市场经济法治
文章编号：1001-2397（2021）02-0155-16



内容提要：个人信息保护关乎公众信息安全，关乎社会治理体系和治理能力提升。大数据时代信息监管的艰巨性、复杂性对现有执法范式及资源配置提出了全新要求，个人信息安全需要优化治理方式。如何有效威慑个人信息违法违规行为，是破解个人信息安全监管困境的关键所在。声誉机制的规制原理是通过信息传播来威慑企业运营最为核心的利益——用户流量，有效阻却企业决策执行层的不法行为，以辅助政府监管、分担执法负荷。威慑力有效的要义是信息适当流入公众的认知结构，建立数据企业信用档案不失为治理良策，其涵盖信息收集、评价、核实、披露、传播等环节，为公众启动声誉罚提供信息基础。此外，因认知黏性可能造成声誉罚过度甚至异化，应当通过信息核实等制度设计，确保信息的准确、可靠、适度，以纠正声誉罚给企业带来的“误伤”，实现治理优化。
关键词：个人信息保护；声誉机制；制度构造；信用档案；社会治理
中图分类号：DF41　　文献标志码：A
　　DOI：10.3969/j.issn.1001-2397.2021.02.11　开放科学（资源服务）标识码（OSID）：
一、问题的缘起
　　华住集团5亿用户信息疑似泄露尘埃未定，[1]网络新媒体超30亿条用户数据泄露又突然爆出。[2]在《中华人民共和国网络安全法》（以下简称《网络安全法》）颁布实施的三年间，信息泄露数量未得到遏制反而上涨，其中，App个人信息泄露已成为信息安全的重灾区。[3]随着移动互联的高歌猛进，手机承担着越来越多的服务功能，也汇集了大量个人隐私信息如衣食住行、社会关系、行动轨迹等。万千信息汇于手机，信息安全问题凸显，对当前信息安全治理提出了颇为严峻的挑战。从预防论视角来看，其挑战归结为如下追问：日益增长的信息泄露行为如何得到有效威慑？何以在事前激励信息控制者防止信息泄露行为？
　　以声誉机制理论切入，本文将从制度实践角度回应以上追问：基于新技术带来新挑战和公共执法资源稀缺的双重制约，制度设计上应根据市场主体的效用函数选择有针对性的激励工具。声誉是有关人、事、物的公共形象，是由社会形象、身份识别、集体认知、群体分层等因素构成的无形资产。声誉是一种社会现象、社会机制，它与韦伯提出的“地位”“社会名誉”概念十分接近。[4]引入声誉机制，借助消费者“用脚投票”机制，影响企业的核心利益，以有效引导企业对于信息泄露尽到合理注意义务且威慑企业放弃潜在的违法行为，否则声誉机制将启动极其严厉的市场驱逐式惩罚。同时，声誉罚对企业的杀伤力可能远远超过法律的强力规制：不良信息——消费者认知——放弃购买——市场抵制——退出市场，信息发布失真将“误伤”企业甚至带来无法补救的后果。[5]基于声誉罚的两面性，政府监管机构应当建立信息筛选、评价、核实、披露的制度系统，同时完善矫正声誉罚错误的法律救济渠道，在弥补消费者认知不足、保障声誉顺畅流转的同时，预防声誉罚过度或异化给企业带来伤害。当前，《中华人民共和国个人信息保护法（草案）》（以下简称《个人信息保护法（草案）》）已发布，纵观法律条文，除了传统监管手段外，还拟建立信用档案制度，[6]此规定正是声誉机制运用的法律依据。
　　需要说明的是，个人信息保护是一项系统工程，既涉及信息控制者的审慎经营与恶意违法牟利行为的规制，又涉及非信息控制者窃取信息及信息灰黑产业链条中的倒卖行为。前者是个人信息保护的源头，对于“身在明处”的市场主体，易于使用声誉机制对其进行激励约束，后者则“藏身暗处”，不便通过声誉罚对其进行规制而是需要严厉的刑罚制裁。为了尽力切断信息泄露源头且有效使用声誉治理工具，本文将规制对象集中于信息控制者，而身在暗处的个人信息窃取者以及类似非法主体不纳入本文的分析框架。
二、个人信息保护的双重制约
　　立足于大数据时代个人信息领域的新风险和新挑战，进一步探析已有法律规则对个人信息保护失灵的现状，可以发现随着数字科技在经济、文化、生活等领域的应用日益深入，政府监管面临着日趋严峻的双重制约：大数据技术给监管带来新挑战；不确定性风险加重执法负荷。
（一）大数据技术给监管带来的新挑战
　　为了充分保护个人信息，防止个人信息在收集、加工、使用、共享等环节被泄露或非法利用，法律作出了相应的制度安排，如建立“知情同意”制度、设计“数据匿名化”和“被遗忘权”规则。这些规则对于个人信息的保护起到了一定作用，然而在大数据技术不断加深的信息化时代，这些制度的规制力度或多或少受到限制。传统的个人信息被侵犯一般是由于信息持有人对于相关信息处置不当造成信息公开或者他人利用非法手段获取信息。在大数据时代，除了以上侵犯个人信息的方式外，个人信息将面临新风险。大数据技术可以对信息进行深度加工，在不用挖掘敏感信息或特定信息的情况下，计算机通过算法亦能搜集某一对象尽可能全面的信息，获得特定结果或预测可能趋势。[7]从本质来看，大数据技术应用到信息领域使得信息载体和处理环节获得技术加持，进而使互联网环境下的个人信息保护和信息安全面临全新的风险和挑战。
1.大数据挑战知情同意制度
　　“知情同意”规则源于医疗领域，告知患者风险进而加强患者自决权，而后在个人信息保护领域被确定为一项法定规则，即平台经营者通过发布隐私政策或用户协议的方式，确定用户的知情同意，进而获得用户信息的收集和使用等权限。[8]在数据技术驱动下的经济社会，数据已经成为平台企业的战略资产，数据主体希望通过信息交换从平台企业获得更多回报。可见，知情同意不仅仅是数据主体自决权的表达，还是数据主体换取个人信息经济价值的工具。然而，在大数据背景下知情同意规则可能部分丧失原有的效用。首先，平台企业经常以免费形式提供产品，或者采用社交网络锁入方式，即用户注册时只有选择“同意”提交个人信息和授权，才能享受便利服务或参与社交网络，甚至部分软件在新用户注册时将“同意”和“注册”按钮合二为一，用户在获得便利服务的同时失去数据主体的自决权。即使平台企业遵循数据保护条例，在隐私政策条款中清晰、明确地陈列数据主体个人信息保护的权利义务，个人用户面对长篇累牍的信息专业术语未免也会无所适从，致使“知情同意”规则流于形式，反而有可能成为平台企业任意收集、利用信息的“保护伞”。其次，知情同意规则作为个人信息收集利用的前端，其无法知晓个人信息在整个数据链中的权限能力，此制度安排终将湮没在诸多数据技术之中，数据的收集、汇集、开发与利用形成一个体系，毋庸讨论数据主体是否清楚该体系，即便是数据收集者也并非完全能够预知汇集的数据将如何被开发与利用。再次，大数据时代，除非能够避免所有数据收集，否则将无法拒绝成为大数据技术的预测对象。[9]“知识欺负信息”“技术欺负信息”现象屡见不鲜，[10]信息不对称、知识技术不对等将导致信息权利扭曲或者丧失。此外，数据平台在设计上还有一些“诱导”做法，例如，金融集团内关联企业之间的信息共享，关联公司不需要“知情同意”就能拿到集团中其他公司的客户数据。与此同时，事实上数据收集已不可逆转，因为数据收集者所控制的数据，可能源于网络浏览器或者服务器的缓存，也有可能源于利用大数据分析技术生成的数据集合，从而绕过了知情同意的程序。可见，万物瞬间互联，人的蛛丝马迹都在仅次于“上天”的大数据观察之中。
2.大数据挑战匿名化制度
　　“匿名化”被写入法律文本可见于欧洲《数据保护指令》（Data Protection Directive），而后该指令被《通用数据保护条例》（General Data Protection Regulation，简称GDPR）取代。GDPR绪言第26条规定了数据的匿名化标准。[11]我国《网络安全法》第42条也确立了匿名化的两个法律标准：一是匿名化后无法识别特定个人；二是经过匿名化处理的数据不能被复原（一般概括为“不可识别、不可复原”）。[12]《个人信息保护法（草案）》对于匿名化亦给予了明确界定。[13]可见，我国的个人信息匿名化属于绝对的匿名化，其要求运用技术处理手段使数据不可能再复原。然而，技术语境下实现个人信息的绝对匿名化是不现实的，[14]因为随着信息技术的发展，数据技术具有更强的应用能级，试图仅仅依靠技术实现匿名化，仍然存在个人信息被破解和还原的可能性。仅从识别技术层面而言，“去识别”之后，运用公开来源的信息，数据挖掘者就可能实现数据的“再识别”。[15]例如，匿名化的车辆轨迹信息，借助于公开渠道获得的名人活动信息或者具有时间戳的娱乐新闻，利用MD5加密算法的漏洞，一般就可能推测出名人的行动轨迹或住所地址等个人敏感信息。[16]又如，每个人的行为都会留下数据指纹，专家们一般能够通过收集公共信息提取相应的数据指纹，进而可以识别特定自然人。[17]
3.大数据挑战被遗忘权规则
　　被遗忘权概念产生于欧盟，《一般数据保护条例》第17条首次明确提出被遗忘权。被遗忘权是指“数据主体对已被发布在网络上的，有关自身不恰当的、过时的、继续保留会导致其社会评价降低的信息，要求信息控制者予以删除的权利。”[18]欧盟所承认的被遗忘权是针对搜索引擎而言的，即被遗忘权调整的仅仅是互联网搜索服务这一特殊信息供给方式，这与元消息的根本性删除不同，其显然将删除权限定在互联网搜索引擎对于网络信息的整理和提供范围内，仅对于搜索引擎提供商所提供的信息服务进行审视。欧盟未将被遗忘权扩大适用到互联网搜寻服务之外，否则不仅会导致删除信息的成本增加，还可能进一步危及公众的知情权。[19]然而，在大数据环境中，被遗忘权的适用场景将进一步被压缩，数据流通已经不限于数据主体与数据控制者的直接交互，海量的低价值数据通过大数据汇总、分析后将转化为高价值数据。因此，商业组织、社会组织、政府组织等主动收集、监测个人在浏览器和服务器中缓存的数据，经过多层次的传播或交易，以及AI、区块链等技术的加持，可以形成去中心化的存储模式。[20]数据主体恐怕难以确定数据信息被哪些实体所掌控，更难以利用“被遗忘权”规则彻底清除网络中的数据。
（二）不确定性风险加重执法负荷
　　个人信息保护原则已被立法所确认，此法律保护趋势并无争议。然而，个人信息保护范围的不确定性，个人信息立法细则的不明确以及公共执法资源稀缺等客观状况的存在，加重了个人信息执法保护的负荷。
　　首先，个人信息的保护范围存在不确定困境。数据开发、利用的重要目的之一，即是为自然人提供各种精准的生活和工作服务，而精准服务的定位又可能触及自然人的个人信息权益，甚至侵犯其隐私权。如果将自然人的信息划分为个人信息的范畴，政府与企业之间的数据交易与共享都将面临重大的法律困境。[21]为了防止企业和政府在数据传播和扩散中侵犯个人信息权益，其引入了“匿名化”处理手段。然而，新问题也随之而至，匿名化操作的直接目的即是避免自然人身份被识别，而身份识别标准属于技术界定。信息技术的研发本身处于不断变动的状态，“一方面，常规匿名化处理操作、差分隐私、零知识证明、全同态加密等处理技术力求切断数据集的整体数学特征与个人信息、个人身份信息或公开活动信息与其他相关匿名化信息之间的关联性；另一方面，数据挖掘与数据分析技术又不断突破去识别技术的防御，信息技术的迅速发展和不断交锋使得对身份识别标准的把握变得更为复杂和专业。”[22]以上纷繁复杂的身份识别技术现状影响到个人信息范围的法律认定，亦将直接影响到执法、司法领域对于个人信息违法违规或者侵权的法律认定。
　　其次，个人信息立法处于过于原则的状态。现行法律比较碎片化，相关立法散落在公法和私法中，包括但不限于：《中华人民共和国侵权责任法》（2009年）首次确定隐私权，《中华人民共和国刑法修正案（七）》确立了两个有关个人信息的罪名，《中华人民共和国消费者权益保护法》（2013年）将个人信息保护列为一项消费者权利，《中华人民共和国刑法修正案（九）》（2015年）又新增拒不履行信息网络安全管理义务罪名，《网络安全法》（2016年）要求网络运营商健全用户信息保护制度，《中华人民共和国民法总则》（2017年）将自然人的个人信息受法律保护写入立法。另外，《征信业管理条例》《电信和互联网用户个人信息保护规定》《社会救助暂行办法》《网络预约出租汽车经营服务管理暂行办法》等行政法规和部门规章也涉及个人信息保护的部分内容。总体而言，近年来我国对于个人信息立法在逐渐加大力度，虽然2020年10月《个人信息保护法（草案）》已经向社会征求意见，但毕竟还在拟定中，部分条款尚待完善，不能作为执法、司法依据。尽管《网络安全法》已算迄今为止我国对于个人信息保护最为全面的立法，也只是一些非常原则性的规定，[23]在执法层面缺乏可操作性。此外，研究以上立法进程不难发现，针对侵犯公民个人信息的行为，“我国刑法先于行政法、民事法亮剑”[24]，具有“刑先民后”[25]的特征，综合国内外的法律规律和经验，执法监管应该是保护公民个人信息最先介入和最主要的法律制裁手段，而在缺乏民事和行政立法作为基础保护的情况下，刑事制裁将独木难支，执法效果必然事倍功半。
　　最后，个人信息保护的执法资源稀缺。除了个人信息保护范围不确定、立法过于原则化之外，信息安全的另一个硬约束是执法资源稀缺。从专门机构到信息技术，从监管手段到各地信息安全监管的实况，普遍反映了执法资源对于监管实效的严重掣肘。《2019年全国网民网络安全感满意度调查统计报告》显示：“人员、专业技术能力被认为是制约网络安全执法能力的主要因素。”[26]一方面，我国没有专门的信息保护监管机构。我国对于个人信息保护采取分散性执法，[27]相较于集中执法，其最为明显的优点即是分散性执法能够发挥各个主管部门的优势和特长。然而遗憾的是，分散执法的优势在我国个人信息保护执法中并未体现，各个主管部门的主要精力均放到其主管的传统监管任务中，对于个人信息保护方面并未发展出常态化的执法手段。实践中，往往是在个人信息安全出现重大舆情后，才启动针对涉事企业的审查和处罚。例如，2018年“支付宝账单事件”引发全国范围的强烈反响后，中国人民银行杭州支行才有所反应并作出行政处罚。[28]另一方面，我国监管机构缺乏相应的技术力量。我国互联网行业发展迅猛，特别是大数据蕴含着巨大的商业价值，大数据交易产业迅速膨胀，[29]由于监管机构自身技术力量不足，其已经开始要求平台企业利用技术优势承担起一定的监管职能。例如，根据《互联网信息服务管理办法》的规定，通信管理局应当作为网络内容提供商信息真实性核验（Internet Content Provider，简称ICP备案）的行政监管部门，但由于执法人员、执法能力等方面的掣肘，通信管理局将ICP备案信息真实性核验的权力和责任授权给接入服务商承担。[30]实践中，行政管理机构越发频繁地要求互联网企业制定管理标准、承担监管职责，在开拓市场的过程中代理行政机关承担执法角色的企业或许会不可避免地引发道德风险。总之，技术力量薄弱、执法人员缺乏等制约因素，对于个人信息安全可能造成保护不力的影响。
三、声誉机制：强化威慑力与声誉罚过度
　　大数据技术引发了个人信息领域的新问题、新挑战，同时，不确定性风险引致了执法负荷繁重，导致政府监管的规制手段绩效不佳。此双重制约决定了实现个人信息保护需要强化对违法违规行为的有效威慑，同时也要意识到认知黏性可能造成的声誉罚过度或异化，力争在目前的约束条件下最大限度提高惩罚效率，优化执法实效。
（一）声誉机制的威慑力
　　信息控制者是否损害个人信息与信息主体的自我保护意识、数据企业的法制意识、商业文明程度等多种因素相关，按照预防论的分析路径，在以上变量不变的情况下，监管效果取决于查处概率和处罚力度。这两个变量之间具有此消彼长的反向关联：如果查处的效率不高，就需要有严厉的处罚相匹配，这样才能保持威慑力；只有当查处的效率提高时，才能降低处罚的严厉程度。[31]明确这一点对于个人信息保护具有重要意义。个人信息安全监管是一项系统性的执法活动，技术风险带来的新挑战加上繁重的执法负担会影响查处概率，而概率的提高依赖科学技术、社会经济等要素，既要有人力、财力、物力的加大投入，又要有技术设备稳定支持。倘若在短期内这些物质技术要素不能有实质性提高，那么，监管实效的提升就要依靠另一个变量——处罚严厉程度的增强，以将个人信息保护机制的威慑力提升到合理水平，阻却信息控制者潜在的疏忽大意或违法行为。进而，需要思考的问题是，如何增强处罚的威慑力？
　　以上追问其实即是“规制工具的选择”问题，不同主体对于同一种规制工具会产生截然不同的绩效。正如有论者所言，“以对违法行为的处罚为例，我们一般较多地采用罚款的工具，在法律实践中，1000元的罚款支出对富人来说可能无所谓，这种处罚对其行为的约束作用可能有限；对穷人来说由于其承受力有限，处罚对其约束作用可能较大。”[32]对于个人而言高额的罚款，对于企业而言，尤其是知名企业、大型企业，乃不痛不痒，对其威慑力很小。有鉴于此，在选择规制工具时，需要根据主体的效用函数来确定。此时可以借助博弈论来分析，一般将博弈作短期博弈和长期博弈之分。在短期博弈中，博弈方由于在未来缺乏与相对方再次相遇的机会，主体行事的机会主义衍生空间较大，“捞一把就跑”的非合作心理会诱导其行为短视。在长期博弈中，博弈相对方之间将会在未来的大量交易中再次相遇，博弈主体过往的行为及其伴随而来的声誉将成为相对方行动决策的重要参数。[33]较之于个人而言，企业因其组织化特征，将较长时间从事某一行业的商业行为，与其博弈对手——客户、上下游企业、监管机构等——将形成长期博弈关系。企业置身于长期博弈之中，未来的交易机会与过去的交易声誉捆绑在一起，[34]任何理性而富有声望的信息控制企业，在享受声望所带来的用户流量及其收益时，也会忌惮声誉毁损可能带来的严重后果，权衡利弊之后，明智的企业主不会为了蝇头小利而失去更多的生意。[35]
　　那么，声誉机制将在多大程度上威慑企业行为以防止机会主义动机呢？在现代工商业中，企业活动在“陌生人交易”中进行，各方处于高度的信息不对称状态。企业过往的信用行为构成企业形象的重要印记，声誉作为重要的公众认知，具有很强的信号显示作用，[36]能够为用户提供重要的决策信息。倘若信号能够真实、及时地流入公众的认知结构，用户更倾向于将其作为解决信息不对称困境的工具。因此，一旦企业发生严重的声誉问题，为数众多的用户或者投资者将会“用脚投票”，取消未来可能重复的交易机会，甚至会达到被驱逐出局的程度。这种惩罚效果在食品、医疗等领域已经得到明确验证。[37]实践中，尽管在信息安全领域只是初见雏形，但也不乏声誉罚的个案。2018年，Facebook5000万用户个人信息被泄露的丑闻爆出，一周内公司市值蒸发约580亿美元，据不完全统计，已有100万用户因为该事件离开Facebook平台，若有更大规模用户流失，将有更多广告商离开该平台。[38]在国内，企业因涉嫌个人信息泄露或者管理漏洞导致信息被盗取、违法获取的事件时有发生，这些企业被公众知悉后，大多亦受到声誉乃至经济上的损失。例如，2019年底的1亿条个人信息泄漏案中，涉案公司与某上市公司的全资子公司北京考某某公司有关，考某某公司违规出卖查询并非法缓存的个人信息牟利，不但受到相应刑事处罚，在该信息披露后作为考某某公司的法人股东，某上市公司的股票立即跌停，[39]社会公众对于企业法人的声誉惩罚力量可见一斑。
（二）声誉罚的过度与异化
　　在充分利用声誉罚威慑信息控制人谨慎行事，防止信息控制方任意而为的同时，也要意识到声誉罚运用不当有可能给企业带来伤害。声誉机制不同于警告、罚款、上交违法所得、撤销营业行为、吊销营业执照等传统行政处罚，其不会对企业的收入给予直接的罚没，也不会直接限制或者禁止企业经营行为，但其会对企业产生明显的耻辱效应。[40]这种耻辱罚会给企业带来不利影响，所波及的时间和范围可能远大于行政处罚，这种影响不仅作用于涉事业务本身，还导致连带效应，波及涉事主体相关业务。若因个体认知局限、错误或恶意信息造假，耻辱效应将给企业带来难以挽回的不良影响。更有甚者，由于不正当竞争者的恶意中伤导致市场抵制，进而丧失更多交易机会，甚至被驱逐出交易市场。
　　声誉机制可能造成惩罚过度。声誉作为公众对于商业的认知具有黏性，其犹如一把双刃剑，良好的商誉能够激起消费者的信任，帮助服务品牌树立良好形象，品牌借助积极的消费者评价获得价格溢价；不良的商誉作为耻辱标识一旦成为消费者的集体记忆，将给企业带来负面评价，而且在信息传播、搜寻成本如此之低的网络时代，想要让负面信息被遗忘并非易事。即使涉事企业通过努力能够回归良好的商品服务水准，消费者不良评价的认知黏性将很难切断该企业早先耻辱标记的集体记忆，进而直接影响消费者的品牌选择。进一步而言，正是由于公共认知对于企业声誉的认知粘性，对于企业评价失实或恶意诋毁的言辞进入公众认知，消费者受困于专业认知和信息弱势而缺乏客观判断信息真假的能力，在舆论传播的助推下，蒙冤企业将会面临百口莫辩的困境。对于那些曾经有不良声誉的企业，即使规范经营回归正轨，公众对于商誉的认知黏性亦将强有力地阻却企业“改过自新”的步伐。
　　此外，我们处在互联网广泛应用的时代，网络传播亦加大声誉异化的扩散。一方面，源于信息传播工具的网络化；另一方面，归咎于声誉惩罚具有的连带效应。首先，由于互联网技术加持，信息传播方式不仅限于熟人圈的互动传播，陌生人之间借助互联网工具也迅速链接起来。QQ、微博、微信等即时社交软件以及抖音、头条、百度百家号等自媒体软件的广泛应用，能够迅速建立起一个个社交网络，人们嵌入其中并紧密互动，信息以“涟漪”模式快速传播共享。[41]然而，由于这种网络媒体信息传播方式具有跨时空、匿名化等特征，其信息内容的真实性不易验证。网络社交平台上难免会充斥着大量虚假、恶意言辞和评论，躲在手机、电脑屏幕后面的信息分享者可以随意发送信息，跟帖者、评论者可能毫无顾忌地畅所欲言，恶意对手方可能肆无忌惮地报复诋毁，进而可能导致流言蜚语伺机而起、难以甄别。虽然有网信部门的网络监督，《中华人民共和国民法典》人格权编、侵权责任编等成文法的立法威慑和司法规制，但是监管和司法的稀缺资源难以有效核查数以百亿条的网络信息，[42]