首先,将个人信息保护的重任交由分散的法律法规,在当前中央网信办、工信部、公安部等不同部委交叉共管的局势下,不可避免地出现法律的矛盾。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对《网络安全法》中“个人信息”范围的扩大解释便是一例。
其次,数据的保护方式难以明确,徒增诉讼成本。例如,2016年末“新浪微博诉脉脉反不正当竞争案”,只能大费周章地援引《反不正当竞争法》的一般条款,来保护新浪微博的海量数据;同时,还会引发企业之间本可避免的数据战争。例如,由于数据权利不明,顺丰和菜鸟因关闭数据接口引发的纠纷,通过常规的市场谈判几乎无解,结果不得不依靠行政力量达成和解。
最后,个人信息权利和数据权利的冲突难以协调。前者是信息社会中新型人格权,在“永远在线”和“万物互联”的今天,其对个人的意义日益凸显;后者是数字经济中的新型财产权,作为21世纪的核心生产资料,数据的挖掘、利用和流动是支撑互联网企业的坚固基石。然而,正如“个人信息”(personal information)在很多国家也被称为“个人数据”(personal data)一样,个人信息权利和企业数据权利不可避免地彼此联结,可又相互冲突。因而,问题的关键并不是“东风压倒西风”,还是“西风压倒东风”,而是如何在具体的场景下,妥善划定各自的边界和责任——要知道小有小的难处,大也有大的难处,而这正是《花呗用户服务合同》风波背后的法律纠结。
一般信息VS.信用信息
与一般的网络服务不同,花呗运营商提供的消费信贷服务,因此其所收集的信息,是能够反映用户信用状况,判断其信用度及信用能力的个人信息,即“信用信息”。亦与一般信息不同,对于信用数据,用户更愿意“有选择的披露”,而非一概不披露。这里的道理浅显易懂。为了获得信贷,用户必须让运营商充分了解、乃至信任自己,因此他们会竭尽所能地展现自己好的一面,而隐瞒不好的一面。正如美国法学家波斯纳所尖锐指出的,这种“隐瞒”其实就是欺诈,因为他们的隐瞒行为,在微观上将增加调查、核实的交易成本,在宏观上还可能因信息不对称造成道德风险和逆向选择,从而社会投资不足。正是出于这一考虑,在美国,个人信用信息的采集无需征得信息主体的同意。美国学者F. H. Gate对此十分赞赏:“我们的征信体系之所以能够运作,最重要的原因是信息的采集不需征得消费者事先同意,只有这样,才能掌握他们的真正的信用历史,如果我们必须事先征得每一位消费者的同意,那么整个制度就会垮掉。”
美国并非孤例,我国《征信业管理条例》亦规定,对于信用信息,信息主体的同意为原则,法律、法规规定公开为例外。不过,应当公开的信用信息一般系负面不良信息,并不包括收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息等“正面信息”。然而,在互联网的环境中,这种对信用信息的限制已不合时宜。事实上,通过大数据、云计算和人工智能技术的运用,一个全面的信息库,可以更妥善地管理信贷业务,更加鼓励负责任的借贷行为。正因如此,2011年4月1日,香港修订了《个人信贷资料实务守则》,将个人信息的收录拓展到相关正面信息。
在本文的结尾,让我们从制度的逻辑出发,再次回到7月3日版的《花呗用户服务合同》。面对遗留下的法律难题,最佳解决之道就是在将收集范围严格限定在信用信息(敏感信息除外)的基础上,不再将用户同意作为唯一前提,而依据《征信业管理条例》的规定,在特定情形下依法公开必要信息,从而不但遵守了“合法、正当、必要”的收集原则,还实现了个人信息权利和企业数据权利的动态平衡。而要做的这一点,就要完善《征信机构管理办法》,培育和发展个人征信市场,使得运营商从他方轻松获得信用信息,而无庸自行费力收集,其法律难题自然消于无形。