風險預防原則在個人信息保護中的適用與展開
2024-01-02 05:24:23張濤
現代法學 2023年5期
張 濤
(中國政法大學 數據法治研究院,北京 100088)
一、問題的提出
在過去20 多年里,人們對數字技術的日益依賴已經極大地改變了人類社會的運作方式。盡管人工智能、物聯網通訊、算法等數字技術可以為企業、政府和社會提供巨大的機會,使其能夠大幅提高效率、質量和生產力,但這些技術也使用戶(個人或者組織)面臨更嚴重的數字與網絡風險。①See World Economic Forum, The Global Risks Report 2022, https:/ /www3.weforum.org/docs/WEF_The_Global_Risks_Report_2022.pdf(Last visited on August 7, 2023).人類社會正在步入所謂的“數字風險社會”(digital risk society),風險與數字技術之間的交集以多種方式存在:首先,被認定為“風險”(risks)或者“有風險的”(risky)現象和個人越來越多地通過數字媒體、設備和軟件進行配置與再現;其次,數字技術的各種用途經常被認為對用戶構成風險;最后,一些社會群體在通信、教育、信息或就業機會方面處于特別不利的境地,因為他們缺乏使用在線技術的機會、興趣或者技能。①See Deborah Lupton, Digital Risk Society, in Adam Burgess & Alberto Alemanno, Jens O.Zinn eds., Routledge Handbook of Risk Studies, Routledge, 2016, p.301.當數字風險事件發生時,社會公眾普遍希望政府能夠表現出“局勢在控制之中”的信心,以緩解他們對風險事件不可預測之連帶后果的恐懼。②See Marwan Albahar, Cyber Attacks and Terrorism: A Twenty-First Century Conundrum, 25 Science and Engineering Ethics 993, 994(2019).因此,妥善因應數字風險社會中的各種數字風險已經成為國家數字能力建設的重要內容。③高奇琦:《國家數字能力:數字革命中的國家治理能力建設》,載《中國社會科學》2023 年第1 期,第50 頁。
在眾多數字風險中,個人信息保護風險近年來備受國內外理論與實踐的關注。在理論上,一些學者認為,數字時代的個人信息保護風險類似于工業時代的環境保護風險,甚至用“數據污染”來描述大規模數據監控或者違法數據處理,倡導新興的個人信息保護法治應當從成熟的環境保護法治中吸取有益經驗。④See Dennis D.Hirsch, Protecting the Inner Environment: What Privacy Regulation Can Learn from Environmental Law, 41 Georgia Law Review 1, 23 (2006); Omri Ben-Shahar, Data Pollution, 11 Journal of Legal Analysis 104 (2019).在環境保護理論與實踐中,風險預防原則(precautionary principle)一直處于基本原則地位,對各類環境政策與法律制度發揮指導作用,成為“環境法原則體系中最具創造性與影響力的規范手段之一”。⑤王燦發、張祖增、王政:《風險預防原則在環境司法適用中的審思與突破》,載《長白學刊》2023 年第3 期,第90 頁。事實上,從制度史的角度看,風險預防原則最早可以追溯到20 世紀70 年代中期德國環境政策中的“預防原則”(Vorsorgeprinzip),其目的在于區分造成“危險”(dangers)的人類行為和僅僅造成“風險”(risks)的人類行為。⑥See Julian Morris, Defining the Precautionary Principle, in Julian Morris ed., Rethinking Risk and the Precautionary Principle,Butterworth-Heinemann, 2000, p.1.迄今為止,盡管風險預防原則的應用范圍已經大幅擴展,但用于政府規制框架的討論主要還是針對特定的保護對象,如臭氧層、氣候變化、生物多樣性、特定環境區域或者特定的公共健康問題,只有在特殊情況下,才會涉及持久性有機污染物或特定技術等影響源。⑦See Claudia Som, Lorenz M.Hilty & Andreas R.K?hler, The Precautionary Principle as a Framework for a Sustainable Information Society, 85 Journal of Business Ethics 493, 494 (2009).因此,能否將傳統上針對環境和公共健康問題的風險預防原則直接適用于數字風險社會中因數字技術使用而引發的個人信息保護風險呢?
對此,學者們提出了不同的主張。持否定意見的學者認為,不能將風險預防原則引入個人信息保護領域,其主要理由如下:一是在個人信息保護領域引入風險預防原則缺乏前提條件。有論者認為,網絡空間雖然有麻煩和麻煩制造者,但并沒有證據表明互聯網正在導致比以往的技術更大的社會問題,大多數倡導對數字技術進行預防性監管的理論觀點與政策主張都是基于非理性的技術恐慌(technopanics)和恐懼循環(fear cycles),這源于政策辯論中的“邏輯謬誤”和“威脅膨脹”。⑧See Adam Thierer & Technopanics, Threat Inflation, and the Danger of an Information Technology Precautionary Principle, 14 Minnesota Journal of Law, Science and Technology 309, 385 (2013).二是在個人信息保護領域引入風險預防原則可能會產生負面效應。有論者認為,風險預防原則的底層邏輯與迄今為止推動互聯網和數字創新的“無許可創新”(permissionless innovation)精神相悖,將對技術進步、經濟創業、社會適應和長期繁榮構成嚴重威脅,“如果公共政策處處受到預防原則的指導,技術創新將變得不可能,因為社會對未知充滿恐懼,而假設的最壞情形將超過大多數其他更為務實的考慮”。①Adam Thierer, Privacy Law’s Precautionary Principle Problem, 66 Maine Law Review 467, 471 (2014).
與此相對應,持肯定意見的學者認為,應當將風險預防原則作為個人信息保護領域的一項重要原則,其主要理由如下:第一,個人信息保護領域引入風險預防原則具備必要性。有論者認為,數字世界雖然不是一個物理空間,不存在任何生物會因數據污染而生病或者死亡,但是卻提供了一個類似于自然界的復雜依賴關系,在某一個點上的微小擾動可能會在其他地方產生重大且不可逆轉的后果,因此,有必要引入風險預防原則來應對不可逆的數字風險。②SeeWolter Pieters & Andre van Cleeff, The Precautionary Principle in a World of Digital Dependencies, 42 Computer 50, 52 (2009).還有論者認為,新的信息與通信技術(Information and Communication Technolgies,ICTs)有可能改變傳統的法律實踐,使責任方對損害負責的基本原則(因果關系原則)在泛在計算(ubiquitous computing)控制的環境中越來越難以執行③SeeClaudia Som, Lorenz M.Hilty & Thomas F.Ruddy, The Precautionary Principle in the Information Society, 10 Human and Ecological Risk Assessment: An International Journal 787, 792 (2004).,而目前和未來的信息與通信技術所引發的社會風險,可能與通常由風險預防原則所處理的環境及公共健康風險一樣嚴重。④SeeClaudia Som, Lorenz M.Hilty & Andreas R.K?hler, The Precautionary Principle as a Framework for a Sustainable Information Society, 85 Journal of Business Ethics 493, 496 (2009).第二,個人信息保護領域引入風險預防原則具有重要價值意義。有論者認為,就個人信息保護而言,風險預防原則有兩方面的價值:一是有利于信息隱私保護,因為它強調了審慎和透明的規范價值;二是有利于改善以往的法律責任機制,因為它確定了一種處理風險的新方法,即假定并非所有的損害都可以轉化為金錢。⑤SeeLuiz Costa, Privacy and the Precautionary Principle, 28 Computer Law & Security Review 14, 23-24 (2012).
盡管理論上存在諸多爭議,但個人信息保護立法實踐已經發生了轉變。在比較法中,歐盟《通用數據保護條例》(GDPR)采用了“基于風險的方法”(risk-based approach)⑥SeeClaudia Quelle, The ‘risk revolution’in EU data protection law: We can’t have our cake and eat it, too, in Ronald Leenes,Rosamunde van Brakel & Serge Gutwirth et al.eds., Data Protection and Privacy: The Age of Intelligent Machines, Hart Publishing, 2017, p.33.,并通過以下兩種方式實現了“風險化”(riskification)轉變:首先是在實踐層面,轉向基于風險的數據保護執法與合規;其次是在更廣泛的規制層面轉向風險規制。⑦SeeMilda MACENAITE, The “Riskification”of European Data Protection Law through a two-fold Shift, 8 European Journal of Risk Regulation 506 (2017).《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第11 條明確提出“國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為……”由此產生一個疑問,《個人信息保護法》第11 條中的“預防”應當如何理解? 是否為風險社會語境下的“風險預防”? 按照德國學者尼克拉斯·盧曼(Niklas Luhmann)的觀點,“預防”一般被理解為對不確定的未來損失所做的準備,要么是降低損失發生的可能性,要么是降低損失的程度。不論在危險的狀況下,還是在風險的狀況下都可以展開預防。⑧[德]尼克拉斯·盧曼:《風險社會學》,孫一洲譯,廣西人民出版社2020 年版,第51 頁。全國人大常委會法工委經濟法室則對“預防”作出了如下細化解讀:“采取措施監測、感知個人信息保護面臨的突出問題和風險”。⑨高飛:《中華人民共和國個人信息保護法解讀》,中國法制出版社2022 年版,第40 頁。由此可見,在我國個人信息保護法律文本中,“預防”實際上兼有損害預防與風險預防的意涵。
然而,進入數字風險社會后,為了妥當因應個人信息保護風險,《個人信息保護法》有必要確認獨立于損害預防原則條款的風險預防原則條款。為此,需要在邏輯上闡明:第一,風險預防原則嵌入個人信息保護領域是否具備正當性? 第二,風險預防原則在個人信息保護領域是否具備可行性?從已有的理論與實踐來看,當我們在討論能否將風險預防原則應用于某一規制領域時,通常需要考慮兩個方面的因素:一是該規制領域是否具備適用風險預防原則的一般條件或者基礎要素;①蘇宇:《風險預防原則的結構化闡釋》,載《法學研究》2021 年第1 期,第39 頁。二是該規制領域是否容許適用風險預防原則,即有無相關法理依據。②王貴松:《風險行政的預防原則》,載《比較法研究》2021 年第1 期,第52 頁。鑒于此,本文首先從闡明風險預防原則嵌入個人信息保護的邏輯前提入手,然后論述風險預防原則嵌入個人信息保護的法理基礎,最后探討風險預防原則如何在我國個人信息保護法制的三個核心環節(立法、執法和司法)中具體展開,并闡明風險預防原則在個人信息保護領域的適用限度。
二、風險預防原則嵌入個人信息保護領域的邏輯前提
在過去20 多年里,風險預防原則已經成為許多國家的環境、公共衛生和其他風險規制制度的既定特征,被納入諸多政策和法律中,并產生了豐富多樣的決策實踐。在理論與實踐中,“風險預防原則沒有一個普遍接受的規范表述。”③Per Sandin, A Paradox Out of Context: Harris and Holm on the Precautionary Principle, 15 Cambridge Quarterly of Healthcare Ethics 175(2006).盡管如此,經過一段時間的探索與發展,理論與實踐還是就風險預防原則的基礎性要素形成了一些共識。在理論上,通過對眾多版本的風險預防原則進行比較分析,瑞典學者佩爾·桑丁(Per Sandin)認為,風險預防原則通常包含四個維度:一是威脅維度,主要涉及可能的威脅;二是不確定性維度,主要涉及知識的限制;三是行動維度,主要涉及對威脅的反應;四是命令維度,主要涉及采取行動的方式。④See PerSandin, Dimensions of the Precautionary Principle, 5 Human and Ecological Risk Assessment: An International Journal 889, 891(1999).在實踐中,歐盟委員會發布的《關于風險預防原則的通訊》規定,適用風險預防原則須具備三個方面的條件:一是識別潛在的負面影響;二是根據現有數據對潛在不利影響進行科學評估;三是科學上的不確定性,難以充分確定有關風險。⑤See Communication from the Commission on the precautionary principle, COM(2000)0001 final.
基于上述基礎性要素及適用條件,理論上一般認為,風險預防原則與傳統的危險防御原則(prevention principle)之間存在明顯的區別。其中,危險防御原則適用于明確確立了行為與損害之間的因果關系之情形,用于處理確定風險(certain risks);而風險預防原則將預防行動的范圍擴大到因果關系不那么明確的情形,用于處理不確定風險(uncertain risks)。⑥See Joakim Zander, The Application of the Precautionary Principle in Practice: Comparative Dimensions, Cambridge University Press,2010, p.15.因此,“風險”和“不確定性”便成為適用風險預防原則的核心要素。⑦金自寧:《科技不確定性與風險預防原則的制度化》,載《中外法學》2022 年第2 期,第504 頁。從個人信息保護在數字時代面臨的威脅與挑戰來看,個人所處數字環境的復雜性和個人信息保護風險的不確定性及不可逆性共同構成了風險預防原則嵌入個人信息保護領域的邏輯前提。
(一)個人所處數字環境的復雜性
數字信息與通信技術正在創造和塑造個人的智力與物質現實,改變個人的自我理解,改變個人與他人及自身的關系,并豐富我們解釋世界的方式,這導致個人所處的數字環境變得日趨復雜。
第一,個人在時間維度上邁入“超歷史時期”。從時間維度來認識個人與數字技術之間的關系,需要將其放置在整個人類社會形態的發展進程中。按照牛津大學教授盧西亞諾·弗洛里迪(Luciano Floridi)的總結,就人類社會和數字技術的關系演進而言,可以大致分為三個階段:一是史前時期(prehistory),沒有信息與通信技術;二是歷史時期(history),有信息與通信技術,它們記錄和傳輸信息,但人類社會主要依賴其他關于初級資源和能源的技術;三是超歷史時期(hyperhistory),有信息與通信技術,它們記錄、傳輸并處理信息,且越來越自主,人類社會變得極其依賴它們,信息也成為社會繁榮發展的基本資源。①See Luciano Floridi, The Fourth Revolution: How the Infosphere is Reshaping Human Reality, Oxford University Press, 2014, p.6.對于“超歷史時期”,也有論者將其稱為“數字社會”,并將支撐數字世界變革本質的要素分為四個方面:一是數字化,即將信息編碼為比特(二進制數字);二是計算,各種形式的信息都可以通過計算程序進行處理,信息成為一種重要的原始資源,可以進行轉換、組合、集成和分析;三是利用集成電路的微處理器,體積越來越小、功能越來越強大,設備可以用于執行廣泛的計算機處理;四是數字網絡,可以通過更快速、更遠距離和更穩健的方式處理、訪問和分發信息(任何形式的內容)。②See Simeon J.Yates & Ronald E.Rice eds., The Oxford Handbook of Digital Technology and Society, Oxford University Press, 2020,p.4-5.
第二,個人在空間維度上進入“信息空間”。就個人與數字技術在空間維度的關系而言,美國學者尼古拉·尼葛洛龐帝(Nicola Negroponte)曾提出著名的“數字化生存”命題。其中,“全球化”和“追求和諧”是數字化生存的重要特質,這意味著個人可以完全不受地理位置的束縛,“數字科技可以變成一股把人們吸引到一個更和諧的世界之中的自然動力。”③[美]尼古拉·尼葛洛龐帝:《數字化生存》,胡泳、范海燕譯,海南出版社1997 年版,第269—271 頁。隨著數字技術的不斷發展和廣泛應用,數字在線世界正在溢出到模擬網絡世界中,這一新現象被稱為“泛在計算”“環境智能”或者“物聯網”,這意味著數字技術不僅改變了原有的物理世界,而且正在創造新的現實。對此,盧西亞諾·弗洛里迪教授認為,由于日常環境的信息化,一些個人將逐漸生活在一個日益同步、非本地化和相互關聯的“信息空間”(infosphere)中。盡管這可能被樂觀地解釋為全球化的正向效應,但我們不應當對信息社會的發展的包容性抱有太多幻想。除非我們設法解決數字鴻溝,否則,在可以成為信息空間“居民”的人和不能成為信息空間“居民”的人之間、內部人士和外部人士之間、信息豐富的人和信息貧乏的人之間將產生新形式的歧視。④See Luciano Floridi, The Fourth Revolution: How the Infosphere is Reshaping Human Reality, Oxford University Press, 2014, p.48-49.
第三,個人在身份維度上形成“數字身份”。如前所述,隨著越來越多的個人花費越來越多的時間在一個既不完全虛擬也不完全物理的信息空間中進行自我呈現和數字互動,數字信息與通信技術也開始對個人身份進行重塑。現如今,我們的生活中充滿了各式各樣的身份識別和認證系統。無論我們是預訂航班、在線支付,還是上下班時進出停車場、跨國旅行時申請簽證,我們都必須證明自己是誰,或者更準確地說,我們必須證明自己就是我們聲稱的“自己”。然而,個人身份的數字化不僅僅涉及使用信息與通信技術來確定某人是誰,當個人在使用諸如身份證號碼、生物識別特征、注冊號碼、IP 地址等標識符時,有關該個人的數據還可以被鏈接起來,以追蹤個人或者生成前所未有的詳細、可用和持久的數據畫像(profiles)。這些數據畫像便構成了個人的“數字身份”,因為它可以揭示一個人過去的選擇、活動、偏好和關系。①See Irma van der Ploeg & Jason Pridmore eds., Digitizing Identities: Doing Identity in a Networked World, Routledge, 2015, p.2.從這個意義上看,數字身份可以從眾多數據庫中檢索,這些數據庫可能相互連接并進行算法搜索和分析,以找到相關性和模式,從而界定群體和類別。因此,“人類進入數字時代后,面對個體自我的數字化呈現可能帶來的身份危機,以數字身份為中心重新建構人際關系調整秩序,或許是未來法治發展的方向。”②陸青:《數字時代的身份構建及其法律保障:以個人信息保護為中心的思考》,載《法學研究》2021 年第5 期,第3 頁。
(二)個人信息保護風險的不確定性
在風險理論中,“不確定性”(uncertainty)的概念在不同的情況下可以有不同的描述。③See Michael Smithson, The Many Faces and Masks of Uncertainty, in Gabriele Bammer, Michael Smithson eds., Uncertainty and Risk:MultidisciplinaryPerspectives, Earthscan, 2008, pp.13-25.按照荷蘭學者沃克(Walker)等的觀點,不確定性是“對相關系統的完全確定性知識之任何偏離”,一般可以分為以下兩種類型:一是認知不確定性(epistemic uncertainty),即由于知識的缺乏或者不完善而產生的不確定性,如普遍缺乏知識、數據或者觀察以及難以識別和量化因果關系;二是可變的不確定性(variability uncertainty),即由于空間和時間的固有可變性而產生的不確定性,尤其適用于社會、經濟和技術發展,如行為可變性、社會可變性和自然隨機性。④See W.E.Walker & P.Harremo?s J.Rotmans et al., Defining Uncertainty: A Conceptual Basis for Uncertainty Management in Model-Based Decision Support, 4 Integrated Assessment 5, 13(2003).隨著個人所處的數字環境日趨復雜,個人信息保護風險也充滿了不確定性,它涵蓋了一般意義上的認知不確定性和可變不確定性。就本文而言,這種不確定的風險(uncertain risk)主要體現在兩個方面:一是個人信息的預測分析風險;二是匿名信息的再識別風險。
第一,個人信息的預測分析風險。一段時間以來,“大數據”以其所具有的“4V”特征而受到理論與實踐的廣泛關注。以大數據為基礎的數字技術從無數的在線用戶互動和基礎設施傳感器中收集數據,所產生的數據集不僅規模巨大,而且還經常包含個人生活中非常私密的信息。⑤See Omer Tene & Jules Polonetsky, Big Data for All: Privacy and User Control in the Age of Analytics, 11 Northwestern Journal of Technology andIntellectual Property 239 (2013).每當個人以數字生活方式或者其他方式參與數字經濟、數字政府時,就會無形中為大數據作出貢獻。利用數據挖掘、機器學習方法與算法,不僅可以偵測數據中的異常模式或者異常現象,也可以進行預測,正如有學者所言:“大數據的核心就是預測”。⑥[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶:《大數據時代》,盛楊燕、周濤譯,浙江人民出版社2013 年版,第16 頁。因此,預測性分析(predictive analytics)便成為大數據最為重要的應用之一,甚至成為數字經濟的核心特征。一般認為,預測性分析是指從經驗(數據)中學習以預測個人未來行為,進而推動更好決策的技術,而目標變量、相關關系、代理和可操作的預測則共同構成了預測性分析的核心特征。⑦See Dennis D.Hirsch, From Individual Control to Social Protection: New Paradigms for Privacy Law in the Age of Predictive Analytics, 79 Maryland Law Review 439, 453-454 (2020).
盡管預測性分析能夠帶來諸多益處,如改善醫療診斷、優化教育評估、提高企業生產力和效率等,但也可能在很大程度上給個人帶來風險。一方面,預測性分析通過聚合以前離散的數據集,不僅可能生成新的個人身份信息,進而創建詳細的個體數據畫像,而且通常超出了“告知—同意”的約束范圍,這意味著基于預測性分析所形成的高度敏感數據可以在未征得個人同意的情況下使用并與他人共享;另一方面,預測性分析的動態性質決定了其所引發的個人信息保護風險本身通常是不可預測的,而且其影響甚至可能無法被程序員完全理解,這意味著我們無法事先明確地知道機器學習算法何時會預測有關個人的身份信息,進而無法預測在何處以及何時圍繞該數據設置相應的保護措施。①See Kate Crawford, Jason Schultz, Big Data and Due Process: Toward a Framework to Redress Predictive Privacy Harms, 55 Boston College Law Review 93, 98-99 (2014).
第二,匿名信息的再識別風險。在當前的個人信息保護實踐中,匿名化已經成為一種重要的技術手段,同時也為個人信息處理者提供了“安全港”。歐盟《通用數據保護條例》(GDPR)前言第26條規定,數據保護原則不適用于匿名信息,將匿名信息排除在個人數據之外。《個人信息保護法》第4 條第1 款在對個人信息的概念進行界定時,也明確規定個人信息不包含經過匿名化處理的信息。個人信息保護立法將匿名信息作為安全港的預設前提是,匿名化能夠使個人信息主體“匿名”,從而充分保護個人信息隱私,因而沒有必要施加額外的隱私與數據安全保護措施。然而,實踐表明,經過匿名化處理的信息仍然可能殘存一定的“可識別性”,將匿名信息與“輔助”信息聯系起來仍然可能重新識別信息主體。因此,將其徹底排除至個人信息保護立法的限制范圍之外,事實上難以有效消解匿名信息具有的“剩余風險”。正如美國學者保羅·歐姆(Paut Ohm)所指出的:“再識別通過破壞我們對匿名化的信任,擾亂隱私政策的格局。這不是一個小的信念,因為技術專家依靠它來證明不加區分地分享數據和永久地存儲數據是合理的,同時向用戶(和世界)承諾他們正在保護隱私。再識別技術的進步暴露了這些承諾往往是虛幻的。”②Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA Law Review 1701, 1704(2010).
(三)個人信息保護風險的不可逆性
在風險理論中,“不可逆轉性”(irreversibility)通常是指某種損害或者風險不僅是嚴重的,而且需要付出很大的代價才能提供足夠的補償,因此,需要立即采取預防措施。③See Cass R.Sunstein, Irreversibility, 9 Law, Probability & Risk 227,229(2010).在大數據時代,個人信息保護風險也同樣存在不可逆轉性問題,主要體現在兩個方面:一是個人信息的失控風險,即個人信息一旦被收集,便超出了信息主體的控制范圍;二是大數據時代個人信息損害的復雜性導致難以通過傳統的事后救濟機制予以充分補償。
第一,個人信息的失控風險。“公平信息實踐原則”被稱為是現代個人信息保護制度的基石,其核心目的是賦權信息主體。④丁曉東:《論個人信息法律保護的思想淵源與基本原理——基于“公平信息實踐”的分析》,載《現代法學》2019 年第3 期,第96頁。在此種情況下,“賦權”(empower)意味著控制,即確保信息主體了解信息收集者的活動并同意某些做法,使其可以自主決定如何權衡收集、使用和披露個人信息的成本和收益。①See Woodrow Hartzog, The Inadequate, Invaluable Fair Information Practices, 76 Maryland Law Review 952, 972 (2017).在實踐中,控制不僅成為諸多個人信息保護制度的出發點(如告知—同意制度),而且也是業界最受歡迎的隱私工具(如隱私政策)。然而,實踐表明,在大數據時代,個人信息面臨失控風險,個人難以對其個人信息進行有意義的控制。首先,一些嚴重的認知問題損害了個人對同意收集、使用和披露其個人信息的成本與收益作出知情、理性選擇的能力。其次,一些結構性問題導致即使是知情和理性的個人也難以對其個人信息進行有效控制。②See Daniel J.Solove, Introduction: Privacy Self-Management and the Consent Dilemma, 126 Harvard Law Review 1880, 1881 (2013).在數字空間中,個人信息處理者的行為類型日趨多樣、數量也快速增長,而諸多控制機制并不具有擴展性,導致個人要對每一項個人信息處理活動進行控制的難度加大。最后,隨著個人信息共享的速度和范圍不斷提升,使用個人信息的目的通常超越了收集個人信息之初確定的目的。當個人在不了解個人信息的下游用途時,其很難對收集、使用和披露個人信息的成本和收益作出最佳權衡,這進一步限制了個人信息控制機制的有效性。總而言之,在數字時代,個人信息比以往任何時候都更容易自由傳播,相反,個人信息一旦進入數字空間,就比以往任何時候都更難控制。③See Adam Thierer, Privacy Law’s Precautionary Principle Problem, 66 Maine Law Review 467(2014).
第二,個人信息損害難以通過傳統事后救濟機制予以充分補償。受傳統隱私侵權救濟制度的影響,現代個人信息保護立法亦強調私人訴訟在個人信息保護中的重要性。《個人信息保護法》第69 條對個人信息保護中的民事責任進行了原則性規定,重點強調了以損害賠償為核心的侵權責任。然而,傳統的事后救濟制度難以回應大數據時代的個人信息保護風險。在以侵權損害賠償為核心的事后救濟制度中,實施侵權行為的主體通常是單一或者特定的,侵權過程也較為容易辨識,相關的法律責任形式通常是以存在損失或者傷害為前提。④丁曉東:《個人信息私法保護的困境與出路》,載《法學研究》2018 年第6 期,第201 頁。在數字時代,個人信息“損害”因具有無形性、潛伏性、未知性、難以評估等特征,是否符合傳統侵權損害認定中的“確定性”標準存在疑問。⑤田野:《風險作為損害:大數據時代侵權“損害”概念的革新》,載《政治與法律》2021 年第10 期,第25 頁。具體而言,個人因違法數據處理而導致的非財產性損害,包括身份盜竊或欺詐、權利受限、社會歧視、聲譽受損以及不法的“數據畫像”等引起的無形損害,能否直接通過恢復原狀、賠償損失、賠禮道歉等傳統的侵權法律責任形式予以補償尚存在困境。⑥解正山:《數據泄露損害問題研究》,載《清華法學》2020 年第4 期,第140 頁。
三、風險預防原則嵌入個人信息保護領域的法理基礎
在大數據時代,個人所處數字環境的復雜性以及個人信息保護風險的不確定性與不可逆性為風險預防原則嵌入個人信息保護領域提供了邏輯前提。除此之外,個人信息權的基本權利屬性及其所具備的功能則為風險預防原則嵌入個人信息保護領域提供了法理基礎。
(一)個人信息權作為一項基本權利
長期以來,學術界圍繞個人信息保護的權利屬性展開了激烈的爭論,形成了具體人格權說、法益說、財產權說、公法權利說等不同的觀點。這些觀點從不同的角度共同推動了個人信息保護法制的發展,不過都局限于傳統的部門法視角,難以對個人信息保護面臨的實踐難題(如到底應該對個人信息提供何種強度及何種方式的保護)進行有效回應。①彭錞:《憲法視角下的個人信息保護:性質厘清、強度設定與機制協調》,載《法治現代化研究》2022 年第4 期,第50 頁。事實上,將個人信息權作為一項憲法基本權利,不僅可以彌補傳統部門法視角下觀點之不足,而且具備正當性和可行性,能夠同時對抗公私主體對個人信息權的不法侵害,對個人信息風險源進行全覆蓋防治。
第一,個人信息權的價值及功能。按照阿隆·哈雷爾(Alon Harel)的觀點,將一項要求劃歸為一項更為基礎的權利(而非一項植根于公共利益的要求)取決于支撐這一要求的“內在理由”和“外在理由”。②See Alon Harel, What Demands are Rights? An Investigation into the Relation between Rights and Reasons, 17 Oxford Journal of Legal Studies 101, 102(1997).個人信息權作為一項憲法上基本權利,也有其內在理由和外在理由,集中體現為一系列基本價值,既包括尊嚴、自主性、非歧視、透明度等傳統價值,也包括數據安全、數據質量等新興價值與利益。③See YvonneMcDermott, Conceptualising the Right to Data Protection in an Era of Big Data, 4 Big Data & Society 1 (2017).上述價值保護難以被其他權利所完全涵蓋,再加上數字時代為個人提供強有力保護的迫切性,這意味著個人信息權不能被視為從屬于其他權利,其本質應當是“基本權利”。④See Stefano Rodotà, Data Protection as a Fundamental Right, in Serge Gutwirth, Yves Poullet, Paul De Hert et al.eds., Reinventing Data Protection? Springer, 2009, p.80.此外,數字生活現實不可阻擋地發展,要求必須對基本權利教義學及其實際實施方面進行調整和進一步的法律具體化。⑤Vgl.Hans-Jürgen Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, S.3031.與基本權利的傳統應用相對應,以個人信息權為核心內容在線基本權利便成為基本權利的數字維度⑥Vgl.Anika D.Luch/ S?nke E.Schulz, Dimension der Grundrechte - Die Bedeutung der speziellen Grundrechte im Internet, MMR 2013, S.92.,而個人信息權也成為最能體現當代人類數字化生存狀況的權利。
第二,個人信息權的憲法規范依據。從各國(地區)的個人信息保護法制經驗來看,主要有兩種途徑:第一種是憲法肯認,即在憲法文本中明確規定個人信息權作為一項基本權利。例如,《歐盟基本權利憲章》第8 條通過三個條款規定了個人數據保護基本權利。第二種是憲法解釋,即憲法文本中并未明確規定個人信息權,但是,可以通過憲法解釋納入基本權利保護范圍。例如,德國《聯邦基本法》中并未規定“個人信息權”,德國聯邦憲法法院在“人口普查案”中發展“信息自決權”時,主要是以德國《聯邦基本法》第1 條第1 款(人的尊嚴)和第2 條第1 款(人格權)作為規范基礎。⑦Vgl.BVerfGE 65, 1 (42).
我國憲法雖然沒有明確規定個人信息權,但可以通過憲法解釋將其放置在相關憲法條款中。《個人信息保護法》第1 條規定“根據憲法,制定本法”,這無疑是依憲立法、堅持以憲法為依據、體現憲法精神的最直接體現。⑧張震:《“根據憲法,制定本法”的規范蘊涵與立法表達》,載《政治與法律》2022 年第3 期,第109 頁。全國人民代表大會憲法和法律委員會在對該條款進行說明時明確指出,“我國憲法規定,國家尊重和保障人權;公民的人格尊嚴不受侵犯;公民的通信自由和通信秘密受法律保護。制定實施本法對于保障公民的人格尊嚴和其他權益具有重要意義。據此,擬在草案第一條中增加規定‘根據憲法,制定本法’。”據此,可以將《中華人民共和國憲法》(以下簡稱《憲法》)第33 條“人權條款”、第38 條“人格尊嚴條款”以及第40 條“通信自由和通信秘密條款”作為個人信息權的規范依據。⑨張翔:《個人信息權的憲法(學)證成——基于對區分保護論和支配權論的反思》,載《環球法律評論》2022 年第1 期,第58-59頁。
(二)基本權利功能催生風險預防義務
在基本權利理論中,一般認為,基本權利主要具有主觀權利和客觀法功能,并以此來建構憲法上實現基本權利的最大可能保護網。①[德]福爾克爾·埃平、賽巴斯蒂安·倫茨、菲利普·萊德克:《基本權利》(第8 版),張冬陽譯,北京大學出版社2023 年版,第4-5 頁。在主觀權利功能的面向,體現在基本權利作為防御權與社會基本權所建構的保護法益;在客觀法功能的面向,則體現在基本權利作為客觀價值秩序、制度性保障、組織與程序保障以及國家的保護義務所建構的法益。既然個人信息權的基本權利地位得以證成,那么,其當然也具備基本權利的功能。就個人信息權的主觀權利功能而言,其可以為公民個人信息不受國家公權力侵害的請求權提供依據;并且,在侵害發生時,也為排除國家侵害的請求權提供依據;就個人信息權的客觀法功能而言,其不僅要求國家為公民個人信息權的實現提供制度性保障以及程序與組織保障,而且,還要求國家負有義務保護公民個人信息權的實現,使其足以對抗第三人(尤其是其他私人)所造成的不法侵害。②王錫鋅、彭錞:《個人信息保護法律體系的憲法基礎》,載《清華法學》2021 年第3 期,第17-19 頁。
風險預防與危險防御共同構成了國家保護義務的具體化。③Vgl.Fritz Ossenbühl, Vorsorge als Rechtsprinzip im Gesundheits-, Arbeits- und Umweltschutz, NVwZ 1986, S.164.事實上,“保護”(Schutz)一詞本身就是一個非常開放的術語,既代表支持安全、幫助處理有威脅的事情,同時也隱含了預防和預防措施。④Vgl.Christian Calliess, in Dürig/Herzog/Scholz, Grundgesetz-Kommentar, Band 3, 99.EL September 2022, GG Art.20a Rn.71.保護義務的功能一方面表現在,它是一種存續保障,意思就是,為保護基本權利所承載的自由而必需的保障措施必須存續,不能被取消;保護義務的另一方面功能在于,當基本權利所承載的自由至今尚無針對社會威脅的保障或者這種保障不充分時,它可以要求立法機關提供相應的保障。⑤[德]迪特兒·格林:《憲法視野下的預防問題》,載劉剛編譯:《風險規制:德國的理論與實踐》,法律出版社2012 年版,第125 頁。此外,從禁止保護不足原則(Unterma?verbot)的角度看,基本權利的保護義務既然課予國家有義務提供適當且有實效的權利保護⑥陳征:《憲法中的禁止保護不足原則——兼與比例原則對比論證》,載《法學研究》2021 年第4 期,第55 頁。,則自然也包括對于不確定的損害可能性采取預防措施。就個人信息保護而言,《憲法》第33 條第3 款“國家尊重與保障人權”實際上明確表達了基本權利保護義務功能的雙重性。根據該規定,國家一方面必須通過避免自身的干預來尊重和保障人權,另一方面當私人當事方威脅侵犯人權時,國家有義務預防風險、避免危險或補救已經發生的侵害。⑦焦洪昌:《“國家尊重和保障人權”的憲法分析》,載《中國法學》2004 年第3 期,第44-45 頁。從這個角度看,風險預防本身就是個人信息國家保護義務的具體化。正如有學者所言:“社會法治國的選擇,其在基本權利教義上的結論就是保護義務,本身就包含了對預防的選擇。”⑧[德]迪特兒·格林:《憲法視野下的預防問題》,載劉剛編譯:《風險規制:德國的理論與實踐》,法律出版社2012 年版,第125 頁。
四、風險預防原則下個人信息保護的制度完善
風險預防原則具有重要的體系形成功能、解釋指針功能、法政策功能等,有助于使規制手段的相關討論結構化,容易形成體系,在縮減裁量空間或者判斷余地時發揮重要作用。⑨王貴松:《風險行政的預防原則》,載《比較法研究》2021 年第1 期,第53 頁。從國內外個人信息保護理論與實踐來看,個人信息保護法律制度主要包括立法、執法和司法三個核心環節。如前文所述,風險預防原則嵌入個人信息保護領域具備正當性。為了使風險預防原則能夠在個人信息保護領域有效運行和展開,有必要從以下三個方面對個人信息保護制度進行完善:一是在立法層面,確立風險預防的基本原則地位及配套規則;二是在執法層面,風險預防措施的類型化構造;三是在司法層面,優化風險預防原則的司法因應。
(一)立法:確立風險預防的原則及規則
國家的風險預防義務衍生了一項程序性義務(prozedurale pflichten),即國家對于現已存在的合理懷疑,特別是具有科學性指示的信息,不僅不容忽視,而且也不能僅是形式上納入決策考量;相反,必須對其深入分析并給予正確的評價,否則,就構成足以影響到規范內容的評價瑕疵(Bewertungsfehler)。①Vgl.W.K?ck, Mobilfunksendeanlagen und grundrechtliche Schutzpflichten des Staates, Anmerkung zu BVerfG 28.2.2002, ZUR 2002,S.353.作為個人信息保護法律制度的三個環節之一,立法既是其起點,也是其基礎。若在立法上沒有對風險預防原則設置相應的法規范,那么在執法和司法上就可能使風險預防原則無的放矢。因此,風險預防原則在個人信息保護領域的展開需要從立法環節開始。
1.明確風險預防作為基本原則
原則是一項法律制度在指導私人行為與官方行為時所使用的規范形式之一,是旨在確保公正執行法律的一般準則。因此,立法的重要意義就在于認可和頒布具有普遍約束作用的法律原則。②[美]E·博登海默:《法理學——法哲學及其方法》,鄧正來、姬敬武譯,華夏出版社1987 年版,第227-229 頁。在國內外個人信息保護立法中,許多法律規范都明確了個人信息保護的基本原則。例如,歐盟《通用數據保護條例》第5 條對“與個人數據處理相關的原則”的規定,該條明確規定了合法、公平與透明原則,以及目的限制原則、數據最小化原則、準確原則、存儲限制原則、完整與保密原則、問責制原則。在《個人信息保護法》起草過程中,立法機關認為,應當在《中華人民共和國民法典》《中華人民共和國網絡安全法》等法律規定的基礎上,進一步充實和完善個人信息保護的基本原則。因此,《個人信息保護法》在充分借鑒國內外已有的立法經驗之基礎上,從第5 條至第10 條對個人信息處理活動應當遵循的基本原則作出了規定,主要包括合法原則、正當原則、必要原則、誠信原則、目的限制原則、公開透明原則、質量原則、責任原則和安全原則。③程嘯:《個人信息保護法理解與適用》,中國法制出版社2021 年版,第79 頁。由此可知,盡管《個人信息保護法》第11條規定了“預防和懲治侵害個人信息權益的行為”,但是,立法卻并未將“風險預防”作為我國個人信息保護的基本原則,而是將其作為國家在個人信息保護方面的責任。④高飛:《中華人民共和國個人信息保護法解讀》,中國法制出版社2022 年版,第39 頁。
鑒于在個人所處數字環境的復雜性以及個人信息保護風險的不確定性和不可逆性,本文認為,有必要將風險預防原則作為我國個人信息保護的基本原則,可以從立法形式和立法定位兩個方面予以完善。
第一,在立法形式上,《個人信息保護法》應當專門規定風險預防原則。目前在我國食品安全以及安全生產領域,風險預防原則已經獲得立法的肯認,這可以為個人信息保護領域的立法及修法提供參考。例如,《中華人民共和國食品安全法》第3 條規定:“食品安全工作實行預防為主、風險管理、全程控制……”在比較法中,瑞典《環境法典》第2.3 條規定,從事某項活動或采取某項措施的人,或打算這樣做的人,應采取保護措施,遵守限制規定,并采取任何其他必要的預防措施,以防止、阻礙或消除該活動或措施對人類健康或環境的損害或危害。
本文認為,盡管通過法律解釋可以勉強將《個人信息保護法》第11 條擴大解釋為風險預防原則在我國個人信息保護領域的規范依據①張濤:《探尋個人信息保護的風險控制路徑之維》,載《法學》2022 年第6 期,第64 頁。,但由于該條的立法要旨為“國家在個人信息保護方面的責任”,這容易遮蓋風險預防原則在整個個人信息保護制度中的基本原則地位。因此,有必要專門增加一個條款對風險預防原則作出如下規定:處理個人信息應當遵循風險預防原則,個人信息處理者應當采取適當的技術性和組織性措施,預防和處置個人信息處理活動的風險。
第二,在立法定位上,《個人信息保護法》應當規定弱風險預防原則。如前所述,在理論與實踐中,有關風險預防原則的確切含義存在爭議,學者用不同的語言來描述預防的概念,從簡單的“安全比遺憾好”到復雜的、多要素的定義。一般認為,從類型化的角度看,風險預防原則可以分為“弱”(weak)版本和“強”(strong)版本。弱風險預防原則和強風險預防原則都強調對危害的預測,以及在不確定的情況下采取預防措施,但這兩種版本之間存在一些主要區別。弱風險預防原則允許在科學不確定的情況下采取措施應對風險,同時,需要考慮比例原則、成本收益等;而強風險預防原則主張在科學不確定的情況下諸如全面禁止、使用限制、警告等預防性監管措施應當是對嚴重風險的默認反應。②See Noah M.Sachs, Rescuing the Strong Precautionary Principle from Its Critics, 2011 University of Illinois Law Review 1285, 1295(2011).
本文認為,在個人信息保護領域應當采用弱風險預防原則。理由如下:首先,弱風險預防原則在理論與實踐中獲得廣泛支持與肯認,具備更多的合理性經驗。例如,在理論上,美國學者凱斯·桑斯坦(Cass Sunstein)便是強風險預防原則的強烈批評者,他贊成在風險規制中采用弱風險預防原則,因為該原則“非常合理地表明,缺乏確鑿的危害證據不應成為拒絕規制的理由”。③CassSunstein, Laws of Fear: Beyond the Precautionary Principle, Cambridge University Press, 2005, p.18.在實踐中,《里約宣言》(Rio Declaration)第15 條原則采用了弱風險預防原則④《里約宣言》第15 條原則規定:“為了保護環境,各國應根據其能力廣泛采用預防性方法。在存在嚴重或不可逆轉的損害之威脅時,不得以缺乏充分的科學確定性為由推遲采取具有成本效益的措施來防止環境退化。”,并成為弱風險預防原則在國際社會中廣泛發展的一個里程碑。⑤See Joakim Zander, The Application of the Precautionary Principle in Practice: Comparative Dimensions, Cambridge University Press,2010, p.37.其次,與默認禁止或限制的強風險預防原則相比,注重比例原則及成本收益的弱風險預防原則比較契合個人信息保護領域的特殊性。一方面,個人信息具有公共性與社會性,需要妥善處理技術創新、社會經濟發展與個人信息保護之間的關系;另一方面,相比于傳統的健康、環境及食品領域,個人信息保護領域的風險容忍度更高。
2.設置風險預防的配套規則
風險預防原則在精確性、規范程度上均存在局限性,需要其他配套的制度與規則方得發揮其積極功能。因此,還有必要在《個人信息保護法》中設置與風險預防原則密切相關的配套規則,使風險預防原則在個人信息保護中的應用更加具有體系性。從這個角度看,《個人信息保護法》第8 條(質量原則)和第9 條(責任原則與安全原則)可以視為是風險預防原則的配套規則。除此之外,還需要充分結合“事前預防”這一核心理念,設計一些能夠實現對風險進行過程控制的配套規則。
在比較法中,歐盟《通用數據保護條例》第25 條規定了“通過設計及默認保護數據”,要求在發展、設計、挑選和使用基于個人數據處理或者用來處理個人數據以完成任務的應用程序、服務和產品時,鼓勵這些應用程序、服務和產品的生產者去考慮核心數據保護原則,以便這些原則能夠有效地集成到最終的系統中,確保控制者和處理者能夠履行他們的數據保護義務。以此為參考借鑒,本文認為,《個人信息保護法》也有必要進一步完善個人信息保護的規則體系,將“通過設計及默認保護個人信息”作為風險預防原則在個人信息保護領域的配套規則。在數字時代,個人信息的處理(如收集、存儲、加工等)早已經由各種各樣的信息系統來完成,這些信息系統架構具有強大的規制潛力,特別是其塑造人類行為的能力,通常比法規或者合同規定的法律實施更有效。①See Christopher Kuner, Lee A.Bygrave & Christopher Docksey eds., The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, p.573.“通過設計及默認保護個人信息”可以確保在信息系統開發的整個生命周期中認真考慮對個人信息權的保護,而不僅僅是在生命周期的最后階段。②張濤:《大數據時代“通過設計保護數據”的元規制》,載《大連理工大學學報(社會科學版)》2021 年第2 期,第79 頁。
3.完善風險預防的授權規則
風險預防原則作為個人信息保護的基本原則,除了要求個人信息處理者在個人信息處理活動中積極履行風險預防義務外,同時,也要求履行個人信息保護監管職責的行政機關應當依法采取預防措施,以防止對個人信息權造成重大侵害。由于行政機關采取的風險預防措施在本質上屬于一種侵益性措施,僅僅有憲法的原則性規定和法律原則的規定是不夠的,還應當根據侵害保留要求,具有具體的法律依據。③王貴松:《風險行政的預防原則》,載《比較法研究》2021 年第1 期,第54 頁。換言之,需要由立法機關在法規范中設定相應的授權規則。從這個角度看,《個人信息保護法》第11 條“國家……預防和懲治侵害個人信息權益的行為”可以作為履行個人信息保護職責的行政機關采取風險預防措施的概括授權規則。
然而,這種形式的授權條款可能無法使立法機關對行政權力的行使有實質的控制,也難以使利益相關者合理預見自己的權利義務范圍。這意味著《個人信息保護法》在規定風險預防的授權規則時還要符合授權明確性原則的要求,亦即應當明確風險預防措施的法律要件及法律效果,對履行個人信息保護職責的行政機關進行具體授權。從這個角度看,《個人信息保護法》第64 條有關“行政約談與合規審計”的規定可以視為是對履行個人信息保護職責的行政機關之具體授權,該條授權行政機關在發現個人信息處理活動存在較大風險時,可以采取行政約談或者要求個人信息處理者委托專業機構進行合規審計。從該條的規定來看,何為“較大風險”似乎仍然有待進一步“明確”。不過,立法機關顯然將“較大風險”的判斷交由行政機關進行自由裁量,原因在于風險預防所欲規范的是具有科學不確定性的風險,而風險是否會發生以及發生所帶來的影響是否重大本身具有高度不確定性,若要求立法機關事先針對不確定風險巨細靡遺地規定預防措施,可能存在技術上的困難。
在行政法理論中,行政機關有關風險事項之判斷、決策即為風險決定(Risikoeinsch?tzungen)或者預測決定(Prognoseentscheidungen)。④Vgl.Manfred Aschke, in Bader/Ronellenfitsch, BeckOK VwVfG, 59.Ed.1.1.2023, VwVfG § 40 Rn.33.盡管與立法機關相比,行政機關在做出風險決定方面更加具備各領域所需的專業與知識。但就個人信息保護中的風險決定而言,本文認為,仍然需要通過“規范具體化的行政規則”(normkonkretisierender verwaltungsvorschriften),將法律規范予以具體化,如此,可將通常以概括條款表示的不確定法律之構成要件進行內涵上的延伸,以有利于特定的規范完全可以具體實施。①Vgl.Hermann Hill, Normkonkretisierende Verwaltungsvorschriften, NVwZ 1989, S.401.此外,由于個人信息保護領域的發展變化異常迅速,立法機關還應當適時補充與調整風險預防的授權規則。例如,在當前的個人信息保護執法實踐中,監管部門針對一些具有大規模用戶的APP 進行評估審查,發現存在涉嫌嚴重侵犯用戶權益的情形,通常會采取“APP 下架”或者“限制新用戶注冊”等措施。本文認為,無論是“APP 下架”,還是“限制新用戶注冊”,在本質上均具有風險預防的屬性,應當參照《個人信息保護法》第64 條“行政約談和合規審計”的規定,納入《個人信息保護法》的調整范圍。因此,建議在《個人信息保護法》第64 條增加一款:“根據個人信息處理活動中風險的具體情況,履行個人信息保護職責的部門按照法定權限和程序對該個人信息處理活動采取部分限制等臨時措施。”
(二)執法:風險預防措施的類型化構造
行政執法是個人信息保護法律制度的第二個環節,也是核心環節。②王錫鋅:《重思個人信息權利束的保障機制:行政監管還是民事訴訟》,載《法學研究》2022 年第5 期,第3 頁。若缺乏有效的行政監管機制,那么再完美的立法也只能形同空文。與此同時,由于行政執法與行政相對人直接相關,行政權力的不當行使又可能導致行政相對人的利益受損。就風險預防原則在個人信息保護中的適用而言,除了需要確立其基本原則地位外,還需要進一步確定行政機關采取的預防措施應當遵循的標準和規范,尤其是預防措施的強度和范圍問題,其中預防強度又具體包括預防措施的類型、形式和梯度等內容。③Vgl.Fritz Ossenbühl, Vorsorge als Rechtsprinzip im Gesundheits-, Arbeits- und Umweltschutz, NVwZ 1986, S.165.目前,《個人信息保護法》對幾類預防性監管措施進行了初步規定,具體包括第51 條規定的“個人信息安全事件應急預案制度”、第55 條和第56 條規定的“個人信息保護影響評估制度”、第64 條規定的“行政約談與合規審計制度”等。不過,上述幾類預防性監管措施仍然存在不足,有待進一步完善。為了使個人信息保護中的預防性監管措施更加具有體系性,更加符合“分級分類監管”的理念,本文認為,可以對預防性監管措施進行類型化,然后將具體的預防措施放置其中,為行政執法提供更為精確的指引。
1.完善自愿性預防措施
所謂的自愿性預防措施是指個人信息處理者為了避免個人信息保護風險而自愿采取的技術性和組織性措施。在任何社會秩序中,自我控制都是一種必備的要素,因為國家無法針對每一種可想象到的危害來制定規則,執法人員也不可能時刻對每一個人進行監督。因此,在對所有類型的規制進行分析時,最后必然會倡導推動自我規制。④[英]羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇:《牛津規制手冊》,宋華琳、李鸻、安永康等譯,上海三聯書店2017 年版,第183頁。事實上,從執法與守法策略的角度看,自愿性預防措施實際上體現了一種“遵從式策略”(compliance strategy),旨在防止危害而非懲罰罪惡,其執法理念是以實現立法的廣泛目標為中心,而非制裁違法行為。需要采取某些積極的行為,而非簡單地避免某種行為。①See Keith Hawkins, Environment and Enforcement: Regulation and the Social Definition of Pollution, Oxford University Press, 1984, p.4.
從已有的個人信息保護理論與實踐來看,個人信息處理者可以采取如下自愿性預防措施,完善內部的風險管理體系,履行風險預防義務:一是數據加密措施。個人信息處理者應當對敏感個人信息進行技術加密,確保個人信息在傳輸和存儲過程中的安全性。二是訪問控制措施。個人信息處理者應當建立訪問控制機制,限制對個人信息的訪問和操作權限,確保只有授權人員才能訪問和處理個人信息。三是合規審計措施。個人信息處理者應當按照有關法律法規的規定,建立內部的個人信息保護合規審計制度,定期對系統的運行進行合規審計,及時發現和解決安全問題,減少人為因素對數據安全的影響。四是第三方風險管理措施。個人信息處理者應當對與其相關的第三方進行風險評估和管理,確保第三方供應商或合作伙伴的可靠性和安全性。五是完善個人信息安全事件應急預案。個人信息處理者應當編制應急預案,明確內部的責任分工,建立有效的響應機制,制定信息安全事件的級別和分類。在個人信息處理者完善上述自愿性措施的過程中,行政機關可以適時免費提供指導與幫助,促使個人信息保護原則及規則能夠內化于個人信息處理者的管理制度體系中。
2.完善影響性預防措施
所謂的影響性措施是指行政機關根據個人信息處理活動的風險情況,采取的或者鼓勵實施的能夠對個人信息處理者、個人信息主體的行為、決策產生直接或者間接影響的軟性措施。影響性預防措施的興起源于政府規制理論創新與改革,即超越純粹的自我規制和嚴格的“命令—控制”規制。針對不同的對象,可以采取的影響性預防措施又存在不同,主要包括元規制措施和助推措施。
第一,針對個人信息處理者的元規制措施。傳統的“命令—控制”規制在很大程度上剝奪了規制對象的裁量空間,并且明確要求其必須采取哪些措施或者實現何種目標。與此相對應,元規制(meta-regulation)將某些實質性的裁量權留給規制對象,促使或者鼓勵他們制定自身內部的規制體系。②[英]羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇:《牛津規制手冊》,宋華琳、李鸻、安永康等譯,上海三聯書店2017 年版,第168頁。根據這種進路,政府規制機構發現某一問題,然后要求規制對象制定方案來解決這一問題,作為回應,規制對象對自身施加內部式的規制,因此,元規制也被稱為“強制性自我規制”(enforced self-regulation)。③See F.C.Simon, Meta-Regulation in Practice: Beyond Normative Views of Morality and Rationality, Routledge, 2017, p.2-3.長期以來,作為元規制措施的“影響評估”已經被用于許多監管領域,以評估特定技術或特定背景下產生的風險(影響),如環境影響評估。在個人信息保護領域,“影響評估”也由最初的“隱私影響評估”逐漸演變為“數據保護影響評估”或“個人信息保護影響評估”,成為個人信息保護領域的一種元規制措施,發揮“早期預警系統”的作用,目的是在事前識別處理操作的潛在消極后果,并減輕潛在風險的影響。④See Christopher Kuner, Lee A.Bygrave & Christopher Docksey eds., The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, p.669.
在我國,隨著個人信息保護制度的發展,個人信息保護影響評估的規范體系也逐步完善。一方面,在法律規范層面,《個人信息保護法》第55 條、第56 條對個人信息保護影響評估進行了概括性規定;《數據出境安全評估辦法》對數據出境安全評估進行了具體規定。另一方面,在操作指南層面,國家標準《信息安全技術 個人信息安全規范(GB/T 35273-2020)》和《信息安全技術 個人信息安全影響評估指南(GB/T 39335-2020)》對個人信息安全影響評估的原理、評估的具體實施流程進行了規定。
盡管如此,個人信息保護影響評估實踐仍然面臨一些困境,有待進一步完善:一是應當強化個人信息保護影響評估的場景性。在實踐中,盡管法律法規及國家標準已經對個人信息保護影響評估的實施流程、參考方法等進行了規定,但是,通用性的指南無法兼顧復雜多變的個人信息處理場景。因此,有必要由網信辦聯合不同領域的科研機構、行業組織、企業等制定不同場景中的個人信息保護影響評估指南,如車聯網、AI 大模型、社交媒體等。二是應當完善個人信息保護影響評估的參與性。一方面,應當充分聽取內部數據保護官、系統開發人員、個人信息主體、消費者代表等利益相關者的意見;另一方面,應當聽取律師、IT 專家、倫理學家等外部獨立專家的專業意見。三是應當加強個人信息保護影響評估的公開性。《個人信息保護法》并未規定個人信息保護影響評估的公開程序,這容易導致個人信息保護影響評估缺乏外部監督,應當鼓勵個人信息處理者積極公開評估報告或者結果概要。①劉權:《論個人信息保護影響評估——以〈個人信息保護法〉第55、56 條為中心》,載《上海交通大學學報(哲學社會科學版)》2022 年第5 期,第46—48 頁。
第二,針對個人信息主體的助推措施。在現有的規制工具箱中,針對個人信息主體的規制方法主要是以“告知—同意”或者“選擇—同意”為主,其基本假設是:在適當通知數據收集的原因、背景和目的后,個人可以自主選擇是否同意并對其個人數據實施控制。事實上,從規制功能的角度看,“告知—同意”本身就屬于一種事前的風險控制措施,其目的是增強個人信息主體控制個人信息保護風險的能力。然而,大量研究與實踐表明,由于存在認知問題和結構問題,“告知—同意”難以在大數據時代發揮保護個人信息的作用,已經成為個人信息處理者合法處理個人信息的萬能“護身符”,因為同意可以說是使任何形式的個人信息收集、使用或者披露合法化。②See Daniel J.Solove, Introduction: Privacy Self-Management and the Consent Dilemma, 126 Harvard Law Review 1880 (2013).在此背景下,一些學者主張個人信息保護應當從“個人控制”轉向“社會控制”③高富平:《個人信息保護:從個人控制到社會控制》,載《法學研究》2018 年第3 期,第84 頁。,還有一些學者更是主張將“助推”(nudges)理論引入個人信息保護中,作為“告知—同意”的替代性方法。④See Sheng Yin Soh, Privacy Nudges: An Alternative Regulatory Mechanism to Informed Consent for Online Data Protection Behaviour, 5 European DataProtection Law Review 65, 71 (2019).
助推是指“在選擇體系的任何一方面都不采用強制的方式,而是以一種預言的方式去改變人們的選擇或者改變他們的經濟動機及行為”。⑤[美]理查德·泰勒、凱斯·桑斯坦:《助推:如何做出有關健康、財富與幸福的最佳決策》,劉寧譯,中信出版社2015 年版,第7-8頁。助推的應用范圍非常廣泛,并且還在快速增大,比較常見的形式有默認規則(如自動加入計劃,包括教育、健康、儲蓄等)、簡化(部分原因是為了促進對現有方案的采納)、使用社會規范(如強調大多數人的行為)、增加便捷性(如使低成本的選擇或者健康食品變得明顯)、披露、圖形或其他形式的警告等。在個人信息保護場景中,助推可以通過兩種方式發揮作用:一是助推更多的個人信息保護。在實踐中,可以促進個人信息保護行為的助推措施包括隱私可用性解決方案、簡化隱私設置、用戶發布個人信息之前的測試或者延遲;①See Rebecca Balebako, Pedro G.Leon & Hazim Almuhimedi et al., Nudging Users Towards Privacy on Mobile Devices, https:/ /ceurws.org/Vol-722/paper6.pdf (last visited on August 7, 2023).二是助推更少的個人信息保護。在實踐中,鼓勵個人信息主體披露其個人信息的助推措施則包括隱私設置界面缺乏可用性、設計不良的警告和信息披露的潛在獎勵。②See Andreas Kapsner & Barbara Sandfuchs, Nudging as a Threat to Privacy, 6 Review of Philosophy and Psychology 455, 460-462(2015).基于此,本文認為,可以考慮將助推更多個人信息保護的措施與“通過設計及默認方式保護個人信息”原則相結合,將相關要求或者建議融入各種信息系統(如移動應用程序)的技術標準中,克服個人信息主體的行為偏見與認知困境,通過數字助推在信息系統設計之初就減少個人信息保護風險。
3.完善強制性預防措施
強制性預防措施是指行政機關根據個人信息處理活動的風險情況,采取的能夠對個人信息處理者的行為及決策產生直接影響的硬性措施。強制性預防措施源于傳統規制中的“命令—控制”措施,體現了一種“威懾式策略”(enforcement strategies),與自愿性預防措施形成對比。在規制理論中,“威懾式策略”一直占據核心地位,這種策略的基本假設是:被規制對象通常是“與道德無關的計算者”,只有當法律作出明確要求,并且他們認為違法行為很容易被發現,并因此招致嚴厲制裁時,他們才會采取成本高昂的措施來實現公共政策目標。③[英]羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇:《牛津規制手冊》,宋華琳、李鸻、安永康等譯,上海三聯書店2017 年版,第135頁。在執法實踐中,比較常見的強制性措施主要包括限制或者禁止、罰款、剝奪資格等。雖然這些措施的主要功能是對已經發生的違法行為進行制裁和懲罰,但同時也可以對潛在違法者形成威懾,發揮風險預防的作用。
就個人信息保護執法實踐而言,強制性預防措施目前主要包括改進通告、限制新用戶注冊、APP下架、信息系統關停等。這些措施對于保護公民個人信息權發揮了重要作用,但同時也可能不當限制被規制對象的合法權益。為了在技術創新、社會經濟發展與風險預防之間取得平衡,本文認為,有必要從以下幾個方面完善強制性預防措施:
第一,樹立正確的風險預防理念,強制性預防措施的目標不是“零風險”,而是一個最佳的風險組合。例如,當發現一種風險(如人臉識別技術的負面影響)被忽視或者管理不善時,執法機構可能會做出過度反應,尋求徹底消除這種風險。在某些情況下,這種反應可能是適當的,但是實踐表明將目標風險減少至零通常不是最佳結果,因為追求“零風險”可能沒有結果,也可能成本巨大,還可能阻礙有價值的技術創新或者造成其他風險。
第二,建立有梯度的強制性預防措施,實行分級分類規制,增加風險預防的回應性。在執法“工具箱”中,有必要保留或者新設一些“終極”措施,一旦這些措施被激活,應當具有足夠強大的威懾力,對那些具有重大風險的個人信息處理行為進行威懾。與此同時,對那些風險本身較小的個人信息處理活動,則可以實施相對柔和的強制性預防措施。
第三,完善實施強制性預防措施的行政程序,保障行政相對人的合法權益。在個人信息保護領域,一些新型的強制性預防措施在外在表現形式上可能并不像行政罰款、吊銷許可證、關閉工作場所等傳統的強制措施那么明顯,但同樣可能給行政相對人的合法權益造成不當侵害,因此,應當嚴格遵循說明理由義務和其它正當程序原則。
(三)司法:優化風險預防的司法因應
司法是個人信息保護法制的第三個環節,也是保護個人信息權的最后屏障。立法雖然可以為個人信息主體、個人信息處理者以及個人信息保護監管機構設定各自的權利義務,但是卻并不能保證在實際的個人信息處理活動中相關各方的權利得以實現和義務得以履行。從功能與組織最適理論出發,在個人信息保護中因風險預防原則引發的爭議仍然需要司法予以最終解決。結合我國環境司法領域風險預防原則的實踐經驗,本文認為,可以從以下兩個方面完善個人信息保護中風險預防的司法因應:一是激活公益訴訟的風險預防功能;二是完善風險預防措施的司法審查。
1.激活公益訴訟的風險預防功能
在個人信息保護司法實踐中,風險預防原則適用的基本進路主要以公益訴訟的方式呈現,尤其是人民檢察院提起的個人信息保護公益訴訟。①許身健、張濤:《個人信息保護檢察公益訴訟的法理基礎與制度完善》,載《法學論壇》2023 年第1 期,第108 頁。根據《個人信息保護法》第70 條的規定,個人信息保護公益訴訟的啟動條件是“個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益”,其仍然是以“損害救濟”作為制度理念,尚未充分考慮和發揮風險預防功能。基于此,本文認為,可以從以下兩個方面激活個人信息保護公益訴訟制度的風險預防功能。
第一,以“侵害眾多個人的權益”為概念起點,確定個人信息保護公益訴訟的保護范圍。在大數據時代,侵害個人信息權的行為本身具有無形性、潛伏性、未知性等特征,即便是可以明確識別的“數據泄露”也可能造成未來損害的風險,如身份盜竊、欺詐或者名譽受損,還可能使個人信息主體對這種風險感到焦慮。因此,對“侵害眾多個人的權益”的理解應當避免狹隘的侵害觀或者損害觀,可以將“風險”融入“侵害眾多個人的權益”考量范圍。借助利益衡量理論和容忍限度理論,可以對“侵害眾多個人的權益”的認定規則進行塑造:一是注意區分個人信息的類型。在實踐中,個人信息一般可以分為敏感個人信息和一般個人信息。一般而言,個人信息越重要、越敏感,其被侵害后構成風險損害的可能性就越高。二是考慮個人信息處理的方式和目的。一般而言,利用技術手段對個人信息進行大規模的聚合、挖掘和加工造成損害的可能性較大。三是考慮個人信息被濫用的跡象。可以就同類事件中個人信息被濫用的方式及結果進行研究和評估。四是考慮個人信息保護風險的緩解措施。在評估個人信息保護風險時還要考慮潛在的風險是否可以通過其他措施得到緩解。②SeeDaniel J.Solove, Danielle Keats Citron, Risk and Anxiety: A Theory of Data-Breach Harms, 96 Texas Law Review 737, 774-775(2018);田野:《風險作為損害:大數據時代侵權“損害”概念的革新》,載《政治與法律》2021 年第10 期,第36-38 頁。
第二,擴大個人信息保護公益訴訟的適用范圍,探索預防性信息行政公益訴訟。從規范基礎與內容上看,《個人信息保護法》第70 條預留了行政公益訴訟的制度空間:一是《個人信息保護法》并未對行政公益訴訟設置“禁止性條款”;二是《個人信息保護法》對私營部門和公共部門的個人信息處理活動進行統一調整,公益訴訟的路徑也應當既有民事公益訴訟也有行政公益訴訟;三是個人信息保護行政公益訴訟在實踐中已經廣泛開展,并且發揮了很好的風險預防作用。③蔣紅珍:《個人信息保護的行政公益訴訟》,載《上海交通大學學報(哲學社會科學版)》2022 年第5 期,第28 頁。在具體的制度建構上,除了事后救濟型訴訟外,還應當探索實施預防性信息行政公益訴訟,即在個人信息侵害行為尚未發生或即將發生或剛剛發生但尚未構成損害事實時,由檢察機關提起行政公益訴訟。①王春業:《論檢察機關提起“預防性”行政公益訴訟制度》,載《浙江社會科學》2018 年第11 期,第51 頁。個人信息國家保護義務的重要內容便是提供“及時有效的”權利救濟,因此,以確保依法行政原則、落實公民權利救濟為旨趣的行政訴訟,其所提供的救濟途徑自然不應當僅局限于就已經發生的權利侵害,提供事后響應的修復式正義,而應當包含事前預防救濟,以阻止侵害于未然。②李建良:《行政法上之預防性不作為訴訟》,載《月旦法學教室》2021 年第12 期,第34 頁;羅智敏:《我國行政訴訟中的預防性保護》,載《法學研究》2020 年第5 期,第125 頁。
2.完善風險預防措施的司法審查
隨著我國個人信息保護法制的不斷發展,個人信息保護影響評估制度、個人信息保護合規審計制度等風險預防原則的配套制度不斷落地實施,行政機關也可能基于上述評估或審計結果而作出諸如“手機APP 預防性下架”或“數字服務平臺暫時性關閉”等風險預防行政決定。這些風險預防行政決定多伴隨產生侵益效果,故應當允許行政相對人有尋求救濟的機會。
在司法審查階段,為妥善因應行政機關在風險決定中所享有的一定程度之預測或判斷的彈性空間,人民法院應就行政機關是否按照法定程序作出決定,特別是針對風險評估結果的參考、風險管理考量的因素、是否有妥適的風險溝通以及事實認定是否有誤或遺漏未斟酌的事項等方面進行監督。在比較法中,對于具有預測性質的風險決定類型,德國學界多肯認行政機關的判斷余地,法院原則上只審查如下項目:一是該行政機關在進行有關預測時,是否從適當的議題劃定、資料、價值與數據出發;二是是否就所有可得掌握的數據加以衡量;三是所采取的方法是否科學上有可支持性;四是就所有已獲得的素材而言,是否以一種適當且在方法上沒有令人質疑的方式加以完成。
此外,人民法院在審查個人信息保護監管中風險預防措施的合法性時,還應當妥善分配舉證責任。根據環境保護、食品安全等領域的司法經驗,一方面,行政機關應當舉出風險評估的證據、相關的利害關系事實等,證明自己的措施符合風險預防措施的適用條件及合法要件。③王貴松:《風險行政的預防原則》,載《比較法研究》2021 年第1 期,第60 頁。另一方面,根據“支配領域理論”,當依據現存的經驗法則無法對新技術與設施是否具有危害性進行充分評估時,則新技術引進者或相關設施設置者,必須對新技術或設施不具有危害性負舉證責任。在個人信息保護領域,新處理技術層出不窮、日新月異,而這些新處理技術又通常因受到商業秘密保護而導致第三人一般難以得知相關流程與技術細節;相反,個人信息處理者由于掌握相關信息,能夠對其技術的危害性進行評估。因此,由最靠近新技術引進端的個人信息處理者承擔證明義務,是合適且合理的。
五、結語:風險預防原則的適用限度
隨著社會的數字化轉型不斷深入,個人已經徹底身處數字風險社會中。數字環境對個人的重要性,就如同自然環境對個人的重要性一樣。數字信息是新經濟的燃料,但像舊經濟的碳燃料一樣,它也會造成“污染”,有害的“數據排放物”流入數字生態系統中,破壞了社會制度和公共利益。④See Omri Ben-Shahar, Data Pollution, 11 Journal of Legal Analysis 104 (2019).正如風險預防原則通過環境法的適用為個人的自然環境提供保護一樣,風險預防原則也應當嵌入個人信息保護法為個人的數字環境提供保護。
然而,風險預防原則亦并非萬能鑰匙,長期以來一直面臨批判與質疑,主要體現在以下幾個方面:一是定義不清。有論者認為,預防原則定義不清,過于空洞和模糊,無法為決策提供任何有用的指導,因此,應當放棄預防原則。①SeeDerek Turner & Lauren Hartzell, The Lack of Clarity in the Precautionary Principle, 13 Environmental Values 449 (2004).二是內在矛盾。有論者認為,“預防原則的真正問題在于它的不一致性,它聲稱要提供指導,但卻沒有做到,因為它所譴責的正是它所要求采取的措施”。②CassSunstein, Laws of Fear: Beyond the Precautionary Principle, Cambridge University Press, 2005, p.14.三是負面影響。有論者認為,預防原則的使用可能會直接或間接地造成各種不同的負面影響(如環境威脅、健康危害、經濟負擔、扼殺科技進步等),這意味著預防原則非但不會減少風險,反而會增加我們的總體風險。③SeeFrank B.Cross, Paradoxical Perils of the Precautionary Principle, 53 Washington and Lee Law Review 851, 898-919 (1995).風險預防原則所遭遇的上述質疑也可能出現在個人信息保護領域。有論者認為,與健康、環境等傳統風險規制領域不同,個人信息保護領域引入基于風險的方法也面臨風險預防缺乏焦點、風險評價無法客觀量化等挑戰。④參見趙鵬:《“基于風險”的個人信息保護?》,《法學評論》2023 年第4 期,第123 頁。
在數字風險社會中,為了避免風險預防原則在邏輯和實踐上的缺陷,也為有效地因應個人信息保護風險,需要采取一種更加理性和平衡的風險規制方法,充分考慮風險的多樣性和相對性以及不同政策的利弊得失。在比較法中,根據歐盟《關于風險預防原則的通訊》之規定,采取風險預防措施時需要遵循以下一般原則:一是合乎比例;二是非歧視;三是一致性;四是行動或者不行動的成本收益審查;五是科學發展的審查。⑤SeeCommunication from the Commission on the precautionary principle, COM (2000)0001 final.以此為參考,在個人信息保護領域,風險預防原則的適用也應當遵循實體和程序兩個層面的要求⑥Vgl.Christian Calliess, in Dürig/Herzog/Scholz, Grundgesetz-Kommentar, Band 3, 99.EL September 2022, GG Art.20a Rn.117-122.,采取理性風險預防方法。
第一,在科學研究的幫助下將風險預防具體化。需要在一個持續不斷的過程中科學地確定和研究個人信息保護中存在的風險是什么及其轉變為實害的可能性。在此背景下,需要在風險評估過程中客觀、詳盡地確定與風險預防動機相關的所有的信息。
第二,由立法機關對初步確定的風險進行合憲性評價。在選擇履行其保護義務的手段時,僅限于那些“符合憲法”的手段。⑦Vgl.Hans-Jürgen Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, S.3027.科學上初步的風險確定可以大致為風險預防規則的制定提供指引,但是,其中涉及的價值及利益權衡問題卻只能由立法機關在憲法框架內進行,主要內容包括這種風險是否仍然可以被接受和容忍強度為何,又應當采取哪些干預措施來因應它。
第三,確保風險評估符合正當程序的要求。在個人信息保護實踐中,相關程序規則必須確保對科學數據與研究結果進行評估的過程是公開和透明的。此外,即便是在科學上合理的各種立場,也應當充分考慮少數人的意見,這意味著需要對公眾參與作出制度性安排。
第四,預防措施的實施應當符合比例原則的要求。不過需要注意的是,傳統的比例原則,不論其審查密度或者標準為何,通常注重對后果的考量而非著重于幾率的評估,進入風險行政的討論領域后,此一傳統的操作模式應當進行調整,須同時考量概率以及后果。
