风险预防原则在个人信息保护中的适用与展开
2024-01-02张涛
张 涛
(中国政法大学 数据法治研究院,北京 100088)
一、问题的提出
在过去20 多年里,人们对数字技术的日益依赖已经极大地改变了人类社会的运作方式。尽管人工智能、物联网通讯、算法等数字技术可以为企业、政府和社会提供巨大的机会,使其能够大幅提高效率、质量和生产力,但这些技术也使用户(个人或者组织)面临更严重的数字与网络风险。①See World Economic Forum, The Global Risks Report 2022, https:/ /www3.weforum.org/docs/WEF_The_Global_Risks_Report_2022.pdf(Last visited on August 7, 2023).人类社会正在步入所谓的“数字风险社会”(digital risk society),风险与数字技术之间的交集以多种方式存在:首先,被认定为“风险”(risks)或者“有风险的”(risky)现象和个人越来越多地通过数字媒体、设备和软件进行配置与再现;其次,数字技术的各种用途经常被认为对用户构成风险;最后,一些社会群体在通信、教育、信息或就业机会方面处于特别不利的境地,因为他们缺乏使用在线技术的机会、兴趣或者技能。①See Deborah Lupton, Digital Risk Society, in Adam Burgess & Alberto Alemanno, Jens O.Zinn eds., Routledge Handbook of Risk Studies, Routledge, 2016, p.301.当数字风险事件发生时,社会公众普遍希望政府能够表现出“局势在控制之中”的信心,以缓解他们对风险事件不可预测之连带后果的恐惧。②See Marwan Albahar, Cyber Attacks and Terrorism: A Twenty-First Century Conundrum, 25 Science and Engineering Ethics 993, 994(2019).因此,妥善因应数字风险社会中的各种数字风险已经成为国家数字能力建设的重要内容。③高奇琦:《国家数字能力:数字革命中的国家治理能力建设》,载《中国社会科学》2023 年第1 期,第50 页。
在众多数字风险中,个人信息保护风险近年来备受国内外理论与实践的关注。在理论上,一些学者认为,数字时代的个人信息保护风险类似于工业时代的环境保护风险,甚至用“数据污染”来描述大规模数据监控或者违法数据处理,倡导新兴的个人信息保护法治应当从成熟的环境保护法治中吸取有益经验。④See Dennis D.Hirsch, Protecting the Inner Environment: What Privacy Regulation Can Learn from Environmental Law, 41 Georgia Law Review 1, 23 (2006); Omri Ben-Shahar, Data Pollution, 11 Journal of Legal Analysis 104 (2019).在环境保护理论与实践中,风险预防原则(precautionary principle)一直处于基本原则地位,对各类环境政策与法律制度发挥指导作用,成为“环境法原则体系中最具创造性与影响力的规范手段之一”。⑤王灿发、张祖增、王政:《风险预防原则在环境司法适用中的审思与突破》,载《长白学刊》2023 年第3 期,第90 页。事实上,从制度史的角度看,风险预防原则最早可以追溯到20 世纪70 年代中期德国环境政策中的“预防原则”(Vorsorgeprinzip),其目的在于区分造成“危险”(dangers)的人类行为和仅仅造成“风险”(risks)的人类行为。⑥See Julian Morris, Defining the Precautionary Principle, in Julian Morris ed., Rethinking Risk and the Precautionary Principle,Butterworth-Heinemann, 2000, p.1.迄今为止,尽管风险预防原则的应用范围已经大幅扩展,但用于政府规制框架的讨论主要还是针对特定的保护对象,如臭氧层、气候变化、生物多样性、特定环境区域或者特定的公共健康问题,只有在特殊情况下,才会涉及持久性有机污染物或特定技术等影响源。⑦See Claudia Som, Lorenz M.Hilty & Andreas R.Köhler, The Precautionary Principle as a Framework for a Sustainable Information Society, 85 Journal of Business Ethics 493, 494 (2009).因此,能否将传统上针对环境和公共健康问题的风险预防原则直接适用于数字风险社会中因数字技术使用而引发的个人信息保护风险呢?
对此,学者们提出了不同的主张。持否定意见的学者认为,不能将风险预防原则引入个人信息保护领域,其主要理由如下:一是在个人信息保护领域引入风险预防原则缺乏前提条件。有论者认为,网络空间虽然有麻烦和麻烦制造者,但并没有证据表明互联网正在导致比以往的技术更大的社会问题,大多数倡导对数字技术进行预防性监管的理论观点与政策主张都是基于非理性的技术恐慌(technopanics)和恐惧循环(fear cycles),这源于政策辩论中的“逻辑谬误”和“威胁膨胀”。⑧See Adam Thierer & Technopanics, Threat Inflation, and the Danger of an Information Technology Precautionary Principle, 14 Minnesota Journal of Law, Science and Technology 309, 385 (2013).二是在个人信息保护领域引入风险预防原则可能会产生负面效应。有论者认为,风险预防原则的底层逻辑与迄今为止推动互联网和数字创新的“无许可创新”(permissionless innovation)精神相悖,将对技术进步、经济创业、社会适应和长期繁荣构成严重威胁,“如果公共政策处处受到预防原则的指导,技术创新将变得不可能,因为社会对未知充满恐惧,而假设的最坏情形将超过大多数其他更为务实的考虑”。①Adam Thierer, Privacy Law’s Precautionary Principle Problem, 66 Maine Law Review 467, 471 (2014).
与此相对应,持肯定意见的学者认为,应当将风险预防原则作为个人信息保护领域的一项重要原则,其主要理由如下:第一,个人信息保护领域引入风险预防原则具备必要性。有论者认为,数字世界虽然不是一个物理空间,不存在任何生物会因数据污染而生病或者死亡,但是却提供了一个类似于自然界的复杂依赖关系,在某一个点上的微小扰动可能会在其他地方产生重大且不可逆转的后果,因此,有必要引入风险预防原则来应对不可逆的数字风险。②SeeWolter Pieters & Andre van Cleeff, The Precautionary Principle in a World of Digital Dependencies, 42 Computer 50, 52 (2009).还有论者认为,新的信息与通信技术(Information and Communication Technolgies,ICTs)有可能改变传统的法律实践,使责任方对损害负责的基本原则(因果关系原则)在泛在计算(ubiquitous computing)控制的环境中越来越难以执行③SeeClaudia Som, Lorenz M.Hilty & Thomas F.Ruddy, The Precautionary Principle in the Information Society, 10 Human and Ecological Risk Assessment: An International Journal 787, 792 (2004).,而目前和未来的信息与通信技术所引发的社会风险,可能与通常由风险预防原则所处理的环境及公共健康风险一样严重。④SeeClaudia Som, Lorenz M.Hilty & Andreas R.Köhler, The Precautionary Principle as a Framework for a Sustainable Information Society, 85 Journal of Business Ethics 493, 496 (2009).第二,个人信息保护领域引入风险预防原则具有重要价值意义。有论者认为,就个人信息保护而言,风险预防原则有两方面的价值:一是有利于信息隐私保护,因为它强调了审慎和透明的规范价值;二是有利于改善以往的法律责任机制,因为它确定了一种处理风险的新方法,即假定并非所有的损害都可以转化为金钱。⑤SeeLuiz Costa, Privacy and the Precautionary Principle, 28 Computer Law & Security Review 14, 23-24 (2012).
尽管理论上存在诸多争议,但个人信息保护立法实践已经发生了转变。在比较法中,欧盟《通用数据保护条例》(GDPR)采用了“基于风险的方法”(risk-based approach)⑥SeeClaudia Quelle, The ‘risk revolution’in EU data protection law: We can’t have our cake and eat it, too, in Ronald Leenes,Rosamunde van Brakel & Serge Gutwirth et al.eds., Data Protection and Privacy: The Age of Intelligent Machines, Hart Publishing, 2017, p.33.,并通过以下两种方式实现了“风险化”(riskification)转变:首先是在实践层面,转向基于风险的数据保护执法与合规;其次是在更广泛的规制层面转向风险规制。⑦SeeMilda MACENAITE, The “Riskification”of European Data Protection Law through a two-fold Shift, 8 European Journal of Risk Regulation 506 (2017).《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第11 条明确提出“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为……”由此产生一个疑问,《个人信息保护法》第11 条中的“预防”应当如何理解? 是否为风险社会语境下的“风险预防”? 按照德国学者尼克拉斯·卢曼(Niklas Luhmann)的观点,“预防”一般被理解为对不确定的未来损失所做的准备,要么是降低损失发生的可能性,要么是降低损失的程度。不论在危险的状况下,还是在风险的状况下都可以展开预防。⑧[德]尼克拉斯·卢曼:《风险社会学》,孙一洲译,广西人民出版社2020 年版,第51 页。全国人大常委会法工委经济法室则对“预防”作出了如下细化解读:“采取措施监测、感知个人信息保护面临的突出问题和风险”。⑨高飞:《中华人民共和国个人信息保护法解读》,中国法制出版社2022 年版,第40 页。由此可见,在我国个人信息保护法律文本中,“预防”实际上兼有损害预防与风险预防的意涵。
然而,进入数字风险社会后,为了妥当因应个人信息保护风险,《个人信息保护法》有必要确认独立于损害预防原则条款的风险预防原则条款。为此,需要在逻辑上阐明:第一,风险预防原则嵌入个人信息保护领域是否具备正当性? 第二,风险预防原则在个人信息保护领域是否具备可行性?从已有的理论与实践来看,当我们在讨论能否将风险预防原则应用于某一规制领域时,通常需要考虑两个方面的因素:一是该规制领域是否具备适用风险预防原则的一般条件或者基础要素;①苏宇:《风险预防原则的结构化阐释》,载《法学研究》2021 年第1 期,第39 页。二是该规制领域是否容许适用风险预防原则,即有无相关法理依据。②王贵松:《风险行政的预防原则》,载《比较法研究》2021 年第1 期,第52 页。鉴于此,本文首先从阐明风险预防原则嵌入个人信息保护的逻辑前提入手,然后论述风险预防原则嵌入个人信息保护的法理基础,最后探讨风险预防原则如何在我国个人信息保护法制的三个核心环节(立法、执法和司法)中具体展开,并阐明风险预防原则在个人信息保护领域的适用限度。
二、风险预防原则嵌入个人信息保护领域的逻辑前提
在过去20 多年里,风险预防原则已经成为许多国家的环境、公共卫生和其他风险规制制度的既定特征,被纳入诸多政策和法律中,并产生了丰富多样的决策实践。在理论与实践中,“风险预防原则没有一个普遍接受的规范表述。”③Per Sandin, A Paradox Out of Context: Harris and Holm on the Precautionary Principle, 15 Cambridge Quarterly of Healthcare Ethics 175(2006).尽管如此,经过一段时间的探索与发展,理论与实践还是就风险预防原则的基础性要素形成了一些共识。在理论上,通过对众多版本的风险预防原则进行比较分析,瑞典学者佩尔·桑丁(Per Sandin)认为,风险预防原则通常包含四个维度:一是威胁维度,主要涉及可能的威胁;二是不确定性维度,主要涉及知识的限制;三是行动维度,主要涉及对威胁的反应;四是命令维度,主要涉及采取行动的方式。④See PerSandin, Dimensions of the Precautionary Principle, 5 Human and Ecological Risk Assessment: An International Journal 889, 891(1999).在实践中,欧盟委员会发布的《关于风险预防原则的通讯》规定,适用风险预防原则须具备三个方面的条件:一是识别潜在的负面影响;二是根据现有数据对潜在不利影响进行科学评估;三是科学上的不确定性,难以充分确定有关风险。⑤See Communication from the Commission on the precautionary principle, COM(2000)0001 final.
基于上述基础性要素及适用条件,理论上一般认为,风险预防原则与传统的危险防御原则(prevention principle)之间存在明显的区别。其中,危险防御原则适用于明确确立了行为与损害之间的因果关系之情形,用于处理确定风险(certain risks);而风险预防原则将预防行动的范围扩大到因果关系不那么明确的情形,用于处理不确定风险(uncertain risks)。⑥See Joakim Zander, The Application of the Precautionary Principle in Practice: Comparative Dimensions, Cambridge University Press,2010, p.15.因此,“风险”和“不确定性”便成为适用风险预防原则的核心要素。⑦金自宁:《科技不确定性与风险预防原则的制度化》,载《中外法学》2022 年第2 期,第504 页。从个人信息保护在数字时代面临的威胁与挑战来看,个人所处数字环境的复杂性和个人信息保护风险的不确定性及不可逆性共同构成了风险预防原则嵌入个人信息保护领域的逻辑前提。
(一)个人所处数字环境的复杂性
数字信息与通信技术正在创造和塑造个人的智力与物质现实,改变个人的自我理解,改变个人与他人及自身的关系,并丰富我们解释世界的方式,这导致个人所处的数字环境变得日趋复杂。
第一,个人在时间维度上迈入“超历史时期”。从时间维度来认识个人与数字技术之间的关系,需要将其放置在整个人类社会形态的发展进程中。按照牛津大学教授卢西亚诺·弗洛里迪(Luciano Floridi)的总结,就人类社会和数字技术的关系演进而言,可以大致分为三个阶段:一是史前时期(prehistory),没有信息与通信技术;二是历史时期(history),有信息与通信技术,它们记录和传输信息,但人类社会主要依赖其他关于初级资源和能源的技术;三是超历史时期(hyperhistory),有信息与通信技术,它们记录、传输并处理信息,且越来越自主,人类社会变得极其依赖它们,信息也成为社会繁荣发展的基本资源。①See Luciano Floridi, The Fourth Revolution: How the Infosphere is Reshaping Human Reality, Oxford University Press, 2014, p.6.对于“超历史时期”,也有论者将其称为“数字社会”,并将支撑数字世界变革本质的要素分为四个方面:一是数字化,即将信息编码为比特(二进制数字);二是计算,各种形式的信息都可以通过计算程序进行处理,信息成为一种重要的原始资源,可以进行转换、组合、集成和分析;三是利用集成电路的微处理器,体积越来越小、功能越来越强大,设备可以用于执行广泛的计算机处理;四是数字网络,可以通过更快速、更远距离和更稳健的方式处理、访问和分发信息(任何形式的内容)。②See Simeon J.Yates & Ronald E.Rice eds., The Oxford Handbook of Digital Technology and Society, Oxford University Press, 2020,p.4-5.
第二,个人在空间维度上进入“信息空间”。就个人与数字技术在空间维度的关系而言,美国学者尼古拉·尼葛洛庞帝(Nicola Negroponte)曾提出著名的“数字化生存”命题。其中,“全球化”和“追求和谐”是数字化生存的重要特质,这意味着个人可以完全不受地理位置的束缚,“数字科技可以变成一股把人们吸引到一个更和谐的世界之中的自然动力。”③[美]尼古拉·尼葛洛庞帝:《数字化生存》,胡泳、范海燕译,海南出版社1997 年版,第269—271 页。随着数字技术的不断发展和广泛应用,数字在线世界正在溢出到模拟网络世界中,这一新现象被称为“泛在计算”“环境智能”或者“物联网”,这意味着数字技术不仅改变了原有的物理世界,而且正在创造新的现实。对此,卢西亚诺·弗洛里迪教授认为,由于日常环境的信息化,一些个人将逐渐生活在一个日益同步、非本地化和相互关联的“信息空间”(infosphere)中。尽管这可能被乐观地解释为全球化的正向效应,但我们不应当对信息社会的发展的包容性抱有太多幻想。除非我们设法解决数字鸿沟,否则,在可以成为信息空间“居民”的人和不能成为信息空间“居民”的人之间、内部人士和外部人士之间、信息丰富的人和信息贫乏的人之间将产生新形式的歧视。④See Luciano Floridi, The Fourth Revolution: How the Infosphere is Reshaping Human Reality, Oxford University Press, 2014, p.48-49.
第三,个人在身份维度上形成“数字身份”。如前所述,随着越来越多的个人花费越来越多的时间在一个既不完全虚拟也不完全物理的信息空间中进行自我呈现和数字互动,数字信息与通信技术也开始对个人身份进行重塑。现如今,我们的生活中充满了各式各样的身份识别和认证系统。无论我们是预订航班、在线支付,还是上下班时进出停车场、跨国旅行时申请签证,我们都必须证明自己是谁,或者更准确地说,我们必须证明自己就是我们声称的“自己”。然而,个人身份的数字化不仅仅涉及使用信息与通信技术来确定某人是谁,当个人在使用诸如身份证号码、生物识别特征、注册号码、IP 地址等标识符时,有关该个人的数据还可以被链接起来,以追踪个人或者生成前所未有的详细、可用和持久的数据画像(profiles)。这些数据画像便构成了个人的“数字身份”,因为它可以揭示一个人过去的选择、活动、偏好和关系。①See Irma van der Ploeg & Jason Pridmore eds., Digitizing Identities: Doing Identity in a Networked World, Routledge, 2015, p.2.从这个意义上看,数字身份可以从众多数据库中检索,这些数据库可能相互连接并进行算法搜索和分析,以找到相关性和模式,从而界定群体和类别。因此,“人类进入数字时代后,面对个体自我的数字化呈现可能带来的身份危机,以数字身份为中心重新建构人际关系调整秩序,或许是未来法治发展的方向。”②陆青:《数字时代的身份构建及其法律保障:以个人信息保护为中心的思考》,载《法学研究》2021 年第5 期,第3 页。
(二)个人信息保护风险的不确定性
在风险理论中,“不确定性”(uncertainty)的概念在不同的情况下可以有不同的描述。③See Michael Smithson, The Many Faces and Masks of Uncertainty, in Gabriele Bammer, Michael Smithson eds., Uncertainty and Risk:MultidisciplinaryPerspectives, Earthscan, 2008, pp.13-25.按照荷兰学者沃克(Walker)等的观点,不确定性是“对相关系统的完全确定性知识之任何偏离”,一般可以分为以下两种类型:一是认知不确定性(epistemic uncertainty),即由于知识的缺乏或者不完善而产生的不确定性,如普遍缺乏知识、数据或者观察以及难以识别和量化因果关系;二是可变的不确定性(variability uncertainty),即由于空间和时间的固有可变性而产生的不确定性,尤其适用于社会、经济和技术发展,如行为可变性、社会可变性和自然随机性。④See W.E.Walker & P.Harremoës J.Rotmans et al., Defining Uncertainty: A Conceptual Basis for Uncertainty Management in Model-Based Decision Support, 4 Integrated Assessment 5, 13(2003).随着个人所处的数字环境日趋复杂,个人信息保护风险也充满了不确定性,它涵盖了一般意义上的认知不确定性和可变不确定性。就本文而言,这种不确定的风险(uncertain risk)主要体现在两个方面:一是个人信息的预测分析风险;二是匿名信息的再识别风险。
第一,个人信息的预测分析风险。一段时间以来,“大数据”以其所具有的“4V”特征而受到理论与实践的广泛关注。以大数据为基础的数字技术从无数的在线用户互动和基础设施传感器中收集数据,所产生的数据集不仅规模巨大,而且还经常包含个人生活中非常私密的信息。⑤See Omer Tene & Jules Polonetsky, Big Data for All: Privacy and User Control in the Age of Analytics, 11 Northwestern Journal of Technology andIntellectual Property 239 (2013).每当个人以数字生活方式或者其他方式参与数字经济、数字政府时,就会无形中为大数据作出贡献。利用数据挖掘、机器学习方法与算法,不仅可以侦测数据中的异常模式或者异常现象,也可以进行预测,正如有学者所言:“大数据的核心就是预测”。⑥[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社2013 年版,第16 页。因此,预测性分析(predictive analytics)便成为大数据最为重要的应用之一,甚至成为数字经济的核心特征。一般认为,预测性分析是指从经验(数据)中学习以预测个人未来行为,进而推动更好决策的技术,而目标变量、相关关系、代理和可操作的预测则共同构成了预测性分析的核心特征。⑦See Dennis D.Hirsch, From Individual Control to Social Protection: New Paradigms for Privacy Law in the Age of Predictive Analytics, 79 Maryland Law Review 439, 453-454 (2020).
尽管预测性分析能够带来诸多益处,如改善医疗诊断、优化教育评估、提高企业生产力和效率等,但也可能在很大程度上给个人带来风险。一方面,预测性分析通过聚合以前离散的数据集,不仅可能生成新的个人身份信息,进而创建详细的个体数据画像,而且通常超出了“告知—同意”的约束范围,这意味着基于预测性分析所形成的高度敏感数据可以在未征得个人同意的情况下使用并与他人共享;另一方面,预测性分析的动态性质决定了其所引发的个人信息保护风险本身通常是不可预测的,而且其影响甚至可能无法被程序员完全理解,这意味着我们无法事先明确地知道机器学习算法何时会预测有关个人的身份信息,进而无法预测在何处以及何时围绕该数据设置相应的保护措施。①See Kate Crawford, Jason Schultz, Big Data and Due Process: Toward a Framework to Redress Predictive Privacy Harms, 55 Boston College Law Review 93, 98-99 (2014).
第二,匿名信息的再识别风险。在当前的个人信息保护实践中,匿名化已经成为一种重要的技术手段,同时也为个人信息处理者提供了“安全港”。欧盟《通用数据保护条例》(GDPR)前言第26条规定,数据保护原则不适用于匿名信息,将匿名信息排除在个人数据之外。《个人信息保护法》第4 条第1 款在对个人信息的概念进行界定时,也明确规定个人信息不包含经过匿名化处理的信息。个人信息保护立法将匿名信息作为安全港的预设前提是,匿名化能够使个人信息主体“匿名”,从而充分保护个人信息隐私,因而没有必要施加额外的隐私与数据安全保护措施。然而,实践表明,经过匿名化处理的信息仍然可能残存一定的“可识别性”,将匿名信息与“辅助”信息联系起来仍然可能重新识别信息主体。因此,将其彻底排除至个人信息保护立法的限制范围之外,事实上难以有效消解匿名信息具有的“剩余风险”。正如美国学者保罗·欧姆(Paut Ohm)所指出的:“再识别通过破坏我们对匿名化的信任,扰乱隐私政策的格局。这不是一个小的信念,因为技术专家依靠它来证明不加区分地分享数据和永久地存储数据是合理的,同时向用户(和世界)承诺他们正在保护隐私。再识别技术的进步暴露了这些承诺往往是虚幻的。”②Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA Law Review 1701, 1704(2010).
(三)个人信息保护风险的不可逆性
在风险理论中,“不可逆转性”(irreversibility)通常是指某种损害或者风险不仅是严重的,而且需要付出很大的代价才能提供足够的补偿,因此,需要立即采取预防措施。③See Cass R.Sunstein, Irreversibility, 9 Law, Probability & Risk 227,229(2010).在大数据时代,个人信息保护风险也同样存在不可逆转性问题,主要体现在两个方面:一是个人信息的失控风险,即个人信息一旦被收集,便超出了信息主体的控制范围;二是大数据时代个人信息损害的复杂性导致难以通过传统的事后救济机制予以充分补偿。
第一,个人信息的失控风险。“公平信息实践原则”被称为是现代个人信息保护制度的基石,其核心目的是赋权信息主体。④丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,载《现代法学》2019 年第3 期,第96页。在此种情况下,“赋权”(empower)意味着控制,即确保信息主体了解信息收集者的活动并同意某些做法,使其可以自主决定如何权衡收集、使用和披露个人信息的成本和收益。①See Woodrow Hartzog, The Inadequate, Invaluable Fair Information Practices, 76 Maryland Law Review 952, 972 (2017).在实践中,控制不仅成为诸多个人信息保护制度的出发点(如告知—同意制度),而且也是业界最受欢迎的隐私工具(如隐私政策)。然而,实践表明,在大数据时代,个人信息面临失控风险,个人难以对其个人信息进行有意义的控制。首先,一些严重的认知问题损害了个人对同意收集、使用和披露其个人信息的成本与收益作出知情、理性选择的能力。其次,一些结构性问题导致即使是知情和理性的个人也难以对其个人信息进行有效控制。②See Daniel J.Solove, Introduction: Privacy Self-Management and the Consent Dilemma, 126 Harvard Law Review 1880, 1881 (2013).在数字空间中,个人信息处理者的行为类型日趋多样、数量也快速增长,而诸多控制机制并不具有扩展性,导致个人要对每一项个人信息处理活动进行控制的难度加大。最后,随着个人信息共享的速度和范围不断提升,使用个人信息的目的通常超越了收集个人信息之初确定的目的。当个人在不了解个人信息的下游用途时,其很难对收集、使用和披露个人信息的成本和收益作出最佳权衡,这进一步限制了个人信息控制机制的有效性。总而言之,在数字时代,个人信息比以往任何时候都更容易自由传播,相反,个人信息一旦进入数字空间,就比以往任何时候都更难控制。③See Adam Thierer, Privacy Law’s Precautionary Principle Problem, 66 Maine Law Review 467(2014).
第二,个人信息损害难以通过传统事后救济机制予以充分补偿。受传统隐私侵权救济制度的影响,现代个人信息保护立法亦强调私人诉讼在个人信息保护中的重要性。《个人信息保护法》第69 条对个人信息保护中的民事责任进行了原则性规定,重点强调了以损害赔偿为核心的侵权责任。然而,传统的事后救济制度难以回应大数据时代的个人信息保护风险。在以侵权损害赔偿为核心的事后救济制度中,实施侵权行为的主体通常是单一或者特定的,侵权过程也较为容易辨识,相关的法律责任形式通常是以存在损失或者伤害为前提。④丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018 年第6 期,第201 页。在数字时代,个人信息“损害”因具有无形性、潜伏性、未知性、难以评估等特征,是否符合传统侵权损害认定中的“确定性”标准存在疑问。⑤田野:《风险作为损害:大数据时代侵权“损害”概念的革新》,载《政治与法律》2021 年第10 期,第25 页。具体而言,个人因违法数据处理而导致的非财产性损害,包括身份盗窃或欺诈、权利受限、社会歧视、声誉受损以及不法的“数据画像”等引起的无形损害,能否直接通过恢复原状、赔偿损失、赔礼道歉等传统的侵权法律责任形式予以补偿尚存在困境。⑥解正山:《数据泄露损害问题研究》,载《清华法学》2020 年第4 期,第140 页。
三、风险预防原则嵌入个人信息保护领域的法理基础
在大数据时代,个人所处数字环境的复杂性以及个人信息保护风险的不确定性与不可逆性为风险预防原则嵌入个人信息保护领域提供了逻辑前提。除此之外,个人信息权的基本权利属性及其所具备的功能则为风险预防原则嵌入个人信息保护领域提供了法理基础。
(一)个人信息权作为一项基本权利
长期以来,学术界围绕个人信息保护的权利属性展开了激烈的争论,形成了具体人格权说、法益说、财产权说、公法权利说等不同的观点。这些观点从不同的角度共同推动了个人信息保护法制的发展,不过都局限于传统的部门法视角,难以对个人信息保护面临的实践难题(如到底应该对个人信息提供何种强度及何种方式的保护)进行有效回应。①彭錞:《宪法视角下的个人信息保护:性质厘清、强度设定与机制协调》,载《法治现代化研究》2022 年第4 期,第50 页。事实上,将个人信息权作为一项宪法基本权利,不仅可以弥补传统部门法视角下观点之不足,而且具备正当性和可行性,能够同时对抗公私主体对个人信息权的不法侵害,对个人信息风险源进行全覆盖防治。
第一,个人信息权的价值及功能。按照阿隆·哈雷尔(Alon Harel)的观点,将一项要求划归为一项更为基础的权利(而非一项植根于公共利益的要求)取决于支撑这一要求的“内在理由”和“外在理由”。②See Alon Harel, What Demands are Rights? An Investigation into the Relation between Rights and Reasons, 17 Oxford Journal of Legal Studies 101, 102(1997).个人信息权作为一项宪法上基本权利,也有其内在理由和外在理由,集中体现为一系列基本价值,既包括尊严、自主性、非歧视、透明度等传统价值,也包括数据安全、数据质量等新兴价值与利益。③See YvonneMcDermott, Conceptualising the Right to Data Protection in an Era of Big Data, 4 Big Data & Society 1 (2017).上述价值保护难以被其他权利所完全涵盖,再加上数字时代为个人提供强有力保护的迫切性,这意味着个人信息权不能被视为从属于其他权利,其本质应当是“基本权利”。④See Stefano Rodotà, Data Protection as a Fundamental Right, in Serge Gutwirth, Yves Poullet, Paul De Hert et al.eds., Reinventing Data Protection? Springer, 2009, p.80.此外,数字生活现实不可阻挡地发展,要求必须对基本权利教义学及其实际实施方面进行调整和进一步的法律具体化。⑤Vgl.Hans-Jürgen Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, S.3031.与基本权利的传统应用相对应,以个人信息权为核心内容在线基本权利便成为基本权利的数字维度⑥Vgl.Anika D.Luch/ Sönke E.Schulz, Dimension der Grundrechte - Die Bedeutung der speziellen Grundrechte im Internet, MMR 2013, S.92.,而个人信息权也成为最能体现当代人类数字化生存状况的权利。
第二,个人信息权的宪法规范依据。从各国(地区)的个人信息保护法制经验来看,主要有两种途径:第一种是宪法肯认,即在宪法文本中明确规定个人信息权作为一项基本权利。例如,《欧盟基本权利宪章》第8 条通过三个条款规定了个人数据保护基本权利。第二种是宪法解释,即宪法文本中并未明确规定个人信息权,但是,可以通过宪法解释纳入基本权利保护范围。例如,德国《联邦基本法》中并未规定“个人信息权”,德国联邦宪法法院在“人口普查案”中发展“信息自决权”时,主要是以德国《联邦基本法》第1 条第1 款(人的尊严)和第2 条第1 款(人格权)作为规范基础。⑦Vgl.BVerfGE 65, 1 (42).
我国宪法虽然没有明确规定个人信息权,但可以通过宪法解释将其放置在相关宪法条款中。《个人信息保护法》第1 条规定“根据宪法,制定本法”,这无疑是依宪立法、坚持以宪法为依据、体现宪法精神的最直接体现。⑧张震:《“根据宪法,制定本法”的规范蕴涵与立法表达》,载《政治与法律》2022 年第3 期,第109 页。全国人民代表大会宪法和法律委员会在对该条款进行说明时明确指出,“我国宪法规定,国家尊重和保障人权;公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。据此,拟在草案第一条中增加规定‘根据宪法,制定本法’。”据此,可以将《中华人民共和国宪法》(以下简称《宪法》)第33 条“人权条款”、第38 条“人格尊严条款”以及第40 条“通信自由和通信秘密条款”作为个人信息权的规范依据。⑨张翔:《个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思》,载《环球法律评论》2022 年第1 期,第58-59页。
(二)基本权利功能催生风险预防义务
在基本权利理论中,一般认为,基本权利主要具有主观权利和客观法功能,并以此来建构宪法上实现基本权利的最大可能保护网。①[德]福尔克尔·埃平、赛巴斯蒂安·伦茨、菲利普·莱德克:《基本权利》(第8 版),张冬阳译,北京大学出版社2023 年版,第4-5 页。在主观权利功能的面向,体现在基本权利作为防御权与社会基本权所建构的保护法益;在客观法功能的面向,则体现在基本权利作为客观价值秩序、制度性保障、组织与程序保障以及国家的保护义务所建构的法益。既然个人信息权的基本权利地位得以证成,那么,其当然也具备基本权利的功能。就个人信息权的主观权利功能而言,其可以为公民个人信息不受国家公权力侵害的请求权提供依据;并且,在侵害发生时,也为排除国家侵害的请求权提供依据;就个人信息权的客观法功能而言,其不仅要求国家为公民个人信息权的实现提供制度性保障以及程序与组织保障,而且,还要求国家负有义务保护公民个人信息权的实现,使其足以对抗第三人(尤其是其他私人)所造成的不法侵害。②王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021 年第3 期,第17-19 页。
风险预防与危险防御共同构成了国家保护义务的具体化。③Vgl.Fritz Ossenbühl, Vorsorge als Rechtsprinzip im Gesundheits-, Arbeits- und Umweltschutz, NVwZ 1986, S.164.事实上,“保护”(Schutz)一词本身就是一个非常开放的术语,既代表支持安全、帮助处理有威胁的事情,同时也隐含了预防和预防措施。④Vgl.Christian Calliess, in Dürig/Herzog/Scholz, Grundgesetz-Kommentar, Band 3, 99.EL September 2022, GG Art.20a Rn.71.保护义务的功能一方面表现在,它是一种存续保障,意思就是,为保护基本权利所承载的自由而必需的保障措施必须存续,不能被取消;保护义务的另一方面功能在于,当基本权利所承载的自由至今尚无针对社会威胁的保障或者这种保障不充分时,它可以要求立法机关提供相应的保障。⑤[德]迪特儿·格林:《宪法视野下的预防问题》,载刘刚编译:《风险规制:德国的理论与实践》,法律出版社2012 年版,第125 页。此外,从禁止保护不足原则(Untermaßverbot)的角度看,基本权利的保护义务既然课予国家有义务提供适当且有实效的权利保护⑥陈征:《宪法中的禁止保护不足原则——兼与比例原则对比论证》,载《法学研究》2021 年第4 期,第55 页。,则自然也包括对于不确定的损害可能性采取预防措施。就个人信息保护而言,《宪法》第33 条第3 款“国家尊重与保障人权”实际上明确表达了基本权利保护义务功能的双重性。根据该规定,国家一方面必须通过避免自身的干预来尊重和保障人权,另一方面当私人当事方威胁侵犯人权时,国家有义务预防风险、避免危险或补救已经发生的侵害。⑦焦洪昌:《“国家尊重和保障人权”的宪法分析》,载《中国法学》2004 年第3 期,第44-45 页。从这个角度看,风险预防本身就是个人信息国家保护义务的具体化。正如有学者所言:“社会法治国的选择,其在基本权利教义上的结论就是保护义务,本身就包含了对预防的选择。”⑧[德]迪特儿·格林:《宪法视野下的预防问题》,载刘刚编译:《风险规制:德国的理论与实践》,法律出版社2012 年版,第125 页。
四、风险预防原则下个人信息保护的制度完善
风险预防原则具有重要的体系形成功能、解释指针功能、法政策功能等,有助于使规制手段的相关讨论结构化,容易形成体系,在缩减裁量空间或者判断余地时发挥重要作用。⑨王贵松:《风险行政的预防原则》,载《比较法研究》2021 年第1 期,第53 页。从国内外个人信息保护理论与实践来看,个人信息保护法律制度主要包括立法、执法和司法三个核心环节。如前文所述,风险预防原则嵌入个人信息保护领域具备正当性。为了使风险预防原则能够在个人信息保护领域有效运行和展开,有必要从以下三个方面对个人信息保护制度进行完善:一是在立法层面,确立风险预防的基本原则地位及配套规则;二是在执法层面,风险预防措施的类型化构造;三是在司法层面,优化风险预防原则的司法因应。
(一)立法:确立风险预防的原则及规则
国家的风险预防义务衍生了一项程序性义务(prozedurale pflichten),即国家对于现已存在的合理怀疑,特别是具有科学性指示的信息,不仅不容忽视,而且也不能仅是形式上纳入决策考量;相反,必须对其深入分析并给予正确的评价,否则,就构成足以影响到规范内容的评价瑕疵(Bewertungsfehler)。①Vgl.W.Köck, Mobilfunksendeanlagen und grundrechtliche Schutzpflichten des Staates, Anmerkung zu BVerfG 28.2.2002, ZUR 2002,S.353.作为个人信息保护法律制度的三个环节之一,立法既是其起点,也是其基础。若在立法上没有对风险预防原则设置相应的法规范,那么在执法和司法上就可能使风险预防原则无的放矢。因此,风险预防原则在个人信息保护领域的展开需要从立法环节开始。
1.明确风险预防作为基本原则
原则是一项法律制度在指导私人行为与官方行为时所使用的规范形式之一,是旨在确保公正执行法律的一般准则。因此,立法的重要意义就在于认可和颁布具有普遍约束作用的法律原则。②[美]E·博登海默:《法理学——法哲学及其方法》,邓正来、姬敬武译,华夏出版社1987 年版,第227-229 页。在国内外个人信息保护立法中,许多法律规范都明确了个人信息保护的基本原则。例如,欧盟《通用数据保护条例》第5 条对“与个人数据处理相关的原则”的规定,该条明确规定了合法、公平与透明原则,以及目的限制原则、数据最小化原则、准确原则、存储限制原则、完整与保密原则、问责制原则。在《个人信息保护法》起草过程中,立法机关认为,应当在《中华人民共和国民法典》《中华人民共和国网络安全法》等法律规定的基础上,进一步充实和完善个人信息保护的基本原则。因此,《个人信息保护法》在充分借鉴国内外已有的立法经验之基础上,从第5 条至第10 条对个人信息处理活动应当遵循的基本原则作出了规定,主要包括合法原则、正当原则、必要原则、诚信原则、目的限制原则、公开透明原则、质量原则、责任原则和安全原则。③程啸:《个人信息保护法理解与适用》,中国法制出版社2021 年版,第79 页。由此可知,尽管《个人信息保护法》第11条规定了“预防和惩治侵害个人信息权益的行为”,但是,立法却并未将“风险预防”作为我国个人信息保护的基本原则,而是将其作为国家在个人信息保护方面的责任。④高飞:《中华人民共和国个人信息保护法解读》,中国法制出版社2022 年版,第39 页。
鉴于在个人所处数字环境的复杂性以及个人信息保护风险的不确定性和不可逆性,本文认为,有必要将风险预防原则作为我国个人信息保护的基本原则,可以从立法形式和立法定位两个方面予以完善。
第一,在立法形式上,《个人信息保护法》应当专门规定风险预防原则。目前在我国食品安全以及安全生产领域,风险预防原则已经获得立法的肯认,这可以为个人信息保护领域的立法及修法提供参考。例如,《中华人民共和国食品安全法》第3 条规定:“食品安全工作实行预防为主、风险管理、全程控制……”在比较法中,瑞典《环境法典》第2.3 条规定,从事某项活动或采取某项措施的人,或打算这样做的人,应采取保护措施,遵守限制规定,并采取任何其他必要的预防措施,以防止、阻碍或消除该活动或措施对人类健康或环境的损害或危害。
本文认为,尽管通过法律解释可以勉强将《个人信息保护法》第11 条扩大解释为风险预防原则在我国个人信息保护领域的规范依据①张涛:《探寻个人信息保护的风险控制路径之维》,载《法学》2022 年第6 期,第64 页。,但由于该条的立法要旨为“国家在个人信息保护方面的责任”,这容易遮盖风险预防原则在整个个人信息保护制度中的基本原则地位。因此,有必要专门增加一个条款对风险预防原则作出如下规定:处理个人信息应当遵循风险预防原则,个人信息处理者应当采取适当的技术性和组织性措施,预防和处置个人信息处理活动的风险。
第二,在立法定位上,《个人信息保护法》应当规定弱风险预防原则。如前所述,在理论与实践中,有关风险预防原则的确切含义存在争议,学者用不同的语言来描述预防的概念,从简单的“安全比遗憾好”到复杂的、多要素的定义。一般认为,从类型化的角度看,风险预防原则可以分为“弱”(weak)版本和“强”(strong)版本。弱风险预防原则和强风险预防原则都强调对危害的预测,以及在不确定的情况下采取预防措施,但这两种版本之间存在一些主要区别。弱风险预防原则允许在科学不确定的情况下采取措施应对风险,同时,需要考虑比例原则、成本收益等;而强风险预防原则主张在科学不确定的情况下诸如全面禁止、使用限制、警告等预防性监管措施应当是对严重风险的默认反应。②See Noah M.Sachs, Rescuing the Strong Precautionary Principle from Its Critics, 2011 University of Illinois Law Review 1285, 1295(2011).
本文认为,在个人信息保护领域应当采用弱风险预防原则。理由如下:首先,弱风险预防原则在理论与实践中获得广泛支持与肯认,具备更多的合理性经验。例如,在理论上,美国学者凯斯·桑斯坦(Cass Sunstein)便是强风险预防原则的强烈批评者,他赞成在风险规制中采用弱风险预防原则,因为该原则“非常合理地表明,缺乏确凿的危害证据不应成为拒绝规制的理由”。③CassSunstein, Laws of Fear: Beyond the Precautionary Principle, Cambridge University Press, 2005, p.18.在实践中,《里约宣言》(Rio Declaration)第15 条原则采用了弱风险预防原则④《里约宣言》第15 条原则规定:“为了保护环境,各国应根据其能力广泛采用预防性方法。在存在严重或不可逆转的损害之威胁时,不得以缺乏充分的科学确定性为由推迟采取具有成本效益的措施来防止环境退化。”,并成为弱风险预防原则在国际社会中广泛发展的一个里程碑。⑤See Joakim Zander, The Application of the Precautionary Principle in Practice: Comparative Dimensions, Cambridge University Press,2010, p.37.其次,与默认禁止或限制的强风险预防原则相比,注重比例原则及成本收益的弱风险预防原则比较契合个人信息保护领域的特殊性。一方面,个人信息具有公共性与社会性,需要妥善处理技术创新、社会经济发展与个人信息保护之间的关系;另一方面,相比于传统的健康、环境及食品领域,个人信息保护领域的风险容忍度更高。
2.设置风险预防的配套规则
风险预防原则在精确性、规范程度上均存在局限性,需要其他配套的制度与规则方得发挥其积极功能。因此,还有必要在《个人信息保护法》中设置与风险预防原则密切相关的配套规则,使风险预防原则在个人信息保护中的应用更加具有体系性。从这个角度看,《个人信息保护法》第8 条(质量原则)和第9 条(责任原则与安全原则)可以视为是风险预防原则的配套规则。除此之外,还需要充分结合“事前预防”这一核心理念,设计一些能够实现对风险进行过程控制的配套规则。
在比较法中,欧盟《通用数据保护条例》第25 条规定了“通过设计及默认保护数据”,要求在发展、设计、挑选和使用基于个人数据处理或者用来处理个人数据以完成任务的应用程序、服务和产品时,鼓励这些应用程序、服务和产品的生产者去考虑核心数据保护原则,以便这些原则能够有效地集成到最终的系统中,确保控制者和处理者能够履行他们的数据保护义务。以此为参考借鉴,本文认为,《个人信息保护法》也有必要进一步完善个人信息保护的规则体系,将“通过设计及默认保护个人信息”作为风险预防原则在个人信息保护领域的配套规则。在数字时代,个人信息的处理(如收集、存储、加工等)早已经由各种各样的信息系统来完成,这些信息系统架构具有强大的规制潜力,特别是其塑造人类行为的能力,通常比法规或者合同规定的法律实施更有效。①See Christopher Kuner, Lee A.Bygrave & Christopher Docksey eds., The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, p.573.“通过设计及默认保护个人信息”可以确保在信息系统开发的整个生命周期中认真考虑对个人信息权的保护,而不仅仅是在生命周期的最后阶段。②张涛:《大数据时代“通过设计保护数据”的元规制》,载《大连理工大学学报(社会科学版)》2021 年第2 期,第79 页。
3.完善风险预防的授权规则
风险预防原则作为个人信息保护的基本原则,除了要求个人信息处理者在个人信息处理活动中积极履行风险预防义务外,同时,也要求履行个人信息保护监管职责的行政机关应当依法采取预防措施,以防止对个人信息权造成重大侵害。由于行政机关采取的风险预防措施在本质上属于一种侵益性措施,仅仅有宪法的原则性规定和法律原则的规定是不够的,还应当根据侵害保留要求,具有具体的法律依据。③王贵松:《风险行政的预防原则》,载《比较法研究》2021 年第1 期,第54 页。换言之,需要由立法机关在法规范中设定相应的授权规则。从这个角度看,《个人信息保护法》第11 条“国家……预防和惩治侵害个人信息权益的行为”可以作为履行个人信息保护职责的行政机关采取风险预防措施的概括授权规则。
然而,这种形式的授权条款可能无法使立法机关对行政权力的行使有实质的控制,也难以使利益相关者合理预见自己的权利义务范围。这意味着《个人信息保护法》在规定风险预防的授权规则时还要符合授权明确性原则的要求,亦即应当明确风险预防措施的法律要件及法律效果,对履行个人信息保护职责的行政机关进行具体授权。从这个角度看,《个人信息保护法》第64 条有关“行政约谈与合规审计”的规定可以视为是对履行个人信息保护职责的行政机关之具体授权,该条授权行政机关在发现个人信息处理活动存在较大风险时,可以采取行政约谈或者要求个人信息处理者委托专业机构进行合规审计。从该条的规定来看,何为“较大风险”似乎仍然有待进一步“明确”。不过,立法机关显然将“较大风险”的判断交由行政机关进行自由裁量,原因在于风险预防所欲规范的是具有科学不确定性的风险,而风险是否会发生以及发生所带来的影响是否重大本身具有高度不确定性,若要求立法机关事先针对不确定风险巨细靡遗地规定预防措施,可能存在技术上的困难。
在行政法理论中,行政机关有关风险事项之判断、决策即为风险决定(Risikoeinschätzungen)或者预测决定(Prognoseentscheidungen)。④Vgl.Manfred Aschke, in Bader/Ronellenfitsch, BeckOK VwVfG, 59.Ed.1.1.2023, VwVfG § 40 Rn.33.尽管与立法机关相比,行政机关在做出风险决定方面更加具备各领域所需的专业与知识。但就个人信息保护中的风险决定而言,本文认为,仍然需要通过“规范具体化的行政规则”(normkonkretisierender verwaltungsvorschriften),将法律规范予以具体化,如此,可将通常以概括条款表示的不确定法律之构成要件进行内涵上的延伸,以有利于特定的规范完全可以具体实施。①Vgl.Hermann Hill, Normkonkretisierende Verwaltungsvorschriften, NVwZ 1989, S.401.此外,由于个人信息保护领域的发展变化异常迅速,立法机关还应当适时补充与调整风险预防的授权规则。例如,在当前的个人信息保护执法实践中,监管部门针对一些具有大规模用户的APP 进行评估审查,发现存在涉嫌严重侵犯用户权益的情形,通常会采取“APP 下架”或者“限制新用户注册”等措施。本文认为,无论是“APP 下架”,还是“限制新用户注册”,在本质上均具有风险预防的属性,应当参照《个人信息保护法》第64 条“行政约谈和合规审计”的规定,纳入《个人信息保护法》的调整范围。因此,建议在《个人信息保护法》第64 条增加一款:“根据个人信息处理活动中风险的具体情况,履行个人信息保护职责的部门按照法定权限和程序对该个人信息处理活动采取部分限制等临时措施。”
(二)执法:风险预防措施的类型化构造
行政执法是个人信息保护法律制度的第二个环节,也是核心环节。②王锡锌:《重思个人信息权利束的保障机制:行政监管还是民事诉讼》,载《法学研究》2022 年第5 期,第3 页。若缺乏有效的行政监管机制,那么再完美的立法也只能形同空文。与此同时,由于行政执法与行政相对人直接相关,行政权力的不当行使又可能导致行政相对人的利益受损。就风险预防原则在个人信息保护中的适用而言,除了需要确立其基本原则地位外,还需要进一步确定行政机关采取的预防措施应当遵循的标准和规范,尤其是预防措施的强度和范围问题,其中预防强度又具体包括预防措施的类型、形式和梯度等内容。③Vgl.Fritz Ossenbühl, Vorsorge als Rechtsprinzip im Gesundheits-, Arbeits- und Umweltschutz, NVwZ 1986, S.165.目前,《个人信息保护法》对几类预防性监管措施进行了初步规定,具体包括第51 条规定的“个人信息安全事件应急预案制度”、第55 条和第56 条规定的“个人信息保护影响评估制度”、第64 条规定的“行政约谈与合规审计制度”等。不过,上述几类预防性监管措施仍然存在不足,有待进一步完善。为了使个人信息保护中的预防性监管措施更加具有体系性,更加符合“分级分类监管”的理念,本文认为,可以对预防性监管措施进行类型化,然后将具体的预防措施放置其中,为行政执法提供更为精确的指引。
1.完善自愿性预防措施
所谓的自愿性预防措施是指个人信息处理者为了避免个人信息保护风险而自愿采取的技术性和组织性措施。在任何社会秩序中,自我控制都是一种必备的要素,因为国家无法针对每一种可想象到的危害来制定规则,执法人员也不可能时刻对每一个人进行监督。因此,在对所有类型的规制进行分析时,最后必然会倡导推动自我规制。④[英]罗伯特·鲍德温、马丁·凯夫、马丁·洛奇:《牛津规制手册》,宋华琳、李鸻、安永康等译,上海三联书店2017 年版,第183页。事实上,从执法与守法策略的角度看,自愿性预防措施实际上体现了一种“遵从式策略”(compliance strategy),旨在防止危害而非惩罚罪恶,其执法理念是以实现立法的广泛目标为中心,而非制裁违法行为。需要采取某些积极的行为,而非简单地避免某种行为。①See Keith Hawkins, Environment and Enforcement: Regulation and the Social Definition of Pollution, Oxford University Press, 1984, p.4.
从已有的个人信息保护理论与实践来看,个人信息处理者可以采取如下自愿性预防措施,完善内部的风险管理体系,履行风险预防义务:一是数据加密措施。个人信息处理者应当对敏感个人信息进行技术加密,确保个人信息在传输和存储过程中的安全性。二是访问控制措施。个人信息处理者应当建立访问控制机制,限制对个人信息的访问和操作权限,确保只有授权人员才能访问和处理个人信息。三是合规审计措施。个人信息处理者应当按照有关法律法规的规定,建立内部的个人信息保护合规审计制度,定期对系统的运行进行合规审计,及时发现和解决安全问题,减少人为因素对数据安全的影响。四是第三方风险管理措施。个人信息处理者应当对与其相关的第三方进行风险评估和管理,确保第三方供应商或合作伙伴的可靠性和安全性。五是完善个人信息安全事件应急预案。个人信息处理者应当编制应急预案,明确内部的责任分工,建立有效的响应机制,制定信息安全事件的级别和分类。在个人信息处理者完善上述自愿性措施的过程中,行政机关可以适时免费提供指导与帮助,促使个人信息保护原则及规则能够内化于个人信息处理者的管理制度体系中。
2.完善影响性预防措施
所谓的影响性措施是指行政机关根据个人信息处理活动的风险情况,采取的或者鼓励实施的能够对个人信息处理者、个人信息主体的行为、决策产生直接或者间接影响的软性措施。影响性预防措施的兴起源于政府规制理论创新与改革,即超越纯粹的自我规制和严格的“命令—控制”规制。针对不同的对象,可以采取的影响性预防措施又存在不同,主要包括元规制措施和助推措施。
第一,针对个人信息处理者的元规制措施。传统的“命令—控制”规制在很大程度上剥夺了规制对象的裁量空间,并且明确要求其必须采取哪些措施或者实现何种目标。与此相对应,元规制(meta-regulation)将某些实质性的裁量权留给规制对象,促使或者鼓励他们制定自身内部的规制体系。②[英]罗伯特·鲍德温、马丁·凯夫、马丁·洛奇:《牛津规制手册》,宋华琳、李鸻、安永康等译,上海三联书店2017 年版,第168页。根据这种进路,政府规制机构发现某一问题,然后要求规制对象制定方案来解决这一问题,作为回应,规制对象对自身施加内部式的规制,因此,元规制也被称为“强制性自我规制”(enforced self-regulation)。③See F.C.Simon, Meta-Regulation in Practice: Beyond Normative Views of Morality and Rationality, Routledge, 2017, p.2-3.长期以来,作为元规制措施的“影响评估”已经被用于许多监管领域,以评估特定技术或特定背景下产生的风险(影响),如环境影响评估。在个人信息保护领域,“影响评估”也由最初的“隐私影响评估”逐渐演变为“数据保护影响评估”或“个人信息保护影响评估”,成为个人信息保护领域的一种元规制措施,发挥“早期预警系统”的作用,目的是在事前识别处理操作的潜在消极后果,并减轻潜在风险的影响。④See Christopher Kuner, Lee A.Bygrave & Christopher Docksey eds., The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, p.669.
在我国,随着个人信息保护制度的发展,个人信息保护影响评估的规范体系也逐步完善。一方面,在法律规范层面,《个人信息保护法》第55 条、第56 条对个人信息保护影响评估进行了概括性规定;《数据出境安全评估办法》对数据出境安全评估进行了具体规定。另一方面,在操作指南层面,国家标准《信息安全技术 个人信息安全规范(GB/T 35273-2020)》和《信息安全技术 个人信息安全影响评估指南(GB/T 39335-2020)》对个人信息安全影响评估的原理、评估的具体实施流程进行了规定。
尽管如此,个人信息保护影响评估实践仍然面临一些困境,有待进一步完善:一是应当强化个人信息保护影响评估的场景性。在实践中,尽管法律法规及国家标准已经对个人信息保护影响评估的实施流程、参考方法等进行了规定,但是,通用性的指南无法兼顾复杂多变的个人信息处理场景。因此,有必要由网信办联合不同领域的科研机构、行业组织、企业等制定不同场景中的个人信息保护影响评估指南,如车联网、AI 大模型、社交媒体等。二是应当完善个人信息保护影响评估的参与性。一方面,应当充分听取内部数据保护官、系统开发人员、个人信息主体、消费者代表等利益相关者的意见;另一方面,应当听取律师、IT 专家、伦理学家等外部独立专家的专业意见。三是应当加强个人信息保护影响评估的公开性。《个人信息保护法》并未规定个人信息保护影响评估的公开程序,这容易导致个人信息保护影响评估缺乏外部监督,应当鼓励个人信息处理者积极公开评估报告或者结果概要。①刘权:《论个人信息保护影响评估——以〈个人信息保护法〉第55、56 条为中心》,载《上海交通大学学报(哲学社会科学版)》2022 年第5 期,第46—48 页。
第二,针对个人信息主体的助推措施。在现有的规制工具箱中,针对个人信息主体的规制方法主要是以“告知—同意”或者“选择—同意”为主,其基本假设是:在适当通知数据收集的原因、背景和目的后,个人可以自主选择是否同意并对其个人数据实施控制。事实上,从规制功能的角度看,“告知—同意”本身就属于一种事前的风险控制措施,其目的是增强个人信息主体控制个人信息保护风险的能力。然而,大量研究与实践表明,由于存在认知问题和结构问题,“告知—同意”难以在大数据时代发挥保护个人信息的作用,已经成为个人信息处理者合法处理个人信息的万能“护身符”,因为同意可以说是使任何形式的个人信息收集、使用或者披露合法化。②See Daniel J.Solove, Introduction: Privacy Self-Management and the Consent Dilemma, 126 Harvard Law Review 1880 (2013).在此背景下,一些学者主张个人信息保护应当从“个人控制”转向“社会控制”③高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018 年第3 期,第84 页。,还有一些学者更是主张将“助推”(nudges)理论引入个人信息保护中,作为“告知—同意”的替代性方法。④See Sheng Yin Soh, Privacy Nudges: An Alternative Regulatory Mechanism to Informed Consent for Online Data Protection Behaviour, 5 European DataProtection Law Review 65, 71 (2019).
助推是指“在选择体系的任何一方面都不采用强制的方式,而是以一种预言的方式去改变人们的选择或者改变他们的经济动机及行为”。⑤[美]理查德·泰勒、凯斯·桑斯坦:《助推:如何做出有关健康、财富与幸福的最佳决策》,刘宁译,中信出版社2015 年版,第7-8页。助推的应用范围非常广泛,并且还在快速增大,比较常见的形式有默认规则(如自动加入计划,包括教育、健康、储蓄等)、简化(部分原因是为了促进对现有方案的采纳)、使用社会规范(如强调大多数人的行为)、增加便捷性(如使低成本的选择或者健康食品变得明显)、披露、图形或其他形式的警告等。在个人信息保护场景中,助推可以通过两种方式发挥作用:一是助推更多的个人信息保护。在实践中,可以促进个人信息保护行为的助推措施包括隐私可用性解决方案、简化隐私设置、用户发布个人信息之前的测试或者延迟;①See Rebecca Balebako, Pedro G.Leon & Hazim Almuhimedi et al., Nudging Users Towards Privacy on Mobile Devices, https:/ /ceurws.org/Vol-722/paper6.pdf (last visited on August 7, 2023).二是助推更少的个人信息保护。在实践中,鼓励个人信息主体披露其个人信息的助推措施则包括隐私设置界面缺乏可用性、设计不良的警告和信息披露的潜在奖励。②See Andreas Kapsner & Barbara Sandfuchs, Nudging as a Threat to Privacy, 6 Review of Philosophy and Psychology 455, 460-462(2015).基于此,本文认为,可以考虑将助推更多个人信息保护的措施与“通过设计及默认方式保护个人信息”原则相结合,将相关要求或者建议融入各种信息系统(如移动应用程序)的技术标准中,克服个人信息主体的行为偏见与认知困境,通过数字助推在信息系统设计之初就减少个人信息保护风险。
3.完善强制性预防措施
强制性预防措施是指行政机关根据个人信息处理活动的风险情况,采取的能够对个人信息处理者的行为及决策产生直接影响的硬性措施。强制性预防措施源于传统规制中的“命令—控制”措施,体现了一种“威慑式策略”(enforcement strategies),与自愿性预防措施形成对比。在规制理论中,“威慑式策略”一直占据核心地位,这种策略的基本假设是:被规制对象通常是“与道德无关的计算者”,只有当法律作出明确要求,并且他们认为违法行为很容易被发现,并因此招致严厉制裁时,他们才会采取成本高昂的措施来实现公共政策目标。③[英]罗伯特·鲍德温、马丁·凯夫、马丁·洛奇:《牛津规制手册》,宋华琳、李鸻、安永康等译,上海三联书店2017 年版,第135页。在执法实践中,比较常见的强制性措施主要包括限制或者禁止、罚款、剥夺资格等。虽然这些措施的主要功能是对已经发生的违法行为进行制裁和惩罚,但同时也可以对潜在违法者形成威慑,发挥风险预防的作用。
就个人信息保护执法实践而言,强制性预防措施目前主要包括改进通告、限制新用户注册、APP下架、信息系统关停等。这些措施对于保护公民个人信息权发挥了重要作用,但同时也可能不当限制被规制对象的合法权益。为了在技术创新、社会经济发展与风险预防之间取得平衡,本文认为,有必要从以下几个方面完善强制性预防措施:
第一,树立正确的风险预防理念,强制性预防措施的目标不是“零风险”,而是一个最佳的风险组合。例如,当发现一种风险(如人脸识别技术的负面影响)被忽视或者管理不善时,执法机构可能会做出过度反应,寻求彻底消除这种风险。在某些情况下,这种反应可能是适当的,但是实践表明将目标风险减少至零通常不是最佳结果,因为追求“零风险”可能没有结果,也可能成本巨大,还可能阻碍有价值的技术创新或者造成其他风险。
第二,建立有梯度的强制性预防措施,实行分级分类规制,增加风险预防的回应性。在执法“工具箱”中,有必要保留或者新设一些“终极”措施,一旦这些措施被激活,应当具有足够强大的威慑力,对那些具有重大风险的个人信息处理行为进行威慑。与此同时,对那些风险本身较小的个人信息处理活动,则可以实施相对柔和的强制性预防措施。
第三,完善实施强制性预防措施的行政程序,保障行政相对人的合法权益。在个人信息保护领域,一些新型的强制性预防措施在外在表现形式上可能并不像行政罚款、吊销许可证、关闭工作场所等传统的强制措施那么明显,但同样可能给行政相对人的合法权益造成不当侵害,因此,应当严格遵循说明理由义务和其它正当程序原则。
(三)司法:优化风险预防的司法因应
司法是个人信息保护法制的第三个环节,也是保护个人信息权的最后屏障。立法虽然可以为个人信息主体、个人信息处理者以及个人信息保护监管机构设定各自的权利义务,但是却并不能保证在实际的个人信息处理活动中相关各方的权利得以实现和义务得以履行。从功能与组织最适理论出发,在个人信息保护中因风险预防原则引发的争议仍然需要司法予以最终解决。结合我国环境司法领域风险预防原则的实践经验,本文认为,可以从以下两个方面完善个人信息保护中风险预防的司法因应:一是激活公益诉讼的风险预防功能;二是完善风险预防措施的司法审查。
1.激活公益诉讼的风险预防功能
在个人信息保护司法实践中,风险预防原则适用的基本进路主要以公益诉讼的方式呈现,尤其是人民检察院提起的个人信息保护公益诉讼。①许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023 年第1 期,第108 页。根据《个人信息保护法》第70 条的规定,个人信息保护公益诉讼的启动条件是“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益”,其仍然是以“损害救济”作为制度理念,尚未充分考虑和发挥风险预防功能。基于此,本文认为,可以从以下两个方面激活个人信息保护公益诉讼制度的风险预防功能。
第一,以“侵害众多个人的权益”为概念起点,确定个人信息保护公益诉讼的保护范围。在大数据时代,侵害个人信息权的行为本身具有无形性、潜伏性、未知性等特征,即便是可以明确识别的“数据泄露”也可能造成未来损害的风险,如身份盗窃、欺诈或者名誉受损,还可能使个人信息主体对这种风险感到焦虑。因此,对“侵害众多个人的权益”的理解应当避免狭隘的侵害观或者损害观,可以将“风险”融入“侵害众多个人的权益”考量范围。借助利益衡量理论和容忍限度理论,可以对“侵害众多个人的权益”的认定规则进行塑造:一是注意区分个人信息的类型。在实践中,个人信息一般可以分为敏感个人信息和一般个人信息。一般而言,个人信息越重要、越敏感,其被侵害后构成风险损害的可能性就越高。二是考虑个人信息处理的方式和目的。一般而言,利用技术手段对个人信息进行大规模的聚合、挖掘和加工造成损害的可能性较大。三是考虑个人信息被滥用的迹象。可以就同类事件中个人信息被滥用的方式及结果进行研究和评估。四是考虑个人信息保护风险的缓解措施。在评估个人信息保护风险时还要考虑潜在的风险是否可以通过其他措施得到缓解。②SeeDaniel J.Solove, Danielle Keats Citron, Risk and Anxiety: A Theory of Data-Breach Harms, 96 Texas Law Review 737, 774-775(2018);田野:《风险作为损害:大数据时代侵权“损害”概念的革新》,载《政治与法律》2021 年第10 期,第36-38 页。
第二,扩大个人信息保护公益诉讼的适用范围,探索预防性信息行政公益诉讼。从规范基础与内容上看,《个人信息保护法》第70 条预留了行政公益诉讼的制度空间:一是《个人信息保护法》并未对行政公益诉讼设置“禁止性条款”;二是《个人信息保护法》对私营部门和公共部门的个人信息处理活动进行统一调整,公益诉讼的路径也应当既有民事公益诉讼也有行政公益诉讼;三是个人信息保护行政公益诉讼在实践中已经广泛开展,并且发挥了很好的风险预防作用。③蒋红珍:《个人信息保护的行政公益诉讼》,载《上海交通大学学报(哲学社会科学版)》2022 年第5 期,第28 页。在具体的制度建构上,除了事后救济型诉讼外,还应当探索实施预防性信息行政公益诉讼,即在个人信息侵害行为尚未发生或即将发生或刚刚发生但尚未构成损害事实时,由检察机关提起行政公益诉讼。①王春业:《论检察机关提起“预防性”行政公益诉讼制度》,载《浙江社会科学》2018 年第11 期,第51 页。个人信息国家保护义务的重要内容便是提供“及时有效的”权利救济,因此,以确保依法行政原则、落实公民权利救济为旨趣的行政诉讼,其所提供的救济途径自然不应当仅局限于就已经发生的权利侵害,提供事后响应的修复式正义,而应当包含事前预防救济,以阻止侵害于未然。②李建良:《行政法上之预防性不作为诉讼》,载《月旦法学教室》2021 年第12 期,第34 页;罗智敏:《我国行政诉讼中的预防性保护》,载《法学研究》2020 年第5 期,第125 页。
2.完善风险预防措施的司法审查
随着我国个人信息保护法制的不断发展,个人信息保护影响评估制度、个人信息保护合规审计制度等风险预防原则的配套制度不断落地实施,行政机关也可能基于上述评估或审计结果而作出诸如“手机APP 预防性下架”或“数字服务平台暂时性关闭”等风险预防行政决定。这些风险预防行政决定多伴随产生侵益效果,故应当允许行政相对人有寻求救济的机会。
在司法审查阶段,为妥善因应行政机关在风险决定中所享有的一定程度之预测或判断的弹性空间,人民法院应就行政机关是否按照法定程序作出决定,特别是针对风险评估结果的参考、风险管理考量的因素、是否有妥适的风险沟通以及事实认定是否有误或遗漏未斟酌的事项等方面进行监督。在比较法中,对于具有预测性质的风险决定类型,德国学界多肯认行政机关的判断余地,法院原则上只审查如下项目:一是该行政机关在进行有关预测时,是否从适当的议题划定、资料、价值与数据出发;二是是否就所有可得掌握的数据加以衡量;三是所采取的方法是否科学上有可支持性;四是就所有已获得的素材而言,是否以一种适当且在方法上没有令人质疑的方式加以完成。
此外,人民法院在审查个人信息保护监管中风险预防措施的合法性时,还应当妥善分配举证责任。根据环境保护、食品安全等领域的司法经验,一方面,行政机关应当举出风险评估的证据、相关的利害关系事实等,证明自己的措施符合风险预防措施的适用条件及合法要件。③王贵松:《风险行政的预防原则》,载《比较法研究》2021 年第1 期,第60 页。另一方面,根据“支配领域理论”,当依据现存的经验法则无法对新技术与设施是否具有危害性进行充分评估时,则新技术引进者或相关设施设置者,必须对新技术或设施不具有危害性负举证责任。在个人信息保护领域,新处理技术层出不穷、日新月异,而这些新处理技术又通常因受到商业秘密保护而导致第三人一般难以得知相关流程与技术细节;相反,个人信息处理者由于掌握相关信息,能够对其技术的危害性进行评估。因此,由最靠近新技术引进端的个人信息处理者承担证明义务,是合适且合理的。
五、结语:风险预防原则的适用限度
随着社会的数字化转型不断深入,个人已经彻底身处数字风险社会中。数字环境对个人的重要性,就如同自然环境对个人的重要性一样。数字信息是新经济的燃料,但像旧经济的碳燃料一样,它也会造成“污染”,有害的“数据排放物”流入数字生态系统中,破坏了社会制度和公共利益。④See Omri Ben-Shahar, Data Pollution, 11 Journal of Legal Analysis 104 (2019).正如风险预防原则通过环境法的适用为个人的自然环境提供保护一样,风险预防原则也应当嵌入个人信息保护法为个人的数字环境提供保护。
然而,风险预防原则亦并非万能钥匙,长期以来一直面临批判与质疑,主要体现在以下几个方面:一是定义不清。有论者认为,预防原则定义不清,过于空洞和模糊,无法为决策提供任何有用的指导,因此,应当放弃预防原则。①SeeDerek Turner & Lauren Hartzell, The Lack of Clarity in the Precautionary Principle, 13 Environmental Values 449 (2004).二是内在矛盾。有论者认为,“预防原则的真正问题在于它的不一致性,它声称要提供指导,但却没有做到,因为它所谴责的正是它所要求采取的措施”。②CassSunstein, Laws of Fear: Beyond the Precautionary Principle, Cambridge University Press, 2005, p.14.三是负面影响。有论者认为,预防原则的使用可能会直接或间接地造成各种不同的负面影响(如环境威胁、健康危害、经济负担、扼杀科技进步等),这意味着预防原则非但不会减少风险,反而会增加我们的总体风险。③SeeFrank B.Cross, Paradoxical Perils of the Precautionary Principle, 53 Washington and Lee Law Review 851, 898-919 (1995).风险预防原则所遭遇的上述质疑也可能出现在个人信息保护领域。有论者认为,与健康、环境等传统风险规制领域不同,个人信息保护领域引入基于风险的方法也面临风险预防缺乏焦点、风险评价无法客观量化等挑战。④参见赵鹏:《“基于风险”的个人信息保护?》,《法学评论》2023 年第4 期,第123 页。
在数字风险社会中,为了避免风险预防原则在逻辑和实践上的缺陷,也为有效地因应个人信息保护风险,需要采取一种更加理性和平衡的风险规制方法,充分考虑风险的多样性和相对性以及不同政策的利弊得失。在比较法中,根据欧盟《关于风险预防原则的通讯》之规定,采取风险预防措施时需要遵循以下一般原则:一是合乎比例;二是非歧视;三是一致性;四是行动或者不行动的成本收益审查;五是科学发展的审查。⑤SeeCommunication from the Commission on the precautionary principle, COM (2000)0001 final.以此为参考,在个人信息保护领域,风险预防原则的适用也应当遵循实体和程序两个层面的要求⑥Vgl.Christian Calliess, in Dürig/Herzog/Scholz, Grundgesetz-Kommentar, Band 3, 99.EL September 2022, GG Art.20a Rn.117-122.,采取理性风险预防方法。
第一,在科学研究的帮助下将风险预防具体化。需要在一个持续不断的过程中科学地确定和研究个人信息保护中存在的风险是什么及其转变为实害的可能性。在此背景下,需要在风险评估过程中客观、详尽地确定与风险预防动机相关的所有的信息。
第二,由立法机关对初步确定的风险进行合宪性评价。在选择履行其保护义务的手段时,仅限于那些“符合宪法”的手段。⑦Vgl.Hans-Jürgen Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, S.3027.科学上初步的风险确定可以大致为风险预防规则的制定提供指引,但是,其中涉及的价值及利益权衡问题却只能由立法机关在宪法框架内进行,主要内容包括这种风险是否仍然可以被接受和容忍强度为何,又应当采取哪些干预措施来因应它。
第三,确保风险评估符合正当程序的要求。在个人信息保护实践中,相关程序规则必须确保对科学数据与研究结果进行评估的过程是公开和透明的。此外,即便是在科学上合理的各种立场,也应当充分考虑少数人的意见,这意味着需要对公众参与作出制度性安排。
第四,预防措施的实施应当符合比例原则的要求。不过需要注意的是,传统的比例原则,不论其审查密度或者标准为何,通常注重对后果的考量而非着重于几率的评估,进入风险行政的讨论领域后,此一传统的操作模式应当进行调整,须同时考量概率以及后果。
