DPOHUB读书会09 | 哈佛法律评论:《财产、隐私及个人信息》 | 数据财产化奠基之作
Schwartz, Paul M. "Property, privacy, and personal data."Harv. L. Rev. 117 (2003): 2056.
保罗·施瓦茨:《财产、隐私及个人信息》
研读人:安卡尔 上海交通大学法学院硕士生
本文发表于《哈佛法律评论》,作者为加州大学伯克分校的法学院保罗·施瓦茨教授。本文通过对市场上典型的收集个人信息的商业模型进行分析与探讨,延伸出个人信息商业化所带来的诸多问题,并且对反对个人信息财产化的三种主流观点进行了分析,最后构建了针对于个人信息财产化的模型并提出了该模型所必备的五个关键元素,以便于应对个人信息财产化所带来的种种不确定性。
本文主体可以分为以下四个部分。在第一部分作者介绍并总结了四种较为典型的收集个人信息的商业模型,并分析了这种商业模型如何将个人信息商业化以及由此延伸出来的问题;第二部分,作者介绍了反对个人信息财产化的主流意见,并针对于这些意见提出了自己的看法;第三部分,作者构建出了有关个人信息财产化的模型并提出了该模型所必备的五种关键元素;第四部分作者对本文的总结与展望。
一、个人信息交易
在本部分作者通过介绍目前在市面上较为常见且典型的收集和处理个人信息的四种商业模型,进而分析了这种商业模型如何将个人信息商业化,从而威胁个人隐私,并探讨个人信息是否包含自由可转让性的问题。
1. 四种商业模型的介绍
1)可植入型芯片:Verichip
这种人体芯片技术的工作原理是通过外科手术往消费者体内植入一种芯片来获取主体的各类信息,并对其的物理位置的变化进行实时监测,并建立起相应的数据库。在本文中,作者举例了住在佛罗里达州的雅格布一家说明这种芯片技术的作用。例如,年长的成员通过这种芯片的运作,可以追踪到他们的健康信息并与自己的主治医生事实报道情况,而对于最小成员而言,这种芯片的作用就是类似于一种比较酷的技术革新。除此之外,这种人体芯片技术在社会面可能有助于金融欺诈。同样地,这种技术能够阻止或者避免日益严重的身份盗窃问题。但是,这是被收集的个人信息很有可能被信息收集者商品化并且与其他的产品进行交换的风险。因此,虽然这种植入型芯片有诸多的好处,但是同时具有泄露隐私的可能性,然而目前有关的法律法规也没有对其进行一个必要的调整。
2)可穿戴型芯片:WozNet
这种技术是apple computer的创始人Steven·woznet所提出。它类似于我们现在所接触到的apple watch,通过穿戴特定的产品来追踪到该主体各类私人数据,包括但不限于身体健康,地理位置,生活习惯等私人信息。因此,在功能上与可植入型芯片有着共同之处,例如,与可植入芯片一样,这两种设备都将一个唯一的 ID(一种个人条形码)与携带或佩戴相应设备的个人相关联能够允许该设备能够广泛且连续地收集个人数据,并生成新的数据集合。同样地,这种可穿戴型芯片对隐私也会产生比较巨大的的负面影响,但在法律层面上似乎并未受到严格的管制。
3)分布式计算:监督软件和广告软件
所谓的监督软件是指“未经您的许可自行安装,未经您的许可运行,并在未经您许可的情况下使用您的计算机。间谍软件利用计算机资源创建可用于多种目的的网络,包括从计算机收集个人和非个人信息,以及向上网的个人发送广告软件或定向广告。
这种分布式计算的方法对于现代人而言比较熟悉,例如,我们在使用微博,抖音,小红书等网络平台时,总是会刷到一些与自己近期的生活状态有关的帖子或者广告。例如,在校大学生比较倾向于刷到关于留学,考研机构等有关学业类的广告或推送。这种精准的投放广告的宣传模式就是通过这类监督软件对信息主体的监督,监视再对其进行加工而完成。
4)补偿式电话营销
电话营销是一种比较直接的销售方式,即通过这种方式来发掘潜在的客户,同时这种销售方式也是变相的将个人信息成为商品化的一种重要渠道。目前,美国和加拿大退出了“do not calls”的政策,即个人可以将这类电话进行拉黑处理,但是这种方法此乎是有瑕疵的,因为这种拉黑的操作,阻碍了那些愿意接听这些电话和营销商之间的交流。然而,这种补偿式的电话营销模式可能会创造大量的关于个人信息的数据库,其中不仅包括这些愿意接听补偿式电话营销的个人信息除外,可能还会包括他们的喜爱和其他个人信息。然而,目前没有任何法律对这类行为进行有效的监管。因此,这类行为可能会导致个人信息被第三方自由使用,转移,甚至转售等负面结果。
作者通过对这四种商业模型的观察与分析,总结出这四种模型的相同点与不同点。他提到,这些数据收集方法和设备中的每一个都存在与财产、隐私和个人信息相关的问题。这些系统的共有的特征是它们的使用将回导致颗粒度更为细致的个人信息集合。此外,这些设备和方法都对个人数据的后续使用提出了难题,目前它们在很大程度上不受法律监管。最后,这些在初级市场上收集的个人信息很有可能引发二级市场的交易。
至于不同之处,作者说到,首先并不是所有的设备都会引发有关秘密收集信息的问题。例如说,广告软件和间谍软件通常在消费者不知情的情况下跟踪其在线行为并运行。相比之下,拥有可植入和可穿戴芯片的客户以及同意参与有偿电话营销的客户可能至少会知道他们个人信息的初始收集。另一个不同之处就是退出成本不同,换言之,客户通过移除、卸载或以其他方式处置这些不同设备来退出数据收集方法的能力。可穿戴芯片可以解开,但植入式芯片必须在医疗程序中移除。此外,广告软件和间谍软件的发现和卸载可能非常复杂。因此,退出不同系统的成本差异很大。
2. 商业化、隐私以及自由可转让性
通过对上述四种模型的比较和观察,作者在本部分探讨了有关个人信息的收集、加工、交易时所延伸出来的三种问题,分别是个人信息的商品化,对隐私的威胁以及关于个人信息的自由转让所引发的问题。
1)个人信息的商业化
通过上述案例,可以明白技术如何将个人信息商品化的详细过程。在初级市场上,这些被商品化的个人信息就像其他一般等价物一样可以与其他商品进行交换。以广告软件和监督软件为例,这些被商品化的个人信息通常还会包括个人的屏幕使用时间,对于某类广告的注意力集中程度等多重信息。作者将这些被商品化的个人信息可以分为四种名单或类型,分别是:1)那些愿意将自己的个人信息商品化的个人名单;2)那些愿意接受广告商所推送广告的个体名单;3)有关个人的交易信息,例如,付款信息,付款频率,消费阶级等以及4)隐私元数据。由于这种隐私元数据包含个人的多种信息,因此这种隐私元数据往往比起单个的个人信息,拥有比较大的市场潜能。以verichip或wonzet为例,使用这种类型的电子产品同样也会产生的相应的关于个人信息的数据库或隐私元数据,而这些信息集合从初级市场被收集和加工后,很有可能会在二级市场上进行重复交换。正如在本文所说的:“从某种意义来讲,你所付的虽然是金钱,但实则就是你的隐私”。
2)对于隐私所构成的威胁
无论是可植入型芯片还是可穿戴型芯片,或者说那些广告软件,监督软件同样也会收集,转移,加工有关个人的大量信息。例如,verichip和woznet通过绑定个人的id来获取该个体的物理位置以及活动范围,并将其保存到自己的资料库。虽然这种缓存数据可能不会对隐私产生威胁,但是这同样也会对特定情况下的个人带来灭顶之灾。例如,美国的一些州实行反堕胎法,在这些州里面那些去过妇女诊所等场所的妇女很有可能被这种跟踪数据而揭露自己的轨迹,更有可能会面临惩罚。在本文中,作者还举例了这种个人信息的交易也可能会导致对个人产生价格歧视等问题。
3)个人信息的自由可转让性
最后,关于这些个人信息在二级市场上的自由转让的问题。根据本文的解释,不可转让或者不可剥夺性是这关于数据的所有,转移以及使用上的限制。换言之,就算某人想要对自己的个人信息进行交易,但是社会或者相关的法律法规也会阻止他行为的这种情况。与之相对应的,自由转让性原则是指个人对自己的数据拥有随意处置的权利。
个人信息收集者对个人信息的另一种利用方式为商业目的将所收集的个人信息作为商品转让,这通常通过个人信息数据库的转让来实现。一些商家将个人信息视为一种可转让的商品,与普通商品相似,并将其作为资产的一部分,在必要时将这些信息出售获利。虽然在个人隐私保护的强烈呼声下,部分商家已经认识到这样的商业利用方式中潜在的道德和法律风险,但转让或意图转让个人信息的事例仍然屡见不鲜。在传统技术条件下,信息收集、加工和传播的成本较高,个人信息为第三人使用的情形相对较少。而现代网络和信息技术使这些环节的成本大大降低。尤其是依靠数据匹配技术(如计算机比对),可以在极短时间内将网络上关于特定主体的各种信息联系、组合,形成相对全面的“个人档案”,并根据某些特征将多个档案分类汇聚成各种个人信息数据库。这些数据库具有很高的商业价值,可以用作市场营销和个性化服务。因此,个人信息作为商品交易已经成为信息时代的一个重要产业。
二、有关个人信息财产化的争论
在这部分作者重新评估了对个人信息财产权的怀疑并针对这些问题提出了自己的看法。对个人信息财产化的反驳论点主要有以下三种,分别是隐私市场失灵理论,公共产品以及个人信息的自由转让性理论。
1)隐私市场失灵理论
市场失灵是一个经济学的概念。所谓的隐私市场失灵是指,原则上,信息获取和信息保护之间的平衡可能是信息主体和信息持有人共同的长期利益,而不是任何一个极端。在实践中,第三方手中掌握着前所未有的大量的个人信息,这些信息往往超出了信息主体的接触,控制甚至知识范围。这些信息可以为信息主体和信息持有人带来巨大的利益。然而,在第三方积累的大量个人信息,再加上他们挖掘这些数据的行为模式,也可能会改变信息主体和信息持有者之间的经济和社会力量的平衡。
个人信息主要面临市场失灵主要体现在:
首先,市场难以消除“信息隐私价格歧视”现象。隐私价格歧视主要指商家根消费者的消费偏好判断其对商品的需求程度,从而针对不同消费者制定不同的价格,实质是基于个人信息对消费者实行区别待遇。
其次,个人信息市场上交易主体间存在信息不对等,市场信息的不对等将导致交易者对市场交易产生顾虑,进而减少交易甚至退出市场。根深蒂固的信息不对称可能导致 "柠檬平衡"lemon equilibrium。一旦信息的不平衡导致足够多的买家停止购买,卖家就会因为决定以更高的价格提供更有利的条件而导致亏损,结果就是柠檬均衡,正如理查德-克拉斯韦尔解释的那样。"在这种情况下,没有卖家有动力提供更有利的条款,其结果是一个均衡,在这个均衡中,只能获得坏的合同条款(或'柠檬')。
最后,交易双方缔约能力的不平等将导致交易过程的实质不公,也就是“有限理性”现象(bounded rationality)。有限理性 "的现象意味着许多消费者会接受数据处理者为其个人信息提供的任何条款。行为经济学学者已经证明,消费者对默认条款的普遍惰性是对自由选择的强大和普遍的限制。格式条款的普遍适用正是这种不平等地位的集中体现。总之,由于缺乏有效谈判的机会,消费者在该问题上无法做出合理的选择。
作者对上述的隐私市场失灵理论的分析,认为隐私市场的失灵可以通过相应的完善措施进行消除,例如说针对于对于有限理性现象,可以通过“框架效应”对其进行调整。所谓的框架效应是指,选项的呈现会影响选择,而决定隐私信息呈现形式的各方有相当大的权力来塑造消费者的行为方式。因此,作者曾针对于这个问题与另一名学者提议,政府监督机构应在塑造消费者收到信息实践通知的形式方面发挥作用。除此之外,还可以通过鼓励个人诉讼或集体诉讼的方式,对市场失灵问题进行完善,因为作者认为诉讼的威慑力可能会对侵犯隐私的行为进行一种阻碍的作用。
2)公共产品理论
公共产品和私人产品概念是经济学上的一对概念。私人产品是指在消费上具有对抗性和排他性的产品。与之相对应的,公共产品则是指消费上不具有对抗性和排他性的产品。由于具有排他性,同一时间内对私人产品的消费相互排斥,因而私人产品的供求关系可以通过市场来配置。公共产品往往容易出现“搭便车”现象,导致市场配置的成本过高。因此,私人通常不会主动提供公共产品,而提供公共产品就成为了政府的职责。根据该理论,由私人所有的应当是在消费上具有竞争性和排他性的私人产品,而由公共所有的则是容易出现“搭便车”现象的公共产品。例如说,当一个人用音响播放The Beatles的歌时,其他人都可以免费听到这首歌,这就是公共产品领域中的“搭便车”现象。
持有该意见的学者认为,作为信息的一种,个人信息具有公共产品的特征,一旦个人信息的生产者将信息出卖给某个消费者后,由于信息传递的成本很低,该消费者倾向于以较低价格将信息转售,从而成为信息原始生产者的潜在竞争者,也即前述的“搭便车”行为。因此,对于个人或者任何个人信息购买者而言,个人信息财产权将导致搭便车和市场供应不足,不利于充分发挥个人信息的效益。另一方面来讲,个人信息的财产化制度将会忽视信息隐私应该推进的重要社会价值。从这个角度来看,信息隐私的功能就像新鲜空气或国防一般是一种公共产品。
作者认为,虽然在经济学上,公共产品只能由政府提供,而非私人提供。但是,在信息隐私的背景下,比起对个人信息和个人利益的隐蔽性,更多的是利害关系所建立的社会网。如果不建立和执行健全的个人信息使用规则,因为人们会因为担心个人信息的使用而拒绝参与一系列不同的社会互动,由此整个社会也将会受到影响。从这个角度出发,作者认为,虽然公共产品框架表明财产化可能无法提供适量的信息隐私,但它也指出了在个人信息方面完全反财产化取向的潜在缺陷。在美国,许多公共产品的供应至少在某种程度上是诉诸于市场的。例如,国防一直伴随着至少某些功能的私有化。因此,关于信息隐私的公共产品视角并不排除个人信息的产权化。
3)个人信息自由可转让性理论
由于可转让性的问题,一些信息隐私学者对个人信息的财产化持怀疑态度。在他们看来,一旦信息被财产化,就很难限制这种权利再次被重复转让,换言之,个人信息的财产化将导致个人丧失对自身信息的控制权。Pamela samuelsu认为:自由转让性在汽车和土地市场上运作得很好,但它对信息隐私的运作是否良好还不清楚。个人信息作为财产会导致两方面的问题,一是消费者将个人信息出卖给商家后,信息的控制权归商家所有,消费者无法控制个人信息被商家转售或用作其他用途,换言之,消费者无法限制其已放弃的财产利益的使用。二是难以为个人信息的再次利用确定合理的价格。但作者认为,这种个人信息财产化将导致个人无法控制个人信息的使用过程的观点也不是充分的反对理由。现有制度中个人信息权利行使的制度缺失并不能否认个人信息财产权的合理性。实际上,即使不考虑初级市场上的谈判机会,在二级市场上,通过合理的财产权制度设计,权利人完全能够以类似版权人许可他人使用自己作品的方式许可商家使用自己的个人信息,并且这种许可实施的权利行使方式已经在知识产权等领域的广泛实践得到验证。制度的完善和隐私保护技术的发展能够保障个人对其信息的控制权。
三、有关个人信息财产化的模型
在评估了怀疑个人信息财产化的各种理由之后,本文提出了回应这些问题的个人信息产权化模型以及它所必备的五个关键要素。这些元素可以分为:不可让与性、默认设置、退出机制、损害赔偿和监督机构。这种模式的一个关键因素是将使用-转让限制与选择默认相结合。本文称这种模式为 "混合不可让与性",因为它允许个人分享,也允许对其个人信息的未来使用进行限制。
1)不可让与性
对于不可让与性的定义,本文给出的解释是,数据的使用,转移,持有的一种限制。
对个人信息施加让与限制的目的,是为了防止个人一次性地授权商家对其个人信息进行无限制的使用或者转让。商家出于减少成本和寻求利益最大化的动机,很可能采取诱导、隐瞒信息、提供虚假信息等不正当手段,促使个人将个人信息的使用和转让权利一次性出卖。
信息不对称意味着个人很可能受到误导而作出不理性的决定。不可让与性通过对个人意志的限制来减少外部性的产生,这样“个人不至于因暂时的诱惑而屈服,因为这对他们是有害的。”虽然对具体个人的损害在整个社会中看起来微不足道,但长此以往,如果社会中相当部分的个人因一些较小的利益而放弃对自己信息的全部权利,将对社会的隐私观念造成消极影响,削弱其他人对隐私水平的期待和偏好,并最终导致整个社会隐私水平的溃败。鉴于现有市场上信息不对称增大了个人做出不合理决定的可能性,权利的可转让性限制尤其具有重要的意义。
2)默认设置
为了限制单次的设置对未来所发生的个人数据的重复使用的不良影响,本文比较倾向于在默认设置方面,采取opt-in模式作为公司们的强制揭露信息的义务(information-forcing),而不是opt-out模式。在这种情况下,公司将会承担为消费者揭露更多有关的信息的义务。这种模式的特征是,它将允许转移个人数据的初始类别,但前提是客户有机会阻止非关联实体或第三方的的进一步转移或使用。换言之,任何进一步的使用或转让都需要客户选择加入,除非客户明确同意,否则将被禁止。为了保证默认空选能够更加的揭露有关的信息,并发挥其作用,他还应该满足额外的两个条件。第一,政府应该在有关的隐私条款上能够加强监管,其次,这种信息的强制揭露能够应对所谓的“验证条款/问题”(verification problems)。
opt-in模式通过减少信息不对称问题,使得隐私市场的顺利运作。opt-in模式迫使信息处理者获得有关信息主体的个人信息的使用,转移等各种加工过程。除此之外,opt-in模式也会增强社会对隐私信息的投资。尽管如此,opt-in模式也会有本身的缺陷,其中一个缺陷为,许多信息处理者比较擅长于获得信息主体的同意。例如,对消费者而言,如果不同意上述的一些条款,那就意味着他不能办理一些如兑换支票等特定的义务。除此之外,从消费者心态来讲,许多消费者比起冗长的隐私条款,更加关注价格条款。例如,一些免费下载的电影,音乐等资源比较容易获得消费者的默许同意。因此,这些公司或企业可能通过对消费者提供一些更加优惠,甚至免费的服务来换取他人的默许同意。鉴于此,本文建议对默认规则中加入个人信息数据使用-转移的限制以及其他一些保护机制,例如退出权等来避免单一的opt-in模式所带来的弊端。
3)退出机制
一个完美的数据交易体系,它不仅为消费者提供一个初始的拒绝交易的机会,而且还得为其提供一个较为容易的退出机制。提供这种退出机制在目前的交易体系下是非常重要的,因为信息收集者对消费者所提供的隐私保护的门槛其实非常低的。在这种低门槛的隐私保护制度下,主体的个人信息可能会面临不当使用的尴尬局面。因此,这种退出机制不仅仅体现在取走可穿戴的芯片上,也必须同样适用其余能够收集个人信息的商业模型上。这种退出机制可以让消费者避免遇上欺骗性的信息收集,进而避免消费者因信息不对称而吃亏。
除此之外,这种退出机制还会带来一些相关的收益,例如再进入机制所带来的收益。以穿戴型芯片和可植入型芯片为列,因可穿戴型芯片的退出机制成本比起植入型芯片要低得很多,因此人们比较倾向于选择可穿戴型芯片,而不是植入型芯片。
4)损害赔偿
关于损害赔偿的问题上,本文倾向于将由国家来确定具体的损害赔偿金,而不是有信息主体或信息收集者等个人来确定。其理由是:
首先,在类似的侵权案件中,实际损害很难通过所侵犯的个人信息本身而确定。在侵权法的理论体系下,法院通常会认为原告所遭受到的损害是极其微小的。例如Shibly诉Time公司案中,俄亥俄州法院认为,尽管涉案交易会涉及到个人的生活习惯等重要的信息,但是出版商将订阅名单的信息出售给邮政广告公司的行为并不会违反侵权法的有关规定,也不构成隐私侵权。
其次,个人信息可能没有足够高的市场价值来证明该诉讼成本的合理性。
最后,从技术层面上考虑,由于这类侵犯隐私的行为在日常生活中个人难以发现,因此也会间接的影响诉讼成本以及损害赔偿金的确定问题。例如,个人很难发现并做到从spyware软件里取证。
简言之,提供违约赔偿金的想法将有助于隐私市场的运作以及隐私共享空间的建设和维护。它将鼓励公司遵守隐私承诺,通过将损害金额的门槛设置得足够高,以阻止潜在的违规者,并鼓励提起诉讼以捍卫隐私权。
5)监督机构
如前所述,为了克服个人信息市场的固有缺陷,规范个人信息收集、处理者行为,应当
设立个人信息保护机构。其职责主要包括对商家在初级市场上收集个人信息所提供的格式条款,以及二级市场上的个人信息利用行为进行监管。这些监管机构应该对初级市场的监管与二级市场的规制进行分权,一是对初级市场上,商家提供的合同中的个人信息保护政策及相关合同条款的合法性进行监管;二是对严重的个人信息滥用和侵权行为实施行政监管。这一监管和规制针对于二级市场,个人信息保护机构有权对初级市场上违反隐私保护政策的个人信息滥用行为及二级市场上的非法收集、买卖和严重滥用个人信息的行为进行监管,对于严重的违法行为进行相应的行政处罚。这种监管既可以主动进行,也可以被动进行,即根据举报进行查处。
四,总结与展望
本文的总结部分,作者总结了本文所呈现出来的主要研究成果。作者提到,进入千禧年后,个人信息变得越来越重要,同样地,个人信息的商业价值也变得越来越大。本文通过对比较典型的收集个人信息商业模型进行总结归纳,说明了这些技术如何将个人信息变为一种商品。随后,探讨了这些商品化的个人信息在市场交易中所引发的问题。除此之外,作者还介绍了目前反对个人信息财产化的比较有力的三个争论,并针对这些问题给出了自己的见解,最后作者试图通过建立一个个人信息财产化的一个模型来应对个人信息交易中所出现的诸多风险问题,并且探讨如何将这个模型运用到相应的商业模式中。
文章的最后,作者又提到了两个商业模型分别是Tivo和酒吧或餐厅上所适用的电子扫描功能,并谈到,未来技术的迅速发展将会是不可避免的,因此当个人信息被财产化以及为数据交易打开大门时,法律应该要做到与时俱进,因为隐私市场的运作一旦失败,那么个人的自由可能也会同时面临到危险。
会员申请|DPOHUB数据保护官俱乐部
申请条件
认可DPOHUB的理念及宗旨;
愿意积极参与DPOHUB的线上线下活动;
愿意参与撰写深度报告、白皮书及实务文章;
在甲方从事数据隐私或数据安全的工作;
愿意缴纳年费。
扫描二维码,立即报名
微信扫码关注该文公众号作者