個人信息合作保護的可能與限度

摘 要：個人信息保護是一項需要合作以謀求個人、企業與政府共同受益的復雜法律實踐，但各主體間如何參與合作并實現互惠共贏仍面臨困窘局面。共享合作行動理論以共享意圖為背景框架，通過共同認識與行動、相互回應與支持以及和平開放地解決偏好沖突等路徑，對隱私政策的設計、應用與監督這三個過程進行系統性關照與針對性糾偏。這不僅正視了隱私政策現存的諸多無效或不足的境況，而且有效地指引了隱私政策未來的可改進方向。個人信息保護的合作實踐可減少信息不對稱、認知缺陷、缺乏信任以及多元偏好等情形對個人信息的威脅，但也需要克服主體間權力失衡、態度各異以及目標不一等三方面的不利因素。

關鍵詞：個人信息保護;共享合作行動;共享意圖;隱私政策

基金項目：國家社會科學基金項目“核心價值觀融入法治建設研究：以公正司法為核心的考察”（17VHJ007）;教育部人文社會科學研究專項項目“新時代中國特色社會主義法治思想研究”（18JF210）。

[中圖分類號] D913 [文章編號] 1673-0186（2022）005-0099-015

[文獻標識碼] A? ? ? [DOI編碼] 10.19631/j.cnki.css.2022.005.008

個人信息保護是一項復雜的法律實踐，其關系了個人、企業與政府這三類主要的參與者，關聯了人性尊嚴、商業價值與公共管理價值等多元利益，關照了個人信息的收集、存儲、使用與分享等生命周期。個人信息的保護離不開參與者在不同階段的角色互動與利益博弈。因此，個人信息保護的關鍵在于，將所有參與者的態度與行動置于關系性的考量之中[1]。一方面，個人信息的公共性意味著它的生成與享有都難具有排他性，當人們與他人互動時，他們對自身信息的控制只是相對的，并且“受到他人權利的限制”[2];另一方面，個人信息的開發利用是一個不斷產生關系化信息的過程[3]，僅依賴某一類參與者的力量遠不足以應對信息利用可能引起的風險，甚至可能會加劇知識與權力不對稱的風險[4]。

在社會現實數據化程度愈來愈高的背景下，在數據歸屬導向向數據流通導向轉變的趨勢下[5]，個人信息保護的核心不在于數據歸誰所有，而在于如何在維系信息主體基礎利益的前提下，有效地通過主體間的合作實現對數據的開發和利用。因此，為了使個人、企業與政府都可以從個人信息的保護與利用中獲益，合作而不是競爭就成為個人信息保護的理論想象與實踐框架。個人信息保護的相關實踐確實也彰顯著參與者的各種合作努力，例如MyData計劃①、數據共享池、數據合作社、公共數據信托以及個人數據主權等想法與實踐[6]。但國內個人信息保護研究的重點關注還不在于此。當前學術討論主要圍繞著個人信息的性質界定、手段取向、理論指引、范式轉換以及進路選擇等方面展開。這些研究不僅成果頗為顯著，而且切實指引著個人信息的保護實踐。但由于研究焦點都集中在個人信息本身，都強調主體間的對抗性②，一定程度上就忽略了個人信息保護中主體間合作的可能，以至于以某一主體為中心的個人信息保護體系的建構呈現跛足之勢，無法有效地實現個人信息保護與利用的平衡。當然，也有研究彰顯著謀求主體間合作的目標與傾向。比如強調個人與企業之間互動的告知—選擇機制[7];強調企業與政府之間互動的合作規制思路[8];強調個人與政府之間互動的保障第三人參與權與征求意見程序[9];呼吁政府、企業與個人以溝通及協商為手段的合作治理模式[10];等等。這些研究深深地體現著主體間意圖通過合作策略駕馭和馴服個人信息這一新生事物的努力，它們在理論上是合理且有意義的。但它們主要集中在某一類或某兩類主體之間探討，大大地忽略了三類主體之間的互動與碰撞，而且實踐中并沒有做到駕輕就熟，效果顯著③。

出現困窘局面的原因不在于合作的路徑不可行，而在于上述努力未能考慮到主體間存在的信息不對稱、有限理性、缺乏信任以及合作成本等方面的現實局限性，也未能真正揭示將個人信息保護訴諸合作的目的與要求——互惠共贏。因此，在個人信息保護中，個人、企業與政府如何共同參與活動，實現有效合作，并把我們從可能失敗的合作窘境中解救出來，就是一個值得思考并為之努力的永恒主題。本文擬通過共享合作行動理論，在隱私政策的設計、應用以及監督的不同階段中，規范、指引并評判個人、企業與政府的意圖與行動，以審視主體間有效合作的路徑，并就可能存在的適用限度加以說明。

一、主體間合作的邏輯指引：共享合作行動理論

共享合作行動（Shared Cooperative Activity，以下簡稱SCA）來自美國哲學家邁克爾·布拉特曼（Michael E. Bratman），該理論是對一對個體行動者之間的合作活動的理論刻畫，但也可能涉及大量參與的行動者，并且可以在復雜的體制框架內進行[11]。

（一）共享合作行動理論的特征與要求

根據布拉特曼的觀點，SCA需要滿足三個特征：第一，相互回應（mutual responsiveness），在SCA中，每個參與行動者都試圖回應對方的意圖和行動，知道對方也試圖做出類似的回應;第二，承諾共同行動（commitment to the joint activity），在SCA中，每個參與者對共同行動都有一個適當的承諾（盡管可能出于不同的理由），他們的相互回應是在追求這種承諾;第三，承諾互相支持（commitment to mutual support），在SCA中，每個行動者都承諾支持對方的努力，以便其在共同行動中發揮作用。這些相互支持的承諾使我們能夠成功地開展共同行動，并對彼此的意圖與行動加以回應。

共享意圖是合作行動的起點。在布拉特曼看來，共享合作行動理論的展開，依賴于共享意圖（shared intention）的達成。共享意圖可以作為一個相對固定的背景。借助于共享意圖，參與者的共同行動才會成為有確定意圖和目標的合作行動。共享意圖既非個人意圖的簡單累加，又非一種超級行動者（super agent）心中的態度，它主要是由團體成員的個人意圖及其相互聯系所形成的態度復合體，它是一種事態[12]，即共同行動的所有參與者都擁有適當內容的態度，且以適當的方式相關聯。共享意圖被用來協調我們的行動，協調彼此的計劃以及提供偏好沖突①時的談判框架。正是對共享意圖的強調，使得參與者的活動相互關聯，可以互相回應、共同行動以及相互支持。也正是對共享意圖的承認，使得處于共享活動中的參與者彼此負有一種基于承諾或協議的無條件義務②——一種基于相互保證的義務，有助于我們更好地組織并統一調整利益相關者的能動性（agency），以實現預定的目標。A0835152-84DB-4BF2-B518-40FC70401A18

因此，共享合作行動理論還需滿足以下要求：第一，共同行動是參與者之間的共同認識，我們意圖做某事這一點，對于我們每一個參與者來說是清楚可知的，否則我們就很難說我們有意向共同行動;第二，共享合作行動理論要求有效力的意圖，參與者不僅不允許有被強制或受威脅的意圖或行動，而且彼此之間還會支持他人意圖的有效性③;第三，共享合作行動理論應具有最小協同穩定（minimally cooperatively stable）。穩定有兩方面的意涵，一是拒絕重新審思，即通常默認不重新考慮先前的意圖，我們選擇合作，是因為合作能夠降低參與者的審思成本，彌補認知缺陷。因此，共享合作行動就必須是穩定的，讓我們只思考如何具體做，而不是要不要做的問題④;二是要求參與者以和平的、開放的談判方式解決他們的偏好沖突，不破壞彼此的（子）計劃以及共享意圖的達成①，否則行動就更具競爭性，而不是合作性，競爭的存在意味著參與者彼此之間會阻礙對方的行動，更遑論在他者行動時提供必要的支持②。

（二）共享合作行動理論指引個人信息保護的可行性與必要性

從最廣泛的意義上而言，合作可能意味著只是讓開彼此的路，或者拒絕欺騙其他參與者。但從人性的角度而言，更積極的合作與協調也是可能的、至關重要的實踐[13]。合作問題的特征是：在合作行動中，每一個人的行動都依賴于所有其他人的意圖與行動。個人信息保護可被視為一項共同的合作事業。這是因為，只有實現所有參與者之間的聯合與互動，不同參與者之間的意圖和行動才可以通過協調達致某種程度的平衡，既照顧到個體的人性尊嚴之價值，又促進了社會的經濟和管理之價值。不過，個人信息保護的合作實踐足夠艱難，以至于單獨的個人或少數的群體難以應對，必須利益相關者一起合力解決。在信息化、智能化快速推進的今天，需要考慮共同行動的優勢。在實施個人信息保護時，需要把分散的個人或組織的力量以一種有秩序的方式集中起來，以增強抵御信息泄露、濫用以及“千人千價”的大數據殺熟等風險的能力。具體來說需注意以下三個方面：

第一，合作是個人信息保護的重要訴求。首先，合作是對人類心理的真實寫照。我們不僅有欲望獲得復雜的目標，而且有能力設置這樣的目標并提前組織我們的行為。其次，合作立足于對關系性的確認，是為群體成員而設計的，其目的是使所有參與者受制于規范的理性能力，其功能是構建利益相關者的活動，使全體參與者一起努力，以追求善和實現價值的策略。再次，合作有賴于現實條件的造就。信息技術的發展使得許多實體的即時性、響應性和可循性成為可能，許多參與者幾乎可以實時協調他們的行動，以實現既定的目標[14]。最后，在個人信息保護領域，一方面，個人信息具有公共性，以至于排除其他人從個人信息中獲益不僅難度較大，而且沒有效率;另一方面，以單個侵權案件處理為核心的救濟路徑難以應對大數據時代社會性侵權與系統性風險。因此，個人信息保護的合作實踐不僅是可欲的，也是可能的。

第二，既有的“主導—配合”之協作模式拒斥企業和個人的能動性。個人信息的立法實踐增加了個人對其信息的控制權，規范了企業基于數據的商業模式，明確了政府在個人信息保護方面的職責。這意味著個人信息保護實踐是需要各個主體都為之配合與努力的行動。但在個人信息保護的具體實操中，呈現出由政府強勢主導、企業象征性參與、個人被動配合的協作模式。這是合作模式的低級階段[15]，其不僅忽略了國家—社會關系中“強國家、強社會”理念的切實轉變，而且造成了個人信息保護策略的僵化開展，是對個人能動性的否認及對企業創新性的遏制，比如全球商業軟件公司ESRI與市政府合作的Waze項目[16]。這個項目的意圖是，所有各方都受益，因為他們能夠輕松地獲得原本無法訪問的數據。但實際上，合作組織之間存在的互惠關系僅涉及數據持有者，數據主體往往被排除在關系之外，或者最多被描述為被動受益于關系之中。因此，在個人信息保護領域，需要個人、企業與政府共同采取行動，演繹從協作走向合作的新篇章。

第三，目標一致性仍然占據個人信息保護實踐的突出位置。雖然主體間達成合意存在較大困難，例如，“禁止追蹤”技術就是因為企業、行業組織、用戶與政府之間無法達成一致，因而效果不甚理想[17]。但實踐效果的不理想并不意味著一致性目標的不重要。對一致性目標的強調是因為：一是只有個人信息保護的合作目標在主體間保持一致性、連貫性和穩定性，才能避開與目標不相容的行動，并確定哪些行為選擇是相關的和值得考慮的;二是目標一致性意味著主體間在認知上的相互依賴，成員們意識到這是一種以合作為目的的集體實踐，每個人不但對他人有期待，而且也樂意采取合作行為;三是如果缺乏一致性的目標對行為的規范與指引，信息不對稱、認知偏見、缺乏信任以及多元偏好等就會對個人信息保護的合作事業產生威脅;四是目標一致性能夠縮減主體間的認知差異并減少思考成本、談判成本以及商議成本等。

20世紀后期以“弱化表達而注重開展行動來獲取支持”的社會特征，似乎預示著一個行動主義時代的到來。“共享”沖擊著各個學科的知識框架。以法哲學領域為例，有學者聲稱，現代世界是由“大型共享行動”——群體的行動所定義的世界[18]。因此，我們有必要引入共享合作行動理論，為個人、企業與政府之間的合作實踐提供規范和框架。在個人信息保護中借鑒共享合作行動理論，并不只是基于共享合作的可欲性，還依賴于我們是否實際上采納它們。由于我們不僅欲求實現復雜的個人信息保護的合作實踐，也有能力選定這一目標，并隨著時間和借助人力而組織我們的行動，以實現這個目標。因此，共享合作行動理論不是唯一的選擇，但一定是較好的且有可能實現的選擇。

二、共享合作行動理論對隱私政策實踐的關照與糾偏

共享合作行動理論的引入是基于信息時代復雜的、充滿爭議的甚或專斷性的環境。但共享合作行動理論構建的只是個人信息保護的理想情境，真正實現還依賴于對合作的意圖與行動的進一步細化。這需要深入到個人信息保護實踐的內部，包括政策、法規、委員會、合同、服務條款、標準、算法以及其他技術系統，以具體的行動來填充細節。隱私政策①對內是企業治理規范，是企業積極主動地擁抱隱私、承擔社會責任的體現，對外則是溝通消費者與企業處理行為的橋梁，是政府監管的重要內容[19]。因此，隱私政策實踐就是企業、個人與政府之間良性互動的重要場域。它可被視為個人、企業與政府這三類主體互動與博弈的典型場景。申言之，企業通過隱私政策將自身的個人信息保護實踐公之于眾，由用戶自主決定個人信息是否被收集、利用和共享，而政府可據此對企業的合規實踐進行監管。既有的隱私政策研究也表明，此類研究的結果可以幫助企業改進其隱私政策，促使政府制定更好的法規并評估其有效性，并最終教育用戶了解行業隱私實踐的現狀[20]。是以，以隱私政策實踐來驗證共享合作行動理論的價值與意義具有可行性和必要性①。那么，共享合作行動理論如何嵌入、形塑抑或糾偏隱私政策的設計、應用以及監督等階段的實踐呢？A0835152-84DB-4BF2-B518-40FC70401A18

（一）隱私政策設計階段的缺憾與補正

1.共同認識：企業必備隱私政策

每個在線平臺或網絡服務都必須有隱私政策，這應該是所有參與者的共同認識。不過，隱私政策的有無及其可用性方面在具體實踐中還存在顯著差異。比如，有些應用程序以營銷聲明替代隱私政策;有些則以隱私為營銷工具;有些隱私政策是服務協議的組成部分;有些隱私政策因平臺而異;等等。隱私政策是任何擁有數據的企業的關鍵功能，特別是當他們擁有個人敏感信息時更是如此。用戶也只有在與企業達成一定程度的信任后，才會披露個人信息。但有趣的是，大多數應用程序供應商聲稱，他們相信數據主體的隱私很重要，盡管這并沒有反映在他們的隱私政策中。雖然隱私政策實踐存在這樣或那樣的困窘局面②，但糟糕的實踐并不否定隱私政策的必要性和重要性。是以，企業需要以法律法規確定的原則、規則與標準為基礎，從形式和內容上良好地設計隱私政策，而不只是滿足于形式合規或隨波逐流③。

2.倫理底線：非強制或誘導的個人意圖

克拉諾（L. F. Cranor）指出，除非用戶被賦予可用和可執行的選擇機制，否則隱私政策以及更普遍的通知和同意機制，都是沒有意義的[21]。個人能夠對其信息隨后如何被企業使用擁有一定的發言權，這肯定是任何聲稱公開或透明的隱私政策的關鍵組成部分。但目前的隱私政策，一方面有些仍然保留著“如果你同意，就點擊”的名為自由選擇實為唯一之舉的范本，選擇通常是全有或全無的;另一方面有些雖然詳細地說明了個人需要知道的一切，但有意地誘使或訓練個人將注意力僅集中在點擊同意上①，這就是變相地使個人意圖屈從于企業的隱私設計。所謂的合作只是企業的獨家話語，個人只是負責配合“演出”的工具而已。個人意圖自由是共享合作行動理論的重要內容，其要求將個人視為積極參與者，而不是被動適應的目標。因此，企業隱私政策制定時，應采取以用戶為中心的方法，比如提供隱私設置個性化選項、一站式撤回和關閉授權等[22]，而不是簡單地將它們視為一個需要選中的框。

3.效力錨定：內容的相對穩定性

隱私政策往往是在特定場景下生成的，規則的制定、適用和發展都不應當超出原初的特定場景[23]。穩定的內容也是社會對隱私政策的日常預期。否則，隱私政策時常變動，不僅會增加個人和政府重新閱讀并審思的時間和精力成本，而且重新審思也是共享合作行動理論所拒斥的。但在現實實踐中，隱私政策不僅五花八門，而且變幻無常，隨著參與者數量的變化而變化。更令人擔憂的是，大部分企業沒有發表聲明，如果隱私政策發生變化，將如何通知用戶。他們只是簡單地聲明，對政策的任何更改都將反映在他們的網站上。在某些情況下，企業也只是鼓勵消費者定期重新閱讀政策文檔，以便讓自己隨時了解這些更改②。因此，企業必須保證隱私政策內容上的相對穩定性。

（二）隱私政策應用階段的缺失與補足

1.互相回應

隱私政策的應用是一個透明交互的過程。一方面，企業可以介紹自己的隱私實踐，從而吸引網絡用戶;另一方面，企業也可以使行政機關確信，企業自律可以發揮作用，不再需要額外的行政干預。互相回應的要求意味著：第一，企業需要披露隱私政策，但實際情況是，企業可能沒有披露，或者披露不明顯甚至是錯誤披露等，比如，有些圖書館的隱私政策，要么在主頁的底部不明顯地顯示，要么需要多次分級點擊鏈接，要么直接就是僵尸鏈接[24];第二，個人需要對隱私政策加以反饋，個人正是通過獎勵好的做法或懲罰壞的做法這些具體的決定來監督市場，但現實是，隱私政策的內容冗雜、專業，語言晦澀、模糊，個人受限于時間、知識以及思維的局限性，無法實質性地閱讀并理解，遑論有效反饋③;第三，政府需要審查隱私政策，政府介入的意義在于確保企業隱私政策的效力，彌補個體用戶舉證能力的不足[25]，但現實情況是，政府受制于消息的滯后性、部門之間權責不明、執法疏松等因素，很難切實地審查并監督隱私政策的適用，也就難以有效地指引企業去調整自身的行動。

2.承諾共同行動

無論是出于什么理由，企業在隱私政策中對保護個人信息均有一種適度的承諾。即便用戶不怎么閱讀隱私政策，但是上至政府部門，下至消費者，中至隱私權倡導者及媒體等，都可以將隱私政策置于聚光燈下反復打量與評價。因此，承諾共同行動意味著：一是個人應被視為真正的利益相關者，能夠對其數據施加控制，并處于一個可以在公平競爭環境中與企業討價還價的位置[26]，但在大多數現實中，個人不僅只是配合的角色，而且企業所引起的不利后果還得自己負責①;二是企業要主動為自己的行為負責，因為企業比任何人都明白他們想要如何利用數據，也許更為重要的是，企業是數據二級應用的最大受益者，所以理所當然應該讓他們對自己的行為負責[27]，目前，我國的《網絡安全法》《電子商務法》《個人信息保護法》皆規定了互聯網企業的信息安全與隱私保障義務，但具體執行方面還有待于貫徹落實;三是政府要監督并審查企業的行為，個人信息的公共性突出了責任規則的重要性，而后者則強調政府在數據交易和流通過程中的強化監督責任，比如，我國政府部門近些年來對一些企業網絡產品和服務的隱私政策逐步展開了評審，涉及隱私政策的內容、展示形態、用戶同意等。

3.承諾相互支持

隱私政策的良好實現有賴于每一個參與者都認同并支持他者在保護個人信息中扮演的角色與努力。這些對彼此支持的承諾，把個人、企業與政府置于一個意圖完成個人信息保護的境地②。但現實情況是，隱私政策對消費者的保護很少，反而被用于授權商業行為，使企業能夠從消費者數據中獲利[28]。所以，參與者之間的相互支持十分有限③。而要踐行相互支持的承諾則要求：一是企業提供給個人更清晰甚或更簡化的選擇，抑或個性化的隱私政策，比如，通過隱私圖標、隱私摘要或隱私選擇的交互方式說服、鼓勵個人點擊它們來了解細節④;二是個人可以通過信息信托和信息中介的方式，與另一個實體建立委托代理關系，借助實體的力量參與到企業的信息實踐中[29];三是政府應建立適當的語言指南、披露標準或認證標志，甚至是標準的隱私政策模板，以確保企業遵守他們的諾言①。是故，在技術加持和標準一致的要求下，主體間的相互支持具有良好實現的可能。因為個人不僅閱讀速度會更快，甚至都不需要閱讀;企業節省了刻意形式合規的不必要成本;政府也可以快速地評估與檢測隱私政策的優劣。A0835152-84DB-4BF2-B518-40FC70401A18

（三）隱私政策監督階段的缺漏與補充

1.企業負有基于隱私政策的保證義務

隱私政策是一種關于信息將如何被使用的通知形式，也是一種限制信息未來使用的默認的合同承諾[30]。企業在隱私政策方面主要有四類基于保證的義務以協調主體間的行動：第一，禁止內部違反隱私政策，企業內部人員對個人信息的訪問和使用需符合隱私政策，一旦員工被解雇，就立即取消其訪問權限;第二，禁止外部違反隱私政策，非企業內部人員對個人信息的訪問和使用也需要符合隱私政策，特別是第三方供應商，也應簽訂經過認證的合同協議或遵從隱私保護基準;第三，制定健全的、積極的數據刪除政策②，刪除不再需要的數據是有效的隱私政策的一個要素[31];第四，重點披露個人信息安全事件，包括事件的數量、規模、易遭受侵害的個人信息類型、造成的實際損失等[32]，某種形式的安全漏洞無法避免，但若有適當的策略，業務安全的彈性策略將得到很好的執行，比如，將損害減少到最小程度，并防止業務下線，或者至少控制影響，使其他功能不受影響，也是企業的成功之處。不過，現實實踐中，擁有安全應急響應設置的應用程序比例偏低，而且具體內容差異巨大，有些多達兩頁，有些則是只言片語。

2.以和平、開放的方式解決基于隱私政策的爭議

隱私政策不僅僅是宣示性文件，更是平衡個人與企業勢力比，避免商業上數據監控形成的重要內容。對這一點的強調，目的在于確保個人有能力、有條件與企業進行討價還價③。不過，現實情境中，個人被認為是在盲目地與企業討價還價，隱私政策常常成為企業逃避責任的擋箭牌。以和平、開放的方式解決基于隱私政策的沖突，這意味著當隱私政策發生損害時，訴訟是最后的手段但不是唯一的手段。個人訴訟可以解決此類問題，但存在維權成本高、行動分散化等問題，而且針對個案的司法判決也只是針對維權者個人具有個案效果。因此，對多元手段的訴求就是一個可能努力的方向：第一，考慮市場力量的激勵④;第二，隱私政策的自我規制，企業通過強調對第三方準則的遵守向個人發出隱私保護的信號，不過這點很難確保企業說到做到;第三，由獨立的、公正的機構專門執行隱私政策遵從評估、影響評估、風險分析、保護認證或審計等職能①;第四，基于技術的約束，通過對隱私策略進行人工智能分析（如掃描工具、網絡爬蟲等），不僅自動通知個人和政府隱私政策中可能存在的非法內容，而且還通知他們可能存在的非法數據處理活動。

綜上，共享合作行動理論以共同認識、倫理底線、效力錨定、相互回應、共同行動、相互支持、保證義務以及和平、開放地解決偏好沖突這八個指標，對隱私政策的設計、應用以及監督這三個過程進行了關照與糾偏，并指出了隱私政策后續改進的方向和重點，實現了理論與現實的交匯融合。在共享合作行動理論的敘事結構下，隱私政策應該是個人尋求隱私保護的信賴規范，應該是企業的優先事項，也應該是政府的重點執法對象。是以，圍繞著隱私政策，個人、企業與政府之間可形成良性互動，以充分發揮隱私政策的社會功能。但實踐中，大多數隱私政策不僅遠未達到理想水平，還被參與者視為滋擾，忽視了隱私政策追求數字生產的目的，而且也不會受到手段的抑制[33]。因此，隱私政策逐步完善的過程就是共享合作行動理論散發活力的過程，也是理論指引實踐的魅力體現。

三、個人信息保護中合作實踐的限度與回應

共享合作行動理論依賴于所有參與者的積極互動。這種互動不僅要求參與者之間會對彼此的意圖和行動予以回應，也包括對彼此的承諾信守與守望相助。共享合作行動理論對隱私政策的觀照，可減少信息不對稱、認知缺陷、缺乏信任以及多元偏好等對個人信息保護的威脅。從這個意義上而言，共享合作行動理論是面向復雜的信息時代的可能選擇，可以在集中群體智慧和力量的基礎上，以一種有秩序的安排組織參與者的行動實現合作目標，并通過促進信息交流和集體意義，重新塑造技術、市場或行業。但不可否認的是，該理論在收獲其可能的理論貢獻的同時，也面臨著一些不利因素引發的爭議。這就意味著主體間的合作同樣面臨著與之相呼應的行動上的限制或障礙。

（一）權力失衡與賦能個人

共享合作行動是面向一對行動者的合作活動的理論刻畫，他們不依賴體制結構和權威關系。因此，參與者彼此間是平等的人際互動。但在個人信息保護中，個人、企業與政府之間卻存在力量和地位上的顯著不平等。一方面，在我國“強政府、中社會、弱個人”的現實情境下，政府相較于企業具有更強的力量與資源，企業相較于個人具有專業和技術優勢，因此，不同參與者之間天然地存在地位的不對等，容易滋生個人意愿被強制的可能，有效合作也就難以實現;另一方面，就個人的能力而言，行為經濟學表明，在管理個人信息時，個人經常成為認知偏見的犧牲品，導致他們違背自己的實際偏好和最佳利益[34]。不過，布拉特曼在他后續的研究中也指出，共享合作行動理論并不否認存在大型機構的行動者。比如，公司、政府或有層級權威關系的機構。他希望“通過聚焦于這種小規模的共享能動性（shared agency）可以獲得一些洞見，也許我們的小規模共享能動性理論憑借進一步的條件可以延伸到這類大型的社會組織”[35]。因此，即使個人、企業與政府在訪問、控制和處理個人信息的可能性以及關于如何收集和處理數據的知識方面存在很大差異，但他們仍可作為關鍵利益攸關方參與到個人信息保護實踐中。比如，數據合作社的實踐證明，可通過“自下而上的數據信托”[36]，以協議和合同的方式保證個人對其數據的控制，并可能要求公平分享數據利用所產生的利益。再比如，通過技術手段可以增強個人對其數據的控制能力（特別是信息可移植方面），或者通過主動或被動的數據行動主義活動促進個人參與，從而減少企業的影響。合作也需要政府來保障隱私政策的執行。與用戶相比，企業在經濟能力、技術能力、訂約能力等方面具有明顯的優勢，需要公權力機關的介入，以平衡雙方當事人之間的關系[37]。這就意味著主體間實現合作時并不排斥權力在場[38]。是以，主體間的權力失衡可通過為個人賦能的諸種辦法加以消解。A0835152-84DB-4BF2-B518-40FC70401A18

（二）態度各異與機制保障

共享合作行動理論依賴于所有參與者對合作的接受——態度參與。但在個人信息保護實踐中，主體間接受的廣度與深度還存在程度差異。理想的個人信息保護實踐要求，所有參與者心甘情愿地接受共同行動的要求，并為了行動的成功而相應地克制自己的欲望或積極配合行動。但是，不可測的不確定未來以及參與者們受限于即刻滿足的本能，使得接受合作行動的可能性有限，而且接受的態度也容易模糊。因此，在接受的判斷上，這一建議會受到攻擊。具體而言，其一，隱私和數據保護在很大程度上是一個自我管理的問題。個人通常也高度重視隱私和數據保護，但他們通常不會按照這些態度行事。即使是對隱私表示出強烈偏好的用戶，也愿意為小額的獎勵而放棄個人信息。申言之，即使給予個人足夠的信息控制能力與條件，但這反而增加他們披露敏感信息的意愿。換言之，如果他們泄密的意愿增加得足夠多，這種控制的增加反而會使他們更加脆弱。其二，隱私和數據保護還是一個企業義務的問題。企業一般會積極依據法律法規去調整自身的行為。但實踐中，企業還是滿足于形式合規、謀求搭便車、規避責任或受控于其他機會主義行為誘惑等。因為就隱私政策而言，其往往是相對簡短的承諾，是一種語氣上而不是實質性的公共關系;往往是為外部消費而設計的，而不是為了影響企業的內部功能[39]。其三，隱私和數據保護更是一個政府監管責任的問題。政府監管是對個人信息被侵犯的情形以及公眾對隱私安全高度關切的回應。但監管本身面臨一些現實因素的阻礙。比如，傳統的命令—控制型監管模式，過于嚴格、僵化，并存在阻礙創新與競爭的可能。信息時代的監管模式也面臨著平臺權力、信息過載以及系統性威脅的困窘局面[40]。主體間出現態度差異是正常的，可以接受的。這種態度差異可通過經濟激勵、同行壓力、問責與透明等機制得到降低、懸置甚至克服，雖然這種努力并非一蹴而就。

（三）目標不一與溝通協商

共享合作行動理論要求共享意圖的達成。也就是說，參與者對于一起做某事擁有一致性、連貫性和穩定性的目標并為之努力協調各自的行動。只有共享意圖得以實現，主體間的行動、彼此的計劃以及偏好沖突時的談判才得以有序進行，參與者才可以在某種條件下以某種方式去行動或不行動。但在個人信息保護實踐中，由于個人、企業與政府之間存在權力和態度上的差異，共享意圖就很難達致或很難判斷是否是真正的共享意圖。具體來說：第一，雖然意圖可能在上下文語境中得到廣泛承認甚至共享，但可能不透明，或者在不同的參與者或上下文語境中存在爭議，比如，企業的一個直接意圖是通過數據共享和聚合獲得最大化的經濟回報，相反，政府可能會將公共利益作為數據共享協議要追求的關鍵意圖之一，個人的意圖可能是增加信息主體對其信息的控制或為弱勢群體提供發言權[41];第二，共享意圖可能是通過誘導或操縱的手段達成的，比如，新興領域的參與者會通過誘導他人的合作來塑造它以適應自己的利益，或通過給予個人獎勵或免費服務等方式，操縱個人按照他們的預測和建議行事;第三，共享意圖可能是企業與政府之間共謀的結果，個人僅是配合而已。信息時代，個人對于企業和政府而言是透明的、分散的，甚至被視為純粹的對象，被剝奪了道德主體的地位。因此，個人喪失了在個人信息保護領域與企業和政府進行商議的能力，而且，基于個人信息的數據權力被用來規避與個人的任何對話關系，個人意圖也就被忽視了[42]。不過，共享意圖的難以實現或難以判斷這一事實本身，并不排斥共享意圖實現的可能性。因為，在共享合作行動理論中，參與者被允許基于各種各樣的理由而達成合作，而且，個人確實可以被賦予在一個公平的競爭環境中與數據收集者討價還價的能力。因此，通過構建相應的溝通協商的制度環境，使主體間的意圖趨于一致、連貫與穩定，就是我們繼續努力完善的基本方向。

共享合作行動理論對隱私政策實踐的規范、指引及評判，展示了該理論所具有的價值與意義。一方面，共享合作行動理論為個人信息保護的合作提供了一種可能的路徑指引，它可以被理解為一種創造性的做法來組織諸多參與者的意圖與行動;另一方面，共享合作行動理論將“溝通”的維度引入個人、企業與政府之間，將它們之間的單向關系變成了可協調的雙向關系，使得每一主體，特別是個人，通過“表達”與“溝通”的方式切實地共同參與到個人信息保護實踐中。但不可否認的是，共享合作行動理論在指引具體實踐時，不可避免地面臨著一些不利因素，比如，參與者之間的權力失衡、態度各異以及目標不一。不過，對不利因素的回應與解決，反而為個人信息保護的后續研究指明了努力的方向，比如，如何為個人賦能或創造條件提升個人與強大實體進行討價還價的能力;隱私設計實踐如何使企業承擔應有的責任;政府的規制模式如何適應信息時代的監管要求;等等。這就是為什么我們的目光需要在理論與實踐之間反復來回跳躍，以此商談個人信息合作保護的價值所在。

參考文獻

[1]? VILJOEN S. A Relational Theory for Data Governance[J]. The Yale Law Journal， 2021， 131（2）： 573-654.

[2]? FRIED CHARLES. Privacy[J].The Yale Law Journal，1968， 77（3）： 486.

[3]? 蘇今.大數據時代信息集合上的財產性權利之賦權基礎——以數據和信息在大數據生命周期中的“關系化”為出發點[J].清華知識產權評論，2017（00）：262-291.

[4]? S. WEST. Data capitalism： redefining the logics of surveillance and privacy[J]. Business & Society， 2019， 58（1）： 20-41.

[5]? 鄭智航.數字資本運作邏輯下的數據權利保護[J].求是學刊，2021，（4）：113-126.A0835152-84DB-4BF2-B518-40FC70401A18

[6]? MARINA M.; MARISA P.; MAX C. et al. Emerging Models of Data Governance in the Age of Datafication[J].Big Data & Society， 2020， 7（2）.

[7]? 馮愷.個人信息“選擇退出”機制的檢視和反思[J].環球法律評論，2020（4）：148-165.

[8]? 孔祥穩.論個人信息保護的行政規制路徑[J].行政法學研究，2022（1）：131-145.

[9]? 李衛華.民法典時代政府信息公開中個人私密信息保護研究[J].政治與法律，2021（10）：14-24.

[10]? 郭春鎮，馬磊.大數據時代個人信息問題的回應型治理[J].法制與社會發展，2020（2）：180-196.

[11]? MICHAEL E. Bratman.Shared Cooperative Activity[J].The Philosophical Review，1992， 101（2）： 328.

[12]? MICHAEL E. Bratman.Shared Intention[J]. Ethics， 1993， 104（1）： 98-99.

[13]? STERELNY K. The Evolved Apprentice： How Evolution Made Humans Unique[M]. The MIT Press， 2012： 12-14.

[14]? BENNETT W L.， SEGERBERG A. The logic of connective action： Digital media and the personalization of contentious politics[J]. Information， Communication and Society， 2012， 15（5）： 739-768.

[15]? 張康之.公共行政的行動主義[M].南京：江蘇人民出版社，2014：231-234.

[16]? JENNIFER SHKABATUR. The Global Commons of Data[J]. Stanford Technology Law Review，2019，Vol.22（2）：354-411.

[17]? KYLE FERDEN. The Swanson Paradox： Do-Not-Track and the Intersection of Data Autonomy and the Free Market[J]. Journal of Corporation Law， 2016， Vol.41（2）： 493-508.

[18]? 斯科特·夏皮羅.合法性[M].鄭玉雙，劉葉深，譯.北京：中國法制出版社，2016：195.

[19]? 李延舜.隱私政策在企業數據合規實踐中的功能定位[J].江漢論壇，2020（10）：136-144.

[20]? ZAEEM N.;? Barber. A study of web privacy policies across industries[J]. Journal of Information Privacy and Security，2017， Vol.13（7）： 1-17.

[21]? CRANOR L F ， Necessary But Not Sufficient： Standardized Mechanisms for Privacy Notice and Choice[J]. Journal on Telecomm & High Technology Law， 2012， Vol.10（2）： 273-308.

[22]? 萬方.隱私政策中的告知同意原則及其異化[J].法律科學（西北政法大學學報），2019（2）：61-68.

[23]? HELEN NISSENBAUM. Privacy as Contextual Integrity[J].Washington Law Review，2004，Vol.79（1）：119.

[24]? 姜盼盼.圖書館隱私政策合規性的依據與標準[J].圖書館建設，2019（4）：79-86.

[25]? 高秦偉.個人信息保護中的企業隱私政策及政府規制[J].法商研究，2019（2）：16-27.

[26]? K. De Vries. Privacy， due process and the computational turn： A parable and a first analysis. In M.Hildebrandt; K. de Vries eds. Privacy， Due Process and the Computational Turn： The Philosophy of Law Meets the Philosophy of Technology[M].Routledge，2013：25.

[27]? 維克托·邁爾-舍恩伯格，肯尼斯·庫克耶.大數據時代：生活、工作與思維的大變革[M].盛楊燕，周濤，譯.浙江：浙江人民出版社，2013：221.

[28]? FERNBACK J. Online Privacy as Legal Safeguard： The Relationship among Consumer， Online Portal， and Privacy Policies[J]. New Media & Society， 2007， Vol.9（5）： 715-734.A0835152-84DB-4BF2-B518-40FC70401A18

[29]? JACK M. Balkin.Information Fiduciaries and the First Amendment[J]. UC Davis Law Review， 2016， Vol.49（4）： 1183-1234.

[30]? D. J. SOLOVE. Privacy and Power： Computer Databases and Metaphors for Information Privacy[J]. Stanford Law Review， 2000， Vol.53（6）： 1393-1462.

[31]? KIERSTEN E. Todt.Data Privacy and Protection： What Businesses Should Do[J].The Cyber Defense Review，2019，Vol.4（2）：42.

[32]? 馮洋.從隱私政策披露看網站個人信息保護——以訪問量前500的中文網站為樣本[J].當代法學，2019（6）：64-74.

[33]? OBAR J. A; Oeldorf-Hirsch A. The Biggest Lie on the Internet： Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services[J]. Information， Communication & Society， 2020， Vol.23（1）： 128-147.

[34]? D. J. SOLOVE. Introduction： Privacy self-management and the consent dilemma[J]. Harvard Law Review， 2013， Vol.126（7）： 1880-1903.

[35]? MICHAEL E. BRATMAN. Shared Agency： A Planning Theory of Acting Together[M]. Oxford University Press， 2014： 8.

[36]? DELACROIX S; LAWRENCE L N. Bottom-up data trusts： Disturbing the "one size fits all" approach to data governance[J]. International Data Privacy Law， 2019， Vol.9（4）： 236-252.

[37]? 彭玉勇.論網絡服務提供者的權利和義務[J].暨南學報（哲學社會科學版），2014（12）：67-82+156-157.

[38]? 柳亦博.論合作治理的路徑建構[J].行政論壇，2016（1）：10-15.

[39]? BENNETT C. J.; RABB C. The Governance of Privacy： Policy Instruments in Global Perspective[M]. Mc Farland and Company， Routlege， 2003： 121-138.

[40]? COHEN J. E. The regulatory state in the information age[J]. Theoretical Inquiries in Law， 2016， 17（2）： 369-414.

[41]? ?Winter J. S.; DAVIDSON E. Big data governance of personal health information and challenges to contextual integrity[J].The Information Society，2019， Vol.35（1）： 36-51.

[42]? HILDEBRANDT M. Who needs stories if you can get the data？ ISPs in the Era of big number crunching[J].Philosophy & Technology， 2011， Vol.24（4）： 371-390.

The Possibility and Limit of Cooperative Protection of Personal Information： Analysis Based on Share Cooperative Activity Theory

Wang Ya

（School of Law Jilin University， Changchun， Jilin 130012）

Abstract：Personal information protection is a complicated legal practice that requires cooperation to seek the common benefits of individual， enterprise and government， but how to participate in cooperation and achieve mutual benefit is still facing a difficult situation. Share cooperative activity， which shared intention as its framework， through mutual understanding and action， respond and support each other and peace open preferences conflict resolution， systematic cares and targeted corrects the design， application and supervise of privacy policies. It faces the existing many invalid or insufficient situation of privacy policies， and effectively points to the future direction of privacy policies improvement. The collaborative practice of personal information can reduce the threats to personal information protection， such as information asymmetry， cognitive deficiency， lack of trust and multiple preferences， but it also needs to overcome the disadvantages of power imbalance， different attitudes and different goals among subjects.A0835152-84DB-4BF2-B518-40FC70401A18

Key Words： personal information protection; shared cooperative activity; shared intention; privacy policies

作者簡介：王婭，吉林大學法學院博士研究生，研究方向：個人信息保護。

①Mydata計劃是源于芬蘭的開放數據行動主義而發展起來的項目。

②無論是個人控制還是社會控制，它們立足于一個前提，即信息主體與企業之間是一種以對抗為表征的零和博弈的關系。當我們承認信息主體的數據權利，也就意味著信息主體獲得了基于這項權利而形成的對企業的一種支配性。這種對抗思維過分地強調了數據的個人性，忽視了數據的公共性，以至不便于數據的流通和增值。

③比如，告知—選擇機制流于形式致使個人同意無能;合作規制導致企業與政府之間權責不明;多元主體合作更多的是宣示性的理念倡導，仍然希求更為具體的、系統的實踐指引;等等。

①這里的沖突表現為彼此之間如何做或者如何安排的問題而不是要不要一起做的問題。

②共享意圖可從兩個層面來認識。第一個是較弱意義上的共享意圖，它是一種心理現象，其不要求參與者之間的承諾和協議，也就無從產生無條件的義務。第二個是較強意義上的共享意圖，它是一種規范現象，其暗含承諾或協議的要求，也涉及無條件的義務和資格。本文對于共享意圖的理解是從規范意義的維度進行的。

③這一點指向了意圖的反身性（reflexivity）特點，這也是SCA中承諾相互支持的由來。如果參與者的意圖或行動是不自主的或被強迫的，則意味著強迫者的行動繞過了意向性行動者的意圖，行動者的態度就是不合作的，有效的合作就無法達成。

④當然，重新審思在足夠好的理由支持下也是理性的，否則就會達不到制定共同行動的目的。

①談判意味著可以討價還價，但討價還價也有困難。因為它會迫使我們去重新考慮我們的意圖，而重新審思正好是共享意圖所拒斥的。即便它也要求當事情隨著時間發生變化時，意圖也應該發生變化。是以，談判以共享意圖為固定背景或框架。

②當然，競爭本身也具有共同行動的外觀，但合作的水平有限。即使一定程度上是合作的，之后總會有競爭。比如下象棋就是共同行動但不構成合作。

①隱私政策在實踐中有多種表現形式，如隱私聲明、個人信息保護指引、隱私權政策以及應用權限等等。就性質與內容而言，這些稱謂所指向的法律意義上的文件均可歸為隱私政策。在我國，網絡服務提供者制定隱私政策主要是為了履行其公示收集、利用用戶個人信息的范圍、方式等內容的法定義務。

①選取隱私政策作為驗證共享合作如何達成的一個場景，除了正文中指出的理由外，還有一個額外的必要考慮。共享合作行動是部分的規劃，在它之下還容納著若干個相互嵌套的子計劃。因此，隱私政策也只是個人信息保護合作計劃中的一個子計劃，這個子計劃可能非常重要，也可能不那么重要，但都是（總）計劃中不可或缺的一部分。由于個人信息保護的合作實踐內涵豐富，本文無力建構充分的、完整的合作規劃，是以，僅選取其中一個子計劃用以說明共享合作行動之于個人信息保護的價值與意義。

②有些應用程序的數據共享實踐和準確性的信息通常既不容易獲取，也不容易理解;有些應用程序的隱私政策甚至會掩蓋有關隱私和準確性的重要信息，從而對用戶構成安全和隱私風險。

③也有官員和學者對隱私政策的必要性提出質疑。他們認為個人的偏好各不相同，事先設定隱私政策這一行為準則可能會被證明是困難的，或者是武斷的。這樣的爭議很有沖擊力。因為在互聯網環境中，隱私政策的實踐基本是失敗的。但數字服務的性質又意味著可行的監管替代方案很少，效果也很差。

①比如，從上到下閱讀政策的用戶首先看到吸引人的同意按鈕，以至于會錯過點擊按鈕之下的不太吸引人的政策鏈接。

②但對個人來說，跟蹤隱私政策的變化并不總是容易的。第一，改變是由企業單方面提出的;第二，當企業做出單方面的改變時，并不總是清楚他們是否會通知個人這種改變的存在;第三，即使個人知道企業的隱私政策已經更新，也不容易在更新的文本中找到這些變化。

③比如，一項實證調查顯示，74%的人會跳過隱私政策;應該需要30分鐘才能閱讀完的隱私政策，但用戶的平均閱讀時間為73秒。

①比如，有些企業建議個人仔細閱讀第三方的隱私政策和服務條款，以了解第三方將如何處理他們的個人信息，而他們自己則否認對此類處理負有任何責任。

②比如，企業發布高水平的隱私政策或實施用戶友好的隱私計劃，有助于獲取消費者的信任，而消費者認可后就會通過自身行為，比如瀏覽網站、購物、向朋友推薦等，增強企業的競爭優勢。

③就個人而言，難以有效反饋隱私政策的利弊，因為企業在用戶不知情的情況下收集的數據比用戶有意識地提供的數據更突出;就企業而言，難以切實地按照隱私政策的規定行事，因為網絡商家會發布措辭模糊的隱私政策，阻止用戶閱讀它們;就政府而言，難以實際地依據隱私政策進行監管，因為不受監管的市場導向的隱私政策并不明確。

④例如，小米應用商店日前宣布，其率先推出了“隱私說明清單”展示功能，用戶可以重點查看“數據收集的詳情與目的”“獲取權限”“數據共享”“用戶權利”“個人信息安全保障措施”五類內容。

①比如，新開發的AI輔助方法，可自動檢查隱私政策的內容是否完整，而且該方法的精確度為85%。

②實證研究表明，61.2%的應用軟件隱私政策中有數據留存條款，但是這些條款遠談不上規范，內容也模糊不清。甚至可以說，對有些數據留存條款而言，用戶停止使用或注銷賬號后，個人信息保護多長時間不受任何實質性限制。

③不過，也有學者認為，個人與企業之間的討價還價活動，似乎更多地取決于他們之前的預期，而不是政策條款。

④比如，成人網站更有可能提供簡潔明了的隱私慣例通知，并限制與第三方的數據共享，而云計算網站則特別可能遵循嚴格的數據安全標準。

①比如，評估隱私政策遵從程度，如果企業的遵從程度低于預先設定的閾值，企業就會受到相應的處罰，個人就可以選擇與之高度符合的企業開展業務。A0835152-84DB-4BF2-B518-40FC70401A18