The Research of Protection Method to Personal Information
Based on the Privacy Right:from the Perspective of U.S.A.
Abstract:The protection method of personal information in the U.S.A has started its way in 1970s which formed a self-management method based on privacy to protect personal information from data collection of government and third party.During 1980s to 1990s,as the development of the Internet stepped in the commer-cialized period,the protection of personal information developed into a self-regula-tion system.Nowadays,the framework of personal information protection is consis-ted with three parts:the protection of right of privacy as the basis,self-regulation as the main bone and self-management as the way to claim.However,the frame-work is encountering difficulties in the time of big data:the number of personal in-formation soaring beyond the original protection method;self-regulation is fading due to companies fail to meet the standards of transparency and antitrust;and self-management exits in name only facing overwhelming power of enterprises.Moreo-ver,absence of the sense of right in personal information leads to failure of the framework catching up the time as well.This article is aiming for provide advice on forming protection framework in China through learning the experience from the U.S.A.
Key words:personal information,privacy protection,method of the U.S.A.
引言
我国2017年实施的《民法总则》明确个人信息与数据进行法律保护,但并未给予这两个重要概念明确的定义或者明晰的范围,而是留待未来的特别法律予以规制。[47]个人信息与数据是一个结构复杂的权利束,随着其内涵与种类在大数据时代的扩展,对其保护的路径也日益多元化。基于个人信息与隐私权的相似性,很多国家不约而同地在个人信息进入法律视野的早期采用了隐私权保护的路径。[48]典型如美国,20世纪70年代以来,其将个人信息的权利属性界定为隐私权,并加以扩张式的体系化保护,形成了以行业自律为框架的个人信息自我管理保护机制。
然而,在大数据时代,隐私权为基础的保护路径面临着前所未有的挑战。理论上来说,个人独处的权利——隐私权是个人脱离公共空间的精神避风港,个人会本能地对于自己的信息安全保持警惕。但是现实中,隐私权的边界正在被互联网逐渐消解:一方面使公共视野无限地扩张,网络联通世界;另一方面,个人的信息日趋透明,个人的兴趣、选择倾向、实时位置甚至亲友情况都会被收集并存储。更为严重的是,个人保护自我隐私的本能也日渐消退:一方面个人对大型互联网企业平台日益依赖,用户逐渐习惯放弃自己的信息隐私权用以换取互联网的免费服务;另一方面大型互联网企业渗透进日常生活,收集、处理、使用个人信息数量极为庞大[49],而这种无限制的行为却鲜少引起用户第一时间关注。以美国为例,大数据时代的发展对原有的个人信息保护路径框架均提出了挑战,对探索新的个人信息保护路径提出了迫切的要求。
一、美国个人信息保护路径发展述评
美国个人信息保护路径起源于20世纪70年代,政府掌握当时刚刚兴起的计算机技术,为限制政府对个人的信息监控,开始基于隐私权建立个人信息的保护原则,并以个人信息自我管理机制为保护手段。个人信息保护路径发展于20世纪80年代到90年代,此时互联网进入商业化时期,互联网的普遍化赋予各个行业以收集个人信息的能力,以行业自律规制为主的个人信息保护路径形成。21世纪以隐私权为基础,行业自律为框架,个人信息自我管理机制为保护手段的个人信息保护路径基本成型。但是,随着大数据时代的到来,原有的个人信息保护路径受到新形势的挑战。
在数据时代之前,个人信息表现为与住宅等不动产财产权利联系在一起的消极权利。只要个人处于私有不动产墙壁保护之中,就不需要再积极采取其他措施保护个人信息。个人隐私权利制度随着财产权利制度的发展逐渐建立起来Samuel Warren和Louis Brandeis[50]将个人隐私权定义为“独处的权利”[51](the right to be let alone)。1960年,美国第二次侵权法重述的报告人William L.Prosser更强调隐私权的外延受到公众利益的限制。[52]1967年,Katz v.United States[53]一案中出现了个人信息与隐私权的连接点,是个人信息作为隐私权保护的判例基础,由此案开始第四修正案的保护范围延伸到个人隐私信息。20世纪60年代到70年代初期,隐私权仍然处于客观的住宅墙壁保护之中。
20世纪70年代,作为消极隐私权有效护盾的不动产墙壁出现了一丝裂缝,计算机技术产生了无形的链接并试图打破这堵保护墙。1969年,美国国防部高级研究计划署[54]建立阿帕网[55],现代计算机网络诞生[56]。
由于计算机网络主要用于政府工作,当时个人信息保护的关注焦点在于如何保护个人信息不受到国家公权力的过度收集和滥用。因而,美国卫生、教育与福利部[57]于1973年发布了一份题为《录音、计算机与公民权利》[58]的报告,第一次提到了计算机网络带来的个人信息隐私问题。该报告主要分析了“个人信息的电子化对个人隐私权的影响”,提出“公平信息实践原则”(Fair Information Practice Principles,FIPPs)[59],这一原则为个人信息保护制度以及个人信息自我管理机制的建立提供了基础。[60]
20世纪70年代,在计算机网络诞生的5年内,针对政府收集公民个人信息行为,以隐私权为基础的个人信息保护框架开始建立,个人信息自我管理机制也随之初现雏形。隐私权作为个人信息保护框架的基础,使个人私权利能够对抗政府所代表的公权力,体现出宪法性权利属性。[61]但是,在公平信息实践原则下,个人信息保护和互联网企业发展都受到限制。一方面,对于个人信息保护而言,只要政府行使告知义务并取得个人同意,政府的收集、使用和披露行为就是被允许的。由于存在太多例外情况,也没有确定权利保护机构[62],个人保留修改个人信息的自我管理机制有效性体现并不明显,因此这一原则也被学者诟病。另一方面,对于新兴的互联网企业发展而言,互联网企业认为该原则对企业束缚过多。互联网企业希望只保留原则中的告知同意和责任条款,去掉原则中其他缺乏实际作用、限制言论自由或者执行价格过高的条款。[63]
20世纪80年代是碎片化的个人信息向大数据发展的一个关键时期。1989年,万维网协议诞生。[64]20世纪90年代互联网技术开始走向商业化。1995年通常被认为是网络商业化的第一年:网景公司成功开发SSL。[65]1998年,Google上线,给人们在网上搜索数据的方式带来了革命性的变革。
在这一阶段,个人信息立法保护呈现出两个特点:其一,由于互联网在各行业的普及,呈现出规制范围扩大化的特点。前一阶段(20世纪70年代)规制政府行为的措施被扩大适用至互联网企业,在企业收集、适用和披露个人信息行为中贯彻对个人信息的保护措施。其二,这一时期的个人隐私权并未以进行统一立法保护,而是分散在各行业立法中,由每个行业根据自身特点对本行业设计的个人隐私权进行保护,呈现出分散式立法的特点。20世纪80年代到90年代,美国根据行业特点对个人信息隐私权问题进行单独立法,逐渐形成以行业自律为框架的个人信息保护制度,该阶段美国各行业中有关个人信息的隐私权保护法案主要集中在金融领域和通信领域[66],其中对于个人信息保护影响最大的法案是《电子通讯隐私法》(the Electronic Communication Pri-vacy Act,ECPA)。
除了保护个人信息的行业法规大量涌现之外,司法实践中也出现了企业收集个人信息而导致个人用户起诉的案件。[67]2001年,有案件尝试用《电子通讯隐私法》适用个人信息被互联网企业收集问题。但是此案判决认为企业收集个人信息的行为并不属于《电子通讯隐私法》所保护的个人通信权利,因此该行为无法适用电子通信权利的保护路径。这起案件充分说明,个人信息在原有的法律体系中难以寻求到可适用的保护路径,尤其是对于个人信息被企业过度收集和滥用的行为,当时的法律尚未找到规制此种行为的合理路径。具体分析其原因:首先,由于此阶段所建立的法令体系呈现分散性特征。明确、成体系的保护机制的缺乏导致个人无法准确地搜索到可行的适用法以保护个人信息隐私权。其次,行业自律规制所保护的对象范围过窄,极易过时。如《电子通讯隐私法》就由于其无法为大多数通讯信息及用户记录提供保护而受到诟病。技术的高速发展使得个人信息的分享方式、储存方式及使用方式时刻发生着极大的变化。而在数据爆炸的大数据时代,再细微的数据都可能成为互联网市场上的重要“商品”。最后,行业自律框架下的个人信息隐私权保护制度中,许多具体条款设置存在权利失衡问题。具体从《电子通讯隐私法》的条款来看,该法令规定:任何保留在服务器中超过180天的邮件,将被认定为是废弃邮件,司法机关可以不申请执行令直接取得该信息。现在数据保存价格之低,大多数网络服务供应商可以选择将这些信息留在云储存中,而用户并不知道自己的信息以这种形式被永久保存着[68],互联网企业运营不透明影响个人用户权利保护的问题在互联网行业发展初期即有所体现。
在相关法律难以适用的情况下,法律规制之外的企业自我管理规制发展起来,尤其是占据发展优势的互联网企业,为了保持其行业领先地位,主动采取保护用户个人信息的措施,以保证数据收集规模,提升企业竞争力并赢得用户信赖。同时,为促使互联网行业健康发展,行业自律框架中形成了执行隐私权行业政策的行业组织。20世纪90年代,TRUSTe组织[69]要求合作网站遵守该行业组织制定的基本隐私权规范,即行业规范;同时要求合作网站按照行业规范制定隐私条款,以此促进用户对网站的信任。
但是,隐私权条款完全是企业的自愿行为,企业采取自发行业规制的最终目标是为了保证自身利益免受未来可能的法律规制[70],而不是为了用户的隐私权保护。互联网企业希望通过展示现行的行业自律体系是可行的,不需要法律制定者再制定多余的法律来规制他们。
20世纪90年代,以隐私权为基础,互联网行业自律为框架,个人信息自我管理为保护措施的权利保护路径基本发展成形。其中,行业自律框架包括行业立法规制和企业自我管理两部分。该阶段规制对象集中在政府以及一些固定行业的大型企业收集、使用、披露个人信息的行为。但是在未来几十年,互联网发展提速进入大数据时代,个人信息的“商品化”,个人信息的交换普遍化,全民信息数据化的时代到来同时意味着个人信息所包含的“利益”属性越发受到关注,而“权利”属性却往往被个人信息主体本身、企业及政府所忽视。这种“忽视”导致个人信息保护措施的缺乏,规则的缺失又进一步刺激市场加快逐利步伐。个人信息所包含的“利益”不容忽视,但是其中所包含的“权利”更需要关注。
1.互联网行业及技术发展对于个人信息的威胁
大数据时代,互联网行业的激烈竞争促使互联网企业开发更多收集数据的新技术,以免在市场竞争中被淘汰。行业竞争催生出的新技术能更加隐蔽、高效地收集用户信息,具有更强的侵犯性。新技术的产生使得原有的隐私保护技术和法律规制形同虚设,这就导致行业自律规制模式的失效。原有保护模式的失效导致互联网企业与个人用户之间的权利天秤处于失衡状态。具体而言,互联网行业及其技术发展对个人信息的威胁表现为以下三方面问题:
其一,个人信息收集数量过量问题。2010年之后,互联网行业产生了更多且适用更广的新技术用以跟踪用户并收集大量用户信息。20世纪90年代诞生的存在于用户端的cookie技术,由于用户可以自行删除导致信息缺失,这种技术现已被大部分公司遗弃,如今出现了许多新的方法替代cookie可以更高效地跟踪用户。比如:僵尸cook-ies(zombie cookies)[71]和HTML5 canvas指纹跟踪技术(fingerprinting)[72],这些新技术可以在用户完全不知情的情况下来跟踪和识别用户。即使是电脑高手,面对新的跟踪技术也很难保护好自己的隐私信息,这些技术赋予互联网企业收集更多个人信息的能力。新技术的迅猛发展使得互联网产业能够形成一个庞大的数据帝国,数据帝国为能继续扩张逐利又不断开发出更多新技术,缺乏有效法律规制的帝国在不断扩张中逐渐失控。
而现行的保护机制,尤其是行业自律机制对于互联网企业无限制地收集个人信息的行为缺乏有效规制。现行行业自律机制的外部规制要求互联网企业在行业法规的范围内进行自我约束,其内部规制要求互联网企业自行制定隐私权政策以期其自我管理。但是大数据时代的新技术发展和市场竞争导致现行的行业自律机制失效:一方面,行业自律机制的外部规制无法发挥实效。新技术使互联网企业能够在行业法规的合法范围内大量收集用户信息,在用户没有意识到互联网在收集个人信息的前提下,收集整合大量个人信息,创造营销档案,贩卖整合的个人信息给第三方。[73]另一方面,在个人信息带来的巨大利益驱动下,行业自律机制的内部规制:隐私权政策也名存实亡。许多互联网企业明确将个人信息的收集、使用问题写入用户隐私权政策[74],但是政策故意地模糊处理使得普通用户难以理解该政策,互联网企业利用技术优势以及不透明运营逐渐挤压用户的个人信息保护意识,个人信息收集的透明度逐渐降低。如Google公司的隐私权政策中,关于收集用户信息的种类和内容并不明确,关于如何使用用户信息也并未说明,只笼统地总结为“为了满足用户的需求”而收集。[75]表面上看起来信息似乎是明确且公开的,但是用户仍然不知道自己哪些类型的信息会被收集,会发送给哪个行业的第三方公司,Google公司是否对第三方公司进行尽职审查义务也无从知晓。
其二,个人信息整合过度问题。从大数据时代的经济发展需求来看,大量的信息收集并不是信息流向的终点,收集大量个人信息的下一步是按照市场需求,将信息整合为数据池,以备未来的经济发展之需。互联网企业的整合技术及数据算法可以完成个人信息的链接和整合,而现行的个人信息保护规制缺乏对个人信息整合的限制,意味着个人信息可以被整合为各种形式的电子档案(digital dossier),并被永久保存在互联网中。[76]从个人用户的角度而言,表面看来个人用户每次联网并未上传过多个人信息,且各个网站所收集的个人信息处于碎片化状态,个人用户可以通过删除信息或者浏览器的隐私模式等自我管理手段处理个人碎片信息。但实际上各大互联网企业通过不断运行的算法和信息终端保存方式,最终仍然可以将这些碎片化的个人信息整合并得出特定个人用户的完整信息。这意味着即使个人能够通过个人信息自我管理机制正确地处理每个单独网站收集的碎片信息,但大数据仍能从碎片线索中整合出个人的完整信息文件。并且这个过程对于个人用户而言是不可见的,个人难以运用现有的个人信息自我管理机制保护自己的信息。对于信息过度整合行为如果不加以限制,最终可能导致危害个人信息隐私权的负面结果:社会向着个人信息全部公开化发展,所有个人信息都会被制成电子档案,能够被政府、企业或其他人轻易获取。[77]
其三,个人信息保存时间过长问题。个人信息保存技术的成熟使得个人信息得以永久保存[78],通过搜索引擎和网盘可以轻易找到这些保存信息。信息保存技术增加信息查询便捷性的另一面,个人将被迫与希望遗忘的记录一起永久存在,世界的任何地方都能查询到这些信息。这些信息记录影响着个人的自我确认、就职、加入社会公共生活甚至更多方面。虽然理论上认为个人有权要求网络服务提供商删除自己的个人信息,但现实是:互联网企业并没有删除信息的义务[79],即使这些信息已经过时很久或者与现实不符。信息收集企业之所以不删除过期信息,有两方面的原因:一方面是由于保存信息的技术已经相当完善且价格低廉;另一方面是因为过期信息存在其他经济价值。比如用户使用搜索引擎查找有关高血压治疗的相关信息,一段时间内该用户可以从结果中受益,相关的治疗广告会发送给该用户。当用户通过饮食和锻炼控制住病情后,类似的广告对于用户而言属于失效信息。但是,从另一个角度看,健康保险公司在查找用户病史时,用户的搜索记录就具有参考价值。个人信息的隐私安全与商业经济利益之间就产生了矛盾。[80]
2.大数据时代隐私权保护立法趋势向积极模式转变
为缓和大数据时代互联网行业发展与个人信息保护之间的矛盾,2015年奥巴马政府发布《消费者隐私权利法案》[81],其立法目的在于着重调整互联网企业与个人用户之间的权利地位不平衡,对企业的运营透明度公开义务和用户责任作出了纲领性的规定。从法案总体框架而言,该法案仍然遵循“公平信息实践法则”和“告知与同意”框架,主要内容包括透明度、个人控制、目的一致、收集限制与使用责任、安全性、接入权与准确性、问责制七个方面。从法案具体条款来看,该法案要求互联网服务提供者向用户提醒该网站或者软件收集信息的内容和使用方式,并且赋予用户个人积极控制、限制企业使用自己信息隐私的权利。从法案赋予个人积极控制信息的权利这一点可以看出:政府关于个人信息隐私权的观点从受损结果产生才保护的消极模式转向了发现即可止损的积极模式。但是该法案仍是一个框架型的规制形式,没有提供具体的实施方式、缺乏保障实施的机构和实施不畅时的责任机构。
美国个人信息保护体制发展到现阶段,已经形成了较为完整的体系,其内容由三部分组成:(1)20世纪70年代形成的扩充原有隐私权法律体系而形成的基础保护制度;(2)20世纪80年代开始形成的规制互联网企业的行业自律框架;(3)20世纪70年代开始,现阶段趋向于积极模式的用户隐私自我管理保护手段。
二、美国现行个人信息的保护制度评析
梳理美国个人信息保护路径发展历程,可知美国现行关于个人信息的保护体制已形成以隐私权保护为基础,互联网企业自我规制与个人权利自我主张为主的私权利保护模式。但是互联网行业仍处于新生业务不断增加,互联网环境不断变化的发展阶段[82],现有的保护模式必然会出现许多适用上的问题。
互联网使公共视野无限扩大,作为个人信息保护权利基础的隐私权无法保持消极的“独处”状态,即使处于自己的房间中,只要存在网络,就可能被全世界观察,个人信息沿着网络不断向外溢出。由房屋等财产权利为个人筑造的隐私墙壁已被网络打破。虽然消极隐私权的保护规则不再适用于网络大数据时代,但是切断网线做一名网络时代的隐士显然不太现实。想要遏制网络触角无时无刻的数据收集,减少网络隐私侵权的情况发生,需要国家在法律层面对隐私权范围做合理地扩张理解,扩大个人信息的保护伞;并且个人在生活中对可能的网络隐私侵权行为提高警惕,对自己的信息采取更为积极的保护态度。
采取积极的权利保护态度以捍卫个人信息的隐私与安全,需要公众改变对于隐私权的理解认知,现在公众对于隐私权的认知尚处于消极向积极发展的过程中,因此对于许多个人信息是否属于个人隐私存在理解上的边界模糊问题。又由于先例的存在,许多人对于隐私权的理解过于概念化,认为如果信息已经被公众或他人所知,就不存在隐私权的问题。美国最高法院也认为不存在被公众所知的隐私[83],这一观点源于1979年Smith v.Maryland案所创立的第三方披露原则[84]。该观点的问题在于[85]:某种个人信息并不是全部属于公众或者全部属于私密的。在公与私之间,实际上存在非常大的空间。[86]随着数据时代的发展,公与私的界限会不断变化,甚至在某些领域逐渐模糊,尤其是大数据时代,互联网不存在绝对的隐私。但是个人用户向大数据输送个人信息的同时,对信息发送的范围和信息未来可能出现的场所存在一定的期待度和预测性[87],即使个人向第三方披露其信息,也应积极地考虑个人披露信息时对于信息传播范围的合理期待度,而不应该消极地直接适用第三方披露原则而排除对该信息的保护。现行的隐私侵权法缺少对不同程度的信息隐私权期待性的划分和判断,司法上对于信息隐私权的理解采取全无或全有的概念,已经不适用于数据大爆炸的失控时代。
大数据是信息经济时代的新原油[88],拥有强大数据处理能力的互联网企业掌控着这一资源。以美国互联网代表企业Google为例,数据显示[89]:2012年,Google公司处理了美国65%的搜索请求,占有美国78%的广告搜索利润,同时占有全球85%的搜索利润。从市场占有率看,Google公司在搜索数据处理数量和广告搜索营利处于完全的优势地位,占有美国数据市场的六成以上。一家独大的垄断互联网企业对个人用户而言,一方面确实可以为用户提供全面的服务;但是,另一方面,个人用户由于互联网企业的垄断地位可能面临以下危险:(1)个人用户以低价丧失个人信息控制权;(2)广告商利用数据向个人用户提供针对性广告,用户通过互联网搜索购买的产品可能存在价格歧视[90];(3)互联网企业可能将个人用户信息用于不法目的。
具体分析互联网企业垄断地位对个人用户造成的负面影响。首先,个人用户低估了个人信息的经济价值,以个人信息换取互联网企业提供的服务。互联网企业没有向提供信息的个人付费,个人也没有因为使用产品而花钱,看起来似乎是一场零支出的物物交换。但是正像以物易物经济时代一样,信息的“价格”是模糊的,正是这种模糊性为互联网企业提供获得经济利益的机会。许多调查显示[91]大多数用户并没有理解自己与网络服务提供者交换的个人信息被第三方使用,用以市场交换和广告。由于缺乏强制性法律规定互联网企业告知和通知个人用户隐私权利的具体表现形式,互联网企业的隐私权政策提示并不明显[92],个人用户处于无意识状态放弃了自己的信息。其次,互联网企业垄断地位导致对个人用户的价格歧视。广告公司利用互联网企业提供的个人信息,将客户群分块、整理,向不同的客户群以不同价格提供同样的服务或产品,即价格歧视。[93]广告商可以通过互联网企业提供的个人信息掌握不同客户群对同一种产品的最高接受价格。这种价格歧视的产生从外部操作流程来看,广告商的下游客户:个人用户难以察觉此种只呈现在自己面前的价格歧视。网络中的价格歧视与现实生活中可见的不同,如同航空公司的同一路线价格不同,客户有可能从中选取最适合自己的价格,但是埋头于一方屏幕中的个人用户看不到推送给其他客户群的产品价格,网络中的价格歧视呈现不可见的特点。同时,广告商允许自己的上游客户:产品提供商针对不同的客户群设置不同的广告邀约,广告投放的差异可能基于用户的过去购买或者浏览产品的行为甚至用户的地理位置产生。价格歧视的产生从内部操作流程来看,广告商可以评估不同客户群对同一产品的预算,按照客户可以接受的最高价格设定广告中的产品价格,将每一次产品交易利益最大化。[94]最后,由于缺乏对互联网企业收集、使用、行为的强制性法律规制,企业在利益的驱使下,极有可能将整合的用户信息用于不法交易。比如:互联网企业可能将收集的用户医疗信息贩卖给没有资质的医疗机构。2011年,Google公司由于其在明知的情况下,为非法医药机构贩卖处方药及类固醇提供了便利,向联邦政府支付了5亿美元民事罚款。[95]有些行为由于其侵权后果严重而为人所知,但是互联网企业不透明的运营机制之内,大多数个人用户信息的安全性难以得到有效保障。
互联网企业为营利而“故意”地减少业务运营的可见性同样阻碍行业自律机制的有效运行,互联网企业不透明运营导致个人用户对企业内部如何使用个人信息缺乏明确的概念。而现行的行业自律机制对于互联网企业的不透明运营问题缺乏有效的解决方案。一方面,现行的行业自律机制针对互联网企业内部运营,未对企业的说明和告知义务作详细规定[96],同时缺乏对企业内部运营合理披露的规定,现行的行业自律机制在企业内部管理合理规制方面缺乏实际适用性。以代表性搜索引擎提供企业Google为例,作为搜索引擎的领跑企业,Google在互联网世界中拥有极大的权力,尤其在网络内容的操控方面。[97]Google没有透露其搜索排名方法的细节,只是大致对搜索过程做了描述,称搜索排名根据相关性和重要性对网站进行排名。但为避免算法披露导致其他网站对排名私自操纵从而减少Google对广告市场导向的控制,Google急于对排名方法保密,搜索服务就变成了不透明的“黑箱业务”。[98]互联网企业故意的模糊应对使得用户不知道互联网公司如何运作,更不知道它如何利用那些从用户收集到的数据。美国联邦贸易委员会曾发表报告,认为即使网站取得用户对其有限使用个人数据的同意授权,这也并不意味着网站可以无限制地传播该授权信息。如果互联网企业制定的政策缺乏透明度,用户对自己信息将会失去控制权,进而损害用户的隐私权。另一方面,针对于互联网企业外部监管,现行的行业自律机制缺乏对企业的有效外部监管。企业透明度达不到要求的前提下,企业是否按照其公示目的处理个人数据,是处于未知状态的。《消费者隐私权利法案》中明确规定了企业问责机制,但是关于企业具体如何监管,谁来监管的问题并没有解决。企业的风险评估和监管单方面依靠企业自行管理这一点遭到隐私权学者以及联邦贸易委员会(Federal Trade Commission,FTC)消费者保护局的反对。[99]有效的外部风险管理需要中立、专业的风险评估机构和监管机构来实施,而不是完全寄希望于互联网企业自我管理。
个人用户对于个人信息的经济价值严重低估,几乎是无意识地以个人信息换取互联网提供各项服务,习惯性地使用着免费的互联网服务而鲜少考虑这些服务的“费用”。与个人用户对于个人信息的权利意识模糊不同,政府和各领域企业早已意识到个人信息是大数据时代中最具经济价值的产品。这种意识的不对称:收集信息一方的“明知”以及被收集信息一方的“无知”导致个人用户不仅没有意识到个人信息的“利益”属性,而且也没有意识到个人信息“权利”属性。
作为个人信息的保护手段,用户信息自我管理机制有效实行的前提是个人对于个人信息的保护意识。作为个人用户,大多数人都难以拒绝免费的互联网服务,这确实是个人获益,比如搜索自己不想为人知的病症或者直接在网上预约医生,或者获取其他感兴趣的信息。在现实世界,个人对隐私保护的意识非常高,比如有意识地在公共场合进行私人对话时压低声音;在有录像设备的场合,往往会更加在意自己的行为举止。但是当用户上网时,物质现实的存在就仿佛消失了,这是一种对现实世界与网络世界之间存在的感觉力的差别。[100]个人能感觉到自己的行为被互联网企业通过技术手段记录,但是又没有物理上的某种形式提醒注意自己的言论和行为,由于缺乏有效的告知提醒机制,用户与现实世界脱离的错误感觉更加强烈。一般个人在物理世界的私密对话不会被精确记录,即使被第三人听到,经过一段时间也会被遗忘。但是数据经理人[101]或者Google记录用户的在线行为,这些行为信息会通过某个相同的数据节点与用户的其他碎片数据联系起来,并且保存一段不定的时间。[102]网络世界相比现实世界而言,其所“记录”的信息完整度、关联度都要更高,信息储存时间也更长,因此网络世界的隐私更需要注意保护,一旦用户释放出个人数据,就成为不可逆转的事实。
由于个人用户对于数据形式的隐私权缺乏敏感度,同时互联网企业“故意”地降低用户的警觉性,造成个人信息自我管理机制在启动阶段就出现实行不畅问题。除此之外,美国现行的个人信息自我管理机制还存在许多具体问题[103],包括:(1)用户不阅读隐私权条款。用户鲜少阅读企业提供的隐私权政策。[104]更少有人会勾选掉企业提供的不与人共享本人数据的选项。[105]大多数人没有考虑过更改网站上的隐私权设置。[106](2)用户未理解条款含义。也就是说大多数用户并没有理解隐私权政策。另一种可能性是互联网企业故意将隐私权政策设置得冗长且难以理解。(3)用户错误预估风险。人们习惯于对潜在风险进行经验性的评估,如果感觉到自己掌握着主动权,且分享自己数据的情况尚未发生严重的风险,就会倾向于愿意承担这个可能的风险。[107]这些问题导致用户鲜少主动参与自我信息管理,最终将导致现行的自我管理机制失效。
通过对美国现行的个人信息的保护机制分析,由于缺乏积极、有效、成体系的法律保护规制,不透明的互联网企业垄断地位造成了个人用户的弱势地位,因此作为保护手段的自我管理机制处于失效状态。但是在大数据发展时期,过于严格的法律限制并非良策。仅依靠权力机构发布严格规制限制互联网企业收集、使用、披露个人用户信息的行为并不是处理私权利平衡问题的最佳选择,反而可能限制数据经济的未来发展。2017年3月1日,美国联邦通信委员会(Federal Communications Commission,FCC)投票停止2016年通过的互联网隐私规则[108],该规制要求互联网服务提供商在分享用户浏览历史记录、位置信息和其他敏感数据前必须获得明确的用户授权,须用户采取选择性加入(opt-in)的同意方式企业才有权收集用户敏感信息。新上任的联邦通信委员会主席Ajit Pai对该规则持反对意见,认为该规则对互联网服务提供商要求过严。2017年3月1日,委员会投票决定暂停该规则。2017年3月23日,美国参议院对联邦通信委员会2016年12月提交的限制宽带服务供应商分享个人信息给第三方的“保护宽带和其他电信服务用户隐私”提案进行投票表决,该提案未获通过。现实情况是:在经济利益、国家利益的驱使下,政府并不能也不会作为规制互联网企业的主力军。美国对于个人信息的保护发展经历了从无到有,从宽松到严格再到重新放宽规制的发展阶段:20世纪70年代开始规制政府行为到90年代规制政府及企业行为,再到前段时间的严格规制企业行为,现在处于再次放松对企业行为规制的阶段。但这并不是个人信息保护路径发展的句点。
三、个人信息保护对策的继续发展
现在大数据成为推动经济发展的极大助力,希望政府采取严格的手段限制互联网企业收集个人信息的行为显然违背经济利益。现阶段,美国的个人信息保护路径发展处于再次对企业放宽规制的时期,但是个人信息的保护发展并未划下句点,在不断扩大的隐私权法框架之内,关于个人信息保护机制的相关对策仍然在不断发展。
中国1994年才正式接入国际互联网,但对于个人信息保护机制的建立则从2000年开始,以立法形式对个人信息的收集、使用、披露问题作出了回应。[109]随着大数据时代的发展,中国越发重视个人信息保护。2017年3月8日,在十二届全国人大五次会议上,新闻发言人傅莹表示,2017年将严查个人信息泄露,在多项法律中关注和强化对个人信息的保护。3月15日通过的《民法总则》[110]亦在民事权利一章明确规定公民个人信息受到法律保护。3月20日,最高人民法院审判委员会全体会议审议并原则通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。中国关于个人信息的保护路径开始加快建立。关于如何建立我国个人信息的具体保护路径,美国以特定权利立法保护为基础,以互联网企业的行业自律机制为框架,用户个人信息自我管理模式为保护手段的保护路径很有参考价值,但是在行业自律与国家介入的比例侧重上应作出适合中国实际情况的调整。
美国模式由于判例影响,其建立个人信息保护路径的权利基础是单一的隐私权。其发展趋势是继续扩充调整原有隐私权法律体系的基础保护制度,全面建立隐私权的积极法律模式。在隐私权的定义和范围无法绝对确定的大数据时代,以往消极的隐私权概念不再适用于变化的现实情况,被动地在旧的隐私权保护框架内行动也随时可能被网络的触角触及。具体而言:(1)在立法上,一方面建立隐私权积极模式,对于隐私权概念的重新界定十分必要,不论是个人还是法院都要以积极的权利态度对待个人信息[111],对于潜在的侵权威胁采取积极地防御态度。另一方面,立法限制个人在某些情况下对放弃隐私权的同意:隐私权虽然是基础的人权之一,但是在一定程度上,需要一个有效的社会机制在一定程度上控制政府的权力和个人的选择权利。互联网时代的个人信息常被用来交换其他好处,在一些特定情况下,隐私权不能被放弃,比如未成年人在互联网中上传自己或他人的隐私信息。[112]未成年人作为巨大的互联网用户群体,对风险的认知程度较低,更容易泄露自己的数据信息。(2)司法上建立隐私权积极模式,法院应该抛弃二元制,即隐私权全有或全无的考量方式,将公权力与私权利之间的渐变层次纳入考量。侵权法必须将个体之间分享数据的社会常态纳入考量,针对个人对其所分享数据存在的期待性在不同情况下的变化对个人信息给予不同程度的保护。[113](3)个人认知上建立隐私权积极模式,个人应该充分认识到信息之中所蕴含的权利,不论是通过立法保护还是法院判例,个人都能从中进一步意识到保护个人信息必须从提高自己的权利意识开始,才能在侵权发生时捍卫自己的权利。
而我国对于个人信息保护路径建立的权利基础则将其作为单独人格权加以保护。《民法总则》第111条对个人信息单独列出,表明其独立于个人其他民事权利。权利属性的确定对于权利保护机制的建立而言仅仅是一个开端,下一步是建立个人信息的具体保护措施,必须建立在国家主导型的法律规制作为个人信息的最终保护手段的基础上。建立国家主导法律保护路径的具体构建上有不同方案。比如适用现有法律框架并增加特殊规定的方案:适用现有的侵权法救济途径处理互联网隐私侵权问题,并增加针对互联网隐私侵权问题的特殊规定。[114]或者在现有的民法框架内建立个人信息保护制度,再结合新时期行业所呈现出的不同特点作分类细化。[115]也有主张单独立法的方案,以《个人信息保护法》基本法为主干,再结合个人信息保护特别法规范特殊行业与特殊人群,建立行业自律规范与国家立法相配合协作制度。[116]无论最后采取哪种方案,为个人信息的保护提供国家法律保护路径是必不可少的。
美国的行业自律机制作为个人信息保护机制中的主要框架,其运行基础在于企业的逐利欲求和技术优势。行业自律机制的优势在于企业逐利性可以带动经济和技术的极大发展,但企业逐利性的不断膨胀却会挤压个人信息的安全空间。因此,互联网企业的行业自律机制需要不断进行调整规制,个人信息的保护关键不在个人如何防止互联网企业收集个人信息,而在于收集信息的企业正视个人信息中蕴含的个人权利[117],互联网企业重视、改善其收集的隐私信息管理制度才能有效地保护个人数据隐私权。具体而言,首先,在企业自我管理方面,互联网企业内部管理可以设置首席隐私执行官来管理用户的隐私信息,公司的软件产品服务设计也必须充分考虑到隐私问题[118];互联网企业外部管理可以委托专业风险管理公司对个人信息的披露进行管理,向申请信息使用情况公示的个人用户及时进行公示。其次,除了互联网企业的自我管理调整之外,行业组织的建议和监督也是行业自律规制的重要组成。联邦贸易委员会也提出关于改进互联网企业以保障用户数据隐私的建议。联邦贸易委员会在2007年就提出过关于网站选项模式更改的建议,把收集数据的选项设置为用户主动勾选,只有用户手动勾选同意收集数据,才能视为用户同意的形式。联邦贸易委员会的委员之一Jon Leibowitz认为[119]特别是同意与第三方分享信息的选项,尤其应该使用这种形式。最后,行业自律规制中的法律规制制定在合适的互联网发展阶段可以参考欧盟关于个人信息的保护规则,欧盟关于个人数据的处理更加谨慎,规则更加严格。[120]其规制严格性体现之一是互联网企业想要收集数据的入行门槛高:欧盟国家如果互联网企业要收集用户数据,需要经过一定的法律程序,才有资格收集。而美国企业的数据处理是法无禁止即可为。体现之二是欧盟对于信息保护的措施更为全面,不论是何种形式的信息数据,何种类型的组织掌握该信息数据,都受到相应的法律保护。这种综合性的隐私权概念迫使企业重视自身对用户的责任,无法达到标准的企业将会被用户所抛弃。[121]
而我国尚未建立成体系的互联网行业自律机制,可以借鉴美国行业自律模式中的互联网隐私权政策标准化方案。在遵循基本经济发展原则的前提下,由相关政府部门出台一个有针对性和区分度的隐私信息保护行业规范,指导不同行业网站的隐私保护政策制定是现阶段比较合适的保护路径。在行业规范中最重要的是风险控制,互联网行业应建立隐私信息风险的预警机制,依照法律法规预防性地进行自我规制,才能最大限度地保护个人信息。互联网隐私权政策标准化初步方案可采取类似工业和信息化部2013年9月开始实施的《电信和互联网用户个人信息保护规定》[122]同样的形式,从而适时、合理地规制快速发展的互联网行业。
此外,还可以采取在互联网行业引入竞争机制的方案。由非营利性机构提供替代性的互联网服务,这里所说的非营利性机构是指不以互联网个人信息业务为主业的机构,技术运营方面有政府的财政支持,引入非营利机构的选择性竞争机制,给予用户选择权。2014年国内由中央七大新闻媒体联合创办的中国搜索信息科技股份有限公司(国搜),其推出的“中国搜索”可能在国内形成百度搜索的替代性搜索工具。当然该搜索引擎现在的数据库不及商业型的庞大数据库,但是搜索结果和界面相对“干净”。随着大数据的不断发展,数据的交流会更加普遍,未来任何数据库都可能实现全部数据可接入。数据库的大小并不是决定未来搜索引擎服务优劣的关键因素,关键在于搜索结果的相关性和可用性。
大数据时代到来意味着想要保有自我空间,个人必须从消极的隐藏个人信息模式转变为积极地自我管理控制信息模式。针对美国模式中个人信息自我管理机制现存的具体问题,比如用户不阅读隐私权条款,可以采用主动弹出或者固定显示的隐私权提醒机制。对于用户未理解条款含义的问题,可以采取简单直接的图片化告知形式,比如烟盒上的死亡标志。但是隐私权更为抽象,问题在于其图像表示要如何设计才能精准地表达隐私权政策的含义。[123]而关于用户对互联网风险认识错误问题随着互联网关于个人信息泄露导致的风险新闻报道增加,以及法律规制的逐渐完善,用户的风险意识将随之提高。如果能够有确切的告知程序[124]告知用户其信息正在被收集以及这些信息会被用于何种情况,在互联网世界中,个人与现实世界脱离的感觉就会相应减少,对个人信息的权利意识也会相应加强。研究显示[125],明显且有效的隐私权提醒机制能给用户行为带来显著改变。在定制的搜索引擎上让用户选择购买商品,网站页面旁边附一个简单的“隐私保护测量器”可以显示不同网站的隐私政策保护隐私权的强度。大部分用户选择付出更高价格,也要在提供更好隐私权保护的网站购买商品。该研究结果表明网络环境下用户对于隐私权的重视,随着互联网产业的不断成熟以及用户对于个人信息的进一步认识,互联网公司也会为了吸引更多用户以保持竞争力,相应地适应用户需求而改变其隐私权保护政策。
现阶段,我国对于个人信息的保护非常重视,但是法律层面尚缺乏具体保护措施,实践层面也未见个人诉互联网企业侵犯个人信息的胜诉案例。[126]其原因还在于立法规制的缺乏和个人信息的权利意识淡薄。但是随着大数据经济的不断发展,互联网企业的不断扩张,企业逐利性压迫个人权利空间的危机不断逼近,个人信息的权利意识必然会逐渐加强,对于国家立法保护和企业自律规制的呼声也必然会持续高涨。在未来的互联网经济发展阶段,建立成体系的个人信息保护机制是必需的。
四、结论
大数据的发展已成不可逆转的时代发展趋势,数据的累积和重组意味着信息中包含的个人信息必然从非数据时代的消极权利发展为数据时代的积极权利,如何建立保护这种积极权利的有效机制,正是大数据时代未来的重要课题。现阶段,国家主导的政策在没有足够制定依据的前提下,互联网企业的自我管理和外部规制将是维持权利平衡的主要力量。个人对于信息的权利意识觉醒以及积极管理,辅之以互联网企业以用户为主导的隐私权政策制定,在短时间内可以达到个人信息隐私安全与互联网经济利益的大致平衡。但是随着互联网经济和大数据规模的不断发展,市场的逐利性会以不可控之势侵蚀个人信息的空间,在这种局面出现之前,代表国家力量的法律规制必须迅速建立起来,才能再次达到权利的平衡。