从对抗到合作:个人信息处理关系的范式转换

李锦华

(中国人民大学 法学院,北京 100086)

个人信息之所以需要法律保护,不仅因其蕴含的财产性利益或其所承载的内容,更重要的是其在持续的社会交往关系中具有使人被尊重的价值。①参见陈景辉:《隐私的价值独特性:个人信息为何受保护?》,载《环球法律评论》2022 年第1 期,第36-50 页。从全球个人信息保护立法来看,其适用的前提是存在持续性的不平等关系:一方面,个人在信息处理关系中处于弱势地位。 囿于信息处理系统不透明性和专业知识壁垒的阻碍,个人缺乏了解和监督信息处理活动的能力,在个人信息权益受损时也难以获得救济;另一方面,信息处理者处于强势地位,能够操纵个人信息主体,具有超强的垄断能力。 信息处理者的操纵行为会严重影响个人的自主性,信息处理者的垄断能力则加深了个人对信息处理者的依附性,导致二者不平等关系的强化。 从信任的视角思考信息处理关系,则个人是基于对信息处理者合法、正当从事信息处理活动的合理期待,而做出同意信息处理的授权行为。 这种合理期待是社会交往互动的核心要素,对于信息社会发展和个人信息保护的理解具有重要意义。 通过信任重新塑造信息处理关系,有利于应对隐私悖论、透明度悖论和侵权损害救济困境等问题,从而缓和信息处理关系中的权力失衡和不平等现象。

一、问题的提出:对抗的个人信息处理关系

长期以来,我国个人信息处理者与个人实质处在对抗的信息处理关系当中,这一方面源于信息处理者滥用权力实施操纵行为,另一方面则植根于个人对于信息处理者的依附性,以及由此加深的不平等关系。

(一)信息处理者的技术优势加剧了操纵影响

信息处理者可以利用个人信息的处理分析实施操纵行为。 具体来说,通过个人信息处理分析可以形成针对性极强的用户画像,据此信息处理者可以探索和使用影响个人决策的方法。 例如,信息处理者可以通过隐私政策的文本编排结构转移个人的注意力,混淆个人决策所依据的客观信息,诱导个人做出与其实际偏好或利益不一致的行为。①See Jamie Luguri,Lior Jacob Strahilevitz, Shining a light on dark patterns, 13 Journal of Legal Analysis 43,43-109(2021).通过用户画像,信息处理者还可以对个人进行超定向营销,产生一系列限缩、制定的搜索结果,在有关界面放置相应的内容和广告,诱导个人购买本不需要或不太需要的产品或服务。②See Ryan Calo, Digital Market Manipulation, 82 The George Washington Law Review 995,1030(2014).操纵的目的就是为了影响个人的决策,使之符合操纵者的利益,这种操纵行为不仅会威胁个人的自主性和利益,也会威胁到市场的效率和合法性。③See Kirsten Martin, Manipulation,Privacy, and Choice,23 North Carolina Journal of Law & Technology 452,452-525(2022).这类操纵行为背后蕴藏的是信息处理者日益膨胀的权力优势,此种权力的生成借助于一系列技术的发展:其一,广泛的数字监控技术使得信息处理者容易掌握个人的兴趣、偏好、信仰、习惯等信息,在对个人进行全方位剖析的基础上形成预测模型,为操纵行为提供所需的内容④See Karen Yeung, Hypernudge: Big Data as a Mode of Regulation by Design, 20 Information, Communication & Society 118,118-136(2017).;其二,不断增长的信息存储能力导致用以预测和分析的信息容易被长期保留,这为操纵行为的延续性提供了技术支持;其三,动态的、交互式的和可个性化的互联网平台为信息处理者利用这些信息进行操纵提供了介质。 信息处理者不仅能够掌握平台中的信息内容及其具体流动,还可以设计专门用于操纵个人决策的场景。⑤SeeMarjoleinLanzing,StronglyRecommendedRevisitingDecisionalPrivacytoJudgeHypernudginginSelf-TrackingTechnologies,32Philosophy & Technology 549,549-568 (2019).凭借着上述信息技术,信息处理者可以主导个人信息处理关系,影响和控制个人的决策行为,加剧了操纵影响进一步恶化、蔓延的趋势⑥See Daniel Susser, Beate Roessler, Helen Nissenbaum,Online Manipulation: Hidden Influences in a Digital World, 4 Georgetown Law Technology Review 1,4(2019).,信息处理者利用技术性权力实施操纵引发的不利后果不容小觑。

(二)个人对信息处理者的依附性加深了不平等关系

社会交换理论作为理解信息处理关系的分析框架,可以说明个人对信息处理者所提供的信息产品与服务的依附性如何使得两者之间产生不对等的权力关系。 个人信息处理关系的建立是一种社会交换关系的形成过程,信息处理关系中的资源交换主要是以个人信息交换的形式进行:个人向信息处理者提供个人信息,从而获得信息处理者提供的信息产品或服务。 在社会交换理论框架下,交换主体的地位取决于其所拥有的资源的稀缺程度以及对另一方资源的依赖程度,而依赖是权力的来源。 具体而言,一些信息产品或服务(如社交软件)在当代生活中具有必需品的性质,且个人难以找到替代品,或者需要为选择其他替代品付出巨大的成本。①See Richard M. Emerson, Power-Dependence Relations, 27 American Sociological Review 31, 31-41(1962).由此,信息处理者获得了强势地位的核心要素:稀缺的资源以及个人对该资源的依赖。 以个人信息作为信息产品或服务的“对价”使得个人愈发受到信息处理者权力的控制,而个人却缺乏控制信息处理者的有效手段。 同时,与个人的持续性互动也让信息处理者获得了更多个人信息,更多的个人信息则“反哺”了信息处理者操纵个人的能力,增加了个人对信息处理者的依附性,失衡的信息处理关系据此实现了自我的强化与再生产。 信息处理者所掌握的信息和信息技术等资源越多,其在信息处理关系中的权力就越大,个人对其资源的依附性就越强,这进一步深化了两者之间的不平等。

二、破解方向:以信任化解对抗的信息处理关系

信任是社会生活的核心构成要素,也是社会运行的重要基础。 个人信息保护关注的是个人与社会各主体之间的关系和互动方式,只要涉及个人信息共享行为的发生,信任的作用就会表现出来。 在个人信息利用的社会环境中,信任是信息商业运营模式和技术革新得以发展的关键基础。有关个人信息保护与信息处理活动的规则也是一种在信任基础上的社会建构,这种信任的建构是基于对他人良好行为期待的交互,是关乎社会互动交往的规范,是信息社会各主体关系得以发生和维系的前提,须在广泛的含义中理解这种信任的价值。

(一)信任是信息社会运作的基础

首先,信任是社会有序运行不可或缺的因素。 霍布斯设想的社会自然状态是“所有人对所有人的战争状态”,为了让人们之间的和平与发展成为可能,就必须要在其间建立信任关系,国家及其推行的法律以其权威性为此种信任关系提供了可能,人们相信国家会协调好社会运行的矛盾而将彼此的权力让渡给国家来统一行使和配置,实现了从“战争状态”到“安全状态”的转变,人类自身得以保全并走向发展。 同样,信息社会的正常运作也要建立在信任关系之上:个人基于对信息处理者的信任而分享个人信息,同意个人信息处理以获得更好的产品或服务;信息处理者则不辜负个人信任,以符合个人合理期待的方式从事信息处理活动。 这样,个人与信息处理者具有了互惠性,个人享受了在信息处理基础上形成的信息成果,而信息处理者则获得了更多促进商业发展的信息资源和广阔的市场前景。 反之,如果个人因为对信息处理风险的担忧和恐惧,对信息处理者不信任而固守个人信息,拒绝并阻碍个人信息处理,那么以信息利用为核心的数字时代将会严重受挫。

其次,信任是交易发生的前提,是商业发展的重要因素。 信任水平会决定合作的效率和范围:一方面,信任将不同的人联系起来,使得社会交换得以在陌生人社会中得到大规模建立,为合作和妥协提供协商空间①参见徐尚昆:《信任与治理》,人民出版社2021 年版,第29 页。;另一方面,信任关系的建立减少了交易过程中的机会主义行为,通过合作互惠可以降低交易成本和风险。 在以信息利用为核心的商业模式中,信任是个人以个人信息与信息处理者的产品或服务进行交换的前提和基础。 个人基于对信息处理者的信任而发布个人信息,并对信息处理者会对信息处理采取安全保障措施有合理预期。 简言之,个人信息处理活动得以开展是基于个人对信息处理活动将使个人受益而非受损的信念与合理期待②See Dennis D.Hitsch, Privac, Public Goods, and the Tragedy of the Trust Commons:A Response to Professors Farifiel and Engel, 65 Duke Law Review Online 67,83(2016).,这种信任反过来也使得信息处理者能够高效便捷获取个人信息并进行商业利用,使信息产业获得更大规模的数据要素支持,突破现有的产业瓶颈,为个人提供更多更好的信息产品或服务,最终促进数字经济的发展。

此外,信任对于维持人类生活世界中的交往具有构成性的作用。 在日常人际交往过程中,朋友、家人等关系的亲疏远近在很大程度上取决于彼此之间信息交流密度。 个人需要通过向他人分享一定的个人信息,才能与他人建立社会联结,否则彼此的人际距离就难以缩短,关系也难以建立和发展。 信任是友谊、家庭等亲密关系的重要组成部分③See Neil Richards,Woodrow Hartzog, Taking Trust Seriously in Privacy Law, 19 Stanford Technology Law Review 431,453(2016).,当人们觉得对方是值得信赖的对象时,人们倾向于与其分享更多的信息,尤其是在涉及隐私、敏感等特殊个人信息的情形,信任的作用就更加显著。 在数字生活中也是如此,人们只有在具有相当程度的信任关系中,才会将个人信息进行分享。④See Neil Richards,Woodrow Hartzog, Privacy’s Trust Gap: A Review, 126 The Yale Law Journal 908,1180-1224(2017).

(二)信任关系应对信息处理问题的优势

信息处理者权力优势与个人对信息处理者的依附性共同催生了信息处理的对抗关系,这种对抗的信息处理关系不仅会引发透明度悖论和隐私悖论问题,还会对个人信息权益救济造成挑战。信任关系的引入能够帮助我们更好地理解信息处理关系,探索和制定应对信息处理问题的解决之道。

首先,信任关系的构建有助于消解透明度悖论。 透明度原则主要体现在信息披露制度中,要求信息处理者向个人披露特定信息,让个人对其信息处理情况和风险有一定的了解,并在此基础上对其个人信息做出决定。 透明度悖论是指,这种透明度原则下的信息披露无法为个人信息主体提供有效保护,反而加剧了个人在信息处理关系中的弱势地位。 透明度原则要求信息处理者披露的信息可能导致信息过量、信息超载的后果。 具言之,由于披露的信息总量庞大,信息处理者提供的隐私政策或用户协议往往篇幅冗长,充满密密麻麻的小字号文字,致使个人在冗长复杂的信息中难以筛选出核心部分。 同时,大量披露的信息也增加了个人阅读并理解这些信息所需的成本。 透明度原则的失败不仅在于所披露信息的数量庞杂,还源于信息处理所依托的技术具有复杂性。 大众缺乏理解此类技术的知识,也没有审查技术运作的能力,此时信息处理技术处在“黑箱”状态,透明度因此无从谈起。 透明度原则还会引发信息公开与安全保密的冲突。 信息处理者原则上对所处理的信息负有保密和安全保障义务,但算法解释、公众知情权等要求信息处理者向特定个人或群体公开信息处理活动的有关内容,因此给信息安全带来了挑战。

信任关系的引入有利于应对透明度悖论。 在不信任的信息处理关系中,人们以为详实的信息披露可以使个人对信息处理活动拥有更多的控制力。 殊不知,海量的信息超过了个人的处理能力,导致个人无法有效地处理和利用这些信息。 而在信任关系下,良好的信息处理关系的建立不再依靠繁多复杂的信息披露,而是依靠个人对信息处理者的合理信赖。 这种信任关系将透明度原则的注意力转移到关注信息披露的实际效果上。①参见[美]欧姆瑞·本·沙哈尔,卡尔·E.施耐德:《过犹不及:强制披露的失败》,陈晓芳译,法律出版社2015 年版,第55 页。信息披露的数量和详实程度不再是透明度原则的重心,重要的是信息处理者要通过合理方式帮助个人理解相关信息处理情况,这是信任的基本要求。个人基于信任授权信息处理,信息处理者对于这种信任以正向回应,此举不仅将个人从复杂的隐私政策阅读和信息筛选的负担中解放出来,也降低了信息处理者制定和维护隐私政策等文件的成本,信息处理者因此可以将更多资源投入到实际的信息安全保障当中。

其次,信任关系的构建有助于缓和隐私悖论。 隐私悖论体现为人们表示关心自己的个人信息,却没有采取行为避免个人信息的披露,或通常愿意用信息隐私换取产品和服务。②See Daniel J. Solove, The Myth of the Privacy Paradox, 89 The George Washington Law Review 1, 11(2021).隐私悖论现象的出现可能有以三个原因:一是用信息换取服务的商业运营模式被广泛应用。 面对要么同意信息处理,要么失去某些已经成为生活必需品的信息产品或服务时,个人往往别无选择。 长此以往还可能形成一种行为惯性,导致个人不再阅读隐私政策或个人信息保护协议,也不再更改默认的隐私设置。 二是人们对信息隐私价值存在误解且缺乏对风险的认知。 个人判断会受到认知限制,在当下可见收益(使用产品或服务)和风险不确定性之间权衡时,个人容易低估这种风险的可能性和危害程度,对信息隐私做出较低估值。 三是个人对信息隐私做出的决定可能是信息处理者有意设计的结果。③See Woodrow Hartzog, Privacy’s Blueprint: The Battle to Control the Design of New Technology, Harvard University Press,2018, p.5.例如,隐私政策通知发布的时间、放置的位置、弹窗的方式等都可能极大影响个人行为,信息处理者可以通过系统设计影响并获得个人的广泛授权。

不论是何种原因导致的隐私悖论,在信任关系中都将获得缓和。 信任的信息处理关系要求信息处理者负有合法正当地处理个人信息的义务,个人在使用信息产品或服务时,不论个人是否阅读隐私政策、是否是经过深思熟虑做出的选择,信息处理者都负有依照其隐私政策、按照法律法规或商业道德等规范合理使用所收集的个人信息,并采取安全保障措施的义务和责任。 如果信息处理者实施了背离这种信任的行为,则需承担不利的法律后果。 此时,个人授权信息处理的行为与个人对信息隐私的价值判断相脱离,隐私悖论也就无从谈起。 这种信任处理关系的建构,可以促使信息处理者主动迎合个人的信息隐私期望,并促使信息隐私期望的满足成为信息处理者商业运营的必要投资,据此增强自身的核心竞争力,形成个人与信息处理者相互信任的正向循环。

最后,基于信任的信息处理关系也助于解决个人信息损害的救济难题。 个人信息带来的损害通常属于大规模微型损害或风险性损害④参见丁晓东:《从个体救济到公共治理:论侵害个人信息的司法应对》,载《国家检察官学院学报》2022 年第5 期,第104 页。,具有隐蔽性和未知性,这种损害难以认定为传统侵权法中的实质性损害。 对于这些损害的发生个人也难以知晓,这也加剧了侵权救济难题。①See Daniel J. Solove, Danielle Keats Citron, Risk and Anxiety: A Theory of Data-Breach Harms, 96 Texas Law Review 737,737(2018).大多数个人信息的泄露或不当处理行为对个人所造成的损失十分微小,加之当前个人信息保护的侵权损害赔偿案件中存在赔偿数额低的现象②参见蔡培如、王锡锌:《论个人信息保护中的人格保护与经济激励机制》,载《比较法研究》2020 年第1 期,第112 页。,针对个人信息侵权寻求司法救济往往成本过高,当事人通常选择不了了之。 更为重要的是,面对信息处理者的权力优势,个人在证明损害与因果关系时存在难以逾越的信息鸿沟。 相比之下,信任的信息处理关系并不关注侵权发生时的实际损害,而是关注信息处理者是否违背个人对其信息处理活动的信赖。 基于此,个人也就无须纠结于可视化的、可量化的损害,而有权以信息处理者违背信任为由寻求司法救济。 信任对于侵权救济机制的补充将在下文具体适用中展开说明。

三、具体适用:信任对信息处理关系调节机制的修正

基于信任的个人信息处理关系要从纯粹的理论建构转变为“落地”的实操方案,就需要展现其对个人信息保护立法中的调节机制的修正效应。 尽管隐私政策、隐私设计、侵权救济机制在应对个人信息保护问题中存在着不同程度的难题和困境,但这些机制仍有可能经由信任的介入改造,为调整对抗的信息处理关系发挥积极作用。

(一)信任对隐私政策的矫正

根据前文论述可知,长篇累牍的隐私政策是毫无诚意的“告知”,操纵行为引导下的个人“同意”也非真正的选择③参见姚佳:《知情同意原则抑或信赖授权原则——兼论数字时代的信用重建》,载《暨南学报(哲学社会科学版)》2020 年第2 期,第48-49 页。,使得隐私政策的实效备受质疑。 不过,隐私政策在信任信息处理关系的理解下具有矫正的空间。

第一,信任关系的建立需要一个可信任的外观。 通常情况下,隐私政策会涵盖信息处理采用的技术、安全保障措施、所收集的信息范围和用途、相关主体的权利和行使方式等内容。 这些内容的公开表述,向个人展现的是一个组织机构合理、处理规则详实、安全保障机制齐备的可靠信息处理者的形象。 不论隐私政策内容的实际详实程度、也不论其具体实践的可操作程度,隐私政策都为个人提供了一个可信任的外观。 且这种信任外观还可以通过政府和市场调节获得背书:一方面,政府机构可以颁布关于隐私政策的制定标准,或通过行业组织共同制定隐私政策的模板。 当信息处理者的隐私政策不符合国家标准或行业标准时,将面临行政处罚或遭到行业抵制的不利后果。 另一方面,个人在选择信息共享的信息处理者时,会优先选择具有自我承诺外观的信息处理者,而不会选择没有提供任何保证的信息处理者。 信息处理者在选择合作伙伴时同样也会选择隐私政策级别相当的对象。 此外,隐私政策的设置和公布调整,还将促使信息处理者在内部形成相应的管理机制,除了根据信息处理的动态变化及时更新隐私政策外,还需要配备接听咨询电话并能提供相应服务的专业人员,建立辅助个人信息主体权利行使的操作系统,设置安全部门监控和识别风险并预设应对措施等,使隐私政策具有实践操作性。 据此,隐私政策有制裁措施和市场竞争调节机制作背书,促使信息处理者提高遵守规则的自主性,进一步加强个人对信息处理关系的信任。

第二,隐私政策作为声誉机制的重要媒介①参见丁晓东:《隐私政策的多维解读:告知同意性质的反思与制度重构》,载《现代法学》2023 年第1 期,第34-48 页。,可以在信任的信息处理关系构建中发挥重要作用。信息处理者的良好声誉可以为个人对信息处理关系的信任提供助力。 声誉机制是通过信息传播来威慑企业运营最为核心的利益②参见潘静:《个人信息的声誉保护机制》,载《现代法学》2021 年第2 期,第155 页。,与直接的政府监管相比,声誉机制是一种成本更低的调节机制,可以直接通过市场信号来影响信息处理者行为,辅助政府监管、分担执法压力。 根据《个人信息保护法》第67 条规定,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 此规定正是声誉机制运用的法律依据。 履行个人信息保护职责的部门可以开展个人信息保护评估、认证服务,定期对隐私政策的实施状况进行评估,对最大程度遵守个人信息保护法规、设计和维护迎合个人合理期待的隐私政策的信息处理者进行表彰,对不符合要求的信息处理者进行通报批评、限期整改或责令下架产品或服务。 在声誉机制调节下,当个人得知某信息处理者未采取合理的信息处理方式,或者因为个人信息保护问题而受到行政处罚时,个人可以通过退出信息处理关系给信息处理者带来客户流失、信息资源减少、口碑锐减的不利影响,造成信息处理者利益损失。“声名狼藉”的信息处理者会失去个人和合作伙伴的信任,故而在声誉机制下,对信息处理者的惩罚更多来自于未来交易机会以及收益机会的减少。 为了维护声誉,保持可信任的信息处理者形象,维系信任的信息处理关系,信息处理者有足够动力和积极性预防信息处理风险,对隐私政策进行周期性的更新与完善,这些举措也将进一步巩固信息处理的信任关系。

(二)信任对隐私设计的调整

隐私设计理论是将隐私保护作为系统的默认设置,实现对信息处理活动全周期的设计指导。我国相关立法虽然没有明确将“隐私设计”法定化,但是隐私设计理论却体现在条文之中,结合个人信息处理合法性原则、个人信息处理者的义务、行政机关的监管责任等条文,也能发现我国立法通过隐私设计实现端到端、全过程保护个人信息的理念倾向。 但是,该机制也面临现实的操作困境。首先,是隐私设计在法律规范层面的模糊性,例如,“采取技术措施和其他必要措施、合规审计”的表述极其宽泛,缺乏明确的行为指向;其次,隐私设计需要培养一批具备信息技术能力,并对隐私、个人信息保护规范熟稔的人才,而多学科背景人才的缺乏正是社会现状;最后,对隐私设计机制提供统一标准,有可能扼杀信息处理者对个人信息保护技术创新的积极性。 通常情况下,统一的标准是最低要求,如果只是符合最低要求即可,那可能在信息处理市场中产生逐底竞争的不良后果。 此外,技术具有的不透明性、专业性将会导致隐私设计机制的评价存在技术上的难题,将个人信息保护规范转化为代码编入软件程序的审查则面临更高的技术挑战。 个人在信息处理关系中处在弱势地位,参与技术监管有专业知识障碍,对信息处理者技术权力缺少制约与监督还会进一步加深信息处理者对个人的操纵性。 不过,上述隐私设计存在的弊端可以通过信任加以改造,使其发挥积极作用。

第一,信任在隐私设计与隐私政策之间架起了桥梁。 如前文所述,隐私政策并非毫无用处,而是需要在信任的调整下从形式主义走向更立体化、直觉化的“告知”,以增进信任。 这一构想可以通过隐私设计进一步展开。 例如,信息处理者可以设计具有一定透明度、可监管、解释的“白箱”等工具,帮助个人要求解释说明的信息权利实现。 通过不同语境对信息隐私的理解,设计和调整系统架构、界面、默认设置以及反映这些内容的隐私政策。①See Deirdre K. Mulligan, Jennifer King, Bridging the Gap Between Privacy and Design, 14 University of Pennsylvania Journal of Constitutional Law 989,1019(2012).隐私设计并非要求信息处理者对信息处理活动实施面面俱到的系统设计,也不是要求信息处理者提供能够应对所有风险的解决方案,信任的引入将隐私设计放置在具体的场景下进行判断和评估,关注信息处理者实践状况和监管问责问题。在隐私政策场景下,信任的隐私设计除了要求它的内容编排合理(语言、组织结构等),还必须考虑它的设计方式(艺术性和结构性等)是否适宜。②See Ari Ezra Waldman, Privacy, Notice, and Design, 21 Stanford Technology Law Review 129,129-184(2018).例如,针对不同的受众群体使用不同的设计,对老人或其他对互联网不太熟悉的个人可能需要更简洁明了的表达和简单容易上手的操作模式,针对儿童则可能需要更为生动形象的表现形式(比如使用卡通人物、小故事剧情等)。

第二,信任还要求隐私设计进行自我完善。 这不仅意味着信息处理者需要建立防火墙,设置身份验证程序和加密等技术和组织保障,还意味着其需要从源头的信息收集着手,实现个人信息处理风险的最小化。 在信任语境下,隐私设计尤其需要自我或第三方的定期审计。 审查的项目包括但不限于以下内容:(1)是否指定负责隐私计划的人员;(2)是否进行影响风险评估;(3)是否执行旨在解决已识别风险的控制措施;(4)是否适当监督参与信息处理活动的其他信息处理者;(5)是否根据定期检测和监管报告,及时调整隐私设计程序;(6)是否为公众参与创造机会。 需要注意的是,隐私设计机制的实现除了需要系统技术架构师、设计师或编程师外,还有赖于大量企业高管和隐私专员的参与。 需要承认的是,在没有外部监督机制的情况下,信息处理者通常没有足够的动力积极主动采取保护个人信息的措施和手段。 故而在信任的建构下,要求监管机构的动态、适时监管,在信息处理者自我监管与政府外在强制之间形成一种协力。 据此,信任关系下的信息处理者可以通过隐私设计获得市场收益与执法优待,反之,则可能面临行政制裁和诉讼风险。

(三)信任对侵权救济制度的补充

传统侵权法对个人信息损害的救济面临着困境。 首先,个人信息的损害很难认定为侵权法上的损害。 例如,广告的投放或推销电话对生活安宁的侵扰,个性化内容推荐或广告推送的高度准确性引发的焦虑就难以被认定为侵权法意义上的实际损害。③参见丁晓东:《从个体救济到公共治理:论侵害个人信息的司法应对》,载《国家检察官学院学报》2022 年第5 期,第111 页。其次,有些个人信息的泄露导致的损害并不会立刻显现出来。 例如,黑客入侵窃取了某个人的身份或信用卡信息,但是尚未进行诈骗或盗用等行为,此时该信息泄露的“损害”处于未知状态。 最后,信息处理者具有多元性,同一个人信息可以同时提供给多个信息处理者,个人很难认定究竟是哪个信息处理者导致了该损害的发生。 据此,如何通过信任克服侵权法救济的局限具有现实意义。

第一,信任关系可以对侵权“损害”认定做出延展,将“损害”扩展到违反个人合理期待或风险预期。 在信任关系中,个人对于信息处理者合理使用并采取安全保障措施具有合理期待。 只要这种合理期待受到损害,即可认为个人受到损害④See Solow-Niederman Alicia, Beyond the Privacy Torts: Reinvigorating a Common Law Approach for Data Breaches, 127 The Yale Law Journal Forum 614,614-636(2018).,不会陷于“实质损害”以及合法权益可能受损的“精神焦虑”难以认定的困境。 对此,可以借鉴环境法中的风险认定理论,环境污染大多是大规模的、复杂的,其危害具有长期性和未知性,在因果关系上存在证明难题。 此类环境污染具有扩散性,损害对象往往是地域和社会层面分散性极强的大规模人群,使得损害的救济面临着集体行动困境,这与许多个人信息损害的形式极其相似。 因此,可以借鉴环境法将风险作为损害认定的理论来应对个人信息侵权损害的认定困境,在信任关系下,个人信息遭受的“损害”可以扩展到“风险”范畴,这种风险损害的存在和认定并非主观臆断和不可知,它的判断标准建立在理性人的合理期待之上,这是信任关系的基本要求。 换言之,风险的认定以及产生的赔偿将取决于个人信息种类、信息处理者类型、信息处理情境等多重因素对合理期待的影响,同时避免“一刀切”规则对信息处理者施加过重的责任。

第二,信任关系可以应对间接信息处理导致侵害的情形。 从表面上看,个人与信息处理者之间的信息处理关系,原则上不涉及第三方。 但是,有些情况下,表面上的信息处理者并非实际信息处理者,如“剑桥分析丑闻案”中第三方应用程序通过Facebook 的API 处理了数百万用户的个人信息。此时,谁是个人信息权利对应的义务承担者? 处理个人信息的行为者的多元性和复杂性不应成为妨碍信息主体行使权利的障碍,因此,需要一种细化的、实质性和功能性的方法来确定责任主体,信任关系就能很好地应对这个问题。 个人基于信任而分享个人信息,这种信任是泛指的,是对该信息处理者的全部信赖,不论该信息处理者是单独处理、还是与他人共同处理,或者委托第三方、又或者同意第三方间接信息处理的行为,均在个人的合理期望之中。 这些信息处理者在该信息处理活动中的参与度和决定能力的大小,只会影响其内部责任比例的分配,而不会阻碍信息主体权利的主张。 换言之,个人对信息处理者信任范围扩大到信息处理者对该信息从事的所有行为。

四、完善进路:基于信任的个人信息处理关系重塑

在实践中促进和增强信息处理的信任关系,除了可以通过引入信任对现有的隐私政策、隐私设计机制和侵权救济制度进行修正外,更重要的是要促使信息保护理念的转变。 基于信任的信息处理关系尝试理解信息共享行为背后的信任基础,以此撬动、影响已经存在于个人信息保护领域的多元社会规范,回应信息处理活动面临的问题。 换言之,信任的信息处理关系就是要将社会关系各主体联系起来,将多元的社会规范协调起来,为个人信息保护和流通共享创造良好的制度与文化环境。

(一)从对抗到信任的范式转换

个人信息保护与信息共享、利用之间的冲突导致个人信息主体、信息处理者利益与社会共同福祉处在紧张的状态当中。 此种紧张关系既无法适应习近平新时代中国特色社会主义思想强调的“协调发展”理念,也无法适应数字时代的发展趋势。 基于信任的信息处理关系构建是一项信息处理者、政府与个人多向沟通的系统工程。 其中,信息处理者对于个人的信任要以正向回应,在合法合理进行信息处理的基础上努力提高服务质量,提高系统设计,改善用户的使用体验,减少错误和不精准的信息投放和推荐;政府则作为执法监管角色“潜藏幕后”,对信息处理市场进行动态监管,给予信息处理者和个人以自由协商、谈判的空间,在市场失灵、信息垄断或信息主体合法权益受损等情况出现时及时采取措施,对信息处理者以惩戒,维护个人合法权益和公共利益,保障信息处理市场的运作秩序;个人应当改变传统个人信息保护理念中对“绝对控制”的追求,以参与者与谈判者的身份进入到信息处理关系之中,以信任的心态共享个人信息,获取更好的信息产品或服务。 例如,通过用户画像进行的个性化推荐、定向广告能够为个人提供更加符合个人偏好的内容,节约个人的信息搜索成本,提高生活效率。 由此,信息处理关系中的各方主体均“在其位,谋其政”,相互协作,相互制衡,形成共同推进信息时代个人信息保护和促进信息自由流通发展的共赢局面。

(二)在自由与控制之间的规制转变

市场、自我监管与政府监管在个人信息保护方面均不可避免地有自身局限。 既然没有完美的规制机制,那么问题的关键就在于如何统筹三者的资源和力量,以最大程度推动个人信息保护目标的实现。 对此,莱西格的“多元规制理论”极具参考价值,他将控制机制分为四种基本类型:法律、社会规范、市场和架构,主张可以用法律影响另外三种控制机制,使四种机制都能成为彼此的助力,以实现关乎公众的规制目标。 在这种治理理念下,多方主体各有其独特的功能:首先是政府,作为保障协作治理展开的权威机构,可以构建一个监督管理系统,保持对信息处理活动的持续跟踪,并对不当行为进行制裁。 政府除了可以采取强制遵守的制裁手段外,还可以通过其他措施激励私人参与规则制定和实施。 其次是个人,个人信息权利具有工具性特征,是应对信息处理活动所产生的问题的手段。 不论如何,个人在自身利益的维护方面具有极强的动机,在信任关系被打破时能够及时主张权利救济。 再次是信息处理者,在市场驱动下,信息处理者的自我调节可能更加灵活高效①See Dennis D.Hirsch, The Law and Policy of Online Privacy: Regulation Self-Regulation, or Co-Regulation?,34 Seattle University Law Review 439,455-457(2010).,当市场目标与个人信息处理的信任关系相一致时,对经济效益最大化的追求会让信息处理者主动采取措施,减少执法与诉讼风险带来的利益损失。 信息处理者作为信息处理的核心控制者,其对于信息处理的实际运作和发展规律具有知识和技术上的优势,让信息处理者参与到监管过程中,可以弥补政府监管的专业知识不足,减少政府监管成本,产生信息处理者自觉遵守的良好效果。②See Emily S. Bremer, Private Complements to Public Governance, 81 Missouri Law Review 1115,1123(2016).最后是技术,技术有望改变法律赖以运作的环境,莱西格“代码即法律”的主张就是将内置于计算机软件中的控制程序作为法律规则的替代,通过架构实现法律的规范目标。 在上述治理框架下,政府、个人、信息处理者与技术形成了相互依存的发展与监督问责体系,共同探索问题解决之道的信任关系被建构起来了。

(三)从强化赋权到合作治理的功能转向

1.从私权、基本权利再到参与治理的个人信息权利

个人信息权利是用来防范信息处理的风险、减轻权力结构失衡带来的不平等现象的工具。 有学者认为,应将个人信息权利之诉视为类似向监管机构提起的申诉③参见丁晓东:《从个人救济到公共治理:论侵害个人信息的司法应对》,载《国家检察官学院学报》2022 年第5 期,第109 页。,个人信息权利与信息处理者义务的规范更像是“申诉-沟通-处理”的流程,引导相关主体按照有关程序进入到信息处理关系之中,并依照相关流程解决信息处理过程中遇到的问题。 不论是信息处理关系的主体还是监管信息处理活动的机构,为了各自的目标,往往处在利益冲突的状态之中,总是存在信息不对称,且这种信息不对称容易造成“囚徒困境”。 而合作的目的是减少信息不对称,调整不平等的关系,降低风险成本,提高社会效益。 据此,不论是司法裁决还是信息处理者对于这些申诉/请求的响应,都需要对相关请求从合作治理角度分析,将个人信息处理规则和一系列信息权利放置在具体场景中,分析所涉权益是否有利于信息处理关系的信任治理。 在沟通合作的框架下,赋予个人信息权利并不是为了让个人对其信息拥有绝对的控制力,而是为了建构合理的处理规则并规范信息处理行为①参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021 年第11 期,第124 页。,也是为个人对抗不平等信息处理关系提供的一种手段和工具,个人信息权利的行使需要在个人信息所蕴含的人格尊严的保护与个人信息利用所追求的公共利益之间达成一种平衡。②参见郑玉双:《个人信息权利的共同善维度》,载《浙江社会科学》2023 年第2 期,第44 页。在这种理解下,个人信息权利是一种参与式的、走向合作共治的权利范式,据此,信息处理关系主体从对抗走向合作,从冲突走向互惠,追求利益之间的平衡协调,探索互助共赢的发展模式。

2.激励信息处理者合规自律

法律实际上也是一种激励机制,通过责任配置和惩罚规则的制定实施,促使参与者选择最优的行为方式。 非法无序的信息处理活动可能导致个人信息泄露、过度收集等问题,甚至危害社会公共安全,破坏信息网络空间的秩序。 因此,自2019 年1 月25 日《关于开展App 违法违规收集使用个人信息专项治理的公告》发布后,全国各地开展了App 违法违规收集个人信息的治理活动。 各省市公布了违法违规收集个人信息的App 名单,内容大多包括所涉及App 名称、类别以及存在的问题,处罚手段包括责令整改、或下架该产品。 行政处罚等惩戒方式,固然能够对现存的违法违规收集个人信息的行为进行监管和整改,但都属于事后行为,是针对已然存在的不法行为的补救措施。 专项整治活动的核心主旨是为了敦促信息处理者加强自律和合规运营,因此,还可以通过正面的引导方式,起到鼓励信息处理者积极主动采取合理措施、对信息处理活动进行内部自查自纠和整顿改善的正向效果。 例如,通过“白名单”的公布达到正面激励的效果。 对于隐私政策、用户协议等内容编排、界面设计合理且符合个人阅读习惯、个人体验感极好的信息处理者给予公开表扬。 就像最初商标法中驰名商标的定位,类似驰名的标签可以带来个人的信任,吸引更多人加入分享信息的行列。而更多的信息可以产生更好的处理效果,从而为信息处理者带来更高的收益。 正面的鼓励有时候比事后的处罚更能激励信息处理者积极向善地行动。 政府通过规制策略的调整,对合规实践表现优异的信息处理者进行公开表扬,作为对优胜者的奖励,提高了信息处理者的社会形象和声誉。 据此激励信息处理者进行内部整改,建立合规审查部门、个人信息保护官、隐私设计程序、信息处理纠纷协商渠道的搭建。 推动数字处理市场向 “良性追求”“有序竞争”的方向发展。 同时,表现优异的信息处理实践经验还可以成为其他信息处理者的学习、模仿和借鉴的对象,形成互相学习、共同进步的良好市场环境。

3.公权力机关的动态市场监管

就当前市场监管方式来看,我国已经发布一系列法律法规、标准文件,这属于事前监管,为信息处理活动的展开提供规范指引。 除此以外,政府还能通过设置市场准入门槛,对进入数字市场的信息处理者的信息储存能力、安全保障措施、隐私政策等进行事前评估,判断其是否符合准入条件。根据目前搜索结果来看,工信部已经公开通报了30 批侵害用户权益的App 名单,这属于事中监督方式。 行政执法机关作为信息处理市场主要监管者,实时动态跟进信息处理者的合规情况。 对于信息处理者进行行政处罚的主体主要是国家网信办及各地方公安局,所涉问题大致包括违规收集个人信息、强制、频繁过度索取权限、超过收集范围、强制使用定向推送、违规使用所收集个人信息等等。 行政处罚手段包括警告、责令停产停业、责令整改、罚款。 事中监督有利于对于违法违规行为及早发现及时整改处理,以免实质不利影响的产生和扩大。 而诉讼程序的进入,属于事后监督的方式。 截至目前,适用《个人信息保护法》裁判的案例较为有限。 司法判决主要是以私人诉讼为主,但是私法救济仍面临着不平等信息处理关系的挑战,需要加强和完善个人信息公益诉讼机制,扩大公益组织、检察院等对个人信息损害纠纷案件提起公益诉讼的范围,解决大规模微型信息侵权对公共信息环境的不利影响,保障信息处理不平等关系中弱势主体的合法权益。

4.个人信息救济进路的完善

个人信息救济进路的完善一方面需要强化个人权利意识。 《个人信息保护法》已经实施,一批批违法违规的信息处理者被通报批评,但是,个人信息主体提起的诉讼案件却很少。 一方面,除了信息处理关系不平等导致的私人诉讼情绪退怯外,还有很大原因是个人信息保护意识缺位。 人们对于个人信息在网络空间泄露可能导致的风险没有真实的感知,对于自身拥有哪些信息权利、如何行使相关权利大多处于无知状态。 个人的自觉维护能够起到很好监督信息处理者的作用,补充公权力监管的时差和成本等不足。 因此,应当加大对个人信息保护的普法宣传,将个人信息处理可能导致的风险问题传达给个人。 另一方面,也需要搭建便捷高效的个人信息权利行使平台。 就目前的实践现状来看,大多数信息处理者提供了在线客服、热线电话和邮箱的联系渠道。 但是,对于应答的处理方式、响应的时间没有细化规定,存在沟通延迟和问题解决不及时的现象。 为了权利行使的便捷高效,节约信息处理者的沟通成本,可以要求信息处理者开发信息处理规范的自查系统,就相应纠纷问题提供自我查询的通道,快捷比对信息平台有关规定和所依据的法律法规后,对纠纷问题所涉处理行为做出初步判断。 如果符合规定,则流程结束,如果不符合规定则进入下一个环节。当然,如果针对系统自查结果存在异议,也可以通过申诉渠道与信息处理者对话。 最后的手段是诉讼程序的启动,这是多元化纠纷解决机制的高效便捷,减少诉累,节约救济成本的体现。 这并不意味着所有的前置程序均为进入诉讼的强制流程,否则容易导致私人诉权受到不合理限制,也可能引发更多的审查问题。 因而,如何构建一个合理的诉求受理机制,需要信息处理者在信任关系下将技术与法律融合,既保障个人权利的行使通道畅通,又能减少信息处理者响应请求的成本。

结语

在信任的信息处理关系中,个人授权信息处理活动是基于对信息处理者妥当处理信息的合理期待。 从信任来理解信息处理关系,则信息处理活动中的权利与义务是来自于个人对信息处理者信赖的合理预期,而非形式化的隐私政策与虚假的同意。 这一范式的转换不仅能够避免信息处理者将个人同意作为逃避责任承担的理由,而且还能解决个人信息权益受损时无法量化的损害救济难题。 笔者将信任引入到信息处理中,目的在于建立一个更为广泛的可持续发展的信息处理关系,以应对隐私悖论、透明悖论、个人信息损害救济等一系列现实问题。 实际上,唯有以信任关系为基础,实现从对抗到合作的范式转换,才能有效调动个人、信息处理者、政府和社会公众参与个人信息治理的积极性和能动性,为私人自治和公法规制的合作提供协商对话的空间,最终推动良好信息处理市场的形成和有序信息社会的发展,营造和谐共治的数字生态环境。