权利束视角下个人信息自动化处理中的利益衡平
2023-10-21王静高志明
王静 高志明
摘 要: 个人信息自动化处理中存在多方主体的利益诉求,有必要将个人信息保护治理的视角转换到主体利益衡平上来。权利束理论与个人信息权利结构契合良好,并能发挥促进信息流动和因应场景调整主体利益关系的应用价值。自动化算法使个人信息处理过程中不断生成多样的利益,并形成复杂的冲突格局。相较于传统的利益衡量方法,权利束理论更适合回应个人信息自动化处理中的冲突利益衡平问题。借助权利束理论的权利边界和权利位阶概念,一方面应以明确赋权和正当性标准来分别确定主体的利益范围和限制主体权利泛化,降低个人信息自动化处理的合作成本;另一方面应通过因应场景的法律制度安排,指引权利配置优化,鼓励谈判合作并减少谈判失败的损失。
关键词: 个人信息自动化处理;权利束理论;利益冲突;利益衡平;权利边界;权利位阶
中图分类号: D922.16
文献标志码: A
文章编号: 1673-3851(2023) 06-0307-09
Interests balance in automatic processing of personal information from
the perspective of rights bundle
WANG Jing, GAO Zhiming
(School of Humanities and Law, Yanshan University, Qinhuangdao 066004, China)
Abstract: The interest demands of different subjects exist in the process of automatic processing of personal information, so it is necessary to change the perspective of personal information protection to the balance of subjects′ interests. The theory of rights bundle fits well with the construction of personal information rights, and can bring into play the two application values of accelerating the flow of personal information and adjusting the subjects′ interest relationships according to the scenario. Automatic algorithms enable the continuous generation of diverse interests in the process of personal information processing and lead to complex conflict patterns. Compared to traditional methods of interest measurement, the theory of rights bundle is more suitable to respond to the problem of balancing conflicting interests in the automatic processing of personal information. Through the comprehending of right boundary and right rank, on the one hand, it is necessary to define the scope of interests of different subjects and restrict the generalization of subjects′ rights with clear empowerment and legitimacy standards, so as to reduce the cooperation cost of automatic processing of personal information. On the other hand, it is necessary to guide the optimization of rights allocation, encourage negotiation and cooperation and reduce the loss of negotiation failure through the legal system arrangement in response to the scene.
Key words: automatic processing of personal information; the theory of rights bundle; conflict of interests; interests balance; right boundary; right rank
隨着数字化社会的飞速发展,个人数字化转型将越来越多的个人信息主动或被动地共享到数字空间之中,使之成为越发重要的社会资源。2021年11月1日起实施的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第24条规定了个人信息处理者利用个人信息进行自动化决策的相关规则。但在《个人信息保护法》实施之前,我国涉及个人信息权益保护的相关规定散见于《中华人民共和国消费者保护法》《中华人民共和国网络安全法》《中华人民共和国电子商务法》等法律之中。这些立法虽各自着眼于不同场景,但都基本上确立了以知情同意为前提的个人信息处理规则。该规则暗含着个人对于个人信息具有支配权,其结果自然是:未经知情同意收集和使用个人信息即属侵权[1]。而技术发展使算法借助不断扩容的数据和不断强化的算力,覆盖了社会生活的诸多领域,时刻处理着个人的信息数据。在算法权力崛起的冲击下,信息主体逐渐失去对个人信息的控制和支配能力。个人信息的权利诉求越发多样化和细节化,但信息主体与信息处理者的地位却严重失衡。此时,知情同意已然不能满足个人信息保护的需求。当今个人信息流通已成常态,强调个人绝对的支配和控制既不可能,也无必要。所以,在早期遵循着“支配-侵权救济”思路开辟的行为规制主义进路已捉襟见肘。该进路围绕着侵权法、竞争法以及刑法等法律和相关规范性文件,以事后结果问责约束信息处理行为。而单纯设定行为禁区无法有效解决利益保护和损害救济的问题[2],即使有利于矫正个人信息利用秩序,但限制了信息处理者的积极性,无益激励个人信息的流通。
于是学界开始从这种静态的行为约束模式转向民法体系内部,借助物权法[3]、合同法[4]或知识产权法[5]等规范体系细化个人对其信息享有的权利和权能,使个人信息治理呈现出“权利-义务”的动态图景。然而个人信息不同于既往任何民事法律关系的客体,其属性特征使上述依托现有规范的赋权方案显现出相当的缺陷,并且仍然“无法对个人数据信息的使用方式、目的和效果产生有效的规制”[6]。此外,因为算法机制似乎与形式主义法治中“自动售货机”的设想完美契合,而且在智慧司法实践中也不乏将法律规范表达为计算机代码语言的尝试,因而有观点认为,可以将个人信息保护规则和伦理嵌入算法和代码之中[7]52。不过,在技术层面,将模糊的法律“湿规则”转换为精确的技术“干规则”,必然以丧失法律灵活性或无缝隙性为代价[8]。在上述进路纷纷受阻之时,确立独立的个人信息权成为了个人信息保护的新主张。申卫星教授[9]认为,唯有予以个人信息以权利地位才能体现对其保护的重视,且唯有明确其权利地位才能让信息得以充分利用,实现信息之所以为信息的本质诉求。欧盟的《一般数据保护条例》(General Data Protection Regulation)通常被借鉴为个人信息权利设计的模板,即构建一个以知情同意为基础的,覆盖访问权、纠正权、被遗忘权、限制处理权、数据携带权以及异议权等权利的集合体。我国《个人信息保护法》就是遵循这一进路,为个人应对信息处理赋予了充分的权利赋予了个人充分的权利去应对信息处理。
因此,不难发现,在个人信息治理的手段演进中,信息处理者总是被强调承担义务和责任。但实际上,信息主体和信息处理者对个人信息有着不同的利益诉求,前者希望法律充分维护自己的人格利益以及附属的财产利益,后者则希望法律给自己的财产利益留一席之地[10]。这一现象使个人信息自动化处理过程涉及的主体利益平衡问题得到了重视。张新宝[11]就认为,个人信息治理中存在着一组需要平衡的利益关系,个人信息处理不仅为个人人格尊严带来潜在风险,也可能成为发展数字经济和提升政府治理能力的重要推动力。高富平[12]也认为,个人信息保护领域中的利益涉及个人信息本身所附着的信息主体的个人利益, 以及与个人信息处理紧密结合的信息处理者的利益和公共利益。那么,理顺立法要求与信息处理者内在激励之间的关系,使个人信息保护成为信息处理者的内在需要,才是个人信息保护制度设计的目标和最终评价标准[13]。为了实现个人信息保护与利用的协调,必须转换研究视角,从利益衡平出发,找到个人信息自动化处理过程中不同主体的利益互通桥梁,实现帕累托改进式的共赢。
本文以权利束理论为视角研究个人信息自动化处理中利益衡平的实现进路。首先讨论该理论在个人信息权利构造中的应用价值;并且通过梳理个人信息自动化处理过程中不同主体间的利益冲突关系,揭示实现利益衡平的进路所在;进而提出以权利束理论为基础的个人信息上多元主体冲突利益的衡平方案,以实现个人信息权益保护和有效利用的协调。
一、权利束理论要义及其在个人信息权利构造中的应用价值
(一)权利束理论要义——关于资源使用的权利集合
权利束的概念源于财产权研究的实证主义转向。实证分析法学者将财产权理解为一束法律关系,由此解构了自然主义一贯的“對物性”理解。财产权不再由物等客体表述,而是转变为一束包括权利、权力、特权、豁免在内的法律关系[14]。因此,权利束的本质是人与人的关系,是由规则约束的对资源的使用等一系列权利的集合。随着私有财产的权利内容不断因其他个体、集体以及国家的参与而丰富,因此需要一种更具包容性的结构来描述和表达同一财产上不同主体的权利。权利束的概念扩充了以财产权为核心的产权概念,从而实现了不同主体在一定条件下对私人财产的干预。一项财产上的产权权利束通常表现为使用、收益和让渡三个方面。
产权的使用表现为在一定范围内自由使用财产的权利。这种使用权通常来源于所有权和他人的授权,即使用权的范围不仅依靠制度的安排,也源于主体之间的契约。财产的使用能够使财产的价值得以实现,进而实现权利主体的利益目的。单一主体对财产的使用由法律限定边界。在权利束中,多个主体使用同一财产时,他们间的使用权便依场景变化呈现出相互排斥的动态关系。所以,对财产享有使用权意味着一种排他性,只有排除他人的不当干预才能保证自己使用财产的收益,也只有在自己对财产的使用不越过边界时,所获利益才是正当的。
产权的收益必然建立在排他性前提之上。权利是实现利益的手段。正是基于利益性的目的,才使得同一财产上的不同的使用权主体被捆绑起来。为了不使多主体对财产的使用陷入无序状态,必须强调权利边界的约束作用。主体对于财产的使用权既是排他的,也是受其他主体权利排斥的,这样才能在实现纵向的“主体-财产”的使用与收益的同时,发现横向主体间的冲突利益关系。
产权的让渡则是指产权可以通过契约在主体之间转移。例如,租赁关系中所有权与使用权的分离。权利让渡会导致产权结构发生调整,进而影响资源配置状况。产权整体或者其中的某束权利由此归属于其最优使用者,而最优使用者之间必然可以通过合理的分工或交易形成有效的合作性的生产组织。这样,财产的价值才能发挥到最大,进而实现使用效率和收益最大化的目标。
(二)权利束理论在个人信息权益构造中的应用价值
权利束理论旨在描述某种财产之上存在多元主体及复杂利益集合的状况,并为利益间的关系建构提供相适应的模型。而将不同主体的不同利益联系在一起的互通桥梁,就是共同的财产资源;这在权利束的结构中,就是将不同利益关系捆绑起来的束点。而各主体对于同一资源的使用产生的多元利益诉求以及法律关系,则构成了权利束的内容,即束体。随着新的信息的获得,资产的各种潜在有用性被不同领域的人们发掘,并通过交换他们关于这些有用性的权利而实现其有用性的最大价值[15]。所以,权利束是动态的、开放的,能够适应和接纳社会发展中生成的新兴利益诉求。个人信息包含人格利益与财产利益,对其中的财产利益可适用交换规则[16]。这成为权利束理论适用于描述个人信息权益结构的基础。
权利束的结构和特点与个人信息之上的多元利益构造具有相似性。在权益构造上,个人信息的使用、使用权的让渡以及个人信息处理的溢出效应扩大了相关利益主体的范围。信息主体作为原始权利人,通过协议让渡部分使用权给信息处理者。信息处理者也可经协议将处理后的个人信息数据许可其他主体使用,而对海量个人信息形成的数据使用会对更多主体甚至整个社会带来广泛影响。在这一过程中,个人信息越发体现公共属性,但是,在产权可变的前提下,很少存在单纯由于物的属性而具有非排他性的物品[17]。个人信息若作为涉及人格尊严的私权的客体,或是作为商业秘密或依法不公开的行政信息等内容时,则明显具有“阻止他人使用”的排他属性。总而言之,在自动化处理中,所有主体的利益诉求均是围绕着使用个人信息生发的。所以,个人信息的使用必然是这束权利的束点,用来捆扎所有与之相关的利益关系。在个人信息为基础的权利束中,多个主体所享有的权益,既相互联系,又各自独立,呈现出明确的边界。如此,个人信息权利束完全具备权利束的束点、束体结构要件,并具有可使用、可收益、可让渡的特征。
权利束理论在个人信息权益构造中能够体现出两方面的应用价值。一则,权利束最核心的价值是促进资源的流动。个人信息保护的目的之一,就是促进个人信息的合理利用。产权实现资源最优配置的关键途径是交易。而个人信息的流通体现出较强的资产专用性。资产专用性可以理解为“当某种资产在某种用途上的价值大大高于在任何其他用途上的价值时,那么该种资产在该种用途上就是具有专用性的”[18]。企业为了增加个人信息的使用价值,在技术上投入大量的开发和服务成本来进行特定目的下的个人信息处理活动,以期待在交易中实现更大的收益。随着信息产业发展,处理者为此投入的成本愈加固定化和专门化,难以轻易移作他用。这种情况下个人信息价值的实现就对交易有着较强的依赖,因而需要维持交易的稳定性和持久性。交易的进行必然在产权明确的前提之下,这样利益主体就会有明确的预期,主动地推动交易形成,促进资源的有序交换与流动。二则,产权权利束的灵活性与个人信息保护领域中新兴的“场景理论”不谋而合。在动态开放的权利束结构中,权利义务关系并非单一和绝对。不同主体的利益因为存在明定的边界而得以互不侵犯,一旦边界模糊,利益就会出现冲突。此时,就需要应不同具体场景的效率需要去不断调整各个权利束的排序,从而促成交易的发生[19],也即通过权利的合理配置化解权利间的冲突。源于个人信息处理场景的广泛性和复杂性,个人信息治理必然因为其涉及的不同利益而产生多元面向。所以,在场景理论下,保护个人信息所期望实现的价值是均衡地保护信息处理参与者利益[20]。
二、权利束视角下个人信息自动化处理过程中的利益冲突
(一)个人信息数据化——复杂利益关系生成的前提
在信息论中,信息是事物及其属性标识的集合,承载一定的意义,能对未知加以确定。我国《个人信息保护法》将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,因而个人信息是个人身份和特征的标识的集合。该定义同时揭示了个人信息在形式和实质上两方面的要素,即“记录”和“识别”。个人信息的“记录”要素对应着信息的“依附性”特征。个人信息同信息一样,具有无形性和流动性,需要依靠一定的载体才能向外界展示其内容。个人信息的“识别”要素则意味着个人信息与特定自然人的关联性,可以直接或间接识别并区分信息描述的对象。
“记录”和“识别”在信息与数据的层面则反映出内容与形式的区分。《中华人民共和国数据安全法》将数据表达为“任何以电子或者其他方式对信息的记录”。从法律术语本身来看,数据是信息的载体,而信息则是数据的表达。形式载体决定了对个人信息的存储、传输以及处理的方式,数据化使信息转变为数字和符号,不再依附传统的物质媒介。在此意义上,数据化使得个人信息实现了海量存储以及高效率、低损耗的传输。这不仅降低了个人信息的识别成本,更使其满足了被算法进行自动化处理的条件。而个人信息权利束的束体也因此得以扩容。
进一步而言,在自动化处理过程中,正是算法使“从低价值的原始数据到高价值的衍生数据的转变成为可能”[7]98。个人信息的数据化使得交易成本降低,促进使用权让渡的发生。算法越先进,关联信息组合分析越充分,能够覆盖的应用领域就越广泛,能够实现的使用价值也就越大,进而使得个人信息的使用收益性愈加凸显,这一过程也使更多主体因个人信息的使用而产生利益诉求。个人在享受信息自动化处理算法服务的同时,使用该算法技术的信息处理者也可以在此过程中获得一定的经济利益。此时,数据化的个人信息,在内容层面上能够直接或间接识别出信息主体,所以其使用关涉着个人的信息权利,需要适用个人信息保护的规则。而在形式层面上,个人信息的数据化处理和分析过程体现着信息处理者的劳动和成本投入。在劳动赋权理论的基础上,信息处理者应享有相应法律上的利益。此外,在大数据使用的角度,个人信息自动化处理同时还承载着社会经济、信息社会、公共管理以及信息安全等方面的意义[21]。
由此看来,数据化的个人信息已经在自动化处理过程中成为多方主体利益需求的载体。在这一意义上,个人信息的数据化使用,是复杂利益关系产生的基础,也是权利束束体扩容的前提。
(二)个人信息之上的利益关系及冲突格局
纵观个人信息处理的全过程,信息主體作为个人信息的生产者和初始控制者,可以决定自己信息被收集的目的、被处理的形式和被使用的范围。信息主体将个人信息在一定范围内的使用权让渡给信息处理者,双方的关系通常以合同关系为基础。简言之,这种二元关系的构建源于合同授权。置之于个人信息权利束的结构中,一束权利即以授权行为为节点生长延伸,使权利束束体实现扩容。二元关系中的信息处理行为会产生外部性,即处理后果可能超出个人信息处理的原本目的和预估效果,使更多主体处于处理行为的影响范围之内。现实中,这些主体之间的关系通常因为算法的技术特征呈现出复杂的样态和冲突格局。
1.个人信息之上的利益关系
一方面,算法应用规模化、下沉化,使个人信息自动处理过程中的主体间关系形成了多维度网络。为了提高信息利用效率,个人信息处理的过程会通过交易和共享尽可能地延长。同时,算法应用门槛不断下沉,并越发呈现出以互联为特点的规模化特征。信息主体可以许可多个信息处理者处理其信息。被许可的信息处理者也可经授权将其持有的个人信息与其他主体共享或交易。由此呈现出一个以信息主体为起点,以合同授权为连接,多个信息处理者独立或合作处理的个人信息处理网络。而且,除了企业以外,政府、公益组织以及科研机构等主体也可以是个人信息的处理者,这使个人信息自动化处理所产生的社会效果空前广泛。如今公共秩序、公共安全和公共福利的推进,都离不开以个人信息为基本单位的数据库的支撑[22]。个人信息自动化处理所涉及的利益主体早已超越基础的二元关系。国家和社会作为个人信息处理活动中不可忽视的利益相关主体,必然会参与并改变原先的关系格局,建构出一个覆盖“个人-商业信息处理者-国家和社会”的复杂的三维利益空间。
另一方面,算法技术的黑箱化与自主化引发了主体间的地位失衡。为了追求多元功能的实现,算法的程序模型和运算机制愈加复杂,不同算法的组合使用也愈加多样化。又为了减少人们直面复杂技术的困惑,算法代码与信息数据的紧密耦合被掩盖在简洁的操作界面之下。因此自动化规则公开和解释的成本更加高昂,这意味着技术发展同时也架构起了一个认知的黑箱。这个黑箱贯穿于信息收集、处理以及结果输出的全程,诱发并加剧信息主体与信息处理者之间的不对称地位,产生一系列负外部效果。此外,作为一种自动化系统,算法进行个人信息处理的过程中一旦存在算法歧视、信息控制、侵犯隐私等问题,就会成为连续性的常规动作,产生系统化和机制化的侵权后果[23]。在信息主体的角度,算法黑箱不仅掩盖“自动侵权”的发生,还会阻碍受损权利的救济。而信息处理者可以借此谋取经济利益,掩盖损害并逃避法律责任,最终导致数字经济市场发展失序。个人信息巨大利用价值的激励与密集行为规范立法和外部威慑执法的约束衔接不良,还使信息行业发展的内部需求与外部监管要求难以协调。
2.个人信息之上的利益冲突格局
三维主体间的利益关系在个人信息自动化处理过程中,通常呈现出纵横两种冲突格局。信息主体享有人格利益,信息处理者享有财产利益,国家和社会同样也享有安全、秩序和发展等利益。三方主体的利益期待不可避免存在重合,因而在频繁的个人信息流动中,权利的边界在不同处理场景中此消彼长,某一方主体的权利让步在所难免。
横向的利益冲突发生在个人信息自动化处理过程中的同类主体之间。在信息主体之间,个人信息的流动一般出于社会交往的目的。但某些个人通过钓鱼网站和爬虫算法等技术手段,攫取并滥用他人信息的行为并不少见。商业信息处理者之间则存在着个人信息数据的垄断与竞争。利益驱动下的处理者通常不会共享敏感数据和机密数据,而个人信息的高额有偿使用和在大型处理者处的高度集中将成为个人信息流动的阻碍。至于国家和社会层面,大量个人信息数据的跨境流动极有可能泄露国家或地区的经济状况或人口情况等信息,为国家安全带来隐患。
纵向的利益冲突则体现为不同主体因个人信息使用产生的冲突。个人与商业信息处理者之间的利益冲突是其中最为主要的一种。信息处理行为失范会为信息主体带来不确定的风险。人们对大数据杀熟、算法歧视以及信息茧房等现象的担忧即可说明信息处理者在追求经济利益的同时往往忽视了对个人信息主体权益的保护。公权力处理个人信息的过程同样存在利益冲突。政府机构借助权力地位,对个人信息具有绝对的监控和获取能力,故有学者担忧自主性的算法嵌入政治体系对政治权力和政治价值的施力将导致“算法利维坦”[24]。此外,公权力也会对信息处理行为进行约束和监管,防止大型信息处理者形成信息巨头,稳定数字经济的发展秩序。
(三)传统利益衡量方法的应用困境
个人信息自动化处理过程中的复杂利益冲突格局会导致个人信息保护治理中的诉求角度不一致。立法通常倾向于通过限制信息处理行为来保护信息主体的权益,只在涉及国家社会利益等特殊场景下才对信息主体进行限制。如今大数据时代,协调个人信息保护与利用的矛盾,必须重新考虑权利的配置问题。这涉及各主体间权利与利益的价值比较。如若要确定不同权益保护的优先顺序,利益衡量理论似乎具有独特的优势。
在利益法學视野下,不同主体的利益属于异质利益。异质利益冲突的解决一方面依靠立法规定的权利位阶,另一方面在于共识性标准的构建,从而使抽象命题转变到具体情境中,最终实现法律适用。但是随着社会发展,立法适应现实中利益关系动态变化的成本越来越高,共识标准也愈发难以达成。因此,利益衡量通常应用在具体个案中,通过法官进行法律规范与实质判断相结合的自由裁量来实现。为了避免抽象宽泛的一般条款引发恣意裁判风险,有学者提出“从政策、公理以及社会主流观念等当中寻求对冲突双方权重的尺度,再通过对宪法以及个人信息法的有权解释等方式使这些标尺统一与明确地体现出来,并以之指导与规束裁判信息自由与个人信息权诉争的工作”[25]。但尽管如此,利益衡量方法仍难以应用在个人信息自动化处理中进行系统性的利益衡平。其原因一方面在于,该方法局限于个案,只能解决既有冲突,无助于指导主体权利的配置优化。利益衡量对冲突利益的取舍往往是一种主观的、事后的判断。以利益为导向的法律适用只保护法官认为值得保护的权利,而不是平等地保护所有利益[26]。另一方面,利益衡量理论的视角处于主体关系外部,回避了对各主体享有的权益本质的探讨。这使主体间利益冲突的解决常常被各种新兴权利诉求困扰。
事实上,利益衡平的实现需要将视角深入到主体关系内部,建构一种全面性、体系性的机制,从而使利益冲突的解决手段获得演化和发展的能力,因应个人信息处理场景的扩展提供主体间冲突关系的调和方案。与利益衡量理论相比,权利束理论更适合用来研究个人信息自动化处理,从而设计其过程中的冲突利益衡平方案。
三、权利束视角下个人信息自动化处理多元利益的衡平方案
权利束结构上的开放性和灵活性使得主体间的权利关系能够随着场景的变化而调整,但这些特点实际上也是权利束结构中潜在的风险。结构上过于开放,会造成束体不受限制的扩张,演化成公地悲剧;而内容上缺少规范性,过分依赖实质因素,实际上消解了规则,会损害法律的稳定性。因此,在权利束理论指导下就个人信息的自动化处理进行制度设计,以化解其中的利益冲突时,必须考虑上述问题。
(一)制度安排下的权利边界
1.权利束内部——权利之间的排他性
权利束理论强调通过“人与人的冲突协调”来界定权利,这在本质上是通过交易成本来指引个人信息资源的合理配置。现实中,个人信息使用权让渡的交易成本必然存在且大于零,那么权利的初始配置就会对效率产生影响。因为只有配置优化能够带来更多收益或较少成本时,才会刺激权利交换发生。高效的初始权利配置必然要求清晰的权利界定,这是减少交易成本并促进交易的前提。当对财产利益的享有成为一种有所属边界,可以明确归属的权利,就可以防止他人对已经拥有、占有的财产进行侵害[27]。因此,当下个人信息的流动已成常态,权利束内部的个人、信息处理者以及国家和社会三方主体享有何种权利以及享有何种程度都应进行明确安排,才能将相关主体的利益落到实处,并为冲突的化解提供依据。进而发挥权利束的激励与约束功能,实现个人信息保护与信息流动利用的共赢。具体而言,在“保护-利用”平衡的价值理念下,有必要区分不同主体于信息自动化处理过程中享有的核心利益,并立法赋权以明确相应的内容和边界,降低权利交换的交易成本。明确主体核心利益有助于确定权益冲突中的优先保护对象,构造主体间的权利关系网络,同时鼓励非核心利益让渡,促进个人信息在流动利用中创造更多价值。
核心利益与非核心利益的区分对于信息主体而言,意味着隐私、尊严等人格利益与其他一般利益的区分。因此,敏感个人信息以及能够直接识别主体的个人信息,如面貌特征、虹膜、指纹、基因等生物信息,宗教信仰、身份证号码、家庭关系等社会身份信息,以及行踪轨迹、健康和金融资产等衍生信息等,关涉主体的隐私与人格尊严,应当由立法明确让渡使用权的必要条件以及可能存在的例外情形,并以外部监管来对信息处理者在处理过程中采取的安全保护措施进行监督。
对信息处理者而言,经算法处理个人信息得到的海量数据凝聚着巨大的经济利益,成为资本运转和技术创新的核心驱动力量,这种利益相较于提供算法应用服务获得的一般经营利益显然居于更高位阶。学界多认为应当以个人信息数据财产化的形式,使权利人既获得比在商业秘密或《反不正当竞争法》一般条款下更强的保护,又得以按照其意愿转让或授权他人使用数据集合,最终实现数据资源的有效配置[28]。但数据财产说“并未给机器生成数据划定清晰的权利边界以及构成要件”[29],因而不利于个体保护和信息流动效率提高。实际上,结合权利束结构和场景理论,应当细化信息处理者享有的合法权益。对于强识别性的个人信息数据,应明确个人享有的信息权利,从而形成信息处理者的行为边界;对于经过技术标准确认的经匿名化和脱敏化处理的个人信息数据,以及其他非识别性的使用痕迹数据等,应由法律确定信息处理者享有相应的占有、使用、处分的财产利益,以激励数据流通利用的自发性和持续性,优化数据市场资源配置。
对国家和社会而言,鼓励发展个人信息自动化处理技术同时又施加合理的规制措施,是为了促进数字市场健康发展并维护大数据安全的核心要求。公权力对信息处理行为进行规制,应当根据信息主体核心利益保护和信息处理者核心利益保障的现实需求进行弹性设计,因为一味基于所谓公共秩序或公共利益而仅由公法保护个人信息,必然导致价值权衡上的重大缺失,使得个人信息的法律保护缺乏充分的正当性基础[30]。为了减少个人信息自动化处理活动对国家和社会带来的负外部性,公权力的监管应当围绕个人信息权利束展开,根据各方主体核心利益的实现,设计个人信息自动化处理中的正当程序保障和责任机制。对涉及主体核心利益的交易应当安排严格的监管标准,例如,完善算法备案,强化审查标准,定期风险评估等。
至于各主体的非核心利益,因技术发展和应用场景变化而具有不确定的内涵,无法通过法律进行正向赋权。不过,非核心利益的交换,可以依靠一种“反向的确权规则”,也即在“法不禁止即自由”理念下,设置算法的责任清单或负面清单并借助规制算法给定合法的空间来描述权利的运作边界[31]。同时,强化对平等理性主体对话机制的保障,降低交易谈判的成本,发挥契约在非核心利益配置优化中的作用。
2.权利束外部——权利归集的正当性
个人信息使用权的让渡使权利束中的主体关系发生变化,体现了个人信息使用权能与所有权的分离,并“通过权能行使创生出某种社会功能而被权利化”[32]。因权利让渡取得的个人信息使用與收益权相较于原始所有权具有明显的独立性,表现为对个人信息某一方面使用利益的支配。这种“权能与权利分离并连环转化”的过程正是权利束得以扩展的根源。不仅使用权如此,对于信息主体而言,人格的社会流动同样使得个人的信息权利和权能衍生出更加多元的功能面向。例如,解释请求权是从知情权能发展出的新兴权利。但是,新兴的权利现象如何上升为一项法律权利或受法律保护的利益,需要进行充分的论证。否则权利束内权益泛化,反而会增加主体间冲突发生的风险。必须以某种正当性边界作为个人信息权利束归集的标准,防止束体过分膨胀。
一方面,束点决定权利束中的权利关系数量。在个人信息权利束中,作为束点的个人信息使用权的正当性就是权利主体享有的权利和利益的正当性基础。正当性源于法律或有效的契约安排。法律应当明确个人信息自动化处理的合法前提,在知情同意机制之外,结合各方主体核心利益诉求制定场景化的合法处理规则。例如,《个人信息保护法》将订立或履行合同所必需、保护个人生命或财产的重大利益以及保护社会公共利益作为处理个人信息的合法情形。而在个人信息使用权交易中,除了需要法律的确权和规制来保证权利交易和行使的合法性,还可以引入更多的主体监督信息自动化处理正当程序。其中主要是信息主体积极权利的行使,例如,《个人信息保护法》第24条赋予信息主体在自动化决策中的拒绝权和请求说明权。应当为这些权利的行使疏通渠道,并建立相应的投诉和申诉机制,使个体成为冲突关系内部制约信息处理行为失范的重要力量,兼顾主体间的不对称地位的平衡,保障契约关系中各主体的权利实现和义务履行。此外,还可以引入第三方专业机构,在公权力主持下监督大型个人信息处理活动,配合相关监管措施介入投诉和申诉的调查和处理,判断主体权利是否行使在正当性边界之内。
另一方面,为了限制权能无限地分离和转化,新兴权利若要被纳入权利束体系,必须满足一定的标准。首先,能够被权利束容纳的权利应当具有被保护的合理性。这意味着权利应当具有道德上的渊源,能够在社会共同体中得到尊重和认同。其次,新兴权利必须有进入法律体系的途径。除了立法赋权外,还可以在司法续造中由既有的法律权利推定出相关的权利。只要司法机关证明一项新兴权利是派生于法律规则所规定的基础权利的衍生权利,就可以识别出这项权利的存在[33]。最后,还应当考虑新兴权利實现的成本。必须考虑各种冲突价值之间的协调问题,尤其是要权衡权益的保护与合理行为自由的维护之间的冲突[30]。否则,过分放任权利束的开放性,必然会带来束体内部的混乱和权利边界的重叠,损失资源配置的效率,甚至再现诸如“亲吻权”之类的权利诉求,徒增纠纷解决成本。
(二)场景视角中的权利位阶
个人信息自动处理的不同阶段和不同场景中,各主体的参与程度和利益期待会发生变化,因此一组利益冲突背后的主要矛盾并不稳定。所以,权利的配置方案不应一概作抽象规定,而应适时灵活调整。若笼统地赋予主体权利,机械地界定权利的边界,必然会导致利益保护的失衡。个人信息场景保护理论跳脱了传统架构中二元化的“全有全无”式评判,在具体场景中综合考量多元因素,是区别于传统机制的最大特征[34]。而权利束理论恰好能够为场景保护理论提供良好结构模型,因为权利束的灵活性就在于内部不同主体权利的优先顺序能够在不同场景下调换位次,使资源使用效率最大化。
场景化的个人信息保护并非简单依靠部门法或领域法分散规定的叠加,也并未违背“普遍的规则之治”的基本原则。场景理论中的权利主张与规则治理更多从信息关系出发,通过信息关系中的合理信息实践或信息伦理,自下而上勾勒和确定权利与规则[35]。所以场景理论对实质要素的依赖仍然在理性框架内,并具有稳定性。在权利束理论提供良好结构模型的基础上,充分发挥灵活性可以实现因应场景的权利位阶调整,促成信息主体和信息处理者之间实质的信息公平实现。
在权利束中,因权利界定而有在先权利的存在。所以无论事前订立契约还是事后进行救济,都应当以保护在先权利为原则。在先权利的确定一般来自立法的制度安排,通常以权利之间的价值位阶表现出来。例如在个人信息自动化处理过程中,三方主体的核心利益位阶原则上为:国家主权、社会公益居于最优位、个人人格利益次之,商业处理者的经济利益再次。所以,应当加快完善数字时代的信息权利体系,依托《个人信息保护法》明确的个人权利束,配合《中华人民共和国民法典》和其他部门法规,丰富不同主体权利的内涵,完善一般情形下的主体权利实现机制,拓展权利保障制度。同时借助《中华人民共和国消费者权益保护法》《中华人民共和国网络安全法》《中华人民共和国电子商务法》等领域法及行政法规,将个人信息权利束的支脉在算法应用的特殊场景中延伸出去,明确重点场景下个人信息权利束中的权利边界和位阶,为各主体理性依法行使权利提供清晰的利益期待和法律依据。最终将分散的法律规范整合成核心明确,层次清晰,领域广泛的制度体系,作为个人信息自动化处理过程中各主体合法理性行使权利,实现利益诉求,指引冲突化解的规范依据。
而在无法事先确定权利位阶的情形下,调整主体间的冲突关系就需要启动谈判机制,实现最契合场景特征的权利配置调整。首要之务是找出并消除合作的阻碍,而权利束的结构为各主体理性对话提供了条件。权利束中的具体权利能够成为主体利益表达的渠道,增强相应主体在个人信息自动化处理关系中的话语地位和谈判筹码。例如请求解释说明、信息更正和删除、关闭自动决策算法以及人工接管等权利,可以使信息主体在信息处理关系中摆脱被动地位,积极参与到利益冲突的博弈过程中,有效提高不平衡关系的矫正效果。但是这些积极权利的行使,会增加信息处理者的活动成本,因此具有一定的“进攻性”。故需要在权利束中找到二阶权利,将信息主体对自动化处理活动的干预控制在合理范围内,保障信息处理者应当享有的利益空间。基于霍菲尔德的权利理论进行分析,权利束中的权力与豁免是能够改变权利与义务关系的二阶权利要素。所以,若能存在一个用于承认和执行各主体权利的第三方,就能使调整权利位阶的谈判尽可能实现理想的效果。具体而言,可以“通过建立法律结构,使私人协议难以达成所造成的损失最小”[36]。不断改进和完善法律规定,并以行政监督和司法裁判作为一种事后的权利位阶调整机制,可以弥补个人信息自动化处理交易中主体的有限理性。例如,根据财产规则和责任规则来设置谈判失败情形下以及特殊场景中进行或脱离个人信息自动处理活动的“法定价格”。在无法明确权利位阶导致谈判失败时,第三方及时介入监管和救济,通过对受损利益进行补偿,调整各主体应当承担的利益冲突成本。
四、结 语
在当今大数据时代,个人信息保护必须超越其既有模式,进行理念革新。个人信息保护的目的绝非静态防御,而应促进其有秩序地流通、开放和共享。信息主体、信息处理者以及国家和社会三方因个人信息的处理和使用而在利益上相互关联,故只有以整体的利益结构模型为基础,才能将各主体的复杂利益关系进行整体分析,实现冲突利益的衡平。因此,有必要借助权利束理论进入权利配置的内部视角,以协调不同主体多元利益为出发点,重构个人信息之上的权益关系和保护框架。总而言之,权利束结构的开放性和灵活性有能力适应和容纳当今个人信息治理中复杂的利益冲突关系,并以权利边界和权利位阶的概念指引法律制度的安排,促进主体理性谈判的发生。当然,以权利束理论作为基础调整个人信息自动化处理中的法律关系,仍需在立法和实践上进行进一步的细化。藉此,期待权利束理论下的个人信息保护体系剩存的空缺能够在后续的研究和实践中得到进一步补充和完善。
参考文献:
[1]高富平.论个人信息保护的目的:以个人信息保护法益区分为核心[J].法商研究,2019,36(1):93-104.
[2]叶名怡.论个人信息权的基本范畴[J].清华法学,2018,12(5):143-158.
[3]项定宜.论个人信息财产权的独立性[J].重庆大学学报(社会科学版),2018,24(6):169-180.
[4]杨晓娇.个人信息权的违约责任保护之探讨[J].西北大学学报(哲学社会科学版),2019,49(4):66-73.
[5]宋青霞.大数据时代人类“零隐私”?:知识产权法域内的私权博弈[J].广西社会科学,2017(3):86-91.
[6]吴伟光.大数据技术下个人数据信息私权保护论批判[J].政治与法律,2016(7):116-132.
[7]韩旭至.人工智能的法律回应:从权利法理到致害责任[M].北京:法律出版社,2021.
[8]许可.个人信息治理的科技之维[J].东方法学,2021(5):57-68.
[9]申卫星.论个人信息权的构建及其体系化[J].比较法研究,2021(5):1-13.
[10]范小华,周琳.基于利益平衡视角的个人信息法律保护探析[J].行政管理改革,2020(3):73-79.
[11]张新宝.论个人信息权益的构造[J].中外法学,2021,33(5):1144-1166.
[12]高富平.个人信息使用的合法性基础:数据上利益分析视角[J].比较法研究,2019(2):72-85.
[13]周汉华.探索激励相容的个人数据治理之道:中国个人信息保护法的立法方向[J].法学研究,2018,40(2):3-23.
[14]Corbin A L.Taxation of seats on the stock exchange[J].The Yale Law Journal.1992,31(4):429-431.
[15]汪丁丁.产权的经济分析[M].上海:上海人民出版社,1997:3.
[16]高志明.个人信息人格利益与财产利益理论分析[J].大连理工大学学报(社会科学版),2018,39(1):82-86.
[17]Buchanan J M.An economic theory of clubs[J]. Economica, 1965, 32(125):1-14.
[18]牛德生.资产专用性理论分析[J].经济经纬,2004(3):18-21.
[19]冉昊.法經济学中的“财产权”怎么了?:一个民法学人的困惑[J].华东政法大学学报,2015,18(2):61-73.
[20]赵祖斌.从静态到动态:场景理论下的个人信息保护[J].科学与社会,2021,11(4):98-116.
[21]龙卫球.再论企业数据保护的财产权化路径[J].东方法学,2018(3):50-63.
[22]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.
[23]马长山.智慧社会背景下的“第四代人权”及其保障[J].中国法学,2019(5):5-24.
[24]张爱军.“算法利维坦”的风险及其规制[J].探索与争鸣,2021(1):95-102.
[25]齐爱民,李仪.论利益平衡视野下的个人信息权制度:在人格利益与信息自由之间[J].法学评论,2011,29(3):37-44.
[26]Niklas L. Observations on Modernity[M].California: Stanford University Press,1998:15.
[27]闫立东.以“权利束”视角探究数据权利[J].东方法学,2019(2):57-67.
[28]许可.数据保护的三重进路:评新浪微博诉脉脉不正当竞争案[J].上海大学学报(社会科学版),2017,34(6):15-27.
[29]李晓宇.智能数字化下机器生成数据权益的法律属性[J].北方法学,2021,15(2):44-53.
[30]程啸.民法典编纂视野下的个人信息保护[J].中国法学,2019(4):26-43.
[31]陈肇新.要素驱动的数据确权之法理证成[J].上海政法学院学报(法治论丛),2021,36(4):131-145.
[32]程关松.个人信息保护的中国权利话语[J].法学家,2019(5):17-30.
[33]雷磊.新兴(新型)权利的证成标准[J].法学论坛,2019,34(3):20-29.
[34]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016,38(5):92-115.
[35]丁晓东.个人信息权利的反思与重塑:论个人信息保护的适用前提与法益基础[J].中外法学,2020,32(2):339-356.
[36]冯玉军.法经济学范式研究及其理论阐释[J].法制与社会发展,2004(1):31-45.
(责任编辑:秦红嫚)
收稿日期:2022-05-22 网络出版日期:2022-12-01网络出版日期
基金项目:河北省社会科学发展研究课题(20220404045)
作者简介:王 静(1998- ),女,河北邯郸人,硕士研究生,主要从事信息网络法方面的研究。
通信作者:高志明,E-mail:fali@188.com