返回上一页 文章阅读 登录

张新宝: “普遍免费+个别付费”:个人信息保护的一个新思维

更新时间:2020-03-10 16:35:48
作者: 张新宝  

   信息性隐私权并不是要求对个人信息完全保密,也不是简单地要求他人对我们的信息一无所知,而是要求信息主体、信息传递者、信息接受者承担不同的角色、享有权利和承担义务,从而在具体场景下,明确何种信息可以被披露,何种是期待被披露以及禁止披露的。(36)正因如此,哈佛大学法学院贝克曼互联网研究中心主任乔纳森·齐特林教授指出:“在我看来,支持知识产权保护的人和支持隐私保护的人之间有着深厚联系。他们有一个共同意愿就是控制信息如何分配。”(37)

   3.个人信息控制权的制度回应

   在网络社会和信息时代的历史浪潮下,国际组织纷纷创设了以个人信息控制权为中心的保护原则,从20世纪80年代OECD的《隐私保护与个人信息跨境流通指导原则》到1995年《欧盟个人数据保护指令》,再到2004年《APEC隐私权保护原则》,均反映出强化个人信息控制权的立法趋势。详言之,就个人信息的收集与利用,各国均应遵循有限收集原则、目的明确原则、限制利用原则、数据质量原则、公开性原则以及个人信息权利保障原则。个人由此享有知情权、查询权、异议权、更正权和删除权。(38)在上述规则的基础上,2018年5月25日生效的《欧盟一般数据保护条例》进一步扩充了个人的信息控制权,包括明确界定“知情同意”的行为内涵,细化查阅权和删除权、反对权以及免受自动化决定权,增设了可携带权和被遗忘权。

   在上述国际组织的努力下,各国亦通过国内法的形式赋予用户更多自主性权利。在韩国,《个人信息保护法》规定了个人信息主体的选择权;在印度,2017年《印度数据保护框架白皮书》指出:个人参与原则是个人数据处理公开透明性的重要保证;在美国,《2018年加州消费者隐私法案》特别申明:人们期许隐私和其信息的更多控制。加利福尼亚消费者应当能够就其个人信息行使控制权,并且期待防治个人信息滥用的保护措施。为此,加利福尼亚人有权知晓其正在被收集的个人信息;有权知晓其个人信息是否被出售或者披露及其流向;加利福尼亚人有权拒绝个人信息的出售;加利福尼亚人有权访问其个人信息。(39)同样,我国《网络安全法》在传统侵权责任法的消极安全保障之外,另外赋予了用户知情同意权以及针对网络运营者的删除权和更正权。

   无论是大陆法系的“个人信息自决权”,还是英美法系的“信息隐私权”,抑或是各国的立法实践,均表明个人信息权日益从防御性权利向主动性权利演进,从强调伦理尊重向鼓励数据利用演进。(40)相应地,人们能够像控制财产一样控制其个人信息,并决定信息如何流动。遵循这一法理,个人就是否以及如何向他人披露个人信息拥有了最大程度的选择权,其既可以披露和授权使用(在免费模式下),也可以不披露和禁止使用(在付费模式下)。

  

   四、“普遍免费+个别付费”模式的正当性

   法律是表达利益和平衡利益的过程。在个人信息之中,人格尊严、人格发展与商业价值、公共价值相互交织,亟待采取多元化进路,破解利益难以调和的困境。为此,“普遍免费和个别付费”的双重模式通过为个人赋权的路径,有效平衡了多方诉求。

   (一)双重模式凸显了个人信息的潜在财产利益价值

   数据是21世纪的“能源”。在大数据时代,海量的个人信息规模(volume)、快速动态的数据流转(velocity)、多样的数据类型(variety),彻底改变了之前少量的、静态的、零散的个人信息状态,赋予了后者以巨大的经济价值(value)。然而,在人格权和财产权二分的框架下,个人信息的经济面向隐而不彰,被埋没在人格尊严和人格发展的精神价值之下,这反而削弱了法律对个人信息的保护。这是因为,虽然《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》已经确立了精神损害赔偿的条款和条件,但用户往往难以证明个人信息侵权已造成严重的精神损害。更有甚者,在不承认个人信息经济价值的情形下,假若不存在个人信息以外人身、财产受损,那么《侵权责任法》第20条(41)的规定并无适用余地,这无疑不当减轻了网络服务提供者的责任。

   正是因为洞见到传统人格权进路的缺陷,从美国学者Alan Westin到网络法的奠基人劳伦斯·莱斯格,均转而主张一种基于个人信息的财产权。他们认为,财产化有助于摆脱以隐私保护为模式的路径依赖。(42)信息主体一旦拥有财产权,就能恢复其在信息利用过程中丧失的控制力,并能自由决定何时放弃自己的利益以及放弃个人信息的最低阈值。不过,正如反对者所言,财产权理论把个人信息商品化,将带来道德风险、市场失灵风险、信息闭塞风险和权属争议风险等一系列难题。(43)对此,“普遍免费和个别付费”的双重模式一方面通过揭示“数据支付”和“金钱支付”的等价性,指出个人信息类财产的一面及其背后的经济现实,另一方面又拒绝将个人信息视为真正的商品,而是以增强信息主体对个人信息控制权为依归,避免工具取代目的,自治沦为他治。在此意义上,双重模式摈弃了额外创设财产权的二元保护路径,而试图扩张既有人格权的内涵,使之同时包含经济价值,以期积极发挥财产损害赔偿的作用,令侵权人同时承担精神损害赔偿责任与财产损害赔偿责任,实现对信息主体的充分救济。(44)

   (二)双重模式充实了用户同意原则

   个别付费模式不但直接给付费用户提供了高标准的个人信息保护,而且,通过告知用户存在付费选择权,还充实了同意原则,从而间接保护了所有的消费者。如前所述,在普遍免费模式下,个人不存在迫在眉睫的金钱支出,所以对用户协议、隐私政策均采理性冷漠的态度。2014年3月,德国学者尼古拉·严奇做了一个实验,让443名学生到网站上购买两家影院提供的电影票,在票价一致的情况下,其中一家声称需获取用户的电子邮箱以发送广告,于是另一家获得了62%的销售额,但当后者提升票价后,前者立马获得87%的销售额,即使它依旧发送广告。要知道,后者提价只不过区区50欧分。(45)无独有偶,芝加哥大学Alastair R.Beresford等人进行的田野调查同样证明了这一点。在两家在线DVD商店中,一家不断要求用户告知敏感信息,另一家则无须用户提供,可相同商品的价格贵1欧元,结果几乎所有人都选择前者。(46)相反,付费模式将提醒用户仔细思考交出个人信息的机会成本,促进其更为审慎的决策。更重要的是,付费模式的存在打破了免费模式所设定的“框架效应”(framing effect),个人得以摆脱“用个人信息交换便利”的刻板印象,从网络服务提供者对其偏好施加的潜在影响中解放出来,从而作出真正符合切身利益的选择。

   (三)有利于正确理解和适用“个人信息收集最小化”原则

   “个人信息收集最小化原则”意味着在收集个人信息之时,仅收集为达成特定目的所需要的、直接相关且必要的内容,同时,其留存不得超过特定目的所必需期限并在目的达成后及时删除。该原则首先被经合组织1980年《隐私保护与个人信息跨境流通指导原则》所明确,随即成为各国普遍适用的个人信息保护原则,(47)我国《网络安全法》和《信息安全技术·个人信息安全规范》亦予以规定。需要指出的是,这里的“最小化”并不是绝对的最小化,而是将信息收集限制在“达到目的的适当范围内”。(48)由此,判断“目的”便成为这一原则落实的关键。然而,在海量信息收集、留存与二次利用的大数据时代,面对日新月异的商业模式和用户需求,网络服务提供者的产品和服务必须不断推陈出新,个人信息的利用方式亦随之变化,“目的”的事先确定日益困难。正因如此,网络服务提供者往往在隐私政策中全面列举和过分扩张其目的,而这在避免违规的同时,却令“个人信息收集最小化原则”形如虚设。

   双重模式有效化解了这一困境。在免费模式下,“目的”可以理解为网络服务提供者为满足用户基本需求及提升用户体验而设计的“目的”上。在付费模式下,鉴于其禁止数据的再利用,此时的“目的”应理解为用户注册时所要实现的“初衷”,而非网络服务提供者的“商业意图”。换言之,其目的应限于产品或服务的核心功能和用户的基本需求,其他附加功能和需求不应纳入其中。

   (四)双重模式有利于平衡不同用户之间的利益

   “普遍免费和个别付费”双重模式有效平衡了用户和网络服务提供者的利益。一方面,该模式平衡了不同用户之间的利益。正如Facebook CEO扎克伯格所言,如果你想建立一个服务来帮助连接世界上的每个人,那么有很多人会无力付费,这就是为什么基于广告的商业模式是唯一“理性”的原因。然而,并非所有人都无力支付服务费用,也并非所有人都将便利性置于个人信息之上。对于这些人,付费模式拓展了他们的选择权。另一方面,毋庸讳言,个别付费模式将给人们带来一种印象:这是财富不公的又一反映。由于低收入者的支付能力有限,他们不得不在为个人信息付费和支付食品或上班所需的公共交通之间作出选择。(49)美国皮尤研究中心的研究发现:2/3的受访者反对为获得积分卡,而允许企业监控用户的消费信息并向第三方出售,但在低收入者中确有56%的受访者认为这一交换是可以接受的。(50)显然,相较于富人,低收入者个人信息被滥用的可能性以及因之遭受损失的风险无疑进一步放大了。为了避免歧视选择“普遍免费”模式的人群,我们首先应为之提供基础性保障,在合法、正当、必要的范围内收集和利用个人信息,并保证完整性、保密性和可用性。其次,应对关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的“个人敏感信息”着重保护。(51)总之,个人信息权利绝不能定位于奢侈品,它是生活必需品。这意味着企业只能在满足最低限度的保护要求之后,方可针对付费用户提供更好的服务,而不能以“免费”为由降低对普罗大众的保护水平。

   (五)双重模式有利于网络服务提供者的经营

   无论是数据支付还是金钱支付,网络服务提供者都可以获得收入,只是来源不同而已,这化解了无法通过信息复制来覆盖信息生产成本的矛盾。不唯如是,通过观察用户对模式的选择,网络服务提供者将“个人信息迟钝者”和“个人信息敏感者”区分开来,对于前者,提供标准化保障,对于后者,则采取个性化的个人信息保护策略。这种分离均衡的设计,在维持既有用户之余,还能吸引在单一免费模式下拒绝加入的“个人信息敏感者”,提升了企业声誉。用户数量的扩大和信任关系的巩固,使得网络服务提供者成为最后的受益者。正是看到了这一点,Facebook CEO扎克伯格不久前表示考虑推出Facebook付费版,从而允许用户选择不把他们的个人信息分享给广告客户。(52)

  

   五、“普遍免费+个别付费”的机制建设与制度设计

   (一)机制建设

   徒法不足以自行,“普遍免费+个别付费”模式亦然。事实上,正如对个人信息财产权的批评一样,该模式的关键并不在于是否给予信息主体以选择权,而是该选择权如何在交易成本高昂的信息市场中落实。(53)就个别付费而言,我们所要回答的核心问题是:如何在信息不对称的前提下,监督网络服务提供者履行承诺?这需要在相关机制建设方面作出安排。

   1.经设计的个人信息保护

信息技术既是个人信息的最大威胁,也是个人信息保护的最佳工具。20世纪90年代,OECD所提出的“经设计隐私”(Privacy by Design,PbD)理念在反思技术创新与隐私保护的关系后,把隐私主动地嵌入数据开发与挖掘技术、商业操作、网络架构中,把隐私保护看作是数据资源利用的核心问题之一,而不是依从性问题。(54)2018年,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/120364.html
文章来源:《比较法研究》2018年第5期
收藏