摘 要:尽管我国《个人信息保护法》已将“个人信息保护与利用”作为并置的立法目标,但两者在实践中的平衡却依然困难重重。搜集、称重不同利益和价值并在比较正反观点后作出决定的“权衡方法”,由此成为直面挑战的最佳工具。立足于域外经验和中国实践,一套遵循权衡论证逻辑和国家机关功能分化原理的“两阶四层”权衡体系得以成型。在一阶权衡阶段,法律助力个人与个人信息处理者基于“市场机制”开展自我权衡;在二阶权衡阶段,首先由立法机关依据“比例机制”形成客观价值秩序,再由行政机关采取“场景机制”和“风险机制”确立个人信息分类分级的权衡规则,最后由司法机关基于“诚信机制”作出个案调适。个人信息保护与利用的权衡体系将不确定性的权衡方法转化为可证明的理性化决策过程,最终实现权衡的妥当性和可预期性。
关键词:个人信息;权衡体系;比例机制;风险机制;场景机制
尽管以“保护”为名,但我国《个人信息保护法》绝不只是“保护个人信息”的法律。正如其第1条开宗明义所示,“保护个人信息权益,促进个人信息合理利用”业已成为并置的立法目标。这一二元架构可追溯至20世纪个人信息保护滥觞之时。1980年,经合组织《个人数据隐私和跨境数据流保护指南》开篇即指出:个人数据的跨国界流动有助于经济和社会效益,而隐私保护和个人数据跨界流动的立法可能会阻碍这种流动,调和隐私和信息自由流动这两个基本但相互竞争的价值有赖于成员国的共识。40多年来,随着世界的数据化转型,个人信息的类型、范围、数量、功能不断拓展,从用于他人认证和评价的信用信息,到反映群体健康的疾病医疗信息,再到关涉思想文化繁荣的用户生成信息(UGC),个人信息早已越过“个人”的藩篱,成为社会交往、市场交易和政治参与的新媒介,以及数字社会与经济发展的新源泉。因此,《个人信息保护法》不得不两线作战:既要保护个人信息不被过度收集和滥用,又要为个人信息的合理利用容留空间。显然,两者的平衡绝非易事。从《常见类型移动互联网应用程序必要个人信息范围规定》对39类App收集必要个人信息的刻板限定,到《网络数据安全管理条例(征求意见稿)》针对“个性化推荐”不当增设“个人单独同意”要求;从为疫情防控目的而公开经过患者的性别、年龄和详细行程轨迹,到隐私增强技术能否被认定为“个人信息匿名化”争议,《个人信息保护法》两年多来的经验鲜明凸显出个人信息保护与利用的平衡困境。问题的解决之道不在于非此即彼的取舍,而在于“权衡”(Balancing)。
如果说法律旨在协调多元社会中彼此冲突的期待,那么在人们作出决断时,就不得不考虑所有的相关因素,对不同价值和利益保持中立姿态,根据语境给予相应的分量。“权衡”由此成为与“涵摄”同等重要且无所不在的法律方法。这里的“权衡”无疑是广义的,一切在搜集、称重和评价性比较对立观点的基础上作出法律决定均属之。有别于严格遵循形式逻辑的涵摄,权衡的特殊之处在于它是一种包含正面和反面理由的“正反论证”,当正面理由对结论的支持力胜过反面理由对结论的破坏力,结论得以证成。正因如此,对权衡是否理性的质疑不绝如缕,哈贝马斯甚至尖锐地指出:权衡被武断地、不加反思地操作,其所依照的不过是惯习性标准和等级服从。但另一方面,人们也旗帜鲜明地对权衡方法加以辩护和捍卫。在此理论背景下,本文试图回答:如何权衡个人信息保护与利用?以及如何保证该等权衡的理性?
一、一阶权衡机制:基于市场的权衡
作为论证和论辩的中间地带,尽可能汇聚正反两方、相互矛盾的信息构成了权衡论证基础。在此意义上,最佳的信息收集是最佳权衡的前提。但决策所需的信息从来不是集中存在,而是以分布式、不完全的形式存在的。分散性决策机制的“市场”因而可充分利用广泛社会主体的私人信息,进而加总后形成公允价格,再以看不见的手发挥信息对权衡的指引作用。更重要的是,此时个人信息的各利益攸关方均会参与到权衡过程中,消除了因作出权衡的国家机关与个人和信息处理者分离所引致的“代理成本”(即决策者的决策成本和防范其滥用权力的监督成本)。职是之故,市场权衡机制成为契合权衡逻辑且成本最小的路径。该机制以个人信息财产化和经济激励为基础,推动信息主体和处理者共享个人信息利用产生的经济收益。鉴于这一权衡是由受影响的当事人直接作出,本文称之为“一阶的权衡”(primary balancing)或“优先的权衡”。
(一)市场权衡机制的财产权理论
将个人信息作为一种“财产权”,在美国法上已有60年,进入数字时代后,劳伦斯·莱斯格使用法经济学原理论证,由于个人信息极具价值,各方均亟欲开发利用,而该利用所产生隐私侵害等外部成本却由信息主体承担,因而其关键在于令处理者支付对价以内部化该成本,财产权便是将个人信息保护与市场诱因互相连结的最佳途径。个人信息财产权使个人有权决定是否、何时、如何与何人分享其何种个人信息,从而减少其滥用,以满足不同个体的偏好需求。更重要的是,凭借市场权衡机制,个人能够发现其信息的价格,并可借由协商和授权使用其个人信息,获得公平回报。例如,在医学研究领域,当研究者从个体的基因资讯研究而获利时,当事人可根据合作关系主张相应的收益。另一方面,个人信息财产权使处理者将利用成本“内部化”,在宏观社会层面上减少了企业过度浪费的投资行为,反而促使其从个人信息收集的流量竞争转向个人信息利用的技术竞争。个人信息财产化不但最大限度地保护了个人信息,而且能助推个人信息利用市场的形成。
基于市场的权衡机制并非只是理论构想。1997年,美国国家电信和信息管理局发布《信息时代的隐私与自我监管》报告,将消费者的信息隐私视为一项财产权。阿拉斯加、佛罗里达、科罗拉多、佐治亚、路易斯安那等州明确将与个人密切关联的“基因信息”视为当事人的专有财产,以防止保险公司利用基因信息拒绝保险。《加州消费者隐私法案》引入了个人信息估值和交易观念。根据第1798.125条第2款,当消费者请求删除或者禁止企业销售其个人数据时,企业可在告知同意的前提下,采取直接经济补偿,或设定差异化的价格,抑或提供不同水准和质量的产品、服务,以鼓励消费者不行使这些权利。同时,该法强调上述激励措施不得是不公正、不合理、强制性或具有高利贷性质,换言之,允许企业“合理相关”地差别对待用户,以达致博弈论上的“分离均衡”。在欧洲,2015年《关于数字内容提供合同部分问题的指令议案》指出:数字内容和数字服务交换物并不是金钱,而是数据,这是因为数字经济中个人数据常被视为具有与金钱同等的价值。不惟如是,在个人信息财产化论者看来,欧盟《一般数据保护条例》的内部逻辑暗含财产权进路。这首先体现为赋予个人对其数据的原始权利,并将其确定为默认的、最终的拥有者,而无论之前是否授权。其次,个人对其数据享有追及权,不论数据流转到何方,个人均可追至其数据之所在,对第三方行使权利,以限制数据的后续利用。最后,个人享有侵权责任和违约责任所不具有的“财产救济规则”,对违反个人同意的数据处理者,相应赔偿是惩罚性的而非补偿性的。
(二)市场权衡机制的中国路径
我国赞同市场权衡机制的学者,多期待通过个人信息财产权在用户和企业间的有效配置和个人信息对价化交易制度,充分回应数据要素市场下个人信息保护的挑战。不过,我国立法并未引入这一进路。《民法典》将个人信息置于人格权编中,视之为人身自由、人格尊严衍生的具体人格权益。在人格权和财产权二分的架构下,个人信息权益不得放弃、转让和继承(第992条)。《民法典》第993条进一步将许可使用的客体限定在“姓名、名称、肖像”,个人信息能否纳入其中,尚不明确。回顾立法史,2018年《民法典各分编(草案征求意见稿)》的人格权编第4条曾规定:“民事主体对其名称、肖像、个人信息等具有经济利益内容的人格权享有支配的权利,可以许可他人使用”,可嗣后的“一次审议稿”第776条却将“个人信息”删除,尽管此后仍有恢复原有表述的意见,但没有形成共识。由此可见,立法者并未一般性确立个人信息的许可使用,其根源于个人信息的财产性过于稀薄。在腾讯公司诉搜道公司、聚客通公司案中,法院通过“单一数据”和“数据资源整体”区分,阐明单个自然人的个人信息仅具人格性权益,只有数据资源整体才有财产价值。的确,对于普罗大众而言,个人信息的经济价值微乎其微。既有研究在比较 Facebook公司的账面价值与市场价值之后,发现用户每条个人信息约4美分,鉴于数据网络效应,用户将其信息单独出售的价格还要远低于4美分。我国法院几乎不承认普通人物肖像中蕴含商业价值,亦可作佐证。
然而,这并非意味着市场权衡机制在我国全无适用之余地。2022年,《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)尝试着针对负载个人信息的数据建立确权授权机制,可视为市场权衡机制的中国路径。依体系解释,若个人信息达到类似于“姓名、名称、肖像”的外延确定性、内涵经济性、使用明确性,且明显无涉人格尊严,则可基于人格权商业化利用的法理,准用《民法典》第993条。例如,在流量经济下,名人、明星、网红的生活状态、动态信息能产生巨大商业利润,其依附于公众人物身份,可将其视为姓名、肖像、声誉价值的延伸。又如,个人的罕见疾病、特定基因、新药临床试验等稀缺信息,对于药品研发和科学诊治颇具价值。此外,《数据二十条》第6条首次提出探索建立个人信息受托者制度,由受托者代表个人与处理者达成协议安排,监督处理活动并取得回报。未来,真正富有经济利益的极少数个人信息可通过“本人数据管理”(MyData)机制获得红利。借由该机制,市场化的受托者得以整合特定个人的个人信息,并以便捷化方式向个人以及潜在的利用者开放,不但帮助个人获得金钱收益或低价服务,还能提升第三方获取标准化信息的效率,将个人信息从闭关自守状态转换为可重用资源,促进“以人为本”的个人信息市场。
不过,市场权衡机制远不完美。完美的权衡有赖于完美的信息,但在个人和处理者之间常存在信息的不对称,个人可能缺乏对个人信息范围、性质、处理活动及其风险的了解,即使存在协议,也因其冗长、复杂而难以理解,甚至根本不会被浏览。相反,企业可以借由数字架构强化对个人的影响力,潜移默化地左右用户的信息获取。更重要的是,由于乐观偏见、影响式启发、框架效应等非理性偏差,个人在权衡得失后的决定可能源于暗黑设计下的有偏差行为,而非深思熟虑的理性选择。因此,市场权衡机制只有在法律协助下才能真正良性运作:通过提供许可使用合同标准化文本、引入个人信息受托者等方式,法律为个人提供平等协商的平台,从而为个人实质赋能而非简单赋权,最终将零和博弈转向正和博弈,促成人格利益与经济效益的共赢。
二、二阶的权衡机制:基于比例的权衡
市场权衡机制适用范围有限,常常充斥着非自愿、不公平、欠缺理性的决定。不仅如此,它还忽略了相关决定对第三方的影响,不论这种影响是人们因他人信息披露而被观察、分析的负外部性,还是社群因个人信息披露受益的正外部性。正因如此,在一阶市场权衡外,还需仰赖第三方权威暨国家机关的再次评价和调整,促成当事人将其他主体的多元价值一并纳入,作出更负责的权衡,此即“二阶的权衡”(secondary balancing)。
(一)作为普遍方法的比例权衡机制
如果说权衡的本质在于以“合比例”方式对不同利益和价值称重,那么比例权衡自然成为通用性的权衡方法。需要说明的是,与强调对限制公民权利的国家权力之限制的行政法“比例原则”不同,“比例权衡机制”更多是一种利益冲突的化解工具,因而表现为作为方法规范的形式原则。正因如此,其包括但并不限于对个人信息权益的公法限制,而毋宁是横跨公法与私法规范,一体适用于个人信息保护与利用中价值决定的整体性方法。
在欧洲,比例机制被《欧洲基本权利宪章》第52条第1 款所确立,并成为欧洲法院适用1995年《关于涉及个人数据处理的个人保护以及数据自由流动的指令》(以下简称《数据保护指令》)的重要原则。在林德奎斯特案中,法院指出:原告在工作场所的表达自由,与基于宗教活动将信息发布于网络的个人数据保护之间应取得合理平衡,法院须依比例原则加以解释。在Promusicae 案、Scarlet 案和 Bonnier 案中,欧洲法院亦采取这一进路,试图协调个人数据保护与知识产权、财产权、经营自由、信息接收和传递自由等权利之间的关系。对比例机制的详细阐述出现在胡贝尔案中。在该案中,欧洲法院针对奥地利公民胡贝尔删除个人数据的诉求,开展了比例测试。法院认可德国为准确了解人口流动情况收集个人数据,但根据禁止国籍歧视原则,对原告数据的处理不符合《数据保护指令》下的“必要性”要求,因为处理匿名信息可以满足统计目的。
《一般数据保护条例》将比例机制进一步成文化。其序言第4条规定:“保护个人数据的权利不是一项绝对权利,必须根据其在社会中的作用加以考量,并依据比例原则与其他基本权利保持平衡。”其第6条关于个人数据处理的多元化正当事由可谓比例机制的鲜明体现。不过,无需个人自主同意的处理活动可能产生克减个人数据保护权的后果,故而加上“为……所必要”的限制,以兼顾比例机制的“适当性”和“损害最小之必要性”要求。这与《关于个人数据自动化处理的个人保护公约》(“108号公约”)第5条“数据处理应与追求的合法目的相称,并在处理的所有阶段与所有关联的利益之间反映一种公正平衡”的精神相一致。究其根本,比例机制这一提供“实质性正当理由”的合理性范式,正是“个人信息处理正当理由”的规范底色。
比例机制的普遍适用性是以其不确定性为代价的。2019年,欧盟数据保护主管(EDPS)发布《限制隐私和个人数据受保护基本权利的比例措施的评估指南》,针对个人数据受保护权的法律苛严,建立缜密的测试步骤:第一步,评估立法目标的重要性,以及拟议的法律措施是否以及在多大程度上符合该目标,此即收益分析;第二步,评估法律措施对数据受保护权影响的范围、程度和强度,此即成本分析;第三步,在充分收集和披露信息的基础上,采取合理标准来平衡冲突的利益,此即在上述效益与成本之间开展权衡;第四步,对法律措施作出支持或不支持的决定,在不支持的情形下,可考虑并引入可能的保障措施,完善相关措施使之合乎比例。总之,比例权衡进路通过检验手段和追求目的之间的合理性,适当限制个人信息权益,为个人信息利用留下了空间。
(二)比例权衡机制的中国路径
主张比例机制的学者不乏其例。落实到条文上,《民法典》第999、1036条将“维护公共利益”作为个人信息利用的重要基础。《个人信息保护法》进一步拓展了比例权衡机制的范围。其第13条一改《民法典》“个人同意+特定情形免责”的逻辑,平行确立了六种个人信息处理的正当性事由,并通过“法律、行政法规规定的其他情形”的兜底条款保持了开放性。其中,“为履行法定职责或者法定义务所必需”系为公共利益的代表——国家机关及其行政行为而设;“应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”系为公众利益而设;“实施新闻报道、舆论监督等行为”系为新闻自由和公民监督权而设;“处理个人自行公开或者其他已经合法公开的个人信息”系为信息流通而设。
比例机制亦被我国司法实践所认可。但由于其迥异于三段论推理,不同法院在适用这一机制平衡个人信息保护和利用时难免“类案不类判”。例如,针对公开个人信息的合理使用问题,伊某诉苏州贝尓塔数据技术有限公司人格权纠纷案与梁某诉北京汇法正信科技有限公司网络侵权责任纠纷案的观点相互抵牾。两案原告均主张,被告从“裁判文书网”转载含有其个人信息的法院判决书属于二次公开,侵犯其个人信息权益。面对几乎雷同的案情,两案法院却作出截然相反的判决:苏州法院认为自然人对信息传播控制的权益高于公开个人信息流通的价值;相反,北京法院则认为裁判文书系已公开的司法信息,禁止转载将损害司法公开制度以及公众的知情权、监督权,因而个人权益应予退让。
如欲化解比例机制可预见性不足的窒碍,有必要从“法律证立”的角度予以把握。质言之,比例机制并非是对权衡结果的空洞承诺,而是引导第三方在充分信息下作出负责任、有说服力决策的过程约束。为此,它可在“抽象性权衡”和“具体性权衡”两层面展开。其一,抽象性权衡应当由立法机关作出。所谓“抽象性权衡”,即在通常情形下不同价值的优先劣后关系及其条件,从而区别于逐案分析特别情形的“具体性权衡”。权衡的最终结果固然取决于具体分量,但并不意味着具体化之前没有无涉情境的抽象分量。事实上,由于共同体的普遍认知或意识形态,一个法律体系会天然地更看重或看轻某些价值。作为平等沟通和民主对话的制度性设计,如何在不可通约、不可公度的诸神之争中达成最低限度的共识,恰是立法机关的使命。不仅于此,法律是理想融贯性的规范体系,立法机关负有尽可能形成客观价值秩序的责任。不过,这里的“秩序”毋宁是柔性和框架性的。各种价值之间并不是严密的固态结构,而是在不同层面上相互交叉、支援的网络关系,在网络空隙中,司法和行政机关等其他权衡者仍然拥有对具体事项的裁量权。该等分割使得立法者以权威身份和规范形式排除了事后的权衡,有效化解权衡带来的民主赤字问题;另一方面,由于立法机关的事前权衡构成了具体性权衡的在先秩序,当司法和行政机关决策时,不但应将既有权衡结论推定为正确的,而且其考量因素也须限于已列出的价值,除非立法者存在明显的价值疏漏,或者社会经济条件发生了重大变化。循此,权衡的任意性问题得以缓解。其二,具体性权衡的操作框架缺失令我国司法、执法中轻重失衡,亟待借助阿列克西的“权衡法则”和精细的“权重方程”,开展结构化论证,提升论证的透明性和可辩驳性,最终降低个案权衡的主观性。
《个人信息保护法》中立法者已作出诸多抽象性权衡,并固化为明确的法律规则,这种从“规则”倒推“权衡”可谓阿里克西权衡法则的逆转。这里试举两例。其一,立法者对“公共利益”的缩限。为避免宽泛的公共利益不合比例地压缩个人权益,立法者将之缩限为“履行法定职责和法定义务”“突发公共卫生事件”和“新闻报道”三类,在远程人脸识别的情形下,公共利益被进一步限定为“维护公共场所的公共安全”。中国人民银行《个人金融信息保护技术规范》第7条将“无需征得个人同意”的场景拓展到“国家安全、国防安全、公共安全、公共卫生、重大公共利益”,突破了在先权衡,有失妥当。其二,立法者对“个人单独同意”的划定。作为对个人的增强保护,立法者在第44条下“个人信息处理知情决定权”这一抽象权利下开创性确立了“单独同意机制”,但其适用应以明确列举的高风险处理活动为限。《网络数据安全管理条例(征求意见稿)》第49条增设个性化推荐的单独同意规则,其内在机理和逻辑均与立法者权衡相悖离,应当删除。
三、二阶权衡机制下的类型权衡:基于场景和风险的权衡
为尽量消解权衡的不确定性,有必要在比例机制外,另行引入“类型化”方法。如果说比例机制旨在全面、彻底地考量价值,那么类型化则力求把抽象原则转换为规则,要求司法、行政机关根据典型事实作出权衡,实现一般性价值判断的具象化。在《个人信息保护法》下,权衡的类型化主要体现为基于“事物本质”的个人信息“分类分级”。在这里,“事物本质”即内在于特定生活关系的标准和秩序,其不但是类型化的思想基础,也构成了规则类比和等置的客观化标准;“分类”即根据个人信息所栖身的社会关系和内容属性来形塑规则集合;“分级”即按照个人信息处理的影响程度划分层次有序的级别并设置相应规则。质言之,“场景理论”因其对信息关系中社会角色及其期待的深描,衍生出“个人信息分类”的“场景机制”;“风险进路”则因其对风险社会的理解和对个人信息风险的洞察,体系化“个人信息分级”的“风险机制”。
(一)场景权衡机制的理论渊源
作为“隐私合理期待理论”的发展者,场景理论打破了“个人信息受个人控制”的迷思,将关注点转向个人信息的合理流动上。它不对何为“信息隐私”作本质化和教条主义的界定,也不再坚持公私对立的二元框架,而是深入到特定活动、作用、关系、规范、内在价值等共同构建的社会结构之中,秉持“场景脉络完整性”,去探求细分场景下的信息保护规则与信息分配模式,平衡私人自主和公共福祉。放宽视野看,场景理论源自“情景理性”的理念。尽管规范要求的有效性是超越时空的,理性行为却必须在特定时空,经由人和物的互动来实现,因而规范有效性其实是参差多态并植根于一个个真实情境之中。
为厘清不同的场景,场景机制将之拆解为信息类型、处理者类型、设备类型、收集方式、授权方式、信任程度、信息的价值交换等多项要素。当个人信息利用的实践根本上改变了任一要素,就可能损及场景脉络完整性,从而被初步判定逾越了适当性边界。例如,在高速公路收费场景中,司机可以在人工收费和ETC之间选择,因而拥有是否与他方共享通行信息的决定权,但若取消人工收费支付,意味着强制司机提供个人信息,实质上改变了信息利用条件。这当然不是说要永远严守传统规范。相反,场景机制承认新技术、新情势可能会创造出全新的信息利用方式,只要符合场景脉络完整性下的目标,其依然是妥当的。
(二)场景权衡机制的中国路径
场景理论已成为我国最重要的个人信息基础理论之一。然而,该机制诞生于“事实出发型”的英美法系,与“规范出发型”的大陆法系显得凿枘不投,难以直接运用于《个人信息保护法》。不过,这并不意味场景机制在我国无从附丽。事实上,分行业场景的个人信息保护已经内嵌于我国执法体系中。在国家网信办和行业主管部门共治的“1+X”框架下,电信和互联网、金融、医疗、邮政、卫生健康、教育、交通等部门相继发布多部分场景的个人信息保护规范。与经常被诟病的“九龙治水”不同,各行业的法律规范趋于整齐划一,无法因地制宜地设置权利义务,可能是未被充分关注的问题。另一方面,我国监管机构也逐渐意识到,在技术和法律的互动作用下,根据技术场景加以差异化规制,是回应技术革新的适宜路径。例如,国家网信办《人脸识别技术应用安全管理规定(试行)(征求意见稿)》首次引入场景治理,分别就人脸认证、人脸辨识、人脸分析等场景构建了个人信息处理正当性架构。此外,在司法实践中,场景权衡机制亦有用武之地。在黄某某诉某信用管理有限公司个人信息保护纠纷案中,法院通过动态的场景分析,在个人信息权益和社会利益之间作出利益权衡,认为在电子公交卡场景下,用户信誉评估以最小的代价,弥补了先享后付功能的短板,符合个人信息保护的必要性原则。
(三)风险权衡机制的制度实践
风险权衡旨在通过识别和评估个人信息处理风险,设置与之适应的个人信息保护水平与规则。这一机制起源于1995年《数据保护指令》,108号公约进而提出“以风险为基础,辅以数据性质和体量、处理行为的性质、范围和目的,以及控制者或处理者规模等考量”的数据控制者义务体系。2013年,第29条工作组对该机制背后的理由详加阐明:《一般数据保护条例》可能会对某些实体带来不对称的负担,因此将按其本身和涉及的处理活动适用不同的合规性规定、承担相应程度的义务。就此而言,如果说比例机制系从个人权利端出发,那么风险机制则立足处理者义务端,实现个人信息保护措施的成本—收益的优化。《一般数据保护条例》不但将风险进路嵌入数据控制者的问责原则,贯彻到通过设计与默认方式的数据保护之中(第24、25条),而且确立了保障安全义务和数据影响评估制度,将风险机制延伸到数据处理的全过程(第32、35条)。
总之,风险机制摒弃了一刀切的个人信息保护,转而采取动态、多层次、可扩展的保护制度,其不但致力于个人权利的实现,而且能协助处理者利用风险缓释、安全保障和其他控制措施,将风险降低到可容忍的范围内,从而减轻合规成本和行政负担,推动个人信息的创新利用。
(四)风险权衡机制的中国路径
风险机制见于张新宝领衔制定的《个人信息保护法(专家建议稿)》中,《个人信息保护法》亦借鉴这一机制,首先区分了“一般个人信息”和“敏感个人信息”。对于后者,只有在具有特定的目的和充分的必要性,并采取严格保护措施的前提下方可处理(第28条)。其次,该机制要求处理者根据个人信息的种类、处理目的、方式以及对个人权益的影响、存在的风险等,采取相应保障措施(第51条);再次,在对个人权益产生重大影响的处理活动开展前,处理者应进行个人信息保护影响评估(第55、56条)。基于上述分级思路,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对人脸信息这一敏感信息采取了更高的保护标准。国家网信办《汽车数据安全管理若干规定(试行)》更将特别保护的范围拓展到指纹、声纹、心律等其他生物识别特征信息。
虽然风险权衡进路已被我国接受,但从风险衡量与回应的原理出发,现有实践依然存在不足。一方面,由于缺乏系统性的风险识别、估算、评价制度,个人信息处理风险常沦为宽泛的感知,甚至是文字上的修辞。例如,《促进和规范数据跨境流动规定》将“向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息”归入强制性安全评估的活动。但为何“100万人或1万人”的规模就会引发高风险?是否需要同时考察个人信息用途、处理方式、主体身份、是否已公开以及处理者等多种因素?均语焉不详。再以个人信息分级为例,《个人信息保护法》忽略了从“可识别”到“不可识别”是一个漫长的信息光谱,作为中间类型的“去标识化个人信息”有着独特的风险属性,亟待依据细致的风险评估设定保护水平和监管措施,从而为创新隐私增强技术,促进个人信息利用预留空间。究其本质,一旦将“风险评估”(risk assessment)作为法律基础,就必须通过具有共识性、客观性的方法和程序来分析风险,并在此基础上衡量监管措施的有效性。为此,在评判个人信息处理风险时,决策者应采取前后相继的四个步骤:确证可能的危险、划出个人信息处理活动与后果的曲线、估算危害的概率、归类结果以确定风险等级。另一方面,我国还混淆了“风险评估”和“风险管理”(risk management)的重大差异:前者为权衡提供有序、清晰、协调的方法论和事实基础,后者则是综合考虑经济、社会、政治的利害关系并形成解决方案的权衡过程。两者的区分既确保了风险评估的科学性和中立性,又提升了风险管理的透明性,有助于明确不同阶段科技与政治的界限和责任,避免风险评估滑入充满权衡的政策判断,不当扩大行政裁量的范围。仍以前述出境安全评估为例,其以“评估”为名,却属于直接管制个人信息出境的“风险管理”。更有甚者,从制度设计主旨看,其重心始终落在风险识别上,并未依照风险管理的原则,通盘思考个人信息出境的经济和社会效益、出境管制能在多大程度上消除风险、本身又是否会带来新的风险、给相对人权益带来何种影响和附加成本、执行中遭遇何种困难等正反两方面因素。是故,个人信息出境的风险管理必须在产业界、科技专家的协力下,充分权衡风险评估结果以及社会、经济、政治影响后作出决定。
四、二阶权衡机制下的个案权衡:基于诚信的权衡
权衡本质上是基于逐案处理、适应渐进变化的特殊主义决策。类型化的权衡机制只能削弱其不确定性,不可能排除具体权衡。在个案中,权衡者既要遵从比例机制——这一二阶权衡的普遍原则,又要采取一种更柔性的利益衡量方法暨“诚信机制”。我们可从如下方面把握诚信机制与其他权衡方法的关系。首先,比例机制是法律对处理者施加的外部控制,促使其以合理方式行使公法上或私人的“权力”;诚信机制则是内化于个人与处理者关系的内部控制。其次,场景机制和风险机制主要由行政机关以“规则”形式作出事前权衡,诚信机制则主要由司法机关以“判决”形式作出事后权衡。这是因为,较诸法院,监管机构对于其主管的行业有着信息优势,并能通过建立技术岗位或技术部门以及外聘外部专家等方式强化其专业性。考虑到当今个人信息保护领域已高度技术化,专业性的监管机构更能胜任风险管理和场景规制的职能,承担起制度塑造和法律执行的双重任务。但是,行政机关的权衡同样存在不可忽略的弊端,其不仅更容易受政治驱动,而且事实上也会为私利创设、扩张监管权力并增加寻租机会,这无疑戕害了权衡所必需的中立性。更重要的是,基于规则的监管可能影响容纳新事物发展变化的能力,难以实现特殊个案的平衡。此时,由司法机关利用更具弹性的诚信机制事后权衡,不但有助于个案处理,还能监督行政机关并矫正既有规则的缺陷。最后,比例机制、场景机制、风险机制和诚信机制并不是非此即彼的。相反,比例机制一体适用于二阶权衡的所有权衡,而其他三种机制尽管各有主次,但在执法、司法中亦应根据情景给予适当的考量。
(一)公平原则:诚信权衡机制的欧盟实践
法律为经济和社会所塑造,社会情势的变化要求法律根据社会利益的压力和危及安全的新形式不断作出改变。诚信原则的演进恰恰验证了罗斯科·庞德的这一论断。尽管“诚实信用”肇始于罗马法的诚信诉讼和物权诚信,但直到急遽变化的“短20世纪”来临后,它才从债务履行义务的一隅一跃成为君临全法域的帝王条款。作为时代变迁之镜像,诚信原则在经济上回应了平等互换的抽象交易向强弱分明的具体交易的转变,在政治上回应了自由国家向规制国家的革新。鉴于诚信原则与时俱进的品格,个人信息保护自然成为其延伸适用的场域。不过,或许受1970年代“公平信息实践”(fair information practices)的影响,《一般数据保护条例》并未直接规定“诚信”原则,而是将“公平”(Fair)作为个人信息处理的核心原则之一,并将其解释为“尊重数据主体的利益和
合理期望,并平衡地处理数据控制者的商业利益与数据主体的隐私利益”。由于公平原则与诚信原则在利益平衡协调功能上的一致性,欧盟各国的法律文件多使用由拉丁文“bona fide”(诚实信用)所派生的“诚信”(Treu und Glaube)或“公平”(equitability)来翻译Fair。这亦与《德国联邦数据保护法》第47条项下“个人数据应合法、诚信地处理”的表述相契合。后者被德国学者视为贯穿于各种数据处理活动中的一般条款,要求在行使数据权利和履行义务时照顾对方利益。
《一般数据保护条例》的公平原则包含程序公平和实质公平两个维度。就前者而言,公平原则旨在化解数据主体和控制者之间信息和权力关系的不对称,通过解释和补充数据目的限制、准确性、问责、数据保护影响评估等规范,促使处理者考虑个人的期待、影响以及透明度,以确保处理风险和利益的平衡。就后者而言,公平原则意味着“公平权衡”(Fair balancing),法院据此将之作为一种解释工具,以权衡个人数据受保护权与数据自由流动利益。在谷歌西班牙案中,法院指出:公平权衡取决于个人数据的性质及其对私生活的敏感性、数据主体在公共生活中扮演的角色和公众获得该数据的利益。在Rijkeboer案中,法院更明确地指出:在确定数据存储时限并提供对该数据的访问时,成员国必须确保数据主体权利以及数据控制者负担之间的公平权衡。
虽然公平原则作为诚信原则的变体在《一般数据保护条例》中发挥着基础性作用,但由于其不但与合法原则、透明原则等其他法律原则相互交叉,还被视为权衡的首位原则,这使其内涵过于庞杂。如欲真正发挥诚信原则的价值,还应回归到人际关系和利益平衡之中。
(二)诚信权衡机制的中国路径
有异于欧盟,《个人信息保护法》第5条在“合法、正当、必要原则”外,增设“诚信原则”。论者多从语义上将其阐释为“始终秉持诚实、恪守信诺,不得通过误导、欺诈、胁迫等方式处理个人信息”,以及“讲究诚信,严格按照法律规定和约定处理信息,不从事任何违反处理目的和处理方式的处理活动”。显然,这一观点仅止于“守信不欺”,并未从体系角度把握其意义。为此,有必要追根溯源地探求利益平衡原理,发掘诚信原则在个人信息保护与利用中的微言大义。
如果说利益平衡所关心的始终是:处在特定关系中的一方,在多大程度上应承认并尊重另一方的利益,那么,对人际关系的辨明就成为前提性作业。在陌生人与陌生人的平等关系中,不给他人带来危险与伤害是诚信义务的第一性要求,此即罗马法谚“诚实生活,勿害他人”之本意。此时,当事人可自由逐利,但应谨言慎行,以协调本人意志与他人意志。其次,特定人与特定人之间的“特别关系”(Sonderbeziehung)是诚信义务发挥的主场。保护诚实与维护信用塑造了法律交往基础,尤其是债之关系、质押、相邻共同体、地役权等特别关系的塑造,至于竞争者之间或主张同一标的的多数债权人之间,其行为就不再以诚信衡量。在特别关系下,诚信义务亦允许当事人自利,但强调相互负有保护义务和忠实义务,以期彼此信赖与合作。具体而言,当事人应以爱邻如己的精神,用对待自己事务的注意对待他人事务,满足其合理期待,不得利用权力或能力损害他人,确保各得其所。最后,“信义关系”(fiduciary relationship)提出了最高标准的诚信义务,即“信义义务”。如卡多佐大法官所申明:受信人的道德不仅是诚实,而且是最敏感的气节,只有这样,受信人的行为标准才能在普通人的水平之上。基于此,受信人必须确保委托人利益的至上性,而不得将其自身或第三人的利益置于与委托人利益相冲突的位置。
基于利益关系的类型化,诚信原则衍生出三种利益平衡基准。其一,在平等的民事关系中,任一民事主体对他人均负有不得侵害个人信息权益之消极义务,此为社会正当秩序之必需,但并不属于《个人信息保护法》的射程范围,因而第72条私人事务例外条款排除了“非大规模的、非针对不特定人的、非反复多次的、非以营利为目的或者非出于职业需要之个人信息处理行为”适用。其二,在处理者和个人基于服务或产品提供而生的特别关系中,双方均负有促进彼此信赖的诚信义务,此为《个人信息保护法》规范之主要情景。此时,处理者不得损害信息主体自主性、选择权或决定能力,并负有公平对待的义务。在王某与腾讯个人信息保护纠纷案中,法院指出:互联网产品的提供者应在诚信原则的前提下使用和处理个人信息,实现个人数据权益保护与数据流动发展之间的平衡。与《一般数据保护条例》下公平原则的实质层面类似,《互联网信息服务算法推荐管理规定》细化了《个人信息保护法》自动化决策的要求,明确将“公正公平、公开透明、科学合理和诚实信用”作为原则。另一方面,个人亦不得滥用权利。在李永卓与抖音网络侵权纠纷案中,法院指出:个人及处理者在行使个人信息相关权利和处理个人信息时,均应恪守诚信原则,原告的查阅、复制权须兼顾对其他主体个人信息的保护,就查阅、复制形式方面,应结合个案中信息的种类、储存方式和复制成本等因素综合判断。最后且最重要的是,诚信原则还要求权衡个人和处理者的利益轻重,在考量保护和照顾前者的义务后,通过对处理者正当利益的肯认实现利益平衡。就此而言,虽然我国并未明确引入《一般数据保护条例》的“正当利益”条款,但借由诚信原则,依然能迂回实现其功能。例如,在许某某与被告深圳市丰巢科技有限公司个人信息保护纠纷案中,法院认为,将合法收集的包含个人信息的证据向人民法院提交,未侵害原告的个人信息权益,无需其同意。在凌某某与北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷中,法院指出被告读取及匹配通讯录的行为不会对原告产生打扰,亦不会不合理地损害其利益,且可满足其他有社交需求用户的利益和行业发展需要,属于对该信息的合理使用。放宽视野看,《个人信息保护法》第13条下“为订立、履行个人作为一方当事人的合同所必需”而处理个人信息正是利益均衡的体现。由于是否构成“合同必需”只有通过在个案中探究当事人的真意才能发现,任何基于规则的事前权衡不仅挤压了当事人意思自治的空间,更是对“均衡”的刻舟求剑式探求,此即《常见类型移动互联网应用程序必要个人信息范围规定》的根本痼疾。其三,在行政机关处理个人信息而生的不对等关系中,前者对个人负有信义义务。尽管《个人信息保护法》就国家机关处理个人信息专辟一节,但宣示意义大于实质意义:大量个人信息处理活动均以“履行法定职责”的名义开展,甚至于人脸识别只要求“遵守国家有关规定”(第26条)即可,而无需另外寻求法律、行政法规的授权。此外,《个人信息保护法》将之前草案第36条“国家机关不得公开或者向他人提供其处理的个人信息”删除,在当前积极推动政务数据共享和公共数据授权运营的背景下,亦可能导致个人信息的过度利用。为矫正保护与利用的失衡,亟待引入诚信机制,通过对行政机关课以不可变更和减损的忠实义务、勤勉义务,弥补规范缺失。
结 语
个人信息保护与利用的平衡是数字时代的核心议题之一。对该问题的回答往往陷入非此即彼的悖论:或认为法律中蕴含着唯一正确的均衡,或认为国家机关可以自由创设和解释法律。究其实质,前者奉“涵摄”为圭臬,后者视“权衡”为完全主观的决断。对此,本文试图揭示这一“假两难推理”的佯谬,立基于各国行之有效的多元权衡机制,经由“两阶四层”的权衡体系和由上而下的“漏斗”设计,逐步缩限国家机关的权衡空间,促进其在结构拘束下作出妥当决定。在一阶权衡阶段,法律应当退回到私人决定权的分配和再界定上,协助个人与处理者基于市场机制实现“受规整的自治”(regulated autonomy)。在二阶权衡阶段,立法机关先依据比例机制进行抽象性权衡,形成顶层的价值秩序,再由行政机关遵循场景机制和风险机制确立个人信息分类分级的权衡规则,最后由司法机关运用诚信机制作出个案调适。当然,上述诸机制并不完全是单向维度的渐次展开,而是有着“上阶层向下兼容、同阶层优先适用”的复杂样态。个人信息保护与利用的权衡体系不但是一个权利/权力的静态分配结构,还是决策者认知不断深化和论证责任不断加重的动态过程。恰恰是在这一体系的实践展开中,权衡才获得了更理性和更丰富的生命力。
