返回上一页 文章阅读 登录

许可:个人信息治理的科技之维

更新时间:2021-11-08 01:03:03
作者: 许可  

   内容摘要:在个人信息保护法出台的背景下,重新构想科技与法律之间的关系,可谓总体回应数字时代个人信息危机的重要一环。作为国家、企业、个人三方权益汇聚之地,个人信息研究必须超越传统的“规制—权利”思维,迈向国家法律、信息科技、市场竞争和社群规范的个人信息治理体系。在诸多系统中,信息科技居于优位。一方面,它以“合规科技”的面貌,凭借“经设计的治理理念”,将国家法律的原则和规则转化为个人信息生命全周期的科技保护;另一方面,它以“赋能科技”的面貌,通过降低法律执行成本、当事人交易成本,甚至改变法律的“假定条件”,赋能各利益相关方。为此,法律应合理解释个人信息“匿名化”构成要素,认可“去标识化信息”的法律意义,从而使信息科技与法律彼此协调,共建激励相容的个人信息治理体系。

  

   关键词:个人信息治理 个人信息保护法 治理科技 合规科技 赋能科技 匿名化

  

   中图分類号:DF529文献标识码:A文章编号:1674-4039-(2021)05-0057-68

  

   经过近20年的酝酿,个人信息保护法终于在2021年8月20日审议通过。〔1 〕个人信息保护法外引域外立法智慧,内接本土实务经验,从宪法第38条“中华人民共和国公民的人格尊严不受侵犯”的“个人尊严条款”出发,熔民法典“个人信息权益”的私权保护与“个人信息处理”的公法监管于一炉,统合私主体和公权力机关的义务与责任,兼顾个人信息保护与利用,奠定了我国网络社会和数字经济的法律之基。不过,徒法不足以自行,如何建立激励相容的制度框架,实现个人信息保护法第1条所宣示的立法目标,仍有待更深入和更细致地研究。〔2 〕笔者从法律与科技的双重视角出发,重新构想数字时代科技与个人信息保护法之间的关系,探索两者相辅相成的个人信息治理之道。

  

   一、信息科技与个人信息治理的一般框架

  

   信息科技和个人信息的纠葛由来已久。长期以来,信息科技都被看作个人信息权益的“破坏者”。但事实上,在个人信息治理的架构下,一旦将信息科技和治理相结合,就能转为个人信息“治理科技”,成为个人信息保护中“优位者”。

  

   (一)信息科技:个人信息权益的“破坏者”

  

   回顾历史,个人信息保护法的演进始终与信息科技的发展密不可分。19世纪末,电报通信、便携式照相机等新兴技术引发了人们对隐私的忧虑。当传统熟人社会的私密信息经由便捷的信息传播途径进入大众传媒、公众评论的陌生人语境,普通法的“保密原则”便不敷适用, 〔3 〕一种保卫私生活的对世权利——隐私权就此诞生。〔4 〕随着20世纪60年代大型计算机和中心化数据库的出现,个人信息的收集、存储和使用方式被彻底改变。1973年,美国健康、教育和福利部(HEW)在《记录、计算机和公民权利》报告中指出:个人必须越来越多地将自己的信息提供给大型的、相对匿名的机构,由陌生人处理和使用。有时,个人甚至不知道有这样一个组织保存着关于他的记录,他往往看不到这些记录,更不用说质疑其准确性、控制其传播或质疑其使用。〔5 〕该报告所催生的“公平信息实践准则”,构成了全球个人信息保护的思想渊源与基本框架。〔6 〕在计算机日益普及的背景下,德国于1977年制定防止数据处理过程中滥用数据法,欧洲委员会于1981年通过个人数据自动化处理保护公约(“108号公约”)。从“隐私”到个人信息/数据的范式转变,可谓“山川异域,风月同天”。20世纪90年代,互联网技术成为全球信息和通信的核心媒介,电子商务、电子政务、搜索引擎、互联网广告蓬勃兴起,个人信息处理者从之前的政府机构逐渐向企业延伸,处理目的也从行政管理转向了商业活动。1995年,欧盟议会与理事会制定关于涉及个人数据处理的保护以及数据自由流通的第95/46/EC号指令(以下简称《数据保护指令》),开启了个人信息保护的2.0时代。

  

   21世纪以来,大规模应用的电子监控、web3.0的人机互动、移动互联网的实时在线、穿戴式的嵌入装置,连同大数据、人工智能、物联网、云计算、区块链等新一代信息科技,使得世界的人、事、物都在加速数字化,这不仅给个人信息保护带来严峻挑战,也重塑了个人信息保护制度。2010年,欧洲委员会关于数据保护和隐私的第3号决议洞见到了这一历史性变化,并指出,信息科技令观察、存储和分析大多数日常活动成为可能,而且比之前更加容易、迅速、隐蔽,除非有完善的数据保护标准,否则必将损害人的基本自由。作为制度回应,从2010年到2019年间,共有62个国家起草了新的个人信息保护法。到21世纪20年代末,将会有超过200个国家或地区拥有个人信息保护法。〔7 〕

  

   从“监控国家”到“监控资本主义”,与工业时代对科技的乐观想象不同,当代人眼中的信息科技往往是阴暗和危险的。这种将科技视为对隐私和个人信息权益威胁的观念,迫使立法者不得不拥抱变化,通过法律和监管的不断迭代,为个人提供与时俱进的保护,我国个人信息保护法正是这历史潮流中的浪花一朵。然而,信息科技是否只有一面?

  

   (二)信息科技:个人信息保护的“优位者”

  

   信息科技并不可怕。正如联合国数字技术的影响报告所言,通过增强连通性、金融包容性、获得贸易和公共服务的机会,信息科技可以加速实现17项人类可持续发展目标中的每一项,从而帮助世界变得更公平、更和平、更公正。但毋庸讳言,信息科技的确引发了越来越多的个人信息风险。从风险治理的角度观察,在复杂和不确定的环境中试图通过权利赋予或行为规制的单一方式来化解因信息科技引发的个人信息风险,可能事倍功半。因而,需要重新构想信息科技与个人信息保护的关系,综合所有可用的方法、策略和工具,建立一个协调风险治理中各种要素和参与者的“个人信息治理”和“个人信息保护系统”,这远比个人信息权益更重要。〔8 〕

  

   在本文中,笔者将“个人信息治理”界定为政府、企业、公民、行业协会、技术社群等各利益相关方围绕“个人信息”所开展活动的程序、结构和决策结果。在治理主体上,它是一种公私合作且持续互动的组织形式;在治理工具上,它将国家法律、信息科技、市场竞争和社群规范均囊括其中; 〔9 〕在治理目标上,它将信息主体的个人信息权益保护和信息处理者的个人信息利用作为并行的二元目标。信息科技在个人信息治理中的积极作用,首先源自信息科技作为通用技术的兼容性,从而可以服务于截然不同的目标。〔10 〕更重要的是,个人信息从收集到删除的整个生命周期,都必须依托信息基础设施以及经编程的指令、代码与算法。就此而言,信息科技构成了个人信息的微观架构,对个人信息处理活动发挥着实质上的规制作用。网络空间中发生的任何事件和行为都是“0”和“1”的集合体,涉及个人信息的任何行为只有遵循相应的信息科技规则才能得以表现,否则只能成为没有任何意义的“乱码”。信息科技在网络空间中的主宰性, 〔11 〕使其有可能摆脱刻板的“破坏者”印象,成为推动个人信息善治的重要力量。

  

   尽管“个人信息治理”为信息科技的引入提供了制度空间,但却没有充分阐明它与其他治理工具的关系。对此,“个人信息保护系统”理论进一步将“信息科技”置于个人信息保护的优先地位。就像“风险社会是现代性的自反性后果”这一经典命题所揭示,用以防控科技风险的法律有时恰恰是风险生产的诱因。因此,与其外在于信息科技去消弭其风险,毋宁反求诸己,寻找信息科技的自我规制之道。在复杂理论看来,信息科技是一个有机生命。一方面,它是自我组织的,可以通过某些简单规则自行聚集起来;另一方面,它是自我创生性的,能够依据所面临问题自行调适与迭代。〔12 〕纵观过往,当一个新的技术进入社会,它会召唤出新的组织、经济和社会模式,这反过来会引发新的问题,新问题的解决又要诉诸更新的技术,这就是“信息科技的演进”。在“问题与解决—挑战与回应”的逻辑下,因技術进步带来的个人信息风险,亦可以通过技术进步来化解,此即“解铃还须系铃人”之真义。在系统论的关照下,国家法律、信息科技、市场竞争和社群规范属于不同的子系统,奉行不同的二值符码,而风险的发生,根本上是由于功能系统之间缺乏共振,一种系统的运作无法在另一种系统中造成预期的影响。〔13 〕面对“科技系统”与“社会系统”的冲突,“风险预防原则”成为法律系统的可能选择,“风险预防原则”一方面承认法律对风险的“无知”,另一方面却又利用国家权威予以问责。故只有科技可能危及生命权、健康权、国家安全等重大法益,造成大规模灾难性后果时,才有适用余地,该原则苛刻的前提条件令其难以用于个人信息保护,这不但由于个人信息权益并非上述绝对性人身权,而且因为个人信息处理有助于包括个人在内的社会福祉提升,而禁止改善人们处境本身就是一种伤害。法律系统直接介入的困难要求我们在“个人信息保护系统”中,确立“科技解决方案”和“如果还能用就不必修补”的基本原则。〔14 〕

  

   (三)治理科技:信息科技与个人信息治理的耦合

  

   作为Govern和Technology的合成词,“治理科技”(GovernTech)将“科技”和“治理”有机结合,通过将创新性技术应用到现有治理过程中,达成更有效的风险识别、风险衡量和风险治理要求。有别于常见的“监管科技”(RegTech), 〔15 〕“治理科技”以“数字治理”为基,以“整体治理”和“网络治理”为面向,重塑敏捷性和适应性的治理。〔16 〕

  

   治理科技是整体性治理,即以信息科技为依托,以民众需求为导向,以协调、整合、责任为治理机制,对治理层级、功能、公私部门关系及信息系统等碎片化问题进行有机协调与整合,不断从分散走向集中、从部分走向整体,为民众提供无缝隙且非分离的整体型服务的政府治理图式。〔17 〕从此出发,治理科技主张通过数据共享、内部信息系统互操作推动逆部门化和逆碎片化, 〔18 〕拆除不同职能部门、不同地区之间的藩篱,践行“一致性执法”和“一站式监管”。我国个人信息保护法第六章中“履行个人信息保护职责的机关”纷繁芜杂,既包括国家网信办、工信部、市场监管总局、公安部等中央职权机构,也包括中国人民银行、银保监会、卫健委等行业主管部门,还指向了县级以上各个地方政府。面对个人信息监管“九龙治水”、政出多门的痼疾,中央层面应强化国家网信部门协同能力,在统筹协调具体规则和标准制定的基础上,借鉴“欧盟数据保护委员会”(EDPB)的经验,利用指南、建议、意见等政策工具,监督其他机关依法行使个人信息保护职权,确保执法环节中法规的统一适用,必要时可开展联合调查和执法。〔19 〕地方层面应依循个人信息保护跨地域、在线化特性,从分散管辖转向集中管辖,由被监管对象主要营业地的地方政府承担主体责任、享有监管主导权,以简化政府流程并提升科学决策能力。〔20 〕

  

治理科技是“网络治理”,即以信息科技为纽带,政府发挥领导组织作用、各利益相关方共同参与的稳定性多组织治理图式。〔21 〕作为横跨多系统的网络化结构,治理科技从“社群标准”开始,经由市场认证,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/129526.html
文章来源:东方法学 2021年5期
收藏