下进行的,所以必须对其进行强力保护以维护人格利益。但另一方面,如果没有个人数据的流通与利用,很难想象电子商务乃至日常交往将如何维系。基于个人数据保护权的新型数据保护强调有效率的“正和”(Positive-Sum)而非“零和”(Zero-Sum)保护,充分考虑了经济价值和人格价值的均衡。个人数据保护权对信息产业采取的并不是防护和谴责的立场,而是承认个人数据经济价值的前提下规范相关各方对个人数据人格价值的保护。 

(三)推动意义

欧盟执委会在2009年6月10日明确宣称:“欧盟应当成为个人数据保护国际标准发展和提高,以及达成恰当的双边和多边机制的推动力量。”欧盟主动自觉地承担起推动全球个人数据保护的重任。可以从两个角度看待这一问题。一方面,欧盟借助政经法律力量强行推广其区域标准,即便是美国也被迫就范,努力适应欧盟较为先进的个人数据保护规范。2015年10月,欧洲法院的一项判决认定欧美之间数据传输采取的“安全港”(Safe Harbor)模式不能对欧盟公民个人数据有效保护,作为“安全港”基础的欧盟2000/520 号决定无效。经过紧锣密鼓的谈判,2016年2月29日欧盟和美国推出了“隐私盾”(Privacy Shield)模式,对欧美间的个人数据流动进行严格管控,对美国企业规定了更严格的个人数据保护义务,对美国政府也进行了更多限制。欧盟之外的国家乃至区域性经济组织也只能主动适应欧盟强势保护个人数据的事实。目前已有不少非欧盟国家,如瑞士、阿根廷、加拿大等国主动制定或调整本国立法以符合欧盟充分保护标准。另一方面,欧盟的做法也有一定合理性。“棱镜门”事件后,欧盟取得了道德优势地位,逼迫美国政府和企业节节败退,逐渐被迫接受欧盟的规则。欧盟国家的一系列诉讼令谷歌等大公司修正自己的隐私政策,有力保护了处于相对弱势地位的用户权益。例如,作为《条例》中个人数据保护权的新增内容,“被遗忘的权利”(删除权)直接发生了域外影响力。尽管这些都发生在新条例生效之前,但个人数据保护权的标准无疑是欧盟相关行动的主要根据。可以毫不夸张地说,欧盟的个人数据保护权已经发生了全球性影响。尽管其他法域不一定采取欧盟个人数据保护权的表述方法,但相关精神已深深影响了各国主管机关和司法界乃至普通人的信息隐私保护观念。在全球化和大数据条件下的互联网经济环境中,欧盟的标准势必会影响更多的合作伙伴,个人数据保护权也可以通过各种方式在全球发生更大的影响。

 

三、欧盟个人数据保护权的局限

 

在“互联网女皇”玛丽•米克尔(Mary Meeker)发布的2016年互联网趋势报告中,全球市值最大的20个互联网领军企业中有12个来自美国,7个来自中国,1个来自日本。

作为世界主要经济体的欧盟居然没有一家企业上榜。尽管法律与经济发展的关系非常复杂,但作为世界上最早进行系统的互联网法律规制且对个人数据保护最为严格的地区,欧盟的个人数据保护水平与其互联网经济发展明显没有齐头并进,或许二者之间还有深层次的消极联系。欧盟有互联网经济发展的独特规划,即“数字化单一市场”(digital single market)。这一框架建立在“接入”“环境”“经济和社会”三大支柱之上。“接入”意在为欧洲的消费者和企业提供更好的数字产品和服务的接口。“环境”指的是为数字网络和创新服务的蓬勃发展创造良好条件和公平竞争的机会。“经济和社会”指的是最大化地发挥欧洲数字经济的潜力。这是个美好的构想,但也具有明显的局限性。尽管欧盟境内早已实现人员、物资等自由流通,但绝大部分欧盟公民仍然使用本民族语言生活和工作。即便欧盟通过数字化单一市场打破域内跨境在线活动壁垒、缩减线上线下差异,大部分欧盟公民仍然会倾向于在国内有限的领域展开生活和事业。而且他们会优先选择更成熟的美国互联网企业提供的产品和服务,例如,脸书和谷歌。从根本上说,欧盟境内各国间的数字壁垒主要不是来自贸易保护主义,而是人类活动在空间和文化上天然的局限性。相反,欧盟通过提高数据处理法律标准的方式对跨国公司的抵抗倒是具有保护主义——政治过度防御的嫌疑。

个人数据保护法制是欧盟重构互联网经济发展规则的重要环节。如不改变现有规则体系,欧盟的互联网经济很难翻身。但如何改变游戏规则?对欧盟而言,只有通过权利这个最具正当性的途径。通过个人数据保护权,欧盟以一种正义的姿态打压包括谷歌在内的美国互联网企业,防止其形成事实垄断。但这并没有改变欧盟互联网经济发展缓慢的现实。相反,欧盟的相关法律或许还拖累了区域内互联网经济发展。个人数据保护权并非传统自然权利或天赋人权谱系中的一员。实际上,如果没有互联网的迅猛发展以及随之而来的信息价值的增长,根本就不会出现个人数据保护权。在互联网经济更加发达的中国和美国,个人数据保护权都没有受到欧盟这样的关注。这也从另一个角度提醒我们思考:个人数据保护权到底是不是互联网时代必须的配置?互联网时代最大的发展动力仍然是利益,尤其是市场主体的逐利动机和普通消费者的便利动机。大数据时代的特征就是消费者在享受服务的同时也生产数据,而这些数据随之进入新一轮的生产环节,为互联网经济提供新的生产要素。市场和隐私的关系也并非水火不容,实际上二者紧密相连,同时也可以互相促进。在大数据时代,市场依赖隐私挖掘商机,用户也基于隐私而得到更多的便捷。这也是联邦贸易委员会(Federal Trade Commission)成为事实上的美国隐私保护机构的重要原因。如果此时还坚守 “不被打扰”的隐私权界定,就等于自绝于互联网时代。实际上,隐私权并不是一种自然权利(natural right),而只能是一种审慎权(prudential right),其要旨在于“理性的个体会同意去承认部分隐私权,因为保障这些权利将有益于社会”。信息隐私保护需要综合考虑各种相关利益的平衡,更需要法律、政策、科技、伦理等因素共同发挥作用。欧盟认为应由法律主导建立一套制度予以规范,而很多国家,如美国则把这个问题主要留给市场和行业自律。很难说哪种方法更高明。从效率角度看,欧盟的策略伴生的是整个欧洲互联网经济发展的举步维艰。法律壁垒不仅阻碍了其他国家和地区互联网企业在欧盟的发展,更使得欧盟本身在互联网经济世界格局中的地位比较低下。这也提醒我们,个人数据保护权并非没有成本的制度设置。

 

四、欧盟个人数据保护权对我国的启发意义

 

欧盟个人数据保护权对我国的借鉴价值是明显的。但作为互联网经济规模最大的国家,中国应当根据具体情况构建适合国情的个人数据保护法制,不宜盲目跟从。简单地说就是“矫枉不必过正”。

一方面,认真分析欧盟个人数据保护权对我国个人信息保护法制的构建和发展具有“矫枉”的意义。具体而言,欧盟个人数据保护权的兴起和实践在规范基础、制度结构和法律形态方面对我国个人信息法制具有启发意义。

首先,我国个人信息保护法的发展应该主动面对“后隐私权”这个现实。传统隐私权或人格权已不适合作为信息隐私保护的规范基础。欧盟个人数据保护权的提出本来就是为了突破传统隐私权和人格权的局限,主动适应互联网时代的需要。在互联网时代,信息隐私保护的对象和方式都发生了巨大变化。从对象上看,信息隐私的保护重点已不是业已存在的个人信息,而是数据主体享受互联网服务过程产生的各种数据以及企业、政府对这些数据进行挖掘和处理后生产出来的大量的具有个体特征的数据。从保护方式看,信息隐私保护的重点已不是保密或不发布,而是在数据自由流动与合理利用的过程中对数据主体的权益进行全方位的保护。传统隐私权和人格权是无力应对这些变化的。遗憾的是,我国法律界有很多人对此浑然不觉,依然希望以人格权或隐私权为基础建构个人数据保护法制。这明显是不合时宜的。

其次,个人信息(数据)保护法律架构的基础是数据处理制度。在互联网时代,个人信息的合理利用、安全保障、隐私保护等法律利益只有基于信息处理制度才能得到客观和科学的描述。信息处理制度的建构必须综合安全、效率、隐私、科技等因素。与此相应,个人信息保护的法律架构也只能以数据处理制度为基础才能稳固地进行建构。当然,我们也应该看到,数据处理制度本身是处在变化之中的。《条例》就在很大程度上革新了既有的数据处理流程,而且还推动了美国在内的多个国家数据处理制度的变化。欧盟个人数据保护权依据其特有的数据处理制度确立起来并且是未来欧洲数据处理制度发展的重要规范基础。如果一国的数据处理制度尚未建成,其个人信息保护制度只能是无根之木、无源之水。尽管缺乏高位阶法律的规范,但为了适应产业发展的需要,我国已经初步建成数据处理制度框架,主要体现为一系列部门规章、行业规范和技术标准。未来我国个人信息保护法制发展必须以既有的数据处理制度为基础,并利用法律的规范力量引导数据处理制度良性发展。

最后,信息隐私的全面保护需要突破传统的部门法思维局限。我国法学界有部分学者试图将隐私权限定在民法领域。这种部门法思维在大数据条件下仍然没有被抛弃,甚至有人希望倚重传统民法手段对互联网时代的个人数据进行保护。例如,有学者希望通过拓展侵权法的方式建构网络运营主体的安全保障义务。然而,在欧盟和美国,网络运营主体的相关义务是由专门的数据保护法制规范的,早已突破侵权法的界限。民法无力应对个人数据保护任务的原因非常复杂,但有一点尤为重要,即互联网环境下的数据处理流程及其相关利益绝非传统民事法律制度能够描述和涵盖的。实际上,隐私权本来就不是传统的民事权利,在欧美法治国家也并不主要通过民事法律保护。从欧盟实践来看,个人数据处理相关的制度绝非单纯民事制度。欧盟个人数据保护制度建构有两个目的:一是保护相关权利;二是保证数据自由安全地流动。这些不是仅靠民事法律手段就能实现的。在大数据时代,讨论信息隐私保护法制的公私法属性意义不大。相关法律领域具有典型的混合法特性,而且已经成为比较独立的法律部门。从我国现实规范角度看,《民法总则》第11条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这一规定意义重大,但并不适合作为我国个人信息保护的基础性规范。原因可以从两个方面来看:从防患于未然的角度看,相关规定非常原则,并未结合个人信息处理制度进行细致规定,缺乏可操作性和预防性;从事后追究角度看,民法的相关规定又缺乏力度。因为对信息隐私而言,一旦侵权发生,相关法益很难得到全面保护,这些规定很可能成为一把空悬之剑。中国个人信息保护法制的构建必须摒弃狭隘的部门法偏见,应该以我国信息处理制度为基础,发展具有中国特色的综合性的法律规范体系。

另一方面,矫枉也不必过正。个人数据保护权是互联网时代下隐私环境变化后针对信息隐私专门设计的一种审慎权。但我们也应该看到,权利基础只是个人数据保护制度的一个方面。在欧盟的数据保护法制中,个人数据保护权占据了非常重要的地位。但除了欧盟以个人数据保护权作为规范基础,偏重正当性而忽视效率的保护模式外,还存在着美国式的以贸易管制为基础的兼顾效率和正当性的保护模式。面对个人数据保护法制发展趋势,我们依然要谨慎选择。没有必要盲目地主动套上沉重的规范枷锁。这主要有以下几方面原因。一是市场方面的原因。由于政策和法律方面的约束,我国与互联网相关的各种经济形态基本都是面向国内市场的,相关法律规制也不宜盲目遵从欧盟或美国模式。但总体而言,美国强调效率和安全的平衡发展路径,似乎与我国现实情况更加相符。欧盟个人数据保护制度虽也有借鉴价值,但应谨慎研判其可能产生的客观后果,不宜盲目跟风。二是文化方面的原因。以文化差异来看,欧洲和中国关于隐私的诸多观念存在很大分歧。例如,作为个人数据保护权重要内容的被遗忘权就未必符合我国“前事不忘后事之师”以及“明鉴历史开辟未来”的理念。三是现有制度框架的原因。尽管处于互联网经济的前沿,但我国在个人数据保护领域却并未走上欧盟权利主导、全面立法优先的道路。相反,我国选取的是更加务实的逐步发展的多元规制路径。除了在《民法总则》和《网络安全法》中从网络信息安全的角度对个人数据保护进行了原则性规定外,近年来我国通过的一系列有关互联网产业和服务的行政法规、部门规章、行业标准在数据保护领域发挥了很大的实际效果。这些规定尽管层级不高,但却能保证在数据处理过程中对公民个人信息进行保护。尽管在数据处理法制化构建过程中可充分参考欧盟个人数据保护权的精神,但不一定非要采取类似称呼或立法形式。我国的个人信息保护法制发展,应该兼顾效率和公正,以数据处理法制化为基础,综合民事、行政和刑事规范进行渐进式建构,而不宜罔顾现实盲目跟风欧盟权利主导和统一立法优先的道路。

(责任编辑:陈越峰)

(推送编辑:孙玉婷)

本文原载于《华东政法大学学报》2018年第4期。若欲下载或阅读本文PDF文档,请点击下方阅读原文,欢迎订阅并分享华政学报(微信号ECUPL-JOURNAL)


点“阅读原文”了解更多

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存