张邦铺
(西华大学,四川 成都 610039)
个人信息保护是一个“老”问题,又是一个“新”问题。“老”问题指的是,有关个人信息保护的研究开启早且时间跨度长。国外早在十九世纪即开始关注个人信息,先后提出了保密性理论、信息隐私权理论、隐私控制理论、信息自决权理论等[1]32-40丰富了个人信息的理论研究,并通过司法判例对理论观点进行论证或强化。国内以周汉华为领军的研究者自2005年起便持续开展个人信息保护研究,从保护主体、对象、范围、方式、职责、信息权利归属等多重角度切入,结合实践深研理论知识,形成数份个人信息保护法专家意见稿与立法研究报告,大力推进了个人信息保护的立法进程[2]1-27。“新”的含义是,个人信息保护与时俱进,呼应时代环境里条件的变迁。从移动互联网普及到信息化建设,到大数据和物联网的应用,再到“数字化生存”[3],社会环境频频变动。同时,滥用个人金融信息、APP违法违规收集使用个人信息、新型信息犯罪等新情形的出现频率节节攀升,如若依照传统保护方式或严惩个案的“运动式”保护模式,势必将陷入困顿。于此,个人信息保护面临着更大的挑战,时代也对个人信息保护提出了新要求,亟待因时、因地、因事转变保护模式,塑造适恰的、前沿的、科学的个人信息保护体系。
长久以来,个人信息的法律属性一直争论不休,但并不影响其原生具有的价值意义。个人信息控制者、处理者利用技术手段批量化分析、提取个人信息中符合市场需求的要素进行商业化输出,实现个人信息的财产价值。在高利润低成本的诱导下,一时逐利者纷纷涌入信息市场。经济学规律指明,社会资源总是一定的,其只能在具有竞争关系的领域进行有限配置才能成就优化发展格局,如果资源自发或被动地高度聚合于某一领域,势必会削弱其他领域的发展能力,一旦建设与管理跟不上迅速增长的需求,各类摩擦、矛盾、甚至是严重冲突将接踵而至[4]。作为个人信息生产者的信息主体则是此种冲突下最突出的受害方。详言之,当下互联网信息社会环境中,消费者的日常生活、生产活动都已打上信息化烙印,网络购物、金融服务、线上办公等都需要信息主体主动披露适度的个人信息,与此同时,信息主体不得不担忧其个人信息被他方获取后是否会被二次利用,触及道德问题、法律问题,个人信息安全如何保障。个人信息承载着多元法律利益,其在不同时代场域中的发展规律、相关信息主体规范化的权利义务关系等问题时刻关系着我国的信息化转型进程,个人信息的保护与合理利用更是一个需要从法律维度深刻研讨的命题。
正值《个人信息保护法》公布前夕,罗娟博士以其博士学位论文为基底所著《消费者个人信息权保护——公私兼济模式向场景风险模式的转型》(2021)[5]一书由法律出版社出版(以下简称“该书”)。该书植根中国特色司法实践,充分借鉴国际经验,以消费者个人信息为研究对象,凝结着对社会历史语境与时代转型阶段个人信息权保护的长期思考与不懈探索,构建了一套兼顾个人信息权利保护与自由流动的场景风险式的回应型治理框架,为破解我国个人信息保护的现实困境提供了重要思路。
事先告知并征得信息主体同意是合法、合规处理个人信息的重要前提。现实中信息体量成倍膨胀式上涨,逐个努力争取信息主体同意的做法已因成本过高而不可行。为了打通个人信息处理环节的第一步,经营者不得不采用一些效率性的“变通”手段,诸如一揽子协议、霸王条款、强制同意、告知同意、功能捆绑等显性或隐性的同意获取方式,以此为个人信息后续处理行为加固“免责盾牌”,但却将个人信息置于安全隐患环伺的危险境地[6]。该书详细阐明了真实世界中多种隐蔽不显的同意获取手段的特征、表现形式,直击违法违规收集消费者个人信息的重灾区——手机APP,借助场景描绘与数据统计,呈现了一幅幅现实感极强的有悖消费者真实意愿的、法律边界模糊的个人信息“告知-同意”画面。同时,该书通过对多个司法实践案例的分析解构,发现不同类型的司法案例中“告知-同意”原则均能或多或少影响案件走向,并结合案例实情提取出了有关“告知-同意”的违法行为共同点。现象阐述过程中,该书不停地追问“变通式同意”是否是对传统知情同意架构的挑战?其与法律意义上的授权是否等同?是否是经营者为规避合法合规审查而采取的规避手段?是否能够维护消费者的理性选择权与信息自主权?为此,该书将欧盟分层告知模式、美国分情形告知模式列为比较对象,深入剖析域外国家的告知认定规则、告知内容、告知形式等具象化规定,积极探求其之所以行之有效的运行机理、内在规律,并以此为镜,关照我国实情,寻觅我国知情同意制度失灵的缘由。
实际上,有关“告知-同意”规则的适用困境问题国内外文献已有论述,主要集中于个人信息处理环节“告知-同意”规则的缺失[7]、信息主体作出同意表示的真实性[8]、告知范畴的限缩[9]、改变现有同意模式[10]等微观研究层面,在相当程度上补强了传统知情同意架构的制度之失。然而,从宏观视角重新审视“告知-同意”规则的原初设计思路与理论支撑,有效回应当下全面且真实的告知稀缺、同意获取手段隐秘难题的研究尚未成型,亟待法律予以制度化关注。鉴于此,该书从“告知-同意”原则本身出发,既不过度限缩也不过于扩张原则本来意涵,基于理论与实践融合视角,以平实合理的叙事廓清“告知-同意”原则的内涵与外延,并结合WEB2.0时代数字化、网格化程度对原则进行时代语境化重塑,减轻其在大数据时代适用的不确定性并赋予操作性能力,强化其在个人信息处理规则运作中的核心效用。随着经济生活使用消费者个人信息的广度不断拓展,敏感个人信息处理、个人信息跨境转移等重要事项并不适合批量授权,需单独征得信息主体同意。若因信息主体不同意而拒绝供给相关产品或服务,或是仅凭一项同意授权过度收集其他个人信息,或是信息主体作出同意表示后又反悔,其间的权责如何划分,尤其在智能时代个人信息多以电子形式呈现,“告知-同意”规则又将如何实现制度旨意,这些在该书中体现得不够突出,有待进一步研究。
个人信息究竟是一项权利还是一种法益,一直备受争议,权利观与法益观两大理论阵营在多次博弈中往往各擅胜场,各有短长[11]。立基于法益与权利的差异以及转换的现实可能性,该书倾向于认同个人信息的权利属性,提出权利观是个人信息权概念的理论支撑。为了论证个人信息权的合理性,该书追溯至权利哲学的精神源头——德沃金的权利理论与霍菲尔德的权利概念分析理论,深度剖析权利的本质以及权利义务的合理配置,再结合既有关于个人信息权利属性的主流分析——人格权说[12]、财产权说[13]、隐私权说[14]34、宪法人权说[15]44、框架权说[16],指明将个人信息权视作一项人格利益与财产利益兼容的复合型独立权利方能达成制度预设。鉴于先导性的权利义务安排很难精准预计并明晰表述当前、未来所有可能状态中的对应权利义务关系,在个人信息权作为规范底色的支持下,该书提供了一个可供参酌的切入视角,充分虑及作为主要信息主体的消费者与信息业者的知识基础、生活阅历和利益需求,重新调配个人信息相关主体的权利义务格局。将消费者个人信息权细化为知情权、信息自主权、查阅复制权、撤回权、要求更正权等分支权利,以便于行权与确权。要求信息业者在个人信息处理活动中履行征求同意、解释说明、删除、规范个人信息使用程序、保障个人信息安全、定期评估个人信息存储环境、接受社会监督等义务,通过显性条款约束不良行为,进而为各信息相关主体在个人信息权利框架下建立清晰稳定的权利义务预期。
一般认为,权利所有人善于利用自身权属优势攫取超额剩余财富,有必要限制其权利的使用范畴。着眼于个人信息领域,作为个人信息权利所有者的消费者与信息业者之间的权利与地位严重不平等,具有财力优势、技术优势的信息业者虽未掌握个人信息所有权,但往往在这一关系中占据绝对优势地位,前述常规于此间缺乏运转空间。因此,考虑到权利义务分配格局背后的深层次社会制约因素,囿于消费者的专业信息弱势群体地位,为实现实质公平正义,有必要对消费者的个人信息权予以倾斜性配置[17]。该书引入经济法的倾斜性保护为制度设计增添理论依据,对信息相关主体的关键权益展开价值衡量,助力于保护信息弱势主体的利益,促成利益冲突主体间的整体平衡。通常情形下,权利倾斜性配置因偏向性地在赋予一方更多权利的同时加重相对方义务而遭致利益受损方的对策行为,仅凭单个个体消费者之力难以消弭对策行为带来的破坏力,甚至迫使制度绩效大大减弱[18]。如何运用科学的法律规范、恰当的市场工具应对对策行为为引致的制度风险值得深思。是否可借助个人信息权利框架的实践经验,分离出易被轻视、但又深刻影响制度运作的“暗物质”,有针对性地提出与之匹配的制度,是该书尚有待钻研的地方。
自保护个人信息这一主题出现在人们的关注视线时,各国致力于研究契合本国社会现实、法律文化、法制发展背景、历史渊源的个人信息保护模式,相继提出了部门法共同保护模式、分块保护模式、统一保护模式、混合保护模式等等。该书整合各国既有个人信息权保护模式,提炼出包括特征、运作机制、法律支撑、优势、缺陷等在内的一系列规则知识,抽离出它们最重要的共同特征——公私合力共同规制个人信息侵害行为,将之统称为“公私兼济保护模式”。值得肯定的是,以公私关系学说作为理论支柱的公私兼济保护模式,运用其复合保护之力,在技术尚未成熟的社会发展早期发挥了的积极作用。进入数字信息时代以来,摒除社会转型、技术发展、思想意识变动等因素,纯粹从“保护”的角度来制定个人信息治理方案难以降低信息主体的风险焦虑和不安,反而在相当程度上为信息业者的不当信息行为提供反向激励,促使信息业者采取机会主义策略以攫取短期利益[19]。概言之,具有强烈事后特征的个人信息常态化治理方案已渐显颓势,亟待找寻到致使既有个人信息权保护模式运转失灵的症结。鉴于此,该书试图跳脱出现有个人信息权保护模式的桎梏,转换观察视角,俯瞰纷繁复杂的现象间的关联,以场景分析与风险治理为突破口,创设一种创新性与实践性兼具的新型个人信息权保护模式——场景风险保护模式。
场景风险保护模式作为该书的最大创新点,以明晰的方式重点阐释了三个问题。
其一,个人信息保护与信息自由流动之间不是非此即彼的选择关系,而是彼此应和、优势互补的兼容关系。个人信息具有多样性、客观性、价值性、依附性等特征,提供全方位保护是公私兼济保护模式的主要观点,也是实现信息主权的题中应有之义,而信息自由流动则会对这种狭窄的保护体系产生冲击。个人信息蕴含着人格利益与财产利益,个人信息权是人格权与财产权的双重复合体[20],个人信息权保护不能过度偏向某一种权益,而应追求不同权利间的平衡与兼容。场景风险保护模式意识到信息自由流动既是实现个人信息财产价值的实践载体,还是信息市场交易的正当需求,更是信息开放共享的基本要求。因此,对个人信息权保护体系作有理有节的扩大解释,经由复杂微妙的融合过程将规范的信息自由流动行为纳入保护视域,促成个人信息保护与信息自由流动的既各司其职又相辅相成的格局。而个人信息保护与信息自由流动共存的核心在于找到它们之间的平衡节点,以此来促成互动、协调预期利益。
其二,将风险导向思维融入场景分析方法,对个人信息处理活动中的信息侵害行为展开识别定性。在互联网加持的快信息时代,个人信息处理场景的多元性、复杂性尤为显著,并且不同场景中的各方利益勾连交错,处置不当则可能动摇制度根基,有必要厘清不同场景所呈现的“地方性知识”和“地方性需求”,结合风险治理理念,运用灵活的保护方式有针对性地规制信息侵害行为。场景金融中的消费者个人信息权保护即是典型例证。详言之,数字化、智能化的金融业务发展方向催生了科技与生产生活场景相结合以满足消费者金融需求的场景金融,个性化、多样化的金融服务场景建设需要金融消费者个人信息的支撑,通过挖掘、分析个人信息来准确描绘消费者的金融需求画像[21]。场景金融是金融服务创新的突出表现,具有业务细分、定位精准、需求导向、科技元素显著的鲜明特征,这一场景中可能致使个人信息被侵害的风险主要源自金融机构对消费者个人信息的采集与使用阶段。因此,依循场景风险保护模式的路径设计,于场景金融视域下保护个人信息权需要着重规制金融机构的信息处理行为,准确辨识过度收集、违规分析或非法使用消费者个人信息的行为,同时还需督促建立并完善安全的个人信息存储系统,防范潜在的或现实的个人信息人为泄露与工具泄露风险。
其三,区分个人信息流通环节,实现对个人信息权的全周期保护。每一个信息流通环节可被视作一个场景,个人信息由从无到有的生成至从有到无的归零大概将经过信息收集、信息处理(使用与加工)、信息传输、信息存储、信息共享、信息删除环节[22]。场景风险保护模式有意识地规避整合式风险防控手段,倾向分步式风险管制方案,试图通过以点到面的风险治理格局将风险控制到具体环节,以便于指向明确地制定风险治理措施。操作实践中,应率先明确个人信息流通环节,对每一环节中的信息行为进行动态观测。一旦出现信息侵害风险可及时归入对应环节以便作出有效的风险应对措施,由于整个个人信息流通环节是一个整体,还应注重不同环节之间的牵连,站在整体视角高度察知、预警风险,从而实现对个人信息权的全生命周期保护。
场景风险保护模式的提出为个人信息权保护研究打开了一道崭新的视窗。借助场景分析方法与风险思维进路冲破固化的研究范式,灵活运用司法经验事实与传统个人信息权保护理论进行对话,预后前景非常可观,有助于未来个人信息权保护研究的思维拓展。稍显遗憾的是,场景风险保护模式主张将个人信息权利保护置于具体场景,这一构设虽然将不同的个人信息流通场景从形式上区隔开来,但在空间上依然呈现弥散化态势,可能存在碎片化保护之嫌,进而有碍建构体系化的个人信息权保护系统。
新近出台的《个人信息保护法》分别从信息处理规则、信息权利、信息义务、信息跨境流动、信息保护责任等维度为保护个人信息权赋能。可见,保护个人信息权是数字社会治理与数字经济发展面临的机遇和挑战。合法、正当、必要、诚信地使用个人信息,保护信息主体的信息权益,促进权利保护与信息流动的平衡,在提升现代化社会治理能力的同时,社会成员也将享受到充足的信息红利。反之,如若优化的制度方案仍然难以应对新场域环境下的个人信息侵害,或者制度的实操性和时效性没有迭代升级,社会必将受到愈加复杂的个人信息乱象的剧烈反噬。该书正是意识到保护个人信息权的重要性与必要性,从现实问题出发,将已然存在的问题与未来社会改革方向结合,前瞻性地探索时代发展态势下的个人信息权保护模式,通过理论建构与经验汲取形塑成场景风险保护模式。这一模式并非一种臆想,其制度意涵符合立法理性主义、立法大众主义与立法能动主义,经由法律制度层面稳定落实将展现出个人信息权保护的善治远景。