個人信息的內生安全機制及其實現

崔聰聰

內容摘要：個人信息處理的技術性、隱蔽性，使自上而下的“命令式”監管范式失效。數字時代，個人信息治理的重點是防止個人信息處理者濫用數據權力威脅國家安全、盤剝和操控個體。為有效控制數據權力這一風險源， 國家應當督促個人信息處理者建立健全涵蓋制度保障、組織程序保障的個人信息內生安全機制。通過監管激活個人信息處理者內部的自我規制機制，增強其內部的組織控制和行為規范化程度，消減個人信息處理的負外部性，實現個人信息處理的正和博弈。通過監管督促個人信息處理者強化內部治理機制，嚴格落實個人信息保護影響評估制度，遵從“三同步”要求將個人信息保護法規定的各項義務嵌入產品“代碼”中，防控個人信息處理過程中妨害個人自主性、減損人格尊嚴的風險。

關鍵詞：個人信息處理 內生安全 負外部性 正和博弈 自我規制 數據權力

中圖分類號：DF529 文獻標識碼：A 文章編號：1674-4039-（2024）01-0096-107

一、問題的提出

以個人信息為主要內容的大數據正在成為一種全新的國家實力要素。個人信息保護法實施以來，履行個人信息保護職責的部門（以下簡稱個人信息監管部門）開展了系列專項執法行動，相關行業組織也積極推進行業自律，組織會員單位簽署個人信息保護自律公約。經過多方努力，個人信息治理取得階段性成果，廣大網民關注的超范圍收集、強制索權、一攬子授權和個人信息泄露問題有所改善。然而隨著治理工作的深入，個人信息治理也進入了深水區，部分個人信息處理者只是簡單地執行監管指令或者整改要求，并未在產品設計層面全面、系統落實個人信息保護法的各項要求，甚至采取熱更新、加殼、加密等方式對抗監管，有規無治問題愈發凸顯。

目前，學界對個人信息合規模式的研究聚焦于合規機構及其職責、合規治理體系與機制構建等方面。周漢華提出建立激勵相容的個人信息保護之道。〔1"〕丁曉東提出基于場景的行為主義規制模式對個人信息處理進行規制。〔2"〕馮果、薛亦颯提出通過信托機制的信義義務實現個人信息處理者與個人信息主體之間權利義務的不均衡配置，以此保護個人信息主體的脆弱性。〔3"〕張懷嶺提出將個人信息安全保護義務內化為公司董事、高級管理人員的勤勉義務，構建內生性的、低成本的個人信息保護機制。〔4"〕許可提出憑借“經設計的治理理念”，將個人信息保護法的原則和規則轉化為“合規科技”保護個人信息安全。〔5"〕鄭志峰提出基于事先預防理念，將個人信息保護的各項要求嵌入系統，使個人信息保護成為互聯網產品或者服務的默認設計。〔6"〕現有研究多側重于外部監管維度的個人信息“合規”。對個人信息處理者的內部合規機制建設，現行理論雖有“單點突破”，但未形成完整的合規矩陣。現有學說聚焦于個人信息合規的具體義務或者要求的操作層面，忽視了作為法律執行基礎的內生機制層面對個人信息處理者的組織架構和業務層面進行理論建構和實踐嘗試。在數據治理空間中，各種治理資源呈現碎片化狀態，特別是監管和企業合規的“連接點”發生嚴重“梗阻”，即監管指令無法有效地傳達至個人信息處理者的業務層面。若法律得不到落實，或者執行不力，那么即使制定再多法規，也無法解決問題。〔7"〕如何將個人信息保護法的個人信息處理規則和安全保障義務轉化為個人信息處理者的“剛需”，是個人信息保護法執行機制必須回應的緊迫現實問題。由此，探索個人信息的內生安全機制顯得尤為必要。

二、個人信息內生安全機制的實踐基礎

個人信息違法違規處理的隱蔽性和技術性特征，使個人自力救濟失效。個人信息安全，依賴于個人信息監管機構督促個人信息處理者形成依法處理個人信息的“自覺”。內生安全機制因為在專業性、成本、效率等方面具有優勢，被視為現代治理的一個重要內容。個人信息內生安全機制是把個人信息保護法的各項法定義務內化于個人信息處理者的內部治理結構中，遵循“誰收集、誰保護”“誰處理、誰負責”的基本原則，將規范層面的個人信息保護義務轉化為個人信息處理者的內在行為約束，壓實數據處理特別是“數據持有”的安全保障義務，避免出現個人信息處理者只收集而不負責的困境。

（一）功能性違法與代碼之治異化

個人信息保護濫觴于計算機網絡技術的廣泛應用。技術創新不僅改變了個人信息處理的模式與形態，更深刻地改變了背后的風險邏輯。數字技術不僅可以回溯歷史、重組時空行為，也可以干預未來。〔8"〕個人信息處理者依托數字技術，通過處理個人信息具備了調整個體行為、塑造社會關系的能力。數字社會特有的運行邏輯，意味著離開信息技術的具體應用原理而僅僅一味強調權利的加強和保障已不再是明智之舉。〔9"〕國家應當在剖析技術運行邏輯和產業發展邏輯的基礎上，從代碼合規的層面構建個人信息保護制度。

1.功能性違法引發群體隱私危機

個人信息處理活動不僅造成個人損害，而且引發公共安全和“群體隱私”危機。個人信息違法處理并非一對一而是一對多的侵害行為，這種功能性違法導致受害人數以億計。由于企業的內部治理結構不完善，個人信息處理存在“普遍性違法”問題，幾乎所有的App運營者都存在違反必要原則收集個人信息（超范圍收集）的問題。“功能性違法”疊加“普遍性違法”，個人信息安全出現了前所未有的危機。數字技術使數據突破了信號傳遞的功能，數據的規模化聚合、挖掘與分析使其產生了強大的預測力。〔10#〕網絡平臺通過在碎片化數據間建構聯絡模型，可以推斷出個體特征、群體特征、個人與他人的關系。〔11#〕群體畫像使個人信息處理者由操控個體轉向影響并控制規模化的群體，根據數據主體的傾向，通過信息展示或者推送的形式有針對性地修改個人信息主體的選擇環境，潛移默化地影響個體的認知框架和價值選擇，進而實現對群體的塑造和控制。

2.代碼之治異化及其矯正

代碼是網絡空間的主宰，人們可以通過代碼技術定義、約束乃至塑造個體行為而重新組織社會，形成新的社會組織形式和社會關系。〔12#〕雖然數據自身不具有被支配的屬性，但是數據可以助推算法成為個人信息處理者支配他人的工具： 個人信息處理者通過處理個人信息控制數字身份的生產，控制人們對世界的感知，控制數字空間的代碼秩序。〔13#〕數字時代，個體以數字人的形態成為數字社會的網絡節點，個體因嵌入網格化、平臺化系統而喪失獨立性和自主性。代碼技術也可以成為個人信息安全的主導力量，因為個人信息從收集到存儲、分析、利用、銷毀等處理過程都必須依托以代碼為基礎的應用程序、算法等。法律應當充分重視技術和應用的自我規制之道，個人信息保護法律的原則、理念和規則應當內化于代碼中。〔14#〕為防止代碼技術解構并重塑作為現代社會根本價值之一的自由價值，有必要弱化個人信息與“介質層”底層設施之間的關聯性，直接以“代碼層”為中心建構個人信息保護法律的執行機制。就代碼技術本身與自由價值的關系來看，代碼編寫越自由，人們在客觀世界中的自由就越陷入危機之中。〔15#〕為防止代碼成為人類自由的終結者，個人信息處理者應當在產品設計、開發和運維等整個生命周期中將個人信息保護法律的價值、原則和規則鐫刻到產品的各項功能上，通過代碼層面表達和實現個人信息處理法律關系的權利、義務內容。

（二）個人控制范式無法解決個人信息安全危機

個人信息是個人信息處理者對個體行為、狀態以及偏好、傾向的感受性關系，屬于認識論的范疇。個人信息的感受性關系，使個人無法控制他人對自己的認知。個人控制論發軔于以提交為主要收集方式的“小數據時代”，在以自動記錄和感知為主要收集方式的數字時代，個人控制論所依存的場景消失。基于個人控制理念建構的個人信息處理規則，無法應對個人信息處理者濫用數據權力引發的個體自主性危機。

1.個人控制失靈

個人信息的物理屬性和處理過程的信息不對稱使個人控制僅具有理論層面的意義：個人信息的物理特征使個人信息主體無法像控制有體物那樣控制個人信息。數字時代，個人數據權益所面臨的威脅具有復雜性、系統性。個人在管理自身數據時不得不面臨卡夫卡式的困境，很難對隨之而來的相關風險進行分析和判斷。個體的有限理性使數據主體很難感知和判斷數據保護不力所造成的風險。個人無法對個人信息流通中的風險進行有效管理。面對越來越復雜的信息收集方式和信息的不規范流轉，個人也很難對相關風險加以判斷和防范。在個人無法控制個人信息的收集、存儲、傳輸、后臺分析利用的情況下，受救濟成本、范圍、效果等因素制約，建構在控制基礎上的自力救濟自然失靈。個人信息治理范式應當從被動反應向主動回應轉變，通過事前規制防患于未然。

2.控制失靈的原因

信息的本質特征是信宿基于信號對信源的一種感受性關系。〔16#〕個人信息是個人信息處理者對個人信息主體的消費能力、偏好、政治傾向、行為規律的判斷和認知。個人信息的生成邏輯使個人信息在收集之時就產生了個人信息處理者和個人之間持續性不平等關系。〔17#〕在個人信息生成過程中，個人信息主體是被認識的對象，其只能控制自身的行為、狀態等，無法控制個人信息處理者對自己的認知和判斷。在此意義上，保護個人信息的目的并不是讓個人控制信息，而是建構合理的處理規則并規范個人信息處理行為，是國家規制個人信息處理行為的策略和方式。〔18#〕數字技術的發展和應用摧毀了個人信息控制論建立和實現的社會基礎，僅靠個人力量已經不能維護個人尊嚴和自由。〔19#〕控制論的場景是前網絡時代收集個人信息的數量較少、收集方式以提交而非記錄為主的時代。數字時代，個人信息的主要收集方式由傳統的提交轉變為機器設備自動記錄， 甚至很多場景采用無感收集的模式。在智能網聯汽車、智能家居設備等智能終端的全息泛在化收集和無感收集面前，個人信息主體無法確定具體的收集人，更不用說控制其傳播、質疑其準確性或者使用的合法性了。

（三）監管資源約束與治理范式創新

限于監管資源， 履行個人信息保護職責的部門在技術手段方面難以與大型互聯網平臺企業比肩。在承認個人信息監管機構單向管控局限性的基礎上，個人信息治理應當突破“命令－服從”監管范式，通過系統化整合相關制度和構建技術機制，轉型為個人信息監管部門與個人信息處理者共同維護個人信息處理秩序的協同治理模式。

1.監管資源受制于技術勢差

數字技術發展日新月異，個人信息違法處理行為層出不窮，從早期的超范圍收集、強制收集到現在的竊聽、竊取等秘密收集，不僅對個人信息主體權益造成更加嚴重的傷害，而且對個人信息執法能力提出了更高的要求。由于存在巨大技術勢差，個人信息監管機構對個人信息處理違法行為的有效捕獲存在上限，無法全面追蹤個人信息的收集、存儲、傳輸、對外提供、挖掘利用、刪除銷毀等處理行為。〔20#〕由此，個人信息監管亟須創新治理模式，在治理節點中引入新的主體，在治理方式中運用新的工具。〔21#〕個人信息的范圍和外延高度依賴場景，因識別目標、識別主體、識別概率、識別風險的不同而不同。〔22#〕因為信息越多，通過信息的分析與交叉比對識別具體個人的成功率就會更高，成為個人信息的可能性也就越大。在“余某與北京某網絡科技有限公司隱私權、個人信息保護糾紛案”中，主要爭議焦點便是歷史車況信息是否為個人信息，其是否會涉及車主的個人信息或隱私利益。〔23+〕個人信息外延的不確定性導致監管機構難以確定監管的范圍。個人信息的法益是一種反射性利益，即在個人信息處理過程中保護個體信息主體的人身利益、財產利益以及自主性。隨著技術能力的提升，我們無法預判個人信息在未來還可能承載什么樣的利益期待和訴求，這對個人信息保護執法是一個巨大的考驗。

2.通過內生安全機制破解監管資源約束

考慮到個人信息監管的效果和效率，歐盟《通用數據保護條例》（以下簡稱GDPR）采用多元規制工具，監管機構基于最小干預原則，在保留實施高額懲罰權力的同時，盡可能采用以市場為基礎的自我規制模式。〔24+〕數據生產、數字經濟發展需要一種可以激發個人信息處理者從“被動監管”走向“主動合規”的監管范式，約束和制止個人信息處理者“逃逸監管”的沖動，共建個人信息處理秩序。內生安全機制是“元規制”理念在個人信息治理領域的體現。元規制的核心要義是“對自我規制的規制”，〔25#〕即個人信息保護監管機構通過引導和指導個人信息處理者制定內部規則以應對個人信息處理的負外部性問題。遵循元規制理念，個人信息監管機構督促個人信息處理者建立健全個人信息內生安全機制：監管機構設定規制目標，提前開啟與個人信息處理者之間的對話，通過檢查、評估等形式對個人信息處理者進行事前指導。〔26#〕在具體合規層面，監管機構出方法、企業想辦法，個人信息處理者具體落實個人信息保護法的各項義務和安全保障要求。內生安全機制的建立，監管的主要成本由個人信息處理者內部吸收，能夠以最小的成本實現個人信息處理安全可控的目標，可謂一個更優的制度選擇。

三、個人信息內生安全機制的價值維度

個人信息作為重要數據資源，大規模收集和自動處理支撐著社會組織、運行和管理的高度現代化。〔27#〕但是，個人信息處理過程中往往會出現“一方受益而另一方受損”的情況，即個人信息處理的負外部性。當個人信息處理的負外部性得不到有效治理時，個人信息主體與個人信息處理者之間就會出現零和博弈的結果。通過內生安全機制防控個人信息處理的負外部性，實現個人信息主體與個人信息處理者之間的正和博弈，合理分配個人信息處理過程中的風險，實現數據正義。

（一）防止個人信息處理的負外部性

個人信息利用的收益由個人信息處理者獲得，利用過程中的損失（成本）往往由個人承受，此即個人信息處理的負外部性。對個人信息安全的擔憂直接降低用戶披露其個人信息的意愿。個人信息內生安全機制的機理在于調動和激發個人信息處理者主動參與個人信息安全治理的積極性，完善內部治理機制，將個人信息處理成本內化于自身，消除個人信息處理的負外部性。

1.個人信息處理負外部性的表現

外部性肇始于經濟學，是指個體的經濟活動對他人造成了影響而又未將這些影響計入市場交易的成本與價格中，而向市場之外的其他人所強加的成本或者效益。〔28#〕外部性分為正外部性和負外部性，前者是指個體行為給他人帶來的收益，后者是指個體行為給他人增加的成本（造成的損失）。有些個人信息處理行為會產生負外部性，即個人信息處理過程中的風險或者被濫用的損害由個人信息主體而非個人信息處理者承擔。對數據進行挖掘，可以推斷出有關此人的更多信息，即數據處理過程中的“知識發現”。“知識發現”可以讓數據挖掘者推斷出有關個人的其他潛在信息，包括個人的隱私。〔29#〕以基因信息處理為例，研究人員可以通過部分受試者的基因信息預測同一種族或民族中其他人的遺傳傾向。有研究表明，只需2%的人進行DNA檢測，就能識別幾乎所有其他人。〔30#〕在個人信息產生負外部性的情況下，個人信息主體可能會采取各種行動來避免個人信息損失的成本，如選擇不消費來避免所有的個人信息成本。如果任其發展，違法處理個人信息最終將破壞網絡生態系統賴以生存的數據資源，這將產生“公地悲劇”。如果這種趨勢發展到一定程度，消費者就會放棄互聯網，轉而選擇能更好地保護個人信息的線下活動。〔31#〕

2.通過內生機制防控負外部性

針對個人信息處理的負外部性難題，法律制度可以采取外在成本內部化的整體原則，通過個人信息的內生安全機制，約束或者禁止負外部性的產出。個人信息處理者通過自我治理與約束，主動承擔防控個人信息處理負外部性的義務，有利于塑造良好的商業信譽與公共形象。負外部性由個人信息處理者引起，自然可以通過個人信息處理者的自我規制和自我約束，充分發揮個人信息處理者的自我調節和自愈功能以克服負外部性。雖然個人信息在各個處理環節、動態變化的情況下解決其防竊取、防濫用和防誤用，相應個人信息安全的內涵和所需要的方法完全不同，但均可以從組織內部自我防控風險的視角進行系統性回應。內生安全機制要求個人信息處理者負擔更高標準的保護義務，特別是通過組織管理和技術措施實現公平、平等對待每一個體，保障個人信息主體在個人信息處理過程中的人格獨立和尊嚴，促使個人信息處理者成為值得信賴的角色，確保個人隱私的喪鐘不因大數據應用而敲響。

（二）從零和博弈到正和博弈

數字經濟是數據處理者、數據中間商、數據來源者等主體基于數據交易流通形成的互構共生性系統。個人信息處理者的自利性和支配地位會導致個人信息處理的“零和博弈”。個人信息處理者和個人信息主體之間的關系應當成為共益性關系而非零和博弈關系。通過外部監管觸達個人信息處理者的組織和技術層面，對個人信息處理者的“自利性”行為和支配性地位形成根本性約束，超越零和博弈界線跨越至正和博弈。

1.個人信息處理的零和博弈

從博弈的結果來看，有零和博弈和非零和博弈。零和博弈的結果是社會資源總量不變。非零和博弈包括正和博弈和負和博弈，正和博弈的結果是社會資源總量增加，負和博弈的結果是社會資源總量減少。〔32%〕個人信息處理者的收益是以犧牲個體隱私和自主性為代價，“彼之所得為我之所失”的零和博弈，導致個人信息主體信任喪失，用戶分享個人信息的積極性大大降低。個人信息主體與個人信息處理者之間的“零和博弈”，嚴重影響了數據的深度挖掘、分析、利用和交易。〔33%〕零和博弈通常采取一方壓倒或者取代另一方的策略，上述策略導致雙方的對策都處于不穩定和無法預期的狀態，博弈的結果會加劇兩者之間的緊張關系甚至產生對抗關系。〔34%〕個人信息處理者與個人信息主體二元對立的個人信息治理模式，進一步加劇了“零和博弈”。通過高額的民事賠償措施直接加大違法者的經濟成本，或者通過嚴厲的行政處罰增加違法處理者的機會成本實現上述目的，但上述措施會使二者走向此消彼長的零和博弈誤區，最終結果只能是“次優選擇”而非最優選擇。

2.通過內生安全機制實現正和博弈

個人數據是最有價值的數據，是大數據的基礎。〔35%〕數字信任是數字經濟健康可持續發展的壓艙石，個人信息內生安全機制是重塑數字信任的前提。以個體利益為中心的“零和博弈”無法為數字經濟的發展提供充足的原材料，在個人信息處理過程中并非最佳選擇。通過外部監督管理實現個人信息處理的內生安全機制，擊破個人信息處理的“零和博弈”規則，建構一種非對抗、合作、良性、正向的博弈關系。通過嵌入式治理和經設計的法律保護，使傳統合規解決沖突目標的零和范式轉變為正和范式。以互構的共生性系統為邏輯中介，通過公平合理利用個人信息增加數據收益，個人信息處理者和個人信息主體可以在正和博弈環境中實現共贏并共享數字紅利。

（三）構建個人信息處理秩序實現數據正義

防控風險不是個人信息保護的最終目的。通過約束個人信息處理行為，構建個人信息公平利用秩序，公平對待每一位個人信息主體，處理好利用和安全之間的矛盾，實現數據正義，是個人信息保護的終極目標。數字時代個人信息保護的根本問題在于，個人信息處理者有能力獲取大量原本無害的個人信息，并將其聚合成一種形式，從而對個人的自決和自主意識造成真正的損害。〔36#〕數據正義是人們因數據生產而被展示和對待的方式的公平性。控制個人信息處理者的數據權力濫用的風險，是個人信息保護法律制度的核心使命。〔37#〕監管機構基于防控公共風險的目的進行“穿透式”監管，通過監管督促個人信息處理者完善內控機制，通過處罰特定違法處理行為倒逼個人信息處理者在“組織”層面和“代碼”層面依法處理個人信息。個人信息處理者通過完善內控機制，完成從“將計就計的合規”“表里不一的合規”以及“以假亂真的合規”到實質合規的轉變，進而實現數據正義。

四、個人信息內生安全機制的制度設計

個人信息保護法是以原則性規定為主的法律體系， 個人信息保護規范很多是愿景性條款。〔38#〕個人信息保護的原則性規范應當通過個人信息處理者建立健全包括組織機構、合規制度和合規流程在內的個人信息保護合規體系實現。代碼層面的合規需要具體的人員落實，完善的內部組織機構和流程是突破個人信息合規堵點的前提， 是將個人信息保護義務和監管指令轉化為個人信息處理者內部合規流程和要求的中樞；個人信息保護影響評估是合規的方法論，具有承上啟下的作用，是發現產品、業務中違法處理個人信息、侵害用戶個人信息權益的工具；個人信息處理的“三同步”將個人信息保護義務嵌入代碼層面，是個人信息合規的最終落腳點。組織機構、個人信息保護影響評估和個人信息處理的“三同步”，并非各種監管工具的“規治亂燉”，而是通過組合、搭配互補建構了一套邏輯自洽的個人信息內生安全機制，將個人信息保護規范的“愿景性條款”落到了具體的產品和業務中。

（一）流程嵌入：組織機構

被規制者是實現規制目標的第一責任人，因此制度設計應當激勵個人信息處理者發揮自身資源優勢，開展自我治理。在開展自我治理過程中，個人信息處理者的內部組織機構是使外部的個人信息保護要求轉化為個人信息處理者內在需要的主導者。個人信息處理者建立健全內部治理結構，充分發揮法務部門的作用，是提升個人信息處理者安全保障能力的前提和基礎。

1.內部治理結構

就個人信息合規的內部治理結構而言， 可采取在個人信息處理者的領導層或者決策層主導下，法務部門在個人信息保護監督委員會或者個人信息保護負責人的監督下，將個人信息保護法的各項要求和監管指令進行細化并傳導至業務部門。以互聯網公司為例，法務部門督促業務部門合規的義務源于董事會組織義務，即董事會必須采取合適的措施，尤其是通過建立監督體系來及時發現威脅企業存續的狀況。個人信息處理者的決策層或者領導層需要制定按圖索驥式的個人信息風險管理流程，以合理削減其可能承擔的個人信息合規風險法律責任。

需要指出的是，大型互聯網平臺處理的個人信息數量眾多，是個人信息處理風險的主要來源。為有效防控風險，大型互聯網平臺應依照個人信息保護法第58條的規定設立個人信息保護監督委員會（以下簡稱委員會），并充分發揮外部獨立監督機構在個人信息處理合規中的監督作用。委員會是由大型互聯網平臺在內部依法自主設立， 對大型互聯網企業個人信息處理行為的合法性提供獨立、客觀、專業的監督意見的監督機構。委員會要對大型互聯網平臺企業個人信息保護的合規情況，以及企業對商業用戶的個人信息處理活動予以規范的合規情況進行監督、指導或提出建議和意見。〔39#〕

2.執行機構

法務部門是個人信息內生安全機制中起到最關鍵作用的一環。個人信息安全集軟件安全、網絡安全、算法安全、供應鏈安全等各要素在內，僅僅按照法律規則執行合規要求的單向管理模式已經無法適應個人信息全面安全狀態提升的需要，而應當在內部合規部門與技術研發部門的定性與定量協同中重組產品方向。〔40%〕個人信息內生安全機制要求充分發揮個人信息處理者法務部門的作用，法務部門依照個人信息保護法的各項要求對企業各項業務功能進行全方位的合規評估，提出具體的合規意見；業務和產品部門踐行“三同步”要求，按照法務部門的具體合規意見，在產品和服務的具體功能方面實施通過設計和默認設置保護個人信息， 將個人信息保護理念貫穿到個人信息的整個生命周期，以適當的技術和組織措施嵌入App、信息系統、設備終端、服務、技術等前置開發設計和生產制造中，并在信息處理的各個環節踐行最小數量、正當必要、有限訪問等基本原則。〔41%〕

3.監督機構

現行個人信息監督檢查包括現場檢查和非現場檢查兩種方式。非現場檢查的重點是通過技術手段發現和糾正個人信息處理者違法違規收集使用個人信息的行為，主要采取文本核查、試用驗證和技術檢測相結合的方式。現場檢查主要采取“專家評審、旁站觀察”的方式，很少觸及個人信息處理者的內部合規機制。為有效提升個人信息合規效果，個人信息監督檢查在檢測評估具體的個人信息處理行為時，應當增加現場檢查個人信息處理者的內部治理結構是否完善以及是否建立了個人信息處理內部的審核機制、巡查機制和風險管控機制。GDPR第57條通過賦予監管機構高度的自由裁量權，通過事前介入的方式，在充分了解個人信息處理者的產品或者服務、商業模式、個人信息處理情況的前提下，根據個人信息處理者的合規狀態和合規態度，能動地確定和變更執法策略。我國個人信息監管部門可以借鑒歐盟個人信息執法的經驗，根據不同的個人信息處理風險，為個人信息處理者設定不同的企業合規義務，并將個人信息處理者內部合規機制和風險管控的完備程度作為監督檢查頻次、處罰減免的考慮因素。〔42%〕

考慮到個人信息收集、分析與利用風險的動態性、復雜性，個人信息監管部門可以通過發布合規指引、技術指南等方式，指導個人信息處理者根據自身風險情況建立涵蓋技術架構、合規管理工具和流程、風險評估操作方案、數據安全監測預警與應急處置在內的合規機制。歐盟個人信息保護執法機構在與個人信息處理者提前開啟對話溝通的基礎上，根據GDPR第58條的授權制定動態的規制策略，根據個人信息處理者的合規情況和合規意愿，采取說服、警示到執法處罰等多層次的政策工具。〔43%〕為了提升防控個人信息處理風險的效果，提升個人信息處理者的安全保障能力，降低合規成本，我國個人信息監管部門可以建立個人信息風險評估平臺并向個人信息處理者開放。個人信息監管部門針對個人信息處理者的評估結果，結合風險類型與發生概率為個人信息處理者提供咨詢意見，指引個人信息處理者選擇適當的風險緩解工具，實現事前介入、防控風險的目的。

（二）價值嵌入：個人信息保護影響評估

個人信息保護影響評估是第一個被納入歐盟數據保護法的風險管理工具。〔44%〕GDPR第35條要求個人信息處理者在統籌考慮個人信息處理的性質、范圍、內容和目的，以及處理行為給自然人權利和自由帶來的風險的基礎上，評估個人信息處理的必要性和適當性，并根據評估結果采取不同的風險應對措施。個人信息保護影響評估屬于受強制的自我規制，是一種事前性的合規評估和風險評估程序。〔45%〕個人信息保護影響評估的關鍵作用是影響個人信息處理者內部組織行為的合規能力。通過評估，個人信息處理者可以及時、準確地掌握個人信息及其處理活動面臨的安全隱患，通過構造不同的風險治理規則納入內部決策之中，從自上而下的政府監管模式轉變為自內而外的自我執行模式。

1.擴展適用范圍

個人信息保護法第55條規定，個人信息保護影響評估適用于高風險的處理行為。風險的基本原理告訴我們，即使處理行為本身的風險低，但由于個人信息的量比較大，如收集存儲幾億用戶的個人信息，發生安全事件造成的損害亦會非常嚴重。GDPR并沒有將個人信息保護影響評估的范圍限定在高風險處理行為，而是在第35條第3款明確個人信息處理者在進行自動化決策、大規模處理敏感個人信息、處理與刑事定罪和起訴相關的個人信息以及在公共區域進行大規模的系統性監控時，尤其需要進行個人信息保護影響評估。識別風險并采取有效措施防控風險是個人信息處理的主線，個人信息保護影響評估不能僅限于高風險處理行為。借鑒GDPR第35條的規定，我國個人信息保護影響評估制度應當覆蓋全部個人信息處理行為，貫穿個人信息的整個生命周期。

個人信息保護影響評估作為一種風險預防手段和風險管理工具，個人信息處理者應當在處理個人信息之前便開始進行，通過預判個人信息處理過程中影響個體人格尊嚴、財產權益等可能性，分析個人信息面臨的被竊取、損毀的安全隱患，評估個人信息安全事件發生的可能性。個人信息保護影響評估不僅是一種持續防控風險的工具，也是一種公眾、專業人士參與個人信息保護的協同治理機制。為增強個人信息保護影響評估的效果，GDPR第35條第9款規定在適當情況下， 個人信息處理者應當將個人信息保護影響評估情況向個人信息主體或者相關代表征求意見。目前，我國個人信息保護影響評估制度缺乏向公眾強制披露的機制。〔46，〕為增強個人信息保護影響評估的透明度，我國個人信息保護影響評估應當明確在不影響個人信息處理者的商業秘密、操作安全以及公共利益的前提下，個人信息處理者應當公開個人信息保護影響評估報告，充分吸納各方意見，根據風險程度與采取措施的有效性，設計解決方案或者優化處理流程以消除或者減輕個人信息處理風險。

2.合規評估

個人信息保護影響評估的首要功能是合規檢驗。〔47，〕違法違規處理是個人信息處理的最大風險，合規評估的功能是對個人信息處理活動的重新校準。合法性、正當性、必要性是個人信息保護影響評估的首要考量因素。收集、存儲、傳輸、利用、銷毀等活動不滿足合法性、正當性和必要性的要求，個人信息處理者不得處理個人信息，而無須再考慮風險大小及其風險是否可控。合法性是指個人信息處理應當根據我國法律規定的原則、規則或者我國締結或者參加的國際條約、協定進行，不能違反法律的強制性規定；正當性是指處理個人信息的目的和手段應是合理的、具有正當性的，不得違背公序良俗。〔48，〕目的正當要求個人信息處理應當以增進個人利益或者社會公共利益為目的，手段正當要求個人信息處理應當以符合社會公眾期待的合理手段進行，個人信息處理者不得通過誤導、欺詐、脅迫等方式處理個人信息。必要原則要求處理個人信息的范圍、精度、頻率等方面不得超過合理限度。個人信息處理限定在必要的范圍內的原因在于算力增強導致“大數據”變為“小數據”，個人信息被濫用的門檻降低但危害后果更加嚴重。必要性可以最大限度地減少個人信息處理活動對國家安全、社會公共利益和個人信息權益的威脅。

3.風險評估

個人信息保護影響評估是基于風險路徑的制度安排，其意義在于將個人信息保護的價值更加結構化地嵌入處理活動中。〔49，〕影響個人信息安全風險的主要因素有兩個：一是個人信息的重要性；二是個人信息面臨的各種威脅。風險評估重點圍繞個人信息的重要性和面臨的各種威脅進行。個人信息的重要性主要從數量、種類、敏感程度等維度進行考量。通過評估個人信息的規模、范圍、種類和敏感程度判斷個人信息的價值進而確定個人信息被竊取、被濫用的風險程度。數據安全威脅包括內部人員竊取個人信息或者因過失導致個人信息泄露等內部威脅， 也有物理環境影響導致的個人信息毀損，技術因素導致個人信息泄露、丟失、被篡改等，管理不當引發的個人信息濫用等問題。風險評估在判斷個人信息的重要性、面臨威脅的基礎上，評估風險防控措施是否有效，最終判斷個人信息處理行為對自然人權利和自由以及公共利益、國家安全造成潛在危害的可能性。如果評估結果表明個人信息處理風險可控，個人信息處理者可繼續處理行為；如果風險評估結果表明個人信息處理的風險處于不可控的狀態， 個人信息處理者應當在處理之前向個人信息監管部門進行咨詢或者尋求技術指導，個人信息監管部門應當對個人信息處理者進行指導監督，直至風險處置措施足以防控處理風險。

（三）技術嵌入：個人信息處理“三同步”要求

個人信息處理“三同步”要求是指個人信息處理者在系統開發時，應當將個人信息保護要求嵌入產品或者服務的每項功能中，確保個人信息安全措施同步規劃、同步建設、同步使用。個人信息處理“三同步”要求是“通過設計保護個人信息”在中國語境下的法律表達。“通過設計保護個人信息”的前身是加拿大渥太華省信息與隱私委員會前主席安·卡沃基安提出的“通過設計保護隱私” 概念。〔503〕GDPR對通過設計保護隱私規則進行了創新， 將個人信息保護影響評估與通過設計保護隱私規則有機結合起來。GDPR第25條要求個人信息處理者在進行個人信息保護影響評估的基礎上，采取適當的技術措施和組織性措施，如匿名化、數據最小化等，以有效保護數據安全。

1“. 三同步”的功能價值

技術和應用創新的初衷是為了更好地服務人類生活，產品設計在此過程中發揮著關鍵作用。但是，數字技術在廣泛應用過程中也產生了很多與科技向善背道而馳的問題。部分App運營者為了追求商業利益或者獲取數據資源，在產品、服務、應用等設計環節以盡可能多地收集個人信息為導向。為了增強用戶黏性或者對用戶進行精準畫像， 對用戶個人信息進行過度和非必要的處理， 導致信息繭房、大數據殺熟、網絡成癮等亂象叢生。防控而非放任個人信息處理風險不斷攀升是個人信息處理“三同步”要求的核心理念。個人信息處理者可以從一開始就將個人信息保護的需求通過設計嵌入系統之中，成為系統核心功能的一部分，成為商業實踐的默認規則，給予個人信息全生命周期的保護。〔513〕

個人信息處理的“三同步”要求可以激活個人信息處理者內部的“自我規制”機制，增強其內部的組織控制和行為規范化程度，最終實現將抽象的個人信息保護原則動態地、合比例地落實到具體場景中的目標。通過制度設計使個人信息處理者作出內部式的、自我規制性質的回應，讓系統的開發者和制造者承擔更多保護用戶個人信息的職責， 從源頭上抑制科技傷害個人信息安全的能力。“三同步”要求有助于提升用戶對企業特別是互聯網企業的信任和信心。有研究顯示，更強的信任度可以使企業的利潤率增加。〔523〕從成本控制的角度來說，踐行“三同步”要求的個人信息投入成本主要集中在產品開發和產品設計階段，其后續的投入要遠遠低于傳統保護方式的成本。

2“. 三同步”的產品設計要求

個人信息保護是一項系統工程，需要綜合技術代碼、工作流程、管理機制等嵌入到技術應用、商業模式和網絡基礎設施的設計和運行當中。具體而言，個人信息收集、存儲、傳輸、挖掘與利用、對外提供以及銷毀等環節的保護需求應當從一開始就通過設計嵌入系統之中，確保安全防護措施貫穿于個人信息的整個生命周期。〔533〕開發、設計、產品等業務團隊應當與法務團隊、合規團隊相互合作，將個人信息保護要求嵌入產品或者應用的設計、開發、上線運行和更新等整個生命周期。個人信息處理的“三同步”要求不僅適用于新產品的開發、設計和運維，也適用于已經上線運行的系統。對沒有嵌入個人信息保護要求的老舊系統， 個人信息處理者應當遵循安·卡沃基安和瑪麗琳·珀爾瑟提出的隱私保護再設計理念，〔54+〕在評估現有系統不足的基礎上，通過“再設計”將個人信息保護要求嵌入、整合至現有系統中。

個人信息處理者事先需要考量個人信息處理的性質、范圍、目的以及實施成本等一系列因素，采取合適的技術措施，實現安全技術措施與風險程度相適應。個人信息處理者可以依據用戶對風險的好惡程度和承受能力對用戶進行“分類分級”，在產品設計中采取不同的預設機制，如向不同的用戶提供定向推送默認開啟或者默認關閉的功能設置。通過不同的“默認設置”構建方便用戶使用的用戶友好型環境，使風險承受能力不足的用戶得到“自動”保護。對風險承受能力較低的用戶而言，即便用戶沒有特地采取自我保護行為，其個人信息權益亦不致受到侵害；而風險承受能力強的專業用戶不受“個人信息保護默認功能”的限制，無須頻繁開啟各項隱私保護設置，從而能夠流暢地使用產品的各項功能。

3“. 三同步”的具體展開———以定向推送為例

個人信息收集環節。個人信息處理者應當在收集個人前進行充分地信息披露確保個人信息處理過程中的透明度。〔55+〕通過讓個人信息主體充分了解后臺處理的流程以及個人所面臨的風險，降低個人信息處理者與個人信息主體之間信息不對稱的程度，確保個人信息主體作出理性的同意決定。具體而言，個人信息處理者在通過個人信息處理規則詳細披露個人信息處理各個環節、個人信息主體的權利及其行使權利的方式、個人信息主體所面臨的風險以及救濟途徑、措施的基礎上，個人信息處理者應當定期公布自評估報告，將其處理過程中的風險及其處置情況向社會公示。在通過信息披露義務增加個人信息處理者的自我約束感的同時，個人信息處理者應當將個人信息保護作為自動化收集的默認規則，充分尊重用戶個人意愿，在用戶未明確表示同意時或者用戶未作出任何放棄個人信息的選擇時，收集、處理個人信息以及定向推送等選項應當處于默認關閉狀態。

個人信息存儲環節。個人信息存儲環節的共性難題是，在缺乏先驗知識的條件下，如何應對網絡空間基于未知漏洞后門、入侵等未知安全威脅引發的大規模個人信息泄露。〔56+〕為有效降低個人信息泄露風險，個人信息存儲應當遵循最小范圍、最短期限原則，即能通過共享個人信息實現處理目的的，應當采用在線共享而非存儲的方式進行處理；處理目的實現或者喪失處理的合法性基礎時，個人信息處理者應當及時刪除個人信息或者對個人信息進行匿名化處理。此外，個人信息處理者可以采取對存儲的個人信息進行匿名化處理、加密處理、用戶身份認證和權限控制、審計追蹤以及攻擊監測技術等，防止個人信息發生未經授權的訪問。以訪問控制為例，個人信息處理者必須確保在默認情況下個人信息不會被無限制地訪問。為有效隔離數據匯聚的風險，敏感個人信息與非敏感個人信息應當分開存儲，并對敏感個人信息進行加密處理；個人行為信息與身份信息應當分開存儲。最后，個人信息處理者應當建立健全個人信息安全應急處置機制，在發生個人信息泄露時，嚴格按照個人信息保護法第57條的規定履行個人信息泄露通報義務。

用戶畫像與定向推送。利用泛在網絡產生的數據關聯性（大數據根本特征）對潛在個體進行分析成為對個人權益最大的威脅。〔57+〕個體標識符是網絡環境對用戶分類的便捷工具，直接或唯一性標識符具有明顯的指示和關聯效果，是識別分析風險產生的“基礎”。〔58+〕在識別分析過程中，個人信息處理者應當保障個人信息主體對其生成“唯一標識符”的反對權，同時采取有效措施限制個體標識符的自由流通。個人信息處理者應當在個人身份信息和行為信息之間建立防火墻。以個人面部識別信息為例，基于身份驗證目的收集個人面部識別數據的，個人信息處理者不得關聯比對本人的行為、財產信息挖掘本人的隱私、心理特征、愛好、健康狀況、宗教信仰等；非基于身份驗證目的收集個人面部識別數據的，個人信息處理者不得關聯比對本人的其他信息確定個人主體身份。此外，個人信息處理者不得挖掘個人信息主體的個人隱私，特別是不得利用用戶的敏感個人信息進行個性化推薦。〔597〕最后，個人信息處理者應當為用戶提供便捷的關閉定向推送功能的選項。

個人信息刪除環節。除個人信息處理目的已實現或者不再必要以及存儲期限屆滿外，在個人信息主體終止服務或者個人注銷賬號，以及因使用自動化采集技術等，無法避免采集到非必要個人信息或者未經個人同意的個人信息時，個人信息處理者應當及時刪除已收集的個人信息。因技術原因導致個人信息無法刪除或者需要耗費巨大成本的， 個人信息處理者應當對個人信息進行封存處理，即不得開展除存儲和采取必要的安全保護措施之外的處理。就刪除范圍而言，除基于定向推送目的收集的原始數據外，也包括個人標簽、個人消費傾向和喜好等衍生數據。

結語

萬物互聯時代，技術創新將人類社會牽引至一個高度復雜且高度不確定性的時代。如何將數字技術這個威脅個人信息權益的最大變量轉化為最大的增量，是一個重大的時代命題。個人信息的內生安全機制，將法律與技術這兩條平行線推向合作交融進而形成個人信息保護的合力。監管不是管制，也不是簡單的管理或監督，監管是通過立法、執法活動而對市場活動主體及其行為進行約束、引導、規范的直接干預活動的總和。〔607〕個人信息安全的內生機制并不否認個人信息的行政監管，相反，合理而適度的執法威懾水平顯得尤為關鍵。隨著威懾水平的提高，個人信息保護責任履行得更到位，個人信息處理者會適當提高其預防成本，從而減少個人信息受侵害帶來的社會凈損失。

本文系國家社科基金重大項目“網絡空間政策法規的翻譯、研究與數據庫建設”（項目批準號：20&ZD179）的階段性研究成果。