鲁斯齐/复旦大学法学院
原文刊载于《电子知识产权》2022年第5期
摘要:个人信息被滥用的现象在网络平台关系中最为突出。现有赋权信息主体与约束信息处理者的规范框架都有其局限性。困境背后的监管理论问题在于监管双方之间信息不对称、监管资源局限、对抗性关系形成。采用后设监管有利于化解以上困境,而具有灵活性、底线性、道德性、内生自治性的信息信义义务模式能够有效落实后设监管的动力机制。主体方面,信息信义义务模式的受信主体为所有网络企业,区分重要网络企业与一般网络企业的信义义务严格程度,并将网络用户和网络企业列为共同受益人。客体方面,其客体为信息财产权益,并可通过单独访问权限设置、除外条件设置让信息财产在性质上满足独立性、确定性与同一性要求。内容方面,忠实义务是刚性底线,通过一系列禁止性消极义务防止网络企业侵害网络用户的利益;注意义务鼓励企业向善,在具体的场景中通过“比例原则”与“动态系统论”将积极义务付诸实践。责任承担方面,信息信义义务关于举证责任、共同受托人、归入权的相关规定都有利于威慑网络企业,保障个人信息权益。
关键词:个人信息保护;平台组织;信息信义义务;后设监管
一、引言
个人信息被滥用的现象在网络平台关系中最为突出。近年来,围绕着大型网络平台爆发了一系列事件:Facebook超5亿用户个人数据遭到泄露、亚马逊因使用非公开独立卖家数据被欧盟调查、Twitter承认允许广告商访问其用户的个人数据以提高营销活动的针对性、微信读书软件非法收集使用微信好友列表信息、抖音APP非法获取通讯录等个人信息等,在个人信息保护与数据共享效率多目标交叠绾合的复杂情境下,个人信息保护的路向问题颇需思考。2021年9月14日,中共中央办公厅、国务院办公厅印发了《关于加强网络文明建设的意见》,其中明确提出要强化网络平台责任,落实行业自律,引导网络平台完善内部诚信规范与机制。《法治中国建设规划(2020-2025年)》中也将网络平台作为对法治中国建设的重要组成部分。这都说明网络平台已经深深内嵌入当代经济生活,网络平台中的个人信息保护问题首当其冲、刻不容缓。
数据信托被《麻省理工科技评论》誉为2021年“全球十大突破性技术”之一,其将信托法的理念和制度引入数据治理中,试图打破资本监视主义带来的不平衡权力结构。2016年耶鲁大学法学院教授杰克·M·巴尔金在 《信息受托人与第一修正案》中提出了信息受托人概念,主张网络企业应当向网络用户承担信息信义义务。同年6月,剑桥大学机器学习研究专家尼尔·劳伦斯教授发表的《数据信托可以减轻我们对隐私的担忧》中提出数据信托框架,主张由信托机构作为独立第三方信托人管理监督数据。此后,国内学界也陆续对该理论进行了讨论,但是没有引起足够的重视,并以没有英美法的制度基础为由,对该项制度进行了天然的排斥。目前学界对于信息信义义务模式的研究主要集中在两方面:第一,公共数据流通角度。丁凤玲(2021)通过对个人治理、国家治理、集体治理三种模式进行对比,得出数据信托这种集体治理模式是解决用户和企业之间不对等关系的最佳方案。冉从敬、唐心宇、何梦婷(2021)以管理学的视角,对构建数据信托产品及数据信托整体运行框架进行了系统性分析。翟志勇(2021)对英国数据信托模式和美国信息信义义务模式进行了介绍,并提倡应当在数据流通交易和公共数据管理方面借鉴英国数据信托模式。席月民(2021)立足于安全视角,系统地分析了数据交易流通“入托”和“出托”过程中信托的法律架构和具体运转模式。第二,个人信息保护角度。吴泓(2018)对个人信息主体的困境以及与个人信息控制者之间的不对等关系进行了分析,并提出应当在“信赖”理念下赋予信息控制者信义义务。张丽英、史沐慧(2019)最早将目光聚焦于平台组织,对电子商务平台与用户关于隐私数据形成的法律关系性质属于合同还是信托进行了探讨,并认为我国可以在合同说的基础上建立以信托说忠实义务为核心的原则性的隐私数据处理办法。吴伟光(2021)提出平台组织是新时代的新型基本社会组织,基于平台组织的封闭性和变化性,个人信息的特性导致不适合作为私权保护对象以及政府监管能力和监管成本的约束条件,应当对平台组织内的网络企业课以信息信义义务。冯果、薛亦飒(2020)提出在公法干预之前应当首先穷尽私法救济,信息信义义务模式能够重新平衡信息控制人与信息主体之间的利益与权力关系,解决传统保护路径之维权难问题,并对信息信义义务的法理基础展开充分论证。顾敏康、白银(2022)以弥补“知情-同意”框架的不足为出发点,对信息信义的引入路径进行了具体介绍。解正山(2020)以自动驾驶场景为切入点,提倡从数据主体的隐私自治扩展至数据控制者的自我约束,以信息信义义务增强后者问责性。此外,对引入信息信义义务模式持反对意见的有:邢会强(2021)提出信息信义义务理论的具体适用进行了详细分析,认为在主体、客体、内容等方面都存在内在缺陷,没有必要引入法定信息信义义务,并提倡公法救济。
综而观之,尽管学术界已经出现不少关于信息受托人制度的讨论,但研究多集中于比较法上的制度介绍以及制度引进的学理论证,鲜于从监管视角探究将信息信义义务模式适用于个人信息的理论依据,缺乏对其本土化适用的可行性分析。本文选取个人信息侵权频发的平台组织作为研究对象,在深入分析既有规范下平台组织关系中个人信息保护的困境下,以后设监管理论为理论依据探究信息信义义务模式与个人信息保护的适配性,并从主体、客体、内容、责任承担四个方面对信息信义义务模式的本土化适用进行了可行性探析。
二、既有规范下平台组织关系中个人信息保护的困境
(一)赋权信息主体之局限性
互联网时代,人们的日常生活已经由平台组织深深渗透。网络社会中平台组织已经成为继家庭、政府和企业之后的第四种基本社会组织。 个人信息在平台组织兴起的过程中,实现了辅助功能、信用评估功能、预测功能与个性化服务等三次功能上的转变。第一阶段,信息互联互通时代。个人信息主要起辅助功能,实现平台组织的中介功能,网络企业与网络用户之间的关系属于平等互惠关系。第一阶段平台组织通过互联网这一新兴方式,实现消费者和生产者、销售者的连接、交换。在这一阶段,网络企业主要收集网络用户的身份证信息、卡号、密码、电子账户、地理位置信息、订单信息等基础注册、交易信息等平台内交易所必需的信息。此时的平台还是买方市场,平台需要努力吸引网络用户来满足自身运营需求。第二阶段,大数据时代。个人信息主要起信用评估功能,网络企业逐渐掌握了对网络用户的评估权和制裁权,权力关系渐渐向网络企业倾斜。网络企业意识到信息不仅是维持内在架构的必要条件,信息池的扩张还能引发新的业务增长点,也能在与其他企业进行竞争中保持优势地位。于是,网络企业通过聚集第一阶段收集的个人信息,依托“数据挖掘”、“云计算”等技术,形成信息网络,能够对交易双方的信用状况进行评估,并在此基础上发展出实现企业和个人的借贷担保等金融功能。第三阶段,人工智能与算法时代。个人信息主要起预测功能与个性化服务功能,网络用户成为网络企业的生产资料,双方权力关系进一步失衡。网络用户在平台中留下的一切足迹都成为网络企业生产资料的来源。在信息茧房、算法歧视、大数据杀熟、自动化决策等技术压迫下,网络用户面临着内外部的信息决策困境、控制权失衡以及责任配置的错位。在这一阶段 ,网络用户拥有生产者和消费者的双重身份。互联网对现实生活的渗透,让网络用户完全丧失了议价权,网络用户选择“不同意”要以丧失现实世界日常生活便利为代价。在这场“不同意便退出”的博弈里,网络企业完成了对网络用户的剥削。
可见,在此过程中,网络企业的权力不断膨胀,与网络用户之间的权力关系不断失衡。法律在这个过程中一边面临着对新型生产关系的确认,一边面临着对新兴权利保护的压力。在第一、二阶段,对侵犯个人信息的救济主要通过侵权法实现,即仅对涉及侵犯隐私权和具体人格权,如姓名权、名誉权等具有切实损害结果和明确因果关系的行为进行规制。由于互联网平台上的侵权过程复杂而隐蔽、所涉主体繁多,传统侵权法往往难以承担起隐私保护的重任。在平台组织从第二阶段迈向第三阶段时,保护个人信息主要通过“知情-同意”框架来实现,延续了侵权法的赋权思路,赋予个人信息主体财产权或自决权等积极信息权利,为个人提供选择或选择拒绝企业收集个人信息的机会。但形式平等下的意思自治却隐藏着实质不平等。就网络用户而言,理性的缺乏以及对风险的认识不足,可能导致其没有足够的时间、精力、兴趣、对专业知识的理解能力、对风险的识别能力,因而无法完全理解“知情-同意”协议内容。就网络企业而言,合同框架还可能会增加其在框架内滥用个人信息的可能。单方面赋权给缺乏理性能力和自我保护能力不足的网络用户,极容易让合同意思自治变成企业的单方私人立法。在第三阶段,个人信息保护延续了第一阶段的赋权思路和第二阶段的信息披露思路,主要通过“告知-同意”框架的升级来实现。美国就以消费者权益保护理论作为支撑进行信息披露加强,试图通过改变网络用户与网络企业之间的信息传递方式和信息内容,来加强网络用户信息识别能力和理解能力,比如在协议中提倡平白朴素的语言,清晰明了的协议内容等等。但实证研究表明信息披露的加强对于信息保护的效果微乎其微。
此外,“国家保护义务论”下的宪法规制希望通过引入国家权力来矫正私主体之间的不对等关系。然而在个人信息遭受侵犯的具体场景中,宪法基本权利的确认只能作为个人工具性权利的法源,在私法消极保护力有不逮时进行兜底保护,对个人信息权益的积极利用期待无法做出回应。在笔者看来,个人信息权益基本权利化的主要功能是为建构个人信息保护法律体系厘清源头,构建宪法基础,便于协调各层级各类型的法律规范,并填补法律空白,但对于个人信息的具体保护没有太多助益。
通过分析可以得出上述法律保护都有以下共同特点:第一,都高估了网络用户的理性能力。第二,都是通过赋权网络用户一端试图重新平衡平台组织内部关系。第三,网络用户与网络企业之间的实质平等并未实现。弥补网络用户在个人信息交易市场中的弱势地位无法实现双方关系的平衡,于是法律规制出现向约束信息处理者的转向。
(二)向约束信息处理者的转向
法律对信息处理者的约束主要表现在两方面,一是通过反垄断法中的消费者福利对网络企业进行约束;二是“社会控制论”下通过公法由政府来监管网络企业,从个人信息权属保护转向对行为人的行为规制上。
1.反垄断法保护之局限性
反垄断法对个人信息保护有附属保护和独立保护两种模式。附属保护问题在于,其通过“个人信息—质量—价格—消费者福利”的迂回路线而辗转实现,过程过于曲折,和反垄断法的关联度较弱。独立保护的问题在于将个人信息损害直接等同于信息垄断行为,将个人信息保护直接等同于消费者福利会面临理论缺陷、冲击现有法律规则、法律保护范围扩张带来的立法重叠、部门职权不合理扩张带来的执法冲突等问题。不论是附属保护还是独立保护,反垄断局都会面临繁重的执法压力。在法院诉讼中也会面临消费者主动起诉的举证难、损益分析难等问题。反垄断法主要采用行为规制中的禁止模式,也不是严格意义上的权利保护法,看似保护私人利益,实则是在保护具有公共利益属性的市场竞争,难以激发企业内在积极“向善”的动力。
2.“命令-控制”框架之局限性
“社会控制论”下的公法规制建立在个人信息为公共物品的基础上,信息流通效率和公共安全是社会本位论追求的主要价值。从立法目的来看,“有关立法目的应当是为了公共利益而促进个人信息的共享和使用,而不是直接为了保护个人私权”。社会本位论以公法为主要保护手段,目的在于保护抽象的社会公共利益,个人只能反射性地获得保护。然而,出于公共利益的保护主要是为个人信息的收集、使用、转让等正当流通过程增添了免责事由,通过个人信息的公共产品化来削弱私主体独占大数据资源的垄断现象。但这一方式对个人信息的私权保护并没有得到加强或改善,网络用户和网络企业之间的权力关系依旧失衡。从规制方法来看,主要方法有三种:数量限制、颁发许可证、技术要求。数量限制主要通过限制公司可以收集哪些信息、用于什么目的,或者如何存储、共享或传输信息来识别风险并减少信息库的有害影响。这种方式面临的最大挑战是如何确定提前确定哪些信息的使用对社会有害、应该加以限制。许可证在企业证明其使用的正当性并对受保护群体无害时才会颁发。但许可证监管会带来过重的行政负担、过度保护的倾向、落入形式主义任务陷阱等问题。技术要求法规可能会要求公司采用具有所需属性的信息处理和安全技术,但容易造成“有标准、无监管”的执法困局,甚至有可能形成规制俘获。因此,社会控制论”下的公法规制主要会面临政府监管负担增加、监管能力力有不逮,监管标准难以制定、行政监管难以实现个案正义等过问题。
总结以上公法监管手段,可以发现:第一,容易导致平台组织和监管当局之间形成对抗性关系,限制企业创新。第二,在监管过程中容易面临着监管信息来源有限和监管能力不足的问题。法律只是规制社会现象的工具,个人与社会的安定繁荣才法律最终想要实现的目标。平台组织关系中个人信息处理、公共场所个人信息处理、自动化决策、个人信息的跨境提供等不同场景中,应当优先保护的法益、更适合的处理规则都不一样。各类法律规范各有千秋,我们应当根据具体场景具体社会关系对症下药。采用后设监管有利于对抗性关系的化解,落实信义义务有利于实现原则性灵活性的标准。个人信息中的法益可以视为网络用户对网络企业的信义利益,空泛的个人信息保护义务也可由信义义务进行填充。下文将对后设监管理论下适用信息信义义务之合理性和可行性进行证成。
三、后设监管理论下适用信息信义义务之合理性
20世纪六七十年代,在西方国家对环境、健康、劳工、消费者权益等领域的扩张性政府监管与新自由主义运动之间的张力下,诞生了混合政府监管和非政府干预的回应性监管理论(responsive regulation)。该理论主要涉及两个方面,一是纵向上监管策略的层次区分,也就是强制手段和监管策略的金字塔模型;二是横向上不同监管主体间监管权的分配,包括三方主义、自我监管(self-regulation)、以及部分性行业干预。后设监管理论(meta-regulation)是回应性监管的衍生类型,也有学者称为强化型自我监管(strength self-regulation)。后设监管在本质上是外部监管者有意地诱导监管对象,使其发展其回应公共问题的内部自我监管机制的监管方式。该理论提倡政府把一定的监管权下放给被监管的企业,企业可根据自己的情况来制定规则,再对自身进行监督审查,政府保留对其规则制定的审批权和对企业内部监督执行的监督和裁判权。面对日益复杂的社会生活环境,后设监管理论不再仅仅把被监管者抽象成逐利之上的“经济人”,而是通过“软法”调动被监管者的自身积极性,培养他们的责任感和使命感。从监管理论的角度看,现有个人信息保护框架保护不足的原因在于监管双方之间信息不对称、监管资源局限、对抗性关系形成,从而导致外部监管效果不明显。而后设监管理论关注权力的运行过程、监管过程中监管者与被监管者之间的互动关系、公益和私益的非二元对立,以及多元监管主体之间的协同合作,能够保障信息通畅、最大化利用企业自身监管资源、有效化解双方对抗性关系。正如学者卡里·科格利安、埃文·门德尔森认为,当政府无法及时准确地获得有关监管问题的信息和解决方案时,后设监管可能是最合适的监管策略,尤其是当面临传统监管形式不曾面临复杂挑战情形时。
(一)平台组织的特征决定了我们要适用后设监管理论
第一,监管主体与被监管对象的信息不对称决定了平台组织要适用后设监管理论。监管过程中的信息包括监管规范信息和监管事实信息。一方面,现阶段法律法规的重叠交叉、层级不清,法院判例的态度不一等现象,导致被监管对象在收集监管规范信息时存在信息不对称;另一方面,监管主体内在知识能力与外在采集能力的有限性以及网络企业的封闭性,导致监管主体在收集监管事实信息时存在信息不对称。后者是导致监管双方信息不对称的主要原因。数字经济时代,破坏式创新不断涌现,由于监管主体知识的有限性,监管者对监管科技的探索也需要一个学习过程,具有一定的滞后性,而市场创新总是领先一步。对创新的监管呈现出“一管就死,一放就乱”的现象,要么放松监管,要么进行一刀切治理。与此同时,平台组织呈现出封闭性的特点,内部组织性越强、安全性要求越高的平台组织对网络用户的个人信息要求越多,平台组织之间的排他性越强,外部监管获取内部信息的成本越高。而监管主体的能力局限性与网络平台的封闭性进一步加剧了网络企业的隐蔽行动和隐蔽信息。隐蔽行动是指网络企业影响网络用户利益的行动难以为监管方所觉察或预测。知情同意的弹窗设计、用户画像、自动化决策、定向广告等应用程序的运营框架都由网络企业控制和设计,监管者需要付出高昂的技术成本、密集的关注成本等一系列监管成本才能准确判断某项程序的更改是否侵害到了公民的个人信息。隐蔽信息是指判断网络企业行动合理与否所需的信息难以为监管方所获得。一方面,监管主体随着专业化分工越来越细致,信息时代的专业知识门槛不断抬高,而相较于传统的“命令——控制”式监管方式,后设监管能更加充分地利用监管对象对自身经营生产的知识,构建更科学的内部监管体系,更灵活地应对未知的数字经济挑战。
第二,平台组织更迭换代快、平台组织之间差异化大决定了平台组织要适用后设监管理论。就平台组织自身而言,其形态和功能处在不断变化之中,复杂性和综合性日益提高,平台组织所需收集的个人信息的内容、种类和用途也在不断变化。就平台组织之间而言,各个平台组织的目的、功能、形态都千差万别,不同行业的技术监管需求、信息监管需求等都呈现出极大差异。如果要针对平台组织制定统一的监管标准,在立法技术上难以实现,在立法效果上差强人意,在立法成本上如牛负重。在法治资源的约束下,监管主体对网络企业实行间接监管,鼓励其设立内部监管体制。这样更能实现针对不同形态、不同阶段的监管对象的个性化监管,有效填补监管漏洞,实现全面监管、动态监管,还能更好地平衡生产制度的效率需求与监管制度的安全需求。
总而言之,平台组织的突出特征决定了我们要适用后设监管理论。后设监管的有效实施能够帮助企业从封闭的组织形态转变为开放的组织形态,有效地回应外界的公共价值和诉求,积极地与政府和公众等利益相关方进行对话,更好地践行企业社会责任。
(二)信息信义义务模式能够有效落实后设监管的动力机制
后设监管的建立和运行主要依靠三大动力机制:被监管主体能拥有监管自由、能获得成本—收益的平衡或改进、以及能获得社会认可的激励。后设监管之成效如何取决于其他非监管激励措施和施加在企业身上的外部压力。而信息信义义务可以实现以上目标。具体如下:
第一,信息信义义务的原则性和灵活性能够满足网络企业的自治需求。无论网络企业的形态、功能、目的如何演进,所需要的个人信息内容、种类、用户如何变化,信息信义义务都既可以通过兜底性的规定来包容涵盖未知的内容,体现其原则性;又可以根据个人信息保护的场景化需求,发展出具体的规则和义务,体现其灵活性。在信息信义义务的活动范围内,网络企业都可以按照自身意愿和利益需求建立内部的监管体系。换言之,网络企业获得了一定范围内监管自由的正当性。这种正当监管权的获取是网络企业接受监管的动力之一。同时,信息信义义务模式的总体框架和价值取向,一方面能够防止网络企业的在制定自我监管体系时的偏私倾向,避免网络企业利用监管者赋予其的自由裁量权将自己的偏好转化为正当治理行为;另一方面,能够防止网络企业在我监管过程中的私人腐败,被网络商家等利益集团俘获,在制定、执行规则、运营管理平台时剥削网络用户的利益,发生不公平或者损害网络用户权益的现象。
第二,信息信义义务通过忠实义务设立了底线,只要在底线之上网络企业可以自由制定个性化的成本收益改进方案。个人信息关于保护与流通、安全与效率、私益与公益的抉择是摆在理论实务界面前的一道难题。相比于机械性和细节性的规则,信息信义义务通过兜底性的规定划定红线,反而赋予了网络企业更大的自治空间。网络企业可以结合自身业务形态和运营方式,根据具体的业务场景,制定出耦合监管与生产的个人信息保护方案,实现个人信息的动态保护。通过信心信义义务的循循善诱,网络企业的营利需求有正当满足的渠道,这样既避免了网络企业发生“创造性合规”的现象,又能减少网络企业对网络用户的恶意盘剥,实现公共价值对生产者利益减损的最小化,从而实现社会整体福利的帕累托改进。
第三,信息信义义务的履行能够加强网络用户与网络企业之间的信任关系,提高社会认可度。信任是信义关系的本质。社会认可度来源于网络企业与网络用户之间的信任关系的形成。提升社会认可度除了产品优秀,更重要的是承担了企业社会责任,实现了公共利益。一个企业需要通过树立社会责任心、制定具体实现方法、将有效方法制度化等途径,才能成为积极承担社会责任的“企业公民”(corporate citizen)。而具有原则性和灵活性的忠实义务和勤勉义务不仅是具有社会责任心的初衷,还是有效方法制度化的体现。网络企业对社会认可度的需求能够通过信息信义义务,落实到积极的法律义务之中,承担起将企业社会责任。企业社会责任的承担也能进一步加深网络用户对网络企业的社会认同,从而形成一个正反馈循环。
第四,来自法律诉讼的外部压力能够保证后设监管之成效。如果外部力量来自一个其使命或利益更符合整体公共利益的组织,这应该会使自我监管的结果更接近整体公共利益。法院作为代表公共利益的组织,能建立起网络用户、网络企业、监管主体之间的对话机制。一方面,信息信义义务的适用对于法院而言并不是一项难以完成的挑战。过往的经验表明,是司法而非立法在逐步推动数据财产权的保护,并与平台企业的需求同步演进,因此法院对技术带来的新问题的解决已经积累了足够的经验。另一方面,信息信义义务模式还带来许多优势。举证责任的倒置降低了网络用户的维权成本,信义法威慑性的惩罚能够给被监管对象以警示。法院的判决能及时约束被告网络企业的行为,控制侵害结果之范围,予被侵害网络用户及时救济。规范之治向个案分析的转向,不仅有利于解决规范在实践中被架空的难题,而且有利于防止对信息主体过度赋权给企业带来大量的合规成本,有助于正向激励企业保护用户个人信息。
(三)平台组织的自治能力能够履行信息信义义务并实现自我监管
平台组织在我国承担着国计民生的重任,充分地渗透到了平民百姓的日常生活之中。就被监管者自我监管的客观能力而言,监管知识和自我监管实践的缺乏是困扰我国落实后设监管的两大主要障碍。而平台组织拥有多元的监管技术手段、丰富的监管知识以及充分的自我监管的实践。这都极大地提高了后设监管方案成功的概率。
第一,平台组织拥有多元的监管技术手段和丰富的监管知识,能及时有效地对不法现象作出回应。代码就是网络空间的“法律”。很多时候代码之治反而比传统法律之治更加有效。当制裁网络经营者或网络用户的违规之举时,网络企业能够运用云计算、人工智能、大数据分析、区块链等技术为自我监管赋能。例如,网络企业能够通过大数据跟踪技术及时发现其违规行为,更全面准确地了解纠纷事实情况,通过数据留痕在搜证和取证上获得第一手事实材料,还可以通过冻结账户、停止协议(如封号等)、信誉评价等手段对其进行直接制裁。
第二,平台组织拥有充分的自我监管的实践。在传统的“命令—控制”型监管模式中,被监管对象与监管主体之间缺乏有关监管知识的沟通,监管双方都扮演单一的角色。但在互联网经济兴起的背景下,监管当局给市场较大的自由空间,在实践中已然形成互联网时代的“软法之治”。如阿里巴巴中国网站交易争议处理规则、阿里巴巴国际站知识产权规则、微信公众平台知识产权规则、支付宝争议处理规则、淘宝虚假交易认定与处罚规则、微博谣言与热搜管理规则、微博社区公约等等,在互联网各产业各业务方面积累的丰富的经验,都能帮助平台组织在个人信息领域通过信息信义义务模式向后设监管转型。
四、信义义务适用于个人信息保护的可行性
以上我们分析了既有规范下平台组织关系中个人信息保护的困境、平台组织适用后设监管的原因,以及通过信息信义义务落实后设监管的合理性。下面将从主体、客体、内容、责任承担等四个方面对信息信义义务的具体适用可行性进行分析。
(一)主体方面
信息信义义务的受信主体应为所有网络企业,而包括具有垄断地位的网络企业和不具有垄断地位的网络企业。巴尔金在其论文中提出了信息受托人的定义:第一,当这些组织或个人通过向公众展示其为尊重隐私的主体来赢得人们的信任时;第二,当这些组织或个人让用户有理由相信他们不会泄露或滥用用户的个人信息时;第三,当受影响的个人合理地认为,这些组织或个人基于现有的合理行为的社会规范、现有的执业方式或合理证明其信任的其他客观因素而不会泄露或滥用其个人信息时。通过这三点可以得出,信息信义义务中的受信主体是所有的网络企业,网络企业须对网络用户承担同一内涵的信义义务。全范围适用的信息信义义务在整体上提高了个人信息私权保护框架的问责标准,有利于个人信息的全方位保护。此外,在对所有网络企业全范围课以信息信托义务的基础之上,还可以根据网络企业的不同重要程度,对网络企业课以不同严格程度的信息受托义务。《个人信息保护法》中已经对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者课以了更高的信息保护义务。因此,对个人信息利用程度更复杂、对网络用户利益的影响程度更大、网络用户信赖的合理性更高的重要网络企业,课以更严格的信义义务也是法中应有之义。
有观点认为,信息信托义务的受信主体应当为巨头垄断地位的网络企业。该观点主要从个人信息利用行为对网络用户利益的影响程度来分析。网络企业市场支配力大,网络用户对其的“合理预期”越高,更容易付出信任,再加上巨头垄断网络企业嵌入普通公民生活的程度更高,也就容易形成程度更高的信赖关系。而笔者认为,网络企业的市场支配力的大小对其能对网络用户利益施加的影响并无绝对关系。原因如下:第一,网络用户对所有网络企业都一样容易轻信。在面对繁复的用户协议和隐私条款时, 用户并不会关注协议相对方是大企业还是小企业。网络用户往往容易被新鲜的商业模式、优惠政策、产品介绍等因素吸引,点击同意隐私保护协议仅仅为使用该软件的一个步骤。此外,用户对于新兴网络世界中存在的风险无法理性认知,而且会倾向重视已知的风险而对未知的风险预估不足,比如AI换脸软件ZAO的风靡一时就是一项力证。在互联网世界中,风险是逐步累积的,或许单次信息泄露可能不足以引起后患,而在大数据分析等技术的加持下,成千上万次的不规范行为极有可能造成雪崩。第二,网络企业规模大小与其个人信息利用行为对网络用户利益的影响程度无关。网络企业对个人信息的利用程度主要取决于该企业的技术能力和用户对该软件的需求程度。任何一家小企业,只要能够满足客户的产品需求,就能够让该用户注册该软件并获取其相关信息。第三,小型企业与网络用户之间也会存在控制权失衡,甚至失衡状况更为严重。小企业对个人信息的保护程度更低,往往更容易侵害网络用户的权益。大型网络企业出于维护自身声誉、社会形象等目的,往往在信息数据泄露事件发生之后能够更加妥善地处理。网络用户由于受信息不对称、不完全理性等原因的影响,无法准确识别、比较、选择更优质的个人信息保护协议,即使能够识别,优质的个人信息保护协议也不构成网络用户选择使用某个软件的主要原因。故而,出于成本约束和逐利需求,小型网络企业想要与大型网络企业在博弈中取得竞争优势,并不会选择通过提高自身的个人信息保护政策来吸引用户。
此外,还可以将网络用户和网络企业列为共同受益人。我国《信托法》第43条规定,受托人可以是受益人,仅不得是同一信托的唯一受益人。网络企业与网络用户分享利益并不会于法相悖。个人信息带来的收益由网络用户与网络企业一同分享,不仅可以绕过信息权属问题,而且可以实现对网络企业利用个人信息提高用户福利的激励,实现商业利益、个人利益、社会利益的三重平衡。
(二)客体方面
弗兰科(Tamar Frankel)教授看来,所有关于信义法律关系定义的三个要素包括:财产或权力的委托、委托人对受托人的信任和委托人承受风险。目前,学界均认同网络企业与网络用户之间满足后两点要素看法,但对于是属于财产的委托还是权力的委托持不同观点,主要分为以下两种:第一,信息信托客体权力说。该观点主张网络用户、信息受托人之间成立以权力委托为特点的信义法律关系,这种关系类似于律师与客户、医生与病人之间的信义关系。故该观点未对信托客体的确定性、独立性、同一性进行过多讨论,主要围绕信息主体与信息受托人之间的不平等权利关系展开论证。第二,信息信托客体财产说。该观点主张信息主体、信息受托人之间成立信托法律关系,即符合财产的委托的信义法律关系。该观点认为信息信托的客体是信息财产权益而不是信息本身。这种关系类似于金融机构与客户之间的信义关系。有观点认为信息所有权与经营管理权的分离符合英美法上的双重所有权构造。还有观点认为,无论按照英美法还是大陆法的规定,信息的属性都无法满足信托财产客体应当具备的确定性、独立性。两种学说的差异主要在于对个人信息性质的理解不同。前者倾向于个人信息的人格权属性,强调维持或恢复人格权的完满状态;后者倾向于个人信息的财产权属性,强调实现交易流通和资产的保值增值。笔者认同信息信托客体财产说。目前,互联网聚合信息产生的巨大经济利益已经不容忽视。承认信息的财产权属性有利于信息的流动与共享,从而在流动中获得多元、多维的开发。具体到信息信托模式中,笔者认为其符合信托财产客体的内涵和特点。具体原因如下:
第一,信息信托客体为信息财产权益,信息权利能作为财产利益由受托人持有。 信息财产价值并非来源于信息财产本身,而是来源于当事人的控制行为,这体现为信息主体的信息财产权益。我国《信托法》第14条第三款和第四款分别规定“法律、行政法规禁止流通的财产,不得作为信托财产”、“法律、行政法规限制流通的财产,依法经有关主管部门批准后,可以作为信托财产”。也就是说法律没有禁止或限制流通的所有财产都可以作为信托财产,不受形式的限制。目前,全国已经设立8个数据交易中心,上海已设立数据交易所,都说明我国在实践中已经认可了个人信息财产权益可以成为流通交易的客体。其中,信息信托客体包括原始信息财产权益和衍生信息财产权益。衍生信息类似孳息,包括经过算法加工处理后有新的使用价值的信息和仅因数聚合产生不具备新的使用价值的信息。我国《信托法》第14条规定受托人因承诺信托而取得的财产是信托财产。受托人因信托财产的管理运用、处分或者其他情形而取得的财产,也归入信托财产。说明信托财产中并不区分孳息和原物,都属于信托财产。
第二,可以通过单独访问权限的技术设置让信息财产在性质上满足独立性要求。英美法上的独立性是指在双重所有权背景下独立于受托人的自有财产;大陆法上的独立性是指在一物一权背景下信托财产产生“闭锁效应”,独立于委托人、受托人,不得强制执行等。在数字时代,信息财产的独立性应当解释为是否具备单独的访问权限。网络企业可以将采集到的信息放入不同的信息库中,需要进行大数据分析时进行调取、运营、管理,通过技术设置,信息财产能够实现独立于三方当事人,不会形成受托财产与固有财产的混同。
第三,可以通过设置除外条件让信息财产权益在范围上满足确定性和同一性要求。传统信托法要求信托财产有确定性和同一性的原因,是因为要确定自己的受托范围,为了避免日后的财产纠纷。为了实现这个区分目的,可以从反面对信息财产权益作出除外规定:1.跟其他企业所属的信息财产权益相区分,其他企业收集的信息不属于自身的信托财产2. 跟个人所属的信息财产权益相区分,企业无权访问的信息不属于自身的信托财产。受托人实施信托的过程中,因管理、运用、处分信托财产或者信托财产灭失、损毁等原因,即使原始信托财产在已先后转化为各种不同的形态、分别具有不同价值,但不管形态、价值如何变化,由此产生的代位物均应属于信托财产。也就是说,除上述两项反面条件之外,其余所有用户在该平台活动所必需的个人信息、所产生行为轨迹、经算法加工聚合产生的衍生信息、不具有新的使用价值的衍生信息等,都属于信息信托客体,网络企业都要负担信义义务。
(三)内容方面
网络企业的信义义务以“忠实义务”和“注意义务”为核心:忠实义务通过一系列的禁止性消极义务防止网络企业侵害网络用户的利益,是禁止网络企业作恶的刚性底线;注意义务通过一系列的积极义务鼓励网络企业向善,在具体的场景中通过“比例原则”与“动态系统论”将注意义务付诸实践。下文以网络企业的实际运营为主线,梳理了网络企业在收集、适用、储存管理、分享四个主要场景中的信义义务。具体如下图所示:
1.忠实义务
根据信托法权威米勒(PaulB.Miller)教授的观点,忠实义务可以分为两类禁止规则:第一,利益冲突禁止规则,即禁止受托人出于自身利益行使受托权;第二,义务冲突禁止规则,即禁止受托人在相互冲突的授权下为第三方的利益行使受托权。在平台组织关系中,网络企业是受托人,网络用户是委托人,包括网络经营商与网络消费者。利益冲突表现在网络企业为自身的公司利益而不顾委托人的利益。既表现为网络企业作为自营卖家滥用竞争优势侵害其他网络经营商的利益,如欧盟的亚马逊案,又表现为网络企业对网络消费者实施“大数据杀熟”等行为。义务冲突表现为双边市场中网络企业同时服务于网络消费者与网络经营商,有可能出现网络经营商为付费方(广告收入、精准营销服务收入等)而对网络消费者的利益进行剥削的现象。但笔者认为,网络企业和网络用户之间虽然存在着利益冲突和义务冲突的现象,但并不绝对违反信义法中的禁止规则。
(1)信息信义义务模式不违反“利益冲突”禁止规则
作为信息信义义务模式的主要反对者,Lilian Khan教授认为董事将面临双重信义义务困境,另一方面用户利益优先会与企业的自利需求冲突,这都导致被寄予厚望的信息信义义务化为空谈。但笔者认为信息信义义务模式不违反“利益冲突”禁止规则。具体原因如下:
第一,董事没有面临双重信义义务困境。其一,公司法本身没有对董事课以双重信义义务。公司法上的董事信义义务所施加义务的对象是董事,而不是公司,即董事要对股东至上主义的公司负责。信义法上的信息信义义务所施加的对象是公司,而不是董事,即公司对用户利益负责。也就是说,公司需要同时满足股东利益和用户利益,董事本身并没有被以双重信义义务要求,董事行事时的复杂考量来自要在信息信义义务模式下遵守公司法中对股东的信义义务。其二,公司法赋予了董事基于多重利益行事的可能。公司以股东至上为圭臬,并不意味着董事高管不能为非股东利益考量。充分考虑用户或员工的利益有利于最大化长期股东利益。股东价值具有多元性,公司法不仅保护短期股东利益,而且保护潜在股东的利益,也就是公司长期利益。从长期来看,网络企业的股东利益和客户利益是一致的。所以董事可以同时基于股东利益与客户利益行事。其三,当信息信义义务变成一种法定义务,合规需求下实现用户利益便是公司实现股东利益最大化的应有之义。正如特拉华州衡平法院曾指出,“一个人无法通过使公司违反实在法的方式来履行作为董事的忠实义务。受托人不得选择以非法方式管理实体,即使受托人认为非法活动将为实体带来利润。”当公司有义务为用户利益服务时,股东利益与用户利益实现了统一。信息信义义务中的问责机制还能激励董事更好地基于用户利益行事。
第二,信息信义义务模式可以与网络企业强大的自身逐利需求兼容。Lilian Khan教授认为,企业有强大的自利倾向(如侵略性广告、致瘾性行为等)去违背用户利益,以至于不能承担好信息受托人的角色;如果要承担好信息受托人的角色,不得不对企业商业模式进行根本性的改变。具体理由如下:其一,受托人存在自利激励正是需要用信义义务规制的原因,而不是受托人无法承担信托责任的原因。比如,公司内部本身面临着很多和信义义务有关的利益冲突,如高管薪酬、公司内部部门之间的冲突、公司董事之间的冲突、公司服务客户之间的冲突等等。资产管理行业也面临着强大的经济激励和投机机会,同时企业对客户负有信托责任,而这些自利激励并没有阻碍信义义务的承担。正由于社交媒体公司可能从用户的信息分享行为和致瘾性行为中获得更多的利益,所以需要信息信义义务防止网络企业牺牲用户的利益。其二,信息信义义务并不一定需要对网络企业的商业模式做根本性改变。一般来说,受托责任越严格,范围越广,对组织模式的压力就越大。但信息信义义务模式中对利益冲突的禁止并不意味着绝对的禁止,有些义务可以通过知情同意的方式排除。网络企业可以通过取得用户对冲突的知情同意,或以其他方式来限制违反信托义务的风险,同时实现维护用户利益和满足自身盈利需求。
(2)信息信义义务模式不违反“义务冲突”禁止规则
第一,网络消费者与网络经营商之间可能存在义务冲突现象,但并不代表两者的利益一定会受到损害,并非所有的冲突都要被绝对禁止。信义法作为预防性规则,在禁止冲突方面应当充分衡量监管的成本与收益,成本包括受托人个人损失、因受托人怠于创新给社会带来的损失等,收益包括委托人的收益、受托人未滥用权力带来的收益等。互联网企业对社会生活经济等各方面的提升已经充分证明了信息聚集带来的巨大收益。网络企业在双重授权的情况下,往往能为客户提供更具有消费者福利的产品或服务。平台组织中,网络企业同时服务于两类客户能够带来跨边网络效应,让规模效应同时作用于供给端与需求端。对于网络消费者,网络经营商的增加使得消费者的选择丰富度提升,消费者效用得到提升。对于网络经销商,消费者的增加可以提升其销量,从而提升其收益。对于平台而言,其固定成本得到摊薄,生产者和消费者对平台的需求也在提升。因而形成平台、网络消费者、网络经营商相互促进的良性循环。
第二,禁止受托人为有冲突的委托人服务,并不是保护委托人利益的唯一途径。相比通过禁止受托人为其服务从而防止冲突,我们更应该考虑如何设置机制管理冲突。有学者认为义务冲突有两种类型,一种是受托人一开始就在固有实际冲突的情况下行事,一种是受托人通过采取行动将潜在冲突发展为实际冲突,对于前者可以采用预先授权来豁免冲突责任。在Re Colorado Products Pty Ltd案中,被告是多家公司的董事、实际控制者等多重角色,原告认为被告由于义务冲突违反了信义义务,法官认为被告多重身份的安排是建立在当事方已对其业务进行了结构化的情况下,属于固有的利益冲突,只要当事人预先进行了知情同意授权,并在此基础上订立了相关合同,则不成立义务冲突。平台组织中,网络消费者与网络经营商都对平台组织的双边市场结构有充分的了解,两者之间的冲突属于一开始就有的固有实际冲突,可以在“知情-同意”服务协议中对平台组织对双方委托人的披露范围作出预先约定。此外,澳大利亚《公司法》也规定了在义务冲突时赋予某一方“优先考虑权”,如第961J条规定,零售客户的财务顾问有义务在其知道或理应知道其客户的利益与提供商、金融服务被许可人、授权代表或其关联人的利益之间存在冲突的情况下,在提供建议时优先考虑零售客户的利益。当网络消费者与网络经营商之间面临义务冲突时,可以通过法律赋予平台针对网络消费者利益的优先考虑权。
2. 注意义务
注意义务的模糊性和灵活性刚好与瞬息万变的网络经济发展趋势相契合。对网络企业践行积极的注意义务的要求,能够激励网络企业不断自我调整、积极向善。可以从“尺度”出发,通过比例原则确定网络企业在具体受托场景中是否尽到了应尽的注意;同时,从“要素”出发,通过动态系统论确定网络企业在履行受托义务时应当考量的基本要素或指标,进而能在由这些要素组成的体系中进行综合评价。具体而言:
第一,比例原则的适用。网络企业的注意义务应当与其所拥有的专业知识与技能保持均衡,法官对违反注意义务应当进行合理裁量。在法官形式自由裁量权时,至少有三种不同层次的注意义务可供参考,由低到高的排序为:第一层次的为普通用户的注意水平;第二层次为一般网络企业在其行业中的最低注意水平,即一般的个人信息处理者的一般义务;第三层次为一般网络企业在其行业中的最优注意水平;第三层次为重要网络企业应尽的最低注意水平,此处的重要网络企业对应的是《个人信息保护法》中规定的重要个人信息处理者。《印度个人信息保护法草案》也对数据受托人进行了二级划分,引入了“重要数据受托人”概念,并依据处理的个人信息量、敏感性、数据受托人的营业额、数据处理所造成的个人损害风险、进行数据处理所使用的新技术以及其他因素,认定并告知某些数据受托人或几类数据受托人为重要数据受托人。我国《个人信息保护法》并未对重要网络企业进行定义,可以参考借鉴印度的区分标准。第四层次为重要网络企业在其行业中的最高注意水平。在具体场景中,第一步看网络企业是否达到普通用户的注意水平,若未达到则无须适用信义义务,直接以显著过失为由进行一般侵权追责;第二步区分网络企业是否为重要网络企业;第三步在该类型的网络企业所对应的行业最低注意水平与行业最高注意水平之间滑动,确立一个合理的注意水平。
第二,动态系统论的适用。网络用户对网络企业的信赖建立在受托人的信息处理能力、市场份额、企业声誉、旗下app对日常生活的渗透度等因素之上。可以从主观和客观两方面对注意义务所涉要素进行划分。其一,客观要素,又可分为内部客观要素和外部客观要素。前者包括网络企业经营范围、网络企业信息收集范围、信息收集目的、收集使用程序等要素;后者包括监管政策、市场风险、行业受益、信息披露等要素。其二,主观要素,包括企业信息捕捉、分析、处理能力,企业对个人信息保护的经验的要素。法官在行使自由裁量权时,应综合主客观因素综合衡量,并着重关注主观要素。
(四)责任承担方面
第一,忠实义务所特有的举证责任倒置有利于网络用户进行维权,解决原告的举证难题,平衡双方权力失衡的困境。按照现有规定,网络用户必须收集证据证明自己遭受到实际性的损害结果,且该损害结果与网络企业的侵权行为之间具有因果关系。网络用户由于自身在收集证据、固定证据等举证环节上能力不足,往往因此败诉。据统计,2015年至2020年的个人信息泄露典型案件中有73.7%的案件都以信息主体维权失败而告终。而在信义法规则下的举证责任倒置中,只要存在对法定义务的违反事实,则推定网络企业存在过失,网络用户只需初步举证,网络企业对自身存在法定豁免事由或未违反法定义务负有实质性举证责任。虽然我国《信托法》没有引入英美法系的信托举证责任倒置制度,但2019年《全国法院民商事审判工作会议纪要》第94条规定了资管行业中受托人的举证责任倒置规定。这说明我国司法实践在信托领域适用举证责任倒置规则。让网络企业承担举证责任有利于倒逼其在源头上规范自身行为,促进网络企业在技术安全保障上做好自查,在行为动机上进行自我约束,在信息披露上尽量保持透明,在告知同意规则上做到实质性通知等,从而改善与网络用户之间的关系。
第二,追责主体泛化并不能成为信息信义义务无法适用的理由。有观点认为,信息信义义务会导致追责主体泛化,该观点主要对两种情况下通过信息信义义务追责进行了讨论。第一种情况是同一网络用户的某份信息被数个app收集,即使确定了信息信义义务也无法确定信息泄露主体,也无法确定信息受托人,因此信息信义义务没有价值。笔者认为,在该种情况下,收集信息的app均单独作为信息受托人,不承担连带责任。由于信息具有可复制性,不能简单地等同于物,故网络用户使用每一个app时进行的信息授权,都视为单独的一份信息,而不是同一份信息在不同app之间的流转。因此数个app都与网络用户形成了信赖关系,单独承担受托责任,根据不同网络企业的重要程度、主客观要素不同,所承担的信息信义义务的严格程度不同。第二种情况是同一网络用户的同一份信息在网络企业进行信息流转过程中,在某一个环节泄露。此种情况下,接触到信息但并没有做好信息安全保障义务和保密义务的网络企业,彼此之间承担连带责任。由于信息和网络世界的特殊性,不论对网络企业课以合同责任、侵权责任,抑或信义责任,对信息泄露案件进行追责时都会面临技术上的难题和追责主体不确定和范围广的问题。这并不能说明信息信义义务的适用就是没有正当性和合理性的。相反,通过信息信义义务全方位地提高问责力度,还可以对信息侵权行为起到威慑作用。
第三,作为共同受托人的网络企业负有相互监督的义务,有利于相互检举揭发,更好地维护网络用户的权益。一般来说,共同受托人之间应当相互监督,某一受托人知道其他受托人有损害信托利益的行为,不仅有义务予以反对和制止,而且应当采取适当行动保全信托利益。共同受托人之一知道其他共同受托人的不正当行为,却未采取适当行动予以干预的,也应当承担责任。在信息信义义务模式下,某共同受托人单独违规收集、适用、储存、分享或没有尽到信息安全保障义务而导致信息泄露的,该共同受托人应当单独承担信义义务。其他受托人知道并未采取适当行动进行干预的,也应承担责任。
第四,可以设立以信托法为基础的归入权,通过“利润剥夺”对网络企业实现惩罚与威慑。信义法禁止受信人被通过非法占有受托财产而获得利益,任何因违反信义义务而产生的利益应当归于委托人。网络企业非法收集利用个人信息属于非法占有受托财产,网络企业对这些利益不享有权利,所产生的利益应当归于网络用户,可按照约定在网络用户之间进行分配。对网络企业的惩罚应以其获得的利润为基础,而不仅仅是填平损失。这样既可以避免每个网络用户的损失难以界定的问题,又可以防止网络企业在收集利用个人信息上滥用受托人权力。
五、结语
网络社会也离不开信任,个人信息保护也应该置于群体关系之中思考。适用信息信义义务模式能够有效地化解网络企业与网络用户之间的对抗性关系,激励强势一方获取弱势群体的信任,减轻政府的监管成本,合理发挥网络企业的自治能力和创新能力,充分保证网络用户的个人信息权益。从信任出发调整不平等关系,通过信息信义义务模式,个人信息保护法益能通过信息信义义务模式够落到实处,在本土适用也并不存在绝对障碍。在数字经济来势汹汹、平台组织深入渗透日常生活的今天,不妨采用信息信义义务模式重新实现网络企业和网络用户之间的平衡,更好地保障数字经济时代中弱势群体的利益。
注:因字数关系,注释省略,详见《电子知识产权》刊发原文。
(未经授权禁止转载、摘编、复制及建立镜像,违者将依法追究法律责任)
本公众号定期推送知识产权及竞争政策相关的法律政策与政府文件、最新全球行业信息、国外国防产权动态、原创文章与专家观点、业内高端活动消息、《电子知识产权》(月刊)&《竞争政策研究》(双月刊)文章节选及重磅全文、专利态势发布、中心最新成果发布及相关新闻报道等诸多内容,欢迎各界人士关注!
