宋宗宇 林传琳
〔摘要〕 数字科技滥用个人信息造成的社会风险与个人权利侵犯问题日益突出,个体缺乏保护个人信息的能力,公法已然具备更深层次干预个人领域之理由。预防原则是公权力面对科技风险的严厉举措,近年来其扩张适用日益广泛。数字科技之风险后果既满足严重性与不可逆转性,又符合预防原则的基本触发条件,因此适用该原则应是风险防范的較优选择。由于抽象的侵权风险证明可能离不开主观判断,在适用时需要注意限制其规范对象,科学设定“强”“弱”预防原则的启动阈值,灵活设置“不确定风险”的证明,避免无休止的重复论证。
〔关键词〕 个人信息保护;预防原则;政府责任;科技风险;面部信息
〔中图分类号〕D923.7;D922.7 〔文献标识码〕A 〔文章编号〕1000-4769(2021)05-0084-11
〔基金项目〕国家社会科学基金重点项目“中国民法上的中国元素研究”(18AFX015);重庆市技术创新与应用发展专项重点项目“基于山地城市道路场景的自动驾驶社会实验研究”(CSTC2020JSCX-DXWTBX0018)
〔作者简介〕宋宗宇,重庆大学法学院教授、博士生导师;
林传琳,重庆大学法学院博士研究生,重庆 400044。
一、问题缘起:当下个人信息保护的公法缺陷
科技在带给人类福利的同时也引发了不容忽视的抽象社会风险,其中以个人信息安全所面临的威胁尤为突出。在面对科技侵入个人领域时,滞后的法律显得心余力绌,特别是数字技术对个人数据的运算设置及结果,可能会在暗中侵蚀着个人的尊严与自由意志,也可能会影响社会公平与国家安全,层出不穷的新型侵权对法律提出了诸多挑战。
法学界对这种数字科技所带来的社会风险与个人权利侵犯早有关注,研究重点多侧重从私法角度来实现个人权利保护。我国《民法典》高度重视个人信息保护,首创人格权独立成编,并确立了隐私权与个人信息保护规则。可是,基于信息控制论及其衍生规则为基础的民法保护体系,与当下时代特征不符。①为此,学者们提出了许多建议,例如构建新型个人信息民事权利②,重构隐私侵权规则③,综合运用法律、技术、市场、伦理等手段,形成“多管齐下,激励相容”隐私保护路径。④虽然数字科技风险大多以侵犯个人权利的事实来呈现,但是,个人信息已不再是单纯的个人利益,而是当下社会的基础资源。侵犯个人权利的后果既具个体性也有整体性,例如,绝大多数人必将被迫面对的算法操控现象,就是数字科技所引发的整个社会的风险。仅仅依靠私法救济,不仅无法挽回公众与个人的尊严,更重要的是对这种新型社会风险无法起到预防作用。借助公法发挥其事前预警的防范功能已经成为众望所归。2021年4月29日,在全国人大发布的《中华人民共和国个人信息保护法(草案二次审议稿)》[以下简称《个人信息保护法(草案)》]中,政府部门的权责得到充分的强调,就印证了这一点。
现阶段监管部门对数字产业风险的管控却不乐观,因为行政机关对信息处理者多以“约谈—自查整改”的形式实现其风险防范职责⑤,执法依据是以《网络安全法》为基础,其他法律法规、司法解释以及政策标准为补充。目前,法律法规制定者多围绕着“知情—同意”框架进行制度设计,即信息处理者在违反用户协议或法律强制性规定时,执法部门才可以采取有效手段。此种制度设计的缺陷较为明显:一是无法实现风险规制的功能定位,对于形式上遵守隐私协议的“算法操控”等抽象性权利侵害缺乏执法依据。换言之,行政处罚过度重视意思自治与损害结果,倘若没有实质性损害证据则无法采取行动。二是“约谈—自查整改”的执法方式对于数字科技的风险预防力度不足,无法对相对人构成足够威慑。《个人信息保护法(草案)》关于个人信息风险管控的规定也存在类似问题。为了应对抽象的数字科技权利侵害,必须要做到“面向未知而决策”⑥,适用预防原则似乎成为一种可以讨论的方案。
预防原则是公法上产生的原则,20世纪60年代德国环境法中的风险原则(Vorsorgeprinzip)被视为预防原则的起源。⑦近年来,预防原则已逐步成为国际法的重要依据,在人类健康、环境气候、消费者安全保护等领域取得了显著成效。例如,1992年通过的《欧洲联盟条约》第130条确立了预防原则的基本原则地位;2002年欧盟通过了187/2002法案,其中明确规定预防原则是规制食品安全领域不确定风险的基本原则⑧,欧盟及其成员应积极执行。预防原则还被积极地应用于转基因食品安全等领域⑨,2001/18/EC号指令(关于故意释放转基因生物)指出,依据预防原则应当对转基因生物进入市场采取措施,以避免对人类健康或生态环境形成危险。⑩然而,该原则通常用于防范科技手段引发的实质性风险,从未适用于如个人信息侵害等抽象风险。但是,随着现代科技引发的社会风险日益严重,预防原则在国际法中的适用范围已变得愈加广泛,从预防环境损害扩展到保护人类健康和消费者安全,同时改变了风险损害的法律性质和证据要求。那么,预防原则是否可以扩张至防范数字产业风险,从而捍卫公民的个人信息权利(抽象权利)?如果可以,又该如何应用?本文将讨论这些问题。
二、逻辑前提:公法干预个人领域的理由
根据传统法学理论,公权力不能介入私人自主权利领域。在现阶段的法学理论体系中,个人信息是否属于公法可以干预的客体并未得到充分论证。由于隐私在我国带有明显的私权属性,隐私利益是纯粹意义上的私人利益,因此公权力很少干预个人隐私。而个人信息又与个人隐私枝附叶连。有观点认为,无论隐私权如何发展,都必须遵守一个前提:即个人信息是个人的道德义务,具有排他性的私权客体应通过私法来保护。[11]我国学界的主流观点也认为,个人隐私与个人信息呈交叉关系,两者既有重合的部分又有相互独立的部分。[12]《民法典》第1032条将私密信息列为隐私概念的一部分;第1034条规定私密信息优先适用隐私权保护规则。实践中,个人信息保护往往以隐私权形式出现。[13]但是,在比较法上隐私权却是由宪法与私法部门双层建构,个人信息权利也是一种跨越部门法的综合性权利,即公权力可以介入个人信息保护,引致传统大陆法系隐私权理论发生一些新发展。隐私权诞生于美国,又被称为“独处的权利”[14],二战后欧洲各国逐渐将隐私权作为法律所保护的权利。当人类社会进入互联网时代,个人领域与公共领域之间的界限开始变得模糊,隐私信息被限制在个人不公开领域的藩篱逐渐被破解。科技手段可以在不影响个人独处的情况下盗取其隐私信息,个人即使独处也不足以享有私生活的安宁,此时个人信息权利应运而生。在数字时代,隐私权也可以被解释为是个人可以选择在何时以及何种程度公开个人信息的权利。[15]为此,我国现阶段的个人信息保护相关立法并未完全排斥行政部门介入,但缺乏决定性的理论共识,行政权的介入还相对较弱,远未达到预防原则所需要的执法强度。
预防原则本质上是公法上的授权,即法律授权政府在国民蒙受不确定的极端风险时,不顾及风险概率而采取的保护措施。申言之,预防原则要求政府以严格的态度履行职责。此种立法授权之所以勃兴,主要原因有二:一是个体对科技风险存在认知局限,无法判断其来源与未来,故称之为“风险”。尤其在现代社会,科学技术飞速发展所带来的高新技术社会风险不断呈现,基于自由意志的个人理性已不再强大无误。另一方面,风险往往具有紧急性,需要立即作出应对。与专家不同,普通民众对风险的认识大多来自直觉,这种不安全感也会导致民众希望政府进行干预。即使此种直觉并没有合理的根据,但政府仍然会面临回应民众的压力。相较于个人防范,政府对未知风险的预防与管理更加有效。自20世纪80年代以来,即使在欧美等自由主义国家,政府形象也从消极的“守夜人”逐渐演变为积极的“家长”, 要求行政权更加积极主动地防范风险,而不是恪守议会的意志。
如果个人信息构成公法上的权利客体,那么就“应当通过设计制度来落实权利保护”。[16]这就需要讨论公权力能否介入个人信息保护领域。笔者主张公权力可以介入个人信息保护领域,主要基于如下理由:
其一,公权力从未“缺席”私人领域。在自由竞争条件下,个体差异逐渐造成两极分化,实力强劲的个人利用竞争中的优势令契约自由、人格平等成为泡影,过度推崇私法自治产生了严重的社会问题。“基于某种政策考量限制主体的私权及其行使”[17],公权力可能不断地渗入私人领域,因为市场主体“始终都受民法自治规范和国家管制规范的双重限制”。[18]就个人信息的公法保护而言,我国法律早有涉及。例如,我国《刑法修正案(五)》增加了“窃取、收买、非法提供信用卡信息罪”,《刑法修正案(七)》增加了“侵犯公民个人信息罪”就是例证。
其二,隐私规则的公私二分理论在数字时代逐渐失效。传统理论认为隐私只存在于私人领域,个人信息通过自由意志流入公共领域就不再是隐私。自新型数字技术出现后,在网络中传播的个人信息也会被用户视为个人隐私。例如,2019年9月,一款名为“ZAO”的APP因使用“AI换脸”技术需收集、处理用户面部信息引发社会热议,进而引起监管部门的重视(以下简称“ZAO APP 事件”)。所谓的AI换脸,是指只需要一张正脸照片就可以将媒介中特定人物的脸进行替换,既可以换成自己的脸,也可以换成不特定他人的脸,能够达到以假乱真的效果。[19]监管部门很快认定“ZAO”的APP隐私保护协议不规范,要求其自查整改,并表示需要制定新的治理规范监管新技术、新应用。[20]可见,坚持公私界限作为判断是否隐私的基础已经不能满足数字时代用户人格利益的保护要求,若依据传统的隐私理论,则充斥在网络中的個人面部信息就不再是隐私。不仅如此,比较法上摒弃个人隐私的公私二分理论也已成为普遍做法,转而强调主体对个人信息的绝对控制。海伦·尼森鲍姆教授提出的场景性公正理论(Theory of Contextual Integrity)即是基于不同场景来判断隐私。[21]因此,公私二分论一旦被否定,就不存在公权力不能介入私领域的这个逻辑。
其三,个体逐渐缺乏保护个人信息的能力。在传统理论上,公权力不能介入个人信息保护的另一个重要原因是,保护个人信息属于个人的道德义务并且其有能力保护信息外泄。在互联网时代初期,人们有能力保护个人信息。虽然用户之间存在信息互换,但是互联网技术也为个人打造出一个“独立空间”,个人可以处于独立封闭的空间中。而且那时“信息总量不大,泄露风险较低,即使泄露其影响也有限”。[22]但进入数字时代后,由于受到知识和实践选择不足的限制,个体缺乏采取措施限制大数据捕获个人信息的能力。事实上,即便个体知晓互联网的信息风险,也无法拒绝使用科技产品。因为个人的工作和生活已经与数字科技高度耦合,当人们置身于数字生活中或者以其他方式(如云支付、在线申请工作等)参与数字经济时,都会对数据库作出无形的贡献。现代化智能产品作为数据收集者,随时可能甚至必然变成数据泄露者。数据的收集范围时常会超出服务者的需要范围,而用户却不知情。如Facebook等社交媒体为广告营销、公关等正当用途所收集与交易的数据中,8/9的数据用户无法看到,仅有1/9的数据用户可以看见。[23]
个人最大化地实现规避风险的方式,就是产生更少的数据从而减少对自己和他人的伤害的可能性。但法律却不能鼓励这么做,一旦不能收集足够数据和高质量数据,将会导致国家在多个关键领域的竞争失败。互联网企业的隐私政策给予了用户是否公开个人数据的权利,但是,用户在与企业的权利博弈中并没有太多话语权,晦涩、冗长、难懂的用户协议迫使个人跳过阅读,概括式地要么同意这些软件政策继续安装,要么只能离开。并且,许多软件之间存在相互关联,一旦同意了其中一个软件的隐私政策,也就视为用户同意将个人数据对其他关联的软件予以共享。[24]知情同意规则的虚化让保护个人信息任务变得更加艰巨。
其四,私法的局限性。仅仅通过放大或缩小私权并不能根除数字科技的风险,这种现象在互联网巨头企业中尤为明显。即使《民法典》对个人信息保护高度重视,并将其纳入人格权编,也无法避免最终以请求权作为基础的救济方式。问题的关键在于,私人与互联网巨头的地位不平等导致民事救济难以实现:一方面,因为它们获取与应用个人隐私的手段完全“合法”,且不会造成明显的损害,通过人格权制度很难提供法律救济,而隐蔽的侵权活动却仍然存在;另一方面,人工智能产品的创新速度较快,私法在抵御这类法律风险时存在“侵权—救济”范式的构造难题,针对还未引起足够审慎思考就已投入使用的技术,传统侵权法理论根本无力应对。[25]仍以“ZAO APP事件”为例,在法律对于如何保护面部信息不甚了了时,带有科技风险的换脸APP就已经上架投入使用。该软件公司甚至在用户协议中就明确指出,用户上传发布内容后就意味着同意授予“ZAO”及其关联公司以及“ZAO”用户在全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利。尽管最终这场风波随着行政机关及时介入而结束,但其暴露出的隐私安全问题却未经充分的讨论。就此事件,现阶段用户可采取的私法救济措施主要有:主张此用户协议属于合同法上“格式条款”,不能成为缔约双方认同之内容;或者对AI换脸技术所引发的名誉权、隐私权等人格权风险主张排除妨害等等。但是,在网络技术发达的今天,面部数据与个人账户的安全度密切相关,任何能够复制面部数据的个人或公司都可能掌握了打开个人账户的钥匙,而个人却无法举证侵权是如何进行的。所以,私法对科技侵权风险可能显得无从下手,必须借助于公权力进行风险防范。
三、法理支撑:引入预防原则的合理性分析
虽然公权力可以保护私人权利为由规范数字产业,但预防原则是极为严格的监管方式,因此需要充分讨论引入预防原则的合理性。
(一)个人信息保护需要被法律严格对待
预防原则的证成必然带有预设的价值判断,即必须严格对待数字科技风险。笔者主张严格对待数字科技风险,但数字产业对国民经济的重要性不言而喻,且预防原则是一种严格的法律原则,故欲证明个人信息保护可以适用预防原则,就必须提出合理的理由。
首先,现阶段个人信息保护亟需统一其价值认同。如果不能明确必须坚守的价值目标,那么对价值理解不同的人就可能对法律作出相反的理解。例如,《网络安全法》第四章与《民法典》所规定的个人信息保护规则,既可理解为法律重视私权抑或是对侵犯个人信息持严格态度,也可以理解为法律认可基于知情同意规则下的信息分享抑或对合法的信息处理行为持宽容态度。司法实践中,往往也会因为价值观念不同而发生分歧。例如,在朱某诉百度公司隐私侵权纠纷案中,朱某认为百度公司收集其在百度搜索引擎中的搜索记录并运用算法对客户进行精确广告营销的做法侵犯了他的隐私权。一审法院判朱某胜诉[26],而二审法院驳回了朱某的诉讼请求。[27]二审法院的裁判理由是搜索信息属于匿名信息,它不符合个人信息的可识别性,且百度公司也没有宣扬朱某的隐私并因此造成损害。事实上,个人信息匿名化处理只是回避了个人信息利用的合法性问题,并不能消除个人信息流通中的隐私风险。
其次,正是因为人工智能在公共政策制定、企业决策等领域具有无可比拟的预测能力,而个人信息是其学习与运算的“血液”,被称为“21世纪的石油”,所以社会往往对互联网企业过于宽容。由于单个个体的数据价值并不大,因此互联网企业必须竭尽所能地收集大众数据。换言之,这种技术在骨子里就存在诱发信息滥用的基因,因为滥用可以带来巨大的收益,个人信息的滥泄就成为可能甚至必然。科技能创造巨大的经济收益甚至引发世界格局变革,但它对人类尊严与自由造成了威胁。由于如今的网络技术功能强大,牵扯范围广,嵌入社会深,因而其社会风险很大。[28]
最后,更为糟糕的是,即使风险苗头已然显现,但由于科技往往都是以正面形象出现,故其背后的侵权风险被视若无睹,公众的目光并非真正的审慎与理性,国内某明星与“B站”之纠纷就是一个例子。[29]活跃在该网站上的视频制作者通过剪接、换脸等方式,将该“明星”面孔从原视频中截取出并置于其他搞笑视频中,以达到赚取流量的目的。但搞笑视频经常带有贬义,其在视频网站上传播,不免发生类似“破窗原理”的观众跟风诋毁现象。一段时间后,该明星的名字甚至姓氏都淪为网络语言中的贬义,对其社会形象造成了巨大损害。该明星曾试图通过法律手段要求网站删除相关视频,却遭遇拒绝。单从法律角度分析该事件,若主张传统意义上的侵权法责任,将难以成立。一方面,视频制作者可以辩解自己只是为了娱乐需要,那么,其主观上的过错就难以认定。另一方面,制作者获取视频的方式是合法的,视频内容也是真实的,也不能构成严重的侮辱、诽谤。但若依人格权请求权,则该请求可能得到支持。因为人格权请求权属于绝对权请求权,不要求行为人具有主观过错[30],旨在将人格损害恢复至圆满状态,但被害人却未如此主张。因为B站提出社会舆论对公众人物所造成的轻微损害应当予以容忍,并基于此迅速开展舆论攻关,获得了多数公众支持,最终该明星放弃了维权。即使此事件引发了全国性的舆论风波,但该互联网企业却屹立于不败之地。而如今,这种恶搞现象似乎已经成为网络常态。
上述案例背后映衬的问题是,互联网巨头为多数人狂欢寻找了一个“正当”的理由,即“明星”“名人”才会遭到恶搞,普通人并不会,从而令多数人无视科技手段所带来的道德风险,此其一。在当今数字时代,每当舆论倒向一方,法律往往只能作出让步,一旦舆论战中分出高下,则法律上的结果已不再重要,此其二。互联网企业往往具有极强的公关与舆论引导能力,如任由此现象发展,法律恐将一直被舆论绑架,难以对乱象形成制约,此其三。总之,个人信息的滥用看似无足轻重,实则影响深远,需要被法律严肃对待。如果不能明确严格的监管理念,加强法律在智慧社会中的权威性,仅仅依靠立法,其现实意义将非常有限。
(二)个人信息保护满足预防原则的触发条件
预防原则通常要求有不确定风险的证据,或者有合理理由怀疑某项技术对环境、健康问题存在潜在威胁时,才能选择适用。从理论上讲,需要同时满足存在不确定的风险和风险具有严重性两个条件。显然,由大数据技术引发的社会风险具有不确定性。如果其是确定的,也就意味着人类能够预测到人工智能的决策结论,那么人工智能就没有存在的意义了。但是,抽象风险能否适用预防原则却是一个关键问题。
1.物理损害并非预防原则的必要条件
有观点认为,触发预防原则只能是由科技造成的直接物理损害,或者对环境造成的直接物理损害引发的间接物理损害例如核污染,而抽象的侵权损害并不在预防原则的适用范围内。理由是:其一,因科技改变个人生活而导致的精神性损害或失落感难以计算,而且通过自我调解可以克服。[31]其二,不确定风险需要最低限度的证据基础,不能是尚未论证的学术思想或假设。ORiordan和Cameron就认为,对预防原则最普遍的理解是具有“足够”证据的,或者通过成本效益分析后有理由采取行动的,或者可能导致不作为而不得不“谨慎”采取行动的。[32]这意味着采用预防原则的理由不仅仅是推测,还需要采用科学的评估方式,如采集样本、控制变量、选择模型等等。[33]而侵犯个人信息的后果大多是抽象的损害,例如信息茧房、改变人类自由意志等等,表面上看与预防原则的要求相去甚远。
针对物理性损害,主要通过预防原则经多年发展所产生出的衍生规则来救济。起初,预防原则仅仅是针对特定的科技事项,其重点关注风险的严重性与发生依据,而这种风险是否属于物理损害并不是关键问题。例如,《里约宣言》是最广为人知的确立预防原则的国际文件。它对损害的描述是具有“严重的和不可逆转的损害”,并未提及风险损害的物理性。[34]就此而言,可以归纳出预防原则的特征是存在潜在的未来风险、具有初步科学依据、在完全确定风险之前就展开行动。[35]换言之,预防原则在发展演变过程中增加了一些限制(如物理的损害),但最初并没有此项要求。因此,当时代发生了变化(科技所造成的社会风险日益复杂化),就不能当然地坚持预防原则完全不具有适用于非物理损害的可能性。
那么,如何通过科学依据证明存在严重的抽象风险呢?如果将“科学依据”理解为仅指自然科学依据,而将法律用于论证风险认为是不“科学的”,此观点也是片面的。实际上,抽象风险也可以用法律的严谨方式进行评估,以免引致滥用预防原则。因为预防原则所要求的是一种不确定风险,最终的价值判断仍然离不开主观论证。现实中,不存在一种确定的能证明具有潜在风险的自然科学证据,否则就不是具有不确定性的风险了。科学家对科技引起的不确定性风险也很难达成共识,因为实验结论本身就不是绝对科学的,科学家大多不敢或不愿给出确定的结论。换言之,即使完全尊重科学家,也会因科学家的结论之间存在分歧而不得不进行主观判断,那么道德论证就显得更加重要。因此,科学依据并不能仅作狭义的理解,人文科学的论证也当属于此范畴。
2.个人信息滥用的后果足够严重
预防原则可适用于环境保护与人类健康领域,其正当性基础在于它们关乎人类的生存繁衍。而个人信息滥用最严重的后果是不断地让渡隐私以换取利益,最终隐私为零。[36]没有隐私就没有自由意志,可能部分人仍然坚持自由意志的价值难以同人类健康相比,但不可否认的是,某些数字科技风险也同样具有严重性与不可逆转性。
其一,严重性体现在算法操控与破坏公众自由决策。一般而言,个体对于自身信息的管控不得不对智能产品产生妥协,但人工智能却可以针对个人选择做出精确的资讯投递。申言之,通过人工智能而影响个人的自由意志绝非难事。在Facebook數据泄露事件中,算法通过对个体数据的匿名数据分析处理后,筛选出一些目标用户,对他们进行新闻推送、政治精准宣传,从而影响了多个国家的总统选举结果。[37]该事件充分证明,只要收集到足够的个人数据,人工智能可以影响人类的自由决策,那么社会的根基也将面临重大威胁。
其二,不可逆转性体现在当人类习惯失去尊严后就很难恢复。隐私是人类的基本利益,它决定着人类的尊严问题。当今数据自由主义的支持者提出隐私是可以牺牲的代价,他们认为科技可能是毁灭人类自主的原罪,但也是不可抗拒的影响社会之因素。[38]保护个人隐私的任何道德责任不包括约束大数据的义务,因为大数据在商业、人类健康与安全等方面的有益用途已经超过了隐私危害。易言之,人的尊严与隐私等权利应当为科技发展让位。但如果不能重视人类基本权利的保护,那么资本将通过高新技术侵蚀个人尊严的内核,个人就不再能实现“独处”,人类就不再存有隐私。[39]
隐私能得到保障也是个人自由意志的前提,没有隐私人类就无法培养个人道德与自主意识,就不能意识到个人行为与行为后果之间的关系,自然也不存在自担风险的责任意识。此外,信息控制的严重不均衡也将加剧教育、就业、社会保障等多方面的不平等。当前大数据分析涉及个人行为生成的未知性和非共识性数据使用,企业及研究者可以部署复杂的人工智能算法,揭示原本无法确定的身份、行为、趋势以及实践性知识体系,进而损害个人的机会,这些机会流失的后果大多为个人所无法预见,最终导致自由平等的价值理念遭受巨大挑战。事实上,这些威胁通常难以救济且不可逆转。退一万步讲,即使视数字科技风险为威胁真的毫无道理,或者不如环境与健康风险所引致的损害那么严重,公众对风险的看法仍是政府制定政策的合理理由。既然数字科技侵犯公众隐私所造成的社会风险已昭然若揭,那么公众向公权力求助进而适用预防原则也就具备正当性。
四、路径设计:引入预防原则的实现构想
基于上述分析,可见预防原则在个人信息保护领域仍有用武之地,其制度功能不仅要体现对数字科技风险的防范性,还要具备对于数字产业的治理性(governmentality)。治理性主要体现在专家与信息处理者对于不确定风险的论辩反思上,公权担当人所代表的公众担忧之表达也是其重要内容。但是,预防原则确实存在内容模糊、表述版本多且缺乏统一性等先天缺陷,个人信息的权利损害也比较抽象,那么,在适用预防原则时会否出现更加缺乏程序与规范的现象呢?实际上,法律本身就是确定与不确定的混合体,并且将永远是含糊的、不稳定的。[40]尽管无法对个人信息保护规范中的预防原则下一个准确定义,但是仍然可以归纳出主要的程序规范。以下将从预防原则的适用对象、启动及证明三个方面进行讨论。
(一)预防原则的适用对象
由于数字科技所造成的风险具有抽象性和不确定性,其产生机理也较为复杂,对预防原则规范对象的界定就变得尤为重要。
1.可针对的主体。必须说明是,笔者提出预防原则适用个人信息规制体系并不是针对所有的信息主体,而只能针对部分有一定社会影响力的主体,例如用户众多的互联网平台。原因在于:其一,适用预防原则的正当性是基于公众对公权力保护个人信息的需求,属于个人信息保护法律体系的一部分。而现代个人信息保护法的思想源于公平信息实践原则[41],它所管束的是不平等的信息关系,针对的主体大多是商业性或特殊主体。它既不能针对个人或群体日常的、普通的信息收集、处理行为,也不能针对公权力机关的职权行为,目前与个人信息保护相关的法律大多包含了此种理念。例如,欧盟《一般数据保护条例》(General Data Protection Regulation)第二条第二款(c)(d)项规定,“自然人在个人或家庭活动中的个人数据处理”与“预防、侦查刑事犯罪或执行刑事处罚”的个人数据处理行为不适用此条例。我国《民法典》第1039条规定,公权力机关及其工作人员“对于履行职责过程中知悉的自然人的隐私和个人信息”负有保密义务;《个人信息保护法(草案)》第35条规定,行政机关在处理个人信息时原则上应经过本人同意,但在妨害其履行法定职责时除外。这就相当于将国家机关依职权获取个人信息的行为排除在外,在一定程度上也体现了这一原则。其二,预防原则仅针对具有一定严重后果的科技风险,对于个人信息保护而言,大多数严重风险都是由大型信息处理者所引起的。小型的甚至个人的收集行为通常并不会引起社会风险,且个人完全有能力通过私法手段来救济权利。
2.不确定风险的类型。显然,在此体系中预防原则所规范的并不是互联网平台所使用的数字技术本身,而是包含数字技术的实际应用产品。这里需要明确不确定风险的两个性质:第一,风险必须是智慧手段正常使用中所产生的,以科技手段故意损害他人利益的行为不在本文讨论范围之内。例如,用互联网手段非法入侵他人电子设备,盗取个人信息与财物的,应被视为盗窃行为,而非科技伦理风险。其二,损害后果是非物理损害。因为数字科技产品风险引发的重大物理损害已有相关法律予以规制,并不需要讨论。例如,自动驾驶汽车正常运行中致人损害,被害人有权提出侵权损害赔偿,“通过可接受风险理论与利益衡量”[42]可以划分保有人和生产者的责任界限,而自动驾驶汽车中处理信息的算法是否符合伦理要求,则可以纳入预防原则的讨论范围。
根据损害方式的不同,可将具有社会损害风险的产品分为两类:一是具有直接损害风险的产品,指的是信息处理活动对不特定第三人所造成的直接损害。由于直接损害对信息主体造成了直接的侵权风险,故较为容易认知与证明,例如个人信息在采集、处理、储存中的泄露风险。直接损害所造成的不仅仅是经济上的损害,也包括对个人名誉、隐私等人格权的损害,例如私密信息被公开的风险或者通过AI换脸等技术造成混淆后对他人名誉损害的风险等。二是具有间接损害的风险产品。这是信息处理活动对个人或者群体引发的道德、伦理等抽象性风险,往往难以被社会公众所发现、认知,并且难以证明。此种风险可以是现阶段就存在的個人生活于数字时代中都能够感知到的权利或者道德上的风险,也可以是当下并不存在的潜在风险。尽管潜在风险尚未爆发,但是只要公众有合理理由担心未来可能会爆发,都应当被预防原则所规制。
(二)预防原则的启动
1.阈值设定。预防原则有“强”“弱”之分,最早的预防原则理论是指在进行一项活动时,为了避免严重的、不可逆转的损害而禁止使用某种科学技术,从而确保该活动在没有风险的情况下进行。但是,这可能会严重地阻碍社会发展,为了弥补早期理论的过度僵化,弱预防原则理论应运而生,而早期的预防原则就被称为强预防原则。所谓弱预防原则,是指在危险程度相对较低时,采取一定的措施从而防止危害的产生或扩大,因此它往往需要考虑比例原则、成本收益等等。[43]而最弱的预防原则是政府对于科技风险的密切关注。由于个人信息保护一直是我国政府高度关注的问题,故无探讨最弱预防原则的必要。必须指出的是,无论适用强预防原则还是弱预防原则,其启动阈值均以某种风险为严重的、不可逆转的为必要,这就需要进一步设定某种程度的风险阈值,从而对“强”“弱”进行区分。
作为借用于数学物理领域的专业术语,阈值是一种临界状态的翻转值。强预防原则的风险认知阈值较低(由于难以认知,所以一般人达到低水平的认知阈值即可启动),即使没有充分的理由相信某项活动可能有害,也可以将其本身视为必须采取诸如禁止之类的严厉措施,政府措施倾向于风险防范。弱预防原则的不确定风险认知阈值较高(由于容易认知,所以需要一般人达到一定水平的认知才可启动),需要有合理的理由认为某种行动的后果是有害的,就足够证明监管是正当的,政府措施更倾向于风险管理。[44]
在此过程中,必须注意避免唯科学主义。由于不确定风险难以被科学所证明,故不能仅执行科学家所设定的标准。事实上,预防原则离不开主观论证,科技也必须要接受质疑,可以结合行政主体与民众对于数字科技风险的认知程度,从而制定风险标准体系。法律还应当建立不同的援引预防原则的举证标准,力图使援引预防原则的依据取决于所涉问题的性质与类型。具言之,弱预防原则应当设定较高的启动阈值,因为当公众认知风险比较容易时,就不会难以理解风险的后果与企业的过错,对风险的防范也比较容易达成共识,故应设定较高的启动阈值。例如单纯的买卖个人信息行为,属于公众容易认识的侵犯个人隐私的风险,不涉及公民平等、国家安全等难以认知的问题,那么法律就不必采取强的预防措施(将其完全禁止),而是需要督促政府履行管理职责;政府不得借故缺乏科学依据,怠于实施行政行为。也可以通过行政管理措施从宽解释预防原则。例如,关于敏感信息的使用,即使科技企业再三强调面部信息的收集与使用并不会导致泄露或面部识别的密码失控,但只要公众仍然担心它将影响个人生活安宁或私人账户安全,那么就已经达到了高度认知的阈值,政府就应当对此进行必要的管理甚至防控。换言之,只要公众对风险的认知达到了较高的一致性,则政府的风险管理就是正当的。而对于认知较为困难的数字科技风险,例如信息产品对用户的算法操控、数据的跨境转移等公众难以理解的信息处理者行为,但导致的后果又可能特别严重,就可以采取强预防原则。一言以蔽之,法律只需要设置较低的认知阈值,就可授权政府采取强的措施,例如举证责任倒置,要求行动者承担举证责任证明应用信息是安全的,这样即使无法确定引发风险的因果关系,也可以将个人自由与法律父爱主义结合在一起[45],从而避免损害威胁。
2.成本分析。在适用弱的预防原则时需要衡量行政行为的成本收益,经济成本与收益是评价预防原则正当性的一个重要指标,因为政府对科技风险的预防措施很可能限制社会福利。例如,将微博、抖音等信息软件予以禁止,不仅可能造成大量失业,而且也会大幅影响人们的业余生活。那么,如果不能带来足够的收益,该预防措施将会遭到强烈的质疑。基于此,就只需采取整改、禁止部分功能等适当的监管手段,以避免社会福利大幅下降。当然,成本效益分析方法不乏反对者,其理由在于人类的尊严与自由不能以金钱作为衡量标准。换言之,成本分析法只是为了短期利益而忽视了长时期的不确定风险,应当予以坚决制止。[46]这种反对论的认识来源于人是目的并非工具的康德法哲学。然而,现代社会的政府很难不考虑经济因素与人民意志,而非仅为了捍卫康德信条。在个人信息保护领域适用预防原则,可能影响数字产业的发展,进而产生经济下滑、失业率上升等社会成本,必然引发公众与政府的担忧。据此,适用弱的预防原则要求政府不得以缺乏科学依据为由不作为,但仍应考虑行政成本效益。
与弱的预防原则不同,适用强的预防原则就可以突破成本效益标准,因为所遭受的损害可能无法衡量。即尽管行政措施的成本巨大,也要对后果足够严重的风险采取行动。例如,对于通过数字技术操控选举结果的行为,就无法吝惜行政措施的成本。因此,对数字科技的风险阈值的判断十分重要。具体而言,针对一般的数字科技风险,在保护经济健康发展的同时尽可能避免科技风险;其预防措施应当允许一定程度上的信息流通,重视监管行为的成本。针对重大的数字科技风险,则应当不计成本地采取预防措施。一般情况下,个人信息泄露的损害后果是一个抽象问题,它的行政管理成本相对而言并不算高。例如,限制转基因食品的流通可能造成部分人饥饿甚至死亡,而限制一些数字技术应用只会影响一些社会软福利。但是,如果完全禁止一些数字技术就可能产生较大的社会影响,故只能针对部分后果严重的数字科技风险采取不计成本的措施。当然,还应设置一定的执法程序,并经有关部门批准。
那么如何判断数字科技的风险是否“足够”严重?主要考虑公众和学术界的态度,并不要求确定的或者高度盖然性的证据,多数民意导向即可成为判断依据。例如,面部特征等较为敏感的信息具有不可更改与不可匿名性,只能认定其损害程度较大。[47]质言之,只要后果足够严重,就不必考虑产生此种后果的成本收益问题。而对一般的数字科技风险,只需采取与风险适当的预防措施即可。
综上所述,本文认为,可根据对风险认知的难易程度、风险后果能否计算或者补偿来设定预防原则的启动标准。弱预防原则的启动标准应设定为:某种较容易认知的,可以较精确地计算或者可大概估算的、不容易补偿的较大的风险;强预防原则的启动标准应设定为:某种难以认知的,无法通过成本衡量、无法补偿的重大风险。
(三)风险不确定性的证明
除明确预防原则可适用于个人信息保护领域、规制对象以及启动条件外,还有一个关键问题是不确定风险究竟要证明到何种程度。所有的有关预防原则的证明都要求包含一定的知识条件,需要达到可以应用的等级。对于该风险是否足够严重的证明也不例外。
1.避免循环论证。科学在为预防原则提供证据性结论时也存在局限性,即科学很难证明一定存在不确定的风险。事实上,与该风险相关的科学知识条件可能尚且处于模糊状态,因为信息产品的风险具有不确定性,难以形成一个统一的标准,在举证时往往难以令人信服。行政相对人可能会要求行政行为人提供存在“不确定风险”的证明,此即所谓的“不确定性悖论”,不断地上诉可能会陷入证明逻辑困境。一方面,人们认识到科学无法对不确定风险提供决定性证据;另一方面,政府和律师又需要证明存在或不存在不确定性风险。[48]
在辉瑞公司诉欧盟委员会案中就多次出现循环论证的情况。[49]自1970年以来,欧盟委员会开始监管各成员国所使用饲料中的添加剂。丹麦国家实验室检测出欧盟委员会批准使用的食品添加剂维吉霉素可能将其从畜产品传递给人,于是通知欧盟委员会丹麦禁止使用维吉霉素。但依据1996年欧盟引入的共同授权系统规定,各国有权在饲料中使用经过欧盟授权的添加剂;如果成员国要限制或者禁止使用,则必须立即通知其他成员国与欧盟,并说明该添加剂具有危害的理由。欧盟委员会接到丹麦的通知后,委托动物营养科学委员会(SCAN)对丹麦国家实验室的实验报告做出“确定性”的答复,但SCAN认为实验结果的不确定性过大,并提供了一些可能存在不确定性风险的分析,但肯定不构成直接威胁。欧盟委员会却根据预防原则提出了一项禁令,禁止包括维吉霉素在内的四种抗生素作为食品添加剂,最终被欧盟理事会批准。随后,维吉霉素生产商辉瑞公司针对此禁令向歐盟初审法院(CFI)提出异议,认为欧盟委员会对两份“不确定风险”报告做了不同的判断,维吉霉素与报告中的风险并不存在因果关系。于是,法院不得不对两份报告的科学性、真实性与有效性进行审查,作证专家也陷入不确定性悖论的循环讨论之中。法院开始要求提供确凿的证据,这就将非不确定风险举证演变为零风险举证,法院也不可避免地要对科学主张作出判决。
在适用预防原则时应当避免循环论证的发生,证明过程不能要求确凿地证实数字产品存在不确定风险的证据,而应强调一旦风险转化为现实损害,其后果的严重性以及公众对科技产品风险损害的担忧。多数存在风险的科技产品都可能被证明不存在危害或者存在风险的概率极低,但这对公众来说并不具有说服力。因为科学的证明结论也总是在不断地被推翻。为了结果的严谨性,鉴定人员往往无法给出一个确定的答案,因为即使科技风险的存在属于小概率事件,但一旦发生就可能引发公众性灾难。例如,即使转基因食品多次被证明不存在危害,但也不能被学者所接受。[50]因此,在法律论证中不能过分陷入是否成立不确定风险的论证之中,也要适当考虑风险的严重后果。
2.证明标准。有研究者总结了欧盟在适用预防原则时的发展趋势,发现在适用“弱”预防原则时所必要的科技风险证明标准似乎更加苛刻,考虑到经济方面的原因,可能更倾向于采取一定限度内的较轻的控制措施。相比之下,“强”预防原则的所必要的证明标准却比“弱”的更加简易,往往将实施政策的成本转嫁给潜在有害活动或产品的支持者。[51]而数字科技风险的证据可能更加主观,因此证明标准应当张弛有度,可以采取不同严格程度的措施,具体取决于需避免风险的严重程度、证据的力度以及公众对风险的态度。对于多数数字科技风险而言强预防原则过于严格,实践中可能更多是弱预防原则之应用。弱预防原则所针对的不确定风险认知难度较低,在证明时可以根据风险的严重程度适当地灵活变化证明标准。对于损害大、发生概率小的风险,则应从严证明并采取严厉的措施;对损害小、发生概率高的风险从宽证明,采取相对温和的措施。例如,如果某项信息产品存在明显的算法操控用户的嫌疑,一旦造成后果可能十分严重,将证据标准从“充分的不确定性”降至“合理的关注理由”以及预防性措施,是完全可行的。尽管如此,科学论证还是十分必要,即使无法给出一个确定答案,但它仍然是法律论证中的重要依据。
对于认知阈值低但损害后果特别严重的数字风险,还应考虑转移举证责任,即由科技公司证明自身产品不存在安全风险,这在国际法中已有适用先例。1995年新西兰“核试验”案中,在适用预防原则时就曾采用了举证责任倒置。但是,它只是预防原则可允许的证明方式,并非必须采取的措施。所以,国际法上是否需要转移举证责任是由不确定风险的阈值所决定的,目前虽未形成统一的应用标准,仍然值得借鉴。
五、结论
预防原则不失为一种个人信息保护的新思路,它不仅可适用于人类健康、环境保护等领域,也可尝试用于某些严重的抽象风险。当智慧科技产品引发了公众担忧或者道德难题时,法律就应当严肃对待。即使是个人信息这样的私人自治领域,预防原则的适用同样可以适当变通与突破。至于数字科技是否能够引发潜在的个人权利侵犯与社会风险,预防原则透过科学论证也可以作出较具说服力的判断,亦可为政府提供较为明确的价值指引。风险防范的论证过程至少可以达到“有则改之,无则加勉”的管控目标,从而维护社会的安稳秩序。以此为鉴,我国个人信息保护立法应当尝试引入风险预防原则,但由于相关法律过于繁多,鉴于篇幅所限不能尽述,在此仅以《个人信息保护法(草案)》为例,建议对其做如下修改:
(1)赋予行政机关更多权能,第六十二条第一款增加第五项“(五)根据风险的具体情况,按照规定的权限和程序对该个人信息处理的活动采取部分限制等临时措施。”
(2)为体现预防原则的强弱双重性,将第六十三条修改为“省级以上人民政府有关部门在履行个人信息处理监督管理职责时,如果发现个人信息处理活动存在较大安全风险,不及时制止将使公众合法权益受到较为严重或难以补偿的损害的,不得以缺乏科学充分证据为由,延迟采取措施防止情况恶化。可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈或采取临时措施。个人信息处理者应当按照要求采取措施,进行整改,消除隐患(弱预防原则)。如果发现个人信息处理活动存在重大安全风险,不及时制止将使公众合法权益受到特别严重或无法衡量的损害的,应当立即采取措施并上报有关部门。经国务院决定或者批准,可以对此项个人信息处理活动采取全面限制等临时措施(强预防原则)”。
① 房绍坤、曹相见:《论个人信息人格利益的隐私本质》,《法制与社会发展》2019年第4期。
② 程啸:《论大数据时代的个人数据权利》,《中国社会科学》2018年第3期。
③ 叶名怡:《个人信息的侵权法保护》,《法学研究》2018年第4期。
④ 郑志峰:《人工智能时代的隐私保护》,《法律科学》2019年第2期。
⑤ APP专项治理工作组:《APP违法违规收集使用个人信息专项治理报告(2019)》,2020年5月26日,http://www.cac.gov.cn/2020-05/26/c_1592036763304447.htm,2020年12月24日。
⑥ 赵鹏:《知识与合法性:风险社会的行政法治原理》,《行政法学研究》2011年第4期。
⑦ Philippe Sands and Jacqueline Peel, Principles of International Environmental Law(Third Edtion), Cambridge:Cambridge University Press, 2012,pp.218-219.
⑧ 张海柱:《专业知识的民主化——欧盟风险治理的经验与启示》,《科学学研究》2019年第1期。
⑨ Daniel Steel,Philosophy and the Precautionary Principle,Cambridge:Cambridge University Press, 2015, pp.19-20.
⑩ 劉韵清:《预防原则的习惯国际法地位分析》,《国际法研究》2020年第4期。
[11]丁晓东:《个人信息私法保护的困境与出路》,《法学研究》2018年第6期。
[12]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期。
[13]参见北京市海淀区人民法院(2009)海民初字第11219号《民事判决书》;上海市浦东新区人民法院(2009)浦民一初字第9737号《民事判决书》;广东省广州市中级人民法院(2011)穗中法民一终字第3675号《民事判决书》。
[14]Samuel D.Warren and Louis D.Brandeis, “The Right to Privacy,”Harvard Law Review, vol.4(1891),p.193.
[15]Elizabeth L.Beardsley, “Privacy: Autonomy and Selective Disclosure,”in J.Roland Pennock and John W.Chapman,eds., Privacy and Personality,London and New York:Routledge, 2017,pp.56-60.
[16]丁晓东:《个人信息的双重属性与行为主义规制》,《法学家》2020年第1期。
[17]郑晓剑:《比例原则在民法上的适用及展开》,《中国法学》2016年第2期。
[18]谢鸿飞:《论法律行为生效的“适法规范”——公法对法律行为效力的影响及其限度》,《中国社会科学》2007年第6期。
[19]常莽:《AI换脸技术有多恐怖》,《计算机与网络》2019年第22期。
[20]王庆凯:《国家网信办回应AI换脸软件“ZAO”涉嫌侵权:已会同有关部门制定相关规定监管》,2019年9月18日,http://www.chinanews.com/gn/shipin/cns-d/2019/09-18/news831890.shtml,2021年6月26日。
[21]Helen Nissenbaum,“Privacy as Contextual Integrity,”WashingtonLaw Review, vol.79(2004),p.119.
[22]朱方彬、宋宗宇:《大数据时代个人信息权保护的法制构建》,《山东社会科学》2020年第7期。
[23]B.Debatin, J.P.Lovejoy and A.K.Horn, et al, “Facebook and Online Privacy: Attitudes, Behaviors, and Unintended Consequences,”Journal of ComputerMediated Communication, vol.15(2009),p.86.
[24]李延舜:《我国移动应用软件隐私政策的合规审查及完善——基于49例隐私政策的文本考察》,《法商研究》2019年第5期。
[25]DouglasHarris, “Deepfakes: False Pornography Is Here and the Law Cannot Protect You,” Duke L.& Tech.Rev., vol.17(2018),p.99.
[26]参见江苏省南京市鼓楼区人民法院(2013)鼓民初字第3031号《民事判决书》。
[27]参见江苏省南京市中级人民法院(2014)宁民终字第5028号《民事判决书》。
[28]谢俊贵:《高新技术社会风险的生发逻辑与控制理路》,《社会科学研究》2019年第3期。
[29]彭启航:《B站回应蔡徐坤律师函事件:已收悉,相信法律自有公断》,2019年4月13日,http://www.bjnews.com.cn/ent/2019/04/13/567374.html,2020年12月24日。
[30]王利明:《论人格权请求权与侵权损害赔偿请求权的分离》,《中国法学》2019年第1期。
[31]陈景辉:《捍卫预防原则:科技风险的法律姿态》,《华东政法大学学报》2018年第1期。
[32]Timothy ORiordan and James Cameron, Interpreting the Precautionary Principle,London and New York:Earthscan,1994, p.16.
[33]高秦伟:《论欧盟行政法上的风险预防原则》,《比较法研究》2010年第3期。
[34]《里约宣言》第15条规定:“为了保护环境,各国应按照本国的能力广泛的适用风险预防措施,遇有严重或不可逆转的损害时,不得以缺乏科学充分证据为由,延迟采取符合成本效益的措施防止环境恶化。”
[35]Kenisha Garnettand David J.Parsons, “MultiCase Review of the Application of the Precautionary Principle in European Union Law and Case Law,”Risk Analysis, vol.37, no.3(2017), p.504.
[36]肖冬梅、陳晰:《硬规则时代的数据自由与隐私边界》,《湘潭大学学报》(哲学社会科学版)2019年第3期。
[37]王中原:《算法瞄准如何重塑西方选举——算法时代的选举异化及其治理》,《探索与争鸣》2021年第5期。
[38]André Nusselder, Interface Fantasy: A Lacanian Cyborg Ontology,Massachusetts London:the MIT Press Cambridge, 2009, pp.22-23.
[39]D.J.Solove, “Ive Got Nothing to Hide and Other Misunderstandings of Privacy,”San Diego L.Rev., vol.44(2007), pp.745-772.
[40]陈海嵩:《风险预防原则理论与实践反思——兼论风险预防原则的核心问题》,《北方法学》2010年第3期。
[41]丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,《现代法学》2019年第3期。
[42]宋宗宇、林传琳:《自动驾驶交通事故责任的民法教义学解释进路》,《政治与法律》2020年第11期。
[43]朱炳成:《环境健康风险预防原则的理论建构与制度展开》,《暨南学报》(哲学社会科学版)2019年第11期。
[44]J.Zander, The Application of the Precautionary Principle in Practice: Comparative Dimensions, Cambridge:Cambridge University Press, 2010, pp.31-36.
[45]郭春镇、马磊:《大数据时代个人信息问题的回应型治理》,《法制与社会发展》2020年第2期。
[46]Mark Jablonowski, Precautionary Risk Management: Dealing with Catastrophic Loss Potential in Business,the Community and Society, New York:Palgrave Macmillan, 2006, pp.20-22.
[47]邢会强:《人脸识别的法律规制》,《比较法研究》2020年第5期。
[48]M.B.A.Van Asselt and E.Vos, “The Precautionary Principle and the Uncertainty Paradox,”Journal of Risk Research, vol.9, no.4(2006), pp.317-318.
[49]参见《欧洲法院案例报告》第13/99号,2002年第2卷第3305页及其以下(Case T-13/99,Pfizer Animal Health SA v.Council[2002]ECR II-3305)。转引自高秦伟:《论欧盟行政法上的风险预防原则》,《比较法研究》2010年第3期。
[50]陈景辉:《面对转基因问题的法律态度——法律人应当如何思考科学问题》,《法学》2015年第9期。
[51]Ragnar Lofstedt, “The Precautionary Principle in the EU: Why a Formal Review is Long Overdue,”Risk Management, vol.16, no.3(2014), pp.141-145.
(责任编辑:周中举)