查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《法治研究》
论大数据时代的强制告知义务
【作者】 杜换涛
【作者单位】 沈阳师范大学法学院{副教授、硕士生导师,法学博士}
【分类】 法律经济学
【中文关键词】 大数据时代;个人信息;信息不对称;告知义务
【期刊年份】 2018年【期号】 6
【页码】 48
【摘要】

大数据时代,个人信息收集阶段和处理阶段均存在严重的信息不对称,由此衍生出收集者、处理者的强制告知义务。未来制定《个人信息保护法》时应从两个阶段完善强制告知制度,如扩大告知义务主体,明确告知法定事项,强化个人信息删除责任。未经知情同意擅自收集、处理个人信息构成侵害知情权,损害赔偿责任应实行过错推定原则。补偿性赔偿的数额过低,难以激励信息主体积极维权,因而有必要建立惩罚性赔偿制度。惩罚性赔偿立法应摒弃法律统一规定模式,改采个案计算模式。惩罚性赔偿金的判定可采用“履行差错”计算法。

【全文】法宝引证码CLI.A.1251621    
  
  在大数据时代,个人信息具有人格与财产双重属性,一方面促进自然人人格实现及自由发展,另一方面还表征和践行着财产利益内涵。[1]个人信息的收集、处理已成为数字经济发展的强劲动力。例如,个人的职业信息、健康信息、信用信息、上网浏览痕迹,都可以被企业收集起来,用以向用户定向投放营销广告,或者将其转让给其他企业,从中获取巨额经济利益。质言之,个人信息已经成为促进经济增长的稀缺资源。为应对日益严重的个人信息滥用问题,各国(地区)纷纷通过立法加强对个人信息的保护,我国作为网络大国自然也不例外。2012年12月,第十一届全国人大常委会发布了《全国人大常委会关于加强网络信息保护的决定》(以下简称《网络信息保护决定》),第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”该条规定确立了收集者、使用者负有的强制告知义务。2016年通过的《中华人民共和国网络安全法》(以下简称《网络安全法》)第41条第1款,又重申了网络运营者的告知义务:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”这里的问题是,立法者为何高度重视强制告知义务?收集者、处理者为何不会主动告知相关事项?它们究竟应告知哪些事项?不履行告知义务需要承担何种民事责任?未来制定《个人信息保护法》时,强制告知制度作为一项法律制度应如何予以构建?本文拟从经济学与法学交叉的视角,将个人信息操作分为收集与处理两个阶段,对上述问题进行分析,以期为立法者提供参考资料,对个人信息保护有所裨益。
  一、强制告知义务的经济根源:信息不对称
  (一)信息不对称理论的核心要义
  新古典经济学的假设之一,是认为市场机制是完备的,因而市场上的交易信息必然是完全和对称的。完全信息和市场主体的完全理性,从根本上决定了市场中不存在不确定性,这又有助于人们对市场进行完全的、确定性的预期。[2]然而,在信息经济学看来,这一假设是不符合社会现实的。在现实生活中,交易双方的信息不仅是不完全的,而且是不对称的。信息不对称(asymmetric information) ,是指经济行为的一方比另一方拥有更多的信息。以时间为标准,信息不对称可分为事前的信息不对称与事后的信息不对称。以内容为标准,信息不对称可分为隐藏特性与隐藏行为。所谓隐藏特性( hidden characteristics ),是指交易一方对自己商品的特性更为了解,对方往往不了解或了解不多。例如,二手车的卖方对汽车的状况了解得比买方多,人寿保险的投保人对自己身体状况的了解比保险公司多。所谓隐藏行为(hidden actions ),是指交易的一方能采取行动影响对方,而对方不能直接加以辨别。例如,公司希望雇员能努力工作,但无从判断其是否开小差;保险公司介意投保人躺在床上抽烟,但无法看到抽烟行为。
  信息不对称的存在会引起一系列不利后果。事前隐藏特性会导致逆向选择问题。所谓逆向选择( adverse selection ),是指拥有优势信息的一方利用其信息优势地位做出不利于信息劣势一方的行动,使后者总是遭遇对自己不利的交易对象,后者为避免损失可能取消交易,这就是所谓的“劣币驱逐良币”现象。例如,在人寿保险市场上,投保人拥有私人信息,对自己身体的健康状况最为了解,而保险公司则并不完全了解。投保人为了最大化地获取赔偿金,往往掩盖自身的疾病,骗取保险公司与自己签订保险合同。保险公司为了防止被骗,就将所有投保人视为患有疾病的人,收取较高的保险费。如此一来,投保人都是有病之人,健康者不来投保,保险市场也就逐渐萎缩以致难以存在。除保险市场外,逆向选择问题还广泛存在于信贷市场、雇主与求职者之间,以及委托代理关系之中。事后隐藏行动将造成道德风险问题。所谓道德风险(moralhazard ),是指交易双方签订契约后,信息优势的一方做出不利于对方但又不为对方觉察的行动。道德风险问题在保险市场中最为常见。以财产保险为例,投保人购买财产保险之前,会时刻提防风险的出现,并采取降低风险的措施,因为发生事故后的损失完全由其本人承担。投保人在与保险公司签订财产保险合同后,往往不再像从前那样谨慎看管自己的财产。例如,出门时不会像先前那样仔细检查水电是否关闭,门是否锁紧,即使发生了火灾也不愿去积极救火。更有甚者,投保人可能故意制造火灾以骗取保险金。保险公司由于无法监视投保人是否采取防灾措施,因而面临着赔偿投保人因管理财产松懈造成的损失,极端情况下可能会使保险公司破产。
  综上,市场活动中信息不对称是普遍存在的,普遍存在的信息不对称可能造成市场逐渐萎缩直至不复存在。对此严重后果,市场机制本身能够提供手段部分地予以解决。就逆向选择问题而言,信息优势方可采取传递市场信号措施(signaling),将自己私有的信息传递给劣势的一方。例如,延长质量担保期、承诺三包服务、开连锁店证明其服务品质等。信息劣势方可采取甄别措施(screening),实施某种活动诱使对方提供私有信息让自己知道。[3]例如,保险公司设计不计免赔保险,将高风险的司机区别出来,雇主要求求职者提供毕业证书来筛选能力较强的员工,等等。就道德风险而言,可以采取承包制、租赁制、股份制、绩效工资、奖金和期权等激励机制。[4]但是,市场机制存在局限性,上述措施并不能完全解决信息不对称问题。这是因为,在市场经济中,交易双方的法律地位是平等的,一方为了实现经济利益的最大化,往往刻意隐瞒自己掌握的信息,对方即使有所察觉也不能采取强制手段,强迫信息优势方披露与交易有关的重要信息。也就是说,在信息不对称的情况下,市场这只“看不见的手”已难以有效率地配置资源,即市场失灵了。此时,客观上需要发挥政府这只“看得见的手”的作用,强制信息优势方披露有关交易信息,便于对方据此做出合理决策,促进交易的达成和经济的发展。例如,政府定期发布商品价格;制定强制性标准;要求二手车的卖方向买方告知旧车的有关信息,包括旧车质量证明书、运行公里数及大修次数等。
  (二)个人信息保护领域的信息不对称问题
  从生活经验层面来看,信息不对称现象不仅存在于二手车市场、保险市场等领域,在个人信息保护领域,无论个人信息收集阶段抑或处理阶段,都同样存在严重的信息不对称问题。
  1.个人信息收集阶段的信息不对称
  在个人信息收集阶段,信息收集者与信息主体之间存在事前的信息不对称。本来,依意思自治原则,自然人是否愿意与他人分享个人信息、与谁分享个人信息、分享何种个人信息都有最终决定权。这是因为,个人信息的重要特征之一是可识别性,能够使某个具体个人与他人区别开来,因此可以说可识别性是个人信息的实质性要素。正是由于个人信息指向特定的自然人,与个人的社会身份、私人生活存在密切关系,其中所包含的那些涉及当事人私密的信息,更是具有人格属性,体现主体的一定伦理意义。[5]质言之,在大数据时代,个人信息与自然人的姓名、肖像和名誉一样,本质上属于人格要素的组成部分。从归属角度而言,个人信息属于特定的自然人“所有”,理所当然归其自主支配和使用。他人若想使用自然人的肖像,应与肖像权人订立肖像许可使用协议,以获得合法权源,否则擅自使用他人肖像,构成侵害他人的肖像权。同理,欲使用自然人的个人信息,亦应向信息主体本人提出申请并取得其同意。然而,现实的市场运作与上述理想状态之间存在巨大的落差。相对于信息主体而言,收集者凭借其专业技术,天然地处于信息优势地位。[6]对于是否收集个人信息,以及如何收集、如何使用、使用期限等问题,收集者拥有完整而充分的信息。相反,普通大众由于缺乏计算机专业知识,对自己的个人信息是否被他人收集、如何收集、如何使用、使用期限等问题,往往所知有限甚至一无所知。也就是说,收集者与信息主体之间存在严重的信息不对称。在资本逐利本性的驱使下,收集者为了节省交易费用,必然隐瞒自己的技术特性,在信息主体毫不知情的情况下收集其个人信息。以网上常见的Cookie跟踪为例,它是跟踪者通过联盟或付费等方式,将其跟踪代码嵌入大量网站中,收集这些网站用户的浏览记录、停留时间、购物商品等个人信息。[7]跟踪者通过对Cookie数据的分析,在一定程度上能够掌握用户的行为特征和上网偏好,据此进行精准的广告投放,谋取巨大的商业利益。网络跟踪如同在网民生活的每一个角落里安装了隐蔽的摄像头,对上网者的一举一动进行全程监控,而用户不仅对监控行为毫不知情,对监控者的身份也一无所知。[8]不接我们电话 也不给拒接原因
  2.个人信息处理阶段的信息不对称
  收集者取得信息主体同意获取其个人信息,从合同法角度而言,是双方达成了一个个人信息许可使用协议。收集者理应遵循合同严守原则,在授权范围内合理使用个人信息。然而,个人信息一旦由处理者取得,即脱离了信息主体的有效控制。个人信息是否被超范围使用,只有处理者最为清楚。更有甚者,个人信息被储存后可与其他个人信息结合使用,由此可能衍生的损害后果,处理者若不告知,信息主体根本无从知晓。与有体物不同,个人信息在理论上可以被无限次地复制,并且在全球范围内无限距离地传播。因此,处理者完全可以与数个交易对象同步进行交易。在此情况下,信息主体往往难以知悉自己的个人信息流转到了何人、何处。即使知道处理者在传播个人信息,也难以采取及时有效的措施予以制止。面对处理者肆意操作个人信息的行为,当事人只能仰天长叹,徒叹奈何。不仅如此,在巨大的经济利益刺激与诱惑下,处理者势必实施投机主义行为,凭借其信息优势地位,实施隐藏行为以谋取自身利益。处于信息弱势地位的信息主体无法核实处理者是否严格遵守许可使用协议,对个人信息如何被处理不知情或不了解,也就难以采取适当的措施予以防止,维护个人信息的安全。之所以发生上述道德风险,是企业的本质特性使然。企业存在的使命在于营利,利润最大化是其经营活动的终极目标,这就决定了它不是自动遵纪守法的“道德人”,而是具有机会主义倾向的“经济人”。只要有商业机会,企业就会采取各种手段谋取经济利益,甚至采取程度不等的违法手段,这在法制不健全的社会更为常见。
  (三)个人信息保护领域信息不对称的解决之道
  虽然个人信息的擅自收集、处理蕴含着诸多的不确定性,信息主体由于缺乏控制手段往往处于被动状态,但在大数据时代,人们事实上无法拒绝个人信息被他人收集、处理和使用。这是因为,随着信息时代的到来,微信、支付宝、淘宝、京东以及网上银行等应用平台,已经深深地植入到几乎每个人的生活之中。人们在越来越享受现代科技带来的便利的同时,也越来越离不开现代科技。例如,网上购物时需要注册账户,向卖家提供个人电话和家庭住址等个人信息,否则就不能完成网上交易,也不能享受送货上门的便捷。相对于拒绝网络购物与送货上门的成本而言,个人电话和家庭住址的隐私价值也就显得微不足道了。因此,尽管人们知道存在个人信息被泄露的风险,也不得不同意交易相对人收集个人信息。新的交易模式的出现,一方面促使消费者与交易平台形成稳定的“消费依赖”,另一方面也造就了后者对前者的“信息垄断”地位。期待收集者、处理者会主动告知收集、处理个人信息是不现实的,也是不可能的。因为这样做会显著增加其交易成本,理性的处理者不会做出此种决策。掌握较少信息的用户请求收集者、处理者告知收集和处理事项,后者即使拒绝回答,用户为了享受现代科技带来的便捷,也不得不屈从于处理者的强势地位,违心地接受对个人信息收集和处理。易言之,解决信息不对称的发送信号与信息筛选机制在此没有发挥作用的余地,即市场机制失灵了。在此情况下,解决信息不对称的另一条可行思路,即是引入政府的强行干预。表现在制度安排上,即在立法上建立强制告知制度,要求各收集者、处理者披露其收集、处理个人信息的目的、用途、方式,以及用户享有的权利等特定事项。通过这一正式制度的严格约束,缩小双方信息地位的巨大差距,使之处于平等或大致平等的地位,从而为用户表示同意收集、处理个人信息创造前提条件。
  二、我国强制告知制度的完善
  如前所述,信息不对称是强制告知义务产生的经济根源,克服信息不对称的有效途径是建立强制告知制度,强迫收集者、处理者主动向信息主体披露有关事项。我国《网络安全法》等现行法尽管规定了收集者、处理者的告知义务,但从比较法角度来看,制度架构较为单薄,未来制定《个人信息保护法》时应着重从以下几个方面加以完善。
  (一)扩大告知义务主体
  从比较法来看,关于告知义务的主体主要有两种立法例,即统一模式与区分模式。前者如欧盟《一般数据保护条例》第13条,它将告知义务的主体确立为个人数据“控制者”。第4条将控制者定义为,能够单独或共同决定个人数据的处理目的和处理方式的自然人、法人、公共机构、行政机关或其他实体。《韩国个人信息保护法》第17条确立的告知主体是“个人信息处理者”。依第5条规定,个人信息处理者包括公共机构、法人、组织、个人等。后者如我国台湾地区“个人资料保护法”,其第8条规定了公务机关或非公务机关收集个人资料时应告知的事项,第9条规定了公务机关或非公务机关间接收集个人资料的告知事项。《网络信息保护决定》将告知义务的主体限定为“网络服务提供者和其他企业事业单位”,《网络安全法》将其限定于“网络运营者”,过于狭窄。现实生活中,个人信息的收集者、处理者并不仅限于上述两类市场主体。未来制定《个人信息保护法》时,应扩大告知义务的主体范围,将个人信息的收集、利用、存储和分享者等各类企事业单位包括在内,如保险从业人员、律师、医生、生产者和销售者、国家机关等。考虑到告知事项的差别,以及违反告知义务所应承担责任的不同,未来立法宜采取区分模式,分别规定国家机关与非国家机关的告知义务。
  (二)明确个人信息收集阶段的告知事项
  比较法上,欧盟《一般数据保护条例》第13条规定的告知事项主要有:控制者的身份和详细联系方式、数据保护专员的联系方式、处理个人数据的目的及法律依据、控制者和第三方所追求的利益,个人数据接收方的种类、是否向第三国和国际组织传输、个人数据的存储期限,向监管机构申诉的权利等事项。我国台湾地区“个人资料保护法”第8条第1款规定了直接收集个人资料的告知情形,包括公务机构或非公务机构的名称,收集的目的,个人资料之类别,个人资料利用的期间、地区、对象及方式,当事人得行使的权利及方式,当事人不提供个人资料时的权益影响等。第2款规定了免于告知义务的情形,包括依法律免于告知、执行法定职务或履行法定义务所必要、告知将妨碍公共利益等。我国《网络安全法》第41条仅规定为“明示收集、使用信息的目的、方式和范围”,缺陷在于,一方面未区分不同阶段规定告知事项,另一方面需要告知的事项列举得过于简单。
  1.直接收集个人信息的告知事项
 

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
爬数据可耻
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1251621      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多