陈峰,王利荣
(西南政法大学法学院,重庆401120)
大数据时代,个人信息成为数据产业的源头要素,其价值在技术迭代中不断增量,甚至溢出了个人私权范畴,成为带有一定公共属性的社会资源。而丰厚价值必然招致各方主体的觊觎,收集、使用、出售或共享个人信息的行为失范、越围乃至犯罪也渐次呈现,危及个人信息安全与公共安全。个人信息保护写入《中华人民共和国民法典》,使个人信息获得了法典位阶的法律保护。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将于2021年11月1日起施行,其彰显个人信息法益保护与数据产业创新之间的平衡已经成为信息立法与司法实践努力追求的关键主线。收集个人信息行为是个人信息利用的源头行为,源头治理的法律失灵必然产生波及效应直接导致个人信息保护的系统性坍塌。知情同意权制度作为不同法域间获取个人信息的“公因式”,其作为规范收集个人信息行为的基底性制度发挥着重要的法律效能,但在大数据、人工智能等技术冲击下,知情同意权制度正面临失灵风险,探索知情同意权的制度新出路已经成为网络时代个人信息保护的重要理论命题。
当前,人类社会进入大数据时代[1],网络技术的更新迭代不断裹挟着人类向未知领域前行,改变着人类的生存、生活、工作、交际等方方面面。大数据、人工智能等科技创新源于以个人信息为素材的算法的更迭,因此,网络技术的发展必然深刻影响着个人信息的内涵、获取路径、使用方式、保护方式等。知情同意权生成和发展于前信息时代,网络科技已使得知情同意权的社会坐标系发展代际变迁,社会基础的改变必然会使知情同意权面临功能困局。
知情是同意的逻辑前提,未被充分告知情境下作出的同意表示,其真实性与合法性存疑。但在大数据、人工智能时代,知情权正面临塌陷风险,在形式告知与实质知情之间逐渐形成了看不见的鸿沟。第一,信息主体对知情权的自我放弃。知情权假定的理论起点是信息主体能理性、主动地了解隐私政策等文本,但事实上,信息主体多以非理性、盲目乐观、习以为常的心态出现在社会生活中,对信息收集告知条款的关注度极低。据相关报道,64.8%的受访者用“换脸”软件时不会细看隐私条款,具体来说,22.0%的受访者完全不看条款内容,直接授权,42.8%的受访者会快速扫过[2]。信息主体对隐私条款等告知文本的消极应对,使得“不看”“懒得看”的惯性思维横行,知情权的第一道关卡失守。第二,告知文本的用户友好度不佳。告知文本的易得、易读通常与同意的概率呈负相关。因此,信息收集者会利用专业、信息和技术等优势掏空隐私条款的告知功能。例如,使用冗长的文字表述或高频次的告知,消磨信息主体的阅读耐心,促其作出概括同意的意思表示;利用专业鸿沟,设计艰深、晦涩的告知文本,造成信息主体“看也看不懂”的窘境。第三,大数据技术目的事项的不可知性。我们正在步入“算法时代”,算法已被广泛应用在工商业生产经营活动和公共管理中,成为第三波信息技术浪潮中的关键性结构要素[3]。大数据技术的背后是算法的运行,算法之下不同数据的聚合将产出远超信息主体甚至信息收集者的理解能力和预设初衷,也就是说,大数据技术下的产出物颇有些不可知论的色彩。大数据的非线性部分使得信息收集者无法提供清晰、具体、确定的告知事项,只能提供“改善用户体验”“保护用户信息安全”“产品提档升级”等模糊表述。而如此模糊的告知内容使得信息主体即使细致阅读也无法准确了解信息收集目的,陷入“看了也白看”的困局之中。
同意权凸显信息主体对个人信息的主导地位,印证其具有控制信息和决定信息转移的权利。但网络时代使得信息收集的同意权表达方式发生巨变,“一对多”(如一款APP面向多个用户)成为个人信息收集方式的主流,屏幕点击成为表达同意权的方式,而交互界面、告知方式、同意方式等方面的变化使得同意真实性判断面临时代挑战。第一,信息收集者的缔约优势使得信息主体只能做“同意或离开”的单选题。网络平台凭借其独特的产品服务或市场支配地位,设置“不选即走”的选择模式,一旦信息主体拒绝平台对个人信息的收集则无法使用平台的基本功能,在此情形下,信息主体只能被迫同意,同意权的实质效能被掏空。第二,个人信息的外部可得性使得信息主体丧失了拒绝的自由。拒绝为自由注入灵魂,当拒绝的效果与不拒绝相差无几时,拒绝就丧失了现实意义,而大数据、人工智能等新型网络技术所蕴含的超强算力使得信息主体的拒绝形同虚设,因为收集者有能力通过已获得的其他信息来推断信息主体的个人信息。可见,在强大的算力面前,拒绝正逐步丧失其应有的效能,同意的价值也就变得稀薄。
知情同意权在网络时代面临功能困境甚至失效风险已是不争的事实,究其原因:一是大数据算法的特殊运算模式带来的技术原因。大数据采用非线性、非相关性的挖掘方式,信息收集者对大数据运算的结果也并不明知,结果不明使得信息收集者无法提前告知。二是信息收集者与信息主体之间客观存在的权力势差。在给定的社会关系中,主体间的抽象法律地位平等,信息水平、技术能力、需求弹性、社会权力等决定谈判筹码的因素却有势差[4]。信息收集者与信息主体之间就存在巨大的势差鸿沟,信息收集者可以利用信息不对称、技术水平等优势设定对己有利的个人信息收集的“游戏规则”,弱化信息主体的知情权,变相剥夺其同意权,从而使同意收集的意思表达徒具形式。在网络运营者与使用者之间形成一种不平等地位,从而导致公民的个人信息自决权与删除、修正权难以得到保障[5]。但是这种权力势差的存在,也为法律留下了作为空间。
由于大数据算法的不可预知性、外部可得性等技术因素,法律只能在鼓励创新与安全保守之间作出选择,而在大数据、人工智能发展已成潮流的时代背景下,法律只能退守,为技术创新留足空间。因此,完善知情同意权的法律舞台更多的是规制信息收集者与信息主体之间的权力势差。弥合二者势差的路径有二:一是放弃对信息收集者与信息主体在知情同意方面的势差修正,将规制重点置于信息收集后的使用行为;二是在承认知情同意势差的基础上,通过对信息主体的非对称赋权,缩减其与信息收集者的力量差。两条路径均有不同的探索者,并提出了相关论断。
弱同意制度认为,在大数据时代固守个人信息知情同意权的至高体系地位会导致数据流通受阻和价值减损,所以应当采取以退为进的策略,适度放弃对知情同意权的执着。有学者提出,“弱同意”的规范结构为“情境合理+拟制同意=合法处理”,其中拟制同意化解了“强同意”因僵硬适用和过高标准所带来的有效性困境,情境合理测试则充分吸收了场景理念和风险认知[6]。其实质是将场景合理作为个人信息获取的合法性事由,在此场景下,信息收集者无须征得信息主体的明示同意,从而使明示同意的适用范围得以限缩。亦有学者提出合法利益豁免理论,认为合理利益豁免机制因无须取得数据主体同意而有可能成为大数据产业使用个人信息的重要合法依据[7]。还有学者提出赋予信息主体“选择退出”的权利,主张“若权利人不能有效行为,则发生默示同意的法律效果”[8],抑或建立“谁使用谁负责”的“使用者责任”机制[9]。
弱同意制度是基于大数据、人工智能等网络技术给知情同意权带来的困局而作出的现实选择。但是,弱同意制度将会对个人信息保护造成颠覆性影响:一是个人信息保护防线后撤,将加速收集行为的“源头污染”。二是规制重心的转移可能使制度成本不减反增。个人信息应用场景的多元化使得执法机关容易纠缠于无尽的场景是否合理的判断之中,且即便如此也难以保证个人信息违法处理“黑数”被悉数捕获。三是场景合理的不确定性为大数据产业合规发展带来变数,或是大数据产业利用其专业优势,获得场景合理的实质解释权,则信息收集者与信息主体之间的权力势差将进一步拉大,或是公权力紧握场景合理的判断权,那么,违法抑或犯罪的“达摩克里斯之剑”可能会高悬于大数据产业之上,对产业发展形成掣肘。
友好告知制度是在承认知情同意权是个人信息保护基础性地位的前提下,以改善信息主体的知情权为目的,解决告知文本的易得性、可读性问题,具体规则有易得、通俗、具体、提示(对重要事项作出标示)。此外,还有简明、个性化等其他维度的具体规则。友好告知制度能够体现信息收集者对信息主体的善意,在一定程度上减缩新兴网络技术与知情权之间的张力。但是,友好告知制度并不能完全解决网络时代知情同意权所面临的困境:一是友好告知制度只是对知情权的改善,对同意权的改善效果甚微。二是友好告知制度的多元目标之间存在不协调之处,集中体现在通俗与具体之间的冲突。通俗要求简短,但具体要求全面,二者存在一定的负相关。通俗要求易懂,而具体又不可避免地掺杂专业术语,造成用语晦涩。三是在文本阅读率畸低的当下,告知文本的改善虽然能一定程度提升用户的阅读意愿,但提升度有限。
在个人信息收集阶段的目的限制制度可以细分为三个层次:一是信息收集者有明确、合法的目的。过于含糊的目的,诸如“改进用户体验”“保障产品及用户安全”等表述并不符合明确性要求。二是“在收集个人信息之前应告知收集、使用个人信息的目的”[10]。如此才能保障信息主体的知情权,并在对收集后果有明确预期的前提下作出是否同意被收集的决断。三是收集个人信息范围为实现目的所必需。收集数据的必要性是目的限制制度的核心。收集者收集个人信息的范围不能超过实现功能所必须,譬如,信息收集者的目的是实现A功能,却收集了a、b两个数据,而a数据的运用足以实现A功能,那么,对数据b的收集就有违目的限制规则。目的限制制度加重了信息收集者在明确收集目的、证明数据必要性等方面的义务,对慑止其数据收集失范、失序问题有一定功效。但该制度亦存在现实困难:一是目的明确性要求与大数据的不可预期性存在内在冲突。算法之下的数据聚合能够产生多样的运算结果,而这些结果在事先并不能完整地、准确地被认知,这种大数据非线性运行模式下产生的不可预期性与目的限制制度的明确性要求相悖。二是个人信息收集必要性的标准不明。判断个人信息收集的必要性是贯彻目的限制制度最为关键的一步。信息收集者通常拥有专业背景,可能会利用“专业槽”争夺公众甚至司法对必要性的解释权,而一旦必要性的解释过于宽泛,那目的限制的制度核心将会被掏空。
区分授权制度与一揽子授权制度相反,拟通过对核心功能与非核心功能的划分,采取分别缔约、授权的方式收集个人信息,从而改变信息主体“不选即走”的选择困局。区分授权制度赋予信息主体拒绝收集的自由,但该自由的实现需要如下保障:一是信息主体拒绝后,信息收集者的服务体验度不降低;二是“核心—非核心功能”区分得当;三是核心功能所需个人信息的收集不能过线。区分授权制度是弥合信息收集者与信息主体之前权力势差的突破性制度,其实施难点在于信息收集者的刻意规避。譬如,信息收集者遵从保留核心功能的要求,但降低用户的体验感;以核心功能的实现需要交叉调用多种个人信息为由,淡化核心功能与非核心功能的区分;利用技术“黑箱”,假借核心功能之名收集非核心功能所需的个人数据。
敏感分级制度是根据敏感程度的差异,将多样的个人信息划分为不同的等级,并辅之以严宽有序的保护措施。其意义在于打破了过往个人信息“隐私—非隐私”的二元分类模式,相应的保护手段也更加多元,更利于个人信息的差异化保护。从操作步骤上看,敏感度分级制度可以分为两大部分:一是准确认定个人信息的敏感度。敏感程度与保护力度呈正相关,敏感程度的误差将会直接导致保护力度的错配,影响个人信息保护的整体效能。二是根据敏感度施以适当的保护力度。敏感度分级制度是一项有着重要意义的个人信息保护制度,但它同样面临适用难题,其中最为突出的是个人信息敏感度的度量问题。不同地域、不同文化、不同观念等要素都会对个人信息的敏感度产生实质影响。即使在敏感度分级制度较早实施的欧美国家也无法列出清晰明确并得到广泛认可的敏感度清单。
总之,信息收集者与信息主体之间存有权力势差已是不争事实,而以弱同意制度为代表的承认势差、重点后移路径很可能加剧个人信息收集的乱象,司法标准的调适也会付出制度成本。因此,通过内部机制的加固来弥补知情同意权的功能缺陷似乎是不二之选,《个人信息保护法》采用的也是此种方案。友好界面制度、目的限制制度、区分授权制度和敏感分级制度虽然仍存在自身缺陷,但都在不同维度对知情同意权的实现具有功效,至少精打细磨之下的程序限制增加了信息收集者的违法成本。
友好界面制度、目的限制制度等方案实质上是以行政性的方式为信息收集者增义务,为信息主体赋权利,从而限缩二者之间的势差。行政权的引入能够改变势差格局,但由于网络技术迭代频繁、个人信息应用场景多样,行政主体与信息收集者、信息主体等容易在“必要—非必要收集”“核心—非核心功能”“敏感—非敏感信息”的解释上发生争议。此时,作为最后手段的司法应深度介入专业领域,重点审查信息主体同意有效性,从程序和实体两个维度探索司法强化知情同意权的路径。鉴于信息收集者与信息主体之间存在巨大权力势差的客观现实,司法首先应当从证明责任的分配入手,对信息主体予以倾斜保护。
证明责任,又称举证责任、举证证明责任,常被认为是“民事诉讼的脊梁”,足见其重要性。回至个人信息侵权领域,获取个人信息合法性的证明有两种进路选择:一是信息主体的证明进路,即遵循“谁主张谁举证”的证明责任分配原则,由原告承担举证责任;二是信息收集者的证明进路。考虑到个人信息侵权案件中,信息主体与信息收集者在举证能力、证明妨碍等方面存有巨大势差,该类案件的证明责任分配应突破“谁主张谁举证”的常规路径,以例外的方式加大信息收集者的举证责任。目前两种进路都已经在司法实践中出现,并呈现截然相反的裁判结果①从北京市第一中级人民法院(2017)京01民终509号判决书可以看出,一审法院采用的是信息主体证明进路,判决驳回原告的诉讼请求,而二审法院采用的是信息收集者证明路径,改判侵权事实成立,被告承担侵权责任。。笔者认为,采用信息收集者的证明进路更佳,应当通过民事实体法确立信息收集者的过错推定责任。信息收集者的过错推定原则是对“谁主张谁举证”基本原则的背离,因此,应当继续拷问“为何如此分配”,如此才能解释分配方案背后的正义逻辑与价值考量。过错推定原则的确立主要基于以下考量:第一,弥合权力势差、保护信息安全是个人信息法规的首要法律价值。回应“为何如此分配”的拷问必然追溯至证明责任的本质之上,诚如学者所言:“(现代证明责任)最深层的本质就是以法律价值权衡化解事实认知模糊状态,化消极无解之事实判断为积极的法律价值引导。”[11]个人信息的价值在网络时代凸显,间接造成了目前个人信息收集的乱象,基于此,以法律手段整肃个人信息收集市场已经形成了社会共识,过错推定责任的确立能够表达法律保护个人信息的鲜明立场,更能体现法律的价值指引作用。第二,过错推定原则的确立能够形成诉讼威慑效应,督促信息收集者合规经营。第三,证据收集能力的力量对比决定了信息收集者的举证责任。举证责任倒置意在保护弱势群体的权益[12]。在收集个人信息的具体情景中,信息收集者与信息主体证据收集能力高下立见。相比受害人,信息控制者具有更强的信息处理能力和信息状态的证明能力[13]。这是确立信息收集者证明进路的现实考量。
收集个人信息合法性证明责任的厘定并非司法介入知情同意权、保障信息主体有效同意的终点。因为证据的提供只是法官勾勒案件事实的起点,法律事实的呈现和法律规范的适用还需要裁判者的理性思维加工,法律漏洞的出现也需要裁判者的法律续造。公权加持知情同意权的初衷是弥合信息收集者与信息主体之间的权力势差,以保障信息主体的有效同意,这就要求司法者在根据优化方案进行形式审查的基础上,与数据产业之间就“敏感—非敏感信息”“必要—非必要收集”等核心术语的解释权展开争夺。而司法机关要想掌握主动权,首先需要依据优化方案对个人信息收集的合法性进行形式审查,然后在场景理论的指导下,以案例指导的方式,逐步磨合出核心术语的实质判断标准。
友好告知制度、目的限制制度、区分授权制度、敏感分级制度等知情同意权的优化方案虽然在某种意义上只是“程序加程序”的改良,但对知情同意权的有效性实现仍大有裨益,特别是为裁判者判断信息收集者收集行为是否合规提供了坐标系。不同的优化方案有相异的侧重点,要求裁判者在裁判时需要理顺裁判思路:首先,判断信息收集者的收集行为是否符合敏感度分级的限制措施。敏感分级制度根据个人信息的敏感度差异设置了诸如禁止收集、书面授权、重点提示、一般告知等宽严有度的限制措施。司法裁判者应当根据敏感度分级的相关规定对收集行为进行审查。例如,部分生物特征信息、性生活性取向信息等高度敏感性信息,将被设置为禁止收集,信息收集者一旦违反,则其违法性成立。其次,判断信息收集者设计的交互界面是否友好,是否达到易得、通俗、具体、提示的标准。如果隐私条款的设置隐蔽、晦涩、模糊、未重点提示,则信息主体的知情权被削弱,形式同意的有效性将大打折扣。再次,判断信息收集者区分授权的制度,重点审查核心业务与非核心业务的划分是否合理,区分授权后用户体验度是否下降等。最后,判断信息收集者收集个人信息的范围是否超出收集目的的限制。总之,社会民众对敏感度、界面友好度、核心业务、收集目的等存在基本共识,因此,在多数情形下,利用一般常理、常情、常识即可对收集合理性加以辨别。易言之,基于优化方案的形式审查能够解决多数个人信息收集合理性的判断问题。
场景理论与数据场景的多元性不谋而合,成为个人信息保护领域的强势理论,并被欧美个人信息立法所肯定,如美国的《加利福尼亚消费者隐私法案》和欧盟的《数据保护通用条例》,二者最鲜明的特点就是在不同程度上引入场景导向、风险判断的理念。场景理论由美国教授海伦·尼森鲍姆(Helen Nissenbaum)首创,其核心是将个人信息收集的合理性置于具体场景中加以审视,以具体场景中的风险度作为判断个人信息收集合理性的关键指标。换言之,个人信息收集的合理性与具体场景中个人信息的风险度成正比。风险导向的理念,即舍弃传统路径中全有全无的“二元化”判断,转而进行“程度性”评估,以个案分析的精神,在相应场景中具体地评估数据处理行为的风险[14]。基于场景的风险评估理念为“敏感—非敏感信息”“必要—非必要收集”等核心术语的实质标准判断提供了借鉴思路,即将上述术语的实质标准的评判转化为具体场景中的风险度,并根据风险度的高低得出个人信息收集是否合理的结论。风险度是一种“程度性”判断,而场景的构成要素必然是多元的,因此,个人信息收集的风险程度是多因素共同影响的结果。具体而言,包括但不限于以下因素:(1)个人信息应用场景是否明确、具体地告知信息主体。在大数据时代,信息主体的授权收集行为必然产生一定的风险,告知其应用场景可以使信息主体形成合理的风险预期,也能为后续风险程度的判断提供坐标系。(2)告知场景与实际场景是否存有差异及是否引发信息主体无法预期的风险。(3)个人信息本身所蕴含的风险度。个人信息种类繁多,不同信息的敏感度、风险度不同,因此,在具体场景的风险度判断中,个人信息的本身属性是一个重要的考量因素。(4)收集个人信息的目的。信息收集的目的是出于社会公益还是个人私利将直接影响当事人的容忍义务,如果信息收集者出于疫情防控、公共安全、犯罪追究、新闻报道等社会公益,信息主体对信息收集的容忍度增高,反之,则容忍度降低。总之,在具体场景下,个人信息的风险程度源自多个因素的共同作用,需要运用个案分析、综合分析的方法对风险程度进行评判。
“场景理论”试图构建出一套既可应用于不同具体情况,又可以充分考虑各方利益,以保护自然人隐私的制度,个人信息保护同样可以从中加以借鉴[15]。场景理论的多元性可以尽力保证公正的实现,但同时难以划定统一的裁判标准,成为其最大缺陷。而案例制度能在一定程度上缓解场景理论标准的抽象化问题。案例的形成是基于个案的具体事实,这与场景理论的立足点不谋而合,二者能形成较高的契合度,这就具备了以案例方式践行场景理论的基本条件。同时,案例在司法实践中的首要价值是对今后同类案件裁判的指引[16]。既成案例的形成将会对后来的裁判者形成约束力,既成案例所蕴含的法律价值判断、法律解释方法、案件处理规则等将在潜移默化中影响司法者的裁判思维。案例的累加将巩固相关规则的确立,而每一条规则的确立也会助力整个个人信息法律保护体系的形成。
综上,虽然知情同意权正陷入功能失灵的困局之中,但径直放弃知情同意权,弃守第一道安全防线的做法并不可取。知情同意作为个人信息收集领域的基本规则应当坚持,但维系知情同意权也没有讨巧的办法,除了在运用友好界面制度、目的限制制度、区分授权制度和敏感分级制度等优化方案增加违法收集的程序成本外,还需要运用场景理论,以案例形式逐步磨合出个人信息收集合理性的判断规则体系,即使这将付出巨大的司法成本和制度成本。