DPOHUB读书会第11期 | Cofone:《超越数据所有权》
研读人:迟迅,上海交通大学法学院硕士生
本文作者Ignacio N. Cofone是麦吉尔大学法学院的助理教授,本文由三个部分构成,第一部分,作者讨论了数据所有权(产权)概念近年来在社会各界的流行,并对观念与现实、舆论和法律,以及各种关键概念进行了辨析;第二部分,作者指出了目前数据和个人信息领域的“财产权-财产交易规则”范式的不足之处;第三部分,作者提出在现有模式需通过“加强目的限制原则”和“开放个人诉讼权利”两方面进行完善,进一步提升数据和个人信息的法律保护效果。
第一部分,作者首先辨析了政策、媒体和学术界流行的以财产权保护个人信息和隐私的观点。作者认为,虽然这些建议都是在讨论所有权,但实际上讨论的是运用财产规则来保护数据和个人信息。通过辨析,作者指出所有权和交易规则是两个层面的概念,二者之间是一种交叉关系:某种财产权可以通过不同的交易规则来保护;某种交易规则也可以用来保护不同的财产权,虽然所有权和财产性交易规则常常相伴而生,但是二者并不存在绝对的对应关系,所有权是一种权利,财产规则的核心是仅在同意的情况下可以放弃一项受保护的权利,这项权利并不一定是所有权。
交易规则包括:财产规则、责任规则和不可转让规则。法律最主要的实践方式是财产规则和责任规则。
财产规则强调事前保护,权利人(数据主体)将有权决定谁可以访问/使用其的个人信息,谁不可以,从而排除其他人访问该信息;财产规则进而要求知情同意制度——“知情同意被认为是保护隐私权益的关键机制,财产规则将允许建立一个个人信息市场,在这个市场中,每个数据主体可以与企业谈判,讨论他们愿意允许对其个人信息(或每一类信息)进行哪些类型的收集、使用和传播。
责任规则强调事后救济,当有人以有害的方式访问或使用数据主体的个人信息而侵犯她的权利时,权利人将有权利得到赔偿。
作者进一步指出,舆论中的财产权实际上是交易规则中的财产规则,这一规则的核心是确保权利仅通过同意转让,以换取协议中约定的补偿。因此,本文的第一部分是一个纠正:当人们说“对数据的财产权”时,他们真正的意思是“对数据的某种权利,不一定是财产权,受财产规则保护”。
这些规则会给隐私带来一系列特定的问题。因此,本文的第二部分作者指出了以同意为核心的财产规则的缺陷,这些缺陷使得财产规则难以实现其保护隐私权利的目的:
1.继承了通知和选择机制的缺陷;即使消隐私政策声明被视为提高透明度的一种方式,并会为了便于理解而被简化,也不能有效地提高消费者对其个人信息管理方式的认识:信息过载会无论隐私政策的表述多么简单、多么明显,所披露的信息和有用的信息之间有太多的认知步骤。
2.忽视了实质上不平等的交易地位;在财产规则下,数据主体要么使用产品并免费提供其个人信息,要么根本不使用产品。如果该服务是正常社会生活的一部分,退出成本就过高,如微信,这种同意就不完全是自由给予的。双方在谈判地位、信息获取、技术条件、时间成本、风险评估能力上均有很大的差距。
3.无法应对聚合数据和预测数据。聚合数据存在多次使用和转让使用的情况,处理者之间的数据和个人信息交换关系非常复杂,财产规则仅能解决初次的同意,无法处理后续的转移,同时信息有时是通过他人的数据聚合被推断出来,所以面对数据聚合的新趋势,基于同意的财产规则很难起到有效保护。
第三部分,作者进一步提出但隐私的财产规则也有一个问题,这一理论自身的不自洽。隐私权利的损害可以在收集、处理或传播个人信息的时刻产生,而财产规则只能控制最初收集的时刻。这导致了一个道德风险问题:除非有其他的规制,否则公司缺乏激足够动力在初次交易后持续通过一定措施维护数据和个人信息权利的安全性,以将处理和披露导致的的损害降到最低。这对会加剧已经发生的“个人数据同意交易市场”的失灵状况。这意味着,财产规则不仅可以说是为了实现错误的目标,而且在实现它们试图实现的目标方面也是无效的。
本文提出不要走向数据所有权的模式,并且还为隐私改革提供了启示。为了解决财产规则的问题,隐私改革应该朝财产规则和责任规则相结合的方向发展。本文分析了两种方法来做到这一点:
第一个是加强目的限制原则。目的限制原则在GDPR中由第5(1)条和第6(4)条确立,即目的是合法收集、处理个人信息的要件之一,数据主体可以通过控制对目的的同意来限制非法处理。获得信息的公司不能简单地将信息转给别人,而需要一个新的协议才可以。
虽然目的限制与财产规则自由交易的精神相矛盾,但其加强了有意义的同意,使同意更有价值。同时,目的限制原则符合经济学中的“外部风险内部化”的原理,有利于缓解不平的的交易地位。
第二是允许以实际伤害为基础的私人诉讼权。要使它们减少道德风险问题,私人诉讼权必须与收集的基础相配合,并且其权利的发动取决于伤害的产生。
因为单纯的事前同意无法完全列举后续处理中的风险,这种风险带来的成本或可能使数据主体遭受合意无法覆盖的损害,或给数据处理者增加过于沉重的负担,两种情况均会严重阻碍交易的发生和公平。而以实际伤害为基础的,时候的私人诉讼权,将财产规则和责任规则相结合,通过事后的救济,更为公平地分担风险成本,同时会缩小为规避风险支出的总成本。
实现上述目标,最现实具体的路径是保留基于同意的保障措施,同时加强私人诉讼权和可赔偿损害的范围。同时,在实践中需要公共和私人执法相结合,以克服公民和消费者在数据收集、处理和使用方面存在的信息不对称问题
作者认为,这并不需要彻底的法律改革,上述两点可能成为司法解释的具体方向。对第一点,法院可以更狭义地解释目的限制原则的具体要件,裁定过于宽泛的目的违反的限制;对第二点,可以通过增加GDPR和CCPA等法规的解释,包括责任规则以及财产规则,将侵权法作为数据保护法的补充内容。
以下是解读PPT:
DPOHUB年度会员,扫码加入!
权益1:一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课(除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程),权益期内新增的在线课程同样免费听。
权益2:一年的鹅圈子“数据合规俱乐部”,第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。
微信扫码关注该文公众号作者