近日,世界知名社交网络平台Facebook(下简称FB)被爆泄露海量个人信息。与以往类似事件不同,此次FB事件不仅因涉及个人隐私而引发公众恐慌,还因为个人信息被用来进行深度分析,可能影响美国大选,引起社会的广泛关注。FB总裁扎克伯格在美国国会的听证会上做了一系列表态,但显然,比其面对国会议员西装革履的扎克伯格,更应如坐针毡的应该是我们每一个面对信息侵害风险的个体。
当代的个人信息保护议题至少可以追溯到上世纪六十年代大规模电子数据库的建立。自那时起,信息自决权、信息隐私权的主张,FTC的规制、FIPS的实践,及至于即将到来的GDPR,作为法律系统的应对方案层出不穷。在这样一种脉络之下,个人信息保护议题一般被理解为国家与个人之间的资料收集之争,又或者是企业与个人之间的数据利用之争,人们担心自己的隐私泄露,尝试以法律手段保护人格尊严。
可是制度实践令人忧虑,问题似乎在变得更加严重。21世纪的大数据时代,同时也是信息经济的时代。从科技的角度观察,大数据、云计算、人工智能以及各种便利、强大的终端设备的出现为海量信息的运用提供了技术条件。从经济的角度观察,信息经济的业态成为引领创新,促进增长的“新引擎”,过去不易捕捉储存,难以开发利用的信息,成为经济发展的“新能源”。于是,无论是公、私机构,都高度注重对个人信息的收集与处理,开发各种应用。而这对于作为信息主体的个人来说,在创造了巨大便利的同时,也导致个人信息受到更大威胁。
一、处于“三方互动”中的个人信息保护议题
我们对于个人信息保护有一个初步的判断,即个人信息保护必须置于三方关系中进行分析。所谓三方是指国家、机构(主要指商业机构)与个人,这是讨论个人信息保护问题中最经常出现的三方,也是个人信息保护法制在客观上利益关涉的三方。
从利益衡量的角度分析,这里需要平衡的当然主要是国家代表的公共利益,企业的经济利益与个人相关的人格/财产利益,但这种层面的分析还不够。从每一个潜在的被侵害主体出发,其遭受的侵害行为都可能来自国家、机构与其他个人。比如国家要收集公民的指纹,调查户籍信息,商业机构会收集、处理个人交易记录、偏好信息等,其他个人也可能通过隐私揭露等方式造成个人信息的损害。来自三种不同主体的侵害,往往在形式上又出现杂糅的趋势。比如公权机关可能利用商业机构的技术优势与收集渠道,共同绘制所谓“人格图像”,这存在严重侵害个人人格的风险;个人在朋友圈小范围的信息传播行为,也可能经由信息平台的抓取、传播,超出其原本预想的具体情境脉络,构成对个人名誉、隐私的显著损害。这种交织杂糅的状态使得各方主体间的法律关系错综复杂,行为涉及公、私领域,需要协调的利益处于各种层次,单一的公法控制或是私法调整都显不足,目前流行的各种主张也急需体系化与精密化。为此,笔者认为,应该从宪法维度,将个人信息保护的法治命题置于三方关系的框架中予以讨论。
从三方之间的相互关系看,国家与个人间的关系构成了经典的基本权利保护命题,即国家得以依据何种性质之规定,基于何等公共利益考量,限制公民的个人信息权,这些对权利的限制又受到何种程度的约束;在机构和个人之间,机构对于个人信息的利用在何种程度上是合法的,抽象而言,双方的“意思自治”在何种程度上有效,并发挥何种作用?具体而言,个人的同意要到何种程度,国家是否有基于对公民权利的保护义务,对企业采取规制手段的必要?(而这是否会对企业的营业自由构成限制?)凡此种种,无不关涉基本权利保护的宪法命题。
更何况,此次FB事件显示出,个人信息保护不仅与个人信息权或是隐私权保护有关,毋宁还与整个国家的民主制度相关。如果个人信息保护不力,很可能诱发舆论的分裂,出现群体的“极化”,破坏民主社会的基础。为此,对于涉及政治观点、宗教信仰等的个人信息,因其具有政治关联性,是否应当采取特别的措施进行保护,凡此皆应从宪法高度进行审视。
二、“结构性不平等”与私主体受宪法拘束的原理
那么,在宪法视角的三方关系下,对FB为代表的机构应作怎样考虑呢?传统的理解认为,作为一项基本权利的个人信息权,调整的是国家与个人之间的关系,(商业)机构作为一种私主体,其与数据主体之间主要依靠私法来进行调整。
其实,即便不从严格的学理出发,大家也能发现当代的企业与消费者之间其实并非那么“平等”的民事主体关系。私法规范所预设的主体平等,在事实层面却是“结构性不平等”。
一方面,企业拥有人员、技术、财力等方面的综合优势,消费者很难发现信息的泄露,信息侵害往往发生在不知不觉中。企业往往以获取个人信息为提供服务的前提条件,而在这个移动支付、网络社交、自媒体、云传播的时代,个人面对网络平台,尤其是具有较高市场占有率的机构,几无拒绝的空间。另一方面,个人远非平等民事关系中预设了具有高度理性与判断能力的主体,消费者能否有效阅读或理解,专业、细致以至于冗长的个人信息/隐私保护条款暂且不论,面对复杂的互联网信息业态,各种潜在的个人信息处理行为,个人在根本上缺乏有效研判风险的能力。当身份证号、手机号、淘宝账号、实名快递信息等等信息网络互联互通起来的时候,当网页浏览记录,点击记录与信息终端被关联起来的时候,公民个人早已无法判断信息的威胁可能在哪里。面对潮水般涌入的“精准营销”,莫名其妙就被公开的信息记录,消费者自己那点“同意”的权利,究竟在何种程度上有效呢?
正是基于此种事实,宪法对基本权利的保护也不再仅仅局限于个人与国家之间。基本权利保护是国家的价值目标,也是国家的宪法义务,国家应该采取包括立法、行政、司法在内的各种手段推动个人信息保护。在立法层面,学界一直呼吁的《个人信息保护法》立法,以及已经出炉的《网络安全法》、《民法总则》、《刑法》等法律中的相关规定都是这种国家对基本权利的保护义务的体现。这些立法对包括机构在内的私主体课予了各种各样的义务,比如《网络安全法》第四章的相关规定。在司法层面,法官在适用相关法条的时候也受到基本权利客观法效果的影响,其可能的展开形态包括借用基本权利第三人效力理论,法律的合宪性解释理论对民法等法律发挥中的概括性条款予以解释,乃至于续造。至于行政规制的手段则更为多样,支付宝因为个人信息保护不力被处以罚款,工业和信息化部信息通信管理局约谈百度、支付宝与今日头条,凡此种种都是国家可能对私主体展开规制的形态。从根本上,这也是个人信息权作为基本权利对整个法秩序提出的要求。
三、知情同意模式的衰微与企业更多的社会责任
如前所述,基于基本权保护义务所展开的国家规制行为,将通过立法、行政、司法等多种手段对机构的个人信息收集处理进行规制。第二部分主要是从个人信息保护出发,讨论企业何以受宪法拘束的原理,勾勒国家可能对企业采取的手段。但如果转换视角,从现实中的企业角度观察,企业面临的困境其实就是“知情同意模式”机制的衰微,以及责任的扩张。
“知情同意模式”当然是一种个人信息保护的基础架构,它要求唯有经过数据主体的同意,个人信息的处理才能变得合法。但反过来,这其实也是一种风险和责任的分配机制,其潜在的预设就是,只要个人授权同意,那么企业之后的行动就免除了责任,企业合法、合规的基础,即在于用户在隐私条款上的勾选。
然而,真的如此么?
一方面,企业具有“结构性优势地位”,个人在其面前几无商谈之力,基于此事实的力量优势,国家具有介入私法关系,令企业承担责任的可能。另一方面,企业责任的承担机理恐怕也绝非可以透过知情同意责任可以简单概括,这种分配机制在现实中有被突破的可能。
企业的责任,狭义上当然是法律责任,以实定法的规范为限度。理论上,则可以透过合规的方式寻求企业法律风险的规避,但是风险性议题的一大特点就是不确定,法律适用同样也就具有更多政策实施的面向,譬如FB此次究竟要承担何种程度的法律责任就难以预测。其二则是市场机制,即便企业能够在实定法层面撇清责任,但是如果爆发危机,其实仍然难以逃避严重的事实后果。此次FB事件就是例子。FB事件的罪魁祸首当然是剑桥分析公司,FB监管不力的责任其实至今未能明白确定,但显然FB方面已付出了相当代价。正如公民不仅会要求政府负担侵权的法律责任,还会以民主手段要求政府承担政治责任,消费者也不仅会透过法律机制对企业造成影响,也会通过市场机制对企业施加惩罚。更何况,消费者与选民是一体两面,政治压力会催动对于企业的法律责任的增加。
显然,在不断强化个人信息保护的趋势下,从外部视角看,法律机制有扩张的政治动力与社会诱因,从内部视角看,法律体系内的“知情同意模式”尽管仍被强调完善,但毕竟体系作用在下降。新的责任机制、监管方式,越来越多的基于敏感信息的规制,信息处理行为风险性的规制等等更具“实质性规则”的标准将逐步出台。且不论以史上最严的个人信息保护规范闻名的GDPR,近期我国出台的《信息安全规范》也对个人信息保护提出了更高的要求,尽管现阶段其尚不具有直接的法律拘束力,但毫无疑问,作为法律责任发展的方向,责任的扩张已为定局。
在这种情况下,作为拥有“结构性优势”的企业,不应也不能再以简单的个人信息协议作为自己合法合规的基础,而是应该深切认识到伴随自己能力的增长,自己的责任——无论是法律责任或是社会责任——都将出现扩张。尽管营业自由是宪法保障的基本权利,但在人格尊严为支撑的个人信息保护的公共利益面前,仍然会受到一定限制。
四、国家保护义务与企业自我规制的平衡
企业对个人信息的操作不仅是合法的获取这么简单,还要将个人信息运用到各种各样的业务中去。企业应当以更加严格的、实质的个人信息保护主张,比如 “情境脉络”式的保护,确保个人信息的情境脉络完整性(contextual integrity),比如经过严格分析的风险评估与保护机制,代替简单的“知情同意机制”,积极开展自我规制。这一方面有利于信息主体的个人信息保护,对企业而言,也有利于实现自我规制与国家保护的平衡,避免规制机关走向形式化的“一刀切”,对企业带来更大的不利影响。
虽然个人信息保护的情势严峻,为此有必要从宪法角度提出以基本权利为基础,三方关系为基本框架的个人信息保护的整体方案,并特别强调国家保护义务的实现。但这并不意味着,在个人信息保护这一具有公共性质的事务上,国家就应包揽一切。相反,笔者认为,国家应当鼓励业者进行自我规制。
一方面,当下的个人信息侵害具有较强的风险性,任何一个环节都可能构成个人信息侵害的潜在原因。机构拥有技术、人员和资金的优势,对行业的发展现状、运行机制、内部格局都最为熟稔,自我可控制具有可行性。另一方面,风险本身具有主观性,积极的自我规制有助于引导树立正确的个人信息观念,形塑个人信息操作、利用的合理秩序。而国家机关的规制,特别是行政机关的规制虽具有一定的专业性,但面对社会舆论压力,难免出现形式化的要求和一刀切的“规制过度”。这不仅未必能真正实现个人信息保护,对于行业的发展、营业自由的保障都是不利的。而即便国家机关一时“规制不足”,一旦爆发出消费者的大规模反弹,也既有可能回到“规制过度”,所谓“一统就死,一放就乱”。为此,企业应当加强对实质的个人信息保护标准的探索,积极主动摸索行业规律,制定公开透明的行业标准,以自我规制补充个人信息保护法制的滞后与不足。
结语
个人信息保护不仅是一个简单先进的技术与既定的法律的衔接问题,还关涉我们能否充分有效利用宪法与法律保护人的尊严,关涉我们能否在信息社会实现民主与法治。当公共事件引爆具体的治理危机的时候,我们应从宪法的维度做出更高阶的反思与省察,在价值判断与利益衡量中更加自觉的援引作为基本价值共识的宪法,实现良好的自我统治。当技术与经济带来更多的不确定性的时候,也就是法律作为稳定预期的提供者发挥更大作用的时候。
作者简介:张翔,法学博士,中国人民大学法学院教授。钱坤,中国人民大学法学院宪法学与行政法学专业硕士。
文章来源:《腾云》第65期。