作者简介:李芹,法学博士,河北大学法学院副教授。
原文发表于《浙江学刊》2024年第5期,为便于编辑和阅读,已将相关注释省略
提要:个人信息保护立法和实践纷纷引入基于风险的模式,其核心要义是根据具体场景的风险水平,差异化调整个人信息保护强度。而具体场景风险水平的判断,有赖于科学合理的个人信息保护影响评估。在此意义上,个人信息保护影响评估可谓是基于风险的模式的支点。旨在充分发挥基于风险的模式的比较优势,有必要对个人信息保护影响评估制度展开体系化建构。在主体方面,应注意到公权机构和私人机构履行影响评估义务的法理基础不同。在内容方面,应置于具体场景从多维度识别并评估个人信息处理风险。在程序方面,需经由参与和披露机制来制衡数据权力,展开有效的风险沟通。在结果方面,则要以评估所揭示的风险水平为基础,结合个人信息处理事前、事中、事后全过程,重塑开放且合比例的个人信息保护义务体系。
关键词:基于风险的模式;个人信息;影响评估;体系化建构
如何保护个人信息免遭非法侵害可谓数字时代的核心命题。基于权利的个人信息保护模式(以下简称“基于权利的模式”)形成于前数字时代,力图通过赋予个体控制性权利来实现个人信息保护,但迈入数字时代,面对迅速迭代的数据分析技术和纷繁复杂的数据应用场景,仅凭个体的控制性权利已不足以制衡“数据权力”。作为回应,国内外理论和实践均指向基于风险的个人信息保护模式(以下简称“基于风险的模式”)。在理论层面,学者们或是从个人信息的公共属性出发,强调个人信息保护的社会风险控制维度,或是对照传统风险社会风险治理的理论积淀,反思个人信息保护领域引入风险视角的可能性和局限性,抑或直接基于数字时代风险的特殊性论证风险预防原则嵌入个人信息保护领域的必要性。在实践层面,欧盟较早引入风险视角重构个人信息保护规范,《欧盟通用数据保护条例》也因此被视作个人信息保护路径实现“风险化”转变的典范。
我国《个人信息保护法》中部分条款也蕴含基于风险的保护理念,最为典型的当数第55条和第56条提出的个人信息保护影响评估要求(以下简称“影响评估”)。作为风险分析工具,影响评估是基于风险的模式得以有效运行的关键。然而,当前理论层面有关影响评估的定位尚不清晰,实践中影响评估也未能 充分发挥个人信息保护作用。从规范主义视角来看,如何结合影响评估所揭示的风险水平落实个人信息保护义务,有待回应。从功能主义视角出发,则要思考风险治理目标下,如何对影响评估展开制度化建构,并保障其实效性。鉴于此,本文将从个人信息保护模式的演变出发,剖析基于风险的模式的比较优 势,明确影响评估的功能定位,进而从主体、内容、程序、结果四个维度对影响评估制度进行体系化建构, 希冀不断完善基于风险的模式。
一
影响评估制度功能定位:基于风险的模式的支点
(一)从基于权利的模式迈向基于风险的模式
传统个人信息保护立法与实践主要表现为,通过赋予个人控制性权利,确保个人知晓信息处理行为, 并自主决定是否允许收集、利用其个人信息,从而实现个人信息保护。这种基于权利的模式在大数据时代难逃种种困境。其一,该模式的有效运行仰赖于信息主体充分理解个人信息处理行为及其潜在风险, 权衡利益得失作出抉择。然而,数据聚合分析技术的复杂性,以及个体主观上存在的认知缺陷,致使信息主体无从作出理性抉择。其二,从责任分担角度来看,在赋予个体控制性权利的同时,也将个人信息处理活动的不利后果转移至信息主体身上。一方面,一旦获得信息主体的同意,个人信息处理行为便可获得正当性支持,这为个人信息处理者借由冗长、艰涩的告知文本规避法律风险提供了可能性;另一方面, 事后信息主体要想追究个人信息处理者的侵权责任,不得不面临损害认定难题。其三,该模式假定个人信息不可被处理,除非获得信息主体的同意,这种全有或全无的运行逻辑容易将个人信息保护与大数据开发利用对立起来,引发保护不足或保护过度的现象。基于权利的模式已不足以充分保护个人信息,作为补充性方案,基于风险的模式受到广泛关注。
基于风险的模式具有如下特征:首先,着力点从强化个人信息主体的控制性权利转向强化个人信息处理者的可问责性,力图将风险预防与风险治理内化为个人信息处理者的行为准则。其次,考虑到个人信息的双重属性,基于风险的模式推定个人信息可被处理。在大数据时代,个人信息兼具私人属性和公共属性,其不仅与个人权益有关,也被视作国家基础性战略资源,关乎经济运行机制、社会生活方式和政府治理能力等方面的公共利益。在此意义上,个人信息处理几乎是不可避免的。最后,基于风险的模式并不以“零风险”为目标,而是通过有机联结个人信息处理风险与个人信息保护措施,将风险降低至可接受水平。
(二)基于风险的模式以影响评估作为支点
基于风险的模式的核心要义在于,根据风险水平差异化调整个人信息保护强度。而判断个人信息处理活动的风险类别和风险水平,有赖于科学合理的影响评估。将影响评估作为支点,有助于在个人信息保护立法与实践中引入并实施基于风险的模式。
一方面,基于风险的模式以影响评估作为支点,能够保留适切空间,探寻个人信息保护与大数据开发利用之间的平衡。影响评估可以揭示不同个人信息处理场景的风险类别,以及具体应用场景的风险水平。对于个人信息处理者来说,可以根据风险类别和风险大小采取适当的个人信息保护措施。对于个人信息保护监管者而言,据此可以合理设定监管事项的优先序列,结合个人信息处理风险类别,采用有针对性的监管工具,将风险大小考虑在内,优化配置稀缺的监管资源,提升监管效能。
另一方面,以影响评估作为支点,可以协调基于风险的模式与基于权利的模式之间的关系。尽管基于权利的模式陷入种种困境是引入基于风险的模式的前提,但二者并非取代关系。不论是作为“风险化” 典范的《欧盟通用数据保护条例》,还是我国《个人信息保护法》,均同时采纳了这两种保护模式。如何调和两种保护模式的冲突成为法律适用层面的难题。对此,影响评估可以在两个维度发挥作用。其一, 影响评估过程重在利益权衡,其中必然要衡量个体的控制性权利是否得以充分保障。申言之,个人信息处理者可以根据风险水平来调整个体控制性权利的保障机制。其二,影响评估结果使得个人信息处理者可以根据风险水平采取差异化的保护强度,但这种差异化调整不得逾越人格发展和人格尊严的边界。个人对信息的控制并不仅仅体现在查阅、复制、删除、更正等工具性权利行使方面,还兼具发展独立人格和保障人格尊严的道德价值。在涉及人格发展和人格尊严的问题上,不得以风险之名克减个体的控制性权利。
要想以影响评估为支点撬动基于风险的模式,充分发挥个人信息保护作用,还需在立法基础上对影响评估进行制度化建构。下文关于影响评估制度建构的讨论主要围绕主体、内容、程序和结果这四个方面展开。
二
影响评估主体:作为个人信息处理者的私人与公权机构
根据《个人信息保护法》第55条,影响评估由“个人信息处理者”展开。作为影响评估主体的个人信息处理者是否包含公权机构呢? 该条款没有作出明确规定。从文义解释和体系解释角度看,公权机构处理个人信息也需履行影响评估义务。但值得注意的是,由于公权机构与私人机构处理个人信息的“权力性质”不同,为二者设定影响评估义务的法理基础也存在差异。
(一)国家消极保护义务下由公权机构开展影响评估
回溯制度发展历程,影响评估由隐私影响评估演进而来,并且作为制度雏形的隐私影响评估主要就是用来预防政府处理个人信息活动的隐私侵犯风险。20世纪90年代中期,不少国家先后将隐私影响评估作为一项政策工具,以确保政府负责任地处理个人信息.旨在落实1993年《隐私法》第98条的要求, 新西兰隐私专员办公室于1999年制定了《信息比对隐私影响评估指南》。2002年美国颁布《电子政务法》,其中第208条规定,如果联邦行政机关的行为关乎个人信息的收集、存储和利用,应事先展开隐私影响评估。在欧洲,英国率先引入隐私风险评估,英国内阁办公厅于2008年出台的《政府数据处理程序报告》,将隐私影响评估从推荐性措施变更为强制性措施,要求政府予以实施。
对个人信息保护的担忧原本针对的主要是国家行为,由公权机构展开影响评估正是国家就个人信息权益履行消极保护义务的体现。从前计算机时代的人口普查,到与计算机和互联网技术伴生的电子政务,再到大数据时代的数字政府,公权机构可谓是最大规模的个人信息处理者。尤其是迈入数字时代后,作为个人信息载体的数据已不仅仅用于维护秩序、预防犯罪等传统意义上的公共安全保障,还肩负着“实现政府治理方式变革和治理能力提升”的重任。在建设数字政府的背景下,公权机构对数据的需求呈指数级增长,公权力与数据收集、聚合、分析技术催生的数字权力深度融合,致使个体面临前所未有的被侵扰、受歧视、客体化等风险。这也就不难理解,为何规范公权机构的个人信息处理行为自20世纪以来始终是个人信息保护的紧迫任务。
影响评估对于落实国家的消极保护义务,对抗公权机构侵害个人信息的风险具有重要意义。第一, 影响评估属于事前风险预防机制,有助于约束公权机构的信息处理活动。实践中,公权机构的个人信息处理活动并不总是嵌入具体行政行为过程,例如,旨在为科学决策赋能,政府会对视频监控、移动终端和传感器所收集的信息予以深度分析。这意味着,传统上以事中和事后监督为主的法治约束框架往往难以充分发挥作用。由此,便有必要令公权机构在展开个人信息处理活动之前展开影响评估。第二,影响评估可以发挥具体化公权机构个人信息处理目的的功能。虽然履行法定职责为公权机构处理个人信息提供了规范基础,但事实上,根据“维护公共安全”“维护社会秩序”“传染病防治”等高度抽象的集合式法定职责,无从检视信息处理目的是否正当。影响评估是以个案为基础展开的,在此过程中可以要求公权机构结合特定个人信息处理场景对其目的作出详细说明。第三,影响评估为权衡公共利益和个人权益提供了具有可操作性的程序性装置。公共利益需求在一定程度上可以正当化公权机构的信息处理行为,但公共利益并不具有绝对的优先性。影响评估可以促使公权机构充分识别对个体权益的侵害风险,进而权衡判断个人信息处理活动的必要性,以及公共利益对个体权益的限制边界。
(二)国家积极保护义务下由私人机构开展影响评估
数据已然成为一种重要的生产要素,在此背景下,除了公权机构,以大型平台企业为代表的私人机构也是主要的个人信息处理者。掌握大数据运用与算法分析技术的私人机构通过大规模、持续性处理个人信息,生产数据化产品和服务,重塑人类的生产方式和生活方式,逐渐形成支配力,获得了事实意义上的私权力。个体被锁定在此种数据驱动的经济系统中,既作为数据生产者,参与其自身行为信息的商品化,也是越发依赖数据化产品和服务的消费者。面对私人信息处理者与信息主体之间高度不对称的关系结构,单凭奉行意思自治和主体平等的私法调整机制无从应对,需要国家积极介入,通过有效的制度供给预防数据私权力无序扩张,帮助个人对抗个人信息处理引发的权益损害风险。立法为私人信息处理者设定影响评估义务,便是国家针对个人信息权益履行积极保护义务的体现。
从规制工具谱系来看,由私人机构展开影响评估可谓国家间接介入私法关系的一种元规制策略。元规制,又被称作“受规制的自我规制”,是国家有意识地促使规制对象针对公共问题作出内部式、自我规制式的回应。不论是就我国私人信息处理者的影响评估制度而言,还是从比较法上观察,其中均蕴含了元规制理念。一方面,国家立法强制要求私人机构事先评估拟开展的个人信息处理活动的权益损害风险,同时赋予私人机构充分的裁量空间,由其自主决定风险评估方式以及风险防范措施。此时,私人信息处理者既是风险制造者,又是风险评估者。另一方面,私人机构自我规制式的风险评估仍处于国家监管之下,以避免其偏离公共目标。
在自我规制与政府规制精巧结合的元规制框架下,让私人信息处理者作为影响评估义务主体具备正当性和可行性。第一,对国家而言,可以在尊重信息技术和数据生态系统运行逻辑的前提下,借助私人机构的力量妥善回应个人信息处理风险。第二,对个人信息主体而言,由私人信息处理者评估并防范风险更符合风险分配正义观。风险分配正义强调的是,风险认知与风险治理能力在有差异的主体之间实现公正、平等调配。私人信息处理者的风险认知与风险治理能力远远高于个人信息主体,将风险评估与治理任务分配给私人信息处理者,更有助于实现分配正义。并且,根据基于责任的风险分配原则,以大型科技企业为代表的私人机构借由个人信息处理获取巨额利润,自然要负担起风险防范责任。第三,从私人信息处理者视角来看,这有助于将风险管理意识与个人信息权益保护价值嵌入其日常决策过程,在产品和服务设计之初便开始考量个人信息保护要求,重塑基于风险的个人信息保护合规管理组织架构。
三
影响评估内容:基于具体场景进行动态调整
《个人信息保护法》第56条虽规定了影响评估过程需考量的内容,但没有就如何考量给出具体指引。影响评估不应忽视个人信息处理风险的多元性和动态性。就多元性而言,个人信息处理者可以在多维度识别潜在权益影响的基础上形成开放式风险清单;就动态性而言,则应置于个人信息处理场景展开评估。
(一)多维度识别权益影响
越发复杂的个人信息处理活动往往会对信息主体权益带来多重影响,并且,信息处理技术的迭代也会加剧权益影响的不确定性,要想全面识别个人信息处理风险,个人信息处理者应当注重如下四个维度的考量。
第一,隐私侵犯是滥用或泄露个人信息最可能引发的风险,但评估内容并不限于对隐私权的影响。我国《民法典》“人格权编”第六章“隐私权和个人信息保护”的立法结构以及第1034条第3款的规定,均表明个人信息保护范围远大于隐私权的保护范围。从比较法视角观察,欧盟虽将数据保护影响评估制度视作继承隐私影响评估的产物,但为了阐明二者的区别,欧盟第29条数据保护工作组强调,个人信息处理活动对数据主体权利和自由的影响范围不仅包括隐私权,还关涉言论自由、迁徙自由、禁止歧视等方方面面的基本权利。
第二,评估内容包括但不限于对个人基于《个人信息保护法》所享有的知情、决定、查阅、复制、更正、删除等控制性权利的影响。“保护个人信息权益”是《个人信息保护法》的首要立法目的,但围绕个人信息权益的法律性质与保护范围争议不断,尚未达成共识。有观点认为个人信息权益属于权益的集合,承载着宪法、民法和行政法等多方面的权益。另有观点主张个人信息权益的核心就是《个人信息保护法》第四章赋予个人的数项自主控制性权利。《个人信息保护法》第56条在列举影响评估内容时,没有采用“个人信息权益”的概念,而是规定“对个人权益的影响”。此处立法者之所以选用“个人权益”概念,或许是注意到了有关“个人信息权益”的种种分歧。从文义来看,个人权益的范围明显要比个人信息权益的范围广泛,因此,更为符合立法本意的理解便是,对个人控制性权利的影响仅是评估内容之一。
第三,不仅要从个体层面评估权益影响,更应重视经由群体而对个人产生的权益影响。个人信息处理者通常聚焦于特定群体展开画像,通过分析群体的偏好,进而推测属于该群体的个体之特征。一旦画像赋予特定群体刻板印象,反过来则会对特定群体中的个体产生负面影响。因为这一过程实际上是脱离具体情境给个体贴标签。特定群体一旦被贴上错误或是片面的标签,便会被相应的数字决策系统锁定, 可能在就业求职、申领福利、保险理赔、商品或服务消费等方面遭到不合理的差别对待。
第四,对个人权益的影响,既可能表现为可感知、可察觉的物理性损害,也可能是具有隐蔽性的非物理性损害。物理性损害,主要体现为生命健康或财产权益方面的损害,例如,犯罪分子通过掌握特定用户的行踪轨迹、社会关系等信息,针对个人生命和健康实施犯罪行为;或是实施精准诈骗、账号盗窃等侵害财产行为。典型的非物理性损害主要表现为:一是声誉影响,包括从丢面子到公开侮辱、诽谤等不同程度的声誉减损。二是寒蝉效应。大量网站、终端设备和应用程序对个人信息的追踪,容易让人产生被监控的感觉,在这种监控阴影笼罩下,人们可能因担心负面影响而不敢表达意见。三是信息茧房。个人信息处理者通过个人信息的收集和挖掘分析勾勒用户画像,以此为基础进行个性化推送,这会强化或操纵个人的选择偏好,使得人们在自己眼前的一亩三分地里打转,降低自主选择的可能性。
(二)场景化评估风险程度
基于多维度考量形成详尽的权益影响清单,为个人信息处理者全面识别风险提供了指引,但要想科学合理判断风险程度,必须置于具体的个人信息处理场景中考察。一方面,基于风险的模式重在找寻个人信息保护与利用之间的平衡点。这意味着,个人信息处理活动是有边界的,与之对应,信息主体的权益保护也有限度。由于不同场景个人信息的处理目的、处理范围、处理方式不同,实践中无法划定放之四海而皆准的个人信息处理或个人权益保护边界。换言之,决定风险可接受水平的边界会随着具体场景个人信息处理情况而动态调整。另一方面,受影响的个人权益之间可能存在竞争关系,要想判定个人信息处理风险程度,必须置于具体场景权衡彼此竞争的权益。例如,求职相关的个人信息处理活动,对男性的权益影响可能是积极的,对女性权益影响则可能是消极的。简言之,个人信息处理活动的风险程度是高度情境化的,无法脱离实践场景进行抽象判断。
由海伦·尼森鲍姆(HelenNissenbaum)提出的场景一致性(ContextualIntegrity)理论,既从理论层面论证了在结构化场景中判断个人信息处理风险的重要性,也为具体场景评估风险程度提供了分析框架。场景一致性理论的逻辑起点是,任何信息流动都处于受多重因素影响的结构化场景中,并且不同场景塑造了不同的信息流动规范,信息保护实则是保护信息按照特定场景的流动规范来流动。如果信息处理偏离了所处特定场景的信息流动规范,就破坏了场景一致性,便会产生权益侵害风险。该理论提出了影响特定场景信息流动规范的三个变量:行为主体、信息属性和传输原则。
以场景一致性作为理论支撑,个人信息处理者可以将这三个变量作为场景要素,结合具体的个人信息处理场景,科学合理评估风险程度。具体而言:其一,作为场景要素的行为主体,指的是包括信息主体在内的个人信息处理活动的参与者。参与者的不同以及参与者之间的关系均会影响个人信息处理风险水平的认定。以个人医疗健康信息为例,医患关系中处理此类信息与其他场景中处理此类信息的权益侵害风险可能性、严重性明显不同。再如,同样是处理个人账户信息,富人账户信息被窃取或泄露的可能性及其财产损失严重性要高于穷人账户信息。其二,信息属性要素主要指向信息的类别,但要格外警惕脱离具体场景划分个人信息类别。例如,点击流信息(Clickstreamdata)虽不在敏感个人信息之列,但却能揭示信息主体的宗教信仰、特定身份、政治观点等敏感个人信息。可见,不能完全仰赖敏感个人信息与非敏感个人信息这种抽象的分类来认定个人信息处理风险程度。其三,传输原则是对信息流动的约束, 用来划定具体场景信息所需遵循的处理方式。这一场景要素要求个人信息处理者在评估风险程度时考量具体情境下个人信息处理活动是否遵循个人信息处理的基本原则。
四
影响评估程序:制衡数据权力与有效风险沟通并重
我国《个人信息保护法》并未就影响评估程序作出规定,但基于制衡数据权力和有效风险沟通的功能主义视角,构建影响评估制度应当注重程序法治进路,结合个人信息处理行为的特征,构筑参与机制和影响评估报告披露要求。
(一)影响评估过程的参与机制
数字时代的个人信息保护风险本质上属于技术风险,既有客观实在性的一面,也有主观建构性的一面。这意味着评估风险不仅需要技术专家基于客观事实测算统计学意义上的概率,也不能忽视风险的主观性。风险的主观性决定了在界定风险时社会理性和科学理性相互交织,甚至彼此依赖。在一定程度上,现代技术风险是由社会建构的,受政治环境、社会文化、风俗习惯和个人偏好等多重因素的影响。譬如,同样是使用生物识别技术进行身份认证,不同个体的风险感知却存在差异。由此,要想全面识别个人信息处理风险,在相互竞争的风险间进行权衡,并合理确定可接受风险水平,有必要引入公众参与。
公众参与影响评估的制度性安排主要涉及三重问题:其一,何种情况下引入公众参与;其二,谁来参与以及如何参与;其三,怎样确保参与效果。
关于影响评估过程是否要“以公众参与为原则”尚存争议。欧盟委员会于2012年向欧洲理事会提交的《欧盟通用数据保护条例》(草案)第33条第4款规定,就拟进行的信息处理活动开展数据保护影响评估时,“在不影响商业利益、公共利益或处理活动安全性的情况下,数据控制者应当咨询数据主体或其代表的意见”。但草案审议过程中此规定引发了种种争论,法律事务委员会认为这会给数据控制者带来不合比例的负担,建议删除该条款。最终《欧盟通用数据保护条例》第35条第9款虽保留了参与机制,但增加了“在合适情形下”,看似仅增加了一个前置要件,实则摒弃了“以公众参与为原则”的规范构造。由于个人信息保护影响评估属于自我评估,倘若在是否引入公众参与方面赋予个人信息处理者过于宽泛的裁量权,难免会导致参与程序设计预期落空。鉴于此,不宜效仿欧盟,而有必要明确影响评估过程“以公众参与为原则”。至于“成本高”“负担重”等隐忧,则可以通过优化参与范围和参与方式来破解。
参与范围如何确定呢? 旨在兼顾权益保障与成本效益,将“权益影响”与否作为参与主体资格的判断标准较为妥当。《个人信息保护法》将“对个人权益的影响”列为影响评估的核心内容,由此,有必要为权益因个人信息处理活动而受到不利影响的主体提供表达意见的机会,这既是正当程序原则对影响评估过程的内在要求,也有助于增强评估结果的科学性和民主性。并且,从实践层面来看,以权益是否受影响来划定公众参与范围,可以在一定程度上避免程序过载和成本高昂的问题。置于个人信息处理具体场景来看,权益受不利影响的主体如何参与影响评估还需视情况而定。有些场景下影响对象是可确定的,如医疗机构处理就诊患者的遗传和健康数据,或是企业处理员工的信息,此种情境下个人信息处理者可以直接咨询受影响主体的意见。但在不少情景下就拟开展的个人信息处理活动进行风险评估时,权益受影响的主体尚不确定,如监控系统自动识别车牌,此时可以通过问卷调查、座谈会等更为广泛的公众咨询机制来听取意见。
倘若参与者的意见未能受到认真对待,那么参与机制很可能会徒具形式,不仅无法满足双向互动的风险沟通目的,更难以借此重塑信息处理者与信息主体之间的互信关系,甚至会加剧双方权力结构不平衡的状态。2020年发布的《信息安全技术个人信息安全影响评估指南》(GB/T39335-2020)虽注意到这一点,但遗憾的是,该指南主要从个人信息处理者视角出发,仅提示“不能忽略”相关方反馈的意见。如何确保个人信息处理者认真对待利益相关者提出的意见呢? 对此,以环境保护、食品安全等领域较为成熟的风险沟通机制为镜鉴,可以要求个人信息处理者在影响评估报告中记录各项意见,并且,若意见未获采纳,或是经影响评估之后采取的处理决定与利益相关者的意见不同时,应当说明理由。
(二)助推影响评估报告的披露
影响评估报告是影响评估的过程性和结论性记录。我国《个人信息保护法》虽规定个人信息处理者应形成影响评估报告并至少保存三年,但并未要求其面向社会予以公开。批评者将此视作影响评估制度的最大缺点,并主张以公开为原则,设定影响评估报告强制披露义务。公开透明的确重要,但在未审慎分析影响评估报告的特征与功能的前提下,基于全有或全无的简单逻辑要求个人信息处理者披露影响评估报告,恐怕难以实现预期效果,甚至还会适得其反。
作为基于风险的治理工具,公开影响评估报告不仅通过提高透明度来增强可问责性,还承载着风险交流功能。只要个人信息处理者向社会披露影响评估报告,不论是摘要式公开,还是全文公开,均能在一定程度上提高透明度。但对于风险交流而言,却还远远不够。富有成效的风险交流取决于交流主体、交流内容、交流形式与何时交流等多重因素。若所披露的影响评估报告未被关注并理解,便只是向外界发出了“一些毫无意义的噪音”。忽视这一点的话,即便通过立法强制个人信息处理者披露影响评估报告,其披露目的往往也会限于规避法律风险,最终有可能像告知同意机制一样,因信息过载、有限理性等问题而流于形式。
与强制性规范相比,通过精巧的助推机制引导个人信息处理者披露影响评估情况,更有助于兼顾提高透明度以制衡数据权力和展开风险交流的双重目标。有效的风险交流并非单向传输信息,而是要注重信息的可理解性和主体间的互动性。对此,个人信息保护监管者或行业组织可以发布软法性质的指南,助推个人信息处理者披露影响评估情况。软法比具有强制约束力的法律规范更具灵活性,能够以设问、勾选、表格等丰富多样的形式为个人信息处理者形成影响评估报告提供具体、细致的指引,促使其从风险交流目标受众视角出发还原影响评估过程。典型例证当数英国信息专员办公室发布的影响评估报告模板,其围绕评估工作的每一关键环节列出了数个具体问题,如针对处理个人信息的必要性,个人信息处理者要回答“处理目的何在”“是否能够实现此目的”“是否考虑过其他权益影响更小的方案”等问题。在此基础上,英国监控摄像专员与信息专员办公室联合发布了《监控摄像系统的数据保护影响评估报告模板》,针对监控摄像系统如何收集、使用数据等关键问题提供了选项,同时,还通过嵌入表格的方式引导信息处理者以更易于理解的方式展示风险来源、潜在影响、风险水平、为降低或消除风险采取的措施以及剩余风险等风险管理全过程。
此外,非强制性认证体系也可发挥助推效应,引导个人信息处理者披露影响评估报告。作为治理工具,认证主要用来鼓励追求或实现特定的价值、目标或结果。针对影响评估设计认证体系时,将是否披露影响评估报告作为一项认证标准的话,便能促使那些力图通过认证的个人信息处理者有效披露影响评估报告。实践中,“数据安全共同体计划”“中国网络安全产业联盟数据安全工作委员会”联合发起的“个人信息保护影响评估”星级标识认定,可谓是有益的探索。
五
影响评估结果:形塑开放且合比例的个人信息保护义务体系
(一)事前:作为是否展开个人信息处理活动的判断因素
影响评估结果在一定程度上决定着是否能够开展个人信息处理活动。《个人信息保护法》第55条将影响评估设定为事前义务,其本意便在于,要求个人信息处理者基于评估结果来判断是否实施特定个人信息处理活动。如果评估结果表明个人信息处理风险严重性和可能性均较低,或者虽然风险严重性或可能性较高,但能够通过采取适当措施将风险降低至可接受水平,便可以展开该项处理活动。
倘若个人信息处理者在采取必要保护措施后剩余风险依旧较高,是否要放弃相应的个人信息处理活动呢?对此,《个人信息保护法》未作出明确规定。《欧盟通用数据保护条例》第36条则要求个人信息处理者在此种情境下事先咨询监管者的意见。监管者将根据具体情况予以回应:允许展开、限制或是禁止预期的个人信息处理活动。这种事前协商可谓个人信息保护合作治理模式的体现,值得借鉴。面对无法有效应对的剩余风险,之所以要与监管者协商,并非因为监管者具备技术与知识优势,而是由于其更能胜任权衡多元利益与维护公共利益的角色,进而合理确定可接受风险水平。
(二)事中:作为科学合理执行抽象法规范的具体指引
充分揭示风险类别与风险程度的影响评估结果可以发挥媒介作用,为个人信息处理者结合不同场景探寻抽象法规范的内涵,有效落实法规范目标,提供具体指引。
一方面,权益侵害风险可以作为判断基准,指导个人信息处理者将抽象法规范的要求具体化。从规范构造来看,《个人信息保护法》中存在大量目标导向型规则。与直接设定作为义务或不作为义务的命令控制型规则相比,目标导向型规则仅规定行为目标,至于如何达到目标则交由信息处理者来抉择。譬如,该法第6条要求采取对个人权益影响最小的方式处理个人信息;第9条要求采取必要措施保障个人信息的安全。面对迅速迭代的技术环境和纷繁复杂的数据生态,立法者选择牺牲法规范的明确性来追求规范目标的确定性。宽泛、模糊的法律概念的确为信息处理者保留了相当程度的灵活性,但也会降低合规预期。信息处理者需解释不确定法律概念,对合规与否作出初次判断,并且要经得住监管者的再判断。对此,具体场景的风险类别和风险程度可以成为信息处理者的判断基准,化解法律规范模糊性和规范目标确定性之间的矛盾。
另一方面,信息处理者可以根据风险水平确定合乎比例的个人信息保护方案。《个人信息保护法》中不少制度设计其实暗含了基于风险的理念,但立法者脱离具体场景作出的风险推定存在僵化之嫌,在法律实施过程中难逃风险水平与保护义务不相匹配的窘境。以“一般个人信息”和“敏感个人信息”的区分为例,实践中,受信息处理技术、信息存在状态等场景要素的影响,敏感个人信息处理活动的权益侵害风险并不一定高于大量汇聚状态下一般个人信息处理活动的权益侵害风险。对此,聚焦于具体场景的影响评估结果可以作为调节器,指导信息处理者校准法律义务,使之与风险水平相匹配。针对较高风险设定较低保护义务的情况,个人信息处理者应当在法定义务基础上附加技术和组织措施,确保风险降低至可接受水平。针对较低风险设定较高保护义务的情况,则可以考虑豁免部分义务,充分释放数据要素价值。
(三)事后:作为合理认定信息处理者法律责任的考量因素
《个人信息保护法》第七章规定了个人信息处理者所需承担的行政责任和民事责任。在事后认定与追究法律责任时,影响评估结果可以作为考量因素。
在行政责任方面,影响评估情况及其结果可以作为量罚时的考量因素。从规范结构来看,《个人信息保护法》第66条在规定行政责任时,设定了“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务”这一宽泛的构成要件。同时,还规定了从警告、没收违法所得、罚款,到责令暂停或终止提供服务、限制从业等带有强威慑力的法律后果。如此宽泛的授权赋予监管者相当大的裁量空间,加剧偏离过罚相当原则的可能性,也因缺乏行为后果的预见性而提高了个人信息处理者的合规成本。对此,个人信息处理者可以将影响评估结果作为自身履职尽责情况的证据;监管者在量罚时,尤其是在从轻或减轻处罚的裁量过程中,也应考量影响评估结果。《行政处罚法》第33条第2款的规定为此提供了规范基础。并且,从法理上看,如果个人信息处理者通过展开影响评估已经尽到合理注意义务, 但仍无法避免损害发生,那么其可非难性较弱。
在民事责任方面,影响评估结果不仅能够反映个人信息处理者是否存在过错,还能够体现过错程度。根据《个人信息保护法》第69条第1款,侵害个人信息权益损害赔偿责任的归责原则是过错推定。若存在被法律否定评价的行为,除非个人信息处理者可以证明自己没有过错,不然则推定其存在过错。对此,影响评估记录可以作为判断过错与否的有力证据。若影响评估记录可以证明个人信息处理者根据风险程度采取了适当的保护措施,则可以免除责任。此外,即便认定侵权责任成立,由于个人信息权益的边界模糊,侵害个人信息权益造成的损失往往也难以确定,根据《个人信息保护法》第69条第2款,当个人所受损失与个人信息处理者因此所获利益难以确定时,法官可以根据实际情况确定赔偿数额。此时,反映过错程度的影响评估结果便可作为确定侵权损害赔偿数额的考量因素。譬如,若在展开影响评估时,个人信息处理者识别出个人信息泄露风险,在综合考量技术水平、成本以及给个人权益带来的影响基础上,采取了适当的措施,过错程度相对较低,那么赔偿数额就应当以填补损害为主;反之,若个人信息处理者明知个人信息泄露风险,却未采取有效保护措施,过错程度较高,除了填补损害之外,还应当增加惩罚性赔偿。
结语
风险预防与风险治理已经成为世界各国和地区重构个人信息保护规范的基础。作为风险分析工具, 影响评估可谓基于风险的模式的支点。我国《个人信息保护法》虽要求个人信息处理者展开影响评估,但缺乏具体制度设计。旨在充分发挥影响评估的个人信息保护效果,有必要厘清公权机构和私人机构作为影响评估主体的理论基础,置于个人信息应用场景下动态调整影响评估内容,以制衡数据权力和有效风险交流为目标,合理设计影响评估过程的参与和披露机制,基于影响评估结果重塑开放且合比例的个人信息保护义务体系。数据作为新型生产要素触发的技术革命方兴未艾,经济、社会、生活和治理等各领域不断创新个人信息应用场景,如何结合个人信息应用场景形成影响评估指南,如何通过立法、执法与司法的合力保障影响评估的实效性,仍是亟须探索的未竟之题。
END