摘 要:个人信息是铸造数字经济新优势的基础战略资源。以数据生产引发的社会风险为逻辑起点,厘清个人信息的工具属性及其背后的防御性利益,遵循安全和发展平衡治理理念,构建以市场准入管控高风险处理行为,以个人信息安全审查为基线防控国家安全风险,以个人信息监管沙箱实现保障个体安全和促进技术创新之平衡为监管路径的个人信息监管模式。行政监管和权利保护二者相互支撑并有效配合,形成防控个人信息处理风险的合力。
关键词:个人信息保护;数据生产;安全审查;监管沙箱
一、问题的提出
探索数字时代个人信息保护的有效治理模式,为《中华人民共和国个人信息保护法》实施提供支撑是一个极具时代紧迫性的研究命题。2021 年8 月20 日,第十三届全国人民代表大会常务委员会第三十次会议通过的《中华人民共和国个人信息保护法》( 下文简称《个人信息保护法》)确立了权利保护和行政监管双轮驱动的个人信息综合治理模式。然而个人信息保护实践中,权利保护和行政监管的双轮如何协同运转实现保障个人信息安全的目的,《个人信息保护法》未予明确解答。《个人信息保护法》之立法目的是保护私权,还是保障公共安全和国家安全; 《个人信息保护法》主要是以权利为中心来实现保护目的,还是通过监管督促个人信息处理者履行个人信息安全保护义务? 这是决定个人信息保护立法和实践底层逻辑的两个基本问题。学界对此一直存在不同认识: (1)权利保护模式。王成教授认为权利保护模式更适合中国的立法及司法现实。(2)综合保护模式。张新宝教授提出应采取行政规制和民事保护多管齐下的治理模式。程啸教授提出对个人信息应采取公法与私法并重的综合保护方法。丁晓东博士提出基于风险防范的目的,应侧重消费者保护和公法保护路径。(3)监管主导模式。王锡锌教授以个人信息受保护权为逻辑起点,提出以防控个体风险和社会风险为目标,以公共监管与执行机制为中心,形成防范各类风险、辐射信息处理全流程、公法和私法多元手段协同的个人信息保护机制。
现有研究着眼于回应现实问题,聚焦于微观制度和具体规则设计,从不同角度论证个人信息保护模式(路径),为《个人信息保护法》落地实施提供了有益参考。然而,由于疏于个人信息保护深层机理之剖析,特别是脱胎于早期互联网思维和背景的“权利保护模式”理论,未全面关照和回应个人信息深度挖掘和利用的时代需求。本文以数据生产引发的社会风险为逻辑起点,通过追问个人信息本质属性,结合个人信息安全态势和保护对象的特殊性,尝试提出以行政监管主导的个人信息保护模式。
二、数据生产及其外部性
数据生产是以收集和使用大量个人信息为基础,对个人信息进行汇聚、比对、分析、提取等处理行为得出新认识(关联性)的生产方式。从数据生产的视角看,《个人信息保护法》不仅需要权利模式保护个人信息主体免受个人信息处理的损害,也需要行政监管解决个人信息处理的负外部性问题。
(一)数据生产的基本原理
数据生产的关键要素是信息,尤其是机器可读以数据形式存在的信息,可以将其转化为关键的生产资源,最终目的是提取和积累财富。大数据的相关性(或称关联性)是数据生产的核心,也是数据产生经济价值的主要因素。企业根据用户交易记录、搜索记录、浏览记录以及其他行为信息分析判断相关群体特征进而预测或者改变他人的行为,此即数据的关系价值。数据的关系价值驱动了数据收集、访问、共享和使用的许多需求。单一个体的数据价值微乎其微,但收集个体数据的边际成本非常低,个人信息处理者可以较低的成本收集大量的个人信息。个人信息与其他类型的数据结合起来,数据的价值就会不断增长,此即数据的汇聚效应。算法模型训练数据的质量和数量是影响整体性能的最大因素。更多的数据意味着会出现更好的模型,这使得数字产品能够更好地预测数据主体以及其他与数据主体共同具有相关特征的个体。因此,大规模的数据收集和聚集成为数字经济中的关键竞争优势。
数据生产中个人信息主体的法律定位,不再是独立的个体,而是被视为通过用户共同特征和相同行为模式进行分类的群体成员。个人信息处理者通过对特定群体成员进行分类和排序,在此基础上对个体进行分析并根据结果采取相应行动,如推荐符合个体爱好、倾向以及需求的商品或者服务信息,此即个体在数据生产中的价值。个人信息处理者处理个人信息的主要目的是分析和得到个体之间的关系,进而对群体行为模式有所了解,如电子商务平台经营者可以通过处理大量搜索记录预判一年四季服装的流行色。对群体的“认识”可称为“数据产品”,数据产品可以应用于包括个人信息主体在内的所有具有这些群体特征的个人。数据生产的结果是根据特定群体的共同特征将人们彼此联系起来,这既是产生社会价值的基础,也是社会风险的来源。
(二)数据生产影响个体自主性
数据化和个人信息处理代表了我们与内心深处自我享受关系的终结。个人信息处理者利用算法将个体呈现为特定类别或者特定行为模式,利用持续监视和收集个人信息进行反馈和微调推送参数,通过算法对个体进行操作。这种循环将理解主体的算法方式重新写入主体本身,削弱了主体自我形成和实现自我意志的能力。算法使个体成为一个固定、透明和可预测的人,侵蚀了个体独立思考、享受与内在欲望的特权关系、了解自己的思想并根据自主选择表达思想以及控制自己作为社会、政治和经济存在的能力。
(三)数据生产危害社会公共利益和国家安全
数据生产超越了以个人信息处理合同为基础的个人信息收集和使用关系,背后代表和体现的利益超越个体法益。超级互联网平台掌握的“数据权力”不仅能够通过分析、使用和出售数据攫取经济价值,还可以利用定向推送等操控新闻舆论甚至影响政策走向。剑桥分析公司通过27万名“这就是你的数字生活”应用程序用户的社交网络数据( 用户的朋友和家人的信息)获取了约8,700万用户(美国有7,060万用户)的个人信息。这些信息被用来训练一个定向推送程序,该应用程序根据Facebook的1.9亿美国用户对于特定推送信息做出的反应,向其中一部分用户推送微目标政治广告用以影响选民倾向,最终影响了美国总统选举的走向。剑桥分析公司事件表明,《个人信息保护法》不仅要防范违法处理个人信息对个人合法权益的侵害,还要防控数据权力滥用威胁国家安全。
三、个人信息行政监管的功能定位
个人信息的工具属性决定了个人信息的利益属性为防御性利益。为防控数据生产对个体权益以及社会公共利益、国家安全的影响,个人信息保护要求国家综合运用权利保护和行政监管等手段对个人信息处理的广度和深度进行积极调控,保护个人人格和自由全面发展,应对数字时代人的生存困境。
(一)防御性利益需要多种保护手段实现
服务于社会交往的工具属性是个人信息的本质属性,识别性仅是个人信息工具属性的基础。个人信息的识别性不足以成为法律要保护的利益,个人信息的工具属性特质既是个人信息保护的逻辑起点,也是理论落脚点。不同于信息隐私,个人信息保护的主体维度是独立和理性的自我,个人信息保护的最终目的是防止外界对个人自主性、个人理性的不当影响。个人信息仅仅是功能性的,而非独立的被保护的客体存在。法律不是为了保护个人信息而保护个人信息,而是保护个人信息上附着的其他需要法律保护的利益,即个人信息在处理过程中因负外部性可能损害的个人人身或者财产权益、公共利益、国家安全利益。在此意义上,个人信息保护仅仅是保护相关权益的工具和抓手。
个人信息无法被个人直接控制的事实决定个人信息并非直接支配的利益,个人信息主体与个人信息处理者之间围绕个人信息收集使用的外部效应进行的博弈,决定了个人对其个人信息的自主利益是一种“防御性利益”。这种防御性利益体现为三个层次: 一是特定自然人需要采取措施防止遭受人身财产权益的危险或者避免损害的利益需求; 二是不特定多数人防止数据滥用的社会公共利益诉求; 三是国家防控政治安全、文化安全、信息安全等安全风险的利益需求。防御性利益无法采取直接控制的手段和方式实现,可以考虑通过法律明确个人信息收集使用的界限以及具体的处理规则,由监管机构监督、个人信息主体督促个人信息处理者严格依照法律规定处理个人信息而实现。
(二)行政监管和权利保护的分工与衔接
权利保护的逻辑起点是强化个人信息主体对个人信息处理行为、过程的控制以及对自动化决策结果的异议,以此防控个人信息违法处理和滥用给个人带来的伤害。从权利适用场景和法律效果看,《个人信息保护法》规定的查询权、访问权、复制权、可携带权、更正权、删除权基本上是确保个人得以参与数据处理过程的程序性权利。以程序和工具性权利规范非对称权力结构下的个人信息处理行为,确保个人信息处理活动公开、透明、准确、安全,从而对个人信息滥用行为进行纠偏,是个人信息赋权的目的。当个人行使上述权利无法制止个人信息违法处理或者滥用行为且遭受损害时,个人信息主体可以向人民法院提起侵权损害赔偿之诉,通过诉讼手段救济个人信息权益。
从保护的理念与方式看,行政监管并不意味着国家权力渗入到个人信息处理的每一个环节和动作,而是通过赋权的方式调动个体的积极性,从而在公共监管的规制网络中形成国家保护与个人参与的协力。依照《个人信息保护法》第50 条的规定,个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。当违法处理个人信息侵害个人信息权益而个人信息处理者拒绝个人行使权利的请求时,如果违法处理行为未侵害肖像权、名誉权、荣誉权、隐私权等具体人格权和财产权,个人可以向履行个人信息保护职责的部门投诉,由履行个人信息保护职责的部门依照《个人信息保护法》第66 条进行处理; 当违法处理行为侵害个人信息权益以外的具体人格权或者财产权时,个人可以依法向法院提起侵权之诉。
行政监管并非否定人的理性和自治在个人信息保护中的作用,而是要在合理分配不同主体的权利、义务和责任的基础上,帮助个人信息主体克服有限理性、提升自我保护能力,“助推”个人之自治、尊严和自由的实现。在数据控制理由体系中,各种功能和目的可以同时存在甚至叠加,控制的手段之间并不完全冲突,只会相互强化。个人提升安全意识,发现违法处理个人信息时及时向有关部门举报,个人行使权利与行政监管进行有效衔接,是个人信息综合治理体系的应有之义。如同数据可携带权防控垄断危害一样,个人制止侵权行为不仅是维护自身合法权益,也是维护社会公共利益和国家安全。行政监管和个人积极行使权利有效衔接,不仅不会产生叠床架屋的感觉,相反会通过二者相互支撑和有效配合,形成防控个人信息处理风险的合力。
(三)通过行政监管防控社会风险
个人信息处理方式变化直接导致个人面临人格尊严和自由的威胁发生变化,同时风险由个人延及社会乃至国家。特定个人的数据可能会通过两个数据集的链接影响另一个人,数据的关系效应导致数据生产中的个体损害与集体损害是统一的。此外,App违法处理个人信息的行为往往会影响几千万甚至几亿用户,因为违法处理行为并非一对一的单一违法行为,而是因App的功能设置违法,如强制用户开启非必要的位置权限收集用户位置信息,致使该App所有的用户都是受害者。此外,基于算法的定向推送虽然以“千人千面”的形式出现,但最终的结果均体现为操控不特定用户的个体意志和自由。个人信息处理者通过信息比对、分析实现影响同类主体的目的,对群体起到支配、贬低甚至边缘化的作用。
《个人信息保护法》不仅要关注数据滥用对主体自我形成和自我实现等个人能力的影响,更要关注数据生产对社会公共利益和国家安全的威胁。保护个人信息,归根到底是应对元宇宙、物联网、大数据、云计算、人工智能等新技术新应用带来的挑战,通过驯化科技这种异化力量保护人的自由、尊严、安全和财产,防控科技异化对人的主体性、社会秩序和国家安全的威胁。从群体利益视角看,数据治理的首要任务并非强调个人控制自己的数据或最大化个人利益,而是形成必要的组织机构来代表和保护数据生产中的相关群体利益。如果不能创造数据有序生产的社会环境和条件,个人利益保护也就无从谈起。由此可见,规范个人信息处理的主要理由存在于公共领域——即针对数字技术时代个人信息的滥用或泄露,从社会风险控制视角理解个人信息保护,国家作为社会风险的宏观预防和管理主体当无疑义。
四、个人信息行政监管的展开
目前监管的重心是压缩个人信息处理者的收集范围,在监管实践中体现为对超范围收集个人信息行为的通报和处罚。然而,无限制的压缩收集范围以及限制分析、共享、使用个人信息,势必会造成数据资源结构性浪费和紧缺,对数字经济发展而言无异于釜底抽薪。鉴于个人信息处理场景的多样性以及风险的复杂性,需要根据个人信息类别、处理目的和方式、处理场景、具体处理行为和风险程度,综合采用市场准入、安全审查以及监管沙箱等手段,构建涵盖整个个人信息处理生命周期的个人信息保护体系。
(一)市场准入制度
从保护公共利益和维护国家安全的角度,对个人信息处理数量巨大或者频繁处理敏感个人信息的个人信息处理者,应当设置适当的备案或准入机制。市场准入是防控个人信息处理社会风险和国家安全风险的第一道防线。通过对个人信息处理者进行资质审查,评估其是否具备充分的个人信息保护能力,并结合过程监管,可以有效减少个人信息处理者,特别是从事代为收集、数据清洗、挖掘与分析的专业数据机构发生泄露或者滥用个人信息的安全事件,防止大规模个人信息泄露导致的个人财产损失、名誉损害以及个人信息滥用引发的公共安全和国家安全风险。《个人信息保护法》第32条明确授权相关法律、行政法规可以对处理敏感个人信息的个人信息处理者设定行政许可。目前,《中华人民共和国人类遗传资源管理条例》和《征信业管理条例》明确规定处理人类遗传资源信息、个人信用信息需要取得监管部门的行政许可。考虑到人脸信息、虹膜、指纹、声纹、掌纹、耳廓等个人生物识别信息和行踪轨迹、个人精确定位信息、步态识别信息以及儿童敏感个人信息发生泄露或者被非法使用,会严重损害个人信息主体人身安全或者财产安全,正在制定过程中的《网络数据安全条例》应明确处理上述信息的主体应当经过相关部门批准。
(二)个人信息安全审查
对个人信息处理行为进行审查是国家和社会层面安全保护的基本要求,它属于国家安全和社会风险维度的强控制领域。个人信息安全审查作为数据安全审查的重要内容,是指审查机构针对个人信息处理活动可能引发的国家安全风险进行识别、控制、缓解和防范的活动,发挥着个人信息处理活动基线控制的功能。个人信息安全审查以防控个人信息处理活动可能引发的国家安全风险为审查目的,以个人信息处理活动为审查对象,确保个人信息处理活动安全可控。
个人信息安全审查作为遵循底线思维防范重大风险的措施,只应覆盖那些具有高度风险盖然性的个人信息处理行为。因此,审查内容应聚焦于个人信息流动、汇聚、挖掘利用过程中给政治安全、经济安全、文化安全、社会安全、军事安全等带来的风险,确保个人信息处理的安全可控性。大量个人信息汇聚行为、外资并购、个人信息分析利用行为等数据处理行为影响或者可能影响国家安全的,应当纳入个人信息安全审查的范围。
(三)个人信息监管沙箱
依托信息网络技术进行的个人信息收集和利用具有隐秘性,个人信息保护机构缺乏必要技术手段无法触达个人信息违法收集和利用行为,更无法采取有效管控措施。为实现个人信息处理安全可控的目标,除对高风险的个人信息处理行为进行个人信息安全审查外,还可以考虑通过个人信息监管沙箱设立受监管的“安全空间”,用于测试需要处理个人信息的技术、产品和服务的安全性和合规性,确保创新和个人信息处理以负责任的方式进行,与个人信息安全审查和法律责任一起构建一个持续性的风险评估、风险监控、风险处置的个人信息安全保障机制。
监管沙箱概念起源于金融服务业,后拓展至个人信息保护领域。个人信息监管沙箱是将个人信息处理置于一个相对隔离的真实环境下进行测试,沙箱中的个人信息处理行为不会触发常态化监管,而是通过测试发现个人信息处理过程中不符合个人信息保护法律法规的功能设计以及存在的潜在风险,并据此对产品或者服务的设计进行调整、修正,以降低或者消除个人信息处理风险的措施。监管沙箱可以对个人信息处理的整个生命周期进行测试,如个人信息处理者的系统是否存在安全漏洞引发个人信息泄露的风险,算法是否存在偏见从而对个体产生歧视,个人信息共享是否安全可控等,特别是个人信息共享、个人信息分析与利用、个人信息出境等高风险处理行为应纳入重点测试内容。
五、结语
以网络技术为基础的信息革命,是继工业革命后推动人类前行的最伟大动力。互联网的强大生命力来源于对数据的深度分析和充分利用。个人信息是铸造数字经济新优势的基础性战略资源。个人信息保护领域,没有绝对、放之四海而皆准的理论和保护模式。个人信息保护法的颁布,并不意味着保护模式“盖棺定论”。协调行政监管和权利保护的关系,对个人信息保护法规范理论厘清和规则实践引导至关重要。个人信息保护模式往往是在综合考量国内历史文化、技术实力、产业发展状况的基础上做出的选择。在国际形势发生巨变的背景下,探索能够确保国家安全,又能平衡个人安全、产业发展和技术创新的个人信息保护模式,是当代法律人的历史使命。只有建立个人信息主体对数据控制者的合理信任机制,即个人信息不会被违法收集、利用和泄露时,个人信息主体才能为互联网创新和发展提供源源不断的“原材料”。通过监管构建数据生产过程中个人信息主体和个人信息处理者之间的信任,避免将权利人和个人信息处理者置于相互割裂的矛盾斗争中,寻求个人信息处理者和个人信息主体间乃至包括国家政府在内的个人信息利益相关方的共识。
