個人信息保護的公法應對:引入預防原則的構想證成
2021-09-26 18:22:55宋宗宇林傳琳
社會科學研究 2021年5期
宋宗宇 林傳琳
〔摘要〕 數字科技濫用個人信息造成的社會風險與個人權利侵犯問題日益突出,個體缺乏保護個人信息的能力,公法已然具備更深層次干預個人領域之理由。預防原則是公權力面對科技風險的嚴厲舉措,近年來其擴張適用日益廣泛。數字科技之風險后果既滿足嚴重性與不可逆轉性,又符合預防原則的基本觸發條件,因此適用該原則應是風險防范的較優選擇。由于抽象的侵權風險證明可能離不開主觀判斷,在適用時需要注意限制其規范對象,科學設定“強”“弱”預防原則的啟動閾值,靈活設置“不確定風險”的證明,避免無休止的重復論證。
〔關鍵詞〕 個人信息保護;預防原則;政府責任;科技風險;面部信息
〔中圖分類號〕D923.7;D922.7 〔文獻標識碼〕A 〔文章編號〕1000-4769(2021)05-0084-11
〔基金項目〕國家社會科學基金重點項目“中國民法上的中國元素研究”(18AFX015);重慶市技術創新與應用發展專項重點項目“基于山地城市道路場景的自動駕駛社會實驗研究”(CSTC2020JSCX-DXWTBX0018)
〔作者簡介〕宋宗宇,重慶大學法學院教授、博士生導師;
林傳琳,重慶大學法學院博士研究生,重慶 400044。
一、問題緣起:當下個人信息保護的公法缺陷
科技在帶給人類福利的同時也引發了不容忽視的抽象社會風險,其中以個人信息安全所面臨的威脅尤為突出。在面對科技侵入個人領域時,滯后的法律顯得心余力絀,特別是數字技術對個人數據的運算設置及結果,可能會在暗中侵蝕著個人的尊嚴與自由意志,也可能會影響社會公平與國家安全,層出不窮的新型侵權對法律提出了諸多挑戰。
法學界對這種數字科技所帶來的社會風險與個人權利侵犯早有關注,研究重點多側重從私法角度來實現個人權利保護。我國《民法典》高度重視個人信息保護,首創人格權獨立成編,并確立了隱私權與個人信息保護規則。可是,基于信息控制論及其衍生規則為基礎的民法保護體系,與當下時代特征不符。①為此,學者們提出了許多建議,例如構建新型個人信息民事權利②,重構隱私侵權規則③,綜合運用法律、技術、市場、倫理等手段,形成“多管齊下,激勵相容”隱私保護路徑。④雖然數字科技風險大多以侵犯個人權利的事實來呈現,但是,個人信息已不再是單純的個人利益,而是當下社會的基礎資源。侵犯個人權利的后果既具個體性也有整體性,例如,絕大多數人必將被迫面對的算法操控現象,就是數字科技所引發的整個社會的風險。僅僅依靠私法救濟,不僅無法挽回公眾與個人的尊嚴,更重要的是對這種新型社會風險無法起到預防作用。借助公法發揮其事前預警的防范功能已經成為眾望所歸。2021年4月29日,在全國人大發布的《中華人民共和國個人信息保護法(草案二次審議稿)》[以下簡稱《個人信息保護法(草案)》]中,政府部門的權責得到充分的強調,就印證了這一點。
現階段監管部門對數字產業風險的管控卻不樂觀,因為行政機關對信息處理者多以“約談—自查整改”的形式實現其風險防范職責⑤,執法依據是以《網絡安全法》為基礎,其他法律法規、司法解釋以及政策標準為補充。目前,法律法規制定者多圍繞著“知情—同意”框架進行制度設計,即信息處理者在違反用戶協議或法律強制性規定時,執法部門才可以采取有效手段。此種制度設計的缺陷較為明顯:一是無法實現風險規制的功能定位,對于形式上遵守隱私協議的“算法操控”等抽象性權利侵害缺乏執法依據。換言之,行政處罰過度重視意思自治與損害結果,倘若沒有實質性損害證據則無法采取行動。二是“約談—自查整改”的執法方式對于數字科技的風險預防力度不足,無法對相對人構成足夠威懾。《個人信息保護法(草案)》關于個人信息風險管控的規定也存在類似問題。為了應對抽象的數字科技權利侵害,必須要做到“面向未知而決策”⑥,適用預防原則似乎成為一種可以討論的方案。
預防原則是公法上產生的原則,20世紀60年代德國環境法中的風險原則(Vorsorgeprinzip)被視為預防原則的起源。⑦近年來,預防原則已逐步成為國際法的重要依據,在人類健康、環境氣候、消費者安全保護等領域取得了顯著成效。例如,1992年通過的《歐洲聯盟條約》第130條確立了預防原則的基本原則地位;2002年歐盟通過了187/2002法案,其中明確規定預防原則是規制食品安全領域不確定風險的基本原則⑧,歐盟及其成員應積極執行。預防原則還被積極地應用于轉基因食品安全等領域⑨,2001/18/EC號指令(關于故意釋放轉基因生物)指出,依據預防原則應當對轉基因生物進入市場采取措施,以避免對人類健康或生態環境形成危險。⑩然而,該原則通常用于防范科技手段引發的實質性風險,從未適用于如個人信息侵害等抽象風險。但是,隨著現代科技引發的社會風險日益嚴重,預防原則在國際法中的適用范圍已變得愈加廣泛,從預防環境損害擴展到保護人類健康和消費者安全,同時改變了風險損害的法律性質和證據要求。那么,預防原則是否可以擴張至防范數字產業風險,從而捍衛公民的個人信息權利(抽象權利)?如果可以,又該如何應用?本文將討論這些問題。
二、邏輯前提:公法干預個人領域的理由
根據傳統法學理論,公權力不能介入私人自主權利領域。在現階段的法學理論體系中,個人信息是否屬于公法可以干預的客體并未得到充分論證。由于隱私在我國帶有明顯的私權屬性,隱私利益是純粹意義上的私人利益,因此公權力很少干預個人隱私。而個人信息又與個人隱私枝附葉連。有觀點認為,無論隱私權如何發展,都必須遵守一個前提:即個人信息是個人的道德義務,具有排他性的私權客體應通過私法來保護。[11]我國學界的主流觀點也認為,個人隱私與個人信息呈交叉關系,兩者既有重合的部分又有相互獨立的部分。[12]《民法典》第1032條將私密信息列為隱私概念的一部分;第1034條規定私密信息優先適用隱私權保護規則。實踐中,個人信息保護往往以隱私權形式出現。[13]但是,在比較法上隱私權卻是由憲法與私法部門雙層建構,個人信息權利也是一種跨越部門法的綜合性權利,即公權力可以介入個人信息保護,引致傳統大陸法系隱私權理論發生一些新發展。隱私權誕生于美國,又被稱為“獨處的權利”[14],二戰后歐洲各國逐漸將隱私權作為法律所保護的權利。當人類社會進入互聯網時代,個人領域與公共領域之間的界限開始變得模糊,隱私信息被限制在個人不公開領域的藩籬逐漸被破解。科技手段可以在不影響個人獨處的情況下盜取其隱私信息,個人即使獨處也不足以享有私生活的安寧,此時個人信息權利應運而生。在數字時代,隱私權也可以被解釋為是個人可以選擇在何時以及何種程度公開個人信息的權利。[15]為此,我國現階段的個人信息保護相關立法并未完全排斥行政部門介入,但缺乏決定性的理論共識,行政權的介入還相對較弱,遠未達到預防原則所需要的執法強度。
預防原則本質上是公法上的授權,即法律授權政府在國民蒙受不確定的極端風險時,不顧及風險概率而采取的保護措施。申言之,預防原則要求政府以嚴格的態度履行職責。此種立法授權之所以勃興,主要原因有二:一是個體對科技風險存在認知局限,無法判斷其來源與未來,故稱之為“風險”。尤其在現代社會,科學技術飛速發展所帶來的高新技術社會風險不斷呈現,基于自由意志的個人理性已不再強大無誤。另一方面,風險往往具有緊急性,需要立即作出應對。與專家不同,普通民眾對風險的認識大多來自直覺,這種不安全感也會導致民眾希望政府進行干預。即使此種直覺并沒有合理的根據,但政府仍然會面臨回應民眾的壓力。相較于個人防范,政府對未知風險的預防與管理更加有效。自20世紀80年代以來,即使在歐美等自由主義國家,政府形象也從消極的“守夜人”逐漸演變為積極的“家長”, 要求行政權更加積極主動地防范風險,而不是恪守議會的意志。
如果個人信息構成公法上的權利客體,那么就“應當通過設計制度來落實權利保護”。[16]這就需要討論公權力能否介入個人信息保護領域。筆者主張公權力可以介入個人信息保護領域,主要基于如下理由:
其一,公權力從未“缺席”私人領域。在自由競爭條件下,個體差異逐漸造成兩極分化,實力強勁的個人利用競爭中的優勢令契約自由、人格平等成為泡影,過度推崇私法自治產生了嚴重的社會問題。“基于某種政策考量限制主體的私權及其行使”[17],公權力可能不斷地滲入私人領域,因為市場主體“始終都受民法自治規范和國家管制規范的雙重限制”。[18]就個人信息的公法保護而言,我國法律早有涉及。例如,我國《刑法修正案(五)》增加了“竊取、收買、非法提供信用卡信息罪”,《刑法修正案(七)》增加了“侵犯公民個人信息罪”就是例證。
其二,隱私規則的公私二分理論在數字時代逐漸失效。傳統理論認為隱私只存在于私人領域,個人信息通過自由意志流入公共領域就不再是隱私。自新型數字技術出現后,在網絡中傳播的個人信息也會被用戶視為個人隱私。例如,2019年9月,一款名為“ZAO”的APP因使用“AI換臉”技術需收集、處理用戶面部信息引發社會熱議,進而引起監管部門的重視(以下簡稱“ZAO APP 事件”)。所謂的AI換臉,是指只需要一張正臉照片就可以將媒介中特定人物的臉進行替換,既可以換成自己的臉,也可以換成不特定他人的臉,能夠達到以假亂真的效果。[19]監管部門很快認定“ZAO”的APP隱私保護協議不規范,要求其自查整改,并表示需要制定新的治理規范監管新技術、新應用。[20]可見,堅持公私界限作為判斷是否隱私的基礎已經不能滿足數字時代用戶人格利益的保護要求,若依據傳統的隱私理論,則充斥在網絡中的個人面部信息就不再是隱私。不僅如此,比較法上摒棄個人隱私的公私二分理論也已成為普遍做法,轉而強調主體對個人信息的絕對控制。海倫·尼森鮑姆教授提出的場景性公正理論(Theory of Contextual Integrity)即是基于不同場景來判斷隱私。[21]因此,公私二分論一旦被否定,就不存在公權力不能介入私領域的這個邏輯。
其三,個體逐漸缺乏保護個人信息的能力。在傳統理論上,公權力不能介入個人信息保護的另一個重要原因是,保護個人信息屬于個人的道德義務并且其有能力保護信息外泄。在互聯網時代初期,人們有能力保護個人信息。雖然用戶之間存在信息互換,但是互聯網技術也為個人打造出一個“獨立空間”,個人可以處于獨立封閉的空間中。而且那時“信息總量不大,泄露風險較低,即使泄露其影響也有限”。[22]但進入數字時代后,由于受到知識和實踐選擇不足的限制,個體缺乏采取措施限制大數據捕獲個人信息的能力。事實上,即便個體知曉互聯網的信息風險,也無法拒絕使用科技產品。因為個人的工作和生活已經與數字科技高度耦合,當人們置身于數字生活中或者以其他方式(如云支付、在線申請工作等)參與數字經濟時,都會對數據庫作出無形的貢獻。現代化智能產品作為數據收集者,隨時可能甚至必然變成數據泄露者。數據的收集范圍時常會超出服務者的需要范圍,而用戶卻不知情。如Facebook等社交媒體為廣告營銷、公關等正當用途所收集與交易的數據中,8/9的數據用戶無法看到,僅有1/9的數據用戶可以看見。[23]
個人最大化地實現規避風險的方式,就是產生更少的數據從而減少對自己和他人的傷害的可能性。但法律卻不能鼓勵這么做,一旦不能收集足夠數據和高質量數據,將會導致國家在多個關鍵領域的競爭失敗。互聯網企業的隱私政策給予了用戶是否公開個人數據的權利,但是,用戶在與企業的權利博弈中并沒有太多話語權,晦澀、冗長、難懂的用戶協議迫使個人跳過閱讀,概括式地要么同意這些軟件政策繼續安裝,要么只能離開。并且,許多軟件之間存在相互關聯,一旦同意了其中一個軟件的隱私政策,也就視為用戶同意將個人數據對其他關聯的軟件予以共享。[24]知情同意規則的虛化讓保護個人信息任務變得更加艱巨。
其四,私法的局限性。僅僅通過放大或縮小私權并不能根除數字科技的風險,這種現象在互聯網巨頭企業中尤為明顯。即使《民法典》對個人信息保護高度重視,并將其納入人格權編,也無法避免最終以請求權作為基礎的救濟方式。問題的關鍵在于,私人與互聯網巨頭的地位不平等導致民事救濟難以實現:一方面,因為它們獲取與應用個人隱私的手段完全“合法”,且不會造成明顯的損害,通過人格權制度很難提供法律救濟,而隱蔽的侵權活動卻仍然存在;另一方面,人工智能產品的創新速度較快,私法在抵御這類法律風險時存在“侵權—救濟”范式的構造難題,針對還未引起足夠審慎思考就已投入使用的技術,傳統侵權法理論根本無力應對。[25]仍以“ZAO APP事件”為例,在法律對于如何保護面部信息不甚了了時,帶有科技風險的換臉APP就已經上架投入使用。該軟件公司甚至在用戶協議中就明確指出,用戶上傳發布內容后就意味著同意授予“ZAO”及其關聯公司以及“ZAO”用戶在全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利。盡管最終這場風波隨著行政機關及時介入而結束,但其暴露出的隱私安全問題卻未經充分的討論。就此事件,現階段用戶可采取的私法救濟措施主要有:主張此用戶協議屬于合同法上“格式條款”,不能成為締約雙方認同之內容;或者對AI換臉技術所引發的名譽權、隱私權等人格權風險主張排除妨害等等。但是,在網絡技術發達的今天,面部數據與個人賬戶的安全度密切相關,任何能夠復制面部數據的個人或公司都可能掌握了打開個人賬戶的鑰匙,而個人卻無法舉證侵權是如何進行的。所以,私法對科技侵權風險可能顯得無從下手,必須借助于公權力進行風險防范。
三、法理支撐:引入預防原則的合理性分析
雖然公權力可以保護私人權利為由規范數字產業,但預防原則是極為嚴格的監管方式,因此需要充分討論引入預防原則的合理性。
(一)個人信息保護需要被法律嚴格對待
預防原則的證成必然帶有預設的價值判斷,即必須嚴格對待數字科技風險。筆者主張嚴格對待數字科技風險,但數字產業對國民經濟的重要性不言而喻,且預防原則是一種嚴格的法律原則,故欲證明個人信息保護可以適用預防原則,就必須提出合理的理由。
首先,現階段個人信息保護亟需統一其價值認同。如果不能明確必須堅守的價值目標,那么對價值理解不同的人就可能對法律作出相反的理解。例如,《網絡安全法》第四章與《民法典》所規定的個人信息保護規則,既可理解為法律重視私權抑或是對侵犯個人信息持嚴格態度,也可以理解為法律認可基于知情同意規則下的信息分享抑或對合法的信息處理行為持寬容態度。司法實踐中,往往也會因為價值觀念不同而發生分歧。例如,在朱某訴百度公司隱私侵權糾紛案中,朱某認為百度公司收集其在百度搜索引擎中的搜索記錄并運用算法對客戶進行精確廣告營銷的做法侵犯了他的隱私權。一審法院判朱某勝訴[26],而二審法院駁回了朱某的訴訟請求。[27]二審法院的裁判理由是搜索信息屬于匿名信息,它不符合個人信息的可識別性,且百度公司也沒有宣揚朱某的隱私并因此造成損害。事實上,個人信息匿名化處理只是回避了個人信息利用的合法性問題,并不能消除個人信息流通中的隱私風險。
其次,正是因為人工智能在公共政策制定、企業決策等領域具有無可比擬的預測能力,而個人信息是其學習與運算的“血液”,被稱為“21世紀的石油”,所以社會往往對互聯網企業過于寬容。由于單個個體的數據價值并不大,因此互聯網企業必須竭盡所能地收集大眾數據。換言之,這種技術在骨子里就存在誘發信息濫用的基因,因為濫用可以帶來巨大的收益,個人信息的濫泄就成為可能甚至必然。科技能創造巨大的經濟收益甚至引發世界格局變革,但它對人類尊嚴與自由造成了威脅。由于如今的網絡技術功能強大,牽扯范圍廣,嵌入社會深,因而其社會風險很大。[28]
最后,更為糟糕的是,即使風險苗頭已然顯現,但由于科技往往都是以正面形象出現,故其背后的侵權風險被視若無睹,公眾的目光并非真正的審慎與理性,國內某明星與“B站”之糾紛就是一個例子。[29]活躍在該網站上的視頻制作者通過剪接、換臉等方式,將該“明星”面孔從原視頻中截取出并置于其他搞笑視頻中,以達到賺取流量的目的。但搞笑視頻經常帶有貶義,其在視頻網站上傳播,不免發生類似“破窗原理”的觀眾跟風詆毀現象。一段時間后,該明星的名字甚至姓氏都淪為網絡語言中的貶義,對其社會形象造成了巨大損害。該明星曾試圖通過法律手段要求網站刪除相關視頻,卻遭遇拒絕。單從法律角度分析該事件,若主張傳統意義上的侵權法責任,將難以成立。一方面,視頻制作者可以辯解自己只是為了娛樂需要,那么,其主觀上的過錯就難以認定。另一方面,制作者獲取視頻的方式是合法的,視頻內容也是真實的,也不能構成嚴重的侮辱、誹謗。但若依人格權請求權,則該請求可能得到支持。因為人格權請求權屬于絕對權請求權,不要求行為人具有主觀過錯[30],旨在將人格損害恢復至圓滿狀態,但被害人卻未如此主張。因為B站提出社會輿論對公眾人物所造成的輕微損害應當予以容忍,并基于此迅速開展輿論攻關,獲得了多數公眾支持,最終該明星放棄了維權。即使此事件引發了全國性的輿論風波,但該互聯網企業卻屹立于不敗之地。而如今,這種惡搞現象似乎已經成為網絡常態。
上述案例背后映襯的問題是,互聯網巨頭為多數人狂歡尋找了一個“正當”的理由,即“明星”“名人”才會遭到惡搞,普通人并不會,從而令多數人無視科技手段所帶來的道德風險,此其一。在當今數字時代,每當輿論倒向一方,法律往往只能作出讓步,一旦輿論戰中分出高下,則法律上的結果已不再重要,此其二。互聯網企業往往具有極強的公關與輿論引導能力,如任由此現象發展,法律恐將一直被輿論綁架,難以對亂象形成制約,此其三。總之,個人信息的濫用看似無足輕重,實則影響深遠,需要被法律嚴肅對待。如果不能明確嚴格的監管理念,加強法律在智慧社會中的權威性,僅僅依靠立法,其現實意義將非常有限。
(二)個人信息保護滿足預防原則的觸發條件
預防原則通常要求有不確定風險的證據,或者有合理理由懷疑某項技術對環境、健康問題存在潛在威脅時,才能選擇適用。從理論上講,需要同時滿足存在不確定的風險和風險具有嚴重性兩個條件。顯然,由大數據技術引發的社會風險具有不確定性。如果其是確定的,也就意味著人類能夠預測到人工智能的決策結論,那么人工智能就沒有存在的意義了。但是,抽象風險能否適用預防原則卻是一個關鍵問題。
1.物理損害并非預防原則的必要條件
有觀點認為,觸發預防原則只能是由科技造成的直接物理損害,或者對環境造成的直接物理損害引發的間接物理損害例如核污染,而抽象的侵權損害并不在預防原則的適用范圍內。理由是:其一,因科技改變個人生活而導致的精神性損害或失落感難以計算,而且通過自我調解可以克服。[31]其二,不確定風險需要最低限度的證據基礎,不能是尚未論證的學術思想或假設。ORiordan和Cameron就認為,對預防原則最普遍的理解是具有“足夠”證據的,或者通過成本效益分析后有理由采取行動的,或者可能導致不作為而不得不“謹慎”采取行動的。[32]這意味著采用預防原則的理由不僅僅是推測,還需要采用科學的評估方式,如采集樣本、控制變量、選擇模型等等。[33]而侵犯個人信息的后果大多是抽象的損害,例如信息繭房、改變人類自由意志等等,表面上看與預防原則的要求相去甚遠。
針對物理性損害,主要通過預防原則經多年發展所產生出的衍生規則來救濟。起初,預防原則僅僅是針對特定的科技事項,其重點關注風險的嚴重性與發生依據,而這種風險是否屬于物理損害并不是關鍵問題。例如,《里約宣言》是最廣為人知的確立預防原則的國際文件。它對損害的描述是具有“嚴重的和不可逆轉的損害”,并未提及風險損害的物理性。[34]就此而言,可以歸納出預防原則的特征是存在潛在的未來風險、具有初步科學依據、在完全確定風險之前就展開行動。[35]換言之,預防原則在發展演變過程中增加了一些限制(如物理的損害),但最初并沒有此項要求。因此,當時代發生了變化(科技所造成的社會風險日益復雜化),就不能當然地堅持預防原則完全不具有適用于非物理損害的可能性。
那么,如何通過科學依據證明存在嚴重的抽象風險呢?如果將“科學依據”理解為僅指自然科學依據,而將法律用于論證風險認為是不“科學的”,此觀點也是片面的。實際上,抽象風險也可以用法律的嚴謹方式進行評估,以免引致濫用預防原則。因為預防原則所要求的是一種不確定風險,最終的價值判斷仍然離不開主觀論證。現實中,不存在一種確定的能證明具有潛在風險的自然科學證據,否則就不是具有不確定性的風險了。科學家對科技引起的不確定性風險也很難達成共識,因為實驗結論本身就不是絕對科學的,科學家大多不敢或不愿給出確定的結論。換言之,即使完全尊重科學家,也會因科學家的結論之間存在分歧而不得不進行主觀判斷,那么道德論證就顯得更加重要。因此,科學依據并不能僅作狹義的理解,人文科學的論證也當屬于此范疇。
2.個人信息濫用的后果足夠嚴重
預防原則可適用于環境保護與人類健康領域,其正當性基礎在于它們關乎人類的生存繁衍。而個人信息濫用最嚴重的后果是不斷地讓渡隱私以換取利益,最終隱私為零。[36]沒有隱私就沒有自由意志,可能部分人仍然堅持自由意志的價值難以同人類健康相比,但不可否認的是,某些數字科技風險也同樣具有嚴重性與不可逆轉性。
其一,嚴重性體現在算法操控與破壞公眾自由決策。一般而言,個體對于自身信息的管控不得不對智能產品產生妥協,但人工智能卻可以針對個人選擇做出精確的資訊投遞。申言之,通過人工智能而影響個人的自由意志絕非難事。在Facebook數據泄露事件中,算法通過對個體數據的匿名數據分析處理后,篩選出一些目標用戶,對他們進行新聞推送、政治精準宣傳,從而影響了多個國家的總統選舉結果。[37]該事件充分證明,只要收集到足夠的個人數據,人工智能可以影響人類的自由決策,那么社會的根基也將面臨重大威脅。
其二,不可逆轉性體現在當人類習慣失去尊嚴后就很難恢復。隱私是人類的基本利益,它決定著人類的尊嚴問題。當今數據自由主義的支持者提出隱私是可以犧牲的代價,他們認為科技可能是毀滅人類自主的原罪,但也是不可抗拒的影響社會之因素。[38]保護個人隱私的任何道德責任不包括約束大數據的義務,因為大數據在商業、人類健康與安全等方面的有益用途已經超過了隱私危害。易言之,人的尊嚴與隱私等權利應當為科技發展讓位。但如果不能重視人類基本權利的保護,那么資本將通過高新技術侵蝕個人尊嚴的內核,個人就不再能實現“獨處”,人類就不再存有隱私。[39]
隱私能得到保障也是個人自由意志的前提,沒有隱私人類就無法培養個人道德與自主意識,就不能意識到個人行為與行為后果之間的關系,自然也不存在自擔風險的責任意識。此外,信息控制的嚴重不均衡也將加劇教育、就業、社會保障等多方面的不平等。當前大數據分析涉及個人行為生成的未知性和非共識性數據使用,企業及研究者可以部署復雜的人工智能算法,揭示原本無法確定的身份、行為、趨勢以及實踐性知識體系,進而損害個人的機會,這些機會流失的后果大多為個人所無法預見,最終導致自由平等的價值理念遭受巨大挑戰。事實上,這些威脅通常難以救濟且不可逆轉。退一萬步講,即使視數字科技風險為威脅真的毫無道理,或者不如環境與健康風險所引致的損害那么嚴重,公眾對風險的看法仍是政府制定政策的合理理由。既然數字科技侵犯公眾隱私所造成的社會風險已昭然若揭,那么公眾向公權力求助進而適用預防原則也就具備正當性。
四、路徑設計:引入預防原則的實現構想
基于上述分析,可見預防原則在個人信息保護領域仍有用武之地,其制度功能不僅要體現對數字科技風險的防范性,還要具備對于數字產業的治理性(governmentality)。治理性主要體現在專家與信息處理者對于不確定風險的論辯反思上,公權擔當人所代表的公眾擔憂之表達也是其重要內容。但是,預防原則確實存在內容模糊、表述版本多且缺乏統一性等先天缺陷,個人信息的權利損害也比較抽象,那么,在適用預防原則時會否出現更加缺乏程序與規范的現象呢?實際上,法律本身就是確定與不確定的混合體,并且將永遠是含糊的、不穩定的。[40]盡管無法對個人信息保護規范中的預防原則下一個準確定義,但是仍然可以歸納出主要的程序規范。以下將從預防原則的適用對象、啟動及證明三個方面進行討論。
(一)預防原則的適用對象
由于數字科技所造成的風險具有抽象性和不確定性,其產生機理也較為復雜,對預防原則規范對象的界定就變得尤為重要。
1.可針對的主體。必須說明是,筆者提出預防原則適用個人信息規制體系并不是針對所有的信息主體,而只能針對部分有一定社會影響力的主體,例如用戶眾多的互聯網平臺。原因在于:其一,適用預防原則的正當性是基于公眾對公權力保護個人信息的需求,屬于個人信息保護法律體系的一部分。而現代個人信息保護法的思想源于公平信息實踐原則[41],它所管束的是不平等的信息關系,針對的主體大多是商業性或特殊主體。它既不能針對個人或群體日常的、普通的信息收集、處理行為,也不能針對公權力機關的職權行為,目前與個人信息保護相關的法律大多包含了此種理念。例如,歐盟《一般數據保護條例》(General Data Protection Regulation)第二條第二款(c)(d)項規定,“自然人在個人或家庭活動中的個人數據處理”與“預防、偵查刑事犯罪或執行刑事處罰”的個人數據處理行為不適用此條例。我國《民法典》第1039條規定,公權力機關及其工作人員“對于履行職責過程中知悉的自然人的隱私和個人信息”負有保密義務;《個人信息保護法(草案)》第35條規定,行政機關在處理個人信息時原則上應經過本人同意,但在妨害其履行法定職責時除外。這就相當于將國家機關依職權獲取個人信息的行為排除在外,在一定程度上也體現了這一原則。其二,預防原則僅針對具有一定嚴重后果的科技風險,對于個人信息保護而言,大多數嚴重風險都是由大型信息處理者所引起的。小型的甚至個人的收集行為通常并不會引起社會風險,且個人完全有能力通過私法手段來救濟權利。
2.不確定風險的類型。顯然,在此體系中預防原則所規范的并不是互聯網平臺所使用的數字技術本身,而是包含數字技術的實際應用產品。這里需要明確不確定風險的兩個性質:第一,風險必須是智慧手段正常使用中所產生的,以科技手段故意損害他人利益的行為不在本文討論范圍之內。例如,用互聯網手段非法入侵他人電子設備,盜取個人信息與財物的,應被視為盜竊行為,而非科技倫理風險。其二,損害后果是非物理損害。因為數字科技產品風險引發的重大物理損害已有相關法律予以規制,并不需要討論。例如,自動駕駛汽車正常運行中致人損害,被害人有權提出侵權損害賠償,“通過可接受風險理論與利益衡量”[42]可以劃分保有人和生產者的責任界限,而自動駕駛汽車中處理信息的算法是否符合倫理要求,則可以納入預防原則的討論范圍。
根據損害方式的不同,可將具有社會損害風險的產品分為兩類:一是具有直接損害風險的產品,指的是信息處理活動對不特定第三人所造成的直接損害。由于直接損害對信息主體造成了直接的侵權風險,故較為容易認知與證明,例如個人信息在采集、處理、儲存中的泄露風險。直接損害所造成的不僅僅是經濟上的損害,也包括對個人名譽、隱私等人格權的損害,例如私密信息被公開的風險或者通過AI換臉等技術造成混淆后對他人名譽損害的風險等。二是具有間接損害的風險產品。這是信息處理活動對個人或者群體引發的道德、倫理等抽象性風險,往往難以被社會公眾所發現、認知,并且難以證明。此種風險可以是現階段就存在的個人生活于數字時代中都能夠感知到的權利或者道德上的風險,也可以是當下并不存在的潛在風險。盡管潛在風險尚未爆發,但是只要公眾有合理理由擔心未來可能會爆發,都應當被預防原則所規制。
(二)預防原則的啟動
1.閾值設定。預防原則有“強”“弱”之分,最早的預防原則理論是指在進行一項活動時,為了避免嚴重的、不可逆轉的損害而禁止使用某種科學技術,從而確保該活動在沒有風險的情況下進行。但是,這可能會嚴重地阻礙社會發展,為了彌補早期理論的過度僵化,弱預防原則理論應運而生,而早期的預防原則就被稱為強預防原則。所謂弱預防原則,是指在危險程度相對較低時,采取一定的措施從而防止危害的產生或擴大,因此它往往需要考慮比例原則、成本收益等等。[43]而最弱的預防原則是政府對于科技風險的密切關注。由于個人信息保護一直是我國政府高度關注的問題,故無探討最弱預防原則的必要。必須指出的是,無論適用強預防原則還是弱預防原則,其啟動閾值均以某種風險為嚴重的、不可逆轉的為必要,這就需要進一步設定某種程度的風險閾值,從而對“強”“弱”進行區分。
作為借用于數學物理領域的專業術語,閾值是一種臨界狀態的翻轉值。強預防原則的風險認知閾值較低(由于難以認知,所以一般人達到低水平的認知閾值即可啟動),即使沒有充分的理由相信某項活動可能有害,也可以將其本身視為必須采取諸如禁止之類的嚴厲措施,政府措施傾向于風險防范。弱預防原則的不確定風險認知閾值較高(由于容易認知,所以需要一般人達到一定水平的認知才可啟動),需要有合理的理由認為某種行動的后果是有害的,就足夠證明監管是正當的,政府措施更傾向于風險管理。[44]
在此過程中,必須注意避免唯科學主義。由于不確定風險難以被科學所證明,故不能僅執行科學家所設定的標準。事實上,預防原則離不開主觀論證,科技也必須要接受質疑,可以結合行政主體與民眾對于數字科技風險的認知程度,從而制定風險標準體系。法律還應當建立不同的援引預防原則的舉證標準,力圖使援引預防原則的依據取決于所涉問題的性質與類型。具言之,弱預防原則應當設定較高的啟動閾值,因為當公眾認知風險比較容易時,就不會難以理解風險的后果與企業的過錯,對風險的防范也比較容易達成共識,故應設定較高的啟動閾值。例如單純的買賣個人信息行為,屬于公眾容易認識的侵犯個人隱私的風險,不涉及公民平等、國家安全等難以認知的問題,那么法律就不必采取強的預防措施(將其完全禁止),而是需要督促政府履行管理職責;政府不得借故缺乏科學依據,怠于實施行政行為。也可以通過行政管理措施從寬解釋預防原則。例如,關于敏感信息的使用,即使科技企業再三強調面部信息的收集與使用并不會導致泄露或面部識別的密碼失控,但只要公眾仍然擔心它將影響個人生活安寧或私人賬戶安全,那么就已經達到了高度認知的閾值,政府就應當對此進行必要的管理甚至防控。換言之,只要公眾對風險的認知達到了較高的一致性,則政府的風險管理就是正當的。而對于認知較為困難的數字科技風險,例如信息產品對用戶的算法操控、數據的跨境轉移等公眾難以理解的信息處理者行為,但導致的后果又可能特別嚴重,就可以采取強預防原則。一言以蔽之,法律只需要設置較低的認知閾值,就可授權政府采取強的措施,例如舉證責任倒置,要求行動者承擔舉證責任證明應用信息是安全的,這樣即使無法確定引發風險的因果關系,也可以將個人自由與法律父愛主義結合在一起[45],從而避免損害威脅。
2.成本分析。在適用弱的預防原則時需要衡量行政行為的成本收益,經濟成本與收益是評價預防原則正當性的一個重要指標,因為政府對科技風險的預防措施很可能限制社會福利。例如,將微博、抖音等信息軟件予以禁止,不僅可能造成大量失業,而且也會大幅影響人們的業余生活。那么,如果不能帶來足夠的收益,該預防措施將會遭到強烈的質疑。基于此,就只需采取整改、禁止部分功能等適當的監管手段,以避免社會福利大幅下降。當然,成本效益分析方法不乏反對者,其理由在于人類的尊嚴與自由不能以金錢作為衡量標準。換言之,成本分析法只是為了短期利益而忽視了長時期的不確定風險,應當予以堅決制止。[46]這種反對論的認識來源于人是目的并非工具的康德法哲學。然而,現代社會的政府很難不考慮經濟因素與人民意志,而非僅為了捍衛康德信條。在個人信息保護領域適用預防原則,可能影響數字產業的發展,進而產生經濟下滑、失業率上升等社會成本,必然引發公眾與政府的擔憂。據此,適用弱的預防原則要求政府不得以缺乏科學依據為由不作為,但仍應考慮行政成本效益。
與弱的預防原則不同,適用強的預防原則就可以突破成本效益標準,因為所遭受的損害可能無法衡量。即盡管行政措施的成本巨大,也要對后果足夠嚴重的風險采取行動。例如,對于通過數字技術操控選舉結果的行為,就無法吝惜行政措施的成本。因此,對數字科技的風險閾值的判斷十分重要。具體而言,針對一般的數字科技風險,在保護經濟健康發展的同時盡可能避免科技風險;其預防措施應當允許一定程度上的信息流通,重視監管行為的成本。針對重大的數字科技風險,則應當不計成本地采取預防措施。一般情況下,個人信息泄露的損害后果是一個抽象問題,它的行政管理成本相對而言并不算高。例如,限制轉基因食品的流通可能造成部分人饑餓甚至死亡,而限制一些數字技術應用只會影響一些社會軟福利。但是,如果完全禁止一些數字技術就可能產生較大的社會影響,故只能針對部分后果嚴重的數字科技風險采取不計成本的措施。當然,還應設置一定的執法程序,并經有關部門批準。
那么如何判斷數字科技的風險是否“足夠”嚴重?主要考慮公眾和學術界的態度,并不要求確定的或者高度蓋然性的證據,多數民意導向即可成為判斷依據。例如,面部特征等較為敏感的信息具有不可更改與不可匿名性,只能認定其損害程度較大。[47]質言之,只要后果足夠嚴重,就不必考慮產生此種后果的成本收益問題。而對一般的數字科技風險,只需采取與風險適當的預防措施即可。
綜上所述,本文認為,可根據對風險認知的難易程度、風險后果能否計算或者補償來設定預防原則的啟動標準。弱預防原則的啟動標準應設定為:某種較容易認知的,可以較精確地計算或者可大概估算的、不容易補償的較大的風險;強預防原則的啟動標準應設定為:某種難以認知的,無法通過成本衡量、無法補償的重大風險。
(三)風險不確定性的證明
除明確預防原則可適用于個人信息保護領域、規制對象以及啟動條件外,還有一個關鍵問題是不確定風險究竟要證明到何種程度。所有的有關預防原則的證明都要求包含一定的知識條件,需要達到可以應用的等級。對于該風險是否足夠嚴重的證明也不例外。
1.避免循環論證。科學在為預防原則提供證據性結論時也存在局限性,即科學很難證明一定存在不確定的風險。事實上,與該風險相關的科學知識條件可能尚且處于模糊狀態,因為信息產品的風險具有不確定性,難以形成一個統一的標準,在舉證時往往難以令人信服。行政相對人可能會要求行政行為人提供存在“不確定風險”的證明,此即所謂的“不確定性悖論”,不斷地上訴可能會陷入證明邏輯困境。一方面,人們認識到科學無法對不確定風險提供決定性證據;另一方面,政府和律師又需要證明存在或不存在不確定性風險。[48]
在輝瑞公司訴歐盟委員會案中就多次出現循環論證的情況。[49]自1970年以來,歐盟委員會開始監管各成員國所使用飼料中的添加劑。丹麥國家實驗室檢測出歐盟委員會批準使用的食品添加劑維吉霉素可能將其從畜產品傳遞給人,于是通知歐盟委員會丹麥禁止使用維吉霉素。但依據1996年歐盟引入的共同授權系統規定,各國有權在飼料中使用經過歐盟授權的添加劑;如果成員國要限制或者禁止使用,則必須立即通知其他成員國與歐盟,并說明該添加劑具有危害的理由。歐盟委員會接到丹麥的通知后,委托動物營養科學委員會(SCAN)對丹麥國家實驗室的實驗報告做出“確定性”的答復,但SCAN認為實驗結果的不確定性過大,并提供了一些可能存在不確定性風險的分析,但肯定不構成直接威脅。歐盟委員會卻根據預防原則提出了一項禁令,禁止包括維吉霉素在內的四種抗生素作為食品添加劑,最終被歐盟理事會批準。隨后,維吉霉素生產商輝瑞公司針對此禁令向歐盟初審法院(CFI)提出異議,認為歐盟委員會對兩份“不確定風險”報告做了不同的判斷,維吉霉素與報告中的風險并不存在因果關系。于是,法院不得不對兩份報告的科學性、真實性與有效性進行審查,作證專家也陷入不確定性悖論的循環討論之中。法院開始要求提供確鑿的證據,這就將非不確定風險舉證演變為零風險舉證,法院也不可避免地要對科學主張作出判決。
在適用預防原則時應當避免循環論證的發生,證明過程不能要求確鑿地證實數字產品存在不確定風險的證據,而應強調一旦風險轉化為現實損害,其后果的嚴重性以及公眾對科技產品風險損害的擔憂。多數存在風險的科技產品都可能被證明不存在危害或者存在風險的概率極低,但這對公眾來說并不具有說服力。因為科學的證明結論也總是在不斷地被推翻。為了結果的嚴謹性,鑒定人員往往無法給出一個確定的答案,因為即使科技風險的存在屬于小概率事件,但一旦發生就可能引發公眾性災難。例如,即使轉基因食品多次被證明不存在危害,但也不能被學者所接受。[50]因此,在法律論證中不能過分陷入是否成立不確定風險的論證之中,也要適當考慮風險的嚴重后果。
2.證明標準。有研究者總結了歐盟在適用預防原則時的發展趨勢,發現在適用“弱”預防原則時所必要的科技風險證明標準似乎更加苛刻,考慮到經濟方面的原因,可能更傾向于采取一定限度內的較輕的控制措施。相比之下,“強”預防原則的所必要的證明標準卻比“弱”的更加簡易,往往將實施政策的成本轉嫁給潛在有害活動或產品的支持者。[51]而數字科技風險的證據可能更加主觀,因此證明標準應當張弛有度,可以采取不同嚴格程度的措施,具體取決于需避免風險的嚴重程度、證據的力度以及公眾對風險的態度。對于多數數字科技風險而言強預防原則過于嚴格,實踐中可能更多是弱預防原則之應用。弱預防原則所針對的不確定風險認知難度較低,在證明時可以根據風險的嚴重程度適當地靈活變化證明標準。對于損害大、發生概率小的風險,則應從嚴證明并采取嚴厲的措施;對損害小、發生概率高的風險從寬證明,采取相對溫和的措施。例如,如果某項信息產品存在明顯的算法操控用戶的嫌疑,一旦造成后果可能十分嚴重,將證據標準從“充分的不確定性”降至“合理的關注理由”以及預防性措施,是完全可行的。盡管如此,科學論證還是十分必要,即使無法給出一個確定答案,但它仍然是法律論證中的重要依據。
對于認知閾值低但損害后果特別嚴重的數字風險,還應考慮轉移舉證責任,即由科技公司證明自身產品不存在安全風險,這在國際法中已有適用先例。1995年新西蘭“核試驗”案中,在適用預防原則時就曾采用了舉證責任倒置。但是,它只是預防原則可允許的證明方式,并非必須采取的措施。所以,國際法上是否需要轉移舉證責任是由不確定風險的閾值所決定的,目前雖未形成統一的應用標準,仍然值得借鑒。
五、結論
預防原則不失為一種個人信息保護的新思路,它不僅可適用于人類健康、環境保護等領域,也可嘗試用于某些嚴重的抽象風險。當智慧科技產品引發了公眾擔憂或者道德難題時,法律就應當嚴肅對待。即使是個人信息這樣的私人自治領域,預防原則的適用同樣可以適當變通與突破。至于數字科技是否能夠引發潛在的個人權利侵犯與社會風險,預防原則透過科學論證也可以作出較具說服力的判斷,亦可為政府提供較為明確的價值指引。風險防范的論證過程至少可以達到“有則改之,無則加勉”的管控目標,從而維護社會的安穩秩序。以此為鑒,我國個人信息保護立法應當嘗試引入風險預防原則,但由于相關法律過于繁多,鑒于篇幅所限不能盡述,在此僅以《個人信息保護法(草案)》為例,建議對其做如下修改:
(1)賦予行政機關更多權能,第六十二條第一款增加第五項“(五)根據風險的具體情況,按照規定的權限和程序對該個人信息處理的活動采取部分限制等臨時措施。”
(2)為體現預防原則的強弱雙重性,將第六十三條修改為“省級以上人民政府有關部門在履行個人信息處理監督管理職責時,如果發現個人信息處理活動存在較大安全風險,不及時制止將使公眾合法權益受到較為嚴重或難以補償的損害的,不得以缺乏科學充分證據為由,延遲采取措施防止情況惡化。可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談或采取臨時措施。個人信息處理者應當按照要求采取措施,進行整改,消除隱患(弱預防原則)。如果發現個人信息處理活動存在重大安全風險,不及時制止將使公眾合法權益受到特別嚴重或無法衡量的損害的,應當立即采取措施并上報有關部門。經國務院決定或者批準,可以對此項個人信息處理活動采取全面限制等臨時措施(強預防原則)”。
① 房紹坤、曹相見:《論個人信息人格利益的隱私本質》,《法制與社會發展》2019年第4期。
② 程嘯:《論大數據時代的個人數據權利》,《中國社會科學》2018年第3期。
③ 葉名怡:《個人信息的侵權法保護》,《法學研究》2018年第4期。
④ 鄭志峰:《人工智能時代的隱私保護》,《法律科學》2019年第2期。
⑤ APP專項治理工作組:《APP違法違規收集使用個人信息專項治理報告(2019)》,2020年5月26日,http://www.cac.gov.cn/2020-05/26/c_1592036763304447.htm,2020年12月24日。
⑥ 趙鵬:《知識與合法性:風險社會的行政法治原理》,《行政法學研究》2011年第4期。
⑦ Philippe Sands and Jacqueline Peel, Principles of International Environmental Law(Third Edtion), Cambridge:Cambridge University Press, 2012,pp.218-219.
⑧ 張海柱:《專業知識的民主化——歐盟風險治理的經驗與啟示》,《科學學研究》2019年第1期。
⑨ Daniel Steel,Philosophy and the Precautionary Principle,Cambridge:Cambridge University Press, 2015, pp.19-20.
⑩ 劉韻清:《預防原則的習慣國際法地位分析》,《國際法研究》2020年第4期。
[11]丁曉東:《個人信息私法保護的困境與出路》,《法學研究》2018年第6期。
[12]張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,《中國法學》2015年第3期。
[13]參見北京市海淀區人民法院(2009)海民初字第11219號《民事判決書》;上海市浦東新區人民法院(2009)浦民一初字第9737號《民事判決書》;廣東省廣州市中級人民法院(2011)穗中法民一終字第3675號《民事判決書》。
[14]Samuel D.Warren and Louis D.Brandeis, “The Right to Privacy,”Harvard Law Review, vol.4(1891),p.193.
[15]Elizabeth L.Beardsley,? “Privacy: Autonomy and Selective Disclosure,”in J.Roland Pennock and John W.Chapman,eds., Privacy and Personality,London and New York:Routledge, 2017,pp.56-60.
[16]丁曉東:《個人信息的雙重屬性與行為主義規制》,《法學家》2020年第1期。
[17]鄭曉劍:《比例原則在民法上的適用及展開》,《中國法學》2016年第2期。
[18]謝鴻飛:《論法律行為生效的“適法規范”——公法對法律行為效力的影響及其限度》,《中國社會科學》2007年第6期。
[19]常莽:《AI換臉技術有多恐怖》,《計算機與網絡》2019年第22期。
[20]王慶凱:《國家網信辦回應AI換臉軟件“ZAO”涉嫌侵權:已會同有關部門制定相關規定監管》,2019年9月18日,http://www.chinanews.com/gn/shipin/cns-d/2019/09-18/news831890.shtml,2021年6月26日。
[21]Helen Nissenbaum,“Privacy as Contextual Integrity,”WashingtonLaw Review, vol.79(2004),p.119.
[22]朱方彬、宋宗宇:《大數據時代個人信息權保護的法制構建》,《山東社會科學》2020年第7期。
[23]B.Debatin, J.P.Lovejoy and A.K.Horn, et al, “Facebook and Online Privacy: Attitudes, Behaviors, and Unintended Consequences,”Journal of ComputerMediated Communication, vol.15(2009),p.86.
[24]李延舜:《我國移動應用軟件隱私政策的合規審查及完善——基于49例隱私政策的文本考察》,《法商研究》2019年第5期。
[25]DouglasHarris, “Deepfakes: False Pornography Is Here and the Law Cannot Protect You,” Duke L.& Tech.Rev., vol.17(2018),p.99.
[26]參見江蘇省南京市鼓樓區人民法院(2013)鼓民初字第3031號《民事判決書》。
[27]參見江蘇省南京市中級人民法院(2014)寧民終字第5028號《民事判決書》。
[28]謝俊貴:《高新技術社會風險的生發邏輯與控制理路》,《社會科學研究》2019年第3期。
[29]彭啟航:《B站回應蔡徐坤律師函事件:已收悉,相信法律自有公斷》,2019年4月13日,http://www.bjnews.com.cn/ent/2019/04/13/567374.html,2020年12月24日。
[30]王利明:《論人格權請求權與侵權損害賠償請求權的分離》,《中國法學》2019年第1期。
[31]陳景輝:《捍衛預防原則:科技風險的法律姿態》,《華東政法大學學報》2018年第1期。
[32]Timothy ORiordan and James Cameron, Interpreting the Precautionary Principle,London and New York:Earthscan,1994, p.16.
[33]高秦偉:《論歐盟行政法上的風險預防原則》,《比較法研究》2010年第3期。
[34]《里約宣言》第15條規定:“為了保護環境,各國應按照本國的能力廣泛的適用風險預防措施,遇有嚴重或不可逆轉的損害時,不得以缺乏科學充分證據為由,延遲采取符合成本效益的措施防止環境惡化。”
[35]Kenisha Garnettand David J.Parsons, “MultiCase Review of the Application of the Precautionary Principle in European Union Law and Case Law,”Risk Analysis, vol.37, no.3(2017), p.504.
[36]肖冬梅、陳晰:《硬規則時代的數據自由與隱私邊界》,《湘潭大學學報》(哲學社會科學版)2019年第3期。
[37]王中原:《算法瞄準如何重塑西方選舉——算法時代的選舉異化及其治理》,《探索與爭鳴》2021年第5期。
[38]André Nusselder, Interface Fantasy: A Lacanian Cyborg Ontology,Massachusetts London:the MIT Press Cambridge, 2009, pp.22-23.
[39]D.J.Solove, “Ive Got Nothing to Hide and Other Misunderstandings of Privacy,”San Diego L.Rev., vol.44(2007), pp.745-772.
[40]陳海嵩:《風險預防原則理論與實踐反思——兼論風險預防原則的核心問題》,《北方法學》2010年第3期。
[41]丁曉東:《論個人信息法律保護的思想淵源與基本原理——基于“公平信息實踐”的分析》,《現代法學》2019年第3期。
[42]宋宗宇、林傳琳:《自動駕駛交通事故責任的民法教義學解釋進路》,《政治與法律》2020年第11期。
[43]朱炳成:《環境健康風險預防原則的理論建構與制度展開》,《暨南學報》(哲學社會科學版)2019年第11期。
[44]J.Zander, The Application of the Precautionary Principle in Practice: Comparative Dimensions, Cambridge:Cambridge University Press, 2010, pp.31-36.
[45]郭春鎮、馬磊:《大數據時代個人信息問題的回應型治理》,《法制與社會發展》2020年第2期。
[46]Mark Jablonowski, Precautionary Risk Management: Dealing with Catastrophic Loss Potential in Business,the Community and Society, New York:Palgrave Macmillan, 2006, pp.20-22.
[47]邢會強:《人臉識別的法律規制》,《比較法研究》2020年第5期。
[48]M.B.A.Van Asselt and E.Vos, “The Precautionary Principle and the Uncertainty Paradox,”Journal of Risk Research, vol.9, no.4(2006), pp.317-318.
[49]參見《歐洲法院案例報告》第13/99號,2002年第2卷第3305頁及其以下(Case T-13/99,Pfizer Animal Health SA v.Council[2002]ECR II-3305)。轉引自高秦偉:《論歐盟行政法上的風險預防原則》,《比較法研究》2010年第3期。
[50]陳景輝:《面對轉基因問題的法律態度——法律人應當如何思考科學問題》,《法學》2015年第9期。
[51]Ragnar Lofstedt, “The Precautionary Principle in the EU: Why a Formal Review is Long Overdue,”Risk Management, vol.16, no.3(2014), pp.141-145.
(責任編輯:周中舉)
