張邦鋪

(西華大學(xué)，四川 成都 610039)

個人信息保護(hù)是一個“老”問題，又是一個“新”問題?！袄稀眴栴}指的是，有關(guān)個人信息保護(hù)的研究開啟早且時間跨度長。國外早在十九世紀(jì)即開始關(guān)注個人信息，先后提出了保密性理論、信息隱私權(quán)理論、隱私控制理論、信息自決權(quán)理論等[1]32-40豐富了個人信息的理論研究，并通過司法判例對理論觀點進(jìn)行論證或強(qiáng)化。國內(nèi)以周漢華為領(lǐng)軍的研究者自2005年起便持續(xù)開展個人信息保護(hù)研究，從保護(hù)主體、對象、范圍、方式、職責(zé)、信息權(quán)利歸屬等多重角度切入，結(jié)合實踐深研理論知識，形成數(shù)份個人信息保護(hù)法專家意見稿與立法研究報告，大力推進(jìn)了個人信息保護(hù)的立法進(jìn)程[2]1-27?！靶隆钡暮x是，個人信息保護(hù)與時俱進(jìn)，呼應(yīng)時代環(huán)境里條件的變遷。從移動互聯(lián)網(wǎng)普及到信息化建設(shè)，到大數(shù)據(jù)和物聯(lián)網(wǎng)的應(yīng)用，再到“數(shù)字化生存”[3]，社會環(huán)境頻頻變動。同時，濫用個人金融信息、APP違法違規(guī)收集使用個人信息、新型信息犯罪等新情形的出現(xiàn)頻率節(jié)節(jié)攀升，如若依照傳統(tǒng)保護(hù)方式或嚴(yán)懲個案的“運動式”保護(hù)模式，勢必將陷入困頓。于此，個人信息保護(hù)面臨著更大的挑戰(zhàn)，時代也對個人信息保護(hù)提出了新要求，亟待因時、因地、因事轉(zhuǎn)變保護(hù)模式，塑造適恰的、前沿的、科學(xué)的個人信息保護(hù)體系。

長久以來，個人信息的法律屬性一直爭論不休，但并不影響其原生具有的價值意義。個人信息控制者、處理者利用技術(shù)手段批量化分析、提取個人信息中符合市場需求的要素進(jìn)行商業(yè)化輸出，實現(xiàn)個人信息的財產(chǎn)價值。在高利潤低成本的誘導(dǎo)下，一時逐利者紛紛涌入信息市場。經(jīng)濟(jì)學(xué)規(guī)律指明，社會資源總是一定的，其只能在具有競爭關(guān)系的領(lǐng)域進(jìn)行有限配置才能成就優(yōu)化發(fā)展格局，如果資源自發(fā)或被動地高度聚合于某一領(lǐng)域，勢必會削弱其他領(lǐng)域的發(fā)展能力，一旦建設(shè)與管理跟不上迅速增長的需求，各類摩擦、矛盾、甚至是嚴(yán)重沖突將接踵而至[4]。作為個人信息生產(chǎn)者的信息主體則是此種沖突下最突出的受害方。詳言之，當(dāng)下互聯(lián)網(wǎng)信息社會環(huán)境中，消費者的日常生活、生產(chǎn)活動都已打上信息化烙印，網(wǎng)絡(luò)購物、金融服務(wù)、線上辦公等都需要信息主體主動披露適度的個人信息，與此同時，信息主體不得不擔(dān)憂其個人信息被他方獲取后是否會被二次利用，觸及道德問題、法律問題，個人信息安全如何保障。個人信息承載著多元法律利益，其在不同時代場域中的發(fā)展規(guī)律、相關(guān)信息主體規(guī)范化的權(quán)利義務(wù)關(guān)系等問題時刻關(guān)系著我國的信息化轉(zhuǎn)型進(jìn)程，個人信息的保護(hù)與合理利用更是一個需要從法律維度深刻研討的命題。

正值《個人信息保護(hù)法》公布前夕，羅娟博士以其博士學(xué)位論文為基底所著《消費者個人信息權(quán)保護(hù)——公私兼濟(jì)模式向場景風(fēng)險模式的轉(zhuǎn)型》(2021)[5]一書由法律出版社出版(以下簡稱“該書”)。該書植根中國特色司法實踐，充分借鑒國際經(jīng)驗，以消費者個人信息為研究對象，凝結(jié)著對社會歷史語境與時代轉(zhuǎn)型階段個人信息權(quán)保護(hù)的長期思考與不懈探索，構(gòu)建了一套兼顧個人信息權(quán)利保護(hù)與自由流動的場景風(fēng)險式的回應(yīng)型治理框架，為破解我國個人信息保護(hù)的現(xiàn)實困境提供了重要思路。

一、系統(tǒng)詮釋“告知-同意”原則，鞏固其在個人信息處理規(guī)則中的核心地位

事先告知并征得信息主體同意是合法、合規(guī)處理個人信息的重要前提?，F(xiàn)實中信息體量成倍膨脹式上漲，逐個努力爭取信息主體同意的做法已因成本過高而不可行。為了打通個人信息處理環(huán)節(jié)的第一步，經(jīng)營者不得不采用一些效率性的“變通”手段，諸如一攬子協(xié)議、霸王條款、強(qiáng)制同意、告知同意、功能捆綁等顯性或隱性的同意獲取方式，以此為個人信息后續(xù)處理行為加固“免責(zé)盾牌”，但卻將個人信息置于安全隱患環(huán)伺的危險境地[6]。該書詳細(xì)闡明了真實世界中多種隱蔽不顯的同意獲取手段的特征、表現(xiàn)形式，直擊違法違規(guī)收集消費者個人信息的重災(zāi)區(qū)——手機(jī)APP，借助場景描繪與數(shù)據(jù)統(tǒng)計，呈現(xiàn)了一幅幅現(xiàn)實感極強(qiáng)的有悖消費者真實意愿的、法律邊界模糊的個人信息“告知-同意”畫面。同時，該書通過對多個司法實踐案例的分析解構(gòu)，發(fā)現(xiàn)不同類型的司法案例中“告知-同意”原則均能或多或少影響案件走向，并結(jié)合案例實情提取出了有關(guān)“告知-同意”的違法行為共同點?，F(xiàn)象闡述過程中，該書不停地追問“變通式同意”是否是對傳統(tǒng)知情同意架構(gòu)的挑戰(zhàn)？其與法律意義上的授權(quán)是否等同？是否是經(jīng)營者為規(guī)避合法合規(guī)審查而采取的規(guī)避手段？是否能夠維護(hù)消費者的理性選擇權(quán)與信息自主權(quán)？為此，該書將歐盟分層告知模式、美國分情形告知模式列為比較對象，深入剖析域外國家的告知認(rèn)定規(guī)則、告知內(nèi)容、告知形式等具象化規(guī)定，積極探求其之所以行之有效的運行機(jī)理、內(nèi)在規(guī)律，并以此為鏡，關(guān)照我國實情，尋覓我國知情同意制度失靈的緣由。

實際上，有關(guān)“告知-同意”規(guī)則的適用困境問題國內(nèi)外文獻(xiàn)已有論述，主要集中于個人信息處理環(huán)節(jié)“告知-同意”規(guī)則的缺失[7]、信息主體作出同意表示的真實性[8]、告知范疇的限縮[9]、改變現(xiàn)有同意模式[10]等微觀研究層面，在相當(dāng)程度上補(bǔ)強(qiáng)了傳統(tǒng)知情同意架構(gòu)的制度之失。然而，從宏觀視角重新審視“告知-同意”規(guī)則的原初設(shè)計思路與理論支撐，有效回應(yīng)當(dāng)下全面且真實的告知稀缺、同意獲取手段隱秘難題的研究尚未成型，亟待法律予以制度化關(guān)注。鑒于此，該書從“告知-同意”原則本身出發(fā)，既不過度限縮也不過于擴(kuò)張原則本來意涵，基于理論與實踐融合視角，以平實合理的敘事廓清“告知-同意”原則的內(nèi)涵與外延，并結(jié)合WEB2.0時代數(shù)字化、網(wǎng)格化程度對原則進(jìn)行時代語境化重塑，減輕其在大數(shù)據(jù)時代適用的不確定性并賦予操作性能力，強(qiáng)化其在個人信息處理規(guī)則運作中的核心效用。隨著經(jīng)濟(jì)生活使用消費者個人信息的廣度不斷拓展，敏感個人信息處理、個人信息跨境轉(zhuǎn)移等重要事項并不適合批量授權(quán)，需單獨征得信息主體同意。若因信息主體不同意而拒絕供給相關(guān)產(chǎn)品或服務(wù)，或是僅憑一項同意授權(quán)過度收集其他個人信息，或是信息主體作出同意表示后又反悔，其間的權(quán)責(zé)如何劃分，尤其在智能時代個人信息多以電子形式呈現(xiàn)，“告知-同意”規(guī)則又將如何實現(xiàn)制度旨意，這些在該書中體現(xiàn)得不夠突出，有待進(jìn)一步研究。

二、建構(gòu)獨立的個人信息權(quán)利框架，實現(xiàn)個人信息領(lǐng)域的規(guī)則之治

個人信息究竟是一項權(quán)利還是一種法益，一直備受爭議，權(quán)利觀與法益觀兩大理論陣營在多次博弈中往往各擅勝場，各有短長[11]。立基于法益與權(quán)利的差異以及轉(zhuǎn)換的現(xiàn)實可能性，該書傾向于認(rèn)同個人信息的權(quán)利屬性，提出權(quán)利觀是個人信息權(quán)概念的理論支撐。為了論證個人信息權(quán)的合理性，該書追溯至權(quán)利哲學(xué)的精神源頭——德沃金的權(quán)利理論與霍菲爾德的權(quán)利概念分析理論，深度剖析權(quán)利的本質(zhì)以及權(quán)利義務(wù)的合理配置，再結(jié)合既有關(guān)于個人信息權(quán)利屬性的主流分析——人格權(quán)說[12]、財產(chǎn)權(quán)說[13]、隱私權(quán)說[14]34、憲法人權(quán)說[15]44、框架權(quán)說[16]，指明將個人信息權(quán)視作一項人格利益與財產(chǎn)利益兼容的復(fù)合型獨立權(quán)利方能達(dá)成制度預(yù)設(shè)。鑒于先導(dǎo)性的權(quán)利義務(wù)安排很難精準(zhǔn)預(yù)計并明晰表述當(dāng)前、未來所有可能狀態(tài)中的對應(yīng)權(quán)利義務(wù)關(guān)系，在個人信息權(quán)作為規(guī)范底色的支持下，該書提供了一個可供參酌的切入視角，充分慮及作為主要信息主體的消費者與信息業(yè)者的知識基礎(chǔ)、生活閱歷和利益需求，重新調(diào)配個人信息相關(guān)主體的權(quán)利義務(wù)格局。將消費者個人信息權(quán)細(xì)化為知情權(quán)、信息自主權(quán)、查閱復(fù)制權(quán)、撤回權(quán)、要求更正權(quán)等分支權(quán)利，以便于行權(quán)與確權(quán)。要求信息業(yè)者在個人信息處理活動中履行征求同意、解釋說明、刪除、規(guī)范個人信息使用程序、保障個人信息安全、定期評估個人信息存儲環(huán)境、接受社會監(jiān)督等義務(wù)，通過顯性條款約束不良行為，進(jìn)而為各信息相關(guān)主體在個人信息權(quán)利框架下建立清晰穩(wěn)定的權(quán)利義務(wù)預(yù)期。

一般認(rèn)為，權(quán)利所有人善于利用自身權(quán)屬優(yōu)勢攫取超額剩余財富，有必要限制其權(quán)利的使用范疇。著眼于個人信息領(lǐng)域，作為個人信息權(quán)利所有者的消費者與信息業(yè)者之間的權(quán)利與地位嚴(yán)重不平等，具有財力優(yōu)勢、技術(shù)優(yōu)勢的信息業(yè)者雖未掌握個人信息所有權(quán)，但往往在這一關(guān)系中占據(jù)絕對優(yōu)勢地位，前述常規(guī)于此間缺乏運轉(zhuǎn)空間。因此，考慮到權(quán)利義務(wù)分配格局背后的深層次社會制約因素，囿于消費者的專業(yè)信息弱勢群體地位，為實現(xiàn)實質(zhì)公平正義，有必要對消費者的個人信息權(quán)予以傾斜性配置[17]。該書引入經(jīng)濟(jì)法的傾斜性保護(hù)為制度設(shè)計增添理論依據(jù)，對信息相關(guān)主體的關(guān)鍵權(quán)益展開價值衡量，助力于保護(hù)信息弱勢主體的利益，促成利益沖突主體間的整體平衡。通常情形下，權(quán)利傾斜性配置因偏向性地在賦予一方更多權(quán)利的同時加重相對方義務(wù)而遭致利益受損方的對策行為，僅憑單個個體消費者之力難以消弭對策行為帶來的破壞力，甚至迫使制度績效大大減弱[18]。如何運用科學(xué)的法律規(guī)范、恰當(dāng)?shù)氖袌龉ぞ邞?yīng)對對策行為為引致的制度風(fēng)險值得深思。是否可借助個人信息權(quán)利框架的實踐經(jīng)驗，分離出易被輕視、但又深刻影響制度運作的“暗物質(zhì)”，有針對性地提出與之匹配的制度，是該書尚有待鉆研的地方。

三、創(chuàng)設(shè)場景風(fēng)險保護(hù)模式，積極回應(yīng)個人信息治理改革

自保護(hù)個人信息這一主題出現(xiàn)在人們的關(guān)注視線時，各國致力于研究契合本國社會現(xiàn)實、法律文化、法制發(fā)展背景、歷史淵源的個人信息保護(hù)模式，相繼提出了部門法共同保護(hù)模式、分塊保護(hù)模式、統(tǒng)一保護(hù)模式、混合保護(hù)模式等等。該書整合各國既有個人信息權(quán)保護(hù)模式，提煉出包括特征、運作機(jī)制、法律支撐、優(yōu)勢、缺陷等在內(nèi)的一系列規(guī)則知識，抽離出它們最重要的共同特征——公私合力共同規(guī)制個人信息侵害行為，將之統(tǒng)稱為“公私兼濟(jì)保護(hù)模式”。值得肯定的是，以公私關(guān)系學(xué)說作為理論支柱的公私兼濟(jì)保護(hù)模式，運用其復(fù)合保護(hù)之力，在技術(shù)尚未成熟的社會發(fā)展早期發(fā)揮了的積極作用。進(jìn)入數(shù)字信息時代以來，摒除社會轉(zhuǎn)型、技術(shù)發(fā)展、思想意識變動等因素，純粹從“保護(hù)”的角度來制定個人信息治理方案難以降低信息主體的風(fēng)險焦慮和不安，反而在相當(dāng)程度上為信息業(yè)者的不當(dāng)信息行為提供反向激勵，促使信息業(yè)者采取機(jī)會主義策略以攫取短期利益[19]。概言之，具有強(qiáng)烈事后特征的個人信息常態(tài)化治理方案已漸顯頹勢，亟待找尋到致使既有個人信息權(quán)保護(hù)模式運轉(zhuǎn)失靈的癥結(jié)。鑒于此，該書試圖跳脫出現(xiàn)有個人信息權(quán)保護(hù)模式的桎梏，轉(zhuǎn)換觀察視角，俯瞰紛繁復(fù)雜的現(xiàn)象間的關(guān)聯(lián)，以場景分析與風(fēng)險治理為突破口，創(chuàng)設(shè)一種創(chuàng)新性與實踐性兼具的新型個人信息權(quán)保護(hù)模式——場景風(fēng)險保護(hù)模式。

場景風(fēng)險保護(hù)模式作為該書的最大創(chuàng)新點，以明晰的方式重點闡釋了三個問題。

其一，個人信息保護(hù)與信息自由流動之間不是非此即彼的選擇關(guān)系，而是彼此應(yīng)和、優(yōu)勢互補(bǔ)的兼容關(guān)系。個人信息具有多樣性、客觀性、價值性、依附性等特征，提供全方位保護(hù)是公私兼濟(jì)保護(hù)模式的主要觀點，也是實現(xiàn)信息主權(quán)的題中應(yīng)有之義，而信息自由流動則會對這種狹窄的保護(hù)體系產(chǎn)生沖擊。個人信息蘊含著人格利益與財產(chǎn)利益，個人信息權(quán)是人格權(quán)與財產(chǎn)權(quán)的雙重復(fù)合體[20]，個人信息權(quán)保護(hù)不能過度偏向某一種權(quán)益，而應(yīng)追求不同權(quán)利間的平衡與兼容。場景風(fēng)險保護(hù)模式意識到信息自由流動既是實現(xiàn)個人信息財產(chǎn)價值的實踐載體，還是信息市場交易的正當(dāng)需求，更是信息開放共享的基本要求。因此，對個人信息權(quán)保護(hù)體系作有理有節(jié)的擴(kuò)大解釋，經(jīng)由復(fù)雜微妙的融合過程將規(guī)范的信息自由流動行為納入保護(hù)視域，促成個人信息保護(hù)與信息自由流動的既各司其職又相輔相成的格局。而個人信息保護(hù)與信息自由流動共存的核心在于找到它們之間的平衡節(jié)點，以此來促成互動、協(xié)調(diào)預(yù)期利益。

其二，將風(fēng)險導(dǎo)向思維融入場景分析方法，對個人信息處理活動中的信息侵害行為展開識別定性。在互聯(lián)網(wǎng)加持的快信息時代，個人信息處理場景的多元性、復(fù)雜性尤為顯著，并且不同場景中的各方利益勾連交錯，處置不當(dāng)則可能動搖制度根基，有必要厘清不同場景所呈現(xiàn)的“地方性知識”和“地方性需求”，結(jié)合風(fēng)險治理理念，運用靈活的保護(hù)方式有針對性地規(guī)制信息侵害行為。場景金融中的消費者個人信息權(quán)保護(hù)即是典型例證。詳言之，數(shù)字化、智能化的金融業(yè)務(wù)發(fā)展方向催生了科技與生產(chǎn)生活場景相結(jié)合以滿足消費者金融需求的場景金融，個性化、多樣化的金融服務(wù)場景建設(shè)需要金融消費者個人信息的支撐，通過挖掘、分析個人信息來準(zhǔn)確描繪消費者的金融需求畫像[21]。場景金融是金融服務(wù)創(chuàng)新的突出表現(xiàn)，具有業(yè)務(wù)細(xì)分、定位精準(zhǔn)、需求導(dǎo)向、科技元素顯著的鮮明特征，這一場景中可能致使個人信息被侵害的風(fēng)險主要源自金融機(jī)構(gòu)對消費者個人信息的采集與使用階段。因此，依循場景風(fēng)險保護(hù)模式的路徑設(shè)計，于場景金融視域下保護(hù)個人信息權(quán)需要著重規(guī)制金融機(jī)構(gòu)的信息處理行為，準(zhǔn)確辨識過度收集、違規(guī)分析或非法使用消費者個人信息的行為，同時還需督促建立并完善安全的個人信息存儲系統(tǒng)，防范潛在的或現(xiàn)實的個人信息人為泄露與工具泄露風(fēng)險。

其三，區(qū)分個人信息流通環(huán)節(jié)，實現(xiàn)對個人信息權(quán)的全周期保護(hù)。每一個信息流通環(huán)節(jié)可被視作一個場景，個人信息由從無到有的生成至從有到無的歸零大概將經(jīng)過信息收集、信息處理(使用與加工)、信息傳輸、信息存儲、信息共享、信息刪除環(huán)節(jié)[22]。場景風(fēng)險保護(hù)模式有意識地規(guī)避整合式風(fēng)險防控手段，傾向分步式風(fēng)險管制方案，試圖通過以點到面的風(fēng)險治理格局將風(fēng)險控制到具體環(huán)節(jié)，以便于指向明確地制定風(fēng)險治理措施。操作實踐中，應(yīng)率先明確個人信息流通環(huán)節(jié)，對每一環(huán)節(jié)中的信息行為進(jìn)行動態(tài)觀測。一旦出現(xiàn)信息侵害風(fēng)險可及時歸入對應(yīng)環(huán)節(jié)以便作出有效的風(fēng)險應(yīng)對措施，由于整個個人信息流通環(huán)節(jié)是一個整體，還應(yīng)注重不同環(huán)節(jié)之間的牽連，站在整體視角高度察知、預(yù)警風(fēng)險，從而實現(xiàn)對個人信息權(quán)的全生命周期保護(hù)。

場景風(fēng)險保護(hù)模式的提出為個人信息權(quán)保護(hù)研究打開了一道嶄新的視窗。借助場景分析方法與風(fēng)險思維進(jìn)路沖破固化的研究范式，靈活運用司法經(jīng)驗事實與傳統(tǒng)個人信息權(quán)保護(hù)理論進(jìn)行對話，預(yù)后前景非常可觀，有助于未來個人信息權(quán)保護(hù)研究的思維拓展。稍顯遺憾的是，場景風(fēng)險保護(hù)模式主張將個人信息權(quán)利保護(hù)置于具體場景，這一構(gòu)設(shè)雖然將不同的個人信息流通場景從形式上區(qū)隔開來，但在空間上依然呈現(xiàn)彌散化態(tài)勢，可能存在碎片化保護(hù)之嫌，進(jìn)而有礙建構(gòu)體系化的個人信息權(quán)保護(hù)系統(tǒng)。

新近出臺的《個人信息保護(hù)法》分別從信息處理規(guī)則、信息權(quán)利、信息義務(wù)、信息跨境流動、信息保護(hù)責(zé)任等維度為保護(hù)個人信息權(quán)賦能?？梢?，保護(hù)個人信息權(quán)是數(shù)字社會治理與數(shù)字經(jīng)濟(jì)發(fā)展面臨的機(jī)遇和挑戰(zhàn)。合法、正當(dāng)、必要、誠信地使用個人信息，保護(hù)信息主體的信息權(quán)益，促進(jìn)權(quán)利保護(hù)與信息流動的平衡，在提升現(xiàn)代化社會治理能力的同時，社會成員也將享受到充足的信息紅利。反之，如若優(yōu)化的制度方案仍然難以應(yīng)對新場域環(huán)境下的個人信息侵害，或者制度的實操性和時效性沒有迭代升級，社會必將受到愈加復(fù)雜的個人信息亂象的劇烈反噬。該書正是意識到保護(hù)個人信息權(quán)的重要性與必要性，從現(xiàn)實問題出發(fā)，將已然存在的問題與未來社會改革方向結(jié)合，前瞻性地探索時代發(fā)展態(tài)勢下的個人信息權(quán)保護(hù)模式，通過理論建構(gòu)與經(jīng)驗汲取形塑成場景風(fēng)險保護(hù)模式。這一模式并非一種臆想，其制度意涵符合立法理性主義、立法大眾主義與立法能動主義，經(jīng)由法律制度層面穩(wěn)定落實將展現(xiàn)出個人信息權(quán)保護(hù)的善治遠(yuǎn)景。