中国如何建立以“合理预期”为核心的个人信息保护？

在公平信息实践的框架下，一味强化个体信息赋权的信息保护并不一定能带来对个体信息的绝对保护，反而可能为社会治理带来障碍。个体信息的赋权应当以确保信息的合理流通为目标，应当兼顾个体对于其信息流通的预期与社会对于信息流通的预期。

文 | 丁晓东

中国人民大学法学院

公平信息实践（fair information practice）构成了全球个人信息保护的思想渊源与基本框架。对公平信息实践的不同版本进行分析与总结，可以发现公平信息实践确立了以个人信息赋权与施加信息控制者责任的进路。

但不同版本的公平信息实践也有不同。例如，美国的若干公平信息实践版本主要赋予了个体以若干传统权利，而欧洲《一般数据保护条例》则在传统公平信息实践所赋予的若干权利之外，增添了个体对于个人数据的擦除权（“被遗忘权”）、限制处理权、数据携带权等权利。

在各种不同版本的公平信息实践中，中国未来的个人信息保护应当借鉴哪个版本？个人信息保护的道路千万条，哪几条最为根本和必要？

互联网与大数据时代，中国的个人信息保护应当建立以“合理预期”为核心的个人信息保护。

具体来说，应当采取有限个体主义与动态化的个人信息保护，强调平衡个人信息收集、处理和流通中的个体预期与社会预期，强调发挥个人信息的公共性价值与风险防范的个人信息保护进路。

个体信息赋权的反思

公平信息实践的关键之一是赋予个体以隐私自我管理的权利，即让公民个体选择是否允许信息收集者收集其个人信息，经过几十年的发展，这一思想已经成为了很多个人信息立法和学术讨论的基本范式。

但我们如何在理论上看待这种对个人的信息赋权？这种个人信息赋权是否是保护个人信息不可置疑的共识? 在个人信息保护愈来愈重要的当下，是否可以说，法律对个人信息赋权程度越高越好? 答案并非如此简单。

首先，强化个体信息赋权，个体不一定能够合理地保护自身权益。

就个体控制自身信息的手段而言，个体在面对信息收集者收集个人信息时经常遇到“告知-选择”框架，即面对网站等信息收集者的告知而选择同意或拒绝其个人信息被收集。

大量研究已然指出，这一框架愈来愈面临形式主义和异化的困境。

面对网站的隐私公告，个体往往难以理解网站的隐私公告的专业性；个体没有足够的时间阅读此类枯燥的隐私公告；个体对于隐私公告中的相关风险往往缺乏足够的辨识和警觉。对于现实社会中人们阅读隐私公告的多种调查表明，人们几乎很少真正阅读隐私公告。

在这样的背景下，“告知-选择”框架虽然看似赋予了个体以选择的权利，但这种格式化的隐私公告其实并不能真正发挥公告的功能，而所谓的选择其实也并非深思熟虑或有意义的选择。更多时候，公民个体对隐私公告的选择只是一种漫不经心或无可奈何的点击。

值得指出的是，即使法律作出了进一步规定，要求网站所提供隐私公告清晰易懂，也不足以改变“告知－选择”框架异化的困境。

信息收集者对于信息的收集与使用本身就是非常复杂的，隐私公告用语的一般化并不足以改变其信息使用政策的复杂性。如果强行要求网站的隐私公告以简单的政策来表述其复杂的实践，其结果只能导致个体更不能有效地理解信息收集者的隐私政策。

进一步赋予公民以限制处理权等权利也未必能很好地保护公民的权益。

赋予公民被遗忘权、限制处理权等权利意在克服个体在行使初始同意后对其信息的进一步控制，但在实践中，这种对于信息收集后的进一步控制权常常难以行使。公民个体很难理解其信息如何被储存、使用和转移，从而也就很难对后续的种种信息处理行为进行控制。

以Facebook信息泄露事件为例，剑桥分析公司（Cambridge Analytica）利用心理研究的旗号向社会大众收集资料，其后又利用注册者及其朋友圈的个人信息来进行政治等领域的分析。

在此过程中公民个体很难进行察觉，而且即使察觉了也未必愿意及有能力行使反对权。只是在卷入美国政治，并经过新闻媒体的大规模曝光后，Facebook的信息泄露才为大众所察觉。

总之，在信息收集已经极为隐蔽和复杂的今天，完全期待公民个体以行使权利的方式来维护自身的隐私权益，并不是一条特别现实的道路。

从企业与政府等信息收集者与处理者的角度来看，强化个体赋权无疑会增加其成本，而此类成本的增加可能对于真正保护公民的隐私权益并无帮助。在个人信息保护高度依赖“告知-选择”框架与其他权利的前提下，企业可能会将大量资源投入到隐私公告与其他形式主义的合规上。

对于信息控制者来说，只要其通过隐私公告获取了个体同意，并且满足信息使用与处理过程中的个体投诉，那么信息控制者就可以规避法律的风险。至于信息控制者在个人信息的收集、储存、使用与流转过程中是否真正考虑到了个人信息泄露与滥用的风险，并不一定能够成为信息控制者的首要关注点。

一个例子就是在欧盟《一般数据保护条例》实施后，很多网站都以弹框的形式来公告各自的隐私公告，以此来获取个体的同意。但是个体不可能有能力、时间、兴趣来真正阅读和理解如此多的隐私公告。当过多的隐私公告不断出现，与其说给个体提供了选择的机会，毋宁说造成了极大的困扰。

此外，强化个体赋权可能导致个体无法获取有效服务、制定良好公共政策、实现合理信息流通。就企业而言，在缺乏有效个人信息的情形下，企业就不可能有效地为个体提供可能满足其需求的供给，个体则可能会因为缺乏推荐而付出更高的价格。

就政府而言，个人信息的合理收集与使用一直是良好治理的关键，缺乏个人信息与相关数据的汇集，政府就很难制定有效的公共政策，甚至可能会因为相关数据的缺乏而导致治理的失败。

就社会而言，个人信息的合理流通是一个社会正常运转的关键，缺乏个人信息的合理流通，社会就不可能进行有效交流，形成合理有效的社会规范。在所有这些情形中，无条件地强化个体信息赋权无疑会给企业、政府与社会带来信息障碍。

尤其是在引进某些新型权利，例如“被遗忘权”等权利时，如果允许将此类权利绝对化，赋予个人以主张对所有信息控制者以删除其“过时、不相关”个人信息的权利，那么此类赋权将有可能导致公共空间中信息的漏洞，不利于信息的合理流通。

从基本原理的角度思考，强化个体信息赋权之所以存在以上种种问题，关键在于信息与科技时代，相关机构对个人信息的收集、储存与流通已经大大超出了普通公民的个体预期，一个普通公民个体已经很难对伴随信息流通的风险进行预判。

在这种背景下，公民个体并不一定总能很好地行使相关信息权利，对自身的隐私权益进行有效管理。当公民个体行使各种信息权利时，可能同时产生个人信息隐私权益保护不足与保护过度的情况。

当然，上述分析并不意味着对个体进行信息赋权就是错误或无效的，当某些种类的权利建立在公民对于相关风险的合理认知之上时，特别是当此类信息赋权不会影响国家的公共政策与社会的信息合理流通时，此类情形下的信息赋权将能够帮助公民个体更好地进行隐私权益的自我管理，预判和防范有关风险。

例如赋予个体以信息访问权，赋予个体以对被收集的非公开个人信息的纠正权和删除权，这将有利于个体对于其个人信息有更好的知情权和风险管理的权利，确保其个人信息不被不合理地收集与流转。

总之，个体信息的赋权应当以确保信息的合理流通为目标，应当兼顾个体对于其信息流通的预期与社会对于信息流通的预期。

信息控制者责任的反思

公平信息实践的另一核心是对信息控制者（或者说信息收集者与处理者）施加责任。对这些责任进行重新分析，会发现并非所有责任都是合理的，特别是在大数据已经广泛运用的今天，有的责任甚至不太符合信息合理运用与保护的基本原理。

以“目的限定”原则为例，该原则的基本要求在于个人信息的收集应当具有具体的、清晰的和正当的目的，即只能在信息收集时明确其收集目的，并且获得个人的授权，个人信息收集不能超出此边界。

“目的限定”原则的这一规定在前大数据时代有其较强的合理性，在前大数据时代，信息或数据往往是孤立的，对于数据价值的运用通过抽样或单项数据的分析来完成。在这样的背景下，要求信息或数据收集限定于某个目的，既可以实现对个人信息或数据的分析价值，又可以避免信息收集者收集过多的个人数据。

但在大数据时代，信息或数据的打通使用价值已经非常明显，个人信息的价值可能并不仅仅局限于个人，当海量的个人信息价值汇合，就完全可能实现之前难以想象的公共价值。如果严格按照“目的限定”原则来要求收集数据，那么信息或数据就会成为一个个孤岛，并不能集合起来发挥大数据的价值。

存在类似困境的还有“数据最小化”原则和“限期存储”原则。

“数据最小化”原则要求个人信息处理应当是为了实现数据处理目的而适当的、相关的和必要的；“限期储存”原则要求个人信息或数据的储存时间不得超过实现其处理目的所必需的时间。

但在大数据时代，个人信息或数据的价值恰巧在于数据的二次甚至是多次挖掘，而数据的二次或多次挖掘又依赖于数据的海量汇集与沉淀。通过对海量沉淀的个人信息的二次或多次使用，商业机构可以通过此类分析为消费者提供更好的服务，政府或公共机构则可以通过此类数据处理而制定更好的公共政策或开展研究。

个人信息或数据的聚合使用与二次使用在很多例子中都有体现。其中一个例子就是谷歌对于季节性流感的预测。2009年，全球出现了甲型H1N1流感的大范围流行，美国的公共卫生部门通过医院等部门所登记的个人信息进行分析，但结果却不尽如人意。相反，在甲型H1N1流行前两周，谷歌就准确地预测了H1N1流感爆发的范围与传播的趋势，并且其预测性精准到了州。

正如谷歌工程师在《自然》杂志所发表的论文所显示的，谷歌之所以能比美国公共卫生福利部门更为准确地进行预测，就在于其具有海量的信息收集能力，具备了海量的信息沉淀，通过对此类信息（其中很大一部分是个人信息）的分析与挖掘，完成了公共卫生福利部门难以完成的任务。

针对大数据时代个人信息保护的此类困境，大数据专家与信息隐私专家舍恩伯格有过分析，舍恩伯格指出：“大数据的价值不再单纯来源于它的基本用途，而更多源于它的二次利用。”

这首先颠覆了当下隐私保护法以个人为中心的思想：数据收集者必须告知个人，他们收集了哪些数据，作何用途，也必须在收集工作开始之前征得个人的同意。

其次，在大数据时代，“很多数据在收集的时候并无意用作其他用途，但最终却产生了很多创新性的用途”，这就使得政府或企业无法告知个人尚未预想到的用途，如果政府或企业严格按照“目的限定”或“数据最小化”原则来获取个人同意或处理数据，那么这就“限制了大数据潜在价值的挖掘”。

如何既合理地使用个人信息，发挥大数据的价值与潜力，又保护个人信息在大数据时代不被滥用? 舍恩伯格在其著作中提出了若干范式转换，其中之一即是“从个人许可到让数据使用者承担责任”。因为个体难以对个人信息流通的风险进行预判，因此以个体许可或个体同意为框架的隐私保护常常难以奏效。

这里需要补充的是，从信息控制者责任的角度来看，需要强化信息控制者的风险防范规则，确立基于风险防范的个人信息使用规则。“对于一些危险性较大的项目，管理者必须设立规章，规定数据使用者应如何评估风险、如何规避或者减轻潜在伤害。”

在这种基于风险预防与避免伤害的指引下，数据使用者与公民个体都能得到最大的利益保护：数据的使用者将“无须再取得个人的明确同意，就可以对个人数据进行二次利用；相反地，数据使用者也要为敷衍了事的评测和不达标准的保护措施承担法律责任，诸如强制执行、罚款甚至刑事处罚”。

综观公平信息实践的发展以及相关信息隐私法的发展，可以发现预防损害与预防风险的原则逐渐受到重视。

例如2004年的APEC隐私框架就将预防损害作为公平信息实践的首要原则，强调个人信息的收集、储存与流转都必须考虑相应的风险，采取相应的预防措施。

而《一般数据保护条例》则在相关条文中规定了与风险相称的技术与组织措施，风险评估、以及监管机构的风险监管责任，将风险预防放在了更为突出的位置。

迈向合理预期的个人信息保护

公平信息实践总体上为个人信息保护奠定了良好的制度框架，但公平信息实践的某些版本和某些基于此的立法也存在不符合个人信息保护原理的情形，尤其可能不符合大数据时代个人信息的合理利用与保护。

究其原因，在于某些版本的公平信息实践走向了形式主义与异化的道路，将个人信息保护中的个体信息自决逻辑推导至极端，而且忽视了个人信息可能具有的流通价值与公共性价值。

从这种个体主义的、静态的观点来看待个人信息保护，那么公平信息实践就可能既无法保护公民个体的个人信息，又不能合理使用与发挥个人信息的公共价值。

为了避免公平信息实践走向异化，公平信息实践有必要把自身从强化个体信息自觉与对个体信息的静态化保护中解放出来，在认可个体信息流通价值与公共性价值的前提下保护个人隐私权益与相关利益，消除相关风险。

一方面，公平信息实践应当建立在个体的合理预期基础之上，有限度地赋予公民以相关信息权利，避免信息权利的泛化与极端化。另一方面，公平信息实践应当以促进信息的合理流通与使用，促进包括公民个体在内的公共利益为最终目标。

同时，伴随着个人信息的收集、使用与流转的风险日益剧增和难以察觉，信息的收集者与处理者也应当承担更多的风险预防责任，而非仅仅致力于形式主义的合规。

基于以上分析，本文在此尝试提出一个更为符合大数据时代特征的公平信息实践版本:

▌个体合理预期

个人信息的收集、处理与流转应当符合个体的合理预期，尤其是在不涉及公共利益的情形下，当个人信息的收集、处理与流转超出一个社会中正常理性个体的合理预期时，个人信息的收集者或处理者必须对个体进行显著告知，确保个体理解伴随此类收集与处理的风险，并且在此类情形中获得个体的明确授权。

▌访问权、纠正权与删除权

对于未进入公共领域的信息和不涉及公共利益的个人信息，公民个体对其信息具有访问权、纠正权与删除权。对于进入公共领域的信息和涉及公共利益的个人信息，公民个体的访问权、纠正权与删除权将受到相关限制。

▌合理使用与流通

个人信息的收集不应当妨碍社会信息的合理使用与合理流通，当个人信息的收集与使用超出个体合理预期但符合社会公共利益时，应当优先考虑社会公共利益，在考虑社会公共利益的前提下限定个人信息的收集与使用。

▌消费者利益与公共利益优先

个人信息的收集与利用应当以促进社会的整体利益为基础。商业领域的个人信息应当以促进服务的提升和更好满足消费者为目的，避免利用个人信息来无限度榨取消费者剩余;政府对于个人信息的利用应当以促进服务公民与提升公共政策制定为目的。

▌风险预防

个人信息的收集者与处理者应当采取恰当的措施来防范伴随个人信息收集、储存、处理与流转的风险。此类措施应当包括但不限于风险评估、风险预警、分类保护、泄露告知等措施。

本文所提出的公平信息实践版本与个人信息保护进路远非完美，但这一进路至少能够在一定程度上摆脱形式主义的个人信息保护的桎梏，使得个人信息保护既能符合社会对于信息流通的预期，又能满足保护个体权益的预期。

本文改编自丁晓东：《论个人信息法律保护的思想渊源与基本原理—基于“公平信息实践”的分析》，《现代法学》2019年第3期。

声明：本文来自腾云，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。