摘要:在大數據時代,信息控制者對于個人信息有很強的利用激勵而缺乏同等程度的保護激勵。如果法律規則只是簡單施加各種禁止性或者強制性規定,勢必因為激勵不相容影響有效實施。盡管立法模式不同,不論歐盟還是美國,近年來都在探索建立激勵相容的個人數據治理體系。我國目前的個人信息保護相關立法存在法律要求與信息控制者內部治理機制脫節、刑法制裁與其他法律手段脫節、責任規范與行為規范脫節等問題。個人信息保護法應以培育信息控制者內部治理機制為目標,以構筑有效的外部執法威懾為保障,促使信息控制者積極履行法律責任,并對違法行為予以制裁。個人信息保護法應確認信息主體在公法上的個人信息控制權,不能也不應該回避基本權利話語。個人信息保護法的實施,需要先從信息安全風險管理角度切入,由易到難,循序漸進,推動激勵相容機制實現。
關鍵詞:激勵相容;個人信息保護法;個人信息控制權;信息安全風險;大數據時代
一以激勵相容為制度設計的核心
國內外學術界對于中國改革開放基本經驗的主流總結,無外乎中央與地方關系上的縱向分權改革和政府與市場關系上放松管制的市場化改革。“我國經濟體制改革最核心的內容就是實現由傳統的計劃經濟向社會主義市場經濟體制的轉軌”,國家通過分權與市場化改革,調動地方政府與市場主體的積極性與創造性,形成推動經濟發展的巨大合力。不同的理論解釋,內在邏輯均是強調通過激勵機制調整來調動各級政府或者市場主體的積極性與創造性,走出一條中國的大國發展道路。與經濟發展相適應,中國社會治理變遷的主要方向,也是“從一元治理到多元治理、從集權到分權、從人治到法治、從管制政府到服務政府、從黨內民主到社會民主”。從管理到治理的轉變,蘊含的是多元主體的互動、協商與合作,而不再僅僅依靠過去自上而下單方面的控制與命令。
中國發展道路選擇不僅符合本國國情,也與近年來國際上政府改革的普遍經驗契合。20世紀70年代末以來,全球范圍掀起了洶涌澎湃的行政改革浪潮,被稱為新公共管理運動,其基本特征包括公民為本、市場化、結果導向、分權協作、民主參與、多中心自主治理等。新公共管理運動的實質是基于激勵約束機制,構建多方合作治理的有效格局。學術界認識到,“與高度復雜性和高度不確定性的時代相適應的社會治理模式應當是一種合作行動模式,只有多元社會治理主體在合作的意愿下共同開展社會治理活動,才能解決已出現的各種各樣的社會問題,才能在社會治理方面取得優異的業績”。
傳統法律理論認為,法律是主權者的命令,是必須遵守的規范,令行禁止是其基本特征。因此,傳統立法規制方式通常是命令控制方式,表現為禁止性規范或者義務性規范,要求被管理對象不得或者必須為某些特定行為。這種規制方式有很多弊端,包括:要求很強的執法能力,否則命令會被普遍漠視;由于信息不對稱,這種命令可能與市場規律脫節,遏制市場主體創新能力與守法誘因;執法部門權力過大,可能會導致選擇性執法或者“執法捕獲”等問題。在全球行政改革浪潮中,傳統的命令控制式規制受到廣泛批評,激勵性監管得到重視,人們發現規則如果能夠與被管理者激勵相容,會極大降低執法成本,提高合規動力。因此,法律規則除了命令、禁止以外,還可以發揮引導作用,調動被管理者的守法誘因。如何設計這種激勵相容機制,是規范實施的成敗關鍵。
理論研究與國內外實踐發展均表明,政策或者立法如果激勵不相容,會形成“管理型”立法,而不是“治理型”立法。這樣制定出來的政策或者法律,實踐中難以得到執行,還可能導致執行成本高、規制對象抵觸、執行效果差、執行權威受損、運動式執法、選擇性執法甚至執行部門造假等連鎖問題。在我們“所制定的法律、法規中,絕大多數事實上沒有被當作法看待,沒有起到法所應起的作用”,首要根源在于“立法違背科學,或立法技術存在問題,使法不能實行或難以實行”。
我國制定個人信息保護法,不能脫離大的制度背景,有必要從中國改革開放的基本經驗和全球行政改革的大趨勢中吸取養分,避免或者少走彎路。在大數據時代,由于數據本身的特性,信息控制者有很強的利用激勵而缺乏同等程度的保護激勵。如果法律規則不能因勢利導,只是簡單施加各種禁止性或者強制性規定,勢必因為激勵不相容影響有效實施。
隨著信息技術發展,數據傳輸、儲存、計算成本快速下降,數據開始成為資源。大數據不僅具有容量大、類型多、存取速度快等特點,還可以通過分析技術“使數字信息成為知識,支持智能決策”,產生新價值。這樣,大數據不僅給信息控制者帶來巨大經濟收益,也給消費者(包括信息主體)帶來免費使用、高品質服務、快速迭代創新等各種便利。凱文·凱利在對未來20年商業科技發展預測的一次講演中提出,在大數據時代,“所有生意都是數據生意”,“個人數據才是大未來”。舍恩伯格更明確指出,“大數據的核心就是預測”。在大數據時代,數據對于信息控制者而言,就是生產要素和行動指引。信息控制者必然會充分利用大數據揭示的相關性,提前預測信息主體和社會的各種需要,提供精準的定制化產品或服務。對于國家而言,數據早已成為各國基礎性戰略資源,大數據發展成為國家戰略的一部分。
大數據由人、機器或者傳感器產生。其中,最基本、最有價值的是個人信息,由用戶活動產生,“收集和整理個人信息都是獲取權力的方式,通常以信息主體為代價”,因此需要在個人信息保護與大數據發展之間實現平衡。不同于其他生產要素,數據具有公共產品才具有的非排他性、非獨占性特點,可以反復使用、共享,這使信息控制者對個人數據保護遠不如對其他私有財產保護重視,容易產生各種疏忽現象。在網絡環境下,數據具有隨時產生、多點存儲、多次開發、跨場景應用、多人經手、跨國界傳輸、收集與處理分離、生命周期短、孤立數據本身并不產生價值、需要技術解決方案等特點,若全部都加以保護,技術、經濟上有很大難度,會產生很高的保護成本。并且,隱私與隱私之間也需要權衡,在一端加強對隱私的保護,會在另一端產生弱化對其保護的結果。數據發生泄露的情形非常復雜,個人數據濫用的受害者是信息主體,不是信息控制者。信息控制者很難有充分的激勵與能力保護個人數據,只是被動應付法律要求。
在信息控制者利用激勵與保護激勵明顯失衡的結構下,如果缺乏外部干預與政府監管,勢必產生“叢林法則”和對個人信息的肆意濫用,這是各國普遍重視個人信息保護、個人信息保護法成為全球性立法趨勢的根本理由。我國近年來也明顯加強了立法與制度建設的步伐,從多方面加強對個人信息的保護力度。但是,在信息控制者激勵失衡的背景下,如果立法缺乏科學性,只是簡單施加各種強制性外部要求,忽視信息控制者內在激勵機制設計,并不能消除失衡根源。從概率角度看,利用與保護之間失衡的可能性仍然很大,占四分之三的比例:外部監管過于嚴格,抑制大數據開發利用;缺乏監管或者監管要求普遍不被遵守,大數據利用以犧牲個人信息保護為代價;監管游移不定,忽左忽右,陷入既沒有大數據利用也難以保護個人信息的雙輸格局。只有外部要求與內生激勵相容,才能夠實現大數據利用與個人信息保護協調發展,其概率只有四分之一。
在大數據時代來臨之前,個人數據實際處于未被利用的沉睡狀態,激勵失衡問題并未被激活。至大數據時代,隨著數據價值逐步被認識,信息控制者利用數據的激勵越來越強烈,激勵失衡現象會愈發突出,法律實施遇到的挑戰也會越來越大。因此,大數據時代的個人信息保護,絕不僅僅是制定個人信息保護法那么簡單。真正的挑戰在于,如何通過科學的立法與制度設計,理順立法要求與信息控制者內在激勵之間的關系,使個人信息保護成為信息控制者的內在需要。這是個人信息保護法制度設計的目標和最終評價標準。
二準確理解歐美個人信息保護法的新發展
歐盟與美國個人信息保護法律路徑不同,兩種模式的差異是客觀的,也是明顯的。但是,國內過去比較歐美個人信息保護法律,普遍缺乏對兩種模式實際運行狀況以及共性的研究,存在簡單的揚美抑歐現象。不少人認為歐盟國家不重視大數據發展、美國不保護個人隱私,并將制定個人信息保護法與阻礙創新(歐盟模式)畫上等號,將不保護隱私與更有利于創新(美國模式)畫上等號,人為制造了隱私保護與創新不可兼得的兩難局面。這種貼標簽式的研究方法,既限制了比較研究的深度和廣度,與現實情況存在很大出入,更改變不了美國經驗無法學、歐盟引發的國際立法趨勢無法逆轉的大格局。其實,大數據發展與個人信息保護的平衡作為這個時代的最大挑戰之一,歐盟與美國分別面臨各自的問題,都難言找到了完美的解決方案,對后發國家最重要的是要從歐美的經驗與教訓中探索個人數據治理的成功之道。
隨著大數據時代來臨,從實證出發,探討個人信息保護的有效實施機制,而不僅僅是關注法律規定的差別,已經成為近幾年國際上、尤其是美國隱私法律研究的新熱點。不論名稱叫新治理、合作規制、合作治理還是叫回應性規制、激勵規制等,其背后的機理均在于發現有效的激勵機制,調動被管理對象參與治理的積極性,提高執法效果。最新國際實證比較研究成果表明,歐美兩種模式實際上存在某些共同規律可循,而歐盟不同國家之間的差別也比過去想象的要大得多;不管哪種模式,不論法律多么嚴格,只有激勵相容才會取得預期保護成效,不相容則難以得到執行,甚至會導致既阻礙創新又保護不了個人信息的雙輸結果。因此,成敗的關鍵不在于法律規定的模式差別,而在于個人數據治理的制度設計是否科學。探索中國個人數據治理之道,必須超越歐美兩種模式的簡單法規范對比,既要看到兩種模式的差別,更要從兩種模式中吸取有益的經驗。只有這樣,才能博采眾長,走出一條符合我國國情的個人信息保護法治道路。
2010年,兩位美國學者發表《書本上與實踐中的隱私》一文,通過對行業公認的首席隱私官的大量訪談,對美國企業過去15年間隱私政策的執行狀況首次進行實證研究。隨后,他們擴大研究范圍,對四個歐盟國家(德國、法國、英國、西班牙)的企業隱私實踐進行研究,大量訪談企業隱私官員、政府官員與學者,并于2015年出版《實踐中的隱私——推動美歐企業行為》,其中很多發現讓人耳目一新,獲得各界廣泛關注與好評。他們的重要結論包括:(1)美國與英國企業的隱私官員一般從避免給消費者預期造成損害的風險管理角度看待隱私保護,其他三個歐洲大陸國家企業的隱私官員基本從人權角度看待隱私,回避采用風險和消費者損害話語。(2)盡管在基本觀念、實體法律以及執法機構等方面存在很大差異,美國與德國的企業基本以相同的方式對待隱私管理。兩國隱私官員都將隱私保護當作戰略問題,需要考慮的遠遠超出單純遵守特定的法律規則;都將隱私當作不斷演變、面向未來和依賴語境變化的社會價值,而不僅僅是個人同意與控制;都有有權并且相對自主的職業隱私官員,能夠接觸企業高級管理層,參與企業重要決策,并與外部利益相關者密切互動;活動很多都涉及戰略性議題而不純粹是操作層面的議題,職能遠超“合規”要求,因而使企業內部的隱私決策能夠與企業的戰略決策、核心價值相互整合;作為企業高級雇員,隱私官員既能夠自上而下指揮,也能夠直接與董事會溝通;企業內部都通過分布式網絡進行隱私管理,由職業隱私官員和業務單位中經過專門培訓的雇員組成執行網絡,從產品設計、業務開發的早期階段就將隱私保護與業務開發緊密相聯,實現雙向溝通。(3)美國與德國企業的做法截然不同于法國、西班牙與英國企業的做法。西班牙與法國的企業很大程度上將隱私職能作為遵守確定的法律命令,哪怕自己懷疑做不到也要嚴格執行。英國企業也同樣重視法律,但對于執行前景更為樂觀。英國的首席隱私官在企業中的地位比美國、德國的同行要低好幾個級別,能夠得到的資源和參與高層決策的機會都少得多,無法在企業內部構建有效的分布式執行網絡。西班牙、法國企業的隱私官員大部分都單線歸屬于合規或者法務部門,主要工作是滿足數據登記、使用和報告等要求,隱私保護與產品、業務開發相互脫節,也缺乏執行隱私保護的分布式網絡結構。(4)從法律規則實施有效性方面評價,規則越原則,企業的隱私管理實踐越有效,德國與美國屬于此類;規則要求越具體,執行權越集中,企業就越容易只是遵守合規要求,而不是將隱私保護內化為行動,法國、西班牙屬于此類。(5)在變化的環境下,法律規則要促進企業承擔更多責任,需要原則性立法和開放式監管,并輔之以能動的監管者和有效的外部利益相關方監督;搭建跨界、包容的隱私保護共同體,使政府、企業和社會的隱私專業人員能夠密切互動,反過來鞏固企業隱私官員在公司的地位;充分曝光隱私保護失敗事例,包括數據泄露通知,加強媒體、非政府組織和公眾監督,促使企業加大對隱私保護的重視和投入。兩位學者的上述發現與研究結論不僅在一定意義上打破了通常的美國與歐盟兩大模式的刻板劃分,也深化了對企業內部隱私保護實施機制與個人信息保護法作用機理的認識。
另一項同樣基于大量訪談的實證研究發現,荷蘭作為歐盟國家,其二十多年的隱私法律實施并不是通常理解的單純政府監管,而是體現了政府部門與業界的合作治理精神。荷蘭制定隱私保護法律以后,其實施都是先由各個行業協會提出企業行為規范,先后有銀行、保險、直接營銷等二十多個行業提出了本行業的企業行為規范,以避免政府直接監管導致的信息不對稱問題;然后,各個企業行為規范需要經政府批準后才能實施,以避免純粹的行業自律機制可能導致的力度不夠、運動員與裁判員不分現象。荷蘭實踐中的這些做法,正好是美國政府致力于推進隱私法律制度改革的方向,美國有大量的改革計劃都與荷蘭的經驗相似。這樣,通常理解的美國、歐盟兩大模式劃分,其實掩蓋了各國對于合作治理方式的共同探討。更值得關注的是,美國致力于學習的荷蘭經驗,在歐盟《一般數據保護條例》(下稱《條例》)中得到了重視,規定了“經批準的行為規范”具有證明跨境個人信息傳輸合法性的法律效力,這是歐盟《關于個人數據處理及其自由流動的個人保護第95/46/EC號指令》(下稱《個人數據保護指令》或《指令》)所缺乏的內容,也是歐盟在推進合作治理方面的一個重大進步。
有學者通過對愛爾蘭、美國兩個國家行政執法部門2011年對Facebook的執法調查案例比較研究發現,盡管兩個國家個人信息保護法律規定差別很大,但由于執法部門都采用了更為有效的回應性規制方法,通過執法協議要求企業持續改進其隱私保護實踐,而未采用常規的對抗式處罰方式,因此“使大洋兩岸之間的明顯差別難以區分”。這樣的友好型處理既能更靈活地適應技術變化帶來的規制挑戰,符合成本有效原則,也有利于提升真實世界的數據保護實踐。
還有學者通過對德國、法國、意大利、英國四個歐盟成員國的隱私保護實證研究,發現四個國家隱私規制的共同趨勢是將嚴格的政府執法、公共壓力之下的行業自律和低水平的訴訟機制相結合,稱之為“合作法治主義”模式。這雖然不同于美國以訴訟為主的模式,但其中明顯有很多相似的機制,尤其是通過執法威懾和公共壓力機制促使企業更多行業自律,實現他律與自律的結合。即使法國、意大利這樣的對于業界參與決策過程一直持敵視態度的國家,也在政策制定過程中納入更多自律機制。
如果說美國一直在探討如何構建有效的個人信息保護法律體系,歐盟則已經將制度建設付諸實施。從《個人數據保護指令》制定到《一般數據保護條例》出臺,體現了既保護個人信息決定權利又促進個人信息自由流動的雙重價值。這種雙重價值追求,既體現在《指令》《條例》的名稱中,也體現在立法結構的整體安排上,更體現在《指令》《條例》的前言、基本原則與具體規定之中。當然,鑒于《指令》制定之時移動互聯網與大數據尚未發展,其側重點更多偏向個人信息保護;而《條例》的制定就必須同步考慮大數據發展的實際,為大數據發展提供法律依據,為歐盟數字經濟發展留下空間。國內解讀歐盟個人信息保護法律制度,往往只強調其權利保護的一面,看到嚴格執行的各種要求,忽略了其促進發展的一面和制度設計中的各種平衡追求。
從第三方獨立觀察的角度解讀,尤其與《個人數據保護指令》比較,《一般數據保護條例》在構建多元主體參與合作治理、推動大數據發展方面的考慮,至少體現在如下三個方面:
首先,在加強對個人信息保護的同時,適應大數據時代的現實,在個人信息使用目的限制、數據留存期限等方面,盡量為大數據開發利用開辟可能的路徑。比如,使用目的限制是歐盟法律的一項核心要求,《一般數據保護條例》也規定得非常嚴格,不允許信息控制者一攬子獲得一般性同意。但是,對《條例》進行詳細的分析可以發現,立法者還是故意給數據用于新的目的留下了途徑。對于數據留存,《個人數據保護指令》只規定了兩種方式:一是基于原始收集目的留存;二是完全匿名之后可以留存。《條例》增加了一種新的方式,允許基于統計目的,并在符合成員國各自制定的保障措施的條件下留存數據。另外,《條例》廢止了過去很多情況下數據處理者需要向數據保護局“事先通知”數據處理的要求,而這一要求是《指令》構筑的核心制度。兩位權威歐洲學者在比較了《條例》與《指令》在促進大數據發展方面的差別后得出結論說,“《條例》雖然并未與過去決裂,但清楚地描繪了可以用更適應大數據環境的基于使用機制來替代傳統數據保護核心機制的未來路徑”。
其次,相較于《個人數據保護指令》,《一般數據保護條例》更突出強調責任原則、透明原則的地位和作用,強化信息控制者內部治理機制,調動信息控制者參與數據治理的積極性。根據《條例》要求,信息控制者需要建立有效的技術與管理措施,包括經常進行審計、貫徹“設計即隱私”理念、執行隱私影響評估、任命數據保護官、采取與風險相適應的安全防范技術措施,事先與數據管理局咨商等,并根據環境變化及時更新,不斷完善內部數據治理體系。《條例》很多新的要求都是《指令》所缺乏的,體現了立法觀念上的明顯進步。比如,《指令》第18條第2款并沒有強制要求信息控制者設置數據保護官一職,只是倡導性規定,盡管德國、法國在實踐中已經采用了這種制度。《條例》修改引入了數據保護官要求,并以充分的篇幅對其地位、職能等做了較為完備的規定,被歐盟專家普遍認為是完善信息控制者內部治理機制的核心。《指令》并未規定筆名化概念或者措施,《條例》引入了筆名化制度,并對筆名化和匿名化兩種安全措施進行了明確區分,對筆名化提出了明確的要求,規定《條例》不適用于匿名化信息, 目的是為了從源頭降低信息主體的安全風險,幫助信息控制者滿足法律要求, 促進大數據發展。另外,《指令》未規定加密概念或措施,而《條例》明確將加密作為一項安全措施加以規定,這體現的也是“設計即隱私”的源頭治理思路,鼓勵企業從源頭采取防范措施,有利于推動云計算發展。
《一般數據保護條例》構筑合作治理最為典型的領域,當屬在跨境信息傳輸機制上的創新。《個人數據保護指令》第25條規定向歐盟之外的第三國傳輸個人數據需要滿足充分性要求(由歐盟委員會認定),否則不得傳輸。除此之外,《指令》第26條第2款還設計了變通性質的“合適合同條款” 機制。一個國家雖然沒有得到歐盟委員會的充分性認定,但該國之內的企業只要能簽署符合歐盟要求的模范合同條款,承諾遵守保護個人數據,就可以進行跨境信息傳輸。實踐中,企業集團或者關聯企業內部跨境傳輸個人信息只要滿足自我約束規則的要求,歐盟也認為符合充分性條件。對于美國企業,歐盟還有單獨的《安全港協議》機制,美國企業只要承諾遵守相應規定, 即可獲得從歐盟傳輸個人數據的資格。這些機制設計,既彌補了一般充分性認定機制的不足,避免了《指令》實施可能導致的數據無法跨境傳輸窘境,也使不同企業都能找到符合自己情況的政策工具,調動其保護個人數據的積極性,帶有典型的合作治理色彩。《條例》在上述幾種機制之外,又增加了經批準的行為規范和第三方認證具有證明跨境信息傳輸合法性的效力,進一步豐富了合作治理的形式,屬于典型的自律與規制結合的激勵性監管方式,可以更為充分地調動信息控制者主動參與的積極性。
再次,通過設計強有力的外部執法威懾機制,促使信息控制者主動承擔法律責任。《個人數據保護指令》過去體現的是以事前登記、信息主體決定權為核心的控制思路,缺乏有效的事后威懾手段。比如,《指令》沒有明確執法協調機制,導致實踐中執法標準不統一、執法管轄權模糊,增加了信息控制者的守法難度;缺乏罰款標準,將規則制定權交由各國行使,各國執行起來差別很大,普遍力度不夠;沒有規定個人數據泄露的通知要求,難以通過公開與社會監督機制形成有效壓力。正因為如此,《指令》雖然事前要求很多,但一旦信息控制者違反規定,后果可能并不嚴重甚至流于形式,這影響了《指令》的權威性和有效性。針對威懾不強這一突出問題,《一般數據保護條例》進行了全面改進,其主要措施包括:確立牽頭數據管理局,加強各國執法合作,避免不同國家多頭執法導致的執法標準不統一;統一設立最高罰款上限為2000萬歐元或者信息控制者上一年度全球營業額4%的罰款標準,大幅提高罰款的幅度;增加個人信息泄露后分別通知數據管理局和信息主體的義務,建立有效外部威懾機制。《條例》的這些新措施,明顯與美國的很多執法威懾機制類似,既消弭了歐美過去的很多制度設計差異,也有利于通過強有力的外部威懾機制促使信息控制者更好承擔數據治理責任。
相較于《個人數據保護指令》,《一般數據保護條例》的整體制度設計思路更清晰、規定更翔實,充分體現了通過更有效的內部治理、更強的外部威懾,促使信息控制者主動承擔更多責任的立法意圖,符合激勵監管的基本原理。如果說法律規定是外在的表現形式,那么追求法律的有效實施機制就是內在動力,兩者之間是器與道、形與神的關系。后發國家如果只看到美歐法律規定的表面差別,看不到背后的作用機理,就很難從其經驗與教訓中獲得任何有益的啟示。
三培育信息控制者的內部治理機制
發展中國家不同于歐美發達國家,不論是基本權利保護還是消費者預期保護,在信息控制者的行為序列中可能都還難以達到同樣的高度。制定個人信息保護法,首先要找到信息控制者最基本的激勵,并圍繞核心激勵設計相關的制度。對于所有信息控制者而言,最基本的需求肯定都是發展與安全。發展是目標,安全是實現目標的保障;缺乏安全保障,不可能有發展。由于技術水平的差距,發展中國家面臨的安全挑戰比發達國家要大得多。從安全防范角度切入,在發展中國家應該是最容易為信息控制者接受的解決方案。
安永第19屆《全球信息安全調查報告》采訪了1735名首席管理人員、信息安全與IT高管或經理,他們代表了眾多全球規模最大且最知名的企業。2017年9月發布的調查報告顯示,在過去兩年中,87%的公司董事會成員和企業高管都表示對其公司層面的網絡安全缺乏信心;44%的企業沒有安全運營中心,64%的企業沒有或只有非正規的威脅情報計劃,55%的企業沒有或只有非正規的漏洞識別能力;62%的企業在經歷了看似無害的安全事件后,并不會增加其網絡安全支出;部分企業懷疑自身是否有能力繼續識別網絡中的可疑流量(49%)、追蹤數據的訪問者(44%)或發現潛藏的未知“零日漏洞 攻擊(40%);89%的企業不去評估每次重大事件所帶來的財務影響,而在2016年遭受過網絡安全事件的企業中,有近半數(49%)對該網絡事件造成或可能帶來的經濟損失并不了解。據針對13個國家與地區419家公司的調研,2017年每家公司數據泄露的平均成本為362萬美元,每人次個人數據泄露的平均成本為141美元;諸如南非、印度等發展中國家,在未來24個月內最有可能發生人次超過1萬以上的實質性數據泄露事件,而德國、加拿大發生這種事件的概率最低。
從國內外近年來屢屢發生的各種數據泄露案例來看,信息控制者面臨的安全挑戰壓力是現實的,也是巨大的。個人數據泄露會造成聲譽、法律責任承擔與客戶流失等影響,而隨著競爭加劇,“隱私成為品牌”,有效保護個人信息會成為市場主體的核心競爭力,價值會逐步外溢,成為無形資產。
對于信息控制者而言,從信息安全角度來保護個人信息,本應該是順理成章的事,個別行業領先企業也已經自發在進行相關的內部治理機制探索。但是,過去對信息安全約定俗成的理解,并不包括個人信息安全或者隱私保護。基于這種背景,1994年制定的《計算機信息系統安全保護條例》,目的是為了保護計算機信息系統的安全,保障計算機及其相關的和配套的設備、設施(含網絡)及其運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行。2004年公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室印發《關于信息安全等級保護工作的實施意見》,2007年四部門又印發《信息安全等級保護管理辦法》,完整建立了我國的信息安全等級保護制度。隨后,國家通過陸續制定統一的信息安全等級保護管理規范和技術標準,對信息系統分等級實行安全保護。在信息安全等級保護制度中,保護的對象主要是重要信息和信息系統,在上述文件和《信息安全技術·信息系統安全等級保護基本要求》(GB/T22239-2008)以及該國家標準所指引的“共同構成了信息系統安全等級保護的相關配套標準”中,均缺乏關于個人信息保護的規定,使個人信息保護一直游離于信息安全等級保護制度之外。這樣,在傳統的信息安全觀念下,信息控制者長期考慮的只是計算機系統安全或者運行安全,力圖通過權限管理、病毒查殺、設立防火墻、VPN、入侵檢測等管理與技術措施,防止系統被攻擊和癱瘓,未能將個人信息保護納入安全框架內一并予以考慮,導致信息安全管理與個人信息保護存在長期的相互脫節現象。
近年來國家明顯加大了個人信息保護的立法進程,2009年侵權責任法首次在法律中確立了隱私權的法律地位。同年,刑法修正案(七)設立了出售、非法提供公民個人信息罪與非法獲取公民個人信息罪兩個罪名。2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》,第一次從法律上界定了個人信息的內涵和范圍,也是我國法律第一次對個人信息保護實體內容進行較為系統的規定。2013年修訂的消費者權益保護法,明確將個人信息得到保護的權利列為消費者的一項基本權利,全面突出強調了消費者個人信息保護方面的內容。2015年刑法修正案(九)對刑法修正案(七)的規定予以進一步完善,將兩個罪名合并為侵犯公民個人信息罪一個罪名,還增設了拒不履行信息網絡安全管理義務罪。2016年制定的網絡安全法是迄今為止對個人信息保護規定最為全面的立法,它明確要求網絡運營者建立健全用戶信息保護制度。2017年民法總則第111條規定,自然人的個人信息受法律保護。
由于缺乏專門的個人信息保護法,我國個人信息保護相關立法目前普遍存在兩個突出問題:一是規定過于原則,往往只是一個概念或者一個具體要求,通常是禁止性要求,缺乏系統的整體制度設計,即使網絡安全法對于個人信息保護也都只是一些非常原則性的規定;二是普遍重責任追究,尤其是刑事責任追究,輕過程規范,輕綜合治理。只要發生不利結果,就責任很重,甚至可以直接刑罰制裁,而信息控制者究竟應該履行哪些法律義務則缺乏規定。比如,按照《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,對于侵犯公民個人信息罪“情節嚴重”采用了十種不同的判定標準,符合標準之一就可以定罪。這樣,幾乎所有侵犯公民個人信息行為都可能直接觸發刑事責任,完全可以替代任何行政執法機制,更不需要內部治理機制配合。結果,近年來的密集立法不但未能解決信息控制者內部信息安全與個人信息保護脫節問題,還導致外部法律要求與信息控制者內部治理機制脫節、刑法制裁與其他法律手段脫節、責任規范與行為規范脫節等現象,呈現典型的命令控制式立法特點。刑事責任規定雖然看似嚴格,實際效果卻非常有限。隨著大數據發展,一些市場主體已經意識到個人信息保護的重要性,并進行相關的主動探索,但囿于內部體制分割,加之法律規定導致的各種脫節現象,始終無法破解“兩張皮”“多張皮”問題癥結。
個人信息保護法要做的,就是針對上述各種脫節現象,借鑒近年來國際社會的實踐經驗與國內行業領先企業的有益探索,以培育信息控制者內部治理機制為目標,將個人信息保護要求嵌入整體信息安全防范體系中,明確各個環節的相關法律義務和組織要求,完善多元參與與互動機制,實現法律規范的外在要求與信息控制者的內在需要激勵相容,達到既保護個人信息安全又強化信息控制者的安全防范能力的雙贏結果。這就涉及觀念更新、組織與流程再造、行為方式調整等各個方面,是一項系統工程,需要進行全面的制度設計。
首先,需要更新信息安全觀念,走出傳統的運行安全、系統安全的純技術路徑依賴,適應大數據時代的特點,確立數據安全觀念,把數據當做核心資產,確立用戶個人信息至上的基本價值觀,培育保護個人信息就是維護核心競爭力的意識,積極主動承擔個人信息保護責任。盡管觀念更新僅僅依靠立法不可能完全解決,但通過個人信息保護法明確相應的法律義務與要求,加大違法行為的責任承擔,一定有助于改變長期積重難返的各種認識模糊問題。
其次,結構決定功能,觀念明確以后,有效的組織結構就是基礎。如果能夠從結構上構筑信息控制者積極主動作為的組織體系,就完全有可能改變其行為方式,使個人信息保護成為其內生機制的一部分。個人信息保護法應明確要求信息控制者指定或者設立專門機構或具有相應資質的專門人員(數據保護官),負責本單位個人信息保護日常工作,包括參與涉及個人信息保護所有重大決策的個人信息影響風險評估、負責擬定個人信息保護政策、與相關個人信息保護主管部門或行業自律組織聯絡、組織個人信息保護安全培訓、接受信息主體的投訴等。數據保護官應獨立履行職責,享有任職保障,并直接向本單位最高管理層負責,使最高決策層能夠直接過問個人信息保護問題。要破解前面提到的各種脫節現象,務必從組織體系上實現個人信息保護與信息安全管理、安全管理與業務發展相互融合。安全管理一定要能夠分布式延伸到每一條業務線,與業務團隊實現無縫對接,既實現安全管理政策的有效觸達,又全方位為業務發展保駕護航,有效解決“兩張皮”“多張皮”現象。從國內行業領先企業的探索實踐看,尤其在制度建設的過渡階段,由于安全部門的地位更受重視,與業務線融合更好,由安全部門從企業數據安全角度負責個人信息保護,可能比法務部門從合規角度負責個人信息保護更為有效,更有利于迅速推進各種融合。當然,由于不同信息控制者的實際情況不一樣,個人信息保護法不宜“一刀切”地介入信息控制者內部職能劃分,但推進融合的大方向顯然是非常明確的。不同的信息控制者應該根據本身實際情況,采取最有效的推進融合的組織形式。
再次,改變過去合規與業務流程設計相互分離、就合規談合規的傳統做法,從業務流程設計開始就將個人信息保護要求嵌入產品與服務之中,體現“設計即隱私”理念,實現個人信息保護全流程覆蓋、全業務貫通的行為方式轉變。在大數據環境下,不從源頭設計個人信息保護,無法真正防范信息安全風險,這是推進組織融合的出發點和目的,也是行為方式轉變的核心。為此,個人信息保護法需要設計一些重要的制度,主要包括:(1)在網絡安全法確立的合法、正當、必要原則之外,明確將責任原則也確立為個人信息保護的一項基本原則,促使信息控制者積極履行責任,防范風險發生。(2)信息控制者在采用涉及處理個人信息的新措施、新技術、新應用之前,應進行個人信息影響風險評估,并采取相應的安全措施,預防風險發生。評估可能存在高風險,技術上或者經濟上無法有效化解這種風險的,應事先咨詢個人信息保護主管部門的意見,建立有效的咨詢協商機制,共同解決問題。(3)應鼓勵個人信息控制者采用筆名化、加密保護、匿名化等方式處理個人信息,從源頭防范個人信息泄露、被濫用等風險,并明確規定經匿名化處理的信息不適用個人信息保護法。這樣,既可以彌補網絡安全法第42條對于脫敏信息的規定法律效果不明確的弊端,有利于推動大數據開發利用,也與歐盟及其他國家對于匿名化信息的規定保持一致。(4)應要求信息控制者定期主動對信息系統個人信息安全進行檢測評估,提高風險防范能力和安全事件應急處置能力。(5)應平衡個人信息保護與大數據開發利用以及其他社會公共利益的關系,明確將為統計分析、檔案管理與新聞報道、學術研究、藝術表達、文學創作等目的處理個人信息的活動,根據具體情況豁免或者克減適用個人信息保護法的某些規定,具體辦法由國務院個人信息保護主管部門會同相關部門制定,為信息控制者推動大數據開發利用提供法律接口。(6)對于跨境個人信息傳輸,除設計類似于歐盟的“充分性”認定機制,以國家為對象采取對等措施以外,還應設計多元的補充認定機制,包括經核準的標準個人信息保護合同條款、企業自我約束規則、行為規范,以及獲得合法備案的個人信息保護可信標志或認證標志等。以信息控制者為適用對象,分別適用于不同的場景,解決不同的實際問題。只有這樣,才能調動信息控制者參與個人信息保護的積極性,促進正常國際經貿往來。
近年來國內外發生的各種個人信息安全事件,如CSDN遭受攻擊、12306網站信息泄露、徐玉玉被詐騙致死案、支付寶年度賬單事件、Yahoo郵箱泄露案、Equifax征信信息竊取案等,根源大多是信息控制者內部安全防范環節出現了問題,尤其是疏于防范、遭黑客攻擊、內部人非法提供、新業務開發與安全保護脫節等。只要能夠構建有效運轉的內部治理機制,將個人數據安全納入整體安全防范體系,絕大部分類似事件都應該能預防、避免。
四構筑有效的外部執法威懾
發育激勵相容的內生機制,核心在信息控制者的自律。但是,在利用與保護個人數據激勵失衡的大背景下,不論是合作規制理論還是各國個人信息保護實踐均證明,完全依靠自律機制并不能形成有效的激勵約束。只要個人數據能夠帶來利益,這種現象就難以改變。制定個人信息保護法的國家,一項重要的立法任務就是構建有效的外部執法威懾,促使信息控制者積極履行法律責任,并對違法處理個人信息的行為予以制裁。美國雖然沒有制定統一的個人信息保護法,但有著其他國家無法比擬的強大的外部執法威懾機制,能夠約束信息控制者的行為。美國憲法、聯邦法律、州法對于個人信息都有相應的保護規定,只是聯邦層面缺乏一部統一的適用于市場主體的個人信息保護法。美國聯邦貿易委員會、各州總檢察長、民事(集團)訴訟、國會監督與媒體監督及社會監督等機制絲毫不亞于歐盟國家個人信息管理局的執法力度。對于某些特殊領域個人信息的保護,如征信信息、未成年人信息、金融信息、健康信息、電子通訊等,美國還有專門聯邦立法及相應的執法機制,保護力度更大。以美國經驗說明后發國家不需要制定個人信息保護法,沒有任何說服力。
由于缺少統一的個人信息保護法,我國在外部執法威懾機制構建方面除了前述的刑法機制替代其他執法機制、信息控制者實體行為規范缺位以外,實踐中還導致國家網絡安全保護與個人信息保護錯位現象,進一步加劇規則適用的紊亂和系統性失靈。
在國家信息網絡專項立法規劃中,信息網絡立法是分層規劃、分層設計的,網絡安全法與個人信息保護法是兩部獨立的立法,各自有其立法目的、原則、任務與制度。網絡安全是國家安全的重要組成部分,事關國家根本利益,不容半點妥協,沒有網絡安全就沒有國家安全。個人信息權是個人權利的組成部分,權利有相對性,需要依法行使,同時承擔義務,權利與權利之間出現沖突需要協調,為了國家安全與公共利益可能還需要對權利進行必要的限制或克減。正因為國家安全與個人權利的這種性質與位階差別,在各國立法與國際條約中,如《公民權利和政治權利國際公約》第4條、《歐洲人權公約》第15條等,均明確國家安全是更高價值,予以最高等級的保護;而個人信息權利的行使不但要以法律的規定為前提,還要受到國家安全與公共利益的限制。
由于網絡安全法制定的時候,個人信息保護法尚未被納入國家正式立法計劃,因此該法自然承擔了部分個人信息保護法的立法任務,集中反映在第四章的相關規定中。用立法工作部門的話來說,該法“進一步完善了個人信息保護規范,這些規范與國際通行規則是基本一致的”。也就是說,網絡安全法同時承擔了雙重任務:一是保護國家網絡安全,這是該法的主要任務;二是保護個人信息安全,這是該法的附帶任務。如果能夠把握法律關系的本質,分別適用不同的判斷標準與制度,本來應該不會出現不同任務之間的錯位問題。
但是,由于個人信息保護法缺位,加之其他各種復雜的原因,實踐中已經出現的問題是,執法部門有時候會將雙重任務混合,就高不就低,將保護國家網絡安全的標準適用到個人信息保護領域,導致法律關系出現錯位和紊亂。最為典型的事例當屬數據本地化要求。在網絡安全法中,由于關鍵信息基礎設施的特殊地位,運營者掌握的個人信息和重要數據直接事關國家安全,必須以本地化為原則,確需出境的,依法進行國家安全評估后才能出境。相反,對于一般網絡運營者或者信息控制者而言,其個人信息出境只涉及個人權利保護,數據出境可以有多種制度安排,如基于信息主體的同意、第三國滿足充分性認定要求、維護第三人的重要利益、滿足其他替代認定機制等。一個非常重要的差別是,國家安全評估的對象是相關個人信息和重要數據是否涉及國家安全、是否適合出境,而跨境個人信息傳輸的評估對象是接受個人信息的第三方是否能夠有效保護個人信息,評估的對象與標準都截然不同。如果將國家網絡安全標準適用于個人信息保護,勢必混淆評估對象和法律關系,抬高保護門檻,不利于正常的國際經貿交流。已經發布的《信息安全技術·個人信息安全規范》(GB/T35273-2017)8.7(個人信息跨境傳輸要求)規定,“在中華人民共和國境內運營中收集和產生的個人信息向境外提供的,個人信息控制者應當按照國家網信部門會同國務院有關部門制定的辦法和相關標準進行安全評估,并符合其要求”。這一規定是典型的以國家安全評估代替個人信息跨境傳輸保護水平評估,混淆了兩項根本不同的制度,強制推行會導致各種意想不到的嚴重后果,也不利于真正保護國家網絡安全。
可見,加快出臺個人信息保護法,科學厘清不同制度的邊界,不僅能解決刑法規范替代其他執法機制、信息控制者行為規范缺失等問題,也能理順個人信息保護法與網絡安全法的關系,解決好外部執法威懾機制越位、缺位與錯位并存的三大現實問題,形成有效的立法結構,推動大數據利用與個人信息保護的協調發展。
構筑有效的外部執法威懾,并不是為了執法而執法,更不是為了增加信息控制者的負擔,而是為了推動信息控制者形成有效的內生治理機制。為此,個人信息保護法應從明確行為規范、加大違法成本、增強信息披露、提高違法行為被發現的可能性、完善行政處罰與刑事責任的銜接、推進合作治理等多角度,構筑有效威懾機制,構筑“胡蘿卜+大棒”的激勵約束格局,促使個人信息保護要求能夠真正被信息控制者嚴格執行。如下幾個方面的制度設計不可或缺:
首先,與培育內部治理機制相銜接,擴大責任原則的邊界,通過行業領先者的標桿作用提升行業整體保護水平。個人信息保護法需要明確規定,信息控制者依法向第三方提供、轉移、共享或者跨境傳輸其合法控制的個人信息的,應保證第三方能夠履行同等個人信息保護法律義務,確保個人信息全流程安全,保證責任原則的全面實現。這將有利于提升行業整體保護水平,避免木桶效應,改變違法成本低、守法成本高的逆向選擇問題。
其次,確立并貫徹落實透明原則,以公開透明促內部治理結構發揮作用。個人信息處理過程公開透明,是信息控制者形成內生機制的重要外部條件和運行保障,能有效彌補合法、正當、必要等原則的不足。個人信息保護法應明確規定,發生個人信息泄露的,信息控制者應當在知情后及時——最遲不超過72小時——向個人信息保護主管部門報告,除非泄露不會對信息主體的合法權利產生風險。不能在72小時內報告的,應說明理由。第三方發生個人信息泄露的,除向個人信息保護主管部門報告外,還應同時通知信息控制者。個人信息泄露可能對信息主體權利產生高風險的,信息控制者應以清晰、簡潔的語言,盡快通知信息主體。
再次,明確信息控制者行為底線,完善行政執法手段和合作治理機制,及時發現違法行為。個人信息保護法應明確規定:信息控制者不得以不公平條件或者“一攬子協議”方式,強制或者變相強制信息主體授權對個人信息的收集;對于特殊類型個人信息(如基因、生物、健康、種族、信仰、征信等),實行特殊保護,禁止或者限制信息控制者采集,構筑個人信息安全防控底線;信息控制者采用預測性識別技術,應采用公平的數學或統計學方法,禁止基于種族、民族、政治觀點、宗教或者信仰、基因或者健康狀態等差別對信息主體進行歧視;處理基因數據、生物數據、健康狀況數據等敏感數據,以個人信息處理為主要業務,處理個人征信數據或者處理刑事裁判數據等,須經政府個人信息保護主管部門行政許可。個人信息保護法應推動形成內外互動的職業共同體和多方交流平臺,包括制定行業行為規范等,不斷將外部壓力傳導到信息控制者內部。個人信息保護法應著力完善行政執法手段,規定個人信息保護主管部門可以約談信息控制者的高級管理人員,要求就個人信息保護重大事項作出說明,提示個人信息保護面臨的風險,要求及時進行相應整改,加強過程監管和協商治理。信息控制者違法進行個人信息處理的,政府個人信息保護主管部門應當有多種方式的管理手段,包括責令限期改正,責令暫停個人信息處理,責令消除影響、賠禮道歉,責令停止使用個人信息文件、個人信息系統,責令提供個人信息,責令更正、停止使用、限制處理或者刪除個人信息,責令銷毀個人信息文件、個人信息系統,責令停止跨境信息傳輸,警告并發布風險提示,罰款,吊銷個人信息處理登記證或許可證等。對于嚴重違法行為,個人信息保護法應提高行政處罰標準,引入累犯加罰,按照違法處理個人信息條數處以罰款等。
最后,借鑒消費者權益保護法修改經驗,加大民事責任追究力度,解決個人信息被濫用后民事維權成本高、收益低問題,調動信息主體依法維權的積極性。個人信息保護法應規定:信息主體認為信息控制者的個人信息處理行為違反法律的規定,侵犯其合法權益導致其人身、財產或者精神損害的,可以依法直接向人民法院提起民事訴訟,要求停止侵害,消除影響,賠償損失,包括精神損害賠償;具備條件的社會組織,就損害信息主體合法權益的行為,支持受損害的信息主體提起訴訟或者依法提起訴訟;信息控制者的信息處理行為違反法律的規定,給信息主體的人身、財產或者精神合法權益造成損害的,應依法承擔賠償責任;賠償的金額不足500元的,為500元;法律另有規定的,依照其規定。
五把握循序漸進的推進節奏
培育信息控制者內部治理機制與構筑有效的外部執法威懾,只是信息控制者與管理者兩個主體之間的單維度關系,屬于監管范疇的制度構建。要實現大數據利用與個人信息保護之間的協調發展,肯定不能遺漏信息主體及其權利行使,這就涉及信息主體、信息控制者、管理者三者之間的多維治理結構。缺乏信息主體參與,缺乏完整的治理結構支撐,不可能出現激勵相容的結果,大數據發展與個人信息保護不可能實現持久平衡。當然,一旦引入多維視角,問題就會復雜得多。美歐兩種模式之間的真正差別,其實在于究竟是在多維還是在單維中考慮個人信息保護。歐盟從一開始就需要處理好基本權利保護與信息自由流動不同價值之間的關系,注定了要在多維視角中解決問題,因此一直面臨很大的平衡壓力。但在長期努力之下,其基本理念與制度已經被其他國家普遍接納。美國一直回避基本權利話語,僅從消費者風險防范單維度考慮個人信息安全,處理起來更為簡單。美國在國際上能夠特立獨行,一是因為美國商界對于創新的重視和對政府監管的懷疑;二是國內強有力的執法機制,能夠有效規范市場主體的行為;三是在國際上具有霸權地位,可以靠實力推行自己的一套價值觀。美國所具有的這些條件其他國家大多難以完全具備,其做法也難以為其他國家所照搬。但是,隨著大數據帶來的個人信息安全關切日益上升,美國也一直面臨越來越大的國內外壓力,要求更重視消費者權利,讓消費者有權控制自己的信息。奧巴馬政府2012年首次發布消費者隱私權利法案白皮書,2015年直接以法案形式提出完整的立法建議,都是希望以消費者控制為核心理念來完善制度,賦予消費者控制哪些個人信息可以被收集以及這些信息如何使用的權利。盡管這些建議尚未能付諸實踐,但已經反映了制度構建上多維視角的重要性,歐盟長期面臨的雙重價值平衡問題遲早也會在美國出現。
我國制定個人信息保護法,不能夠也不應該回避權利話語。這主要是因為:首先,要繼續參與國際經貿交往,我們只能構建國際通行的多維話語體系與個人信息保護法律制度,否則很有可能被排斥在國際規則體系之外。其次,近年來的國內相關立法已經在個人信息權利保護上邁出重要的步伐,包括民法總則第111條在民事權利部分明確規定保護個人信息,2013年消費者權益保護法修改后納入了后悔權和個人信息權等新類型權利,《征信業管理條例》系統構建了信息主體對于個人征信信息的控制制度,網絡安全法在回避使用權利概念的同時實際上部分確立了包括被遺忘權在內的新型權利的法律地位。隨著社會的發展,不論是私法性質還是公法性質的權利,權利的種類、范圍等都在不斷擴大之中,個人信息保護法要順應大數據發展歷史潮流,承擔推進個人信息保護的歷史責任。最后,其實也是最重要的理由在于,隨著大數據廣泛使用,個人信息面臨的威脅也同步加大,公眾對于個人信息安全的需求和意識會越來越強烈,法律必須予以回應。
2014年,中國消費者協會的個人信息保護狀況調查發現,約三分之二受訪者在過去一年內個人信息曾被泄露或竊取。受訪者中,認為“服務商未經本人同意,暗自收集個人信息”是消費者個人信息泄露的最主要途徑,占比達64.08%。中國信息通信研究院的一項實證調查也發現,近80%的用戶認為隱私泄露嚴重,防不勝防;并且,用戶維權意識提升,認為企業“不告知收集”和“非法買賣個人信息”是突出問題。另一項權威數據顯示,2016年遭遇過網絡安全事件的用戶占比達到整體網民的70.5%,其中網上詐騙是網民遇到的首要網絡安全問題,39.1%的網民曾遇到過這類安全事件。公安部刑偵局有關負責人幾年前就表示,侵害公民個人信息犯罪是多種下游犯罪的源頭,社會危害巨大,除引發電信、網絡詐騙等各種新型犯罪外,還與綁架、敲詐勒索、暴力追債等黑惡犯罪合流。2016年底徐玉玉案之后,公民個人信息泄露導致的生命財產威脅引起社會各界廣泛關注。在個人信息面臨各種嚴峻挑戰、公眾信息安全意識逐步提升的大背景下,個人信息保護法如果不確立公眾維護自己權利的制度,不能滿足公眾的最基本安全需求,公眾一定會用實際行動(包括用腳投票)來維護自己的信息安全,動搖大數據發展的基石,結果只會導致信息控制者、管理者、信息主體的雙輸或者多輸結果。
因此,個人信息保護法應該在近幾年各項立法的基礎上,借鑒國際社會成功經驗,包括美國與歐盟的經驗,以全面構建個人數據治理體系為原則,以防范個人信息安全風險為目標,明確引入公法意義上的個人信息控制權概念,并在收集、使用、轉移、存儲、跨境傳輸、銷毀、查詢、更正等個人信息處理的全過程,明確信息主體的知情權、同意權、選擇權、變更權、刪除權、撤回權等各權項,使信息主體能夠真正參與到個人信息保護之中。
大數據時代的個人信息保護是一個嶄新的領域,個人信息權屬于一項新的權利,權利的性質與邊界都還不清晰,不宜簡單用傳統權利觀念剪裁。簡單照搬傳統權利理論,可能會陷入無休止的理論爭論之中,耗費大量精力。缺乏系統制度支撐的法律規定,口號再響亮,規范意義也會非常模糊,在實踐中更不可能產生影響。各國實踐已經證明,即使立法技術科學,權利體系設計嚴密,僅僅依靠個人同意權等傳統隱私權保護機制,無法應對大數據快速發展背景下的個人信息保護問題,告知同意機制完全可能流于形式,信息主體只能選擇同意。正因為如此,才有歐盟、美國對激勵相容機制的共同探索。
這就表明,個人信息保護法在設計治理結構的同時,必須考慮實施環節的激勵相容機制實現問題,使實施部門對立法目的和基本制度構造有非常清晰的整體認識,并處理好不同維度之間的關系。個人信息保護法的實施需要循序漸進、突出重點、把握主線,以風險管理與防控為共同切入點,尋求法律實施的最大公約數,梯度遞進。首先要通過立法在內的外部機制助推信息控制者組織架構變革,發育有效內生機制,形成內外互動合力,以有效預防絕大部分個人信息安全風險。在此基礎上,根據國情、信息控制者接受度和公眾偏好等因素,逐步探索提高價值定位,如合規、權利實現等。這種實施策略,既可以形成激勵相容合力,調動信息控制者維護信息安全的積極性,降低規制成本,迅速實現基本安全目標,也有利于監管部門集中執法力量,聚焦核心環節,避免執法力量過于分散。比如,對于信息控制者的不合規行為,在既有協商執行的余地又有強制手段的情況下,先協商執行效果可能要比簡單強制好,更有利于調動信息控制者持續改進的積極性,而不是一罰了事。再如,個人信息從最內核的隱私信息到通常理解的敏感信息再到最外圍的大數據意義上的非敏感個人信息,呈現一個放射狀扇形結構。對于不同的個人信息,執行機制就要進行區分,采用不同強度的保護標準,界定信息控制者不同的責任。又如,信息主體權利的實現是一個過程,個人信息保護法中規定的不同權項不可能一步同時到位,執行中必然也需要有所區分,根據不同場景設計不同制度。也就是說,個人信息保護法的制定只是完成了一半任務,另一半任務在于實施中的策略選擇和具體部署,如何實施法律決定了最初立法目標能否真正實現。
如果打破上述次序,不是先從信息安全風險管理角度切入,由易到難,而是反其道而行之,一下子全部鋪開,勢必加大內生機制的形成難度,相互牽制、抵消,欲速則不達,事與愿違。中國四十年成功的漸進改革經驗對個人信息保護法的實施路徑選擇有很強的參考意義,需要時時借鑒。實際上,激勵相容的制度設計,通過外部威懾促使信息控制者內生機制發揮作用,而不是“一刀切”式的命令控制立法,正是為了在實施環節推動形成多元互動的良好治理格局,以實現立法目標。