此頁面上的內容需要較新版本的 Adobe Flash Player。

獲取 Adobe Flash Player

高級搜索
請輸入檢索內容:

當前位置: 首頁 >> 學術資源 >> 行政法學 >> 正文

解正山:數據驅動時代的數據隱私保護——從個人控制到數據控制者信義義務

| 時間: 2021-06-24 11:22:26 | 文章來源: 《法商研究》2020年第2期

數據驅動時代的數據隱私保護——從個人控制到數據控制者信義義務


解正山

(上海對外經貿大學法學院副教授)


摘要:在數據驅動時代,個人數據隱私引發廣泛的擔憂?;趥€人具有隱私自我管理能力的假定,立法者建構了一套沿襲傳統個人主義隱私觀的數據隱私保護法律框架。這種強調個人控制的立法取向高估了個人在數據實踐中的自治能力,難以應對數據時代的隱私挑戰??煽紤]將信義義務引入新型的數據關系之中,要求自動駕駛汽車制造商、其他智能交通服務提供者以及數據驅動的其他商業場景中的數據控制者以數據受托人身份管理或處分其占有的個人數據,強化其數據受托職責,以彌補個人在隱私管理中的能力不足。

關鍵詞:數據隱私;個人控制;數據受托人;信義義務


最近幾年,大數據及移動互聯技術掀起了新一輪全球技術革命浪潮,萬物互聯時代或將不期而至。其中,自動(無人)駕駛汽車最受矚目并成為各國汽車產業技術變革與轉型升級的突破口與戰略制高點。傳統車企與互聯網巨頭正在將只在科幻電影中出現的自動駕駛汽車變為現實,深刻影響著人們的出行與生活方式。一方面,高度智能的自動駕駛汽車具有顯著的經濟與社會效益,如減少人為錯誤導致的交通事故、提高交通效率等。但另一方面,除帶來致害責任歸責、網絡安全等法律難題外,數據驅動的自動駕駛汽車還將引起用戶(亦稱數據主體或消費者)對其隱私的擔憂:誰在采集個人數據(個人數據一般指可識別具體個人的任何信息,其與個人信息具有內在的一致性,本文不加區分地使用這兩個稱謂)?這些數據是否會被不公平或不當地使用?如何控制個人數據的采集與使用?促進技術創新與數據隱私保護是否不可調和?這些問題清單著實惱人,且在數據驅動的其他商業場景中同樣存在。鑒此,本文以即將商用的自動駕駛汽車為切入點,對上述問題進行探討。


一、數據驅動下的隱私挑戰:以自動駕駛汽車為切入點


目前,正在測試中的自動駕駛汽車分別運用了傳感器技術與連通性技術:前者主要依托車輛自身配置的立體攝像機、雷達等先進傳感器采集車輛安全運行所需的內部操作與外部環境數據,而后結合執行器、控制單元以及集中軟件等對周圍交通環境變化進行監測并作出反應;后者則通過無線短距通信技術實現車與車、車與交通基礎設施以及車與人之間的實時連通,確保自動駕駛汽車即時從外部獲取事關安全駕駛所需的交通環境數據,包括共享網絡的其他車輛或行人的狀態信息、定位數據、交通信息等,同時它自身的內部狀態數據也將通過網絡自動傳送給附近的網聯車輛或共享網絡的使用者。不難看出,自動駕駛功能的實現離不開大規模的數據采集與使用。這些數據不僅包含技術改善與安全駕駛等方面所需的信息,而且還包括超出駕駛之外且與個人喜好有關的瀏覽歷史、導航歷史以及廣播收聽歷史等大量信息。尤其是,隨著生物識別以及視頻追蹤等新技術應用于自動駕駛汽車,用戶嗓音、心率、指膜等生物信息也都可能被采集。最終,自動駕駛汽車不僅有能力收集其想要獲得的任何數據,而且還能存儲這些數據并將它們上傳到車外的數據服務器以備未來之需。

自動駕駛汽車可記錄并提供過往以及實時的位置數據,包括駕車時間、行車路線、訪問地點、目的地等較具敏感性的數據。雖然這些位置數據不足以直接識別出某個自然人,但若將它與其他數據結合進行相關性分析,那么對這個人進行“畫像”就變得可能了。由此,自動駕駛汽車的用戶們自然擔心事關他們健康、職業、個人品行、政治或宗教信仰等敏感信息暴露于被他人窺探的風險之中,最終導致自己成為他人眼中的“透明人”。更常見的隱私挑戰是,自動駕駛以及數據驅動的其他商業場景中的數據采集者、處理者或使用者(以下統稱數據控制者)對用戶的消費操控或誘導。通過追蹤用戶經常光顧的店家、日?;顒踊蝻嬍沉晳T,數據控制者將能識別出這些潛在消費者的個人偏好、購買模式甚至生活方式,從而進行精準的市場推廣或廣告投放。這種“數據畫像使得定向廣告無比精準地在特定時間和場景達到目標客戶,誘發沖動消費……這不啻是一種消費操縱”,難免會侵犯用戶的自主且有損他們的尊嚴。自動駕駛汽車還將產生一些與位置或目的地無關的數據,如能反映用戶駕駛習慣的車輛速度、制動模式等數據。用戶對這些數據同樣有強烈的隱私期待。其實,對數據控制者而言,是否掌握足夠能識別某個具體個人的數據已不再那么重要,大數據分析技術已使這些數據驅動的商業機構僅憑數據相關性而非因果關系即可進行預測與推斷,而用戶很多時候對此卻一無所知??梢?,對用戶而言,真正的挑戰是:數據采集、處理及利用多以他們看不見的方式進行,即使他們懷疑自己的隱私受到侵害,可能也無法確定誰是加害者,或缺乏必要的證據證明自己的實際損害和侵權者的責任;而且,用戶接收廣告時可能根本就沒有意識到這是預測性廣告,更不用說自己的哪些行為、哪些數據被收集和分析了。

尤令人擔心的是,一些敏感的個人數據可能被用于對個人進行不公平的推斷,特別是當現有數據庫本就對某些種族或性別的人存有偏見時,就可能進一步加劇現存的社會不平等現象。正如我們所知,大數據分析已使數據控制者具備超乎想象的預測能力,這對數據主體未來的借貸、工作、旅行、獲得住房、接受大學教育等都可能產生顯著影響,尤其是基于分類篩選形成的“大數據黑名單”將導致某些特定群體或個人喪失或被限制行使部分權利或機會,如數據控制者利用掌握的數據并據此預測數據主體未來罹患嚴重疾病的風險,進而拒絕向其提供工作機會、住房或貸款。加之“算法黑箱”以及數據泄露或買賣使得上述分類篩選與歧視得以秘密化和便利化,以至于那些被列入“黑名單”的當事人很多時候既無從知曉亦無法擺脫。所有這些無不表明,若無適當的隱私保護機制,個人數據被濫用或將層出不窮,這不僅會加劇社會歧視,也將影響信息社會的可持續發展。

一直以來,汽車都被認為是自由與個人自主的象征。然而,自動駕駛汽車與外部環境自行互動很可能使用戶自主受到某種程度的限制。尤其是,當自動駕駛汽車的路線全部或部分受控于集中的政府網絡時,人們勢必擔心自身隱私尤其是自主權受到損害。這種擔心并非空穴來風,因為在技術上完全可能。因此,有評論者不無憂慮地指出,人們喜愛汽車是因為他們能控制這種強大的機器,一旦方向盤與腳踏板不再必要,駕駛的樂趣就將隨之喪失,那些熱衷于汽車象征性與情感性價值的消費者群體將因此抵制這種新產品。此種擔憂雖不無道理,但并非不可解決。例如,為保護用戶的自由與個人自主,美國加利福尼亞州與內華達州關于自動駕駛的法律規定,一旦用戶提出要求,自動駕駛汽車應將駕駛控制權交給用戶。

真正的問題在于,自動駕駛汽車能精確記錄用戶大量的公開活動數據,且這些數據蘊含著他們的家庭、政治、職業、宗教以及生活等諸方面的豐富細節,如果數據控制者收集個人數據的權力不受限制,自動駕駛汽車就將為數據監控提供便利甚至成為大規模遠程監控的平臺,個人的隱私空間將因此受到影響或侵害,就像全景式監獄里的囚犯,即便不知道是否有警衛站崗警戒,也會因為害怕被監視而改變各自的行為。進一步而言,即便數據采集都是合法的,但鑒于如此豐富而全面的數據足以讓數據控制者對車輛用戶進行“畫像”,因此這些消費者定會擔心他們受到這些數據采集機器的“監視”,從公共關系角度看,這顯然令人難以接受。人們甚至擔心,智能網絡控制者可能會利用其所掌握的路線選擇權之便利,向那些愿意使用更快路線并支付相應對價的用戶優先提供服務,而普通用戶將被迫使用較慢路線。與其說這是個人自主問題,倒不如說是交通公平的問題。這或將帶來一個更不公平的社會或造成更大的社會不安,智能化的城市治理將因此遭遇挫折。

綜上可見,自動駕駛汽車的接受度不僅取決于自動駕駛技術本身的可靠性與安全性,而且還將取決于這些數據驅動的智能產品不會導致用戶遭遇歧視、操縱、郵件騷擾、不當追蹤等權益受侵害之情形。一旦消費者認為自動駕駛汽車危及他們的隱私或自主權,這些智能車輛恐將難逃市場抵制。相反,若能充分尊重用戶隱私進而贏得他們對自動駕駛汽車的信任,那么自動駕駛汽車市場化的阻力就將大幅減少或從根本上清除。這也表明,隱私保護對確立用戶信心乃至對抗不當監控至關重要:首先,用戶信任是自動駕駛汽車獲得足夠市場占有率的重要前提,沒有足夠的市場支撐,也就難以進一步從安全、效率、交通流量等方面改善自動駕駛技術;其次,由于擔心被不當監控,用戶使用智能網聯平臺時就會猶豫不決,這同樣會阻礙自動駕駛技術的發展。簡言之,自動駕駛汽車對用戶隱私的挑戰在所難免,如何回應這一挑戰關系到消費者能否接受并使用這些智能車輛。同樣地,在數據驅動的其他商業場景中,上文所述的隱私危機一樣存在。


二、個人控制:數據隱私挑戰的立法回應


(一)歐式立法:“權利話語”下的數據保護

在歐洲,“數據隱私被視為基本權利和法律文化的一部分”。為此,《歐洲人權公約》第8條規定,個人享有“私人和家庭生活被尊重的權利”。除此項傳統的隱私權之外,《歐盟基本權利憲章》(以下簡稱《權利憲章》)第8條第1款還特別規定“人人有權保護自己的個人數據”。盡管該“個人數據保護權”在表現形態上突破了傳統隱私權的特征,但它仍是隱私權在移動互聯網條件下的升級形態,正如歐洲法院指出的,兩者緊密關聯,歐盟委員會在《歐盟一般數據保護條例》(以下簡稱《條例》)制定過程中也特別強調了這點。成員國層面上,“個人數據保護權”也多被視為基本權利。例如,西班牙、波蘭、捷克、希臘、波蘭、匈牙利、斯洛伐克等國也都在憲法上或通過司法解釋將數據保護權視為一項基本權利??傊?,“整個歐洲是在公民基本權利層面上定位個人數據保護的,將對個人數據的保護視為對基本人權的保護”。

由于數據處理可能危及數據主體固有權利,因此《權利憲章》第8條不僅規定了個人數據處理應具備明確的法律依據或取得數據主體同意,而且還確立了公平的數據處理、基于特定目的處理數據等法定要求,并授予數據主體訪問數據以及更正其個人數據等權利?!稐l例》第5條則從合法性、目的限制、準確性、限期儲存、安全性等方面繼受并進一步拓展了數據處理的一般原則??傮w上,歐洲數據隱私立法遵循“個人數據是人的延伸,人應當獨立自主,因而個人數據亦應當由數據主體掌控,體現個人的意志”這一基本邏輯,而“建立在人的尊嚴基礎上的個人數據保護理論,則內含個人數據由個人自主控制的基本論調”。

歐洲數據立法并未忽視信息的自由流動。立法者意識到,保護自然人對其個人數據的控制可能與信息的自由獲取及傳播存在沖突,因此他們的一貫立場是:數據隱私保護應充分考慮個人數據在社會中的功能,且應與其他人權及基本自由相協調。由此,《歐洲個人數據處理中的個人保護公約》等立法只是把個人數據受保護的權利界定為“個人數據保護權”而非“個人數據權”,該權利雖包含了本人對其個人數據及其處理的控制權,但這種控制權不得妨礙信息自由、公眾知情等其他基本權利,須在這些基本權利獲得充分保障的框架中方能行使?!稐l例》重申并貫徹了這一立法宗旨。申言之,《條例》雖承認自然人對其個人數據及其處理享有控制利益,但并未承認其為一項獨立的法定權利,而是通過賦予自然人一組具體的數據權利,包括數據訪問權、更正權、刪除權、移轉權、拒絕權等,從而保障數據主體了解哪些類型的個人數據被收集以及將被用于何種用途,力圖在實現本人對其個人數據的控制從而體現對人的尊重的同時,避免妨礙個人數據的正當使用。此外,為增強對個人數據的保護,歐盟立法者還要求數據控制者建立“隱私設計”和“隱私默認”機制,并在涉及個人數據自動化處理、個人敏感數據處理、或對公共場所進行大規模監控等可能危及個人權利與自由的情形下進行“數據保護影響評估”。

不過,在“權利話語”下,“比信息自由流動更重要的還是維護歐洲權利制度中人的尊嚴與隱私”?!稐l例》貫徹了這一價值取向,并強化了數據主體對其個人數據的控制利益以及其主體性地位,如要求數據控制者不得僅僅根據自動化處理而作出對數據主體具有法律或類似重大影響的決策,且不得要求數據主體放棄訪問權、更正權等數據權利以換取服務。尤其是,作為一般原則,反映數據主體種族或民族背景、政治傾向、宗教信仰的個人數據、基因數據以及與數據主體健康、性活動有關的數據等均不得處理??傊?,由于關乎民主自治且為避免數據主體在數據實踐中被視為客體,歐盟隱私立法嚴格限制可能危及個人隱私權的自動決策,并對數據主體的交易能力或放棄自身權利行為施加限制,要求他們不得通過同意之方式“售賣”受《權利憲章》保護的基本權利。

制度構成上,自動駕駛場景中的隱私問題同樣適用歐盟上述關于隱私與數據保護的綜合立法。2018年歐洲議會發布的《合作式智能交通系統歐盟戰略報告》強調數據處理應遵守《權利憲章》,并指出自動駕駛汽車產生及傳輸的數據構成個人數據且應遵守《條例》及相關規則。此外,歐洲議會還于2017年10月通過了《歐盟電子隱私條例(草案)》(以下簡稱《草案》)提案,這是歐盟又一項應對物聯網時代隱私挑戰的立法行動,旨在對《條例》進行補充且將優先適用,其將全面保護隱私權與通信秘密、促進物聯網的可信度與安全性,包括自動駕駛中車與車、車與交通基礎設施以及個人之間的通信都將受其約束。作為歐洲數據隱私立法的一部分,《草案》進一步強調對私人和家庭生活以及通信的尊重,包括在個人數據處理中對自然人的保護,且充分體現了本人對其個人通信數據的控制。例如,《草案》第6條規定,除非用戶同意或有其他例外規定,否則不得竊聽、存儲、監控、掃描或以其他方式攔截、監控或處理用戶電子通信數據尤其是位置與交通數據。

(二)美式立法:“市場話語”下的隱私保護

在美國,最初由沃倫和布蘭德于《論隱私權》一文構建的隱私侵權理論曾一度被視為隱私保護立法的開創性力量。該理論后被普羅瑟具體化為侵害他人生活安寧、披露令人尷尬的私人事實、使他人處于為人誤解境地、擅自利用他人姓名或其他人格利益等侵權行為,并被《美國第二次侵權法重述》采納,形成美國早期隱私保護的基本范式。至此,“不受侵擾的權利”或“隱私即秘密”理念開始深入人心。本質上,美國傳統隱私保護著眼于將隱私權理解為一項消極的、不被侵害的權利,一定程度上忽視了隱私的社會價值。

隨著信息及網絡科技的興起,將隱私視為獨處權利或秘密的傳統隱私觀念被認為無法適應社會經濟現實的需要,更無法應對數據時代的挑戰。于是,隱私侵權理論的影響漸而式微,“隱私控制論”開始嶄露頭角并逐漸占據主導地位?!半[私控制論”強調人們對隱私的支配,即“個人、團體或機構有權自主決定何時、以何種方式以及在多大程度上將其本人信息披露給他人”。申言之,“隱私控制論”下的隱私權是指本人對其個人數據使用予以控制的權利。這種自由主義的自治原則力圖將本人作為個人數據使用的決策者,借由本人對其個人數據的管理以及本人決定個人數據的使用從而實現“信息自決”。 “隱私控制論”者認為,在法律承認個人數據為財產的情形下,財產法規則能更好地保護個人利益與社會整體利益。因此,他們鼓勵人們將“個人數據/隱私視為商品”并倡導通過財產法規則而非侵權規則保護個人數據。正如美國學者勞倫斯·萊斯格所言,在信息時代,“個人必須具有針對隱私進行協商的能力,并享有默認的隱私權。這正是財產概念的意圖,那些希望得到財產的人必須在協商成功后才能把它拿走”。

總之,美國理論界普遍認為,個人數據受到保護的根本原因在于它是一種財產。正因如此,美國隱私立法以數據自由流動為原則,個人數據的采集、處理及使用以法律明確禁止為限。實踐中,美國信息隱私監管主要依賴行業自律以及聯邦貿易委員會事后執法對“不公平或欺騙性”數據行為進行查處。相比之下,歐洲關于隱私保護秉持一貫的人權立場:因為隱私關涉人格且關乎每個人的個體完整性,所以隱私不可商品化。換言之,在“權利話語”下,數據隱私屬歐盟公民的基本權利與自由范疇。因此,歐盟隱私及數據保護立法對于數據收集、使用以及公開更具限制性,包括嚴格的知情同意要求。較之于歐盟,美國法律并未明確要求數據處理應具有個人“同意”等法律依據,而是要求數據控制者就其數據處理的隱私政策進行“告知”并由隱私消費者自行決定“留下”還是“離開”。這意味著數據控制者若就其隱私政策進行告知,那么消費者隨后分享其個人數據的行為將被視為同意。此即美國式“知情-選擇(同意)”隱私自治機制——經由知情、訪問以及同意等與個人數據采集、使用以及公開相關的一系列權利,隱私消費者獲得了對其個人數據的控制權。據此,他們可以自行衡量關于其個人數據的采集、使用或公開的成本與收益。實踐中,“知情-選擇(同意)”機制不僅被美國隱私執法機構引入與自動駕駛汽車有關的政策框架之中,而且還在自動駕駛汽車隱私保護最新立法議案——美國參議院提出的《汽車安全與隱私法案》以及眾議院審議通過的《自動駕駛法案》——中得到了貫徹。

基于各自傳統,歐美立法者針對數據驅動商業場景尤其是自動駕駛隱私挑戰作出了初步的立法回應??傮w而言,美國缺乏類似于歐洲數據保護法中的“個人數據保護權”,相反,借用侵權法或財產規則保護隱私才是典型的美國實用主義處理問題的方式,凸顯了歐美在隱私保護上的理論分野:歐洲圍繞“權利話語”創建隱私文化,數據隱私被視為人的基本權利范疇,關乎人的尊嚴;美國則著眼于“市場話語”,將隱私視作一種應受保護的市場利益,個人被視為應免受市場欺詐和不公平對待的隱私消費者。這種價值上的分歧很大程度上源于歐美國家不同的社會、政治和法律傳統:在美國的政治話語中,人們多是擔心國家而非私人公司侵犯個人隱私,且市場被視為是隱私保護的最佳工具;相反,在歐洲的政治話語中,自由資本主義被認為是隱私受到侵犯的罪魁禍首,因此人們更多擔心私人公司尤其是那些大數據公司對個人隱私的侵犯,于是公眾指望數據保護機構發布相應的指南或有約束力的法規以保護他們的隱私選擇。所有這些對歐美包括自動駕駛場景在內的隱私/數據保護立法產生了深遠影響。不過,值得注意的是:一方面,雖然歐美在隱私立法價值取向上截然不同,但在制度層面,兩者又不約而同地強調本人對其個人數據/隱私的控制,要求個人數據使用滿足目的合法、數據最少化、用戶知情等限制性要求,維護數據主體的尊嚴或自由不因個人數據濫用而遭受侵害;另一方面,為避免妨礙信息自由流動尤其是數據產業的發展,無論是歐洲國家還是美國,均未將本人對其個人數據的控制利益上升為排他性的個人法定權利或將隱私/個人數據客體化為個人絕對支配的對象。

(三)中國立法中的個人控制:兼與歐美比較

學理上,國內學者有從私人生活安寧與生活秘密視角定義隱私權,亦有從控制視角闡釋隱私權。這些定義試圖在私人領域與公共領域兩個對立的二元空間劃分中探尋隱私權的本質,存在要么過寬、要么過窄的問題。雖然“似乎無人知道隱私為何物”之論斷過于悲觀,但隱私權極難定義確是不爭的事實。事實上,“隱私權的范圍是一個動態平衡的范圍”。因此,與其陷入概念紛爭,不如從實用主義出發,把隱私權看成是“開放的體系”,一個個不同而又相似的隱私將因此形成“一個隱私系列”。如今,大數據已可量化一切,消費者的期望、觀點、心理、行蹤、消費習慣等都可被“數據化”。數據控制者可據此從事相關性分析,進行預測或推斷而非因果關系解釋。而且,移動互聯網技術已使網絡空間與現實世界乃至私人與公共領域的邊界變得越來越模糊,越來越多的人樂于分享自己的個人活動、生活場景甚或思想觀點。因此,開放的隱私觀或許才是呼應大數據時代隱私挑戰的合適選擇。如此,至少可把數據控制者通過相關性分析從而預測或推斷出的某種“事實”(“預測性隱私”)納入隱私權保護范圍。

立法上,繼《中華人民共和國侵權責任法》第2條明定隱私權之后,《中華人民共和國民法總則》(以下簡稱《民法總則》)第110條再次確認了自然人享有隱私權這項獨立的人格權利。2019年12月公布的《中華人民共和國民法典草案(三審稿)》[以下簡稱《民法典草案(三審稿)》]第1032~1033條關于隱私的立法仍遵循傳統的隱私侵權理論,即將隱私權視為一項消極的、不被侵擾的權利,但作為緩和,又通過“權利人同意”賦權個人自行決定自己的隱私命運,尊重個人對其隱私的積極利用而非一味地消極防御。此外,由于《民法總則》第111條另行規定“自然人的個人信息受法律保護”,因此引發了個人信息到底是法益還是獨立民事權利的理論爭議,并衍生出隱私權與“個人信息權”界分問題。比較法上,美國并無隱私與個人信息保護的二分法,而是采“信息隱私”之概念并演繹出市場主義的“隱私控制論”;歐盟則在傳統隱私權之外,另定個人數據保護規范,經由“個人數據保護權”化解數據隱私與數據利用之間的內在沖突。鑒于“一條條個人信息的價錢少得可憐,除非被收集的數據與更多來自相近社會經濟類別的個人數據予以整合并加以利用,否則這些數據將一文不值”,因此若承認自然人對個人數據享有權利,那么將其建立在維護人格尊嚴與自由而非所謂財產自由基礎之上則更具說服力,這也正是歐盟數據隱私保護的根本出發點。我國司法實踐中也多是審查收集、使用個人信息的行為是否侵犯了自然人的隱私權、名譽權或其他一般人格權。

值得注意的是,我國個人信息保護立法同樣強調個人控制,且較之于歐美有過之而無不及。2012年《關于加強網絡信息保護的決定》第2條首次規定收集、使用個人信息應經被收集者“同意”后,《中華人民共和國網絡安全法》第22條和第41條、《征信業管理條例》第14條第2款等隨即繼受了用戶“同意”這一收集、使用個人信息的前置性要求,最高人民法院《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條第1款亦明確將“同意”作為網絡用戶或網絡服務提供商公開他人隱私或其他個人信息免于承擔侵權責任的豁免理由?!睹穹倓t》第111條關于獲取他人個人信息“應當依法取得”之規定亦不難解釋出個人“同意”的意涵?!睹穹ǖ洳莅福ㄈ龑徃澹返?034~1038條則吸納了現有個人信息保護的基本原則與制度內容,并增加了自然人對其個人數據的查閱權、更正權以及刪除權等數據權利。這些規定與歐美隱私立法中的個人控制導向并無本質差異,均反映了立法者對數據主體尊嚴或自由的尊重。不過,相較于我國個人信息保護立法將“同意一般化”,歐盟僅將“同意”作為個人數據收集、處理及使用的法律依據之一,而非唯一的合法性基礎,如為訂立和履行合同,數據處理行為即無須用戶“同意”;美國法則只是強調場景不一致情形下的數據處理及利用行為需獲得用戶“同意”。無論如何,正如歐美隱私立法所表明的,“個人控制”僅僅是維護數據實踐中個人自治的手段,旨在保護本人在其個人數據被采集、處理等過程中的自我決定或控制性利益,而非借此將本人對其個人數據的控制推演為“個人數據權”這一絕對的法律權利。只不過,隨著個人數據逐漸由數據主體轉為具有壟斷性數據處理能力的數據控制者掌控,“個人控制”的實際效果并不如預期。


三、“控制”的錯覺:現有數據隱私立法取向的審視


不難看出,個人控制原則的基本假設是:將數據主體視為理性且自主的角色,推定他們有能力對收集、處理及利用其個人數據的行為進行損益評估,并能對數據控制者是否根據其同意的目的或方式使用個人數據之行為進行監督或控制。然而,現有強調個人控制的程序主義隱私保護策略很大程度上就是“一個錯覺”。產生這一“錯覺”的原因在于過于相信或依賴個人的自治能力,建立在這一理論假設之上的隱私保護框架難以確保數據主體對其個人數據進行有意義的“控制”。

一方面,基于個人控制的隱私保護策略面臨數據主體有限理性或認知能力不足的挑戰。行為經濟學觀點——個人在隱私保護方面的非理性行為——已經得到了廣泛的證據支持,包括人們很少甚或完全忽視通過閱讀隱私條款、清除上網記錄、關閉智能設備位置追蹤功能等方式保護自己的隱私。實際上,為享受更便利的數字產品或服務體驗,人們多半會選擇披露自己的個人數據,而非以所謂“理性人”的審慎態度尋求最低限度地公開甚至完全拒絕公開自己的個人數據。這意味著,在數據實踐中,立法者所假定的“理性人”的一些“非理性行為”勢必損及其在事關收集、處理及利用其個人數據的決策中作出理性選擇的能力。當然,人們忽視或主動放棄仔細閱讀隱私政策多少有點迫不得已:(1)研讀冗長的隱私政策耗時費力,消費者因此需要承擔高昂的機會成本,包括比較相近產品或服務提供者制定的隱私政策或聲明所耗費的額外成本;(2)令人迷惑的技術以及法律上的繁文縟節致使隱私政策或聲明變得晦澀難懂或模糊不清。

另一方面,即便是明智且理性的個人恐怕也將因一些結構性問題而無法適當管理自己隱私,特別是機器學習等復雜“算法”正在被不斷地用于數據的收集與處理,消費者對其個人數據用于社會及商業網絡的行為進行監督或控制變得越來越困難。(1)復雜的“算法”正使我們的社會日益成為“黑箱社會”,而“解構大數據這一黑箱是如此不易,就算數據掌控者愿意披露他們的‘算法’,現代互聯網也為理解它們設置了巨大障礙”。(2)鑒于彼此關聯的數據企業實在太多,加之物聯網已使數據共享、復制與轉移變得極為便捷,以至于許多情形下的隱私損害往往是不同業者掌握的數據融合后導致的結果,而且在多數情形下,數據收集者的隱私政策對于共享或受讓數據的“關聯方”或“第三方”的說明往往模糊不清,因此在不了解個人數據后續用途或將被誰占有使用的情形下,要求數據主體進行所謂的損益評估幾乎是不可能的,如此一來,隱私自我管理的成效自然要打折扣。進言之,即使本人有能力進行損益評估,但鑒于隱私的成本與收益還需從整體而非個人層面進行評估,因此由個人決定是否同意數據的采集、使用或公開很難產生最佳的社會效果,甚至將導致每個人獲得的數據福利被大幅削減或消失。(3)如果消費者獲得數字產品或網絡服務是以其放棄個人數據為條件,而且也沒有可替代的相近產品或服務的話,那么所謂的“選擇”恐怕就徒具形式了。

具體到自動駕駛汽車,程序主義范式的數據隱私保護暴露出來的問題更突出。相對于動態的自動駕駛場景,“知情-選擇(同意)”機制過于靜態且程序繁瑣,智能交通中的數據控制者面臨難以取得用戶同意這一現實困難:現有立法中關于知情同意的規定,不僅意味著數據主體應積極明確地對數據收集與使用行為表明態度,而且還需要他們知曉請求同意的主體、被收集的數據的類型以及數據處理的目的。然而,在自動駕駛場景中,這一法律要求將遭遇挑戰:(1)自動駕駛要求數據交換即時發生甚至是隨機發生,因此獲得用戶“同意”即便可能,那也極端困難;(2)鑒于自動駕駛汽車安全性能依賴于實時且不間斷的數據交換,因此完全由個人憑自己意愿作出“真正的選擇”幾乎是不可能的,任何要求中斷連接以獲得用戶經過深思熟慮而后作出“同意”或“選擇”都可能危及交通安全。

綜上所述,隱私保護的個人控制取向確有不足之處。正因如此,激進觀點認為,不應再將“同意”作為個人數據處理的正當基礎;還有觀點強調個人數據的公共屬性,甚至以維護公共利益以及促進個人數據自由流動為名,否定本人對其個人數據的民事權利并將個人數據作為公共物品從而通過公法規制。然而,最新立法表明,“個人控制”仍是隱私保護與個人數據監管的基本范式。例如,印度聯邦內閣2019年底提交國會審議的《個人數據保護法案》就確認數據共享中個人“同意”的神圣性。筆者認為,“個人控制”是對數據主體自治、自決與主體性的體現,貶低甚或拋棄這一原則恐將“削弱個人參與他人管理個人數據時的權利和能力”。當然,我們也不諱言“個人控制”的理論假設低估了大數據對個人自治能力的挑戰。但無論如何,“不完美的自主總比沒有機會自主好,認為個人行使不好權利就不賦予其權利的邏輯顯然存在嚴重問題”!況且,數據主體對其個人數據的自主控制并不必然與個人數據的合理利用形成不可調和的緊張對立關系。事實上,立法者已在制度上設置了諸多例外情形進而緩和了“個人控制”對數據利用的制約??傊?,“個人控制”取向的隱私保護策略仍具顯著價值。只是,在未來的數據隱私保護優化方案中,還應考慮把焦點從數據主體的隱私自治擴展至數據控制者的自我約束,構建能增強后者問責性的理論框架,填補現有隱私管理中的“自治陷阱”。


四、數據信義義務:數據驅動時代隱私保護的優化


不得不承認,大數據企業在現代經濟與社會生活中正發揮著難以替代的作用,它們不是在反映而是在塑造某種社會規范。借助難為常人所理解的算法,數據控制者已變得越來越有權力,而數據主體已淪為數據關系中的弱者,他們對個人數據的自主控制權正日益減損以至于變得越發依賴數據控制者。數據控制者與數據主體之間顯著的知識與信息不對稱,包括對個人數據控制力的強弱之分,加之數據主體對公開個人數據的實際影響缺乏必要了解,從而導致他們在保護自己隱私時面臨嚴峻挑戰。畢竟,大數據分析對于普通用戶而言就像一個“黑洞”,他們既不了解數據的存儲,也不知道數據企業利用這些數據創造價值的方式,有時連數據分析者自己恐怕都無法預見能否從其聚集的數據中獲得有什么價值的東西。

鑒于隱私管理中的“自治陷阱”,尤其是數據控制者在權力、信息等方面享有的不對稱優勢,不防換個角度,從信賴視角理解隱私或數據關系并為數據控制者制定更高的行為標準。其實,“隱私并非排他性地與個人選擇、自治或隱居概念捆綁在一起,相反,它是一種基于個人與個人以及個人與機構之間信任關系的社會事實……我們因信任而共享信息并在此背景下保留隱私權……對隱私的合理期待就是對信任的期待”??梢钥隙ǖ卣f,“信任無處不在……我們相信設計師與建造者完成的橋梁足以確保我們安全通行……相信飛機將安全飛行并達到正確的目的地,相信專業人士在提供服務時以我們的最佳利益為重……總之,沒有信任,現代政府、商業和社會制度本身都將崩潰”。數據時代更不例外。一旦把隱私概念化為信任或信賴,就會發現它對商業的重要性:一方面,數據控制者每次要求消費者提供個人數據時須借助這種信任;另一方面,若它們過度利用用戶信任,或者用戶一旦認為與數據控制者共享個人數據將有損自身利益,那么他們勢必會大幅減少與其共享的信息量或干脆拒絕共享其個人數據,這意味著數據產業賴以生存的基礎——數字信任——行將崩潰,最終將損及數據控制者自身。

一般認為,如果一方因另一方的才識從而信任并依賴他,那么兩者之間就可構成信義關系。具體而言,當我們訪問網站、搜索查詢、網上購物以及提供個人數據時,多半是因為相信這些交易相對方在提供數字產品與服務時會保護好我們的個人數據,更不會濫用這些數據。這是一種“特殊的信任——數字信任,它蘊含著我們對數字產品與服務提供商利用個人數據是使我們受益而非損害我們利益的基本信念”。這無異于資產管理人等傳統專業人士與其客戶之間基于信任而形成的特殊關系,均可視為信義關系。它們的共同點在于:信息不對稱且雙方都明了弱勢一方信任或依賴占據信息優勢的一方。因此,可將數據控制者視為數據受托人,它們因與數據主體之間的服務關系從而獲取并控制這些消費者的個人數據,為避免數據控制者利用其不對稱優勢因而應要求他們負擔特定義務;相應地,將個人數據“托付”給數據控制者的數據主體則成為委托人。筆者認為,數據受托人概念的引入有助于重新定位隱私并將信義義務嵌入新型的數據關系之中,促使數據控制者成為一個值得信賴的角色,并“確保大數據應用不至于導致個人隱私的終結”。更重要的是,在基于信任的隱私保護框架下,違背信任的行為本身即可被視為可訴行為,很大程度上,損害的量化或證明問題將因此而迎刃而解。

本質上,將信義義務或其要素引入新型數據關系之中,并非取代而是充實現有基于個人控制的隱私保護框架,旨在要求數據控制者以數據受托人身份參與數據實踐,從而使其負擔更高的義務標準并據此增強它們的問責制。其基本理念是,要求數據關系中的強者——那些具有數據壟斷地位的數據控制者——負擔更高標準的義務,不再僅僅依賴弱勢的甚或正在喪失自主控制權的數據主體的隱私自治。進一步而言,以謹慎、保護與忠實等實質性義務重塑秘密、安全及透明度等傳統的隱私概念,數據控制者應把數據主體利益置于它們自己的短期利益之上,在收集、使用或共享個人數據時有責任避免不合理且危險的自我交易或其他有害行為。

申言之,首先應引入謹慎要求。該要求旨在促使數據控制者在數據實踐中謹慎行事,它們既不得以“侵犯信息主體的利益或者違反信息主體的合理預期的方式使用和披露個人信息”,而且也“有義務確保個人信息的下游使用是合理的、合法的”。雖然大多數國家的隱私法將保密概念化為不公開義務,但事實上人們公開自己個人數據時所持的最基本假設是數據控制者是謹慎行事之人,因此數據控制者若能謹慎從事數據收集、處理或利用等行為,包括獲取個人同意并遵從合法性、目的限制、數據最小化與準確性、限制存儲以及數據處理透明等基本原則,人們就會相信它們并愿意參與那些需要使用個人數據的商業與社會活動,這不僅能惠及個人,整個社會也將受益;而且,違反保密義務的侵權行為責任也將因謹慎要求的引入而得到增強。

其次,數據控制者應以受托人身份保護其占有的個人數據?!氨Wo義務”的要求旨在將隱私保護理念嵌入更廣的數據安全管理體系中、致力于隱私保護而非僅僅是避免被黑客攻擊或其他形式的非法訪問等傳統的數據安全管理。以數據“保護義務”替換“安全保障義務”不僅不是廢棄后者所強調的采取必要措施防止數據泄露這一關乎“數據安全”的關鍵舉措,而且還將在更廣泛的范圍內要求數據控制者提高數據安全保障水平,側重點不再是數據控制者是否采取了安全保障措施而是其采取的措施是否符合行業的普遍標準甚或是用戶的合理期待。這些安全保障措施不僅應與數據受托人處理的個人數據的性質、范圍和目的、與該數據處理行為有關的風險以及該處理行為致害的可能性或嚴重性相一致,而且還應根據法定或行業規定方式定期審查并進行相應升級或適當調整。當然,諸如匿名化和加密處理、去中心化存儲等事關數據安全的要求、數據泄露后的通知(報告)義務以及采取補救措施這一止損義務自然就成為數據控制者履行保護義務的應有之義。

最后,數據控制者尤應遵守忠實義務要求?!爸?選擇(同意)”程序設計雖在一定程度上能確保數據收集、使用與公開等行為保持透明,但事實上,數據控制者幾乎不會關心數據主體是否了解告知內容的真正含義。同時,也無法指望用戶自己認真閱讀那些艱難晦澀的隱私條款。鑒此,以忠實義務標準取代透明度要求,能有效促使數據控制者以更積極的措施確保數據主體真正理解數據處理行為對其自身的影響,因為較之于充滿枯燥說辭或模糊保證的隱私政策聲明,信任機制更直觀、更有效用。如此一來,數據控制者實施的操縱(僅僅試圖改變另一方行為的情形并不構成操縱,意圖規避他人“深思熟慮的能力”、導致一方當事人并非基于自己自由意志作出決定的行為才是)、歧視(個人權利或某種機會因數據“畫像”而喪失或因此承擔其他人無須負擔的額外成本等數據濫用行為,如數據控制者為其認定的“高價值”客戶提供更高價格商品的行為,以及利用數據相關性分析從而預測某人未來罹患嚴重疾病的風險進而拒絕向其提供工作機會或保險服務等情形)、未經用戶授權或超過其授權使用、違背自身隱私政策等短期逐利行為都將構成對忠實義務的違反。畢竟,這些數據濫用行為都與用戶“合理期待”背道而馳。正所謂,“如果你勸誘他人相信你,你就不能轉身背叛他的信任”。

進一步而言,《民法總則》第7條關于誠信原則的規定已然構成信任責任法的基礎。因為,在內涵上,這一規定與英美法上的信義法所強調的忠誠地對待信任、誠實履行義務、遵守合理的商業標準、不得欺詐或獲取不當利益等基本法理是相通的。值得注意的是,我國杭州等地互聯網法院的設立為涉及個人數據及網上隱私保護等民事糾紛的解決提供了先行先試的機會與組織保障。尤其是,法院可考慮通過對誠信原則的靈活性解釋,闡明其中所蘊含的信義法理,并以樣本案例為指導,逐步確立數據受托責任判定標準。首先,對數據控制者或網絡服務提供商進行定義以明確承擔數據受托責任的主體類別或范圍,尤其是像百度、阿里、騰訊等大型數據公司或社交媒體中介因用戶信賴程度更高從而可能負擔比其他普通或不知名的網絡服務提供商更高標準的信義義務。其次,確定“理性用戶”的期望該是什么或對“理性用戶”進行“畫像”。畢竟,數據受托責任建基于用戶的“合理期待”。當用戶將其個人數據“托付”給數據控制者時,也就一并將對后者的信任與依賴嵌入了數據關系之中,且選擇相信數據控制者會尊重并保護他們的數據隱私,任何利用數據“畫像”不當改變其選擇或決定甚至是歧視他們,都將違背用戶的信任或“合理期待”。事實上,正是一方對另一方“合理期待”所塑造的信任和忠實之價值才構成了英美法中信義標準的基礎。這種開放式的標準不僅易于適應不斷變化的社會需求,而且也有助于促使受托人謹慎地并以更高的標準行事。最后,在責任承擔上,除停止侵害等傳統救濟外,還可考慮引入懲罰性損害賠償,以期給予數據濫用行為足夠威懾。不過,自動駕駛以及數據驅動的其他商業場景中的數據控制者之數據受托人的定位與資產管理人等傳統受托人仍存在顯著的差異:“前者負擔的義務范圍狹窄,后者則承擔相當廣泛且強有力的受托責任,很多時候我們期待上述專業人士不僅能主動避免損害客戶利益,而且還能關注客戶利益并防止他們損害自己或做其他傻事,但無論如何,我們不該對數據企業提出如此苛刻的要求,雖然它們也有保護用戶隱私的義務,但不能期待或要求它們對我們某次出行提出警示或阻止用戶在社交媒體上披露更多的個人信息”。


五、結 語


個人數據的收集、處理及利用已不可避免地成為社會、經濟體系的一部分。作為隱私載體的個人數據已成為一種重要的社會資源,具有顯著的社會價值。因此,為促進數據產業發展乃至社會進步,應擺脫數據獨占理念進而讓更多當事人有機會獲取并使用數據。若因隱私保護之故而賦予數據主體對個人數據或隱私的絕對控制,那么就可能阻礙數據產業的發展乃至社會進步。當然,這也絕非意味隱私的消亡。相反,隱私“關乎人們的身份、平等、安全以及信任的建立……只是,大數據時代的隱私不應再被純粹地當作一種秘密,而是一種處于秘密與完全公開的中間狀態,在此意義上說,隱私權不是一種絕對的權利,而是一種相對的權利”。

鑒于個人數據采集、處理及利用已成為社會及經濟生活一部分且很多時候會以犧牲數據主體利益為代價,因此在推動數據產業發展的同時,還應妥善保護用戶數據隱私,否則這些消費者將會拒絕使用數據驅動的產品或服務從而主動化解自己遭遇的隱私危機。盡管“隱私已死?”的質問讓不少人對即將到來的“透明社會”感到恐懼,但這純屬多慮。不可否認,現有隱私保護存在上文所述的保護不周問題。因此,可創設多維度的隱私保護規則,并將隱私的關注點從保護隱私不受不法或不當行為侵害擴展到將其視為信任關系的推動者,在促進個人隱私自治同時,增強數據控制者問責制,要求它們以數據受托人之身份收集、處理及使用個人數據??傊?,在一個技術不斷發展的社會中如何對隱私進行定義是隱私保護中最棘手的問題之一,而如何在更廣泛的公共利益背景下權衡隱私價值或將是更大挑戰。


版權所有:法治政府研究院北京市海淀區西土城路25號郵編:100088

站長統計 聯系我們

麻豆画精品