数字经济背景下个人信息保护机制的反思与完善
2023-11-10吴雨晨 苏元悦
吴雨晨 苏元悦
在数字经济蓬勃发展的同时,也引发了人们对个人信息安全的担忧。本文以利益平衡为切入点,在兼顾数字经济发展和个人信息保护的前提下,反思现行个人信息保护机制的不足,并提出完善建议,以期为相关部门提供参考建议。
《“十四五”数字经济发展规划》中提到,数字经济是继农业经济、工业经济之后的主要经济形态。从2012年至今,数字经济规模不断扩大,已经成为我国经济发展和百姓日常生活中不可缺少的一环。目前,数字经济的发展也步入了新的阶段。一方面,实现数字经济的高质量发展是建设社会主义现代化强国的重要基础;另一方面,规范数字经济,推动数字经济健康发展也是我们必须重视的问题。如何在数字经济发展和个人信息保护之间取得平衡,成为新的政策难题。2021年,我国出台《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),成为我国个人信息保护领域的一大里程碑。该法赋予了个人诸多数字权利,也为信息利用者增加了不少义务。但是,《个人信息保护法》所遵循的“个人信息控制论”,过度重视个体权利,反而忽略了在个人信息领域其他主体的利益诉求。因此,本文以利益平衡为出发点,反思《个人信息保护法》的不足之处,在尽可能平衡多方利益的基础上完善个人信息保护的制度规定。
一、数字经济下个人信息保护的实践困境
在过去的十几年间,我国数字经济的发展处于自由生长阶段,缺少法律束缚。一方面给了数字经济创新的空间;另一方面也纵容了数字经济企业对个人信息的不当利用。个人无力对抗拥有大数据、算法等技术加持的数字经济企业,造成了个人信息被肆意窃取、滥用、泄露的现状。《个人信息保护法》为了扭转这一局面,赋予个人多项数据权利,同时施加给企业繁重的义务,但这些做法却未能从根本上改变个人与企业的不平等地位,反而挤压数字经济企业的生存空间,不利于数字经济的发展。
(一)个人信息处理现状偏重企业利益
1.知情权缺失导致绝对赋权主义失效
我国《个人信息保护法》以个人信息控制论为理论基础,主张个人有权控制个人信息的使用,以实现对公民基本权利的保护。这一理论来源于德国在二十世纪七十年代提出的“理性人假设”。所谓“理性人”,即假定人在经济活动中充满理智、精于计算且永远保持冷静,并且基于自身利益最大化做出决策。在个人信息领域,也认为信息主体有权自由决定其个人信息在何种情况下可以被其他权利主体收集、分析、存储和利用。我国《个人信息保护法》赋予了用户知情权、决定权、信息携带权、主张删除权等个体权利,并且在“同意-告知”规则的框架下,除了法律规定的少数情形,信息处理者获取信息都需要信息主体的同意。看似信息主体拥有了能够对抗信息处理者的权利,然而随着互联网和大数据的迅速发展,信息主体和信息利用者之间的数字鸿沟逐渐加深,双方之间严重的不平等地位导致理性人假设的前提不再成立,在不改变这一前提的情况下,一味地给个人赋权的方式无法实现对个人信息的实质性保护。
赋权模式面对的最大挑战是用户知情权的缺失。随着大数据的发展,个人信息的内涵已经远远超过了传统定义,不再仅指姓名、年龄、学历、家庭地址等极易识别个人身份的信息,而是包括网页浏览记录、消费记录、行踪轨迹等在内的各式各样的信息,用户在网上留下的一切痕迹都有可能被信息处理者搜集和利用。不仅如此,各种APP还经常超范围搜集信息,在收集信息时并未遵守“最小必要”原则,反而要求用户开启某些与该APP主要功能并不相关的权限,例如使用导航APP,需要允许开启通讯录权限;使用社交APP,需要允许开启位置权限;等等。面对APP的过度搜集行为,用户要么不知情,要么为了享受APP提供的服务,被迫开放信息权限。此时的信息利用者手握大量个人信息,其利用算法便可以轻松地获得用户画像,掌握用户的性格、爱好、需求等特征,用户在大数据面前宛如透明人。尽管平台可以因此为用户提供定制的个性化服务,但同时它们也会更多地从用户身上获取利益。例如,在大数据杀熟中,平台根据用户的消费习惯和经济水平,为用户提供可接受范围内的价格最高的产品,而用户出于对平台的信任和习惯购买商品,丝毫不会察觉自己遭遇了“价格歧视”。用户知情权的缺失,导致双方在信息严重不对称的情况下,往往只能做出次优决策。这样一来,法律寄希望于个体做出最佳选择,并为自己的决策承担后果,无异于是一种风险的转嫁。
2.互联网市场中政府监管的缺位
在倾斜保护型法律中,因为个人的弱势地位无法对企业产生制约,所以为了避免企业的不法行为,政府往往要扮演强力监督的角色。但是,互联网市场主体数量众多、新兴技术层出不穷,给监管造成了很大困难。工信部的数据显示,截至2021年年末,我国国内市场上监测到的APP数量为252万款,面对数量如此庞大的互联网市场,监管几乎不可能做到全面覆盖。此外,APP的功能也在不停更新换代,技术迭代所可能引发的问题层出不穷,政府监管恐难以兼顾。以算法设计的隐蔽性为例:首先,算法的设计往往具有很强的专业性,其本身以计算机编程语言的形式呈现,非专业人士想要理解存在一定的难度,也就无法对其进行监督;其次,算法作为互联网企业的核心机密,企业为了提高自身的竞争力,大多会以商业安全和商业秘密为由进行保密,这就形成了算法黑箱特征;再次,由于法律本身带有不可避免的滞后性,当下的政府部門如果仍遵循传统的事中、事后监督机制,恐怕难以及时应对瞬息万变的信息违规行为;最后,执法手段的单一,法律标准的模糊,使得政府在个人信息保护领域的监管有心无力。
(二)个人信息保护规则偏重个人利益
1.一体化个人信息保护对企业提出了过高要求
我国《个人信息保护法》在立法过程中偏重于强调信息处理者的责任,忽视其合法权益诉求。例如,我国未对个人信息进行分级保护,导致信息处理者的义务边界难以界定。由于间接识别的个人信息在敏感性、隐私性上弱于直接识别的个人信息,许多国家对前者的保护力度小于后者。我国《个人信息保护法》对个人信息“可识别性”的规定过于模糊,在大数据时代,许多看似不起眼的信息与其他信息相结合后,都有可能识别出特定的信息主体,这就意味着“可识别性”的范围过于宽泛,个人信息的内涵边界难以界定。对于信息处理者而言,这样模糊的规定一般会导致两种结果:其一,由于个人信息内涵可以无限延伸,导致企业在使用个人信息时要受到诸多限制,加重企业负担,阻碍数据的自由流通,抑制企业的创新发展;其二,由于法律规定不够明晰,企业可以灵活认定个人信息的边界,由此方便了部分企业钻法律的空子,逃避承担保护个人信息的义务,甚至造成劣币驱逐良币的不良影响。
2.高合规成本压缩中小企业的生存空间
《个人信息保护法》对信息处理者的法律责任一视同仁,这不利于中小企业的发展。在互联网市场中,往往会形成“赢家通吃”的局面,互联网巨头企业凭借拥有庞大的用户群体、海量的信息优势和算法壁垒,在与中小企业的竞争中遥遥领先,由此形成规模效益。我国的互联网市场早已结束了群雄争霸的年代,阿里、腾讯、百度等互联网巨头公司占据绝大部分市場份额,中小企业想要崛起本来就举步维艰,如果对这些企业施加同样的个人信息保护义务,承担相同的法律责任,则会导致其付出巨大的经营成本,进一步压缩中小企业的生存空间。
二、数字经济下个人信息保护制度完善
(一)完善知情同意原则
规范数字经济,应当保障信息主体的知情权,优化知情同意机制。
首先,网络平台应当采取分层级告知模式,取消“一揽子”授权模式,避免用户遭遇“不同意即禁止使用”的困境。对于私密等级高的信息,平台应当以更醒目的方式予以提醒,并采取最严格的保护方式;对于私密等级低的个人信息,可以用隐私政策的方式同意告知,在保护力度上可以稍作降低。
其次,必须以用户友好为导向优化告知方式。平台尤其应当避免提供冗长复杂、专业术语繁多的隐私政策,而要尽可能简单、明确、突出重点,让用户在最短时间内明白自己的信息被收集、使用的情况。
最后,是完善对网络运营商的监督和责任追究机制。政府相关部门应当对APP进行定期核查,并对APP的个人信息保护情况进行审查与公示。核查的内容一方面是APP的隐私政策是否做到全面、规范、明确;另一方面是APP对个人信息收集是否超出了其运营必要的限度。对于违规的APP,可以要求其整改或处以罚款,甚至让其下架。
(二)数字经济企业担负“守门人”义务
在个人信息保护领域,大数据、算法等技术因其专业性和保密性特征,对监管机构提出了较高要求。相较而言,如果数字平台作为“守门人”,在设计算法之初就加入保护个人信息安全的技术手段,主动监管平台内的活动,便能够更好地起到事前风险防范化解的效果。信息处理者应当在信息流转过程中的收集、储存、使用各环节,针对其特点设置相应的信息保护安全措施,如告知义务、信息分级分类管理、防止信息丢失或泄露、防止第三方窃取等。另外,信息处理者还应当设置信息流转的全链条监督机制,在检测到信息有泄露风险时,可以及时进行阻断。信息处理者在传输数据时,可以采用一定的技术手段为输出的数据添加溯源标记,以便在发生信息安全事件时能够精准、快速地追溯到责任主体。
(三)建立分级分类的个人信息保护机制
为了促进数据的自由流通,《个人信息保护法》应当对低敏感度个人信息采取更宽松的保护方式,以便企业可以将精力集中在高敏感性个人信息的保护上,从而达到企业和个人的双赢。对于高敏感度的个人信息,应当严格约束信息处理者对此种信息的收集、利用和流转;对于低敏感度的个人信息,则可以采取更加宽松的规制措施,并相应地降低甚至免除信息处理者负有的个人信息保护义务。例如,我国《个人信息保护法》对于信息处理者的收集和处理个人信息采取“原则必须取得授权,例外可以免除”的规定,这样就导致信息处理者要频繁取得个人授权,加重企业负担。为了节约成本,提高信息的流通效率,对于低识别性的个人信息,我们可以采取原则默认同意,例外可以要求停止收集的模式。
(四)适当放宽中小网络平台的责任承担
随着互联网市场的垄断效应凸显,大型网络平台具备的用户规模、经济体量、抗风险能力都远远超过中小平台,也更容易产生对社会危害巨大的安全风险;而中小平台支配的数据少,产生的安全风险也相对较小,在竞争中,大企业无论从经济还是技术角度都拥有绝对优势,如果对二者一视同仁地予以规制,只会扼杀中小企业的创新发展,巩固大企业的垄断地位。因此,个人信息保护的重点应当是具有一定规模以上的大型网络平台,法律应对其提出更高的责任要求;而对中小企业,可以适当地降低或免除对信息的安全保障义务。在标准判断上,可以参考美国加州的《加利福尼亚州消费者隐私法案》,从年收入、用户数量、年信息处理量和从事的主要业务类型进行区分,将互联网企业区分为超级平台、大型平台和中小平台,对于超级平台,应当设置额外的风险防控机制。此外,还可以对中小平台实施“首违不罚”“轻微违法行为免罚”等措施,即如果中小平台首次发生的情节轻微、能够及时纠正、未造成危害后果的部分违法行为,依法免于处罚,更好地促进中小平台的创新发展。
结语:
《个人信息保护法》的出台,一定程度上扭转了个人与企业的不平等地位,但也不可避免地产生了新问题。立法者在立法时依然遵循传统的强化个人信息赋权的进路,这种模式虽然在一定程度上保护了用户的个人信息权益,但在信息主体与信息处理者之间巨大的数字鸿沟下,这种模式并不能从根本上解决二者间的不平等地位,反而加剧个人利益、企业利益和公共利益之间的冲突。在大数据时代的背景下,如何对现行个人信息保护机制进行再平衡,值得我们思考,保护个人信息,不仅要保护个人利益,也要重视不同主体间的利益诉求,实现多重利益主体的实质平衡,促进我国数字经济的健康发展。