经略网刊
首页 > 经略评论 > 经略时评

岳林 | 从隐私权到个人信息法:身份识别标准的多样性演化

 

个人信息的身份识别标准

岳林 

上海大学法学院教师

0.jpg

逻辑学家能从一滴水推测出尼亚加拉瀑布的存在。

——歇洛克•福尔摩斯

如今我们已然生活在信息时代。这一方面是因为信息技术渗透到我们生活的每个角落,各类信息以前所未有的数量和速度被生产与传播,另一方面则是因为我们所有人都变成了信息主体(information subject),几乎时时刻刻都在生成与自己相关的个人信息(personal information)或者个人数据(personal data)。我们的工作、消费、交通、通讯、健身以及娱乐等等活动,都能够以信息方式被记录下来;而我们的政府和企业,也都在直接或间接、积极或消极地收集、处理、使用和传播着这些个人信息。因此应当如何配置与个人信息相关的权利义务,协调相关利益冲突,就成了当下法律必须解决的问题。


传统的隐私法和新兴的个人信息法,是两个最主要的制度选项。目前许多国家都通过这两个不同的法律轨道来保护或者规制个人信息。 我国2017年10月1日起实施的《民法总则》,分别在第110条和第111条对隐私权和个人信息作出了保护性规定;而在此之前创设的一系列法律法规,也都把隐私和个人信息列为不同规制对象。 这意味着人们可以根据各自情况来选择诉讼策略,从不同的“请求权基础”出发来维护自己的信息利益。


我国学界的主流观点,就是希望在隐私法之外,再另设一套自成体系的个人信息法; 但是关于两套规范之间的关系,则存在不小争议。因为在社会生活以及法律实践中,隐私与个人信息都互有交集, 所以法律竞合或者冲突也就在所难免。学界已有不少努力试图厘清法律边界,例如有观点认为,个人信息权是一项与隐私权并列且独立的具体人格权,所以隐私权不应当包含对个人信息的保护; 也有观点主张,个人信息的人格利益应当由隐私法来保护,财产利益则应当由个人信息法来保护; 以及有观点认为,个人信息法与民法是特别法与普通法关系,因此当二法竞合时应当优先适用个人信息法; 另外还有学者提议,应当把大数据环境下的个人数据信息定性为公共物品,由公法例如行政法来加以规制,从而可以与私法层面的隐私权划清界限。 

其实在信息时代,在隐私法之外,其他所有受到信息技术影响的法律领域,都可能与个人信息法相互重叠。例如个人的言论、肖像以及著作,在计算机网络环境中都可能被“信息化”,从而使得传统的言论自由、肖像权以及著作权也都被纳入个人信息法的管辖范围之内。而且法律竞合并非总是坏事。如果当事人拥有多个“请求权基础”,那么也就可以根据自身情况和需求,选择一条最符合自己利益的诉讼路径。 而中国作为一个幅员辽阔、内部结构复杂的大国,也需要多元且富有弹性的的法律框架,即便这种制度形态并不利于实现“同案同判”式的普适化法治理想。 甚至在某些时候,法律竞合还会对法律实践以及法学研究中的智识生产和竞争起到相当程度的刺激作用。 因此我们很难得出结论说,存在着最佳的甚至是唯一正确的个人信息法律制度。

0 (1).jpg

至少在既有规范体系下,真正具有实践价值的问题之一,就是法官应当采用怎样的司法策略来应对个人信息。不同法律规范对同一概念,例如个人信息,可以给出不同的解释和权利义务配置,同时还因循着不同的制度逻辑。例如隐私法,其基本价值在于保护个人的信息性隐私不被披露,因此制度效果重在阻断信息流通;而个人信息法在保护隐私利益之余,也负有促进个人信息流通和利用的任务。因此法官在处理个人信息问题时享有较大的自由裁量空间,而相关案件也会具有较大的司法不确定性。

本文打算在标准(standard)而非规则(rule)层面,来讨论针对个人信息的法律策略。因为法律规则对个人信息或者隐私的规定,往往是笼统和模糊的,所以法官需要在规则之外,来寻找更具有可操作性的规则解释方法。甚至有些时候,即便法律规则本身提供了“标准”,法官也需要通过更为具体的尺度,也即标准的标准,来从事司法裁判。 我们假定“汽车时速在高速公路上不应超过120公里”是一条规则,而“120公里”就是法律直接规定的超速标准。但是在操作层面,如何判断汽车时速是否超过120公里,还需要更为具体的标准。例如“区间测速法”和“固定测速法”都是实践中的常用方法,针对同一情形却可能得出不同结论。因此法官对于标准的选择,也就至关重要。不同法律规范可能会提供不同标准,而且法官经常需要发挥能动性以及利用自由裁量权,在规则之外,例如判例和理论,来寻找和确立标准。

目前国际上的通行做法,是以身份识别(identification)为标准,来限定个人信息的保护边界。譬如说,如果行为人披露他人的私事并不包含身份信息,或者不能由此追溯到具体身份的个人,那么该披露行为人也就不应承担隐私侵权责任,或者不构成对个人信息法的违反。这样一种标准已经得到我国的某些法律法规的承认,例如工信部的《电信和互联网用户个人信息保护规定》。而在近年来一些典型案件中,例如朱烨案和顾俊案,法官都采纳了身份识别标准。我国学界的主流意见,也是希望把身份可识标准作为个人信息的“核心法律要素”。 

但是我将试图通过本文证明,随着信息技术的不断发展,社会信息化程度不同深化,身份识别标准在法律实践中已经力有不逮。无论在隐私法还是个人信息法层面上,身份识别都不应成为个人信息识别的唯一标准。

本文第一部分,将回顾主要的隐私法理论,对所谓“信息隐私法”(information privacy law)和个人信息法的制度生成史作出简要梳理。我们将讨论,虽然信息隐私法和个人信息法有着共同的保护对象,但是二者的制度功能依然存在显著差异。

第二部分将着重介绍身份识别标准。虽然欧洲与美国在法律文化和技术方面有着天壤之别,但它们都把身份识别作为界定个人信息的首要标准。我们将讨论,个人身份的可识别性与不可识别性之边界已经越来越模糊。学界已经有人建议抛弃身份识别标准,或者建议对其进行进一步的细化或者修正。

本文第三部分,将讨论在一些不涉及身份识别的情况下,也需要隐私法或者个人信息法加以干预。例如以信息化手段对私人空间的侵入,在公共场所实施的信息化监控,以及通过垃圾短信、垃圾邮件或者精准广告等方式进行的骚扰,行为人无需识别他人身份也足以对他人造成侵害。

信息技术在很大程度上是无国界的,其他国家特别是美国在社会信息化过程中积累的一些经验和教训,作为他山之石也可以攻玉。在身份识别问题上,我国学界的专门性研究还不多见。因此本文将大量借鉴国外学界的相关讨论。但是本文的问题意识出发点依然是中国的,而且归根结底,本文所做的工作都是为了回应本国司法实践中已经存在的困境和疑难。

0 (2).jpg

沃伦和布兰代斯的“论隐私权”(1890)

 

 

一、个人信息保护:从隐私法到信息法

隐私权只是一个相对晚近才出现的权利。19世纪欧洲经历了一场轰轰烈烈的立法运动,但无论《法国民法典》还是《德国民法典》都没有只言片语提及隐私概念。很长一段时间,隐私都并没有专属于自己的“请求权基础”,两国法官主要是通过肖像权、名誉权、通信自由或者更宽泛意义上的人格权为由来保护相关利益。法国直到1970年才在民法典第9条添加了对“私生活”的保护,而德国至今也没有这么去做。两国的公法,例如宪法、刑法以及新闻法,也都是隐私保护的主要法律渊源。 所以从一开始,大陆法系的隐私保护制度就颇具有开放性,不仅隐私权可以与其他法律权利、利益兼容,而且隐私规范也可以跨越不同法律部门。

隐私权在普通法系国家的历史也很相似。在隐私权概念被普通法承认之前,英美法系国家早已存在大量隐私保护的法律实践,虽然并没有冠上隐私权的名义。 美国的隐私权概念一般都要追溯到沃伦和布兰代斯发表于1890年的那篇名作《隐私权》, 而英国直到2008年才通过判例正式承认隐私权 。隐私权在普通法系国家的发展很大程度上都得益于司法实践。虽然沃伦、布兰代斯以及普罗瑟对隐私权理论作出了开创性贡献,被后人誉为隐私权的发明者, 但法官在司法实践中积累的司法智慧,还是对隐私权得以被名正言顺地保护起到了更为直接的作用(其实沃伦和布兰代斯也都是著名法官)。此外来自宪法的保护,例如第四修正案规定要保护个人的“人身、住宅、文件和财产安全免受无理搜查与扣押”,也是美国隐私法的一大特色。 劳伦斯•弗里德曼评述说,联邦最高法院“发现”隐私像密码一样被隐藏在美国宪法及其修正案之中。 而联邦与州的大量立法和判例,至今仍在不断丰富、改造甚至重构着美国隐私法。 所以我们很难把美国隐私法视为一个独立的法律部门或者规范体系。不少美国学者都在抱怨,美国隐私法体系过于庞杂,缺乏内在统一的制度逻辑。 

由此可见,即便各国社会情况和法律文化存在巨大差异,隐私权的制度发展史却存在不少共性。譬如在我国,隐私权也是一项新生权利,同样经历了一个从不被承认到“寄人篱下”再到“出人头地”的曲折历程。 而且可以说,各国隐私法存在的一些问题,例如概念范畴不清晰,权利类型复杂化,隐私法与其他法律存在竞合等等,也都“环球同此凉热”。

隐私权被普遍认为是人格权。在德国司法实践中,隐私利益主要是通过“一般人格权”而获得保护。 沃伦和布兰代斯把隐私权描述为“不可侵犯的人格”(inviolate personality)。但是具体到隐私权概念,研究者们历来莫衷一是。沙勒夫罗列过六种主流理论,分别把隐私权解释为独处权、限制接触权、保密权、信息控制权、人格自治权和亲密关系权。 因此有人悲观地认为,为隐私给出一个精确且全面的定义,或者提供一套统一的隐私权理论,简直就是一个不可能完成的任务。 

至于隐私权的类型也同样是意见纷纭。沃伦和布兰代斯借用托马斯•库利法官的说法,笼统地把隐私权称作独处权(the right to be let alone)。在库利的原文中,独处权是指免受物理性人身损害的权利; 到了沃伦和布兰代斯笔下,独处权则主要是为了保护精神性的人格利益。 在他们的《隐私权》问世七十年后,另一位美国隐私权理论的奠基性人物普罗瑟发表了另一篇经典论文《隐私》。在这篇文章中,作者认为隐私权的独处权定义过于含混,因此进一步提出了四种侵权行为类型,即:(一)侵扰他人住所、安宁或私事;(二)公开令他人尴尬的私事;(三)公开丑化他人形象;(四)擅用他人姓名或肖像。如果说沃伦和布兰代斯的贡献,是为普通法提出了一项新的权利(right),那么普罗瑟则为普通法提供了四项新的侵权行为(torts)。实际上普罗瑟并不反对隐私权的“独处”定义。相反他认为,这四种侵权行为虽然形态各异,应当适用不同规则,但归根结底都是对独处权的侵犯(invasion)。 

0 (3).jpg

William Lloyd Prosser (1898-1972)

普罗瑟的四分法不仅在学界影响深远,在司法实践中也因为操作性强而被法官广泛采纳,至今仍是美国隐私权理论的一种通说。但是有批评性观点认为,正是从普罗瑟开始,美国隐私权制度就开始走向碎片化了; 四分法也不能涵盖所有隐私侵权行为,而且会限制隐私法随着社会变迁而继续发展。 例如通过罗伊诉韦德案(Roe v. Wade),美国联邦最高法院就把与堕胎权纳入到隐私权体系中来,因此有些学者籍此提出,自治权(autonomy)也应当是隐私权的一个重要组成部分。 

实际上,不单是美国,各个国家的隐私权类型都复杂多变。因此隐私权的概念和范畴,在不同国家也不尽相同。例如普罗瑟列举的后两种侵权行为,以及针对堕胎的自治型隐私权,在其他国家可以通过名誉权、姓名权、肖像权或者生育权来保护。但是总的来说,普罗瑟列举的前两种侵权行为,即侵扰(intrusion)和披露(disclosure),在其他国家被广泛接受。例如在我国学界,比较主流的观点,就是把隐私权内容分为生活安宁和保守秘密两大类型,而它们对应的侵权行为就是侵扰和披露。 

随着人类社会迅速进入信息时代,一项新的隐私权类型开始进入人们视野,那就是信息隐私权。当然信息与隐私相互关联,这并不是什么稀奇事情。因为沃伦和布兰代斯所讨论的独处权,以及普罗瑟所谓私事不被公开披露的权利,都可以说成是关于私人“信息”的权利。而早在信息技术尚不发达的1960年代,威斯丁就已经把隐私直接定义为“信息”。 较近一些理论观点,例如波斯纳把隐私定义为人们希望隐瞒的秘密,实际上也是把隐私权解释成一种个人控制自己私人信息的权利。 但是以上这些关于信息的隐私权论述,针对的主要是披露型侵权行为。而在信息技术环境下,信息隐私权所涉及的权利内容以及侵权行为方式就要复杂得多了。

在沙勒夫看来,对私人信息的收集(collection)、加工(processing)和传播(dissemination)都应当属于隐私法规制的侵权行为。 而在传统隐私权框架下,如果行为人仅仅是收集和加工他人信息,而没有向公众披露,那么很有可能就无法构成隐私侵权。甚至即便行为人“传播”了他人私人信息,但只要传播范围有限,没有进入公共领域,还谈不上“披露”,那么也达不到承担传统隐私侵权责任的标准。显然在信息隐私权框架下,隐私权人或者说“信息主体”的权利范围被大幅扩张。当然信息隐私权的这种扩张主要是理论层面的,在各国立法和司法实践中尚未得到全面承认和落实。

但是信息技术促成的法律变迁,并不限于信息隐私权这一新型权利观念,还包括个人信息法这一相对独立的新兴法律规范体系。从二次世界大战结束开始,随着西方国家的社会生活以及社会治理的信息化程度不断提高,政府和企业都开始广泛运用计算机技术来处理个人信息,因此针对个人信息的立法也如雨后春笋一般纷纷崭露头角。 例如在德国,虽然隐私权在立法和司法中迟迟得不到正式承认,个人信息却在一定程度上被青睐有加。 诞生于1970年的黑森州《信息保护法》,据说就是世界上第一部关于个人信息的专门立法。而联邦德国的《联邦信息保护法》也于1978年开始生效。几乎在同时,大洋彼岸的美国也开始掀起个人信息立法的热潮,例如1970年的《公平信用报告法》,1974年的《隐私法》和《家庭教育权利与隐私法》,1984年的《电子通信隐私法》,以及1988年的《视频隐私保护法》等等。 据统计,今天世界上过半数的国家都已经制定了个人信息或者个人数据保护法。 而且仅仅就在最近这二十多年间,各国创设的一般性个人信息保护法也大约有五十部之多。 此外国际组织,例如世界经济合作与发展组织、欧盟以及联合国,近年来也都在积极制定有关个人信息的国际规范。 

无论从标题还是文本内容看,这些个人信息法似乎都无意与隐私撇清关系。有德国学者认为个人信息法就应当包括对隐私利益的保护。 从立法以及司法技术层面看,像德国、英国这样一些长期不承认隐私权是一项“法权”的国家,法官需要通过援引个人信息法来保护隐私利益;而像美国这样可以在不同法律层面保护隐私利益的国家,法官也不太可能排斥个人信息法这一隐私权保护路径。甚至许多美国研究者都不愿意对信息隐私法和个人信息法进行严格区分,因为在他们看来,无论普通法、宪法还是个人信息法,都是信息隐私权的法律渊源。 当然在大陆法系国家,隐私和个人信息一般还是被区别对待。例如在德国就有学者提出“信息自决权”理论,主张“个人对其一切具有识别性的个人信息的收集、处理和利用享有决定权和控制权”; 而这种理论在我国也大有市场。 

个人信息法的异军突起,与传统隐私法在信息时代受到的挑战不无关系。这里所谓的“挑战”,其实是一对矛盾体:一方面,由于信息技术对社会生活的渗透已经是无孔不入,隐私利益更容易受到侵犯,且更难获得保护,以至于有悲观者哀叹“隐私将死”或者“隐私已死”; 另一方面,隐私法的主要目的就是阻断个人信息的不当流通,但是在实际效果上,它又会限制信息技术的发展和应用,即便这种限制在既有规范体系中是“合法”的。所以个人信息法的制度价值,在于弥补传统隐私法在新社会环境下存在的这两方面不足,即个人信息法一方面要为隐私法提供更加具体的规则和标准,清晰界定信息时代的隐私保护范围,另一方面则要防范隐私权保护泛化,推动个人信息的开放、利用和流通,从而为信息技术的发展保驾护航。 

所以信息隐私法和个人信息法的适用条件也不太一样:首先,信息隐私法保护的是尚未公开的私事,不包括已经公开的个人信息;而个人信息法则不以公私划分为保护前提,对已经公开的个人信息也能提供保护。 其次,信息隐私法不保护权利人自愿公开或者同意他人传播的个人信息;而个人信息法并不以权利主体的自愿或者同意为保护要件,甚至在某些情况下,它还会设置义务,限制信息主体的同意权。 再次,信息隐私法保护的是人格利益,赔偿方式也以人格利益损失为准;而个人信息法还可以保护财产利益,让信息主体获得经济利益方面的赔偿。 最后,传统隐私法针对的不法行为将主要是披露行为;而个人信息法规定的不法行为,则还可以包括收集、加工、使用以及非披露性质的传播等行为。

0 (4).jpg

 

二、个人信息边界:身份识别标准

虽然制度功能各异,信息隐私法和个人信息法都需要解决保护对象的范围问题,也即对信息性隐私和个人信息的识别问题。而在司法实践中,这一对概念往往被当作同一概念混同使用,采纳同一司法识别标准。只不过在隐私法审判中,当法官对个人信息进行识别后,还需要对该信息是否具有隐私价值而进一步调查。而且由于我国隐私法规范比较抽象、宽泛,法官有时还需要通过个人信息法规范来对信息性隐私进行司法识别。

从国际立法以及理论研究来看,个人信息的身份识别标准是更为主流的选择。当然,任何民事司法裁判,其实都需要通过“身份识别”来确定权利主体。沃伦和布兰代斯在《隐私权》的一个长注中也提到,“一个事物必须经过身份识别(identification)才能成为排他性的所有权对象。它的身份(identity)一经确定,个人所有权也就得以确认,但这与它是有形的(corporeal)还是无形的(incorporeal)无关”。 但是法律对有形财产的身份识别,主要是指对权属关系的识别,即相关财产究竟是属于谁的。而个人信息的身份识别,则主要是指能否从相关信息中获知他人的身份内容。也就是说,即便某些信息在权属关系上看并不属于我本人,但是只要信息本身包含我的身份内容,或者能够通过这些信息推导出我的身份,那么这些不属于我的信息也可以被认作信息性隐私或者个人信息。

因此我们这里所谓的身份识别,是针对信息内容的身份识别。以欧盟在2016年通过的《一般数据保护条例》(general data protection regulation)第4.1条的规定为例:

“个人数据(personal data)是指与一个已被识别(identified)或者可识别(identifiable)的自然人(数据主体,data subject)相连的任何信息(information)。该可识别自然人能够被直接或间接识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线标识或者一个或多个这个自然人的物理、生理、基因、精神、经济、文化或者社会身份。”  

在美国,无论针对信息性隐私还是个人信息,法律保护的标准都是所谓的“个人身份可识别信息”(Personal Identifiable Information,往往被简称PII)。用施瓦茨和沙勒夫的话说,个人身份可识别信息就是司法权触发器(jurisdictional trigger),“有PII的地方就可以适用法律;如果PII不存在,那么隐私规制也就无从适用”。 而美国第一部提出PII标准的立法,是1974年的《家庭教育权和隐私法》。此后关于信息性隐私或者个人信息的一系列国会与州的立法,也都采纳了这个标准。由于PII标准在实践中被广泛认可,以至于学者们往往把它当作个人信息的代名词来使用。 

0 (5).jpg

我国隐私法规范虽然没有确立身份可识别标准,但是在司法实践中,特别是涉及披露型隐私权时,作为原告的权利人也需要证明恰好是因为自己身份被披露所以才导致隐私利益受到侵犯。我国一些个人信息法规范,也已经做到了与国际做法“接轨”。例如最高人民法院《关于全面推进以审判为中心的刑事诉讼制度改革的实施意见》第16条,直接把“真实姓名、住址、工作单位和联系方式”等身份信息列举为个人信息。再例如工信部《电信和互联网用户个人信息保护规定》第4条,在列举了部分个人信息之后,明确规定个人信息就是“能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。

一般来说,只要相关信息通过了身份识别检测,那么该信息就会被法官认定为个人信息,从而可以直接适用个人信息法规范。而隐私法的司法裁判过程则要复杂一些。因为判断相关个人信息是否具有身份可识别性,只是信息隐私权保护的第一步。法官还需要继续探明,该信息是否具有隐私价值(例如是否已经公开,或者是否披露有利于公共利益),以及哪些主体应当承担相应的注意义务(例如已经知晓权利人真实身份并承担特定保密义务的主体,或者虽然不承担特定保密义务但具有较强身份识别能力的主体)。

无论对于隐私法还是个人信息法,身份识别标准的制度功能都非常相似:其一,为司法识别提供相对精确的标准;其二,弥补传统隐私权框架的不足,把许多过去不被视为隐私的个人信息都纳入到保护范围之内;其三,在强调对身份可识别或者身份已识别信息保护的同时,也保障并且促进了其他信息符合社会发展需要的流通。

在不同国家或者法域,关于身份可识别标准的具体操作,依然存在不同的做法,也即不同的关于标准的标准。例如在欧洲,法律主要是通过概括式的定义来界定个人信息,因此身份可识别信息的范围较为宽泛;而美国主要是通过各个领域的特别立法来表述PII标准,因此个人信息的保护范围要相对狭窄。 这也能反映出欧美不同的社会文化和法律技术。我们经常可以看到这样一种说法,即欧洲人比美国人更加重视隐私;美国人虽然也热衷于隐私保护,但当隐私权与一些对抗性权利例如言论自由发生冲突时,美国的政治法律制度会更倾向于让隐私利益作出牺牲。 不过我们也需要留意,在不同社会和法律环境中,权利内容以及保护措施是很难作出精确的量化比较的。与其说不同国家存在着不同的隐私权保护力度,还不如说它们存在着不同的隐私权保护框架。因为隐私权制度归根结底是一种社会规范,取决于不同国家的社会实践习惯以及政治利益结构。就如波斯特所言,隐私法的功能其实是在“界定社群的本质和边界”。 所以即便具体到个人身份可识别标准,我们也很难建立起一套在全世界都可以普遍使用的操作细则。

但是麻烦在于,法律规范及其理论的发展,似乎总是相对落后于技术的进步,所以个人身份可识别标准在司法实践中已经逐渐有些捉襟见肘了。自从进入信息时代,我们个人生活的点点滴滴,似乎都可以被政府、企业或者陌生人通过各种技术手段来收集、分析和使用。但对此我们往往后知后觉,甚至有时还毫不知情。有许多信息,连我们自己都认为无关紧要,却也可以被他人利用来识别我们的身份,进而侵犯我们的隐私或者其他利益。这些令人防不胜防的信息技术,几乎能让我们“无私可隐”。 因此身份可识别信息与身份不可识别信息之间的界限,也就越来越模糊,从而加大了司法裁判的不确定性。

保罗•欧姆就指出,过去人们普遍相信,只要保持自己的匿名身份,那么就可以在最大程度上保障自己的隐私和信息安全。但是在今天,信息技术特别是“身份再识别”(reidentification)技术的发展,已经使得人们无处可匿。许多过去认为与个人信息无关,不太可能从中识别出个人身份的信息,现在也都具有身份可识别性了。他举例说,87%的美国人,都没有和其他人同时分享同样的邮编、生日和性别。这就意味着,即便这三个信息单独看来都不具备充分的身份信息,但只要对它们进行整合,就有很大的成功率来定位到具体身份的个体。实际上几乎任何信息都可以用来识别个人身份,具有身份可识别性。如果法律把所有身份可识别信息都纳入保护范围,那么不仅会极大加重诉讼负担,而且也会阻碍信息技术以及信息产业的发展。因此欧姆建议,不是所有身份可识别信息都值得法律保护;我们应当放弃PII这一标准,转而去发掘更有效的信息隐私权保护工具。 

施瓦茨和沙勒夫大体同意欧姆对现状的判断,但他们不认为PII标准已经完全失去实践价值。他们指出,PII标准的模糊化会在两个极端带来不同的问题:要么,PII标准泛化,让绝大部分个人信息都能受到隐私法保护,从而限制个人信息的合理流通,而隐私法也会因此变得臃肿不堪;要么,PII标准被限定得过窄,以至于个人隐私无法获得有效保护,隐私法也会因此失去实际效用。所以他们希望通过对PII标准进行改造,来提出所谓的PII2.0标准,以此来避免隐私法走向这两个极端。

具体来说,施瓦茨和沙勒夫把隐私法或者信息法需要保护的个人信息分为三类:(一)已识别身份的(identified);(二)可识别身份的(identifiable);(三)不可识别身份的(non-identifiable)。按照他们的建议,法官应该根据身份被识别的风险,来对不同信息给予不同程度的保护。所谓已识别身份信息,是指该信息已经能够直接联系到特定身份个人,因此要给予最高程度的保护。而所谓可识别身份,是指该信息可以但尚未直接联系到特定身份个人,因此存在一定的被识别风险。而所谓不可识别身份信息,虽然也是个人信息,但因为不能直接或者间接联系到特定身份个人,因此并无太多法律保护价值。对个人信息作出这样区分的好处,在于一方面为法官提供更加精确的身份识别标准,另一方面也可以督促信息管理者(无论政府还是企业)根据身份识别风险对个人信息作出分类管理,从而在加强个人信息保护的同时,也能促进个人信息的合理使用以及流通。 相较于PII标准,PII 2.0标准显然更加具体,实际上是在PII基础上有进一步提出了一系列“关于标准的标准”,因此在司法实践中的操作性也就更强了。

但是PII 2.0也依然需要进一步的改进或者澄清:首先,无论是身份可识别信息还是身份已识别信息,都具有相对性。同样一个信息,例如经过实名认证而注册的网络游戏账号,对服务商而言就是已识别身份信息,但是对其他普通玩家而言,则只是存在识别身份的可能,因而是可识别身份信息。换言之,法律不仅需要考虑信息本身的身份识别风险,还需要对行为人的信息识别能力作出区分,从而施加不同的注意义务。其次,不可识别身份信息也应当是一个相对的概念。所谓不可识别,也只是对一部分识别能力不强的主体而言。今天的不可识别身份信息,或许随着技术进步,在将来就能转换成为可识别或者已识别身份信息了。再次,“身份”本身也是一个需要具体标准来界定的概念。不是所有身份,例如网络匿名身份或者社团会员身份,都具有同样的保护价值。而且在美国,并不存在中国式的统一身份证制度,人们在社会生活中更常用的社会保险号码(Social Security Number),也被注明“不用作身份识别”(NOT FOR IDENTIFICATION)。 因此在我国的司法实践中,所谓“身份”应当主要是指那些经过国家认证的“核心身份”,例如姓名、身份证号码、护照号码等等。 

其实无论我们如何对身份识别标准进行“升级”或者打“补丁”,它都只是一种司法技术,而非信息技术。信息如何生成和使用,能否识别个人身份或者影响个人隐私,归根结底还是得由信息技术来决定。因此无论PII 还是PII 2.0,都不能直接帮助法官了解相关信息在生活实践中的应用价值。更重要的是,不是所有与个人信息相关的法律问题,都可以通过身份识别标准来解决。

0 (6).jpg

在互联网上没人知道你是条狗,除了……

 

三、与身份识别无涉的信息侵扰行为

在信息隐私法和个人信息法兴起之前,早期隐私权理论并没有把身份识别标准置于如此重要的地位。例如沃伦和布兰代斯讨论的独处权,在今天看来主要针对的是披露行为,就不以身份识别作为保护前提。 因为在传统社会中,信息性隐私或者个人信息往往与身份内容结合得较为紧密。而且由于过去的信息传播和利用技术水平相对较低,所以对与身份内容没有直接关联的信息的收集、加工、使用和传播,并不存在太大的隐私损害风险。

在披露行为之外另一种主要的隐私侵权行为,即侵扰行为,与身份识别标准关联的必要性似乎更小。普罗瑟认为侵扰行为就是对他人事务形成干扰,并且让他人在合理程度上感到冒犯或者心生反感的行为。 最典型的例子,就是侵入他人住宅,以及对他人私人事务实施偷窥或者监控。 侵权人在没有获取或者不知悉他人个人信息的情况下,也能对他人的隐私利益造成损害。更重要的是,法官在判断此类行为的侵权责任时,并不以个人信息或者身份识别为责任构成要件。其实住宅或者私人事务在所难免都会包含个人信息,例如住宅门牌号码,或者个人外貌特征,而且这些信息也都具有直接或者间接的身份可识别性。但是在侵扰诉讼中,这都不是法官考虑的重点,甚至有时候几乎无需过问。

在人类社会进入信息时代之前,或者在非信息技术环境中,人们主要在物理意义上理解侵扰行为。所以会有人把侵扰行为针对的这一类隐私权称作“物理性隐私权”。  而这里所谓的“物理性”,不仅意味着受害人被侵扰的私密空间是物理性的,还意味着侵权人与该私密空间存在着物理性接触。但是由于科学技术的发展,这种传统的隐私理论就逐渐显得陈旧不堪了。

例如窃听行为,行为人只需要在受害人住宅外部(例如电话线上)安装电子设备,即可偷听受害人的室内谈话了。而此时行为人既没有在物理意义上干扰他人(受害人当时可能毫不知情),也没有侵入他人的物理空间。美国联邦最高法院在1928年的奥姆斯特德案(Olmstead v. United States)中也正是以此为由,判定被窃听人的隐私利益无需保护。 直到三十九年后的卡兹案(Katz v. United States)中,联邦最高法院才修正了这一不合时宜的裁判标准,指出侵扰行为以及侵扰对象都不应局限在物理意义上。 

0 (7).jpg

红外线监控

近半个世纪以来层出不穷的各种技术,例如摄像、红外线、热成像、无人机和卫星定位等等,都可以而且已经被用来实施针对他人隐私的侵扰行为。传统社会通过物理实体,例如墙壁、窗户、围墙或者栅栏,来确定隐私范围的做法,显然无法跟上这些新技术的脚步。 而且通过电话传销、垃圾传真和垃圾邮件等方式进行的侵扰行为,在传统社会也是闻所未闻的。

但是,非物理意义上的侵扰行为同时也可以是信息性的。几乎上述所有新技术,在很大程度上都是以信息方式来实施侵扰。仍然以窃听技术为例,侵权人的窃听过程,其实也是对受害人的信息收集过程。许多时候,侵权人实施侵扰行为,不过是为披露他人信息性隐私所做的准备工作罢了。因此侵扰行为和披露行为之间的边界也并不泾渭分明。如果我们按照沙勒夫的隐私分类方法,即把对信息的收集、加工和传播都归入到信息隐私权的保护范围之内,那么侵扰行为在信息时代隐私法中的地位势必会受到极大的削弱。

而且自从计算机和互联网技术普及之后,侵扰行为与披露行为的边界,或者说安宁隐私权和信息隐私权的划分,也就越发模糊不清了。在传统社会里,私密空间与公共空间可以通过物理手段来予以隔离。但是在由信息为基本单位构建的网络空间(cyberspace)中,无论网络用户还是网络服务商都不具备对信息的绝对控制能力,传统意义上的“隐私空间”其实是不存在的。 而在网络空间之外的真实世界,随着信息技术的日益渗透,几乎我们人类的所有行为都可以留下数字痕迹(digital trail)。 因此当他人对我们的生活、工作以及各类活动进行侵扰时,我们的个人信息包括身份内容也就更有可能被他人截获。特别是在信息整合技术(例如大数据)和身份识别技术(例如人脸识别)日趋发达的今天,只要人们身处于信息化的环境中,哪怕是在传统意义上的公共场所,都几乎无名可匿。 

0 (8).jpg

这也就给今天的法官出了难题:在审理侵扰行为时,是否也需要应用身份识别标准呢?或者说,只要一个侵扰行为具有信息属性,那么就把它放置到信息隐私法或者个人信息法体系中去处理?或者还是说,即便侵扰行为是在信息环境中进行的,而且具有很大的身份识别风险,但法官依然只需考虑侵扰行为本身是否符合侵权责任构成,而无需考虑个人信息以及身份识别标准?而所有这些问题,在我国近年来的一些案件中都体现了出来。

以最为典型的朱烨案为例:女性原告朱烨在家中以及单位上网时,曾经用百度搜索引擎查询过一些减肥产品。随后她发现,当她浏览其他某些网站时,会相应出现减肥产品广告。朱烨认为,百度公司在未经用户知情和同意的情况下,通过cookie技术来记录、跟踪用户的上网信息,并且利用这些信息进行精准广告投放,因此侵犯了她的隐私权,使她“感到恐惧,精神高度紧张,影响了正常的工作和生活”,因此诉至法院。 一审法院,也即南京市鼓楼区人民法院,主要是站在信息隐私法的立场上来处理此案:

“当朱烨在固定的IP地址利用特定的词汇搜索时,其就成了特定信息的产生者和掌控者,百度网讯公司通过cookie技术收集和利用这些信息时,未经过朱烨的同意,朱烨就会成为被侵权的对象。知不知道被侵权对象是谁并不是侵权构成的要件,不知道并不代表这个对象不存在……百度网讯公司单纯地把公开、宣扬他人隐私作为侵犯隐私的唯一方式,忽视了收集、利用他人信息也会构成侵犯他人隐私的情形。”

一审法院最后判定朱烨胜诉。但由于它的隐私解释没有采用身份识别标准,所以也不同于通常意义上的信息隐私法或者个人信息法,而更像是某些德国学者倡导、某些中国学者热衷的信息自决权理论。 而南京市中级人民法院作为二审法院,在完全认可一审法院认定事实的基础上,旗帜鲜明地引入身份识别标准,从而把一审判决给翻了过来。它所作的关键结论之一,就是cookie搜集到的信息不具有身份可识别性,因此不属于隐私法或者个人信息法所保护的信息性隐私或者个人信息:

“网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主题,不再属于个人信息范畴。经查,百度网讯公私个人性化推荐服务收集和推送信息的终端是浏览器,没有定向识别使用该浏览器的网络用户身份。”

但即便法官采纳身份识别标准,也不必然得出cookie信息不属于个人信息的结论。在“关于标准的标准”的层面上,二审法院选择了更为具体的“已识别”标准,即只要百度没有对cookie信息进行实质性身份识别,那么就无需承担隐私侵权责任。这样一种标准显然大幅降低了行为人承担侵权责任的可能性。而如果法官采纳的是欧盟《一般数据保护条例》或者美国PII标准所要求的“可识别”标准,那么判决结果可能(但不必然)又会完全两样。因为cookie其实就是一种网络追踪工具,帮助网络服务商识别特定电脑及其背后的用户;即便一些cookie信息并不直接包含身份内容,但经过数据分析,仍然有较大几率识别出用户身份。 特别是对百度这样掌握海量用户数据以及强大技术能力的服务商而言,cookie信息终归是“可识别”的,关键在于百度是否有意愿或者必要将这种“可识别”信息转化成“已识别”信息。 

0 (9).jpg

小心你的“饼干”

如果让“已识别”标准成为司法通例,那么对用户信息如饥似渴的那些网络服务商们,只需在形式上对数据进行“脱敏”处理,即可放心大胆且合法地来使用或者交易数据了。在这样一种商业模式下,用户隐私或者个人信息被侵犯的风险可能非但没有降低,反而会大幅加剧。但问题是,如果法院转而采取“可识别”标准,又会像欧姆所批评过的,把信息性隐私或者个人信息的范围放得过宽。 而这不仅会让身份识别标准失去实践价值(既然大部分甚至所有信息都是身份可识别信息),而且也会制约信息技术以及信息产业的发展。

因此在隐私权诉讼中,身份识别标准(无论是“已识别”还是“可识别”)的价值可能被高估了。法官不太可能仅仅凭借这一个标准就来认定当事人的隐私权是否受到侵犯,以及是否应当获得法律救济。正如朱烨案二审判决书所提到的,朱烨若想胜诉,还必须证明百度的行为对其造成“实质性损害”。而在美国法院的一些类似案件中,即便信息公司例如苹果、领英和谷歌等等已经使用了用户的身份可识别信息,法院也因为原告无法证明受到实质性损害而最终败诉。 

其实在信息隐私权进路之外,朱烨还有另一种选择,那就是安宁隐私权。百度公司的行为可以分为两部分:一是通过cookie技术来收集朱烨的上网记录信息,二是通过朱烨的上网记录信息来向她投送精准广告。而这些行为都可以认定为与侵入、偷窥和监控类似的侵扰行为。因此朱烨只需证明,百度在没有告知用户以及获得其同意的情况下,利用信息技术对其私生活进行了干扰,而无需证明百度的干扰行为是否包括了身份识别。

当然我并不认为,安宁隐私权路径必然会让朱烨获得更大的胜诉机会;而且我也不认为,这一进路就是解决所有信息性隐私或者个人信息问题的灵丹妙药。我只想表明,在传统隐私权框架下,身份识别标准并非不可或缺。而且面对信息时代产生的一些新问题,我们也不一定非要进行“制度创新”。制度的陈旧本身并不是问题,关键在于它能否解决问题。例如奥林•科尔就认为,普通法中的传统侵害(trespass)规则虽然针对的是物理世界中的纠纷,但也能被应用于虚拟网络空间。 

甚至我还认为,个人信息法也无需过于依赖身份识别标准。因为它的制度价值,从根本上说在于维护一个优良有效的信息环境。而不是所有的信息环境,都把身份识别视为对个人权利或利益的侵害。例如莱斯格就讨论过,实名制的网络环境也有其存在价值;而戴维•布林甚至设想过一个信息充分开放、流动的“透明社会”。 能够符合身份识别标准的个人信息,当然具有较高的法律保护价值。但是我们不能因此认为,个人信息法的制度价值仅仅在于防范身份识别。

0 (10).jpg

David Brin的The Transparent Society(1998)


结语

从隐私法的演化以及个人信息法的兴起过程中,我们可以看出隐私以及信息在现代社会已经被高度“客体”化了。 在新技术的影响下,许多人越来越倾向于认为,隐私和信息都可以像有体物或者财产一样被占有和支配,甚至成为一种政治经济学意义上的“资本”(capital)。 由于这类资本依然与人身保留着密切关系,所以难以像物质生产资料以及货币一样,做到与人格或者身份完全剥离。或许正因为如此,个人身份也就成了人们界定信息相关权利利益的主要标签。

0 (11).jpg

但是本文恰好试图证明,我们不能因为网络空间是信息性的,权利内容或者侵权行为可以被信息化,就笃定相信应当由信息隐私法或者个人信息法来保护自己的利益,进而把身份识别当作必须适用的标准甚至是唯一标准。正如本文已经论证过的,在今天这样一种信息环境中,身份识别只具有相对性,而所谓“可识别”信息与“不可识别”信息之间的区分已经越来越难以辨清。即便我们对身份识别标准进行修补,它也不可能解决信息环境中的所有隐私侵权或者个人信息违法问题。倒是一些貌似陈旧的法律制度,虽然与身份识别无涉,却能为解决这些问题提供不一样的路径。

所谓身份识别标准只是一种法律技术,它的合理性与正确性完全取决于具体的社会条件与制度环境。因此本文并非主张放弃身份识别标准,而只是希望现行的法律制度以及法律理论不要拘泥于此,能够站在更为广阔的角度来理解我们已经以及即将遇到的现实问题,且能够灵活地运用多种不同的法律技术来解决这些问题。

 

*原文载于《上海大学学报(社会科学版)》2017年第6期。

 

 

欢迎分享

回到开头

发表评论 | 阅读0条评论

欢迎真知灼见!