关键词:个人信息保护;基于权利的方法;基于风险的方法;风险规制
在大数据时代,个人信息保护面临新的挑战和困境。现有的个人信息保护立法及实践主要依赖“基于权利的方法”,即通过促进个人信息主体的赋权和能力发展,建构个人信息保护权利体系,进而实现个人信息保护。尽管个人信息保护中“基于权利的方法”契合支配当今权利理论的实践和哲学的观点,即主张“为了使世人相信我们道德理想的‘真理’(道德方面的重要性),我们需要运用道德术语或权利语言”。然而,“基于权利的方法”主要以工业时代诞生的“公平信息实践原则”为基石,该原则忽视了大数据的运行规律、个体的有限理性、数字经济的发展需求等因素,已经变得“不充分”。这使得“基于权利的方法”虽然能给人“隐私增强”的错觉,但却并未“实际地”为个人提供有效保护。
鉴于“基于权利的方法”之不足,学界也尝试提出了一些替代性或者补充性的解决方案。在风险社会理论下,风险控制的理念和工具被引入个人信息保护中,形成了“基于风险的方法”,其核心是摒弃传统路径中全有全无的“二元化”判断,转而进行“程度性”评估,通过对风险的识别、评估和优先排序,以最小化、监测和控制不幸事件的概率或者影响。我国《个人信息保护法》中的一些条款也体现了“基于风险的方法”,如预防个人信息侵害(第11条)、个人信息保护影响评估(第55-56条)等。尽管如此,在理论上,目前鲜有研究成果对“基于风险的方法”进行系统研究,对于如何界定个人信息保护中的“风险”“基于风险的方法”与“基于权利的方法”有何关系、“基于风险的方法”是否具有必要性及可行性等问题,均需要从理论上予以回应。职是之故,本文以国内外已有的个人信息保护法治实践为基础,对个人信息保护中“基于风险的方法”之法理基础进行阐述,在此基础上,提出完善“基于风险的方法”的对策建议,以期为推动我国个人信息保护法治提供借鉴。
一、“基于权利的方法”:个人信息保护的传统路径及其缺陷
当前,个人信息保护的传统路径主要采取“立法赋予权利—信息主体行使权利”的基本逻辑,这契合“基于权利的方法”的核心要素,属于以个人为中心的法律范式。尽管这种方法使得个人信息主体的法律地位得以凸显,但与之配套的权利保障机制却将保护个人信息的主要责任转移给了个人,正如学者所言:“赋予公民以权利,就意味着他们也要负责执行这些权利。”此外,大数据技术的使用不仅对传统以个人为主体的法律保护提出了挑战,而且还造成了难以克服的负担和实践问题。
(一)“基于权利的方法”的核心要素
“基于权利的方法”主要植根于现代权利理论的基本理念与主张。权利的现代基础源于将个体从理性权威和道德权威施加的负担中解放出来,个体仅仅依靠自己,并且越来越占据中心位置,人们开始从个体的优先意义和更重要的现实意义这个角度在现代自然观的语境中思考权利,权利的“主观”概念逐渐成为现代性的一部分。受此影响,“基于权利的方法”最基本的动力之一便是,每个人都是权利持有者(rights-holders),而每项权利都有相应的义务承担者(duty-bearers),应当将公民权利的规范、原则、标准和目标纳入有关个人及社会发展计划的整个过程中。
(二)个人信息保护中“基于权利的方法”
2.基本范式:赋予信息主体法律权利。“基于权利的方法”引入个人信息保护中的基本范式是赋予个人信息主体个人信息权或者个人信息保护权。在理论上,学者们对于个人信息权或者个人信息保护权的法律地位及实现路径有不同的主张,形成了私法上的“隐私权说”“人格权说”“财产权说”等观点和公法上的“基本权利说”等观点。在比较法中,《欧盟基本权利宪章》第8条“个人数据保护”规定,每个人均有权保护有关他或者她的个人数据,由此确立了“个人数据保护权”在欧盟的基本权利地位。在此基础上,欧盟《一般数据保护条例》通过第三章“数据主体权利”赋予了数据主体访问权、更正权、删除权、限制处理权、数据可携带权、反对权等权利。
在我国法律制度中,尽管“个人信息权”或者“个人信息保护权”这一术语并未明确出现在制定法中,但《民法典》和《个人信息保护法》所确立的法律规则却是“基于承认个人信息为受法律保护的一项权利”。《民法典》第111条规定“自然人的个人信息受法律保护”,并在人格权编第六章“隐私权和个人信息保护”第1034—1039条系统规定了个人信息保护的制度体系,包括知情同意权、查阅与复制权、异议和更正权、删除权等。受《民法典》的影响,《个人信息保护法》第1条立法目的表述为“为了保护个人信息权益……”,不过在第四章“个人在个人信息处理活动中的权利”中却通过“个人有权……”的表达方式赋予了信息主体知情权、决定权、查阅权、复制权、更正权、删除权等权利,其中,“告知—同意”是个人信息权利得以实现的首要机制。
3.法律保障:以损害填补为主导的侵权救济。“基于权利的方法”引入个人信息保护中的法律保障是以损害填补为主导的侵权救济。在霍菲尔德权利概念体系中,第一种便是A对B的请求权,此权利相当于B就此项请求的内容而言对于A承担了义务。在基于权利的个人信息保护制度中,信息主体享有个人信息权及附属的知情权、决定权、查阅权等一系列权利,这意味着信息处理者应当承担相应的系列义务。
然而,在实践中,权利的实现和义务的履行并非总是按照立法者预设的图景自主进行。因此,“追究义务承担者的责任”便构成了“基于权利的方法”的核心要素之一。不过,“责任的归结并不是发生于法律的真空之中,而是发生于特殊人际关系和复杂的情境之中”。对个人信息主体而言,只有在信息处理者违反其对信息主体的义务时,信息主体才能追究相应的法律责任。目前,侵害个人信息权利一般适用普通的民事纠纷解决与救济机制,并且主要以侵权责任作为实现路径,这体现在我国《个人信息保护法》第69条的规定中。既然以侵权责任为主导的私法救济成为个人信息权利义务规定得以实现的法律保障机制,那么信息主体在激活这一机制时理应遵循侵权责任的一般原理,尤其是侵权责任的构成要件,即违法行为的存在、损害事实、因果关系和行为人的过错。
(三)基于权利的个人信息保护法律制度之困境
在大数据时代,个人信息的生成、收集、存储、共享、处理和使用均发生了巨大变化,这给基于权利的个人信息保护制度带来了诸多挑战。美国学者丹尼尔索罗夫认为,一些认知问题破坏了隐私自我管理,导致个人无法作出知情且理性的选择,而由于一些结构问题的存在,导致即使是知情且理性的个人也无法适当地自我管理其隐私。以此为参考借鉴,本文也从认知困境和结构困境两个方面对基于权利的个人信息保护制度在大数据时代面临的挑战进行阐述。
1.认知困境:信息主体难以进行理性选择。如前所述,基于权利的个人信息保护制度倾向于将个人视为理性主体,他们理性地自主决定如何保护或者披露他们的个人信息。根据这种观点,个人是前瞻者、效用最大化者、贝叶斯式的更新者,他们完全知情或者根据已知的随机分布概率作出决定。然而,无论是“理性选择理论”还是“私法自治原则”,其已经被证明存在内在缺陷,难以反映真实的决策场景和理性的心理偏离。个人在行为决策中容易受到“框架效应”“禀赋效应”“现状偏好”等因素的影响,表现出有限理性、有限意志力和有限自利。许多领域的诸多研究发现,即使是在最理想的情况下,全面的信息披露也难以达到其目标,促进个人做出“良好慎重的决策”。
2.结构困境一:大数据削弱了“告知—同意”机制。在大数据时代,现代数据挖掘和分析技术可能从以下两个方面削弱“告知—同意”机制的有效性。
3.结构困境二:大数据导致个人信息私法救济困难。在基于权利的个人信息保护法律制度中,个人若想获得司法救济,主要是通过侵权损害责任为主导的私法救济。在传统侵权法中,“损害”是指“因一定的行为或者事件使某人受侵权法保护的权利和利益遭受不利益的影响”。一般认为,构成“损害”应当具备以下三个要件:一是,损害是侵害民事权益所产生的后果;二是,补救性;三是,客观真实性和确定性。
二、“基于风险的方法”:个人信息保护的新路径
囿于时代和制度约束,基于权利的个人信息保护法律制度在大数据时代不可避免地面临困境,其局限性也日益突出,需要超越传统保护路径。无论是在智识上还是“实践”中,“基于风险的方法”之理论视角和实践工具均已日臻成熟。信息主体的有限理性、信息安全风险的合理分配及个人信息保护法风险化的国际趋势,证成了“基于风险的方法”作为个人信息保护新路径的正当性和可行性,我国《个人信息保护法》亦对此作出了积极回应。
(一)何为“基于风险的方法”
尽管不同领域中“基于风险的方法”的基本原理是一致的,但是对规制机构和规制对象而言,“基于风险的方法”具有不同的表现形式及运行机制。对规制机构而言,“基于风险的方法”主要体现为“基于风险的规制”(risk-basedregulation)。一般认为,“基于风险的规制”主要有四个特征:(1)风险提供了规制的对象;(2)风险成为规制的正当化依据;(3)风险架构和塑造了规制组织和规制程序;(4)风险塑造了责任关系。对规制对象而言,“基于风险的方法”主要体现为“基于风险的合规”(risk-basedcompliance)。这种方法侧重于因不合规而产生的风险,并利用对这些风险的评估指导合规工具的选择及资源部署,以最大限度降低风险和提高合规性。
(二)“基于风险的方法”嵌入个人信息保护的正当性
从国内外个人信息保护立法趋势来看,“基于风险的方法”正在重塑个人信息保护法。一方面,对个人信息处理者而言,风险已经广泛融入个人信息保护合规体系中,形成了“基于风险的合规”;另一方面,对个人信息保护监管机构而言,风险已经全面渗透到个人信息保护行政规制中,形成了“基于风险的规制”。结合已有的理论研究和立法实践,本文主要从逻辑前提、现实基础、国际趋势三个方面对“基于风险的方法”嵌入个人信息保护中的正当性和可行性进行阐述。
2.现实基础:信息安全风险的合理分配。“基于风险的方法”嵌入个人信息保护中的现实基础是信息安全风险的合理分配。在现代风险社会中,各种风险类型层出不穷,信息安全风险便是其中之一。随着信息的经济价值和社会价值不断凸显,信息安全风险问题不再是一个单纯的技术问题,而逐渐演变为一个重要的社会问题。这意味着信息安全风险应当成为国家治理的重要内容,治理的理念、方式和工具亦应当根据信息安全风险的特点做出相应的调整,其中一个基本问题便是信息安全风险如何进行合理分配。德国学者乌尔里希贝克认为:“风险分配的历史表明,风险同财富一样附着在阶级模式之上,只不过是以颠覆的方式:财富在顶层积聚,而风险在底层积聚。”在基于权利的个人信息保护法律制度中,信息安全风险分配尚未达到分配正义的基本要求,甚至通过一些机制将风险不合理地转移给信息主体,产生“有组织地不负责任”现象。
对此,“基于风险的方法”之重要任务就是改变现有的信息安全风险分配现状,通过“基于风险的规制”和“基于风险的合规”让个人信息处理者承担相对较多的风险。之所以要让个人信息处理者承担更多的信息安全风险,主要理由包括以下几点:第一,信息安全风险主要源于个人信息处理活动,信息处理者是风险的根源。第二,相比个人信息主体,个人信息处理者拥有更多的资源、技术、手段来控制风险。第三,按照风险利益对等原则,个人信息处理者从个人信息处理活动中获益,理应承担更多的风险。第四,让个人信息处理者承担较多的风险,可以刺激其完善自身的个人信息保护合规体系,提升其在“多头执法”背景下的合规“互操作性”,加强问责制、透明度并提升信息处理者的信息保护文化水平。
3.国际趋势:个人信息保护法的风险化。在风险社会的背景下,鉴于风险管理在其他领域的悠久历史和良好经验,一些国际性规范或者国家(地区)立法已经开始将“基于风险的方法”的理念、机制、工具应用于个人信息(隐私)保护中,作为确保个人信息得到适当处理和个人基本权益获得有效保护的重要手段。
第一,“基于风险的方法”在国际性个人信息保护规范中的体现。在个人信息保护规范体系中,一些国际组织制定的指南或者规则一直占据着重要地位。2013年,经济合作与发展组织对1980年通过的《经合组织个人数据隐私保护和跨境流动准则》进行了修订,其中很多条款均是为了“实施基于风险的方法”。在附带的解释性备忘录中,起草者指出“风险评估在制定隐私保护的政策和保障措施中非常重要”。
(三)《个人信息保护法》对“基于风险的方法”的回应
2.在《个人信息保护法》的保护原则中体现了“基于风险的方法”。在个人信息保护理论与实践中,保护原则一直发挥着重要作用。除了对传统的采集限制原则、目的说明原则、最小必要原则、公开原则等进行规定外,我国《个人信息保护法》还在第11条规定了“风险预防原则”,即“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为”。在规制理论中,“风险预防原则”一直是风险规制行政的基本原则,亦是“基于风险的方法”的核心要素,它意味着规制机构或者规制对象应当根据该原则设计具体的风险预防机制,并在特定条件下采取相应的风险干预措施。
3.在《个人信息保护法》的保护机制中体现了“基于风险的方法”。与欧盟《一般数据保护条例》类似,我国《个人信息保护法》也在诸多保护机制中体现了“基于风险的方法”。首先,在个人信息跨境提供方面,《个人信息保护法》第40条规定,对于确需向境外提供个人信息的关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者,应当通过国家网信部门组织的安全评估。其次,在个人信息处理者的义务方面,《个人信息保护法》第55条和第56条规定了“个人信息保护影响评估”,并要求对处理情况进行记录;第57条规定,当发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者要通知监管机构和个人。最后,在个人信息保护的行政规制方面,《个人信息保护法》第61条赋予规制机构对应用程序等个人信息保护情况进行测评的权力,第64条赋予规制机构在发现个人信息处理活动存在较大风险时对个人信息处理者进行约谈的权力。
三、个人信息保护中“基于风险的方法”的完善策略
尽管我国《个人信息保护法》对“基于风险的方法”做出了积极回应。然而,相比“基于风险的方法”在其他领域的实践而言,若要充分发挥其在个人信息保护中的潜力,还有大量工作有待探索。从国内外已有的个人信息保护立法框架看,赋予个人信息主体权利、施加个人信息处理者义务和强化个人信息保护规制机构执法共同构成了个人信息保护的三大支柱。以此作为参照,笔者认为,可以从个人信息处理者、规制机构和人民法院三方主体的角度分别提出促进“基于风险的方法”在个人信息保护中有效实施的对策建议,形成“基于风险的合规”“基于风险的规制”和“基于风险的损害”,构建有效的基于风险的个人信息保护法律制度体系。
(一)自我规制:强化信息处理者的风险管理
在规制理论中,自我规制是指“规制对象对自身施加命令和结果的规制,规制对象可以是单个企业,也可以是代表规制对象的行业协会”。就个人信息保护领域而言,个人信息处理者既包括私营部门,也包括政府机构,二者均是《个人信息保护法》的重点规制对象。因此,从自我规制的角度看,应当强化个人信息处理者的风险管理。《个人信息保护法》第58条要求“按照国家规定建立健全个人信息保护合规制度体系”,不过其义务承担者主要限于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”。笔者认为,从保护个人信息和确保合规的角度看,所有的个人信息处理者均应当建立健全个人信息保护合规制度体系,并将“基于风险的方法”融入其中,形成“基于风险的合规”。
至于如何形成基于风险的个人信息保护合规制度体系,则可以充分借鉴风险管理的一般原理及其在其他领域的实践经验。从过程论的视角看,根据国际标准化组织制定的《ISO31000:2009风险管理——原则和指南》,“风险管理”是指协调活动以指导和控制组织的风险,主要包括建立背景、风险识别、风险分析、风险评估和风险应对等步骤。从构成要素的角度看,风险管理主要包括三个关键要素:(1)人员,在实施技术和操作流程时,组织应当培训合适的人员,以最大限度地提高技术的使用效率,意识、培训和教育是开展风险管理工作的关键。(2)过程,即使用正式的行动序列来实现一个目标。技术,组织应当确保所购买的硬件或者软件符合成本效益,有意义且有效用。以现有理论成果与实践经验作为参考,笔者认为,个人信息处理者可以通过下列举措来完善个人信息风险管理制度体系,强化自我规制,提升合规性。
1.为个人信息风险管理提供组织支持。风险管理是一项复杂的、系统性的、多方面的活动,需要整个组织的参与。从为组织提供战略眼光和高层目标的高级领导或者行政人员,到执行和管理项目的中层领导,再到第一线操作支持组织任务或者业务功能的信息系统的个人,均在风险管理体系中扮演着重要角色。具体到个人信息风险管理,个人信息处理者应当从以下几个方面提供组织支持:首先,应当将个人信息风险管理与组织在其他领域的风险管理方法相结合,确保个人信息风险管理可以利用组织已经投入其他领域的风险管理资源,提高个人信息风险管理的效率。其次,应当制定和完善内部的个人信息风险管理规范和指南,并将其与组织章程或者员工行为守则等规范结合起来。再次,应当任命专门的人员或者组建专门的机构全面负责个人信息风险管理,具体模式既可以采用欧盟《一般数据保护条例》规定的“数据保护官制度”,也可以采用我国《个人信息保护法》规定的“个人信息保护专责负责人制度”。最后,应当提供个人信息风险管理所需的资源(物力、人力及财力),加强对一线技术人员的专业培训,在组织内部形成个人信息保护的氛围和文化。
3.完善个人信息保护影响评估制度。风险评估是所有领域中风险管理的关键组成部分,比较成熟的环境影响评估便是其典型代表。在个人信息保护领域,风险评估已经从传统的“隐私影响评估”发展成为“数据保护影响评估”或者“个人信息保护影响评估”,并且被视为是“基于风险的方法”在个人信息保护领域的集中体现。我国《个人信息保护法》充分吸收了已有的立法及实践经验,分别在第55条和第56条对个人信息保护影响评估的“适用情形”和“具体内容”进行了规定,初步回答了“什么时候进行个人信息保护影响评估”和“个人信息保护影响评估涉及什么”这两个问题。
(二)行政规制:迈向专责机关的风险规制
行政规制是个人信息保护的三大支柱之一,“个人信息处理规则本质上是国家建立的一套公法秩序,应主要通过监管和公共执行机制予以保障和纠偏”。随着风险社会和规制国家的交织演进,风险规制逐渐成为政府规制的重要内容,也是《个人信息保护法》“风险化”的重要表现。长期以来,我国个人信息保护行政规制一直呈现“九龙治水”的发展态势,存在目标弱化、主体分散、措施乏力和程序模糊等问题,尚未发挥其在个人信息保护中的支柱性作用。我国《个人信息保护法》第6章虽然对个人信息保护规制机构的职责、职权等内容进行了规定,但是仍然没有改变多头执法的现状,并且在执法方式上仍然偏重于事后规制(如行政处罚)。对此,从促进统一规制和部门协调的角度出发,应当设立个人信息保护专责机关,充分发挥行政组织在风险规制中的作用。在规制理论中,一般认为,风险规制包含三个要素:标准制定、信息收集和行为调节。笔者认为,可以通过采取以下措施来完善个人信息保护专责机关的风险规制。
1.制定个人信息保护具体规则和技术标准。“在任何一个规制体系中,各类标准都有着重要地位。从最广义的角度而言,标准包括规范、目标、任务及规则,规制体系正是据此得以形成。”我国《个人信息保护法》第62条规定,国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准。在未来,我国设立个人信息保护专责机关后,相应的权力也可以由该机关来行使。个人信息保护专责机关在制定具体规则和技术标准时,可以从以下两个方面切入:
第一,应当按照“场景完整性”理论,根据不同的场景制定相应的个人信息保护具体规则和技术标准。从理论上看,在一个单一的综合性法律框架中对个人信息保护的基本原则、权利义务关系、法律责任等内容进行规定,可以最大限度地凝聚社会共识,推动形成个人信息保护文化,促进个人信息保护执法统一。然而,“书本上的法律”并不总是能够成为或者类似于“行动中的法律”。在个人信息保护法中,这种差距尤为明显,而这一问题又因扩大个人信息保护法以试图解决所有新挑战变得更加严重。对此,笔者认为,规制机构应当努力破除“一部法律包打天下”的理念,按照“场景完整性”理论,根据不同领域、不同群体、不同技术的特征制定相应的个人信息保护具体规则和技术标准,推动书本上的法律成为行动中的法律。
第二,应当坚持“技术制衡技术”的理念,充分发挥技术标准在个人信息保护中的规制作用,推动实现“通过设计与默认保护个人信息”。在风险规制中,技术标准一直发挥着重要作用,它不仅可以发挥行为规范作用,而且能在规制机构与规制对象之间提供一个“对话空间”。在个人信息保护领域,随着物联网、人脸识别、算法、云计算等技术广泛融入个人信息的收集、存储、处理和使用中,导致个人信息保护问题变得更为复杂。若仅仅着力于建构基于规范的合规框架,可能并不能解决实际问题,原因在于:许多信息系统、应用程序一旦投入使用后,若仅通过事后的执法与处罚,不仅可能增加规制机构的执法成本,而且可能导致信息处理者因整改成本过高而消极应对存在的问题,这也是目前手机应用程序中个人信息保护问题屡查屡犯、屡禁不止的重要原因之一。对此,规制机构应当统筹协调标准化机构制定技术标准,将个人信息保护法的要求“代码化”或者“技术化”,融入个人信息处理系统、程序的设计中,实现“通过设计及默认保护个人信息”。
第一,完善投诉举报制度。既要通过畅通渠道、给予奖励等方法完善个人信息处理违法的公众举报制度,同时也要完善内部“吹哨人”保护制度。为了避免大量投诉举报带来执法压力,规制机构还需要完善配套的投诉举报处理机制,可以将“基于风险的方法”运用于投诉举报处理中,根据以下几项标准来选择要处理的投诉:(1)严重违法行为;(2)结构性违法行为;(3)涉及许多人的违法行为;(4)可以利用执法工具进行有效干预的违法行为;(5)年度执法重点或者专项执法范围内的违法行为。
第二,建立制度化的技术检测机制。个人信息保护问题带有强烈的技术性和隐蔽性,有些问题需要专业的技术检测才能发现。目前,技术检测已经被广泛运用于App个人信息保护专项治理中。在未来,规制机构应当总结经验,形成制度化、长效的技术检测机制,对手机应用软件、移动智能终端设备操作系统进行定期合规检测和事后抽查,形成实名登记、监测跟踪、违规处置、信息披露的全流程监管。
第三,建立个人信息保护影响评估强制报告制度。目前,《个人信息保护法》虽然规定了个人信息保护影响评估制度,但并未明确规制机构在影响评估中的作用。若将个人信息保护影响评估完全交由信息处理者进行自由裁量,可能达不到预期的效果。对此,笔者认为,可以借鉴环境影响评估制度的经验,要求信息处理者必须将个人信息保护影响评估结果提交给规制机构,形成“强制性自我规制”。
3.健全个人信息保护风险规制中的行为调节机制。在风险规制中,行为调节亦至关重要,且经常引发争论。在理论上,学术界提出了两种不同的行为调节机制:一种是“威慑式规制策略”,强调对违反规则行为的制裁;另一种是“遵从式规制策略”,强调合作而非对抗,通过协商、劝说或者教育,推动规制对象产生遵从文化。实践表明,无论是单独适用威慑式规制策略还是遵从式规制策略,均存在局限性。因此,一些规制学者指出,应当采取一种混合方法,即所谓的“回应性规制”,其核心主张是:规制要对行业结构做出回应,因为不同的结构将有利于不同程度和形式的规制;规制机构应当对规制对象的不同动机做出调整;有效的规制应当与规制对象、行业协会及其组成人员的不同目标对话。在个人信息保护领域,不同类型、不同规模的规制对象交织在一起,既有公共部门,也有私营部门,具有不同的动机和能力;技术更新迭代较快,且不同行业之间存在异质性,规制问题也比较复杂。因此,笔者认为,个人信息保护专责机关应当充分借鉴回应性规制的核心主张,同时结合我国事前、事中和事后全过程规制的实践经验,从以下几个方面健全行为调节机制。
第一,通过事前咨询、教育和指导等措施加强事前规制。在事前规制环节,重点是对风险进行预防,同时为事中事后规制收集信息。目前,在个人信息保护规制实践中,教育和指导等较为柔性的规制措施已经广泛实施,其集中体现为行政约谈,并且已经被《个人信息保护法》第64条所规定。除此之外,笔者认为,有必要借鉴欧盟《一般数据保护条例》第36条规定的“事先协商”制度,建立“事先咨询”制度,要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者在实施个人信息处理活动之前,应当就合规制度体系建设、影响评估等事项向个人信息保护专责机关进行事先咨询,听取规制机构的指导意见。
第二,通过构建执法工具金字塔完善事中规制。在事中规制环节,重点是要对风险进行发现和回应,督促规制对象在合规轨道上运行。在回应性规制理论中,一个重要的工具便是建立“执法金字塔”,根据不同的情形采取干预强度不同的规制措施。在我国当前的规制实践中,无论是“双随机,一公开”还是“基于信用的监管机制”,均充分体现了回应性规制的核心主张。例如,在“基于信用的监管机制”中,其核心逻辑便是根据规制对象的信用风险高低,采取不同干预强度、不同检查频率的差异化规制措施,包括风险提示、信用教育、行政约谈、警告、罚款、吊销证照等。笔者认为,可以考虑将信用风险分级分类规制与个人信息保护相结合,对不同规模、不同类型的规制对象采取不同的规制措施,确定监督执法的优先事项。
第三,通过完善命令—控制措施健全事后规制。在事后规制环节,重点是对违法行为进行纠正,同时对未来的潜在违法行为进行威慑,以行政处罚为代表的命令—控制措施一直是事后规制的核心工具。我国《个人信息保护法》第66条对事后规制中的行政处罚进行了规定,包括警告、没收违法所得、责令暂停或者终止提供服务、罚款等。从内容上看,《个人信息保护法》第66条仅仅为规制机构提供了一个“工具箱”,并未就如何使用工具提供指引。换言之,对何种违法行为应当采用何种类型的行政处罚,《个人信息保护法》并未作出明确规定。笔者认为,尽管从回应性规制的角度看,命令—控制型措施通常属于“高阶工具”,处于备而不用的状态,但是从规制执法的可操作性和企业合规的可预期性角度看,应当制定类似于《个人信息保护行政处罚规定》的具体规则,按照“回应性规制”的核心原理,专门就不同违法行为的构成要件、表现形式、法律责任等进行具体规定。
(三)司法救济:将风险作为一种可补偿的损害
从广义上看,诉讼和行政规制均属于规制体系的组成部分,前者主要由私人民事诉讼在事后触发,由法院主导整个过程;后者主要由政府部门在事前、事中和事后行使行政权力来完成。因此,从这个意义上看,在基于风险的个人信息保护法律制度中,诉讼也可以发挥重要的规制作用。不过,传统以损害为基础的侵权责任救济机制在大数据时代或大规模侵权时代面临困境,侵权法亟待进行范式重构,需要从损害赔偿转变为风险成本分担。在个人信息保护中,为了充分发挥诉讼在救济权利和规制行为方面的作用,有必要将未来风险作为一种“可认知的损害”。事实上,个人信息保护中风险性损害的认定实际上是将“基于风险的方法”融入传统的侵权损害分析框架中,笔者认为,可以从以下两个方面进行完善。
2.评估风险性损害。在司法实践中,法院之所以对“风险作为损害”这类观点持保守态度,可能主要有以下两点顾虑:一方面,法院担心难以对风险进行可操作的量化评估;另一方面,法院担心原告可能据此提起大量诉讼,进而阻碍数字经济发展和科学技术创新。从其他领域的风险管理经验来看,风险性损害确实难以进行精确测量,但是仍然存在可以测量和量化的因素。事实上,法院在评估风险性损害时的核心逻辑是:当面对某一类风险性损害时,作为理性的个人是否会采取预防措施,如果是,则根据这些措施的合理成本来评估损害。法官在评估风险性损害时,可以考虑以下四种因素:一是,未来损害的可能性和严重程度;二是,数据敏感性和数据暴露;三是,缓解措施;四是,预防措施的合理性。
四、结语
在大数据时代,个人信息保护是维护人的自主性的关键,这在理论上已经基本形成共识。因此,“基于权利的方法”理所当然地成为个人信息保护的首选,而事实也证明,“基于权利的方法”确实在个人信息保护中发挥了至关重要的作用,诸如被遗忘权、数据可携带权、反对权等权利的确立确实给个人信息保护注入了新的生机与活力。然而,“基于权利的方法”在大数据时代面临不可避免的困境,过度强调和依赖这种方法可能并不利于个人信息保护,这便是“基于风险的方法”得以嵌入个人信息保护的重要前提。事实上,“基于权利的方法”与“基于风险的方法”并非两种截然不同的立场,二者本质上是相互关联的。“基于风险的方法”之最终目标是为了保护个人信息权利,而诸如被遗忘权、反对权等权利本质上也是对个人信息风险的回应。因此,本文主张超越传统的个人信息保护路径,并非抛弃确立个人信息权利这一基本立场,相反,“超越”的前提恰恰是承认“基于权利的方法”之合理成分。换言之,“基于权利的方法”并非另造车轮,未来的重要课题是如何将“基于权利的方法”和“基于风险的方法”进行更好融合,为个人信息保护提供更有力的支撑,维护个人在数字时代的尊严与自由。