【作者】劉德良(北京師範大學法學院教授、博士生導師,亞太網絡法律研究中心主任)
【来源】北大法宝法学期刊库《澳門法學》2021年第3期(文末附本期期刊目录)。因篇幅较长,已略去原文注释。
目次 一、大數據與人工智能戰略及其實施條件
二、我國既有的個人信息立法及其評價分析
三、大數據、人工智能戰略視野下的個人信息立法
我國的大數據與人工智能國家戰略。人類社會已經開始進入了以人工智能、大數據、量子信息等為代表的第四次工業革命。為了在國際競爭格局中搶占先機,各國紛紛在相關領域積極布局,啟動國家戰略。2014年3月,“大數據”一詞首次被寫入政府工作報告;2015年,黨的十八屆五中全會首次提出“實施國家大數據戰略,推進數據資源開放共享”;2015年8月,國務院正式印發了《促進大數據發展行動綱要》,從國家層面開展“大數據”的頂層設計;2016年,《十三五規劃綱要》正式提出國家大數據戰略;同年12月,工信部發布了《大數據產業發展規劃(2016~2020年)》;2017年12月8日,中共中央政治局專門就實施國家大數據戰略組織了集體學習。習近平總書記在主持學習時強調,“大數據發展日新月異,我們應該審時度勢、精心謀劃、超前布局、力爭主動,深入了解大數據發展現狀和趨勢及其對經濟社會發展的影響,分析我國大數據發展取得的成績和存在的問題,推動實施國家大數據戰略,加快完善數字基礎設施,推進數據資源整合和開放共享,保障數據安全,加快建設數字中國,更好服務我國經濟社會發展和人民生活改善。”
2015年5月國務院發布的《中國制造2025》、2016年8月國務院發布的《“十三五”國家科技創新規劃》都明確將人工智能技術作為重點領域;2017年7月,國務院印發的《新一代人工智能發展規劃》明確了我國新一代人工智能發展“三步走”目標:第一步,到2020年,人工智能總體技術和應用與世界先進水平同步,人工智能產業成為新的重要經濟增長點,人工智能技術應用成為改善民生的新途徑;第二步,到2025年,人工智能基礎理論實現重大突破,部分技術與應用達到世界領先水平,人工智能成為我國產業升級和經濟轉型的主要動力,智能社會建設取得積極進展;第三步,到2030年,人工智能理論、技術與應用總體達到世界領先水平,成為世界主要人工智能創新中心。2018年10月31日下午,中共中央政治局就人工智能發展現狀和趨勢舉行第九次集體學習。習近平總書記在主持學習時強調,人工智能是新一輪科技革命和產業變革的重要驅動力量,加快發展新一代人工智能是事關我國能否抓住新一輪科技革命和產業變革機遇的戰略問題。要深刻認識加快發展新一代人工智能的重大意義,加強領導,做好規劃,明確任務,夯實基礎,促進其同經濟社會發展深度融合,推動我國新一代人工智能健康發展。要強化科技應用開發,緊緊圍繞經濟社會發展需求,充分發揮我國海量數據和巨大市場應用規模優勢,堅持需求導向、市場倒逼的科技發展路徑,積極培育人工智能創新產品和服務,推進人工智能技術產業化,形成科技創新和產業應用互相促進的良好發展局面。
大數據與人工智能戰略實施的法律基礎。任何產業戰略的實現都離不開相應的法律制度保障。同樣,大數據和人工智能戰略的實施,也需要有相應的法律制度保障。大數據技術和產業是以歸納思維作為其技術思想和原理的;它是通過人工智能高效快速地釆集種類無限豐富、來源渠道多元化的海量數據樣本,並由人工智能對這些海量的數據樣本進行高效快速地處理、剔除數據的個性化特征,歸納出一般性、規律性的信息,從而為人們的決策提供指導依據。在大數據時代,數據就像石油、煤礦等原材料一樣,其後續的用途廣泛而不確定,用途越廣泛,數據的價值就越得到充分發揮。大數據技術和產業注重數據的種類,忽略數據的個性化特征,需要對數據進行清理,以剔除其個性化特征,從而歸納出一般性的規律;對數據的釆集、處理、分析和利用等過程都沒有人的直接參與,而是通過人工智能高效自動化地實現的。
人工智能是指在實現某種方案的計算機程序(算法)控制下通過對數據樣本的學習獲得知識並據此完成一定任務的程序或裝置,算力、算法、大數據是其“三要素”。人工智能和大數據技術與產業關系十分密切。第一,大數據技術應用和產業發展是以人工智能為工具實現的。人工智能技術是大數據技術和產業中的數據處理工具:數據的釆集、存儲、清理、加工分析和應用等整個環節都是在沒有人直接參與的情況下,由人工智能高效快速地進行的。可以說,離開了人工智能技術,大數據產業發展也就失去了技術支持。第二,大數據既是人工智能學習的材料,又是人工智能處理的對象;人工智能算法訓練的就是對大數據的學習過程;人工智能在工作過程中也會產生數據,從而成為大數據資源。第三,人工智能技術中的機器學習跟大數據技術原理是一樣的,都是通過來對源渠道多元化的海量數據樣本進行歸納思維。總之,大數據就是大數據產業和人工智能技術發展的物質基礎和生產力要素。
因此,要實現我國大數據和人工智能戰略目標,需要具備以下條件:一是要有種類和來源渠道盡可能豐富的海量數據,這是大數據時代的“石油資源”。因此,如何確保盡可能多地釆集來源和種類盡可能豐富多樣的海量數據資源,從而為大數據和人工智能技術和產業發展提供豐富可用的物質基礎是我們這個時代法律的重要使命。二是數據權屬清晰,以便能夠被高效流轉和利用。數據的快速流轉和高效利用的法律前提就是數據的權屬清晰,只有在法律上為大數據提供清晰的權屬關系,才能為大數據的收集、存儲、加工、處理、流動、利用建立清晰的行為規範,從而為大數據的高效利用奠定堅實的法律基礎。三是防治信息和數據被濫用,以增強民眾對大數據和人工智能技術和產業發展的信心。作為一種資源,如何確保數據以合乎理性的方式利用,最大限度地增進社會福祉,盡可能減少對有關主體的危害和消極影響,是大數據和人工智能產業健康發展的社會要求。
大數據按照其與人的關系基本可以分為兩類:一類是與個人有關聯的數據;一類是與個人沒有關聯的數據。其中,對與個人有關的(大)數據的釆集、存儲、加工、分析、利用等行為與現行的個人信息(數據)保護與利用法律制度密切相關,尤其是個人信息(數據)保護法中對個人信息(數據)的範圍界定直接關系到數據的權屬關系是否清晰;立法對於個人信息(數據)的態度是重在所謂的“個人控制”還是注重企業的合理利用,防止濫用,直接攸關大數據和人工智能技術與產業發展的進程。因此,如何從理論上正確地認識個人信息,科學界定其範圍,厘清與個人信息(數據)有關的數據權屬關系、降低企業數據處理成本,既促進對數據的高效利用,又減少其負外部性問題,從而為大數據和人工智能戰略目標的實現奠定切實可行的法律制度至關重要。
我國既有的立法情況。自從1995年個人數據保護指令(DPD)出臺之後,由於其意識形態和虛高的道德站位迎合了很多尊崇人權的學者、官員、媒體的心理,因此,其立法的影響力非常廣泛。歐盟也因此一直以個人信息立法領域的世界警察角色自居並引以為傲。尤其是2016年出臺的通用數據保護條例(GDPR),越來越成為全球個人數據保護立法的“黃金標准”。GDPR收獲了包括許多政治家、監管機構、數據保護官員、律師、顧問、信息技術專家、學者、隱私活動家等在內的眾多粉絲;歐盟委員會所有人都在為GDPR唱贊歌:對他們來說,歐盟的數據保護法是全球“金本位”,歐盟是“世界信任中心”,GDPR就像一座“大教堂”。
我國部分學者自2005年前後開始大量引進歐盟DPD;之後,主流學界自覺以歐盟立法及其理論為範式,積極跟進歐盟立法的變革,鼓吹對個人信息進行嚴格保護;一旦遇到諸如“徐玉玉案件”之類的個案,學者們就會把它與所謂的“個人信息泄露”緊密地聯系在一起,混淆個人信息與隱私保護之間的關系,混淆個人信息保護與個人信息濫用之間的關系,誤導媒體和社會輿論;由此,整個社會彌漫著“隱私泄露”“我們都已經成為透明人”的恐怖氣氛。中國的個人信息保護法的立法征程就是在這樣的背景下展開的。據不完全統計,到目前為止,我國有關個人信息保護的法律、法規、部門規章、司法解釋、標准、規範或指南超過三百部,主要包括個人信息保護法(以下簡稱“個保法”)以及民法典、網絡安全法(以下簡稱“網安法”)的有關內容。
縱觀我國既有的立法,法律上的個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,不包括匿名化處理後的信息(參見民法典第1034條、網安法第76條、個保法第4條規定)。個人享有知情同意(或拒絕)權、訪問權、查詢權、更正權、複制權、自動化決策反對權、同意撤回權、攜帶權、刪除權等控制權(參見個保法第四章的有關規定)。企業在處理個人信息時應當遵循合法、正當、必要且最少、誠實信用、目的特定、數據質量、安全等原則(參見個保法第5~9條、民法典第1035條、網安法第41條);承擔一系列義務(個保法第五章);應該遵循諸如“取得同意”“公開透明”“安全保密”“風險告知”等一系列規則(個保法第二章);應該確保個人信息的准確、安全,不得泄露、篡改其收集、存儲的個人信息;未經個人同意,不得向他人非法提供其個人信息(個保法第10條、民法典第1038條、網安法第44條、刑法第253條之一)。違反規定者,承擔相應的民事責任、行政責任乃至刑事責任(個保法第七章)。
我國既有立法存在的問題。前文梳理可以看出,我國目前的個人信息立法基本上參照了歐盟2016年的《通用數據保護條例(GDPR)》。這種立法在沒有抓住個人信息本質的前提下把“與個人有關的信息”視為“個人的”,把主體對與其有關的信息的控制視為個人的基本權利和自由;立法釆取全面預防(風險)、默認禁止(處理)的規則體系,認為保障個人信息的安全可控是保障主體個人信息控制權和自由的必要制度;在此基礎上,只有在主體同意或在法律上有特別授權的情況下,才可以處理與其有關的個人信息。因此,在開始處理與個人有關的信息之前,必須尋找法律依據或授權一同意,以證明處理活動是合法、正當的。在保護模式上釆取隱私權的保護方式(DPD Recital7、10),強調個人信息的安全、保密,防止未經授權的公開或“泄露”;賦予個人對與其有關的個人信息享有包括知情同意權、訪問權、複制權、修改權、刪除權、限制加工權、攜帶權、反對權、同意撤回權、不受自動化決策權(GDPR Chapter 3)等一系列所謂的個人信息控制權;要求信息處理者遵循“合法、公平、透明、目的明確且特定、必要且最少、數據質量、存儲限制、數據安全”等原則(GDPR Chapter 2),並在收集、存儲、傳輸、加工、分析、共享、利用等各個環節承擔相應的義務,從而實現保護主體免於被歧視、預防欺詐和盜竊、財產損失、名譽損害、信息遺失或更改、未經同意披露等可能的損害和風險等法律利益(參MGDPR Chapter 4;我國網安法第42條、個保法第五章有關規定)。
從大數據和人工智能產業發展與戰略實施角度看,這種立法存在以下問題:
第一,個人信息的外延不確定,導致數據權屬不清、法律風險不確定。立法上把個人信息界定為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”的做法,沒有抓住個人信息的本質屬性,故而導致個人信息的外延不確定。其中的“可識別”設定了一個較低的標准,即任何人都可以使用“所有合理可使用的手段”來識別某一自然人,無論持有該信息的組織本身是否可以識別自然人或個人信息(GDPR Recital 26)。這是因為,決定是否可識別是由三個變量共同決定的:識別的主體、識別的對象(數據)和識別的技術手段。因此,按照這種界定,法律上個人信息的範圍一定是不確定的。
世界上產生和處理的大部分數據都是與個人有關的。隨著大數據技術的應用與推廣,越來越多的傳統意義上不具有識別性的數據在被新技術跟其他數據收集、整合、分析之後,也能識別到特定的個人。因此,在大數據時代背景下,除了純粹的機器、傳感器和天氣數據外,幾乎再也沒有非個人數據了。極端而言,所有的信息都有可能被用來識別特定的個人,從這個層面來說,所有的信息也都可以成為個人信息。基於此,有學者宣稱“以可識別為核心的個人信息的概念已走向終結”。大數據分析可以在不使用個人數據的情況下識別個人,因此,寬泛的個人數據可識別性標准變得越來越沒有意義;個人信息和非個人信息之間的區別已不能再作為有意義的區分標准。因此,如果企業在嘗試對有關個人信息方面的有關數據進行匿名化時,應該十分小心謹慎;如果可以在任何時候使用任何合理可用的手段來重新識別數據所指的個人,則該數據沒有被有效地匿名化;如此,極有可能會承擔法律責任。簡言之,在大數據技術背景下,所謂的“匿名”與“顯名”、“去標識化”與“再識別”只能是相對的,由此,法律風險隨時可能被引爆,使得企業不敢越雷池。關於這一點,我們可以從網安法開始實施的2017年全國數據交易中心新增的數量驟降為零、大數據交易很少的事實中得到印證。可鑒,既有立法關於個人信息的認識導致大數據權屬不清,不利於大數據產業和人工智能產業發展。
第二,立法原則阻礙大數據產業和人工智能技術與產業的發展。如前所述,大數據和人工智能產業發展需要種類、來源盡可能多的海量數據,這種數據本身蘊涵的價值發揮往往取決於後續的再次處理、開發和利用。換言之,大數據後續被發掘的次數越多、用途越廣泛,價值就越大。因此,要想充分發揮大數據的潛能和價值,法律上應該允許它盡可能多地被開發和利用;但是,既有立法的原則將會阻礙大數據和人工智能產業發展。
既有的立法原則增加了數據的處理成本,不利於充分發揮數據價值。大數據和新分析工具的出現已經表明,許多有價值和創新的數據用途在收集時並不為人所知;為某一特定目的所收集的數據通常可以以對社會大有裨益的方式使用,個人、企業和社會都將從現有數據的創造性使用中受益匪淺。然而,按照立法,數據處理行為必須遵守合法、正當、必要原則,不得過度處理;應該公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。據此,後續的所有“處理”行為都必須在當初收集時告知的目的範圍之內進行,超出此範圍的,應該重新取得授權。顯然,這不僅有悖於大數據技術和產業發展所要求的數據來源渠道盡可能多元化、種類盡可能豐富、體量盡可能大的條件,而且,也不符合大數據應用的特點,將阻礙對大數據的後續的開發和利用,不利於充分發揮數據的價值。同樣,立法上的“非必要不得收集”和“收集最少原則”也與“盡可能多地收集來源渠道多元化、種類無限豐富的海量數據”的大數據技術和產業要求相悖。可鑒,這種立法不僅不利於收集種類多樣化、來源渠道多元化的海量數據樣本,還會增加企業處理與個人有關數據的成本,也不利於對數據的功效利用,從而會限制、阻礙大數據與人工智能技術和產業發展。
所謂的“自動化決策權”的做法不利於大數據和人工智能技術應用和發展。按照立法,數據處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平合理。通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對其個人特征的選項,或者向個人提供拒絕的方式。通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定(個保法第24條)。據此,如果立法允許個人享有所謂的自動化決策權,不僅將增加數據處理的成本,而且也會有礙於人工智能和大數據技術應用。總體上講,人工智能和大數據技術的應用對當前以個人信息控制權為核心的數據保護法律制度提出了挑戰,數據保護法的基本概念在許多方面都與人工智能的應用相沖突。
既有立法將阻礙大數據和人工智能技術應用。按照立法,在處理與個人有關的數據時應當具有明確、合理的目的;應該遵循“知情-同意”規則,只有取得同意方可處理個人數據。顯然,這種立法只適用於處理者主動處理個人數據的情形,而無法適用於被動處理數據的物聯網、人工智能等技術應用。如果按照這種立法,以大數據、人工智能為基礎的智慧城市建設和運行根本無法進行。
第三,立法不僅缺乏可操作性,而且還會徒增企業合規成本。一方面,立法上所謂的“知情-同意”規則缺乏可操作性。在既有立法中,“知情-同意”規則其實就是個人信息控制權的具體表達,從而被認為是個人信息保護法的基石。因此,實踐中,企業背負著法律上的“通知”義務,它們往往通過冗長晦澀的隱私政策“呈現”給用戶。在這種情況下,個人根本沒有談判的可能,只要他想使用商家的服務,就只能“同意”,而且,絕大多數人根本不會去嘗試閱讀這些“通知”。同意的程序越簡單,用戶就越不了解他們實際上同意什麼;同意的內容和程序越複雜,同意就越不切實際。因此,盡管“知情-同意”規則在理論上很有吸引力,但在實踐中被證明是不成功的。它不僅增加了企業的“合規”成本,而且也讓個人花很多時間閱讀隱私聲明。實際上,在移動互聯網和大數據時代背景下,所謂的“同意”已經成為一種格式化的行為,它只是給信息主體一種可以控制“他們的”個人信息的幻覺。可以說,“知情-同意”規則實際上是實現個人信息控制權的最糟糕的制度安排。它除了徒增雙方的成本外,基本上沒有什麼實際意義。在數字時代的今天,以“知情-同意”規則為抓手來實現所謂的個人信息控制權的想法是十分幼稚的,其根本原因在於缺乏現實可操作性。
另一方面,立法徒增企業合規成本。以歐盟GDPR為範式的我國立法,其法律成本除了隱私政策的“合規”成本外,至少還包括三個方面:一是個人信息外延不確定導致企業在實際中盡可能多地釆取各種“去標識化”“匿名化”措施,以避免可能成為個人信息而面臨各種法律風險所投入的成本;二是由於“風險”來源、發生渠道多元化,在“基於風險防範”的既有立法下,風險、風險評估和“基於風險的監管”的制度成本無疑會使企業增加額外的投入。三是由於立法上的隱私專員(個保法第52條)或由外部人員參加的監督機構(個保法第58條)等成本支出。由於“基於風險”的合規辦法以及權利與風險之間的關系具有重大的不確定性,這種數據保護機制的結構和技術複雜性使得即使是專業人士,也會在理解上存在重大分歧,而非專業人士在很大程度上無法理解。因此,中小型企業紛紛提出在理解立法要求方面存在很大困難,迫使他們向外部專家尋求昂貴的建議,而這不能不說是一筆不菲的支出。
實際上,歐盟立法的實施表明它沒有達到宣傳的效果。從GDPR實施三周年報告來看,有超過28萬份數據泄露通知;常有企業因不守規定而被處以巨額罰款:2021年前五個月就有超過3000萬歐元的罰款,三年的罰款總額已經到2.725億歐元。總體上講,GDPR的實施難度大,實施的前18個月有超過27萬件投訴,僅對785件進行了行政處罰;法律的實施給中小企業和那些開發新技術的企業帶來特別沉重的負擔。與此同時,由於相關規則與新興技術之間的關系不清晰,監管機構難以將其應用於人工智能、區塊鏈和物聯網等領域。GDPR三年的實施效果被證明其缺乏可操作性:大量投訴仍未得到解決,違規行為已成為日常新聞,大型科技公司仍在堅持數據收集業務模式。這項旗艦立法所帶來的希望和期待,正在變成對緩慢執行的失望。
我國個保法雖然沒有聲稱以保障所謂的基本權利和自由為基本理念,但它規定“個人信息受法律保護,任何組織、個人不得侵害個人信息權益”(個保法第2條)。從內容上看,它也是通過賦予信息主體個人信息控制權,要求信息處理者在遵守類似於GDPR原則的前提下,還要承擔一系列嚴苛的義務,以實現避免信息處理過程中可能出現的各種所謂的風險,最終實現立法宗旨——“保護個人信息權益”(個保法第1條)。而這個所謂的“個人信息權益”,卻是一個連專家也說不清楚的概念。為此,企業必須設專人(個保法第52條)或獨立機構(個保法第58條)負責對其個人信息處理活動以及釆取的保護措施等進行監督。根據個人信息保護法第七章的規定,法律責任將比GDPR更為嚴厲。由此,如果真的“有法必依”“執法必嚴”“違法必究”的話,無疑將會給企業尤其是中小型企業帶來巨大的合規成本。由於個保法基本內容移植於GDPR,因此,對GDPR的合規成本的考察可以作為評估我國個信保法合規成本的重要參考。
問題產生的原因分析。實際上,之所以會出現上述問題,根本原因在於對個人信息及其本質屬性認識存在嚴重偏差;其直接原因主要有二:一是混淆了個人信息自身的價值及對個人信息濫用所侵害的利益;二是違背信息技術的客觀規律。
1.對個人信息及其屬性認識有失偏頗。長期以來,個人信息保護一直與隱私保護聯系在一起;因此,個人信息的概念、屬性也一直與隱私糾纏不清,以至於很難在不回歸隱私的情況下評估其概念、目的和價值。當代主流的個人信息保護法源於1967年美國學者阿蘭·威斯汀(AlanWestin)的信息隱私論。威斯汀教授的“個人、團體或機構有權自行決定何時、如何以及在何種程度上傳達他們信息的自由”理論為公平信息實踐原則奠定了認識論基礎,進而成為歐洲立法、亞太經合組織(APEC)隱私框架協議、經合組織(OECD)隱私指南的認識論基礎。從此,保護個人數據長期以來被認為是隱私權的一個基本方面。近年來,個人數據保護雖然開始逐漸從隱私權中獨立出來,並被認為是一項獨立的權利。但是,關於個人數據受保護權和隱私權之間的關系一直在學者、歐盟司法機關和立法機構之間爭議不斷。
任何一種科學理論都必須建立在清晰概念的基礎上。如果一個所謂的理論基本概念內涵不清、外延不確定,那麼,這種“理論”的科學性不僅會高度存疑,而且也無法指導實踐。無論是美國的信息隱私論,還是源於它的個人信息自決權理論,個人信息作為最基本的範疇,都缺乏嚴謹、科學的界定。盡管在歐盟等有關立法中也有“定義”,但都沒有抓住個人信息的本質屬性,而是僅僅從技術的視角、根據經驗對其進行了表述,由此導致其外延無法確定。因此,這種非理性的“理論”充其量只能算是道德宣傳。盡管如此,從德國到歐盟,甚至到聯合國,越來越多的國家和學者們還是以訛傳訛,並以此把自己標榜為“以人為本”“維護基本人權和自由”的國際典範。
按照現行立法及其理論,所謂的“個人信息(數據)”是指與身份已識別或身份可識別的個人相關的任何信息;或者是與特定自然人有關的任何信息(數據)。這種立法又按照披露後可能對個人帶來的風險,把個人信息(數據)分為“敏感個人信息(數據)”和“一般個人信息(數據)”。
從這種定義中可以看到,它強調的是外部的“(可)識別性”或“關聯性”,而不是內部的本質屬性。其對個人信息的分類也不是按照個人信息自身價值、功能而是按照所謂的“外部風險”為標准進行的。因此,這種認識存在重大缺陷:一方面,絕大多數類型的所謂“個人信息”絕不僅僅是“關於個人的”或“與個人有關的”,它們同時也具有社會性,甚至這些與個人有關的信息本身的產生和維系恰恰在於社會交往需要,離開了社會交往需要,這些與個人有關的信息根本沒有意義。從語言學的角度上講,“識別”的主語恰恰是信息主體之外的其他人。既然這種理論界定“個人信息”概念是從外部人的視角入手,那為何在有關立法上不去考慮外部人的實際需要呢?我們基於社會交往需要而產生的信息,不僅與我們有關,還會涉及到其他人;而且,隨著情勢變化,這些信息很可能會變得與我們無關了,而又與其他人有關了。另一方面,這種界定個人信息的方式由於沒有抓住個人信息的本質屬性,而僅僅從表象上進行描述,因此導致個人信息的外延在實際中具有不確定性。尤其是在大數據時代背景下,個人信息的外延不確定導致法律適用上的不確定性,最終可能會導致法律風險的不確定性。再一方面,這種界定方法最致命的錯誤在於它跟我們一貫地把個人信息視為人格要素的倫理認識相悖。如果我們在觀念上把個人信息視為構成個人人格要素,那麼,個人信息就只能是與我們有關而不應該涉及到其他主體的,否則,在邏輯上就會有問題。最後,這種界定方法還會與所謂的“個人信息控制權”之間產生沖突。邏輯上講,只有是屬於自己的東西,我們才可以控制它;如果某件東西不屬於我們,或者不僅與我們有關,還與其他人有關,那麼,立法僅賦予一方控制權的話,就一定會妨害其他主體的正當權益。顯然,現行立法及其理論對個人信息的界定與立法賦予主體個人信息控制權之間存在嚴重的邏輯障礙。總之,主流立法缺乏對個人信息本質屬性的理性認識是其立法缺陷的根本原因。
既有立法及其理論根據披露後可能導致的風險把個人信息分為所謂的“敏感個人信息”和“一般個人信息”的主流觀點,也是不可取的:一是它沒有從個人信息自身所直接承載的利益或價值而是從被“泄露或者被非法使用”後可能產生的外部風險作為分類標准,違背了分類的科學性要求;二是既沒有抓住個人信息的本質屬性,又具有極強的個人主觀性和不確定性;三是不利於建立科學的個人信息保護制度(詳見下文有關內容)。
可鑒,對個人信息的本質屬性缺乏科學、理性的認識,進而導致其理論體系和有關立法都存在致命性缺陷,由此而建立起來的其他命題和立法原則、規則、制度都失去了理性基礎,成為整個立法缺乏理性的根本原因。
2.混淆了個人信息自身的價值與濫用行為所侵害的利益。按照法理學常識,大凡是以“……保護法”為名的立法,其保護的都應該是直接承載在某種對象上的利益,並以權利及其行使方式為主線,同時對義務主體的行為作出相應的規範,以保障權利的實現,其中的義務跟權利相對應。權利應該以法律保護的特定、具體的利益而不應該是以義務方“防範各種風險”為內容。因此,對於個人信息“保護”法,也應該以保護個人信息之上所直接承載的利益為立足點,而不能超出個人信息本身所直接承載的利益,要求義務方承擔防範各種風險,把避免發生某種風險作為權利的內容,尤其是風險是否發生以及發生的因素很複雜的情況下更是如此。
從內容來看,我國個保法雖然沒有像歐盟立法那樣公開宣稱“保護基本權利(人權)和自由”,但卻以“保護個人信息權益(個保法第2條)”為其立法宗旨。不過,通觀其全部內容,我國並未明確所要保護的承載於“個人信息”之上的具體利益;相反,從立法的主要內容和精神來看,“保護個人信息權益”也是防範“未經授權的訪問、泄露、丢失、更改”以及由此而引發的“歧視、盜竊、欺詐”等不確定性的“風險”。
實際上,無論是歐盟立法上的基本權利,還是公平信息實踐原則及其背後的信息隱私權,以及我國立法上的“保護個人信息權益”,從其具體內容來看,都是試圖通過賦予個人對與其有關的信息控制權,以實現防止被“泄露”或未經授權的訪問以及之後可能的被歧視、欺詐、盜竊等所導致的財產損失、名譽損害、信息遺失或更改等風險之立法目的(GDPR Recital 75、個保法第55、56條)。其所謂的“防範風險”,一部分是指“泄露”“未經授權的訪問”“丟失、被更改”,另一部分是指被濫用,進而導致“被歧視”“被欺詐”“財產被盜”“假冒導致名譽受損”等。其實,就所謂的“泄露”問題而言,除諸如裸照、性生活、個人內心情感經曆等直接攸關名譽或尊嚴的個人信息需要保密外,其他凡是產生並用於維系正常社會交往需要的信息,公開或被人知道本身並不會給主體造成任何法律上的損害,如電話號碼被人知悉本身根本不會對主體造成任何損害;如果造成損害,一定是因被他人撥打騷擾電話、發送垃圾短信等濫用行為。事實上,即使是合法獲取電話號碼的信息,也有可能會被濫用;而從“泄露”渠道知道的人並不一定都會騒擾我們的。由此可鑒,濫用行為本身是一個獨立的侵權行為,它跟所謂的“個人信息泄露”本身並沒有直接的、必然的因果關系;而且,各種濫用行為本身所侵害的利益是根本不是“個人信息”之上所直接承載的利益,而是其他權益。
總而言之,這些立法中所謂的“個人信息泄露、丟失、被更改、盜竊”等跟後面“歧視”“欺詐”“財產盜竊”等結果之間並不是必然因果關系:“歧視”“欺詐”“盜竊”等本身就是一個獨立的行為,實施這些行為的條件和情形有很多;即便是合法授權獲得與個人有關的信息,也可能會被濫用。因此,試圖通過個人信息“保護”法賦予個人信息控制權,以實現“防範風險”的立法目的是徒勞無益的,超出了它應有的功能。如此,弄錯了邏輯關系,客觀上轉移了普通民眾對濫用問題關注的視線,既不利於集中精力治理個人信息濫用問題,又浪費了立法資源、缺乏可操作性,還加重了企業的負擔,不利於對數據的有效利用,最終不利於大數據、人工智能技術和產業發展。
3.立法違背了信息技術的客觀規律。個人信息立法,究其本質是對與個人有關的信息的收集、傳播和利用過程中的有關利益關系進行合理規範的立法。這裏“合理”的內涵之一就是指要尊重信息技術的客觀規律,而不能無視信息技術的客觀現實強行立法,否則,將不僅缺乏可操作性,而且還會阻礙技術進步和產業發展,不利於國家和社會治理。
在以歐盟立法為範式的立法中,個人信息控制權是核心概念並主導著立法精神,明確的同意要求、撤回同意、反對權、被遺忘權、數據可移植權等都是個人信息控制權的具體體現。從邏輯上講,立法賦予個人信息控制權,除了要科學界定個人信息的內涵與外延外,其實現還需要具有技術上的可操作性;否則,賦予控制權,並強迫企業遵循的話,就會阻礙技術進步和產業發展。於個人而言,其控制權得以實現的前提條件要麼是個人獨處荒島,不參加任何社會活動;要麼是個人客觀上能夠知道他的哪些信息已經被哪個機構收集、存儲於何處;否則,在技術上根本無法實現,個人信息控制權與他而言,就是一句空話。
50多年前,只有少數機構擁有為數不多的互不聯接、效率低下的計算機,它們把從個人那裏收集的簡單信息,通過手動方式將信息輸入、存儲在計算機中,然後再對這些數據進行簡單的運算;其中大多數只是涉及機構和個人之間簡單的二元利益關系,並不存在複雜的信息共享關系。因此,那時的威斯汀教授提出的信息隱私論和以目的說明、使用限制和主體同意為核心的公平信息實踐原則基本上是可行的。然而,在移動互聯網、大數據、人工智能時代的今天,信息技術已經發生了革命性變化。如果立法無視信息技術發展的客觀現實,繼續堅持50多年前的認識論,不僅無法實現立法目的,而且還會阻礙技術進步和產業發展。
從個人角度而言,大凡是有過上學、求職、買房、開設銀行賬戶、注冊社交軟件、注冊網站、使用網絡服務等經曆的人,都會向有關機構提供姓名、年齡、出生年月、電話號碼、身份證號碼等所謂的個人信息,因此,個人根本不知道這些信息實際上已經被多少人知道、都存儲於何處!因此,按照現行法律,控制權在技術上如何實現?在智能手機和移動互聯網時代的今天,我們只要開機,就會在線,只要打開網頁或APP沒有退出的話,與我們有關的數據都會時時刻刻被隱蔽地處理著。另外,數據分享更加普遍和隱蔽。如此,個人信息控制權如何實現?
可鑒,既有立法在實踐中除了給企業帶來嚴重的“合規”負擔、給個人以自己可以控制與自己有關數據的虛幻感覺外,諸如垃圾信息泛濫、歧視等民眾真正擔心的信息濫用問題——即所謂的“風險”卻有增無減。我們卻變得如此迷戀以通知-選擇為基本程序的公平信息實踐原則和個人信息控制權概念,以至於我們至今仍然沒有開發出更好的替代方案。如此,情況只會變得更加糟糕。看來,我們只能等待皇帝新裝被道破的那一天的到來,否則,必然會遲滯我國的大數據和人工智能戰略的實現。
認識論層面的討論。如前所述,人工智能和大數據產業發展的關鍵與核心在於數據權屬清晰。而要做到這一點,唯有明確個人信息的外延;而要明確個人信息的外延,就必須要正確認識個人信息,並根據不同類型的個人信息釆取不同的立法思路。
1.個人信息及其本質屬性。如前所述,既有立法對個人信息的認識存在兩大缺陷:一是在定義個人信息時僅從外觀上進行描述,沒有抓住個人信息的內在本質屬性,因此外延無法確定;二是對個人信息的理解和認識自相矛盾:一方面把個人信息視為“人格要素”,另一方面卻把很多跟“人格”沒有關系的信息歸入其中,從而在邏輯上自相矛盾。
實際上,准確理解人格要素,應該同時包括兩個方面的內容:一是要為特定個人所獨有、特有的;二是對於維護我們作為法律上人的尊嚴、名譽或自我表征是必不可少的。易言之,人格要素就是指構成法律上自然人所必不可少的要素。因此,如果不是為個人所獨有、特有的,不是構成法律上自然人所必須擁有的,而是與外界有關的,那就不能算是“個人”的,就更不可能成為人格要素。據此,我們審視既有關於個人信息的認識,就會發現兩個問題:一是在界定個人信息概念時,沒有從人格要素上入手;二是立法列舉和實踐中被認為是個人信息的,如各種通信號碼等,絕大多數都不是個人所特有、獨有的,而是產生和存在於社會活動中,與他人有關的信息,跟“人格要素”沒有直接關系,也不是個人所必須擁有的信息。
因此,只有從個人信息是構成人格要素必不可少的視角上界定個人信息,才是真正抓住了個人信息的本質屬性。此處所謂的人格要素,就是直接體現主體的人格利益的要素。據此,個人信息應該包括兩個方面的內容:首先,作為法律意義上的人,我們首先要保有尊嚴,如果做人的尊嚴、名譽可以被人肆意詆毀的話,我們就不是法律意義上的人。因此,對裸照、身體被衣服遮擋住的部位、身體內部以及健康信息、人的性愛好、性傾向、性經曆、內心的情感經曆保密等具有捍衛我們人格尊嚴和名譽的各種符號形式屬於個人信息的範疇。其次,作為法律意義上的人,其獨立的人格在對外交往時需要以某種符號形式彰顯和表征出來,因此,肖像或面部特征信息、聲音(紋)、指紋、眼虹膜等我們自己特有、獨有的、具有自我表征功能的符號形式也是構成我們人格要素的個人信息。除這兩類之外的其他與個人有關的信息,都不屬於個人信息的範疇。
基於上述分析,法律意義上的個人信息,應該是指為主體所特(獨)有的、直接體現主體人格利益各種符號形式。據此,法律上的個人信息,首先應該是人之所以成為人應該具(保)有的基本信息,是純粹直接攸關個人而與他人無關的信息;其次,個人信息之所以被稱為“個人”的信息,它必須是每一個主體所特(獨)有的;如果不是主體所特有、獨有的,而是與第三人有關的,都不能歸入個人信息的範疇;這裏“為主體所特有、獨有”,是指每一個人之所成為某一個特定的人而不是其他人,所應該具有其獨特的、能夠與他人區別開來的特殊性。最後,也是最為關鍵和根本的是,法律上的個人信息,之所以是人格要素,就在於它直接體現主體的人格利益,凡是不直接體現主體人格利益的各種符號形式,都不能算是法律意義上的個人信息。
2.個人信息的分類。根據上述對個人信息的界定,可以發現,作為人格要素的個人信息,主要體現為兩種價值或人格利益:一種是名譽或尊嚴利益;一種是自我表征(人格)利益。因此,理論上可以按照個人信息的價值屬性或功能不同,把個人信息分為兩類:第一類是具有捍衛主體尊嚴、維護其名譽的個人信息;第二類是具有自我表征價值或功能的個人信息。其中,第一類個人信息,主要包括被衣服所遮擋住的身體部位、健康信息以及性傾向、性愛好、性經曆、內省的情感經曆等信息。由於這類直接攸關人的名譽或尊嚴,因此,任何一個正常理性之人,都會積極釆取保密措施,不讓他人知悉,除非基於夫妻或情侶、律師與當事人、醫患等特殊信賴關系。第二類個人信息主要包括肖像及面部特征信息、聲紋(音)、眼虹膜、指紋等生物特征識別信息。基於特定社會交往需要,主體可以通過這類信息表征其身份和人格,這類信息公開或被人知悉後正常利用本身並不會對主體造成損害。
對個人信息做上述分類的法律意義在於它可以為法律制度的構建提供不同的思路:其中,對於第一類信息,立法應該賦予個人信息控制權,防止未經授權的刺探、公開、披露、傳播和濫用,以捍衛主體的尊嚴,維護其名譽。對於第二類信息,雖然它是主體獨有的,但它又是主體參與社會關系時表征自我所必須公開的,其人格利益主要體現在“(人格)自我表征”價值上;因此,它既具有獨特性,也具有社會性,為主體參與社會關系時自我表征身份所需要;從社會公眾的視角上看,也是在社會交往過程中“識別”或“區分”某一特定主體的符號形式。因此,這類個人信息被人知道本身並不會對主體造成任何損害;如果有損害,一定是以違背該類信息正常社會功能的方式進行濫用。因此,立法不應該對此類個人信息賦予控制權,而應該重在防止濫用;否則,既在技術上無法操作,也沒有積極意義;還將不利於社會交往,不利於社會治理、國家治理。
3.個人信息的價值分析與確權規則。按照前述對個人信息的界定,個人信息首先直接承載了主體的人格利益,其中,隱私承載著主體的尊嚴或名譽利益;自我表征型的個人信息,則直接承載著主體的(人格)自我表征利益,即在適當的場景下自我表征,不被歪曲、假冒和貶損的利益。
在信息時代,一切個人信息都有潛在的商業價值。對於隱私,它雖然首先承載著主體的人格利益,但是,在商家眼裏,它也可能具有商業價值。因此,立法雖然不應該賦予主體對其隱私所蘊含的商業價值的財產權,但是,應該承認這種商業價值的獨立於人格利益。這樣,在隱私遭受非法商業利用的情況下,主體不僅可以要求對方承擔人格侵權的法律責任;還可以要求對方承擔財產賠償責任。這樣,比單純用人格權保護商業價值或不承認商業價值獨立性的做法對受害人的保護更加周延。
對於自我表征型的個人信息,未來立法應該承認其對自己個人信息商業價值的財產權,即對其中所蘊含的人格利益和財產利益分別用人格權和財產權予以保護;這樣比現行主流理論和立法只保護人格利益或用人格權保護商業價值的做法更合理。基於商業目的的利用,必須獲得主體授權,否則,即使在沒有侵害主體的人格利益情況下,也應該承擔財產侵權的法律責任;如果既侵害了人格利益,又侵害了財產利益的話,就應該同時承擔人格侵權和財產侵權的法律責任。值得注意的是,由於自我表征型個人信息是正常社會活動所需要的,因此,非商業性的正常社會活動,只要沒有侵害主體的自我表征利益,即沒有歪曲、貶損或假冒個人信息,就不需要征得主體同意或授權。
4.樹立正確的隱私觀念。第一,應該區分不同學科、不同語境下的隱私。隱私一詞原本是美國法律的概念,類似於大陸法系中的個人信息。不過,在美國法上,關於隱私的概念,理論上也分歧很大。大陸法系內,法律上原本並沒有隱私這一概念,只是使用所謂的“私生活受保護”“私人領域”等概念來表達類似的涵義,主流理論又把隱私界定為“個人不想讓他人知道的‘私密活動’‘私密空間’‘私密信息’”。盡管在大陸法系的教科書上,學者們可以就隱私的概念達成一致,但是,由於其中的“私密”標准具有極強的個人主觀隨意性,因此,跟美國一樣,在大陸法系國家裏,關於個人隱私的具體範圍到底包括哪些,在實踐中仍然是仁者見仁、智者見智的。
實際上,隱私在社會學、政治學、心理學、經濟學、法學和日常生活等不同學科、不同語境以及不同的地域文化下具有不同的內涵和外延。目前,無論是大陸法系,抑或是英美法系,都沒有對隱私做上述區分,而是把法學上的隱私與其他學科和日常生活中的隱私概念混淆在一起;這就是為何每個人對什麼屬於自己的隱私的問題是仁者見仁、智者見智的根源所在。在我國,“隱私是自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息”(民法典第1032條)的主流觀點正是這種錯誤隱私觀的體現。
筆者認為,主流觀點實際上沒有看到隱私的本質是“個人信息”;但並不是所有類型的個人信息都是法律意義上的隱私。所謂的“私生活安寧”,實際上是個人的主觀感受,而不是一個嚴格的法律概念;影響“私生活安寧”的因素很多,幾乎所有侵權行為都可以對主體的私生活安寧帶來消極影響。因此,雖然我國民法典對隱私概念和範圍作出了統一規定,但是,如果把這種法律規定應用於實踐中,仍然會導致不同人對哪些屬於自己隱私的認識不同,從而不利於法律的實施。
法理上講,個人權利的實現或保護是通過他人的義務履行來保障的,因此,一旦這種權利的範圍不確定或因人而異的話,那麼,勢必會對他人的行為自由造成不當的限制,從而導致社會秩序的混亂。因此,在法律上,只有隱私內涵確定、外延明確,隱私權的邊界才具有共識性。筆者十多年來一直主張應該樹立正確的隱私觀念:法律上的隱私應該與心理學、社會學、政治學、宗教學、人類學、經濟學等其他學科上的隱私概念具有不同的內涵和外延,是指與公共利益、社會利益無直接關系同時又直接攸關主體的名譽或人格尊嚴的個人信息;就其外延而言,包括但不限於裸照、被衣服遮擋住的身體部分、身體健康狀況、與性有關的個人信息、情感經曆、性取向等。當然,法律上的隱私範圍並不是一成不變的,其外延可能會隨著時代發展而不斷變化的,但萬變不離其宗,即都屬於個人所特有、具有維護主體名譽或尊嚴的各種符號形式。
第二,隱私是人與人而非人與機器之間的關系。堅持正確的隱私觀,必須要明白隱私能且只能存在於人與人而不是人與物之間的關系背景中。換言之,當我們討論隱私概念時,一個不言自明的觀念是隱私只在人與人相處中討論才有意義。因此,散布“人工智能、大數據技術與產業發展對隱私保護構成嚴峻挑戰”“我們已經無處躲藏”“隱私已經死亡”等恐怖言論的觀點,實際上既是對人工智能和大數據技術缺乏應有的了解,又是錯誤隱私觀的體現。隱私在本質上體現的是人與人的關系,而不是人與物的關系。顯然,無論是人工智能技術,還是大數據技術,它們對於個人有關的數據的處理都是在沒有人直接參與的情況下自動化、快速進行的,即在這個過程中所呈現出來的是不是人與人,而是物(機器)與人(信息主體)之間的關系。同時,以歸納思維為技術原理的大數據技術和產業注重不同樣本的共性、規律性,忽略其中的個性化特征。顯然,大數據技術和產業正常發展不會對以個性化特征為核心的隱私或個人信息保護制度帶來沖擊。
5.尊重信息技術的客觀規律。立法作為人類的一種實踐活動,應該建立在理性基礎之上。這裏的“理性”至少應該包括兩個方面的內容:一是以真正問題及其產生根源為切入點,而不是以虛幻的目標或意識形態為導向。二是法律制度和規範的設計應該尊重技術的客觀規律,使法律規範具有技術可操作性;而不能以主觀預設的目的為導向,不顧技術發展的客觀規律,強行通過立法來實現;否則,不僅不能真正解決問題,還會阻礙技術創新和產業發展。
在大數據、人工智能時代背景下進行個人信息立法,堅持“尊重信息技術的客觀規律”這一原則,首先要對大數據和人工智能技術背景和產業現實有一個基本的認識,否則,所謂的“尊重信息技術的客觀規律”就是一句空話。如前文所述,大數據是歸納思維在技術領域的應用,即從種類無限豐富、來源渠道多元化的海量數據樣本中剔除其中單個數據的個性化特征,歸納出一般性的規律,而這並不會觸及與以“個性化”為基點的個人信息概念和個人信息保護制度。因此,有關個人信息立法有關摒棄錯誤觀念,正確認識大數據和人工智能技術及其產業應用,廢除所謂的“必要且最少”“目的特定化”等制約大數據產業發展的規則,以促進大數據和人工智能技術和產業發展。
其次,“尊重信息技術的客觀規律”要求立法應該以解決技術應用中的實際問題為導向,針對問題產生的環節進行規範,而不是以保護虛幻的“個人信息權益”為名,限制技術的正當應用。
目前,社會公眾真正擔心的諸如垃圾信息、身份假冒、歧視等問題以及對人臉識別技術的恐懼和排斥等,不是所謂的“隱私泄露”和“個人信息保護”問題,因為後者沒有侵害個人信息本身所直接承載的利益。這些擔心是信息濫用所帶來的問題,侵害了主體或社會公眾的其他利益。因此,對於此類問題的治理應該是信息濫用防治法的使命,而非個人信息保護法所能勝任的。實際上,立法真正應該秉持的態度不是禁止或限制此類技術的應用,而是對技術應用過程中的假冒風險進行規制。如果讓技術使用者承擔防範假冒風險的法律義務,一旦出現了假冒問題,技術使用者就應該承擔由此造成責任;這樣,公眾所真正擔心的假冒問題就會得到解決,技術應用也不會受到不當限制。
我國個人信息立法構想。基於上述分析,筆者認為,未來我國個人信息立法應該徹底摒棄歐盟不切實際的立法路徑,走符合信息技術客觀現實的中國道路:以問題意識為導向,以保護個人信息之上所直接承載的利益為基點,以防治信息濫用為關鍵,從而為個人利益和產業利益畫出清晰的界線。既要保護該保護的利益,又要遏制信息濫用所帶來的社會問題,從而為大數據、人工智能技術和產業發展提供寬容的法律環境。宏觀構想應該按照以下思路展開。
首先,在正確認識個人信息的前提下,個人信息保護法真正保護的是個人信息之上的人格利益和財產利益。在此思路下,個人信息保護法應該區分隱私和自我表征型的個人信息並相應地分別釆取不同的保護思路:前者賦予個人控制權,防止未經授權的刺探、傳播和利用;對於單純的人格侵權行為,應該承擔人格侵權的法律責任;對於基於商業目的的隱私侵權行為,應該同時承擔人格侵權和財產侵權雙重法律責任。對於後者,法律應該同時承認和保護其人格利益和商業價值。
其次,對於與個人有關的信息或數據的收集和利用問題,由於這些信息不屬於個人,對於企業而言,在收集時可以不需要征得個人同意;企業對其所處理的信息享有財產權益,可以自由處理、交易、利用。由此,長期導致大數據和人工智能技術和產業發展受限的數據權屬關系不清晰的問題可以得到厘清,為大數據和人工智能技術和產業發展掃清法律障礙。
值得注意的是,在大數據時代背景下,盡管與個人有關的信息(數據)可以間接識別出某一特定自然人,但是,在實踐過程中,如果僅僅是“可以識別”而沒有實際識別的信息,合法持有的商家就可以對它享有產權,也不需要征得個人同意進行任何形式的處理、共享和交易。實際上,“實際識別”往往都是基於濫用目的的,屬於信息或數據濫用問題,應該追究其相應的法律責任。當然,如果在任何一個環節中的商家手中所持有的信息或數據包含有法律意義上的個人信息,則應該取得授權,否則,應該構成侵權。未來立法應該對商家的這種侵權苛以嚴格責任和高額賠償責任,從而使理性的商家趨利避害,盡可能釆取各種去標識化措施,這樣,既能照顧到個人權益,又能最大限度地發揮其數據的價值。
最後,信息濫用問題既包括個人信息的濫用,又包括與個人有關的信息或數據的濫用;這不僅會侵害個體利益,還涉及到社會利益、公共利益,因此,未來應該制定專門的《信息濫用防治法》予以專門治理;鑒於篇幅,另做專題研究。
-END-
关注下方公众号,获取更多法律信息