從“賦權”到“協同共進”：個人信息保護研究范式的轉換

麻昌華　唐鑫

關鍵詞：個人信息保護;“賦權”范式;法律與技術;協同共進

中圖分類號：D922.16 文獻標識碼：A 文章編號：1003-7217（2022）03-0151-09

2021年8月20日，我國第一部個人信息保護方面的專門法律——《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）獲表決通過。但是，正如許多國家即使頒布了相關法規也不曾中斷對個人信息保護問題的研究一樣，《個人信息保護法》的實施也絕非是我國個人信息保護理論和實踐研究的終點，而是全面構建我國個人信息保護制度框架、真正落實個人信息保護目標的新起點。是以我們始終不能放棄對個人信息保護基礎理論的深度探討，不能忽略對個人信息保護制度實踐成效的持續觀察。

從我國《個人信息保護法》的主要內容上看，它在立足國情和借鑒國際經驗的基礎上，通過賦予個人在個人信息處理活動中多項可訴訟救濟的權利，構建出了一個較為完備的個人信息權利保護體系。然而，這種“賦權”的保護方式和法律表達已經在國內外產生了不小的爭議，需要我們就個人信息保護研究的理念、范疇、方法等開展進一步的探索。為此，本文擬從“賦權”范式的內涵和局限性切入，通過厘清技術、個人信息、法律之間的內在關聯，來論證我國個人信息保護研究從“賦權”路徑轉向法律與技術“協同共進”路徑的現實性、必然性和必要性。

一、“賦權”范式的反思與進路

（一）“賦權”范式的內涵

“大數據”作為新資源、新工具和新應用的綜合體，其在為我們帶來新知識和新經濟業態的同時，也帶來了個人信息權益遭受侵害的新風險和新法律問題。于是，許多法律人勇擔使命，就新時空背景下的個人信息保護問題建言獻策。而因受到國際社會主流的個人信息保護理論和立法實踐的影響，我國多數學者在研究中不約而同地選擇了“賦權”范式。

基于科學哲學家托馬斯·庫恩對“范式”一詞的不同用法，個人信息保護的“賦權”范式可以從兩個方面解讀：其一，從“范式”作為理論框架或科學共同體之共識的角度而言，賦予個人對其個人信息的控制權（本文將其概括為“賦權”）的理論，可被視為一種“科學成就”，即“范式”，這個理論“暗暗規定了一個研究領域的合理問題和方法”，既空前地吸引了一批堅定的擁護者，使他們脫離其他相競爭的理論和研究模式從事研究，同時，又無限制地為重新組成的一批實踐者留下了有待解決的種種問題。其二，從“范式”作為發現和解決問題的方法而言，“賦權”亦可被理解為一種個人信息保護的“研究范式”，因為它為后續參與研究的特定科學共同體成員準備了基本前提、研究規則和研究標準。換言之，以“賦權”為共識開展個人信息保護研究的學者，基本上均認可——賦予個人對其個人信息的控制權，是實現個人信息保護目的的基礎——這一前提。他們的研究只是在“賦權”這套方法論的指引下，按照更精確的特征進行下去。而通過總結“賦權”范式下的學術討論議題可知，學者們普遍關注的問題集中在：個人信息的定義和法律屬性、個人信息保護的法益基礎、個人信息權②的法律定位和具體權項、規范個人信息使用的法規性質問題等。因不同學者對上述每個問題給出不同回答，就會產生不同的個人信息保護辦法，所以，即使“賦權”范式客觀上限制了個人信息保護問題的研究范圍，但其依然為我國的個人信息保護研究領域帶來了生機與活力，促進了相關學術成果的爆炸式增長。

（二）“賦權”成為我國主流的個人信息學術討論范式之原因

本文認為，“賦權”能成為我國個人信息保護的共識性研討范式，主要基于以下兩個原因：（1）歐盟和美國的個人信息保護研究經驗和立法成果為我國學者提供了豐富的研究素材。通過梳理當今世界主流的個人信息保護理論可知，無論是把個人信息視為基本人權的歐洲，還是把個人信息納入隱私權保護范疇的美國，均認為：保護個人信息的根本目的，是為了維護人的尊嚴和不受侵犯的人格;而實現此目的的重要手段，就是尊重和保障個體處理其個人信息的意志，并賦予個體對其個人信息獨立自主的控制權。此外，2018年5月25日在歐盟成員國內正式生效實施的《通用數據保護條例》（General Da-to Protection Regulation，簡稱GDPR），也給全球范圍內的個人信息保護研究提供了很好的樣本。從整體上看，GDPR就是采取了一種強化數據主體權利的規制進路，從而“全面地完成了個人控制論的法律表達”。鳥瞰我國《個人信息保護法》的主體內容亦可發現，GDPR這種“賦權”規制思路、立法框架和具體制度確實對我國立法產生了很大影響。（2）“賦權”似乎能在表面上實現個人信息保護與利用間的平衡，從而為數字社會的發展提供了一個兼顧個人、個人信息處理者與社會整體利益的法律框架。在“賦權”范式的追隨者看來，每個人都不是排斥技術進步的循世者，而是具有不同信息觀念、隱私偏好且能夠自主選擇和決定自身信息命運的人口]，所以，充分肯定個人在處理其個人信息方面的知情權、主導權和選擇權，賦予人們一個詳細的個人信息權利清單，就能從根源上阻斷個人信息權益遭受不法侵害的風險;而已獲得個人授權（同意）的個人信息處理者，也能在無違規之憂的基礎上，按照自己在《用戶協議》《隱私政策》中所羅列的方式處理用戶的個人信息，挖掘數據資源蘊含的巨大價值。

（三）“賦權”范式的局限性

必須承認，“賦權”范式確有其合理性和吸引力，因為其體現了立法者對個人自主、自決能力的信任與保障，同時，亦未給技術的創新發展和數據的利用、流通帶來明顯阻力。但是，隨著數據價值越發受到重視，個人信息的一系列處理活動變得日益普遍化、規?；碗[蔽化，越來越多的學者意識到，僅靠傳統的個人信息賦權保護模式難以擔負起新社會形態下的個人信息保護重任。

首先，從落實架構上看，“通知一選擇”（也有學者稱為“告知一同意”）機制是“賦權”解決方案中的核心制度，然而實踐中，個人的控制權常常難以行使，“通知一選擇”機制也不能給予個人真正的選擇權。根據市場交易的相關理論，“選擇自由”需要做選擇的人擁有關于各個選項及其后果的準確信息，以及能夠做出選擇的、足夠的支配力。而公民在個人信息領域的“選擇”顯然并非“自由選擇”，因為在選擇之時，絕大多數人既無興趣、精力，也無能力從個人信息處理者釋出的“用戶協議”“隱私聲明”等材料中，了解自己的信息將被具體用于何種用途，更遑論在一種實質公平的背景下，準確評估出信息交付這一行為的效益與成本，從而做出有實質性意義的選擇。退一步說，即使我們假設個人能夠完全知曉信息使用的所有情形，可以自由地“接受或拒絕”個人信息處理者提供的條款，我們也只能享有相對的選擇自由，因為別忘了，個人信息處理者才是最開始決定提供何種條款的主體。換言之，個體讓與個人信息的過程，從根本上就是不可協商的。4564BCC3-594A-4023-8C5F-32C953879871

其次，從“賦權”范式提供的問題解決策略上看，它們在真實操作場景中收效甚微、前景受限。仍以“通知—選擇”機制為例。它的本意是經由個人信息處理者的誠實告知，使個人能在充分知情的基礎上，按照自己的自由意志處分個人信息。然而，當企業把該策略轉譯為技術語言和可供操作的程序成品時，呈現在人們眼前的就是：“二選一”的人機交互界面;冗長、艱深、晦澀的“用戶協議”“隱私聲明”;選擇“不同意”（或“否”“退出”等）即無法正常使用該企業服務的結果?？梢妼嶋H上，“通知—選擇”策略在肇始階段就已難以執行，因為用戶權益在一開始就已經被架空了。

再次，從整體思維方式上看，“賦權”范式所集結的共同體成員在探討法律對新技術的規制作用時，始終把法律當作一個“常量”和給定的外部框架去對待，這就不利于引領研究者去發掘技術變遷帶給法律的深層影響，也不利于啟發人們去探索法律與技術之間其他可能的互動模式，促進個人信息保護新思路、新策略、新方案的生成與發展。具體說來，從前文對于“賦權”范式支持者研討議題的梳理可知，“賦權”范式下，研究者們甚少關注技術也可作為個人信息保護工具的可能性，也未對如何利用人工智能技術和相關的計算方法來加強個人信息和隱私保護這類問題予以重視。這種研究視角不僅遮蔽了在技術和法律之間建立起良性互動模式的思考方向，更忽略了法學與計算機科學之于個人信息保護問題的不同見解，由此造成兩個學科的自說自話，甚至彼此抵牾。

最后，從現實效果上看，“賦權”范式所創建的個人信息權利體系并沒有為個人行權和維權帶來便利和優勢;司法實踐中，個人就維護個人信息權益提起的私人訴訟不僅數量很少，而且常面臨著被駁回或者敗訴的結局。若說目前我國《個人信息保護法》的實施效果仍無從考證，我們可以把目光拉回到重視強化數據主體權益、從上至下均釋放出保護個人信息強烈政策信號的歐洲大陸上。然而，在歐洲，許多學者和數據保護的倡導者也在哀嘆個人維權行動的缺乏。以德國為例，自1977年《聯邦數據保護法》（Federal Data Protection Act）頒布以來，已歷經數次修訂。在很大程度上，這些修訂之目的，是為了減少個人行使權利的交易成本。例如，1990年，該法修訂版第7條規定：“因政府非法處理信息而給當事人造成損失的，實行無過錯責任賠償?！钡?條規定：“因私營部門非法處理信息而給當事人造成損失的，實行舉證責任轉移?！辈浑y看出，這兩個條款均能降低個體維護個人信息權益的難度。但之后有學者調研發現，這些修改并未導致德國民眾維權行動的顯著增加。同樣，在“隱私權”框架下保護個人信息的美國，其民眾也難以通過司法救濟的途徑捍衛自身權益。例如，在數據泄露事件發生后，受影響的個人發起維權行動時，由于“訴訟主體資格論”（stand-ing doctrine）的存在以及因果關系、損害結果、損害評估結論上的不確定性，潛在受害者往往很難在法庭上獲得訴訟資格，并得到與泄露事件造成的損害相適的賠償金。

（四）未來進路：從“賦權”轉向法律與技術的“協同共進”

上述分析表明，“賦權”范式提供的個人信息保護策略和制度方案已然難為個體提供有效保護。同時，它亦留下了諸多盲點，禁錮了人們的創新思維，讓人們對新技術的影響及個人信息研究所固有的技術面向視而不見或避而不談?；诖?，庫恩提出的“范式轉換”概念，可為個人信息保護的常規研究帶來轉機。在庫恩看來，“范式轉換”是實現科學革命的重要環節，范式一經改變，新范式將指引科學家去采取新工具，注意新領域，以與以前不一樣的方式來看這個世界。在此基礎上，常規科學所涉及的問題、技巧也因范式的轉換而有了不同答案。哈佛大學的烏斯·加瑟教授則從法學研究的角度對“范式轉換”下了定義。他認為，“范式轉換”代表著深層次的法律改革，這個改革不僅包含個別規定的更新，而且強調整個方法論或研究手段的改變。由于“范式轉換”能為實現法律創新提供更多可能，因此，加瑟教授把它看作是應對數字時代中的個人信息危機最有前途的辦法。在范式轉換思維的引領下，越來越多的學者跳脫出了“賦權”范式的束縛，嘗試利用不同方法論來考量大數據時代下的個人信息保護議題，并隨之誕生了一系列頗有影響力的學術成果。例如，有學者建議借鑒環境法領域的理論和規制經驗，來重新構想個人信息保護的規制基礎和具體方案;也有學者倡導從信義關系中吸收經驗，運用信托機制來治理個人信息問題。這些研究均對個人信息保護的范式轉型和新保護機制的創建提供了智識支持。

本文提出的法律與技術“協同共進”范式亦是研究個人信息保護議題的另一種思路、方法?！皡f同”在《漢語大詞典》中是齊心協力、互相配合的意思。1971年，德國學者Haken在系統論中最早提出了協同的概念，指系統中各子系統的相互協調、合作或同步的聯合作用及集體行為，結果是產生了1+1>2的協同效應?！肮策M”則可理解為共同進步、共同發展、彼此順應之義。結合“范式”概念具有的多重意蘊，故法律與技術“協同共進”范式也可從兩方面進行詮釋：一方面，它是一種強調運用法律與技術交叉融合的視角看待個人信息保護議題的研究范式，其吸引的共同體成員都將在尊重和理解法律與技術各自特性和內在關聯的基礎上，尋求個人信息保護基礎理論、制度方案和研究方法的創新。另一方面，它將最終導向一種個人信息保護范式，這種范式認定，只有把法律與技術同時視為保護個人信息的手段，并促使二者間形成一種相互助益的良性互動模式，才能有效降低個人信息受侵害風險，擺脫個人信息難獲保護之困境。在下文中，將從實踐和理論層面切入，剖析法律與技術“協同共進”能成為我國個人信息保護研究新理念和新路徑的原因。

二、法律與技術“協同共進”范式形成的現實基礎

隨著網絡化、數字化、智能化的快速融合發展，數字時代帶來的巨變凸顯出現有個人信息保護范式的無力。因此，欲構建與這一時代深層本質相契合的個人信息保護路徑，法學研究者必須以史為鑒、考量現實、面向未來。

首先，個人信息的法律保護史提醒我們，個人信息保護研究應對法律與技術予以同等重視，因為長久以來，技術發展始終是個人信息利益得到法律關切的重要原因。1890年，當“隱私”首次被作為一個法律概念引入人們視野時，就是受到電報通信和便攜式相機等新技術的影響。彼時，Warren創作《論隱私權》一文的其中一個動力，就是他不想再讓自己及其家族成員的私生活時刻受到媒體的追蹤與報道，并成為社會大眾的談資。從20世紀中期開始，一些國家的政府機構出于政策分析、追蹤特殊人群等目的，開始利用計算機和互聯網絡等現代科技，進行大規模、自動化的個人數據收集和處理活動，也源于此，法學界逐漸將研究視角從“隱私”轉向“個人信息”，開始關注到個人信息的合理使用、安全性和保密性等問題。20世紀后期，個人信息的處理和存儲方式發生質的改變，驅動著現代個人信息保護的規則雛形——“公平信息實踐”原則的誕生。此后，不斷發展的技術和不斷變化的制度實踐共同作用，引發了學界之于個人信息相關問題的大量探討，公平信息實踐原則的內容也在這個過程中得到調整和補充。如今，在物聯網、人工智能、云計算等技術的加持下，越來越多的人開始感知到信息聚合、數據挖掘等數據處理技術帶給自身的實際或潛在的不利后果。與此同時，這些新技術的推廣應用亦驅動著許多國際組織和國家內部開展了新一輪的個人信息保護形勢研判和對策研究?？梢?，在個人信息保護領域，技術的發展和進步一直對個人信息的學理認知和法律演變產生重要影響。因此，在這技術性極為突出的新時代，個人信息保護法學研究更不能擯棄對技術因素的關注與考量。4564BCC3-594A-4023-8C5F-32C953879871

其次，個人信息權益正在面臨的多重現實風險亦決定了個人信息保護研究需轉向法律與技術“協同共進”范式。在前文解析“賦權”范式的不足時，已經簡要闡述了個人難以行使個人信息控制權的現狀。然而事實上，大數據技術帶給個人合法權益的危機和潛在傷害，還遠不止這個。1988年，計算機科學家馬克·韋澤就預言道，計算機將來會嵌入到日常生活的結構中，直到與之無法區分。如今，雖然各種獲取數據、處理數據的儀器沒有小到從人們視線里消失的程度，但它們確實已被廣泛部署于人類生活的物理環境中，實時、連續、高效、廉價、大規模地記錄和處理著物理世界的狀態，致使人類處于日趨精密的、難以察覺的、被監視的狀態之中。在此基礎上，借助數據關聯、信息聚合等技術，政府和企業完全有能力從很多碎片化、零散化的信息中復原一個人的概貌，并了解此人的各項生活細節。加之大數據還能夠將新收集到的數據持續添加進已有的數據庫中，且有辦法在這些數據里找到新的知識發現模式，獲得新的推斷信息。所以，從這個意義上講，隨著時間的推移，政府或企業完全能夠利用大數據，透徹地了解某個人。更令人擔憂的還有，由個人零碎信息匯集而成描摹出來的“用戶畫像”，全然不受本人控制。常態化的、難以察覺的個人數據采集會將我們有意識和無意識的行為模式都詳盡地呈現到數據集和算法中，這不僅可能導致數據將比我們自己更了解自己，加深了個人與個人信息處理者之間的不對等關系，甚至還會衍生出歧視、算法權力異化等嚴重后果。此外，政府和企業的規?；瘮祿占袨橐矘O大地增加了個人信息被泄露的風險。然而，具有諷刺意味的是，當人們收到許多垃圾短信、垃圾電話甚至遭遇精準詐騙時，個人根本難以知悉究竟是什么組織、哪個環節泄露了自己的個人信息。當追責對象都難以找到的時候，我們不得不承認，僅僅通過立法的手段來實現大數據環境下的個人信息保護基本上是行不通的。由此觀之，無論是從技術造成的實際風險上看，還是從實現個人信息保護的功利目的上看，大數據時代的個人信息保護都呈現出極強的專業性、技術性和對技術學科的依賴性。這也意味著，當法學研究者觀察這個時代課題時，不應該也不能忽略對法學以外學科的觀察，否則，即使法律的規則再完備、再全面，它也只是一個躺在紙面上的、沒有生命力的法律。

最后，法律與技術“協同共進”范式還是由大數據時代的新變化和新特征所選擇的，因為這些特征給傳統社會的法律秩序和規范體系帶去了巨大沖擊，迫使人們重新審視傳統法律對技術、對個人信息的規制邏輯，并反思法律與技術的傳統角色定位。過去，法律在回應技術發展帶來的個人信息保護新問題時，更像一種簡單的“刺激—反應”機制，這樣的法律以保守、防御的姿態面對技術創新，以技術及其效應的充分顯現作為規范前提，整體上呈現出明顯的滯后性、單一的功能性和短暫的穩定性。而如今，大數據技術發展卻具有顯著的正負雙重外部性，既有越來越多的、具有不透明性和不可預期性特點的算法投入使用，同時也有許多促進個人信息保護與利用的新技術、新工具得到開發。在這樣特殊的現實背景下，繼續沿用以往定位法律和技術相應角色與功能的舊思維，顯然既不能實現法律對技術控制的預期目標，也無法發揮法律對有益技術的支持和幫扶作用。因此，唯有轉變研究范式，以一種技術與法律協同思考、共同發展精進的眼光去看待個人信息保護問題，才能打破人們長期以來看待法律與技術的傳統思維定式，幫助我們獲得更具適應性、穩定性、功能性的個人信息保護法。如是，研究者和立法者們將不再把技術進步預設為是對個人信息的威脅和對既有法律規范的挑戰，而是把它也看作是降低個人信息受侵害風險、擺脫個人信息保護困境的整體方案的一部分;同時，法律也將不再被預設為只是一種用來管理技術應用和控制其負面效果的傳統工具，而是一種功能上可區分的響應系統，一種能夠針對技術價值進行價值整合和自我調整的機制?？傊?，這種研究轉向有利于實現個人信息保護制度的進一步完善和創新。

三、法律與技術“協同共進”范式形成的理論基礎

根據庫恩對“研究范式”的詮釋可知，以共同范式為基礎進行研究的人，爾后的實踐將很少會在基本前提上發生爭議。所以，當引入一個新范式時，需要對該研究模型的理論基礎進行更多論證;否則，不具獨特性和合理性的新范式很難吸引到一批堅定的擁護者，組建起特定的科學共同體，并成為共同體成員們進一步研究的基礎。因而，在明晰了個人信息保護領域應加強法律與技術合作的現實必要性后，我們需要從理論層面上闡明二者“協同共進”的科學性和必然性。具言之，多學科有關法律與技術的關系之研究成果，為這一范式的形成提供了豐富的理論資源。

（一）負載價值的技術

美國技術哲學家蘭登·溫納教授認為，技術人工物不僅具有政治屬性，而且是權力和從屬關系的具體表達，因此，“盡管不是那么明顯，但是社會中分裂或者團結人們的議題，不僅能在政治制度和政治實踐中得到妥善解決，而且也能在鋼筋和混凝土、電線和半導體、螺母和螺栓的具體安排中塵埃落定”。他以羅伯特·摩西設計的、體現階級偏見和種族偏見的紐約長島立交橋等技術人工物為例，向我們詳細論述了技術所具有的“控制”力量和技術人工物在具體實踐中的社會價值構建;同時，他還指出，技術人工物和具有政治基礎的立法行為相類似，因而也能為公共秩序建立一個影響許多代人的框架。于此，溫納教授呼吁我們對技術施以正確的規范和引導，因為技術產物的研發和應用在很大程度上與特定價值系統有關。

（二）技術解釋的復雜性

人類學研究者布萊恩·普法芬伯格則通過其“技術戲?。╰echnological dramas）”理論對法律與技術的關系進行詮釋。在他看來，當一項技術設計完成并投入使用時，往往沒有經過太多深思熟慮，這時，該項技術的設計支持者（design constituency）需要從論述上對此技術進行“規范化（regularization）”解釋，以幫助人們理解該技術。而在“規范化”的論述過程，法律只是特定社會群體在解釋某新興技術物時，設法按照自己的利益去定義該物的其中一種工具。除了法律之外，文化傳統、價值理念、社會因素、政治因素等都會對技術解釋造成影響。換句話說，普法芬伯格認為，正是技術設計和技術解釋具有的靈活性，導致了技術體現價值或獲得調控權力的過程是復雜的，有時甚至是不確定的。由于社會情境及主體因素均對技術解釋的形成至關重要，因此，普法芬伯格提示人們，應該警惕一項技術進入“常態化”階段。因為在此階段，人們將很容易忽略技術包含的特定價值或政治屬性，從而忘記去爭取那些本應屬于我們的技術權力。4564BCC3-594A-4023-8C5F-32C953879871

（三）提供技術解釋情境的法律

受上述兩位學者觀點的啟發，美國著名隱私專家海倫·尼森鮑姆教授強調，由于價值可以被嵌入技術系統中，所以，在開發設計一項新技術時，規范這個技術設計方案所投射到的社會情境亦十分重要。我們不能想當然地認為，有了足夠聰明的設計，Cookies、TrackMeNot、Adnostic等注入保護個人信息價值的技術，就能被投入使用并有效保護個人信息和隱私。而無論是在實際意義上還是在象征意義上，法律法規都是準備“社會情境”的重要組成部分，以便投射到這種“社會情境”中的技術系統可以發揮出設計支持者所預設的功能和價值。在此基礎上，她總結道，在個人信息保護方面，法律能發揮以下作用：（1）提供環境支持，即通過立法活動，為隱私保護工具（privacy tools）的開發和應用提供一個友好和包容的社會環境。（2）尊重表達出來的選擇，即給予安裝了隱私保護技術系統和工具的用戶法律上的認可和積極的保護。（3）調節個人與網絡實體的關系，即規范和限制網絡實體的行為和權利，維護個人在網絡空間的平等地位和合法權益。（4）抑制惡念，即震懾和抑制他人利用技術系統和工具存在的技術漏洞實施惡事的念頭，因為技術出現漏洞是不可避免的。

（四）法律與技術之間的動態互動

與前述三位學者從技術角度切入的觀察不同，我國學者鄭玉雙是從法律自我調整的面向去思考法律和技術的關系的。他認為，法律應被視為一種“自主的、包含著自身歸責原理和價值論辯結構的社會實踐”，故面對迅猛發展的科學技術時，法律回應的最合理方式，并不是壓制、馴化的“管制模式”，也不是尊重技術價值和客觀屬性的“回應模式”，而是進入與科技的“重構模式”之中。所謂“重構”就是指，“技術的工具價值和社會價值被納入法律的價值世界之中，法律自身也針對技術價值而做出價值調整，進而產生法律規范的改變”?？梢?，鄭玉雙先生倡導的“重構模式”亦肯定了法律和技術之間的密切關聯，同時，該模式還進一步強調了二者之間存在的一種動態互動關系：一方面，各種存有爭議的技術所產生的社會價值必須被納入法律價值的論辯空間之中進行考察;另一方面，法律也不是封閉、靜止的存在，而是價值世界隨時開放且能夠整合自身價值、做出規范調整的機制。

（五）個人信息保護中法律與技術之關系

上述來自不同學科的學者對法律和技術關系的看法，為我們分析二者在保護個人信息問題上的應有立場和建樹提供了啟發。從技術負載的價值屬性及法律對技術的價值定位和解釋的影響等方面看，在大數據時代，法律和技術能以一種更密切和相互助益的方式，就個人信息保護達成合作。

首先，法律蘊含的價值能對技術系統和工具的價值定位起到指引作用。如前所述，社會公眾對于隱私和個人信息的認知與理解深受技術發展的影響。甚至可以說，當物化了的技術所傳遞出的價值觀與人們廣泛共享的既有價值觀相碰撞時，新的隱私或個人信息保護訴求才會出現。所以，這就為法律與技術的協同共進提供了對話的渠道，因為“法律就是對一個社會的最低限度價值標準的權威性表達”。如果一項技術不能尊重一個社會或時代形成的某種“價值共識”，不能服務于社會上多數人共同確信的、希冀和追求的價值準則，那么它注定要接受價值理性的拷問，且不能獲得長久的生命力。

其次，法律能有效規制大數據技術應用中的越軌行為。法律向來是一個有威懾力的、管理技術風險和技術危害的重要手段。大數據時代，在企業的逐利性、技術的專業性和知識性以及數字社會的商業模式特點等因素的共同作用下，數字平臺和用戶之間的利益沖突、信息（知識）不對稱和關系不對等問題越發突出;加之算力強大、能夠處理巨量數據的算法確實幫助特定主體攫取了足以支配或影響個人的力量，對社會生活和人們的切身利益造成廣泛、切實的影響，因此，防范和矯正大數據技術應用中存在的潛在風險和實際危害，就必須運用比道德規范、職業規范、技術規范等更具強制性、統一性、權威性、普適性和不可違抗性的法律規范。

再次，法律和技術的協同共進能夠鼓勵整合了法律思考方式和技術思考方式的隱私保護工具的發展。以TrackMeNot、Adnostic等開發初衷即意在保護個人信息的技術工具為例，一方面，法律規范的制定能突出表現國家對個人信息保護問題的重視，激發技術人員開發隱私保護技術工具的積極性、創造性和主動精神。另一方面，法律具有的強制規范作用會使隱私保護技術工具的部署收獲實效，既發揮了技術工具的自身功能，也能實現法的預期作用。如若法律不能和技術達成“和諧共振”，“Cookies”的故事還會不斷重映。

最后，法律和技術的協同共進能夠促進個人信息保護法律實現深層次變革。目前，已有許多學者關注到數字技術發展背景下的法律挑戰和法律變革問題。例如，周佑勇教授指出，邁向智能時代的法律變革必須緊密結合技術邏輯展開，并通過創新理念和方式、重構法理基礎、調整研究范式、革新法治思維和法律制度等途徑才能實現。從這個角度來看，由于法律與技術協同共進的研究理念以尊重法律與技術之間的相互關系為前提，因此，其將有利于促進法律信息與技術信息的交換與整合，助推我國的個人信息保護法律制度完成總體性的變革升級。

四、法律與技術“協同共進”范式的優勢和前景

從長遠上看，法律與技術“協同共進”范式更能有效應對未來社會關于個人信息的多重復雜挑戰。

首先，法律與技術“協同共進”范式可以使我們獲致一個協調法律標準和技術標準的個人信息保護框架。通過對比法學與計算機科學在個人信息的定義方式和保護方式上的區別，我們可以清晰發現，兩個學科看待個人信息保護問題的邏輯出發點大相徑庭。在法學領域，“隱私”“個人可識別信息”等名詞的定義和保護標準通常會因行業部門、所涉及的信息類型、管轄機構等不同而變化，法學家也會倡導采用與具體情境相適應的不同手段保護不同信息。因此，要而言之，法律上對個人信息的定義方式和保護方法是多變的、受到具體情境影響的。然而，有別于法學認識和處理上的不確定性，建立在數學概念上的計算機科學對個人信息保護的定義模式和保護模式卻具有普適性、精確性和單一性。因為計算機科學領域的研究人員設計任何工具的出發點，均只考慮隱私的數學定義。也就是說，如果一個算法可以通過數學上的證據（mathematical proof）來證明，沒有對手能夠以“太高”的概率獲悉其中特定個人的信息或隱私，那么該算法在計算機科學領域，就可以被評價為提供了數據保護的算法。明確上述二者之區別，是彌合法學與計算機科學在個人信息保護問題上的認識鴻溝的基本前提。而當個人信息保護法律框架能完成兼顧技術邏輯的規范調整后，立法者將不會糾結于如何在法律中及時“安放”某些具體的技術方法，而是會對個人信息保護的預期目的采取更具概括性的表述，把重點放在個人信息的保護上，而不是手段上。4564BCC3-594A-4023-8C5F-32C953879871

其次，法律與技術“協同共進”范式有利于促進計算機科學和法學兩個學科在個人信息保護方法、策略或工具的研究上，相互協作、共同進步。不可否認，計算機科學和法學之間存在明顯的知識系統和邏輯思維的分野。但其實，在隱私保護問題上，技術專家很早就將隱私定義為計算的一種屬性，例如“密碼學”這一交叉學科的創立，就是隱私屬性在技術領域貫徹的例證。然而，盡管技術研究領域在個人信息保護方面獲得了許多理論成果，也開發了很多實用工具，但是圍繞這些理論和工具的討論，基本上是在一個獨立于法律規范、管理條例、政策方針、倫理守則和最佳實踐行為的空間里進行的。這就造成了計算機科學與法學“各自為政”的局面。一方面，法學學者不能及時吸納計算機科學的研究成果，加深對“隱私”“個人信息”概念及隱私風險評估等議題的進一步理解;也不能在起草相關法律規章時，兼顧各種難以理解甚至難以預料的技術特性，利用規則向個人信息處理者和民眾傳達出更協調一致又更確切的個人信息保護要求。另一方面，由于技術人員亦不了解個人信息保護的有關規則，所以他們很難有針對性地設計、開發、實施各種能幫助推進法律目標實現的工具和措施，使得法律對技術的規制始終只能從事后追責角度切入。于此，法律與技術“協同共進”范式將有利于打破上述僵局，促進兩個學科形成一種互惠互利的關系，更好地管理新興技術發展帶來的個人信息安全風險。

最后，法律與技術“協同共進”范式跳脫出了單純的法律治理框架或技術保護框架，有利于打造一個比直接賦權更具層次的個人信息保護制度。事實上，法律尋求與技術協作的嘗試可以追溯到20世紀。早在20世紀80年代，研究人員就開發了一系列幫助實現“公平信息實踐”原則的“隱私增強技術”（privacy-enhancing technologies，簡稱PET）。這些技術的目標包括，在不喪失信息系統功能性的前提下，使在線服務提供商等盡可能少地收集和使用個人數據，最大限度地提高個人數據的安全性，幫助使用相關技術工具的用戶更好地管控其由在線服務提供商等掌握著的個人可識別信息等。1995年，在一份關于PET的聯合報告中，一個聯合小組正式提出了“通過設計著手保護隱私”（privacy by design）方法，號召把隱私保護嵌入所有正在設計的技術的基本參數或架構中。自此之后，該理念日漸受到行業認可和推崇，并走入立法文件中。例如，歐盟的GDPR就把“通過設計著手保護隱私”上升為法定要求。歐盟立法對這一總括性理念的吸收，可謂是“將技術納入法律規范的意義結構之中”以保護個人信息的成功范例。此外，以“通過設計著手保護隱私”這類理念為代表的法律和技術協同考慮范式被納入法律框架，也標志著個人信息保護路徑從傳統的“知情—同意”框架和個案中的利益衡量方法，開始轉向了更全面、更嚴格、強調前置性和預防性的“隱私風險評估模式”（privacy risk assessment models）。在風險評估理念的指引下，信息處理者將把關注焦點從形式主義的合規要求上，轉移到對個人信息全生命周期安全的動態保障上;司法機關在處理個人信息權益糾紛時，也將更注重對個人信息處理全過程的實質審查，而非只看信息處理者在處理個人信息之初，是否獲得了個人的同意。

五、法律與技術“協同共進”范式下個人信息保護法學研究的變革

前文已論證了法律與技術“協同共進”作為一種新研究范式的潛力。不過，要最大程度地發揮出該范式對個人信息保護研究的指導效用，我們還須處理諸多復雜又細致的工作。就法學研究而言，應從研究理念、知識譜系、研究方式等方面進行革新，以更好地聚焦于數字社會中的個人信息保護議題。

（一）革新研究理念

馬克思主義經典作家向我們揭示了，社會物質生活條件是法的更深層次的本質，所以，在一定意義上我們可以說，當代法律理念、理論流派和制度體系都是對工業時代的生產關系、生活方式、交往方式、社會關系和價值理念的法理抽象和法學表達。不過，隨著人類邁入數字社會后，諸多表征證明了如今社會上最重要的生產變成了信息生產。而經進一步分析可知，數字社會的信息生產和工業社會的機器生產在生產工具、作用和處理對象、生產規律和由此展開的社會關系等方面，均存在明顯差異，因此，“它將使18世紀工業革命以來圍繞能量與物質構建的法律秩序向圍繞信息構建的法律秩序全面轉型”。這過程里必然包含著革新法學研究理念之要求。在個人信息保護研究方面，理念革新也是學者們準確把握數字時代的客觀變化、用新思維方式和研究方法進行個人信息保護理論創新和制度重構的基礎。以認知法的作用為例，因受到新理念的啟發，研究者將不再把個人信息保護法律僅視為是被動反映社會現實的、具有拘束力的角色，而是設法把它塑造為積極主動地、能協調整個制度內的各種要素和各方行動者的規范體系，為解決當前數字信息危機發揮出更有效的作用。

（二）更新知識譜系

“近代以來的知識譜系和思想基礎在于現代性啟蒙”，而現代性的本質規定性之一，就是個體的主體性和自我意識的生成或走向自覺。這種個體自由自覺的生存狀態不僅成為了現代社會運行的支撐性因素和蓬勃發展的源泉，也對現代法律制度的構建產生了深遠影響。正如有學者已論證的那樣，用“理性人”的標準將現實世界的人在法律上統一起來，成為“人格人”，將使法律政策的控制變得容易，使每個人的行為具有可預測性，進而更好地實現法律的制度功能。從這個角度上看，現行建立在“賦權”范式下的個人信息保護法律制度也深受“理性人”理念的影響，因為它是“通過強調個人信息主體的自主支配、自主決斷和自己責任，來平衡個人信息的使用和保護”。然而，信息主體的“理性人”假設在日益加深的信息鴻溝和權力鴻溝面前，已遭遇重重困境，因此，研究人員亟需重新審視數字時代的“人”的生存現實，并在新的科學認識下完成對法學理論知識譜系的更新，以更好地回應“微粒社會”中個人信息保護的諸多爭論。

（三）加強對話合作

毫無疑問，信息技術革命所引發的不可逆轉的社會變革，愈發凸顯了法律與技術相互賦能的重要性及加強學科間互動合作的必要性。因此，在個人信息保護研究領域，我們必須在法學與計算機科學之間搭建起暢通的資源、知識共享渠道和交流平臺?？梢灶A見，當法學和計算機科學縮小在個人信息保護問題上的認識分歧后，將極大改善現今的個人信息保護狀況：一方面，因對法律要求有所了解，計算機科學領域的研究人員能在開發數據處理技術時，從建模階段就融入法律和倫理中的隱私期待，奠定技術向好向善發展的根基;在設計新興隱私和個人信息保護工具時，也能及時判斷該工具是否符合法律所要求的標準、是否能夠迅速投入實踐使用。另一方面，對法學研究來說，計算機科學思維下的隱私概念能啟發法學學者去了解什么樣的隱私保護要求在技術上是可以被定義和實現的，從而思考如何利用精確的數學語言和數學模型為法律服務，促進法律的智能轉化。值得一提的是，近幾年來，多所國內外大學已為實現上述愿景付出了努力，建立起多個旨在促進跨學科學習與合作的項目，并探索了新的法律教育模式和人才培育機制，這反映了不同學科的專家、學者已經共同認識到范式轉換和學科變革的時代需求。

六、結語

范式具有提示研究重點、指導事實搜索和研究活動等作用。當研究者們獲得了一個范式，就是有了一個選擇問題的標準，而且這些被選擇的問題被認為都是有解的。然而一個范式它不需要，且事實上絕不可能解釋它所面臨的所有事實。所以，在哲學社科領域，范式的唯一性既不可能，也不被接受，因為它會阻擋我們發現新知識的可能性。當前，雖然我國已經頒布了《個人信息保護法》，但在變動不居的科技發展面前，越來越多的學者已意識到，個人信息保護不存在一勞永逸的方案，現代性法律體系也面臨著前所未有的重大變革。在此局面下，個人信息保護研究范式從“賦權”轉向法律與技術的“協同共進”，將有利于我們全面把握與個人信息相關的待決之務和牽連情事，從更宏觀的視角去探尋個人信息保護的諸多可能性。我們相信這一范式的引入將會拓寬我國現有的個人信息保護研究格局，推動我國個人信息保護理論研究、技術工具研發和制度建設取得新的進展。4564BCC3-594A-4023-8C5F-32C953879871