摘要:尽管我国《个人信息保护法》已将“个人信息保护与利用”作为并置的立法目标,但两者在实践中的平衡却依然困难重重。搜集、称重不同利益和价值并在比较正反观点后作出决定的“权衡方法”,由此成为直面挑战的最佳工具。立足于域外经验和中国实践,一套遵循权衡论证逻辑和国家机关功能分化原理的“两阶四层”权衡体系得以成型。在一阶权衡阶段,法律助力个人与个人信息处理者基于“市场机制”开展自我权衡;在二阶权衡阶段,首先由立法机关依据“比例机制”形成客观价值秩序,再由行政机关采取“场景机制”和“风险机制”确立个人信息分类分级的权衡规则,最后由司法机关基于“诚信机制”作出个案调适。个人信息保护与利用的权衡体系将不确定性的权衡方法转化为可证明的理性化决策过程,最终实现权衡的妥当性和可预期性。
关键词:个人信息;权衡体系;比例机制;风险机制;场景机制
一、一阶权衡机制:基于市场的权衡
作为论证和论辩的中间地带,尽可能汇聚正反两方、相互矛盾的信息构成了权衡论证基础。在此意义上,最佳的信息收集是最佳权衡的前提。但决策所需的信息从来不是集中存在,而是以分布式、不完全的形式存在的。分散性决策机制的“市场”因而可充分利用广泛社会主体的私人信息,进而加总后形成公允价格,再以看不见的手发挥信息对权衡的指引作用。更重要的是,此时个人信息的各利益攸关方均会参与到权衡过程中,消除了因作出权衡的国家机关与个人和信息处理者分离所引致的“代理成本”(即决策者的决策成本和防范其滥用权力的监督成本)。职是之故,市场权衡机制成为契合权衡逻辑且成本最小的路径。该机制以个人信息财产化和经济激励为基础,推动信息主体和处理者共享个人信息利用产生的经济收益。鉴于这一权衡是由受影响的当事人直接作出,本文称之为“一阶的权衡”(primarybalancing)或“优先的权衡”。
(一)市场权衡机制的财产权理论
(二)市场权衡机制的中国路径
不过,市场权衡机制远不完美。完美的权衡有赖于完美的信息,但在个人和处理者之间常存在信息的不对称,个人可能缺乏对个人信息范围、性质、处理活动及其风险的了解,即使存在协议,也因其冗长、复杂而难以理解,甚至根本不会被浏览。相反,企业可以借由数字架构强化对个人的影响力,潜移默化地左右用户的信息获取。更重要的是,由于乐观偏见、影响式启发、框架效应等非理性偏差,个人在权衡得失后的决定可能源于暗黑设计下的有偏差行为,而非深思熟虑的理性选择。因此,市场权衡机制只有在法律协助下才能真正良性运作:通过提供许可使用合同标准化文本、引入个人信息受托者等方式,法律为个人提供平等协商的平台,从而为个人实质赋能而非简单赋权,最终将零和博弈转向正和博弈,促成人格利益与经济效益的共赢。
二、二阶的权衡机制:基于比例的权衡
(一)作为普遍方法的比例权衡机制
如果说权衡的本质在于以“合比例”方式对不同利益和价值称重,那么比例权衡自然成为通用性的权衡方法。需要说明的是,与强调对限制公民权利的国家权力之限制的行政法“比例原则”不同,“比例权衡机制”更多是一种利益冲突的化解工具,因而表现为作为方法规范的形式原则。正因如此,其包括但并不限于对个人信息权益的公法限制,而毋宁是横跨公法与私法规范,一体适用于个人信息保护与利用中价值决定的整体性方法。
在欧洲,比例机制被《欧洲基本权利宪章》第52条第1款所确立,并成为欧洲法院适用1995年《关于涉及个人数据处理的个人保护以及数据自由流动的指令》(以下简称《数据保护指令》)的重要原则。在林德奎斯特案中,法院指出:原告在工作场所的表达自由,与基于宗教活动将信息发布于网络的个人数据保护之间应取得合理平衡,法院须依比例原则加以解释。在Promusicae案、Scarlet案和Bonnier案中,欧洲法院亦采取这一进路,试图协调个人数据保护与知识产权、财产权、经营自由、信息接收和传递自由等权利之间的关系。对比例机制的详细阐述出现在胡贝尔案中。在该案中,欧洲法院针对奥地利公民胡贝尔删除个人数据的诉求,开展了比例测试。法院认可德国为准确了解人口流动情况收集个人数据,但根据禁止国籍歧视原则,对原告数据的处理不符合《数据保护指令》下的“必要性”要求,因为处理匿名信息可以满足统计目的。
《一般数据保护条例》将比例机制进一步成文化。其序言第4条规定:“保护个人数据的权利不是一项绝对权利,必须根据其在社会中的作用加以考量,并依据比例原则与其他基本权利保持平衡。”其第6条关于个人数据处理的多元化正当事由可谓比例机制的鲜明体现。不过,无需个人自主同意的处理活动可能产生克减个人数据保护权的后果,故而加上“为……所必要”的限制,以兼顾比例机制的“适当性”和“损害最小之必要性”要求。这与《关于个人数据自动化处理的个人保护公约》(“108号公约”)第5条“数据处理应与追求的合法目的相称,并在处理的所有阶段与所有关联的利益之间反映一种公正平衡”的精神相一致。究其根本,比例机制这一提供“实质性正当理由”的合理性范式,正是“个人信息处理正当理由”的规范底色。
(二)比例权衡机制的中国路径
主张比例机制的学者不乏其例。落实到条文上,《民法典》第999、1036条将“维护公共利益”作为个人信息利用的重要基础。《个人信息保护法》进一步拓展了比例权衡机制的范围。其第13条一改《民法典》“个人同意+特定情形免责”的逻辑,平行确立了六种个人信息处理的正当性事由,并通过“法律、行政法规规定的其他情形”的兜底条款保持了开放性。其中,“为履行法定职责或者法定义务所必需”系为公共利益的代表——国家机关及其行政行为而设;“应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”系为公众利益而设;“实施新闻报道、舆论监督等行为”系为新闻自由和公民监督权而设;“处理个人自行公开或者其他已经合法公开的个人信息”系为信息流通而设。
比例机制亦被我国司法实践所认可。但由于其迥异于三段论推理,不同法院在适用这一机制平衡个人信息保护和利用时难免“类案不类判”。例如,针对公开个人信息的合理使用问题,伊某诉苏州贝尓塔数据技术有限公司人格权纠纷案与梁某诉北京汇法正信科技有限公司网络侵权责任纠纷案的观点相互抵牾。两案原告均主张,被告从“裁判文书网”转载含有其个人信息的法院判决书属于二次公开,侵犯其个人信息权益。面对几乎雷同的案情,两案法院却作出截然相反的判决:苏州法院认为自然人对信息传播控制的权益高于公开个人信息流通的价值;相反,北京法院则认为裁判文书系已公开的司法信息,禁止转载将损害司法公开制度以及公众的知情权、监督权,因而个人权益应予退让。
《个人信息保护法》中立法者已作出诸多抽象性权衡,并固化为明确的法律规则,这种从“规则”倒推“权衡”可谓阿里克西权衡法则的逆转。这里试举两例。其一,立法者对“公共利益”的缩限。为避免宽泛的公共利益不合比例地压缩个人权益,立法者将之缩限为“履行法定职责和法定义务”“突发公共卫生事件”和“新闻报道”三类,在远程人脸识别的情形下,公共利益被进一步限定为“维护公共场所的公共安全”。中国人民银行《个人金融信息保护技术规范》第7条将“无需征得个人同意”的场景拓展到“国家安全、国防安全、公共安全、公共卫生、重大公共利益”,突破了在先权衡,有失妥当。其二,立法者对“个人单独同意”的划定。作为对个人的增强保护,立法者在第44条下“个人信息处理知情决定权”这一抽象权利下开创性确立了“单独同意机制”,但其适用应以明确列举的高风险处理活动为限。《网络数据安全管理条例(征求意见稿)》第49条增设个性化推荐的单独同意规则,其内在机理和逻辑均与立法者权衡相悖离,应当删除。
三、二阶权衡机制下的类型权衡:基于场景和风险的权衡
为尽量消解权衡的不确定性,有必要在比例机制外,另行引入“类型化”方法。如果说比例机制旨在全面、彻底地考量价值,那么类型化则力求把抽象原则转换为规则,要求司法、行政机关根据典型事实作出权衡,实现一般性价值判断的具象化。在《个人信息保护法》下,权衡的类型化主要体现为基于“事物本质”的个人信息“分类分级”。在这里,“事物本质”即内在于特定生活关系的标准和秩序,其不但是类型化的思想基础,也构成了规则类比和等置的客观化标准;“分类”即根据个人信息所栖身的社会关系和内容属性来形塑规则集合;“分级”即按照个人信息处理的影响程度划分层次有序的级别并设置相应规则。质言之,“场景理论”因其对信息关系中社会角色及其期待的深描,衍生出“个人信息分类”的“场景机制”;“风险进路”则因其对风险社会的理解和对个人信息风险的洞察,体系化“个人信息分级”的“风险机制”。
(一)场景权衡机制的理论渊源
(二)场景权衡机制的中国路径
(三)风险权衡机制的制度实践
风险权衡旨在通过识别和评估个人信息处理风险,设置与之适应的个人信息保护水平与规则。这一机制起源于1995年《数据保护指令》,108号公约进而提出“以风险为基础,辅以数据性质和体量、处理行为的性质、范围和目的,以及控制者或处理者规模等考量”的数据控制者义务体系。2013年,第29条工作组对该机制背后的理由详加阐明:《一般数据保护条例》可能会对某些实体带来不对称的负担,因此将按其本身和涉及的处理活动适用不同的合规性规定、承担相应程度的义务。就此而言,如果说比例机制系从个人权利端出发,那么风险机制则立足处理者义务端,实现个人信息保护措施的成本—收益的优化。《一般数据保护条例》不但将风险进路嵌入数据控制者的问责原则,贯彻到通过设计与默认方式的数据保护之中(第24、25条),而且确立了保障安全义务和数据影响评估制度,将风险机制延伸到数据处理的全过程(第32、35条)。
总之,风险机制摒弃了一刀切的个人信息保护,转而采取动态、多层次、可扩展的保护制度,其不但致力于个人权利的实现,而且能协助处理者利用风险缓释、安全保障和其他控制措施,将风险降低到可容忍的范围内,从而减轻合规成本和行政负担,推动个人信息的创新利用。
(四)风险权衡机制的中国路径
四、二阶权衡机制下的个案权衡:基于诚信的权衡
(一)公平原则:诚信权衡机制的欧盟实践
法律为经济和社会所塑造,社会情势的变化要求法律根据社会利益的压力和危及安全的新形式不断作出改变。诚信原则的演进恰恰验证了罗斯科·庞德的这一论断。尽管“诚实信用”肇始于罗马法的诚信诉讼和物权诚信,但直到急遽变化的“短20世纪”来临后,它才从债务履行义务的一隅一跃成为君临全法域的帝王条款。作为时代变迁之镜像,诚信原则在经济上回应了平等互换的抽象交易向强弱分明的具体交易的转变,在政治上回应了自由国家向规制国家的革新。鉴于诚信原则与时俱进的品格,个人信息保护自然成为其延伸适用的场域。不过,或许受1970年代“公平信息实践”(fairinformationpractices)的影响,《一般数据保护条例》并未直接规定“诚信”原则,而是将“公平”(Fair)作为个人信息处理的核心原则之一,并将其解释为“尊重数据主体的利益和
合理期望,并平衡地处理数据控制者的商业利益与数据主体的隐私利益”。由于公平原则与诚信原则在利益平衡协调功能上的一致性,欧盟各国的法律文件多使用由拉丁文“bonafide”(诚实信用)所派生的“诚信”(TreuundGlaube)或“公平”(equitability)来翻译Fair。这亦与《德国联邦数据保护法》第47条项下“个人数据应合法、诚信地处理”的表述相契合。后者被德国学者视为贯穿于各种数据处理活动中的一般条款,要求在行使数据权利和履行义务时照顾对方利益。
《一般数据保护条例》的公平原则包含程序公平和实质公平两个维度。就前者而言,公平原则旨在化解数据主体和控制者之间信息和权力关系的不对称,通过解释和补充数据目的限制、准确性、问责、数据保护影响评估等规范,促使处理者考虑个人的期待、影响以及透明度,以确保处理风险和利益的平衡。就后者而言,公平原则意味着“公平权衡”(Fairbalancing),法院据此将之作为一种解释工具,以权衡个人数据受保护权与数据自由流动利益。在谷歌西班牙案中,法院指出:公平权衡取决于个人数据的性质及其对私生活的敏感性、数据主体在公共生活中扮演的角色和公众获得该数据的利益。在Rijkeboer案中,法院更明确地指出:在确定数据存储时限并提供对该数据的访问时,成员国必须确保数据主体权利以及数据控制者负担之间的公平权衡。
虽然公平原则作为诚信原则的变体在《一般数据保护条例》中发挥着基础性作用,但由于其不但与合法原则、透明原则等其他法律原则相互交叉,还被视为权衡的首位原则,这使其内涵过于庞杂。如欲真正发挥诚信原则的价值,还应回归到人际关系和利益平衡之中。
(二)诚信权衡机制的中国路径
有异于欧盟,《个人信息保护法》第5条在“合法、正当、必要原则”外,增设“诚信原则”。论者多从语义上将其阐释为“始终秉持诚实、恪守信诺,不得通过误导、欺诈、胁迫等方式处理个人信息”,以及“讲究诚信,严格按照法律规定和约定处理信息,不从事任何违反处理目的和处理方式的处理活动”。显然,这一观点仅止于“守信不欺”,并未从体系角度把握其意义。为此,有必要追根溯源地探求利益平衡原理,发掘诚信原则在个人信息保护与利用中的微言大义。