许可:个人信息治理的科技之维

选择字号:   本文共阅读 89 次 更新时间:2021-11-08 01:03:03

进入专题: 个人信息治理   个人信息保护法  

许可  

   尽管我国个人信息保护法并未明确“经设计的个人信息治理”,但第51条规定在比较法上源自欧盟数据保护指令第17条第1款“成员国应当规定数据控制者必须采取适当的技术措施和组织措施来保护个人数据以防止它们被意外或非法毁灭或意外遗失、变更、未经许可披露或访问”以及GDPR第25条第1款“考虑到行业最新水平、实施成本及处理的性质、范围、目的和内容以及处理给自然人的权利与自由造成的影响,数据控制者应当在决定数据处理方式以及进行处理时以有效的方式采取适当的组织和技术措施,并实施必要的保障措施以符合本条例要求,保护数据主体权利”,可作类似解释。质言之,在第51条的规范目的上,可以从狭义的“个人信息安全”拓展到“个人信息权益和价值”;在第51条的时空范围上,可以覆盖系统、服务、产品的设计阶段以及全生命周期;在第51条的义务要求上,可以将“必要措施”界定为技术手段、组织形式等所有治理要素。

  

   一旦将“经设计的个人信息治理”引入,就可以更深入地理解个人信息保护法。首先,“经设计的个人信息治理”弥合了个人信息保护法可能的逻辑断裂。梳理个人信息保护法,容易发现其第二、三章为“个人信息全生命周期规制”,第四、五章则为“权利—义务规范结构”,前者侧重于精细化的事先管控,后者侧重于灵活性的事后调整。但另一方面,前者可能因未知科技引致的环境变化而无从应付,后者也可能因规范过于抽象而戕害了确定性。对此,“经设计的个人信息治理”将“信息主体权利”注入到个人信息全生命周期之中,充实告知、同意、保存、使用、自动化决策和境外传输等处理规则,细化“信息处理者义务”,有效平衡了法律的可预期性与适应性。其次,“经设计的个人信息治理”有助于从主动设计的角度把握第55条的“个人信息保护影响评估”,将之视为协助处理者提前识别、界定、最小化系统可能风险的工具。〔36 〕更重要的是,保护影响评估本质是“个人信息安全工程”的一部分,只有在信息科技的工程实践中才能把握其流程。最后,“经设计的个人信息治理”为第54、64条“合规审计”的搭建指明了方向。作为对处理者履责情况的鉴证和监督, 〔37 〕个人信息处理的合规审计有赖于汇聚海量数据的审计平台,收集、分析IT资源中设备和应用的日志,开展即时跟踪、持续监控和适时报警。未来,可应用流程自动化机器人(RPA),整合不同系统数据,将重复的作业程序自动化,并定期与监管机关共享,达成视觉化、互动式的精准合规,以解决监管机关的信息不对称问题。

  

   三、赋能科技:平衡个人信息保护与利用

  

   如果说“合规科技”意在强化国家法律监管,那么“赋能科技”就是通过隐私增强技术为信息主体和处理者积极赋能,实现个人信息保护与合理利用的平衡。但是,科技并不能直接生成权利,我国个人信息保护法是否以及如何接纳赋能科技,则是问题的关键。

  

   (一)从“代码即法律”到“赋能科技”

  

   科技并非中立。早在20世纪80年代,人们就已认识到信息科技内在的政治性,因为其能够促发、支持、强制、抑制或排除特定行为。〔38 〕质言之,鉴于科技本身就带有使用者如何行动的说明书,其使用过程就是影响用户知觉和行为的过程。随着Joel Reidenberg“信息法制”和Lawrence Lessig“代码即法律”的提出, 〔39 〕代码因所具有“大规模定义和塑造行为模式”能力,逐渐被视为网络时代的法律。2008年以来,助推理论为之提供了行为经济学的依据。根据该理论,信息科技不是采用理性说服方式来改变人的态度,而是通过“选择架构”中非理性、无意识的要素使人们趋向于预期方向。〔40 〕在收集信息、制定目标和改变行为的三个阶段中,大数据分析、算法决策指导技术,挖掘和显著化数据项之间相关性,以此引导人的注意力并作出最终决定,这种基于信息科技、动态化且普遍有效的助推,被称为“超助推”。〔41 〕晚近,利用区块链生成的代码,令人们任意选择和实施自定规则,创制习惯法体系变得更加简易可行,“链之以法”成为代码应用的新领域。〔42 〕

  

   然而,代码毕竟不是真正的法律。首先,代码是自动执行的规则,其依赖于行为人的自觉或不自觉地实际遵守,就此而言,代码仅有社会学上的有效性,而缺乏法律和伦理上的有效性。〔43 〕其次,代码并非自给自足,正如法治背后是法律人之治一样,代码背后是代码作者——“码农”之治,无论他们是否意识到,在设计阶段其价值就镌刻到了最终的产品上,而这可能危及了法治的民主根基。最后,代码可能与法律相互冲突,参与者可以借此“乘间伺隙”,故意剝夺法律权利、规避法律义务。〔44 〕正因如此,Lessig在2006年指出,“代码即法律”的真实含义是代码类似于法律,并不意味着“代码=法律”,就像飞机的构造不是法律一样。〔45 〕故而,如欲发挥信息科技的优位作用,就必须回归“个人信息治理”, 将法律价值融入其中,使之成为法律相辅相成的“赋能科技”。

  

   所谓“赋能科技”,意即提升一方或多方治理主体的权利或能力,进而提升治理总体绩效的科技。〔46 〕较诸“合规科技”,赋能科技具有如下特征:(1)合规科技以个人信息保护为目标;赋能科技则以个人信息保护与利用平衡为导向,通过“正和双赢”而非“零和博弈”的方式,破除虚假二分法的假象。(2)合规科技主要面向监管者,强化监管的有效性和高效性;赋能科技则主要面向信息主体和处理者,回应各方关切。(3)合规科技是法律最佳的仆人,必须严格服从法律原则和规则;赋能科技则是法律最佳的搭档,通过降低法律执行成本补充法律,或者通过降低当事人之间的交易成本替代法律,甚至改变规范的“假定条件”而使之不再必要。

  

   (二)个人信息治理中赋能科技的实践

  

   赋能科技可追溯至20世纪70年代,当时为应对信息科技对隐私的挑战,“隐私增强技术”(PET)应运而生,最初其专注于身份保护以及在不丧失系统功能的情形下最小化信息收集与处理。随着时间推移,加密工具、隐私保护分析技术、数据管理工具等技术相继涌现, 〔47 〕并进一步发展为“软PET”和“硬PET”。〔48 〕“软PET”旨在帮助个体就其与处理者共享个人信息與否,作出更好的决策,包括cookie管理工具、隐私仪表板、“人工智能卫士”等,后者如识别个人信息滥用并予以反制的“人工智能审查员”,或者代表个人隐私偏好的“人工智能代理人”。〔49 〕“硬PET”旨在利用复杂技术降低错误信任第三方的风险,蓬勃兴起的“隐私计算”正是其典型。“隐私计算”试图在不提供原始数据的前提下,分析计算数据,实现个人信息流通与融合过程中的“可用不可见”。依技术原理的差异,它可划分为如下三类:

  

   其一,明文算法增强技术。该技术利用明文数据变换保护原始数据,包括但不限于数据脱敏、差分隐私和联邦学习。其中,“数据脱敏”通过一定规则对信息进行变形、屏蔽或仿真处理,消除其在原始环境中的敏感信息;“差分隐私”采取增加噪音等统计学方法转化并隐藏原始数据;“联邦学习”系一种分布式机器学习方法,其将原始数据转化为中间参数,以便让多个互不信任的参与方通过梯度或参数交换协同训练模型,而不交换原始数据。其二,基于硬件的可信执行环境。该技术立足于硬件机制的物理隔离,在计算过程中,数据以加密形式进入执行环境,只有经授权的应用程序才能予以解密,确保敏感数据在可信环境中存储和处理。其三,基于密码学的隐私计算技术。该技术利用安全算法和协议,将数据加密转化后对外提供,任意一方都无法接触到他方的明文数据,多方安全计算(Multi-party Computation,MPC)是其重要代表。

  

   MPC理论首先由图灵奖获得者姚期智教授在1982年“百万富翁问题”中提出:两个争强好胜的富翁Alice和Bob在街头相遇,如何既不暴露各自财富又能比较出谁更富有?对此,MPC允许互不信任的多个数据持有者各自输入数据,输出计算结果,并保证任何一方均无法得到除应得的计算结果之外的其他任何信息。MPC可广泛用于:(1)数据可信交换。MPC为不同机构之间构建协同计算网络中的信息索引、查询、交换和数据跟踪的统一标准,实现机构间数据的可信互联互通。(2)数据安全查询。MPC一方面保证查询方仅得到经授权的查询结果,对数据库其他记录信息不可知;另一方面,数据库拥有方亦不知晓查询方具体的查询请求。(3)联合数据分析。传统的数据分析经MPC改进后,能够在敏感信息不出安全域的前提下完成多方数据源协同分析计算,发掘新的数据价值。

  

   (三)个人信息保护法的再反思

  

   依循“个人信息保护系统”的逻辑,“科技系统”与“法律系统”彼此区隔。赋能科技如欲产生补充、替代或悬置法律的效果,就必须经由卢曼意义上的“法律反思”,使法律对科技保持认知开放,进而将其转译为法律规范。因为“只有法律能够改变法律,只有在法律系统的范围内,才能把法律规范的变化理解为法律的改变”。〔50 〕职是之故,我国个人信息保护法如何在自主性的基础上吸纳赋能科技,就成为肯綮所在。

  

   个人信息保护法与赋能科技有关的条款见于“附则”中“去标识化”和“匿名化”规定。其中,对于“个人信息经过处理无法识别特定自然人且不能复原”的匿名化信息,个人信息保护法第4条将其排除在“个人信息”以外,因此不受该法的调整。对于“经过处理,在不借助额外信息的情况下无法识别特定自然人”的去标识化信息,个人信息保护法第51条第3项将其与“加密信息”并列,作为一种采取安全技术措施的个人信息,并未另外规定其法律后果。要之,个人信息保护法延续网络安全法第42条和民法典第1038条的思路,形成了“个人信息—保护”和“匿名化信息—不保护”的二元格局。〔51 〕据此观察,赋能科技只有满足“匿名化”条件,才具有法律意义。然则,何为“匿名化”?

  

根据个人信息保护法的界定,匿名化的结果是“无法识别特定自然人”。其“识别”与否应从“识别主体”和“识别方式”两方面综合判断, 〔52 〕意即“谁依何种方法进行识别”。就识别主体论之,有客观主义和主观主义分野,前者放宽至“全世界任何一人”,后者限于一定范围内的主体。欧盟GDPR持前一立场,而英国则持后一观点。在Department of Health v. Information Commissioner一案中, 〔53 〕法院坚持“主观主义”判断,使用归谬法指出:假使个人信息持有者保留原始资料,将会使经处理的信息成为个人信息,那么将导致非常荒谬的结果——凡公开任何的统计数据,都会构成披露个人信息,只要原始信息未被删除。事实上,我国司法实践亦采取了相对主义标准。在“安徽美锦信息科技有限公司与淘宝(中国)软件有限公司不正当纠纷案”中, 〔54 〕双方就淘宝抓取并出售的用户浏览和交易信息以及在其基础上推测出的用户性别、职业、区域、偏好信息的定性和保护产生了争议,法院最终认定:“生意参谋”数据产品所使用的用户信息经过“匿名化脱敏处理后已无法识别特定个人且不能复原”,公开其数据内容,对信息提供者不会产生不利影响。显然,这里“匿名化”只是对“生意参谋”的使用者而言,而非淘宝公司,(点击此处阅读下一页)

    进入专题: 个人信息治理   个人信息保护法  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 理论法学
本文链接:http://www.aisixiang.com/data/129526.html
文章来源:东方法学 2021年5期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统