从“赋权”到“协同共进”:个人信息保护研究范式的转换

2022-06-07 19:22麻昌华唐鑫
财经理论与实践 2022年3期
关键词:个人信息保护赋权范式

麻昌华 唐鑫

关键词:个人信息保护;“赋权”范式;法律与技术;协同共进

中图分类号:D922.16 文献标识码:A 文章编号:1003-7217(2022)03-0151-09

2021年8月20日,我国第一部个人信息保护方面的专门法律——《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)获表决通过。但是,正如许多国家即使颁布了相关法规也不曾中断对个人信息保护问题的研究一样,《个人信息保护法》的实施也绝非是我国个人信息保护理论和实践研究的终点,而是全面构建我国个人信息保护制度框架、真正落实个人信息保护目标的新起点。是以我们始终不能放弃对个人信息保护基础理论的深度探讨,不能忽略对个人信息保护制度实践成效的持续观察。

从我国《个人信息保护法》的主要内容上看,它在立足国情和借鉴国际经验的基础上,通过赋予个人在个人信息处理活动中多项可诉讼救济的权利,构建出了一个较为完备的个人信息权利保护体系。然而,这种“赋权”的保护方式和法律表达已经在国内外产生了不小的争议,需要我们就个人信息保护研究的理念、范畴、方法等开展进一步的探索。为此,本文拟从“赋权”范式的内涵和局限性切入,通过厘清技术、个人信息、法律之间的内在关联,来论证我国个人信息保护研究从“赋权”路径转向法律与技术“协同共进”路径的现实性、必然性和必要性。

一、“赋权”范式的反思与进路

(一)“赋权”范式的内涵

“大数据”作为新资源、新工具和新应用的综合体,其在为我们带来新知识和新经济业态的同时,也带来了个人信息权益遭受侵害的新风险和新法律问题。于是,许多法律人勇担使命,就新时空背景下的个人信息保护问题建言献策。而因受到国际社会主流的个人信息保护理论和立法实践的影响,我国多数学者在研究中不约而同地选择了“赋权”范式。

基于科学哲学家托马斯·库恩对“范式”一词的不同用法,个人信息保护的“赋权”范式可以从两个方面解读:其一,从“范式”作为理论框架或科学共同体之共识的角度而言,赋予个人对其个人信息的控制权(本文将其概括为“赋权”)的理论,可被视为一种“科学成就”,即“范式”,这个理论“暗暗规定了一个研究领域的合理问题和方法”,既空前地吸引了一批坚定的拥护者,使他们脱离其他相竞争的理论和研究模式从事研究,同时,又无限制地为重新组成的一批实践者留下了有待解决的种种问题。其二,从“范式”作为发现和解决问题的方法而言,“赋权”亦可被理解为一种个人信息保护的“研究范式”,因为它为后续参与研究的特定科学共同体成员准备了基本前提、研究规则和研究标准。换言之,以“赋权”为共识开展个人信息保护研究的学者,基本上均认可——赋予个人对其个人信息的控制权,是实现个人信息保护目的的基础——这一前提。他们的研究只是在“赋权”这套方法论的指引下,按照更精确的特征进行下去。而通过总结“赋权”范式下的学术讨论议题可知,学者们普遍关注的问题集中在:个人信息的定义和法律属性、个人信息保护的法益基础、个人信息权②的法律定位和具体权项、规范个人信息使用的法规性质问题等。因不同学者对上述每个问题给出不同回答,就会产生不同的个人信息保护办法,所以,即使“赋权”范式客观上限制了个人信息保护问题的研究范围,但其依然为我国的个人信息保护研究领域带来了生机与活力,促进了相关学术成果的爆炸式增长。

(二)“赋权”成为我国主流的个人信息学术讨论范式之原因

本文认为,“赋权”能成为我国个人信息保护的共识性研讨范式,主要基于以下两个原因:(1)欧盟和美国的个人信息保护研究经验和立法成果为我国学者提供了丰富的研究素材。通过梳理当今世界主流的个人信息保护理论可知,无论是把个人信息视为基本人权的欧洲,还是把个人信息纳入隐私权保护范畴的美国,均认为:保护个人信息的根本目的,是为了维护人的尊严和不受侵犯的人格;而实现此目的的重要手段,就是尊重和保障个体处理其个人信息的意志,并赋予个体对其个人信息独立自主的控制权。此外,2018年5月25日在欧盟成员国内正式生效实施的《通用数据保护条例》(General Da-to Protection Regulation,简称GDPR),也给全球范围内的个人信息保护研究提供了很好的样本。从整体上看,GDPR就是采取了一种强化数据主体权利的规制进路,从而“全面地完成了个人控制论的法律表达”。鸟瞰我国《个人信息保护法》的主体内容亦可发现,GDPR这种“赋权”规制思路、立法框架和具体制度确实对我国立法产生了很大影响。(2)“赋权”似乎能在表面上实现个人信息保护与利用间的平衡,从而为数字社会的发展提供了一个兼顾个人、个人信息处理者与社会整体利益的法律框架。在“赋权”范式的追随者看来,每个人都不是排斥技术进步的循世者,而是具有不同信息观念、隐私偏好且能够自主选择和决定自身信息命运的人口],所以,充分肯定个人在处理其个人信息方面的知情权、主导权和选择权,赋予人们一个详细的个人信息权利清单,就能从根源上阻断个人信息权益遭受不法侵害的风险;而已获得个人授权(同意)的个人信息处理者,也能在无违规之忧的基础上,按照自己在《用户协议》《隐私政策》中所罗列的方式处理用户的个人信息,挖掘数据资源蕴含的巨大价值。

(三)“赋权”范式的局限性

必须承认,“赋权”范式确有其合理性和吸引力,因为其体现了立法者对个人自主、自决能力的信任与保障,同时,亦未给技术的创新发展和数据的利用、流通带来明显阻力。但是,随着数据价值越发受到重视,个人信息的一系列处理活动变得日益普遍化、规模化和隐蔽化,越来越多的学者意识到,仅靠传统的个人信息赋权保护模式难以担负起新社会形态下的个人信息保护重任。

首先,从落实架构上看,“通知一选择”(也有学者称为“告知一同意”)机制是“賦权”解决方案中的核心制度,然而实践中,个人的控制权常常难以行使,“通知一选择”机制也不能给予个人真正的选择权。根据市场交易的相关理论,“选择自由”需要做选择的人拥有关于各个选项及其后果的准确信息,以及能够做出选择的、足够的支配力。而公民在个人信息领域的“选择”显然并非“自由选择”,因为在选择之时,绝大多数人既无兴趣、精力,也无能力从个人信息处理者释出的“用户协议”“隐私声明”等材料中,了解自己的信息将被具体用于何种用途,更遑论在一种实质公平的背景下,准确评估出信息交付这一行为的效益与成本,从而做出有实质性意义的选择。退一步说,即使我们假设个人能够完全知晓信息使用的所有情形,可以自由地“接受或拒绝”个人信息处理者提供的条款,我们也只能享有相对的选择自由,因为别忘了,个人信息处理者才是最开始决定提供何种条款的主体。换言之,个体让与个人信息的过程,从根本上就是不可协商的。4564BCC3-594A-4023-8C5F-32C953879871

其次,从“赋权”范式提供的问题解决策略上看,它们在真实操作场景中收效甚微、前景受限。仍以“通知—选择”机制为例。它的本意是经由个人信息处理者的诚实告知,使个人能在充分知情的基础上,按照自己的自由意志处分个人信息。然而,当企业把该策略转译为技术语言和可供操作的程序成品时,呈现在人们眼前的就是:“二选一”的人机交互界面;冗长、艰深、晦涩的“用户协议”“隐私声明”;选择“不同意”(或“否”“退出”等)即无法正常使用该企业服务的结果。可见实际上,“通知—选择”策略在肇始阶段就已难以执行,因为用户权益在一开始就已经被架空了。

再次,从整体思维方式上看,“赋权”范式所集结的共同体成员在探讨法律对新技术的规制作用时,始终把法律当作一个“常量”和给定的外部框架去对待,这就不利于引领研究者去发掘技术变迁带给法律的深层影响,也不利于启发人们去探索法律与技术之间其他可能的互动模式,促进个人信息保护新思路、新策略、新方案的生成与发展。具体说来,从前文对于“赋权”范式支持者研讨议题的梳理可知,“赋权”范式下,研究者们甚少关注技术也可作为个人信息保护工具的可能性,也未对如何利用人工智能技术和相关的计算方法来加强个人信息和隐私保护这类问题予以重视。这种研究视角不仅遮蔽了在技术和法律之间建立起良性互动模式的思考方向,更忽略了法学与计算机科学之于个人信息保护问题的不同见解,由此造成两个学科的自说自话,甚至彼此抵牾。

最后,从现实效果上看,“赋权”范式所创建的个人信息权利体系并没有为个人行权和维权带来便利和优势;司法实践中,个人就维护个人信息权益提起的私人诉讼不仅数量很少,而且常面临着被驳回或者败诉的结局。若说目前我国《个人信息保护法》的实施效果仍无从考证,我们可以把目光拉回到重视强化数据主体权益、从上至下均释放出保护个人信息强烈政策信号的欧洲大陆上。然而,在欧洲,许多学者和数据保护的倡导者也在哀叹个人维权行动的缺乏。以德国为例,自1977年《联邦数据保护法》(Federal Data Protection Act)颁布以来,已历经数次修订。在很大程度上,这些修订之目的,是为了减少个人行使权利的交易成本。例如,1990年,该法修订版第7条规定:“因政府非法处理信息而给当事人造成损失的,实行无过错责任赔偿。”第8条规定:“因私营部门非法处理信息而给当事人造成损失的,实行举证责任转移。”不难看出,这两个条款均能降低个体维护个人信息权益的难度。但之后有学者调研发现,这些修改并未导致德国民众维权行动的显著增加。同样,在“隐私权”框架下保护个人信息的美国,其民众也难以通过司法救济的途径捍卫自身权益。例如,在数据泄露事件发生后,受影响的个人发起维权行动时,由于“诉讼主体资格论”(stand-ing doctrine)的存在以及因果关系、损害结果、损害评估结论上的不确定性,潜在受害者往往很难在法庭上获得诉讼资格,并得到与泄露事件造成的损害相适的赔偿金。

(四)未来进路:从“赋权”转向法律与技术的“协同共进”

上述分析表明,“赋权”范式提供的个人信息保护策略和制度方案已然难为个体提供有效保护。同时,它亦留下了诸多盲点,禁锢了人们的创新思维,让人们对新技术的影响及个人信息研究所固有的技术面向视而不见或避而不谈。基于此,库恩提出的“范式转换”概念,可为个人信息保护的常规研究带来转机。在库恩看来,“范式转换”是实现科学革命的重要环节,范式一经改变,新范式将指引科学家去采取新工具,注意新领域,以与以前不一样的方式来看这个世界。在此基础上,常规科学所涉及的问题、技巧也因范式的转换而有了不同答案。哈佛大学的乌斯·加瑟教授则从法学研究的角度对“范式转换”下了定义。他认为,“范式转换”代表着深层次的法律改革,这个改革不仅包含个别规定的更新,而且强调整个方法论或研究手段的改变。由于“范式转换”能为实现法律创新提供更多可能,因此,加瑟教授把它看作是应对数字时代中的个人信息危机最有前途的办法。在范式转换思维的引领下,越来越多的学者跳脱出了“赋权”范式的束缚,尝试利用不同方法论来考量大数据时代下的个人信息保护议题,并随之诞生了一系列颇有影响力的学术成果。例如,有学者建议借鉴环境法领域的理论和规制经验,来重新构想个人信息保护的规制基础和具体方案;也有学者倡导从信义关系中吸收经验,运用信托机制来治理个人信息问题。这些研究均对个人信息保护的范式转型和新保护机制的创建提供了智识支持。

本文提出的法律与技术“协同共进”范式亦是研究个人信息保护议题的另一种思路、方法。“协同”在《汉语大词典》中是齐心协力、互相配合的意思。1971年,德国学者Haken在系统论中最早提出了协同的概念,指系统中各子系统的相互协调、合作或同步的联合作用及集体行为,结果是产生了1+1>2的协同效应。“共进”则可理解为共同进步、共同发展、彼此顺应之义。结合“范式”概念具有的多重意蕴,故法律与技术“协同共进”范式也可从两方面进行诠释:一方面,它是一种强调运用法律与技术交叉融合的视角看待个人信息保护议题的研究范式,其吸引的共同体成员都将在尊重和理解法律与技术各自特性和内在关联的基础上,寻求个人信息保护基础理论、制度方案和研究方法的创新。另一方面,它将最终导向一种个人信息保护范式,这种范式认定,只有把法律与技术同时视为保护个人信息的手段,并促使二者间形成一种相互助益的良性互动模式,才能有效降低个人信息受侵害风险,摆脱个人信息难获保护之困境。在下文中,将从实践和理论层面切入,剖析法律与技术“协同共进”能成为我国个人信息保护研究新理念和新路径的原因。

二、法律与技术“协同共进”范式形成的现实基础

随着网络化、数字化、智能化的快速融合发展,数字时代带来的巨变凸显出现有个人信息保护范式的无力。因此,欲构建与这一时代深层本质相契合的个人信息保护路径,法学研究者必须以史为鉴、考量现实、面向未来。

首先,个人信息的法律保护史提醒我们,个人信息保护研究应对法律与技术予以同等重视,因为长久以来,技术发展始终是个人信息利益得到法律关切的重要原因。1890年,当“隐私”首次被作为一个法律概念引入人们视野时,就是受到电报通信和便携式相机等新技术的影响。彼时,Warren创作《论隐私权》一文的其中一个动力,就是他不想再让自己及其家族成员的私生活时刻受到媒体的追踪与报道,并成为社会大众的谈资。从20世纪中期开始,一些国家的政府机构出于政策分析、追踪特殊人群等目的,開始利用计算机和互联网络等现代科技,进行大规模、自动化的个人数据收集和处理活动,也源于此,法学界逐渐将研究视角从“隐私”转向“个人信息”,开始关注到个人信息的合理使用、安全性和保密性等问题。20世纪后期,个人信息的处理和存储方式发生质的改变,驱动着现代个人信息保护的规则雏形——“公平信息实践”原则的诞生。此后,不断发展的技术和不断变化的制度实践共同作用,引发了学界之于个人信息相关问题的大量探讨,公平信息实践原则的内容也在这个过程中得到调整和补充。如今,在物联网、人工智能、云计算等技术的加持下,越来越多的人开始感知到信息聚合、数据挖掘等数据处理技术带给自身的实际或潜在的不利后果。与此同时,这些新技术的推广应用亦驱动着许多国际组织和国家内部开展了新一轮的个人信息保护形势研判和对策研究。可见,在个人信息保护领域,技术的发展和进步一直对个人信息的学理认知和法律演变产生重要影响。因此,在这技术性极为突出的新时代,个人信息保护法学研究更不能摈弃对技术因素的关注与考量。4564BCC3-594A-4023-8C5F-32C953879871

其次,个人信息权益正在面临的多重现实风险亦决定了个人信息保护研究需转向法律与技术“协同共进”范式。在前文解析“赋权”范式的不足时,已经简要阐述了个人难以行使个人信息控制权的现状。然而事实上,大数据技术带给个人合法权益的危机和潜在伤害,还远不止这个。1988年,计算机科学家马克·韦泽就预言道,计算机将来会嵌入到日常生活的结构中,直到与之无法区分。如今,虽然各种获取数据、处理数据的仪器没有小到从人们视线里消失的程度,但它们确实已被广泛部署于人类生活的物理环境中,实时、连续、高效、廉价、大规模地记录和处理着物理世界的状态,致使人类处于日趋精密的、难以察觉的、被监视的状态之中。在此基础上,借助数据关联、信息聚合等技术,政府和企业完全有能力从很多碎片化、零散化的信息中复原一个人的概貌,并了解此人的各项生活细节。加之大数据还能够将新收集到的数据持续添加进已有的数据库中,且有办法在这些数据里找到新的知识发现模式,获得新的推断信息。所以,从这个意义上讲,随着时间的推移,政府或企业完全能够利用大数据,透彻地了解某个人。更令人担忧的还有,由个人零碎信息汇集而成描摹出来的“用户画像”,全然不受本人控制。常态化的、难以察觉的个人数据采集会将我们有意识和无意识的行为模式都详尽地呈现到数据集和算法中,这不仅可能导致数据将比我们自己更了解自己,加深了个人与个人信息处理者之间的不对等关系,甚至还会衍生出歧视、算法权力异化等严重后果。此外,政府和企业的规模化数据收集行为也极大地增加了个人信息被泄露的风险。然而,具有讽刺意味的是,当人们收到许多垃圾短信、垃圾电话甚至遭遇精准诈骗时,个人根本难以知悉究竟是什么组织、哪个环节泄露了自己的个人信息。当追责对象都难以找到的时候,我们不得不承认,仅仅通过立法的手段来实现大数据环境下的个人信息保护基本上是行不通的。由此观之,无论是从技术造成的实际风险上看,还是从实现个人信息保护的功利目的上看,大数据时代的个人信息保护都呈现出极强的专业性、技术性和对技术学科的依赖性。这也意味着,当法学研究者观察这个时代课题时,不应该也不能忽略对法学以外学科的观察,否则,即使法律的规则再完备、再全面,它也只是一个躺在纸面上的、没有生命力的法律。

最后,法律与技术“协同共进”范式还是由大数据时代的新变化和新特征所选择的,因为这些特征给传统社会的法律秩序和规范体系带去了巨大冲击,迫使人们重新审视传统法律对技术、对个人信息的规制逻辑,并反思法律与技术的传统角色定位。过去,法律在回应技术发展带来的个人信息保护新问题时,更像一种简单的“刺激—反应”机制,这样的法律以保守、防御的姿态面对技术创新,以技术及其效应的充分显现作为规范前提,整体上呈现出明显的滞后性、单一的功能性和短暂的稳定性。而如今,大数据技术发展却具有显著的正负双重外部性,既有越来越多的、具有不透明性和不可预期性特点的算法投入使用,同时也有许多促进个人信息保护与利用的新技术、新工具得到开发。在这样特殊的现实背景下,继续沿用以往定位法律和技术相应角色与功能的旧思维,显然既不能实现法律对技术控制的预期目标,也无法发挥法律对有益技术的支持和帮扶作用。因此,唯有转变研究范式,以一种技术与法律协同思考、共同发展精进的眼光去看待个人信息保护问题,才能打破人们长期以来看待法律与技术的传统思维定式,帮助我们获得更具适应性、稳定性、功能性的个人信息保护法。如是,研究者和立法者们将不再把技术进步预设为是对个人信息的威胁和对既有法律规范的挑战,而是把它也看作是降低个人信息受侵害风险、摆脱个人信息保护困境的整体方案的一部分;同时,法律也将不再被预设为只是一种用来管理技术应用和控制其负面效果的传统工具,而是一种功能上可区分的响应系统,一种能够针对技术价值进行价值整合和自我调整的机制。总之,这种研究转向有利于实现个人信息保护制度的进一步完善和创新。

三、法律与技术“协同共进”范式形成的理论基础

根据库恩对“研究范式”的诠释可知,以共同范式为基础进行研究的人,尔后的实践将很少会在基本前提上发生争议。所以,当引入一个新范式时,需要对该研究模型的理论基础进行更多论证;否则,不具独特性和合理性的新范式很难吸引到一批坚定的拥护者,组建起特定的科学共同体,并成为共同体成员们进一步研究的基础。因而,在明晰了个人信息保护领域應加强法律与技术合作的现实必要性后,我们需要从理论层面上阐明二者“协同共进”的科学性和必然性。具言之,多学科有关法律与技术的关系之研究成果,为这一范式的形成提供了丰富的理论资源。

(一)负载价值的技术

美国技术哲学家兰登·温纳教授认为,技术人工物不仅具有政治属性,而且是权力和从属关系的具体表达,因此,“尽管不是那么明显,但是社会中分裂或者团结人们的议题,不仅能在政治制度和政治实践中得到妥善解决,而且也能在钢筋和混凝土、电线和半导体、螺母和螺栓的具体安排中尘埃落定”。他以罗伯特·摩西设计的、体现阶级偏见和种族偏见的纽约长岛立交桥等技术人工物为例,向我们详细论述了技术所具有的“控制”力量和技术人工物在具体实践中的社会价值构建;同时,他还指出,技术人工物和具有政治基础的立法行为相类似,因而也能为公共秩序建立一个影响许多代人的框架。于此,温纳教授呼吁我们对技术施以正确的规范和引导,因为技术产物的研发和应用在很大程度上与特定价值系统有关。

(二)技术解释的复杂性

人类学研究者布莱恩·普法芬伯格则通过其“技术戏剧(technological dramas)”理论对法律与技术的关系进行诠释。在他看来,当一项技术设计完成并投入使用时,往往没有经过太多深思熟虑,这时,该项技术的设计支持者(design constituency)需要从论述上对此技术进行“规范化(regularization)”解释,以帮助人们理解该技术。而在“规范化”的论述过程,法律只是特定社会群体在解释某新兴技术物时,设法按照自己的利益去定义该物的其中一种工具。除了法律之外,文化传统、价值理念、社会因素、政治因素等都会对技术解释造成影响。换句话说,普法芬伯格认为,正是技术设计和技术解释具有的灵活性,导致了技术体现价值或获得调控权力的过程是复杂的,有时甚至是不确定的。由于社会情境及主体因素均对技术解释的形成至关重要,因此,普法芬伯格提示人们,应该警惕一项技术进入“常态化”阶段。因为在此阶段,人们将很容易忽略技术包含的特定价值或政治属性,从而忘记去争取那些本应属于我们的技术权力。4564BCC3-594A-4023-8C5F-32C953879871

(三)提供技术解释情境的法律

受上述两位学者观点的启发,美国著名隐私专家海伦·尼森鲍姆教授强调,由于价值可以被嵌入技术系统中,所以,在开发设计一项新技术时,规范这个技术设计方案所投射到的社会情境亦十分重要。我们不能想当然地认为,有了足够聪明的设计,Cookies、TrackMeNot、Adnostic等注入保护个人信息价值的技术,就能被投入使用并有效保护个人信息和隐私。而无论是在实际意义上还是在象征意义上,法律法规都是准备“社会情境”的重要组成部分,以便投射到这种“社会情境”中的技术系统可以发挥出设计支持者所预设的功能和价值。在此基础上,她总结道,在个人信息保护方面,法律能发挥以下作用:(1)提供环境支持,即通过立法活动,为隐私保护工具(privacy tools)的开发和应用提供一个友好和包容的社会环境。(2)尊重表达出来的选择,即给予安装了隐私保护技术系统和工具的用户法律上的认可和积极的保护。(3)调节个人与网络实体的关系,即规范和限制网络实体的行为和权利,维护个人在网络空间的平等地位和合法权益。(4)抑制恶念,即震慑和抑制他人利用技术系统和工具存在的技术漏洞实施恶事的念头,因为技术出现漏洞是不可避免的。

(四)法律与技术之间的动态互动

与前述三位学者从技术角度切入的观察不同,我国学者郑玉双是从法律自我调整的面向去思考法律和技术的关系的。他认为,法律应被视为一种“自主的、包含着自身归责原理和价值论辩结构的社会实践”,故面对迅猛发展的科学技术时,法律回应的最合理方式,并不是压制、驯化的“管制模式”,也不是尊重技术价值和客观属性的“回应模式”,而是进入与科技的“重构模式”之中。所谓“重构”就是指,“技术的工具价值和社会价值被纳入法律的价值世界之中,法律自身也针对技术价值而做出价值调整,进而产生法律规范的改变”。可见,郑玉双先生倡导的“重构模式”亦肯定了法律和技术之间的密切关联,同时,该模式还进一步强调了二者之间存在的一种动态互动关系:一方面,各种存有争议的技术所产生的社会价值必须被纳入法律价值的论辩空间之中进行考察;另一方面,法律也不是封闭、静止的存在,而是价值世界随时开放且能够整合自身价值、做出规范调整的机制。

(五)个人信息保护中法律与技术之关系

上述来自不同学科的学者对法律和技术关系的看法,为我们分析二者在保护个人信息问题上的应有立场和建树提供了启发。从技术负载的价值属性及法律对技术的价值定位和解释的影响等方面看,在大数据时代,法律和技术能以一种更密切和相互助益的方式,就个人信息保护达成合作。

首先,法律蕴含的价值能对技术系统和工具的价值定位起到指引作用。如前所述,社会公众对于隐私和个人信息的认知与理解深受技术发展的影响。甚至可以说,当物化了的技术所传递出的价值观与人们广泛共享的既有价值观相碰撞时,新的隐私或个人信息保护诉求才会出现。所以,这就为法律与技术的协同共进提供了对话的渠道,因为“法律就是对一个社会的最低限度价值标准的权威性表达”。如果一项技术不能尊重一个社会或时代形成的某种“价值共识”,不能服务于社会上多数人共同确信的、希冀和追求的价值准则,那么它注定要接受价值理性的拷问,且不能获得长久的生命力。

其次,法律能有效规制大数据技术应用中的越轨行为。法律向来是一个有威慑力的、管理技术风险和技术危害的重要手段。大数据时代,在企业的逐利性、技术的专业性和知识性以及数字社会的商业模式特点等因素的共同作用下,数字平台和用户之间的利益冲突、信息(知识)不对称和关系不对等问题越发突出;加之算力强大、能够处理巨量数据的算法确实帮助特定主体攫取了足以支配或影响个人的力量,对社会生活和人们的切身利益造成广泛、切实的影响,因此,防范和矫正大数据技术应用中存在的潜在风险和实际危害,就必须运用比道德规范、职业规范、技术规范等更具强制性、统一性、权威性、普适性和不可违抗性的法律规范。

再次,法律和技术的协同共进能够鼓励整合了法律思考方式和技术思考方式的隐私保护工具的发展。以TrackMeNot、Adnostic等开发初衷即意在保护个人信息的技术工具为例,一方面,法律规范的制定能突出表现国家对个人信息保护问题的重视,激发技术人员开发隐私保护技术工具的积极性、创造性和主动精神。另一方面,法律具有的强制规范作用会使隐私保护技术工具的部署收获实效,既发挥了技术工具的自身功能,也能实现法的预期作用。如若法律不能和技术达成“和谐共振”,“Cookies”的故事還会不断重映。

最后,法律和技术的协同共进能够促进个人信息保护法律实现深层次变革。目前,已有许多学者关注到数字技术发展背景下的法律挑战和法律变革问题。例如,周佑勇教授指出,迈向智能时代的法律变革必须紧密结合技术逻辑展开,并通过创新理念和方式、重构法理基础、调整研究范式、革新法治思维和法律制度等途径才能实现。从这个角度来看,由于法律与技术协同共进的研究理念以尊重法律与技术之间的相互关系为前提,因此,其将有利于促进法律信息与技术信息的交换与整合,助推我国的个人信息保护法律制度完成总体性的变革升级。

四、法律与技术“协同共进”范式的优势和前景

从长远上看,法律与技术“协同共进”范式更能有效应对未来社会关于个人信息的多重复杂挑战。

首先,法律与技术“协同共进”范式可以使我们获致一个协调法律标准和技术标准的个人信息保护框架。通过对比法学与计算机科学在个人信息的定义方式和保护方式上的区别,我们可以清晰发现,两个学科看待个人信息保护问题的逻辑出发点大相径庭。在法学领域,“隐私”“个人可识别信息”等名词的定义和保护标准通常会因行业部门、所涉及的信息类型、管辖机构等不同而变化,法学家也会倡导采用与具体情境相适应的不同手段保护不同信息。因此,要而言之,法律上对个人信息的定义方式和保护方法是多变的、受到具体情境影响的。然而,有别于法学认识和处理上的不确定性,建立在数学概念上的计算机科学对个人信息保护的定义模式和保护模式却具有普适性、精确性和单一性。因为计算机科学领域的研究人员设计任何工具的出发点,均只考虑隐私的数学定义。也就是说,如果一个算法可以通过数学上的证据(mathematical proof)来证明,没有对手能够以“太高”的概率获悉其中特定个人的信息或隐私,那么该算法在计算机科学领域,就可以被评价为提供了数据保护的算法。明确上述二者之区别,是弥合法学与计算机科学在个人信息保护问题上的认识鸿沟的基本前提。而当个人信息保护法律框架能完成兼顾技术逻辑的规范调整后,立法者将不会纠结于如何在法律中及时“安放”某些具体的技术方法,而是会对个人信息保护的预期目的采取更具概括性的表述,把重点放在个人信息的保护上,而不是手段上。4564BCC3-594A-4023-8C5F-32C953879871

其次,法律与技术“协同共进”范式有利于促进计算机科学和法学两个学科在个人信息保护方法、策略或工具的研究上,相互协作、共同进步。不可否认,计算机科学和法学之间存在明显的知识系统和逻辑思维的分野。但其实,在隐私保护问题上,技术专家很早就将隐私定义为计算的一种属性,例如“密码学”这一交叉学科的创立,就是隐私属性在技术领域贯彻的例证。然而,尽管技术研究领域在个人信息保护方面获得了许多理论成果,也开发了很多实用工具,但是围绕这些理论和工具的讨论,基本上是在一个独立于法律规范、管理条例、政策方针、伦理守则和最佳实践行为的空间里进行的。这就造成了计算机科学与法学“各自为政”的局面。一方面,法学学者不能及时吸纳计算机科学的研究成果,加深对“隐私”“个人信息”概念及隐私风险评估等议题的进一步理解;也不能在起草相关法律规章时,兼顾各种难以理解甚至难以预料的技术特性,利用规则向个人信息处理者和民众传达出更协调一致又更确切的个人信息保护要求。另一方面,由于技术人员亦不了解个人信息保护的有关规则,所以他们很难有针对性地设计、开发、实施各种能帮助推进法律目标实现的工具和措施,使得法律对技术的规制始终只能从事后追责角度切入。于此,法律与技术“协同共进”范式将有利于打破上述僵局,促进两个学科形成一种互惠互利的关系,更好地管理新兴技术发展带来的个人信息安全风险。

最后,法律与技术“协同共进”范式跳脱出了单纯的法律治理框架或技术保护框架,有利于打造一个比直接赋权更具层次的个人信息保护制度。事实上,法律寻求与技术协作的尝试可以追溯到20世纪。早在20世纪80年代,研究人员就开发了一系列帮助实现“公平信息实践”原则的“隐私增强技术”(privacy-enhancing technologies,简称PET)。这些技术的目标包括,在不丧失信息系统功能性的前提下,使在线服务提供商等尽可能少地收集和使用个人数据,最大限度地提高个人数据的安全性,帮助使用相关技术工具的用户更好地管控其由在线服务提供商等掌握着的个人可识别信息等。1995年,在一份关于PET的联合报告中,一个联合小组正式提出了“通过设计着手保护隐私”(privacy by design)方法,号召把隐私保护嵌入所有正在设计的技术的基本参数或架构中。自此之后,该理念日渐受到行业认可和推崇,并走入立法文件中。例如,欧盟的GDPR就把“通过设计着手保护隐私”上升为法定要求。欧盟立法对这一总括性理念的吸收,可谓是“将技术纳入法律规范的意义结构之中”以保护个人信息的成功范例。此外,以“通过设计着手保护隐私”这类理念为代表的法律和技术协同考虑范式被纳入法律框架,也标志着个人信息保护路径从传统的“知情—同意”框架和个案中的利益衡量方法,开始转向了更全面、更严格、强调前置性和预防性的“隐私风险评估模式”(privacy risk assessment models)。在风险评估理念的指引下,信息处理者将把关注焦点从形式主义的合规要求上,转移到对个人信息全生命周期安全的动态保障上;司法机关在处理个人信息权益纠纷时,也将更注重对个人信息处理全过程的实质审查,而非只看信息处理者在处理个人信息之初,是否获得了个人的同意。

五、法律与技术“协同共进”范式下个人信息保护法学研究的变革

前文已论证了法律与技术“协同共进”作为一种新研究范式的潜力。不过,要最大程度地发挥出该范式对个人信息保护研究的指导效用,我们还须处理诸多复杂又细致的工作。就法学研究而言,应从研究理念、知识谱系、研究方式等方面进行革新,以更好地聚焦于数字社会中的个人信息保护议题。

(一)革新研究理念

马克思主义经典作家向我们揭示了,社会物质生活条件是法的更深层次的本质,所以,在一定意义上我们可以说,当代法律理念、理论流派和制度体系都是对工业时代的生产关系、生活方式、交往方式、社会关系和价值理念的法理抽象和法学表达。不过,随着人类迈入数字社会后,诸多表征证明了如今社会上最重要的生产变成了信息生产。而经进一步分析可知,数字社会的信息生产和工业社会的机器生产在生产工具、作用和处理对象、生产规律和由此展开的社会关系等方面,均存在明显差异,因此,“它将使18世纪工业革命以来围绕能量与物质构建的法律秩序向围绕信息构建的法律秩序全面转型”。这过程里必然包含着革新法学研究理念之要求。在个人信息保护研究方面,理念革新也是学者们准确把握数字时代的客观变化、用新思维方式和研究方法进行个人信息保护理论创新和制度重构的基础。以认知法的作用为例,因受到新理念的启发,研究者将不再把个人信息保护法律仅视为是被动反映社会现实的、具有拘束力的角色,而是设法把它塑造为积极主动地、能协调整个制度内的各种要素和各方行动者的规范体系,为解决当前数字信息危机发挥出更有效的作用。

(二)更新知识谱系

“近代以来的知识谱系和思想基础在于现代性启蒙”,而现代性的本质规定性之一,就是个体的主体性和自我意识的生成或走向自觉。这种个体自由自觉的生存状态不仅成为了现代社会运行的支撑性因素和蓬勃发展的源泉,也对现代法律制度的构建产生了深远影响。正如有学者已论证的那样,用“理性人”的标准将现实世界的人在法律上统一起来,成为“人格人”,将使法律政策的控制变得容易,使每个人的行为具有可预测性,进而更好地实现法律的制度功能。从这个角度上看,现行建立在“赋权”范式下的个人信息保护法律制度也深受“理性人”理念的影响,因为它是“通过强调个人信息主体的自主支配、自主决断和自己责任,来平衡个人信息的使用和保护”。然而,信息主体的“理性人”假设在日益加深的信息鸿沟和权力鸿沟面前,已遭遇重重困境,因此,研究人员亟需重新审视数字时代的“人”的生存现实,并在新的科学认识下完成对法学理论知识谱系的更新,以更好地回应“微粒社会”中个人信息保护的诸多争论。

(三)加强对话合作

毫无疑问,信息技术革命所引发的不可逆转的社会变革,愈发凸显了法律与技术相互赋能的重要性及加强学科间互动合作的必要性。因此,在个人信息保护研究领域,我们必须在法学与计算机科学之间搭建起畅通的资源、知识共享渠道和交流平台。可以预见,当法学和计算机科学缩小在个人信息保护问题上的认识分歧后,将极大改善现今的个人信息保护状况:一方面,因对法律要求有所了解,计算机科学领域的研究人员能在开发数据处理技术时,从建模阶段就融入法律和伦理中的隐私期待,奠定技术向好向善发展的根基;在设计新兴隐私和个人信息保护工具时,也能及时判断该工具是否符合法律所要求的标准、是否能够迅速投入实践使用。另一方面,对法学研究来说,计算机科学思维下的隐私概念能启发法学学者去了解什么样的隱私保护要求在技术上是可以被定义和实现的,从而思考如何利用精确的数学语言和数学模型为法律服务,促进法律的智能转化。值得一提的是,近几年来,多所国内外大学已为实现上述愿景付出了努力,建立起多个旨在促进跨学科学习与合作的项目,并探索了新的法律教育模式和人才培育机制,这反映了不同学科的专家、学者已经共同认识到范式转换和学科变革的时代需求。

六、结语

范式具有提示研究重点、指导事实搜索和研究活动等作用。当研究者们获得了一个范式,就是有了一个选择问题的标准,而且这些被选择的问题被认为都是有解的。然而一个范式它不需要,且事实上绝不可能解释它所面临的所有事实。所以,在哲学社科领域,范式的唯一性既不可能,也不被接受,因为它会阻挡我们发现新知识的可能性。当前,虽然我国已经颁布了《个人信息保护法》,但在变动不居的科技发展面前,越来越多的学者已意识到,个人信息保护不存在一劳永逸的方案,现代性法律体系也面临着前所未有的重大变革。在此局面下,个人信息保护研究范式从“赋权”转向法律与技术的“协同共进”,将有利于我们全面把握与个人信息相关的待决之务和牵连情事,从更宏观的视角去探寻个人信息保护的诸多可能性。我们相信这一范式的引入将会拓宽我国现有的个人信息保护研究格局,推动我国个人信息保护理论研究、技术工具研发和制度建设取得新的进展。4564BCC3-594A-4023-8C5F-32C953879871

猜你喜欢
个人信息保护赋权范式
论乡村治理的有效赋权——以A县扶贫项目为例
以写促读:构建群文阅读教学范式
范式空白:《莫失莫忘》的否定之维
企业数据赋权保护的反思与求解
孙惠芬乡土写作批评的六个范式
试论新媒体赋权
基于改进AHP熵博弈赋权的输变电工程评价
管窥西方“诗辩”发展史的四次范式转换
如何做好法律领域的个人信息保护
我国大数据时代个人信息保护研究综述