编者按:欧盟数据保护法发源于德国,世界上第一部数据保护成文法诞生于德国黑森州。然而德国对于数据保护法的反思与争议从未停止过。我们编译了德国学者Dr. Winfried Veil对于这些争议的总结报告,报告清晰展现了这一领域的法律逻辑演进脉络,虽然其中有些观点未免稍显极端,但却揭示了包括GDPR在内的欧盟数据保护法在基础法理层面无法自洽的逻辑硬伤以及在实施层面所面临的核心挑战。正如作者所指出:根本性的批评有助于通过法学理论和实践探讨来作出进一步的完善。
核心观点概览:
1.GDPR的主要结构性缺陷包括:信息自决权的乌托邦式幻想,法律对同意模式规制的无效性,预防原则对交流自由的漠视,对到底应该保护何种价值的含糊不清,“一刀切”以及“非黑即白”的规制方法。
2.信息自决权创造了一种无法实现的控制幻觉,全面保证个人信息自决权既有悖于法律和社会现实,也不可取。
3.GDPR过强的数据主体权利会将搜索引擎变成私人仲裁机构,导致互联网内容私人监管。
4.对处理个人信息的全面禁令迫使行为人为其行为进行合法解释,但这些行为本身是受到基本权利保护的。
5.借用国家与公民的关系理论处理公民与公民关系中的个人数据处理问题是不恰当的。
6.对数据保护法的目的没有明确的界定,这导致了极大的法律不确定性,数据控制者不知道他们必须为哪些受保护的权利或利益进行风险评估。
7.危险的不是数据,而是误用数据。数据保护应侧重防止数据处理可能产生的不良影响。
8.数据保护权应被视为其它基本权利的一项附属权利,数据处理只有在具体损害自由或构成损害自由的特别危险时,才应与基本权利相结合。
9. 目前,我们需要遵守GDPR,但是,对它的解释是如此不连贯、不一致和不完整,因此,根本性的批评有助于法律通过法学理论和实践的探讨实现在未来的进一步发展。
10.最后,为GDPR在实践中遭遇彻底失败做好准备也是十分必要的。
一、问题:数据保护法的结构性缺陷
1 信息自决权的乌托邦式幻想
信息自决在德国的数据保护理论中占据着主导地位,信息自决和数据保护被认为是相同的。信息自决作为一项人权,是德国联邦宪法法院于1983年在“Volkszahlung”(人口普查案)判决中发展起来的。法院认为,原则上每个人都应知道并自行决定由谁收集和处理有关他的哪些数据。
对于这一说法,持怀疑态度的法官和学者认为:该法院的做法并不成功,并且误入歧途,甚至是“基本权利神学”。事实上,全面保证个人信息自决权既有悖于法律和社会现实,也不可取。
——法律层面:对“原则”限制过多,则对“原则”本身打问号
从法律的角度来看,如果信息自决受到了过多的法律限制,便不能将其确定为一般原则。单就GDPR而言,其详尽地列出了约30种不同的公共利益作为国家限制信息自决的理由。而在私人领域,数据控制者的基本权利和第三人基本权利则成为限制个人信息自决权利的主要理由。
——现实层面:个人的自治和他律不断地交替,自决不能被视为默认规则。
从现实层面看,由于人并不是独自生活在这个世界上的,自治和他律不断地交替着,因而自决不能被视为默认规则。尤其是那些进入公共领域的个人,他们早已对自己的形象和外表等信息失去了控制。德国联邦宪法法院在其关于人口普查的判决中也认识到了这一点,法院认为:“信息,即使是与个人有关的信息,也反映了社会现实,不能只为受影响的各方所垄断。”因此,数据保护法的主题不是数据,而是信息。数据只有在有人传输和有人接收时才会成为信息。这些数据绝不能归因于一个人,相反,每一条信息都是多归属的。这就是信息自决概念所面临的困境:它可以作为对国家行使防卫权的正当理由,然而,在生活中,它却是违背沟通规律的。规定必须征得同意作为构成自决的逻辑基础也是一个谬误,正如任何想要贷款的人都不会自愿接受信用检查一样。
——自决的困境:受限于信息获取等因素,个人常常会以无知的状态作出的决定。
在数字时代,认为个人具有完全控制自己信息的想法是幼稚的。尽管如此,德国联邦宪法法院的判决依旧认为,那些通过了解个人信息而对人有一定了解的主体,相应的可以在很大程度上威胁到人的自由。这种敏感而保守的观点,不应成为整个信息立法的代表性指导原则。此外,还必须承认无知是信息自决的对立面,基于缺乏资源、学习时间有限和知识的专业性等因素,个人在生活的某些领域和情况下常常会以无知的状态作出的决定。
因此,Von Lewinski 教授将“信息自决”一词替换为“信息自由”一词是正确的。这更好地反映了现实。信息主体在个人信息被处理时有发言权,但并不总是拥有最终决定权。这清楚地表明,个人对隐私或保密性的要求只是许多需要考量的因素之一,这些因素需要与信息控制者以及第三方利益保持平衡。
2 不恰当的同意模式
知情同意不仅被视为“数据保护法的基石”和“信息自决权的真实表达”,有时甚至优先于所有其他合法数据处理的理由。GDPR遵循了这一思路,e-privacy regulation草案在很大程度上也是基于同意范式的。这种思路认为,只有经过同意,才会明显地加强信息主体的责任,取得数据处理的合法性。这就导致了公司通过数十页甚至数百页的隐私政策、一般条款和条件,将责任转移到数据主体。当然,没有人会去读它们。特别是在数字环境中,同意已经成为一种形式化的行为,它给用户一种控制“他们”数据的错觉,并进一步助长了他们对正在处理的数据有影响的信念。
——用户的错觉:可以控制自己的数据。
同意模式的困境:同意协议简而无用,多而无功。
与这种用户错觉相反的是,同意其实是“接受或不接受”的一种表达,在这种情况下,信息当事人根本没有谈判的可能。也就是说,同意的批准效果是建立在法律虚构的基础上的。根据行为学研究,同意往往是基于潜意识的影响,而不是有意识的思考。此外,同意的程序越简单,用户就越不了解他们实际上同意什么。然而,另一方面,同意的内容和程序越复杂,同意就越不切实际。因而,同意实际上是确保信息自决的最糟糕的法律手段。
3 预防原则——对国家与公民关系理论的误用
根据GDPR第6条和第9条,只有在信息主体同意或在法律上提供特别授权的情况下,才可以处理个人资料。在德国法律术语中,这一概念被称为“Praventives Verbot mit Erlaubnisvorbehalt”,意思是规则默认禁止处理个人数据,除非在法律中发现例外情况或数据当事人同意提供。因此,在开始处理个人资料前,必须寻找法律依据,以证明处理活动是正当的。
最初,这一原则的主要目的是保护个人不受国家的侵犯,随后,它便从调整国家与公民的关系转变为公民与公民的关系。在预防原则用于反对国家时,旨在限制国家的权力。然而,当作为针对公民或公司的数据处理禁令被使用时,则大大限缩了处理者的自由。
禁止处理个人数据的规定受到国家有关部门的监督,这些部门拥有广泛的干预权力和制裁权力。这些权力将会把数据保护法变成国家控制数据行为的说明书。然而,惊人的是,在这种情况下许多人依旧相信国家是数据保护的倡导者,他们原则上相信政府有能力监督每一个可能滥用权力的数据控制者。
出现上述症结的关键在于,借用自国家与公民的关系理论处理公民与公民关系中的禁止处理个人数据是有问题的。在一个自由的社会中,每个人都是数据控制者和数据主体。每个人彼此间都是自由平等的,他们的私人行为不需要解释或辩解,而处理个人资料也属于这种自由。
因而预防原则是一种危害基本权利的理论发展。如果按照这一逻辑,数据权利便将会成为一种超越其他基本权利的超级基本权利。
4 忽视了通讯自由
数据保护和通讯自由之间存在着一种特殊的紧张关系。在GDPR下,每个互联网用户都是一个数据控制者。这意味着任何人如果通过可以公开浏览的网站处理个人资料,或在twitter上发布有关他人的消息,均须遵守GDPR规定的权利和义务,并受数据保护部门的监督。也就是说,任何人在行使言论自由、意见自由、接收及传递资讯的自由、媒体自由、艺术及科学自由时如果涉及使用个人资料,就必须在GDPR内寻求法律依据,即使这些自由指向的是合法利益,因此这就涉及到了宪法问题。此外,根据GDPR的规定,每个数据控制者还必须履行几十项义务,包括通知、沟通、保障、证明、核实、记录和责任承担等。
——数据权利的过度保护对其它基本权利造成了不当损害。
因而严格的将GDPR适用于私人领域将会扼杀通讯自由。然而,到目前为止,联邦议员仍然不活跃,州议员似乎只部分认识到这个问题。欧洲法院关于谷歌被遗忘权的裁判所产生的问题也没有得到解决。通过落实该权利,信息不断地从互联网上删除,损害了那些正在寻找信息者的利益。而受该影响最大的是那些在互联网上再也找不到合法发布的信息的人和机构,包括新闻机构、门户网站运营商、博客作者等。
“被遗忘权”将搜索引擎变成私人仲裁机构,决定在互联网上可以找到哪些信息,而相关的第三方甚至不需要获得法律听证。谷歌拥有一个巨大的数据库上,其中包含754,943个应用程序,用于删除2,898,891个URL。而这种互联网中介机构的义务是很有问题的。根据GDPR规定,应信息当事人的要求,在未经进一步审查的情况下,内容就应立即无法访问,这便导致了严重的互联网内容私人监管。
5 一个悬而未决的问题:什么是受保护的
数据保护法最大的谜团之一是:什么是受保护的?德国法律有一个术语来形容这种缺失的东西,而且这个术语很难翻译:它就是Schutzgut(意思是受某种法律保护的权益)。而GDPR的Schutzgut是相当模糊的。德国的数据保护倡导者通常将个人的信息自决视为数据保护的目的。也有人认为,数据保护法具有工具性的特点,可以确保对其他公民自由的保护,因而数据保护的任务首先是风险防范。另一些人则认为保护隐私即使不是过时的,也是次要的保护目标,相反,他们认为数据保护法的目的首先是防止监视,而监视只有通过信息流通的限制才能实现。此外,组织(国家、公司、服务提供者)和个人(公民、客户)之间的权力不对称问题也受到了一定的关注。下面对现有法律的梳理为我们呈现了一幅保护目标高度异构的图景。
A)德国
在关于人口普查的判决中,德国联邦宪法法院从宪法中获得了信息自决权的基本权利这项旨在保障个人自行决定披露和使用个人资料的权利。德国某一传统的数据保护主义路线将信息自主视为数据保护法的目标。它植根于柏林、勃兰登堡、莱茵兰—普法尔茨、萨克森和图林根的宪法中。此外,大多数州的数据保护法认为自身目的是保护信息自决权利。
然而,之前的德国联邦数据保护法明确规定,其目的是保护个人不因他人处理其个人数据而影响其人格的权利。这也是巴伐利亚州、巴登符腾堡州、萨克森—安哈尔特州和图林根州数据保护法的观点。尊重和保护人格权和私人生活权的权利也载入了图林根宪法。此外,还有保障信息技术系统的保密性和完整性的基本权利,这也是德国联邦宪法法院从一般人格权中提取出来的。
B)欧盟
欧盟承认数据保护的权利。此外,还保护了尊重私人和家庭生活、家庭和通讯的权利。根据欧盟第95/46号指令第1(1)条规定,成员国应保护自然人的基本权利和自由,特别是在处理涉及个人资料的隐私权时。
C)欧洲理事会
《欧洲人权公约》第8条载有与第7条类似的隐私权。1981年第108号公约的目的是确保在自动处理与个人有关的个人资料方面尊重个人的权利和基本自由,特别是隐私权。
D)经济合作与发展组织(OECD)
经合组织于1980年通过的《保护个人资料隐私及跨境流动指南》,旨在保障处理“个人资料”时的“隐私及个人自由”。2013年修订的指南并没有改变这一保护方向。
——总结以上,涉及数据保护的 “Schutzguter”(被保护的法益)有如此多样化且模糊不清:
数据保护权(《欧盟基本权利宪章》、部分德国州宪法)
人格权(旧版的德国联邦数据保护法案、部分德国州宪法)
信息自决权(德国联邦宪法法院、宪法和数据保护法律、部分德国州宪法)
保证信息的机密性和技术系统完整性的权利(德国联邦宪法法院)
尊重私人生活的权利(《欧盟基本权利宪章》)
隐私权(数据保护指令95/46、欧洲委员会108号公约、经合组织指导方针)
所有基本权利和自由(数据保护指令95/46)
网络隐私权的概念
然而问题是:这些概念的内容和范围还很模糊,它们之间的相互关系更不清楚。因此,目前尚不清楚保护隐私和保护私人生活是否是一回事,以及在何种程度上一致。德国宪法上的人格权是否包括上述其他权利也不清楚。
——确定数据保护法的Schutzgut(被保护的法益)才能明确保护的重点、厘清与其它权利的关系、防止不当损害的产生。
还有一个附带的问题:为什么确定Schutzgut(被保护的法益)如此重要?举一个例子:GDPR第5条(1)款(d)项要求个人资料必须“准确,并在必要时保持更新”。在特定情况下,需要对这一条款作出解释,以便确定“必要时”是什么意思:
广告公司必须经常检查其数据库存的准确性,但是这种准确性的程度取决于广告公司受到哪条法律的规制;
如果在一条法律中数据的准确性本身就是目的,那么该公司将需要积极地持续的(实际上是在处理的每一秒)确保这种准确性;
但是,如果一条法律规定的目的是保护人格权,广告公司就不会对准确性有如此严格的义务。相反,条文的规制主体是负责发布个人信息的公司(例如新闻公司)或者应避免对信息主体造成损害的公司,而不是广告公司;
如果一条法律规定是为了防止歧视,广告公司也不属于规制的主要目标。在这种情况下,公司决策可能会对数据主体产生负面影响的机构(例如信贷机构)将是规制的主要重点;
如果这项规定的主要目的是保护数据分析的质量,广告公司也不会受到影响。
有人认为,鉴于这些不明确的情况,GDPR应做出一定的澄清,然而事实是,GDPR既没有定义也没有指定一个特定的“Schutzgut”(被保护的法益)。它甚至不再提到人格权或隐私权作为受保护的权利。相反,它保护广义上的自然人的基本权利和自由,特别是个人信息权。因而,整个GDPR都没有阐明它所依据的Schutzgut是什么,这意味着立法者在就数据保护的目标达成一致时的无奈与妥协。据我们所知,在围绕GDPR的谈判中,没有就GDPR的目标进行讨论。
GDPR的立法记录中列举了在处理个人信息时可能产生的某些损害:歧视、欺诈和盗窃、财产损失、名誉损害、信息遗失或更改、未经同意披露等,这些可能损害和风险类别清单对于哪些权利受法律保护没有明显体现。
这意味着,保护人格权和隐私权似乎不再是数据保护法的首要目标,而数据保护法的目的似乎更为广泛。但是更广泛是什么意思呢?上述所列的项目是如此广泛,以至于数据保护法的目的可以解释为是防止任何损害。因此,数据保护法与民法和刑法的联系更为密切。然而,民法和刑法只处理具体情况和有限的禁止性规定,没有像数据保护法一样的一般性的禁止性规定。此外,它们只适用于实际发生侵权或损害的情况。它们还认识到,并不是每一项违法行为或每一项损害都可以归咎于某一特定的责任人,并制定了许多限制个人责任或责任的归属标准。
——数据保护法应设置责任标准,使数据控制者清楚地知道哪些风险对应着哪些权利,防止保护的恣意。
然而,数据保护法并没有包含限制责任或责任的标准。这在数据保护法的案例中体现的更为明显,因为数据保护法与民法和刑法相比,还设置了大量的预防措施,并包含高额罚款。而数据控制者根本无法清楚地知道哪些风险对应着哪些权利。这一现象在法律领域是惊人的,因为在这个领域中,保护人类尊严和行为自由的重要性被认为具有很高的价值。在缺乏明确的法律保护目的的情况下,数据保护本身就是对其他权利的一种威胁。
6 “一刀切”与“非黑即白”
——数据保护法的规制是面面俱到的,几乎没有任何其他领域的法律包含这样的微观规定。
在德国,一般法和许多部门法没有规定生活中或数据处理中的具体问题情况,而数据保护法却设法涵盖数据从收集、使用到删除的整个生命周期。
—— 一刀切:在GDPR下,每个数据控制者基本上都有相同的义务。同样的规则也不加分别的适用于公共机构和私营公司。
它们既适用于亚马逊、谷歌、Facebook、苹果、微软和雅虎等美国大公司,也适用于小型初创企业、手工艺企业和体育俱乐部。用于科学目的的数据处理、档案、企业内部通讯、博客和网站运营商、众包平台或国际红十字会失踪人员搜索都必须遵守相同的规则,只有少数情况例外。然而,对于国家与公民之间的关系而言,这些规定可能是必要的,但对于公司与消费者之间的关系则可能是不合适的。而且,调整大型机构和消费者之间关系的法规可能并不适合处理个别互联网用户之间的关系。
——非黑即白:当法案聚焦于数据时,几乎没有考虑到每个人保护需求的多样性。
只有儿童数据(GDPR第8条)和特殊类别数据(GDPR第9条和第10条)存在更严格的处理规则,但这些规则只是粗略地衡量了不同的保护要求。GDPR没有充分考虑数据处理环境和具体处理风险。如果个人数据是公开的,有关数据通常会与可能披露个人性生活的数据受到同等的保护。只要数据属个人性质,所有保障数据的法规便均可适用。然而,在当今信息处理的条件下,宽泛的个人数据可识别性标准(GDPR第4条第1项)变得越来越没有意义。除了纯粹的机器、传感器和天气数据外,再也没有非个人的数据了。因此,个人信息和非个人信息之间的区别已不能再作为有意义的区分标准。然而,大数据尤其对个人数据的概念提出了质疑,因为大数据分析可以在不使用个人数据的情况下识别个人。根据德国联邦宪法法院的裁判,在自动数据处理的条件下,将不再有无关紧要的数据,由此可见,所有个人数据均同样值得保护。在这种情况下,对数据控制者施以再多的义务也无法周全的保证数据主体所谓的权利,这就导致了在数据爆炸的时代,GDPR对商业和私人生活的大多数领域造成了过度监管,而且会导致其成为实际上无用的僵尸规则。
二、建议:限制和确定数据保护法的范围
——GDPR抽象的数据保护法
GDPR努力将每一项数据都纳入一套精心制定的保护规则,其理念是全面预防。而且保障信息安全的制度被视为保障信息主体的一切权利和自由的必要制度。这些制度包括对处理个人数据的全面预防性禁令、信息自决的幻想以及一刀切和全有或全无的方法。这些制度形成了一个抽象的数据保护法,这导致了对数据控制者的过度要求,使之必须保护个人的所有可想象的权利和自由;其也导致了数据主体的失望,他们被一种无法实现的期望所推动,即仅凭数据保护法就能保护他们免受数据处理的危险。因此,对数据保护法需要在几个方面加以明确和限制,这能且只能通过对法律的适当解释来实现。
1 明确数据保护法的基本权利基础
必须澄清数据保护根植于《欧盟基本权利宪章》第8条这一事实所产生的后果。在许多公开辩论中使用的基本权利言辞模糊了数据保护法所面临的实际挑战。这种花言巧语导致了一种错误的假设,即任何处理个人数据的行为都是一个极其敏感的法律问题,但事实是,并不是每一个细致的数据保护法问题都影响基本权利。因此,必须澄清《欧盟基本权利宪章》第7条尊重私人生活的权利和第8条数据保护权的含义及其相互关系。
——数据保护权应被视为其他基本权利的一项附属权利,数据处理只有在具体损害自由或构成损害自由的特别危险时,才应与基本权利相结合。
将第8条视为立法者根据基本权利原理对数据保护规则进行的设计会会更合适。在私人领域,如果数据保护与另一项基本权利,特别是与保护个人的基本权利结合,则数据保护权利只是一项在法庭上可强制执行的防卫权利。因此,数据保护权应被视为其他基本权利的一项附属权利。因此,它可以被描述为Kombinationsgrundrecht(一项基本权利,需要与另一项基本权利相结合)。这种观点的结果是,数据处理只有在具体损害自由或构成损害自由的特别危险时,才应与基本权利相结合。
此外,还必须澄清数据保护权项下,数据控制者和第三方的基本权利关系。在处理任何个人数据时几乎都可能会出现基本权利冲突。GDPR的立法讨论记录显示:保障个人资料的权利并非绝对权利,它必须根据其在社会中的作用加以考虑,并根据相称原则与其他基本权利相平衡。特别是与言论和信息自由(《欧盟基本权利宪章》第11条),媒体的自由(《欧盟基本权利宪章》第11条第二款),科学与艺术自由(《欧盟基本权利宪章》第13条)和商业自由(《欧盟基本权利宪章》第16条),它们在很大程度上需要借由数据处理行为实现,因此可能会与数据保护法发生冲突。而且信息自决本身就带有这种冲突,因为没有对社会环境的知识和理解,一个人就无法成为社会的一员。因此,一个人必须能够收集和处理关于他的身边的信息。
互联网使人们能够更好更快地了解自己,使他们能够以更多样化的方式彼此进行更多的交流,使他们更容易组织自己和建立网络。信息、沟通和组织也是信息自主的形式。数字化极大地加强了这些形式的信息自主。因此,即使是处理有关其他个人的个人信息,也必须将处理行为视为基本权利的行使。个人信息的处理不仅是片面依赖信息主体所提供的信息,还有赖于受基本权利保障的个人认识行为的参与。
2 限缩数据保护的目的
——数据保护法的保护目的必须明确和有限,如果数据保护的目的是对隐私权和人格权的一般保护是可取的,但是,宣称对所有基本权利和自由负责则是不可取的。
基于对国际法、欧盟法和德国法的分析,可以列举以下典型的可规制的数据处理风险类型:
——增加个人成为犯罪目标的可能性 ——羞辱和损害公众形象 ——造成选择性目标损害(歧视) ——去情境化的风险:信息从生活的一个方面传递到另一个方面可能会对个体产生负面影响。 ——信息产生阶段的风险:自动从各种来源获得新知识的可能性产生了新的危险,例如使用数据分析方法获得的个人信息
——信息不准确:非结构化数据源、不受控制和不透明的处理程序和数据伪造造成数据质量差的风险,而数据质量差又会引起不同的风险。 ——把人仅仅当作物体来对待:特别是通过完全自动化的个人决定,有把人降级为物体的危险。 ——他律:对个人行为的操纵可以在微观上对人类行为自由产生消极影响,也可以在宏观上对政治进程产生消极影响。
——对保密的合理期望的落实感到失望。
3 放弃预防原则
部分取消处理个人数据的预防性禁令(例如关于日常数据处理或非商业性通讯)将是迈向一个现实的数据法律制度的第一步,因为在这些领域,监督部门事实上是很难执行禁令的。有数据保护专家在很早期已经提出了这一建议:“为了避免荒谬的结果,应简化数据保护。”所以说,如预期信息主体不会受到明显损害,则应认为相关数据处理是可接受的。还有建议认为数据保护法应朝着一个更加开放的一般性条款的方向前进。
4 考虑平衡利益原则
同样,也有人建议以各种权益的综合考量作为处理个人资料的主要合法依据。这种利益平衡不仅必须考虑到数据主体和数据控制者的利益,而且还必须考虑到某些数据处理的社会意义。根据这项建议,同意和合同本身将不再是独立的法律证明,但仍将在衡量所有利益方面发挥相当大的作用。
作者Winfried Veil是德国内政、建筑和社区部顾问(Referent at the FederalMinistry of the Interior, Building and Community )。他代表德国政府参加了欧盟理事会工作组DAPIX关于GDPR的谈判。
编译:朱家豪 | 腾讯研究院助理研究员
编译指导:王融 | 腾讯研究院,资深专家
声明:本文来自腾讯研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
