原创 林艳祺 上海市法学会 东方法学
自愿披露导致信息主体本人遭受隐私损害的问题日渐凸显。理解自愿披露隐私保护规范意义的一个可能角度是塑造他人眼中不同的自己。某个群体接受的偏好可能不被另一个群体接受,界分人际圈层和构建社会身份建立在个人“自我呈现”的自由之上。理论上可以从自愿披露的主体自身即通过限制访问的保护模式着手,但鉴于复杂的决策环境和高昂的认知成本,对自愿披露隐私损害的救济应转向支持信任和维系模糊的行为规制模式。在有效理解信息传播范围非自愿扩张这一损害机制作用原理的基础上,围绕塑造合理可预测的信息流动方式,以行为人操纵环境和破坏模糊为规制对象,在“得为依靠、得为自主”的意义上实现自愿披露隐私保护的规范效果与价值。
一、问题的提出
传统关注的信息隐私问题主要涉及他人通过不正当手段获取或泄露信息主体的个人私密信息,例如住户担心个人出入信息被邻居智能门锁摄录。权利人常因难以知悉、防范而私密信息被窥探、搜集或利用,致使个体成为所谓的“透明人”,甚至裸露化。意在使个体隐私免于被刺探、侵扰、泄露、公开等方式侵害的隐私侵害处理方式,长期以来构成信息隐私法的基本内容。
本文讨论的是信息隐私领域中的另一类损害问题:他人泄露信息主体自愿披露的私人信息,导致信息主体本人遭受隐私损害。实际上,我们每天都在经历无数个披露和被披露信息的日常生活场景,典型者如仅为亲朋知晓的私下言论或逾矩行径(如婚内出轨),事后被知情者向第三人(如无过错方配偶)转述或公开,以引起社会关注、舆论谴责或为达成某种私人目的。对此,人们或多或少可能都产生过这样的困惑:我所自愿披露的“隐私”是否还称得上隐私,我所获取的经他人主动披露的“秘密”是否仍受隐私法的庇护?具体而言,“私密信息”的法律概念本身具有不确定性,信息是否以及何时因在一定范围内自行披露而丧失私密性,进而无法满足信息主体“不愿为他人知晓”的要件?相较于名誉侵权制度惩罚以不实之词攻击他人名声的行为,隐私法何以能够阻止行为人对真相进行公开?知情者后续传播的行为能否以信息主体自愿披露作为隐私侵权的抗辩?这种微妙的隐私关系因普遍存在于熟悉的生活场景而使得人们习以为常,却也因隐私规范的闪烁其词和缄默不语屡屡见诸报端。欠缺明确行为规范指引的后果是,渴望守法者无所适从,妄图擦边者有恃无恐。
因自愿披露本人信息而对自身隐私利益产生影响的情形,在信息隐私法上虽不是一个全新问题,但也非研究讨论的重点。截至目前,国内研究者对自愿披露隐私问题的关注也仅限于“隐私具有相对性”这一一锤定音式的简单结论,即当事人就其私密信息向特定人进行披露或在一定范围内进行公开,并不意味着丧失隐私权,但并无更进一步的论证与研究,抑或侧重关注共同隐私、相关隐私等“共同性”隐私问题,以及夫妻间隐私权合理界限、政府社会治理与公民隐私保护等非自愿披露隐私问题。
有鉴于此,本文提出在传统“不受打扰的权利”之外,有必要强调另一种不同的隐私关系——确保人们“相聚在一起”的同时对人们“出现于世界面孔”的利益加以维护。换言之,与传统隐私制度强调保护个体有所隐藏、有所保留不同,以自愿披露为特征隐私关系保护旨在使得个体相处之间得为依靠、得为自主:对内与“自己人”分享私密信息,对外塑造他人眼中的自己。某个群体接受的偏好可能不被另一个群体所接受,享有“自我呈现”的自由有助于个体界分人际圈层和构建社会身份,因此信息对于一个群体而言可以呈现“公开”状态,但对于这个角落之外的其他地方来说依然保持“私密”。下文对自愿披露隐私问题的关注和讨论将在回应“君子慎独”“祸从口出”“交非其人”论调的基础上,分析并肯认“自我呈现”的社会价值,同时揭示限制访问的个体控制模式不足,而更多从以行为人操纵环境和破坏模糊性为规制对象出发,围绕塑造正常的信息环境展开有关隐私的法律想象和规范设计。
二、自愿披露隐私损害的内容和机制
古人有言:“打人不打脸,揭人不揭短。”为什么处理隐私问题的规范系统,在传统隐私保护之外,还需要强调自愿披露隐私保护的规范内容?应当看到,自愿披露隐私的行为是个人对不同自我的呈现和塑造,反之,传播在先披露的隐私即损害了这种“我们展现于世界不同面孔”的利益,进而造成隐私主体对外社会互动利益损失和对内社会联结能力损失。而对于损害发生机制的识别也有助于更具针对性地把握自愿披露隐私保护与规制方式。
(一)
损害的实质内容:对外互动利益和对内联结能力
要把握自愿披露隐私损害的实质,首先需要理解自愿披露隐私场景下对隐私保护的主要社会功能,即个人在合理限度内控制向他人展示自身的能力。有学者指出,隐私权与个人信息权益的真正差异不在于保护的信息内容不同,而在于个人信息权益除保护隐私权维护的信息主体在他人心目中面目模糊的状态,还额外保护隐私权不保护的相反意愿,即维护信息主体在他人心目中面目清晰的状态。换言之,隐私权保护要求他人以“我是人”的方式对待自己,即以“生而为人”而非歧视性方式保护被评价者的尊严。个人信息权益保护则在要求以“我是人”方式对待之外,同时提出需基于“我是我”实现个体的尊重,以使个人免于机械化的归类决策。然而,上述有关隐私权与个人信息权益关系之讨论忽视了自愿披露隐私的问题。
自愿披露隐私保护及其合理控制向他人展示自身能力的功能,对于定义个人亲密圈和构建不同社会身份而言具有重大意义,是一种维护信息主体在他人心目中“模糊”和“清晰”状态之上更进一步的权利,即维护信息主体在他人心目中“理想”状态的权利,得以选择以何种面目展示于何人的自由。从现实来看,也可以发现在几乎所有的日常生活中,人们都会相对隐蔽地从事某些与其所建立的表面印象不相一致的活动:在同事的眼中,某人可以是一个关爱家庭、温情脉脉的好丈夫;在领导的眼中,可以是一个谦逊有礼、行事低调的得力助手;但在妻子的眼中,他也可能是一个事业心强、忙于工作而难以顾及家庭的伴侣;在父母的眼中,可能是一个雄心勃勃、怀揣远大抱负对成功充满渴求的儿子。对自愿披露隐私的保护甚至超出以“我是我”的“恰当”对待方式的要求,信息主体基于他人所被许可掌握的有关个人信息,在不同情境下树立相应“人设”,是对个人信息在适当信息圈层流动、不外溢于其他圈层,以及以一种与我外在形象相匹配方式获得“理想”尊重的合理期待。若要将隐瞒视作某种人格弱点,那也是人性中的普遍弱点,从而足以构成一项权利保护的依据,这是因为人格权旨在保护的是大多数普通人的尊严,而非品德最高尚圣人或是最卑劣小人的尊严,否则,极端化的后果是扭曲人存在条件的同时导致其他价值(如袒露真实的情感抒发)的巨大丧失。
就法律层面而言,对塑造“正面”形象及获得“理想”对待的渴望,与对欺诈行为的法律规制并无矛盾之处。在商业交易中,故意隐瞒关键信息被认定为欺诈。相应地,在求职或建立伴侣关系等私人事务中,故意隐瞒重大信息也可被视作欺诈。但总体而言,在许多私人关系情境中,受骗的代价可能并不高,反之,则有可能获得正式的法律救济途径,如撤销婚姻关系。不仅如此,过去和现行的法律制度都存在旨在保护这种“我们展现于世界不同面孔”的利益,如以“亲亲相隐”为代表的近亲属作证豁免规则和基于职业伦理的保密义务。
就道德层面而言,从“没有什么好隐瞒的”“君子慎独”等观点阐发信息自由正当性的论调有其局限性。上述论调的问题在于,其短视地将隐私视作一种保密形式,并且是对错误的保密,即认为“隐私就是要隐藏错误”。然而,对真相或事实的追求,并不是信息存在的全部意义,甚至都不是最主要的意义。隐私的意义除了与人格尊严保护密切相关以外,也关乎信息处理的正当程序,即在传统信息监控和收集问题之外,塑造合理可预测的信息流动方式,旨在避免剥夺人们参与其信息使用方式的能力(例如将信息用于A情境而非B情境,披露于X主体而非Y主体)以及据此作出对他们不利的重大决定(详见本文的最后一部分)。
对应于上述的理解,自愿披露的隐私受损便意味着个体信息的传播范围发生变化,主要是指信息实际传播范围与权利主体预期的不符,而这种传播范围变化导致主体对外展示的形象或面孔相应变化,致使权利人对外互动时承受负面的精神体验或遭受交易利益的损失。个体隐私之于真相或信息如同衣服之于身体,在遮挡他人目光使主体获得尊严的同时,也是彰显主体自身形象和个性的外在装饰。一方面,是为了避免人们犹如开放式野生公园中的动物一般,身处全景式圆形监狱之中成为被肆意窥探或评判的裸露对象。这同时也是对“没什么可隐瞒的”论回应之一——“我没有什么可隐瞒的,但我也没有什么想给你看的”。另一方面,在不涉及公共利益的场景之下,除获得更为切实的安全感外,选择以何种穿搭风格展示于人前,即对自身信息如何加以控制和展示,涉及主体如何与他人进行互动。例如,在某档综艺节目上,艺人被主持人要求选择一名圈内好友进行现场电话的秘密连线,同为公众人物的好友对于电话另一端的公开场景“毫不知情”(假设排除节目自制效果),节目播出以后,通话内容因被认为暧昧和露骨而引起巨大争议,对此名好友的公众形象身份带来一定负面影响,这其中便包括精神上的负面感受和交易上的利益损失。
不仅如此,自愿披露隐私受损还可能意味着隐私主体对内丧失与社会进行联结。特别是建立亲密关系的能力。除上述个体对外所承受的包括尊严、自主等精神在内的无形损害,以及潜在或实质发生的经济损害外,非自愿信息外泄也将损害信息主体对内塑造社会关系的能力,由此所造成的隐私损害可能远超出个体范畴:作为资源有效连结、配置、交换积极条件的社会资本极度匮乏。社会资本匮乏的直观表现在于人与人之间的交互关系大大降低。政治社会学家帕特南曾用一个生动的现象对此进行描述:人们交往的行为正在减少,甚至就连打保龄球,也从以前的和朋友组队变成现在的独自玩耍。具体而言,无法在合理限度内自主决定将自己的不同方面展现于他人,人们将会丧失与社会进行联结或“聚在一起”的诸多关键能力:一是丧失信任他人的能力。自愿披露导致信息主体本人遭受隐私损害而无法获得救济,会使人们认为以曝光他人私隐的方式进行报复或惩罚是可以被认可和接受的。二是丧失表达自我的能力。少数观念秉持者因受到来自社会审查的巨大压力而被迫选择退出公共领域,使得在互助小组等团体中分享并能为个体带来助益的紧密社会联结难以发生。三是丧失调节与他人心理距离的能力。当人际互动的行为超过阈值范围,个体本可实施的撤退或隐藏举动都将被视作为不轨,并伴随一定程度的间谍行为。因此,在遇见某个无法忍受之人时,为了避免产生冲突,只能选择与对方终止关系,故而信息流动范围的区隔就像是私人与社会之间的缓冲器,通过有选择地将自己暴露于事件和人物面前,人们控制了自己行为和感情的传递。
基于上述分析,“自愿披露隐私损害”可更多被理解为一个中介概念,其实质后果是导致隐私主体对外社会互动利益损失和对内社会联结能力损失,而这些后果也是自愿披露隐私损害在现行法律体系中具有一定程度可救济性的基本理由。
(二)
损害的机制:信息控制危机与表演崩溃
自愿披露隐私损害发生的核心机制是信息实际传播范围与权利主体预期披露范围不符。前述为儒家所倡导的“慎独”观念要求个人应表里如一,在人生的舞台上始终以真面目示人,不能人前一个样、人后一个样。美国社会学家欧文·戈夫曼则指出:人生是一场表演,社会是一个舞台。戈夫曼有关自我表露的研究表明,现实生活中个体会采取策略化行为以使他人对自身形成特定印象。具言之,日常生活中人与人之间的任何一次互动犹如发生在舞台之上的戏剧表演,而舞台根据功能不同,其分为前台和后台。其中,前台是正式表演的场所,在此演员面对特定公众营造和传达某种特定的形象和信号。而在与前台相对的后台,卸下伪装后的演员则会呈现出另外一副为观众所不知晓的模样。为保护表演活动的正常进行,需通过阻止观众进入后台等办法,只让观众看到他们应该看到的演出。换言之,表演顺利进行的关键在于信息控制,不允许观众获得对被限定的情境具有破坏性的信息。台前幕后之间的区隔措施,即防范幕后演员形象不当披露和公开之所以重要,在于这是人们表演好各种不同社会身份的关键。
但日常生活中的戏剧表演并不总是成功的,由于当事人过失或行为人故意,演出现场遭受破坏,前台与后台区域的隔离措施失效,从而使得表演陷入尴尬、危机或濒临崩溃。此外,人们对于赖以互动的情境存在不同认知也可能导致信息实际传播范围与权利主体预期传播范围不符。换言之,相互认同和顺畅沟通的前提在于彼此对所处情境有着大差不差的相似理解。对隐私情境的不同认知体现在,有关隐私的法律和社会规范作为一种社会性先赋和文化定义框架,本身有助于对情境中发生的适当行为达成共识。然而实践中,上述两者的保护范围可能并不一致,从而使得该环境空间中人与人之间对彼此所发出的信号存在理解错位,作为表达背信违约或止于无伤大雅的信息径行公开行为因此无法符合隐私主体的预期披露目的,其结果是,所谓的“合理隐私期待”存在着高度的不确定性。具言之,在某些情形中,法律保护范围可能超出隐私规范所认可的信息公开行为。例如,道德逾矩者被网络公开的私人信息虽受法律保护,但这类侵害信息的行为并不违背一些民间分享的隐私规范,甚至用以作为社会规范制裁逾矩当事人的重要凭借。而在另一些情形下,法律拒绝救济的信息公开损害会落入隐私规范的评价范畴。
三、基于访问模式的自愿披露隐私保护
信息实际传播范围与权利主体预期披露范围严重不符将极大地破坏主体对外展示的形象或面孔,从而致使其遭受损害的后果,传统上保护向他人展示自身的控制能力主要是通过以信息控制为核心的限制访问规制模式进行,即保护私人领域免受入侵者侵害或戒严后台区域防范观众进入。通说认为,绝对权具有对世性、支配性和排他性。其中,排他性作为调整权利主体与其他主体之间法律关系的集中体现,是指他人在未经权利人同意以前不得利用专属于权利人之客体,否则,这一客体将沦为公共资源,而非专属的私人财产。从这个意义上说,物权法可以算得上是一部围绕限制访问以排他为中心的法律规范。物权法中有关绝对权的排他性理论,被认为同样适用于人格权领域。以隐私权领域为例,《民法典》第1032、1033条规定,只有在法律有规定或权利人明确同意时,他人方能对权利人隐私进行使用甚至是侵扰。基于此,学理上诞生了大量基于绝对权的排他性结构进行构建的隐私访问入口规制的控制理论。
结合上述信息控制危机和信息传播范围非自愿扩张的核心损害机制,赋予信息主体自主控制他人在何种程度上介入自己私生活的“门禁”权限,似乎是题中之义。正如为维持良好校园秩序,各高校尝试对外来参观人员采取访问限制措施,并且高校方面需就是否准许外来人员进入、准许多少人员进入以及应准许何种资质人员进入的问题展开决策和管理。但出于下列原因,尽管信息主体对本人信息的自愿披露是构成其自身隐私损害的第一直接来源,选择从信息自愿披露的主体入手、基于保护排他权的限制访问的规制方式并非损害防范的最优选择。
(一)
不说或少说:行为水平
限制访问规制作用的方式在于信息主体享有控制他人“进入”私人领域或对自身信息访问的权利。信息主体一旦选择自愿披露,即表明其同意他人“进入”己方的私域,则可能面临不利法律后果,这在一定程度形成了事前威慑,不说、少说或成为信息主体不得已的选择,引发“寒蝉效应”。不说、少说或多说关涉信息主体的行为水平,是指某人是否实施或怎样实施某特定的行为,例如一个驾驶员驾驶的公里数就可以被解释为其行为水平。个体的行为水平与下述注意水平不同,后者与个体实施某种行为时所表现出的谨慎程度相关。若给定信息主体的注意水平不变,其行为水平降低,预期隐私损害理应同比减少。尽管莎士比亚之言有其一定的道理,“对众人一视同仁,对少数人推心置腹,对任何人不要亏负”,但若避免“祸从口出”最佳方案,除了选择不轻易进入一段亲密关系之外,是一旦所涉内容不愿为外界所知,则不应与亲密关系中人交付真心,否则将承受被背叛之风险与损害,此类降低行为水平的举措难以称得上为社会所欲。
第一,旨在强调和规制信息收集和获取的限制访问方式可能导向自愿披露即完全公开丧失隐私损害救济的法律后果,例如,“保密范式”“第三方披露规则”等认为暴露在他人面前的信息就已不再是隐私,对隐私的谈论或保护似乎止于信息被访问、获取的一刻。从本质上说,完全公开属于权利人对自身权益的处分,依据的是“自我决定权”的法理。然而,有限范围内的自主披露不应赋予与完全公开相同的合法性,也不应提供针对全部收集和使用的同意,即在绝对私密和完全公开之间还应存在一个中间地带。对自愿披露作完全同意的法律拟制或进行“明确同意”规制的尝试无法使隐私保护变得更为有力。相反,此类尝试只是在掩饰真实状况,从而赋予非自愿收集和使用更多合法性。自愿披露隐私这一日常行为本身即表明隐私不被期待在信息被分享时结束存在,现实中更多重要的隐私问题也是在信息被他人知道后才开始显现,据此法律对医生、律师、会计师等规定了保密义务,确保相关行业得以存在与维系,否则,缄默不语将成为保有隐私的唯一选择。
第二,将信息主体同意作为必要前提的“控制隐私”“访问隐私”等限制访问理论,还可能会导向以自甘风险为基础免除行为人法律责任的结果,即以信息主体自愿为前提,其披露隐私的行为代表其同意承担后续因不当传播造成隐私损害的风险。与放弃法律保护的完全公开不同,自甘风险理论建构之下,信息主体“明知山有虎,偏向虎山行”,虽然同意承受一定的危险,但并非希望自身权益遭受到损害。
从经济学观点看,理性人自负其责的原因之一在于,法律意在通过减少行为发生而非通过激励潜在受害人给予更高注意水平的方式避免损害发生的可能。在自甘风险的分析框架之下,信息主体可能已经十分谨慎地限定自愿披露的内容或范围(属于正常的社会交往范围内)。换言之,损害的发生并非源自其缺乏注意,但信息主体可以选择通过减少自愿披露的这一行为轻易地避免事故的发生。因此,依据自甘风险的规则,信息主体有效率的决定,应当是考虑通过降低自愿披露隐私的行为水平或者放弃此种行为方式以避免信息外泄损害的可能。
然而,上述将权利人自愿披露行为作为重要依据的完全公开和自甘风险理论存在致命缺陷。为减少损害成本而采取的合理预防措施,通常会受到当事人合意性的影响,即降低行为水平是否合理取决于现实中人们对该活动的需求以及其替代物的数量。例如,尽管可以采取改变步行活动方式,或是减少窗户的设计方式,以减少对生命健康所造成的损害,降低交通或失足跌落的事故成本,但当步行被看作一种天经地义的行为、窗户被视为必要的建筑设计时,上述这种减少事故成本的方法,其代价太过于高昂,尤其是在没有出现更加适宜的替代物以前。而信息主体选择性地向特定人披露私密信息,通常是与之建立加强亲密关系和保护尊严的关键方式。绝对秘密和完全公开的二分社会则使人们缺乏这种有效区分界定不同人际关系和维护自身尊严感受的能力。因此,虽然信息主体的披露行为与遭受隐私损害之间存在某种因果关系,但也很难想象可以据此要求信息主体在人际交往或使用服务之时缄口不言。
(二)
谨言和慎行:注意水平
除了可以降低行为水平不说或少说外,信息主体似乎还可选择适当注意水平,即以谨言慎行的方式实现信息访问控制。适当注意标准的判断,在于规避损失的价值与谨慎的防范行为所引发成本之间的衡量。正如一项科学的校园限流措施,其内容制定必然是基于对校内人员流动的实时情况、后勤保障水平和资源环境承载能力等信息的充分了解与分析处理。然而在现实中,信息主体难以就隐私损害和防范成本作出全面科学评估,对“适当注意水平”的选择可能存在过高或过低的问题。
第一,信息主体采用的注意标准可能过高。在赋予个体控制权的限制访问规制模式下,信息主体作为私人信息泄露的直接源头,是降低隐私外泄损害风险的最佳人选,故而应采取较高的适当注意标准,这似乎也与大多数人的直觉相吻合。而潜在行为人也因此会认为自己没有必要采取较高的注意标准,或是反而会选择投入精力和资源去获取、披露他人的“自愿”传播信息。加之在信息不对称的情形下,基于类似“刑不知则威不可测”所产生的不确定性,信息主体可能会高估损害大小,进而发现也有必要投入大量精力和资源来保护自己的隐私不被外泄。最终隐私保护的负担和损害借助个人控制,以自愿为由,被分配与转嫁于信息主体个人。
除因信息不当搜索和为维护信息安全等产生的机会成本外,还有两种与过度防御有关且很可能是重要的社会成本:其一,人们所采取的行动方式可能是以最有利于防范信息泄露为目的,而不是以最适宜于自身和社会效益为目的。例如,一个艾滋感染者可能更愿意选择匿名发帖而不是积极参加互助小组,因为分享即意味着披露的可能,即便参与互助小组可能更有利于自己身心健康和社会联结互助。其二,当人们意识到信息披露的重大风险时,原本旨在节约资源的非正式交流可能会趋向委婉与精细,这种转变在增加信息复杂性和保密性的同时,也牺牲了交流的经济性,提升了社会的认知成本。例如,为了保护信息安全,人们可能会转而使用隐喻、反语、借代等修辞手法,或者依赖表情符号、缩写等非文字手段来传递信息。
第二,信息主体采取的注意标准可能偏低,认知问题和结构性问题的存在损害了信息主体对自愿披露决策的成本和收益作出明智分析选择的能力。其一,信息主体存在认知局限,此涉及人类在认知和决策过程中的非理性偏差。以控制为核心的限制访问规制隐含地建立在理性行动者模型之上:一个知情且理性的个体能够作出恰当的选择,自主决定信息如何被披露和处理。然而研究表明,现实生活中人们的行为经常与理想决策者的规范模型背道而驰。现实生活中,搜寻和处理信息都需要投入成本,比如时间、精力和金钱。信息主体每天需要作出无数个有关隐私披露的决策,这不仅会产生相当一部分信息费用,还可能引起决策疲劳,进而陷入分析瘫痪。有观点提出,人们在与他人交道时,默认对方诚实可信是人类的一种本能。否则,对于个人来说,如若对任何人随时抱有怀疑,尽管防范了隐私损害、谎言欺诈等风险,但也难以与他人开展合作和建立联结,这于族群而言,亦是致命的打击。同时这也从侧面反映出预设对于人类决策的重要意义,尽管主体可以依据偏好或需要对默认选项进行调整,但由于作出调整需要付出一定信息成本,因此很多人宁可委曲求全。
尽管行动者也会出于理性考虑,即当边际搜寻成本等于边际搜寻回报时,有选择地不获取和不处理某些与隐私决策相关的信息,从而最优地限定其信息搜寻范围,并在此基础上试图作出一个未必最优但是理性的决策。然而,在已获得和处理的信息范围内,行动者也常常无法作出理性选择。第一,行动者具有非理性乐观倾向特征,对未来的生活事件盲目乐观,以及可能导致信息主体将盲目乐观延伸至其自愿披露的对象身上,相信经由自己细心挑选的披露对象更值得信赖。而盲目的乐观则会使人变得更加脆弱,由于相信自己总能幸免于难,而疏于采取明智的预防措施。例如,在驾驶测试中,那些自信驾驶技术超过平均水平的老司机,与谦逊的司机相比,“翻车”的概率要高出四倍有余。第二,行动者可能采用非理性启发式方法,即行动者不恰当地采取思维捷径或经验法则的决策方式快速作出判断。例如,系统性缺乏远见和低估风险,前者是指相比于当前的利益和成本,行动者系统性地不太重视未来的利益和成本。因此,行动者更可能着眼于近期的收益,却对信息披露可能产生的远期成本缺乏考量。后者是指存在低估不确定性的倾向,尤其是低概率的风险。此外,人们还可能基于策略性动机而存在过度披露可能,例如披露瓦解,信息主体因他人所作的对本人可欲的主动披露行为而被迫选择作出同类信息披露,如当雇主鼓励求职者自愿披露犯罪前科记录时,求职者出于对保持沉默可能被误认为有犯罪历史的担忧,而选择披露自己的相关信息。
其二,信息主体面临结构性问题,即涉及有关隐私技术设计方式所带来的挑战。即便信息主体充分知情和理性,但对于较为复杂且迭代迅速的信息运作模式,其往往也难以准确想象、判断信息披露所造成损害后果的大小。某具体情境下,信息主体所作的单个看似无足轻重的隐私披露决策,可能在经历聚合、加工、分析等信息处理流程后,会产生当事人意想不到的隐私损害结果。例如,在时间1,权利人所披露的事实A可能十分必要,时间2里权利人自愿披露的事实B可能亦是合理。但无法确定的是,时间3之下事实A与事实B两者的聚合,是否会揭示出权利人所不愿为他人知晓的事实C,是否使得过去无法识别的信息如今具备可识别性,以及是否会承受因此导致的隐私损害。此外,结构性技术变量在多个方面带来了显著变化,而人们预估未来、追踪变化的能力却十分有限。随着信息公开正在成为一件司空见惯的事情,有关隐私的观念和规范也在以过去无法想象的速度发生着转变,自愿披露行为对隐私所造成的损害可能会随着时间推移加重或减轻。信息主体当下作出的合理隐私决策在变化发生以后可能会被视作欠缺考虑。又或者是几个月前难以被普遍接受的隐私技术设计,如今也见怪不怪,甚至被广为运用。在此背景之下,信息主体披露信息的行为即便是谨慎考量“自愿”选择的结果,也仅限于最初信息披露或仅针对信息收集之时,之后对信息的再传播和处理未必仍然符合其自身效用与偏好。
四、基于行为规制的自愿披露隐私保护
鉴于当下日新月异和日益复杂的信息化环境,可以预见自愿披露隐私损害问题将更为频繁与严峻,契合现实与期待的隐私规则是将规制重心从保护选择权转向对信息收集和使用行为的干预与认定。具体来说,基于理想面目保护之上对自愿披露隐私损害所采取的救济方式,应从损害发生的机制着手,即防范信息实际传播范围与权利人预期范围严重不符,围绕塑造正常的信息环境而展开,从而进一步明确立法中“不愿为他人知晓”的“私密”概念。
(一)
合理可预测的信息流环境
正常合理的信息流环境是信息主体自愿披露信息并得以期待信息在合理范围内流动的重要前提。自愿披露隐私问题下,合理可预测的信息流动方式内在地包含两种情形:第一,基于保密预期而主动披露的信息不会被进一步传播开来;第二,基于模糊预期而主动披露甚至公开的信息不会被进一步识别,分别对应以下两类常见的隐私披露行为。
1.基于信任的自愿披露隐私行为
基于信任的自愿披露隐私行为中的信任,是指相信相对方在通常情况下会按照保密和谨慎的态度行事。可以说,信任是自我披露的前提,信任的存在使得人们愿意承受一定的风险与接受自己因披露变得脆弱的事实。早在1971年,加拿大心理学家、自我披露研究的先驱乔拉德便指出:“一个人只要相信自己的听众是一个善意的人,就可以让自己被人们认识。自我披露遵循着一种爱的态度。”随着时间的推移,信任还会随着个体与他人互动的持续而逐步加深。在对方采取值得信赖的方式行事的基础上,彼此之间的互动越频繁,个体便越能准确地预测下次互动时对方所采取的行动方式,并且在未来分享的可能性也越大。与之相应的是,个体也就越有足够的理由期待对方对自愿披露的隐私进行保密。
2.基于模糊的自愿披露隐私行为
除了那些信任并与之分享秘密的人,人们也往往对几乎陌生的人抱有“信任”。例如,相信超市的收银员不会将购物明细四处宣扬,也相信出租车司机不会将车内谈话公之于众。然而,此种“信任”与其说是对陌生人的信任,毋宁说是一种社会共识,又或者是一种信念,即相信即使某些信息在一定范围内已经为人所知,其仍然可以保持一种未知或安全的状态。在这种情况下,“模糊性”是对这种状态的一个恰当描述。
模糊性的意义在于揭示信息所处的一种未知或安全的状态。换句话说,当某一个活动或信息不太可能被发现、识别或记住时,它在一定程度上是安全的或存在隐私预期的。现实生活中,正是因为有模糊性的存在,大多数人才能够满怀信心地在一定范围内分享信息,并相对确信该分享信息的行为不会反过头来伤害自己。这种未知或安全的状态由自然和人为两种因素共同作用而成,一种是受人类认知所限,大脑储存和处理信息的能力有限。另一种是社会机制强化、支持隐私和权利人采取积极隐私管理的结果。社会机制通过影响隐私收集、处理的成本,驱使潜在行为人做出与隐私规范相符的行动选择。隐私管理手段包括但不限于匿名方式发表评论、防偷窥保护膜使用、喧闹餐厅内谈论敏感话题等。结果是信息相对方为获取信息所需耗费的时间和精力等信息和机会成本,阻碍了信息的进一步获取和传播,尤其是在缺乏对信息主体关键性信息,如信息主体身份、信息内容相关背景、信息人物社会关系等了解之时,尽管已知悉部分源自信息主体自愿披露的信息,信息主体对于信息相对方而言依旧处于相对模糊状态。同样地,网络用户们也依赖于此种模糊状态保护线上已发布的信息,仅仅在网络上披露信息并不意味着信息主体积极寻求将已披露的信息进行广泛传播。戈夫曼提出,人们解读所处场景并据此对外进行展示的能力是社会互动的重要组成部分,即通过所处环境中的线索与架构判断自身模糊程度并计算隐私风险,当活动或信息不太可能被发现或记住时,更有可能自由地展现真实的自我。同时,借助于模糊性的概念,人们得以扮演好不同的社会角色。
这种基于模糊性而选择披露信息的认知方式进一步打破了传统上的二元隐私概念,如“公共/私人二分法”。在这种观念下,一旦信息被披露,它便不具有私密性质,因而也不再被视作隐私。目前。理论界普遍认识到谈论信息或“私密”或“公开”的二元方式太过于简单、粗暴。一方面,此类论调并不符合人们在日常生活中思考隐私的方式,社会现实是人们既被允许也实际上谨慎地共享信息。另一方面,人们对所谓公共空间的隐私存在天然渴望。相反,模糊性这一概念进一步揭示理解隐私实则是一个程度问题,而非处于二元的开/关状态,即大多数人类信息既不完全私人,也不完全公开。
(二)
自愿披露隐私的侵权行为认定
与上述合理可预测的信息流动环境相对应的是对打破信息合理流动模式行为的规制,从而防范行为人削弱权利人向他人展示自己能力的行为。更进一步来说,行为人侵害权利人隐私的方式也可相应地分为两种情形:一种是行为人操纵环境以使权利人对自身所面临的情境抱有错误观念;另一种是行为人破坏信息模糊性以使权利人信息传播与预期相违背。前者主要发生于信任场景之下的信息关系,行为人操纵环境致使权利人对自身选择产生错误认知,此类行为可被视作对信任关系的背弃。在无信任可言的社会互动中,权利人赖以维系信息相对私密预期的模糊性遭受行为人破坏,正常信息流动方式难以实现。具言之,正常合理的信息流环境之下,权利人通过行为X,仅向相对人A揭示了信息Y。但在第一种情形之下,行为人通过操纵环境使得权利人相信其通过行为X,仅向相对人A揭示了信息Y。而在第二种情形之下,行为人通过降低信息成本的方式破坏了信息的模糊性。上述两种不同侵权方式造成了相同的损害后果:行为人的行为使得权利人通过行为X,向除了相对人A外的其他人B、C等透露了信息Y,或者向相对人A或其他人B、C等透露了信息W。
但同时也必须承认的是,实践中自愿披露隐私的侵权行为认定存在较大不确定性。自愿披露隐私损害救济具有一定的正当性,但这也并非意味着隐私权人所遭受的所有隐私损害均需赔偿。若不加以区分,对任何因自愿披露所造成的隐私损害均予以赔偿,或对所有对打破信息合理流动模式行为采取否定性评价,必然意味着对表达自由的大规模限制,导致信息相对方负担过重的注意义务的同时,不利于信息的合理流通。因而,在自愿披露隐私侵权的具体案件中,除了采取“我一见即知”的方法外,法官还可以结合以下更细致的侵权行为特征进行判断。
1.操纵环境行为:实质破坏社会关系
操纵环境的侵权行为,是指行为人在没有合理依据的情形下操纵信息传递的相关环境,违反了知情、同意和保密等信息传输原则,从而极大削弱权利人向他人展示自己的能力。具体到司法实践中,操纵环境的侵权行为应以实质性破坏基于保密信任建立的社会关系为重要特征。当基于关系而产生信息不会泄露的信任是构建一段社会关系的本质或核心时,背叛此份信任而泄露隐私的行为构成隐私侵权,否则建立此信任之上的关系无以为继。但更重要的原因实则是,基于保密信任获取信息的相对方相比于第三人更有可能被期待承担保密义务,相对方与信息主体之间存在的某种“关系”,或者说是“好关系”使得其守护秘密的行为不仅仅是一种“施恩”,同时也是一种义务。
也正是基于此,英美法中规定了婚内交流特免权,即刑事诉讼和民事诉讼中,夫妻双方无论谁是诉讼当事人,均有权拒绝向法庭泄漏双方在婚姻存续期间的秘密交流信息,其规范意义便在于保证婚姻关系下配偶间的亲密交流和隐私。相类似的还有大陆法系国家的亲属免证权以及基于职业伦理的证人特免权和信义义务。尽管我国现行刑事诉讼法采取的是与域外“证言豁免”模式的亲属拒证权不尽相同的“出庭豁免”模式的亲属拒证权制度,但该制度同样表明亲属关系在司法中具有特殊性,并且以此保护人类最亲密关系赖以维系的最根本信任。
因此,那些有关权利人私下言论或背德行径之“授权”知情者不得仅以“受害人过错”(如婚内出轨)为由主张减免侵权责任。姑且不论受害人与行为人之过错是否具有同一性,相较于将对真相的知情视作理所应当,并审查对该利益的限制是否正当,不妨尝试换个角度,考量对信息的传播是否会从根本上破坏社会关系。那些公开艾滋病患者之采访者不得单纯以知晓在先披露信息人数的多少作为隐私侵权抗辩,从而违反其对受访者面容模糊化的约定。换言之,仅仅因为受访者在一定范围内披露其身患艾滋病信息的事实,并不能使得采访者违背其对受访者面容模糊化处理的诺言。一方面,对身份匿名承诺的信任是受访者愿意接受采访的核心要素。另一方面,是在先披露对象(亲人、朋友)对艾滋病患者的关怀之心而非信息的稀有程度使得亲密关系得以建立与维系并证成隐私保护,因此可期待在先披露的信息不会被知情人进一步传播。以及那些他人书信之保管人不得以未实施积极加害行为,即并未直接公开信件而仅是转让信件与第三方,作为隐私侵权抗辩。当权利人确信其分享书信将被用于维护其本人利益、彼此双方关系而非用来困扰或伤害自己时,保管人对该书信所采取的有损权利人声誉等利益和双方通信关系的行为应当构成隐私侵权行为。换言之,在第三人如拍卖行存在直接隐私侵权致使隐私曝光,而保管人并未实施公开隐私侵权行为的情形下,由于保管人在寄收信件关系中处于重要地位,从而引发寄信人的必要信赖,故应负有保护权利人通信秘密和隐私的义务,即对书信承担妥善保管的义务。
虽然区分传播在先披露信息行为对不同关系之影响程度,但这并不意味着一般传播行为不构成侵权行为。一般来说,公开方式及产生的预期结果应同所披露事实的危害程度相当,避免因为过当方式的公开(如过于披露细致信息)或不足够理由的公开而导致当事人核心的隐私人格利益显著侵害,或者避免刻意渲染而在客观效果上对公序良俗产生冲击,否则这将造成比社交操纵更具危害性的数字操纵。
2.破坏模糊行为:大幅降低信息成本
对于即使已经完全丧失私密性或模糊性的所谓“已公开个人信息”,依据个人信息保护法第27条,信息处理者仍将受到“在合理的范围内处理”“个人明确拒绝”和处理“对个人权益有重大影响”的多重限制。举重以明轻,那么又当如何处理基于模糊而自愿披露的隐私,或者说如何认定该场景下的侵权行为?在具体侵权行为认定时,相较于已公开个人信息保护仅能控制信息不被过度处理,基于模糊而自愿披露隐私的保护则能够进一步控制信息以何种方式被处理,即保留信息的模糊性,反之,大幅降低合成型隐私的获取成本将构成破坏模糊的侵权行为。合成型隐私,是指若干单项信息经由行为人关联性聚合,形成新的描述与指向功能而构成的隐私。或者说,现实隐私损害往往不是由单一披露的信息所造成,而是这些信息与个人其他信息结合后共同作用的结果。有时,单项信息本身甚至可能并不构成传统意义上的隐私事项,但当这些信息综合起来时才显现出隐私的特性。尤其是在信息时代背景下,人们难免会在网络空间里雁过留痕,披露私密信息是否构成隐私侵权并非取决于权利人在先披露行为或是行为人单纯传播行为的本身,而可能在于行为人是否降低合成型信息的获取成本。因此,在破坏模糊性语境下,侵权行为主要表现为大幅降低搜索、识别和监控合成型隐私信息成本的实践行为和技术设计。应当重点关注以下两个要素:其一,信息成本的存在足以使得信息主体合成型隐私处于模糊状态,换言之,获取信息的成本高低是衡量该信息模糊性的重要标准;其二,行为人的行为极大地降低了信息主体合成型隐私的获取成本。
具体而言,首先,即使“完全由公有领域的素材构成的信息也可能具备秘密性的必要特征:因为……可能产生一些全新且具有秘密性的东西”。一般来说,权利人的可辨识性越低或者行为人披露行径越令人感到毛骨悚然,权利人的信息状态就越模糊,信息获取的成本越高。相应地,一旦传播开来则极大降低他人或公众对该信息的获取成本。其次,依据社会网络理论,多个单项信息不太可能通过弱关系而被聚合形成合成型隐私进而被传播。例如,商场购物、餐厅用餐等短暂的社会互动并不足以使得他人了解权利人情况,包括权利人的身份信息或理解信息的上下语境,即短暂互动与复杂的内容使得信息难以被聚合,也就更谈不上传播。最后,对此类破坏模糊性行为规制的原因本质上并不在于是否触发了人们毛骨悚然的反应,真正重要的是权力——关于他人信息的把握,即面容清晰化,可以带来对这些人的权力,无论是以此获得商业利益,或是恣意“制裁”他人的力量。
(三)
表演崩溃的补救性措施
尽管正常合理的信息流环境是信息主体自愿披露信息并得以期待信息在合理范围内流动的重要前提,但信息流动的方式并不总能尽如人意。日常生活不可避免地伴随着一些小风险,并且有时这些风险可能还会造成严重的后果,但这也是人们必须接受的现实。具体来说:(1)追求广谱。正常信息流动方式仅以符合多数而非所有人认识为己任,其原理与默示规则设定相类似,即做到使默认值尽可能满足大众的需求。信息的传递应否满足多数人的日常认知与习惯表达,成为大众的“默认规则”,场景本身即可作为信息传递应否的重要判断基准,而无需另行保密等约定存在。沉默作为最低成本的交易或交往信号,当事人沉默越多,另行表达就越少,交易成本也越低,真实的意愿也越可能获得执行。(2)容忍偏差。塑造可预测的正常信息流环境仅要求有限的可预测性,即便事情并不总是如预测或按照通常传递的规律一般发生,亦在情理之中。在与有意跟踪、监视以获取信息的行为区分开后,信息的合理预测性天然包含异常状态的可预测性和对正常状态下可预测性的偏离。(3)兼顾公益。所塑造的信息流环境只有在合理正常并相对可预测的情形下,才能确保人们享有自由向他人展示自己的能力——塑造“他人眼中的自己”,但这也仅局限于合理限度范围内的控制力,没有人可以绝对或在最大限度内控制向他人披露的程度和内容,否则过度控制可能导致社交欺诈或操纵。
当自愿披露信息实际传播与信息主体合理预期所不符的事实已然发生时,除了一般的侵权救济手段外,仍可借助以下补救性措施,将信息外溢造成的隐私损害降至最低。
第一,对违反信息正常流通与突破合理预期的个人信息,通过降低信息可见性或可获取程度,减少对信息主体的负面影响。数字化时代的到来重塑了社会的记忆机制,单纯利用时间消磨记忆存在一定的局限性。特别是对于已进入公共网络空间的隐私信息,赋予信息主体以“被遗忘权”,享有诸如请求搜索引擎承担网络搜索引擎的结果展示优化义务,恢复信息的“模糊性”。
第二,对于信息主体对外展示形象能力造成的损害,除了致力于使已经公开的个人信息重新进入隐私领域,还可通过增加“背景导入”“改过自新”式等信息以缓解既有负面信息对他人产生的认知和决策影响,避免信息主体因为单一的负面信息而被“一棍子打死”。甚至还可通过在数据中故意添加含糊或具有误导性的信息来增加信息处理分析的复杂性,这种隐私技术又被称作“混淆”,其核心在于大幅度提升识别的成本从而提升信息处理的难度。
第三,“非礼勿视勿听”“看破不说破”等有关隐私的社会规范会对行为产生规制性影响。首先,通过“善意地”提醒或“知趣地”不予注意等方式与隐私信息实现有效隔离。例如,在即将涉足敏感区域以前,适时对当事人传递警示信号,或者自觉离开未受邀请进入的场域。其次,当信息主体塑造的外在形象与不当传播的信息之间暴露出明显差异时,知情人“乖巧地”选择对此“视而不见”。出于为他人利益的考虑而积极采取掩饰行为的隐私规范在中国传统文化中实则并不少见,如“为长者讳”“为尊者隐”以及“揭人不揭短”等,知情者心照不宣与信息主体共谋以帮助其摆脱困境。
结语
对自愿披露导致信息主体本人遭受损害的救济,在大数据时代具有不言而喻的重要价值。若一味地拘泥于传统隐私侵权救济的思路会导致社会资本流失或在分享私人信息时隐私权人负担过重的注意义务。面对社会交往关系中守法者无所适从、擦边者有恃无恐的隐私困境,最好的应对之法当使“失信受损,守信得利”。一方面,信任或模糊性的存在使得人们愿意接受自己因披露而变得脆弱的事实或承受一定的风险,对操纵环境和破坏模糊行为的规制即作为缓冲机制以对冲这种因信赖信息正常流动所带来的脆弱性,否则便是对信任或信赖他人依社会规范行事的一种无情惩罚。另一方面,对于自愿披露隐私保护,隐私规范守信者更乐见其成,这是因为守信者可以花费更少的交易成本获取信息—承诺变得可信。保密的承诺之所以变得更为可信,是因为承诺的行为向外释放一种信号:违背承诺将会使其承受重大损失。换言之,在现代社会内部(自我执行)与外部(声誉机制)威胁双双失灵之时,强制性赋予承诺方作出可信承诺的权利。最后仍必须承认的是,对自愿披露隐私侵权的认定依旧需要法院结合个案实际情况予以判断,短期内司法实践难以就其是否构成侵权达成共识,但是正视自愿披露隐私损害及其救济是推动社会系统信任的第一步。
原标题:《林艳祺|自愿披露隐私损害与侵权行为认定》
