大数据时代,数据信息量突飞猛进。大数据带来的数据经济发展和数据资产化加速趋势,使得个人信息保护问题[1]更加凸显。数据经济本身呈现了一种复杂的利益关系,一方面是数据经营者对个人信息数据化利用的需求,另一方面是用户对于其个人信息保护的需要。尽管大数据的商业化运用最终也有利于全面提升消费者生活品质,但这两方面的要求已然在现实层面形成冲突。李彦宏说“中国人愿意用隐私换便利”不见得是事实,但隐私与便利在大多时候确为鱼与熊掌的关系。
如何在制度上设计或处理好个人信息保护和经营者使用之间的这种利益冲突,就成为当前数据经济及数据资产化能否得到有效合理展开的基本前提。遗憾的是,我国立法迄今为止没有对此提供一套完整的清晰解决方案。
欧洲提供了一个重要范本,即今年5月25日生效的欧盟《通用数据保护条例》(GeneralData Protection Regulation,GDPR)。欧盟《通用数据保护条例》相对于欧盟1995年95/46/EC号指令(“隐私权指令”)的最大变化,是用“个人数据保护权”对“隐私权”进行了更替。这是在权利基础层面进行了整体逻辑上的变革,绝非仅是表述上的调整。1995年指令主要保护隐私权,而GDPR主要规制个人数据保护权。这是大数据时代个人隐私、个人信息保护的重大新发展。只有从基础权利的理念性更替角度,才能真正深刻理解欧盟《通用数据保护条例》的这种重大变革,而不迷失于洋洋洒洒的具体文本。
“个人数据保护权”虽脱胎于“隐私权”概念,但已然超越了“隐私权”。与后者的消极防御不同,个人数据保护权具有鲜明的主动防护特征。而且前者要远比后者明晰具体,可精确描述。相较于隐私权,个人数据保护权的保护力度更大。
对这种新型权利的精确描述体现在GDPR的第三章“数据主体的权利(rights of the data subject)”。按照GDPR第4条的规定,数据主体是指“一个已被识别的自然人或者控制者或其他自然人或法人可通过合理可行的直接或间接手段识别的自然人,特别是通过身份证号码、位置数据、在线身份或者一个或多个与其身体、生理、基因、精神、经济、文化或者社会身份有关的特殊因素来确定的人”这个概念强调已识别性或可识别性。凡是能直接或间接识别的自然人信息,都属于个人信息,须特别加以保护。
GDPR中的个人数据保护权包括七个方面的具体内容:知情权,访问权,修正权,删除权(被遗忘权),限制处理权(反对权),可携带权和拒绝权。其中删除权和数据便携性的权利是1995年隐私权指令所没有的。另外,GDPR对同意权的规定更为严格,同意只能是具体的,不能被假设。
仔细比较传统隐私权保护,个人数据保护权提供的保护更为有力。首先,个人数据权拓宽了保护范围。传统隐私权仅保护那些人们不愿意公开的私人隐秘信息,对自愿公开的数据信息一般不予保护,但个人数据保护权对这些公开的数据信息也同样加以保护。比如个人年龄、职业、收入等信息,在传统隐私权理念看来,只要你主动公开,构成隐私的那些私人隐秘信息就丧失了隐私属性,不再受法律保护。但是在个人数据权理念看来,你要使用某个互联网产品,就不得不进行实名注册,不得不主动填写年龄、性别、职业、收入等信息。因此,即便你是主动公开的信息,也不意味着你失去了这些个人数据的受保护权。即便主动公开或授权使用,也不意味着这些个人信息不受法律保护。
其次,个人数据权升级了保护方式。传统隐私权一般强调事后救济,是一种消极防御,但个人数据保护权则强调事前预防与主动防范。传统隐私权保护强调的是个人生活不受打扰,安宁、独立的生活空间是其价值追求。这种价值的保护往往通过侵权法来实现。但侵权法有着典型的事后救济特征。隐私与数据一旦被侵害,事后救济往往于事无补,因此变消极防御为主动防护,实为必要。如“授权同意”规则、数据处理制度等都需要进行重构。对于个人信息,数据运营者能不能用,用到什么程度,是否可以转授权,都取决于授权和数据处理规范。
与隐私权保护限于侵权法这种民法规则不同,个人信息、个人数据的全面保护不应再局限于传统的民法、私法领域,而应采取跨部门联动的新型综合立法模式。我国《民法总则》规定了个人信息保护的相关内容,但条款内容太过抽象,缺乏可操作性和预防性。我国个人信息保护立法应以信息处理制度为基础,这不是民法能够单独处理的问题。《网络安全法》《个人信息保护法》等都应当协同民法对个人信息保护作出贡献。
第三,个人数据权重新定位了司法目标。传统隐私权更多关注人权保护,但个人数据保护权则具有非常强的经济性,对人格权和财产权一并保护。个人数据保护圈的规制核心是数据处理制度,而非数据产权归属。大数据时代,个人隐私和数据产权不能再作为一种静态的财产所有权,立法更应该将规制焦点集中于动态的财产权(数据采集、评价、使用与交易等)。
大数据时代的个人信息保护不能再简单按照传统隐私权保护的侵权法进路来进行绝对化立法,而应该在用户基于个人信息的人格权和财产权与数据经营者基于数据的经营权和资产权之间寻求制度平衡。一味强调个人信息人格权单边保护不利于网络平台服务的提供和经营,用户自身最终也会失去网络便利。个人信息人格权的绝对保护模式也会使网络经营者的数据经营动力脆弱,不利于发挥创造性。不宜简单站在用户立场,只为了保护个人信息而保护个人信息。对数据活动进行简单粗暴的限制,不符合经济发展规律,更不符合消费者利益。
申言之,我国个人信息保护制度的构建应当顺应大数据时代的新特征,超越传统“个人隐私保护”的立法逻辑,转而从“个人数据保护”入手构建整个立法框架。然而不可不察的是,GDPR 被称为是全球保护隐私里程碑式的立法,但是也有其不足之处,主要是限制了数据的流动和共享。对个人数据的过度保护导致欧洲互联网经济发展缓慢。这中间的平衡与度的把握,欧盟并没有掌握好。我国须谨慎借鉴。
[1]个人数据与个人信息,严格来说范围并不相同。欧盟更多使用个人数据概念,我国更多使用个人信息概念。但由于两个概念的外延整体一致,因此本文暂且混同使用。
超越隐私的个人信息保护
作者:陈松涛来源:丰国律师

大数据时代,数据信息量突飞猛进。大数据带来的数据经济发展和数据资产化加速趋势,使得个人信息保护问题[1]更加凸显。