个人信息保护的表层逻辑是个人信息利用与保护的平衡。而究其根本,该制度底层逻辑是实现个人、平台企业、国家(政府)在个人信息保护领域的利益平衡。由于平台企业经济技术的巨大优势以及法律义务的设定,推动平台企业具备类似于管理监督的“权力”属性。然而,平台“私权力”属性是一把双刃剑:一方面,平台行使私权力能够起到弥补数字经济时代政府规制能力缺陷的功效;但是另一方面,“私权力”属性减损甚至侵犯信息主体的合法利益已成为现实。因此,合理限制平台权力成为三方利益平衡逻辑的关键点。 The surface logic of personal information protection is the balance between the use and protection of personal information. Fundamentally, the underlying logic of the system is to achieve the balance of interests of individuals, platform enterprises, and the state (government) in the field of personal information protection. Due to the huge advantages of platform enterprises in economy and technology and the setting of legal obligations, platform enterprises are promoted to have the “power” attribute similar to management supervision. However, the “private power” attribute of the platform is a double-edged sword: On the one hand, the exercise of private power by the platform can make up for the defects of government regulation ability in the era of digital economy; But on the other hand, it has become a reality that the attribute of “private power” impairs or even infringes on the legitimate interests of the information subject. Therefore, reasonable restriction of platform power becomes the key point of tripartite interest balance logic.
个人信息保护的表层逻辑是个人信息利用与保护的平衡。而究其根本,该制度底层逻辑是实现个人、平台企业、国家(政府)在个人信息保护领域的利益平衡。由于平台企业经济技术的巨大优势以及法律义务的设定,推动平台企业具备类似于管理监督的“权力”属性。然而,平台“私权力”属性是一把双刃剑:一方面,平台行使私权力能够起到弥补数字经济时代政府规制能力缺陷的功效;但是另一方面,“私权力”属性减损甚至侵犯信息主体的合法利益已成为现实。因此,合理限制平台权力成为三方利益平衡逻辑的关键点。
个人信息保护,数字法治,利益平衡,平台权力
Chengzong Zhou
School of Criminal Law, East China University of Political Science and Law, Shanghai
Received: Mar. 15th, 2024; accepted: Mar. 26th, 2024; published: Apr. 29th, 2024
The surface logic of personal information protection is the balance between the use and protection of personal information. Fundamentally, the underlying logic of the system is to achieve the balance of interests of individuals, platform enterprises, and the state (government) in the field of personal information protection. Due to the huge advantages of platform enterprises in economy and technology and the setting of legal obligations, platform enterprises are promoted to have the “power” attribute similar to management supervision. However, the “private power” attribute of the platform is a double-edged sword: On the one hand, the exercise of private power by the platform can make up for the defects of government regulation ability in the era of digital economy; But on the other hand, it has become a reality that the attribute of “private power” impairs or even infringes on the legitimate interests of the information subject. Therefore, reasonable restriction of platform power becomes the key point of tripartite interest balance logic.
Keywords:Personal Information Protection, Digital Rule of Law, Interest Balance, Platform Power
Copyright © 2024 by author(s) and beplay安卓登录
This work is licensed under the Creative Commons Attribution International License (CC BY 4.0).
http://creativecommons.org/licenses/by/4.0/
在数字信息时代,通信技术、互联网和算法的飞速发展,推动数字成为新的社会联结点。“0”和“1”的符号化逻辑性运算,隐含着个体行为模式、国家政府治理行为和平台企业商业模式,承担着串联公民、平台和社会国家的重要功能。信息作为经过加工处理的数据,其不仅承载着数据自身内涵,而且还试图以数学符号的形式建构个人的数字属性。自然人个体亦无时无刻享受着数字时代的利好:国家通过数字化治理手段,精准识别和解决人际社会矛盾;平台企业通过算法分析、精准推送,为个体提供优质和专业化服务。然而,“信息技术飞跃发展所带来的巨大进步和增益空间,已成为个人权利、社会权力与政府权力之间同步扩张、博弈增长的广阔‘飞地’”。 [
数据平台运用大数据技术和算法对可识别个人信息的分析、筛选、排列和整合,能够在网络虚拟世界中建构自然人的新身份,实现现实世界与网络虚拟世界的连接。但无疑的是,在个人权利、平台权力和国家权力失衡的信息网络世界,不良信息网络环境将会扯下人类隐私的“遮羞布”,随意践踏人的尊严和自由。而在此场景下,法治的目标应当聚焦于如何合理规范数字身份的建构与使用,实现个人、平台和国家利益平衡。正如所说“人类进入到数字时代后,面对个体自我的数字化呈现可能带来的身份危机,以数字身份为中心重新建构人际关系调整秩序,或许是未来法治发展的方向”。 [
目前世界各国正积极开展个人信息和隐私权保护立法。美国法上,采取的是将个人信息纳入隐私权的保护思路,建构了信息隐私权(Information Privacy)理念,并确立了公平信息实践原则(Fair Information Practice Principle)。欧洲立法则基于保护人性尊严,建构了以信息自决权为基础的统一个人信息保护立法模式:欧盟于1995年通过《个人数据保护指令》(以下简称《欧盟指令》),并于2016年在《欧盟指令》架构上通过《通用数据保护条例》(也称GDPR),进一步强调信息主体对于个人信息的控制能力,嵌入可携带权、删除权和被遗忘权等个人信息保护新兴概念。
基于规制互联网平台企业的现实需要,我国个人信息保护领域的法律空白逐渐被填补。民法典一千零三十四至一千零三十九条规定的个人信息保护条款,构建了个人信息民事保护基本逻辑,个人信息代表的人格尊严价值属于法律上有保护必要的合法利益,附着于其他人格权益之上的个人信息值得保护的同时,作为独立的个人信息权益亦是民法所保护的法益。 [
互联网的出现,带来了生产方式、信息传播方式以及整个社会关系的革命性变化。 [
在信息时代,信息作为人际沟通的桥梁,其功能发生异化。推动经济增长和实现国家治理手段现代化,是信息所承担的新时代使命。可识别的个人信息建构了人类的数字身份和数字属性,承担着连结现实世界和虚拟网络世界功能。大数据平台通过对虚拟网络世界中每条可识别个人信息的归纳分析与研判,能够清晰地还原某个自然人的兴趣爱好、饮食习惯、出行方式以及人际关系;通过分类整合等功能,甚至能够分析某一社会群体的行为样态和行为模式。在“互联网 + 行业”的情境下,自然人通过授权数据平台个人信息的收集与使用权限,获得优质专业化的购物、出行、健康医疗等服务。在现代化国家治理的语境下,数据与个人信息的利用对于提升公共管理服务水平意义非凡。譬如,我国高水平的疫情防控在一定程度上归功于大数据技术的使用,健康码、行程码、流行病学调查、医疗服务信息、公共交通信息系统等构建了我国疫情防控的一道道“防线”。
个人信息的利用,对个人与社会都是一大利好。然而,缺乏合理监管与限制的个人信息利用,将会数倍放大人类在信息时代的“焦虑感”。此种“焦虑感”是人类对隐私的“遮羞布”被反复撕扯的不安与恐慌,是人类对人格尊严被挑战而难以反抗的无力感。面对具有“私权力”属性的互联网平台企业和公共权力,信息主体的维权能力是有限的。
与此同时,我们必须看到,由于个人信息兼具个人属性与社会属性,“个人信息上不单纯有个人和企业利益,还涉及国家利益” [
再者,“个人信息保护事关国家的经济发展潜力和国家信息安全。一国的信息保护水平如果与国际脱节,这将成为他国对该国实行贸易壁垒的主要依据,该国的企业在‘走出去’过程中将受到歧视性对待,该国将长期处于个人信息‘流动’的逆差状态,影响一国的国际竞争力与国际地位。” [
不难发现的是,对于个人信息领域的立法,其目的和初衷在于实现个人信息保护与利用的平衡。根据GDPR第1条,制定该条例目的一方面是保护自然人的基本权利与自由,尤其是关于个人数据的权利,另一方面则是保障个人数据的流通与发挥其利用价值。虽然我国个人信息保护法关于立法目的与宗旨的第一条中未直接阐述个人信息的流通,但是其在后续章节中明确规定了个人信息流通的相应准则。
从个人信息利用的功能视角切入,个人信息利用不仅能够造福个人的生活、提升生活质量,而且能够提高平台企业及周边产业链的经济效益,形成新的经济增长点。不可忽视的是,个人信息合理利用亦是推动国家治理数字化现代化的重要工具。一言以蔽之,个人信息利用与保护的平衡,求其实质是个人、平台和国家多方利益的周旋。构建有效且有实际执行力的个人信息保护体系,厘清个人信息保护的内在利益逻辑是至关重要的。
大数据一方面增进了个人生活便利和社会福祉,另一方面也导致了社会权力结构的变化。以国家机关、其他履行公共职能的组织、国内外大型平台等“准官僚化”机构为代表的数据权力主体大规模地集聚并利用个人信息来塑造与调整个人的行为,成为最主要的侵害风险源。 [
其一,个人与平台企业的关系。各大应用程序、智能出行、智慧医疗、物联网、电子商务等“互联网 + 行业”为社会公众带来便捷服务的同时,用户个人信息保护问题日益严峻。互联网数据平台的运作,需要大数据和算法的支撑,个人信息的收集和使用是不可避免的,譬如使用打车软件时,势必需要定位服务开启授权APP获取位置信息。而在缺乏有效法律监管的运营环境下,由于商业利益的驱动,要求企业自律经营作用是有限的。近年来,各大数据平台过度收集、使用公民个人信息的现象层出,例如朱某诉BD案中,原告朱某曾使用BD公司浏览器搜索“减肥”等关键词,BD公司使用cookie技术留存原告搜索的关键词后,向原告精准推送“减肥”相关广告信息。原告以被告侵犯其隐私权为由,向一审法院请求被告停止侵权,承担精神损害赔偿、取证公证费用等。 [
其二,个人与公权力的关系。公民个人信息是高效社会管理系统的运作工具,“互联网 + 政务”模式下的个人信息早已溢出私人法益的范畴,具备公共性权利属性。现代化数字治理手段,贴合政府公共管理与服务职能调整方向,契合提升国家治理水平和治理能力的改革要求。各大政务平台的上线,在提升行政效率的同时,推动行政服务真正实现便民与利民的目标。数字化侦查手段的应用,对快速准确侦破犯罪、保障社会稳定安全做出巨大贡献。公权力作为个人信息利益架构中至关重要的一环,负有个人信息国家保护义务。一方面作为数据控制者和使用者,公权力应履行尊重私人生活、避免干预个人安宁的消极义务,合法合规收集和使用公民个人信息,处理和使用公民个人信息应当以公共利益为目的作为先决条件;另一方面公权力应通过积极保护,支援个人对抗个人信息处理中尊严减损的风险。个人信息国家保护义务是宪法国家保护义务的具体样态之一,公权力履行国家保护义务具体形式包括构建完善的个人信息法律规范体系、强化对平台企业的监管职能以及建立个人信息保护多元救济机制等。
其三,公权力与平台企业的关系。首先,公权力在职责范围内负责个人信息保护与监管工作,监督平台企业规范化、合法化运行。根据我国《个人信息保护法》第六十条规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院相关部门以及县级以上地方人民政府有关部门在职责范围内负责个人信息保护和监督管理工作,通过行政手段监督各大平台企业合法合规收集、使用公民个人信息;其次,数据跨境流动涉及国家安全,公权力对于平台企业的跨境数据流动负有监督管理职责。
总而言之,大数据时代个人信息保护面临的多方利益冲突、各主体实力相差悬殊以及发散性侵权的复杂形势。 [
在现代风险中加强对个人信息的保护,并非要绝对消除风险,而是要基于数字经济发展的实际和人格尊严保护的需要,科学管控好风险,以此实现个人信息保护与利用的平衡。 [
“‘两头强化’是指建立‘个人敏感隐私信息’的概念,在个人敏感隐私信息与个人一般信息区分的基础之上,通过强化个人敏感隐私信息的保护和强化个人一般信息的利用,调和个人信息保护与利用的需求冲突,实现利益平衡。” [
我国民法典中亦存在对敏感个人信息的界定。根据我国民法典第一千零三十四条,我国采取个人信息保护与隐私权分离的保护思路,个人信息分为个人一般信息以及个人隐私信息,个人隐私信息的保护适用隐私权的相关规定,但是《民法典》并没有建构具体的敏感个人信息保护规则。
而在2021年11月生效的《个人信息保护法》中,第二章第二节明确规定了敏感个人信息的处理规则。我国个人信息保护法规定只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息,与此同时处理敏感个人信息需要个人的单独同意。对敏感个人信息的保护很大程度上不是采取特殊的法律责任的方式,而主要是在个人信息处理环节规定特殊的个人信息处理方式。在敏感个人信息处理过程中,对信息处理者的要求越严格,越有利于保护敏感个人信息。 [
“‘三方平衡’是指个人对个人信息保护的利益(核心是人格自由和人格尊严利益)、信息业者对个人信息利用的利益(核心是通过经营活动获取经济利益)和国家管理社会的公共利益之间的平衡。平衡是一种张力状态,各利益主体的核心利益得到保护和实现,并让渡非核心利益作为他方实现其核心利益的条件和基础。” [
笔者认为,伴随信息技术的发展,人类进入到以数据化、网络化和智能化为特征的大数据时代。这个时代最主要的特征是数据化生存,科学研究、商业活动、社会治理等无不依赖数据,数据成为支撑这个时代发展的新资源。 [
“数字经济新业态的一个突出特点,就是去中心化与再中心化并存,呈现分散的大众、集中的平台、监控的社会之势,特别是信息鸿沟、算法歧视、算法黑箱等问题不断出现。基此,在个人隐私、自由平等、社会公平、劳动就业等方面给人权带来威胁的,已不仅仅是国家(政府),很多时候则是行使‘准立法权’‘准行政权’‘准司法权’的技术公司和商业平台,仅靠国家(政府)义务不足以保护人权,需要这些社会权力者承担起必要的自律责任和避免侵犯人权的义务。”
首先,平台企业作为私主体,在互联网平台中承担管理与监督的“类行政义务”。在数字时代,互联网成为大众交流分享、人际交往的公共场所。平台企业作为平台的创造者和运行者,负责制定平台的运行规则,通过技术手段管理互联网平台正常运作和用户使用行为,解决用户使用中的各类纠纷。同时为维护虚拟世界秩序,平台被赋予逐渐增多的法律义务。由于技术赋能和法定义务不断增加,平台不再是纯粹的信息传输管道,其实质功能已经发生变化, [
其次,由于平台企业与用户个人经济和技术方面的巨大差距,两者之间形成了不对称的权力架构,客观上形成了一定意义上的管理与被管理的关系。正如所说“强制性和支配性是权力的特性” [
与其他社会组织类似,平台组织具有相应的排他性,排他性的强弱与该平台组织的功能有关,由网络企业根据自己的市场策略来决定。互联网平台由于其私主体性质与商业属性,在外界监管的同时应需考量企业本身商业竞争力与商业秘密的保守。在信息时代,信息代表着机遇与利益,互联网平台所搜集到的个人信息皆是具备商业价值的。其算法与平台运行逻辑可能会涉及商业秘密。这就造成了平台企业为避免竞争优势的丧失,而提高互联网平台的封闭性,进而导致外界难以轻易获得平台获取的个人信息。在平台企业封闭性加强的大趋势下,外界的监管势必难上加难。
在个人信息保护的底层逻辑中,平台企业实际上是三方关系的关键点,承担着两头连结的作用:平台企业在运行与服务过程中收集和利用公民个人信息而与此同时又接受来自公权力的监管。值得重视的是,由于平台企业功能异化,“私权力”与封闭性特征的显现,个人信息利益平衡逻辑势必需要转向。
由于个人数据的使用大大超出了个人的预期与偏好,个人和数据控制机构之间存在严重的信息不对称,产生了严重的信任危机。这种危机会影响数据的真实产生和自由流动,从而阻碍创新和大数据潜力的发挥。“基于场景”的数据应用应当是恢复信任的重要措施。
笔者认为基于场景的个人信息保护其主要原因是在“互联网 + 行业”的模式中、在不同的场景下,平台企业提供基本服务所需个人信息类型不同,涉及的个人信息种类不同,个人信息隐私程度亦是差异的。譬如说,打车服务,打车平台需要信息主体授权个人联系方式、实名信息以及实时更新的位置信息,方可满足基本的服务要求,其所需的个人信息隐私性较高,且需要实时更新与收集。在“互联网 + 健康医疗”的场景中,消费者获取优质医疗健康服务的同时,需要授权平台企业收集和使用本人既往病史、身高、体重、年龄、性别、遗传病、健康状况等个人信息,可以说“互联网 + 健康医疗”模式所需个人信息隐私性更高。
于此同时,笔者认为建立基于场景的保护体系,能够推动最小必要原则实质化运作。最小必要原则是国内外法律实践中被普遍接受的个人信息处理原则,其源自传统的比例原则。以“最小”对“必要原则”的内涵进行限定,意味着该原则必定包含“负面影响最小”“最小侵害”等内容。 [
《经合组织指南》确立了八条个人数据保护基本原则,其中责任担当原则要求数据控制者应该落实采集限制性原则、数据质量原则、目的说明原则、安全性等其他七项原则。平台企业作为数据控制者之一,由于与信息主体的非对称权力结构、“私权力”属性等特征,推动其成为个人信息保护利益平衡逻辑的关键点。
虽然我国刚出台的《个人信息保护法》第五章中规定了个人信息处理者的义务,但是笔者认为要真正发挥平台弥补在互联网领域政府规制能力缺陷的功能需要更为完善的义务设定。有学者基于控制者义务理论与经济合理性提出“守门人”个人信息保护特别义务,认为国家应通过立法明确设定“守门人”负有发现并阻止违法行为的义务。同时也有学者认为网络企业应当对个人信息保护承担信义义务。信义义务的来源是网络用户因信赖平台组织而产生的信赖利益;而网络用户的规范治理能力推动其能够承担这一义务,满足可行性的要求;与此同时,网络企业的信义义务是对个人信息保护法的填充,能够互相搭配推动虚拟世界的有效治理; [
我国民法典1037条规定个人信息的查阅权、复制权、异议更正权与删除权,而在2021年11月通过的个人信息保护法中,对上述权力进行清晰的规定,同时增加数据携带权。所谓的数据携带权是指个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。这个概念欧盟《一般数据保护条例》草案中首次提及的。对于个人信息保护中,信息主体个人权利的细化界定与增设权利,深刻反映加强个人对数据的控制能力以限制信息处理者不当收集和适用个人信息行为的发生,符合以人为本的个人信息保护理念和三方平衡同时重点限制平台权力的利益平衡逻辑,也是未来个人信息保护领域的一大立法理念。
随着《个人信息保护法》通过并且于2021年11月正式生效,我国个人信息保护体系初步建立,打破了过往零碎化的个人信息保护立法,构建了多方位、多手段的保护机制。但是我国个人信息保护事业依然任重道远,在面向不断立法完善的未来,笔者认为把握个人信息立法的底层逻辑,是至关重要的。虽然随着社会实践的改变,具体的平衡逻辑会发生改变,但是清晰的底层逻辑之上,才能构建完整、有效、具备针对性的保护体系这是毋庸置疑的。
周承宗. 个人信息保护中价值衡量与利益平衡逻辑Value Measurement and Interest Balance Logic in Personal Information Protection[J]. 争议解决, 2024, 10(04): 347-354. https://doi.org/10.12677/ds.2024.104238