平臺共治視角下個人信用保護的范式轉換
2023-09-19 20:02:25楊帆
重慶大學學報(社會科學版) 2023年4期
楊帆
摘要:黨的二十大報告提出建立市場經濟中的信用基礎制度,加強個人信息保護的目標。平臺企業參與的信用治理是中國式現代化指引下的治理創新,始終在國家頂層設計中占據重要地位。隨著平臺企業成為信用治理的關鍵樞紐,個人信用保護面臨信息處理邊界不清和信用制度利益失衡的困境。必須仔細探尋個人信用保護困境背后的理論根源,防止信用共享共治異化為信用管制。現行信用法律制度在權利歸屬、程序設計、責任機制方面均存在空白,導致個人信用僅構成一種反射利益。傳統權力制約范式難以回應數字時代的個人信用保護需求,新型信息權利是解決困境的根本,數據流通規則有助于解決權利成本過高問題。應當圍繞個人在信息處理活動中的權利體系,完善數據流通規則,重建個人信用保護的法律框架。首先,必須明確界定信息的敏感程度及其信用評判價值功能,并對信用領域的信息處理行為適用層次化同意規則:針對有利于信息主體的正面敏感個人信息采取單獨同意與資格準入規則,適用責任規則;針對不利于信息主體的負面敏感個人信息一般采取禁易規則,基于公共利益目的除外。其次,信用領域數據流通的商業實踐要求轉向行為風險規制模式,實施以合同為中心的支配規則,適當運用特別規則強化個人信用保護力度。其中,平臺與經濟組織之間的數據流通應當在同意規則以外,增設標準合同文本、平臺責任強化、證明責任分配規則三類傾斜性保護措施。平臺與行政部門之間的數據流通應當確立以主體責任和救濟機制為關鍵內容的流通秩序。
關鍵詞:個人信用;個人信息;信用治理;數據流通
中圖分類號:D923;D922.16
文獻標志碼:A
文章編號:1008-5831(2023)04-0230-11
信用本質上是一種信息系統,特殊之處在于抽象的信任關系基礎[1]。一般認為,交易的時空條件溢出人格信任的射程時,信用必須依賴中央型權威的背書才能獲得持續供給。由于無法克服要約與承諾兌現的同步性,人們往往以程序和制裁等規范方式解決時間遲滯帶來的信息不對稱。沿此種路徑,信用上升為超越市場調節與政府調節的“第三種調節”[2],并通過制度化提煉進入法律范疇。數字社會中的個人信用以人格信任為內核,通過大數據應用演變為一種調節信任關系的現代治理手段。由于行政組織常將簡化社會復雜性的過程集中化,形成統治與信任的兩難[3],通過契約形成的經濟組織便成為行政組織觀測、監督、控制信任關系的重要樞紐。
平臺企業生產的個人信用分被視為個體聲譽在數字社會的重要延伸。從行政視角出發,平臺企業能夠深入社會經濟生活的細枝末節,彌補傳統自上而下式信用治理的缺憾。這種理念形成于《社會信用體系建設規劃綱要(2014—2020年)》,并始終貫徹在隨后的國家政策中。2022年,二十大報告再次強調信用制度在市場經濟中的基礎性作用,要求在公共治理中必須加強個人信息保護。《“十四五”數字經濟發展規劃》明確提出“信用共享共治”目標,重申平臺共治信用的正當性。然而,隨著平臺企業成為信用共享共治的核心環節,平臺共治實踐顯著地制約了個人權益的維護和實現,并深刻地影響著信用法律制度安排。在信用共享共治的歷史背景下,分析個人信用保護的困境及其深層原因,重塑個人信用保護的法律范式勢在必行。
一、個人信用保護的新型困境
平臺共治視角中,個人信用保護面臨信息處理邊界模糊與制度利益失衡兩方面問題。前者源于信息技術、商業實踐與法律規范的錯位。就后者而言,我國的信息公開基礎制度環境,以個人信息保護標準為主要構成的個人信用法律制度,以及回避與簡化信用內涵復雜性的民法典三方面因素結合,加劇了個人信用的保護難度。
(一)信息處理邊界不清
當前,多數國際組織采取“描述+列舉”信息類型的方式界定信用領域的信息處理邊界。理論和實踐常以“信用信息”概述之。全球普惠金融合作伙伴組織將“信用信息”界定為使用數字工具與信息系統而產生的大量個人信息。國際征信委員會認為“信用信息”本質上是用于描述“收集與使用征信信息的一種方法”[4]。信用法律制度較發達的美國則采取錨定信用報告機構的界定方式。《公平信用報告法》規定,“信用信息”是“由信用報告機構提供的有關消費者信用狀況的可靠度、名聲、能力、性格、名譽、個人特點或生活方式的任何形式的個人信息”。即,法律認可信用報告機構采集與制作信用報告的任何信息均構成“信用信息”。
商業實踐中,平臺企業處理的信息主要包括兩種類型:一是個體自然生成的基本身份信息;二是來源于傳統金融機構以外的非借貸替代信息。替代信息被廣泛地應用于個人信用商業實踐。例如,英國Visual DNA公司利用心理檔案、視覺測試結果評估個體還款意愿。美國First Access公司使用從個人手機中獲取的社交媒體信息、地理位置信息評價其違約風險。全球范圍內,替代信息處理行為普遍缺乏強制性規范,大量原則性標準與指導性方針取而代之。這導致替代信息處理的正當性基礎爭議極大。美國聯邦儲備委員會與聯邦存款保險公司指出替代信息處理行為是具有積極意義的金融創新活動,而美國消費者金融保護局則認為其中存在信息濫用或信息不準確引發的金融歧視等問題[5]。使用替代信息評判個人信用是否符合國際公認的信息處理原則亦是存疑。比如,雖然德國《聯邦數據保護法》未禁止收集與使用替代信息,但是通用信貸安保集團試圖采集社交媒體信息評估個人信用的行為仍因存在信息使用者不確定、風險溢出效應明顯、侵害個人信息自決權等風險,引發公眾的激烈回應,最終未能實施。
平臺企業處理信息的工具是信用評分算法。實踐顯示,評分算法抓取、過濾、篩選網絡環境中的各類數據,也是信息處理邊界模糊的重要誘因。比如,替代信息未被納入美國《公平信用報告法》監管范疇,信用報告機構無需就替代信息處理行為向信息主體履行披露與告知義務,僅采取內部合規與行業自律管理方式即可。這既為大量新成立的小型信用報告機構運用算法處理替代信息、參與個人信用市場競爭提供了制度條件,也加劇了個人信息保護的現實困境。因此,《加州消費者隱私保護法案》頒布后,信息收集者需要就替代信息處理行為向信息主體履行告知與披露義務的規定極大地提高了這類機構的合規成本,從而受到強烈抵制。
根據我國的《信用基本術語》及《信用信息分類與編碼規范》,“信用信息”是能夠體現個體在社會活動與經濟活動中履行承諾的意愿、能力與價值的各類信息。可見,信用領域的信息處理邊界呈現強烈的不確定性特征。平臺企業為消減信息不對稱的影響,存在盡可能多地收集數據的主觀能動性。就平臺企業而言,網絡空間中的“信用信息”既包括在各類消費場景中生成的原始數據,也包括原始數據融合再生產的數據。大量曾經囿于技術能力未能被收集的數據,或者曾經未被視為具有信用屬性的數據,已經被越來越多地用于判斷個人信用。這些數據隨著歷次融合不斷地提升細粒度,從而愈加準確和即時地勾畫出個人信用的整體面貌。從這個意義上講,網絡空間中的各類數據都存在轉換為平臺視角中“信用信息”的可能。
因此,“信用信息”表達既不規范,更易導致信用時代內涵、信用治理理論、信用商業實踐多個層次不同維度的認知沖突。“信用信息”實際上是信用領域的信息處理者在微觀層面的社會經濟活動中具體處理的數據。大數據技術條件下,數據的功能與應用場景緊密關聯。例如,消費者在網絡平臺中購買基因檢測服務,通過商品評價功能分享檢測結果。評價信息并不必然屬于《信用信息分類與編碼規范》中所列舉的類型,但是作為電子商務衍生信息為平臺企業收集后,與其他數據相融合亦能勾勒個人的特定投資風險偏好,從而能夠轉變為“信用信息”。綜上,當前的立法方式難以準確地描畫信用領域的信息處理邊界,“信用信息”在立法中的廣泛運用還容易產生相似概念交叉與混淆的風險。這些因素均加劇了個人信用的保護難度。
(二)信用制度利益失衡
當前,信息公開制度的強制性、個人信息保護標準的非法源性、民法典對個人信用內涵的簡化,共同造成個人信用保護制度的利益失衡。
首先,信息公開制度與信息保護制度之間存在張力。信息公開制度是從傳統信用治理邁向信用共享共治的關鍵環節。一方面,信用共享共治推動了各類數據跨領域流通和融合,為平臺企業在經濟社會各領域廣泛地介入信用治理活動提供了制度條件。《全國人民代表大會常務委員會關于加強網絡信息保護的決定》要求在移動通信、交通運輸、網絡社交媒體等領域開展實名制管理,關聯與綁定用戶行為和信息設備。在發生三鹿奶粉等一系列信用缺失重大事件后,多部委聯合發文,要求整合市場監管部門與電子商務平臺掌握的信息,構建大數據信用監管模型。平臺借助網絡實名制度與評分算法,在極短的時間內建立個人身份認證、行為追蹤與個人信用分相結合的規范化治理結構。另一方面,失信聯合懲戒容易異化為扭曲的激勵機制。大型平臺與最高人民法院形成失信聯合懲戒合作關系。失信被執行信息是決定個人信用分值高低的關鍵要素。以失信被執行信息為代表的負面信息不僅是對個體聲譽的極端貶損,也容易導致進一步的偏見與污名化,還可能因高度限制信息主體的行動權限而難以保障其基本權利。
其次,個人信息保護標準的監督機制匱乏。與個人信息保護一般制度相比,信用領域中各類個人信息保護標準實際上構成了制度規范的主要內容。然而,這些標準大多屬于推薦性標準,創設程序簡易,監督力度也較弱。行政機關往往樂于以標準代替更適宜作法規和規章的內容。執法與司法常常以個案解釋方式援引標準,填充法律空白。因此,上述標準在信用領域的事實認定與法律判斷上具有決定性意義與強制執行力。在徐某與芝麻信用管理有限公司隱私權糾紛案中,原告訴稱芝麻信用管理有限公司從某地高院獲取其相關執行案件信息的行為侵犯其隱私權參見:(2018)浙0192民初302號《民事判決書》。。杭州互聯網法院對平臺使用涉案信息的合理性判斷實難脫離《信息安全技術—個人信息安全規范》。個人信息保護標準的制定不屬于具體行政行為,不具備可訴性。個體難以就個人信息保護標準顯失合理、規則不完善等問題對個人信用帶來的負面影響獲得救濟。
最后,《中華人民共和國民法典》(簡稱《民法典》)規定“信用信息”屬于名譽權客體,除此之外的個人信息適用個人信息保護一般規定。這既未能準確地界定信用領域的信息處理邊界,也簡化了個人信用的多維度內涵,可能會將隨技術發展不斷趨于豐滿,在復雜環境中持續發展的信用樣態凝固化與封閉化。在《民法典》的立法說明中,立法者指出法典編纂工作思路是全面總結民事立法與司法實踐經驗,對現行有效的民事單行法進行系統性地編訂與纂修[6]。這就決定了《民法典》不能脫離原有路徑,開辟全新的個人信用保護路徑。
平臺企業創設的個人信用治理工具并非純粹的公共物品,其中蘊含的信用治理與交易風險控制雙重價值功能難以分割。平臺的信息處理行為盡管符合合法、正當、必要原則,卻難以直接適用同意規則之外的信息處理合法性基礎。例如,根據《民法典》第999條規定,難以判斷個人信用分究竟具有多大程度的公共利益屬性。《中華人民共和國電子商務法》(簡稱《電子商務法》)雖然要求平臺建立健全信用評分制度,卻在第39條后半段將法定義務限于消費者評價平臺內的商品或服務,從而難以適用《民法典》關于“履行法定義務”的信息處理合法性要件。基于數字經濟發展的宏觀目標,個人信用保護還很難抵擋平臺經濟發展的迫切需求,以“其他合法利益”條款作為信息處理合法性基礎將導致個人信用保護缺乏有力的制度保障。因此,基于公共利益目的條款免除平臺侵害個人信用的責任,或通過不適當的信息處理合法性基礎將平臺責任限于民事領域,均會在客觀上造成公共利益與個人利益的正面對抗,影響信用共享共治的實效。
二、困境的理論根源及其應對
平臺企業通過評分算法,將主觀偏好與海量數據整合在一套標準判斷分值體系中。平臺企業的信用治理工具能夠客觀上彌補傳統信用治理的缺憾,但若缺乏法律約束,在數字環境中更易引發權利結構的失衡。由此,平臺企業參與下的信用共享共治對個人信用保護范式的時代轉型提出全新挑戰。
(一)“公權力制約私權力”的失效
權力制約與權利保障是法治的核心。然而,以權力制約權力的傳統范式難以有效地保護數字社會中的個人信用。傳統的分權制衡進路強調行政部門在權力分化的基礎上劃分各自的職能權限。數字社會中,權力制約理論突出表現為以公權力制約私權力。由于非正式共同監管能夠有效率地反映技術實踐,降低實施與管理成本,監管權力得以進入私人部門,由此形成權力多元化與分散化情形。私權力主體通過防范、監督、對話、檢視、反思的方式表達社會訴求、提供信息來源、輔助公權力實施。尤其就信用共享共治而言,更是要求多重利益攸關方“以對話、競爭、妥協、合作和集體行動為共治機制,以共同利益為最終產出”[7]。其中,平臺企業創設的信用治理接近美國學者提出的組織治理形態[8]——以決策非正式化與執行規則化為特征的“響應性監管”[9],卻難以適用事先通知、程序透明等程序性規范。《電子商務法》一定程度上體現出以公權力制約私權力的理念。該法起草組認為電子商務平臺具有準公共產品的某些特征[10],并據此較為系統地設定了平臺的合規管理要求。然而,平臺企業的信用治理行為缺乏法律明確授權,也不屬于行政授權、行政委托、行政任務民營化等傳統情形,只能置放于私法有關平等主體之間意思自治的理論框架中調整。
同時,平臺經濟形態導致新的個人信用侵害方式出現。個人自接入平臺即被要求提供性別、手機號碼、行為偏好等信息。其行為受到觀察、記錄、分析、使用或轉售而沉淀為平臺的原始資本、生產資料與市值評估基礎[11]。個人被動地卷入圍繞平臺運行的龐大資本體系之中,既是生產者,也是生產資料,更是最后的產品。比如,對于大多數互聯網借貸機構而言,利用個人信用分辨別貸款人的償還能力已經成為互聯網借貸風險控制的普遍模式[12]。然而,拒絕使用花唄支付工具,或不常使用QQ社交工具的個人可能被相應的平臺判定為信用不良者。司法實踐中,平臺在其所管理網絡空間內部行使私權力的行為常被歸入商事契約范疇,一般運用私法加以規制。以“沈陽訴杭州網易雷火科技公司案”為例參見:(2017)浙01民終6401號《民事判決書》。,法院雖然認定平臺為維護在線游戲市場秩序進行了合理的單方管理行為,卻在契約自由與意思自治的私法理論框架下解決糾紛。
整體來看,平臺企業的信用治理能夠促進數字社會原子化個體之間的信任關系,但是,現行信用法律制度在權利歸屬、程序設計、責任機制方面均存在空白。隨著公私權力在信用領域的復合同化,個人信用難以上升為優先受保護的法益,而是僅僅成為一種附帶性法益。這容易導致信用脫離個人控制。數字信用共治缺乏約束而容易異變為兼具外在性與強迫性的信用管制。
(二)新型信息權利的生成需求
公權力制約私權力進路失靈,意味著需要采取新的權力制約機制。法律經濟學理論認為經濟效率是權利設定的核心理由之一。設定權利可以誘導最適合進行成本效益分析的群體承擔代價,將執行成本最小化,達到帕累托最優結果。具體到信用領域,個人信用具有多維屬性,難以融入既有民事權利,也難以抽象化為信用權。因此,以何種權利回應數字時代的個人信用保護需求是問題核心。本文認為,新型信息權利是解決個人信用保護困境的根本,明確數據流通規則可在具體層面上解決權利成本過高的問題。
首先,既有人格權難以實現數字時代個人信用的全面保護。一方面,個人信用的社會價值與本體價值、共同利益與個體利益即時轉化,難以嵌入傳統上以個人主義為基礎,在私人領域與公共領域絕對二分概念下對工業化、大都市、工作與社團去人格化給予回應的隱私權構造之中[13]。從《民法典》第1032條內容看,隱私權保護起點是“不愿為他人知曉”的主觀心理。然而,主觀心理缺乏統一的判斷標準。以主觀心理開啟個人信用保護機制的可操作性較弱,亦未能回答信息處理行為合法性基礎應當如何匡正的問題。另一方面,信用與名譽均屬于社會評價,具有緊密的關系。名譽權保護民事主體的形象、信譽、商譽、聲望、資歷等社會性評價。但在名譽權項下,民事主體處于私法上的平等地位,這與平臺信用治理活動中展現的權利結構不相契合。名譽權的救濟方式難以有針對性地阻絕個人信用侵害行為。
其次,信用難以固化為權利概念。信用源于倫理道德,而倫理概念具有開放性,不同歷史時期會發生踴躍演化,難以在法教義學視野下對其內涵與外延作出準確框定。信用的范疇在歷史演變中不斷獲得新的詮釋,信用的道德性亦隨生產關系變化而持續涌現與更新[14]。所有的信用關系都是不可簡化的社會關系,無法完全從社會背景與個人品格之中剝離。隨著商品經濟的發展,信用從分散的起源發展為匯集的共識,在社會領域中逐步具備衡量履約能力和開展風險管理的功能。因此,信用難以在不同時代和國家地區獲得穩定的共識,只能在特定的歷史階段和地域范圍產生聲譽上的約束效果。這意味著信用范疇因時而異,因地制宜。我國臺灣地區“金融控股公司子公司間共同營銷管理辦法”甚至將退票記錄與賬戶注銷記錄也視為個人信用資料。成文法中不宜形成以概念為核心要素的信用權體系。我國學者關于信用權立法的長期爭論,也反映出將信用固化為權利概念的實際困難。
特別是在數字環境中,個人難以知曉信息的處理程度、傳播范圍、存儲方式與安全等級,無力獲知平臺企業使用的全部數據,還難以對不當的信用評價請求救濟。法律確認新型信息權利,扎根于生產方式轉型背景下實實在在的信用治理需求。權利意味著包括國家在內的任何主體負有不得非法侵害他人的義務。與保護法益的權利推定方法相比,權利的法律保護則更為嚴格,更能夠成為一種強大的強制力量。正式的法律制度保障方能推動與信息公開制度相稱的個人信用保護省察、防御與救濟機制形成和完善。因此,以新型信息權利保護個人信用的思想根基在于關心數字社會新型權利結構中最弱勢群體的權益,使處于最不利地位的個體獲得最大可能的利益,促使個人信用保護手段從消極防御轉換為積極對抗。否則,數字環境中的個人信用保護容易弱化為平臺企業的形式性合規表象。
從這一意義上看,盡管我國已經確立了“個人信息受保護”的基本立場和相關制度,然而保護形式仍然是反射利益意義的,“屬于強化治理體系結構中的機制內涵”[15]。個人信用保護從反射利益向主觀權利的范式轉換,既有別于以往私法范疇中的“權利本位”理念基礎,也不能直接轉換為公法視野中的“被征信者權利”。同時,個人信用保護在個人信息保護現行法的“三階構造”[16]中究竟如何具體實現,亦有待觀察。從而,該問題在理論和實踐層面仍存在一定的探討空間。
最后,以新型信息權利保護個人信用的深層困境在于權利成本過高。信息權利的產生、實施與保護均要求相應的公共支出,故需借助有效的手段平滑成本。數據流通的責任規則與侵權救濟機制配合,一定程度上有助于權利成本的消解。其一,可流通的數據既是個體自我發展、經濟自我組織的初始投資與先決條件,也是通過社會互利實現社會穩定的治理機制的基礎要素。其二,法律責任與侵權救濟機制可以施加私人成本,防止狹隘的個體自利吞沒理性。通過向不同的社會成員分配差異化的權能,數據利益將能有效地轉化為行政部門引導稀缺資源處理組織沖突的策略工具。流通與合作在創設信息權利的過程中發生,權利擴展與深化進一步增強信息處理者的法律責任。數據流通派生外部性,責任規則與侵權救濟機制將外部性內化,為高度異質化社會中的共存與合作創造穩定的條件,連接個體理性與組織理性。其三,有條件地確認數據流通并未背離個人信息“匿名化”后方可商業利用的國際共識。根據歐盟第29條工作小組對“匿名化”的經典解釋,有效的匿名化措施能夠防止任何人識別或推斷出特定個人的身份[17]。以個人信用分為代表的數據產品并不具備直接指向個體的能力,必須結合應用場景、信息處理者與技術水平等多種因素,才能判斷是否具有識別個人身份的合理可能。
概言之,綜合考慮應用場景、使用目的、信息類型和數據規模,設置適當的數據流通規則,有助于實現信用共享共治中蘊含的個人信用權益、平臺經濟利益、社會公共利益并重的治理目標,形成博弈均衡的信用法律構造。
三、個人信用保護的范式重塑
本文認為,數字時代的個人信用保護范式應當以個人在信息處理活動中的權利體系為核心,在數據流通規則的配合下,構建法律保護路徑。
(一)個人信息保護權利框架中的信用保護
個人在信息處理活動中的權利體系應當包括自然人對能夠單獨或與其他信息結合識別其特定身份或反映其活動情況的各種信息所享有的控制、使用、知悉、獲利、更正、刪除與安全維持的權利。這些權利處于私法框架時,應當采取權利承受者視角,直接對應信息權利結構中的弱勢者權益保護。而當這些權利處于公法框架時,則須采取權力施為者視角,強化信息處理者作為權力施為者的責任承擔[18]。當前,《民法典》和《個人信息保護法》對一般領域個人信息保護的規定非常詳實。特別是《民法典》第1034條實際上已經成為公法與私法保護個人信息法律條款的橋梁。然而對于數字時代個人信用保護問題,上述立法還需要在權利內容與權利實施方面進行一定的創新闡釋。
首先,就信用領域的信息處理而言,必須明確界定信息的敏感程度,以及何種信息類型在具體情境中具備信用評判的價值功能。借鑒各國相關信用立法和我國《個人信息保護法》第28條,信用領域的敏感個人信息應當包括:物理空間及網絡空間中的生物識別信息、宗教信仰、政治主張、財產信息、基因信息、生物特征、健康生理信息、精確地理位置、犯罪信息與受強制執行信息、處于特定年齡階段的兒童個人信息。同時還需設置兜底規定,即根據以下四項要件判定不同情境中個人信息的敏感程度:公眾對信息敏感程度的調查統計結果,個人信息泄露可能導致的重大傷害,個人信息泄露導致重大傷害的幾率,特定環境下的公認準則。敏感個人信息之外為一般個人信息。
其次,對信用領域的信息處理行為適用層次化同意規則。第一,針對有利于信息主體的正面敏感個人信息,即對其利用可能造成具體情境中個人信息權益增加的敏感個人信息,采取單獨同意與準入規則,適用責任規則。其中,準入規則要求處理者獲得特別經營許可,應當同時具備以下資質:屬于數據要素市場的基礎設施,具備最高等級的信息安全能力,具有完善的個人信息安全管理體系,實施最高頻次的個人信息安全風險評估,定期接受行政部門的個人信息安全審計。第二,針對不利于信息主體的負面敏感個人信息,即對其利用可能造成具體情境中個人信息權益減損的敏感個人信息,一般采取禁易規則,通常不得以商業化利用目的處理。基于公共利益目的處理該類信息的,信息主體有權提起訴訟,公共利益與個體利益的權衡應當由有權部門依據正當程序進行個案解釋。該類信息通常具有高度私密性,符合隱私權“不愿為他人知曉”的關鍵構成要件,應當納入隱私權的保護范疇。信息主體主動公開該類信息時,則應當適用《民法典》第1036條,免除信息處理者的民事責任。
據此,平臺信用治理的數字原料包括敏感個人信息、一般個人信息與非個人數據。屬于數據要素市場基礎設施的平臺企業應當在信息收集環節適用不同的同意規則,其掌握的負面敏感個人信息,原則上不得基于商業目的處理。信息主體有權就平臺信用治理中不當處理正面敏感個人信息與一般個人信息,違法處理負面敏感個人信息的行為分別提起個人信息侵權訴訟和隱私侵權訴訟;有權就平臺信用治理所使用的信息類型提出查閱和復制請求;有權對其認為不適當的信用評價結果提出異議、更正和刪除請求。此外,平臺企業通過失信聯合懲戒機制開展的信息處理行為還應同時受到公法責任與私法責任雙重約束。
(二)數字信用語境下的數據流通規則
利用上述信息權利框架,可以初步判定數字環境中的個人信用采取私法保護方式或是公法保護方式。在此基礎上,數據流通規則進一步勾畫出個人信用保護的具體方法。
數據流通包含多重主體之間的多種互動關系。歐盟常以“數據訪問”或“數據傳輸”來表達數據流通中的共享與再利用含義[19]。數據流通的核心形式是交換或交易,需要相應的制度安排。而制度是權力行使方式組織化與系統化的前提,能夠促使權力有效維護與推進文明[20]。因此,需要建立數據流通秩序,通過運行良好的數據市場,實現宏大的信用治理預期。一般而言,數據流通的基礎規則包括隱私政策與技術機制,以確保平臺信用治理的合法性與規范性,防范技術與市場的雙重失靈。其中,隱私政策詳細闡釋何種數據流通方式符合正當原則與必要原則,技術設計則強調將個人信息保護作為平臺技術和組織基因的核心部分。本文著重闡釋平臺企業與第三方之間的數據流通特別規則。平臺企業與第三方的數據流通意味著含有個人信息內容的數據更加容易脫離主體控制,進入難以預知的風險領域,因此需要適用特別規則來強化數據流通中的個人信用保護力度。平臺企業與第三方的數據流通可劃分為平臺與經濟組織、平臺與行政部門兩種具體場景。兩種場景皆以平臺為聯結點。
1.平臺企業與經濟組織:以許可合同為中心的流通規則
當前研究已經提出財產權與許可合同兩種數據流通理論范式。在權利邏輯下,交易雙方的權利與義務邊界、責任與風險分擔顯然更為清晰。但是,數據經濟價值歸屬難以達成理論與實務的共識,背后的問題則是因無法事先預估數據價值而難以通過協商實現利益定分的目標。
許可合同建立在承認平臺企業控制數據的事實基礎上,賦予許可人將“排他權”自愿轉化為“許可請求權”的權利。許可合同項下的合同責任屬于“卡—梅”框架中傳統責任規則的變種[21]。其雖能通過合同條款阻卻違法處理行為,對數據流通實現一定的可控性,但是依然難以解決許多理論與實踐難題。例如,合同路徑無形中強化了將數據作為人的附屬物的深層意識,容易將數據流通問題最終導向物權或知識產權的理論框架內加以解決。數據的屬性與物的排他屬性相距甚遠,如未能跳脫此種意識形態,則難以從根本上解決數據的經濟價值歸屬、風險分配等一系列問題。數據流通的商業實踐要求轉向基于行為主義的風險規制模式,實施以合同為中心的支配規則。以“陽光公司訴霸才公司”為代表的一系列司法判例也傳達出“法院通過確認在先信息處理者的成本投入來保護數據產業發展”[22]的有力訊號。因此,盡管許可合同存在許多隱憂,仍不失為數據財產權屬長期爭議情況下的權宜之策。由于合同路徑對個人信用保護具有相對性,必須在同意規則之外輔以標準合同文本、平臺責任強化、證明責任分配規則三方面傾斜性保護措施。
首先,利用推薦性國家標準或行業標準構建有利于信息主體的許可合同標準文本。一方面,標準合同文本有利于降低優勢平臺的市場支配力量,確保不同發展階段的平臺能夠具備相對公平的資源獲取條件與技術競爭環境;另一方面,標準合同文本也有利于促使數據流通與保護按照相對統一的標準展開。
其次,強化平臺企業對其他經濟組織的監督責任。依據《互聯網個人信息安全保護指南》等互聯網領域相關規范,平臺企業應當在數據流通前對接收方進行數據安全能力的合法性與必要性評估。這一方面與平臺為數據要素市場提供支付、結算、物流、信用評分等基礎服務的功能與角色相匹配。另一方面,平臺信用治理以敏感個人信息為基礎,而敏感個人信息在網絡環境中泄露將對信息主體產生難以承受的巨大風險,掌握敏感個人信息的平臺應當在數據流通風險控制中承擔更高程度的注意義務。
最后,應當明確規定:(1)其他經濟組織導致信息主體非基于個人意愿受到鎖定而遭受經濟損失或人格利益減損的,推定由數據流通各環節的信息處理者共同承擔侵權責任,由法院依照信息處理者的獲益價格或信息主體的實際損失裁定經濟損害的具體賠償金額。信息主體亦可主張精神損害賠償。(2)除非信息處理者能夠證明損害后果與其不存在任何可能的關聯關系時方可免除責任。(3)平臺企業與下游信息處理者之間適用連帶責任規則,屬于實施危害事實難以確定的共同危險行為,共同承擔數據流通對個人信用造成的損害后果。信息主體需要證明數個信息處理者均收集了涉案數據的事實[23]。(4)平臺信用治理中附帶形成的數據產品被第三人用于犯罪、侵權,或被第三人竊取用于犯罪、侵權的,信息主體除有權要求直接侵權人承擔刑事責任、侵權責任以外,還有權要求平臺承擔未盡安全保障義務的補充責任。
2.平臺企業與行政部門:以責任與救濟機制為關鍵的流通規則
失信聯合懲戒機制是由平臺企業代替行政部門針對低信用個體自由或福祉采取的限制措施。平臺企業與行政部門之間應當確立保護個人信息的基本原則,向特定的行政機構授予歸集、管理個人信息的職能,通過統一的政府信息開放平臺(如已在運行的“信用中國”),實現數據有序流通。這要求特定行政機構具備相應的技術能力,能夠有效地維護數據管理系統,對因數據流通導致的信息侵害風險與數據安全風險開展定期評估、制度完善、追蹤與反饋,以建立“權威的技術自主性”,實現精益政府治理目標。此外,還應從行政部門收集數據、公私部門數據流通等環節強化信息處理者責任。
首先是數據收集環節。收集數據的行政部門應當確保數據準確和完整,及時刪除已經履行償還義務的失信被執行人信息,否則應當適用過錯推定原則,承擔未盡安全保障義務的補充責任。此外,信息主體須證明行政部門存在收集數據的行為。
其次是數據從政府進入平臺企業的流通環節。政府數據開放平臺應當對平臺企業調取負面敏感個人信息的行為在調取目的、使用范圍、處理期限、數據安全措施方面進行書面審查。對未經書面審查,僅根據平臺企業提交的負面敏感個人信息申請即實施自動化提取的,政府數據開放平臺的管理者需要為該行為造成的個人信用侵害后果承擔無過錯責任。
再次,創設通知義務是補充技術性手段、強化個人信用保護的重要激勵措施[24]。平臺企業通過失信聯合懲戒機制調取負面敏感個人信息時,雖然不以信息主體同意為前提,但應當履行告知義務,由信息主體通過電子簽名方式予以確認。利用負面敏感個人信息生成的個人信用分等數據產品不得加以商業化利用,除非該負面敏感個人信息已在行為或事件終止后的一定期限內刪除。否則,在可以確定加害人時,信息主體除有權要求直接加害人承擔個人信息侵權責任以外,還有權要求平臺承擔按份責任。在無法確定加害人的情形下,應當對平臺企業與下游全部信息處理者適用前述源于共同危險行為的連帶責任規則。
最后,個人信用救濟方式包括:(1)明確進入平臺網絡空間購買商品或接受服務的自然人屬于《中華人民共和國消費者權益保護法》所保護的消費者。在平臺信用治理中出現欺詐、騙取信息主體授權情形的,適用懲罰性賠償責任。(2)在有權部門官方網頁的顯著位置,采用簡潔易懂的語言,通過問答或指引方式開設信用教育專欄,提供有關個人信用的基礎性信息。例如,何謂個人信用分,個人信用分與個人信息的關系,個人信用分的生成、使用與提升方式,個人信用分的準確性,個人信用分對個人權利與福祉的影響。列明提出信用異議的方式及需要提交的證明文件,提供電話號碼、郵箱地址、網頁鏈接、微信、博客等有效的聯絡方式,承諾信用異議受理的期限。(3)在平臺內部構建個人信用修復機制,例如要求平臺對異議個人信用分進行顯著標記,在異議解除前不得開展商業使用,并及時針對其所使用的信息準確性與完整性在確定期限內開展自我檢查與及時回復。在信息主體無法確定信息是否存在不準確或不完整的情形時,信息主體有權向平臺申請將異議個人信用分在一定期限內標記為凍結,禁止平臺向第三方提供,法律明確規定應當提供的除外。(4)參考公共信用信息修復白名單機制,由相關行業協會明確個人信用服務機構的資質,定期考核其公平交易與個人信用保護的執業情況,實施白名單動態管理。在個人信用服務市場發展相對成熟時,再通過法律規范將其納入信用法治體系之中。
參考文獻:
[1]胡凌.公共數據開放的法律秩序:功能與結構的理論視角[J].行政法學研究,2023(4):37-50.
[2]厲以寧.經濟學的倫理問題[M].上海:三聯書店,1999:5.
[3]尼克拉斯·盧曼.信任:一個社會復雜性的簡化機制[M].瞿鐵鵬,李強,譯.上海:上海人民出版社,2005:74.
[4]Global partnership for financialinclusion.Use of alternative data to enhance credit reporting to enable access to digital financial services by individuals and SMEs operating in the informal economy[EB/OL].(2018-06-28)[2020-02-29].https://www.gpfi.org/sites/gpfi/files/documents/Use_of_Alternative_Data_to_Enhance_Credit_Reporting_to_Enable_Access_to_Digital_Financial_Services_ICCR.pdf.
[5]Consumer financial protectionbureau.Using alternative data to evaluate creditworthiness[EB/OL].(2017-02-16)[2020-02-29].https://www.consumerfinance.gov/about-us/blog/using-alternative-data-evaluate-creditworthiness/.
[6]王晨.關于《中華人民共和國民法典(草案)》的說明[EB/OL].(2020-05-22)[2020-11-02].http://www.npc.gov.cn/npc/c30834/202005/50c0b507ad32464aba87c2ea65bea00d.shtml.
[7]王名,蔡志鴻,王春婷.社會共治:多元主體共同治理的實踐探索與制度創新[J].中國行政管理,2014(12):16-19.
[8]RICHMAN B.Firms,Courts,and reputation mechanisms:towards a positive theory of private ordering[J].Columbia Law Review,2004,104(8):2328-2368.
[9]AYRES I,BRAITHWAITE J.Responsive regulation:transcending the deregulation debate[M].New York:Oxford University Press,1995:1-10.
[10]劉權.網絡平臺的公共性及其實現:以電商平臺的法律規制為視角[J].法學研究,2020(2):42-56.
[11]陳本皓.大數據與監視型資本主義[J].開放時代,2020(1):176-189,9.
[12]盛學軍.互聯網信貸監管新規的源起與邏輯[J].政法論叢,2021(1):92-104.
[13]王利明.和而不同:隱私權與個人信息的規則界分和適用[J].法學評論,2021(2):15-24.
[14]LAUER J.Creditworthy:a history of consumer surveillance and financial identity in America[M].New York:Columbia University Press,2017:273-274.
[15]龍衛球.論個人信息主體基礎法益的設定與實現:基于“個人信息處理規則”反射利益的視角[J].比較法研究,2023(2):152-171.
[16]姚佳.個人信息主體的權利體系:基于數字時代個體權利的多維觀察[J].華東政法大學學報,2022(2):87-99.
[17]Article 29 workingparty.Opinion No.05/2014 on anonymization techniques[EB/OL].(2014-04-10)[2020-05-25].http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.
[18]余成峰.信息隱私權的憲法時刻規范基礎與體系重構[J].中外法學,2021(1):32-56.
[19]EVERIS.Study on data sharing between companies in Europe[EB/OL].(2018-04-24)[2020-11-13].https://op.europa.eu/en/publication-detail/-/publication/8b8776ff-4834-11e8-be1d-01aa75ed71a1/language-en.
[20]羅斯科·龐德.通過法律的社會控制[M].沈宗靈,譯.北京:商務印書館,2017:29-30.
[21]丁曉強.個人數據保護中同意規則的“揚”與“抑”:卡-梅框架視域下的規則配置研究[J].法學評論,2020(4):130-143.
[22]陳吉棟.個人信息的侵權救濟[J].交大法學,2019(4):40-53.
[23]阮神欲.民法典視角下個人信息的侵權法保護:以事實不確定性及其解決為中心[J].法學家,2020(4):29-39,192.
[24]葉名怡.個人信息的侵權法保護[J].法學研究,2018(4):83-102.
A paradigm shift in personal credit protection
from a platform co-governance perspective
YANG Fan
(School of Philosophy and Law and Politics, Shanghai Normal University, Shanghai 200234, P. R. China)
Abstract: The report of the 20th Party Congress put forward the goal of establishing a credit-based system in the market economy and strengthening the protection of personal information. Credit governance involving platform enterprises is a governance innovation guided by Chinese-style modernization and has always occupied an important position in the top-level design of the country. As platform enterprises become the key hub of credit governance, personal credit protection faces the dilemma of unclear boundaries of information processing and imbalance of credit system interests. The theoretical roots behind the dilemma of personal credit protection must be carefully explored to prevent the alienation of credit co-governance into credit control. There are gaps in the current credit legal system in terms of rights attribution, procedural design and liability mechanisms, resulting in personal credit constituting only a reflexive interest. The traditional paradigm of power restraint can hardly respond to the need for personal credit protection in the digital age, and new types of information rights are fundamental to solving the dilemma, with data circulation rules helping to address the high cost of rights. The legal framework for personal credit protection should be rebuilt by improving the rules of data circulation around the system of rights of individuals in information processing activities. Firstly, it is important to clearly define the degree of sensitivity of information and its credit judgment value function, and apply hierarchical consent rules to information processing in the credit field: separate consent and eligibility access rules for positive sensitive personal information that benefits the information subject, and application of liability rules; and no-trade rules for negative sensitive personal information that is unfavourable to the information subject in general, except for purposes based on public interest. Secondly, the commercial practice of data circulation in the credit field requires a shift to a behavioural risk regulation model, the implementation of contract-centric rules of domination and the appropriate use of special rules to strengthen the credit protection of individuals. Among them, the data sharing between platforms and economic organisations should have three types of inclined protection measures, namely standard contract text, enhanced platform liability and rules on the allocation of the burden of proof, in addition to the consent rules. The data circulation between platforms and administrative departments should establish a circulation order with subject liability and remedial mechanisms as key elements.
Key words:personal credit;personal information;credit governance;data sharing
(責任編輯 胡志平)
