2017網絡法青年工作法持續火熱開講。8月15日上午,華東政法大學知識產權學院院長高富平老師以“個人信息保護的基礎理論”為題,與學員探討數據保護和利用的理論體系。
華東政法大學知識產權學院院長高富平老師
以下為高富平老師演講全文:
我今天分享的主題是個人數據保護的理論問題,非常高興能夠和大家對深度探討數據背後深層次的理論問題做一個交流。
個人數據利用決定大數據的利用
我們進入到網絡化、數據化和智能化時代以後,大家都感覺到我們的生存方式是一個數字化生存,我們每說一句話、每到一個地方、每做一件事情,只要和手機綁定著,都被記錄下來。在這樣的情況下,來自於個人的數據成為大數據很重要的來源,所以關於個人數據的保護和利用的問題,成為大數據將來的法律的基礎。
大數據本身作為一個技術,只是抓取和分析人們一種新的生產方式,實際上就是IT技術發展到一定階段的產物,而作為數據肯定是來源於網絡和各種傳感器的一種記錄,所以個人數據保護是利用大數據的基礎。
那我們個人信息應該如何保護?《民法總則》第111條可以說什麼也沒有規定,因為它並沒有賦予說個人可以有何種權利,而僅僅從消極的角度說你不能做什麼。消極規範是好規範,但是沒有正面回答問題,當然你也可以說第111條確立了個人信息受保護的權利,這也可以理解為一種個人信息保護權。但這種個人信息保護權是區別於我們學界或者是大家通說的個人信息權,是不一樣的概念。
數據的三個特徵及如何認定個人信息
我覺得探討任何數據的法律問題,首先要理性地對待數據這個東西,法律上如何對待數據,我認為要理解數據的三個特徵:
首先,數據具有公共性,數據在我看來就是空氣、就是水,無處不在、無人不需。
第二,使用非排他性。數據這個東西、信息這個東西是佔有並不妨礙他人使用。
第三,數據具有非消耗性的特點。它的使用不但不消耗它本身,反而增值,在不斷地使用當中增值的。
數據的這三個特徵是我們研究數據必須面對的一個問題。面對這樣的事實,對於“誰擁有數據”,我的回答是誰都不能擁有數據,包括我們自己也不能擁有我們自己的數據。用戶對個人信息,我認為也不能擁有所有權,當然這裡的所有權還是一個所謂的排他的支配權,別人非經你同意不能用的一個權利,也就是說我們講的歸屬。
那我們首先要認識什麼是個人數據。我國《網絡安全法》和歐盟GDPR的定義其實差別不大,核心都是識別。我想給大家講一講什麼是識別。無論是歐盟還是美國,都有一個非常關鍵的概念Identity,它認為能夠識別一個Identity的時候,這些信息都屬於個人信息。
Identity比較符合我們中文中個體的概念,而不是身份。其實在它的含義裡就把它作為一個主體,這個主體很可能是一個具體的個人,或者也可以還原為個人,也就是說這個個體Identity可以認為是身份,也可以認為是一個抽象的個體。
Identity可以是一個用戶名,可以是任何一個能夠對應到的個體,但是這個個體背後是誰不是大數據本身所關心的問題。而瞭解個體,我把它分為兩類,一個是識別是誰,就是識別到具體的一個人,一般來說一個人的姓名是在這個社會標誌你和別人不同的主體。現在的機器識別是什麼,就是我不瞭解這個人,但只要知道一個安全號,就可以知道這個人的軌跡,這叫個體特徵的識別。在技術的角度來講,第一類是標示圖,就是貼標籤,包括身份證號碼等;另外一類就是描述性的信息,你做過什麼事情,經常的軌跡等都屬於描述信息。
關於識別,外國有個理論叫做L型識別和R型識別,和我前面講的身份標識的識別和描述性識別大致是一個比較一致的分類。L型識別就是查找,是可以直接聯繫到你的,包括身份證號、住址;R型識別是以不顯名的個人產生聯繫情況下而進行的認知,Cookies就是一個非常典型的R型識別的信息。
另外,識別本身並不導致與用戶的通訊和聯絡,但是住址、電話這些通訊信息既具有識別功能,同時也能夠聯繫到你,所以識別裡面是包含通訊信息的。
個人信息及權益歸屬
個人信息是中性的,使用它可以幹合法的事情,也可以幹違法的事情。所以個人信息的收集並不可怕,可怕的是利用個人信息對你幹壞事,被少數違法犯罪分子盯住你。
個人信息本身是人類產生交往的重要工具,個人信息本身是公開的東西,社會運行和商業活動都離不開個人信息。數字經濟時代,數據成為競爭的工具,所以我們應該承認個人信息是現代商業競爭的重要內容,也需要保護企業對數據的利用。
這裡講到了個人信息使用和個人信息識別本身的區別的問題,個人信息不屬於個人。大家想一下,數字化之前你擁有一些什麼樣的信息?你向給單位提交一張個人簡歷,單位擁有你的個人信息很正常,但是你沒有行為的軌跡。是因為網絡的出現,才有了行為的軌跡,有了越來越多的信息。但誰創造了這個東西,誰該擁有?
個人信息的出現和技術無關,但技術是平臺的,是它上傳了這個東西,不是你的創造,當然你有輸入,輸入如果是版權保護內容就歸版權保護,不是版權就是事實信息,你沒有任何的東西。輸入能產生權利嗎?通過個人數據可以認識你、瞭解你、聯繫你,那你能擁有信息嗎?在座的有自己的姓名嗎?並沒有,文字是不能擁有的,數據是不能為任何人所擁有的,所以來源於不等於歸屬於。
我們越來越認識到個人信息的形成不是一個你自己能控制的事情,而你在網上的很多行為又關聯到其他人的行為,個人信息有群體性,這不是自己說了算的,是需要規則來解決的問題。
個人信息的使用也有壞處,有社會的危害、傷害,這個如何克服才是隱私要解決的根本的問題,而不是個人怎麼解決的問題,我們現在的研究一定要理解在大數據的環境下,我們個人能夠控制什麼,不能控制什麼,誰能解決相關危害的問題。
個人信息既然是數據的一部分,也逃脫不了公共的特性。個人信息既關係個人利益,同時也有社會性、公共性和可獲取性。在這裡就涉及到個人信息和隱私到底是什麼關係的問題。
這涉及到英美法和大陸法的區別,英美法建立了一個公法和私法融合的廣義的隱私體系,在這樣的隱私概念的體系之下,只要和個人有關的東西,基本上都是privacy,privacy是廣而又廣,不能拿到中國來套用我們的隱私概念。
那麼大陸法的隱私是一個什麼概念?人權加人格權。在我們的立法中,人格權有一般人格權和隱私權。歐洲的個人信息保護主要是在人權、基本權利層面來討論的、對應的,很多的案子是在人權法院審理的,不是在一般的民事法院審理的。現在我們所討論的個人信息權利或者是被遺忘權的時候,直接納入到民法當中來討論,這是違背了最基本的邏輯體系。
在大陸法的觀念下,我認為隱私主要有兩點。第一是私密生活事實的洩密問題;另外一個是安寧權,是空間侵擾的問題。所以大陸法觀念下的個人信息保護,是和隱私有區別的。
利用個人信息識別個體對個人權利造成的損害,這樣的行為才是所謂的侵害個人信息受保護的權利。這不是隱私,因為大陸法的隱私和這個是不同的,而按照歐洲的解讀,個人信息保護法保護人格、尊嚴、自由、平等,這是人權。
在歐洲的法律裡有一個最基本的條款,就是一個人不能夠在不知情的情況下,就被收集了信息。 所以為什麼告知在歐洲的法律裡非常重要,就是因為他們關注的是人權層面上的問題,他們關注的是一個人作為一個主體是不是作為個體來處理了。此外,關於自決權大家一定要注意,這是在憲法層面的,不是在司法層面的,不能夠輕易地混淆。
個人信息保護和隱私保護交叉
個人信息和隱私保護是交叉的,為什麼會出現可以交叉,是因為個人信息包含隱私和私密性的信息,一個基本的概念就是越私密的東西識別性越高。所以所有的隱私信息就當然地歸到了個人信息的範疇,這是一個包含關係。
此外,個人信息的不當使用很可能會對你的安寧造成不舒服。這樣的話,個人信息保護的規則和隱私的保護規則存在重合、交叉,這主要表現在兩個條款上:
第一,同意。個人信息保護裡面含有同意規則,是因為同意的對象主要是私密信息。歐洲的法律也講的也非常地清楚,在歐洲是沒有同意權的。但是它是有同意的,敏感信息非經同意不能使用,政治觀點、宗教等信息就是最敏感的信息。
第二,洩露。私密信息的洩漏就是侵權,防止個人信息洩漏,既是對個人信息的保護也是對隱私的保護。
所以在這個地方兩個就重合了,但是我認為個人信息保護的宗旨是人權,隱私貫穿於個人數據保護整個過程,但是個人信息保護主要是保護個人的尊嚴、自由、反歧視等,屬於人權範疇的法律。
個人信息保護權不屬於具體人格權
接下來一個觀點,個人信息保護不屬於具體的人格權,個人信息保護應當受法律保護的權利,不是單一的權利,是基本原則加行為規範來實現保護的,而不是通過個人享有什麼權利來實現保護的。
個人信息保護權是一個基本權利或者是憲法中的權利或者說是人權,不是一種具體的人格權,個人信息保護權不是個人信息支配權、控制權。這種法律的保護在我看來最合適的層面就是一般人格權。
為了實現這樣的保護,應當通過單獨立法,通過賦予個人信息救濟性的權利和施加數據控制人的義務來實現,這不是通過人格權法哪一條就能夠實現。
個人不享有“同意權”
最後還有一點,在我們國家個人信息利用普遍的規則就是徵得個人同意,這是非常要命的規則。
在我看來,個人信息必須徵得你的同意才能使用,相當於個人享有控制權或者是個人享有所有權,非經你同意不能使用,也就是說大家認為的個人信息歸屬於個人是有依據的,是同意權。
同意權在法律裡面不是一個法律概念,同意權的背後是支配權,支配權就是所有權。也就是說,如果個人信息一律要經過你的同意就意味著個人對個人信息有排查的支配權,確立的一個規則就是非經個人同意就構成侵權。
但其實同意不符合現實。現實當中每個人都需要對外交流,就必須披露信息。另外,進行同意的前提,是能夠控制這個信息的流向的,如果你不能控制你的信息的流向的時候,同意並沒用。
同意已經成為企業規避法律責任和風險的手段,為什麼?因為同意對於企業合規來講是最好用的,即使不能免除刑事責任,也可以推掉部分責任。但是我認為同意其實是不能夠保護個人信息的,同意就是一個形式。
我關注現在最流行的趨勢是放棄同意原則而走向行為規範,剛才我們講了個人信息沒有危害,但是使用是有危害的。但是你是不能完全放棄同意的,因為還是有一些敏感信息是不能動的。
所以最終的個人信息保護的出路應該是同意加行為規範,同意不是一種權利,同意是對隱私的一種保護,是對敏感信息的控制,不是對所有個人信息的一種控制,這是符合現實的。我們的目標應該是先把同意做實、做有效,並對利用行為進行規範。行為規範是基礎,違反行為懲處才是根本,個人救濟上的權利如何實現?要有賦予個人救濟性的權利,賦予數據控制人義務,政府進行監督。
個人信息保護亟待新定位、新體系
我研究了很多的外國法律,他們在講個人信息保護的時候,沒有把違法利用的問題放到這個裡面。個人信息利用導致的社會危害的問題是《刑法》要解決的問題,這不是《個人信息保護法》的任務。
我認為《刑法》應該管什麼,其實《刑法》應該管的是洩漏以後。侵犯個人信息,用戶是可以告,但是問題在於你的損害是什麼?因為大家知道侵權認定,首先要證明你的損害就很困難。目前個人信息立法的定位存在偏差,立法簡單粗暴不成體系,《刑法》越位,所以我們覺得《民法總則》應該給了我們一次深度思考個人信息保護理論,然後全面建立一個有效的保護我們個人權益的機會。
最後,我認為這個討論會非常及時,也希望我們共同努力,還原法律的本質,讓我們每個人都能夠得到保護。
學員們還針對演講內容以及實踐中的問題進行了討論,會場氣氛熱烈。
高富平老師與學員討論交流
活動正在進行中,精彩內容持續報道……
閱讀更多 騰訊研究院 的文章
