下载掌阅APP,畅读海量书库
立即打开
在美国传统数据立法的思路中,对数据财产权益并不重视,对于个人数据,以往多是通过扩大隐私权的解释范围来变通处理。但是,目前随着数据挖掘技术的不断研发与应用,数据财产利益越发受到重视,如何在立法上确认与保护财产利益成为美国越发关注的课题。
目前,美国仍未建立起综合全面的“个人数据保护法”,而是采用判例以及部门立法的方式规制个人数据的保护与流通,
表现为依据各种立法宗旨分别定义个人数据概念,但是其核心本质都是围绕“个人确认信息”而演变。
在立法形式上,美国采用分散与宽松立法,即采取公共领域与私营行业区分的立法模式,
在电信、金融、健康、教育以及儿童在线隐私等领域都有专门的数据和隐私保护立法。
关于数据的权益诉求,美国将焦点投向数据控制者对数据的控制权和用户的隐私权,如2020年1月1日正式实施的《加州消费者隐私保护法》(California Consumer Privacy Act,以下简称CCPA)以及华盛顿州、纽约州、新泽西州、伊利诺伊州等州相继提出的《华盛顿隐私法案》、伊利诺伊州HB2871号提案等。具体而言,原则上征引现有法案中关于个人隐私侵权的相关规定,以此解决信息主体在法律上的定位以及相关利益诉求,并以此为界限确定信息主体与数据控制者的行为边界,如前述法案对GPS数据、数据泄露通知、数据经纪人登记制度乃至更为综合的数据主体权利作出了不同程度的规定。这反映了美国对数据公共化的倾向。“数据流动的公共利益如果不是超越数据生产的私有权利,那么至少也等同重要,故美国沿袭传统的行业自治与竞争法规则,采用较弱的财产权利对数据财产利益加以规制。”
例如,在金融和信用信息领域,通过“opt—out”(选择退出)方式,鼓励金融集团对个人信用信息的共享;在医疗数据领域,不断完善《健康保险流通与责任法案》(HIPPA),明确向第三方提供医疗信息的安全标准,建立适应数字医疗产业发展需求的制度环境。
后随着互联网技术的发展,美国个人信息保护开始难以适应时代的发展要求。为了保持其在数字经济发展中的领先地位,占据互联网市场,并促进数据经济在全球化的继续拓展,美国对于数据财产权益的诉求开始变得强烈,并且在司法实践中逐渐认识到,若想保持数据经济的持续发展,对于个人信息不能定性为一种绝对性隐私权加以保护,否则将严重阻碍数据技术的发展,进而与数据经济发展规律相悖,由此,应该将隐私权规则适度变通。这种变化主要表现在:
第一,赋予信息主体以数据自决权。美国法通常是将个人信息纳入隐私权的保护范围,
而隐私权是一种消极的防御性权利。个人信息不同于隐私权的方面主要在于其具有一种自决利用的功能,个人信息自决权是指每个信息主体都有权决定是否将其个人信息交付并提供给他人、社会组织或国家机关利用的权利,这是一种前置性的积极预防保护措施。在网络环境中,数据控制者收集、利用个人信息成为一种必然,如果对个人信息一味地以传统隐私权功能加以保护,则网络活动无法开展,故由信息主体决定是否提供个人信息。在商业实践中,数据控制者通常在提供网络服务时,会附加用户协议、服务条款或隐私保护协议,将信息主体同意作为个人获取服务的必需条件,以此作为收集个人信息的合法性依据,即知情同意原则。美国最终认可个人信息自决功能,并较早确立了知情同意原则。
第二,弱化隐私权保护范围与侵权标准。在传统隐私侵权中,侵权行为通常需要具备“高度侵犯性”与“隐蔽性”。根据敏感性标准,个人信息分为绝对隐私的个人信息、敏感个人信息与一般个人信息,对于敏感个人信息与一般个人信息的收集与利用,大多数信息主体并不知情,这种情况似乎也并不能够对个人造成“高度侵犯”的困扰,结果也不能认定为隐私侵权。隐私一般具有隐蔽性,即个人应该保有一个不被他人侵扰而享受私密生活的空间。而个人信息存在于网络中本身就具有公开性,随着互联网技术的发展,个人信息的范围也在不断地拓展,个人信息的应用成为大势所趋,如若将个人信息绝对地以传统隐私权作为保护的基础,将为数据控制者收集和利用数据带来困难。
欧盟对个人数据的保护利用规制起步较早,始于20世纪80年代。1981年,欧洲理事会发布的《关于个人数据自动化处理的个人保护公约》(又被称为108号公约),被认为是最重要的个人信息保护的国际公约性法律文件。欧盟第一部有关个人数据保护的法律是1995年的《关于个人数据处理保护与自由流动指令》(下文简称95指令),95指令是《一般数据保护条例》(GDPR)的前身,包含了《一般数据保护条例》(GDPR)中的个人数据保护基本原则、访问权等内容,
但由于属于指令,故而欧盟成员国的执法机关无法直接使用,只能依据该指令颁布国内法。
在对个人数据流通利用的规制上,欧盟采用了二分法的进路,将匿名化处理后的个人数据界定为“非个人数据”,进而分别对“个人数据”和“匿名化数据(又称非个人数据)”设置条件不同的保护与流通规则。
《一般数据保护条例》(GDPR)与《非个人数据自由流动框架条例》是目前欧盟数据保护规则体系的两大基石。
前者针对“个人数据”(Personal Data),后者适用于“非个人数据”(Non-personal Data)。
从《一般数据保护条例》(GDPR)的角度来看,其更加注重对个人数据生产者权利的保护,将个人的人格尊严提升至较高的层面,因而其采用的是赋权与行为规制并存的模式(混合模式)。它的出发点是对人格尊严的维护,其主旨在于:“保护自然人的基本权利和自由,尤其是自然人的个人数据保护权。”在第三章中,立法者赋予了数据主体多项基于人格权而产生的权利,包括知情权、访问权、更正权、删除权、限制处理权、可携带权等。
以上权利极大地提升了数据主体对数据的控制权,但对数据控制者、数据处理者的权利未做充分且明确的规定,也没有确立个人数据具有财产性权利(益),对数据开发者行使个人数据上的财产权益造成了种种限制。
此外,为了进一步提高匿名化的门槛,将更多的数据纳入个人数据范围加以保护,
《一般数据保护条例》(GDPR)引入了假名化的概念:以该方式处理个人数据,使得在不使用附加信息的情况下,个人数据无法指向特定数据主体,但前提是此类附加信息应单独保存,并受技术和组织措施的约束,以确保个人数据不会指向已识别或可识别的自然人。
同时,《一般数据保护条例》(GDPR)序言中明确指出,假名化后的数据无法单独识别到具体数据主体,但仍属于个人数据的范畴。假名化规范更加抽象和宽泛地定义了个人数据的覆盖范围,与其最大限度保护人格利益的立法宗旨相一致。
因此,《一般数据保护条例》(GDPR)对个人数据财产权益的保护是十分欠缺的,对数据主体赋予多项权利的同时间接地对数据的自由流通造成了阻碍,这也就导致了欧洲的数据产业相对于我国以及美国都是比较落后的。
对于匿名化后的“非个人数据”,欧盟为其设置了相对较为宽松的流通利用规则。与个人数据相比,非个人数据的流通无需经用户同意,且无需保证用户在个人数据流通过程中享有的各项权利。《非个人数据自由流动框架条例》为促进非个人数据的流通设立了三项规则:第一,保障非个人数据的跨境自由流动;第二,加强政府监管;第三,鼓励数据流通行业标准的设立。但是,随着技术的不断发展,越来越多的匿名化数据在经过处理后被证明同样能够识别到特定个体,匿名化标准沦为“马奇诺防线”,不仅在实践中难以真正实现,还会导致一些数据控制者借助劣质的匿名化逃避法律责任,加大了数据流通中个人隐私损害的风险。
近年来,有感于欧洲大陆互联网经济的落后与本土大型数字企业的缺失,基于促进数据流通和发挥数据效益、为数据经济创造良好环境的初衷,欧盟开始采取措施促进个人数据的流通利用,赋予个人数据非专有性,并借此打击海外互联网巨头平台以扶持本土企业的崛起,多家企业先后因数据垄断而遭受处罚和反垄断调查。2020年2月19日,欧委会发布的《欧盟数据战略》指出,支持个人在使用中小企业产生的数据方面行使其权利,提高《一般数据保护条例》(GDPR)第20条数据可移植条款的适用。此外,考虑制定个人数据应用程序提供商或个人数据空间提供商等新型数据中介机构的规则,确保它们发挥中立经纪人的作用。
2020年11月25日,《欧洲数据治理条例》出台,指出要加强面向企业、私人部门的数据共享,解决数据资源分散、企业获取困难、敏感信息共享方式不明确等问题。
2020年12月15日,欧盟委员会公布了《数字市场法案(草案)》,旨在增强欧盟数字单一市场的竞争活力与创新能力,缓解大型在线平台及其用户之间的权利不平衡,保障以平台数据流动与共享为目的的平台互操作性,推动平台用户在多个平台跳转和选择。根据《数字市场法案(草案)》提议的事前监管框架的黑名单与白名单做法,除非数据可供活跃在同一商业活动中的其他在线平台访问,否则大型在线平台将被禁止使用在其平台上收集的数据。政府授权的数据访问除了向竞争者开放以外,也建议向政府部门、研究人员、第三方审计人员开放,保证数据价值的开发与公平使用。根据该法案,担任“守门人”的大型在线平台须遵守以下规则:(1)不能阻止第三方卖家访问“守门人”收集的关于客户的重要信息;(2)不能限制其他平台方访问或采用其在使用大型在线平台时提供、接收或生成的数据;(3)必须采取适当的必要步骤,增强数据的可移植性或增强互操作性,从而使得其平台的企业用户和消费者能够同样使用其他平台。