从个人控制与产品规制到合作治理
——论个人信息保护的模式转变

李 芊

一、问题的提出

2021 年11 月1 日，《个人信息保护法》开始实施。该法明确了个人信息的范围、个人信息主体的权利、信息处理者的义务及责任分配、主管部门的责任等内容，构建了个人信息保护制度的基本框架。个人信息保护模式要溯源到公平信息实践（Fair Information Practices，简称“FIP”）。20 世纪70 年代，美国卫生、教育和福利部门中的一个咨询委员会关注到美国政府大量处理个人信息的行为，提出了以公平信息实践五项原则来应对个人信息处理与运用中的不合理行为。该报告指出：“基于档案保存中的互惠观念，保护个人隐私需要档案保存者遵守公平信息实践中的基本原则。”〔1〕See U.S. Department of Health Education and Welfare, Records, Computers, and the Rights of Citizens Report of the Secretary’s Advisory Committee on Automated Personal Data Systems, The MIT Press, 1973.到了1977 年，公平信息实践进一步发展出了公开、个人访问、个人参与、收集限制、使用限制、披露限制、信息管理、问责等原则，〔2〕参见丁晓东：《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》，载《现代法学》2019 年第3 期，第97-98 页。初步确立了个人信息保护制度的基本框架，并逐渐发展成了现代信息隐私法的基础。〔3〕See Woodrow Hartzog, “The Inadequate, Invaluable Fair Information Practices”, 76 Maryland Law Review 952, 953-954 （2017）.

在以公平实践为基础的个人信息保护框架中，个人控制模式占据了重要地位。然而，一些国家、地区的个人控制要求不断异化，异化后的个人控制模式难以应对层出不穷的问题。本文从个人控制的限度出发，并结合产品规制这一替代方案的优点与不足，对个人信息保护模式进行重构性分析。本文首先指出个人控制模式的不足与危机，并指出产品规制这一替代性模式。其次，本文指出，产品规制虽然可以缓解个人控制的绝对化实践方式，但在实施过程中也面临若干问题：自身的正当性解释力不足；自身体系不完整、救济方式不明确；完全忽视了个人控制模式的可能优点。最后，为解决上述问题，本文引入合作治理的概念，试图结合个人控制与产品规制的优点，整合个人信息保护中的制度工具，从而为解决个人信息保护提供更为整全性的方案。

二、个人控制模式的危机

（一）个人控制模式的内容与异化

在公平信息实践原则的具体化实践中，最关键的内容是赋予主体“隐私自我管理”的权利，这是个人信息保护立法与实践的基本范式和方法。〔4〕See Paul M. Schwartz, “Privacy and Democracy in Cyberspace”, 52 Vanderbilt Law Review 1609,1659（1999）.隐私的自我管理理论也可称为“个人控制”，是指个人能够知晓、管理、选择个人信息的内容以及流向的能力。其主要依赖两方面的机制得以实现：赋权机制与同意机制。赋权机制并非赋予个人信息处理者与信息主体对等的权利义务，而是将权利的天平倾向个人信息主体。同意机制则以“告知—同意”为核心，要求信息处理者在处理个人信息时应当事先充分告知，经个人同意方能获取个人信息，而且个人有权撤回同意。另外，信息处理者在信息变更时需要重新取得个人的同意。

在实践中，以赋权机制及“告知—同意”为核心的同意机制逐渐成为个人控制模式中最主要的保护工具。然而，随着这种模式的不断发展与演化，“告知—同意”几乎成了个人信息保护的最重要工具。这种过度强调个人控制重要性的方式使得个人信息保护模式逐渐走向单一化与形式化，忽视了现实因素、风险控制和综合治理等问题。

当然，为了更好地实现控制效果，同意机制进行了一系列的优化。例如，信息处理者在获取同意时，可能会强制用户阅读隐私政策，或者突出告知用户重点条款等，这可能在一定程度上改善了真实同意率低的现象。但是这些做法依旧没有从根本上解决个人控制模式的内在缺陷，并不能达到最初预想的效果。面对日新月异的新技术与新问题，绝对化的个人控制框架已经出现了适用局限，难以承担起整个个人信息保护的重任。

（二）个人控制模式实施的主要限度

个人控制模式之所以被广泛运用，原因在于这一模式的简便易行与对企业的友好性。以欧盟《一般数据保护条例》（以下简称“GDPR”）为例，其颁布在世界范围内影响巨大，〔5〕See Paul M. Schwartz, “Global Data Privacy: The EU Way”, 94 New York University Law Review 771, 771 （2019）.相对于其他保护模式，个人控制模式更易于理解与掌握，也因此常常被模仿与移植。〔6〕See Ari Ezra Waldman, “Privacy Law’ s False Promise”, 97 Washington University Law Review 773,795（2020）.企业可以通过出具隐私政策的方式较为便利地获取个人信息，保持自身透明度。〔7〕See Anupam Chander, Margot E. Kaminski&William McGeveran, “Catalyzing Privacy Law”, 105 Minnesota Law Review 1733,1740 （2021）.但正如后文将要指出，这种形式化的借鉴其实是对欧盟GDPR 的片面化理解，忽视了GDPR 作为完整的个人信息保护系统的存在。〔8〕See Jacob Victor, “The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy”, 123 Yale Law Journal 513, 518-519 （2013）.同时，过于形式化与表面化的借鉴导致一些国家忽视了各自的差异，在实践上保持无差别模仿实施。〔9〕See Kenneth A. Bamberger & Deirdre K. Mulligan, “Privacy on the Books and on the Ground”, 63 Stanford Law Review 247,247 （2010）.这些因素使得个人控制模式大行其道，逐渐上升为隐私保护的替代方式并受到了很多批评。〔10〕See Elizabeth Edenberg & Meg Leta Jones, “Analyzing the Legal Roots and Moral Core of Digital Consent”, 21 New Media& Society 1804, 1804 （2019）; Woodrow Hartzog & Neil Richards, “Privacy’ s Trust Gap”,126 Yale Law Journal 908, 1180（2017）; Neil Richards & Woodrow Hartzog, “Taking Trust Seriously in Privacy Law”, 19 Stanford Technology Law Review 431, 431（2016）; Daniel J.Solove, “Privacy Self-Management and the Consent Dilemma”,126 Harvard Law Review 1880,1880（2013）.具体来讲，个人控制模式在实践中存在如下多方面问题。

一是同意机制的局限。个人控制的僵化或者过度使用（特别是对于同意机制的过度推崇）可能带来危险。同意机制会给大众带来一种错觉——对信息的控制可以替代隐私保护本身。〔11〕See Michael Zimmer, Mark Zuckerberg’ s Theory of Privacy, Washington Post, 2014.正如索洛夫教授所说，这种看法看似合理，实际上却是以“控制”的概念偷换了“隐私”或个人信息保护概念。数据与个人信息具有时间上的延展性与风险上的聚合性，而“告知—同意”只强调在某一时刻让个体对信息进行控制。在此种情形下，个人往往很难预判个人信息被收集后的去向，以及某一个人信息和其他信息聚合所产生的效应。〔12〕See Neil Richards & Woodrow Hartzog, “The Pathologies of Digital Consent”, 96 Washington University Law Review 1461,1461 （2019）.正如行为主义经济学的研究指出的，个人往往容易忽视那些非即时性、非重大性的风险。〔13〕See Christine Jolls, Cass R. Sunstein & Richard Thaler, “A Behavioral Approach to Law and Economics”, 50 Stanford Law Review 1471,1477（1998）.另外，信息主体常常容易受信息处理者的操控。很多实证研究指出，企业等信息处理者为了自己的利益，常常能够营造让个人轻易同意的环境。〔14〕See Daniel Schwarcz, “Beyond Disclosure: The Case for Banning Contingent Commissions”, 25 Yale Law& Policy Review 289, 314-315 （2007）.总而言之，上述个人控制模式中的种种因素结合，常常导致个体无法理性地做选择，阻碍了同意与控制发挥预期的效果。〔15〕See Neil Richards & Woodrow Hartzog, “A Duty of Loyalty for Privacy Law”, 99 Washington University Law Review 42-73 （forthcoming 2021）; Alessandro Acquisti, Laura Brandimarte & George Loewenstein, “Privacy and Human Behavior in the Age of Information”, 347 Science 509, 509 （2015）.沿着“告知—同意”绝对化的路径，个人信息保护可能会越来越形式化，逐渐滑向“形式备案制”，阻碍了其实质性保护。

二是权利救济执行不足。有观点认为，通过个人信息赋权可以更好地实现保护目的，〔16〕See Salome Viljoen, “Democratic Data: A Relational Theory of Data Governance”, 131Yale Law Journal 370, 573 （2021）.但这些权利却可能成为纸面上的权利，很难进行救济。个人信息保护的权利损害也存在维权难度大、损害证明难、损害不确定等众多问题。〔17〕See Daniel J. Solove & Danielle Keats Citron, “Risk and Anxiety: A Theory of Data-Breach Harms”, 96 Texas Law Review 737,737 （2018）; Julie E. Cohen, “Information Privacy Litigation as Bellwether for Institutional Change”, 66 DePaul L. Rev. 535 （2017）.面对较高的司法救济成本，当事人常常选择放弃积极维权，被动地承受侵害结果；或者即使提起诉讼，也难以赢得诉讼或者获得有效赔偿。因此，法律虽然形式上对个人进行信息赋权，但实际上却将风险留给了用户。如果用户没有谨慎关注并加强自我防范，那就很有可能承担信息泄露的风险与不利后果。〔18〕See Julie E. Cohen, “Examined Lives: Informational Privacy and the Subject as Object”, 52 Stanford Law Review 1373, 1423-1425 （2000）.

三是信任与社会关系维护的局限。以“告知—同意”为核心的个人控制模式的另一重要价值是实现企业对个人信息的合理利用，建构企业等信息处理者与个人之间的和谐关系。〔19〕See William McGeveran, “Riending the Privacy Regulators”, 58 Arizona Law Review 959, 973-974 （2016）.但是现实是，由于个人信息处理者与个人信息主体之间总是呈现出持续的不平等关系，个人信息主体在信息处理者面前可能会面临长期的不安全感与不信任。〔20〕参见丁晓东：《个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础》，载《中外法学》2020 年第2 期。正是基于二者信息能力的巨大差距，有学者指出，无论是人格权保护还是财产权保护，如果仅仅采取个人控制模式或个人主义的立场，很难从根源上解决这种持续不平等的关系。〔21〕See Salome Viljoen, “Democratic Data: A Relational Theory of Data Governance”, 131Yale Law Journal 573, 573 （2021）.过多的信息披露与个人控制，不但无法解决信息处理者与个人之间的信任危机，反而给个体带来信息过载的问题。〔22〕See Omri Ben-Shahar & Carl E. Schneider, “The Failure of Mandated Disclosure”, 159 University of Pennsylvania Law Review 647, 647 （2011）.

三、产品规制对个人控制模式的改进及局限

（一）产品规制理论产生的背景

个人控制的异化在某种层面挑战了传统的契约思维与个人权利本位思维。智能技术的发展、产业的集中与垄断，使得赋权的预防风险效果并不如其在工业社会中那么明显。另外，大数据时代给个人信息保护带来了新的挑战。由于网络空间的信息流通具有公共性，信息本身具有交叉与聚合的特征，个人信息保护的问题不再是一个纯私人化的问题，而带有一定公共属性。同时，科技与平台的崛起正在以知识的压倒性优势影响着物理与虚拟世界中的“权力”分配，人们的行为方式和生活方式都在信息化、数字化过程中被不断重建。〔23〕参见马长山：《迈向数字社会的法律》，法律出版社2021 年版，第275-277 页。政策制定者开始尝试在个人信息保护领域转变思维：既然个体难以对个人信息流通的风险进行有效预判，那就应当从强化信息处理者责任的角度出发，增强信息处理者的责任、加强风险防范措施与强化个人主体的合理预期建设，以此补充执行力不足的个人控制。〔24〕See Omri Ben-Shahar & Carl E. Schneider, “The Failure of Mandated Disclosure”, 159 University of Pennsylvania Law Review 647, 743 （2011）.

不同于个人控制模式，产品规制思路提倡从产品出发，以技术设计来实现隐私保护的功能。20世纪末，劳伦斯•莱斯格（Lawrence Lessig）教授提出，规制科技的方法除了法律，还包括准则、市场以及代码架构。〔25〕See Lawrence Lessig, Code: And Other Laws of Cyberspace, Version 2.0, Basic Books, 2006.代码理论的提出打破了传统，揭示了网络世界不再由单一的法律进行规制，而是转向各种规制要素的组合。同时，随着网络技术与互联网的广泛应用，学界开始出现了一种新的个人信息保护思路——Privacy by Design（简称“PbD”）。这一理论最初是由加拿大渥太华信息与隐私委员会前主席安• 卡沃基安（Ann Cavoukian）提出。安•卡沃基安认为PbD 的核心是：第一，积极预防风险，从产品源头融入价值与设计导向，以事后救济相辅助；第二，产品默认设置保护用户个人信息，用户无须消耗多余精力；第三，实现正和而非零和博弈，提倡价值主导、利益共存的理念。安•卡沃基安强调隐私设计为核心的法律框架，认为企业可以通过更好的设计实现个人信息保护，同时也能为产品自身创造市场竞争优势。〔26〕参见郑志峰：《通过设计的个人信息》，载《华东政法大学学报》2018 年第6 期，第53-54 页。至此，以价值为导向、以技术设计为手段的产品规制理论研究快速发展。2009年，在西班牙马德里召开的第31 届数据保护和隐私委员会国际会议专门成立了一个有关PbD 的工作小组。2010 年10 月，第32 届数据保护和隐私专员国际大会（ICDPPC）一致通过《隐私设计方案》，明确将隐私设计理论作为未来个人信息保护关键部分，鼓励各国数据保护机构和隐私机构践行该理论。

产品规制不仅是一种理论设想，也是一种制度实践。以欧盟GDPR 为例，它要求有信息处理行为的企业能够遵守数据处理原则并提供相关证明。〔27〕欧盟在《一般数据条例》原则部分规定了处理个人数据时的原则与控制者的责任。参见《一般数据保护条例》 第5条第2款。GDPR 在“控制者的责任”部分明确规定了“通过设计的数据保护”，要求控制者“应当”在决定处理方式时采取合适的技术措施。这就意味着，隐私技术设计不再仅仅是一项倡议，而上升为一项法律规定。〔28〕See Ira Rubinstein & Nathan Good, “The Trouble with Article 25 （and How to Fix It）: The Future of Data Protection by Design and Default”, 10 International Data Privacy Law 37 （2020）.换句话说，控制者有义务通过产品设计来进行数据保护，如果设计的部分存在不合法行为，那么执法者与监督者可以对其进行问责。但同时，GDPR 的规定非常简洁，在执行上依赖欧洲数据保护委员会（EDPB）的《行动指南》加以解释与实施。〔29〕欧洲数据保护委员会（EDPB）2020 年10 月20 日发布的《关于第25 条有关设计和默认数据保护的指南4/2019》。See EDPB, “Guidelines 4/2019 on Article 25 Data Protection by Design and by Default”, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf., accessed September 2, 2021.在美国，产品规制模式也同样具有较强影响力。在2010 年和2012 年的网络安全报告中，美国联邦贸易委员会（FTC）大幅扩展公平信息实践原则的内容，并阐述了PbD 的概念与内容。报告还提出公司应“将实质性隐私保护纳入其业务实践，例如数据安全、合理的收集限制、良好的保留和处置实践以及数据准确性”。〔30〕Stuart L. Pardau & Blake Edwards, “The FTC, the Unfairness Doctrine, and Privacy by Design: New Legal Frontiers in Cybersecurity”, 12 J. Bus. & Tech. L. 227 （2017）.这四项规定也成了美国产品规制中最重要的原则。

（二）产品规制可能产生的风险与局限

产品规制思路可以弥补个人控制模式的不足，在实践中较为灵活，但它在理论与实践领域也面临一些挑战与难题。

第一，产品规制的正当性解释力不足。在大数据与信息时代，技术设计看似是私人选择，但实际已经成为公共问题，技术决策会对社会产生深刻的影响。〔31〕See Lucas D. Introna & Helen Nissenbaum, “Shaping the Web: Why the Politics of Search Engines Matters”,16 Info. Soc’y 169-185 （2000）.因此，对社会有深刻影响的技术不应该被私人化，而应作为公共决策的一部分。〔32〕See Trevor J. Pinch & Wiebe E. Bijker,“ The Social Construction of Facts and Artefacts: Or How the Sociology of Science and the Sociology of Technology Might Benefit Each Other”,14 Social Studies of Science 400（ 1984）; Kenneth A. Bamberger & Deirdre K.Mulligan,“ Privacy on the Books and on the Ground”, 63 Stanford Law Review 247, 287-289（ 2011）.代码技术的存在已经对现有法律体系发出了挑战，甚至在某种程度上已经在网络世界充当了“法律”的作用，而制定技术标准的机构在一定程度上类似于立法机构。〔33〕See Nick Doty & Deirdre K. Mulligan,“ Internet Multistakeholder Processes and Techno-Policy Standards: Initial Reflections on Privacy at the World Wide Web Consortium”, 11 J. Telecomm. & High Tech. L. 135, 157（ 2013）.当一个被价值引导的新设计成为新的标准时，应当受到公众参与、审议、公开、问责等程序的保护。〔34〕See Karen Yeung,“ The Forms and Limits of Choice Architecture as a Tool of Government”, 38 Law & Policy 186, 195（ 2016）.从这个层面上来说，如果我们不能为技术设计制定适当的规则，在缺乏公众参与程序时就做出决策，那么可能会牺牲规则的正当性与重要的社会价值。〔35〕See Jack M. Balkin,“ Information Fiduciaries and the First Amendment”, 49 UC Davis Law Review 1183（ 2016）.因此，重要的技术设计需要不同利益相关者的共同参与，并以有意义的方式渗透到设计和政策的所有阶段。〔36〕See Kenneth A. Bamberger & Deirdre K. Mulligan,“ Privacy on the Books and on the Ground”, 63 Stanford Law Review 247,287-289（ 2011）.

第二，产品治理框架与体系不够清晰。理论上，产品规制虽然在某些领域已经立法，但仍缺乏配套的制度与体系。在实践中，产品规制在运行过程中由于相对灵活，在准确性与安定性方面相对欠缺。此外，产品规制无法完全替代个人控制的作用。产品规制主要用于弥补个人控制模式的不足，但实践中的产品规制与个人控制衔接较差，需要进一步协调。另外，产品规制的救济方式也较为模糊，以产品设计理论看待隐私与个人信息保护，必须要明确救济方式才能实现保护的目的。著名隐私学家伍德罗•哈佐格（Woodrow Hartzog）基于产品规制理论设计了一幅隐私保护实践蓝图，他提到产品规制的对象包括欺诈设计、滥用设计和危险设计。〔37〕See Woodrow Hartzog, Privacy’s Blueprint: The Battle to Control the Design of New Technologies, Harvard University Press,2018, pp. 133-156.通常而言，启动相关救济途径的方式为提起产品侵权之诉。但是，隐私产品侵权这种新型损害与传统的形式存在差别，隐私产品侵权一般表现为一种微型、无形、大规模的风险与损害。〔38〕See Danielle Keats Citron,“ Reservoirs of Danger: The Evolution of Public and Private Law at the Dawn of the Information Age”, 80 Southern California Law Review 241（ 2007）.传统的司法实践无法识别出这些“新型损害”，这就导致产品规制的救济途径十分模糊。〔39〕See Julie E. Cohen,“ Information Privacy Litigation as Bellwether for Institutional Change”, 66 DePaul L. Rev.（ 2017）.也有学者提出可以参考环境保护与消费者保护中的公益诉讼制度，但是在实践方面也不够清晰明了。〔40〕See Dempsey James et al.,“ Breaking the Privacy Gridlock: A Broader Look at Remedies”, https://ssrn.com/abstract=3839711.,accessed May 20, 2021.

第三，强制规制与企业自治之间难以平衡。产品规制模式主张重视隐私产品的源头设计，这在实践中伴生着风险：当监管力量不足时，企业会不受管控，侵占规制领域并过度分享国家的权力；而当监管过于强势时，企业与平台自身的创新性发展就会受到限制。欧盟通过GDPR 为产品设计设立了底线。欧盟要求信息控制者要以有效的、符合原则的方式部署设计，并且他们要能够证明其已经实施了用于保护数据主体权利与数据安全的专门措施。同时，这种证明必须是具体的、有明确依据的。〔41〕具体表现为，技术的目的必须能够作用于特定的场景之中，如处理的范围、目的等。除此之外，企业还需要通过具体明确的报告来证明他们设计的有效性，如报告能够说明经过设计之后，用户投诉减少了或者个人信息主体能够更方便实现权利等。另外，企业还可以通过专家评估、绩效评估等来证明设计的有效性。而美国主要通过消费者保护进行兜底，只要不损害消费者利益的设计都是可以允许的，设计监管门槛比较低。两者各有侧重，前者比较注重合法性与社会秩序，后者更看重自由交易与公共利益。

综上，产品规制模式的实践可以弥补个人控制模式的短板，平衡个人信息保护与数据流通两个重要方面，因而焕发出强大的生命力。相比单纯的“个人控制”模式，产品规制模式的引入可以起到更好的风险预防作用，其风险防控与事前保护思维对于规制复杂精密的、以科学技术为背景的信息技术行业具有重要意义。同时，产品规制开始尝试以规制重要隐私设计的方式来承担个人权利保护的部分功能。当然，其局限性也非常明显。如上所述，产品规制的正当性问题并没有得到解决；产品规制与个人控制协调不足、产品规制的救济方式模糊不清；在产品规制模式下，强制监管与企业自治之间的矛盾也未得到缓解。

四、基于合作治理的个人信息保护

（一）合作治理模式的引入

为了解决个人控制模式与产品规制模式的不足，同时整合二者的优点，可以引入合作治理的概念。合作治理可以追溯到20 世纪50 年代，〔42〕See Orly Lobel, “The Renew Deal: The Fall of Regulation and the Rise of Governance in Contemporary Legal Thought”, 89 Minn. L. Rev. 342,342-344（2004）; Neil Gunningham & Joseph Rees, “Industry Self-Regulation: An Institutional Perspective”, 19 Law &Policy 363, 363-366 （1997）.这一治理模式提倡正式制度与非正式制度共同作用，提倡协商，而非强制管制。在合作治理中，政府的职能除了命令与控制，还包括与其他部门的联合行动。与此同时，20 世纪末，世界银行及其他相关组织在发展非政府组织和民间治理力量时提出了合作治理，即不同利益参与者合作互补的治理模式，以实现社会效益的最大化。在学术层面，朱迪•弗里曼（Jody Freeman）等教授对合作治理进行了梳理，特别对环境法领域的合作治理进行了深入研究。〔43〕参见 ［美］朱迪•弗里曼：《合作治理与新行政法》，毕洪海、陈标冲译，商务印书馆2010 年版。近年来，一些学者也开始聚焦个人信息领域的合作治理经验，将其与环境保护中的合作治理经验进行参照和比较。〔44〕See Dennis D. Hirsch, “Going Dutch? Collaborative Dutch Privacy Regulation and the Lessons it Holds for U.S. Privacy Law”, 2013 Mich. St. L. Rev. 83,96（2013）; Dennis D. Hirsch, “Protecting the Inner Environment: What Privacy Regulation Can Learn from Environmental Law”,41Georgia Law Review 1（2006）; Dennis D. Hirsch, “The Law and Policy of Online Privacy: Regulation, Self-Regulation, or Co-Regulation?”, 34 Seattle University Law Review 439 （2011）.

以欧盟的数据保护为例，GDPR 在一定程度上践行了公私之间的合作治理。GDPR 主要由两部分制度组成：个人控制制度与企业问责制度。一方面，GDPR 在个人控制部分规定了信息处理的合法性基础与基本权利，如访问权、更正权、删除权（即“被遗忘权”）、数据携带权、反对权以及与自动决策有关的权利。另一方面，GDPR 给企业规定了重要的义务与责任，旨在指导企业合规标准，推动企业做出基于权利保护的决策与风险评估。〔45〕例如数据保护机构（DPA）有权命令公司提供给他们执行任务所需的任何信息，并进行数据保护审计。在企业进行数据处理（可能对自然人的权利和自由造成高风险）时必须进行数据保护影响评估。对于高风险数据处理活动，公司必须与监管机构分享影响评估结果并咨询监管机构。因此，欧盟GDPR 非常注重通过细化企业的义务去影响该企业的合规习惯，进而把数据保护融入企业文化之中。GDPR 立法看似把重心全部放到了个人控制之上，但实际上强调内部协调工作，即“立法者通过影响公司合规的内容与过程，围绕数据保护的权利与价值重新确定实践与保护的优先次序”。〔46〕Margot E. Kaminski, “Binary Governance: Lessons from the GDPR’ s Approach to Algorithmic Accountability”, 92 Southern California Law Review 1529, 1585 （2019）.另外，GDPR 通过助推公司“在企业系统层面承担责任，把有意义的信息反馈给监管者，助力于新的权利形成”。〔47〕Margot E. Kaminski & Gianclaudio Malgieri, “Algorithmic Impact Assessments Under the GDPR: Producing Multi-Layered Explanations” ,11 Int’l Data Priv. L. 125 （2021）.总之，欧盟GDPR 试图以“内部治理”来推动“外部治理”的实现，进一步影响欧洲甚至全球的隐私技术发展与社会组织的基础设施建设。

从欧盟的例子看，合作治理理念提倡兼容并包、软硬搭配，整个过程是协商有序的，而非控制僵硬的。〔48〕参见罗豪才、宋功德：《认真对待软法——公域软法的一般理论及其中国实践》，载《中国法学》2006 年第2 期。合作治理呈现以下特点：第一，“以解决问题为导向”，要求拥有知识的各方利益主体共享信息，共同围绕相关问题的设计、实施与解决进行审议；〔49〕参见 ［美］朱迪•弗里曼：《合作治理与新行政法》，毕洪海、陈标冲译，商务印书馆2010 年版。第二，受到影响的不同利益集团共同参与到不同阶段的决定当中，在过程中实现民主价值；第三，主导者能够通过连续监控与评估，及时得到实施过程中的反馈；第四，提倡丰富监督和实施方式，包括自我规制与披露、社会监督和第三方鉴定等。行政机关可以充当监督者或协调者，并在必要的时候提供技术资源、资金扶持等。

以数据治理思路来整合个人信息保护框架，既能强化产品规制的正当性，又能处理好不同制度之间的衔接。〔50〕See Mike Ananny & Kate Crawford, “Seeing Without Knowing: Limitations of the Transparency Ideal and Its Application to Algorithmic Accountability”, 20 New Media & Society 973, 983-984 （2018）; Maayan Perel & Niva Elkin-Koren, “Accountability in Algorithmic Copyright Enforcement”, 19 Stan. Tech. L. Rev. 473,529-531（2016）; Margot E. Kaminski, “Binary Governance: Lessons from the GDPR’ s Approach to Algorithmic Accountability” , 92 Southern California Law Review 1529 （2019）; Lobel Orly, “Be Renew Deal: Be Fall of Regulation and the Rise of Governance in Contemporary Legal Thought”, 89 Minnesota Law Review 342, 663 （2004）.在合作治理中，个人控制与产品规制并非水火不容，而是体现为不同的治理思路。前者从个人权利出发，注重个人信息保护的合法性与人格尊严。后者从产品出发，更关注企业责任与社会利益。换一个角度说，合作治理的目的不是对个人控制与产品规制的纯粹批判与取代，相反，合作治理更注重两者优点的结合，是一种思路与方法论上的整合与改进。本文尝试提出以合作治理来分析个人信息保护领域的不同制度、方法与工具，并以这种思路对个人信息保护框架重新进行梳理与整合。

（二）个人控制的程序性再生

上文指出，如果法律制度仅依靠在个人权利层面通过解决偶然损害的方式保护个人信息，不仅难以解决当下问题，还会导致问题不断恶化。〔51〕See Bart van der Sloot & Sascha van Schendel, “Procedural Law for the Data-driven Society”, 30 Information & Communications Technology Law. 304, 304-306（2021）.但需要强调，这并不代表个人控制没有任何价值。个人控制不仅可以作为实体性价值存在，更能以程序性价值助力于个人信息保护。

以数据治理效果而言，个人控制的程序价值体现在：第一，以程序约束信息处理者。平台企业与信息处理者的“超级权力”可以实现特定领域内的规则制定与社会资源分配。为了防止“权力的滥用”，平台算法与处理信息的行为需要受到审查与监督，而个人控制可以在程序上为其提供约束。〔52〕参见陈景辉：《算法的法律性质：言论、商业秘密还是正当程序？》，载《比较法研究》2020 年第2 期，第129-130 页。第二，以程序保护个人信息主体。当处理个人信息的行为有法律规定的正当程序做背书时，信息处理者的行为更具有正当性与确定性。这也有助于缓解个人信息主体对处理者的敌对情绪，促进数据良性流通。第三，以程序优化执行。相比于实体的法，程序之法能够被不断细化执行、合理分配职能。所以从某种程度上来说，把个人信息保护法理解为 “程序的法”而不是“实体的法”更具有现实的保护意义。〔53〕See Chris Jay Hoofnagle et al.,“ The European Union General Data Protection Regulation: What it is and What it Means”, 28 Info. & Commc’ns Tech. L. 65, 67（2019）.

以个人信息主体而言，个人控制的程序性价值在于能够增加主体预期，方便他们基于权利类型化与同意机制中的具体程序步骤直接向信息处理者主张权利，这在一定程度上减轻了繁重的司法负担。同时，个人也可以通过自行投诉或者依赖非官方组织投诉的方式向监管者反馈，监管者基于反馈展开对不合法信息收集行为的调查。〔54〕See Omri Ben-Shahar & Lior Jacob Strahilevitz,“ Contracting Over Privacy: Introduction”,43 Journal of Legal Studies 1, 1-11（2016）.

就个人信息处理者而言，这种方式可以通过强化个人信息处理者的责任，实现个人信息保护。因为“只有将责任伦理嵌入数据收集、流通与处理的每一个环节，以此倒逼算法治理，通过个人数据实现算法治理才能真正起到实效”。〔55〕丁晓东：《论算法的法律规制》，载《中国社会科学》2020 年第12 期，第156 页。在治理过程中，除了政府规定的严格责任，个人信息立法也应该同时关注协同治理的规则。在这个过程中，政府与企业可以通过持续的风险评估来保护个人权益，这比单纯的个人控制模式更具有灵活性。〔56〕See Claudia Quelle,“ The‘ Risk Revolution’ in EU Data Protection Law: We Can’t Have Our Cake and Eat It, Too”, R Leenes et al. eds., Data Protection and Privacy: The Age of Intelligent Machines, Hart Publishing, Forthcoming,https://ssrn.com/abstract=3000382.,accessed January 15, 2022.

（三）以关系建构作为合作治理的核心

在个人控制时代，个人权利本位观念深入人心，隐私保护与个人信息被普遍认为是一个有关权利保护的问题。但是，个人信息权利本质上是一种关系性权利。早在1989 年，耶鲁大学法学院前院长罗伯特•波斯特（Robert Post）就在书中讨论了有关隐私属性的相关问题。他认为，虽然隐私权表面呈现的是个人权利的样态，但是本质上却是社会群体所承认的特定的社会规范与文明规则，具有一定的社会关系属性。〔57〕See Robert C. Post,“ The Social Foundations of Privacy: Community and the Self in the Common Law Tort”, 77 California Law Review 957（ 1989）.海伦•尼森鲍姆（Helen Nissenbaum）进一步提出，隐私的保护是由社会规范与环境所决定的，要在不同场景之下实现差别式保护。〔58〕See Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009;Salome Viljoen,“ Democratic Data: A Relational Theory of Data Governance”, 131 Yale Law Journal 573（ 2021）.朱莉•科恩（Julie Cohen）也指出，隐私应该尽量脱离自由主义的概念，在社会建构中不断完善。〔59〕See Julie E. Cohen, Between Truth and Power: the Legal Constructions of Informational Capitalism, Oxford University Press,2019.越来越多的学者开始认同隐私保护与个人信息保护应该放在一个动态、沟通的环境之中，而非静态、孤立与绝对化之中。

此外，关于信义义务的研究也与合作治理具有内在逻辑的一致性。〔60〕See Ariel Dobkin,“ Information Fiduciaries in Practice: Data Privacy and User Expectations”, 33 Berkeley Technology Law Journal 1, 10-12（ 2018）.耶鲁大学法学院的杰克•巴尔金（Jack Balkin）教授曾提出信息信托（Information Fiduciaries）的概念，信息处理者作为信息受托人应当承担忠诚义务和谨慎义务。〔61〕See Lina M. Khan & David E. Pozen,“ A Skeptical View of Information Fiduciaries”,133 Harv. L. Rev. 487, 498-499（ 2019）.他认为，主体之间信任关系的建设可以挽回个人对于平台的信任，同时增强平台的社会责任感。纽约大学法学院的阿里•瓦尔德曼（Ari Ezra Waldman）教授也认为，构建在信任基础之上的隐私观更能恰当地为信息隐私划定边界。〔62〕See Neil Richards & Woodrow Hartzog, “Taking Trust Seriously in Privacy Law”, 19 Stanford Technology Law Review 431,431-472 （2016）; Ari Ezra Waldman, “Privacy as Trust: Sharing Personal Information in a Networked World”, 69 University of Miami Law Review 559, 560-590 （2015）.伍德罗•哈佐格（Woodrow Hartzog）与尼尔•理查德（Neil Richards）教授更是在信任关系之上建立了一套完整的信息隐私保护蓝图。〔63〕See Woodrow Hartzog, Privacy’s Blueprint: The Battle to Control the Design of New Technologies, Harvard University Press,2018, pp.100-102.

在实践中，信任与信托理论在实践中也影响广泛。例如2021 年5 月18 日，纽约参议院消费者保护委员会通过的《纽约隐私法案》（NYPA）阐述了“数据受托人”的概念与细则。〔64〕这一草案具体规定了信息控制者作为数据受托人不应以伤害消费者的方式使用消费者的个人信息，即不可以损害消费者的身体、经济、心理或声誉利益的方式使用消费者的个人信息。相比《加利福尼亚消费者隐私法案》（CCPA）和《弗吉尼亚消费者数据保护法案》（VCDPA），《纽约隐私法案》创造了一种较为不同的信息隐私法。这部草案由纽约州参议员凯文•托马斯（Kevin Thomas）提出，来源：https://legislation.nysenate.gov/pdf/bills/2019/S5642.，2021 年10 月20 日访问。除了立法上的新动向，国会同脸书创始人扎克伯格约谈时多次提及了巴尔金的信息信托理论。经过多次约谈与听证会后，两方开始试图达成共识——基于信任关系的考虑，脸书应当对用户的隐私利益负责。〔65〕See Nathan Heller, “We May Own Our Data, But Facebook Has a Duty to Protect It”, https://www.newyorker.com/tech/annalsof-technology/we-may-own-our-data-but-facebook-has-a-duty-to-protect-it., accessed September 28, 2021.由此可见，美国开始在个人信息保护领域尝试运用信息信托保护消费者的利益，开始注重维护个人信息主体与信息处理者之间的信任关系。在我国，我国立法者在《个人信息保护法（草案）》中曾经一度引进信息信托理论，但由于这一理论过于学术没有保留。但从终稿来看，《个人信息保护法》还是在个人信息处理原则部分加入了“诚信”这一原则，保留了信任与信息信托理论的核心理念。

（四）不同问责机制的合作协调

传统观点认为，监管者只有依赖强制性规范才能更好地保护个人信息。但是如果政府能协调处理好政府强制规制与企业自我规制之间的关系，就能为个人信息保护提供另一替代性的问责与监管方案。现代理性政府的构建既需要强制力与远见，也需要外部专家知识与问责机制。在实践中，政府面对新技术常常无法做非常准确的风险与收益研判，只能采取谦抑姿态和审慎包容的策略。因此，涉及技术的立法与司法常常需要走一条“先了解技术，然后才立规”的路径。〔66〕参见马长山：《数字社会的治理逻辑及其法治化展开》，载《法律科学（西北政法大学学报）》2020 年第5 期，第12 页。在这个意义上，合作治理提供了一种可以理性实现目标的可能途径。一方面，合作治理可以为政府提供具有权威性的刚性治理方式，〔67〕See Maayan Perel & Niva Elkin-Koren, “Accountability in Algorithmic Copyright Enforcement”, 19 Stan. Tech. L. Rev. 473,529-531 （2016）.例如政府的执法机构与完整问责制实施。〔68〕See Margot E. Kaminski,“ Binary Governance: Lessons from the GDPR’s Approach to Algorithmic Accountability”, 92 Southern California Law Review 1529（ 2019）.另一方面，政府可以通过与企业持续对话保持专业知识的敏锐度。例如，政府通过与企业协商的内部程序和评估手段来减轻个人信息处理时的风险，决定企业“什么时候必须要遵守个人信息相关权利，什么时候可以合法地援引例外情况等”。〔69〕Margot E. Kaminski & Gianclaudio Malgieri,“ Algorithmic Impact Assessments Under the GDPR: Producing Multi-Layered Explanations”, 11 International Data Privacy Law 125（ 2021）.

总之，构建一套完整的责任机制可以实现权威性与灵活性之间的协调与平衡。问责机制需要贯彻于规则制定、实施与执行三个阶段，并在这三个阶段上随时反馈与持续对话。〔70〕See Daniel Schwarcz,“ Redesigning Consumer Dispute Resolution: A Case Study of the British and American Approaches to Insurance Claims Conflict”, 83 Tulane Law Review 735, 770-779（ 2009）.多元责任机制的设计可以实现不同监督阶段的相互反馈，确保个人信息流通与算法决策最终可以受到中立的、非各方利益群体的有效问责与监督。〔71〕See Maayan Perel & Niva Elkin-Koren,“ Accountability in Algorithmic Copyright Enforcement”, 19 Stan. Tech. L. Rev. 473,529-531（ 2016）.

然而为了达到个人信息治理的目的，政府除了建立严格的责任制之外，还可以成为“助推官”，〔72〕参见［ 美］理查德•塞勒、卡斯•桑斯坦，《助推：如何做出有关健康、财富与快乐的最佳决策》，刘宁译，中信出版社2018年版。积极倡导企业发展以用户为中心的技术和隐私设计，使个人信息处理者能够承担更多的社会责任。〔73〕See Matthew Harding,“ Trust and Fiduciary Law”, 33 Oxford Journal of Legal Studies 81, 83（ 2013）.在合作治理中，政府不仅承担着裁判者的作用，还承担着协调者与物质提供者的职能，助推各方利益群体积极参与到个人信息保护中。

在合作治理模式下，个人信息保护中的不同模式都可以发挥其作用。就个人控制模式而言，由于个人控制在合作治理模式下并非绝对性权利，而是成为一种助推企业自我规制、督促政府规制的模式，因此很多个人控制模式都能重新发挥作用。例如，以上文提到的“告知—同意”为例，个人信息的隐私政策可以有效激发企业建立内部合规制度，促使企业内部的各个部门重视个人信息保护，发展出协调一致的企业内控机制。而对于社会与政府而言，它们也可以通过隐私政策而对企业进行监督与执法。

就产品规制模式而言，这一模式强调突出设计的作用，企业除了要遵守保护的最低标准，还可以发展和践行设计的理念。在管理层面上，企业可以针对特定行业和产品实施特定设计，并对风险与成本进行把控。加强企业的自我规制不仅有助于优化产品质量与设计，还能发展差异化的自我规制，增强企业的竞争力。合作治理模式提倡不同利益集团的充分参与，参与的方式多体现在预防与监管之上。信息处理者可以通过数据保护官、审计与影响报告的方式协同责任部门对相关问题进行有效探讨，同时向责任部门说明情况。相比于之前的方式，这种方式更能应对个人信息保护的复杂环境，缓解当局专业人才不足的现象。

此外，第三方“守门人”也可以成为合作治理的重要力量。在个人信息保护中，第三方执行公司（enforcer-firm）逐渐崛起，成为合作治理的重要工具。决策者与监管者开始依赖非官方公司作为控制产品准入市场的“守门人”。〔74〕例如：Facebook 和谷歌以及联想等大型科技公司已经基于FTC 发布的第三方监管命令做出了政策调整，特别是Facebook。See Facebook Platform Policy, Facebook, https://developers.facebook.com/terms/dfc_platform_terms/., accessed December 29,2021.在美国，监管主要包括监督模式（supervision/monitoring model）与调查模式（investigation model），无论哪种模式，都需要依赖第三方的协助达成公私合作。〔75〕具体而言，监督模式的主要内容包括：政府监督员可以持续（通常是每天）观察与监督被监管实体，可以在投诉和调查之外采取各种行动。人事方面，他们通常会采用机构内或者外聘的专业人员进行监督。不同于监管模式，调查模式主要依赖于外部投诉或者对不正当行为的怀疑。合作模式的目的是让双方把精力集中在解决问题、纠正错误之上，而不是为了惩罚。无论审计还是企业合规，政府通过与其合作从产品规划阶段开始干预，进一步影响受监督的组织改善内部管理。政府监督员的任务从书面审查转移到协助与确保企业内部合规部门和第三方守门人按要求完成工作，换句话说，被监管企业的合规团队与外部第三方公司逐渐成了政府监督的代理人。〔76〕See Dempsey James et al., “Breaking the Privacy Gridlock: A Broader Look at Remedies”, https://ssrn.com/abstract=3839711.,accessed December 25, 2021.这些非正式监督方式中有很多可供细化与实施的工具，例如：专家监督、影响评估监督、审计监督、数据保护官（DPO）监督等等。〔77〕See Mike Ananny & Kate Crawford, “Seeing Without Knowing: Limitations of the Transparency Ideal and Its Application to Algorithmic Accountability”, 20 New Media & Society 973, 983-984 （2018）.

五、结语

近年来，个人信息保护已经成为全球性难题。传统的个人控制框架不仅不能有效应对目前出现的种种困境，也难以应对未来呼之欲出的新形势、新问题，其保护模式亟须转变。作为个人控制模式的替代，产品规制模式初露锋芒，但是其存在的问题亦非常明显。综合而言，个人控制从法律个人主义出发，产品规制从规制对象出发；两者并非平行竞争关系，只是规制思路不同，所以在实践效果上各有优劣。本文提出的合作治理思路致力于协调个人控制与产品规制。一方面，个人控制的程序性价值再生不仅能够维护个人隐私与尊严，还能够为产品规制与政府规制提供正当性基础与可具体执行的步骤。另一方面，监管者、信息处理者与第三方“守门人”以持续对话的方式展开治理，这一个人信息保护模式有利于优化平台管理、促进科技创新、维护社会关系等。

从规范层面来看，信息保护框架可以在不同机制之间建立连接，形成一套完整的个人信息保护方法。我国初步形成的个人信息保护框架涵盖的范围包括《民法典》 中的个人信息权利或权益内容、《个人信息保护法》中个人信息的范围、个人信息处理过程的原则与规则、个人信息主体的权利、个人信息处理者的义务以及相关职责部门的职责等，这为合作治理奠定了基础。从宏观层面上看，个人信息保护的合作治理也非常契合我国的国家治理能力与社会治理现代化的要求。一方面，我国作为后发的现代化国家，在社会治理上也出现了很多自上而下、观念先于实践的建构型治理模式。〔78〕参见张龔：《软法与常态化的国家治理》，载《中外法学》2016 年第2 期，第321-322 页。另一方面，我国执政党具有很强的组织动员能力和社会整合能力。整体的治理观可以整合碎片化的、冲突的部门权力，引导国家与社会走向高效协作的共同治理道路。〔79〕参见黄文艺：《中国政法体制的规范性原理》，载《法学研究》2020 年第4 期，第18 页。总而言之，借鉴与引入合作治理模式有助于完善我国个人信息保护制度实施，进一步实现数据领域的良法善治。