從個人控制與產品規制到合作治理
——論個人信息保護的模式轉變

李 芊

一、問題的提出

2021 年11 月1 日，《個人信息保護法》開始實施。該法明確了個人信息的范圍、個人信息主體的權利、信息處理者的義務及責任分配、主管部門的責任等內容，構建了個人信息保護制度的基本框架。個人信息保護模式要溯源到公平信息實踐（Fair Information Practices，簡稱“FIP”）。20 世紀70 年代，美國衛生、教育和福利部門中的一個咨詢委員會關注到美國政府大量處理個人信息的行為，提出了以公平信息實踐五項原則來應對個人信息處理與運用中的不合理行為。該報告指出：“基于檔案保存中的互惠觀念，保護個人隱私需要檔案保存者遵守公平信息實踐中的基本原則。”〔1〕See U.S. Department of Health Education and Welfare, Records, Computers, and the Rights of Citizens Report of the Secretary’s Advisory Committee on Automated Personal Data Systems, The MIT Press, 1973.到了1977 年，公平信息實踐進一步發展出了公開、個人訪問、個人參與、收集限制、使用限制、披露限制、信息管理、問責等原則，〔2〕參見丁曉東：《論個人信息法律保護的思想淵源與基本原理——基于“公平信息實踐”的分析》，載《現代法學》2019 年第3 期，第97-98 頁。初步確立了個人信息保護制度的基本框架，并逐漸發展成了現代信息隱私法的基礎。〔3〕See Woodrow Hartzog, “The Inadequate, Invaluable Fair Information Practices”, 76 Maryland Law Review 952, 953-954 （2017）.

在以公平實踐為基礎的個人信息保護框架中，個人控制模式占據了重要地位。然而，一些國家、地區的個人控制要求不斷異化，異化后的個人控制模式難以應對層出不窮的問題。本文從個人控制的限度出發，并結合產品規制這一替代方案的優點與不足，對個人信息保護模式進行重構性分析。本文首先指出個人控制模式的不足與危機，并指出產品規制這一替代性模式。其次，本文指出，產品規制雖然可以緩解個人控制的絕對化實踐方式，但在實施過程中也面臨若干問題：自身的正當性解釋力不足；自身體系不完整、救濟方式不明確；完全忽視了個人控制模式的可能優點。最后，為解決上述問題，本文引入合作治理的概念，試圖結合個人控制與產品規制的優點，整合個人信息保護中的制度工具，從而為解決個人信息保護提供更為整全性的方案。

二、個人控制模式的危機

（一）個人控制模式的內容與異化

在公平信息實踐原則的具體化實踐中，最關鍵的內容是賦予主體“隱私自我管理”的權利，這是個人信息保護立法與實踐的基本范式和方法。〔4〕See Paul M. Schwartz, “Privacy and Democracy in Cyberspace”, 52 Vanderbilt Law Review 1609,1659（1999）.隱私的自我管理理論也可稱為“個人控制”，是指個人能夠知曉、管理、選擇個人信息的內容以及流向的能力。其主要依賴兩方面的機制得以實現：賦權機制與同意機制。賦權機制并非賦予個人信息處理者與信息主體對等的權利義務，而是將權利的天平傾向個人信息主體。同意機制則以“告知—同意”為核心，要求信息處理者在處理個人信息時應當事先充分告知，經個人同意方能獲取個人信息，而且個人有權撤回同意。另外，信息處理者在信息變更時需要重新取得個人的同意。

在實踐中，以賦權機制及“告知—同意”為核心的同意機制逐漸成為個人控制模式中最主要的保護工具。然而，隨著這種模式的不斷發展與演化，“告知—同意”幾乎成了個人信息保護的最重要工具。這種過度強調個人控制重要性的方式使得個人信息保護模式逐漸走向單一化與形式化，忽視了現實因素、風險控制和綜合治理等問題。

當然，為了更好地實現控制效果，同意機制進行了一系列的優化。例如，信息處理者在獲取同意時，可能會強制用戶閱讀隱私政策，或者突出告知用戶重點條款等，這可能在一定程度上改善了真實同意率低的現象。但是這些做法依舊沒有從根本上解決個人控制模式的內在缺陷，并不能達到最初預想的效果。面對日新月異的新技術與新問題，絕對化的個人控制框架已經出現了適用局限，難以承擔起整個個人信息保護的重任。

（二）個人控制模式實施的主要限度

個人控制模式之所以被廣泛運用，原因在于這一模式的簡便易行與對企業的友好性。以歐盟《一般數據保護條例》（以下簡稱“GDPR”）為例，其頒布在世界范圍內影響巨大，〔5〕See Paul M. Schwartz, “Global Data Privacy: The EU Way”, 94 New York University Law Review 771, 771 （2019）.相對于其他保護模式，個人控制模式更易于理解與掌握，也因此常常被模仿與移植。〔6〕See Ari Ezra Waldman, “Privacy Law’ s False Promise”, 97 Washington University Law Review 773,795（2020）.企業可以通過出具隱私政策的方式較為便利地獲取個人信息，保持自身透明度。〔7〕See Anupam Chander, Margot E. Kaminski&William McGeveran, “Catalyzing Privacy Law”, 105 Minnesota Law Review 1733,1740 （2021）.但正如后文將要指出，這種形式化的借鑒其實是對歐盟GDPR 的片面化理解，忽視了GDPR 作為完整的個人信息保護系統的存在。〔8〕See Jacob Victor, “The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy”, 123 Yale Law Journal 513, 518-519 （2013）.同時，過于形式化與表面化的借鑒導致一些國家忽視了各自的差異，在實踐上保持無差別模仿實施。〔9〕See Kenneth A. Bamberger & Deirdre K. Mulligan, “Privacy on the Books and on the Ground”, 63 Stanford Law Review 247,247 （2010）.這些因素使得個人控制模式大行其道，逐漸上升為隱私保護的替代方式并受到了很多批評。〔10〕See Elizabeth Edenberg & Meg Leta Jones, “Analyzing the Legal Roots and Moral Core of Digital Consent”, 21 New Media& Society 1804, 1804 （2019）; Woodrow Hartzog & Neil Richards, “Privacy’ s Trust Gap”,126 Yale Law Journal 908, 1180（2017）; Neil Richards & Woodrow Hartzog, “Taking Trust Seriously in Privacy Law”, 19 Stanford Technology Law Review 431, 431（2016）; Daniel J.Solove, “Privacy Self-Management and the Consent Dilemma”,126 Harvard Law Review 1880,1880（2013）.具體來講，個人控制模式在實踐中存在如下多方面問題。

一是同意機制的局限。個人控制的僵化或者過度使用（特別是對于同意機制的過度推崇）可能帶來危險。同意機制會給大眾帶來一種錯覺——對信息的控制可以替代隱私保護本身。〔11〕See Michael Zimmer, Mark Zuckerberg’ s Theory of Privacy, Washington Post, 2014.正如索洛夫教授所說，這種看法看似合理，實際上卻是以“控制”的概念偷換了“隱私”或個人信息保護概念。數據與個人信息具有時間上的延展性與風險上的聚合性，而“告知—同意”只強調在某一時刻讓個體對信息進行控制。在此種情形下，個人往往很難預判個人信息被收集后的去向，以及某一個人信息和其他信息聚合所產生的效應。〔12〕See Neil Richards & Woodrow Hartzog, “The Pathologies of Digital Consent”, 96 Washington University Law Review 1461,1461 （2019）.正如行為主義經濟學的研究指出的，個人往往容易忽視那些非即時性、非重大性的風險。〔13〕See Christine Jolls, Cass R. Sunstein & Richard Thaler, “A Behavioral Approach to Law and Economics”, 50 Stanford Law Review 1471,1477（1998）.另外，信息主體常常容易受信息處理者的操控。很多實證研究指出，企業等信息處理者為了自己的利益，常常能夠營造讓個人輕易同意的環境。〔14〕See Daniel Schwarcz, “Beyond Disclosure: The Case for Banning Contingent Commissions”, 25 Yale Law& Policy Review 289, 314-315 （2007）.總而言之，上述個人控制模式中的種種因素結合，常常導致個體無法理性地做選擇，阻礙了同意與控制發揮預期的效果。〔15〕See Neil Richards & Woodrow Hartzog, “A Duty of Loyalty for Privacy Law”, 99 Washington University Law Review 42-73 （forthcoming 2021）; Alessandro Acquisti, Laura Brandimarte & George Loewenstein, “Privacy and Human Behavior in the Age of Information”, 347 Science 509, 509 （2015）.沿著“告知—同意”絕對化的路徑，個人信息保護可能會越來越形式化，逐漸滑向“形式備案制”，阻礙了其實質性保護。

二是權利救濟執行不足。有觀點認為，通過個人信息賦權可以更好地實現保護目的，〔16〕See Salome Viljoen, “Democratic Data: A Relational Theory of Data Governance”, 131Yale Law Journal 370, 573 （2021）.但這些權利卻可能成為紙面上的權利，很難進行救濟。個人信息保護的權利損害也存在維權難度大、損害證明難、損害不確定等眾多問題。〔17〕See Daniel J. Solove & Danielle Keats Citron, “Risk and Anxiety: A Theory of Data-Breach Harms”, 96 Texas Law Review 737,737 （2018）; Julie E. Cohen, “Information Privacy Litigation as Bellwether for Institutional Change”, 66 DePaul L. Rev. 535 （2017）.面對較高的司法救濟成本，當事人常常選擇放棄積極維權，被動地承受侵害結果；或者即使提起訴訟，也難以贏得訴訟或者獲得有效賠償。因此，法律雖然形式上對個人進行信息賦權，但實際上卻將風險留給了用戶。如果用戶沒有謹慎關注并加強自我防范，那就很有可能承擔信息泄露的風險與不利后果。〔18〕See Julie E. Cohen, “Examined Lives: Informational Privacy and the Subject as Object”, 52 Stanford Law Review 1373, 1423-1425 （2000）.

三是信任與社會關系維護的局限。以“告知—同意”為核心的個人控制模式的另一重要價值是實現企業對個人信息的合理利用，建構企業等信息處理者與個人之間的和諧關系。〔19〕See William McGeveran, “Riending the Privacy Regulators”, 58 Arizona Law Review 959, 973-974 （2016）.但是現實是，由于個人信息處理者與個人信息主體之間總是呈現出持續的不平等關系，個人信息主體在信息處理者面前可能會面臨長期的不安全感與不信任。〔20〕參見丁曉東：《個人信息權利的反思與重塑——論個人信息保護的適用前提與法益基礎》，載《中外法學》2020 年第2 期。正是基于二者信息能力的巨大差距，有學者指出，無論是人格權保護還是財產權保護，如果僅僅采取個人控制模式或個人主義的立場，很難從根源上解決這種持續不平等的關系。〔21〕See Salome Viljoen, “Democratic Data: A Relational Theory of Data Governance”, 131Yale Law Journal 573, 573 （2021）.過多的信息披露與個人控制，不但無法解決信息處理者與個人之間的信任危機，反而給個體帶來信息過載的問題。〔22〕See Omri Ben-Shahar & Carl E. Schneider, “The Failure of Mandated Disclosure”, 159 University of Pennsylvania Law Review 647, 647 （2011）.

三、產品規制對個人控制模式的改進及局限

（一）產品規制理論產生的背景

個人控制的異化在某種層面挑戰了傳統的契約思維與個人權利本位思維。智能技術的發展、產業的集中與壟斷，使得賦權的預防風險效果并不如其在工業社會中那么明顯。另外，大數據時代給個人信息保護帶來了新的挑戰。由于網絡空間的信息流通具有公共性，信息本身具有交叉與聚合的特征，個人信息保護的問題不再是一個純私人化的問題，而帶有一定公共屬性。同時，科技與平臺的崛起正在以知識的壓倒性優勢影響著物理與虛擬世界中的“權力”分配，人們的行為方式和生活方式都在信息化、數字化過程中被不斷重建。〔23〕參見馬長山：《邁向數字社會的法律》，法律出版社2021 年版，第275-277 頁。政策制定者開始嘗試在個人信息保護領域轉變思維：既然個體難以對個人信息流通的風險進行有效預判，那就應當從強化信息處理者責任的角度出發，增強信息處理者的責任、加強風險防范措施與強化個人主體的合理預期建設，以此補充執行力不足的個人控制。〔24〕See Omri Ben-Shahar & Carl E. Schneider, “The Failure of Mandated Disclosure”, 159 University of Pennsylvania Law Review 647, 743 （2011）.

不同于個人控制模式，產品規制思路提倡從產品出發，以技術設計來實現隱私保護的功能。20世紀末，勞倫斯?萊斯格（Lawrence Lessig）教授提出，規制科技的方法除了法律，還包括準則、市場以及代碼架構。〔25〕See Lawrence Lessig, Code: And Other Laws of Cyberspace, Version 2.0, Basic Books, 2006.代碼理論的提出打破了傳統，揭示了網絡世界不再由單一的法律進行規制，而是轉向各種規制要素的組合。同時，隨著網絡技術與互聯網的廣泛應用，學界開始出現了一種新的個人信息保護思路——Privacy by Design（簡稱“PbD”）。這一理論最初是由加拿大渥太華信息與隱私委員會前主席安? 卡沃基安（Ann Cavoukian）提出。安?卡沃基安認為PbD 的核心是：第一，積極預防風險，從產品源頭融入價值與設計導向，以事后救濟相輔助；第二，產品默認設置保護用戶個人信息，用戶無須消耗多余精力；第三，實現正和而非零和博弈，提倡價值主導、利益共存的理念。安?卡沃基安強調隱私設計為核心的法律框架，認為企業可以通過更好的設計實現個人信息保護，同時也能為產品自身創造市場競爭優勢。〔26〕參見鄭志峰：《通過設計的個人信息》，載《華東政法大學學報》2018 年第6 期，第53-54 頁。至此，以價值為導向、以技術設計為手段的產品規制理論研究快速發展。2009年，在西班牙馬德里召開的第31 屆數據保護和隱私委員會國際會議專門成立了一個有關PbD 的工作小組。2010 年10 月，第32 屆數據保護和隱私專員國際大會（ICDPPC）一致通過《隱私設計方案》，明確將隱私設計理論作為未來個人信息保護關鍵部分，鼓勵各國數據保護機構和隱私機構踐行該理論。

產品規制不僅是一種理論設想，也是一種制度實踐。以歐盟GDPR 為例，它要求有信息處理行為的企業能夠遵守數據處理原則并提供相關證明。〔27〕歐盟在《一般數據條例》原則部分規定了處理個人數據時的原則與控制者的責任。參見《一般數據保護條例》 第5條第2款。GDPR 在“控制者的責任”部分明確規定了“通過設計的數據保護”，要求控制者“應當”在決定處理方式時采取合適的技術措施。這就意味著，隱私技術設計不再僅僅是一項倡議，而上升為一項法律規定。〔28〕See Ira Rubinstein & Nathan Good, “The Trouble with Article 25 （and How to Fix It）: The Future of Data Protection by Design and Default”, 10 International Data Privacy Law 37 （2020）.換句話說，控制者有義務通過產品設計來進行數據保護，如果設計的部分存在不合法行為，那么執法者與監督者可以對其進行問責。但同時，GDPR 的規定非常簡潔，在執行上依賴歐洲數據保護委員會（EDPB）的《行動指南》加以解釋與實施。〔29〕歐洲數據保護委員會（EDPB）2020 年10 月20 日發布的《關于第25 條有關設計和默認數據保護的指南4/2019》。See EDPB, “Guidelines 4/2019 on Article 25 Data Protection by Design and by Default”, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf., accessed September 2, 2021.在美國，產品規制模式也同樣具有較強影響力。在2010 年和2012 年的網絡安全報告中，美國聯邦貿易委員會（FTC）大幅擴展公平信息實踐原則的內容，并闡述了PbD 的概念與內容。報告還提出公司應“將實質性隱私保護納入其業務實踐，例如數據安全、合理的收集限制、良好的保留和處置實踐以及數據準確性”。〔30〕Stuart L. Pardau & Blake Edwards, “The FTC, the Unfairness Doctrine, and Privacy by Design: New Legal Frontiers in Cybersecurity”, 12 J. Bus. & Tech. L. 227 （2017）.這四項規定也成了美國產品規制中最重要的原則。

（二）產品規制可能產生的風險與局限

產品規制思路可以彌補個人控制模式的不足，在實踐中較為靈活，但它在理論與實踐領域也面臨一些挑戰與難題。

第一，產品規制的正當性解釋力不足。在大數據與信息時代，技術設計看似是私人選擇，但實際已經成為公共問題，技術決策會對社會產生深刻的影響。〔31〕See Lucas D. Introna & Helen Nissenbaum, “Shaping the Web: Why the Politics of Search Engines Matters”,16 Info. Soc’y 169-185 （2000）.因此，對社會有深刻影響的技術不應該被私人化，而應作為公共決策的一部分。〔32〕See Trevor J. Pinch & Wiebe E. Bijker,“ The Social Construction of Facts and Artefacts: Or How the Sociology of Science and the Sociology of Technology Might Benefit Each Other”,14 Social Studies of Science 400（ 1984）; Kenneth A. Bamberger & Deirdre K.Mulligan,“ Privacy on the Books and on the Ground”, 63 Stanford Law Review 247, 287-289（ 2011）.代碼技術的存在已經對現有法律體系發出了挑戰，甚至在某種程度上已經在網絡世界充當了“法律”的作用，而制定技術標準的機構在一定程度上類似于立法機構。〔33〕See Nick Doty & Deirdre K. Mulligan,“ Internet Multistakeholder Processes and Techno-Policy Standards: Initial Reflections on Privacy at the World Wide Web Consortium”, 11 J. Telecomm. & High Tech. L. 135, 157（ 2013）.當一個被價值引導的新設計成為新的標準時，應當受到公眾參與、審議、公開、問責等程序的保護。〔34〕See Karen Yeung,“ The Forms and Limits of Choice Architecture as a Tool of Government”, 38 Law & Policy 186, 195（ 2016）.從這個層面上來說，如果我們不能為技術設計制定適當的規則，在缺乏公眾參與程序時就做出決策，那么可能會犧牲規則的正當性與重要的社會價值。〔35〕See Jack M. Balkin,“ Information Fiduciaries and the First Amendment”, 49 UC Davis Law Review 1183（ 2016）.因此，重要的技術設計需要不同利益相關者的共同參與，并以有意義的方式滲透到設計和政策的所有階段。〔36〕See Kenneth A. Bamberger & Deirdre K. Mulligan,“ Privacy on the Books and on the Ground”, 63 Stanford Law Review 247,287-289（ 2011）.

第二，產品治理框架與體系不夠清晰。理論上，產品規制雖然在某些領域已經立法，但仍缺乏配套的制度與體系。在實踐中，產品規制在運行過程中由于相對靈活，在準確性與安定性方面相對欠缺。此外，產品規制無法完全替代個人控制的作用。產品規制主要用于彌補個人控制模式的不足，但實踐中的產品規制與個人控制銜接較差，需要進一步協調。另外，產品規制的救濟方式也較為模糊，以產品設計理論看待隱私與個人信息保護，必須要明確救濟方式才能實現保護的目的。著名隱私學家伍德羅?哈佐格（Woodrow Hartzog）基于產品規制理論設計了一幅隱私保護實踐藍圖，他提到產品規制的對象包括欺詐設計、濫用設計和危險設計。〔37〕See Woodrow Hartzog, Privacy’s Blueprint: The Battle to Control the Design of New Technologies, Harvard University Press,2018, pp. 133-156.通常而言，啟動相關救濟途徑的方式為提起產品侵權之訴。但是，隱私產品侵權這種新型損害與傳統的形式存在差別，隱私產品侵權一般表現為一種微型、無形、大規模的風險與損害。〔38〕See Danielle Keats Citron,“ Reservoirs of Danger: The Evolution of Public and Private Law at the Dawn of the Information Age”, 80 Southern California Law Review 241（ 2007）.傳統的司法實踐無法識別出這些“新型損害”，這就導致產品規制的救濟途徑十分模糊。〔39〕See Julie E. Cohen,“ Information Privacy Litigation as Bellwether for Institutional Change”, 66 DePaul L. Rev.（ 2017）.也有學者提出可以參考環境保護與消費者保護中的公益訴訟制度，但是在實踐方面也不夠清晰明了。〔40〕See Dempsey James et al.,“ Breaking the Privacy Gridlock: A Broader Look at Remedies”, https://ssrn.com/abstract=3839711.,accessed May 20, 2021.

第三，強制規制與企業自治之間難以平衡。產品規制模式主張重視隱私產品的源頭設計，這在實踐中伴生著風險：當監管力量不足時，企業會不受管控，侵占規制領域并過度分享國家的權力；而當監管過于強勢時，企業與平臺自身的創新性發展就會受到限制。歐盟通過GDPR 為產品設計設立了底線。歐盟要求信息控制者要以有效的、符合原則的方式部署設計，并且他們要能夠證明其已經實施了用于保護數據主體權利與數據安全的專門措施。同時，這種證明必須是具體的、有明確依據的。〔41〕具體表現為，技術的目的必須能夠作用于特定的場景之中，如處理的范圍、目的等。除此之外，企業還需要通過具體明確的報告來證明他們設計的有效性，如報告能夠說明經過設計之后，用戶投訴減少了或者個人信息主體能夠更方便實現權利等。另外，企業還可以通過專家評估、績效評估等來證明設計的有效性。而美國主要通過消費者保護進行兜底，只要不損害消費者利益的設計都是可以允許的，設計監管門檻比較低。兩者各有側重，前者比較注重合法性與社會秩序，后者更看重自由交易與公共利益。

綜上，產品規制模式的實踐可以彌補個人控制模式的短板，平衡個人信息保護與數據流通兩個重要方面，因而煥發出強大的生命力。相比單純的“個人控制”模式，產品規制模式的引入可以起到更好的風險預防作用，其風險防控與事前保護思維對于規制復雜精密的、以科學技術為背景的信息技術行業具有重要意義。同時，產品規制開始嘗試以規制重要隱私設計的方式來承擔個人權利保護的部分功能。當然，其局限性也非常明顯。如上所述，產品規制的正當性問題并沒有得到解決；產品規制與個人控制協調不足、產品規制的救濟方式模糊不清；在產品規制模式下，強制監管與企業自治之間的矛盾也未得到緩解。

四、基于合作治理的個人信息保護

（一）合作治理模式的引入

為了解決個人控制模式與產品規制模式的不足，同時整合二者的優點，可以引入合作治理的概念。合作治理可以追溯到20 世紀50 年代，〔42〕See Orly Lobel, “The Renew Deal: The Fall of Regulation and the Rise of Governance in Contemporary Legal Thought”, 89 Minn. L. Rev. 342,342-344（2004）; Neil Gunningham & Joseph Rees, “Industry Self-Regulation: An Institutional Perspective”, 19 Law &Policy 363, 363-366 （1997）.這一治理模式提倡正式制度與非正式制度共同作用，提倡協商，而非強制管制。在合作治理中，政府的職能除了命令與控制，還包括與其他部門的聯合行動。與此同時，20 世紀末，世界銀行及其他相關組織在發展非政府組織和民間治理力量時提出了合作治理，即不同利益參與者合作互補的治理模式，以實現社會效益的最大化。在學術層面，朱迪?弗里曼（Jody Freeman）等教授對合作治理進行了梳理，特別對環境法領域的合作治理進行了深入研究。〔43〕參見 ［美］朱迪?弗里曼：《合作治理與新行政法》，畢洪海、陳標沖譯，商務印書館2010 年版。近年來，一些學者也開始聚焦個人信息領域的合作治理經驗，將其與環境保護中的合作治理經驗進行參照和比較。〔44〕See Dennis D. Hirsch, “Going Dutch? Collaborative Dutch Privacy Regulation and the Lessons it Holds for U.S. Privacy Law”, 2013 Mich. St. L. Rev. 83,96（2013）; Dennis D. Hirsch, “Protecting the Inner Environment: What Privacy Regulation Can Learn from Environmental Law”,41Georgia Law Review 1（2006）; Dennis D. Hirsch, “The Law and Policy of Online Privacy: Regulation, Self-Regulation, or Co-Regulation?”, 34 Seattle University Law Review 439 （2011）.

以歐盟的數據保護為例，GDPR 在一定程度上踐行了公私之間的合作治理。GDPR 主要由兩部分制度組成：個人控制制度與企業問責制度。一方面，GDPR 在個人控制部分規定了信息處理的合法性基礎與基本權利，如訪問權、更正權、刪除權（即“被遺忘權”）、數據攜帶權、反對權以及與自動決策有關的權利。另一方面，GDPR 給企業規定了重要的義務與責任，旨在指導企業合規標準，推動企業做出基于權利保護的決策與風險評估。〔45〕例如數據保護機構（DPA）有權命令公司提供給他們執行任務所需的任何信息，并進行數據保護審計。在企業進行數據處理（可能對自然人的權利和自由造成高風險）時必須進行數據保護影響評估。對于高風險數據處理活動，公司必須與監管機構分享影響評估結果并咨詢監管機構。因此，歐盟GDPR 非常注重通過細化企業的義務去影響該企業的合規習慣，進而把數據保護融入企業文化之中。GDPR 立法看似把重心全部放到了個人控制之上，但實際上強調內部協調工作，即“立法者通過影響公司合規的內容與過程，圍繞數據保護的權利與價值重新確定實踐與保護的優先次序”。〔46〕Margot E. Kaminski, “Binary Governance: Lessons from the GDPR’ s Approach to Algorithmic Accountability”, 92 Southern California Law Review 1529, 1585 （2019）.另外，GDPR 通過助推公司“在企業系統層面承擔責任，把有意義的信息反饋給監管者，助力于新的權利形成”。〔47〕Margot E. Kaminski & Gianclaudio Malgieri, “Algorithmic Impact Assessments Under the GDPR: Producing Multi-Layered Explanations” ,11 Int’l Data Priv. L. 125 （2021）.總之，歐盟GDPR 試圖以“內部治理”來推動“外部治理”的實現，進一步影響歐洲甚至全球的隱私技術發展與社會組織的基礎設施建設。

從歐盟的例子看，合作治理理念提倡兼容并包、軟硬搭配，整個過程是協商有序的，而非控制僵硬的。〔48〕參見羅豪才、宋功德：《認真對待軟法——公域軟法的一般理論及其中國實踐》，載《中國法學》2006 年第2 期。合作治理呈現以下特點：第一，“以解決問題為導向”，要求擁有知識的各方利益主體共享信息，共同圍繞相關問題的設計、實施與解決進行審議；〔49〕參見 ［美］朱迪?弗里曼：《合作治理與新行政法》，畢洪海、陳標沖譯，商務印書館2010 年版。第二，受到影響的不同利益集團共同參與到不同階段的決定當中，在過程中實現民主價值；第三，主導者能夠通過連續監控與評估，及時得到實施過程中的反饋；第四，提倡豐富監督和實施方式，包括自我規制與披露、社會監督和第三方鑒定等。行政機關可以充當監督者或協調者，并在必要的時候提供技術資源、資金扶持等。

以數據治理思路來整合個人信息保護框架，既能強化產品規制的正當性，又能處理好不同制度之間的銜接。〔50〕See Mike Ananny & Kate Crawford, “Seeing Without Knowing: Limitations of the Transparency Ideal and Its Application to Algorithmic Accountability”, 20 New Media & Society 973, 983-984 （2018）; Maayan Perel & Niva Elkin-Koren, “Accountability in Algorithmic Copyright Enforcement”, 19 Stan. Tech. L. Rev. 473,529-531（2016）; Margot E. Kaminski, “Binary Governance: Lessons from the GDPR’ s Approach to Algorithmic Accountability” , 92 Southern California Law Review 1529 （2019）; Lobel Orly, “Be Renew Deal: Be Fall of Regulation and the Rise of Governance in Contemporary Legal Thought”, 89 Minnesota Law Review 342, 663 （2004）.在合作治理中，個人控制與產品規制并非水火不容，而是體現為不同的治理思路。前者從個人權利出發，注重個人信息保護的合法性與人格尊嚴。后者從產品出發，更關注企業責任與社會利益。換一個角度說，合作治理的目的不是對個人控制與產品規制的純粹批判與取代，相反，合作治理更注重兩者優點的結合，是一種思路與方法論上的整合與改進。本文嘗試提出以合作治理來分析個人信息保護領域的不同制度、方法與工具，并以這種思路對個人信息保護框架重新進行梳理與整合。

（二）個人控制的程序性再生

上文指出，如果法律制度僅依靠在個人權利層面通過解決偶然損害的方式保護個人信息，不僅難以解決當下問題，還會導致問題不斷惡化。〔51〕See Bart van der Sloot & Sascha van Schendel, “Procedural Law for the Data-driven Society”, 30 Information & Communications Technology Law. 304, 304-306（2021）.但需要強調，這并不代表個人控制沒有任何價值。個人控制不僅可以作為實體性價值存在，更能以程序性價值助力于個人信息保護。

以數據治理效果而言，個人控制的程序價值體現在：第一，以程序約束信息處理者。平臺企業與信息處理者的“超級權力”可以實現特定領域內的規則制定與社會資源分配。為了防止“權力的濫用”，平臺算法與處理信息的行為需要受到審查與監督，而個人控制可以在程序上為其提供約束。〔52〕參見陳景輝：《算法的法律性質：言論、商業秘密還是正當程序？》，載《比較法研究》2020 年第2 期，第129-130 頁。第二，以程序保護個人信息主體。當處理個人信息的行為有法律規定的正當程序做背書時，信息處理者的行為更具有正當性與確定性。這也有助于緩解個人信息主體對處理者的敵對情緒，促進數據良性流通。第三，以程序優化執行。相比于實體的法，程序之法能夠被不斷細化執行、合理分配職能。所以從某種程度上來說，把個人信息保護法理解為 “程序的法”而不是“實體的法”更具有現實的保護意義。〔53〕See Chris Jay Hoofnagle et al.,“ The European Union General Data Protection Regulation: What it is and What it Means”, 28 Info. & Commc’ns Tech. L. 65, 67（2019）.

以個人信息主體而言，個人控制的程序性價值在于能夠增加主體預期，方便他們基于權利類型化與同意機制中的具體程序步驟直接向信息處理者主張權利，這在一定程度上減輕了繁重的司法負擔。同時，個人也可以通過自行投訴或者依賴非官方組織投訴的方式向監管者反饋，監管者基于反饋展開對不合法信息收集行為的調查。〔54〕See Omri Ben-Shahar & Lior Jacob Strahilevitz,“ Contracting Over Privacy: Introduction”,43 Journal of Legal Studies 1, 1-11（2016）.

就個人信息處理者而言，這種方式可以通過強化個人信息處理者的責任，實現個人信息保護。因為“只有將責任倫理嵌入數據收集、流通與處理的每一個環節，以此倒逼算法治理，通過個人數據實現算法治理才能真正起到實效”。〔55〕丁曉東：《論算法的法律規制》，載《中國社會科學》2020 年第12 期，第156 頁。在治理過程中，除了政府規定的嚴格責任，個人信息立法也應該同時關注協同治理的規則。在這個過程中，政府與企業可以通過持續的風險評估來保護個人權益，這比單純的個人控制模式更具有靈活性。〔56〕See Claudia Quelle,“ The‘ Risk Revolution’ in EU Data Protection Law: We Can’t Have Our Cake and Eat It, Too”, R Leenes et al. eds., Data Protection and Privacy: The Age of Intelligent Machines, Hart Publishing, Forthcoming,https://ssrn.com/abstract=3000382.,accessed January 15, 2022.

（三）以關系建構作為合作治理的核心

在個人控制時代，個人權利本位觀念深入人心，隱私保護與個人信息被普遍認為是一個有關權利保護的問題。但是，個人信息權利本質上是一種關系性權利。早在1989 年，耶魯大學法學院前院長羅伯特?波斯特（Robert Post）就在書中討論了有關隱私屬性的相關問題。他認為，雖然隱私權表面呈現的是個人權利的樣態，但是本質上卻是社會群體所承認的特定的社會規范與文明規則，具有一定的社會關系屬性。〔57〕See Robert C. Post,“ The Social Foundations of Privacy: Community and the Self in the Common Law Tort”, 77 California Law Review 957（ 1989）.海倫?尼森鮑姆（Helen Nissenbaum）進一步提出，隱私的保護是由社會規范與環境所決定的，要在不同場景之下實現差別式保護。〔58〕See Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009;Salome Viljoen,“ Democratic Data: A Relational Theory of Data Governance”, 131 Yale Law Journal 573（ 2021）.朱莉?科恩（Julie Cohen）也指出，隱私應該盡量脫離自由主義的概念，在社會建構中不斷完善。〔59〕See Julie E. Cohen, Between Truth and Power: the Legal Constructions of Informational Capitalism, Oxford University Press,2019.越來越多的學者開始認同隱私保護與個人信息保護應該放在一個動態、溝通的環境之中，而非靜態、孤立與絕對化之中。

此外，關于信義義務的研究也與合作治理具有內在邏輯的一致性。〔60〕See Ariel Dobkin,“ Information Fiduciaries in Practice: Data Privacy and User Expectations”, 33 Berkeley Technology Law Journal 1, 10-12（ 2018）.耶魯大學法學院的杰克?巴爾金（Jack Balkin）教授曾提出信息信托（Information Fiduciaries）的概念，信息處理者作為信息受托人應當承擔忠誠義務和謹慎義務。〔61〕See Lina M. Khan & David E. Pozen,“ A Skeptical View of Information Fiduciaries”,133 Harv. L. Rev. 487, 498-499（ 2019）.他認為，主體之間信任關系的建設可以挽回個人對于平臺的信任，同時增強平臺的社會責任感。紐約大學法學院的阿里?瓦爾德曼（Ari Ezra Waldman）教授也認為，構建在信任基礎之上的隱私觀更能恰當地為信息隱私劃定邊界。〔62〕See Neil Richards & Woodrow Hartzog, “Taking Trust Seriously in Privacy Law”, 19 Stanford Technology Law Review 431,431-472 （2016）; Ari Ezra Waldman, “Privacy as Trust: Sharing Personal Information in a Networked World”, 69 University of Miami Law Review 559, 560-590 （2015）.伍德羅?哈佐格（Woodrow Hartzog）與尼爾?理查德（Neil Richards）教授更是在信任關系之上建立了一套完整的信息隱私保護藍圖。〔63〕See Woodrow Hartzog, Privacy’s Blueprint: The Battle to Control the Design of New Technologies, Harvard University Press,2018, pp.100-102.

在實踐中，信任與信托理論在實踐中也影響廣泛。例如2021 年5 月18 日，紐約參議院消費者保護委員會通過的《紐約隱私法案》（NYPA）闡述了“數據受托人”的概念與細則。〔64〕這一草案具體規定了信息控制者作為數據受托人不應以傷害消費者的方式使用消費者的個人信息，即不可以損害消費者的身體、經濟、心理或聲譽利益的方式使用消費者的個人信息。相比《加利福尼亞消費者隱私法案》（CCPA）和《弗吉尼亞消費者數據保護法案》（VCDPA），《紐約隱私法案》創造了一種較為不同的信息隱私法。這部草案由紐約州參議員凱文?托馬斯（Kevin Thomas）提出，來源：https://legislation.nysenate.gov/pdf/bills/2019/S5642.，2021 年10 月20 日訪問。除了立法上的新動向，國會同臉書創始人扎克伯格約談時多次提及了巴爾金的信息信托理論。經過多次約談與聽證會后，兩方開始試圖達成共識——基于信任關系的考慮，臉書應當對用戶的隱私利益負責。〔65〕See Nathan Heller, “We May Own Our Data, But Facebook Has a Duty to Protect It”, https://www.newyorker.com/tech/annalsof-technology/we-may-own-our-data-but-facebook-has-a-duty-to-protect-it., accessed September 28, 2021.由此可見，美國開始在個人信息保護領域嘗試運用信息信托保護消費者的利益，開始注重維護個人信息主體與信息處理者之間的信任關系。在我國，我國立法者在《個人信息保護法（草案）》中曾經一度引進信息信托理論，但由于這一理論過于學術沒有保留。但從終稿來看，《個人信息保護法》還是在個人信息處理原則部分加入了“誠信”這一原則，保留了信任與信息信托理論的核心理念。

（四）不同問責機制的合作協調

傳統觀點認為，監管者只有依賴強制性規范才能更好地保護個人信息。但是如果政府能協調處理好政府強制規制與企業自我規制之間的關系，就能為個人信息保護提供另一替代性的問責與監管方案。現代理性政府的構建既需要強制力與遠見，也需要外部專家知識與問責機制。在實踐中，政府面對新技術常常無法做非常準確的風險與收益研判，只能采取謙抑姿態和審慎包容的策略。因此，涉及技術的立法與司法常常需要走一條“先了解技術，然后才立規”的路徑。〔66〕參見馬長山：《數字社會的治理邏輯及其法治化展開》，載《法律科學（西北政法大學學報）》2020 年第5 期，第12 頁。在這個意義上，合作治理提供了一種可以理性實現目標的可能途徑。一方面，合作治理可以為政府提供具有權威性的剛性治理方式，〔67〕See Maayan Perel & Niva Elkin-Koren, “Accountability in Algorithmic Copyright Enforcement”, 19 Stan. Tech. L. Rev. 473,529-531 （2016）.例如政府的執法機構與完整問責制實施。〔68〕See Margot E. Kaminski,“ Binary Governance: Lessons from the GDPR’s Approach to Algorithmic Accountability”, 92 Southern California Law Review 1529（ 2019）.另一方面，政府可以通過與企業持續對話保持專業知識的敏銳度。例如，政府通過與企業協商的內部程序和評估手段來減輕個人信息處理時的風險，決定企業“什么時候必須要遵守個人信息相關權利，什么時候可以合法地援引例外情況等”。〔69〕Margot E. Kaminski & Gianclaudio Malgieri,“ Algorithmic Impact Assessments Under the GDPR: Producing Multi-Layered Explanations”, 11 International Data Privacy Law 125（ 2021）.

總之，構建一套完整的責任機制可以實現權威性與靈活性之間的協調與平衡。問責機制需要貫徹于規則制定、實施與執行三個階段，并在這三個階段上隨時反饋與持續對話。〔70〕See Daniel Schwarcz,“ Redesigning Consumer Dispute Resolution: A Case Study of the British and American Approaches to Insurance Claims Conflict”, 83 Tulane Law Review 735, 770-779（ 2009）.多元責任機制的設計可以實現不同監督階段的相互反饋，確保個人信息流通與算法決策最終可以受到中立的、非各方利益群體的有效問責與監督。〔71〕See Maayan Perel & Niva Elkin-Koren,“ Accountability in Algorithmic Copyright Enforcement”, 19 Stan. Tech. L. Rev. 473,529-531（ 2016）.

然而為了達到個人信息治理的目的，政府除了建立嚴格的責任制之外，還可以成為“助推官”，〔72〕參見［ 美］理查德?塞勒、卡斯?桑斯坦，《助推：如何做出有關健康、財富與快樂的最佳決策》，劉寧譯，中信出版社2018年版。積極倡導企業發展以用戶為中心的技術和隱私設計，使個人信息處理者能夠承擔更多的社會責任。〔73〕See Matthew Harding,“ Trust and Fiduciary Law”, 33 Oxford Journal of Legal Studies 81, 83（ 2013）.在合作治理中，政府不僅承擔著裁判者的作用，還承擔著協調者與物質提供者的職能，助推各方利益群體積極參與到個人信息保護中。

在合作治理模式下，個人信息保護中的不同模式都可以發揮其作用。就個人控制模式而言，由于個人控制在合作治理模式下并非絕對性權利，而是成為一種助推企業自我規制、督促政府規制的模式，因此很多個人控制模式都能重新發揮作用。例如，以上文提到的“告知—同意”為例，個人信息的隱私政策可以有效激發企業建立內部合規制度，促使企業內部的各個部門重視個人信息保護，發展出協調一致的企業內控機制。而對于社會與政府而言，它們也可以通過隱私政策而對企業進行監督與執法。

就產品規制模式而言，這一模式強調突出設計的作用，企業除了要遵守保護的最低標準，還可以發展和踐行設計的理念。在管理層面上，企業可以針對特定行業和產品實施特定設計，并對風險與成本進行把控。加強企業的自我規制不僅有助于優化產品質量與設計，還能發展差異化的自我規制，增強企業的競爭力。合作治理模式提倡不同利益集團的充分參與，參與的方式多體現在預防與監管之上。信息處理者可以通過數據保護官、審計與影響報告的方式協同責任部門對相關問題進行有效探討，同時向責任部門說明情況。相比于之前的方式，這種方式更能應對個人信息保護的復雜環境，緩解當局專業人才不足的現象。

此外，第三方“守門人”也可以成為合作治理的重要力量。在個人信息保護中，第三方執行公司（enforcer-firm）逐漸崛起，成為合作治理的重要工具。決策者與監管者開始依賴非官方公司作為控制產品準入市場的“守門人”。〔74〕例如：Facebook 和谷歌以及聯想等大型科技公司已經基于FTC 發布的第三方監管命令做出了政策調整，特別是Facebook。See Facebook Platform Policy, Facebook, https://developers.facebook.com/terms/dfc_platform_terms/., accessed December 29,2021.在美國，監管主要包括監督模式（supervision/monitoring model）與調查模式（investigation model），無論哪種模式，都需要依賴第三方的協助達成公私合作。〔75〕具體而言，監督模式的主要內容包括：政府監督員可以持續（通常是每天）觀察與監督被監管實體，可以在投訴和調查之外采取各種行動。人事方面，他們通常會采用機構內或者外聘的專業人員進行監督。不同于監管模式，調查模式主要依賴于外部投訴或者對不正當行為的懷疑。合作模式的目的是讓雙方把精力集中在解決問題、糾正錯誤之上，而不是為了懲罰。無論審計還是企業合規，政府通過與其合作從產品規劃階段開始干預，進一步影響受監督的組織改善內部管理。政府監督員的任務從書面審查轉移到協助與確保企業內部合規部門和第三方守門人按要求完成工作，換句話說，被監管企業的合規團隊與外部第三方公司逐漸成了政府監督的代理人。〔76〕See Dempsey James et al., “Breaking the Privacy Gridlock: A Broader Look at Remedies”, https://ssrn.com/abstract=3839711.,accessed December 25, 2021.這些非正式監督方式中有很多可供細化與實施的工具，例如：專家監督、影響評估監督、審計監督、數據保護官（DPO）監督等等。〔77〕See Mike Ananny & Kate Crawford, “Seeing Without Knowing: Limitations of the Transparency Ideal and Its Application to Algorithmic Accountability”, 20 New Media & Society 973, 983-984 （2018）.

五、結語

近年來，個人信息保護已經成為全球性難題。傳統的個人控制框架不僅不能有效應對目前出現的種種困境，也難以應對未來呼之欲出的新形勢、新問題，其保護模式亟須轉變。作為個人控制模式的替代，產品規制模式初露鋒芒，但是其存在的問題亦非常明顯。綜合而言，個人控制從法律個人主義出發，產品規制從規制對象出發；兩者并非平行競爭關系，只是規制思路不同，所以在實踐效果上各有優劣。本文提出的合作治理思路致力于協調個人控制與產品規制。一方面，個人控制的程序性價值再生不僅能夠維護個人隱私與尊嚴，還能夠為產品規制與政府規制提供正當性基礎與可具體執行的步驟。另一方面，監管者、信息處理者與第三方“守門人”以持續對話的方式展開治理，這一個人信息保護模式有利于優化平臺管理、促進科技創新、維護社會關系等。

從規范層面來看，信息保護框架可以在不同機制之間建立連接，形成一套完整的個人信息保護方法。我國初步形成的個人信息保護框架涵蓋的范圍包括《民法典》 中的個人信息權利或權益內容、《個人信息保護法》中個人信息的范圍、個人信息處理過程的原則與規則、個人信息主體的權利、個人信息處理者的義務以及相關職責部門的職責等，這為合作治理奠定了基礎。從宏觀層面上看，個人信息保護的合作治理也非常契合我國的國家治理能力與社會治理現代化的要求。一方面，我國作為后發的現代化國家，在社會治理上也出現了很多自上而下、觀念先于實踐的建構型治理模式。〔78〕參見張龔：《軟法與常態化的國家治理》，載《中外法學》2016 年第2 期，第321-322 頁。另一方面，我國執政黨具有很強的組織動員能力和社會整合能力。整體的治理觀可以整合碎片化的、沖突的部門權力，引導國家與社會走向高效協作的共同治理道路。〔79〕參見黃文藝：《中國政法體制的規范性原理》，載《法學研究》2020 年第4 期，第18 頁。總而言之，借鑒與引入合作治理模式有助于完善我國個人信息保護制度實施，進一步實現數據領域的良法善治。