华政学报 | 吴泓 信赖理念下的个人信息使用与保护
作
者
简
介
吴泓 浙江大学光华法学院讲师,法学博士。
目 次
一、问题的提出
二、“理性人”理念下个人信息使用与保护的平衡
三、“理性人”理念的理论反思
四、“信赖”理念对个人信息使用与保护的再平衡
五、结语
摘 要 现行的个人信息保护法律规范,以“主客体二元对立”思维下的“理性人”理念为指引,通过强调个人信息主体的自主支配、自主决断和自己责任,来平衡个人信息的使用和保护。为此,个人信息保护法律规范的整体功能,主要限于确保信息主体自主控制的实现,以及保护他们免受可举证证明的非法侵害。但是在大数据时代,个人信息保护的“理性人”理念面临着诸多困境,如“信息决策困境”、“控制权失衡”问题、“责任配置错位”问题、“损害制度失灵”问题、“安全感困境”以及“信赖缺失”问题。这导致个人信息保护法律规范内含个人信息主体和个人信息控制者之间的紧张对立关系,难以有效增强他们之间的互信。为了促进信息社会的可持续发展,个人信息保护立法应该更新理念,构建一个在“信赖”理念指引下的信义义务制度,以作为对现有制度的补充。
关键词 个人信息 理性人 信赖 信赖关系 个人信息权
一、问题的提出
在大数据时代,我们为了过正常的现代生活,不得不与个人信息控制者(以下简称“信息控制者”)共享个人信息。每天,超过九亿人使用“微信”进行网络社交活动;“百度”处理超过五十亿次的信息搜索;“美团外卖”完成超过一千万次的订单量。我们的这些网络信息活动,都会留下信息痕迹,透露我们的人格特征,勾勒我们的人格形象。即使我们没有主动透露重要的个人信息,大数据算法也可以通过整合不同数据库中的信息,来猜测并自动识别特定个人。弱势的我们,已将自己的脆弱性暴露给了强势的信息控制者,因个人信息的披露和使用而易受非法侵害。在大数据分析的背景下,我们不仅容易遭受信息非法泄密的侵害,而且还容易遭受信息滥用、歧视和信息操纵的侵犯。例如,我们的信用卡的授信额度可能会因公司欠薪而被自动降级;我们的保险申请可能会因家庭成员得了癌症而被自动拒绝;老年人可能会在易受操纵的脆弱时刻,接受电商平台的推销,购买了本不需要的产品。可见,信息使用和保护的平衡问题,是大数据时代的重大现实问题。
现行的个人信息保护法律规范,以“主客体二元对立”思维下的“理性人”理念为指引,通过强调个人信息主体(以下简称“信息主体”) 的自主支配、自主决断和自己责任,来平衡个人信息的使用和保护。为此,个人信息保护法律规范的整体功能,主要限于确保信息主体自主控制的实现,以及保护他们免受可举证证明的非法侵害。同时,现有学说也体现出“理性人”理念的倾向。但是,在大数据时代,个人信息保护的“理性人”理念面临着诸多困境。首先,信息主体的“理性人”假定,面临着“信息决策困境”。这导致信息主体做出知情的理性决策的实际能力远未达到个人信息保护法理论所预设的程度。其次,在大数据时代,信息主体日益丧失对个人信息的自主控制权;而强大的大数据算法和人工智能却使得信息控制者变得越来越有权力。这使得“理性人”理念面临着严重的“控制权失衡”问题,并进而导致了法律责任的不当配置。再次,个人信息保护法律规范,只保护信息主体免受可举证证明的、针对特定个人的、可辨识的非法侵害。但是在大数据时代,许多信息损害在本质上是累积性的。这导致信息损害制度无法有效地实现其预防功能。复次,信息主体虽然无法清晰勾勒出针对特定个人的可辨识的损害,但能感知对个人信息和隐私的威胁的存在。这种“安全感困境”,会束缚社会成员间的信赖和社会互动的意愿,阻碍人格自由发展。最后,“理性人”理念抹去了具有“社会性”和“感性”特征的“信赖”,致使个人信息保护法律规范内含信息主体和信息控制者之间的紧张对立关系,难以有效增强他们之间的互信,甚至可能会阻碍信息社会的可持续发展。可见,信息使用和保护的平衡问题,亦是大数据时代的重大理论课题。
如何在理念和制度建构的双重层面,弥补“理性人”理念的这些内生缺陷,以更加有效地平衡个人信息使用和保护?这是本文欲论证的核心问题。为此,本文将首先阐明,现行的个人信息保护法律规范以“理性人”理念为其理论预设,且现有学说也体现出“理性人”理念的倾向。然后,本文对大数据时代下“理性人”理念的内生缺陷进行阐述和分析。在此基础上,本文提出了“信赖”理念的构想及其具体制度建构,并论证了该理念如何弥补“理性人”理念的这些内生缺陷,以期在制定统一的个人信息保护法的当下能够借此助推个人信息保护立法的理念和制度的完善。
二、“理性人”理念下个人信息
使用与保护的平衡
我国个人信息保护法律规范,以“理性人”理念为理论预设,通过强调信息主体的自主支配、自主决断和自己责任,来平衡个人信息的使用与保护。“理性人”,是指近现代私法所构建的,被抹去社会性和感性特征,“具有充分理性和意思、自律性开拓自己命运的经济人”。作为独立个体的、理性的信息主体,在知情的前提下,能够就是否同意他人收集、使用和流转个人信息做出自身利益最大化的决策,并为此承担所有的责任。换言之,“理性人”理念,将个人信息问题视为个人控制、个人选择和个人责任的问题。为此,个人信息保护法律规范的整体功能,主要限于确保信息主体自主控制的实现,以及保护他们免受可举证证明的非法侵害。
个人信息保护的“理性人”理念,植根于近现代人本主义和理性主义哲学思想。集启蒙思想之大成的康德,在其《纯粹理性批判》和《实践理性批判》中,从纯粹理性出发,宣告“人为目的”,崇尚人格尊严。人,被抽象掉肉身性和社会性,成为纯粹的理性之人、精神之人,并因此超越世间万物和自身,成为一切的主宰和目的性的存在。这种理性的存在,将世界和自身客体化为自己的对立面,实现对世界和自身的控制。因此,个体以权利为中介对人格形象的自主控制,便是对其主体地位的确认和维护。当将人贬为一种客体、工具或手段时,人之所以为人的价值即被侵害。人之所以为人的价值,即人格尊严,意味着人必须受到他人的尊重。“人格标识的完整性与真实性是主体受到他人尊重的基本条件”。而个人信息标识人格,勾勒人格形象。因此,任何个人信息都具有保护的价值;任何扭曲都是对人格尊严的侵害。
为此,“理性人”理念,强调通过权利模式来建构个人信息保护法律体系。这意味着行政干预或司法干预的目的,在于保护信息主体的信息自主支配和自主决断的权利免于公权力和第三人的不法侵害。在“理性人”理念的指引下,个人信息保护法律规范,以两大宪法基本权利——人格尊严和人身自由——为出发点和价值追求,并以此来统摄个人信息保护的部门法规范。以知情权和决定权为主要内容的个人信息权是“理性人”理念在民法中的规范表达,而以“知情”和“同意”为核心的程序性规则(以下简称“‘知情同意’规则”)以及“个人信息保密权利”则是该理念在行政法和刑法中的具体体现。这些部门法权利及其规则之间,主要通过解释论加以衔接和协调。
以《民法总则》第111条为例。该条分为两句:前一句确立了个人信息权的法律基础;后一句强调了个人信息权的对世性,并从正反两方面明确了个人信息收集和利用的规则。其中,个人信息权,作为一项独立的具体人格权,体现了信息主体对个人信息的自主控制。为了平衡弱势信息主体的信息保护和强势信息控制者的信息利用,法律赋予信息主体以知情权和决定权。对个人信息权的侵害主要是指对信息主体的知情权和决定权的侵害。在“孙旭东与平安银行股份有限公司深圳市鑫富源投资咨询有限公司隐私权纠纷一审民事判决书”中,法院认为,“被告鑫富源公司为更加精准地开发目标客户,未经原告同意,擅自使用应用软件筛选、调查原告的个人信息,违反了‘告知与许可原则’的规定。”同时,该条款还明确了侵害个人信息权的表现形式,即非法收集、使用、加工、传输、买卖、提供和公开。其中,“非法”主要是指,违反法律和行政法规的强制性规定、“知情同意”规则或者公序良俗原则。例如,个人信息的非法收集和使用,可以被解释为信息的收集和使用违反《网络安全法》第41条中的“合法、正当、必要的原则”以及“知情同意”规则,即“公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。基于此种解释,在“北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷二审民事判决书”中,法院认为:“OpenAPI开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。”但是,个人信息的买卖,因违反诸多行政法律规范所规定的保密义务而被法律推定为非法。《民法总则》第111条和《网络安全法》第44条关于禁止非法买卖(出售)个人信息的规定,与《刑法修正案(九)》所规定的“侵犯公民个人信息罪”相衔接。该罪制裁违反法律和行政法规,出售或者提供个人信息的犯罪行为。其成立的前提是犯罪行为具备行政违法性,而犯罪客体是信息主体的信息自由和安全,即“个人信息保密权利”。该权利对应的是诸多行政法律规范中信息控制者对信息主体所负的保密义务。“侵犯公民个人信息罪”,推定信息的出售或者提供并未获得知情的信息主体的明确授权,因而构成对信息主体的个人信息保密权利的侵犯。
“理性人”理念,将个人信息问题视为个人控制、个人选择和个人责任的问题。为此,个人信息民事法律规范,只保护信息主体免受可举证证明的非法侵害;而个人信息行政法律规范,强调对信息风险的结构性配置。
首先,依据个人信息民事法律规范,对个人信息权的损害必须在法律上具有可补救性和确定性。信息控制者一般不对个人信息的轻微损害或不确定的损害承担法律责任。精神损害必须达到“严重”程度,信息主体才能请求精神损害赔偿。因此,个人信息的一般侵权损害规则,是以事前震慑、事后补偿损害为设计初衷,而非以鼓励信息主体与信息控制者间的信赖为功能目标。在大数据时代,信息主体往往因为难以举证证明存在针对特定个人的可辨识的损害而败诉。例如,在刘春泉与工行上海分行侵权责任纠纷再审案中,上海市高级人民法院以工行上海分行向再审申请人刘春泉发送商业短信的行为不足以构成对手机及其存储空间等“财产上的贬损”为由裁定驳回再审申请,尽管刘春泉主张“个人信息权受损本身就是不显性化的”。再例如,在以数据安全保护措施缺失为由提起的诉讼中,法院虽然可能认可这会大大增加个人信息遭受侵害的可能性,以及潜在的受害人范围的广泛性,但是往往会因举证不能而判决原告败诉。只有在极少数的特殊情形下,法院可能会根据“所获利益视为损失”的规则,推定损害的存在并确定赔偿数额。
其次,行政法中的“知情同意”规则,强调对信息风险的结构性配置。全国人民代表大会常务委员会《关于加强网络信息保护的决定》第2条和第7条、《网络安全法》第41条和第42条以及《消费者权益保护法》第29条,均对“知情同意”规则作出了明确的规定。该规则旨在赋权予个体,将个体放在信息决策的中心,推定个体能够独立管理自己的个人信息。因此,其原则上对信息收集、使用和流动的具体方式保持中立,而主要关注信息主体是否做出了授权。也正因此,该规则是对信息风险的结构性配置。个人信息保护的责任最终主要落在了个体的身上。只要信息主体是在知情的前提下自主授权信息的收集和使用,信息控制者便被推定已遵守了“知情同意”规则。在网络信息情境下,信息控制者为遵守“知情同意”规则,通常采取公开隐私政策和提供授权选项的标准化模式。
需要强调的是,相较于美国信息隐私法,我国法就个人信息的收集、使用和流动采取了更为严格的规定。根据我国法的规定,未经信息主体同意,信息控制者不得收集、使用和提供个人信息;而在美国法下,在未被认定为“未经同意”之前,信息的处理是合法的,即使可能存在操纵和胁迫的情形。我国法要求信息的收集、使用必须要有法律依据,即遵守合法原则;而在美国法下,只要法律没有明文禁止,信息的处理一般是被允许的。再者,我国法通过正当原则和必要原则对个人信息的收集和使用作了进一步的限制。个人信息的收集和使用在本质上是对作为具体人格权的个人信息权的限制。这种限制只有符合正当原则和必要原则,才可能是被允许的。正当原则,是指信息收集和使用的方式符合商业目的;而必要原则,要求信息收集和使用必须以实现特定目的的“最小必要”成本和损害为限。可见,在平衡个人信息的使用和保护时,我国法更强调信息安全和人格尊严的重要性,而美国法更崇尚信息自由和利用的价值。
现行的个人信息保护法律规范以“理性人”理念为理论预设,现有学说也体现出“理性人”理念的倾向。王利明教授主张“以私权保护为中心制定个人信息保护法”,“鼓励对个人信息进行自我管理”。杨芳老师认为,“个人信息自决权之思想可视为个人信息保护法的理念基础”。谢远扬博士主张我国可以通过一般人格权来保护个人信息自我决定权能。齐爱民教授借鉴国内外信息保护法基本原则,提出我国个人信息保护法的基本原则。这些基本原则,建基在“理性人”理念之上。其中,知情同意原则和政策公开原则,强调信息主体的自主支配和自主决断。目的明确原则、目的限制原则、信息品质原则、安全原则和禁止泄露原则,建立在知情同意原则的基础上,是对信息主体自主支配和自主决断的进一步保护。例如,目的明确原则,要求信息控制者必须在事前明确信息利用的目的并获得信息主体对该目的的同意;目的限制原则,要求信息的收集和使用必须限于信息主体所同意的信息利用目的;而信息品质原则,要求信息控制者必须确保收集和使用的信息在信息利用目的的范围内的完整、准确和时新。安全原则和禁止泄露原则,要求信息控制者信守信息保护的承诺。张新宝教授提出“两头强化,三方平衡”理论,建议通过类型化个人信息,实现敏感信息保护和一般信息使用之间的平衡。其认为,虽然个人敏感信息需要强化保护,但是“信息主体明确同意”是其例外情形。其还提出“去个人化的信息处理与利用”。信息匿名化处理,是信息主体自主控制的必要条件。范为博士建议我国借鉴“欧美改革法案中‘场景’与‘风险’导向的路径”。依据该路径,信息控制者以“在相应场景中合理”的标准收集、使用和流转个人信息。若出现不合理情形,信息控制者需要进行“隐私风险评估”,并“采取适当的手段降低风险”。“适当的手段”,主要是指强化信息主体的自主控制的措施,即“提供增强性披露及用户控制机制”。齐爱民教授、张新宝教授和范为博士关于我国个人信息保护法的立法建议,均借鉴了欧盟《数据保护通用条例》的基本原则和核心制度。2016年修订后的《数据保护通用条例》 仍然深受“理性人”理念的影响,以赋权信息主体为其核心理念。
三、“理性人”理念的理论反思
(一)“理性人”理念的现实困境
1. 信息决策困境
个人信息保护的“理性人”理念,预设理性的信息主体在知情的前提下,有能力就是否同意他人收集、使用、流转和披露信息做出自身利益最大化的决策。但大数据时代的到来,侵蚀着这个理论预设。研究表明,信息主体的“理性人”假定,面临着“信息决策困境”。这导致信息主体做出知情的理性决策的实际能力远未达到个人信息保护法理论所预设的程度,大大削弱了“知情同意”规则的实效。
(1)内部性决策困境。内部性决策困境,关注影响信息主体信息决策能力的内部因素。信息主体的“有限理性”,限制了其记忆和处理信息的能力,使其在复杂的大数据情境中不得不依靠近似策略和简化的心理模型来做出信息决策。美国学者为此提出了简化、冗长、难懂的隐私政策的建议。但是,由于大数据情境下个人信息问题的高度复杂性,信息控制者往往很难通过简单易懂的隐私政策向信息主体进行足够详细的解释说明,以确保其充分知情。信息主体的认知受到“框架效应”的限制。同一个问题的不同表达,会影响其对该问题的判断。信息主体的决策显现“重复效应”。信息控制者频繁的信息授权请求,会让信息主体变得麻木并不假思索地点击“同意”选项。 信息主体受到“可得性启发”的影响,往往会错误地认为熟悉的信息风险比不熟悉的风险更可能变成现实。信息主体存在“自我催眠”的问题。其往往在感觉自我掌控的时候,更愿意分享个人信息,也更愿意承受信息风险,无论这种自控是否真实存在。同理,信息主体在自认为已充分知情的情况下,会忽略强制性信息披露的内容。信息主体受到“认可偏见”的影响。社交平台上的信息主体,倾向于认可自己喜爱的言论而忽视反对观点。这导致两极分化群体的形成。信息主体还面临“短视困境”。其经常为了眼前的利益而忽视将来的危害。这使得多数关于是否同意收集、使用和披露信息的决定都与短期利益相关。依据个人信息保护法律规范的要求,信息主体在刚开始收集个人信息的时候便要做出是否同意收集的决断。例如,信息主体在手机上安装具有职场社交功能的“脉脉”软件时,必须要点击同意《脉脉服务协议》。依据该协议的约定,“用户一旦注册、登陆、使用脉脉服务将视为用户完全了解、同意并接受淘友公司通过包括但不限于收集、统计、分析、使用等方式使用用户信息”,并且“用户对淘友公司的前述明确同意是不可撤销、基于其自身真实意思表示的授权”。协议还约定,虽然“用户关闭账号或者停止使用脉脉服务”,“此前经用户同意和授权对用户信息的一切使用行为,仍然合法有效”。但是,许多信息损害在本质上是累积性的。信息主体可能陆续地同意各种形式的信息收集、使用和流动,而未遭受任何可识别的侵权损害。因为在这个阶段,信息损害可能是非常细微的。但是,随着时间的推移,以及个人信息的不断整合和再使用,损害可能会在将来的某个时点,出现在下游的使用过程中。
(2)外部性决策困境。信息主体在考虑是否同意信息控制者收集、使用和披露个人信息时,严重受到外部因素的干扰。首先,信息主体面临“共享困境”。在大数据时代,信息主体不得不与信息控制者共享个人信息,来过正常的现代生活。例如,要想享受网上订餐平台“美团外卖”所带来的便捷生活,信息主体必须允许“美团外卖”收集和使用自己的个人信息。其次,信息主体面临“数量困境”。在大数据时代,信息主体需要和非常多的信息控制者打交道。但是,理性的信息主体没有那么多时间和精力,来处理与众多的信息控制者之间的关系。他们需要耗费极大的成本才能阅读完所有访问过的网站上的隐私政策。因此,大多数的信息主体不会去阅读隐私政策,自然对隐私政策的内容也不会知情。 最后,信息主体面临着“智能困境”。大数据分析可以将不同数据库中的零散信息整合,来识别特定个人。即使信息主体从未透露过任何敏感信息,大数据算法也可以通过整合不同数据库中的非敏感信息,或者从已知信息中推断出敏感信息,来猜测并识别特定个人。这使得信息主体无法准确判断自己的信息决策在将来会产生何种影响。当然,人们经常在存在众多不确定性因素的情况下做出风险决策,但是他们经常出错。
2. 控制权失衡和责任配置错位
“理性人”理念,面临着严重的“控制权失衡”问题。该理念,强调信息主体对自己的个人信息的自主控制和自主决断。但是在大数据时代,信息主体日益丧失对个人信息的自主控制权;而强大的大数据算法和人工智能却使得信息控制者变得越来越有权力。首先,信息主体所面临的“信息决策困境”,严重限制了其做出理性的信息决策的能力。其次,信息主体缺乏对个人信息自主控制的“话语权”。信息主体为了过正常的现代生活不得不与信息控制者共享个人信息;即使信息主体没有主动共享个人信息,大数据分析也可以通过互联网上海量的信息,猜测并自动识别特定个人。再次,信息主体和信息控制者之间存在严重的“信息不对称”问题。信息控制者拥有海量的个人信息数据,很容易监控信息主体;而信息主体对个人信息的收集和使用的具体情况却知之甚少,很难监督信息控制者。最后,弱势的信息主体,将自己的脆弱性暴露给强势的信息控制者以及从信息控制者处获取个人信息的第三人,因个人信息的披露和使用而易受非法侵害。
这种“赋权”假定与“失权”事实之间的背离,导致了法律责任的不当配置。“理性人”理念,强调信息主体的自己责任。因此,该理念下的个人信息保护法律规范,将信息风险结构性配置给信息主体。信息主体应该自己保护好自己,并且为自己的信息决策承担所有的法律责任。但是,在大数据时代,“理性人”理念,面临着严重的“控制权失衡”问题。在此理念指引下的个人信息保护法律规范,错误地让缺乏真正自主控制权的信息主体承担起最多的法律责任,而让最能有效防范损失风险的信息控制者在遵守程序性规定并取得信息主体的授权之后便可免责。借用损失分担理论的原理,信息泄密、滥用、操纵和欺诈的损害风险应该以最符合经济效率的模式进行配置。为此,信息风险应该主要由风险分散和承受能力最强并且能以最少的成本降低信息风险的信息控制者来承担。这有助于激励强势的信息控制者采取更有效的措施来避免信息泄密、滥用、操纵和欺诈。
3. “损害制度失灵”与“安全感困境”
“理性人”理念,将个人信息问题视为个人控制、个人选择和个人责任的问题。因此,个人信息保护的民事法律规范,只保护信息主体免受可举证证明的、针对特定个人的、可辨识的非法侵害。但是在大数据时代,许多信息损害在本质上是累积性的。在很长的一段时间里,信息主体可能陆续地同意各种形式的信息收集和使用,而未遭受任何可识别的侵权损害。因为在这个阶段,信息损害可能是非常细微的、分散的和难以证明的。这导致信息损害制度无法有效地实现其预防功能。本文将这种损害制度的局限性与大数据侵权的特殊性之间难以协调的问题,称为“损害制度失灵”。
信息主体虽然无法清晰勾勒出针对特定个人的可辨识的损害,但能感知对个人信息和隐私的威胁的存在。这种“安全感困境”,会束缚社会成员间的信赖和社会互动的意愿,阻碍人格自由发展。“语境完整性”隐私理论,对个人信息损害规则的僵化和对安全感的无视进行了批判。该理论认为,这种不安感可能便是隐藏着的个人信息侵权行为的明证。由社会规范和制度构成的精细化的法律制度体系,规制着不同的社会语境下的个人信息的流动。未遵守“与语境相关的信息规范”的个人信息利用行为,构成对隐私权的侵犯。“语境完整性”隐私理论对此观点进行了如下论证。社会由很多独立的分配领域所组成,每一个分配领域由该领域的社会资源所界定。这些社会资源包括教育、财富、安全、福利、荣誉、政治等。在这些社会资源的浸润下,特定社会群体形成了自己的共同感知和共同预期。这些共同感知和共同预期,是“与语境相关的信息规范”的重要组成部分。特定社会群体的不安感受,在特定的语境下,潜藏着个人信息侵权行为。
(二)“理性人”理念的信赖缺失
信赖,是大数据时代的核心特征。在互联的信息社会中,每个人的正常生活都离不开与其他法律主体共享自己的个人信息。这往往意味着信息主体的脆弱性被暴露给他人。因此,可持续发展的信息收集、使用和流转,需要信息主体与信息控制者之间的信任和依赖。信赖创造巨大的社会价值。它化解消费者对经营者的猜忌,促进商业的蓬勃发展;它增强政府的公信力,降低民众对政府监控个人信息的担忧;它消除信息社会中成员间的不信任,增强社会互动,弥合社会裂痕,促进人格自由发展。
但是,在人本主义和理性主义哲学思想下,“理性人”被分割为原子化单体,放置于“主客体二元对立”秩序中,为实现自身利益最大化的自利需求,与其他主体相互对抗。换句话说,“理性人”的构建,抹去了具有“社会性”和“感性”特征的“信赖”,将现实中本来与他人和社会紧密联系的“完整”的人,塑造为与他人和社会分离和对立的理念人。以此为价值追求的个人信息保护法律规范,忽视信息社会中信赖的日益重要性,内含信息主体与信息控制者间的紧张对立关系,难以有效增进他们之间的互信。信息主体所面临的“安全感困境”就是明证。“理性人”理念,视信息主体和信息控制者之间的关系为零和游戏。信息主体的收益被视为信息控制者的损失。商业机构为了利润最大化,可能会不惜牺牲信息主体的个人信息权益,无底线地收集并使用个人信息。虽然个人信息保护法律规范的功能在于归置和调和信息主体和信息控制者之间的对抗关系,但是却又无法有效地解决他们之间的利益冲突。以大型科技公司为例。大型科技公司(例如百度、腾讯和北京奇虎)具有相似的商业经营模式。它们通过免费的基础网络服务来吸引并做大个人客户群,并且建立起庞大的数据库。在此基础上,它们通过增值服务收费和广告服务收费来盈利。当然庞大的数据库本身就是巨大的财富。此类公司的真正金主,不是享受免费服务的个人用户,而是那些广告商和投资者。这种利益冲突,可能会令公司以牺牲信息主体的个人信息权和隐私权为代价换取利润最大化。例如,腾讯在信息主体不知情的情况下,通过QQ软件查看信息主体在电脑中存储的个人浏览信息。但是,信息主体的信息损害往往是非常细微的、不确定的和难以证明的。“理性人”理念下的个人信息侵权损害规则无法对此予以有效救济。
对于“理性人”理念的缺陷,诸多哲学家进行了批判和反思。他们试图将“理性人”还原为“完整”的人。例如,哈贝马斯的交往理性理论,从“主体间性”角度,试图将被抽象掉的理性人还原为社会性存在的个体,强调理性之间的互动。依据该理论,在社会关系中,个体与其他个体既相互独立,又相互共存。在个人信息保护领域,“完整”的信息主体的返场,呼唤个人信息保护立法对信息主体和信息控制者之间的“信赖”予以确认。
四、“信赖”理念对个人信息使用
与保护的再平衡
(一)“信赖”理念的理论表达
个人信息保护的“信赖”理念,借鉴信赖理论和信义法。信赖,是指因信任并依赖他人而愿意将自己的“脆弱性”暴露给他人的心态。它使得信息主体愿意在存在背叛的风险下仍与信息控制者共享个人信息。涉及信赖概念的法律制度有很多,例如公司法中的董事信义义务制度和信托法中的受托人信义义务制度等。在“信赖”理念下,信息主体和信息控制者之间存在互利、互信的“信赖关系”,即在信赖的基础上,通过共享个人信息而建立起来的信息主体与信息控制者之间的法律关系。信赖只有在相互获益的关系中,才会发挥最大的功效。
“信赖”理念,预设信息主体日益丧失对个人信息的自主控制权。在大数据时代,信息主体面临“信息决策困境”,缺乏对个人信息自主控制的“话语权”,并存在严重的“信息不对称”问题。“信赖”理念,还预设个人信息的共享会使信息主体变得易受侵犯。在大数据分析的背景下,信息主体不仅容易遭受信息非法泄密的侵害,而且还容易遭受信息滥用、歧视和信息操纵的侵犯。基于此种预设,“信赖”理念,假定信息主体和信息控制者因共享个人信息而产生的“信赖关系”,内含一定程度的信任和依赖。 换句话说,每一个“信赖关系”都会涉及一定程度的信赖,或者对信息风险的容忍。“信赖”理念,通过强调具有“社会性”和“感性”特征的“信赖”,将与他人和社会分离和对立的“理性人”还原为与他人和社会紧密联系的“完整”的人。因此,“信赖”理念,有助于信息主体和信息控制者建立起长期稳定的、互利互信的“信赖关系”,促进信息社会的可持续发展。
在“信赖关系”中,信息控制者对信息主体负有信义义务,包括忠实义务和勤勉义务。“信赖关系”中的信义义务制度,有助于避免信息控制者的“道德风险”,即为了自身利益而牺牲信息主体对个人信息所享有的利益。同时,该制度有助于确保信息控制者的信息使用行为符合信息主体基于信赖而产生的合理预期。信义义务制度,提供了个人信息保护的另一种愿景,避免了“理性人”理念下的个人信息保护法律规范所面临的信息主体日益丧失对个人信息的自主控制权的困境。可持续发展的“信赖关系”所必需的信赖应该是个人信息保护法律规范的一个实质性价值追求;而信息控制者的信义义务体现了这一实质性价值追求。
(二)“信赖”理念对“理性人”理念的修正
“信赖”理念,并不是对“理性人”理念的替代,而是完善。首先,“信赖”理念有助于缓解“理性人”理念所造成的信息主体与信息控制者之间的紧张对立关系,增进他们之间的互信,促进信息社会的可持续发展。与“理性人”理念不同,“信赖”理念,预设信息主体日益丧失对个人信息的自主控制权,视信息主体和信息控制者之间的关系为建立在信任和依赖基础上的“信赖关系”。“信赖”理念,通过强调信息主体和信息控制者之间的信任和依赖,将与他人和社会分离和对立的“理性人”还原为与他人和社会紧密联系的“完整”的人。其次,“信赖”理念下信义义务制度的引入,可以使背信行为在缺乏确定的侵权损害的时候具有可诉性。这有助于解决“理性人”理念的“损害制度失灵”问题。信义义务制度的引入,还可以更加明晰信息控制者对信息主体的法律责任。法律确定性,反过来激发个人用户和投资者对商业机构的信赖以及投资意向。再次,“信赖”理念,有助于解决“理性人”理念所面临的控制权失衡和责任配置错位的问题。“信赖”理念,主张个人信息保护法律规范应该让最能有效防范损失风险的信息控制者——特别是具有数据垄断地位的商业机构——承担起更多的法律责任,而不是怪责那些弱势的、缺乏真正的信息自主控制权的信息主体自己没有保护好自己。复次,“信赖”理念,避免了信息主体的“理性人”假定所面临的“信息决策困境”。根据“信赖”理念,除了法定的保密义务之外,即使存在信息主体的信息使用授权,信息控制者也不得将自己的利益凌驾于信息主体的利益之上。最后,“信赖”理念,有助于解决“理性人”理念下信息主体的“安全感困境”问题。忠实义务,通过强调把信息主体的信息权益放在信息控制者的短期利益之上,激励信息控制者将目光放在维护长期稳定的“信赖关系”上。换言之,忠实义务,通过熄灭不当动机来抑制不当行为。这有助于消除信息主体对大数据分析的恐惧和担忧,促进信息披露和社会互动,推动人格自由发展。社会渗透理论认为,隐私是选择性地控制对自我的访问。该理论主张,关系的紧密程度取决于互惠的信息披露的频率以及相互披露所造成的脆弱程度。换句话说,“信赖关系”的质量是由信息主体和信息控制者双方用信息披露换取信任的程度来界定的。因此,“信赖”理念下的信义义务制度,可以有效地激励信息控制者主动披露其为保护个人信息而采取的各种实质性和程序性的措施,特别是信息风险管理和信息治理的状况。良性的社会互动,可以促进可持续发展的、互惠互利的“信赖关系”的形成。
(三)我国采取“信赖”理念的可行性
“信赖”理念,弥补“理性人”理念的不足,有助于更加有效地平衡个人信息使用和保护。我们必须承认,“信赖”理念,因借鉴信义法及其理论而与我国法律体系之间存在一定的兼容性问题。但是,特定法律机制的构建,往往是在特定社会时期为解决重大现实问题应运而生的。我国立法虽然尚未明确信义法,但是已在具体的部门法中吸纳了相关制度,例如公司法中的董事信义义务制度和信托法中的受托人信义义务制度等。我们不能因为追求逻辑体系的完美性而忽视了解决重大现实问题的迫切性。本文认为,我国个人信息保护立法创设“信赖”理念指引下的信义义务制度的主要障碍,不是法律逻辑体系的完整性,而是判断标准的明确性,特别是“依据一定的人格形象来就所面临之问题得出结论”的“合理人”标准的构建和司法适用。但是事实上,为解决现实问题,“合理人”标准已经隐藏在解释论中,出现在司法解释和司法判例之中。在最高人民法院《关于适用〈中华人民共和国合同法〉若干问题的解释(二)》第19条中,为解决“明显不合理低价”转让而规定的“交易当地一般经营者”,便是对“合理人”标准的具体化。同时,“合理人”标准的适用,还出现在公司董事勤勉义务的司法判例中。例如,在陈春华等与吴小虎公司董事损害公司利益赔偿纠纷上诉案中, 法院认为:“所谓勤勉义务,又称善管义务、注意义务,是指董事、监事、高级管理人员应当诚信地履行对公司的职责,在管理公司事务时应当勤勉谨慎,须以一个合理谨慎的人在相似情形下所应表现的谨慎、勤勉和技能履行职责,要采取合理的措施,以防止公司利益遭受损失,为实现公司最大利益努力工作。”概而言之,我国法律制度的弹性和法官的司法能动性,为个人信息保护立法吸纳“信赖”理念创造了条件。
(四)“信赖”理念下的制度建构
“信赖”理念下的制度建构需要就以下几方面作出回应:“信赖关系”的构成要件;“合理预期”中合理理由的类型化;“信赖关系”中信义义务的内涵同一性、独立性和法定性;信义义务与信赖程度的关联性以及信赖程度的评估模式;忠实义务的界定、适用范围、表现形式的类型化、举证责任规则以及与“知情同意”规则的关系;勤勉义务的界定、外延;勤勉义务中“信息保护义务”的界定、判断标准及与现行法中信息安全保障义务的关系;勤勉义务中谨慎义务的界定、判断标准及其与保密义务的关系。
1. “信赖关系”的辨识
个人信息成为法律的调整对象的原因,不是信息的内容,而是产生个人信息的社会关系。信息控制者,即使有明确的收集和使用个人信息的授权,也不得利用个人信息损害信息主体的利益,即不得将自己的短期利益置于信息主体对个人信息所享有的利益之上。隐性契约理论将其解释为由行业惯例产生的未明确约定的合同义务。那为什么行业惯例可以产生这种义务呢?这是因为信息控制者与信息主体之间存在“信赖关系”。那“信赖关系”如何识别?其具有哪些构成要件?本文以腾讯公司的“微信”为例加以阐明。首先,腾讯公司通过“微信”向信息主体提供网络社交的专业性服务,以换取对个人信息的收集、使用和流动的授权。其次,信息主体依赖腾讯公司的“微信”。“微信”为信息主体提供了现代生活所必需的网络社交服务。超过九亿人使用“微信”进行网络社交活动。再次,信息主体与腾讯公司之间存在“控制权失衡”的情形。信息主体因腾讯公司对个人信息的收集和使用而变得易受非法侵害;而强大的大数据算法和人工智能却使得腾讯公司变得越来越有权力。信息主体存在严重的“信息不对称”问题,无从得知腾讯公司的运营、算法和信息收集活动,难以有效监督腾讯公司;而腾讯公司拥有专业技术和人员以及海量的个人信息,容易监控信息主体。最后,腾讯公司为了吸引并留住信息主体,给信息主体呈现出尊重并保护个人信息的形象。这让信息主体有合理的理由相信腾讯公司不会非法收集、使用、流转和泄露自己的个人信息。概而言之,信息主体和信息控制者之间的“信赖关系”的构成要件包括以下几方面:信息控制者向信息主体提供专业性服务,以换取对个人信息的收集、使用和流动的授权;信息主体依赖信息控制者;信息主体与信息控制者之间存在“控制权失衡”的情形;信息主体有合理的理由预期信息控制者会尊重、保护其人格尊严,并确保信息安全。“合理预期”中的合理理由,包括但不限于现行社会规范、行业实践模式、信息控制者的外在表示和承诺以及其他会让信息主体信赖信息控制者的客观因素。
2. 信义义务规则
在“信赖关系”中,信息控制者对信息主体负有信义义务。“信赖关系”中的信义义务,具有同一内涵。以信息主体和信托公司为例。信托公司基于信托而与信息主体成立信托法律关系。在此信托法律关系中,往往存在个人信息收集和使用的情形。“信赖关系”中的信义义务,只专注于个人信息层面,而与信托法律关系相独立。换句话说,只要存在“信赖关系”,信息控制者便须对信息主体承担同一内涵的信义义务,无论是否还存在其他的法律关系,例如信托法律关系。但是,“信赖关系”中的信义义务受到信赖程度的影响。更高的信任和依赖,意味着更高的信义义务。例如,腾讯公司对信息主体所负的信义义务,要高于其他不知名的网络社交服务提供商所应负的信义义务。借鉴马修•哈丁教授的信义法理论,信赖程度可从以下三方面进行评估:信息主体对信息控制者如何利用个人信息的“合理预期”;信息控制者的个人信息利用行为对信息主体利益的影响程度;信赖的合理性。
信义义务作为法定义务,不能通过合同的方式予以排除。这归因于“信赖”理念的预设,即信息主体所面临的“信息决策困境”,严重限制了其做出理性的信息决策的能力。以维护信息安全和人格尊严为价值追求的信义义务,有助于解决“私人秩序”下意思自治的“市场失灵”问题。
(1)忠实义务。我们对大数据时代的恐惧,说到底是对不忠实的担忧。在大数据时代,个人信息具有很高的财产价值。因此,信息控制者可能会为了自身利益,不当收集、使用、流转和披露个人信息。个人信息保护立法,应该将“忠实义务”概念纳入其中,通过熄灭不当动机来抑制不当行为,有效地维护“信赖关系”中的信赖。“信赖”理念下的忠实义务,是指本着善意和诚实,以符合信息主体的明示授权或合理预期的方式,收集、使用、流转和披露个人信息,并且不得为了自己的短期利益而牺牲信息主体对个人信息所享有的利益。可见,忠实义务的核心,是禁止那些违背了合理期待的利益冲突。这意味着忠实义务不适用于信息控制者的商业模式本身,尽管多数的商业模式内含利益冲突的信息利用行为,例如通过收集个人信息来发布精准广告以牟利。在举证规则上,信息主体只需要证明在形式上存在利益冲突,并且该利益冲突违背了信息主体的合理预期,而不需要证明个人信息权益因此遭受损害的事实。因此,“信赖”理念下的忠实义务,可以使背信行为在缺乏确定的侵权损害的时候具有可诉性,有助于解决“理性人”理念的“损害制度失灵”问题。同时,“忠实义务”概念有助于完善“知情同意”规则。“知情同意”的程序性规则,忽视了信息主体的“信息决策困境”和信息控制权日益丧失的事实。但是,忠实义务强调善意和诚实。这意味着信息控制者需要实施有效的实质性通知而非程序性通知,确保信息主体真正知晓隐私政策的核心内容。违反忠实义务的表现形式包括但不限于:①违反保密义务,出售个人信息;②未经信息主体明示授权,擅自收集、使用、流转和披露个人信息;③为了自己的短期利益,故意超出信息主体的授权范围,或者超出信息主体的合理预期,不当收集、使用、流转和披露个人信息;④为了自己的短期利益,实施信息滥用、歧视和信息操纵的行为。
(2)勤勉义务。信息控制者,为取得信息主体的信赖,往往会主动对信息主体承担勤勉义务。例如,“百度”在其隐私政策中明确向用户承诺会以“高度的勤勉义务”对待用户的个人信息。这意味着,信息控制者必须依据同行业普遍的要求,谨慎地处理个人信息,并且尽力保护信息安全。“信赖”理念下的“勤勉义务”概念,应该包含谨慎义务和信息保护义务。我国个人信息保护立法,应该吸纳“勤勉义务”概念。首先,勤勉义务中的“信息保护义务”概念,与我国现行法中的信息安全保障义务类似。《民法总则》第111条规定了信息安全保障义务。该条规定,“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全”。信息安全保障义务,倾向于被解读为信息控制者为避免信息泄露而采取的一系列数据安全保护措施和流程。这在《网络安全法》第42条有所体现。该条规定,“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全”。因此,信息控制者可能需要定期审核个人信息存储状况,使用信息安全模型持续性评估风险,尽量减少数据的收集和存储,制定保障措施和程序,并制定信息泄露应对方案。但是,民法中的信息安全保障义务受制于损害规则的局限性;而“信息保护义务”概念则更具弹性。勤勉义务中的“信息保护义务”,强调依据同行业的普遍要求,采取各种实质性和程序性措施,尽力保护信息安全。因此,信息控制者必须要有信息安全保障措施,否则构成对“信息保护义务”的违反。同时,信息控制者不仅要采取必要的信息安全保障技术措施,而且还要确保自己的其他行为不会削弱安全保障水平。但是,信息安全保障措施的合理程度,取决于信息主体的信赖程度。例如,相较于一般性的网络社交平台,信息主体更信任和依赖腾讯公司的“微信”。因此,腾讯公司必须采取与信息主体信赖程度相一致的信息安全保障水平,否则构成对勤勉义务中的“信息保护义务”的违反。其次,勤勉义务中的“谨慎义务”概念,与我国现行法中的保密义务相关联。保密义务,是指禁止泄露个人信息。它是对个人信息的披露的限制。我国诸多行政法律规范均对此作出了规定。而谨慎义务,要求信息控制者必须行为谨慎,尽力避免侵害或者泄露个人信息。谨慎义务,假定“信赖关系”中的信赖不会因为信息控制者以特定的方式共享了个人信息而消失。事实上,大多数的“信赖关系”隐含着谨慎义务。例如,我们相信腾讯公司不会随意泄露我们的个人信息。所以,谨慎义务强调合理的信息使用和披露,即不以侵犯信息主体的利益或者违反信息主体的合理预期的方式,使用和披露个人信息。其核心是酌情保护,以防止不合理、不合法的信息使用和泄露。同时,谨慎义务意味着信息控制者有义务确保个人信息的下游使用是合理的、合法的。
五、结语
当下的中国,随着科技的革新,正在快速迈进大数据时代。个人与他人、社会以及政府之间应以何种方式相互联系,即是以满足自身利益最大化的自利需求的方式实现联结,还是辅之以促进相互信任的方式实现更可持续的紧密联系,是这个新时代的重大命题,也是对法学提出的新使命。法学者,本着对社会美好价值追求的人文关怀,必须对此做出法学回应。在制定统一的个人信息保护法的当下,应以何种理念为指引来平衡个人信息使用和保护的问题,是该宏大的时代命题在个人信息保护领域的缩影。在大数据时代,个人信息保护的“理性人”理念面临着诸多困境,如“信息决策困境”、“控制权失衡”问题、“责任配置错位”问题、“损害制度失灵”问题、“安全感困境”以及“信赖缺失”问题。“信赖”理念及其制度建构,正是在这种特定的社会时期为弥补“理性人”理念的这些内生缺陷应运而生。
(责任编辑:陈越峰)
(推送编辑:成俊慧)
本文原载于《华东政法大学学报》2018年第1期。若欲下载或阅读本文PDF文档,请点击下载阅读原文,欢迎订阅并分享华政学报(微信号ECUPL-JOURNAL)。