一、問題的提出
新興技術具備監管套利的基因,經常明面上以適應監管為導向,背地里卻以掙脫監管為目標。近年來,數據泄露泛濫成災,推動隱私保護法律密集出臺,但過度監管使可合法使用的有效數字資源日益稀缺。數據要素化國策下,以“治理科技”面貌出現的多方安全計算、聯邦學習等新興技術,是強監管形勢下的適應性產物,但因其深層次改變了數據處理活動的業務樣態、責任主體和法律關系,已然逼近現行法律制度的臨界閾值,引發了學界對既有規則的詰問和反思。例如,個人和企業對個人信息的“支配程度和利用空間”如何平衡?多個數據處理者的情形中,各主體間應當是連帶責任還是按份責任?面對隱匿于數據處理活動流變背后的監管套利行為,如何“使數字經濟參與者能夠在更大范圍內參與公平分配?”以上問題,直指個人信息保護法的適用要害--單純憑借靜態的法律規則,能否因勢利導地應對動態的技術演變?
本文的回答是,不能。數據處理活動的流變,使得原本結構單一、目標明確、內涵簡單的數據處理范式轉變為多元的、以復雜方式連續發生且難以被區分為個別階段的利益交換,個人信息保護法的多項核心關鍵機制降效失能頹勢明顯。由此產生疑問:應當遵循怎樣的完善路徑,個人信息保護法才可為數據處理活動的流變提供最優的制度安排?本文的觀點是,因應數據處理活動的流變,本著個人信息保護的進化理性主義而不是構建理性主義來制定相關規則。
二、關系合同視角下數據處理活動與個人信息保護法的互動
縱觀各國個人信息保護立法,“訂立、履行個人作為一方當事人的合同所必需”通常是處理個人數據的合法緣由,而“告知-同意”框架為全球范圍內的個人信息保護立法普遍適用,更是為數據處理活動奠定了合同的基調。盡管如此,區別于常見的即時結清合同,數據處理活動訂立的合同存續時間較長、交易內容含糊、各方利益需求因外界情形變化需隨時調整、其存續甚至不以明確的承諾為前提,故而無法用傳統的合同法進行解釋。突破傳統契約理論,法經濟學家用“關系合同”描述一切具有關于未來合意性質的合同,即交換(exchange)和關系(relationship)應時而變的長期合同。關系合同概念的引入,有助于理解數據處理活動的特殊性。
(一)數據處理活動的“關系合同”釋義
數據處理活動的各項屬性,與關系合同的上述特征合若符契。數據處理者和數據主體之間的交換,隨著個人數據采集范圍的擴大或縮減,各方關系的內涵也因數據處理者的引入、數據處理目的的變化、數據主體的撤回同意等發生改變。此外,數據主體從數據處理者處獲得的服務也是不確定的,更準確地說,服務的“素質”取決于多種因素的和合。例如,在內容推薦場景中,數據主體以授權數據處理者訪問自己的消費記錄、瀏覽歷史乃至交易數據、行為軌跡等為對價,換取數據處理者的“精準推送”服務;但數據主體最終獲得的究竟是“精準推送”還是“定向營銷”抑或是“數字套牢”,既取決于數據處理者有多大的自利動機,也取決于技術人員有多大能力將前述自利動機通過算法進行表達,還取決于相關的法律法規在多大程度上對數據處理者的逐利行為進行規制。上述三重因素不斷變化,所以數據主體接受的服務依賴于一種有待實現的自然狀態。
從學理上看,關系合同是典型的不完全合同。相較于在締約時可以預見一切、對具體事項無所不包的完全合同,不完全合同承認長期關系中個人意志的局限性。實用主義經濟學從四個梯度解釋了合同不完全性的成因:(1)面對風云變幻的世界,當事人很難對未來可能發生的各類情況作出事無巨細的規劃,依賴過往經驗的有限理性“限制了人們的想象力”;(2)即使當事人可以克服(1),他們也很難找到能夠恰當描述各種未知情況和潛在沖突的共同語言;(3)即使完成了(2),當事人之間認可的共同語言向長期可靠的協議或條款的轉變仍將困難重重,而且任何包含價值陳述的精確表達嘗試更是“難上加難”;(4)即使當事人實現了(3),面對可能的糾紛,外部權威,例如法院,很難真正回溯至合同制定之時的語境去揣度特定表述的涵義并加以執行,尤其是當事各方在協商過程中的真實意圖,更是無從知曉。
從效用來看,雖然關系合同不能像完全合同那般“一次締約、終生受用”,但在數據處理活動中,關系合同可以實現不低于完全合同的收益。數據處理者“逐次請求”和數據主體的“依次同意”,反映出各締約方“走一步看一步”的協商策略。在數據處理活動靈活多變的情況下,各方只能在充分考量自身稟賦,將各個階段的不同共識以不完全合同的形式固定下來。通過談判達成合意、以多種方式履行、并在履行合同中逐次協商,可以使不完全合同在某一特定時期內無限接近于完全合同,并在長期運營的過程中實現超過完全合同的效率。極端情況下,即便無法獲得最佳收益,但相對于關系合同已經實現的結果效率,完全合同也無法明顯改善。例如,當數據處理者憑借擁有相對于數據主體“壓倒性”的合同“締約力”時,關系合同也好、完全合同也罷,合同形式的選取都無法改變數據主體被數據處理者壓榨的事實,兩者并無高下之分。由此引發的問題是,在關系合同的自由化傾向下,個人信息保護法轄制數據處理活動的正當性何在?
(二)個人信息保護法介入數據處理活動的正當性
關系合同無法被傳統合同理論所涵蓋,很大程度證明了個人信息保護法獨立于傳統民事法律的必要性。從關系合同的角度看,個人信息保護法介入數據處理活動的正當性體現在兩個方面。
其一,個人信息保護法以極低的談判和履行成本為交易各方提供了一套普遍接受的規則及實施機制。關系合同的長期性將放大個人意志的局限性,即便數據處理者和數據主體想方設法地對未來可能發生的情況進行事無巨細的約定,也難以涓滴不漏。關系合同理論表明,個體試圖在當下對未來的利益交換作出不可更改的規劃和判斷時,暫且不說技術的突飛猛進將在多大程度上顛覆人們的主觀想象,單純考慮任何數據主體都多少存在的認知局限和思維慣性,便不難理解數據處理活動中廣泛存在的對對手方的輕信、對潛在風險的低估以及對不確定性的忽視。更何況,在人工智能批量取代自然人服務的大背景下,數據處理者對個人數據的采集和利用“采取了‘自覺自愿’的誘導進路,其對數據主體的吸引力在于‘免費’提供更‘個性化’的服務”,數據處理者可以輕而易舉地將數據處理合同偽裝成包含“附負擔的贈與”的單務合同,讓作為受贈人的數據主體“甘之如飴”地按照合同約定履行提供個人數據的義務,不會思考諸如“為何測算貸款額度需要訪問手機通訊錄以及獲取位置信息權限”等問題。
其二,個人信息保護法為數據處理活動中居于弱勢地位的數據主體提供托底性保護。關系合同履行過程中,數據處理活動存在某些隱性且不直接的損害可謂根深蒂固,而數據主體對此根本無法舉證。例如,“透明性、可問責性、監管及正當程序”欠缺;“個體層面由內隱偏見驅動的無意識歧視和社會層面由結構性不平等驅動的系統性歧視”,干預數據生成、采集和利用;對算力的社會化開發,導致“事先難以預料的外部性在市民生活領域的擴散”等。在技術黑箱的掩護下,數據處理者可以毫不避諱地對數據主體作出“虛幻承諾”,而數據主體對此根本無法證偽。此外,數據主體還面臨資金和實力不敵數據處理者的困境。因此,無論數據主體和數據處理者的初始合意多么充分,不可將公平價值的保障完全系于各方的合同自治,而必須保留某些強制性的規則,例如,要求數據處理者內部指定“數據保護官”、禁止其通過誤導和欺詐方式處理個人數據、遏制危害公共利益的數據處理行為、規定數據處理記錄必須留存滿特定期限才可刪除等。
雖然數據處理活動具備關系合同屬性,但必須警惕一種傾向,即認為數據處理活動中當事人的合同自治,可以至少排除個人信息保護法中的部分強制性規則。事實上,意思表示的一致并不能根除數據處理活動的風險,當新興技術尚處于“試錯”階段時更是如此。目前學界多有關于個人信息保護法中特定規則的詳細研究,但無論是推崇還是反對,其論證的基本邏輯是個別規則相對于一般合同約定的必要性,借此對個人信息保護法獨立于傳統部門法的法律地位予以證成。與此相區別,本文是在關系合同的向度內,探討個人信息保護法引導數據處理活動之可能。個人信息保護法的存在,奠定了關系合同之于完全合同的相對優勢。理想的情況下,數據處理活動的各方既沒有必要選擇簽訂錯綜復雜的狀態依存合同,也不必選擇囊括了繁瑣機制設計的完全合同,因為即便他們只是簽訂了簡單的不完全合同,也能獲得來自個人信息保護法的“補漏”和“強化”。
(三)關系合同視角下個人信息保護法的功能定位
要準確理解個人信息保護法在數據處理活動中的功能定位,需要引入“所有權-控制權”模型進行分析。完全合同的終極作用是鼓勵長期投資,進而必須明確締約雙方的權利和責任;關系合同的主要作用,則是為締約各方的交易關系提供多個“參照點”,以錨定雙方所獲取權利的“感覺”。關系合同的締約各方只有在“感覺”獲得了應得收益時,才會繼續提供實質績效。反之,如果某締約方“感覺”受到了不公平對待,就會通過合理的“反制手段”施以報復。行為經濟學將“互報”等可能導致事后成本的行為變量看作是討價還價的替代性機制,有助于關系合同的“自我修正”以及“按約定履行”。締約方對應得收益的心理預期,一般接近于關系合同中對其最有利條款所允許的最大利益。初始締約過程中,固然存在各方信息不對稱,但合同條款畢竟是在相對競爭的條件下達成的,合同公正性相對可預期;事后修改的合同,可能矯正初始合同的某些問題,但對于普遍缺乏話語權的數據主體而言,修改的最終結果可能反而于己不利。
結合上述條件,“所有權-控制權”模型在數據處理活動中可演繹為:各方的事后績效,取決于他們在多大程度上得到了關系合同的允諾收益。若僅憑一紙合約,數據主體的收益小于預期時,他們往往缺乏有力的“反制手段”,只能通過一定的“折減行為”,即降低績效投入,結果必然造成額外的福利損失。降低這種損失的一種方式是,締約一份相對苛刻的初始合同,以便最大限度固定數據主體的未來預期收益,但這會帶來事后難以根據現實情況調整合同的缺陷。反之,寬松的初始合同無法有效應對折減行為帶來的福利耗散,但能較好地根據情勢變化以變應變。
在數據處理者強、數據主體弱的基本格局下,合同的締約方不可能反復權衡這兩種效應,直至“碰撞”出最優的合同狀態。此時,個人信息保護法的衡平功能得以凸顯。一方面,個人信息保護法通過賦予數據主體各類“反制手段”,激活不完全合同的“互報”機制,促進關系合同預期收益的實現。例如,在“個人信息自決”觀念下的知情權、獲解釋權、拒絕權、更正權、刪除權等,是抗衡數據處理者不法行為的法律武器,可以有效“消除信息利用的‘叢林法則’和‘公地悲劇’”。另一方面,個人信息保護法中的各項強制性條款,為嚴苛的初始合同松綁,為寬松的初始合同補漏,從根本上彌補了關系合同締約階段的缺陷。例如,數據主體喪失行為能力或死亡等情形,在合同締約之初可能并未進入各方視野,而任由其直系親屬或繼承人行使原數據主體的信息權益導致的種種道德風險,無法全部依靠合同規則消弭。為此,各國個人信息保護法一般通過嚴格的限制性規定來解決此類問題,我國《個人信息保護法》第49條僅允許近親屬等在保護自身法定權益的情況下,查閱、復制、更正和刪除原數據主體的個人信息,較好地防止了已逝數據主體的個人信息被濫用。
關系合同理論框架下,個人信息保護法本質上是一個不斷發展完善的開放式合同,數據處理活動的各參與方在利益驅動下對個人信息保護法的規則“生產”施加著正向或反向的影響:一方面,就數據處理活動中出現的新問題、新挑戰,個人信息保護法吸收了包括立法者在內的行家里手們提供的新思路、新方法;另一方面,當事人對數據處理形成的成文或不成文的各項約定,構成個人信息保護法的重要法源,個人信息保護法亦隨著合同的完善而充實。個人信息保護法與關系合同的交流與相互增益體現在,數據處理活動的各參與方擬定數據處理合同,在實踐過程中“篩選出”能夠被最多參與方廣泛接受的規則,這些規則因獲得“自由人的多數同意”而具備了對內的約束力;反過來,前述規則在運營過程中,逐步被更精確的語言所描述,最終固定成文字,經由立法者的承認和吸納,內化為可操作的個人信息保護規則。
互動和篩選過程推動了多樣化數據處理范式的形成,并使敏感個人信息的認定與保護、禁止濫用自動化決策等規則生長出來。由此觀之,個人信息保護法等實體法律可以被視為數據處理合同規則的延伸,即數據處理合同的特殊形式。既然數據處理活動中的各類復雜關系以合同為基礎,那么個人信息保護法所衡平的各類法律關系亦具備可變通性。但無論如何,個人信息保護法的主導價值取向是完善,而非替代數據處理活動中當事人之間的自由協商。
(四)個人信息保護法正當性維持的適應性品質
進一步的問題是,在新興技術不斷涌現的信息化浪潮面前,個人信息保護法的上述正當性和必要性如何維持?關系合同理論給我們的啟示是,立法機關頒布個人信息保護法,只是使其獲得了短暫的、表面上的合法性,個人信息保護法的長期和實質合法性源于其迅速迭代的適應性品質。
就既有實踐觀之,個人信息保護法的適應性品質體現在兩個方面。其一,根據環境因素的差異作細微的制度性調整。不同國家和地區有著截然不同的制度環境,數據處理慣例亦大相徑庭。例如,中國和歐盟是“同意-進入”(Opt-in)模式,美國則是“選擇-退出”(Opt-out)模式。從外觀上看,中國、歐盟、美國等均通過“脫離自動化決策權”的權利設計來解決人工智能的權力宰制問題,但這一靜態的描述顯然沒能反映出不同立法者對于算法“霸權”的理解有哪些不同,也沒能反映出各類法律試圖賦權的數據主體有何差異。事實上,雖然都貼上了同樣的“保護數據主體自主權”“信息自決”等近似的標簽,不同國家和地區“脫離自動化決策權”所遵循的路徑和規則實施績效卻多有差別。其二,規則的不斷演進。有悖于各方從原本有利可圖的交易中通過努力而獲利的禁止性規則,在實踐中將面臨修改、甚至淘汰;與之相對應的是,有助于減少交易成本、衡平弱勢方和優勢方地位懸殊的保護性條款,將不斷被采納、優化直至發揚光大。例如,當前世界各國個人信息保護法通行的、合同性質的“告知-同意”框架并非偶然形成,而是數據處理者在適應“優勝劣汰”的競爭過程中一步步固化的產物。一方面,標準化的模式無論對于數據主體還是數據處理者而言均為最有效減少交易成本的解決方案;另一方面,具體的“告知-同意”內容歷經了成百上千次的市場和司法考驗,是各參與方在協商成本足夠低的情況下,必然會采取的制度安排。
總之,個人信息保護規則并不像有形的計算機代碼那般,一旦就位就能產生特定的作用和效果。法律制度必須順應數據處理活動的變化并從中自得其所。有些規則雖然言之鑿鑿,但由于未能契合數據處理活動的變化規律,在現實中被長期虛置,任由一些不成文的規則發揮著替代性的作用。法律的稟賦并非變動不居,而是在“市場主體的行為及其策略性反應之間循環往復”。尚處于“摸著石頭過河”初期的個人信息保護法,正在經受著技術革命的“重壓”。既然實質合法性來源于適應性品質,個人信息保護法必須直面游走于法律邊緣的技術創新。
三、數據處理活動的流變路徑及法律挑戰
個人信息保護的一項經典命題是,數據處理活動需與處理目的相適配,即以“合法、正當的處理目的”合理化“必要、直接的數據處理活動”。但是,在過去的數年間,為了實現跨境數據處理活動的暢行無阻,各國政策制定者都聚焦于兼具“合規”和“賦能”屬性的信息科技,試圖構建一套以手段本身正當化處理目的的數據合規制度,傾向于將特定新興技術的使用等同于數據處理活動的合法正當。自歐盟法院在Scherems II案中判決歐盟-美國隱私保護盾無效以后,兩大經濟體數據互傳曾一度陷入癱瘓。迫于數據交流的剛需,歐洲數據保護委員會(EDPB)印發了《關于補充傳輸工具以確保遵守歐盟數據保護水平措施的建議》,將隱私增強技術的使用視為跨國數據處理者主動合規的證據,為歐盟同各大經濟體之間的數據互傳另辟蹊徑。美國國會也通過了《促進數字隱私技術法案》,要求加強隱私增強技術的研究和推廣。
強監管形勢下,治理科技的興起將給數據處理活動帶來三個方向的流變。其一,從零和博弈向合作共贏轉變。例如,多方安全計算技術是多個非信任主體在數據“可用不可見”的前提下進行高效融合計算的技術手段,單邊數據傳輸向多方數據整合躍升。其二,從“中心化”向“去中心化”轉變。例如,聯邦學習技術可在不共享本地數據的前提下實現機器學習模型的協同訓練,參與方呈現零散分布式特點,多個終端共同參與模型訓練。其三,由直接關聯向模糊關聯轉變。例如,差分隱私技術通過在結果中添加噪聲,使攻擊者無法利用反向識別手段復原敏感信息,此種隱私保護手段以犧牲運算精度為代價,打破了輸入和輸出之間的線性關系。治理科技之外,我國政府積極推進“東數西算”工程,以優化數據中心建設布局、促進東西部協同聯動為目標,勢必將強化上述數據處理活動流變的大勢所趨。數據處理活動的范式革新已是“箭在弦上”。
在當代法哲學中,法律與技術關系的協調是一個核心命題。這一命題所面臨的二律背反,在數據處理活動中尤為突出。沖突的表象是,法律和科技攜手共治,原本是化解數字經濟中諸多亂象和風險的強力保障,但憑借技術手段掙脫法律束縛致使行為不受約束的情況卻屢禁不絕。其深層次的原因是,對于打著技術幌子的監管套利行為,無論是作為監管者的政府還是作為裁判者的法官,多少缺乏前瞻研判的主動意識和有效應對的法理準備。雖然兼具“合規”和“賦能”的雙重屬性,但一如現代化的自反性命題所揭示,用以消弭風險的技術手段有時恰好是風險生產的誘因。新興技術監管套利的基因決定了起初的“合規”姿態有可能在日后被“賦能”反噬。在這方面,關系合同分析框架的引入,同樣大有裨益。技術適用導致的數據處理活動流變,將給關系合同的執行帶來四重挑戰。
(一)致使關系合同后續修改機制失效
后續修改機制是關系合同逐步趨于完善、依次達成合意從而更有利于當事人的基本保障。面對數據處理活動的流變,爭議的焦點在于關系合同的后續修改機制是否應當受到法律規則的限制。支持協商自由的學者認為,當事人之間的自治安排優于法律制度,只要各方合意,規則可以改變。在實踐中,某些國家的立法者慮及數據處理技術變化頻繁,規定只要數據主體沒有明確表示反對,則關系合同的改變即在事實上取得合法性。況且,數據主體的“自我保護”,有“選擇-退出”機制等予以保障,故而沒有必要大費周章地讓當事人反復“協商”。誠然,一再請求同意授權必然降低數據處理活動的效率,反過來又會對數據主體所享有的安寧權造成損害,并且極有可能導致疲憊之下的一攬子授權或一攬子拒絕,擾亂了數據處理活動的正常秩序。然而,深諳個人信息風險的學者早就指出,個人信息上附著人格尊嚴和自由利益,如果沒有實質性的好處,任何理性的、信息充分的數據主體斷然不會輕易同意數據處理者的后續合同修改,特別是那些可能加深隱私風險的決定。但是,“合同自由主義者”通常對這些批評置若罔聞,根據他們的主張,數據處理合同的修改自由,即使對于非理性、信息匱乏的數據主體而言,也利大于弊,因為市場足以構成對數據處理者越矩行為的約束;想當然地判斷具備基礎理性智識的數據主體一定會拒絕合同的修改,多少高估了數據主體的“主觀能動性”。早在上世紀末,即便是承認網絡法具有突出于傳統部門法功用的學者,也不排斥市場競爭和良法善治的相互交融,例如萊西格(Lawrence Lessig)就曾指出,新興技術的規制需透過“國家法律(Laws)、社群規范(Norms)、市場競爭(Market)和技術架構(Architecture)的聯結互動”。易言之,市場競爭,自然會對違法道德和群體利益的行為施加成本,比起市場的懲罰而言,來自法律的鍘刀經常會有滯后,而且還附隨其他的成本。
對于上述爭論,我國《個人信息保護法》的回應較為“曖昧”。《個人信息保護法》第14條要求,個人信息的處理目的、方式和種類發生變更的,數據處理者必須重新取得個人同意,而任何同意的作出,須以個人充分知情和明確自愿為前提。乍一看,立法者回應了崇尚法律保護的學者們的擔憂,既然有充分知情的限制性要求在前,數據主體的同意或者拒絕方能不受數據處理者的蠱惑。事實上,對于數據處理者的“告知”,《個人信息保護法》第17條雖有“以顯著方式、清晰易懂的語言”“真實、準確、完整”等規定,但法條覆蓋的事項僅局限于數據處理者的身份信息,數據處理的目的、方式、種類、期限,數據主體的法定權利以及法律法規規定的其他事項,沒有涉及數據處理活動的潛在風險、對數據主體的潛在影響以及技術手段詳細評測等數據主體真正關心的內容。就算滿足了以上要求,數據主體通常既無時間、也無能力真正閱讀、理解這些條款。甚至,某些數據處理者還樂于將計就計,以毫無必要的“真實、準確、完整”膨脹用戶協議的篇幅,實現“呵退”數據主體認真了解合同變更內容的目的。《個人信息保護法》第14條、第17條的規定被架空。
實踐中,數據主體的“充分知情”和“明確自愿”,一般通過三種極為簡陋的形式得以證明:一是設置“閱讀倒計時”,在倒計時屆滿前用戶無法點擊同意;二是在屏幕上,要求用戶使用手指,從用戶協議的開頭劃至用戶協議的末尾,之后才能表示同意;三是讓用戶對著攝像頭朗讀“已經仔細閱讀全文并洞悉潛在風險”。三種方式也可能被疊加使用,但無論如何,此類“作秀式”的告知證明,并不能保證數據主體真正知曉合同的主要內容以及合同變更的真實目的。告知和知情的“斷層”,已經成為世界各國“告知-同意”框架的通病,我國《個人信息保護法》的“告知-知情-同意”框架也未能真正解決這個問題。立法者所看到的是一個規定了同意須以充分知情為前提,就能扭轉數據處理者和數據處理主體信息地位懸殊局面的世界,而這種愿景同當今技術運作的現實情況存在著巨大鴻溝。
可見,盡管數據處理規則的修改必須經過數據主體同意,在理論上這是雙方意思表示一致的結果,但由于數據主體通常在事實上根本不具備預判規則修改后續風險的知識儲備,在事實上不可將其視為毫無瑕疵、合意充分的契約行為。故必須承認初始合同和后續合同修改在正當性層面的區別。如何在數據處理活動流變的語境中充分保障數據主體的知情權,使數據處理活動在技術洪流的波濤洶涌中“行穩致遠”,是法律規則完善時必須考慮的內容。
(二)導致無法通過量化手段趨近完全合同
數據處理活動的流變給關系合同帶來的第二重難題,是締約方通過精細的量化手段亦難以分階段壓實關系合同中的不明承諾。數據處理合同之所以具備關系合同的屬性,很大程度源于數據處理活動中存在數據主體能夠大致預料當前行為將給未來造成的后果,與無法通過締結合同的方式來防止數據處理者在未來對合同條款的預期濫用之間的矛盾。就普通的數據處理活動而言,盡管數據處理各方亦不能具體描述未來可能發生的所有情形,但他們可以粗略估計未來正常情況下的可能收益。基于此,普通數據處理活動的各方完全可以設計出一個行動依賴于各種收益的不完全合同,而不是行動依賴于不可描述狀態的關系合同,前者是比后者更加接近完全合同的不完全合同。也即是說,借助外部收益量化機制,最優的數據處理合同不是從狀態信息到行動結果的映射,而是從與各種預期收益相對應的且數據主體在事前可描述的一系列收益到行動結果的映射。這也符合馬斯金(Eric Maskin)和梯若爾(Jean Tirole)提出的“不相關定理”,基于未來收益并在締約階段就進行優化決策的“充分理性”,是對未來狀態不可預見的“非理性”的有益而必要的矯正。
個人信息保護法中關于損害賠償責任依照數據主體所受損失或數據處理者所得利益進行確定、對處理個人數據達到或未達到公共管理部門規定數量的數據處理者進行區別對待的規則設計等,均是不完全合同“穩預期、利長遠”的法律保障。但是,數據處理各方未來收益預期的可量化,是在數據處理活動的本質沒有發生變化的前提下實現的,亦即固定預期收益所能抗衡的不確定性僅是針對各參與方難以揣度的行為而言,無法應對數據處理模式的根本性改變。然而,技術變革導致的數據處理活動的流變,無論是從數據處理者的引入,抑或是數據處理活動的外包等,均不同程度破壞了上述前提,給諸多約定本身就不甚明確的關系合同帶來了更多的不確定性。針對數據處理活動的本質性流變,個人信息保護法也應作出相應調整,以便更好地履行“預期穩定器”的功用。
(三)加劇關系合同中剩余權利分配失衡
數據處理活動的流變給關系合同帶來的第三重難題,是加劇合同剩余權利分配的失衡。依照能否在合同中進行明確規定,交易中的權利一般分為特定權利和剩余權利。正常情況下,無法以條款形式固定的剩余權利對于締約各方而言都是均勻分布的,但在數據處理活動中,剩余權利幾乎被“一刀切”地配置給了數據處理者。數據處理者一般以“免費”的服務供給作為對數據主體授權使用數據的代償;而剩余權利幾乎是作為特定權利的附隨,被打包“贈送”給數據處理者。根據關系合同理論,可預見、可實施的特定權利并不會干擾資源的分配和再分配,但合同中無法明示的剩余權利對締約各方都至關重要;甚至有學者指出,獲得剩余權利控制權等同于獲得了實質所有權,主張將剩余權利的控制權配置給投資決策相對重要的一方。前沿技術對數據處理活動的加持,加大了數據的聚合體量、提高了數據處理者的知識處理能力,剩余權利的變現也因此更加容易。“某些在外行人看來一文不值的信息,對內行人卻意義非凡。”數據聚合帶來的默會知識和潛在機會將給數據處理者帶來豐厚回報,激勵其對剩余權利的競逐變本加厲。
對于剩余權利明顯失衡,合宜的做法是一方支付對價,將另一方買斷,通過設置合理價格將剩余權利配置給更能夠有效利用它的數據處理者。然而,數據處理活動的流變增加了剩余權利的定價困難。其一,數據一旦通過多方安全計算、聯邦學習等技術對其他生產要素的價值產生“倍增作用”,其“二次利用價值”便不像一般利用價值那般可計算;其二,當企業效益和社會效益產生沖突時,法律將讓破壞原初秩序的行為得不償失。數據處理活動的流變稍不注意就可能觸碰反壟斷法、數據安全法和網絡安全法的紅線,來自法律的“事后清算”加大了“事前定價”的難度。
上述困難表明,隨著數據處理活動的流變,僅憑強行法在極特殊的情況下對剩余權利的失衡進行矯正是遠遠不夠的。況且,本應深度嵌入數據處理活動的個人信息保護法,在保護特定權利方面“剛性有余”,在平衡剩余權利方面卻“柔性不足”。各國個人信息保護法中的諸多規定,例如在數據處理活動的各個環節履行相應的“告知”義務、允許數據處理撤回同意和授權、為數據主體建立便捷的個人行使權利的申請受理和處理機制等,只是賦予了數據主體就特定權利同數據處理者談判的砝碼,無法延伸至合同中“說不清、道不明”的剩余權利。當然,個人信息保護法在均衡剩余權利方面,也并非完全無所作為,例如,我國《個人信息保護法》第58條就對提供多元互聯網平臺服務、用戶數量特別巨大、業務類型相對復雜的數據處理者,規定了引入外部監督體制、定期發布社會責任報告等特別義務,能夠在一定程度上矯正剩余權利的失衡。不過,如欲全面應對前沿科技的“狂飆突進”,還必須依賴個人信息保護法的適應性品質及時對數據處理活動的流變作出回應。
(四)造成傳統責任機制虛置和顛覆
數據處理活動的流變給關系合同帶來的第四重難題,是傳統責任機制的紊亂失調。在普通的算法應用中,合同的相對方十分明確、人際接觸較為有限、交易標的易于揣度、致害因果關系不難建立,脫胎于長臂理論的歸責機制呈現出“運營商問責制”的傾向,透過“數據處理者-數據主體”的二分法以及“數據處理者-數據控制者-數據主體”的三分法簡化,或主張建立正當程序制度全面追究數據處理者的責任,或建議采取場景化的規制路徑構建算法公開、數據賦權與反算法偏見等具體制度。雖然“運營商問責制”也因為將責任一攬子歸于數據處理者而飽受質疑,但在法律關系相對簡單的情況下,較為嚴苛的責任分配機制有助于約束數據處理者的越矩行為。
數據處理活動的流變,打破了上述二分法和三分法的歸責機制。以聯邦學習技術為例:在聯邦學習中,當事人的合意以“關系合同集束”的形式體現,對應著更加復雜的法律關系--聯邦學習主導方和參與方之間是主數據處理者和從數據處理者關系,參與方和數據主體之間是直接處理關系,主導方和數據主體之間是間接處理關系。除了主導方控制的中央服務器是可信的,所有終端和其他設備均不能排除嘗試獲取用戶隱私和對抗系統的可能,即便他們嚴格按照聯邦學習的初始方案執行程序。有為數眾多的參與方橫亙在主導方和零散的數據主體之間,傳統的二分法和三分法無法準確描述此類網狀關聯的法律關系,數據處理的層層委托經常演化為“層層甩鍋”,致使責任主體虛化。隨著訓練模型的不斷迭代,在事后落實和評估聯邦學習各方的責任將愈發困難。倘若依照《電子商務法》第5條“產品和服務質量責任”,對鏈條上的所有數據處理者適用嚴格責任原則,或依照《個人信息保護法》第20條“共同處理者責任”,要求全體數據處理者承擔連帶責任,顯然有失公平。
以上四個方面的法律挑戰共同揭示了如下的應對原理:其一,受新興科技的影響,數據處理活動,將朝著重塑權利形態和權力結構的方向流變,政策制定者宜從數據處理的源頭構建技術正當程序,通過多樣化、去中心化的規制手段,對抗同樣多樣化、去中心化的技術風險;其二,在高度不確定的數據處理活動中通過權利賦予配合行為規制的圍堵模式來化解技術變革的風險,可能南轅北轍,應回歸關系合同的基本屬性,以締約各方互信互惠的良性關系取代過于簡單的機械化規則;其三,基于權利制約和尊嚴保障的法治理想追求,激勵相容路徑下關系合同的改良有助于從數字規范性和技術可控性角度框定數據處理活動的流變邊界,補全臨界狀態中動態規范的暫付闕如。
四、未來法律準備的全新面向及規則重構
數據處理活動的流變風險,既是技術變革的自然產物,也是新興技術打破傳統數據處理慣例的必然結果。全新數據處理范式帶來的問題是,如何協調數字經濟效率的終極目的與罔顧數據主體合法權益的現實風險之間的矛盾。韋伯(Max Weber)指出,理性的法律通過穩定交易預期從而為經濟發展提供助力。面對數據處理活動流變帶來的法律挑戰,穩定預期等積極目標的達成,最終需要個人信息保護法的適應性品質予以承載:當且僅當相關規則的改進和完善與數據處理活動的流變“同頻共振”,個人信息保護規則才能長期措置裕如地應對新興技術帶來的各類風險。以關系合同的“長治久安”為規范目的,我國《個人信息保護法》的理性優化可以從四個方面展開:其一,承認過程信息的個人信息屬性,讓可攜帶權的內涵及于過程信息,提升數據主體相對于數據處理者的合同“締約力”和“談判力”;其二,引入信義義務規則,充分發揮《個人信息保護法》之于關系合同的漏洞填補作用;其三,活用強制性規范,對信息處理活動中至關重要的剩余權利分配作出合理安排;其四,通過比例連帶責任完善既有責任體系,彌補關系合同的責任虛置缺陷。
(一)賦予數據主體對過程信息支配權
解決關系合同后續修改機制被架空等問題的關鍵,在于扭轉過程信息對數據處理者的賦能。數據處理者在清洗、處理原始數據的過程中,會獲得大量有關數據主體行為表現、經濟情況、健康狀態、信用分級、興趣偏好的過程信息。對過程信息的獨占,是數據處理者享有更強“談判力”的根本原因。當數據處理者請求再次授權時,數據主體使用服務已經小有時日,只要使用體驗尚可,一般不會權衡繼續授權的潛在風險。雖然各國個人信息保護法多載有不得以數據主體拒絕授權或撤回同意為由停止提供服務的規定,但同樣常見的“處理數據為提供服務所必需”的但書規定,大幅削弱了數據主體拒絕授權的底氣。更重要的是,數據處理者需要請求再次授權時,通常已經掌握了相當程度的個人信息,而事后的拒絕授權和同意撤回并不影響基于之前同意已進行的數據處理活動的效力,即便數據主體拒絕授權,數據處理者已經獲取的過程信息足以維持其在數據處理活動中的正常收益。于是乎,本就已經處于下風的數據主體在新的數據處理要約中將面臨“脅迫”:其一,繼續授權無疑將賦能數據處理者,但自身能否從中獲利則在模棱兩可之間;其二,不繼續授權,未必給數據處理者造成損失,但自身可能面臨的損害是可預見的--即便仍能繼續使用服務,但服務的精確性和效率能否保證也是一個問題。說到底,當過程信息足以替代原始數據完成自動化決策時,基于繼續授權的“存量授權”的重要性將明顯次于來自新用戶的“增量授權”。
意識到過程信息可能使數據主體喪失同數據處理者討價還價的籌碼,有學者強烈主張“通過保障推論數據獲取權以搭建個人數據主體與數據控制者之間的溝通機制”。與此主張相對的是,相當多的學者認為,過程信息是數據處理者在機器學習、算法決策、用戶側寫、情感計算等過程中,為了規避風險、節省成本、提升運算效率、迷惑競爭對手而生成的過程性生產資料,具有專用性資產的屬性,但個人卻對此類數據沒有基本的控制或監督,數據處理者是實際的所有者和控制者。爭論歸爭論,數據主體能否主張對過程信息的完整或部分權益,取決于過程信息能在多大程度上被視為個人信息。在審判實踐中,不同地區的法院依照不同的法理,給出了正好相反的判決結果。例如,Y. S v. Minister voor Immigratie案將過程信息定性為他人經驗和思維的創造產物,不屬于個人信息;Peter Nowak v. Data Protection Commissioner案則裁決只要和具體自然人相關聯的過程信息都屬于個人信息。
數據處理活動的“去中心化”流變,將使數據處理者從范圍更廣、數量更多、程度更深和精度更高的過程信息中獲得自我賦能,進一步導致關系合同的權力失衡。過去因保護智識創造物而拒絕承認過程信息屬于個人信息的做法,在數據處理活動流變的語境下應當被再度審視。出于維系關系合同穩定性的考慮,應當承認過程信息的個人信息屬性,認可數據主體對過程信息享有支配權。當數據主體拒絕授權或撤回同意時,數據處理者便不再享有對過程信息的獨占權。與之相對應的是,《個人信息保護法》賦予數據主體的部分權利的內涵,應隨過程信息的支配轉移而相應變化。例如,數據主體依照第45條“可攜帶權”的規定,請求將其個人信息轉移至其他數據處理者時,數據主體的原始個人信息和過程信息應當一并轉移;數據主體行使第47條“刪除權”時,可以請求數據處理者刪除與自身關聯緊密的過程信息,數據處理者不得以“在技術上難以實現”為由拒絕請求。
上述規則的實現,亟須動態的“告知-知情-同意”框架與之配合。既然,關系合同中的各方在任何一個時間點上無法準確定性未來的數據處理情況,只能將彼此之間的交易視為“在很大程度上屬于未知領域的整體活動的一部分”,“告知-知情-同意”框架也必須順應數據處理活動的流變,在關鍵節點就具體事項“不厭其煩”地“詳細告知”和“請求同意”。畢竟,數據主體只有做到“就事論事”的“知情”,才能作出真正符合其意思表示的“同意”或“拒絕”,才有機會行使其對過程信息的正當權利。但為了降低各方交易成本、減少對數據主體的無端打擾,應當對數據處理活動流變的個別情形設置授權請求豁免:其一,數據處理方式的改變確實不涉及個人權益,數據處理者在履行通知義務后直接變更數據處理方式,數據主體雖無收益但其權益不受損害,是否同意甚至是否知情都不重要。其二,數據處理方式和目的雖有改變,但符合《民法典》第1037條規定,即處理自然人“自行公開或者其他已經合法公開”或處理維護公共利益所必須的個人數據時,數據處理者應當有權自行決定。其三,可信賴的第三方在數據主體的原始授權目的范圍內進行的用途兼容的數據調用,數據處理者僅需知會數據主體,無須數據主體的“額外同意”。
(二)補充善意、勤勉的數據處理原則
關系合同理論對不完全合同理論的改進體現在,放棄事后談判一定能取得實質績效的假定,將事后交易存在部分可締約的情形納入考量。換言之,關系合同將始終具備“不完全合同”的屬性,即便通過事后談判不斷校準,也只是在“非完全”的意義上進行的事后完善,只能使之無限趨近完全合同,但其“不完全合同”的屬性早已被關系合同的“關系性”所限定。這一修正十分貼合數據處理活動的實際情況--如果數據主體同數據處理者的首輪談判尚且是漫不經心的,數據主體亦很難在習慣于接受數據處理者的產品和服務之后幡然醒悟。就此而論,個人信息保護法的積極意義在于,識辨出數據處理活動中可締約的字面績效(即按合同文義執行的可證實的績效)之外可能存在的不可締約的潛在績效(按合同精神執行的不可證實的績效),并通過一種“籠統但貼合實際”的原則性表述,維護潛在績效之于數據主體可能存在的“信賴利益”。
相互信任是關系合同的根基,數據主體只有在信任數據處理者的情況下才會源源不斷地提供其個人數據,為了維護信任,數據處理者須以值得信賴的方式處理個人數據。雖然信息不對稱等原因經常致使數據主體怠于行使權利,但過度透支信任亦會導致數據主體的反擊。例如,數據主體可以“用腳投票”,或大幅減少與數據處理者共享的數據量,或撤回數據處理之同意,積少成多將導致數字信任的“崩塌”乃至個人數據的“擠兌”,最終傷害關系合同的正常履行。為維持數據處理活動長期穩定的必要信任,在數據處理活動除“遵循合法、正當、必要和誠信原則”“具有明確、合理的目”等前置性要求之外,我國《個人信息保護法》總則部分宜補充數據處理者“善意”和“勤勉”的原則性規定。
數據處理者的“善意”主要體現在三個方面:其一,不得將自身的短期利益置于數據主體利益之上,不可因數據處理活動范式的轉變趁機監管套利,在數據處理的全流程禁止自我交易;其二,在模糊保證的用戶協議之外,數據處理者應主動履行信息披露義務,提升數據處理活動透明度,確保數據主體對數據處理活動流變方式和潛在危害“真實知情”;其三,即便數據處理活動的流變給數據處理者帶來了顯著的信息優勢,亦不得對數據主體的弱點或軟肋進行不受控制的“戰略性濫用”。數據處理者的“勤勉”也體現在三個方面:其一,數據處理者應以數據處理行家里手的身份保護其占有的個人數據,對新型數據處理活動的潛在危害推定其“應當知道”;其二,針對數據處理活動的不同樣態,數據處理者應正確、積極履行事前安全保障義務、事中風險評估義務和事后損害消除義務;其三,對新興、復雜、疑難技術的使用保持審慎、合理懷疑,在必須使用此類技術的情形下,數據處理者必須對技術做到力所能及地理解,并對潛在的風險做到不遺余力地避免。
(三)平衡關系合同中的剩余權利分配
數據環境越復雜,技術方就越有可能以合法形式繞開預設約束,獨占數據處理活動中的剩余權利,迂回實現自身利益的最大化,進而損害社會公共利益。面對數據處理活動的流變,未來個人信息保護法應當更加注重對剩余權利分配的平衡,確保占有剩余權利收益的數據處理者對剩余權利之于數據主體的潛在收益給予充分補償,以便最大限度地減少關系合同的種種不效率。
“法律乃平衡的藝術,始終行走于個人權利保護與他人行為自由的兩個極端之間,力求公允。”在構建剩余權利分配機制的法律規則時必須注意,相對于經驗豐富的數據處理者而言,懵懂單純的數據主體在簽訂合同之時難以體會權利分配背后的暗潮涌動,特定權利的唾手可得鈍化了數據主體對于剩余權利失控的感知,而數據處理活動的流變放大了技術濫用的道德風險,極大地推高了關系合同的危險指數。法諺有云:“法律不保護權利上的睡眠者”。法律僅保護那些積極主張自身權利的人,因此有必要讓數據主體充分知曉數據處理活動中剩余權利所蘊含的法益。監管部門、地方網信辦應當加強與此相關的宣講工作,通過廣播電視新聞、橫幅標語、線上新媒體撰文、線下活動答疑等方式進行普法教育,向社會公眾普及數據處理活動的流變趨勢以及常見風險的防范措施,讓文化程度不高、長期怠于行使權利的弱勢群體在面對數據處理活動的流變時也能堅守一般理性人的清醒和覺察。在新興技術不斷涌現的信息化時代,公眾參與數據處理活動的“廣度和深度無論主動和被動都會加大”,“博弈的自覺、有序和擔當”顯然亟待加強,這是理性的數據主體必須承受的“學習成本”。
對于某些后果極其嚴重的剩余權利濫用行為,政策制定者可以本著維護公序良俗和公共利益的考量,規定數據處理活動的行為底線,例如在保證自動化決策透明度和結果公平、公正之外,一概禁止戰略性利用數據主體弱點的監管套利行為,從而內化剩余權利失衡帶來的外部性成本。根據筆者的觀察,數據處理活動的流變,可能導致以下幾類剩余權利濫用行為,必須通過強制性條款予以禁止:(1)濫用信息優勢地位壓榨數據主體的行為;(2)“卡脖子”式的合同束縛行為;(3)將專屬人格權益或個人隱私進行商業化利用的行為;(4)顯失公平或違反倫理道德的行為。數據處理活動的流變方式因技術而異,一種可行的解決方案是建立剩余權利濫用行為的“負面清單”,根據執法情況不斷添加完善,及時更新、定期向公眾公布。以負面清單為依據,剩余權利的濫用行為即為可訴行為,損害量化和因果追溯問題也將迎刃而解。
(四)構建多層級、多維度的責任體系
法律責任在所有具有規范性意義的制度安排中居于核心地位,既是違反特定義務必須承擔的法律后果,也是救濟相關權利損害的必要措施,更是保護正當權益的直接手段。《國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》明確要求“健全數據資源目錄和責任清單制度”,預示著未來將會出現比現有二分法、三分法細粒度更高的歸責機制。應對數據處理活動的流變,基于合同相對性的責任承擔應當讓位于基于合同連鎖性的責任分配。
在流量經濟引發道德風險的今天,強化責任鏈條的必要性遠超以往任何一個時代。為爭奪市場占有率,數據處理者依靠過度宣傳招攬客戶的行徑可謂司空見慣。況且,數據處理者還經常面臨自身稟賦不足以應對復雜需求的困境,利用多方安全計算“蹭數據”、利用聯邦學習“蹭算力”等情形時有發生。為了促成關系合同的簽訂,數據處理者對可能引發爭議的特別事項或避而不談、或刻意將其美化,例如,將數據處理活動流變中的“轉委托”行為描述為“與第三方形成技術合力,共同提供最強技術保障”,完全枉顧數據處理者可能通過反向識別手段再次“開墾”數據的風險。而且,當從數據處理者的處理能力到達上限時,便可能再次轉委托他人處理數據,這種層層外包的方式若不加限制,將導致數據主體的隱私受到“反復侵害”。
從關系合同的“環環相扣”入手,在數據處理活動流變形成的“多層次的法律關系集合體”中,主導方責任、參與方責任、技術方責任和監管責任共同構成了未來適用的責任框架。在普通數據處理活動中,風險通常能夠追溯至形跡可疑、不懷好意的責任主體。隨著數據處理活動的流變,風險的產生途徑更加寬泛,任一參與方的數據瑕疵、因覬覦而實施的小動作、敵意而隱秘的直接攻擊等,都可能“以點帶面”地造成損害。得益于《個人信息保護法》第56條、《互聯網信息服務管理辦法》第14條、《移動智能終端應用軟件預置和分發管理暫行規定》第8條和《數據安全法》第33條所奠定的數據留存義務,我國現有法律規定已經能夠基本做到數據處理活動的“全過程留痕”,使得更加精細的責任分配成為可能。針對風險源頭高度分散、風險樣態各不相同、風險發生隨時隨地的新興技術,責任分配機制的設計也應當靈活多變,不能簡單地將侵權責任的線性思維套于其上。此外,在考慮連帶責任的適用情形時應尤其慎重,可藉由可責性和原因力作為配置侵權責任的依據,避免連帶責任的泛化。
技術方與主導方通常歸屬于同一主體,是多方安全計算、聯邦學習的主要發起人,應當對隱私安全防線崩潰、參與方把關不嚴、算法偏見和其他潛在技術風險承擔主要責任。少數情況下,技術方與主導方不屬于同一主體,除非主導方與各參與方直接簽訂合同或主導方有重大疏忽等例外情形,由技術方對數據處理流程中的安全缺陷和目標偏離負責才是正常的責任配置原則。不過,數據處理活動流變的潛在危害,例如個人隱私泄露、訓練模型輸出歧視性結果等,主要受害人是數據主體,向數據主體直接承擔責任的數據處理者亦即各參與方,處于責任鏈條的最前端。當數據處理者履行了作為參與方的賠償責任之后,可以依法向其他參與方、技術方和主導方追償。此時,應當結合實際情況區分過失和故意,禁止故意方向過失方追償。需要補充的是,面對數據處理活動的流變,責任分配雖有細究之必要,但是主導方、技術方、參與方之間的內部關系如何,“不會也不應對”數據主體的個人信息權益產生不利影響,數據主體有權向任一數據處理者行使個人權利。
結 語
掙脫監管、唯利是逐是新興技術的天性,數據處理活動的流變路徑也因此耦合了風險產生的技術規律。借用關系合同理論,本文試圖提供一個認知框架,用以闡述合同向度內,個人信息保護法積極擁抱未來變化的適應性品質。時至今日,對個人信息的合理使用仍然缺乏一個被普遍接受的標準。或許正是由于“合理”一詞的含義模糊不清,才使其獲得了合同各方的廣泛支持。所謂合理,究竟是之于數據主體的合理,還是之于數據處理者的合理,抑或是之于公共利益的合理,在不同的數據處理活動中有著大異其趣的解釋空間。從本文的論述延伸,個人信息“合理使用”的法律解釋也應與時俱進。面對數據處理活動的流變,個人信息的“合理使用”取決于個人信息保護法能在多大程度上保障:其一,因數據處理范式的轉變導致的關系合同變更,不能使數據主體境遇更差;其二,無論數據處理活動如何流變,數據處理者的處理行為符合善意和勤勉的基本要求;其三,在實現數據要素價值釋放的同時,加強數據主體對過程信息和剩余權利的匹配和控制能力。唯有個人信息的確在“合理使用”范圍之內,數據處理活動的流變才不再聳人聽聞。
作者:唐林垚,法學博士,中國社會科學院法學研究所助理研究員。