“普遍免费+个别付费” :个人信息保护的一个新思维
发布日期:2018-10-30 来源:《比较法研究》2018年第5期 作者:张新宝

普遍免费+个别付费”:个人信息保护的一个新思维

作者:张新宝,中国人民大学法学院教授、博士生导师,《中国法学》杂志主编,兼任中国法学会期刊研究会会长、中国法学会民法学研究会副会长等职,

来源:《比较法研究》 2018 年第 5 期。原刊责任编辑:丁洁琳,本文注释已略,建议阅读原文。

摘要:在网络信息服务领域,业已存在的普遍免费模式削弱了对用户个人信息的保护,也削减了网络服务提供者的相应义务,需要引入个别付费模式加以矫正和补充,形成与“普遍免费”模式并行的“普遍免费+个别付费”双重模式。“个别付费”模式的关键在于将个人信息保护作为产品或服务的一项独立属性,通过基础性能和附加性能区分的方式为个人信息“定价”。这样的双重模式在大陆法系和英美法系都具有较强的法理基础和经济上的合理性,而这一模式的实施和推广需要在机制和制度方面作出必要的安排。

关键词:个人信息保护;互联网服务;普遍免费;个别付费;普遍免费+个别付费

一、引   言

不久前,一家著名互联网企业的CEO表示,中国人可以更加开放,对隐私问题没有那么敏感。如果他们愿意用隐私交换便捷性,那我们就可以用数据做一些事情。中国互联网行业对待个人信息的态度无疑让公众不安,但更令人不安的是,这一观点恰恰反映了现状,那就是人们常常以提供个人信息包括敏感个人信息为代价,换取了便利且免费的互联网服务。普遍免费模式对于大多数网络服务提供者的初期扩张极为有利,这也是互联网业界趋之若鹜的主要原因。但是也要认识到,这一模式往往会导致网络服务提供者过分索取用户的个人信息作为进行生产经营的战略资源或用作为进行交易的数据财产而损坏用户的个人信息权益;同时,这一模式也将对个人信息敏感的用户排除在某些互联网应用之外,对网络服务提供者的经营造成不利影响。

本文首先深入到互联网产业的发展历程中,探寻用个人信息换取免费服务的根源,并分析其缺陷。揭示免费的实质是“用数据支付”,基于“个人信息控制权”的理论,提出一项新的改进方案——“普遍免费和个别付费”的双重模式。文章将讨论该模式的正当性,并在其实施机制和制度建设方面提出相应的构想。

二、互联网普遍免费模式及其对个人信息保护的不足 

(一)普遍免费模式的内在逻辑

信息生产、聚合和分发是网络服务提供者业务的本质。但与传统的有形产品迥不同,网络服务提供者的信息产品供给遵循着另外一种经济逻辑。正如Google首席经济学家哈尔·瓦里安(Hal Ronald Varian)在《信息规则》一书中所指出的,信息产品的生产成本很高,但复制成本极低。并且,无论信息产品能否最终成功,大部分成本都是无法挽回的沉没成本(sunkcost);相反,复制的数量却不受自然能力的限制。由于商品的价格受制于边际成本(每增加一份拷贝的成本),而非沉没成本,因此在缺乏法定垄断权(如知识产权)的情况下,信息产品在理论上不得不以近乎于免费的价格出售,以薄利多销的策略摊销固定成本。事实上也是如此。凯文·凯利在《新经济,新规则》一书中向我们展现了网络经济的发展规律:“任何能被复制的东西,价格都将趋近于零或者免费。”将价格不断拉低的力量正是激烈的市场竞争。不论是20世纪60年代的半导体晶体管,还是20世纪90年代的光盘电话簿,不论是20世纪末电子邮箱,还是21世纪初的杀毒软件,都验证了网络经济的最佳策略是先人一步推行低价,而最明智的做法就是将免费作为定价的终极目标。

而从另一角度观察,免费并不只是网络服务提供者的被动选择;相反,通过免费,他们获得了最有价值的资源——用户的注意力。在这个信息大爆炸的时代,信息的丰富意味着其他东西的缺乏,也就是信息接受者注意力的不足。注意力由此成为比金钱更有价值的货币。而在所有的注意力经济模式中,网络经济是最为纯粹、最为显著的表现形式,乃至于“黏着力”(吸引并抓住网络用户的能力)变成了判断网站和网络服务提供者是否成功的关键。因此,对于互联网企业来说,问题是如何吸引并保持用户的注意力。不论是中国的3Q大战,还是美国的佩尔森(Person)诉谷歌(Google)案所揭示的,不论在线广告的形式是搜索广告、横幅广告还是弹出式广告,在功能上都是相同的和可替代的,即为了引起和维持公众对于被宣传商品的注意力。在此意义上,“注意力”成为互联网之间的最大公约数。

同样,对于用户来说,问题是面对汹涌而至的大量信息,如何有效分配自己的注意力。经济学的研究表明,在多任务的情况下,可以通过多样化的激励设计及其平衡引导人们的注意力分配。作为一种激励工具,免费将为企业带来更多消费者和更多的注意力,然后转化为市场份额。而将注意力和企业价值联系起来就是互联网经济中的“网络效应”。简言之,作为一种信息互联互通的载体,互联网的价值取决于其所连接的端点数量。著名的梅特卡夫法则告诉我们,如一个网络平台中有N个用户,那么它对于每一个人的价值与平台中其他人的数量成正比,如网络的总价值就与用户数量的平方成正比。不过,企业的发展并非一蹴而就,成功的网络服务提供者往往经历了漫长的引入期(平台建立和培育)、持续增长期(用户不断增多)和突然的爆发期(用户数达到临界容量),而在这一过程中,免费是重要的推动力量。

但是,网络服务提供者并非是在做慈善,它们的目的仍然是营利。在普遍免费的模式下,它们不太可能向其用户收费,而只能采用“羊毛出在狗身上”的方法——向第三方收取费用,互联网广告业务由此应运而生。以谷歌2017年第四季度财报为例,在线广告依旧是其最赚钱的业务,收入达272.7亿美元,占了总收入的84%。更有甚者,世界最大社交网站Facebook的广告收入占其总收入的比例高达98%。为了让广告投放精准高效,互联网企业必须遵循几千年来的一贯技巧——“了解你的客户”(Know your customer)。幸运的是,凭借着日新月异的信息技术,要完成这一工作互联网公司不再需要进行费时费力的人际交流,而是通过代码和软件收集、分析尽可能多的用户信息便已足够。利用个人信息的用户“画像”(profiling),成为网络服务提供者的杀手锏。正如斯坦福大学计算机科学教授米哈尔·科辛斯基(Michal Kosinski)所言:“了解一个人10个Facebook的点赞,对这个人的了解足以超越这个人的普通同事;了解70个点赞,则对这个人的了解足以超过这个人的朋友;如果了解超过300个点赞,那么恐怕会比这个人最亲密的伴侣更了解这个人。”事实上,Facebook一直宣称能够通过“广泛类别(如跑步)和精确兴趣定位(如喜欢特定运动品牌)”,帮助广告主寻找最适合的用户类型。

互联网广告并非免费的全部效果。以腾讯公司为例,尽管其免费的即时通讯软件“微信”和QQ已经获得了10亿用户,但其2016年年报显示:游戏、视频、音乐、直播等增值业务的收入占比高71%,而广告业务仅有18%。如何理解腾讯公司的“免费”策略?厂商定价理论的分析表明:消费者在寻找、评估商品信息时,需要花费大量时间、精力等搜寻成本(searchcost),腾讯正是通过免费的平台性商品将其他收费的竞争类产品的信息传递给消费者,从而使得消费者不再搜寻其他企业的同类产品,并由此获得巨大的忠实客户群和数额可观的利润。

在数字经济勃兴的大背景下,互联网企业对用户免费提供简便的基础性技术产品和服务,不断满足顾客优先需求,获得用户注意力,增加用户粘性,增强企业获取市场优势地位及整合资源的能力,进而通过第三方服务收费(如提供广告、顾客调查、市场分析)和高端顾客定制服务收费(如提供信息储存、数据安全、数据分析)最终实现盈利,这就是互联网企业所独有的普遍免费商业模式。 

(二)互联网普遍免费模式对个人信息保护不足

普遍免费模式看起来皆大欢喜:用户无偿获得了网络服务提供者提供的服务(主要是信息服务),网络服务提供者积累了大量的用户。但事实上,恰恰是免费模式,存在用户个人信息保护不足的问题。

1.普遍免费模式虚化了“同意原则”

2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次在法律文件中确定了个人信息收集的“用户同意原则”,规定网络服务提供者收集公民个人电子信息时,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定。2016年颁布的《网络安全法》第41条将该原则拓展到个人信息的后续使用环节。2018年1月,全国信息安全标准化技术委员会制定的《信息安全技术·个人信息安全规范》进一步确定了“选择同意原则”,不但要求向个人信息主体明示个人信息处理的目的、方式、范围、规则等,还要求个人信息主体通过书面声明或主动作出勾选、声明等肯定性动作,从而对其个人信息进行特定处理作出明确授权。尽管用户同意已经成为个人信息保护的公认原则,但在普遍免费的模式下,作为意思表示的“同意”,已经被虚化为无意识的“点击”(PC端)或“滑动”(移动端)操作。这种同意的虚化有着深刻的原因。

尽管无论是经济学还是法学,皆以“理性人”为基本假设,但正如行为经济学所洞见的:人之理性其实非常有限。人类认知能力常受到客观时空以及计算、记忆能力的限制,从而衍生出偏见、过度乐观、损失规避等决策失误。在普遍免费模式下,用户并没有实际的金钱支出,其决策仅仅需要衡量使用服务的收益和提供个人信息的成本。然而,由于信息和能力的不对称,用户不太可能了解个人信息收集的范围和处理的方法,更难以预见可能遭到的损失。正如Face book信息泄露事件所展现的,分散的、琐碎的、表面看来无害的个人信息一旦被汇聚和分析,就可能刻画出我们敏感的、不愿人知的个人信息,对其使用会造成不可预期的后果。相反,这样的模式下他们获得收益(即获得网络服务提供者提供的信息服务)是具体可见的。不仅如此,个人信息泄露或滥用的危险一般是将来的、潜在的和不确定的,而在将当期的收益与未来可能的成本损失作比较时,我们往往高估当期的收益而低估未来可能的成本损失,因为我们更喜欢近在眼前的满足感。2017年诺贝尔经济学奖获得者理查德·塞勒将这种现象称为“现时偏见”(present bias)。

在某种意义上,对收集和使用个人信息不假思索地同意,不能归于不理性,而更可能是一种“理性的冷漠”。从企业面观察,为了满足有效同意的知情条件,用户协议或隐私政策日趋复杂、冗长和专业,以至于只有少数专家能给出全面的解释,这种信息的“过度披露”无疑大大增加了用户选择同意的困难。在一项对浏览量位列前75位网站的研究中,研究者估算:如果所有的美国用户逐字逐句地阅读网站的隐私政策,一年损失的机会成本大概是7810亿美元。〔14〕这显然是无法承担之重。正因如此,就像其他的实证调查所发现的:在美国,平均只有4%的用户阅读了用户协议。

2.普遍免费模式降低了网络服务提供者责任

虽然网络服务提供者把用户的个人信息作为关键资源,从中赚取高昂的广告费,但从合同法观察,用户在客观上未支付金钱对价,在主观上也不存在对价的认识。网络服务提供者所获得的经济收益来自于第三人或其他服务或产品,故用户和网络服务提供者之间构成“无偿合同”。基于“利益主义”的原则,只有因合同而获益的一方才对另一方负有完全的责任。因此,无偿合同的行为人责任往往被减轻,其负担的义务也比较容易得到解脱。这体现在:(1)无偿合同债务人只有在获益(并非对价)、故意隐瞒瑕疵等例外情况下,才承担物之瑕疵担保责任;(2)无偿合同债务人的注意义务标准较低,仅需尽一般人所应尽的注意即无重大过失便可免责,合同法不要求其尽到“善良管理人”的注意义务;(3)无偿合同债务人承担较轻的债务不履行责任,如降低其责任标准、免除给付迟延的责任以及缩减其责任范围。

目前,在民法领域我国尚无个人信息收集有关的有名合同,相关争议或可参照《合同法》保管合同。我国《合同法》第374条规定:“保管期间,因保管人保管不善造成保管物毁损、灭失的,保管人应当承担损害赔偿责任,但保管是无偿的,保管人证明自己没有重大过失的,不承担损害赔偿责任。”由此可见,在有偿合同下,只要用户信息存在泄漏或滥用,网络服务提供者即应承担除法定免责事由外的违约责任,无论是否具有过失;在无偿合同下,网络服务提供者只要尽一般人所应尽的注意义务,即无重大过失便能免责。显然,这不但无法满足人们日益增长对个人信息安全的需求,并有违《网络安全法》和《信息安全技术·个人信息安全规范》下对网络运营提供数据收集、存储、处理、删除的全生命周期设定的高标准保护标准,使得行政责任与民事责任之间发生了断裂。

此外,在免费模式下,当用户寻求消费者权益保护时,可能也将受到限制。在美国的Ellis诉Car toon Network,Inc.一案中,第十一巡回法院认为,如果一个人仅仅在他的智能手机上下载并使用免费移动应用程序查看免费提供的内容,那么他并不是“订阅者”,因而不是《视频隐私保护法》(Video Pri vacy Protection Act)下“消费者”。法院进一步指出,虽然个人未必需要付费才有资格成为订户,但毕竟“需要某人与某实体之间的某种承诺、关系或财务以及其他关联”,现有的免费关系不足以支持这一关联。

总之,普遍免费模式一方面削弱了用户对个人信息的权利,另一方面削减了网络服务提供者的相应义务,其亟待调整和发展。

三、个别付费模式及其理论基础 

(一)从“数据支付”(pay by data)到“金钱支付”(pay by money)

所谓免费模式其实只是虚假的表象,其实质是用个人信息的提供(同意收集使用)代替了“金钱”支付,因而它并不免费。正如2015年12月欧盟议会和欧盟理事会《关于数字内容提供合同部分问题的指令议案》(Proposal fora Directive of the European Parliament and of the Council on Certain Aspects Concerning the Supply of the Digital Content)的前言所指出的:在数字经济中,市场参与者经常并日益将将个人数据视为与金钱同等的价值。作为数字内容和数字服务交换物的并不是金钱,而是数据。具体而言,消费者被要求提供个人数据或许可对其个人数据的访问。以全球著名的图片和视频免费分享网站Instagram为例,其《用户许可协议》(End-user License Agreement)第1条明确规定:“在Instagram上,用户应向Instagram提供非独享有许可,用户所发布内容的使用权构成了全部支付价格(total lypaid)。”显然,Instagram和用户之间这种“抵消”交易恰恰揭示了这并非一个“免费”的交易。相反,用户“付费”注册Instagram,而Instagram“付费”取得对用户提供内容的使用许可。正如美国学者所批评的,各大公司都向消费者宣传他们是“免费”,用“广告支持模式”(ad-supportedmodel)、“零价格模式”(zero-pricemodel)、“基于在线广告商业模式”(online advertisement -based business model)来掩饰其“以物易物”(以个人数据交换网络信息产品和服务)的实质,以至于用户不知道他们为产品和服务付出的“价格”,他们也无法合理地估计个人数据收集和处理对他们造成的边际负效用。

面对“数据支付”和“金钱支付”这两种不同的模式,法律理应一视同仁。这是因为,如果给予两种支付差别对待,则将不合理地激励企业遁入以数据作为支付手段的“无偿合同”;不仅如此,为避免数字内容或服务的瑕疵对消费者权益不利影响,《关于数字内容提供合同部分问题的指令议案》特别指出,其适用与否不取决于用户支付金钱抑或个人数据,以确保公平的竞争环境和高水平的消费者保护。 

(二)个别付费模式的兴起

鉴于普遍免费模式对个人信息保护不力,同时考虑到“数据支付”和“金钱支付”的等价性,我们尝试着引入一种新的机制设计,即“个别付费模式”,由此形成与“普遍免费模式”并行的双重结构。这一模式并非臆想。事实上,它早在2016年就初露端倪。当时,美国参议员Elizabeth Warren就网络服务运营商(ISP)开展的“折扣计划”致信联邦通信委员会主席Tom Wheeler,呼吁其禁止不平等收集个人数据的折扣活动。这一计划给消费者提供了两种选择,其既可以支付更高的费用以避免数据收集和有针对性的广告,也可以同意这些折扣活动,并享受上网折扣。例如,AT&T要求用户每月额外支付66美元,以最大限度地保护其隐私;对于允许数据收集的用户,则给予相应折扣。美国纽约大学教授Stacy Ann Elvy使用“为隐私付费”一词(Pay-for-Privacy Models,PFP)概括这一模式。在广泛的意义上,PFP不但包括网络服务提供者针对信息更好保护的服务收取更贵的费用,还包括消费者为了获得个人信息保护,而额外购买更好的操作系统。例如,FastMail公司向公众提供电子邮箱免费版,而个人信息加强保护版则需要支付年费。再如,鉴于安卓系统的隐私保护不佳,于是加密通信公司Silent Circle向用户提供了一款“以个人信息安全为中心”的智能手机,价格高达799美元。“个别付费模式”的关键在于将个人信息保护作为产品或服务的一项独立属性,由此可以通过基础性能和附加性能区分的方式,为个人信息定价。在未来的运作实践中,网络服务提供者将区隔市场,向不同类型的用户提供三种相互独立的服务:一是面向大众的免费服务,其实质是用户通过个人数据进行“支付”;二是面向专业人士的增值服务,用户通过支付金钱拓展基础服务,实现个性化定制;三是面向隐私敏感人士的个人信息保护增强型收费服务,用户额外支付金钱取得更多的对自己的数据之控制权。

我们应该正视这样一个事实,在网络信息消费者人群中确实存在这样一批人,他们更重视自己的隐私与个人信息保护,宁愿支付金钱对价获得网络信息产品和服务。随着经济的发展和人们收入的增加,随着个人信息被违法不当收集以及非法使用的案件不断披露,个人信息敏感人群的数量会急剧上升。对于这样的人群的合理需要,相关法律应当提供有效的制度供给,满足其需求。当前,免费市场独大,可伴随着新时代人们对隐私的重视度和物联网数据风险的飙升,收费市场也将得以迅猛发展。美国学者ArthurD.Little预测,越来越多的消费者准备支付更高的隐私费用。2020年,美国PFP的市场规模可能扩大到50亿到60亿美元。

在普遍免费和个别付费的模式下,网络服务提供者应就用户协议和隐私政策,分别拟定“免费”和“付费”两套法律文本,供用户自由选择。在“免费模式”下,用户就其个人信息享有统一的法定保障,网络服务提供者可以在“合法、正当、必要”的范围内收集和使用个人信息。而在“付费模式”下,用户就其个人信息享有定制化和高标准的合同保障,网络服务提供者一般不得收集个人信息,除非该等收集系履行合同不可或缺的一部分;同时,已收集信息的使用亦应遵守严格的限制,包括但不限于不得用于广告营销、用户画像、自动化决策、二次利用或其他目的。 

(三)个人信息控制权的理论与实践

普遍免费+个别付费”的双重模式,建立在个人对本人信息的控制权之上,即个人对于本人信息是否披露、于何时、以何种方式、在何种范围内、向何人披露拥有自我决定的权利,也即信息主体有权决定外界在何种程度上获知自己的所思所想以及行动。这一权利在不同法系和脉络下均有所体现。

1.大陆法系的“个人信息自决权”

在德国,“自我决定”(自决)的理念由来已久。在哲学的意义上,自决是从人的自主性出发,在自己生活范围内具有的自我决定自由。伴随着德国“一般人权”的发展,自决从理念具象化为民事权利,由此衍生出基于人格的“自我决定权”,即个人以发展人格为目的对于生命、身体、健康、姓名等具体外在人格要素的控制与塑造的抽象人格权。20世纪80年代以来,计算机等信息技术的迅猛发展将传统上依附于其他人格要素的“个人信息”独立出来,成为可以被收集、存储、分析、转让、共享的特殊人格要素,作为一般人格权的“自决权”自然延伸到“个人信息”之中,个人信息自决权应运而生,德国1983年“人口普查案”便是其中关键的节点。在该案中,德国联邦宪法法院通过阐明《基本法》第1条第1款和第2条第1款中“人格尊严和人格自由”之意蕴,明确提出个人信息自决权。法院指出:在现代的信息处理技术下,每个人应当拥有信息自决权,个人得自行决定是否向他人告知自己的个人信息,是否允许他人利用自己的信息;法秩序应当保证个人得以知晓何人、因何事、于何时、在何种情形下知晓自己的个人信息;这一基本权利是保护个人得以对抗无限制的信息收集行为的有力工具。

个人信息自决权不仅旨在保护“人格尊严”,更以“人格发展”为目标。这是因为,本人的个人信息是其向外界展示其形象和社会角色的工具,而他人的自我信息则是人们认识外部环境的重要媒介,而人格的发展就在“自我表现”(Selbst darstel lungsrecht)和外界的认识和反馈中完成的。为了维护人格发展的自由,一方面,法律应当保护将个人信息过分暴露于外,以免个人因他人的观察和监视扭曲自由选择,另一方面,法律还应限制个人信息的利用,以免他人利用信息优势地位,对人格施加不当影响,如今屡遭诟病的“精准推送商品”“大数据杀熟”等问题便是适例。所以,与保护人格尊严消极的、静态的保护不同,对个人信息的保护应当在社会交往的场景中,承认其个人信息自主、积极使用的

价值与利益。在此意义上,个人信息自决权和所有权具有一定的相似性。

2.英美法系的“信息隐私权”

自沃伦和布兰代斯将隐私作为现代社会的重要权利以来,隐私权便主要由两类权利构成:一类是“私人生活安宁权”,即将个体保留在私人领域之中的权利,如个人活动和日常生活不受监视、监听、调查、窥探,个人住宅不被侵入、监视、骚扰;一类是“信息控制权”(control over personal in forma ?tion),即将个人信息保留在个人控制之下的权利,如姓名、肖像、住址、人生经历、生理秘密不得被刺探、公开或传播,通讯、日记或私人文件不被刺探或公开,社会关系不受非法调查或公开。对个人信息控制的权利和1967年的美国“国家资料中心(National Data Center)”事件直接催生了“信息隐私权”(in formation privacy),即“个人决定其信息在何时、何种程度以何种方式与他人交流的一种主张”。在互联网出现的背景下,20世纪90年代美国克林顿政府信息基础特别小组(IITF)将隐私权界定为“个人对控制个人信息范围的主张,在此范围内主体自主收集、披露和利用、确认自己的信息”。

信息性隐私权并不是要求对个人信息完全保密,也不是简单地要求他人对我们的信息一无所知,而是要求信息主体、信息传递者、信息接受者承担不同的角色、享有权利和承担义务,从而在具体场景下,明确何种信息可以被披露,何种是期待被披露以及禁止披露的。正因如此,哈佛大学法学院贝克曼互联网研究中心主任乔纳森·齐特林教授指出:“在我看来,支持知识产权保护的人和支持隐私保护的人之间有着深厚联系。他们有一个共同意愿就是控制信息如何分配。”

3.个人信息控制权的制度回应

在网络社会和信息时代的历史浪潮下,国际组织纷纷创设了以个人信息控制权为中心的保护原则,从20世纪80年代OECD的《隐私保护与个人信息跨境流通指导原则》到1995年《欧盟个人数据保护指令》,再到2004年《APEC隐私权保护原则》,均反映出强化个人信息控制权的立法趋势。详言之,就个人信息的收集与利用,各国均应遵循有限收集原则、目的明确原则、限制利用原则、数据质量原则、公开性原则以及个人信息权利保障原则。个人由此享有知情权、查询权、异议权、更正权和删除权。在上述规则的基础上,2018年5月25日生效的《欧盟一般数据保护条例》进一步扩充了个人的信息控制权,包括明确界定“知情同意”的行为内涵,细化查阅权和删除权、反对权以及免受自动化决定权,增设了可携带权和被遗忘权。

在上述国际组织的努力下,各国亦通过国内法的形式赋予用户更多自主性权利。在韩国,《个人信息保护法》规定了个人信息主体的选择权;在印度,2017年《印度数据保护框架白皮书》指出:个人参与原则是个人数据处理公开透明性的重要保证;在美国,《2018年加州消费者隐私法案》特别申明:人们期许隐私和其信息的更多控制。加利福尼亚消费者应当能够就其个人信息行使控制权,并且期待防治个人信息滥用的保护措施。为此,加利福尼亚人有权知晓其正在被收集的个人信息;有权知晓其个人信息是否被出售或者披露及其流向;加利福尼亚人有权拒绝个人信息的出售;加利福尼亚人有权访问其个人信息。同样,我国《网络安全法》在传统侵权责任法的消极安全保障之外,另外赋予了用户知情同意权以及针对网络运营者的删除权和更正权。

无论是大陆法系的“个人信息自决权”,还是英美法系的“信息隐私权”,抑或是各国的立法实践,均表明个人信息权日益从防御性权利向主动性权利演进,从强调伦理尊重向鼓励数据利用演进。相应地,人们能够像控制财产一样控制其个人信息,并决定信息如何流动。遵循这一法理,个人就是否以及如何向他人披露个人信息拥有了最大程度的选择权,其既可以披露和授权使用(在免费模式下),也可以不披露和禁止使用(在付费模式下)。

四、“普遍免费+个别付费”模式的正当性

法律是表达利益和平衡利益的过程。在个人信息之中,人格尊严、人格发展与商业价值、公共价值相互交织,亟待采取多元化进路,破解利益难以调和的困境。为此,“普遍免费和个别付费”的双重模式通过为个人赋权的路径,有效平衡了多方诉求。

(一)双重模式凸显了个人信息的潜在财产利益价值

数据是21世纪的“能源”。在大数据时代,海量的个人信息规模(volume)、快速动态的数据流转(velocity)、多样的数据类型(variety),彻底改变了之前少量的、静态的、零散的个人信息状态,赋予了后者以巨大的经济价值(value)。然而,在人格权和财产权二分的框架下,个人信息的经济面向隐而不彰,被埋没在人格尊严和人格发展的精神价值之下,这反而削弱了法律对个人信息的保护。这是因为,虽然《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》已经确立了精神损害赔偿的条款和条件,但用户往往难以证明个人信息侵权已造成严重的精神损害。更有甚者,在不承认个人信息经济价值的情形下,假若不存在个人信息以外人身、财产受损,那么《侵权责任法》第20条的规定并无适用余地,这无疑不当减轻了网络服务提供者的责任。

正是因为洞见到传统人格权进路的缺陷,从美国学者AlanWestin到网络法的奠基人劳伦斯·莱斯格,均转而主张一种基于个人信息的财产权。他们认为,财产化有助于摆脱以隐私保护为模式的路径依赖。信息主体一旦拥有财产权,就能恢复其在信息利用过程中丧失的控制力,并能自由决定何时放弃自己的利益以及放弃个人信息的最低阈值。不过,正如反对者所言,财产权理论把个人信息商品化,将带来道德风险、市场失灵风险、信息闭塞风险和权属争议风险等一系列难题。对此,“普遍免费和个别付费”的双重模式一方面通过揭示“数据支付”和“金钱支付”的等价性,指出个人信息类财产的一面及其背后的经济现实,另一方面又拒绝将个人信息视为真正的商品,而是以增强信息主体对个人信息控制权为依归,避免工具取代目的,自治沦为他治。在此意义上,双重模式摈弃了额外

创设财产权的二元保护路径,而试图扩张既有人格权的内涵,使之同时包含经济价值,以期积极发挥财产损害赔偿的作用,令侵权人同时承担精神损害赔偿责任与财产损害赔偿责任,实现对信息主体的充分救济。

(二)双重模式充实了用户同意原则

个别付费模式不但直接给付费用户提供了高标准的个人信息保护,而且,通过告知用户存在付费选择权,还充实了同意原则,从而间接保护了所有的消费者。如前所述,在普遍免费模式下,个人不存在迫在眉睫的金钱支出,所以对用户协议、隐私政策均采理性冷漠的态度。2014年3月,德国学者尼古拉·严奇做了一个实验,让443名学生到网站上购买两家影院提供的电影票,在票价一致的情况下,其中一家声称需获取用户的电子邮箱以发送广告,于是另一家获得了62%的销售额,但当后者提升票价后,前者立马获得87%的销售额,即使它依旧发送广告。要知道,后者提价只不过区区50欧分。无独有偶,芝加哥大学AlastairR.Beresford等人进行的田野调查同样证明了这一点。在两家在线DVD商店中,一家不断要求用户告知敏感信息,另一家则无须用户提供,可相同商品的价格贵1欧元,结果几乎所有人都选择前者。相反,付费模式将提醒用户仔细思考交出个人信息的机会成本,促进其更为审慎的决策。更重要的是,付费模式的存在打破了免费模式所设定的“框架效应”(framinge ffect),个人得以摆脱“用个人信息交换便利”的刻板印象,从网络服务提供者对其偏好施加的潜在影响中解放出来,从而作出真正符合切身利益的选择。 

(三)有利于正确理解和适用“个人信息收集最小化”原则

个人信息收集最小化原则”意味着在收集个人信息之时,仅收集为达成特定目的所需要的、直接相关且必要的内容,同时,其留存不得超过特定目的所必需期限并在目的达成后及时删除。该原则首先被经合组织1980年《隐私保护与个人信息跨境流通指导原则》所明确,随即成为各国普遍适用的个人信息保护原则,我国《网络安全法》和《信息安全技术·个人信息安全规范》亦予以规定。需要指出的是,这里的“最小化”并不是绝对的最小化,而是将信息收集限制在“达到目的的适当范围内”。由此,判断“目的”便成为这一原则落实的关键。然而,在海量信息收集、留存与二次利用的大数据时代,面对日新月异的商业模式和用户需求,网络服务提供者的产品和服务必须不断推陈出新,个人信息的利用方式亦随之变化,“目的”的事先确定日益困难。正因如此,网络服务提供者往往在隐私政策中全面列举和过分扩张其目的,而这在避免违规的同时,却令“个人信息收集最小化原则”形如虚设。

双重模式有效化解了这一困境。在免费模式下,“目的”可以理解为网络服务提供者为满足用户基本需求及提升用户体验而设计的“目的”上。在付费模式下,鉴于其禁止数据的再利用,此时的“目的”应理解为用户注册时所要实现的“初衷”,而非网络服务提供者的“商业意图”。换言之,其目的应限于产品或服务的核心功能和用户的基本需求,其他附加功能和需求不应纳入其中。 

(四)双重模式有利于平衡不同用户之间的利益

普遍免费和个别付费”双重模式有效平衡了用户和网络服务提供者的利益。一方面,该模式平衡了不同用户之间的利益。正如FacebookCEO扎克伯格所言,如果你想建立一个服务来帮助连接世界上的每个人,那么有很多人会无力付费,这就是为什么基于广告的商业模式是唯一“理性”的原因。然而,并非所有人都无力支付服务费用,也并非所有人都将便利性置于个人信息之上。对于这些人,付费模式拓展了他们的选择权。另一方面,毋庸讳言,个别付费模式将给人们带来一种印象:这是财富不公的又一反映。由于低收入者的支付能力有限,他们不得不在为个人信息付费和支付食品或上班所需的公共交通之间作出选择。美国皮尤研究中心的研究发现:2/3的受访者反对为获得积分卡,而允许企业监控用户的消费信息并向第三方出售,但在低收入者中确有56%的受访者认为这一交换是

可以接受的。显然,相较于富人,低收入者个人信息被滥用的可能性以及因之遭受损失的风险无疑进一步放大了。为了避免歧视选择“普遍免费”模式的人群,我们首先应为之提供基础性保障,在合法、正当、必要的范围内收集和利用个人信息,并保证完整性、保密性和可用性。其次,应对关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的“个人敏感信息”着重保护。总之,个人信息权利绝不能定位于奢侈品,它是生活必需品。这意味着企业只能在满足最低限度的保护要求之后,方可针对付费用户提供更好的服务,而不能以“免费”为由降低对普罗大众的保护水平。 

(五)双重模式有利于网络服务提供者的经营

无论是数据支付还是金钱支付,网络服务提供者都可以获得收入,只是来源不同而已,这化解了无法通过信息复制来覆盖信息生产成本的矛盾。不唯如是,通过观察用户对模式的选择,网络服务提供者将“个人信息迟钝者”和“个人信息敏感者”区分开来,对于前者,提供标准化保障,对于后者,则采取个性化的个人信息保护策略。这种分离均衡的设计,在维持既有用户之余,还能吸引在单一免费模式下拒绝加入的“个人信息敏感者”,提升了企业声誉。用户数量的扩大和信任关系的巩固,使得网络服务提供者成为最后的受益者。正是看到了这一点,Face book CEO扎克伯格不久前表示考虑推出Face book付费版,从而允许用户选择不把他们的个人信息分享给广告客户。

五、“普遍免费+个别付费”的机制建设与制度设计 

(一)机制建设

徒法不足以自行,“普遍免费+个别付费”模式亦然。事实上,正如对个人信息财产权的批评一样,该模式的关键并不在于是否给予信息主体以选择权,而是该选择权如何在交易成本高昂的信息市场中落实。就个别付费而言,我们所要回答的核心问题是:如何在信息不对称的前提下,监督网络服务提供者履行承诺?这需要在相关机制建设方面作出安排。

1.经设计的个人信息保护

信息技术既是个人信息的最大威胁,也是个人信息保护的最佳工具。20世纪90年代,OECD所提出的“经设计隐私”(Privacy by Design,PbD)理念在反思技术创新与隐私保护的关系后,把隐私主动地嵌入数据开发与挖掘技术、商业操作、网络架构中,把隐私保护看作是数据资源利用的核心问题之一,而不是依从性问题。2018年,《欧盟一般数据保护条例》将该理念进一步落实为成文法。具体而言,在个别付费模式下,“经设计的隐私”包含着如下基本内涵:

其一,将不予处理个人信息作为默认设置。由于企业所拥有的框架设计的权力,关于个人信息收集、使用、转让、共享的条款设计一般应采取选择同意(Optin)模式,在此情形下,若用户没有作出任何行为,则视为用户拒绝处理。其二,寓保护于全程设计之中。“不予出具个人信息”应当作为信息技术系统、物理硬件和商业结构中不可或缺的一部分,并且该部分的功能实现并不会削弱其他的功能。其三,保持透明和开放。透明是建立信任的捷径。网络服务提供者有关个人信息处理的政策、进程和控制方式的信息应及时发布,并且相关信息须以通俗易懂的方式呈现。同时,企业内部负责个人信息安全事务的人员身份和联系方式有必要公之于众,以便客户监督并建立投诉和赔偿机制。

2.以可见的方式证明履约

网络服务提供者应当保存处理活动的记录,从而以可见的方式实现合规。借鉴《欧盟一般数据保护条例》,作为数据控制者的网络服务提供者,应保存如下该等内容的书面或电子记录:(1)控制者的名称/姓名和联系方式,以及共同控制者(如有)、控制者代表和数据保护官(如有)的名称/姓名和联系方式;(2)处理的目的;(3)对数据主体类别和个人数据类别的描述;(4)已经或将要接收个人数据的接收者之类别;(5)删除不同类别数据的预期时限;(6)对技术性和组织性安全措施的概述。为了提升数据处理的透明性,书面记录应当满足如下条件:(1)在应监管机构的要求提供时,监管机构能够据此监控数据处理的操作;(2)能够证明遵守其承诺的具体情况;(3)当数据主体行使相关权利时,能够回应信息提供的请求。为制作记录之目的,数据控制者内部的不同部门应相互配合、各负其责,共同收集和整理必要的信息。不过,这也会导致个人信息泄露的风险,因而有必要利用DPMS中定制化软件系统,对其进行监控和审计。

3.创新技术工具

将“经设计的个人信息保护”和“可见方式证明”结合的最佳方式之一就是当下的区块链技术。所谓区块链(Block chain),即一种去中心化的、由各节点参与的分布式数据库系统。我们可以将其理解为一种公共记账技术方案,可以被用来验证、记录、存储、维护和传输网络中的相关信息。鉴于区块链的不可篡改性、分布式共享性和开放性,用户得以通过公开接口查询个人信息的处理情况,具有绝对的透明性和去信任的特色。在个别付费的场景下,区块链可以通过如下两种方式保障个人信息免受处理。

其一,“端对端的加密”。区块链的创始人中本聪(Nakamo to Satoshi)在其《比特币:一种点对点的电子信息系统》一文中,将匿名性作为区块链的核心要素,这是因为由于无需可信的中间人验证,区块链本身不需要提供任何个人信息,同时在交易中,身份识别验证与交易层是相互独立的。不过,为了遵守我国《网络安全法》的实名制规定,可以引入“用户真实身份可查验制度”。该制度系通过建立国家官方网站进行公民真实身份验证,统一发放“网络身份识别码”,以认证“网络身份识别码”代替实名制之下的公民真实身份识别,从而最大限度维持用户的“匿名”状态。

其二,“个别付费的智能合约”。智能合约(smartcontract)是依托于区块链技术而发展起来的用于信息验证或执行的计算机协议。智能合约的计算机语言程序由类似于普通计算机程序的“ifxtheny”语句构成,即当条件X发生时,智能合约自动执行程序,产生Y的结果。因此,智能合约允许在没有第三方的情况下进行可信交易。据此,一旦用户付费的条款和条件写入智能合约,就因服务履行所不得不收集的个人信息,用户可以享有如下权利:(1)避免“二次利用”。利用可追溯和不可篡改的特性,其保证了网络服务提供者对个人信息的留痕,从而可以在事后对违约或违法的处理者追责。同时,通过时间戳、公钥和私钥分离等设计,保证相关信息只能在授权的次数或时效内处理。(2)违约自动执行。通过将违约触发事由写入,一旦算法识别出有侵犯个人信息的行为,就可以自动给出警示,甚至要求违约方直接划转违约金,从而大幅降低了监督成本和救济成本。 

(二)制度设计

是否适用“普遍免费+个别收费”的双重模式以及如何适用这一双重模式,除了应当遵循个人信息保护法律法规的原则和具体规定以外,还需要进行一些特别的制度设计,使得这一模式更好地服务于网络信息服务各方的利益以及他们之间的利益平衡和适当兼顾社会公共利益。

1.对无限索取同意与拒绝交易的规制

在“普遍免费+个别付费”的双重模式下,网络服务提供者应平行提供免费模式供用户选择,不能仅提供单一模式而又强行过界索权要求用户同意大量与所接受的服务关联性不大的个人信息。如果仅有免费模式,在网络用户拒绝同意其收集特定种类个人信息的情况下,网络服务提供者一般不能拒绝交易,也应当在可能的情况下提供基本服务,并符合个人信息保护法律法规所要求的基本保护要求。

利用免费模式过度乃至无限制地向用户索取同意(收集和利用其个人信息),是一个普遍存在的危害用户个人信息的问题。比如,目前有些地图导航应用,界面上要求用户授权其收集用户所在的地理位置信息、许可其阅读和收集用户的电话号簿信息以及短信通讯信息等。如果用户拒绝同意,该应用界面则立即消失。这一实践无限制地扩大个人信息收集范围,违反个人信息保护的基本原则;同时,其利用信息优势拒绝交易也涉嫌违反竞争法的原则和精神。对于此等行为,应当通过管理性法规或者行业规范加以规制。

2.付费模式下“付费买安宁”的个人信息保护特别规则

一些网络服务提供者利用付费模式收取用户一定的费用,以弥补因收益不足而可能导致的亏损。此种情况下,付费用户的个人信息应该得到更严格的保护。这样的模式适合个人信息敏感且愿意为网络信息产品和服务支付对价的人群。在这样的模式下,对用户个人信息的收集之同意的意思表示,应该是更为明确的,收集的范围应该更小,使用的目的更为明确和具体。从利益平衡的角度看,用户支付了使用费,应该得到更好的服务以及在接受服务中更好的体验与安全关照。我们可以利用合同法上的附随义务理论解释这一机理。

此等付费模式,可以是收取一定时长的会员费,也可以是“零售”性质的对偶然用户的依次计费。网络服务提供者除了需要对付费制度进行设计外,特别需要制定专门的隐私条款,给予用户更明确的告知,将个人信息的收集限定在提供此等服务最低必要的范围内,并依法保护收集到的个人信息,严格按照收集的目的使用等。

3.付费模式下“付费买增值服务”的个人信息保护特别规则

一些网络服务提供者,在普遍免费模式下向大众用户提供初级的或者说较低技术水平的产品以及低版本低精度的信息,满足一般消费者的需要。在此等情况下,应当遵循个人信息保护法律法规的原则和基本要求,达到或超过个人信息保护的基本水准。如果部分用户通过付费购买更高技术水准的产品或者更优质的服务,则网络服务提供者应当按照合同法的对价原理,提供约定的产品和服务。而在此等付费模式下,所付之费用既包括对优质产品和服务的费用也包括获得更高个人信息保护的费用,则还应适用上面讨论的“付费买安宁(保护个人隐私和个人信息)”个人信息保护规则对用户的个人信息予以更高水平的保护。以婚恋交友网站为例,白金会员支付高得多的会员费,其除了有理由期望更优质的贴心周到服务包括获得更优质更多的异性信息外,还应当得到更高水准的个人信息保护。

4.索权与收费的双重禁止

网络服务的付费模式或“普遍免费+个别付费”模式不适用于政府等公共机构作为网络服务提供者提供的网络产品与服务。在此等情形,由于网络服务提供者已经获得公共资金(如政府财政拨款)保障其运营,因此不得向用户收取相关费用,也不得以任何理由过分要求用户同意其个人信息被收集和不适当利用。个人信息的收集、处理、利用等,必须严格依法为之。非营利法人提供网络服务的,原则上也应该遵循双重禁止的规则,即禁止收费,禁止过分索取用户同意收集其个人信息,只能严格依据法律的规定收集为提供服务所必需的信息,并且在安全保障等方面尽到较高的注意义务,符合

六、结  语

承认不同人群利益和兴趣的多样性,是政治文明的重要特征。而如何协调不同人群利益和兴趣的多样性,满足人民对美好生活的需要,以各取所需而又避免和减少可能的冲突,则依赖于法治的智慧。个人信息事关多方主体和多元利益。正如《欧盟一般数据保护条例》的前言所阐明的:“个人数据的处理应当坚持以为人类服务为导向。个人数据保护并非绝对权利,必须根据比例原则考虑其在社会中的作用,并与其他基本权利相平衡。”个人、企业、政府对个人信息各有诉求,人格尊严和自由、商业价值、公共价值在其中犬牙交错。因此,个人信息保护必须采取利益平衡的进路。我们相信,“普遍免费+个别付费”双重模式契合了网络经济的内在逻辑,既回应了提升个人信息权利的呼声,又为网络服务提供者开拓了新的营利模式,有益于互联网产业的长远发展,不失为一举多得、各方共赢的制度构想。但与此同时,此等双重模式亦将增大监管的复杂度。为此,政府应坚持底线监管和软法并举的思路,适时推出用户付费的合同模板作为指导范本,鼓励技术创新,最终实现个人信息市场的透明、公正和稳健发展。

责任编辑:于涛
本站系非盈利性学术网站,所有文章均为学术研究用途,如有任何权利问题请与我们联系。
^