欧盟样本:以个人信息保护权替代隐私权
|
“个人数据保护权”脱胎于“隐私权”概念,但已然超越了“隐私权”。与后者的消极防御不同,个人数据保护权具有鲜明的主动防护特征,并且更为明晰具体,可精确描述。相较于隐私权,个人数据保护权的保护力度更大。
数据经济呈现了一种复杂的利益关系,一方面是数据经营者对个人信息数据化利用的需求,另一方面是用户对保护个人信息的意识越来越浓烈。尽管大数据商业化运用最终也有利于全面提升消费者生活品质,但这两方面的要求已然在现实层面形成冲突。李彦宏说“中国人愿意用隐私换便利”不见得是事实,但隐私与便利在大多数时候确为鱼与熊掌的关系。
大家都明白,如何在制度上设计或处理好个人信息保护和经营者使用之间的这种利益冲突,已成当前数据经济及数据资产化能否得到有效合理展开的基本前提。
欧洲提供了一个重要范本,即今年5月25日生效的欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)。这个条例相对于欧盟1995年95/46/EC号指令(“隐私权指令”)的最大变化,是用“个人数据保护权”更替了“隐私权”。这是在权利基础层面的整体逻辑变革,绝非仅是表述上的调整。1995年指令主要保护隐私权,而GDPR主要规制个人数据保护权。这是大数据时代个人隐私、个人信息保护的重大新发展。只有从基础权利的理念性更替角度,才能真正深刻理解欧盟《通用数据保护条例》的这种重大变革,而不迷失于洋洋洒洒的具体文本。
“个人数据保护权”虽脱胎于“隐私权”概念,但已然超越了“隐私权”。与后者的消极防御不同,个人数据保护权具有鲜明的主动防护特征。而且前者要远比后者明晰具体,可精确描述。相较于隐私权,个人数据保护权的保护力度更大。
对这种新型权利的精确描述体现在GDPR的第三章“数据主体的权利。按GDPR第4条,数据主体是指“一个已被识别的自然人或者控制者或其他自然人或法人可通过合理可行的直接或间接手段识别的自然人,特别是通过身份证号码、位置数据、在线身份或者一个或多个与其身体、生理、基因、精神、经济、文化或者社会身份有关的特殊因素来确定的人”。这个概念强调已识别性或可识别性。凡能直接或间接识别的自然人信息,都属个人信息,须特别加以保护。
GDPR中的个人数据保护权包括知情权,访问权,修正权,删除权(被遗忘权),限制处理权(反对权),可携带权和拒绝权七个方面。其中删除权和数据便携性的权利是1995年隐私权指令所没有的。另外,GDPR对同意权的规定更严格,同意只能是具体的,不能被假设。
仔细比较传统隐私权保护,个人数据保护权提供的保护更有力。首先,个人数据权拓宽了保护范围。传统隐私权仅保护那些人们不愿意公开的私人隐秘信息,对自愿公开的数据信息一般不予保护,但个人数据保护权对这些公开的数据信息也同样加以保护。比如个人年龄、职业、收入等信息,在传统隐私权理念看来,只要你主动公开,构成隐私的那些私人隐秘信息就丧失了隐私属性,不再受法律保护。但在个人数据权理念看来,你要使用某个互联网产品,就不得不实名注册,不得不主动填写年龄、性别、职业、收入等信息。因此,即便你是主动公开的信息,也不意味着你失去了这些个人数据的受保护权。即便主动公开或授权使用,也不意味着这些个人信息不受法律保护。
其次,个人数据权升级了保护方式。传统隐私权一般强调事后救济,是一种消极防御,而个人数据保护权则强调事前预防与主动防范。传统隐私权保护强调的是个人生活不受打扰,安宁、独立的生活空间是其价值追求。这种价值的保护往往通过侵权法来实现,但侵权法有着典型的事后救济特征。隐私与数据一旦被侵害,事后救济往往于事无补,因此变消极防御为主动防护,实为必要。如“授权同意”规则、数据处理制度等都需要重构。对个人信息,数据运营者能不能用,用到什么程度,是否可转授权,都取决于授权和数据处理规范。
再者,个人数据权重新定位了司法目标。传统隐私权更多关注人权保护,但个人数据保护权则具有非常强的经济性,对人格权和财产权一并保护。个人数据保护圈的规制核心是数据处理制度,而非数据产权归属。大数据时代,个人隐私和数据产权不能再作为一种静态的财产所有权,立法更应该将规制焦点集中于动态的财产权(数据采集、评价、使用与交易等)。
虽然GDPR 被称为全球保护隐私里程碑式的立法,但也有其不足之处,主要是限制了数据的流动和共享。对个人数据的过度保护导致欧洲互联网经济发展缓慢。这中间的平衡与度的把握,欧盟并没有掌握好。
GDPR给我们的启示是,大数据时代的个人信息保护不能再简单按照传统隐私权保护的侵权法进路来绝对化立法,而应在用户基于个人信息的人格权和财产权与数据经营者基于数据的经营权和资产权之间寻求制度平衡。一味强调个人信息人格权单边保护,不利于网络平台服务的提供和经营,用户最终也会失去网络便利。个人信息人格权的绝对保护模式也会使网络经营者的数据经营动力脆弱,不利于发挥创造性。不宜简单站在用户立场,只为了保护个人信息而保护个人信息。简单粗暴限制数据活动,不符合经济发展规律,更不符合消费者利益。
(作者系经济法学者)
