史晓宇
(上海交通大学凯原法学院,上海 200030)
数据已经成为重要的社会公共资源,其商业开发利用的价值直接影响数据产业的发展水平。数据之于数字社会的价值就像线下社会的“氧气”一样,是人人都可以呼吸、共享的资源。[1]在数字社会背景下,人类社会由单一的线下社会走向线下与线上共存的二维社会,人们的身份也随之具有多重性。[2]以互联网为纽带的数据产业基础是个人信息处理活动,根据《个人信息保护法》第四条第二款(以下简称《个保法》)对个人信息处理的界定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。这表明个人信息处理行为是覆盖信息流动全链条的多种不同行为,其多样性在现实中反映两方面的问题。
第一,不同的信息处理阶段和行为带给个人信息权益的风险并非一成不变。比如不当的信息收集行为主要威胁到个人的知情权;不当的信息加工行为所产生的预测和决策行为可能会干预甚至操纵个人的自主选择,造成对特定个人或群体的歧视性待遇;不当的信息传输或公开行为可能会超出收集个人信息时个人的同意范围,如果被传输或公开的信息造成对个人私生活安宁的侵害,可能侵犯个人的隐私权,如果被传输或公开的信息造成个人的社会声誉降低,还可能侵犯个人的名誉权;不当的信息删除行为可能无法达到去识别化的要求而侵害个人在网络世界中的被遗忘权。
第二,某一信息处理行为发生的时间、目的变化以及与其他信息处理行为相联系的不同方式,导致带给个人信息权益的风险并非一成不变。以个人信息的存储、使用和删除的联系为例,存储行为发生的时间和目的会影响司法实践中法院对个人信息处理行为合法性的判断。比如在凌某某诉抖音网络侵权责任纠纷案中,被告的一项争议性个人信息处理行为是存储其他抖音app 用户手机通讯录中原告的联系方式等个人信息并与原告匹配而未及时删除。对此,法院认为,读取、匹配和推荐行为(即个人信息的使用行为)本身是社交类app 实现社交功能的必要步骤,然而在原告未注册抖音用户的时间点即存储其在其他用户客户端内的个人信息行为超过合理期限,此后未及时删除导致个人信息权益受到侵害的风险,因而认定该个人信息处理行为不合法。①参见北京互联网法院(2019)京0491民初6694号民事判决书。与该案相反,在刘某诉沈某隐私权纠纷案中,法院在肯定隐私权侵害的同时,并未对信息储存行为作出否定性评价。在该案中,被告沈某在自家房门外墙上安装了一款360智能门铃用于记录门前的影像,导致拍摄资料中记录了其邻居原告刘某家人员出入家门的信息。二审判决否定了一审判决认定涉诉行为不构成隐私权侵害的结论,但对一审法院就原告的信息储存行为的合法性判断予以认可,认为涉案智能门铃拍摄并储存影像的功能仅当相关人员须在门铃前逗留一定时间才会启动,且储存时间不超过48小时即会自动删除。因此,二审法院仅判决被告拆除智能门铃,但驳回了原告要求删除视频资料的诉讼请求。②参见北京市西城区人民法院(2019)京0102民初17657号民事判决书,北京市第二中级人民法院(2020)京02民终1641号民事判决书。
以上问题表明,在《个保法》对个人信息处理行为全过程作出规定的背景下,司法实践中对特定个人信息处理行为是否合法的判断会因信息处理行为类型的差异、发生场景的差异、风险的差异等多重因素而存在不同,即个人信息处理行为的合法性判断并非简单的二元判断,这说明个人信息处理行为规则需要采用适应场景化需求的灵活性规范模式。不过,具有灵活性的个人信息处理行为规则同样需要有内在价值统一的行为标准,以便形成具有可预见性的法律规则。个人信息处理行为标准的不统一会导致无法为个人信息处理者提供稳定的合规实践指导,无法让个人在数字时代感受到个人信息权益和隐私权等人格权益被保护的安全感,最终会动摇数据产业发展的基础。
1.《个保法》对知情同意规则定位变化引发的体系后果
《个保法》第十三条是关于个人信息处理活动合法性基础的规定。在草案三次审议过程中,该条文一直都有变化。草案一审稿第十三条中“取得个人的同意”仅作为和其他情形并列的一项合法性基础。不过,草案二审稿在原条文基础上增加第二款:“依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意。”该条款的增加在文义上解释的后果是个人知情同意视为一项主要的信息处理行为合法性基础,而其他情形仅作为知情同意的例外。正式颁布的《个保法》第十三条延续了二审稿的规定,这意味着《个保法》又回到了《中华人民共和国民法典》(以下简称《民法典》)第一千零三十五条提出的“知情同意+例外情形”的信息处理行为合法性基础设计。以上立法进程中反映的变化说明在知情同意规则功能弱化的大背景下其地位再度提升。
从表面上看,将知情同意作为与其他情形并列的一项合法性基础与“知情同意+例外情形”的合法性基础,两种规范模式不论采取何种,个人信息处理的合法性基础都不只有“取得个人的同意”一种。然而,两种规范模式引发的体系后果是知情同意规则在具体的个人信息处理行为规则中的地位存在显著差异。具体而言,《个保法》第十三条第二款所形成的“知情同意+例外情形”合法性基础规范模式会导致在个人信息处理行为规则中知情同意规则的“戏份”过重,隐含的体系影响是整个个人信息处理行为规则围绕如何获取个人的知情同意来设计,由此偏重于告知义务的规范,即通过对个人信息处理者向个人告知内容和范围的要求来鼓励个人信息处理者积极获取个人有效的知情同意。
上述体系效应造成的后果是对个人信息处理行为规则缺乏全面的认识。一方面,告知同意规则只是个人信息处理行为规则的一部分,并不能涵盖其所有类型。个人信息处理行为包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,除了每一信息处理行为或阶段需要遵循必要的告知获取个人同意的要求外,还需要遵守特定的信息处理规范,不同的信息处理行为或阶段的信息处理规范侧重点不同。比如,信息收集行为以必要的告知义务为主;信息使用和加工行为除了必要的告知义务,更需要对使用、加工中存在的决策行为的合理性和公平性有所保障;信息删除行为需要对删除的方式、程度等去识别化要求提供必要的安全标准。另一方面,告知同意规则也不是个人信息处理符合行为规则要求的唯一方式,在告知不能的情况下,获取个人同意的方式需要有除告知以外的替代性选择。
2.知情同意规则的基本立足点不符合类型化导向
类型化导向认为,应当结合在不同场景下各要素的变化确定相应的规则,其中必然包含特定的价值判断,以实现个人信息权益和信息流通利用两者的平衡。与此不同,知情同意规则的基本立足点是价值中立,将信息的控制与处理完全交予个人判断,这种追求价值中立而不做实质判断的规则设计理念看似在个人与个人信息处理者之间不偏不倚,实则有立法者推卸责任之嫌。知情同意规则价值中立的立足点容易诱发功能失灵的恶果。
第一,知情同意规则建立在对个人决策和选择机制的错误理解之上。这一规则将个人预设为“理性人”,可以作出最符合其经济利益和效益最大化的选择。然而心理学的研究成果已经表明,人们在作出判断和决策时不光是理性的产物,在不熟悉或者复杂的情境下仍然是直觉发挥作用。[3]不同于“理性人”的概念预设,现实中“常人”的决策机制是启发和选择式的,缺乏完全的自主性。[4]因此,出于尊重个人人格尊严,保护个人在信息处理领域自决权的需要,借助知情同意提高个人在信息处理领域的意志决策参与度,这一规则设计的出发点就违背了个人决策机制的正常体验。[5]在面对个人信息处理者提供的用以获取个人同意的个人信息保护政策界面时,受限于启发和选择式决策机制的影响,个人很容易掉入设计者预先设定的方式、过程和结果中,这意味着结构化设计的程序很难保持中立,会进一步限制人们选择的自由。[6]同意的形式化在信息收集中的现实反映是,大多数用户在面对冗长的个人信息保护政策声明时不会认真一一翻阅,而是直接勾选同意,而对于相对谨慎和敏感的用户群体来说,即使有心阅读,也会困于“常人”的决策能力限制而不能真正有效作出“同意”。以上现实反映是“常人”非自主的选择式决策机制作用的必然结果。此外,有研究表明,对于一个有个人信息保护专业领域能力,能够理性决策的人来说,在数据经济时代,面对随时随地发生的信息收集行为和由此出现的各种繁复的个人信息保护政策声明,如果要阅读完毕,将造成整体资源效率的浪费。[7]
第二,同意的形式化导致个人信息处理者在很多时候只是表面上对用户的个人信息权益保护给予尊重,而实质上可能存在以个人信息保护政策声明为幌子的欺骗行为。知情同意规则一方面预设了个人可以“理性人”的姿态开展有效的个人信息权益管理,另一方面也包含了对个人信息处理者的“理性人”预设,即愿意为了个人信息处理的合规需要和企业长期战略发展需求而在个人信息的收集环节付出短期的合规成本。然而,知情同意规则恰恰忽视了个人信息处理者可能利用用户与企业之间的认知势差而将这种短期成本转嫁给用户,从而导致知情同意的现实运行只是一种表面形式上对个人信息权益的尊重。[8]更可怕的是,即使用户在“告知—同意”的框架下通过付费要求个人信息处理者提供更强的个人信息权益保护,其最终获得的权益保护效果与免费服务场景下几乎没有差异。[9]换言之,知情同意规则有可能在某种程度上成为个人信息处理者规避法律风险、欺骗消费者隐私期待,最终侵害用户个人信息权益的工具和骗术。
基于以上,知情同意规则对个人信息主体而言是掩耳盗铃式的存在,对信息主体几乎起不到预想的保护作用。[10]以上知情同意规则运行引发的恶果意味着个人信息处理行为规则应当摒弃价值中立的范式,回到类型化导向的路径,沿着不同的坐标划定一条个人信息处理行为审查的界线。[11]
1.契合信息处理活动的复杂性和纵深性
个人信息处理行为规则类型化适应目前信息处理活动呈现复杂性和纵深化特点的现实需求。信息处理具有过程性,而并非仅体现为收集这一个环节。与收集时的用户同意和选择相比,后续的多场景化传输等处理行为日益呈现纵深性的特征。首先,数据聚合效应导致信息处理本身对个人信息权益甚至隐私权侵害的风险呈现动态的变化,某一条信息在被收集时可能不具有侵害个人权益的风险,然而当多条类似的信息发生聚合和深度处理后,可能其识别性特征会发生改变,从而引发个人信息权益侵害风险。[12]一种典型的表现是个人信息虽然以识别性为标准而具有相对固定的内涵,但是个人信息权益被侵害却并非总是以直接触及具有可识别性的个人信息为表现方式,日益提升的数据整合能力提高了在多种场景下发生个人信息权益侵害的概率。[13]其次,信息处理的场景化和过程性特征导致后续的信息处理活动很可能会超出甚至偏离原有收集阶段用户同意的范围,具有极大的不确定性。最后,信息处理引发的危害因为其特有的过程性而具有累积性和非瞬时性特征,这意味着最初收集阶段的风险预判可能并不能涵盖后续信息处理的所有环节,甚至从某种程度上讲,在“告知—同意”已成行业共识的背景下,个人信息权益和隐私权被侵害的现实威胁并非主要来自收集阶段,而是存在于后续的数据组合、使用、传输和分享的过程中。当日新月异的大数据技术推动企业的数据分析、挖掘和整合能力不断提升时,这种侵害的累积性特征就体现得更为明显。
2.重构个人与个人信息处理者之间的合作关系
数据经济背景下的个人信息处理活动反映了个人与个人信息处理者之间既冲突又合作的对立统一关系。冲突性体现为个人信息处理者因资本和技术的加持而在信息处理关系中处于优势地位,加上企业逐利性动机的影响,个人信息处理活动如果缺少必要的规则、规范容易对个人信息权益造成损害,由此导致个人信息处理活动极易与个人信息权益产生冲突,这也是个人与个人信息处理者之间的关系容易陷入紧张的主要原因。合作性体现为个人信息处理活动可以挖掘个人信息的经济价值,形成丰富的数据产品和服务,人们受惠于个人信息处理活动,享受相应的便捷服务,体验科技带给生活的诸多福音。个人信息处理方式、范围和目的的合法性与否又直接影响用户的个人信息权益保护体验,最终反映在企业个人信息处理活动本身的营利范围上。因此,个人与个人信息处理者之间的关系有实现合作的可能。
个人信息处理行为规则的类型化,有助于以个人为中心坚持知情同意规则的赋权保护转向以个人信息处理者为中心的行为规制,这意味着类型化没有试图回避个人与个人信息处理者之间关系的冲突性,而是对每种特定类型下个人信息处理者需要采取的措施进行了周密的安排。因此,个人信息处理行为规则的类型化可以减少个人与个人信息处理者之间权益冲突的发生,通过引导个人信息处理者的合规实践增加了个人对个人信息处理者的信任感,从而达成个人与个人信息处理者之间互利共赢的合作关系。上述信任与合作关系的确立,意味着在个人信息处理行为规则设计中打破了两种过去的错误价值预设:一是不再固守知情同意模式对个人理性的过度自负,而是愿意暴露普通自然人的思维认知的弱点;二是不再痴迷于对信息数据的控制,而是回归信息数据流动共享的本质,使人们能够通过信息的共享真诚地实现信息交流、表达与利用的价值,从而在个人与个人信息处理者之间建立长期、可持续的信息关系。[14]
1.效力实现方式作为类型化的标准
法律规则的效力可以通过两种方式来实现:一是确定性的评价,具体评价的基础是行为人是否按照法律要求的行为模式作出或不得作出特定的行为。[15]根据确定性的评价要求,行为人在该效力实现方式中被施加特定的义务,具体又可以分为积极的行为义务和消极的行为义务,根据行为人履行义务的情况,产生肯定或否定评价的法律效果。二是选择性的引导,即以诱导的方式推动对象群体作出符合社会期待的决策和行为。[16][17]选择性的引导可以通过特定方式来影响对象群体的选择,并确保该种选择出于其自身的判断,同时又能使其行为符合社会期待。这种影响并不是强制性的,而是既引导对象群体作出符合社会期待的选择,也预留了一定的自由空间允许其他选择存在。根据以上法律规则效力实现方式的区分,个人信息处理行为规则可以划分为确定性评价和选择性引导两种类型。前者着力于向特定群体施加遵守或执行该规则的义务,后者通过为特定群体预留一定选择空间的方式促使其可以在特定行为范围内实现遵守行为规则的效果。通过以上两种方式,行为规则达到调整和塑造该法律主体的行为和生活方式的目的。
2.信息关系中的信义义务作为类型化的考量因素
个人信息处理者对个人的信义义务是基于信息关系中个人与个人信息处理者之间的信托关系产生的。按照信托关系理论,个人与个人信息处理者之间关系的特殊性体现为“依托—信任”关系。“依托”源于个人处于相对弱势的地位,其个人信息权益的保护需要依托于个人信息处理者的合理行为,体现为个人信息处理者应当履行信义义务,包括必要的保密义务、注意义务和忠实义务。[18]“信任”意味着双方是一种合作关系,而非一方对另一方的绝对服从,体现为个人信息处理者可以在合理的限度内通过个人信息处理获取必要的经济利益,从而形成互惠互利的关系,以稳固双方信任。[19]1227“依托”关系是个人与个人信息处理者因信息不对称导致的实然状态,“信任”关系是巴尔金试图通过赋予个人信息处理者对个人一定的信义义务,并保留其必要的活动自由,所希望达到的两者之间的应然状态。由于双方关系的基础是信任,因此,个人一旦认为双方的信任基础已经丧失,可以随时选择退出。
巴尔金提出的信托关系理论是一种重塑数字时代个人用户与信息处理者之间失衡的法律关系的有益思考,其最大价值在于提供了目前数字经济中欠缺的价值目标导向,即需要通过赋予个人信息处理者在具体的信息关系中向个人承担信义义务的方式,来维持两者之间的信任关系。据此,个人信息处理者在具体的信息关系中向个人承担的主要义务是不损害用户利益。[19]1186巴尔金将上述信义义务的来源归因于信息主体与信息接收方之间特殊的社会关系,而并非信息本身的敏感性或私密性与否。[19]1205所谓特殊的社会关系表现为两个方面:一是企业向个人用户提供的业务类型具有特殊性,其底层商业模式涉及对个人信息的收集、储存、加工和提供等;二是个人用户具有对其个人信息受到妥善保护的合理期望,即当个人用户作为数字经济时代背景下的消费者时,在其向数据服务企业等商业实体披露个人信息,特别是潜在的敏感个人信息时,他们有理由相信这些数据应时刻处于安全状态。[20]美国学者尼德曼(Niederman)进一步将巴尔金提出的信义义务的来源限定为个人与信息处理者之间默示的信托关系,即个人用户与信息处理者之间并不存在明确的合同协议,而只是在信息处理活动开启后,双方进入一种类似于“一方在另一方知情的情况下信任另一方”之后可能发展出的“默示信托关系”。[21]
关于信义义务的具体义务内容,美国学者理查兹(Richards)和哈佐格(Hartzog)将维系用户信任的合格个人信息处理者的行为特征描述为以下四项,即诚实、谨慎、保护和忠诚。[22]第一,值得个人用户信赖的数据服务企业的工作人员必须是诚实的:一方面,其向用户提供的各项数据服务和隐私政策声明条款必须是真实的且实际被遵守;另一方面,在信息处理活动开展的过程中,数据服务企业应当与用户之间保持必要的沟通联系,及时通知重要事项,以保障个人信息主体的知情权。上述诚实要求将法律规制的要点放在个人信息处理者身上,而不再苛责于自然人阅读和理解复杂的数据服务条款和隐私政策声明。第二,值得个人用户信赖的数据服务企业的工作人员必须是谨慎的:企业内部的组织机构安排、产品设计研发在保证企业必要的商业运营及主体业务开展的同时,应当充分考虑信息活动开展的隐私安全风险,尽可能规避算法自动化处理给个人人格可能带来的贬损与歧视。企业应当采取必要的技术保障措施防范数据以违背个人用户利益或其合理的数据保护期待的方式被处理,积极评估个人信息处理活动可能对个人造成的影响。第三,值得个人用户信赖的数据服务企业必须以保护个人用户的数据安全为重:企业应当在合理范围内尽一切努力保护记载个人用户信息的数据免受黑客攻击,防范数据泄露,当出现数据泄露等各类信息处理安全事故时,及时采取必要的事后补救措施。第四,值得个人用户信赖的数据服务企业必须是忠诚的。对用户的忠诚虽然加大了企业的商业数据合规运营成本,但实际上却符合企业的长远发展利益。数字经济发展的基础就是个人信息,只有海量的个人信息处理可以带来多样的数据产品和与此相关的多种商业盈利模式创新,特别是对于面向个人用户的B2C 企业,打造良好的企业与用户关系,维护业已形成的客户群体和生态,是事关企业发展的重要环节。因此,法律应当鼓励数据服务企业在日常商业经营中保护个人用户的利益,并将用户的利益置于企业的短期利益之前。企业对个人用户忠诚度的培养借助于法律层面的制度性激励来引导不仅有利于企业的持续发展,也能够构建良好的数字经济产业生态。
上述四重信义义务的要旨已经隐含在个人数据保护领域的重要司法实践中,并在世界范围内的个人数据保护立法中有所体现。申言之,个人与个人信息处理者之间基于个人提供个人信息、企业在信息处理中承担必要义务的个人信息处理行为模式已经为实践所接受,只不过上述具体义务尚缺少一个概念来统合,导致相应的个人信息处理行为规则相对散乱。因此,如果能够引入信任的理念,并通过四重信义义务的整合,可以实现对个人信息处理行为规则的统合和类型化。目前,已经有美国学者提出将上述信义义务转化为法律层面明确的法定义务,从而构建完善的基于信托关系的个人信息处理行为规则体系。[23]通过上述手段,一方面可以弥补原有的以个人为中心的隐私控制保护框架的不足,为个人信息处理者导入在信息处理过程中的程序性义务,从而扭转在数字经济背景下个人与个人信息处理者两者关系的失衡,保证传统的主体性自由等实质价值的实现。另一方面,在既有的个人数据保护规则基础上通过导入忠诚的理念,可以进一步填充个人信息处理行为规则的内容,为个人信息主体提供实质性保护。由于我国不存在默示信托,因此通过法定义务的方式导入信托关系理论意图实现的价值目标是更切实的选择。法律规则的设计者和适用者本着不损害用户利益,合规化开展个人信息处理活动的理念,需要对个人信息处理者的具体行为规则进行全方位、全流程的类型化建构,为个人信息处理活动提供明确的行为规范指导,从而确保个人信息处理者信义义务的履行,遵守信息处理活动中的商业诚信,维护个人与个人信息处理者之间的信任托付关系。
个人信息处理行为规则是一般规范性法律规则在个人信息处理领域的具体化。通说认为,规范性法律规则的核心构成要素是行为模式与法律后果,法律的规范话语逻辑即主体的某种行为满足某种情境或条件时应当承担某种法律后果。[24]相应的,个人信息处理者的行为规则以法律规则中的行为模式为主要内容,根据法律规则效力实现方式的类型化标准,个人信息处理行为规则包括应为模式、勿为模式和可为模式。前两者是确定性评价类型,分别赋予个人信息处理者积极和消极的行为义务;后者是选择性引导类型,为个人信息处理者提供了推荐性的行为方案,同时预留了个人信息处理者选择其他方案的必要空间。在可为模式下,个人信息处理者的行为模式来自于法律的引导,同时可以获得必要的激励,以促进数据企业在日常业务运营中积极开展自身数据合规体系建设。现就个人信息处理行为规则类型中个人信息处理者的义务内容、范围和自由选择的空间详述如下。
1.应为模式
应为模式下个人信息处理者应当履行两项积极的行为义务。第一,个人信息处理者应当履行积极的告知义务,具体包括需要告知的内容和告知的方式。实践中,履行告知义务在个人信息处理的整个过程中都存在一定的风险和困难,即不光包括信息收集阶段的告知,还包括后续加工、提供等环节的告知,甚至应当涵盖发生数据泄露等安全事故时极端场景下的告知。由此,个人信息处理者告知义务下有关具体告知内容和方式的规范是对其最基本的行为要求。同时,侧重于告知义务的规范设计可以规避知情同意规则中判断个人主观是否“知情”的困难,转而走向客观层面相对清晰的对个人信息处理者应当采取的必要行为的要求。[25]在个人信息处理过程中,除了以获取个人同意为主要目的,个人信息处理者履行告知义务也需要提示个人可以随时撤回同意,因为两者之间建立的“信托”关系是个人自主选择的结果。因此,个人如果认为将其个人信息继续交由个人信息处理者处理不能让其产生“信任”感,应有权决定退出相应的信息关系。
第二,个人信息处理者应当履行全方位的安全保护义务以保证个人信息安全。信息主体与信息接收方之间“信托”关系的存在要求信息接收方的首要义务即是对信息内容的保密。[26]这意味着保密义务存在的前提是信息主体与信息接收者之间达成明确的约定以促成双方“信托”的发生。[27]信息流动过程中,特别是信息收集者将个人信息传输给第三方主体时,需要考虑对个人信息权益的保护。首先,信息传输行为应当符合信息收集的目的和范围,信息收集在获取个人知情同意后,其后的信息传输应当限定在相应的同意范围。[28]37其次,无论是信息的传输者还是获取信息的第三方,都应当采取必要的保密措施以防范对个人身份和行为的识别。对此,具体的方式有去识别化技术的引入和禁止第三方对去识别化信息的再次识别。[29]再次,针对对个人信息主体有高度隐私安全风险的个人信息处理活动(如利用算法开展的自动化处理活动、对特定种类的个人信息开展的处理活动、对可公开获取的个人信息开展的系统性和实时性监测活动、对数量巨大的个人信息开展的大规模处理活动等等),在进行个人信息处理前,应当及时开展安全影响评估活动。最后,个人信息处理者应当通过日常的组织人员管理和必要的程序流程优化,为保障个人信息的数据安全提供必要的辅助和支撑。
2.勿为模式
勿为模式下个人信息处理者应当履行消极的行为义务,包括个人信息处理活动不得操纵个人选择、不得造成歧视性待遇。个人信息处理活动虽然不必事事遵循知情同意规则,但是需要尊重个人的信息自决权。欧盟GDPR 的立法理由书第1 条规定了个人数据处理时对个人的保护,被视为一项基本权利。美国对个人信息的保护采取隐私权模式。隐私权体现了对个人自治和独立尊严的维护。统观两大法系的个人信息保护规制,对个人信息的处理活动需要尊重个人的独立自由,在消极层面上体现为不得操纵个人选择和不得造成歧视性待遇。
操纵个人选择是通过利用个人思维方式的局限而实质性地“绕过”个人自主决定的影响,因此并非显著的强制。在信息收集阶段,个人信息处理者提供的基础数据服务或产品不能以不当的前置性条件作为个人享受该服务或产品的前提。比如,金融机构提供消费者非常青睐的服务,如果拒绝共享信息则无法获得相应的主账户和信用卡服务,出于这种“压迫”客户可能会同意金融机构提出的条款。对此,美国《加州消费者隐私法案》规定,企业不得以消费者在其经营的线上或线下开设账户作为行使其各项信息控制权的条件。对于没有账户的消费者,企业应根据消费者的选择通过邮件或其他电子方式披露。①CCPA§1798.130(a)(2).§1798.135(a)(1).在信息加工阶段,个人信息处理者基于算法对个人的网页搜索记录、生活轨迹信息进行分析,可以诱导个人信息主体作出选择,甚至对其行为作出预判,干涉其决策自由。[30]此外,在实践中,个人信息处理者对特定信息处理结果的展示和说明方式都可能影响个人的选择。因此,搜索引擎对用户检索结果的排列方式、顺序和具体内容的展示只能基于检索相关性,以促进搜索服务最优化为依据,而不能试图潜在地影响人们对最终信息内容的选择。②国外曾有研究发现,使用苹果产品上网的用户更倾向于选择价格昂贵、豪华的酒店,而使用PC终端的用户倾向于选择价格相对低廉、无装饰的住宿。相应地数据企业会利用这些数据分析和挖掘得出不同群体的消费倾向,为这些机器的用户在通过网络搜索时提供个性化的搜索结果排列优先顺序。参见Dana Mattioli,On Orbitz,Mac Users Steered to Pricier Hotels,Wall Street Journal,Jun.26,2012,at A1。
不得造成歧视性待遇产生的背景是,现代网络环境下的个人信息处理者不仅收集和记录个人信息的细节,还将众多汇总的信息数据组织起来用于深度的数据分析和挖掘,以便为有关机构采取行动提供基础。[31]人工智能时代背景下,社会秩序发生改变,人类正在进入一个信用评级社会。[32]换言之,系统收集的个人信息为各机构确定对各人给予何种待遇提供了依据。不得造成歧视性待遇是指要求个人信息处理者在信息处理时不得基于年龄、性别、种族等而向用户提供不同的服务或价格,不得设置特定的标签将用户进行不必要的区分。[28]26美国《加州消费者隐私法案》中的若干规定集中反映了上述要求:该法案明确反对价格歧视,不过同时也指出信息交换价格的差异可以反映在信息内容质量的层面。①CCPA§1798.125(a).§1798.125(b)(1).这意味着在信息交换活动中,隐性的歧视风险仍然存在:当个人信息处理者收集大量的个人信息后,会基于信息主体身份、行为等不同的特征标签对信息分类并进一步深度分析,由于个人信息处理目标的不同,导致某一信息内容价值在不同个人信息处理者视角下有高低之分,某一特征标签下的信息可能对特定数据产品或服务及其他企业机构、广告商的利润增长价值功效更大或更小,由此形成潜在的歧视性待遇。[33]因此,信息交换价格的差异应当仅限于由市场需求高低导致的结果,个人信息处理者不能基于对身份及其他个人私生活习惯倾向的深度数据分析和挖掘来引导市场需求的变化。[28]31综合以上分析,不得造成歧视性待遇的规则并非一成不变的静态标准,相应信息特征标签需要结合实际情况定期动态评估,以更好地确定何种自然人群体更有可能遭受算法决策的歧视。
3.可为模式
在应为模式和勿为模式之外引入可为模式主要出于以下几个方面的考虑:第一,规则效力实现方式的应然逻辑完整性要求应当将可为模式引入个人信息处理行为规则类型中,即以确定性的肯定或否定法律评价为基础形成的个人信息处理行为规则的应为模式和勿为模式并不能涵盖法律规则效力实现方式的所有类型。第二,应为模式和勿为模式的实施效果很难尽善尽美,以告知义务和安全保护义务为基础的应为模式在现实中会增加企业个人信息处理活动的合规难度,企业将不得不每时每刻考虑如何告知、如何获取用户的同意,这在个人信息处理者与个人没有连接点的场景中极其尴尬。事实上,很多个人信息的收集是在与个人没有连接点的情况下进行的。②一个典型的实例是企业通过在电梯空间中放置类似于LED的广告,内嵌了对人体眼球的捕捉装置,可以分析测算每个电梯中的人对播放的每段广告视觉停留的时间,从而判断个人潜在的消费需求偏好,以便未来精准的广告投放。此外,信息传输中的第三方主体获取个人知情同意也并不容易。以上现实困境要求在特定的场景下对个人信息处理者提供替代性的选择方案,从而避免单一通过确定性评价的效力实现方式导致个人信息处理行为规则的僵化。第三,个人与个人信息处理者之间“依托—信任”关系下“信任”的内在要求。个人对个人信息处理者“信任”的建立方式并不局限于履行法律义务的方式,还包括引导个人信息处理者遵守推荐性的行业标准和习惯。“信任”关系并不排斥个人信息处理者通过个人信息处理活动积极地获取自身的商业利益,只是应当对个人有所“补偿”,而具体经济补偿的方式选择即体现了可为模式下为个人信息处理者预留的空间。第四,引导数据服务企业开展数据合规体系构建的制度性激励需要针对不同的企业类型、业务类型及数据处理和保护能力的差异进行弹性化、场景化的安排,而非一刀切的肯定或否定模式。具体而言,首先,需要以明确的“应为”“勿为”为数据服务企业提供行为指引,划定相应的行为准则和禁区;其次,针对承担重要数据服务职能、用户群体庞大的大型个人信息处理者应当设置额外的义务要求,以维持网络数据平台内良好的竞争秩序;最后,需要为数据服务企业开展业务创新、推动产品迭代升级预留必要的空间,允许新技术、新应用适用专门的规则和标准。第五,可为模式中的经济补偿手段为个人信息主体提供了一条可以享受信息红利的路径。虽然单条个人信息的财产价值有限,但是个人信息主体确是数据经济发展的源头,借助于经济补偿或经济激励,个人信息主体可以切实享受到数据经济发展的福利。[34]
在个人信息保护中引入经济补偿的方式,将其在特定范围内作为应为模式和勿为模式的补充类型,在一些国外法律文件中已经获得承认。比如美国《加州消费者隐私法案》规定企业可以通过向消费者提供补偿等经济激励的方式开展信息收集。①CCPA§1798.125(b)(1).经济激励措施的出现反映了个人信息财产化理论的影响,个人信息处理者可通过向个人支付对价的方式收集个人信息。[35]当然,经济激励措施只是以向个人提供经济补偿的方式引导个人作出“同意”,并且要求企业必须赋予个人随时选择退出的权利,这意味着经济激励不具有强制性,仍需尊重个人自主选择的信息自决权。[36]因此,可为模式下经济激励措施的引入非常契合个人信息处理行为规则的选择引导型效力实现方式,为个人和个人信息处理者都提供了一个自主选择的机会,并且这种选择具有可预知性和公平性。具体来说,可预知性体现为对个人而言,是否加入个人信息处理者提供的经济激励计划相较于是否同意个人信息处理者收集其个人信息是更为容易的选择,因为前者提供经济补偿的直接效果,对个人的权益有所保障;对个人信息处理者而言,法律对经济激励措施的认可可以减少获取真实、有效的个人同意的困难,为之提供了另一条更具确定性的合规操作方式。公平性体现为经济激励措施通过个人获得相应经济补偿、个人信息处理者承担必要的信息收集合规成本的方式,在一定程度上改变了传统的知情同意规则下两者之间成本和收益分配的关系,推动个人信息处理活动中双方关系的公平化。
1.告知义务
《个保法》第十七条和第十八条对个人信息处理者的一般告知义务作出规定,第十七条主要规定了向个人告知的内容范围和方式,第十八条主要规定了告知义务豁免的例外情形。告知义务的规范设计需要在个人知情和个人信息处理者告知之间达成适度的平衡,即一方面需要提示个人知情的内容一定要告知,并采取必要方式提升个人知情的可能性;另一方面切忌冗余、过度的内容告知,并尽量减轻因特殊原因告知不能导致对个人信息处理者信息处理行为合法性的不当影响。以此为标准审视《个保法》第十七条、十八条的内容,实际上就是分别从以上两个视角规定的。上述直接、简明的规定方式为个人信息处理者判断其行为是否合法提供了更明确的预期,即知晓采用何种告知方式、告知哪些内容才能达到法律规定的最低要求,以确保信息处理行为的合法性。在《个保法》第十七条中,特别提到了应当告知事项中的个人信息的保存期限。关于保存期限,个人信息处理者需要遵循《个保法》第十九条和第四十七条的要求,不能超过为实现处理目的所必要的最短时间,保存期限届满时应当主动删除个人信息。
在特定的信息处理情形下,个人信息处理者还需要履行特殊的告知义务。主要包括因重大事由需要转移个人信息时的告知义务(《个保法》第二十二条)、向第三方提供个人信息时的告知义务(《个保法》第二十三条)、处理敏感个人信息时的告知义务(《个保法》第三十条)。特殊告知义务与一般告知义务的规范逻辑是一致的,即当出现可能影响个人信息权益的事由时需要提醒个人注意的内容一定要告知,具体事由包括出现了特定的个人信息处理行为(如传输、转移、提供),牵涉了第三方主体(如信息接收方)的利益而可能与信息主体的个人权益发生冲突,敏感个人信息处理对个人信息权益可能带来其他影响。不过,对于个人信息处理者告知义务的规定,《个保法》仍然有必要适当完善。如前文所述,如果将来在具体的行业规范中规定可为模式下的经济激励措施,那么个人信息处理者的告知内容中应当包括其采取的经济激励措施的具体计划。
除了上述常态化的信息处理活动环节中的告知义务外,在出现极端的个人数据安全事故时,个人信息处理者也需要有及时的响应和应对机制,向个人通知相关事项。比如《个保法》第五十七条规定,当发生或可能发生个人信息泄露等数据安全事故时,个人信息处理者应当及时通知个人。申言之,在个人信息处理者的日常信息处理活动中,应当及时做好相关处理活动的记录,以备及时向个人完成告知。
2.安全保护义务
与告知义务一样,个人信息处理者的安全保护义务应当覆盖个人信息处理行为的全流程,对个人信息主体提供事前、事中、事后的全方位保护。具体义务的履行应当从数据处理安排、人员组织、技术研发等多角度切入。我国《个保法》中,对个人信息处理者的上述安全保护义务规定得十分详尽,具体包括数据安全保障义务(第五十一条)、负责人信息报送义务(第五十二、五十三条)、合规审计业务(第五十四条)、安全影响评估义务(第五十五、五十六条)、人员安全教育和培训义务(第五十一条第四项)、防止数据泄露和事后补救义务(第五十七条)。
不过,关于安全管理技术措施中的去识别化,《个保法》对该措施的适用范围及法律效果的规定存在遗漏。去识别化除了具有第五十一条规定的个人信息处理者一般义务层面的一项具体的安全管理技术措施的性质之外,还应当在必要的情形下承担代替知情同意规则以作为个人信息处理者的另一项行为合法性基础的作用,而《个保法》目前缺乏对后者的规定。回顾《个保法》立法过程,原本的草案一审稿将去识别化作为一项安全管理技术措施规定在第五十一条,此外,第二十四条第二款还规定:“个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。”该条款相当于赋予匿名化以更深刻的法律规范意义,即作为和知情同意并立的个人信息处理者向第三方的信息提供行为的另一项合法性基础。虽然一审稿第二十四条第二款将去识别化误用为匿名化,忽略了绝对的匿名化在技术层面不可实现的掣肘,但其规范意旨应当得到坚持。然而自二审稿始至正式出台的法律文本中,均删去了上述规定,由此导致个人信息处理者向第三方的信息提供行为的合法性基础仅限于个人知情同意,影响数据流通的效率。
《个保法》第二十四条对利用个人信息的自动化决策作出规定。该条文借鉴了欧盟GDPR 的有关规定,不过仍有值得商榷之处,即法律规定的精神意旨与立法技术在法律继受层面存在不匹配的问题。申言之,《个保法》对自动化决策规定的具体立法技术虽然移植自欧盟GDPR,但并未完全秉持其精神意旨,相反,内在价值意蕴更接近于美国法。根据第二十四条,法律允许个人信息处理者利用个人信息的自动化决策活动,只是需要受到一定的限制:第一,确保决策的透明度和结果公平合理;第二,对个人权益有重大影响的决定,个人有权拒绝和要求个人信息处理者予以说明。不过,根据欧盟GDPR 的规定,法律一般性禁止个人信息处理者利用个人信息的自动化决策活动,除非满足特定条件:第一,为订立合同或履行该合同所不可或缺;第二,已获得法律授权;第三,已获得个人的明确同意。①参见GDPR第22条第2款。在满足上述条件时,个人信息处理者开展自动化决策时还应采取适当措施以保障个人的权利、自由和合法利益。②参见GDPR第22条第3款前段。与欧盟GDPR不同,受新自由主义管理观念影响,美国法长期奉行对自动化决策相对开明的政策,即赋予自动化决策背后的工程与技术人员一定的信任。[37]因此,我国《个保法》更接近美国法对自动化决策的要求,即有条件允许,而非一般性禁止。然而在立法技术层面,第二十四条又吸纳了欧盟GDPR 对自动化决策予以限制的具体法律手段,即赋予个人对自动化决策的反对权和解释权。不过,第二十四条既然借鉴了欧盟GDPR 的法律规制手段,就应当对其法律定位、适用范围和法律效果有准确的认识,遗憾的是第二十四条对个人的自动化决策反对权和解释权规定得并不准确,存在法律继受上的误用、错位和缺失。其一,反对权和解释权是两种不同的规制手段,规范目的和效果完全不同。具体来说,反对权在欧盟GDPR 体系下是个人针对自动化决策的一项一般性权利,而第二十四条第二款却将其适用范围限于个人信息处理者利用自动化决策进行“商业营销、信息推送”的情形,同时第三款又将其限定在针对个人信息处理者利用自动化决策作出对个人权益有重大影响的决定的情形,这就导致个人的反对权按照第二款理解,其适用范围狭小;按照第三款理解,其法律定位又低了一个位阶。实际上,第二十四条第三款规定的反对权在效果上更接近于欧盟GDPR 第22条第3款后段规定的表达异议权,这一权利与第二十四条第三款前段规定的解释权属于同一位阶的权利。个人针对自动化决策作出的对个人权益有重大影响的决定行使表达异议权后,继而可以行使解释权,要求个人信息处理者对其决定进行说明。其二,第二十四条并未规定有关反对权和解释权的行使方式等具体细节。综合以上分析,由于美国法与欧盟GDPR 对自动化决策的规范意旨并非完全一致,我国对两大法系相关规定的混合继受会导致《个保法》的规定存在上述内部不统一之感,从立法的严谨性角度考虑,有必要在解释论上有所修正。具体的解释论建议包括:第一,将第二十四条对个人信息处理者利用自动化决策开展的个人信息处理活动理解为第十三条第二款所规定的处理个人信息应当取得个人同意的“本法其他有关规定”;第二,将第二十四条第二款规定的个人有权拒绝的情形予以合目的性的扩大解释,理解为是针对个人信息处理者利用自动化决策开展个人信息处理活动的一般反对权;第三,将第二十四条第三款后段规定的个人的拒绝权理解为是个人针对个人信息处理者利用自动化决策作出对个人权益有重大影响的决定的表达异议权。至于上述各项权利的具体行使方式等,可以考虑在法律之外的行业标准中予以细化。
针对数据服务企业的业务类型、用户规模、数据服务和保护能力、产品技术创新需求的差异,设置弹性化、场景化的法律制度性激励安排在《个保法》中已经初现端倪。一方面,《个保法》第五十八条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者设置了额外的义务;另一方面,在法律之外预留了通过推荐性国家标准来鼓励引导企业开展具体合规体系建设的空间。比如,《个保法》第六十二条规定由国家网信部门统筹协调个人信息保护工作,制定个人信息保护具体规则、标准,并特别指出针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。
《个保法》并未提及有关可为模式下个人信息处理者可以采取的经济激励措施,可谓一大立法缺憾。对此,可以通过解释论的方法将其纳入现有的《个保法》规定中。由于经济激励措施在行为规则性质上属于可为模式,相应地该措施的采用带有显著的任意磋商性而非强制性。因此,个人信息处理者采用经济激励措施仍然需要经过个人的同意,这就为该措施通过解释纳入知情同意规则提供了可能性。具体的解释方式可通过《个保法》第十三条第一款第一项的规定,即在取得个人的同意后,个人信息处理者可以处理个人信息。对此可以进一步引申为个人信息处理者可以通过采取经济激励措施以换取个人的同意。此外,第十五条规定的同意“撤回”同样可以适用于经济激励措施,个人可以随时主张撤回对个人信息处理者采取经济激励措施的同意。当然,上述法律规范内的解释论对经济激励措施这一全新制度的建构都仅止于框架性设计,具体细节仍尚存疏漏。因而,经济激励措施的适用场景、价格额度及计算方式、有效期限等内容需要在法律之外的行业标准中予以明确。
可为模式下除了上述具体的行为规则、推荐性标准之外,还可以考虑通过形成行业习惯的方式来引导数据服务企业开展数据合规体系建设。对此,个人信息处理者机构内部相关政策创建和起草过程中以首席隐私官(CPO)为核心,推动开展具有用户隐私友好性的软件、产品和服务设计,从而形成结构性隐私保护和问责制的做法已经在众多海外一流数据企业中得到推广。[38]未来我国也应当试图在组织和产品设计两个维度中融入个人信息权益保护的理念,可以考虑将个人信息权益保护的行业标准、技术规则内嵌至组织架构设计环节和技术研发环节,从而推出用户隐私体验更优越的数据产品和服务。不过,组织架构和技术研发设计中融入个人信息权益保护的理念在实践中并不容易:一方面,这一措施意味着技术研发和人员培训资金等成本的大量投入,这对于成长中的小型数据企业是一笔不小的开支;另一方面,组织内部的结构化升级往往会牵一发而动全身,企业内部原有的不同职能部门之间权力和职责分配的既有格局会被打破,这对于业已形成成熟组织架构的大型数据企业并非轻而易举。因此,上述措施要求很难成为对数据企业的强制性规范,甚至连行业标准都算不上,其只能借助数据产业对用户市场的依赖性而自发地形成一种理念上的倡导,以期在市场竞争中通过优胜劣汰逐渐成为一种行业的习惯性规范。
个人信息处理行为规则类型化是从个人信息处理者角度思考规则供给的必要路径,反映了当面临高度场景化的行为规制需要时,法律刚性的设置需要配合动态的行为规范辅助。信息处理技术的迅速发展在很大程度上超过了社会规范相对缓慢的演变,直接导致的后果就是对信息处理活动缺乏有效的规范,因此建立必要的软法规范显得尤为重要。[39]未来针对个人信息处理活动,需要形成强制性法律、推荐性标准和自发性行业习惯等多元共治的局面,在规则之外也需要将个人信息权益保护内嵌至组织架构设计环节和技术研发环节,形成对用户隐私体验友好的技术规则。从深层次讲,个人信息处理行为规则类型化的思想和实践体现了不同类型规范权重分配和协调共治的艺术。[40]