国家治理到个人保护:社会信用体系的信息利用逻辑传递
——以《个人信息保护法》出台为背景
2021-12-03孟融
孟 融
(吉林大学法学院,吉林长春130012)
引言
伴随着互联网、大数据等现代信息技术的发展,当下社会业已进入了“信息时代”。作为社会交往的媒介,信息在实践中发挥着重要作用。当下存在诸多利用个人信息的场景,特别是在公共行政领域,国家对个人信息的掌握与利用是其提供更好公共服务的前提条件。以我国社会信用体系建设为例,它实际是以国家对个人信用信息的利用为前提的。为满足国家治理的基本需求,社会信用体系建设中的个人信息利用遵循的是国家治理的基本逻辑,并在实践中呈现出信息利用的“最大化”特点。这虽然在一定程度上缓解了社会中的“信息不对称”,使国家在提供更好公共服务的同时也能够有效开展信用规制,但在客观上却带来了个人信息保护的现实问题,即个人信息利用与个人权益保护之间的张力。
2021年8月20日,我国《个人信息保护法》在十三届全国人大常委会第三十次会议上正式表决通过,这为“信息时代”个人信息的利用与保护提供了规范依据。《个人信息保护法》明确了国家机关处理个人信息适用该法的基本要求,并在第6条确立了处理个人信息的“最小化”原则,即信息处理应“采取对个人权益影响最小”的方式,信息收集应限于实现处理目的的最小范围。这意味着,社会信用体系建设中的信息利用需遵循个人保护的逻辑,以个人权益保护为重心。可以说,社会信用体系建设中的信息利用正发生着逻辑传递,即从国家治理逻辑到个人保护逻辑。正是基于这一背景,准确理解国家在社会信用体系建设中利用个人信息的基本情形,明晰当前个人信息利用的国家治理逻辑,找寻《个人信息保护法》通过“最小化”原则所确立的个人保护逻辑之实现的方向与路径,对于缓解个人信息利用与个人权益保障之间的张力具有重要意义。
基于此,本文将以《个人信息保护法》出台为契机和背景,以我国当前社会信用体系建设中个人信息利用的实践为基础,分析社会信用体系建设中个人信息利用的理论逻辑及法治路径。首先,对国家在社会信用体系建设中的个人信息利用情况进行概述,明晰当前个人信息利用的情形及其“最大化”特点;其次,分析当前个人信息利用的国家治理逻辑,阐释国家在社会信用体系建设中强化治理能力的基本内容;最后,以《个人信息保护法》通过“最小化”原则所确立的个人保护逻辑为依据,探索社会信用体系建设中信息处理的个人保护逻辑之实现的方向与路径,以期化解个人信息利用与权益保障之间的张力,进而揭示社会信用体系建设中的个人信息利用及其法治化的一般规律和道理。
一、社会信用体系建设中个人信息利用的实践表达
国家对个人信用信息的利用以“信用信息平台”和“国家信用信息基础数据库”为基础,涉及社会信用体系运转的多个环节。当下社会信用体系建设中的个人信息利用,并不局限于传统意义上的“征信”领域①关于传统征信领域个人信息利用与保护的代表性成果可参见张勇:《个人信用信息法益及刑法保护:以互联网征信为视角》,《东方法学》2019年第1期;齐爱民:《社会诚信建设与个人权利维护之衡平——论征信体系建设中的个人信息保护》,《现代法学》2007年第5期;李朝晖:《个人征信中信息主体权利的保护——以确保信用信息公正准确性为核心》,《法学评论》2008年第4期。,而是扩展到了“公共信用”领域。从近年来社会信用体系建设的实践来看,公共信用占据着日益重要的地位,国家关于社会信用体系建设的诸多举措也主要围绕公共信用而展开。基于此,本文对社会信用体系建设中的个人信息利用及其内在逻辑问题的分析,既包括传统的市场信用领域,也包括公共信用领域,并主要针对公共信用领域中的个人信息利用而展开。
(一)个人信息归集的总体流程
国家对个人信用信息的归集是社会信用体系运转的前提条件,并为后续的个人信息利用奠定了基础。首先,就信息的归集主体而言,主要分为两类:一类为公共信用信息的归集主体,即国家公权力机关和社会公权力组织在履行职责过程中获取个人的公共信用信息;另一类为市场信用信息的归集主体,包括信用服务机构、其他企业事业单位等,其在生产经营和社会服务过程中完成对个人信息的归集②例如,《湖北省社会信用信息管理条例》第3条通过对“社会信用信息”的界定明晰了个人信用信息的归集主体。另外,上海、河北、厦门等省市的社会信用信息条例也有类似规定。。其次,各地社会信用信息平台成为信息归集的重要载体。信息归集主体需要在完成对个人信用信息的归集后,依照地方信用立法的要求,将信息报送至地方发展改革部门主管的社会信用信息平台③例如,《河北省社会信用信息条例》第6条第2款规定了“省人民政府发展改革部门社会信用信息管理机构”负责省信用信息平台的运行与维护,第14条则规定了信用信息归集主体的信息报送义务。。这意味着,公共信用信息和市场信用信息的归集主体需要向地方社会信用信息平台报送信用信息,从而将信息归集至地方政府。最后,各地信用信息平台还承担着对接国家信用信息共享交换平台与其他省(自治区、直辖市)信用信息平台的职能④相关内容参见《上海市社会信用条例》第12条、《河北省社会信用信息条例》第6条第2款。。基于此,连同“信用中国”和“部际信用信息共享交换”网站等平台,逐步形成了完整的“国家信用信息基础库”[1]。可以说,个人信用信息经历着从“信息归集主体→省(自治区、直辖市)信用信息平台→国家信用信息共享交换平台”的流程,连同“部际信用信息”等平台间的共享交换,共同完成了对个人信用信息的归集。
(二)个人信息利用的基本情形
国家对个人信用信息的归集为后续信用评价等活动的开展奠定了基础。在实践中,个人信息利用涉及社会信用体系建设过程中的多个环节,最为主要的是国家通过对个人信息的利用而开展的信用评价和信用规制活动。也就是说,在国家完成个人信息归集的基础上,个人信息成为国家刻画个人信用形象的根据,并构成各部门联合开展守信激励与失信惩戒等规制活动的基础。
第一,利用个人信用信息,刻画个人信用形象。在世界范围内,虽然“可识别性”在外延上存在差异,但其已成为界定个人信息的一项重要标准[2]。也就是说,所谓“个人”信息,必然是同包括身份要素在内的个人特征紧密联系在一起的[3]。在规范层面,我国《民法典》和刚刚通过的《个人信息保护法》均强调个人信息所具有的可识别性特征。基于可识别性,个人信用信息构成了识别、界定个人信用状况,刻画信用形象的根据[4]。如国内多地的社会信用立法规定了应纳入公共信用信息目录的内容,通过对这些信息的分析、识别,可以从整体上判断个人信用的基本情况。另外,国内多地也开展了一系列的信用评分活动。信用评分以个人信息为基础,是对个人信用状况的整体和综合评价①例如,相关信用评分的规范依据可参见:《宿迁市关于自然人信用积分体系建设与积分等级评价试行规定》《鄂尔多斯市个人信用天骄分评价管理办法(试行)》《福州市个人信用积分(茉莉分)管理暂行办法》等。。个人根据信用评分标准能够获得具体的信用分数,而不同的信用分数恰好是对个人信用状况的总体反映,是对个人信用形象的刻画。
第二,利用个人信用信息,开展信用规制活动。国家信用信息共享平台是信息共享的载体,经由该平台共享的个人信息是国家开展信用规制的基础。以失信联合惩戒为例,惩戒对象和措施的设定正是以前一环节国家信用信息共享平台对个人信用信息的归集与个人信用形象的刻画为前提的。在实施阶段,失信联合惩戒由诸多国家机关和社会公权力组织联合实施。此时,信用信息共享平台可以在各部门间实现个人信息的传递,各部门则以共享而来的信用信息为基础和依据,从而实现有效联合并开展规制活动。如根据社会保险领域对失信企业和个人进行联合惩戒的合作备忘录要求,国家人力资源和社会保障部、税务总局和医疗保障局需要通过国家信用信息共享平台向签署备忘录的部门报送失信主体信息②参见国家发展改革委、人民银行、人力资源和社会保障部等印发的《关于对社会保险领域严重失信企业及其有关人员实施联合惩戒的合作备忘录》(发改财金〔2018〕1704号)。,各部门由此就可克服信息获取的不充分而实现有效联合。可以说,失信联合惩戒的开展须以准确和全面的个人信用信息为基础,个人信用信息构成了惩戒措施设定与施行的依据,国家正是在这一基础上开展信用规制活动的。
(三)国家治理下个人信息利用的“最大化”特点
国家对个人信用信息的利用是社会信用体系运转的前提与基础。相较于个人而言,国家在这一过程中居于主导地位,因而个人的信息权益极易在信息归集与利用过程中受到减损与克制。在刻画个人信用形象与开展信用规制过程中,个人信息所具有的公共性特征决定了国家对其充分利用的必要性③参见高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期;林鸿潮:《个人信息在社会风险治理中的利用及其限制》,《政治与法律》2018年第4期。,国家对个人信息的利用在范围、方式方面呈现出“最大化”特点。
一方面,个人信息利用的范围过大。在多地和多个领域社会信用体系建设中,个人信息利用在一定程度上超越了信用信息的范畴。针对这一问题,学界已进行了较多讨论,其中涉及的核心问题便是有地方或部门当前将与信用无关的违法和道德信息纳入信用信息的范畴予以归集和利用,这就导致将违法和道德信息同信用信息画等号④相关讨论可参见沈岿:《社会信用体系建设的法治之道》,《中国法学》2019年第5期;戴昕:《理解社会信用体系建设的整体视角——法治分散、德治集中与规制强化》,《中外法学》2019年第6期;沈毅龙:《公共信用立法的合宪性考察与调整》,《行政法学研究》2019年第1期;孟融:《国家治理体系下社会信用体系建设的内在逻辑基调》,《法制与社会发展》2020年第4期。。就违法信息而言,国内多地的信用立法均将接受行政处罚等信息作为公共信用信息予以归集。例如,《浙江省公共信用信息管理条例》第11条便将“行政处罚”“行政强制”等违法信息作为公共信用信息予以归集;国家铁路局印发的《铁路运输业信用管理暂行办法》(国铁运输监〔2018〕79号)第14条也将相对人“扰乱铁路站车运输秩序且危及安全”的信息认定为信用信息。但是,相对人受到行政处罚等情形只说明其对法律的违反,且往往原因多样、情形复杂,“违法”在本质上并不必然意味着“失信”。就道德信息而言,实践中也存在将志愿者服务与道德模范信息等同于信用信息的做法⑤参见国家发展改革委、人民银行、共青团中央、中央宣传部等印发的《关于实施优秀青年志愿者守信联合激励加快推进青年信用体系建设的行动计划》(发改财金〔2016〕2012号)。。但是,参加志愿者服务活动等信息也不能在本质上反映个人的信用状况,道德上良好的信息未必能够同公共信用信息发生内在关联[5]。可以说,违法信息和道德信息的范围是十分广泛的,其中必然存在不属于信用信息的内容。若将违法信息和道德信息纳入信用信息的范畴,将会在一定程度上不适当地扩展“信用”的范围。
另一方面,个人信息利用中的权益减损。从个人权益的角度出发,人格权益是个人权益的核心内容,基于个人信息所具有的“可识别性”特征,个人信息中必然包含着个人的人格权益,所以“个人信息的收集、处理或利用直接关系到个人信息主体的人格尊严”[6]。在社会信用体系建设中,国家对个人信用信息的利用中采取的“量化评分”方式,将会在一定程度上触及人格尊严,造成人格权益减损。例如,一些地方针对个人进行的信用评分活动覆盖日常生活的各个领域,是对个人日常行为活动的整体与综合评价,个人在这一过程中成为被评价的客体,人格则在一定程度上成为被量化的对象,具有将人“标签化”的嫌疑[7]。另外,在国家利用个人信息开展规制过程中,“黑名单”是一项重要的信用规制工具。黑名单制度设计的基本思路是通过声誉机制促进个人的义务履行,但黑名单的披露不仅会造成个人权益的减损,而且“黑名单”的命名方式还涉及对人格尊严的负面评价[4]。由此观之,从个人信用信息的利用方式来看,存在着个人权益的减损问题,其在根本上反映了国家对个人信用信息利用的“最大化”特点。
二、社会信用体系中信息利用的国家治理逻辑
在当前的社会信用体系建设中,为准确刻画个人信用形象并开展信用规制,个人信息的利用呈现出“最大化”特点。究其原因,这同个人信息利用的国家治理逻辑密切相关。个人信息作为人与人之间交往的媒介,不仅具有公共属性,而且还具有国家属性,个人信息是国家治理的前提和基础。具体来说,国家治理中的“认证能力”与“规管能力”为国家“最大化”利用个人信息提供了需求,而技术治理则通过强化国家能力使此种需求得以满足。可以说,社会信用体系建设中个人信息利用的“最大化”,在本质上反映了国家对其自身治理能力的强化。
(一)国家治理中的认证与规管需求
提及国家治理能力,迈克尔·曼提出了“基础性权力”这一概念,其核心内涵是指国家的制度性能力,即基础性国家能力[8]。王绍光在迈克尔·曼的基础上细化了国家治理能力的内涵,提出了八种具体的国家治理能力,其中就包括国家的认证能力和规管能力,认证能力侧重在数据与人或物之间建立起对应关系,而规管能力则注重对个人外部行为的规制与监管[9]。无论是认证能力还是规管能力的实现,均是以大量的个人信息为基础的。在社会信用体系建设中,国家也需要广泛地归集和利用个人信用信息,这既是实现信用认证的需求,也是实现社会规制与监管的需求。可以说,正是基于认证与规管的需求,国家需要通过“最大化”的逻辑利用个人信息,这构成了国家治理活动开展的基础。
一方面,国家治理中的认证需求增强了对个人信息的利用。国家认证能力中的“认证”,主要指的是国家治理所必须的“政治性认证”,即“包括社会事实的收集、识别、分类、鉴定、评估、检测等行动细节,涵盖对真实性的证明(certification),也涵盖对重要性、能力、身份的证明”等[10]。例如,在中国历史上,先秦至秦汉时期关于个人刑事责任承担标准从“身高”至“年龄”的变化便体现了国家掌握信息方式的变化,也体现了国家认证能力的变化①相关论述参见尤陈俊:《当代中国国家治理能力提升与基础性国家能力建设》,《法制与社会发展》2015年第5期;尤陈俊:《作为法制实施之基础的国家认证能力——来自秦汉时期的一个例证》,《中国图书评论》2013年第11期。。可以说,通过信息归集、识别与分析而形成国家认证,既是实现规制的需要,又是提供公共服务的需要。从实现认证的角度看,国家认证能力的展现涉及“收集事实的全面程度”与“建立规范的统一程度”两个维度,信息的全面性与准确性是实现认证的重要保证[11]。具体到社会信用体系建设中,基于实现信用认证的需求以勾勒出精确的个人信用形象的需要,国家会尽可能“多”而“全”地归集个人信息,甚至在信息归集过程中会超出“信用”属性的范畴。如国内一些地方除归集用于识别个人身份的姓名、性别以及身份证号码这些必备信息外,还将个人的就业状况、工作单位性质、学历、政治面貌等实现“信用认证”的非必备信息作为基础信息予以归集②相关内容参见《南阳市个人信用积分管理暂行办法》第7条第2项至第4项。,这恰恰体现了国家认证的基本逻辑。从认证的内在要求看,更多、更全面的信息更有利于国家实现对个人的信用认证,也更有利于实现国家对个人身份的识别与信用形象的刻画。可以说,国家认证内在地蕴含着“最大化”归集个人信息的倾向,其为国家广泛地归集和利用个人信息提供了理论依据。
另一方面,国家治理中的规制与监管需求也扩大了个人信息利用。国家认证能力实现的意义不仅在于通过对社会各方面事实与信息的掌握以实现信用认证,而且还意味着国家可以通过对已掌握信息的利用来实现对社会及个人的规制与监管。经由国家归集并分析、处理后的个人信息,能够成为规制主体开展行动的依据,经由国家认证后的个人信用形象也能够为规制主体权力的行使提供必要参照[12]。也就是说,在为国家开展对个人的信用认证提供资料的基础上,个人信息则又构成规制主体开展失信惩戒等规制活动的依据。在实践中,失信惩戒等信用规制活动的开展是为了实现信用监管的目标。虽然各地的社会信用立法对国家利用个人信用信息的行为进行了一定规范,但基于国家规制与监管目标实现的需要,其往往对个人信用信息的内容与范围规定得过于宽泛,因而在信息利用过程中也可能造成个人权益的减损。在这一意义上,社会信用体系在整体上具有较强的工具性特征,已成为国家规管能力实现的重要手段。例如有些地方立法已经将违法燃放烟花爆竹、开网约“专车”非法客运、生活垃圾不分类等被处罚的信息归入了公共信用信息平台,并对行为主体开展失信惩戒便反映了国家加强规制与监管的现实需要①相关内容参见《上海市烟花爆竹安全管理条例》《上海市查处车辆非法客运办法》;傅蔚冈:《“征信”扩大化,或变身“道德档案”》,《华夏时报》2016年4月18日第33版;《深圳市生活垃圾分类管理条例》;《深圳垃圾分类有奖有罚,不良行为纳入公共信用信息系统》,https://www.sohu.com/a/363812371_161795,访问日期:2021年6月3日。。换言之,地方信用立法之所以将与信用几无关联的具有轻微、过失特征的违法违规信息作为公共信用信息予以归集,是基于国家的规制与监管需求而作出的制度选择。由此观之,国家的规制与监管需求也促动着个人信息利用的“最大化”,这在一定程度上构成个人信息利用“最大化”的又一重要依据。
(二)技术治理与国家能力的强化
现代信息技术的发展,为国家充分利用个人信息提供了技术支持,也为国家认证与规管能力的强化提供了技术保障。可以说,现代信息技术给国家治理的实现以“技术赋能”。具体到社会信用体系建设中,所谓“技术”是指现代信息技术,由此形成了信用信息平台和信用评价的自动化算法,而“赋能”则主要指基于现代信息技术形成的信用信息平台与自动化算法对国家利用个人信息进行信用规制能力的激发与强化[13]。从实践来看,基于“技术赋能”所形成的是一种国家的“技术治理”模式②所谓“技术治理”,包括两个维度:第一个维度强调国家为实现治理目标而采用的“技术性”方式,即对工具化权力技术的运用;第二个维度则强调现代信息技术对国家治理手段的丰富,即国家利用现代信息技术开展治理活动。参见陈天祥,徐雅倩:《技术自主性与国家形塑——国家与技术治理关系研究的政治脉络及其想象》,《社会》2020年第5期。本文是在第二个维度上使用“技术治理”这一概念的。,国家利用信息技术实施认证与规管的能力得到逐步提升,国家治理中的技术治理可以保证个人信息利用的“最大化”需求得以实现。社会信用体系建设正是技术治理的重要内容,其实践展开依赖于国家对技术化的社会信用信息平台的构建,即通过该平台实现信息的归集、利用,促进各部门间的联合,完成各部门间信息的共享。另外,信用评分活动中个人信用分数的形成也依赖于现代信息技术,经由计算机模型和算法计算得出[14]。就技术治理的运转而言,因其具备一套特定的“自我偏好”与“效率逻辑”而区别于法律治理,这也构成了个人信息权益保护现实难题产生的重要原因。
第一,技术治理的自我偏好与社会信用信息平台的构建。“技术治理遵循的是自我偏好的逻辑”[15],这一自我偏好体现在社会信用信息平台的构建中。也就是说,社会信用信息平台拥有一套特定的技术方案,这套技术方案服务于信用信息归集、共享和处理的便利,以实现国家对个人信息的充分利用。这意味着,平台开发商与技术专家对平台的技术开发与构建必然以便利和最大化实现信用信息的归集、共享与利用为目标。例如,在2018年9月于南京开展的全国各级信用信息共享平台和信用门户网站建设观摩培训活动中,国家发展改革委分管领导提出要实现信用信息平台建设的“五个更高水平”发展,其中就包括“更高水平归集信息”与“更高水平共享信息”;另外,平台建设还需实现“五个更强大功能”,其中也涵盖了“更强大的信息查询功能”与“更强大的信息归集公示功能”等③相关内容参见刘梦雨,王砾尧:《以更高水平信用平台网站支撑更高水平信用体系建设》,中国信用官方微信公众号,https://mp.weixin.qq.com/s/J4n7oSe3cuys3T8QJbysUQ,访问日期:2020年4月2日。。可见,信用信息平台就是服务于信息归集、共享与利用的,平台构建所遵循的技术方案必定以该目标的实现为首要标准。平台构建遵循的是技术治理的逻辑,技术治理的自我偏好可以保证信息利用的“最大化”得以实现。正是基于技术治理的自我偏好,个人信用信息利用“最大化”的特征会趋于强化,这将在一定程度上可能造成个人权益的减损,为个人信息保护带来挑战。
第二,技术治理的效率逻辑与信用评分的自动化。除自我偏好外,技术治理还遵循着提升效率的逻辑,其必须考虑治理成本与效益的问题[15]。在社会信用体系建设中,为节省治理成本和提升治理效益,信用评分过程需要依赖一系列的自动化算法。在本质上,信用评分活动是一项自动化的信用管理技术,涉及建模等技术环节[16]。这一基于算法治理的自动化决策过程,可以提升信用评价的精确度与科学性,从而能够强化治理能力、节省治理成本、提升治理效果。在实践中,我国的信用评分系统主要分为两类,一是美国费埃哲公司开发的FICO评分系统(采用方如厦门和苏州),二是更为复杂的多维体系(采用方如杭州、福州和宿迁)[17]。无论是何种系统,个人信息均需经过自动化算法的识别、分析和处理。但是,信用评分算法是如何对个人信息进行识别、分析和处理的?评分标准是如何形成的?评分算法是如何计算得分的?作为被评价对象的个人对这些无从知晓,相应主体也缺乏必要的说明,经由算法决策产生的风险现实存在①关于信用评分算法及算法决策产生的风险,参见张涛:《个人信用评分的地方实践与法律控制——以福州等7个城市为分析样本》,《行政法学研究》2020第1期;姜野,李拥军:《破解算法黑箱:算法解释权的功能证成与适用路径——以社会信用体系建设为场景》,《福建师范大学学报》(哲学社会科学版)2019年第4期。。在技术治理的逻辑下,技术的运作只是在表面上体现了整个社会集团和社会利益的理性[18],但从本质上却反映着规制的目标。技术治理强化了国家能力,有助于个人信息归集、共享与利用“最大化”的实现,但极易导致个人信息保护的现实难题。
三、社会信用体系中信息利用的个人保护逻辑——以《个人信息保护法》出台为背景
社会信用体系建设中的个人信息利用展现了国家治理的基本逻辑。正是基于国家治理的基本逻辑,实践中呈现出个人信息利用的“最大化”特点。但在《个人信息保护法》出台的背景下,应遵循《个人信息保护法》所确立的个人保护逻辑。在内容上,《个人信息保护法》第1条明确了“保护个人信息权益”“规范个人信息处理活动”和“促进个人信息合理利用”的立法目的。这意味着,国家在利用个人信息过程中应注重个人权益保护,合理划定信息利用的边界。第6条在范围和方式上明确了个人信息处理的“最小化”原则,这也为个人信息的规范与合理利用设立了目标。概言之,未来社会信用体系建设中的个人信息利用需要严格恪守个人保护逻辑,规范信息利用行为,加强个人权益保护。由于个人信息利用的“最大化”在本质上反映的是国家治理能力的强化问题,因此个人保护逻辑的实现则需将国家治理纳入法治框架,以促进国家治理能力输出规范化,进而保障个人信息处理的“最小化”目标。
(一)个人保护逻辑实现的基本方向
社会信用体系建设中个人信息的规范利用应当坚持“国家治理能力输出规范化”这一核心的法理命题,并在此基础上准确把握个人保护逻辑实现的基本方向,即遵循国家治理的“绩效正当性”②所谓“绩效正当性”,涉及社会行动者或某项制度体系被要求完成的“绩效目标”,只要满足某种既定的绩效要求,便具备了正当性。参见张乾友:《绩效合法性与行政哲学的可能性》,《公共管理与政策评论》2019年第2期。向个人保护的“法治正当性”转化。改革开放以来,虽然国家对新兴权利或者法益的保障在整体上反映了其自身从以“绩效”为基础的正当性向以“法治”为基础的正当性转变[19],但就实践中的某些具体领域而言,基于绩效的正当性仍然发挥着重要作用。而在社会信用体系建设领域,个人信息利用的“最大化”依然是以绩效正当性为基础的。这种治理绩效包括两个方面的内容:第一是在信用监管方面所取得的治理绩效,即国家通过信用规制强化法律实施,利用信用工具促进失信主体的义务履行[20];第二是在诚信交易方面所取得的治理绩效,即国家利用个人信息所开展的信用认证和规管活动能够保证市场交易和社会交往的有序性。虽然国家基于个人信用信息利用所产生的治理绩效具有重要意义,但全面依法治国的基本方略对国家治理体系的完善与治理能力的强化提出了更高的要求。换言之,国家不能只注重个人信用信息所产生的治理绩效和所具有的治理价值,而且还应基于个人信息保护的法治正当性要求,提升国家认证能力与规管能力的规范化程度,遵循《个人信息保护法》所确立的法律规则与法律原则,用法治的基本要求规范和约束个人信用信息的利用。
但需要注意的是,实践中把握国家治理的“绩效正当性”向个人保护的“法治正当性”转化的基本方向,并不意味着国家能力的缩减。国家能力的强化对于个人信息利用的规范化仍具有重要意义。在社会信用体系建设中,若国家能力中的法律制度实施能力得以增强,那么社会信用体系便不必充当强化法律实施的工具,这不仅有利于个人信用信息范围的合理界定,而且还有利于国家以更加适当的方式利用个人信息,促进个人信息保护[7]。另外,国家能力的强化也能够提升国家对合法、有限范围内个人信息的利用效率,以取得既定的治理绩效。这将有助于国家恪守个人信息利用的法治界限,而无需最大限度地归集和利用个人信息。由此观之,信息利用需要坚持个人保护的法治正当性,个人信息利用规范化与国家能力强化之间可以实现相互促进。
(二)个人保护逻辑实现的具体路径
在社会信用体系建设中,“国家治理能力输出规范化”这一法理命题为个人保护逻辑的实现指明了基本方向,能够在平衡国家治理能力强化的同时,增强个人信息利用的法治正当性。但同时,我们还需要在此基础上,积极探索个人保护逻辑实现的具体路径,在实践中加强国家对个人信息利用的限制与约束。
1.加强对技术治理的法治约束
在社会信用体系建设中,技术治理强化了国家能力,提升了社会信用体系在实践中的治理绩效产出。但基于《个人信息保护法》所确立的个人保护逻辑,应加强对技术治理的法治约束。这意味着,应通过法律实现对信用信息平台的技术操作与信用评价算法的价值规范与引领,通过法律所具有的价值理性实现对技术运作逻辑的规制与反拨①关于法律对技术规制的研究,参见孙莉:《在法律与科学技术之间》,《科学学研究》2007年第4期;何明升:《中国网络治理的定位及现实路径》,《中国社会科学》2016年第7期;郑智航:《网络社会法律治理与技术治理的二元共治》,《中国法学》2018年第2期。。一方面,针对信用信息平台的设计与操作,信用信息平台中的技术性偏好应受到法律的价值规范,在个人信息归集、共享与利用的过程中,信用信息平台操作规程的设计以及信用信息共享原则的实现还应充分考虑到个人信息的保护问题,特别是在负面信息披露过程中应当加强对人格尊严的保护。另一方面,信用评价中的自动化算法在强调效率逻辑的同时,还应充分考虑信用评价算法设计与运用的科学性、合理性、透明度以及对评价对象的权益保护等问题。例如,《个人信息保护法》第24条规定了经由自动化决策处理个人信息的法律规制问题,并强调应保证自动化决策的透明度和结果的公平、公正;通过自动化决策作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明。与这一规范相匹配,社会信用体系在建设中应严格界定信用评价算法的应用范围,遵循算法运行的限制条件和正当程序等,在个人权益受到减损时个人可以要求行政主体对信用评价的算法进行解释②关于对算法解释的研究,参见张凌寒:《算法权力的兴起、异化及法律规制》,《法商研究》2019年第4期;解正山:《算法决策规制——以算法“解释权”为中心》,《现代法学》2020年第1期。。以此为基础,应增强信息技术运转的客观性、公开性与透明性,以使得技术治理的运转在实践中符合法治的基本要求,遵从个人信息保护的基本逻辑。
2.提升社会信用体系建设中的制度伦理
“制度伦理”是指制度本身所蕴含的特定伦理追求、道德原则与价值判断③关于“制度伦理”的相关论述,参见方军:《制度伦理与制度创新》,《中国社会科学》1997年第3期;高兆明:《制度伦理与制度“善”》,《中国社会科学》2007年第6期。。从当下中国的制度设计行为来看,其特别注重一项制度能否实现设计者期望达至的外在目标,而缺乏对该制度本身所应具备的伦理与道德要求(制度伦理)的关注[21]。社会信用体系建设中对个人信息利用的制度设计亦是如此,其过于注重个人信息利用所达至的治理效果,而未充分关注个人权益保护问题。从制度伦理的角度看,制度的设计与运转应强调“人”的主体地位。这就要求国家在利用个人信息强化治理能力的过程中,应以个人信息的保护为重心,行政主体应坚持“最低限度的道德”,对个人信息的处理须符合法治所要求的道德和伦理方面的内容[22]。
就提升社会信用体系建设中制度伦理的具体举措而言,应既包括规范社会信用体系建设中对个人信息利用的制度设计,又包括行政机关在具体利用个人信息过程中对制度伦理的践行。具体而言有两点:其一,应合理界定“信用信息”的范围,信用信息的范围界定应当精细化。实践中对信用信息范围的界定过宽是导致个人权益减损的重要原因,因而在对信用信息进行界定时既应围绕“信用”本身的含义而展开,将“守信履约”状态作为界定信用信息的核心标准;同时又应将地方信用立法中存在的一些不确定法律概念予以精确化、明确化,以增强信用信息范围的精确度④例如,《上海市社会信用条例》第9条第2款第6项在对“失信信息”进行界定时增设了一个兜底条款,即“法律、法规和国家规定的其他事项”。但是,“国家规定”这一概念并不精确和明晰,在具体操作时也难以准确界定,这便在无形中扩大了失信信息的范围。参见孙平:《〈上海市社会信用条例(草案)〉中个人信息保护问题的建议与评述——2016年11月17日在“上海市社会信用立法专题研讨会”上的发言》,载许多奇《互联网金融法律评论》(2017年第3辑),法律出版社,2017,第129页。。其二,平衡行政效率与个人权益的天平,避免信息利用中的个人权益减损。在具体操作层面,行政机关和其他公权力组织应以法律为界限加强对制度伦理的践行。这就要求在个人信息利用过程中,国家不能仅基于行政效率的考虑而忽视个人权益保障。为平衡二者关系,须做到:一方面,国家认证和规管能力的输出应当规范化,个人信息利用应最大限度地保障个人的人格权益,公权力主体在这一过程中的权力行使应符合依法行政、比例原则、目的特定原则等基本要求[23];另一方面,还应明确并落实个人在信息处理活动中的相关权利,这就要求在社会信用体系建设中坚持个人信息的权利地位①关于个人信息权利地位的相关讨论,参见周汉华:《个人信息保护的法律定位》,《法商研究》2020年第3期;钱继磊:《个人信息权作为新兴权利之法理反思与证成》,《北京行政学院学报》2020年第4期。,切实保障《个人信息保护法》第4章规定的个人在信息处理活动中的知情权、决定权、查阅复制权、可携带权、更正权、删除权等权利②另外,国内也有学者主张加强对社会信用体系建设中的个人信息决定权、个人信息保密权、个人信息查询权、个人信息封锁权等合法权益的保护。参见齐爱民:《社会诚信建设与个人权利维护之衡平——论征信体系建设中的个人信息保护》,《现代法学》2007年第5期;罗培新:《社会信用法:原理·规则·案例》,北京大学出版社,2018,第146—151页。,从而在具体操作层面突显以“人”为中心的制度伦理。
3.建立个人信用信息保护的激励机制
从加强技术治理的法治约束与构建制度伦理,并落实个人在信息处理活动中相关权利的角度看,这是从外部建立的对国家利用个人信息的规范;而社会信用体系建设中信息利用的个人保护逻辑之实现,还应在公权力主体内部建立起个人信用信息保护的激励机制。诚如周汉华教授所言,建立个人信息保护的激励机制,要使对个人信息的保护成为公权力主体的内在需要,以使得法律规范的外在要求同公权力主体保护个人信息的内在激励相容[24]。若公权力主体能够产生保护个人信用信息的内在动力,将会从源头上解决国家在利用个人信息过程中治理能力输出的规范化问题。这就要求,在个人信息保护的思路层面,应着重加强对公权力主体的内部激励;在激励机制的设计层面,应针对各部门、各领域在社会信用体系建设中的特点,在各部门内部完善并践行个人信用信息利用与保护的组织、程序等激励规则[25]。在以个人权益保护为逻辑的社会信用体系建设中,应遵循《个人信息保护法》第55条和第56条所明确的个人信息保护影响评估的规则,从内部调动公权力主体在个人信用信息保护过程中的积极性。另外,还可探索在公权力主体内部建立绩效考核机制,摒弃个人信息全方位归集的思路,通过考核或其他激励机制的设计,促进公权力主体在社会信用体系建设中保障个人信息处理的“最小化”。
结语
在社会信用体系建设中,存在着利用个人信息的诸多情形,并呈现出个人信息利用的“最大化”特点。个人信息利用的“范围过大”与“权益减损”问题均同社会信用体系建设中的国家治理逻辑密切相关。新出台的《个人信息保护法》确立了信息利用的个人保护逻辑,社会信用体系中的信息利用应实现国家治理逻辑向个人保护逻辑的传递。从本质上看,社会信用体系建设中的个人信息利用反映了国家治理能力的强化问题,因而个人保护逻辑实现的根本途径在于加强国家治理的法治化。基于此,应从“国家治理能力输出规范化”出发,加强对技术治理的法治约束,提升社会信用体系建设中的制度伦理,建立个人信用信息保护的激励机制,以此保障个人信息处理的“最小化”并实现国家治理能力的法治化、现代化。通过对我国社会信用体系建设中的个人信息利用展开理论与实践分析,可以发现个人信用信息的利用是伴随着国家治理的不断深化而逐步推进的。在我国《个人信息保护法》出台的背景下,国家治理对个人信息的利用应以法治的规范和约束来凸显“人”的主体性地位。可以说,此次《个人信息保护法》出台为实践中的个人信息利用划定了界限,任何信息处理活动均需对个人保护逻辑予以遵循,任何信息处理行为均应遵从合理限度,将个人尊严与权益的保护放在第一位。
