數據保護權是一項權利嗎

內容摘要：數據保護權關注的是與個人數據之使用相關的抽象危險，而這些危險往往會對諸如結社、言論自由等其他基本權利造成侵犯。因此，數據保護權本身不是一項獨立的基本權利，而是對其他受到憲法保障的權利和自由的預防性提升，這種看待數據保護的方式也能得到相關司法判例的支持，而且能夠更好地解釋數據保護與其他權利的關系。認定數據保護并非一項權利，具有重要的現實意義，根據這種理論形成的方法，相較于目前正在德國和歐洲盛行的方法更加具有系統性，這一新視角不僅關注個人數據的收集，還考慮到了整個數據處理系統及其環境，有助于我們更好地理解大西洋兩岸在數據保護標準方面的差異。

關鍵詞：數據保護權；基本權利；隱私權；信息自決權

中圖分類號：D90 """"""文獻標識碼：A

文章編號：2095-7076（2024）02-0153-08

DOI：10.19563/j.cnki.sdfx.2024.02.011

一、序言

美國國家安全局丑聞一經披露，對于全世界數據保護倡導者而言，必定感覺像是親歷了一場“全面監控”的噩夢。但在大西洋兩岸，保護個人數據免受國家收集的法律救濟措施幾乎沒有什么不同。美國的數據保護倡導者必須為制定每一個具體的數據保護法規（諸如《美國自由法案》）而奮斗，①" ①USA FREEDOM Act of 2015， H.R. 2048， 114th Congress （2015）.而在歐洲，數據保護權一般被視作一項基本權利。這對于主張強化數據保護權的美國人來說，歐洲（尤其是德國）必然就像是那塊福地。

1983年，德國聯邦憲法法院援引《基本法》中關于保護個人自由和人格尊嚴的條款，①" ①參見德國聯邦憲法法院網站http：//www.gesetze-im-internet.de/englisch_gg/index.html.宣告了信息自決權（informational self-determination）的誕生，而這一關乎數據保護的權利正是在德國憲法的框架下命名和構建的。②" ②BVerfG 1 BvR 209/83， Dec. 15， 1983， 41-43， http：//dejure.org/dienste/vernetzung/rechtsprechung？Text=1%20BvR%20209/83.這項權利有著驚人的發展歷程：為符合該項權利的要求，許多法律都經過了調整。它為當代的一般數據保護法奠定了基礎。③" ③See， e.g.， Bundesdatenschutzgesetz （BDSG） （Federal Data Protection Code）， Jan. 14， 2003， BGBl. I， at 66.它還被融入許多行政法規（例如德國聯邦和各州的警察法）中，如今這些法律的大多數規則都與數據保護問題相關。④" ④See， e.g.， Polizeigesetz （PolG） （Police Code of the State of Baden-Württemberg）， Jan. 13， 1992， §§ 19-25， 37-48a， Gesetzesblatt [GBl.] [Law Gazette] 1992， 1; Gesetz" über die Aufgaben und Befugnisse der Bayerischen Staatlichen Polizei [Polizeiaufgabengesetz - PAG] [Police Mission Code of the state of Bavaria]， Sept. 14， 1990; Articles 30-49， Gesetz- und Verordnungsblatt [GVBl.] [Law Gazette] 1990， 397; Polizeigesetz des Landes Nordrhein-Westfalen [PolG NRW] [Police Code of the state of North Rhine-Westphalia]， July 25， 2003， §§ 11-33， Gesetz und Verordnungsblatt [GV" NRW] [Law Gazette] 2003， 441.聯邦憲法法院的數十份判決都援引了這項權利，⑤" ⑤See， e.g.， BVerfG， 1 BvR 239/90， June 11， 1991， http：//dejure.org/dienste/vernetzung/rechtsprechung？Text=BverfG%2084，%20192; BVerfG， 1 BvR 1564/92， Mar. 7， 1995， http：//www.servat.unibe.ch/dfr/bv092191.html; BVerfG， 1 BvR 2111/94， July 8， 1997， http：//www.servat.unibe.ch/dfr/bv096171.html; BVerfG 118， 168; BVerfG 120， 351; BVerfG， 1 BvR 2074/05， Mar. 11， 2008， http：//www.servat.unibe.ch/dfr/bv120378.html.尤其是在國家安全法律領域的判決中。⑥" ⑥See， e.g.， BVerfG， 1 BvR 518/02， Apr. 4， 2006， http：//www.servat.unibe.ch/dfr/bv115320.html; BVerfG， 1 BvR 370， 595/07， Feb. 27， 2008; BVerfG， 1 BvR 1215/07， Apr. 24， 2013， http：//www.servat.unibe.ch/dfr/bv133277.html.聯邦憲法法院已經利用這一權利阻止甚至是廢止了那些規定了關于數據收集、存儲的新方案的法律。⑦" ⑦See， e.g.， BVerfG， 1 BvR 518/02， Apr. 4， 2006， http：//www.servat.unibe.ch/dfr/bv115320.html; BVerfG， 1 BvR 2074/05， Mar. 11， 2008， http：//www.servat.unibe.ch/dfr/bv120378.html; BVerfG， 1 BvR 1215/07， Apr. 24， 2013， http：//www.servat.unibe.ch/dfr/bv133277.html; Marion Albers， Informationelle Selbstbestimmung （2005）; Gabriele Britz， Informationelle Selbstbestimmung zwischen rechtswissenschaftlicher Grundsatzkritik und Beharren des Bundesverfassungsgerichts， in Offene Rechtswissenschaft 561 （Wolfgang Hoffmann-Riem ed.， 2010）; Wolfgang Hoffmann-Riem， Informationelle Selbstbestimmung als Grundrecht kommunikativer Entfaltung， in “Der neue Datenschutz”. Datenschutzin der Informationsgesellschaft von Morgen 11 （Helmut Bumler ed.， 1998）.

縱覽歐洲，個人數據保護權被視為《歐洲人權公約》中隱私權的自然延伸。⑧" ⑧Art. 8 of European Convention for the Protection of Human Rights and Fundamental Freedoms， as amended by Protocols No. 11 and 14 （1950） [hereinafter ECHR].歐洲人權法院作出了一些旨在限制國家收集數據行為的判決。⑨" ⑨See， e.g.， Leander v. Sweden， App. No. 9248/81， Eur. Ct. H.R. （Ser. A） at 116-6 （1987）; Rotaru v. Romania， App. No. 28341/95 Eur. Ct. H.R. （2000）; Weber amp; Saravia v. Germany， App， No. 54934/00， Eur. Ct. H.R. （2006）.在《歐盟基本權利憲章》生效之前，歐盟法院便已在其轄區內承認了旨在保護個人數據的權利。⑩" ⑩Case C-275/06， Promusicae v. Telefónica de Espaa， 2008 E.C.R. I-271， 63; Case 553/07， College van Burgemeester en Wethouders van Rotterdam v. Rijkeboer， 2009 E.C.R. I-3889， 46， 48-49.在2009年《里斯本條約》被正式批準后，《歐盟基本權利憲章》生效，該憲章將數據保護權規定為經由歐洲基本法律明確保障的權利。《歐盟基本權利憲章》第8條第1款規定：“人人均有權享有個人信息之保護。”近期，歐盟法院就數據保留指令、B11" B11Joined Cases C-293/12 amp; C-594/12， Digital Rights Ireland v. Minister for Commc’n， Marine and Nat. Res. and others and Krntner Landesregierung and others v. Seitlinger and others.所謂的“被遺忘權”B12" B12Case C-131/12， Google Spain and Google v. AEPD and Costeja González.以及歐盟與美國之間的《安全港協議》B13" B13Case C-362/14， Schrems v. Data Protection Commissioner， 2015.作出裁決。這些裁決以《歐盟基本權利憲章》第8條為依據，對于數據隱私的保護提出嚴格的要求。從歐洲之外的視角來看，數據保護權似乎已在德國乃至整個歐洲被確立為一項特定的基本權利。

二、數據保護權的實質

然而，人們仔細觀察就會發現，歐洲的數據保護之路仍然任重道遠。最重要的是，人們并不清楚數據保護權是一項關于什么的權利。這項權利作為一個實體，究竟是在保護什么呢？通常情況下，基本權利旨在保護一般或特定的自由利益或平等利益（a general or specific liberty or equality interest）。①" ①See Loving v. Virginia， 388 U.S. 1， 12 （1967）; Obergefell v. Hodges， 135 S. Ct. 1732 （2015）. See also Dworkin， Taking Rights Seriously， 5th Impr. 184-206， 266-78 （1987）.就數據保護權而言，它應當保護什么樣的利益呢？自數據保護權誕生以來，這就是一個一直未能解決的問題，也是近期針對數據保護權的新一波批評意見所指向的核心——尤其是在德國。②" ②Marion Albers， Zur Neukonzeption des grundrechtlichen “Daten”schutzes， in Herausforderungen an das Recht der Informationsgesellschaft 113 （Andreas Haratschet al. eds.， 1996）; Albers， Informationen als neue Dimension im Recht， 33 Rechtstheorie （RTh） 61 （2002）; Hans Peter Bull， Zweifelsfragen um die informationelle Selbstbestimmung - Datenschutz als Datenaskese， 59 Neue Juristische Wochenschrift （NJW） 1617 （2006）; Bull， Informationsrecht ohne Informationskultur？， 24 Recht der Datenverarbeitung （RDV） 47 （2008）; Bull， Informationelle Selbstbestimmung - Vision oder Illusion？ （2d ed.， 2011）; Wolfgang Hoffmann-Riem， Informationelle Selbstbestimmung in der Informationsgesellschaft. Auf dem Wege zu einem Neuen Konzept des Datenschutzes， 123 Archiv des ffentlichen Rechts （AR） 513 （1998）; Michael Kloepfer， Geben moderne Technologien und die europische Integration Anla， Notwendigkeit und Grenzen des Schutzes personenbezogener Informationen neu zu bestimmen？， in 1 Verhandlungen des Zweiundsechzigsten Deutschen Juristentags， No. 66， 81-82 （1998）; Karl-Heinz Ladeur， Datenschutz - Vom Abwehrrecht zur Planerischen Optimierung von Wissensnetzwerken， 24 Datenschutz und Datensicherheit （DuD） 12 （2000）; Ladeur， Das Recht auf informationelle Selbstbestimmung： Eine Juristische Fehlkonstruktion？， 62 Die ffentliche Verwaltung （DV） 45 （2009）; Rainer Pitschas， Informationelle Selbstbestimmung Zwischen Digitaler konomie und Internet， 22 DuD 139， 146 （1998）; Hans- Heinrich Trute， Der Schutz Personenbezogener Information in der Informationsgesellschaft， 53 Juristen Zeitung （JZ） 822， 824-29 （1998）; Trute， Verfassungsrechtliche Grundlagen， in Handbuch Datenschutzrecht 156， 11， 21-24 （Alexander Ronagel ed.， 2003）.在一個由無處不在的計算機、傳感器、虛擬空間和物聯網組成的世界中，電子超鏈接的發展日新月異。基于這種發展，批評者們對數據保護權的概念提出了質疑。這些發展情況在過去不曾被預料到，也似乎并沒有被恰當地反映在當代的數據保護概念中。

在數據保護司法實務的早期階段，德國聯邦憲法法院似乎已將這一概念與個人數據產權概念聯系起來。③" ③隱私權的概念，與美國最高法院關于第四修正案早期判例確立的范圍有某種相似之處。在判例 Katz v. U.S. （1967） 之前，美國最高法院僅對公民個人財產的搜查和扣押適用第四修正案。See， e.g.， Olmstead v. United States， 277 U.S. 438 （1928）.該法院解釋說：個人“有權自行決定其個人數據傳播的時間和范圍”。④" ④BVerfG， 1 BvR 209/83， Dec. 15， 1983， http：//www.servat.unibe.ch/dfr/bv065001.html （“Befugnis des Einzelnen， grundstzlich selbst zu entscheiden， wann und innerhalb welcher Grenzen persnliche Lebenssachverhalte offenbart werden.”）.這種說法有些類似于所有權者有權自行決定是否允許他人使用其財產。在當今技術互聯和社會網絡化的現實下，海量的個人數據無時無處不在被傳播、被交流。以財產模式對數據進行保護不免要貽笑大方。數據根本不具有那種排他性，因而也就無法與個人所擁有的財產相提并論。聯邦憲法法院似乎已經認識到這一點，雖然它并未明確廢止該模式，但已經逐漸減少對于該模式的援引，并在近期裁判中對此只字不提。⑤" ⑤See， e.g.， BVerfG， 1 BvR 233833/03， 360， Mar. 10， 2008， https：//dejure.org/dienste/vernetzung/rechtsprechung？Text=BverfG%20120，%20351; BVerfG， 1 BvR 2074/05， 397-98， Mar. 11， 2008， http：//www.servat.unibe.ch/dfr/bv120378.html.這樣，再對該法院早期判決中以保護財產的模式來保護數據的做法批評一通，已經沒什么意義。但是，即使每個人都同意數據保護權不同于個人數據中的財產利益，仍未得到回答的問題是：數據保護權是一種什么樣的權利呢？它保護的具體自由利益（liberty interest）又是什么呢？

就隱私和情報收集而言，歐盟和美國的做法不盡相同。在此背景下，對于上述問題的解答尤為重要。歐美擁有不同的法律傳統，因而也對數據保護和隱私持有不同的理念。如果歐洲人在援引信息自決權時真的不知道自己在說什么，那么他們就難以與其對話伙伴美國人就這些問題展開討論了。

對于這個問題，我的回答是：數據保護權根本不是一項特定權利，而是對其他可能相關的基本權利的一種系統性提升。就此而言，數據保護權的地位不同于《基本法》中的其他基本權利，而是對其他既存基本權利的修正。這種修正之所以是一種系統性提升，是因為基本權利通常所防御的只是對于自由利益或平等利益的現實侵犯，或者至少是對于這種利益的具體危險，而數據保護權旨在為收集、存儲和處理個人數據的過程中發生的抽象危險提供一種先發制人式的保護（preemptive protection）。①" ①See Orla Lynskey， Deconstructing Data Protection， 63 Int. Comp. L. Q. 569 （2014） （Highlighting， the “protective” character of the right to data protection.）.雖然從表面上看，《歐盟基本權利憲章》第8條并非一項獨立的基本權利，但是，它是對該《憲章》所保障的其他潛在基本權利的系統性提升。因此，數據保護不同于住宅隱私以及郵件和電信隱私等傳統隱私概念。數據保護涉及隱私，但并非所有隱私議題都是數據保護議題。顯示裸體者圖像的人體掃描儀，這是一個傳統的隱私議題，而不是數據保護議題。傳統的隱私權所防御的是對身體隱私部位的侵犯，確保的是一種不被干預的權利。然而，數據保護權所針對的是對掃描儀中原始數據的存儲行為，而這些數據面臨著（有人獲取裸體圖像的）抽象危險，因而也就面臨著傳統隱私遭受侵犯的抽象危險。數據保護權潛在地提升了每項基本權利，其中包括隱私權。

首先，我將提供一些現象學證據，以證明對數據保護進行這種“非權利”（no-right）的定性是正當的。其次，我將解釋這種特定的提升是關于什么的，以及是什么使它如此特定。最后，我將針對以下問題談談我的一些想法：在理解大西洋兩岸涉數據保護的法律文化差異方面，我的這篇文章能夠提供何種幫助？這樣一種構想如何能夠有助于緩解在美國國安局丑聞陰影下出現的動蕩？

三、非權利說的證據

多方證據表明，數據保護權并非一項獨立的基本權利。首先，數據保護原則起源于德國聯邦憲法法院的判例。該法院一直將數據保護權與一般人格權這一基本權利聯系在一起，前者在很大程度上已被視作后者的派生物。②" ②BVerfG， 1 BvL 19/63， 6-8， July 16， 1969， http：//www.servat.unibe.ch/dfr/bv027001.html; BVerfG， 1 BvR 209/83， 41-5， Dec. 15， 1983， http：//www.servat.unibe.ch/dfr/bv065001.html.可是，該法院還將數據保護權與其他憲法權利相關聯，例如集會自由。③" ③BVerfG， 1 BvR 209/83， 43， Dec. 15， 1983， http：//www.servat.unibe.ch/dfr/bv065001.html.重要的是，聯邦憲法法院認為，在集會場合下收集個人數據，是對《基本法》第8條中集會權的侵犯，而不是對一般人格權的侵犯。④" ④BVerfG 68， 315， 349; BVerfG， 1 BvR 2492/08， 368-70， Feb. 17， 2009， http：//www.servat.unibe.ch/dfr/bv122342.html.另一個證據則是以下事實：該法院以一種開放的姿態將數據保護權延伸至企業實體（corporate bodies），⑤" ⑤BVerfG， 60 NJW 2464， 2471 （2007）; BVerfG， 67 NJW 1581 （2014）.盡管它極不情愿將一般人格權（其部分根基是對于個人尊嚴的憲法承諾）擴展到法人（legal persons）。⑥" ⑥BVerfG， 58 NJW 883 （2005）; BVerfG， 67 NJW 1581 （2014）. On the general inapplicability of the guarantee of human dignity to legal persons， see BVerfG， 1 BvR 2172/96， 242，Feb. 26， 1997， http：//www.servat.unibe.ch/dfr/bv095220.html.因為數據保護權還未與人格自由權深度綁定，所以前者才能超越其適用范圍。

在歐洲判例中，數據保護權和另一項基礎權利的結合也是如此。⑦" ⑦Leander v. Sweden， Eur. Ct. H.R. 48；

Rotaru v. Romania， Eur. Ct. H.R.， 42-46; Weber amp; Saravia v. Germany， Eur. Ct. H.R. 143-44; Uzun v. Germany， Eur. Ct. H.R.， 44-48；

Weber amp; Saravia v. Germany， Eur. Ct. H.R. 145-46.數據保護權被規定在《歐盟基本權利憲章》的一個特別條款中，盡管如此，歐盟法院幾乎從未將該憲章第8條作為一項獨立的權利加以援引。⑧" ⑧Case C-543/09， Deutsche Telekom v. Germany， 2011 E.C.R. I-3441， 49-53， 66; Case C-70/10， Scarlet v. SABAM， 2011 E.C.R. I-11959， 50.該法院在援引第8條時，通常都會并列援引第7條規定的隱私權。⑨" ⑨Joined Cases C-92/09 amp; C-93/09， Schecke and Eifert v. Hesse， 2010 E.C.R. I-11063， 47， 52; Joined Cases C-293/12 amp; C-594/12， Digital Rights Ireland v. Minister for Commc’n， Marine and Nat. Res. and others and Krntner Landesregierung and others v. Seitlinger and others， 2014 E.C.R. I-238， 53， 60， 65.

在歐盟法院的判例中，數據保護權似乎并不獨立存在。更準確地說，數據保護上的利益還需要得到來自另一項權利的支持。歐盟法院在其近期判決中暗示，數據保護權可能還與其他權利有關，例如表達自由。①" ①Joined Cases C-293/12 amp; C-594/12， Digital Rights Ireland v. Minister for Commc’n， Marine and Nat. Res. and others and Krntner Landesregierung and others v. Seitlinger and others， 28.此類暗示與“非權利說”不謀而合。因此，即便數據保護權被納入法典（正如被納入《憲章》那樣）而成為一項明確、獨立的基本權利，它仍然被視為其他更傳統的基本權利的附屬性權利。

丹尼爾·索洛夫（Daniel Solove）幾乎窮盡地列舉了收集、存儲和處理個人數據可能造成的危害，這又為非權利說提供了進一步的證據。在其大作《無可隱瞞》（Nothing to Hide）中，索洛夫提到了十多種可能由數據收集引發的冒犯行為，②" ②Daniel J. Solove， “I’ve Got Nothing to Hide” and Other Misunderstandings of Privacy，"44 San Diego L. Rev. 745 （2007）.其中包括生命和自由的喪失，對財產權益和表達自由的侵犯，對隱私的侵犯，以及對正當程序保障的剝奪。索洛夫的列舉表明，數據保護權的本質不能僅被歸結為某種單一的自由利益或平等利益；相反，它潛在地涉及許多受保護的利益。

將數據保護權僅僅視為對其他基本權利的修正，這種處理模式也能夠解釋為什么它通常是與一般自由權或隱私權結合在一起的。在數據保護語境中，一般意義上的自由權和隱私權發揮了一種輔助功能。通常，一項措施不會對任何更為具體的自由利益或平等利益產生影響，或者說，人們在采取該措施時，還無法預見到這種影響。這樣，數據收集可能造成的潛在危害通常只有在涉及一般意義上的自由利益與平等利益的情況下才能預見。因此，數據保護權經常就與保護一般意義上的自由與平等利益的權利（比如德國《基本法》中的一般人格權、《歐盟基本權利憲章》中的隱私權以及《歐洲人權公約》中尊重住宅和家庭生活之隱私的權利）產生關聯，這并不是偶然。但是，數據保護權與這些更為一般性的權利是互相補充的，而不是互相排斥的。

四、“系統性提升”的觀點

如上所述，數據保護權本身不是一項基本權利，而是對其他基本權利的系統性提升。如果說這一思想已具合理性，那么關鍵的問題是：它究竟進行了什么樣的提升？基本權利的宗旨通常是防御現實的侵犯。例如：如果你被監禁，那么你的人身自由權就遭到了侵犯；如果你的集會被警方禁止或驅散，那么你的集會自由權就受到了侵犯；如果你被阻止表達自己的政治觀點，那么你的表達自由就遭到了侵犯。③" ③See BVerfG， 2 BvR 1060/78， June 19， 1979， www.servat.unibe.ch/dfr/bv051324.html， where the Court saw it as an infringement of the right to physical integrity to proceed with a criminal trial if the defendant runs the risk to suffer a heart attack during the trial.See also BVerfG， 1 BvR 542/62， July 25， 1963， www.servat.unibe.ch/dfr/bv017108.html （life-threatening brain surgery with the aim to determine criminal accountability）; BVerfG， 1 BvR 614/79， 220， Oct. 3， 1979， http：//dejure.org/dienste/vernetzung/rechtspre chung？Text=BverfG%2052，%20214 （eviction of a suicidal tenant） and Ralf Poscher， Grundrechte als Abwehrrechte 388-90 （2003）.在某些情況下，如果存在即將發生此類侵權行為的具體危險，那么你的基本權利可能會受到影響。然而，數據保護權的獨特之處就在于其先發制人的性質（preemptive character），因為它不僅預防在個人數據收集和存儲過程中產生的具體危險，還預防抽象危險。數據保護權以先發制人的方式預防針對自由利益或平等利益的侵犯，而這些利益是與使用被收集和被存儲的個人數據潛在相關的。④" ④例如，在全國人口普查過程中全面收集數據本身并不是一個緊迫的威脅，但是由于存在著對于被收集的海量數據的潛在使用（或濫用），全面收集便是危險的。See BVerfG， 1 BvR 209， Dec. 15， 1983， http：//www.servat.unibe.ch/dfr/bv065001.html. The collection of data for an anti-terrorism or anti-Nazism database is problematic because of potential negative impacts for those mentioned in it. See BVerfG， 1 BvR 1215/07， Apr. 24， 2013， http：//www.servat.unibe.ch/dfr/bv133277.html.

收集數據本身沒有造成危害。這種觀點常常是被這樣表達的：數據（data）在證明其相關性之前，它必須在某些情形下成為信息（information）。只有在某些場合下使用數據，才可能導致對自由利益或平等利益的侵犯。例如，通常情況下國家不得收集有關公民政治或宗教信仰的個人數據，因為國家可能會濫用這些數據，從而歧視某些政治或宗教團體，即便這種濫用只是一種抽象危險，但數據保護權提出的要求是：在收集個人數據時，應當存在正當理由。①" ①參見全國人口普查的例子。針對國家行為采取的先發制人性保護，不可與國家保護公民自由利益免遭第三方非法侵犯的義務相混淆。參見Ralf Poscher， Grundrechte als Abwehrrechte， 380-387 （2003）（關于德國《基本法》意義上的保護義務）。只要認可了這種保護義務的存在，那么數據保護權也就要解決這些義務的先發制人層面了。數據保護權并不要求人們提供濫用數據行為已經發生，或這種濫用行為即將發生的具體證據。

如果數據保護權本質上是預防抽象危險的，那么擺在眼前的問題是，我們應如何看待數據保護方面的諸多議題。對這些議題進行的評估不得不基于以下問題展開：某種形式的數據收集行為在多大程度上對行使何種基本權利構成了一種抽象危險？以這種方式看待數據收集議題具有若干重要含義。

首先，這種方式體現了在數據收集措施方面更為系統的視角。一方面，它讓我們對于以下一度荒謬的觀點產生懷疑：處理個人數據的任何行為都是對基本權利的侵犯。另外，我們不得不承認的是：處理數據的現代芯片在一眨眼的時間內，對基本權利的侵犯即便沒有數十億次，也有上百萬次了。但是，如果數據保護權被理解為免遭抽象危險的權利，那么我們就不必考察數據處理的單個行為，而是能夠專注于數據處理的整個系統及其語境以便評估數據處理行為構成的抽象危險。能夠降低（經由個人數據處理引發的）抽象危險的因素包括：數據處理系統的透明度和可靠性；獨立監管的水平；運營官的問責制；旨在保障個人隱私的其他設計特征。這樣，此類措施是否得到實施，以及在何種程度上得到實施，都直接影響到對數據收集措施的法律評估。另一方面，重要的是確定與數據收集措施相關的抽象危險的數量和性質。至關重要的是，可以設計出能夠消除任何一種抽象危險的數據收集措施。例如，可以對身體掃描儀如此設計與編程：只要產生了一種被解讀為正信號或負信號的圖像，原始數據就會被立即刪除。一旦刪除了數據，由收集原始數據造成的抽象危險便不復存在。掃描本身以及任何后續措施（比如身體搜查）都與數據保護無關。相反，它們涉及的是傳統權利的傳統方面。例如，如果身體殘疾被檢測出來并因此引發歧視待遇，那么這里就涉及隱私權或平等權。但是，這些侵權行為就不再與數據保護權相關。

其次，只有當數據收集造成的抽象危險超過數據傳播導致的一般風險水平時，才有討論這種抽象危險的必要性。例如，這也可以解釋為什么德國聯邦憲法法院認為政府設法獲取在互聯網上公開可得的公民信息的行為并不侵犯數據保護權。②" ②BVerfG， 1 BvR 370/07， Feb. 27， 2008， www.servat.unibe.ch/dfr/bv120274.html.數據被訪問、被收集，甚至被存儲，這些行為并未造成超過（由互聯網上公開可得之數據引發的）一般風險水平的危險。可是，如果一個國家對于公開數據進行系統的收集，并使用大數據推理技術來預測公民的習慣、態度乃至行為，那么這樣便會超越一般的風險水平。

最后，只有當抽象危險超過這樣一個閾值時，才應評估數據收集措施的強度。這里再次強調：值得關注的并不是某個數據或某個數據收集措施。相反，關注的重點應當是個人數據被輸入的系統以及該系統所提供的系統性保護。

五、歐美標準的差異

信息自決權的先發制人性和附屬性可能有助于我們更好地理解大西洋兩岸在數據保護標準方面的差異。首先，數據保護權一般具有的先發制人性與美國的法律文化和政治傳統背道而馳。英美實用主義形成了一種不太重視系統性預防（systematic preemption）的法律文化。相反，根據普通法的傳統，美國法是在應對不同實際案例過程中向前發展的。③" ③See H. Patrick Glenn， Legal Traditions of the World 241 passim （5th ed. 2014）.普通法并不試圖規范潛在難題。更確切地說，在難題真的出現時，它們才會被美國法解決。一種系統性、先發制人性的數據保護權所提供的保護僅僅針對潛在的危害，它不太符合英美法律傳統。美國的數據保護法更加務實，在概念上也較為狹窄，因此，它的定位是對濫用個人信息的具體行為作出反應，而不會僅為個人信息免遭潛在威脅而提供一般性的法律保護。①" ①For the U.S approach， see Patricia L. Bellia， Federalization in Information Privacy Law，"118 Yale L.J. 868 （2008）; Leslie Francis， Privacy and Health Information： The United States and the European Union，"103 Ky. L.J. 419， 428-31 （2014-2015）. With regard to the fragmented character of U.S. data protection law， it has even been claimed that “privacy is on its deathbed in America.” See Stephanie Segovia， Privacy： An Issue of Priority，"11 Hastings Bus. L.J. 193， 200 （2015）.

例如，這一特點反映在一個奇特的事實上：“寒蟬效應”（chilling effects）這一思想最早是在美國言論自由判例中提煉出來的，②" ②For the origins of the U.S. Supreme Court’s argumentative use of “chilling effects，” see Wieman v. Updegraff， 344 U.S. 183， 195 （1952） （Frankfurter， J.， concurring）; Walker v. City of Birmingham， 388 U.S. 307， 345 （1967） （Brennan， J.， dissenting）. In Lamont v. Postmaster General， 381 U.S. 301， 307 （1965）， the Court relies on the same idea when it invokes the notion of “deterring effects.”很久之后才又在德國憲法理論中得以延續。德國憲法判例確立了數據保護權，③" ③BVerfG， 1 BvR 209， 43， Dec. 15， 1983， www.servat.unibe.ch/dfr/bv065001.html;3.給寒蟬效應這一概念賦予更加廣泛、更加系統的價值。④" ④See， e.g.， BVerfG， 1 BvF 1/84， 183， Nov. 4， 1986， www.servat.unibe.ch/dfr/bv073118.html; BVerfG， 1 BvR 2378/98， 354， www.servat.unibe.ch/dfr/bv109279.html， and the denial of standing in Laird v. Tatum， 408 U.S. 1， 13 （1972）.共同的政治經歷導致很多歐洲國家采取更加謹慎的立場。在這一點上，美國和歐洲國家存在明顯不同。最重要的政治經歷便是極權政體的存在，而這種極權政體曾在德國出現過兩次。這種政體尤其會通過收集個人信息的方式壓制其民眾。這也說明了為什么許多歐洲國家對個人數據如此敏感。

第二點是由詹姆斯·惠特曼（James Whitman）提出的。他強調了這樣一個事實：個人尊嚴和名譽在許多大陸法系國家中發揮著更為重要的作用。⑤" ⑤James Q. Whitman， The Two Western Cultures of Privacy： Dignity Versus Liberty，113 Yale L. J. 1151 （2004）.同樣，蘇珊·貝爾（Susanne Baer）將美國和德國憲法制度之間的差異描述為：一方是基于平等的制度，另一方是基于尊嚴的制度。⑥" ⑥Susanne Baer， Würde oder Gleichheit？ Zur angemessenen grundrechtlichen Konzeption von Recht gegen Diskriminierung am Beispiel sexueller Belstigung am Arbeitsplatz in der Bundesrepublik Deutschland und den USA 159-220 （1995）.以上兩個（文獻顯示的）研究成果均表明，至少在一些歐洲國家的法律制度中，人們更加重視對個人尊嚴和名譽的保護。既然（構成數據保護權之附屬性地位的）一般意義上的自由權和隱私權在很大程度上是依據“尊嚴”這個組成要素予以解釋的，那么，（數據保護所依賴的）結構性修正和實質性自由利益均未能在美國法律文化中發展起來，也就不足為奇了。非權利說的以上根基有助于闡明大西洋兩岸在數據保護問題上存在分歧的結構性、實質性的原因。

六、展望

無論其他文化、法律和政治差異的作用如何，進一步的討論都應考慮到這些差異。為了在數據交換議題上實現歐美雙方的對話與合作，本文概述的非權利說可能比其他方案更為靈活。首先，該方案建議不要對這一論題采取過于寬泛的模式。歐洲不會說服美國針對數據保護設置具有先發制人性質的一般權利，美國也不能強迫歐洲放棄其思想。認識到數據保護權所針對的是諸項自由利益或平等利益所面臨的抽象危險，這就意味著個案解決的模式（a piecemeal approach）是值得推薦的。這種模式首先確定在數據交換的某個領域發揮作用的特定的自由利益和平等利益（specific liberty and equality interests），以便具體說明哪些利益真正受到了威脅。例如，乘客數據的交換可能會引起人們對于禁飛名單（no-fly lists）的擔憂，而作為數據交換條約的一部分，更多的透明度、監督以及可靠的糾正程序的制度化可能會減輕這種擔憂。⑦" ⑦Agreement Between the United States of America and the European Union on the Use and Transfer of Passenger Name Records to the United States Department of Homeland Security， Dec. 14， 2011， 2012 O.J. （L 215） 5.

在數據保護權上，更加系統的非權利說意味著制定（適應特定領域里的重大利益的）系統性的風險降低策略，并從大量的工具中進行選擇。這些工具包括：隱私增強技術的實施；獨立的監控機制；適應特定目標的數據收集和數據存儲的最小化；在數據使用上設立較高的實質性門檻。在對相關抽象危險進行評估時，人們也可考慮到這樣的事實：至少在某些領域，如果數據是由外國政府收集的，且該外國政府對所涉個人只能實施較少的法律權力和事實權力，那么人們必須以不同的方式來評估潛在的危害。除了（針對數據收集系統之設計的）風險降低策略外，系統的透明度可能會降低客觀危險，并有助于區分對基本權利分析具有重要意義的主觀恐懼（subjective fears）和客觀危險（objective dangers）。此外，透明度創造額外的收益，即互信的建立。遵循這一模式，至少在一些相關領域里，我們應該能夠找到一個折衷方案，而該方案把數據收集和存儲的抽象危險降低到雙方都能接受的水平。這種逐步模式無法為問題的解決提供一個全面的方案，但它可以在國安局事件的陰影下，真正推動歐美關系向前發展。

Is the Right to Data Protection A Right：

A Comparison between the European Union and the United States

[Germany] Ralf Poscher （Author） Zhou Zun-you Yu Yun-xia （Translator）

Abstract： The right of data protection does not concern a specific freedom interest in and of its own. Instead， data protection is concerned with abstract dangers associated with the use of personal data that may lead to the violation of other fundamental rights， such as freedom of association or freedom of expression. Hence， by the nature， data protection is not a right but a preventive enhancement of other constitutionally guaranteed rights and freedoms. The adoption of such a no-right conception of data protection has important practical implications. It leads to a more systematic approach than the one currently prevailing in Germany and Europe. This new perspective focuses not only on the collection of personal data， but takes into account the entire data processing system and its context.

Keywords： the Right to Data Protection; Fundamental Rights; the Right to Privacy; Informational Self-determination

（責任編輯：張盼盼）