一、问题的提出
新兴技术具备监管套利的基因,经常明面上以适应监管为导向,背地里却以挣脱监管为目标。近年来,数据泄露泛滥成灾,推动隐私保护法律密集出台,但过度监管使可合法使用的有效数字资源日益稀缺。数据要素化国策下,以“治理科技”面貌出现的多方安全计算、联邦学习等新兴技术,是强监管形势下的适应性产物,但因其深层次改变了数据处理活动的业务样态、责任主体和法律关系,已然逼近现行法律制度的临界阈值,引发了学界对既有规则的诘问和反思。例如,个人和企业对个人信息的“支配程度和利用空间”如何平衡?多个数据处理者的情形中,各主体间应当是连带责任还是按份责任?面对隐匿于数据处理活动流变背后的监管套利行为,如何“使数字经济参与者能够在更大范围内参与公平分配?”以上问题,直指个人信息保护法的适用要害--单纯凭借静态的法律规则,能否因势利导地应对动态的技术演变?
本文的回答是,不能。数据处理活动的流变,使得原本结构单一、目标明确、内涵简单的数据处理范式转变为多元的、以复杂方式连续发生且难以被区分为个别阶段的利益交换,个人信息保护法的多项核心关键机制降效失能颓势明显。由此产生疑问:应当遵循怎样的完善路径,个人信息保护法才可为数据处理活动的流变提供最优的制度安排?本文的观点是,因应数据处理活动的流变,本着个人信息保护的进化理性主义而不是构建理性主义来制定相关规则。
二、关系合同视角下数据处理活动与个人信息保护法的互动
纵观各国个人信息保护立法,“订立、履行个人作为一方当事人的合同所必需”通常是处理个人数据的合法缘由,而“告知-同意”框架为全球范围内的个人信息保护立法普遍适用,更是为数据处理活动奠定了合同的基调。尽管如此,区别于常见的即时结清合同,数据处理活动订立的合同存续时间较长、交易内容含糊、各方利益需求因外界情形变化需随时调整、其存续甚至不以明确的承诺为前提,故而无法用传统的合同法进行解释。突破传统契约理论,法经济学家用“关系合同”描述一切具有关于未来合意性质的合同,即交换(exchange)和关系(relationship)应时而变的长期合同。关系合同概念的引入,有助于理解数据处理活动的特殊性。
(一)数据处理活动的“关系合同”释义
数据处理活动的各项属性,与关系合同的上述特征合若符契。数据处理者和数据主体之间的交换,随着个人数据采集范围的扩大或缩减,各方关系的内涵也因数据处理者的引入、数据处理目的的变化、数据主体的撤回同意等发生改变。此外,数据主体从数据处理者处获得的服务也是不确定的,更准确地说,服务的“素质”取决于多种因素的和合。例如,在内容推荐场景中,数据主体以授权数据处理者访问自己的消费记录、浏览历史乃至交易数据、行为轨迹等为对价,换取数据处理者的“精准推送”服务;但数据主体最终获得的究竟是“精准推送”还是“定向营销”抑或是“数字套牢”,既取决于数据处理者有多大的自利动机,也取决于技术人员有多大能力将前述自利动机通过算法进行表达,还取决于相关的法律法规在多大程度上对数据处理者的逐利行为进行规制。上述三重因素不断变化,所以数据主体接受的服务依赖于一种有待实现的自然状态。
从学理上看,关系合同是典型的不完全合同。相较于在缔约时可以预见一切、对具体事项无所不包的完全合同,不完全合同承认长期关系中个人意志的局限性。实用主义经济学从四个梯度解释了合同不完全性的成因:(1)面对风云变幻的世界,当事人很难对未来可能发生的各类情况作出事无巨细的规划,依赖过往经验的有限理性“限制了人们的想象力”;(2)即使当事人可以克服(1),他们也很难找到能够恰当描述各种未知情况和潜在冲突的共同语言;(3)即使完成了(2),当事人之间认可的共同语言向长期可靠的协议或条款的转变仍将困难重重,而且任何包含价值陈述的精确表达尝试更是“难上加难”;(4)即使当事人实现了(3),面对可能的纠纷,外部权威,例如法院,很难真正回溯至合同制定之时的语境去揣度特定表述的涵义并加以执行,尤其是当事各方在协商过程中的真实意图,更是无从知晓。
从效用来看,虽然关系合同不能像完全合同那般“一次缔约、终生受用”,但在数据处理活动中,关系合同可以实现不低于完全合同的收益。数据处理者“逐次请求”和数据主体的“依次同意”,反映出各缔约方“走一步看一步”的协商策略。在数据处理活动灵活多变的情况下,各方只能在充分考量自身禀赋,将各个阶段的不同共识以不完全合同的形式固定下来。通过谈判达成合意、以多种方式履行、并在履行合同中逐次协商,可以使不完全合同在某一特定时期内无限接近于完全合同,并在长期运营的过程中实现超过完全合同的效率。极端情况下,即便无法获得最佳收益,但相对于关系合同已经实现的结果效率,完全合同也无法明显改善。例如,当数据处理者凭借拥有相对于数据主体“压倒性”的合同“缔约力”时,关系合同也好、完全合同也罢,合同形式的选取都无法改变数据主体被数据处理者压榨的事实,两者并无高下之分。由此引发的问题是,在关系合同的自由化倾向下,个人信息保护法辖制数据处理活动的正当性何在?
(二)个人信息保护法介入数据处理活动的正当性
关系合同无法被传统合同理论所涵盖,很大程度证明了个人信息保护法独立于传统民事法律的必要性。从关系合同的角度看,个人信息保护法介入数据处理活动的正当性体现在两个方面。
其一,个人信息保护法以极低的谈判和履行成本为交易各方提供了一套普遍接受的规则及实施机制。关系合同的长期性将放大个人意志的局限性,即便数据处理者和数据主体想方设法地对未来可能发生的情况进行事无巨细的约定,也难以涓滴不漏。关系合同理论表明,个体试图在当下对未来的利益交换作出不可更改的规划和判断时,暂且不说技术的突飞猛进将在多大程度上颠覆人们的主观想象,单纯考虑任何数据主体都多少存在的认知局限和思维惯性,便不难理解数据处理活动中广泛存在的对对手方的轻信、对潜在风险的低估以及对不确定性的忽视。更何况,在人工智能批量取代自然人服务的大背景下,数据处理者对个人数据的采集和利用“采取了‘自觉自愿’的诱导进路,其对数据主体的吸引力在于‘免费’提供更‘个性化’的服务”,数据处理者可以轻而易举地将数据处理合同伪装成包含“附负担的赠与”的单务合同,让作为受赠人的数据主体“甘之如饴”地按照合同约定履行提供个人数据的义务,不会思考诸如“为何测算贷款额度需要访问手机通讯录以及获取位置信息权限”等问题。
其二,个人信息保护法为数据处理活动中居于弱势地位的数据主体提供托底性保护。关系合同履行过程中,数据处理活动存在某些隐性且不直接的损害可谓根深蒂固,而数据主体对此根本无法举证。例如,“透明性、可问责性、监管及正当程序”欠缺;“个体层面由内隐偏见驱动的无意识歧视和社会层面由结构性不平等驱动的系统性歧视”,干预数据生成、采集和利用;对算力的社会化开发,导致“事先难以预料的外部性在市民生活领域的扩散”等。在技术黑箱的掩护下,数据处理者可以毫不避讳地对数据主体作出“虚幻承诺”,而数据主体对此根本无法证伪。此外,数据主体还面临资金和实力不敌数据处理者的困境。因此,无论数据主体和数据处理者的初始合意多么充分,不可将公平价值的保障完全系于各方的合同自治,而必须保留某些强制性的规则,例如,要求数据处理者内部指定“数据保护官”、禁止其通过误导和欺诈方式处理个人数据、遏制危害公共利益的数据处理行为、规定数据处理记录必须留存满特定期限才可删除等。
虽然数据处理活动具备关系合同属性,但必须警惕一种倾向,即认为数据处理活动中当事人的合同自治,可以至少排除个人信息保护法中的部分强制性规则。事实上,意思表示的一致并不能根除数据处理活动的风险,当新兴技术尚处于“试错”阶段时更是如此。目前学界多有关于个人信息保护法中特定规则的详细研究,但无论是推崇还是反对,其论证的基本逻辑是个别规则相对于一般合同约定的必要性,借此对个人信息保护法独立于传统部门法的法律地位予以证成。与此相区别,本文是在关系合同的向度内,探讨个人信息保护法引导数据处理活动之可能。个人信息保护法的存在,奠定了关系合同之于完全合同的相对优势。理想的情况下,数据处理活动的各方既没有必要选择签订错综复杂的状态依存合同,也不必选择囊括了繁琐机制设计的完全合同,因为即便他们只是签订了简单的不完全合同,也能获得来自个人信息保护法的“补漏”和“强化”。
(三)关系合同视角下个人信息保护法的功能定位
要准确理解个人信息保护法在数据处理活动中的功能定位,需要引入“所有权-控制权”模型进行分析。完全合同的终极作用是鼓励长期投资,进而必须明确缔约双方的权利和责任;关系合同的主要作用,则是为缔约各方的交易关系提供多个“参照点”,以锚定双方所获取权利的“感觉”。关系合同的缔约各方只有在“感觉”获得了应得收益时,才会继续提供实质绩效。反之,如果某缔约方“感觉”受到了不公平对待,就会通过合理的“反制手段”施以报复。行为经济学将“互报”等可能导致事后成本的行为变量看作是讨价还价的替代性机制,有助于关系合同的“自我修正”以及“按约定履行”。缔约方对应得收益的心理预期,一般接近于关系合同中对其最有利条款所允许的最大利益。初始缔约过程中,固然存在各方信息不对称,但合同条款毕竟是在相对竞争的条件下达成的,合同公正性相对可预期;事后修改的合同,可能矫正初始合同的某些问题,但对于普遍缺乏话语权的数据主体而言,修改的最终结果可能反而于己不利。
结合上述条件,“所有权-控制权”模型在数据处理活动中可演绎为:各方的事后绩效,取决于他们在多大程度上得到了关系合同的允诺收益。若仅凭一纸合约,数据主体的收益小于预期时,他们往往缺乏有力的“反制手段”,只能通过一定的“折减行为”,即降低绩效投入,结果必然造成额外的福利损失。降低这种损失的一种方式是,缔约一份相对苛刻的初始合同,以便最大限度固定数据主体的未来预期收益,但这会带来事后难以根据现实情况调整合同的缺陷。反之,宽松的初始合同无法有效应对折减行为带来的福利耗散,但能较好地根据情势变化以变应变。
在数据处理者强、数据主体弱的基本格局下,合同的缔约方不可能反复权衡这两种效应,直至“碰撞”出最优的合同状态。此时,个人信息保护法的衡平功能得以凸显。一方面,个人信息保护法通过赋予数据主体各类“反制手段”,激活不完全合同的“互报”机制,促进关系合同预期收益的实现。例如,在“个人信息自决”观念下的知情权、获解释权、拒绝权、更正权、删除权等,是抗衡数据处理者不法行为的法律武器,可以有效“消除信息利用的‘丛林法则’和‘公地悲剧’”。另一方面,个人信息保护法中的各项强制性条款,为严苛的初始合同松绑,为宽松的初始合同补漏,从根本上弥补了关系合同缔约阶段的缺陷。例如,数据主体丧失行为能力或死亡等情形,在合同缔约之初可能并未进入各方视野,而任由其直系亲属或继承人行使原数据主体的信息权益导致的种种道德风险,无法全部依靠合同规则消弭。为此,各国个人信息保护法一般通过严格的限制性规定来解决此类问题,我国《个人信息保护法》第49条仅允许近亲属等在保护自身法定权益的情况下,查阅、复制、更正和删除原数据主体的个人信息,较好地防止了已逝数据主体的个人信息被滥用。
关系合同理论框架下,个人信息保护法本质上是一个不断发展完善的开放式合同,数据处理活动的各参与方在利益驱动下对个人信息保护法的规则“生产”施加着正向或反向的影响:一方面,就数据处理活动中出现的新问题、新挑战,个人信息保护法吸收了包括立法者在内的行家里手们提供的新思路、新方法;另一方面,当事人对数据处理形成的成文或不成文的各项约定,构成个人信息保护法的重要法源,个人信息保护法亦随着合同的完善而充实。个人信息保护法与关系合同的交流与相互增益体现在,数据处理活动的各参与方拟定数据处理合同,在实践过程中“筛选出”能够被最多参与方广泛接受的规则,这些规则因获得“自由人的多数同意”而具备了对内的约束力;反过来,前述规则在运营过程中,逐步被更精确的语言所描述,最终固定成文字,经由立法者的承认和吸纳,内化为可操作的个人信息保护规则。
互动和筛选过程推动了多样化数据处理范式的形成,并使敏感个人信息的认定与保护、禁止滥用自动化决策等规则生长出来。由此观之,个人信息保护法等实体法律可以被视为数据处理合同规则的延伸,即数据处理合同的特殊形式。既然数据处理活动中的各类复杂关系以合同为基础,那么个人信息保护法所衡平的各类法律关系亦具备可变通性。但无论如何,个人信息保护法的主导价值取向是完善,而非替代数据处理活动中当事人之间的自由协商。
(四)个人信息保护法正当性维持的适应性品质
进一步的问题是,在新兴技术不断涌现的信息化浪潮面前,个人信息保护法的上述正当性和必要性如何维持?关系合同理论给我们的启示是,立法机关颁布个人信息保护法,只是使其获得了短暂的、表面上的合法性,个人信息保护法的长期和实质合法性源于其迅速迭代的适应性品质。
就既有实践观之,个人信息保护法的适应性品质体现在两个方面。其一,根据环境因素的差异作细微的制度性调整。不同国家和地区有着截然不同的制度环境,数据处理惯例亦大相径庭。例如,中国和欧盟是“同意-进入”(Opt-in)模式,美国则是“选择-退出”(Opt-out)模式。从外观上看,中国、欧盟、美国等均通过“脱离自动化决策权”的权利设计来解决人工智能的权力宰制问题,但这一静态的描述显然没能反映出不同立法者对于算法“霸权”的理解有哪些不同,也没能反映出各类法律试图赋权的数据主体有何差异。事实上,虽然都贴上了同样的“保护数据主体自主权”“信息自决”等近似的标签,不同国家和地区“脱离自动化决策权”所遵循的路径和规则实施绩效却多有差别。其二,规则的不断演进。有悖于各方从原本有利可图的交易中通过努力而获利的禁止性规则,在实践中将面临修改、甚至淘汰;与之相对应的是,有助于减少交易成本、衡平弱势方和优势方地位悬殊的保护性条款,将不断被采纳、优化直至发扬光大。例如,当前世界各国个人信息保护法通行的、合同性质的“告知-同意”框架并非偶然形成,而是数据处理者在适应“优胜劣汰”的竞争过程中一步步固化的产物。一方面,标准化的模式无论对于数据主体还是数据处理者而言均为最有效减少交易成本的解决方案;另一方面,具体的“告知-同意”内容历经了成百上千次的市场和司法考验,是各参与方在协商成本足够低的情况下,必然会采取的制度安排。
总之,个人信息保护规则并不像有形的计算机代码那般,一旦就位就能产生特定的作用和效果。法律制度必须顺应数据处理活动的变化并从中自得其所。有些规则虽然言之凿凿,但由于未能契合数据处理活动的变化规律,在现实中被长期虚置,任由一些不成文的规则发挥着替代性的作用。法律的禀赋并非变动不居,而是在“市场主体的行为及其策略性反应之间循环往复”。尚处于“摸着石头过河”初期的个人信息保护法,正在经受着技术革命的“重压”。既然实质合法性来源于适应性品质,个人信息保护法必须直面游走于法律边缘的技术创新。
三、数据处理活动的流变路径及法律挑战
个人信息保护的一项经典命题是,数据处理活动需与处理目的相适配,即以“合法、正当的处理目的”合理化“必要、直接的数据处理活动”。但是,在过去的数年间,为了实现跨境数据处理活动的畅行无阻,各国政策制定者都聚焦于兼具“合规”和“赋能”属性的信息科技,试图构建一套以手段本身正当化处理目的的数据合规制度,倾向于将特定新兴技术的使用等同于数据处理活动的合法正当。自欧盟法院在Scherems II案中判决欧盟-美国隐私保护盾无效以后,两大经济体数据互传曾一度陷入瘫痪。迫于数据交流的刚需,欧洲数据保护委员会(EDPB)印发了《关于补充传输工具以确保遵守欧盟数据保护水平措施的建议》,将隐私增强技术的使用视为跨国数据处理者主动合规的证据,为欧盟同各大经济体之间的数据互传另辟蹊径。美国国会也通过了《促进数字隐私技术法案》,要求加强隐私增强技术的研究和推广。
强监管形势下,治理科技的兴起将给数据处理活动带来三个方向的流变。其一,从零和博弈向合作共赢转变。例如,多方安全计算技术是多个非信任主体在数据“可用不可见”的前提下进行高效融合计算的技术手段,单边数据传输向多方数据整合跃升。其二,从“中心化”向“去中心化”转变。例如,联邦学习技术可在不共享本地数据的前提下实现机器学习模型的协同训练,参与方呈现零散分布式特点,多个终端共同参与模型训练。其三,由直接关联向模糊关联转变。例如,差分隐私技术通过在结果中添加噪声,使攻击者无法利用反向识别手段复原敏感信息,此种隐私保护手段以牺牲运算精度为代价,打破了输入和输出之间的线性关系。治理科技之外,我国政府积极推进“东数西算”工程,以优化数据中心建设布局、促进东西部协同联动为目标,势必将强化上述数据处理活动流变的大势所趋。数据处理活动的范式革新已是“箭在弦上”。
在当代法哲学中,法律与技术关系的协调是一个核心命题。这一命题所面临的二律背反,在数据处理活动中尤为突出。冲突的表象是,法律和科技携手共治,原本是化解数字经济中诸多乱象和风险的强力保障,但凭借技术手段挣脱法律束缚致使行为不受约束的情况却屡禁不绝。其深层次的原因是,对于打着技术幌子的监管套利行为,无论是作为监管者的政府还是作为裁判者的法官,多少缺乏前瞻研判的主动意识和有效应对的法理准备。虽然兼具“合规”和“赋能”的双重属性,但一如现代化的自反性命题所揭示,用以消弭风险的技术手段有时恰好是风险生产的诱因。新兴技术监管套利的基因决定了起初的“合规”姿态有可能在日后被“赋能”反噬。在这方面,关系合同分析框架的引入,同样大有裨益。技术适用导致的数据处理活动流变,将给关系合同的执行带来四重挑战。
(一)致使关系合同后续修改机制失效
后续修改机制是关系合同逐步趋于完善、依次达成合意从而更有利于当事人的基本保障。面对数据处理活动的流变,争议的焦点在于关系合同的后续修改机制是否应当受到法律规则的限制。支持协商自由的学者认为,当事人之间的自治安排优于法律制度,只要各方合意,规则可以改变。在实践中,某些国家的立法者虑及数据处理技术变化频繁,规定只要数据主体没有明确表示反对,则关系合同的改变即在事实上取得合法性。况且,数据主体的“自我保护”,有“选择-退出”机制等予以保障,故而没有必要大费周章地让当事人反复“协商”。诚然,一再请求同意授权必然降低数据处理活动的效率,反过来又会对数据主体所享有的安宁权造成损害,并且极有可能导致疲惫之下的一揽子授权或一揽子拒绝,扰乱了数据处理活动的正常秩序。然而,深谙个人信息风险的学者早就指出,个人信息上附着人格尊严和自由利益,如果没有实质性的好处,任何理性的、信息充分的数据主体断然不会轻易同意数据处理者的后续合同修改,特别是那些可能加深隐私风险的决定。但是,“合同自由主义者”通常对这些批评置若罔闻,根据他们的主张,数据处理合同的修改自由,即使对于非理性、信息匮乏的数据主体而言,也利大于弊,因为市场足以构成对数据处理者越矩行为的约束;想当然地判断具备基础理性智识的数据主体一定会拒绝合同的修改,多少高估了数据主体的“主观能动性”。早在上世纪末,即便是承认网络法具有突出于传统部门法功用的学者,也不排斥市场竞争和良法善治的相互交融,例如莱西格(Lawrence Lessig)就曾指出,新兴技术的规制需透过“国家法律(Laws)、社群规范(Norms)、市场竞争(Market)和技术架构(Architecture)的联结互动”。易言之,市场竞争,自然会对违法道德和群体利益的行为施加成本,比起市场的惩罚而言,来自法律的铡刀经常会有滞后,而且还附随其他的成本。
对于上述争论,我国《个人信息保护法》的回应较为“暧昧”。《个人信息保护法》第14条要求,个人信息的处理目的、方式和种类发生变更的,数据处理者必须重新取得个人同意,而任何同意的作出,须以个人充分知情和明确自愿为前提。乍一看,立法者回应了崇尚法律保护的学者们的担忧,既然有充分知情的限制性要求在前,数据主体的同意或者拒绝方能不受数据处理者的蛊惑。事实上,对于数据处理者的“告知”,《个人信息保护法》第17条虽有“以显著方式、清晰易懂的语言”“真实、准确、完整”等规定,但法条覆盖的事项仅局限于数据处理者的身份信息,数据处理的目的、方式、种类、期限,数据主体的法定权利以及法律法规规定的其他事项,没有涉及数据处理活动的潜在风险、对数据主体的潜在影响以及技术手段详细评测等数据主体真正关心的内容。就算满足了以上要求,数据主体通常既无时间、也无能力真正阅读、理解这些条款。甚至,某些数据处理者还乐于将计就计,以毫无必要的“真实、准确、完整”膨胀用户协议的篇幅,实现“呵退”数据主体认真了解合同变更内容的目的。《个人信息保护法》第14条、第17条的规定被架空。
实践中,数据主体的“充分知情”和“明确自愿”,一般通过三种极为简陋的形式得以证明:一是设置“阅读倒计时”,在倒计时届满前用户无法点击同意;二是在屏幕上,要求用户使用手指,从用户协议的开头划至用户协议的末尾,之后才能表示同意;三是让用户对着摄像头朗读“已经仔细阅读全文并洞悉潜在风险”。三种方式也可能被叠加使用,但无论如何,此类“作秀式”的告知证明,并不能保证数据主体真正知晓合同的主要内容以及合同变更的真实目的。告知和知情的“断层”,已经成为世界各国“告知-同意”框架的通病,我国《个人信息保护法》的“告知-知情-同意”框架也未能真正解决这个问题。立法者所看到的是一个规定了同意须以充分知情为前提,就能扭转数据处理者和数据处理主体信息地位悬殊局面的世界,而这种愿景同当今技术运作的现实情况存在着巨大鸿沟。
可见,尽管数据处理规则的修改必须经过数据主体同意,在理论上这是双方意思表示一致的结果,但由于数据主体通常在事实上根本不具备预判规则修改后续风险的知识储备,在事实上不可将其视为毫无瑕疵、合意充分的契约行为。故必须承认初始合同和后续合同修改在正当性层面的区别。如何在数据处理活动流变的语境中充分保障数据主体的知情权,使数据处理活动在技术洪流的波涛汹涌中“行稳致远”,是法律规则完善时必须考虑的内容。
(二)导致无法通过量化手段趋近完全合同
数据处理活动的流变给关系合同带来的第二重难题,是缔约方通过精细的量化手段亦难以分阶段压实关系合同中的不明承诺。数据处理合同之所以具备关系合同的属性,很大程度源于数据处理活动中存在数据主体能够大致预料当前行为将给未来造成的后果,与无法通过缔结合同的方式来防止数据处理者在未来对合同条款的预期滥用之间的矛盾。就普通的数据处理活动而言,尽管数据处理各方亦不能具体描述未来可能发生的所有情形,但他们可以粗略估计未来正常情况下的可能收益。基于此,普通数据处理活动的各方完全可以设计出一个行动依赖于各种收益的不完全合同,而不是行动依赖于不可描述状态的关系合同,前者是比后者更加接近完全合同的不完全合同。也即是说,借助外部收益量化机制,最优的数据处理合同不是从状态信息到行动结果的映射,而是从与各种预期收益相对应的且数据主体在事前可描述的一系列收益到行动结果的映射。这也符合马斯金(Eric Maskin)和梯若尔(Jean Tirole)提出的“不相关定理”,基于未来收益并在缔约阶段就进行优化决策的“充分理性”,是对未来状态不可预见的“非理性”的有益而必要的矫正。
个人信息保护法中关于损害赔偿责任依照数据主体所受损失或数据处理者所得利益进行确定、对处理个人数据达到或未达到公共管理部门规定数量的数据处理者进行区别对待的规则设计等,均是不完全合同“稳预期、利长远”的法律保障。但是,数据处理各方未来收益预期的可量化,是在数据处理活动的本质没有发生变化的前提下实现的,亦即固定预期收益所能抗衡的不确定性仅是针对各参与方难以揣度的行为而言,无法应对数据处理模式的根本性改变。然而,技术变革导致的数据处理活动的流变,无论是从数据处理者的引入,抑或是数据处理活动的外包等,均不同程度破坏了上述前提,给诸多约定本身就不甚明确的关系合同带来了更多的不确定性。针对数据处理活动的本质性流变,个人信息保护法也应作出相应调整,以便更好地履行“预期稳定器”的功用。
(三)加剧关系合同中剩余权利分配失衡
数据处理活动的流变给关系合同带来的第三重难题,是加剧合同剩余权利分配的失衡。依照能否在合同中进行明确规定,交易中的权利一般分为特定权利和剩余权利。正常情况下,无法以条款形式固定的剩余权利对于缔约各方而言都是均匀分布的,但在数据处理活动中,剩余权利几乎被“一刀切”地配置给了数据处理者。数据处理者一般以“免费”的服务供给作为对数据主体授权使用数据的代偿;而剩余权利几乎是作为特定权利的附随,被打包“赠送”给数据处理者。根据关系合同理论,可预见、可实施的特定权利并不会干扰资源的分配和再分配,但合同中无法明示的剩余权利对缔约各方都至关重要;甚至有学者指出,获得剩余权利控制权等同于获得了实质所有权,主张将剩余权利的控制权配置给投资决策相对重要的一方。前沿技术对数据处理活动的加持,加大了数据的聚合体量、提高了数据处理者的知识处理能力,剩余权利的变现也因此更加容易。“某些在外行人看来一文不值的信息,对内行人却意义非凡。”数据聚合带来的默会知识和潜在机会将给数据处理者带来丰厚回报,激励其对剩余权利的竞逐变本加厉。
对于剩余权利明显失衡,合宜的做法是一方支付对价,将另一方买断,通过设置合理价格将剩余权利配置给更能够有效利用它的数据处理者。然而,数据处理活动的流变增加了剩余权利的定价困难。其一,数据一旦通过多方安全计算、联邦学习等技术对其他生产要素的价值产生“倍增作用”,其“二次利用价值”便不像一般利用价值那般可计算;其二,当企业效益和社会效益产生冲突时,法律将让破坏原初秩序的行为得不偿失。数据处理活动的流变稍不注意就可能触碰反垄断法、数据安全法和网络安全法的红线,来自法律的“事后清算”加大了“事前定价”的难度。
上述困难表明,随着数据处理活动的流变,仅凭强行法在极特殊的情况下对剩余权利的失衡进行矫正是远远不够的。况且,本应深度嵌入数据处理活动的个人信息保护法,在保护特定权利方面“刚性有余”,在平衡剩余权利方面却“柔性不足”。各国个人信息保护法中的诸多规定,例如在数据处理活动的各个环节履行相应的“告知”义务、允许数据处理撤回同意和授权、为数据主体建立便捷的个人行使权利的申请受理和处理机制等,只是赋予了数据主体就特定权利同数据处理者谈判的砝码,无法延伸至合同中“说不清、道不明”的剩余权利。当然,个人信息保护法在均衡剩余权利方面,也并非完全无所作为,例如,我国《个人信息保护法》第58条就对提供多元互联网平台服务、用户数量特别巨大、业务类型相对复杂的数据处理者,规定了引入外部监督体制、定期发布社会责任报告等特别义务,能够在一定程度上矫正剩余权利的失衡。不过,如欲全面应对前沿科技的“狂飙突进”,还必须依赖个人信息保护法的适应性品质及时对数据处理活动的流变作出回应。
(四)造成传统责任机制虚置和颠覆
数据处理活动的流变给关系合同带来的第四重难题,是传统责任机制的紊乱失调。在普通的算法应用中,合同的相对方十分明确、人际接触较为有限、交易标的易于揣度、致害因果关系不难建立,脱胎于长臂理论的归责机制呈现出“运营商问责制”的倾向,透过“数据处理者-数据主体”的二分法以及“数据处理者-数据控制者-数据主体”的三分法简化,或主张建立正当程序制度全面追究数据处理者的责任,或建议采取场景化的规制路径构建算法公开、数据赋权与反算法偏见等具体制度。虽然“运营商问责制”也因为将责任一揽子归于数据处理者而饱受质疑,但在法律关系相对简单的情况下,较为严苛的责任分配机制有助于约束数据处理者的越矩行为。
数据处理活动的流变,打破了上述二分法和三分法的归责机制。以联邦学习技术为例:在联邦学习中,当事人的合意以“关系合同集束”的形式体现,对应着更加复杂的法律关系--联邦学习主导方和参与方之间是主数据处理者和从数据处理者关系,参与方和数据主体之间是直接处理关系,主导方和数据主体之间是间接处理关系。除了主导方控制的中央服务器是可信的,所有终端和其他设备均不能排除尝试获取用户隐私和对抗系统的可能,即便他们严格按照联邦学习的初始方案执行程序。有为数众多的参与方横亘在主导方和零散的数据主体之间,传统的二分法和三分法无法准确描述此类网状关联的法律关系,数据处理的层层委托经常演化为“层层甩锅”,致使责任主体虚化。随着训练模型的不断迭代,在事后落实和评估联邦学习各方的责任将愈发困难。倘若依照《电子商务法》第5条“产品和服务质量责任”,对链条上的所有数据处理者适用严格责任原则,或依照《个人信息保护法》第20条“共同处理者责任”,要求全体数据处理者承担连带责任,显然有失公平。
以上四个方面的法律挑战共同揭示了如下的应对原理:其一,受新兴科技的影响,数据处理活动,将朝着重塑权利形态和权力结构的方向流变,政策制定者宜从数据处理的源头构建技术正当程序,通过多样化、去中心化的规制手段,对抗同样多样化、去中心化的技术风险;其二,在高度不确定的数据处理活动中通过权利赋予配合行为规制的围堵模式来化解技术变革的风险,可能南辕北辙,应回归关系合同的基本属性,以缔约各方互信互惠的良性关系取代过于简单的机械化规则;其三,基于权利制约和尊严保障的法治理想追求,激励相容路径下关系合同的改良有助于从数字规范性和技术可控性角度框定数据处理活动的流变边界,补全临界状态中动态规范的暂付阙如。
四、未来法律准备的全新面向及规则重构
数据处理活动的流变风险,既是技术变革的自然产物,也是新兴技术打破传统数据处理惯例的必然结果。全新数据处理范式带来的问题是,如何协调数字经济效率的终极目的与罔顾数据主体合法权益的现实风险之间的矛盾。韦伯(Max Weber)指出,理性的法律通过稳定交易预期从而为经济发展提供助力。面对数据处理活动流变带来的法律挑战,稳定预期等积极目标的达成,最终需要个人信息保护法的适应性品质予以承载:当且仅当相关规则的改进和完善与数据处理活动的流变“同频共振”,个人信息保护规则才能长期措置裕如地应对新兴技术带来的各类风险。以关系合同的“长治久安”为规范目的,我国《个人信息保护法》的理性优化可以从四个方面展开:其一,承认过程信息的个人信息属性,让可携带权的内涵及于过程信息,提升数据主体相对于数据处理者的合同“缔约力”和“谈判力”;其二,引入信义义务规则,充分发挥《个人信息保护法》之于关系合同的漏洞填补作用;其三,活用强制性规范,对信息处理活动中至关重要的剩余权利分配作出合理安排;其四,通过比例连带责任完善既有责任体系,弥补关系合同的责任虚置缺陷。
(一)赋予数据主体对过程信息支配权
解决关系合同后续修改机制被架空等问题的关键,在于扭转过程信息对数据处理者的赋能。数据处理者在清洗、处理原始数据的过程中,会获得大量有关数据主体行为表现、经济情况、健康状态、信用分级、兴趣偏好的过程信息。对过程信息的独占,是数据处理者享有更强“谈判力”的根本原因。当数据处理者请求再次授权时,数据主体使用服务已经小有时日,只要使用体验尚可,一般不会权衡继续授权的潜在风险。虽然各国个人信息保护法多载有不得以数据主体拒绝授权或撤回同意为由停止提供服务的规定,但同样常见的“处理数据为提供服务所必需”的但书规定,大幅削弱了数据主体拒绝授权的底气。更重要的是,数据处理者需要请求再次授权时,通常已经掌握了相当程度的个人信息,而事后的拒绝授权和同意撤回并不影响基于之前同意已进行的数据处理活动的效力,即便数据主体拒绝授权,数据处理者已经获取的过程信息足以维持其在数据处理活动中的正常收益。于是乎,本就已经处于下风的数据主体在新的数据处理要约中将面临“胁迫”:其一,继续授权无疑将赋能数据处理者,但自身能否从中获利则在模棱两可之间;其二,不继续授权,未必给数据处理者造成损失,但自身可能面临的损害是可预见的--即便仍能继续使用服务,但服务的精确性和效率能否保证也是一个问题。说到底,当过程信息足以替代原始数据完成自动化决策时,基于继续授权的“存量授权”的重要性将明显次于来自新用户的“增量授权”。
意识到过程信息可能使数据主体丧失同数据处理者讨价还价的筹码,有学者强烈主张“通过保障推论数据获取权以搭建个人数据主体与数据控制者之间的沟通机制”。与此主张相对的是,相当多的学者认为,过程信息是数据处理者在机器学习、算法决策、用户侧写、情感计算等过程中,为了规避风险、节省成本、提升运算效率、迷惑竞争对手而生成的过程性生产资料,具有专用性资产的属性,但个人却对此类数据没有基本的控制或监督,数据处理者是实际的所有者和控制者。争论归争论,数据主体能否主张对过程信息的完整或部分权益,取决于过程信息能在多大程度上被视为个人信息。在审判实践中,不同地区的法院依照不同的法理,给出了正好相反的判决结果。例如,Y. S v. Minister voor Immigratie案将过程信息定性为他人经验和思维的创造产物,不属于个人信息;Peter Nowak v. Data Protection Commissioner案则裁决只要和具体自然人相关联的过程信息都属于个人信息。
数据处理活动的“去中心化”流变,将使数据处理者从范围更广、数量更多、程度更深和精度更高的过程信息中获得自我赋能,进一步导致关系合同的权力失衡。过去因保护智识创造物而拒绝承认过程信息属于个人信息的做法,在数据处理活动流变的语境下应当被再度审视。出于维系关系合同稳定性的考虑,应当承认过程信息的个人信息属性,认可数据主体对过程信息享有支配权。当数据主体拒绝授权或撤回同意时,数据处理者便不再享有对过程信息的独占权。与之相对应的是,《个人信息保护法》赋予数据主体的部分权利的内涵,应随过程信息的支配转移而相应变化。例如,数据主体依照第45条“可携带权”的规定,请求将其个人信息转移至其他数据处理者时,数据主体的原始个人信息和过程信息应当一并转移;数据主体行使第47条“删除权”时,可以请求数据处理者删除与自身关联紧密的过程信息,数据处理者不得以“在技术上难以实现”为由拒绝请求。
上述规则的实现,亟须动态的“告知-知情-同意”框架与之配合。既然,关系合同中的各方在任何一个时间点上无法准确定性未来的数据处理情况,只能将彼此之间的交易视为“在很大程度上属于未知领域的整体活动的一部分”,“告知-知情-同意”框架也必须顺应数据处理活动的流变,在关键节点就具体事项“不厌其烦”地“详细告知”和“请求同意”。毕竟,数据主体只有做到“就事论事”的“知情”,才能作出真正符合其意思表示的“同意”或“拒绝”,才有机会行使其对过程信息的正当权利。但为了降低各方交易成本、减少对数据主体的无端打扰,应当对数据处理活动流变的个别情形设置授权请求豁免:其一,数据处理方式的改变确实不涉及个人权益,数据处理者在履行通知义务后直接变更数据处理方式,数据主体虽无收益但其权益不受损害,是否同意甚至是否知情都不重要。其二,数据处理方式和目的虽有改变,但符合《民法典》第1037条规定,即处理自然人“自行公开或者其他已经合法公开”或处理维护公共利益所必须的个人数据时,数据处理者应当有权自行决定。其三,可信赖的第三方在数据主体的原始授权目的范围内进行的用途兼容的数据调用,数据处理者仅需知会数据主体,无须数据主体的“额外同意”。
(二)补充善意、勤勉的数据处理原则
关系合同理论对不完全合同理论的改进体现在,放弃事后谈判一定能取得实质绩效的假定,将事后交易存在部分可缔约的情形纳入考量。换言之,关系合同将始终具备“不完全合同”的属性,即便通过事后谈判不断校准,也只是在“非完全”的意义上进行的事后完善,只能使之无限趋近完全合同,但其“不完全合同”的属性早已被关系合同的“关系性”所限定。这一修正十分贴合数据处理活动的实际情况--如果数据主体同数据处理者的首轮谈判尚且是漫不经心的,数据主体亦很难在习惯于接受数据处理者的产品和服务之后幡然醒悟。就此而论,个人信息保护法的积极意义在于,识辨出数据处理活动中可缔约的字面绩效(即按合同文义执行的可证实的绩效)之外可能存在的不可缔约的潜在绩效(按合同精神执行的不可证实的绩效),并通过一种“笼统但贴合实际”的原则性表述,维护潜在绩效之于数据主体可能存在的“信赖利益”。
相互信任是关系合同的根基,数据主体只有在信任数据处理者的情况下才会源源不断地提供其个人数据,为了维护信任,数据处理者须以值得信赖的方式处理个人数据。虽然信息不对称等原因经常致使数据主体怠于行使权利,但过度透支信任亦会导致数据主体的反击。例如,数据主体可以“用脚投票”,或大幅减少与数据处理者共享的数据量,或撤回数据处理之同意,积少成多将导致数字信任的“崩塌”乃至个人数据的“挤兑”,最终伤害关系合同的正常履行。为维持数据处理活动长期稳定的必要信任,在数据处理活动除“遵循合法、正当、必要和诚信原则”“具有明确、合理的目”等前置性要求之外,我国《个人信息保护法》总则部分宜补充数据处理者“善意”和“勤勉”的原则性规定。
数据处理者的“善意”主要体现在三个方面:其一,不得将自身的短期利益置于数据主体利益之上,不可因数据处理活动范式的转变趁机监管套利,在数据处理的全流程禁止自我交易;其二,在模糊保证的用户协议之外,数据处理者应主动履行信息披露义务,提升数据处理活动透明度,确保数据主体对数据处理活动流变方式和潜在危害“真实知情”;其三,即便数据处理活动的流变给数据处理者带来了显著的信息优势,亦不得对数据主体的弱点或软肋进行不受控制的“战略性滥用”。数据处理者的“勤勉”也体现在三个方面:其一,数据处理者应以数据处理行家里手的身份保护其占有的个人数据,对新型数据处理活动的潜在危害推定其“应当知道”;其二,针对数据处理活动的不同样态,数据处理者应正确、积极履行事前安全保障义务、事中风险评估义务和事后损害消除义务;其三,对新兴、复杂、疑难技术的使用保持审慎、合理怀疑,在必须使用此类技术的情形下,数据处理者必须对技术做到力所能及地理解,并对潜在的风险做到不遗余力地避免。
(三)平衡关系合同中的剩余权利分配
数据环境越复杂,技术方就越有可能以合法形式绕开预设约束,独占数据处理活动中的剩余权利,迂回实现自身利益的最大化,进而损害社会公共利益。面对数据处理活动的流变,未来个人信息保护法应当更加注重对剩余权利分配的平衡,确保占有剩余权利收益的数据处理者对剩余权利之于数据主体的潜在收益给予充分补偿,以便最大限度地减少关系合同的种种不效率。
“法律乃平衡的艺术,始终行走于个人权利保护与他人行为自由的两个极端之间,力求公允。”在构建剩余权利分配机制的法律规则时必须注意,相对于经验丰富的数据处理者而言,懵懂单纯的数据主体在签订合同之时难以体会权利分配背后的暗潮涌动,特定权利的唾手可得钝化了数据主体对于剩余权利失控的感知,而数据处理活动的流变放大了技术滥用的道德风险,极大地推高了关系合同的危险指数。法谚有云:“法律不保护权利上的睡眠者”。法律仅保护那些积极主张自身权利的人,因此有必要让数据主体充分知晓数据处理活动中剩余权利所蕴含的法益。监管部门、地方网信办应当加强与此相关的宣讲工作,通过广播电视新闻、横幅标语、线上新媒体撰文、线下活动答疑等方式进行普法教育,向社会公众普及数据处理活动的流变趋势以及常见风险的防范措施,让文化程度不高、长期怠于行使权利的弱势群体在面对数据处理活动的流变时也能坚守一般理性人的清醒和觉察。在新兴技术不断涌现的信息化时代,公众参与数据处理活动的“广度和深度无论主动和被动都会加大”,“博弈的自觉、有序和担当”显然亟待加强,这是理性的数据主体必须承受的“学习成本”。
对于某些后果极其严重的剩余权利滥用行为,政策制定者可以本着维护公序良俗和公共利益的考量,规定数据处理活动的行为底线,例如在保证自动化决策透明度和结果公平、公正之外,一概禁止战略性利用数据主体弱点的监管套利行为,从而内化剩余权利失衡带来的外部性成本。根据笔者的观察,数据处理活动的流变,可能导致以下几类剩余权利滥用行为,必须通过强制性条款予以禁止:(1)滥用信息优势地位压榨数据主体的行为;(2)“卡脖子”式的合同束缚行为;(3)将专属人格权益或个人隐私进行商业化利用的行为;(4)显失公平或违反伦理道德的行为。数据处理活动的流变方式因技术而异,一种可行的解决方案是建立剩余权利滥用行为的“负面清单”,根据执法情况不断添加完善,及时更新、定期向公众公布。以负面清单为依据,剩余权利的滥用行为即为可诉行为,损害量化和因果追溯问题也将迎刃而解。
(四)构建多层级、多维度的责任体系
法律责任在所有具有规范性意义的制度安排中居于核心地位,既是违反特定义务必须承担的法律后果,也是救济相关权利损害的必要措施,更是保护正当权益的直接手段。《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确要求“健全数据资源目录和责任清单制度”,预示着未来将会出现比现有二分法、三分法细粒度更高的归责机制。应对数据处理活动的流变,基于合同相对性的责任承担应当让位于基于合同连锁性的责任分配。
在流量经济引发道德风险的今天,强化责任链条的必要性远超以往任何一个时代。为争夺市场占有率,数据处理者依靠过度宣传招揽客户的行径可谓司空见惯。况且,数据处理者还经常面临自身禀赋不足以应对复杂需求的困境,利用多方安全计算“蹭数据”、利用联邦学习“蹭算力”等情形时有发生。为了促成关系合同的签订,数据处理者对可能引发争议的特别事项或避而不谈、或刻意将其美化,例如,将数据处理活动流变中的“转委托”行为描述为“与第三方形成技术合力,共同提供最强技术保障”,完全枉顾数据处理者可能通过反向识别手段再次“开垦”数据的风险。而且,当从数据处理者的处理能力到达上限时,便可能再次转委托他人处理数据,这种层层外包的方式若不加限制,将导致数据主体的隐私受到“反复侵害”。
从关系合同的“环环相扣”入手,在数据处理活动流变形成的“多层次的法律关系集合体”中,主导方责任、参与方责任、技术方责任和监管责任共同构成了未来适用的责任框架。在普通数据处理活动中,风险通常能够追溯至形迹可疑、不怀好意的责任主体。随着数据处理活动的流变,风险的产生途径更加宽泛,任一参与方的数据瑕疵、因觊觎而实施的小动作、敌意而隐秘的直接攻击等,都可能“以点带面”地造成损害。得益于《个人信息保护法》第56条、《互联网信息服务管理办法》第14条、《移动智能终端应用软件预置和分发管理暂行规定》第8条和《数据安全法》第33条所奠定的数据留存义务,我国现有法律规定已经能够基本做到数据处理活动的“全过程留痕”,使得更加精细的责任分配成为可能。针对风险源头高度分散、风险样态各不相同、风险发生随时随地的新兴技术,责任分配机制的设计也应当灵活多变,不能简单地将侵权责任的线性思维套于其上。此外,在考虑连带责任的适用情形时应尤其慎重,可藉由可责性和原因力作为配置侵权责任的依据,避免连带责任的泛化。
技术方与主导方通常归属于同一主体,是多方安全计算、联邦学习的主要发起人,应当对隐私安全防线崩溃、参与方把关不严、算法偏见和其他潜在技术风险承担主要责任。少数情况下,技术方与主导方不属于同一主体,除非主导方与各参与方直接签订合同或主导方有重大疏忽等例外情形,由技术方对数据处理流程中的安全缺陷和目标偏离负责才是正常的责任配置原则。不过,数据处理活动流变的潜在危害,例如个人隐私泄露、训练模型输出歧视性结果等,主要受害人是数据主体,向数据主体直接承担责任的数据处理者亦即各参与方,处于责任链条的最前端。当数据处理者履行了作为参与方的赔偿责任之后,可以依法向其他参与方、技术方和主导方追偿。此时,应当结合实际情况区分过失和故意,禁止故意方向过失方追偿。需要补充的是,面对数据处理活动的流变,责任分配虽有细究之必要,但是主导方、技术方、参与方之间的内部关系如何,“不会也不应对”数据主体的个人信息权益产生不利影响,数据主体有权向任一数据处理者行使个人权利。
结 语
挣脱监管、唯利是逐是新兴技术的天性,数据处理活动的流变路径也因此耦合了风险产生的技术规律。借用关系合同理论,本文试图提供一个认知框架,用以阐述合同向度内,个人信息保护法积极拥抱未来变化的适应性品质。时至今日,对个人信息的合理使用仍然缺乏一个被普遍接受的标准。或许正是由于“合理”一词的含义模糊不清,才使其获得了合同各方的广泛支持。所谓合理,究竟是之于数据主体的合理,还是之于数据处理者的合理,抑或是之于公共利益的合理,在不同的数据处理活动中有着大异其趣的解释空间。从本文的论述延伸,个人信息“合理使用”的法律解释也应与时俱进。面对数据处理活动的流变,个人信息的“合理使用”取决于个人信息保护法能在多大程度上保障:其一,因数据处理范式的转变导致的关系合同变更,不能使数据主体境遇更差;其二,无论数据处理活动如何流变,数据处理者的处理行为符合善意和勤勉的基本要求;其三,在实现数据要素价值释放的同时,加强数据主体对过程信息和剩余权利的匹配和控制能力。唯有个人信息的确在“合理使用”范围之内,数据处理活动的流变才不再耸人听闻。
作者:唐林垚,法学博士,中国社会科学院法学研究所助理研究员。