王 婭

內(nèi)容提要:個人信息的保護(hù)與利用牽涉?zhèn)€人、企業(yè)和政府之間的利益與權(quán)力關(guān)系。國家需要作為獨立的行為主體，調(diào)和參與者之間的沖突，整合個人信息保護(hù)實踐。維護(hù)個人的知情同意規(guī)則、約束企業(yè)的隱私政策以及要求政府的行政規(guī)制這三種實踐表明：在個人信息保護(hù)領(lǐng)域，國家在場是一個既成事實。然而，國家在場的實踐存在兩方面問題：一是內(nèi)容上全面兼顧了個人權(quán)利、企業(yè)責(zé)任與政府義務(wù)，但各主體的履行實效欠佳，難以切實維護(hù)個人的合法權(quán)益；二是形式上以規(guī)范信息處理者的活動為主，但規(guī)制策略的取向不明，難以恰當(dāng)界定企業(yè)自我規(guī)制與政府規(guī)制之間的關(guān)系。因此，信息時代國家的有效在場，需要重申人性尊嚴(yán)的基本理念，以維護(hù)個人的主體地位，也需要重述規(guī)制策略的主要共識，確立回應(yīng)型規(guī)制，以妥善對待企業(yè)與政府之間的互動。

一、問題的提出

全球個人信息保護(hù)立法的實踐，如歐盟《通用數(shù)據(jù)保護(hù)條例》、美國《隱私權(quán)法》以及我國《個人信息保護(hù)法》，呈現(xiàn)出很強(qiáng)的國家引領(lǐng)和布局的色彩。個人信息保護(hù)立法的本質(zhì)是國家對個人信息處理行使規(guī)制權(quán)。(1)See Colin Bennett,Charles Rabb,The Governance of Privacy:Policy Instruments in Global Perspective,Ashgate,2003,p.95.個人信息保護(hù)是國家事務(wù)的組成部分，也是國家治理的重要場域，深受國家影響與支配。國家自始至終伴隨著個人信息的書寫、解釋和演進(jìn)，與個人信息保護(hù)緊密相連并持續(xù)互動，國家的顯現(xiàn)也是個人信息能被持續(xù)保護(hù)的重要動因。因此，在個人信息保護(hù)領(lǐng)域，國家以何種方式在場，產(chǎn)生了什么影響以及未來努力的方向何在，是必須予以清晰回答的重要問題。對這些問題的有效回答，一方面有助于提高國內(nèi)整體的個人信息保護(hù)水平，另一方面也有助于增進(jìn)國際社會對中國個人信息保護(hù)制度的認(rèn)可，為后續(xù)推進(jìn)跨境數(shù)據(jù)流通機(jī)制創(chuàng)造積極條件。

既有的學(xué)術(shù)探討主要圍繞個人信息保護(hù)的權(quán)益基礎(chǔ)、(2)例如，歐盟有人格權(quán)保護(hù)模式，美國有隱私權(quán)保護(hù)模式。也有人稱之為“數(shù)據(jù)保護(hù)法模式”和“消費(fèi)者保護(hù)模式”。兩者之間的主要區(qū)別在于默認(rèn)規(guī)則，前者僅在法定理由之下才允許收集和處理數(shù)據(jù)；后者則相反，一般允許收集和處理個人信息，除非特別禁止。See William McGeveran,Friending the Privacy Regulators,58 Arizona Law Review,966(2016).歸屬的法益領(lǐng)域、(3)主要有公法保護(hù)模式、私法保護(hù)模式和綜合保護(hù)模式之爭。參見趙宏：《〈民法典〉時代個人信息權(quán)的國家保護(hù)義務(wù)》，載《經(jīng)貿(mào)法律評論》2021年第1期；宋亞輝：《個人信息的私法保護(hù)模式研究——〈民法總則〉第111條的解釋論》，載《比較法研究》2019年第2期；程關(guān)松：《個人信息保護(hù)的中國權(quán)利話語》，載《法學(xué)家》2019年第5期。實踐中的價值取向、(4)有過程保護(hù)與結(jié)果保護(hù)的分野，也有分享優(yōu)先與控制優(yōu)先的選擇。參見蔡培如：《個人信息保護(hù)原理之辨：過程保護(hù)和結(jié)果保護(hù)》，載《行政法學(xué)研究》2021年第5期；陸青：《數(shù)字時代的身份構(gòu)建及其法律保障：以個人信息保護(hù)為中心的思考》，載《法學(xué)研究》2021年第5期；楊貝：《個人信息保護(hù)進(jìn)路的倫理審視》，載《法商研究》2021年第6期。理論導(dǎo)向，(5)主要有個人信息自決論、社會控制論和國家保護(hù)義務(wù)論的理念反思。參見高富平：《個人信息保護(hù)：從個人控制到社會控制》，載《法學(xué)研究》2018年第3期；王錫鋅：《個人信息國家保護(hù)義務(wù)及展開》，載《中國法學(xué)》2021年第1期。以及未來的路徑選擇(6)主要有法律保護(hù)、技術(shù)設(shè)計與倫理審視等多種進(jìn)路。參見鄭志峰：《通過設(shè)計的個人信息保護(hù)》，載《華東政法大學(xué)學(xué)報》2018年第6期；肖成俊、許玉鎮(zhèn)：《大數(shù)據(jù)時代個人信息泄露及其多中心治理》，載《內(nèi)蒙古社會科學(xué)(漢文版)》2017年第2期；前引〔4〕，楊貝文。等方面展開。這些研究雖貢獻(xiàn)了諸多智識，但大都以個人信息為關(guān)注點，過濾了對個人信息保護(hù)進(jìn)行宏觀全面認(rèn)識的可能。進(jìn)而言之，既有研究多從“如何保護(hù)”這一內(nèi)部路徑探尋著手，忽略了“國家如何主導(dǎo)參與者的互動實踐”這一外部視角的觀察與省思，這導(dǎo)致既難以對參與者之間的互動與博弈進(jìn)行細(xì)致觀察，又難以精準(zhǔn)把握未來個人信息保護(hù)的方向與行動。因此，有必要爬梳國家在個人信息保護(hù)中的表現(xiàn)形式及其影響，并探索如何更好地將《個人信息保護(hù)法》中的國家意志具體化，以實現(xiàn)宏觀議題的微觀切換。

本文擬采用“國家在場”視角審視個人、企業(yè)與政府(7)政府是國家意志的合法代理者，“國家”與“政府”往往相互替用。但本文將國家定位為超然的、中立的角色，用以居中調(diào)和個人、企業(yè)和政府之間的權(quán)益沖突。一方面是因為國家本身可以如西達(dá)·斯考切波(Theda Skocpol)所期望的那樣，作為獨立的“行為體”參與并追求某些社會目標(biāo)；另一方面，政府兼具利用者與監(jiān)管者的雙重身份，始終難以對這兩類身份保持反思性隔離，甚至在實踐中很可能不經(jīng)意地以雙重身份相互解釋或者錯位使用。因此，把政府置于國家視角之下去思考，某種程度上避免了這種尷尬境地。再者，《個人信息保護(hù)法》中也將“國家”“處理個人信息的國家機(jī)關(guān)”“履行個人信息保護(hù)職責(zé)的部門”三者之間進(jìn)行了稱謂和職能上的區(qū)分，比如“國家”出現(xiàn)了2次，用以表明國家在個人信息保護(hù)方面的態(tài)度和行為，即建立健全個人信息保護(hù)制度以及積極參與個人信息保護(hù)國際規(guī)則的制定。See Peter B.Evans,Dietrich Rueschemeyer,Theda Skocpol,Bringing the State Back in,Cambridge University Press,1985,p.9.之間的具體互動與典型實踐，闡明國家對個人信息保護(hù)實踐的影響，并在此基礎(chǔ)上探討個人信息保護(hù)的未來方向與行動要旨。

二、個人信息保護(hù)領(lǐng)域“國家在場”視角的引入

“國家在場”視角被廣泛用于解釋我國的經(jīng)濟(jì)、社會、法律與文化等領(lǐng)域的諸多現(xiàn)象和問題，取得了豐碩成果。然而，學(xué)者們對此概念的內(nèi)涵尚未形成完整明確的界定。因此，在考察“國家在場”視角下個人信息保護(hù)實踐之前，有必要對“國家在場”的學(xué)術(shù)意涵做進(jìn)一步限定。從結(jié)構(gòu)上考察，“國家在場”具備實體論與方法論兩個維度。就實體內(nèi)容而言，“國家在場”是重要的理論模式，表達(dá)的是國家及其公權(quán)力對傳統(tǒng)公共領(lǐng)域乃至私權(quán)領(lǐng)域的滲透。(8)參見王建生：《西方國家與社會關(guān)系理論流變》，載《河南大學(xué)學(xué)報(社會科學(xué)版)》2010年第6期；鄧正來：《國家與社會：中國市民社會研究》，中國法制出版社2018年版，第16-18頁。作為一種重要的方法論，“國家在場”有助于對復(fù)雜的社會關(guān)系網(wǎng)絡(luò)和多樣的社會生產(chǎn)結(jié)構(gòu)做出二元化透視，便于揭示隱匿于人類生活中的社會規(guī)律。(9)參見廉睿、高鵬懷：《“國家在場”與族群法治知識功能再造——基于西北T自治縣生態(tài)保護(hù)的田野調(diào)查》，載《廣西民族研究》2018年第4期。學(xué)者們使用“國家在場”，多是基于方法論層面，將其作為一種分析框架實現(xiàn)對社會現(xiàn)象的合理認(rèn)知。

(一)“國家在場”的學(xué)術(shù)意涵與理論脈絡(luò)

“國家在場”最早出自美國學(xué)者喬爾·米格代爾(Joel S.Migdal)，意指一種“國家在社會中”的研究視角(a state in society perspective)，(10)20世紀(jì)80年代，以彼得·埃文斯(Peter Evans)為代表的學(xué)者僅關(guān)注國家自主權(quán)和國家能力等方面的研究，這被稱為國家中心主義。但國家中心主義很快受到挑戰(zhàn)，以米格代爾為代表的學(xué)者堅持社會中心主義的立場，以回應(yīng)國家中心主義的研究。參見〔美〕喬爾·米格代爾等編：《國家權(quán)力與社會勢力：第三世界的統(tǒng)治與變革》，郭為桂等譯，江蘇人民出版社2017年版，第1頁。被用來檢視國家和社會之間分組整合及其合縱連橫的互動過程。20世紀(jì)90年代初，我國學(xué)者高丙中較早使用這一方法并引起廣泛關(guān)注。他把米格代爾的“國家在社會中”直譯為“國家在場”，即“以國家的視角來研究社會問題，進(jìn)而對既往社會研究中所普遍存在著的內(nèi)生主義傾向進(jìn)行糾偏”(11)高丙中：《民間的儀式與國家的在場》，載《北京大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2001年第1期。不過，仍有一些研究國家與社會關(guān)系的學(xué)者依然使用“國家處在社會中”或“社會中的國家”這樣的表達(dá)。參見肖瑛：《從“國家與社會”到“制度與生活”：中國社會變遷研究的視角轉(zhuǎn)換》，載《中國社會科學(xué)》2014年第9期；侯利文：《國家與社會：緣起、紛爭與整合—— 兼論肖瑛〈從“國家與社會”到“制度與生活”〉》，載《社會學(xué)評論》2018年第2期。。此后，這一分析框架不斷擴(kuò)充，先后滲透到民族學(xué)、政治學(xué)、社會學(xué)等相關(guān)領(lǐng)域，為重新認(rèn)識國家與社會的關(guān)系提供了一種新的解釋模式。(12)其他研究參見何平：《“國家在場”下的婦女地位提升——以建國初期的婦女解放為例》，載《中共寧波市委黨校學(xué)報》2008年第2期；秦永章：《藏傳佛教活佛轉(zhuǎn)世與“國家在場”》，載《西藏研究》2020年第5期；張錦鵬、劉麗鳳：《國家在場：從清代滇南鹽官營看國家邊疆治理》，載《云南社會科學(xué)》2021年第4期。但是，已有的研究并沒有明確界定這一概念，只是用來描述國家對社會的影響以及社會對國家的回應(yīng)之現(xiàn)象。

除了上述整體性理解之外，“國家在場”的概念還存在“國家+在場”的組合式理解。作為概念組合的“國家在場”，其重點在于對“場(域)”的理解?！皥鲇颉备拍畹氖褂迷从诓紶柕隙?Pierre Bourdieu)。受黑格爾影響，他在“場域”的思考中加入“現(xiàn)實的關(guān)系”之因素。其后，他受馬克思啟發(fā)，給“場域”的思考注入“客觀存在”的因素。因此，在布爾迪厄看來，場域是“在各種位置之間存在的客觀關(guān)系的一個網(wǎng)絡(luò)或一個構(gòu)型(configuration)”(13)〔法〕皮埃爾·布爾迪厄、〔美〕華康德：《實踐與反思——反思社會學(xué)導(dǎo)引》，李猛、李康譯，中央編譯出版社1998年版，第133-134頁。。他認(rèn)為，當(dāng)場與權(quán)力結(jié)合起來時，國家就是一個不可規(guī)避的權(quán)力結(jié)構(gòu)，且與其他社會力量相結(jié)合，表現(xiàn)為一種多維度、多向度的運(yùn)行。(14)參見前引〔13〕，皮埃爾·布爾迪厄、華康德書，第156頁。因此，“國家在場”即是以國家的力量影響、作用或控制各種社會關(guān)系。

米格代爾的“國家”觀念借用并改編了布爾迪厄關(guān)于“場域”的界定，(15)米格代爾放棄了韋伯關(guān)于理想型國家的界定，反而在借鑒布爾迪厄“場域”概念的基礎(chǔ)上，認(rèn)為國家是一個權(quán)力場，集觀念和實踐于一體。在觀念上，國家是一個被公眾承認(rèn)的整體性組織概念，但在實踐中，國家與社會之間的互動呈現(xiàn)出四類結(jié)果類型：一是國家滲透致使社會力量消亡或順從的完全轉(zhuǎn)型；二是國家吸納社會力量建立統(tǒng)治模式，社會也影響了國家；三是社會力量吸納國家，雖然統(tǒng)治模式?jīng)]有變化，但國家各組成部分的面貌發(fā)生變化；四是國家在努力滲透(社會)時完全失敗。參見〔美〕喬爾·米格代爾：《社會中的國家：國家與社會如何相互改變與相互構(gòu)成》，李楊、郭一聰譯，張長東校，江蘇人民出版社2013年版，第22頁。而且，米氏認(rèn)為：“國家不是固定不變的實體，社會也不是。他們共同在相互作用的過程中改變各自的結(jié)構(gòu)、目標(biāo)、規(guī)則以及社會控制。它們是持續(xù)相互影響的?！?16)前引〔15〕，喬爾·米格代爾書，第58頁。因此，無論是組合概念還是整體概念，“國家在場”就是被建構(gòu)起來的一個研究方法，用來探討國家權(quán)力在社會領(lǐng)域中的存在與體現(xiàn)，即國家通過政策、法律、行動、儀式等方式對社會產(chǎn)生影響，社會采取一定的方式和策略對國家進(jìn)行回應(yīng)。

(二)“國家在場”引入個人信息保護(hù)的可行性與必要性

作為舶來品，“國家在場”在具體運(yùn)用方面需要進(jìn)行理論探討與實踐檢驗。(17)參見崔榕：《“國家在場”理論在中國的運(yùn)用及發(fā)展》，載《理論月刊》2010年第9期。除了在民族學(xué)與社會學(xué)等領(lǐng)域的運(yùn)用，一些學(xué)者對“國家在場”做了進(jìn)一步的延伸理解與擴(kuò)展運(yùn)用。比如，衛(wèi)躍寧用它來表達(dá)法益變遷時所堅持的一種國家本位主義，突出國家主導(dǎo)的優(yōu)勢及作用；(18)參見衛(wèi)躍寧：《由“國家在場”到“社會在場”：合規(guī)不起訴實踐中的法益結(jié)構(gòu)研究》，載《法學(xué)雜志》2021年第1期。陳洪等學(xué)者用它來描述國家以某種形態(tài)，通過干預(yù)、分化、滲透、整合及引領(lǐng)等各種方式和途徑參與經(jīng)濟(jì)和社會事務(wù)的運(yùn)作；(19)參見陳洪等：《“國家在場”視角下英國競技體育治理實踐研究》，載《體育科學(xué)》2019年第6期。廉睿和高鵬懷用它來透視族群法治知識以獲得對民族法治現(xiàn)象的合理解讀；(20)參見前引〔9〕，廉睿、高鵬懷文；廉睿、高鵬懷、衛(wèi)躍寧：《由“鄉(xiāng)土中國”到“國家在場”——族群法治知識在民族地區(qū)社會治理中的運(yùn)行機(jī)制研究》，載《社會科學(xué)戰(zhàn)線》2017年第10期。任文啟用它來檢討涉罪未成年人服務(wù)個案的實踐；(21)參見任文啟：《國家如何在場？——國家親權(quán)視野下涉罪未成年人服務(wù)個案的實踐與反思》，載《青少年犯罪問題》2020年第5期。許超等學(xué)者用它來思考全球治理中國家的地位與作用(22)參見許超：《全球治理中國家如何在場——兼與劉建軍教授商榷》，載《探索與爭鳴》2021年第8期；任劍濤：《找回國家：全球治理中的國家凱旋》，載《探索與爭鳴》2020年第3期；劉建軍、莫豐瑋：《國家從未離場，何須找回——兼與任劍濤教授商榷》，載《探索與爭鳴》2021年第1期。等。因此，對“國家在場”這一分析框架的價值挖掘，已成為學(xué)者們不謀而合的共識。

本文亦借鑒這一研究范式，試圖通過研究視角上的革新，分析并反思國家如何干預(yù)、滲透、整合及引領(lǐng)個人信息保護(hù)實踐，并尋求理念與制度上的突破。從表征上看，這是一種視角革新，在強(qiáng)調(diào)學(xué)科交融與知識共享的語境中，具備形式層面的可接受性。從實質(zhì)上看，由于國家作用于個人信息保護(hù)領(lǐng)域是一個既成事實，這一分析框架可用來透視國家參與個人信息保護(hù)的實踐、影響及其不足。個人信息保護(hù)作為重要的社會問題，不僅是個人、企業(yè)與政府表達(dá)利益需求的場域，而且是國家表達(dá)權(quán)威的舞臺。因此，“國家在場”視角的引入，就是立足外部觀察的視角，檢視國家如何滲透并規(guī)范個人信息處理活動，從而實現(xiàn)個人信息保護(hù)與利用的平衡。換言之，本文的目的在于審視國家在個人信息保護(hù)方面的微觀運(yùn)作、實踐影響以及后續(xù)的調(diào)整方向。

正是基于上述考慮，“國家在場”這一分析框架被引入個人信息保護(hù)領(lǐng)域，使得闡述并揭示國家與個人信息保護(hù)制度的互動成為可能?！皣以趫觥币暯堑囊胫饕幸韵氯c理由：(1)現(xiàn)有的個人信息保護(hù)以個人為中心來對抗企業(yè)與政府，但個人受限于認(rèn)知能力和經(jīng)濟(jì)能力，難以應(yīng)對動態(tài)化、復(fù)雜化和風(fēng)險不確定的個人信息處理過程，也無法回應(yīng)數(shù)據(jù)權(quán)力蘊(yùn)含的技術(shù)性和資本性的基本特性。而且，個人信息保護(hù)的有效性有賴于國家規(guī)制，實踐中處于維權(quán)第一線的往往是監(jiān)管機(jī)構(gòu)而非個人本身。(23)參見張新寶：《我國個人信息保護(hù)法立法主要矛盾研討》，載《吉林大學(xué)社會科學(xué)學(xué)報》2018年第5期。(2)國家保護(hù)個人信息具有規(guī)范基礎(chǔ)。雖然我國《憲法》并未對個人信息保護(hù)做出明確規(guī)定，但《憲法》第33條第3款對人權(quán)保障的規(guī)定以及第38條關(guān)于公民人格尊嚴(yán)的強(qiáng)調(diào)，無不切實地指引并評價國家權(quán)力的行使。(24)參見前引〔5〕，王錫鋅文?！秱€人信息保護(hù)法》亦從國家層面建立個人信息保護(hù)制度，推動在政府、企業(yè)、相關(guān)社會組織和公眾之間形成共同參與個人信息保護(hù)的良好環(huán)境。(3)國家介入具有強(qiáng)烈的現(xiàn)實需要。數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展使得個人信息成為生產(chǎn)生活的關(guān)鍵環(huán)節(jié)和核心內(nèi)容。各主體一方面共享某些價值追求和利益結(jié)構(gòu)，另一方面卻因立場、利益取向和社會角色不同而產(chǎn)生沖突。(25)參見程嘯：《論我國個人信息保護(hù)法中的個人信息處理規(guī)則》，載《清華法學(xué)》2021年第3期。但基于個人信息生成的數(shù)據(jù)權(quán)力，卻被企業(yè)和政府壟斷，(26)參見前引〔5〕，王錫鋅文。使得個人正處于并將長時間處于被觀察、被記錄與被操縱的境地。因此，需要國家以中立的姿態(tài)介入，運(yùn)用多種方式或不同工具，去調(diào)整個人、企業(yè)與政府之間的互動。

三、“國家在場”視角下個人信息保護(hù)的實踐與功能

個人信息保護(hù)是國家的權(quán)力實踐，但國家意志的嵌入較為隱蔽，需要逐步解析國家的實踐與功能，以便真切凸顯“國家”的存在，進(jìn)而促進(jìn)對國家權(quán)威的認(rèn)同。國家作為形塑力量在場，其姿態(tài)是主導(dǎo)者和施惠者，而政府、企業(yè)和個人則是參與者和受惠者。本部分就分別從“個人—企業(yè)—政府”的主體維度去觀察并分析國家在個人信息保護(hù)實踐中的在場。

(一)維護(hù)個人利益的知情同意規(guī)則

原則、規(guī)則或標(biāo)準(zhǔn)等具有表達(dá)特定思想情感、傳遞主流價值取向、引導(dǎo)規(guī)范主體行為的作用。因此，個人信息保護(hù)才會成為日常生活的公共談資，知情同意規(guī)則才會作為信息處理最重要的合法性基礎(chǔ)。(27)參見王成：《個人信息民法保護(hù)的模式選擇》，載《中國社會科學(xué)》2019年第6期。國家嵌入的一條路徑就是通過“知情同意”規(guī)則進(jìn)行多渠道、多形式的輸出，使公眾不自覺地成為這一規(guī)則的“傳導(dǎo)者”和“發(fā)酵者”，完成規(guī)則主導(dǎo)權(quán)的“潛在讓渡”和規(guī)則精神的內(nèi)在化。具體而言，公眾在以實用和自利為導(dǎo)向的生活邏輯支配下，通過直接援引部分與日常生活相近的法律文本，如《民法典》《個人信息保護(hù)法》，將“知情同意”規(guī)則結(jié)合日常經(jīng)驗進(jìn)行再理解或轉(zhuǎn)換成“近經(jīng)驗”，從而實現(xiàn)這一規(guī)則的具體化。此外，知情同意規(guī)則的力量還在于塑造主體和客體的思想和行為，即通過宣傳、鼓動、強(qiáng)制、引導(dǎo)與塑造等方面的功能，幫助個人建構(gòu)、維持或瓦解社會權(quán)力關(guān)系。一方面，知情同意規(guī)則有助于維護(hù)和發(fā)展個人信息自決的理念；另一方面，知情同意規(guī)則的形成及散播方式又深刻地影響各種社會力量及其相互關(guān)系。經(jīng)由知情同意規(guī)則的確立與引導(dǎo)，國家意志就在個人信息保護(hù)中得以彰顯，扎根于“民眾的集體無意識之中”(28)申恒勝：《鄉(xiāng)村社會中的“國家在場”》，載《理論與改革》，2007年第2期，第14頁。。

因為信息主體與信息處理者之間存在著信息不對稱和談判力量不均衡的情況，所以在具體規(guī)則的設(shè)計上需要對個人進(jìn)行傾斜保護(hù)，以平衡信息市場中出現(xiàn)的非對稱權(quán)力結(jié)構(gòu)。知情同意規(guī)則在發(fā)展過程中，通常與國家權(quán)力相伴相生、互為增益，呈現(xiàn)出一種“隱秘性共謀關(guān)系”。例如在“黃某訴微信讀書案”中，原告指出，微信讀書沒有征得原告的有效同意，而隨意遷移微信好友關(guān)系，默認(rèn)向未關(guān)注的微信好友公開讀書信息。在“凌某某訴抖音案”中，原告預(yù)先清空了手機(jī)通訊錄并拒絕軟件讀取，但在“可能認(rèn)識的人”一欄中，抖音依然向他推薦多年未聯(lián)系的同學(xué)、朋友等。在兩案中，北京互聯(lián)網(wǎng)法院均支持了原告的訴訟請求。(29)參見《微信讀書被判侵犯用戶隱私 “流量變現(xiàn)”的邊界在哪里》，載https://finance.eastmoney.com/a/202008031578777585.html，最后訪問時間：2021年11月9日。這就說明，當(dāng)知情同意規(guī)則深入人心，會激勵用戶積極維權(quán)，司法體系也會及時回應(yīng)。知情同意規(guī)則的承認(rèn)意味著，雖然個人信息具有很強(qiáng)的社會性和公共性，(30)參見前引〔5〕，高富平文。但個人信息自決依然是應(yīng)堅持的基本理念。換言之，個人信息的處理活動需要個人參與，個人信息不能不受限制地被輕易交換和出售。

(二)約束企業(yè)行為的隱私政策

在知情同意規(guī)則指引之下，企業(yè)需要制定隱私政策以供用戶選擇產(chǎn)品和服務(wù)時參考，這是國家對企業(yè)所能提出的要求之一，也是世界多個國家和地區(qū)的通行做法?！皟x式及其包含的符號是至關(guān)重要的，因為個人成為個人，社會成其為社會，國家成其為國家并不是自然天成的，而是通過文化、心理的認(rèn)同而構(gòu)成的，而這種認(rèn)同又是通過符號和儀式的運(yùn)作所造就的?！?31)前引〔11〕，高丙中文。隱私政策就是國家在保護(hù)個人信息時面向企業(yè)要求的文本實踐。所謂隱私政策，是一種關(guān)于信息將如何被使用的通知形式，以及一種限制信息未來使用的默認(rèn)合同承諾。(32)See Daniel J.Solove,Privacy and Power:Computer Databases and Metaphors for Information Privacy,53 Stanford Law Review,1448(2001).其后，丹尼爾·索洛夫(Daniel J.Solove)和伍德羅·哈佐格(Woodrow Hartzog)在2014年發(fā)表的一篇文章中這樣定義隱私政策，它是指互聯(lián)網(wǎng)企業(yè)以在線文件的方式自愿披露其對用戶個人信息保護(hù)的原則和措施。See Daniel J.Solove,Woodrow Hartzog,The FTC and the New Common Law of Privacy,114 Columbia Law Review,594(2014).不過，它絕非透明的中性要素，而是表征了一種權(quán)力意志，即國家對于企業(yè)開展個人信息保護(hù)所持有的價值判斷。因此，隱私政策被視為一種企業(yè)自我規(guī)制的工具。(33)See Joel R.Reidenberg et al.,Privacy Harms and the Effectiveness of the Notice and Choice Framework,11 I/S:A Journal of Law and Policy,490(2015).當(dāng)企業(yè)將個人信息保護(hù)實踐公之于眾時，也為行政機(jī)關(guān)提供了規(guī)制其行為的依據(jù)。(34)參見高秦偉：《個人信息保護(hù)中的企業(yè)隱私政策及政府規(guī)制》，載《法商研究》2019年第2期。

隱私政策在個人信息保護(hù)領(lǐng)域中的綁定，不僅為保護(hù)個人信息注入“合法性”或部分“合法化”的國家力量，而且在借用國家力量的同時獲得對企業(yè)行為的引導(dǎo)與塑造。比如美國聯(lián)邦貿(mào)易委員會鼓勵企業(yè)自我規(guī)制，自我規(guī)制在歐盟實踐中也是不可或缺的組成部分。隱私政策是國家在場的文本具象，它負(fù)載著許多保護(hù)個人信息的說明與解釋，而且文本的符號體系使這些描述呈現(xiàn)出某種規(guī)則和運(yùn)行方向，比如企業(yè)如何收集、使用、存儲和分享個人信息，如何保證信息安全，用戶享有哪些權(quán)利，設(shè)置了哪些隱私功能等等。隱私政策雖然是被規(guī)定的，其功用也相對穩(wěn)定，但這一切并非是固定不變的。在某些情況下，隱私政策也是變量。比如當(dāng)企業(yè)變更或修訂他們的隱私政策時，就應(yīng)該在登錄及版本更新時以推送通知、彈窗或其他符合法律要求的適當(dāng)形式向個人展示變更后的指引。

(三)要求政府作為的行政規(guī)制

隱私政策合規(guī)的過程中可能出現(xiàn)各種各樣的困境，如企業(yè)違反承諾或自身能力不足等。因此，政府作為國家意志的直接代理人有必要加以干預(yù)，通過相應(yīng)的積極作為，以回應(yīng)個人對個人信息保護(hù)的高度關(guān)切。這是國家對于政府所能提出的要求之一，也與域外經(jīng)驗相一致。比如美國聯(lián)邦貿(mào)易委員會會審查相關(guān)的信息或直接聯(lián)系企業(yè)，如果必要，還會向企業(yè)發(fā)出正式函件，要求提供文件和信息，進(jìn)行約談或要求作證，并可能訪談第三方。歐盟各成員國政府會審查各行業(yè)的行為規(guī)范，在確保規(guī)范內(nèi)容與法律一致的情況下，還會征求信息主體和其他利害關(guān)系人的意見。(35)參見前引〔34〕，高秦偉文。政府規(guī)制強(qiáng)調(diào)的是外部監(jiān)督和處罰，旨在使隱私政策真正產(chǎn)生拘束效果。同時，由于個人信息侵權(quán)案件舉證困難，政府介入可以彌補(bǔ)個體舉證能力的不足。政府規(guī)制表征的是一種權(quán)力意志的自上而下的傳達(dá)，即國家對于政府履行個人信息保護(hù)職責(zé)的行為要求和立場預(yù)設(shè)。一方面，個人信息保護(hù)充分運(yùn)用了政府資源，使自身價值得到政府的正式承認(rèn)和維護(hù)；另一方面，政府也從個人信息保護(hù)中收獲了“政治意義和經(jīng)濟(jì)價值”，并最終轉(zhuǎn)化為政府規(guī)制的動力。

政府規(guī)制的提倡是因為國家充分意識到在個人信息保護(hù)中，僅靠知情同意規(guī)則和企業(yè)自我規(guī)制具有難以避免的消極作用。因此，國家充分運(yùn)用積極的“功能替代”策略以實現(xiàn)相應(yīng)的保護(hù)目標(biāo)。從這個意義上來說，政府規(guī)制就是個人信息保護(hù)實踐的強(qiáng)力后盾。不過，為了確保企業(yè)創(chuàng)新與經(jīng)濟(jì)發(fā)展，政府僅在個人和企業(yè)的行為難以維護(hù)個人利益時實施其規(guī)制。政府也可以主動組織開展個人信息保護(hù)的宣傳教育，對應(yīng)用程序的隱私保護(hù)情況進(jìn)行測評，制定個人信息保護(hù)細(xì)則與標(biāo)準(zhǔn)等。政府運(yùn)用科層治理的運(yùn)作邏輯，自上而下地實現(xiàn)對個人信息保護(hù)的控制。一方面，由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理鏈條，讓監(jiān)管責(zé)任得以層層傳達(dá)與落實。另一方面，在個人信息有序保護(hù)中，個人的信息保護(hù)需求與企業(yè)的信息利用需求也得到極大滿足。政府通過治理鏈條的逐級向下延伸，也將企業(yè)與個人隱秘地吸納到國家權(quán)力運(yùn)作的規(guī)范框架內(nèi)。

四、個人信息保護(hù)領(lǐng)域“國家在場”的影響與局限

“國家在場”的既成事實并不意味著國家恰當(dāng)有效地在場。國家可能在某一方面過度在場，而在另一方面又在場不足，從而引發(fā)個人信息保護(hù)目的與效果之間的錯位。(36)參見丁曉東：《個人信息私法保護(hù)的困境與出路》，載《法學(xué)研究》2018年第6期?！皣以趫觥钡膶嵺`評價不以程度來劃分，而以效果為基準(zhǔn)，即實現(xiàn)對個人信息保護(hù)的“負(fù)責(zé)任關(guān)懷”(responsible care)。(37)“負(fù)責(zé)任關(guān)懷”是一種很高的標(biāo)準(zhǔn)，是我們對個人信息保護(hù)實踐中國家有效作用的最高期待?！柏?fù)責(zé)任關(guān)懷”始于20世紀(jì)80年代中期的加拿大化學(xué)品生產(chǎn)商協(xié)會，用以應(yīng)對像博帕爾毒氣泄露事件這樣的嚴(yán)重化學(xué)品事故。負(fù)責(zé)任的關(guān)懷包括一系列自愿的行為守則，這些守則使參與的公司能夠達(dá)到對環(huán)境負(fù)責(zé)任的管理的高標(biāo)準(zhǔn)。正如諾思所言：“國家的存在是經(jīng)濟(jì)增長的關(guān)鍵，然而國家又是人為經(jīng)濟(jì)衰退的根源。”(38)〔美〕道格拉斯·C·諾思：《經(jīng)濟(jì)史上的結(jié)構(gòu)和變革》，厲以寧譯，商務(wù)印書館2011年版，第25頁。這在個人信息保護(hù)中也得到了印證。國家一方面推動個人信息保護(hù)在意義和內(nèi)容方面的轉(zhuǎn)型升級，另一方面，國家的介入也打破了個人信息利用的原有格局，產(chǎn)生了預(yù)期內(nèi)或預(yù)期外的新問題。

(一)內(nèi)容上全面兼顧但實效欠佳

雖然我們僅用了知情同意規(guī)則、企業(yè)自我規(guī)制和政府規(guī)制這三種情形表征國家在場，但這并不意味著國家僅在這些方面實現(xiàn)了在場。圍繞個人、企業(yè)和政府這三個主體的維度，國家分別找到了具體在場的意義和價值。個人信息保護(hù)關(guān)涉的參與者主要分為個人、企業(yè)和政府這三類，(39)本文為寫作需要只列出了個人、企業(yè)與政府這三類主要的參與者，但個人信息保護(hù)實踐中還存在一些其他的、獨立的利益相關(guān)者，比如研究機(jī)構(gòu)、記者和國際組織等等。有學(xué)者甚至認(rèn)為數(shù)據(jù)應(yīng)該被公認(rèn)為“全球公域”(global commons)，并被提供給所有可能的參與者加以利用以發(fā)揮數(shù)據(jù)的巨大社會價值。See Jennifer Shkabatur,The Global Commons of Data,22 Stanford Technology Law Review,354(2019).因此，國家在場是全面的，且對每一主體都有相應(yīng)的要求，只不過要求的兌現(xiàn)可能因應(yīng)各種情形而呈現(xiàn)差異。那么各個主體兌現(xiàn)承諾的實際情形是怎樣的呢？

其一，關(guān)于知情同意規(guī)則的實踐情形。知情同意規(guī)則是個人信息處理中應(yīng)該堅持的基本前提，但實質(zhì)上卻處于履行弱化或無能的境地。(40)比如隱私條款冗長且隱秘，專業(yè)且晦澀，個人沒有時間、沒有能力去閱讀并理解；隱私條款簡而無用，多而無功，但個人為了使用產(chǎn)品和服務(wù)默認(rèn)同意；企業(yè)利用的內(nèi)容與個人同意的內(nèi)容不一致，或者超出個人同意的范圍；個人信息處理的即時性特征也使得同意難以實際展開；現(xiàn)實中也確實存在著無須用戶同意即可收集的情形等等。已有社會學(xué)研究證明，如果給予個人足夠的信息控制能力與條件，反而增加他們披露敏感信息的意愿。也就是說，如果他們泄密的意愿增加得足夠多，這種控制的增加反而會使他們更加脆弱。(41)See Laura Brandimarte et al.,Misplaced Confidences Privacy and the Control Paradox,4 Social Psychological and Personality Science,340(2013).因此，不假思索地點擊同意按鈕是當(dāng)下普通人的常態(tài)操作，知情同意規(guī)則只是信息處理者嫻熟使用的一塊遮羞布而已。

其二，關(guān)于企業(yè)隱私政策合規(guī)的實踐情形。隱私政策是對法律規(guī)定的具體內(nèi)化，但往往也是相對簡短的承諾，是一種語法上而不是實質(zhì)性的公共關(guān)系；往往是為外部消費(fèi)設(shè)計的，而不是為了影響企業(yè)的內(nèi)部功能。(42)參見前引〔1〕，Colin Bennett、Charles Rabb書，第121-138頁。隱私政策的實踐本身也存在流于形式、(43)有學(xué)者分析了美國1999年至2005年間50家金融公司在《格雷姆—里奇—比利法》生效以來的情況，發(fā)現(xiàn)金融隱私通知更加完整和合規(guī)，但它們?nèi)匀荒軌蚴占罅筷P(guān)于客戶的信息，并與關(guān)聯(lián)公司廣泛共享這些信息，但提供給消費(fèi)者的選擇并沒有重大變化。See Xinguang Sheng,Lorrie Faith Cranor,An Evaluation of the Effect of US Financial Privacy Legislation Through the Analysis of Privacy Policies,2 I/S:A Journal of Law and Policy,943(2006).搭便車、規(guī)避責(zé)任以及受控于其他機(jī)會主義行為誘惑等情形。(44)See Dennis Hirsch,The Law and Policy of Online Privacy:Regulation,Self-Regulation,or Co-Regulation?34 Seattle University Law Review,468(2011).特別是，個人信息更多集中于少部分互聯(lián)網(wǎng)企業(yè)手中，難以保證它們在信息市場上不會濫用支配地位，在非價格競爭要素的個人信息保護(hù)方面不會不當(dāng)?shù)叵鳒p服務(wù)水平。(45)參見韓偉、李正：《反壟斷法框架下的數(shù)據(jù)隱私保護(hù)》，載《中國物價》2017年第7期。因此，隱私政策更多是企業(yè)因應(yīng)法律規(guī)定和現(xiàn)實情勢而做出的面子工程，紙面上的承諾與現(xiàn)實中的行動存在脫節(jié)。

其三，關(guān)于政府規(guī)制的實踐情形。政府規(guī)制是對個人信息被侵犯的情形以及公眾對隱私安全高度關(guān)切的回應(yīng)。現(xiàn)代規(guī)制理論主張，在充分發(fā)揮市場機(jī)制和企業(yè)自我規(guī)制作用的前提下，政府規(guī)制也不能缺位。(46)參見前引〔34〕，高秦偉文。但傳統(tǒng)政府規(guī)制多以命令和控制為主，實施過于嚴(yán)格、僵化，存在阻礙創(chuàng)新與競爭的可能；(47)See Jerry Louis Mashaw,David Harfst,From Command and Control to Collaboration and Deference:The Transformation of Auto Safety Regulation,34 Yale Journal on Regulation,277(2017).信息時代的政府規(guī)制又面臨著平臺權(quán)力、信息過載以及系統(tǒng)性威脅等方面的問題(48)See Julie Cohen,The Regulatory State in the Information Age,17 Theoretical Inquiries in Law,369(2016).。換言之，由于數(shù)據(jù)資源和處理能力的差異，政府呈現(xiàn)出無力通過傳統(tǒng)治理機(jī)制作用于科技企業(yè)的算法型運(yùn)作過程，由此產(chǎn)生治理失靈或監(jiān)管真空的情況。(49)參見張兆曙、段君：《網(wǎng)絡(luò)平臺的治理困境與數(shù)據(jù)使用權(quán)創(chuàng)新：走向基于網(wǎng)絡(luò)公民權(quán)的數(shù)據(jù)權(quán)益共享機(jī)制》，載《浙江學(xué)刊》2020年第6期。因此，政府規(guī)制的目標(biāo)設(shè)置以及方向調(diào)整還需要進(jìn)一步的細(xì)化和一致，否則就會導(dǎo)致行政成本上升、行動效益大打折扣，進(jìn)而影響個人信息保護(hù)的治理效果。

(二)形式上規(guī)制為主但取向不明

規(guī)范個人信息處理活動是國家的核心關(guān)注。賦權(quán)與規(guī)制是個人信息保護(hù)的常用手段。不過，賦權(quán)本身受制于個人的有限性與復(fù)雜的社會現(xiàn)實，難以有效實現(xiàn)，規(guī)制反而是可欲且可及的選擇。(50)當(dāng)然，規(guī)制本身也不是有效保護(hù)個人信息的靈丹妙藥。相反，規(guī)制通常需要在不同情況下結(jié)合不同的策略。而所有的執(zhí)行都是不完美的，規(guī)則總是會被一些人違反。雖然知情同意規(guī)則、企業(yè)自我規(guī)制以及政府規(guī)制都存在或多或少的問題，但國家在場的核心關(guān)切依然落腳在企業(yè)自我規(guī)制與政府規(guī)制的博弈上。個人信息保護(hù)并非保護(hù)個人對其個人信息的控制性權(quán)益，而是為了規(guī)制個人信息處理風(fēng)險，防范與救濟(jì)個人數(shù)據(jù)處理與利用活動可能產(chǎn)生的侵害后果。(51)參見王錫鋅：《個人信息權(quán)益的三層構(gòu)造及保護(hù)機(jī)制》，載《現(xiàn)代法學(xué)》2021年第5期。

綜觀各國規(guī)制實踐，雖然美國一再強(qiáng)調(diào)以自我規(guī)制為主要形態(tài)，但其政府規(guī)制也發(fā)揮了巨大作用。同樣地，企業(yè)自我規(guī)制與政府規(guī)制的結(jié)合，正成為歐盟及其成員國的主要做法。(52)參見前引〔34〕，高秦偉文。不過之前的研究認(rèn)為，自我規(guī)制與政府規(guī)制是根本不同的實體，這意味著它們不能很好地融合。See Darren Sinclair,Self-Regulation Versus Command and Control? Beyond False Dichotomies,19 Law and Policy,530(1997).因此，企業(yè)自我規(guī)制與政府規(guī)制并非互相排斥的關(guān)系。換言之，個人信息保護(hù)實踐需要企業(yè)自我規(guī)制和政府規(guī)制的合力。這兩種規(guī)制之間應(yīng)該是什么關(guān)系，國外學(xué)者對此莫衷一是。(53)有學(xué)者根據(jù)政府干預(yù)程度的不同，將自我規(guī)制分為純粹的自我規(guī)制、替代的自我規(guī)制和條件的自我規(guī)制；有學(xué)者則根據(jù)規(guī)制力度的漸變確立了自我規(guī)制、強(qiáng)制性的自我規(guī)制、自由裁量懲罰的命令規(guī)制、無自由裁量懲罰的命令規(guī)制這一規(guī)制的金字塔結(jié)構(gòu)；還有的學(xué)者將自我規(guī)制分為強(qiáng)制的、促進(jìn)的和默認(rèn)支持三種類型。See Philip Eijlander,Possibilities and Constraints in the Use of Self-Regulation and Co-Regulation in Legislative Policy:Experiences in the Netherlands-Lessons to Be Learned for the EU? 9 European Journal of Comparative Law,4(2005);Ian Bartle,Peter Vass,Self-regulation within the Regulatory State:Towards a New Regulatory Paradigm? 85 Public Administration,901(2007)；Ian Ayres,John Braithwaite,Responsive Regulation:Transcending the Deregulation Debate,Oxford University Press,1992,p.39.有學(xué)者認(rèn)為自我規(guī)制是政府規(guī)制的同義詞，可根據(jù)具體情況作為政府規(guī)制的有效補(bǔ)充。(54)See Anil K.Gupta,J.Lad Lawrence,Industry Self-Regulation:An Economic,Organizational,and Political Analysis,8 The Academy of Management Review,416(1983).有學(xué)者則認(rèn)為自我規(guī)制是政府規(guī)制進(jìn)程的一部分，必要時候還可能加強(qiáng)政府規(guī)制。(55)參見前引〔53〕，Ian Bartle、Peter Vass文，第890頁。

根據(jù)上述討論，自我規(guī)制與政府規(guī)制處于理論坐標(biāo)的兩極，中間是連續(xù)的光譜，通過調(diào)整各自的占比，以形成適應(yīng)一定國情、階段和需要的規(guī)制進(jìn)路。(56)比格納米(Francesca Bignami)認(rèn)為，美國以透明的行政訴訟、懲罰性行政執(zhí)行以及普遍的規(guī)制訴訟為主，而歐盟則以威懾導(dǎo)向的規(guī)制執(zhí)行和企業(yè)自我規(guī)制為主。See Francesca Bignami,Cooperative Legalism and the Non-Americanization of European Regulatory Styles:The Case of Data Privacy,59 American Journal of Comparative Law,412(2011).實證調(diào)研指出：在規(guī)制更加模糊的國家，如德國、美國，盡管文化和法律環(huán)境非常不同，但都具有最強(qiáng)大的企業(yè)隱私管理實踐；而更受規(guī)則約束的國家，如法國和西班牙，傾向于遵從程序，而不是嵌入隱私。(57)See Kenneth A.Bamberger,Deirdre K.Mulligan,Privacy on the Ground:Driving Corporate Behavior in the United States and Europe,The MIT Press,2015,pp.12-14.那么，在我國，企業(yè)自我規(guī)制與政府規(guī)制之間應(yīng)該采取何種策略呢？

目前，我國《個人信息保護(hù)法》只是將企業(yè)自我規(guī)制與政府規(guī)制的內(nèi)容分別納入“個人信息處理者的義務(wù)”和“履行個人信息保護(hù)職責(zé)的部門”的法律條文之下，未曾就兩者之間如何自處與互動做更進(jìn)一步的規(guī)定，也未就現(xiàn)階段采取什么樣的規(guī)制策略給予明確的指引，政府在個人信息領(lǐng)域的規(guī)制邊界也難以劃定。(58)不過，在政府規(guī)制內(nèi)部則體現(xiàn)出多主體監(jiān)管的架構(gòu)：一方面，國家網(wǎng)信部門對個人信息保護(hù)有統(tǒng)籌協(xié)調(diào)和監(jiān)督管理的職能；另一方面，國務(wù)院有關(guān)部門、縣級以上地方人民政府有關(guān)部門，在相應(yīng)的職責(zé)范圍內(nèi)也負(fù)有監(jiān)管職能。因此，基于上述域外經(jīng)驗的啟發(fā)與反思，在個人信息保護(hù)領(lǐng)域，關(guān)于我國規(guī)制策略的取向依然是一個開放的、可以繼續(xù)討論并完善的課題。

五、“國家在場”視角下個人信息保護(hù)的再造與表達(dá)

我們在前文既描述了國家的具體實踐，也評價了國家實踐的主要影響，并指出：國家雖然對各方主體有針對性的要求，但也未能有效地保護(hù)個人利益，維護(hù)個體尊嚴(yán)；雖然手段上以規(guī)制為主但也未能恰當(dāng)?shù)匾?guī)范個人信息處理活動，安置好企業(yè)與政府之間的關(guān)系。因此，國家權(quán)力的參與有服務(wù)于個體權(quán)益與公共福祉的一面，但也難以避免國家在具體的制度設(shè)計或策略選擇方面的缺憾。不過，所謂的不足或缺失，亦是進(jìn)一步夯實國家實踐的基石。

(一)理念重申：內(nèi)化人性尊嚴(yán)

雖然法律制度和文化背景存在差異，但各國個人信息保護(hù)的立法與執(zhí)法實踐都證明了尊重個體是不變的堅守。換言之，人性尊嚴(yán)作為憲法的基本原則能夠從不同的制度和文化土壤中找到依據(jù)，雖然在具體內(nèi)容上各有側(cè)重，但都是國家意志的核心表征。(59)參見〔德〕瓦爾特·施瓦德勒：《論人的尊嚴(yán)：人格的本源與生命的文化》，賀念譯，人民出版社2017年版，第148- 150頁。因此，提倡個人信息保護(hù)，其目的在于保護(hù)個人的合法權(quán)益，使其人性尊嚴(yán)免于減損或矮化。重申人性尊嚴(yán)是對康德“任何時候以人作為目的，而不是僅僅當(dāng)做手段”(60)〔德〕康德：《道德形而上學(xué)的奠基》(注釋本)，李秋零譯注，中國人民大學(xué)出版社2013年版，第55頁。觀念的具體確認(rèn)，也是個人信息保護(hù)實踐的保護(hù)依據(jù)與行動理由，用以調(diào)整、指引或辯護(hù)人們的行動選擇。“只有本人能夠控制自己的個人信息，才可能自由發(fā)展個人人格。如果個人無法知曉自己的個人信息在何種程度上、被何人獲得并加以利用，則個人將失去作為主體參與的可能性，而淪為他人刻意操縱的信息客體，被淪為客體正是人性尊嚴(yán)被侵害的同義語。”(61)楊芳：《個人信息自決權(quán)理論及其檢討——兼論個人信息保護(hù)法之保護(hù)客體》，載《比較法研究》2015年第6期，第25-26頁。因此，個人信息保護(hù)最終針對的不是個人信息本身，也不是要限制個人信息處理，而是保護(hù)個人信息之上的自然人的人性尊嚴(yán)。(62)參見前引〔51〕，王錫鋅文。當(dāng)個人信息之于人的人格尊嚴(yán)、人格自由發(fā)展價值被漸次肯定時，法律規(guī)則從充分尊重市場交易自由逐漸向維護(hù)信息主體人性尊嚴(yán)傾斜。(63)參見鄭維煒：《個人信息權(quán)的權(quán)利屬性、法理基礎(chǔ)與保護(hù)路徑》，載《法制與社會發(fā)展》2020年第6期。

但是，現(xiàn)實場景中個人的主體性地位面臨的挑戰(zhàn)日漸增加，以致人性尊嚴(yán)的理念指引愈發(fā)無力并衰頹。個人基本上難以從信息網(wǎng)絡(luò)，尤其是電子化場景中抽身退出，公民習(xí)慣于命令—服從模式，因此，通過個人信息的收集和處理，個人就不再是獨立的個體，而是一個個以名字、符號和標(biāo)識為載體的檔案，(64)See Ruth N.Cohen,Whose File is it Anyway,National Center for Civil Liberties,Civil Libertise Trust,1982,p.10.公民生活也越來越成為可見的、可計算的、可預(yù)期的資源庫(65)參見胡水君：《全球化背景下的國家與公民》，載《法學(xué)研究》2003年第3期。。而企業(yè)與政府不僅無法切實地踐行彼此的承諾與職責(zé)，而且在某種程度上實現(xiàn)了共謀，共同控制個人生活以謀取私利。當(dāng)個人信息遭受侵權(quán)時，由于信息處理者的技術(shù)和資本優(yōu)勢，私人維權(quán)面臨取證難、成本高和賠償?shù)偷睦Ь场Ｒ虼?，?dāng)個人在面對強(qiáng)大的組織和信息處理者，在面臨動態(tài)化、復(fù)雜化和不確定的過程時，更需要強(qiáng)化人性尊嚴(yán)以維護(hù)自身的獨立與自主性，更需要公私機(jī)構(gòu)對個人利益保持尊重和克制。正如《邁向新的數(shù)字倫理：數(shù)據(jù)、尊嚴(yán)和技術(shù)》報告中所指出的那樣，個人信息保護(hù)相關(guān)于個人的個性發(fā)展，只有更好地尊重和保障人的尊嚴(yán)，才可以制衡個人面臨的無所不在的監(jiān)視和權(quán)力不對稱。(66)See European Data Protection Supervisor,Towards a New Digital Ethics:Data,Dignity and Technology,available at https://edps.europa.eu/sites/default/files/publication/15-09-11_data_ethics_en.pdf,Last visited on May 25,2021.因此，我們需要在個人與企業(yè)、個人與政府的互動中，重申人性尊嚴(yán)的基本理念以規(guī)范具體的信息處理行為。

重申人性尊嚴(yán)的價值理念，其意義表現(xiàn)在兩個方面：首先，人性尊嚴(yán)理念要求公私機(jī)構(gòu)的行為必須受到限制，即企業(yè)與政府應(yīng)依據(jù)法定權(quán)利和法定程序收集、處理、公開與共享個人信息，否則，公民就有淪為客體的風(fēng)險，難以實現(xiàn)信息主體的自決與自主。在信息社會，每個公民客觀上已成為數(shù)據(jù)權(quán)力項下的一個“信息符號”，并被視為可以被計算、預(yù)測和控制的客體來對待。(67)See John Cheney-Lippold,We Are Data:Algorithms and the Making of Our Digital Selves,New York University Press,2017,p.141.因此，當(dāng)外部侵害的風(fēng)險加劇時，為防范公民成為“被處理的客體”，必須樹立人性尊嚴(yán)理念。其次，人性尊嚴(yán)具體指向個人自治以及隨之得到保障的不歧視(平等)、身份識別(信息的正確與完整性)、信息安全與財產(chǎn)利益以及社會信任等附加的實體價值與其他基本權(quán)利。(68)參見前引〔5〕，王錫鋅文。因此，個人信息保護(hù)的標(biāo)準(zhǔn)應(yīng)以人為尺度，體現(xiàn)人的目的性，并融入人類文化之中。比如企業(yè)可以聽取用戶的使用建議，不直接使用“不同意即退出”的模式，而是將網(wǎng)絡(luò)產(chǎn)品與服務(wù)的功能區(qū)分為核心業(yè)務(wù)功能和附加業(yè)務(wù)功能。(69)核心功能旨在滿足用戶注冊產(chǎn)品或服務(wù)后的基本要求，附加功能則是為提升用戶體驗而設(shè)計。這一方面有助于吸納新用戶擴(kuò)展注冊信息的來源與數(shù)量，另一方面有助于老用戶固著、細(xì)化關(guān)鍵信息的利用與共享。

正是通過這兩方面的意義闡釋，個人才能夠真正參與到個人信息保護(hù)實踐中，并從個人信息的利用中受益。因此，人性尊嚴(yán)的內(nèi)化之于個人的重要性就在于，使個人得以找回被消解的主體性，重獲參與群體生活與復(fù)雜理性活動的能力與品質(zhì)。

(二)基本共識：重述規(guī)制理念

規(guī)范個人信息處理活動的首要難題并不是如何明確企業(yè)與政府之間的規(guī)制邊界或設(shè)計某種規(guī)制方案，而是梳理規(guī)制背后應(yīng)該堅持的主要共識，否則規(guī)制本身就是任意的或不切實際的，不僅治標(biāo)不治本，而且遏制了數(shù)字紅利和企業(yè)創(chuàng)新。那么，信息時代的規(guī)制策略應(yīng)該堅守哪些共識呢？

其一，應(yīng)該要求合作而不是對抗，(70)參見前引〔47〕，Jerry Louis Mashaw、David Harfst文，第167頁。即以建立有序共贏的公私伙伴關(guān)系為目的。長期以來，我國的立法和實踐普遍將政府規(guī)制、企業(yè)自我規(guī)制截然分開，要么放任企業(yè)恣意活動，要么由政府直接干預(yù)，突出兩者的對抗而忽略合作的內(nèi)涵，強(qiáng)調(diào)規(guī)制結(jié)果而忽略了規(guī)制的過程，導(dǎo)致規(guī)制效果不盡人意。(71)參見前引〔34〕，高秦偉文。再者，企業(yè)自我規(guī)制與政府規(guī)制之間各有優(yōu)劣，兩者結(jié)合可能發(fā)揮更好的作用。比如巴特爾(Ian Bartle)和瓦斯(Peter Vass)根據(jù)英國近些年來的自律政策和實踐指出，自我規(guī)制具有可實現(xiàn)的公共利益目標(biāo)，雖然可能帶來某些嚴(yán)重的系統(tǒng)性威脅，但可借助問責(zé)與透明的議程來實現(xiàn)政府規(guī)制對其的監(jiān)督，以更好地實現(xiàn)個人數(shù)據(jù)的利用與管理。(72)參見前引〔53〕，Ian Bartle、Peter Vass文，第885頁。

其二，正視市場自由化的反應(yīng)，承認(rèn)規(guī)制過程中的壓力。在相互依存以及權(quán)力和知識分散的現(xiàn)代性條件下，規(guī)制不是單向的，即從公共到私人，而是私人行動者可以充當(dāng)政府的監(jiān)管者。(73)See Colin Scott,Private Regulation of the Public Sector:A Neglected Facet of Contemporary Governance,29 Journal of Law and Society,56(2002).出于市場競爭或制度供給不完備的壓力，因其規(guī)制者與規(guī)制對象的一體性，自我規(guī)制掌握了更多的知識與信息，從而可以找到最符合成本有效性要求的解決方案。因此，自我規(guī)制作為有效且高效的社會控制手段的正當(dāng)性不能被低估。(74)See Neil Gunningham,Joseph Rees,Industry Self-regulation:an Institutional Perspective,19 Law and Policy,363(1997).而且，政府規(guī)制應(yīng)保持自我克制的品性。一方面是因為政府規(guī)制往往具有極強(qiáng)的管制色彩，有可能阻礙個人信息的有效利用和增值提升。另一方面是因為政府權(quán)力運(yùn)作本身受制于人力、金錢和時間等客觀因素，不能想當(dāng)然地“拍腦袋”決定，而是需要細(xì)致的成本收益分析。比如有學(xué)者就指出，政府規(guī)制的出場受制于無序成本與權(quán)力成本的比較。(75)政府規(guī)制介入與否，依賴于對無序成本(disorder cost)與權(quán)力成本(dictatorship cost)的衡量。無序成本是指私人(此處指企業(yè))損害其他人利益的能力，權(quán)力成本則是指政府或政府官員損害他人利益的能力。只有當(dāng)自我規(guī)制已經(jīng)無法控制無序成本時，才需要政府規(guī)制的介入。See Andrei Shleifer,Understanding Regulation,11 European Financial Management,443(2005).

其三，規(guī)制應(yīng)該是階段性、動態(tài)的。“我們踩在一塊完全陌生的薄冰上，很少有人了解約束企業(yè)信息流動所產(chǎn)生的商業(yè)道德、法律問題和政治問題?！?76)〔美〕阿爾文·托夫勒：《權(quán)力的轉(zhuǎn)移》，黃錦桂譯，中信出版社2018年版，第170頁。而且，“無論是關(guān)乎私人信息保護(hù)，抑或是關(guān)乎國家安全，私人服務(wù)、公共服務(wù)和規(guī)制利益之間的界限本質(zhì)上是模糊的”(77)Martin Lodge,Andrea Mennicken,Reflecting on Public Service Regulation by Algorithm,in Algorithmic Regulation,in Karen Yeung,Martin Lodge ed.,Algorithmic Regulation,Oxford University Press,2019,p.195.。因此，我們不能僵硬地堅持某一種或混合的規(guī)制策略，而是要因應(yīng)社會現(xiàn)實的變化增減不同規(guī)制手段的分量。傳統(tǒng)觀點認(rèn)為，歐盟的規(guī)制要求過于嚴(yán)格，而美國的規(guī)制則較為松懈。但比格納米的研究卻發(fā)現(xiàn)，美國的規(guī)制較為嚴(yán)格精確，而歐盟的規(guī)制則趨于寬松。(78)See Francesca Bignami,Cooperative Legalism and the Non-Americanization of European Regulatory Styles:The Case of Data Privacy,59 American Journal of Comparative Law,416(2011).因此，一國規(guī)制風(fēng)格的選擇并不是固定不變的，而是因時而異的。

(三)具體路徑：確立回應(yīng)型規(guī)制

目前，國外規(guī)制實踐的共識是企業(yè)自我規(guī)制與政府規(guī)制的結(jié)合，但具體如何安排卻有不同的操作。有學(xué)者基于美國和愛爾蘭對Facebook規(guī)制措施的調(diào)查與研究，提出了回應(yīng)型規(guī)制(responsive regulation)的策略，即減少對抗，拒斥傳統(tǒng)懲罰，政府規(guī)制更多的是最后的手段。(79)參見前引〔2〕，William McGeveran文，第959頁。也有學(xué)者提出企業(yè)和政府之間進(jìn)行合作規(guī)制(co-regulation)的混合模式，認(rèn)為這是一種可執(zhí)行的、嚴(yán)格的方法，既能保護(hù)個人隱私，又能跟上并滿足日益增長的互聯(lián)網(wǎng)經(jīng)濟(jì)的需求。(80)合作規(guī)制又稱協(xié)同規(guī)制，是指機(jī)構(gòu)與行業(yè)團(tuán)體或其他第三方合作，制定詳細(xì)的實質(zhì)性規(guī)則。這些規(guī)則隨后可能成為可執(zhí)行的法律，經(jīng)常(雖然不總是)受到政府監(jiān)管機(jī)構(gòu)的批準(zhǔn)或許可。See Dennis Hirsch,The Law and Policy of Online Privacy:Regulation,Self-Regulation,or Co-Regulation? 34 Seattle University Law Review,441(2011).艾拉·魯賓斯坦(Ira S.Rubinstein)也主張，合作規(guī)制應(yīng)該成為經(jīng)濟(jì)社會問題的重要思路和措施，他甚至提出了合作規(guī)制取得成功必備的五個標(biāo)準(zhǔn)：開放和透明、完整性、解決搭便車問題的策略、監(jiān)督和執(zhí)行，以及使用第二代設(shè)計特征。See Ira Rubinstein,Privacy and Regulatory Innovation:Moving Beyond Voluntary Codes,6 I/S,A Journal of Law and Policy for the Information Society,380(2011).無論是回應(yīng)型規(guī)制還是合作規(guī)制，都不是新的現(xiàn)象，也面臨著不少質(zhì)疑。比如合作規(guī)制被認(rèn)為缺乏透明和問責(zé)，以致有做空社會公共利益，并致使企業(yè)俘獲政府的可能；(81)參見前引〔44〕,Dennis Hirsch文，第442頁?；貞?yīng)型規(guī)制也被認(rèn)為增加了政府被俘獲的可能性，高估了企業(yè)的理性和道德行為，削弱了人們對執(zhí)法嚴(yán)肅性的信心(82)See Steve Tombs,Understanding Regulation? 11 Social and Legal Studies,126(2002).等等。

每一種規(guī)制策略都包含風(fēng)險?，F(xiàn)階段我們需要試驗并評估哪種方式是適合我國的切實有效的策略。在充滿變化和不確定性的技術(shù)革新時代，我國可以確立回應(yīng)型規(guī)制的階段性選擇，這既能夠較好地處理信息技術(shù)發(fā)展與個人信息保護(hù)的關(guān)系，又能夠有效地促進(jìn)企業(yè)自我規(guī)制機(jī)制的形成與發(fā)展。與任何良好的友誼一樣，回應(yīng)型規(guī)制對企業(yè)和政府都有利。之所以未選擇合作規(guī)制，是因為合作規(guī)制之于具體實踐更多的是一個想法，而不是現(xiàn)實。(83)合作規(guī)制是一個很有前途的機(jī)制，但存在重大局限性，比如受制于特定的歷史文化影響，難以切實有效地達(dá)成共識。合作規(guī)制與回應(yīng)型規(guī)制之間的區(qū)別主要有：(1)前者主要關(guān)注規(guī)則的內(nèi)容，后者主要關(guān)注執(zhí)行規(guī)則的方法，而不是規(guī)則的實質(zhì)；(2)前者實踐的前提是許多利益相關(guān)方達(dá)成廣泛共識，后者只是影響監(jiān)管機(jī)構(gòu)對所有被監(jiān)管實體的行為；(3)后者應(yīng)用時也可著眼于合作；(4)后者切實地存在并運(yùn)用著。參見前引〔2〕，William McGeveran文，第981頁。而回應(yīng)型規(guī)制在很大程度上本身就指向企業(yè)的善意與合作，強(qiáng)調(diào)較少的對抗技術(shù)以調(diào)動企業(yè)積極合規(guī)的能動性來實現(xiàn)。(84)參見前引〔52〕，Darren Sinclair文，第534頁。回應(yīng)型規(guī)制本身也可以模糊不同地區(qū)間本應(yīng)明顯的區(qū)別，便于有效、靈活和合作地改進(jìn)現(xiàn)實世界的數(shù)據(jù)保護(hù)實踐。(85)參見前引〔2〕，William McGeveran文，第959頁。

我國的立法實踐雖然沒有明確我國的規(guī)制策略，但也可以從一些具體規(guī)定解讀出“先自我規(guī)制后政府規(guī)制”的意味。第一，《個人信息保護(hù)法》第58條規(guī)定，提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，應(yīng)當(dāng)履行“按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督”的義務(wù)。這預(yù)示著，關(guān)于企業(yè)信息處理行為，優(yōu)先適用內(nèi)部合規(guī)并外部監(jiān)督的行為規(guī)范策略，政府規(guī)制只在有必要的時候出場。第二，《個人信息保護(hù)法》第61條關(guān)于個人信息保護(hù)主管部門的職責(zé)范圍，主要提及宣傳教育、接受投訴與舉報、組織測評并公布結(jié)果以及調(diào)查與處理違法個人信息處理活動等，這些內(nèi)容不同于常規(guī)的懲罰措施，而是一種內(nèi)含企業(yè)自身改進(jìn)的主動引導(dǎo)與被動回應(yīng)的治理要求。第三，《個人信息保護(hù)法》第62條確立了國家網(wǎng)信部門承擔(dān)統(tǒng)籌協(xié)調(diào)職責(zé)。這是一種輔助性(subsidiarity)的規(guī)制形式要求，意味著政府可以不直接或間接地積極參與，但政府對大多數(shù)規(guī)制計劃必須保證有某種形式的參與。即自我規(guī)制構(gòu)成對政府規(guī)制的一種回應(yīng)，如果企業(yè)不采取任何行動，政府就會采取行動。(86)See Robert Baldwin,Martin Cave，Martin Lodge,Understanding Regulation:Theory,Strategy,and Practice,Oxford University Press,2012,p.138.第四，《個人信息保護(hù)法》第63條與第64條是關(guān)于具體監(jiān)管措施的規(guī)定，從詢問、調(diào)查到約談、審計，再到移送公安機(jī)關(guān)依法處理等，從中可以看出政府的力量根據(jù)情境的輕重緩急而相應(yīng)地從“督促改進(jìn)到直接懲罰”發(fā)生變化。這說明，“監(jiān)管機(jī)構(gòu)一開始假設(shè)美德(他們應(yīng)該以合作作為回應(yīng))，但當(dāng)他們的期望落空時，他們會以逐步懲罰和以威懾為導(dǎo)向的策略做出回應(yīng)，直到被監(jiān)管機(jī)構(gòu)順從”(87)Neil Gunningham,Darren Sinclair,Integrative Regulation:A Principle-Based Approached to Environmental Policy,24 Law and Society Inquiry,864(1999).。

因此，回應(yīng)型規(guī)制雖然不是國家應(yīng)對新現(xiàn)實的唯一方式，卻是現(xiàn)階段的一種可為的經(jīng)濟(jì)性選擇。(88)參見前引〔53〕，Ian Bartle、Peter Vass文，第885頁。一方面，回應(yīng)型規(guī)制體現(xiàn)了規(guī)制的靈活性、包容性和敏感性，實現(xiàn)了多主體參與動態(tài)性規(guī)制，大大降低政府規(guī)制的成本以及避免規(guī)制失靈的問題。(89)參見前引〔86〕，Robert Baldwin、Martin Cave、Martin Lodge書，第136-140頁。比如政府主動改變直接提供保障的全能角色，轉(zhuǎn)變?yōu)橄蚱髽I(yè)購買服務(wù)，并鼓勵和支持企業(yè)開展個人信息保護(hù)的研究、推廣、宣傳、培訓(xùn)和咨詢等服務(wù)。另一方面，回應(yīng)型規(guī)制實現(xiàn)了從外在強(qiáng)制到內(nèi)在激勵的轉(zhuǎn)化。換言之，回應(yīng)型規(guī)制的采用可以使政府規(guī)制的外在要求同企業(yè)保護(hù)個人信息的內(nèi)在激勵相容，促使企業(yè)認(rèn)真對待個人信息保護(hù)實踐，將個人信息保護(hù)的期望實質(zhì)性地整合進(jìn)工作流程中，而不是單純停留于“如果你同意，請點擊”的形式保證或避免制裁的消極應(yīng)對上。

六、結(jié) 語

個人信息保護(hù)表面上圍繞著個人、企業(yè)與政府之間的權(quán)利義務(wù)責(zé)任關(guān)系而展開，但其運(yùn)作的背后離不開國家這一行為主體的滲透、干預(yù)、整合與引領(lǐng)。國家形塑個人信息保護(hù)實踐主要是通過其對個人、企業(yè)與政府這三類主體的要求與互動而展開。知情同意規(guī)則、企業(yè)隱私政策以及政府規(guī)制這三類實踐某種程度上實現(xiàn)了國家對個人的賦權(quán)和對企業(yè)與政府的規(guī)制。不可否認(rèn)的是，這些實踐仍然存在著這樣或那樣的現(xiàn)實窘境與不利因素，以至于不僅個人利益的維護(hù)大打折扣，而且企業(yè)自我規(guī)制與政府規(guī)制之間的關(guān)系取向未定。因此，需要以國家之名，重申人性尊嚴(yán)的理念，避免個人被視為客體；重述規(guī)制策略的共識，醞釀信息時代規(guī)制國家的行動準(zhǔn)則；確立回應(yīng)型規(guī)制，指引個人信息保護(hù)的未來議程。