除了需要满足特定的社会条件与充足的制度供给外,行政法总则的制定更需要发达的立法技术支撑。
这些技术权力与行政权力相结合,在政府治理的结构维度和程序维度,都显著强化了行政权力。数目字化治理的目标是以数字(numbers)及其运算(calculation)管理社会,依靠数理统计机构作为更加中立的裁判者,实现共同体的良善治理。
归纳而言,现有研究对数治时代的法治变迁提供了两种路径。例如,对个人而言,国家给付虽是授益性的行为,但对个人数据的大规模采集、处理及算法自动化决策,也会给个人信息权益带来侵害风险。又如,2010年之后,洛杉矶警方借助Predpol公司的预测性警务技术,分析警方内部机密数据和其他数据,预测公共安全和治安风险。在这个意义上,数字赋能并非没有风险。在我国,国务院发布的《新一代人工智能发展规划》也提出:要利用人工智能提升公共安全保障能力。
执法者基于监控、数据、算法、预测等技术,可采取先发制人的执法措施。技术的中立性只是一种想象而非事实。在司法救济层面,法院可以通过建立风险性损害的识别和评估机制,革新侵权损害概念,形成基于风险的损害。
个人信息保护问题带有强烈的技术性和隐蔽性,有些问题需要专业的技术检测才能发现。①参见[荷兰]玛农·奥斯特芬:《数据的边界:隐私与个人数据保护》,曹博译,上海人民出版社2020年版,第45-52页。(26)这些基于风险的模式、机制、工具被统称为基于风险的方法,它们的共同点是:治理不应当以消除所有潜在的损害或者更广泛的不利后果为目标。基于风险的方法嵌入个人信息保护中的逻辑前提是承认个人信息主体的有限理性。
后者主要由政府部门在事前、事中和事后行使行政权力来完成。(44)See Christopher Hood,Henry Rothstein,Robert Baldwin,The Government of Risk:Understanding Risk Regulation Regimes,Oxford University Press,2001,p.24. (45)See Maria Eduarda Gonalves,The Risk-Based Approach under the New EU Data Protection Regulation:A Critical Perspective,Journal of Risk Research,Vol.23,No.2,2020,p.142-144. (46)参见[英]罗伯特·鲍德温、马丁·凯夫、马丁·洛奇主编:《牛津规制手册》,宋华琳、李鸻、卢超等译,上海三联书店2017年版,第134-135页。
(34)OECD,The OECD Privacy Framework,OECD Publishing,2013,p.12. (35)See Andra Giurgiu Tine A.Larsen,Roles and Powers of National Data Protection Authorities,European Data Protection Law Review(EDPL),Vol.2,No.3,2016,p.342-352. (36)[英]罗伯特·鲍德温、马丁·凯夫、马丁·洛奇主编:《牛津规制手册》,宋华琳、李鸻、卢超等译,上海三联书店2017年版,第167页。为了在个人信息保护中实施基于风险的方法,在自我规制层面,信息处理者应当将基于风险的方法融入个人信息保护合规制度体系中,形成基于风险的合规。长期以来,我国个人信息保护行政规制一直呈现九龙治水的发展态势,存在目标弱化、主体分散、措施乏力和程序模糊等问题,(39)尚未发挥其在个人信息保护中的支柱性作用。(47)在个人信息保护领域,不同类型、不同规模的规制对象交织在一起,既有公共部门,也有私营部门,具有不同的动机和能力。
尽管个人信息保护中基于权利的方法契合支配当今权利理论的实践和哲学的观点,即主张为了使世人相信我们道德理想的‘真理(道德方面的重要性),我们需要运用道德术语或权利语言。⑤参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第98页。在我国法律制度中,尽管个人信息权或者个人信息保护权这一术语并未明确出现在制定法中,但《民法典》和《个人信息保护法》所确立的法律规则却是基于承认个人信息为受法律保护的一项权利。(14)《民法典》第111条规定自然人的个人信息受法律保护,并在人格权编第六章隐私权和个人信息保护第1034—1039条系统规定了个人信息保护的制度体系,包括知情同意权、查阅与复制权、异议和更正权、删除权等。
与欧盟《一般数据保护条例》类似,我国《个人信息保护法》也在诸多保护机制中体现了基于风险的方法。权利的现代基础源于将个体从理性权威和道德权威施加的负担中解放出来,个体仅仅依靠自己,并且越来越占据中心位置,人们开始从个体的优先意义和更重要的现实意义这个角度在现代自然观的语境中思考权利,权利的主观概念逐渐成为现代性的一部分。
(25)See Sasha Romanosky,David A.Hoffman,Alessandro Acquisti,Empirical Analysis of Data Breach Litigation,Journal of Empirical Legal Studies,Vol.11,No.1,2014,p.74-104. (26)参见[英]罗伯特·鲍德温、马丁·凯夫、马丁·洛奇主编:《牛津规制手册》,宋华琳、李鸻、卢超等译,上海三联书店2017年版,第339-340页。(48)在个人信息保护中,为了充分发挥诉讼在救济权利和规制行为方面的作用,有必要将未来风险作为一种可认知的损害。
(24)参见张新宝:《中国侵权行为法》(第2版),中国社会科学出版社1998年版,第93页。(34) 第二,基于风险的方法在国家(地区)个人信息保护法律政策中的体现。既然以侵权责任为主导的私法救济成为个人信息权利义务规定得以实现的法律保障机制,那么信息主体在激活这一机制时理应遵循侵权责任的一般原理,尤其是侵权责任的构成要件,即违法行为的存在、损害事实、因果关系和行为人的过错。(39)参见邓辉:《我国个人信息保护行政监管的立法选择》,载《交大法学》2020年第2期,第140页。这种方法侧重于因不合规而产生的风险,并利用对这些风险的评估指导合规工具的选择及资源部署,以最大限度降低风险和提高合规性。从理论上看,在一个单一的综合性法律框架中对个人信息保护的基本原则、权利义务关系、法律责任等内容进行规定,可以最大限度地凝聚社会共识,推动形成个人信息保护文化,促进个人信息保护执法统一。
实践证明,基于权利的个人信息保护法律制度在大数据时代面临认知和结构困境,个人信息保护需要进行路径重构。我国《个人信息保护法》将个人信息分为一般个人信息和敏感个人信息,并分别对二者的处理规则进行了规定。
从国内外已有的个人信息保护立法看,基于权利的方法在个人信息保护中的应用,主要包含三个方面的内容。按照美国学者的估计,一名美国互联网用户每年阅读隐私政策的时间成本约为201小时,折合成经济价值约为3534美元,若全体美国公民逐字逐句地阅读在线隐私政策,估计每年损失的时间价值约为7810亿美元。
换言之,新的个人信息保护范式必须从寻求促进个人对个人信息处理的自我控制,转向授权政府部门对个人信息处理活动是否符合个人利益及社会价值做出选择。二是,数据敏感性和数据暴露。
若将个人信息保护影响评估完全交由信息处理者进行自由裁量,可能达不到预期的效果。在行政规制层面,个人信息保护专责机关应当通过标准设定、信息收集和行为调节三个方面完善风险规制体系,形成基于风险的规制。(37)See Corey Schou,Steven Hernandez,Information Assurance Handbook:Effective Computer Security and Risk Management Strategies,McGraw-Hill Education,2015,p.76. (38)王锡锌:《个人信息权益的三层构造及保护机制》,载《现代法学》2021年第5期,第119页。大数据分析的目的之一便是在数据中找到意想不到的模式和相关性,这意味着无论是信息处理者还是信息主体都不太可能明确知道个人信息将用于发现什么。
在有限理性理论看来,大脑的两个特点奠定了行为与决策的基础:一是,有限的信息处理能力。欧盟委员会报告指出,只有18%的受访者表示完全阅读了隐私政策,49%的受访者表示部分阅读了隐私政策,内容冗长且复杂是不阅读的主要原因,而绝大多数人习惯性地接受同意对话,甚至不看所提供的信息。
(42)在个人信息保护领域,随着物联网、人脸识别、算法、云计算等技术广泛融入个人信息的收集、存储、处理和使用中,导致个人信息保护问题变得更为复杂。关 键 词:个人信息保护 基于权利的方法 基于风险的方法 风险规制personal information protection rights-based approach risk-based approach risk regulation 在大数据时代,个人信息保护面临新的挑战和困境。
(二)行政规制:迈向专责机关的风险规制 行政规制是个人信息保护的三大支柱之一,个人信息处理规则本质上是国家建立的一套公法秩序,应主要通过监管和公共执行机制予以保障和纠偏。风险管理是一项复杂的、系统性的、多方面的活动,需要整个组织的参与。
(44)通常情况下,风险规制中的信息收集需要综合运用上述方法。(三)司法救济:将风险作为一种可补偿的损害 从广义上看,诉讼和行政规制均属于规制体系的组成部分,前者主要由私人民事诉讼在事后触发,由法院主导整个过程。美国学者丹尼尔·索罗夫认为,一些认知问题破坏了隐私自我管理,导致个人无法作出知情且理性的选择,而由于一些结构问题的存在,导致即使是知情且理性的个人也无法适当地自我管理其隐私。然而,无论是理性选择理论还是私法自治原则,其已经被证明存在内在缺陷,难以反映真实的决策场景和理性的心理偏离。
(19)See Alessandro Acquisti,Jens Grossklags,Privacy and Rationality:A Survey,in Katherine J.Strandburg,Daniela Stan Raicu eds.,Privacy and Technologies of Identity:A Cross-Disciplinary Conversation,Springer,2006,p.17-18. (20)See Aleecia M.McDonald,Lorrie Faith Cranor,The Cost of Reading Privacy Policies,I/S:A Journal of Law and Policy for the Information Society,Vol.4,No.3,2008-2009,p.543-568. (21)See Tuukka Lehtiniemi1,Yki Kortesniemi,Can the Obstacles to Privacy Self-management Be Overcome? Exploring the Consent Intermediary Approach,Big Data Society,Vol.4,No.2,2017,p.1-11. (22)See Paul Ohm,Broken Promises of Privacy:Responding to the Surprising Failure of Anonymization,UCLA Law Review,Vol.57,No.6,2010,p.1701-1778. (23)王利明:《侵权行为法归责原则研究》,中国政法大学出版社1997年版,第361页。对信息处理者而言,其收集、处理、存储和使用的个人信息可能涉及众多信息主体,这意味着个人信息侵害行为造成的损害通常涉及广泛且异质的信息主体。
我国《个人信息保护法》第66条对事后规制中的行政处罚进行了规定,包括警告、没收违法所得、责令暂停或者终止提供服务、罚款等。基于权利的方法引入个人信息保护中的基本范式是赋予个人信息主体个人信息权或者个人信息保护权。
1.逻辑前提:信息主体的完全理性。在规制理论中,风险预防原则一直是风险规制行政的基本原则,亦是基于风险的方法的核心要素,它意味着规制机构或者规制对象应当根据该原则设计具体的风险预防机制,并在特定条件下采取相应的风险干预措施。
