返回上一页 文章阅读 登录

丁晓东:个人信息私法保护的困境与出路

更新时间:2019-01-21 00:03:41
作者: 丁晓东  
是计算机、现代科技以及与此相结合的权力对个体的威胁,并没有以私法的视角看待“个人信息权”。在这本奠定现代信息隐私法的经典著作中,威斯丁只在几处蜻蜓点水式地引用了沃伦、布兰代斯的侵权文献,[24]对于普罗斯的侵权法分类,威斯丁根本没有提到。这从另一个侧面说明,威斯丁并没有继承沃伦、布兰代斯与普罗斯的侵权法传统,没有期望以侵权法或其他私法的框架来保护个人信息。[25]

   (二)德国经验

   在德国,对个人隐私的法律保护是通过人格权的私法化完成的。制定于1900年的德国民法典没有规定人格权或隐私权。二战后,德国联邦最高法院通过1954年的“读者来信案”确认了这一权利。该案判决认为,德国基本法第1条第1款所提到的个人尊严可以作为德国民法上的渊源性权利,[26]个体“作为人的尊严和发展其个体人格”的利益应当受到民法的保护,这一人格权可以对抗不特定第三人。[27]1958年,德国联邦最高法院在“骑士案”中确认了对伤害人格权行为的损害赔偿,认为对人格权的伤害与一般性的人身伤害同等严重。[28]1973年,德国联邦最高法院在“伊朗王后案”中最终确立了对个人隐私的人格权保护,法院认为基本法第1条和第2条保护了“个人的隐私领域”,个人有权“实现独处的愿望”,保持“自身不被外界打扰”。[29]

   有学者认为,经过发展,德国不仅确立了隐私权益的人格权保护,而且确立了基于个人信息自决权的法律保护。[30]不少学者称,在“小普查案”和“人口普查案”等案件的基础上,德国已经确立了一种私法上的信息自决权,一种类似于威斯丁所定义的个人对于自身信息得以积极控制的基本权利:法律应当保障个人的知情权和选择权;只有在个人同意时,才能允许其个人信息被收集。如果信息收集者在个人不知情或表示拒绝的情形下收集个人信息,便构成对公民个体信息自决权的侵犯。[31]然而,上述观点的得出实际上是对相关案例的误读。德国联邦最高法院有关个人信息权的判决是在特定语境下作出的。“小普查案”和“人口普查案”的判决结果针对的是国家对于个人信息的威胁,法院并未将所谓的个人信息权或个人信息自决权扩展成为一种针对不特定第三人的私法权利。正如学者所言,德国法院对于个人信息自决权的正当化论证有其特殊的案件背景,“信息自决权的主张者忽略了这些案例的具体背景,扩大了核心表述的适用范围,从而也就使所谓的信息自决权脱离了正当化的基础”。[32]

   同美国类似,德国有关个人信息或个人数据的立法也是在公法或消费者法的框架下进行的。1970年,德国黑塞州制定了第一部州层面的数据保护法。1977年,德国制定了《防止数据处理过程中滥用数据法》,并在其后进行了若干次修订。尽管人们认为,德国相关法律提供的隐私权益保护比美国更为严格,但其针对的对象、基本原则、保护手段同美国的相关立法仍然高度一致:这些法律针对的是个人信息或个人数据的收集者或处理者,而不是日常生活中的一般个体;这些法律大致遵循了美国1973年《记录、电脑与公民权的报告》中所归纳的合理信息实践原则;法律所提供的保护手段是对信息的收集、处理与使用过程进行消费者法与公法规制,并未诉诸私法上具有排他性的个人信息权。总的来说,这些法律并不保护个人数据本身,而是意在确保信息收集者在处理个人数据时不损害个人的隐私权益。[33]

   (三)欧洲其他国家与欧盟的经验

   除德国外,欧洲其他国家也采取了消费者法与公法规制进路,为个人信息或个人数据提供保护。20世纪70年代,瑞典(1973)、奥地利(1978)、丹麦(1978)、法国(1978)、挪威(1978)等国先后立法,形成了第一波个人信息或个人数据立法潮流。[34]这些立法尽管各有不同,但基本都吸纳了合理信息实践原则,规制的是政府与企业对个人信息的处理过程。

   在欧盟层面,有关个人信息或个人数据保护的立法也采取了类似进路。1980年,欧洲理事会制定了供成员国参照和选择适用的《个人数据自动化处理保护公约》。[35]1995年,欧盟通过了《欧盟数据保护指令》,要求成员国必须通过国内立法对其加以适用。2016年,欧盟又通过了《一般数据保护条例》,于2018年直接适用于欧盟成员国。在这些立法中,欧盟为保护个人信息或个人数据采取了越来越严格的监管措施,但其都是基于合理信息实践原则对信息的收集、处理、储存和使用进行的过程监管。欧盟并未创设一种私法上的个人信息权或个人数据权,更没有主张公民个体可以凭借个人信息权或个人数据权对抗不特定第三人。[36]有学者基于《欧盟基本权利宪章》第8条第1款的规定(每个人都有权使其个人数据得到保护)认为,欧盟已经在其中明确了个人信息权或个人数据权。这种看法是将个人数据得到保护的权利简单等同于个人数据权。实际上,个人数据得到保护的权利是一种派生于消费者法保护与公法保护的权利,而非一种一般性的私法权利。

   从司法实践来看,欧盟也没有将个人数据得到保护的权利泛化为一般性的私法权利。例如,在2003年的一起案件中,针对奥地利立法机关作出的高级政府官员必须将其薪资告知审计机关的规定,欧盟法院并没有将高级官员的个人信息视为私法权利的客体,没有认为获取该个人信息的主体必须给予信息提供者以补偿。相反,法院直接援引了《欧洲人权公约》第8条的隐私权规定,分析了相关当事人的权利是否受到侵犯。[37]其后,在“西班牙音乐制造商协会案”[38] “萨塔梅迪亚案”[39] “巴伐利亚啤酒案”[40]等案件中,欧盟法院又采取了类似立场,将个人信息理解为保护隐私权益的工具。在欧盟法院看来,并不存在一种私法上的个人信息权。在私法上,只有当行为侵犯了具有人格利益的隐私权益时,才能被判定为侵犯个人信息,相关信息主体才有可能得到法律救济。

  

三、法律原理的重新理解


   (一)隐私权益的侵权法保护

   现代信息社会中,传统的隐私侵权法很难担负起保护隐私权益的重任。例如,有学者指出,英美的隐私侵权法已经停滞不前,在保护个人隐私权益方面捉襟见肘。戴安娜·齐默曼认为,对于普罗斯所归纳的公开个人隐私事实之诉,原告往往很难获胜。[41]詹姆斯·惠特曼认为,一个多世纪以来,沃伦与布兰代斯所发展起来的隐私之诉在美国的法律实践中没有多大进展,这一点人们早有共识。[42]劳伦斯·弗里德曼更是直言,“沃伦与布兰代斯的隐私观念——防止媒体令人不齿的烦扰——似乎并没有获得多大发展;如今,它基本已经消亡”。[43]

   传统侵权法难以回应隐私权益在信息与网络时代面临的威胁,原因在于,现代信息社会中,侵犯隐私权益的过程具有复杂性。传统的隐私侵权中,侵犯隐私权益的主体往往是单一或特定的,侵权过程相对容易辨识。侵权法的适用以存在伤害或损失为前提,较为适合对独立的、一次性的侵权提供救济。到了现代信息社会,隐私权益所面临的威胁与风险通常涉及多个主体,侵权过程也不易辨识。例如,个人可能只在小范围内公开了其个人信息,某家企业通过正常的商业活动获取该个人信息后,对这些信息进行了部分匿名化处理,处理后的信息又被转卖给第三方,第三方根据这些信息对用户进行有针对性的电话或网络营销。如同丹尼尔·索洛夫所言,现代社会里,个人隐私权益所面临的威胁具有复杂性、系统性,个人在管理隐私时,往往面临卡夫卡式的困境,很难对伴之而来的相关风险进行分析和判断。[44]

   要应对这种具有系统性、复杂性的隐私风险,大陆法系的人格权保护进路也存在困难。人格权保护进路将隐私权益视作人格权的一部分,但很多的信息收集、储存、使用与披露行为并不直接对个人人格或其他相关权益造成侵害。尤其是,收集个人信息、使用个人信息、储存与转移个人信息等行为,从单一行为的角度看,可能并不会侵害个人的人格或其他权益,只有将这些行为集合到一起后,才会对个人人格或其他相关权益造成损害。因此,与英美侵权法的状况类似,[45]大陆法系的侵权法进路也很难为隐私权益提供充分的保护。

   (二)个人信息的财产法保护

   保护隐私权益的另一种私法进路,是将个人信息“权利化”,设想一种对抗不特定第三人的个人信息自决权或财产权。这种个人信息私法保护的进路可能面临隐私权益保护过度与保护不足的双重问题。

   一方面,如果赋予个人信息主体以对抗不特定第三人的财产权或自决权,那就意味着,一切获得他人个人信息的行为都必须征得对方的同意,未经他人同意,一切获取他人信息的行为都属违法。在现实社会中,此类情形显然是荒谬的。按照这一逻辑,当前社会中普遍存在的私人信息交流和“八卦”现象都将构成对信息自决权的侵犯。[46]个人信息权或信息自决权的创设,不仅可能会对人们交流第三方信息造成困难,而且会给其他日常交往制造难题。人们在日常生活的交流过程中,经常会涉及到他人信息。这种关涉他人信息的交流通常不可能经过当事人的明确同意,特别是当涉及到他人的负面信息时,当事人往往不会同意他人获知自身的信息。如果赋予个人以完整的个人信息权或信息自决权,必将导致个人信息侵权现象在日常生活中的泛化。[47]总之,如果将个人信息视为一种可以对抗他人的权利,每个人都将成为一座孤岛,既无法进行正常的社会交往,也无法有效获取社会信息。[48]

   另一方面,将个人信息权利化或财产化,由个人通过企业的“告知—选择”框架保护公民的隐私权益,又会造成公民隐私权益保护不足的问题。[49]

   个人往往缺乏隐私权益保护意识。在现实生活中,人们不阅读或几乎不阅读相关的隐私公告。在2006年的一项研究中,美国研究者发现,只有20%的被调查者在“大多数情况下会阅读隐私公告”。[50]在另一项研究中,只有4.5%的被调查者表示他们总是阅读隐私公告,14.1%的被调查者称他们经常阅读隐私公告。[51]这在一定程度上说明,格式化的隐私条款或隐私公告在加强个人隐私权益保护方面可能并无明显作用。[52]人们之所以不阅读隐私公告,原因有多个方面。首先,个体对于风险的认知往往是有限理性的。行为法律经济学的研究者们发现,个人通常对于熟悉的风险,诸如刑事犯罪、疾病等风险感知程度较深,对于不熟悉的风险,如隐私权益保护不力所造成的风险,则感知较浅。[53]因此,个人在面对隐私条款或相关告知时,态度时常是漫不经心的,难以做出真正理性和深思熟虑的选择。[54]其次,隐私保护问题带有一定程度的专业性,非专业人士即使阅读了相关隐私政策,也不可能完全理解政策内容。许多企业和网站的隐私政策十分复杂,远远超出一般读者的阅读能力。不仅如此,这些隐私政策还极为冗长,内容各不相同。以Facebook隐私政策的解释为例,其篇幅之长甚至超过美国宪法。[55]公民个体要想完全理解隐私政策,几乎是不可能的。根据卡内基梅隆的一项研究估算,一位美国公民,要想阅读完其访问的所有网站的隐私公告,一年可能需要花费244个小时。[56]

   当然,隐私的自我管理可以通过改善企业和网站的隐私政策部分实现。[57]国家可以要求企业出台清晰易懂的隐私政策,以便个人能够准确无误地理解它们。就像《一般数据保护条例》所规定的,隐私政策“应当使用一种容易理解的形式,使用清晰和平白的语言”。[58]即便如此,现代社会中隐私与风险的特征也无法改变。现代社会中,个人信息的收集、储存、分析、披露等过程已经变得极为复杂,隐私与风险的关系并非一一对应。即便网站提供了清晰的风险预警,个体具有极高的风险意识,人们也不可能合理预见到与隐私权益相伴而生的种种风险。

(点击此处阅读下一页)

爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/114696.html
收藏