1、长江论坛 2023 年第 1 期总第 178 期76个人信息保护制度的信义法进路:反思与修正潘雨祥蒲俊丞(西南大学法学院,重庆400715)摘要大数据时代信息主体与信息处理者的地位愈发失衡,传统个人赋权保护路径的效用正在逐步减弱。为有效制约信息处理者并协调其与信息主体间的不平等地位,域外学界提出了信息信托的概念,并发展出了两种模式:一种是美国的“信息受托人”模式,要求信息处理者承担为信息主体利益考量的信义义务;另一种是英国的“数据信托”模式,由第三方受托人提供独立的信息信托服务。两种模式均有不同程度的漏洞,需要结合我国个人信息保护实践加以反思。在肯定个人信息信义法保护思路的前提下,宜对信义义务
2、主体加以修正,由个人信息保护负责人承担信义义务,并对信义义务具体内容、适用范围、法律责任等加以界定,发展出符合我国实际的个人信息信义法保护进路。关键词个人信息保护;信息信托;信义义务;信息主体;信息处理者;个人信息保护负责人中图分类号D913文献标识码ADOI:10.3969/j.issn.1005-3980.2023.01.010文章编号10053980(2023)01007610_一、问题的提出随着信息技术的发展,大数据正以迅雷不及掩耳之势改变着人类的社群生活与生存方式。海量的个人信息密集处理与规模流转,在给人类生活与社会发展带来极大便利的同时,也对个人信息安全形成了前所未有的挑战。为了满
3、足我国数字化发展背景下每个人最现实最直接的利益保护需要,中华人民共和国个人信息保护法(以下简称个信法)于 2021 年11 月 1 日正式开始实施。作为我国第一部全面保护个人信息的专门性、综合性法律,个信法以保护个人信息权益、规范个人信息处理行为、促进个人信息合理流通与利用为中心,构建了较为完备、科学的个人信息保护规则体系。1(第1 页)然而,个人信息收集实践中侵犯个人信息的现象并未因个信法的出台而销声匿迹。相反,个人信息被不当收集的事件不断地被媒体曝光,2信息企业未经用户同意擅自处理个人信息的现象亦层出不穷,3人们对自身个人信息的控制依旧在逐步减弱。问题究竟出在何处?笔者认为,虽构建了个人信
4、息处理规则体系,但个信法对一组价值冲突和一组失衡关系的协调还存在欠缺,致使个人信息侵权行为无法得到根治。价值冲突,是指个人信息保护价值与利用价值的冲突。随着人类社会步入大数据时代,个人信息的可利用价值愈发凸显,这驱使信息处理者对个人信息进行挖掘与分析,数字经济的发展同样对个人信息的流通与利用提出了极大需求;而深度开发与利_收稿日期:2022-10-31法治社会77用对个人信息安全造成了前所未有的冲击,数据侵扰、数据泄露、数据杀熟、数据画像等现象正在严重威胁和破坏信息主体享有的个人信息权益。失衡关系,是指信息主体与信息处理者之间的关系。随着信息技术的发展,以互联网企业为代表的信息处理者所掌握的信
5、息认知能力和信息应用技术正在变得愈发强大,信息主体对于信息处理者所提供服务的依赖也在逐渐加深。这导致互联网时代下的信息主体与信息处理者之间的地位愈发不平等,4(第113页)且这种不平等关系具有持续性。5(第119页)为了解决这一问题,我国立法采取了对信息主体增强赋权的方式,在个信法第四章赋予了信息主体在个人信息处理活动中享有的知情权、决定权、查阅权、复制权、更正权、删除权等多项权利,旨在强化信息主体在个人信息处理过程中的决定力和影响力。但是,事实证明,这种为信息主体赋权的方式对问题解决的效用非常有限。原因在于,这种个人信息保护模式建立在信息主体有能力维护自身信息权益的假设前提之上,但实际上信息
6、主体既无能力、也无精力去主动声张自身享有的个人信息权益。以被誉为个人信息保护“黄金法则”的“告知同意”规则为例,立法要求信息处理者在从事信息处理活动之前,需要在其官网首页或产品使用说明上注明该企业的服务协议或隐私政策,向用户明确告知处理个人信息的内容、方式等事项,并只有在取得用户同意后才能开始相应的信息处理行为。但从实践来看,“告知同意”规则并不能提供真正有效的保护。面对繁复冗杂的隐私政策,实践中很少有人认真地阅读。首先,从阅读兴趣来看,有研究表明,个体对于风险的认知往往局限于熟悉的领域与风险较大的领域(如犯罪、疾病等问题),对于个人信息处理所导致的风险,个人的感知往往较为迟钝,也没有太多兴趣
7、去了解。6(第88页)其次,从阅读时间成本来看,根据美国的一项研究,如果所有的美国信息主体阅读自己所浏览网站的隐私政策,一年内花费的时间将达到538 亿小时,换算成经济成本大概是 7810 亿,这无疑是一笔难以承担的成本。7(第540-541 页)最后,从阅读能力来看,信息主体一般不具备理解繁复冗杂的隐私政策的能力,个人信息的种类、其处理的方式与算法技术往往非常复杂,即便是专业的人员也常常难以理解,更不用说一般的普通用户。8(第1393-1462页)在这种现实背景下,许多企业的隐私政策逐渐演变为了“霸王条款”,利用格式化的隐私政策获取信息主体的同意与授权,而这种“同意与授权”的背后通常是信息主
8、体无可奈何与被迫授权。虽然以欧盟一般数据保护条例(GeneralDataProtection Regulation,以下简称“GDPR”)为代表的个人信息保护立法采取了要求信息处理者以“一种简洁、透明、易懂和容易获取的形式,以清晰和平白的语言来提供信息”(GDPR 第 12 条),并将提高信息主体阅读隐私政策的兴趣和意识作为立法目的(GDPR 第 57 条第 1 款第 2 项),且我国个信法第14 条和第17 条也对“告知同意”规则的形式要件作出了明确规定。但这种在传统“告知同意”的合同法框架下进行改良,对大数据时代个人信息保护的作用已经越来越小了。一方面,原因在于强行要求简化隐私政策内容将会
9、对信息处理者造成巨大负担,且简化后的隐私政策在专业性、准确性方面也会大打折扣;另一方面,有研究表明,即便是对隐私政策进行简化也未必会真正影响信息主体的决策,9(第 67 页)依旧难以发挥制度设计者的理想效用。在以“告知同意”规则为缩影的个人赋权信息保护模式难以发挥实质效用的情况下,保护个人信息的重担就落在了行政监管之上,信息主体只能寄希望于履行个人信息保护职责的部门实施各种监管行为,但信息处理者通常具有规避违法审查的能力,这就导致了对个人信息处理行为的行政审查可能沦为“打地鼠”式的监管游戏,难以发挥实质性保护效用,或者至少可以说效率很低。上述研究表明,无论是效仿GDPR 的信息主体增强赋权模式
10、,还是信息处理合规的行政监管模式,都难以在大数据时代下真正高效地发挥保护个人信息的实质性效用。而造成这一困局的根本原因在于,现有个人信息保护制度构建于传统的合同法框架之上,而这种框架无法创造出各方主体之间的“信任”关系。行政机关不信任信息处理者,信息处理者与信息主体之间也相互不信任。而如果在最基础的层面上都无法建立起最基本的信任关系,那么再多的赋权和规制也都无济于事,10(第62 页)“信任赤字”将成为现有个人信息保护制度无法跨越的鸿沟。为此,有域外学者提出了个人信息保护的信义法思路,试图将信义法中的信任关系与信义义务引入个人信息保护制度中,以解决“信任赤字”问题。本文将在这些域外学者的研究基
11、础之上进行归纳与反思,并结合我国的立法实践对其加以修正,试图探索基于信义法思路的个人信息保护进路。长江论坛 2023 年第 1 期总第 178 期78二、迈向信义法思路的个人信息保护制度(一)引入“信息信托”个人信息保护困境并非今日之特有产物,其在20 世纪下半叶就已初露端倪。在 20 世纪 70 年代,美国信息处理者利用计算机数据库处理个人信息侵权的现象就已层出不穷,为应对日益频繁的信息侵权问题。美国政府成立了一个“关于个人数据自动系统的建议小组”,对个人信息处理行为的相关事项加以调查研究。11(第97页)该小组 1973 年发布了一份名为“公平信息实践原则”的报告,确立了个人信息处理的 5
12、项原则:其一,必须禁止个人信息的秘密保存;其二,必须确保个人了解什么信息被收集,以及如何被使用;其三,必须确保个人能够阻止未经同意将其信息用于授权目的之外,或提供给他人的行为;其四,必须确保个人能够改正或修改系统中的个人信息;其五,必须确保对任何被使用的个人信息都是可靠的,且必须采取预防措施避免信息滥用。公平信息实践原则的提出在很大程度上影响了美国的隐私立法,美国1974隐私法案直接将公平信息实践纳入立法规定,随后的家庭教育权利与隐私法案视频隐私保护法案等法案也体现了公平信息实践的内容。美国著名法学教授保罗施瓦茨(PaulSchwartz)教授将公平信息实践原则誉为“现代信息隐私法的基石”。1
13、2(第1607-1702页)从公平信息实践的内容来看,其主要强调的是信息主体的强化赋权以及信息处理者的义务履行,本质上可以理解为立法通过倾斜保护的方式对信息处理者形成掣肘,从而达到个人信息保护的目的。就此而言,美国研究者似乎已经抓住了个人信息保护的关键点,即如何有效制约处于强势地位的信息处理者。然而,对信息处理者制约路径的探索并非一帆风顺,在信息保护实践接连证明了个体赋权路径、公法监管路径以及信息处理者自主合规路径均存在难以克服的局限性后,域外学界逐渐将目光投向了“信息信托”这一新概念,并发展出了两套并行不悖的制度构想。一方面,美国提出了“信息受托人”制度构想,试图将信义义务与责任施加于信息处
14、理者,要求其为信息主体的利益着想,不得与信息主体利益相冲突;而另一方面,英国提出了“数据信托”制度构想,尝试构建第三方主体作为信托机构,维护信息主体利益,监督对抗信息处理者的行为,以达到维护信息主体利益的目的。下文将对此两种构想进行分析与梳理。(二)美国“信息受托人”的制度构想在美国的信息信托前沿探索中,影响力最为深远的当属耶鲁大学法学院教授杰克巴尔金(JackM.Balkin)。他指出,在实践中的律师与客户、医生与患者之间存在着一种特殊关系,人们需要信任他们的律师和医生并准确提供案件与病症相关的个人信息,医生和律师应当担负为患者和客户利益考量的信义义务和责任,这种信任关系就是一种信托关系。对
15、上述关系的特性加以分析,可以发现现代信托关系一般建立在受托人具有专业能力方面的巨大优势,承载着委托人的信任,并为其利益管理享有高度自治权的预设前提之上。13(第23 页)他认为,律师与客户、医生与患者之间的关系还可以推衍至信息处理者与信息主体之间。这源于虽然人们对信息处理者的期待与他们对医生和律师的期望截然不同,因为信息处理者的受托义务比医生和律师在专业性方面更窄,但信息处理者有能力收集到比任何医生和律师都要多的关于我们的不同类型的信息,其拥有的计算能力和人工智能能力同样能够对信息主体造成巨大影响。因此,信息处理者应当扮演“信息受托人”的角色,承担起关心信息主体利益的信义义务,同样要值得信息主
16、体的信任。而至于何谓“信息受托人”,他将其定义为“因与他人的关系而对在关系中获得的信息承担特殊责任的个人或企业”。14(第1207页)至于信息主体与信息处理者之间的关系与现代信义法所调整的关系之间存在何种相似性,以及个人信息处理关系为何可以适用信义义务,巴尔金也作了较为详尽的解释:其一,信息主体(他将信息主体称为终端用户)与信息处理者之间的关系具有脆弱性和不平等性。作为弱势方的信息主体完全没有能力监督和控制处于强势方的信息处理者的行为,但信息处理者能够轻易监测并掌控信息主体的相关信息。其二,信息主体对信息处理者一般具有依赖性。信息主体通常依赖于信息处理者提供的各种服务,这种依赖性决定了信息主体除了信任信息处理者不滥用其个人信息之外没有更好的选择。其三,信息处理者通常标榜并认可自身的专业属性。这种专业能力的自我标榜能够吸引信息主体产生信任。15(第1222页)正如他所举之例,搜索引擎通常会向用户承诺“我们会快捷有效地为您找到想要的信息”,这种承诺通常诱导信息主体对其产法治社会79生信任并认可其受托人的地位。其四,信息处理者一般知道自身掌握着有价值的信息,且也知道信息主体会对这些信息的处理
