1 学术期刊作者的个人信息
数据化时代的到来引发了学术期刊对用户信息的争夺。网络在线投稿系统为期刊收集作者个人信息提供了便利,作者需先进行个人信息注册才能投稿。伴之而来的是第三方平台机构知悉作者姓名、手机、邮箱、社交账号等个人信息。我们是否需要规范作者个人信息的收集和使用?如何规范引导?本文从学术期刊的视角进行一种“小问题、大视野”式的阐释,以对个人信息保护提供私法上的建议。
之所以选择法学类CSSCI来源期刊作为实证分析样本,考虑有四:①复合影响因子和综合影响因子比较高;②出版较规范,编辑学术水平较高;③其作为法学期刊的权威代表,法治意识应比普通期刊强,理论上对作者个人信息的收集与公开应更“依法”;④研究法学问题适合回归到法学实践中去,毕竟,“法学理论的实践品格决定了法学理论与法律实践难以割舍”[1]。
2 作者个人信息使用的实证分析
2.1 收集
法学类CSSCI来源期刊共计23种,使用网上投稿平台的有22种,使用电子邮件投稿的有1种。根据这些期刊收集个人信息的特性,笔者将其分为五类,即基本信息、通信信息、研究领域、教育经历、工作单位信息,总计30项。基本信息包括姓名、性别、民族、籍贯、地区、身份证号码、出生日期、银行账号、个人简历等9项;通信信息包括办公电话、手机号码、邮箱、通讯地址、邮政编码、社交账号(如QQ、微信)等6项;研究领域包括所在学科、所在领域、研究方向、擅长领域等4项,教育经历包括学历、学位、毕业院校、毕业专业等4项;工作单位信息包括职务、职称、工作性质、单位名称、单位种类、单位地址、所在部门或院系等7项。该23种期刊收集个人信息项数见表1。
表1 法学类CSSCI来源期刊收集个人信息项数
| 期刊名 | 收集项数 | 期刊名 | 收集项数 |
| 《中国法学》 | 9 | 《法制与社会发展》 | 15 |
| 《法学研究》 | 2 | 《法学论坛》 | 11 |
| 《中外法学》 | 8 | 《比较法研究》 | 10 |
| 《法商研究》 | 16 | 《政治与法律》 | 3 |
| 《清华法学》 | 5 | 《行政法学研究》 | 12 |
| 《法学家》 | 8 | 《华东政法大学学报》 | 7 |
| 《法学》 | 6 | 《环球法律评论》 | 5 |
| 《当代法学》 | 10 | 《中国刑事法杂志》 | 4 |
| 《法律科学》 | 4 | 《法学杂志》 | 4 |
| 《现代法学》 | 13 | 《政法论丛》 | 8 |
| 《法学评论》 | 4 | 《东方法学》 | 2 |
| 《政法论坛》 | 4 |
可见,期刊收集个人信息最高达16项,最少2项,相差14项。
该23种期刊中,身份证号码或银行账号全部属于可选择提供项,其余28项信息中至少2项为某一期刊的必选项,收集某一单项信息的期刊数见表2。
表2 收集某一单项信息的期刊数
| 单项信息 | 期刊数/种 | 单项信息 | 期刊数/种 |
| 邮箱 | 20 | 籍贯 | 3 |
| 姓名 | 23 | 地区 | 3 |
| 手机号码 | 20 | 办公电话 | 3 |
| 通讯地址 | 13 | 社交账号 | 3 |
| 邮政编码 | 11 | 所在学科 | 1 |
| 单位名称 | 11 | 所在领域 | 1 |
| 研究方向 | 9 | 民族 | 1 |
| 性别 | 8 | 擅长领域 | 1 |
| 职称 | 7 | 个人简历 | 1 |
| 学位 | 6 | 毕业院校 | 1 |
| 学历 | 5 | 职务 | 1 |
| 出生日期 | 4 | 工作性质 | 2 |
| 专业 | 4 | 单位种类 | 2 |
| 部门或院系 | 3 | 单位地址 | 1 |
由表2可知,“邮箱、姓名、手机号码、通讯地址”是收集重点,该结果与《期刊编排格式》(GB/T 3179-2009)第9.3条要求收集的“姓名+单位+通信方式”的标配显然不同,虽收集邮箱符合网络时代的特征,然而手机号码是否属于学术期刊第一时间必须收集的个人信息有待考量;紧随其后的是“单位名称、邮编、研究方向、性别、职称”,对单位和职称的收集现状实际上符合了大部分学术期刊的收集规律,“即使其水平一般,也可能因作者的名声大,职务、职称高,刊物出于装点门面,审稿人因受到强势信息的暗示而不自觉地将其选中”[2],同时“性别”收集占了34.78%,该信息是否与文章发表、文章质量具有直接关联目前尚未有实践数据支持;“学位”收集占了26.09%,“学历”收集占了21.74%,这两项信息收集的弱化似乎可体现法学核心期刊的“平等权意识”。并且,这些期刊收集的作者信息都不包括身份证号、银行卡号,似乎又表明了它们的“隐私权意识”。
2.2 处理
法学类CSSCI来源期刊在收集作者个人信息倾向上虽不同,但处理作者个人信息有相似性。该23种期刊中,著录3项信息的有3种,著录4项信息的有9种,著录5项信息的有6种,著录7项信息的有1种,著录8项信息的有3种,著录9项信息的有1种。“作者姓名+单位+部门或院系”是其著录的标配,在此基础上增加的每一种著录信息基本相同,侧重作者的学历和职称,同时或单独著录该二项信息的期刊有20种,高达86.96%。该23种期刊在投稿阶段收集的个人信息和发稿阶段著录的信息并非一一对应(表3)。
表3 23种期刊对个人信息的收集(投稿阶段)和著录(发稿阶段)项数比较
| 期刊名 | 收集项数 | 著录项数 | 期刊名 | 收集项数 | 著录项数 |
| 《中国法学》 | 9 | 5 | 《法学评论》 | 4 | 4 |
| 《法学研究》 | 2 | 4 | 《法学论坛》 | 11 | 9 |
| 《中外法学》 | 8 | 4 | 《比较法研究》 | 10 | 5 |
| 《法商研究》 | 16 | 4 | 《政治与法律》 | 3 | 5 |
| 《清华法学》 | 5 | 5 | 《行政法学研究》 | 12 | 4 |
| 《法学家》 | 8 | 5 | 《华东政法大学学报》 | 7 | 4 |
| 《法学》 | 6 | 3 | 《环球法律评论》 | 5 | 4 |
| 《法制与社会发展》 | 15 | 4 | 《中国刑事法杂志》 | 4 | 3 |
| 《当代法学》 | 10 | 3 | 《法学杂志》 | 4 | 8 |
| 《法律科学》 | 4 | 8 | 《政法论丛》 | 8 | 7 |
| 《现代法学》 | 13 | 8 | 《东方法学》 | 2 | 4 |
| 《政法论坛》 | 4 | 5 |
从表3可知收集项数和著录项数相差最大的期刊是《法商研究》。《清华法学》《法学评论》收集和著录的项数一样。有6种期刊著录信息的项数多于收集信息的项数,分别是《法学研究》《法律科学》《政法论坛》《政治与法律》《法学杂志》《东方法学》,并且这6种期刊收集的个人信息都在4项及以下,遵守了期刊信息收集的“最少原则”。
3 作者个人信息保护不足之判断:调查与归因
3.1 问卷调查
3.1.1 问卷设计
本次调查目的是了解期刊作者对个人信息被收集和著录的态度,调查对象为法学期刊的学生作者。问卷选项采用李克特五分量表,包括“非常同意、比较同意、不确定、不同意、非常不同意”,在统计上5个选项分别计分为“1、2、3、4、5”。
3.1.2 问卷发放
本次问卷调查在2018年6月进行,1周内完成。主要采用网络调查,不分院校,不分地域。共收集问卷312份,有效问卷308份。其中本科生47人,占15.26%;硕士生189人,占61.36%;博士生72人,占23.38%。
3.1.3 问卷分析
1)信度和效度
通过SPSS数据分析,问卷信度系数值为0.656,大于0.6,说明研究数据信度质量可以接受。问卷的效度系数值为0.708,大于0.6,说明问卷调研有效度。
2)对比分析
根据李克特量表测量,采用SPSS分析后,问卷各题目平均值见表4。
表4 问卷结果分析
| 问卷内容 | 平均值 | 备注 |
| 1.您是否同意,学术期刊对您个人信息的收集或处理,应符合特定目的,并应在执行法定职务必要范围内或经您书面同意? | 1.659 | 偏向于同意 |
| 2.您是否同意,学术期刊可基于以下情况收集或处理您个人信息:与您有契约或类似契约关系且已采取适当之安全措施、经您同意、为增进公共利益所必要? | 1.851 | 偏向于同意 |
| 3.假如,学术期刊在收集您的个人信息后,通过技术手段对数据进行去标识化处理,去标识化处理的信息将无法识别主体。对此,您是否同意,对这些已经去标识化的信息,学术期刊有权使用,并在不透露您个人信息的前提下,有权对用户数据库进行分析并予以商业化利用? | 2.867 | 偏向于不确定 |
| 4.您是否同意学术期刊在他们的出版物上公开作者的出生年月、性别、籍贯、照片等个人信息? | 3.468 | 偏向于不同意 |
| 5.您是否同意,作者的学历、学位和职称高低与论文质量好坏有必然联系? | 2.705 | 偏向于不确定 |
| 6.您是否同意,为了加强读者和作者的联系,学术期刊有必要标注作者愿意公开的联系方式,比如电话、邮箱或通讯地址? | 2.802 | 偏向于不确定 |
| 7.您是否同意学术期刊能够依法保护好收集到的您的个人信息? | 2.149 | 偏向于同意 |
| 8.您是否同意,学术期刊在收集您信息之前,已明确告知其收集、处理、利用个人信息的目的和范围、您个人信息可能移转何人以及不提供个人信息时对您个人权益的影响? | 2.01 | 偏向于同意 |
该问卷描述性分析结果体现了作者对期刊收集和著录行为的理性态度。正如有学者认为,理性人注重信息主体对信息的自主支配、自主决断和自己责任[3]。其表明了作者相信期刊收集个人信息的目的性合法、保护措施得当且已尽告知义务。同时,多数作者又不同意公开诸如出生年月、性别、照片等信息,体现了作者与期刊的对立。然而作者也只能因市场地位的不对等选择妥协,进而丧失信息控制权。且上文实证分析显示法学类CSSCI来源期刊对职称和学历著录较为热衷,同时或单独著录该二项信息的期刊有20种,高达86.96%,这与本问卷调查显示的作者“偏向不确定”学历、职称高低与论文质量好坏有必然联系的结果并不吻合,可见作者对这二项信息的收集带有一定排斥心理,这无形中减损了作者信息被收集时的“同意自由”。
3)相关性分析
针对作者的学籍状态“本科、硕士还是博士”与其他问题进行相关性分析,发现其与“问题3”的相关系数值为0.123,并呈现出0.05水平的显著性,说明二者存在正相关性,即作者学历越高、专业性越强,越不同意学术期刊处理去识别化的个人信息。实际上,受法律保护的个人信息应具身份的可识别性,根据我国《网络安全法》第76条第3项规定,个人信息“包括自然人姓名、出生日期、个人生物识别信息、地址、电话号码等可以单独或与其他信息结合以识别个人的信息”,所以去识别化的个人信息严格意义上已经不再受法律保护。这种调查结果的出现,体现了作者没有随着学历的增加而对学术期刊的个人信息处理方式更加信任。
3.2 作者个人信息保护不足的原因
3.2.1 个人信息收集泛化
从实证分析看,有8种法学类CSSCI来源期刊收集项数小于或等于著录项数,说明学术期刊并不需要那么多作者信息。从问卷调查结果看,多数作者倾向不同意公开如年龄、性别、照片等信息,因为这不仅涉及隐私,而且与文章发表无显著关联;在职称和学历背景的态度上,作者态度倾向“不确定”。且笔者发现期刊呈现出对手机号码、职称、性别信息的偏好,但是,作者信息的真正价值是便于编辑、读者与作者进行交流[2]。
3.2.2 与《网络安全法》明示原则有差距
《网络安全法》第41条要求信息管理者“明示收集、使用信息的目的、方式和范围”,尽管调查结果呈现出作者对期刊能保护其个人信息的信任,然而作者“偏向不确定”是否同意期刊处理已经匿名化或者去标识化的个人信息又体现这种信任的不彻底。作者“偏向同意”期刊“已明确告知收集、处理、利用个人信息的目的和范围”,实际上仅有《当代法学》《法制与社会发展》在其投稿官网上提供了隐私保护政策,其余期刊都未履行告知义务。且该隐私保护政策没有明确收集个人信息的目的、范围、方式,没有述及个人信息如何使用,也无详细的信息安全保障声明。同时该隐私政策显示信息收集主体为“文章阅读网”,疑似作者进行注册时的信息是由信息中间商收集。若如此,信息中间商是否向作者披露过信息处理情况?作者对信息的知情权、更正权、删除权如何落实?为未可知。
3.2.3 同意的正当性有待加强
《民法总则》第111条强调个人信息“不得非法收集”,并未限制“合法收集”,其符合个人信息作为权利客体可自由处分的特性。从调查结果看,作者偏向同意期刊地毯式地收集个人信息,却也希望该信息收集应经其同意或符合正当目的。因为收集范围、目的、方式的笼统化、模糊化,所以在对某些与个人工作和生活更密切的信息上,作者并不愿意公开。可见,作者为投稿而进行个人信息注册时,其“意思表示”不完全自由,作者并不希望学术期刊收集太多个人信息,为了发表论文却又不得不选择妥协。在缺乏“完全自愿”的情境下做出的“同意”是否有效,需立法予以明确。
4 作者个人信息保护的策略:最小化、多层次、分领域
4.1 遵守“数据最小化”原则
“数据最小化”来自欧盟《通用数据保护条例》第5条的规定,其要求只采集能够实现初始目的相关和最小化数据。为保护作者信息利益,建议期刊只收集与论文交流、著作权保护等单项业务的必要信息。根据问卷调查结果以及法学类CSSCI来源期刊著录的高频率的作者信息,笔者认为可以把作者个人信息分为三类,第一类是和发表论文直接相关的信息,包括姓名、单位、部门或院系、通讯地址、邮编;第二类是和发表论文不明显相关的信息,包括所在学科、所在领域、研究方向、擅长领域、个人简历、学历、学位、毕业院校、专业、职务、职称等虽能影响论文质量判断与交流,但没有数据能证明其与论文质量具有显著相关性;第三类是和发表明显不相关的信息,包括性别、民族、出生日期、籍贯、地区、社交账号等。
而收集顺序可为概括收集、个别收集。作者在投稿平台进行注册时,学术期刊只概括收集与发表论文直接相关的信息,这也符合论文匿名评审的趋势,如需初步交流,编辑可直接借助投稿系统。当论文需修改或拟录用后,再针对个别作者收集研究方向、擅长领域等与发表论文不明显相关但又能提高论文影响力的信息。“研究方向是作者潜心钻研或最有作为的专业细分领域。标注研究方向可以增加读者对作者及其文章的了解。”[4]
4.2 采用“多层次告知”方式
“多层次告知”方式为欧盟资料保护工作小组于2004年11月提出,表现为隐私保护政策的告知方式可包含三个层次。第一层次为简短告知,内容包括信息控制者的身份、信息收集、使用、处理目的;第二层告知为浓缩告知,包括信息控制者的名称、信息处理的目的、信息接受主体或信息接受主体类别、回复与否属于强制或自愿以及未回复的可能性后果、信息转移给第三方的可能性、接近权、修改权、反对权、个人信息主体可享有的选择内容。第三层次为全部告知,即法律所要求的所有信息。[5]
“多层次告知”的优势在于作者根据自己需求在最短时间内了解自己的信息将被谁收集、怎么使用。这与笔者提出的作者个人信息“概括收集、个别收集”出发点是一致的,既保护作者对信息的控制利益,又能缓和其与学术期刊在信息不对称上的对立,减轻学术期刊的负担。“用户如果要控制个人信息,应该理解其选择会产生的影响,同时有能力对信息是否披露进行控制。”[6]实际上告知的困难不在告知的形式,而在内容的晦涩难懂,有学者指出,作者几乎很少花时间浏览网站事先拟定的“隐私权保护政策”[7]。在具体执行上,学术期刊可制定三个层次的隐私保护政策,在投稿平台上作者注册个人信息时使用“简短告知”,在需要进一步补充个人信息时由作者自行选择阅读“浓缩告知”或“全部告知”,并进行风险提示。并且建议隐私保护政策的呈现和表达按照欧盟《通用数据保护条例》第12(1)条的要求,即采用“简洁、透明、易于理解的且容易获取的方式”,并使用“清晰、直白的语言”。
4.3 强调分领域的“同意”
事实上,从问卷调查中我们发现,作者对学术期刊的信赖是有限的,因为地位不对等,他们在缺乏明确告知的前提下只能同意无偿交付部分个人信息,又因为个人信息控制权的丧失而不愿意学术期刊无限收集。作者担忧的并不是如姓名、单位等与论文发表直接相关的信息被公开、使用,而是超出个人意愿的带有隐私利益信息(如性别、照片等)的公开,该行为不符合作者对信息合理使用的期待,并且作者潜意识担忧信息去识别化会存在风险。这是因为学术期刊没有认真履行“同意”义务,从而引发作者的不安全感。
尽管有观点认为“适用同意原则会阻碍信息自由流通,降低个人信息的经济价值”[11],笔者并不否认数据宽泛收集下出现这种情形的可能,因此在既保证作者的隐私利益又能促进信息流通的条件下,可借鉴德国司法实践,其“将受保护的人格领域分为个人领域、隐私领域和私密领域,这三个领域受保护力度依次增强”[12]。学术期刊收集的作者个人信息并不涉及私密领域,故所需保护的人格领域范围为个人及隐私。个人领域范围主要包括姓名、单位等公开不会影响作者工作和生活的信息。隐私领域则主要指限制他人接近自己的范围,包括照片、手机号码、社交账号、身份证号等会对作者工作和生活产生影响的信息。在具体执行上,笔者建议,个人领域的信息处理侧重在告知阶段的同意,此优势在于如果因为公共利益超出收集目的的信息使用无须再征求同意,既保证了作者的控制利益,也扩大了信息操作的空间;而涉及隐私领域的信息侧重在处理、利用阶段的同意,此优势在于保证作者的隐私利益,如作者拒绝同意,则不进行处理和利用,以使在不同利益权衡时更侧重对作者这种私法主体的保护。
5 结语
本文对作者个人信息收集的不规范与潜在风险的关注,目的不是阻止作者个人信息的流动,而是借助这只五脏俱全的“小麻雀”去观察数据时代里的信息变幻。对作者个人信息处理不足的分析,实际也是数据时代信息流动面临的难题。笔者无意于提出诸如立法的建议,却希冀能够寻找到平衡各方利益的技术策略。过分强调作者的信息自决权,或者放纵学术期刊的无原则收集,于作者个人信息的良性发展并无裨益。
参考文献
Opinion on More Harmonised Information Provisions
[EB/OL]. [
Necessary but not sufficient: Standardized mechanisms for privacy notice and choice
[J].
The failure of mandated disclosure
[J].
A European perspective on data processing consent through the re-conceptualization of European Data Protection’s looking glass after the Lisbon Treaty: Taking rights seriously
[J].
Introduction: Privacy self-management and the consent dilemma
[J].
