在言必谈大数据与人工智能的时代,互联网产品对个人数据的利用已经发生了本质的变化。
正如一则段子中提到的:“在过去,我们千方百计得警惕被‘偷听’,而现在用户却欢天喜地的把一台7x24小时偷听的智能音箱请回家里。”
虽然智能音箱并不能起到偷听的作用,但这确实标志着无论是用户还是公司对个人信息的利用观、方式和规模都彻底改变。
在此情况下,如何落实《民法总则》第111条所作“自然人的个人信息受法律保护”的规定?
《民法人格权编草案》立足于把个人信息作为隐私权之客体的传统思维,确立了“事前限定使用范围+同意”的个人信息保护模式。
这种对个人信息作过于私有化理解的立法模式是否充分、完整、体系化地反映了个人信息在当代社会的应用场景变化,以及由此引致的个人利益和公共利益之间的关系重构呢?非常值得深入分析。
一、个人:从信息主体到信息客体的变化
个人信息作为传统法律上人格权的客体,一直处于静态而稳定的法律关系之中。然而,近十年来,确切地说,自2012年全面进入大数据时代以来,个人信息的法律保护制度在全球范围内正经历着一场重大变革。
这一变革的根本原因是:随着社交时代的到来,数据量的激增、云计算的普遍运用、物联网雏形逐渐显现等,数据资产在政治、经济活动和社会结构中的核心地位愈发凸显。
在此情况下,虽然各国法律制度和法治实践仍然强调,以隐私权或信息自决权强化对个人信息的私法保护,但是,个人信息保护革新措施的不断涌现,使得这一特别法领域呈现出显著的国际化、自律化、公法化的特征。
数字时代所特有的信息场景化处理原则和数据企业的自律化规范特征逐渐以成文化的方式,强势地从固有法律体系中独立出来,形成了围绕数据资产的产生、处理、治理、驱动、跨境流动等而发展出的具有鲜明的国际化特征的专有法律领域。
数据资产的界限已经突破了传统意义上的国别概念,不能再根据属地原则或属人原则的单一特性来进行物权法意义上所有权的划分,或进行单一权利主体的分割。网络上的信息日夜不分地紧密结合在一起,并形成巨大的信息流。在此情形下,无法将某一主体所提出的原信息从信息束的整体中独立拆分、收回(撤回)、取消或删除。
信息不同于传统意义上的物,它不具有像物权客体经使用而衰减或随时间而穷竭的特点;相反,被后续信息迭代或者自身经过不同数据企业以各种方式挖掘之后,信息能展现出取之不尽、用之不竭的独特性质。信息就像永远不会停滞的利益永动机,甚至在某种程度上,在原信息主体完全未知的情况下,它会自动在网络世界中互相进行联系、融合和更新。
既然如此,在考虑如何规制或保护个人信息时,当然不能超越信息的一般属性来理解和把握相关的问题。考虑到物尽其用和公共福祉的最大化,并为发挥个人信息在促进社会经济利益、维护社会公共秩序中的重要作用,应更多地从物权、债权角度综合性理解个人信息的法律属性及其流转关系。
同时,应在国际化、一体化的法律视野下讨论个人信息的保护模式,而不应再过分地从隐私角度将个人信息局限为信息主体的个人生活安宁和对信息的绝对控制权。
在社会全面数字化的时代,传统民法观念中隐私权(美国法)或个人信息自决权(德国法)范式下个人信息的通知与同意规则已经显得力不从心了。大量的个人信息系主动提供给各种数据控制者或数据企业、或授权其使用,部分个人信息因网络传播方式的变化(如自媒体、社交软件、网络直播、传感器等)而成为公开信息。
随着网络应用在移动终端应用的多样化,以及信息挖掘技术、机器学习技术的日臻完善,物联网范围和程度的不断深化,个人在整个信息社会中对信息的控制权逐渐式微。随着其信息控制权的旁落,个人从对自身相关识别性信息和关联性信息的控制主体,渐渐变成了信息网络中信息生成、变化和流转过程中的一个节点。
在信息时代,没有任何人能真正地拥有和控制全部个人信息,现有的关涉信息产品和服务的利用关系和法律规范正逐渐被场景应用、自律规制等专属性规范所取代。
同样地,与在传统隐私权或人格权保护中个人居于主导地位不同,在大数据、云计算与人工智能时代,单个主体作为大量信息流的一个末梢,其可识别性的符号化特征在以关联关系为核心的大数据要求的全样本分析中,已经成为模糊的信息加工客体。
甚至现有法律所保护的私人利益,正逐渐被大数据利用模式所产生的新的技术、商业发展应用,及由此带来的私生活便利、公共秩序通畅及公共利益扩张所排挤,并退缩到敏感个人信息的狭小领域,或者为多样性的退出性选择措施所取代。
可选择性本身就表明了,个人信息的运用与否不再取决于个人与他人或与社会整体的交往、交易、融入意愿,而是一种在多数情况下无须进行选择的生活方式、交往方式及交易模式,这体现了社会调整方式的全局性、整体化变革。
总之,个人作为法律关系主体的特征在一定程度上的泯灭及科技时代对信息控制与利用方式的重大变化,与信息资产逐步成为人类共有财产的趋势息息相关。以个人信息为基础的信息集合或信息整体(大数据),以及由此衍生出的数据资产,已真正成为个人信息法律规制的核心。
欧盟《一般数据保护条例》及美国《消费者隐私权法案》等相关立法,无不是顺应这一历史趋势,侧重于管理与规制数据企业的信息行为。同时,在此过程中,不断强化对信息加工客体与原信息一致性(信息修改权)、信息保存期限过后的删除或遗忘权等内容的规定。这些权利虽然在名义上属于个人信息的原权利人,但实际上均需要数据企业的行为才得以实现。换言之,这些权利均仅有债法上的请求权的性质,并不再具有绝对的人身权或物权的支配权效力。
由此可见,在全面数字化的信息时代,个体不再能够对个人信息予以完全的控制,并享有对个人信息的全部利益,隐私保护与信息公开性的适度平衡,端视数据企业的行为正当性及社会公共利益的需要而定。
二、个人信息:兼具公共利益和私人利益属性
个人信息不是纯粹的私法权利客体,享有与使用它而产生的利益不能仅从私权保护的角度进行狭隘的思考。就个人信息的范围而言,在个人提供的信息产生的信息产品与信息服务中,既有个人所创建的信息,又有他人参与创建或主要由他人创建的信息(如信用信息和信誉信息等),故而,已经不能完全从隐私权或人格权的私有化属性方面进行边界厘定。
“没有人是一座孤岛”,任何人皆难以在信息化和数字化的世界中离群索居。为了享受信息科技带来的丰富资源及低廉甚至免费的信息产品或服务,个人让渡一部分或全部的个人信息所有权和利用权,已经成为互联网第三次浪潮中的常态。
与此同时,机器抓取和各种算法的层出不穷,使得个人已经无法查知所提交信息的后续加工、分派、流转过程,再无法从与之有关的范围、程度和深度上感知信息产品的最终结果,在此情形下,更无法想象、顾及牵涉其中的第三方法律主体的相关行为。
此时,如果沿用传统人格权法上对于人格利益的绝对控制权理论,或者是财产权法上的所有权或使用权的法律模式,来分析个人信息的权利构成,那么将极大地阻碍个人对信息的分享和利用,以及数据企业对信息的收集和加工,更无法使各方充分获取“信息石油”这种公共资源在不断的开采与利用过程中产生的信息红利。
个人与数据企业以及社会之间围绕信息的提供、使用、挖掘、变现、跨境流动所形成的法律关系,需要以整体化的思路和技术化的视角来进行系统化分析。
予以分析的前提是,必须以个人信息效用的充分发挥、社会秩序的合理维护、社会整体信息附加值之上的公共利益最大化、网络安全或国家安全等作为出发点,而不再拘泥于对某一个主体私人权利和私人生活安宁的保护,或者不再将后者作为信息法律关系构建的核心和关键。
三、个人信息:从个人所有权到共同所有权的演进
个人信息的最大价值是大数据时代信息共享所产生的便利性和决策过程的价值最大化,个人不得不让渡对个人信息的完全控制权,以融入到对信息价值最大化利用的收益过程之中。
个人必然丧失在传统民事权利的所有权或使用权模式下,对个人信息的完全控制权。这个权利的让渡并不违背私人自治的民法基本理念,相反,它是在这个以信息为基础的社会中,个人伴随着科技进步与社会发展,基于自我利益最大化,不得不做出的调适与妥协。一旦跳出传统民法的个人权利归属的窠臼来思考个人信息的法律属性,对个人信息管理与保护的法律规范的二重属性的难题便迎刃而解了。
在大数据时代,单一性个人信息的价值越来越不明显。个人在网络中的零散或部分信息分析便可勾勒出数字化的个人轮廓(profile)。不仅如此,个人的信息对经济和社会发展的微观效应,迅速让位于大数据时代全部样本的信息挖掘产生的分析价值和预测效用。个人信息保护方式必须向此种经济和科技运行模式妥协,由此构建新型的个人信息公开化和可利用化的法律规范。
个人信息日益成为信息时代的公共产品中不可分割的一个组成部分(最小构成单位)。对它的管理与保护,也必然应从公共利益规制、共同秩序衡量以及私有利益保护并重的视角进行宏观思考,而不是割舍掉个人信息赖以生存的社交图景和经济交往关系仅仅进行孤立化、抽象性解构。
在信息的处理过程中,个人信息的归属及授权使用只具有象征性的形式意义,它更多地体现为,与信息主体密切接触的数据企业对信息的保密义务,以及忠实于信息目的或场景的附随义务或宪法义务。数据企业对个人信息的运用不能超越信息主体自身利益及授权使用时双方对信赖利益设想的阀值,对信息予以匿名化处理、对个人信息的修改、解释及必要的删除义务,是个人信息控制权规制模式变革后产生的替代性的主给付义务。
信息控制、利用是实现信息产品效应最大化的终极目的,但个人和数据企业之间的力量消长随着时间推移呈现不可逆的严重失衡局面。从个人在信息产业和数字化社会中心地位的丧失时起,个人便在信息资产的生产、增殖、流通过程及相关法律行为的规范中退居次要地位。
换言之,个人从信息控制和处理的主体,沦为信息挖掘和消费的客体。从这个意义上讲,个人信息中的识别性静态常量及动态踪迹变量,可以产品生产轨迹的方式成为数据企业和个人共同塑造的无形财产,它类似于混合物或商业秘密,由双方拥有共同的所有权。由此,个人信息经过数据企业的批量或整体性加工,变成符合一定目的的数据资产。
在一定程度上,这种数据资产可视为整个信息社会中经营高效率运转的企业的行为基础,它也可为其他企业或国家所利用,作为深度把握社会财富流动、维护社会秩序、节约社会资源、预测及避免重大系统性风险的公共数据。我国的网联和信联的设置即充分体现了国家宏观调控对个人信息总体所构成的公共数据而进行的统合性管控。
孤立、狭义地理解个人信息,将其与社会整体的数字化和信息化浪潮割裂开来,静态地定义其私有人格权或财产权属性,在当今社会,既无意义,也无可能。因此,一些国家或地区的最新立法已逐步放弃个体对个人信息的绝对控制权理论,使个人信息权从绝对性的私法性权利或基本人权,向具有公共产品属性的公共信息财产转化。
在这个问题上,虽然美国和欧盟的具体立法模式和法律理念还存在显著差异,但是,数据企业、国家机关等在处理个人信息上皆具有了较多的被默认的例外性处理权利。这也可视为基于公共秩序或社会福祉之考量,个人信息之上的私有利益向团体利益或公共利益的一种让渡或妥协。唯有如此,个人才得以享受信息化社会中各种技术变革所带来的决策便利以及信息红利带来的经济价值和社交利益。
综上,完全可以认为,单个主体的个人信息,经过信息技术、社会交往方式的型塑,已经成为一种团体或整体概念上的信息资产,其应被当作共有财产或公共产品来对待。当然,其上附着的信息来源性的个性化特征应当受到必要保护,例如,可以向数据企业或信息加工者课以相应的保密、忠实义务等。
四、个人信息保护规范:管理与保护并重
从《民法人格权编草案》第41-49条的规定来看,其主要目的是为信息持有人、管理者创设法定管理义务,而不是从私法角度肯定性地表述个人信息的权利内容、行使方式及法律效果。由此可见,个人信息在现有法律体系框架下,权利的行使并不能仅由信息权利人自己完成,而是主要借助数据企业、国家等信息持有和管理人的行为而实现。
以此观之,将个人信息作为一种私法上的绝对权,无论如何不能契合权利的支配性、对世性、排他性等特性。个人信息也与隐私权的消极品格不能兼容,因为隐私权通常只有在受到侵害时才显示出消极的防御权能和基本人权的利益价值,而个人信息则以积极行使、多样化利用为主要目的,处在与数据企业、社会的交往和使用之中,并非封闭的、独立的主观存在。
不仅如此,我国许多现行的个人信息法律规范,均呈现出法律义务创设及法律责任前置的特征,旨在对可能出现的侵犯个人信息的行为进行提前预防,对个人信息的各种利用主体的行为创设基本的行为规范,包括对国家机关的信息行为进行规制,其强制性规范和管理性规范的属性极为明显和强烈,这与民事规范的私法自治特性极不相称。
个人信息相关的法律规范,在世界范围内多因信息技术的发展,消费者与数据企业关系的变化,而由特别法实时进行调整与更新。在这个大的社会发展趋势之下,我们是否应重回静态的、以个人隐私的绝对保护为中心的传统个人信息保护模式,自然不言自明。
个人信息从静态生成,一成不变到动态变化、相互融合,充分展现了这个时代赋予人自我发展的多层次的丰富路径。个人在信息社会仍有充分的选择权和决定权,在处理具体信息时,能够决定公开个人信息的范围、程度和时间节点。
然而,作为一种总括性的法律客体,个人信息不能再作为私法上的独立权利而存在,显然具有更多的公法色彩。个人信息权的产生、行使、管理与保护,皆仰赖国家法律关于个人和数据企业、国家之间的信息资产使用方式及利益分配政策的规定,而不能再由个人任意决定。
个人信息来自诸多层面,个人不再能够掌握、管领全部信息,因为其中既有他人创建和分享的个人的相关信息,也有企业参与生成的信息,电子信息成为混合的信息集合体,不再具体属于哪一个信息提供者所有。因此,个人在信息提供、分享、交互、加工、分析等各个环节中,只能具有有限的知情权和修改权,而失去了对全部信息产生、变化和反馈过程的终极控制权。
在数字化社会,要想获得信息技术和网络带来的各种便利,就必须按照企业的要求提供各种信息,同意企业在信息收集、加工和利用上方面提出的各种格式条款,个人在此情形下的选择为全有或全无的选择。若消极对待或放弃选择权利,极易忽视科技变革给经济生活和社会文化带来的整体性变革。
总而言之,在当今信息化时代,个人信息既不再是隐私权的客体,也不是人格权衍生出的财产权的组成部分,而成为国家、数据企业和个人共享的宝贵数据资源。
因此,关于个人信息的立法不应再狭隘地局限于个人利益或私权保护,应侧重规范信息资产合理开发中个人利益和社会公共利益的平衡,应更好地发挥个人信息在促进个人全面发展和推动社会进步中的公共产品作用。这是大势所趋,也是我国法律适应大数据时代发展需求的必然选择。