数字经济视角下个人数据使用的风险问题

丁 利，任厚朴

在巨大的经济红利驱使着数字经济飞速发展的同时，信息技术的应用也如链式反应般次第改变了现有社会的整体结构，为社会引入了系统性风险。尽管数据科学家一直在更迭个人数据处理的方式，但这种分析处理并非单向的。经过匿名化、伪名化等技术处理的数据仍可通过与其他数据相结合的方式重新发掘出新的个人数据与私密信息。个人数据的这一性质使得原来企业数据和公共数据的二元划分沦为基于数据持有者是政府抑或企业的区别。企业数据和公共数据在处理方式、应用目的、持有主体等方面的异同并不能改变二者均为个人数据的本质。随着数据的广泛流转与应用，个人数据使用的风险呈现出多重面向：既是个人面对的风险，又是社会承担的风险；既是市场运作的风险，又是政府治理的风险。要想实现《数据二十条》中对数据高效流通使用的期许，就必须从整体入手分析个人数据流转于市场与政府之间的使用风险，揭示社会整体性制度安排中的复杂性和多样性，逐步建构可以有效调整多元主体相互协作的制度安排。

尽管对于个人数据配置的效率问题、个人数据应用的具体风险以及法律问题，当代学者已经有了相当多的研究。但对于这一风险在复杂社会整体中究竟有何损害，应采取何种方式应对，则鲜有探讨。本文试图以跨学科的理论视角，对个人数据使用的风险问题给出一个整体性的框架和思路。

一、损害的产生：个人数据使用带来的风险

(一)损害的成因：个人数据使用的风险

将个人数据泄漏视为侵权的主张有其在实践层面的洞见，但也存在着认识层面上的局限。个人数据与个人信息不可分割，作为生产要素的数据无法置于绝对安全的环境之下。个人数据的流转和使用本身就是在创造一种潜在的风险。当风险积累到一定程度，就会与社会中的其他风险因素相结合，转化为实际的人身财产损害。数据滥用、数据泄漏以及后续的黑市非法买卖只是将数据放置于更易获得的环境之下，加大了这种风险，并未在数据使用的基础上创造出新的风险。可以说，数据泄漏和使用所引发的风险是同质的、难以消除的。信息的存在与呈现仰仗于句法良好的数据，而数据的存在则依赖于物理世界中的种种差异。(1)Luciano Floridi，The Philosophy of Information，Oxford：Oxford University Press，2013，pp.83-84.理解数据即差异的论断，就能更好理解数据的特性以及其与信息的关系。空白或涂抹——被消除的数据亦是另一种数据，就像噪声或二进制的零一样。在系统中通过特定的句法解读可以再识别出被消除的数据中所传递的某些信息，而那些意欲消除的个人信息则会因此而再现。信息为产生差异的差异。(2)Gregory Bateson，Steps to an Ecology of Mind：Collected Essays in Anthropology，Psychiatry，Evolution，and Epistemology，New Jersey：Jason Aronson，1972，p.460.在信息与数据之间存在繁复耦合的情况下，只有消除系统中所有可能的差异，才能真正彻底地消除数据以及其所包含的信息。而消除系统中全部差异的做法无异于将小孩和洗澡水一同泼出，是不经济且不可行的。故在理论上无法避免泄露个人信息以及隐私的风险。数据脱敏，匿名或假名化等去识别性的处理并不能一劳永逸地解决个人数据安全的问题，只能作为一种风险管理措施，通过增加数据颗粒度来增加识别的难度和成本，以减少个人信息和隐私的泄漏风险。数据的价值在于信息的准确性。这意味着只要数据可交易、具有价值，就仍包含着隐私及个人信息。去标识某种意义上而言只是最小范围原则在数据流通中的实践，通过分析语境场景、数据特点、使用目的等内容，为数据使用者提供仅仅满足其用途需要的数据颗粒度，能有效减少精细原始数据流通的隐私安全风险。(3)Ira S.Rubinstein，Woodrow Hartzog，“Anonymization and risk”，Washington Law Review，Vol.91，No.2，2016，pp.703-760.但匿名数据和个人数据只是建构出来的概念，二者之间没有一条泾渭分明的静止界限可以区分，而是会根据数据环境的演变而相互转换。(4)Sophie Stalla-Bourdillon，Alison Knight，“Anonymous data v.personal data-false debate：an EU perspective on anonymization，pseudonymization and personal data”，Wisconsin International Law Journal，Vol.34，pp.284-322.可以说，数据使用的损害是根植于信息技术和数字经济本身的成本，无论采取什么方法都只能降低潜在损害的概率和代价，而不能消弭风险本身。

(二)制度的缺位：个人数据的救济失灵

个人数据具有双重属性，既是数据控制者持有的生产要素，也是个人信息主体的个人信息。个人数据的应用增强了行为人在交易、组织、共用资源等诸场域内行动决策的关联性。这种复杂的外部性扰乱了民法等制度展开救济的逻辑基础，致使损害无法通过制度运作得到填平，进而使得权利处在一种不稳定的状态之中，阻碍协作的展开。为应对数据应用、个人信息的大量泄露等全新挑战，法律沿着个人信息自我控制的理论路径，在隐私权的基础上发展出个人信息保护制度的渊源。(5)[日]五十岚清著，铃木贤、葛敏译：《人格权法》，北京：北京大学出版社2009年版，第169—170页。但信息自决的个人信息保护制度并不成熟，其保护理念和逻辑基础建立在工业时代的旧观念之上，因此其保护方式和救济措施难免会缺乏可实施性。例如个人信息保护法中第七十三条第四款所规定的匿名化标准。该条要求匿名化处理要达到“无法识别特定自然人”且“不能复原”的效果。如前文所论述，该效果是无法简单地通过去标识化等操作来达成的。法律与技术实务之间存在认识上的背离，因此许多规范和技术标准需要额外的司法解释方能适用。

在法规范上，立法者对数据、个人信息和隐私进行了人为的区分。其意义在于协调财产法和人格权法等规则在数据相关事宜上的使用。通过对数据、个人信息和隐私进行区分，法规可以明确不同体系的规则所适用的情景。这些区分和场景则有助于当事人确定其诉求性质以及纠纷救济的途径。这一点在现行法的条文中有所体现。民法典通过第一百一十、一百一十一和一百二十七条的列举先后将隐私、个人信息和数据规定为不同的权利客体。通过三者的区分构建起这三个权利客体的专属性梯度。从隐私到数据，权利客体与人格权主体分离程度则愈大，与财产利益结合的程度则愈发紧密，从而具有财产权利的特征，因而可以在主体间进行移转交易。隐私所包含的传统人格权客体上其权利效力更倾向于消极性的保护，旨在排除他人的侵害。作为财产化的人格权客体，个人信息和数据在消极保护的基础上还存在着主体积极利用以获取利益的权利。故在后二者的损害赔偿方面，除了精神损害的因素以外，也应当考虑其经济价值的因素。(6)王利明：《论人格权商品化》，《法律科学》(西北政法大学学报)2013年第4期。尽管法律通过对概念的界分在规范上协调了人格、财产规范的混同问题，但是在实践之中，三者并未有泾渭分明的显著区分。在数字化技术中，数据与信息高度共生，难以对二者进行分割。故在法律实务上多将数据与信息混同使用，仅在学说理论中进行较为严格的区分讨论。(7)申卫星：《论个人信息权的构建及其体系化》，《比较法研究》2021年第5期。因此概念的界分无法避免司法实践中的规则混同问题。从规范内容上来看，民法典和个人信息保护法选择以人格权法为核心建构对数据的规范体系，而在财产规则上处于失语的状态。此外，法规给个人信息处理者的数据使用科以了过高的技术标准。以匿名化处理为例，可见技术标准所要求达到的效果是现有技术无法实现的。这种表达与实践的背离一方面会使得法律规范难以落到实处，无法实现对个人信息的保护；另一方面其难以实现的技术标准又会对数字经济的发展造成滞碍，从而阻碍对数据使用的技术创新以及应用。更为重要的是，数据使用的关联性会加剧这种背离的后果，使得失调呈现出链式反应的样态。局部规则的掣肘失调会引发各场域的制度在更大范围内协调困境，最终影响社会整体运作的效率，使得数据使用带来的损害和利益失衡进一步扩大。

(三)整体的视角：制度安排与风险分配

当前的制度安排难以满足行动关联性加强带来的新协作需要，因此无法为高效的社会生产活动提供激励。面对这个现状，首先需要直面的质疑和辩难在于，为何要主动地去进行制度建构，去调整数据使用带来的制度性失调。为什么不能容忍利益分配的失衡和制度间的失调，借由数字经济的发展带动社会制度实现自发地演进与调整？其次需要回答的问题则是，纸上墨迹(ink on paper)的制度调整如何能够在共时性的多重均衡现象之中触发实践中的行动。(8)Kaushik Basu，“The Republic of Beliefs”，in The Republic of Beliefs，Princeton：Princeton University Press，2018，p.1.从实践上来说，出于路径依赖的惯性，各国现行的非整体性制度安排仍然可实施。但由于缺乏场域间相互的制度性支持，其运作则是低效的、难以持久的。因此各国政府都应激励去探索并主导建构高效的制度安排。以欧盟为例。这种采取信息自决的严格保护规则固然有其洞见，但由于超前立法缺乏对于信息技术和数字经济的认识，片面强调人格权利的重要性，导致其提出的技术标准难以达成，其制度安排与生产实践难以激励相容。实践证明欧盟的制度构建偏离了协作博弈的均衡。随着信息技术的发展和数字化的加深，一般数据保护条例的实施成本愈发难以承受。因此欧盟在一般数据保护条例的基础上进行折中，借由信托的形式对作为人身权客体的个人信息和数据进行财产化，以此来推动数据要素市场化配置，从而满足数字经济生产对于数据充分使用的需要。2020年欧盟通过了可信安全数据分享空间(Trusted Secure Data Sharing Space)(9)Trusted Secure Data Sharing Space，https:∥cordis.europa.eu/project/id/871481，最后访问时间：2023年1月15日。以及欧洲数据战略(A European strategy for data)(10)European Commission，A European strategy for data，https:∥ec.europa.eu/futurium/en/european-ai-alliance/european-strategy-data.html，最后访问时间：2023年1月15日。项目。这标志着欧盟数据保护政策的巨大转向，由原来基于信息自决的个人隐私保护模式转向促进数据共享、使用和货币化的模式。(11)Anna Artyushina，“The EU is launching a market for personal data：Here’s what that means for privacy”，MIT Technology Review，https:∥www.technologyreview.com/2020/08/11/1006555/eu-data-trust-trusts-project-privacy-policy-opinion/，最后访问时间：2023年1月15日。

欧盟数据保护政策的巨大转向表明沿旧有路径演化存在困境。社会自发演进的不足需要理性建构的力量进行补足。在社会发展的过程中，自发演化与理性建构是不可偏废的两种力量。此外，我们需要从欧盟数据保护的政策转向中认识到权衡取舍的重要性。一个良好的制度必须对诸多难以抉择的重要价值进行取舍平衡。立法者和决策者在进行价值判断时不应被大词迷惑。生命、隐私、人格尊严等人权固然十分宝贵，作为人类福利之基础，其具有重要的内在价值和意义。但这些被认为是基本权利的价值并非修辞所描述的那般至高无上，在公共决策的领域里，它们一直在被定价和权衡。决策者正是通过对诸多价值进行比较与取舍，最终才能做出促进社会福利改善的政策和立法。因此，我们在关注数据使用带来的广泛损害时，也需要关注到对其规制的成本。所谓成本，不仅是付出的代价，还包括丧失的潜在利益。以欧盟数据保护的成本为例，除了考虑为应付繁复案件所支付的立法、司法和行政成本外，还需要将其对于经济的影响纳入考量。欧盟严格的数字隐私体系致使其数字经济的萎靡以及互联网等本土相关产业的凋敝。数据保护对经济造成的损失估价几何？如从业者的收入下降、失业破产等贫穷问题会给基本人权带来多大程度的损害？其占用的司法和行政资源置于其他领域的事宜上又能给社会带来多少价值？这些问题值得进一步推敲和思考。须知，社会资源是有限的。诸多社会事宜都在竞争着有限的社会资源。只有对基本权利进行定价，分析保护实施和资源配置的边际收益，才能实现对人权更好的保护。如桑斯坦所批评，成本收益计算的方法存在实质性的限制，比如生命、隐私、人格尊严等人权难以量化的问题，失业等损害的后续影响，公众对于事件的情绪反应，伤害的不可逆问题，收益的评估问题等。(12)Cass R.Sunstein，The Cost-Benefit Revolution，Cambridge：MIT Press，2018，pp.79-81.成本收益计算是依据不完全知识做出的判断。该方法面临着社会风险和不确定性带来的挑战。这个挑战是其他方法也无法回避的。数据要素化是社会发展的趋势所向。一个有效的数据要素治理制度需要回答这两方面的问题，一方面是如何有效防范和化解数据使用带来的风险；另一方面，当风险和损害不可避免时，应当如何分配这些损害风险。前者侧重于技术应用，后者则侧重于制度安排。数据产权、交易流通、收益分配和安全治理，这四个意见中的核心议题都离不开上述两个问题的讨论。而对这两个问题的讨论和研究，则必须借助成本收益分析的方式进行。成本收益的计算立足于不完全知识展开，更需要强调实证观察的分析，通过经验对其模型工具进行及时修正。

二、制度的调整：预期目的与实现效果

(一)法律扩张与救济局限

随着社会的发展，为解决行为外部性的复杂问题，侵权法也发展出了新的归责原则，使特定人在特定情况承担相应法律后果。但这种特殊侵权行为只是例外情形，而非一般逻辑。在归责原则中，过错是最为核心、最为一般的原则。然而信息处理的高度专业化和技术化减损了个人对其信息的支配控制能力。在数据控制者完成采集之后，个人就难以控制其相关数据的应用场所、流转范围等事宜。在与数据相关的侵权事宜上，一般和特殊的地位发生了变化，直接动摇了以意思自治为核心的私法权利体系。

数据采集时授权约定的范围并非个人信息的公开范围。只要数据可以交易并使用，数据控制者就可以通过对数据的聚合和分析实现对个人数据的再识别以及对隐私的发掘。例如，线上零售商通过对少女的网络搜索引擎和商品购买所留下的数据记录进行分析，能比少女父亲更先知道她怀孕的隐私信息。(13)Charles Duhigg，“How Companies Learn Your Secrets”，New York Times，http:∥www.nytimes.com/2012/02/19/magazine/shopping-habits.html，最后访问时间：2023年1月15日。在这种情况下，我们必须反思作为个人信息主体的个人对数据采集和使用的授权和同意究竟何意义。这些传统的法律概念需要通过新的解释获得实践中的生机。法律提供社会的一般性知识，在解决对于物权钱债等一般对象的争议上存在规模经济。(14)[美]约拉姆·巴泽尔著，钱勇、曾咏梅译：《国家理论：经济权利、法律权利与国家范围》，上海：上海财经大学出版社2006年版，第222—223页。而在解决家庭情感等特殊对象纠纷上，法律判决则不具有比较优势。我们可以从婚姻法的实施中看到，法律提供的有效救济都是针对夫妻财产而非夫妻情感。同理，法律在处理数据使用的事宜上也是如此。标准化和一般化的程度则以效率的方式圈定了法律的范围所在。因此，需要重新反思Nissenbaum教授的场景理论在法律领域的意义。所谓场景理论，即强调数据处理行为发生的场景情景之整体。判断一个数据处理行为是否合理，需结合如参与者身份、数据特征、算法技术、各方的合理预期等具体情景内容展开全面分析。(15)Helen Nissenbaum，Privacy in Context：Technology，Policy，and Social Life，Redwood City：Stanford University Press，2009，pp.186-230.场景理论有其创见，大大加深了对于数据及其处理行为之复杂性的认识。后续关于数据权属和交易流通的研究大都围绕该理论展开。但问题在于，法官并非技术专家，更无法成为核查数据使用场景的赛博卡迪。即便是在专业人士的辅助下，法官也无法介入实质，只能做形式上的审查和判断。当立法者将法律的范围拓展到一般性知识的边界之外时，许多陌生、抽象的概念则会被边界之外的纷繁场景引入法规中。这些超越了一般性知识的概念是法官难以把握的。由于缺乏理论和既往判例的支撑，这些概念难免会含义模糊、难以明晰。以删除权为例。删除权的确切含义是什么？一般数据保护条例的第十七条规定删除权是数据主体要求控制者删除其个人数据的请求权。(16)一般数据保护条例的第十七条名为“删除权(被遗忘权)”。立法者将这两个词语并列，认为这是概念上的同义反复，而忽略了二者不同的请求基础。其命名本身就已经透露出其在概念、价值以及立法意图方面的混淆不清。该条的具体款项见《欧盟〈一般数据保护条例〉GDPR(汉英对照)》，北京：法律出版社2018年版，第54—55页。该权利是由著名的谷歌西班牙案(17)该案全称为谷歌有限公司诉西班牙数据保护局及冈萨雷斯。见Google Spain SL and Google Inc.v Agencia Espaola de Protección de Datos (AEPD)and Mario Costeja González.(C-131/12.)所确立的。其案情如下，西班牙律师冈萨雷斯曾拖欠社会保险，其房产因此被强制拍卖以便其债务履行。财产拍卖的公告发布在先锋报上。后来报纸数据化，载于先锋报的网址，可被谷歌检索。发觉此事后，冈萨雷斯以信息年久失效为由通过西班牙数据保护局诉请谷歌删除所有可检索到此事的链接，以维护个人隐私。谷歌拒绝履行，遂将纠纷上诉欧盟法院。法院通过拓展数据保护指令中数据控制者的范围，支持了冈萨雷斯的主张，依照欧盟基本权利宪章的第7条尊重私人和家庭生活和第8条保护个人数据，判令谷歌删除了检索引擎上的相关链接。而令人错愕的是，冈萨雷斯对于先锋报删除其信息内容的请求则被数据保护局驳回，并未进入诉讼环节。数据保护监管局认为先锋报的公告获得了劳动与社会事务部的授权，其公告的目的是尽可能通知拍卖者以确保债务的履行，因此具有法律依据，不予删除。

谷歌西班牙案并未删除任何数据，仅是删除了网络搜索引擎中对此信息的链接。从结果上来说并未导致信息减损。如今，在先锋报的网页上仍能找到拍卖冈萨雷斯房产的公告。(18)见Subhasta D’immobles，La Vanguardia，https:∥hemeroteca.lavanguardia.com/preview/1998/01/19/pagina-23/33842001/pdf.html，最后访问时间：2023年1月15日。其权利请求的对象是搜索引擎运营商，而非数据的真正控制者；其权利指向对象是搜索引擎中的关联链接，而非数据本身。信息和数据并未消失，只是无法用搜索引擎直接检索获得。该案实现的效果恰如图书馆馆藏调整，将外借图书划为特藏或保存本，但仍能在馆翻阅、复制。此举只是徒增了社会协作中获取准确信息的成本和技术要求，损害了公民对公共信息的知情权利，而并未能够显著实现判决所言的信息自决和维护隐私之目的。透过删除权，可以看到欧盟在数据立法表达上与救济实践的背离。这种背离的出现，究其原因，自然存在救济手段之局限。但更为重要的是法律技术的局限。欧盟的立法未能从数据使用中提炼出兼顾具体场景的一般性规则，因此难以发挥法律在解决纠纷上的规模效应，反而会破坏自身体系的融贯性，致使规则变得繁复冗杂、相互冲突。数字经济的运作发展会不可避免地将个人信息及隐私置于泄露的潜在风险之上，因此，数据要素化的进程处在一个两难的困境之中。数字经济与既有上层建筑之间的张力阻碍了数据的充分开发利用以及跨企业的交易流动，使得数据难以配置到最有价值的地方。大多数实证研究的结果也证明了在个人和企业之间分配控制数据的所有权并没有绝对的最优解。数据权属的最优配置取决于技术对于社会博弈中收益函数的刻画。(19)John M.Abowd，Ian M.Schmutte，“An Economic Analysis of Privacy Protection and Statistical Accuracy as Social Choices”，The American Economic Review，Vol.109，No.1，2019，pp.171-202.数据权属的配置效率取决于数据对企业的价值、个人对个人数据货币化的能力，个人对隐私保护的偏好以及数据交易的博弈本身。(20)Anastasios Dosis，Wilfried Sand-Zantman，“The Ownership of Data”，The Journal of Law，Economics，and Organization，2022，https:∥doi.org/10.1093/jleo/ewac001.故数据权属的配置必须考虑整体的市场和秩序，在数字经济的不同发展阶段和模式下需要的数据要素的初始权属配置会有所不同。

(二)行政规制与市场竞争

数据使用给社会带来了整体性的风险，故对数据使用的风险控制应属于政府提供的公共品。在风险控制上，行政规制起到了极为重要的作用。无论是欧洲的一般数据保护条例、美国数据隐私和保护法草案抑或是我国个人信息保护法，都强调了行政机关在监管、规制和实施中的作用。对于数据使用的行政规制，其目的是为保障个人隐私，增进社会福利。但规制所实现的效果却是复杂的。欧盟的行政规制固然是改善了个人隐私的福利。但与此同时，规制也会增加企业成本，降低科技公司对数据相关的风险投资，进而导致减少了对于产品的创新，最终致使个体的消费者剩余因此减损。(21)Rebecca Janßen，Reinhold Kesler，Michael E.Kummer，Joel Waldfogel，“GDPR and the Lost Generation of Innovative Apps”，National Bureau of Economic Research，No.30028，2022，https:∥www.nber.org/papers/w30028，最后访问时间：2023年1月15日。

欧盟的行政规制究竟能够多大程度上提高数据的安全性并改善数据使用所带来的隐私风险？尽管这个问题难以具体地展开计量和分析，但在笔者看来，欧盟对此宣称的效果是存疑的。具体有如下两点：

其一在于规制的方式和效果问题。欧盟的行政规制普遍遵循一般数据保护条例第五条一款C项的最小化原则，尽量地减少企业使用数据处理的行为，以实现其所谓寻常情况下的数据保护。这种方式的行政规制对于商业活动的影响是显著的。在一般数据保护条例实施后，欧盟公司为避免争端与成本，减少了在境内云服务平台上存储和分析数据的行为，将其处理任务更多地委派给国外的云服务提供商。

其二在于规制的工具。如笔者前文所强调，数据使用本身就会引发风险。以报送为例，数据的报送审查和匿名加密就是对数据的一种聚集和应用。行政规制的行为本身也会产生潜在的风险和损害。有研究表明，在美国医疗部门采用数据加密后，公共数据泄露事件实际上不减反增。(22)Avi Goldfarb，Catherine E.Tucker，“Privacy Regulation and Online Advertising”，Management Science，Vol.57，No.1，2011，pp.57-71.不可否认，作为合规审查的数据报送以及信息披露的确加大了企业的透明度，从而降低了企业滥用数据的行为。但其本身也在创制另一种隐私风险。从个人权益保护的角度而言，行政规制多大程度上能降低数据使用的损害？这个问题尚未有确切的解答。

从市场来看，行政规制也存在着对竞争的影响。企业规模会影响其应对合规审查等行政规制的能力。企业的规模越小，行政规制对其的影响和损害会越大。(23)Chinchih Chen，Carl Benedikt Frey，Giorgio Presidente，“Privacy Regulation and Firm Performance：Estimating the GDPR Effect Globally”，The Oxford Martin Working Paper Series on Technological and Economic Change，No.2022-1，2022.研究表明，一般数据保护条例实施后，为网站提供服务的技术供应商的市场变得更加集中。(24)Samuel Goldberg，Garrett Johnson，Scott Shriver，“Regulating Privacy Online：An Economic Evaluation of the GDPR”，Social Science Research Network Working Paper，No.3421731，2019.换言之，行政规制极可能形成反竞争的机制，其规制的强度则会直接影响到数字市场自发秩序的成长以及创造性毁灭的发生。

从结构来看，做出行政规制的制度本身也在发生变化。社会、经济的数字化驱动着行政朝数字化转向。信息技术的更迭在提高行政效率的同时，改变了行政系统的内部结构。数字化改变了权力结构以及公共行政服务的提供方式，最终必然将深刻地改变公共服务的提供者与受益人之间的关系。原本权利的界定是依仗司法机关裁量判决，再通过行政机关执行救济。但由于技术化和专业化的加深，对权利进行界定、判断和裁量的角色由司法下移到行政，而救济执行的角色则由行政下移到了数据的控制者，即运营商本身。可以看到，在冈萨雷斯和谷歌的纠纷中，西班牙数据保护局是冈萨雷斯诉请的对象，也是分析数据具体场景进行权利界定的判断者。司法则退居幕后，只有在行政的界定与数据控制者的执行出现纠纷之时才介入，做出一个最终的裁决。事实上，对于场景分析和权利界定的判断衡量时常会下沉到运营商。自谷歌西班牙案裁决以来，谷歌、雅虎、必应等搜索引擎运营商先后提供线上表格收集相关诉请，并基于诉请的场景判断是否为欧盟公民删除个人信息的服务。这种结构性的下移并非欧盟或搜索引擎的特例，而是数字化所导致的普遍现象。亚马逊、淘宝等电子商务交易平台在平台商品的知识产权纠纷中行使着实际的裁判与执法权。(25)谢惠加：《亚马逊有知识产权执法权吗？》，《南风窗》2016年第2期。随着功能的结构性下移，行政规制的模式也在发生着共时性的变化。在模式上，行政规制由原先基于风险控制和防范的事前规制，逐步过渡为风险处理和归责的事后规制；在手段上，行政规制从对数据交易流通的限制逐步转为算法规制等对数据处理的场景化规制。这一方面是行政规制逐步适应数字经济的转向，对数据使用的限制愈发放宽；另一方面，这意味着司法、行政官僚在数据领域的制度性权力进一步被实际支配的技术性权力所侵蚀。在这种情况下，企业自律和行业规范则会比行政规制更有比较优势，能节省信息获取和核实的成本。为节省成本，数据使用的规制模式开始逐步从行政机关监管为主的第三方实施转变为基于行业自律和长期关系的自我实施。这意味着行业自律的规制模式开始制度化。问题在于模式转变的过程中，当收益足够大时，企业以及企业中的个体则有可能去背叛合作，实施滥用数据或数据跨国境传输等行为。在这种情况下应如何制止机会主义行为的产生？如何确保行业自律制度的形成？这是需要进一步研究的课题。

强监管是对外国企业垄断的应激反应。但严苛的行政规制和合规要求极大地削弱了本就弱小的本土产业，进一步强化了谷歌等巨头对欧陆市场的垄断，加剧了欧盟在数据使用事宜上的不信任感。我们应如何把握好行政规制的限度？这是一件考验政府智慧的事情，需要从经济发展、隐私保护、国家安全等诸多因素进行深入复杂地权衡思考。

三、责任的扩大：效率改善的另一维度

(一)我国问题与个人数据使用的现状

从制度的角度来看，信息技术的发展引发了社会的巨大变迁。面对数据使用引发的诸多问题，历史上并无先例可参照，而自发演化的惯例又无法迅速形成。放任的自然演化在形成均衡解的漫长演化过程中需要支付大量试错的成本。在这种情况下，有效的理性建构的规范可以发挥聚点效应(26)“聚点”即协调博弈中参与人期望共同汇聚的点，如果行动者基于对其他人行动的预期，在多个可能均衡中共同选择了其中一个均衡，此时，这个均衡就被称为聚点。见Thomas Schelling，The Strategy of Conflict，Cambridge：Harvard University Press，1960，p.57.，通过事先确定一条制度路径使人有所依循，将会节约漫长演化中支付的协调成本。(27)前提是理性建构所选择的路径确实为博弈中潜在的均衡路径。由于社会总剩余与风险损害分配并无直接的因果关系。风险损害的转移分配势必会消耗社会资源，会产生额外的成本。因此霍姆斯大法官特地强调良好的政策应让损失停留于其所发生之处，除非存在介入调整的特殊理由。(28)[美]小奥利弗·温德尔·霍姆斯著，冉昊、姚中秋译：《普通法》，北京：中国政法大学出版社2006年版，第44页。对于数据使用的风险损害分配，特别干预的理由主要有两个。第一，从目的而言，社会福利最大化是理性建构所预期实现的目标。社会福利相比于总剩余而言，需要额外考虑到效用的边际贡献，因此对于利益的再分配是必不可少的流程。而分配数据使用的风险损害则是实现这一目标的手段之一。通过风险损害的分配，既可以实现利益的分配，又可以通过为使用数据的数字生产提供信息，节约信息成本。作为共有信念的自我维系系统，制度的实质是对博弈均衡的概要表征。(29)[日]青木昌彦著，周黎安译：《比较制度分析》，上海：上海远东出版社2001年版，第11—15页。而数据使用风险损害分配的规则是一种信息浓缩的方式，通过改变数字生产的收益函数使数据使用者遵循所达成的均衡解，可以维系社会的共有信念。第二，面对个人数据使用带来的整体性风险，储蓄和保险等个体的风险防控手段都容易失效。风险的整体性意味着风险防控是公共品，需要由政府进行提供。(30)丁建峰：《风险社会的立法法理学——不确定性、社会选择与程序正义》，《中山大学学报》(社会科学版)2021年第4期。个人人身财产的保护和救济是政府需要提供的公共品。风险损害分配则是风险控制提供的一种重要方式，对于社会协调运作有着重大意义。在现代社会，人身财产需要维持一定程度的稳定。这不单是福利最大化的要求，更是社会协作展开的前提基础。人身财产的稳定一旦无法维持，会导致行为人的信念失调，不仅使协调问题愈发明显，而且会使行为人更为短视，机会主义盛行。因此，应认识到制度除了给人博弈的规则和信念外，更重要的是给人提供合作的预期和希望。

(二)法律救济竞合与风险责任的拓展

数据使用会带来风险损害。政府在使用数据以提供社会管理、市场监管、风险预防等公共服务时，会产生企业在数字生产方面所遇见的问题，而治理数据使用的规制行为也是一种数字生产，需要遵循成本收益的原则，首先考虑其效率问题。当前我国的数据治理方式较为粗放。具体表现为数字金融和科技创新耦合协调、衔接互动之间存在滞碍，科学创新发展滞后，难以将数据对于经济社会的乘数效用推到极致。(31)邹新月、王旺：《中国数字金融与科技创新耦合协调发展的时空演变及其交互影响》，《广东财经大学学报》2021年第3期。科斯通过对英国灯塔的考察发现公共品的提供效率可以通过私人化的方式提高。(32)[美]罗纳德·哈里·科斯著，盛洪、陈郁译校：《企业、市场与法律》，上海：格致出版社·上海三联书店·上海人民出版社2016年版，第147—163页。数据治理的安全提供与灯塔运作的原理是一致的。对于数据风险的控制是政府应当提供的公共服务。但企业也可以通过提供数据安全服务的方式招徕用户使用其平台业务并借此营利。其原理恰如港口所有人出资维持灯塔，通过确保航行安全的方式吸引船只停泊以收费一般。相比政府，私人提供更有效率。行业内部自我实施的制度可以有效补偿国家行政在风险规制和安全提供上的效率不足。想要有效提供个人信息安全的保障，需要保证权力的谦抑。在法治稳定的市场秩序下，通过竞争促使行业自律规范和相应制度的形成。需注意，规制与发展、理性建构与自发演化并非二元对立的两极，二者皆是制度形成必要的推力。自然演化与人为规划的关系恰如分子力，即存在着相互排斥的斥力，也存在着相互吸引的吸力。哈耶克主张自发成长的市场经济秩序，而这种秩序必须由理性建构的国家和政府进行保障。“哈耶克矛盾”恰恰揭示了理性建构和自发演化这两种力量在社会制度建立与变迁发展中的不可或缺性。(33)韦森、陶丽君、苏映雪：《“哈耶克矛盾”与“诺思悖论”：Social Orders自发生成演化抑或理性设计建构的理论之惑》，《清华大学学报》(哲学社会科学版)2019年第6期。社会制度的演进依赖于数字经济的自发演化推动，产品、服务的有效提供依赖于自发的市场竞争来实现。但数字经济发展演化所依赖的市场秩序则需要理性建构的制度进行保障。反之，行政监管固然必要，有助于行业自律和市场秩序的形成。但监管规制一旦过量，则会成为社会发展的枷锁，不利于风险损害的应对以及权益的保障。损害救济与责任承担是风险分配的两个方面。侵权救济制度的拓展是一个在我国可行的方案。通过拓展责任主体，将行政机关纳入其中，能有效解决监管规制的激励问题和法律救济真空的司法问题。对于国家机关是不是承担侵权损害赔偿责任的适格主体的问题，目前尚无定论。但我们可以对特别法进行解释，在个人信息使用的领域内将国家机关发展为适格主体。个人信息保护法第三十三条规定，国家机关处理个人信息的活动适用该法。从文意上理解，国家机关可以作为个人信息处理者承担个人信息侵权的损害赔偿责任。但问题在于国家机关及其工作人员行使职权做出的行为，若损害私主体的合法权益则应适用国家赔偿法。而国家赔偿法第二条则将取得国家赔偿之权利的范围限定于该法之规定。从侵权法的角度来看，这两套法律部门的规范之间存在着范围上的重叠，在重合范围之中产生救济的真空。由于国家赔偿法没有针对个人信息的相关制度衔接，因此在实践中难免会出现被侵权人选择救济路径的难题。若选择国家赔偿的路径，则对应机关极有可能会以国家赔偿法未明确规定为由驳回请求。若选择侵权之诉，法院则可能会因侵权主体是公权力机关，而将案件性质认定为国家赔偿案件，以适用法律错误为由驳回起诉。如此最终极可能会出现两头落空、救济无门的情况。出现这种问题归根结底在于法律责任的性质并不明晰。国家机关作为个人信息处理者的侵权赔偿责任是应当按个人信息保护法的文意定性为民事侵权赔偿责任，还是应该按其公权力机关的身份认定为国家赔偿责任，尚缺乏一个区分的标准。

是否可以根据具体情境逐一区分责任性质？当然，但这需要一个演化发展的过程。作为立法而言，这并不是一个经济有效的办法。除了作为个人信息处理者的侵权责任之外，国家机关还存在更为复杂的责任形态，如作为监管者的不作为侵权责任。举例来说，作为信息处理者的企业如果发现个人信息泄露，按民法典第一千零三十八条的规定向其主管部门报告，请求共同采取必要补救措施，但该部门在知悉个人信息泄露之风险的情况下，疏于履行个人信息保护法第六十一条第五款之职责义务，未能及时采取必要的补救措施对个人信息进行保护，致使关系人的人身财产权益因此受到侵害或致使其侵害后果加重，在这种情况下，该部门理应承担不作为的侵权损害赔偿责任。但是其侵权赔偿责任的性质，以及后续的法律适用和救济途径都不明晰。这种模糊就会导致被侵权人寻求救济的结果将在很大程度上取决于受理法官对于相关法规以及公共利益的理解。这种自由裁量的泛滥源于法规之间的暧昧关系和公共利益的含糊，需要通过司法制度对其进行限制，以避免产生不确定或者错误的判决，从而危及法治社会。违法往往意味着违规，在数据权利救济上，侵权法除了会与国家赔偿法产生竞合以外，还会与个人信息保护法第六十六条所规定的行政处罚产生竞合。实践中，相比于民事判决漫长的流程，做出行政处罚的周期往往更短。行政处罚的缴纳可能会导致违法行为人的剩余财产无法支付侵权损害赔偿，致使相关人的民事权利得不到救济，反而不利于公平之实现。在这种情况下，侵权法救济与行政处罚的竞合应如证券违法领域一样，应通过立法的方式明确将违法者的财产优先用于承担民事赔偿责任而非行政处罚。

通过上述模式将国家机关拓展为侵权赔偿责任主体的作用主要有三个：第一，使成本内部化。如前文论证，将国家机关纳入侵权赔偿责任主体能为国家机关履行对个人信息的监管保护职责提供有效激励。同时，成本内部化有助于作为数据处理者的国家机关更为清晰地认识到生产风险防控、公共卫生、社会安全等公共品的边际成本，使得国家机关能理性且高效地为社会提供公共服务，以促进社会总剩余最大化。第二，弥补国家机关监管者的信息不足与激励不足。侵权法和国家赔偿法的打通将个人与企业以诉讼的形式引入对国家机关履行个人信息保护义务的监管之中，弥补了其上级机关监管的信息不足，进而强化了国家机关履行个人信息保护义务的激励。第三，实现公平正义。救济本身实现就体现了公平正义的价值。侵权法的适用能填补因国家赔偿法与民法典等法规竞合而导致的救济真空，在实务中有效保障救济的实现，让数字经济发展之成果惠及更多的人。

(三)行政结构与个人数据的公共使用

个人信息具有公共属性。身份认证、连接匹配和声誉评价等社会识别功能都需要依靠个人信息来完成。(34)胡凌：《功能视角下个人信息的公共性及其实现》，《法制与社会发展》2021年第5期。政府既是个人数据的监管者，更是个人数据最大的使用者。政府一方面要提供信息认证等公共属性的信息服务，另一方面也要有序开放行政活动中所采集的公共数据。尽管被称为公共数据，但从性质和定义上来说，许多被政府收集使用的数据仍是可识别到特定自然人的个人数据。因此在个人数据的公共使用中，制度规制依旧要考虑个人数据使用的风险问题。在政府部门间数据共享和公共数据开放等行为中，必须引入其行为造成后续风险的考量，进而考虑到其行为的成本收益，制定相关限制、追责的制度规范。对现代政府而言，公共数据开放是一个必不可少的公共服务。但其开放规则不宜采取排他授权的财产规则。若政府将数据视为国有资产，采取招投标方式开放，则会形成数字壁垒，破坏数字市场的自发秩序，从而抑制了数据使用的效率和要素流动的活力。数据的可获得性直接影响了数据要素的准入门槛，对市场结构的形成发挥着至关重要的作用。(35)梅夏英、王剑：《“数据垄断”命题真伪争议的理论回应》，《法学论坛》2021年第5期。因此，应将公共数据的开放视作政府义务，采取责任规则有条件地开放。通过责任规则推进数据公开，既能作为监管和知情的保障，有效提高政府运行的透明度，又能提高数据应用的效率，发掘出公共数据的社会经济价值。

除了公共数据的使用规则以外，行政的架构也十分重要。数据管理的行政架构将直接决定网络用户的自由选择、个人信息主体的救济、企业使用数据所受监管规制的干涉强度等事宜。更为重要的是，在制度相互嵌套、彼此影响的整体性场域下，行政的组织方式会通过改变后续多阶扩展式博弈的结构，从而影响公共数据使用制度的实效。(36)Kaushik Basu，“The Republic of Beliefs”，in The Republic of Beliefs，Princeton：Princeton University Press，2018，pp.33-37，70-85.独立监管的优势有三：其一在于明晰权责，改善行政效率，减少各地方、部门因利益而产生的纠纷掣肘；其二在于统筹规划，全国布局，避免管辖纠纷与过度监管，实现区域协调。其三在于规范的统一落实，有效保障法治框架下的市场秩序稳定。除此之外，专责机关的产生意味着责任与激励的明确，有利于数据行政监管的专业化加深。相比于分管的结构，一个独立的个人信息专责机关能更为有效地发展其专业能力，进一步提升规制数据使用的效率和水平以应对如数据出境等事宜。

总之，针对数据使用及其风险及损害分配的问题，通过理念构想和案例设计的方式难以一揽子解决，需要在复杂的社会实践中不断摸索前行。本文通过上述例子，旨在提供一个整体性制度安排的视角，将数据使用的制度置于广阔的社会整体博弈之中考察。在社会博弈之中，制度的作用在于提供不同的激励以调整人们的行为模式，从而实现社会的价值和目标。(37)丁利：《制度激励、博弈均衡与社会正义》，《中国社会科学》2016年第4期。制度与社会协同演化、趋向均衡的过程是极其复杂的，旧均衡不断被打破，新均衡在旧有基础上不断形成并逐渐变得陈旧。制度与社会演化的发展是个曲折的过程，均衡的实现依赖于社会的历史经济条件。在社会演化中，并非所有均衡都是合理的。高效均衡的演化与形成是一个曲折而漫长的过程，充斥着试错与调整。正因如此，社会的演化需要相对稳定的规则。只有尊重法律等制度作为秩序规则的特性，为其自生自发的发展留下足够的制度空间，才能保障试错、调整等学习过程的展开，最终避免锁入演化的死路。

结 语

一个有效的制度调整一方面要考虑技术上的可行性，另一方面需要考虑制度的整体性。整体性的制度更为持久。若缺乏其他场域的制度支持，则设计出来的制度规则容易沦为纸上之墨迹，难以取得预期的实效。因此，对数据使用的制度设计和调整还需要立足于政治、经济等其他场域的制度进行整体性考量才能实现激励相容，从而使得社会发展的结果趋向于帕累托改进。社会发展给个人信息保护的相关机关配置了更重的责任，要求其从传统的事前审核监管模式转向更为艰难的事后监管模式。这意味着政府机关需要与企业一同协作，以保障个人数据的安全。复杂的社会协作需要一个稳定且能随之发展的整体性制度安排，因此要摒弃预防主义的陈旧思路，善用成本收益分析的工具，合理配置风险损害，在风险预防之中保障社会与市场良序运行，从而化危为机——将个人数据流转使用之危险转换为数字经济发展之机遇。