卓见|赵鹏:个人信息保护“基于风险”抑或“基于权利”?
“基于风险”的个人信息保护?
作者:赵鹏,中国政法大学法治政府研究院教授。
来源:《法学评论》2023年第4期。
摘 要
传统上,个人信息保护倚重个体行使控制性权利。近年来,针对这一保护方法的批评中,一种基于风险的保护方法被提出,并在立法层面得到了一定程度的体现。这种基于风险的保护方法的潜力在于,在宏观层面,它有利于强调国家有义务为个体的自我发展创造结构性的环境,并适度关注一些集体层面的法益和损害;在微观层面,它有利于指导抽象的法律原则根据具体场景中的风险水平而合比例地适用。然而,与传统健康、环境等传统风险规制领域不同,个人信息保护领域引入基于风险的方法,也面临风险预防缺乏焦点、风险评价无法客观量化、风险的功利考量与权利的道德边界需要协调等挑战。
关键词:风险;个人信息保护;权利
目 次
一、问题的提出
二、“基于风险”的个人信息保护理论兴起背景
三、风险预防作为个人信息保护目标的意义与局限
四、风险评价作为个人信息保护义务基准的功能与挑战
五、基于权利的保护方法与基于风险的保护方法的协调
结 语
一、问题的提出
虽然早在上个世纪中期,信息通信技术的普及就使得强化个人信息保护被提上了日程,但是,技术与社会总是在相互塑造、不断演化。要实现有效的规范,我们就需要根据社会现实的变化,不断调适法律的规范方式,检讨既有规范方式之不足,探索更具创造性的回应方式。
就此而言,当下对个人信息利用的技术、生态和社会动力机制已经发生了重大变化。传统上,以赋予个体对涉及自身的信息以控制性权益为核心的保护方法已面临不小的挑战。在针对这种方法的诸多批评中,一种尝试从“风险”角度重新阐释和建构个人信息保护制度的理论开始浮现。就国内而言,经过多位学者的论述,这一理论脉络已经积累了较多的讨论。而且,尽管可能缺乏充分的理论自觉,我国的《个人信息保护法》实际上已经在诸多方面体现了这种方法。就域外经验来看,欧盟通过《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)更新其个人数据保护法制时,引入这种基于风险(risk-based)的保护方法也是重点内容之一。
因此,这种从风险控制出发的个人信息保护理论值得进一步梳理、辨析和发展。特别是,在健康、环境等涉及科技物理性影响的领域,国内以风险为主题的立法已经颇具规模,风险在相关法律制度设计中也日渐成为一个精细而具有丰富规范功能的概念,并得到了理论层面的系统整理。因此,如果与传统风险规制理论建议对照,这种基于风险的个人信息保护方法潜力和限度可以得到更为清晰的呈现。本文即是基于这一问题意识,试图结合传统风险规制理论以勾勒这种从风险出发的个人信息保护方法可能的功能与局限。特别是,“风险”这一核心概念在个人信息保护中可以承担何种独特的功能,又面临何种局限与挑战。
二、“基于风险”的个人信息保护理论兴起背景
从风险角度来理解和设计个人信息保护制度,其兴起的一个重要背景是对传统上强调赋予个体控制性权益的保护方法(以下简称“基于权利的保护方法”)所存缺陷的回应。分析这种缺陷的文献已是汗牛充栋,对其详细梳理并非本文的主旨。但是,既有批评中还相对缺乏历史维度的分析,即这种主导性的保护方法是在何种技术-社会背景下形成,这种背景在当下又发生了何种变化。
(一)基于权利的保护方法及其当代挑战
传统上个人信息保护方法的形成可以追溯至上个世纪后半叶。彼时,信息通信技术的出现,革命性地降低了个人信息存储、复制、传播的成本。这带来了个人信息大规模数据化的处理,牵涉出这诸如公平、准确性等广泛的挑战。正是由于个人信息保护制度与数据技术的应用存在无法割裂的关系,本文不区分个人信息与个人数据。实际上,我国的个人信息保护法与一些国家和地区的个人数据保护法也无本质区别。
对于上述挑战,传统隐私法局限于防止可能带来伤害后果的敏感信息传播,虽能有所涉及,但无力全面回应。在此背景下,学术届、产业界率先从自我规制的角度探索规范机制,这些探索最终发展成被OECD等组织推广的公平信息实践(Fair Information Practices, FIPs)。其核心,就是赋予个体在个人信息处理中的一些程序性权利,例如知情同意、查阅权、请求更正权、删除权等,来对信息处理者的“权力”形成制衡,这是基于权利的个人信息保护方法的起源。
公平信息实践倡导的治理框架在不同国家和地区被法律化的程度有所不同。在美国,这些原则的法律化局限于信用评价等少数具体领域;在欧洲则实现了更为全面的法律化,欧盟宪章(The EU Charter)甚至将“个人信息受保护权”(right to the protection of personal data)确立为基本权利。就我国而言,在公平信息实践普及的早期,由于数字化发展相对滞后,早期的法律制度仅有零星的借鉴,典型代表就是,法律要求个人信息处理活动取得用户的知情同意。这种强调个人同意的规范路径很容易在民法框架中得到解释,这为《民法典》随后确认个人信息权益奠定了观念基础。
《民法典》相对全面、系统地引入了前述公平信息实践倡导的基于权利的保护方法,它先是在总则确认“自然人的个人信息受法律保护”,又在人格权编相对系统地引入了前述公平信息实践提出的原则和权利。此后,《个人信息保护法》单设“个人在个人信息处理活动中的权利”,进一步细化、拓展了这种保护方法。
从一开始,个人信息保护的核心任务便是推动公共部门、大型商业主体等掌握数据处理“权力”的主体透明、负责任地处理个人信息,但是,基于权利的保护方法并未直接针对这些数据权力设定规则和监管框架,而是赋能受到影响的个体来制衡这种权力,形成一种相对间接的规制。由此,这一保护方法在相当程度上借鉴了隐私法的个人主义路径,即确保个体能够参与到这种信息权力的行使中,重建一些控制。
这种主要通过个体参与性权利来间接规范数据处理活动的思路,在当时的技术-社会背景下有其合理性。彼时,对个人信息大规模处理,要么限于信用评价等具体领域,要么只是相关活动的附随环节,并未成为经济和管理活动的基础或者内在驱动因素。例如,当时的大型零售商虽然也会对会员个人信息进行登记,但这些信息仅仅作为一些基本的会员管理基础,并未发展出以个人信息处理为基础的商业模式,例如个性化的商品推荐。在此背景下,赋予个体一些控制性的权利,大体能够制衡数据处理者,并维护个别受到影响的个体权益。
当下,网络和数字技术已经从单纯工具意义上的“物”,演化为整个生活环境改造的驱动因素,互联网和数字技术已经全面、深入地渗透进经济社会生活的方方面面,而互联网和数字技术的基本模式又是建立在数据处理基础上的。由此,我们日渐进入一个“一切都被数据化”的时代,其中大量的数据处理又涉及个人信息。在此背景下,个人信息保护几乎与所有行业相关,涉及极其广泛的活动,个人信息保护法也面临着成为“所有事物的法”的趋势(law of everything)。面对这种大规模、以个人信息处理为管理和商业活动底层基础的生态,传统基于个体权利的保护模式面临两个方面的压力:
一方面,仅仅依靠个人行使权利的控制难以实现充分的保护,因为这种控制毕竟是零散而难以规模化,总有相当多的人不会积极行使权利,这要么导致他们暴露于风险,要么导致整个个人信息处理环境的恶化而影响所有的人。另一方面,由于个人信息保护本身也将影响极其广泛的活动,这就要求个人信息保护与其他更多的价值如言论自由、科学研究自由等相协调,这种协调也意味着,在很多场景下个人控制性的权利要与更多的价值进行权衡。
(二)基于风险的个人信息保护理论及其问题意识
上述技术-社会的演进表明,针对互联网、数字化这类革命性的科技,我们不能简单地视其为工具,而必须对它们在社会关系方面的建构能力保持敏感。这些技术的社会普及过程会重塑社会场域,法律需要动态回应这种变化,不断弥补规范漏洞,确保社会对技术演进方向的控制。
正因如此,欧盟通过GDPR更新其个人数据保护规范时,“基于风险”的保护方法(risk-based approach)被提出。早在2013年,知名智库数字欧洲(Digital Europe)就提出改革欧盟个人数据保护法的方案,其核心思路是,从强化企业负责性而非信息主体的控制性权利切入,要求企业设计程序和规则,防止风险的发生。此后,欧盟的工作组(The Article 29 Data Protection Working Party ,the WP29)成为推动引入企业负责制和基于风险的方法来改革个人数据保护规则的倡导者。
需要强调的是,在欧盟的官方定位中,基于风险的个人数据保护方法并不是对传统上个人数据保护权利和原则的替代,而是形成一个可伸缩和合比例的方法来确保企业遵守相应的义务。这种基于风险的保护模式在最终GDPR中有了较为明显的体现,特别是,根据该条例第24条和25条,个人数据控制者需要根据其处理活动对个体权利和自由所造成的风险的概率、严重程度,采取适当和有效的技术、组织手段来确保处理活动符合条例的原则。
我国学者从风险角度来建构个人信息保护理论时,实际上也在很大程度上参考了欧盟的上述理论与实践,因此,本文也借鉴欧盟的理论,称其为“基于风险的保护方法”。但是,一个较为明显的区别是,国内学者大多将该方法定位为对基于权利的保护方法的替代而非补充,这种定位的准确性也是下文需要商榷的。
从既有论述来看,尽管相关观点还相对零散,对“风险”的理解也缺乏共识,但其核心的主张已经开始呈现,这些主张正好回应了前述基于权利的保护方法的缺陷:
其一,用“风险”论证从公共维度设计个人信息保护制度的必要性。如果要解决基于权利的保护模式的不充分性,就需要相应增加公共维度的规制架构,“风险预防”因而被提出,论证这种公共规制的正当性基础。
有学者提出以“社会风险”控制作为个人信息保护的制度功能,并明确将其作为“个人权益保护”相对应的目标。与此同时,也有论述并未使用“社会风险”这样直接指向集体目标的概念,但是主张,个人信息保护聚焦于减缓个体的隐私风险。但是,在现代信息社会,个人信息处理涉及到多主体、多环节,具有复杂性、系统性,这是个体无法理性认知、评价和规避的,需要纳入公共性的规制。
其二,用“风险”来论证个人信息保护义务的可伸缩性。对基于权利的保护方法的批评中,其绝对化倾向与缺乏充分社会维度的考虑是重要的内容。相关观点认为,个体层面的控制会忽视个人信息的社会性、公共性,会导致与信息流动自由等价值形成冲突,不能适应大数据时代个人信息利用的新环境和新方式。这种批评也与法学理论中对“泛权利化”的批评一脉相承。
针对这一问题,有论者提出根据具体场景,基于风险大小的判断、权衡来确定保护的强度,这就意味着个人信息保护的要求不能一般性的僵化适用,而必须根据实质性的风险大小而调试。也有论者进一步强调个人信息处理者需要建立“基于风险的合规”,即根据不同的风险等级采取适当的保护措施,而非一概地追求零风险。
上述梳理表明,国内学者对基于风险的保护方法的论述,已经呈现出清晰的问题意识。当然,不少主张还停留于在观点层面,尚未系统论证与展开。下文即基于对这些问题意识的,尝试进一步论述,风险方法的引入是否以及在多大程度上可以解决这些缺陷,其自身又面临何种挑战,它与基于权利的保护方法的关系又应当如何定位等问题。
三、风险预防作为个人信息保护目标的意义与局限
既有论述将“基于风险”与“基于权利”作为一个对应概念,并试图以之间论证从公共规制维度建立个人信息保护制度的必要性。但是,风险这一概念为何具有这种功能,以其为基础建立公共规制有何种独特的意义,还需要论证。
“风险”是一个评价潜在损害可能性与严重性的概念,它不同于损害本身,因此,它与预防的观念有密切的联系。因此,如果将风险预防作为个人信息保护的基本目标,就意味着相关法律制度不以损害发生后再行填补、制裁为限。这种“风险”的预防、减缓可以作为客观法秩序建构的基础,而不仅仅是对个体主观权利的保护,这为国家建立相应的公共规制架构提供了方向指引。在这个意义上,《个人信息保护法》对此亦有明确要求,“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为”。当然,相较于健康、环境领域的“风险”有明确的指向,个人信息保护领域对“风险”的使用更多是描述性的,这也提示了在这一领域使用“风险预防”概念的局限。
(一)风险预防作为个人信息保护目标的意义
以风险预防为目标,直接针对个人信息处理活动建立一套普遍性的、整体性的行为规则和管制架构,意味着个人信息保护对传统隐私保护方法的路径依赖被突破。相较于基于权利的保护方法,这套基于风险预防的规制架构,可以提供以下独特的功能:
1.为个体权益的保护创造环境
个人信息保护的一个重要功能是为个体的自治和自我发展创造条件。实际上,即使在传统模式下,个体的控制性权利也被理解为承担防御其他权利遭受危险的功能。问题在于,在当下的数字生态背景下,要实现此种防御或者保护目标还依赖更为系统、全面的规制架构。
伴随数字技术全面渗透至社会、经济的各个方面,个人信息滥用的威胁不仅仅来源于一些明确的、具体的主体,更来源于在复杂社会动力机制下形成的技术系统。我们的数字活动身处在这个几乎无处不在的系统中,而这个系统持续性地监控个体活动,进行相应的数据画像。各个主体也通过这个系统也不断进行数据交易、共享活动。由此,在这个庞大的、相互连通的技术系统中,个体被重构为一种“数据的投影”,以一种算法能够清晰呈现和处理的形式存在。
对个体而言,这个技术系统可以将自身认定的特质不断推荐或者施加给个体,从而侵蚀个体根据自身的意愿进行自我塑造的空间。由此,个体权益面临的威胁,不仅仅来自于某个单一主体,而来自于其数字化生存的“环境”。无独有偶,“风险预防”的概念恰恰来自于环境保护领域。相关经验正好表明,这种“环境”层面的保护不仅依赖于个体行使权利,更依赖于公共规制层面形成基本的制度框架。
这一方面是因为个体面对这个技术系统时是缺乏充分的谈判能力,相关权利容易沦为纸面上的权利,这一点既有文献已经有充分讨论。另一方面,更是因为这种数字化生存环境是一个非常复杂的生态,它的各个组成部分之间存在复杂的、不断演进的、难以预料的作用机制,个体难以准确理解和控制:
在这个复杂的数字生态系统中,个人信息处理给个体所带来的风险既非固定的,也不是线性发展的。伴随着不同来源数据的积累、不同的下游应用场景和利用方式出现,这些风险会随着时间而累积。而且,由于我们每个人都置身于这个环境,只有当每个人的个人信息均能受到一些最低程度的保护时,其他人才能够获得有效的保护。例如,如果某个人同意科技公司使用其通讯录或者关系网信息,将不仅仅影响他自身,也会影响他的朋友。因此,个人信息保护必须是在社会层面实现的,而非个体层面。在这个意义上,数字生态中的个人信息滥用与我们赖以生存的物理空间的环境污染存在非常类似情况。
因此,如果我们将个人信息保护的目标理解为通过法律来创造一个恰当的、符合社会生活伦理的信息流,确保这种信息流既不过于泛滥的,也不过于阻塞的话,那么,个体固然可以在其中发挥一定控制性权能,但是,我们还需要其他管制性的规范来建立限制性、疏导性的网络,这种网络相当于一个社会生活的结构性工程。以风险预防为目标的公共规制,正是致力于建构这种工程。
2.为集体性利益保护拓展空间
当下,个人信息滥用对个体自主、自治和自我发展的影响,已经得到较为充分的讨论。但实际上,除却这种个体层面的影响,个人信息的处理还会影响到诸如社会平等、文化多元等更为广泛的集体性利益,对此,理论界还缺乏足够的重视。
在很多情况下,公共部门和企业对个人信息的处理是为了在“人群”层面(population-level)建立对某个群体的理解,而非对特定个体精确画像。通过基于不同特征而进行的标签,信息处理者可以分析有相同标签的群体,建立对特定群体行为特征的理解。基于这些理解,信息处理者也主要是在群体而非个体层面进行预测、评估、发放定向推荐,等等。
这种动机下的个人信息处理活动不仅仅影响个体,还会产生社会层面的深远影响。它既可以导致社会在整体上受益,例如,在智慧城市建设中,通过对不同群体行为特征的分析,可以更加高效地配置诸如公共交通、水、能源等资源;也可能形成或者强化某种社会关系的不公平,有研究表明,在数字经济的背景下,这种社会层面的不公平成为一个越来越突出的问题。
由此,个人信息保护需要覆盖的权益超越了个体层面,而涉及到整个社会经济公平、文化多元的基础。这也意味着,在信息主体和信息处理者之间分配权利固然占据重要的考虑维度,但是其他利益如多元化、平等、民主等也开始在个人信息保护中占据重要的位置。这些利益超越了个体“自我实现”的层面,而扩展到整个社会。
正因如此,在某些情境下,法律和监管就需要回答,整个社会可以基于何种目的,在何种条件下处理个人信息,这些处理活动是否推动了更加公平、公正的数据关系。这种社会视角的加入,也能够在保护个体权益的前提下,推动个人信息的处理产生更大的社会效用。这也意味着,个人信息处理活动的正当性,不应当仅仅从个人层面判断,而需要同时在社会层面判断。
对此,一个典型的事例便是生物医学研究。这些研究在很多情况下是为了从人群层面理解疾病的发生规律、干预措施的有效性,因而是社会受益的;与此同时,这些信息处理所产生的风险,如人类遗传资源不当使用,也主要是给社会整体造成的风险。正因如此,这个领域的个人信息保护颇需要一种新的思考维度。
就此而言,“风险”这一概念可以成为有效的思考工具。在法律实践中,风险本身是一个与数学、统计、保险等领域的方法有深刻关联的概念。它也主要用于在社会层面评价相关损害发生的可能性、范围、规模等。相关的规制决策,也主要建立在社会整体层面上规制措施可能的成本-收益分析的基础上。
(二)风险预防缺乏“焦点”的局限
上述分析表明,在个人信息保护领域确立风险预防目标,可以形成更科学的政策指引性,指导法律规则设计,因而在立法政策上有重要意义。然而,传统健康、环境等领域形成的风险预防原则承担了更为丰富的功能,这些功能是否能够在个人信息保护领域实现,不无疑问。
在传统的风险规制框架下,风险预防已经从早期的工作方针、政策指引发展为一项法律原则。特别是,在客观评估了相关风险的性质并掌握了不确定性的范围后,风险预防原则可以服务于判断国家的干预、保护义务的范围,论证规制措施的合比例性,从而具有指导法律适用的丰富功能。
如果期待风险预防在个人信息保护中发挥类似的功能,则法律首先需要明确,所谓的风险指向何种议题或者不期待发生的后果,即所预防的“风险”必须有明确的指向和限定。但是,与环境保护、食品和药品安全、职业健康保护等领的“风险”明确指向那些可能引发物理性损害的因素不同,个人信息保护究竟需要预防哪些“风险”,是一个难以明确范围且处于开放状态的问题。
实际上,在既有基于风险的个人信息保护理论中,风险概念大多停留于较宽泛的描述,而缺乏精细的界定。例如,有学者虽然将“社会风险”控制作为个人信息保护制度设计的目标,但却未能对“社会风险”的概念进行界定,而且其对“社会风险”的使用又包括了个人权利被侵犯的风险和公共利益被侵害的风险等非常宽泛的内容;类似地,有学者使用“信息安全风险”这一概念,但也未能进行明确的界定。
当然,也有学者提出,个人信息保护是为了预防个体和社会层面临的“隐私”风险。然而,与健康、环境领域风险是一个可以借助知识确定具体范围的概念不同,“隐私”本身具有高度的主观性和文化性,不同文化、不同群体的理解也很难找到共识,其范围远不如前者清晰。而且,更为关键的是,将个人信息保护定位防止隐私风险,本身也是对个人信息保护制度功能的误读。
隐私保护是通过禁止特定行为,截断信息流通,为个体创造一个私密的、无法被外界有效窥探的“模糊空间”。但是,个人信息的范围要大得多,在相当多的情境下,个人信息的利用其实是人际交互、社会交往、相互协作所必须,个人信息因而也必须在相互关系中得到理解和保护。因此,个人信息保护则并非截断信息的流通,而是为个人信息处理活动设定“游戏规则”,确保这种处理活动的透明和负责任,从而来规范权力。这种规范可能有利于反过来保护个体的隐私,但更重要的是其他更广泛的功用,例如防止被操纵、歧视、防止不准确信息对个体的伤害,等等。
实际上,基于风险的个人信息保护理论未能明确风险预防的“焦点”,或许不能归咎于理论尚待发展,而在个人信息保护法制本身的特点。环境保护、食品药品安全、职业健康都属于部门性、特定领域性的法律,它们以预防特定的风险为目标。但是,在数字环境中,个人信息保护法律制度不宜被视为部门性的法律,它实际上承载了作为公平权衡各种权益的基础设施的重任。
如前所述,在一个“一切都被数据化”的时代,个人信息保护的法律规则将影响极其广泛的活动。在此背景下,立法者需要以个人信息为连接点撬动起更多问题的解决。当下,对个人信息保护规则在遏制经济权力集中方面的讨论即是典型;在未来,对人工智能产品的规制,个人信息保护法律也被不少政策制定者期待发挥关键作用。
这也是理解我国《个人信息保护法》第2条规定的“根据宪法,制定本法”的关键。虽然这一规定特别考虑了宪法上的“人格尊严”、“通信自由和秘密”保护的需要,但是,我们却不能将《个人信息保护法》理解为仅仅服务于这两种权利的具体化。立法过程的资料也明确表明,强调个人信息保护法的宪法渊源,是因为“制定实施本法对于保障公民的人格尊严和其他权益具有重要意义”,这意味着个人信息保护所指向法益的可扩展性。否则,我们就无法准确理解《个人信息保护法》相关条款的内涵与定位。以《个人信息保护法》对自动化决策的规范为例,其要求的“保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”已经超出了保护人格尊严的范畴,而与防止经济上的过度榨取、确保社会正义等其他重要价值相关联。
在这个意义上,个人信息保护法实际上具有将人权保护的价值在数字空间中再度重申和强化的功能。当然,也正是由于个人信息保护承载了如此广泛的功能,甚至覆盖了大量潜在问题,将一些还处于理论探讨的前沿问题被纳入了规制的视野。那么,以“风险预防”作为个人信息保护的目标,虽然有助于我们从建设良好的数字环境、推动数字公平等更宏观的角度来思考个人信息保护制度设定的基础并指导相关的立法,但我们也就无法期待风险预防承载它在预防一些有明确指向的风险时可以承担的规范功能。
四、风险评价作为个人信息保护义务基准的功能与挑战
根据具体场景中的风险水平来判断如何对个人信息处理提出要求,避免个人信息保护规则的僵化适用,是基于风险的个人信息保护方法的另一个值得发展的主张。当个人信息保护涉及愈加广泛的活动,规则的设计就需要更广泛地思考其对相关活动的影响,兼顾平衡相互竞争的利益。在这个意义上,根据具体场景中的风险水平来确定保护义务的范围与强度,可以为具体情境下不同价值的权衡提供平台,这对于整个法律体系的内在协调具有重要意义。当然,在个人信息保护中,能否借由传统风险规制领域形成的结构化的“风险评估”为具体决策奠定更加坚定的基础,也不无挑战。
(一)风险评价作为个人信息保护义务的基准
在宽泛意义上,个人信息保护的相关制度本身就是基于风险来设计的。《个人信息保护法》将自然人因个人或者家庭事务处理个人信息排除其适用,是因为其低风险;对敏感个人信息设定特殊的处理规则而予以严格规制,则是因为其较高的风险。但是,除了这种立法上的安排,风险这一概念引入,更加重要的价值是要推动个人信息保护规范科学的适用与执行。特别是,从个人信息保护法律规范的来看,基于风险的保护方法在指导法律适用方面有不小的空间:
《个人信息保护法》属于原则性规定而非具体规则占据主要内容的法律,大量关键性的规范都是相对宽泛的。例如,处理个人信息需要与处理目的直接相关、限于实现处理目的的最小范围;自动化决策应当保证决策的透明度和结果公平、公正。这意味着,个人信息保护规范很多是愿景性的条款,如何执行往往不是黑白分明的问题,而是一个范围和程度的问题。实际上,不独我国如此,GDPR也被认为是一种基于原则(principle-based)的规制架构。
这种规范方式并非立法技术落后,而在相当程度上是由个人信息保护法制的特点所决定的:一方面,由于当下的个人信息保护几乎涉及所有行业与活动,它必须为各种不同的、相互竞争的合法权益提供一个公平权衡的空间,就此而言,相对宽泛的原则能够更多容纳不同方面的考虑。而且,我国个人信息保护立法与欧盟一样采取了“通用”个人信息保护立法的模式,而非针对不同行业、领域制定具体规范。这就更要求其规范相对抽象,为各个领域的特殊性考虑留下空间。另一方面,个人信息保护也面临快速革新的数字技术,立法很难充分预见相应的问题,原则框架式立法相对容易避免僵化过时。
当然,在这种规范模式下,我们就需要有一套方法,指导抽象的个人信息保护原则在具体情景中的适用,确保其从文本转化为生活现实。例如,近年来,利用个人信息进行新闻算法推荐所带来的信息茧房、操纵认知等问题受到广泛关注。作为回应,《个人信息保护法》对自动化决策也提出了公平、公正的基要求。这种要求可以概括的理解为个人信息处理者不得不合理地介入个人的自治的范畴,因此要求权衡和合比例。但是,这样的原则毕竟宽泛,在具体争议发生后,我们不可能仅仅靠这些原则来评价。
实际上,这正是欧盟引入基于风险的保护方法的一个主要考虑。欧盟WP29曾明确表示,基于风险的方法应当定位为引导采取可伸缩和合比例的方法(scalable and proportionate approach)”的方法来执行GDPR的原则。也就是说,个人信息保护法为个人信息设定了很高愿景目标和原则,但是,这些抽象的原则需要通过务实的方法来执行。
就此而言,基于风险的保护方法的特点在于,它实际将法律确立的很多宽泛的规范理解为一个程序而非确定的规则。法律文本并非包含了所有的答案,也不可能通过监管部门给出一个清单式的合规要求来保证完美的执行。相反,在这些原则性的规定面前,监管机构和监管对象需要将相关义务理解为持续的风险评价过程,并根据这种评价来采取对应的措施。
特别是,风险的核心是对预期损害大小、发生概率的评价,通过这一概念可以形成一个对潜在威胁性质判断的连续光谱。这一意味着,它可以作为判断触发或者强化适用个人信息保护规则的考虑因素,从而发展出一套更为精致的制度设计。由此,风险成为一个重要的基准,来决定是否允许开展相关个人信息处理活动,是否需要增加进一步的法律和程序要求,从而为可能的伤害提供保护。具体而言,这种基准可以在以下方面发挥作用:
一方面,针对处理个人信息的企业而言,风险概念意味着可以要求其采取与风险相适应的保护措施,并将其内嵌于业务流程、产品和服务。也就是说,个人信息处理者需要测量他们的个人信息处理活动产生的风险程度,从而来判断他们法律义务的正确范围。由此,风险作为一种管理方法被引入,作为校准个人信息处理者法律义务的参考点,用来帮助个人信息处理者根据风险的水平来明确他们的法律义务。
实际上,《个人信息保护法》也明确要求,需要根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,来设计内部的管理制度和操作规程、采取相应的安全技术等。这些要求说明,个人信息处理者需要采取的保护措施是与其处理活动的情景高度相关的,法律并不要求个人信息处理者采取不可行或者不符合比例的成本的措施,也不需要个人信息处理者采取所有能够想象到的措施来解决风险。
另一方面,风险概念的引入,也可以给规制机构相应的灵活性,使其能够合理地设定监管的议程,选择重点和优先关注的问题。监管机构可以根据对企业处理活动所创造的风险的,来确定执法的对象,从而将有限的资源聚焦于最有风险的活动。这可以使它们聚焦于更广泛的图景,动态地、持续地并根据预见性地评估企业的风险,而不仅仅是针对随机检查中发现的特定问题点。这种基于风险的方法运用到个人信息保护领域,可以确保监管资源得到更有效的分配。
(二)客观评价风险水平的挑战
如果强调风险作为某种法律判断的参考,它不能停留于抽象的感知,而必须通过一套坚实的方法来进行评价。这就要求,我们需要一套具有共识性、能够客观评价风险水平的方法、程序来进行风险分析,并在此基础上对干预措施进行衡量和监督。
这就是为什么在传统风险规制中,科学性、技术性的风险评估具有重要的意义。它借助一套统一的、在专业共同体内具有一定共识性的方法以及结构化的程序来认定潜在危害的性质、发生概率,为相关决策奠定事实基础。借此,可以形成通过科学知识来规范裁量,限制决策恣意的效果。
实际上,《个人信息保护法》也试图引入类似的评估制度,典型表现,就是要求开展一些有风险的个人信息处理活动如处理敏感个人信息、利用个人信息进行自动化决策之前要进行个人信息保护影响评估。然而,《个人信息保护法》建立的这种评估并不完整。它仅仅非常概括地规定了评估需要考虑的因素,如处理目的、方式等是否合法、正当、必要,对个人权益的影响及安全风险,所采取的措施是否与风险程度相适应等等。对于如何判断伤害后果、如何量化评价等并未明确。
客观而言,借助宽泛指引来表述其意图解决的问题,在其他立法中也存在,并非一定会产生不可接受的不确定性。有研究表明,如果在相关行业的解释社区(interpretative community)内存在共识性理解的话,仍然可以发展出一套相对客观的规则。例如,对于申请注册的药品,《药品管理法》仅宽泛地规定对药品的安全性、有效性和质量可控性等进行审查评价。但是,药品行业对这些问题的评价存在共识性方法。因此,监管部门可以将这种共识进行提炼并明确化,发布指引,形成相对统一、客观的评价方法。问题在于,这样的共识性理解大多在具体行业、部门领域形成,因为在这些领域内更容易形成有紧密联系的职业共同体。而个人信息保护法恰恰是跨领域、跨部门的,形成这种共识的难度要大得多。
更为深层次的挑战还在于,传统风险评估是针对某项活动或者技术对健康、环境等物理性影响的评价。这些影响本质上是人类活动或者技术作用于物理世界产生的,因此是可以通过科学、客观的方法认知的。但是,个人信息影响评价指向相关活动或者技术的伦理性、社会性影响。由于人与人、技术与人的互动是高度复杂的,这些评价本质上又与价值判断无法割裂,我们就无法期待一种客观性的评价。
实际上,正是因为这些挑战,我们可以发现,《个人信息保护法》建立的个人影响评价是一种分散化的评价,即不是由监管部门主导的、按照一套详细的管制性规范进行的,而是要求个人信息处理者自行开展的。这一制度可以理解为要求个人信息处理者在内部建立评估、发现问题并采取措施的机制,是一种从程序角度介入的,要求企业内部建立某种管理流程、治理架构的规制方案。这与传统风险规制领域监管部门直接从外部施加实体性的控制有很大差异。
在这个意义上,个人信息处理活动的风险评价很难朝向按照统一标准进行、结论可以普遍化和客观化的方向发展。其追求的目标应当是将个人信息保护的价值更为结构化地嵌入到处理活动中,要求相关机构在开展个人信息处理活动时,通过一定的程序来思考其对个人信息保护的影响,但如何实现法律要求的原则则留给机构根据自身情况裁量。在这个意义上,个人信息保护中的风险评价无法完全定位为追求某种客观标准的满足,而是试图塑造机构内部的激励和文化,从而更类似于生物医学研究中机构伦理委员会开展的伦理审查。
五、基于权利的保护方法与基于风险的保护方法的协调
在国内,基于风险的保护理论的兴起意在回应基于权利的保护方法的缺陷。但是,当这种方法得到应用后,基于权利的个人信息保护方法在未来整个个人信息保护制度将具有何种地位,它与基于风险的保护方法又将产生何种协调的需要,也是需要考虑的。
(一)基于权利的保护方法会边缘化吗?
对前述问题的探讨,首先需要回答,个体权利在个人信息保护中的作用是否会边缘化。目前,学界对于仅仅依靠基于权利的保护方法已经不充分而需要综合的个人保护体系这一点已有较大共识。与此同时,也还未出现完全否认基于权利的保护方法的意义的主张。然而,不少观点已经暗示,基于权利的保护方法会边缘化而在个人信息保护整体架构中只具有边际意义。这种观点值得分析和回应。
一些观点认为,个体行使控制性权利在当下的数字环境中只具有形式意义。这些观点大多将论证建立在对知情同意规则的批评之上,认为在大数据时代,个人同意很难做到实质意义上的。问题在于,基于权利的保护方法应当视为一套体系、一组权利束。单纯依靠知情同意规则可能无法实现有实质意义的控制,但是,这源于早期立法对个体权利确认的不充分性。当《民法典》《个人信息保护法》确认了系统的权利体系后,是否仍然无法实现实质性控制,就值得观察。例如,如果某人在未充分理解的情况下同意某企业处理涉及自身的个人信息,事后认识到企业的个人信息保护政策不符合自身期待,他仍然可以选择撤回同意来行使相应的控制。
实际上,在对基于权利的保护方法的批评中,有一种内在的矛盾:一方面,认为个体的控制性权利太过形式化以致于无法发挥任何作用;另一方面,又主张这种控制太过绝对化以致于成为个人信息有效利用的过度否决性力量。这表明,这些批评与其说明指向了基于权利的保护方法的内在缺陷,不如说批评了我们定位理解、解释这些权利的方法。
从现实来看,在数字空间确认个体性权利的趋势并未消退,而仍然在发展中。典型事例,便是算法治理中正在发展的“理解权”。它可以视为知情权的一个发展,并可能围绕其形成一套网络空间正当程序的架构。这些权利的确认,一个重要的平台就是《个人信息保护法》。这表明,法律逐步发展并精细化个体对涉及自身的信息控制权仍然是一个长期趋势。这种控制虽然不是绝对的,但是具有实质意义的。这种控制的表现形式可能因为技术和商业生态有所变化,某些具体的控制性权能可能会随着数字生态的演进而有所边缘化,但新的权能也可能出现,从而不断推陈出新。
这种趋势的基础在于,尽管个人信息保护需要承担起维护诸如社会公平等集体利益的职责,但保障个体自治和个人尊严仍然是其核心任务。这一任务的有效完成固然需要系统的公共规制架构来创造一个良好的环境,但不应也无法排除个体的参与。为了个体能够自主思考、自我发展、自由表达,个体就至少需要在一定程度能够决定何时、基于何种方式和何种程度将关于自身的信息传达给他人。因此,在这个新的规制图景中,个体适当的参与、控制仍然具有重要意义。
(二)个体权利与风险权衡的调和
如果承认个体权利仍将在个人信息保护中发挥重要作用,那么我们就需要认识到个人信息保护的双重结构:一方面,它确认了一系列权利,另一方面,它建立了一个系统的规制框架,并要求监管部门来监督执行。这两套体系必然产生连接、互动之处,需要彼此协调。
这种协调一方面意味着,对个体而言,风险的考虑构成其行使其个体控制性权利的一个限制。这既意味着个体控制的必要性及其强度需要与风险预防的需求相适应,在某些风险较低的水平下,一些权利行使的正当性将减弱;也意味着,某些重大风险预防的需要将导致一些具体的控制权能需要予以妥协。
例如,智能音箱在家庭这一极其私密的环境中记录个体声音信息引发了强烈关注。假定某智能音箱公司经过评价,认为相关语音信息涉及高度私密的对话,”为了满足《个人信息保护法》的要求,需要通过相应技术设计来强化隐私保护:即当用户向智能音箱发出指令后,语音会被上传到服务器,但这些信息与用户账户的连接会被切断,形成某种去标识化。但这也意味着,个体将根据《个人信息保护法》主张查阅、复制和删除的权利将受到限制。这就说明,基于风险的方法聚焦推动更广义的公平信息处理,某种情况下需要超越个体关系的考虑。
实际上,为了建立个体权利进行相应妥协的理论基础,既有理论已经有所铺垫,其核心就是对个体控制性权利工具属性的讨论。有学者提出“作为工具性权利的个人信息权利束”的概念,提出将基于权利的保护方法纳入到整个规制图景中进行解释;还有学者明确提出,个人信息保护并非保护个人信息本身,而是通过具体的控制性权益如知情、查阅、更正等保护其背后的可能被侵害个人的人格尊严、通信自由和通信秘密等 “本权”。从这个角度出发,个体的控制性权利既然是为了保护其他权利,那么这种控制性权利的边界就是可以伸缩的,即根据相关权利保护的需求而在具体语境中衡量主张这种权利的正当性。
另一方面,我们也需要认识到,这种协调是双向的,即在某些情况下,面对基于权利的保护方法所意图捍卫的道德边界,风险的方法将不会适用。
一些具体个人信息权益如查阅、复制、转移、更正、补充虽然可以理解为一种工具性的权利。然而,确保个人对其信息有实质意义上的控制仍然有其内在独立价值,它并不仅仅是为了捍卫其他权利和自由,而同样是为了拥有这种控制本身:
首先,从实定法来看,个人信息受保护权已经被《民法典》这种民事基本法典的总则部分所确认,而不仅仅是特别法或者管制性的法律。从基本民事法典应当具有的社会宪章定位来看,这种确认应当解释为个人信息权益对自然人人格发展、自治具有重要的道德价值,而不仅仅是防止某种有形的伤害。其次,从现实来看,在数字化生存日渐常态化的背景下,个人在数字环境中的活动已不能简单视为个人身份在网络空间的投射而予以附带性的保护,而日渐具有发展独立数字人格予以保护的意义。在这种情况下,个人对其信息适当的控制权利应当视为其尊严和自我决定这种道德权利的延伸。
如果上述论证成立的话,意味着我们需要探究个人信息权益核心的道德边界,在这个边界以内,权利的行使依照个体的意愿而无关风险水平。这一权利的核心部分也不能以风险为名而重新校准。实际上,这也是在涉及人的尊严、自治这类具有强烈道德关涉的领域引入风险方法面临的深层挑战,因为风险在很大程度上是一种功利的计算,它与权利保护作为一种关键的道德界限标志的观念可能是冲突的,因为我们无法说权利的侵犯是可以被量化或者说用程度来衡量的。
因此,如果要确保基于风险的保护方法与权利保护的法理结构相协调,我们就需要强调,如果某种个人信息处理活动清晰地侵犯了个人信息权益的道德边界,它就违反了《个人信息保护法》的合法原则,因而是被禁止的。与此对应,基于风险的方法主要用于评价那些处于模糊地带的活动。例如,当一些处理活动是以一些前所未有的新型方式来影响个体权利时,或者它并不主要影响个体权利而是对权利得以展开的基础环境产生了影响的时候,基于风险的功利衡量就可以适当发挥作用。
结 语
自风险社会理论问世以来,风险已经日渐成为一个主导性的思考范式。然而,在每个领域都谈论风险的时代,法律或许需要保持适度的冷静。我们需要首先确认,我们期待风险这一概念在法律制度中发挥何种具体的规范功能。
就此而言,在个人信息保护领域引入基于风险的保护方法,有利于我们从个体权益保护需要的社会环境、增加集体性利益保护等方面更全面的建构个人信息保护制度,也有利于我们思考如何将抽象的个人信息保护原则动态地、合比例地落实到具体场景中。然而,我们也需要认识到,“风险”不能成为一个不证自明的概念,如果法律层面对预防何种风险缺乏明确指向,现实层面又无法发展出测量和预测风险水平的客观方法,风险也可能成为一个容易被操纵、滥用的概念。而且,风险内含的功利考量倾向也意味着,在适用于个人信息保护这样一个有着强烈道德焦虑的领域,需要相当的谨慎,防止将风险的相对性理解为道德立场的相对主义。
END