個人信息的多利益相關方治理
“立法是認識利益、表達利益的過程。要調整好各種不同的利益,首先要了解和認識利益。”關于個人信息的法律屬性學界存在爭議,有學者將其歸納為人格利益說(包括隱私權說和具體人格利益說)、個人信息權說和人格兼財產權說、新型權利或知識產權,也有學者將個人信息存在的受法律保護的基本權益歸類為個人自治(自由)利益、身份(識別)利益和不歧視(平等)。隨著研究的深入,個人信息的利益內核逐漸被凝結為人格利益、經濟利益(財產利益)和公共(社會)利益。人格利益關乎自由和尊嚴,若遭受侵犯,會導致信息主體外在形象被操縱、精神安寧被打破、決策自由被剝奪和思維方式被簡化;數據的財產利益日益凸顯,個人信息成為互聯網企業精準廣告投放、個性化推薦以及其他增值服務的數據支撐,是互聯網“依靠廣告提供免費服務”這一商業模式的基本條件;公共利益包含國家安全利益、社會管理利益、公共服務利益和科學研究利益。
個人信息內蘊人格利益、財產利益和公共利益,這決定了其必然涉及多利益相關方,比如信息主體、信息處理者、政府乃至社會公眾等主體。數字社會的流動性特征使多利益相關方的利益需求相互嵌入、彼此耦合。信息主體的人格利益在政府執行公務或突發公共衛生事件中將受到克減,信息主體憑借自由意志處置財產利益時,要止步于國家法律的禁止性規定和當時當地的風俗習慣,信息處理者在依據信息合同處理個人信息時,要受到憲法層面作為基本權利的人格權約束,政府機構在維護公共利益過程中,須恪守公權與私權的領域邊界。尤其是在各大企業平臺通過自我賦權擁有治理權力時,個人信息保護工作的多利益相關方既應彼此配合,又須在公正場景中做到動態制衡,既要依靠社會規范指引,也要重視技術措施支持,既要發揮私法的基礎性作用,又要發揮公法的補充和兜底功效。
一、搭建分種類、多層級的個人信息保護規范體系
滿足多利益相關方訴求是個人信息保護所要實現的規范性秩序目的,而多利益相關方的協同共存導致單一的規范性秩序類型不能完全實現治理目標。于是,個人信息治理形成了一種多元的社會規范性秩序狀態,呈現為一個分種類、多層級的個人信息保護規范體系。
(1)組織類官方規范。該規范類型是一種在集中理性指導下,以政府(廣義)制定的規范性文件為治理依據、在特定司法管轄范圍內、治理對象主要存在于國家物理疆域內的規范性秩序類型。這類官方規范也為個人信息的公私法協作提供了規范依據。
(2)自制類社會組織規范。大型營利性或非營利性的互聯網企業、非政府間機構組織等或者通過自己制定的規章制度、隱私政策對業務范圍內的個人信息處理行為進行規制,或者通過制定互聯網協議、軟件代碼對個人信息處理進行架構性規制。
(3)自律類倫理規范。網絡道德是當前最重要的自律類倫理規范,也稱網絡公序良俗,它能通過信息主體和信息處理者的自律來應對和處理由于現行制定法滯后而難以預見的那些損害個人信息人格利益、財產利益和社會公益的行為。
二、設立獨立監管機構
為平衡信息主體和信息處理者之間的力量失衡,一些國家或者地區通過立法設立統一獨立的監管機構來承擔個人信息保護的執法任務,以促進個人信息處理者的合規義務、保護信息主體的合法權益。由于具有專業主義、運行自治、政治絕緣、政策上的專業知識及靈活應對變動環境等特點,能夠更好地為個人信息保護提供結構性支持,所以在德、英、日等國內已經實現了制度化、法治化的獨立監管模式。由此,國內有學者提出我國應設立國家個人信息保護委員會作為統一獨立的個人信息保護監管機構。獨立監管機構還可以對符合信息保護標準的信息處理者予以資質認證,同時對相關主體的個人信息保護工作進行動態信用評級。
三、開展多主體風險評估
誠然,在個人信息內涵二元架構的分析框架下,個人信息范圍的界定可以還原為特定時空條件下客觀性的技術標準。申言之,個人信息的認定就化約為對指稱性構件(個人標識信息)與描述性構件(個人痕跡信息)的關聯判斷上,該判斷采用歐盟GDPR的“所有合理可能的方法”,即考慮所有客觀因素,如識別所需的成本和時間,并考慮處理時的現有技術和技術發展,從而盡量避免法律上的價值評判。然而,敏感信息或私密信息的類型劃分,尤其是信息主體基于自由意志對個人信息的物質性利益進行處置,以及有權機構基于公共利益對個人信息獲得處置豁免的限度劃定,卻是一種主客觀交織的多元價值判斷。針對這些價值判斷的風險評估,既要考慮當事人主觀意愿、現行成文法規范,又要兼顧地域、文化傳統、法治理念、宗教信仰、風俗習慣、經濟發展、主流價值等社會一般合理認知的影響,甚至對指稱性構件與描述性構件之間的熔斷狀態是否發生了技術和成本突破,也須進行階段性評估。對此,我們必須設計一套根據侵害行為對信息主體所帶來的風險程度進行認定的多主體評價體系。筆者建議由信息主體、信息處理者、獨立監管機構、行業協會、行政主管部門依照各自不同的權重做出量化評分報告,以確定具體場景下的風險程度,并定期評估匿名信息的殘余風險(Residual Risks)。此評分報告在行政執法、訴訟程序中起到類似于鑒定意見書的效用。
四、完善技術性治理模式
技術治理對個人信息保護所起的功能作用,要么是提供宏觀的基礎架構,要么提供微觀的技術手段,這是一種既可事后制裁更能事前介入和干預的預期調節形式。
(1)積極運用技術措施,如隱私參數平臺(Platform for Privacy Preferences,P3P)技術和標識元系統(Identity Metasystem)等。P3P可以生成供計算機識別的個人隱私參數,若用戶訪問的某個網站不符合其設置的個人隱私參數,該協議就會觸發閾值,將預警信息發送至用戶。相應,如果一個網站利用該協議設定其隱私政策或隱私保護指引與用戶的個人隱私參數不符,那么網站或用戶就會認識到這一沖突產生的問題,接著采取修正措施以滿足各自所需。
(2)強調源頭治理。嚴把操作系統作為控制收集用戶信息權限的初始環節,比如推廣可選性“禁止追蹤”(DNT, Do Not Track)條款,進行信息保護的源頭治理,應用軟件運營者嚴格遵守操作系統的權限要求,違反的話將會被下架處理。
(3)開發個人端信息保護軟件。就像網民沒有必要成為電腦程序員就可以借助殺毒軟件防范電腦病毒一樣,信息主體也可以利用信息保護軟件對與信息處理者簽署的信息處理合同進行咨詢問診,根據軟件對信息泄露或濫用所發出的風險預警來及時調整信息保護和共享的合同方案,也可以將軟件的預警日志記錄作為證據來尋求相應的權利救濟。
