内容摘要:《统一数据保护条例》(GDPR)是披着基本权利保护法外衣的经济立法,服务于欧洲统一数据市场需要。为实现这一目标,GDPR采取提高保护水平从而增强民众对个人信息流通利用信心的路径。然而,GDPR不仅背离其制度设计初衷,而且宽泛个人信息,模糊个人识别,泛在个人信息处理,正使其实施陷入无解的困境。缓解我国《
个人信息保护法》与数字经济发展冲突的出路在于:第一,清晰认知技术变迁对于个人信息保护的挑战;第二,深刻把握个人信息的社会资源属性;第三,准确理解个人信息及处理等核心概念;第四,明确主张去标识化信息可以利用规则。
关键词:GDPR;
个人信息保护法;个人信息流通利用
2020年3月30日,中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》(下称《意见》),提出土地、劳动力、资本、技术、数据五大生产要素。这是着眼于数字经济背景下的市场要素的新定位,具有非常重要的意义。不过,数字经济发展面临个人信息滥用和安全风险。我国自2012年开始移植域外的个人信息保护制度,并于去年颁布了《
个人信息保护法》,11月1日正式生效实施。《
个人信息保护法》的制定实施,有利于克服分散立法、规则不统一的弊端,更有助于建构我国的个人信息保护制度。但在《
个人信息保护法》贯彻实施之中,个人保护与个人信息流通利用需求之间的冲突不可小觑。显然,在法律实施伊始就质疑立法太欠妥当。为此,笔者通过对我国立法有深度影响的《统一数据保护条例》(缩写GDPR,以下使用缩写)
[1]的分析,揭示
个人信息保护法实施可能面临的问题。
个人信息保护制度源自于域外,GDPR就是在特定时代特定社会政治经济背景下产生的个保法不断演进的产物。但它既不能适应当今时代发展需要,更不应该是“放之四海”的准则。GDPR潜在的制度缺陷和对欧盟数字经济的掣肘正在显现。因而在GDPR生效不久,欧盟委员会即开始制定促进数据流通利用或分享的制度,以缓解或校正GDPR的缺陷。2020年11月25日,欧盟委员会曾向欧盟立法机构提出《数据治理条例建议案》
[2],旨在促进各部门和成员国之间的数据分享,并将数据分享(data sharing)作为数据战略的一个关键支柱。这种新的数据治理方式将增加对数据分享的信任,加强提高数据可用性的机制,并克服数据重用(re-use)方面的技术障碍。2022年又提出《数据法建议案》
[3]以确保企业与企业之间(B2B)合法的数据分享(流通)和使用,以创建公平的数据经济。两个建议案有着共同的目标和内容,都是为了解决欧盟单一数字经济发展面临的制度障碍。
显然上世纪七八十年代形成的以保护个人权利为中心的个人信息保护规则已经不能适应数据资源化、生产要素化的需要,甚至与该要求相悖。在数据驱动发展背景下,包括欧盟在内的世界各国正在探讨新的解决路径。在这样的背景下,如何解释和适用《
个人信息保护法》,避免继续坠入GDPR的困境,是我国应当警惕的。本文旨在剖析GDPR内在的缺陷和原因,并在此基础上提出《
个人信息保护法》解释和适用的方向,以缓解个人信息保护与社会经济发展之间的冲突和矛盾。
一、GDPR的基本定位
GDPR具有双重目的:一方面是保护个人数据(个人信息,本文通用)处理和流通过程中所涉及到的自然人的基本权利与自由,尤其保护其个人信息保护权;另一方面是促进个人信息在欧盟境内的自由流通。这两个目的所代表的价值追求是对立的,GDPR开出的处方是统一数据保护水平,强化个人信息保护权,增强公民信心从而实现个人信息的流动利用。GDPR根本就没有考虑个人信息的资源属性,给予数据控制者以流动数据的权利,实现数据流通利用。这样的设想是美好的,但法律实施效果甚或人们的解读并不是那么美好。
(一)GDPR是一部基本权利保护法
世界各国均将个人信息保护视为保护个人尊严或自由的一项基本人权(或基本权利),个保法是基本人权保护法。
欧洲的个人信息保护立法源自于欧洲委员会在1981年制定的《个人信息自动处理中的个人保护公约》(下称《公约》),该《公约》是为了落实《欧洲人权公约》(缩写ECHR,1953年9月生效)
[4]。ECHR中的第8条(尊重私人和家庭生活的权利)是《世界人权公约》第12条在欧洲法中的体现,
[5]《
世界人权宣言》第
12条和ECHR第
8条中“家庭”和“通信”在世界许多国家
宪法中均已确立并有相当的历史了,但“隐私”和“私人生活”则是新的。由此欧洲将个人尊严和家庭生活受尊重,视为公民最为重要的基本权利之一。《公约》即是用来贯彻EUHR第8条,将个人信息保护视为“尊重私人生活”这一基本人权的重要内容。
[6]
基于对私人生活的理解,欧洲人权法院将其分为三种类型(类型间可能有重叠):(1)包括了身体的、精神的完整;(2)隐私;(3)身份和自主。而数据保护被囊括进隐私类别之中,他们认为,使用个人信息对个人进行不可预测的分析可能对言论自由、隐私权和身份权(the right to privacy and identity),以及个人自决造成影响。
[7]因此,欧洲个保法制度源自基本人权保护,源自人权意义上的隐私权。
但是,之后欧盟落实《公约》过程中,将个人信息从隐私权中独立出来成为一项独立的基本权利——个人信息保护权。2000年《欧盟基本权利宪章》除了在第7条规定隐私权(与ECHR第8条同)之外,还规定了第8条,将个人信息保护上升为一种独立的公民基本权利。
[8]2009年《欧盟运行条约》(TFEU)
[9]的签署使得宪章的规定具有了法律效力。TFEU第16条重申了个人信息保护权,为对各个领域的个人信息进行全面保护提供了坚实的法律基础。GDPR也正是基于第16条制定的。
基本权利具有双重属性
[10],人格权本质上是源自对作为主体的人的保护
[11],在普通法体系下人格权被纳入隐私权之中,而在大陆法系人格权被分为
宪法上的人格权和私法上人格权。实际上,二者都是以保护自治和人的尊严为目的。
[12]但是,至今并没有国家在
民法典中直接规定个人信息保护权。个人信息保护基本上是在公民基本权利层面进行。
无论是否基于数据主体(信息主体,本文通用)的同意,依据GDPR数据主体可以通过随时撤回同意、拒绝性权利(限制处理权、拒绝权、拒绝自动分析约束权)、移转权和删除权“参与”到数据处理全过程,使数据主体在法律上(至少在法律形式上)能控制个人信息处理,防范个人信息滥用。这些权利是为了维护数据主体尊严,防范数据控制人的滥用行为的权利,本质上属于维护个人尊严,而非对数据的排他支配权。
[13]
我们一定要明确,GDPR是一部公民基本权利保护法,而不是一部私法或人格权法,我们不能将GDPR赋予的权利与私权直接划等号。这样做最大的好处是便于国际对抗和谈判。因为我们很难拿保护私权在国际事务中说事,而一旦保护公民基本权利时,大家就可以相对抗并取得共识。
(二)GDPR是一部欧洲市场统一法
欧洲议会和欧盟理事会1995年10月24日通过《有关个人数据处理中的个人保护和所涉数据自由流通的第95/46/EC/号指令》(下称《指令》)。借助《指令》,欧盟成员国率先开启了制定个人信息保护单行法的潮流,并对整个世界产生了影响。
1991年,欧洲一体化取得重大进展,欧共体首脑会议当年通过了《马斯特里赫特条约》(1993年11月正式生效),宣告了欧盟的正式成立。欧盟的目标是统一欧洲市场。本来公约已经为数据保护建立了很好的法律框架。但有些成员国拖延实施公约,而实施公约的效果也不尽相同,甚至在一些情形给个人信息向他国流动施加限制。为此,欧盟委员会非常担心统一规则的缺失会妨碍内部市场的发展,尤其是对个人信息处理在人力资源和服务自由流动扮演重要角色的行业。1990年委员会即提出指令建议案,
[14]目的有二:一是保护个人信息权利,二是消除个人信息在共同体内部自由流通的障碍。1993年,欧共体委员会发布白皮书《增长、竞争力与就业——进入21世纪的挑战与道路》
[15],强调信息时代的来临不可阻挡,与建立统一的商品、服务、人力资源市场一样,在欧洲建立一个统一的信息市场是提高欧洲全球竞争力的必备条件,而统一的信息法律制度是建立统一信息市场的基石,也是充分保护个人权利的必然要求。之后,经过反复争论和调研,最终在1995年10月24日《指令》获得通过。
《指令》有双重目的:首先它要求成员国保护自然人基本权利和自由;其次它要求成员国不要基于保护而限制或禁止个人信息在成员国之间的流动。这两项目标相互关联,旨在使成员国达到相同的保护水平以实现内部市场的平衡发展。
[16]这两项目的可以从《指令》第1条
[17]立法目的规定看出,指令保护自然人的基本权利和自由,尤其是数据处理过程中的个人隐私权,但这不能成为各成员国限制或禁止数据在成员国之间合法流通的借口。
《指令》虽然促成成员国更加一致化,但仍然不能提供完全一致的解决方案。
[18]这就导致GDPR的诞生。
[19]GDPR在形式上一改指令的指引规范,成为直接适用的欧盟法。之所以要上升为欧盟法律,是因为欧盟不满足于各成员国在立法和实施上的差异化保护,这妨碍商品、人员、服务和资本自由流动,妨碍单一市场(The Single Market)建立
[20]。制定欧盟范围内统一的数据保护条例以取代分散立法的模式已成为欧盟实施“数字单一市场”战略的重要筹码。
[21]
笔者对GDPR简要评价如下:GDPR通过调整个人信息处理行为来保护的对象是个人信息处理和流通过程中涉及的自然人基本权利与自由,促进个人信息在欧盟境内的自由流通,它是一部地地道道的以经济为目的的法。
二、GDPR:背离初衷的制度设计
GDPR的伟大之处在于将保护公民基本权利的法制变为推动和保障欧盟数字经济发展的法律。其基本逻辑是既然个人信息与个人有关联,而个人是主体,就不能像对待客体那样随意处理。为此建立个人信息保护权来保护公民基本权利不因个人信息处理受到侵害。只要遵循统一的法律,个人权利就能够在欧盟范围得到尊重和保护,促进个人信息在全境自由流通,同时可以高筑防御国外数字经济竞争的高墙。但是GDPR上述设想似乎是美好的理想,而这种理想是否能够实现还未得到充分的验证。这里仅从理论和逻辑的角度分析GDPR,我们发现其制度设计背离其初衷,不能实现个人信息流通利用的目的。
(一)宽泛合法性基础未实现个人信息流通
GDPR设置宽泛的合法性基础旨在给社会主体使用个人信息“授权”,以避免数据使用单一受主体意志(同意)左右,形成个人信息可以为满足不同社会目的使用的局面。但其效果并非如此。
在数据主体权利被欧盟独立为基本权利前提下,立法对主体权利的保护被置于社会利益或数据控制者利益之上。在笔者看来,数据控制者即个人信息的使用者体现社会利益,因此,数据控制者的合法利益恰恰体现为数据的社会价值(利益)。尽管立法者认为需要平衡个人利益和社会利益、公共利益,但在法律设计中仍然给了数据主体权利以优先保护。这体现在GDPR第6条的合法性基础中,“数据控制者或第三人的合法利益”
[22]是六项合法性基础之一,但是需要与数据主体利益相平衡,冲突时优先保护主体权利。也就是说,GDPR并没有真正将数据作为社会资源,给予数据使用者应有的地位和权利。个人权利优先,就意味着在模棱两可的情形下,数据使用者征询个人的同意是最保险的做法。因此,虽然与其他五项并列,似乎数据使用者可以自由选择合法性基础,但实际上并没有太多的自由。GDPR第6条看似给了数据使用者自主使用数据的权利(以“合法利益”作为合法基础),但实际上适用相当有限;同时即使订立或履行合同可以作为合法基础,但是考虑到其数据再利用或在初始目的之外使用,最便捷和安全的方式仍然是设置同意。这样,GDPR纵然包含多样的合法性基础,最终仍然导致同意泛化。设置宽泛的合法性基础并没有给数据使用者以多少自由。这是GDPR制度设计内在的最大缺陷。
(二)加强对主体保护未实现个人信息流通
欧盟对数据自由流通的促进和保障并不是通过限制各国权力来实现的,而是通过提高保护水平实现的。其促进个人信息自由流通的逻辑是:将个人信息保护权明确为独立的基本权利有利于强化对个人的保护,在各国的保护规则和水平一致情形下,个人就可以增强个人信息受到保护的信心,有利于个人信息在欧盟境内的流动利用。
在将个人信息保护上升为公民基本权利的同时,GDPR强调该权利应当得到绝对保护,也就是GDPR规定了数据主体权利是一“硬”标准,任何情形下均不能削弱对主体权利的保护。只有在数据控制合规和安全义务方面,可以根据数据处理者的规模、数据处理量、数据处理方式等的不同而有所变化。所有的数据处理必须以符合法律的方式进行,只是在实现方式上可以更弹性。
[23]这也就是说,从指令到GDPR,所谓基于原则的规范是不彻底的,数据主体权利的绝对性和数据控制者可以基于风险进行合规和安全管理是不对等的,这其实导致GDPR基于风险的合规管理也变得僵硬。
强化数据主体权利的做法,意味着必然扩充数据控制者与处理者的义务,
[24]使得数据控制者和处理者要花费更多人力和成本去履行更多义务与职责,同时意味着巨额的统一执法成本。
[25]这使条例在是否能够提升欧盟数字经济竞争力方面越来越受到质疑。也就是说,GDPR制定的最终目的是促进个人信息在欧盟境内的自由流通(促成数字单一市场
[26]),而实现这个目的的手段是强化公民的个人信息保护权(立法直接目的),实际结果可能事与愿违,背离其初衷。
GDPR不仅是立法替代之前的《指令》,而且是对《指令》内容全面系统的更新。其政治目的是一贯的,体现了欧盟试图通过简化和统一数据保护法律规则来构筑简明的单一市场法律环境的野心。为应对数字化挑战,GDPR企图建立与大数据应用相匹配的数据保护和利用法律制度体系,来促进个人信息在欧盟内的自由流通和使用。立法者仍然选择强化个人信息在欧盟内的保护水平并建立统一执法路径,来加强个人信息流通和利用过程中所涉及各类主体之间的互信感,以给欧盟企业带来制度红利。但这样的目的能否实现,尚需考证。
尤其需要指出的是,GDPR对自由流通的保护不具有普世性,而是限定在欧盟范围之内。将个人信息的自由流通限定在欧盟范围内,实际是揭示了GDPR制定的政治目的,即促进欧盟数字化单一市场的形成和建立。
(三)未考虑个人信息流通路径
在GDPR的框架下,个人信息自由流通优于个人权利保护。但是在制度设计上并没有考虑数据自由流通,表现为没有给数据控制者流通个人信息的权利。GDPR给了数据控制者基于合法性基础,在特定目的范围内使用数据的权利,但是对于个人信息的利用仍受制于数据主体的个人意志,个人可以随时撤回同意,也享有在特定条件下拒绝处理、删除等权利。
在GDPR框架下,数据控制者仅享有在特定目的范围内使用个人信息的权利,包括在目的相容或一致时将个人信息提供给他人使用。在某种意义上,GDPR给了数据控制者在初始目的范围内流通个人信息的权利,只是这样的流通利用非常有限。之所以这样就是因为GDPR仍然严格坚持目的限定原则,将个人信息的利用严格限定于初始收集时即确定特定目的范围内。其背后的逻辑是个人信息与个人有关,个人虽然不能控制(阻止)他人使用,但是无论基于同意还是非基于同意的使用,均应当限定在特定目的必要范围内,这样就实现了个人信息利用的可控,而不任由数据控制者使用,成为其可自由使用的资源。在某种意义上,目的限定和必要性原则使个人信息利用符合数据主体利益,使数据主体仍然可以“控制”数据的使用。也就是说,目的限定和必要性原则背后的理念是个人控制。
对于个人信息保护权一定要有正确的理解。首先它并不是一项权利,而是一项制度、一项法律原则。其完整的含义是:在处理数据主体的个人信息时,应当保护数据主体在个人信息上的各种权利,而这些具体权利的实现最终旨在保护数据主体的人权,即“基本权利和自由”。因此,它仍然属于基本人权范畴。其次,个人信息保护权并不完全等同于GDPR第3章“数据主体权利”所规定的权利,数据主体权利只是个人信息保护权利在一些场景下的明确,是个人可以行使的具体权利,但不是法律保障的全部。但是有一点可以肯定,GDPR赋予了数据主体一揽子权利,以防范数据控制者违法或不当处理数据,数据主体的权利因违法的个人信息处理行为而遭受侵害时,数据主体有权向当地监管机构投诉,对违法行为予以查处、纠正;同时也有权直接寻求司法救济,向该数据控制者或数据处理者营业地所在成员国的法院提出诉讼。相比较而言,GDPR更加重视行政保护,建立了以公权力监管机构为核心的数据行政保护机制,目的在于保证个人信息在成员国之间的自由流动,并在欧盟的范围内保障给予基本权利和自由权利更高水平的保护。无论如何,这种更高水平的保护极大限制了数据的自由流通。
三、GDPR:内在缺陷带来的实施困境
GDPR最大的问题在于以可识别个人为标准建立了无边界个人信息概念,建立了模糊的识别概念,同时以接触个人信息为标准建立了无所不包的处理行为,这样使GDPR的调整范围漫无边界,这也给GDPR的实施和执行带来很大的不确定性,成为最让人诟病的地方。这样的法律会造成对社会的过度干预,导致社会运行成本过高,甚至是徒增成本,而没有任何积极的后果(保护数据主体权利)。GDPR本身展示了两个相冲突的效果:一方面它旨在简化规制环境和统一法律标准,降低成本;另一方面也给欧盟的公司增加了额外的负担和成本。
(一)无边的个人信息
GDPR对于调整对象“个人信息处理”中的个人信息采取三分法,一般个人信息、特殊个人信息和非个人信息。因此,凡符合个人信息的则适用该法,若不属于,则不适用。个人信息范围(及处理活动)关系着GDPR适用范围问题。
GDPR第4条(1)对个人信息定义
[27]核心是“与自然人有关的任何信息”(any information relating to an natural person),而自然人又分为“已识别或可识别”(identified or identifiable)。两个因素使个人信息没有边界:
其一,可识别的自然人。已经识别是指知道被识别的主体是谁(知道姓名),而可识别的自然人,则是采取技术手段可以从数据中“挖掘”出某人。通常是有一个网络ID或数字ID,然后再匹配更多数据进行分析,来识别出数据主体是谁。
其二,与可识别自然人有关的任何信息。其范围取决于识别分析技术和识别目的。如前所述,识别分识别个人身份和识别个性特征。定义后半段对个人信息进行了不完全列举,在这些列举中包括了身份性信息如姓名、身份证号、定位数据、网络标识符等标识符,也包括身体、心理、基因、精神状态、经济、文化、社会等方面的个人属性和特征信息。
在大数据分析背景下,任何数据都具有识别个人的能力,而且在很多情形下,很多身份性数据也可以分析个性特征,而个性特征方面的数据也可以分析身份。这样,随着分析技术的进步具有识别性的数据就越来越多、越来越广。
GDPR定义中关于“可识别的自然人”的任何信息,就演变为一切具有识别性的数据。区分个人信息与非个人信息的唯一标准就是看数据是否具有“识别性”或识别个人的能力。而数据的识别个人能力又取决于技术,这样以识别性或识别能力为标准使得人们很难区分出个人信息与非个人信息。
荷兰学者Nadezhda Purtova指出,29条工作组指南和欧洲法院(CJEU)的判例法促使我们判断,在不远的将来任何事物都将包含个人信息,导致数据保护应用于各种情形。当数据驱动机构的超级互联网络生活到来时,严格遵守GDPR将使其成为“万物之法”,这本意是好的,但不可能实现。
[28]
笔者认为,个人能够控制的只有身份信息和一些基本属性信息;我们每个人能够判断的单个身份信息或包含身份信息的数据集是某个人的,而一旦脱离具体的场景,脱离身份信息,我们无法判断某个信息是否属于个人信息或者属于哪个人。相对而言,身份信息(包括姓名、身份证、电话等社会身份和生物识别标识符)则是有限的。实际上,个人能够控制的限于这些标识信息,而我们社会人能够判断的也只有这些信息。除此之外的识别性个人信息是无法事先识别为某人的,而当无法识别时我们就不能给社会主体施加注意义务,比如要求取得同意或者告知等。
[29]因此,泛在的个人信息均适用同意是不可能的,最为可行的是只有事后处理行为有危害后果时,才能行使权利。因此预防式的保护应当是有限的。而目前无论我国还是GDPR均面临泛在的个人信息如何适用法律规范的难题。
(二)模糊的个人识别
识别是个保法中的核心概念,但是没有明确的定义。识别是广泛存在于社会交往中的一种行为,基本含义为了解一个人的品质、特性、潜力、信用等。这里有一个假设是,知道该人是谁。识别还有另外一层含义,是在不知道是谁的时候,还可以基于过去的事实(留下来的行为痕迹)来分析是谁做的,以便令其承担责任。利用个人相关的数据进行这两类识别分析,自古至今均一直存在。个人信息的大量产生及其分析技术的进步导致人类对个体的识别分析发生翻天覆地的变化。
在过去,通常需要先接触或知道姓名等身份信息,才能不断收集有关于该人的信息,而且能够关联该个人的均是社会身份。随着计算机的应用,尤其在网络环境下,每个计算机或网络用户注册时一般为其分配独一无二的标识符(用户ID),这样基于网络流量检测工具就会形成关于该用户的文档,基于该文档就可以对某个人的个性特征进行分析。实际上,任何一个网络和智能设备都有一个唯一性代码,用来识别数据来源(统称为用户)。利用网络用户ID和设备ID对应的数据(每个用户都有独立的用户档案被称为profile
[30]),就可以对来源于该用户的数据进行个性识别分析(profiling)。