姜保忠,来宇
摘要:个人信息处理规则是信息保护制度的风向标,反映了制度在信息利用与保护之间的价值偏向。实现个人信息保护与利用的衡平,本质上是追求效益最大化的资源配置问题。法经济学中的边际效益理论以及静态博弈范式有助于对个人信息处理规则的法律效果作出鉴证。通过边际成本收益分析,信息处理规则中对主体、处理者以及信息的分类正视了不同情形下帕累托最优点的差异,提高了资源的配置效率。在静态博弈视角下,信息处理规则的确立规避了信息主体与信息处理者双方消极对立的囚徒困境,促进了信息要素市场的流通。针对实践中存在的一般个人信息保护过度以及敏感个人信息保护不足的问题,应通过动态化信息分类、督促企业数据保护合规等方式予以解决。
关键词:个人信息处理规则;保护与利用;边际收益;博弈
中图分类号:D912.1
文献标识码:A
文章编号:1673-8268(2022)05-0057-09
一、问题的提出
2021年11月1日,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)正式施行。作为我国在信息网络时代个人信息保护方面的第一部专门法律,也是中国特色社会主义法治体系建设的重要成果,《个人信息保护法》承担了“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”参见《个人信息保护法》第1条。的重要责任。习近平总书记在2021年亚太经合组织会议上倡导,要“加强数字基础设施建设,促进新技术传播和运用,努力构建开放、公平、非歧视的数字营商环境”[1]。面对新型的数字经济关系,传统的法律制度及法律观念表现出一些局限我国个人信息保护源自隐私保护,最初是通过名誉权、姓名权、肖像权等具体人格权的侵权救济得以实现。2009年《侵权责任法》正式确立隐私权,个人信息通过隐私侵害予以救济。但在功能和作用方面,我国隐私范围主要包含私人的生活空间和生活秘密,隐私权是消极防御隐私不被侵害,不具有积极控制和利用的功能。(参见王利明:《论〈个人信息保护法〉的亮点、特色与适用》,《法学家》2021年第6期)[2],为实现个人信息保护的同时推动数字经济高速发展,《个人信息保护法》规定了一系列创新制度,意在解决数字经济中个人信息保护和利用之间的协调和配合问题。
信息的價值在于通过传播、共享来消除不确定性[3],数据资源蕴含着巨大的经济价值和社会管理价值,数据“深藏闺中”是极大浪费[4]。数字经济时代,个人信息的资源价值愈发凸显,
已成为大量数据企业、互联网公司的关键商业资源;收集、整理、加工和利用个人信息已成为信息处理者的经营战略[5]。若脱离海量个人信息的“喂养”,大数据产业发展将成为无源之水[6]。在《个人信息保护法》出台之前,数据产业处于野蛮生长的状态,在其发展中存在着诸多不确定因素和法律风险例如,根据2013年修订通过的《消费者权益保护法》第29条,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供;根据2013年工信部出台的《电信和互联网用户个人信息保护规定》第10条,电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供;而根据2016年出台的《网络安全法》第42条,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。。当代个人信息保护法的主要使命也从约束公权力机构的传统目标转向约束超级平台等私法主体,以规制作为信息处理者的互联网企业等私法主体为主要任务[7]。
《个人信息保护法》通过确立信息处理规则,以实现对信息处理者处理个人信息行为的规制,消除信息处理中的无序乱象。然而,信息处理规则的确定不是随意的,必须遵从法律内在逻辑,服从信息处理原则,彰显立法目的。作为《个人信息保护法》的宗旨,个人信息保护与利用的平衡贯穿全文。个人信息处理规则也应以实现个人信息保护与利用的平衡为目标,既非片面追求个人权利保护而过于严苛,亦非偏重数据要素市场的发展而过于宽松。有学者认为,现行信息处理规则已经站在了个人信息保护与利用的平衡点上[3];也有学者主张,在个体权利导向下,个人信息保护制度形成了过于保护个人利益的模式[8];还有学者提出,我国现行个人信息保护制度对敏感个人信息存在供给不足的问题[9]。综上,对于个人信息保护制度是否实现了保护与利用的衡平,学界莫衷一是,《个人信息保护法》确定的信息处理规则是否存在保护过度或者供给不足,目前难以定论,一系列理论与实践争议亟待解决。
二、个人信息处理规则研究中的经济学方法引入
《个人信息保护法》确立的信息处理规则是否实现了个人信息利用与保护的衡平?该问题本质上属于法律效果研究(legal impact studies):什么是法律的可能效果?它实现了吗?法律达到自己的目标了吗?传统的法教义学、法规范学研究方法在论证法律效果问题方面存在一定的局限,仅仅通过文字论述难以对法律效果进行周密证成。经济学提供了一种方法,可以预测法律制度对相关行为的影响[10],通过详尽的实证资料与分析模型,即可依可测变量对法律效果作出定性鉴定和定量分析。
在法经济学视角下,《个人信息保护法》的出台是国家对个人信息作出的产权分配。依据“科斯第一定理”[11]85,若交易成本为零,则信息处理者可以与信息主体通过市场交易实现个人信息资源的最佳配置,无需进行法律规制。然而,真实世界中的信息主体与信息处理者之间存在巨大的交易成本,包括但不限于双方缺乏沟通途径、缺失明确定价、信誉难以保障以及个性化需求难以满足等,因此个人信息难以通过市场自由交易。依据“科斯第二定理”[11]92,由国家明确个人信息产权,确定个人信息的初始权利归属,有助于推动个人信息的市场交易。《个人信息保护法》第2条确定个人信息权益归自然人所有,明确了信息产权的归属,促进了数据要素市场发展,提高了资源配置效率。依据“科斯第三定理”[11]98,明确个人信息产权之后,若信息主体与信息处理者的市场交易成本仍较高,以至于难以进行个人信息的自由交易,可以通过政府直接管制等替代措施降低成本。《个人信息保护法》第13条制定了个人信息处理的一般规则,只要满足规定情形,处理者即可处理个人信息,这移除了信息主体与信息处理者之间的交易壁垒。
個人信息处理规则的目的是促进资源的合理配置,其是否实现了个人信息保护与利用的衡平,本质上是追问该制度设置是否以有限的资源获得了最大的经济效益。在保护个人信息权利的同时兼顾个人信息的合理利用,这是经济学研究关注的重点,对此,经济学中通常采用边际收益和边际成本模型进行分析。从“成本收益”的视角来看,个人信息保护是一个以社会资源投入为成本(包括信息处理者处理成本及信息保护部门资源投入),以实现个人权利保障与数字经济增长作为收益的过程。
如图1所示,横轴代表法律确定的个人信息保护标准,纵轴代表金额,Rp曲线代表的是作为保护标准函数的信息主体权利保障程度的边际变化,信息保护标准越高,个人信息处理规则越严密。提高个人信息保护标准可以加强对信息主体的权利保障程度,但所带来的边际收益随着保护标准的提高而降低,这表示个人信息保护标准从无到有的增加(如从“可以任意处理个人信息”到“处理个人信息需征得个人同意”)会带来巨大的社会边际收益;但随着标准的逐渐提高(如信息处理从“告知”原则升高到“告知同意”原则),虽然还会对社会产生收益,但该收益却小于前面相同提高幅度所带来的。最后,当个人信息保护标准趋于无限高时,虽然其边际收益仍然为正,但是已经远小于最初的信息保护标准提高所带来的收益,此即经济学上的边际效益递减规律。
图1中Ce曲线是指提高个人信息保护标准的边际成本,随着个人信息保护标准的不断升高,所需的边际成本也随之增加。如将个人信息保护标准由“告知”原则提高为“告知同意”原则,企业将花费相对于“任意处理到告知后处理”更高的信息处理成本,信息保护部门也要投入更多的资源用以维护公民的权益(例如信息保护标准越高,信息保护案件越多)。两条曲线在预防程度为H时相交,此时为最佳信息保护标准。自H点向左,没有规定足够高的保护标准来保障信息主体权利,体现为保护不足;自H点向右,边际成本大于边际收益,这部分超出的成本在经济学上是无效率的,会造成资源的浪费。要求过高的个人信息保护标准,一方面会提高信息处理成本从而降低信息的可利用性,压制数据红利;另一方面也会迫使企业面临过高的守法成本以至于利益权衡后选择违法犯罪,降低了法律的可行性。因此不能一味要求过高的个人信息保护标准,保护标准位于边际收益与边际成本相等点即H点时,收益最大。
个人信息处理规则对个人信息进行了分类,将其划分为一般个人信息与敏感个人信息。《个人信息保护法》第28条规定的“敏感信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息;对此,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下方可处理。第29条规定,处理敏感个人信息应当取得个人的单独同意,这相较于一般个人信息的处理规则更加严格。敏感个人信息由于其特殊性质,加强保护将带来更大的社会收益。对敏感个人信息提高信息保护标准带来的边际收益相对一般个人信息更高,所以Rp线上移为Rp1,此时Rp1与Ce交点为效率最高点,该点所对应的个人信息保护标准为H1(见图2)。因此,为敏感信息设定更严格的保护标准,是使资源配置达到效率最大化的最优安排。第29条规定的单独同意,即为提高敏感信息的保护标准,符合经济学上的“效率”规则。
《个人信息保护法》对信息处理者进行了分类;第58条将提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者界定为重要平台企业,并规定重要平台企业应承担建立合规体系、制定平台规则、停止对违法者提供服务以及定期发布社会责任报告等义务。法律对重要平台企业科以更加严格的义务,原因在于对互联网生态具有极强控制力和影响力的大型在线企业,成长为有能力管控特定网络空间的个人信息收集和处理行为的“守门人”[12]。这些重要平台企业从个人信息保护标准中获取的边际收益,相对于一般个人信息处理者获取的要大一些,因此,使其负担更多的义务与提高重点企业的个人信息保护标准具有一致性和经济学上的合理性。
个人信息处理规则对成年人与未成年人设定了程度不同的保护标准。《个人信息保护法》第31条将未成年人作为特殊的信息主体,规定个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;第28条将未成年人信息列为敏感个人信息,处理需征得个人单独同意。“告知同意”作为信息处理原则,要求“该同意应当由个人在充分知情的前提下自愿、明确作出”《个人信息保护法》第14条规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”。未成年人由于认知能力尚未成熟,对于信息处理过程中的同意,易因“个人同意能力不足”而受到侵害。即是说,对未成年人的个人信息保护标准,由于其个人原因可能产生实质上的下降,导致信息保护制度向左偏离最大效率点,存在继续增加社会正收益的空间。因此,应适当上调保护标准,增加征得未成年人父母同意及制定专门的个人信息处理规则,是保证社会效益最大化的合理举措。
三、个人信息处理规则的博弈分析
博弈论(game theory)是一门“交互的决策论”。个人信息处理过程本质上是信息主体、信息处理者之间对抗与合作的一场博弈。个人信息处理规则的确定不仅应关注个人对法律规制的反应和行动,更应关注博弈双方对法律规则的互动性反应行为。采用博弈论对个人信息保护中信息主体与信息处理者相互影响和相互制约的行为进行博弈分析,可以预测法律制度对相关行为的影响,并以此评价相关制度所产生的效率[10]32。
(一)博弈双方及其基本假设
1.自由状态下的博弈双方
在个人信息处理规则确定之前,个人信息处理行为缺乏明确的指引。权利人以及处理者双方就个人信息的保护与利用存在博弈,双方的基本行为模式如下:权利人一方面希望自己的个人信息得到完全的保护,另一方面又希望通过个人信息的合理利用为自己生活带来便利。如在导航类软件中,权利人一方面担忧自身位置信息泄露,另一方面又希望导航软件可以根据自身准确位置规划出到达目的地的最佳路线。处理者面对大量的个人信息,一方面希望收集更多信息并加以处理、加工与利用,以丰富自身数据资源和巩固自身地位,另一方面又担心由处理信息行为引发的法律风险以及信誉危机。
理想的图景是信息主体与处理者达成契约,信息主体同意处理者在合理范围内收集、处理个人信息,以获得更好的服务;处理者得到个人的合法授权,规避法律风险以及声誉危机,从而得以利用信息扩大自身竞争优势。但由于信息主体与信息处理者之间的信息不对称,双方难以了解并信赖对方,导致个人信息交易成本过高。信息主体无法信任处理者会在合理范围内处理个人信息,出于对处理者无限制滥用个人信息的担忧,会倾向于选择拒绝授权处理者处理个人信息。处理者与信息主体存在交易壁垒,难以通过交易协商等形式合法获取信息主体授权,会选择越过信息主体授权,或者通过绑定等方式违规获取主体授权,以实现大规模收集处理个人信息的目的,转化竞争优势。双方博弈陷入难以配合、相互对抗的囚徒困境,理性且有效率的个人信息交易难以成立,信息保护与利用两端皆失。
2.政府规制状态下的博弈双方
《个人信息保护法》规定了两方主体,一是第2条确定的个人信息权益归属者“自然人”,即信息主体;二是第9条确定的“对其个人信息处理活动负责”的个人信息处理者。在政府规制下,对博弈双方的信息主体和信息处理者的基本假设如下:
(1)信息主体对待个人信息保护有积极参与和消极参与两种策略。积极参与策略指信息主体积极识别信息处理者的处理方式、处理标准,及时发现个人信息受到侵害的情况,并通过提起损害赔偿等方式主张权利。消极参与策略指信息主体被动承受信息处理者对个人信息的处理,不关心信息处理过程。信息主体积极参与的收益为R1,如避免信息被违法处理,积极参与保护的成本为C1(包括侵权识别成本、诉讼成本等)。采取积极参与策略的信息主体可以通过维权获得信息处理者赔偿I,得到支持的概率为P。信息主体消极参与的,在信息处理者积极保护的情况下会获得溢出收益R2,如信息处理者积极保护降低的信息侵权风险;在信息处理者消极保护的情况下,信息主体会承受个人信息权利侵害D,体现为长期隐性不当利用的成本和后期深度挖掘引致的不当利用成本。
(2)信息处理者对个人信息的保护力度可分为积极保护和消极保护两种策略选择。信息处理者积极保护的,积极保护成本为C3,利用个人信息形成的竞争优势为R3。同时,信息处理者的积极保护行为可以从积极参与的信息主体处获得正向评价(如好评等形式),从而形成企业良好声誉等收益R4(如口碑)。信息处理者消极保护的,若信息主体积极参与,其能有效识别信息处理者的消极保护策略,则需支付信息主体赔偿金I,同时会因信息主体的负面评价(如差评)使信息主体带来声誉损失为L,还会受到行政机关罚款F;若信息主体消极参与,则信息处理者不会受到信息主体的索赔请求。
以上参数及含义详见表1所示。
(二)博弈策略及其收益
1.信息主体
从经济学视角,信息主体选择积极参与还是消极参与策略,对信息主体与信息处理者而言是一个利益博弈的过程。信息主体选择积极参与的动机是为了得到更大程度的信息保护,如果运用博弈论对其收益和成本进行分析,在预期信息处理者提供积极保护情况下,其预期收益表现为积极参与所获得信息保护收益减去积极参与成本,机会成本表现为搭便车获得的溢出收益。将信息主体在前述基本假设前提下参与信息保护博弈的“成本收益”进行分析,结果详见表2所示。
当信息主体面临积极参与还是消极参与的选择时,会对两个策略的预期收益进行比较,从而选择预期收益较高的策略,这就是经济学上的理性人假设(the reasonal person rule)[14]。在预期信息处理者提供积极保护情况下,信息主体积极参与获得的收益为R1+R2-C1,消极参与获得的收益为R2,若R1+R2-C1>R2,即R1>C1,则信息主体会选择积极参与策略。在预期信息处理者提供消极保护情况下,信息主体积极参与获得的收益为PI-D-C1,信息主体消极参与获得收益为-D,若PI-D-C1>-D,即PI>C1,則信息主体将选择积极参与策略。
2.信息处理者
将信息处理者参与信息保护博弈的“成本收益”进行分析,结果如表3所示。
面临对个人信息进行积极保护还是消极保护的策略,在预期信息主体积极参与的情况下,信息处理者提供积极保护的收益为R3+R4-C3,提供消极保护的收益为R3-PI-PF-L-C4;若R3+R4-C3>R3-PI-PF-L-C4,即PI+PF+L+C4+R4>C3,信息处理者将选择积极保护策略。在预期信息主体消极参与的情况下,信息处理者进行积极保护所获收益为R3-C3,进行消极保护所获收益为R3-PI-PF-C4;若R3-C3>R3-PI-PF-C4,即PI+PF+C4>C3,则信息处理者将选择积极保护策略。
《个人信息保护法》中的一系列亮点制度,有助于推动实现信息主体积极参与、信息处理者积极保护的“纳什均衡”[10]32。第50条规定,应当建立便捷的个人行使权利的申请受理和处理机制,以降低信息主体的积极参与成本C1。第69条规定,在侵害个人信息诉讼中,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这条规定是在《个人信息保护法》草案修订过程中逐渐完善形成的[15],确定了信息处理者的过错推定原则,提高了损害个人信息的信息处理者对积极参与的信息主体赔偿概率P。第66条规定,信息处理者违法处理个人信息,情节严重的,信息保护部门有权对其处以五千万元以下或者上一年度营业额百分之五以下罚款,这增大了行政处罚力度F。
《个人信息保护法》使信息主体在作出积极参与还是消极参与决策的利益衡量公式R1>C1中降低了C1,促使信息主体在预期信息处理者积极保护的情况下选择积极参与;在信息主体预期信息处理者消极保护下的衡量公式PI>C1中提高了P,推动信息主体在预期信息处理者消极保护的情况下也选择积极参与,加大了信息处理者在消极保护时可能面临的行政处罚F,驱使信息处理者选择积极保护策略。可见,个人信息处理规则推动和实现了信息主体积极参与个人信息保护的平衡,降低了个人信息的市场交易成本,产生了社会正效益,构成帕累托改进。
综上,从现行个人信息处理规则下的信息主体与信息处理者双方博弈分析中,可得出以下结论:第一,个人信息处理规则规避了信息主体消极参与和信息处理者消极保护的囚徒困境,对促进信息交易、推动市场发展产生了正向作用。第二,《个人信息保护法》降低了信息主体积极参与信息保护的成本,提高了参与收益,保证了信息主体的积极参加。第三,现行信息处理规则未能充分实现信息处理者积极保护的状态,主要影响因素在于信息处理者的积极保护成本与违法成本。
四、个人信息处理规则的实践困境及其完善进路
在保护与利用的竞合之中,个人信息保护制度犹如一根钟摆,对一方朝向的偏颇必然引发另一方的缺失。个人信息处理规则如同这场拉锯的标杆,其体现的个人信息保护程度决定了实践中信息交易的趋向。个人信息保护程度越高,表明信息处理规则越严格,而信息交易频率越高,则表明信息利用度越充分。一定范围内的保护程度提升会促进信息交易的增长,但在越过最大收益点之后,继续提高信息保护措施则会降低信息交易的频率。从实践中看,信息交易频率的提升与降低并存,信息保护的过度与不足同在,主要表现在不同种类的信息领域。在一般个人信息领域,存在信息保护过度、信息交易频率下降明显的现象;在敏感个人信息领域,则存在制度供给不足、权利保障力度不够的问题。
(一)现存困境
1.一般个人信息过度保护
个人信息保护制度对一般信息出现了保护过度的情形,导致信息交易受到阻遏,交易频率下降,信息利用度不足。例如,2021年度裁判文书网公开文书数量骤降,裁判文书公开制度受到较大影响,监督功能弱化。其中,全国法院公布的行政裁判文书103 214篇,较2020年的504 822篇下降79.6%;刑事裁判文书600 183篇,较2020年的1 275 015篇下降52.9%;民事裁判文书8 394 902篇,较2020年的13 966 768篇下降39.9%该数据来自于笔者2022年2月23日访问的中国裁判文书网:https://wenshu.court.gov.cn/website/wenshu/181029CR4M5A62CH/index.html,由笔者搜索、摘录或分析所得。。在案件受理数量基本平稳的情况下,公开文书数量大幅降低,原因便在于2021年刚刚公布施行的《个人信息保护法》对一般个人信息保护过度,这主要表现在以下两个方面:
第一,个人信息范围较为宽泛。《个人信息保护法》第4条将个人信息定义为“可识别的自然人有关的各种信息”,以“相关”作为受到法律规制的信息范围判断标准,与自然人有关的信息都受到保护,体现了国家对“个人信息”的宽泛界定。宽泛的保护范围虽然在一定程度上顺应了信息时代的发展,考虑到了信息的快速传播,但是该定义的去中心化,未能凸显个人隐私,未进行个人信息保护与隐私权保护的分离,导致个人信息保护制度缺失以隐私权为核心的制度架构[8]51,使得构成隐私部分的个人信息未能得到充分的保护,而其他重要性相对较低的个人信息则因受到法律同等规制而交易受限,流通频率下降。
第二,个人信息权利束体系较为庞大。《个人信息保护法》第四章为信息主体专章设立了对个人信息处理的知情权与决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等权利[16],这些共同组成信息主体的庞大权利束。一方面,《个人信息保护法》通过规定“信息主体权利”以及“信息处理者的义务”的形式体现了制度的权利保护本位,信息主体享有权利而信息处理者承担义务。这导致信息交易过程中的主体利益失衡,增加了信息处理者的保护成本,不利于信息处理者作出积极保护策略。另一方面,以权利保护机制为主要形式的个人信息保护制度难以适应数据时代发展,忽视了个人信息社会属性的重要性,不能评判信息处理是否增加了社会福利,难以实现真正的公平[17]。
2.敏感个人信息保护不足
敏感信息因其特殊性质,一旦泄露将引发潜在的巨大风险,正如“女子取快递被造谣出轨案”中,僅仅因受害人一段取快递视频被泄露,相关的微博话题阅读量就高达4.7亿人次;受害人因此遭受了巨大的社会舆论压力,工作被辞退,新工作被拒绝,本人也罹患抑郁症。可见,信息时代敏感个人信息具有潜在的爆炸性传播特质。因此,敏感个人信息需要较高的保护程度,其处理应被予以特殊规制。然而,信息保护制度中对于敏感个人信息的特殊保护程度不足,未能达到保护与利用的平衡,主要体现如下:
第一,规制逻辑与一般信息相似,难以有效发挥针对性作用。《个人信息保护法》第二章第二节用五个条文规定了敏感个人信息的处理规则,但相对于一般个人信息保护,该节简短的内容仅仅是规定了更加精细的“知情同意”即“单独同意”和少量的安全保护措施。然而,“与对其他的处理活动作出的同意区分、凸显出来”[18]的单独同意,与处理一般个人信息所需的“明确同意”并无实质不同,在实践中都会受到“信息不对称”以及“信息过载”的影响,个人很难真正理解其作出同意选择所带来的风险及影响,换言之,“同意”难以真正发挥作用[19]。
第二,缺乏动态保护,难以应对敏感个人信息的特殊性。首先,基于不同场景,信息的重要性可能不同,在特定的场景下,某些信息可能转化为敏感个人信息,例如手机号码或者社交账号;在面向公众公开的情形下,其泄露产生的影响或危害难以估量,因此,现行信息保护制度中敏感信息的认定缺乏动态识别机制。其次,由于针对敏感个人信息缺乏基于场景的动态保护[9]121,敏感个人信息处理的风险会随着场景变化而波动,因此,在处理敏感个人信息时,分层、分阶段同意具有必要性。最后,敏感个人信息一经泄露将对信息主体持续性造成危害,对敏感信息泄露的防治与救济具有急切的需要,而实践中对于泄露的信息没有区分,针对敏感个人信息缺乏相应的紧急救济措施来及时补救信息主体权益。
(二)完善进路
信息处理作为信息主体与信息处理者的动态博弈过程,要想融解信息保护与利用的矛盾,填补愿景与现实的鸿沟,解决保护过度与保护不足的冲突,使法律规制发挥最佳效果,实现资源的最优配置,必须调动信息处理者积极参与信息保护;信息处理者作为信息处理的首要受益人,有动力也有义务配合法律规制完成信息保护。提高处理者积极性的方式包括:
1.动态化信息分类,降低信息交易成本
实践中,个人信息保护过度与保护不足并存的问题根源在于未能细化信息分类,以至于信息处理者积极保护成本较高。通过对个人信息保护法律制度的边际收益分析可知,对隐私性较低的个人信息降低保护标准,而对敏感个人信息等隐私性较高的信息提高保护程度,将有助于实现效益最大化,即获得信息保护与利用的最大收益。《个人信息保护法》对一般个人信息范围进行宽泛规定,而对敏感个人信息缺失动态认定。有鉴于此,有必要考虑个人信息的细化分级,以“隐私性”为判断标准,划分不同的保护模式,一方面使保护模式更具有针对性,实现保护效果最大化;另一方面减少不必要的资源损耗,避免加重信息交易壁垒,从而降低交易成本。
2.督促企业数据保护合规建设,提升企业保护积极性
督促企业数据保护合规建设,可以提高企业参与个人信息保护的积极性,落实企业行为责任,增强信息保护力度。无论是信息的处理还是信息泄露后的补救,信息处理者都承担了一定的行为责任,尤其以互联网平台为典型。为了提高信息保护效果,信息处理者的积极参与是必要的。从信息主体与信息处理者博弈的分析结论可知,信息处理者选择积极保护策略的重要影响因素包括其违法成本,主要有侵权赔偿、行政处罚以及声誉损失等。督促企业数据保护合规建设可以通过以下途径:第一,提高信息处理者违法成本,措施主要包括提高处理者侵权赔偿概率、提高行政处罚额度、公开通报处罚结果以及设置信息处理准入资格限制等。第二,构建企业数据合规外部激励制度,主要有完善数据合规指引、建设行政激励制度、纳入企业评价指标、培育数据合规氛围等方式。
五、结语
《个人信息保护法》为我国应对大数据时代、数字经济发展等新格局新形势提供了有力的法治保障,承载了我国保障人权的重要使命,体现了以人民为中心的法治精神。同时,为抓住数字经济发展机遇、实现现代化强国建设的期冀,
其主要任务是确定合理的信息处理规则,降低信息处理者与信息主体之间的交易成本。笔者通过经济学上的边际收益分析,论证了个人信息处理规则中对一般个人信息与敏感信息、一般平台与重点平台以及成年人与未成年人的区分具有经济学上的合理性,分别规定不同的保护标准体现了帕累托改进,实现了帕累托最优。传统的信息保护制度使信息主体与信息处理者双方均陷入主体不参与、处理者不保护的囚徒困境。在博弈视角下,《个人信息保护法》确定的信息处理规则规避了信息主体与信息处理者消极对立的囚徒困境,提高了信息主体参与信息处理的积极性,移除了交易壁垒,提高了交易效率,实现了资源的合理配置。针对实践中一般个人信息保护过度与敏感个人信息保护不足的问题,可以通过动态化信息分类、督促企业数据保护合规予以解决和完善。
参考文献:
[1]习近平在亚太经合组织领导人非正式会议上的讲话[EB/OL].(2021-07-16)[2022-01-02].https://baijiahao.baidu.com/s?id=1705443258866989462&wfr=spider&for=pc.
[2]王利明.论《个人信息保护法》的亮点、特色与适用[J].法学家,2021(6):1-16.
[3]申卫星.论个人信息保护与利用的平衡[J].中国法律评论,2021(5):29.
[4]李克强.信息数据“深藏闺中”是极大浪费[EB/OL].(2016-05-13)[2022-01-01].http://www.gov.cn/xinwen/2016-05/13/content_5073036.htm.
[5]王叶刚.人格权商业化利用与人格尊严保护关系之辨[J].当代法学,2018(3):24.
[6]金耀.个人信息去身份的法理基础与规范重塑[J].法学评论,2017(3):120.
[7]石佳友.个人信息保护的私法维度——兼论《民法典》与《个人信息保护法》的关系[J].比较法研究,2021(5):15.
[8]郭江兰.个人信息保护制度的反思与改进:以主体利益冲突与衡平为视角[J].科技与法律,2021(6):51.
[9]孙清白.敏感个人信息保护的特殊制度逻辑及其规制策略[J].行政法学研究,2022(1):119.
[10]罗伯特·考特,托马斯·尤伦.法和经济学[M].史晋川,董雪兵,译.上海:格致出版社,2012:30.
[11]罗纳德·H·科斯.企业、市场与法律[M].盛洪,陈都,译.上海:格致出版社,2014.
[12]张新宝.互联网生态“守门人” 个人信息保护特别义务设置研究[J].比较法研究,2021(3):4.
[13]陈旭琳.個人信息协同保护的法经济学研究[D].长春:吉林大学,2021:83.
[14]理查德·A.波斯纳.法律的经济分析[M].蒋兆康,译.北京:中国大百科全书出版社,1997:216.
[15]程啸.侵害个人信息权益的侵权责任[J].中国法律评论,2021(4):59.
[16]程啸.个人信息保护法亮点解读[N].中国市场监管报,2021-09-18(3).
[17]王苑.数据权力视野下个人信息保护的趋向——以个人信息保护与隐私权的分立为中心[J].北京航空航天大学学报(社会科学版),2022(1):51.
[18]程啸.论个人信息处理中的个人同意[J].环球法律评论,2021(6):54.
[19]丁晓强.个人数据保护中同意规则的“扬”与“抑”——卡-梅框架视域下的规则配置研究[J].法学评论,2020(4):131-133.
Legal and Economic Analysis of Personal Information Processing Rules
JIANG Baozhong, LAI Yu
(College of Criminal Justice, Henan University of Economics and Law, Zhengzhou 450046, China)
Abstract:Personal information processing rules are the wind vane of information protection system, which reflects the value bias between information utilization and protection. The balance of personal information protection and utilization is essentially a problem of resource allocation in pursuit of maximum benefit. Marginal benefit theory and static game paradigm in law and economics are helpful to verify the legal effect of personal information processing rules. By means of marginal cost-benefit analysis, the classification of subject, handler and information in information processing rules can face up to the difference of pareto advantage in different situations and improve the allocation efficiency of resources. From the perspective of static game, the establishment of information processing rules avoids the prisoner's dilemma of negative opposition between information subject and information processor, and promotes the circulation of information factor market. In view of the problems of excessive protection of general personal information and insufficient protection of sensitive personal information in practice, it should be solved by means of dynamic information classification and supervision of enterprise data protection compliance.
Keywords:personal information processing rules; protection and utilization; marginal revenue; game theory
(編辑:刁胜先)