个人信息的多利益相关方治理
“立法是认识利益、表达利益的过程。要调整好各种不同的利益,首先要了解和认识利益。”关于个人信息的法律属性学界存在争议,有学者将其归纳为人格利益说(包括隐私权说和具体人格利益说)、个人信息权说和人格兼财产权说、新型权利或知识产权,也有学者将个人信息存在的受法律保护的基本权益归类为个人自治(自由)利益、身份(识别)利益和不歧视(平等)。随着研究的深入,个人信息的利益内核逐渐被凝结为人格利益、经济利益(财产利益)和公共(社会)利益。人格利益关乎自由和尊严,若遭受侵犯,会导致信息主体外在形象被操纵、精神安宁被打破、决策自由被剥夺和思维方式被简化;数据的财产利益日益凸显,个人信息成为互联网企业精准广告投放、个性化推荐以及其他增值服务的数据支撑,是互联网“依靠广告提供免费服务”这一商业模式的基本条件;公共利益包含国家安全利益、社会管理利益、公共服务利益和科学研究利益。
个人信息内蕴人格利益、财产利益和公共利益,这决定了其必然涉及多利益相关方,比如信息主体、信息处理者、政府乃至社会公众等主体。数字社会的流动性特征使多利益相关方的利益需求相互嵌入、彼此耦合。信息主体的人格利益在政府执行公务或突发公共卫生事件中将受到克减,信息主体凭借自由意志处置财产利益时,要止步于国家法律的禁止性规定和当时当地的风俗习惯,信息处理者在依据信息合同处理个人信息时,要受到宪法层面作为基本权利的人格权约束,政府机构在维护公共利益过程中,须恪守公权与私权的领域边界。尤其是在各大企业平台通过自我赋权拥有治理权力时,个人信息保护工作的多利益相关方既应彼此配合,又须在公正场景中做到动态制衡,既要依靠社会规范指引,也要重视技术措施支持,既要发挥私法的基础性作用,又要发挥公法的补充和兜底功效。
一、搭建分种类、多层级的个人信息保护规范体系
满足多利益相关方诉求是个人信息保护所要实现的规范性秩序目的,而多利益相关方的协同共存导致单一的规范性秩序类型不能完全实现治理目标。于是,个人信息治理形成了一种多元的社会规范性秩序状态,呈现为一个分种类、多层级的个人信息保护规范体系。
(1)组织类官方规范。该规范类型是一种在集中理性指导下,以政府(广义)制定的规范性文件为治理依据、在特定司法管辖范围内、治理对象主要存在于国家物理疆域内的规范性秩序类型。这类官方规范也为个人信息的公私法协作提供了规范依据。
(2)自制类社会组织规范。大型营利性或非营利性的互联网企业、非政府间机构组织等或者通过自己制定的规章制度、隐私政策对业务范围内的个人信息处理行为进行规制,或者通过制定互联网协议、软件代码对个人信息处理进行架构性规制。
(3)自律类伦理规范。网络道德是当前最重要的自律类伦理规范,也称网络公序良俗,它能通过信息主体和信息处理者的自律来应对和处理由于现行制定法滞后而难以预见的那些损害个人信息人格利益、财产利益和社会公益的行为。
二、设立独立监管机构
为平衡信息主体和信息处理者之间的力量失衡,一些国家或者地区通过立法设立统一独立的监管机构来承担个人信息保护的执法任务,以促进个人信息处理者的合规义务、保护信息主体的合法权益。由于具有专业主义、运行自治、政治绝缘、政策上的专业知识及灵活应对变动环境等特点,能够更好地为个人信息保护提供结构性支持,所以在德、英、日等国内已经实现了制度化、法治化的独立监管模式。由此,国内有学者提出我国应设立国家个人信息保护委员会作为统一独立的个人信息保护监管机构。独立监管机构还可以对符合信息保护标准的信息处理者予以资质认证,同时对相关主体的个人信息保护工作进行动态信用评级。
三、开展多主体风险评估
诚然,在个人信息内涵二元架构的分析框架下,个人信息范围的界定可以还原为特定时空条件下客观性的技术标准。申言之,个人信息的认定就化约为对指称性构件(个人标识信息)与描述性构件(个人痕迹信息)的关联判断上,该判断采用欧盟GDPR的“所有合理可能的方法”,即考虑所有客观因素,如识别所需的成本和时间,并考虑处理时的现有技术和技术发展,从而尽量避免法律上的价值评判。然而,敏感信息或私密信息的类型划分,尤其是信息主体基于自由意志对个人信息的物质性利益进行处置,以及有权机构基于公共利益对个人信息获得处置豁免的限度划定,却是一种主客观交织的多元价值判断。针对这些价值判断的风险评估,既要考虑当事人主观意愿、现行成文法规范,又要兼顾地域、文化传统、法治理念、宗教信仰、风俗习惯、经济发展、主流价值等社会一般合理认知的影响,甚至对指称性构件与描述性构件之间的熔断状态是否发生了技术和成本突破,也须进行阶段性评估。对此,我们必须设计一套根据侵害行为对信息主体所带来的风险程度进行认定的多主体评价体系。笔者建议由信息主体、信息处理者、独立监管机构、行业协会、行政主管部门依照各自不同的权重做出量化评分报告,以确定具体场景下的风险程度,并定期评估匿名信息的残余风险(Residual Risks)。此评分报告在行政执法、诉讼程序中起到类似于鉴定意见书的效用。
四、完善技术性治理模式
技术治理对个人信息保护所起的功能作用,要么是提供宏观的基础架构,要么提供微观的技术手段,这是一种既可事后制裁更能事前介入和干预的预期调节形式。
(1)积极运用技术措施,如隐私参数平台(Platform for Privacy Preferences,P3P)技术和标识元系统(Identity Metasystem)等。P3P可以生成供计算机识别的个人隐私参数,若用户访问的某个网站不符合其设置的个人隐私参数,该协议就会触发阈值,将预警信息发送至用户。相应,如果一个网站利用该协议设定其隐私政策或隐私保护指引与用户的个人隐私参数不符,那么网站或用户就会认识到这一冲突产生的问题,接着采取修正措施以满足各自所需。
(2)强调源头治理。严把操作系统作为控制收集用户信息权限的初始环节,比如推广可选性“禁止追踪”(DNT, Do Not Track)条款,进行信息保护的源头治理,应用软件运营者严格遵守操作系统的权限要求,违反的话将会被下架处理。
(3)开发个人端信息保护软件。就像网民没有必要成为电脑程序员就可以借助杀毒软件防范电脑病毒一样,信息主体也可以利用信息保护软件对与信息处理者签署的信息处理合同进行咨询问诊,根据软件对信息泄露或滥用所发出的风险预警来及时调整信息保护和共享的合同方案,也可以将软件的预警日志记录作为证据来寻求相应的权利救济。
