引 言
第十三届全国人大常委会第三十次会议表决通过的《中华人民共和国个人信息保护法》(下文简称《个人信息保护法》)涵盖了个人信息从收集到利用的整个处理过程的规范,将个人信息保护水平提升到新高度。
现有研究在思路上存在一些空白。首先,它们十分关注个人信息的财产权利面向,特别是在个体用户与数字平台之间如何有效利用个人信息的问题。例如,它们十分关注个人信息如何能经过“去标识化”被处理成为平台企业有能力控制和收益的财产性要素集合,并成为企业数据权的一部分,而较少讨论个人信息如何通过满足公共利益需求的方式被加以利用。
其次,偏重于私法层面的聚焦于个人信息处理行为规范的视角更倾向于将个人信息看成是一种给定的客观存在的客体,似乎法律只需要关注收集环节以后的行为规范。
第三,流行的“场景理论”在适用过程中十分模糊。
综上,本文的研究将针对上述三点进行回应和展开。首先,深入讨论个人信息的公共性面向,需要以某种制度安排更为有效地实现公共利益功能,而非实现单纯的私人利益秩序。其次,这些功能不仅反映在个人信息的处理过程中,也反映在生产和创制过程中,由此有必要将个人信息生产同更大的社会政治经济变化背景结合起来理解。例如,特定种类的个人信息实际上起源于国家的认证需求。第三,在方法论上超越场景化路径,采用功能视角进行分析,即看到个人信息的使用需要满足和解决数字市场和数字社会形成发展过程中的核心问题,确保数字要素有序流动,市场秩序安全稳定。例如,人脸信息属于敏感个人信息,但需要看到其承担了重要的认证功能,是社会身份制度的一个主要组成部分和延续,因此,强化相关保护在多大程度上会阻碍此类信息的生产和使用就会成为问题。
上述视角实际上也试图更宽泛地思考个人信息保护问题,即发掘个人信息在何种场景下能够更有效地得到利用,特别是以实现公共利益的方式被使用。本文将按如下顺序展开讨论:第一部分讨论个人信息除了能够汇集成为集合性的展示要素外,更具有基础设施维度的公共性特征,即特定种类的个人信息能够实现认证、连接和声誉功能,这些功能在高度流动的环境下对实现市场要素安全有序流通具有重要价值,也是数字经济价值产生的重要来源。第二到四部分分别对上述三个核心社会功能与个人信息的关联进行分析。第二部分讨论认证功能,即特定种类的个人信息如何被创制出来成为认证手段,从而确保市场和社会主体真实可信。第三部分讨论个人信息如何转化为抽象的网络公共资源,通过连接功能实现资源的优化配置。第四部分讨论个人信息如何通过披露、展示、评分等方式转化为声誉信息,辅助实现对数字市场更为有序的监管。最后,结语部分对本文的发现进行总结。
一、个人信息、数字基础设施与公共性
越来越多的研究认识到个人信息需要被整合起来才能发挥作用,但究竟如何整合、以何种方式发挥功能这些问题却较少得到讨论。
如前所述,现有个人信息保护立法倾向于将个人信息视为自然生成的或者既有的、固定不变的东西,而“处理”涵盖了从收集、储存到使用的诸多行为,但缺乏对信息创制维度的思考,也就是一种生产性视角的思考。实际上,个人信息是在特定法律关系中不断生产和再生产出来的,其生产和处理都依赖于市场基础设施和特定技术条件,从而不断变得有效率。例如,以往关于数据权属的争议也会围绕相关主体的劳动和技术性投入展开。生产性的视角提醒我们,从定义上看,个人信息仅仅说明某种信息单独或结合起来能关联到特定个人,但至于关联之后有何种后果,对该种信息在生成和处理过程中出现的利益相关方有何影响、如何分配相关权益等问题还缺乏深入探讨。功能视角有助于我们看到不同种类的信息能够达成不同的目标,在不断变动中朝向最终的公共利益的实现。
如果从信息本身特征而言,大致可以将个人信息分为展示性信息和辅助性信息,前者由信息主体生产,由数字平台汇集使用,如视频、文字、图片等,并能够通过账户关联到信息主体;后者则在功能上分为身份认证、连接匹配、声誉评价等核心制度,这些信息对于帮助维护数字经济和社会的有效运转十分重要。需要注意的是,这三类不同功能的信息在互联网产生之前的线下世界中就广泛存在,但只有在数字经济时代才得到重新发掘,具有更大范围内的价值。同时,个人信息大量出现之后,对个人信息保护的强调是否会冲击既有的功能和实践就成了一个问题。例如,传统认证信息在一个更加广阔的数字市场中可能更具有创造性,但同时也对个人信息的使用和保护提出了新的要求:在继续强调认证功能的前提下,如何更好地进行个人信息处理规则的设计?又如,传统社会中对社会主体的声誉评价一直存在,但只有在高度流动性的社会和市场当中,我们才需要基于个人信息且能将个人信息转化为数据产品的大规模社会信用或声誉评分机制,以满足现实生产和控制过程的需要。
从一个抽象层面讲,互联网在中国二十余年的商业化实践本身促成了市场和社会的重塑,也就是重新将隶属于不同生产组织和网络中的生产要素抽取出来并在更大范围内重新调配,形成稳固的新型交易与合作网络。在这一过程中,生产要素脱离了既有环境,欲使其在一个流动性更大的平台中实现价值,就需要一整套数字基础设施和信息系统配合实现这类流动过程。数字市场并非在真空中自然形成,而是依托既有生产网络和基础设施协同推进和演化,并需要各类辅助性机制提供支撑。通常意义上的基础设施功能在于确证市场参与主体的真实唯一身份,实现资源有效匹配,并确保要素能够有序安全流动。为实现这些功能,就需要整合进入该市场网络的主体信息加以利用,否则数字市场无法成熟稳定。例如,如果不能确认市场交易参与者的真实身份,就可能出现欺诈、造假、侵权等行为,而真实身份认证在行为架构上实现了最为基本的行为约束,为行动者提供了稳定预期。又如,如果缺乏对市场主体的历史行为的评价,未来就可能出现从事一次性交易的机会主义者,无助于在整体上改进行为主体的行为标准,而评分实际上是对行为主体过往行为与历史的评价,有助于生产要素面向未来进行精确匹配。
从历史角度看,新型数字基础设施至少包括支付、物流、认证、金融、纠纷解决、信用等系统性权力,并形成了制度规范。
从方法论角度看,数字基础设施的视角首先是生产性法律理论的应用之一。
本文的另一个方法论突破在于,帮助将“场景”细化为可分析的要点。如前所述,个人信息的场景化保护理论往往无法识别出特定场合下的核心特征,容易泛化成为包打一切的思维框架,无法分析究竟围绕何种功能要素展开对个人信息的讨论。虽然目前相关法律已经进行了普通/敏感个人信息、重要/非重要信息等区分,但这种传统分类无法加深对不同信息功能的理解。数字基础设施的视角让我们重新理解个人信息的应用场景和功能,这些功能往往具有公共性特征,并内在契合于一个高速流动的网络社会的形成过程。虽然在概念上我们可以分析某种信息是否属于个人信息,但这并不意味着只有个人能够决定该种信息的有效利用,也不意味着该种信息的生产只和个人有关。这有助于我们思考在数字环境下,某种特定信息如何和个人联系在一起或相互分离的法律机制。例如,国家设计和分发的号码只有关联到个人才能形成独一无二的身份认证信息,而且这种认证信息是不断变动的,在后续需要将其他种类个人信息(如生物信息)纳入这一过程的时候,需要综合认识该种信息的优势、技术成本和风险。
最后,这一视角还为保护公民个人信息提供了新的正当性证明。
二、认证信息的创设与使用
身份认证信息是一种十分特殊的个人信息,具有普遍性、唯一性和稳定性的特点,这种类型的信息起源于现代国家对主权范围内各类治理要素进行精确管理的需求,是由主权权力创设出来的,不完全归属于个人。对国家而言,主要存在两类可操作的身份标识符:第一种是国家为全体公民统一发放的唯一的令牌或号码,可以做到一人一号。
此外,认证信息除了一般性的个人基础身份标识符外,还包括其他证照、行业资质等广义的认证信息,这对于在电子商务领域里加强国家对市场主体的监管起到重要作用。换句话说,随着数字平台将原来散落在不同组织、网络和环境中的主体通过注册账户的方式纳入更广泛的系统,社会主体原来的次级身份就变得相对不重要,而普适统一的身份信息愈加有价值,而且必须以某种法律和技术方式被利用。一旦特定账户通过实名制方式得到验证,就不仅可以确保该账户的使用者是真实和唯一的,也可以确保在交易过程中的可信程度,有利于数字平台继续识别用户的偏好和多元身份,从而使交易变得安全和可预期。
传统上个人信息大致区分为敏感个人信息和非敏感个人信息,其中敏感个人信息采用列举式方式进行,并在处理程序中得到更加严格的限制。例如,《个人信息保护法》规定,个人信息处理者只有具有特定的目的和充分的必要性时,方可处理敏感个人信息。敏感个人信息是一旦泄露或者被非法使用,就容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息(《个人信息保护法》第二十八条)。基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定(《个人信息保护法》第二十九条)。特别来说,对作为一种特定种类生物信息的人脸信息,在使用过程中需要受到特别约束,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。被收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意的除外(《个人信息保护法》第二十六条)。
这帮助我们重新反思特定敏感个人信息的起源。从本文的逻辑看,认证信息的创设起源于国家治理,在国家提供公共服务的过程中被不断使用,并希望伴随国家治理能力的提升而增强。如果某种个人信息能够起到优质标识符的功能,就可能会被纳入身份制度。特定个人敏感信息在普遍性、唯一性和真实性维度都具有极大价值,符合成为身份标识符的要求。从这个意义上说,敏感个人信息不仅关系到个人人格,也产生于认证权力以及由此出现的认证技术。认证信息之所以需要得到特别保护,不是因为它属于某种个人敏感信息,而是因为认证信息使用的广泛性提升了该种信息的价值,一旦被泄露或滥用会给正常的公共服务认证功能带来混淆和干扰。
认证信息在早期主要是线下基础身份信息,即身份证号码或身份证件图像,该种信息完全由国家创设,并在公共服务过程中使用。但随着技术的变化,认证信息又是变动的,这意味着国家需要重新在数字环境下创设一整套全新的标识符,或者在现有其他类型的个人信息的基础上加以生成和改造。就前者而言,我国公安部第三研究所曾经尝试研发的eID是一个很好的例子,它是在身份证号码基础上以加密技术手段重新为用户生成作为公民身份的数字标记,并采取了一条硬件层面的发展路径,即将加密数据信息置于手机芯片或其他实体卡证的芯片中,将手机/卡片变成连接自然人主体和应用程序的可信中介。在理论逻辑上,eID更强调国家赋予自然人法定身份标识的前置程序,即“实体社会中自然人身份在数字空间的映射,是自然人在数字空间获取数字服务时代表其主体身份的数字标记的集合”,并清晰地构建了一整套数字身份的技术标准。
目前,《网络安全法》第二十四条规定,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。在互认过程中,国家实际上能够为数字市场和社会提供超越平台本身的认证服务,有利于生产要素的跨平台流动。但其并未与《居民身份证法》相衔接,也没能系统明确数字身份的法律地位。在此以前,在我国,数字身份仅仅依托《电子签名法》和相关网络实名制法规得到零散规定,
三、个人信息如何嵌入连接网络
个人信息转化为某种抽象的连接网络信息是第二类实现其公共性的方式。从互联网生产的角度看,要素连接和分发网络起源于传统生产网络和组织,并逐步打破和吸纳这些传统网络。
就传统而言,在诸如社交媒体这样的应用平台上,社交网络信息往往被认为是个人隐私信息。部分原因在于,个人私密行为和信息往往通过亲密关系链进行传递,处于一种和他人的关系当中,因此需要特定规范对此类亲密关系的性质进行认定,特定私密信息一旦在既有信息网络中“出圈”,就需要通过其他规范性标准(如合同和社会规范)认定亲密关系。
在连接网络的创设过程中,合规的个人信息处理起到十分关键的作用。个人信息处理本身就是一个虚拟身份再创造的过程,平台企业通过为账户设定的各类标签,沿着网络进行内容分发、匹配和推荐,甚至作出自动化决策,引导账户行为。《个人信息保护法》初步提供了两种方式,首先解决个人信息在处理过程中不被精确识别但允许生成连接网络的问题。首先,从用户外部角度看,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定(《个人信息保护法》第二十四条)。其次,从平台内部角度看,平台可以采取相应的加密、去标识化等安全技术措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除(《个人信息保护法》第五十一条)。如果结合前述认证信息分析,不难发现除了认证信息可以直接关联到个人唯一真实身份,大部分情况下个人信息都处于可识别状态,在现有技术条件下绝对匿名化处理很难实现,因此平台需要特定法定理由豁免确保其可以在一定程度上处理个人信息,纳入整个连接网络。目前,除了关联和识别标准,在司法领域也开始出现关于新标准的讨论,即关于特定信息重新结合识别所需的技术成本是否高昂以及评估平台是否有能力利用该信息识别个人身份。
信息网络真正发挥作用的方式是连接,即通过账户之间的访问与交易合作,将不同的社会主体和用户联系起来,无论该种网络是社交媒体网络、购物网络还是其他类型服务的网络,都会继续承载此类价值。“连接一切”曾经成为典型的平台经济意识形态,也成为主张技术中立和算法黑箱不受干预的根源。
相当多的研究主张,中国应当引入源于欧盟《一般数据保护条例》的数据可携权条款,认为这有助于推动基于用户自主选择的数据要素流动。
四、声誉信息的强制披露
能够转换为基础设施功能的第三类个人信息是声誉信息,也就是特定主体在社会网络中因特定行为而形成的声誉与口碑。这一做法在数字平台商业化之后就被广泛采用,例如电商平台、分享经济平台之上的评分系统不仅可以部分解决传统经济学上的“柠檬市场”问题,还可以帮助推动要素流动,甚至成为灵活劳动过程管理和控制的工具。
不难看出,此类声誉信息机制与个人信息生产紧密联系,并需要以特定方式强制披露。这些方式至少包括:其一,直接披露和展示,例如,交通部门拍摄十字路口违反交规人员的图像,进行公共展示,这更多地是传统法律执行中的“羞辱”行为;在统一平台上公布“老赖”个人基本信息,供相关利益主体查询;对违规艺人或主播进行全网封杀;等等。其二,间接披露,例如,建立各类专门数据库(如家暴、学术不端、违反师风师德行为数据库),供特定主体或行业群体以一定程序进行查询。其三,形成数据产品,例如,形成个人征信报告或社会信用评分等数据产品,允许社会主体查询并告知该个人,但不披露具体行为,等等。如果按照传统思维,根据平等主体之间的个人信息知情同意使用原则,就不会有人愿意主动披露影响其声誉对其不利的信息,这需要由特定公共机构通过法律关系将其转化为信息公共资源,进行强制披露,才能实现基于信息的柔性治理。
声誉信息相当于连接网络之外的补充和支撑性制度安排,因为连接网络本身无法帮助人们判断信息传递过程中的真伪。传统上,人们在通过网络接收信息时,需要验证对方的真实身份或者不同程度的相关身份,然后才决定是否继续合作或者交往,而判断对方是否可信的依据往往在于外在声誉的积累。连接网络本身的效能还取决于人们过去的交易次数和质量,以及第一次是否有意愿进行接触等外在动力。如果没有这种公开披露的公共信息,很多基于风险厌恶的新交易网络就无法建立起来。因此,这种公共信息必须以某种强制方式进行生产,而非自愿生产,并且通过一定的统一渠道和标准加以应用。和认证信息一样,何种个人信息能够被转化为声誉信息也是经常变动的,经过一定的法定程序认定就可以增加至特定的名单或数据库,从而影响特定的社会行为。例如,《全国公共信用信息基础目录(2021年版)》就列举了11项应当纳入公共信用信息范围的信息和4类应当依法审慎纳入的信息。影响特定个人信息能够被转化为声誉信息的主要考虑因素包括:该种信息的生产成本和技术普及情况;该种信息是否具有一定的普遍性;该种信息能否起到声誉作用,并能够潜在影响人的行为等等。
声誉信息和连接信息一样,都强烈地依赖于特定交往、合作与交易场景,并产生于连接网络。因此,在特定平台上生成的特定声誉信息会带有较强的地域色彩。不同平台完全可以开发出互不兼容的评分标准,并引导用户调整其行为,这就意味着某些声誉或评价一旦脱离了特定平台网络就丧失了其价值。如果和上文讨论的数据携带权结合起来看,就不难发现,即使基于个体用户的数据转移选择是安全有序的,仍然无法确保同样的数据在另一个竞争性平台上获得原有价值,这就抑制了社会主体转移个人信息的意愿和动力,因为这意味着数据转移之后价值很可能降低,或者至少没有能够反映出社会主体的历史行为和价值,甚至因为信息不对称而为新环境带来了潜在的合作风险。因此,如果希望大量生产要素进行跨平台转移,就必须统一相关评价标准,在要素转移过程中也需要特定种类的个人信息及其评价的声誉信息一并进行转移,才可能提供充分的激励推动要素流动,而不简单是赋权的问题。这种思路也可以通过数字平台之外的中立公共机构加以引导,将特定种类的基于大数据分析形成的声誉数据产品通过成立合资企业的方式进行技术和应用层面的整合,引导不同平台生态系统之间的数据融合,才有可能逐步实现更大范围内的流动性。
结 语
包括《个人信息保护法》在内的个人信息保护法律规范并不特别关注信息生产问题,但历史表明,整个网络法处理的核心问题一直都是信息生产和要素来源的合法性与效率问题。
本文的讨论是多层次的,主要分析了个人信息如何从单纯满足私人利益转向实现公共利益的三种情形,但没有穷尽所有情形。作为例证,这三种情形实际上体现了信息的特定功能,目的都在于确保生产要素安全有序流动,增加交易数量和整体价值。现有围绕个人信息或企业数据进行权属划分的讨论往往忽视了公共利益维度,为了确保广泛的市场和社会有效运作,就需要不断将个人生产的信息转换为公共信息,帮助生产要素不断流动,使在整个系统中活动的参与主体和生产要素获益。因此,个人信息的生产性维度能够被带回到学术讨论,并在此基础上强调个人信息的公共性,还涉及大量的公共和私人机构的合作面向。本文对各类信息公共性的讨论也各有侧重:在认证功能部分,主要强调了国家对创制认证信息的主导性,以及该种信息如何更好地服务社会和市场。在连接功能部分,主要从私人平台角度分析用户个人信息如何被转化为抽象的基础服务,且有利于提升整个市场的效率。在声誉功能部分,分别讨论了私人和公共机构如何将个人信息转化,用以判断交易安全和可信程度,这不仅有助于执法过程,也是一种柔性的生产组织方式。
本文一定程度上还对公共性的抽象内涵进行了重新探讨。在数字平台产生之后,将公共和私人机构完全分开,并把公共机构的行为作为公共性的唯一内核,可能无法完全反映现实变化。事实上私人主体主导的公共性同样存在,是公共性实现的一个过程,因为其搭建的数字基础设施有利于数字市场上的要素流动,并承担了相当的公共功能,和公共机构主导的公共性难以完全区分开来。由此,重要的问题不是继续在法律层面区分和固化公私界限,而是从后果看公私合作如何有助于将个人信息作为私人生产要素转化为有利于更加广泛公共环境的要素,并进一步探索如何将现有特定封闭的数字市场贯通连接起来。从这个意义上说,重要的问题并非对生产要素确权,而是从系统的角度使生产要素能够服务于更好的市场机制。围绕公共性的探讨还有助于我们理解在特定信息功能中如何分配权益的问题。传统场景理论无法为特定场合下数字权益的分配提供进一步的指引,而个人信息的生产过程则需要考虑特定个人信息被生产出来的目的和功能。如果允许个人对与其相关的信息拥有更强的控制力,则无法形成公共资源池加以有效利用。类似地,那些实现市场有效运行的系统同样需要个人信息不断转化和得到维护。
最后,本文也没有单纯从要素本身的行为规范入手进行讨论,目前大部分针对平台封禁和垄断行为的治理工作和政策仍然集中在防止平台二选一、
(本文为文章摘录版,如需引用,参阅原文)
来源:《法制与社会发展》2021年第5期