“风险社会”理论的提出者乌尔里希·贝克所讨论的“风险分配”更多是从社会以及世界范围内所遭遇的风险角度而言的。而对于具体的法律关系而言,事实上也存在如何考量风险以及风险如何分配等问题。从一种概括的风险维度而言,在个体与信息收集者之间,个人的风险更多地被信息收集者所控,医疗侵权更多地表现为一种“风险转移”或医方的“风险豁免”,但是在个人信息保护之中却并不是“风险转移”,并且几乎不可能被豁免。风险可能并未减少,但是究竟是何种风险却不得而知,不确定性也呈几何数增加。这也使知情同意原则在个人信息保护领域发生了较为根本性的变化。
事实上,可从如下角度考虑衡量相应风险分配的标准。
第一,不同主体的风险地位。在信息流动中,个体几乎居于风险的主要位置,即要承载由不确定风险所带来的所有后果,但是从信息获得、披露与结果承受等角度而言,个体几乎陷于一种消极、被动的地位,而在很大程度上能够掌控相应风险或获得更为对称信息的却是掌握个人信息的平台或企业一方。因此,有风险者无法负担风险,而风险掌控者却可能在负担风险之时“缺席”。
第二,事物或环境的客观风险因素。个人信息利用风险受制于数据利用技术的方式与途径。事实上,患者所需要承担的医疗风险,其对应的只是医疗技术和医者过失;但是个人信息利用风险却是面临无数数据利用(不当利用)环节,并在众多主体之间移转。抽象而言,二者无法在定量上作一种比较,但从定性上而言,后者风险的不确定性程度显然更高。
第三,主体之间的信任关系。实际上所有在讨论风险与知情同意原则之时,似乎都可转换为另外一个命题——信任。上述家属拒签风险告知书而致病患死亡,即是在根本上对医方、对可能的医疗技术缺乏信任之例。而在个人信息收集利用方面,由于个人即便在使用应用软件之时同意相应隐私协议,实际上个人也仍然无法预知或充分了解科技可能带来的风险,而更不可能去对抗或消减相应的风险,因此,更需要技术控制者以及信息持有者控制此种风险,这实质上需要一种信任机制的建立。
由于科技本身所具有的认知“壁垒”与“高门槛”,以及科技的快速普及,使得这种个人信息采集、利用所产生的风险的辐射面更广。比起形式意义远大于实质意义的“知情同意”行为而言,在风险分配客观性的基础上,由信息收集利用者成为控制和应对风险的主要主体更具客观性与可行性。因此,与其批判知情同意原则的虚空,不如改造基于知情同意的相应行为,使其回归“信任”与“信赖”的本质内核,从而使个人信息收集、利用行为能够真正应对来自科技和违法违规行为等方面的风险。
(一)知情同意的分层设置
无论从个体的主观认识,还是从现实中信息收集利用的客观活动等角度来看,此种知情同意往往可能在很多方面都流于形式,因此,有一些论者反对知情同意原则。比如,有论者认为,由于现代社会的数据处理难以事先界定明确的目的,如果僵化适用知情同意原则,那么数据活动则无法展开,数据经济将会举步维艰。也有论者认为,知情同意中的决定不再只是“个人决定”。通过大数据技术,“个人决定”将会转化成一种“个人——集体决定”,并必然给他人带来直接影响。在这个理解下,个人决定转化成一种新的道德责任,而我们在做决定前亦有道德义务考虑这个决定将会对其他与我们相似的人所带来的影响。此种观点已在相当程度上接近于数据时代的特征以及数据利用的本质,但是个人在自己做出“知情同意”行为之时尚且不知自己的风险所在,何谈考虑给他人带来何种影响呢?此种道德责任感值得肯定,但是可能过于超出现阶段的客观现实情况与迫切需求,似水中望月不可及。
从风险角度反观知情同意原则,其似有进一步细化的空间与可能性。从风险的知晓程度而言,知情同意的对象可分为已知风险与未知风险;如若从获取与持有信息的主体而言,又可分为初始获取主体与后续转移主体,而后续转移主体究竟是谁,绝大多数的个体都可能不知,或者完全不可能知道,这取决于该初始获取主体会跟哪些主体进行必要的商业或非商业往来。而确定的则是个体信息可能会处于不确定的风险之中。至此,基本上比较清晰的是,知情同意从风险与掌控风险角度,似可作一种分层设置,即对已知风险的知情同意以及未知风险的知情同意;对初始获取主体的知情同意以及后续转移主体的知情同意。但这其中,体现出知情同意的一种被动性特征。同时也出现了一定的矛盾之处,即个人怎会对未知风险和并不确定以及无法知晓的后续主体进行知情同意?这也是始终让人们既认为应当要有知情同意原则,同时又认为其事实上无法发挥作用的重要原因。
三、知情同意之信用场域
第一,互联网时代是否已建立信任与信用。这个问题的回答直接决定了其余两个问题存在的必要性。事实上,在没有翔实的数据与调查之前,我们很难做出一种绝对意义上的定性判断。但近年来互联网时代的购物、社交从线下走到线上,问题似乎并未减少,无论是消费者保护还是世界范围内的个人信息保护,都不断出现各种旧问题和新问题,以及前述中消协所进行的APP隐私政策测评调研所显示的个人信息被过度收集等情况,无论如何,这些现实都难谓在互联网领域已建立良好的信任与信用关系。诚如有学者所言,民众的这些感觉也许没有统计数字那么精确,但是,作为公共问题,民众的感受要比统计数字更值得重视。又如同贝克所言,我们所经验到的风险假设了一种有关安全感丧失和信任崩溃的一般化的视角。因此,基本上可以推断,对于建立信任与信用的任务,至少在互联网时代并未完成。