三、欧盟关于隐私和数据安全的宪法视角和司法救济
在现代启蒙精神的影响下,欧洲各国历来重视人权和公民基本权利的保障。关于数据和算法的有关原则和规则,也以《欧洲人权公约》(1953年生效)、《欧盟基本权利宪章》(2009年生效)作为高阶法律根据,特别是后者明确把个人数据保护纳入宪法规范之中。从1995年的《数据保护指令》到2018年的《一般数据保护条例》,再到2020年11月提上议事日程的《数据治理条例建议稿》《数字市场法草案》以及《数字服务法草案》,始终从宪法规范的视角来强调信息自决和个人隐私保护的基本权利,对数据画像和自动化决策采取断然拒绝的态度。与此同时,欧盟也非常重视数据主权问题。21众所周知,中国在人工智能研发和数字经济转型方面紧追美国之后,进展非常迅猛,以致欧盟不得不采取“高筑墙”的对策,把拒绝成为美国和中国的数字殖民地作为制定法规的基本指针。22这就势必更进一步强调信息安全和算法公正,通过法规和审批程序严格限制数据跨境流转,使人工智能治理的相关制度宛如一座固若金汤的城堡。
自2018年5月25日起实施的欧盟《一般数据保护条例》号称人工智能时代的人权宣言。该法以个人尊严和基本权利保障为宗旨,直接约束各加盟国的立法,并对欧盟各国的数据向其他国家的转移业务也产生效力。欧盟GDPR还规定了一些新型的基本权利,例如第5条强调限定数据收集和处理的目的,在一定目的范围内最大限度减少对数据的处理和保存,让数据保持完整、正确、更新以及匿名的状态(信息安全保障权);第13条第2款则从另一个角度强调了透明性原则(信息公开请求权),要求数据管理者必须对数据权利主体履行信息公开的义务,并且所提供的信息必须能为数据权利主体所理解。GDPR第20条还特别规定个人享有自我数据便携式获取权;第21条承认数据主体的异议权,如果数据管理者不能出示正当性根据,必须中止电脑化处理;第22条宣布数据主体享有不服从那种仅根据人工智能而自动化做出的决定的权利,并且明确指出数据管理者不得通过假装有人介入的方式来规避第22条的约束。这些权利条款分别涉及数据获取、数据权属、数据保护、信息隐私、伦理问题等不同的法律维度。有关权利的保障以及具体事项的权衡主要有赖于各国法院以及欧盟普通法院、欧洲法院、欧洲人权法院。
从GDPR上述条款可以发现,仅就数据治理而言,首先应该让公民充分享有两项最基本的权利:一项是捍卫隐私,因为这是意志自由的基础;另一项是信息安全的保障,因为这是通信自由的基础。这些基本权利在欧洲过去的宪法规范中都已有明文规定,在数字化时代需要刷新的是怎样界定隐私和信息安全的范围,在什么情况下允许干涉隐私权的判断标准及其正当性根据。从相关原则和规则中其实还可以归纳出一种新型的基本权利,这就是数据保护权,直接影响到数据处理的范围和意义。23在欧盟的语境里,数据保护权包括公民个人有权接触和更正其个人数据,对数据保护权进行限制的条件、程序以及标准,对数据的收集、处理、应用进行监管的独立机构等具体内容。如果把数据保护权适用于大数据的收集—分析—应用流程,在法律上必须考虑的问题还包括个人数据的概念和类型、公共空间获得的个人信息的私生活宁静的意义、不同场景中的个人可识别性、应该告知的事项或权利清单、对风险进行监控的方式、算法透明度以及例外情形、各种利益权衡的尺度、公共利益的界定等等。在欧洲数据权认定的司法实践中,当然坚持基本权利优先、赋予个人自由较高权重的立场。
由于GDPR以及相应的司法实践主要着眼于个人数据以及相应的宪法性权利保障,不能在私人主体之间的纠纷中强制执行,也就不能完全适应数字经济发展的现实,所以在欧盟内部也出现修改法律框架的议论和政治动向,试图把数据保护的范围扩大到所有数据(不限于个人可识别数据)。在司法实践中,有些判例已经开始把消费者保护法、竞争法的相关规定以及集团诉讼方式适用于大数据流程,以提升个人与强势的网络大公司进行博弈的谈判地位。在行政实践中,各国政府也开始加强对数据行业的监管和算法审计,并强调大数据伦理的意义。与这种新趋势相关联,法学界开始讨论创设数据财产权的议题,以充分实现数据的商业价值并加强个人数据主体的议价能力。总之,欧盟开始调整过强的宪法指向,正在探索针对大数据特征的综合治理方案,试图实现个人信息安全和隐私保护的多层多样性和整合化。