【作者】胡凌
【内容提要】
*胡凌
北京大学法学院副教授
摘要:随着现有个人信息保护制度的完善,相关研究需要转换思路,在三个维度加强制度性分析。首先,深化讨论个人信息的公共性面向,需要以某种制度安排更为有效地实现公共利益功能,而非实现单纯的私人利益秩序。其次,这些功能不仅反映在个人信息的处理过程中,也反映在个人信息的生产和创制过程中,由此有必要将个人信息生产同更大的社会政治经济变化背景结合起来进行理解。第三,在方法论上超越场景化路径,采用功能视角进行分析。我们要看到个人信息的使用需要满足和解决数字市场和数字社会形成发展过程中的核心问题,确保数字要素有序流动,市场秩序安全稳定。个人信息的公共性体现为数字市场和社会中的认证、连接和声誉功能。这一视角不仅涵盖狭义上承担公共职能的机构生产的政务数据的开放问题,也从整个互联网有效生产和运行的角度追问,当信息技术塑造了新型数字市场和社会时,使其有效运转的公共信息机制是什么。
关键词:个人信息;功能;流动性;基础设施;公共性
引言
第十三届全国人大常委会第三十次会议表决通过的《中华人民共和国个人信息保护法》(下文简称《个人信息保护法》)涵盖了个人信息从收集到利用的整个处理过程的规范,将个人信息保护水平提升到新高度。从制度衔接上看,《个人信息保护法》也部分整合了《中华人民共和国民法典》(下文简称《民法典》)关于处理个人信息行为规制的相关内容。目前,相当多的研究主要围绕个人信息的法律属性、如何实现更加充分的知情同意与对个人信息的处理使用、在不同场景中(如突发公共事件)如何保护个人信息、特定种类个人信息(如生物信息、行踪信息)的保护等内容展开。从合规角度看,该法约束的是拥有相当数量用户的网络服务提供者,而非日常生活中依靠社会规范进行的简单信息交换行为,尽管前者很容易以加强形式法治的名义提升后者合规成本。类似地,如果我们过于看重个人信息保护过程中的个人权益维度,忽视其他利益主体的声音与地位,就会或多或少地无视个人信息的正外部性,即整合起来能够促进公共利益的信息生产与处理活动。
现有研究在思路上存在一些空白。首先,它们十分关注个人信息的财产权利面向,特别是在个体用户与数字平台之间如何有效利用个人信息的问题。例如,它们十分关注个人信息如何能经过“去标识化”被处理成为平台企业有能力控制和收益的财产性要素集合,并成为企业数据权的一部分,而较少讨论个人信息如何通过满足公共利益需求的方式被加以利用。实际上,个人信息的生产和处理过程融合了相当多的公共性因素,不完全是一种仅存在于私人主体之间的法律问题。不仅特定种类的个人信息的生产起源于公共机构,其处理过程也需要尽可能地回应数字环境下的基础设施服务功能。
其次,偏重于私法层面的聚焦于个人信息处理行为规范的视角更倾向于将个人信息看成是一种给定的客观存在的客体,似乎法律只需要关注收集环节以后的行为规范。换言之,现有的制度设计和研究较少关注个人信息的生产和创设过程。鉴于互联网的兴起和繁荣在相当程度上依托于个人信息和其他要素的生产与再生产,故而这一“前置”环节所体现的权力关系和法律关系对后续个人信息处理环节的规则和权益分配有着一定程度的影响。有意思的问题是,如果某种个人信息在被创设出来的时候具有多重而非单一使用功能,那么法律在多大程度上需要在信息处理过程中体现其原初价值和功能?传统观念认为,如果个人信息可以通过自由授权许可他人使用,在一个抽象的自由市场中就可以经由流动实现其最优配置。这种观念不仅不符合数字市场出现之后的客观实践,也基本无法说明如何实现公共利益。事实上,个人信息仅在概念上关联到个人,并不意味着该种信息的权益也完全归属于个人。例如,通过用户协议授权,零散个人信息的财产性收益会集中由数据控制者(即数字平台)统一处理和分配。类似地,为了某种公共利益,个人信息的使用也可能超越一般性的告知—同意—授权模式。尽管《个人信息保护法》按照欧盟《一般数据保护条例》模式规定了在处理个人信息过程中除了同意以外的若干标准,特别是第十三条第一款的第三、四、六项从公共性角度对公共机关行使法定职责或履行法定义务等进行了规定,但在理论上仍然缺乏关于个人信息和公共利益之间联系的系统研究。
第三,流行的“场景理论”在适用过程中十分模糊。该理论主张个人信息保护规范需要被细化到“情境(context)”中进行分析,这意味着情景无处不在,而且可以就适用场合被无限细分下去,但法律解释从来都基于统一规则进行具体解释,并充分考虑具体场合中的状况和信息,任何一个司法案例或行政执法,都可以解释为具体的场景。此外,这一术语还能指涉不同互联网行业,但每个行业除了业务特殊性外,还具有很多不同的法律关系,难以一刀切。目前这一理论无法清晰界定何为场景,没有能对个人信息保护的理解提供更多新的指引。因此有必要重新思考场景带来的疑问,需要理解某些个人信息为何会被生产出来,在处理过程中对数字经济和社会的发展发挥何种功能,不同功能下的信息处理规范可能会有何种差别。由此沿着场景的观念进一步探索,从诸如展示内容、身份认证、连接匹配和声誉评价等个人信息的社会功能入手,探讨在不同功能下关于知情同意的保护要求有何不同,以及这些功能在何种意义上有利于一个更大范围内数字市场和社会流动性机制的有效形成,进而构成某种必要的信息基础设施。如果没有这些基础功能,整个市场的交易成本会增加,市场秩序也会遭到破坏。与之相关联的问题是,个人信息的生产与处理实践在互联网产生之前就广泛存在,并在某些制度设计方面有其自主的价值目标和功能。当个人信息作为一种新型要素伴随互联网兴起而被批量生产出来时,我们在多大程度上需要回到特定信息生产的原初逻辑,理解该种要素在使用过程中服务于何种目标(这些目标可能与当下个人信息使用规范相互契合,也可能相互冲突)?
综上,本文的研究将针对上述三点进行回应和展开。首先,深入讨论个人信息的公共性面向,需要以某种制度安排更为有效地实现公共利益功能,而非实现单纯的私人利益秩序。其次,这些功能不仅反映在个人信息的处理过程中,也反映在生产和创制过程中,由此有必要将个人信息生产同更大的社会政治经济变化背景结合起来理解。例如,特定种类的个人信息实际上起源于国家的认证需求。第三,在方法论上超越场景化路径,采用功能视角进行分析,即看到个人信息的使用需要满足和解决数字市场和数字社会形成发展过程中的核心问题,确保数字要素有序流动,市场秩序安全稳定。例如,人脸信息属于敏感个人信息,但需要看到其承担了重要的认证功能,是社会身份制度的一个主要组成部分和延续,因此,强化相关保护在多大程度上会阻碍此类信息的生产和使用就会成为问题。现有关于个人信息公共性的讨论往往集中在对数字平台私人权力的约束或平台本身公共性质的讨论,本文希望从基础设施等系统性功能视角对何为个人信息的公共性进行再讨论,它不仅涵盖狭义上承担公共职能的机构生产的政务数据开放问题,也从整个互联网有效生产和运行的角度追问,当信息技术塑造了新型数字市场和社会时,使其有效运转的公共信息机制是什么。
上述视角实际上也试图更宽泛地思考个人信息保护问题,即发掘个人信息在何种场景下能够更有效地得到利用,特别是以实现公共利益的方式被使用。本文将按如下顺序展开讨论:第一部分讨论个人信息除了能够汇集成为集合性的展示要素外,更具有基础设施维度的公共性特征,即特定种类的个人信息能够实现认证、连接和声誉功能,这些功能在高度流动的环境下对实现市场要素安全有序流通具有重要价值,也是数字经济价值产生的重要来源。第二到四部分分别对上述三个核心社会功能与个人信息的关联进行分析。第二部分讨论认证功能,即特定种类的个人信息如何被创制出来成为认证手段,从而确保市场和社会主体真实可信。第三部分讨论个人信息如何转化为抽象的网络公共资源,通过连接功能实现资源的优化配置。第四部分讨论个人信息如何通过披露、展示、评分等方式转化为声誉信息,辅助实现对数字市场更为有序的监管。最后,结语部分对本文的发现进行总结。
一、个人信息、数字基础设施与公共性
越来越多的研究认识到个人信息需要被整合起来才能发挥作用,但究竟如何整合、以何种方式发挥功能这些问题却较少得到讨论。现有讨论往往集中在个人信息在通过数据主体的知情同意环节后,为满足数据控制者集中处理的需要而被进行的去标识化处理,从而使数据控制者能够更加有效地展开分析利用。由于海量用户的不断贡献,数据控制者拥有一个较大的公共资源池(commons),如果赋予个人对其生产的信息太强的控制力,则不利于一个公共资源池的形成和整体利用,会形成反公地悲剧。公共资源当然是个人信息聚合形成公共性的一个表现,但我们还可以从信息的功能角度观察其公共特征,在具体数字环境下进一步区分个人信息使用的不同类型。
如前所述,现有个人信息保护立法倾向于将个人信息视为自然生成的或者既有的、固定不变的东西,而“处理”涵盖了从收集、储存到使用的诸多行为,但缺乏对信息创制维度的思考,也就是一种生产性视角的思考。实际上,个人信息是在特定法律关系中不断生产和再生产出来的,其生产和处理都依赖于市场基础设施和特定技术条件,从而不断变得有效率。例如,以往关于数据权属的争议也会围绕相关主体的劳动和技术性投入展开。生产性的视角提醒我们,从定义上看,个人信息仅仅说明某种信息单独或结合起来能关联到特定个人,但至于关联之后有何种后果,对该种信息在生成和处理过程中出现的利益相关方有何影响、如何分配相关权益等问题还缺乏深入探讨。功能视角有助于我们看到不同种类的信息能够达成不同的目标,在不断变动中朝向最终的公共利益的实现。
如果从信息本身特征而言,大致可以将个人信息分为展示性信息和辅助性信息,前者由信息主体生产,由数字平台汇集使用,如视频、文字、图片等,并能够通过账户关联到信息主体;后者则在功能上分为身份认证、连接匹配、声誉评价等核心制度,这些信息对于帮助维护数字经济和社会的有效运转十分重要。需要注意的是,这三类不同功能的信息在互联网产生之前的线下世界中就广泛存在,但只有在数字经济时代才得到重新发掘,具有更大范围内的价值。同时,个人信息大量出现之后,对个人信息保护的强调是否会冲击既有的功能和实践就成了一个问题。例如,传统认证信息在一个更加广阔的数字市场中可能更具有创造性,但同时也对个人信息的使用和保护提出了新的要求:在继续强调认证功能的前提下,如何更好地进行个人信息处理规则的设计?又如,传统社会中对社会主体的声誉评价一直存在,但只有在高度流动性的社会和市场当中,我们才需要基于个人信息且能将个人信息转化为数据产品的大规模社会信用或声誉评分机制,以满足现实生产和控制过程的需要。
从一个抽象层面讲,互联网在中国二十余年的商业化实践本身促成了市场和社会的重塑,也就是重新将隶属于不同生产组织和网络中的生产要素抽取出来并在更大范围内重新调配,形成稳固的新型交易与合作网络。在这一过程中,生产要素脱离了既有环境,欲使其在一个流动性更大的平台中实现价值,就需要一整套数字基础设施和信息系统配合实现这类流动过程。数字市场并非在真空中自然形成,而是依托既有生产网络和基础设施协同推进和演化,并需要各类辅助性机制提供支撑。通常意义上的基础设施功能在于确证市场参与主体的真实唯一身份,实现资源有效匹配,并确保要素能够有序安全流动。为实现这些功能,就需要整合进入该市场网络的主体信息加以利用,否则数字市场无法成熟稳定。例如,如果不能确认市场交易参与者的真实身份,就可能出现欺诈、造假、侵权等行为,而真实身份认证在行为架构上实现了最为基本的行为约束,为行动者提供了稳定预期。又如,如果缺乏对市场主体的历史行为的评价,未来就可能出现从事一次性交易的机会主义者,无助于在整体上改进行为主体的行为标准,而评分实际上是对行为主体过往行为与历史的评价,有助于生产要素面向未来进行精确匹配。
从历史角度看,新型数字基础设施至少包括支付、物流、认证、金融、纠纷解决、信用等系统性权力,并形成了制度规范。不同于传统基础设施,它们更多地由私人数字平台逐渐进行开发,并帮助形成规模和网络效应,但是在达到一定市场规模的同时也可能形成反流动机制,限制要素跨平台流动,因此需要经过国家认可和监管。在本文中,公共性主要就体现为这些围绕市场和社会展开的基础设施,即国家为市场要素的有效流动提供系统性支持。后文将具体展示,个人信息在数字经济发展过程中起到关键作用,可以通过展示、数据产品、后台分析的方式发挥其基础设施功能。由于这些功能是维系一个成熟的数字市场生长与扩展的需要,因此需要将个人信息纳入强制收集和使用的范畴,而不简单由个人同意决定,以免产生反公地悲剧。尽管按照目前形式上的用户协议和使用习惯仍然可以在整体上确保个人信息被持续生产出来,但在规范层面仍然有必要明确知情同意以外的合法性来源,使此类信息能够更好地被应用于公共利益。
从方法论角度看,数字基础设施的视角首先是生产性法律理论的应用之一。这一框架主张,我们需要看到技术和商业模式带来的新型生产方式变革如何推动上层法律关系和相关制度的变化。数字市场和社会的形成进一步推动了流动性和集合性价值的生成,但需要在具体治理过程中确保该市场能够平稳运行。数字基础设施的逐渐形成有助于我们更好地理解数字经济想要什么,以及如何通过法律推动实现个人信息的有效利用,服务于公共利益。这一理论框架认为,数字市场和社会的扩展在特定架构中发生,数字架构塑造了赛博空间,并通过账户、数据、评分三个主要机制发挥微观权力机制作用,形成对行为主体的约束,形成一整套完整的生产/控制过程。不难看出,上述数字基础设施的三种信息功能实际上与架构权力三要素一一对应,对此,可以进一步通过生产性法律理论思路展开分析。架构中的要素流动性和数字基础设施是互联网治理中的核心概念,在这一过程中,不仅展示性的数据要素需要流动,认证、匹配和声誉等辅助性要素信息也能够不断流动,成为公共资源的一部分,可以将更广泛的数字市场联系在一起,打通相互封闭的数字平台,这使得此类个人信息的公共性更加显著。
本文的另一个方法论突破在于,帮助将“场景”细化为可分析的要点。如前所述,个人信息的场景化保护理论往往无法识别出特定场合下的核心特征,容易泛化成为包打一切的思维框架,无法分析究竟围绕何种功能要素展开对个人信息的讨论。虽然目前相关法律已经进行了普通/敏感个人信息、重要/非重要信息等区分,但这种传统分类无法加深对不同信息功能的理解。数字基础设施的视角让我们重新理解个人信息的应用场景和功能,这些功能往往具有公共性特征,并内在契合于一个高速流动的网络社会的形成过程。虽然在概念上我们可以分析某种信息是否属于个人信息,但这并不意味着只有个人能够决定该种信息的有效利用,也不意味着该种信息的生产只和个人有关。这有助于我们思考在数字环境下,某种特定信息如何和个人联系在一起或相互分离的法律机制。例如,国家设计和分发的号码只有关联到个人才能形成独一无二的身份认证信息,而且这种认证信息是不断变动的,在后续需要将其他种类个人信息(如生物信息)纳入这一过程的时候,需要综合认识该种信息的优势、技术成本和风险。
最后,这一视角还为保护公民个人信息提供了新的正当性证明。从一个公共视角看,某种个人信息既可能是私人的,也可能是公共的。国家之所以需要对诸如身份认证信息加强保护,恰好是因为此类信息主要是为了国家治理目的而创设出来,要确保该种信息的广泛使用能够更好地实现数字基础设施功能和公共利益,而不是因为它仅仅是个人信息(例如身份证、电话号码或人脸信息)。此外,从成本收益的角度看,个人信息之所以能够转化为具有基础设施功能的公共资源,原因在于其日常生产的成本很低而公共性收益较高,因此,在能够确保大量个人信息稳定生产的前提下,需要进一步考虑的是个人信息转化为公共信息的具体方式和实现手段。例如,在不同的场合下,某种个人信息的使用既可以进行前台展示,也可以通过后台机读方式进行,或者披露一个抽象的数据产品。下文将逐一讨论个人信息将如何转化为具有公共属性的信息服务。
二、认证信息的创设与使用
身份认证信息是一种十分特殊的个人信息,具有普遍性、唯一性和稳定性的特点,这种类型的信息起源于现代国家对主权范围内各类治理要素进行精确管理的需求,是由主权权力创设出来的,不完全归属于个人。对国家而言,主要存在两类可操作的身份标识符:第一种是国家为全体公民统一发放的唯一的令牌或号码,可以做到一人一号。第二种是生物特征信息,如人脸、虹膜、指纹、静脉、步态等。但两者对身份认证的意义略有不同。对前者而言,国家发放的号码代表了主权权力(如统计和认证权力),是现代公民身份的合法性来源,也是他们享有权利承担义务的权威身份凭证。对后者而言,生物特征仅能表明该主体在物理和生物意义上是同一个自然人,尽管技术标准也可能需要国家权威予以赋权认可。身份认证不仅有助于国家的日常管理,也有助于帮助平等主体间相互确认和展示真实身份,甚至有助于基于安全问题进行身份和行为追踪。身份认证信息在功能上就变得十分关键,在传统的交易与社会合作过程中,往往是默认的熟人网络帮助验证参与者的真实身份和背景从而确保安全,但在一个高度流动性的社会中,随着社会主体不断和其他陌生人主体进行交易合作,就需要不断确认对方身份以增强可信程度,这一过程往往将国家创设的标识符加以使用,并随着技术的变化而不断发生变化。例如,早期的身份证在线下主要具有展示功能,但在线上环境中逐渐变成后台机读方式。随着技术的变化,电话号码、人脸、二维码都被逐渐开发出来并纳入这一框架,成为认证基础设施的组成部分。
此外,认证信息除了一般性的个人基础身份标识符外,还包括其他证照、行业资质等广义的认证信息,这对于在电子商务领域里加强国家对市场主体的监管起到重要作用。换句话说,随着数字平台将原来散落在不同组织、网络和环境中的主体通过注册账户的方式纳入更广泛的系统,社会主体原来的次级身份就变得相对不重要,而普适统一的身份信息愈加有价值,而且必须以某种法律和技术方式被利用。一旦特定账户通过实名制方式得到验证,就不仅可以确保该账户的使用者是真实和唯一的,也可以确保在交易过程中的可信程度,有利于数字平台继续识别用户的偏好和多元身份,从而使交易变得安全和可预期。
传统上个人信息大致区分为敏感个人信息和非敏感个人信息,其中敏感个人信息采用列举式方式进行,并在处理程序中得到更加严格的限制。例如,《个人信息保护法》规定,个人信息处理者只有具有特定的目的和充分的必要性时,方可处理敏感个人信息。敏感个人信息是一旦泄露或者被非法使用,就容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息(《个人信息保护法》第二十八条)。基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定(《个人信息保护法》第二十九条)。特别来说,对作为一种特定种类生物信息的人脸信息,在使用过程中需要受到特别约束,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。被收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外(《个人信息保护法》第二十六条)。在一些个人信息保护的行业规范和地方社会信用规范中,实际上已经从这种传统分类转向按功能进行规定,专门将个人认证标识信息与其他个人信息分开。例如,《个人金融信息保护规范》将个人金融信息区分为账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等。《重庆市社会信用条例》规定,自然人公共信用信息的归集以公民身份号码作为关联匹配的标识,无公民身份号码的,以护照等其他有效身份证件的号码作为关联匹配的标识,法人和非法人组织公共信用信息的归集以统一社会信用代码作为关联匹配的唯一标识。
这帮助我们重新反思特定敏感个人信息的起源。从本文的逻辑看,认证信息的创设起源于国家治理,在国家提供公共服务的过程中被不断使用,并希望伴随国家治理能力的提升而增强。如果某种个人信息能够起到优质标识符的功能,就可能会被纳入身份制度。特定个人敏感信息在普遍性、唯一性和真实性维度都具有极大价值,符合成为身份标识符的要求。从这个意义上说,敏感个人信息不仅关系到个人人格,也产生于认证权力以及由此出现的认证技术。认证信息之所以需要得到特别保护,不是因为它属于某种个人敏感信息,而是因为认证信息使用的广泛性提升了该种信息的价值,一旦被泄露或滥用会给正常的公共服务认证功能带来混淆和干扰。基础身份标识符首先应用于国家提供公共服务的场合,如果其他社会和市场主体也开始使用,就会淡化国家的权力效能,超越其原初使用领域,这也是为什么有主张认为生物信息的识别应当设置在关键领域并采取许可制度。按照本文的逻辑,特殊保护的目的主要是增强而非降低特定种类的认证信息效能。由此,敏感个人信息的范围是不断变动的,往往和认证机制紧密结合在一起。
认证信息在早期主要是线下基础身份信息,即身份证号码或身份证件图像,该种信息完全由国家创设,并在公共服务过程中使用。但随着技术的变化,认证信息又是变动的,这意味着国家需要重新在数字环境下创设一整套全新的标识符,或者在现有其他类型的个人信息的基础上加以生成和改造。就前者而言,我国公安部第三研究所曾经尝试研发的eID是一个很好的例子,它是在身份证号码基础上以加密技术手段重新为用户生成作为公民身份的数字标记,并采取了一条硬件层面的发展路径,即将加密数据信息置于手机芯片或其他实体卡证的芯片中,将手机/卡片变成连接自然人主体和应用程序的可信中介。在理论逻辑上,eID更强调国家赋予自然人法定身份标识的前置程序,即“实体社会中自然人身份在数字空间的映射,是自然人在数字空间获取数字服务时代表其主体身份的数字标记的集合”,并清晰地构建了一整套数字身份的技术标准。就后者而言,国家已经认可了这种将电话号码和人脸信息作为新型基础身份标识符的实践,并不断地加以完善。在这一过程中,像生物信息这样的个人敏感信息被转化为认证信息需要考虑诸多条件,例如技术普及成本、数据泄露风险、信息属性普遍唯一等等。由于单一类型个人信息的认证无论如何都存在风险,因此需要多重因子认证。这一视角有助于我们跳出单一的个人信息保护视角,尝试从个人信息生产的其他主体视角思考其价值。个人信息在创制和处理过程中的价值是多重的,既涉及个人人格,也涉及其他主体。本文主张应当首先回到某些个人信息得到使用的基本认证功能下展开讨论,只要在相关收益高于生产此类信息的成本时,就可以思考制度设计降低风险加以利用。
目前,《网络安全法》第二十四条规定,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。在互认过程中,国家实际上能够为数字市场和社会提供超越平台本身的认证服务,有利于生产要素的跨平台流动。但其并未与《居民身份证法》相衔接,也没能系统明确数字身份的法律地位。在此以前,在我国,数字身份仅仅依托《电子签名法》和相关网络实名制法规得到零散规定,因此,有必要从国家顶层设计出发,结合具体技术路线确定全国普遍适用的数字身份法律制度,从而为生物识别等未来新技术找到立法上的正当性。
三、个人信息如何嵌入连接网络
个人信息转化为某种抽象的连接网络信息是第二类实现其公共性的方式。从互联网生产的角度看,要素连接和分发网络起源于传统生产网络和组织,并逐步打破和吸纳这些传统网络。传统网络的形成和个人行为和轨迹有直接关联,构成了人们的生活世界,但经由信息技术扩展的社会网络作为一个整体能够更加快速地生成,将更多的生产要素连接起来,从外部视角看,这无疑具有公共性,是一种数字平台上的基础设施服务。这实际上也反映了网络价值的生成过程,数字平台之所以能够产生价值,是因为网络效应的出现,平台依据连接信息进行精确的匹配,实现安全交易。有了稳定的连接网络,平台可以更好地提供信息,缩短交易流程,提供高质量的信息服务,稳定地积累价值。从这个意义上说,社会网络是一个抽象的集合性权益,能够帮助一般生产要素的使用和流动更好地发挥价值。
就传统而言,在诸如社交媒体这样的应用平台上,社交网络信息往往被认为是个人隐私信息。部分原因在于,个人私密行为和信息往往通过亲密关系链进行传递,处于一种和他人的关系当中,因此需要特定规范对此类亲密关系的性质进行认定,特定私密信息一旦在既有信息网络中“出圈”,就需要通过其他规范性标准(如合同和社会规范)认定亲密关系。但随着社会主体在不同的数字平台上活动日益增多,和他人连接的网络就超越了单一个体的行动轨迹,而成为相对独立的有价值的数据产品,进而脱离了单纯的隐私范畴。
在连接网络的创设过程中,合规的个人信息处理起到十分关键的作用。个人信息处理本身就是一个虚拟身份再创造的过程,平台企业通过为账户设定的各类标签,沿着网络进行内容分发、匹配和推荐,甚至作出自动化决策,引导账户行为。《个人信息保护法》初步提供了两种方式,首先解决个人信息在处理过程中不被精确识别但允许生成连接网络的问题。首先,从用户外部角度看,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定(《个人信息保护法》第二十四条)。其次,从平台内部角度看,平台可以采取相应的加密、去标识化等安全技术措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除(《个人信息保护法》第五十一条)。如果结合前述认证信息分析,不难发现除了认证信息可以直接关联到个人唯一真实身份,大部分情况下个人信息都处于可识别状态,在现有技术条件下绝对匿名化处理很难实现,因此平台需要特定法定理由豁免确保其可以在一定程度上处理个人信息,纳入整个连接网络。目前,除了关联和识别标准,在司法领域也开始出现关于新标准的讨论,即关于特定信息重新结合识别所需的技术成本是否高昂以及评估平台是否有能力利用该信息识别个人身份。此外,如果(第三方)信息处理者能证明去标识化技术手段使得重新标识风险较低,不具备识别特定自然人的能力,也可以进行去标识化处理。
信息网络真正发挥作用的方式是连接,即通过账户之间的访问与交易合作,将不同的社会主体和用户联系起来,无论该种网络是社交媒体网络、购物网络还是其他类型服务的网络,都会继续承载此类价值。“连接一切”曾经成为典型的平台经济意识形态,也成为主张技术中立和算法黑箱不受干预的根源。数字平台上的生产要素看起来是高度流动的,但这种流动实际上是沿着网络和架构流动。随着平台有能力对用户行为通过账户追踪和分析,平台越来越希望用户能够持续稳定地交易,从而使既有联系网络变得更加稳定,事实上起到重要的基础设施功能。和要素公共池类似,此类网络的生成具有某种公共性特征,任何进入这一网络的参与人会潜在地获得更多交易机会,网络也会伴随参与人的活动情况和质量而不断改进。这也解释了为什么掌握连接网络的数字平台的真正价值实际上来源于分发和预测网络。在这一过程中,基础设施更多由私人平台投入相关资源创设,将用户之间的各类关系都转化为有价值的商品,最终成为数字平台有价值的资产,不允许竞争对手非法侵入。从这个意义上说,和认证信息不同,分发网络具有某种依附性特征,依赖于账户行为的变动和要素流动。因此,只要生产要素持续在特定平台架构中流动,平台就可以不断利用该网络进行自动化推荐、广告推送、匹配等行为。这也意味着这种基础设施不太容易进行跨平台扩展,在连接网络达到一定规模的时候就会出现反流动机制,限制要素跨平台流动,使数字平台的边界变得愈加封闭。
相当多的研究主张,中国应当引入源于欧盟《一般数据保护条例》的数据可携权条款,认为这有助于推动基于用户自主选择的数据要素流动。本文认为,推动数据流动的行之有效的方式并不一定是用户主导的携带和转移,因为一旦法律允许个人有权进行特定种类跨平台的数据转移,不仅容易出现第三方开发者模糊取得用户同意、进行大规模个人信息抓取从而破坏市场秩序的行为,还意味着转移的数据容易脱离了既有的价值网络,需要被重新评估价值,这增加了社会成本。因此从后果看,这不一定有利于良性有序的数据要素流动和增值。事实上,基于目前的经验看,基于数字平台合作协议规定的API接口开放进行新型服务开发或者相互进入,都是开放连接网络的具体形式,同时也意味着数据的某种流动和转移。这不仅可以避免数据无序爬取带来的市场混乱,还可以避免对作为副产品的数据进行单独定价,把蛋糕做大。从这个意义上说,较为稳妥的方案可能是允许隶属于不同数字平台的生产要素相互开放进入各自的连接匹配网络,即国家采取措施鼓励特别是大型数字平台及其生态系统相互交换流量和数据,这也是共享数字基础设施的一种核心方式。
四、声誉信息的强制披露
能够转换为基础设施功能的第三类个人信息是声誉信息,也就是特定主体在社会网络中因特定行为而形成的声誉与口碑。这一做法在数字平台商业化之后就被广泛采用,例如电商平台、分享经济平台之上的评分系统不仅可以部分解决传统经济学上的“柠檬市场”问题,还可以帮助推动要素流动,甚至成为灵活劳动过程管理和控制的工具。如果在经典“代码理论”框架下看待,这一过程还意味着,社会规范被社会信用和评分机制取代而逐渐理性化,变成一种新型的社会纪律和规制权力,体现在社会层面就是国家正在推行的社会信用机制。不论是平台评分机制还是社会信用机制,其目标都是为了通过柔性的信息方式对社会主体的行为进行约束,并赋予社会主体的历史行为以特定价值和意义,通过某种统一标准来进行衡量和评估。这些历史行为都发生在经由连接网络的和他人的持续互动、合作与交易过程中,最终潜移默化地影响主体行为,利于逐渐提升整体行为秩序。声誉信息无疑降低了要素流动和交易的成本,与认证信息、连接信息共同成为坚实的数字基础设施。
不难看出,此类声誉信息机制与个人信息生产紧密联系,并需要以特定方式强制披露。这些方式至少包括:其一,直接披露和展示,例如,交通部门拍摄十字路口违反交规人员的图像,进行公共展示,这更多地是传统法律执行中的“羞辱”行为;在统一平台上公布“老赖”个人基本信息,供相关利益主体查询;对违规艺人或主播进行全网封杀;等等。其二,间接披露,例如,建立各类专门数据库(如家暴、学术不端、违反师风师德行为数据库),供特定主体或行业群体以一定程序进行查询。其三,形成数据产品,例如,形成个人征信报告或社会信用评分等数据产品,允许社会主体查询并告知该个人,但不披露具体行为,等等。如果按照传统思维,根据平等主体之间的个人信息知情同意使用原则,就不会有人愿意主动披露影响其声誉对其不利的信息,这需要由特定公共机构通过法律关系将其转化为信息公共资源,进行强制披露,才能实现基于信息的柔性治理。
声誉信息相当于连接网络之外的补充和支撑性制度安排,因为连接网络本身无法帮助人们判断信息传递过程中的真伪。传统上,人们在通过网络接收信息时,需要验证对方的真实身份或者不同程度的相关身份,然后才决定是否继续合作或者交往,而判断对方是否可信的依据往往在于外在声誉的积累。连接网络本身的效能还取决于人们过去的交易次数和质量,以及第一次是否有意愿进行接触等外在动力。如果没有这种公开披露的公共信息,很多基于风险厌恶的新交易网络就无法建立起来。因此,这种公共信息必须以某种强制方式进行生产,而非自愿生产,并且通过一定的统一渠道和标准加以应用。和认证信息一样,何种个人信息能够被转化为声誉信息也是经常变动的,经过一定的法定程序认定就可以增加至特定的名单或数据库,从而影响特定的社会行为。例如,《全国公共信用信息基础目录(2021年版)》就列举了11项应当纳入公共信用信息范围的信息和4类应当依法审慎纳入的信息。影响特定个人信息能够被转化为声誉信息的主要考虑因素包括:该种信息的生产成本和技术普及情况;该种信息是否具有一定的普遍性;该种信息能否起到声誉作用,并能够潜在影响人的行为等等。
声誉信息和连接信息一样,都强烈地依赖于特定交往、合作与交易场景,并产生于连接网络。因此,在特定平台上生成的特定声誉信息会带有较强的地域色彩。不同平台完全可以开发出互不兼容的评分标准,并引导用户调整其行为,这就意味着某些声誉或评价一旦脱离了特定平台网络就丧失了其价值。如果和上文讨论的数据携带权结合起来看,就不难发现,即使基于个体用户的数据转移选择是安全有序的,仍然无法确保同样的数据在另一个竞争性平台上获得原有价值,这就抑制了社会主体转移个人信息的意愿和动力,因为这意味着数据转移之后价值很可能降低,或者至少没有能够反映出社会主体的历史行为和价值,甚至因为信息不对称而为新环境带来了潜在的合作风险。因此,如果希望大量生产要素进行跨平台转移,就必须统一相关评价标准,在要素转移过程中也需要特定种类的个人信息及其评价的声誉信息一并进行转移,才可能提供充分的激励推动要素流动,而不简单是赋权的问题。这种思路也可以通过数字平台之外的中立公共机构加以引导,将特定种类的基于大数据分析形成的声誉数据产品通过成立合资企业的方式进行技术和应用层面的整合,引导不同平台生态系统之间的数据融合,才有可能逐步实现更大范围内的流动性。
结 语
包括《个人信息保护法》在内的个人信息保护法律规范并不特别关注信息生产问题,但历史表明,整个网络法处理的核心问题一直都是信息生产和要素来源的合法性与效率问题。本文试图从更为基础的角度思考个人信息,即相当多的个人信息需要且正在不断被转化为保障市场有效运转的基础设施服务。只有从功能的角度出发,才能理解个人信息为何以这种或哪种的方式被创设出来,并理解在特定功能下某种个人信息如何得到保护和更好的利用。只有在确保稳定生产的机制确立后,才能够进一步思考如何更好地发挥此类个人信息的公共功能。本文讨论的前提条件是,个人信息以低成本随时随地被大量生产出来,这归根于无处不在的信息技术以及由此催生出来的要素流动性。如果将要素流动性作为一个给定变量,那么接下来的问题就是伴随流动性带来的个人信息需要以何种方式被最好的利用。
本文的讨论是多层次的,主要分析了个人信息如何从单纯满足私人利益转向实现公共利益的三种情形,但没有穷尽所有情形。作为例证,这三种情形实际上体现了信息的特定功能,目的都在于确保生产要素安全有序流动,增加交易数量和整体价值。现有围绕个人信息或企业数据进行权属划分的讨论往往忽视了公共利益维度,为了确保广泛的市场和社会有效运作,就需要不断将个人生产的信息转换为公共信息,帮助生产要素不断流动,使在整个系统中活动的参与主体和生产要素获益。因此,个人信息的生产性维度能够被带回到学术讨论,并在此基础上强调个人信息的公共性,还涉及大量的公共和私人机构的合作面向。本文对各类信息公共性的讨论也各有侧重:在认证功能部分,主要强调了国家对创制认证信息的主导性,以及该种信息如何更好地服务社会和市场。在连接功能部分,主要从私人平台角度分析用户个人信息如何被转化为抽象的基础服务,且有利于提升整个市场的效率。在声誉功能部分,分别讨论了私人和公共机构如何将个人信息转化,用以判断交易安全和可信程度,这不仅有助于执法过程,也是一种柔性的生产组织方式。
本文一定程度上还对公共性的抽象内涵进行了重新探讨。在数字平台产生之后,将公共和私人机构完全分开,并把公共机构的行为作为公共性的唯一内核,可能无法完全反映现实变化。事实上私人主体主导的公共性同样存在,是公共性实现的一个过程,因为其搭建的数字基础设施有利于数字市场上的要素流动,并承担了相当的公共功能,和公共机构主导的公共性难以完全区分开来。由此,重要的问题不是继续在法律层面区分和固化公私界限,而是从后果看公私合作如何有助于将个人信息作为私人生产要素转化为有利于更加广泛公共环境的要素,并进一步探索如何将现有特定封闭的数字市场贯通连接起来。从这个意义上说,重要的问题并非对生产要素确权,而是从系统的角度使生产要素能够服务于更好的市场机制。围绕公共性的探讨还有助于我们理解在特定信息功能中如何分配权益的问题。传统场景理论无法为特定场合下数字权益的分配提供进一步的指引,而个人信息的生产过程则需要考虑特定个人信息被生产出来的目的和功能。如果允许个人对与其相关的信息拥有更强的控制力,则无法形成公共资源池加以有效利用。类似地,那些实现市场有效运行的系统同样需要个人信息不断转化和得到维护。
最后,本文也没有单纯从要素本身的行为规范入手进行讨论,目前大部分针对平台封禁和垄断行为的治理工作和政策仍然集中在防止平台二选一、限制平台版权独家授权、或者是否需要容忍一定程度的“非法兴起”等问题上。本文试图回到推动要素流动机制上,并认为只有基于个人信息生产和整合需要发挥出基础设施功能,才能在一个更为基础和根本的层面上实现要素跨平台流动。根据目前的经验,三类数字基础设施功能已经在不同数字平台内发挥了集聚生产要素、实现安全有序流动的功能,但为了进一步破除基础设施的反流动效应,就需要公共监管机构思考如何才能在不影响商业和投资稳定预期、确保数字生产持续的前提下更为稳妥地推动不同数字市场进行连接,实现全国范围的统一市场形成。
原文刊载于《法制与社会发展》2021年第5期