韩旭至华东*法大学法律学院副教授,法学博士
本文来源于《华东*法大学学报》年第1期,系年度国家社科基金重大项目“数字社会的法律治理体系与立法变革研究”的阶段性研究成果。
数字化不等于美好生活。必须正视拒绝权的价值,允许个人拒绝特定的数字化应用或其结果。数字社会的个人拒绝权具有丰富的制度资源,根据权利来源、表现形式、规范属性的不同标准,可以分为不同类型。这些拒绝权均有派生性、非支配性、包容性和场景性的核心特征。在数字社会中,数据与信息成了重要的生产要素,形成了“公权力—私权力—私权利”的三元博弈结构。数字社会的个人拒绝权是数字社会行为规律的客观需要,是技术伦理升级的基本要求,是数字人权保护的题中应有之义。值得注意的是,拒绝权不等于拒绝数字化。个人拒绝权的对象限于违法的数据处理以及其他法定的特殊情形,个人拒绝权的对应义务应从数字*务服务的选择、数据处理的告知、数字产品的设计以及数字素养的提升四个方面进行重塑,并且,个人拒绝权的具体适用应在法定条件下进行利益衡量。
一、问题的提出
数字社会的个人拒绝权指,个人对特定数字化应用或其结果享有抵制的权利,包括已存在国内外相关制度中的个人信息删除权、“被遗忘权”、自动化决策拒绝权、“离线权”(righttodisconnect)等。这些拒绝权的共性在于,旨在回应“从摇篮到坟墓”的数字化覆盖中,个人越来越难以拒绝的问题。
当前,数字化正以一种无法抗拒的方式袭来,必须清晰地认识到数字化不等于美好生活,切不可“为了数字化而数字化”。信息化处理、数字化监控、自动化决策、智能化管理中的问题已经为学界广泛讨论。与“不得不同意”的“同意困境”对应,“无法拒绝”的“拒绝困境”亦客观存在。有时,即便存在拒绝的制度依据,个人也难以实现拒绝权。例如,根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔〕15号)第10条,个人有权拒绝物业服务企业将人脸识别作为“出入物业服务区域的唯一验证方式”。然而,随着“数字哨兵”与“场所码”应用的强制推广,个人实际上不仅无法反对人脸识别,而且难以控制信息处理者进一步的信息处理行为。“河南储户红码事件”更是直接揭示了个人在数字治理中缺乏必要的自主性与控制力。对此,必须认真对待数字社会的个人拒绝权,防止其沦为一项“空洞的承诺”。
数字社会的个人拒绝权是一项崭新的课题。部分学者从行*法角度对传统的公民拒绝权进行了理论探究。这些研究虽不涉及数字社会的议题,但揭示了拒绝权具有抵抗不合法或不合理权力安排的基本属性。近年来,数字*府、算法行*与数字公民进一步成为研究热点。然而,一方面,未见数字公民拒绝权的专门研究,另一方面,数字公民拒绝权只是个人拒绝权的重要组成部分。在个人信息保护领域的论著中,从私法视角对特定拒绝权的研究并不少见。更有学者从社会学、传播学的角度对数字社会中的个人拒绝进行了初步探究。然而,这些成果均未能将数字社会的个人拒绝权作为一个整体进行探究,既无法揭示拒绝权的制度逻辑,亦未能全面回应“拒绝困境”。
数字社会的个人拒绝权并不仅仅针对国家权力,而是针对新兴的数字权力,呈现出公法与私法双重属性。其义务主体为数字权力的行使者,既可能是公权力机关,亦可能是私主体。在全方位的数字化覆盖中,个人拒绝权涉及多种制度的调整、多元主体的配合、多方利益的平衡,具有一定的复杂性。对此,本文将在工商社会的现代性法治向数字法治的转型背景下,对个人拒绝权展开研究。首先,个人拒绝权是一个集合概念,各种拒绝权制度共同构成一个有机联系的体系,必须在整体上研究其制度形态。其次,从个人拒绝权的理论逻辑展开,可进一步分析个人拒绝权作为应有权利的现实必要性。最后,这种应有权利需要回到具体的制度框架之中,以探寻适当的实现路径。
二、数字社会中个人拒绝权的制度形态
数字社会的个人拒绝权具有丰富的制度资源,根据权利来源、表现形式、规范属性的不同标准,可以分为不同类型。这些个人拒绝权均有派生性、非支配性、包容性、场景性的核心特征。
(一)数字社会中个人拒绝权的基本类型
第一,根据权利来源,数字社会的个人拒绝权可以分为数字权利派生的拒绝权以及传统权利派生的拒绝权。数字权利派生的拒绝权指向个人信息处理的拒绝权。在数字权利中,《个人信息保护法》具有基础性地位,形成了独特的拒绝权体系。我国《个人信息保护法》通过第24条第3款、第27条、第47条分别规定了自动化决策拒绝权、公开信息处理的拒绝权、删除权。其中,《个人信息保护法》第24条所规定的自动化决策拒绝权是应对数字社会智能算法最为重要的拒绝权,并与保证决策透明度和结果公平、公正的要求紧密相关。自动化决策拒绝权能有效回应“算法歧视”“大数据杀熟”等问题。例如,在“胡某诉携程案”中,胡某发现通过“携程旅行”App预订酒店价格显著高于实际挂牌价格后起诉,法院不仅认定携程公司存在虚假宣传和价格欺诈,而且指出该App应增加用户拒绝相关信息处理的选项。另外,“离线权”是最为典型的由传统权利派生的拒绝权。由劳动者权利保护出发,部分欧洲国家提出“离线权”,赋予劳动者在非工作时间可以拒绝工作,不使用电子邮件等与工作相关的电子通信的权利。年法国在修订《劳动法典》时首次在国家立法层面引入“离线权”。该法第L.-17条规定,劳动者有权通过与雇主达成协议或由雇主通过章程,充分保障劳动者行使离线权的方式,“以确保尊重休息和休假时间以及个人和家庭生活”。随后,意大利、英国、西班牙等国家均在立法中引入了“离线权”。
第二,根据表现形式,数字社会的个人拒绝权可以分为形式意义上的拒绝权以及实质意义上的拒绝权。拒绝是实现控制的一种重要方式,权利人表示反对的形式多样。部分个人拒绝权并不必然以拒绝为名,却实际具有拒绝功能,构成实质意义上的拒绝权。上文的“离线权”即是一例。又如,在个人信息保护制度中,信息主体也可通过撤回同意表示拒绝。我国《个人信息保护法》第15条明确规定,个人有权撤回同意。此外,删除权与“被遗忘权”也属于数字社会的个人拒绝权。年欧洲法院在著名的“谷歌诉西班牙数据保护局案”中指出,经过一定时间后,“数据处理可能变为不恰当的、不相干的、不再相关的,或超出其最初处理目的”,此时个人有权要求删除。欧盟《通用数据保护条例》(GDPR)第17条即题为“删除权(被遗忘权)”。在我国,删除权为《民法典》第条第2款所规定,《个人信息保护法》第47条围绕目的限制、最小必要、告知同意、合法处理的基本原则进一步明确了删除权行使的五类情形。其中,“为实现处理目的不再必要”可请求删除的规定与GDPR第17条第1款第a项高度一致,理论上可推导出“被遗忘权”的内涵。一般认为,“被遗忘权”不仅蕴含在个人保护制度之中,而且与刑事司法中“重新开始的权利”有关,前科消灭制度和追诉时效制度被认为是“被遗忘权”的历史渊源与道德根据。在数字权利保护中,个人可依删除权或“被遗忘权”拒绝信息处理。
第三,根据规范属性,数字社会的个人拒绝权可以分为存在法律明确规定的拒绝权以及根据法律推定的拒绝权。又根据新型权利与新兴权利的区分,前者可称为新型拒绝权,后者可称为新兴拒绝权。部分未定型的新兴拒绝权可以通过法律逻辑推导的方式进行论证。例如,我国立法虽然并未明确规定“离线权”,但可从劳动者拒绝权中推导出“离线”的内涵。根据《劳动法》第56条第2款、《安全生产法》第54条第1款、《职业病防治法》第33条第3款规定,劳动者有权拒绝违章指挥、强令冒险作业,有权拒绝从事存在职业病危害的作业。数字技术使得随时随地工作成为可能,工作边界与生活边界的划分变得模糊,工作常态也可能变为24小时在线、随时待命。利用数字技术作出超出法定工作时长的安排,不仅属于违章指挥,而且有损劳动者身心健康,劳动者依法可以拒绝。此外,我国通过算法规制更进一步落实了数字时代劳动者的权益保障,《互联网信息服务算法推荐管理规定》第20条指出,服务提供者应完善工作调度算法以“保护劳动者取得劳动报酬、休息休假等合法权益”。由此亦可推导出“离线”的权利。
(二)数字社会中个人拒绝权的核心特征
第一,派生性是拒绝权的首要属性,无论何种拒绝权均由特定权利派生。由此,上文亦以所对应权利的不同对个人拒绝权进行了分类。进一步分析可知,个人信息处理的拒绝权体系均派生自《个人信息保护法》第44条规定的知情权、决定权。知情是拒绝的前提,拒绝本身又是决定权的行使方式。该条指出,个人“有权限制或者拒绝他人对其个人信息进行处理”。在此基础上,针对具体的信息处理场景,最终形成了个人信息处理的拒绝权体系。此外,“离线权”派生自劳动者基本权利。年欧洲联合工会对“离线权”表示支持并指出,针对工作时间和个人时间模糊的风险,“雇主有责任确保工人的安全和健康”。年欧洲议会进一步提出,通过数字技术形成的“永远连接”“永远在线”“随叫随到”的文化,将对包括公平报酬、工作时间限制、身心健康、工作安全、男女平等等劳动者基本权利产生不利影响。在疫情期间居家办公的状态下,“离线权”更是尤为重要。由此可见,数字社会的个人拒绝权属于一种为了实现更高价值的“工具性权利”。
第二,非支配性意味着权利人无法通过行使拒绝权直接支配/改变他人的行为。拒绝权的行使往往需要义务人的配合。根据《个人信息保护法》第50条,个人行使个人信息处理的拒绝权需要向信息处理者申请,个人信息处理者应建立便捷的申请受理和处理机制。值得注意的是,拒绝权虽然不具备直接支配性,但并不可简单归入请求权之列。这是因为拒绝权的行使可直接使得法律关系发生变动,产生类似形成权的效果。例如,公开信息处理的拒绝权行使将使得原合法的数据处理失去合法性基础。《个人信息保护法》第13条第1款第6项将依法在合理范围内处理个人自行公开或合法公开的信息作为个人信息处理的合法性基础。然而,个人信息保护逻辑与隐私不同,并不以信息隐匿/公开为判断要件,只要具有可识别性,公开的信息也是受法律保护的个人信息,个人当然有权拒绝相关个人信息处理。对此,《个人信息保护法》第27条明确采取了一般情况下的“选择—退出”(Opt-out)+对个人权益有重大影响时的“选择—进入”(Opt-in)模式,将“个人明确拒绝”规定为合法处理公开个人信息的例外情形,并规定在信息处理对个人权益有重大影响时,应依法取得个人同意。实际上,《个人信息保护法》通过前,该种拒绝权已为司法实践所认可。例如,在“‘校友录’头像被爬案”中,百度公司因爬取“校友录”用户的头像证件照,在收到用户拒绝的通知后未进行处理,被法院认定构成侵害个人信息权益。综上,个人拒绝权并非一种纯粹的私法权利,无法直接从请求权/形成权的角度解读,而是一种非支配性的“防御性权利”。
第三,包容性指向权利属性、保护权益与权利内容三个方面。首先,个人拒绝权既包括公法权利亦包括私法权利。例如,在个人信息保护的权利体系中,我国采取了统一立法的个人信息保护模式,并没有对公共部门与私人部门的个人信息处理者进行区分。个人信息处理的拒绝权体系兼具公法与私法双重属性。个人不仅可以通过拒绝权依法拒绝公权力的信息处理行为,亦可以作为一种民事权利对私主体主张。其次,数字社会的个人拒绝权保护权益多种多样。自动化决策拒绝权中所