系统论观察下的个人信息处理风险及其规制

赖鸣华（山东大学 法学院，山东 青岛 266237）

一、问题的提出

然而这一规制体系成效有限。工信部至今已经通报了24批违反个人信息处理规则的App名单。即使是在《个人信息保护法》全面生效的2022年，仍有包括百度、网易等互联网巨头旗下软件在内的上百款App因未履行相应风险规制义务（如未经用户同意收集个人信息）侵害用户权益而被通报。与此同时，企业被通报后的整改意愿也相当低迷。以数月前因疑似泄露学生信息而成为众矢之的的超星学习通为例证，在有关人员爆料其用户信息被公开售卖之前，超星学习通曾两次因为“违规使用个人信息”而被通报，并被国家信息安全漏洞共享平台明确指出存在信息泄露漏洞。可见即便在法律规范中建构了相对完备的风险规制体系，其也不免陷入德国社会学家卢曼所说的“原则完全正确，但企业根本听不进去”的窘境。

现有研究大多从规制体系中的某一制度切入并主张相应的解决方案，但都未能在社会整体层面剖析这一体系的不足之处。与传统科技风险不同，个人信息处理风险更大程度上归因于互联网企业的决定而非科学认知的有限性。因而法律对这一风险进行规制时需要直面社会之复杂性。卢曼的社会系统理论则为理解个人信息处理风险规制过程中的复杂现象提供了全面且强有力的解释工具，并为我们指明可能的改进方向。

二、个人信息处理风险的特殊之处

我国行政法学界所探讨的“风险”大都是指由科技发展所致并且损害结果在科学认知上存有不确定性的风险[1]。这些风险虽然是由人们的重大决策所引发的（如批准某种转基因食品上市），但其本质上根源于科学认知的有限性（如对所批准的转基因食品的某一负面效果缺乏充分的科学认知）[2]。而与这类典型风险相比，个人信息处理风险在归因与规制重点上表现出独特性。

（一）更大程度上归因于企业决定

通过梳理学者们的相关分析可发现，个人信息处理风险带来的损害尽管对于用户来说仍是不确定的，但与核能、转基因食品等典型风险不同，其更多地归因于企业的决定而非技术认知上的有限性[3]。虽然在个人信息处理过程中也有可能遭遇因“聚合效应”、漏洞攻击等技术原因所导致的损害，但从实践中来看，个人信息处理风险损害后果主要表现为个人信息的泄露或非法使用。因此，用户恐惧的不是因技术本身走向不可控而导致损害，而是畏惧信息处理者走向不可控进而利用信息处理技术作出特定决策，从而给用户带来不确定的损害。如果说典型风险是风险决策者、风险受害者、监管机构三方都知道其存在但又无法确证其是否会发生的损害，也即知道的不确定性，那么个人信息处理风险则是风险受害者及监管机构不知情但风险决策者知情且危害结果较为确定的损害，也即不知道的确定性。

但也正如德国社会学家贝克所言，社会运动的驱动力已经从阶级社会的“饿”演化为风险社会的“怕”[4]。而公众的担忧不仅来源于由科技发展的不确定性所引发的典型风险，也来源于诸如个人信息处理风险一般结果相对确定的大规模损害。这类损害不属于严格意义上的风险，但其同样将公众的安全置于高度不确定的状态因而其引发的焦虑也不容忽视。而保障安全不仅是国家固有的承诺，还逐渐成为国家在风险社会中的中心任务[5]。所以即便前述不知道但确定的大规模损害不属于典型的风险问题，但为回应公众的焦虑，国家也会将其纳入风险规制的范畴。

（二）主要规制路径在于企业决定的引导机制

由于典型风险被归因于科技认知的有限性，所以贝克主张应当经由“科学—技术—经济现代化的亚政治系统”对其予以规制，也即通过在司法、公共领域等亚政治核心论坛中保障公众对重大决策的参与来公正分配风险[4]。在知识水平受限的情况下，开展商谈民主也是我国最重要的风险规制途径之一[6]。但由于个人信息处理风险归因于企业决定，而这些决定又渗透在企业日常运作之中，因此其无法像影响科技发展进程的重大决策风险一样，在事前迅速捕获公共领域的关注，所以公众在一定程度上丧失了风险交流的空间，风险评估也更多地成为风险决策者的独角戏。故个人信息处理风险的主要规制路径应当有所转变。

与贝克不同，卢曼认为风险就根源于决定本身，因为是决定（或者说是选择）构筑出了时间维度，进而开启未来的损害可能性[7]。在此基础上卢曼进一步作出区分，其将风险归因于自身决定，将危险归因于外部环境中的决定[7]。其进而指出由风险/危险这对区分引申而来的决策者/受波及者区分充分体现了现代社会的分裂性，而公众参与、风险沟通等都无法弥补决策者与受波及者之间沟通的不信任。因此仅仅解释技术本身是不够的，应当把关注点聚焦于触发性原因的人或组织（即决定）[7]。故应当通过引导企业作出保护个人信息的决定来规制个人信息处理风险。

当电线暗配管、电缆穿越防护密闭隔墙或密闭隔墙时，应在墙两侧设置密闭盒，且盒内不得有接线头。该盒穿线后应密封，并采用厚3 mm钢板制作的盖板。

三、现有风险规制体系的问题所在

现有个人信息处理风险规制体系的失败也正在于未能引导企业作出保护决定。企业为何会一而再再而三地违反个人信息处理规则，让个人信息处理风险一直盘旋在数字时代的上空？卢曼的社会系统理论提供了强有力的解释框架。卢曼认为现代社会由功能分化的社会子系统组成。政治、法律、经济等社会子系统之间界限清晰，互为环境。各自凭借独有的二元运行符码在系统内部形成运作封闭的沟通循环网络[8]。虽然各社会子系统在规范上是封闭的，但在认知上是维持开放的。社会系统通过沟通来进行运作，但沟通不足以打通诸系统之间的规定性。沟通是由信息、通知、理解三种选择所组合而成的选择体[9]，而风险则与沟通中的选择（或者说决定）息息相关[7]。

在个人信息保护中，容易引发不确定性损害的行为包括违规收集用户个人信息、处理敏感个人信息等。《个人信息保护法》针对上述行为搭建了以个人信息保护影响评估为风险评估、以企业合规为风险管理、以知情同意原则为风险交流的风险规制框架。然而借由卢曼的社会系统理论可知晓现有风险规制体系中的影响评估和合规义务难以引起企业“共振”，知情同意原则也无法在企业与用户之间达成风险共识。

（一）影响评估和合规制度难以引起企业“共振”

风险评估是一个利用数据和科学理论估算发生不良后果的可能性、评价可能损失之价值大小的活动。由于数据具有高度流通性，个人信息处理过程中的风险在所难免。全有或全无的传统二元界分必然不利于个人信息的合理利用，因此对个人信息处理中的风险进行评估并根据风险等级采取相应程度的管理措施已经成为国际共识。在这一背景之下，《个人信息保护法》也在第55条明确规定了企业在实施对个人权益有重大影响的信息处理行为时，应当事前进行影响评估，以判断信息处理行为的风险程度。

在风险评估的基础上，针对不同等级的风险适用不同强度的管理措施是风险规制的核心。风险管理机关通常由政府部门担任，但规制实践表明“当规制问题过于复杂，或某个行业存在异质性，或处于动态演进之中时，更适合去选用自我规制与元规制”[10]，而个人信息的利用与保护正是一个具有上述特征的领域。元规制是指监管机构不直接执行监管而是将风险控制职能委托给企业，令企业根据自身的具体背景制定一套风险控制规则，监管机构则对这些规制进行审计、监督和激励[11]。《个人信息保护法》中多处体现了元规制的精神，其中以企业合规制度为代表。《个人信息保护法》在第58条明确规定了平台企业的合规义务，并将其作为风险管理的主要手段。

上述制度设计貌似合理恰当，但实则因忽略社会的高度复杂性而注定难以发挥应有效用。在系统论的语境中，法律规范是法律系统的纲要，企业则是经济系统内的私主体。因此对个人信息处理风险进行法律规制实则为法律系统中的规范对经济系统中的企业施加影响。卢曼认为，功能分化社会中法律系统对经济系统的影响是以系统／环境的方式运行的。这种影响方式并非线性的输入/输出关系，而是因系统符码、纲要等结构限制而具有高度选择性[8]。法律系统的调控只能以激扰的方式影响经济系统的运作，并且系统边界的存在使得这种影响不可能单独具有决定意义。而当某种激扰成功对经济系统造成了预期的影响，法律系统与经济系统之间便产生了“共振”[8]。

但法律系统与经济系统在观察风险时存在很大的差异。风险不仅意味着一定概率的负面效果，也与机遇和利益相伴而生。当法律系统以“合法/非法”的区分观察风险时，出于稳定规范性预期的功能需求，其必然侧重关注风险的负面效果。因而其侧重通过事后归责的风险分配机制降低偏离规范性预期的风险行为所带来的复杂性。但经济系统的特定运作符码为“支付/不支付”，因此其在面对风险时依旧主要追求利润的最大化[8]。可以说企业经营就是在与风险共舞，而利润就是对在不确定性中作出决定者的奖励。由此可见法律系统中的风险规制义务与经济系统谋取利润的内在动力相斥，故企业难免阻挠风险规制义务的接受。

当然二者之间也并非决然隔离，系统的认知开放性保留了特定信息跨越系统间差异实现系统间共振的可能性。但出于维持功能分化的需要，系统总是倾向于在环境传达的多种激扰中选择那些有助于稳定和优化自身状态的信息，将其转译为有意义的内部信息，进而对系统内部的运作进行相应调整。然《个人信息保护法》为企业输入的影响评估及合规信息却难以跨越系统间的差异使企业产生“共振”[8]。

其一，企业围绕谋取利润这一中心目标运作，因此其对与利润相关的经济信息具有高度敏感度，但《个人信息保护法》未能向其输入正向的经济信息。在个人信息保护呈现正外部性的情况下，与影响评估及企业合规制度相关的经济信息仍只有违反上述两项义务时的行政罚款责任，这使得企业缺乏放弃风险性利润并主动进行风险规制的正向激励；其二，在可见的利益面前，当事人倾向于高估其对风险过程的控制[7]，我国个人信息保护实践更是强化了企业的侥幸心理。一方面，信息不对称、监管成本等问题使得我国行政执法素来有“运动式治理”“选择性执法”的现象。另一方面，个人信息处理风险损害呈现出大规模、分散化、数额小且难以衡量的特征，这使得用户在向企业索赔救济时将面临集体行动问题。仅有一定概率的罚款难以抗衡确定性的风险收益，企业也就不会将影响评估及合规义务转化为系统内部信息。“共振”的缺乏使得企业不会如法律系统预期的一般自觉履行风险规制义务，个人信息处理风险便随之而来。

（二）知情同意原则难以使用户与企业进行风险交流

风险既具有客观实在性亦具有主观建构性，因而如何在利益主体之间交流风险信息是一个老生常谈的话题。《个人信息保护法》对此的回应便是知情同意原则。《个人信息保护法》在第24条、29条等条款中强调企业在实施重大风险行为时应当告知当事人特定行为对个人权益的影响及其必要性等内容并取得其同意。因此知情同意过程可视为企业与用户交流个人信息处理风险的重要渠道之一。双方应当通过这一途径常态化地对风险评估结果及企业的风险管理决定等信息进行双向交流，以促成双方对于风险信息的共识，并在企业与用户的交互过程中实现知情同意原则的功能。

但知情同意原则在实践中面临的诸多严峻问题使得企业与用户难以通过知情同意过程对风险进行充分交流。例如在知觉定式的影响下个人对知情同意原则的敏感度将产生边际递减效应，而“数字鸿沟”则使得个人对于告知内容中的技术信息往往缺乏准确理解，这使得知情同意原则难以实质保障个人对风险“充分知情”[12]。

系统论中的沟通理论则能够更为深入地解释为何个人与企业难以通过知情同意过程进行风险交流。与哈贝马斯强调通过对话达成一致的交往行为理论不同，卢曼的沟通理论强调永恒的分歧。卢曼认为沟通由信息、通知和理解三个要素构成，并在传送者与接受者之间进行。只有当传送者在被他视为信息的事物与其他事物之间制造出差异时，该事物方成为沟通中的信息[9]。申言之，沟通中的信息是由传送者选择的。随后传送者向接受者通知信息，接受者理解信息。但与信息相似，通知与理解也是一个选择的过程。系统的沟通是基于系统本身的功能在系统内部产生的，因此当系统观察其环境中的事件时，系统单独决定了其如何构建自己的内部信息。所以不仅传送者可以选择通知的方式、时间等条件，接受者也可选择从不同的角度理解传送者的信息，其既可能准确理解该信息也可能产生误解。综上，“沟通是一个三位元的选择过程”[9]，其中任何一个要素都具有偶联性。当这些偶联性聚集在一起时，将产生乘数效应，降低主体之间达成共识的可能性。

个人信息处理中的知情同意过程便深陷这种多重偶联性之中。例如企业告知用户的事项内容以及告知方式都是经过悉心挑选的。当法律对内容详略程度不作要求时，企业会罗列长篇大论的告知内容以增加用户的阅读成本。当法律要求内容简洁明了时，企业也可以将Cookies追踪技术简化粉饰为提升用户体验的操作以迷惑用户。卢曼指出诸如“多沟通”之类的做法并不会促成风险行为决定者与受风险波及者之间的意见一致，尤其是双方对于风险有不同归因时，分歧将会愈发严重。追求利润的企业与重视安全的用户在风险立场上的分歧使得双方难以通过知情同意过程对个人信息处理风险进行充分交流并达成共识。而企业处理个人信息的运作处于一个“黑匣子”之中，所以悲观地说用户完全无法实时知晓自己的信息正在面临何种风险，更不必谈通过风险交流形成共识。

四、因应之道：通过结构耦合机制引导企业决定

卢曼虽然没有以改造者的身份为我们直接提供应对风险的良方，但他指出如果把风险视为现代社会运作机制的基本特质，那么风险规制的关键在于对“决定风险运行的结构性因素”进行二阶观察[13]。二阶观察可以发现他者是怎样观察的，其为何选用特定的区分进行观察而非另一区分。通过二阶观察可以发现，风险根源于时间维度上的不确定性以及社会维度上的偶联性[14]。这些特性投射至社会结构之中便是社会子系统之间共振频率飘忽不定的现象。功能系统之间可能在某些方面缺乏共振，也可能在另一些方面过度敏感。在共振频率不稳定的系统之间，某一系统难以预知另一系统将对其通知的信息作出怎样的反应，风险也就由此而生[8]。

现有规制体系的失败便是系统论另一代表性学者托依布纳所称“规制三元悖论”中的“系统之间相互漠不关心”问题[15]。法律系统与经济系统都是相对封闭的沟通系统，它们之间的相互激扰需要经过选择才能对系统内部产生影响。外部信息不会根据刺激-反应模式直接转化为内部效应，而是会根据特定的选择标准被过滤到各自的系统结构中，并适应于系统的自主逻辑中[15]。所以若风险规制不顾系统之间的差异而采取输入-输出的线性因果关系治理模式，则其难免会遭遇企业的忽视。因此，托依布纳认为规制法律的成功实施取决于某种“结构耦合”措施的实现[16]。

结构耦合是指“两个功能系统之间比较稳定的相互影响的通道与机制”[17]。其在限制系统对环境中的某些激扰作出反应的同时，也因能够减少不同行动领域的差异而聚焦系统对环境中的另一些刺激的共鸣能力。在耦合的结构之中，系统之间沟通的信息都更有助于稳定和优化自身沟通，因而更有可能被投影至系统结构的内部“屏幕”上，使二者之间更容易产生预期的影响。

在卢曼的经典表述中，经济系统与其他系统的结构耦合机制包括所有权、合同、中央银行、税收等[18]。结合企业在规制个人信息处理风险过程中面临的正外部性及集体行动问题，本文主张通过税收优惠和责任保险合同这两项同时是常用规制工具的结构耦合机制来引导企业作出保护决定。

（一）以税收优惠矫正外部性

在个人信息保护中，风险规制体系建设带有明显的正外部性，即风险规制成本由企业承担，而收益则主要由社会公众享受。互联网企业大多采取前端软件及网站免费、后期特定服务及广告业务收费的模式。然而我国消费者已经习惯在网络生活中享受免费服务，所以广告收入成为企业的最主要利润来源。而对用户的个人信息进行收集、加工方能更好地契合广告主的投放目的，因此企业有很强的个人信息利用激励，但保护激励则显得不足[19]。用户在使用前端软件及网站时已经享受了相关红利，而软件及网站的开发与维护使得企业在前期就支出了较高成本，风险规制体系建设义务更使得企业遭受成本继续上涨与收益有所下降的双重钳制。限制企业谋求利润的行为是违背其本性的，但个人信息处理风险又可能严重危及用户的人格尊严，因此必须由国家作出合理安排。税收优惠则具有矫正经济外部性的功能。企业在风险规制体系上的投资很难在市场中立刻体现出效益，国家则可以通过给予税收优惠的方式来弥补企业投资的外部性缺陷[20]。

税收占据企业运营成本的大部分，因此为营利而生的企业对于税收信息十分敏感。虽然卢曼认为税收是经济系统与政治系统之间的结构耦合[18]，但在众多税收优惠政策都业已法律化的背景下，其也可视为法律系统对经济系统与政治系统之间结构耦合的二阶耦合。与命令控制模式的行政处罚不同，税收优惠是一项典型的经济激励措施[11]。其被广泛运用于环境规制中，并成效显著。因为一方面通过法律稳定下来的税收优惠能够为企业创设持续性激励，另一方面税收优惠能够在满足与不满足特定条件的同类企业之间制造竞争差距[10]。因此其可以从正反两个角度促使企业作出特定调整。

从工信部、网信办的通报名单来看，个人信息处理风险大多由互联网科技公司引发。国家通过《企业所得税法》等法律为其提供了一些税收优惠，然而这些优惠的认定条件分别只和企业规模及高新技术含量有关而不涉及企业的风险规制体系建设。未来可考虑给予风险规制体系建设完备的企业一定的税收优惠。如此法律系统在向经济系统传送履行个人信息风险规制义务就能够享受税收优惠的信息，这一信息因为契合经济系统的内部运作逻辑而更有可能被经济系统从高度复杂的环境中筛选出来并引发经济系统内部的企业作出法律系统所期待的调整，从而有效规制个人信息处理风险。

（二）以责任保险合同回应集体行动问题

个人信息处理风险带来的损害呈现出分散性的特征因而会带来集体行动问题。个别的赔偿无法有效威慑企业，将所有风险受害者聚集也是艰难的任务。这使得企业心怀侥幸心理而有意忽视风险规制义务。为回应这一问题，《个人信息保护法》第70条规定了公益诉讼制度，而从结构耦合及规制的角度出发则可考虑引入责任保险合同。

烦琐的司法程序与不低的证明标准使得大规模侵权的受害人往往都怀有“搭便车”的心理，但其最终结果则更有可能是无法得到足额的赔偿。与司法救济相比，私主体之间的责任保险合同能够使个体受害者更为便捷地获得赔偿，亦能消除其被其他受害者利用的顾虑，因而能够缓解食品安全、环境污染等大规模侵权中的集体行动问题。

与此同时，保险理论中有一个基础性共识，即商业保险公司的参与将极大地推动风险的规制。其中的逻辑在于，保险公司为尽可能规避理赔，在保险合同中设计各种降低自身理赔概率的规则，而投保人在这些规则之下为也会相应地调整自身的行动，最终在社会系统层面导致整体风险相对降低之效应[21]。例如责任保险可通过在合同中规定差异化保费的方式内化投保人的大规模侵权成本，促使投保人主动采取措施预防风险。我国已在环境污染和食品安全领域推行强制责任保险制度，此时因风险规制能力强而导致的保费成本下降之效益会更加受到经济系统的青睐。规避风险能力较强的企业将拥有一定的竞争优势，这将激励企业强化风险规制能力。此外，责任保险合同将企业的故意侵害行为划出理赔范围，而只对意外致损的行为给予补偿，如此也将有效遏制企业作出侵害决定。