个人信息保护制度的信义法进路：反思与修正

■ 潘雨祥 蒲俊丞

（西南大学 法学院，重庆 400715）

一、问题的提出

随着信息技术的发展，大数据正以迅雷不及掩耳之势改变着人类的社群生活与生存方式。海量的个人信息密集处理与规模流转，在给人类生活与社会发展带来极大便利的同时，也对个人信息安全形成了前所未有的挑战。为了满足我国数字化发展背景下每个人最现实最直接的利益保护需要，《中华人民共和国个人信息保护法》（以下简称《个信法》）于2021年11月1日正式开始实施。作为我国第一部全面保护个人信息的专门性、综合性法律，《个信法》以保护个人信息权益、规范个人信息处理行为、促进个人信息合理流通与利用为中心，构建了较为完备、科学的个人信息保护规则体系。[1]（第1页）然而，个人信息收集实践中侵犯个人信息的现象并未因《个信法》的出台而销声匿迹。相反，个人信息被不当收集的事件不断地被媒体曝光，[2]信息企业未经用户同意擅自处理个人信息的现象亦层出不穷，[3]人们对自身个人信息的控制依旧在逐步减弱。

问题究竟出在何处？笔者认为，虽构建了个人信息处理规则体系，但《个信法》对一组价值冲突和一组失衡关系的协调还存在欠缺，致使个人信息侵权行为无法得到根治。价值冲突，是指个人信息保护价值与利用价值的冲突。随着人类社会步入大数据时代，个人信息的可利用价值愈发凸显，这驱使信息处理者对个人信息进行挖掘与分析，数字经济的发展同样对个人信息的流通与利用提出了极大需求；而深度开发与利用对个人信息安全造成了前所未有的冲击，数据侵扰、数据泄露、数据杀熟、数据画像等现象正在严重威胁和破坏信息主体享有的个人信息权益。失衡关系，是指信息主体与信息处理者之间的关系。随着信息技术的发展，以互联网企业为代表的信息处理者所掌握的信息认知能力和信息应用技术正在变得愈发强大，信息主体对于信息处理者所提供服务的依赖也在逐渐加深。这导致互联网时代下的信息主体与信息处理者之间的地位愈发不平等，[4]（第113页）且这种不平等关系具有持续性。[5]（第119页）

为了解决这一问题，我国立法采取了对信息主体增强赋权的方式，在《个信法》第四章赋予了信息主体在个人信息处理活动中享有的知情权、决定权、查阅权、复制权、更正权、删除权等多项权利，旨在强化信息主体在个人信息处理过程中的决定力和影响力。但是，事实证明，这种为信息主体赋权的方式对问题解决的效用非常有限。原因在于，这种个人信息保护模式建立在信息主体有能力维护自身信息权益的假设前提之上，但实际上信息主体既无能力、也无精力去主动声张自身享有的个人信息权益。以被誉为个人信息保护“黄金法则”的“告知-同意”规则为例，立法要求信息处理者在从事信息处理活动之前，需要在其官网首页或产品使用说明上注明该企业的服务协议或隐私政策，向用户明确告知处理个人信息的内容、方式等事项，并只有在取得用户同意后才能开始相应的信息处理行为。但从实践来看，“告知-同意”规则并不能提供真正有效的保护。面对繁复冗杂的隐私政策，实践中很少有人认真地阅读。首先，从阅读兴趣来看，有研究表明，个体对于风险的认知往往局限于熟悉的领域与风险较大的领域（如犯罪、疾病等问题），对于个人信息处理所导致的风险，个人的感知往往较为迟钝，也没有太多兴趣去了解。[6]（第88页）其次，从阅读时间成本来看，根据美国的一项研究，如果所有的美国信息主体阅读自己所浏览网站的隐私政策，一年内花费的时间将达到538亿小时，换算成经济成本大概是7810亿，这无疑是一笔难以承担的成本。[7]（第540-541页）最后，从阅读能力来看，信息主体一般不具备理解繁复冗杂的隐私政策的能力，个人信息的种类、其处理的方式与算法技术往往非常复杂，即便是专业的人员也常常难以理解，更不用说一般的普通用户。[8]（第1393-1462页）在这种现实背景下，许多企业的隐私政策逐渐演变为了“霸王条款”，利用格式化的隐私政策获取信息主体的同意与授权，而这种“同意与授权”的背后通常是信息主体无可奈何与被迫授权。

虽然以欧盟《一般数据保护条例》（General Data ProtectionRegulation，以下简称“GDPR”）为代表的个人信息保护立法采取了要求信息处理者以“一种简洁、透明、易懂和容易获取的形式，以清晰和平白的语言来提供信息”（GDPR第12条），并将提高信息主体阅读隐私政策的兴趣和意识作为立法目的（GDPR第57条第1款第2项），且我国《个信法》第14条和第17条也对“告知-同意”规则的形式要件作出了明确规定。但这种在传统“告知-同意”的合同法框架下进行改良，对大数据时代个人信息保护的作用已经越来越小了。一方面，原因在于强行要求简化隐私政策内容将会对信息处理者造成巨大负担，且简化后的隐私政策在专业性、准确性方面也会大打折扣；另一方面，有研究表明，即便是对隐私政策进行简化也未必会真正影响信息主体的决策，[9]（第67页）依旧难以发挥制度设计者的理想效用。在以“告知-同意”规则为缩影的个人赋权信息保护模式难以发挥实质效用的情况下，保护个人信息的重担就落在了行政监管之上，信息主体只能寄希望于履行个人信息保护职责的部门实施各种监管行为，但信息处理者通常具有规避违法审查的能力，这就导致了对个人信息处理行为的行政审查可能沦为“打地鼠”式的监管游戏，难以发挥实质性保护效用，或者至少可以说效率很低。

上述研究表明，无论是效仿GDPR的信息主体增强赋权模式，还是信息处理合规的行政监管模式，都难以在大数据时代下真正高效地发挥保护个人信息的实质性效用。而造成这一困局的根本原因在于，现有个人信息保护制度构建于传统的合同法框架之上，而这种框架无法创造出各方主体之间的“信任”关系。行政机关不信任信息处理者，信息处理者与信息主体之间也相互不信任。而如果在最基础的层面上都无法建立起最基本的信任关系，那么再多的赋权和规制也都无济于事，[10]（第62页）“信任赤字”将成为现有个人信息保护制度无法跨越的鸿沟。为此，有域外学者提出了个人信息保护的信义法思路，试图将信义法中的信任关系与信义义务引入个人信息保护制度中，以解决“信任赤字”问题。本文将在这些域外学者的研究基础之上进行归纳与反思，并结合我国的立法实践对其加以修正，试图探索基于信义法思路的个人信息保护进路。

二、迈向信义法思路的个人信息保护制度

（一）引入“信息信托”

个人信息保护困境并非今日之特有产物，其在20世纪下半叶就已初露端倪。在20世纪70年代，美国信息处理者利用计算机数据库处理个人信息侵权的现象就已层出不穷，为应对日益频繁的信息侵权问题。美国政府成立了一个“关于个人数据自动系统的建议小组”，对个人信息处理行为的相关事项加以调查研究。[11]（第97页）该小组1973年发布了一份名为“公平信息实践原则”的报告，确立了个人信息处理的5项原则：其一，必须禁止个人信息的秘密保存；其二，必须确保个人了解什么信息被收集，以及如何被使用；其三，必须确保个人能够阻止未经同意将其信息用于授权目的之外，或提供给他人的行为；其四，必须确保个人能够改正或修改系统中的个人信息；其五，必须确保

提醒您：因为《个人信息保护制度的信义法进路：反思与修正》一文较长还有下一页，点击下面数字可以进行阅读！

《个人信息保护制度的信义法进路：反思与修正》在线阅读地址：个人信息保护制度的信义法进路：反思与修正