摘 要:数字时代应有效回应信息科技引发的新型信息风险。日益广泛的个人信息处理行为不仅可能会给个人带来多种风险,影响个人人格的全面自由发展,而且可能会对社会与国家造成重大安全隐患。有效保护个人信息,既需要公私主体消极不侵犯个人信息,又需要国家通过不断完善体制机制积极治理信息风险。在风险治理组织上,宜吸收大部制机构改革的历史经验,设立统一的个人信息保护专门机构实施“一站式监管”。在风险预防措施上,应对个人信息进行科学的分类分级以进行不同安全等级的信息风险预防,并以安全与效率的平衡为理念设计个人信息保护影响评估、个人信息出境安全评估等制度。由于个人信息保护执法裁量空间巨大,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制以促进企业合规。为了更全面有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。
关键词:信息风险;个人信息保护影响评估;个人信息出境安全评估;风险治理
在传统的自然灾害风险和工业科技风险之外,信息风险成为了数字时代危害最大的新型风险。无论是个人进行日常的工作和生活娱乐,还是数字经济企业开展商业活动,抑或是数字政府提供政务服务或实施行政规制,都无法完全摆脱日益广泛的个人信息处理。信息科技的突飞猛进发展为个人生活带来了极大的便利性,为经济发展赋予了新动能,为国家治理提供了新手段,但同时也给人类带来了新的不确定性。数字时代的信息风险与日俱增,风险治理面临新挑战;如果不采取有效的应对和防范措施,则随时可能对个人、社会和国家造成严重损害。
近年来,学者们从多个角度对个人信息保护进行了卓有成效的研究,但从风险治理视角展开研究的相对较少。有学者以风险社会为视角,研究了个人信息保护公益诉讼、涉疫情个人信息的刑法保护等问题。也有学者提出应研判个人信息面临的新风险,认为当前的个人信息保护主要依赖“基于权利的方法”,应从“基于风险的方法”层面完善个人信息保护。还有学者提出在数字法治政府建设中,应建构以风险规制为导向的个人信息保护机制。总体而言,个人信息保护的风险治理理念在我国逐渐受到关注和重视,但相关研究仍然较为匮乏。为了更好地实现个人信息保护的公共目标和功能,风险控制维度的价值选择或许更优。风险治理是个人信息保护的核心任务,“如何将预防原则进一步进行制度构建和细化,仍需进一步的经验总结与规则表达”。
现今,风险已成为世界各国和地区保护个人信息的新边界和关键指标。在实定法上,欧盟《通用数据保护条例》中“风险”一词多达75次。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第11条明确要求“预防和惩治侵害个人信息权益的行为”,整部法律4处使用“风险”,5处使用“安全评估”,3处使用“影响评估”。2022年12月中共中央、国务院发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》要求“积极有效防范和化解各种数据风险”,建立“安全风险可防范的数据可信流通体系”。“风险和风险管理理念在数据保护领域的重要性呈爆炸性增长”,通过风险治理实现个信息保护的范式转换,可以“帮助社会创建响应系统”。风险治理的方法论可以为信息保护提供“有力的理论工具和切实可行的解决方案”,避免不必要的、可预防的损害,并有助于提高技术创新带来的社会收益。
人类已进入信息风险社会,确立以风险治理为视角的个人信息保护新型模式至关重要。个人信息作为最为广泛的数据类型之一,必将在数据要素市场中得到更加普遍的流通利用,由此也将引发更多的信息风险。本文以风险治理为视角,结合《个人信息保护法》的相关条款,对数字时代的信息风险类型、风险治理组织的科学设置、风险治理措施的理性实施和惩治责任的合理配置进行体系性研究,以期为个人信息保护法治的不断完善提供智识参考。
一、数字时代的新挑战:信息风险
信息风险是由信息处理行为造成的不确定性威胁,也称为信息安全风险。智能科技的广泛应用、大规模监控系统的普遍设立,使得个人信息被收集的范围日益扩张,被处理的频率不断提高。无论是数字经济发展,还是数字政府和数字社会建设,都需要大量个人信息。个人信息主体同个人信息处理者的身份分离已成为常态,几乎每个人都无法完全摆脱自身信息被随时处理的境地。“在发达现代性中,财富的社会化生产与风险的社会化生产系统相伴。”个人信息处理在产生大量社会财富的同时,也引发了日益普遍的信息风险。不适当的个人信息处理不仅可能对个人造成灾难性后果,而且还可能对社会和国家带来重大安全隐患。
(一)个人信息处理对个人的多重风险
不适当的个人信息处理行为可能会给个人带来多种风险,不仅可能对隐私权、人身权、财产权、平等权等大量权利造成不可逆的损害,而且还可能使个人终身处于“信息安全惶恐”的不安状态,阻碍个人健全人格的自由形成。
首先,个人隐私被侵犯的风险。信息科技的快速发展在给人类带来便利性的同时,也使得个人隐私变得岌岌可危。网站运营者收集和处理用户个人信息的实践,在很大程度上处于不为外人所知的“黑箱”状态。移动互联网应用程序强制、频繁、过度索取权限,非法读取照片、窃听谈话、获取地理位置等现象较为常见。数字化使得原本不会留痕的即时沟通,可随时随地留下痕迹而被违法收集。未经同意的拍照、截屏、视频,私人场合的言论,经常被随意发布到网络空间,给当事人造成重大影响。无处不在的个人信息处理行为导致大量的个人私密信息被刺探、侵扰、泄露、公开,从而不仅会破坏个人私生活的安宁,而且还可能导致个人的社会评价降低。
其次,人身与财产等权利受侵犯的风险。违反合法、正当、必要原则的个人信息处理行为,会引发大量次生违法犯罪行为。一些互联网企业通过大量收集个人信息进行“用户画像”,极易用于实施侵犯个人财产权利的行为。在胡某某诉上海携程商务有限公司案中,法院认为被告采集和使用了非必要的信息,而且将用户信息分享给第三方的做法无限加重了个人信息使用风险,“大数据杀熟”构成价格欺诈和欺骗行为,应当退一赔三。个人信息交易的“产业化”,导致“精准式”个人信息依托型电信诈骗犯罪情势愈发严峻。姓名、身份证号码、通讯方式、住宿信息、行踪轨迹、财产状况等大量个人信息,被非法获取而用于实施诈骗、敲诈勒索、盗窃等犯罪行为,导致个人的生命、健康、财产等处于极度危险之中。
再次,被歧视的风险。无论是人为的信息处理还是自动化决策,都可能产生新的不平等,引发被歧视的风险。“谁拥有了足够的数据,谁就可能占领市场的主导地位。”基于大数据技术的推论分析可以用于推定用户偏好,判断敏感性特征(如种族、性别、性取向),识别观点(如政治立场),有利于实行个性化推荐、提供差异化服务,从而实现商业决策的智能化。然而,“算法黑箱”普遍存在,决定过程的透明度较低,个人信息处理“可用于助推或操纵用户”。数字时代个人的知情权、平等权随时可能被侵犯,多种多样的歧视决定不断产生。
最后,人格自由得不到全面发展的风险。由信息科技引发的信息风险更具有危害性,最终会影响个人人格的全面自由发展。传统的风险如瘟疫、地震、洪涝等自然风险,核能泄漏、环境污染、产品质量等工业科技风险,主要会对个人的财产和生命健康造成物质性或肉体性损害,一般不会影响人格自由。个人信息同人格尊严紧密相关,信息风险可能妨碍个人人格的自由发展。如通过监控进行的信息处理,可能会对个人行为产生寒蝉效应,仅仅对监控的感知就可能足以抑制个人行为。由于担心信息安全,个人在社会中的行为将受到极大的自我限制,个性得不到全面自由发展甚至会被扭曲。基于算法的个性化推荐导致的“信息茧房”,极易使个人处于封闭状态而产生极端的认知偏见,尤其会影响未成年人健全人格的形成。个人面临着受平台权力支配、压迫甚至奴役的现实风险,容易因为“被工具化”及“数字化”而丧失作为人的主体性地位。不适当的个人信息处理行为对个人人格的自由发展,可能造成毁灭性的社会影响。
(二)大规模处理个人信息容易引发公共风险
个人信息处理行为还可能引发系统性公共风险。某些个人信息尤其是敏感个人信息、特殊群体的个人信息,事关国家安全等重大利益,“已经超越个体层面而具有特殊的公共利益价值”。大规模处理个人信息,已不只是会对个人造成风险,最终必然给社会和国家造成重大安全隐患。近年来,全球数字贸易呈爆炸式增长,数字经济发展的国际化使得个人信息出境日趋频繁。个人信息出境极易带来不可预测、不可控制的安全风险,不仅可能严重威胁个人的人身、财产、生命安全,甚至还会对一国的经济安全、政治安全、国家安全带来重大威胁。数字时代信息处理的广泛性、互联性和复杂性,增加了个体风险的系统性,进而产生了“去届分化”的社会风险。个人信息的不当利用会影响国家的基本秩序,如选民被操纵、国家秘密被泄露、群体歧视加剧。超级平台对个人信息的垄断会使其利用优势地位攫取垄断租金,压制新创企业的成长和发展,导致经济结构失衡。
一旦大规模个人信息违法跨境流动,将可能对国家公共安全造成重大威胁。如“滴滴出行”上市被罚80.26亿元事件,充分表明个人信息出境的公共风险。2022年2月15日施行的《网络安全审查办法》第7条明确要求:“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”互联网企业尤其是关键信息基础设施运营者在境外上市,可能导致大量个人信息被外国政府控制和恶意利用,从而可能带来国家安全风险。
综上,数字时代的信息风险具有极大的未知危害性,可能会对个人、社会和国家造成不可控、不可逆的巨大灾难。我国在线上线下多领域全方位实行实名制,“信息产业野蛮生长,信息买卖畸形繁荣”。由于个人信息处理的普遍性和瞬时性,信息网络传播的广泛性和难控性,强化信息风险治理至关重要。在数字时代,信息风险治理不仅涉及个人权利和人格尊严,关系数字经济的发展壮大,更涉及社会公共安全乃至国家安全。违法处理个人信息的直接后果是使权利被侵害的风险升高,其侵犯的利益是安全,而安全是一种包含人格、财产与公共利益的复合型利益。在信息风险社会,积极构建新型的风险治理体制机制已刻不容缓。
二、风险治理视角下个人信息保护机构的科学设置
组织设置是否科学,直接决定着信息风险治理的效果。我国个人信息保护法确立了个人信息保护分散执法体制,即网信部门“负责统筹协调”,政府部门“在各自职责范围内负责”。虽然个人信息保护分散执法体制有利于发挥不同部门的专业优势,但其存在一些难以克服的弊端。有效治理数字时代无处不在的信息风险,需要吸收我国大部制机构改革的历史经验,借鉴域外的有效做法,设立统一的个人信息保护专门机构,并完善个人信息保护负责人制度。
(一)个人信息保护分散执法体制的弊端
我国当前的个人信息保护体制,属于分散执法模式,呈现出“碎片化”的条块分割管理特征。各级网信部门、公安部门、工信部门、市场监管部门、邮政快递管理部门、征信管理部门等众多机构,都具有个人信息保护的相关职能,但行使个人信息保护职能的专门机构并不存在。《个人信息保护法》第60条规定:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。”虽然国家网信部门具有主导地位,对个人信息保护进行“统筹协调”,但并非专门的个人信息保护机构。2014年发布的《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》明确规定,国家网信部门的职责是“负责全国互联网信息内容管理工作,并负责监督管理执法”。网信部门并不主要聚焦于个人信息保护,而是侧重于促进互联网信息服务健康有序发展,维护国家安全和社会重大公共利益。个人信息保护分散执法体制,存在以下弊端:
其一,难以消除个人信息保护的部门本位主义。个人信息保护监管权限较为分散,有利于发挥各自的专业优势,但却存在监管标准不统一、协同合作困难等弊端,最终不利于保护个人信息。长期以来,“因分工过细造成部门林立、职责交叉和多头指挥”,部门权力本位主义盛行,将部门利益置于公共利益之上,甚至对其他部门采取不合作、不支持、不协助的消极对策,导致执法效率低下。一些部门更是通过制定规则、标准,将部门利益法制化。《个人信息保护法》第62条规定,国家网信部门统筹协调制定个人信息保护具体规则与标准、推进网络身份认证公共服务建设、推进个人信息保护社会化服务体系建设、完善个人信息保护投诉与举报工作机制。但网信部门的“统筹协调”实际效果究竟如何有待观察。此外,地方网信部门易受地方政府意志的支配,可能产生一定的执法偏差,影响法律效果。
其二,极易导致个人信息保护执法争议和权责不一致。法律不可能为每个部门都划定清晰的权力边界,况且认识偏差难以完全消除。“九龙治水”容易导致职权混乱。在个人信息保护的一些公益诉讼案件中,检察院竟然找不到“适格”的行政主管机关。多个部门都负有个人信息保护职责,容易产生执法争议。对于某些个人信息违法行为,既可能都去管而不当干扰互联网企业的正常运营,也可能相互推诿都不管而损害公共利益。无论是多头执法,还是监管不作为,都不利于保护个人信息。更为糟糕的是,由于多个部门都负有相关保护职能,一旦出现信息风险损害,就可能最终没有任何部门承担责任。“面对风险社会不确定性的叠加效应,政府和公众都难以找到真正的责任主体,从而导致更大的风险。”
其三,容易诱发执法腐败。众多的政府职能部门同互联网企业接触更紧密,更容易被“俘获”或主动“寻租”,导致个人信息保护法律得不到公正执行。通过设立统一的个人信息保护机构,对其人财物的相对独立性予以制度保障,可以防止相关部门对个人信息保护正常执法的不当干预,可以减少“监管俘获”“权力寻租”“选择性执法”等徇私枉法现象。
其四,不利于个人信息保护的国际交流与合作。网络具有无界性,个人信息跨境流动日益普遍,单靠本国或本地区的力量越发难以有效保护个人信息。《个人信息保护法》第12条规定:“国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。”在数字贸易蓬勃发展的背景下,个人信息保护机构较为分散,不仅无法形成统一的力量与声音,而且由于缺乏同域外的个人信息保护专门机构相对应的组织,必然导致个人信息保护国际交流与合作效果较差。
综上,个人信息保护分散执法体制,难以消除个人信息保护的部门本位主义,极易导致执法争议和权责不一致,容易诱发执法腐败,不利于个人信息保护的国际交流与合作。个人信息保护执法成效不彰,一些行政执法部门在不作为与运动式执法两个极端之间来回摇摆,缺乏确定性与可预期性。“分散式的监管主体缺乏统一性和独立性,无法有效地统领个人信息保护监管的大局。”
(二)基于风险治理设立统一的个人信息保护机构
设立统一的个人信息保护机构,实施“一站式监管”,可以更有效地进行信息风险治理。通过配备专业的执法人员,可以有效消除多头管理、打破行业藩篱、统一监管标准、形成执法合力。集中化的行政组织通过创设“风险议程”有助于合理确定规制的优先次序,可以更好地配置规制资源,有利于汲取科学知识而不受政治与民意的过度干扰。统一的个人信息保护机构还可以对处理个人信息的国家机关进行有效监督,可以克服政企不分、政事不分带来的个人信息保护不力的弊端。
数字时代的信息风险与日俱增,仅靠个人无法有效保障自身信息安全。首先,个人信息保护的告知同意机制日益流于形式。虽然我国民法典、个人信息保护法确立了个人信息处理的多元同意机制,但仍然无法有效预防信息风险。个人不仅缺乏足够的时间与耐心去认真阅读所要同意的内容,而且“就像处在计算机时代初期一样”难以完全理解隐私政策。源于小数据时代的告知同意机制已陷入困境,无法有效保护个人信息。其次,告知同意机制的例外情形极易导致个人信息被滥用。同意只是合法处理个人信息的一种情形,《中华人民共和国民法典》(以下简称“《民法典》”)确立了不经同意的个人信息合理使用制度。《个人信息保护法》第13条规定为订立或履行合同所必需、为实施人力资源管理所必需、为履行法定职责或者法定义务所必需等情形,可以不经同意而处理个人信息。随着数字经济的不断发展,告知同意机制的例外情形必定会越来越多。个人在很多时候并不知道大量个人信息被处理,风险防范无从谈起。最后,个人的理性是有限的,为了一时便利或收益,可能并不特别关注信息风险;而且,由于存在认知局限,个人往往难以全面评估风险大小。数字时代的个人同个人信息处理者之间,存在严重的权力不对等和信息不对称,私法自治在个人信息保护领域显现出明显的局限。个人力量很薄弱,缺乏制衡能力与信息资源的个人,难以有效应对“数据权力”而引发的风险。在信息风险社会设立统一的个人信息保护机构,具有重要的时代价值。
设立统一的个人信息保护机构,既符合我国多次机构改革的历史实践,也顺应世界趋势。我国一直存在“九龙治水”、多头执法等监管困境,探索多年的大部制机构改革取得了很好的成效,如设立城市管理综合执法部门、行政审批局、国家金融监督管理总局、国家市场监督管理总局。从最初的行政处罚权相对集中到行政许可权相对集中,再到市场监管权的相对集中,都表明监管机构的统一设置可以在某种程度上提高行政效率,消除多头监管、执法扰民等顽疾。从全球范围来看,设立统一的个人信息保护机构已成为世界潮流。如欧盟、英国、日本、韩国等都成立了专门的个人信息保护机构。欧盟《通用数据保护条例》特别要求各成员国建立一个或多个独立的数据保护机构(DPAs),其第六章专门规定“独立监管机构”,对监管机构的独立性、成员任命、规则设立、管辖权限、职责、权力等事项提出了具体要求。
为了保障个人信息保护机构履职的公正性与科学性,人、财、物的配置应具有相对独立性。基于行政组织法的观察,独立机关的建置旨在处理特别需要专业化或必须充分顾及政治与社会多元价值的公共事务,确保行政权的行使系在专业、公正与中立的考量下完成。风险行政组织不仅要符合行政组织法的一般原理如法治、民主,还要与风险治理的特性相适应如独立性、科学性。实证研究表明,拥有独立数据保护机构的国家,个人信息保护的效果更好。设立统一的个人信息保护机构如个人信息保护委员会,可以借鉴证监会、国家金融监督管理总局、国家市场监督管理总局等大部制机构的设立经验。为了防止机构膨胀而禁止设立新机构或限制人员编制,不能成为不设立统一的个人信息保护机构的法律理由。为了不至于造成过大的财政负担,可以整合相关部门的职能,抽调相关人员组成专门的个人信息保护执法队伍。当然,设立统一的个人信息保护机构,并不必然否定特定领域特定机构的个人信息保护职责,如金融、医疗等监管机构可以行使个人信息保护的特定职能。2023年我国新成立的国家数据局,可能逐步演化成为负责促进数据利用和保障数据安全的专门机构。
此外,有效治理信息风险离不开互联网企业。作为私主体的信息处理者应在合理的成本范围内,完善内部组织架构以积极预防信息风险。构筑信息处理者主动作为的组织体系,使个人信息保护成为内在价值追求。欧盟《通用数据保护条例》较为详细地规定了数据保护官(Data Protection Officer, DPO)制度。其第32条要求数据控制者和处理者采取适当的组织措施,以确保与风险程度相一致的安全等级。其第38—39条规定相关主体应以透明的方式,任命具有专门数据保护知识的数据保护官。如果经评估必须设立DPO,则应保障其任命、权利和职责符合强制性规定,并为其独立履职提供充足的资源。我国个人信息保护法第52条只是较为简单地提出,“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”。对于个人信息保护负责人制度,需要进一步作出细化规定,以使其能对个人信息处理者的个人信息处理活动以及采取的保护措施进行独立有效的监督。
三、信息风险治理措施:效率与安全平衡
有效治理信息风险,需要公私主体积极采取适应数字时代的风险治理措施。当前对个人信息保护的风险治理存在一些问题,治理措施的被动性特征还较明显,信息风险预防不足。“运动式”执法不仅会导致监管不平等,而且会使监管缺乏可预期性,从而不利于构建公平竞争的网络市场秩序,进而易阻碍数字产业的发展。此外,政府相关职能部门往往更加重视对国家和社会重大网络安全事件的防范,对个人信息保护关注不够,执法过于宽松甚至监管不作为现象较常见。无论是作为个人信息保护者,还是作为个人信息处理者,政府都应积极采取切实有效的措施预防信息风险。
(一)作为个人信息保护者的政府:积极预防信息风险
个人信息保护的关键在于信息风险预防。《个人信息保护法》74处使用“应当”,16处使用“不得”,为个人信息处理者设定了大量的义务。政府不仅需要通过制定规则明确个人信息处理者“应当”干什么、“不得”干什么,更应当积极主动作为,努力预防风险。个人信息最终关涉人格尊严,有效保护个人信息,是政府不可推卸的宪法义务。不同于传统的食品药品安全、地震、洪水等风险具有区域性、一次性特征,信息风险呈现无界性、反复性特征,对个人、社会和国家的影响更大。个人信息一旦违法公开即可瞬间在全球广泛持久扩散,潜在危害往往具有不可知性、不可控性和不可逆性。例如,具有直接识别性、不可更改性、不可匿名性等特征的人脸信息,一旦滥用就可能带来“不可小觑甚至是难以估量的”终身风险。如果信息风险转化为现实,就可能导致无法弥补的巨大灾难。《民法典》人格权编注重事先防范和事前预防,是人格权独立成编的重要价值。预防重大风险是当代中国治国理政“底线思维”的要求。在数字时代,政府应当采取多样化措施预防信息风险。
其一,对个人信息进行科学的分类分级,实施不同安全等级的信息风险预防。同一主体不同的个人信息,有着不同的重要性需要差别对待。即使是同一或同类个人信息在多元场景中被处理,也可能引发不同程度的信息风险。“不同类型个人信息的法益属性和保护重心是不一样的,个人信息分类分级具有重要的法益识别和风险防范功能。”为了既能基于场景将信息风险控制在可接受的安全等级水平,又可以促进个人信息的流通利用,应对个人信息进行科学合理的分类分级管理。实行个人信息分类分级管理,是实现个人信息保护和数字经济发展平衡的必然要求。我国网络安全法第21条要求网络运营者“采取数据分类”措施,我国数据安全法第21条明确规定“国家建立数据分类分级保护制度”。《个人信息保护法》第51条只是要求“对个人信息实行分类管理”,删除了《个人信息保护法(草案)》一审稿第50条“对个人信息实行分级分类管理”中的“分级”一词。
在产业数字化、数字产业化的新背景下,只有对个人信息既分类又分级,才更有利于采取同风险程度相适应的风险预防措施。当前对个人信息分级的规定相对匮乏,主要侧重于分类。《民法典》将个人信息分为私密信息和一般个人信息。我国数据安全法区分了重要数据和一般数据。《信息安全技术 个人信息安全规范》区分了个人敏感信息和一般个人信息。《个人信息保护法》在一般个人信息之外提出了敏感个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。即使同样属于敏感个人信息,但对个人的价值也存在差别,如生物识别信息,相比于金融账户信息,一般更具有重要性。不同类信息和同类信息都可以分为不同等级。
尽管对于个人信息分级存在难度,但个人信息关涉的人格尊严无大小,在个人信息分类的基础上进行分级是必要的。《法治政府建设实施纲要(2021—2025年)》要求根据“风险程度确定监管内容、方式和频次”。为了更好地预防信息风险,除了国家层面应积极探索个人信息的分类分级,还应推动不同部门、行业、地区,结合场景对个人信息进行具体的分类分级。如《金融数据安全 数据安全分级指南》《证券期货业数据分类分级指引》《工业数据分类分级指南(试行)》,对数据的分类分级作了较好的尝试。“数据分级分类与开发开放,亦事关数字法治政府建设的成败,理应予以高度重视。”
其二,充分运用治理科技提高风险预防效能。通过将大数据、区块链、人工智能等新兴科技应用到风险治理过程中,可以更高效地进行风险识别、风险评估和风险应对。不同于传统的“监管科技”,“治理科技”以信息科技为纽带,以“数字治理”为基础。一方面,它以“合规科技”的面貌,将国家法律的原则和规则转化为个人信息生命全周期的科技保护;另一方面,它以“赋能科技”的面貌,通过降低法律执行成本、当事人交易成本等方式赋能各利益相关方。信息科技本身容易造成信息风险,但也能有效降低风险。政府应积极发挥领导组织作用,善于大胆运用治理科技,并引导个人信息处理者积极运用治理科技,推动建立激励相容的信息风险预防机制。
其三,合理发挥标准对个人信息风险治理的指引功能。标准可以为信息处理行为提供可操作的具体方案,有利于弥补法律之治的缺陷与空白,减少信息风险。如《信息安全技术 个人信息安全规范》《App违法违规收集使用个人信息自评估指南》等标准规范,在《个人信息保护法》颁布前,对个人信息保护起到了不可忽略的积极作用。《个人信息保护法》第62条明确要求国家网信部门统筹协调有关部门“制定个人信息保护具体规则、标准”。然而,脱胎于计划经济的标准化体制,受政府影响过大,个人信息保护标准发生了异化,如标准内容法律化、推荐性标准实施过程中被变相强制化、团体标准未经验证而被行业标准吸纳。政府应当抛弃工具主义的管制思维,保障国家标准、行业标准、地方标准等标准制定的科学性与民主性,实现个人信息风险预防法律之治与标准之治的有机结合。
综上,有效保护个人信息需要政府主动作为,积极采取切实可行的措施预防信息风险。然而,强调对信息风险的事前预防,并不等同于应过度运用事前许可手段。信息风险预防需要遵守比例原则、平等对待原则等要求,应当说明理由,保障公众的参与机会,并根据情况变化及时进行评估与调整。在信息风险预防理念上,既不应放任个人信息处理造成的潜在风险而消极不作为,也不能夸大个人信息处理导致的危害而追求零信息风险。为了更好地采取风险治理措施,科学合理的信息风险评估必不可少。
(二)信息风险评估的科学合理展开
风险评估是风险治理的重要环节。基于风险评估的个人信息保护可以使信息处理者尽到更大的责任,以遵守相关法规。传统的风险评估主要由政府进行,但对于数字时代的信息风险而言,由于互联网企业是海量个人信息的日常处理者,更具有信息、技术、效率等优势进行风险评估,所以由其进行个人信息风险评估更具有合理性和可行性。《个人信息保护法》确立了“个人信息保护影响评估”和“安全评估”制度。个人信息保护影响评估的对象是对个人权益有重大影响的个人信息处理活动,由个人信息处理者实施,侧重于保障个人信息安全。特定主体向境外提供个人信息,还需要通过由国家网信部门组织的安全评估。
1.个人信息保护影响评估的范围不宜过宽
个人信息保护影响评估制度对于信息风险治理具有重要的时代价值。个人信息保护影响评估既有助于全面发现个人信息处理中的风险,以主动及时采取预防措施,也有利于对外展示保护个人信息的努力。然而,我国的个人信息保护影响评估适用范围过于宽泛,这既会给个人信息处理者造成较大的评估成本,同时也会导致评估流于形式。《个人信息保护法》第55条规定了应当事前进行个人信息保护影响评估的五大类情形,不仅涉及面较广,而且也缺乏必要的限定条件。欧盟《通用数据保护条例》在隐私影响评估基础上确立的数据保护影响评估制度,要求如果数据处理行为尤其是在运用新技术可能带来高风险时,应评估可能带来的不利影响。数据保护影响评估所涉及的范围有限,从数据类型、处理数量、处理范围等方面进行了条件限定。我国应不断完善个人信息保护影响评估的范围,注重安全与效率的平衡。
2.保障个人信息出境安全评估的独立性与科学性
向境外提供个人信息,除了应当进行个人信息保护影响评估,符合条件的主体还需要进行个人信息出境安全评估。原因在于不当处理个人信息不仅会对个人造成安全隐患,而且还容易引发公共风险。欧盟《通用数据保护条例》确立了一系列个人数据出境的安全保护制度,如基于充分性决议的数据传输、数据控制者或处理者采取适当保障措施的传输、有约束力的公司规则的传输等。我国网络安全法第37条规定,关键信息基础设施的运营者在境内存储的个人信息,“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。《个人信息保护法》第36、38、40条要求国家机关和符合条件的个人信息处理者,确需向境外提供个人信息的,应当进行个人信息出境安全评估。2024年3月22日,国家互联网信息办公室公布的《促进和规范数据跨境流动规定》对数据出境安全评估进行了相关规定。个人信息出境安全评估的对象是向境外提供个人信息的行为,主要由国家网信部门组织,侧重于保障国家安全和社会公共安全。个人信息出境安全评估主要适用于两类情形:(1)国家机关确需向境外提供个人信息的;(2)关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供个人信息的。不符合个人信息出境安全评估条件的,个人信息处理者因业务等需要,应当通过个人信息保护认证、签订标准合同等方式,保障个人信息出境安全。对于个人信息出境安全评估的具体制度,《个人信息保护法》并没有明确规定。
个人信息出境安全评估必不可少,但不宜过度强调公共安全。个人信息出境,关涉数据主权。欧盟对数据出境的限制规定,实际上“有利于建立以欧盟规则为蓝本的全球数据治理规则体系,使欧盟成为全球数字经济秩序的引领者”。然而,如果无限泛化公共安全尤其是国家安全,必将导致个人信息出境安全评估被滥用,最终不利于数字经济的全球一体化发展。国家安全概念的不确定性、国家安全审查标准的模糊性、国家安全审查结论的裁量性等原因,使得国家安全审查面临泛政治化的质疑。完善个人信息出境安全评估机制,还需要注意以下几方面问题:一是应防止安全评估流于形式,不断完善评估内容与程序,保障评估的独立性与科学性。对于国家机关向境外提供个人信息的评估,应克服知识局限,积极寻求有关部门的支持与协助;对于私主体向境外提供个人信息的评估,应防止安全评估组织被“俘获”。二是贯彻发展的眼光,风险具有动态性,信息安全保障义务应当贯穿个人信息出境全过程。三是避免造成过大的安全评估负担,合理设定安全评估的具体适用条件,注重用户利益、产业利益、国家安全等多元利益平衡,注重国内市场与国际市场的平衡,注重国内立法与国际规则的平衡。
四、惩治:信息风险损害责任体系的完善
仅靠事前、事中的风险治理措施,还不足以有效保护个人信息,严密的信息风险损害责任体系必不可少。私法责任和刑法责任对信息风险预防存在限度,科学合理的行政处罚责任制度有利于预防信息风险。《个人信息保护法》第11条要求“惩治侵害个人信息权益的行为”,第66条确立了重罚机制,并赋予了行政机关巨大的处罚裁量权。为了防止个人信息保护执法腐败,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制。为了更全面、有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。在责任主体上,既要惩治侵害个人信息的私主体,又应惩治违法行使职权或不作为的国家机关公职人员。
(一)信息风险治理中私法责任和刑法责任的限度
我国民法典对个人信息权益保护的私法救济作了较为系统的规定,个人可以根据合同请求权、侵权责任请求权、人格权请求权等,要求个人信息处理者承担私法责任。我国刑法设立了侵犯公民个人信息罪、非法获取计算机信息系统数据罪等罪名,惩治严重的个人信息处理违法行为。然而,通过追究个人信息处理违法行为的私法责任和刑法责任,难以完全达到有效预防信息风险的作用。
一是私法责任对于信息风险治理的作用有限。首先,致损主体难以有效确定。由于信息科技的隐蔽性和网络的互联互通性,最终损害的发生究竟是由谁在何时何地造成的,往往无法查清。其次,损害大小难以有效确定。我国没有确立个人信息保护的惩罚性赔偿制度,主要是按照实际损失赔偿,而实际损失往往难以准确确定。《个人信息保护法》并没有有效解决赔偿数额的问题,其第69条规定,“个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额”。即使客观确定了损害或获利大小,但在很多情形下数额较小,导致诉讼动力不足。再次,因果关系难以有效判断。某个主体的个人信息处理行为同损害间究竟是否具有因果关系,存在证明困境。《个人信息保护法》第69条确立的个人信息侵权的过错推定原则,并没有区分个人信息的种类。对敏感个人信息应进行特殊保护,应适用危险责任即无过错责任。最后,违法的个人信息处理行为虽然会产生风险但并不必然对个人造成现实损害,甚至短期内还可能带来一些收益,此时通过私法责任就难以有效预防风险。“由于其侵害的微小性,单个的受害人往往势单力薄,也往往不愿意要求加害人承担责任。”即使提起了个人信息保护民事诉讼,也往往难以获得胜诉。事实上,个人信息保护民事诉讼的胜诉率较低。
二是过度运用刑罚可能会对数字产业的发展造成毁灭性打击。依赖风险刑法虽然可以回应信息风险社会安全之需求,但“又一并带来刑法风险”。当前刑法学界对于“个人信息”的法益属性存在较大争议,对于侵犯个人信息的定罪,涉及侵犯公民个人信息罪、非法获取计算机信息系统数据罪、盗窃罪、职务侵占罪甚至侵犯著作权罪等多种罪名。个人信息犯罪日益“口袋化”,数据法益定位不清,内涵和外延极其模糊。刑法应保持谦抑性,过度运用刑罚可能会对新兴信息科技甚至数字产业造成毁灭性打击。在信息风险治理中,应慎用刑罚。
无论是私法还是刑法的风险控制功能,越来越难以回应风险社会的巨大挑战。在不断完善个人信息保护私法责任与刑法责任的基础上,更应当通过科学合理的行政处罚责任对侵犯个人信息的行为进行惩治,以达到有效预防信息风险的目的。基于成本收益原理和贝叶斯纳什均衡,罚款金额越高,即便在被处罚的概率下降的情况下,也越能有效遏制违法行为。对侵犯个人信息的行为实施较重的行政处罚,已成为个人信息保护的世界趋势。例如,2019年法国国家信息与自由委员会(CNIL)对Google公司罚款5000万欧元,主要理由是向用户定向发送广告时缺乏透明度,且未获得用户有效同意。2019年美国联邦贸易委员会(FTC)对Facebook公司科处史无前例的50亿美元罚款,主要理由是侵犯了用户隐私。对于个人信息处理违法行为,我国设定了较为严厉的行政处罚责任。《个人信息保护法》第66条规定,对于情节严重的个人信息处理违法行为,“并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”。
(二)努力制定个人信息保护处罚裁量基准并探索执法和解机制
高额的行政处罚既可以起到制裁和教育违法的个人信息处理者的作用,也能够实现预防功能,从而有利于大大减少个人信息处理违法行为。然而,个人信息保护法的相关规定则极为宽泛抽象,不仅涉及“情节严重”“可以责令”“可以决定”等不确定性概念的要件裁量,还涉及“十万元以上一百万元以下”“并处五千万元以下”等效果裁量。而且,对于情节严重的行为,究竟是处“五千万元以下”还是“上一年度营业额百分之五以下罚款”,缺乏明确规定。欧盟《通用数据保护条例》对侵犯个人信息的严重违法行为,最高可处以2000万欧元或全球营业额4%的行政处罚,但规定了“以较高者为准”。个人信息保护执法裁量的空间巨大,一方面使得执法者因不知如何选择合理的处罚幅度而无所适从,另一方面极易导致执法腐败。
为了有效实现过罚相当,应当积极探索个人信息保护处罚裁量基准。裁量基准将法律预先规定的宽泛裁量幅度具体化,将执法的标准客观化,可以降低实际操作的难度系数,有效抵抗“人情风”。近年来,我国已在城市管理执法、道路交通运输、食品药品安全、生态环境保护等多个领域制定了裁量基准,有效地规范了处罚裁量。我国2021年修订的行政处罚法首次将“行政处罚裁量基准”写入中央立法文本,虽然只是“挂了一个名”,但必将“成为发展方向”。尽管我国行政处罚法第34条并未设定强制义务,而是规定“行政机关可以依法制定行政处罚裁量基准”,但为了防止行政机关怠于制定裁量基准,应当借鉴比较法上的经验,将“可以”解释成为一种“法定的努力义务”,要求行政机关就不制定裁量基准作出理由说明。
个人信息保护处罚裁量不当或滥用,一方面可能会对互联网企业造成毁灭性打击,另一方面可能导致违法的个人信息处理者得不到应有的责任追究,从而不利于确立公平竞争的网络市场秩序。虽然个人信息保护处罚裁量基准必不可少,但不应成为行政处罚的桎梏,个案中的过罚相当裁量不应被过度限缩。具体实施处罚时应综合考虑违法行为的主观过错、性质、情节、受害人数量、社会危害程度、数字产业发展等相关因素,做到公正处罚与有效教育相结合。
在设定高额处罚的严厉责任的同时,还需要构建柔性的个人信息保护执法和解机制,促进企业合规。以相对人积极配合、自行纠正、努力补救等为条件,使双方关系由消极对峙转变为积极合作,可以有效应对执法困难、提高监管效率、节省行政成本、实质化解执法争议、激励企业合规。执法和解是行政处罚的替代方案,应当遵循自愿、公平、合法、效能等原则。执法机关在和解中的妥协和让步,不能以牺牲公共利益、第三方利益为代价。在确保执法和解的合法性与有效性之间,和解信息公开与保密的限度需要寻求平衡。域外在个人信息保护执法领域,大量通过执法和解的方式结案。例如,2019年,由于优兔(YouTube)违法收集儿童个人信息并用于广告推送被调查,美国联邦贸易委员会与谷歌公司最终达成1.7亿美元的执法和解协议。实际上,我国已经实施的证券期货监管和解、反垄断执法和解、反倾销调查和解等制度,可以为个人信息保护执法和解提供有效的本土经验。2024年国务院发布的《国务院关于进一步规范和监督罚款设定与实施的指导意见》明确要求“在部分领域研究、探索运用行政和解等非强制行政手段”。
(三)完善公益诉讼以有力监督个人信息处理者和保护者
个人通过民事私益诉讼保护自身信息存在力量薄弱、诉讼动力不足、集团诉讼缺失等问题,而且个人信息处理违法行为一般具有规模性,涉及社会公共利益,个人信息处理最终可能引发系统性公共风险,个人信息保护公益诉讼必不可少。当前的个人信息保护公益诉讼制度设计没有很好地体现风险预防功能,一是侧重纠正违法行为,二是没有明确规定行政公益诉讼。
《个人信息保护法》第70条规定,个人信息处理者违法“侵害众多个人的权益的”,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以提起诉讼。由此可知,提起个人信息保护公益诉讼的条件是已经发生损害,并且必须涉及众多个人。对于没有发生现实损害但有证据表明“即将侵害众多个人的权益”,或涉及人数较少的违法行为,根据现行规定均无法提起个人信息保护公益诉讼。最高人民检察院发布的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,要求对教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护。在判断是否“侵害众多个人的权益的”,不应简单从字面上理解人数“众多”,而应综合考虑受害人数、个人信息种类、受害群体类型、社会危害性等多种因素。
有效保护个人信息必须依赖于政府积极进行信息风险治理。如果国家机关违法行使职权或者不作为,往往比私主体侵犯个人信息的后果更为严重。只有对国家机关在个人信息保护中的乱作为和不作为进行有效监督,才可以更全面地保护个人信息。然而,《个人信息保护法》并没有明确规定个人信息保护行政公益诉讼,《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》主要对民事公益诉讼作了规定,并要求加强与行政机关协作配合。有观点认为,国家机关不宜成为个人信息保护公益诉讼的适格被告,因为现有相关法律针对国家机关作为或者不作为侵害众多个人信息权益的,已经设置了行政处分、刑罚等责任,“应该遵从原有特别的解决路径”。还有观点认为,几乎所有的行政机关在各自职责范围内都负有个人信息保护职责,“规定个人信息保护的行政公益诉讼显然是不合适的”。《个人信息保护法》的有效实施,离不开作为法律监督机关的检察院对执法机关的有力监督。对于国家机关不履行个人信息保护义务的,虽然《个人信息保护法》第68条规定“由其上级机关或者履行个人信息保护职责的部门责令改正”,但将原本适用于外部行政相对人的责令改正措施适用于国家机关,尤其是在存在部门本位主义的情况下,难以达到良好效果。已有一些途径可以对国家机关侵犯个人信息或不作为进行监督,并不排斥个人信息保护行政公益诉讼。正是由于很多行政机关都负有个人信息保护职责,就更应当通过行政公益诉讼的方式对其进行检察监督。
个人信息保护行政公益诉讼必不可少,可以结合我国行政诉讼法第25条第4款的规定大力推进个人信息保护行政公益诉讼:“人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为”,检察院依法向法院提起诉讼,个人信息保护属于“等领域”。在个人信息保护领域负有监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者社会公共利益受到侵害的,检察院应当先向行政机关提出检察建议,行政机关仍不依法履行职责的,应当向法院提起诉讼。行政机关在个人信息保护中违法行使职权,包括超出履行法定职责所必需的范围和限度处理个人信息、违法进行安全评估、处罚不公正、滥用职权、徇私舞弊等情形;不作为包括不采取必要措施保障所控制的个人信息安全、不积极制定必要的个人信息处理规则与标准、不及时惩治个人信息处理违法行为、玩忽职守等情形。应对“履行职责中”作扩大解释以突破被动发现、刑民之间内部转化的线索困局、优化诉前程序规则、完善检察机关调查取证举措、强化同个人信息保护组织之间的双向互动机制,不断完善个人信息保护行政公益诉讼。
此外,需要强化对公职人员侵犯个人信息和信息风险治理不力的责任追究。风险治理本身也可能成为风险的新来源,相关国家机关极易以预防风险、保障安全为由“合法”侵犯个人权利。“由于风险具有客观实在与主观建构的二维属性,规制行为本身也极易导致次生风险。”只有设置严密的法律责任,才能保障国家机关依法履行个人信息保护义务。《个人信息保护法》第二章第三节规定了国家机关处理个人信息的特别规定,但第七章第68条只是简单规定了“依法给予处分”。我国对国家机关的个人信息保护责任存在缺漏:一是没有明确职能部门不依法履职的责任;二是没有规定对非国家机关违法负直接责任的公职人员应受处分以及对国家机关违法负直接责任的人员应受行政处罚。对于国家机关处理个人信息造成损害的,如果是由于公职人员个人行为导致的,应根据《民法典》等规定进行赔偿;如果公职人员在履行职责过程中造成的损害,属于公务行为,应明确由其所在机关承担国家赔偿责任。如果国家机关在履职过程中滥用职权侵害个人信息,或失职不履行个人信息保护职责,则个人有权提起行政复议或行政诉讼。对于国家机关没有尽到必要的义务构成个人信息保护不足,导致严重的信息风险损害,则需要承担相应的法律责任。
五、结语
当前方兴未艾的信息科技革命既给人类创造了重大机遇,同时也带来了巨大的不确定性。无处不在的个人信息处理行为,不仅可能引发隐私被窥探、人身与财产等权利受侵犯、身份被歧视等多种风险,最终可能影响个人人格的全面自由发展,而且还会对社会公共安全、国家安全造成重大隐患。科技理性存在“经济短视”,过于盲目追求生产力优势,无法应对不断增长的风险威胁。数字时代的信息风险亟待法治进行有效回应,不断完善以风险治理为路径的个人信息保护体制机制至关重要。
信息风险治理是国家治理的重要组成部分。《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出,“把安全发展贯穿国家发展各领域和全过程,防范和化解影响我国现代化进程的各种风险”。在当下我国正加速推进国家治理现代化的背景下,一个不可忽视的重要方面就是推进风险治理现代化,全面提升防范应对各类风险挑战的治理能力迫在眉睫。在信息风险社会,只有以风险治理理念积极构建科学合理的个人信息保护体制机制,才能更有力地保护个人信息,才能更有效地推进国家治理体系和治理能力现代化。然而,在信息风险治理目标上,不应追求零风险,而应将信息风险控制在社会公众可接受的水平上,以实现安全与发展、监管与创新的平衡。虽然《个人信息保护法》已经体现了风险治理理念,但在体制机制方面还存在很大的优化空间。未来如何不断健全个人信息保护的风险治理制度,以有效实现《个人信息保护法》明确规定的“预防和惩治”的总体要求,需要理论界与实务界不懈努力。