超越“马法之议”：非完全合同视角下的个人信息保护法

唐林垚

(中国社会科学院 法学研究所，北京 100009)

一、问题的提出

人工智能、信息技术逐渐进入主流法学研究者的视野，加速了当代法学概念话语层面的博弈。身处其中的学者大抵都对这样一场论战记忆犹新：在1996年芝加哥大学的网络法研讨会上，法官伊斯特布鲁克(Frank Easterbrook)以“马法非法”的刻薄比喻，抨击网络法充其量只是“赛博空间中潜在纷争诉诸传统基础部门法规则的胡拼乱凑”(1)Frank Easterbrook,Cyberspace and the Law of the Horse,University of Chicago Legal Forum,Vol.1(1996),pp.207-216.，否定网络法具有独立部门法以及交叉学科的地位。(2)胡凌：《“马的法律”与网络法》，《网络法律评论》2010年第1期，第237-247页。此番刺耳言论，旋即引发了网络法学者的强烈反对，其中最具代表性的观点是约翰逊(David Johnson)的“空间之别”和莱西格(Lawrence Lessig)的“代码之法”，前者指出网络空间具备区别于现实社会的独特性质故而需要传统法律之外的特别规制(3)David Johnson,David Post,Law and Borders:the Rise of Law in Cyberspace,Stanford Law Review,Vol.48(1996),p.1368.，后者主张网络法的独立需求源于代码主导的技术架构对法律规则的钳制和重塑。(4)Lawrence Lessig,The Law of the Horse:What Cyberlaw Might Teach,Harvard Law Review,Vol.113(1999),p.502.

近年来，个人信息保护法作为网络法的先锋，在世界各国落地生根，技术法学、人工智能法学乃至计算法学的研究也日益精进(5)申卫星、刘云：《法学研究新范式：计算法学的内涵、范畴与方法》，《法学研究》2020年第5期，第3-23页。，似乎已经以“事实胜于雄辩”的姿态为马法之议盖棺定论。然而，良莠不齐的立法现状以及捉襟见肘的规则适用表明，这一论战远未结束。“知情同意原则”广泛被各国立法者前置为信息处理全周期的“第一闸口”，使得信息处理争议在司法审判实践中常以合同纠纷论处。例如，针对公民生物特征信息不当采集，杭州市人民法院在引人瞩目的“人脸识别第一案”中采取了合同思维的裁判进路。诚然，彼时同此案直接相关的《个人信息保护法》(以下简称《个保法》)尚在全国人大常委会审议之中。由此引发的问题是，于2021年11月生效的《个保法》，能给现有审判思路带来何种积极变化？

数字时代，拥有技术优势的企业、平台、机构和个人，存在违法获取、过度收集、随意使用、非法买卖和战略性滥用个人信息等问题(6)张凌寒：《共享经济平台用工中的性别不平等及其法律应对》，《苏州大学学报(哲学社会科学版)》2021年第1期，第84页。，为了保护人民群众最关心最直接最现实的信息权益，前有《消费者权益保护法》要求明示信息处理“目的、方式和范围”的原则性要求，后有《民法典·人格权编》“隐私权和个人信息保护”的专章规定，就连《刑法》也载有“侵犯公民个人信息罪”“非法利用信息网络罪”等。既然网络法并非马法，在传统部门法规则之外，颁布《个保法》的意义是什么？其正当性何在？遵循怎样的规则优化逻辑，才能进一步完善《个保法》的制度供给，使其与其他部门法形成有机联动，借此彻底打消学界的马法疑虑，无疑是《个保法》适用之初必须考虑的重要问题。

二、信息处理活动的“完全合同”误解

(一)理论背后的完全合同观

“马法高论”的思想渊源，可以追溯至被后人称之为“科斯定理”的理论见解：“经济活动的外部性可以通过当事人之间的谈判得以纠正和消弭，从而促进社会福利的最大化。”(7)Ronald Coase,The Nature of the Firm,Economica,Vol.4(1937),pp.386-390.科斯(Ronald Coase)认为，企业和市场不过是合约的两种形式，是可以相互替代的资源配置机制。将科斯定理置于马法之议的语境之中，不难看出网络法之为马法的理论缘由——个人信息保护法，倘若真有立法的必要，其条款也应当是各参与方在协商成本足够低的情况下，必然会采取的制度安排。

科斯之后，杰森(Michael Jensen)和迈克林(William Meckling)等人发展出了公司合同理论，主张公司是一系列的联结，合同各方角力将创造出最优的内生性合理秩序，没有必要再刻意引入外生性制度安排。(8)Michael Jensen,William Meckling,Theory of the Firm:Managerial Behavior,Agency Costs,and Ownership Structure,Journal of Financial Economics,Vol.3(1976),pp.305-309.正是顺从了古典自由主义经济学的“完全合同观”，伊斯特布鲁克公开质疑网络法相对于传统法律的特殊地位。马法论调对网络法的不屑几乎一体继受了公司合同理论对公司法的排斥：作为“一系列合同联结”的公司，之所以能够取代市场，是因为公司内部的科层制约有效地降低了各参与方的交易成本；相应地，信息处理活动中各方的合同约定，也应当可以排除基于传统制度思维构建的网络法规则，因为自行高效协商能够生发出最有利于当事人的合同条款。

在自由化倾向与日俱增的背景下，个人信息保护法辖制信息处理活动的合法性基础何在？易言之，如果当事人协商而成的“信息处理合同”已经足以反映各方的意思表示、维护缔约方预期，那么个人信息保护法的强行介入，是否毫无必要？以上问题，必须从信息处理合同的诸多特殊性中寻求解释。

(二)信息处理合同的特殊性

1.缔约机制受限

一般而言，信息处理程度与潜在信息风险之间呈正比例关系。(9)参见刘忠炫：《个人信息处理的合理限度——基于必要性原则的场景化分析》，《上海政法学院学报(法治论丛)》2021年第5期，第155页。信息处理主体同信息主体之间的合同多为长期合同，这里的长期是相对于即时结清、不连续因此存续时间较短的普通合同而言的。合同的长期性将放大个人意志的局限性，即便缔约双方努力对未来可能发生的情况进行事无巨细的约定，也难免挂一漏万。更何况，在人工智能时代，信息处理主体对个人信息的采集和使用“采取了‘自觉自愿’的诱导进路，其对信息主体的吸引力在于‘免费’提供更‘个性化’的服务”(10)唐林垚：《人工智能时代的算法规制：责任分层与义务合规》，《现代法学》2020年第1期，第208页。，信息处理主体有充分的激励，将信息处理合同伪装成包含“附负担的赠与”的单务合同，让作为受赠人的信息主体心甘情愿地按照约定履行提供信息的义务。不仅如此，在立刻就能获得的甜头面前，轻率和盲目乐观往往能够悄无声息地卸掉理性经济人的警惕和防备，信息主体很少考虑如“为何借一个共享充电宝需要获取访问摄像头和读取手机相册的权利”等问题。

2.履约机制失灵

缔约各方可能在合同初始阶段的合意相对充分，但随着时间的推移，相当部分的合同内容都不可避免地会面临需要嗣后调整的情况。技术的变化或为信息处理主体带来全新的赢利契机，而身处信息弱势地位的信息主体常常对合同的未来变更束手无策，甚至可能都意识不到合同可期待利益的失衡。信息处理主体为了满足信息披露的合规要求，可能会主动明示信息处理用途的变化甚至对用户提出“危险警告”，但多数时候并不会因此阻碍合同核心条款的变更。只有极少数敏锐的信息主体可能会主动通过限制软件权限的方式来增强隐私保护，但也将因此一己承担所有合同变更的不利。

3.退出机制匮乏

信息处理主体和信息主体之间的合同联结，并不因为信息主体不使用信息处理主体的应用或程序就自然终止，例如，手机用户即使不打开某些应用程序也不妨碍它们向前台精准投放广告或在后台悄然收集数据；清空网购平台购物车中的商品并删除历史搜索记录，可以阻止平台精准推送特定种类的产品，但系统依旧可以根据用户过去浏览方式和点击频率等痕迹判定出来的用户偏好和购买习惯，对信息主体进行“套路”和“杀熟”。更可怕的是，手动删除应用程序也只能确保信息主体在特定设备上暂时脱离信息处理主体的“针对”。(11)唐林垚：《“脱离算法自动化决策权”的虚幻承诺》，《东方法学》2020年第6期，第25页。在动辄绑定邮箱、手机、微信或支付宝的前置性缔约要求下，注销账户也不能确保合同的终止，毕竟，信息主体不可能为了彻底终止同某一个信息处理主体的关联就因噎废食，连手机号和社交账号都全部变更。《个保法》对此的回应是，赋予信息主体撤回同意的权利，但新的问题也因此产生，例如，撤回同意是否会影响此前信息处理活动的合法性？撤回授权能否一并中断信息处理主体对已经收集信息的访问和利用？更严重的问题在于，虽然技术上让信息主体在注销账户的同时撤回所有授权是可行的，但信息主体能否对处理原始信息后生成的推论信息以及因平台联动经由信息处理主体流转出去的信息主张控制权尚无定论。职是之故，大数据的信息黏合机理，已经在某种程度上超越了《民法典》第562条和563条规定的可以单方解除合同的各种情形，使得信息主体虽然可以在名义上解除同信息处理主体之间的合意，但对合同(至少是小部分合同)在事实上的依旧存续完全无能为力。

综上所述，涉及缔约、履约和合同退出机制等问题时，传统的合同路径存在顾此失彼和应接不暇的情况，无论信息处理主体和信息主体之间的初始合意有多么充分，在遥遥无期的时间长河里，不可将公平和正义价值之维系完全寄托于缔约方意思自治，而必须引入一些强制性规则，例如个人有权撤回同意信息处理的情形(《个保法》第15条)、保证自动化决策的透明度和处理结果的公平合理(《个保法》第24条)、对未成年人信息处理之限制(《个保法》第28条)等，体现出个人信息保护法部分规则的公法属性。就此而论，个人信息保护法不应被视为《民法典》信息保护规则的单纯延伸：在私法自治难以自发生成最优秩序的信息处理活动中，个人信息保护法更重要的角色在于为当事人可自由协商事项划定不可逾越的边界。考虑到信息处理合同的诸多特殊之处，完全依赖合同法对信息处理纠纷进行裁判，将无法为信息主体提供周全保护。

三、个人信息保护法的“非完全合同”功用

(一)作为非完全合同的信息处理合同

信息处理合同不具备完全合同的圆满性，以知情同意作为核心条款、任由当事人自由协商的做法，最终将使信息主体“身陷囚笼”。在完全合同之外，学者们用“非完全合同”的字眼来描述无法在当下预见一切、难以对具体事项无所不包的合同。几乎是在伊斯特布鲁克“马法之喻”大行其道的同一时期，格罗斯曼(Stanford Grossman)、哈特(Oliver Hart)和莫尔(John Moore)等人通过对交易费用理论的批判性发展，在完全合同的基础上，开创了非完全合同理论，其核心观点是，虽然人们为节省交易成本在制度构建方面费尽心思，但有限理性、机会主义和信息不对称的情况泛滥，明晰所有权利分配的成本过于高昂，因此，完全合同理论所描述的面面俱到的理想合同并不存在，瑕瑜互见的非完全合同，才是市场交易中客观存在的常态。(12)Oliver Hart,John Moore,Default and Renegotiation:A Dynamic Model of Debt,Quarterly Journal of Economics,Vol.113(1998),pp.5-9.

依照是否和能否在合约中进行明确规定，莫尔将交易中的权利分为特定权利和剩余权利。一般情况下，在合约中难以规定的剩余权利对于交易双方而言是对称分布的，但在信息处理活动中，剩余权利的分布将不再对称。非完全合同理论指出，可预见、可实施的权利对资源配置并不重要，重要的是对合同中无法明示的剩余权利的控制力，即剩余控制权。信息处理活动的双方没有条件也不可能在合同中明确未来所有的特定权利，合宜的做法是一方将另一方兼并(买断)，即将剩余权利配置给更能有效利用它的信息处理主体。但是，大数据时代，信息被视为新的石油，取得剩余权利或将给信息处理主体带来超越常规的回报，而信息主体却可能因此蒙受损失，造成激励机制的扭曲。此时，法律接管自由缔约的正当性就体现在，确保获得收益的购买方对蒙受损失的出售方给予充分补偿，以便最大限度地减少不公平博弈的种种外部性。然而，围绕漏洞重重的知情同意机制构建的相关民事法律以及习惯性采用负面清单模式列举非法事项的相关刑事法律，不仅未能优化信息处理活动的交易样态，甚至在事实上将剩余权利一刀切地配置给了信息处理主体。概而言之，个人信息保护法并非马法之证成，应从传统部门法的不足中寻求依据。

以非完全合同理论对具有完全合同意味的马法论调进行反驳，个人信息保护法可在以下三重目的上突破传统部门法所框定的藩篱。

(二)个人信息保护法的三重合同功能

1.非完全合同的格式范本机制

在各个领域广泛存在的标准合同，是人们为了节省交易成本而形成的智慧结晶。伊斯特布鲁克之所以将网络法同马法相提并论，主要是认为网络法仅在现象层面堆积了各种因为涉及网络而看似相互关联的问题，并没有提出真正有新意的、可以统合这些问题的系统性理论；对于信息处理活动，伊斯特布鲁克的“马法观”所揭示出来的矛盾是，明明可以用标准合同就能够解决的问题，何须动用立法？根据非完全合同理论，完全仰仗当事人自由缔约形成的信息处理合同，极易因为难以揣度技术的嬗变而忽略潜在的矛盾与冲突，最终身处技术弱势方的信息主体被置于“万劫不复”之地。诚然，在各参与方不间断试错和纠错的过程中，行业内可能会自发形成信息处理活动的标准合同范本，但在信息处理主体主导技术变革的大背景下，行业标准合同修订所带来的正向收益将被其垄断——所谓的完善和优化，根本目的在于单方面降低信息处理主体的交易成本。在这种情况下，由国家和政府提供公共物品的比较优势彰明较著。立法者通过对法院审判、行政机构执法、行业监管等经验和教训的吸收，结合对当事人各方的意见征询，将信息处理活动中可能存在的问题及其合理解决方案转化为公共产品，向交易各方提供，形成对信息处理主体和信息主体“同等有利、公平公正”的合同范本。

以个人信息保护法形式出现的标准合同取代行业自治形成的标准合同的正当性在于，后者常常服务于信息处理主体的利益最大化，将信息主体置于任人收割的“韭菜”地位，而前者当以“节省整体交易成本”为目标，对平衡各方利益有利。例如，《个保法》第16条禁止信息处理主体以不同意或撤回信息处理授权为由，拒绝向信息主体提供产品或服务；第50条要求信息处理主体建立信息主体行使权利的“申请受理和处理机制”，这些规则设计主要是为了让信息处理活动的多数正向收益被共享。

2.非完全合同的漏洞补全机制

信息处理活动外延甚广、技术性强，信息主体的短视行为难以避免，也不可能做到对合同相对方的知根知底。举例而言，涉及信息处理主体因合并、分立等原因需要转移个人信息等情形，在缔约时可能并未进入信息主体的视野，信息接收方乘机变更原先的信息处理目的和方式等机会主义行为，实际上也不能完全依靠合同法的规则予以避免和遏制。各国个人信息保护法一般要求接收方对原信息处理主体的责任和义务概括承受，并且就任何处理目的和方式的变更重新向信息主体请求授权，给了信息主体决定是否继续履行合同的权利，从而有效地解决了这一问题。

在流量经济引发道德风险的今天，个人信息保护法的漏洞补全功能尤其重要。为争夺市场占有率，信息处理主体依靠过度宣传招揽客户的行径可谓司空见惯。只要能够促成同信息主体之间的合同，信息处理主体对可能引发争议的特别事项或避而不谈，或刻意将其美化，例如，将“转委托”的行为包装表述为“与第三方形成技术合力，共同提供最强技术保障”。无论自我宣传得多么光鲜亮丽，信息处理主体常常面临自身技术禀赋不足以应对海量大数据的困境，所以委托他人处理信息的情形时有发生。受托方可能兢兢业业按照与信息处理主体的约定在处理信息时遵循既定目的和方式，但是当委托关系解除后，受托方极有可能以对自身有利的方式再次“开垦”信息；而且，当受托方的信息处理能力到达上限时，受托方可能再次转委托他人处理个人信息，这种层层外包的方式若不加限制，将导致信息主体的隐私受到“反复侵害”。除此之外，囿于同信息主体的原合同，信息处理主体委托第三方代为处理信息时必须对个人信息做匿名化处理，可是，谁能保证受托方无法采取技术手段重新识别个人身份，并从中牟利呢？为填补上述漏洞，有必要在个人信息保护法中将再次转委托禁止条款、反匿名处理条款等固化为信息处理合同的缺省条款。

3.非完全合同的冲突防范机制

长期合同所固有的不确定性是信息处理合同不稳定性的根源。由于相当多的意外情况在日后的信息处理活动中才可能发生，缔约双方尤其是信息主体可能无法意识，也无法准确地评估信息处理合同中，哪些条款可能将使自身面临巨大的风险。例如，信息主体可能无法接受，将用户日志访问权限配置给信息处理主体，不仅不能“提升用户使用体验”，还会留下巨大的信息保护空白；也可能不会想到，为参会在网上填写的个人信息，稍不注意就会流转到别有用心的人手中；更可能预料不到，出于实现公共利益的善心，适当允许数据处理主体扩大信息采集范围，反而助长了价格歧视、算法偏见以及平台杀熟等情况。所以，因预见不足导致的信息主体和信息处理主体之间的张力，亟待个人信息保护法通过禁止超出信息采集原始目的处理信息的原则性规定、个人信息处理者在信息泄露情况下的及时补救责任以及贯穿信息处理流程的安全保障义务予以缓解。

信息处理合同的非完全合同属性，揭示了个人信息保护法的三重核心功能。从剩余权利的角度来看，事前的剩余权利分配不当，不仅不会鼓励信息处理主体提升内部管理制度和操作规程以提升信息处理安全等级，反而会产生错误的激励，使信息处理主体寻求事后谈判的权利。更多占有剩余控制权的一方将会“谈判力增强”，而失去剩余权利的一方将在后续谈判中陷入“套牢僵局”(Holdup)。(13)朱慈蕴、沈朝晖：《不完全合同视角下的公司治理规则》，《法学》2017年第4期，第149-150页。出于非完全合同的格式范本功能和漏洞补全功能，个人信息保护法的事前作用在于充分协调缔约前的剩余权利分配，既要正向激励信息处理主体加大资产专用性投资提升信息处理能力，又要反向强化信息主体对自身信息的把控能力，增大其在初始缔约谈判桌上的筹码。个人信息保护法的“动态性”表现在，一方面通过对剩余权利的一般性分配尽可能地解决事前的无效率问题，另一方面不排斥为解决合同签订之后潜在冲突而进行的事后再缔约。因此，出于非完全合同的冲突防范机制，个人信息保护法还应努力降低各方事后再缔约的交易成本。总之，个人信息保护法构成了开放性合同的补充机制，动态嵌入信息处理合同的缔约、履行与存续之中，这显然是单纯东拼西凑的“马法”无法达至的功能境界。

四、完全与非完全合同：个人信息保护法的构建原理

(一)个人信息保护立法的“双轨化”尝试

从外观上看，完全合同理论和非完全合同理论呈现出大异其趣的价值观。完全合同理论作为交易成本理论的延续，认为多方博弈的结果将自发生成各方都能满意的合理秩序，合同作为各方利益关系的联结，足以取代外生性的制度安排；合同的正当性在于能够充分节省各方的交易成本。非完全合同理论从“不可预见性”“不可描述性”和“不可证实性”三个方面对完全合同理论展开批判，更重要的是，非完全合同理论意识到了缔约完全合同本身也将可能产生的极高的交易成本，可谓以“产生新交易成本”之矛攻“节省交易成本”之盾。不过，非完全合同理论的研究范式也存在逻辑不自洽的情况，例如，经常在假设缔约各方为有限理论的同时，又同时认可缔约各方依照未来形势进行成本-收益分析的动态规划能力。(14)Eric Maskin,Jean Tirole,Unforeseen Contingencies and Incomplete Contracts,Review of Economic Studies,Vol.66(1999),p.83.从动态的角度来看，虽然充分预见未来的情况颇有难度，但是参与各方可以在缔约前尽其所能获取未来情形的各种信息，让合同在可以预见的某一时间段内尽可能趋近于“完全”；再不济，当事人还可以选择“走一步看一步”的协商模式，在既有的资源基础上先将各方初步共识以合同的方式固定下来，之后再对不可预料的情形“见招拆招”，允许合同以多种方式履行并通过逐次谈判达成合意。总之，合同各方可以通过不断参与获得提升，从有限理性的非完全状态逐渐无限趋近绝对理性的完全状态。

需要指出的是，无论是完全合同还是非完全合同，缔约和履约过程的交易成本均不可避免。情况复杂和有限理性对缔约能力的双重束缚，将为完全合同的尝试带来可观的事前交易成本，而缔约各方在事后的逐次交涉以及协调行动将给非完全合同带来难以估量的事后交易成本。缔约双方选择完全合同抑或非完全合同的缔约尝试，通常将取决于完全合同在事后节约的交易成本相对于事前必须付出的交易成本，以及非完全合同在事前节约的交易成本相对于事后不断投入的交易成本，哪一组差值对应着更高的性价比。简言之，尝试哪一种合同形式能够真正最小化缔约和履约过程中的交易成本总和？诚然，在完全合同状态只能无限趋近而不可真正达至的客观现实面前，单纯衡量为缔约完全合同所做的事前努力和为维护非完全合同所做的事后努力之大小，并没有实际的意义，但是由“不相关定理”引发的上述分析框架，正契合了个人信息保护立法介于“短期完全合同和长期非完全合同”之间的双轨化尝试：一方面，在逐渐清晰的技术发展趋势面前，个人信息保护法反映了立法者努力获取未来各种可能情况并将最优资源分配方案固定下来的最大努力；另一方面，当未来的交易样态和技术变革不可描述或不可知时，个人信息保护法将充当一种动态机制，或引导当事人“不忘初心”尽可能按照合同签订之时的意愿继续执行合同，或为利益格局的重大变化设定足以以变应变的程序预设。

(二)势在必行的介入型立法范式

1.公共利益与社会责任优位

在信息处理活动中，各方都难以完全预料将来可能发生的各种情况，只能将彼此之间的纽带视为未知领域的整体行为的组成部分，无论缔约之时的合意有多么充分，各方的权利和义务将一直处于开放的修正状态中。在特定的情况下，为了实现社会整体利益的最大化，信息主体必须做出牺牲，以个人权利的适度克减换取社会群体的安全与繁荣。(15)参见汪晓华：《企业数据财产权与用户个人信息权益之冲突与协调》，《西南民族大学学报(人文社科版)》2020年第10期，第93-94页。当信息处理主体因掌握技术和数据参与公共管理事务时，必须分清主次、杜绝机会主义行为、不谋求超越常规的回报，本着合作共赢的态度履行相应的社会责任。(16)唐林垚：《公共卫生领域算法治理的实现途径及法律保障》，《法学评论》2021年第3期，第100-103页。

政府追求经济效用之外的目标，构成了个人信息保护法的重要价值之一。个人信息保护法应对那些“长痛不如短痛”的事项，做出超越当事人协商的法定安排，因为合同的缔约方通常只聚焦于内部事务的权力分配，全然不顾外部环境的风云变幻。在贸易保护主义思想渗透进跨境信息处理活动各个层面之时，各国出于安全目的对跨境信息的限制和审查愈发频繁。保护本国数字产业发展的综合利益考量经常被拔高至“国家安全”的层面，“信息主权(数据主权)”的思想也逐渐融入各国的立法和执法活动中，围绕信息处理展开的法律博弈日益胶着。美国《澄清域外合法使用数据法案》(CLOUD Act)以控制者标准界定信息主权，配合美国政府对域名系统(DNS)以及“互联网名称与数字地址分配机构”(ICANN)的绝对控制，打造了数据流动规则的双重标准：一方面为保障美国技术与经济优势，对其他国家染指美国数据“零容忍”；另一方面则仰仗这种优势在全球肆意掠夺数据，消解他国数据保护壁垒、维持美国利益优位。(17)Secil Bilgic,Something Old,Something New,and Something Moot:The Privacy Crisis Under the CLOUD Act,Harvard Journal of Law and Technology,Vol.32(2018),pp.331-332.欧盟对此并未束手就擒，首先以法院判决等方式使欧美之间的《安全港协议》(Safe Harbor)归于无效，之后又在《隐私盾协议》(EU-US Privacy Shield)中弱化美国政府在欧盟的“长臂管辖权”，还通过《通用数据保护条例》(以下简称GDPR)推行以存储者为核心的数据主权界定模式。面对复杂多变的国际形势和别国政客的恶意刁难，我国立法者应当顺应国际立法趋势进行全球数据跨境的顶层制度设计，将信息资产的思路贯彻到信息处理主体的日常经营管理之中，并为难以避免的“信息摩擦”预留反制空间。《个保法》第三章“个人信息跨境提供的规则”势必将与《网络安全法》《数据安全法》等形成联动，共同承载上述功能，为我国信息、科技类企业“走得快、走得远”保驾护航。

2.中央立法与一体适用优位

在信息技术快速发展和迭代的过程中，许多法律制度和程序实际上难以定型，如果采用政府立法的方式，可能会增加规制的成本。虽然市场对可预期性规则的需求特别强烈，但倘若法律规则无法最大程度贴合各参与方的实际感受，充其量只能作为一种制度框架存在。即是说，在技术迭代阶段，行政措施自然比法律手段更富有成效；好在长期行政执法和地方规制的经验积累，已经为我国个人信息保护法的出台奠定了良好的基础。

在中央和地方行政分权体制下，地方政府在个人信息保护立法方面发挥着特殊作用。以电商云集的杭州和深圳为例，两地分别率先提出了《杭州市数据安全保障体系规划(2018—2020)》和《深圳特区数据条例(征求意见稿)》。地方个人信息保护立法虽然也对隐私保护、数据安全作出规定，但其终极目的是最大限度地推进信息的流转和利用。究其根源，中央立法须从政治、经济、文化和社会等方面通盘考虑，但地方立法常常只需对本地区的经济效益负责；任期制下的短期追求通常与个人权益的长远保护格格不入。高新技术企业是地方政府的纳税大户，是凸显政绩的工程样板，是面向全国的吸金窗口，从政策咨询、地方立法到规则推行，处处都活跃着这些企业的影子。有鉴于此，我国当下以“保障体系规划”和“数据条例”形式存在的地方个人信息保护指引，充其量只能被视为《个保法》适用初期的权益性制度安排，而不应过度拔高其重要性，使之对《个保法》的目标导向产生影响。

3.科技向善与利益衡平优位

纵使信息处理合同不是完全合同，但是立法者以个人信息保护法取代各参与方意思自治的正当性何在？法律白纸黑字的制度安排凭什么就一定优于当事人自己的合同安排呢？“法律制度的正当性取决于‘正当化’的过程以及为了达到这一目的而运用的‘说理的技术’。”(18)罗培新：《公司法的合同路径与公司法规则的正当性》，《法学研究》2004年第2期，第82页。在技术黑箱面前，立法者的智识和经验，虽然未必能够完全弥补信息处理合同的非完全性，但是比起普遍欠缺相关知识的信息主体来说，更有能力缔造出防止“科技作恶”的游戏规则。对于尚存争议的疑难杂症和难以预料的潜在问题，如果任凭信息主体和信息处理主体自行博弈确定合同的未来变更方式，必然将走向技术决定论的极端——知识和权力的结合带来赢者通吃、技术操纵和工具权力异化的多重失控。虽然立法者不可能完全掌握信息处理法律关系中各方的利益诉求，更不可能以家长式的关怀及时体察当事人心理变化，但其基于社会利益的考量，为维护公共秩序和善良风俗而推崇体现国家干预的强制性规范，已然是信息处理活动中双方利益冲突无法调和的零和博弈的最优解。

“个人信息不仅关涉个人利益，而且关涉他人和整个社会利益……具有公共性和社会性……这预示着个人信息保护应从个人控制走向社会控制。”(19)高富平：《个人信息保护：从个人控制到社会控制》，《法学研究》2018年第3期，第84页。个人信息保护规则的演进，最好体现为政府主导的行政意志变迁，而不是由市场参与各方自行协调、自导自演的规则变化。在人工智能语境下，公共福利并不等同于数个个人偏好被满足的单纯叠加。为实现立法者推动的规则“逆向生长”，宜淡化个人信息保护法授权过多的合同色彩，还原其理应具有的政府管制的担当与刚性。

五、马法与非马法：我国个人信息保护法的完善方向

(一)突破合同藩篱：个人信息保护法的“更高站位”

个人信息保护法必须经得起市场的检视与评估，充分关注行业的内生要求和缔约各方的意思表示，才能在利益交织错综复杂的信息处理活动中占有一席之地。不可否认，个人信息保护法中的多项基本原则，例如知情同意原则、最少够用原则、安全保密原则等，都深深地打上了合同的烙印，这些奠基于责任和能力相配、获得和付出相当的一般性保护规则，起到了弥补长期信息处理合同各种缺漏、维护各参与方合理预期和信赖利益的作用。然而，单纯依照合同原理构建的个人信息保护法，尚不足以约束信息处理主体机会主义行为，某些展示形式化公平的合规要求(例如反复获取授权)，反倒成为信息处理主体铤而走险、违规收集个人信息、与约定相博弈的催化剂。作为合同核心规则的知情同意机制，也面临在实践中被架空的情形——长篇累牍用户协议下的知情可能并非真的知情、授权俘获机制下的同意可能并非真的同意，而现行法判定信息主体是否因“知情”作出“同意”意思表示的审查标准，是信息处理主体是否履行了最低信息披露要求，这实际上是以行为违法性评价取代法益保护评价，背离了订立合同的初衷。

个人信息保护法相对于合同法的更高站位，源于立法者制定规则时运用的思维和智识合理性，即立法者是否可以从不完美的角度，理性看待从合同向非合同的范式转换。迄今为止，法院审理信息处理相关案件时，运用得最频繁的还是合同的解析方法，倾向于单纯从合同文义本身出发去寻求最能嵌套《民法典》规则的解释。作为非完全合同的格式范本机制、漏洞补全机制和冲突防范机制，个人信息保护法的各项制度安排，应当有助于法官在临事裁判时还原缔约双方在实质公平、充分协商的情况下本应达成的条款原貌。在合同惯性思维之外，个人信息保护法的意义在于补充而非直接替代当事人的自由协商，其条款应当以增进各方福利、降低整体交易成本为其主导价值取向。

(二)超越马法之议：个人信息保护法的“范式转换”

1.强制性规范压倒任意性规范

静态地看，个人信息保护法中的强制性规范和任意性规范都具有补全合同漏洞的功能，但两类规范填补信息处理合同非完全性的方式各不相同，且对缔约方谈判行为的影响不一。个人信息保护法中的强制性规范旨在直接封堵个人缔约缺漏，不容许当事人绕开强制规则作出不同的选择。例如，以合法、公正、透明方式处理个人信息的强制性规定，是对信息主体的最低程度的保护，任何人不得通过协议方式排除。再例如，在技术黑箱掩映下，信息处理主体借此牟利的激励尤其明显，信息主体普遍缺乏知识、能力和资源对信息处理主体进行有效监督(20)许可、朱悦：《算法解释权：科技与法律的双重视角》，《苏州大学学报(哲学社会科学版)》2020年第2期，第61-69页。，要求信息处理主体定期委托第三方专业机构进行审计的强制性规定便自然取代了信息主体的无效监督，促使信息处理主体恪尽职责。强制性规范补全合同漏洞的效率，取决于立法者能在多大程度上替代信息主体“超前思考”，以不亚于行家里手之智识对抗信息处理主体的潜在监管套利行为。

在实践中，信息处理主体通常高估自身的风险控制能力而低估信息泄露的隐患(21)参见王灏：《公民个人信息安全防控体系研究》，《西南民族大学学报(人文社科版)》2020年第12期，第82-85页。，其自认为完美的缔约合同内容，可能存在大量信息主体权益和隐私保护方面的疏漏，令双方合意难以为继。只有文意清晰的强制性规范，才能有效解决上述问题。杜绝信息处理主体自负的通行做法是，以明文规定的方式要求信息处理主体做好自身的“适当性评估”，例如信息处理的目的和方式是否“合法、正当、必要”，对信息主体的影响是否“适宜、妥帖、可控”以及信息存储是否“稳定、安全、私密”，不能满足“适当性评估”的信息处理行为将引致赔偿与处罚，视情节与后果的严重程度划分不同等级。

我国《刑法》第253条规定了“侵犯公民个人信息罪”，分“情节严重”和“情节特别严重”；最高人民法院、最高人民检察院《关于办理侵犯公民信息刑事案件适用法律若干问题的解释》对量刑标准进行了细化，非法获取、出售或提供敏感个人信息50条以上、普通信息500条以上或违法所得5 000元以上即可被定性为“情节严重”；达到“情节严重”标准10倍以上或造成重大经济损失或者恶劣社会影响的，将被定性为“情节特别严重”。对于平台，《刑法》特别规定了“拒不履行信息网络安全管理义务罪”，“致使用户信息泄露，造成严重后果”是该罪的典型适用情形之一。

回到本文开头的问题，在《刑法》规定日臻完善、司法解释标准明确的情况下，个人信息保护法是否还有适用空间？诚然，《刑法》的严格规定，能够较好威慑信息处理活动中的不法行为，但在《刑法》“情节严重”和“情节特别严重”之外，还存在着“情节轻微”“情节较严重”等情形，如果一概以《治安处罚条例》中“扰乱社会秩序、妨害公共安全、侵犯公民人身权利尚不够刑事处罚”定性，似乎法律和法律之间的衔接过于粗糙。反观《民法典》第1032条至1039条以“享有”“应当”“不得”作出的“应然”规定，仅是在民法层面确认了自然人的隐私权和个人信息受法律保护，以及信息处理者负有采取技术措施和其他必要措施保护自然人相关权利的义务，在现实中信息主体也不可能稍受侵犯就提起民事诉讼来维护自身的权利，既有法律之间的规则真空有待填补。个人信息的司法保护最初呈现出“刑先民后”的特点，而刑事制裁思路的局限及民事法律规定的缺位始终制约刑事制裁法律效果的发挥。(22)肖雅菁、郭旨龙：《刑民衔接视角下侵犯公民个人信息罪的规范重构》，《江西师范大学学报(哲学社会科学版)》2021年第5期，第107-114页。因此，个人信息保护法应在民法、刑法和治安处罚条例之外，提供更细密的个人信息保护规则，更重要的是，法律应对信息主体不同侵害的相关赔偿规则予以细化，但《个保法》仅在第69条规定信息主体可按照实际受到的损失或信息处理主体实际获得的利益请求赔偿，将难以确定损失和获利的难题推给法院审判，这等于是打着个人信息保护法的幌子，再一次重复了《民法典》的基本规则而已。“国内人脸识别第一案”中的原告郭兵虽取得阶段性的部分胜利，但仅就合同利益损失和交通费补偿获得了1 038元的偿付，显然无助于遏制被告动物园继续“店大欺客”，强推其他“技术入园”的成本节约尝试。《个保法》有责任平衡“技术VS人类”的利益冲突，而不能仅像一般民事法律那般“就事论事”，仅对“动物园VS郭兵”作出看似损失和获利相一致、实则遗患无穷的裁判。

2.“风险拘束”取代“目的拘束”

《个保法》第6条要求个人信息处理必须具有“明确、合理的目的”，由此来框定信息处理信息的“最小范围”，一前一后一并构成信息处理的必要和最小化原则，与《民法典》第1035条“不得过度处理”的规定相一致。现实中，信息处理主体为了满足合规需求，经常会为信息处理活动更新细致的用户协议，力求在信息披露方面做到“真实、准确、完整”，但是，如果场景不变，为关联目的进行的重复性告知对信息主体而言便是骚扰而非保护；过于狭隘的信息处理的目的和范围限定，对于企业和平台而言也是毫无必要的负担。长此以往，知情虚化和同意疲劳，必将弱化构建看似合意和充分披露的信息处理合同之“暂时完全性”，背离了个人信息保护法补强和维护信息处理合同的立法初衷。

为了更好地维护合同的长期性，个人信息保护法应以“风险拘束”取代“目的拘束”的方式进行局部重构，这就涉及依照不同场景对信息处理活动的风险予以界分。欧美一些国家的立法者们空前关注不同场景中的风险认定与评估，将分级化隐私保护内化为人工智能时代信息保护法律的一般性规则。例如，GDPR第2条对个人、家庭、办事机构和公共部门的数据处理行为进行不同的场景界分；第9条干脆完全禁止处理敏感数据，仅在涉及社会安全、社会保障和实质性公共利益的场景中留有余地。美国《消费者隐私保护法》(以下简称CCPA)在场景分级中走得更远，以专章形式对“以场景为判断准绳”进行了详细规定，“场景自洽”被上升至一切信息处理行为的合法前提，若任何变化致使场景的自洽性受到干扰，那么信息处理主体必须及时对用户隐私保护进行风险评估，以便采取适当措施消除风险。不过，CCPA中给出的主要措施，还停留在以加强信息披露的方式赋予用户更多的信息控制权，信息主体只能请求信息处理主体就特定场景中信息处理不恰当之处做出详细的说明与解释，并在此基础上决定是否继续授权，未来立法应在“风险厌恶型”的信息主体也能接受的风险降低机制乃至退出渠道上下功夫。

区分风险场景适用知情同意原则，不仅仅是对目的拘束原则的扩大解释。从非完全合同的视角来看，不同的风险场景“依其位阶衡量轻重”的立法范式，一方面为不同领域信息处理合同的缔约方提供了多样化的选择，另一方面也将动态的风险控制机制贯穿于信息处理合同的生命周期中，信息处理目的的适当扩张并不必然导致合同的变更，衡量的终极标准是场景自洽性是否被破坏以及是否因此加重了信息主体的风险。最大限度地维护合同内生秩序的关键在于，但凡涉及合同的嗣后更改，身处合同优势方的信息处理主体承担更大责任，而处于合同劣势方的信息主体获得更多控制权。“风险拘束”的逻辑前提可以自然推导出信息处理主体的风险管理责任，而监管者的主要职责是监督信息处理主体切实履行了这种责任。在风险过于隐蔽的场景中，执法部门、司法机关和行业协会等也必须承担与其宗旨和能力相当的风险管理职责，具体的责任分配需结合未来可能发生的场景“一案一议”。实际上，《民法典》第111条“确保信息安全”之表述，已经为信息处理主体确立了法定的安全保障义务，该义务贯穿信息处理主体持有他人信息的全过程。然而，《民法典》第111条的一般性规定过于抽象，缺乏与之衔接的具体制度安排，难以从法条的字面表述演绎出是否履行相关义务的评判标准。如何根据个案情形在法益保护和行为自由之间进行权衡取舍，留待《个保法》的未来修订或司法解释予以细化。

场景理论切入风险管理责任，可在《个保法》总则部分予以明确，以风险可控和场景自洽的双重标准取代保障信息安全的低效表述。由于单纯强化信息处理主体的披露义务并不能实质性赋予信息主体更大的控制权，立法者可以借鉴GDPR第35条的做法，要求信息处理主体在充分考虑信息处理的“性质、范围、语境与目的”后，向监管者提交足以保障信息主体的个人权利与正当利益的风险应对措施与信息保护评估，监管者只需审议信息处理的自评估是否对信息主体充分赋权即可。从非完全合同的角度来看，适格的“场景一贯性”规则应当在肯定信息处理主体从信息处理活动中获得恰当利益的合法性的同时，强调其应履行的责任与获得的收益相匹配，并且为信息主体创设出更多“主动的自由”。唯有如此，个人信息保护法才算得上是较为有效地弥补了信息处理合同履约机制和退出机制的种种局限性，在风险可控的大前提下通过保证合同存续来达成节省交易成本的目的。

3.柔性规则预防技术颠覆

强制性规范在数量上占优，并不意味着个人信息保护法的所有条款对柔性规则不做提留。“人工智能是影响面广的颠覆性技术，可能带来改变就业结构、冲击法律与社会伦理、侵犯个人隐私、挑战国际关系准则等问题。”(23)周汉华：《网络法治的强度、灰度与维度》，《法制与社会发展》2019年第6期，第68页。非完全合同理论表明，对于眼前难下定论的问题，不宜作出过于刚性的约定，而应当采取一种开放式的立法范式随时应对技术变革对既有共识的震颤。

例如，对信息的“匿名化”“脱敏化”“去标识化”处理被视为信息脱离个人属性的灵丹妙药，似乎只要经过一定的流程，任何个人或组织便难以通过倒推的方式，获得信息主体的真实身份。或是基于此种认可，《个保法》第4条借鉴经济合作与发展组织《隐私保护与个人数据跨境流动指南》，将“已识别”或“可识别”作为“个人信息”的判断标准，还刻意将“匿名化处理后的信息”排除在外。马赛克理论(Mosaic Theory)表明，多组不相关信息的关联或者结合，终究能造成信息的“去马赛克化”。随着技术的发展，“匿名化处理后的信息”终有一日将同“可识别的自然人有关的各种信息”竞合，《个保法》第4条的僵化规定实属多此一举，极大地束缚了未来个人信息保护法的柔性适用空间。实际上，《网络安全法》第76条早已作出反应，将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，《个保法》在未来修订时宜采取德国《联邦数据保护法》将个人信息言简意赅地规定为“信息主体的信息”这样开放式定义。

再例如，随着自动化应用逐渐结构性嵌入社会运营，个人信息处理活动极有可能突破合同的相对性，对合同之外的第三方甚至普罗大众的信息权益造成整体性侵害，这是技术风险显化造成的外部性下沉，亦即风险的不当转嫁。谷歌前内部高层员工撰写的批判性文章《随机鹦鹉之险》一文就曾指出，搜索引擎所利用的大型语言模型，存在极大的信息处理偏误；现有信息来源，几乎完全代表有能力上网的社会优势群体，如果继续放任这些信息对人工智能的训练和改造，将必然加剧算法偏见、歧视以及对少数群体的边缘化。(24)Emily Bender,Timnit Gebru,Angelina McMillan-Major,Shmargaret Shmitchell.On the Dangers of Stochastic Parrots:Can Language Models Be Too Big?,MIT Technology Review,Vol.4(2020),p.23.对公共利益保护的落实，可以以禁止权利滥用原则的形式加入个人信息保护法的总则部分。《个保法》总则第2条简单机械地重复了《民法典》第1034条的规定，仅仅明确了自然人的个人信息受法律保护，并且单单禁止“任何组织、个人侵害自然人的个人信息权益”，可以考虑主动贴近《民法典》第132条的原则性规定，规定为“禁止任何可能损害国家利益、社会公共利益或者他人合法权益的信息处理活动”。

六、结语

自伊斯特布鲁克的“踢馆式”发言以来，马法之议已经过去了26年。不可否认，在这26年的监管实践中，世界各国立法者从起初依照主观想象的条款东拼西凑到掌握技术发展趋势后的规则精准制定，个人信息保护法的演进呈现出螺旋式上升的态势。然而，传统的部门法并未随着网络法的蓬勃发展日渐式微，反倒因为新法规则用语含糊在审判实践中仍被经常使用。网络法非马法的重要证明，即个人信息保护法能在传统部门法之外适度扩张个人信息的保护范围，且在保护水平上加大弹性，为敏感程度不同、风险水平不一的个人信息提供差别化保护，防止信息处理活动落入“强者愈强”的“丛林法则”俗套。个人信息保护法只有能够充分顺应技术发展趋势、坚持公共利益导向、平衡各参与方利益，才能确保“智治为人”，“让智治与自治、法治和德治一样充满温度”。(25)詹成付：《贯彻落实党的十九届五中全会部署 提高基层治理水平》，《中国民政》2020年第22期，第14页。