[author]肖梦黎
[content]
一、数字化生存与“量化的自我”呼吁适应的规制要求
大数据与互联网时代,我们时刻被暴露在“第N只眼”下,百度监视着我们的搜索习惯,淘宝窥探着我们的购物习惯,而微博微信似乎什么都知道,我们生活在一个充斥着指
纹识别、视网膜识别、虹膜识别、人脸识别的智慧城市中,各种智能穿戴产品把我们的心跳、脉搏、位置随时随刻上传至云端。每个个体都自然不自然地构成了一个量化
的自我。我们的生存方式被数字化了,大量关乎个人的信息充斥在不同的场域中,甚至会随着情景的变化而“回放”被二次甚至多次呈现。
越来越透明的个人对应的却是愈发隐蔽的权力行使者,也就是数据掌控者。我们无从得知自己的信息被谁搜集,不清楚这些信息在市场中如何流转,更不得而知最终的信
息使用者究竟是何方神圣。唯一可以追溯的似乎就是有些网站在登录前需要我们确认的长达几十上百页的隐私声明,但是对于普通公众而言,似乎除了点击“同意之外”别
无他法。
与个体保护个人信息的无力感相对应的则是完善、有效的规制系统的建立。只有依赖制度建构的力量才能使得“透明化的个人”在大数据时代获得安全感。而在一套不同主
体参与的规制系统设计完善之前,首先需要厘清规制的客体,分清楚相关的概念。在立法对个人信息保护问题的回应上,无论是欧洲法模式下的《数据保护通用条例》
,还是美国法模式下的《消费者隐私权利法案(草案)》,抑或是2017 年10 月1 日生效的我国《民法总则》都做出了及时有效的修正。本文以上述法律文本为依规,结
合国家标准、行业标准与法理学基础理论,对规制系统内的基础概念作出明析。
(一)规制的客体:隐私权还是个人信息权
在讨论个人信息保护问题时,究竟客体是隐私权还是个人信息权,一定程度上比较含混。美国法模式从1974 年的《隐私法》发端,自然没有更加明确地界分。欧盟的认
定也不十分明确。仅有德国法律学者将“信息自决权”认定为与隐私并列的一般人格权内容。我国刚刚施行的《民法总则》在第111 条单独列明了对个人信息的保护,将其
与隐私权分别列明。
区分隐私权与个人信息,是因为个人信息权与隐私权涵盖的范围并不相同,如若使用同一个概念指代,可能发生规制客体的缺漏。而之所以有必要区分隐私权与个人信息
权,则是因为二者在客体上存在交错性,在侵害后果上具有竞合性。但隐私权与个人信息权仍然有鲜明区别,隐私权主要是一种精神性的人格权,其财产价值并不突出。
个人信息权则是一种集人格利益与财产利益于一体的综合性权利,因而与消极的、防御性的隐私权不同,是一种主动性的权利。权利人可以对其进行积极利用。就损害后
果而言,隐私的披露是不可逆的,无法通过“恢复原状”等方式加以救济。但是个人信息却可以被反复利用(如电话号码、身份证号),从而造成多次侵害,而且对个人信
息的侵犯可能造成“大规模的微型侵害”。
个人信息权最为重要的特点是以“数字化”的形式被记载下来,且具有“身份识别性”。正如法律学者将其称之为“信息自决权”那样,个人信息权主要涉及对个人信息的知情权
、支配权和决定权。而设置隐私权制度目的则在于防范个人秘密被非法披露。因而我们在讨论个人信息保护规制系统时,对应的客体应该是个人信息权。
(二)个人信息的概念、分类与传播全过程
我国在包括《民法总则》等一系列规范文本中,对个人信息概念的认定主要突出“个人信息的可识别性”,这与欧盟《数据保护通用条例》中“能够直接或间接识别特定自然人
”的表述一脉相承。而美国的《消费者隐私权利法案(草案)》则提出了适用度更为广阔,且更加切合时代特色的定义———个人信息是指“能够连接到特定个人或设备的信息
”,诸如邮箱地址、身份证号、电话号码、指纹,并且能够以合理方式连接到上述信息的也归属于个人信息范畴。
而对个人信息的分类也伴随着产业发展、技术进步与认知水平的提升而不断变化。最初对于个人信息与非个人信息的区分是静态的、粗疏的、含混的。近来有学者将个人信息
划分为三个层次,分别为私人隐私信息、个人间接信息与加工信息。私人隐私信息包括犯罪记录、指纹信息、人脸识别等。个人间接信息则指代需要经过分析加工后方可定位
的信息类型,诸如聊天记录、行走路线以及购物信息等。而加工信息则指经加工后很难再识别出的个人信息,这类信息“匿名化”,不再与原始主体一一对应,从而很难加以追溯
,比如大数据分析报告中生成的数据库等。
个人信息在被不同主体使用、传播的过程中仍然可能发生性质上的变化。比如信息收集者采集的个人间接信息经由数据处理后成为了加工信息,而数据中间商通过技术将其还原
,重新识别出“特定的主体”,又变为隐私信息与个人间接信息。在大数据时代多元信息主体存在的情况下,数据控制者与数据处理者难以分辨,数据的流传不可避免。于是在个
人信息保护的规制体系中,需要关注数据从收集、存储到使用的传播全过程。
(三)规制及规制框架的相关概念
一个完整的规制系统包括规制的制定、规则的交流与知晓、规则的实施与监督、对违规行为进行判决、制裁以及评估等一系列程序。大数据背景下对个人信息进行保护的规制是一
个多机构共同作用的复杂系统。“规制”概念的使用旨在说明这一过程受到政策、政治与制定法间互动的多重约束,是多主体参与的,与市场体系相对应的,最终由“公共机构针对社
会共同体认为重要的活动所施加的持续且集中的控制”。选择规制而非监管、行政或者立法等概念是因为大数据下个人信息的保护需要多种规制工具共同作用。另一方面,互联网数
据领域相关法律的不完备引发了剩余立法权与执法权的分配问题。对这一问题的审视需要将政策、政治与法律纳入统一视域,从程序性到实体性进行全过程考量,进而对这三个重
要变量进行有效处理。对大数据背景下个人信息保护的整个规制过程包含了理念的确定、规制工具的选择与组合、以及规制的评估与分析。
二、从“知情同意”+“目的明确”到以“场景”+“风险”为检验标准
(一)现有规制框架遭遇的挑战
个人信息保护遭遇的困境恰恰是原有规制框架面对社会情势变化的不适应。“知情同意”原则的基础在于用户接受网络服务时需要阅读冗长晦涩的隐私声明以作出行动选择,而用户如
果不点击同意就无法获得相应的服务。一方面隐私声明的技术性与长篇幅给用户带来了沉重的阅读负担,用户很难真正知晓其内容;另一方面,其结果实际上架空了用户对个人信息
的控制权。当然在我国,以“知情同意”为基础的规制框架还会遭遇更为基础的规制困难问题:网站是否已经准备了足够明确清晰的隐私声明?比如作为BAT 巨头之一的百度首页就没
有显示隐私声明的相关文本,而且国内网站在信息存储的时效性、用户权利(主要包括个人的信息访问与修改权;广告选择权;Cookies 选择权)、以及如何与第三方进行信息共享
等问题上都缺乏清晰明确的规定。而国标GB/Z 28828- 2012《信息安全技术公共及商用服务信息系统个人信息保护指南》规定的“目标明确原则”与“最少够用原则”也在适用过程中遭
遇到越来越多的挑战。正如第一部分已经阐释的,新的规制框架需要考量个人信息从搜集、存储到使用的传播全过程。
如果静态的适用该原则(即信息使用与传播不得违背用户的最初目的),后续的信息利用者就寸步难行,产业的发展繁荣也就难以被期待。更重要的是现有框架下个人信息数据的最
终使用者很难被追责,“目的明确原则”究其实质是给数据搜集者施加了过重的负担。
(二)转向以“场景”与“风险”为依规的新规制框架
原有的规制框架忽视了技术发展的迅速性与传播场景的可变性,从而无法在保护个人信息安全与推动产品发展的两种价值间找到平衡点。近来欧盟刚颁布的《数据保护通用条例》与
美国《消费者隐私权利法案(草案)》则提供了一种建立新型规制框架的可能性。这两部新法规将以“用户知情同意”为前提的统一标准转化为在具体场景中以个案的风险衡量为判定原
则。“场景”意味着从用户的期待与接受程度出发,而不是一味秉持“原始目的”的僵硬标准。信息场景被用来代指影响用户接受程度或对个人信息利用敏感程度的因素:“对个人信息进
行原始收集时的具体语境应该得到尊重,其后续传播及利用不得超出原始的情景脉络。”另一方面,新的规制框架特别强调需要对个人信息的使用进行“隐私风险评估”,针对不同的风
险级别确定信息使用机构的相应义务。“隐私风险评估”根据风险程度个人信息进行新的划分,进而对传统个人信息分层理论给予修正与补充。《数据保护通用条例》就将个人信息的风
险程度分为高中低三级,风险等级“高”时,机构需要向用户提供增强型的告知机制,并且配置“择入”的控制手段(即用户必须明确表示接受,才能视为同意)。
(三)新型规制框架遭遇的实施困境
欧盟与美国提出的个人信息保护新型规制框架较之以往静态的、僵硬的标准有了长足进步,但就其实施效果而言,会不会只是看起来很美尚有些不得而知。“场景化”的规制框架需要在
个案中对个人信息“合理使用”的指标进行动态评估,其核心问题在于场景化的个案分析中,由哪个主体依据何种标准适用何种程序,也就是由何种主体进行隐私风险评估与判断;这种
判断基于什么样的实施细则;具体行使依照何种流程?
《消费者隐私权利法案(草案)》还仅是一部政府讨论稿草案,欧盟《数据保护通用条例》虽然已经正式颁布,2018 年5 月才生效,实施效果尚未显现。这无疑给我国互联网产业的发
展提供了一个绝佳窗口期,如何把握这段时间制定出一部既有利于繁荣大数据与互联网等行业的发展,又能有效对公民个人信息提供保护的新型规制系统正是本文讨论的本义。
三、如何实现我国语境下个人信息保护的更优规制
在对规制过程进行分析时,应该将政策、政治都纳入考虑范畴,并且以现有法规作为约束条件。首先是就个人信息保护这一规制领域做出市场性分析,即市场产生的结果(数据传播全
流程可能的致害结果)与其他价值(包括保护人格权或者数据的财产权等社会价值)是否一致?还要考虑什么样的规制手段(制度与工具)能让市场与社会效果更契合。可以从规制工
具箱里选取一个或几个组合型的规制手段试用,并评估审定比较该组合与其他规制手段的效果。
(一) 规制理念的明确与细化
大数据时代对个人信息保护的规制政策选择其实是一种国家利益、产业利益与个人利益相互平衡的结果。美国规制模式与欧盟规制模式就是积极利用与消极限制的典型代表。美国控制
着世界规模最大的数据出口与数据入口,自然会从产业利益出发建立较为宽松的个人信息保护政策。欧盟因在该轮互联网经济发展中未占前位,便秉承着“No Privacy, No Trade”的数据
保护政策,尤其对其他国家在欧盟领域内的数据使用施加了非常严格的限制。基于这种立场,我国在规制政策的选择上也应该将相关产业利益的发展纳入考量范围,一方面有效地对个人
数据信息给予保护,另一方面继续巩固互联网产业优势地位,在该轮产业升级中真正实现“弯道超车”。
在规制理念的选择上,应该充分肯定与吸取欧盟《数据保护通用条例》与美国《消费者隐私权利法案(草案)》中提出的以“场景化”与“风险管理”为依规的新理念,将传统的“目的限定”转
化为“尊重场景”“收集与利用限制”并重的双重限制原则。这种规制理念既关注用户在具体场景中的隐私期待,同时又赋予用户对个人信息更大的控制权,一定程度上解决了“知情同意”框架
下用户控制权虚置问题。但是正如联邦交易委员会委员柏瑞尔所言,这一规制框架对于业界制定后续实施细则的过分依赖是否影响其规制效力的发挥?换言之,就是具体的个案评估很难依
靠统一的政府立法予以实现。新的规制要求私人企业与行业自治机构针对自己所在领域进行个性化的标准及规范制定,并将“场景化”与“风险管理”纳入日常考核。既然新规制框架提供了美好
愿景,接下来应该考虑的就是如何从规制工具箱内选取合适的规制工具进行组合,制定一套适用于我国具体社会情势的规制系统。
(二)规制工具箱
应对保护个人隐私与繁荣互联网产业之间的冲突,至少有这样几种可能的解决方式,一是对涉及侵害个人信息的行为提起民事诉讼;二是由互联网行业协会进行自我规制;三是由立法部门进
行新的立法以及设定专门的行政机构进行监管。如果将个人信息的保护纳入民事诉讼范畴,或可将个人信息权认定为一种人格权(我国《民法总则》中可以找到对个人信息进行消极保护的依
据,但尚未将其认定为人格权的一个子类目;或创设一种关于个人信息的财产权;或通过侵权法获得救济。民事诉讼的优势在于通过个案建立个人信息保护标准,保障灵活性;同时司法裁判
可以避免立法程序中存在的利益团体游说等问题。但需要注意的是适用民事诉讼解决个人信息保护问题劣势也很明显,一是由于隐私类案件非常个人化,法官倾向于排除集团诉讼,只能一次
解决一个案件;二是考虑到网络交互的复杂性,许多信息在尚未获得充分保护前就需要被迅速裁决;加之每个个案均是在特定情境下裁判,裁判方式可能导致不同管辖范围内的裁判尺度与权
利认定存在一定程度的不同,从而产生一定的寻租空间。再者民事诉讼会导致交易成本的提升,互联网企业为了防止被拖入漫长的诉讼过程,就需要事先与每一个访问者构建沟通框架,从而
增加了企业的负担。
让我们将视角投向互联网企业或者行业协会就个人信息保护问题发起的自律规制。自律规制的概念有很大的解释空间,对其的认知主要分为三类。一类认为自律规制是对政府规制的替代,即只
要达到预期的规制效果,就可以基本排除国家的参与,是一种自主模式。一类认为自律规制中存在一定程度的政府参与,一般是由政府向自律机构授权或者政府对自律规制的过程保留一定控制
权。第三种是混合式的,即政府与自律机构协同规制,以达到单独一方无法实现的规制效果。从上述概念可以发现,采用自律规制并非政府全然不参与规制过程,许多自律规制本就是由政府发
起,或者政府也是一方参与者,抑或是政府作为公民权利保护的最后屏障,甚至有时候政府就是规制的前奏。自律规制的真正意涵在于被规制主体自己设计规则,并且自己执行这些规则。当前
,自律规制在个人信息保护中正承担着越来越重要的作用。
互联网是一个去中心化的组织,其超越国界的适用范围与技术性依赖路径都非常适宜于自律规制。就其互联网的交互性本质而言是基于同好者之间的平等交往,而技术性的框架与可广泛获得与
利用的各类资源也使政府无法对其施加过多规制。甚至于因特网本身也可被看做是一个巨大的自律规制系统,因为从属于其中的任何机构都缺乏足够的强权来控制该系统。
更为重要的是,互联网企业为了营造一种积极的客户形象,也会有强烈的动机来保护个人隐私。而针对个人信息保护展开的企业间或者行业协会层面的自律规制不仅要制定相应的技术规则、准
入条款,还包含在行业内建立集申诉、查验、评估、争端解决及制裁措施等为一体的配套机制。
最后一种规制工具则是行政性的,即设置专门机构对互联网领域的数据与个人信息保护进行监管。监管部门可以发布行政法令,对相关企业进行处罚,并且倡导和引导企业进行自律规制。美国
联邦贸易委员会就曾于2009 年发布了一份关于网络行为广告自律原则的报告,要求互联网公司在浏览器中添加一个“请勿追踪”按钮,从而使消费者可以自行选择是否接受行为定向广告。
(三)新型规制系统的设计
既然存在着上述四种规制工具,如何对其进行选择,找出适用于我国具体社会情势,并且能够促进互联网产业发展的规制组合就成为本文尝试解决的一个重要命题。本文提出可以结合自律规制与
制定新的立法,给我国个人信息保护建立一个基础的规制框架,继而成立专门行政监管机构与设置合适的司法准入门槛予以配合,以达到最好的规制效果。
基础性规制框架的建立需要政府将保护个人信息的立法意图公诸于众,设立一年左右的时间节点。在此期间,互联网公司可以提交自己的政策方案,立法机关在对各种方案进行利益衡量与比对分
析后,从中选择一种作为基准标准在全国推广。新规制框架结合立法与自律规制双重优势,一方面提供全国性标准,并且在执行力量上由政府给予保障;另一方面又能充分享受到自律规制的灵活
性与专业性。
该规制框架的制定路径可以保证广泛的行业参与,并有效规避寻租空间。国家认可的基准标准施行后,各公司需要按照标准对自行制定的政策进行修订。隐私标准较低的公司会付出更高成本,从
而给被采用标准的公司(较高隐私保护程度) 一个短期的获利空间,这样就为各种互联网公司提供了一个较为强烈的参与动机。在窗口期里,互联网公司会互相竞争自己的隐私保护标准。最终被
采纳公司设立的标准越高,其他公司就会遭遇越大的损失。鉴于公司会参考自己的盈利空间来制定相关标准,因而该政策的出台并不会对互联网商业模式造成太多负面影响。对于政府而言,该标
准的制定源自于专业建议与透明的政策竞争,产生过程规避了企业间串通制定较低保护标准的可能性。
另一方面由于互联网行业的特性使然,如果最终采纳的保护标准过低,明显就会有利于后进入市场的企业,使其得以从现存的互联网企业中抢夺市场份额。同时,还需要另外设置一个行政监管部
门,在基准标准上衡量企业的规制政策,针对不同类型的科技公司就具体适用标准与适用范围做出相应调整。也可以针对互联网企业的违法违规行为或者是临界行为提供不同的处罚与制裁方式,从
而形成一个较好的反馈系统。与此同时,如果行政监管机构与立法无法及时对个人信息的侵权行为做出回应,个体仍然可以通过民事诉讼方式获得相应救济。可以在我国现有保护个人信息的法律体
系基础上,将个人信息保护确立为一种与隐私权并列的人格权,从而可以在《民法总则》中找到权利依据。以《宪法》《刑法》《民法》与相应的诉讼法形成一个基础法律框架,吸纳《未成年人保
护法》《妇女权益保障法》《消费者权益保护法》中关于特定人员群体的个人信息保护规定,结合《网络安全法》《中华人民共和国电信条例》《互联网信息服务管理办法》等关于电信行业和互联
网领域有关于个人信息保护的基础性规定,以及《居民身份证法》《社会保险法》《传染病防治法》等其他专门领域保护个人信息的法条,形成一个网状法条群,使权利人得以有效地利用诉讼机制
获取救济。这样大数据领域内对个人信息进行保护的规制系统就形成了一个环状的包含反馈机制的结构。一旦某一规制主体规制不能,或者某一规制环节出现滞碍,其他形式的规制手段就可以补充
修正,确保个人信息保护的规制系统平顺有效,从而形成一个良性的规制循环。