享受“裸奔”时代：信任之上的个人信息共享

　　文/意见领袖专栏机构 北京和昶律师事务所

　　本文作者：王亮亮

　　2018年3月26日，李彦宏在中国发展高层论坛上，发言说，中国人愿用隐私换便利。隐私保护是互联网界的“政治正确”，李彦宏似乎又说错话了。但同时他还有后半句话：“如果这个数据能让用户受益，他们又愿意给我们用，我们就会去使用它。这就是我们能做什么和不能做什么的基本标准。”这句不如“隐私换便利”的话题博眼球，也就泯然于信息流中了。李彦宏的前半句话，道出了中国互联网发展的“成功之道”；后半句话，表明了个人信息使用的“一条红线”。

　　这一争议发言当时，《网络安全法》已经实施近一年，“侵犯公民个人信息罪”，也早在2015年就写入了刑法。法律的确表明了态度（刑法定罪甚至跑在了网安法实施之前）：个人安宁不应被打扰，隐私不该披露，个人信息要保护。规则非黑即白，但现实世界，利益纠缠，远比想象得复杂，个人信息如何保护？个人信息一律要保护吗？答案可能并不统一。

　　一、宿命，以隐私换便利

　　“前浪”BAT风华正茂，“后浪”字节跳动着拼多多，抖音带着tiktok出海远行，快手电商后来居上，比淘宝也毫不逊色，B站把握着年轻人的脉搏，纵观世界各国，中国人拥有别国朋友梦寐以求的生活：网络时代的巨大便利。未来可期的5G时代加上物联网，跨越空间的边界；AI、AR、可穿戴设备加上深度学习，打破时间的隔阂，这一切都源于人与物的互动：只有个体输入个人信息，网络才能具有阿拉丁神灯的魔力；只有个人信息、数据投喂越多，网络才能越来越懂你。

　　甜蜜的生活亦是承重的负担，我们习惯于网络的便利，但又惊恐自己生活在透明房子，被时时观望。没有人是一座孤岛，也几乎无人能抗拒这妙不可言的便捷生活。中国互联网产业何以前浪翻腾、后浪奔涌？一是，相关法律法规不健全，尤其是个人信息的采集、使用几乎没有边界。二是，网民数量叹为观止，海量个人信息不断“投喂”企业。这是个体与企业互动的结果，是市场逻辑跑在政府规制之前的自由生长。

　　前互联网时代，个人信息是碎片化的，常常与确定的隐私权相关，多为人格体现，由于无法创造独立的财富密码，个人信息保护也不是突出的问题；万物互联时代，信息汇聚、融合，大数据算法成为可能，个人信息的商业价值逐渐凸显，个人信息争夺战也由此拉开帷幕。个体参与是万物互联的基础，个人信息多为个体主动提供，虽有企业裹挟因素，但总体上仍是公平交易，即让渡部分个人信息作为实现便利生活的对价，这是市场的逻辑。个体安全与信息流通是利益衡量的天平两端，不可偏废，我们也必须在这一背景下，谈个人信息保护。

　　“隐私”换便利是客观存在的现象，个人信息与隐私密切相关，个人信息的核心特征在于“可识别性”，隐私的关键特征是“可识别”基础上的“非公开性”，两者略有不同，但紧密相连，个人信息中的敏感信息就是隐私。用个人信息换取生活便利，是互联网时代的特点也是进步之所在，这既是宿命也是一种幸运。我们即使再向往“鸡犬相闻，老死不相往来”或者田园牧歌的“桃花源”，也罕有人去实践。可以肯定的是，几乎没有现代人愿意去往一个没有信息泄露同时也不会有便捷生活的时代，既然人与技术存在剪不断、理还乱的关系，那就必须得转换心态，勇敢面对，认真对待权利，并学会理解个人信息因共享而产生巨大社会效益的故事。

　　隐私（个人信息保护）的概念不是自古有之，是社会变迁中动态产生的权利；范围也非一成不变，随着生活方式变化，或大或小。人生而自由，却无往不在枷锁之中，我们身处技术引领的当下，那就不得不正视这样的宿命并试着去理解技术的双面性。那面对个人信息被非法利用，就放弃反抗坦然接受吗？当然不是。宿命是个体自愿接受的结果，而非强行的剥削与利用。如果个人信息收集者，不经“通知-同意”框架的检验，获取个人信息，那就打破了“君子协定”，滑入非法的轨道。

　　二、底线，通知-同意

　　纵览各国个人信息保护的立法实践，结合我国《网络安全法》相关条款，个人信息使用需遵循以下原则：通知-同意原则、最小必要原则、目的专用原则、去标签化原则、删除修改原则（被遗忘权）、安全保障原则。这些原则基本涵盖了个人信息处理的全部要求。原则具有无穷的想象力和解释力，上述原则中有一个“母题”那就是“通知-同意”原则，其他原则均衍生于此。“通知-同意”有两个子原则：“通知原则”和“同意原则”。

　　“通知原则”要求信息收集者通知信息主体：“个人信息在被收集并说明因何收集”。同时保障信息主体“诉权”，以对抗非法收集。有些个人信息收集者，只履行通知义务即可，不需要信息主体“同意”，例如，政府机关、具有收集权的公共机构等收集个人信息时既是如此：“新冠疫情”期间，政府为了公共安全和传染病防治的需要，依法收集个人信息，信息主体无拒绝权，这是利益衡量的结果；但收集的合法性不代表长期存储的合法性，存储仍需要征得信息主体同意。巧合的是，正在召开的“两会”上，全国政协委员李彦宏等建议：疫情期间采集的个人信息应加强善后处理，应具有退出机制……”。这侧面说明，互联网企业家们并非不懂个人信息保护，而是如何实践，仍需时间摸索，以及是否有魄力做好。

　　更一般的情况是，个人信息收集者须完整经过“通知”、“同意”原则的双重检验，在通知信息主体后，还需主体授权同意，至此才完成个人信息合法使用的基本程序。同意是比通知更难的事情，难就难在同意的方式：明示同意还是默示同意？Opt-In or Opt-Out？明示同意何为明示？主动告知要多主动？这都有待于规则进一步明晰。目前同意的法律要求并不苛刻，企业通过一揽子隐私政策（个人信息保护政策）实现用户同意，是普遍的做法：要么用户勾选同意，使用软件；要么用户不勾选同意，放弃使用。隐私政策内不提供独立勾选项，让用户二次选择具体使用哪些功能。这是多数人吐糟的“同意的套路与陷阱”。吐槽有理，但“套路”终究比不经“同意”的非法获取有意义，个人信息保护的良好实践不是一蹴而就，而是渐进形成的过程。目前而言，企业只要能做到，通过隐私政策公开展示所收集的个人信息的种类与目的等要求，就是不错的做法。个体倾向付出得少（个人信息）而享受得多（网络便利），企业倾向索取得多（个人信息），所以会给你更多（便利功能）来交换个人信息，实现竞争优势，市场逻辑下，双方都没错。因而个体与企业都要保护，以萎缩产业为代价的个人信息保护不可取，对个人也是百害而几乎无一利的。企业做好“知情-同意”是必要且对自身极为有利的选择，享受个人数据“红利”，就必须用之有度。

　　个人信息的流动性与企业的逐利性动态挑战着“知情-同意”原则，最好的方案只能是“以变化应对变化”。以政府为代表的执法机关要对上述原则进行合理解释，做出不偏废任何一方发展的选择，进行执法干预，逐渐督促企业形成处理个人信息的良好实践，进而产生具有广泛约束力的“行业标准”，这是值得探索的方向。

　　三、手段，“以打促改”

　　我国采取分散立法的模式进行个人信息保护。呼之欲出的《民法典》设有个人信息保护条款，但并未将个人信息界定为一种权利，个人信息保护与隐私权有千丝万缕的联系，其又与其他人格权横向交叉，相关条款适用，仍面临难题。《民法典》出台，只拉开了相关话题的序幕，并不是终章。如前文所言，早在2015年11月，《刑法修正案（九）》就将侵犯公民个人信息罪写入刑法，2017年6月，《网络安全法》与两高“关于侵犯公民个人信息罪的司法解释”同日实施。此外，《消费者权益保护法》、《电子商务法》对消费、电子商务等场景下的个人信息进行保护。即将出台的《个人信息保护法》、《数据安全法》对上述法律进一步系统弥合，加之以GB/T 35273-2020为代表的国家标准化体系、相关部门规章、行业规定等，这些总体构筑了个人信息保护的完整体系。

　　规则业已或即将补全，但个人信息的违法行为，却依然屡禁不绝。勿论网络黑市交易、黑灰产业等纯粹违法行径，只谈企业的非法使用、无端泄露等问题也格外刺眼，问题出在哪里？就是“法律组合拳”出错了力。

　　以《民法典》为代表的私法救济路径，目前不足以拯救海量的个人信息泄露。个体无力维权，群体也面临着集体诉讼的诸多难题。与之类似的情况是，隐私权条款在民法里躺了这么多年，君可曾见，有几个维权成功的案例？因为这不仅是法律问题，更是成本收益问题，除非有更好的权利主张路径与之配套，否则，个体通过民事诉讼维权的方法，实在杯水车薪。

　　以《刑法》为代表的公法打击路径，目前也抓不完非法使用、泄露信息的犯罪活动。根据相关司法解释，非法出售、提供、获取特定（敏感）个人信息50条即可构成犯罪。在海量的信息时代，非法使用50条个人信息，不成为难题。看看已被曝出的个人信息泄露事件，答案是清楚的：刑法不能一网打尽。此外，积极出动刑法，打击个人信息违法行为不仅不经济，也存在罪刑不均衡的问题。企业一念之差，就几乎遭受灭顶之灾，在目前个人信息保护普遍不足，法律规则尚不明晰的情境下，动用刑法应慎之又慎。

　　那什么是最好的出路呢？我认为是行政处罚。行政执法位于柔和的民法救济与剧烈的刑法打击之间，具有辗转腾挪的余地，执法方式多样，包括约谈、通报批评、限期改正，罚款等措施都能在不同层次上发挥效果。企业为了经济利益去试探法律底线，对其最有力的惩罚自然是经济制裁。一个企业，经济学自然不会太差，违法获益比处罚成本大时，企业很难拒绝去违法，反之亦然。我国对个人信息违法行为，行政处罚的力度实在太弱，失之于宽，罚款几乎低于违法收益。以《网络安全法》六十四条为例，侵犯公民个人信息，有违法所得的没收，处违法所得一倍以上十倍以下罚款；没有违法所得的，处一百万元以下罚款，100万的罚款力度，十分宽宥。反观欧洲、美国动辄开出天价罚单，对Facebook为代表的企业违法行为进行巨额罚款（几乎不采取刑事制裁），政府通过巨额罚款，促成企业和解，对企业进行指导并监督整改，长此以往，政府执法机构与企业形成“巨额罚款-监督整改-形成规则”的公平信息实践，这样不仅保护了个人信息，也促进了企业发展，威严与温情兼顾，个体与产业平衡，这种“以打促和”的治理思路，是应当借鉴的。但要注意的是，巨额罚款的前提是公平执法，还需要执法机关有能力指导企业建立信息合规制度，这对其提出了更高的专业要求，执法机构必须不断摸索，积极作为，习惯并逐渐胜任通过行政制裁，解决社会发展中的棘手难题。

　　四、根本，企业自律

　　千年未有之大变局，形容今日之信息时代恰如其分，据中国互联网络信息中心（CNNIC）发布的第45次《中国互联网络发展状况统计报告》显示，截至2020年3月，我国网民规模为9.04亿，互联网普及率达到了64.5%。身处网络时代的国人应感触颇深：网络技术进步带来生活巨大便利的同时，人与技术、人与物的矛盾也逐渐凸显，人最终会变成技术的奴隶，物为形役？还是人性光辉始终耀眼，自在掌控物的便利？这是时代的焦虑，个人信息泄露加重了这种焦虑。

　　焦虑源于个体被窥探的不安全感，但不安全感的背后毕竟又连接着便利的网络生活，我们再也不能回到除了个人信息安全，什么都没有的时代。

　　康德的诫命，言犹在耳，人是目的而非手段。人类希望悠然自处、免于恐惧，从而走出丛林、逃离霍布斯的自然状态，建立国家这一利维坦，来保证安全。信息时代，除了国家，掌握无数信息的企业也是庞然大物。我们不仅要限制公权力机关的肆意，也要对提供给我们便利生活的企业进行规训。但这又谈何容易，互联网巨头们“大而不倒”；互联网小企业，也想积极参与。他们都拥有比个体强千百倍的技术与能力，相差悬殊之下，个体尚无法形成约束企业的实质力量。

　　正因为此，个人信息保护要靠法律，但又不止于法律，也无法只通过法律解决这些无解的难题，所有的治理难题最终都是人性问题，法律之上仍需道德伦理，诉诸人性尊严会更好吗？我的答案是乐观的。要相信人类的文明历程，要相信集体的行动选择，个人信息保护不是零和游戏，企业只有尊重个体的人性尊严，才会赢得个人的长久信任。建立在信任基础上的个人信息分享，无疑会给企业创造更大的价值。苍穹之下，信任之上的生活值得追求。

　　(本文作者介绍：北京和昶律师事务所是一家以刑事辩护和刑事风险防控为主的专业型、研究型律师事务所)