1、 “选择退出”机制:重估我国网络个人信息保护 冉高苒 范玉吉 华东政法大学传播学院 摘 要: 随着“大数据”时代的来临, 我国对于个人信息的关注也逐渐加强。特别是在个人信息的流通与保护问题上, “选择进入”机制成为主要的规制方式。但在某种程度上, 传统上的“选择进入”机制已经难以应对当下网络、信息经济的高速发展。一方面, “选择进入”机制面临适法性难题, 其核心原则“知情同意”原则面临严重的有效性质疑。另一方面, 传统机制也给信息资源的流通与利用带来了负面影响, 不利于个人信息公共性、资源型价值的提升。与之相反, “选择退出”机制在制度逻辑上更符合商业市场思维, 更适应当下的信息数据处理技术环
2、境, 也更有利于大众克服对于信息数据的“心理恐惧症”。不可否认的是, 单一的“选择退出”机制同样面临许多难题与挑战。所以, 一套两者相结合的“双轨制”保护体系将对我国个人信息的保护与价值利用产生重要的理论与现实意义。关键词: 个人信息保护; 信息资源; “选择退出”机制; 作者简介:冉高苒 (1991-) , 男, 山西太原人, 华东政法大学传播学院传媒法制专业硕士研究生;研究方向:传播法;作者简介:范玉吉 (1969-) , 男, 山西黎城人, 华东政法大学传播学院院长, 教授;研究方向:传播法与传播职业伦理。基金:国家社科重大项目“信息服务与信息交易”法律制度研究 (项目编号:13 Abs
3、tract: In the era of big data, Chinas attention to personal data has gradually strengthened.Especially in the circulation and protection of personal data, “opt-in“ mechanism becomes the main way of regulation.But to some extent the traditional “opt-in“ mechanism has been difficult to deal with the r
4、apid development of information economy.On the one hand, the “opt-in“ mechanism is faced with the problem of appropriateness, and its core principle-principle of informed consent is seriously questioned.On the other hand, the traditional mechanism also has a negative impact on the circulation and us
5、e of data resources, which is not conducive to the promotion of publicity of personal data and resource-based value.On the contrary, the “opt-out“ mechanism is more in line with the commercial market in terms of the system logic, but also adapts to the current data processing technology environment,
6、 which is more conducive to the public to overcome the “psychological phobia“ of information data.At the same time, it is undeniable that a single “opt-out“ mechanism still faces many problems and challenges.It is of great theoretical and practical significance to try to construct a set of double-tr
7、ack “personal data protection system“ which combines the protection and value of personal data.Keyword: Personal data protection; Information resource; “Opt-out” mechanism; 一、引言随着“大数据”时代的来临, 个人信息的收集与使用活动逐渐成为信息产业或与之相关的商业活动的“营销之目的”, 个人信息开始了可以被控制、被价值化的进程。郑成思教授首次在我国提出“信息产权”的概念, 强调“随着信息革命席卷全球, 人类主要的财产, 或
8、者说生产资料已经不再是第一次浪潮中的土地、第二次浪潮中的生产资料, 而已变成信息”, 而个人信息在其中扮演了重要的角色。随之而来的, 针对个人信息的收集、使用、流通等一系列个人信息保护机制先后被提出, 其中就包括“选择进入” (Opt-in) 与“选择退出” (Opt-out) 。所谓“选择退出”就是指当事人之间并不存在许可合同, 在法律规定的特定情形下, 如果权利人未声明不得使用, 即视为许可他人使用其个人信息的许可形式。与“选择退出”相对应的则是“选择进入”机制, 即收集、使用他人信息之前必须获得权利人的同意, 否则, 将被视为侵权。后者便是包括我国在内许多国家所采用的传统的“知情同意”构
9、架原则, 即在网络机构收集用户个人信息之前, 需要告知用户有关收集、处理与使用的情况。只有个人信息的权利人做出同意的意思表示之后, 才能对这些个人信息进行处理与利用。相应地, “选择退出”则要求权利人做出选择退出的决定, 如果权利人没有拒绝授权, 即意味着许可。本文立足当下网络环境, 结合个人信息使用与保护的现状, 分析“选择进入”机制的不足与适用性困境, 重估“选择退出”机制对我国网络个人信息保护的价值和意义, 并尝试性提出构建“双轨制”个人信息保护体系。二、“选择进入”机制:信息流通与保护的网络困境在强大的网络传输、运算与储存技术的推动下, 信息逐渐成为市场的重要交易对象。当信息不再单纯是
10、信息本身, 转而成为一种“能取得利益的利益, 能带来价值的价值”时, 就完成了其价值化的过程。大量信息尤其是个人信息的收集、流通与利用成为信息创造其自身价值的根本途径与方式。在网络环境中, 个人与信息之间介入了具有技术和资本优势的不同市场主体, 降低了个人对信息的控制权, 而处于强势地位的网络服务提供者 (ISP) 的趋利性也要求它们不断地获取信息中更高的效用价值、费用价值与效益价值以提高其市场竞争性, 甚至获得垄断地位, 进而成为信息控制主体。双重作用之下的结果便是对个人信息主体的隐私造成严重冲击, 具有特定指向性与敏感性的个人信息不断被挖掘与交易, 为个人的生产、生活带来侵扰, 甚至引发“
11、寒蝉效应”, 使信息主体遭遇不公或歧视待遇。为了保护个人信息, 各国纷纷制定各类法律以应对商业与技术带来的安全挑战。其中以美国的消费者隐私权利法案与欧盟的数据保护通用条例最为典型。而我国也在针对个人信息的问题上, 制定了一系列法律法规予以保护与规制, 且与欧盟数据保护通用条例保持一致, 也采用了传统的“选择进入”机制, 秉承“知情同意”原则。这一机制在多项具体法律法规中都有所体现:网络安全法第二十二条规定“网络产品、服务具有收集用户信息功能的, 其提供者应当向用户明示并取得同意”;网络信息保护决定第二条规定“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息, 应当遵循合法
12、、正当、必要的原则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意”;网络交易管理办法第十八条规定“网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息, 应当遵循合法、正当、必要的原则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意”这样一系列的规定基本确立了我国以“选择进入”机制为基本构架的个人信息保护体系, 但却也暴露出了一系列不足与适用难题。(一) “选择进入”机制的适法性困境首先, 传统的“选择进入”机制要求信息收集机构在进行相关的收集处理工作之前, 与个人信息主体达成意思表达的一致, 即形成授权许可的合意。但具体的情况是, 不同主体对于“
13、个人信息”的定义域内涵界定不同, 特别是随着信息技术的发展, 大数据对于特定信息的辨别、确定能力不断提升, 什么样的信息可以被认定为个人信息的争议不断扩大。欧盟数据保护通用条例基本延续了传统指令“能够直接或间接识别特定自然人”的定义。相较而言, 我国网络安全法将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”, 并列举了一些具体类型, 包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。网络信息保护决定则将其定义为“能够识别公民个人身份和涉及公民个人隐私的电子信息。”这样的定义方式都强调传统的“关联性”与“识别性”原则,
14、 故都将随着“大数据”技术的发展陷入个人信息边界模糊范围不断扩张而无法确定的怪圈。其次, “依赖数据挖掘的公司可能会发现, 由于他们不 (并且不能) 提前知道他们可能发现什么, 所以不可能提供足够的通知”。因此, 他们只能尽可能扩大信息收集的范围, 并且将重点放置于个人信息的后续挖据与价值开发。“选择进入”机制要求信息收集机构将收集范围与目的予以提前通知以获得信息主体的许可, 显然缺乏对于商业逻辑与可行性的考察。如果“许可”不仅涵盖初级的个人信息, 还包括构成数据基础的任何非个人信息和提取的而是新知识 (一旦创建) 将被作为个人信息进行“授权”, 那么个人信息的范围可能没有限制;如果不是, 针
15、对个人信息的数据挖掘可能在很大程度上逃避管理监督。而信息数据财产性、资源性的不断加强, 单纯依靠传统的“信息最小化原则”既不利于资源利用, 也不便于信息保护的实际操作, 同样也受到不断地质疑与挑战。再次, 在个人信息保护的责任确定方面, “选择进入”机制同样备受质疑。在“去中心化”的信息市场当中, 信息主体面对的是多元的信息收集、处理、交易主体, 而“选择进入”机制只能单一规制“合同”双方, 后续的流通环节、使用环节的信息保护责任无法划定。另外, “选择进入”规则使得个人信息主体在责任承担上“一劳永逸”, 所有的法律责任都因“知情同意”而归属用户一方。事实上, “由于用户缺乏潜在的相关性知识,
16、 因此他们不能故意同意使用其信息进行数据挖掘或大数据分析”, 依照“选择进入”机制, 用户在传统机制中天然的失去了信息保护的权利, 而机构则天然的获得了免责。(二) “知情同意”规则的有效性幻觉“选择进入”机制的重要组成部分就是“知情同意”原则, 而“知情同意”在当下的大数据技术的挑战下也开始备受质疑。一方面, 从规则的实际效用来看, 信息收集者为了获得用户的授权, 免除在个人信息使用方面的一系列责任, 在难以预知的情况下罗列出庞杂的“信息声明” (或者隐私声明) 。而用户则需要在缺乏相应法律知识的背景下, 阅读、理解并做出相应的许可, 给用户带来沉重的负担。正如学者兰道 (Susan Lan
17、dau) 所言, “隐私声明远非为人类使用而设计。”然而, 这还只是理论上的困境。在现实中, 个人信息收集机构并不会给予用户充分的选择与授权空间, 而是“一刀切”的让用户做出选择, 要么全部同意要么全部否定, 而全否则意味着无法使用相应的网络服务。用户对于自身的个人信息并无实际的控制权, 为使用产品或服务, 用户往往除点击同意之外并无其他选择。因此, 用户既不会阅读晦涩的内容, 也不会针对细节作出辨别和选择, 使“选择进入”沦为“不选择 (或无法选择) 进入”, 作为机制“立足之本”的“知情同意”原则也陷入有效性的幻觉之中。另一方面, 不论对于机构还是用户而言, “知情同意”都是沉重的成本与负
18、担。对于网络机构而言, 一方面需要尽可能的挖掘更多的信息资源, 一方面又要面临信息侵权的风险。而网络经济本质上是以“低成本利用社会中的生产资料和劳动力, 积累其使用和匹配的数据 (方式包括未经许可使用、提供增值服务、通过信息平台调动、盗版与不正当竞争) ”, 网络机构也正是因为不用过多的承担传统组织意义上的责任而快速兴起。但是, 在“知情同意”的框架之下, 机构的法律成本与合规成本都大幅上升, 在个人信息流转多元性与复杂性并存的市场环境中, 花费大量的资源去规避法律问题, 制定冗长而无效的“信息声明”, 无疑是不利于企业的发展与资源的有效利用, 也违背了网络经济的本质属性与规律。对于用户而言则
19、是使用网络产品与服务的无形成本增加。用户需要阅读自己无法完全理解的“信息声明”, 而事实上, 用户并无实际的控制与选择权, 既增加了用户使用网络的学习成本, 降低了网络对用户的吸引力, 也无法有效的保护用户隐私, 维护个人信息安全。(三) 个人信息的社会价值被掩盖信息的财产属性虽然已经得到了学界的基本认同, 但这还远远不够。在“大数据”时代, 个人信息作为信息的重要一类, 其在信息市场与社会活动中的公共资源性价值被掩盖了起来。其一, 对于个人信息我们一直存在一个误区就是“个人信息属于个人”, 所以衍生出许多相应的保护原则与制度规范, 单一强调个人信息的主体性与人身性, 赋予信息主体对于“个人信
20、息”的排他性支配权, 如“知情同意”原则规定非经权利人同意不得使用等。但事实上个人信息不仅是个人的, 而且具有极强的公共性。首先, 个人信息不是个人的智力成果, 不是由信息主体创设出来的, 而是信息主体自然行动或行动记录的结果。显然, 我们不能从个人信息的形成或者创设的角度论证个人信息的排他性。其次, 个人信息与个人信息主体之间的关系仅在于来源, 但是“来源于”并不等于“归属于”, 这种来源关系并不能成为主体垄断个人信息的权利来源。最后, 个人信息是开展社会交往和各种社会活动所必须的因素, 社会活动的各个主体都有权利也有必要通过收集相关活动对象的信息来进行社会活动的判断与选择。从这个层面来看,
21、 “个人信息具有社会性、公共性、可获取性”, 而传统的个人信息保护机制间接否认了这一重要属性, 过分强调了个人信息的排他性与支配性。其二, 传统机制严重阻碍了个人信息作为重要信息资源的流通与使用, 掩盖了个人信息身上重要的资源型价值。比尔盖茨 (Henry Gates) 曾说:“如何收集、管理和使用信息是决定一个公司成败的关键。”在信息经济学领域的研究也证明, 在“大数据”时代, 信息已经成为一种取得财产的手段与途径, 一种具有不可限定价值的利益。决策信息和决策时序对决策行为及其后果将会产生重要影响, 信息已经成为影响决策人行为和博弈结果的重要因素。这既体现了信息的工具功能, 又体现了信息作为
22、实现交易目的重要手段和关键因素的作用, 同时也是信息的资源价值重要体现。个人信息作为众多信息资源中极为特殊的一类, 也在不断的面临着资源化与商业化的演变, 呈现出利益性、开放性、变动性与可交易性。所以, “大数据时代首要的制度条件是数据的社会化利用”, 实现个人信息交流的开放、共享与流通, 充分发挥个人信息的资源效用与资源性价值。而传统的“选择进入”机制与“知情同意”原则都直接或者间接地加重了个人信息流通的成本, 抑制了个人信息在社会资源属性上的价值创造, 不利于个人信息的流通, 也不利于激励企业的创造性。三、“选择退出”机制:网络个人信息保护的优势如前所述, 传统的“选择进入”机制在当下的信
23、息经济高速发展的时代已经出现诸多弊病, 而更开放、高效、低门槛的“选择退出”机制会更有利于信息资源的流通与利用。其实, “选择退出”机制并不是在个人信息保护领域的独创, 在数字版权保护领域该机制就被“谷歌数字图书馆”大规模利用, 之后又在精准营销、电子邮件、商业广告投放中被不断提及。直到美国消费者隐私权利法案才尝试性的在个人信息领域采用“选择退出”机制, 即默认用户若不反对即视为对信息继续处理的授权。尽管适用领域不同, 且该机制自提出起就备受合法性与合理性的质疑, 但这种以商业逻辑代替行政逻辑, 以市场思维替代传统规制思维的机制在构架思路、技术条件与大众心理状态上可以给予我们新的思考角度与构建
24、路径。(一) 商业逻辑:网络经济的“非法兴起”以网络经济为代表的新经济有其自身的本质特点, 即“以低成本获取免费内容或劳动力”。这种经济思维逻辑也逐渐作为基本要素与“卖点”被社会广泛实践和接受, 例如免费、共享与连接 (互联网+) 等。当然, 这些新的特征也不可避免地与传统规范和思路产生了冲突, 并希望法律对其进行合法性确认以平衡相应的责任。胡凌教授就将网络经济这样的兴起过程称为“非法兴起”。网络经济这一兴起过程给我们重要的启发就在于要改变以往的政治思维, 多以商业思维看待和理解网络活动, 使看似“非法”的行为逻辑合理地置于法律与规范的架构之下, 以符合新经济的发展规律。在个人信息保护领域也是
25、同样的道理, 如前文所述, 传统的“选择进入”机制依照“信息最小化”原则, 从“目的限定”出发, 希望通过“知情同意”原则来保护个人信息与隐私的安全。而现实却令人失望, 诚如美国施瓦茨 (Paul M.Schwartz) 教授所言, 企业机构绞尽脑汁的信息声明“承诺太多, 兑现太少”, 不但没有起到最初的保护目的, 反而抑制了信息数据的流通与挖掘。而“选择退出”机制则放弃从源头规制的思路, 打破“目的限定”思路, 从利于网络经济与信息市场的商业逻辑出发, 降低个人信息的收集与流通的成本, 将提供相应的信息资源作为使用网络产品与网络服务的附带条件, 给予网络机构与企业以开放、自由的信息流通市场。
26、同时, 在个人信息的收集、使用、流通等环节设置退出选项, 提升信息流通的透明度与用户控制能力。这样一来, “选择退出”就有利于丰富信息市场、提高信息的资源性价值、调动网络经济的活力。最重要的是符合了网络经济对于资源共享、成本低廉、流通顺畅的基本要求, 符合信息数据市场的商业逻辑。另外, 从市场激励机制与主体责任承担来看。“选择退出”机制也有利于信息资源的保护与责任承担的平衡。财产规则 (Property rule) 是权利人享有对财产的排他权利, 如果没有权利人的同意, 任何人不得使用该财产。责任规则 (Liability rule) 与财产规则相比, 并不排除他人对某项财产的使用权, 而仅仅
27、是就对财产的毁损、灭失或所失利益, 提出赔偿要求。“选择退出”机制的默示许可皆不完全等同于以上任何一种规则, 它“既是附条件的财产规则, 又是附条件的责任规则, 兼具了财产规则和责任规则的优势, 在保护权利同时提高了信息资源流通效率的价值。”同时, “选择退出”机制改变了网络机构由于用户的“知情同意”授权而“一劳永逸”的责任负担形式, 使网络机构在合理、合法使用个人信息上注意义务与法律责任, 也使信息主体提升了对于自身个人信息的知情权与控制力, 结合“风险评估机制”等一系列退出标准衡量机制, 有利于平衡用户与网络机构在个人信息安全与侵害隐私问题上的责任承担问题, 最大程度的实现个人信息的自治。
28、因为从网络经济兴起的伊始, 就希望平衡自己的侵权责任和安全保障责任, 从而确保新商业模式能够存活和发展, 而“选择退出”机制恰恰符合这样的商业逻辑要求。(二) 信息技术:大数据技术重塑个人信息其实从网络经济的兴起开始, 个人信息的收集就已经是每个互联网公司所重视的关键环节, 其采用的方式正是“选择退出”的默认许可机制。而一开始由于用户、社会、政府都没有意识到个人信息的重要性与脆弱性, 结果形成个人信息收集与使用的严重混乱, 对个人隐私与正常生活造成极大困扰。杰夫索温 (Jeff Sovern) 教授就撰文具体分析了“选择退出”机制的不足, 大力提倡“选择进入”机制。他认为“我们的经济应是一个积
29、极的选择制度而不是一个消极的选择制度”, 而“选择进入”机制可以有效的“强化我们的营销环境”。但随着时代的发展, 特别是进入“大数据”时代, 网络经济对于个人信息的发掘与利用已经不是二十年前那样的简单与粗放, 不只是单纯的利用于广告投放、精准营销等具体的消费环节, 而将个人信息主体视为单纯的消费者。反观现在, 在新兴的互联网技术与信息数据整合手段的支持下, 用户与各类信息技术设备的关系变得密不可分, 用户身份也转变成为“产消者”, 既可以生产产品与生产资料 (如个人信息) , 也可以被鼓励提供宣传与推广成为网络推手, 甚至成为企业战略规划的重要作用力。基于这一由技术构架而引发的身份的改变, 笔
30、者认为现代社会网络经济对于个人信息的利用已经完全超越了发展初期的方式与目的, 网络服务使用者 (个人信息主体) 已经不是简单的产品消费者与权益保护对象, 而已经融入网络经济的整个产销环节。“选择退出”机制在当时的一些不足与缺陷将随着构架、主体身份与信息技术的发展而得以缓解与改变。在个人信息保护方面, 信息处理技术的发展也将解决许多难题。例如个人信息“去身份化”处理技术就可以缓解个人信息在隐私保护方面的隐忧。美国标准与技术协会 (NIST) 将个人信息“去身份化”定义为, 由数据控制者通过改变或删除数据集中的个人可识别信息方式, 使数据使用人难以识别数据主体身份的过程。通过去除或者改变个人信息中
31、的直接标识符 (Direct-identification) , 去除或保留个人信息中的间接标识符 (Quasi-identification) 来实现个人信息数据在流通与使用过程中的隐私与资产属性分离。一旦去除了个人信息的可识别性, 个人信息就可以由网络机构根据商业目的为特定目的所使用与共享, 该信息处理技术增强了对于信息主体的隐私保护, 同时也实现了“通过较少的控制为更多公众利用和共享的目的”。从这个角度来看, 个人信息去身份化是一种平衡个人权益与社会利益的技术性工具, 客观上起到了协调隐私保护和信息共享的双重作用, 就可以有效地弥补“选择退出”机制在信息保护力度上的不足, 化解其带来的隐
32、私风险。与个人信息“去身份化”技术相类似, “大数据”时代带来一系列信息数据处理整合技术与隐私规避原则, 如隐私风险评估、个人信息区分化处理等等。这些技术与原则构架的建立都可以在使信息数据自由流通的前提下, 尽可能的保护个人信息安全与隐私权利。所以, 在技术条件与利用目的都发生改变的情况下, 在网络社会各个主体已经充分意识到的情况下, “选择退出”机制是否能够得以“复兴”?是否可以在当下环境中发挥更大的效用?这一问题仍旧值得我们继续思考。(三) 心理需求:破除大众“信息恐惧症”从互联网出现到普及, 再到“大数据”时代的来临, 人类一直不断面临着新技术与新概念的挑战。技术进步在引发生产方式、经济
33、结构和社会构成的深刻变革的同时, 也引起了人们在生活、行为、思维与价值观念上的巨大变化。约纳斯 (Hans Jonas) 所言:“技术文明的本质就在于技术已经内化成为人自身的需要了。技术不再是一种人所能控制和运用的工具和媒介, 而是一种深刻地改变了人与自然关系的力量。”但与之带来的问题是, 当技术力量提升的速度已经超出了一般大众可以接受认知的速度, 新的技术力量的发展呈现出无限膨胀和扩张的趋势就令人心存畏惧, 形成了严重的“技术恐惧”。大众对于信息技术的认知与了解同样出现这样类似的情况:淘宝、京东“监视”着我们的购物习惯;百度、谷歌“关注”着我们的上网习惯, 微博“窥探”着我们的各类社交关系,
34、 微信、QQ 甚至“窃听”着我们每个人的日常交流, 采集个人信息的工具随处可见, 不管是浏览的一个网页或使用的一个手机 APP, 这些信息在悄无声息中被挖掘加工, 却以令人恐惧的形式出现在我们面前:只要你经过一家餐馆, 该餐馆的广告推送已经到达你的手机, 即使你从来没有踏入;你的孩子刚刚出生, 相关的母婴用品、幼教早教广告蜂拥而至, 尽管你从未与他们联系;售楼、售车企业更是可以在毫无先兆的情况下向你推荐适合你收入与身份的产品, 基本不会出错。大众就是在一头雾水中被强行拉入“大数据”的洪流中, 而心中却是无限的惊恐与疑惑:我的隐私与个人信息安全如何保护?恐惧症是指对某种不具伤害性的事物所产生的不
35、合理恐惧反应。大众对于信息数据同样有着严重心理恐惧倾向。这样的“信息恐惧”心理造成社会大众盲目的寻求保护与屏障, 而诸如各类简单直接的信息规制制度、“选择进入”机制、“信息最小化”原则等等都是基于对于信息经济与数据技术的恐惧与无知而形成的。事实上, 正如前文所述, 个人信息本身并无利害属性, 不只属于个人, 且具有公共性、社会性与资源性价值。制度应该规制的是如刑法修正案七中“出售或者非法提供个人信息”的行为, 而不是抑制信息资源的流通, 抑制信息经济的发展。随着网络与信息技术的发展与推进, 相应知识的逐渐下移, 大众已经开始破除对于信息、“大数据”技术的恐惧, 甚至愿意主动提供相应的个人信息给
36、数据分析机构以参与信息市场与社会的活动, 获得相应的信息与资讯回报。所以, 若整个社会破除对于信息与数据的恐惧与抗拒心理, 从促进信息资源挖掘与信息财产利用的角度出发, “选择退出”机制明显比现有的“选择进入”机制更有利于网络信息经济的发展。在当下, “大数据”技术已将人类不可避免的卷入了历史的变革之中, 对个人信息的深刻理解与利用, 不但取决于在技术与理论层面的深入探索, 更大的决定因素是我们将如何看待人类的生存方式、认知能力与社会运行方式。四、结论与启示从我国个人信息保护与利用的实际看来, 我们应该重新评估“选择进入”机制的价值与实际意义, 避免“一厢情愿”的陷入适法性与有效性的幻觉当中。
37、与此同时, 我们需要具体划分适用“知情同意”原则的场景与范围, 确定相应的“场景原则”与使用规范, 科学判断具体场景中个人信息的安全风险, 重新考量与区分个人信息的风险等级与价值等级, 而不是以“全有全无”的“一刀切”原则进行规制, 以便在合理的范围内确立推行“选择退出”机制, 构建起“选择进入”与“选择退出”相结合的“双轨制”个人信息流通与保护体系, 以实现个人信息资源利用与保护的价值平衡。在未来简史作者尤瓦尔赫拉利 (Yuval Noah Harari) 看来, 人类进入21 世纪后, 已经进入人类文明的第四个时期数据主义时代。更有专家断言:“源于个人信息数据挖掘的大数据思维已成为当前阶段
38、创新思潮的主导力量, 大数据应用对未来社会和经济发展将产生重大影响几乎已成定论。”从科学研究范式与商业运行模式看来, 对信息数据的关注与思考由概念层面逐渐向专业技术深层延伸, 而在个人信息数据收集与流通中依然缺乏完善制度设计, 尤其是我国现在统一使用的“选择进入”机制一定程度上阻碍了信息资源的共享与流通。与之相对的“选择退出”机制则可以在规制逻辑、技术手段与主观理念上给予我们新的启发, 以寻求在商业逻辑与权利保护上的平衡与进步。当然不可否认的是, “选择退出”机制同样面临许多困境与质疑, 但这一机制给与我们的思考不只是技术层面与理论层面上的, 更多的是在经济社会层面上的价值考量, “使在逻辑基
39、础上通过人工语言构建映射现实世界的泛在数字世界成为可能, 并通过数字世界和现实世界的互动与融合, 深刻改变经济、社会的治理框架。”注释()1.戴恩罗兰德、伊丽莎白麦克唐奈著, 宋连斌等译, 信息技术法, 武汉大学出版社 2004 年版, 页 298。 ()2 .参见郑成思:信息、知识产权与中国知识产权战略若干问题, 挑战与应对国家知识产权战略论文集, 知识出版社 2007 版。转引自高富平著:信息财产数字内容产业的法律基础, 法律出版社 2009 年版, 页 444。 ()3 .梁志文:版权法上的“选择退出”制度及其合法性问题, 法学2010 年第 6 期, 页 8485。 ()4 .陆小华:
40、信息的财产化进程, 中国政法大学学报2009 年第 1 期, 页 75。 ()5 .Daniel J.Solove, The Future of Reputation:Gossip, Rumor and Privacy on the Internet (2007) , http:/docs.Law.Gwu.edu/facweb/dsolove/Future-of-R eputation/text/futureofreputation-ch1.pdf. ()6.2015 年 2 月, 美国发布了消费者隐私权利法案, 规范商业环境下的个人信息处理行为, 该法案主要是为个人信息保护提供纲领性的基本保
41、障, 其中“场景导向”及“风险导向”理念的引入实现了个人信息保护及促进数据自由流动与开放的共赢。法案的正文由七部分构成, 分别为:“透明度”、“用户控制”、“尊重场景”、“集中收集与有责利用”、“安全维护”、“信息获取与信息质量”、“责任界定”。2016 年 4 月, 欧盟委员会发布数据保护通用条例, 该条例将于 2018 年 5 月生效, 由 11 章 99 条构成, 对管辖范围、处理个人数据的原则、合法处理数据、儿童个人数据处理、处理特别类型的个人数据、被遗忘权、可携带权、个人数据泄露通知、设置数据保护官、巨额罚款等 10 个方面进行严格的规范和创新。相关内容参见郭世斌、刘慧:美国、欧盟个
42、人信息保护立法改革路径与启示, 载华北金融2017 年第 4 期, 页 60-62;范为:大数据时代个人信息保护路径的重构, 环球法律评论2016 年第 5 期, 页 92-115。 ()7 .Omer TeneEuropean Commission, Directive95 /46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Directive 95/46/EC (1995) , art.67. ()11 .同注释 8。 ()12 .Susan Landau, Control use of data to protect privacy, 347:6221 Sci.Issue 504, 506 (2015) .
