权利主体对某项资源享有的默认权利指的是初始性法定权利,是在合同双方协商重新配置资源前,法律对此项资源初始分配的状态。[2]这项默认的初始性权利,可以分配给信息主体也可以分配给那些对个人信息享有合法商业利益的信息控制者。当信息主体享有此项权利时,他对自己的数据信息可以进行终局控制,有权拒绝其他主体采集、使用其信息。信息的控制者、处理者无权对个人信息主张权利,除非法律对信息主体的此项权利进行了相关限制。换句话讲,当默认权利赋予给个人,这将意味着信息控制者不再默认地享有采集或使用个人信息的权利。而如果为了保护信息控制者、处理者对信息处理合法利益的追求,将默认权利赋予给信息控制者,则这意味着法律配置的是一种默认披露的状态。信息控制者、处理者无须支付对价就可采集、分析、挖掘个人信息,除非法律对他们处理个人信息的行为施加相关的限制。这种限制一般是为了避免个人遭遇因信息分析带来的潜在不公平或歧视对待的情况才施加的。
个人信息呈现出巨大的经济价值。个人信息归谁所有?谁享有默认地排除他人采集、使用个人信息的权利?产权界分的不明,会使得信息产业中强势的一方攫取个人信息中的财产性利益。这事实上等同于给强有力的市场经营者攫取个人信息上的经济利益留下了空间。不过,令人欣慰的一面是,欧盟数据保护的立法改革呈现出向着财产权保护方向迈进的趋势。
(一)《数据保护指令》:界定不清的产权与默认的权利
1995年欧盟《数据保护指令》并未将个人信息中的财产权清晰的配置给信息主体或是信息控制者。因此,存在两种解释。一种解释认为,《数据保护指令》将个人信息中的默认权利赋予了信息主体。持有此观点的学者提出两个理由来支撑此论断:一是指令对个人隐私的保护处于其规范核心地位,二是指令为个人提供了一套控制自身信息的综合性体系。其中,指令对隐私及个人基本权保护联系最紧密的条文体现在第1(1)款及叙文中第2、7、9、10部分。有学者认为,隐私与自主权的保护包含在了信息自决权中。[3]信息自决权意味着个人对自身信息享有的综合的控制性权利,包括排除他人采集与处理个人信息的权利。
为确保信息处理的透明,指令第18条规定,信息控制者有义务向监管当局披露它的数据处理活动。第10条、11条规定,在处理信息主体的信息时,信息控制者或处理者有义务通知信息主体,告知与其相关的信息处理的事实与基本细节。第12条规定,信息主体对自身信息有权查阅,包括查询信息用于何处,信息处理的目的,信息的接收者与获取信息的来源等。第14(a)项、第12(b)项规定,当个人具备有说服力的正当理由时,有权拒绝与其相关的数据处理,有权要求更正和删除无效的、不相关的、非法保留的个人信息。第14(b)项规定,信息主体有权拒绝以商业为目的的有关其个人信息的数据处理。第15(1)款规定,信息主体有权反对单独基于信息自动化处理做出的对其特定方面评估与判断的决定。另外,没有任何其他规则在构建信息主体对个人信息的控制方面如指令所规定的知情同意规则那样有力与明确。指令第8(2)(a)项特别规定,信息主体的同意是信息控制者处理个人信息的前提,除非法律有例外规定。是否同意是根据信息主体的自主意愿做出的,因此,信息主体也可以根据自己的意愿在任何时候撤回同意。[4]
从上述角度来看,《数据保护指令》似乎赋予了信息主体控制个人信息的权利。信息主体有权决定是否披露个人信息。如果信息主体同意信息控制者处理个人信息的规则,被视为是信息控制者处理个人信息应普遍遵循的规则,那信息主体通过同意机制进行的控制,不仅应适用到个人信息的披露方面,还应适用到个人信息的转移、挖掘等方面。
事实上,存在一种争辩,该种争辩认为《数据保护指令》可以解释为赋予了信息主体控制自身信息,有权对自身信息予以披露的默认权利。[5]在这种理解下,未得到信息主体的同意则应禁止对个人信息进行处理,除非信息主体的此项权利受到了法律的限制,即法律为信息的处理设置了其他正当、合法的理由。有学者认为,欧盟的《数据保护指令》将个人信息的财产性权利赋予了信息主体。[6]
需要注意的是,事实上,信息主体拥有的准许信息控制者使用个人信息的同意筛选机制,在面对第7(f)款对信息控制者追求自身信息处理的合法利益的认可时,往往不具有规范适用上的优先性。
概言之,1995年《数据保护指令》并未对个人信息的财产权归属进行清晰的界定,个人信息的财产权规范基础并不清晰明了。因此,人们很难去争辩在个人信息的财产权归属上谁享有排他性权利。
(二)2012欧委会出台的《通用数据保护条例》草案的改革
有学者认为,虽然《通用数据保护条例》草案并未将个人信息财产权明确赋予个人,并未明确构建个人信息财产权的制度,但信息财产权的三个要素包括将个人信息的默认权利初始性的分配给信息主体,随着信息的转移而转移的义务与负担,信息主体可寻求以财产规则为基础的救济方法,这三个要素都体现在了条例规定的权利救济框架下。[7]
1.信息主体享有的个人信息的默认权利只是部分被转移
首先,信息财产权构成的三要素中,从第一个要素来分析。《通用数据保护条例》草案第6(1)(a)条规定了信息使用的“同意规则”。信息主体的同意是信息控制者合法处理个人信息的前提。有学者指出,虽然《通用数据保护条例》草案规定了不需经过信息主体的明确同意,信息控制者可以进行数据处理的一些例外情形,比如,第6(1)(b)条规定,如果信息处理是为了履行合同,且信息主体也属于合同当事一方时,即使信息主体没有给予明确的使用个人信息的同意,信息使用者也有合法的处理信息的权利。再比如,第6(1)(e)规定,信息使用者为了公共利益或完成官方交给的任务所必须进行的数据处理。但这些例外并不表明信息主体就此丧失了对自身信息的一切权利。依据第14(1)(b)的规定,信息使用者必须明确告知信息主体,他的信息被采集与使用的目的;依据第14(1)(d)条的规定,信息主体仍然保有要求信息使用者修改、删除个人信息,终止信息处理的权利。
另外,《通用数据保护条例》草案第17条,将“被遗忘权与删除的权利”赋予信息主体。“被遗忘权”并不是财产性质的权利,但是该项权利的赋予,增加了信息使用者的负担。信息主体在信息使用者不再需要使用个人信息、信息使用与信息采集确立的目的不再相关、信息主体撤回同意、使用个人信息的期限届满或继续保留的弊端大于继续保留的优势时,有权要求信息使用者删除个人信息,避免信息的进一步传播。
从这个角度来看,有学者指出,《通用数据保护条例》草案是建立在这样的假设基础上的,即数据信息是一种可以易手的商品,同时,信息主体对自身信息这一财产保有终极性的权利。[8]实际上,信息使用者获得的乃是一种使用个人信息的“许可”。通过合同安排,信息主体只是暂时且部分地转让了对自身信息的权利。信息主体对个人信息享有终止许可使用的决定权,也有权依据法定理由要求信息使用者停止对其信息的储存、分析与使用。
2.义务与负担随着信息的转移而转移
比如,《通用数据保护条例》草案第17(2)规定,任何信息的控制者对信息的公开负有责任时,都必须“采取合理的措施……告知处理个人信息的第三方,信息主体要求他们删除链接、拷贝或复制信息的请求”。信息处理的第三方需要尊重信息主体请求遗忘与删除的权利,否则会受到制裁。这样的负担不仅约束着合同关系的一方,也约束着可能接触到个人信息,对个人信息进行分析与使用的第三方。义务与负担随信息的转移而转移,不论其与信息主体间是否具有合同关系。《通用数据保护条例》草案构建的规则呈现出对世权的特点,具有财产权的特征属性。(www.xing528.com)
3.信息主体可寻求以财产规则为基础的救济方法
那些经常用来保护财产利益的措施,融入到了草案构建的救济体系中。比如,财产权的保护方法中,法院与立法机关常常使用恢复所有人权利的救济措施:颁布禁止令的救济措施以及罚金与惩罚性赔偿的救济措施。
《通用数据保护条例》草案为信息主体提供了一些责成信息使用者删除个人信息的方法,这些方法本质上是为了恢复信息主体对个人信息所享有的专有权利。信息主体可能会向当地监管部门投诉。草案第53(1)(f)规定,监管部门有权命令实施不法行为的一方修正、删除、销毁个人信息。同时,信息主体可以直接向当地法院提起诉讼;第75(1)条,第76(5)条,赋予了法院对违法行为颁布禁止令的权利。另外,如果信息使用者对信息主体所主张的有合理依据的“被遗忘权与删除的权利”不遵守,则根据草案第79(5)的规定,其可能会面临50万欧元或企业全球营业额1%的高额处罚。
事实上,财产权是根据社会的发展、人们的需求与价值观念,通过法律的认可创制出来的。欧盟2012年的《通用数据保护条例》草案在保护个人信息与隐私方面,赋予个人从财产权中衍生的权利与救济方法,或许有人认为,使用这样的方式去保护一项人格权范畴下的个人信息权似乎并不恰当。2012年《通用数据保护条例》草案构建在这样的认识基础上,即我们生活在一个数据的世界里,个人信息已经且在将来会继续被人们视为是一项商品,简单地禁止个人信息的交易并不是明智的选择;相反,引导与规制信息的交易,并为信息主体提供具有财产权性质的权利与救济方法,才是明智的选择。草案为我们呈现了一个具有财产权保护倾向的方案,使得信息主体能更好地保护个人信息、维护自身尊严。
4.其他学者对2012年《通用数据保护条例》草案的不同解读
有学者指出,虽然整个数据保护的改革是在希望促进信息主体对个人信息进行更好控制的大背景下进行的,但欧盟2012年《通用数据保护条例》草案在信息主体的个人利益与信息产业的利益间进行博弈平衡时,似乎做出了有利于后者的改变。[9]草案使得信息主体限制信息控制者采集与处理信息的能力受到削弱,而控制者针对个人信息的其他诉求似乎得到了加强。
以控制性权利中信息主体的同意规则为例,知情同意的规则作为信息控制者合法处理信息的正当理由之一,因为对同意规则程序性要求的强化,将使其很难得到遵守。这导致同意规则正在失去意义。草案第4(8)款规定,同意的意思表示需明确做出,第7条规定,信息的控制者有义务去证明同意的存在与同意意思表示的有效性。另一方面,草案第6条规定的信息控制者无需信息主体同意,就能进行合法信息处理的例外情形,相对来讲又比较容易满足。比如,第6(1)(c)规定,信息处理是为了使信息控制者遵守其合同义务所必需时,再比如,第6(1)(f)规定,信息处理是为了信息控制者追求合法利益的目的所必需时……有学者指出,这无异于赋予信息控制者对个人信息更多控制权的同时,限制了信息主体的控制权。
在目的限制领域,草案规定个人信息的采集应在具体、确定、合法的目的下进行,不允许信息在与这些目的不相容的背景下被进一步处理。这其中的理念是不希望信息主体允许信息控制者进行信息处理的一次同意,成为未来对信息进行二次使用或无限制使用的开放闸门。但《通用数据保护条例》第6(4)条又为信息控制者目的限制原则的适用作了例外规定。有学者指出,这样的规定,降低了信息主体对自身信息的控制,弱化了同意机制的要求,将会影响信息主体拒绝信息处理权利的行使,包括删除权的行使等。
欧盟启动的数据改革,是在希望促进信息主体更好地控制个人信息与促进信息自由流动的背景下展开,这不可避免会出现信息主体与信息使用者间在控制个人信息与利用个人信息上发生的冲突,学者对草案中相关条文的理解也可能存在不同的解读。能够确定的是,1995年的《数据保护指令》没有对个人信息的产权归属进行界定,而2012年的《通用数据保护条例》草案,做出了向着财产权保护方向迈进的努力,但也未能明确地填补这一空白。
(三)2016《通用数据保护条例》的生效文本强化了信息主体的个人信息控制权
经过广泛征求意见与讨论后,公民自由、司法与内政事务委员会在2013年10月21日公布了它的修订文本,欧洲议会在2014年3月也对外公布了议会修订文本,议会的文本对原草案中存在的一些鲜明棱角进行了打磨。2016年4月14日,欧洲议会投票通过了商讨四年的《通用数据保护条例》,其将在2018年5月25日正式生效。此正式文本强化了欧盟公民对个人信息的自决权和控制权,将其作为欧盟公民的基本人权,重拾公民对个人数据处理的信任;统一了欧盟数据保护规则,简化了欧盟个人数据保护和监管的流程,降低了跨国公司的合规成本,促进了一体化的“数字欧洲”进程。
第35条引入了一项义务,当数据信息的泄露可能会对个人信息、隐私、权利及合法利益的保护造成负面影响时,需要对数据处理操作进行风险评估。第34条规定,当个人信息泄露可能对自然人的权利和自由造成高风险时,信息控制者应将个人信息泄露的相关情况通知信息主体,且不得无故拖延。第24(1)款规定,考虑到信息处理的本质、范围、背景、目的及可能给自然人的权利与自由带来的风险及影响的严重性,信息控制者有义务采取技术与组织上的措施,确保数据的处理与条例的规定相一致。
在个人信息控制权方面,条例要求信息控制者不应误导或强迫信息主体做出同意信息处理的表示,信息主体对信息控制者处理个人信息的同意,不应被视为是全权授权,更不应成为信息控制者随意处理个人信息的理由,予以滥用。信息控制者应受到信息处理目的的限制、信息主体对处理其信息附加条件的限制等。第7条对同意规则的规定,试图解决信息主体与信息控制者间力量不对称的问题,以确保信息主体的同意是其自由且真实的意思表示,而不是被操纵的选择。第7(2)款规定,如果信息控制者是通过书面声明的方式取得信息主体的授权同意,且声明中包含了对其他事项的约定,则取得信息主体同意的条款应采用区别于声明中其他条款的方式,清晰地予以显示。如果在取得信息主体的授权同意上出现任何违反条例规定的约定,都将导致这些约定条款的完全无效。第7(3)款规定:“尽管有处理个人信息的其他正当理由,但信息主体也有权在任何时候撤回其同意。同意的撤回不影响撤回同意意思表示前信息处理的合法性。同意的撤回应当如同意的给予一样容易。此条规定表明,信息控制者采用的政策与程序应坚持尊重信息主体的自主选择。这一条款引入了个人自治的价值,加入了尊重信息主体信息自决权的内涵。这样的修订,具有开创性的意义。叙文第32条还指出,明确且知情的同意要通过一项声明或一项积极的行动来完成,以表明这是信息主体的自主选择。因此,沉默或仅是对一项服务、应用的使用,不能构成信息主体同意信息控制者使用其个人信息的意思表示。条例明确排除了这样一种常见的商业实践,即公司将信息主体对信息处理的同意作为其提供服务的一项默认设置来操作,并由此主张对个人信息享有权利。条例第7(4)项规定,合同的执行或服务的提供不能以信息主体同意信息控制者使用其信息为条件,除非对信息主体个人信息的使用是执行双方间的合同或向信息主体提供服务所必需时,对个人信息的处理才是合法的。叙文第32条禁止通过默认选项的使用,比如默认的预勾选框的方式,来表达允许信息控制者使用个人信息的授权同意。信息主体对个人信息控制的权利通过权利的初始分配得到加强。还需注意的是,信息主体的同意还要受到目的限制的约束,当信息处理的目的已经达到或基于原初的目的,信息没有进一步处理的必要时,信息主体的同意将会失去效力,信息控制者将不能继续使用个人信息。
《通用数据保护条例》强化了信息主体对个人信息的控制,比如第17条信息主体的“删除权(被遗忘权)”、第20条“数据可移植的权利”及第21条信息主体拒绝信息处理的权利,再比如对信息控制者获得信息主体的同意设置的诸多限制条件等。当信息的处理是非法的、不相关的、超越授权的,信息主体有权要求信息控制者或处理者删除其个人信息。同时,“数据的可移植权利”规定:当信息主体向信息控制者提供的个人信息是通过电子方式予以处理,信息主体有权要求信息控制者以一种电子的且通用可操作的格式,向其提供与自己个人信息相关的副本,允许信息主体不受信息控制者阻碍地进一步使用个人信息。只要技术上可行,且信息主体请求,数据信息可以在信息控制者间直接传输。这样的规定构建的是信息主体对个人信息所享有的初始、默认的权利。
另外,条例第21条拓展了信息主体拒绝信息处理的权利适用范围。第21(2)款规定,在为直接营销的目的处理个人信息时,信息主体有权在任何时候拒绝有关他或她的个人数据的处理。第21(1)款规定,当个人信息的处理是为了执行公共利益的任务或是为了完成官方的要求时,或是为了控制者或第三方所追求的合法利益的需要时,任何信息主体,都有权拒绝任何与自己相关的数据处理,只有当对这些合法利益的处理超过了对信息主体基本权利与自由的保护时,信息控制者才能继续处理信息,且举证的负担要由信息控制者承担。
《通用数据保护条例》明显没有2012年欧委会推出的草案在对待信息控制者采集与处理个人信息的利益上那么慷慨。无论是公民自由、司法和内政事务委员会公布的文本,还是议会修订推出的文本,在信息控制者合法的信息处理利益与信息主体的基本权利与自由间,都在欧委会2012年草案的基础上进行了再平衡。我们看到,欧盟新一轮的数据保护立法改革,是在希望推进信息主体对个人信息进行更好控制的大背景下展开的。立法做出了很多加强信息主体对个人信息控制的立法改革,并向着财产权保护方向发展迈进。威廉·布莱克斯通在《英国法释义》中曾经谈到过:“没有什么能像财产所有权那样引发人类的想象和情感——一个人拥有对世界上其他人的总体的绝对的权利。”[10]不过,现阶段并没有任何一部法律对个人信息的财产权归属进行了明确、清晰的界定,包括处于领头羊地位的欧盟的法律。不论是在1995年的《数据保护指令》,2012年欧洲委员会为推进数据保护改革制定的《通用数据保护条例》草案还是2016年4月议会通过的生效文本,都不曾在个人信息财产权的归属上进行清晰明确的界定与权利的初始配置。不对个人信息的产权归属进行界定无异于将个人信息的产权让渡给信息产业,使个人在企业面前,自主性被侵蚀,信息自决权受到侵害。不过,可喜的一面是,欧盟数据保护的立法改革,在向着强化信息主体个人信息控制权与探索实现个人信息财产权保护方向迈进。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。