您好、欢迎来到现金彩票网!
当前位置:盛通彩票app下载 > 格支配理论 >

高富平:个人信息保护的基础理论|2017网络法青年工作坊

发布时间:2019-04-30 01:16 来源:未知 编辑:admin

  华东政法大学知识产权学院院长高富平老师以“个人信息保护的基础理论”为题,与学员探讨数据保护和利用的理论体系。

  我今天分享的主题是个人数据保护的理论问题,非常高兴能够和大家对深度探讨数据背后深层次的理论问题做一个交流。

  我们进入到网络化、数据化和智能化时代以后,大家都感觉到我们的生存方式是一个数字化生存,我们每说一句话、每到一个地方、每做一件事情,只要和手机绑定着,都被记录下来。在这样的情况下,来自于个人的数据成为大数据很重要的来源,所以关于个人数据的保护和利用的问题,成为大数据将来的法律的基础。

  大数据本身作为一个技术,只是抓取和分析人们一种新的生产方式,实际上就是IT技术发展到一定阶段的产物,而作为数据肯定是来源于网络和各种传感器的一种记录,所以个人数据保护是利用大数据的基础。

  那我们个人信息应该如何保护?《民法总则》第111条可以说什么也没有规定,因为它并没有赋予说个人可以有何种权利,而仅仅从消极的角度说你不能做什么。消极规范是好规范,但是没有正面回答问题,当然你也可以说第111条确立了个人信息受保护的权利,这也可以理解为一种个人信息保护权。但这种个人信息保护权是区别于我们学界或者是大家通说的个人信息权,是不一样的概念。

  我觉得探讨任何数据的法律问题,首先要理性地对待数据这个东西,法律上如何对待数据,我认为要理解数据的三个特征:

  首先,数据具有公共性,数据在我看来就是空气、就是水,无处不在、无人不需。

  第三,数据具有非消耗性的特点。它的使用不但不消耗它本身,反而增值,在不断地使用当中增值的。

  数据的这三个特征是我们研究数据必须面对的一个问题。面对这样的事实,对于“谁拥有数据”,我的回答是谁都不能拥有数据,包括我们自己也不能拥有我们自己的数据。用户对个人信息,我认为也不能拥有所有权,当然这里的所有权还是一个所谓的排他的支配权,别人非经你同意不能用的一个权利,也就是说我们讲的归属。

  那我们首先要认识什么是个人数据。我国《网络安全法》和欧盟GDPR的定义其实差别不大,核心都是识别。我想给大家讲一讲什么是识别。无论是欧盟还是美国,都有一个非常关键的概念Identity,它认为能够识别一个Identity的时候,这些信息都属于个人信息。

  Identity比较符合我们中文中个体的概念,而不是身份。其实在它的含义里就把它作为一个主体,这个主体很可能是一个具体的个人,或者也可以还原为个人,也就是说这个个体Identity可以认为是身份,也可以认为是一个抽象的个体。Identity可以是一个用户名,可以是任何一个能够对应到的个体,但是这个个体背后是谁不是大数据本身所关心的问题。

  而了解个体,我把它分为两类,一个是识别是谁,就是识别到具体的一个人,一般来说一个人的姓名是在这个社会标志你和别人不同的主体。现在的机器识别是什么,就是我不了解这个人,但只要知道一个安全号,就可以知道这个人的轨迹,这叫个体特征的识别。在技术的角度来讲,第一类是标示图,就是贴标签,包括身份证号码等;另外一类就是描述性的信息,你做过什么事情,经常的轨迹等都属于描述信息。

  关于识别,外国有个理论叫做和我前面讲的身份标识的识别和描述性识别大致是一个比较一致的分类。L型识别就是查找,是可以直接联系到你的,包括身份证号、住址;R型识别是以不显名的个人产生联系情况下而进行的认知,Cookies就是一个非常典型的R型识别的信息。

  另外,识别本身并不导致与用户的通讯和联络,但是住址、电话这些通讯信息既具有识别功能,同时也能够联系到你,所以识别里面是包含通讯信息的。

  个人信息是中性的,使用它可以干合法的事情,也可以干违法的事情。所以个人信息的收集并不可怕,可怕的是利用个人信息对你干坏事,被少数违法犯罪分子盯住你。

  个人信息本身是人类产生交往的重要工具,个人信息本身是公开的东西,社会运行和商业活动都离不开个人信息。数字经济时代,数据成为竞争的工具,所以我们应该承认个人信息是现代商业竞争的重要内容,也需要保护企业对数据的利用。

  这里讲到了个人信息使用和个人信息识别本身的区别的问题,个人信息不属于个人。大家想一下,数字化之前你拥有一些什么样的信息?你向给单位提交一张个人简历,单位拥有你的个人信息很正常,但是你没有行为的轨迹。是因为网络的出现,才有了行为的轨迹,有了越来越多的信息。但谁创造了这个东西,谁该拥有?

  个人信息的出现和技术无关,但技术是平台的,是它上传了这个东西,不是你的创造,当然你有输入,输入如果是版权保护内容就归版权保护,不是版权就是事实信息,你没有任何的东西。输入能产生权利吗?通过个人数据可以认识你、了解你、联系你,那你能拥有信息吗?在座的有自己的姓名吗?并没有,文字是不能拥有的,数据是不能为任何人所拥有的,所以来源于不等于归属于。

  我们越来越认识到个人信息的形成不是一个你自己能控制的事情,而你在网上的很多行为又关联到其他人的行为,个人信息有群体性,这不是自己说了算的,是需要规则来解决的问题。

  个人信息的使用也有坏处,有社会的危害、伤害,这个如何克服才是隐私要解决的根本的问题,而不是个人怎么解决的问题,我们现在的研究一定要理解在大数据的环境下,我们个人能够控制什么,不能控制什么,谁能解决相关危害的问题。

  个人信息既然是数据的一部分,也逃脱不了公共的特性。个人信息既关系个人利益,同时也有社会性、公共性和可获取性。在这里就涉及到个人信息和隐私到底是什么关系的问题。

  这涉及到英美法和大陆法的区别,英美法建立了一个公法和私法融合的广义的隐私体系,在这样的隐私概念的体系之下,只要和个人有关的东西,基本上都是privacy,privacy是广而又广,不能拿到中国来套用我们的隐私概念。

  那么大陆法的隐私是一个什么概念?人权加人格权。在我们的立法中,人格权有一般人格权和隐私权。欧洲的个人信息保护主要是在人权、基本权利层面来讨论的、对应的,很多的案子是在人权法院审理的,不是在一般的民事法院审理的。现在我们所讨论的个人信息权利或者是被遗忘权的时候,直接纳入到民法当中来讨论,这是违背了最基本的逻辑体系。

  在大陆法的观念下,我认为隐私主要有两点。第一是私密生活事实的泄密问题;另外一个是安宁权,是空间侵扰的问题。所以大陆法观念下的个人信息保护,是和隐私有区别的。

  利用个人信息识别个体对个人权利造成的损害,这样的行为才是所谓的侵害个人信息受保护的权利。这不是隐私,因为大陆法的隐私和这个是不同的,而按照欧洲的解读,个人信息保护法保护人格、尊严、自由、平等,这是人权。

  在欧洲的法律里有一个最基本的条款,就是一个人不能够在不知情的情况下,就被收集了信息。 所以为什么告知在欧洲的法律里非常重要,就是因为他们关注的是人权层面上的问题,他们关注的是一个人作为一个主体是不是作为个体来处理了。此外,关于自决权大家一定要注意,这是在宪法层面的,不是在司法层面的,不能够轻易地混淆。

  个人信息和隐私保护是交叉的,为什么会出现可以交叉,是因为个人信息包含隐私和私密性的信息,一个基本的概念就是越私密的东西识别性越高。所以所有的隐私信息就当然地归到了个人信息的范畴,这是一个包含关系。

  此外,个人信息的不当使用很可能会对你的安宁造成不舒服。这样的话,个人信息保护的规则和隐私的保护规则存在重合、交叉,这主要表现在两个条款上:

  第一,同意。个人信息保护里面含有同意规则,是因为同意的对象主要是私密信息。欧洲的法律也讲的也非常地清楚,在欧洲是没有同意权的。但是它是有同意的,敏感信息非经同意不能使用,政治观点、宗教等信息就是最敏感的信息。

  第二,泄露。私密信息的泄漏就是侵权,防止个人信息泄漏,既是对个人信息的保护也是对隐私的保护。

  所以在这个地方两个就重合了,但是我认为个人信息保护的宗旨是人权,隐私贯穿于个人数据保护整个过程,但是个人信息保护主要是保护个人的尊严、自由、反歧视等,属于人权范畴的法律。

  接下来一个观点,个人信息保护不属于具体的人格权,个人信息保护应当受法律保护的权利,不是单一的权利,是基本原则加行为规范来实现保护的,而不是通过个人享有什么权利来实现保护的。

  个人信息保护权是一个基本权利或者是宪法中的权利或者说是人权,不是一种具体的人格权,个人信息保护权不是个人信息支配权、控制权。这种法律的保护在我看来最合适的层面就是一般人格权。

  为了实现这样的保护,应当通过单独立法,通过赋予个人信息救济性的权利和施加数据控制人的义务来实现,这不是通过人格权法哪一条就能够实现。

  最后还有一点,在我们国家个人信息利用普遍的规则就是征得个人同意,这是非常要命的规则。

  在我看来,个人信息必须征得你的同意才能使用,相当于个人享有控制权或者是个人享有所有权,非经你同意不能使用,也就是说大家认为的个人信息归属于个人是有依据的,是同意权。

  同意权在法律里面不是一个法律概念,同意权的背后是支配权,支配权就是所有权。也就是说,如果个人信息一律要经过你的同意就意味着个人对个人信息有排查的支配权,确立的一个规则就是非经个人同意就构成侵权。

  但其实同意不符合现实。现实当中每个人都需要对外交流,就必须披露信息。另外,进行同意的前提,是能够控制这个信息的流向的,如果你不能控制你的信息的流向的时候,同意并没用。

  同意已经成为企业规避法律责任和风险的手段,为什么?因为同意对于企业合规来讲是最好用的,即使不能免除刑事责任,也可以推掉部分责任。但是我认为同意其实是不能够保护个人信息的,同意就是一个形式。

  我关注现在最流行的趋势是放弃同意原则而走向行为规范,刚才我们讲了个人信息没有危害,但是使用是有危害的。但是你是不能完全放弃同意的,因为还是有一些敏感信息是不能动的。

  所以最终的个人信息保护的出路应该是同意加行为规范,同意不是一种权利,同意是对隐私的一种保护,是对敏感信息的控制,不是对所有个人信息的一种控制,这是符合现实的。我们的目标应该是先把同意做实、做有效,并对利用行为进行规范。行为规范是基础,违反行为惩处才是根本,个人救济上的权利如何实现?要有赋予个人救济性的权利,赋予数据控制人义务,政府进行监督。

  我研究了很多的外国法律,他们在讲个人信息保护的时候,没有把违法利用的问题放到这个里面。个人信息利用导致的社会危害的问题是《刑法》要解决的问题,这不是《个人信息保护法》的任务。

  我认为《刑法》应该管什么,其实《刑法》应该管的是泄漏以后。侵犯个人信息,用户是可以告,但是问题在于你的损害是什么?因为大家知道侵权认定,首先要证明你的损害就很困难。目前个人信息立法的定位存在偏差,立法简单粗暴不成体系,《刑法》越位,所以我们觉得《民法总则》应该给了我们一次深度思考个人信息保护理论,然后全面建立一个有效的保护我们个人权益的机会。

  最后,我认为这个讨论会非常及时,也希望我们共同努力,还原法律的本质,让我们每个人都能够得到保护。

http://dora6.net/gezhipeililun/118.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有