许可:个人信息治理的科技之维

许可

    内容摘要:在个人信息保护法出台的背景下,重新构想科技与法律之间的关系,可谓总体回应数字时代个人信息危机的重要一环。作为国家、企业、个人三方权益汇聚之地,个人信息研究必须超越传统的“规制—权利”思维,迈向国家法律、信息科技、市场竞争和社群规范的个人信息治理体系。在诸多系统中,信息科技居于优位。一方面,它以“合规科技”的面貌,凭借“经设计的治理理念”,将国家法律的原则和规则转化为个人信息生命全周期的科技保护;另一方面,它以“赋能科技”的面貌,通过降低法律执行成本、当事人交易成本,甚至改变法律的“假定条件”,赋能各利益相关方。为此,法律应合理解释个人信息“匿名化”构成要素,认可“去标识化信息”的法律意义,从而使信息科技与法律彼此协调,共建激励相容的个人信息治理体系。
    关键词:个人信息治理 个人信息保护法 治理科技 合规科技 赋能科技 匿名化
    中图分類号:DF529文献标识码:A文章编号:1674-4039-(2021)05-0057-68
    经过近20年的酝酿,个人信息保护法终于在2021年8月20日审议通过。〔1 〕个人信息保护法外引域外立法智慧,内接本土实务经验,从宪法第38条“中华人民共和国公民的人格尊严不受侵犯”的“个人尊严条款”出发,熔民法典“个人信息权益”的私权保护与“个人信息处理”的公法监管于一炉,统合私主体和公权力机关的义务与责任,兼顾个人信息保护与利用,奠定了我国网络社会和数字经济的法律之基。不过,徒法不足以自行,如何建立激励相容的制度框架,实现个人信息保护法第1条所宣示的立法目标,仍有待更深入和更细致地研究。〔2 〕笔者从法律与科技的双重视角出发,重新构想数字时代科技与个人信息保护法之间的关系,探索两者相辅相成的个人信息治理之道。
    一、信息科技与个人信息治理的一般框架
    信息科技和个人信息的纠葛由来已久。长期以来,信息科技都被看作个人信息权益的“破坏者”。但事实上,在个人信息治理的架构下,一旦将信息科技和治理相结合,就能转为个人信息“治理科技”,成为个人信息保护中“优位者”。
    (一)信息科技:个人信息权益的“破坏者”
    回顾历史,个人信息保护法的演进始终与信息科技的发展密不可分。19世纪末,电报通信、便携式照相机等新兴技术引发了人们对隐私的忧虑。当传统熟人社会的私密信息经由便捷的信息传播途径进入大众传媒、公众评论的陌生人语境,普通法的“保密原则”便不敷适用, 〔3 〕一种保卫私生活的对世权利——隐私权就此诞生。〔4 〕随着20世纪60年代大型计算机和中心化数据库的出现,个人信息的收集、存储和使用方式被彻底改变。1973年,美国健康、教育和福利部(HEW)在《记录、计算机和公民权利》报告中指出:个人必须越来越多地将自己的信息提供给大型的、相对匿名的机构,由陌生人处理和使用。有时,个人甚至不知道有这样一个组织保存着关于他的记录,他往往看不到这些记录,更不用说质疑其准确性、控制其传播或质疑其使用。〔5 〕该报告所催生的“公平信息实践准则”,构成了全球个人信息保护的思想渊源与基本框架。〔6 〕在计算机日益普及的背景下,德国于1977年制定防止数据处理过程中滥用数据法,欧洲委员会于1981年通过个人数据自动化处理保护公约(“108号公约”)。从“隐私”到个人信息/数据的范式转变,可谓“山川异域,风月同天”。20世纪90年代,互联网技术成为全球信息和通信的核心媒介,电子商务、电子政务、搜索引擎、互联网广告蓬勃兴起,个人信息处理者从之前的政府机构逐渐向企业延伸,处理目的也从行政管理转向了商业活动。1995年,欧盟议会与理事会制定关于涉及个人数据处理的保护以及数据自由流通的第95/46/EC号指令(以下简称《数据保护指令》),开启了个人信息保护的2.0时代。
    21世纪以来,大规模应用的电子监控、web3.0的人机互动、移动互联网的实时在线、穿戴式的嵌入装置,连同大数据、人工智能、物联网、云计算、区块链等新一代信息科技,使得世界的人、事、物都在加速数字化,这不仅给个人信息保护带来严峻挑战,也重塑了个人信息保护制度。2010年,欧洲委员会关于数据保护和隐私的第3号决议洞见到了这一历史性变化,并指出,信息科技令观察、存储和分析大多数日常活动成为可能,而且比之前更加容易、迅速、隐蔽,除非有完善的数据保护标准,否则必将损害人的基本自由。作为制度回应,从2010年到2019年间,共有62个国家起草了新的个人信息保护法。到21世纪20年代末,将会有超过200个国家或地区拥有个人信息保护法。〔7 〕
    从“监控国家”到“监控资本主义”,与工业时代对科技的乐观想象不同,当代人眼中的信息科技往往是阴暗和危险的。这种将科技视为对隐私和个人信息权益威胁的观念,迫使立法者不得不拥抱变化,通过法律和监管的不断迭代,为个人提供与时俱进的保护,我国个人信息保护法正是这历史潮流中的浪花一朵。然而,信息科技是否只有一面?
    (二)信息科技:个人信息保护的“优位者”
    信息科技并不可怕。正如联合国数字技术的影响报告所言,通过增强连通性、金融包容性、获得贸易和公共服务的机会,信息科技可以加速实现17项人类可持续发展目标中的每一项,从而帮助世界变得更公平、更和平、更公正。但毋庸讳言,信息科技的确引发了越来越多的个人信息风险。从风险治理的角度观察,在复杂和不确定的环境中试图通过权利赋予或行为规制的单一方式来化解因信息科技引发的个人信息风险,可能事倍功半。因而,需要重新构想信息科技与个人信息保护的关系,综合所有可用的方法、策略和工具,建立一个协调风险治理中各种要素和参与者的“个人信息治理”和“个人信息保护系统”,这远比个人信息权益更重要。〔8 〕
    在本文中,笔者将“个人信息治理”界定为政府、企业、公民、行业协会、技术社群等各利益相关方围绕“个人信息”所开展活动的程序、结构和决策结果。在治理主体上,它是一种公私合作且持续互动的组织形式;在治理工具上,它将国家法律、信息科技、市场竞争和社群规范均囊括其中; 〔9 〕在治理目标上,它将信息主体的个人信息权益保护和信息处理者的个人信息利用作为并行的二元目标。信息科技在个人信息治理中的积极作用,首先源自信息科技作为通用技术的兼容性,从而可以服务于截然不同的目标。〔10 〕更重要的是,个人信息从收集到删除的整个生命周期,都必须依托信息基础设施以及经编程的指令、代码与算法。就此而言,信息科技构成了个人信息的微观架构,对个人信息处理活动发挥着实质上的规制作用。网络空间中发生的任何事件和行为都是“0”和“1”的集合体,涉及个人信息的任何行为只有遵循相应的信息科技规则才能得以表现,否则只能成为没有任何意义的“乱码”。信息科技在网络空间中的主宰性, 〔11 〕使其有可能摆脱刻板的“破坏者”印象,成为推动个人信息善治的重要力量。
    尽管“个人信息治理”为信息科技的引入提供了制度空间,但却没有充分阐明它与其他治理工具的关系。对此,“个人信息保护系统”理论进一步将“信息科技”置于个人信息保护的优先地位。就像“风险社会是现代性的自反性后果”这一经典命题所揭示,用以防控科技风险的法律有时恰恰是风险生产的诱因。因此,与其外在于信息科技去消弭其风险,毋宁反求诸己,寻找信息科技的自我规制之道。在复杂理论看来,信息科技是一个有机生命。一方面,它是自我组织的,可以通过某些简单规则自行聚集起来;另一方面,它是自我创生性的,能够依据所面临问题自行调适与迭代。〔12 〕纵观过往,当一个新的技术进入社会,它会召唤出新的组织、经济和社会模式,这反过来会引发新的问题,新问题的解决又要诉诸更新的技术,这就是“信息科技的演进”。在“问题与解决—挑战与回应”的逻辑下,因技術进步带来的个人信息风险,亦可以通过技术进步来化解,此即“解铃还须系铃人”之真义。在系统论的关照下,国家法律、信息科技、市场竞争和社群规范属于不同的子系统,奉行不同的二值符码,而风险的发生,根本上是由于功能系统之间缺乏共振,一种系统的运作无法在另一种系统中造成预期的影响。〔13 〕面对“科技系统”与“社会系统”的冲突,“风险预防原则”成为法律系统的可能选择,“风险预防原则”一方面承认法律对风险的“无知”,另一方面却又利用国家权威予以问责。故只有科技可能危及生命权、健康权、国家安全等重大法益,造成大规模灾难性后果时,才有适用余地,该原则苛刻的前提条件令其难以用于个人信息保护,这不但由于个人信息权益并非上述绝对性人身权,而且因为个人信息处理有助于包括个人在内的社会福祉提升,而禁止改善人们处境本身就是一种伤害。法律系统直接介入的困难要求我们在“个人信息保护系统”中,确立“科技解决方案”和“如果还能用就不必修补”的基本原则。〔14 〕
    (三)治理科技:信息科技与个人信息治理的耦合
    作为Govern和Technology的合成词,“治理科技”(GovernTech)将“科技”和“治理”有机结合,通过将创新性技术应用到现有治理过程中,达成更有效的风险识别、风险衡量和风险治理要求。有别于常见的“监管科技”(RegTech), 〔15 〕“治理科技”以“数字治理”为基,以“整体治理”和“网络治理”为面向,重塑敏捷性和适应性的治理。〔16 〕
    治理科技是整体性治理,即以信息科技为依托,以民众需求为导向,以协调、整合、责任为治理机制,对治理层级、功能、公私部门关系及信息系统等碎片化问题进行有机协调与整合,不断从分散走向集中、从部分走向整体,为民众提供无缝隙且非分离的整体型服务的政府治理图式。〔17 〕从此出发,治理科技主张通过数据共享、内部信息系统互操作推动逆部门化和逆碎片化, 〔18 〕拆除不同职能部门、不同地区之间的藩篱,践行“一致性执法”和“一站式监管”。我国个人信息保护法第六章中“履行个人信息保护职责的机关”纷繁芜杂,既包括国家网信办、工信部、市场监管总局、公安部等中央职权机构,也包括中国人民银行、银保监会、卫健委等行业主管部门,还指向了县级以上各个地方政府。面对个人信息监管“九龙治水”、政出多门的痼疾,中央层面应强化国家网信部门协同能力,在统筹协调具体规则和标准制定的基础上,借鉴“欧盟数据保护委员会”(EDPB)的经验,利用指南、建议、意见等政策工具,监督其他机关依法行使个人信息保护职权,确保执法环节中法规的统一适用,必要时可开展联合调查和执法。〔19 〕地方层面应依循个人信息保护跨地域、在线化特性,从分散管辖转向集中管辖,由被监管对象主要营业地的地方政府承担主体责任、享有监管主导权,以简化政府流程并提升科学决策能力。〔20 〕
    治理科技是“网络治理”,即以信息科技为纽带,政府发挥领导组织作用、各利益相关方共同参与的稳定性多组织治理图式。〔21 〕作为横跨多系统的网络化结构,治理科技从“社群标准”开始,经由市场认证,
        
    达致政府认可,由此建立“标准—认证—认可”三位一体治理。〔22 〕与法律规则功能一致的技术性标准立基于制定主体之间的协商一致性,在适用中兼容公和私、一体和差异,从而与“多中心”网络治理思路合若符契。为此,先有行业组织倡导、推广技术标准,以此作为企业合规基线,然后借助第三方认证机构加以落实,最后通过监管机构的法律认可,确保其权威性和可执行性。我国数据安全法第9、10、17、18条便体现了上述思路,确立了以政府部门、行业组织、科研机构、企业、个人为主体,以技术、标准、认证为要素的数据安全治理体系。与之相比,个人信息保护法固然包含标准、认证的表述,但缺乏对个人信息保护技术作用的支持和肯定。同时,其将个人信息保护标准制定权限于国家网信部门,忽略了行业组织形成行为规范和团体标准的价值与功能,这些不足尚待后续填补。
    在治理科技的架构下,“信息科技优位”一体两面:一面以“合规科技”的面貌成为落实法律规制的高效工具,一面以“赋能科技”的面貌成为补充或取代法律规制的最佳实践。
    二、合规科技:经设计的个人信息治理
    将国家法律化为信息科技是“合规科技”的重要功能。不过,有别于“法律代码化”的路径,本文将科技和法律均纳入“经设计的个人信息治理”框架,通过治理价值与原则统合两者,并借此对我国个人信息保护法进行再阐释。
    (一)从“法律代码化”到“经设计的治理”
    令行禁止是立法者的永恒追求。马克斯·韦伯曾设想一种令法律自动运行的司法机器,堪称形式主义法治的完美形式。〔23 〕事实上,这一畅想只有凭借信息科技的助力才能成为现实。1983年,龚祥瑞教授与时任北京大学法律系讲师的李克强在《法律工作的计算机化》一文中指出:“一场计算机化运动正在逐步遍及几乎所有的行业。法律工作的实践性很强,它所涉及的大量的资料和情报都可以由电子计算机进行数据处理,无疑具有运用计算机技术的现实可能性。” 〔24 〕受益于计算机技术的突飞猛进,“计算法律学”自20世纪70年代起浮出水面,其旨在将法律表达为刑事化的计算机语言,用以理解法律文本和法律推理。近年来,在大数据、区块链、人工智能、认知计算的推动下,计算法律学迅速迭代。〔25 〕新一代计算法律学以“法律就是代码”为中心,将代码作为直接执行规则的手段。
    法律代码化并非没有瑕疵,其在技术上和理念上均面临重大挑战。在技术层面,将模糊的法律“湿规则”转换为精确的技术“干规则”,必然以丧失法律灵活性或无缝隙性为代价。而要克服代码局限性,就要使用动态的、具有适应性的程序,利用机器学习(ML)训练、验证和测试,触发出原有规则的新解释。然而,这一技术努力不但无法完全消除代码“坚守历史、冻结未来”的窒碍,还会陷入算法黑箱和歧视的困境。〔26 〕不仅如此,实践中的智能合约和智能规制并不“智能”,它们依赖于人类外部提供的信息,并存在误判和漏洞。〔27 〕在理念层面上,代码化法律或可满足“如果……那么”的条件式纲要,却无法满足“为了……而”的目的性纲要, 〔28 〕这使之难以从规范目的出发解释和适用规则,在根本上削弱了法律决定的正当性基础。不惟如是,通过代码的规制还规避了公法上的权力制衡和私法上的权利保障,由此遭至损及公平、透明度以及正当程序缺失的批评。
    如欲改进“法律代码化”,就要重新思考法律和信息科技的关系,摒弃将法律“翻译”成代码的做法,转而将法律看作治理环境下的要素之一, 〔29 〕其可以独自也可以通过技术发挥作用。但无论如何,它都要体察和回应信息基础设施及代码对法律的影响,并经由“设计”嵌入被数据和算法驱动的环境之中。这里的“设计”意指在治理原则和法治原则下,各利益相关方共同进行的制造、构建、组装治理环境的建设性工作,一种融技术、标准、程序、制度于一体并指向未来的社会筹划。〔30 〕这一“经设计的治理”观念所强调的不是遵从代码,相反,其应确保在治理架构应包含法律保护,以防止偏见、侵犯隐私、不可理解的决定、不可靠的评估和违反司法公正的情形。〔31 〕
    (二)经设计的个人信息治理:原则与实践
    将“经设计的治理”运用于个人信息治理之中,铸就了“经设计的个人信息治理”制度,其包含如下原则与实践:
    1.将个人信息保护价值融于设计
    一如“经设计的治理”“经设计的个人信息治理”并非对法律规则的生硬转译,而是延续“价值导向设计”思想, 〔32 〕在整个设计中以原则性的、综合性的方式考量如下基本价值: 〔33 〕
    “公平”是个人信息保护的首要价值,要求处理者不得对个体造成不合理的损害、非法歧视或误导,其关键设计和默认元素包括:(1)自治:信息主体应被授予高度自治以决定其个人信息的处理目的、范围和方式。(2)互动:信息主体能够就其权利与处理者沟通并行使。(3)期望:处理应符合信息主体的合理期望。(4)非歧视:处理者不得不公平地歧视信息主体。(5)非掠夺:处理者不应利用信息主体的需求或弱点处理信息。(6)消费者选择:处理者不应以不公平的方式锁定用户。(7)风险不得转移:处理者不应将其风险转移给信息主体。(8)不得欺诈:信息和选项应以客观、中立的方式提供,避免任何欺骗性或操纵性的语言或设计。(9)道德:处理者应考虑对个人权利和尊严的更广泛影响。(10)真实:处理者应该按照其声明行事。(11)人为干预:处理者必须纳入合格的人为干预,以揭示机器偏见。(12)公平算法:定期评估算法是否符合目的并适时调整以确保处理的公平性。
    “透明”是个人信息保护的形式价值,消息处理者必须清楚披露他们如何收集、使用和共享个人信息的活动信息,其关键设计和默认元素包括:(1)清晰:应使用简洁明了的语言。(2)语义:对听众而言,交流应该有明确意义。(3)可访问性:信息应易于访问。(4)语境:信息应在相应时间以适当的形式提供。(5)相关性:信息应该与特定信息主体相关。(6)易于理解:信息主体能够合理理解对其个人信息处理的期待,特别是当数据主体是儿童或其他弱势群体。(7)多渠道:信息应该通过不同渠道提供,而不仅仅是文本,以增加信息有效到达信息主体的可能性。(8)分层:信息应当适当分层,以解决“信息完整性”与“信息可理解性”之间的紧张。
    “合法”是个人信息保护的底线价值,处理者应确保处理具有合法性基础,其关键设计和默认元素包括:(1)区分:用于各个处理活动的法律依据应有所区分。(2)特定目的:适当的法律依据必须与特定处理目的相关联。(3)必要性:就处理目的而言,处理必须是必要且无条件的。(4)自主:消息主体应在法律依据的框架内控制个人信息。(5)获得同意:同意必须自愿、具体、知情和明确。应特别考虑儿童和青年的能力提供知情同意。(6)同意撤回:在同意是法律依据的情况下,应确保撤回同意的便利。(7)预先确定:应在处理发生之前确立合法性基础。(8)停止:如果法律依据不再适用,处理应相应停止。(9)调整:若处理的法律依据发生有效变化,则处理必须根据新的合法性基础予以调整。
    在公平、透明、合法等价值外,“经设计的个人信息治理”还要遵循“以人为本”(HCD)的设计原则。HCD主张将“人”放在任何系统的中心,从人们的需求、兴趣和能力出发,通过直接与人们接触来评估和理解人类,以提供可用和易于理解的产品和服务。〔34 〕HCD本质上是法学、信息科学、心理学、认知科学、人类学、人机交互的跨学科实践。因此,个人信息保护治理的设计者应尽可能广泛,以涵盖用户体验设计师、视觉设计师、交互设计师和信息设计师等,从而保证将用戶的需求和限制置于任何设计的最前沿。
    2.将个人信息保护作为主动设计
    “主动而非被动,预防而非补救”是“经设计隐私”的核心思想。经设计的个人消息治理同样倡导在可避免的情况下,防患已未然,而不是坐视个人信息的风险不断攀升。为此,其主张,处理者应尊重信息主体的基本权利,并且实施适当的措施和保障措施,处理者从产品或服务开发前期开始就应保障合规团队与开发、设计团队相互合作,在设计伊始即考量产品、服务涉及的个人信息保护问题。处理者应当在能达到相同效果的各种作法之中,将较能保护个人信息的做法列为预设机制,使之在各种业务实践和IT信息系统中,得以受到系统的“自动”保护。换言之,处理者应当建置一个用户友好型环境,即便用户没有特地采取自我保护的行为,其个人信息权益亦不致受到侵害。例如,苹果的iOS14隐私新规要求App开发者需要通过“应用追踪透明框架”获得用户同意,才能使用设备IDFA(苹果广告标识符)对用户进行广告追踪。这一修改相当于将“默示同意、明示退出”机制更改为“明示同意”机制。与此相较,之前Do not Track(DNT)隐私规则要求在网络浏览器中设置 DNT,即在其对网页的请求中添加一小段代码:DNT=1,只有在用户主动选择开启DNT后,网站才不能在设备上放置或阅读广告的Cookie。〔35 〕处理者应在事前设想可能的不利情况,并加以积极应对,而不是在个人信息侵害成为既成事实后,才讨论责任归属与赔偿方案。
    3. 将个人信息保护嵌入全生命周期
    为进一步落实主动设计理念,“经设计的个人信息治理”要求将“个人信息保护”作为治理环境的核心要素,成为产品、服务、管理流程中不可或缺的组成部分。为此,个人信息保护应当是一连串的行动,从信息收集、存储、传输,到信息分析、加工,再到信息向第三方提供和最终删除,所有处理活动都应事先有完整规划,将保护延伸到个人信息整个生命周期,从而实现端对端的安全。
    信息科技在个人信息全生命周期保护中发挥着重要作用。在信息收集环节,为满足合法正当、目的明确、最小必要、公开透明的要求,数据溯源、数据标注、数据可视化、数据安全分级标记等成为可用技术。在信息存储环节,为信息安全目的,可采取信息源加密、透明存储加密技术,为兼顾个人信息存储时的数据可用性,采用数据灾备、纠错编码等数据容错技术对信息密度高、访问频次高的数据进行存储保护和可靠访问。在信息传输环节,为保障保密性、完整性和可信任性,宜使用散列加密、对称加密、非对称加密等加密传输技术,为验证信息传输人的身份,还需要使用数字证书技术。在个人信息使用环节,为防范违法使用、未经授权提供、信息泄露等问题,常采用数据访问控制、监控审计、共享审查等技术。在个人信息删除环节,除消磁法、粉碎法等硬销毁的方法外,将无意义、无规律的信息反复多次覆盖硬盘上原先的存储数据,从而无法恢复原始数据的“数据覆写”是典型的技术形式。
    (三)个人信息保护法的再阐释
    尽管我国个人信息保护法并未明确“经设计的个人信息治理”,但第51条规定在比较法上源自欧盟数据保护指令第17条第1款“成员国应当规定数据控制者必须采取适当的技术措施和组织措施来保护个人数据以防止它们被意外或非法毁灭或意外遗失、变更、未经许可披露或访问”以及GDPR第25条第1款“考虑到行业最新水平、实施成本及处理的性质、范围、目的和内容以及处理给自然人的权利与自由造成的影响,数据控制者应当在决定数据处理方式以及进行处理时以有效的方式采取适当的组织和技术措施,并实施必要的保障措施以符合本条例要求,保护数据主体权利”,可作类似解释。质言之,在第51条的规范目的上,可以从狭义的“个人信息安全”拓展到“个人信息权益和价值”;在第51条的时空范围上,可以覆盖系统、服务、产品的设计阶段以及全生命周期;在第51条的义务要求上,可以将“必要措施”界定为技术手段、组织形式等所有治理要素。
    一旦将“经设计的个人信息治理”引入,就可以更深入地理解个人信息保护法。首先,“经设计的个人信息治理”弥合了个人信息保护法可能的逻辑断裂。梳理个人信息保护法,容易发现其第二、三章为“个人信息全生命周期规制”,第四、五章则为“权利—义务规范结构”,前者侧重于精细化的事先管控,后者侧重于灵活性的事后调整。但另一方面,前者可能因未知科技引致的环境变化而无从应付,后者也可能因规范过于抽象而戕害了确定性。对此,“经设计的个人信息治理”将“信息主体权利”注入到个人信息全生命周期之中,充实告知、同意、保存、使用、自动化决策和境外传输等处理规则,细化“信息处理者义务”,有效平衡了法律的可预期性与适应性。其次,“经设计的个人信息治理”有助于从主动设计的角度把握第55条的“个人信息保护影响评估”,将之视为协助处理者提前识别、界定、最小化系统可能风险的工具。〔36 〕更重要的是,保护影响评估本质是“个人信息安全工程”的一部分,只有在信息科技的工程实践中才能把握其流程。最后,“经设计的个人信息治理”为第54、64条“合规审计”的搭建指明了方向。作为对处理者履责情况的鉴证和监督, 〔37 〕个人信息处理的合规审计有赖于汇聚海量数据的审计平台,收集、分析IT资源中设备和应用的日志,开展即时跟踪、持续监控和适时报警。未来,可应用流程自动化机器人(RPA),整合不同系统数据,将重复的作业程序自动化,并定期与监管机关共享,达成视觉化、互动式的精准合规,以解决监管机关的信息不对称问题。
    三、赋能科技:平衡个人信息保护与利用
    如果说“合规科技”意在强化国家法律监管,那么“赋能科技”就是通过隐私增强技术为信息主体和处理者积极赋能,实现个人信息保护与合理利用的平衡。但是,科技并不能直接生成权利,我国个人信息保护法是否以及如何接纳赋能科技,则是问题的关键。
    (一)从“代码即法律”到“赋能科技”
    科技并非中立。早在20世纪80年代,人们就已认识到信息科技内在的政治性,因为其能够促发、支持、强制、抑制或排除特定行为。〔38 〕质言之,鉴于科技本身就带有使用者如何行动的说明书,其使用过程就是影响用户知觉和行为的过程。随着Joel Reidenberg“信息法制”和Lawrence Lessig“代码即法律”的提出, 〔39 〕代码因所具有“大规模定义和塑造行为模式”能力,逐渐被视为网络时代的法律。2008年以来,助推理论为之提供了行为经济学的依据。根据该理论,信息科技不是采用理性说服方式来改变人的态度,而是通过“选择架构”中非理性、无意识的要素使人们趋向于预期方向。〔40 〕在收集信息、制定目标和改变行为的三个阶段中,大数据分析、算法决策指导技术,挖掘和显著化数据项之间相关性,以此引导人的注意力并作出最终决定,这种基于信息科技、动态化且普遍有效的助推,被称为“超助推”。〔41 〕晚近,利用区块链生成的代码,令人们任意选择和实施自定规则,创制习惯法体系变得更加简易可行,“链之以法”成为代码应用的新领域。〔42 〕
    然而,代码毕竟不是真正的法律。首先,代码是自动执行的规则,其依赖于行为人的自觉或不自觉地实际遵守,就此而言,代码仅有社会学上的有效性,而缺乏法律和伦理上的有效性。〔43 〕其次,代码并非自给自足,正如法治背后是法律人之治一样,代码背后是代码作者——“码农”之治,无论他们是否意识到,在设计阶段其价值就镌刻到了最终的产品上,而这可能危及了法治的民主根基。最后,代码可能与法律相互冲突,参与者可以借此“乘间伺隙”,故意剝夺法律权利、规避法律义务。〔44 〕正因如此,Lessig在2006年指出,“代码即法律”的真实含义是代码类似于法律,并不意味着“代码=法律”,就像飞机的构造不是法律一样。〔45 〕故而,如欲发挥信息科技的优位作用,就必须回归“个人信息治理”, 将法律价值融入其中,使之成为法律相辅相成的“赋能科技”。
    所谓“赋能科技”,意即提升一方或多方治理主体的权利或能力,进而提升治理总体绩效的科技。〔46 〕较诸“合规科技”,赋能科技具有如下特征:(1)合规科技以个人信息保护为目标;赋能科技则以个人信息保护与利用平衡为导向,通过“正和双赢”而非“零和博弈”的方式,破除虚假二分法的假象。(2)合规科技主要面向监管者,强化监管的有效性和高效性;赋能科技则主要面向信息主体和处理者,回应各方关切。(3)合规科技是法律最佳的仆人,必须严格服从法律原则和规则;赋能科技则是法律最佳的搭档,通过降低法律执行成本补充法律,或者通过降低当事人之间的交易成本替代法律,甚至改变规范的“假定条件”而使之不再必要。
    (二)个人信息治理中赋能科技的实践
    赋能科技可追溯至20世纪70年代,当时为应对信息科技对隐私的挑战,“隐私增强技术”(PET)应运而生,最初其专注于身份保护以及在不丧失系统功能的情形下最小化信息收集与处理。随着时间推移,加密工具、隐私保护分析技术、数据管理工具等技术相继涌现, 〔47 〕并进一步发展为“软PET”和“硬PET”。〔48 〕“软PET”旨在帮助个体就其与处理者共享个人信息與否,作出更好的决策,包括cookie管理工具、隐私仪表板、“人工智能卫士”等,后者如识别个人信息滥用并予以反制的“人工智能审查员”,或者代表个人隐私偏好的“人工智能代理人”。〔49 〕“硬PET”旨在利用复杂技术降低错误信任第三方的风险,蓬勃兴起的“隐私计算”正是其典型。“隐私计算”试图在不提供原始数据的前提下,分析计算数据,实现个人信息流通与融合过程中的“可用不可见”。依技术原理的差异,它可划分为如下三类:
    其一,明文算法增强技术。该技术利用明文数据变换保护原始数据,包括但不限于数据脱敏、差分隐私和联邦学习。其中,“数据脱敏”通过一定规则对信息进行变形、屏蔽或仿真处理,消除其在原始环境中的敏感信息;“差分隐私”采取增加噪音等统计学方法转化并隐藏原始数据;“联邦学习”系一种分布式机器学习方法,其将原始数据转化为中间参数,以便让多个互不信任的参与方通过梯度或参数交换协同训练模型,而不交换原始数据。其二,基于硬件的可信执行环境。该技术立足于硬件机制的物理隔离,在计算过程中,数据以加密形式进入执行环境,只有经授权的应用程序才能予以解密,确保敏感数据在可信环境中存储和处理。其三,基于密码学的隐私计算技术。该技术利用安全算法和协议,将数据加密转化后对外提供,任意一方都无法接触到他方的明文数据,多方安全计算(Multi-party Computation,MPC)是其重要代表。
    MPC理论首先由图灵奖获得者姚期智教授在1982年“百万富翁问题”中提出:两个争强好胜的富翁Alice和Bob在街头相遇,如何既不暴露各自财富又能比较出谁更富有?对此,MPC允许互不信任的多个数据持有者各自输入数据,输出计算结果,并保证任何一方均无法得到除应得的计算结果之外的其他任何信息。MPC可广泛用于:(1)数据可信交换。MPC为不同机构之间构建协同计算网络中的信息索引、查询、交换和数据跟踪的统一标准,实现机构间数据的可信互联互通。(2)数据安全查询。MPC一方面保证查询方仅得到经授权的查询结果,对数据库其他记录信息不可知;另一方面,数据库拥有方亦不知晓查询方具体的查询请求。(3)联合数据分析。传统的数据分析经MPC改进后,能够在敏感信息不出安全域的前提下完成多方数据源协同分析计算,发掘新的数据价值。
    (三)个人信息保护法的再反思
    依循“个人信息保护系统”的逻辑,“科技系统”与“法律系统”彼此区隔。赋能科技如欲产生补充、替代或悬置法律的效果,就必须经由卢曼意义上的“法律反思”,使法律对科技保持认知开放,进而将其转译为法律规范。因为“只有法律能够改变法律,只有在法律系统的范围内,才能把法律规范的变化理解为法律的改变”。〔50 〕职是之故,我国个人信息保护法如何在自主性的基础上吸纳赋能科技,就成为肯綮所在。
    个人信息保护法与赋能科技有关的条款见于“附则”中“去标识化”和“匿名化”规定。其中,对于“个人信息经过处理无法识别特定自然人且不能复原”的匿名化信息,个人信息保护法第4条将其排除在“个人信息”以外,因此不受该法的调整。对于“经过处理,在不借助额外信息的情况下无法识别特定自然人”的去标识化信息,个人信息保护法第51条第3项将其与“加密信息”并列,作为一种采取安全技术措施的个人信息,并未另外规定其法律后果。要之,个人信息保护法延续网络安全法第42条和民法典第1038条的思路,形成了“个人信息—保护”和“匿名化信息—不保护”的二元格局。〔51 〕据此观察,赋能科技只有满足“匿名化”条件,才具有法律意义。然则,何为“匿名化”?
    根据个人信息保护法的界定,匿名化的结果是“无法识别特定自然人”。其“识别”与否应从“识别主体”和“识别方式”两方面综合判断, 〔52 〕意即“谁依何种方法进行识别”。就识别主体论之,有客观主义和主观主义分野,前者放宽至“全世界任何一人”,后者限于一定范围内的主体。欧盟GDPR持前一立场,而英国则持后一观点。在Department of Health v. Information Commissioner一案中, 〔53 〕法院坚持“主观主义”判断,使用归谬法指出:假使个人信息持有者保留原始资料,将会使经处理的信息成为个人信息,那么将导致非常荒谬的结果——凡公开任何的统计数据,都会构成披露个人信息,只要原始信息未被删除。事实上,我国司法实践亦采取了相对主义标准。在“安徽美锦信息科技有限公司与淘宝(中国)软件有限公司不正当纠纷案”中, 〔54 〕双方就淘宝抓取并出售的用户浏览和交易信息以及在其基础上推测出的用户性别、职业、区域、偏好信息的定性和保护产生了争议,法院最终认定:“生意参谋”数据产品所使用的用户信息经过“匿名化脱敏处理后已无法识别特定个人且不能复原”,公开其数据内容,对信息提供者不会产生不利影响。显然,这里“匿名化”只是对“生意参谋”的使用者而言,而非淘宝公司,
        
    因其并未彻底删除相关个人信息。
    另外,个人信息经匿名化后“不能复原”。所谓“不能复原”,意即“无法重新识别出特定自然人”,而不是“相关信息不可还原”。〔55 〕与前文“识别”的判断类似,重新识别的主体亦不是“全世界任何一人”,其识别方式亦限于“合理可能的手段”。這是因为,从时间维度和技术语境看,永久的、不可逆的识别是不可能的,因为依赖技术实现的匿名化,理论上仍然可为技术所破解与还原。〔56 〕但这决不意味着,匿名化是个“破碎的承诺”。实际上,匿名化以风险最小化,而不是零风险为目标,只要风险在特定场景内持续控制在可接受的范围内,匿名化就完成了其使命。〔57 〕为了化解功能主义匿名化的剩余风险, 〔58 〕处理者不应依赖“发布后遗忘”的策略,而必须承担持续性的个人信息保护义务,根据技术发展和情况变化定期评估是否存在新的风险。对于已确定风险,应注意评估已采取的措施是否充分,并适时调整。此外,如处理者将匿名化信息提供给第三方,则后者负有禁止再识别的法定义务与合同义务,处理者应监督其该义务的履行,其因怠监督导致信息主体受损,应与第三方共同承担责任。
    总之,个人信息识别和匿名化是一体两面,在信息科技迭代下均呈现出相对化和流动化态势,因而其均无整齐划一的绝对答案,必须基于风险进路,在认知能力、技术条件和治理环境的约束作出适当的法律解释。为此,个人信息保护法的“匿名化”在识别主体上采主观主义解释,在识别方式采“合理可能”解释。由此可得如下规则:(1)在信息处理者内部使用之时的匿名化,应达到“其自身无法采取合理可能方式识别或后续重新识别特定自然人”的标准。(2)在信息处理者向社会公开个人信息之时的匿名化,应达到“社会一般人在不借助之前既有知识,无法采取合理可能方式识别或后续重新识别特定自然人”的标准。(3)信息处理者向第三方提供个人信息之时的匿名化,应达到“第三方无法采取合理可能方式识别或后续重新识别特定自然人”之标准,以避免信息提供者和接受者共谋,规避个人信息保护义务。
    赋能科技能否落入匿名化处理的范围?回答可能因情况而异。就软PET和基于硬件的可信执行环境而言,其主要强化了个人信息主体和处理者的控制权;明文算法增强技术则是包罗万象的框架性概念,包括了数据抽样、确定性加密、信息压制、抽象化、随机化、数据合成等一系列技术,其中的差分隐私、K 匿名、L多样性、数据聚合等已被纳入欧盟第29条工作组“关于匿名化技术的意见”之中。而以密码学为基础的多方安全计算,其既取决于加密算法的强度、加密密钥的长度和密钥管理的安全性,更取决于各方所得到的计算结果是否能够重新识别特定自然人。赋能科技法律效果为何的判断,不应纠结于技术细节,而要回到“匿名化”的法律标准之上。倘若如此,一个问题油然而生:如果有些赋能科技没有实现“匿名化”但达到“去标识化”,则是否具有法律意义?
    在比较法上,各国多对“个人信息”和“匿名信息”之间的状态作出专门规定。根据欧盟GDPR第6条、第89条,处理“假名化个人数据”的,可以适当放松“处理目的限定”的要求,转而使用“处理目的兼容”的柔性规制,同时可为公共利益、科学或历史研究或统计目的而处理,并可作为发生数据泄露责任的抗辩依据。日本2020年修订的个人信息保护法亦引入“假名化个人信息”,豁免了包括“目的变更限制”“泄露通知义务”“持有的个人信息之相关事项的公布义务”“个人信息公开义务”“个人信息修正义务”“个人信息停止利用义务”等义务性规定。基于此,为激励利益相关方使用赋能科技降低个人信息风险和法律执行成本,在后续的制度设计中,可以从如下方面完善“去标识化”规则:(1)个人信息处理者可在原先目的兼容的范围处理“去标识化信息”,相关兼容性应综合考量后续使用目的与原先目的之间的关联性、数据收集的场景、该场景下个人的合理预期、数据性质、后续使用产生的后果及现有的保障措施;(2)个人信息向第三方提供去标识化信息的,第三方不得重新识别个人身份,信息主体有权随时拒绝第三方的处理。〔59 〕
    结语
    水可覆舟,亦可载舟。信息科技固然是当今世界个人信息权益的最大威胁,但同时它也是化解危机的优先工具。随着个人信息保护法的出台,我国个人信息法律体系日臻完善,但只有拼接上“治理科技”这块拼图,个人信息治理体系才初步功成。本文研究表明,在公平、透明、合法、以人为本的设计理念下,合规科技得以强化法律保护,赋能科技得以促进各方共赢,法律和代码由此携手并进。最后,依然要警惕信息科技中所隐含的价值偏颇、权力宰制和民主困境,意识到其可能的边界与限度,如此才能不迷失于科技幻境里那美妙的塞壬之歌。
相关文章!