返回上一页 文章阅读 登录

刘泽刚:大数据隐私的身份悖谬及其法律对策

更新时间:2019-12-24 23:01:13
作者: 刘泽刚  
而非法律规范。从技术角度看,在某种框架下无法被识别的信息可能在另一个框架下能被轻易识别;过去不能被识别的信息,在新技术下就可能被识别。结合GDPR其他规定来看,在没有技术支持下的法律规范的不确定性就更明显。如第4条(11)项规定“数据主体的‘同意’指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。”但在大数据条件下,“可识别”本来就具有不确定性。数据挖掘后很可能出现新的可识别的数据主体,但在他们“同意”之前,其数据已经被处理和利用。大数据隐私的身份悖谬在第4条两项规定的对照中显得非常清晰。究其原因,就在于“数据主体”并不是一种真正的主体身份,其法律地位依赖于特定数据处理流程和技术。更关键的是,尽管法律上赋予数据主体多种权利,却没有赋予其数据所有权。这是因为立法毕竟无法突破互联网架构和大数据模式造成的自然人与其数据间关系的不确定性。说到底,数据主体概念的重心仍然在于数据,而非主体身份。

   其次,数据主体规范地位具有不确定性。数据主体概念暗含的自然人控制其个人数据的观念是难以落实的。自主控制观念在GDPR的文本中虽无正式表述,但在相关说明(Recital)中却有明确阐述。[8]数据主体对数据的控制主要通过一系列控制权得以实现,其中包括访问权、被遗忘权、数据可携带权、免于服从单纯自动化处理决定的权利等。但这些权利都是基于互联网发展早期的现实提出的。在大数据时代,几乎所有数据控制权遭遇了现实的失败。[9]数据控制权主要依赖数据控制者和处理者主动履行相关义务才能行使。欧盟将数据处理涉及的行为者分为数据控制者(Data Controllers)和数据处理者(Data Operators)。数据控制者掌握数据处理的主动权,而且是数据集中和处理的枢纽,因此承担更多的数据保护义务。互联网经过多年发展后已经形成了规模效应。绝大部分数据都由几个大公司掌握和运用。欧盟抓住了互联网应用层高度集中这一特征,重点规制大企业的数据处理。Google Spain案中,欧盟法院将搜索引擎界定为数据控制者,引发了很多争议。[10]在很长一段时间内,大多数人都认为搜索引擎只是一个中性的提供便利的平台。法院的判决直接改变了搜索引擎企业的法律地位,课予其更多的法律责任,变相地促使其主动调整了自己的隐私政策和数据处理流程。相较而言,在欧盟数据保护制度中“数据主体”基本上是一个被动的“受益者”。欧盟官方和民间并没有更多考虑如何加强数据主体的自我约束,而是努力扩展数据主体的使用豁免,使其不必承当过重的法律义务。[11]个人网络行为变化带来的高度隐私风险最终被转变为更沉重的企业责任。

   最后,数据主体的实施质效有很大的不确定性。从实际情况看,数据主体人为拔高用户地位的做法的代价是明显的。首先是经济方面的代价。高标准和比较僵化的合规条件导致欧盟区域内的互联网企业创业和运营成本都比较高。尽管欧盟一直力推单一数字市场计划,但其互联网经济发展缺乏动力。欧盟的互联网管制模式不仅拖累了欧盟企业,也打击了其他国家和地区互联网企业在欧盟开展业务的信心。在GDPR生效两个月后,便有一千多个美国新闻媒体在欧盟无法访问。其中不乏因为合规成本过高而主动和彻底放弃欧盟业务的媒体。[12]欧盟这种高举数据主体权利的做法还引发了法律规范方面的危机。尤其是欧盟将自己的数据保护标准强加给他国的做法不仅有借权利之名设立数据贸易壁垒之嫌,而且缺乏坚实稳固的规范理由,容易引发国际法和公法方面的规范争议。

   尽管存在一些不足,但欧盟通过统一立法创设数据主体的先进性是毋庸置疑的。1995年指令以及2018年生效的GDPR在全球造成了巨大影响。包括我国在内的很多国家在隐私保护规则制订方面都深受欧盟影响。尤其需要指出的是,2018年印度和巴西这两个人口大国在隐私保护立法方面都取得长足进展。两国在信息隐私身份设定方面都明显受到欧盟数据主体概念的影响。2018 年8 月14 日,巴西《通用数据保护法》(Lei Geral de Proteção de Dados,简称LGPD)获得通过并将于2020年2月正式生效。LGPD采用了“数据主体”的概念。[13]无独有偶,2018年7月印度推出《2018 年个人数据保护法案》(The Personal Data Protection Bill)尽管没有采取欧盟“Data subject”的表达,而是采用了“Data principal”的表述,但其功能和界定都与欧盟“数据主体”如出一辙。[14]和法案一并提交的报告简洁明了地解释了将个人界定为“数据主体”的原因:“个人必须是数据主体,因为她是数字经济中的焦点行动者”。[15]但正如前文分析得那样,大数据经济中个人的实际地位是被动和卑微的,大企业和政府才是真正的主角。无疑,印度和巴西延续了欧盟在个人数据保护领域的理想主义。考虑到欧盟、印度和巴西共有人口20多亿,不能不说“数据主体”是一个非常成功的法律概念。

   (二)美国实用主义的“消费者”模式

   美国选择了一条充分利用既有法律并尊重互联网现有架构的实用主义道路。美国在联邦层面没有对信息隐私保护进行统一立法的计划,其信息隐私保护规则分散在各个传统法律部门中。由此,美国隐私法又呈现出“九龙治水”的态势。仅以互联网监管来说,美国联邦贸易委员会(以下简称FTC)和美国联邦通讯委员会都有自己的管制领域。但经过多年发展,FTC已经成为美国最重要的信息隐私保护机关。很多学者认为FTC在美国数据保护体制中的地位实际上相当于欧盟法中的数据保护机关(DPA)。进入信息时代后, FTC以消费者保护机制为核心建立起一套信息隐私保护的“新普通法”。[16]

   FTC保护信息隐私的规范基础主要是《联邦贸易委员会法》第5条的规定。除此以外,FTC还有权执行一些比较具体的与隐私相关的法律,例如《反垃圾邮件法》《儿童在线隐私保护法》《电话营销与消费欺诈滥用防治法》等。FTC享有的这些执法权涵盖消费者权益的各个方面。而且通过对《联邦贸易委员会法》第5条的扩充适用,FTC还将消费者隐私保护的触角延伸到各种新兴的实践领域。尤其是“不公平和欺诈”本身就是有意设置的宽松表述方式。FTC据此在数据安全和隐私保护方面获得了非常广泛的权力。[17]比如FTC可以采取强制执法措施制止违法行为,还可以要求企业采取积极整改措施,并可以追缴企业违法行为的不当得利,责令企业删除非法获取的消费者信息,协助消费者获得赔偿救济等。对某些违反隐私法令和规则的行为,FTC还可以直接主张获得民事罚款的支持;还可以向企业和消费者宣传法律规定,在有关消费者隐私的领域提出立法建议或监管方案,组织召开相关研究和研讨,开展全球隐私保护的国际合作等。FTC的执法范围已经覆盖到线下、线上以及移动端,执法对象更囊括了Google、Facebook、Twitter、Microsoft在内的知名企业。FTC有关消费者隐私权的执法重点虽然是美国本土消费者权益保护,但保护触角延展至全世界各地的消费者,避免他们遭受FTC管辖范围内企业不公平或欺诈行为的侵害。

   除了联邦之外,美国各州也倾向于依托消费者身份进行信息隐私保护。这一点可从令人瞩目的《2018年加州消费者隐私法案》(The California Consumer Privacy Act of 2018,以下简称CCPA)看出。CCPA之所以引发全世界关注,除因作为全球第五大经济体加州具有重要地位外,还与其明显受欧盟GDPR影响有关,同样高扬数据权利的立场。但CCPA仍保持着美国隐私法的特征。首先,仍然通过消费者身份保护信息隐私。在CCPA中“消费者”被界定为“作为加利福尼亚州居民的自然人”。这种界定非常宽泛,并没有像欧盟那样新增法律身份,为通过消费者范畴扩展隐私保护奠定了基础。从效果来看,在美国隐私法中,消费者几乎是与自然人相同的概念,只不过更强调了自然人在商业活动中相对弱势地位而需要被保护的特征。其次,尽管设立了若干新权利,但CCPA仍然是以隐私权为规范基础的。而欧盟在推出一系列“个人数据保护权”后,隐私权实际上已经“退居二线”。最后,CCPA的规范重心是商业活动,而非欧盟式的数据控制。CCPA设定的数据合规义务主体是各类企业,其监管对象是符合一定条件且对消费者隐私产生影响的企业经营行为。综合来看,CCPA虽然借鉴了GDPR的精神,但从本质上说仍然是典型的以消费者保护为中心的美式隐私保护法。

   消费者身份也一直是美国联邦层面统一隐私保护立法规划依赖的法律身份。2012年2月23日,美国联邦政府提出一项名为《消费者隐私权法案》的立法框架。这份权利法案以消费者身份为基础提出了数字经济时代隐私保护的原则性规定。这些规定没有直接的法律强制性,互联网公司可以自愿选择是否采纳这些原则。然而一旦公开承诺遵守这些原则的互联网公司公然违反法案提出的原则就将面临FTC提起的强制诉讼。[18]尽管至今美国联邦层面仍未出台正式和统一的信息隐私保护立法,但在2012年后提起的数次立法动议中都将消费者作为信息隐私的基本法律身份。2018年Facebook深陷“剑桥分析”事件引发美国朝野各界关于隐私保护联邦统一立法的讨论热潮。行业组织、大型互联网企业、权利保护团体、政府机关甚至是部分议员个人纷纷提出各种立法建议。这些立法建议的权利设置和法律用语都反映出欧盟GDPR的明显影响。[19]但政府层面却依然保持了制度和用语方面的稳定性。2018 年9 月26日,美国联邦国家电信和信息管理局(NTIA)代表商务部公开征集“发展消费者隐私管理办法”的意见。[20]这次征集意见的文件中提出了未来联邦政府层面隐私保护的基本框架。而其沿用了之前联邦政府类似文件中“消费者隐私”的术语。2018年12月19日,美国华盛顿哥伦比亚特区总检察长向特区高等法院提起诉讼,针对剑桥分析事件中Facebook违反《特区消费者保护程序法》起诉Facebook。[21]作为剑桥分析事件在美国本土引发的第一起诉讼,该案也是基于消费者身份提起的。以上这些都充分说明消费者身份在美国隐私法中具有根深蒂固的地位。

   (三)身份设定差异对欧美隐私监管逻辑的影响

   综上,欧美信息隐私的法律身份设定存在明显差异。欧盟通过拟制数据主体这一法律身份,提升了信息隐私主体的法律地位。但由于前文所述各项原因,数据主体的身份设定实际上有不顾现实拔高自然人网络地位的嫌疑。这种法律定位与实际地位的差异体现在监管逻辑上的双层结构。从表层来看,欧盟似乎高举信息自决的旗帜,数据主体通过行使权利对数据处理过程进行自主控制,进而实现信息隐私保护目标。但这只是表面现象。实际上,由于互联网的基本架构并非由欧盟主导建成。欧盟也必须服从现有互联网的技术和产业规则。由于自然人在大数据条件下缺乏单一网络主体身份,欧盟的信息隐私保护同样无法依赖信息自决和意思自治实现。在深层结构上,监管才是欧盟信息隐私保护真正的主导机制。实际上,在GDPR还未生效的2016年,“欧洲监管中心”(Centre on Regulation in Europe,以下简称CERRE)就曾经发表报告指出,GDPR的主要规则都是公法性质的。尽管GDPR中也预留了一些通过私人行为影响数据处理过程的空间,但这些私人行为都是从公法角度构思的,且仅仅是公法监管行为的补充或辅助。CERRE呼吁应该为私法机制留下更多空间。[22]但这种呼吁是缺乏现实依据的。数据主体只是一种虚悬的法律拟制身份。自然人想依靠这种身份对抗强大的互联网企业进而自主控制个人数据处理过程,无异于痴人说梦。

欧美通过监管互联网企业数据处理进程来保护信息隐私。“监管即隐私”是欧美共同遵循的深层逻辑。然而,由于欧盟设定的数据主体的权利不能脱离监管手段而独立存在。(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/119583.html
收藏