财产规则是法益的初始归属明确后,国家允许和保护法益的自愿交易,法律赋予交易双方自愿定价的权利,将法益转移的唯一合法方式限定:自愿交易[3]。授权同意模式属于财产规则的范畴。从比较法的视角来看,包括欧盟和美国在内的域外法均强化在数据共享中授权同意规则的重要性。2018年5月生效的欧盟《一般数据保护条例》(GDPR)第六条,规定了不论个人信息的来源、处理方式,数据业者对个人信息的处理必须以严格的授权同意为基础。美国区别于欧盟统一立法的模式,采用分散式立法规定个人信息保护,《隐私法》(The Privacy Act)与《家庭教育权利与隐私法》(Family Educational Rights and Privacy Act) 均规定使用个人信息时应取得信息主体的同意。尔后,授权同意要件贯穿于美国的数据立法中。授权同意的方式,从立法与实践来看,美国采用“未反对即视为同意”的方式,注重对个人信息的利用和共享,以提升数据产业的优势地位。欧盟采用相对严苛“未明确同意即视为反对”的标准,更注重个人信息保护。在国内,《国家安全法》、《信息安全技术 个人信息安全规范》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等法律规范和行业标准均规定了信息主体的授权同意是个人数据信息收集和共享的先决条件,保障了信息主体对个人数据信息享有的“信息自决权”。
较之于损害赔偿的责任规则,授权同意的财产规则在保障权利人的财产权和人格权方面能起到积极效果。有学者认为,数据业者在对个人信息收集利用过程中,需要对其进一步分析、清洗、加工,传统授权同意模式框架无法适应大数据应用的时代需要,授权同意不再具有数据利用的正当性基础,其规定制约着大数据的利用效率。这一论点是不恰当的,因为授权同意模式的财产规则是个人信息保护的根基,若随意剥夺或强制交易的方式替代之,则有损其私权意思自治属性,个人隐私利益和人格利益将被“商品化”,这有违私权保护的基本原理。从法经济学视域来看,交易费用的高低决定了权利资源的配置,个人信息保护的规则选择与运用需要考察成本与效率原则。当交易费用很低时,无论权利初始配置给谁,都能达到资源的最优配置,此时保护个人信息的最佳策略是财产规则;当交易费用很高时,协商谈判出现较大障碍,此时财产规则不符合经济效率。因此,授权同意适用于交易费用较低的场合,是对权利人实施事前保护的最优选择。然而,授权同意模式在个人信息保护领域的适用有时会陷于较高的交易成本,走向低经济效率。
1. 复杂多元的谈判主体引致交易障碍
协商谈判主体的数量决定着交易成本高低和交易障碍。依财产规则,当事双方通过事先协商谈判来确定法益的价值。在这协商谈判过程中,倘若相关主体数量较少,交易障碍较少,财产规则能以较低成本保护个人信息;倘若相关参与主体数量较多,协议定价就难以实现。在个人信息收集阶段,相关主体较少且明确时,谈判是容易且高效率的,通过事前授权同意的谈判模式是保护个人信息最有效方式。然而,伴随大数据分析与应用,基于不同目的将海量个人信息聚合,清洗、加工、建模再进行转移和使用,这一动态的数据处理过程将衍生出多种权利类型和众多的相关主体,授权同意模式意味着信息主体需面对诸多参与谈判交易的主体,多次授权将会产生过量的交易费用与超额谈判费用,造成资源浪费。在数据产业链中,数据生产者、数据业者、数据使用者等多元化主体,每一个体都会追求最大化的个体利益,故众多的交易主体易引发“反公地悲剧”( The tragedy of the anticommons)。“反公地悲剧”意味着复杂的权利主体间相互排斥,个人信息共享过程中协商与谈判的成本就会更高。因此,作为理性经济人的数据业者就不会通过事先谈判的方式达成交易,这无疑会催生个人数据交易的黑市,从而授权同意下的财产规则难以发挥作用。
2.偏离正常保护水平引发的低效率与高风险
授权同意方式是将个人信息“权利化”,设置成对抗不特定第三人的信息自决权,这种个人信息保护的私法进路,使得授权同意成为信息主体的谈判杠杆,容易造成保护不足和保护过度问题。一方面,由于财产规则坚持绝对化的排他效力,数据从收集到利用的一切动态过程都需征得信息主体的同意,未经授权同意利用个人信息的行为视为违法行为。这一可对抗他人的权利方式将造成对个人信息的过度保护,成为信息主体阻碍数据流通的正当化工具。因此,完全遵循传统授权同意规则会限制数据信息共享,容易形成“数据孤岛”,从而导致低市场效率。低效率首先表现为静态的效率损失,数据业者为收集同样的信息价值需要投入大量的成本,造成资源浪费,同时也会因利用成本过高采用非法方式利用信息,这不仅给信息主体带来更大的隐私风险,也会增加数据业者的侵权风险。更重要的是动态的效率损失,授权同意模式阻碍数据业者对数据价值的不断挖掘、开发,激励不断削弱进而数据共享水平降低。另一方面,由于个体认识理性和专业认知的有限性,授权同意模式会造成个人信息保护不足。格式化的隐私保护条款和冗长、专业的内容,普通的个人往往难以理解其中的要义。同时随着大数据技术的发展,隐私与风险关系变得更加复杂,不再是传统的一一对应关系,个体无法预见也无法避免由技术发展衍生的相关风险。
3. 社会公共利益的侵蚀
个人信息保护适用“规则菜单”中哪一规则,除了交易成本因素外,还应考虑社会公共利益的价值需要。数据共享是大数据时代的应有之义,增加数据产品生产与供给,以最小的社会成本创造数据产品的最大化共享,是提高社会效率和增进社会福利的经济模式。财产规则通过赋予信息主体授权同意之法权,倡导个人信息排他性的私权属性,从个体利益最大化角度确定的私人定价,未将社会利益和公共福利纳入数据交易考量范畴,故授权同意规则所确定的交易价格无法反映法定许可授权的社会交易价值。自由交易的价格不是社会最优的价格,故财产规则无法实现社会效用最大化,偏离了社会公共利益的价值目标,不能更好实现权利和资源的分配效率。
交易成本决定了个人信息保护的选择标准,低交易成本和高效率是规则选择的价值导向,通过交易行为消除权利配置所引发的低效率。鉴于个人信息的非完全私人产品性质,授权同意要件的私人自由谈判难以为个体对相关风险加以判断和防范,财产规则并不完全有利于个人信息在数据流通中的风险管理,有可能增加交易成本、降低效率、背离公共利益目标等,进而减损数据分享的效用和阻碍社会福利增进。