一、引言:作为计算法学秩序概念的隐私、信息与数据
作为一门经由法律与信息技术相互交叉融合而成的新兴学科,计算法学形成了以数据、算法、平台等为基本范畴的知识与规范体系。
计算法学绝非凭空而来,毋宁需要传统法学的沁润和滋养。近百年前,德国法学方法论巨擘、利益法学的领军人物菲利普·黑克(Philipp Heck)曾指出法学所肩负的三项任务,以此对应三种不同的问题应通过三类概念分别加以解决:一是以规范获取为目标的“规范化问题”,为此需要应然概念(Sollbegriffe),其主要存在于制定法当中,也可能是经由学术补充而来;二是关涉事实的“纯粹认知问题”,运用由学术在事先的研究中或者法官对事实作判断时形成的实然概念(Seinsbegriffe);三是旨在对结论予以呈现和整理的“表述问题”,与此对应的是秩序概念(Ordnungsbegriffe),其通常是学术积累和建构的产物,但在例外情形下也会由立法者直接确立。
当今社会数字经济蓬勃发展,引发了一系列新兴法律问题,成为学术研究的热点。而作为这诸多法律问题展开讨论前提的基础理论问题,就是隐私、信息和数据的关系。这三者之间关系的厘清,具有事实与规范的双重价值。事实层面,数据已经被作为了第五大要素,随之数字经济的发展日渐得到重视,但是围绕数据权利的制度设计却付之阙如,究其原因在于人们谈起数据,不由得想到数据上负载的信息,而由信息必然联想到了隐私,最终导致数据、信息与隐私混为一谈,纠缠在一起完全无法进行相应的制度设计;规范层面,我国《民法典》第1032条第2款规定私密信息也属于隐私,使得实践中隐私与信息的区分更加困难,特别是《民法典》第1034条第2款列举了自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等个人信息类型,哪些属于私密信息,比如手机号码、家庭地址是否是私密信息从而成为隐私?申言之,第2款所列举的信息类型有无属于非私密信息的纯粹的个人信息?至于信息和数据的关系,受欧盟《通用数据保护条例》的影响,
出于社会急剧变迁、技术迭代更新、经济迅猛发展、立法继受多元等多重原因,当下对隐私、信息、数据的认识并不清晰,甚至处于较为混乱的无序状况。为此,本文首先分析此三者在权利话语中混乱无序的由来,并指明由此产生的规制难题及化解方向;然后在区分权利客体与权利的基础上,以个人信息为中心理清三者之间的关系,从而在权利客体层面让无序变有序;最后进入权利本身,对隐私、信息、数据三者之上所承载的个人权利加以证成,再造数字时代个人权利体系的差序格局。
二、数字时代权利话语中隐私、信息与数据的混序
信息技术的迭代发展引发了经济社会的深刻变迁,影响了几乎所有活动领域和所有人的日常生活,隐私、信息与数据已成为理论界持续关注和反复讨论的重要议题。然而,当下在制度规范、司法裁判和理论研究等方面均存在三者混用的乱序,由此引发了法律规制的重重难题,亟需妥当解决。
(一)隐私、信息与数据三者混序的渐次生成
之所以产生隐私、信息与数据三者混用的乱序,其原因有二:一是,信息技术的迭代发展打破了以往只存在隐私及其权利保护的单一化秩序;二是,数字经济蓬勃兴起促使数据的经济价值陡然增长,但数据与信息及相关权利的区别却尚未被充分揭示。
1. 信息技术发展打破隐私的单一化秩序
我国法上的隐私权概念源于美国法。受此影响,个人信息保护往往和传统的隐私权保护相互交织、彼此混用。美国法院基于普通法,尤其是侵权行为法创设隐私权。
这些个人信息中既有属于隐私的信息,也包括未必能称作隐私的内容。以计算机自动化处理为代表的新兴技术动摇了“作为秘密之隐私(Privacy-as-secrecy)”的单一化秩序,传统的隐私理论因此被架空。
以此为背景,便不难理解我国法上关于隐私与个人信息及相关权利之间关系的重大争议。比如在《民法典》编纂过程中,便存在两种截然对立的观点。有学者认为,隐私权与个人信息权是两个不同的概念,不能通过扩张隐私权来涵盖对个人信息的保护,应在清晰区分的基础上通过单独规定个人信息权,从而使得个人信息获得更为充分且全面的保护。
2. 数字经济勃兴引发信息与数据的混用
当今时代,数字经济已成为各国经济发展的新动能。大数据持续激发商业模式的创新,不断催生新兴业态,成为互联网等新兴领域促进业务创新增值、提升企业核心价值的重要驱动力。作为数字经济得以扩张的驱动因素,数据成为创造和捕获价值的新经济资源。从2019年11月开始短短不到一年的时间里,中央连续发布三份重要文件,明确将数据作为基本生产要素,强调要加快培育发展数据要素市场,完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值。
然而,由于对数据及相关概念缺乏清晰界定,经常出现数据与信息的术语混用、属性不明晰等现象。据不完全统计,至少有19部法律、627部部门规章在同一文本中交替使用“个人信息”与“数据”,而同时出现“隐私”“个人信息”与“数据”三者的有6部法律、101部部门规章。
另需指出,比较法上对数据与信息完全不加区分的做法也是上述混序现象的重要缘由。如前所述,德国虽以信息自决权为核心展开个人信息保护的制度建构,但其基本立法却称之为《联邦数据保护法》。这种“以数据保护为名、行个人信息保护之实”的做法,在欧盟法上同样存在。欧盟《通用数据保护条例》第4条第1项便将“个人数据”界定为“与已识别或者可识别之自然人(‘数据主体’)有关的信息”。这种数据即信息的界定方式进一步加剧了二者的混序状况,并不可取。
(二)混序状况引发的法律规制难题及其化解
1. 混序状况引发的法律规制难题
隐私、信息与数据之间关系的界定是数字时代构建个人权利的前提和起点,但既存的混序状态导致三者界限模糊,引发很多误解和立法规制的难题。近来关于个人信息权利、数据权属的研究可谓汗牛充栋,但却时常出现研究情境的“似是而非”或者研究对象的“张冠李戴”现象。为此,学者不免花费大量笔墨和篇幅澄清主题与问题,由此所生观点可谓“五花八门”,难以达成共识。而在新闻报道和社会舆论的大力宣传之下,社会大众容易形成“个人信息=隐私”的思维惯性,认为只要平台在提供产品和服务时涉及或处理个人信息就侵犯隐私,有“动辄得咎”之嫌。而许多数字化商业平台以“隐私政策”而非“个人信息保护政策”之名对个人信息处理行为加以规定,更是加剧了这种模糊性。当下这种隐私与个人信息混同、各种个人信息类型的混淆以及对个人信息与数据不加区分的混序状态,不仅不利于精准规范个人信息处理行为,也不利于促进个人信息的合理利用和数据的合法有序流动,不免给经济社会发展带来不良影响。
尽管在概念发展史上,欧盟所谓的“个人数据”即个人信息的确是从隐私权中发展而来,而且20世纪70年代在欧洲召开的多次人权会议已经认识到计算机技术大规模处理数据所带来的隐私风险,
将信息与数据不加区分地混为一谈,还导致在权利设计上顾此失彼,使得相关人格权益与财产权益纠缠不清,最终无法清晰回答数据能否成为财产权客体这一数据财产权构建的关键问题。有不少观点认为,企业不能控制个人数据,控制数据就是控制了隐私,从而得出个人数据不能被交易的误解,致使数据财产权制度难以建构。这既影响数据利用、数据共享和数据交易规则的建立,不符合数据要素市场发展需求的实际情况,也不利于对个人信息的保护。导致该利用的没促进,该保护的无法落实。
2. 化解难题的基本思考框架:权利与权利客体的区分
如前所述,计算法学并非凭空而来,传统法学中具有新兴法学成长的一切理论滋养。具体而言,要在权利话语中对隐私、信息和数据予以清晰区分,我们应当遵循传统权利理论对权利客体与权利本身的区分,从而确立正确的思考框架。
主客体二分的世界观构成了整个法秩序的出发点,传统权利理论也由此展开。在最为严格的意义上,所谓权利客体(Rechtsobjekt)仅指权利主体以外的任何能够成为法律上支配力之对象(Gegenstand)的事物。
之所以作此区分,其意义在于澄清权利人所处置或者被他人侵害之对象究竟为何。而这在关于隐私、信息与数据的权利话语中,经常被有意或者无意地忽视了。在一般意义上,权利对象可以区分为第一顺位的权利对象(Rechtsgegenst?nde erster Ordnung)和第二顺位的权利对象(Rechtsgegenst?nde zweiter Ordnung),分别对应支配的客体(Herrschaftsobjekt)和处分的客体(Verfügungsobjekt):前者主要包括物和无体对象,其上能成立得对抗第三人的支配权或者使用权,如精神作品、发明、姓名或者商标;后者是权利或者法律关系,如物权、作为让与之客体的债权和能移转给他人的合同关系。
三、隐私、信息与数据作为权利客体的有序呈现
依此分析框架,下文首先理清作为权利客体的隐私、信息和数据三者之间的关系,然后以此为基础构建数字时代的个人权利体系。就权利客体而言,由于个人信息处于三者关系的中心位置,应当分别讨论个人信息与隐私的关系、个人信息与数据的关系,从而清楚揭示三者之间的区别与联系。由此,便可以彻底摆脱此前的混乱无序状况,从而有序地呈现数字时代最为重要的权利客体。
(一)隐私与个人信息的关系
那么作为权利客体,隐私与个人信息的关系究竟如何?《民法典》第1032条第2款规定,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。这种“私人生活安宁”和“私密空间、私密活动、私密信息”的“1+3”模式即为现行法上关于隐私的基本界定。而对于个人信息,现行法作有不止一次的立法定义,而且在形式上存在显著变化。
1. 隐私与个人信息的一般性区分
在进入私密信息前,有必要先就隐私与个人信息的区分标准作一般性研讨。如前所述,《民法典》第1032条第2款采取“1+3”的立法模式,将隐私界定为“私人生活安宁和私密空间、私密活动和私密信息”。但其实,隐私具有很强的不可定义性,而所谓的“1+3”立法模式只是一种相对抽象的列举。究其实质,“公共领域和私人领域之间的区分是构建隐私权法的核心”
与此不同,个人信息并不等同于事实状态本身,而是以对事实进行表达的信息形式存在。假如说隐私具有不可定义性的话,那么对信息的界定就更加困难。在各种纷繁复杂的观念中,最基础也是各个学科所普遍接受的信息定义是,信息作为对某个系统之状态的描述(Aussagenüber den Zustand eines Systems),能够减少或者消除其中的不确定性(Unbestimmtheit/uncertainty)。
再者,个人信息的重要特征为其直接或者间接的可识别性,由此决定其功能在于为人与人之间的社会交往建立基础,因而不同于旨在构筑私人领域的隐私。如前所述,《个人信息保护法》第4条第1款一改《网络安全法》第76条第5项和《民法典》第1034条第2款采取可识别性的立场,转而以关联性为标准界定个人信息,但也不应过分夸大由此带来的区别。因为一方面,《个人信息保护法》第4条第1款在定义中依然保留可识别性要求,只是未将其直接建立在所涉信息的基础上;另一方面,该款又将“被匿名化处理后的信息”排除在外,而根据第73条第4项,匿名化恰恰需要达到“无法识别特定自然人”的效果。因此,如果说关联性因明显突破可识别性而扩大了个人信息的范围,那么匿名化作为消极要件又从反面对此加以限制,从而重新确立了可识别性的核心地位。之所以如此,关键在于个人信息是正常社会活动和社会交往的基础。以《民法典》第1034条第2款所列举的电话号码为例,很多人担心电话号码泄露会引发骚扰,从而想当然地认为这些是隐私。其实,手机号码从其设立之初的功能就是出于社会交往的需要,没有人将在电信部门申请到的手机号迅速锁进保险柜保护得严严实实,恰恰相反,正是要通过作为个人信息的手机号码的分享,来促进社会交往。
概言之,法律对于个人信息和隐私保护的立场完全不同,个人信息的主要价值在于社会交往的可识别性,其功能定位于正常社会活动和社会交往的基础,个人信息在社会交往中发挥着个人与他人及社会的媒介作用。简单讲,信息不是为了保护而存于世间的,相反恰恰是为了利用。隐私则不然。其目的在于保护当事人独处的生活状态,并为此划出合理界限。
当然必须强调的是,主张前述个人信息不构成隐私,绝不意味着这些信息完全不受法律保护。社会大众之所以混淆隐私和个人信息主要原因是担心不将手机号码、家庭地址等不纳入隐私,就不能得不到法律保护了。其实,将个人信息从隐私中独立出来,不意味着不保护,只是不再按照隐私的标准去保护,同样要在个人信息自决权下得到信息主体的同意才能对个人信息进行利用。纵观《个人信息保护法》关于个人信息处理规则、信息主体的各种权利、处理者的各种义务、行政监管机关及其职权、各种不同的法律责任等规定,完全可以为信息主体提供较为周全的保护。归根结底,应当从概念上清楚区分隐私和个人信息,尽快摆脱隐私权“包打天下”的思维误区。
2. 私密信息乃是作为隐私在信息上的投射
以上所论隐私与个人信息的一般性区分仅就作为事实状态的私密空间、私密活动以及私人生活安定所涉事宜而言,但并不直接触及私密信息这种集隐私与个人信息于一体的混合形态。在当今自动化处理技术迅猛发展的背景下,“隐私信息化”和“信息隐私化”成为两个突出趋势,从而导致私密信息的范畴不断丰富,信息隐私化使得传统隐私的边界得以扩展。
图1 隐私、个人信息与私密信息关系 下载原图
那么从个人信息一端观察,便存在私密信息与非私密信息的分别。
(二)个人信息与数据的关系
再看个人信息与数据之间的关系。在词源学上,数据(Datum)即存在者,据此任何客体均为数据;而所谓信息(Information),依其字面意思是指某个客体给观察者所留下的印象。
信息与数据之间彼此依存且互为依托,可谓“橘肉和橘皮”的关系,但并不因其紧密而不予区分,同样区分也不意味着割裂。其实,《民法总则》的制定过程已表明了区分信息与数据的立场。《民法总则(草案·一次审议稿)》第108条第2款笼统采取“数据信息”的表述,将其与作品、专利、商标等一并作为知识产权的客体加以规定。
总之,信息是内容、知识等,其功用在于解决不确定性;而数据是形式,是表现信息的载体。
四、隐私、信息与数据上个人权利的差序格局
如前所述,私人生活安宁与私密空间、私密活动等隐私事实处于事实层,个人信息作为与个人相关的事实状态之描述处于内容层,而私密信息则是对隐私事实的信息化描述;与个人信息处于内容层不同,个人数据作为个人信息的载体处于符号层。如此,理清作为权利客体的隐私、个人信息和数据三者之间的关系后,便可以进一步考察权利本身,从而构建数字时代个人权利体系的差序格局。
(一)隐私权与个人信息权的区分保护
在现行法上,隐私与个人信息的区分保护已成定局,关键在如何对二者予以准确的权利界分。其实,隐私之上应为个人设定具体人格权已无疑问,关键在于个人信息之上能否设权,此种权利的性质究竟如何,以及私密信息的规范适用等问题。
1. 个人信息权证成:基于同隐私权的比较
要证成个人信息权,不妨从其与隐私权的比较展开。在我国法上,隐私权获得立法承认经历了较长的探索与演进过程,
也正因如此,对于个人信息之上能否设权的问题,学说上充满了争议。
笔者主张,个人信息之上应当为个人设权,但此种权利并非如物之所有权般边界清晰的绝对权,而是一种边界相对模糊的框架性权利(Rahmenrecht)。由于此类权利并不具有清晰界定的保护范围,需通过个案权衡的方式判定其是否遭受侵害,因此也被称为“不完全的”绝对权。
然而,个人信息权与隐私权的区别也至为明显。尽管二者均属于人格权,但隐私权原则上仅具有消极防御的功能,而个人信息权因个人信息能够被商业化利用,因此兼具消极防御和积极利用的双重功能。立法过程中对隐私权能否被商业化利用存在争议,但主流观点对此予以否认,并获得立法机关的赞同。
再回到应否在个人信息上为个人设权的问题。既然在隐私上设置人格权在历经较长的探索和演进过程后已经为立法所确认,那么,相较于仅具有消极防御功能的隐私权而言,由于个人信息还能够被积极地利用,因此更应将其受保护的法律地位提升为民事权利。
2. 私密信息的规范适用
如前所述,私密信息是私密空间、私密活动以及私人生活安宁所涉事项的信息化表达。其特殊性在于:此类信息一方面具有私密性,因此落入隐私权的保护范围;另一方面又以信息的形式存在,应作为个人信息受法律保护。对于其规范适用,《民法典》第1034条第3款专门规定,应“适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。但应予明确的是,该条旨在解决隐私权与个人信息保护的规范竞合问题。由于《民法典》对隐私权的保护程度高于个人信息权,比如就作为免责事由的同意而言,第1033条对隐私权的要求是“明确”同意,而在第1035条第1款第1项关于个人信息保护的规定中就信息主体同意并无“明确”的要求,所以应优先适用隐私权的规定。
但在《个人信息保护法》施行后,因为该法对于个人信息权的范围作有限定,而且增设不少强化保护的规定,那么《民法典》关于隐私权的规定能否优先适用,还应结合具体规定作进一步甄别。首先,《个人信息保护法》第72条第1款将“自然人因个人或者家庭事务处理个人信息”的情形排除在外,于此范围内,私密信息不适用个人信息保护的规定,而只能诉诸隐私权制度。其次,对于权利人同意的形式,是否可以完全适用隐私权而排除个人信息保护的规定不无疑问。鉴于《个人信息保护法》第14条第1款第1句一般性地要求同意应“明确”作出,与《民法典》第1033条的要求完全一致,就此继续适用隐私权规定尚无不可。然而,《个人信息保护法》第29条进一步对敏感信息要求“单独”同意,而私密信息因具有私密性也应属于敏感信息的范畴,所以应直接适用关于敏感信息“单独”同意的规定,从而实现更高程度的保护。此外,对于侵权责任的归责原则,《个人信息保护法》第69条第1款设定为过错推定,而《民法典》对于隐私权却无此类似规定,所以在此方面,私密信息应当优先适用个人信息保护的规定。
总之,尽管《民法典》第1034条第3款规定,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,但并不能机械地认为,就私密信息的法律适用隐私权的规定一定优先于个人信息保护。正如前文分析的那样,隐私和信息处于不同位阶,私密信息不是隐私和信息在平面上的交叉,而是隐私在个人信息上投射的产物(参见图1),所以私密信息既是信息也是隐私,它既要适用隐私的规定,也要适用信息保护和利用的规制,二者构成规范竞合时应从强化私密信息保护的规范目的出发具体判断。只有隐私权规定在保护程度更强时才能优先适用,否则便应适用有关个人信息保护的规定。
(二)个人信息权与个人数据所有权的协同共存
如前所述,个人信息权为典型的框架性权利,尽管属于人格权范畴,但同时承载着信息主体的人格利益和人格要素商事化利用产生的财产利益,因此兼具消极防御和积极利用的双重功能。但仅有个人信息权并不能完整表达数字时代的个人权利体系,还应对载有个人信息的数据创设个人数据所有权。
个人信息权与个人数据所有权的区别主要在于二者的权利性质归属不同:个人信息权属于人格权范畴,而个人数据所有权则应归为财产权。这一结论的得出是有着现行法依据的。从体系解释上看,《民法典》第111条关于个人信息的规定位于第110条关于各项具体人格权的规定和第112条关于身份权的规定之间,再加上第1034条至1039条关于个人信息保护的具体规定位列第四编人格权编,由此便可以得出个人信息权的人格权属性。尽管个人信息可以被商业化利用,但这不过是人格权所包含的财产性内容,并不改变其属于人格权的基本定位。与此不同,《民法典》第127条关于数据的规定并未处于人格权的规范脉络,而且将数据与虚拟财产并列等同以观,由此便为数据成为财产权的客体提供了规范依据。所以第127条虽然看似单纯的宣示性规定,但其意义却不仅限于立法的有意留白,而是揭示了数据之上的财产利益及其受法律保护的地位,从而为在现行法上建构数据财产权的规范体系和将来的数据立法提供重要指引。如此,从作为权利客体的信息与数据的层次区分,便形成了数字时代信息与数据上个人权利的二元构造。
之所以将数据所有权归为个人所有,其原因一方面在于,此类数据上承载着个人信息。严格说来,数据是否具有个人关涉性并不取决于数据本身,而是取决于其所承载的信息,
其实,个人信息权与个人数据所有权并立的二元结构是在客体层面严格区分信息与数据的必然推论。尽管现行法不总是严格区分信息与数据,但“信息”一词的含义具有相对性,既可以指语义信息即个人信息意义上的信息,又可以指句法信息即数据,以此为基础便可以深化对既有规定的理解。根据《民法典》第1037条和《个人信息保护法》第四章的规定,个人信息权包括知情决定、查阅、复制、携带、异议、更正、拒绝、删除等权能。
最后,确立个人数据所有权的意义尤其在于,以之为基础为作为处理者的企业创设数据用益权。假如只承认个人信息权或者以此吸收个人数据所有权,那么为数据企业赋权的最大理论障碍是,个人信息属于人格要素,其上承载了自然人的人格利益,因此不能成为被他人支配的客体。如此一来,便无法为数据企业创设在适当范围内具有直接支配和排他效力的数据权利。相反,倘若在权利客体层面严格区分个人信息与数据,并分别为个人创设个人信息权和个人数据所有权,便可以基于权利分割思想从后者分离出企业数据用益权。
结语
法律旨在创设一种正义的社会秩序,实现正义和创造秩序是法律的职能。
表1 隐私权、个人信息权、个人数据所有权的差序格局 下载原图
作为计算法学的秩序概念,隐私、信息与数据三者均具有体系构造与规范适用的双重意义,其所涉论题并不限于数字时代个人权利的规范体系,还有更为广阔的应用空间。若以此层次区分作为基础和分析工具,可以积极应对数字时代兴起的诸多疑难法律问题,推动数字经济健康有序发展的同时,实现计算法学理论的科学化。
来源:政法论坛. 2022,40(03)