主编序
——失去隐私和个人信息,我们就失去了做人的尊严和自由
有一个关于“选择”的著名故事——几个学生向苏格拉底请教人生意义,于是苏格拉底把他们带到果园,并让他们摘一个自认为最大最好的果子,同时要求不许走回头路,不许作第二次选择。等学生们穿过果园,苏格拉底询问他们是否“选择”到自己满意的果子?一个学生说,他刚走进果园时,就发现一个很大很好的果子,但他希望找到一个更大更好的果子,但直到果园尽头,才发现第一次看见的那个果子才是最大最好的;另外一个学生却说,他刚走进果园就摘了一个自认为是最大最好的果子,但后续却发现,果园中的更大更好的果子多的是。学生们显然都很失望,都希望能再获得“选择权”。苏格拉底拒绝了,他认为人生根本没有第二次选择的机会。
这个故事告诉我们,选择即自由,选择即权利。在数据法领域也是如此,对于我们每个人,一旦被剥夺了信息自决权,我们就失去了做人的尊严和自由。对于国家,只有真正拥有数据主权,对外的数据跨境能够自主可控,对内的数据调取能够拥有最终的决定权,我国才能参与甚至主导未来的国际数字贸易规则。
正如苹果公司CEO库克于2021年1月28日在虚拟计算机、隐私和数据保护会议上演讲中提到的那样,“一个由科技公司和数据经纪、假新闻的传播者和分裂的兜售者、只想赚快钱的追踪者和骗子组成的互联生态系统,比以往任何时候都更真实存在于我们的生活中……这不仅减损了我们的隐私性基本权利,还破坏了我们的社会结构”,在此基础上,库克进一步指出,“如果我们接受生活中的一切都可以被汇总和出售,并认为这是正常的、不可避免的,那么我们失去的将不仅仅是数据,我们失去了做人的自由。”
除此之外,另一个角度是把个人信息视为信息资本主义的核心要素,个人信息数据化和商品化的过程被定义为一个特殊的价值创造的经济过程,而且是存在信息剩余价值的不公平的生产过程。哈佛商学院教授肖沙娜·朱伯夫在其大作《监视资本主义时代》中,将我们的内心生活比作一个前殖民大陆,被追求利润的科技公司入侵并剥夺了个人信息,这就是所谓的“通过数据圈地实现准所有权”,并将“数据精炼厂”对个人信息的处理确定为数据剩余价值的生产过程。
于是,在大数据时代,我们每个人不再仅仅是消费者,非常讽刺的是,我们自身也成了“产品”。某些企业不仅免费使用我们的个人信息,而且还通过用户画像向我们精准营销,甚至在此基础上实施“大数据杀熟”。
面对上述难题,现行主流的解决方案大致有两种:第一种是人格权或尊严主义的方案,这也被我国《民法典》和《个人信息保护法》充分吸收和采纳。该方案通过法律的方式授予个人知情权、决定权、拒绝权、查阅复制权、更正补充权、删除权、要求解释说明权等人格性实体权利及申请受理机制等程序性权利,赋能个人形成信息自决权,使得个人真正能够对实质影响他们合法权益的个人信息收集行为说“不”。如针对大数据杀熟,我国《个人信息保护法》提供如下解决方案:“一是明确处理个人信息应当遵循合法、正当、必要原则。二是规定处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。三是规定任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。四是规定利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。五是规定履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。”
第二种是财产权或产权主义的方案。该方案认为仅仅赋予人格性权利是远远不够的,这依然无法解决个人信息数据化和商品化带来的不公平和信息剩余价值等问题,这需要通过数据确权赋予个人财产性权利,并实质性地规制信息生产过程以实现公平正义。根据TechCrunch报道,万维网创始人蒂姆·伯纳斯·李出于对数据助长日益严重的网络权力失衡的担忧,发布了一个名为Solid的隐私平台,意在把数据控制权真正交还给用户,让用户通过“个人在线数据存储”来控制他们的数据。用户决定谁可以访问他们的数据,应用程序必须请求用户许可,用户才能明确授予。又如近几年在全球兴起的“本人数据管理”(MyData),这是一种全新个人数据管理和商业模式,意在平衡个人信息保护和数据产业发展之间的关系。MyData的核心思想是“我的数据我做主”,每个人都可以控制自己的数据,但也有权分享自身带来的数字红利。根据FSC官网信息,韩国是全球率先对MyData进行立法和推动商业落地的国家,韩国金融服务委员会于去年12月22日宣布向21家金融机构、金融科技企业和电子金融企业颁布MyData初步许可。
事实上,无论是尊严主义方案,还是产权主义方案,都是从个人主义的角度出发,以个人与企业的博弈为焦点,意在授予个人信息自决权,尤其是希望增强个人的选择能力,期待个人有实质意义上的选择能力。但非常遗憾的是,在大数据时代,单个个人并没有能力挑战科技巨头,更多的时候是妥协或者放弃。以作为全球数据立法典范的欧盟《通用数据保护条例》(GDPR)的两年实施情况为例,GDPR并没有实质性提升或保护个人的数据权利,相反,高不可及的数据合规成本却大幅抬高了进入市场的门槛,限制了中小企业的竞争机会,最终却增加了科技巨头的数据垄断。
在这种背景下,第三种集体行动方案出现了,该方案强调以人为本和整体利益优先,将个人置于数据生产关系中理解其信息自决权,其产生的社会影响不能简单归结为个人主义的关切,也不能试图通过以个人为中心的方案来解决。相反,该方案主张,应当在国家现代化治理和整体利益优先的基础上实行信息自决权制度,将作为公共基础设施的大数据和算法作为公共事业来监管,强调实现更为公正的数据生产过程,强调为国家的整体福利发挥积极作用。微信、抖音等App使用算法对大数据进行排序,塑造我们如何获取信息,如何相互交流和感受彼此,塑造了我们数字公共领域的内容和特征。它们虽然都是私营公司,但其拥有的大数据和算法已经成为公共领域基础设施的一部分。根据德国《商报》(Handelsblatt)的报道,德国社会民主党领袖安德里亚·纳勒斯主张建立一个国家数据信托基金,他把科技巨头比作制药公司,这些公司对他们的产品只享有有限的权利,以便更好地服务于公共利益。又如,根据Smart City Hub的报道,巴塞罗那建立了一个公民数据信托基金,用于管理数据公共池,从而使公民对收集哪些数据和用于哪些目的有更大的发言权,在其与科技公司的合同中也可以确保公民享有更多的数据权利,并利用其数据基础设施来深化公民的参与。
正是在个人信息侵权和数据安全风险日益严重的当下,本书认真描述了“小林的一周”数据生活,探讨了在地图导航、网络约车、即时通信、网络社区、网络支付、网上购物、餐饮外卖、邮件快递、交通票务、婚恋相亲、求职招聘、网络借贷、房屋租售、二手车交易、问诊挂号、旅游服务、酒店服务、网络游戏、学习教育、本地生活、女性健康、用车服务、投资理财、手机银行、邮箱云盘、远程会议、网络直播、在线影音、短视频、新闻资讯、运动健身、电子图书、拍摄美化及演出票务等39类场景之下可能遭遇的隐私风险,应当准确界定必要个人信息的收集范围,尤其应当限制企业超范围收集数据用于用户画像及精准广告。
本书还具体讨论了很多与我们每个人息息相关的有趣案例,如已公开的判决书、精准广告中的Cookie、手机账号密码、考勤信息、历史车况信息、微信好友关系、观影记录等到底是否属于个人信息?快递公司泄露用户信息、利用他人身份证进行股东登记、房产中介未经同意传播房源信息、利用个人信息进行暴力催债、App以朋友名义发送注册邀请信息、公开患者个人信息、餐厅强制扫码点单、免费WiFi收集个人信息,以及公开考试成绩等行为是否构成违法犯罪?
此外,本书还告诉我们如何行使个人信息权利以及如何进行侵权救济。如何读懂隐私政策?买机票时信息泄露被骗钱,损失找谁赔?房产中介泄露个人信息,找谁负责?银行未及时删除用户逾期贷款记录,如何维权?
在这里,我要特别感谢上海交通大学法学院数据法团队的各位同仁,他们分别是李亚楠、魏雪颖、李蒙、高禹婷、林洁琼、向凤密、李超鹏、吴蔼虹、张莹莹、何姝美等,在过去一年当中,他们不辞辛苦和无私奉献!我们一起通过对38个案例的分析和18个热点的论述,共同打磨了《个人信息保护法与日常生活》这本著作,期待这本“读者友好型”的小书能成为企业法务及合规人员、互联网从业者、律师,以及高校师生等数据合规共同体和普通读者的学习《个人信息保护法》的第一选择和必备工具!
毫无疑问的是,数据治理的黄金时代即将开启,随之而来的法律挑战也越来越大!我们必须回答好以下三个核心议题:如何平衡数据权利保护与数据流动?如何实现数据确权和利益分配机制?如何实现国际数据新秩序和竞争规则?2021年对于数据治理来说是极其重要的一年,在这一年中我们有幸见证了《个人信息保护法》(2021年8月20日通过,11月1日生效)和《数据安全法》(2021年6月10日通过,9月1日生效)颁布实施的历史性时刻,并与已生效的《民法典》《网络安全法》以及《国家安全法》一起,共同构建了一个完整的中国数据治理框架。让我们一起期待数据合规蓝海的早日到来,让我们一起分享数字经济的时代红利!
何渊
2021年8月20日凌晨
于上海数斋