下载掌阅APP,畅读海量书库
立即打开
本书尝试回答如下问题:
欧盟隐私和数据保护法律框架在保护个人权利与自由免遭大数据负面影响方面的潜力和局限性如何?
要回答这个问题,首先,要理解大数据的含义以及它可能对个人权利与自由造成的潜在负面影响。其次,需要理解欧盟隐私和数据保护法律框架的构成及其在大数据领域的功能机理,从而为实现对前述法律框架在保护个人权利和自由免遭负面影响的法律分析奠定基础。本章第二节第五部分将阐明回答问题的方法。
本书研究的起点是对何谓大数据、它带来了什么以及对个人权利和自由产生了何种影响的解释。大数据始于数据收集,这通常会引发对隐私和数据保护利益的关注。但随着全社会对大数据利用的不断增加,其他权利和自由的行使在整个大数据流程中也可能受阻。大数据对个人生活的影响应当被视为一种连锁反应:它通常开始于对数据保护和隐私权利的影响,但后续影响不断延伸并及于其他个人权利和自由,而欧盟隐私和数据保护法律框架有可能对这些权利和自由提供保护。正因如此,加之隐私和数据保护被公认为是大数据的有力规制框架,欧盟应对大数据对个人权利和自由负面影响的隐私和数据保护法律框架呈现的潜力和局限性在本书研究的论题范围之内。对欧盟隐私和数据保护法律框架的分析聚焦于基本权利和《通用数据保护条例》(General Data Protection Regulation,GDPR),以便评估欧盟隐私和数据保护法律框架是否全面解决了大数据对个人权利和自由产生的危害。通过对这些问题的回答,我们将得出有关欧盟隐私和数据保护法律框架在保护个人权利和自由方面的潜力和局限性的结论。最后一章对这一结论进行了补充,探索如何修改数据保护法以及弥补个人权利和自由保护缺陷的替代性方案。
本部分阐明本书的理论贡献和社会相关性。从本质上讲,本书填补了既有文献的两个空白:一是缺乏对大数据的全过程分析(包括对其多重影响的呈现);二是缺乏对欧盟隐私和数据保护法律框架在解决大数据负面影响的潜力和局限性的细致分析。通过这些分析,如下问题得以展现:当下的信息隐私范式是否为大数据对个人的负面影响提供了全面合理的解决方案?这一问题及其答案揭示了本书的社会相关性:欧盟隐私和数据保护法律框架的潜力有限,如果在大数据时代仍有保护个人权利与自由的必要,那就必须设法解决这一问题。
理论贡献始于对大数据概念的深入考察,本书将其视为一个包含许多不同行为和效果的流程。“大数据”这个术语相当复杂,其定义取决于使用环境,即使是在数量不断增长的学术文献中,它的含义也千差万别。此外,“大数据”时常被用来吸引大众注意力,毕竟,它是一个非常流行的术语,似乎可以为那些声称自己是专家的人带来财富和关注度。对这一术语的实际分析、大数据的发展演进,以及它对个人生活带来的影响,在法学文献中通常没有得到充分探讨。人文学科的研究关注大数据的影响,近年来,越来越多的法学文献将大数据与歧视等单一的负面影响和法律分析相结合。
本书在这一领域的贡献在于,它整合了对大数据所包含的不同行为的深入分析,以及其对个人权利和自由产生影响的全面分析。在法学领域,大数据常被等同于个人数据处理,而欧盟隐私和数据保护法律框架的适用性不容置疑。这一分析勾勒出了作为一种流程的大数据更加精确的图景。流程论的观点表明,大数据由许多不同的行为和效果组成,并引发出有关大数据问题应该如何处理的两个结论。其一,法律适用于这些行为的方式并不相同,它们不能被当然归并到“大数据”和隐私与数据保护法既有范畴之中。其二,并非所有负面影响都可以用隐私和数据保护来描述。大数据还会影响其他个人权利和自由,并且可能对个人的未来生活产生一系列影响。
本书的社会意义主要在于探索大数据对个人生活已经产生以及可能产生的负面影响。在当下的信息社会,公共和私人组织越来越依赖大规模数据收集和分析作为决策的基础。对数据的收集和分析以及对由此生成知识的应用可能对个人产生实质性影响,但这些过程的发生在很大程度上超出了个人的认知范围。大数据处理的不透明性、事关重大的基本价值,以及较之于法律改革的步伐而更为迅猛的技术发展速度,都促使我们对大数据的发展演进、造成的问题以及如何解决这些问题进行深入分析。
综上所述,长期以来,法学文献中关于大数据的讨论几乎都是在隐私和数据保护的范围内进行的(尽管自本书的研究开始以来,另辟蹊径的学术文献有所增加)。由于大数据项目经常收集和处理个人数据,大数据被认为是一个需要数据保护法解决的问题。欧盟范围内的法律争议主要集中在大数据给当前的数据保护原则和立法带来的压力。通过更全面地讨论大数据潜在的负面影响以及更细致地分析大数据的发展演进及缘由,本书阐明:对隐私和数据保护法规制大数据的定位可能不利于在大数据环境下对个人权利和自由的保护。这就是本书的学术价值和社会意义。
本书是关于保护个人免遭大数据负面影响的研究,它的起点是欧盟1995年《数据保护指令》(Data Protection Directive)鉴于条款第2条所阐明的理念:
数据处理系统旨在为人类服务;不论自然人的国籍或住所如何,数据处理系统都必须尊重其基本权利和自由,特别是隐私权,并为经济和社会进步、贸易扩展及个人福利作出贡献。
将这一理念引入大数据环境下个人保护的研究领域和问题视角,前述引文中的数据可以被替换为大数据:大数据的设计和使用应尊重基本权利和自由,并考虑个人福利,最终无法为人类服务的大数据使用方式将会被认为是有害的,且足以限制使用大数据的自由。
因此,大数据现象和当前的法律框架从个人及其权利和自由的角度进行了审查。这种对个人及其(基本)权利的刻意关注,并不是对公司、政府或其他组织在大数据领域合法利益的排斥,也不是对大数据可能产生的积极影响的漠视。然而,它确实影响了人们对大数据的态度:由于本书只关注个人权利和自由,因此各章对大数据、大数据的使用者及其负面影响进行了批判性审视。从学术角度看,这是一种一以贯之的研究视角且对大数据的一般性论述具有附加价值。在当前的监管框架下,公司、政府和其他组织被允许如何使用大数据是一个重要问题(尤其是考虑到大数据、创新和经济增长之间的联系),许多学者和从业者已在研究这个问题。本书的目的不是从那些希望参与大数据的人的角度,而是对大数据的边界何在进行总结性概述。既有研究聚焦于个人、个人权利和自由,因此较少关注大数据对整个社会可能产生的有害后果以及可能对社会整体特别有价值的权利造成的危害,比如大数据可能通过限制言论自由等方式对民主产生的影响。
这项研究的地域范围仅限于欧盟。因此,它关注的是适用于欧盟的法律,但有关大数据影响的理论与实践讨论在欧盟和非欧盟之间并非泾渭分明,事实上这些讨论现在或未来都可能与欧盟境内的问题相关。在基本权利层面,鉴于欧洲委员会(the Council of Europe,CoE)
和欧盟制定的法律规范的重要性,相关的基本权利自然被涵盖在内。
这些法律规范包括基本权利法律文本、《欧洲人权公约》(the European Convention on Human Rights,ECHR)和《欧盟基本权利宪章》(the Charter of Fundamental Rights of the European Union,CFREU),它们可以被超国家法院(supranational courts)援引。
位于卢森堡的欧盟法院负责审理与《欧盟基本权利宪章》有关的案件。根据《欧洲人权公约》发起的申诉可向设在斯特拉斯堡的欧洲人权法院提出。
欧洲关于隐私和数据保护的概念以及数据保护的次级法律框架
主要是在这些法院的影响下发展起来的。
本书的研究重点将首先投向大数据的商业应用,因为较之于数据处理的规模,商业机构独立监管的能力有限且对个人权利的干预预期普遍存在。用于刑事调查、政府或情报机构监控的大数据与适用于商业环境的法律和问题并不相同。主要区别在于,在这些情况下存在对基本权利有直接影响的纵向关系,而对公司而言,对基本权利提供保护是政府或欧盟的权限。因此,刑事调查和监控不属于本书的研究范围。
本书研究的问题包含了一些值得进一步解释的概念,它们具有多重解释面向,对它们的概念化(conceptualisation)影响了研究范围的确定。这些概念是“大数据”和“个人权利与自由”,后者包括源自欧洲委员会和欧盟司法管辖区的相应权利。第二章详细阐述了大数据的概念、解释了大数据的起源、实践样态以及对个人的积极和负面影响。在此仅简要解释大数据,以作为下文关于个人权利和自由受大数据影响章节的基础。对“个人权利和自由”的解释更为详尽,因为它是评价当前欧盟法律框架和可能的替代解决方案的规范架构。该解释分为两部分:其一讨论“个人权利和自由”的基本原理和概念轮廓,其二对所选择的权利和自由进行规范说明。本节第五部分讨论了概念化背后的甄别和方法论取舍。
大数据是一个具有多重解释面向的术语,其含义根据使用人以及使用情境的不同而有所差异。当然,大多数定义具有一些共同特征,这使得对其进行一般性描述成为可能。在大数据中,数据被收集和分析,用作输入的数据通常构成个人数据,例如与可识别自然人有关的数据(见第四章),但这并未呈现事实的全貌。在许多大数据项目中,根本不需要处理个人数据,比如用气象数据来预测天气和气候。在获取和分析数据的基础上,从数据中提取信息,得出一般知识或模型和预测,在此基础上可对个体进行分类或聚合。共同的特征将它们汇集在同一群组,进而导致他们被包含或排除在某些决策之外,这些决策通常基于某个或(通常)更多的变量作出。因此,这些模型或预测以个人或群体为目标,抑或根据大数据中获得的知识作出一般性决策。尽管这些决定并不针对个人,但它们有可能影响下文讨论的个人权利和自由。在本书中,大数据被视为一个流程,而不仅仅是大量数据的集合。
与此同时,基于这种认知,它也可以被视为一种具有明显法律内涵(或偶尔缺乏法律内涵)的社会技术现象。
本书基于大数据对个人多重权利和自由的保护具有潜在负面影响这一前提。虽然对大数据的讨论往往集中在隐私和数据保护上,但需要说明的是,尽管这些权利具有内在价值并且对个人意义重大,但依然有更多的权利面临被侵害的风险。
“个人权利与自由”的内容在不考虑其程序语境的情况下源自基本权利的内涵。选择相应的个人权利与自由的依据是大数据可能对其产生的负面影响(第二章第五节将对此进行详细解释)。总之,这些个人权利和自由是规范框架,是构成理想保护的标准,其基础是基本权利,以此来检验未来关于欧盟在保护个人免受大数据负面影响的隐私和数据保护法律框架及可能的替代选择方面取得的结论。个人权利和自由的概念适用中所包含的内容也部分适用于某些权利和自由,如个人自治。下文将特别关注与这些方面有关的问题。因为第二章第五节的第二部分对大部分权利和自由在大数据环境中的相关性进行了讨论,因此本部分对它们的介绍较为简略,将更多关注其概念化。
个人自治可以被描述为“成就自我的能力、基于个人自主选择的理由与动机开展生活,而非操纵或扭曲的外部力量使然”,
[2]
或被概括为选择如何开展其生活的个人能力。
[3]
它是许多(若非全部)基本权利和自由的基础价值,《欧洲人权公约》中的隐私权对它格外关注。
[4]
个人自治被认为是保护隐私的一个基本原则,
[5]
它常常与(个人)自决相提并论,但是个人自治又不仅与个人隐私或《欧洲人权公约》中的基本权利有关。这也是数据保护的一个重要理据,同意和获取信息的原则旨在让个人控制其数据和处理后果就是例证。在德国,这种联系在宪法规定的信息自决权上显现无遗,它虽源于人格尊严,
但给予个人控制和自己有关的个人数据的权利。此外,个人自治是自由生活和建构个人身份的前提。在本书中,个人自治至关重要,因为它与个人自由有着密切联系,其重要性在于它是其他基本权利的基础,且大数据可能对它产生严重影响。
“隐私”和狭义层面的“数据保护”有所区别,尽管它们存在密切联系,但数据保护不同于隐私,而且在概念上,数据保护通常被认为是隐私的一个子概念,称为信息隐私或数据隐私。
[6]
然而,它们的确切定义与其他概念一样,取决于所用术语的具体领域;当隐私在法律、计算机科学或社会学中使用时,它的含义可能有所不同。甚至在同一领域内,也存在着不同解释。例如,由于国别差异,欧洲人与美国人对隐私的看法不同,此外,应用领域的不同也会产生影响,如地理位置隐私或信息隐私的区分。
对于本书而言,由于研究范围是适用于欧盟的法律,故没有必要对隐私的不同理论概念进行全面阐述。 [7] 在此,隐私和数据保护的规范概念来源于欧洲人权法院与欧盟法院对《欧洲人权公约》第8条、《欧盟基本权利宪章》第7条、第8条规定的隐私和数据保护基本权利如何适用于大数据的解释。下文将着重描述由这两个法院所解释的隐私与数据保护的概念,两者的范畴经常被混同,但这并不准确(尤其是在大数据环境下)。第三章详细分析了隐私权和数据保护的基本权利,通过欧盟次级立法界定了作为保护基准的欧盟隐私和数据保护规范概念的范围,并评估了其在纵向关系中的影响。
隐私保护尊重私人生活的权利,涉及范围很广。
[8]
私人生活指的是个人应该对其享有高度控制的个人领域(也可以存在于公共空间中)。
数据保护是指对与可识别个人有关的数据的控制或保护。
数据保护适用于个人数据被处理的场合,并不必然与隐私相关:亦即数据保护并不需要私人生活要素。
[9]
通过比较它们的历史和范围,隐私和数据保护的概念变得更加清晰。隐私是一项具有悠久历史的基本权利,而数据保护首次出现在成员国的国家立法、国际原则、欧盟次级立法中的时间并不久远,直到近几年才获得基本权利的地位。
[10]
隐私与数据保护之间的历史关系被比喻为宙斯与雅典娜,雅典娜从宙斯的头颅中现身,此后被视为宙斯的女儿。
二者的主要区别在于它们的主题:隐私比数据保护更广泛,因为它不仅涉及信息,也可以是关于物理空间或人们做出的某些选择。
但与此同时,隐私范围更窄,因为无论个人领域是否受到干扰,数据保护都是适用的。
例如,不必要的身体接触涉及隐私,但不在数据保护的范畴之内。另外,如果有人把自己的地址给了一家酒店,而这家酒店只是用它来发送账单,能够适用数据保护规则,但它通常不会成为隐私问题。综上所述,隐私的首要功能是保护个人空间免受干扰,而数据保护则具有更多的赋权性质;它更侧重于引导他人的行为和控制个人信息的流动。
[11]
关于数据保护的详细规则和原则可以在欧盟次级立法(如1995年《数据保护指令》和《通用数据保护条例》)以及成员国立法中找到。
隐私权和数据保护权可以单独适用,但并不相互排斥。
个人数据可以,而且经常被隐私所涵盖,但隐私本身并不包括数据保护。
[12]
要确定隐私是否受到威胁,起决定性作用的不仅仅是数据的识别特征:数据收集或处理的场景也很重要。很难准确地界定个人数据所在的实例与那些超出隐私范围的实例之间的界限。然而,基于欧洲人权法院的判例法,引发隐私权适用的场景因素包括:数据处理的规模、数据是否被系统地收集和储存、个人是否有合理的隐私预期、数据的敏感性如何,以及数据对个人私生活可以产生何种影响。
[13]
认为公共数据永远不属于隐私权的范畴是一种谬误。
[14]
此外,隐私和数据保护往往同时适用,即某种情形可能同时引起隐私和数据保护问题,这是因为数据保护的功能之一是保护隐私,当这一功能受到干扰时,隐私保护亦可适用。此外,数字化数据的体量不断增长,在线开展个人私生活也越发普遍。因此,触发隐私的情况将越来越涉及数据保护的内容。这一点在欧盟法院的判例法中非常明显,这两个概念在论及“个人数据隐私权”时逐渐趋同。
[15]
隐私权和数据保护权是具有各自内在价值且相互独立的基本权利,均需要保护。它们对私人生活和个人数据提供保护,亦对保护其他个人权利和自由提供支持,因此隐私权和数据保护权对这些权利和自由具有工具价值,本书称之为(隐私和数据保护的)“赋权功能”(enabling function),第三章和第四章对此有更详细的讨论。
《欧洲人权公约》第10条和《欧盟基本权利宪章》第11条保障言论自由。它由三部分组成:(1)持有意见的权利;(2)接收信息和思想的权利;(3)传递信息和思想的权利。因此,它不仅包括传播信息或表达自我的权利,持有意见与接收信息和思想的自由也受到言论自由的保护,对这些因素的干涉均构成对言论自由的侵害,此外,在言论自由的内涵中也包括保持沉默的权利。 [16]
在大数据环境下,当存在实际或潜在的寒蝉效应时,言论自由的保护最为重要,寒蝉效应意味着因为担忧对自己的人身产生危害,人们不愿意行使其言论自由的权利。这些危害从刑事责任到社会耻辱、身份盗用、政府监控的增加,或者只是感到尴尬,它们都可能导致自我审查。
寒蝉效应学说主要是在国家采取措施限制人们的自由和由此产生社会耻辱的情况下,在传播信息和思想的权利方面发展起来的(例如,新闻工作者对影响深远的反诽谤立法的回应)。
然而,多年来,有关寒蝉效应对获取信息、观点和持有观点的权利及其对最终表达的影响的关注,通常是在广泛的(隐性知识)政府监控的背景下发展起来的。
正是基于这样一种观点,即政府或公司的监视冷却了接收者收集信息和思想的过程,亦即由于感觉到被监视,个人可能不愿意搜索特定的信息或表达己见。
对言论自由在个人接受信息环节的冷却,也会冷却其随后对信息和思想的自由表达。
此外,言论自由可能在提供有针对性的选择或信息,抑或操纵他人思想时面临威胁。在这两种情况下,根据个人遭受外部影响的严重程度,信息和思想的收集可能是不自由的。
最后讨论的个人权利是非歧视的权利。歧视是指在相似的情况下对相似的人作出区别对待。非歧视权是指当人们受到相对于他人的不利待遇时,以一种消极的方式产生差异。《欧洲人权公约》第14条和《欧盟基本权利宪章》第21条禁止基于种族、宗教、族裔或性别等理由的歧视。 [17] 从相关条款的具体表述来看,这一理由清单是非穷尽式的列举。 [18] 欧盟的次级法律有许多针对特定领域的反歧视条款,比如就业、福利和社会保障,以及获得公正裁判的机会,各成员国立法亦复如是。 [19]
歧视的范围可以用许多不同的方式来解释,本书采用了一个较为宽泛的概念,这使得讨论临界情况成为可能(比如区别不同人群之间被认为是不公平的,但并不一定是不合理的,以及加强社会中现有的不平等的措施),以免将讨论仅局限于在法律意义上对目标个体进行明确划分的歧视。第二章第五节第二部分对歧视的具体范围和歧视在大数据中如何发生进行了讨论。
本部分阐述对欧盟隐私和数据保护法律框架和大数据负面影响的检讨是如何进行的:采用何种方法,作了哪些选择,用哪些方法来回答基本问题。
本书针对欧盟隐私和数据保护法律框架与大数据负面影响的研究基于以下两个假设:其一,大数据对个人权利和自由具有(潜在的)负面影响;其二,数据保护法在保护个人权利和自由方面可以发挥作用。第一个假设基于对大数据影响的主流和科学著述的回溯。
经由这一回溯,对大数据可能产生的影响形成了多样化图景,包括许多可能被视为超越了隐私和数据保护权利范畴的有害于个人的后果。
第二个假设是基于对大数据法学文献的回顾。
我在2013年开始博士论文计划之时,从相应的文献综述观察到一个广泛的共识,即数据保护法是讨论如何应对大数据问题的起点,大数据处理个人数据的假设也不容置疑。数据保护在过去(以及现在)常常被视为解决欧盟大数据问题的唯一或主要法律工具。
基于这些假设,本书探讨了在保护个人权利和自由免受大数据负面影响方面,欧盟隐私和数据保护法律框架的潜力及局限性。本书研究的问题在本质上可以分为三个部分。第一,有必要确定什么是大数据及其对个人权利和自由的负面影响(第二章),个人权利和自由是充分(和必要)保护个人的基准。第二,必须分析在大数据环境下涉及保护私人生活和个人数据、其他特定的个人权利和自由的隐私权和数据保护权范围,以便评估在欧盟次级立法中实现这些规范需要何种保护。第三,评估哪些欧盟次级立法达到了保护的规范标准,即欧盟次级立法层面在多大程度上符合第二部分形成的隐私和数据保护基本权利的规范概念,以及其在涉及大数据对个人权利和自由消极影响的保护潜力如何(第四章)。
根据对这些问题的回答,可以得出一个有关本书主要论题的结论。这个结论说明了当前欧盟数据保护法提供了怎样的保护,以及在防范大数据的负面影响方面存在哪些缺陷。在隐私和数据保护基本权利规范性概念的基础上,结论部分进一步评估了涉及个人权利和自由的数据保护法的范围,即数据保护法在减少大数据负面影响方面的任务。得出这个结论(第四章)之后,基于数据保护法的应然范畴,本书审视了减轻大数据对个人权利和自由负面影响的替代性法律选择,进一步探讨了来自其他法律领域的替代性选择如何为结论提供补充,以及这些替代方案如何解决大数据对个人权利和自由的负面影响(第五章)。
从法律的内部视角出发,本书研究的问题大体上属于一个规范性问题。
它对欧盟隐私和数据保护法律框架在减轻大数据对个人权利和自由产生的负面影响方面的能力进行了评估,并回应了基于隐私和数据保护基本权利的规范性概念,以及这在多大程度上是当前欧盟法律体系的任务。
[20]
但是本书研究的问题包含许多描述性元素,并且由需要不同方法来回答的混合性问题组成。由于每个子问题采用的方法不同,下文将分别讨论研究论题的主要部分在方法论层面的考量。
第一部分回答了什么是大数据及其对个人权利和自由的(潜在)负面影响。它对应第二章对大数据的讨论,亦与上文中“个人权利和自由”一词的概念化有关。
大数据法律分析的关键和它可能给个人带来的问题,在于找到复杂性和简单化之间的平衡。这个论题很复杂,在某种程度上又难以捉摸,因为大数据在实践中有很多含义。然而,法律分析需要简化,一如规则的应用和设计需要具体事例;对于一个抽象的现象,既不能作明确说明,也不能加以规定。与此同时,(过于深入的)简化可能失之粗疏且对利害攸关的问题欠缺考虑。它会导致大数据对隐私和数据保护问题的负面影响不合理的减少,并且毫无保留地宣称欧盟隐私和数据保护法律框架作为一个整体适用于大数据。本书反对这两种假设。
为了对大数据进行规范和法律分析,同时对相应现象保持一种更加微观的视角,大数据被概念化为一个可分为三个阶段的流程,即获取、分析和应用。这种划分与人们普遍接受的大数据定义是一致的。此外,它的通用性足以容纳大数据项目的多样性。同时,它也足够具体,可以分析整个流程中发生的不同行为、对个人权利和自由存在的风险,以及法律框架如何适用于不同阶段。
在文献综述中,已经发现了大数据对个体可能产生的许多负面影响。该综述并不局限于法学著述;其他社会科学领域的研究也经常涉及大数据的负面影响。
“个人权利和自由”的概念可作为一个与负面影响相对应的框架,从而作为检验现行法律中隐私和数据保护法律框架的基准。本书阐述了从“个人权利和自由”中选定的五项权利和自由(个人自治、隐私、数据保护、言论自由和非歧视)。这一选择基于大数据和欧盟基本权利框架的文献中确定的负面影响而形成。
欧盟对个人提供多层次保护:基本权利或宪法层面的保护、欧盟次级立法的保护、成员国宪法和国家立法的保护。载于《欧洲人权公约》和《欧盟基本权利宪章》的基本权利对各国成员一体生效。
无论基本权利的起源及其道德正当性如何,本书所研究的个人权利和自由是在欧洲的基本权利公约中庄严宣示,或者可以从中衍生出来的。在这种对待法律的方式下,存在着一种个人假设,即基本权利和自由(包括尊重隐私和保护个人数据)具有价值,保护它们是实现个人自由的先决条件。
[21]
这些个人权利和自由大多与《欧洲人权公约》和《欧盟基本权利公约》所保护的某项基本权利相对应,它们都以欧洲人权法院和欧盟法院的判例法为基础。由于这些基本权利条款原则上是针对成员国的,因此一般不适用于私主体之间的关系(例如社交网站和个人用户的关系)。
这意味着当政府参与影响个人的大数据项目时,个人在其保护范围内,但当他们面对的是私主体时,情况就有所不同了。然而,国家有义务保护个人基本权利和自由,不管规则与程序如何,个人仍享有应受保护的基本权利。此外,《欧洲人权公约》和《欧盟基本权利宪章》可能对私主体之间的纠纷产生影响。积极义务学说就是一个例子,这种积极义务已被下文所提到的大多数权利所接受。此外,尽管《欧盟基本权利宪章》的完全横向影响尚未被正式接受,但它影响了私人组织之间的关系,因为欧盟法院在解释和决定欧盟次级法律时考虑了基本权利。
[22]
伪横向影响的事例表明,这些个人权利应受保护(不论其针对国家还是私人组织)。保护个人权利和自由非常重要,这与发起大数据项目的主体性质无关,因为将保护的必要性取决于参与者是公共机构还是私人组织与当下的数字现实不匹配。公共机构投资大数据,但在数据收集、投资和市场力量以及处理能力等方面,商业机构胜过政府。
个人有时要面对无处不在的私人组织,这些组织在某些方面与国家一样强大,国家力量是基本权利背后的最初关切。个人在商业环境中也需要类似的权利和自由保护(比如通过有效和充分的保护性立法),否则隐私权或非歧视的权利等概念就会成为空谈。因此,本书对“个人权利和自由”进行了宽泛解释。人们不应将其视为在欧洲法庭上个人与私主体之间必然可强制执行的积极权利,而应视为与个人自由密不可分的规范性概念。
本书的第二部分(第三章)回答了隐私权和数据保护权的范围这一问题。本书的最终目的是展示隐私权和数据保护权在大数据对个人权利和自由的负面影响方面能够和应该保护什么。
隐私权和数据保护权的范围是在欧盟隐私和数据保护基本权利的基础上阐明的。虽然有许多宪法文本保护隐私权或类似权利,但本书的研究仅限于欧盟的隐私权,因此本章分析欧盟和欧洲委员会管辖权范围内的这些权利。《欧洲人权公约》和《欧盟基本权利宪章》是欧盟最重要的个人基本权利规范文本,主要是因为它们包含了个人可以对国家行使的权利,其中包括在超国别的欧洲人权法院和欧盟法院提起相应诉讼的权利。
《欧盟基本权利宪章》是欧盟的基本权利条约,该宪章第7条的隐私权和第8条的个人数据权利受到保护。然而,仅仅分析《欧盟基本权利宪章》对形成隐私权和数据保护的规范概念尚有不足,原因有二。其一,所有欧盟成员国都是《欧洲人权公约》的成员国,
个人可以在欧洲人权法院成为原告,而国家可以成为被告,《欧洲人权公约》历史悠久的判例法在保护基本权利和自由方面极其重要。
[23]
其二,不能忽略对《欧洲人权公约》进行分析的第二个原因是教义的重要性及其与《欧盟基本权利宪章》之间的关系,例如《欧盟基本权利宪章》第52条第(3)款需与第53条结合阅读。根据前者界定的《欧盟基本权利宪章》权利的含义和范围,与《欧洲人权公约》相关权利相对应的内容一致。在例外情形中,当《欧盟基本权利宪章》的权利提供更广泛的保护时,以其界定的范围和意义为准。《欧盟基本权利宪章》第53条进一步解释,阐明了对其进行的解释不得限制或对《欧洲人权公约》所保护的基本权利和自由造成不利影响。因此,《欧洲人权公约》是欧盟保护基本权利的底线(而非上线)。不能孤立地看待《欧盟基本权利宪章》,因为它严重依赖于《欧洲人权公约》第8条所规定的并经欧洲人权法院解释的隐私权。
关于隐私和数据保护基本权利规范概念范畴的研究主要包括四个部分:《欧洲人权公约》和《欧盟基本权利宪章》的历史与解释;《欧洲人权公约》第7条、第8条以及《欧盟基本权利宪章》第8条的实质性的范围;对这些权利范围的比较,以便提炼出涉及大数据的隐私和数据保护基本权利的一般概念;对影响将规范性概念外推到次宪法层面的程序事项进行的解释。由于存在欧洲委员会和欧盟两个司法管辖区,所以本书使用比较法的方法来回答隐私和数据保护规范范畴的问题。
[24]
本书通过功能主义的方法,对欧洲委员会框架下的隐私权与欧盟框架下的隐私权和数据保护权分别进行了微观比较。
[25]
这意味着比较的焦点是权利的功能,而不仅仅是规则或法律条款。对权利的绝对比较将排除《欧盟基本权利宪章》第8条关于数据保护权利的规定,而至少个人数据保护的某些部分被认为能被隐私权和《欧洲人权公约》第8条所涵盖。
当比较基于《欧洲人权公约》的欧盟法院和欧洲人权法院的判例法时,由于欧盟法院频繁引用《欧洲人权公约》和欧洲人权法院的判例法,存在着混合两个司法管辖区的重大风险(特别是在起草《欧盟基本权利宪章》之前)。为了避免在描述阶段不小心将两个司法管辖区混淆,本书选择逐次分析,分别对两个司法管辖区进行充分和完整的讨论,最后对二者进行比较。
为了了解主要的发展和里程碑式的案例,并完成一般性描述部分,一般评注是使用和引用最多的文献来源。为了描述权利范围并分析涉及大数据的范畴,本书参考了两个法院的判例法数据库。
搜索范围包括根据隐私权和(或)数据保护权判决的案件,重点关注与个人数据有关的案件。这些案例的选择取决于它们与大数据流程的相关性,主要涉及个人数据或者讨论隐私或数据保护与其他基本权利和自由的相关性,同时设置了干扰范围。案例的选择排除两种情况,一种是违反了检索规则的案例,另一种是虽未违反检索规则,但超出了适用范围,或者设定的干扰被验证的情形。
每一部分对隐私权和数据保护权的分析都采用了法学研究的教义学方法。 [26] 先勾勒出两项基本权利条约的起源、解释和适用性,因为这些领域的一些特殊性对大数据环境下基本权利的概念化产生了重大影响。值得注意的是,随着时间的推移,这些文本的发展演进和两个法院的解释原则决定了相关权利是否能够适应社会的技术发展和变化。第二部分对基本权利实质性范畴的论述根据管辖权进行划分。这些内容包括两个部分:基本权利的描述性分析和大数据研究范围的关键部分。接下来分析权利、维持权利条款的三分结构以及法院对权利的解释。首先讨论与大数据相关的各个权利所保护的利益。随后将讨论侵权的范围和造成侵权的可能理由(只要这些侵权具有相关性)。关于范围的结论区分了大数据三阶段模型中的不同阶段。有关《欧洲人权公约》和《欧盟基本权利宪章》的章节都遵循这种结构,但是由于《欧盟基本权利宪章》的章节包含两项权利(《欧盟基本权利宪章》第7条和第8条),所以需要进行两次分析。本书将尽量减少两部分的重叠;有关《欧盟基本权利宪章》的部分请参阅《欧洲人权公约》部分的小节。在这一章的倒数第二部分,比较了两个司法管辖区的效果,并在此基础上对其在次宪法层面的程序性影响进行了分析。考虑到《欧洲人权公约》和《欧盟基本权利宪章》之间的差异,在本章的最后给出了大数据背景下欧洲基本权利层面上的隐私和数据保护的一般概念。
在分析时,既使用主要来源,即法律文本和判例法,也使用次要来源,即(学术)文献,同时坚守相应的法律层级要求。这种解释方法与本书所坚持的传统(民法)法源层次相对应,将法律、判例法以及学术文献等次要解释法源进行了层次区分。
这表明法律本身就是起点,例如《欧洲人权公约》第7条、第8条和《欧盟基本权利宪章》第8条。《维也纳条约法公约》(Vienna Convention on the Law of Treaties)的条约解释方法是用来解释法律的。
[27]
这意味着,必须根据这些条款在上下文中的一般意义,并根据《欧洲人权公约》和《欧盟基本权利宪章》的目标和宗旨以及两个法院在实践中对这些条款的适用情况来解释。
上下文是指相关条约的序言和附件以及与其有关的其他协定或文书。
在隐私权方面,欧洲委员会《关于数据保护的108号公约》(以下简称《108号公约》)
是一项“与条约有关的文书”,因此在解释《欧洲人权公约》第8条时必须予以考虑。额外的解释原则来自欧洲人权法院本身的判断及其创设的解释原则。
这意味着对欧洲人权法院和次级立法,例如对《通用数据保护条例》的解释,都是解释性语境的一部分。
[28]
如果判例法含糊不清,或者在解释法律时存在漏洞,可以利用学术文献等次级法源进行解释。
第三部分对欧盟次级数据保护法提供的保护进行了评估。首先,它评估了欧盟次级立法在减轻对第一部分描述的大数据对个人权利和自由的潜在负面影响方面的潜力和局限性,以回答大数据背景下数据保护法在保护个人方面的潜力和局限性。其次,将其提供的保护与第二部分所建立的隐私和数据保护权的规范概念进行比较,以评估欧盟数据保护法在基本权利下的任务是否缺失以及在何种程度上缺失。综上所述,这些分析为欧盟次级数据保护法在多大程度上保护了或应该保护个人权利和自由以应对大数据的负面影响提供了答案。
第三部分主要遵循上述的教义学方法,包括法源的层次结构。作为未来欧盟数据保护法的总则,《通用数据保护条例》的文本是本章的出发点。虽然《通用数据保护条例》已生效,但由于现有的问题在《通用数据保护条例》的范畴下可能不复存在,而1995年《数据保护指令》的规则很快会失效,因此本书的分析并不是基于现行的1995年《数据保护指令》而展开的。
分析的重点完全放在欧盟的法律和原则上;分析中并未考虑到成员国的执行情况。如前所述,法学研究的教义学方法用于法律分析和评价。
[29]
为了回答欧盟的数据保护法在多大程度上可以减少大数据对个人权利和自由的负面影响这一问题,该章将首要关注欧盟数据保护法的适用范围和实质性规范,分析数据保护法如何适用于大数据,继而评估实质性规则的保护潜力。在大数据环境下,数据保护的范围引发了许多问题。例如,数据保护是否适用于大数据流程的所有阶段?抑或大数据的某些部分已然超出了数据保护自身的范畴,因为法律标准决定了其适用性?对最后一个问题的积极回应意味着,数据保护不足以保护个人免受大数据的负面影响。因此,对数据保护适用范围的探究至关重要:如果事实证明,数据保护法没有完全涵盖大数据流程,其规则也并没有解决这些问题,那么就迫切需要探索通过其他(法律)解决大数据问题的办法。当数据保护法适用于大数据时,问题就出现了:它的实质性规范在多大程度上保护了个人。为了论证的清晰,我们有必要在讨论中关注《通用数据保护条例》在保护大数据中个人权利和自由问题上最具潜力的方面。由于可能面临的大数据问题,自动化的个人决策规则、同意和数据处理限制最受关注。此外,《通用数据保护条例》的具体创新也颇受关注,以评价新的法规在多大程度上增加了欧盟数据保护法的保护潜力。鉴于该法律的实施与它在实践中的保护潜力有着千丝万缕的联系,这一主题构成了欧盟数据保护法讨论的最后一部分。
对欧盟数据保护法律框架的评估以分析它所提供的保护存在的缺陷而告终。基于这一分析,欧盟数据保护法在保护个人免受大数据对一般个人权利和自由的负面(潜在)影响方面的潜力和局限性的结论得以产生,并阐明在哪些方面需要额外的保护。这些结论与源自第三章的隐私权和数据保护权的规范概念相匹配,以考察隐私和数据保护的基本权利是否需要在欧盟次宪法层面进行不同的实施。根据这项评估,有必要通过其他替代性法律提供额外保护,这是第五章的主题。
第四部分综合考量大数据流程的阶段、现有法律框架的缺陷和替代性法律选择等问题。概括了变革欧盟数据保护法律框架的可能性,并讨论了解决大数据对个人权利和自由负面影响的可能的替代性法律。这部分的概述旨在提出各种选择,并排除那些不值得进一步研究的选择,以表明哪些选择值得期待,以及进一步讨论和研究的注意力最应投向哪里。虽然目的是展示各种可能性,但并非全面探索每一种选择;毋宁将其理解为展开进一步研究的可靠启迪,而非政策建议。
相关部分先提供建议的解决方案及其所涉及的缺陷和对应的大数据流程阶段的相关内容,然后根据其优缺点和可行性对解决方案进行评价。可行性主要着眼于教义方面和法律一致性是否符合第五章第三节第二部分的针对性解决方案,考察其是否可以实施以及能否在实践中得到支持, [30] 以及新的法律在体现了第五章第三节第三部分创新的较温和的解决方案是否必要和适当。在此必须澄清,虽然本书是从保护个人及其权利和自由的角度展开,但绝不应孤立地判断促进保护个人的解决方法。特别是要尊重他人的权益,包括大数据组织和整个社会的权益,这既有利于个人数据的处理,也有利于大数据项目的收益。可行性不高并不排除具体解决方案本身的可能性,但需要谨慎行事,而且需要考量利益平衡。如果较为温和的措施可以解决同样的问题,则会影响对建议方法的结论。