【摘要】前数字时代向数字时代的转型变迁,既促进个人信息从隐性概念进阶为显性权利,又使得个人信息权利在海量数据流通共享中被稀释,导致信息主体陷入逐渐丧失“真实自决权”的法治困局。数字社会作为新型社会形态,其创生发展伴随着个人信息权利让渡的现象,即个人信息主体通过让渡部分个人信息自决权,实现核心层的个人信息“真实自决权”在数字社会的合理运行,这需要对个人信息自决权进行必要的“去伪存真”。有效保障数字空间个人信息主体享有的“真实自决权”,关键在于确立具有穿透三大数字屏障的治理模式,即通过倾斜性保护与国家强监管穿透平台优势权力、民行刑一体化追责机制穿透算法技术黑箱、构建“用户自决→被遗忘权→用户自决”循环体系阻断海量数据决策风险,使个人信息在数字空间规则的形成与发展中重新还权于个人。
【关键字】数字时代;个人信息自决权;真实自决权;公私融合;核心层个人信息
2024年9月21日,中共中央办公厅、国务院办公厅联合发布《关于加快公共数据资源开发利用的意见》,指出要构建数据“可用不可见”的治理机制,“强化数据安全和个人信息保护”。个人信息作为重要的数据资源,它具有人格尊严与公共价值的双重属性,实现个人信息数据的有序共享,需要以尊重个人信息自决权为前提。然而在数字时代,伴随个人信息形态的数字化与个人信息流动的技术化,个人信息主体对其个人信息的控制力急剧衰弱,突出表现为数字平台算法技术黑箱对个人信息主体“知情权”的剥夺,导致《个人信息保护法》第13条所预设的知情同意框架全面失效。例如,近期发生的“百度某副总裁女儿‘开盒’事件”,一个生活在加拿大的未成年人在国外居然能对我国公民肆意“开盒”,如此令人咋舌的个人信息泄露事件,足见个人信息自决权已经被削弱到何种地步。鉴于此,有必要从强化个人信息保护的数字时代需求出发,探索数字空间个人信息主体“真实自决权”的法治复归路径。
一、数字化进程中个人信息“真实自决权”的双重法治困局
21世纪以来,数字技术的变革性发展深刻地重塑个人信息的存在形式与价值属性。根据个人信息保护模式的代际变迁,可以划分为前数字时代和数字时代。数字化转型完成以后,个人信息不再是专属于个体的权利,而是具备了鲜明的公共属性与流通价值,海量个人信息数据被作为数字社会的生产要素加以流通从而赋能实体经济,个人信息的数字化共享构成了数字时代人类重要的生活方式。然而,由于我国个人信息保护立法起步较晚,不同部门法对个人信息的保护范围与力度存在较大差异,加之大量有关个人信息保护的规范、制度等源自前数字时代,在数字时代的个人信息保护方面呈现明显不协调之处,个人信息权利观念在流通共享中面临逐渐衰微的法治困局。
(一)数字社会规则重塑与日渐衰微的“真实自决权”
前数字时代向数字时代的转型,本质上是一种社会形态的数字化转型,由此推动了数字时代的立法变迁。在此背景下,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)以及配套法律法规相继颁布实施,使数据要素(包括个人信息)的流通共享具备合法性基础。个人信息保护的规则体系日渐成型,在纵向上广泛规定于法律、行政法规、部门规章等规范之中,在横向上涵括民事、行政与刑事规范,个人信息权成为显性的法律概念。权利观念的觉醒使法律调整个人信息的路径从“规制法”转向“保护法”,重塑了个人信息主体与个人信息处理者(网络服务提供者)之间的法律关系,促进了个人信息处理者(网络服务提供者)对个人信息主体安全保障义务的形成。
随着数字时代的到来,个人信息处理者已经从单纯提供技术和通道支持、不干涉内容和权利保护措施的中立角色,转变为提供高度交互性、社会性内容的新角色。个人信息处理者积极参与制定网络空间个人信息处理规则,从而成为了事实上的“内容框架提供者”,其除了为网络用户提供接入、缓存、存储等工具服务之外,还参与到个人信息数据的形成过程,制定个人信息数据交互规则,因而需要主动承担起对个人信息数据等承载私权利要素进行审查和保护的法定义务。据此,个人信息处理者应当“保障个人信息数据足够的安全性,以避免遭遇网络安全攻击和个人信息数据的滥用给用户造成损失,否则网络服务提供者将要承担法律责任”。
问题在于,个人信息数据作为数字社会资源要素的基本定位,决定了个人信息保护性的立法预设与海量个人信息数据共享的实际需求之间存在紧张关系,即保护与共享原本就存在一种反向的逻辑关系,在一般情况下,保护越多意味着共享越少,反之,共享越多意味着保护越少。然而,数字社会重塑的规则以共享为基本导向,这意味着,数字社会规则与个人信息保护之间存在难以弥合的张力关系,具言之,“现代信息技术的发展客观上增加了个人信息保护的难度,以隐私权或自决权为主要内容的个人信息权保护模式受到重大挑战甚至陷入困境”,个人信息主体在数字社会交往中的“真实自决权”逐渐衰微,这是前数字时代向数字时代转型的“时代裂隙”。
首先,个人信息知情同意的预设框架,在数字时代已然面临全面失效。数字化的一个重要特征是共治共享,共享是共治的重要前提,人们不断让渡个人信息权利,以获得在数字社会的便利性与共治权,此种让渡是顺应数字社会发展的必然结果,它必然会增加个人信息泄露风险并重塑数字社会规则。知情同意框架大体源于前数字时代,它建立在三个前提基础之上:一是个人有能力“知情”;二是个人有动力“同意”;三是个人对违反“知情同意”有感知。然而,数字时代的发展大幅度削弱了个体知情同意的可能性,技术黑箱中用户接收内容与原始个人信息数据输入的关联链条断裂,使得个人无能力“知情”;用户平均阅读完隐私政策需要1小时以上的时间,而作出决策的时间只有不到1分钟,使得个人无动力“同意”;超量隐蔽性采集个人信息,使得个人对其个人信息受侵犯的事实无感知。受此影响,海量“不知情”的个人信息处理行为累积性增加以及“不同意”的权利被持续性削弱,最终将导致个人信息“真实自决权”在数字社会交往中被大幅度削弱。
其次,敏感个人信息自决权,在部分数字社会场景下缺乏可执行性。根据《个人信息保护法》第28条规定,人脸识别信息属于敏感个人信息的范畴,其受保护程度较之普通个人信息更高。在性质上,人脸识别信息位于核心层,原本应当遵守最严格的个人信息保护标准,以防止被滥用。然而在数字社会,大量未经个人信息主体自我决定而处理人脸识别信息的行为,即使形式上明显违反《个人信息保护法》,一般也不宜作为违法处理。例如,在短视频高度发达的当下,许多短视频博主拍摄、上传的短视频中包含陌生人的人脸识别信息,这些信息既没有经过个人信息主体自我决定,也不具备《个人信息保护法》规定的其他正当化事由,相关行为依法属于违法行为。如果机械地执行《个人信息保护法》第13条、第28条规定,势必引发“全民违法”问题。不仅如此,由于《刑法》第253条之一侵犯公民个人信息罪以“违反国家有关规定”为前提,一旦《个人信息保护法》失守,必然连带地导致“全民犯罪”问题,即短视频博主、传播短视频的平台均系违法犯罪行为。“全民违法”与“全民犯罪”现象的连带出现,与大众的正义直觉相去甚远,若真如此,那么数字社会业已建立的基本规则将受到根本性冲击。
最后,数字社会衍生的新侵害形式,实质压缩了个人信息自决权的行使空间。个人信息处理者利用个人在网络空间的“行踪轨迹信息”进行购物推荐及其他自动化决策,是否属于违法行为,存在较大争议。自动化决策一旦脱离人的控制,势必需要频繁使用个人信息,而这些个人信息处理行为实质上已经脱离了法律的审查,即执法者无力一一审查自动化决策行为合法与否。为此,理论上有观点指出,尽管购物推荐等自动化决策在形式上违反了《个人信息保护法》,但是从数字社会发展来看,相关行为已经被数字社会的交往规则所容纳,具有社会相当性,因而本质上不具备可罚性。如此来看,个人信息自决权的规则在上述场景中已经失去了执行效力。
(二)数字平台权力崛起与变相剥夺的“真实自决权”
当个人信息成为数字时代发展的重要资源,如何对其进行“高效流通使用、赋能实体经济”,成为数字时代不可回避的重要课题。时至今日,个人信息的主流议题已经不再是“要不要共享”,而是“怎么样共享”以及“共享的时空范围”等。换言之,如今人们越来越多地关注个人信息的资源价值,个人信息作为数字经济的基本要素,其共享和使用是个人参与数字社会活动的重要前提。然而,数字社会中个人信息数据的开放性又使得个人信息主体对其个人信息的支配力严重削弱,而以平台为代表的网络服务提供者具备强大的资源聚集和数据支配力,导致个人在与平台的竞争中必然失败。这意味着,数字平台权力崛起对个人信息的支配,变相剥夺了个人信息主体的“真实自决权”。
在个体层面,个人同意与否的自决权被平台设计和决策,个人自决权的行使空间被平台有意压缩。个人信息自决权是一个宽泛的“权利束”,它包含个人信息的收集、存储、使用、加工、传输、提供、公开、删除等一系列子权利及衍生权利。然而在现实中,平台除了利用个人信息主体“同意疲劳和决策失衡”而使其不得不同意之外,还变相通过各种手段限制个人信息自决权的内容。例如,某APP以“全有或全无”的方式收集用户信息,对用户进行精准画像,许多app软件都存在“要么同意、要么退出”的二选一现象,即信息主体如不同意勾选该隐私政策则根本无法继续使用该软件提供的服务,或者只能使用该软件的边缘服务,触及核心功能的服务仍然需要重新进行信息授权。在此意义上,个人信息主体作出同意决定并非基于完全自主的意志,个人信息主体的自决权受到减损,这种“全有或全无”式同意设计存在结构性缺陷,导致个人信息的收集、存储、使用、加工、传输、提供、公开、删除等一系列子权利及衍生权利被一并授权,个人无力作出真实决策。
在平台层面,平台透过难以解释的算法黑箱与隐蔽的数据收集方式,制定新规则获取海量个人信息数据。《个人信息保护法》预设以国家监管约束平台权力,强化平台对个人信息的保护义务,并为大型互联网平台规定“守门人”条款。然而,平台作为技术的集大成与资源的集中地,在某种意义上也是规则的制定者,能够以人们不易察觉的方式和法律不易调控的方式获取海量个人信息,如自动为用户勾选同意隐私政策、将消费者线下的交易信息共享至线上、对个人信息进行篡改等。从本质上说,网络平台是从网络服务提供者进化而来的,它是一种特殊类型的网络服务提供者,其既提供基础服务又制定活动规则。网络平台在其版图扩张过程中通过集聚海量数据而获取竞争优势,这种数据优势赋予了其数字经济基础设施的独特地位,成为数字经济发展的组织中心,负责组织协调各方参与者的利益分配,资源聚集性与高度支配力是当下网络平台的突出特征。
在个体与平台关系层面,个人相对于平台处于绝对的弱势地位而逐渐丧失了其真实的话语权。数字技术发展摧毁了私域与公域的边界,为了重建二者的界限,平台成为了重要的公共利益载体,其同时也是私人参与数字社会的核心介质。数字社会理想的个人与平台关系规则是:平台在使用个人信息之前需要征得个人同意,并且只能在个人同意的范围和约定的用途内加以使用。然而,数字社会个人与平台的地位具有非对称性,它是一种天然不平等的关系模型,后者因对数字资源的垄断会轻易取得绝对优势地位。因此,个人在与平台交往中轻易地同意平台处理其个人信息,或者几乎没有不同意的余地,平台由此进一步拓展其个人信息数据收集而难以受到法规范约束。例如,微信、淘宝、京东、美团等平台都有《个人信息许可协议》《个人信息处理协议》等个人信息保护条款,然而在实际运作中,由于这些大型平台已经与数字社会深度绑定并全面融入个人生活,个人不得不频繁让渡其个人信息权以获取正常生活的空间,其不再具备法律预设的“不同意”的话语权。
基于数字时代个人、平台及二者关系定位的理性反思,如何从法治层面重塑个人信息保护体系,以保障个人信息主体享有“真实自决权”。在以网络平台为主导的数字时代,个人很多时候根本无力实现其自决权,必须由公共力量的介入才可能对其妥善保障。个人信息的保护加入公权力干预,能够充分利用公共权力的优势弥补数字社会中个人信息自决权退化的短板,走出个人无法自决之困局。这一方面需要以分层逻辑对数字时代个人信息自决权进行“去伪存真”,另一方面要以穿透性治理模式优化个人信息权利保护体系,以使个人信息在数字社会运作中重新还权于个人。
二、数字社会中个人信息自决权的“去伪存真”与分层构建
数字社会构建需要人们让渡其个人信息自决权,这种权利让渡既是数字化转型的必然结果,也是个人融入数字社会的当然要求,没有个人信息权利的让渡就没有数字社会的生活方式。如果说前数字时代个人信息主体拥有接近100%的自决权,那么到了数字时代,个人信息自决权可能会大幅度衰减至50%乃至20%,换言之,数字社会中存在大量无需个人真实自决的个人信息处理活动。因此,个人信息自决权需要进行“去伪存真”,为数字时代个人信息“真实自决权”存续留下合理的空间。
(一)数字社会个人信息自决权的“真伪之辨”
数字社会是一种新型社会形态,作为数字社会基本要素的个人信息,在公私交融中逐渐改变其原有定位,个人信息从“个人”中脱离并融入“数字社会”。数字时代个人信息私域的开放与公域的形成,伴随着个人信息主体权利的退化。法治的潜力在于其能够因时应势而变的创造性,数字化转型要求个人信息保护模式作出相应调整,从而既维护个人信息的客观社会价值,又有效彰显其主观权利内容。这首先要进行基本理念的转变,“真实自决权”的衰弱并不意味着降低个人信息的受保护性,只是保护的范围和方式需要跟随数字时代调整。个人信息“真实自决权”的衰减实质上是个人信息主体权利的自我让渡,用以换取个人在数字社会的生存空间,可以预设为数字社会形成过程中各方主体订立的“社会契约”,“人们都可以获得自己本身所渡让给他的同样的权利,所以人们就得到了自己所丧失的一切东西的等价物以及更大的力量来保全自己的所有”。
由此而论,个人信息自决权从前数字时代到数字时代的转型变迁,需要经历一场“真伪之辨”,其具有两层基本含义:一是对于被让渡的个人信息,个人信息主体不再享有“真实自决权”,其决策规则由数字社会创生和发展。例如,对于法院通过判决依法公开的个人征信信息,可以进行合理化的商业利用,无需经过个人“授权同意”。二是对于被保留的个人信息,个人信息主体当然享有“真实自决权”,并不受平台等干预决策。例如,姓名、手机号、身份证号、银行卡号组合形成的个人信息,具有高度的敏感性与可识别性,禁止超越授权场景或用途进行处理和使用。至于“被让渡”与“被保留”的个人信息,即具有“真实自决权”的个人信息之范围,需要根据个人信息本身的敏感性、可识别性进行衡量。对于那些具有高度敏感性和可识别性的个人信息,如身份证号码、银行账户信息等,应当保留个人信息主体“真实自决权”,采取更加严格和全面的保护措施。相应地,对于敏感性和可识别性较低的个人信息,可以视为个人信息主体参与数字社会交往自我让渡的部分,对这些个人信息的自动化决策,如根据用户上网踪迹、浏览偏好等,进行自动化算法推荐,不构成对个人信息权利的侵犯。
首先,对个人信息自决权的“去伪存真”,并不减损个人信息主体利益,而是个人信息之“私域”与“公域”协调共存的结果。基于自决权的视阈考察个人信息已经成为学界较为普遍的共识,该观点以同意规则为核心。据此,同意既是个人信息处理的私法规则,也同步转化为公法规则,成为个人信息处理合法与否的界分标准。从个体层面考量,强调个人对其个人信息拥有的自我决定权,可谓具有天然的正当性。然而,单纯强调个人信息自决权的纯粹理性模式无法适应数字社会个人信息保护需求,个人信息保护法律制度的应然建构不仅需要遵循私法自由自治的理念,还需要考量个人信息在数字社会“公域化”发展。换言之,在数字时代,当个人信息在数字技术加持下全面进入公域之后,其承载重要的公共价值,使得个人信息成为数字社会不可或缺的基本要素,个人信息不是纯私域的自决,个人信息未必是“个人的”。党的二十大报告提出,要“健全共建共治共享的社会治理制度”,作为建构数字社会的核心要素,实现个人信息数据资源共享是数字社会思维转型与法治根基的必然要求。个人信息在数字社会形成个人属性与社会属性相嵌套结构,从个人属性角度而言,个人信息来源于人性尊严,或者由个人利益形成;从公共属性角度而言,海量个人信息数据汇聚成了公共利益,承载数字社会的公共价值。因此,数字时代个人信息自决权的范围,只有分别从私、公两个视角分析,才能观测到其全貌。对个人信息自决权进行“去伪存真”,保留必要的自决范围,既尊重了个人信息主体的合理期待,也适应了数字经济发展对于海量个人信息数据资源供给的需求。顺此逻辑,个人信息自决权也实现了与他人自由权利的共存,避免以无边界自决权导致的不同权利主体的隐性冲突。
其次,数字时代个人信息主体无需太多的自决权,过多的个人信息自决权反而弊大于利,保留核心的、关键的个人信息“真实自决权”即足矣。如果说个人信息源于人格尊严的私域特性奠定其自决权基础,则其面向数字时代所衍生和进一步强化的公域特性即社会属性更加确证其消极功能。特别是信息网络化与数字化发展伴随着生产方式的根本性变革,个人信息的广泛传播创造出独特的生产价值,它源于个人又能够脱离个人而产生新价值,数字化赋予了个人信息极大的社会价值,也使个人信息具备更强的包容性,在此过程中,个人信息的个人属性被极大削弱而社会属性加强,由此驱动个人信息权利属性由纯粹自决权转变为有保留的自决权。在数字时代,倘若个人信息主体以未经同意为理由频繁自决,则首先会导致数字社会的封闭化,因为人们总是尽力维护个人信息的私有性,希望自己尽可能少地让渡自由权利以获得最大限度的自由权利范围,实现融入数字社会的目标,这将从根本上阻碍数字社会的健康发展,乃至摧毁以共治共享为核心的数字社会之根基。
最后,个人信息“真实自决权”范围的合理收缩,可以精准定位平台核心责任范围,保障知情同意框架的有效坚守。基于数字时代个人信息的双重属性,数字社会蕴含一种个人与平台之间不可避免的竞争性运行规则,即相较于个人将个人信息数据作为人格内容载体加以保护,对于平台而言,个人信息数据的首要意义在于其资源价值,平台意在获取海量个人信息以最大程度地掌控数字资源。此时,如果立法预设的个人信息自决权范围过于宽泛,可能导致平台遵守规范的动力减弱,或绕开已有规范,或创设隐性规则,以尽可能地扩张平台自身对个人信息数据的处理权。倘若个人信息“真实自决权”的范围难以符合数字社会的客观需要,则其可能以另一种方式被架空,时至今日,个人信息知情同意的立法框架频繁被突破即为典型示例。可以预期的是,合理收缩个人信息“真实自决权”的范围,不会引发平台权力过于扩张的担忧,相反,根据个人信息“真实自决权”的范围,能够精准定位平台核心责任范围,使有限的监管资源投入到核心个人信息的保护上。
(二)个人信息“真实自决权”在数字社会的分层式建构
保护与共享是数字时代个人信息的两大主题,而且随着数字时代的深化发展愈发向后者靠拢。这意味着,数字时代个人信息保护的首要挑战是,个人信息数字化带来的“真实自决权”的衰微,即个人信息主体名义上享有自决权,他人处理个人信息需要经过其同意,实则在数字社会交往规则的影响渗透下,个人信息主体的自决权已经被稀释和替代,个人不再积极主张其权利,而是被网络平台所裹挟,概括同意、推定同意等没有具体“同意”的规则不断创生,使得个人信息主体被塑造为数字“弱势群体”。面向数字时代,个人信息从私域大规模走向公域的客观事实驱动法治理念转型,个人信息不止“关乎己身”,还关乎“他人与公众”,体现公私融合向度的有序共享理念顺势提出,即“原始数据不出域,数据可用不可见”。个人信息数据“可用”对应“共享”,个人信息数据“不可见”(匿名)对应有序,二者之结合与个人信息有序共享理念不谋而合。从本质上看,数字时代个人信息有序共享,核心在于根据个人信息的属性对其自决权进行分层式构建。
在个人信息体系中,可以依据个人信息敏感程度分别设置梯度化的保护规则。一般而言,个人信息的私密性即承载的个人属性分量越重,就越具有高度敏感性和可识别性,其流通共享越依赖于个人信息自决权加以合理限制。根据个人信息的敏感性与可识别性程度,结合《个人信息保护法》等有关规定,可以将个人信息分为核心层、中间层与外围层,并匹配相应的决策规则。
首先,核心层的个人信息具有高度的敏感性与可识别性,在所有类别的个人信息中位于最高序列,理应得到最大保护,处于个人信息主体严格享有“真实自决权”领域,平台不得代位决策,国家应履行“真实自决权”保障义务,这是基于依法保护私人权利的内在要求。核心层的个人信息大体分为两类:一是与人身有关的高度敏感个人信息,如个人的基因序列、个人的行踪轨迹、高度关联人身的生物识别信息等;二是与财产有关的高度敏感个人信息,如个人的银行卡号及密码等。核心层的个人信息由于与个人生活有关,具有高度的识别性和隐私性,与人格尊严具有紧密关联,属于个人并未让渡的权利范畴,专属于个人自决。此类信息因无限接近人格权本身而具有高度的排他性与高度敏感性特征决定了,处理核心层的个人信息不仅需要具备完备的流程,而且其处理场景、用途必须特定化,遵循“一场景一授权”“一用途一同意”的原则,要求每次处理都必须经过独立的授权,大型互联网平台还应当承担“守门人”义务,并尊重“数字人格完整权”,禁止通过算法对核心层的个人信息进行数字化解构与重组。这种“一场景一授权”“一用途一同意”的原则已经写入立法,例如,《反电信网络诈骗法》第16条规定,商业银行有义务妥善保管用户开户信息等财产信息,开户信息和有关风险信息可用于银行经营和反电诈活动,除此之外,任何改变用途的行为必须经过个人信息主体授权同意,否则应当承担侵权责任,情节严重的,还可能构成侵犯公民个人信息罪。
其次,中间层的个人信息具有一定的敏感性与可识别性,它是数字社会中用途最广泛的个人信息类别,处于“拟制自决权”领域,符合个人信息主体利益或数字社会共享规则的处理行为,原则上即具有合法性,这是有序共享理念的具体应用实践。从我国个人信息保护实践来看,针对中间层的个人信息数据流通形成了两项分支规则:一是概括授权规则,即这种概括同意可以是个人信息主体通过在APP或平台点击“同意”按钮、勾选同意框或其他简单的方式表达,将个人信息概括授权给平台处理。其核心在于,用户应当被充分告知其个人信息将如何被使用和共享,并且在理解这些信息的基础上,自愿同意这些使用和共享方式。二是默认推定规则,它是一种更加激进的“拟制自决”策略,虽然符合数字社会的运行规则,但是毕竟缺乏个人真实的自决,应当受到适度限制。根据《个人信息保护法》《著作权法》等相关规定,默认推定规则主要适用于短视频、图片等二次创作领域,即对已公开的包含人脸识别信息等的视频、图片等进行二次创作,没有经过个人信息主体明确授权同意,也不构成侵犯个人信息权利。理由在于,已公开的人脸识别信息因其被公开而本身处于法律较少设禁的状态,在不涉及违法犯罪的场合,二次创作可以形成受保护的著作权,排除行为的违法性。需要特别强调的是,中间层的个人信息虽然无需严格遵循知情同意规则,但无论从立法规范还是国家监管的角度,都应当保障个人信息主体说“不”的权利。换言之,个人信息主体可以明示“不同意”平台或他人处理此类个人信息,此种“不同意”的权利当然属于个人信息主体“真实自决权”的范畴。例如,应用程序通常需要提供一个“拒绝”选项,让用户有机会选择不同意这些条款。只有在用户明确表示同意的情况下,应用程序的处理行为才能被认为是正当且合法的。这种程序设定既体现了对个人信息自决权的尊重,也符合数字时代强调中间层个人信息有限的公共属性。
最后,外围层的个人信息敏感性极低或不具有独立的可识别性,其虽然由个人在数字社会所产生,但在脱离个人之后不会对个人人身与财产产生直接影响,其受保护程度较低,流通共享的限制程度也最低,因而属于“被让渡的权利”,无需赋予个人主体“真实自决权”。例如,个人在网络购物平台浏览网页产生的cookies数据,可谓是个人在网络上的行踪轨迹数据,属于广义的个人信息范畴。然而,cookies数据并不能单独地识别个人的人身、财产等情况,此类信息产生后,平台根据既定的规则和条款,推定用户已经同意了这些信息的处理,获取这些数据进行用户画像和自动化决策,充其量仅具有低度的冒犯。这种低度的冒犯,已经为数字社会交往规则所容许,乃至构成了规则本身,如《个人信息保护法》第24条明确规定允许利用个人信息进行自动化决策,其处理通常无需取得个人信息主体的同意。
综上所述,透过对数字社会个人信息的分层式构建,可以精准区分被让渡的个人信息与被保留的个人信息,从而确立个人信息“真实自决权”的场域与范围,这是数字时代个人信息权利的逻辑基础。由此而论,数字社会个人信息主体“真实自决权”主要针对核心层的个人信息与中间层的个人信息:对于核心层的个人信息,应当赋予个人信息主体完整的“真实自决权”,个人信息主体不仅要“知情”,而且有权利决定“同意”或“不同意”;对于中间层的个人信息,作为数字社会运作的基本要素,应当将共享作为此类个人信息的主基调,赋予个人信息主体说“不”的权利,个人信息主体“不同意”的决策构成了此类个人信息“真实自决权”的内容。
三、保障数字空间个人信息“真实自决权”的穿透性治理模式
数字时代“平台即正义、数据即资产、算法即法律”的观念,扭曲了数字空间个人信息保护的法律秩序,形成三大数字屏障,即平台优势权力、算法技术黑箱与海量数据决策,这是个人信息“真实自决权”衰退的根源。其中,平台优势权力抑制个人信息权利的实现,算法技术黑箱剥夺个人信息主体的认知能力,海量数据决策隐藏侵害个人信息权利的行为,三者叠加的共同结果是,个人信息主体对个人信息处理活动既缺乏“知情”的可能,也没有“同意”的能力。因此,行之有效保障数字空间个人信息“真实自决权”,最为关键的是建立穿透三大数字屏障的治理模式。
(一)穿透平台优势权力:倾斜性保护与国家强监管之确立
在数字时代,平台权力相对于个人信息权利而言是一种优势权力。这种优势主要表现在三个方面:一是信息优势,平台有更强的能力获知个人信息处理的真实情况,通过信息不对称来建立相对于个人信息主体的显著优势,也更有能力阻止利用平台实施或发生在平台的非法收集和处理个人信息行为,预防违法犯罪。二是规则优势,平台实质上是数字社会规则的创建者,通过参与制定数字社会规则的权力,变相抑制、限缩个人信息自决权。例如,许多知名平台的个人信息与隐私政策规范都自己创设所谓的“最终解释权”,以变相褫夺个人信息主体的权利。三是行动优势,平台是数字空间的主动决策者,相对于被动作出同意与否的个人信息主体而言,其时常通过人们不易察觉的方式侵犯个人信息。例如,近年来,有不少平台对个人信息进行大规模、自动化地收集和存储,渐进形成非法获取、非法出售、非法提供、非法利用的黑灰产业链。
平台权力的强势崛起,几乎垄断了个人信息数据处理规则的制定权与解释权,架空了个人信息主体自决权的内核,因此,有必要立足《个人信息保护法》等规定重构个人信息保护体系,使个人信息主体在与平台权力竞争中取得相对优势,以高阶的法律规则和国家强监管穿透平台运行过程,保障个人信息主体对重要个人信息的“真实自决权”,从根本上扭转个人与平台的先天不平等关系结构。
在个人与平台之间,以高阶的法律规则确立对个人信息主体“真实自决权”的倾斜性保护,以矫正二者先天不平衡的格局。为了实现法律对个人与平台关系的矫正,需重点关注两个方面:一是提升大型网络平台对“真实自决权”的保障义务。大型网络平台在与用户的关系中具有绝对权力,一旦出现个人信息泄露等问题,对国家、社会和个人而言都将是灾难性的,其应当承担更高义务。2025年11月22日,国家互联网信息办公室、公安部联合发布《大型网络平台个人信息保护规定(征求意见稿)》,其从大型网络平台认定、个人信息保护专门制度、平台主动报告义务、个人信息数据可携、第三方数据中心外部保障五个方面建构大型网络平台个人信息保护体系。以此为基础,应当提升大型网络平台对个人信息主体“真实自决权”的保障义务,建构以“用户赋权”为中心的合规体系,增强用户对个人信息的控制力和选择权。二是保留应当由个人信息主体真实自决的信息类型。《个人信息保护法》虽然对个人信息进行分类分级,并规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”。然而,由于该法第13条又以“列举+兜底”的方式宽泛地规定了“6+N”种合法处理个人信息的情形,导致敏感个人信息处理规则在实践中形同虚设,平台常以“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”等为理由,突破“知情同意”的框架处理个人信息,褫夺个人信息主体“真实自决权”。这意味着《个人信息保护法》虽然做到了逻辑自洽与规则统一,但也可能存在法律漏洞,即成型法的漏洞,此种漏洞并不减损立法的成功价值,因为“某个时代的实证的‘成型的’法就绝不可能是封闭的、‘无漏洞的’,而毋宁是必然始终都有进行‘漏洞’填补的需要”。为了填补该法律漏洞,应当划出一部分只能通过个人信息主体真实自决才具有合法性的个人信息,其应当具有强人身性或强财产性,前者如个人生物识别信息,后者如个人金融账户密码信息,任何平台都不得以取得个人同意之外的其他理由处理该个人信息,这是个人信息“真实自决权”的排他性禁区。
在国家与平台之间,为了保障个人信息“真实自决权”的有效实现,国家有义务矫正平台权力高阶性与个人信息主体权利低阶性的失衡状态。国家作为强有力的第三方力量,应当以强监管为核心反制平台限制、变相限制个人信息“真实自决权”的行为。国家通过设置平台义务清单等,帮助个人信息主体重新获得“知情”能力与“同意”与否的权利,实现真正意义上的自决权。在数字社会,“仅仅依靠个人行使权利的控制难以实现充分的保护,因为这种控制毕竟是零散而难以规模化,总有相当多的人不会积极行使权利”。无论赋予个人信息主体多少权利,也无法改变个人信息主体与个人信息处理者之间先天的不平等关系,信息、地位与行动的不平等导致个人难以识别平台何种行为会实质侵犯个人信息权利,需要国家穿透式监管建立保障和激活个人信息“权利束”的有效机制。为此,监管部门应当要求平台严格履行高度敏感个人信息数据流动监测义务清单,向用户披露强人身性和强财产性个人信息的流动过程及法律后果,确保用户“知情”能力;与之配套,还应当禁止跨场景、跨用途留存、处理核心层的个人信息,坚守高度敏感性个人信息“一场景一同意”“一用途一同意”的模式,确保用户“同意”权利。借助国家强监管,可以按照三个层次搭建起个人信息“真实自决权”的合理框架:第一层次是,平台在发现高度敏感个人信息数据有跨平台流动、超用途、超场景使用等高风险迹象时,应当告知个人信息主体有关风险事项并发出决策请求,由个人信息主体作出同意与否的决策,保障其“真实自决权”。第二层次是,在无法通知个人信息主体或没有得到确切的决策回应时,应当及时熔断高风险的个人信息数据流动,并向网信部门等主管部门报告,由网信部门对个人信息数据流动情况进行审查。第三层次是,平台未能履行个人信息数据流动监测义务,由此导致个人信息数据跨平台流动、超用途、超场景使用等高风险事项发生的,应当由主管部门进行处罚,并可根据情况限制或剥夺其处理个人信息数据的资格。通过国家对平台进行全流程的强监管,既有效发挥了平台的优势权力,也确立了平台权力的合法边界,督促平台在监督之下正确履行保护个人信息“真实自决权”的义务。
(二)穿透算法技术黑箱:从透明义务到追责机制的体系构建
算法并非法律,其必须在法律框架下运行。算法技术黑箱是横亘在个人信息“真实自决权”面前的第二道屏障。从技术本身而言,算法的首要问题是可解释性偏弱,倘若不经过“翻译”,公众难以理解其隐藏的真实决策含义。从主体角度分析,大量敏感个人信息在算法中被隐秘地决策,而难以被个人信息主体所感知。传统观点认为,算法技术黑箱问题的解决方案在于透明义务,应当要求平台企业和监管部门共同确保算法透明。确实,算法透明是个人信息主体“知情”能力的保障,是作出“真实自决”的前提与基础。目前我国立法关于算法透明义务的规定已经较为完善,《个人信息保护法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等从公开算法基本原理、目的意图、运行机制等方面对算法透明义务作出了系统规定,然而实践证明,只有算法透明义务而没有配套追责机制等同于“稻草人条款”,缺乏制约算法技术黑箱的实质功能。由此而论,有效穿透算法技术黑箱并保障个人信息“真实自决权”,关键在于配套构建民行刑一体化的追责机制。
在民事责任维度,应当设立“算法黑箱条款”无效规则,追究个人信息主体滥用“算法黑箱条款”的侵权责任。在数字时代,有的平台为了隐蔽地超量采集个人信息,人为地设置同意即允许算法隐秘决策的“算法黑箱条款”,这种“算法黑箱条款”实质上滥用了知情同意规则,为了使用某APP或平台,个人虽然知情却又不得不同意,等同于没有自决权。在此基础上,这些平台的应用频繁唤醒麦克风、调用摄像头等,相关记录却被深度隐藏,形成“输入—黑箱—输出”的认知断崖。这种以“算法黑箱条款”被同意之名,超量采集个人信息数据,剥夺了个人信息主体“真实自决权”,依法应当被禁止。换言之,即使用户对“算法黑箱条款”作出同意,该同意也应归于无效,对于平台基于“算法黑箱条款”处理个人信息的行为,用户有权追究其侵权责任。
在行政责任维度,无论算法开发者有无过错,只要造成个人信息权利被侵害结果的,相关平台或企业都应当承担法律责任。算法决策既带来便利,也创设危险,使用该算法的平台客观上是危险的创设者。因此,对于因算法错误而关联到个人信息的收集和处理,有判决指出,“算法输出的结果,归根结底是运用者意志的体现……对算法这一技术的利用本身即创设了危险发生的可能性,故而应当对危险后果承责”,此种意义上的算法责任实质上是危险责任、无过错责任,可以发展成为监管规则。据此,平台或企业算法模型漏洞、算法运行错误、算法黑箱、算法歧视等引发的个人信息侵权,都是对个人信息“真实自决权”的侵害,并触发监管部门的处罚。
在刑事责任维度,对于滥用算法技术黑箱非法获取、非法提供个人信息的行为,应当适度激活侵犯公民个人信息罪。出于保护技术创新之目的,我国刑法对滥用算法技术黑箱非法获取、非法提供个人信息等侵害“真实自决权”的行为并未进行有效规制,算法安全性保障存在缺位,刑法对新侵害形式的制裁存在短板。笔者认为,算法技术黑箱已经被《个人信息保护法》等国家规定否定,符合侵犯公民个人信息罪“违反国家规定”要件;滥用算法技术黑箱侵犯公民个人信息较之其他方式更为隐蔽并具有等质的社会危害性,应当受到刑事制裁。
(三)穿透海量数据决策:构建“用户自决→被遗忘权→用户自决”循环体系
数字社会的有序运转依赖于个人信息数据的收集和处理,海量个人信息数据的汇集形成抑制个人信息“真实自决权”行使的第三道屏障。因为在数字时代,个人与平台之间不可避免地存在利益竞争关系:个人总是尽力维护个人信息的私有性,以让渡最小限度的个人信息权来实现融入数字社会的目标;而平台则朝着相反的方向努力,意在获取海量个人信息以最大程度地掌控数字资源。这种竞争关系导致,海量个人信息数据处理中难免会出现平台刻意为之的侵犯,一些敏感性不高的个人信息收集不被个人信息主体关注,在平台有意组合下形成敏感个人信息,增加滥用风险。
本文认为,在“原始数据不出域,数据可用不可见”理念指导下建构保障个人信息“真实自决权”的信息流动模式,关键在于穿透个人信息流动过程,将个人信息被遗忘权嵌入,构建“用户自决→被遗忘权→用户自决”的“真实自决权”循环体系。理由在于:首先,个人信息“真实自决权”不被尊重,往往不是发生在首次决策,而是发生在首次决策之后。换言之,由于我国立法侧重对个人信息的源头保护,目前绝大多数平台总体都尊重用户的首次决策,按照《个人信息保护法》等规定获取个人信息,这一阶段的个人信息“真实自决权”极少受到侵犯。然而,一旦用户首次让渡个人信息之后,平台有意识地存储个人信息并隐秘地作出决策,这是海量数据决策侵犯个人信息“真实自决权”的主要模式。打破这种不法模式的关键在于,穿透个人信息流动过程,将个人信息被遗忘权作为熔断个人信息非法处理行为的核心手段,要求个人信息处理者在每个场景、每个用途结束后都删除或遗忘个人信息,等待下次使用高度敏感个人信息时需要重新取得个人信息主体同意,这样,个人信息处理者每次处理个人信息都是“首次”决策,有效保障高度敏感个人信息处理始终基于个人信息主体真实自决。其次,“用户自决→被遗忘权→用户自决”循环体系具有合法性。《个人信息保护法》第6条明确规定了个人信息处理的最小化原则,即“限于实现处理目的的最小范围,不得过度收集个人信息”。最小化原则要求个人信息处理的每个环节都要最小化,包括最小化收集、最小化存储、最小化使用、最小化提供等。穿透个人信息处理的全流程不难发现,非法处理的主要环节在于收集、存储,只有熔断平台对个人信息的非法收集、非法存储,才能真正阻断当前个人信息的扩大化使用等对个人信息“真实自决权”的褫夺,这是被遗忘权嵌入循环体系的立法根据。最后,“用户自决→被遗忘权→用户自决”循环体系保障国家、平台与个人三方的可预期性。可以预见的是,在“用户自决→被遗忘权→用户自决”循环体系中,用户自决到被遗忘权熔断是一个最小单元,这样循环往复的决策体系,有效兼顾了国家层面的数字经济发展、平台层面的产业利益和个体层面的权利保护,为个人信息“真实自决权”的实现提供持续稳定保障。
四、结 语
数字空间成为社会生活的“第二空间”已是不争的事实。数字时代新技术新业态有序发展需要以海量个人信息数据作为支撑,个人信息因而从私域进入公域,由此伴随着个人信息数据泄露风险显著提升,个人信息愈发远离“个人”,个人信息主体很难享有《个人信息保护法》规定的“真实自决权”。我国已经处于世界数字经济发展的第一梯队,藉由数字经济发展带来的个人信息逐渐脱离个人而融入社会公共领域的有益经验,可以作为重新审视个人信息权利本身的重要基础。本文提出数字空间个人信息“真实自决权”衰退的命题,并探讨如何在数字时代将个人信息“真实自决权”重新还权于个人,期待对完善数字时代的个人信息保护课题有所裨益。
【作者简介】
夏伟,中国政法大学刑事司法学院副教授。
