个人信息合作保护的可能与限度
作者: 王娅摘 要:个人信息保护是一项需要合作以谋求个人、企业与政府共同受益的复杂法律实践,但各主体间如何参与合作并实现互惠共赢仍面临困窘局面。共享合作行动理论以共享意图为背景框架,通过共同认识与行动、相互回应与支持以及和平开放地解决偏好冲突等路径,对隐私政策的设计、应用与监督这三个过程进行系统性关照与针对性纠偏。这不仅正视了隐私政策现存的诸多无效或不足的境况,而且有效地指引了隐私政策未来的可改进方向。个人信息保护的合作实践可减少信息不对称、认知缺陷、缺乏信任以及多元偏好等情形对个人信息的威胁,但也需要克服主体间权力失衡、态度各异以及目标不一等三方面的不利因素。
关键词:个人信息保护;共享合作行动;共享意图;隐私政策
基金项目:国家社会科学基金项目“核心价值观融入法治建设研究:以公正司法为核心的考察”(17VHJ007);教育部人文社会科学研究专项项目“新时代中国特色社会主义法治思想研究”(18JF210)。
[中图分类号] D913 [文章编号] 1673-0186(2022)005-0099-015
[文献标识码] A [DOI编码] 10.19631/j.cnki.css.2022.005.008
个人信息保护是一项复杂的法律实践,其关系了个人、企业与政府这三类主要的参与者,关联了人性尊严、商业价值与公共管理价值等多元利益,关照了个人信息的收集、存储、使用与分享等生命周期。个人信息的保护离不开参与者在不同阶段的角色互动与利益博弈。因此,个人信息保护的关键在于,将所有参与者的态度与行动置于关系性的考量之中[1]。一方面,个人信息的公共性意味着它的生成与享有都难具有排他性,当人们与他人互动时,他们对自身信息的控制只是相对的,并且“受到他人权利的限制”[2];另一方面,个人信息的开发利用是一个不断产生关系化信息的过程[3],仅依赖某一类参与者的力量远不足以应对信息利用可能引起的风险,甚至可能会加剧知识与权力不对称的风险[4]。
在社会现实数据化程度愈来愈高的背景下,在数据归属导向向数据流通导向转变的趋势下[5],个人信息保护的核心不在于数据归谁所有,而在于如何在维系信息主体基础利益的前提下,有效地通过主体间的合作实现对数据的开发和利用。因此,为了使个人、企业与政府都可以从个人信息的保护与利用中获益,合作而不是竞争就成为个人信息保护的理论想象与实践框架。个人信息保护的相关实践确实也彰显着参与者的各种合作努力,例如MyData计划①、数据共享池、数据合作社、公共数据信托以及个人数据主权等想法与实践[6]。但国内个人信息保护研究的重点关注还不在于此。当前学术讨论主要围绕着个人信息的性质界定、手段取向、理论指引、范式转换以及进路选择等方面展开。这些研究不仅成果颇为显著,而且切实指引着个人信息的保护实践。但由于研究焦点都集中在个人信息本身,都强调主体间的对抗性②,一定程度上就忽略了个人信息保护中主体间合作的可能,以至于以某一主体为中心的个人信息保护体系的建构呈现跛足之势,无法有效地实现个人信息保护与利用的平衡。当然,也有研究彰显着谋求主体间合作的目标与倾向。比如强调个人与企业之间互动的告知—选择机制[7];强调企业与政府之间互动的合作规制思路[8];强调个人与政府之间互动的保障第三人参与权与征求意见程序[9];呼吁政府、企业与个人以沟通及协商为手段的合作治理模式[10];等等。这些研究深深地体现着主体间意图通过合作策略驾驭和驯服个人信息这一新生事物的努力,它们在理论上是合理且有意义的。但它们主要集中在某一类或某两类主体之间探讨,大大地忽略了三类主体之间的互动与碰撞,而且实践中并没有做到驾轻就熟,效果显著③。
出现困窘局面的原因不在于合作的路径不可行,而在于上述努力未能考虑到主体间存在的信息不对称、有限理性、缺乏信任以及合作成本等方面的现实局限性,也未能真正揭示将个人信息保护诉诸合作的目的与要求——互惠共赢。因此,在个人信息保护中,个人、企业与政府如何共同参与活动,实现有效合作,并把我们从可能失败的合作窘境中解救出来,就是一个值得思考并为之努力的永恒主题。本文拟通过共享合作行动理论,在隐私政策的设计、应用以及监督的不同阶段中,规范、指引并评判个人、企业与政府的意图与行动,以审视主体间有效合作的路径,并就可能存在的适用限度加以说明。
一、主体间合作的逻辑指引:共享合作行动理论
共享合作行动(Shared Cooperative Activity,以下简称SCA)来自美国哲学家迈克尔·布拉特曼(Michael E. Bratman),该理论是对一对个体行动者之间的合作活动的理论刻画,但也可能涉及大量参与的行动者,并且可以在复杂的体制框架内进行[11]。
(一)共享合作行动理论的特征与要求
根据布拉特曼的观点,SCA需要满足三个特征:第一,相互回应(mutual responsiveness),在SCA中,每个参与行动者都试图回应对方的意图和行动,知道对方也试图做出类似的回应;第二,承诺共同行动(commitment to the joint activity),在SCA中,每个参与者对共同行动都有一个适当的承诺(尽管可能出于不同的理由),他们的相互回应是在追求这种承诺;第三,承诺互相支持(commitment to mutual support),在SCA中,每个行动者都承诺支持对方的努力,以便其在共同行动中发挥作用。这些相互支持的承诺使我们能够成功地开展共同行动,并对彼此的意图与行动加以回应。
共享意图是合作行动的起点。在布拉特曼看来,共享合作行动理论的展开,依赖于共享意图(shared intention)的达成。共享意图可以作为一个相对固定的背景。借助于共享意图,参与者的共同行动才会成为有确定意图和目标的合作行动。共享意图既非个人意图的简单累加,又非一种超级行动者(super agent)心中的态度,它主要是由团体成员的个人意图及其相互联系所形成的态度复合体,它是一种事态[12],即共同行动的所有参与者都拥有适当内容的态度,且以适当的方式相关联。共享意图被用来协调我们的行动,协调彼此的计划以及提供偏好冲突①时的谈判框架。正是对共享意图的强调,使得参与者的活动相互关联,可以互相回应、共同行动以及相互支持。也正是对共享意图的承认,使得处于共享活动中的参与者彼此负有一种基于承诺或协议的无条件义务②——一种基于相互保证的义务,有助于我们更好地组织并统一调整利益相关者的能动性(agency),以实现预定的目标。
因此,共享合作行动理论还需满足以下要求:第一,共同行动是参与者之间的共同认识,我们意图做某事这一点,对于我们每一个参与者来说是清楚可知的,否则我们就很难说我们有意向共同行动;第二,共享合作行动理论要求有效力的意图,参与者不仅不允许有被强制或受威胁的意图或行动,而且彼此之间还会支持他人意图的有效性③;第三,共享合作行动理论应具有最小协同稳定(minimally cooperatively stable)。稳定有两方面的意涵,一是拒绝重新审思,即通常默认不重新考虑先前的意图,我们选择合作,是因为合作能够降低参与者的审思成本,弥补认知缺陷。因此,共享合作行动就必须是稳定的,让我们只思考如何具体做,而不是要不要做的问题④;二是要求参与者以和平的、开放的谈判方式解决他们的偏好冲突,不破坏彼此的(子)计划以及共享意图的达成①,否则行动就更具竞争性,而不是合作性,竞争的存在意味着参与者彼此之间会阻碍对方的行动,更遑论在他者行动时提供必要的支持②。
(二)共享合作行动理论指引个人信息保护的可行性与必要性
从最广泛的意义上而言,合作可能意味着只是让开彼此的路,或者拒绝欺骗其他参与者。但从人性的角度而言,更积极的合作与协调也是可能的、至关重要的实践[13]。合作问题的特征是:在合作行动中,每一个人的行动都依赖于所有其他人的意图与行动。个人信息保护可被视为一项共同的合作事业。这是因为,只有实现所有参与者之间的联合与互动,不同参与者之间的意图和行动才可以通过协调达致某种程度的平衡,既照顾到个体的人性尊严之价值,又促进了社会的经济和管理之价值。不过,个人信息保护的合作实践足够艰难,以至于单独的个人或少数的群体难以应对,必须利益相关者一起合力解决。在信息化、智能化快速推进的今天,需要考虑共同行动的优势。在实施个人信息保护时,需要把分散的个人或组织的力量以一种有秩序的方式集中起来,以增强抵御信息泄露、滥用以及“千人千价”的大数据杀熟等风险的能力。具体来说需注意以下三个方面:
第一,合作是个人信息保护的重要诉求。首先,合作是对人类心理的真实写照。我们不仅有欲望获得复杂的目标,而且有能力设置这样的目标并提前组织我们的行为。其次,合作立足于对关系性的确认,是为群体成员而设计的,其目的是使所有参与者受制于规范的理性能力,其功能是构建利益相关者的活动,使全体参与者一起努力,以追求善和实现价值的策略。再次,合作有赖于现实条件的造就。信息技术的发展使得许多实体的即时性、响应性和可循性成为可能,许多参与者几乎可以实时协调他们的行动,以实现既定的目标[14]。最后,在个人信息保护领域,一方面,个人信息具有公共性,以至于排除其他人从个人信息中获益不仅难度较大,而且没有效率;另一方面,以单个侵权案件处理为核心的救济路径难以应对大数据时代社会性侵权与系统性风险。因此,个人信息保护的合作实践不仅是可欲的,也是可能的。
第二,既有的“主导—配合”之协作模式拒斥企业和个人的能动性。个人信息的立法实践增加了个人对其信息的控制权,规范了企业基于数据的商业模式,明确了政府在个人信息保护方面的职责。这意味着个人信息保护实践是需要各个主体都为之配合与努力的行动。但在个人信息保护的具体实操中,呈现出由政府强势主导、企业象征性参与、个人被动配合的协作模式。这是合作模式的低级阶段[15],其不仅忽略了国家—社会关系中“强国家、强社会”理念的切实转变,而且造成了个人信息保护策略的僵化开展,是对个人能动性的否认及对企业创新性的遏制,比如全球商业软件公司ESRI与市政府合作的Waze项目[16]。这个项目的意图是,所有各方都受益,因为他们能够轻松地获得原本无法访问的数据。但实际上,合作组织之间存在的互惠关系仅涉及数据持有者,数据主体往往被排除在关系之外,或者最多被描述为被动受益于关系之中。因此,在个人信息保护领域,需要个人、企业与政府共同采取行动,演绎从协作走向合作的新篇章。
第三,目标一致性仍然占据个人信息保护实践的突出位置。虽然主体间达成合意存在较大困难,例如,“禁止追踪”技术就是因为企业、行业组织、用户与政府之间无法达成一致,因而效果不甚理想[17]。但实践效果的不理想并不意味着一致性目标的不重要。对一致性目标的强调是因为:一是只有个人信息保护的合作目标在主体间保持一致性、连贯性和稳定性,才能避开与目标不相容的行动,并确定哪些行为选择是相关的和值得考虑的;二是目标一致性意味着主体间在认知上的相互依赖,成员们意识到这是一种以合作为目的的集体实践,每个人不但对他人有期待,而且也乐意采取合作行为;三是如果缺乏一致性的目标对行为的规范与指引,信息不对称、认知偏见、缺乏信任以及多元偏好等就会对个人信息保护的合作事业产生威胁;四是目标一致性能够缩减主体间的认知差异并减少思考成本、谈判成本以及商议成本等。
20世纪后期以“弱化表达而注重开展行动来获取支持”的社会特征,似乎预示着一个行动主义时代的到来。“共享”冲击着各个学科的知识框架。以法哲学领域为例,有学者声称,现代世界是由“大型共享行动”——群体的行动所定义的世界[18]。因此,我们有必要引入共享合作行动理论,为个人、企业与政府之间的合作实践提供规范和框架。在个人信息保护中借鉴共享合作行动理论,并不只是基于共享合作的可欲性,还依赖于我们是否实际上采纳它们。由于我们不仅欲求实现复杂的个人信息保护的合作实践,也有能力选定这一目标,并随着时间和借助人力而组织我们的行动,以实现这个目标。因此,共享合作行动理论不是唯一的选择,但一定是较好的且有可能实现的选择。
二、共享合作行动理论对隐私政策实践的关照与纠偏
共享合作行动理论的引入是基于信息时代复杂的、充满争议的甚或专断性的环境。但共享合作行动理论构建的只是个人信息保护的理想情境,真正实现还依赖于对合作的意图与行动的进一步细化。这需要深入到个人信息保护实践的内部,包括政策、法规、委员会、合同、服务条款、标准、算法以及其他技术系统,以具体的行动来填充细节。隐私政策①对内是企业治理规范,是企业积极主动地拥抱隐私、承担社会责任的体现,对外则是沟通消费者与企业处理行为的桥梁,是政府监管的重要内容[19]。因此,隐私政策实践就是企业、个人与政府之间良性互动的重要场域。它可被视为个人、企业与政府这三类主体互动与博弈的典型场景。申言之,企业通过隐私政策将自身的个人信息保护实践公之于众,由用户自主决定个人信息是否被收集、利用和共享,而政府可据此对企业的合规实践进行监管。既有的隐私政策研究也表明,此类研究的结果可以帮助企业改进其隐私政策,促使政府制定更好的法规并评估其有效性,并最终教育用户了解行业隐私实践的现状[20]。是以,以隐私政策实践来验证共享合作行动理论的价值与意义具有可行性和必要性①。那么,共享合作行动理论如何嵌入、形塑抑或纠偏隐私政策的设计、应用以及监督等阶段的实践呢?