馬 莉
(蘭州大學(xué)經(jīng)濟(jì)學(xué)院,甘肅 蘭州730000)
為迅速應(yīng)對2021年冬春季新冠肺炎疫情的二次爆發(fā),筑牢疫情防控安全線,以科學(xué)網(wǎng)絡(luò)技術(shù)為支撐的“大數(shù)據(jù)抗疫”被廣泛應(yīng)用于疫情防控的整個階段。個人信息數(shù)據(jù)作為形成健康碼、健康通行證等抗疫產(chǎn)品的主要要素,在防疫效率的提升方面起著舉足輕重的作用。伴隨數(shù)據(jù)共享紅利而來的是個人信息收集渠道的多元化及轉(zhuǎn)發(fā)量、曝光率的增加,這使個人隱私信息存在被反噬的風(fēng)險。疫情防控期間,信息主體的個人信息被濫用、隱私被泄露、權(quán)益被損害的事件層出不窮,折射出信息主體的個人信息與信息使用者的大數(shù)據(jù)集在疫情防控工作中面臨客體交叉和利益沖突的局面,導(dǎo)致雙方圍繞個人信息處理及數(shù)據(jù)價值挖掘產(chǎn)生劇烈的分歧與矛盾。利益沖突的調(diào)和有賴于權(quán)利制度的科學(xué)構(gòu)建與機(jī)制實施。這不僅需要在個人信息的使用過程中平衡各主體間的利益,還需要恰當(dāng)考慮多重價值和利益的實現(xiàn),構(gòu)建合理正當(dāng)?shù)膫€人信息處理法律基礎(chǔ),使社會整體福利最大化。基于這樣的原則,對個人信息處理行為的外部性進(jìn)行規(guī)制,有助于疫情防控期間在一個更為完整的尺度上把握個人信息的保護(hù)與利用,從而提高個人信息數(shù)據(jù)資源在疫情防控工作中的配置效率。
外部性定義的核心為“邊際私人成本、邊際私人收益與邊際社會成本、邊際社會收益的不等同”[1]。當(dāng)私人行為給社會上其他組織或成員帶來收益,自己卻不能因此得到好處時,表現(xiàn)為邊際私人收益小于邊際社會收益,即“外部經(jīng)濟(jì)”(或稱作“正外部性”);當(dāng)私人的行為給社會上其他個體帶來危害,自己卻不為此支付成本時,表現(xiàn)為邊際私人成本小于邊際社會成本,即“外部不經(jīng)濟(jì)”(或稱作“負(fù)外部性”)[2]。具體到“數(shù)字戰(zhàn)役”背景下個人信息數(shù)據(jù)處理的全生命周期關(guān)聯(lián)場景,個人信息處理與數(shù)據(jù)資源在防疫工作中的開發(fā)利用互為表里,個人信息數(shù)據(jù)在分析疫情發(fā)展形勢、防止疫情蔓延、協(xié)助政府決策等方面的價值挖掘有賴于海量的個人信息數(shù)據(jù)資源。海量的個人信息既可能施加信息主體以信息安全風(fēng)險或施加信息控制者以數(shù)據(jù)泄露他用等負(fù)外部性,也可能帶給信息使用者(個人、各級政府機(jī)構(gòu)、營運(yùn)商、醫(yī)療機(jī)構(gòu))以算法優(yōu)化設(shè)計分享“數(shù)據(jù)紅利”的正外部性??梢姡皵?shù)字戰(zhàn)役”背景下個人信息處理的雙重外部性交互影響。
“數(shù)字戰(zhàn)役”背景下,為保證聯(lián)防聯(lián)控工作的順利開展,《突發(fā)公共衛(wèi)生事件應(yīng)急條例》規(guī)定,傳染病暴發(fā)流行時,基層工作組織應(yīng)當(dāng)組織力量,協(xié)助做好疫情信息的收集等工作。此外,一些提供健康碼查詢服務(wù)的機(jī)構(gòu)和提供疫情報告數(shù)據(jù)的各類運(yùn)營商也被賦予了采集、排查和整理相關(guān)疫情信息的智能。這無疑擴(kuò)大了以政府為代表的公共權(quán)力,與之相對的是個人權(quán)利的縮減。在負(fù)外部性的條件下,這種關(guān)系的變化以讓渡個人利益為代價,使個人信息處理行為在防疫工作中的私人成本(政府及相關(guān)機(jī)構(gòu)付出的代價)小于社會成本(對信息持有者造成損害的成本)。成本分擔(dān)的不對稱性導(dǎo)致信息使用者對個人信息資源的無限制收集,信息使用者的有限理性及盲目追求防疫效果最大化又會造成個人信息使用不善、不當(dāng)甚至濫用的情況,這些行為最終使個人信息走向“公地悲劇”的負(fù)外部性道路。具體表現(xiàn)在:首先,突發(fā)公共衛(wèi)生事件中,為防止疫情迅速蔓延,各級鄉(xiāng)政府對居民的個人信息進(jìn)行地毯式、網(wǎng)格化收集,一些所謂“硬核”的防疫措施也層出不窮,面對海量的個人信息數(shù)據(jù),由于信息收集者缺乏相應(yīng)的信息處理技術(shù)及監(jiān)管機(jī)制,不僅難以克服數(shù)據(jù)處理及治理技術(shù)障礙難題,還難以防范數(shù)據(jù)處理過程中的風(fēng)險因素,從而導(dǎo)致疫情防控過程中個人隱私泄露和無序傳播的事件屢見不鮮。作為個人信息所識別的特定主體,一旦信息遭受泄露,不僅使信息主體遭受網(wǎng)絡(luò)暴力與歧視對待,還嚴(yán)重威脅信息主體的合法權(quán)益及人格利益。其次,“數(shù)字戰(zhàn)疫”背景下,為做好疫情的聯(lián)防聯(lián)控工作,大部分地區(qū)鼓勵各類運(yùn)營商、醫(yī)療機(jī)構(gòu)、交通運(yùn)輸?shù)认嚓P(guān)部門將數(shù)字信息技術(shù)不斷地應(yīng)用到防疫抗疫工作中,以利用技術(shù)平臺強(qiáng)大的分析整合能力提高疫情防控工作的精準(zhǔn)性和時效性。在調(diào)動有能力的企業(yè)利用大數(shù)據(jù)進(jìn)行分析、處理個人信息的過程中,無疑將大部分個人信息(包括敏感度極高的個人隱私信息) 作為數(shù)據(jù)資源掌握在了大型企業(yè)手中?!肮乇瘎 崩碚摻沂居捎诋a(chǎn)權(quán)不明導(dǎo)致公地過度使用至資源枯竭的現(xiàn)象,疫情防控工作中由于對個人信息數(shù)據(jù)的產(chǎn)權(quán)及營運(yùn)商的權(quán)利沒有清晰的界定,加之營運(yùn)者的有限理性可能會驅(qū)使其對承載人格利益的個人信息進(jìn)行深度挖掘并另作他用?;凇袄硇匀恕奔僭O(shè),面對數(shù)據(jù)紅利,理性人追求經(jīng)濟(jì)最大化的主張無可厚非,但表征人格利益的個人信息一旦被企業(yè)用來牟利,這不僅侵犯了個人信息所承載的人格利益,也將會帶來數(shù)據(jù)壟斷或數(shù)據(jù)濫用等一系列失范的信息利用活動。
“數(shù)字戰(zhàn)疫”背景下,個人信息的處理和利用貫穿于整個疫情防控工作的始終,發(fā)揮著傳統(tǒng)疫情應(yīng)對方式所難以比擬的效果,具有給社會及其他個人帶來收益的正外部性。
首先,于信息使用者而言。疫情防控期間,利用大數(shù)據(jù)云計算等科技手段對所收集的數(shù)據(jù)進(jìn)行風(fēng)險關(guān)聯(lián)性比對分析,通過分析重點(diǎn)人群的流動情況監(jiān)測疫情傳播路徑與確定疑似感染者,為疫情工作的高效化提供了“智慧支撐”。在數(shù)據(jù)處理過程中,取用的信息數(shù)量愈多、范圍愈廣,其數(shù)據(jù)分析挖掘的價值愈有效、愈精確,愈能發(fā)揮個人信息開發(fā)利用的“規(guī)模收益遞增”規(guī)律。這不僅在時間和空間維度上為政府防控工作安排與決策提供適應(yīng)新形勢的參考數(shù)據(jù),還豐富了行政主體管理公共事務(wù)的方式從而提升政府的治理水平。另外,個人健康醫(yī)療信息的共享和利用也有助于互聯(lián)網(wǎng)醫(yī)療平臺的建設(shè)與發(fā)展,例如百度APP開通的“在線問醫(yī)生”免費(fèi)通道,騰訊上線“發(fā)熱門診地圖”、今日頭條等APP平臺上線的“肺炎防治”頻道,這些平臺的研發(fā)和使用,不僅為社會群體提供有關(guān)疫情的預(yù)防、自查、及時就診咨詢等服務(wù),還有助于緩解疫情高峰時醫(yī)院的負(fù)荷、減少線下交叉感染的概率,發(fā)揮個人信息開發(fā)利用在網(wǎng)絡(luò)方面的正外部性。
其次,于社會公眾而言。大數(shù)據(jù)背景下,公共部門對個人信息的使用,也逐漸成為實現(xiàn)政務(wù)“大數(shù)據(jù)”的有效支撐。政府的信息公開活動,從本質(zhì)上來講是公共服務(wù)職能的體現(xiàn)。疫情防控期間,政府機(jī)構(gòu)對有關(guān)疫情信息的及時披露,不僅滿足了社會公眾對疫情信息的知情權(quán),也有利于引導(dǎo)社會公眾降低自我風(fēng)險、有序地參與到疫情防控工作中,從而緩解社會恐慌、穩(wěn)定社會治理秩序。此外,個人健康醫(yī)療信息作為個人信息的組成部分,對使用者、被使用者、全社會乃至整個國家都具有一定的積極價值。當(dāng)整個社會所有人的生命受到疫情威脅的時候,醫(yī)療機(jī)構(gòu)對個人信息的收集、使用、共享,在公共衛(wèi)生領(lǐng)域有利于公共利益的保障。因此,個人信息在疫情防控工作中的使用,在保護(hù)不特定社會公眾的生命和健康權(quán)及維護(hù)社會秩序方面也發(fā)揮著正效應(yīng)。
一方面原因是多元信息主體間的沖突與矛盾。在法律經(jīng)濟(jì)學(xué)的視角下,利益主體的“理性人”特征和個人信息的公共物品屬性必然造成外部不經(jīng)濟(jì),使得利益沖突成為常態(tài)[3]。“數(shù)字戰(zhàn)疫”背景下,個人信息具有私人人格利益和社會公共利益的雙重利益屬性,個人信息處理行為在不同的場景模式下體現(xiàn)著不同主體的利益訴求,呈現(xiàn)出多方利益共存的復(fù)雜局面。為應(yīng)對突發(fā)公共衛(wèi)生事件,各主體都希望在既有的約束下追求自身效用最大化,信息主體追求個人信息權(quán)利最大化;信息使用者追求抗疫效果最大化;國家追求公共治理水平最大化,三方主體基于不同的目標(biāo)作出最有利于自己的理性選擇。信息使用者為了實現(xiàn)防疫效果最大化,收集個人信息的過程中往往為了收集數(shù)據(jù)而收集數(shù)據(jù),很少考慮自身行為給信息持有者帶來的不利影響;政府為了保障社會公共利益收集和披露相關(guān)個人信息,亦有可能遭到信息持有者的反對;信息主體為了捍衛(wèi)個人信息所附著的人格自由及財產(chǎn)利益,會對信息的處理行為提出嚴(yán)格的要求,甚至?xí)拗苽€人信息的使用。多元主體追求各自效益最大化的行為使個人信息在處理過程中價值沖突與矛盾成為常態(tài),這必然導(dǎo)致個人信息處理行為存在一定的外部性。
另一方面原因是個人信息保護(hù)法律法規(guī)的缺位。我國個人信息保護(hù)的法律體系呈現(xiàn)出民法、刑法并行,行政法總體缺位的情形??傮w上看,在過去的幾年里,個人信息立法在民事和刑事領(lǐng)域中取得了初步成果,我國《民法典》第一千零三十五條指出在個人信息的收集、存儲、使用、加工、傳輸、提供、公開的全生命周期處理過程中,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過度處理。《網(wǎng)絡(luò)安全法》專章規(guī)定網(wǎng)絡(luò)用戶數(shù)據(jù)信息取用行為不僅要遵循“合法、正當(dāng)、必要”與目的限定原則,還要遵從向用戶“告知同意”程序規(guī)范和對用戶信息轉(zhuǎn)移“去身份化”要求[4]?!秱€人信息安全規(guī)范》從信息的收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等方面詳細(xì)規(guī)定了個人信息處理行為規(guī)范??v觀現(xiàn)行法律規(guī)范,這些法律規(guī)定在一定程度上對人信息處理過程中的外部性規(guī)制起到了支撐作用,但在突發(fā)事件應(yīng)對中,政府是否可以利用個人信息以及如何利用、利用限度何在等問題,則完全空白。至于應(yīng)急狀態(tài)下的個人信息利用規(guī)則,現(xiàn)行立法幾近空白,只有《傳染病防治法》等個別法律對“個人隱私”稍有涉及??偟膩砜矗谕话l(fā)公共衛(wèi)生事件中有關(guān)個人信息安全的法律法規(guī)呈現(xiàn)分散立法、多頭疊出的模式,對利益相關(guān)者的權(quán)利義務(wù)缺乏明確規(guī)定,無法對信息使用者收集和處理信息的相關(guān)行為構(gòu)成有效的約束,從而引發(fā)個人信息數(shù)據(jù)在處理的全生命周期中呈現(xiàn)正負(fù)外部性共存的局面。
“數(shù)字戰(zhàn)疫”背景下,個人信息作為一種社會資源,被廣泛地應(yīng)用于疫情防控的整個過程。作為提高疫情防控效率的強(qiáng)大資源,其以犧牲個人信息權(quán)利為代價而實現(xiàn)整體社會福利最大化。但這與個人信息安全之間的矛盾,使個人信息在使用和處理過程中面臨正負(fù)外部性的激烈沖突。一方面,為了保護(hù)信息主體的自決權(quán),法律法規(guī)將信息主體的知情同意原則作為個人信息保護(hù)的基石,但如果過多地強(qiáng)調(diào)信息主體的個人利益,個人信息將會被禁錮起來,不僅成為疫情防控的障礙,還會影響社會的發(fā)展。因此,適用告知同意及“信息最小化”規(guī)則規(guī)制個人信息處理行為不僅不符合實際,也會額外增加社會成本,從而約束其正外部性的實現(xiàn)。另一方面,為使個人信息開發(fā)利用在防疫工作中產(chǎn)生“公地喜劇”式效應(yīng),政府利用個人信息的范圍不斷深化與廣化其程序要求也不斷降低,如《信息安全技術(shù)個人信息安全規(guī)范》5.6的規(guī)定使知情同意原則處于失靈的狀態(tài)。這不僅擴(kuò)大了個人信息使用者的范圍與信息使用權(quán)限的外延,也為營運(yùn)商利用大數(shù)據(jù)分析技術(shù)發(fā)揮“數(shù)據(jù)紅利”的正外部性創(chuàng)造了條件。然而,面對“分散式”的海量信息,由于多元收集主體缺乏科學(xué)的管理和保護(hù)舉措,使其在收集和處理個人信息的過程中不僅帶給信息持有者個人信息被過度識別、竊取他用、隱私泄露等數(shù)據(jù)安全風(fēng)險的負(fù)外部性,也同樣增加了個人信息保護(hù)的負(fù)擔(dān),給國家的安全治理帶來了壓力。
“數(shù)字戰(zhàn)役”背景下,個人信息的開發(fā)利用在保障社會公眾知情權(quán)、醫(yī)療事業(yè)發(fā)展、國家疫情防控調(diào)度等公共利益的同時不可避免地將部分個人敏感及隱私信息暴露在公眾視野下,這種沖突與矛盾使信息處理過程中呈現(xiàn)正負(fù)外部性交互影響的局面。突發(fā)公共衛(wèi)生事件中,個人信息既是監(jiān)控和預(yù)測疫情發(fā)展趨勢的主要要素,又是疾病監(jiān)測、診斷治療、病毒研究中必不可少的判斷依據(jù)。同時,個人信息數(shù)據(jù)的真實性和精確性是大數(shù)據(jù)分析結(jié)果準(zhǔn)確的前提。對社會公眾來說,個人對疫情信息了解得越充分,越精確,就越有利于分析、排查、遏制身邊潛在的疫情威脅,從而根據(jù)對疫情的研判及時作出應(yīng)對措施以降低自我風(fēng)險;對醫(yī)療機(jī)構(gòu)來說,醫(yī)護(hù)人員對個人醫(yī)療信息了解得越全面,越精準(zhǔn),越有利于病患者醫(yī)治與醫(yī)學(xué)研究,這就對個人信息的收集和披露內(nèi)容提出了更具體更詳細(xì)的要求。但是,為避免個人信息公開披露所致的外部性風(fēng)險———正如《關(guān)于做好個人信息利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》中指出,個人信息收集的對象原則上限于重點(diǎn)人群,因聯(lián)防聯(lián)控工作確實需要公開“重點(diǎn)人群”個人信息的,但也必須經(jīng)過脫敏化處理。若嚴(yán)格遵循脫敏及最小公開原則對個人信息采取嚴(yán)格的去身份標(biāo)識與脫敏處理以規(guī)制其負(fù)外部性,難免會削弱其原始數(shù)據(jù)在防疫效果上的潛在價值,導(dǎo)致個人信息數(shù)據(jù)的防疫價值“斷崖式”下跌。
考量外部性的關(guān)鍵在于通過比較社會成本與社會收益的高低來作出權(quán)衡取舍,以此避免較嚴(yán)重的損害?;谶@一原則,從成本——收益角度來看,最低成本與最高收益反映的實質(zhì)就是效率,這就要求在進(jìn)行利益衡量的過程中,將不利利益分配給能夠在預(yù)防發(fā)生意外損失時付出較低成本的一方,可以減少損失產(chǎn)生所付出的社會成本。從另一角度講,就是用相同的預(yù)防成本來獲取更大的社會總產(chǎn)出。因此,“數(shù)字戰(zhàn)役”背景下,只要我們能夠找到個人信息處理的權(quán)利界限并配合以合理的法律規(guī)制,在一個合理的限度內(nèi)以犧牲個人微小的利益為代價就能換取整個社會福利水平的提高。問題是如何在個人信息處理過程中確立一個最佳的注意水平,使個人信息主體權(quán)利克減最小的同時又能提高疫情防控的效率,對此,本文沿著侵權(quán)法經(jīng)濟(jì)分析的常用途徑——漢德公式,進(jìn)行分配預(yù)防義務(wù)、分擔(dān)事故風(fēng)險的分析,為疫情防控期間個人信息處理的最優(yōu)注意水平提供理論導(dǎo)向。
信息主體的個人信息遭受泄露及濫用,主要風(fēng)險環(huán)節(jié)涉及政府機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營商及其他機(jī)構(gòu)等主體,無論是非法利用個人信息以牟利利益,還是防護(hù)不當(dāng)遭受個人信息泄露,都可以采取侵權(quán)責(zé)任規(guī)則來推定信息使用者的侵權(quán)責(zé)任。原因在于,疫情防控工作中,個人信息由信息使用者直接掌控,在預(yù)防個人信息泄露及權(quán)利被侵害的能動性方面,個人信息使用者有著更大的預(yù)防事故成本的責(zé)任,只要稍微提高預(yù)防成本(加大對個人信息的保護(hù))就可以在一定程度上降低信息持有者的損害成本(個人信息安全風(fēng)險)。而消費(fèi)者處于被動狀態(tài),可提供的注意水平幾乎為零。根據(jù)波斯納的觀點(diǎn),侵權(quán)法將嚴(yán)格責(zé)任加于那些涉及很高危險度,而只靠行為人注意或潛在受害人改變其行為無法防止的活動[5]。因此,疫情防控工作中,嚴(yán)格責(zé)任規(guī)則可以強(qiáng)化信息使用者保護(hù)個人信息的安全意識。
漢德公式是以B(預(yù)防成本)與PL(損失概率*實際損失,即預(yù)期損失)的關(guān)系來提供判斷責(zé)任和提供預(yù)防水平的依據(jù),B是關(guān)于注意水平X的單調(diào)遞增函數(shù),PL是關(guān)于注意水平X的單調(diào)遞減函數(shù)?;谝咔榉揽仄陂g個人信息利用中“損害具有相互性本質(zhì)”,將PL函數(shù)曲線從單調(diào)遞減的曲線改進(jìn)為U型曲線,如圖1所示:
B預(yù)防成本曲線隨著預(yù)防水平的增加而上升,PL預(yù)期損失曲線先下降后上升。在(0,X*) 區(qū)間,隨著個人信息使用者的注意水平的增加,對個人信息主體挽回的利益損失逐漸高于由于個人信息嚴(yán)格管制阻礙疫情防疫工作的損失,直至A*點(diǎn)處,此時社會總損失達(dá)到最低。當(dāng)預(yù)防水平超過X*后,信息使用者的預(yù)防水平持續(xù)增加,阻礙疫情防疫工作的損失將超過對個人信息持有者挽回的利益損失,所以社會總損失逐漸上升?;谏鐣@阶畲蠡紤],為了不遏制疫情防控工作的效果,同時對個人信息保護(hù)起到一定的激勵作用,最優(yōu)預(yù)防水平是A*點(diǎn)對應(yīng)的預(yù)防水平值,一旦超過該點(diǎn),從成本收益上來講是不合理且無效率的。波斯納認(rèn)為,判斷一個法律規(guī)則的效率及正確的態(tài)度,是向?qū)砜催@種規(guī)則是否可以產(chǎn)生讓當(dāng)事人在將來有效率作為的激勵,所以適度的威懾水平尤為關(guān)鍵[6]。所以,在個人信息處理行為的規(guī)制過程中,必須對個人信息權(quán)利進(jìn)行界定并通過價值的選擇和整合保證預(yù)防水平維持在A*點(diǎn)處。
圖1 個人信息處理行為的預(yù)防損失與預(yù)防成本示意圖
數(shù)字戰(zhàn)疫背景下,個人信息兼有隱私自主價值和在社會交往中獲取一定經(jīng)濟(jì)利益及某種社會評價與服務(wù)的使用價值。針對其權(quán)利屬性,有研究指出個人信息為公共物品而非稀缺資源[7]。為了避免“公地悲劇”地發(fā)生,規(guī)制個人信息處理行為要保證其疫情防控的公共價值,又要維護(hù)其數(shù)據(jù)安全與人格價值,面臨著多重利益相互交織的問題。這就需要在人格價值、社會價值、安全價值中對個人信息進(jìn)行初始界定的基礎(chǔ)上配置以具體的規(guī)制措施,使政府部門和相關(guān)機(jī)構(gòu)處理涉疫個人信息的過程中把握好權(quán)利邊界,以保持各方價值的動態(tài)平衡。
1.明確個人信息人格價值的基礎(chǔ)地位。個人信息的處理過程中,其目的不是保護(hù)個人信息本身,而是要防止其對個人信息所體現(xiàn)的人格尊嚴(yán)、人性自由、人身完整等基本利益的侵害風(fēng)險[8]。因此,從信息主體這一方來說,其主要的利益是一種防御性利益,即被非法處理而致人身財產(chǎn)權(quán)益遭受侵害甚至人格尊嚴(yán)與人格自由受到損害的利益。如果個人信息達(dá)到描繪個人生活方式的某方面的程度,則信息形象(information profile) 可以被視為個人人格(personality) 的反映[9]。因此,個人信息的可識別性及由此形成的數(shù)據(jù)化人格拼圖,使得日常生活中個人的行為偏好或社會關(guān)系、生理特征都可以被數(shù)據(jù)化處理以及商業(yè)化利用[10]。如果個人信息處理不當(dāng),首先損害的是信息主體的數(shù)字化人格,最終妨害的是現(xiàn)實世界中特定自然人的人格利益。由此可見,個人信息權(quán)作為一種具體人格權(quán),具備其他具體人格權(quán)共同的屬性特征。此外,通過對個人信息價值維度的考察不難發(fā)現(xiàn),個人信息是精神價值和財產(chǎn)價值的二維綜合體,精神價值和財產(chǎn)價值的交互式發(fā)展也造就了個人信息獨(dú)特的法律屬性:第一,個人信息是自然人人格要素之一,是人格權(quán)客體。第二,個人信息不僅承載著精神利益,還承載著財產(chǎn)利益。第三,個人信息承載的財產(chǎn)利益,歸根結(jié)底仍是對人格要素財產(chǎn)價值維度的考察,財產(chǎn)利益也是從人格要素中發(fā)揮出來的。因此,個人信息性質(zhì)上仍舊應(yīng)屬于人格權(quán)客體范圍內(nèi),其來自于個人的人格表現(xiàn),也能反向作用于個人的人格表現(xiàn)。因此,政府部門和相關(guān)企業(yè)機(jī)構(gòu)在個人信息處理過程中,既要保證個人信息資源的開發(fā)利用,也要把個人信息的人格價值放在首要的、最基本的位置進(jìn)行考慮。當(dāng)個人信息數(shù)據(jù)開發(fā)利用過程中給個人的人格權(quán)益造成侵害的情形下,法律應(yīng)當(dāng)給予適當(dāng)?shù)木葷?jì),以平衡個人人格價值與數(shù)據(jù)資源開發(fā)利用的價值。
2.追求個人信息的防疫效用最大化。疫情防控背景下,個人信息的經(jīng)濟(jì)價值所側(cè)重的并不是信息主體個人所特有的經(jīng)濟(jì)價值,而是側(cè)重于規(guī)?;膫€人信息和大數(shù)據(jù)分析所帶來了疫情防控工作效率的提高,這也是信息時代個人信息所具有的社會價值。如前文所述,為保證防疫效果最大化,各利益相關(guān)者應(yīng)保持最優(yōu)注意水平。如果病患者個人信息處理過程中預(yù)防水平過大,在一定程度上會削弱信息利用的效率,降低疫情防控的時效性,從而導(dǎo)致社會福利減少的負(fù)效應(yīng)。相反,當(dāng)公共利益與個人利益發(fā)生沖突時,為了實現(xiàn)公共利益,在遵循比例原則、利益補(bǔ)償原則及正當(dāng)程序原則的基礎(chǔ)上,對個人權(quán)利進(jìn)行一定的限制具有正當(dāng)性。即犧牲部分私人利益,將會帶來整個社會福利的增加。因此,在克減個人信息權(quán)、追求抗疫效果最大化的過程中,政府可以出于公共利益的考量對個人信息權(quán)益進(jìn)行限制,但這種限制須具有目的的正當(dāng)性、手段的適宜性和侵害的最小性,這種限制不能對個體造成難以承受的負(fù)擔(dān)。
3.確保個人信息的安全價值得以保護(hù)。疫情防控工作中涉及海量的個人信息和多方信息使用者、控制者,雖然為抗疫工作的順利開展提供了支持,但由于配套規(guī)范的缺失,也給個人信息的安全帶來了一定的風(fēng)險。疫情防控工作中,個人信息面臨著多元化的采集主體,但法律法規(guī)未明確規(guī)定這些行為主體的法律責(zé)任及其行為邊界。操作規(guī)范及監(jiān)督機(jī)制的缺乏極易導(dǎo)致各方主體在執(zhí)行防控工作時出現(xiàn)過度使用、不當(dāng)披露、擅自擴(kuò)散未經(jīng)處理的個人信息等問題。這不僅為個人信息保護(hù)帶來了壓力,也增加了國家治理、管控的負(fù)擔(dān)。另外,大數(shù)據(jù)時代,海量的個人信息多存儲在云空間。從其治理維度來看,大量個人信息尤其是健康醫(yī)療信息,一旦遭受黑客攻擊導(dǎo)致信息泄露,不僅給信息主體帶來隱私困擾,還會危及國家安全。政府作為最主要的個人信息使用和處理者,其最初的目標(biāo)在于保障疫情工作的順利開展維護(hù)社會安全和秩序穩(wěn)定。因此,國家應(yīng)當(dāng)加強(qiáng)對個人信息及其健康醫(yī)療信息的共享監(jiān)測、流通限制、安全監(jiān)管,以規(guī)避個人信息使用過程中的風(fēng)險,保證個人信息的其他價值得以實現(xiàn)。
4.多元價值之間呈現(xiàn)動態(tài)的平衡關(guān)系。個人信息處理是一個涉及產(chǎn)生、收集、使用、存儲動態(tài)化的過程,因此在其權(quán)利界定中要注意不同個人信息在不同場景下不同的價值構(gòu)成,根據(jù)具體的場景對個人信息進(jìn)行處理,形成各種價值之間的動態(tài)平衡。
關(guān)于解決外部性的方法,保羅·薩繆爾森提出:“無論采取何種特殊手段,根治外部經(jīng)濟(jì)的一般藥方是將外部經(jīng)濟(jì)效果內(nèi)在化?!保?1]“數(shù)字戰(zhàn)役”背景下,針對個人信息所附著的多元價值及其處理過程中正負(fù)外部性交互影響的特征,對其進(jìn)行法律規(guī)制的過程中不能片面地傾向于某一主體的利益,而要從利益衡量的角度出發(fā)以內(nèi)部化規(guī)制其“雙重外部性”。
根據(jù)科斯定理的價值推論,即如果考慮到交易成本為正的問題,市場可能經(jīng)常無法改變法律的初始權(quán)利界定,并達(dá)到預(yù)期的有效率的結(jié)果,那么就必須用法律來替代或者輔助市場進(jìn)行安排,以節(jié)省交易成本,提高社會資源的配置效率。疫情防控背景下“個人信息”兼具人格與財產(chǎn)屬性,因此個人信息在利用過程中不具有“爭用性”,卻因其人格屬性具有一定的“限用性”。特殊的產(chǎn)權(quán)屬性使其在處理過程中,若采取自愿協(xié)商規(guī)制,不僅存在協(xié)商定價成本高的問題,也不符合社會現(xiàn)實。這就需要建立科學(xué)合理的法律制度對個人信息處理過程中的不當(dāng)行為進(jìn)行責(zé)任規(guī)制,并視其外部性的具體程度采取相應(yīng)的懲罰措施,以規(guī)范政府對個人信息的收集和使用行為。此外,法經(jīng)濟(jì)學(xué)關(guān)于“外部性內(nèi)在化”的規(guī)制模式認(rèn)為,當(dāng)某種行為帶來社會損害等負(fù)外部性時,予以適當(dāng)懲戒或由其生成者向受損者進(jìn)行補(bǔ)償;當(dāng)某種行為帶來社會收益等正外部性時予以適當(dāng)補(bǔ)貼或由其受益者向生成者進(jìn)行付費(fèi)。“數(shù)字戰(zhàn)役”背景下,為保障個人信息的基礎(chǔ)地位,彰顯法律對信息主體人格尊嚴(yán)與自由的尊重,應(yīng)對個人信息給予相應(yīng)的救濟(jì)制度,以實現(xiàn)信息使用者在個人信息使用過程中對信息主體權(quán)利造成的損失進(jìn)行相應(yīng)懲戒與補(bǔ)償。
應(yīng)對大數(shù)據(jù)技術(shù)下個人信息處理行為規(guī)制的難題,學(xué)界基于美國《消費(fèi)者隱私權(quán)利法案(草案)》及歐盟《一般數(shù)據(jù)保護(hù)條例》吸納“風(fēng)險與場景導(dǎo)向”的國際主流新理念,以此促進(jìn)個人信息“合理使用”并重點(diǎn)規(guī)制其“不合理使用”[12]。這種方法不僅從實質(zhì)上提升了個人信息保護(hù)的有效性,也有效降低企業(yè)不必要的成本負(fù)擔(dān)。針對“數(shù)字戰(zhàn)役”背景下原生的個人信息及其衍生信息來說,首先,要將其引入防疫抗疫的場景,依據(jù)個人信息處理行為不同場景的價值構(gòu)成將個人信息分類為隱私信息、敏感信息及一般信息,對不同類型的個人信息采取有不同的執(zhí)行機(jī)制與保護(hù)強(qiáng)度,進(jìn)而通過所產(chǎn)生的外部性大小予以不同的法律規(guī)制將外部性內(nèi)在化。對于極端敏感的隱私信息,賦予信息主體完整的人格權(quán)益自決權(quán),只有向信息主體告知并得到清晰地、明確地同意表示下,才可以對其進(jìn)行合理地使用。對于非敏感及延伸的普通信息,通過對信息敏感度及使用目的的合理性、處理方式的恰當(dāng)性、損害結(jié)果的可控性進(jìn)行綜合“程度性”判斷的基礎(chǔ)上,進(jìn)行動態(tài)的風(fēng)險控制。適當(dāng)?shù)目s減個人權(quán)益以平衡個人信息所附著的多元價值雖然具有一定的正當(dāng)性,但在個人信息使用和處理過程中,需要堅守一定的原則。即,若未經(jīng)信息主體同意,信息控制者的不當(dāng)行為對信息主體造成損害時,信息主體有權(quán)請求控制者刪除該信息,并依據(jù)對自身的侵害程度使其承擔(dān)相應(yīng)的民事責(zé)任,以保障個人在特定情況下對個人信息的支配和控制權(quán)能。
在大數(shù)據(jù)和云計算等科學(xué)技術(shù)用于抗疫工作的背景下,為保護(hù)個人信息權(quán)利,立法可以考慮對特定信息主體在個人信息處理過程中進(jìn)行匿名化及脫敏處理,這是多元利益價值都得到最大化的一種選擇。在匿名化及脫敏處理個人信息時,應(yīng)保證個人隱私保密性與數(shù)據(jù)可用性之間的平衡,保證處理后的數(shù)據(jù)仍然具有一定的統(tǒng)計特征和在疫情防控工作中的利用價值。
綜上,筆者建議,在個人信息處理行為規(guī)制過程中,應(yīng)當(dāng)將其外部性內(nèi)部化,并與適當(dāng)?shù)臋?quán)利救濟(jì)規(guī)則進(jìn)行有效對接。這不僅能夠減輕信息使用者不必要的合規(guī)負(fù)擔(dān),還能夠以社會問題為中心,保持法律規(guī)制的靈活性與能動性,使個人信息處理規(guī)制的制度需求與供給在動態(tài)回應(yīng)中達(dá)到均衡。
個人信息既是保護(hù)對象,也是巨大財富。在不同的社會發(fā)展階段、不同的社會背景、不同的利益價值理念下,立法必然采取不同的利益平衡選擇,不存在統(tǒng)一的公式或標(biāo)準(zhǔn)一勞永逸地解決利益平衡問題[13]?!皵?shù)字戰(zhàn)役”背景下,個人信息的使用面臨著持有者、采集者、使用者等多方利益主體,這使個人信息附著了信息主體的人格尊嚴(yán)和財產(chǎn)利益,同時個人信息獨(dú)特的社會價值又催生了信息使用者(主要包括個人、政府、營運(yùn)商、醫(yī)療機(jī)構(gòu)等)的利益。個人信息所承載的個人利益、社會(使用者)利益和公共利益之間的價值沖突使個人信息處理行為的溢出效應(yīng)呈現(xiàn)正負(fù)外部性共存的局面。本文旨在全面揭示“數(shù)字戰(zhàn)役”背景下個人信息處理行為的正負(fù)外部性及其規(guī)制的兩難困境,從經(jīng)濟(jì)學(xué)角度探尋解決正負(fù)外部性規(guī)制的有效路徑,力求不僅有助于緩和個人信息保護(hù)在立法過程中的多重價值沖突,也有助于進(jìn)一步探索突發(fā)公共衛(wèi)生事件中個人信息處理政策的法制完善之路。