全文 | 论数据相关的权利保护和问题——美国与欧盟相关规制的梳理与比较

论文摘要

数据的搜集、保存、转移、传输和分析已然成为当前整个电子商务最具关键的功能之一,犹如人体的神经系统和其中的讯号,带动著全球错综复杂而且相互依赖的产业链条能够有序运转。然而究竟数据应如何定义?其本身是否应该享有如何的权利保护?汇集数据的数据库又应如何?其背后所折射、反应的个人隐私信息究竟应当如何处理?如何在个人的隐私需求与国家和社会安全的需求之间求取平衡?这些问题自从电子商务开展以来便一直困扰著全球各国。本文拟从美、欧两地的发展、经验和实践进行概括的梳理并就其中发生的问题予以评论,以其对国内目前正在推展的相关立法提供参考。

关键词

数据;大数据;数据库;隐私;《通用数据保护条例》;《加州消费者隐私法》;《加州隐私权法》

作者

孙远钊(Andy Y. Sun),美国亚太法学研究院执行长,暨南大学知识产权学院特聘教授。本文不代表作者服务单位意见。

本文纸本版将发表于《知识产权研究》第28卷(2022)。

重点导读

※ 引言

※ 数据的定义

※ 数据的保护方式

一、数据本身

二、数据库

1、起源

2、后续

3、特殊赋权

4、现况

5、评论

6、案例与成效

7、自律

三、新闻出版者权

1、内涵

2、争议与评论

四、隐私权

1、概念与定义

2、美国的发展

3、欧盟的发展

五、法人求偿与反不正当竞争

六、反垄断

※ 结论

※ 后记

※ 引言

“你若不付费便不是消费者,而成为被卖出的产品。”

—— 安得鲁‧路易士(又名“蓝甲虫”,2010年)

“If you are not paying for it, you’re not the customer; you’re the product being sold.”

—— Andrew Lewis (a/k/a “blue_beetle”, 2010)

这是美国硅谷(Silicon Valley)互联网行业当中常被引述的一句话,中间曾经历过几次修饰成为目前的表述。最早的版本可以溯及到20世纪70年代,是对于当时开始大行其道的电视商品传销的一个讽刺性评论。[1]然而对于网络时代各个平台服务的提供或运营者不断搜集、筛选、分析、运用与再搜集其使用者的各种信息,形成所谓的“大数据”(big data)分析与某种闭环式的经济领域(circular ecosystem)乃至于达到对特定市场的垄断地位(也就是具有一定的支配力),这不啻是个更为贴切的写照。

从原来有限的军事与学术交流用途全面向各界开放,还不到十年,互联网就已经成为人们从事通信联系、商务交易、出版营销和研究分析等等各种事务和工作不可或缺的日常生活工具。[2]从技术层面而言,整个互联网完全是各种数据的传输。因此就有了“数据为王”、“流量为王”的说法,意思是谁能够有效获得、控制、分析和运营相关的数据,谁就扼住了网络通路的进口位置。[3]

然而究竟数据是什么?数据的本身是否可以享有如何的权利保护?对于数据的搜集(如数据库)、分析等行为以及由此产生的研究成果情形又是如何?对于被搜集的对象而言,他们是否享有如何的权益?如果发生数据信息被盗取、外泄等问题时是否有任何的救济?这些与数据相关的权益是否有竞合的问题?对市场会产生如何的影响?美国和欧盟在这个领域无疑是走在最前,但也经历了各种探索、挣扎与平衡,因为其背后有非常复杂的因素和各种利益需要相互平衡考量。本文拟对欧、美两地在过去近30年的立法和司法实践予以梳理,并探讨其中的问题以供国内的相关立法参考。

※ 数据的定义

“数据”原是从英语“data”翻译而成(这个字的原意是复数,单数是“datum”,但已鲜少使用),最原始的来源或出处暂不可考,目前还没有法律上的定义。

依据《大辞海》的定义,是指“一组表示客观事实的可鉴别的符号。可以是数字、字符、文字、图像等。”[4]依据《韦氏大学英语辞典》的定义,“数据”是指“诸如度量衡或统计等,用于作为论理、讨论或计算的事实信息”。[5]在信息产业具有相当权威性的《高德纳信息技术名称缩写及词汇》(以下简称《高德纳词汇》)则是定义为“未经处理的事实或数值可供计算机(电脑)处理成为有用的信息”。[6]简单地说,“数据”是因,“信息”则是果(详见后述)。

所谓“大数据”也没有明确的法律定义。《高德纳词汇》从三个相关的维度定义,是指“高速(high velocity)涌现、高量(high volume)、和高度多样化(high variety)的信息资产,需要藉助高性价比与创新形式的信息处理来促进和强化深度的洞察、决策与自动化处理”,也就是所谓的“3 Vs”经典定义。[7]

至于“数据库”,欧洲联盟(European Union,以下简称欧盟)1996年《欧盟数据库指令》(EU Database Directive)第1条第(2)款是定义为“对独立作品、数据或其他材料从事系统性或规律性的汇集并可以电子或其他方式个别取用。”[8]不过这个定义还是颇为抽象飘忽。如果从最终呈现的形式或取向来区分,数据库可能至少包含了文字、数值、图像、声音、电子服务(如电子邮件、微博、社交平台)和软件程序(如爪哇(Java)程序语言当中可供取用的“爪哇核心图书馆”(Java Core Library))等六种类型,最后的两类则可能包含了多种取向的不同组合。如果从数据库不同角色扮演者的功能来区分,则包含了出版者(publisher)、汇集者(gatherer)、提炼者(refiner)和门户网站(portal)等四种类型。[9]

此外,数据依其本身的性质可区分为自然存在与人工合成两类。前者通常是基于对自然界不同事物的实验或观察所形成的记录,后者则是原本不存在于自然环境之中,而是藉由其他的活动由人工的介入所形成,如股市的行情、库存记录、电话号码簿内的各项资料等等。有的学者则是从数据的元素与来源特征或是关于数据的用途等不同取向来区分以便从事更深入的探究,最终的目的不外是希望能对制订相关的政策提供更明确的指引。[10]

※ 数据的保护方式

涉及数据权益的问题至少包括了四个不同的面向:首先是数据本身是否可以享有任何权利。其次是由多个数据所组建而成的数据库是否应享有如何权益保护的争议。第三是由欧盟对数据库的特殊赋权所派生的新闻出版者权以及相关的问题。最后则是由数据所直接或间接反应(反射)或指代的权益保护,也就是对数据背后所牵涉到的个人隐私权益保护与相关的网络安全(cybersecurity)问题。

一、数据本身

从前述的定义可明确看到,“数据”无非就是作为对某个特定客观事实或实验观察结果所体现的信息。例如每个人的姓名、出生日期、地址、电话和身份证字号等,也可能是对特定问题的调研结果与统计数字等等。

既然是对事实的反应或呈现,就意味着其本身不具任何独创性,哪怕在获得该数据的过程中可能投入了极大的智力劳动,也无法改变此一性质(例如爱因斯坦推导出的相对论公式),可能产生独创性的只限于对数据的選擇或编排等智力创作。[11]因此,数据本身无法获得任何著作权或其他以公示公知为前提的知识产权保护。[12]不过这并不排除可以用商业秘密来给予保护,但是依然必须符合《反不正当竞争法》第9条第4款所定义的要件,即相关的技术或经营信息(一)不为公众所知悉、(二)具有商业价值、并且(三)经当事人采取了相应的保密措施。这也是国际共通的标准,表明了任何人都无法对任何特定的事实享有任何的排他或控制权,否则必将对整个市场运行造成极大的干扰和混乱

必须特别指出,“数据”与“信息”这两个名称在人们的日常生活中经常被交替互换使用。然而这两者之间其实具有因果关系和不同的概念。前已提及,“数据”是因,“信息”是果。在组织、信息与知识管理领域作为研究基础的“DIKW层级模式”或“DIKW金字塔”应有相当的借鉴意义。这4个英文字母分别是指 “数据”(data)、“信息”(information)、“知识”(knowledge)、和“智慧”(wisdom),呈现的模型显示出了这四者的关系(见下图)。[13]

可以明显看到,“数据”是没有经过处理前的原始素材,经过处理后就成了信息。如果信息符合法定权利的保护要件,那么自然可以依据相关的法律获得一定的权利保护。例如,如果符合独创表达的要求,原则上就可以获得著作权;如果符合新颖性、进步性与实用性的要件,原则上便可以获得专利权。

由此可见,数据可以成为具有一定价值的财产,但未必具有财产权。例如,几位朋友之间互相扫描对方的手机加入彼此“微信”应用软件的“朋友圈”,这并不表示他们彼此都突然取得了对方电话号码与微信公信号的“所有权”(最多只是“占有”性质)。事实上连各个当事人也并不“拥有”自己的姓名、地址与电话号码等等。至少在现行的法制体系内,连每个人对自己的姓名都没有财产权(基本上只有人格权,除非透过商标申请等程序把自己的姓名转化为商标权,但那样的意义已然完全不同)。同样的,任何人(自然人或法人)也不会因为搜集到了海量的数据,汇集成所谓的“大数据”就突然取得了对那些数据的“所有权”。

也正因如此,当前的法规才能从保护个人隐私的角度切入,对数据控制者(即占有人或持有人而非“所有人”)可以如何处理、运用所搜集到的数据予以限制,包括赋予数据主体(被搜集对象)可以要求更新、补正、删除、不得从事过长的保存……等等法定的权利(从而可以凌驾并对抗数据控制者的占有处分,详见后述)。反之,如果贸然赋予数据持有者“所有权”的话,那么上述对数据控制者的各项限制是否还有合法合理的基础、是否还能成立就恐怕很有需要商榷之处了。

二、数据库

既然数据本身原则上无法获得权利保障(商业秘密在概念上并非“权利”,而是一种“法益”[14]),那么将无数的数据予以搜集汇整后所形成的“数据库”(databases)能否获得某种权利?毕竟数据库是个需要极大人力、物力资源和时间投入的工作,如果考虑在法律上赋权,自然有可能产生激励效应;但也会同时产生是否对本不应给予保护的事物过当的保护以及是否会导致垄断的问题。

起源

这个问题在20世纪90年代引发了一场全球性的争论。起源是美国联邦最高法院在1991年对全球著作权领域产生了极大引领作用的《费斯特白页电话号码簿》案判决。[15]

法院在该案表示,如要获得著作权的保护,一个作品仍然必须具备最起码的“独创性”(虽然门槛非常的低),既不需要达到“额头流汗”(sweat of the brow)的程度(或高度),也与投入了多大的智力劳动或资源从事作品相关信息的汇集没有任何的关系。法院在评价“额头流汗”(也就是“智力劳动成果”论)时指出,这个要求寓含了无数的瑕疵,而其中“最刺眼”(most glaring)的缺陷是,它把对汇编(compilation)作品的著作权超越了对筛选和排列布局(selection and arrangement)的保护,也就是越过了汇编者的原创贡献而直接对于事实本身从事保护。这就让对侵权指控唯一能够成立的抗辩是“独立创作”(independent creation),也导致后来的汇编者对于在先出版或发行作品当中的任何信息连一个字都不得援引或使用,必须从一样的共同信息来源完全独立操作然后得到相同的结果。这样的结果很明显地违反了著作权法最重要的根本法则:没有任何人可以对思想或事实享有著作权保护;而且容易造成人人自危,不知所以,势将严重限缩各种创作的产生。[16]

这个判决出台时全球还没有进入到互联网的时代,但却对后来整个电子商务的发展产生了巨大的影响。所谓的“白页电话号码簿”(The White Pages)其实就是一个数据库,而互联网或虚拟环境下的每一个网站、网页基本上也都是由不同的数据组合而成的数据库。联邦最高法院显然也意识到了这一点,所以在判决书中特别表示,“事实性汇编的著作权是非常地稀薄。纵使具有一个有效的著作权,后续的汇编者仍然可以自由使用其中所收录的事实来帮助准备一个竞争性的作品,只要该竞争品没有对筛选和排列从事同样的呈现。”[17]

后续

这个判决,尤其是联邦最高法院的这一句表述显然对美国后续的司法实践产生了巨大的影响。从后来的案例可以看出,无论是在上诉法院或地区法院的层级,法院鲜少会判决整个数据库完全没有著作权,实际上诉讼当事人也绝少会对整个数据库是否享有著作权保护提出质疑或挑战。主要的争点是聚焦在具体的数据库当中著作权保护所能及于的范围,而且多数案件的判决结果显示,即使有著作权,对于数据库当中整批数据的取用往往依然不构成侵权行为。[18]

尤其具有反差性与讽刺性的是,当一个数据库的内涵愈为充实,涵盖了海量领域或范围的事实信息时(“大数据”),通常反而意味着其中容易欠缺“筛选”,而且相关的“编排”已然相当固定明确,也就难以获得著作权的保护。然而这也往往却是最具使用便利性和商业价值的数据库。[19]

特殊赋权

无论如何,这个由全体大法官一致通过的经典判决几乎不可能被推翻,除非要彻底动摇整个著作权保护体系的基础。因此电子商务的运营者便改变策略,试图游说和呼吁透过以立法特殊赋权sui generis right)的方式对数据库给予保护。不过有若干问题必须先行厘清:

首先是保护内涵与范围。有的数据库或汇编(不是数据本身)就已经包括了个别具有著作权的作品或由这些作品与其他不具著作权保护要件(独创性)的元素共同组合而成,有的数据库则是完全由纯粹反应各种事实的数据所组成。主张特别赋权只是打算针对原本不受著作权保护(即不具独创性)的部分设置一个特殊的保护,不是对于原本就有著作权保护的部分再增加一道额外保障,更不是扩充既有的著作权保护范围。因此相关的政策讨论必须完全聚焦于究竟要保护什么以及这个保护的性质与内涵应该如何明确定义以及应与著作权从事如何的区隔。

其次是资金与信息来源。这是指必须区别数据库的编纂是否涉及公领域的投入抑或纯粹是私人的资助(或投资)汇集而成。如果是前者(包括由政府机构自己独完成或是透过全部或部分资助委托完成的项目),由于其使用了纳税人的公款,基本的政策原则应当是,除非涉及国家安全等特殊的保密要求,原则上该数据库应维持对社会公众一定程度的开放和自由取用,任何涉及对其后续的转让或限制他人的使用都必须依法受到监管。与此相关的另一个问题是数据信息的来源究竟是单方抑或多方。

至于透过单一信息来源所组建的数据库而言,基本上其中的内容往往难以从其他的渠道获得,就表示难有能与其竞争的替代者,也就容易形成垄断。这表示在政策上必须更加关注如果对此种信息垄断予以赋权的话将对市场的竞争和发展所造成如何的影响。在互联网时代,对于握有市场领域或生态圈(market ecosystem)入口地位的优势平台而言,这个问题尤为凸显。

第三是使用方式与目的。有的数据库在功能上犹如一个制造过程当中的工具,主要是被用来形成更多派生的最终产品(以数据作为制造的中介);有的主要目的就是直接供终端使用者从事利用(以数据作为最终的产品)。隶属于美国国家科学研究院(National Academy of Sciences)的国家科学研究委员会(National Research Council)在一个关于数据的研究报告则是从对数据库的使用区分为终端使用(end use)与派生性使用(derivative use)。[20]

在前者,最常见的情形是使用者在从事某个与工作、个人需求有关的事项时直接取用数据库内的信息来确认某个信息或是作为某个论述的参考佐证;后者则是把既有的单个或多个数据库内的信息从事转化性或增益性(附加价值)的运用,在既有的基础上形成一个新的信息产品。

美国国家科学研究委员会的调研显示,派生性的使用已成为当前从事规模性调研最为重要的工具(例如对各种生物基因组合的图谱排列),也让数据库的发展更具动态性而且更加的复杂多元,尤其透过交互式检索与数据分享等反馈能够让数据库产出更高的附加价值。由此产生的顾虑是,一旦在政策上对于数据库赋权,就形同对各式的信息分享设下了屏障,并可能导致过度的商业化,也就会直接或间接阻碍各种未来的科技与人文研发。[21]

对数据库究竟是否应该以及如何给予保护虽然引发了很大的争论并产生了至今依然分歧的结果,不过在一个基本指针上则是具有共识:对于不具独创性的数据库如要赋权保护,真正要保护的是对数据库的投资利益(包括人力、科技、财务和时间等等经济性与非经济性的多方面投入)。[22]因此如果要“特别立法”也必须与著作权的保护范围做出明确的区隔,对于本来就已经符合著作权保护要件的部分(如果有的话),就不再另行赋权,形成双重或多重保护。

现况

目前全球对于不具独创性的数据库的保护方式可分别以欧、美两地的不同取向为代表:欧盟采取了以“公律”来保护的手段,也就是上述的“特别立法”,于1996年通过了《欧盟数据库指令》作为整合各成员国国内立法的指引和依据。[23]美国国会原本也曾不断提出立法动议,但始终未能获得足够的支持,其中还产生了是否合宪的争议。[24]鉴于整个态势让通过这样的一个立法的机会益趋渺茫,业者便改以“自律”的方式来维护自身的利益,也就是以合同来建立并绑定与使用者之间的法律关系,要求使用者必须同意由网站提供者事先拟好的一个制式性合同才可以取得浏览通行或使用的许可。这也成为当前所有电子商务运营的基本操作模式。

虽然美国国内的相关立法尝试迭遭挫败,但显然并未对当时的克林顿政府试图与欧盟联手进一步推动从国际上来给数据库某种特别的公约保护形成阻挠。在双方的共同运作下,世界知识产权组织(World Intellectual Property Organization, 简称WIPO)于1996年12月2~20日召开了一个“关于若干著作权及邻接权问题的外交会议”(Diplomatic Conference on Certain Copyright and Neighboring Rights Questions),讨论并通过了在互联网环境下的国际著作权保护的两项多边协定,即《世界知识产权组织版权条约》(WIPO Copyright Treaty)和《世界知识产权组织表演和录音制品条约》(WIPO Performances and Phonograms Treaty)(合并通称为“互联网条约”(The Internet Treaties))。[25]不过美方代表其实还提出一个了关于对不具独创性的数据库给予特殊保障的建议并透过相关的委员会主席提出了具体的条约草案(共21个条文)。[26]但是因为各国代表对此意见分歧,不少国家的代表认为还需要更多的时间来仔细研究,加上会议本身的时间非常有限,如果要继续在这个议题上纠结就很可能来不及通过另外两个条约,所以这个议题最后被搁置,留待后议。虽然世界知识产权组织后来对不具独创性的数据库如何保障又从事了6个调研并召开了一些会议,但都难以形成共识,最终则是不了了之。[27]

评论

虽然美国国内和国际组织尝试以特别立法(公律)来保护不具独创性的数据库都以失败告终,其中还是有若干的发展值得一提。

首先,欧、美两地对非独创性数据库给予保护的发展进程彷佛是对行的两条平行线。双方都在1996年推出了各自的立法草案,欧盟方面一开始是从反不正当竞争的角度切入,仅提供有限的保护,然而最后却大幅膨胀并转化成了一个变相或“异化”的著作权法,甚至在某些地方还超过了一般著作权法所赋予的保护范围。[28]

美国方面则是从一开始就提出了一个与《欧盟数据库指令》内容非常近似的规模性立法草案,但因为争议太大,经过多年多次的反覆妥协和对其中内容的淡化处理,成为借鉴《欧盟数据库指令》与美国既有司法判例的一种混合体,从不正当竞争的角度用民事“窃取”(misappropriation)作为给予保障的基础。[29]

例如,虽然《欧盟数据库指令》宣称只是创设了一个特殊的数据库权利,实际上却与以往用“额头流汗”(sweat of the brow)作为著作权赋权的基础难以区别,都以是否投入了“相当投资”(substantial investment)以获取、确认或呈现其内容作为是否可以获得权利的基础。亦即只要有相当智力劳动或资金的投入,不问是否具有独创性就可以获得赋权。

在具体的权利内涵方面,《欧盟数据库指令》第7条要求对不具独创性的数据赋予“抽取权”(right of extraction)和“再使用权”(right of re-utilization)。前者是定义为“以任何方式或形式将〔数据库的〕全部或相当部分内容予以永久或暂时性的转移到另一载体〔或介质〕”,也许表面的用词不同,但与著作权法的“复制权”实在没有如何的差异;后者则是定义为“透过散布复制品、出租、线上或其他形式的传输,以任何形式向公众提供一个数据库的全部或相当部分内容”,实际上等于汇集和包裹了著作权法当中的其他权利,如“向公众传输权”、“散布权”和“展览权”等。又如表面上指令仅提供了15年的保护期限,然而只要对数据库不断从事更新而且显示有“相当投资”(包括对数据库的维持与内容的确认等等),就可以获得一个全新的保护期间,实质上便等于取得了无限期的保护。

在侵害认定方面,《欧盟数据库指令》第8条逐字引用了《伯尔尼保护文学和艺术作品公约》(Berne Convention for the Protection of Literary and Artistic Works)第9条第2款原本作为考量是否构成著作权合理使用的“三步分析”文句,却将其转化为侵害认定的标准,另外还采取了从质与(或)量同时评价的做法。把数据库的“品质”或“质化分析”(qualitative analysis)纳为侵害的测试基准(显然是为了保护数据库的投资利益)却可能会引发一个相当大的潜在问题。指令并未对“质化分析”提供进一步的定义和说明,但可以看到这至少替数据库的制作或提供者开启了一个求偿的便利之门。因为这可让数据库的提供者即使在被引用的非独创性数据“数量”相当有限的情况下却仍然主张该少量数据对其数据库的总体“品质”具有相当显著的影响。

此外,《欧盟数据库指令》第9条对于此一特殊权利的行使只容许在下列三种极为有限的情形下可以例外地受到限制(即容许他人可以不经许可对公共数据库当中的非独创数据从事相当程度的抽取或再使用):(1)对非数字化或电子化的数据库从事抽取只限于私人目的(对业经数字化的数据库则无此例外);(2)关于从事教学或科研的抽取,必须注明出处和达成何种非商业性的目的;(3)为公共安全、行政或司法程序所从事的抽取或再使用。

因此,即使涉及纯粹采用事实内容的新闻报道都无法享有任何的例外(欧盟在2019年藉著《数字单一市场著作权指令》的通过更创设出了“新闻出版者权”(press publisher’s right),也引发了更大的争议,详见后述)。因此,仅从上述的分析即可看到,欧盟的这个指令实际上所涵盖的保护范围已经凌驾了著作权,给予不具独创性的数据更大范围的保障。

案例与成效

欧盟法院(Court of Justice of the European Union,简称CJEU或ECJ)在2004年9月11日同时对三个涉及欧洲足球赌局和一个涉及英国赛马协会的数据库案件出台了判决,采取了所谓的“派生理论”(spin-off theory),大幅限缩了《欧盟数据库指令》的适用范围,表示此一“特殊权利”只适用于“首要数据库”(primary databases),即按照《指令》第7条第(1)款规定的字面意义,所要保护的只限于纯粹为了“获取、确认或呈现特定信息”所从事,独立于原本属于企业运营投入以外的投资(包括人力和物力等资源)。

因此凡是在企业一般运营过程中所开发出的信息(附带性数据,例如在物联网(Internet of Things)的环境下游机器所自动生成的数据等),之后再被纳入或组建成为数据库的部分都属于“派生性数据”,无法获得这个指令所赋予的特殊权利保护。[30]

这四个判决的出台对欧盟市场造成了很大的震撼,因此欧盟执行委员会(European Commission)随即在翌年展开了一项调研并发布了报告,对指令的执行成效进行首次的实证分析和评价。[31]调研的结论是,一方面这个指令的出台基本上已经达到了让欧盟各成员国整合相关规制的目的,但在另一方面指令所赋予的“特殊权利”对欧盟的“数据库产业”发展并未产生能够确证的正面或负面效果。[32]此外,调研报告认为,由于欧盟法院对这个指令的适用范围大幅限缩,也就形同事先免除了这个指令是否会对相关市场的竞争造成负面影响的顾虑。[33]有学者便指出,这个结论试图替自己缓颊,但实际上已经表明了当初通过这样一个版本的指令是个错误,浪费资源和时间。[34]

除了欧盟层级的案例和调研分析,一些成员国在落实这个指令与其国内既有的规制整合的过程当中发生了“方枘圆凿”的困难,各国对于指令的解释也未必一致。例如,在法国的一宗案件,由原告所提供,关于当地各项公共建设项目的招标信息基本上完全来自其客户的反馈和贡献,而且客户要列入其相关名录还需支付费用,因此原告对于此一数据库的建构不但没有从事任何显著的投资,事实上还获得了相当的收益。被告则是完全搭载原告的“顺风车”,未经同意大量撷取了原告的信息然后用传真方式转发给其现有或潜在的客户,明显想挖原告的墙角(被法院判认为“寄生虫式的侵害”)。

法院面临的难题是,如果依据法国的反不正当竞争法,被告的行为显然侵害了原告的利益;但如果依据《欧盟数据库指令》,原告则无法获得“特殊权利”的保护,因为原告从未对其数据库给予“相当的投资”,也就没有任何侵害可言。巴黎上诉法院(Cour d’appel Paris)最终采取了迂回折衷的方式,在法国国内法没有抵触欧盟指令的范围内判决给予原告损害赔偿。[35]相反的,在前述的英国赛马协会案,负责初审的英国高等法院(The High Court of Justice)莱迪法官(Sir Hugh I. L. Laddie, J.)则判认“相当投资”只是个相对低度的门槛要求。[36]

由于各成员国的司法实践并未对指令的落实形成一致的见解,欧盟执行委员会于2018年对这个指令的执行成效又进行了最新一轮的实证分析和评价。[37]整体而言,这次的调研延续了2005年的结论:没有证据显示此一特别赋权对欧盟的数据库产业完全起到了激励投资的效果,也没有对各利益相关者(stakeholders)创造出一个具有完整功能的准入(或取用)体系(fully functioning access regime)。至于原本受到关切的潜在负面效应,如数据闭锁(data lock-up)或相关的反竞争状态等,很可能还是因为欧盟法院对其适用范围的限缩,迄今尚未发生。

由于与数据库有关的方方面面在这个指令所导致产生的市场环境下已经存续了20多年,虽然各方对于这个赋权还是有著截然不同的意见,但至少到目前为止还维持了“水波不兴”的局面,因此欧盟执行委员会最终建议维持现状,不考虑废除或从事规模性的修改。[38]这个结论也直接反应到了欧盟在2019年通过的《数字单一市场著作权指令》(Digital Single Market Copyright Directive,简称《DSM指令》)当中,包括首先在第1条第2款开宗明义表示,除了第3、4、和24条的修正内容,新的指令对对1996年的数据库指令没有任何影响。[39]

为了促进创新,新的修正内容允许研究组织(research organizations,指大学、研究机构或其他主要以科学研究或相关的教育活动为宗旨的非营利性或公益组织)和文化传统机构(cultural heritage institutions,指可供公众取用的图书馆、博物馆、档案馆或影音记录保存机构)可以不经许可迳行从事相关的文字与数据挖掘(text and data mining)并可对获取到的数据信息予以保留储存以供后续的科技研发或是作为确认数据正确性的依据。由此可见,诸如公共电视台或广播组织以及商业性或营利性的研究机构还是需要经过许可,不适用这个例外规定。

自律

前已提及,相对于欧盟采用“公律”对不具独创性的数据库予以特别赋权的做法,美国则是因为立法无望而完全走上了“自律”的道途,以签订制式性的使用许可合同来作为主要的保护方式(在实体物称为“拆封许可”(shrinkwrap license),在网络环境则称为“点击许可”(clickwrap license),亦即使用者只要一拆开了物件的弥封包装或是点击了网站入口的同意按键就表示全盘接受了制式合同的条款内容)。

这种制式合同究竟是否有效、是否可以实际执行等曾经在开始时遭到各界相当的质疑,不过司法判决原则上已经给予相当充分的支持。例如,在一个对后来发展颇具影响的判决,美国联邦第七巡回上诉法院表示,以合同条款来限制被许可方的复制行为仍然有效并可执行,不受联邦著作权法“先占”(preemption)的影响或被取代。[40]

也是受到这些司法判决的影响,美国的“法律统一委员会”(Uniform Law Commission)[41]在20世纪90年代末期特别针对与计算机软件和其他数据信息相关的许可协议着手起草一个新的“模范法规”(model act),希望能推荐给各个州议会通过成为立法。[42]其中不乏颇具争议之处,甚至差点导致整个项目胎死腹中,但最终还是出台成为《统一计算机信息交易法》(Uniform Computer Information Transaction Act,简称UCITA),并迅速获得弗吉尼亚州(Commonwealth of Virginia)和马里兰州(State of Maryland)通过成为当地的法律。[43]

虽然迄今依然只有这两个州接受了这套规制,但其影响却不容小歔,因为已有不少的合同便是选择以这两个州的法律作为准据法。[44]这套规制当中最重要的精神是“契约自由”,容许当事人可以自行订立超越法规范围的许可协定。[45]因此许可人可以限制被许可人从事合理使用、制作存档或对第三方从事转让等。这自然对许可人或所有人极度有利。不过法院依然可以特定的合同内容“不合情理”(unconscionable)或违反根本性的公共政策(fundamental public policy)判决该合同部分或全部无效或无法执行(unenforceable)。[46]

在欧盟方面,即使已经有特殊赋权保护,当地的厂家以合同作为保护的手段也极为普遍。欧盟执行委员会在2018年对《欧盟数据库指令》的成效调研分析报告显示,有52.5%的数据库所有人依赖合同作为最主要的保护方式,有40.3%的受访者同意或强烈认同合同可以提供比指令更好的保护。在出版和金融领域,相关的比例则是更高,使用合同的比率分别达到了78.6%和100%。

此外,欧盟法院在最近的判决中也表明,合同与指令的保护互不排斥;只要不违反成员国的国内法,数据库所有人可以透过合同在指令之外增加对使用者的限制。[47]调研报告因此总结:“合同对于保护数据库的投资扮演了一个主要的角色。根据数据库的业者,能与其重要性相比拟的只有技术保护措施。反不正当竞争法似乎只占了相当次要的地位。”[48]

经过四分之一个世纪的实践和经验,对数据库究竟在法律上要如何看待和处理,固然在表面上还是呈现出欧、美两种不同的取向和模式,但是实际上已经趋同,即以订立许可合同作为当事人之间最主要的规范工具,兼以技术保护措施作为配套。而且也正因为以市场机制下的许可使用作为导向,反而迄今没有出现大量的诉讼案件,也让电子商务的运行能够更加的顺畅

从某些方面来看,虽然以合同作为手段有其局限性,却反而可让制订合同的一方在相当的程度和范围享有主控的地位,以一纸合同行走全球,不需要到各别国家去游说立法,争取支持,耗时耗力,也更符合互联网时代的需求。对使用方而言也可以在弹指之间快速的获得对特定数据库的取用权限,非常简便。

这也显示处理知识产权的问题贵在多管齐下,以合乎市场机制与人性化的管理为优先,兼以技术措施与法规执行作为辅助配套,最终逐渐让法律成为备而不用的环节,大量节省因诉讼所造成的资源和时间耗费

三、新闻出版者权

内涵

能够体现数据价值(尤其是及时性价值)的一个重要指标是新闻报道。这也成为欧盟《DSM指令》当中最具争论性的内容之一。《DSM指令》第15条所规定的“新闻出版者权”既是欧盟新创的一个邻接权(neighboring right或“相关权”(related right)),又与数据保护息息相关(因为涉及对不具独创性的新闻事实报道予以赋权)。其主要的目的是作为给投资新闻创作的经济回报,具体的内容是:

1、额外赋予新闻出版者对其新闻报道从事网络使用的复制权向公众提供权(right of making available to the public),包括当信息社会服务提供者(如谷歌(Google)或脸书(Facebook)等网络平台)在网络上使用新闻内容时,纵使该新闻报道不受著作权保护,在该新闻报道出版日起2年,仍需经许可并支付相应的费用才可从事复制或信息网络传播。

2、在下列三种例外情形排除适用上述的条款:

  • 个人的私人或非商业性使用,
  • 网络链接行为,或
  • 个别字词或非常简短的摘录。

3、各会员国应于2021年6月前将指令规定转化为国内法,完成整合。[49]

争议与评论

1、欠缺实证调研基础

在互联网时代,网络平台服务提供商(Internet platform providers,简称IPPs)往往也同时扮演了所谓“新闻聚合者”(news aggregator)的角色。不少的调研显示,这已成为当前欧盟多数人获取新闻信息的主要来源之一。[50]

因此当欧盟执行委员会提出《DSM指令》第15条的立法草案时(当时是列为第11条),显然认定作为“新闻聚合者”的平台服务提供商不但没有开创出“市场扩张效应”(market expansion effect),反而还造成了“替代效应”(substitution effect),亦即认为新闻聚合者在其平台上已经提供了足够详细的信息以致于用户不再有兴趣或是觉得有需要链接到原始的出处去阅读完整的新闻报道。于是这就导致新闻媒体在网络流量与广告收益等各方面的大量损失,继而又产生连锁反应与恶性循环,最终造成创作量的大幅下跌,也让一般人对各种新闻内容的接触和取用更加不断下滑。然而实际的状况是否果真如此恐怕还有很大的商榷余地。已经有学者专家对这个立法的基本前提提出了批判,尤其如果参酌德国和西班牙的经验,实际的状况显非如此,更不是直截了当的因果关系。因此批评者认为欧盟执行委员会的这个前提假设太过表面化,这样规定反而会对网络电子商务的供需造成不当的干扰。[51]

2、市场的对应与屏蔽效应

这个要求新闻聚合者必须事先寻求新闻内容出版者的许可并支付费用的规定经常被称为“链接税”(link tax)条款或直接被称为“谷歌税”。对此,谷歌公司的一位高阶主管曾经表示,“真正让我们担忧的并不是费用,对谷歌而言那可能无关痛痒,而是如此一来所创设出的前例。试想我们是不是还得向每一个把自己烹饪的食谱放到网络上的人寻求事先许可还要签约付费?”谷歌负责新闻业务的副总裁则是进一步警告,这个规定很可能会产生始料不及的后果:在《DSM指令》出台生效前会出现在“谷歌新闻”(Google News)当中的各种新闻出版者大约有八万个左右,由于现在谷歌必须同这些出版者一一协商订立许可协议,在有限的时间和资源下,这就意味着谷歌势必得严选慎挑,大幅限缩未来所能涵盖的媒体范围,以后就只能从非常有限的新闻来源提供内容。[52]

这个“链接税”条款的一个根本问题是,虽然欧盟执行委员会在其幕僚的工作报告中列举了许多统计数字试图显示当前“报业危机”(newspaper crisis)的严重性,然而却始终未曾提出“关联性的”实证数据与经济分析,显示增加这个“新闻出版者权”将会替新闻出版业者带来如何的经济收益;也没有提出任何证据来支持成为新闻聚合者的平台服务提供者与新闻媒体之间究竟产生了如何的“替代效应”,因此也就难以建立前者的所获利益是以后者的所受损失为代价,无论是直接或间接的因果关系。[53]毕竟传统实体新闻出版的利润不断下滑的主要导因是人们可以从网络获得同样的内容甚至更多附加内容(如多媒体的呈现)、更为实时的相关新闻以及在数字市场电子商务环境下的新型广告经销模式,这些都与搜索引擎或是新闻聚合市场没有如何直接的关联。

相反的,从德国和西班牙之前的经验反而显示新闻聚合者对于个别媒体的网站流量增长具有相当重要的贡献。德国的经验进一步显示,自从该国修法对新闻出版者设置了这个类似邻接权的“附加权”(ancillary right)后,对于像谷歌或脸书这种大型并具有绝对优势地位的新闻聚合者而言,最直截了当的做法就是把凡是没有同他们订约的所有检索结果悉数过滤掉,以免替自己带来侵权诉讼的风险。这样一来就会直接导致使用者在从事检索时将再也看不到不知有多少原本应该被呈现列出的检索结果,这自然也会对网络最重要的一项功能——检索——的质量造成非常不利的影响,也必定会连带大幅限缩了使用者接触和取用网络各项资源的能力,甚至导致因信息不足而误判状况。但是如果谷歌真要这么做,也可能会重挫本身的商誉和信用。

3、违反国际公约与保护过当

学界对这个赋权举措的另一个批判是,这条规定涉嫌违反国际公约。《伯尔尼公约》第2条第(8)项规定明确排除了对“日常新闻或仅止于具有新闻信息性质的杂项事实”(news of the day or to miscellaneous facts having the character of mere items of press information)给予著作权保护。因此,即使要赋权给新闻出版者,其范围自然也应受到同样的局限。但是欧盟的这个指令显然没有设定任何的限制,因此明显逾越了国际公约所容许的范围。不但如此,如果撷取某个新闻报道的一个片段或是对新闻内容从事其他的数字使用(例如所谓的“文本挖掘”或“文本探勘”(text mining)等)都还有可能被这个新设的“权利”所覆盖(《DSM指令》并没有明确定出相关例外的分际),那么这种对原本根本不应享有任何知识产权的数据从事赋权不但构成保护过当,而且势将对未来科技的研发和教育、知识的分享造成相当不利甚至严重的影响。[54]

4、与反垄断的竞合

前已提及,如谷歌或脸书等具有绝对优势地位的新闻聚合者,为了避免惹祸上身,最简单、也最直截了当的做法就是藉助人工智能等机械手段,只要在检索过程中出现了没有与其订立许可合同的媒体新闻就立即全部自动撤除,根本不会显示在最终的检索结果当中。这就让法国竞争委员会(Autorité de la Concurrence)决定出面干预。为了促使谷歌尽速与该国的新闻内容提供商展开相关的授权协商,该委员会于2020年4月9日公布了一个长达72页的“暂行措施”(interim measures/mesures conservatoires),其中禁止谷歌与各家新闻内容提供商进行协商的过程中把任何关于新闻检索的结果自动排除或撤除。[55]

这样的做法可说是非比寻常,因为根据欧盟反垄断规定,传统上只有当权利人拒绝提供(refusal to supply)其享有著作权保护的作品给竞争者时可能会产生是否构成滥用权利的行为;但这回却变成了如果是谷歌拒绝向著作权利人要求提供作品就会被视为滥用其优势地位(即使承受高度的诉讼与侵权赔偿风险)。这形同法国政府在直接干预一个跨国企业在当地的运营自由和选择。所以谷歌毫不意外地已经对此提出上诉。

另一方面,诸如网络社交平台、检索等已经成为当前使用互联网不可或缺的关键设施或服务,本来的市场准入门槛就已非常之高,让后来的竞争者无论从技术、管理与数据的累积等等各方面都难以望其项背。现在突然再增加这么一道必须取得媒体出版者的许可并支付相应费用的新门槛,无异于假立法之手把这道门槛拉抬得更高了,而且明显只会对既有的优势平台服务提供者给予更大的优势。换句话说,这样的立法涉嫌以行政(公权力)帮助特定企业形成更大的垄断。

前已提及谷歌高层主管的担忧:是否将来只要一有任何人把到可著作权保护的著作物给放置到了网络上(从而可以被检索到),如谷歌等所有的搜索引擎企业或具有这个功能的任何网络平台都必须从事许可协商?从法国竞争委员会还必须出具一个极具争议性的“暂行措施”作为配套就可见到其中的具体执行将有多么的困难。无论如何,欧盟指令做出这样的规定和要求的确不排除将来可能会导致检索的质量在一定程度上会下降,这对未来新闻传播事业的发展会造成如何的冲击也还在未定之天。

此外,可能最具逻辑反讽意味的是,众所周知,谷歌的主要收益是来自广告。在实际的操作上除非使用者点击了相关检索的超链接然后联系到原始的网站,谷歌就无法从中获得任何的利润。因此如果真的是因为谷歌检索呈现的结果太过翔实导致使用者没有兴趣再链接到原始的网站从事进一步的浏览,反而意味着谷歌整个经营模式的失败,也显然完全不符合谷歌自身的利益

由于对新闻的转载基本上就是对特定形式数据库的内容从事取用,借鉴过去的经验和实践,最佳的处理方案恐怕还是要让这些数字市场的各个角色扮演者以自律的方式去找出最符合大家共同利益的合作共赢方案(事实上目前已有多个,而且成效颇为可观)。主管机关所需要做的只是确保这些企业或厂商的所作所为符合反不正当竞争、反垄断与消费者保护的法规、政策即可。欧盟这样突如其来增加一个新的权利,而且还形同在推行一个变相的强制授权机制,不但不能替整个体系找到一个适当有效的平衡,却反而制造出更多的问题和混乱,甚至造成“寒蝉效应”,徒然让未来的检索质量很有可能会不断下滑。

澳大利亚的发展

欧盟的做法至少还先透过赋权的方式给了新闻媒体一个立足点作为与同时扮演了新闻聚合者角色的网络平台进行协商的基础(哪怕这个赋权本身就非常值得商榷,已如前述)。澳大利亚的做法则是更加的“简单粗暴”,直接摆明了要针对谷歌和脸书“空手夺刀”,硬性强制这两个网络平台必须付费给新闻提供者,完全不问其中的权利基础与法律关系究竟为何。

澳大利亚联邦国会在2021年2月25日通过了一个《新闻媒体暨数字平台强制协商法》(Treasury Laws Amendment (News Media and Digital Platforms Mandatory Bargaining Code) Bill 2021)。[56]其中并未采取欧盟的做法创设任何新的权利,而是直接强制网络平台(主要还是针对谷歌和脸书两家)与该国的各主要媒体比照劳资争议处理的模式进行协商,建立对使用新闻内容的付费标准。如果协商不成就要移交强制仲裁程序来裁判。[57]

澳大利亚国会通过这个新法之后谷歌随即选择妥协接受,但脸书则进行全面性的抵制,把当地所有的新闻分享全部断绝,结果一度造成了相当大的问题,也导致澳洲政府和国会议员对脸书提出了严词抨击(几乎都是在脸书上发表)。[58]不过双方最终还是达成了协议,澳洲国会也对法律做了一些技术性的修改,基本上是给网络平台较多的时间进行协商,并将在该法通过之前就已经达成的协议一并纳入作为是否已经合规(compliance)的考量,另外就是政府必须在出台其最终认定的前一个月给网络平台通知等。[59]目前两家企业已经与澳大利亚当地的若干主要媒体展开协商,有的已经达成协议(事实上谷歌在法律通过前已经和两家媒体谈妥)。[60]

值得注意的是,虽然该国的政府部门、大型媒体都支持这个立法,小、微媒体却认为这样的法规文句只会让大型媒体蒙利。所以并不是所有的媒体都支持这项立法。[61]

究竟欧盟与澳大利亚的做法是否会产生更大的“涟漪效应”(ripple effect),让其他的国家或地区准备跟进,以及究竟这样的举措可能会对整个数据库领域(尤其是涉及新闻内容的数据库)产生如何的冲击,目前还难以评估,只能有待时间来检证。但是各界已经出现了许多表达严重关切的声音,尤其认为澳大利亚国会已经开了一个非常危险的先例,将会导致发生完全无法预期的严重后果。[62]

四、隐私权

前已论及,个别不具独创性的数据本身基本上无非就是体现特定的事实,因此没有任何的权利可言。但是由一个或多个组合的数据却可能会呈现某些个人隐私(例如,从购买的商品等推知可能未婚先孕),甚至影响其人身安全(例如,泄漏对刑事案件秘密举报者(“吹哨人”whistleblower)或关键证人本应保密的身份等)。

在经过规模性和更精细的数据(大数据)分析后,这方面的问题更加容易出现。但是数据分析显然对于企业的运营、更准确的管理库存、更具效果的行销等等具有极重要的价值。因此,一方面是从数据(或大数据)背后所折射出的个人隐私需要给予保护,另一方面则是企业对消费者或使用者需要提供更具效能、更符合需求的产品或服务。如何在这两个需求之间取得适当、有效的平衡,便成为极具挑战性的课题,在互联网和大数据的环境下尤其凸显

(一)概念与定义

隐私权(right to privacy)的概念可上溯到12至13世纪的罗马法,对于拉丁字“ius”的使用已逐渐从原来的“法律的公正性”扩展到个人对某件事物能否占有或控制的主张,已经类似于现代对“权利”的概念;而且这个起源于自然法的概念从特定的视角而言,意涵着所有人都是平等的(无论是天主教或基督教的教义都认为所有的人是依照上帝的形象打造而成,可以按照自己的理性自由行动,特别对于善恶的理性判断等等),于是也逐渐让个人的自由与尊严产生了连结。[63]

当代首先把数据与隐私保护予以连结,也就是因数据的揭露可能产生的隐私保护问题与应有的法则可溯源到经济合作与发展组织(Organisation for Economic Co-operation and Development,简称OECD)于1980年9月23日通过,给各成员国作为立法参考的一项决议。[64]其中列举了八项基本原则:

(1)有限搜集 —— 数据的搜集应有限度而且必须是以合法公平的方式取得,而且应在适当的情形下征得数据主体(当事人)的同意或认知;

(2)数据质量 —— 个人数据应与所欲使用的目的相关,而且为达成其目的在必要的范围内应确保其正确性、完整性与及时性;

(3)具体目的 —— 应在搜集个人数据之前表明其目的并将其后的使用局限于达成其预定目的,或从事其他的使用不可与原先所定的目的不相容,如需改变其目的的亦需表明;

(4)使用限制 —— 依据前项原则,个人数据不得从事表明的目的以外的揭露、提供或用途,除非

  • 获得数据主体的同意,或
  • 依据法律的授权;

(5)安全保障 —— 个人数据应以合理的安全措施给予保护以避免流失或对数据从事未经许可的接触、毁坏、使用、修改或揭露;

(6)公开透明 —— 对于个人数据的开发、使用实践与做法应建立一个通用的公开政策。应建立随时可供确认是否存在个人数据和其主要使用目的的方式,以及数据控制者的身份与通常的居(住)所;

(7)个人参与 —— 个人应有权:

  • 从数据控制者确认是否获取了其个人数据、
  • 在合理期间内与用合理方式与容易理解的形式被告知所获取到与其相关的个人数据,如有任何费用,亦不得过度;
  • 依前两项提出要求遭拒时,可对该拒绝提出挑战;
  • 对其相关的数据提出挑战,如获成功,可将数据予以删除、纠错、补充或修改;

(8)责任承担 —— 数据控制者应对于做到符合上述原则承担责任。

在每个原则的背后原本都有各种利益的争辩与搏奕,所以可以说从一开始就充满了相当的争议(例如如何平衡对数据的安全保障与公权力以国家或社会安全的需求为由进行的取用和调查,以及授予消费者或使用者这些权利是否会导致交易成本过高,反而产生反竞争的效应,让既有的大型网络平台或服务提供者,尤其是反而更加强化了入口或接口位置的所谓“把关者”或“守门员”(gatekeepers)的控制力等)。

然而经济合作与发展组织的成员国最终依然能够达成共识,主要是因为一方面全球在1970年代陷入了相当严重的经济不景气和社会的不安与动乱,另一方面透过计算机系统来从事运算同时带来了各种新的契机和风险。成员国的主要考量是希望能对其中涉及个人隐私保护的问题订立作为基础的一些原则,从而可以确保彼此之间的信息流通,不至于因为隐私保护的争议和诉讼等因素形成对全球经济和社会发展的障碍。[65]

这个决议对于后来全球相关领域的法制发展产生了很大的影响。据一项研究显示,截至2017年1月,全球已有120个国家和地区通过了关于数据保护的立法。[66]其中欧盟是完全接受了上述的八个原则并反应在其相关的规制当中,其规制也是目前国际间最具指标性和影响力的立法。美国迄今始终没有制订一个全面性的联邦立法,于是产生了迥然不同的面貌。

(二)美国的发展

把违反或侵害他人的隐私列为侵权责任的概念最早始于美国,可上溯到一篇刊载于1890年12月15日出版的《哈佛法学评论》(Harvard Law Review),由两位当时在波士顿的律师山谬‧华伦(Samuel Warren)和路易斯·布兰代斯(Louis Brandeis,后来成为美国联邦最高法院大法官)联合撰写,题目就是名为《隐私权》的论文。[67]文章开篇就破题阐明:“每个人应对其人身和财产获得完全的保障是个与普通法同样古老的原则,但却不时需要对其具体的性质和范畴予以重新界定。……法律权利的范围逐渐扩大,以致现在的生命权已经成为是指享受生命的权利 —— 即不受打扰的权利;……”[68]至于如何具体定义何谓“不受打扰的权利”则还有待将来的司法实践去逐步探索、厘清。

在互联网时代,信息数据传输已经成为带动整个社会和经济发展最重要的神经系统。一旦发生对隐私或关键信息的侵害,往往是规模性的重大破坏。因此数据、隐私保护与网络安全已经融为一体,成为当前最重要的社会与经济课题之一。

多个国际组织、不同国家的各级政府以及无数具有指标性的企业和机构在近年分别遭遇了不断的“黑客”(hacker)攻击,造成的损失与不良后果难以估计。[69]2021年5月殖民石油输管公司(Colonial Pipelines)遭到勒索软件(ransomware)攻击的事件瘫痪了整个美国东半部的汽油供应将近一整周的时间,对美国的基础设施和经济、社会造成了巨大的影响。雅虎公司(Yahoo)则是在2014年间发生了迄今已知规模最大的使用者数据外泄事件,而且是受到来自多方的黑客攻击,结果至少导致30亿名使用者的账号、密码、实名、电子邮件信箱、出生日期与电话号码等悉数被盗取并“销赃”到所谓的“网络暗区”(Dark Net)兜售,让其他的不法之徒可以对这个庞大群体当中的个别对象继续从事盗取和欺诈。[70]

美国虽然是现代隐私权保护的发源地,又历经了无数互联网的攻击破坏与数据信息外泄事件,再加上社会各界的高度关注,关于网络安全与数据隐私保护的相关法制本应十分完备才是。然而实际上却没有直接采纳上述经济合作与发展组织的建议,仅从立法来看就非常的分散、复杂和技术化(在联邦的层级至少有12个不同的法律分别规制),负责主管的政府机构也是叠床架屋、各自为政、令出多门,欠缺整体划一的体系(详见后述)。

造成这个状态的主要原因是:

(1)美国对于个人隐私保障的基础固然可以溯源到《联邦宪法》第三、四、五和十四修正条款的禁止与授权规定,[71]但传统上几乎完全是聚焦和局限于保障个人的生命、自由、财产等权益不受政府的无端侵入或干扰,并不及于他人(自然人或法人)对个人隐私的侵入,一直要到20世纪60年代末期才开始发生变化;[72]以及

(2)美国关于信息隐私保护的司法实践,无论涉及联邦宪法或各州的普通法(common law),始终呈现零星和碎片式的发展,即使偶有案例或判决认同的确存在一个范围广泛、一般性的隐私权,但是往往最终是“进三退二”,呈现牛步化的发展。[73]尤其受制于“国家行为法则”(state action doctrine)的要求,任何人如想对非政府机构或他人以侵害其信息隐私诉讼,在传统上从一开始就会面临当事人不适格或是无诉讼资格的挑战,难以跨越,而且“无论其行为可能有多么的不公正”。[74]

正因为历来的司法实践无法对信息或数据的隐私保护提供一个完整的框架,美国在这个领域主要是依靠成文立法来提供保障。但是如此一来几乎注定会是令出多门而且互不协调。与许多工业化国家的法制通常会对个人数据与隐私保障制订一个综合性、完整的法律不同,美国的隐私保障法制是分别不同的领域或部门来分别立法,这也就会让相当大的区域欠缺必要的规制。[75]

1、联邦层级的现况

鉴于20世纪70年代初发生的“水门事件”(Watergate Incident)严重挫伤了美国人民对其联邦政府的信任,国会制订了《1974年隐私法》(Privacy Act of 1974)来明确界定政府应如何处理关于人民的个人数据,希望能藉此修补联邦政府的公信。[76]后来又制订了《2002年联邦信息系统安全管理法》(Federal Information Security Management Act of 2002,简称FISMA),把政府所拥有的数据提升到国家安全的层级,并要求各联邦政府部门或机构必须设置信息安全体系并符合由白宫管理暨预算局(Office of Management and Budget,简称OMB)与国家标准与技术研究院(National Institute of Standards and Technology,简称NIST)所制订的标准。[77]不过这些都还是规制政府行为的立法。

至于前述关系到政府以外的机构、企业等应如何对其使用者或消费者的信息数据给予保护的12个联邦立法分别是:

(1)《1999年金融服务现代化法》(Financial Services Modernization Act of 1999,又称为Gramm-Leach-Bliley Act或简称GLBA,即以三位共同原始提案人的姓氏命名)[78]

主要是禁止金融机构(如银行等)未经当事人同意与无隶属关系的第三方分享消费者(或客户)未公开的私人识别信息,除非事先明确通知其消费者或客户,并给予后者“选择退出”(opt-out)或拒绝同意的机会。另外则是要求金融机构必须采取措施维护这些信息的安全,防止外界未经许可或授权对其接触取用,包括建立一套对应未经许可取用消费者信息的机制。

在主管机构方面,就数据安全部分而言,数个联邦金融规制部门对诸如商业银行等从事储蓄业务的机构有专属管辖权,不从事储蓄业务的机构则归联邦贸易委员会(Federal Trade Commission)管辖。虽然这套法律并未对受到影响的当事人明文提供任何民事救济规定,主管部门仍可依据其行政执法权限对违法者科处罚金。而且法律对“明知且故意”(knowingly and intentionally)以错误或欺诈的陈述或表示获取或披露客户信息的可处最高五年有期徒刑及罚金。

(2)《1996年可携健康保险暨问责法》(Health Insurance Portability and Accountability Act of 1996,又称为Kennedy–Kassebaum Act或簡稱HIPAA)[79]

授权联邦卫生暨福利部(U.S. Department of Health and Human Services)制订行政命令,定义需要受保护的医疗信息(protected health information,简称PHI)、所适用的对象(包括医疗提供者、健康或保险计划提供者、医疗保险索赔清算所(healthcare clearing houses)、以及该等机构的特定相关人员)、以及具体的范围等(对医疗信息的使用或分享、对消费者的揭露、对信息的保全与安全维护、以及一旦发生侵害事件对消费者的通知义务等)。[80]

(3)《公平信用申报法》(Fair Credit Reporting Act)[81]

主要是确保信用申报机构提供正确的消费者信用数据并只能使用于特定的用途。不过这套法律当中并没有任何隐私保障条款,诸如要求信用申报机构在搜集或分享消费者的信用信息给第三方之前让消费者有权选择加入(opt in)或退出(opt out),也没有信息安全保障、维护与发生事故时的通知义务等规定。

(4)《1996年电信法》(The Telecommunications Act of 1996)[82]

这是对1934年《通信法》(Communications Act)的重大修正。其中依不同的承载讯号类型分别针对一般承载者(common carriers)、有线操作者(cable operators)和卫星承载者(satellite carriers)增加了对数据保护与安全的强制性规定,包括除了特定的例外,原则上不可未经许可使用、揭露或允许他人接触取用可以从事个人识别(individually identifiable)的信息、必须设置防护措施以确保对个人识别信息的正当使用与揭露、以及必须符合关于数据泄漏的相关规制等。[83]

这个法律的执法部门是联邦通信委员会(Federal Communications Commission,简称FCC)。该委员会曾经在2016年制订一套关于保护消费者隐私的行政规定,试图对所谓的“客户商用信息”(customer proprietary information)给予非常广泛的定义,涵盖所有可以构成对个人从事识别和通信内容的信息数据。[84]不过这项规定之后遭到国会依《国会审查法》(Congressional Review Act)予以否决。[85]

无论如何,任何认为其权益受损的个人均可对涉嫌违反的承载者起诉,请求民事损害赔偿、诉讼费用及合理律师费,联邦通信委员会也可对涉嫌违法者直接提出民、刑事诉讼。[86]

(5)《视频隐私保护法》(Video Privacy Protection Act,简称VPPA)四、标题标题标题标题很长的标题很长的标题很长的标题[87]

国会在1988年制订这项立法时主要是为了在出租、购买或交付录像带或其他类似的视听材料时保全个人的隐私信息。这项法律没有对厂商必须设置保护信息或数据的强制性要求,不过还是设置了条款禁止受到管辖的厂家未经当事人事先选择加入或同意故意揭露涉及任何消费者的个人识别信息,但是属于正常业务运营过程中的附带性揭露(incident to the ordinary course of business)则不在此限。对于违反者受损害的当事人可提出民事诉讼请求禁令或损害赔偿,但无刑事的救济或处罚规定。

(6)《1974年家庭教育权暨隐私法》(Family Educational Rights and Privacy Act of 1974,又称为Buckley Amendment,简称FERPA)[88]

要求任何教育事业机构或组织必须给予家长或视学生的年龄是否已达成年给学生本人对该学生所有教育记录的控制权、审查、以及对其中内容的正确性予以挑战的机会。对违反此法的教育机构联邦教育部可采取“适当的行动”,包括由部长签发“停止令”(cease and desist order)、暂停或终止对该机构的联邦教育经费补助等。不过这个法律没有刑事处罚条款,当事人也无法直接起诉涉嫌违反的教育机构。[89]

(7)联邦证券交易法规(Federal securities laws)

虽然联邦证券交易法与相关的行政规定并没有明文对数据保护直接进行规制,不过有至少两处要求对于企业应如何避免以及对应数据泄漏会产生一定的影响。其一是联邦《证券交易法》(Securities and Exchange Act of 1934)第13条第(b)款第(2)项第(B)子项规定,所有的上市企业或需要向证券监管部门提出申报的公司必须设置并维持一套内部的会计监控系统,以确保所有的交易以及对资产的接触或取用都必须经过管理阶层的一般或特别授权。[90]

鉴于已发生多起企业遭到诈骗将数以百万计的资金错误转汇,联邦证券交易委员会(Security Exchange Commission,简称SEC)在2018年出台的一个调查报告中进一步表明,企业在布局相关的会计管控系统时,建议应一并纳入与网络威胁相关的考量。[91]其二是证券交易法规要求企业在从事必要的申报时必须注明相关的风险事项(risk factors)并予以解释。联邦证券交易委员会已经在相应的指南中表明,其中包含了必须揭露诸如数据外泄等网络安全方面的事项。违反这些会计管控合规要求的可遭受行政处罚与民事损害赔偿。故意违法的还可能遭到刑事起诉并面临到有期徒刑与罚金等。

(8)《儿童线上隐私保护法》(Children’s Online Privacy Protection Act,简称COPPA)[92]

这个法律和负责执行的联邦贸易委员会所制订的行政规定是规制对线上儿童信息的搜集和使用,适用的范围涵盖所有指向儿童的网站或线上服务及其操作者或是任何事实上知悉在从儿童搜集信息的操作者。

操作者必须向儿童的父母直接提供关于其隐私政策的通知,而且必须在其网站首页予以醒目标示此一通知的相关链接;未经儿童的父母或监护人的同意之前不准搜集年龄未达13岁的儿童的个人数据,而且此一同意必须是以可被确认的方式来操作;而且对于所搜集到的数据信息保障其机密性、安全性与完整性,如要提供给第三方之前,也必须确保该第三方提供同样的保障。违反者将被视为从事不公平或欺诈性的商业行为受到对应的行政处罚与民事损害赔偿。不过这个法律没有刑事罚则或提供个人的诉权,所以必须透过执法部门来出面执行。

(9)《1986年电子通信隐私法》(Electronic Communications Privacy Act of 1986)[93]

这个法律是由《窃听法》(Wiretap Act)、《存储通信法》(Stored Communications Act)、以及《电话记录器法》(Pen Register Act)三个子法组合而成,主要着眼于电子通信的刑事执法过程中对个人隐私的保障,不过也规定了非政府行为人必须提供隐私保障的义务。

从法规的文字和表面上来看,这套法律很可能是所有关于隐私保障的联邦法律当中覆盖最为全面的一个,没有局限于特定的领域或特定的行为主体,然而这套法律迄今产生的影响却相当有限。一个可能的原因是,基于罪刑法定原则,司法实践不愿意对其中的规定给予扩张解释,而是把其适用范围局限在原始制订的目的和精神上,也就是对窃听或电子窥探的规制,因此凡是想以本法对商业性的数据搜集行为主张构成不法都难以胜诉。[94]

(10)《电脑欺诈暨滥用法》(Computer Fraud and Abuse Act) [95]

这项立法的原始目的是防制对他人电脑或计算机系统未经许可从事侵入、破坏、勒索或欺诈等行为(即通称的“黑客侵害”(hacking)),并没有涉及对信息的搜集和使用等与数据保障相关的规制。[96]

由于这套法规授权受损害的当事人可以提起民、刑事自诉,许多互联网的使用者也试图透过这个路径主张企业使用特定的装置或软件对其电脑信息从事追踪构成了未经许可的取用。不过由于本法设定了必须超过5,000美元的经济损失、身体伤害或医疗照顾损害的门槛,多个诉讼都因无法符合此一门槛举证的要求而遭到法院撤销。[97]

此外,美国联邦最高法院在最近出台的一个判决进一步限缩了这个法律的适用范围,表示纵使取用特定文档数据的动机和目的不当,如果行为人原本就具有对特定计算机系统与其中特定数据库资料的取用权限(在本案是涉及地方警察调阅他人的汽车牌照与其他犯罪执法记录等),就不构成违反本法。换句话说,获得授权可以使用特定数据库的使用者其具体的行为只要在客观上没有逾越授权的范围就不构成违法。[98]

(11)《联邦贸易委员会法》(Federal Trade Commission Act)[99]

这个立法原本是美国国会在1914年响应伍德罗·威尔逊(Thomas Woodrow Wilson)总统的呼吁,为了强化反垄断法制并设置一个专门的执法机构而制订。1938年把第5条做了修正,明文禁止在商业领域中或影响商业的不公平竞争手段以及不公平或欺诈性的行为或做法,另授权联邦贸易委员会可以制定相关的行政规定,并对几乎所有的自然人与法人有相关的执法管辖(不受其管辖的例外包括公共承运人(common carriers)、非营利组织和金融机构等)。[100]换句话说,国会表明了这个立法不仅适用于竞争者之间的交易行为,也同时适用于对消费者的保护。[101]

由于美国对于隐私保护的体系犹如“瑞士奶酪”(Swiss cheese)一般,中间呈现出许多空洞,既有的立法又只能做到如同贴膏药般的处理,因此许多涉及隐私保护又难以从其他法律获得救济的问题便纷纷转向联邦贸易委员会,希望能透过第5条规定所附予的广泛执法管辖来弥补各种现行体系的不足。

联邦贸易委员会固然可以依该条规定所赋予的“授权立法”(delegated legislation)权限自行制定所谓的“贸易规定法则”(trade regulation rules,简称TRRs),但是因为程序繁琐(超过联邦《行政程序法》(Administrative Procedure Act,简称APA)第553条制订一般行政规定的要求),而且消耗资源和时间,实际上鲜少以这个途径订立规则,也从未以此方式制订与数据保护相关的规则。截至目前该委员会都是透过行政执法来向外界释放讯号,显示有哪些具体的行为会被视为更成不正当竞争(当然不服的当事人还是可以上诉到法院)。

在数据的保障方面,委员会最主要的执法依据是一个企业或厂家是否违反了自身对其消费者或使用者关于数据隐私和安全保障的承诺,其中包括了对于数据的搜集、使用或揭露等自订的政策为何?是否在如何的情况下没有采取适当有效的举措来坚持其自订的政策?是否做出了误导性的陈述来诱使消费者或使用者揭露其个人的信息等?[102]

例如,在一个指标性的案件,被告透过网络广告(包括现金回馈等促销手法)让使用者到其网站下载一个软件程序,并且要点击同意在其中预设好的终端使用者许可合同(end user licensing agreement,简称EULA)或“点击许可合同”。这份文件使用了各种对一般人而言晦涩难懂的法律术语和小体字型来对其准备要做的事情作了表述,埋在其中的一个条款实际上的意思就是会追踪并搜集使用者的网络浏览历史记录。虽然在形式上被告完全合法,但却还是遭到联邦贸易委员会的调查起诉,被告选择接受了委员会的处罚和命令,必须向其使用者以明确且醒目(clear and prominent)的通知告知其软件具有追踪搜集的功能并表明将会搜集如何的信息(因此没有上诉到法院)。[103]

这个案件的不寻常之处在于,一般而言,只要制式性的合同内容没有显然不合理之处,法院通常会认为只要使用者在屏幕上点击了“同意”,双方就成立了一个有效的契约关系(哪怕绝大多数的使用者在点击同意之前事实上根本没有阅读其中的内容)。然而联邦贸易委员会显然想藉这个案件释放出一个信息:纵使双方当事人可以透过“点击许可合同”建立彼此的法律关系,但并不表示其中的一方就可以在其中使用欺瞒或误导性的手段并藉此避开责任。[104]

联邦贸易委员会另外的几个执法立场也值得注意:

(1)当网络平台运营者显著修改了其追踪搜集使用者个人数据数据的政策时,如果溯及适用到之前按原有的政策已经搜集到的数据,会被视为构成“不公平”的操作(unfair practice)。[105]

(2)如果应用软件当中预设的隐私选项需要使用者通过烦琐或困难的步骤后才能更改也会被视为“不公平”的操作。[106]

(3)在数据安全方面,即使电子商务或网络服务提供者在表面上并未与其公开宣布的政策或声明产生冲突,如果实际上未能保全其使用者的个人数据同样可能会被视为“不公平”或“不正当”。[107]

不过至少联邦第十一巡回上诉法院已经表示,联邦贸易委员会在签发禁制令(cease and desist order)时,如果是指控特定企业对数据安全措施有“不公平”的行为或操作,必须明确地指出究竟是哪些具体行为导致产生了如何的数据安全问题以及必须采取哪些特定的措施才能符合“公平”或“正当”的要求,不能只是概括地用“合理措施”等模糊的概念一笔带过,否则该禁制令即无法执行(unenforceable)。[108]法院虽然在判决中婉拒对联邦贸易委员会依据《联邦贸易委员会法》第5条第(n)款规定从事执法时的具体范围予以界定,但是本案至少对该机构要如何签发禁制令给出了相当的限制,至少不至于因为内容过于空泛抽象导致企业无所适从。

(12)《消费者财务保护法》(Consumer Financial Protection Act)[109]

这项立法是《华尔街改革暨消费者保护法》的一个环节,列为该法的第10编。而后者则是针对从2007年12月到2009年6月,由次级住屋信贷危机(sub-prime residential mortgage crisis)引发的全球经济“大衰退”(The Great Recession)对整个世界的债信市场和无数消费者的个人信用与居住、就业等都造成了严重的冲击而制订。其主要内容是禁止受管辖的金融机构或事业单位以不公平、欺骗性或滥用性的行为或操作向消费者推销与金融或理财相关的产品或服务,并创设了一个消费者财务保护局(Consumer Financial Protection Bureau,简称CFPB)作为执法机构,整个模式与前述的《联邦贸易委员会法》相当类似。[110]

虽然两者有颇多类似之处,但也有若干的差异。例如,消费者财务保护局的执法包括了一个新增的“滥用性行为”(abusive act)。这是指(1)对于消费者了解某个金融理财产品当中的一个名称或条件从事相当程度或过度的干扰,或是(2)因为消费者欠缺了解、在选择消费金融理财产品或服务时无力保障其自身的利益、或必须依赖受管辖的金融机构、事业单位或个人来代其行使权益等状况从事不合理的利用。虽然“滥用性行为”可能同时兼具不公平或欺骗性,这三者各自构成具有法定意义的不法行为,而且“滥用性行为”可覆盖更为广泛的领域。此外,这些行为必须是与提供消费型的金融理财产品或服务有关。对此,法律提供了一个详细的清单罗列符合的项目。[111]

另一个不同之处是,消费者财务保护局也获得了国会赋予的“授权立法权”,但与联邦贸易委员会受制于繁芜的程序性要求不同,该局只需依据联邦《行政程序法》的一般规则制订程序即可。这就让该局的潜在执法功能更为强大。也正因为如此,有论者认为消费者财务保护局正可藉助此一有力的执法与立法授权对相关的数据安全和保护予以规制。[112]不过截至目前为止该局在数据保护方面还处于相对静默的状态,相关执法案件只发生过一宗,是关于一家线上支付平台对其数据和操作系统的安全性从事了欺骗性的表述,最终是双方达成了和解并由该局签发“同意令”结案。[113]

(13)总统行政命令(Presidential executive orders)

美国《联邦宪法》没有直接明文规定总统可以使用如何具体的方式来治国理政。不过自乔治‧华盛顿(George Washington)于1789年就任第一任总统迄今,除了第九任总统威廉‧亨利‧哈里森(William Henry Harrison,于就职后第31天即因病去世,也成为迄今实际任期最短的总统),历任总统无不使用总统命令作为管理联邦政府的重要工具,也就形成了一个宪政惯例和总统行使行政权的固有权力。[114]

国会在通过立法时有时也会透过立法明示或默示授权总统制订相关的施行法规,总统也会以总统行政命令的形式来推行。[115]所以总统行政命令必须基于宪法或国会的立法授权,既不等同于国会的立法,不具有法律的位阶,更不能抵触法律和宪法。不过除非经法院宣判违法或违宪或是由国会另行通过立法对其修正或予以废除,总统行政命令一旦制订出台,在法律推定有效的基本原则下便形同是有效的法规,而且位阶还略高于其他行政部门制订的行政规定。[117]

在数据安全方面,第33任总统哈里·杜鲁门(Harry S. Truman)于1951年9月24日发布了一个总统行政命令,对所有联邦政府涉及安全问题的信息按机密等级统筹建立一个最低程度的分类与保护机制。[118]这还是属于对政府内部信息数据从事管理的规制。等到国会在1977年通过《国际紧急经济权力法》,本意是想对于总统行政权力设限,但却产生了相反的结果。[119]

到了第45任总统唐纳德·特朗普(Donald J. Trump)主政时期,正是以《国际紧急经济权力法》的授权和国家安全的顾虑为由,先后发布了3个总统行政命令,准备大幅扩张数据安全的限制范围,禁止与特定国家有关联的商用或消费型应用软件在美国境内的流通(主要针对北京字节跳动公司开发的“抖音”(TikTok)和深圳腾讯公司开发的“微信”(WeChat)两款软件),也导致无数使用者的账户与大量的信息面临如果无法及时转移到其他的平台就会遭到被全面、非自愿性删除的严重后果。[120]之后可能会受到影响的使用者自发组织向联邦地区法院起诉并分别获得了法院的支持(抖音公司也另外单独起诉,但腾讯公司没有采取任何法律行动),认为前两个总统命令违反《联邦宪法第一修正条款》对人民言论自由的保障并签发了适用于全国范围的暂时禁令。[121]联邦地区法院关于“微信”部分的暂时禁令之后并获得了联邦第九巡回上诉法院的支持。[122]

第46任总统约瑟夫‧拜登(Joseph Biden)上任后于2021年5月12日签署了一项关于网络安全的总统行政命令,要求与政府采购或承揽合同有关的各方必须分享数据,并协调整合,建立、整合网络系统安全的通报与对应机制。接著于2021年6月9日又签署了一个总统行政命令,一方面直接废除了特朗普总统原先的三道命令,另一方面责成商务部部长连同其他几个与国家安全、外交事务和健康福利等相关部门的负责人在120天内提交一份报告,研拟要如何确保美国人民个人识别信息、健康医疗数据与基因信息等不受到来自境外对手的侵入、取用、转让和销售,并在180天内提出需要在行政和立法上进一步采取如何行动的具体建议。国家情报总负责人另须在60天内提出一份关于境外对手对美国数据安全威胁的分析报告。商务部部长并且要对可能会对美国信息通信技术与服务造成破坏的应用软件使用状况予以持续的追踪评估并采取适当的行动。[124]所谓的“境外对手”(foreign adversary)明显是指俄罗斯、中国、伊朗和朝鲜四国。

美国联邦行政部门试图把消费型的商用软件直接提升到对国家安全威胁的层次并用总统命令来直接封杀的做法显然已经触碰到了多道宪法对言论自由保障的底线,而且对数据、隐私安全的保障形成了一个相当大的扭曲,让消费者成为遭到来自政府部门和平台厂家两路夹击的对象。拜登政府显然明了这一点,也认知法院的禁令不易解除,自然无意继续承接这个来自特朗普政府的负担。因此试图从中另谋某种平衡并希望能找到一个下台阶。但是由于这扇门板已被推开,今后厂家在美国市场推出任何的应用软件或线上服务时,都必须多一层考虑,思考对美国国家安全可能会产生的影响以及应如何对应。

2、各州层级的现况

美国各州传统上对隐私的保障主要是由司法部门(各州的州法院)透过相关侵权责任或合同违约案件的判决在普通法的法理基础上逐渐形成一套相对全面的保护与责任体系。但是虽然都称为“普通法”(也就是以案例判决为依据的法制体系),各州的判决在具体内容上经常不一致、不协调,即是同州之内的不同法院,甚至同法院内的不同法官或法庭也都经常会出现不一致的判决结果。

除了普通法(案例法),许多州还通过了各种对数据安全和私人企业搜集、使用数据等行为会产生直接或间接影响的成文立法,诸如各州的消费者权益保护法或数据安全法等。虽然在立法当时“数据”未必是关注的焦点,但已有愈来愈多的案件试图透过消费者权益保护的路径来寻求对数据信息背后隐私权益的保护,也因此这类立法有时被称为“小《联邦贸易委员会法》”(little FTC Acts)。[125]

在各式各样的立法中,加利福尼亚州(California,简称加州)于2018年通过施行的《加州消费者隐私法》(California Consumer Privacy Act,简称CCPA)尤其受到关注,也可能产生了最大的影响。[126]这项法律在后续的两年又经历了两次重大修正,最近的一次是透过2020年11月3日的选举以“第24号提案”(Proposition 24)的公民创制方式通过了一个名为《加州隐私权法》(California Privacy Rights Act,简称CPRA)的新法,已于2020年12月16日生效,将于2023年1月1日正式开始施行,并将于届时完全取代2018年的现行立法。[127]这项立法至少有下列的新规定值得关注:

(1)“敏感个人信息”(sensitive personal information)

这是新法聚焦的一个重点,在个人信息的栏目下创设了一个新的次栏目,称为“敏感个人信息”,并赋予消费者或使用者额外的权利来限制厂家或企业对这类信息的使用和揭露(这个法律在用语上没有严格区分“数据”和“信息”)。其中包括了(但不限于),政府文件的身份识别证号(如社会安全卡号、驾驶证号、护照证号等)、信用或银行卡帐号(包括相关的密码或其他的保密安全代码等)、所在的精确地理位置、宗教信仰、族裔背景、生物识别信息、性向或性生活信息、以及邮件、电子邮件、短信等通信内容等(除非该企业就是收信方)。[128]

(2)“跨场景行为广告”(cross-context behavioral advertising)

这是新法的另一个聚焦重点,是指除了消费者意图与特定厂家或企业从事互动以外,另从该消费者在不同商业领域中的各种不同活动、浏览或使用具有特殊取向的网站、应用或服务等行为所获取的个人信息来推送具有针对性的广告。新法要求凡是准备使用此种行销方式或与采用此种行销的第三方分享消费者信息的厂家必须提供消费者有事先选择退出的机会。[129]

(3)取用自身信息及修正不确内容

新法创设并赋予给消费者一项新的权利,可以接触取用该企业所占有(通称为“接触权”或“取用权”(right of access)),关于其本身的相关信息,并可要求修改其中不正确的内容。企业应以“商业上合理的努力”(commercially reasonable efforts)修正不正确的信息。新法并责成加州总检察长(California Attorney General)制订相关的施行规定以进一步澄清并强化此一权利。[130]

(4)强化对16岁以下消费者的个人信息保护

在2015年出台的《加州网络隐私保护法》(California Online Privacy Protection Act, CalOPPA)[131]和现行法的基础上,新法进一步强化对所谓“16以下消费者”(under-16 consumers)的个人信息保护。任何企业或厂家机构在没有获得消费者本人(如果已届龄13岁或以上)或者其家长或监护人(如果年龄在13岁以下)的确认同意(affirmative consent)前,不得出售或分享任何“16以下消费者”的相关信息。[132]同条款并规定,凡是任何企业或厂家“刻意忽视”(willful disregard)其消费者的年龄的均视为“实际知悉”(actual knowledge)其消费者的年龄;违反这项规定的将面临对每个违反科处7,500美元罚款。

(5)对自动决定技术的处理

新法试图对应技术发展的前沿,鉴于由机器(如人工智能)根据数据运算自动做成某种“决定”必然会对消费者隐私造成一定的影响,责成加州总检察长对于企业使用此种技术对消费者个人信息的接触取用和消费者的选择退出权制订相关的施行规定。

尤其要著重两个地方:其一是,企业或厂家如何可以利用个人信息与数据分析对消费者从事类型化的“特征剖析”(profiling);[133]其二是,要求企业必须回应消费者为何要搜集、取用其个人信息,包括应如何提供有意义或实质性的说明来解释其自动决定牵涉的逻辑并描述通过此种分析对该消费者可能会产生如何的结果。[134]

(6)明确“同意”的定义

新法试图厘清究竟在如何的情况下消费者真正“同意”或“允许”让企业或厂家从事《加州隐私权法》原本所不允许的行为或活动。依据法规的定义,“同意”是指由消费者本人或是其法定监护人、法定代理人或保护人(conservator)依其意愿自由提出、具体明确、知悉情况而且没有含混不明的表达,诸如一项声明陈述或一个明晰的积极行动,对于为特定狭义定义的目的而处理关于其个人信息表示认同。[135]新法另也特别指明,下列的状况不构成“同意”:

  • 企业或厂家让消费者接受的使用条件或类似文件只是广泛的描述对个人信息与其他不相关信息的处理;
  • 对使用内容的某个部分予以轻描淡写、保持沉默、避重就轻或予以略过;或是
  • 透过使用“黑暗模式”或“互联网陷阱”(Dark patterns)促使消费者接受或同意。[136]

(7)执法禁止删除例外

新法授权执法机构可以要求并禁止企业在90天内不得删除消费者的个人信息。换句话说,如果某个企业先后或同时接到来自消费者对特定个人信息要求删除与执法机构对同样信息不要删除的要求,就必须继续暂时保留该信息,但也只能作为执法机构执行公务之用。此外,如有合理事由,执法机构可以要求对此期限再延展90天,但以从事调查必要的范围为限。[137]

(8)对未来修法的限制

鉴于现行的《加州消费者隐私法》才通过施行后不久就有州议会的议员们不断尝试提出各式修正草案试图淡化其中的规制,有的果然获得通过,这个主要由消费者保护团体所主导撰写的新法便直接明文表示未来的修改或相关施行规则的制订必须与新法的目的一致或更加推进对消费者隐私的保障(予以最大化)。[138]

(9)成立专责执法机构

新法在州政府(行政部门)设置一个“加州隐私保护局”(California Privacy Protection Agency,简称CPPA)作为专门负责执行的机构。[139]这也成为全美第一个完全专注于消费者隐私数据问题的政府机构,由一个5人组成的理事会负责领导,其中由州长聘任一名主席兼理事和一名理事,另由加州检察长、州参议院规则委员会(California Senate Rules Committee)、州众议院议长(Speaker of the California General Assembly)个别聘任一名理事组成,最多任期为8个连续年。

新法授权这个机构从事调查、签发传票、调阅档案文件、举行听证以及行使行政裁判和处罚的权力。在加州隐私保护局举行涉及是否发生违法情事的听证会之前,新法规定该局必须1)给被指控方至少30天的事前通知;2)对于相关指控的陈述、证据摘要、与被指控方的权益(包括亲自出庭与寻求律师辩护代理等);以及3)举行听证的合理依据(probable cause)为何。[140]

(10)扩展适用范围

现行法对企业或厂家规定的义务限定在任何对个人信息的“销售”(sale)。不过对于何谓“销售”则是采取了非常广泛的定义,包括出售、出租、释出、揭露、散布、提供、转移消费者的个人信息给其他的企业或第三方,无论是以口头、书面、电子或其他方式,但应以金钱或具价值的对价为目的。[141]新法把适用的范围从“销售”扩展到了“分享”(share),包括为从事跨场景行为广告与第三方分享消费者的个人信息,无论是否涉及金钱或其他对价。[142]

(11)调整适用客体

新法一方面扩展了有哪些类型的企业或厂家的行为或活动会受到管辖,另一方面相较于现行法则限缩了所涵盖的客体范围。具体而言,依据现行的《加州隐私权法》,凡是年度收入总额超过2,500万美元、为商业目的销售或分享了50,000个或以上的消费者、家庭或装置的个人信息、或其年收入的50%或以上是来自销售消费者的个人信息的法人实体都受到现行法的管辖。如有任何法人实体本身未必符合,但受到符合上述要件的企业或厂家的管控或实际上在管控符合上述要件的企业或厂家,并且共同分享品牌(common branding),也同样受到管辖(称为“管控+品牌测试法”(control + branding test))。[143]

新法在这个基础上做了一些澄清和调整:

  • 关于收入总额必须达到或超过2,500万美元的要求是要看前一个年度;
  • 把50,000笔(个)的门槛提升到100,000,而且仅限于消费者或家庭(取消了对装置的计算);
  • 把50%年收入从销售改为“销售或分享”;
  • 原本不受管辖的法人实体如果从受到管辖的实体获得分享个人信息并通过“管控+品牌测试”的也要受到新法的管辖;
  • 扩展了“共享品牌”的定义和范围,不再仅限于形式上是否共同使用一个商号、服务标章或商标,还包括一般消费者是否认知或了解两个或更多的企业或厂家是共同所有;
  • 在合伙或合资的情形,只要其中的任何单个实体享有40%或更多的利益,即使各个合伙人之间没有“共享品牌”,也要受到新法的管辖;
  • 对于不符合管辖门槛的法人实体而言,依然可以自愿性的寻求主管机构对其运营符合了新法要求的认证。[144]

(12)扩展对“公开可用”的定义

对于如何的信息属于“公开可用”(publicly available),因此不再构成“个人信息”,新法采取了比现行法范围更广的定义,表明除了可从联邦、各州或个别地方政府合法取得的文档记录之外,还包括企业有合理的基础相信是由消费者提供,让一般公众可以合法取得或经由媒体广泛传播的信息,以及由消费者向特定人揭露但并未限制该信息只对特定群体发布,然后再由该特定个人予以揭露的信息。[145]换句话说,凡是可以公开合法取得的信息或是“公众所关切、以合法途径获得的真实信息”都不再构成个人信息。[146]

(13)扩大企业通知义务的内涵

现行法要求企业或厂家必须通知消费者关于其意图搜集的个人信息类型和准备使用的目的,并禁止搜集更多额外或其他类型的信息。[147]新法同样要求企业必须给消费者必要的通知,而且更进一步要求企业 ——

1) 必须向消费者揭示是否销售或分享了该消费者的个人信息以及准备依照如何的准则来对哪一类的个人信息保留多长的时间;以及

2) 尤其必须对敏感个人信息准备如何使用和多长的时间等给予明确的交代。不过对于企业已经搜集到的个人信息或敏感个人信息而言,如果企业打算从事其他或额外的目的时,只有当额外的目的与原来搜集个人信息时所揭示的目的不相容时才需要对消费者另行发出新的通知。[148]

(14)对服务提供者的要求更严格

当企业或厂家与第三方服务提供者签订承揽合同(即委外合同(outsourcing contract))来处理消费者的个人信息时,现行法要求合同中必须明列,除了该服务提供者为履行合同的特定目的可对该等信息从事必要的使用外,禁止对该个人信息予以留置(或保存)、使用或揭露。[149]新法更要求在合同中必须明文禁止服务提供者:

  • 销售或分享个人信息;
  • 在合同明订的目的范围以外对个人信息予以留置、使用或揭露;
  • 在与企业或厂家的直接商务关系范围之外对个人信息予以留置、使用或揭露;以及
  • 把来自企业或厂家搜集的信息数据与来自其他来源(包括消费者)的信息合并或混同。

此外,合同也必须表明,被销售或分享的个人信息只限于在特定、有限的目的范围内使用;服务提供者将受到新法的管辖并需提供合规的隐私保护机制;企业或厂家保留对服务提供者“采取合理适当的步骤”以确保服务提供者以合规的方式使用企业或厂家转移或揭露的个人信息;如果服务提供者无法履行其义务时应即通知企业或厂家;以及企业或厂家保留“采取合理适当的步骤停止对个人信息从事未经许可的使用并给予救济”等各项条款。[150]

由于国会在当前的环境下几乎不可能像欧盟一般通过一个全面性的联邦数据隐私保护立法,目前至少有25个以上(过半数)的州议会已经尝试制订本身的数据隐私保护法制,不再等待联邦的动静,其中加州的立法明显产生了极大的影响。不过截至目前为止还没有产生真正的“多米诺效应”(domino effect,也称为骨牌效应或连锁反应)。[151]目前正式通过成为法律的只有弗吉尼亚州(Commonwealth of Virginia)的《消费者数据保护法》(Consumer Data Protection Act,于2023年1月1日施行)和科罗拉多州(State of Colorado)的《科罗拉多州隐私法》[152](Colorado Privacy Act)。另外纽约州(State of New York)、北卡罗来纳州(State of North Carolina)、新罕布什尔州(State of New Hampshire)和宾夕法尼亚州(Commonwealth of Pennsylvania)的相关立法草案都还在个别州议会的相关委员会审议阶段,也有希望获得通过。

虽然发生在多个州的立法尝试先后遭到挫败,但已然出现了风起云涌的现象,一时的挫败显然无法阻止其支持者在未来适当的时机重新提案。而且从失败的经验当中汲取更多的教训有助于未来的立法草案更易获得两党议员的共识和支持。

另一个值得关注的发展是,在经过两年的努力后,美国法律统一委员会于2021年7月14日通过了一个名为“统一个人数据保护法”(Uniform Personal Data Protection Act,简称UPDPA)的模范法规,预定在2022年年初正式提呈给各州的州议会参考并考虑是否接受。[153]

这个模范法规在规范的当事人方面也是依循了数据控制者、处理者和数据主体的三分模式,不过在涵盖范围和权利的设定方面都要比加州和弗吉尼亚州的法律要限缩了许多。例如,模范法没有提供个人对其相关数据的删除权,也没有赋予权利主体对涉及侵害其个人信息的企业单独的诉权(但如果各州的消费者权益保护法规另有规定的完全不受影响)。另外的一个不同点是,模范法并未要求另行设置执法的部门,因此如果目前的版本内容获得州议会的采纳,未来将由该州的州检察长办公室负责执行。

欧盟的发展

欧盟对于个人信息的保护可直接溯源到1950年的《欧洲人权公约》(European Convention on Human Rights)[154]第8条(私人和家庭生活受尊重的权利)、第9条(思想、意识和宗教信仰自由)、第10条(言论表达自由)和第17条(禁止滥用权利)等对基本人权的保障以及1981年的《第108号公约》(Convention No. 108)。[155]此外,德国的黑森邦(Hesse)于1970年通过了全球首个关于数据保护的法律,也成为后来《联邦数据保护法》(Bundesdatenschutzgesetz,简称BDSG)的雏形。[156]在此基础上,欧盟于1995年通过了《数据保护指令》(Data Protection Directive),[157]但是由于未能及时赶上后来电子商务快速蓬勃的发展,很快就发现已经过时。因此欧盟先是于2016年通过了具强制性的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)来完全取代1995年的指令,规制涉及个人隐私的数据保护。[158]又于2018年另行通过了《非个人数据自由流通条例》(Free Flow of Non-personal Data Regulation)[159]来规制不涉及识别个人身份的数据流通问题。

欧盟透过《通用数据保护条例》(以下简称《通用条例》)和2002年的《电子通信隐私指令》(Directive on Privacy and Electronic Communications,简称e-Privacy Directive)[160],加上作为其施行配套,于2013年通过的《个人数据泄漏通知规定》(Regulations on Notification of Personal Data Breaches)[161],以及2017年通过的《线上内容跨界携带规定》(Cross-Border Portability of Online Content Services Regulation)[162]和《非个人数据自由流通条例》(Free Flow of Non-personal Data Regulation)等五套规制共同建构出了对数据隐私保护的框架。另外再透过欧盟法院的判决与执法机构做成的决定、解释或建议事项等让欧盟目前已经有了相当统一和完整的数据隐私保护体系,与美国呈现碎片化的发展非常不同。

另一个发展是,随著欧盟与欧洲自由贸易协会(European Free Trade Association,简称EFTA,成员包括冰岛、挪威、列支敦士登和瑞士)的进一步整合与建构完善更大范围的欧洲经济区(European Economic Area,简称EEA),前三套法规已经被指定为需要被纳入、修正和整并的法规,以便顺利过渡。[163]不过可以确定的是,其中的实体性规制都会维持现状,完全不受影响。[164]

1、《通用数据保护条例》的重点内涵

(1)适用对象

凡是任何涉及处理欧盟公民或居民的个人数据(包括追踪其消费者的网络使用行为或状况),或是向欧盟公民或居民提供任何产品或服务要约(offer)的自然人或法人实体,即使所在地不在欧盟,都受到《通用条例》的管辖。[165]

(2)定义范围

首先是《通用条例》对于“个人数据”采取了非常广义的定义,只要是可用于识别任何自然人(又称为“数据主体”或“资料当事人”(data subject))身份的任何信息,无论是直接或间接,都构成“个人数据”。[166]这就意味着除了身分证件的信息、地址、电话等明显属于直接的个人识别信息,诸如在网络操作时厂家经常使用,在使用者电脑中置放具有追踪功能的所谓“饼干”(cookies)小程序、电子邮件的名称、线上账户的使用者名称或昵称、地理位置数据、甚至网络地址(IP address)等等都符合这个定义。

此外,《通用数据保护条例》还规制了需要特别受到保障的特殊“敏感信息”(sensitive data),包括族裔背景、政治面貌或党派隶属、宗教信仰、商会组织会员身份、基因和生物识别数据、健康医疗状况、犯罪记录以及个人性取向与性生活的数据等。[167]即使是经过“匿名化”的数据(pseudonymized data),只要具备识别功能,就可能依然构成个人数据。[168]

其次是《通用条例》把适用的主体区分为对数据的“控制者”(controller)和“处理者”(processor)两种类型。前者是指决定为何及如何(目的与方法)处理个人数据的自然人或法人,包括了所有涉及数据处理的单位、机构或企业以及其中的雇主和雇员(在实践上主要是从事数据控制的指法人实体);后者是指代表数据控制者处理数据的第三方,包括诸如提供云计算服务器或电子邮件服务的厂家。[169]

《通用条例》另外还对“共同控制者”(joint controller)提供了定义和特别规定来处理涉及两个或多个数据控制者的情形,其中可能是共同决定(common decision),也可能是融合决定(converging decision,即兼具互补性与必要性),而最重要的特征是,如果没有彼此相互或共同的参与即难以完成对数据的处理,也就是说各个决定相互之间具有密不可分的联接关系(inextricably linked)。[170]

欧盟在数据信息的规制方面,尤其是涉及具有识别个人身份能力的数据,刻意避免使用诸如“所有人”或“权利人”,而是用“控制者”的概念来表述,意在反应至少对于不具独创性的数据,尤其是做为反应特定事实的数据而言(无论是单个或多数的组合),并不存在“所有权”的概念,而是强调对于数据只是相当于民法上“占有”的性质。[171]

就地域的适用范围而言,只要数据控制者或处理者在欧盟境内有办公处所或商业活动,纵使数据的处理发生在欧盟境外,依然受到《通用条例》的管辖。[172]

(3)基本法则

《通用条例》明确了七个基本或指导法则,亦即:

  • 合法性、公正性与透明度(lawfulness, fairness and transparency) —— 即数据处理必须对数据主体或其所归属的当事人而言是合法、公正与透明;
  • 有限目的(purpose limitation) —— 亦即在搜集数据前必须向数据主体具体表明合法的目的为何并只在该目的范围内从事数据处理;
  • 数据最小化(data minimization) —— 数据处理只能在明确表达的目的和对绝对必要的范围内进行;
  • 正确性(Accuracy) —— 即必须保持数据的更新和正确性;
  • 储存限制 (storage limitation) —— 数据控制者和处理者只能在必要的时间与空间范围内储存个人数据;
  • 完整性与机密性(Integrity and confidentiality) —— 即对于数据的处理必须确保适当的安全性、完整性和机密性(例如使用加密保护措施等);以及
  • 问责性(Accountability) —— 数据控制者必须显示其已做到符合《通用条例》规定的所有法则与要求(合规)并承担相应的义务与责任。[173]

(4)合规要求

《通用条例》要求数据控制者必须能随时显示其已做到符合对数据主体隐私保护的各项合规要求。[174]这意味着数据控制者在从事数据的搜集、处理和分析之前,控制者就必须把的后续的每个环节、举措都布置妥当,并建立完整的文档记录,绝不能等到事后再回头补充。实践上如果控制者从主观上自认已经合规但却无法提出足够的佐证究竟是如何具体从事数据处理,就表示客观上其实并未合规。此时数据控制者或可考虑立即采取下列的行动以避免遭受潜在的严厉处罚——

  • 指定负责数据保护的团队并明确交代相关的责任;
  • 详细记录所搜集的数据资料,包括对这些数据是从事了如何的使用、储存于何处、以及负责人员与联系信息等;
  • 安排团队成员适当的培训并实施相关的技术与组织安全措施;
  • 准备妥当数据处理协议(合同)的文本作为聘请第三方从事数据处理的协商基础;以及
  • 视机构或企业本身的需求聘任一名专门负责数据信息安全的“数据保护官”(Data Protection Officer,简称DPO)。

(5)数据安全

《通用条例》要求数据控制者和处理者必须实施“适当的技术和组织措施”以确保是在安全的状态下处理数据。[175]至于“技术措施”的具体内涵究竟为何《通用条例》并未给出明确的定义。不过依据欧盟官方提供的说明,是指凡是涉及任何存有个人数据的账户时,对该账户的接触或取用必须使用并通过诸如“双因素验证”(two-factor authentication,简称2FA)或是在与提供云计算服务的第三方联系时使用诸如“端点至端点加密”(end-to-end encryption)的方式等。[176]所谓“组织措施”《通用条例》本身也没有提供定义,通常是指诸如对员工的相关培训、制订并严格执行企业的数据隐私政策、或是管控能取得接触个人数据的范围,原则上应只限于有必要接触的工作人员。

欧盟明确试图藉由《通用条例》的施行,要求所有的企业今后“从设计和从设定”(by design and by default)上就必须考虑数据保护的问题。[177]一旦发生数据外泄,《通用条例》要求数据处理者必须立即通知数据控制者;而数据控制者原则上必须在知悉后72小时之内通知受到影响的数据主体,否则将面临高额的罚金(不超过1,000万欧元或前一年度全球总收入的2%)。[178]但是对于已经采取了技术保全措施(例如经过加密的个人数据)让外泄的数据基本上成为无用的数据控制者而言,有可能获得免除通知(notification waiver)的义务,也就没有遭到处罚的顾虑。

(6)数据处理

《通用条例》采取了“正面清单”或“正面表列”的方式,明确列举了六种企业可以处理个人数据的情况。凡是不在此列的任何其他情形,企业应极力避免搜集、储存、或是向第三方销售其数据主体的个人数据[179]——

  • 数据主体给予数据控制者具体明确的同意可以处理其数据,例如自愿选择加入企业行销的名单;
  • 为预备或签订合同对数据主体从事必要的数据处理,例如出租人对潜在的承租人从事信用背景调查;
  • 为履行法律义务对数据主体的相关信息予以处理,例如收到法院判决书后为执行其中的具体要求从事数据处理;
  • 为维护数据主体或其他人的生命或身体安全;
  • 为履行公务或从事公益性的工作,包括与政府部门签订承揽合同从事特定公益性的工作,如对不同社区的垃圾收集和处理;
  • 对数据处理有合法利益需求,但依然不能对数据主体的根本权利和自由造成侵害。这是数据控制者可以作为合理化其行为最具弹性的一项主张,需要视个别案例的整体情况综合研判,尤其需要指明具体的合法利益为何(可以是自己或第三方的利益)、从事特定数据处理的必要性以及与数据主体的权益和自由相互权衡后不至于对后者造成侵害或损害。[180]

(7)同意要求

《通用条例》对于数据控制者如何可以获得数据主体同意对其从事数据处理做出了严格的规定[181]——

1) 该同意必须是“自由给予,具体、知情并且明确”(freely given, specific, informed and unambiguous);

2)数据控制者的请求同意必须“明显与其他事物有所区别”而且以“清楚明了的文字”呈现;

3)数据主体可随时撤销先前的同意,而且数据控制者不得刻意增加数据主体选择撤销的困难度,也不得任意把对该数据主体的数据处理转移到其他的管辖领域。一旦事后撤销,不影响之前已经对其数据从事处理的合法性;

4)未满13岁的青少年或儿童只能在获得其父母或监护人的允许后给予同意;

5)数据控制者必须保留所有数据主体给予同意的书面证据

(8)数据保护官

并非所有的数据控制者或处理者都需要在其组织内延聘一名数据保护官。只有符合下列三种情形之一时才必须延聘[182]——

  • 由政府机构所从事的数据处理,但法院执行与司法有关的业务不在此限;
  • 数据控制者与处理者从事的操作其本质、范围、以及(或)目的需要对于规模性的数据主体从事固定与系统性的追踪,例如谷歌公司的检索系统等;或是
  • 其核心活动或业务是对于《通用条例》第9条所列示的“敏感个人数据”或第10条所规定的犯罪记录或相关安全措施从事规模性的处理,例如医疗系统等。

虽然《通用条例》没有强制其他的机构或企业必须要聘请数据保护官,凡是符合数据控制者或处理者的机构或企业仍然可以自愿延聘。数据保护官的主要职责包括:提供关于如何具体落实《通用条例》的规定与要求,以做到合规;对于数据控制者或处理者内部人员的职责划分提供咨询、举行数据安全培训、从事内部稽核以及追踪是否合规、以及担任与执法部门的对口和沟通桥梁等。[183]

(9)个人权利

为了让数据主体(消费者或使用者)能够对其个人数据享有更多的控制,《通用条例》一共赋予了数据主体8个彼此环环相扣的权利。除了“删除权”,其余的7个权利是从1995年的《数据保护指令》(于1998年10月24日开始施行)及其后续相关的实践经验积累而成,所以严格而论是个“演化”的过程(evolutionary)而不是“革命性”的创造(revolutionary)——

1) 知情权(right to be informed) —— 数据控制者在搜集数据主体的个人数据当时,应向当事人提供下列的信息:数据控制者的身份、其代表或联系人以及相关的联系方式;如有数据保护官,该保护官的联系方式;搜集数据的目的与法律基础;如果是基于获得了同意而搜集,数据控制者或第三方的合法利益为何;如有数据的收受者,该收受者的身份或类型;如果数据控制者意图把数据转往第三国或国际组织,相关的审批决定、安全保障措施以及取用的方式等。为确保对数据处理的公正和透明,数据控制者另需提供下列的信息:其个人数据将被保留多久或用于决定该期间的标准;数据主体对其顾人数据可以行使的各项权利;向主管部门申诉或举报的权利;提供个人数据是否为法规或合同的要求,是否为建立合同关系的前提以及如果未提供数据可能产生的后果。如果数据控制者拟将搜集到的个人数据用于原订目的以外的其他用途,在从事该其他用途之前应告知数据主体该其他的目的为何以及其他的相关信息;[184]

2)取用权(right of access) —— 亦即向数据控制者要求确认是否使用或处理了涉及其个人的数据。如获得确认,可进一步要求告知使用或处理其个人数据的目的、被取用的个人数据类型、其个人数据揭露的收受方(尤其涉及第三国或国际组织时)、其个人数据将被留置(或保存)的期间(如无法评估,是依据如何的标准来决定该留置或保存期间)、是否存在应对其个人数据予以更改、删除、限制或抗议的事由、向监管部门举报的权利、是否存在包括特征剖析等自动决定机制以及其中的逻辑与预期的后果等;[185]

3)更改权(right to rectification) —— 亦即要求数据控制者即时更改个人数据中不正确的信息,不得有不当的延误,包括充实不完整的数据;[186]

4)删除权(right to erasure,亦即“被遗忘权”(right to be forgotten)) —— 有下列的情形之一时,数据主体可要求数据控制者删除相关的个人数据:已经与所要搜集和处理的目的无关;已经撤回其同意并且已无其他可作为数据处理的法律基础;已经依《通用条例》第21条第(1)款提出抗议而且已无足以推翻该抗议的合法基础继续处理其数据;其处理为非法;依据欧盟或成员国法规对数据控制者的合规要求必须删除;[187]或是

5)限制处理权(right to restrict processing)—— 如果对个人数据的正确性提出质疑;认为数据处理不合法而且反对删除其中的个人数据;需要留置(或保存)对数据控制者而言已不需要处理的个人数据作为法律(诉讼)程序中证据确认、权利行使或防御抗辩之用;或已经行使《通用条例》第21条规定的抗议权,正等待确认数据控制者是否有足以推翻数据主体权益的强烈合法立场,除非经过数据主体的同意或法律权益的主张所需,相关的数据处理即应予以限制,但数据的储存不在此限;[188]

6)数据携带权(right to data portability) —— 即数据主体原则上可以要求特定的数据控制者将其平台内所持有,关于该主体所有的个人数据转移给该主体本人或直接转移到另一个数据控制者(平台),但不得对其他人的权利和自由造成不利影响;[189]

7)抗议权(right to object) —— 亦即对数据控制者藉由个人数据从事特征剖析或直接营销(direct marketing)的行为可随时提出抗议,除非数据控制者能够显示具有强烈的合法立场足以推翻数据主体的权益,即应终止处理该个人数据;[190]以及

8)自动决定技术与特征剖析相关权(rights in relation to automated decision making and profiling) —— 对于凡是透过自动化的数据处理和分析(例如“人工智能”)所做成、会对当事人在法律上造成显著影响的“决定”(例如特征或性向剖析),没有任何人必须受制于此种决定,除了少许的例外,数据控制者必须向当事人提供说明,包括所使用的逻辑演绎与计算方式等。[191]

例外的情形有三:为了建立或履行数据主体与数据控制者彼此之间的合同关系、经欧盟或其成员国法规的授权以数据控制者为对象并且已对数据主体的权利和自由提供了适当的保护措施;以及基于数据主体的明确同意所从事的自动化“决定”。[192]

(10)救济途径

《通用条例》授权因企业不合规而遭受损害的自然人可以自行提起民事诉讼请求损害赔偿。[193]此外,欧盟本身与各成员国的执法部门(统称为“欧盟数据保护执法部门”(Data Protection Authorities或DPAs))[194]也在对涉嫌违法的企业依《通用条例》第58条第(2)款除了提出警告或要求整改之外,还可依职权裁定行政处罚。[195]

虽然《通用条例》要求行政处罚必须在个别案件做到符合“有效、比例与吓阻”(effective, proportionate and dissuasive)的原则,实际上不分企业规模大小,凡是不合规的都可能潜在的会面临到高额的罚金。《通用条例》规定的最高额是2,000万欧元或企业前一年度总营收的4%(以其中的高额者为准)。[196]

据一项非官方的调研,在《通用条例》开始施行的前18个月,相关的执法活动可谓相当沉寂。然而从2020年开始却突然产生了很大的变化。从当年1月26日到2021年1月27日的一年之间,或因发生严重的新冠疫情,人们更依赖网络从事各种通信、购物和娱乐等活动,数据隐私和安全的问题也愈为频繁。[197]

这项调研发现,欧盟数据保护执法部门依据《通用条例》开出的罚金比之前的一年增加了40%,总额达到1亿5千8百50万欧元(约折合1亿9千1百50万美元),一共记录到了121,165笔数据泄漏或破坏的事件,比之前同比增加了19%。至于遭到行政处罚金额最高的前五名数据控制者依次是谷歌公司(5,000万欧元,约5,660万美元)、H&M(3,500万欧元,约4,100万美元)、意大利电信公司(Telecom Italia或TIM,2,780万欧元,约3,150万美元)、英国航空公司(2,200万欧元,约2,600万美元)和万豪酒店集团(2,040万欧元,约2,380万美元)。如以国别来看,从《通用条例》开始施行迄今开出罚金额度最高的依次是意大利、德国、法国、英国和西班牙(见下图,资料来源:DLA Piper)。[198]

截至目前,违反《通用条例》的主要原因是不当促销活动、未依当事人的要求移除个人数据以及不法要求雇员提供个人的生物识别数据等。另外一个造成对数据隐私或安全侵害的导因是错发电子邮件。[199]

2、数据隐私安全的执法与保护

种种迹象显示,未来欧盟数据保护执法部门的执法力度还会继续加强,因此相关的案例与罚金数额也可能还会持续成长。首先是欧盟执行委员会在2020年依据《通用条例》第97条的要求,首次发布了一个对《通用条例》的两年执法报告(以后则是每4年发布一次);一方面标榜了过去的成就,另一方面也承认了各地执法的认识不足和力道不均,尤其在跨国性的数据传输方面问题依然重重,未能妥善解决。[200]

因此首当其冲的是跨境数据转移的问题,也就是如何具体落实对数据携带权的保护成为评价整个体系执法成效的指标性因素。由于全球已经形成了各种错综复杂的产业链条,数据的跨境转移、分享、和传输正是支撑这个庞大复杂体系的重要关键。如果用人体的构造来做类比,就犹如连接整个人体各个器官的神经系统一般。所以对于数据的跨境转移和传输的规制也是一个极度复杂、微妙的动态性平衡,必须战战兢兢、谨小慎微。不过欧盟的发展却引发了一场与美国的“数据危机”。

触发这个问题的关键是欧盟法院于2015年和2020年先后对奥地利公民马克西米利安‧施雷姆斯(Maximillian Schrems)诉请爱尔兰数据保护委员长(Data Protection Commissioner)禁止脸书(爱尔兰)有限责任公司(Facebook Ireland Ltd.)将其个人数据转移到该公司在美国的总部进行处理的案件做出的两个判决(通称Schrems I和Schrems II案)。[201]

法院在两案都支持了原告的主张,认为由于美国的1978年《外国情报侦察法》(Foreign Intelligence Surveillance Act of 1978,简称FISA)[202]容许并授权国家安全或情报部门对于涉嫌在美国境内从事破坏美国安全事务或进行恐怖活动的任何人可以经过该法特定的程序从事监控,包括电子监听、向网络平台服务提供者要求提供数据进行分析等,与《通用条例》第46条对个人数据所要求的保护措施显然不符,因此判决欧盟执行委员会在2016年出台的“隐私盾裁定”(Privacy Shield Decision)完全无效(不过对于欧盟在数据移转中所使用的“标准合同条款”(Standard Contractual Clauses,简称SCC)则判决有效,但仍有若干还需要进一步澄清与补强的地方)。[203]这连带导致欧、美之间的“隐私盾框架”(EU-U.S. Privacy Shield Frameworks)也跟着立即失效。[204]虽然欧、美双方很快又展开协商,在经过了9个月后谈判依然陷于胶着,再加上特朗普政府任内发动了对欧洲多项产品的贸易关税制裁,也导致雪上加霜,让许多问题相互纠结,更加难于处理。[205]

纵然欧盟法院已经对这个问题先后出台了两个判决,类似的跨国性数据转移和传输问题仍然层出不穷。一个导火索事件是数名欧洲议会(European Parliament)的议员在2020年10月发现该议会自己针对新冠病毒疫情与检测所设置的官方网站(实际上是委托一家与阿联酋相关的企业来运营)把整个议会工作人员的敏感个人数据转移到了总部设在欧盟境外的第三方企业(谷歌公司)。于是议会方面试图促使相关的执法部门立即采取行动,然而却始终无果。[206]面对这样的发展和情势,欧洲议会方面已然感到非常不耐,最终于2021年5月20日以541票赞成、1票反对、151票缺席的压倒性多数通过了一项决议案,试图敲山震虎,针对爱尔兰数据保护委员会严词抨击,并要求欧盟执行委员会在美国未能修改其国家安全的相关法规前,应完全终止双方涉及个人数据的传输或转移,也不得再通过任何容许双方数据传输的新裁定。[207]虽然这个决议没有任何法律效力,但却有相当高的指标意义,也对欧盟内部以及对美国的双边协商形成了极大的政治压力。

不久之后欧盟执行委员会果然出台了新版的“标准合同条款”。[208]负责执法的欧洲数据保护理事会也随后正式通过了数据转移的“建议措施”(2.0版),推荐企业采取六个步措施来做到合规。[209]虽然表面上不是强制性的要求,但在实际上就是直接反应了该理事会的执法态度。这些举措势将导致未来大型网络平台或企业想从欧盟进行跨境的数据传输会益加困难。

另一个具有指标性的执法参考因素是数据主体的删除权(或“被遗忘权”)。由于欧盟法院在2014年《冈萨雷斯》案的判决[210]引发了许多争议和不确定的问题,《通用条例》试图更细致地平衡数据主体的要求和数据控制者或处理者的需求。当数据的使用涉及下列的事由时,数据主体不得要求删除:

  • 言论或信息的自由表达、
  • 未履行法律义务或遵从裁判、
  • 依循组织或机构的正式职权从事公益任务、
  • 为公益性的公共卫生目的、
  • 施打预防性或对于特别职业需要的医药(不过只限于医疗专业人士基于履行其职业上的法律保密义务)、
  • 基于公益、科学、历史或统计的研究,如将该数据删除将可能导致终止或破坏整个研究的近程、或是
  • 为了成立诉讼抗辩或行使其他的法律主张。[211]

不过这也就无可避免的会产生更多的灰色地带。由于只有当数据控制者(如谷歌搜索引擎)认为请求删除的链接符合了“不恰当、无关或不再有关或是过分”(inadequate, irrelevant or no longer relevant or excessive)的要件,再加上前述的各项公益考量后认为没有冲突时才必须删除,也就意味着这个赋予给数据主体的“权利”实际上无非只是一个“请求”罢了,是否特定的信息果真会被删除还是完全由数据控制者依其自由裁量予以认定,也等于让数据控制者至少在与信息权利相关的领域成了一个准司法(quasi-judiciary)机构

以谷歌公司为例,该公司的搜索引擎从2014年5月29日开始受理欧盟各界的删除请求(也就是欧盟法院判决出台后的第16天),第一天就收到了约12,000个请求。[212]截至2021年7月4日为止,该公司共收到了1,118,995个请求,共涉及4,339,351个网址,其中共有1,777,227个网页(址)被切断了链接,不再显示于搜索结果之上,也就表示数据主体请求删除其数据链接获得成功的比率不到半数(具体占比为47.5%)。[213]

此外,欧盟法院在2019年的一个判决确认适用《通用条例》应受地域原则的限制(虽然互联网本身的环境显然不受此限制),因此如谷歌等所有的网络检索服务提供者只需对来自欧盟境内的移除请求予以处理并从检索结果移除相关的链接即可,不需要从事全球性的“阻断”或“断链”(geo-blocking);不过法院另外开了一道门缝,表示此一限制不排除各成员国的数据保护执法部门依其本国国内法的授权,透过合法途径并考量、平衡其中的利益后,在可能范围内仍可促使搜索服务提供者从事全球性的“断链”。[214]

五、法人求偿与反不正当竞争

固然不具独创性的数据本身没有任何的权利可言,但并不影响其可能仍然具有重要的价值,可成为企业运营的重要工具和资产。当企业之间产生了数据方面的争议时,如果符合商业秘密的法定构成要件,主张受到侵害的一方自然可以依循对商业秘密保护的相关法规寻求救济。但是如果一个企业(或数据控制者)以不合规或违法的方式搜集到了原本以合法合规方式不应或无法获取的数据,并取得竞争优势时(例如从“网络暗区”或“网络黑市”直接或间接购买了海量的消费者个人数据并由此获得较其竞争者更多的流量与广告收益),该企业的竞争者是否可以依据诸如反不正当竞争的途径寻求救济?

对于商业秘密侵害在美国原本便属于反不正当竞争的规制范畴,传统上是受各州普通法的管辖,另外还有各州与联邦的成文立法。[215]纵使没有商业秘密侵害,当事人仍可主张与其从事竞争的企业意图“不当干扰既有合同和预期商业关系”(tortious interference with existing contracts and with prospective business relations)等,所以应不至于产生如何的问题。[216]然而这个问题在欧盟则产生了争议。如果法人实体试图同时依赖欧盟的强制性规定和成员国关于反不正当竞争的国内立法来主张因丧失或减损竞争优势导致损害并请求经济赔偿时(平行竞合),可否并行不悖抑或相互排斥

这个争议的首个问题是,《通用条例》第82条(求偿权及责任)第(1)款规定当中所谓的“任何人”是否包括法人实体?[217]支持狭义解释的观点主要是从立法政策的宗旨着眼:从《通用条例》的正式全称(“关于个人数据处理对自然人的保护……”)、前言的第1、2、3、14段论述以及第1条第(2)款规定便已表明,这套规制是为了保障数据主体(自然人)的基本权利和自由而设,从来就与法人实体的经济利益无关。

此外,欧盟法院之前的判决也似乎支持这样的结论。法院在一个关于机场扩建导致对附近民宅的价值产生负面影响的案件中表示,只有当环境影响因素“直接导致经济上的结果(损失)”时,才会落在欧盟法规所要涵盖的保护范围之内,至于原告所主张的“某些竞争劣势”(certain competitive disadvantages)则不属于直接的结果。[218]同理,纵使“某些竞争劣势”是因为一家企业违反《通用条例》导致,这并不属于自然人的基本权利和自由范畴,因此无法依据《通用条例》第82条第(1)款请求损害赔偿。[219]

持广义解释的观点则是认为,《通用条例》中涉及对“个人”的规定显然并不只以自然人为限,有多处规定并特别指出是自然人和法人。[220]此外,此一立场也是从《通用条例》的立法宗旨切入,但主张其所欲涵盖的保护范围绝不仅止于数据主体,而是要强化并完善整个数据保护法制体系,也就意味着对“任何人”必须采取更为广义的解释方可让数据保护的执法更为完整。毕竟数据主体通常并不具有足够的财力、组织动员和技术能力来起诉数据控制者以伸张自身的权利,因此容许企业的竞争者请求救济势将有助于完善《通用条例》的效果。对此,欧盟法院也有判例表示了支持(法院在多个判决中皆强调赋予损害赔偿请求权对欧盟法规产生完整的效果具有重要的作用)。[221]

另一个考量因素是“有效原则”(principle of effectiveness),也就是必须提供“有效而且完整的保护”,对意图从事违法行为的数据控制者产生吓阻以达到立法的目的。如果求偿无门,那么数据控制者的竞争对手自然就不会再依赖《通用条例》,而可能也诉诸以不合规的手段从事竞争,这就会极大减损了整个法制的公信力和有效执法。[222]

第二个问题是,《通用条例》是否可以同时被视为成员国的国内法并作为请求或主张构成不正当竞争的基础?这里主要是关于德国《反不正當競爭法》第3之a條规定:“凡个人违反为市场参与者的利益所规制、关于市场行为的法规条款且该违法易于对消费者、其他市场参与者或竞争者造成损害的,即视为已发生不公平的状况。”[223]

狭义说认为,既然《通用条例》第82条第(1)款规定的求偿权是以违反该条例的其他条款为先决要件,所有的救济都已经由该条例的第77条至第84条规定所覆盖,因此不得再行延伸到其他的法规。[224]这是目前多位具有影响力的学者的观点。

不过德国的司法实践显然间接排斥了此一观点,采取了“鉴别区分、因案制宜”的折衷方案,试图避免大笔一挥。例如,汉堡高等法院(Oberlandesgericht Hamburg)在一个案件采取了上述的狭义见解,拒绝给予竞争者(原告)禁令,因为被告制药公司虽然未经许可搜集并处理了病患的健康数据,对于这些敏感的信息只是用来从事卫生保健的用途。[225]不过慕尼黑高等法院(Oberlandesgericht München)和巴伐利亚邦维尔茨堡地区法院(Landgericht Würzburg)则分别在另外的两个案件支持了竞争者的请求并签发禁令。[226]这样的做法至少应该可以防制数据控制者的竞争者任意藉由与其不相关或没有直接关系的不合规事由来扰乱市场秩序,也可避免《通用条例》被“滥用”或“滥诉”。

六、反垄断

美国和欧盟长期以来的实践一直是区隔隐私保护和反垄断的执法,甚至认为两者如同井水与河水,互不交集:前者属于财产权益的范畴,著重于价格分析和对消费者的整体保障;后者则是针对个别使用者的人格权益。例如,欧·盟法院在2006年的一项判决便直接援引了佐審官(Advocate-General)的意见,表示“任何可能涉及敏感个人数据的问题都不牵涉竞争法,或许可用规制数据保护的相关条款为基础来处理。”[227]不过这个观点和思维近年来已悄然发生了变化,尤其在互联网的经济领域(ecosystem),数据和流量已成为运营的主要导向和利益来源。

这一点可以从近期美国国会的一项调查结果得到充分的反应。美国国会众议院司法委员会反垄断、商业暨行政法小组委员会于2020年10月4日发布了对于谷歌、苹果、脸书和亚马逊等四家具有强大优势的网络平台企业(亦即所谓的“硅谷四巨头”)进行了16个月的密集调研后的总结报告书(因为两党议员对于其中的内容产生了歧见,所以最终是以“多数党〔按,即民主党〕幕僚报告”(Majority Staff Report)的名义发布,共和党方面则另外提出了一个报告)。[228]

其中指出:“对消费者数据从事惯常性的搜集和误用是数字经济下市场支配力量的一个指标。传统上市场支配力是被定义为能够能够提升价格却不致遭受损失,诸如销售或客源的减损。学者和市场参与者已注意到,纵使网络平台鲜少向消费者收取费用” —— 表面上产品貌似“免费”,却是透过人们的关注或附带他们的数据来予以金钱化 —— 传统对市场支配力的分析更加难以适用于数字市场。”[229]

除了立法部门的态度已然发生转变,即使在民主、共和两党严重对立的整体氛围下,美国行政部门的态度也已与国会方面趋同,形成了相当程度的共识。例如在特朗普政府主政的尾声,联邦司法部针对谷歌公司的反垄断调查与之后联合11个州的州检察长联合发动的诉讼,主要就是在指控该公司以其搜索引擎的巨大数据优势作为杠杆来排除竞争并迫使与其合作的厂家必须接受并签订各种对自身不利的搭售或其他协议,以进一步巩固其市场的优势地位。[230]拜登总统于2021年7月9日签署的行政命令也表明,在这方面的执法将会更加积极。[231]

在欧盟方面,欧盟执行委员会于2019年发布了名为《数字时代竞争政策》(Competition Policy for the Digital Era)的报告书。[232]其中不但以一个专章来讨论数据与竞争的竞合和分析问题,而且是篇幅最大的部分。由此呈现了欧盟执行委员会未来在相关执法上的取向,基本上完全要视个案来分别审度,具体的内涵则包括:

(一) 数据的异质性(heterogeneity)与多维性(multi-dimensionality)

如果从获得的方式而言,数据可以区分为自愿提供、观察获得与演绎推导三种类型,不同的数据类型会影响到竞争者可否独立获得同样数据信息的能力。

如果从数据搜集和使用的形式而言,可以区分为从使用者或机器装置获取的个人层面数据,由多数个人层面的数据捆绑、不具名的数据(例如民意调查),汇集层面的数据(例如营收与亏损状况),以及语境或整体数据(如地图信息)等,此外还有不同时段的数据,因此是个多维度、可能涉及不同时空的动态环境。

此外,在欧盟的体系当中是否涉及取用属于个人或非个人的数据是依循不同的规制途径,也会影响到对于是否构成抵触反垄断法规的研判。

(二)数据的相关市场与具体取用

特定数据究竟对竞争秩序产生了如何显著的影响几乎总是取决于个别案件当中对于特定相关市场、数据型态、以及数据使用的分析。其中可能涵盖了诸如数据携带性与相关的数据取用问题(也就是优势企业对于其所掌控的数据能够产生如何的锁定效应)、与其他网络平台的数据分享能力与兼容性(interoperability)的问题等。

在具体的立法方面,欧盟执行委员会准备制订《数字市场法》(Digital Markets Act)和《数字服务法》(Digital Services Act)两套互补的新规定。[233]

前者拟建立对市场守门者的认定标准以及对在其平台上运营厂家的义务,包括必须容许数据兼容(容许其平台上的运营厂家在第三方平台上操作)、数据取用、数据确认、和数据携带(转移)等。

后者则是对2000年的《电子商务指令》进行规模性的修正,准备直接改以强制规定(不再以指令)的形式分别中介服务(intermediary services)、网页寄存服务(或网站托管服务hosting services)和线上平台(online platforms)三种不同类型的网络界面服务提供者规制对使用者(厂家)的相关义务,诸如透明度的报告(transparency reporting)、服务条款内容及基本权益(requirement on terms of service due account of fundamental rights)、合规程序及如何配合调查、联络人或法定代理人相关信息、通知和行动以及对使用者应提供的信息(《通知—删除》法则的升级)、申诉救济与法庭外和解处理机制、“靠谱旗手”(trusted flagger)制度(事前警告)、烂行通知与反通知的对应举措、对第三方提供者的识别确认(vetting credentials of third party suppliers或“KYBC”)、线上广告透明度、犯罪举报、风险管理与合规事务负责人、外部稽核与信息公开、数据分享、行为准则以及危机协作等等。

总而言之,这些拟议中的新规准备把《通用条例》对个人数据保护的模式和实践延伸适用到法人实体的层面,让平台服务提供者与在其平台上从事运营的厂家之间有更为明确的权利义务关系,并替未来的执法铺垫一个更为明确清晰的基础以及更多可用的工具

除此之外,欧盟执行委员会还准备在2021年结束前制订一个名为“数据法”(Data Act)的新规,作为对《通用条例》的补充,希望能促进企业与政府之间(business-to-government, B to G)的互信与激励彼此间的数据信息共享、调整与平衡目前协商不对称、防制第三方对数据的盗取或误用,以及明确谁可以对于数据从事如何的使用等的问题(例如透过共同协作所搜集或产生的数据信息)。[234]

在具体的执法方面,欧盟执行委员会已于2021年6月22日启动了对谷歌公司线上广告业务行为的反垄断调查,将检视谷歌公司透过其对消费者的数据搜集与控制是否导致使用其平台的第三方厂家不得不签订搭售订协议在尤谷歌控制的其他平台上(例如在“油管”(YouTube)平台使用由谷歌提供的工具刊登额外的广告,是否与其有竞争关系的第三方厂家受到了不当的限制,无法取用原本属于谷歌公开的数据,不再对“饼干”追踪小程序予以支持和停止对第三方厂家提供广告识别等是否构成变相挤压与其有竞争关系的第三方厂家)。[235]

※ 结论

在数据分析的行业里有个经常被引用的说法:“数据是新石油”。[236]这是强调数据可能寓含的潜在价值就如同石油,如果没有经过提炼,或是根本不知道该如何去提炼,就根本无法使用,也不再具有任何价值。

在知识经济和互联网的时代,“数据”无疑可以成为帮助企业运营的重要工具,既可提升本身的竞争力,有效运用稀缺的资源;也可以转化为交易的产品,其重要性往往甚至超过土地、厂房和设备等有形的资产。不过也可能因为市场导向的改变、某些突发事件的影响或是过度依赖大数据分析导致对市场的错估等使其价值快速下跌,甚至在极端的情况下几乎一夕归零,一文不值(例如,耶鲁大学管理学院经济学教授盖瑞‧戈顿(Gary B. Gorton)提供给保险界指标企业美国国际集团(American International Group,简称AIG)关于信用违约互换(credit default swap,简称CDS)风险数据分析模型的失灵被认为是导致发生2007~09年全球金融危机和翌年经济大衰退(The Great Recession)的重要原因之一)。[237]这也凸显了“数据”与“信息”之间的关系:“你可以没有信息却依然握有数据,但不能没有数据却还能掌握信息。”[238]

数据既不等于信息,也无法被“拥有”。任何不具独创性的数据无非就是对某个“事实”的反应或呈现,因此没有任何人可以“拥有”任何事实(至多只是民法上的“占有”概念或一般所称的“控制”)。也因此这些数据本身无法享有任何的权利(虽然可能因为特定的数据组合还不为他人知悉并具有价值等可能构成“商业秘密”)。不过试图对数据给予某种保护形式的想法却一直未曾停歇。既然无法从数据本身着手,欧、美两地便想从“数据库”予以赋权。然而在经过从1996年以来的各种不同尝试与实践后,已经能够确证,想要透过立法(公律)的方式来特别赋权不但无法达到预期的效果,却产生了许多新的、更难以处理的问题。反而是业内厂家透过市场机制,与使用者订立许可合同(自律)能够获得最大的效益

智力劳动的投入与成果并不当然表示必须赋权;即使享有权利也从不等于、更无法保证具有如何的价值,而是要由市场来决定。“智力劳动成果赋权论”和“额头流汗”其实是一体两面的论述。固然此前曾有司法实践采取了这个观点,自1991年美国联邦最高法院的判决以后,尤其是近期欧盟法院的一系列判决,至少欧、美两地的立场已然趋同,扬弃了只要有智力劳动成果就必须赋权的思维。

由于互联网与电子商务的发达,当前对于数据的关注焦点已经从数据本身或数据库转向到对数据安全性以及其背后所投射或反应的个人隐私保护。美、欧在这个面向也走上了截然不同的发展方向:欧盟从开始便接受了经济合作开发组织在1980年的决议中所推荐的八个基本原则,采取自上而下的“一条鞭”整合模式,“化零为整”。尤其是《通用条例》的制订施行不但对欧盟本身,也对全球一百多个国家,甚至美国的加州等至少半数以上的州产生了极大的影响。

美国则是因为内部的种种分歧难以整合,于是改采“化整为零”的做法,每次只针对特定的问题透过个别立法来对应,结果导致相关的体系在联邦的层级复杂多端,而且不同的规制之间经常叠床架屋,犹如贴上了各式膏药或补丁一般,结果还是有很多的疏漏,欠缺完整的体系和一致性的执法。最终反而是由加州带头改革,最近更以高票通过公民直接立法完全绕过了正常的立法程序尤其非比寻常,显示无论是联邦或州的立法体系至少在对数据的个人隐私问题上已然无法满足社会的普遍要求。

这个新通过的立法采取了非常类似欧盟《通用条例》的规定和做法,甚至更进一步要求企业或厂家必须对消费者的要求给予回应,否则极可能面临严重后果。在加州之后目前已有另外两州也完成了相关的立法。另外还有近半数的州也先后提出了立法草案,但因为种种因素未获通过。究竟加州的规制是否会形成“野火燎原”之势还有待时间的检验,不过由于主要的网络平台服务提供者的总部或运营中心都在该州,实质上已经产生了很大的影响。

由于这些立法举措都还施行未久或尚未正式施行,相关的执法工作究竟将会如何也还有待时间的检验。欧盟的首次执法检讨有得有失,但是欧盟议会并不给予情面,以绝对多数通过了决议意图施加最大的政治压力要求强化相关的执法。这也导致欧、美两地的数据转移和传输的机制一再被判无效,造成了双方的一场数据危机,迄今尚未获得妥善的解决。其中的关键争点是如何平衡执法者基于国家或社会安全的需求与消费者或使用者对自身隐私保护的需求

至于其他的消费者权益,在实际的执法上则只是形同“请求”而已,却反而让网络平台服务提供者,尤其是掌控市场门户地位的“守门者”,同时成了获得授权行使准司法权的仲裁者,有若球员兼裁判,掌握了更大的权力。讽刺的是,这未必是网络平台服务提供者所希望扮演的角色,毕竟它们也心知肚明这样的安排不但会增加各种交易成本,而且往往会招惹上社会的各种讥评,甚至引发反不正当竞争的诉讼与反垄断的调查,吃力不讨好。

无论如何,这些举措毕竟都还是目前经过初步探索后形成的制度,未来究竟会如何演化还未可知。但是可以确知的是,消费者对自身隐私的保障已然觉醒,一方面认知几乎所有透过网络的各种操作都会被收录成为数据,数据的分析对于消费产品和服务的提升至关重要,但另一方面还是希望能保有一定程度的主控权,尤其希望不受到各种不必要的骚扰甚至厂家的欺诈。

而政府的监管部门也开始分别从反不正当竞争与反垄断的执法角度切入,试图对占有“守门者”位置的大型网络平台服务提供者的发展套上一道枷锁。这意味着目前在欧美等地的执法钟摆已然从过去的相对放任快速转向严格,而且各种发展只是开端而已,未来势将有更多的立法改革。

目前“个人信息保护法”的立法进程已在国内积极推动,草案的内容包含了经济合作开发组织推荐的八项基本原则,与欧盟、加州等地的立法举措相当类似,一旦通过生效,应可对消费者提供非常大的保障,不再让他们自己成为被销售出去的“产品”,有助于未来互联网市场秩序的完善。由于其中涉及复杂微妙的平衡考量,欧、美在立法和执法上的交织发展无疑的提供了一个非常好的参考对照。毕竟这些立法的各项前因后果与执法实践的本身也是寓含了各种高价值的“数据”和“信息”。

※ 后记

本文成稿后,第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过了《中华人民共和国个人信息保护法》,一共八章74个条文,自2021年11月1日起施行。

这个新法所保护的,是“个人信息权益”(第1条),与欧美所保护的是“个人数据”有著微妙的不同。不过在实质的内容方面也遵循了当前国际的整体发展趋势,明确规定对个人信息的处理应符合公开、透明的原则(第7条),个人对其信息的撤回权(第15条),知情权(第44条),查阅权(第45条),更正补充权(第46条)删除权(第47条),和对以信息从事自动化决策的拒绝权(第24条)等,另外也规制了对敏感信息的特别处理规则(第2节),涉及跨境信息传输的规则(第3章)以及国家机关处理个人信息的特别规定(第2章第3节)等,已如本文当中所述。换句话说,这个新法当中的各个条款有80%以上实际规制的完全是关于对个人数据(不是信息)应如何处理的问题。

在经过多方折冲后,美国国会参、众两院民主、共和两党多名议员在华盛顿当地时间2022年6月3日正式推出了一个名为“美国数据隐私及保护法”(American Data Privacy and Protection Act)的立法草案(讨论稿discussion draft),并于6月14日举行了首次的听证会。[239]这是多年来国会最接近通过一部完整的数据隐私法,但是鉴于2022年是国会的中期选举年,议会会期较短,所剩的时间已经不多。目前还有几名关键议员对这个立法草案存疑,认为在维权执行上仍有许多的问题或是对消费者(使用者)的保护不够周全。

分享到微博
分享到微信
    分享到领英

相关文章