张继红
(上海政法学院教授、法学博士)
[摘 要] 技术与法律分别属于网络空间与现实空间的规制工具。随着数字空间的不断拓展,以个人控制与行为规制为核心的个人信息保护法律规范模式面临困境。技术标准因其弹性、灵活性发挥了及时的补充作用,但其自身的弱规范性难以得到推广和遵循,技术法律化成为一种新的立法趋势。欧盟GDPR第25条“经设计和默认的数据保护”作为技术法律化的典范,实现了技术标准事前预防与法律规范事后问责的有机结合,将个人信息保护原则嵌入产品设计的基础构架,弥合了技术与法律之间的鸿沟。我国立法有必要进一步明确经设计的个人信息保护规则,建立并完善问责和认证两大机制,以惩戒与激励相结合的方式实现政府、企业、个人的多元协同共治。
[关键词] 技术法律化;经设计的个人信息保护;问责机制;数据认证
自20世纪90年代起,随着信息通讯技术的普及应用,越来越多的社会组织及商业机构采用了隐私侵入性技术实施社会管理,开展商业活动。如追踪上网记录的库克(Cookie),便利运营商追踪和监视用户的上网活动,并由此进行数据画像,实施精准的营销推送;自动车牌识别技术能够自动读取或扫描车牌,用于识别道路上的车辆并进行定位;无人机可以在空中进行持续的视觉监控,图像及视频被实时传输至计算机系统,以开展更便捷的城市管理;智能手机和可穿戴设备在“路上”收集我们的个人信息,随时向后台实时传送健康数据及行踪轨迹。人脸识别技术则是视频监控的一种更为先进的应用,2021年央视“315晚会”曝光了隐藏在科勒卫浴、宝马等实体店铺中的人脸识别摄像头,消费者在毫不知情的情况下人脸及相关信息被抓取,并在后台形成独有的ID数据。上述隐私侵入性技术的广泛渗透和应用,虽然在一定程度上便利了社会管理和商业营销,但也对个人隐私及信息安全构成极大威胁。我国已经形成了以《个人信息保护法》为核心的法律规范体系,明确了个人信息权益、个人信息处理者的行为规范及其法律责任,但以赋权为核心的个人控制机制在日益复杂化的技术面前日渐式微,自上而下的治理机制及监管措施因难以精准识别与认定信息领域的违法行为,在施行过程中往往被监管对象所规避。“权利-义务-责任”的固有治理模式面临困境,治理效果差强人意。在此背景下,将经设计的个人信息保护为代表的技术标准引入法律范畴,形成公私共治的治理结构成为国际社会个人信息保护领域的立法新趋势。如何融合技术标准与法律规范,既能更好地发挥技术标准的事前预防作用,又能让个人信息保护的法律监管措施真正落地,需要做进一步的研究。
一、法律与技术治理的局限性
(一)法律规范固有治理模式面临的困境
1.个人控制机制的形式化
“公平信息实践原则”作为个人信息保护领域的理论基石,对各国的个人信息保护法产生了不同程度的影响。欧盟强化了公平信息实践所主张的个人控制原则,不仅赋予个人对于其数据享有访问权、更正权、反对权、限制处理权,还引入了删除权、可携带权、不受自动化处理决定权。我国个人信息保护立法深受欧盟《通用数据保护条例》(GDPR)的影响,整体上遵循了个人控制路径,通过“知情同意”的制度设计强化个人对信息处理行为的控制能力。《民法典》第1035条将“征得该自然人或者其监护人同意”作为个人信息处理的原则性要求;《个人信息保护法》强调了取得同意必须“充分知情”“自愿”和“明确”,更是凸显了对“取得个人同意”这一信息处理合法性基础的深度依赖。事实上,个人控制理论主要建立在以下两个前提之上:一是个人与信息处理者具有平等的磋商地位,享有平等的机会检查并发现个人信息授权使用存在的问题和风险。GDPR序言第43条就明确指出,数据主体的“同意”应当是基于自愿,如果数据主体与数据控制者之间是不平等的,特别是当控制者是公权力一方,同意无法通过自愿作出。二是个人被充分告知,在完全知情(即信息对称)的情形下能够理性行使其对个人信息的控制权。然而,这一框架越来越面临形式主义的困境。
一方面,个人决策受到有限理性的约束。个人理性是一种植根于由行为规则构成的社会结构之中的系统,所以它无法脱离生成和发展它的传统和社会。面对庞杂繁复的隐私条款,智识的有限性决定了其难以完全洞察并精确估计信息处理中所涉及的风险。换言之,用户在短时间内无法对其同意条款进行准确的风险评估,这无疑是把受损害的风险转移至用户。事实上,用户并不了解这些数据控制者收集了哪些数据以及如何使用这些数据,使得他们无法充分表达自由意志的“同意”。另一方面,信息处理者对数据分析的不透明性、多变性进一步削弱了个体的决策能力。信息技术的发展使信息的获取、传递和交流更加便捷、迅速,任何活动都会更容易被追踪、记录,社会结构的“粒度”更加精细,人成为“数字化的人”并被高度解析。加之,现阶段的数据分析很大程度上是自动化(非人工干预)的,系统会自动收集并分析数据,个人则被简化为某个数据点,存储于信息处理者的数据集中,个人活动、习惯和身份等仅仅是数据的累积。算法按照不同的标准如性别、兴趣、消费能力等将个人划分为不同的组别,并创建数据记录信息,其目的在于更加准确地评估数据主体未来的行为和可能的交易活动。每个人都被不自觉地“拖入”这种持续的“技术监控”和“算法分析”之中。自动化决策能够预测出用户的未来行为可能性,并将消费者按照需求层次进行细分。落入低层次需求类型的客户,只能以更高的价格得到服务或者根本得不到服务。而且,这种数据分析还能进一步引导客户的决策过程。信息处理者通过有选择的提供或控制可选项来有意识干扰用户的自主决定,即形成“自主性陷阱”。正如学者在其“数字市场操纵”理论中指出的那样,“新兴技术使得企业能够发现并充分利用每个消费者追求自身利益能力的局限性,其有能力诱发消费者的非理性选择”。
在此情形下,用户要么通过“同意”轻易放弃某些权益,使其权益受损;要么过度行使权利,又会妨碍个人信息的合理流动和使用。个人控制模式看似在“赋权”,但在用户普遍缺乏相应决策能力且信息不对称的前提下,反倒成为权利行使的桎梏,偏离了个人信息保护的初衷。在个体数据被大量收集的今天,完全期待其以行使信息自决权的方式维护自身信息权益,并不现实。究其根源,数字时代背景下个人信息的处理已经远远超出普通公民的预期和控制范畴,无法对其个人信息的处理风险进行合理预判。
2.行为控制范式难以落实
从我国个人信息保护立法的历史发展来看,传统信息保护立法范式更倚重“义务-责任-制裁”的行为规范逻辑,重责任追究而轻过程规范。只要发生违法后果,即触发行政责任,甚至直接刑罚制裁,凸显了先刑后民、公法优先的规制思路,造成的直接后果是监管对象缺乏采取比合规要求更高的个人信息保护措施的内在动力。
2021年,随着《数据安全法》《个人信息保护法》等一系列基础性法律的相继出台,立法规制范式已不再拘泥于事后违法处置,而是逐渐转向事前与事后相结合的综合治理,引入了事前预防机制,顺应了技术运行风险弥散化、系统化的特性。比如,《个人信息保护法》的个人信息保护影响评估制度、大型互联网平台的合规制度;《数据安全法》的数据分类分级制度,数据安全风险评估、报告及监测预警机制等。然而,法律规范的规制能力不仅受规制理念的影响,而且受制于执法路径与方法。当前执法遵循的是行为规制路径,通过行为“识别-认定-惩戒”的思路实施自上而下的监管措施,规则的模糊性以及执法手段的单一性使得法律规范的行为规制能力减弱。
即使法律规范经过严格的论证、磋商和决策程序,还是难以避免规则本身的原则性,《个人信息保护法》也是如此。以个人信息保护影响评估制度为例,什么是“有效并与风险程度相适应”还需结合具体场景作进一步判断。又如,《个人信息保护法》将“必需”事由作为一项合法性基础,却没有明晰“必需”的含义,使得个人信息处理者在处理个人信息时难以把握合适的“度”。这不仅为执法者、司法者带来理解上的困扰,导致适用上的偏差,而且会让企业在操作性较差或者遵守相关规则需要承担较高成本的情况下,更倾向于选择逃避法律。不仅如此,在万物互联的今天,通过法律规范规制信息处理者的行为并不如想象中那么简单。为了有效规制网络行为,规制者必须厘清:行为人是谁?行为人在哪里?行为人做了什么?目前法律规范的执行仍主要依赖人工,而技术运行往往难以通过人的感官察觉与识别。倘若执法者、司法者无法确定主体在何时、何地、做了何种行为,执法手段亦难以发挥现实的规制作用。而且,信息处理者的信息处理方式往往被作为企业保护其自身商业秘密的“借口”,这就使得外部主体无法观察信息处理的内部流程,造成了所谓的“黑盒现象”。执法人员缺乏足够的知识和工具透析其中可能的违法行为,更难以通过适用法律施以惩戒。网络空间与现实空间在架构上本就存在差异,法律规范对网络内部行为的规制能力被削弱,尤其是在信息处理行为存在隐匿性和高度动态性的情况下,行为规制将变得愈加困难。
(二)技术标准的作用原理及其局限性
1.技术标准的补充作用
21世纪以来,大数据、人工智能、物联网、云计算、区块链等新一代信息科技,使得世界的人、事、物都在加速数字化,企业的商业活动开始具备自主迭代优化的能力,技术代码的权力正在逐步扩张。新生事物不断涌现的同时,旧事物也在发生某种程度的变化,这就使得法律调整对象呈现多元化与复杂化,产生“昨日”对象与“今日”对象之间的差异。立法者也要及时应对变化,通过法律规范和监管措施的不断迭代,为个人信息提供及时有效的保护。然而,法律作为国家维护社会稳定的强制性规则,一般不会对实践中没有定型的经验、社会中没有成熟的关系进行调整,与技术的迭代升级相比显得相对滞缓。而且,立法事关国家权威性和社会稳定性,是一个多方利益博弈的过程,需要历经复杂的立法程序和漫长的反复斟酌、商谈过程。由此,对新兴技术风险规制的现实需求与立法滞后性之间的矛盾日益尖锐,法律规范对于技术的规制和适应能力则不断减弱。相较而言,技术标准具有对新技术响应快、灵活性强等特征,更易为产业界所接受。技术标准往往由产业者提出或主导,无须严格、复杂而冗长的制定程序,其目的是为了构建该行业或该领域的技术框架,以发挥主体能动性。在相关立法出台之前,技术标准因其自身的可操作性、内置性以及及时性,能够或多或少地填补法律的规制空缺。近年来,随着对个人信息保护的重视,个人信息保护领域的标准化活动日趋繁荣。这些技术标准能够化解法律规则的模糊问题,让企业的个人信息保护合规工作有迹可循。
劳伦斯曾用“西海岸代码”与“东海岸代码”来描述法律与技术代码之间的关系,技术标准在这一过程中起着沟通“东”“西”海岸的作用,让法律与技术存在互通的可能。从规范功能上来说,技术标准与法律规范都是个人信息处理行为的规制工具,两者分别从技术和法律两个层面对信息处理行为实施规制。法律规范作为一种刚性的惩戒规则,通过问责来威慑规制对象,这种由外向内的强制性约束无法真正唤起主体的自律意识;而技术标准往往是推荐性标准,是企业的自觉行动,内嵌于技术运行中,表现为对数据、算法的暗藏式约束。与法律规范“自上而下”的治理路径不同,技术标准主要依靠“自下而上”的行业自律实现规制效果。如果说法律规范是一种带有惩戒性质的硬法,技术标准则是典型的“软法”,而且是重要性程度与地位不亚于“硬法”的“软法”。“标准之治”是“规则之治”的前端,标准能够更低成本、更高效率地实现规制。两种规制方法从不同面向实现惩戒与自律的协同,形成“刚柔并举”的局面。
2.技术标准的局限性
技术标准虽然在一定程度上充实、细化了信息保护领域的义务内容,清晰界定了关键术语的概念,并对如何履行行为规范给予具体指导,克服了法律的模糊性、原则性、滞后性等不足,但其作用机制也存在局限性,其中最为突出的问题是其本身的弱规范性。以我国个人信息保护的标准化体系为例,技术标准都属于推荐性标准而非强制性标准,并非企业合规的必需要件。技术标准是开放使用的,任何主体只要愿意都可以加入并遵守。换言之,是否遵从以及多大程度上遵从应用取决于企业自身,显然这种纯粹的自我监管既不能保证技术标准适用的效果,也无法吸引足够的市场主体参与。信息处理者的自律是培育激励相容的内生机制的核心,但是在利用与保护激励失衡的大背景下自律机制仅仅是个人信息保护的必要条件而非充分条件。不论是合作规制理论还是各国个人信息保护实践均证明,完全依靠自律机制并不能形成有效的激励约束。20世纪90年代,美国政府鼓励以自律规范保护隐私。然而,实践证明自律管理机制存在参与度低、执行力差、缺乏有效监督和处罚机制等固有缺陷。应该说,“软法之治”需要较高的治理水准,对于技术标准而言更是如此。如前所述,技术标准往往是推荐性标准,冀望足够多的企业、机构、团体、个人参与其中并自愿遵守,诚非易事。尽管国家可以通过直接或间接利益激励的方式鼓励企业遵守地方标准、行业标准、团体标准,但尽可能尊重主体自愿原则是更为理想的状态。这就需要技术标准尽可能获得广泛的社会认同,亦需要其具有较高的影响力和权威性。
值得注意的是,虽然我国目前所有的标准形式上都由国家标准化委员会发布,但从制定机构组成人员看,处处都有头部企业的身影。大企业通过正式或非正式方式,实际影响或操控技术标准的制定。相应地,中小企业由于人力、物力、财力等方面的限制,缺乏完备的技术知识,很难反映自己的利益诉求。以上种种,使得个人信息技术标准在我国的应用存在一定的现实困境。“自上而下”的“硬法之治”与“自下而上”的“软法之治”有机结合,才是破解当前困局的有效路径,法律与技术的融合治理成为个人信息保护的最佳选择。
二、技术法律化路径:经设计的个人信息保护
(一)法律与技术融合治理的缘起
法律与技术所关注的视角不同,法律多是对过去损害的事后救济,是被动的监督者,而技术则是预防侵害的事先措施,是主动的预防者。应该说,无论法律抑或技术都无法单独地充分保护个人信息,因此法律与技术的融合成为必然趋势。从20世纪50年代开始,价值敏感设计理论、代码之法和隐私增强技术等理论相继出现,从不同面向推动技术与法律的融合。
伴随互联网技术的应用,价值敏感设计理论应运而生。它是一种以理论为基础的技术设计方案,在整个设计过程中以原则性和综合性的方法考虑人类价值,即价值被纳入设计标准,主张进一步拓展那些促进人类价值的系统。1999年,劳伦斯提出“代码即法律”,是技术与法律融合治理的经典表述,这与“软法硬法混合治理”的理念不谋而合。他认为科技的规制主要有四种方式,分别是法律、准则、市场以及架构,如何优化这些要素的组合是有效规制科技的关键。其中,代码作为架构的一种形式,可以像法律规范一样规制人们在网络空间中的行为,构成对网络空间的一种约束,这个代码就是网络空间的“法律”。基于此,通过控制系统的代码就可实现对网络空间的规制,进而实现“隐私控制”。然而,鉴于技术处于持续更新过程中,隐私保护所面临的问题日益复杂,单纯依靠技术保护隐私也有其局限性,于是经设计的隐私保护理论应运而生。
经设计的隐私保护(Privacy by Design, PbD)概念最早由加拿大渥太华省信息与隐私委员会前主席安卡沃基提出,并总结出七项基本原则。PbD理论出现在价值敏感设计理论、代码之法和隐私增强技术之后,并综合各家之长,不再纯粹依靠技术和代码的力量,也不再广泛考虑包括福祉、尊严、正义、人权、隐私在内的人类利益,更不是对法律规则的生硬转译,而是延续“价值敏感设计”思想,更加侧重个人信息保护实效,强调技术与法律的结合,主张在产品设计的最初阶段就将个人信息保护的需求内置,而不是事后的补救措施。
具体而言,经设计的隐私保护理论是指通过物理设计、技术规格、架构或相关设备、系统、技术和服务的计算机代码来实现价值,目的是设计和开发一个系统或设备(即软件或硬件),以支持和实现这些原则、价值和规则作为目标和功能,从而使该系统或设备具备“隐私友好”的属性。正如2008年英国个人信息专员在其“经设计的隐私报告”中所指出的那样:“为了使设计保护方法有效,它必须考虑到任何系统或流程的整个生命周期,从系统业务案例的最早阶段,到需求收集和设计,再到交付、测试、运营,直到系统的最终退役。这种生命周期方法确保隐私控制更强大、更简单,因此实施成本更低,更难绕开,并作为其核心功能的一部分完全嵌入到系统中。”
经设计的个人信息保护机制同时具有技术和法律双重属性,其可以被定义为以技术和设计为基础的解决方案,旨在促使个人信息处理者更好地遵守法律以保护个人信息,并最大限度地降低技术的隐私侵犯能力。也就是说,经设计的信息保护机制强化了法律与技术在个人信息保护方面的互补关系,法律条款通过设计保护这一“技术之手”得以具体实施。信息保护的法律规范在技术基础设施中得到了本质上的阐述,单纯的法律条款变成了技术语言和系统运行的默认规则,从源头上遏制了利用技术肆意吞噬隐私的问题。这里,经设计的信息保护治理功能类似于车辆系统内置的最高时速能力的限制,即便汽车本身的功能时速可以高达260公里/小时,但其系统内置的最高时速不超过120-140公里/小时。事实上,这种嵌入式的系统内置车速限制,显然要比在法律上硬性规定不得超过特定时速要求并设定处罚标准更具实效性。
与以个人信息处理者为中心进行行为规制的法律规范不同,经设计的信息保护机制将规制重心从个人信息处理者移转至技术开发者、设计者和制造商,形成了“设计驱动”而非单纯的法律或技术驱动,真正实现了风险的前置性预防。正如欧盟第29条工作小组在“隐私的未来”中指出的那样,数据控制者往往只是信息和通信技术的使用者,即使他们愿意,也很难被认为能够自行采取相关的数据安全保护措施。因此,更切合实际的要求应该是由技术制造商或者产品开发商来承担技术层面的保护义务。而且,仅仅强调数据安全不足以应对最新的“侵入性”科技类产品所造成的威胁。新兴技术对隐私及信息构成的威胁不仅仅是未经授权获取个人信息,它大规模的空中监测、窃听并记录人们的谈话、读取人们的思想和习惯,并不断追踪个人的行踪,因而仅靠数据安全保障措施还远远不够。事实上,在产品设计伊始,就应当一次性地将个人信息保护原则嵌入其中,而不是在问题和风险出现后才以零碎的、渐进、被迫应对的方式进行补救。因此,内在的技术解决方案应该在产品技术设计和使用之前就通过强制性法律规范加以实现,而不是在个人信息或隐私侵权可能发生或已经发生之后才加以解决。
(二)经设计的信息保护机制的应用价值
经设计的信息保护理论是一种贯通自然语言与机器语言的桥梁,将以自然语言表述的个人信息保护法律规范转化为能够为系统识别的代码。具体而言,就是将个人信息保护理念嵌入产品设计的基础架构和具体实践,是对“告知同意”的个人控制规则的有效补正。同意需要在充分知情的基础上,自由、明确、清楚地通过肯定或积极行为对其个人信息进行处理。但是,如果信息主体由于缺乏足够的信息保护知识难以作出决策,或因为自身认知问题无法作出决策时,经设计的信息保护机制就通过技术设置帮助其作出最符合自身权益的决定。申言之,即便个人不采取行动主动勾选或通过其他行为积极行使其信息权益,经设计的信息保护设置仍可以通过具体场景结合个人信息处理目的及时采取相应措施。比如,在无人机的使用中,经设计的信息保护方案是指产品和服务的隐私设置在默认情形下避免收集和进一步处理不必要的个人数据,限制无人机上的视频系统和摄像机的分辨能力;自动车牌识别系统的经设计的保护设置,包括将存储在与自动车牌识别(ALPR)系统相连的数据库中的车牌号,限制在仅有那些被执法机构出于合法目的而锁定的车牌号,从而防止对所有车辆的活动轨迹进行全面跟踪。在社交网络环境下,经设计的保护安排系统默认数据画像是保密的;网络浏览器如果选择经设计的保护设置,即意味着会限制网络在线追踪行为,自动删除库克(Cookie)和网络浏览历史记录、向网络内容提供商和广告商发送“不要追踪”信息。在智能电表场景下,经设计的信息保护设置意味着不需要每隔数秒即向服务商传输能源消耗数据,间隔时间可以更长,由此减少数据处理数量,降低数据可能被泄露或非法使用的风险。由此可见,将“经设计的信息保护”技术标准作为法律强制性义务,不仅可以有效地保护未成年人、老年人等数字时代的弱势群体,还在一定程度上契合了设计者和开发者应当遵循“经由设计的数字福祉”理念,将对用户数字福祉的保障和促进融入产品和服务的设计之中。
在数据跨境流动日益频繁的网络世界中,由于不同国家及地区在个人信息保护规则方面存在明显差异,经设计的信息保护机制对于个人信息跨境保护尤为重要。经设计的信息保护方案可以在一定程度上更好地确保个人信息保护政策的一致性,而不考虑地理位置、法律管辖区或法律框架的充分性,因为“自动执行个人数据保护政策的机制将促进法律和市场各领域的统一”。正如有学者指出的那样,可以预见,欧洲全面的数据保护法将与美国的特别法发生冲突,经设计的保护机制将“把公平对待个人信息的问题置于全球信息传输的中心”。
当然,经设计的信息保护机制也受到了来自理论及技术层面的诸多质疑,如个人信息保护本身复杂、多变,需结合具体场景,已有条款模糊、原则,设计和默认机制将难以具体实施。该机制会增加企业合规成本,特别对于在线定向广告行业影响巨大,且无益于培养个人行使其信息自决权的能力等。技术开发人员认为,这种额外的要求将危及甚至扼杀创新,妨碍经济增长和竞争力。还有人认为计算机代码或软件也具有可塑性和脆弱性,与物理架构不同。
虽然存在上述争议,但经设计的信息保护机制已经成为新技术背景下个人信息保护的优选路径。一方面,该机制的理论发展相对成熟,已为国际组织、立法者和企业所认可,在立法层面具有实施的可能。早在2010年第32届数据保护和隐私专员国际会议就承认了“设计隐私是隐私保护的重要组成部分”,并鼓励采纳隐私设计作为基本原则,以指导企业建立隐私默认的运营机制。经设计的信息机制由此也引起了各国立法者的关注,并积极促进该技术标准在其国内法层面上得以实现。2010年,美国联邦贸易委员会在《快速变化的时代背景下消费者隐私保护》报告中也提出“隐私设计保护”的基础性原则。2015年美国《消费者隐私权利法案(草案)》第113条对“隐私设计保护”进行了规定,虽然该法案在参议院并未获得通过,但也从一个侧面反映出美国立法者将“经设计的隐私保护”标准法律化的倾向。而欧盟则更进一步,正式将“经由设计与默认的数据保护”(Data Protection by Design and by Default)写入GDPR,即第25条。与此同时,“经设计的信息保护”理念已经得到越来越多企业的认可,并且在实务层面加以应用。比如,苹果公司更新了萨法瑞(Safari)浏览器,增加了阻止收集用户信息的新功能“智能跟踪阻拦”(Intelligent Tracking Prevention),即在默认情况下库克(Cookie)浏览记录会在24小时内强制删除。腾讯已经使用了匿名化处理、差分隐私技术来弱化或切断个人信息的可识别性;华为在其产品中采用了威瑞信(virSign)数字证书开展信息安全验证,并搭配双层密钥管理方案进行数据加密,保障用户从收集、传输到使用各个环节的安全性和完整性。
经设计的信息保护机制为技术创新提供了空间和可能,强调共赢互助的价值,在保护个人信息的同时,会尽可能保留数据的利用价值以满足企业所需。从该技术规制的要求看,这项义务不仅仅面向过程,更注重结果考察,能够清晰地判断个人信息处理者是否采取了隐私友好型技术设置,是否满足了个人信息保护基本原则的合规要求。因此,从本质上讲,经设计的信息保护机制作为一项新的技术注重引导和审慎地推动技术发展,即将书面的法律规范以及法律原则“翻译”成设计解决方案或者计算机代码,而且“客观地、自动地、不打折扣地、无差错地执行隐私合规”,毕竟使用隐私侵入技术的企业在遵守并执行个人信息保护法方面的规定时,还存在很多主观因素以及滥用信息的本能冲动。客观来讲,与其通过法律责任和制裁方式规范企业的信息处理行为,不如顺应技术发展的惯性,采用引导之手“以技术规制技术”。
三、经设计的个人信息保护规则基本框架
(一)技术法律化的典范:欧盟GDPR第25条
GDPR第25条明确将“设计保护”“默认保护”等技术标准纳入法律强制性规范,要求数据控制者及处理者实施积极的作为义务,包括实施适当的组织和技术措施,确保数据处理的整个生命周期都能有效地遵循数据保护原则。技术性规范进入法律框架内,实现了从技术标准到法律规范的转化,由此开启了政府和行业互动合作治理的新型技术规制路径。
在“经设计的信息保护”正式入法之前,欧洲人权法院(ECtHR)已经开始接受并使用这一概念。在2008年芬兰案中,法院认为芬兰违反了《欧洲保护人权与基本自由公约》第8条规定的“确保尊重私人生活”的积极义务,即未能采取技术和组织措施确保医院患者数据的保密性。虽然法院没有提到设计保护等概念,但其判决的基本主旨是需要采用符合上述概念的措施和方法,要求医院对病历数据的可访问性进行限制。因此,该案实际上是将经设计的数据保护理念作为该国遵守《欧洲人权公约》第8条所规定的积极义务的组成部分,至少在确保医疗数据的保密性方面必须采取相应的技术措施。法院还进一步指出医疗数据的特殊性,这不仅是为了保护隐私权,也是为了让民众对整体医疗服务保持信心。而病历数据属于敏感个人数据,国内法必须采取适当的保障措施,以防止任何可能不符合第8条规定的传输或披露。欧洲法院(CJEU)虽然并未根据GDPR第25条直接作出判决,但就相关技术应用作出过裁判,有效阻止了隐私侵入性技术的设置。在2014年谷歌诉西班牙一案中,欧洲法院(CJEU)明确反对谷歌所提出的关于其搜索引擎运营是价值中性的、算法的自动应用已经超出数据保护法范畴的说法,要求谷歌(和其他搜索引擎运营商)重新配置这些操作系统,以便它们更具隐私友好的属性。客观地讲,该案间接实现了欧盟GDPR第25条的目标。
2020年1月,欧盟数据保护委员会(EDPB)发布《关于GDPR第25条设计和默认的数据保护指南》,具体阐释了“设计保护”和“默认保护”的内容。一是“设计数据保护”需要符合以下要求:(1)控制者有义务在处理过程中实施适当的技术和组织措施,以及必要的保障措施;(2)应当通过设计以有效实施数据保护原则,保护数据主体的权利和自由;(3)应当考虑多种要素,包括技术最新水准,实施成本,处理的性质、范围、背景和目的以及处理过程对自然人的权利和自由造成不同的可能性和严重程度的风险;(4)符合时间要求,无论是在设计数据处理活动之初决定处理的目的及方式时,还是在数据处理活动全流程中,均需履行“设计数据保护”义务以实现持续合规。二是“默认数据保护”包括两项内容:(1)默认情况下,只处理为每个特定目的所需的个人数据;(2)数据最小化义务的履行,需要考量所收集的个人数据量、数据处理程度、数据存储时间以及数据的可访问性。
也有学者认为GDPR第25条规定存在模糊性、复杂性等问题,缺乏经设计的数据保护的参数及明确指引,给执行层面带来一定的困扰。诚然,即便是GDPR的规定也是框架性的,将所有的个人数据保护原则转换为技术和组织措施本身极为困难。经设计的数据保护机制的落地实施并没有一个“放之四海而皆准”通用标准,只能通过具体场景应用、所涉及的主体等因素来决定相应的技术和组织措施。
(二)经设计和默认的数据保护条款构造
经设计的保护条款的落地实施需要两项制度支持,即问责机制和认证机制,前者以责任方式强制性要求数据控制者和处理者必须履行其数据保护义务,后者则采用激励方式调动企业自我合规的主动性。
1.问责机制
以“有效方式”实施数据保护原则,是该条款落地的关键。这里的有效性,通常与“问责原则”紧密联系。从执法角度看,“设计保护”的技术和组织措施必须达到有效要求,是监管者用以衡量该义务履行情况的检验标准,即“设计保护”系结果性义务,而非过程性考察。当然,对于有效性评估应当与场景相结合,必须考虑数据处理的类型、范围及环境等三个因素。以数据类型为例,GDPR将个人数据分为一般数据和特殊类别数据。如果数据控制者处理的数据类型,涉及种族、民族、政治观点、宗教信仰、基因数据、生物识别数据、健康数据等特殊类别数据,必须采取更高强度的保护措施,同时在组织设置方面,应当指定数据保护官。再如,数据处理范围必然涉及处理的数据量,倘若数据控制者处理数据的数量达到一定峰值,或者对数据主体进行大规模监控,则有义务在数据处理开始之前或应用程序使用之前,进行个人数据影响评估,以考量数据处理行为对个人数据权益可能造成的负面影响。在环境方面,在就业、未成年人、医疗等情形下处理数据,对数据控制者采用的技术和组织措施的要求必然提高。
而且,结合GDPR序言第78条规定,经设计的数据保护的义务主体不仅仅限于数据控制者,还延伸至“生产者”和“处理者”。只不过该义务对生产者所施加的义务要求更低,以“鼓励”方式建议这些应用、服务或产品的生产者在设计研发阶段,就遵循经设计和默认数据保护原则。
需要注意的是,“默认保护”与“设计保护”虽然相互关联,但含义有所不同。前者涵盖的数据保护措施比后者更为广泛,其重点在于数据的“锁定”;前者以流程控制为导向,后者则更关注结果,通过更加具体的强制性隐私增强技术,以实现数据最小化和保密要求。也就是说,“默认保护”是“设计保护”在技术措施上的延伸,“设计保护”是前提和基础,“默认保护”是技术实施,即“默认使用特定数据保护原则和默认数据访问限制”。
作为一项法定义务,数据控制者及处理者如若违反则需按照罚则的相应规定进行处罚。同时,为了督促数据控制者和处理者积极履行上述义务,GDPR也作了一些鼓励性规定,如在决定是否对违反本条例的行为施以罚款或认定处罚金额时,应当适当考虑控制者或处理者的责任范围,并考虑到其根据第25条所实施的技术和组织措施的具体情形(第83(2)(d)条)。如果控制者已采取适当的技术和组织保护措施,对控制者施加的数据泄露的通知义务可以得到相应豁免(第34(3)(a)条)。
2.认证机制
为具体落实“设计保护”“默认保护”条款,欧盟GDPR第25条第3款进一步明确,“本条例第42条所规定的经批准的认证机制可以作为证明符合本条第1款和第2款要求的要素”,即数据控制者和处理者可以采用认证方式证明其履行了经设计和默认的数据保护义务,具有相应的数据保护能力。比如,数据控制者所实施的针对个人数据的匿名化和加密措施,个人数据处理系统的保密性、完整性、可用性以及系统可恢复性,当发生物理或技术故障时能够及时恢复数据的可访问性,以及对上述措施的有效性定期进行测试、访问、评估等,如果取得认证机构的认证就可以证明其履行了经设计和默认的数据保护义务,整体的数据处理活动符合法律规定的安全要求。欧盟GDPR第42条明确了数据认证应当出于企业自愿,并通过透明程序获得。只有获得数据监管当局核定的认证机构才有资格开展数据认证活动,数据认证标准必须经监管当局批准才能对外发布。同时,为了确保认证机制的透明度,欧盟数据保护委员会将所有认证机制和数据保护标识收集在一个登记册内,及时更新相关信息,并通过适当的方式向公众提供。
从GDPR第25条的条款构造上看,“经设计和默认的数据保护机制”构成了其个人数据保护规则体系不可或缺的重要一环,并融入每个数据处理操作中的元需求系统,是个人数据权益保护在技术环境下的具体实施。也就是说,“经设计和默认的数据保护”机制要求从系统和产品的开发阶段开始,持续到使用、最终处置等全生命周期,其核心目标在于将个人数据保护理念作为设计的一个组成部分嵌入整个技术生命周期。该条款不仅遵循了个人数据保护法既有规则,还能帮助监管机构更加清晰、明确地检视监管对象的实际施行状况。对于个人而言,经设计和默认的数据保护机制也是一种自我保护的提示。质言之,经设计和默认的数据保护是一种积极的事前预防措施,而非事后补救措施。
四、“经设计的个人信息保护”的完善路径
从实施层面上讲,对个人信息处理行为的法律规制需要采用具体的技术措施、达到相应的标准和要求,以实现不同类型数据的适当处理。应该说,一部法总要预设一种情景,要去确立所应保障和追求的价值理念,而不仅仅是现状描述,即:何种价值被融入了条款之中,从而倡导了什么、抑或反对了什么?哪些“约束与制衡”是可能实现的?我们如何分配权利(权力)以实现风险的有效防控?法律规则不仅应着重于事后应对和补救,而且应对现实社会中可能出现的风险或问题进行预判,在个人信息保护领域尤应如此。经设计的个人信息保护理念融入立法,不仅能及时填补法律的滞后性和刚性不足,以更加积极的事先规范的方式并结合具体场景采取“量体裁衣”式的实施模式,而且以个人信息主体(用户)为中心,缓解了原有的权利(权力)分配不平衡等问题,从产品设计之初就移除操纵算法和隐私侵入性技术,以实现系统“自动”保护的目的,彰显政府、企业、社会、个人之间的良性互动关系。
我国已有的法律规范和标准指南中已经折射出经设计的个人信息保护理念,刚刚施行的《个人信息保护法》第51条要求个人信息处理者应当根据处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应技术措施确保个人信息处理活动合法,此外还包括第6条“处理个人信息目的限定原则”等。《个人信息安全规范》(GB/T 35273-2020)第11.2条“个人信息安全工程”,要求个人信息控制者根据国家有关标准,在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。也就是说,新技术、新业务和新产品应当从规划设计阶段就要贯彻个人信息保护理念。然而,目前我国仍沿用技术标准与法律规范的平行治理模式,国家标准并未明确经设计的信息保护规范,立法也未引入经设计的信息保护条款,技术与法律之间缺少融合治理的制度框架。“技术的归技术,法律的归法律”的治理路径不仅无益于改变法律与技术各自的局限性,而且难以充分发挥两者的优势互补作用。由此,欲融合法律与技术,形成“激励相容”“上下联动”“内外融通”一体治理的格局,就需要在宏观层面进行架构设计,并遵循多元协同共治的治理理念。
经设计的信息保护机制兼具法律与技术特点,能够有效地弥合法律与技术之间的鸿沟,积极推动政府与市场的双向互动,其中映射出的就是多元协同共治的理念精髓。多元协同治理是对多中心治理、自主治理理论、网络治理理论以及整体治理理论的扬弃,强调社会公共事务治理存在多个决策中心,激励市场主体自治,认为治理主体是一个决策群。由于政府、市场、公众均参与到相关问题的治理中,所以多元协同治理理论能够解决网络治理面临的治理环境不确定的缺陷,通过机制保障实现政府各部门之间,政府与公民、社会之间,公民社会内部之间的无缝对接,从而减少公共服务的碎片化,实现与治理技术的匹配。经设计的个人信息保护机制将个人信息保护原则嵌入整体信息安全防范体系中,明确相关主体的法律义务和组织要求,完善多元主体共同参与治理机制,实现法律规范的外在要求与信息处理者的内在需要激励相容,达到既保护个人信息安全又强化信息控制者的安全防范能力的双赢结果。培育信息处理者内部自治机制与构筑外部执法监督制度,只是信息处理者与管理者两个主体之间的单维度关系,属于监管范畴的制度构建。要实现技术利用与个人信息保护之间的统合发展,必然涉及信息主体、信息处理者、监管者三者之间的多维治理结构。也就是说,个人及其权利行使也是实现有效治理的重要维度。GDPR在序言第78条就指出,“合适的组织和技术措施应该包括个人数据运行和处理的透明度,使得数据主体能够监督数据处理活动”。同时,GDPR还赋予了数据主体访问、更正、反对、限制处理、删除、可携带等权利,其中不受自动化处理决定权就是对自动化决策等技术、算法滥用的约束和限制。申言之,仅有法律规范而缺乏个人信息主体的积极参与,无法形成完整的治理结构支撑,技术发展与个人信息保护也不可能实现持久平衡。此外,技术入法的决策“过程”亦体现出协同共治的理念,政府、企业、科研机构、社会组织以及公众等多方利益相关主体能够参与到法律政策的制定过程,可以实现决策过程的公平与透明。技术入法的监督层面,除了公众及媒体的监督,认证机构等专业性群体对信息处理者所采取的个人信息保护技术和组织措施等予以评价也发挥着积极作用。
在实施层面,该机制主要通过“问责机制”与“认证机制”得以实现,以问责机制实现公权力“自上而下”的强制性规范作用,以认证机制激活市场的内在动力形成“自下而上”的正向激励作用,从两个维度规范和引导个人信息处理者的行为,从而实现惩戒与激励并举的基础架构。具体而言,我国在《个人信息保护法》的落地实施阶段,应明确引入经设计的信息保护理念,将其融入应用程序、产品及服务之中,贯穿于个人信息处理的全生命周期,构建问责机制和认证机制,以实现事先预防与事后监督的有机结合。
一方面,经设计的信息保护机制的落地在结构方面应明确参与技术政策制定的各层级的组织结构及模式,同时还需要能使上述组织良性运转的问责机制。《个人信息保护法》第51条要求个信息处理者履行相应的信息保护合规义务,如采用加密、去标识化等安全技术措施,以及确定个人信息保护负责人、定期对从业人员进行安全教育和培训等组织措施。这里可以将信息处理者所采取的信息保护安全措施,解释为包含技术手段、组织形式、管理体制等治理要素,其中蕴含“经设计的个人信息保护”理念。即,经设计的个人信息保护机制能够将个人的信息权益如知情、更正、删除、可携带等融入个人信息处理全生命周期,细化并执行信息处理者的处理规则和义务,如告知、信息的分类管理、合规审计、信息保护影响评估、信息泄露的通知义务等,解决了规则的可适用性问题。我们不仅可以在后续立法中明确引入“经设计的个人信息保护”规则,使之成为信息处理者的基本义务,而且可以将该义务的责任承担主体从信息处理者拓展至设计者、开发者。如前所述,技术无所谓好或坏,是技术背后的设计者和开发者赋予了其价值。鉴此,立法者可以通过监管产品开发者和工程师的技术选择来重塑技术。虽然GDPR序言第78条“鼓励这些应用、服务和产品的生产者去考虑发展并设计数据保护权利”也仅仅采用倡导性条款而非强制性义务要求,但也凸显了拓展责任主体范围的决心。2019年科技部牵头的国家新一代人工智能治理专业委员会发布了《新一代人工智能治理原则》,提出“和谐友好、公平公正、包容共享、尊重隐私、安全可控、共担责任、开放协作、敏捷治理”等八项原则,其中要求“人工智能研发者、使用者及其他相关方应具有高度的社会责任感和自律意识,严格遵守法律法规、伦理道德和标准规范。建立人工智能问责机制,明确研发者、使用者和受用者等的责任”,已经反映出扩张人工智能领域责任主体范围的意图。当然,直接将设计者、开发者纳入责任主体范畴,目前条件尚不成熟,对此可采取鼓励性条款或自我承诺方式,对其责任承担方式加以柔性化处理。
另一方面,作为第三方的专业机构,认证机构有别于监管机构,它能够深入企业内部,有效监督企业在信息保护合规制度中有无落实经设计的信息保护机制。从历史发展过程看,认证机制的演进深刻诠释了“自下而上”的共治理念。欧盟数据认证制度就经历了“自我声明-第三方认证-政府监管下数据认证”的演进过程。GDPR第42条确立的“经批准的数据认证制度”,强调了公私共治的治理理念。数据监管当局全程监督并有权“干预”整个认证过程和认证结果,有效克服了第三方认证存在的市场信任度低、逆向选择等问题。数据控制者和处理者可以自愿选择数据认证以证明其合规管理水平,保留了认证机制的灵活性。同时,认证机构、认证标准及认证质量的最终控制权保留在数据监管当局。我国《个人信息保护法》第62条明确“支持有关机构开展个人信息保护评估、认证服务”,第38条“按照国家网信部门的规定经专业机构进行个人信息保护认证”是个人信息跨境提供的条件之一;《数据安全法》第18条规定了“国家促进数据安全检测评估、认证等服务的发展”,支持涉及数据安全的数据认证专业机构依法开展服务活动。显而易见,认证机制已经成为个人信息保护、数据安全制度建设不可或缺的重要配套机制。相较而言,我国认证制度的发展道路与西方不完全相同,经历了从公权力的全面主导到逐步让位于市场的变化。虽然路径选择不同,但最终殊途同归,均采用了政府与社会的共治模式,充分调动了立法者、标准化组织、监督机构以及企业等为代表的多方主体力量。我国可在已有认证制度的基础上将认证范围进一步拓展至个人信息保护和数据安全领域,在未来相关认证法律规范的制定过程中确保全过程的民主性和科学性,听取个人信息处理者、用户、认证机构以及行业协会的意见,并与现有的国际标准化组织的认证标准相协调,便于后续开展国家间相关个人信息保护认证的互认。
此外,在数据成为新型生产要素的时代背景下,经设计的个人信息保护机制本身也需要通过计算机代码与技术来加以设定、构建和维护。在很长一段时间里,技术在伦理上被认为是中立的。然而,技术并不完全中立,其中蕴含着设计者所追求的功能目标、价值偏好甚至是商业利益。换言之,技术设计的背后还是一个个编程人员,必然带有其价值和偏好,仍然无法完全排除个体的主观性判断,可能编程人员本身也并不知道公平的技术内涵,缺乏必要的技术公平规则来指引其进行相应的程序设计。这里,可着眼于深层次地从意识形态领域和伦理规范角度引导技术人员向隐私和信息保护、科技向善的方向设计产品。欧洲议会于2017年提出“关于机器人民法规则的建议”,强调“确保欧盟的机器人研究以安全、伦理和有效的方式”,引导工程师和研究者尊重隐私,采用匿名化技术和安全保障措施,在人机互动前取得个人同意,以确保个人数据处理过程公平、公正。美国白宫发布的国家人工智能研发战略计划引入“人工智能的道德、法律和社会影响”,建议AI从业者都能接受伦理培训,在技术可行的范围内研究人员必须努力开发与现有法律、社会规范和道德伦理一致或相符的算法和构架。中国互联网协会2012年制定的《互联网搜索引擎服务自律公约》虽然仅为自律性规范,但也体现出行业组织对伦理问题的关注,即机器人协议的设置应遵循“公平、开放、促进信息自由流动原则,限制搜索引擎抓取应有行业公认合理的正当理由,不利用机器人协议进行不正当竞争行为”。还有学者提出“伦理影响评估”用以评价新技术可能产生的伦理风险。也就是说,在伦理规范中,将个人信息保护同样视为一种价值嵌入设计过程,从而强调开发者和工程师在研究、发明工程或设计技术时应遵循伦理责任,从源头上消除可能存在的个人信息及隐私风险。
结语
新形势下个人信息安全治理,难以脱离技术。对个人信息处理行为的法律规制从实施层面上讲,需要采用具体的技术措施达到技术标准和要求,以实现不同类型数据的适当处理。“迅速和可能具有颠覆性的技术发展,对人类发展产生深远和不可逆转的影响,因此需要谨慎地平衡事前和事后的监管。”在此基础上,立法者应该“面向未来”地将技术标准引入法律规范,制定个人信息保护的事前解决方案。
虽然有诸多法律强制性规定要求商业机构、政府保护个人信息和隐私,但仍无法杜绝信息滥用问题。而经设计的个人信息保护机制正是通过技术入法的方式弥合了信任的鸿沟,以技术规范技术,要比单纯依赖法律的禁止性规定产生更好的治理效果。当然,经设计的个人信息保护机制也并非一劳永逸的解决方案,无法彻底根除新兴科技带来的信息风险。正如法律不能完美地规范所有行为,技术也是如此。在信息社会中,预测现在和未来的每一个隐私威胁风险尤为困难。对有关技术的隐私威胁和影响的不确定或不了解,也是经设计的个人信息保护机制所面临的问题。虽然该机制的治理目标是将其设计成超越时间和空间的隐私友好型法律条款,但是经设计的个人信息保护技术的实施也处于动态发展之中,需要随着信息保护技术的进步而不断更新。
