信托關(guān)系視角下個人信息處理行為規(guī)則的類型化

史曉宇

（上海交通大學(xué)凱原法學(xué)院，上海 200030）

一、問題：個人信息處理行為標(biāo)準(zhǔn)不統(tǒng)一

數(shù)據(jù)已經(jīng)成為重要的社會公共資源，其商業(yè)開發(fā)利用的價值直接影響數(shù)據(jù)產(chǎn)業(yè)的發(fā)展水平。數(shù)據(jù)之于數(shù)字社會的價值就像線下社會的“氧氣”一樣，是人人都可以呼吸、共享的資源。［1］在數(shù)字社會背景下，人類社會由單一的線下社會走向線下與線上共存的二維社會，人們的身份也隨之具有多重性。［2］以互聯(lián)網(wǎng)為紐帶的數(shù)據(jù)產(chǎn)業(yè)基礎(chǔ)是個人信息處理活動，根據(jù)《個人信息保護法》第四條第二款（以下簡稱《個保法》）對個人信息處理的界定，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。這表明個人信息處理行為是覆蓋信息流動全鏈條的多種不同行為，其多樣性在現(xiàn)實中反映兩方面的問題。

第一，不同的信息處理階段和行為帶給個人信息權(quán)益的風(fēng)險并非一成不變。比如不當(dāng)?shù)男畔⑹占袨橹饕{到個人的知情權(quán)；不當(dāng)?shù)男畔⒓庸ば袨樗a(chǎn)生的預(yù)測和決策行為可能會干預(yù)甚至操縱個人的自主選擇，造成對特定個人或群體的歧視性待遇；不當(dāng)?shù)男畔鬏敾蚬_行為可能會超出收集個人信息時個人的同意范圍，如果被傳輸或公開的信息造成對個人私生活安寧的侵害，可能侵犯個人的隱私權(quán)，如果被傳輸或公開的信息造成個人的社會聲譽降低，還可能侵犯個人的名譽權(quán)；不當(dāng)?shù)男畔h除行為可能無法達到去識別化的要求而侵害個人在網(wǎng)絡(luò)世界中的被遺忘權(quán)。

第二，某一信息處理行為發(fā)生的時間、目的變化以及與其他信息處理行為相聯(lián)系的不同方式，導(dǎo)致帶給個人信息權(quán)益的風(fēng)險并非一成不變。以個人信息的存儲、使用和刪除的聯(lián)系為例，存儲行為發(fā)生的時間和目的會影響司法實踐中法院對個人信息處理行為合法性的判斷。比如在凌某某訴抖音網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案中，被告的一項爭議性個人信息處理行為是存儲其他抖音app 用戶手機通訊錄中原告的聯(lián)系方式等個人信息并與原告匹配而未及時刪除。對此，法院認為，讀取、匹配和推薦行為（即個人信息的使用行為）本身是社交類app 實現(xiàn)社交功能的必要步驟，然而在原告未注冊抖音用戶的時間點即存儲其在其他用戶客戶端內(nèi)的個人信息行為超過合理期限，此后未及時刪除導(dǎo)致個人信息權(quán)益受到侵害的風(fēng)險，因而認定該個人信息處理行為不合法。①參見北京互聯(lián)網(wǎng)法院（2019）京0491民初6694號民事判決書。與該案相反，在劉某訴沈某隱私權(quán)糾紛案中，法院在肯定隱私權(quán)侵害的同時，并未對信息儲存行為作出否定性評價。在該案中，被告沈某在自家房門外墻上安裝了一款360智能門鈴用于記錄門前的影像，導(dǎo)致拍攝資料中記錄了其鄰居原告劉某家人員出入家門的信息。二審判決否定了一審判決認定涉訴行為不構(gòu)成隱私權(quán)侵害的結(jié)論，但對一審法院就原告的信息儲存行為的合法性判斷予以認可，認為涉案智能門鈴拍攝并儲存影像的功能僅當(dāng)相關(guān)人員須在門鈴前逗留一定時間才會啟動，且儲存時間不超過48小時即會自動刪除。因此，二審法院僅判決被告拆除智能門鈴，但駁回了原告要求刪除視頻資料的訴訟請求。②參見北京市西城區(qū)人民法院（2019）京0102民初17657號民事判決書，北京市第二中級人民法院（2020）京02民終1641號民事判決書。

以上問題表明，在《個保法》對個人信息處理行為全過程作出規(guī)定的背景下，司法實踐中對特定個人信息處理行為是否合法的判斷會因信息處理行為類型的差異、發(fā)生場景的差異、風(fēng)險的差異等多重因素而存在不同，即個人信息處理行為的合法性判斷并非簡單的二元判斷，這說明個人信息處理行為規(guī)則需要采用適應(yīng)場景化需求的靈活性規(guī)范模式。不過，具有靈活性的個人信息處理行為規(guī)則同樣需要有內(nèi)在價值統(tǒng)一的行為標(biāo)準(zhǔn)，以便形成具有可預(yù)見性的法律規(guī)則。個人信息處理行為標(biāo)準(zhǔn)的不統(tǒng)一會導(dǎo)致無法為個人信息處理者提供穩(wěn)定的合規(guī)實踐指導(dǎo)，無法讓個人在數(shù)字時代感受到個人信息權(quán)益和隱私權(quán)等人格權(quán)益被保護的安全感，最終會動搖數(shù)據(jù)產(chǎn)業(yè)發(fā)展的基礎(chǔ)。

二、歸因：個人信息處理行為規(guī)則缺乏類型化

（一）現(xiàn)有規(guī)則的評析

1.《個保法》對知情同意規(guī)則定位變化引發(fā)的體系后果

《個保法》第十三條是關(guān)于個人信息處理活動合法性基礎(chǔ)的規(guī)定。在草案三次審議過程中，該條文一直都有變化。草案一審稿第十三條中“取得個人的同意”僅作為和其他情形并列的一項合法性基礎(chǔ)。不過，草案二審稿在原條文基礎(chǔ)上增加第二款：“依照本法其他有關(guān)規(guī)定，處理個人信息應(yīng)當(dāng)取得個人同意，但有前款第二項至第七項規(guī)定情形的，不需取得個人同意?！痹摋l款的增加在文義上解釋的后果是個人知情同意視為一項主要的信息處理行為合法性基礎(chǔ)，而其他情形僅作為知情同意的例外。正式頒布的《個保法》第十三條延續(xù)了二審稿的規(guī)定，這意味著《個保法》又回到了《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十五條提出的“知情同意+例外情形”的信息處理行為合法性基礎(chǔ)設(shè)計。以上立法進程中反映的變化說明在知情同意規(guī)則功能弱化的大背景下其地位再度提升。

從表面上看，將知情同意作為與其他情形并列的一項合法性基礎(chǔ)與“知情同意+例外情形”的合法性基礎(chǔ)，兩種規(guī)范模式不論采取何種，個人信息處理的合法性基礎(chǔ)都不只有“取得個人的同意”一種。然而，兩種規(guī)范模式引發(fā)的體系后果是知情同意規(guī)則在具體的個人信息處理行為規(guī)則中的地位存在顯著差異。具體而言，《個保法》第十三條第二款所形成的“知情同意+例外情形”合法性基礎(chǔ)規(guī)范模式會導(dǎo)致在個人信息處理行為規(guī)則中知情同意規(guī)則的“戲份”過重，隱含的體系影響是整個個人信息處理行為規(guī)則圍繞如何獲取個人的知情同意來設(shè)計，由此偏重于告知義務(wù)的規(guī)范，即通過對個人信息處理者向個人告知內(nèi)容和范圍的要求來鼓勵個人信息處理者積極獲取個人有效的知情同意。

上述體系效應(yīng)造成的后果是對個人信息處理行為規(guī)則缺乏全面的認識。一方面，告知同意規(guī)則只是個人信息處理行為規(guī)則的一部分，并不能涵蓋其所有類型。個人信息處理行為包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，除了每一信息處理行為或階段需要遵循必要的告知獲取個人同意的要求外，還需要遵守特定的信息處理規(guī)范，不同的信息處理行為或階段的信息處理規(guī)范側(cè)重點不同。比如，信息收集行為以必要的告知義務(wù)為主；信息使用和加工行為除了必要的告知義務(wù)，更需要對使用、加工中存在的決策行為的合理性和公平性有所保障；信息刪除行為需要對刪除的方式、程度等去識別化要求提供必要的安全標(biāo)準(zhǔn)。另一方面，告知同意規(guī)則也不是個人信息處理符合行為規(guī)則要求的唯一方式，在告知不能的情況下，獲取個人同意的方式需要有除告知以外的替代性選擇。

2.知情同意規(guī)則的基本立足點不符合類型化導(dǎo)向

類型化導(dǎo)向認為，應(yīng)當(dāng)結(jié)合在不同場景下各要素的變化確定相應(yīng)的規(guī)則，其中必然包含特定的價值判斷，以實現(xiàn)個人信息權(quán)益和信息流通利用兩者的平衡。與此不同，知情同意規(guī)則的基本立足點是價值中立，將信息的控制與處理完全交予個人判斷，這種追求價值中立而不做實質(zhì)判斷的規(guī)則設(shè)計理念看似在個人與個人信息處理者之間不偏不倚，實則有立法者推卸責(zé)任之嫌。知情同意規(guī)則價值中立的立足點容易誘發(fā)功能失靈的惡果。

第一，知情同意規(guī)則建立在對個人決策和選擇機制的錯誤理解之上。這一規(guī)則將個人預(yù)設(shè)為“理性人”，可以作出最符合其經(jīng)濟利益和效益最大化的選擇。然而心理學(xué)的研究成果已經(jīng)表明，人們在作出判斷和決策時不光是理性的產(chǎn)物，在不熟悉或者復(fù)雜的情境下仍然是直覺發(fā)揮作用。［3］不同于“理性人”的概念預(yù)設(shè)，現(xiàn)實中“常人”的決策機制是啟發(fā)和選擇式的，缺乏完全的自主性。［4］因此，出于尊重個人人格尊嚴(yán)，保護個人在信息處理領(lǐng)域自決權(quán)的需要，借助知情同意提高個人在信息處理領(lǐng)域的意志決策參與度，這一規(guī)則設(shè)計的出發(fā)點就違背了個人決策機制的正常體驗。［5］在面對個人信息處理者提供的用以獲取個人同意的個人信息保護政策界面時，受限于啟發(fā)和選擇式?jīng)Q策機制的影響，個人很容易掉入設(shè)計者預(yù)先設(shè)定的方式、過程和結(jié)果中，這意味著結(jié)構(gòu)化設(shè)計的程序很難保持中立，會進一步限制人們選擇的自由。［6］同意的形式化在信息收集中的現(xiàn)實反映是，大多數(shù)用戶在面對冗長的個人信息保護政策聲明時不會認真一一翻閱，而是直接勾選同意，而對于相對謹(jǐn)慎和敏感的用戶群體來說，即使有心閱讀，也會困于“常人”的決策能力限制而不能真正有效作出“同意”。以上現(xiàn)實反映是“常人”非自主的選擇式?jīng)Q策機制作用的必然結(jié)果。此外，有研究表明，對于一個有個人信息保護專業(yè)領(lǐng)域能力，能夠理性決策的人來說，在數(shù)據(jù)經(jīng)濟時代，面對隨時隨地發(fā)生的信息收集行為和由此出現(xiàn)的各種繁復(fù)的個人信息保護政策聲明，如果要閱讀完畢，將造成整體資源效率的浪費。［7］

第二，同意的形式化導(dǎo)致個人信息處理者在很多時候只是表面上對用戶的個人信息權(quán)益保護給予尊重，而實質(zhì)上可能存在以個人信息保護政策聲明為幌子的欺騙行為。知情同意規(guī)則一方面預(yù)設(shè)了個人可以“理性人”的姿態(tài)開展有效的個人信息權(quán)益管理，另一方面也包含了對個人信息處理者的“理性人”預(yù)設(shè)，即愿意為了個人信息處理的合規(guī)需要和企業(yè)長期戰(zhàn)略發(fā)展需求而在個人信息的收集環(huán)節(jié)付出短期的合規(guī)成本。然而，知情同意規(guī)則恰恰忽視了個人信息處理者可能利用用戶與企業(yè)之間的認知勢差而將這種短期成本轉(zhuǎn)嫁給用戶，從而導(dǎo)致知情同意的現(xiàn)實運行只是一種表面形式上對個人信息權(quán)益的尊重。［8］更可怕的是，即使用戶在“告知—同意”的框架下通過付費要求個人信息處理者提供更強的個人信息權(quán)益保護，其最終獲得的權(quán)益保護效果與免費服務(wù)場景下幾乎沒有差異。［9］換言之，知情同意規(guī)則有可能在某種程度上成為個人信息處理者規(guī)避法律風(fēng)險、欺騙消費者隱私期待，最終侵害用戶個人信息權(quán)益的工具和騙術(shù)。

基于以上，知情同意規(guī)則對個人信息主體而言是掩耳盜鈴式的存在，對信息主體幾乎起不到預(yù)想的保護作用。［10］以上知情同意規(guī)則運行引發(fā)的惡果意味著個人信息處理行為規(guī)則應(yīng)當(dāng)摒棄價值中立的范式，回到類型化導(dǎo)向的路徑，沿著不同的坐標(biāo)劃定一條個人信息處理行為審查的界線。［11］

（二）個人信息處理行為規(guī)則類型化的現(xiàn)實價值

1.契合信息處理活動的復(fù)雜性和縱深性

個人信息處理行為規(guī)則類型化適應(yīng)目前信息處理活動呈現(xiàn)復(fù)雜性和縱深化特點的現(xiàn)實需求。信息處理具有過程性，而并非僅體現(xiàn)為收集這一個環(huán)節(jié)。與收集時的用戶同意和選擇相比，后續(xù)的多場景化傳輸?shù)忍幚硇袨槿找娉尸F(xiàn)縱深性的特征。首先，數(shù)據(jù)聚合效應(yīng)導(dǎo)致信息處理本身對個人信息權(quán)益甚至隱私權(quán)侵害的風(fēng)險呈現(xiàn)動態(tài)的變化，某一條信息在被收集時可能不具有侵害個人權(quán)益的風(fēng)險，然而當(dāng)多條類似的信息發(fā)生聚合和深度處理后，可能其識別性特征會發(fā)生改變，從而引發(fā)個人信息權(quán)益侵害風(fēng)險。［12］一種典型的表現(xiàn)是個人信息雖然以識別性為標(biāo)準(zhǔn)而具有相對固定的內(nèi)涵，但是個人信息權(quán)益被侵害卻并非總是以直接觸及具有可識別性的個人信息為表現(xiàn)方式，日益提升的數(shù)據(jù)整合能力提高了在多種場景下發(fā)生個人信息權(quán)益侵害的概率。［13］其次，信息處理的場景化和過程性特征導(dǎo)致后續(xù)的信息處理活動很可能會超出甚至偏離原有收集階段用戶同意的范圍，具有極大的不確定性。最后，信息處理引發(fā)的危害因為其特有的過程性而具有累積性和非瞬時性特征，這意味著最初收集階段的風(fēng)險預(yù)判可能并不能涵蓋后續(xù)信息處理的所有環(huán)節(jié)，甚至從某種程度上講，在“告知—同意”已成行業(yè)共識的背景下，個人信息權(quán)益和隱私權(quán)被侵害的現(xiàn)實威脅并非主要來自收集階段，而是存在于后續(xù)的數(shù)據(jù)組合、使用、傳輸和分享的過程中。當(dāng)日新月異的大數(shù)據(jù)技術(shù)推動企業(yè)的數(shù)據(jù)分析、挖掘和整合能力不斷提升時，這種侵害的累積性特征就體現(xiàn)得更為明顯。

2.重構(gòu)個人與個人信息處理者之間的合作關(guān)系

數(shù)據(jù)經(jīng)濟背景下的個人信息處理活動反映了個人與個人信息處理者之間既沖突又合作的對立統(tǒng)一關(guān)系。沖突性體現(xiàn)為個人信息處理者因資本和技術(shù)的加持而在信息處理關(guān)系中處于優(yōu)勢地位，加上企業(yè)逐利性動機的影響，個人信息處理活動如果缺少必要的規(guī)則、規(guī)范容易對個人信息權(quán)益造成損害，由此導(dǎo)致個人信息處理活動極易與個人信息權(quán)益產(chǎn)生沖突，這也是個人與個人信息處理者之間的關(guān)系容易陷入緊張的主要原因。合作性體現(xiàn)為個人信息處理活動可以挖掘個人信息的經(jīng)濟價值，形成豐富的數(shù)據(jù)產(chǎn)品和服務(wù)，人們受惠于個人信息處理活動，享受相應(yīng)的便捷服務(wù)，體驗科技帶給生活的諸多福音。個人信息處理方式、范圍和目的的合法性與否又直接影響用戶的個人信息權(quán)益保護體驗，最終反映在企業(yè)個人信息處理活動本身的營利范圍上。因此，個人與個人信息處理者之間的關(guān)系有實現(xiàn)合作的可能。

個人信息處理行為規(guī)則的類型化，有助于以個人為中心堅持知情同意規(guī)則的賦權(quán)保護轉(zhuǎn)向以個人信息處理者為中心的行為規(guī)制，這意味著類型化沒有試圖回避個人與個人信息處理者之間關(guān)系的沖突性，而是對每種特定類型下個人信息處理者需要采取的措施進行了周密的安排。因此，個人信息處理行為規(guī)則的類型化可以減少個人與個人信息處理者之間權(quán)益沖突的發(fā)生，通過引導(dǎo)個人信息處理者的合規(guī)實踐增加了個人對個人信息處理者的信任感，從而達成個人與個人信息處理者之間互利共贏的合作關(guān)系。上述信任與合作關(guān)系的確立，意味著在個人信息處理行為規(guī)則設(shè)計中打破了兩種過去的錯誤價值預(yù)設(shè)：一是不再固守知情同意模式對個人理性的過度自負，而是愿意暴露普通自然人的思維認知的弱點；二是不再癡迷于對信息數(shù)據(jù)的控制，而是回歸信息數(shù)據(jù)流動共享的本質(zhì)，使人們能夠通過信息的共享真誠地實現(xiàn)信息交流、表達與利用的價值，從而在個人與個人信息處理者之間建立長期、可持續(xù)的信息關(guān)系。［14］

三、理論：個人信息處理行為規(guī)則類型化的依據(jù)

（一）個人信息處理行為規(guī)則類型化的標(biāo)準(zhǔn)與考量因素

1.效力實現(xiàn)方式作為類型化的標(biāo)準(zhǔn)

法律規(guī)則的效力可以通過兩種方式來實現(xiàn)：一是確定性的評價，具體評價的基礎(chǔ)是行為人是否按照法律要求的行為模式作出或不得作出特定的行為。［15］根據(jù)確定性的評價要求，行為人在該效力實現(xiàn)方式中被施加特定的義務(wù)，具體又可以分為積極的行為義務(wù)和消極的行為義務(wù)，根據(jù)行為人履行義務(wù)的情況，產(chǎn)生肯定或否定評價的法律效果。二是選擇性的引導(dǎo)，即以誘導(dǎo)的方式推動對象群體作出符合社會期待的決策和行為。［16］［17］選擇性的引導(dǎo)可以通過特定方式來影響對象群體的選擇，并確保該種選擇出于其自身的判斷，同時又能使其行為符合社會期待。這種影響并不是強制性的，而是既引導(dǎo)對象群體作出符合社會期待的選擇，也預(yù)留了一定的自由空間允許其他選擇存在。根據(jù)以上法律規(guī)則效力實現(xiàn)方式的區(qū)分，個人信息處理行為規(guī)則可以劃分為確定性評價和選擇性引導(dǎo)兩種類型。前者著力于向特定群體施加遵守或執(zhí)行該規(guī)則的義務(wù)，后者通過為特定群體預(yù)留一定選擇空間的方式促使其可以在特定行為范圍內(nèi)實現(xiàn)遵守行為規(guī)則的效果。通過以上兩種方式，行為規(guī)則達到調(diào)整和塑造該法律主體的行為和生活方式的目的。

2.信息關(guān)系中的信義義務(wù)作為類型化的考量因素

個人信息處理者對個人的信義義務(wù)是基于信息關(guān)系中個人與個人信息處理者之間的信托關(guān)系產(chǎn)生的。按照信托關(guān)系理論，個人與個人信息處理者之間關(guān)系的特殊性體現(xiàn)為“依托—信任”關(guān)系?！耙劳小痹从趥€人處于相對弱勢的地位，其個人信息權(quán)益的保護需要依托于個人信息處理者的合理行為，體現(xiàn)為個人信息處理者應(yīng)當(dāng)履行信義義務(wù)，包括必要的保密義務(wù)、注意義務(wù)和忠實義務(wù)。［18］“信任”意味著雙方是一種合作關(guān)系，而非一方對另一方的絕對服從，體現(xiàn)為個人信息處理者可以在合理的限度內(nèi)通過個人信息處理獲取必要的經(jīng)濟利益，從而形成互惠互利的關(guān)系，以穩(wěn)固雙方信任。［19］1227“依托”關(guān)系是個人與個人信息處理者因信息不對稱導(dǎo)致的實然狀態(tài)，“信任”關(guān)系是巴爾金試圖通過賦予個人信息處理者對個人一定的信義義務(wù)，并保留其必要的活動自由，所希望達到的兩者之間的應(yīng)然狀態(tài)。由于雙方關(guān)系的基礎(chǔ)是信任，因此，個人一旦認為雙方的信任基礎(chǔ)已經(jīng)喪失，可以隨時選擇退出。

巴爾金提出的信托關(guān)系理論是一種重塑數(shù)字時代個人用戶與信息處理者之間失衡的法律關(guān)系的有益思考，其最大價值在于提供了目前數(shù)字經(jīng)濟中欠缺的價值目標(biāo)導(dǎo)向，即需要通過賦予個人信息處理者在具體的信息關(guān)系中向個人承擔(dān)信義義務(wù)的方式，來維持兩者之間的信任關(guān)系。據(jù)此，個人信息處理者在具體的信息關(guān)系中向個人承擔(dān)的主要義務(wù)是不損害用戶利益。［19］1186巴爾金將上述信義義務(wù)的來源歸因于信息主體與信息接收方之間特殊的社會關(guān)系，而并非信息本身的敏感性或私密性與否。［19］1205所謂特殊的社會關(guān)系表現(xiàn)為兩個方面：一是企業(yè)向個人用戶提供的業(yè)務(wù)類型具有特殊性，其底層商業(yè)模式涉及對個人信息的收集、儲存、加工和提供等；二是個人用戶具有對其個人信息受到妥善保護的合理期望，即當(dāng)個人用戶作為數(shù)字經(jīng)濟時代背景下的消費者時，在其向數(shù)據(jù)服務(wù)企業(yè)等商業(yè)實體披露個人信息，特別是潛在的敏感個人信息時，他們有理由相信這些數(shù)據(jù)應(yīng)時刻處于安全狀態(tài)。［20］美國學(xué)者尼德曼（Niederman）進一步將巴爾金提出的信義義務(wù)的來源限定為個人與信息處理者之間默示的信托關(guān)系，即個人用戶與信息處理者之間并不存在明確的合同協(xié)議，而只是在信息處理活動開啟后，雙方進入一種類似于“一方在另一方知情的情況下信任另一方”之后可能發(fā)展出的“默示信托關(guān)系”。［21］

關(guān)于信義義務(wù)的具體義務(wù)內(nèi)容，美國學(xué)者理查茲（Richards）和哈佐格（Hartzog）將維系用戶信任的合格個人信息處理者的行為特征描述為以下四項，即誠實、謹(jǐn)慎、保護和忠誠。［22］第一，值得個人用戶信賴的數(shù)據(jù)服務(wù)企業(yè)的工作人員必須是誠實的：一方面，其向用戶提供的各項數(shù)據(jù)服務(wù)和隱私政策聲明條款必須是真實的且實際被遵守；另一方面，在信息處理活動開展的過程中，數(shù)據(jù)服務(wù)企業(yè)應(yīng)當(dāng)與用戶之間保持必要的溝通聯(lián)系，及時通知重要事項，以保障個人信息主體的知情權(quán)。上述誠實要求將法律規(guī)制的要點放在個人信息處理者身上，而不再苛責(zé)于自然人閱讀和理解復(fù)雜的數(shù)據(jù)服務(wù)條款和隱私政策聲明。第二，值得個人用戶信賴的數(shù)據(jù)服務(wù)企業(yè)的工作人員必須是謹(jǐn)慎的：企業(yè)內(nèi)部的組織機構(gòu)安排、產(chǎn)品設(shè)計研發(fā)在保證企業(yè)必要的商業(yè)運營及主體業(yè)務(wù)開展的同時，應(yīng)當(dāng)充分考慮信息活動開展的隱私安全風(fēng)險，盡可能規(guī)避算法自動化處理給個人人格可能帶來的貶損與歧視。企業(yè)應(yīng)當(dāng)采取必要的技術(shù)保障措施防范數(shù)據(jù)以違背個人用戶利益或其合理的數(shù)據(jù)保護期待的方式被處理，積極評估個人信息處理活動可能對個人造成的影響。第三，值得個人用戶信賴的數(shù)據(jù)服務(wù)企業(yè)必須以保護個人用戶的數(shù)據(jù)安全為重：企業(yè)應(yīng)當(dāng)在合理范圍內(nèi)盡一切努力保護記載個人用戶信息的數(shù)據(jù)免受黑客攻擊，防范數(shù)據(jù)泄露，當(dāng)出現(xiàn)數(shù)據(jù)泄露等各類信息處理安全事故時，及時采取必要的事后補救措施。第四，值得個人用戶信賴的數(shù)據(jù)服務(wù)企業(yè)必須是忠誠的。對用戶的忠誠雖然加大了企業(yè)的商業(yè)數(shù)據(jù)合規(guī)運營成本，但實際上卻符合企業(yè)的長遠發(fā)展利益。數(shù)字經(jīng)濟發(fā)展的基礎(chǔ)就是個人信息，只有海量的個人信息處理可以帶來多樣的數(shù)據(jù)產(chǎn)品和與此相關(guān)的多種商業(yè)盈利模式創(chuàng)新，特別是對于面向個人用戶的B2C 企業(yè)，打造良好的企業(yè)與用戶關(guān)系，維護業(yè)已形成的客戶群體和生態(tài)，是事關(guān)企業(yè)發(fā)展的重要環(huán)節(jié)。因此，法律應(yīng)當(dāng)鼓勵數(shù)據(jù)服務(wù)企業(yè)在日常商業(yè)經(jīng)營中保護個人用戶的利益，并將用戶的利益置于企業(yè)的短期利益之前。企業(yè)對個人用戶忠誠度的培養(yǎng)借助于法律層面的制度性激勵來引導(dǎo)不僅有利于企業(yè)的持續(xù)發(fā)展，也能夠構(gòu)建良好的數(shù)字經(jīng)濟產(chǎn)業(yè)生態(tài)。

上述四重信義義務(wù)的要旨已經(jīng)隱含在個人數(shù)據(jù)保護領(lǐng)域的重要司法實踐中，并在世界范圍內(nèi)的個人數(shù)據(jù)保護立法中有所體現(xiàn)。申言之，個人與個人信息處理者之間基于個人提供個人信息、企業(yè)在信息處理中承擔(dān)必要義務(wù)的個人信息處理行為模式已經(jīng)為實踐所接受，只不過上述具體義務(wù)尚缺少一個概念來統(tǒng)合，導(dǎo)致相應(yīng)的個人信息處理行為規(guī)則相對散亂。因此，如果能夠引入信任的理念，并通過四重信義義務(wù)的整合，可以實現(xiàn)對個人信息處理行為規(guī)則的統(tǒng)合和類型化。目前，已經(jīng)有美國學(xué)者提出將上述信義義務(wù)轉(zhuǎn)化為法律層面明確的法定義務(wù)，從而構(gòu)建完善的基于信托關(guān)系的個人信息處理行為規(guī)則體系。［23］通過上述手段，一方面可以彌補原有的以個人為中心的隱私控制保護框架的不足，為個人信息處理者導(dǎo)入在信息處理過程中的程序性義務(wù)，從而扭轉(zhuǎn)在數(shù)字經(jīng)濟背景下個人與個人信息處理者兩者關(guān)系的失衡，保證傳統(tǒng)的主體性自由等實質(zhì)價值的實現(xiàn)。另一方面，在既有的個人數(shù)據(jù)保護規(guī)則基礎(chǔ)上通過導(dǎo)入忠誠的理念，可以進一步填充個人信息處理行為規(guī)則的內(nèi)容，為個人信息主體提供實質(zhì)性保護。由于我國不存在默示信托，因此通過法定義務(wù)的方式導(dǎo)入信托關(guān)系理論意圖實現(xiàn)的價值目標(biāo)是更切實的選擇。法律規(guī)則的設(shè)計者和適用者本著不損害用戶利益，合規(guī)化開展個人信息處理活動的理念，需要對個人信息處理者的具體行為規(guī)則進行全方位、全流程的類型化建構(gòu)，為個人信息處理活動提供明確的行為規(guī)范指導(dǎo)，從而確保個人信息處理者信義義務(wù)的履行，遵守信息處理活動中的商業(yè)誠信，維護個人與個人信息處理者之間的信任托付關(guān)系。

（二）個人信息處理行為規(guī)則類型化的具體方式

個人信息處理行為規(guī)則是一般規(guī)范性法律規(guī)則在個人信息處理領(lǐng)域的具體化。通說認為，規(guī)范性法律規(guī)則的核心構(gòu)成要素是行為模式與法律后果，法律的規(guī)范話語邏輯即主體的某種行為滿足某種情境或條件時應(yīng)當(dāng)承擔(dān)某種法律后果。［24］相應(yīng)的，個人信息處理者的行為規(guī)則以法律規(guī)則中的行為模式為主要內(nèi)容，根據(jù)法律規(guī)則效力實現(xiàn)方式的類型化標(biāo)準(zhǔn)，個人信息處理行為規(guī)則包括應(yīng)為模式、勿為模式和可為模式。前兩者是確定性評價類型，分別賦予個人信息處理者積極和消極的行為義務(wù)；后者是選擇性引導(dǎo)類型，為個人信息處理者提供了推薦性的行為方案，同時預(yù)留了個人信息處理者選擇其他方案的必要空間。在可為模式下，個人信息處理者的行為模式來自于法律的引導(dǎo)，同時可以獲得必要的激勵，以促進數(shù)據(jù)企業(yè)在日常業(yè)務(wù)運營中積極開展自身數(shù)據(jù)合規(guī)體系建設(shè)?，F(xiàn)就個人信息處理行為規(guī)則類型中個人信息處理者的義務(wù)內(nèi)容、范圍和自由選擇的空間詳述如下。

1.應(yīng)為模式

應(yīng)為模式下個人信息處理者應(yīng)當(dāng)履行兩項積極的行為義務(wù)。第一，個人信息處理者應(yīng)當(dāng)履行積極的告知義務(wù)，具體包括需要告知的內(nèi)容和告知的方式。實踐中，履行告知義務(wù)在個人信息處理的整個過程中都存在一定的風(fēng)險和困難，即不光包括信息收集階段的告知，還包括后續(xù)加工、提供等環(huán)節(jié)的告知，甚至應(yīng)當(dāng)涵蓋發(fā)生數(shù)據(jù)泄露等安全事故時極端場景下的告知。由此，個人信息處理者告知義務(wù)下有關(guān)具體告知內(nèi)容和方式的規(guī)范是對其最基本的行為要求。同時，側(cè)重于告知義務(wù)的規(guī)范設(shè)計可以規(guī)避知情同意規(guī)則中判斷個人主觀是否“知情”的困難，轉(zhuǎn)而走向客觀層面相對清晰的對個人信息處理者應(yīng)當(dāng)采取的必要行為的要求。［25］在個人信息處理過程中，除了以獲取個人同意為主要目的，個人信息處理者履行告知義務(wù)也需要提示個人可以隨時撤回同意，因為兩者之間建立的“信托”關(guān)系是個人自主選擇的結(jié)果。因此，個人如果認為將其個人信息繼續(xù)交由個人信息處理者處理不能讓其產(chǎn)生“信任”感，應(yīng)有權(quán)決定退出相應(yīng)的信息關(guān)系。

第二，個人信息處理者應(yīng)當(dāng)履行全方位的安全保護義務(wù)以保證個人信息安全。信息主體與信息接收方之間“信托”關(guān)系的存在要求信息接收方的首要義務(wù)即是對信息內(nèi)容的保密。［26］這意味著保密義務(wù)存在的前提是信息主體與信息接收者之間達成明確的約定以促成雙方“信托”的發(fā)生。［27］信息流動過程中，特別是信息收集者將個人信息傳輸給第三方主體時，需要考慮對個人信息權(quán)益的保護。首先，信息傳輸行為應(yīng)當(dāng)符合信息收集的目的和范圍，信息收集在獲取個人知情同意后，其后的信息傳輸應(yīng)當(dāng)限定在相應(yīng)的同意范圍。［28］37其次，無論是信息的傳輸者還是獲取信息的第三方，都應(yīng)當(dāng)采取必要的保密措施以防范對個人身份和行為的識別。對此，具體的方式有去識別化技術(shù)的引入和禁止第三方對去識別化信息的再次識別。［29］再次，針對對個人信息主體有高度隱私安全風(fēng)險的個人信息處理活動（如利用算法開展的自動化處理活動、對特定種類的個人信息開展的處理活動、對可公開獲取的個人信息開展的系統(tǒng)性和實時性監(jiān)測活動、對數(shù)量巨大的個人信息開展的大規(guī)模處理活動等等），在進行個人信息處理前，應(yīng)當(dāng)及時開展安全影響評估活動。最后，個人信息處理者應(yīng)當(dāng)通過日常的組織人員管理和必要的程序流程優(yōu)化，為保障個人信息的數(shù)據(jù)安全提供必要的輔助和支撐。

2.勿為模式

勿為模式下個人信息處理者應(yīng)當(dāng)履行消極的行為義務(wù)，包括個人信息處理活動不得操縱個人選擇、不得造成歧視性待遇。個人信息處理活動雖然不必事事遵循知情同意規(guī)則，但是需要尊重個人的信息自決權(quán)。歐盟GDPR 的立法理由書第1 條規(guī)定了個人數(shù)據(jù)處理時對個人的保護，被視為一項基本權(quán)利。美國對個人信息的保護采取隱私權(quán)模式。隱私權(quán)體現(xiàn)了對個人自治和獨立尊嚴(yán)的維護。統(tǒng)觀兩大法系的個人信息保護規(guī)制，對個人信息的處理活動需要尊重個人的獨立自由，在消極層面上體現(xiàn)為不得操縱個人選擇和不得造成歧視性待遇。

操縱個人選擇是通過利用個人思維方式的局限而實質(zhì)性地“繞過”個人自主決定的影響，因此并非顯著的強制。在信息收集階段，個人信息處理者提供的基礎(chǔ)數(shù)據(jù)服務(wù)或產(chǎn)品不能以不當(dāng)?shù)那爸眯詶l件作為個人享受該服務(wù)或產(chǎn)品的前提。比如，金融機構(gòu)提供消費者非常青睞的服務(wù)，如果拒絕共享信息則無法獲得相應(yīng)的主賬戶和信用卡服務(wù)，出于這種“壓迫”客戶可能會同意金融機構(gòu)提出的條款。對此，美國《加州消費者隱私法案》規(guī)定，企業(yè)不得以消費者在其經(jīng)營的線上或線下開設(shè)賬戶作為行使其各項信息控制權(quán)的條件。對于沒有賬戶的消費者，企業(yè)應(yīng)根據(jù)消費者的選擇通過郵件或其他電子方式披露。①CCPA§1798.130（a）（2）.§1798.135（a）（1）.在信息加工階段，個人信息處理者基于算法對個人的網(wǎng)頁搜索記錄、生活軌跡信息進行分析，可以誘導(dǎo)個人信息主體作出選擇，甚至對其行為作出預(yù)判，干涉其決策自由。［30］此外，在實踐中，個人信息處理者對特定信息處理結(jié)果的展示和說明方式都可能影響個人的選擇。因此，搜索引擎對用戶檢索結(jié)果的排列方式、順序和具體內(nèi)容的展示只能基于檢索相關(guān)性，以促進搜索服務(wù)最優(yōu)化為依據(jù)，而不能試圖潛在地影響人們對最終信息內(nèi)容的選擇。②國外曾有研究發(fā)現(xiàn)，使用蘋果產(chǎn)品上網(wǎng)的用戶更傾向于選擇價格昂貴、豪華的酒店，而使用PC終端的用戶傾向于選擇價格相對低廉、無裝飾的住宿。相應(yīng)地數(shù)據(jù)企業(yè)會利用這些數(shù)據(jù)分析和挖掘得出不同群體的消費傾向，為這些機器的用戶在通過網(wǎng)絡(luò)搜索時提供個性化的搜索結(jié)果排列優(yōu)先順序。參見Dana Mattioli,On Orbitz,Mac Users Steered to Pricier Hotels,Wall Street Journal,Jun.26,2012,at A1。

不得造成歧視性待遇產(chǎn)生的背景是，現(xiàn)代網(wǎng)絡(luò)環(huán)境下的個人信息處理者不僅收集和記錄個人信息的細節(jié)，還將眾多匯總的信息數(shù)據(jù)組織起來用于深度的數(shù)據(jù)分析和挖掘，以便為有關(guān)機構(gòu)采取行動提供基礎(chǔ)。［31］人工智能時代背景下，社會秩序發(fā)生改變，人類正在進入一個信用評級社會。［32］換言之，系統(tǒng)收集的個人信息為各機構(gòu)確定對各人給予何種待遇提供了依據(jù)。不得造成歧視性待遇是指要求個人信息處理者在信息處理時不得基于年齡、性別、種族等而向用戶提供不同的服務(wù)或價格，不得設(shè)置特定的標(biāo)簽將用戶進行不必要的區(qū)分。［28］26美國《加州消費者隱私法案》中的若干規(guī)定集中反映了上述要求：該法案明確反對價格歧視，不過同時也指出信息交換價格的差異可以反映在信息內(nèi)容質(zhì)量的層面。①CCPA§1798.125（a）.§1798.125（b）（1）.這意味著在信息交換活動中，隱性的歧視風(fēng)險仍然存在：當(dāng)個人信息處理者收集大量的個人信息后，會基于信息主體身份、行為等不同的特征標(biāo)簽對信息分類并進一步深度分析，由于個人信息處理目標(biāo)的不同，導(dǎo)致某一信息內(nèi)容價值在不同個人信息處理者視角下有高低之分，某一特征標(biāo)簽下的信息可能對特定數(shù)據(jù)產(chǎn)品或服務(wù)及其他企業(yè)機構(gòu)、廣告商的利潤增長價值功效更大或更小，由此形成潛在的歧視性待遇。［33］因此，信息交換價格的差異應(yīng)當(dāng)僅限于由市場需求高低導(dǎo)致的結(jié)果，個人信息處理者不能基于對身份及其他個人私生活習(xí)慣傾向的深度數(shù)據(jù)分析和挖掘來引導(dǎo)市場需求的變化。［28］31綜合以上分析，不得造成歧視性待遇的規(guī)則并非一成不變的靜態(tài)標(biāo)準(zhǔn)，相應(yīng)信息特征標(biāo)簽需要結(jié)合實際情況定期動態(tài)評估，以更好地確定何種自然人群體更有可能遭受算法決策的歧視。

3.可為模式

在應(yīng)為模式和勿為模式之外引入可為模式主要出于以下幾個方面的考慮：第一，規(guī)則效力實現(xiàn)方式的應(yīng)然邏輯完整性要求應(yīng)當(dāng)將可為模式引入個人信息處理行為規(guī)則類型中，即以確定性的肯定或否定法律評價為基礎(chǔ)形成的個人信息處理行為規(guī)則的應(yīng)為模式和勿為模式并不能涵蓋法律規(guī)則效力實現(xiàn)方式的所有類型。第二，應(yīng)為模式和勿為模式的實施效果很難盡善盡美，以告知義務(wù)和安全保護義務(wù)為基礎(chǔ)的應(yīng)為模式在現(xiàn)實中會增加企業(yè)個人信息處理活動的合規(guī)難度，企業(yè)將不得不每時每刻考慮如何告知、如何獲取用戶的同意，這在個人信息處理者與個人沒有連接點的場景中極其尷尬。事實上，很多個人信息的收集是在與個人沒有連接點的情況下進行的。②一個典型的實例是企業(yè)通過在電梯空間中放置類似于LED的廣告，內(nèi)嵌了對人體眼球的捕捉裝置，可以分析測算每個電梯中的人對播放的每段廣告視覺停留的時間，從而判斷個人潛在的消費需求偏好，以便未來精準(zhǔn)的廣告投放。此外，信息傳輸中的第三方主體獲取個人知情同意也并不容易。以上現(xiàn)實困境要求在特定的場景下對個人信息處理者提供替代性的選擇方案，從而避免單一通過確定性評價的效力實現(xiàn)方式導(dǎo)致個人信息處理行為規(guī)則的僵化。第三，個人與個人信息處理者之間“依托—信任”關(guān)系下“信任”的內(nèi)在要求。個人對個人信息處理者“信任”的建立方式并不局限于履行法律義務(wù)的方式，還包括引導(dǎo)個人信息處理者遵守推薦性的行業(yè)標(biāo)準(zhǔn)和習(xí)慣?！靶湃巍标P(guān)系并不排斥個人信息處理者通過個人信息處理活動積極地獲取自身的商業(yè)利益，只是應(yīng)當(dāng)對個人有所“補償”，而具體經(jīng)濟補償?shù)姆绞竭x擇即體現(xiàn)了可為模式下為個人信息處理者預(yù)留的空間。第四，引導(dǎo)數(shù)據(jù)服務(wù)企業(yè)開展數(shù)據(jù)合規(guī)體系構(gòu)建的制度性激勵需要針對不同的企業(yè)類型、業(yè)務(wù)類型及數(shù)據(jù)處理和保護能力的差異進行彈性化、場景化的安排，而非一刀切的肯定或否定模式。具體而言，首先，需要以明確的“應(yīng)為”“勿為”為數(shù)據(jù)服務(wù)企業(yè)提供行為指引，劃定相應(yīng)的行為準(zhǔn)則和禁區(qū)；其次，針對承擔(dān)重要數(shù)據(jù)服務(wù)職能、用戶群體龐大的大型個人信息處理者應(yīng)當(dāng)設(shè)置額外的義務(wù)要求，以維持網(wǎng)絡(luò)數(shù)據(jù)平臺內(nèi)良好的競爭秩序；最后，需要為數(shù)據(jù)服務(wù)企業(yè)開展業(yè)務(wù)創(chuàng)新、推動產(chǎn)品迭代升級預(yù)留必要的空間，允許新技術(shù)、新應(yīng)用適用專門的規(guī)則和標(biāo)準(zhǔn)。第五，可為模式中的經(jīng)濟補償手段為個人信息主體提供了一條可以享受信息紅利的路徑。雖然單條個人信息的財產(chǎn)價值有限，但是個人信息主體確是數(shù)據(jù)經(jīng)濟發(fā)展的源頭，借助于經(jīng)濟補償或經(jīng)濟激勵，個人信息主體可以切實享受到數(shù)據(jù)經(jīng)濟發(fā)展的福利。［34］

在個人信息保護中引入經(jīng)濟補償?shù)姆绞?，將其在特定范圍?nèi)作為應(yīng)為模式和勿為模式的補充類型，在一些國外法律文件中已經(jīng)獲得承認。比如美國《加州消費者隱私法案》規(guī)定企業(yè)可以通過向消費者提供補償?shù)冉?jīng)濟激勵的方式開展信息收集。①CCPA§1798.125（b）（1）.經(jīng)濟激勵措施的出現(xiàn)反映了個人信息財產(chǎn)化理論的影響，個人信息處理者可通過向個人支付對價的方式收集個人信息。［35］當(dāng)然，經(jīng)濟激勵措施只是以向個人提供經(jīng)濟補償?shù)姆绞揭龑?dǎo)個人作出“同意”，并且要求企業(yè)必須賦予個人隨時選擇退出的權(quán)利，這意味著經(jīng)濟激勵不具有強制性，仍需尊重個人自主選擇的信息自決權(quán)。［36］因此，可為模式下經(jīng)濟激勵措施的引入非常契合個人信息處理行為規(guī)則的選擇引導(dǎo)型效力實現(xiàn)方式，為個人和個人信息處理者都提供了一個自主選擇的機會，并且這種選擇具有可預(yù)知性和公平性。具體來說，可預(yù)知性體現(xiàn)為對個人而言，是否加入個人信息處理者提供的經(jīng)濟激勵計劃相較于是否同意個人信息處理者收集其個人信息是更為容易的選擇，因為前者提供經(jīng)濟補償?shù)闹苯有Ч?，對個人的權(quán)益有所保障；對個人信息處理者而言，法律對經(jīng)濟激勵措施的認可可以減少獲取真實、有效的個人同意的困難，為之提供了另一條更具確定性的合規(guī)操作方式。公平性體現(xiàn)為經(jīng)濟激勵措施通過個人獲得相應(yīng)經(jīng)濟補償、個人信息處理者承擔(dān)必要的信息收集合規(guī)成本的方式，在一定程度上改變了傳統(tǒng)的知情同意規(guī)則下兩者之間成本和收益分配的關(guān)系，推動個人信息處理活動中雙方關(guān)系的公平化。

四、路徑：個人信息處理行為規(guī)則類型在我國的落地

（一）應(yīng)為模式下的告知義務(wù)與安全保護義務(wù)

1.告知義務(wù)

《個保法》第十七條和第十八條對個人信息處理者的一般告知義務(wù)作出規(guī)定，第十七條主要規(guī)定了向個人告知的內(nèi)容范圍和方式，第十八條主要規(guī)定了告知義務(wù)豁免的例外情形。告知義務(wù)的規(guī)范設(shè)計需要在個人知情和個人信息處理者告知之間達成適度的平衡，即一方面需要提示個人知情的內(nèi)容一定要告知，并采取必要方式提升個人知情的可能性；另一方面切忌冗余、過度的內(nèi)容告知，并盡量減輕因特殊原因告知不能導(dǎo)致對個人信息處理者信息處理行為合法性的不當(dāng)影響。以此為標(biāo)準(zhǔn)審視《個保法》第十七條、十八條的內(nèi)容，實際上就是分別從以上兩個視角規(guī)定的。上述直接、簡明的規(guī)定方式為個人信息處理者判斷其行為是否合法提供了更明確的預(yù)期，即知曉采用何種告知方式、告知哪些內(nèi)容才能達到法律規(guī)定的最低要求，以確保信息處理行為的合法性。在《個保法》第十七條中，特別提到了應(yīng)當(dāng)告知事項中的個人信息的保存期限。關(guān)于保存期限，個人信息處理者需要遵循《個保法》第十九條和第四十七條的要求，不能超過為實現(xiàn)處理目的所必要的最短時間，保存期限屆滿時應(yīng)當(dāng)主動刪除個人信息。

在特定的信息處理情形下，個人信息處理者還需要履行特殊的告知義務(wù)。主要包括因重大事由需要轉(zhuǎn)移個人信息時的告知義務(wù)（《個保法》第二十二條）、向第三方提供個人信息時的告知義務(wù)（《個保法》第二十三條）、處理敏感個人信息時的告知義務(wù)（《個保法》第三十條）。特殊告知義務(wù)與一般告知義務(wù)的規(guī)范邏輯是一致的，即當(dāng)出現(xiàn)可能影響個人信息權(quán)益的事由時需要提醒個人注意的內(nèi)容一定要告知，具體事由包括出現(xiàn)了特定的個人信息處理行為（如傳輸、轉(zhuǎn)移、提供），牽涉了第三方主體（如信息接收方）的利益而可能與信息主體的個人權(quán)益發(fā)生沖突，敏感個人信息處理對個人信息權(quán)益可能帶來其他影響。不過，對于個人信息處理者告知義務(wù)的規(guī)定，《個保法》仍然有必要適當(dāng)完善。如前文所述，如果將來在具體的行業(yè)規(guī)范中規(guī)定可為模式下的經(jīng)濟激勵措施，那么個人信息處理者的告知內(nèi)容中應(yīng)當(dāng)包括其采取的經(jīng)濟激勵措施的具體計劃。

除了上述常態(tài)化的信息處理活動環(huán)節(jié)中的告知義務(wù)外，在出現(xiàn)極端的個人數(shù)據(jù)安全事故時，個人信息處理者也需要有及時的響應(yīng)和應(yīng)對機制，向個人通知相關(guān)事項。比如《個保法》第五十七條規(guī)定，當(dāng)發(fā)生或可能發(fā)生個人信息泄露等數(shù)據(jù)安全事故時，個人信息處理者應(yīng)當(dāng)及時通知個人。申言之，在個人信息處理者的日常信息處理活動中，應(yīng)當(dāng)及時做好相關(guān)處理活動的記錄，以備及時向個人完成告知。

2.安全保護義務(wù)

與告知義務(wù)一樣，個人信息處理者的安全保護義務(wù)應(yīng)當(dāng)覆蓋個人信息處理行為的全流程，對個人信息主體提供事前、事中、事后的全方位保護。具體義務(wù)的履行應(yīng)當(dāng)從數(shù)據(jù)處理安排、人員組織、技術(shù)研發(fā)等多角度切入。我國《個保法》中，對個人信息處理者的上述安全保護義務(wù)規(guī)定得十分詳盡，具體包括數(shù)據(jù)安全保障義務(wù)（第五十一條）、負責(zé)人信息報送義務(wù)（第五十二、五十三條）、合規(guī)審計業(yè)務(wù)（第五十四條）、安全影響評估義務(wù)（第五十五、五十六條）、人員安全教育和培訓(xùn)義務(wù)（第五十一條第四項）、防止數(shù)據(jù)泄露和事后補救義務(wù)（第五十七條）。

不過，關(guān)于安全管理技術(shù)措施中的去識別化，《個保法》對該措施的適用范圍及法律效果的規(guī)定存在遺漏。去識別化除了具有第五十一條規(guī)定的個人信息處理者一般義務(wù)層面的一項具體的安全管理技術(shù)措施的性質(zhì)之外，還應(yīng)當(dāng)在必要的情形下承擔(dān)代替知情同意規(guī)則以作為個人信息處理者的另一項行為合法性基礎(chǔ)的作用，而《個保法》目前缺乏對后者的規(guī)定?；仡櫋秱€保法》立法過程，原本的草案一審稿將去識別化作為一項安全管理技術(shù)措施規(guī)定在第五十一條，此外，第二十四條第二款還規(guī)定：“個人信息處理者向第三方提供匿名化信息的，第三方不得利用技術(shù)等手段重新識別個人身份?！痹摋l款相當(dāng)于賦予匿名化以更深刻的法律規(guī)范意義，即作為和知情同意并立的個人信息處理者向第三方的信息提供行為的另一項合法性基礎(chǔ)。雖然一審稿第二十四條第二款將去識別化誤用為匿名化，忽略了絕對的匿名化在技術(shù)層面不可實現(xiàn)的掣肘，但其規(guī)范意旨應(yīng)當(dāng)?shù)玫綀猿?。然而自二審稿始至正式出臺的法律文本中，均刪去了上述規(guī)定，由此導(dǎo)致個人信息處理者向第三方的信息提供行為的合法性基礎(chǔ)僅限于個人知情同意，影響數(shù)據(jù)流通的效率。

（二）勿為模式下的自動化決策要求

《個保法》第二十四條對利用個人信息的自動化決策作出規(guī)定。該條文借鑒了歐盟GDPR 的有關(guān)規(guī)定，不過仍有值得商榷之處，即法律規(guī)定的精神意旨與立法技術(shù)在法律繼受層面存在不匹配的問題。申言之，《個保法》對自動化決策規(guī)定的具體立法技術(shù)雖然移植自歐盟GDPR，但并未完全秉持其精神意旨，相反，內(nèi)在價值意蘊更接近于美國法。根據(jù)第二十四條，法律允許個人信息處理者利用個人信息的自動化決策活動，只是需要受到一定的限制：第一，確保決策的透明度和結(jié)果公平合理；第二，對個人權(quán)益有重大影響的決定，個人有權(quán)拒絕和要求個人信息處理者予以說明。不過，根據(jù)歐盟GDPR 的規(guī)定，法律一般性禁止個人信息處理者利用個人信息的自動化決策活動，除非滿足特定條件：第一，為訂立合同或履行該合同所不可或缺；第二，已獲得法律授權(quán)；第三，已獲得個人的明確同意。①參見GDPR第22條第2款。在滿足上述條件時，個人信息處理者開展自動化決策時還應(yīng)采取適當(dāng)措施以保障個人的權(quán)利、自由和合法利益。②參見GDPR第22條第3款前段。與歐盟GDPR不同，受新自由主義管理觀念影響，美國法長期奉行對自動化決策相對開明的政策，即賦予自動化決策背后的工程與技術(shù)人員一定的信任。［37］因此，我國《個保法》更接近美國法對自動化決策的要求，即有條件允許，而非一般性禁止。然而在立法技術(shù)層面，第二十四條又吸納了歐盟GDPR 對自動化決策予以限制的具體法律手段，即賦予個人對自動化決策的反對權(quán)和解釋權(quán)。不過，第二十四條既然借鑒了歐盟GDPR 的法律規(guī)制手段，就應(yīng)當(dāng)對其法律定位、適用范圍和法律效果有準(zhǔn)確的認識，遺憾的是第二十四條對個人的自動化決策反對權(quán)和解釋權(quán)規(guī)定得并不準(zhǔn)確，存在法律繼受上的誤用、錯位和缺失。其一，反對權(quán)和解釋權(quán)是兩種不同的規(guī)制手段，規(guī)范目的和效果完全不同。具體來說，反對權(quán)在歐盟GDPR 體系下是個人針對自動化決策的一項一般性權(quán)利，而第二十四條第二款卻將其適用范圍限于個人信息處理者利用自動化決策進行“商業(yè)營銷、信息推送”的情形，同時第三款又將其限定在針對個人信息處理者利用自動化決策作出對個人權(quán)益有重大影響的決定的情形，這就導(dǎo)致個人的反對權(quán)按照第二款理解，其適用范圍狹小；按照第三款理解，其法律定位又低了一個位階。實際上，第二十四條第三款規(guī)定的反對權(quán)在效果上更接近于歐盟GDPR 第22條第3款后段規(guī)定的表達異議權(quán)，這一權(quán)利與第二十四條第三款前段規(guī)定的解釋權(quán)屬于同一位階的權(quán)利。個人針對自動化決策作出的對個人權(quán)益有重大影響的決定行使表達異議權(quán)后，繼而可以行使解釋權(quán)，要求個人信息處理者對其決定進行說明。其二，第二十四條并未規(guī)定有關(guān)反對權(quán)和解釋權(quán)的行使方式等具體細節(jié)。綜合以上分析，由于美國法與歐盟GDPR 對自動化決策的規(guī)范意旨并非完全一致，我國對兩大法系相關(guān)規(guī)定的混合繼受會導(dǎo)致《個保法》的規(guī)定存在上述內(nèi)部不統(tǒng)一之感，從立法的嚴(yán)謹(jǐn)性角度考慮，有必要在解釋論上有所修正。具體的解釋論建議包括：第一，將第二十四條對個人信息處理者利用自動化決策開展的個人信息處理活動理解為第十三條第二款所規(guī)定的處理個人信息應(yīng)當(dāng)取得個人同意的“本法其他有關(guān)規(guī)定”；第二，將第二十四條第二款規(guī)定的個人有權(quán)拒絕的情形予以合目的性的擴大解釋，理解為是針對個人信息處理者利用自動化決策開展個人信息處理活動的一般反對權(quán)；第三，將第二十四條第三款后段規(guī)定的個人的拒絕權(quán)理解為是個人針對個人信息處理者利用自動化決策作出對個人權(quán)益有重大影響的決定的表達異議權(quán)。至于上述各項權(quán)利的具體行使方式等，可以考慮在法律之外的行業(yè)標(biāo)準(zhǔn)中予以細化。

（三）可為模式下的引導(dǎo)和激勵措施

針對數(shù)據(jù)服務(wù)企業(yè)的業(yè)務(wù)類型、用戶規(guī)模、數(shù)據(jù)服務(wù)和保護能力、產(chǎn)品技術(shù)創(chuàng)新需求的差異，設(shè)置彈性化、場景化的法律制度性激勵安排在《個保法》中已經(jīng)初現(xiàn)端倪。一方面，《個保法》第五十八條對提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者設(shè)置了額外的義務(wù)；另一方面，在法律之外預(yù)留了通過推薦性國家標(biāo)準(zhǔn)來鼓勵引導(dǎo)企業(yè)開展具體合規(guī)體系建設(shè)的空間。比如，《個保法》第六十二條規(guī)定由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)個人信息保護工作，制定個人信息保護具體規(guī)則、標(biāo)準(zhǔn)，并特別指出針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個人信息保護規(guī)則、標(biāo)準(zhǔn)。

《個保法》并未提及有關(guān)可為模式下個人信息處理者可以采取的經(jīng)濟激勵措施，可謂一大立法缺憾。對此，可以通過解釋論的方法將其納入現(xiàn)有的《個保法》規(guī)定中。由于經(jīng)濟激勵措施在行為規(guī)則性質(zhì)上屬于可為模式，相應(yīng)地該措施的采用帶有顯著的任意磋商性而非強制性。因此，個人信息處理者采用經(jīng)濟激勵措施仍然需要經(jīng)過個人的同意，這就為該措施通過解釋納入知情同意規(guī)則提供了可能性。具體的解釋方式可通過《個保法》第十三條第一款第一項的規(guī)定，即在取得個人的同意后，個人信息處理者可以處理個人信息。對此可以進一步引申為個人信息處理者可以通過采取經(jīng)濟激勵措施以換取個人的同意。此外，第十五條規(guī)定的同意“撤回”同樣可以適用于經(jīng)濟激勵措施，個人可以隨時主張撤回對個人信息處理者采取經(jīng)濟激勵措施的同意。當(dāng)然，上述法律規(guī)范內(nèi)的解釋論對經(jīng)濟激勵措施這一全新制度的建構(gòu)都僅止于框架性設(shè)計，具體細節(jié)仍尚存疏漏。因而，經(jīng)濟激勵措施的適用場景、價格額度及計算方式、有效期限等內(nèi)容需要在法律之外的行業(yè)標(biāo)準(zhǔn)中予以明確。

可為模式下除了上述具體的行為規(guī)則、推薦性標(biāo)準(zhǔn)之外，還可以考慮通過形成行業(yè)習(xí)慣的方式來引導(dǎo)數(shù)據(jù)服務(wù)企業(yè)開展數(shù)據(jù)合規(guī)體系建設(shè)。對此，個人信息處理者機構(gòu)內(nèi)部相關(guān)政策創(chuàng)建和起草過程中以首席隱私官（CPO）為核心，推動開展具有用戶隱私友好性的軟件、產(chǎn)品和服務(wù)設(shè)計，從而形成結(jié)構(gòu)性隱私保護和問責(zé)制的做法已經(jīng)在眾多海外一流數(shù)據(jù)企業(yè)中得到推廣。［38］未來我國也應(yīng)當(dāng)試圖在組織和產(chǎn)品設(shè)計兩個維度中融入個人信息權(quán)益保護的理念，可以考慮將個人信息權(quán)益保護的行業(yè)標(biāo)準(zhǔn)、技術(shù)規(guī)則內(nèi)嵌至組織架構(gòu)設(shè)計環(huán)節(jié)和技術(shù)研發(fā)環(huán)節(jié)，從而推出用戶隱私體驗更優(yōu)越的數(shù)據(jù)產(chǎn)品和服務(wù)。不過，組織架構(gòu)和技術(shù)研發(fā)設(shè)計中融入個人信息權(quán)益保護的理念在實踐中并不容易：一方面，這一措施意味著技術(shù)研發(fā)和人員培訓(xùn)資金等成本的大量投入，這對于成長中的小型數(shù)據(jù)企業(yè)是一筆不小的開支；另一方面，組織內(nèi)部的結(jié)構(gòu)化升級往往會牽一發(fā)而動全身，企業(yè)內(nèi)部原有的不同職能部門之間權(quán)力和職責(zé)分配的既有格局會被打破，這對于業(yè)已形成成熟組織架構(gòu)的大型數(shù)據(jù)企業(yè)并非輕而易舉。因此，上述措施要求很難成為對數(shù)據(jù)企業(yè)的強制性規(guī)范，甚至連行業(yè)標(biāo)準(zhǔn)都算不上，其只能借助數(shù)據(jù)產(chǎn)業(yè)對用戶市場的依賴性而自發(fā)地形成一種理念上的倡導(dǎo)，以期在市場競爭中通過優(yōu)勝劣汰逐漸成為一種行業(yè)的習(xí)慣性規(guī)范。

五、結(jié)論與展望

個人信息處理行為規(guī)則類型化是從個人信息處理者角度思考規(guī)則供給的必要路徑，反映了當(dāng)面臨高度場景化的行為規(guī)制需要時，法律剛性的設(shè)置需要配合動態(tài)的行為規(guī)范輔助。信息處理技術(shù)的迅速發(fā)展在很大程度上超過了社會規(guī)范相對緩慢的演變，直接導(dǎo)致的后果就是對信息處理活動缺乏有效的規(guī)范，因此建立必要的軟法規(guī)范顯得尤為重要。［39］未來針對個人信息處理活動，需要形成強制性法律、推薦性標(biāo)準(zhǔn)和自發(fā)性行業(yè)習(xí)慣等多元共治的局面，在規(guī)則之外也需要將個人信息權(quán)益保護內(nèi)嵌至組織架構(gòu)設(shè)計環(huán)節(jié)和技術(shù)研發(fā)環(huán)節(jié)，形成對用戶隱私體驗友好的技術(shù)規(guī)則。從深層次講，個人信息處理行為規(guī)則類型化的思想和實踐體現(xiàn)了不同類型規(guī)范權(quán)重分配和協(xié)調(diào)共治的藝術(shù)。［40］