個人信息治理的科技之維

內(nèi)容摘要：在個人信息保護法出臺的背景下，重新構想科技與法律之間的關系，可謂總體回應數(shù)字時代個人信息危機的重要一環(huán)。作為國家、企業(yè)、個人三方權益匯聚之地，個人信息研究必須超越傳統(tǒng)的“規(guī)制—權利”思維，邁向國家法律、信息科技、市場競爭和社群規(guī)范的個人信息治理體系。在諸多系統(tǒng)中，信息科技居于優(yōu)位。一方面，它以“合規(guī)科技”的面貌，憑借“經(jīng)設計的治理理念”，將國家法律的原則和規(guī)則轉(zhuǎn)化為個人信息生命全周期的科技保護;另一方面，它以“賦能科技”的面貌，通過降低法律執(zhí)行成本、當事人交易成本，甚至改變法律的“假定條件”，賦能各利益相關方。為此，法律應合理解釋個人信息“匿名化”構成要素，認可“去標識化信息”的法律意義，從而使信息科技與法律彼此協(xié)調(diào)，共建激勵相容的個人信息治理體系。

關鍵詞：個人信息治理 個人信息保護法 治理科技 合規(guī)科技 賦能科技 匿名化

中圖分類號：DF529文獻標識碼：A文章編號：1674-4039-（2021）05-0057-68

經(jīng)過近20年的醞釀，個人信息保護法終于在2021年8月20日審議通過。〔1 〕個人信息保護法外引域外立法智慧，內(nèi)接本土實務經(jīng)驗，從憲法第38條“中華人民共和國公民的人格尊嚴不受侵犯”的“個人尊嚴條款”出發(fā)，熔民法典“個人信息權益”的私權保護與“個人信息處理”的公法監(jiān)管于一爐，統(tǒng)合私主體和公權力機關的義務與責任，兼顧個人信息保護與利用，奠定了我國網(wǎng)絡社會和數(shù)字經(jīng)濟的法律之基。不過，徒法不足以自行，如何建立激勵相容的制度框架，實現(xiàn)個人信息保護法第1條所宣示的立法目標，仍有待更深入和更細致地研究。〔2 〕筆者從法律與科技的雙重視角出發(fā)，重新構想數(shù)字時代科技與個人信息保護法之間的關系，探索兩者相輔相成的個人信息治理之道。

一、信息科技與個人信息治理的一般框架

信息科技和個人信息的糾葛由來已久。長期以來，信息科技都被看作個人信息權益的“破壞者”。但事實上，在個人信息治理的架構下，一旦將信息科技和治理相結(jié)合，就能轉(zhuǎn)為個人信息“治理科技”，成為個人信息保護中“優(yōu)位者”。

（一）信息科技：個人信息權益的“破壞者”

回顧歷史，個人信息保護法的演進始終與信息科技的發(fā)展密不可分。19世紀末，電報通信、便攜式照相機等新興技術引發(fā)了人們對隱私的憂慮。當傳統(tǒng)熟人社會的私密信息經(jīng)由便捷的信息傳播途徑進入大眾傳媒、公眾評論的陌生人語境，普通法的“保密原則”便不敷適用， 〔3 〕一種保衛(wèi)私生活的對世權利——隱私權就此誕生。〔4 〕隨著20世紀60年代大型計算機和中心化數(shù)據(jù)庫的出現(xiàn)，個人信息的收集、存儲和使用方式被徹底改變。1973年，美國健康、教育和福利部（HEW）在《記錄、計算機和公民權利》報告中指出：個人必須越來越多地將自己的信息提供給大型的、相對匿名的機構，由陌生人處理和使用。有時，個人甚至不知道有這樣一個組織保存著關于他的記錄，他往往看不到這些記錄，更不用說質(zhì)疑其準確性、控制其傳播或質(zhì)疑其使用。〔5 〕該報告所催生的“公平信息實踐準則”，構成了全球個人信息保護的思想淵源與基本框架。〔6 〕在計算機日益普及的背景下，德國于1977年制定防止數(shù)據(jù)處理過程中濫用數(shù)據(jù)法，歐洲委員會于1981年通過個人數(shù)據(jù)自動化處理保護公約（“108號公約”）。從“隱私”到個人信息/數(shù)據(jù)的范式轉(zhuǎn)變，可謂“山川異域，風月同天”。20世紀90年代，互聯(lián)網(wǎng)技術成為全球信息和通信的核心媒介，電子商務、電子政務、搜索引擎、互聯(lián)網(wǎng)廣告蓬勃興起，個人信息處理者從之前的政府機構逐漸向企業(yè)延伸，處理目的也從行政管理轉(zhuǎn)向了商業(yè)活動。1995年，歐盟議會與理事會制定關于涉及個人數(shù)據(jù)處理的保護以及數(shù)據(jù)自由流通的第95/46/EC號指令（以下簡稱《數(shù)據(jù)保護指令》），開啟了個人信息保護的2.0時代。

21世紀以來，大規(guī)模應用的電子監(jiān)控、web3.0的人機互動、移動互聯(lián)網(wǎng)的實時在線、穿戴式的嵌入裝置，連同大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、云計算、區(qū)塊鏈等新一代信息科技，使得世界的人、事、物都在加速數(shù)字化，這不僅給個人信息保護帶來嚴峻挑戰(zhàn)，也重塑了個人信息保護制度。2010年，歐洲委員會關于數(shù)據(jù)保護和隱私的第3號決議洞見到了這一歷史性變化，并指出，信息科技令觀察、存儲和分析大多數(shù)日常活動成為可能，而且比之前更加容易、迅速、隱蔽，除非有完善的數(shù)據(jù)保護標準，否則必將損害人的基本自由。作為制度回應，從2010年到2019年間，共有62個國家起草了新的個人信息保護法。到21世紀20年代末，將會有超過200個國家或地區(qū)擁有個人信息保護法。〔7 〕

從“監(jiān)控國家”到“監(jiān)控資本主義”，與工業(yè)時代對科技的樂觀想象不同，當代人眼中的信息科技往往是陰暗和危險的。這種將科技視為對隱私和個人信息權益威脅的觀念，迫使立法者不得不擁抱變化，通過法律和監(jiān)管的不斷迭代，為個人提供與時俱進的保護，我國個人信息保護法正是這歷史潮流中的浪花一朵。然而，信息科技是否只有一面？

（二）信息科技：個人信息保護的“優(yōu)位者”

信息科技并不可怕。正如聯(lián)合國數(shù)字技術的影響報告所言，通過增強連通性、金融包容性、獲得貿(mào)易和公共服務的機會，信息科技可以加速實現(xiàn)17項人類可持續(xù)發(fā)展目標中的每一項，從而幫助世界變得更公平、更和平、更公正。但毋庸諱言，信息科技的確引發(fā)了越來越多的個人信息風險。從風險治理的角度觀察，在復雜和不確定的環(huán)境中試圖通過權利賦予或行為規(guī)制的單一方式來化解因信息科技引發(fā)的個人信息風險，可能事倍功半。因而，需要重新構想信息科技與個人信息保護的關系，綜合所有可用的方法、策略和工具，建立一個協(xié)調(diào)風險治理中各種要素和參與者的“個人信息治理”和“個人信息保護系統(tǒng)”，這遠比個人信息權益更重要。〔8 〕

在本文中，筆者將“個人信息治理”界定為政府、企業(yè)、公民、行業(yè)協(xié)會、技術社群等各利益相關方圍繞“個人信息”所開展活動的程序、結(jié)構和決策結(jié)果。在治理主體上，它是一種公私合作且持續(xù)互動的組織形式;在治理工具上，它將國家法律、信息科技、市場競爭和社群規(guī)范均囊括其中; 〔9 〕在治理目標上，它將信息主體的個人信息權益保護和信息處理者的個人信息利用作為并行的二元目標。信息科技在個人信息治理中的積極作用，首先源自信息科技作為通用技術的兼容性，從而可以服務于截然不同的目標。〔10 〕更重要的是，個人信息從收集到刪除的整個生命周期，都必須依托信息基礎設施以及經(jīng)編程的指令、代碼與算法。就此而言，信息科技構成了個人信息的微觀架構，對個人信息處理活動發(fā)揮著實質(zhì)上的規(guī)制作用。網(wǎng)絡空間中發(fā)生的任何事件和行為都是“0”和“1”的集合體，涉及個人信息的任何行為只有遵循相應的信息科技規(guī)則才能得以表現(xiàn)，否則只能成為沒有任何意義的“亂碼”。信息科技在網(wǎng)絡空間中的主宰性， 〔11 〕使其有可能擺脫刻板的“破壞者”印象，成為推動個人信息善治的重要力量。

盡管“個人信息治理”為信息科技的引入提供了制度空間，但卻沒有充分闡明它與其他治理工具的關系。對此，“個人信息保護系統(tǒng)”理論進一步將“信息科技”置于個人信息保護的優(yōu)先地位。就像“風險社會是現(xiàn)代性的自反性后果”這一經(jīng)典命題所揭示，用以防控科技風險的法律有時恰恰是風險生產(chǎn)的誘因。因此，與其外在于信息科技去消弭其風險，毋寧反求諸己，尋找信息科技的自我規(guī)制之道。在復雜理論看來，信息科技是一個有機生命。一方面，它是自我組織的，可以通過某些簡單規(guī)則自行聚集起來;另一方面，它是自我創(chuàng)生性的，能夠依據(jù)所面臨問題自行調(diào)適與迭代。〔12 〕縱觀過往，當一個新的技術進入社會，它會召喚出新的組織、經(jīng)濟和社會模式，這反過來會引發(fā)新的問題，新問題的解決又要訴諸更新的技術，這就是“信息科技的演進”。在“問題與解決—挑戰(zhàn)與回應”的邏輯下，因技術進步帶來的個人信息風險，亦可以通過技術進步來化解，此即“解鈴還須系鈴人”之真義。在系統(tǒng)論的關照下，國家法律、信息科技、市場競爭和社群規(guī)范屬于不同的子系統(tǒng)，奉行不同的二值符碼，而風險的發(fā)生，根本上是由于功能系統(tǒng)之間缺乏共振，一種系統(tǒng)的運作無法在另一種系統(tǒng)中造成預期的影響。〔13 〕面對“科技系統(tǒng)”與“社會系統(tǒng)”的沖突，“風險預防原則”成為法律系統(tǒng)的可能選擇，“風險預防原則”一方面承認法律對風險的“無知”，另一方面卻又利用國家權威予以問責。故只有科技可能危及生命權、健康權、國家安全等重大法益，造成大規(guī)模災難性后果時，才有適用余地，該原則苛刻的前提條件令其難以用于個人信息保護，這不但由于個人信息權益并非上述絕對性人身權，而且因為個人信息處理有助于包括個人在內(nèi)的社會福祉提升，而禁止改善人們處境本身就是一種傷害。法律系統(tǒng)直接介入的困難要求我們在“個人信息保護系統(tǒng)”中，確立“科技解決方案”和“如果還能用就不必修補”的基本原則。〔14 〕

（三）治理科技：信息科技與個人信息治理的耦合

作為Govern和Technology的合成詞，“治理科技”（GovernTech）將“科技”和“治理”有機結(jié)合，通過將創(chuàng)新性技術應用到現(xiàn)有治理過程中，達成更有效的風險識別、風險衡量和風險治理要求。有別于常見的“監(jiān)管科技”（RegTech）， 〔15 〕“治理科技”以“數(shù)字治理”為基，以“整體治理”和“網(wǎng)絡治理”為面向，重塑敏捷性和適應性的治理。〔16 〕

治理科技是整體性治理，即以信息科技為依托，以民眾需求為導向，以協(xié)調(diào)、整合、責任為治理機制，對治理層級、功能、公私部門關系及信息系統(tǒng)等碎片化問題進行有機協(xié)調(diào)與整合，不斷從分散走向集中、從部分走向整體，為民眾提供無縫隙且非分離的整體型服務的政府治理圖式。〔17 〕從此出發(fā)，治理科技主張通過數(shù)據(jù)共享、內(nèi)部信息系統(tǒng)互操作推動逆部門化和逆碎片化， 〔18 〕拆除不同職能部門、不同地區(qū)之間的藩籬，踐行“一致性執(zhí)法”和“一站式監(jiān)管”。我國個人信息保護法第六章中“履行個人信息保護職責的機關”紛繁蕪雜，既包括國家網(wǎng)信辦、工信部、市場監(jiān)管總局、公安部等中央職權機構，也包括中國人民銀行、銀保監(jiān)會、衛(wèi)健委等行業(yè)主管部門，還指向了縣級以上各個地方政府。面對個人信息監(jiān)管“九龍治水”、政出多門的痼疾，中央層面應強化國家網(wǎng)信部門協(xié)同能力，在統(tǒng)籌協(xié)調(diào)具體規(guī)則和標準制定的基礎上，借鑒“歐盟數(shù)據(jù)保護委員會”（EDPB）的經(jīng)驗，利用指南、建議、意見等政策工具，監(jiān)督其他機關依法行使個人信息保護職權，確保執(zhí)法環(huán)節(jié)中法規(guī)的統(tǒng)一適用，必要時可開展聯(lián)合調(diào)查和執(zhí)法。〔19 〕地方層面應依循個人信息保護跨地域、在線化特性，從分散管轄轉(zhuǎn)向集中管轄，由被監(jiān)管對象主要營業(yè)地的地方政府承擔主體責任、享有監(jiān)管主導權，以簡化政府流程并提升科學決策能力。〔20 〕

治理科技是“網(wǎng)絡治理”，即以信息科技為紐帶，政府發(fā)揮領導組織作用、各利益相關方共同參與的穩(wěn)定性多組織治理圖式。〔21 〕作為橫跨多系統(tǒng)的網(wǎng)絡化結(jié)構，治理科技從“社群標準”開始，經(jīng)由市場認證，達致政府認可，由此建立“標準—認證—認可”三位一體治理。〔22 〕與法律規(guī)則功能一致的技術性標準立基于制定主體之間的協(xié)商一致性，在適用中兼容公和私、一體和差異，從而與“多中心”網(wǎng)絡治理思路合若符契。為此，先有行業(yè)組織倡導、推廣技術標準，以此作為企業(yè)合規(guī)基線，然后借助第三方認證機構加以落實，最后通過監(jiān)管機構的法律認可，確保其權威性和可執(zhí)行性。我國數(shù)據(jù)安全法第9、10、17、18條便體現(xiàn)了上述思路，確立了以政府部門、行業(yè)組織、科研機構、企業(yè)、個人為主體，以技術、標準、認證為要素的數(shù)據(jù)安全治理體系。與之相比，個人信息保護法固然包含標準、認證的表述，但缺乏對個人信息保護技術作用的支持和肯定。同時，其將個人信息保護標準制定權限于國家網(wǎng)信部門，忽略了行業(yè)組織形成行為規(guī)范和團體標準的價值與功能，這些不足尚待后續(xù)填補。

在治理科技的架構下，“信息科技優(yōu)位”一體兩面：一面以“合規(guī)科技”的面貌成為落實法律規(guī)制的高效工具，一面以“賦能科技”的面貌成為補充或取代法律規(guī)制的最佳實踐。

二、合規(guī)科技：經(jīng)設計的個人信息治理

將國家法律化為信息科技是“合規(guī)科技”的重要功能。不過，有別于“法律代碼化”的路徑，本文將科技和法律均納入“經(jīng)設計的個人信息治理”框架，通過治理價值與原則統(tǒng)合兩者，并借此對我國個人信息保護法進行再闡釋。

（一）從“法律代碼化”到“經(jīng)設計的治理”

令行禁止是立法者的永恒追求。馬克斯·韋伯曾設想一種令法律自動運行的司法機器，堪稱形式主義法治的完美形式。〔23 〕事實上，這一暢想只有憑借信息科技的助力才能成為現(xiàn)實。1983年，龔祥瑞教授與時任北京大學法律系講師的李克強在《法律工作的計算機化》一文中指出：“一場計算機化運動正在逐步遍及幾乎所有的行業(yè)。法律工作的實踐性很強，它所涉及的大量的資料和情報都可以由電子計算機進行數(shù)據(jù)處理，無疑具有運用計算機技術的現(xiàn)實可能性。” 〔24 〕受益于計算機技術的突飛猛進，“計算法律學”自20世紀70年代起浮出水面，其旨在將法律表達為刑事化的計算機語言，用以理解法律文本和法律推理。近年來，在大數(shù)據(jù)、區(qū)塊鏈、人工智能、認知計算的推動下，計算法律學迅速迭代。〔25 〕新一代計算法律學以“法律就是代碼”為中心，將代碼作為直接執(zhí)行規(guī)則的手段。

法律代碼化并非沒有瑕疵，其在技術上和理念上均面臨重大挑戰(zhàn)。在技術層面，將模糊的法律“濕規(guī)則”轉(zhuǎn)換為精確的技術“干規(guī)則”，必然以喪失法律靈活性或無縫隙性為代價。而要克服代碼局限性，就要使用動態(tài)的、具有適應性的程序，利用機器學習（ML）訓練、驗證和測試，觸發(fā)出原有規(guī)則的新解釋。然而，這一技術努力不但無法完全消除代碼“堅守歷史、凍結(jié)未來”的窒礙，還會陷入算法黑箱和歧視的困境。〔26 〕不僅如此，實踐中的智能合約和智能規(guī)制并不“智能”，它們依賴于人類外部提供的信息，并存在誤判和漏洞。〔27 〕在理念層面上，代碼化法律或可滿足“如果……那么”的條件式綱要，卻無法滿足“為了……而”的目的性綱要， 〔28 〕這使之難以從規(guī)范目的出發(fā)解釋和適用規(guī)則，在根本上削弱了法律決定的正當性基礎。不惟如是，通過代碼的規(guī)制還規(guī)避了公法上的權力制衡和私法上的權利保障，由此遭至損及公平、透明度以及正當程序缺失的批評。

如欲改進“法律代碼化”，就要重新思考法律和信息科技的關系，摒棄將法律“翻譯”成代碼的做法，轉(zhuǎn)而將法律看作治理環(huán)境下的要素之一， 〔29 〕其可以獨自也可以通過技術發(fā)揮作用。但無論如何，它都要體察和回應信息基礎設施及代碼對法律的影響，并經(jīng)由“設計”嵌入被數(shù)據(jù)和算法驅(qū)動的環(huán)境之中。這里的“設計”意指在治理原則和法治原則下，各利益相關方共同進行的制造、構建、組裝治理環(huán)境的建設性工作，一種融技術、標準、程序、制度于一體并指向未來的社會籌劃。〔30 〕這一“經(jīng)設計的治理”觀念所強調(diào)的不是遵從代碼，相反，其應確保在治理架構應包含法律保護，以防止偏見、侵犯隱私、不可理解的決定、不可靠的評估和違反司法公正的情形。〔31 〕

（二）經(jīng)設計的個人信息治理：原則與實踐

將“經(jīng)設計的治理”運用于個人信息治理之中，鑄就了“經(jīng)設計的個人信息治理”制度，其包含如下原則與實踐：

1.將個人信息保護價值融于設計

一如“經(jīng)設計的治理”“經(jīng)設計的個人信息治理”并非對法律規(guī)則的生硬轉(zhuǎn)譯，而是延續(xù)“價值導向設計”思想， 〔32 〕在整個設計中以原則性的、綜合性的方式考量如下基本價值： 〔33 〕

“公平”是個人信息保護的首要價值，要求處理者不得對個體造成不合理的損害、非法歧視或誤導，其關鍵設計和默認元素包括：（1）自治：信息主體應被授予高度自治以決定其個人信息的處理目的、范圍和方式。（2）互動：信息主體能夠就其權利與處理者溝通并行使。（3）期望：處理應符合信息主體的合理期望。（4）非歧視：處理者不得不公平地歧視信息主體。（5）非掠奪：處理者不應利用信息主體的需求或弱點處理信息。（6）消費者選擇：處理者不應以不公平的方式鎖定用戶。（7）風險不得轉(zhuǎn)移：處理者不應將其風險轉(zhuǎn)移給信息主體。（8）不得欺詐：信息和選項應以客觀、中立的方式提供，避免任何欺騙性或操縱性的語言或設計。（9）道德：處理者應考慮對個人權利和尊嚴的更廣泛影響。（10）真實：處理者應該按照其聲明行事。（11）人為干預：處理者必須納入合格的人為干預，以揭示機器偏見。（12）公平算法：定期評估算法是否符合目的并適時調(diào)整以確保處理的公平性。

“透明”是個人信息保護的形式價值，消息處理者必須清楚披露他們?nèi)绾问占⑹褂煤凸蚕韨€人信息的活動信息，其關鍵設計和默認元素包括：（1）清晰：應使用簡潔明了的語言。（2）語義：對聽眾而言，交流應該有明確意義。（3）可訪問性：信息應易于訪問。（4）語境：信息應在相應時間以適當?shù)男问教峁＃?）相關性：信息應該與特定信息主體相關。（6）易于理解：信息主體能夠合理理解對其個人信息處理的期待，特別是當數(shù)據(jù)主體是兒童或其他弱勢群體。（7）多渠道：信息應該通過不同渠道提供，而不僅僅是文本，以增加信息有效到達信息主體的可能性。（8）分層：信息應當適當分層，以解決“信息完整性”與“信息可理解性”之間的緊張。

“合法”是個人信息保護的底線價值，處理者應確保處理具有合法性基礎，其關鍵設計和默認元素包括：（1）區(qū)分：用于各個處理活動的法律依據(jù)應有所區(qū)分。（2）特定目的：適當?shù)姆梢罁?jù)必須與特定處理目的相關聯(lián)。（3）必要性：就處理目的而言，處理必須是必要且無條件的。（4）自主：消息主體應在法律依據(jù)的框架內(nèi)控制個人信息。（5）獲得同意：同意必須自愿、具體、知情和明確。應特別考慮兒童和青年的能力提供知情同意。（6）同意撤回：在同意是法律依據(jù)的情況下，應確保撤回同意的便利。（7）預先確定：應在處理發(fā)生之前確立合法性基礎。（8）停止：如果法律依據(jù)不再適用，處理應相應停止。（9）調(diào)整：若處理的法律依據(jù)發(fā)生有效變化，則處理必須根據(jù)新的合法性基礎予以調(diào)整。

在公平、透明、合法等價值外，“經(jīng)設計的個人信息治理”還要遵循“以人為本”（HCD）的設計原則。HCD主張將“人”放在任何系統(tǒng)的中心，從人們的需求、興趣和能力出發(fā)，通過直接與人們接觸來評估和理解人類，以提供可用和易于理解的產(chǎn)品和服務。〔34 〕HCD本質(zhì)上是法學、信息科學、心理學、認知科學、人類學、人機交互的跨學科實踐。因此，個人信息保護治理的設計者應盡可能廣泛，以涵蓋用戶體驗設計師、視覺設計師、交互設計師和信息設計師等，從而保證將用戶的需求和限制置于任何設計的最前沿。

2.將個人信息保護作為主動設計

“主動而非被動，預防而非補救”是“經(jīng)設計隱私”的核心思想。經(jīng)設計的個人消息治理同樣倡導在可避免的情況下，防患已未然，而不是坐視個人信息的風險不斷攀升。為此，其主張，處理者應尊重信息主體的基本權利，并且實施適當?shù)拇胧┖捅Ｕ洗胧幚碚邚漠a(chǎn)品或服務開發(fā)前期開始就應保障合規(guī)團隊與開發(fā)、設計團隊相互合作，在設計伊始即考量產(chǎn)品、服務涉及的個人信息保護問題。處理者應當在能達到相同效果的各種作法之中，將較能保護個人信息的做法列為預設機制，使之在各種業(yè)務實踐和IT信息系統(tǒng)中，得以受到系統(tǒng)的“自動”保護。換言之，處理者應當建置一個用戶友好型環(huán)境，即便用戶沒有特地采取自我保護的行為，其個人信息權益亦不致受到侵害。例如，蘋果的iOS14隱私新規(guī)要求App開發(fā)者需要通過“應用追蹤透明框架”獲得用戶同意，才能使用設備IDFA（蘋果廣告標識符）對用戶進行廣告追蹤。這一修改相當于將“默示同意、明示退出”機制更改為“明示同意”機制。與此相較，之前Do not Track（DNT）隱私規(guī)則要求在網(wǎng)絡瀏覽器中設置 DNT，即在其對網(wǎng)頁的請求中添加一小段代碼：DNT=1，只有在用戶主動選擇開啟DNT后，網(wǎng)站才不能在設備上放置或閱讀廣告的Cookie。〔35 〕處理者應在事前設想可能的不利情況，并加以積極應對，而不是在個人信息侵害成為既成事實后，才討論責任歸屬與賠償方案。

3. 將個人信息保護嵌入全生命周期

為進一步落實主動設計理念，“經(jīng)設計的個人信息治理”要求將“個人信息保護”作為治理環(huán)境的核心要素，成為產(chǎn)品、服務、管理流程中不可或缺的組成部分。為此，個人信息保護應當是一連串的行動，從信息收集、存儲、傳輸，到信息分析、加工，再到信息向第三方提供和最終刪除，所有處理活動都應事先有完整規(guī)劃，將保護延伸到個人信息整個生命周期，從而實現(xiàn)端對端的安全。

信息科技在個人信息全生命周期保護中發(fā)揮著重要作用。在信息收集環(huán)節(jié)，為滿足合法正當、目的明確、最小必要、公開透明的要求，數(shù)據(jù)溯源、數(shù)據(jù)標注、數(shù)據(jù)可視化、數(shù)據(jù)安全分級標記等成為可用技術。在信息存儲環(huán)節(jié)，為信息安全目的，可采取信息源加密、透明存儲加密技術，為兼顧個人信息存儲時的數(shù)據(jù)可用性，采用數(shù)據(jù)災備、糾錯編碼等數(shù)據(jù)容錯技術對信息密度高、訪問頻次高的數(shù)據(jù)進行存儲保護和可靠訪問。在信息傳輸環(huán)節(jié)，為保障保密性、完整性和可信任性，宜使用散列加密、對稱加密、非對稱加密等加密傳輸技術，為驗證信息傳輸人的身份，還需要使用數(shù)字證書技術。在個人信息使用環(huán)節(jié)，為防范違法使用、未經(jīng)授權提供、信息泄露等問題，常采用數(shù)據(jù)訪問控制、監(jiān)控審計、共享審查等技術。在個人信息刪除環(huán)節(jié)，除消磁法、粉碎法等硬銷毀的方法外，將無意義、無規(guī)律的信息反復多次覆蓋硬盤上原先的存儲數(shù)據(jù)，從而無法恢復原始數(shù)據(jù)的“數(shù)據(jù)覆寫”是典型的技術形式。

（三）個人信息保護法的再闡釋

盡管我國個人信息保護法并未明確“經(jīng)設計的個人信息治理”，但第51條規(guī)定在比較法上源自歐盟數(shù)據(jù)保護指令第17條第1款“成員國應當規(guī)定數(shù)據(jù)控制者必須采取適當?shù)募夹g措施和組織措施來保護個人數(shù)據(jù)以防止它們被意外或非法毀滅或意外遺失、變更、未經(jīng)許可披露或訪問”以及GDPR第25條第1款“考慮到行業(yè)最新水平、實施成本及處理的性質(zhì)、范圍、目的和內(nèi)容以及處理給自然人的權利與自由造成的影響，數(shù)據(jù)控制者應當在決定數(shù)據(jù)處理方式以及進行處理時以有效的方式采取適當?shù)慕M織和技術措施，并實施必要的保障措施以符合本條例要求，保護數(shù)據(jù)主體權利”，可作類似解釋。質(zhì)言之，在第51條的規(guī)范目的上，可以從狹義的“個人信息安全”拓展到“個人信息權益和價值”;在第51條的時空范圍上，可以覆蓋系統(tǒng)、服務、產(chǎn)品的設計階段以及全生命周期;在第51條的義務要求上，可以將“必要措施”界定為技術手段、組織形式等所有治理要素。

一旦將“經(jīng)設計的個人信息治理”引入，就可以更深入地理解個人信息保護法。首先，“經(jīng)設計的個人信息治理”彌合了個人信息保護法可能的邏輯斷裂。梳理個人信息保護法，容易發(fā)現(xiàn)其第二、三章為“個人信息全生命周期規(guī)制”，第四、五章則為“權利—義務規(guī)范結(jié)構”，前者側(cè)重于精細化的事先管控，后者側(cè)重于靈活性的事后調(diào)整。但另一方面，前者可能因未知科技引致的環(huán)境變化而無從應付，后者也可能因規(guī)范過于抽象而戕害了確定性。對此，“經(jīng)設計的個人信息治理”將“信息主體權利”注入到個人信息全生命周期之中，充實告知、同意、保存、使用、自動化決策和境外傳輸?shù)忍幚硪?guī)則，細化“信息處理者義務”，有效平衡了法律的可預期性與適應性。其次，“經(jīng)設計的個人信息治理”有助于從主動設計的角度把握第55條的“個人信息保護影響評估”，將之視為協(xié)助處理者提前識別、界定、最小化系統(tǒng)可能風險的工具。〔36 〕更重要的是，保護影響評估本質(zhì)是“個人信息安全工程”的一部分，只有在信息科技的工程實踐中才能把握其流程。最后，“經(jīng)設計的個人信息治理”為第54、64條“合規(guī)審計”的搭建指明了方向。作為對處理者履責情況的鑒證和監(jiān)督， 〔37 〕個人信息處理的合規(guī)審計有賴于匯聚海量數(shù)據(jù)的審計平臺，收集、分析IT資源中設備和應用的日志，開展即時跟蹤、持續(xù)監(jiān)控和適時報警。未來，可應用流程自動化機器人（RPA），整合不同系統(tǒng)數(shù)據(jù)，將重復的作業(yè)程序自動化，并定期與監(jiān)管機關共享，達成視覺化、互動式的精準合規(guī)，以解決監(jiān)管機關的信息不對稱問題。

三、賦能科技：平衡個人信息保護與利用

如果說“合規(guī)科技”意在強化國家法律監(jiān)管，那么“賦能科技”就是通過隱私增強技術為信息主體和處理者積極賦能，實現(xiàn)個人信息保護與合理利用的平衡。但是，科技并不能直接生成權利，我國個人信息保護法是否以及如何接納賦能科技，則是問題的關鍵。

（一）從“代碼即法律”到“賦能科技”

科技并非中立。早在20世紀80年代，人們就已認識到信息科技內(nèi)在的政治性，因為其能夠促發(fā)、支持、強制、抑制或排除特定行為。〔38 〕質(zhì)言之，鑒于科技本身就帶有使用者如何行動的說明書，其使用過程就是影響用戶知覺和行為的過程。隨著Joel Reidenberg“信息法制”和Lawrence Lessig“代碼即法律”的提出， 〔39 〕代碼因所具有“大規(guī)模定義和塑造行為模式”能力，逐漸被視為網(wǎng)絡時代的法律。2008年以來，助推理論為之提供了行為經(jīng)濟學的依據(jù)。根據(jù)該理論，信息科技不是采用理性說服方式來改變?nèi)说膽B(tài)度，而是通過“選擇架構”中非理性、無意識的要素使人們趨向于預期方向。〔40 〕在收集信息、制定目標和改變行為的三個階段中，大數(shù)據(jù)分析、算法決策指導技術，挖掘和顯著化數(shù)據(jù)項之間相關性，以此引導人的注意力并作出最終決定，這種基于信息科技、動態(tài)化且普遍有效的助推，被稱為“超助推”。〔41 〕晚近，利用區(qū)塊鏈生成的代碼，令人們?nèi)我膺x擇和實施自定規(guī)則，創(chuàng)制習慣法體系變得更加簡易可行，“鏈之以法”成為代碼應用的新領域。〔42 〕

然而，代碼畢竟不是真正的法律。首先，代碼是自動執(zhí)行的規(guī)則，其依賴于行為人的自覺或不自覺地實際遵守，就此而言，代碼僅有社會學上的有效性，而缺乏法律和倫理上的有效性。〔43 〕其次，代碼并非自給自足，正如法治背后是法律人之治一樣，代碼背后是代碼作者——“碼農(nóng)”之治，無論他們是否意識到，在設計階段其價值就鐫刻到了最終的產(chǎn)品上，而這可能危及了法治的民主根基。最后，代碼可能與法律相互沖突，參與者可以借此“乘間伺隙”，故意剝奪法律權利、規(guī)避法律義務。〔44 〕正因如此，Lessig在2006年指出，“代碼即法律”的真實含義是代碼類似于法律，并不意味著“代碼=法律”，就像飛機的構造不是法律一樣。〔45 〕故而，如欲發(fā)揮信息科技的優(yōu)位作用，就必須回歸“個人信息治理”， 將法律價值融入其中，使之成為法律相輔相成的“賦能科技”。

所謂“賦能科技”，意即提升一方或多方治理主體的權利或能力，進而提升治理總體績效的科技。〔46 〕較諸“合規(guī)科技”，賦能科技具有如下特征：（1）合規(guī)科技以個人信息保護為目標;賦能科技則以個人信息保護與利用平衡為導向，通過“正和雙贏”而非“零和博弈”的方式，破除虛假二分法的假象。（2）合規(guī)科技主要面向監(jiān)管者，強化監(jiān)管的有效性和高效性;賦能科技則主要面向信息主體和處理者，回應各方關切。（3）合規(guī)科技是法律最佳的仆人，必須嚴格服從法律原則和規(guī)則;賦能科技則是法律最佳的搭檔，通過降低法律執(zhí)行成本補充法律，或者通過降低當事人之間的交易成本替代法律，甚至改變規(guī)范的“假定條件”而使之不再必要。

（二）個人信息治理中賦能科技的實踐

賦能科技可追溯至20世紀70年代，當時為應對信息科技對隱私的挑戰(zhàn)，“隱私增強技術”（PET）應運而生，最初其專注于身份保護以及在不喪失系統(tǒng)功能的情形下最小化信息收集與處理。隨著時間推移，加密工具、隱私保護分析技術、數(shù)據(jù)管理工具等技術相繼涌現(xiàn)， 〔47 〕并進一步發(fā)展為“軟PET”和“硬PET”。〔48 〕“軟PET”旨在幫助個體就其與處理者共享個人信息與否，作出更好的決策，包括cookie管理工具、隱私儀表板、“人工智能衛(wèi)士”等，后者如識別個人信息濫用并予以反制的“人工智能審查員”，或者代表個人隱私偏好的“人工智能代理人”。〔49 〕“硬PET”旨在利用復雜技術降低錯誤信任第三方的風險，蓬勃興起的“隱私計算”正是其典型。“隱私計算”試圖在不提供原始數(shù)據(jù)的前提下，分析計算數(shù)據(jù)，實現(xiàn)個人信息流通與融合過程中的“可用不可見”。依技術原理的差異，它可劃分為如下三類：

其一，明文算法增強技術。該技術利用明文數(shù)據(jù)變換保護原始數(shù)據(jù)，包括但不限于數(shù)據(jù)脫敏、差分隱私和聯(lián)邦學習。其中，“數(shù)據(jù)脫敏”通過一定規(guī)則對信息進行變形、屏蔽或仿真處理，消除其在原始環(huán)境中的敏感信息;“差分隱私”采取增加噪音等統(tǒng)計學方法轉(zhuǎn)化并隱藏原始數(shù)據(jù);“聯(lián)邦學習”系一種分布式機器學習方法，其將原始數(shù)據(jù)轉(zhuǎn)化為中間參數(shù)，以便讓多個互不信任的參與方通過梯度或參數(shù)交換協(xié)同訓練模型，而不交換原始數(shù)據(jù)。其二，基于硬件的可信執(zhí)行環(huán)境。該技術立足于硬件機制的物理隔離，在計算過程中，數(shù)據(jù)以加密形式進入執(zhí)行環(huán)境，只有經(jīng)授權的應用程序才能予以解密，確保敏感數(shù)據(jù)在可信環(huán)境中存儲和處理。其三，基于密碼學的隱私計算技術。該技術利用安全算法和協(xié)議，將數(shù)據(jù)加密轉(zhuǎn)化后對外提供，任意一方都無法接觸到他方的明文數(shù)據(jù)，多方安全計算（Multi-party Computation，MPC）是其重要代表。

MPC理論首先由圖靈獎獲得者姚期智教授在1982年“百萬富翁問題”中提出：兩個爭強好勝的富翁Alice和Bob在街頭相遇，如何既不暴露各自財富又能比較出誰更富有？對此，MPC允許互不信任的多個數(shù)據(jù)持有者各自輸入數(shù)據(jù)，輸出計算結(jié)果，并保證任何一方均無法得到除應得的計算結(jié)果之外的其他任何信息。MPC可廣泛用于：（1）數(shù)據(jù)可信交換。MPC為不同機構之間構建協(xié)同計算網(wǎng)絡中的信息索引、查詢、交換和數(shù)據(jù)跟蹤的統(tǒng)一標準，實現(xiàn)機構間數(shù)據(jù)的可信互聯(lián)互通。（2）數(shù)據(jù)安全查詢。MPC一方面保證查詢方僅得到經(jīng)授權的查詢結(jié)果，對數(shù)據(jù)庫其他記錄信息不可知;另一方面，數(shù)據(jù)庫擁有方亦不知曉查詢方具體的查詢請求。（3）聯(lián)合數(shù)據(jù)分析。傳統(tǒng)的數(shù)據(jù)分析經(jīng)MPC改進后，能夠在敏感信息不出安全域的前提下完成多方數(shù)據(jù)源協(xié)同分析計算，發(fā)掘新的數(shù)據(jù)價值。

（三）個人信息保護法的再反思

依循“個人信息保護系統(tǒng)”的邏輯，“科技系統(tǒng)”與“法律系統(tǒng)”彼此區(qū)隔。賦能科技如欲產(chǎn)生補充、替代或懸置法律的效果，就必須經(jīng)由盧曼意義上的“法律反思”，使法律對科技保持認知開放，進而將其轉(zhuǎn)譯為法律規(guī)范。因為“只有法律能夠改變法律，只有在法律系統(tǒng)的范圍內(nèi)，才能把法律規(guī)范的變化理解為法律的改變”。〔50 〕職是之故，我國個人信息保護法如何在自主性的基礎上吸納賦能科技，就成為肯綮所在。

個人信息保護法與賦能科技有關的條款見于“附則”中“去標識化”和“匿名化”規(guī)定。其中，對于“個人信息經(jīng)過處理無法識別特定自然人且不能復原”的匿名化信息，個人信息保護法第4條將其排除在“個人信息”以外，因此不受該法的調(diào)整。對于“經(jīng)過處理，在不借助額外信息的情況下無法識別特定自然人”的去標識化信息，個人信息保護法第51條第3項將其與“加密信息”并列，作為一種采取安全技術措施的個人信息，并未另外規(guī)定其法律后果。要之，個人信息保護法延續(xù)網(wǎng)絡安全法第42條和民法典第1038條的思路，形成了“個人信息—保護”和“匿名化信息—不保護”的二元格局。〔51 〕據(jù)此觀察，賦能科技只有滿足“匿名化”條件，才具有法律意義。然則，何為“匿名化”？

根據(jù)個人信息保護法的界定，匿名化的結(jié)果是“無法識別特定自然人”。其“識別”與否應從“識別主體”和“識別方式”兩方面綜合判斷， 〔52 〕意即“誰依何種方法進行識別”。就識別主體論之，有客觀主義和主觀主義分野，前者放寬至“全世界任何一人”，后者限于一定范圍內(nèi)的主體。歐盟GDPR持前一立場，而英國則持后一觀點。在Department of Health v. Information Commissioner一案中， 〔53 〕法院堅持“主觀主義”判斷，使用歸謬法指出：假使個人信息持有者保留原始資料，將會使經(jīng)處理的信息成為個人信息，那么將導致非常荒謬的結(jié)果——凡公開任何的統(tǒng)計數(shù)據(jù)，都會構成披露個人信息，只要原始信息未被刪除。事實上，我國司法實踐亦采取了相對主義標準。在“安徽美錦信息科技有限公司與淘寶（中國）軟件有限公司不正當糾紛案”中， 〔54 〕雙方就淘寶抓取并出售的用戶瀏覽和交易信息以及在其基礎上推測出的用戶性別、職業(yè)、區(qū)域、偏好信息的定性和保護產(chǎn)生了爭議，法院最終認定：“生意參謀”數(shù)據(jù)產(chǎn)品所使用的用戶信息經(jīng)過“匿名化脫敏處理后已無法識別特定個人且不能復原”，公開其數(shù)據(jù)內(nèi)容，對信息提供者不會產(chǎn)生不利影響。顯然，這里“匿名化”只是對“生意參謀”的使用者而言，而非淘寶公司，因其并未徹底刪除相關個人信息。

另外，個人信息經(jīng)匿名化后“不能復原”。所謂“不能復原”，意即“無法重新識別出特定自然人”，而不是“相關信息不可還原”。〔55 〕與前文“識別”的判斷類似，重新識別的主體亦不是“全世界任何一人”，其識別方式亦限于“合理可能的手段”。這是因為，從時間維度和技術語境看，永久的、不可逆的識別是不可能的，因為依賴技術實現(xiàn)的匿名化，理論上仍然可為技術所破解與還原。〔56 〕但這決不意味著，匿名化是個“破碎的承諾”。實際上，匿名化以風險最小化，而不是零風險為目標，只要風險在特定場景內(nèi)持續(xù)控制在可接受的范圍內(nèi)，匿名化就完成了其使命。〔57 〕為了化解功能主義匿名化的剩余風險， 〔58 〕處理者不應依賴“發(fā)布后遺忘”的策略，而必須承擔持續(xù)性的個人信息保護義務，根據(jù)技術發(fā)展和情況變化定期評估是否存在新的風險。對于已確定風險，應注意評估已采取的措施是否充分，并適時調(diào)整。此外，如處理者將匿名化信息提供給第三方，則后者負有禁止再識別的法定義務與合同義務，處理者應監(jiān)督其該義務的履行，其因怠監(jiān)督導致信息主體受損，應與第三方共同承擔責任。

總之，個人信息識別和匿名化是一體兩面，在信息科技迭代下均呈現(xiàn)出相對化和流動化態(tài)勢，因而其均無整齊劃一的絕對答案，必須基于風險進路，在認知能力、技術條件和治理環(huán)境的約束作出適當?shù)姆山忉尅榇耍瑐€人信息保護法的“匿名化”在識別主體上采主觀主義解釋，在識別方式采“合理可能”解釋。由此可得如下規(guī)則：（1）在信息處理者內(nèi)部使用之時的匿名化，應達到“其自身無法采取合理可能方式識別或后續(xù)重新識別特定自然人”的標準。（2）在信息處理者向社會公開個人信息之時的匿名化，應達到“社會一般人在不借助之前既有知識，無法采取合理可能方式識別或后續(xù)重新識別特定自然人”的標準。（3）信息處理者向第三方提供個人信息之時的匿名化，應達到“第三方無法采取合理可能方式識別或后續(xù)重新識別特定自然人”之標準，以避免信息提供者和接受者共謀，規(guī)避個人信息保護義務。

賦能科技能否落入匿名化處理的范圍？回答可能因情況而異。就軟PET和基于硬件的可信執(zhí)行環(huán)境而言，其主要強化了個人信息主體和處理者的控制權;明文算法增強技術則是包羅萬象的框架性概念，包括了數(shù)據(jù)抽樣、確定性加密、信息壓制、抽象化、隨機化、數(shù)據(jù)合成等一系列技術，其中的差分隱私、K 匿名、L多樣性、數(shù)據(jù)聚合等已被納入歐盟第29條工作組“關于匿名化技術的意見”之中。而以密碼學為基礎的多方安全計算，其既取決于加密算法的強度、加密密鑰的長度和密鑰管理的安全性，更取決于各方所得到的計算結(jié)果是否能夠重新識別特定自然人。賦能科技法律效果為何的判斷，不應糾結(jié)于技術細節(jié)，而要回到“匿名化”的法律標準之上。倘若如此，一個問題油然而生：如果有些賦能科技沒有實現(xiàn)“匿名化”但達到“去標識化”，則是否具有法律意義？

在比較法上，各國多對“個人信息”和“匿名信息”之間的狀態(tài)作出專門規(guī)定。根據(jù)歐盟GDPR第6條、第89條，處理“假名化個人數(shù)據(jù)”的，可以適當放松“處理目的限定”的要求，轉(zhuǎn)而使用“處理目的兼容”的柔性規(guī)制，同時可為公共利益、科學或歷史研究或統(tǒng)計目的而處理，并可作為發(fā)生數(shù)據(jù)泄露責任的抗辯依據(jù)。日本2020年修訂的個人信息保護法亦引入“假名化個人信息”，豁免了包括“目的變更限制”“泄露通知義務”“持有的個人信息之相關事項的公布義務”“個人信息公開義務”“個人信息修正義務”“個人信息停止利用義務”等義務性規(guī)定。基于此，為激勵利益相關方使用賦能科技降低個人信息風險和法律執(zhí)行成本，在后續(xù)的制度設計中，可以從如下方面完善“去標識化”規(guī)則：（1）個人信息處理者可在原先目的兼容的范圍處理“去標識化信息”，相關兼容性應綜合考量后續(xù)使用目的與原先目的之間的關聯(lián)性、數(shù)據(jù)收集的場景、該場景下個人的合理預期、數(shù)據(jù)性質(zhì)、后續(xù)使用產(chǎn)生的后果及現(xiàn)有的保障措施;（2）個人信息向第三方提供去標識化信息的，第三方不得重新識別個人身份，信息主體有權隨時拒絕第三方的處理。〔59 〕

結(jié)語

水可覆舟，亦可載舟。信息科技固然是當今世界個人信息權益的最大威脅，但同時它也是化解危機的優(yōu)先工具。隨著個人信息保護法的出臺，我國個人信息法律體系日臻完善，但只有拼接上“治理科技”這塊拼圖，個人信息治理體系才初步功成。本文研究表明，在公平、透明、合法、以人為本的設計理念下，合規(guī)科技得以強化法律保護，賦能科技得以促進各方共贏，法律和代碼由此攜手并進。最后，依然要警惕信息科技中所隱含的價值偏頗、權力宰制和民主困境，意識到其可能的邊界與限度，如此才能不迷失于科技幻境里那美妙的塞壬之歌。

Abstract： In the context of the Personal Information Protection Law （PIPL） coming out， reimagining the relationship between technology and law is an important part of the overall response to the personal information crisis in the digital age. As a place where the rights and interests of the country， enterprises， and individuals converge， personal information research must go beyond the traditional "regulation vs rights" thinking and move towards a personal information governance system based on national laws， information technology， market competition， and community norms. Information technology takes the lead among these. On the one hand， in the form of "Compliance Tech"， it transforms the principles and rules of national laws into technological protection of personal information throughout the life cycle relying on the idea of "governance by design". On the other hand， in the form of tech-empowerment， it empowers all stakeholders by reducing the cost of law enforcement and the transaction cost of the parties， and even by changing the proposition of law involved. Therefore， the law should reasonably explain the elements of "anonymization"， recognize the legal significance of "de-identified information"， so that IT and law can be coordinated with each other to jointly build an incentive-compatible system of personal information governance.

Key words： personal data governance; personal information protection law; govern tech; compliance tech; empower tech; anonymization