返回上一页 文章阅读 登录

刘泽刚:欧盟个人数据保护的“后隐私权”变革

更新时间:2018-11-28 00:59:23
作者: 刘泽刚  
对美国政府也进行了更多限制。欧盟之外的国家乃至区域性经济组织也只能主动适应欧盟强势保护个人数据的事实。目前已有不少非欧盟国家,如瑞士、阿根廷、加拿大等国主动制定或调整本国立法以符合欧盟充分保护标准。另一方面,欧盟的做法也有一定合理性。“棱镜门”事件后,欧盟取得了道德优势地位,逼迫美国政府和企业节节败退,逐渐被迫接受欧盟的规则。欧盟国家的一系列诉讼令谷歌等大公司修正自己的隐私政策,有力保护了处于相对弱势地位的用户权益。例如,作为《条例》中个人数据保护权的新增内容,“被遗忘的权利”(删除权)直接发生了域外影响力。尽管这些都发生在新条例生效之前,但个人数据保护权的标准无疑是欧盟相关行动的主要根据。可以毫不夸张地说,欧盟的个人数据保护权已经发生了全球性影响。尽管其他法域不一定采取欧盟个人数据保护权的表述方法,但相关精神已深深影响了各国主管机关和司法界乃至普通人的信息隐私保护观念。在全球化和大数据条件下的互联网经济环境中,欧盟的标准势必会影响更多的合作伙伴,个人数据保护权也可以通过各种方式在全球发生更大的影响。

  

三、欧盟个人数据保护权的局限

  

   在“互联网女皇”玛丽•米克尔(Mary Meeker)发布的2016年互联网趋势报告中,全球市值最大的20个互联网领军企业中有12个来自美国,7个来自中国,1个来自日本。[21]

   作为世界主要经济体的欧盟居然没有一家企业上榜。尽管法律与经济发展的关系非常复杂,但作为世界上最早进行系统的互联网法律规制且对个人数据保护最为严格的地区,欧盟的个人数据保护水平与其互联网经济发展明显没有齐头并进,或许二者之间还有深层次的消极联系。欧盟有互联网经济发展的独特规划,即“数字化单一市场”(digital single market)。这一框架建立在“接入”“环境”“经济和社会”三大支柱之上。“接入”意在为欧洲的消费者和企业提供更好的数字产品和服务的接口。“环境”指的是为数字网络和创新服务的蓬勃发展创造良好条件和公平竞争的机会。“经济和社会”指的是最大化地发挥欧洲数字经济的潜力。[22]这是个美好的构想,但也具有明显的局限性。尽管欧盟境内早已实现人员、物资等自由流通,但绝大部分欧盟公民仍然使用本民族语言生活和工作。即便欧盟通过数字化单一市场打破域内跨境在线活动壁垒、缩减线上线下差异,大部分欧盟公民仍然会倾向于在国内有限的领域展开生活和事业。而且他们会优先选择更成熟的美国互联网企业提供的产品和服务,例如,脸书和谷歌。从根本上说,欧盟境内各国间的数字壁垒主要不是来自贸易保护主义,而是人类活动在空间和文化上天然的局限性。相反,欧盟通过提高数据处理法律标准的方式对跨国公司的抵抗倒是具有保护主义——政治过度防御的嫌疑。

   个人数据保护法制是欧盟重构互联网经济发展规则的重要环节。如不改变现有规则体系,欧盟的互联网经济很难翻身。但如何改变游戏规则?对欧盟而言,只有通过权利这个最具正当性的途径。通过个人数据保护权,欧盟以一种正义的姿态打压包括谷歌在内的美国互联网企业,防止其形成事实垄断。但这并没有改变欧盟互联网经济发展缓慢的现实。相反,欧盟的相关法律或许还拖累了区域内互联网经济发展。个人数据保护权并非传统自然权利或天赋人权谱系中的一员。实际上,如果没有互联网的迅猛发展以及随之而来的信息价值的增长,根本就不会出现个人数据保护权。在互联网经济更加发达的中国和美国,个人数据保护权都没有受到欧盟这样的关注。这也从另一个角度提醒我们思考:个人数据保护权到底是不是互联网时代必须的配置?互联网时代最大的发展动力仍然是利益,尤其是市场主体的逐利动机和普通消费者的便利动机。大数据时代的特征就是消费者在享受服务的同时也生产数据,而这些数据随之进入新一轮的生产环节,为互联网经济提供新的生产要素。市场和隐私的关系也并非水火不容,实际上二者紧密相连,同时也可以互相促进。在大数据时代,市场依赖隐私挖掘商机,用户也基于隐私而得到更多的便捷。这也是联邦贸易委员会(Federal Trade Commission)成为事实上的美国隐私保护机构的重要原因。[23]如果此时还坚守“不被打扰”的隐私权界定,就等于自绝于互联网时代。实际上,隐私权并不是一种自然权利(natural right),而只能是一种审慎权(prudential right),其要旨在于“理性的个体会同意去承认部分隐私权,因为保障这些权利将有益于社会”[24]。信息隐私保护需要综合考虑各种相关利益的平衡,更需要法律、政策、科技、伦理等因素共同发挥作用。欧盟认为应由法律主导建立一套制度予以规范,而很多国家,如美国则把这个问题主要留给市场和行业自律。很难说哪种方法更高明。从效率角度看,欧盟的策略伴生的是整个欧洲互联网经济发展的举步维艰。法律壁垒不仅阻碍了其他国家和地区互联网企业在欧盟的发展,更使得欧盟本身在互联网经济世界格局中的地位比较低下。这也提醒我们,个人数据保护权并非没有成本的制度设置。

  

四、欧盟个人数据保护权对我国的启发意义


   欧盟个人数据保护权对我国的借鉴价值是明显的。但作为互联网经济规模最大的国家,中国应当根据具体情况构建适合国情的个人数据保护法制,不宜盲目跟从。简单地说就是“矫枉不必过正”。

   一方面,认真分析欧盟个人数据保护权对我国个人信息保护法制的构建和发展具有“矫枉”的意义。具体而言,欧盟个人数据保护权的兴起和实践在规范基础、制度结构和法律形态方面对我国个人信息法制具有启发意义。

   首先,我国个人信息保护法的发展应该主动面对“后隐私权”这个现实。传统隐私权或人格权已不适合作为信息隐私保护的规范基础。欧盟个人数据保护权的提出本来就是为了突破传统隐私权和人格权的局限,主动适应互联网时代的需要。在互联网时代,信息隐私保护的对象和方式都发生了巨大变化。从对象上看,信息隐私的保护重点已不是业已存在的个人信息,而是数据主体享受互联网服务过程产生的各种数据以及企业、政府对这些数据进行挖掘和处理后生产出来的大量的具有个体特征的数据。从保护方式看,信息隐私保护的重点已不是保密或不发布,而是在数据自由流动与合理利用的过程中对数据主体的权益进行全方位的保护。传统隐私权和人格权是无力应对这些变化的。遗憾的是,我国法律界有很多人对此浑然不觉,依然希望以人格权或隐私权为基础建构个人数据保护法制。这明显是不合时宜的。

   其次,个人信息(数据)保护法律架构的基础是数据处理制度。在互联网时代,个人信息的合理利用、安全保障、隐私保护等法律利益只有基于信息处理制度才能得到客观和科学的描述。信息处理制度的建构必须综合安全、效率、隐私、科技等因素。与此相应,个人信息保护的法律架构也只能以数据处理制度为基础才能稳固地进行建构。当然,我们也应该看到,数据处理制度本身是处在变化之中的。《条例》就在很大程度上革新了既有的数据处理流程,而且还推动了美国在内的多个国家数据处理制度的变化。欧盟个人数据保护权依据其特有的数据处理制度确立起来并且是未来欧洲数据处理制度发展的重要规范基础。如果一国的数据处理制度尚未建成,其个人信息保护制度只能是无根之木、无源之水。尽管缺乏高位阶法律的规范,但为了适应产业发展的需要,我国已经初步建成数据处理制度框架,主要体现为一系列部门规章、行业规范和技术标准。未来我国个人信息保护法制发展必须以既有的数据处理制度为基础,并利用法律的规范力量引导数据处理制度良性发展。

   最后,信息隐私的全面保护需要突破传统的部门法思维局限。我国法学界有部分学者试图将隐私权限定在民法领域。这种部门法思维在大数据条件下仍然没有被抛弃,甚至有人希望倚重传统民法手段对互联网时代的个人数据进行保护。例如,有学者希望通过拓展侵权法的方式建构网络运营主体的安全保障义务。[25]然而,在欧盟和美国,网络运营主体的相关义务是由专门的数据保护法制规范的,早已突破侵权法的界限。民法无力应对个人数据保护任务的原因非常复杂,但有一点尤为重要,即互联网环境下的数据处理流程及其相关利益绝非传统民事法律制度能够描述和涵盖的。实际上,隐私权本来就不是传统的民事权利,在欧美法治国家也并不主要通过民事法律保护。从欧盟实践来看,个人数据处理相关的制度绝非单纯民事制度。欧盟个人数据保护制度建构有两个目的:一是保护相关权利;二是保证数据自由安全地流动。这些不是仅靠民事法律手段就能实现的。在大数据时代,讨论信息隐私保护法制的公私法属性意义不大。相关法律领域具有典型的混合法特性,而且已经成为比较独立的法律部门。从我国现实规范角度看,《民法总则》第11条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这一规定意义重大,但并不适合作为我国个人信息保护的基础性规范。原因可以从两个方面来看:从防患于未然的角度看,相关规定非常原则,并未结合个人信息处理制度进行细致规定,缺乏可操作性和预防性;从事后追究角度看,民法的相关规定又缺乏力度。因为对信息隐私而言,一旦侵权发生,相关法益很难得到全面保护,这些规定很可能成为一把空悬之剑。中国个人信息保护法制的构建必须摒弃狭隘的部门法偏见,应该以我国信息处理制度为基础,发展具有中国特色的综合性的法律规范体系。

另一方面,矫枉也不必过正。个人数据保护权是互联网时代下隐私环境变化后针对信息隐私专门设计的一种审慎权。但我们也应该看到,权利基础只是个人数据保护制度的一个方面。在欧盟的数据保护法制中,个人数据保护权占据了非常重要的地位。但除了欧盟以个人数据保护权作为规范基础,偏重正当性而忽视效率的保护模式外,还存在着美国式的以贸易管制为基础的兼顾效率和正当性的保护模式。面对个人数据保护法制发展趋势,我们依然要谨慎选择。没有必要盲目地主动套上沉重的规范枷锁。这主要有以下几方面原因。一是市场方面的原因。由于政策和法律方面的约束,我国与互联网相关的各种经济形态基本都是面向国内市场的,相关法律规制也不宜盲目遵从欧盟或美国模式。但总体而言,美国强调效率和安全的平衡发展路径,似乎与我国现实情况更加相符。欧盟个人数据保护制度虽也有借鉴价值,但应谨慎研判其可能产生的客观后果,不宜盲目跟风。二是文化方面的原因。以文化差异来看,欧洲和中国关于隐私的诸多观念存在很大分歧。例如,作为个人数据保护权重要内容的被遗忘权就未必符合我国“前事不忘后事之师”以及“明鉴历史开辟未来”的理念。[26]三是现有制度框架的原因。尽管处于互联网经济的前沿,但我国在个人数据保护领域却并未走上欧盟权利主导、全面立法优先的道路。相反,我国选取的是更加务实的逐步发展的多元规制路径。除了在《民法总则》和《网络安全法》中从网络信息安全的角度对个人数据保护进行了原则性规定外,近年来我国通过的一系列有关互联网产业和服务的行政法规、部门规章、行业标准在数据保护领域发挥了很大的实际效果。这些规定尽管层级不高,但却能保证在数据处理过程中对公民个人信息进行保护。尽管在数据处理法制化构建过程中可充分参考欧盟个人数据保护权的精神,但不一定非要采取类似称呼或立法形式。我国的个人信息保护法制发展,应该兼顾效率和公正,以数据处理法制化为基础,综合民事、行政和刑事规范进行渐进式建构,而不宜罔顾现实盲目跟风欧盟权利主导和统一立法优先的道路。(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/113687.html
收藏