【中文摘要】在个人信息保护领域,场景理论有广泛的适用空间。该理论为海伦·尼森鲍姆首创,近年来在国际国内学术界都非常流行,是个人信息保护立法、执法与司法绕不过的理论。场景理论并不关注隐私定义之精确、完整,而是关注如何精确地、系统地描述激烈改变的性质。场景理论认识到隐私信息、个人信息的复杂性和差异性,也认识到了大数据、人工智能等新技术发展的快速性和复杂性,主张根据场景识别信息传输规则,体现了“不同情况不同对待”的差异对待规制思路,与经济法上的差异性原理具有相通之处,有助于保护社会公众的合理期待。我们在应用该理论时,不能形式化地应用,而要处理好普遍与特殊、安全与发展、守成与创新的关系。
【全文】
个人信息保护的场景理论创立于美国,集大成者为前纽约大学教授、现康奈尔大学教授海伦·尼森鲍姆(Helen Nissenbaum)女士。该理论近年来被引入我国,目前在我国学术界非常流行,也获得了不少赞誉,但大部分研究成果都只是对该理论简单提及,没有系统阐述。因此,有必要对该理论予以系统介评,以更好地扬该理论之所长,避该理论之所短。
一、场景理论的基本内容
(一)场景理论的理论渊源
个人信息保护的场景理论主要有两个理论渊源,一为罗伯特·波斯特的隐私的社群主义观点,一为政治理论学者沃尔泽的多元平等主义思想。此外,该理论还受社会学上的场域理论的影响。
波斯特的隐私的社群主义观点认为,规范隐私侵权的普通法所维护的社会规范,它们为人和社群所共同认同,因此也可称为“文明规则”(rules of civility)。构成侵权行为的前提假定是,违反了这些规范,也就损害了人格和人类尊严。隐私法实际上是在建构个人和共同体身份的“文明规则”,以保护共同体的“社会规范”。[1]也就是说,只有在社群共同体中,个人的合理空间或人格才具有实现的可能;普通法上的隐私侵权规范确定个人隐私的边界的目的,就是保护这些“社会规范”。[2]
沃尔泽的多元平等主义思想认为,对于分配正义而言,不存在一种单一的善和统一的平等作为分配规则,而应根据不同的分配领域的独特的规则进行分配。社会是由诸多分配领域构成的,每一个领域都由其内在的社会善(social good)来定义。社会善包括财富、政治、荣誉、商品、教育、安全、福利以及就业等。这种社会善是根据不同领域运行的不同标准进行分配的。比如,在教育领域,社会中的所有人只要具备一定的智力就必然会获得一定程度的基础教育,但是超出基本水平的教育或者说大学教育只能被分配给那些表现达到特定标准的人。在商品领域,是根据支付能力和偏好进行分配的;在就业领域,是根据工作能力和资质进行分配的。因此该理论倡导一种复合的平等、多元标准的分配正义,每一个领域的分配正义都是独一无二的正义规范。如果用另一领域的分配标准在此领域内分配社会善,就构成了不正义。例如有钱人使用金钱向法官购买有利裁判,老板将性要求作为晋升的条件,基于亲戚关系获得政治职位,根据性别和种族决定工资等级,等等。[3]
此外,法国社会学家皮埃尔·布迪厄的场域理论对场景理论具有启发意义。场域是布迪厄社会学的一个关键空间隐喻(a key spatial metaphor)。场域界定社会背景的结构(structure of the social setting),习惯就是在这个背景结构中运作的。[4]布迪厄认为社会空间中有各种各样的场域,场域的多样化是社会分化的结果,这种分化的过程被视为场域的自主化过程。自主化实际上是指某个场域摆脱其他场域的限制和影响,在发展的过程中体现出自己固有的本质。在布迪厄看来,每个场域都具有半自主性,由其自己明确的行动者、自身的历史积累、自身的行为逻辑、自身的资本形式来表明其特征。然而,场域并不具有完全的自主性,场域本身的自主性又受到外来因素的限制。[5]
(二)场景理论的基本主张
2004年,海伦·尼森鲍姆在借鉴上述思想的基础上,提出了个人信息保护的“场景完整性”(contextual integrity)理论,简称场景理论。
1.场景理论的主要观点
根据这一理论,“场景完整性”将隐私定义为适当的个人信息流的权利,而不是通常所称的阻止或控制信息流的权利。它认为适当性作为场景(社会)信息流动原则,遵从着一种古老的观念,即适当的信息流动不仅使个人免受羞辱、尴尬和其他伤害,而且能促进基础社会领域(如教育、家庭生活、政治治理、医疗保健等)的核心目的和价值的实现。“场景完整性”意味着,信息保护与信息流动在特定的情景中应符合各方的预期。[6]“场景完整性”以信息流动的适当性为基本原则,即数据的流动应符合合理信息规范。至于某具体信息流动或信息由一方传达至另一方是否适当,则取决于所讨论的信息类型、行为主体以及传输规则。
场景完整性是根据信息规范来定义的:如果信息规范得到遵守,就符合场景完整性;当信息规范被违反时,就不符合场景完整性。场景完整性框架认为,当以技术为基础的信息制度和实践遭到反对或抵制时,毫无疑问是违反了场景相关的信息规范。因此,场景完整性可以作为隐私的标准。[7]
隐私规范(privacy norm)在不同的社会群体中是不同的。一些学者甚至认为隐私是一个相对性的文化偏好(a culturally relative predilection)而非普遍性的人类价值。场景理论框架也从这一共识出发,但结论不同:隐私的高度复杂性和多样性限制了人们对信息流动的预期,但是这种预期与作为背景的“社会情境”(social situation)的特征是具有系统相关性的。一旦这些特征作为因素进入隐私预期(以下指信息流动规范),这些隐私期待或者说规范的类似法律(law-like)的特征是显而易见的。规范的多样性,不是异质性的或武断的。场景理论框架的核心是对有关场景的信息规范这一关键构造的阐述。当人们表达主导个人信息流动的根深蒂固的期望时,有关场景的信息规范的功能是描述性的。但当阐述描述性(或规范性)的有关场景的信息规范的要素时,有关场景的信息规范又是关键工具。[8]
“在生活中,我们不仅仅作为一个个体,而且还作为社会场景中的一员进行交往、互动。作为背景的、各具特色的社会场景已经经历了相当长的时间的进化,是一系列必然的或偶然的目的、地点、文化、历史事件以及更多因素共同作用的结果。生活在现代工业社会的我们,所熟悉的场景包括医疗、教育、雇佣、家庭、商场等。在这些场景中,我们以个体或集体的名义与他人互动。我们互动的角色包括同事、专业人士、客户、教师、学生、公民、家庭成员、俱乐部成员、邻居等。我们与家里人谈心放松,我们与邻居交流信息,我们与同事进行工作交流,我们寻医问诊,我们求学,我们拜亲访友,我们咨询心理医生或聘请律师,我们参加社区投票,我们去逛街购物,我们去银行,我们参加派对,唱歌跳舞,我们去听音乐会,等等。场景不同,我们对个人信息流动的期待也不相同。在制度化的框架中,诸如婚姻家庭,行动者的相互期望并非仅仅出于个人的意愿,而是根植于社会道德和社会规范之中。”
在海伦·尼森鲍姆看来,场景是结构化的社会背景,以典型的(canonical)行为、角色、关系、权力结构、规范(或规则)和内部价值(目标、目的、宗旨)为特征。[9]海伦·尼森鲍姆并没有完全采纳任一经典的社会学理论的术语来定义“场景”,尽管这些术语相对近似,都认为社会生活包括结构化的、有差异的领域。这些术语包括“场域”“制度”“结构化的社会系统”“领域”“社会结构”“实践”“场景”等等。此外,“场景”还特指能够急剧改变信息流动的社会技术(socio-technical)系统与做法,它们的主要特征与既有的社会技术系统与做法的主要特征旗鼓相当。
2.场景理论的框架
场景理论的框架由角色、行为、规范、价值等构成。
(1)角色。场景由角色集合而成,人们依场景中的角色而行动。教师、医生、律师、商场管理者、学生、校长、投票者、收银员、消费者、客户、记者、服务生、患者等等,都是常见的社会角色。
(2)行为。场景部分地是由人们以不同的角色所从事的典型行为和实践构成。例如在商场浏览商品、在家里做作业、在课堂上进行演讲、去医院检查身体、去投票站参加投票、在单位撰写工作报告、面试求职者,等等。
(3)规范。指导人们行动的规范规定和禁止大家接受的行为和实践。一些规范界定角色之间的关系。比如,在中学这一教育场景中,角色有学生、老师、校长、管理人员、后勤人员、门卫以及校外督学人员等。相关的规范规定,老师按照课程表准备教案、进行授课;学生认真听讲、记笔记、提问题、完成家庭作业以及参加考试;校长对于不听话的学生进行惩戒,对懒散的教师进行训诫等。再如在大学这一教育场景中,相关的角色、行为和规范与此相近,但不完全相同。高校的院系里有教授、副教授、讲师、管理人员、学生等。相关的规范规定义务、责任、特定角色的优先权,以及一些允许的或禁止的行为等。规范(norm)主要是规范性的(normative),而不是正常的(normal)。被社会公众视为正常的行为,即使违反了也不招致相应的义务。但作为规范,人们遵守它,并不仅仅是因为大多数人都在遵守它,而是因为人们认为本应该遵守它。[10]法理学家哈特、拉兹等,也都是在这个意义上使用“规范”这一术语的。海伦·尼森鲍姆赞同拉兹将规范解析为四个要素:①一个描述性的“应该”要素;②义务主体,即该规范规定谁负有义务;③规范性行为,即规范规定的行为是什么;④适用条件,即在何种情况下义务主体负有义务为或不为特定行为。[11]即使是描述性规范,也存在是否明确规定之分。有的描述性规范是有明文规定甚至由专门机关负责实施的,但有的描述性规范却既无明文规定也无专门机关负责实施。无明文形式的规范如不得撒谎、不得偷窃等道德规范;以及当别人讲话时不要打断别人,在公共场所不得衣冠不整等礼仪方面的社会约定(conventions);还包括一些会议程序或会议规则,如罗伯特议事规则等。“如果我做的事情让你们感到惊异的话,我肯定违反了某些社会的规则。比如说你向朋友讲了个秘密,你的朋友在网站上宣布了这样的秘密。你就会感到怎么能这样?但是法律没有规定朋友不能这样做。有的时候你要理解,有时候规则不一定在成文法里面。”[12]
不同规范的重要性程度也不尽一致,有的规范是关于人类社会和人类生命的基本方面的,而有的规范则没有这么重要,或其承载的价值没有这么重要,如礼节方面的规范。规范的历史传承、普遍性以及起源形式也不尽相同。比如,宗教规范具有深刻的历史传承,但其适用范围却很有限,且呈衰落趋势;它或许曾广泛传播,但辉煌却很短暂。还有的规范起源于历史人物或制度,或是与文化、历史、政治传统共同进化,并成为它们的组成部分。[13]很多规范嵌于体系之中,它们并不是偶然地组合在一起的,所以必须将它视为体系的一部分,将体系作为背景,才能正确理解它。比赛规则、一国法律、团队规章、职业准则以及场景规范,都是如此,它们都是规范性的体系(normative system)。如果割裂地理解“红灯停,靠右行”这样的指令就会感到它很专断,但如果将其与“绿灯行”,以及更复杂的马路、车辆、驾驶人等社会技术系统结合起来理解,就不会感到专断了。规范禁止婚姻不忠行为,就来源于特定社会的更广泛意义上的家庭和婚姻制度。有的指导职业行为的准则或许看起来不合道德,但结合历史以及该职业的功能看,就并非如此了。[14]
(4)价值。场景中的很多行为都受特定价值的导引,它们有时被称作目标、愿景、目的等。价值是重要的,它们界定了场景的特质。假设有一位火星人登陆地球后要将他的所见所闻向其在火星上的领导进行了汇报,像所有的民族志研究者那样,他看了很多地方,拍了很多照片,做笔记记录了熙熙攘攘的地球人,与地球人进行了亲密交谈,观察了地球人的角色、规则和制度等。在地球场景中,如果不了解主导地球人的价值、目的或目标的话,火星人在其汇报中肯定会丢失很多重要的东西。例如,如果不了解教育的目的的话,火星人是不可能理解或正确解释师生之间的传授知识、进行辩论、向年轻一代传授社会价值观等行为的。不同场景的价值可能不尽相同。自由在特定的场景中最重要,如图书馆。而在机场场景中,安全最重要。[15]
3.场景的阐释
场景根植于特定的时间和地点。在特定的社会中,场景的具体特征反映在其中的角色、行为、规范和价值之上,它们是独特的,是与社会中的其他场景密切相关的,是特定的文化、历史、政治和经济甚至自然界的或偶然的事件(如战争、地震、饥荒)的产物。[16]即使类型相同,不同的社会、文化和历史时期的差异也会显现于场景中。比如,在教育类型中,不同社会的教育场景其实不尽相同。即使在同一社会,不同场景的主要特征也具有很大差异。场景多样性的维度之一是是否可以详细规定该场景。有的场景可以被详细地规定,例如,投票场景、法庭场景、宗教仪式场景等,这些场景的角色和行为是非常具体的,有一系列规范来详细规定。但有的场景则很少有详细规定或完整规定,如商业谈判场景、露天市场场景等,尽管角色是特定的,但他们说什么、做什么、达成何种交易,则是很难规定的。又如,在一场鸡尾酒会中,社会规范“规定”了参加酒会的人应在约定的时间前后(不能太早,也不能太迟)到达会场,鸡尾式着装,以礼貌的方式优雅地进食和饮酒,离去时向主人道谢,等等。但是,鸡尾酒会上人们的行动范围却是开放的,社会规范没有“规定”参加人必须做什么事,与哪些人交流以及如何交流。当然,我们遇到的个人行为的差异并非都是开放的,个人的行为部分地或不完全地被“规定”,如有的社会禁止性交易,但有的社会却允许。
场景的差异还体现在其是在何种程度上被制度化,或正式地和明确地被承认的。[17]法律对于正式的交易或对于场景施加明确的管制是非常重要的。此外,职业规则、俱乐部规则或宗教规则也是这样的机制。比如针对公司场景和职业场景,法律设定了这些场景的基本框架,公司规则或职业准则进一步规定了细节问题。在海伦·尼森鲍姆看来,人们对于隐私权的性质与程度的持续不停的很多具体争议,其实源于不同场景的特殊形式的差异。一种观点的支持者只准备接受隐私法明确规定的要素(角色、行为、规范和价值),而另外一些人还接受诸如习惯性期待、艺术、文学、道德甚至礼仪等更广泛的渊源对隐私传播的限制。[18]
场景具有镶嵌性(nesting),即有的场景是嵌于另一场景的。例如,中学教育场景嵌于更广泛的教育场景之中。当我们谈到某一个高中的时候,比如城市里的某所高中,再比如位于曼哈顿的华盛顿常青藤高级中学,这其实是中学教育场景的进一步具体化。教育场景同样包括大学教育场景及其更详细的分支场景,比如某个大学场景,它可能在一般的教育场景因素之上叠加了特殊的规则和传统。场景的镶嵌性意味着,商业市场的管理规范可能与食品市场的规范不同,甚至也可能与个人商店的规范不同。[19]
场景之间可能重叠甚至冲突。场景重叠是指,在日常生活中,人们常常同时进入多个不同场景。例如,母亲带着她的孩子去购物,医生被朋友打电话询问健康问题,求职者被他的叔叔面试,以及与自己的同事成了好朋友,等等。但重叠并不必然意味着冲突。例如,社区健康中心与学校共同促进学生的身体健康和营养。但不同场景的规定有时却存在冲突,这使得其中的角色在作出选择时很艰难。叔叔面对参加面试的侄女,是选择忠于家族而同意呢,还是选择忠于公司而拒绝呢?一个医生肯定会坚定地警告患者不要吃不健康的食物,但是对于朋友,如果作上述警告就显得过于家长主义了。在这些冲突的场景中,尽管仔细考察特定场景的细节可以发现它偏爱某种行为胜过另一种行为,例如在叔叔面试侄女的场景中可能存在亲胜于贤的倾向,但也没有一种一劳永逸的、通用的解决方案。这种冲突其实是不同场景价值的冲突。有的冲突在被解决时可以有坚实的理由作支撑,但有的冲突却是对人类生活的一种挑战,而不是理论的过错。[20]很多冲突都是与场景相关的。
观察人们生活的结构,我们发现生活场景并不是隐私与公开的二分法,相反人们可以在多个不同的场景中移动、进入和移出。每一个领域都由一套独特的规范管辖。这些规范管理着该领域的方方面面如角色、期待、行为等。
海伦·尼森鲍姆强调,场景不能被理解为技术场景。如果将场景理解为技术场景,尊重场景就要求政策密切关注系统和平台的自然功能。尽管技术塑造场景,甚至可能是场景的组成部分;技术改变实践有时会带动规范和标准的改变;技术可能重新配置知识本体,产生新型信息种类、新型行为和新的传播方式;但技术本身不能决定道德和政治规则。可是,将场景理解为纯粹的技术,就意味着技术自解释性和限制条件会限定隐私的合法预期。
场景不能被理解为商业模式或实践场景。如果这样理解,就意味着场景由此业务的性质、目标以及为实现这些目标而遵循的实践共同构成。将场景理解为商业模式,不利于对现状作出任何改进。
场景不能被理解为行业或部门场景。如果这样理解,就意味着将场景分析单位从个人业务拓展到了起作用的行业部门,尊重场景相当于遵守各自部门或产业内部开发并为其服务的一套规则或规范。将场景理解为部门或行业略好于理解为商业模式,但这种方法在推动隐私保护的实际发展上有多大优势,取决于如何理解部门的定义。如果行业部门在部门思维方式中占主导地位,医疗保健、教育、政治等部门的影响将被削弱,或这些行业的商业成分可能发挥不相符的作用。
应该将场景理解为社会领域场景,即场景是一种社会范围,由日常生活中的不同社会空间所构成,包括教育、医疗、政治、商业、家庭和家庭生活、娱乐、市场和工作等。此处的领域通常涵盖特色活动和实践、功能或角色、目标或目的、制度结构、价值观和行为规范等。将场景理解为社会领域,尊重场景就意味着尊重信息规范。此信息规范将推动普遍道德和政治价值以及特定语境中的目的、用途和价值的实现。[21]
4.场景相关的信息规范的架构
场景相关的信息规范具有四大要素:场景、角色、属性和传输原则。详言之,即在特定的场景下,一定类型的信息,信息主体与信息的发送方和接收方,以及信息传输的原则。换言之,信息规则规制的是特定类型的、某一信息主体的信息,在信息发送方和接收方之间的传输。
(1)场景是信息规范的背景,是信息规范适用的条件,或信息规范规定的主体行动的环境。在信息规范与场景之间的联系,被称为“场景相关的信息规范”。公私二分是场景完整性的简陋版本,它假定只有两种场景、两种规范,公共场景信息规范只适用于公共场景,私人场景信息规范只适用于私人场景。而事实上,场景完整性框架则假定社会场景具有多样性,每一种场景都适用一套特定的信息流动规则。[22]在医疗场景中,有一系列信息规则规制患者的个人信息从医生(信息发送方)到其他方(如医院的实习生、医生的同事、保险公司、医生的配偶等)的传输。隐私其实就是数据的适当流通(appropriate information flow),所谓的适当,就是常规的,大家可以接受的,合理的或者是正常的,为人们所期待的方式。如果方式不适当,会使大家感到很惊讶。[23]
(2)角色包括三类:信息发送者、信息接收者和信息主体,即谁发送信息,谁接收信息,发送和接收的信息是关于谁的信息。行为者的角色是影响人们关于隐私是被侵犯了还是被正确地尊重的丰富而复杂的感受的最重要的变量之一。[24]当人们说特定的信息应该保密时,通常意味着特定角色的该类信息应该保密,或者说并不是绝对保密而是受特定的信息传输规则限制的相对保密。例如,医疗信息被认为应该保密,但这并不意味着它是绝对保密的,医生其实可以向其部室领导汇报患者的医疗信息。当信息被允许共享时,也并不是简单地意味着信息可以以错误的方式共享,或共享给不适当的信息接收者。尽管这种要求常常是默认的,不需要冗余地明确出来,但在极个别情况下,人们对隐私期望的默认表达如果仅按照字面意义来解释的话,就会出现误解。
(3)属性即信息的类型,即信息是关于什么的信息。以医疗场景为例,对信息流动的约束根据角色和信息的类型而不同,信息的类型包括病人的身体状况、衣着、地址、电话号码、医疗保险号码、财务状况等。信息规则决定特定场景下特定类型的信息流动在特定条件下是否适当。例如,在医疗场景下,医生询问患者的身体状况信息是适当的,但在工作场景下,老板这样询问员工的该类信息就不适当了,而教练询问参加足球比赛的运动员的心脏状况就又适当了。对于朋友,我们透露自己的感情纠葛细节。对于银行和债权人,我们披露我们的财务细节。对于教授,学生讨论自己的分数。这些情况下,披露特定的隐私都是适当的。
对于信息类型,有人依据信息的亲密程度或敏感程度,将信息视为一个连续的类型,从最亲密的一端到最松散的一端,从最敏感的一端到不大敏感的一端;或者将信息分为个人信息与非个人信息,或个人信息与公共信息,或高度敏感信息与非敏感信息,等等。但海伦·尼森鲍姆反对这些二分法或只从一个维度来划分信息。她认为,事情并非这么简单:一个人向朋友透露其全面亲密信息,以及与同事仅谈论非个人信息。因为在很多社会里,与朋友谈论自己的薪水与财务状况都是不合适的,但与老板或财务顾问谈论却是合适的。判断合适与否的标准是多元的。[25]比如,至少在美国,如果朋友之间彼此已知对方的宗教信仰,在工作场合或面试时谈论此类信息就是不受限制的。在面试时问及求职者的婚姻状况也是不合适的,但在相亲的场景下就可以询问此类信息。医生熟知患者的身体状况,但在询问他的宗教信仰或财务状况时却不得不犹豫再三。
海伦·尼森鲍姆甚至反对事先对信息作好有限的分类。或许在特定的场景中,这种分类是有用的,但在日常生活场景中,她认为那些将信息分为确定的类型的想法,不但是不必要的,甚至对于场景理论是有害的,因为不断变化的场景结构与其组成部分的行为、角色、规范、价值、信息属性(信息类型)等是共同进化的。[26]
(4)传输原则规定信息流动应该发生的条件。传输原则尽管是显而易见的,甚至是不为人们所注意的,但却是场景理论框架中的最显著因素。最显著的传输原则是保密,即禁止接受信息的一方向其他人共享该信息。我们熟知的传输原则还包括:①互惠原则,即信息的流动是双向的;②应得原则,即决定谁应获得信息;③权利原则,即决定一方有权知道某类信息,这类似于应得原则;④强制原则,即一方(通常是信息主体自身)被强制向另一方披露信息;⑤需要原则,即决定一方需要获得特定的信息。[27]传输原则可能规定某些信息自动被共享,或经同意后共享;也可能规定信息的流动必须提醒信息主体知晓,或经其同意,或二者兼具。总之,同意不是信息传输的唯一原则,其还可能允许信息的商业化交易。
传输原则是信息规范的重要因素之一。以朋友场景为例,我们通常期望信息被自动分享且相互分享,以及对外保密。虽然在实践中偶有偏离(尤其是朋友之间连哄带骗获得有关信息时),但这也是被允许的。但如果偏离太多,就意味着对该等传输原则的违反。四处搜寻好友的信息,偷看朋友的日记,将朋友分享过来的信息对外泄露,就不仅仅是背叛行为,更是对朋友关系性质的挑战。
不同场景的传输规则是不同的。不妨将医疗场景的传输规则与朋友场景的传输规则作个对比:区别之一是,在朋友之间,朋友的患病信息是被期望严格保密的,但在医疗场景中,如果在医院内部共享信息有利于作出更好的诊断,则该共享是被允许的、合理的。另外一个区别是,朋友之间的信息传输是双向、互惠的,而在医疗场景中,患者通常不会期望医生会向其共享医生的患病信息以及个人信息。区别之三是,医疗场景的传输规则是正式形成的,通常以法律或职业准则的形式体现。这些复杂的规则规定了信息传输必须获得患者的明确同意,并明确规定了不同类型的病患信息的具体传输路径。如果涉及食物中毒事件信息或高度传染病信息,医生还应该向公共机构汇报。保险机构也有权获悉有关病患信息。在朋友场景就并非如此。尽管医疗场景的传输原则规定得比较明确,但仍存在一些争议,如性伴侣是否有权获知对方是否患有艾滋病信息,再如如何向医药公司传输不同种类的医疗信息。
有一个悬而未决的问题是,隐私权究竟是对隐私信息的控制权还是获得他人信息的有限的权利。场景理论认为,其实我们无须从这两种主张中选择其一,因为这两种主张或学说都有其用武之地。通常来说,隐私权意味着获得他人信息的有限的权利之主张与信息规则之主张重叠。获得他人信息的有限的权利之主张强调获取信息的权利在信息获得后消灭。信息规则的内容更加丰富,它不但强调该权利的消灭,还强调一方有权规定获取什么信息、谁的信息、谁无权获得信息等。而对信息的控制权也是传输原则的内容之一。鉴于很多主流的隐私权学说认为隐私权就是隐私信息的控制权,场景理论认为,控制是否合适,取决于场景、信息的具体类型、信息主体以及信息的发送者和接收者。[28]
5.以场景理论做出判断的方法
场景理论并不关注隐私定义之精确、完整,而是关注如何精确地、系统地描述激烈改变的性质。场景理论认为,解决何时以及为什么这些改变会引起人们的合理性焦虑、反对和抵抗的问题更为重要。[29]
在一种新的技术设备或系统被采用之前,如何对其引起的问题进行评估呢?场景理论认为,这其实是该种做法是否违反场景相关的信息规范的问题。这就需要对新老两种做法在场景、角色、属性和传输原则等要素之间进行比较。具体分为以下五步:
第一步,对当前盛行的场景进行识别。为了确定什么样的规则可以适用,我们必须确定当前盛行的社会场景是什么。有时候,社会场景是清晰的,比如教育场景中的中学、医疗场景中的医院、商业场景中的商店。但是有时候,则需要费一番功夫去识别场景。场景可能是重叠的或相互冲突的。这些难以识别的情形并非鲜为人知或神秘,而是极为常见:一个人是否应该告诉他的朋友或老板关于他配偶的绯闻信息?医院是否应当将受伤记录与警察局进行分享?父母是否应该阅读孩子的博客?这都是问题,需要进行场景识别。这种识别是为了试图界定社会系统的模板和社会经验之间的细微差别。
第二步,识别主要角色。确定新的做法是否为谁接收信息、关于谁的信息或者谁发送信息等方面带来了改变。近年来,信息技术的迅猛发展导致信息接收者群体扩大,这是较为常见的,然而也是很少得到充分认识的。以公路收费卡系统为例,接收信息的一方不仅仅包括信息系统公司,也包括机动车管理部门。
第三步,确定受影响的信息属性。即确定这一改变所影响的从信息发送方到信息接收方传输的信息的类型。以学生卡为例,该卡不仅仅控制了学生进出学校大楼和宿舍的权限,也记录和传输了他们的进出时间。
第四步,识别传输原则之改变。新的做法可能会导致传输原则的改变。在美国北部地区,驾驶人可以选择用现金支付过路费,也可以选择用公路收费卡支付;用卡支付时,驾驶人可以选择是否将他们的通行信息共享给政府部门。当现金收费通道被逐步淘汰后,将通行信息共享给政府部门就将变成强制性的了。
第五步,识别危险信号(red flag)。如果新的做法在角色、属性或传输原则等方面带来了改变,这种做法就被认为是侵犯了既有的信息规范,构成了违反场景完整性的主要证据。[30]
6.“增强版”的场景完整性判断方法
以上方法假定既有的信息规范是正确的,但如果既有的信息规范不那么正确,或新的制度或做法所体现的价值有可能超越既有的制度或做法,则需要根据如下九个步骤(可以称为“增强版”的场景完整性判断方法)判断是否接受新的制度或做法:
第一步,根据信息流动描述新的做法。
第二步,识别主要场景。根据我们所熟知的场景(如医疗场景),识别嵌于该场景的新场景(如医学教育场景)的潜在影响。
第三步,识别信息主体、发送者和接收者。
第四步,识别传输原则。
第五步,找到既有的信息规范,并在此基础上确定可能发生的主要背离之处。
第六步,建立初步证据。新的制度和实践可能会在很多方面违反既有的信息规范。比较常见的是,新的制度和实践可能会在角色、行为、规范、价值等因素方面出现背离。但有的时候,技术发展了,行为改变了,新规范却没有随之发展出来。这使得新场景结构变得不完整。假定我们支持既有的实践,那么就可以建立一个初步证据:新的实践违反了既有的信息规范。
第七步,初步评估:评估新实践所影响的道德和政治因素。哪些价值受到了损害?自主和自由受到威胁了吗?权力结构、社会等级、公正、公平、平等、民主等受到了哪些影响?根据数名隐私学者的研究,有可能被影响的价值包括:①对以信息为基础的损害预防;②信息不平等;③自主权;④自由;⑤重要人际关系的维持:⑥民主以及其他社会价值。[31]在一些情况下,评估的结论是压倒性的:要么支持新实践,要么反对新实践。但是在另外一些情况下,评估的结论是有争议的,支持新实践的观点相对于反对新实践的观点并不具有压倒性的优势,这就需要进一步评估。
第八步,进一步评估:评估新的制度和实践直接影响的场景的价值、目标和目的。此外,还要根据该场景的价值、目标、目的等,评估该场景的道德与政治因素的含义或意义。换言之,新场景对于自主和自由带来的危害或威胁,新场景对权力结构和社会公正带来的不安,意味着什么?
第九步,在这些发现的基础上,根据场景理论,判断支持还是反对新的制度或实践。[32]
海伦·尼森鲍姆指出:“隐私是非常有价值的,我们可以保护个人,当然它不仅仅是为了保护个人,其实也是对整个社会进行保护,并且为了推进社会价值。(Privacy is also serving for public goods)”[33]
二、场景理论的应用举例
海伦·尼森鲍姆在说明场景理论的应用之时,列举了很多案例。
(一)克林顿—莱温斯基性丑闻案
1995年,莱温斯基在白宫实习时,与白宫的工作人员琳达·特里普成了好朋友。莱温斯基向琳达·特里普透露了她与克林顿总统的关系,以及莱温斯基对克林顿总统的感觉。琳达·特里普秘密地录下了她与莱温斯基之间的电话通话,并将翻录的录音带提供给了有关的检察官和律师,由此引起了一场轩然大波。但社会公众对琳达·特里普的行为却是一致反感的。该丑闻案尘埃落定之后,琳达·特里普试图挽回名声,解释说她是为了探究事实真相,为了保护自己的孩子,甚至是为了莱温斯基的最佳利益才这么做的。无论她解释的事实真相是什么,社会公众是否会原谅琳达·特里普?在场景理论看来,琳达·特里普背叛了朋友,无疑违反了至少两类信息规范:朋友之间不能未经允许甚至未经言明就偷录亲密的通话记录,也不能未经允许而对外披露这些录音。琳达·特里普的行为或许利大于弊,但却违反了朋友场景下信息传输的如下原则:知情原则、同意原则和保密原则,这使琳达·特里普成为朋友关系的背叛者。[34]
(二)《1999年金融服务现代化法》争议案
美国《1999年金融服务现代化法》允许金融集团之间更加灵活地共享其收集的客户的“非公开个人信息”,但在传输信息之前,金融机构应向金融消费者进行通知,并允许他们选择退出信息共享。美国联邦贸易委员会(FTC)颁布规则规定,金融机构收集的“非公开个人信息”包括任何种类的个人信息,即不仅包括金融机构收集的财务类信息,也包括金融机构收集的个人识别信息,如姓名、电话、地址、社会保障号等。有公益组织对 FTC 提起了诉讼,认为 FTC 的定义过于宽泛,“非公开个人信息”应指狭义的个人金融信息即个人财务类信息。因为在此之前,个人识别信息的买卖不受《1999年金融服务现代化法》及 FTC 规则的管辖,可以自由买卖。但法院却支持了 FTC 的规则。尽管法院在当时还不知道所谓的场景理论,但却是从场景角度进行论证的,即个人信息的保护取决于相关的场景以及传输和接收信息的有关角色。用场景理论框架进行分析,法院正确而有效地决定,在金融场景下,金融机构在把提供金融产品和服务过程中收集到的所有类型的信息传输到相关的第三方机构时,都应受到《1999年金融服务现代化法》所规定的传输原则的规制。尽管在金融场景下场景有所差别,但姓名仍是姓名,地址仍是地址,仍应受上述传输规则的规制。因此,FTC 的解释是正确的。[35]
(三)公共网络记录问题
为服务于建设开放型政府的目的,政府将公共记录放在网上使公众可以通过互联网快速地免费获得这些信息,这些公共记录包括公民的出生记录、教育记录、婚姻记录、所拥有财产的信息、诉与被诉的记录及死亡记录等。一些家庭暴力及其他犯罪的受害者质疑此行为。他们认为对这些信息的无障碍接近将增大他们生活的固有风险。然而,反对者认为他们的担忧是矛盾的,因为这些记录早已公开发布,将其放在网络上仅仅是提高效率的行政举措。因此,从根本上讲,并没有发生根本性的变化。
在该案件中,一般的隐私理论可能会认为该行为并未改变信息的性质。因为这些信息原本就是公开的,任何人都可以免费自由查阅这些记录。因此将本地记录放置到网络上的行为并无不当。但如果我们用场景理论进行分析便可以发现,该行为实际上极大地增加了信息的可接近性。公共记录从本地记录变为网络记录,改变的是放置的地点。该地点的改变使得全球任何人仅仅移动下鼠标便可以获得这些信息,极大地降低了信息的获得成本,进而增大了信息的可获得性。这个改变是巨大的,因为它改变了流动性规范。
(四)政府监控
海伦·尼森鲍姆认为,在监控技术如此发达的今天,人们之所以对监控活动抱有如此大的敌意乃至于深恶痛绝,这并不是一种错误的愤懑情绪,而有其合理性。这是因为,一方面信息汇编和组合的过程总是伴随着信息的转移,信息组合者将信息抽离原本合适的场景,并将其嵌入到信息主体不了解的场景中,这就等于破坏了信息原本的“场景正义”;另一方面,信息组合的危害巨大,因为尽管零碎的信息的泄漏不会对信息主体造成过大的伤害,但是信息组合、汇集成一个信息组合体之后,会使信息主体被别人牢牢地记住,从此信息主体的宁静生活将被打破。[36]
(五)消费者分析和数据挖掘问题
作为消费者,多数人知悉他们的商业活动被数字化记录和保存下来了。消费者用信用卡购物,浏览并在某网站上注册,以及订购杂志,都留下了数字化的痕迹,这些痕迹都在大的数据库中得以储存。商家利用这些信息对消费者进行精准营销,这些行为在消费者的期待之内,因此可以接受。但消费者所不知的是,一些数据中间商收集汇总这些信息并将其出售给第三方。个人数据是一些新兴公司如 Axciom 的重要资源,这些公司有时以个人档案的形式将这些信息出售给商家用于兜售产品、订阅、开办信用卡、抵押贷款以及各种销售电话等。当一些媒体对此进行揭露时,公众表示非常愤怒。但一般而言,所收集的这些信息并非隐私或敏感信息,消费者也知道商家会收集这些信息并对其进行营销,但为什么公众会对数据中间商贩卖其信息的行为感到愤怒呢?
回答该问题的关键并非该信息是公开的还是隐私的,是从公众的地方还是从隐私的地方收集的,而是该行为是否违反了场景理论。信用卡的使用和信息中间商的出现以及飞快的技术发展已经极大地改变了信息的可接近性和流动性。在过去,商家需要知悉顾客购买了哪些商品以便据此决定其库存量。现在,线上销售商保留顾客记录并进行分析,用这些信息作为对顾客进行营销的基础,这也并没有太大地背离信息的适当性与流动性。但对比之下,一些商家用关于其他生活方式选择的问题轰炸购物者,如,他们在哪里度假,最近看了什么电影,最近读过的书,他们的孩子在哪里读书或上大学等。这些行为违反了信息的适当性规范。商家向杂志订阅供应商或信息中间商提供这些信息则进一步违反了信息流动性规范。这些信息的流动场所超出了消费者的期待,违反了场景理论。
(六)射频识别标签问题
随着科技的发展,一些科技公司发明了一种可以被移植或附着在洗衣机、毛衣、牛奶盒以及牲畜上的细小芯片。这些芯片可以收集携带者的信息。据预测,当技术发展到一定的程度时,距离人们三米远的无线电信号扫描仪就可以收集人们的信息。芯片的支持者认为这些芯片可以帮助人们节省库存、仓储,便利货物运输,并有助于防盗等。然而,隐私拥护者却认为这些芯片可能在未经消费者许可甚至在消费者未意识到的情况下传播消费者的信息。但是,强大的射频发射器最有可能位于公开的场所,因此其所收集的信息也主要来自公开的或公众的地方,人们为何对此表示忧虑?
场景理论认为该行为显著地改变了信息的性质及其分布模式。在射频识别标签出现之前,客户可以假设销售助理、商店经理或公司领导者记录了销售点信息。但射频识别标签延长了这些信息的收集时间,并为零售商、制造商和其他人提供了一系列先前无法获得的客户信息。射频识别标签的这些潜在用途不仅会影响谁获取客户信息,而且还决定了经过谁的自由裁量可以得到这些信息。射频识别标签使得客户不能控制超出销售点的信息分布,自由决定的权利被从客户处剥夺并被置于信息收集者的手中。[37]
(七) iPhone 应用 Girls Around Me
iPhone 应用 Girls Around Me 利用地理定位社交网络 Foursquare 的公开信息,使得男性用户可以通过地图定位附近的女性,并借助 Facebook 查看这些女性用户的照片和 Facebook 资料。
Foursquare 是一款允许用户在咖啡馆、酒吧和各种地方“签到”的服务,其目的是帮助用户通知可能身在附近的好友。 Girls Around Me 则利用这一模式方便男用户了解附近的女性。这款应用引发了轩然大波,Foursquare 也因此禁止其访问用户的定位数据库。在发给《华尔街日报》的一封邮件中,Girls Around Me 的开发者表示,除了 Foursquare 本身所提供的信息外,该应用并未提供额外数据。
海伦·尼森鲍姆认为,Girls Around Me 之所以引发声讨,是因为它违反了追女孩的社会准则。她表示,有了社会准则作为“栅栏”,任何有道德的、遵纪守法的人都不会逾越这条界线。但由于缺乏数据使用的法律和准则,部分科技企业便会毫无顾忌地借助各种新方式来使用信息,有的甚至令人毛骨悚然。[38]
(八)谷歌街景
在2007年,谷歌开发了一个产品——谷歌街景(Google Streetview)。为此,谷歌部署了车顶装载大型摄像机的车辆,这些车辆负责在城市街道上巡游,捕捉街道景象的连续画面。最初,谷歌计划覆盖尽可能多的路线,车辆在行驶过程中不断记录视频,意图捕捉街道旁的一切景象。然而,随着项目的进行,公众对谷歌街景的接受程度开始出现分歧。主要的争议点在于,在拍摄街道景观的过程中,偶尔也会捕捉到路人的面孔,引发了隐私侵犯的担忧。这种担忧在日本尤为明显,许多人担心自己的住宅和家庭隐私会在网络上被公之于众。面对这样的指控,谷歌辩解说,他们的产品并没有违规,如何可能侵犯隐私权。谷歌声称,其摄影机仅仅记录那些出现在公共街道上的景象,对于在公共场所出现的物体或人物,不应合理期待拥有隐私。尽管如此,公众普遍认为,谷歌的这一立场忽视了一个重要问题:即使是在公共场合,个人隐私依然需要受到尊重。更严重的是,谷歌街景的拍摄不仅仅局限于邻里之间的信息共享,它还涉及了跨国的信息流通,使得一个人的家庭住址和外观有可能被世界上任何一个角落的人所窥视。这种无节制的信息传播被认为是对个人隐私权的侵犯,反映了信息流通在未经适当审慎的情况下可能带来的风险。
三、场景理论的立法实践
场景理论在2012年美国奥巴马政府向美国联邦议会提交的《消费者隐私权利法案(草案)》(Consumer Privacy Bill of Rights)中得到体现。海伦·尼森鲍姆是该法律草案的顾问。该草案的原则之一是“尊重场景”(Respect for Context),即消费者有权期望企业以与消费者提供信息的场景相一致的方式收集、使用和披露个人信息。企业应限制其使用和披露个人信息的目的,以符合其与消费者的关系和消费者最初披露信息时的场景,除非法律另有要求。如果企业出于其他目的使用或披露个人信息,则应以一种在信息收集时显著且易于消费者采取行动的方式披露这些其他目的,从而提高透明度和个人控制。如果在收集之后,企业决定使用或披露个人信息的目的与披露信息时的场景不一致,它们必须提供更高的透明度和更多的个人选择措施。最后,与企业打交道的消费者的年龄和对技术的熟悉程度是场景的重要因素。企业应以适合消费者年龄和成熟程度的方式履行这一原则下的义务。特别是,《消费者隐私权利法案(草案)》中的原则可能要求对从儿童和青少年处获得的个人信息给予比成年人更多的保护。但该法律草案并未获得议会通过。
欧盟《通用数据保护条例》(GDPR)第5条规定的目的相称原则,第32条规定的处理安全制度,第35条规定的数据保护安全评估制度,也是场景理论的体现。第6条规定的数据处理的合法性原则并未将主体同意作为唯一合法要件,而是将履行合同、履行法定义务、公共利益也作为合法性基础,亦有学者将其称为“合法利益的豁免”。第25条规定了“通过设计的隐私保护”(Privacy by Design),要求在数据处理中应采取合适的技术与组织措施。因而,个人信息权益的保护要充分考虑数据处理的性质、处理的范围、处理的场景与目的等,根据个人信息流通与利用的具体场景与情形,结合个案进行判断,即该权益是否应归属于数据主体,以及如何与其他主体进行平衡。[39]
美国互联网协会(Internet Association)于2018年11月发布的《隐私原则:现代国家监管框架》的目的在于促进联邦法规现代化,并为消费者隐私保护制定一个国家框架。该框架应在全国范围内保持一致、成比例、灵活适用。该框架要求企业满足个人对于其提供给企业的个人信息在收集、使用和共享以及依赖于场景的选择方面的合理期望;国家隐私框架必须建立在以风险为基础的方法(a risk-based approach)之上,尤其是考虑个人信息的敏感程度、收集和使用的场景,以及信息滥用或未经授权的访问可带来的实际损害;企业应遵守联邦贸易委员会(FTC)的有关规定,识别并解决个人信息隐私和安全方面可合理预见的、如果未能有效解决将导致或可能导致的消费者的实际损害的风险。[40]
2018年《加利福尼亚州消费者隐私法案》的很多条款都体现了场景理论。例如,在规定信息收集企业的义务时规定:“企业对于消费者个人信息的收集、使用、保留和共享,应当是在实现收集或处理个人信息的目的过程中合理必要的和与其相称的;如果是为了另外的已经披露出来的目的,则应与收集时的场景相一致,不得以不符合这些目的的方式进一步处理。”该法案还规定了消费者的删除权,但特定情形中存在例外,如在企业与消费者正在进行的业务关系的场景中可合理期待不予删除时,以及另外地在企业内部,以与消费者提供其个人信息时的场景相一致的方式合法地使用消费者的个人信息时,不适用消费者请求删除其个人信息的规定。
印度2019年《个人信息保护法》草案第27条也规定了数据保护影响评估制度,这也是场景理论的体现,相关条文如下:
27.数据保护影响评估
(1)如果重要数据受托者意图使用新的数据处理技术,或者进行大规模的数据画像,或者使用个人敏感数据(如遗传数据或者生物识别数据),或实施任何其他可能对数据主体产生重大损害的处理行为,除非数据受托者根据本条规定进行了数据保护影响评估,否则不得启动该处理。
(2)保护局还可以根据法律,针对特定场景、特定数据受托者类别以及处理行为的特定操作规定在这些情形下必须开展数据保护影响评估,也可以明确在哪些具体的情况下,数据受托者在开展数据保护影响评估时必须聘用本法定义的数据审计方。
(3)数据保护影响评估除其他项外,应至少包括:
(a)对拟进行的数据处理操作、处理目的以及所处理的个人数据性质的详细说明;
(b)就拟对其个人数据进行处理的数据主体造成的潜在损害的评估;
(c)管理、最小化、减轻或消除这种损害风险的措施。
(4)在完成数据保护影响评估后,根据第30条第(1)款任命的数据保护官应按照法律规定的方式对评估进行审查后,将评估结果和审查发现提交给保护局。
(5)如果保护局在收到评估及其审查结果后,有理由相信数据处理活动很可能对数据主体造成损害的,保护局可指示数据受托者停止此类处理,或指示处理活动应受限于保护局认为适当的条件。
我国的《个人信息保护法》也吸收了场景理论的合理内核,规定了数据安全评估、风险评估、个人信息的分级分类管理等。
四、我国学者对场景理论的支持或发展
我国也有不少场景理论的支持者和倡导者,有的学者甚至还进一步发展了该理论。
最先引入场景理论的是范为。他认为,大数据时代,个人信息保护的目标是防范个人信息的滥用,同时倡导个人信息的合理使用。如何界定“合理使用”的情景,即构成了个人信息保护的边界。隐私及个人信息保护的边界并非固定、僵化的,而是主观的、动态的,并受多重因素影响。何以构成个人信息的合理使用,在不同的场合均不尽相同。大数据时代,个人信息的使用场景纷繁复杂,超出立法所能规范与预见的能力,以用户为中心、结果为导向进行动态界定的思路由此日益为国际上所倡导,其核心在于考察个人信息的处理行为给用户带来的后果及隐私影响。个人信息处理是否合理,取决于引发的影响能否为用户所接受,或是否符合用户的“合理预期”。影响用户接受程度或对个人信息利用的敏感程度的因素即统称为“信息场景”或“场景”。鉴于场景构成要素的多元性,对个人信息利用的合理性应综合多种因素进行“程度性”判断。影响用户对个人信息处理接受度的核心衡量标准即为对用户造成的“隐私损害”或“隐私风险”。防范个人信息的滥用,尤其应警惕个人信息处理行为给用户带来的损害或负面影响。降低隐私损害至用户可接受的合理程度即为个人信息保护的目标。“隐私风险评估”(Privacy Impact Assessment, PIA)是衡量隐私风险的有效工具。以个案分析的精神,在相应场景中具体地评估数据处理行为的风险,根据风险等级采取相应程度的管理措施,是一种贯穿数据处理生命周期全程的动态控制,直指将隐私风险控制在可接受范围内的最终目标。相较于传统框架,风险导向的理念避开了知情同意环节,能够大幅减轻企业的合规压力,从而为数据流通减少不必要的障碍。范为还认为,个人信息的范围并不存在一个“预先”的精准界定,个人信息的界定是动态的,并高度依赖于所处的具体场景。应淡化个人信息定义,弱化个人信息与非个人信息在前端收集阶段的区分,将关注重心转向个人信息的使用环节,评估其在不同用途及场景中引发的隐私风险,由此确定机构相应的义务。[41]
丁晓东认为,对隐私权益必须进行场景化的理解。法律保护个人信息的目的在于防范相关风险,促进个人信息在具体场景中的合理流通。隐私权益保护的边界,需要根据不同共同体的特点和具体场景中人们的普遍预期加以确定。[42]个人信息的行为主义规制应当是高度场景化的,对个人信息进行规制的必要性与合理性也往往取决于不同的场景与对象。个人信息应当进行场景化的行为规制,这与个人信息所承载的多重权益相关。正是因为个人信息保护背后有如此多元的权益,个人信息保护常常高度依赖于场景。在一种场景下,个人信息保护可能会促进某种权益,但一旦场景变化,个人信息保护不但无法促进某种权益,反而可能会妨碍另一种合法权益的实现。[43]但与海伦·尼森鲍姆不同,丁晓东赞同对个人信息保护采取权利主义的、统一的立法进路,因为这可以降低执法和守法成本,但尽管如此,“在司法和执法层面,对个人信息权利的解释也必然会采取场景化的行为主义规制方式”。[44]
谢琳认为,在大数据时代,知情同意机制已无法有效应对大数据生态系统的多元性和复杂性,无须取得数据主体同意的合法利益豁免可成为大数据信息使用的另一重要合法依据,为大数据产业发展提供灵活空间。我国在个人信息保护的相关立法中可引入合法利益豁免机制。引入该机制时,对合法利益应采用广泛的定义,只要是未违法的使用利益均属合法利益。但数据控制者必须进行一个平衡测试,证明数据使用的合法利益高于数据主体的个人利益,方可适用合法利益豁免。平衡测试可采用个案分析方式,并遵循必要性原则、目的限定原则和比例原则。目的限定原则是指,数据的后续使用方式应与原先的收集目的“相称”(compatible)。欧盟《通用数据保护条例》绪言第50条指出,衡量相称性应考虑后续使用目的与原先目的之间的关联性、数据收集的场景及该场景下的数据主体的合理预期、数据的性质、后续使用产生的后果及现有的保障措施等,数据主体的合理预期应置于具体的使用场景中进行具体考量。[45]
徐艳认为,“场景理论”在个人信息保护领域已基本取得共识。风险导向建立在隐私风险评估制度的基础上。即对于具体场景中的数据处理行为所引发的风险进行评估,并对评估的结果进行程度性划分。通过隐私风险评估,可以将风险划分为“高、中、低”三等,对于风险等级为“低”的信息处理行为,可以豁免信息处理者的部分义务,如免于通知信息主体的义务。对于风险等级为“高”的信息处理行为,则需要增加信息处理者的义务来增强对信息主体的保护。如风险为高时,信息处理者应通知数据主体并采取措施降低风险。[46]
王四新、周净泓将网络空间分为私人聊天、公共聊天、主动分享、公共评论和电商平台的购物评论区等场景,主张针对不同场景采取不同措施,赋予公民网络匿名表达权和数据被遗忘权,并让网络服务提供商承担相应的主体责任,从而为公民在网络公共场所隐私权的保护提供一条解决路径。[47]
蔡星月认为,我国《网络安全法》规定的同意原则属于强控制模式,因赋予数据主体绝对化的信息自决权而导致信息流通效率降低与数据利用价值减损。在数据控制与数据利用的张力间建立“弱同意”的概念体系与规范结构,可以通过同意体系地位的降低与规范结构的削弱,对信息自决权产生相当程度的限制,有效解决此问题。“弱同意”的规范结构为“情境合理+拟制同意=合法处理”,其中拟制同意化解了“强同意”因僵硬适用和过高标准所带来的有效性困境,情境合理测试则充分吸收了场景理念和风险认知,使同意架构从封闭走向开放,由此个人数据保护从一刀切的权利分割迈向了激励相容的合作治理。其中,拟制同意是指通过法律规定将沉默直接拟制为意思表示,沉默表现为不作出拒绝,也不表示接受。法律拟制使沉默获得同意或不同意的意思表示效力,其中只有在法律明确规定沉默可被“视为”或“认为”是同意的情况下才构成同意的意思表示。故数据保护中的弱同意是通过法律拟制为同意,并被赋予与明示同意具有同等法律后果的沉默。拟制同意的适用前提是“情境合理”。作为法律规范结构中的“假定”,情境合理既是拟制同意生效的前提——通过了情境合理测试的数据处理行为,可不问数据主体同意与否而直接取得同意的法律效果,从而使数据处理合法化;也划定了拟制同意适用的范围——仅在达到情境合理的标准时,才可启动拟制同意、排除不法,否则仍须按照明示同意规则处理。数据处理的合理性测试是合理使用原则在同意框架下的具体展开。在数据保护法领域,情境应是场景(context)与规则的统一,情境的设定实质上是通过规则来划定行为的有效性边界。隐私具有高度的场景依赖性,它与环境有关。诸如行为、环境、时空、设备的场景要素都会影响数据处理的敏感程度;此外,社会习俗、法律责任、风险控制能力等规则遵循情况也在同步形塑着数据主体的隐私期待和对数据处理风险的容忍度。个人数据保护不再是一刀切地控制数据或屏蔽信息,而应是特定情境下,通过考察场景变化与规则遵循情况,对数据处理行为进行合理性测试,进而通过法律和技术手段对数据共享和控制之间的关系作出精密调整。[48]但是,对于由谁进行情境合理性测试,作者并未言明,只是指出:“风险是否最小化的结论应由第三方独立机构进行风险评估得出,风险评估应受主管部门监管,如果数据处理的社会影响和风险是最小化并可控的,风险防控措施是有效的,则符合情境合理测试,可在告知评估结果后适用拟制同意。”[49]其似乎是主张由第三方独立机构进行情境合理测试。
陈兵、马贤茹也赞同海伦·尼森鲍姆的“场景完整性”理论。他们认为,用户数据的收集和使用与场景高度相关,不同场景下用户数据的收集和使用的方式和程度取决于该场景下用户的偏好或期望,即用户数据的收集和使用是否合理取决于相应场景下数据行为的可接受性或者说是否符合用户的“合理预期”。具体而言,用户对其数据的同意授权并非简单的“是与否”,而应当在具体场景中动态平衡数据收集、存储、分析、计算、分享等行为中可能存在的风险,用户对企业披露的数据用途的理解,用户年龄及对互联网技术的熟悉程度等诸多因素的复杂性和差异性,甚至在数据的区域性收集和流动过程中,地理因素、文化因素等因素都会影响用户对数据处理行为的可接受程度。数据企业须根据具体场景中对用户数据利用的合理程度来制定更有效的数据保护规则,避免脱离具体场景下的严格保护甚至过度保护带来的数据冻结乃至数据封锁。企业应结合具体场景的现实需要,将数据使用行为限定在用户对其数据披露与分享的合理预期之内。随着数据使用场景的多元化,用户提供的数据已经过分析处理衍生出不同内容和形态。在企业收集用户数据后的处理行为中,若对用户数据的使用未超出收集用户数据时的合理预期,则可免于用户的再次同意,以减少企业的合规成本。如果企业将用户数据用于其他不属于合理预期的目的或使用行为且存在中等风险、中等敏感度时,应当以有效通知的方式向用户告知可能存在的风险,并向用户提供方便操作的选择退出机制,特别是如果企业处理数据的行为超出最初收集用户数据的合理预期,存在高风险和高敏感度时,企业应当为用户提供即时显著的强化通知机制。当用户在高风险和高敏感度的场景下选择披露数据时,企业应当主动帮助用户降低风险,譬如针对无须关联到特定个人的数据使用行为,企业应当主动采取数据分类脱敏或“去标识化”处理。[50]
五、场景理论的积极意义
场景理论的积极意义可以概括为如下三个关键词:“合理流通”“差异”“合理期待”。详言之:
第一,场景理论认识到个人信息的价值在于流动,同意不再是信息流动的唯一前提,肯定了信息处理者合理流动个人信息的合法性,有利于促进个人信息的流动。
场景理论与其他隐私理论之间的差别在于,场景理论不谈论公共与私人空间的区分,也不强调以敏感/非敏感对信息进行分类的二分法。其认为信息流动的合理性应评估五大要素,主体对个人信息的绝对控制是不合理的,即使主体同意,信息也未必可被他人利用;即使信息主体不同意,数据处理者也可以收集和传输个人信息。这有利于松动知情同意架构,减轻数据企业的合规成本,发挥大数据的红利,促进数字经济发展。
第二,场景理论认识到隐私信息、个人信息的复杂性和差异性,也认识到了大数据、人工智能等新技术发展的快速性和复杂性,主张根据场景识别信息传输规则,体现了“不同情况不同对待”的差异化规制思路。
隐私信息或信息隐私的载体是信息,不具有明显的物理特性,而具有虚拟性、易留痕、易复制、易转移等特征。在大数据时代,信息隐私海量存在。它受物理条件的限制很小,个人信息随时随地产生,每一个网上行为背后都是信息,而每一个行为都正在以及将会全部入网——互联网、移动互联网、超级互联网、全息互联网……这对隐私保护也是极大的挑战。[51]信息隐私不再有固定的界限,判断一种信息是不是隐私,风险程度如何,受何种程度的保护,需要结合具体的情境,这使得信息隐私的保护具有了复杂性。场景理论充分认识到了信息隐私的复杂性、变化性和差异性,这对于我们全面、深刻认识信息隐私,增强信息隐私保护的针对性具有重要意义,场景理论的积极意义不容否定。
第三,继承和发展美国隐私法上的合理期待理论,进一步承认和保护社会公众的合理期待,并以此作为构建信息流通规则的逻辑起点,出发点是保护社会公众,保护他们不因技术变化而丧失自治、自主和自由。
1967年是美国隐私法的分水岭。在此之前,只有实际地、物理性地侵入他人的不动产,才构成侵犯美国《宪法》第四修正案所保护的个人隐私。但在1967年的卡兹案(Katz v. United States)中,法官所考虑的重心并不在于执法人员的行为是否侵入了不动产之内或之上,而是关注执法人员的搜查扣押行为是否侵害了公民所享有的合理的隐私期待。隐私合理期待理论遂成为美国隐私法判断是否侵犯个人隐私的标准。
在判断是否成立合理期待时,首先要求个人主观上具有合理的隐私期待。此外,该合理期待还应当受到社会的承认。在某些情况下,虽然权利人主观上认为其某种隐私应受保护,但如果这种期待并不符合社会的一般观念,或者这种期待是不合法且不合理的,那么,权利人也不享有隐私权。
虽然隐私合理期待理论在很大程度上是为了规范公权力的行使,但其所确立的原则对于划分公共领域和私人生活领域同样具有重要意义。也就是说,“合理期待”标准不仅仅适用于约束公权力对公民隐私权的侵害,也适用于对平等主体之间侵犯隐私权的认定。因为“合理期待”旨在厘清个人隐私的边界,划定私人领域与公共领域,这是认定侵犯隐私权的前提,无论对于政府侵权还是私人侵权都具有重要意义。
自卡兹案之后,许多学者都主张以“合理期待”的标准来确定商业和其他领域的隐私保护。海伦·尼森鲍姆即是如此。她认为,确定是否侵犯数据隐私,应当考虑不同场景中的“合理期待”。这就是说,在某些情况下,即便没有信息主体的明确许可,但只要相关的信息处理行为是当事人在该情形下能够合理预见的,那这种信息处理行为也同样是合法的。[52]
在现代高科技的条件下,卡兹案成为经典的案例,成为美国处理隐私案件的重要参考;无论采用何种高科技工具,只要侵害了个人对其隐私的“合理期待”,均可认定构成对隐私权的侵害。在2004年的美国诉琼斯一案中,被告琼斯被怀疑贩卖毒品,警察基于合法的搜查令,在琼斯的车上安装了 GPS 定位系统,用于监视琼斯的行为,但监视的时间和范围都超出了法律规定的范围。美国联邦最高法院认为,虽然警察可以依法实施搜索行为,但在琼斯的汽车上安装 GPS 则是非法的,构成对其隐私权的侵害。大法官指出,对个人实施长期监控侵害了个人的隐私合理期待,违反了美国《宪法》第四修正案,借助 GPS 定位系统对个人进行短期监控,可以完整、准确地记录个人的私人活动,不符合个人合理的隐私期待。本案中,法院甚至认为,在没有搜查令的前提下,政府环保局使用直升机在高空对道(Dow)公司的发电设备进行拍照,也侵害了道公司合理的隐私期待。[53]
因此,只有将海伦·尼森鲍姆的场景理论置于美国隐私法的合理期待理论背景之下,才能对其作出更深刻的理解。现在,合理期待理论的适用范围越来越宽泛,正如大法官阿里托指出的,对隐私保护最大的需要并不是来自宪法或者法律,而是来自实践。
美国联邦贸易委员会(FTC)在执法中通过普通法的方式建立起一套必须遵循的实质性的标准,从以遵守承诺为基础的欺诈性行为认定慢慢发展到了不限于承诺;在没有承诺的情况下也需要承担责任,其依据更多的是来自消费者的期待,即从遵守承诺的要求发展到遵守“消费者期待”。消费者的期待实际上是把行业标准、行业惯例,甚至是国际标准都引入了执法的行为标准中。[54]
场景理论认为,主宰信息流动的信息规范应当有道德价值(morally worthy),不仅是为个体服务,也是为社会服务。由此,场景理论体现了与目的特定、同意原则等其他国际通行的个人信息保护原则的区别。[55]它的价值目标是公民的自治、自主和自由等。
六、场景理论的局限性
笔者认为,场景理论具有主观性、模糊性和保守性等方面的局限性。对此,我们应予以明鉴。
首先,场景理论具有主观性。场景完整性的判断方法要考虑各种要素——场景、角色、行为、规范和价值,每一个场景都进行个案判断的话,费时费力,个人也并不具有判断的能力和主导判断的地位和权力。不同人对场景可能阐释出不同的含义。隐私评价本身就具有主观性[56],场景理论更是加剧了隐私评价的主观性。
在美国侵权法上,隐私合理期待的客观判断标准也引发了较大争议,不少学者认为,其不具有可操作性,并具有很大的主观性。海伦·尼森鲍姆也指出,有人将场景理解为技术平台或系统场景,有人理解为商业模式或实践场景,有人理解为部门或行业场景,有人理解为社会场景。这四种理解在美国居主流地位,相互竞争。尽管海伦·尼森鲍姆最赞同的是社会场景,但她也没有完全否定其他解释。[57]海伦·尼森鲍姆甚至认为,美国式的个人信息保护分部门立法比欧洲式的统一立法更有前景。[58]将场景理解为部门或行业场景,非常契合美国当期分散的隐私立法现状。“美国的隐私监管模式是基于将隐私视为一种利益,然后将其抛给消费者处理(不管人们是否愿意),让消费者自行对隐私问题保持警惕,并在问题发生时就特定方面要求更多的监管活动,其结果是有了联邦和州的隐私法规、数不清的监管机构。”[59]分散立法导致多头监管,政出多门,规则各有差异,增加了遵从成本。
在大数据时代,技术变化日新月异,对个人信息的收集会越来越广泛、细密,个人隐私保护的界限一步步被突破,对其保护的合理期待也一点点降低。[60]信息隐私在社会交往中存在封闭性与开放性的价值困境。[61]随着大数据的发展,信息隐私的封闭性像冰川一样逐渐被融化,开放性逐渐增强。在这个流变的时代,合理期待也在流变。很多时候让消费者形成一个合理的期待是很难的,充分、正确认识、识别和评估社会公众的合理期待则更艰难。
其次,场景理论具有模糊性,或者说可操作性较差。这是由场景理论的主观性所导致的。场景理论未能对隐私影响评估工作提供明确的指导,这由谁来评估呢?个人,信息企业,还是监管者(政府)?在现实中,影响评估大都是数据企业或数据企业委托第三方进行的,属于企业自我规制的范畴。人们可能呼吁政府进行评估,但很遗憾,政府目前还不具备这样的能力,更无法承担评估失败的后果。海伦·尼森鲍姆的场景理论本身并没有谈到隐私影响评估,隐私影响评估是他人根据海伦·尼森鲍姆的场景理论而发挥出来的。
海伦·尼森鲍姆的场景理论来源于沃尔泽的分配正义理论。沃尔泽是社群主义的代表人物。社群主义从共同体出发,认为共同体是个人存在的先决条件,不能剥离了共同体的思想基础和文化传承去单独建构某种抽象的正义原则。共同体可以指个人赖以生长的家庭、社区、民族乃至国家和国际社会,个人的选择不能离开其所存在的共同体。在分配正义的主体方面,沃尔泽将共同体作为分配正义的主体。他认为,所有与分配有关的善都是社会的善,分配正义的衡量尺度是共同体内部成员所达成的共识。[62]但这一理论延伸到个人信息保护的场景里来时,会引发无数疑问:共同体是什么呢?是哪一个社群呢?信息传输规则适当性的评估以何者的立场进行呢?场景理论并没有给出明确的回答。似乎,评估应根据社会上大多数人的观念进行,且最好是由社会上大多数人或其代言人进行评估。但很显然,由社会上大多数人进行评估不具有现实性和可操作性,社会上大多数人的代言人也很难找到。
如何判断隐私的合理期待能够得到社会的普遍认可,这是一个即使是法官、哲学家或社会学家也很难回答的问题。此种社会期待本来应由社会公众所主导,但在司法实践中,却实际由法官所掌控。但法官并不知道公众的喜好和价值观,所以法官只能根据自己的喜好和价值观来判断他人的隐私期待是否是合理的,而不会探讨两者是否具有一致性。[63]场景理论的可操作性欠缺的弱点暴露无遗。最后,场景理论只是学者和法官笔下的分析工具而已。
场景理论认为不存在统一的关于“敏感信息”的定义,信息敏感与否,视不同的场景而定。[64]尽管各个国家和地区对于“敏感信息”的范围界定并不完全相同,例如民族信息、政治信仰,在西方国家一般视为敏感信息,而在我国却不是,但还有不少重叠共识的,如性生活方面的信息。世界上已有不少国家和地区规定了个人敏感信息或“特殊的个人信息”。[65]我国个人信息保护法不对敏感信息下定义,是不可取的。
场景理论不能取代成本收益分析,而应被成本收益分析所取代。道德评价、价值分析缺乏可操作性。现实中更流行的是成本收益分析。成本收益分析在美国的规则制定中广为流行,它允许将不确定的好处计入收益,但要剔除明显不可能实现的好处。而场景理论很少对于如何计算数据的收益提供指导。[66]
海伦·尼森鲍姆并未获得过法学学位,她是哲学领域的教授[67],她与计算机等技术方面的专家合作,主要从哲学的角度思考关于个人信息的保护以及在技术方面怎么使用法律来保护个人信息和数据。[68]她的理论具有一定的抽象性,不宜直接作为执法和司法的依据,而最好转化为明文的细致的法律规定,再作为法律操作方案以及执法和司法的依据。社会公众的合理期待,不能直接成为执法的依据。我们可以从道德上谴责出卖我们隐私秘密的朋友和信息处理者,但很难请求执法机构对其进行罚款。在成文法国家,法院也不宜贸然仅凭所谓的公众的合理期待就判令那些违反合理期待的信息处理者进行赔偿。场景理论尽管对法官提供了一定程度的指导,但如果没有转化为细致的法律就判令侵权人承担民事赔偿责任,在大数据技术日新月异的今天,法律的不确定性变得太大。对此,王利明教授指出:“技术的发展也会对个人隐私合理期待的内容和标准产生影响,如何妥当确定隐私合理期待的判断标准,并使其能够适应现代科学技术发展的需要,也成为隐私合理期待理论的一大难题。”[69]我国的法治发展状况与美国不同。在美国,监管机构和法院或许可以根据模糊的所谓公众合理期待进行执法处罚或裁判,但在我国,却不能贸然引入,而必须经由立法使其转化为具体的规范,对公众的合理期待予以细化。这就像我国法院运用《反不正当竞争法》上的一般条款对新型的数据纠纷案件进行裁判一样,存在不少问题和争议,它只是不得已的办法,法院应对此秉承谦抑的司法态度。[70]
最后,场景理论具有保守性。虽然场景理论比个人信息自决权理论更能促进信息的流动,但通过场景理论进行分析的结果总是反对新技术。场景理论本质上仍是保守的。海伦·尼森鲍姆说:“根深蒂固的规范性框架代表一个特定场景的固定原理,因此除非具有强有力的理由支持改变,否则我们应当对其进行保护。任何既定场景下的固定原理都可能有一段很长的历史根源,并且对文化、社会和个人有重要的作用。”[71]但是,“大数据分析在大多数情况下当然地要打破场景完整性”。[72]因为新技术或多或少,或在这个方面或在那个方面改变了场景、角色、信息属性、传输原则。
事实上,随着大数据和人工智能的发展,人们对于个人信息的收集和流动越来越宽容,尽管还有一些人仍然固守传统的隐私观念不放,但更多的人则不再抱持传统的、根深蒂固的隐私观念,他们愿意以某些个人信息为代价来换取人工智能和大数据带来的便利。信息隐私在社会交往中存在孤立性与社会性的价值困境。[73]在这种冲突之中,有人选择了孤立性,有人选择了社会性。价值选择没有对错,只是个人偏好而已。以具有保守品质的场景理论为指导,大多数的选择是孤立性,从而牺牲了大数据红利。
社会公众往往缺乏恰当的评估工具。“如果没有评估数据利益的工具,隐私保护可能会为虚假的数据承诺所侵蚀,正如技术进步可能会因低估的潜在收益失去机会一样。”[74]即使用户知道他们共享的元数据,他们也无法合理地预测数据处理者可能使用秘密分析技术从数据中得出的推论类型。[75]事实上,一个人可能预想到数据处理者以各种方式收集和使用他们的个人信息,但这并不意味着他对数据处理者的做法有足够深刻的理解,并完全接受它。[76]一些学者的研究表明,个人对数据企业如何处理其个人信息了解越多,就越有可能对共享其个人信息感到无可奈何,并抵制有关隐私权衡的理性决策。[77]
七、从场景理论到差异性原理
场景理论的背景是语境主义(contextualism)。当代西方政治哲学界主要存在两种思考正义的认识论路径:普遍主义(universalism)与语境主义。普遍主义认识论最大的特征是标准单一且普遍接受;而语境主义认识论是与实践解释学关联在一起的,是一种多元的标准。普遍主义与语境主义作为两种截然相反的认识论路径,在思考正义问题时适用不同的认识论路径就会形成两种对立的正义观:普遍主义正义观与语境主义正义观。前者关于正义的认识信念在于主张可以确定适用于所有情境的基本正义原则。后者则主张正义原则是具体情境化的而不是超越情境恒定不变的,情境与原则是始终依存的,特定情境下的原则是独立存在的。语境主义正义观主张为了理解正义,需要在正义原则与其适用的情境之间建立某种系统化的关联,不顾具体情境而试图发现或创造一种根本性的适用原则是不可能的,但可以根据一定的典型情境确定一些适用的核心原则。[78]
语境主义与相对主义是近亲,普遍主义与绝对主义是近亲。[79]场景理论来源于沃尔泽的分配正义理论。沃尔泽理论具有相对主义色彩。[80]因而场景理论也不可避免地带有相对主义色彩。在哲学上,所谓绝对,是指无条件的存在;所谓相对,是指有条件的存在。反映在认识论上,绝对指的是无条件的、无限制的,相对指的是有条件的、有限制的。在哲学史上,相对主义是一种拒斥确定性的哲学学说。[81]相对主义学说有许多种,总地来说可以简单地被定义为这样一种学说,即不存在普遍的标准。相对主义认识论认为合理性没有普遍的标准。[82]对此,绝对主义驳斥道:“一切知识都是相对的”这一命题是相对的还是绝对的呢?并认为相对主义是一种自我驳斥的理论。
相对主义必须回到马克思主义对绝对真理与相对真理关系的辩证法、特殊性与一般性关系的矛盾论才是正确的。马克思主义认为,相对与绝对是一种矛盾关系,即对立统一关系,我们在认识过程中,应坚持绝对与相对的统一。[83]真理具有客观性,同时又具有绝对性和相对性,绝对真理和相对真理是辩证统一的关系。一方面,二者相互包含,绝对真理由相对真理构成,相对真理包含有绝对真理的颗粒。另一方面,二者可以互相转化。我们对真理的把握,是一个从相对真理走向绝对真理的过程,任何绝对真理都是由相对真理发展、转化而来的。[84]没有一劳永逸的绝对真理,此阶段的绝对真理在下一个阶段看来,仅仅是相对真理。马克思主义还认为,矛盾既具有普遍性,也具有特殊性。矛盾的普遍性是指,矛盾是普遍存在的,矛盾存在于一切事物的一切方面。矛盾的特殊性包括:不同的事物有不同的矛盾;即使是同一事物,在不同发展过程和发展阶段也各有不同的矛盾;构成事物的诸多矛盾以及每一矛盾的不同方面各有不同的性质、地位和作用。[85]矛盾的普遍性和特殊性的关系,是一种共性与个性、绝对性与相对性、一般性与个别性的对立统一关系:矛盾的普遍性存在于特殊性之中,特殊性中则包含着普遍性;矛盾的普遍性与特殊性在一定条件下可以互相转化。[86]
场景理论、社群主义的背后实际上是矛盾论中同一性与差异性、普遍性与特殊性、绝对真理与相对真理之间关系的辩证法。不独个人信息保护领域存在场景理论,可以说所有部门法中都不同程度地存在场景理论,这是“同种情形同样对待,不种情形不同对待”的基本要求。即使在刑法领域,也存在不同的场景和不同的对待方法。例如,同样是男女双方在不存在婚姻关系且自愿前提下长期发生性关系,如果一方是现役军人的配偶则会构成破坏军婚罪,如果一方是幼女则会构成强奸罪,除这两种情形之外则不构成犯罪。只不过,囿于罪刑法定原则,我国刑法已经将这三种情形事先规定好了而已,不存在司法者的临时权衡。如果换一个“共同体”,即在别的国家和地区,却未必如此保护军婚或幼女,幼女的年龄门槛更不会与我国完全相同。在经济法中,差异性甚至成为经济法的基本原理之一。[87]它本质上和场景理论是相同的,都是“同种情形同样对待,不种情形不同对待”的具体体现。只不过,在个人信息保护领域,由于大数据技术的发展迅猛、场景众多、信息隐私的类型复杂,法律还不能形成细致而稳定的规范类型,因此,不如暂时交由数据企业或社会公众来判定信息规范及其违反问题。这就使得场景理论更有用武之地。
根据矛盾论中同一性与差异性、普遍性与特殊性的辩证法,在个人信息保护领域,同样可以提炼出同一性与差异性相结合的规制方法,这就是对场景理论的超越。同一性与差异性相结合的规制方法或原理强调:一方面,应该看到规制对象的同一性和共同点,并对其进行同一性规制,以避免规则洼地和监管套利的出现;另一方面,也应该看到规制对象的具体特点和特殊性,并根据这些特殊性进行更精细的规制,以适合规制对象的特点,从而避免“一刀切”。
同一性与差异性相结合的规制方法或原理在我国的个人信息保护法领域有充分的体现,将来也有很大的适用空间。我国既制定了统一的《个人信息保护法》,又授权各监管部门、行业主管部门制定本领域特殊的个人信息保护规范。有人批评说我国“履行个人信息保护职责的部门”过多,是“九龙治水”。其实,这种多元化的监管部门的设置是符合我国当前国情的,是能够发挥原监管部门、主管部门信息优势的,也是与同一性与差异性相结合的规制方法或原理相契合的。
我国对个人信息的保护,既由国家正式法律这一“硬法”托底,又鼓励国家推荐标准、行业推荐标准、企业标准等“软法”先行先试,鼓励企业自我规制。既维护个人隐私信息保护的传统价值,又考虑技术进步对个人信息保护带来的影响,使相关的信息传输规则与时俱进,发挥大数据的红利。在我国统一的《个人信息保护法》中,既规范了一般情况,也给特殊场景留下空间;在未来修改《个人信息保护法》时,更需要根据技术和时代的发展,将共同的特殊规范转化为一般规范;在修改个人信息保护单行规章时,也需要将一般规范细化为专门规范。在执法和司法时,既要考虑通用的《个人信息保护法》的一般规定,也要结合具体的场景进行个别考量,但个别考量的背后,则蕴含共通性的价值。我们既应鼓励数据企业在处理个人信息时征得信息主体的知情同意,也允许特定例外情况下不经同意而处理个人信息。总之,特殊与一般,相对与绝对,相互结合,相互依存,相互转化。
【注释】
[1] See Robert C. Post, “The Social Foundations of Privacy: Community and Self in the Common Law Tort,” Cal. L. Rev.77(1989):957-998.
[2] 参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018年第6期。
[3] 参见〔美〕海伦·尼森鲍姆:《作为语境完整性的隐私权》,谢晓君译,载张民安主编:《隐私权的性质和功能》,中山大学出版社2018年版,第200页。
[4] 邵璐:《翻译社会学的迷思——布迪厄场域理论释解》,载《暨南学报(哲学社会科学版)》2011年第3期。
[5] 李全生:《布迪厄场域理论简析》,载《烟台大学学报(哲学社会科学版)》2002年第2期。
[6] Helen Nissenbaum, “Privacy As Contextual Integrity,” Washington Law Review 79, no.1(2004):119-158.
[7] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press,2010, p.140.
[8] Ibid., p.129.
[9] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press,2010, p.132.
[10] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press,2010, p.138.
[11] J. Raz, Practical Reason and No rms, Oxford University Press,1975, p.50.
[12] 《【中美对话—主题演讲】Helen Nissenbaum |隐私场景理论和数据隐私》,“数据法律资讯”微信公众号,2018年5月30日,https://mp.weixin.qq.com/s/0ayfHVxDfRoxMjaU0F73_A,最后访问日期:2023年9月4日。
[13] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, p.139.
[14] Ibid., p.140.
[15] 参见〔美〕海伦·尼森鲍姆:《“尊重语境”:履行白宫报告的承诺》,载〔美〕马克·罗滕伯格、茱莉亚·霍维兹、杰拉米·斯科特主编:《无处安放的互联网隐私》,苗淼译,中国人民大学出版社2017年版,第131页。
[16] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press,2010, p.135.
[17] Ibid.
[18] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, p.136.
[19] Ibid.
[20] Ibid., p.137.
[21] 参见〔美〕海伦·尼森鲍姆:《“尊重语境”:履行白宫报告的承诺》,载〔美〕马克·罗滕伯格、茱莉亚·霍维兹、杰拉米·斯科特主编:《无处安放的互联网隐私》,苗淼译,中国人民大学出版社2017年版,第127—135页。
[22] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, p.141.
[23] 参见《【中美对话—主题演讲】Helen Nissenbaum |隐私场景理论和数据隐私》,“数据法律资讯”微信公众号,2018年5月30日,https://mp.weixin.qq.com/s/0ayfHVxDfRoxMjaU0F73_A,最后访问日期:2023年9月4日。
[24] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press,2010, p.142.
[25] Ibid., p.144.
[26] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, pp.144-145.
[27] Ibid., p.145.
[28] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, pp.147-148.
[29] Ibid., p.148.
[30] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, pp.149-150.
[31] 〔美〕海伦·尼森鲍姆:《作为语境完整性的隐私权》,谢晓君译,载张民安主编:《隐私权的性质和功能》,中山大学出版社2018年版,第202页。
[32] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, p.182.
[33] 《【中美对话—主题演讲】Helen Nissenbaum|隐私场景理论和数据隐私》,“数据法律资讯”微信公众号,2018年5月30日,https://mp.weixin.qq.com/s/0ayfHVxDfRoxMjaU0F73_A,最后访问日期:2023年9月4日。
[34] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, pp.152-153.
[35] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, pp.153-155.
[36] 参见〔美〕海伦·尼森鲍姆:《信息时代的公共场所隐私权》,载张民安主编:《公共场所隐私权研究——公共场所隐私权理论的产生、发展、确立、争议和具体适用》,中山大学出版社2016年版,第82—83页。
[37] 第3—6个案例引自徐艳:《场景理论下的个人信息权保护研究》,华东政法大学2019年硕士学位论文。
[38] 鼎宏:《详解Facebook 隐私策略:开发者掘金用户数据》,新浪科技,2012年4月9日,http://www.techweb.com.cn/internet/2012-04-09/1176581.shtml,最后访问日期:2023年9月4日。
[39] 金耀:《个人信息私法规制路径的反思与转进》,载《华东政法大学学报》2020年第5期。
[40] 参见https://archiveia.org/wp-content/uploads/2018/09/IA_Privacy-Principles-For-A-Modern-National-Regulatory-Framework_1-pager.pdf。
[41] 参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。
[42] 参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018年第6期。
[43] 参见丁晓东:《个人信息保护:原理与实践》,法律出版社2021年版,第84—85页。
[44] 同上书,第86页。
[45] 参见谢琳:《大数据时代个人信息使用的合法利益豁免》,载《政法论坛》2019年第1期。
[46] 参见徐艳:《场景理论下的个人信息权保护研究》,华东政法大学2019年硕士学位论文。
[47] 参见王四新、周净泓:《网络空间隐私权的保护研究——基于公共场所隐私权理论》,载《四川理工学院学报(社会科学版)》2018年第6期。
[48] 参见蔡星月:《数据主体的“弱同意”及其规范结构》,载《比较法研究》2019年第4期。
[49] 同上。
[50] 陈兵、马贤茹:《互联网时代用户数据保护理路探讨》,载《东北大学学报(社会科学版)》2021年第1期。
[51] 参见徐艺心:《信息隐私保护制度研究:困境与重建》,中国传媒大学出版社2019年版,第32—33页。
[52] 参见王利明:《王利明学术文集·人格权编》,北京大学出版社2020年版,第603—633页。
[53] 同上。
[54] 参见丁晓东、张吉豫主编:《隐私与数据的法律研究——人大未来法治研究院网络法读书会》(第1辑),法律出版社2019年版,第82—83页。
[55] 《新闻动态|美国康奈尔大学Helen Nissenbaum 教授应邀为国际法所师生做线上讲座》,“武汉大学国际法研究所”公众号,2020年12月25日,https://mp.weixin.qq.com/s/rDKaSHe8HDTJA2EmApVSqA,最后访问日期:2023年9月4日。
[56] 参见徐艺心:《信息隐私保护制度研究:困境与重建》,中国传媒大学出版社2019年版,第25页。
[57] 参见〔美〕海伦·尼森鲍姆:《“尊重语境”:履行白宫报告的承诺》,载〔美〕马克·罗滕伯格、茱莉亚·霍维兹、杰拉米·斯科特主编:《无处安放的互联网隐私》,苗淼译,中国人民大学出版社2017年版,第127—135页。
[58] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, p.238.
[59] 〔美〕特伦斯·克雷格、玛丽·E.卢德洛芙:《大数据与隐私:利益博弈者、监管者和利益相关者》,赵亮、武青译,东北大学出版社2016年版,第34页。
[60] 参见丁晓东、张吉豫主编:《隐私与数据的法律研究——人大未来法治研究院网络法读书会》(第1辑),法律出版社2019年版,第98—99页。
[61] 参见徐艺心:《信息隐私保护制度研究:困境与重建》,中国传媒大学出版社2019年版,第42页。
[62] 陈怡梦:《对多元分配的反思及超越——从马克思主义视角审视沃尔泽的分配正义理论》,载《当代中国价值观研究》2017年第1期。
[63] 参见王利明:《王利明学术文集·人格权编》,北京大学出版社2020年版,第603—633页。
[64] Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2010, p.238.
[65] 参见程啸:《我国〈民法典〉个人信息保护制度的创新与发展》,载《财经法学》2020年第4期。
[66] See Gabe Maldoff & Omer Tene, “Putting Data Benefits in Context: A Response to Kift and Nissenbaum,” A Journal of Law And Policy for The Information Society 13, no.2(2017): p.396.
[67] 海伦·尼森鲍姆的教育经历为:斯坦福大学哲学博士(1983年),斯坦福大学教育社会科学硕士(1978年),南非威特沃特斯兰德大学数学和哲学学士(1976年)。
[68] 《【中美对话—主题演讲】Helen Nissenbaum|隐私场景理论和数据隐私》,“数据法律资讯”微信公众号,2018年5月30日,https://mp.weixin.qq.com/s/0ayfHVxDfRoxMjaU0F73_A,最后访问日期:2023年9月4日。
[69] 参见王利明:《王利明学术文集·人格权编》,北京大学出版社2020年版,第603—633页。
[70] 参见毛立琦:《数据产品保护路径探究——基于数据产品利益格局分析》,载《财经法学》2020年第2期。
[71] 〔美〕海伦·尼森鲍姆:《作为语境完整性的隐私权》,谢晓君译,载张民安主编:《隐私权的性质和功能》,中山大学出版社2018年版,第201页。
[72] See Gabe Maldoff & Omer Tene, “Putting Data Benefits in Context: A Response to Kift and Nissenbaum,” A Journal of Law And Policy for The Information Society 13(2017): p.386.
[73] 参见徐艺心:《信息隐私保护制度研究:困境与重建》,中国传媒大学出版社2019年版,第42页。
[74] See Gabe Maldoff & Omer Tene, “Putting Data Benefits in Context: A Response to Kift and Nissenbaum,” A Journal of Law And Policy for The Information Society 13(2017): p.385.
[75] Ibid., p.387.
[76] Ibid.
[77] Joseph Turow, Michael Hennessy & Nora Draper, “The Tradeoff Fallacy: How Marketers Are Misrepresenting American Consumers and Opening Them up to Exploitation,” June,2015, https://fs.hubspotusercontent00.net/hubfs/32152/UPenn_TradeoffFallacy.pdf.
[78] 刁小行:《情境化的正义:一种语境视角》,载《吉林师范大学学报(人文社会科学版)》2012年第2期。
[79] 不同学科和不同学者笔下的“相对主义”“绝对主义”“普遍主义”的含义是不尽相同的,探讨它们的含义以及它们之间的区别不是本文的任务。
[80] 陈怡梦:《对多元分配的反思及超越——从马克思主义视角审视沃尔泽的分配正义理论》,载《当代中国价值观研究》2017年第1期。
[81] 贺来:《重新理解“相对主义”——哲学进一步发展应关注的重大课题》,载《成都大学学报(社会科学版)》2000年第4期。
[82] 江天骥:《相对主义的问题》,李涤非译,朱志方校,载《世界哲学》2007年第2期。
[83] 参见高海清主编:《马克思主义哲学基础》(上册),北京师范大学出版社2012年版,第218—221页。
[84] 参见赵家祥、聂锦芳、张立波:《马克思主义哲学教程》,北京大学出版社2003年版,第240—241页。
[85] 参见陶德麟、汪信砚主编:《马克思主义哲学原理》,人民出版社2010年版,第83—85页。
[86] 同上书,第88页。
[87] 参见张守文:《经济法原理》,北京大学出版社2013年版,第8—9页。
