周汉华:探索激励相容的个人数据治理之道

——中国个人信息保护法的立法方向
选择字号:   本文共阅读 545 次 更新时间:2018-05-09 00:35:04

进入专题: 激励相容   个人信息保护法   个人信息控制权  

周汉华  

   摘 要:在大数据时代,信息控制者对于个人信息有很强的利用激励而缺乏同等程度的保护激励。如果法律规则只是简单施加各种禁止性或者强制性规定,势必因为激励不相容影响有效实施。尽管立法模式不同,不论欧盟还是美国,近年来都在探索建立激励相容的个人数据治理体系。我国目前的个人信息保护相关立法存在法律要求与信息控制者内部治理机制脱节、刑法制裁与其他法律手段脱节、责任规范与行为规范脱节等问题。个人信息保护法应以培育信息控制者内部治理机制为目标,以构筑有效的外部执法威慑为保障,促使信息控制者积极履行法律责任,并对违法行为予以制裁。个人信息保护法应确认信息主体在公法上的个人信息控制权,不能也不应该回避基本权利话语。个人信息保护法的实施,需要先从信息安全风险管理角度切入,由易到难,循序渐进,推动激励相容机制实现。

   关键词:激励相容;个人信息保护法;个人信息控制权;信息安全风险;大数据时代

  

一、以激励相容为制度设计的核心

  

   国内外学术界对于中国改革开放基本经验的主流总结,无外乎中央与地方关系上的纵向分权改革和政府与市场关系上放松管制的市场化改革。“我国经济体制改革最核心的内容就是实现由传统的计划经济向社会主义市场经济体制的转轨”,[1]国家通过分权与市场化改革,调动地方政府与市场主体的积极性与创造性,形成推动经济发展的巨大合力。不同的理论解释,内在逻辑均是强调通过激励机制调整来调动各级政府或者市场主体的积极性与创造性,走出一条中国的大国发展道路。[2]与经济发展相适应,中国社会治理变迁的主要方向,也是“从一元治理到多元治理、从集权到分权、从人治到法治、从管制政府到服务政府、从党内民主到社会民主”。[3]从管理到治理的转变,蕴含的是多元主体的互动、协商与合作,而不再仅仅依靠过去自上而下单方面的控制与命令。[4]

   中国发展道路选择不仅符合本国国情,也与近年来国际上政府改革的普遍经验契合。[5]2 0世纪7 0年代末以来,全球范围掀起了汹涌澎湃的行政改革浪潮,被称为新公共管理运动,其基本特征包括公民为本、市场化、结果导向、分权协作、民主参与、多中心自主治理等。[6]新公共管理运动的实质是基于激励约束机制,构建多方合作治理的有效格局。学术界认识到,“与高度复杂性和高度不确定性的时代相适应的社会治理模式应当是一种合作行动模式,只有多元社会治理主体在合作的意愿下共同开展社会治理活动,才能解决已出现的各种各样的社会问题,才能在社会治理方面取得优异的业绩”。[7]

   传统法律理论认为,法律是主权者的命令,是必须遵守的规范,令行禁止是其基本特征。因此,传统立法规制方式通常是命令控制方式,表现为禁止性规范或者义务性规范,要求被管理对象不得或者必须为某些特定行为。这种规制方式有很多弊端,包括:要求很强的执法能力,否则命令会被普遍漠视;由于信息不对称,这种命令可能与市场规律脱节,遏制市场主体创新能力与守法诱因;执法部门权力过大,可能会导致选择性执法或者“执法捕获”等问题。在全球行政改革浪潮中,传统的命令控制式规制受到广泛批评,激励性监管得到重视,人们发现规则如果能够与被管理者激励相容,会极大降低执法成本,提高合规动力。[8]因此,法律规则除了命令、禁止以外,还可以发挥引导作用,调动被管理者的守法诱因。如何设计这种激励相容机制,是规范实施的成败关键。[9]

   理论研究与国内外实践发展均表明,政策或者立法如果激励不相容,会形成“管理型”立法,而不是“治理型”立法。[10]这样制定出来的政策或者法律,实践中难以得到执行,[11]还可能导致执行成本高、规制对象抵触、执行效果差、执行权威受损、运动式执法、选择性执法甚至执行部门造假等连锁问题。[12]在我们“所制定的法律、法规中,绝大多数事实上没有被当作法看待,没有起到法所应起的作用”,首要根源在于“立法违背科学,或立法技术存在问题,使法不能实行或难以实行”。[13]

   我国制定个人信息保护法,不能脱离大的制度背景,有必要从中国改革开放的基本经验和全球行政改革的大趋势中吸取养分,避免或者少走弯路。在大数据时代,由于数据本身的特性,信息控制者有很强的利用激励而缺乏同等程度的保护激励。如果法律规则不能因势利导,只是简单施加各种禁止性或者强制性规定,势必因为激励不相容影响有效实施。

   随着信息技术发展,数据传输、储存、计算成本快速下降,数据开始成为资源。大数据不仅具有容量大、类型多、存取速度快等特点,还可以通过分析技术“使数字信息成为知识,支持智能决策”,[14]产生新价值。这样,大数据不仅给信息控制者带来巨大经济收益,也给消费者 (包括信息主体) 带来免费使用、高品质服务、快速迭代创新等各种便利。[15]凯文?凯利在对未来20年商业科技发展预测的一次讲演中提出,在大数据时代,“所有生意都是数据生意”,“个人数据才是大未来”。[16]舍恩伯格更明确指出,“大数据的核心就是预测”。[17]在大数据时代,数据对于信息控制者而言,就是生产要素和行动指引。信息控制者必然会充分利用大数据揭示的相关性,提前预测信息主体和社会的各种需要,提供精准的定制化产品或服务。对于国家而言,数据早已成为各国基础性战略资源,大数据发展成为国家战略的一部分。[18]

   大数据由人、机器或者传感器产生。其中,最基本、最有价值的是个人信息,由用户活动产生,“收集和整理个人信息都是获取权力的方式,通常以信息主体为代价”,[19]因此需要在个人信息保护与大数据发展之间实现平衡。不同于其他生产要素,数据具有公共产品才具有的非排他性、非独占性特点,可以反复使用、共享,[20]这使信息控制者对个人数据保护远不如对其他私有财产保护重视,容易产生各种疏忽现象。在网络环境下,数据具有随时产生、多点存储、多次开发、跨场景应用、多人经手、跨国界传输、收集与处理分离、生命周期短、孤立数据本身并不产生价值、需要技术解决方案等特点,[21]若全部都加以保护,技术、经济上有很大难度,会产生很高的保护成本。并且,隐私与隐私之间也需要权衡,在一端加强对隐私的保护,会在另一端产生弱化对其保护的结果。[22]数据发生泄露的情形非常复杂,[23]个人数据滥用的受害者是信息主体,不是信息控制者。信息控制者很难有充分的激励与能力保护个人数据,只是被动应付法律要求。

   在信息控制者利用激励与保护激励明显失衡的结构下,如果缺乏外部干预与政府监管,势必产生“丛林法则”和对个人信息的肆意滥用,[24]这是各国普遍重视个人信息保护、个人信息保护法成为全球性立法趋势的根本理由。我国近年来也明显加强了立法与制度建设的步伐,从多方面加强对个人信息的保护力度。但是,在信息控制者激励失衡的背景下,如果立法缺乏科学性,只是简单施加各种强制性外部要求,忽视信息控制者内在激励机制设计,并不能消除失衡根源。从概率角度看,利用与保护之间失衡的可能性仍然很大,占四分之三的比例:外部监管过于严格,抑制大数据开发利用;缺乏监管或者监管要求普遍不被遵守,大数据利用以牺牲个人信息保护为代价;监管游移不定,忽左忽右,陷入既没有大数据利用也难以保护个人信息的双输格局。只有外部要求与内生激励相容,才能够实现大数据利用与个人信息保护协调发展,其概率只有四分之一。

   在大数据时代来临之前,个人数据实际处于未被利用的沉睡状态,激励失衡问题并未被激活。至大数据时代,随着数据价值逐步被认识,信息控制者利用数据的激励越来越强烈,激励失衡现象会愈发突出,法律实施遇到的挑战也会越来越大。因此,大数据时代的个人信息保护,绝不仅仅是制定个人信息保护法那么简单。真正的挑战在于,如何通过科学的立法与制度设计,理顺立法要求与信息控制者内在激励之间的关系,使个人信息保护成为信息控制者的内在需要。这是个人信息保护法制度设计的目标和最终评价标准。

  

二、准确理解欧美个人信息保护法的新发展


   欧盟与美国个人信息保护法律路径不同,两种模式的差异是客观的,也是明显的。[25]但是,国内过去比较欧美个人信息保护法律,普遍缺乏对两种模式实际运行状况以及共性的研究,存在简单的扬美抑欧现象。不少人认为欧盟国家不重视大数据发展、美国不保护个人隐私,[26]并将制定个人信息保护法与阻碍创新 (欧盟模式) 画上等号,[27]将不保护隐私与更有利于创新 (美国模式) 画上等号,[28]人为制造了隐私保护与创新不可兼得的两难局面。这种贴标签式的研究方法,既限制了比较研究的深度和广度,与现实情况存在很大出入,更改变不了美国经验无法学、欧盟引发的国际立法趋势无法逆转的大格局。其实,大数据发展与个人信息保护的平衡作为这个时代的最大挑战之一,[29]欧盟与美国分别面临各自的问题,都难言找到了完美的解决方案,[30]对后发国家最重要的是要从欧美的经验与教训中探索个人数据治理的成功之道。

   随着大数据时代来临,从实证出发,探讨个人信息保护的有效实施机制,而不仅仅是关注法律规定的差别,已经成为近几年国际上、尤其是美国隐私法律研究的新热点。不论名称叫新治理、合作规制、合作治理还是叫回应性规制、激励规制等,其背后的机理均在于发现有效的激励机制,调动被管理对象参与治理的积极性,提高执法效果。最新国际实证比较研究成果表明,欧美两种模式实际上存在某些共同规律可循,而欧盟不同国家之间的差别也比过去想象的要大得多;不管哪种模式,不论法律多么严格,只有激励相容才会取得预期保护成效,不相容则难以得到执行,[31]甚至会导致既阻碍创新又保护不了个人信息的双输结果。[32]因此,成败的关键不在于法律规定的模式差别,而在于个人数据治理的制度设计是否科学。探索中国个人数据治理之道,必须超越欧美两种模式的简单法规范对比,既要看到两种模式的差别,更要从两种模式中吸取有益的经验。只有这样,才能博采众长,走出一条符合我国国情的个人信息保护法治道路。

2 0 1 0年,两位美国学者发表《书本上与实践中的隐私》一文,[33]通过对行业公认的首席隐私官的大量访谈,对美国企业过去15年间隐私政策的执行状况首次进行实证研究。随后,他们扩大研究范围,对四个欧盟国家 (德国、法国、英国、西班牙) 的企业隐私实践进行研究,大量访谈企业隐私官员、政府官员与学者,并于2015年出版《实践中的隐私———推动美欧企业行为》,[34]其中很多发现让人耳目一新,获得各界广泛关注与好评。[35]他们的重要结论包括: (1) 美国与英国企业的隐私官员一般从避免给消费者预期造成损害的风险管理角度看待隐私保护,其他三个欧洲大陆国家企业的隐私官员基本从人权角度看待隐私,回避采用风险和消费者损害话语。 (2) 尽管在基本观念、实体法律以及执法机构等方面存在很大差异,美国与德国的企业基本以相同的方式对待隐私管理。两国隐私官员都将隐私保护当作战略问题,需要考虑的远远超出单纯遵守特定的法律规则;都将隐私当作不断演变、面向未来和依赖语境变化的社会价值,而不仅仅是个人同意与控制;都有有权并且相对自主的职业隐私官员,能够接触企业高级管理层,参与企业重要决策,并与外部利益相关者密切互动;活动很多都涉及战略性议题而不纯粹是操作层面的议题,职能远超“合规”要求,因而使企业内部的隐私决策能够与企业的战略决策、核心价值相互整合;作为企业高级雇员,隐私官员既能够自上而下指挥,(点击此处阅读下一页)

    进入专题: 激励相容   个人信息保护法   个人信息控制权  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/109853.html
文章来源:中国法学网

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2019 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
易康网