作者:刘泽刚,哲学博士,西南政法大学行政法学院宪法学教研室副教授。
来源:《浙江学刊》2020年第 6 期。本文已获授权,注释已略,建议阅读原刊。
摘要:大数据隐私权规范内容的高度不确定性,不仅导致其无力直接规范大数据处理活动中的隐私风险,更引发了立法、司法和执法领域的一系列问题。大数据隐私权不确定性的形成既有规范的表层原因,也有模式方面的深层原因。只要大数据基本模式不变,大数据隐私权的不确定性就无法完全消除。风险具有可测量可归责的特征,适合作为降低大数据隐私权不确定性的基础。在风险基础路径的隐私规制中,隐私权成为间接的评价原则,不再直接规定相应义务。新近数据隐私保护立法都非常重视借鉴欧盟大数据隐私权的设置,却容易忽视风险基础路径的构建,建议充分重视大数据隐私权规范内容的不确定性,合理配置权利与风险机制在立法中的地位。
关键词:隐私权;大数据;基于风险的路径;数据主体的权利;数据合规
大数据时代侵犯隐私的罚单往往也是大数量级的。2020年4月,美国联邦法院批准了Facebook与美国联邦贸易委员会(以下简称FTC)于2019年7月达成的和解协议。这份价值50亿美元的和解协议起因于众所周知的“剑桥分析”丑闻:8700万Facebook用户数据被不当泄露用于支持2016年特朗普的总统大选。FTC因Facebook违反用户隐私保护承诺对其进行调查并最终达成高额和解协议。实际上,剑桥分析事件只是互联网企业大范围侵犯用户隐私现象的冰山一角。近年来,以Google、Facebook为代表的企业动辄得咎,多次因侵犯用户隐私被处以数千万甚至数十亿美元的罚款。大型互联网企业拥有强大的法律合规团队,也非常重视市场评价,但为何一再违反法律规定?对此各界反应不一。拍手称快者认为大企业欺骗用户的恶行终遭严惩。鸣屈叫冤者认为相关问题成因复杂,不宜单独纠问企业。理由是大数据隐私权规范内容具有高度不确定性,现行法律很难直接规范大数据处理活动中的隐私风险。
一、大数据隐私权不确定性的界定
大数据条件下的信息隐私与传统隐私存在根本差异。尽管前者是从后者发展而来,且在很长一段时间里借鉴了后者的保护方式。在大数据条件下,数据已成为最重要的隐私载体,所以大数据隐私已发展为相对独立的领域。为此,欧盟通过立法确立了一系列适应大数据时代、与人格紧密相关的“个人数据保护权”。由于将隐私保护作为首要价值,且与大数据处理过程紧密相关,欧盟个人数据保护权属于典型的大数据隐私权。
大数据隐私权是为了应对大数据时代的需要提出的,但其不确定性已成为限制其作用发挥的重要因素。不确定性与确定性是法的基本属性。在大部分情况下,法律不确定性是中性的现象。只有当某个领域中法律不确定性已经深刻影响了认知与实践时,才会成为一个问题。为了避免与传统法学上的不确定性概念混淆并发生争议,本文将大数据隐私权不确定性用于指称权利规范内容存在模式性的高度不确定性。在互联网世界中,人们用自然语言来表示定性概念都会出现不确定性。该不确定性是由随机性、模糊性以及随机性和模糊性之间的关联性而引发的。目前各国对隐私权的界定不一致,隐私权保护模式只能将隐私权归纳为一个隶属度模糊的集合,而这种模糊度对随机性又具有高度依赖性。因此,很难用规范语言界定大数据隐私权。除此之外,大数据运营以及规制模式仍处于变动过程中。比如近年来兴起的联邦学习对大数据运营下的隐私保护模式又提出了新的挑战。因此,实践中的大数据隐私权保护模式或者路径还在摸索中,而且必将长期处于变动之中。
从规范意义上看,隐私权是高速变化的弱权利概念。阿列克西认为权利概念有强弱之分。权利的强概念将与权利有关的所有根本特征都视为权利概念的基本要素。强概念容易将具有高度争议的实质性问题降格为纯概念之争。权利的弱概念是指将权利看作法律关系的内容,即权利主体(a)、义务主体(b)、权利的内容(G)三要素间的一种规范联系。可用公式“RabG”来表达a有关G对b拥有一项权利,其中“R”是实施权利的适用条件。用弱权利的规范分析方法作为大数据隐私权不确性研究的切入点,可以解释大数据隐私权不确定性的表现、成因及应对机制。
近年来,全球个人数据保护立法进入高峰期。新一轮立法在权利规定方面与欧盟GDPR几乎达到了“镜像”的雷同程度。GDPR以及受其影响的立法中规定的“数据主体的权利”基本都可归入大数据隐私权的范畴。因为这些权利是基于大数据处理模式下的隐私保护目的而创设的。但大数据隐私权并不限于数据主体的权利,还应将同意的权利纳入大数据隐私权。GDPR第二章“原则”第6条将数据主体的同意作为最重要的数据处理合法性来源。尽管没有被列为“数据主体的权利”,但“同意”无疑是最能体现隐私主体地位和“信息自决”精神的权利。数据主体基于信任而同意特定数据处理进程,意味着数据控制者必须承担一定的法律义务。同意并非凭空做出,而是以数据控制者提供了恰当的通知、说明以及操作为前提的。因此,从隐私保护的规范结构来看,同意的权利是最根本的大数据隐私权。在已具备个人数据(信息)保护法的国家和地区,大数据隐私权至少可分为两层结构:数据处理开始前同意的权利;数据处理开始后的数据主体权利。尚未制订个人数据(信息)保护法的国家的大数据隐私权分布虽比较零散,但应进行这两个层次的区分识别。
二、大数据隐私权不确定性的表现与成因
大数据隐私权的主要保护机制是公权规制而非个体诉讼和司法保护。本部分对大数据隐私权不确定性表现的分析主要结合实践展开。
(一)立法领域的表现
法律权利是以法律规范形式表现的。法律规范中既有规则也有原则。前者确定地要求某事,是确定性命令;后者则是最佳化命令,要求某事尽可能被实现。阿列克西认为最佳化命令“能以不同的程度被满足,而被要求的满足程度不仅取决于事实上的可能性,也取决于法律上的可能性。”规则和原则的适用方法分别是涵摄和权衡。隐私权是一种典型的权衡性的审慎权,其要旨在于“理性的个体去承认部分隐私权,因为保障这些权利将有益于社会”。因此,以GDPR为代表的大数据隐私保护立法中的权利规范主要是原则性规定,而非对应确定义务的规则,权利和义务之间的规范空隙需要相应机制进行填充。
即便是“同意”权这样基础的权利都存在极大的不确定性。GDPR第4条将“同意”定义为:“数据主体通过一个声明,或者通过某项清晰的确信行动而自由做出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。”GDPR第7条则规定了构成“同意”的四个方面的条件:数据控制者必须能够证明数据主体的同意;必须采用容易理解的形式,使用清晰平实的语言;数据主体应有权随时撤回其同意,且撤回同意应当与表达同意一样简单;同意是否自由应该看是否能排除不必要的数据处理。这些规定看似详细,但却主要是形式性和程序性,未触及实质性的规范内容,并不能保证数据主体真正实现其自主性。同意原则运用不当甚至可能成为一种便利的卸责机制。正因为如此,第29条工作组(The Article 29 Working Party,以下简称WP29)认为:“一般而言,只有当数据主体获得控制权,并且在接受或拒绝所提供的条款方面获得了真正的选择,或在不造成损害的情况下拒绝了所提供的条款时,同意才是适当的法律依据。在征求同意时,数据控制者有责任评估其是否满足获得有效同意的所有要求。如完全符合GDPR 的规定,那么同意就是让数据主体可以控制其有关的个人数据是否被处理的一种工具。否则,数据主体的控制权就形同虚设,此种情况下的同意不再是数据处理活动的合法有效基础,处理活动会成为非法行为。”。然而,即使严格遵循GDPR的规定以及WP29的阐释,我们仍有理由质疑:关于同意的规定是否真正体现了选择的自由?
首先,一些应用已成为生活和工作的基本条件,数据主体没有真正的自主选择权,只能被动地同意格式化的隐私政策。互联网发展初期人们希望将其建成“自由人的自由联合”,但最终却发展成企业权力集中、规模庞大、制度复杂、运行不透明的形态。同意只是现有构架中形式性的选择自由,实质性的数据自决并没有被嵌入大数据模式。其次,普通用户缺乏技术知识,同意建立在相对“无知”而非“充分知悉”的基础上。个体即便认为自己的信息隐私受到威胁或侵犯,也无法指出数据控制者和处理者应如何作为或不作为才能保护自身权利。最后,获得用户同意后的数据处理过程远远超出数据主体的控制范围。实际上,“通知——同意”的框架早已不适合应对因数据聚合、收集和定向推送等数据处理进程引发的隐私问题,不能满足大数据隐私保护的需要。因此,看似详尽的同意的规定其实蕴含着极大的事实与规范层面的不确定性。
GDPR第三章规定了诸如数据访问权、修改权、删除权、数据便携权、拒绝权和自动化的个人决策的权利等各项数据主体权利,主要都是原则性而非规则性规定。由于大数据运营模式非常复杂,不同业务依赖的技术框架各具特色,法律无法穿透特定技术和运营框架详细规定数据控制者和处理者的具体义务。因此,尽管立法者已经尽量详尽规定大数据隐私权的内涵,但其规范层面的不确定性仍然很高。类似情况在巴西、印度、美国加州的大数据隐私立法中同样存在,而这势必影响司法和执法活动。
(二)司法领域的表现
大数据隐私权内容的高度不确定性使其司法适用困难重重。如赋予普通民事诉讼过高地位,相当于放任法官在大数据隐私领域主动“造法”。重视规范统一性的GDPR不能接受这种情况。大陆法系国家也不会允许法官在这样一个涉及科技且高速发展的领域通过司法活动进行实质立法。GDPR和LGPD只是通过寥寥几条规定原则性地承认了民事诉权,因为在强调制定法统一性的制度环境下,大数据隐私权保护无法过多依赖民事诉讼。例如,GDPR的实施主要依靠数据保护机构的执法行为而非诉讼。即便是允许法官造法的英美法系国家,也不约而同地弱化了大数据隐私权的民事诉讼救济机制。主要表现为如下几个方面:
第一,弱化传统民事诉讼的救济功能。最典型的是印度PDPA2018第89条明确规定民事法院对与该法案相关的任何诉讼或者程序无管辖权,且任何法院或者执行机构不得发布根据该法案授权发布的禁令。这条规定排除了私人通过一般民事程序寻求救济的可能性。CCPA第1798.150(d)项明确规定该法中的任何内容均不得解释为任何其他法律规定的私人诉讼权利的依据。第二,限缩赔偿诉讼的事项范围。CCPA第1798.150(a)(c)项规定,自然人只能因其未加密和未编辑的个人信息受到侵害提起诉讼。且只有在企业未实施和采取合理安全程序并采用与信息性质相符的措施来保护包括社保账号数字、驾照数字、银行账号加密码、医学信息、生物信息等个人信息,从而导致未经授权的访问、泄露、盗取或披露时,私人才有资格提起民事诉讼。个人不能针对CCPA规定的其他违规行为提起诉讼。第三,设置赔偿诉讼前置程序。CCPA对数据泄露损害赔偿设置了改正期。消费者因企业过失泄露数据而提起诉讼寻求法定损害赔偿前,应提前30天提供书面通知。企业在收到通知后30天内确实改正违规行为,并向消费者书面声明违规行为已改正且不会再犯,消费者就不能提起损害赔偿诉讼。第四,设置特殊司法救济途径。PDPA2018设立了专门的上诉法庭处理争议,凸显了大数据隐私权救济的特殊性。CCPA在隐私司法救济领域采取了公益诉讼优先于普通民事诉讼的立场,即州总检察长有针对违反法规行为的优先起诉权。只有当州总检察长放弃起诉时,消费者才能提起诉讼。此外,CCPA规定的法定索赔金额较小,不足以激励民事集团诉讼。
欧美成功的大数据隐私权司法实践非常有限。一旦法院采取能动立场,对隐私权争议进行实质性的规范创造,其效果又难让人满意。如欧洲法院关于“被遗忘权”的司法裁判影响巨大,但其依据和效果却受到广泛质疑。该判决对包括言论自由、新闻自由在内的多项自由形成了严重的负面影响,也对欧盟互联网经济发展造成了负面效应。很多西方国家后来都做出了立场不同的判决。被遗忘权的司法实践说明如不重视大数据隐私权的不确定性而激进地进行裁判往往会导致难以预见的负面后果。
(三)执法领域的表现
大数据隐私权不确定性在执法上表现为政府无法基于隐私权对数据处理进行直接监管,行政规制重心由权利转向“问责”。
作为一种商业运营模式,大数据以云计算、非关系型数据库、分布式存储和处理、基于机器学习的数据挖掘等技术架构为基础。21世纪后,这些技术深刻改变了数据存储、计算和处理的方式,进而对隐私保护产生重大影响。基于20世纪90年代技术架构的信息自决、政府强力监管的模式已不适应时代要求。片面强调隐私保护,选择严防死守的策略,排斥和阻碍数据的自由流动和处理,势必影响经济和社会发展。如采取规范虚无主义的态度,寄望于技术发展和自律解决问题,又无异于放弃政府责任。经过积极思考和热烈讨论,欧美将更多的数据保护责任划归数据控制者,要求其采取各种积极措施,以确保信息隐私各项原则的实现。这种调整的合理性在于:既然法律无法及时有效地对数据处理领域的改变进行直接和实质性的控制,那么就通过对数据控制者的控制来间接调控。这种转变在制度上体现为对问责原则的强调。WP29指出问责制的重心在于推动既有数据保护原则的贯彻落实,而非增加新的义务。GDPR第5条“个人数据处理原则”第1段列举了数据处理必须遵循的6种具体原则后,于第2段规定:“控制者有责任遵守以上第1段,并且有责任对此提供证明。”由此,GDPR正式将“可问责性”列为数据处理的一项基本原则,与传统的合法性、合理性和透明性原则等6项原则共同构成欧盟个人数据保护的原则体系。
问责制并非新生事物。1980年《经济合作与发展组织关于隐私保护和个人数据跨疆界流动的指导原则》第14条规定数据控制者有责任遵守使相关(指导)原则生效的措施,这是问责原则首次出现于正式文件中。问责制是指一个主体有能力要求另一个主体对其行为进行解释或提供理由。所谓的“问责”不仅指向责任,还指向外界的主体,要求透明的互动以及寻找解决方案、进行修订的过程等。但问责制关注的输入和输出、以及透明的互动等环节在大数据处理过程都很难实现。因为大数据处理过程是一个充满神秘感的“黑箱”。从实际效果来看,这几乎等于公权力放弃了对大数据处理过程的介入和监管。这种不问过程,只看结果而形成的监管看似是问责制应对科技和营商模式复杂性进行的调整,实则却会导致互联网企业由于缺乏规范指引而难以预估其经营活动是否违反了隐私权的要求。
(四)大数据隐私权不确定性的成因简析
1.规范层面的原因
大数据隐私权涉及的利益权衡非常复杂。阿列克西认为权衡完全可能是理性的。他提出了两个“权衡法则”,即实质性法则和经验法则,并用公式概括了权衡的法律适用过程。哈贝马斯认为事情远比阿列克西说得复杂。在他看来,宪法法院如采纳价值秩序的学说作为裁判基础,会导致功能主义论据优先于规范性论据,进而加大非理性判决的危险。阿列克西认为基本权利是可最大化的价值。而哈贝马斯则认为基本权利与道德规则一样是义务性的行动规范,进而批评德国宪法法院存在着明显的用价值取代规范的倾向。两位学者争论的主题是宪法法院基本权利司法裁判的正当性。但该讨论对本文主题也具有非常重要的参考价值。以欧盟GDPR为代表的新一代数据保护立法实际上采取了弱化权利规范属性而强化其价值属性的立场。这导致隐私权逐步失去直接规范作用,增加了规范的不确定性。
2.大数据模式引发的不确定性
人类社会绝大部分数据都是在互联网上产生、存储和处理的。大数据隐私是在数据处理过程中产生的。脱离刚性技术架构侈谈隐私保护只是凌空蹈虚的妄言。互联网结构和大数据处理过程显著的随机性、相对性和模糊性导致大数据隐私法律关系及权利内容具有模式性的不确定性。
(1)随机性。传统隐私主要靠封闭和保密方式保护。大数据隐私权则需在数据流动和运用的前提下进行保护。在大数据模式下,数据与个人的联系是动态的,且其变化难以预测。隐私保护具有高度的随机性和不确定性。大数据创造价值的主要技术手段是数据挖掘,即“从大量数据源中挖掘有趣模式和知识的过程”;而数据挖掘的技术基础是机器学习。机器学习是使计算机不需要显式编程就能拥有学习能力,其核心目标是建立预测模型。而建模涉及的主要是变量间的统计关系。但与统计学不同,机器学习不太关注数据的产生过程,而专注于提升预测能力。机器学习通常也不要求提供数据预处理、特征选择、模型选择、求解的正当性。随机性是机器学习无法避免的宿命。深度学习常采用的人工神经网络更是一直存在解释难题。尽管人工神经网络在很多任务上表现良好,但除了输入和输出层外,隐藏层(Hidden Layer)内部到底发生了什么却像“黑箱”般难以解释。机器学习固有的不确定性对数据挖掘至关重要,但却可能导致人格利益的损失。目标和方式的不确定性导致无法实质性地预先征得数据主体基于理解的同意。但只要允许机器学习的运用,数据处理的结果总会带有某种不确定性或开放性,隐私保护必须面对极大的不确定性。
(2)相对性。个人数据具有资源和人格双重属性,其人格属性中有一部分涉及隐私利益。但在现实世界中,无论是市场还是政府似乎都更重视数据的资源属性;隐私权的地位并不像法律界想象或表述得那么显要。实际上,信息隐私保护几乎一直是个附随性问题。没有任何政府或经济体将信息隐私与互联网经济分开进行规制。即便是非常重视权利保护的GDPR也将其目的定位为“保护自然人的基本权利与自由”和保证“个人数据自由流动”。这种双重目标设定决定了信息隐私保护和互联网经济监管的紧密关联。宏观地看,大数据带来的经济发展以及社会规制方面的变革才是更具优先性的问题,而且构成了隐私保护的基本背景。此外,数据保护制度还具有技术、应用和架构的随附性。现有的数据保护实际上是囿于特定的技术、应用和组织架构的。信息隐私保护相对而言是次要和后发的问题。不同的应用形态和规则对信息隐私的保护影响很大。互联网上层集中和底层去中心的结构对信息隐私具有根本性的影响。单从权利逻辑出发难以切实保护信息隐私。只有通盘考虑市场、技术、监管和权利逻辑,并充分顾及现有技术、应用和组织架构的刚性,才能寻找到恰当的隐私保护机制。而这些都加剧了大数据隐私权的不确定性。
(3)模糊性。大数据模式的迅猛发展并不是以明晰的产权界定和权利确认为前提的,而是以法律关系的模糊性和法律措施的权宜性为代价的。数据是信息时代最重要的经济资源。然而,大数据营商模式的发展并没有以产权明晰作为前提。毕竟数字经济有根本不同于传统经济的发展路径和逻辑。数据产权界定还存在诸多变数。企业、政府、社会组织、个人都希望在未来的数据产权配置中处于更加有利的地位。由于数字经济发展过快,人类社会似乎无意停下步履对相关产权问题做出稳妥安排。大数据条件下的数据处理本身就是以权利不明晰作为条件的。这也决定了大数据隐私保护无法以明晰的权利机制作为其规范基础。以权利为基础进行信息隐私保护,数据归属这个最基本的权利问题如果未获解决,其他权利问题就难以获得稳固基础。但现实是全世界都绕开了这个难题。这充分说明,大数据隐私权基础模糊且充满高度不确定性。
三、基于风险的路径:欧美应对大数据隐私权不确定性的主导机制
大数据时代的隐私规制重心转向“问责”。从业界角度看,“问责”意味着“合规”。“合规”一般是指企业和组织在业务运作中不仅要遵守自身各项规章,还要遵守政府和行业制定的各项法律、法规和标准,同时能证明确实达到了相关要求。数据合规强调对包括隐私在内的各种权利的保护。但由于大数据隐私权不能为合规提供直接行为规范,企业需评估其数据处理活动对权利造成的不同风险,并据此采取恰当措施防范风险。正因为如此,欧盟和美国都将“基于风险的路径”作为隐私规制的主导机制。
(一)风险为何能成为大数据隐私规制基础
风险能成为大数据隐私规制的基础,主要是因为其是可测度的,而且与决定相关。前者提供了评测和确定相应措施的基础,后者提供了追究责任的基础。芝加哥经济学派的创始人富兰克·奈特在1921年发表的《风险、不确定性和利润》一书中区分了不确定性与风险:“不确定性与我们所熟悉的风险概念有着很大程度的区别,二者从未被正确地区分过……显然,可测量的不确定性,或者说适当的风险……与不可测量的不确定性是截然不同的,因为前者根本不是不确定的。”正如奈特所言,风险是可以认识和测量的,也可进行某种程度的控制,不确定性则是无法测度的。奈特基于不确定性的经济学观点与当时建立在数学概率原理或确定性假设引导决策基础上的古典经济理论格格不入,注定不能成为其所处时代的主流。时至今日,大数据隐私权的不确定性强迫法学必须认真对待风险与不确定性的差别。欧盟和美国不约而同地将基于风险的路径作为大数据时代隐私法的主导机制。从某种意义上说,就是将完全不可测度的隐私权的不确定性转化为可以进行测量和控制的风险。由此缓解了大数据隐私权不确定带来的各种负面效应。
此外,风险还与决定相关,从而可作为问责的基础。卢曼在《风险社会学》中指出风险与危险的差异在于:与风险相关的损失被归因于决定,被看作是决定的负面结果;而与危险相关的损失则来自外部,并不被视为特定决定的结果。这一区分具有重要意义:正因为风险带来的负面后果与人或组织的决定有关,问责才有了稳固的依据。大数据模式虽有内在不确定性,但如果慎重选择部署和运营的方式,也可以降低对权利侵扰的风险。风险基础的路径强调承担责任的程度与企业重视风险的程度以及是否采取了恰当措施直接相关,而非仅依据损害后果进行追责。基于风险路径的合规与普通的风险规制是不同的概念。后者指的是对特定风险的管控,更关注事后和结果。基于风险的路径并不是“去监管”(deregulation)而是转换了监管的方式:强调风险与义务之间的关联,并赋予数据控制者更多评估和行动的空间。这种自由空间与其说是权益还不如说是加重的义务。因为数据控制者必须对整个数据处理过程的风险负责。这意味着巨大的技术、组织和资源的投入。
(二)风险基础的路径如何降低大数据隐私权的不确定性
(1)通过风险评估赋予隐私权具体规范内容
大数据隐私权在法律上主要表现为原则,需要相应机制将其具体化。基于风险的路径通过隐私风险评估,确定恰当的组织和技术措施,将大数据隐私权对应的义务具体化,降低了权利的不确定性。
尽管欧盟强调GDPR是基于风险的体系,但却并没有清晰界定何谓“基于风险”。GDPR第32条规定的“风险”是这样的:“在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的之后,以及处理给自然人权利与自由带来的伤害可能性与严重性之后,控制者和处理者应当采取包括但不限于如下的适当技术与组织措施,以便保证和风险相称的安全水平”。按此表述,风险事关伤害自然人权利与自由的可能性与严重性。GDPR的说明性文件提供了数据侵害的例证并指导数据控制者根据威胁的性质对侵害进行评价。综合来看,“基于风险”是一个由活动、附加义务和义务豁免构成的体系。数据控制者的活动被分为高风险、风险和低风险几类。每类活动对应不同的附加义务。某些义务在特定条件下可以得到豁免。数据控制者必须证明自己针对不同风险采取了恰当的技术和组织措施。高风险的数据处理活动至少包括GDPR第35条规定的如下几类情形:对与自然人相关的个人因素进行系统性与全面性的评价;大规模处理个人敏感数据(种族、政治观念、宗教信仰、基因数据、生物性识别数据、性生活或性取向等方面的数据)或与定罪违法相关的个人数据;以大规模方式系统性地监控某个公众可以访问的空间。当某类活动涉及高风险时,数据控制者应事先向数据保护官方机构进行咨询,并进行细致的数据保护影响评估(以下简称DPIA),如果活动造成侵权应通知可能的受害者。数据控制者可以通过相同逻辑确定在风险以及低风险情况下的隐私保护义务。
(2)通过应对风险表现综合衡量隐私违规责任
基于风险的路径通过综合评估数据控制者在整个数据处理流程事前、事中、事后风险防控的主观努力程度及效果,确定隐私违规行为需要承担的责任。由此降低了大数据隐私权的违规责任的不确定性。数据控制者有责任监督已认可的DPIA中确定的措施的实施,否则就应受到惩罚。GDPR 说明性文件中甚至使用了“源于数据保护影响评估执行的义务”这样的表述。这充分体现了问责的精神。GDPR第83条规定对违规的数据控制者和处理者进行处罚时应综合考虑11个方面的因素,其中就包括是否采取了与风险等级相适应的技术与组织措施。如果数据处理采取了相应风险合规措施却仍然发生了违规,则可以考虑减轻处罚。由此,隐私违规处罚的衡量标准就不是只问结果,而是充分强调企业是否充分重视风险并采取了恰当措施。
(3)通过风险评估降低隐私规制框架事实层面的不确定性
大数据隐私与传统隐私最大的差异在事实层面。GDPR在权利规定方面和欧盟1995年《数据保护指令》并无根本差异。指令超前地规定了一系列权利,但这些权利却缺乏可操作性且对欧盟的互联网经济形成了较强干预。GDPR被视为数据保护领域的重大进步,主要原因并非权利体系的革新,而在于它提供了更为切实可行的保护机制,增加了大数据隐私权保护规范结构的稳定性。大数据技术和运营模式仍然会发生不断变化。立法难以紧跟这种变化并对其做出细致规范。风险基础路径则可以从规范结构上将大数据隐私法的重心由立法转向法律的执行层面。基于风险的路径促成大数据隐私保护的规范层面与事实层面较好地结合。有效地吸收和降低了事实层面的风险因素,减少了大数据隐私保护规范结构的不确定性。基于风险路径的隐私法能更加从容地应对未来技术与商业模式对隐私保护带来的冲击。
(三)风险基础的路径中隐私权的规范地位转换
由于隐私保护义务主要来自动态的风险合规过程,而非直接来自权利规范。因此,尽管GDPR规定了大量权利,但大数据隐私权已“退居二线”,成为指引风险评估的间接评价原则。作为价值评价原则,隐私权无法提供判断数据处理过程是否合法的标准,而是通过一些次级规范间接规制数据处理过程。这些规范和机制主要有两种。一是以欧盟GDPR规定的个人数据保护权为代表的权利体系。二是基于风险路径的数据规制。前者重在填补数据与传统隐私权之间的缝隙,后者重在填补数据处理过程与隐私之间的缝隙。后者才是更具实际效力的主导机制。与GDPR相比,美国在没有改变权利配置的情况下采用基于风险的路径也取得了不错的效果。这提醒我们思考:对隐私保护而言,权利创设与规制创新哪个更重要?
美国的信息隐私保护规则分散于各传统法律部门。从法律上来说,美国也没有最高的数据保护官方机构。仅以互联网治理而言,FTC和美国联邦通讯委员会 (简称FCC)都拥有各自的管辖权。但经过长期实践,FTC已成为美国最重要的数据保护机构和隐私保护机关,并在隐私保护方面拥有非常广泛的权力。FTC官方也时常强调其信息隐私保护是基于风险路径的体系,而且从FTC的具体执法行动中更容易看出其对基于风险路径的重视。例如,Facebook与FTC签署的50亿美元的《民事罚金、金钱判决和禁止性救济的和解令》特别强调了风险评估的重要作用,文件第七部分“强制隐私计划”详细描述了风险评估的程序、要求和作用。这些条款体现的精神与GDPR并无二致:通过隐私风险评估确定企业的隐私保护义务并据此追究违规责任。
FTC的风险基础路径并无坚硬的权利框架。互联网企业在美国推出新服务和产品时受到的制约比欧盟要少很多。企业只要能基于风险设置内部规则,制订合理的业务流程,并符合相应的问责与合规要求,就能较为自由地拓展业务类型和规模。FTC保护消费者隐私的规范基础是惩罚企业欺骗和不公平行为的权力。作为富于弹性的规范目标,消费者隐私和权益充分发挥了数据规范评价原则的作用。尽管不像欧盟高扬数据保护权利的立法和实践那样引人注目,但美国的隐私法更好地兼顾了产业发展和隐私保护的目标。消费者权益这个看似“陈旧”的出发点发挥了良好的规范效果。
尽管WP29强调基于风险的路径并没有改变既有的数据保护规则体系,而只是为了让这些规则运行得更好。但基于风险的路径势必会影响既有的规范框架。原因在于GDPR强硬的权利体系。赋予数据控制者的部分自由裁量空间很可能违反GDPR数据权利的相关条款,尤其是GDPR规定了个人对其数据有控制的权利。如数据可携带权、被遗忘权、反对自动化决策,都没有给数据合规留下多少弹性空间。欧盟费尽周折推出GDPR,很大程度上也是为了构建能够应对未来挑战的数据监管架构,从而提振消费者和企业信心和互信,进而改变欧盟数字经济颓弱的局面。但研究表明GDPR的推行对欧洲科技创业投资带来了明显的不利影响。
LGPD在第七章 “数据安全和治理”中较为完整地借鉴了GDPR基于风险的路径。然而,令人感到意外的是同样受GDPR影响很大的PDPA2018以及CCPA却将注意力集中在权利体系架构上,几乎没有任何基于风险路径的表述。这说明后发的隐私立法很可能忽视大数据隐私权的不确定性问题。这一现象也为正在进行相关立法的我国敲响了警钟。
四、我国个人信息保护立法需主动应对大数据隐私权的不确定性
大数据隐私权的不确定性对中国立法的影响是不容小觑的。已列入立法日程的《个人信息保护法》需充分正视大数据隐私权的不确定性问题。
(一)正视大数据隐私权不确定性,妥善规定个人信息保护权利体系
大数据隐私权的不确定性是固有的。只要大数据基本模式不发生根本改变,大数据隐私权的不确定性就不会彻底消失。这必然引发两个方面的问题:既然大数据隐私权本身具有无法消除的不确定性,是否无需系统规定权利体系了?以及大数据隐私权利体系的功能和性质应该如何定位?
作为数字经济发展水平远超欧洲的世界第二大经济体,我国个人信息保护立法虽不可闭门造车,但更应立足自身慎加拣择。美国并未规定新型大数据隐私权,而是以传统消费者权益为基础进行大数据隐私保护。这是因为普通法传统和消费者保护法都非常强大。相比而言,我国消费者保护法并不完善。而且作为一个成文法传统浓厚的国家,完备的权利体系对我国大数据隐私保护的意义是不言而喻的。尽管存在一些问题,但GDPR个人数据保护权利体系的创建无疑是隐私法上的重要里程碑。这套权利体系经过多年探索和实践,具有显著的先进性与合理性,在世界范围内广受赞誉和仿效。我国个人信息保护立法也可借鉴GDPR的权利体系,规定适合国情的个人信息保护权利。
作为后发立法,我国有机会在个人信息保护立法中将个人信息保护权利的功能定位为隐私风险的评价原则,而非直接适用的请求权。为此,可主要从原则层面规定各项权利,适度淡化权利的自主控制性质,注意权利规范的弹性空间。从个人信息保护权利的内涵来看,《中华人民共和国网络安全法》(以下简称《网安法》)赋予个人的控制权甚至比GDPR更加绝对。我国现行信息隐私保护机制依附于信息安全的法律框架。《网安法》第41条规定网络运营者收集、使用个人信息必须经被收集者同意。相比之下,GDPR第6条规定了5种不需要数据主体同意的合法处理事由。此外,《网安法》第43条规定个人如发现网络运营者违法或违反约定使用其个人信息,有权要求后者删除其个人信息;如发现网络运营者收集、存储的其个人信息有错误的,有权要求予以更正。网络运营者必须采取措施予以删除或更正。这一规定远较GDPR相关规定更加严格。GDPR第17条1款规定了包括为了行使言论和信息自由在内的6种适用删除权的条件。应该说网络安全防护追求的确定性与个人信息保护的不确定性之间已经埋下了内化的冲突。建议我国个人信息保护立法时应避免继续采取过于强硬的安全立场,而应充分重视大数据隐私权的不确定性,从信息保护的立场对各项权利进行富于弹性的原则性规定。
(二)充分利用隐私风险影响评估应对大数据隐私权的不确定性
大数据隐私权固有的不确定性决定了其相关法律规定必然以原则性规范为主,其具体规范内容需通过相应机制加以细化和落实。如前文所述,尽管欧美经多年探索不约而同选择了基于风险的路径,但后发的大数据隐私保护立法未必会充分重视权利的实现机制问题。我国个人信息保护法案虽无须高举风险路径的大旗,但也适宜通过提升隐私风险评估机制等方法主动应对大数据隐私权的高度不确定性。目前国内部分研究和立法活动对隐私保护机制的重视依然不够。我国《民法典﹒人格权编》较系统地规定了个人信息和隐私保护的内容。在个人信息保护立法长期缺位的情况下,民事基本立法加强隐私保护的努力无疑是有益的。但从全球实践来看,尚未有将民事法律作为大数据隐私保护主导规范和机制的先例。由于大数据隐私保护需要有力的事前干预和对信息全生命周期的持续监管,传统民法机制恐怕无法胜任大数据时代隐私保护的主导机制。正因为如此,世界范围新一轮的大数据隐私保护立法都不约而同地限制了民事诉讼的作用。2018年6月,全国信息安全标准化技术委员会发布国家标准《信息安全技术个人信息安全影响评估指南》征求意见稿。该指南体现了基于风险的数据合规思路,但较少考虑隐私权不确定性问题;并与个人信息保护下的隐私风险评估和保护机制还有一定差距。建议适度提升包括隐私影响风险评估在内的各种风险评估的地位,使之与个人信息权利体系的间接评价原则作用紧密结合;并激励大数据运营主体在合理进行隐私影响风险评估的前提下,采取恰当组织和技术手段,主动应对大数据处理过程产生的各类风险,全面保障数据主体的个人信息隐私。
(三)从制度设计高度谨慎处理大数据隐私权的不确定性
大数据隐私权不仅事关个人权益保护,还会深入影响相关产业政策和法律制度框架,进而影响数字经济的发展模式与方向。大数据隐私权是与大数据处理过程紧密相关的制度性权利,其规范制订和规范内容的确定过程往往深刻影响着相关制度的建构。我国个人信息保护立法应充分注意隐私保护与数字经济发展间的平衡。尤其是在一些欧美存在对立做法的问题上,更应该考虑各种因素,审慎抉择。
总体而言,美国更倾向于尊重大型互联网公司经营自主权,而欧盟则更侧重保护个人数据的自主性。美国境内最接近GDPR立场的CCPA也比欧盟更倾向于保护企业利益。首先,CCPA延续了美国惯用的选择性退出原则,即对16岁以上消费者的大部分个人信息,除非用户明确拒绝或退出,企业可以默认用户同意而继续进行处理。而GDPR采用的则是相反的选择性进入原则,即在商业应用情境下,企业原则上在任何阶段处理消费者个人数据前必须获得其同意。相比之下,美国的选择性退出模式对市场发展更为有利。其次,CCPA削减了同意这种权利要求对企业经营自主的干扰。GDPR要求企业改变经营模式,如可能影响个人数据处理方式,事先应取得用户同意。而CCPA关于同意的机制不允许如此宽泛的干预方式。欧盟的规定很明显是不利于企业进行科技创新以及开展新兴业务的。这也在一定程度上解释了欧盟数字经济全面落后于美国和中国的制度原因。但数据自由流动和经济发展绝非我国个人信息保护立法的唯一目标。我国个人信息保护法有机会从制度设计的高度审慎研究和制订大数据隐私权的相关规范,从而更好地平衡权利保护和经济发展的关系。