注释: [1]代表性的论述,参见罗昆:《个人信息权的私权属性与民法保护模式》,《广西大学学报(哲学社会科学版)》2015年第3期,第88页以下。 [2]代表性的论述,参见刘德良:《个人信息的财产权保护》,《法学研究》2007年第3期,第80页以下。 [3]代表性的论述,参见蒋怡:《论个人信息权在民法中确立的必要性》,《昆明大学学报》2008年第4期,第5页以下;李伟民:《“个人信息权”性质之辨与立法模式研究——以互联网新型权利为视角》,《上海师范大学学报(哲学社会科学版)》2018年第3期,第66页以下。 [4]本文所称的“隐私”或“隐私权益”并不等同于民法上的“隐私权”,本文使用的“隐私”或“隐私权益”是一个大隐私的概念。当下,“隐私”或“隐私权益”已成为全球互联网与信息技术领域的通用术语。包括中国在内的各个国家的网站和手机APP,在阐述其个人信息保护政策时,使用的都是“隐私”或“隐私政策”,而非“个人信息政策”这样的表述。 [5]代表性的论述,参见严鸿雁:《论个人信息权益的民事权利性质与立法路径——兼评〈个人信息保护法〉(专家建议稿)的不足》,《情报理论与实践》2013年第4期,第43页以下;张里安、韩旭至:《大数据时代下个人信息权的私法属性》,《法学论坛》2016第3期,第119页以下;王晓芬:《个人信息的法律属性及私法保护模式探究》,《河南财经政法大学学报》2016年第5期,第64页以下。 [6]See Samuel D.Warren & Louis D.Brandeis, The Right to Privacy,4 Harv.L.Rev.193(1890). [7]See William L.Prosser, Privacy,48 Calif.L.Rev.383(1960). [8]代表性的论述,参见方新军:《一项权利如何成为可能?——以隐私权的演进为中心》,《法学评论》2017年第6期,第111页;前引[5],张里安等文,第123页。 [9]代表性的论述,参见杨惟钦:《价值维度中的个人信息权属模式考察——以利益属性分析切入》,《法学评论》2016年第4期,第68页以下。作者指出,随着美国“社会的发展和学说的跟进,在私法领域内隐私权被赋予了更加丰富的内涵,扩充为信息隐私权、空间隐私和自我决定的隐私”;60、70年代后,“美国的隐私权体系从防御性的权利向进取性的权利发展,强调主体对自身信息的支配、控制与决定”。 [10]Alan Westin, Privacy and Freedom, New York: Atheneum,1967, p.7. [11]代表性的论述,参见前引[5],张里安等文,第122页以下;齐爱民:《拯救信息社会中的人格》,北京大学出版社2009年版,第77页;彭礼堂、饶传平:《网络隐私权的属性:从传统人格权到资讯自决权》,《法学评论》2006年第1期,第57页以下。 [12]代表性的论述,参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第43页以下;洪海林:《个人信息的民法保护研究》,西南政法大学2007年博士论文,第162页;杨咏婕:《个人信息的私法保护研究》,吉林大学2013年博士论文,第415页以下。 [13]代表性的论述,参见王鲁东:《个人信息权法律保护探析》,《中共青岛市委党校(青岛行政学院学报)》2008年第10期,第93页以下;凌学东、鞠晔:《网络消费者个人信息综合保护机制研究》,《兰州学刊》2016年第8期,第157页以下。 [14]《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》(1988年通过,已于2008年12月14日部分废止)第140条规定:“以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。以书面、口头等形式诋毁、诽谤法人名誉,给法人造成损害的,应当认定为侵害法人名誉权的行为。” [15]代表性的论述,参见常健:《论人格权法(编)中的个人信息权的制度完善——评〈中华人民共和国民法人格权编(草案)·民法室室内稿〉相关规定》,《四川大学学报(哲学社会科学版)》2018年第3期,第32页以下。 [16]See Arthur R.Miller, The Assault on Privacy: Computers, Data Banks, and Dossiers, Ann Arbor, MI: University of Michigan Press,1971. [17]http://www.privacilla.org/government/hewreport.html,2018年11月3日最后访问。 [18]在此之前,美国国会已经通过了公平信用报告法(1970)。该法规定,消费者保护机构评定信用以获取贷款和保险,必须遵循某些信息保护的规则,尽管这一法案尚未提出个人可识别信息的概念。 [19]20 U.S.C.§1232g (2006). [20]5 U.S.C.§552a (2006). [21]See Allyson W.Haynes, Online Privacy Policies: Contracting Away Control over Personal Information?,111 Penn St.L.Rev.587,593(2007). [22]See Michael D.Scott, The FTC, the Unfairness Doctrine, and Data Security Breach Litigation: Has the Commission Gone Too Far?,60 Admin.L.Rev.127,130-31(2008). [23]前引[10],Westin文。 [24]威斯丁在著作中提及沃伦与布兰代斯《隐私权》之处,参见前引[10],Westin文,第346页,第348-349页,第355页。 [25]在这个意义上,可以说威斯丁对于隐私的界定标志着现代隐私法的诞生。威斯丁去世时,《纽约时报》撰文悼念,认为威斯丁“几乎以一人之力创立了隐私法”。See Margalit Fox, Alan F.Westin, Who Transformed Privacy Debate Before the Web Era, Dies at 83, N.Y.Times, Feb.23,2013, at D7. [26]对于此案的介绍,参见[德]迪特尔·梅迪库斯:《德国民法总论》,邵建东译,法律出版社2013年版,第805页以下。 [27]在德国法律理论上,这被称为“第三人效力理论”。对此理论的深入分析,参见陈新民:《宪法基本权利及对第三者效力之理论》,载陈新民:《德国公法学基础理论》上册,法律出版社2010年版,第349页以下。 [28]Federal Constitutional Court, BGHZ 26,349, quoted from Paul M.Schwartz and Karl-Nikolaus Peifer, Prosser’s Privacy and the German Right of Personality: Are Four Privacy Torts Better than One Unitary Concept?,98 Cal.L.Rev.1925(2010). [29]Federal Constitutional Court, BVerfGE 34,269,281, quoted from Id. [30]前引[11],彭礼堂等文,第57页。 [31]同上文,第58页。 [32]杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期,第26页。 [33]See J.Lee Riccardi, The German Federal Data Protection Act of 1977: Protecting the Right to Privacy?,6 B.C.Int’l & Comp.L.Rev.243,248(1983). [34]See Colin J.Bennett & Charles D.Raab, The Governance of Privacy: Policy Instruments in a Global Perspective, Cambridge, MA: MIT Press,2006, p.127. [35]Council of Europe, Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Jan.28,1981, E.T.S.108, available at http://conventions.coe.int/'IYeaty/en/Treaties/Html/10,2018年11月3日最后访问。 [36]《一般数据保护条例》的多项条款都表明了这一点,例如第2条第2段c项规定,“自然人在纯粹个人或家庭活动中所进行的个人数据处理”不适用《一般数据保护条例》。 [37]Case C-139/01 ?sterreichischer Rundfunk and Others [2003] ECR I-4989. [38]Case C-275/06 Promusicae [2008] ECR I-271. [39]Case C-73/07 Tietosuojavaltuutettu v.Satakunnan Markkinap?rssi OY, Satamedia [2008] ECR I-09831. [40]Case C-28/08 European Commission v.Bavarian Lager [2010] ECR I-6055. [41]See Diane L.Zimmerman, Requiem for a Heavyweight: A Farewell to Warren and Brandeis’s Privacy Tort,68 Cornell L.Rev.291,362(1983). [42]See James Q.Whitman, The Two Western Cultures of Privacy: Dignity Versus Liberty,113 Yale L.J.1151,1204(2004). [43]Lawrence M.Friedman, Name Robbers: Privacy, Blackmail, and Assorted Matters in Legal History,30 Hofstra L.Rev.1093,1125(2002). [44]See Daniel J.Solove, The Digital Person: Technology and Privacy in the Information Age, New York: New York University Press,2006, pp.47-55. [45]有关美国侵权法路径在保护隐私权益方面的不足,参见Vera Bergelson, It’s Personal but Is It Mine? Toward Property Rights in Personal Information,37 U.C.Davis L.Rev.379,406-408(2003)。 [46]对于这种流言、信息流通与科技发展的分析,参见Daniel J.Solove, The Future of Reputation: Gossip, Rumor, and Privacy in the Internet, New Haven, CT: Yale University Press,2007。 [47]参见前引[32],杨芳文,第30页。 [48]就这一点而言,2017年通过的民法总则是具有智慧的。第110条中明确规定了自然人的隐私权,而对于个人信息,则仅仅是在第111条中写入了“自然人的个人信息受法律保护”,并未将此明确定义为一种可以对抗不特定第三人的个人信息自决权。未来对于民法总则的解释有必要继承这一智慧,避免以泛化的私法权利思维来解释第111条。参见王利明主编:《中华人民共和国民法总则详解》,中国法制出版社2017年版,第465页。 [49]对于个人信息财产权的主张者而言,这一结论看上去是违反逻辑和直觉的。在他们看来,从侵权责任转换到财产责任,实际上赋予了当事人以更多“自决权”或谈判的权利,从逻辑上讲,应当可以更好地保护隐私权益。然而,个人信息财产权主张者的乐观预期要想实现,必须满足一个前提条件:个人对于隐私的自我管理能够有效的进行。See Lawrence Lessig, Privacy as Property,69 Social Research 247(2002). [50]Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press,2009, p.105. [51]有的学者甚至认为,格式化的隐私条款或隐私公告对于个人来说几乎都是“形同虚设”。See George R.Milne & Mary J.Culnan, Strategies for Reducing Online Privacy Risks: Why Consumers Read (or Don’t Read) Online Privacy Notices,18 J.Interactive Marketing 15,20-21(2004). [52]See Omri Ben-Shahar & Carl E.Schneider, The Failure of Mandated Disclosure,159 U.Pa.L.Rev.647,671(2011). [53]See Richard H.Thaler & Cass R.Sunstein, Nudge: Improving Decisions About Health, Wealth, and Happiness, New Haven, CT: Yale University Press,2008, p.9. [54]See Alessandro Acquisti & Jens Grossklags, What Can Behavioral Economics Teach Us About Privacy? in Digital Privacy: Theory, Technologies and Practices, Acquisti, De Capitani di Vimercati, Gritzalis, Lambrinoudakis (eds.), Auerbach Publications,2007, p.363. [55]See Bianca Bosker, Facebook Privacy Policy Explained: It’s Longer than the Constitution, Huffington Post, Apr.8,2014. [56]See Lorrie Faith Cranor, Necessary But Not Sufficient: Standardized Mechanisms for Privacy Notice and Choice,10 J.Telecomm.& High Tech.L.273,274(2012). [57]学者对于改善隐私政策的建议很多,有学者主张必须将企业的隐私政策和企业商标进行捆绑,也有学者主张应当要求企业的隐私政策变得极具警示性,采取类似香烟广告上的警示。See Paul Ohm, Branding Privacy,97 Minn.L.Rev.907(2013); M.Ryan Calo, Against Notice Skepticism in Privacy (and Elsewhere),87 Notre Dame L.Rev.1027,1050-55(2012). [58]《一般数据保护条例》(679号条例),第7条第2段。 [59]当然,在大数据时代,这一预期或目标能否实现以及在何种程度上实现,是一个复杂的问题。有学者认为,这一预期或目标无法实现,因为在大数据时代,通过各种信息的交叉比对,辨识个人信息已经非常容易,即使通过各种匿名化的技术处理数据,也不足以防止人们通过相关信息识别个人。有学者区分了已识别的个人信息和可识别的个人信息,认为应当将前者视为信息隐私法保护的首要对象,而对后者则应采取不同级别的保护。两种观点分别参见Paul Ohm, Broken Promises of Privacy,57 UCLA L.Rev.1701(2010); Paul M.Schwartz & Daniel J.Solove, The PII Problem, Privacy and a New Concept of Personally Identifiable Information,86 N.Y.U.L.Rev.1814(2011)。 [60]对比美国和德国,会发现美国对于“场景”要更为尊重,美国的《消费者隐私权利法案》直接将“尊重场景”视为核心原则。必须注意的是,尽管欧洲《一般数据保护条例》总体上采取了一种强化数据主体控制的进路,其条文也体现了场景化期待的思路。例如,《一般数据保护条例》第6条第4段规定,当数据主体没有明确表示同意,判断数据处理是否合法,应当考虑“个人数据收集时的目的与计划进一步处理的目的之间的所有关联性”,“个人数据收集时的场景,特别是数据主体与控制者之间的关系”。对于美欧在此问题上的区别,可参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期,第95页以下。 [61]See Robert C.Post, The Social Foundations of Privacy: Community and the Self in the Common Law Tort,77 Cal.L.Rev.957-998(1989). [62]参见前引[50],Nissenbaum文,第67页以下。 [63]See Ari Ezra Waldman, Privacy as Trust: Sharing Personal Information in a Networked World,69 U.Miami L.Rev.559(2015). [64]参见前引[41],Zimmerman文。 [65]正如有的学者所言,分析隐私必须将隐私放在“信息共享的场景下,用社会学的人际信任的原则,而不是基于权利教义的自主和选择框架”。参见前引[63],Waldman文,第560页以下。国内研究中类似的观点,参见高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期,第84页以下。 [66]类似的立场,参见周汉华:《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,《法学研究》2018年第2期,第3页以下。在域外的个人信息保护中,这一思路也得到了体现。例如,欧洲《一般数据保护条例》第32条规定了与风险相称的技术与组织措施:“在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的场景与目的之后,以及处理给自然人权利与自由带来的伤害可能性与严重性之后,控制者和处理者应当采取包括但不限于如下的适当技术与组织措施,以便保证和风险相称的安全水平。”第35条规定了风险评估:“当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、场景与目的后,控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。” |