【摘 要】在大数据时代,个人信息的保护与使用面临着严峻挑战。当前的个人信息问题治理过于依赖“个人控制”模式,忽视了信息主体的有限理性、个人信息处理的复杂性以及个人信息自身的公共性,因而无法有效应对个人信息问题治理所面临的挑战。回应型治理理论以回应型法理论和现代治理理论为基本理论渊源,将关注焦点从个体的权利建构转移到相关主体的治理责任,确立了以责任为核心、具有整体性的个人信息问题治理模式。在个人信息问题的回应型治理模式下,个人信息问题治理应当分别从强调多元主体合作、加强政府的保护和监管责任、强化企业自我治理和采纳多元治理手段等路径入手,展开具体的治理实践。
【关键词】个人信息保护;个人控制;回应型治理
在大数据时代,信息技术的飞速发展在促进生产和便利生活的同时,也给个人信息带来了巨大的风险。一方面,对个人信息的过度收集和使用导致个人信息面临着严重的安全风险。无处不在的数据收集和使用行为使个人信息处于随时可能被泄露的危险境地。另一方面,不透明的、不负责任的算法设计对个人信息进行过度挖掘和滥用,这可能会使用户遭受不公平待遇。算法的使用者基于性别、年龄、种族、信仰、受教育程度、健康情况、财产状况、行为偏好等对用户进行画像,并以此为基础给予用户差别待遇。针对这些问题,各国政府出台了大量的法律文件,但这些法律文件却过于依赖以“告知—同意”为实现机制的“个人控制”模式。“个人控制”模式忽视了个体的有限理性以及信息控制者对个人信息的巨大需求,一方面无法有效保护信息主体的相关权利,另一方面也阻碍了信息控制者对个人信息的合理使用。
基于“个人控制”模式所存在的不足,学界逐渐认识到,有必要提出新的个人信息问题治理模式。对于“个人控制”模式过于关注信息收集行为的合法性和合理性却严重忽视信息使用行为的问题,有学者主张,应在个人信息保护立法中引入“场景与风险管理”模式,将个人信息问题治理的关注点转向对个人信息使用行为的规制。同时,鉴于信息控制者在个人信息保护中的重要作用,有学者提出,应以培育信息控制者的自我治理机制为目标,以构筑有效的外部执法威慑为保障,探索与激励机制相容的个人信息问题治理之道。也有学者认为,个人信息问题治理应该以“社会控制论”为理论基础,将个人信息视为社会公共资源,由社会来决定对个人信息的使用。然而,“场景与风险管理”模式无法涵盖个人信息问题治理所涉及的所有主体与环节,同时在理论深度方面有待被进一步挖掘,而以“社会控制论”为基础的个人信息问题治理模式则未能对“社会控制”式个人信息保护模式的具体实现路径进行深入阐述。回应型治理模式尝试为错综复杂的个人信息治理问题提供一个理论基础和解决框架,它将关注点从对个体权利的保护转向对信息控制者、监管部门等相关主体的责任的分配,以期确立一种具有整体性、灵活性的治理框架。
一、“个人控制”模式:个人信息问题治理的传统路径及其缺陷
(一)个人信息问题治理的“个人控制”模式
当前,对个人信息问题的治理主要通过“告知—同意”机制来实现。这种机制也被称作“知情—同意”或“告知—选择”机制,其基本内容为信息控制者的告知义务和用户的选择权。信息控制者在对个人信息采取相关行为时,必须事先通知用户,在征得用户同意以后,方可收集和使用个人信息。而用户在得到通知以后,对于是否同意信息控制者收集和使用其个人信息以及何时撤回其同意,均享有选择权。在当前的商业实践中,“告知”一般体现在信息控制者所提供的隐私政策当中,隐私政策会详细地说明信息控制者将要收集的信息内容、收集信息的目的、信息被使用的方式等。用户则主要通过点击“同意”或“接受”按钮,来表明其已知悉并同意信息控制者将要对其个人信息所采取的行为。为保证这一机制的有效运行,“个人控制”模式对信息控制者的数据实践规定了一系列的限制性原则,包括目的限制原则、公开原则、安全原则等。目的限制原则是指,信息控制者对个人信息的收集与使用应该与其在收集个人信息之前所确定的目的相一致,且关于个人信息的后续使用与转让也必须与此目的相一致。公开原则是指,信息控制者对用户个人信息所采取的行为应该保持公开、透明的状态。这些行为既包括信息控制者对个人信息的收集、使用和披露,也包括信息控制者为确保个人信息安全所采取的诸种措施。安全原则是指,信息控制者应该建立关于个人信息安全的保障制度,采取一系列安全保障措施,以确保对个人信息的收集和使用在安全的环境中进行。通过“告知—同意”机制的要求以及对信息控制者的个人信息收集和使用行为的限制性规定,个人信息保护的相关规定确立了一种程序性的个人信息保护和使用模式。
就其本质而言,这种以“告知—同意”为实现机制的个人信息问题治理模式是一种“个人控制”模式,它赋予个人关于信息收集、使用、处理和流转的控制权,以避免个人信息被非法收集和使用。从个人信息保护的角度来看,个人的“同意”是个人信息被收集和使用的前提,对于是否允许信息控制者收集和使用其个人信息以及个人信息被收集和使用的范围、方式等,个人都有选择权和决定权。而从个人信息使用的角度来看,信息控制者对个人信息的收集、存储、分析、使用和处理都要在获得用户同意的基础上进行,并遵循一系列限制性规定。这种以“个人控制”为路径的个人信息问题治理模式是“理性人”观念在个人信息保护和使用制度上的体现。在近现代西方法律制度中,“人”的形象具有完全理性的特点,能够正确认识其所面对的事物,并作出符合其自身利益最大化的决策。受此观念的影响,“个人控制”模式假设信息主体对关于其个人信息的各项操作具有完全的认知能力,能够在信息充足的情况下作出正确决策,能够预见自己行为的后果并承担相应的责任。在“理性人”观念的影响下,个人信息保护问题被简化为“个人控制、个人选择和个人责任的问题”。
(二)“个人控制”模式的缺陷
首先,从信息主体的角度来看,“个人控制”模式过于依赖个体的理性选择,因此忽视了个体在面对复杂条件时的理性不足。“理性人”观念认为,人是理性的个体,能够作出使自身利益最大化的决策,所以,在使用特定的商品或服务之前,用户会认真阅读隐私政策,并根据其内容作出相应的决策。然而,“理性人”观念本身已经被证明存在着严重的内在缺陷,不能完全反映真实的认知和决策场景。行为经济学、认知神经科学等学科的研究和发展也越来越多地证明,人的理性是有限的,人在认知和决策的过程中,会受到“框架效应”“禀赋效应”“现状偏好”等因素的影响。在具体的个人信息收集和使用场景中,由于企业所提供的隐私政策往往非常冗长、枯燥,并充满了极为晦涩的专业术语,因此,用户很难有耐心和能力对其完整阅读。即使用户充满耐心地阅读完这些隐私政策,也会由于“有限理性”和“认知局限”的存在,难以做到有效理解。同时,由于大数据条件下个人信息的使用场景和商业模式极其复杂,所以,即使用户完全理解了企业的隐私政策,也很难准确评估同意个人信息被收集、使用和披露所带来的成本与收益,难以作出明智的决策。除了收集和使用个人信息的流程过于复杂,远超一般人的应对能力,数据聚合技术的发展也增加了个人信息问题治理的复杂性。在数据聚合技术的影响下,那些在被收集时本不具有可识别性的数据通过和其他数据片段的结合,可能会成为能够识别特定个体的个人信息,致使个人很难在数据收集的起始阶段就有能力对此作出判断和决策。
其次,从信息控制者的角度来看,大数据时代的商业模式和技术特点使得信息控制者很难制定出完整而准确的隐私政策。在大数据时代,由于数据的价值潜力更多地蕴含在对数据的二次使用或未来使用中,所以,信息控制者几乎不可能在数据收集的起始阶段就完全确定数据收集的范围和使用方式。“大数据时代,数据的价值从它最基本的用途转变为未来的潜在用途。这一转变意义重大,它影响了企业评估其拥有的数据及访问者的方式,甚至迫使公司改变他们的商业模式,同时也改变了组织看待和使用数据的方式。”
基于对自身利益的考量,信息控制者往往会尽可能多地收集个人信息,这是因为,只有占有了海量的个人信息,才可能为未来的技术创新和商业竞争提供充足的数据资源。同时,信息控制者获得的个人信息越多,他们针对用户所进行的“用户画像”就越准确,所作出的个性化推荐和精准营销的商业价值也就越高。“大数据的价值不再单纯地来源于它的基本用途,而更多源于它的二次利用”,“很多数据在收集的时候并无意用作其他用途,而最终却产生了很多创新性的用途”。因此,即便是使用数据的信息控制者,也无法在一开始就确定数据未来将会被用于什么用途,当然也就无法在隐私政策中明确告知个人信息的所有用途。为了实现自身利益最大化和个人信息的潜在价值,信息控制者会把尽可能多的个人信息项目列在隐私政策中,这使用户的“同意”行为的作用偏离了制度设计的初衷。
最后,从个人信息的自身属性来看,个人信息具有一定的公共属性,这使得立基于私人属性的“个人控制”模式无法满足数据流通与使用的需要。在“个人控制”模式下,由于个人信息与信息主体的人身利益和财产利益息息相关,因此必须赋予信息主体对个人信息收集、使用和处理的控制权,以维护其人格尊严和财产利益。然而,个人信息不仅仅与个人利益有关,同时还是大数据时代的重要社会资源,它对企业的技术创新、商业模式创新及政府的治理方式创新均是至关重要的。
个人信息不仅仅是关于个人身份和特征的事实或记录,而且是重要的资源。个人信息的价值更多地来自于企业和公共机构对个人信息的收集、储存、分类、分析等加工过程,只有经过加工的、规模巨大的、类型多样的数据集才是有价值的。企业需要能够反映用户偏好、习惯和行为模式的“用户画像”信息,以便进行个性化推荐和精准营销;政府需要全面、准确、及时的统计数据,以便作出公共决策和提供公共服务;科学研究也需要全面的数据样本,以便发现社会现象之间的联系,从而得出科学的结论,并在此基础上提供有价值的建议。从某种程度上说,个人信息可以被视为公共物品来进行治理,以更好地促进个人信息的共享和流通,更好地发挥其社会价值。由于个人信息对于其他主体的利益和公共利益具有重大价值,因此,个人信息问题治理不能仅考虑信息主体的权利保护,还必须综合考虑企业和政府等多元主体的利益。“个人控制”模式将注意力过度集中于信息主体的权利保护,忽略了个人信息的公共属性及其他主体的利益诉求,这与大数据产业及数字经济的发展方向背道而驰。
二、回应型治理:个人信息问题治理的新思路
在大数据时代,数据技术飞速进步,商业模式不断创新,利益诉求复杂多样,这对治理体系的灵活性和包容性提出了更高的要求。有效的个人信息问题治理必须立基于推进国家治理体系和治理能力现代化的大背景,要“契合网络社会存在机制,嵌入现实社会治理体系,并融入法治中国进程”。在构建个人信息问题治理的制度体系时,需要在保持制度本身的系统性和完整性的同时,对不断涌现的技术进步和商业创新以及多元化的价值主张保持足够的敏感性、回应性和包容性。回应型治理理论吸收了回应型法理论和现代治理理论的观点,为应对个人信息问题提供了一种新的治理框架。
(一)回应型治理理论
1.回应型法理论
对于个人信息问题的有效治理,需要在法治的框架下进行。在充满变化和不确定性的技术革新时代,社会治理需要一套能够有效回应复杂问题的法律制度。20世纪70年代,为回应美国社会所面对的剧烈冲突与变化,诺内特和塞尔兹尼克提出了“回应型法理论”,并将法的类型划分为压制型法、自治型法与回应型法。回应型法理论的提出是为了弥补自治型法所具有的以程序为中心的形式主义、规则体系封闭、法律与政治分离、缺乏回应现实问题的能力等缺陷。首先,回应型法理论强调,目的在法律制度设计中应居于支配地位,规则、政策和程序均须服务于法律的目的,以使法律在保持完整性的同时,兼具开放性和灵活性。其次,回应型法是一种以问题为中心的制度体系。回应型法理论“鼓励对公共秩序的危机采取一种以问题为中心的、社会一体化的态度”,“由此而来的结果就是推动了对危机的整体解决方案的探求”。再次,回应型法理论更加注重探索规则和政策的内在价值,其能够统合形式正义和实质正义这两大法治理想,克服自治型法所具有的以程序为中心的形式主义缺陷。最后,回应型法理论坚持多元主义的观点,强调权威来源和规范渊源的多样性。强调多元化,是以目的为支配地位的法律体系的应有之义,因为“对目的的持续肯定所需要的那些能量和资源,最终不可能单凭法律的创新来完成”。
总的来说,回应型法理论强调一种以目的为导向、以社会问题为中心的法治理念,具有很强的灵活性、开放性和能动性。在这一理念之下,回应型法理论强调,法治不应被局限于以法律程序为中心的封闭规则体系中,而应该以法律所欲实现的目的为导向,以规则所蕴含的实质价值为依归。同时,在法的目的与价值的实现路径上,回应型法理论强调权威主体与规范渊源的多元化,主张法治中的多元主体之间的合作,而不应拘泥于法律规则。从本质上说,回应型法是一种具有较大能动性、较高认知能力以及较强适应能力的制度体系,它能够更好地应对快速变迁的社会环境和复杂多元的利益格局。
2.回应型治理理论
回应型法理论的价值不仅在于其确立了一种制度模式和法治蓝图,而且在于其精神和特质可以被移植和扩展到整个治理事业中。首先,回应型法理论与现代治理理论在基本理念、目标、内容等方面不谋而合。现代治理理论强调多元主体共治,治理的主体既包括政府,也包括社会组织、企业和个人。在治理方式和治理手段的选择上,现代治理理论强调,既要坚持正式制度的重要地位,也要发挥其他社会规范和技术等多种治理手段的作用。在治理的价值目标上,现代治理理论既坚持公共利益和公共道德的主导地位,也尊重利益的多元和文化的多样。可以看出,在应对复杂多变的社会问题时,回应型法理论和现代治理理论均主张联合多元主体,统合多种利益诉求,融合多样治理手段。其次,基于复杂多变的社会现实,现代治理理论有必要将回应型法理论的理念与方法引入自身的价值取向和运行逻辑之中,以更好地应对不断变化的社会环境。在大数据时代,商业模式的创新和技术的进步使得我们的治理体系必须以一种积极灵活的姿态去面对层出不穷的新问题,而在解决这些新问题时,还必须兼顾不同主体之间的利益冲突和权利义务分配问题,也就是说,既要保障公民的权利,也要注意不能过度钳制新型经济的发展。所以,有必要将回应型法理论和现代治理理论进行有效对接,形成回应型治理理论。回应型治理不但能够以社会问题为中心,保持较大的灵活性、能动性和包容性,而且能够有效平衡多元主体之间的利益冲突,调和形式正义与实质正义的矛盾,容纳尽可能多的治理手段与治理资源。
现代治理理论本身的丰富性和多层次性也为应对复杂多变的现代社会问题提供了充沛的理论资源。自20世纪90年代以来,为应对不断变化的社会现实问题,现代治理理论取得了长足的发展,各种新观点和新方案层出不穷。在治理层次上,现代治理理论包含全球治理、国家治理和地方治理。在治理模式上,现代治理理论主要包括网络化治理和整体性治理,其中,网络化治理主要强调政府和非政府行动者之间的合作,而整体性治理则强调政府内部的不同部门和不同层级之间的合作。如果说回应型法理论为个人信息问题治理确立了一个法治框架,提供了一项制度选择,那么,现代治理理论就是从治理主体、治理结构等角度拓展了个人信息问题治理的图景。
(二)个人信息问题的回应型治理框架
根据回应型法理论的理念,在设计制度和机制时,应当以问题为中心,以目的为导向,唯有如此,才能保持足够的灵活性与回应性。现代治理理论中的整体化、网络化理念,对于厘清大数据时代纷繁复杂的利益关系以及合理分配多元主体的责任均有极大的借鉴意义。因此,回应型个人信息问题治理应以治理焦点的转换为主要抓手,以“整体性”的治理结构为实现治理目标的框架。
1.以“责任”为核心的个人信息问题治理理念
治理问题的焦点在于治理主体,而治理主体的主要问题在于不同参与者在治理事业中所承担的责任。相比于“个人控制”模式这种以信息主体权利为焦点的治理模式,回应型治理是一种以责任为基础的治理模式。回应型个人信息问题治理之所以将关注点从信息主体的权利转移到治理主体的责任上,主要是由于它对大数据时代的新的社会关系和权力结构的关切。信息控制者在为我们提供更好的商品和服务的同时,也将我们的个人信息存储于他们的服务器。数据是我们生活的留痕,通过对数据的掌握,信息控制者不仅可以了解我们的过去和现在,也可以在一定程度上预见我们的未来,更可能据此影响乃至控制我们的生活。封闭的数据生态链、隐而不见的算法“黑箱”、信息控制者对技术和信息的垄断以及个体的相对“无知”与“非理性”,使信息控制者与信息主体之间的权力不对称问题越来越严重。
从权力理论的视角来看,大数据本质上是一种现代权力范式和权力叙事,这种权力在运行的同时也不断地生产着新的社会关系。信息主体虽然是数据的创造者,但这些数据往往是碎片化、非结构化的低价值数据,只有对这些数据进行收集、存储和分析,才能真正地占有数据,拥有数据权力。在大数据时代,信息主体越来越多地以数字化的形式参与社会生活,而那些对信息主体的数据进行分析和处理的信息控制者在某种程度上就成为了“统治者”,相应地,数据库、代码、算法等技术手段和资源则成为了他们的“统治”工具。在大数据时代,数据规模的增长与分析技术的飞跃随之而来,这使信息控制者对信息主体的控制能力大幅度提升,而那些与用户相关的账户、数据和评分则成为了控制信息主体的重要机制。面对这种前所未有的信息鸿沟和权力差距,除了通过探索权利建构来保障权利,更重要的是通过界定不同参与者的责任来限制数据权力。从效率的角度来看,与其将个人信息保护寄希望于信息主体对自身个人信息的控制,不如专注于规制信息控制者对个人信息的使用,这将更有利于治理目标的实现。
回应型个人信息问题治理以回应型法理论和现代治理理论为基本理论渊源,它从大数据时代的经济、社会和技术条件出发,有效地回应现实需求。与“个人控制”模式强调赋权于个体不同,回应型个人信息问题治理将关注重点转向信息控制者与监管机构在个人信息问题治理中的责任以及对这种责任的合理分配和实现。如果说“个人控制”模式的制度设计理念是试图“武装”数据海洋中的个体,那么,回应型个人信息问题治理则力图将信息控制者和他们的权力武器都“关进笼子”。
在回应型个人信息问题治理之下,信息控制者既有一定的活动空间,也受到相应的限制,其对于数据的收集、使用和处理活动都要在合法、合理的范围内进行。但需要说明的是,这种治理思路并不是要抛弃人的理性和自治,而是要在合理分配不同主体的责任的基础上,“助推”个人之自治、尊严与自由的实现。回应型个人信息问题治理的这一路径选择也是个人信息保护制度中责任原则的体现。自经济合作与发展组织(OECD)在《隐私保护和个人数据跨境流动指南》中确立责任原则以来,责任原则已经成为各国个人信息保护立法的主要原则之一,它要求信息控制者采取特定的措施来确保个人信息的安全和不被滥用。回应型个人信息问题治理将这一原则扩展到个人信息问题治理的整个领域和流程当中,并通过调用其他治理元素,共同实现个人信息问题治理的目标。从治理主体来看,回应型个人信息问题治理中的责任主体主要包括信息控制者和监管机构,其中,以政府为代表的公共机构又兼具着信息控制者和监管机构的身份。信息控制者和监管机构的治理责任既包括自身的个人信息保护责任和信息使用责任,也包括在双方合作中的配合与协助责任。就治理手段而言,信息控制者和监管机构履行个人信息问题治理责任的手段是多元的,既包括法律和政策手段,也包括技术和经济手段。通过对信息控制者和监管机构之治理责任的设计和执行,回应型个人信息问题治理力图平衡大数据时代的数据权力天平,以实现数据公平。
2.整体性的个人信息问题治理框架
整体性是回应型个人信息问题治理理论的重要特征,这为解决个人信息问题治理中的权责不清、保护与利用失衡以及部门之间的个性化治理问题迥异等难题提供了框架性思路。整体性的治理框架指出了大数据时代的个人信息治理所应具备的特质,有效回应了当前个人信息问题治理中的突出问题。
首先,回应型个人信息问题治理是一种多层次的治理,它包含政府治理、社会治理、行业治理、区域治理和机构自我治理等治理实践。现代治理理论本身就是一种开放的、多层次的理论,其内在包含着最小国家管理活动、公司治理、新公共管理、“善治”、社会控制体系和自组织网络等方面。所谓对个人信息保护和使用的政府治理,是指政府机构对其管辖范围内的个人信息收集和使用行为进行监督、管理的活动,它既包括政府对企业等私主体收集和使用个人信息行为的监管,也包括对其自身在公共管理过程中的收集和使用个人信息行为的管理。所谓个人信息问题的社会治理,则是指社会主体对自身收集和使用个人信息的行为进行自我治理的活动。在个人信息问题的社会治理中,行业协会治理和企业自我治理至关重要,这是因为,企业等信息从业者对个人信息的收集和使用情况了解得最全面,与大数据产业联系最为密切,也最有能力从源头上对个人信息进行有效保护和使用。回应型个人信息问题治理力求搭建一个从政府到社会的多层次个人信息问题治理框架,以期从宏观、中观、微观三个层面对大数据时代的个人信息的保护和使用进行有效治理。
其次,回应型个人信息问题治理能够有效整合关于个人信息问题的一般性治理与特殊领域的个人信息问题治理。在大数据时代,包含个人信息的数据几乎成为所有行业和领域的重要资产,有效的个人信息问题治理须尽可能覆盖所有领域。然而,不同行业和领域有着不同的行业特征和商业模式,它们所收集和处理的个人信息的内容、范围、规模和敏感程度也不一样。因此,如何在搭建一个一般性治理框架的同时,兼顾不同领域对个人信息保护和使用的特殊诉求,就成为个人信息问题治理无法回避的问题。同时,未成年人的个人信息保护具有自身的独特性和急迫性,如何在既有的关于个人信息保护和使用的法律制度中针对未成年人个人信息保护问题进行特别规定,也是个人信息问题治理所要解决的问题。回应型个人信息问题治理坚持目的在法律制度设计中的支配地位,兼具灵活性和开放性,能够有效调和个人信息问题治理中的一般要求和特殊需求之间的张力,形成在横向上全覆盖的治理框架。
再次,回应型个人信息问题治理是一种多主体的治理,它能够调动多元主体参与到治理中来。回应型个人信息问题治理的多层次性,已经内在决定了这种治理模式包含着多元主体,但这只是它的静态特征。包含多元主体的治理模式若要更好地发挥作用,就必须实现多方主体之间的合作与互动,有效统合多元的利益诉求。多元主体的参与合作体现在回应型个人信息问题治理的每一个层次之中,参与合作的各方主体也可以在开展具体的合作时根据合作主体的不同而设计出具体的合作形式。事实上,现代治理理论产生于对传统的科层制管理模式的反思,它强调政府、社会组织和公民等多元主体之间的参与、协商与合作,强调多元价值之间的认同与“重叠共识”。当前,无论在国内还是在国外,政府和业界对个人信息的保护和使用进行合作治理的现象都较为常见。美国政府在关于消费者隐私保护的报告中强调,要通过公开、透明的“多方利益相关者参与的程序”(MultistakeholderProcess)来促进多方的协商与合作,以制定具有可执行性的行为准则。荷兰政府同样采取了合作规制模式,即由政府制定一般性的个人信息保护原则,由业界制定行业的行为准则,并获得政府的批准。
我国于2017年发布了《信息安全技术个人信息安全规范》,这是一部由全国信息安全标准化技术委员会组织制定并归口管理的、由学术界专家和行业相关人员参与编写的国家标准。回应型个人信息问题治理内嵌于中国的社会治理和网络治理之中,吸收了多元主体参与、多元价值认同等治理核心要素。而数据驱动型产业模式所具有的参与主体众多、利益诉求多样、价值导向多元等现实特点,以及国内外个人信息问题合作治理的成功经验,也决定了回应型个人信息问题治理必然要将合作参与的原则吸收进来。
最后,回应型个人信息问题治理是一种采用多种工具的治理模式。所谓治理工具,是指实现公共政策目标的手段。作为一种应对大数据时代的复杂技术条件和商业模式的新型治理模式,回应型个人信息问题治理必然需要新的治理“工具箱”,以实现其治理目标。回应型法理论和现代治理理论均特别强调制度和手段的多元化,多元主义的开放性理念渗透到回应型治理的各个层次和领域,造就了回应型治理在解决个人信息问题时的手段多样性,即综合利用法律、市场、社会规范和代码所组成的多元工具体系。我国的个人信息问题治理也应采取法律治理和技术治理的二元共治结构,充分发挥法律治理与技术治理的互补作用。在大数据时代,个人信息的收集、使用、处理和流转受到多重因素的影响,每一种变量的改变都可能对个人信息的生态链条产生影响。同时,个人信息的保护和使用属于极具复杂性和专业性的问题,若仅依靠法律规范或行业自律,并不能有效解决问题。对个人信息的保护和使用,必须根据不同的场景和领域,灵活运用最合适的治理工具来实现治理目标。
三、个人信息问题回应型治理的实施路径
回应型治理理论为大数据时代下的个人信息保护与使用提供了一个新的治理模式。在这一模式下,个人信息问题治理应分别从多元主体合作、政府监管与助推、企业自我治理和治理手段多元化这四条路径展开。其中,政府监管与助推以及企业自我治理是不同主体履行自身责任的重要表现,而多元主体合作为其共同履行责任搭建了合作的网络与平台,另外,匿名化和算法治理等多元治理手段则提供着契合大数据时代需求的技术治理支持。
(一)多元主体合作:个人信息问题治理的合力
在回应型个人信息问题治理模式下,与个人信息实践相关的多元主体构成了相互合作、相互配合的网络关系,这种合作关系有助于整合多元主体的资源,共同处理关于个人信息保护和使用的重要问题,以合力应对大数据时代的复杂社会环境。
首先,在政府监管中,要增进不同主管部门之间的协作,建立不同主管部门之间的行动协调和信息共享平台。个人信息问题治理不但事关众多行政部门,包括网信办、公安、工信、工商等部门,而且也需要其他领域的主管部门的配合与协助。一方面,在制定个人信息问题治理规则时,需要充分听取相关主管部门的建议,只有在不同主管部门之间实现信息资源共享,才能制定出完整、科学的治理规则。另一方面,对于那些针对个人信息违法行为的监管和执法行动,也需要其他主管部门的帮助与配合,相关主管部门要在权限范围内积极提供自己所掌握的信息,以确保监管和执法行动更具效率和威慑力。当前,在我国的个人信息问题治理实践中,不同的主管部门共同发布政策或采取联合行动的例子并不鲜见,而如何使这样的合作进入常态化和制度化,则需要在治理实践中对其作出进一步探讨。
其次,要构建个人信息问题治理的公私合作机制,推进政府与行业协会、企业、消费者以及社会组织之间的沟通、协商与合作。一方面,政府在制定和出台关于个人信息问题治理的法规或政策时,要为相关企业、行业协会和消费者提供参与和表达的渠道,积极听取和认真考虑多元主体的观点与诉求。同时,主管部门和企业之间要搭建信息交流和共享的平台,使主管部门和相关行业、企业之间的沟通交流实现常态化、制度化,以利于公私主体在政策的制定和执行方面开展合作。对于重点行业和企业,主管部门要采取定时入驻、数据接入等措施,做到既能够对个人信息的收集和使用情况进行实时监督,又方便主管部门在违法行为发生时及时准确地采取行动。另一方面,在个人信息问题治理的公私合作中,要始终坚持政府的主导作用。在治理中,由于不同主体之间存在着治理目标多元和权责边界模糊等问题,所以,可能会出现权利冲突和主体责任难以被确定的“治理失灵”现象,对此,政府需要凭借自身的优势和能力,积极发挥主导作用。多元主体在合作中难免会出现各种问题,只有充分发挥政府在个人信息问题治理中的主导作用,明晰各方主体的权利和责任,才能构建有效、有序的合作治理秩序。
(二)双重治理:个人信息问题治理中的政府责任
在个人信息问题治理中,以政府为主要组成部分的公共机构具有“利用者和管理者的双重身份”。一方面,政府在进行行政管理和社会治理的过程中,收集和处理了海量的个人信息,是最大的信息控制者。另一方面,政府需要对个人信息的收集和使用情况进行监督管理,对违法收集和使用个人信息的行为进行处罚。相应地,政府在个人信息问题治理中的责任就具有内外两个维度,内部责任是政府作为信息控制者的责任,而外部责任是政府作为监督管理者的责任。
1.内部责任:治理原则与制度安排
个人信息是政府管理国家和社会的重要数据资源。由于大数据、云计算、物联网等技术的发展,政府收集和使用个人信息的能力得以极大提升,成为了最大的信息控制者。与企业相比,政府对个人信息的收集和使用更多地是为了维护公共秩序以及提供公共服务,因此,其对个人信息的收集和使用也具有强制性。如果说对企业收集和使用个人信息之行为的治理主要依靠私法,那么,对政府收集和使用个人信息之行为的规范则需要仰赖公法。
当前,我国既缺乏统一的、规范全领域的个人信息保护法,又缺乏规范公共领域中的个人信息收集和使用行为的专门法律文件,相关的法律规范仅散见于《居民身份证法》、《治安管理处罚法》、《政府信息公开条例》等法律法规。然而,这些既有的法律法规过于抽象和笼统,未能详细具体地规定政府的义务与责任,无法有效约束政府收集和使用个人信息的行为。关于公共领域中的个人信息问题治理,除了要建立科学的法律制度,以规范政府对个人信息的收集和使用行为,还需要从以下几个方面展开具体的治理实践。
首先,政府在收集与使用个人信息时需要严格遵守比例原则。政府收集和使用个人信息是政府行使公权力以实现公共利益的行政活动,应遵循行政法基本原则的要求,其中,与个人信息的收集和使用相关性最高的就是比例原则。根据比例原则的要求,行政主体在行使行政权力时必须是为了达到法定的目的,所选择的行政行为对公民权利的侵犯程度应最低,所采取的措施与所要达到的目的要相称。尤其需要注意的是,这里的“比例”意味着,在收益确定或基本确定的情况下,行政主体应采用对公众而言成本和风险最低的方式,亦即采用对公民权利侵害最小的方式。行政主体在收集和使用个人信息时,其所收集和使用的个人信息之内容和范围应当限于实现行政目的之必需,其所收集和使用个人信息之方式也应当与所要达到的目的相对称,并选择对信息主体侵害最小的方式。由于政府在面对个体时拥有公权力和技术方面的双重优势,因此,其在收集和使用个人信息时,应该遵循实体要求和程序要求均更加严格的行政法基本原则,受到个人信息保护法和行政法的双重约束。
其次,政府需要通过良好的制度安排来建立完善的组织、程序和实体性规则,以确保关于个人信息保护的基本原则得到实施。在建设数字政府的时代背景下,政府部门应根据自身管理领域的特点,制定相应的规章条例,对个人信息保护的主体、程序和责任进行详细规定。例如,公安部于2017年颁布了《公安信息网安全管理规定(试行)》,对公安信息网中的个人信息保护工作进行了详细的规定。而其他的部门(特别是那些收集和使用个人信息较多的部门)也应制定类似的部门性规范文件,明确本部门在个人信息收集和使用活动中的责任主体和程序规范。对此,一些与个人信息接触较多的部门可考虑参照欧盟的《一般数据保护条例》(以下简称GDPR)中关于数据保护官的规定,设置相应的职位,对本部门的个人信息保护实践进行监督管理。依据GDPR的规定,若数据控制者或处理者为公共机构或部门,可根据其组织结构与规模为数个机构或部门指定一名数据保护官员。我国的相关政府部门可根据自身的组织结构、工作任务、人事编制等具体情况,指定具有相关专业能力和资历的人员来担任这一职责,以便集中和系统地对本部门的个人信息保护实践进行管理。
2.外部责任:“助推”个人理性决策
在政府责任中,除了严格执行关于个人信息问题治理的法律规范并加强对相关主体的监督管理以外,发挥政府在信息和技术等方面的优势,帮助信息主体更好地处理个人信息问题,也不失为一种有价值的治理措施。在认知和决策方面,信息主体的理性有限,与信息控制者相比,其议价能力较弱,所掌握的信息也相对较少。因此,信息主体实现自身权利的能力受到严重限制。对于这种个人实现权利能力不足所导致的问题,有必要借助公权力的适当“帮助”,促成个人权利的实现。桑斯坦和泰勒主张,应在强制性的“家长主义”和自由放任之间追求平衡,通过“一种预言的方式去改变人们的选择或者改变他们的经济动机及行为”。在个人信息问题治理领域,政府可以凭借自身所掌握的权力和资源,在基本不限制个人选择自由的前提下有所作为,以推动公民个人信息权利的实现和数字经济的发展。在个人信息问题治理中,将“个人控制”模式与法律父爱主义的规制进路结合在一起,是一种有希望的解决思路。这种自由至上主义者也能够接受的“父爱主义”方法所体现的是一种“助推”,即对用户的选择进行设计,同时,在不禁止任何选项或不显著改变经济激励的情况下,以一种可预见的方式改变人们的行为。这种“助推”式的个人信息保护进路,既没有家长主义的限制性和绝对性,又能在一定程度上克服“个人控制”模式的不足,是一种值得考虑的替代性路径。
例如,政府部门可以要求企业改进隐私政策中的默认选项设置,以助推个体作出更优的选择。面对冗杂的条文和未知的选项,仅凭自身的理性,信息主体未必能够作出最优选择。此时,通过政府的强制性要求,将精心设计、深思熟虑且经过权威审核的较优选项呈现在信息主体面前,以减少他们作出不理性决策的概率,是一种更有效率的做法。企业在设置隐私条款时,可以像餐厅将不同食品摆放在不同位置那样,改变不同权重信息的排列顺序、不同选项的展示位置和不同选项的显著程度,从而以隐蔽的方式实现设计者的目标。我国的个人信息保护立法可以对企业的隐私选项设置提出强制性要求,要求企业的隐私政策设计必须符合特定的形式和程序。监管部门也可以建立关于隐私政策专项检查的常规机制,监督企业的隐私政策设置是否符合规定。有关部门和组织也可以公布和推广隐私政策模板或示范性隐私政策界面,以推荐企业采用符合特定默认选项设置的隐私政策。
(三)自我治理:个人信息问题治理中的企业责任
在个人信息问题治理中,企业的责任在于,通过科学的自我治理和严格的自律来保障用户的个人信息安全。自我治理注重社会主体为发展和维系自身个性而提供必要手段的能力,它强调,社会主体应依靠自身而发展出解决问题和创造机会的组织与制度。与政府治理相比,自我治理的主体对自身的结构和领域拥有更多的知识与信息,能够以较低的制度成本和组织成本来制定和调整治理规则或作出决策,从而能够更加灵活地应对不断变化的市场环境和技术条件。政府在面对某些个人信息问题时风险认知能力有限,而自我治理能够有效弥补这一缺陷,从而降低政府的治理成本,提高企业等私主体遵守规则和配合执法的积极性,充当社会在面对风险时所进行的“社会实验”。
企业在通过自我治理践行个人信息问题治理的责任时,重点是在产品设计和生产中坚持“通过设计的隐私保护”(PrivacybyDesign,以下简称PbD)理念。PbD的基本意涵是指,企业要将隐私保护注入产品或服务的设计及生产流程中的每一阶段,它最早是一个技术概念,后被拓展到信息控制者的组织架构和管理制度领域。GDPR的“通过设计和默认的数据保护”(Dataprotectionbydesignandbydefault)条款,要求数据控制者在确定数据处理方式和进行数据处理时采取适当的技术和组织措施(例如假名化以及数据最小化),以保护数据主体的相关权利。我国在推进企业自我治理的过程中,可以考虑通过包括立法在内的规范性措施,要求企业将个人信息保护的理念和要求注入其组织结构、管理制度以及产品或服务设计和生产流程中的每一阶段,构建起贯穿企业运作过程的个人信息保护责任体系。
企业在进行自我治理时,除了要坚持PbD以外,还要在内部建立数据保护的影响评估制度(DataProtectionImpactAssessment,以下简称DPIA),以识别和预防那些可能对个人信息保护产生威胁的风险,更好地履行企业作为信息控制者在个人信息保护方面的责任。DPIA是指,在进行数据处理之前,特别是在采用某种新技术或新业务模式之前,应就该处理活动对信息主体之权利所可能产生的影响进行评估。我国在未来制定个人信息保护法时,有必要将DPIA予以规范化和制度化,以法律的形式强制要求相关企业建立自己的个人信息安全影响评估制度。由于不同领域、不同部门的商业模式和技术特点存在差异,加之需要适用DPIA的情形和条件也存在一定差异,因此,可以考虑在个人信息保护法中对该制度进行一般性规定,并将可能产生高风险的情形交由行业协会进行研究确定,且向相应的监管机构进行备案。企业在完成评估以后,需要对评估报告进行记录备份,并定期向监管机构报告。在发现数据处理活动存在较高风险时,企业应针对该风险采取降低风险的措施,并将该措施上报监管机构进行审核。监管机构应在特定的时限内,组织相关领域的专家对该措施进行评估和审核,并给出措施合规与否的结论以及相应的完善修改建议。
(四)技术治理:个人信息问题治理的多元手段
1.匿名化:个人信息保护与使用的平衡
个人信息问题治理,不仅要加强对个人信息的保护,也要在此基础上保障对个人信息的合法使用和自由流转,以促进数字技术的发展。从技术层面来说,匿名化技术是指,在数据发布阶段,将数据上的个人信息及敏感符号进行删除或修改,使之无法再指向特定的自然人。信息控制者使用匿名化的方法将原本具有可识别性的个人信息进行去识别化(de-i-dentification),不仅可以实现对个人信息的保护,也可以在不征得信息主体“同意”的情况下合法地处理个人信息。匿名化能够有效降低信息控制者在处理和使用个人信息时的合规成本,保证个人信息流转的顺畅进行,实现个人信息保护和使用之间的平衡。
在现有的个人信息问题治理制度体系下,经过匿名化处理的个人信息由于不再能够识别特定的自然人,自然会被排除在个人信息保护法的适用范围之外,信息控制者在处理个人信息时,具有相当大的自由度。匿名化能够在一定程度上减轻信息控制者和信息主体在个人信息保护实践中的“告知”与“同意”负担,促进数据的自由流动及开发利用。遗憾的是,当前的法律制度对于匿名化的规定过于简单笼统,未能对匿名化的要求和评价标准进行详细规定,这有赖于未来的法律和自律性规范对其进行完善。
必须强调的是,对于已经被匿名化的数据,信息控制者并非不承担任何义务。技术总是处于不断的发展和进步之中,新技术的出现和应用会不断突破既有的技术屏障,带来新的机会和问题。在匿名化技术不断发展的同时,去匿名化技术(亦被称作“再识别化技术”)也在不断进步。由于新的分析技术和其他类型的数据的出现,原本不具有可识别性的数据可能会再次被聚合成新的个人信息。因此,信息控制者应该在技术层面不断提高匿名化的水平,筑牢个人信息保护的技术屏障。同时,针对在数据匿名化过程中可能存在的风险,信息控制者应该在匿名化的操作前和操作中进行数据风险评估,并采取相应的安全保障措施。总之,数据匿名化并非一劳永逸的个人信息保护技术,信息控制者应该对可能出现的新技术、新数据和新情况保持足够的警惕,不断利用技术措施和管理措施来确保数据不再具有可识别性。
2.算法治理:通过算法的个人信息保护
当前,从本质上看,个人信息所面临的风险主要来源于技术发展与制度因应之间的巨大张力,而且,制度的稳定性与技术的急速发展更将这种张力拉扯到极致。为了缓和这种紧张关系,我们不仅应对制度进行及时调整,而且应尽可能地采取技术措施,从根源上解决问题。在大数据时代,个人信息所面临的风险不仅包括信息泄露风险,还包括算法滥用所导致的对信息主体的歧视性待遇。目前,企业和公共机构越来越多地通过算法来作出针对个体的自动化决策,这些决策包括信息流推荐、定价、评估、是否授予某种资格等。然而,这些与信息主体的利益息息相关的算法却可能带有设计者或使用者的某种偏见或歧视。由算法滥用所带来的歧视性待遇在我们的日常生活中比比皆是,例如,电商网站通过对用户画像对老用户开示更高的价格,保险机构使用特定的算法对身体存在健康隐患的用户征收更多的保险费用,信用卡发卡机构基于对信用信息的分析而对不同用户确立不同的费率,这些都是“算法社会”所面临的难以承受之重。事实上,算法已经成为我们无从得知其内容的“黑箱”,围绕着对算法的垄断和滥用,正在形成一种“算法暴政”。
算法“黑箱”所带来的歧视和不平等问题,本质上来源于算法设计者和使用者与用户间的不对等权力关系。算法设计者和使用者对用户知之甚祥,并能够根据算法分析来作出影响用户权益的决策,而用户对于算法的设计原理和运行流程则几乎一无所知。由于算法设计者和使用者在经济、社会和技术等方面拥有优势,传统的“赋权”手段并不足以保护个体的权利,所以,必须通过多种手段,为算法设计者及使用者加上法律和伦理的“紧箍咒”。就治理重心而言,大数据时代的算法规制应将重心放在算法设计者、算法使用者和监管机构的责任上,以实现算法规制的责任与成本在不同主体之间的公平合理分配。算法规制责任的分配必须准确地反映大数据时代不同主体在知识、信息、经济、权力等方面的实力对比,以确保权力与责任的对等。就治理手段而言,对算法的规制应从技术本身出发,技术和政策并举,综合运用多样化的规制手段。“法律进入算法不能靠立法者和规制者的单方面努力,而需要法律人与技术人员的合作。”我国在制定个人信息保护法时,可以对算法的设计和使用进行原则性的制度安排,强制要求算法设计者和使用者在设计算法时遵循特定的标准。同时,个人信息保护法应该作出规定:算法设计者和使用者有义务对算法进行记录、留档和解释,而监管机构应该定时组织第三方评估机构对此进行评估。
结语
在大数据时代,数据规模的激增与数据处理技术的革新使得传统的个人信息问题治理的“个人控制”模式面临越来越多的问题和困难。如何构建一种有效回应大数据时代现实特点的治理模式,成为亟待解决的问题。回应型治理模式是一种在法治框架下的以责任为核心的整体性治理模式。它通过推进多元主体合作、加强政府监管与助推、完善企业的自我治理以及采用多元化的技术治理手段,有效地回应了理论和现实需求。
当然,回应型个人信息问题治理并非完全排斥“告知—同意”机制的理念、原则和相应的制度安排,也不拒斥个人控制式的个人信息治理模式。事实上,由于这些理念、原则和制度安排已经体现在相应的实证法规范中,凝结了长期的实践经验,所以,其价值内核与制度安排都有可以与回应型个人信息问题治理相兼容之处。比如,我国学者拟定了多个版本的《个人信息保护法》草案,有的草案还在个人信息类型化、各方利益衡量、立法模式等方面进行了积极探索。虽然这些尝试仍然立足于“告知—同意”机制,但已经对其进行了“柔韧化”处理,即为多主体的多元、多重治理留下了较大的制度空间,为重新配置个人、国家与企业三者之间的权利义务奠定了基础,为变信息处理前的静态合规遵循为信息使用中的动态风险控制提供了可能。
总之,个人信息问题治理是一项综合、复杂的系统工程,它不仅关涉个人信息保护,也与数据的商业化使用、公共利用、流转和共享等数据生态链条上的所有环节密切相关。个人信息问题治理涉及众多的法律部门,需要多方监管机构和多元社会主体的参与合作,因此,需要在多元复杂的利益格局中艰难前行。未来的个人信息问题治理必将内嵌于整个数据治理的宏大事业之中,与数据治理协同共进、统筹发展。这也进一步要求个人信息问题治理需要与数据利用模式和数据处理技术的发展创新保持高度契合,在权利保护的原则性和数据流通的灵活性之间,保持足够的适应性。因此,学术研究也要避免孤立地研究个人信息保护问题,而应从数据治理的整体角度来审视问题,寻求个人信息保护在数据治理中的安放之地。