探索激勵相容的個人數據治理之道
——中國個人信息保護法的立法方向

2018-11-20 01:14:45周漢華

社會觀察 2018年4期

文/周漢華

以激勵相容為制度設計的核心

國內外學術界對于中國改革開放基本經驗的主流總結，內在邏輯均是強調通過激勵機制調整來調動各級政府或者市場主體的積極性與創造性，走出一條中國的大國發展道路。中國發展道路選擇不僅符合本國國情，也與近年來國際上政府改革的普遍經驗契合。傳統法律理論認為，法律是主權者的命令，是必須遵守的規范，令行禁止是其基本特征。因此，傳統立法規制方式通常是命令控制方式，表現為禁止性規范或者義務性規范，要求被管理對象不得或者必須從事某些特定行為。這種規制方式有很多弊端，包括：要求很強的執法能力，否則命令會被普遍漠視；由于信息不對稱，這種命令可能與市場規律脫節，遏制市場主體創新能力與守法誘因；執法部門權力過大，可能會導致選擇性執法或者“執法捕獲”等問題。在全球行政改革浪潮中，傳統的命令控制式規制受到廣泛批評，激勵性監管得到重視，人們發現規則如果能夠與被管理者激勵相容，會極大降低執法成本，提高合規動力。因此，法律規則除了命令、禁止以外，還可以發揮引導作用，調動被管理者的守法誘因。如何設計這種激勵相容機制，是規范實施的成敗關鍵。

在大數據時代，由于數據本身的特性，信息控制者有很強的利用激勵而缺乏同等程度的保護激勵。如果立法缺乏科學性，只是簡單施加各種強制性外部要求，忽視信息控制者內在激勵機制設計，就不能消除失衡根源。只有外部要求與內生激勵相容，才能夠實現大數據利用與個人信息保護協調發展。因此，大數據時代的個人信息保護，真正的挑戰在于，如何通過科學的立法與制度設計，理順立法要求與信息控制者內在激勵之間的關系，使個人信息保護成為信息控制者的內在需要。這是個人信息保護法制度設計的目標和最終評價標準。

準確理解歐美個人信息保護法的新發展

國內過去比較歐美個人信息保護法律，普遍缺乏對兩種模式實際運行狀況以及共性的研究，存在簡單的揚美抑歐的現象。最新的國際實證比較研究成果表明，不管歐盟模式還是美國模式，不論法律多么嚴格，只有激勵相容才會取得預期保護成效，不相容則難以得到執行，甚至會導致既阻礙創新又保護不了個人信息的雙輸結果。因此，成敗的關鍵不在于法律規定的模式差別，而在于個人數據治理的制度設計是否科學。探索中國的個人數據治理之道，必須超越歐美兩種模式的簡單法規范對比，既要看到兩種模式的差別，更要從兩種模式中吸取有益的經驗。只有這樣，才能博采眾長，走出一條符合我國國情的個人信息保護法治道路。

如果說美國一直在探討如何構建有效的個人信息保護法律體系，歐盟則已經將制度建設付諸實施。從制定《個人數據保護指令》到出臺《一般數據保護條例》，歐盟的立法行動體現了既保護個人信息決定權利又促進個人信息自由流動的雙重價值。這種雙重價值追求，既體現在《指令》《條例》的名稱中，也體現在立法結構的整體安排上，更體現在《指令》《條例》的前言、基本原則與具體規定之中。當然，鑒于《指令》制定之時移動互聯網與大數據尚未發展，其側重點更多偏向個人信息保護；而《條例》的制定就必須同步考慮大數據發展的實際，為大數據發展提供法律依據，為歐盟數字經濟發展留下空間。國內解讀歐盟個人信息保護法律制度，往往只強調其權利保護的一面，看到嚴格執行的各種要求，卻忽略了其促進發展的一面和制度設計中的各種平衡追求。相較于《個人數據保護指令》，《一般數據保護條例》的整體制度設計思路更清晰、規定更翔實，充分體現了通過更有效的內部治理、更強的外部威懾，促使信息控制者主動承擔更多責任的立法意圖，符合激勵監管的基本原理。

如果說法律規定是外在的表現形式，那么追求法律的有效實施機制就是內在動力，兩者之間是器與道、形與神的關系。后發國家如果只看到美歐法律規定的表面差別，看不到背后的作用機理，就很難從其經驗與教訓中獲得任何有益的啟示。

培育信息控制者的內部治理機制

發展中國家不同于歐美發達國家，制定個人信息保護法，首先要找到信息控制者最基本的激勵點，并圍繞核心激勵設計相關的制度。對于所有信息控制者而言，最基本的需求肯定都是發展與安全。發展是目標，安全是實現目標的保障；缺乏安全保障，不可能有發展。由于技術水平的差距，發展中國家面臨的安全挑戰比發達國家要大得多。從安全防范角度切入，在發展中國家應該是最容易為信息控制者接受的解決方案。

對于信息控制者而言，從信息安全角度來保護個人信息，本應該是順理成章的事，個別行業領先企業也已經自發在進行相關的內部治理機制探索。但是，過去對信息安全約定俗成的理解，并不包括個人信息安全或者隱私保護。基于這種背景，1994年制定的《計算機信息系統安全保護條例》，目的是為了保護計算機信息系統的安全，保障計算機及其相關的和配套的設備、設施（含網絡）及其運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全運行，但缺乏關于個人信息保護的規定，使個人信息保護一直游離于信息安全等級保護制度之外。這樣，在傳統的信息安全觀念下，信息控制者長期考慮的只是計算機系統安全或者運行安全，力圖通過權限管理、病毒查殺、設立防火墻、VPN、入侵檢測等管理與技術措施，防止系統被攻擊和癱瘓，未能將個人信息保護納入安全框架內一并予以考慮，導致信息安全管理與個人信息保護長期存在相互脫節的現象。

近年來國家明顯加快了個人信息保護的立法進程。2009年侵權責任法首次在法律中確立了隱私權的法律地位。同年，刑法修正案（七）設立了出售、非法提供公民個人信息罪與非法獲取公民個人信息罪兩個罪名。2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，第一次從法律上界定了個人信息的內涵和范圍，也是我國法律第一次對個人信息保護實體內容進行較為系統的規定。2013年修訂的消費者權益保護法，明確將個人信息得到保護的權利列為消費者的一項基本權利，全面突出強調了消費者個人信息保護方面的內容。2015年刑法修正案（九）對刑法修正案（七）的規定予以進一步完善，將兩個罪名合并為侵犯公民個人信息罪，還增設了拒不履行信息網絡安全管理義務罪。2016年制定的網絡安全法是迄今為止對個人信息保護規定最為全面的立法，它明確要求網絡運營者建立健全用戶信息保護制度。2017年民法總則第111條規定，自然人的個人信息受法律保護。

但是，由于缺乏專門的個人信息保護法，我國個人信息保護相關立法目前普遍存在兩個突出問題：一是規定過于原則，往往只是一個概念或者一個具體要求，通常是禁止性要求，缺乏系統的整體制度設計，即使網絡安全法對于個人信息保護也都只是一些非常原則性的規定；二是普遍重責任追究，尤其是刑事責任追究，輕過程規范，輕綜合治理，只要發生不利結果，就責任很重，甚至可以直接刑罰制裁，而信息控制者究竟應該履行哪些法律義務則缺乏規定。比如，按照《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對于侵犯公民個人信息罪“情節嚴重”采用了十種不同的判定標準，符合標準之一就可以定罪。這樣，幾乎所有侵犯公民個人信息行為都可能直接觸發刑事責任，完全可以替代任何行政執法機制，更不需要內部治理機制配合。結果，近年來的密集立法不但未能解決信息控制者內部信息安全與個人信息保護脫節問題，還導致外部法律要求與信息控制者內部治理機制脫節、刑法制裁與其他法律手段脫節、責任規范與行為規范脫節等現象，呈現典型的命令控制式立法特點。刑事責任規定雖然看似嚴格，實際效果卻非常有限。隨著大數據發展，一些市場主體已經意識到個人信息保護的重要性，并進行相關的主動探索，但囿于內部體制分割，加之法律規定的各種脫節現象，導致始終無法破解“兩張皮”“多張皮”的問題癥結。

未來個人信息保護法要做的，就是針對上述各種脫節現象，借鑒近年來國際社會的實踐經驗與國內行業領先企業的有益探索，以培育信息控制者內部治理機制為目標，將個人信息保護要求嵌入整體信息安全防范體系中，明確各個環節的相關法律義務和組織要求，完善多元參與與互動機制，實現法律規范的外在要求與信息控制者的內在需要激勵相容，達到既保護個人信息安全又強化信息控制者的安全防范能力的雙贏結果。這就涉及觀念更新、組織與流程再造、行為方式調整等各個方面，是一項系統工程，需要進行全面的制度設計。

構筑有效的外部執法威懾

培育激勵相容的內生機制，核心在信息控制者的自律。但是，在利用與保護個人數據激勵失衡的大背景下，不論是合作規制理論還是各國個人信息保護實踐均證明，完全依靠自律機制并不能形成有效的激勵約束。只要個人數據能夠帶來利益，這種現象就難以改變。制定個人信息保護法的國家，一項重要的立法任務就是構建有效的外部執法威懾，促使信息控制者積極履行法律責任，并對違法處理個人信息的行為予以制裁。

由于缺少統一的個人信息保護法，我國在外部執法威懾機制構建方面除了前述的刑法機制替代其他執法機制、信息控制者實體行為規范缺位以外，實踐中還導致國家網絡安全保護與個人信息保護錯位現象，進一步加劇了規則適用的紊亂和系統性失靈。

在國家信息網絡專項立法規劃中，信息網絡立法是分層規劃、分層設計的，網絡安全法與個人信息保護法是兩部獨立的立法，各自有其立法目的、原則、任務與制度。網絡安全是國家安全的重要組成部分，事關國家根本利益，不容半點妥協，沒有網絡安全就沒有國家安全。個人信息權是個人權利的組成部分，權利有相對性，需要依法行使，同時承擔義務，權利與權利之間出現沖突需要協調，為了國家安全與公共利益可能還需要對權利進行必要的限制或克減。

由于網絡安全法制定的時候，個人信息保護法尚未被納入國家正式立法計劃，因此該法自然承擔了部分個人信息保護法的立法任務，集中反映在第四章的相關規定中。也就是說，網絡安全法同時承擔了雙重任務：一是保護國家網絡安全，這是該法的主要任務；二是保護個人信息安全，這是該法的附帶任務。如果能夠把握法律關系的本質，分別適用不同的判斷標準與制度，本來應該不會出現不同任務之間的錯位問題。但是，由于個人信息保護法缺位，加之其他各種復雜的原因，實踐中已經出現的問題是，執法部門有時候會將雙重任務混合，就高不就低，將保護國家網絡安全的標準適用到個人信息保護領域，導致法律關系出現錯位和紊亂。

可見，加快出臺個人信息保護法，科學厘清不同制度的邊界，不僅能解決刑法規范替代其他執法機制、信息控制者行為規范缺失等問題，也能理順個人信息保護法與網絡安全法的關系，解決好外部執法威懾機制越位、缺位與錯位并存的三大現實問題，形成有效的立法結構，推動大數據利用與個人信息保護的協調發展。

構筑有效的外部執法威懾，并不是為了執法而執法，更不是為了增加信息控制者的負擔，而是為了推動信息控制者形成有效的內生治理機制。為此，個人信息保護法應從明確行為規范、加大違法成本、增強信息披露、提高違法行為被發現的可能性、完善行政處罰與刑事責任的銜接、推進合作治理等多角度，構筑有效威懾機制，構筑“胡蘿卜+大棒”的激勵約束格局，促使個人信息保護要求能夠真正被信息控制者嚴格執行。

把握循序漸進的推進節奏

培育信息控制者內部治理機制與構筑有效的外部執法威懾，只是信息控制者與管理者兩個主體之間的單維度關系，屬于監管范疇的制度構建。要實現大數據利用與個人信息保護之間的協調發展，肯定不能遺漏信息主體及其權利行使，這就涉及信息主體、信息控制者、管理者三者之間的多維治理結構。缺乏信息主體參與，缺乏完整的治理結構支撐，不可能出現激勵相容的結果，大數據發展與個人信息保護不可能實現持久平衡。當然，一旦引入多維視角，問題就會復雜得多。美歐兩種模式之間的真正差別，其實在于究竟是在多維還是在單維中考慮個人信息保護。

我國制定個人信息保護法，不能夠也不應該回避權利話語。個人信息保護法應該在近幾年各項立法的基礎上，借鑒國際社會成功經驗，包括美國與歐盟的經驗，以全面構建個人數據治理體系為原則，以防范個人信息安全風險為目標，明確引入公法意義上的個人信息控制權概念，并在收集、使用、轉移、存儲、跨境傳輸、銷毀、查詢、更正等個人信息處理的全過程中，明確信息主體的知情權、同意權、選擇權、變更權、刪除權、撤回權等各權項，使信息主體能夠真正參與到個人信息保護之中。

大數據時代的個人信息保護是一個嶄新的領域，個人信息權屬于一項新的權利，權利的性質與邊界都還不清晰，不宜簡單用傳統權利觀念剪裁。簡單照搬傳統權利理論，可能會陷入無休止的理論爭論之中，耗費大量精力。各國實踐已經證明，即使立法技術科學，權利體系設計嚴密，僅僅依靠個人同意權等傳統隱私權保護機制，無法應對大數據快速發展背景下的個人信息保護問題，告知同意機制完全可能流于形式，信息主體只能選擇同意。

這就表明，個人信息保護法在設計治理結構的同時，必須考慮實施環節的激勵相容機制實現問題，使實施部門對立法目的和基本制度構造有非常清晰的整體認識，并處理好不同維度之間的關系。個人信息保護法的實施需要循序漸進、突出重點、把握主線，以風險管理與防控為共同切入點，尋求法律實施的最大公約數，梯度遞進。首先要通過立法在內的外部機制助推信息控制者組織架構變革，培育有效內生機制，形成內外互動合力，以有效預防絕大部分個人信息安全風險。在此基礎上，根據國情、信息控制者接受度和公眾偏好等因素，逐步探索提高價值定位，如合規、權利實現等。這種實施策略，既可以形成激勵相容合力，調動信息控制者維護信息安全的積極性，降低規制成本，迅速實現基本安全目標，也有利于監管部門集中執法力量，聚焦核心環節，避免執法力量過于分散。也就是說，個人信息保護法的制定只是完成了一半任務，另一半任務在于實施中的策略選擇和具體部署，如何實施法律決定了最初立法目標能否真正實現。