個人信息治理的科技之維

內容摘要：在個人信息保護法出臺的背景下，重新構想科技與法律之間的關系，可謂總體回應數字時代個人信息危機的重要一環。作為國家、企業、個人三方權益匯聚之地，個人信息研究必須超越傳統的“規制—權利”思維，邁向國家法律、信息科技、市場競爭和社群規范的個人信息治理體系。在諸多系統中，信息科技居于優位。一方面，它以“合規科技”的面貌，憑借“經設計的治理理念”，將國家法律的原則和規則轉化為個人信息生命全周期的科技保護;另一方面，它以“賦能科技”的面貌，通過降低法律執行成本、當事人交易成本，甚至改變法律的“假定條件”，賦能各利益相關方。為此，法律應合理解釋個人信息“匿名化”構成要素，認可“去標識化信息”的法律意義，從而使信息科技與法律彼此協調，共建激勵相容的個人信息治理體系。

關鍵詞：個人信息治理 個人信息保護法 治理科技 合規科技 賦能科技 匿名化

中圖分類號：DF529文獻標識碼：A文章編號：1674-4039-（2021）05-0057-68

經過近20年的醞釀，個人信息保護法終于在2021年8月20日審議通過。〔1 〕個人信息保護法外引域外立法智慧，內接本土實務經驗，從憲法第38條“中華人民共和國公民的人格尊嚴不受侵犯”的“個人尊嚴條款”出發，熔民法典“個人信息權益”的私權保護與“個人信息處理”的公法監管于一爐，統合私主體和公權力機關的義務與責任，兼顧個人信息保護與利用，奠定了我國網絡社會和數字經濟的法律之基。不過，徒法不足以自行，如何建立激勵相容的制度框架，實現個人信息保護法第1條所宣示的立法目標，仍有待更深入和更細致地研究。〔2 〕筆者從法律與科技的雙重視角出發，重新構想數字時代科技與個人信息保護法之間的關系，探索兩者相輔相成的個人信息治理之道。

一、信息科技與個人信息治理的一般框架

信息科技和個人信息的糾葛由來已久。長期以來，信息科技都被看作個人信息權益的“破壞者”。但事實上，在個人信息治理的架構下，一旦將信息科技和治理相結合，就能轉為個人信息“治理科技”，成為個人信息保護中“優位者”。

（一）信息科技：個人信息權益的“破壞者”

回顧歷史，個人信息保護法的演進始終與信息科技的發展密不可分。19世紀末，電報通信、便攜式照相機等新興技術引發了人們對隱私的憂慮。當傳統熟人社會的私密信息經由便捷的信息傳播途徑進入大眾傳媒、公眾評論的陌生人語境，普通法的“保密原則”便不敷適用， 〔3 〕一種保衛私生活的對世權利——隱私權就此誕生。〔4 〕隨著20世紀60年代大型計算機和中心化數據庫的出現，個人信息的收集、存儲和使用方式被徹底改變。1973年，美國健康、教育和福利部（HEW）在《記錄、計算機和公民權利》報告中指出：個人必須越來越多地將自己的信息提供給大型的、相對匿名的機構，由陌生人處理和使用。有時，個人甚至不知道有這樣一個組織保存著關于他的記錄，他往往看不到這些記錄，更不用說質疑其準確性、控制其傳播或質疑其使用。〔5 〕該報告所催生的“公平信息實踐準則”，構成了全球個人信息保護的思想淵源與基本框架。〔6 〕在計算機日益普及的背景下，德國于1977年制定防止數據處理過程中濫用數據法，歐洲委員會于1981年通過個人數據自動化處理保護公約（“108號公約”）。從“隱私”到個人信息/數據的范式轉變，可謂“山川異域，風月同天”。20世紀90年代，互聯網技術成為全球信息和通信的核心媒介，電子商務、電子政務、搜索引擎、互聯網廣告蓬勃興起，個人信息處理者從之前的政府機構逐漸向企業延伸，處理目的也從行政管理轉向了商業活動。1995年，歐盟議會與理事會制定關于涉及個人數據處理的保護以及數據自由流通的第95/46/EC號指令（以下簡稱《數據保護指令》），開啟了個人信息保護的2.0時代。

21世紀以來，大規模應用的電子監控、web3.0的人機互動、移動互聯網的實時在線、穿戴式的嵌入裝置，連同大數據、人工智能、物聯網、云計算、區塊鏈等新一代信息科技，使得世界的人、事、物都在加速數字化，這不僅給個人信息保護帶來嚴峻挑戰，也重塑了個人信息保護制度。2010年，歐洲委員會關于數據保護和隱私的第3號決議洞見到了這一歷史性變化，并指出，信息科技令觀察、存儲和分析大多數日常活動成為可能，而且比之前更加容易、迅速、隱蔽，除非有完善的數據保護標準，否則必將損害人的基本自由。作為制度回應，從2010年到2019年間，共有62個國家起草了新的個人信息保護法。到21世紀20年代末，將會有超過200個國家或地區擁有個人信息保護法。〔7 〕

從“監控國家”到“監控資本主義”，與工業時代對科技的樂觀想象不同，當代人眼中的信息科技往往是陰暗和危險的。這種將科技視為對隱私和個人信息權益威脅的觀念，迫使立法者不得不擁抱變化，通過法律和監管的不斷迭代，為個人提供與時俱進的保護，我國個人信息保護法正是這歷史潮流中的浪花一朵。然而，信息科技是否只有一面？

（二）信息科技：個人信息保護的“優位者”

信息科技并不可怕。正如聯合國數字技術的影響報告所言，通過增強連通性、金融包容性、獲得貿易和公共服務的機會，信息科技可以加速實現17項人類可持續發展目標中的每一項，從而幫助世界變得更公平、更和平、更公正。但毋庸諱言，信息科技的確引發了越來越多的個人信息風險。從風險治理的角度觀察，在復雜和不確定的環境中試圖通過權利賦予或行為規制的單一方式來化解因信息科技引發的個人信息風險，可能事倍功半。因而，需要重新構想信息科技與個人信息保護的關系，綜合所有可用的方法、策略和工具，建立一個協調風險治理中各種要素和參與者的“個人信息治理”和“個人信息保護系統”，這遠比個人信息權益更重要。〔8 〕

在本文中，筆者將“個人信息治理”界定為政府、企業、公民、行業協會、技術社群等各利益相關方圍繞“個人信息”所開展活動的程序、結構和決策結果。在治理主體上，它是一種公私合作且持續互動的組織形式;在治理工具上，它將國家法律、信息科技、市場競爭和社群規范均囊括其中; 〔9 〕在治理目標上，它將信息主體的個人信息權益保護和信息處理者的個人信息利用作為并行的二元目標。信息科技在個人信息治理中的積極作用，首先源自信息科技作為通用技術的兼容性，從而可以服務于截然不同的目標。〔10 〕更重要的是，個人信息從收集到刪除的整個生命周期，都必須依托信息基礎設施以及經編程的指令、代碼與算法。就此而言，信息科技構成了個人信息的微觀架構，對個人信息處理活動發揮著實質上的規制作用。網絡空間中發生的任何事件和行為都是“0”和“1”的集合體，涉及個人信息的任何行為只有遵循相應的信息科技規則才能得以表現，否則只能成為沒有任何意義的“亂碼”。信息科技在網絡空間中的主宰性， 〔11 〕使其有可能擺脫刻板的“破壞者”印象，成為推動個人信息善治的重要力量。

盡管“個人信息治理”為信息科技的引入提供了制度空間，但卻沒有充分闡明它與其他治理工具的關系。對此，“個人信息保護系統”理論進一步將“信息科技”置于個人信息保護的優先地位。就像“風險社會是現代性的自反性后果”這一經典命題所揭示，用以防控科技風險的法律有時恰恰是風險生產的誘因。因此，與其外在于信息科技去消弭其風險，毋寧反求諸己，尋找信息科技的自我規制之道。在復雜理論看來，信息科技是一個有機生命。一方面，它是自我組織的，可以通過某些簡單規則自行聚集起來;另一方面，它是自我創生性的，能夠依據所面臨問題自行調適與迭代。〔12 〕縱觀過往，當一個新的技術進入社會，它會召喚出新的組織、經濟和社會模式，這反過來會引發新的問題，新問題的解決又要訴諸更新的技術，這就是“信息科技的演進”。在“問題與解決—挑戰與回應”的邏輯下，因技術進步帶來的個人信息風險，亦可以通過技術進步來化解，此即“解鈴還須系鈴人”之真義。在系統論的關照下，國家法律、信息科技、市場競爭和社群規范屬于不同的子系統，奉行不同的二值符碼，而風險的發生，根本上是由于功能系統之間缺乏共振，一種系統的運作無法在另一種系統中造成預期的影響。〔13 〕面對“科技系統”與“社會系統”的沖突，“風險預防原則”成為法律系統的可能選擇，“風險預防原則”一方面承認法律對風險的“無知”，另一方面卻又利用國家權威予以問責。故只有科技可能危及生命權、健康權、國家安全等重大法益，造成大規模災難性后果時，才有適用余地，該原則苛刻的前提條件令其難以用于個人信息保護，這不但由于個人信息權益并非上述絕對性人身權，而且因為個人信息處理有助于包括個人在內的社會福祉提升，而禁止改善人們處境本身就是一種傷害。法律系統直接介入的困難要求我們在“個人信息保護系統”中，確立“科技解決方案”和“如果還能用就不必修補”的基本原則。〔14 〕

（三）治理科技：信息科技與個人信息治理的耦合

作為Govern和Technology的合成詞，“治理科技”（GovernTech）將“科技”和“治理”有機結合，通過將創新性技術應用到現有治理過程中，達成更有效的風險識別、風險衡量和風險治理要求。有別于常見的“監管科技”（RegTech）， 〔15 〕“治理科技”以“數字治理”為基，以“整體治理”和“網絡治理”為面向，重塑敏捷性和適應性的治理。〔16 〕

治理科技是整體性治理，即以信息科技為依托，以民眾需求為導向，以協調、整合、責任為治理機制，對治理層級、功能、公私部門關系及信息系統等碎片化問題進行有機協調與整合，不斷從分散走向集中、從部分走向整體，為民眾提供無縫隙且非分離的整體型服務的政府治理圖式。〔17 〕從此出發，治理科技主張通過數據共享、內部信息系統互操作推動逆部門化和逆碎片化， 〔18 〕拆除不同職能部門、不同地區之間的藩籬，踐行“一致性執法”和“一站式監管”。我國個人信息保護法第六章中“履行個人信息保護職責的機關”紛繁蕪雜，既包括國家網信辦、工信部、市場監管總局、公安部等中央職權機構，也包括中國人民銀行、銀保監會、衛健委等行業主管部門，還指向了縣級以上各個地方政府。面對個人信息監管“九龍治水”、政出多門的痼疾，中央層面應強化國家網信部門協同能力，在統籌協調具體規則和標準制定的基礎上，借鑒“歐盟數據保護委員會”（EDPB）的經驗，利用指南、建議、意見等政策工具，監督其他機關依法行使個人信息保護職權，確保執法環節中法規的統一適用，必要時可開展聯合調查和執法。〔19 〕地方層面應依循個人信息保護跨地域、在線化特性，從分散管轄轉向集中管轄，由被監管對象主要營業地的地方政府承擔主體責任、享有監管主導權，以簡化政府流程并提升科學決策能力。〔20 〕

治理科技是“網絡治理”，即以信息科技為紐帶，政府發揮領導組織作用、各利益相關方共同參與的穩定性多組織治理圖式。〔21 〕作為橫跨多系統的網絡化結構，治理科技從“社群標準”開始，經由市場認證，達致政府認可，由此建立“標準—認證—認可”三位一體治理。〔22 〕與法律規則功能一致的技術性標準立基于制定主體之間的協商一致性，在適用中兼容公和私、一體和差異，從而與“多中心”網絡治理思路合若符契。為此，先有行業組織倡導、推廣技術標準，以此作為企業合規基線，然后借助第三方認證機構加以落實，最后通過監管機構的法律認可，確保其權威性和可執行性。我國數據安全法第9、10、17、18條便體現了上述思路，確立了以政府部門、行業組織、科研機構、企業、個人為主體，以技術、標準、認證為要素的數據安全治理體系。與之相比，個人信息保護法固然包含標準、認證的表述，但缺乏對個人信息保護技術作用的支持和肯定。同時，其將個人信息保護標準制定權限于國家網信部門，忽略了行業組織形成行為規范和團體標準的價值與功能，這些不足尚待后續填補。

在治理科技的架構下，“信息科技優位”一體兩面：一面以“合規科技”的面貌成為落實法律規制的高效工具，一面以“賦能科技”的面貌成為補充或取代法律規制的最佳實踐。

二、合規科技：經設計的個人信息治理

將國家法律化為信息科技是“合規科技”的重要功能。不過，有別于“法律代碼化”的路徑，本文將科技和法律均納入“經設計的個人信息治理”框架，通過治理價值與原則統合兩者，并借此對我國個人信息保護法進行再闡釋。

（一）從“法律代碼化”到“經設計的治理”

令行禁止是立法者的永恒追求。馬克斯·韋伯曾設想一種令法律自動運行的司法機器，堪稱形式主義法治的完美形式。〔23 〕事實上，這一暢想只有憑借信息科技的助力才能成為現實。1983年，龔祥瑞教授與時任北京大學法律系講師的李克強在《法律工作的計算機化》一文中指出：“一場計算機化運動正在逐步遍及幾乎所有的行業。法律工作的實踐性很強，它所涉及的大量的資料和情報都可以由電子計算機進行數據處理，無疑具有運用計算機技術的現實可能性。” 〔24 〕受益于計算機技術的突飛猛進，“計算法律學”自20世紀70年代起浮出水面，其旨在將法律表達為刑事化的計算機語言，用以理解法律文本和法律推理。近年來，在大數據、區塊鏈、人工智能、認知計算的推動下，計算法律學迅速迭代。〔25 〕新一代計算法律學以“法律就是代碼”為中心，將代碼作為直接執行規則的手段。

法律代碼化并非沒有瑕疵，其在技術上和理念上均面臨重大挑戰。在技術層面，將模糊的法律“濕規則”轉換為精確的技術“干規則”，必然以喪失法律靈活性或無縫隙性為代價。而要克服代碼局限性，就要使用動態的、具有適應性的程序，利用機器學習（ML）訓練、驗證和測試，觸發出原有規則的新解釋。然而，這一技術努力不但無法完全消除代碼“堅守歷史、凍結未來”的窒礙，還會陷入算法黑箱和歧視的困境。〔26 〕不僅如此，實踐中的智能合約和智能規制并不“智能”，它們依賴于人類外部提供的信息，并存在誤判和漏洞。〔27 〕在理念層面上，代碼化法律或可滿足“如果……那么”的條件式綱要，卻無法滿足“為了……而”的目的性綱要， 〔28 〕這使之難以從規范目的出發解釋和適用規則，在根本上削弱了法律決定的正當性基礎。不惟如是，通過代碼的規制還規避了公法上的權力制衡和私法上的權利保障，由此遭至損及公平、透明度以及正當程序缺失的批評。

如欲改進“法律代碼化”，就要重新思考法律和信息科技的關系，摒棄將法律“翻譯”成代碼的做法，轉而將法律看作治理環境下的要素之一， 〔29 〕其可以獨自也可以通過技術發揮作用。但無論如何，它都要體察和回應信息基礎設施及代碼對法律的影響，并經由“設計”嵌入被數據和算法驅動的環境之中。這里的“設計”意指在治理原則和法治原則下，各利益相關方共同進行的制造、構建、組裝治理環境的建設性工作，一種融技術、標準、程序、制度于一體并指向未來的社會籌劃。〔30 〕這一“經設計的治理”觀念所強調的不是遵從代碼，相反，其應確保在治理架構應包含法律保護，以防止偏見、侵犯隱私、不可理解的決定、不可靠的評估和違反司法公正的情形。〔31 〕

（二）經設計的個人信息治理：原則與實踐

將“經設計的治理”運用于個人信息治理之中，鑄就了“經設計的個人信息治理”制度，其包含如下原則與實踐：

1.將個人信息保護價值融于設計

一如“經設計的治理”“經設計的個人信息治理”并非對法律規則的生硬轉譯，而是延續“價值導向設計”思想， 〔32 〕在整個設計中以原則性的、綜合性的方式考量如下基本價值： 〔33 〕

“公平”是個人信息保護的首要價值，要求處理者不得對個體造成不合理的損害、非法歧視或誤導，其關鍵設計和默認元素包括：（1）自治：信息主體應被授予高度自治以決定其個人信息的處理目的、范圍和方式。（2）互動：信息主體能夠就其權利與處理者溝通并行使。（3）期望：處理應符合信息主體的合理期望。（4）非歧視：處理者不得不公平地歧視信息主體。（5）非掠奪：處理者不應利用信息主體的需求或弱點處理信息。（6）消費者選擇：處理者不應以不公平的方式鎖定用戶。（7）風險不得轉移：處理者不應將其風險轉移給信息主體。（8）不得欺詐：信息和選項應以客觀、中立的方式提供，避免任何欺騙性或操縱性的語言或設計。（9）道德：處理者應考慮對個人權利和尊嚴的更廣泛影響。（10）真實：處理者應該按照其聲明行事。（11）人為干預：處理者必須納入合格的人為干預，以揭示機器偏見。（12）公平算法：定期評估算法是否符合目的并適時調整以確保處理的公平性。

“透明”是個人信息保護的形式價值，消息處理者必須清楚披露他們如何收集、使用和共享個人信息的活動信息，其關鍵設計和默認元素包括：（1）清晰：應使用簡潔明了的語言。（2）語義：對聽眾而言，交流應該有明確意義。（3）可訪問性：信息應易于訪問。（4）語境：信息應在相應時間以適當的形式提供。（5）相關性：信息應該與特定信息主體相關。（6）易于理解：信息主體能夠合理理解對其個人信息處理的期待，特別是當數據主體是兒童或其他弱勢群體。（7）多渠道：信息應該通過不同渠道提供，而不僅僅是文本，以增加信息有效到達信息主體的可能性。（8）分層：信息應當適當分層，以解決“信息完整性”與“信息可理解性”之間的緊張。

“合法”是個人信息保護的底線價值，處理者應確保處理具有合法性基礎，其關鍵設計和默認元素包括：（1）區分：用于各個處理活動的法律依據應有所區分。（2）特定目的：適當的法律依據必須與特定處理目的相關聯。（3）必要性：就處理目的而言，處理必須是必要且無條件的。（4）自主：消息主體應在法律依據的框架內控制個人信息。（5）獲得同意：同意必須自愿、具體、知情和明確。應特別考慮兒童和青年的能力提供知情同意。（6）同意撤回：在同意是法律依據的情況下，應確保撤回同意的便利。（7）預先確定：應在處理發生之前確立合法性基礎。（8）停止：如果法律依據不再適用，處理應相應停止。（9）調整：若處理的法律依據發生有效變化，則處理必須根據新的合法性基礎予以調整。

在公平、透明、合法等價值外，“經設計的個人信息治理”還要遵循“以人為本”（HCD）的設計原則。HCD主張將“人”放在任何系統的中心，從人們的需求、興趣和能力出發，通過直接與人們接觸來評估和理解人類，以提供可用和易于理解的產品和服務。〔34 〕HCD本質上是法學、信息科學、心理學、認知科學、人類學、人機交互的跨學科實踐。因此，個人信息保護治理的設計者應盡可能廣泛，以涵蓋用戶體驗設計師、視覺設計師、交互設計師和信息設計師等，從而保證將用戶的需求和限制置于任何設計的最前沿。

2.將個人信息保護作為主動設計

“主動而非被動，預防而非補救”是“經設計隱私”的核心思想。經設計的個人消息治理同樣倡導在可避免的情況下，防患已未然，而不是坐視個人信息的風險不斷攀升。為此，其主張，處理者應尊重信息主體的基本權利，并且實施適當的措施和保障措施，處理者從產品或服務開發前期開始就應保障合規團隊與開發、設計團隊相互合作，在設計伊始即考量產品、服務涉及的個人信息保護問題。處理者應當在能達到相同效果的各種作法之中，將較能保護個人信息的做法列為預設機制，使之在各種業務實踐和IT信息系統中，得以受到系統的“自動”保護。換言之，處理者應當建置一個用戶友好型環境，即便用戶沒有特地采取自我保護的行為，其個人信息權益亦不致受到侵害。例如，蘋果的iOS14隱私新規要求App開發者需要通過“應用追蹤透明框架”獲得用戶同意，才能使用設備IDFA（蘋果廣告標識符）對用戶進行廣告追蹤。這一修改相當于將“默示同意、明示退出”機制更改為“明示同意”機制。與此相較，之前Do not Track（DNT）隱私規則要求在網絡瀏覽器中設置 DNT，即在其對網頁的請求中添加一小段代碼：DNT=1，只有在用戶主動選擇開啟DNT后，網站才不能在設備上放置或閱讀廣告的Cookie。〔35 〕處理者應在事前設想可能的不利情況，并加以積極應對，而不是在個人信息侵害成為既成事實后，才討論責任歸屬與賠償方案。

3. 將個人信息保護嵌入全生命周期

為進一步落實主動設計理念，“經設計的個人信息治理”要求將“個人信息保護”作為治理環境的核心要素，成為產品、服務、管理流程中不可或缺的組成部分。為此，個人信息保護應當是一連串的行動，從信息收集、存儲、傳輸，到信息分析、加工，再到信息向第三方提供和最終刪除，所有處理活動都應事先有完整規劃，將保護延伸到個人信息整個生命周期，從而實現端對端的安全。

信息科技在個人信息全生命周期保護中發揮著重要作用。在信息收集環節，為滿足合法正當、目的明確、最小必要、公開透明的要求，數據溯源、數據標注、數據可視化、數據安全分級標記等成為可用技術。在信息存儲環節，為信息安全目的，可采取信息源加密、透明存儲加密技術，為兼顧個人信息存儲時的數據可用性，采用數據災備、糾錯編碼等數據容錯技術對信息密度高、訪問頻次高的數據進行存儲保護和可靠訪問。在信息傳輸環節，為保障保密性、完整性和可信任性，宜使用散列加密、對稱加密、非對稱加密等加密傳輸技術，為驗證信息傳輸人的身份，還需要使用數字證書技術。在個人信息使用環節，為防范違法使用、未經授權提供、信息泄露等問題，常采用數據訪問控制、監控審計、共享審查等技術。在個人信息刪除環節，除消磁法、粉碎法等硬銷毀的方法外，將無意義、無規律的信息反復多次覆蓋硬盤上原先的存儲數據，從而無法恢復原始數據的“數據覆寫”是典型的技術形式。

（三）個人信息保護法的再闡釋

盡管我國個人信息保護法并未明確“經設計的個人信息治理”，但第51條規定在比較法上源自歐盟數據保護指令第17條第1款“成員國應當規定數據控制者必須采取適當的技術措施和組織措施來保護個人數據以防止它們被意外或非法毀滅或意外遺失、變更、未經許可披露或訪問”以及GDPR第25條第1款“考慮到行業最新水平、實施成本及處理的性質、范圍、目的和內容以及處理給自然人的權利與自由造成的影響，數據控制者應當在決定數據處理方式以及進行處理時以有效的方式采取適當的組織和技術措施，并實施必要的保障措施以符合本條例要求，保護數據主體權利”，可作類似解釋。質言之，在第51條的規范目的上，可以從狹義的“個人信息安全”拓展到“個人信息權益和價值”;在第51條的時空范圍上，可以覆蓋系統、服務、產品的設計階段以及全生命周期;在第51條的義務要求上，可以將“必要措施”界定為技術手段、組織形式等所有治理要素。

一旦將“經設計的個人信息治理”引入，就可以更深入地理解個人信息保護法。首先，“經設計的個人信息治理”彌合了個人信息保護法可能的邏輯斷裂。梳理個人信息保護法，容易發現其第二、三章為“個人信息全生命周期規制”，第四、五章則為“權利—義務規范結構”，前者側重于精細化的事先管控，后者側重于靈活性的事后調整。但另一方面，前者可能因未知科技引致的環境變化而無從應付，后者也可能因規范過于抽象而戕害了確定性。對此，“經設計的個人信息治理”將“信息主體權利”注入到個人信息全生命周期之中，充實告知、同意、保存、使用、自動化決策和境外傳輸等處理規則，細化“信息處理者義務”，有效平衡了法律的可預期性與適應性。其次，“經設計的個人信息治理”有助于從主動設計的角度把握第55條的“個人信息保護影響評估”，將之視為協助處理者提前識別、界定、最小化系統可能風險的工具。〔36 〕更重要的是，保護影響評估本質是“個人信息安全工程”的一部分，只有在信息科技的工程實踐中才能把握其流程。最后，“經設計的個人信息治理”為第54、64條“合規審計”的搭建指明了方向。作為對處理者履責情況的鑒證和監督， 〔37 〕個人信息處理的合規審計有賴于匯聚海量數據的審計平臺，收集、分析IT資源中設備和應用的日志，開展即時跟蹤、持續監控和適時報警。未來，可應用流程自動化機器人（RPA），整合不同系統數據，將重復的作業程序自動化，并定期與監管機關共享，達成視覺化、互動式的精準合規，以解決監管機關的信息不對稱問題。

三、賦能科技：平衡個人信息保護與利用

如果說“合規科技”意在強化國家法律監管，那么“賦能科技”就是通過隱私增強技術為信息主體和處理者積極賦能，實現個人信息保護與合理利用的平衡。但是，科技并不能直接生成權利，我國個人信息保護法是否以及如何接納賦能科技，則是問題的關鍵。

（一）從“代碼即法律”到“賦能科技”

科技并非中立。早在20世紀80年代，人們就已認識到信息科技內在的政治性，因為其能夠促發、支持、強制、抑制或排除特定行為。〔38 〕質言之，鑒于科技本身就帶有使用者如何行動的說明書，其使用過程就是影響用戶知覺和行為的過程。隨著Joel Reidenberg“信息法制”和Lawrence Lessig“代碼即法律”的提出， 〔39 〕代碼因所具有“大規模定義和塑造行為模式”能力，逐漸被視為網絡時代的法律。2008年以來，助推理論為之提供了行為經濟學的依據。根據該理論，信息科技不是采用理性說服方式來改變人的態度，而是通過“選擇架構”中非理性、無意識的要素使人們趨向于預期方向。〔40 〕在收集信息、制定目標和改變行為的三個階段中，大數據分析、算法決策指導技術，挖掘和顯著化數據項之間相關性，以此引導人的注意力并作出最終決定，這種基于信息科技、動態化且普遍有效的助推，被稱為“超助推”。〔41 〕晚近，利用區塊鏈生成的代碼，令人們任意選擇和實施自定規則，創制習慣法體系變得更加簡易可行，“鏈之以法”成為代碼應用的新領域。〔42 〕

然而，代碼畢竟不是真正的法律。首先，代碼是自動執行的規則，其依賴于行為人的自覺或不自覺地實際遵守，就此而言，代碼僅有社會學上的有效性，而缺乏法律和倫理上的有效性。〔43 〕其次，代碼并非自給自足，正如法治背后是法律人之治一樣，代碼背后是代碼作者——“碼農”之治，無論他們是否意識到，在設計階段其價值就鐫刻到了最終的產品上，而這可能危及了法治的民主根基。最后，代碼可能與法律相互沖突，參與者可以借此“乘間伺隙”，故意剝奪法律權利、規避法律義務。〔44 〕正因如此，Lessig在2006年指出，“代碼即法律”的真實含義是代碼類似于法律，并不意味著“代碼=法律”，就像飛機的構造不是法律一樣。〔45 〕故而，如欲發揮信息科技的優位作用，就必須回歸“個人信息治理”， 將法律價值融入其中，使之成為法律相輔相成的“賦能科技”。

所謂“賦能科技”，意即提升一方或多方治理主體的權利或能力，進而提升治理總體績效的科技。〔46 〕較諸“合規科技”，賦能科技具有如下特征：（1）合規科技以個人信息保護為目標;賦能科技則以個人信息保護與利用平衡為導向，通過“正和雙贏”而非“零和博弈”的方式，破除虛假二分法的假象。（2）合規科技主要面向監管者，強化監管的有效性和高效性;賦能科技則主要面向信息主體和處理者，回應各方關切。（3）合規科技是法律最佳的仆人，必須嚴格服從法律原則和規則;賦能科技則是法律最佳的搭檔，通過降低法律執行成本補充法律，或者通過降低當事人之間的交易成本替代法律，甚至改變規范的“假定條件”而使之不再必要。

（二）個人信息治理中賦能科技的實踐

賦能科技可追溯至20世紀70年代，當時為應對信息科技對隱私的挑戰，“隱私增強技術”（PET）應運而生，最初其專注于身份保護以及在不喪失系統功能的情形下最小化信息收集與處理。隨著時間推移，加密工具、隱私保護分析技術、數據管理工具等技術相繼涌現， 〔47 〕并進一步發展為“軟PET”和“硬PET”。〔48 〕“軟PET”旨在幫助個體就其與處理者共享個人信息與否，作出更好的決策，包括cookie管理工具、隱私儀表板、“人工智能衛士”等，后者如識別個人信息濫用并予以反制的“人工智能審查員”，或者代表個人隱私偏好的“人工智能代理人”。〔49 〕“硬PET”旨在利用復雜技術降低錯誤信任第三方的風險，蓬勃興起的“隱私計算”正是其典型。“隱私計算”試圖在不提供原始數據的前提下，分析計算數據，實現個人信息流通與融合過程中的“可用不可見”。依技術原理的差異，它可劃分為如下三類：

其一，明文算法增強技術。該技術利用明文數據變換保護原始數據，包括但不限于數據脫敏、差分隱私和聯邦學習。其中，“數據脫敏”通過一定規則對信息進行變形、屏蔽或仿真處理，消除其在原始環境中的敏感信息;“差分隱私”采取增加噪音等統計學方法轉化并隱藏原始數據;“聯邦學習”系一種分布式機器學習方法，其將原始數據轉化為中間參數，以便讓多個互不信任的參與方通過梯度或參數交換協同訓練模型，而不交換原始數據。其二，基于硬件的可信執行環境。該技術立足于硬件機制的物理隔離，在計算過程中，數據以加密形式進入執行環境，只有經授權的應用程序才能予以解密，確保敏感數據在可信環境中存儲和處理。其三，基于密碼學的隱私計算技術。該技術利用安全算法和協議，將數據加密轉化后對外提供，任意一方都無法接觸到他方的明文數據，多方安全計算（Multi-party Computation，MPC）是其重要代表。

MPC理論首先由圖靈獎獲得者姚期智教授在1982年“百萬富翁問題”中提出：兩個爭強好勝的富翁Alice和Bob在街頭相遇，如何既不暴露各自財富又能比較出誰更富有？對此，MPC允許互不信任的多個數據持有者各自輸入數據，輸出計算結果，并保證任何一方均無法得到除應得的計算結果之外的其他任何信息。MPC可廣泛用于：（1）數據可信交換。MPC為不同機構之間構建協同計算網絡中的信息索引、查詢、交換和數據跟蹤的統一標準，實現機構間數據的可信互聯互通。（2）數據安全查詢。MPC一方面保證查詢方僅得到經授權的查詢結果，對數據庫其他記錄信息不可知;另一方面，數據庫擁有方亦不知曉查詢方具體的查詢請求。（3）聯合數據分析。傳統的數據分析經MPC改進后，能夠在敏感信息不出安全域的前提下完成多方數據源協同分析計算，發掘新的數據價值。

（三）個人信息保護法的再反思

依循“個人信息保護系統”的邏輯，“科技系統”與“法律系統”彼此區隔。賦能科技如欲產生補充、替代或懸置法律的效果，就必須經由盧曼意義上的“法律反思”，使法律對科技保持認知開放，進而將其轉譯為法律規范。因為“只有法律能夠改變法律，只有在法律系統的范圍內，才能把法律規范的變化理解為法律的改變”。〔50 〕職是之故，我國個人信息保護法如何在自主性的基礎上吸納賦能科技，就成為肯綮所在。

個人信息保護法與賦能科技有關的條款見于“附則”中“去標識化”和“匿名化”規定。其中，對于“個人信息經過處理無法識別特定自然人且不能復原”的匿名化信息，個人信息保護法第4條將其排除在“個人信息”以外，因此不受該法的調整。對于“經過處理，在不借助額外信息的情況下無法識別特定自然人”的去標識化信息，個人信息保護法第51條第3項將其與“加密信息”并列，作為一種采取安全技術措施的個人信息，并未另外規定其法律后果。要之，個人信息保護法延續網絡安全法第42條和民法典第1038條的思路，形成了“個人信息—保護”和“匿名化信息—不保護”的二元格局。〔51 〕據此觀察，賦能科技只有滿足“匿名化”條件，才具有法律意義。然則，何為“匿名化”？

根據個人信息保護法的界定，匿名化的結果是“無法識別特定自然人”。其“識別”與否應從“識別主體”和“識別方式”兩方面綜合判斷， 〔52 〕意即“誰依何種方法進行識別”。就識別主體論之，有客觀主義和主觀主義分野，前者放寬至“全世界任何一人”，后者限于一定范圍內的主體。歐盟GDPR持前一立場，而英國則持后一觀點。在Department of Health v. Information Commissioner一案中， 〔53 〕法院堅持“主觀主義”判斷，使用歸謬法指出：假使個人信息持有者保留原始資料，將會使經處理的信息成為個人信息，那么將導致非常荒謬的結果——凡公開任何的統計數據，都會構成披露個人信息，只要原始信息未被刪除。事實上，我國司法實踐亦采取了相對主義標準。在“安徽美錦信息科技有限公司與淘寶（中國）軟件有限公司不正當糾紛案”中， 〔54 〕雙方就淘寶抓取并出售的用戶瀏覽和交易信息以及在其基礎上推測出的用戶性別、職業、區域、偏好信息的定性和保護產生了爭議，法院最終認定：“生意參謀”數據產品所使用的用戶信息經過“匿名化脫敏處理后已無法識別特定個人且不能復原”，公開其數據內容，對信息提供者不會產生不利影響。顯然，這里“匿名化”只是對“生意參謀”的使用者而言，而非淘寶公司，因其并未徹底刪除相關個人信息。

另外，個人信息經匿名化后“不能復原”。所謂“不能復原”，意即“無法重新識別出特定自然人”，而不是“相關信息不可還原”。〔55 〕與前文“識別”的判斷類似，重新識別的主體亦不是“全世界任何一人”，其識別方式亦限于“合理可能的手段”。這是因為，從時間維度和技術語境看，永久的、不可逆的識別是不可能的，因為依賴技術實現的匿名化，理論上仍然可為技術所破解與還原。〔56 〕但這決不意味著，匿名化是個“破碎的承諾”。實際上，匿名化以風險最小化，而不是零風險為目標，只要風險在特定場景內持續控制在可接受的范圍內，匿名化就完成了其使命。〔57 〕為了化解功能主義匿名化的剩余風險， 〔58 〕處理者不應依賴“發布后遺忘”的策略，而必須承擔持續性的個人信息保護義務，根據技術發展和情況變化定期評估是否存在新的風險。對于已確定風險，應注意評估已采取的措施是否充分，并適時調整。此外，如處理者將匿名化信息提供給第三方，則后者負有禁止再識別的法定義務與合同義務，處理者應監督其該義務的履行，其因怠監督導致信息主體受損，應與第三方共同承擔責任。

總之，個人信息識別和匿名化是一體兩面，在信息科技迭代下均呈現出相對化和流動化態勢，因而其均無整齊劃一的絕對答案，必須基于風險進路，在認知能力、技術條件和治理環境的約束作出適當的法律解釋。為此，個人信息保護法的“匿名化”在識別主體上采主觀主義解釋，在識別方式采“合理可能”解釋。由此可得如下規則：（1）在信息處理者內部使用之時的匿名化，應達到“其自身無法采取合理可能方式識別或后續重新識別特定自然人”的標準。（2）在信息處理者向社會公開個人信息之時的匿名化，應達到“社會一般人在不借助之前既有知識，無法采取合理可能方式識別或后續重新識別特定自然人”的標準。（3）信息處理者向第三方提供個人信息之時的匿名化，應達到“第三方無法采取合理可能方式識別或后續重新識別特定自然人”之標準，以避免信息提供者和接受者共謀，規避個人信息保護義務。

賦能科技能否落入匿名化處理的范圍？回答可能因情況而異。就軟PET和基于硬件的可信執行環境而言，其主要強化了個人信息主體和處理者的控制權;明文算法增強技術則是包羅萬象的框架性概念，包括了數據抽樣、確定性加密、信息壓制、抽象化、隨機化、數據合成等一系列技術，其中的差分隱私、K 匿名、L多樣性、數據聚合等已被納入歐盟第29條工作組“關于匿名化技術的意見”之中。而以密碼學為基礎的多方安全計算，其既取決于加密算法的強度、加密密鑰的長度和密鑰管理的安全性，更取決于各方所得到的計算結果是否能夠重新識別特定自然人。賦能科技法律效果為何的判斷，不應糾結于技術細節，而要回到“匿名化”的法律標準之上。倘若如此，一個問題油然而生：如果有些賦能科技沒有實現“匿名化”但達到“去標識化”，則是否具有法律意義？

在比較法上，各國多對“個人信息”和“匿名信息”之間的狀態作出專門規定。根據歐盟GDPR第6條、第89條，處理“假名化個人數據”的，可以適當放松“處理目的限定”的要求，轉而使用“處理目的兼容”的柔性規制，同時可為公共利益、科學或歷史研究或統計目的而處理，并可作為發生數據泄露責任的抗辯依據。日本2020年修訂的個人信息保護法亦引入“假名化個人信息”，豁免了包括“目的變更限制”“泄露通知義務”“持有的個人信息之相關事項的公布義務”“個人信息公開義務”“個人信息修正義務”“個人信息停止利用義務”等義務性規定。基于此，為激勵利益相關方使用賦能科技降低個人信息風險和法律執行成本，在后續的制度設計中，可以從如下方面完善“去標識化”規則：（1）個人信息處理者可在原先目的兼容的范圍處理“去標識化信息”，相關兼容性應綜合考量后續使用目的與原先目的之間的關聯性、數據收集的場景、該場景下個人的合理預期、數據性質、后續使用產生的后果及現有的保障措施;（2）個人信息向第三方提供去標識化信息的，第三方不得重新識別個人身份，信息主體有權隨時拒絕第三方的處理。〔59 〕

結語

水可覆舟，亦可載舟。信息科技固然是當今世界個人信息權益的最大威脅，但同時它也是化解危機的優先工具。隨著個人信息保護法的出臺，我國個人信息法律體系日臻完善，但只有拼接上“治理科技”這塊拼圖，個人信息治理體系才初步功成。本文研究表明，在公平、透明、合法、以人為本的設計理念下，合規科技得以強化法律保護，賦能科技得以促進各方共贏，法律和代碼由此攜手并進。最后，依然要警惕信息科技中所隱含的價值偏頗、權力宰制和民主困境，意識到其可能的邊界與限度，如此才能不迷失于科技幻境里那美妙的塞壬之歌。

Abstract： In the context of the Personal Information Protection Law （PIPL） coming out， reimagining the relationship between technology and law is an important part of the overall response to the personal information crisis in the digital age. As a place where the rights and interests of the country， enterprises， and individuals converge， personal information research must go beyond the traditional "regulation vs rights" thinking and move towards a personal information governance system based on national laws， information technology， market competition， and community norms. Information technology takes the lead among these. On the one hand， in the form of "Compliance Tech"， it transforms the principles and rules of national laws into technological protection of personal information throughout the life cycle relying on the idea of "governance by design". On the other hand， in the form of tech-empowerment， it empowers all stakeholders by reducing the cost of law enforcement and the transaction cost of the parties， and even by changing the proposition of law involved. Therefore， the law should reasonably explain the elements of "anonymization"， recognize the legal significance of "de-identified information"， so that IT and law can be coordinated with each other to jointly build an incentive-compatible system of personal information governance.

Key words： personal data governance; personal information protection law; govern tech; compliance tech; empower tech; anonymization