从控制到合作:个人信息保护策略优化
2023-08-04叶岚
叶岚
[摘 要]数字时代政府加强个人信息保护面临角色转变下的职责异构、虚拟网络下的模糊监管和公众预期难以满足等困境。个人信息的公共价值使自然人不再拥有对个人信息的绝对控制,个人信息与个人数据从“形神合一”走向“形神位移”,个人信息处理对象泛在化及其行为隐蔽化导致风险多样化,个人信息保护亟须从“控制”走向“合作”。合作监管依托协同治理机制、效率生成机制和后设监管机制实现主体赋能、过程赋能和结果赋能,提升个人信息保护绩效。实施精准监管、完善过程监管、实现韧性监管、创新平台监管和强化系统监管是合作监管视角下深化个人信息保护的策略组合。
[关键词]个人信息保护;合作监管;公共安全;风险治理
中图分类号:D922 文献标识码:A 文章编号:1008-410X(2023)04-0064-12
一、数字时代政府加强个人信息保护的三重困境
党的二十大将“加强个人信息保护”作为提高公共安全治理水平的重要内容 [1](P54) 。习近平强调:“要维护国家数据安全,保护个人信息和商业秘密。” [2] 个人信息是已识别或可识别自然人的各种信息,个人信息的流动既涉及自然人的权利和自由,又涉及公共利益的实现和维护。数字时代加速拓展个人信息应用场景,却没有改变个人信息生产要素和身份标识的双重属性。随着公民权利意识的增强,加强个人信息保护成为加快建设数字中国的题中之义。政府是个人信息保护的重要主体,现阶段政府加强个人信息保护面临三重困境。
(一)角色转变下的职责异构
自20世纪中期以来,我国实施人口调查登记、户口管理、实有人口管理等制度,政府长期扮演个人信息收集者的角色,依法在职责范围内,通过行政登记、个人填写、社会调查、行政统计等方式收集个人信息。这些信息通常以书面形式记录和流转,或在办公自动化系统中以无纸化的形式存储、传递和使用,仅限政府内部使用,相应的信息安全保障主要通过采用物理隔离、网络安全保障技术和规范内部人员行为等方式来实现。随着街镇管理体制改革和职能转变,政府公共服务和社会治理职能向街镇、村居和“家门口”延伸,社会治理精细化和公共服务精准化的实现离不开人口基础数据的收集、访问和使用。除了国家层面每十年开展人口普查,以及公安部门开展实有人口登记之外,不同条线部门都有业务范围内的人口底数,一些区、街镇和村居也开发了辐射辖区住户的人口基础信息系统。尽管人口基础信息已经成为推动基层工作的关键要素,但越到基层个人信息保护意识和能力越弱的现象十分普遍,政府及其派出机关在个人信息保护中的角色任务已经从“重个人信息收集”向“个人信息收集和保护并重”转变。
大数据、云计算、人工智能等新一代信息技术的大规模商用,加剧了大中小企业、社会组织和公民个人收集其他公民个人信息行为的产生,个人信息收集、存储和处理的速度显著提升但成本急剧下降,个人信息收集已经从政府“一枝独秀”转變为“人人皆可收集”的低技术门槛的状态。
扫码支付、扫码停车、扫码点餐等日常生活中无处不在的“扫码”场景成为企业采集用户个人信息的惯用手段。在经济数字化和社会数字化水平超越治理数字化水平的大背景下,商业主体充分汇聚、挖掘和使用这些数据以指导商业选址并获取可观的利润回报,这也埋下了超范围采集、滥用个人信息的安全隐患。面对这些潜藏的社会性风险,政府不仅需要实施自我约束,还需要监管好企业、社会和公民的个人信息收集和使用行为。然而,新技术助推了个人信息收集渠道从线下为主转移到线上为主,收集方式从基于人际沟通的有感收集向应用程序自发、自动、全天候、无感式收集转变,政府传统依靠运动式治理和人海战术为主的线下监管和打击模式,无法满足个人信息保护的时空泛在性要求。政府面临着收集个人信息、规范自身收集行为和规范他人收集行为等多重职责,角色转变加剧职责异构。
(二)虚拟网络下的模糊监管
网络虚拟空间助长了个人信息监管对象及其行为的模糊性。网络虚拟空间构筑起“无知之幕”,加剧了政府与个人信息处理主体之间的信息不对称;信息处理目的的多样性、信息处理过程的复杂性和信息最小适用边界的难辨别性,加剧了个人信息安全风险及其潜在危害的高度不确定性,以及个人信息处理源头失范行为的难以追溯性,客观上增加了线上监管的难度和打击违法行为的成本。
个人信息处理具有风险链条长、链条分叉多、潜在危害大、舆论燃点低、源头追溯难等基本特征,其监管复杂性远远超出传统社会性监管对象的复杂性。传统社会性监管(如食品安全、药品安全、特种设备、医疗器械监管等)可以按照生产、流通和使用等环节来完善全过程监管,绝大多数监管对象主要从事某个环节,极少数监管对象同时从事2个~3个环节,总体上看单个对象的监管边界比较清晰。在具体监管活动中,监管部门可以通过“行为过程”或“诱发结果”等不同角度来判定被监管对象是否存在违法违规行为。与之形成鲜明差异的是,个人信息处理链条不稳定性强,难以清晰刻画完整形态。个人信息传输路径可以呈现单链条、单节点多链条放射状、多节点多链条分叉状或节点密布网状交织等不同形态。个人信息处理者可以只从事某项单一的个人信息处理活动,也可以介入多项个人信息处理活动,其身份角色还可以随时发生改变。监管对象及其实际行为方式的可变性、动态性和隐匿性让政府很难及时准确判定个人信息处理者实际参与了哪些个人信息处理活动,增加了监管的模糊性。
数字时代个人信息安全风险属于虚拟空间失范行为对真实世界的个体造成客观侵害的情形。相比之下,传统社会性监管领域的活动通常只是建立了虚拟空间与真实空间之间的映射关系,即在线上开展类似线下的活动。在传统社会性监管领域,“互联网+”尽管提升了市场交易等活动的效率和规模,但没有改变线下活动的目的和本质。在“映射”关系下,以网售食品为例,源头的食品生产者是真实存在的,末端消费者拿到的食品也是真实的,只不过中间流通环节以网络为媒介开展交易活动,这局部增加了监管难度,是对监管者跨地区协同行动提出较高的要求。虚拟空间的个人信息处理全链条具有数字化、自动化、虚拟化和不可见性的特点,数字化原料、数字化半成品在真实世界中找不到对应物,但通过全样本关联分析呈现的数字化成品——如个人数字“画像”等往往就能让人轻易关联到特定自然人的敏感人格信息,从而侵害当事人正常参与经济社会活动的合法权益。这是个人信息安全监管与传统社会性监管之间存在的根本差异,理解这种差异对深化大数据背景下个人信息安全保护具有重要意义。现阶段,对于监管者而言,源头监管与过程取证变得相当困难,通常在这些环节只能采取弱监管措施,难以达到预防性监管的效果;而强有力的监管措施往往只能作用于危害事实产生之后。
(三)监管效能难以实至名归
近年来,我国个人信息保护制度不断完善。在国家层面,个人信息保护立法逐年推进,《中华人民共和国个人信息保护法》《中华人民共和国电子商务法》《中华人民共和国网络安全法》等明确了个人信息保护要求;在地方层面,网络安全条例、大数据发展条例、未成年人保护条例、消费者权益保护条例等地方性法规强化了个人信息保护内容。但总体看,个人信息保护制度的完善与公众对个人信息保护实践的期待还存在不小差距,公众对政府个人信息保护的获得感不强。
第一,个人信息泄露、窃取、伪造、篡改和滥用等各类风险隐患叠加。包括危害特定自然人的财产乃至人身安全,如个人信息泄露导致的精准电信诈骗;滥用信任关系、挑拨诚信文化,破坏社会公序良俗,如以关怀老人的名义套取老人及其家人的信息和钱财;通过算法技术和自动推送服务制造价格差别待遇,攫取超额利润,破坏公平交易秩序,如网购时易遭遇大数据杀熟;在申请海外上市时向境外提供包括公民个人信息在内的详细数据,危及国家安全等。对象泛在化、行为隐蔽化、风险多样化导致个人信息保护容易出现“爆雷点”。
第二,已有个人信息保护的技术性与制度性手段不利于维护自然人的个人信息权益。从源头看,隐私政策是明示个人信息处理者行为并保护个人信息产生者知情权的重要举措,但在实践中,隐私政策的“同意”选项极易异化为用户的“一揽子”授权和“形式化”授权 [3] 。从过程看,个人信息被处理者以数字化方式存储后,其流向难以完全受到个人信息产生者的控制 [4] ;看似毫无关联的个人信息经二次开发可能还原个人敏感信息 [5] 。从结果看,“事后救济”与“谁主张,谁举证”并存的制度设计增加了公民的维权难度 [6] 。上述环节容易成为个人信息保护的“出血点”,个人信息保护手段碎片化与个人信息整体性保护需要不相适应 [7] 。
第三,制度法规数量增长,但涉及个人信息的网络犯罪案件仍占比不小 [8] 。尽管个人信息保护法等法律法规对个人信息的界定更加明确,对个人信息的提供、处理及相关主体的法律责任的约定更加清晰,但相关部门在个人信息监督执法过程中仍会遇到立法、司法和行政衔接不畅的问题。如网络安全监管机构对“暗网”交易的个人信息难以追溯和问责;公安部门在严厉打击侵害个人信息案件时会遇到涉案团伙上下线网络庞杂、牵涉境外势力、案件线索中断等困难,破案难度大、成本高。
世界各国加强个人信息保护的监管实践包括建立统一权威独立的个人信息保护机构、扩大个人信息保护制度适用范围、通过立法统一列举个人敏感数据类型、在不同组织中设立数据保護专员等 [9] ,但尚未形成统一、高效、权威的国际社会公认的通行方案。个人信息处理中公私主体间不平等关系 [10] 、个人信息处理场景的丰富性和个人信息处理带来的差异化影响 [11] 、市场准入制度的完备性 [12] 和以技术方案应对技术问题的可及性等,影响并决定着个人信息保护效果。
二、个人信息保护的“控制”与“合作”之辨
我国个人信息保护形势正在发生深刻变化,映射个人信息保护实质发生深层迭代。个人在多大程度上享有保留个人信息的权利,又在多大程度上出于公共利益的需要而作出必要的让渡?个人数据的快速生长与频繁使用是否预示着个人信息保护对象需要进一步扩充?个人信息处理形式之丰富及其潜在的风险隐患之多样,是否意味着个人信息保护亟须多元主体的参与?回应这些问题触及个人信息的主体之辨及个人信息保护的对象之辨和流程之辨。
(一)主体之辨:个人信息的个人控制与社会控制
个人信息的个人控制强调自然人对个人信息享有控制权,即自然人有权或能够决定个人信息处理的目的和方式。个人信息的个人控制强调个人信息的个体私有性,在个人信息大规模电子化收集和使用之前,个人信息主要通过定向收集的方式采集,被采集人能够充分了解个人信息采集和使用的目的,被采集的个人信息主要通过纸张等载体来记录,与“物”相捆绑的个人信息随着“物”的灭失而灭失,再次传播难度较大。欧盟国家和美国是主张个人信息个人控制论的典型代表。欧盟国家主张个体是个人信息的掌控主体,个体的尊严以其对个人信息的占有和控制为基本前提,个人信息处理应体现个体意志;保护个人信息实质上是保护人格尊严,个人信息处理如果不对信息产生主体的意见加以考虑,就是对人的不尊重 [13] 。美国将崇尚自由主义的理念延续到个人信息个人控制论,主张个人对自身产生的个人信息及其管理、使用等活动享受自主性,包括创设身份、决定诊疗方案及将个人信息财产化等。
无论出于主观还是客观原因,个人信息都无法完全实现个人控制,社会共同体成为个人信息的共同控制者。社会控制论突出了个人信息作为社会共同资源的属性。社会控制论对个人控制论的反驳表现在三个方面。一是反驳个人控制论不适用于应对新技术带来的颠覆性影响。在移动互联网、大数据、人工智能普及的背景下,海量个人信息不是通过定向收集获取的,而是通过被动收集、实时记录和传输共享等方式积累的;受技术迭代不确定性的影响,有时连技术开发者也无法预知可能的用途,所谓的告知同意要么流于形式,要么无法实现。这意味着个人控制论的实践基础快速瓦解。二是反驳个人控制论将私权置于至高无上的地位,而忽视了个人信息的社会性和公共性。社会控制论主张将数据与人格切割开来,认为数据具有工具性,具有增进公共利益的功能。
如运用海量数据的全量分析、关联分析与交叉分析等技术,相关机构能够更好地识别传染病的传播路径,准确察觉公共产品和服务的供给短缺,并为政务服务办事主体提供个性化的在线交互页面。
三是反驳个人控制论会限制大数据红利。一方面,数据的价值来自流通和应用,但个人控制论难以避免个体因过度保护而不愿让渡数据,从而削弱去标识化数据的流通和应用价值。另一方面,个人在知情同意的情况下可以自主选择让渡部分个人信息以换取个人效用的增加,这些被让渡的个人信息构成实质性的社会控制。
多数个人信息为个体控制,而少数个人信息为社会控制,个人信息控制权的切割过程本身就依赖个体与社会共同体之间的合作。保障个人信息的个人控制权依赖多元监管主体之间的合作而非凭借个人一己之力,但不同主体的责任优先序存在差异。如欧盟国家普遍认为隐私权与公民基本权利不可分割且公法应全面保护公民基本权利,因而主张政府负有优先承担公民隐私权保护的职责 [14][15] ;美国强调企业自我监管优先,其次是技术性监管和消费者教育,政府监管被置于相對靠后的位置 [16] 。个人信息的社会控制论更是主张个人信息保护责任主体从信息产生者个人转向社会共同体 [13] 。
(二)对象之辨:个人信息与个人数据的耦合关系
个人信息保护的对象究竟是个人信息还是个人数据,抑或两者兼有?诸多研究混淆使用数据和信息的概念并将这种模糊性延伸到个人信息领域,未能意识到大数据时代个人信息和个人数据的耦合程度正在发生变化。人们对于个人数据的认识有三种:一是认为个人数据就是指向特定自然人的信息,这种将数据视同为信息的做法实质上混淆了个人数据与个人信息的概念;二是认为个人数据侧重财产权,而个人信息兼具人格权和财产权,这是通过权利属性的差异来区分个人信息和个人数据的;三是认为个人数据是对个体状态无差别的客观记录,不以人的意志为转移;而个人信息是个人数据经加工后产生的能够关联到特定个体的知识,人们对个人信息的解读具有较强的主观性;这是基于数据、信息和知识的本质来区分个人信息和个人数据的差异。实际上,后两种认识已经表明个人信息和个人数据存在差异。
在大数据时代,个人数据与个人信息的差异有扩大之势。在纸媒时代,个人数据记录成本很高,被记录下来的个人数据往往会被作为知识传播或使用,可以说个人信息与个人数据“形神合一”。在大数据时代,智能终端可以实时记录个人数据,个人数据与个人信息出现“形神位移”。一是海量非结构化数据有些只是经历了短暂存储和定期清理,并没有被开发利用,也没有产生指向特定可识别自然人的个人信息;二是单条个人数据的价值密度很低,但当一国全部或者绝大多数用户的个人数据汇聚在一起时,即便每条信息不能识别特定自然人,该数据集也可能暴露一国民众的政治意愿、情感倾向、社会心理和行为方式等,从而变成敏感的国家信息。因此,加强个人信息保护不能忽视对个人数据的监管,个人信息与个人数据应成为个人信息保护的监管对象。
数字时代个人信息与个人数据关系的趋异性丰富了个人信息保护的内涵,个人信息保护的监管模式亟须从“控制”走向“合作”(见表1)。以控制为导向的传统监管模式存在三种缺陷:一是有限的监管机构、人员和能力无以应对泛在的个人信息处理主体及其处理行为;二是监管者试图通过占有监管裁量权来实现的命令与控制,难以回应内容生成即滞后于快速变化的个人信息保护需要的实施困境;三是寄希望于通过精良的制度设计作为个人信息保护的合法性来源,却忽视了相应法律的设计、出台和立法后评估并不意味着监管的终结。在以合作为导向的新型监管模式下,行动者数量、类型的扩充与行动者之间的业务联系,使多元异构的行动者之间易形成基于激励和协商的去中心化协同监管网络;行动者共享监管裁量权是行动者发挥协同作用的前提,各类行动者的参与有助于形成覆盖全链条的监管体系。概言之,以合作为导向的新型监管模式让规则和契约本身变得更加灵活而有韧性,并督促相关主体将个人信息保护重心从单纯沉浸于制度文本的精良设计转向深刻审视监管体系的实际有效性。
(三)流程之辨:个人信息处理中的风险隐患识别
根据个人信息保护法,个人信息处理表现形式丰富,其中潜在的风险隐患也不尽相同(见表2)。
超范围采集与非理性授权容易放大个人信息的收集风险。超范围采集是指个人信息收集者出于谋取“数治”权力的扩张或追求数字经济超额利润等动机,采取“贪婪式”“诱饵式”等扭曲行为,尽可能占有个人信息。个人信息产生者的非理性授权,则过分让渡了个人信息收集的权利,如隐私政策的技术性陈述超出绝大多数用户的专业认知,主动下载应用程序的用户也很少会出于对隐私政策的不满而放弃想要使用的功能。被收集的个人信息如果存储不当,也会泄露。
相比于私有云,公有云的容灾能力较弱,容易遭遇黑客“拖库”等开放互联网的攻击。从前端到云端传输过程,以及在云端二道加密防护不足,也会导致信息泄露。个人信息的加工、使用和传输,同样存在诸多安全隐患。数据访问应当遵循“最小必要”原则,但何为“最小”、何为“必要”界定不清,容易出现未经授权访问或非必要访问等情形,如果访问的是非匿名化和可标识化的数据,则易增加信息暴露风险。个人数据非法买卖是典型的逐利性交易,容易滋生“黑产”“灰产”和“内鬼”,加剧个人信息滥用。敏感个人信息与其他数据的无差别传输会增加个人信息泄露风险,数据链路不安全则会出现边传输边泄露、边提供边泄露等数据安全问题。
个人信息的提供、公开和删除还面临特殊风险。从制度看,数据交易应尽可能在场内进行,不少交易中心明确“个人信息不交易”原则,但当前场内交易规模仍不大,导致大量发生在场外的交易监管难度较大。从流向看,如果个人信息被提供给境外接受者,那么直接面临的风险就包括不同境外接受者个人信息保护立场和能力不均,境内监管机构无法监管境外的数据接受者,以及境内个人信息主体难以有效维权等安全风险;大量公民个人信息出境还会威胁国家安全。从技术看,常用的隐私计算技术对少量数据的安全支撑能力尚可,但对海量、实时和高并发数据产品交易场景的安全支撑能力十分有限,无法完全满足个人信息保护需要。数据公开意味着任何人可以浏览数据,但司法实践中对于购买公开的法定代表人姓名、手机号码、公司地址等信息是否侵犯公民个人信息存在争议,这类信息的买卖可能存在法律风险。现实中还存在企业出于打击报复等目的向社会公开特定用户的个人信息和行为数据等恶意行为,导致个人信息精准泄露。此外,个人信息占有者对个人信息删除并不积极。一些个人信息处理者认为个人信息占用的存储空间不大,因而只是将占有的个人信息封存起来,并未履行“应删尽删”义务。二手市场旧硬盘中的照片、笔记等重要信息能够通过数据恢复软件恢复,进而影响个人信息删除效果。
个人信息处理中的各类风险隐患呈现多元异构特征,以合作为导向的监管模式有助于通过保障个人对个人信息的知情权和决定权,并推动以企业为代表的个人信息处理者的个人信息保护主体责任,来实现对监管者的监管和赋能,以更好回应个人信息处理的复杂风险治理问题。
三、合作监管:破解个人信息保护困境的新模式
合作监管强调公共部门和私人部门在回应监管问题时的综合作用,主张更少的“控制”可能带来更高的效率。
朱迪·弗里曼认为,任何监管例证都可以揭示公共部门与私人部门的深刻依赖;公共部门与私人部门的合作不是零和博弈 [17](P318) ;斯蒂芬·布雷耶认为,当政府赋予其他主体大量普遍的“裁量权”时,他们之间的关系就是“合作” [18](PⅢ) 。个人信息保护的合作监管强调,监管者对被监管者的控制不是增进公共利益的唯一途径,合作同样能够塑造公共价值。个人信息保护的重点不在于区分监管者和被监管者,也不在于过度强调责任优先序,而在于政府与个人处理者、个人信息产生者等相关主体之间是否具备足够的合作监管能力(见图1)。
(一)基于“去中心化”协同治理机制实现主体赋能
“去中心化”的协同治理机制强调打破传统“以监管者为中心”的部门化监管格局,不以监管者的资源瓶颈、指标导向和绩效需要为限制,而是通过各界别主体间的协同网络,以信息共享、线索共用和资源汇聚实现对个人信息保护的主体赋能。合作监管主张“去中心化”监管体系,认为“私人主体同样可以提升行政效用和正当性” [17](P319) 。合作監管认为,公共利益理论关于“私人参与会使公共利益屈服于宗派压力” [19] 的论断过于武断,并指出“行政机关秉持理性可以解决复杂问题” [20] 的认知过于理想化。传统监管理论认为,监管者保持中立地位并具有完全理性。
然而,监管俘获理论认为监管者很容易受到利益集团的俘获,甚至有些监管部门在形成之初就是利益集团共同作用的产物;监管信息不完全与监管者有限理性并存;监管能力受监管者权限范围、监管者对风险感知的敏感性与反映的及时性,以及监管者能够运用哪些工具对可见风险加以防范等诸多因素的影响。
“去中心化”的协同治理机制强调个人信息保护的重点不是做强监管者,而是做强合作网络;不是强化公权力部门与个人信息处理者之间的对立、隔阂和差序身份,而是强调通过理念引导、利益调整和坦诚互动,让各类主体能够在加强个人信息保护过程中增进公共利益。“去中心化”的协同治理机制通过三种路径实现主体赋能。一是从碎片到整合,将个人信息保护目标从微观层面对个别组织和个体的惩罚转向宏观层面统筹发展与安全的数据安全治理生态净化,更好地凸显不同主体在个人信息保护中的独特价值。二是从对立到合作,将个人信息保护主体间关系从“猫捉老鼠”式的角色对立,转向“猫和老虎”
式的战略合作,扭转了监管者与被监管者的角色反差和力量抗衡,让主体责任和监管责任更加明晰,避免主体责任极化现象,达到均衡主体责任的效果。
三是从集中到分布,将个人信息保护的资源配置从“中心化极点聚拢式”转向“去中心化分布式”,从而扩充主体资源。如通过统一预警、线索移交、媒体公告、社会监督等方式最大限度地推进个人信息保护的制度资源、数据资源、线索资源、媒介资源等的共享共用,推动监管资源从集中配置向分布式配置转变,让各类主体能够拥有必要的监管资源来协同参与个人信息保护活动。
(二)基于“比较优势”效率生成机制实现过程赋能
比较优势理论主张相关主体多提供优势产品和擅长的服务,少提供劣势产品和不擅长的服务,这是提升效率的有益途径。合作监管主张相关部门应充分激发个人信息保护主体发挥各自比较优势、提升个人信息保护效率的潜质。
第一, 发挥信息比较优势,帮助相关主体跨越数字监管鸿沟。信息比较优势在于及时准确掌握翔实可靠的监管数据并将其转化为有用的监管信息,这是提升个人信息保护效率的关键。个人信息处理者与个人信息产生者、传统政府监管者之间存在“信息鸿沟”——个人信息处理过程主要掌握在个人信息处理者手中,政府部门和个人信息产生者等外部人很难逾越信息壁垒去了解动态、完整的监管信息,“信息鸿沟”也成为个人信息保护“事前预防不足、事中控制薄弱、事后补救为主”的主要原因。合作监管强调充分发挥个人信息处理者的监管信息优势,通过让其自行制定合规计划 [18](PⅢ) 等方式填补个人信息保护的监管信息鸿沟。如App用户实名登记推动了网络空间虚拟ID与现实世界公民真实身份的对应,极大提升了网络空间违法行为的可追溯性;个人信息保护“双清单”制度,推动企业明示已经收集的个人信息和与第三方共享的个人信息,加大监管信息透明度。通过激发上述主体的信息比较优势,立法、司法和行政部门得以掌握更全面、真实、及时、精准的案件线索,从而有效降低监管者的信息搜寻成本。
第二,发挥资源比较优势,帮助监管主体回应监管资源稀缺。监管资源的稀缺性是监管部门面临的永恒难题,充分利用有限监管资源提高监管效率是回应监管资源稀缺性的有效途径。市场主体具有较高的资源配置效率,因此,将市场配置资源的效率机制引入合作监管框架是提升监管效果的有益探索。同时,通过开放监管与包容监管拓展监管资源,鼓励更多主体融入个人信息保护合作体系。如消费者权益保护法修正后,明确规范了消费者协会的公益性职责,为监管者提供了有益的外部资源补充。又如,2018年党和国家系统性、整体性、重构性的机构改革,将分散在多部门的监管资源集中起来,使监管机构的职责定位更加明晰,原本需要开展的大量跨部门协调事宜得以内部化,为强化网络空间的个人信息保护提供了强有力的组织保障。
第三,发挥技术比较优势,赋能监管风险识别。传统监管较多依靠人工作业模式来监管新技术催生的个人信息保护场景,监管工具、监管手段和方式方法与数字时代的个人信息保护需要严重脱节;科层体系台账要求、请示报告、程序化流程和内部业务系统的烦琐应用,无法发挥数据协同、业务协同与敏捷治理对个人信息保护的有效赋能。合作监管认为,政府监管部门应当以更包容性的态度来吸纳专业技术力量介入个人信息保护的不同技术环节,从而敏锐地觉察和反馈个人信息保护中的关键风险点。如全国App检测平台启用后,大幅提高了App检测效率;融媒体信息发布方式的成熟运用,推动在个人信息保护方面政府与公众的风险沟通更加频繁充分,增强了公众加强个人信息保护的自觉意识和维权能力。
(三)基于“后设监管”嵌入监管机制实现结果赋能
后设监管指政府对市场主体自我监管的监管,目的是确保相关主体切实遵照自我监管的规则行事。后设监管的优势是能够督促个人信息处理者及早发现风险薄弱点并在第一时间采取补救措施,避免损失和危害的扩大;提升个人信息保护主体的自我风险防范能力,通过成本相对较小的前置性风险预防来缓释事后补救的高昂监管成本;将政府监管的重心从事后补救转向既注重事后补救,又强化过程巡查,还能够对个人信息处理主体合规体系建设及其运行情况加以指导。后设监管的措施包括设定最低要求、设置绩效目标或提供其他外在性约束等 [21](P13) 。
根据后设监管作用效果的不同,可以分为积极监管和消极监管。积极监管指为加强个人信息保护提供监管信息、资源和技术能力或促使相关主体投入资源、技术和能力来强化监管行为;消极监管指通过罚款、曝光等方式让相关主体付出金钱、声誉等代价。
个人信息保护的后设监管模式蕴含六种运作形态,即政府对个人信息处理者的消极监管(如约谈、罚金等),政府对个人信息产生者的积极监管(如宣传、提醒等),个人信息产生者对政府的积极监管(如案件投诉、诉求表达等),个人信息处理者对政府的积极监管(如移交线索等),个人信息产生者对个人信息处理者的积极监管(如风险提醒等),以及来自上级政府或纪检监察部门的消极监管(如监督问责等)。从降低监管成本的角度看,最有效的消极监管是找到相关主体破坏制度、違背规则的主要原因,弱化其对失范行为的兴趣并放大其对惩罚所带来的痛苦的想象,让这些主体自己压制自身的违法违规行为冲动 [22](P120) ;最有效的积极监管是通过行政指导、社会监督和风险预演等方式提前锁定安全薄弱环节,夯实安全防范举措,提升安全保护等级,从源头降低个人信息安全隐患。
我国个人信息保护的后设监管机制正在形成,并通过消极和积极方式赋能监管结果。以App个人信息保护为例,后设监管通过三种形态影响监管结果。一是政府在企业自查自纠基础上,坚持日常监管和违法打击不放松,不断强化监管者对个人信息处理者的消极监管;二是在微信公众号等平台上设置网民实名或匿名举报通道,被举报存在非法采集使用个人信息的App将被纳入专项治理评估范围,这体现了个人信息产生者对监管者的积极监管;
三是除相关部门开展的科普宣传和App安全意识问卷调查外,公安机关针对App用户遭遇的电信诈骗,主动启动“熔断”机制,精准推送发诈信息,争取让被骗民众及时止损,这体现了监管者对个人信息产生者的积极监管。但个人信息处理者对政府的积极监管、个人信息产生者对个人信息处理者的积极监管,以及来自上级政府或纪检监察部门的消极监管较为欠缺。
四、 合作监管视角下加强个人信息保护优化策略
相比传统的静态监管范式,合作监管更能适应激烈变化的监管环境,这是因为合作监管要求对监管过程进行动态审视和自我纠错,以不断进行自省、检查和修正 [18](PⅤ) 。合作监管强调当监管对象和范围发生变化后,就需要制定新的策略、寻找新的方法、依据新的原则、构建新的结构并寻求新的技术来形成匹配监管对象、设计精巧、措施高效的,有助于广泛达成监管目标并减少经济、社会和政治代价的体系安排 [22](P99) 。在此基础上,我们提出合作监管视角下加强个人信息保护的五大监管策略及其实现路径,这五大监管策略彼此关联,相互协同,形成个人信息保护的策略组合(见图2)。
(一)契合场景需要,实施精准监管
不同行业、不同领域的个人信息保护重点不尽相同,深化对个人信息保护场景的区分,是实施个人信息精准监管的基本前提。在日常生活中,智能汽车收集驾驶行为、智能家居记录生活习惯、智能门禁记录访客信息、智慧养老平台登记老年人的子女信息等,这些记录个人信息的场景随处可见。个人信息保护场景的精准监管是基于不同领域业务发展和技术创新应用需要,科学运用资源或实施资源优化配置来实现与该领域个人信息处理相适应的个人信息保护策略的过程。如金融行业核心业务对数据规模和数据处理能力要求较高,容易出现个人信息过度收集和过度使用现象,应重点通过完善客户个人信息保护制度安排和机制设计、加强金融系统从业人员维护客户个人信息安全的责任意识、在行政处罚中引入并严格执行“机构+个人”双罚机制等途径,不断巩固和加强金融机构和金融行业从业人员维护客户个人信息安全的责任心、使命感和行动力。
例如,汽车智能化和网联化不同程度加剧了各方对个人信息保护的隐忧,监管部门担心道路信息采集危害国家安全,用户担心车内对话、家庭成员信息、个人账号信息被不当窃取等,除了要提高用户对智能网联汽车采集和使用个人信息的知情权外,还应重点加强敏感道路数据和个人信息的出境限制,避免放大网络安全、数据安全和信息安全风险隐患。针对商家或个人擅自安装人脸识别摄像头采集消费者或他人数据的行为,应从设备供应商准入资质、设备安装主体的备案审查等个人信息采集源头加以限制,加大个人信息保护的普法教育和行政指导力度,对负面案例开展警示教育,及时制止滥装、滥用摄像头的失当行为。
(二)重视链条特征,完善过程监管
由于个人信息一旦泄露对特定自然人的伤害不可逆转,因此加强个人信息处理的过程监管比损害发生后的结果监管更加重要。个人信息保护需要个人信息监管者、处理者和产生者跨越“信息鸿沟”和“专业鸿沟”。在跨越“信息鸿沟”方面,针对个人信息处理链条隐蔽的特点,鼓励建立“吹哨人”制度,保障知情者从内部合理披露信息又不致造成个人境况变差。聘请权威机构定期发布信誉评级,并要求企业在显著位置展示信誉等级,通过信誉机制向消费者披露安全信息;强化行业组织“中间人”义务,倡导行业组织面向不同主体积极共享信息。具体包括:面向行业内企业推动“同行”监督,针对行业特性制定合规标准,组织开展合规教育培训,推动企业间和行业间合规交流;面向政府定期发布本行业个人信息保护合规性评估与风险监测报告;面向公众开展个人信息安全科普宣传及高风险企业和高风险应用监测提醒。
特别是在公众宣传方面,要提醒公众善于识别那些打着新客试用、免费赠送等旗号诱导消费者扫码授权,以“免费”之名达到攫取个人数据之实的商家,从源头减少个人信息外泄。个人信息保护领域的“技防”比“人防”更加高效,监管部门如果能够跨越“专业鸿沟”,将有助于回应个人信息整体保护的需要。
在跨越“专业鸿沟”方面,重点针对个人信息处理技术的专业性带来的监管本领恐慌,监管部门应加大与高校、科研院所、实验室等合作力度,保持对新技术及其潜在风险的学习和把握,提高解决技术问题的水平。政府还可以通过发布国家标准、开展安全认证、提供自评估指南、与头部企业签署自律公约和数据宣言等方式,指导企业完善自我规范并对违规收集使用个人信息问题开展自查自纠,从而改变“政府监管者、企业被监管者”的单一、对立关系,通过多种方式让企业主体参与监管过程,推动企业主体落实自我监管责任。
(三)加强分层分类,实现韧性监管
韧性监管旨在提升相关主体抵御个人信息安全风险或帮助其从损失中得以恢复的能力。建议分层分类施策,实施韧性监管:政府应引导大型个人信息处理者率先开展合规建设,包括培育合规理念、完善合规制度、改进业务流程、善用合规技术、营造合规文化、引入外部监督、推动合规行为与业绩挂钩等,鼓励其积累内控经验,形成合规蓝本,激发示范效应。对优先完成合规建设的企业实施“正向激励型监管”策略,如建立“白名单”,为其提供市场准入优先权;为通过安全认证且在获得认证后表现良好的企业提供合规补贴;为主动开展合规性技术研发和技术共享,能够为个人信息保护提供优秀解决方案的企业,给予社会荣誉。对违法违规收集使用个人信息规模巨大、危害严重或拒不整改的相关主体,实施“联合惩戒型监管”策略,如引入“双罚”机制,除下架处理和吊销运营商许可外,对相关责任人也要罚款并纳入失信记录。对存在合规意愿但建设能力不足的个人信息处理主体,政府宜实施“能力助推型监管”策略,如向企业开放个人信息保护合规自评估工具,推动企业精准识别合规漏洞;搭建合规建设资源共享平台,促使相关主体精准匹配合规“资源清单”和“需求清单”,为有效填补合规漏洞寻找市场化解决方案。
(四)善用数据赋能,创新平台监管
建立个人信息保护综合监管平台,在不改变现行监管架构的前提下推动监管信息共享共用。一是完善主动、被动和自动发现机制,扩大个人信息保护案件线索来源。在主动发现方面,通过日常巡查、飞行检查等方式完善主动发现机制,采用监管人员和监管对象“双随机”策略,依托行政和刑事执法部门的专业性识别高关联性、高风险的案件线索。在被动发现方面,打造个人信息保护服务总客服,提高个人信息保护服务的知晓度。如完善微信公众号等个人信息保护监督举报平台,将个人信息保护投诉举报纳入市民服务热线工单受理范围,加大公民个人信息保护宣传力度,通过全民参与实现对个人信息保护的线上线下协同监督,构筑个人信息保护全民监督体系。在自动发现方面,针对在线应用加大自动检测技术的应用范围和频次,通过技术赋能实现在线应用监管的全天候、全覆盖。二是完善数据汇聚、比对与验证。对个人信息保护线索来源、问题特征、处置难点等进行通盘考虑和分类研判;有效整合分散在多部门的投诉举报信息和专业建议,通过数据治理和关联分析等大数据分析技术,为个人信息保护的风险初筛与问题初诊提供科学客观的数据支撑,推动案件线索和科学化建议进入决策程序。如针对投诉举报集中的个人信息处理者,集中力量开展治理;对高频使用个人信息的企业,进行风险画像,根据风险等级有针对性地实施差异化监管策略。
(五)基于生态构建,强化系统监管
加强个人信息保护是一项系统工程,需要综合施策,营造个人信息保护生态。一是强化个人信息保护的制度化规则驱动。在“正式制度”方面,对个人信息保护法律法规制度公约等进行系统梳理,有效填补制度“真空”,以完备的制度建设驱动个人信息保护效力提升。可通过强化顶层设计明确采集个人信息的责任主体,明确相关部门的采集权限及其相应的保护责任,通过最小范围内的数据共享支撑其他部门的业务开展,避免多头采集、重复采集。禁止任何主体交易原始个人信息,违者重罚。在“非正式制度”方面,将个人信息保护文化嵌入企业文化、社会文化和个体行为准则,成为全社会的行动自觉。
亦可探索个人信息保护的“正面清单”或“负面清单”管理制度,监管机构与商家就清单内事项达成一致并签订守约协议,明确商家个人信息保护的主体责任,政府通过飞行检查、远程监测等方式履行监管责任,若出现违背清单中约定事项的及时采取止损措施。二是优化线上线下个人信息处理流程。
确保数据安全架构充分融入平台、系统和应用的开发过程,将个人信息保护机制纳入技术开发框架。线下重点加大对各类“扫码”场景的监督和规范,通过制度约束和技术防范的“双轮驱动”,最大限度地避免商家将“扫码”作为提供服务或支付费用的唯一渠道。优化个人信息采集的授权提醒和解除便利,明确任何“扫码”授权可以被随时中止和解除,杜绝“一次授权终身采集”的做法。加大线上线下业务流程再造力度,对涉及个人信息的情形,无论发生在线上还是线下,相关部门都需要对数据的采集、流转和使用的各环节、全过程进行科学设计和严格把关,最大限度地精简流转环节,减少经手人员,使从事个人信息处理的工作人员相对稳定,以确保数据泄露责任相对明确,信息暴露风险相对可控。三是强化人才支撑,加大个人信息保护复合型人才培養。要顺应数字中国建设中个人信息保护的需要,相关人员要提升数字素养和大数据运用能力,提升数据安全和个人信息保护的意识和能力,
对个人信息心存敬畏,避免滥用个人信息查询权、越位使用管理服务对象的个人信息等失职行为。注重挖掘和培养懂法律、懂技术、懂管理、善服务的复合型治理人才,持续提升全社会新技术采纳、新技术嵌入和新技术安全风险防范能力,不断提高个人信息保护的“技防”水平。提升全民个人信息保护素养,为营造协同、敏捷、韧性的个人信息保护环境提供良好的基础。在此基础上,逐步将我国打造成数据安全和个人信息保护高地,为高质量发展、高效能治理和高品质生活保驾护航。
參考文献:
[1] 习近平.高举中国特色社会主义伟大旗帜 为全面建设社会主义现代化国家而团结奋斗——在中国共产党第二十次全国代表大会上的报告[M].北京:人民出版社,2022.
[2]加快构建数据基础制度 加强和改进行政区划工作[N].人民日报,2022-06-23.
[3]张 珺.个人信息保护:超越个体权利思维的局限[J].大连理工大学学报(社会科学版),2021,(1).
[4]史为民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志,2013,(12).
[5]梁成意,齐彩文.大数据时代个人信息保护的执法困境与选择[J].天水行政学院学报,2019,(1).
[6]刘小霞,陈秋月.大数据时代的网络搜索与个人信息保护[J].现代传播,2014,(5).
[7]张 涛.个人信息保护的整体性治理:立法、行政与司法的协同[J].电子政务,2023,(6).
[8]“净网2021”专项行动全国公安机关侦办网络犯罪案件6.2万起[J].中国防伪报道,2022,(1).
[9]李 卉,国佳宁,李 前.GDPR下法国与比利时的个人数据保护监管实践与启示——基于信息生态系统理论[J].国际经济法学刊,2022,(3).
[10] 袁 博.大数据时代个人信息保护的行政监管立场及其智慧化转型[J].西南民族大学学报(人文社会科学版),2022,(6).
[11]李奕扉,王协舟,李典诰.个人信息保护场景化的现实困境、国际经验与改进建议[J].情报资料工作,2022,(5).
[12]金泓序,何 畏.大数据时代个人信息保护的挑战与对策研究[J].情报科学,2022,(6).
[13]高富平.个人信息保护:从个人控制到社会控制[J].法学研究, 2018,(3).
[14]Schwartz,Paul M.Preemption and Privacy[J].The Yale Law Journal,2009,(5).
[15]Reidenberg, Joel R. Resolving Conflicting International Data Privacy Rules in Cyberspace[J].Standford Law Review, 2000,(5).
[16]Federal Trade Commission U. S. Privacy Online: A Report to Congress[R/OL].[2023-03-10].http:∥www.ftc.gov/reports/privacy-online-report-congress.
[17][美]朱迪·弗里曼.合作治理与新行政法[M].北京:商务印书馆,2010.
[18][美]约翰·D.多纳休,[美]理查德·J.泽克豪泽.合作:激变时代的合作治理[M].北京:中国政法大学出版社,2015.
[19]Mashaw, Jerry L. Prodelegation: Why Administrators Should Make Political Decisions[J]. Journal of Law, Economics & Organization,1985,(1).
[20]Merrill,Thomas W.Capture Theory and the Courts:1967-1983[J].Chicago-Kent Law Review,1997,(4).
[21]宋华琳.代译序:迈向规制与治理的法律前沿[G]∥[英]科林·斯科特.规制、治理与法律:前沿问题研究.北京:清华大学出版社,2018.
[22][法]米歇尔·福柯.规训与惩罚[M].北京:三联书店,2016.
责任编辑:王 篆
From Control to Cooperation: Optimization of Personal Information Protection Strategies
Ye Lan
Abstract:
In the digital age, the government to strengthen the protection of personal information is faced with such difficulties as the heterogeneity of responsibilities under the change of roles, the vague supervision under the virtual network and the difficulty of meeting public expectations. The public value of personal information makes natural persons no longer have absolute control over personal information. Personal information and personal data, which were highly consistent, differ from each other. The ubiquity of personal information processing objects and the concealment of behaviors lead to the diversification of risks. The protection of personal information urgently needs to move from “control” to “cooperation”. Cooperative supervision relies on collaborative governance mechanism, efficiency generation mechanism and post-regulatory mechanism to achieve subject empowerment, process empowerment and result empowerment, and improve the performance of personal information protection. Implementing accurate supervision, improving process supervision, realizing resilient supervision, innovating platform supervision and strengthening system supervision are the strategic combinations of deepening personal information protection from the perspective of cooperative supervision.
Key words:
personal information protection, cooperative supervision, public safety, risk governance
