信息经济的发展亟需解决横亘在用户信赖之上的公地悲剧问题。经济学上,避免公地悲剧的传统方案往往在利维坦和私有化之间摇摆:前者主张对公共资源进行社会控制;而后者认为需要创设私有财产权制度以取代公共财产制度。然而,在市场与政府之外还有第三种方案——信息治理。信息治理是区别于传统个人信息保护制度的一项系统性工程,它摒弃了传统个人信息保护制度中将基本权利作为逻辑起点,限制个人信息的收集、使用;它转而运用社会力量,通过治理机制而实现信息经济的可持续发展。
1.信息业者的角色转变
在信息治理的框架中,信息业者不再被动地承担保护个人信息的义务,而是更加积极地介入信息治理活动,尤其是制定企业在收集、使用个人信息时需要遵守的行为准则。确立在收集、使用个人信息过程的行为准则是信息治理的关键。由于收集、使用个人信息的行为会消耗用户信赖,我们需要判断何种收集、使用个人信息的行为是可取的,并且阻止对于那些过度消耗用户信赖、可能引发公地悲剧的行为。但是,如何确定合适的行为准则并非易事。在高速发展的信息产业面前,由政府确定收集、使用个人信息中的行为准则需要付出很高的行政成本。针对不同领域的特殊情况,立法者和政策制定者往往缺乏相应的知识来制定适合的标准。而立法和决策活动需要准备时间,由其制定的法律或者政策可能尚未出台便已过时。从结果上看,由政府制定的标准可能既未能实现对个人信息的有效保护,又阻碍了技术创新。此外,这种不适宜的立法或者政策一旦出台,将来修改的成本更高:轻易地修改不仅会对行业发展造成二次伤害,而且有损政府的公信力。
相比之下,信息业者确定相关的行为准则或许更为适合。首先,信息治理起初即是用于描述企业内部与信息收集、使用有关的活动。从这个意义上说,信息业者从一开始便已经参与到行为准则的制定之中,具备了足够的专业知识和技术手段。其次,信息业者能够更高效地确定适合的标准。收集、使用个人信息的实践为它们提供了甄别行为准则有效性的途径,使平台能够过滤没有效率的标准。再次,信息业者有能力根据外界的变化及时调整行为准则。信息治理并非一蹴而就;它是一个学习的过程,需要不断调整行为准则的内容以适应实践中的新变化。根据信息业者的最佳实践而确立的行业标准具有更大的灵活性。它能够根据实践中出现的问题进行修正,并且融入新的治理经验,从而保证标准能够满足社会需求。
由个别经营者推动的行为准则可通过三种途径得到推广。首先,它可以通过个人信息保护的职业共同体在不同信息业者之间传播。收集、使用个人信息中的最佳实践并不是商业秘密,企业之间愿意共享相关信息并且相互学习,从而促进行为准则在行业中的普及。其次,某些经营者可以成为行为准则的执行者。例如,谷歌的Chrome浏览器从2017年开始根据是否使用更加安全的超文本传输安全协议(HTTPS)对网址进行安全性标注,以达到警示用户的目的。通过这种“点名批评(name-and-shame)”的方法,可以敦促其他网站采用能够更好地保护用户个人信息的HTTPS协议。再次,监管机关可以承认某些行为准则的法律效力,从而推动行为准则被更多的信息业者所采纳。美国联邦贸易委员会通过论坛、研讨会等形式,邀请来自实务部门的专家分享市场的最佳实践,并通过报告的形式加以推广。例如,联邦贸易委员会于2012年发布了《面对事实:正常使用面部识别技术的最佳实践》(Facing Facts: Best Practices for Common Uses of Facial Recognition Technologies)。同时,它将行业的最佳实践作为执法标准的组成部分,用以判断企业收集、使用个人信息的过程中是否存在不公平行为。
2. 信息治理的条件促成
充分发挥网络平台在信息治理中的作用须以一系列条件为前提。首先,信息治理须解决搭便车问题。在信息经济中,搭便车者的存在将遵守行为准则的经营者置于不利地位,并降低其遵守规则的意愿。如果不能解决搭便车问题,则经营者将尽可能地消耗用户信赖而指望他人承担维护用户信赖的成本,最终将导致公地悲剧的出现。搭便车问题的解决要求行为准则的遵守情况能够得到监督。此外,对信息业者的监督也可以通过信息公开的方式来实现。无论是万众瞩目的执法行动还是数据泄露事件发生后的消息披露,都将个人信息保护问题置于公众的视线之中。此时,监督并不是来自监管机关,而是其他利害关系人。他们既可以通过投诉、诉讼等方式发声,也可以用脚投票,以此来惩罚未能遵守标准的企业。换言之,通过公开个人信息保护的失败案例,监管机关以外的利害关系人得以成为敦促企业执行标准的监督者。
其次,信息治理须为信息业者预留足够的活动空间。法律规范中的对于个人信息保护的内涵及要求的模糊不清曾经被认为是企业保护个人信息不力的重要原因。但是,实践中法律规范的不完备使得企业在面对不确定性时具有较大的灵活性,在实施过程中可以因地制宜地选择适合自身的方式。时,厘清法律的模糊之处的职责自然落到了企业的身上。企业需要通过明晰自身承担的责任来消除潜在的危险,这使得企业有更强的动力来参与信息治理过程。因此,我们需要在信息治理中“给与信息业者收集、处理和利用个人信息的较大自由”。治理的设计原则也要求仅在最低限度认可政府的组织权,从而允许收集、使用个人信息的信息业者在一定范围内制定自己的规则而不受政府的任意干涉。
第三,信息治理须辅以适应新形势的监管手段。是否运用了具有第二代设计特征的监管手段是判断信息治理有效与否的标准之一。统的监管依赖命令与服从,而新型监管手段通过被监管者的自利行为实现监管目标。简而言之,符合第二代设计特征的监管手段藉由自利的参与者之间达成的互利约定,达到奖善惩恶的目的。这些监管措施的执行通常需要依靠直接沟通、信息共享、以及利害关系人对措施有效性的认同来实现。可以借鉴美国联邦贸易委员会的同意令(consent decrees)。同意令在本质上是被指控的企业与委员会达成的和解协议。面对联邦贸易委员会的追查,涉事企业可选择与委员会和解,承认自身行为违法并同意予以纠正;而委员会放弃对案件继续追究。同意令不仅降低了联邦贸易委员会的执法成本,也提升了个人信息的保护水平。
通过充分发挥信息业者的能动作用,信息治理将帮助我们超越政府监管和市场自我规制的局限性,平衡消费者和网络平台在个人信息收集、使用中的利益,促进信息经济的可持续发展。