前沿 | 赵鹏:个人信息保护“基于风险”抑或“基于权利”?
赵鹏
中国政法大学法治政府研究院教授
文章来源:《法学评论》2023年第4期,原载于“法学学术前沿”微信公众号。本文为“蓟门决策”精编节选版。如体验完整版,请点击文末“阅读原文”。
1
一
1
问题的提出
当下对个人信息利用的技术、生态和社会动力机制已经发生了重大变化。传统上,以赋予个体对涉及自身的信息以控制性权益为核心的保护方法已面临不小的挑战。在针对这种方法的诸多批评中,一种尝试从“风险”角度重新阐释和建构个人信息保护制度的理论开始浮现。本文试图结合传统风险规制理论以勾勒这种从风险出发的个人信息保护方法可能的功能与局限。特别是,“风险”这一核心概念在个人信息保护中可以承担何种独特的功能,又面临何种局限与挑战。
1
二
1
“基于风险”的个人信息保护理论兴起背景
从风险角度来理解和设计个人信息保护制度,其兴起的一个重要背景是对传统上强调赋予个体控制性权益的保护方法(以下简称“基于权利的保护方法”)所存缺陷的回应。分析这种缺陷的文献已是汗牛充栋,对其详细梳理并非本文的主旨。但是,既有批评中还相对缺乏历史维度的分析,即这种主导性的保护方法是在何种技术-社会背景下形成,这种背景在当下又发生了何种变化。
(一)基于权利的保护方法及其当代挑战
学术届、产业界率先从自我规制的角度探索规范机制,这些探索最终发展成被OECD等组织推广的公平信息实践(Fair Information Practices,FIPs)。其核心,就是赋予个体在个人信息处理中的一些程序性权利,例如知情同意、查阅权、请求更正权、删除权等,来对信息处理者的“权力”形成制衡,这是基于权利的个人信息保护方法的起源。
《民法典》相对全面、系统地引入了前述公平信息实践倡导的基于权利的保护方法,它先是在总则确认“自然人的个人信息受法律保护”,又在人格权编相对系统地引入了前述公平信息实践提出的原则和权利。此后,《个人信息保护法》单设“个人在个人信息处理活动中的权利”,进一步细化、拓展了这种保护方法。
当下,网络和数字技术已经从单纯工具意义上的“物”,演化为整个生活环境改造的驱动因素,互联网和数字技术已经全面、深入地渗透进经济社会生活的方方面面,而互联网和数字技术的基本模式又是建立在数据处理基础上的。由此,我们日渐进入一个“一切都被数据化”的时代,其中大量的数据处理又涉及个人信息。面对这种大规模、以个人信息处理为管理和商业活动底层基础的生态,传统基于个体权利的保护模式面临两个方面的压力:一方面,仅仅依靠个人行使权利的控制难以实现充分的保护,另一方面,由于个人信息保护本身也将影响极其广泛的活动,这就要求个人信息保护与其他更多的价值如言论自由、科学研究自由等相协调,这种协调也意味着,在很多场景下个人控制性的权利要与更多的价值进行权衡。
(二)基于风险的个人信息保护理论及其问题意识
上述技术-社会的演进表明,针对互联网、数字化这类革命性的科技,我们不能简单地视其为工具,而必须对它们在社会关系方面的建构能力保持敏感。这些技术的社会普及过程会重塑社会场域,法律需要动态回应这种变化,不断弥补规范漏洞,确保社会对技术演进方向的控制。
正因如此,欧盟通过GDPR更新其个人数据保护规范时,“基于风险”的保护方法(risk-based approach)被提出。需要强调的是,在欧盟的官方定位中,基于风险的个人数据保护方法并不是对传统上个人数据保护权利和原则的替代,而是形成一个可伸缩和合比例的方法来确保企业遵守相应的义务。
我国学者从风险角度来建构个人信息保护理论时,实际上也在很大程度上参考了欧盟的上述理论与实践,因此,本文也借鉴欧盟的理论,称其为“基于风险的保护方法”。但是,一个较为明显的区别是,国内学者大多将该方法定位为对基于权利的保护方法的替代而非补充,这种定位的准确性也是下文需要商榷的。
从既有论述来看,尽管相关观点还相对零散,对“风险”的理解也缺乏共识,但其核心的主张已经开始呈现,这些主张正好回应了前述基于权利的保护方法的缺陷:其一,用“风险”论证从公共维度设计个人信息保护制度的必要性。如果要解决基于权利的保护模式的不充分性,就需要相应增加公共维度的规制架构,“风险预防”因而被提出,论证这种公共规制的正当性基础。
其二,用“风险”来论证个人信息保护义务的可伸缩性。对基于权利的保护方法的批评中,其绝对化倾向与缺乏充分社会维度的考虑是重要的内容。相关观点认为,个体层面的控制会忽视个人信息的社会性、公共性,会导致与信息流动自由等价值形成冲突,不能适应大数据时代个人信息利用的新环境和新方式。这种批评也与法学理论中对“泛权利化”的批评一脉相承。
上述梳理表明,国内学者对基于风险的保护方法的论述,已经呈现出清晰的问题意识。当然,不少主张还停留于在观点层面,尚未系统论证与展开。下文即基于对这些问题意识的,尝试进一步论述,风险方法的引入是否以及在多大程度上可以解决这些缺陷,其自身又面临何种挑战,它与基于权利的保护方法的关系又应当如何定位等问题。
1
三
1
风险预防作为个人信息保护目标的意义与局限
既有论述将“基于风险”与“基于权利”作为一个对应概念,并试图以之间论证从公共规制维度建立个人信息保护制度的必要性。但是,风险这一概念为何具有这种功能,以其为基础建立公共规制有何种独特的意义,还需要论证。
(一)风险预防作为个人信息保护目标的意义
以风险预防为目标,直接针对个人信息处理活动建立一套普遍性的、整体性的行为规则和管制架构,意味着个人信息保护对传统隐私保护方法的路径依赖被突破。相较于基于权利的保护方法,这套基于风险预防的规制架构,可以提供以下独特的功能:
1.为个体权益的保护创造环境
个人信息保护的一个重要功能是为个体的自治和自我发展创造条件。实际上,即使在传统模式下,个体的控制性权利也被理解为承担防御其他权利遭受危险的功能。问题在于,在当下的数字生态背景下,要实现此种防御或者保护目标还依赖更为系统、全面的规制架构。
如果我们将个人信息保护的目标理解为通过法律来创造一个恰当的、符合社会生活伦理的信息流,确保这种信息流既不过于泛滥的,也不过于阻塞的话,那么,个体固然可以在其中发挥一定控制性权能,但是,我们还需要其他管制性的规范来建立限制性、疏导性的网络,这种网络相当于一个社会生活的结构性工程。以风险预防为目标的公共规制,正是致力于建构这种工程。
2.为集体性利益保护拓展空间
当下,个人信息滥用对个体自主、自治和自我发展的影响,已经得到较为充分的讨论。但实际上,除却这种个体层面的影响,个人信息的处理还会影响到诸如社会平等、文化多元等更为广泛的集体性利益,对此,理论界还缺乏足够的重视。
正因如此,在某些情境下,法律和监管就需要回答,整个社会可以基于何种目的,在何种条件下处理个人信息,这些处理活动是否推动了更加公平、公正的数据关系。这种社会视角的加入,也能够在保护个体权益的前提下,推动个人信息的处理产生更大的社会效用。这也意味着,个人信息处理活动的正当性,不应当仅仅从个人层面判断,而需要同时在社会层面判断。
就此而言,“风险”这一概念可以成为有效的思考工具。在法律实践中,风险本身是一个与数学、统计、保险等领域的方法有深刻关联的概念。它也主要用于在社会层面评价相关损害发生的可能性、范围、规模等。相关的规制决策,也主要建立在社会整体层面上规制措施可能的成本-收益分析的基础上。
(二)风险预防缺乏“焦点”的局限
上述分析表明,在个人信息保护领域确立风险预防目标,可以形成更科学的政策指引性,指导法律规则设计,因而在立法政策上有重要意义。然而,传统健康、环境等领域形成的风险预防原则承担了更为丰富的功能,这些功能是否能够在个人信息保护领域实现,不无疑问。
实际上,基于风险的个人信息保护理论未能明确风险预防的“焦点”,或许不能归咎于理论尚待发展,而在个人信息保护法制本身的特点。环境保护、食品药品安全、职业健康都属于部门性、特定领域性的法律,它们以预防特定的风险为目标。但是,在数字环境中,个人信息保护法律制度不宜被视为部门性的法律,它实际上承载了作为公平权衡各种权益的基础设施的重任。
这也是理解我国《个人信息保护法》第2条规定的“根据宪法,制定本法”的关键。虽然这一规定特别考虑了宪法上的“人格尊严”、“通信自由和秘密”保护的需要,但是,我们却不能将《个人信息保护法》理解为仅仅服务于这两种权利的具体化。立法过程的资料也明确表明,强调个人信息保护法的宪法渊源,是因为“制定实施本法对于保障公民的人格尊严和其他权益具有重要意义”,这意味着个人信息保护所指向法益的可扩展性。否则,我们就无法准确理解《个人信息保护法》相关条款的内涵与定位。以《个人信息保护法》对自动化决策的规范为例,其要求的“保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”已经超出了保护人格尊严的范畴,而与防止经济上的过度榨取、确保社会正义等其他重要价值相关联。
在这个意义上,个人信息保护法实际上具有将人权保护的价值在数字空间中再度重申和强化的功能。当然,也正是由于个人信息保护承载了如此广泛的功能,甚至覆盖了大量潜在问题,将一些还处于理论探讨的前沿问题被纳入了规制的视野。那么,以“风险预防”作为个人信息保护的目标,虽然有助于我们从建设良好的数字环境、推动数字公平等更宏观的角度来思考个人信息保护制度设定的基础并指导相关的立法,但我们也就无法期待风险预防承载它在预防一些有明确指向的风险时可以承担的规范功能。
1
四
1
风险评价作为个人信息保护义务基准的功能与挑战
根据具体场景中的风险水平来判断如何对个人信息处理提出要求,避免个人信息保护规则的僵化适用,是基于风险的个人信息保护方法的另一个值得发展的主张。当个人信息保护涉及愈加广泛的活动,规则的设计就需要更广泛地思考其对相关活动的影响,兼顾平衡相互竞争的利益。在这个意义上,根据具体场景中的风险水平来确定保护义务的范围与强度,可以为具体情境下不同价值的权衡提供平台,这对于整个法律体系的内在协调具有重要意义。当然,在个人信息保护中,能否借由传统风险规制领域形成的结构化的“风险评估”为具体决策奠定更加坚定的基础,也不无挑战。
(一)风险评价作为个人信息保护义务的基准
《个人信息保护法》属于原则性规定而非具体规则占据主要内容的法律,大量关键性的规范都是相对宽泛的。例如,处理个人信息需要与处理目的直接相关、限于实现处理目的的最小范围;自动化决策应当保证决策的透明度和结果公平、公正。这意味着,个人信息保护规范很多是愿景性的条款,如何执行往往不是黑白分明的问题,而是一个范围和程度的问题。实际上,不独我国如此,GDPR也被认为是一种基于原则(principle-based)的规制架构。
就此而言,基于风险的保护方法的特点在于,它实际将法律确立的很多宽泛的规范理解为一个程序而非确定的规则。法律文本并非包含了所有的答案,也不可能通过监管部门给出一个清单式的合规要求来保证完美的执行。相反,在这些原则性的规定面前,监管机构和监管对象需要将相关义务理解为持续的风险评价过程,并根据这种评价来采取对应的措施。
特别是,风险的核心是对预期损害大小、发生概率的评价,通过这一概念可以形成一个对潜在威胁性质判断的连续光谱。这一意味着,它可以作为判断触发或者强化适用个人信息保护规则的考虑因素,从而发展出一套更为精致的制度设计。由此,风险成为一个重要的基准,来决定是否允许开展相关个人信息处理活动,是否需要增加进一步的法律和程序要求,从而为可能的伤害提供保护。具体而言,这种基准可以在以下方面发挥作用:一方面,针对处理个人信息的企业而言,风险概念意味着可以要求其采取与风险相适应的保护措施,并将其内嵌于业务流程、产品和服务。另一方面,风险概念的引入,也可以给规制机构相应的灵活性,使其能够合理地设定监管的议程,选择重点和优先关注的问题。
(二)客观评价风险水平的挑战
如果强调风险作为某种法律判断的参考,它不能停留于抽象的感知,而必须通过一套坚实的方法来进行评价。这就要求,我们需要一套具有共识性、能够客观评价风险水平的方法、程序来进行风险分析,并在此基础上对干预措施进行衡量和监督。
实际上,《个人信息保护法》也试图引入类似的评估制度,典型表现,就是要求开展一些有风险的个人信息处理活动如处理敏感个人信息、利用个人信息进行自动化决策之前要进行个人信息保护影响评估。然而,《个人信息保护法》建立的这种评估并不完整。它仅仅非常概括地规定了评估需要考虑的因素,如处理目的、方式等是否合法、正当、必要,对个人权益的影响及安全风险,所采取的措施是否与风险程度相适应等等。对于如何判断伤害后果、如何量化评价等并未明确。
更为深层次的挑战还在于,传统风险评估是针对某项活动或者技术对健康、环境等物理性影响的评价。这些影响本质上是人类活动或者技术作用于物理世界产生的,因此是可以通过科学、客观的方法认知的。但是,个人信息影响评价指向相关活动或者技术的伦理性、社会性影响。由于人与人、技术与人的互动是高度复杂的,这些评价本质上又与价值判断无法割裂,我们就无法期待一种客观性的评价。
在这个意义上,个人信息处理活动的风险评价很难朝向按照统一标准进行、结论可以普遍化和客观化的方向发展。其追求的目标应当是将个人信息保护的价值更为结构化地嵌入到处理活动中,要求相关机构在开展个人信息处理活动时,通过一定的程序来思考其对个人信息保护的影响,但如何实现法律要求的原则则留给机构根据自身情况裁量。在这个意义上,个人信息保护中的风险评价无法完全定位为追求某种客观标准的满足,而是试图塑造机构内部的激励和文化,从而更类似于生物医学研究中机构伦理委员会开展的伦理审查。
1
五
1
基于权利的保护方法与基于风险的保护方法的协调
在国内,基于风险的保护理论的兴起意在回应基于权利的保护方法的缺陷。但是,当这种方法得到应用后,基于权利的个人信息保护方法在未来整个个人信息保护制度将具有何种地位,它与基于风险的保护方法又将产生何种协调的需要,也是需要考虑的。
(一)基于权利的保护方法会边缘化吗?
对前述问题的探讨,首先需要回答,个体权利在个人信息保护中的作用是否会边缘化。目前,学界对于仅仅依靠基于权利的保护方法已经不充分而需要综合的个人保护体系这一点已有较大共识。与此同时,也还未出现完全否认基于权利的保护方法的意义的主张。然而,不少观点已经暗示,基于权利的保护方法会边缘化而在个人信息保护整体架构中只具有边际意义。这种观点值得分析和回应。
实际上,在对基于权利的保护方法的批评中,有一种内在的矛盾:一方面,认为个体的控制性权利太过形式化以致于无法发挥任何作用;另一方面,又主张这种控制太过绝对化以致于成为个人信息有效利用的过度否决性力量。这表明,这些批评与其说明指向了基于权利的保护方法的内在缺陷,不如说批评了我们定位理解、解释这些权利的方法。
从现实来看,在数字空间确认个体性权利的趋势并未消退,而仍然在发展中。典型事例,便是算法治理中正在发展的“理解权”。它可以视为知情权的一个发展,并可能围绕其形成一套网络空间正当程序的架构。这些权利的确认,一个重要的平台就是《个人信息保护法》。这表明,法律逐步发展并精细化个体对涉及自身的信息控制权仍然是一个长期趋势。这种控制虽然不是绝对的,但是具有实质意义的。这种控制的表现形式可能因为技术和商业生态有所变化,某些具体的控制性权能可能会随着数字生态的演进而有所边缘化,但新的权能也可能出现,从而不断推陈出新。
(二)个体权利与风险权衡的调和
如果承认个体权利仍将在个人信息保护中发挥重要作用,那么我们就需要认识到个人信息保护的双重结构:一方面,它确认了一系列权利,另一方面,它建立了一个系统的规制框架,并要求监管部门来监督执行。这两套体系必然产生连接、互动之处,需要彼此协调。
这种协调一方面意味着,对个体而言,风险的考虑构成其行使其个体控制性权利的一个限制。这既意味着个体控制的必要性及其强度需要与风险预防的需求相适应,在某些风险较低的水平下,一些权利行使的正当性将减弱;也意味着,某些重大风险预防的需要将导致一些具体的控制权能需要予以妥协。
另一方面,我们也需要认识到,这种协调是双向的,即在某些情况下,面对基于权利的保护方法所意图捍卫的道德边界,风险的方法将不会适用。一些具体个人信息权益如查阅、复制、转移、更正、补充虽然可以理解为一种工具性的权利。然而,确保个人对其信息有实质意义上的控制仍然有其内在独立价值,它并不仅仅是为了捍卫其他权利和自由,而同样是为了拥有这种控制本身:
首先,从实定法来看,个人信息受保护权已经被《民法典》这种民事基本法典的总则部分所确认,而不仅仅是特别法或者管制性的法律。其次,从现实来看,在数字化生存日渐常态化的背景下,个人在数字环境中的活动已不能简单视为个人身份在网络空间的投射而予以附带性的保护,而日渐具有发展独立数字人格予以保护的意义。
因此,如果要确保基于风险的保护方法与权利保护的法理结构相协调,我们就需要强调,如果某种个人信息处理活动清晰地侵犯了个人信息权益的道德边界,它就违反了《个人信息保护法》的合法原则,因而是被禁止的。与此对应,基于风险的方法主要用于评价那些处于模糊地带的活动。例如,当一些处理活动是以一些前所未有的新型方式来影响个体权利时,或者它并不主要影响个体权利而是对权利得以展开的基础环境产生了影响的时候,基于风险的功利衡量就可以适当发挥作用。
1
1
结语
在个人信息保护领域引入基于风险的保护方法,有利于我们从个体权益保护需要的社会环境、增加集体性利益保护等方面更全面的建构个人信息保护制度,也有利于我们思考如何将抽象的个人信息保护原则动态地、合比例地落实到具体场景中。然而,我们也需要认识到,“风险”不能成为一个不证自明的概念,如果法律层面对预防何种风险缺乏明确指向,现实层面又无法发展出测量和预测风险水平的客观方法,风险也可能成为一个容易被操纵、滥用的概念。而且,风险内含的功利考量倾向也意味着,在适用于个人信息保护这样一个有着强烈道德焦虑的领域,需要相当的谨慎,防止将风险的相对性理解为道德立场的相对主义。
编辑:姚艳
欢迎分享、点赞、在看!
往期推荐
1. 前沿 | 沈岿:自治、国家强制与软法——软法的形式和边界再探
关注我们,获取更多决策资讯!
微信公众号
新浪微博
蓟门决策Forum
新浪微博:@蓟门决策