个人信息保护已成全社会关注焦点。在欧盟,以《一般数据保护条例》为代表的立法产生了全球性的影响。在美国,以《加州消费者隐私法案》立法和剑桥分析公司数据一案为代表的事件也引发了全球关注。我国的个人信息立法、司法与执法何去何从?本书从历史、现状与未来三个维度出发,深入分析个人信息保护在原理层面提出的挑战,我国和域外的个人信息保护实践如何落地。本书理论结合实践,阐述了个人信息保护的整体图景。
作者简介:丁晓东,中国人民大学法学院副教授、博士生导师,未来法治研究院副院长。曾获中山大学电子与通信工程专业学士、中山大学法学硕士、北京大学法学博士、耶鲁大学法学硕士、耶鲁大学法学博士、中国人民大学法学院博士后等学位或经历。在《中国社会科学》《法学研究》《Modern China》《Journal of Contemporary China》等中外文期刊上发表学术论文40余篇。
在近年来的法学研究中,个人信息保护或许是最具争议性的议题之一。尽管加强个人信息保护已经成为社会共识,但个人信息保护的基本理论问题却仍无定论。首先,个人信息需要法律保护吗?如果需要法律保护,其理由何在?用法言法语来说,个人信息保护的法益基础是什么?个人信息可以成为一种权利吗?还是一种权益或仅仅是一种利益?其次,如果说个人信息可以成为一种权利,这种个人信息权利的性质又是什么?是人格权、财产权还是其他类型的权利类型?最后,在保护手段方面,如何从部门法的角度理解个人信息?个人信息是一种私法权利还是公法权利?个人信息保护应当采取私法框架、公法框架,抑或公私法结合的框架?
学者们对以上问题给出了不同的答案。例如,个人信息是否可以构成一种法律权利?有的学者认为个人信息是一种利益,不足以成为一种权利;还有的学者则主张一种个人信息被保护权或个人信息相关权益被保护权,认为个人信息是一种保护相关权益的工具。就个人信息权利或利益的属性问题而言,有的学者认为个人信息所要保护的是个人的人格性利益;有的学者认为个人信息所要保护的是个人的财产性利益;有的学者则指出个人信息所保护的是个人的安全利益;有的学者指出个人信息上还附着他人利益与公共利益。就部门法性质而言,有的学者主张个人信息权利是一种宪法性权利或基本权利;有的学者主张个人信息权利是一种私法性权利。就部门法保护手段而言,有的学者从重点公法的角度对个人信息保护进行阐述; 有的学者重点从私法角度对个人信息保护进行分析;有的学者对其进行了部门法的交叉分析。
需要指出的是,此类原理问题不仅仅是书斋里的学术问题,也是制度与实践问题。对每个问题给出不同的回答,就会产生个人信息保护立法、司法与执法上的差异。例如,如果个人信息可以被认定为一种法律权利,那么法律就应当对这种权利进行立法和严格执法;而如果个人信息仅仅可以成为一种权益甚至利益,那么个人信息保护或许应当更多依赖信息收集者的自我规制。再如,如果个人信息是一种人格性权益,那么法律对于这种信息权利的保护就不能减损;但如果个人信息更接近一种财产性权益,那么个人就可以通过和信息收集者的交易而放弃这种权利。最后,就部门法的角度而言,个人信息的部门法性质与部门法保护手段也会决定个人信息保护应当依赖个人诉讼的方式、公益诉讼的方式,还是行政监管的方式。
目前,中国的个人信息保护立法已经接近尾声,中国的个人信息保护法即将出台。但对于个人信息保护的理论研究与司法和执法实践而言,法律的通过是一个新的起点,而非终点。我国个人信息保护法所规定的个人信息权利边界如何确定,相关制度框架如何发挥作用,以及如何在具体场景中真正落实个人信息保护,这些都依赖于对个人信息保护的原理进行深入研究和阐述,对相关制度与实践进行密切追踪与反思。
本书的目标正是为了实现这一点。个人信息保护不但是我国学术研究与制度实践的热点与难点,而且也是全球公认的热点与难点问题。欧盟的《一般数据保护条例》(以下简称《条例》)于2016年制定并于2018年生效,对全球的个人信息保护产生了深远的影响,但这一立法也同时在欧盟内外产生了巨大的争议。2020年,美国加州的《加州消费者隐私法案》生效,再次引起了全球对个人信息保护制度的关注。但美国的个人信息保护到底何去何从,仍然面临诸多不确定的因素。在不确定的全球个人信息保护制度面前,更需要我们加强对个人信息保护原理与实践的研究。
本书的结构将按个人信息保护的历史、现状、未来进行写作。其中第一编是个人信息保护的历史,主要讨论个人信息保护的思想与制度起源。第二编是个人信息保护的现状,主要对现行的个人信息权利与制度框架进行反思。第三编是个人信息保护的未来,主要对个人信息保护中的一些新型数据权利,如数据被遗忘权、携带权、反对用户画像与自动画像的权利进行讨论,并分析中国应当如何确定与应用这些权利。
在展开本书正文前,需要对本书概念的使用进行一些说明。第一,本书并未严格区分个人信息与个人数据的概念。在当前全球话语体系中,这两个概念指涉的对象基本相同,都指已经识别或结合其他信息/数据可以识别个人的信息/数据。总体而言,美国更多使用个人信息的概念,欧洲更多使用个人数据的概念。而中国采用了个人信息的概念,但在其他情形下也越来越多地使用数据的概念。
第二,关于隐私与个人信息概念的使用。从学术上说,信息/数据隐私基本等于个人信息/数据保护,二者可以交替使用;而隐私保护的法律框架与个人信息保护的框架非常不同。但在实践中,隐私与个人信息常常混用,如很多企业网站的个人信息保护政策,企业一般都将其命名为隐私政策。对于此类概念混用,我们应当保持足够的理解。正如语言哲学家维特根斯坦教导的,语言的含义必须在具体的情境中才能得到理解,不能以本质主义的语义学分析来对相关概念进行界定。我们应当思考的是概念背后的具体事物与问题,而不是期待概念本身具有一成不变的含义。
结语:个人信息保护的三个特征与对法律制度的挑战
在浩瀚的法学研究中,个人信息保护只是一个很小的议题,但这一个很小的议题却引起了法学研究者的极大兴趣,从民商法学者到宪法行政法学者,从社会法经济法学者到刑法学者,从知识产权学者到法理学学者,几乎每个部门法与理论法学领域都有学者涉足这一领域。是什么原因导致了众多学者产生了对这样一个小问题的大兴趣?从一般的法律制度与法学研究出发,个人信息保护又体现了什么样的独特问题?
本书的研究在一定意义给出了初步答案。对个人信息保护进行全面研究与归纳,我们至少可以发现个人信息保护的三个特征:
第一,个人信息保护具有较为明显的外部性特征。个人信息保护不仅仅涉及信息主体与收集者或处理者,而且会对不特定的第三者或社会产生影响。一方面,合理的个人信息保护可以防止很多信息相关的系统性风险。例如,某个企业在获取个人同意的情形下收集个人敏感信息,但这家企业未尽到合理保护义务,使个人信息进入公共流通领域,则个人就可能面临不特定的威胁。就此而言,合理的个人信息保护类似防止环境污染,具有正外部性。另一方面,不恰当的个人信息保护会妨害信息的社会性价值。在传统法律框架中,法律对于信息不但不以专有权的方式加以保护,反而鼓励信息的自由流通与共享,如通过言论自由的方式保护个人信息的合理收集与利用。其主要原因就在于信息具有非稀缺性与公共属性,对信息的合理收集与利用不但不会减少信息本身的价值,而且有利于减少信息不对称。就此而言,如果简单将个人信息隔绝起来,那么个人信息保护就会产生负外部性,不仅妨碍信息主体与信息收集者和处理者之间的互惠合作,而且妨碍国家、社会与市场对数据的合理使用。
第二,个人信息保护处理的是不平等主体之间的关系。个人信息保护与传统的侵权隐私保护具有密切联系,但从法律制度的框架上来说,其区别也非常明显。导致这种区别的一个重要原因在于,个人信息保护的法律制度处理的是法律拟制为不平等主体之间的信息关系,而传统侵权隐私处理的是法律拟制为平等主体之间的关系。正是假设了信息处理者与个人之间的不平等关系,法律赋予了个人以知情选择权、访问权、更正权、删除权、携带权等一系列信息权利。从法律制度上来看,此类权利类似于消费者保护法与劳动法等法律部门中所赋予消费者与劳动者的一系列权利,意在通过赋予弱势群体以一系列权利来矫正信息处理者与个人之间的不平等关系。
第三,个人信息保护处理的是持续性的信息关系。个人信息保护的法律框架源自“公平信息实践”,这一法律框架除了矫正信息处理者与个人之间的不平等之外,另一最大的特征在于努力建立信息处理者与个人之间的良性互动关系。在信息处理者与个人之间,二者的互动关系并不是一次性的,而是一种持续性的信息关系。也正是因为这一原因,近年来越来越多的学者与专家开始倡导以信义法的框架保护个人信息。相对合同法的框架,信义法的框架更多建立在持续性的关系之上,而非单次性的关系之上。在这个意义上,个人信息保护所要处理的关系更接近于婚姻法、劳动法等法律部门。在婚姻法、劳动法等法律部门中,其法律所要处理的关系也更类似于社群主义或关系型契约中的关系,更强调双方的信任而非单次的交易。
从制度设计与制度效果来看,个人信息保护的三个特征都对法律制度提出了全面的挑战。首先,法律必须平衡个人信息的私人属性与公共属性,法律如何既能保护个人信息的相关权益,又能确保国家、市场和他人对个人信息的合理利用,需要法律制度的重新设计。其次,面对不平等法律关系中的个人信息赋权,法律制度也需要面对一系列难题:如个人可能没有能力合理行使此类权利;寻租者可能对这一权利进行搭便车甚至寻租;信息处理者可能无法合理收集与利用信息。最后,面对持续性的信息关系,个人信息保护法律制度如何保证个人与信息处理者的合理自治,同时促使二者的信任与双赢,而非对抗与双输,也需要超越传统法律框架,对法律制度进行重新想象。
从个人信息保护的三个特征出发,就可以发现个人信息保护所提出的挑战并非个人信息保护问题所独有。相反,这些挑战对法律制度具有普遍性的意义,值得每个部门法与理论法学认真对待。与个人信息保护一样,其他很多法律部门与领域也需要处理大量具有外部性、不平等性与持续性特征的法律关系,也亟须法学研究的深化与法律制度的创新。在这个意义上,深化个人信息保护法的研究,不仅对于未来个人信息保护制度的理解与适用具有重要意义,而且也能为一般法律问题的学术与制度建构提供借鉴。