返回上一页 文章阅读 登录

刘泽刚:欧盟个人数据保护的“后隐私权”变革

更新时间:2018-11-28 00:59:23
作者: 刘泽刚  
其理念和实践已经改变了跨国互联网企业的隐私政策,推动美国提升其对欧盟公民的隐私保护力度,而且还引发了一些国家对欧盟标准的效仿。

   (一)规范意义

   个人数据保护权为欧盟个人数据保护制度提供了清晰的权利基础。相较于隐私权,个人数据保护权对信息隐私的保护力度更大。

   1.为个人数据保护法制提供了清晰的权利基础

   20世纪七八十年代,个人数据保护法兴起伊始,各方对其权利基础的认识是比较模糊的。因此,最早的一批法律规范使用的都是“隐私和个人自由”之类比较宽泛的说法。[9]直到20世纪90年代,这种情况也没有得到改观。欧盟个人数据保护制度从建立伊始就毁誉参半。其中有一个重要原因,就是很多人认为数据保护缺乏坚实的法律权利支撑。尽管1995年指令明确其权利基础是“自然人的基本权利和自由,尤其是与数据处理有关的隐私权”,但有观点认为欧盟误导公众相信其数据保护是对既存的基本权利的执行,却从来没有对隐私权进行立法规划所要求的精确界定与分析。[10]《条例》将个人数据保护权作为基本权利,第一次为欧盟个人数据保护法制设定了清晰的权利基础。

   除隐私权外,还有很多人支持将人格权或信息自决权作为个人数据保护的基础性权利。由于这种观点在国内也有一定市场,所以有必要对这两种权利的不适应性做些分析。

   个人数据兼具人格和财产性质。个人数据保护虽涉及财产,但其重心却在人格。那么个人数据保护权是不是就能归为人格权呢?这样的想法似乎很有道理,也为很多国内学者支持。但“人格权”是一个目的论色彩很强的概念。即便是在重视一般人格权的德国,其内涵也是比较模糊的。德国宪法层面的人格权的规范依据是《基本法》第2条第1款的规定:“人人享有个性自由发展的权利,但不得侵害他人权利,不得违反宪法秩序或道德规范。”后经德国联邦宪法法院的一系列判例逐渐确定了其特征和功能,但“一般人格权,相较于出版自由、艺术自由和其他传播基本权而言,属于典型的对比权(Kontrastrecht)”。[11]也就是说,一般人格权主要是在与其他权利的权衡中起作用的一个功能性概念,明显不太适合用于个人数据保护这样的具体情境中。此外,隐私权在德国法中并无明文规定,相关法益是藉由一般人格权来加以实现的。但这只能算德国法的特点,而不能算是可以普遍推广的优点。德国《联邦数据保护法》规定:“本法的目的在于防止个人隐私权在个人数据处理中受到侵害。”这里使用了在德国并无实定法地位的隐私权的表述,主要是因其国内数据保护立法必须受欧盟背景影响。因为欧盟长期主张隐私权是个人数据法制要保护的首要权利。但换个角度看,如果使用一般人格权的表述恐怕会产生更多的不确定性。总体来看,人格权和一般人格权都是抽象和宏阔的权利概念,并不太适合个人数据保护这种非常具体的情境。

   信息自决权(Recht auf informationelle selbstbestimmung)是源自德国的一个权利术语。此概念最早见于1983年联邦宪法法院“人口普查案”(Volksz?hlung)的判决。有不少学者认为信息自决权是个人数据保护的基本权利。甚至有学者认为欧盟数据立法也应该重新调整,将规范基础建立在德式信息自决权基础之上。[12]很明显,这种观点没有得到欧盟立法和司法的支持。在经常被引用的相关案例中判决最终依据的是比例原则而非信息自决权。[13]联邦宪法法院曾明确指出信息自决权概念的提出仅仅是为了凸显一般人格权。[14]20世纪80年代,计算机使用尚不普及,移动通信和互联网技术仍不成熟。那时要获取、处理和利用个人数据是比较困难的,个人在理论上仍可以支配与其相关的信息。反观今日,人们深陷信息技术编织的无边大网,信息自决绝非数据主体单枪匹马便可做到的。在大数据时代,把“控制”作为隐私的基础很可能是一种“错位的信任”(Misplaced Con?dences)。[15]相反,即便是有限的“自决”也要以复杂和高效的个人数据法律保护机制为前提。况且信息自决权本身的内涵也不甚确定,很难被数据保护法援引作为具体保护规则的依据。对德国之外的国家来说,费劲地引入信息自决权恐怕很难获得实定法规范的支撑。毕竟不是所有国家都有一般人格权的传统。信息自决权对全球层面的个人数据保护法制来说基本是一个冗余的权利。

   综上所述,人格权和信息自决权都不适合作为个人数据保护的权利基础。而隐私权之所以在个人数据保护领域“退居二线”,则是由于个人数据保护权能为信息隐私提供更有针对性和有力的保护。

   2.为信息隐私提供了比隐私权更有力的保护

   2000年《宪章》将第8条“个人数据保护”与第7条“对私人和家庭生活的尊重”并列。似乎有意强调个人数据保护权与传统隐私权的差别。但我们不能过度推理认为个人数据保护权就是一种与隐私权完全无关的权利。欧盟委员会在条例建议中阐述基本权利事项时,声称个人数据保护权与隐私权紧密关联。[16]欧洲法院也持有同样立场,在一个判决中明确指出个人数据保护权与隐私权是紧密相关的。[17]欧盟官方的立场是个人数据保护权是一种独立的权利,但该权利与隐私权息息相关。至于两种权利的关联性到底是什么?欧盟官方文件与实践却没有全面和明确的界定。比较合理的看法是:尽管在表现形态上明显突破了传统隐私权的特征,但个人数据保护权仍是隐私权在互联网条件下的升级表现形态。在互联网时代,隐私权最大的变化发生在信息领域。信息隐私的对象并不局限于业已存在的私隐信息,而是广泛表现为个人数据挖掘加工过程产生的各种数据权益。信息隐私的保护方式也不局限于保密或不公布,而是更看重在利用的过程中对数据主体的相关具体权益的保护。欧盟将信息时代数据处理流程中的各种与隐私相关的具体权益汇总表述成个人数据保护权,并且提供了与传统隐私权相比力度更大的保护,主要体现在以下几个方面。

   第一,保护范围拓展。一般而言,隐私权并不保护当事人自愿公布的数据信息,但个人数据保护权对公开的数据也进行保护。2003年意大利数据保护机关宣布禁止销售者违背数据最初公布目的,使用从网上收集的个人数据进行直销。2005年法国也出现类似案例。巴黎上诉法院裁决,未经数据主体同意,以不同于公布时的目的搜集互联网等公共空间上的数据是违法的。[18]这些事件涉及的数据从性质上说都是可以公开获取的,但对其搜集使用仍然侵犯了个人数据保护权。之所以会采取这样宽泛的立场,是因为很难从法律上一般性地区分哪些数据可能对私人生活产生重大影响。互联网上的公布数据更是如此。很多技术可用于互联网数据主体识别,因此应该对出现在互联网上的数据进行普遍法律保护。[19]

   第二,保护方式升级。隐私权是一种强调事后补救的消极防御的权利。个人数据保护权则是一种强调事前防范与主动防护的权利。隐私权保护涉及与众多利益和权利的平衡,其保护力度总体来说是比较低的。如《欧洲人权公约》第8条针对私人生活和家庭生活保护使用的是“尊重”这样的表述。与其他权利“不得侵犯”“保护”等词汇相比,保护力度可谓低下。但隐私权包含内容迥异的分支,细分各种隐私权并给予不同强度的保护,势所必然。对个人数据隐私保护仅予以消极的“尊重”明显不够。个人数据一旦被侵害,事后补救往往无济于事。因此,将“个人数据保护权”独立出来,并赋予其主动防护性是非常必要的。《条例》中“自设计开始的个人数据保护”(data protection by design)是主动防护性的最好例证。这个观念是从早先“设计的隐私”(privacy by design)发展而来的,要求在设计产品和服务时就应充分考虑数据保护的要求。自设计开始的个人数据保护强调事前预防而非事后救济、默认保护而非专门保护、设计内嵌的防护而非事后追加保护设计、全面防护而非局部保护、开放保护而非封闭保护、合作性保护而非对抗性保护。这些特征突出了个人数据保护权的主动防护取向。

   第三,司法目标平衡。隐私权在欧洲主要是由国内法院系统以及欧洲人权法院进行管辖。《条例》放弃隐私权的表述转而强调个人数据保护权,进而将个人数据保护争议交由欧盟设立的欧洲法院管辖,摆脱了在数据保护领域对欧洲人权法院的依赖。客观分析可知,欧洲法院所属的欧盟是一个更侧重经济社会一体化的组织,而欧洲人权法院所属的欧洲理事会则更侧重公正和人权保护。因此,欧洲人权法院专注于传统人权保护;而个人数据保护具有非常强的经济性,由欧洲法院进行综合衡量和保护更加恰当。

   (二)建构意义

   自从互联网兴起以来,法律长期无法适应信息技术与产业的需要。欧盟个人数据保护权则一改“跟随跑”策略,采取了与信息技术及产业相互嵌入、齐头并进、互相构建的积极策略。个人数据保护权提出了一系列要求。这些要求不仅是为了增强数据主体对个人信息的自主权,也塑造了相关产业发展的形态和方向,同时也为政府制定政策提供了规范基础。个人数据保护和数据处理制度相互嵌入主要体现在以下几个方面。

   1.流程嵌入

   个人数据保护权是与数据处理流动的程序紧密相关的。个人数据保护权利包含的十多种具体权利都与数据处理和流动过程紧密联系。如果不了解数据(信息数据)处理流程的特性,就无法理解个人数据保护领域的权利诉求。另一方面,个人数据保护权也在塑造着数据处理的流程。近年来,为了适应个人数据保护权的高标准,很多跨国互联网企业都调整了自己的处理流程。最典型的例证是谷歌等大公司为了应对“被遗忘的权利”的要求,都专门设置了相应的审查和删除数据流程。

   2.技术嵌入

   个人数据保护权利强调责任原则。但这种责任的确立却是以相关技术为前提的。例如,要确定一个人是否是数据主体,就与数据处理的技术特征相关。在某种技术条件下不能被识别的人,在另一种技术条件下就很可能被识别,从而成为数据主体。此外,数据控制者和处理者的责任有很大差别,但要区分控制者和处理者也需要技术上的阐释。另外,个人数据保护权所包含的默认和设计保护精神也促使企业在产品和服务的规划阶段就充分利用各种技术保证符合相应权利的要求。

   3.价值嵌入

   个人数据保护法制具有双重目标,即保护数据权利和促进数据自由流通。在信息经济时代,个人数据具有非常高的市场价值,已经成为一种不折不扣的商品。大部分对个人数据的滥用正是在商业利益的驱使下进行的,所以必须对其进行强力保护以维护人格利益。但另一方面,如果没有个人数据的流通与利用,很难想象电子商务乃至日常交往将如何维系。基于个人数据保护权的新型数据保护强调有效率的“正和”(Positive-Sum)而非“零和”(Zero-Sum)保护,充分考虑了经济价值和人格价值的均衡。个人数据保护权对信息产业采取的并不是防护和谴责的立场,而是承认个人数据经济价值的前提下规范相关各方对个人数据人格价值的保护。

   (三)推动意义

欧盟执委会在2009年6月10日明确宣称:“欧盟应当成为个人数据保护国际标准发展和提高,以及达成恰当的双边和多边机制的推动力量。”[20]欧盟主动自觉地承担起推动全球个人数据保护的重任。可以从两个角度看待这一问题。一方面,欧盟借助政经法律力量强行推广其区域标准,即便是美国也被迫就范,努力适应欧盟较为先进的个人数据保护规范。2015年10月,欧洲法院的一项判决认定欧美之间数据传输采取的“安全港”(Safe Harbor)模式不能对欧盟公民个人数据有效保护,作为“安全港”基础的欧盟2000/520号决定无效。经过紧锣密鼓的谈判,2016年2月29日欧盟和美国推出了“隐私盾”(Privacy Shield)模式,对欧美间的个人数据流动进行严格管控,对美国企业规定了更严格的个人数据保护义务,(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/113687.html
收藏