为方便阅读,省却注释。全文请参见《数字法治》2023年第3期,转载或引用请注明出处。
内容提要:面对数字社会中形成的数据主体客体化以及不平等数据关系等问题,尤其是“技术反冲”带来的数据侵权、数据泄露、数据伦理、数据垄断及国家数据能力等数据生产异化问题,主流的数据权利保护理论并无力解决。因此,中国式数据治理应当超越“告知—同意”规则,突破个人与企业之间的封闭且静态法律框架,并从形式维度、利益维度、价值维度及实施维度等角度进行重构。其中的关系治理不仅涉及个人和企业之间的横向数据关系,还涉及个人和社会之间的纵向数据关系,而在这些数据关系中的公共利益则应当处于优先地位。与此同时,中国式数据治理还强调数据关系中各主体之间形成信任关系,并通过多方和多元的合作治理机制去真正实施落地。
关键词:中国式数据治理 关系治理 公益优先 信任治理 合作治理
随着2021年《个人信息保护法》和《数据安全法》的颁布,再加上2016年实施的《网络安全法》,我国数据保护的基本法律框架已基本形成。这个以数据权利为基础的法律框架,无论是强调不受影响和约束的消极权利,还是主张充分独立自主的积极权利,都将“告知—同意”基础上的充分“个人自决权”作为数据保护的终极目标。为此,学术界也出现了人格权说、财产权说、知识产权说、商业言论说以及数据竞争说等诸多权利学说。这些学说观点各不相同,但有一点是共同的,即认为只要解决了数据确权等权利难题,数据保护和数据流动等问题自然会迎刃而解。
但这个事情似乎远比想象的更为复杂。随着我国正在成为一个数据资源大国和数字经济大国,数据也被官方认定为土地、资本、劳动力及技术之外的第五大基本市场要素,但数据共享和交易等数据流动却因为缺失可信法律框架、可靠技术手段及可用合作关系而举步维艰。由此,随之而来的“技术反冲”事实上已演化为科技风险、治理现代化等一系列社会性问题,尤其表现为数据生产过程中的异化问题。我国当前至少面临着个人信息侵权及犯罪、数据泄露、数据伦理、数据不正当竞争及数据垄断、国家数据能力等五大法律挑战。
这一方面表现为基于数据化的数据主体客体化,数据处理者不仅免费处理数据主体的个人信息,而且通过用户画像对数据主体作精准营销,甚至在此基础上实施“大数据杀熟”。具体而言,数据处理者通过暗黑模式等架构诱导,使数据主体落入数据陷阱,并通过对个人信息集的剖析,将数据主体纳入数据生产的过程,然后基于监控分类和行为科学等工具,对数据主体进行分类,预测数据主体行为偏好,通过精准投放广告及定向发布新闻等方式操纵数据主体情绪和决策,这使得数据主体从数据的主人成了数据的客体。
另一方面则表现为基于商品化的数据生产不平等化。在大数据时代,数据主体不再仅仅是消费者,其自身也成了商品。数据主体也被纳入数据生产的过程中,个人信息被视为数字社会的核心要素之一,数据商品化的过程被定义为一个特殊的数据价值创造的生产过程。对此,有学者将人的内心生活比作一个前殖民大陆,被追求超额利润的科技公司入侵并剥夺了个人信息,这就是通过“数据精炼厂”对个人信息的处理实现数据剩余价值的生产过程。
可惜的是,无论是欧盟的信息自决权理论,还是美国的信息隐私权理论,抑或是我国个人信息保护法的“告知—同意”框架,全球数据实践中的主流理论都试图从“个人权利”和“内心安宁”等自由主义立场来提出解决方案,其局限性是非常明显的,既难以实现公益优先的数据流动,也难以解决数据大生产过程中的不平等问题,甚至最终也难以保障个人选择权。
因此,面对数据实践提出的时代性议题,如何走出欧美的数据法理论窠臼,如何坚持把马克思主义同中国数据法治实践相结合,动态重构一个中国式数据治理理论,意在解决数据权利保护与数据流动、合理利用之间的平衡,而这正是本文的研究方向。
现行主流的解决方案大致分为三种:一是人格权方案,重点聚焦于建构以“告知—同意”为基础的个人数据权利体系;二是财产权方案,通过数据确权赋予个人财产性权利来实质性规制信息生产过程;三是竞争法方案,从竞争秩序和竞争性权益的角度来重塑数据法律关系。
该方案的集大成者是欧盟《通用数据保护条例》(以下简称GDPR),并已被我国《个人信息保护法》和《民法典》充分吸收和采纳。该方案通过法律的方式授予个人知情权、决定权、拒绝权、查阅复制权、更正补充权、删除权、要求解释说明权等实体权利及举报投诉、诉讼等程序性权利,以及“合法、正当、必要原则”“目的限制原则”“公开透明原则”及“问责原则”等赋能个人形成信息自决权,同时规定数据处理者的诸多法定义务,并通过巨额罚款、没收违法所得、吊销证书等强有力方式,迫使企业尊重个人的同意。
其中最集中体现是“告知—同意”规则,其中在《个人信息保护法》出现了16处“告知”和27处“同意”字样,共涉及19个条文,占到全部74个条文的1/4,这是名副其实的“皇冠”规则,其中的核心条款则是第13条第1项的同意条款和第17条的告知条款,而同意又分为一般同意、单独同意及书面同意等。
在我国,数据保护理论也开始了“数据财产权”的探索,大致可以看到所有权理论到使用权理论转型的清晰脉络。
该方案认为,数据所有权概念是数据生产关系的理论基础,意味着数据主体对数据要素等财产所享有的专有、排他性权益。在数据所有权方案的谱系两端,有两种典型观点:
一种是数据国家所有理论。该理论认为,“国家基于宪法确立的干预经济的职能所形成的‘数据资源归国家所有’要求符合客观性和正当性。这一治理优势也在合宪性解释、权利构造及‘对价—补偿’模式下得到证明”,并可通过征收“数字税”和公共财政“反哺”社会公众。
另一种则是数据用益权理论。该理论认为:“借助自物权—他物权和著作权—邻接权的权利分割思想,容纳作为现代新兴权利客体的数据。根据不同主体对数据形成的贡献来源和程度的不同,应当设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构,以实现数据财产权益分配的均衡。”数据用益权理论事实上已经开启了向财产权理论转变之门。
数据所有权方案是静态和固定的,无法平衡数据关系中的各方利益;数据所有权方案是单方和绝对的,不能成为利益取舍的标准;数据所有权以独占性为基础,与以共享为特征的数据领域是完全不相容的。
因此,需要一个多方的、非排他性的、非绝对和非独占的财产权理论。数据上承载着不同类型的利益,必须厘清数据上承载的不同利益类型以完善数据财产权的性质,而非想当然地创设新类型的权利。如基于“两阶段权利架构”的数据财产权理论认为,“对于用户,应在个人信息层面同时配置人格权益和财产权益;对于企业,基于利益驱动的机制需求,应分别配置数据经营权和数据资产权”。由此,数据所有权理论开始向数据财产权理论转型。
其他财产性方案还包括“数据库保护”“著作权保护”及“商业秘密保护”等。
垄断、不正当竞争和数据之间息息相关,拒绝授予数据访问权可能会构成滥用支配市场地位,但由于竞争法本身并不针对财产权,而是针对不正当竞争行为,数据访问权的授予将不取决于是否存在对数据的财产权。司法实践中,法院通常依据《反不正当竞争法》第2条对有违商业道德数据利用行为进行规制。由数据不正当竞争引发的司法案件层出不穷,从“新浪微博诉脉脉案”确立的“三授权”的数据竞争规则,到“大众点评诉百度案”确立的“不得实质性替代”的数据爬虫规则,再到“淘宝诉美景案”确立的“竞争法意义上的财产权益”的大数据产品的权益边界,后到“头腾大战”涉及的数据竞争背后的“关系链”。
无论是财产权方案,还是人格权方案,也无论是强调不受影响和约束的消极权利理论,还是强调充分自由自主的积极权利理论,这些权利本位的理论都聚焦于个人,将保护个人自由作为个人信息保护的终极目标。但是,基于权利的数据保护理论却与数据大生产的实践存在严重脱节,无法根本解决数据治理的最紧迫问题。
事实上,通过法律赋予数据专有财产权,无论是所有权、用益物权,还是使用权,都无法解决数据流动以及由此外溢的社会性问题,相反可能会产生较大的法律障碍和社会成本。一方面,包括我国《个人信息保护法》在内的全球主要的数据立法都没有赋予特定主体数据专有财产权,更多的则是赋予数据人格性权益,其立法重点则是规范全生命周期的数据处理行为,而这种立法现状并不妨碍数据事实上已经成为共享及交易的客体。针对数据交易的复杂关系,合同就是现成的化繁为简的合规工具,交易双方不用再顾虑具有排他性和绝对性的财产权,这相反会大大降低交易难度,并促进数据的共享和再利用。另一方面,赋予数据专有财产权不符合经济上的均衡性原则,这可能导致“数据垄断”和对公共领域的信息自由和数据流动造成冲击。与此同时,还会带来一些难以解决的实操性问题,如数据专有财产权的保护内容和具体范围、如何平衡受数据专有财产权影响的各方利益以及如何确定权利边界等问题。
目前,我国仍然处在数字社会的初期,有关数据确权的无效立法及政策选择可能会带来不必要的损害,甚至会阻碍数字经济未来的发展。因此,笔者认为,目前最佳策略是暂时搁置数据确权,应当把立法重点放在确保数据访问及流动等议题,核心任务是从形式维度、利益维度、价值维度及实施维度等四大法律逻辑去建构中国式数据治理模式。
为了更好地理解数据实践,有必要更具体地考虑数据如何将个人与企业之间,以及个人与社会之间链接在一起,以及这些关系可能产生的社会效应。具体而言,基于个人选择权的个人与企业之间的静态数据法律关系,以及基于集体行动逻辑的数据生产过程中各方利益者之间的动态数据生产关系,两者之间到底是什么关系?
一方面是底层的数据生产关系,它是在数据生产过程中形成的不以人的意志为转移的经济关系,这是动态、抽象的、本质的数据经济基础。数据生产关系的三要素具体包括:一是数据产权制度,如建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,重点是推进公共数据、企业数据、个人数据分类分级确权授权使用;二是个人在数据生产劳动中的地位和相互关系,具体表现为数据主体客体化及数据商品化等;三是由数据产权制度以及个人在数据生产体系中的地位所决定并形成的分配制度。当数据成为信息资本的重要组成部分,为何以及如何规范数据生产关系自然变成了争议焦点。现行数据法律并不能避免个人数据被企业肆意收集而不需要支付任何代价,很大的原因在于法律无法解释数据的法律地位(用户数据权利的客体)与事实地位(信息资本)之间存在的巨大且不断扩大的差距。
另一方面是上层的数据社会关系,主要表现为数据法律关系。数据法律关系是静态、具体、外在形式的上层建筑,归根结底是由数据生产关系决定的,基于数据生产形成的数据利益关系是数据法律关系的最终前提和基础,具体包括横向数据法律关系和纵向的数据法律关系。
无论理论上,还是实践中,底层的数据生产关系是前提和基础,其决定了上层的数据社会关系的产生、性质及其发展方向。
作为上层建筑的数据法律关系分成横向和纵向两种类型。个人、数据处理(生产)者以及受到数据处理影响的第三方(社会)之间产生的关系可以沿着横向和纵向两条轴线实现映射。
纵向的数据法律关系重点从数据主体及数据处理者等数据法律关系主体的角度讨论其所享有的数据法律权利和应承担的数据法律义务。这也是现行数据立法聚焦的重点,具体指在收集、存储、处理、使用、共享、传输及交易等数据活动中产生的数据关系,经过数据法律规范调整后形成的数据主体及数据处理者等之间的权利义务关系。具体而言,数据法律关系的主体包括数据主体及数据处理者;数据法律关系的客体是隐私、个人信息及非个人信息的数据等;数据法律关系的内容则是主体依据数据法律规范所享有的权利和承担的义务。
除了数据主体与数据处理者之间的关系之外,也不能忽视数据的社会关系面向,在数据生产中形成的数据关系已远远超出了个人的数据权益。个人主义的数据主体权利既然不能代表,更不能解决群体层面的影响。正确地表达这些利益,需要更多的公共与集体形式规制数据生产。因此,如果试图割裂个人与社会之间的数据关系,试图将数据保护降低为个人层面的主张,这显然难以解决数据大生产时代的问题。
在此背景下,还需要讨论横向数据法律关系,即数据大生产如何将数据主体与相关群体特征的其他人及整个社会联系起来。这种关系将个人信息的保护从内向外翻转,认真思考个人和社会之间的联系,充分重视产生数据社会关系的社会条件和效应,找到与这些条件相符的数据保护设计和最佳数据治理实践。
横向数据法律关系大致包括两个方面:一方面是个人与社会的数据关系。借鉴狄骥的社会连带理论,在数据生产过程中,人与人之间通过服务与合作也会形成同求和分工等相互依赖的数据关系。同求的数据关系是基于共同的数据诉求和数据权益,个人愿意通过相互协助的方式来实现共同的数据利益需求。分工的数据关系则是指,基于不同的数据诉求和不同的数据能力,人们在数据生产中通过数据共享和数据交易等利益交换方式来满足其日益增长的数据利益需求。
另一方面是个人与外部条件的关系。每个个体的数据权利只能在一定的社会条件下、通过一定的社会方式才能真正实现。数字社会中的任何一个人想真正行使数据权利,国家必须提供让所有人都实现数据权益的社会条件和法律条件,隐私和数据保护是一种必须在社会层面而非个体层面实现的价值。此外,数据保护同样也具有社会价值,数据保护所促进的对社会认知和数字社会的塑造,这对个体和社会都非常重要。因此,笔者认为,有必要认真研究导致数据商品化、数据主体客体化及数据关系不平等等问题的社会效应以及如何治理由此带来的严重社会后果,这对最终真正实现个人数据权利非常关键。
总之,纵向数据关系是现行法律规制的重点,但横向数据关系却基本被法律所边缘化。在实践中,数据处理者往往利用纵向数据关系收集尽可能多的数据,却利用横向数据关系实现数据的聚合效应,并获取超额的数据剩余价值。但数据主体一般只是在纵向数据关系中拥有法律地位,在横向数据关系中的个人利益却被完全忽视。但横向数据关系与数据生产如何产生社会价值、社会效应等问题息息相关,而数据生产关系属于经济基础,又决定了作为上层建筑的数据法律关系。如果完全忽视横向数据关系,将其视为规制数据产生的副产品,或者错误地认为横向数据关系与数据保护的立法目的无关,这可能既无法考虑横向关系链上的群体利益,更不能解决数据大生产带来的不平等问题,最终也必然无法真正保护纵向数据关系上的数据主体的个人数据权利。
以人为本的数据治理也会涉及数据利益关系的运动,具体体现为个人数据利益和公共数据利益的对立统一。
以人为本的数据治理涉及个人数据利益,如每个人都应享有个人的数据权利,以及为一个公平、公正、公开的数字社会而努力贡献能力和劳动的权利和责任,自然也有分享数字社会红利的权利;再如未成年人、老年人等弱者的数据权利的特殊保护,着力减少数据鸿沟和数据歧视,数字社会绝不落下任何一位成员。
与此同时,以人为本的数据治理也会涉及公共数据利益,如国家基于《数据安全法》建构一个可信可靠的安全框架,以保障每个人免于恐惧的自由,强调以安全为基石的原则,积极维护全球供应链的开放、安全和稳定,反对利用信息技术破坏他国关键基础设施或窃取重要数据,企业也不得在产品和服务中设置后门;又如建构数据主权规则,采取措施防范制止利用信息技术侵害个人信息,反对滥用信息技术从事针对他国的大规模监控;未经他国允许不得直接向企业或个人调取境外数据;要求企业尊重当地法律,不得强制要求本国企业将境外数据存储在境内等。
公共的数据利益与个人的数据利益是一个对立统一的矛盾关系,在这对关系中,公共的数据利益应当处于优先地位,具体理由如下。
首先,基于算法的大数据产品本质上属于公共数字基础设施,其应当被作为公共品或公共事业来监管。如企业使用算法对大数据进行排序,塑造大众如何阅读新闻和获取资讯,如何相互交流和感受彼此,甚至塑造了每个人在数字公共领域的内容和特征。这些平台虽然只是民营公司,但在很多场景下其拥有的大数据和算法已然成为公共数字基础设施的组成部分,此时的平台更类似于公权力机关。因此,法律需要像控制行政机关的公权力一样去约束这些网络平台拥有的私权力,平台则不仅要遵守以法律保留和法律优先为基础的合法性原则,而且也要遵守以比例原则为基础的合理性原则。
其次,公共的数据利益的“共同利益”属性决定其处于这对矛盾的主要方面。在数字社会中,公共的数据利益是全体成员的共同数据利益,而个人的数据利益则是单个成员的自我利益,但二者产生冲突时,公共的数据利益决定这组关系的质和量,是矛盾的主要方面。具体理由如下:一是公共的数据利益决定这组关系的质,我国的基本经济制度是以公有制为主体,这说明公共利益就是全体社会成员的共同利益,这决定了这组关系的质是非零和博弈和非对抗性矛盾。二是公共的数据利益决定这组关系的量,从这个意义上,公共利益应当处于优先地位。因此,“为了使社会公约不致于成为一纸空文,它就默默地包含着这样一种规定……即任何人拒不服务公意的,全体就要迫使他服从公意。这恰好就是说,人们要迫使他自由”。由此,数字社会成员的个人数据利益应当服从绝大多数成员的共同数据利益,而这从本质上只不过是个人服从自己理性的数据利益而已。
再次,公共的数据利益是实现个人数据利益的前提和基础。公共的数据利益是“建立和维持一种内外部条件,使所有共同体成员能够基于那些确定他的成员身份的条件,尽可能地生活”,即公共的数据利益是社会成员的自我数据利益得以存续的条件,数字社会中的每一个成员都应使“共同体的利益优先于他个人的自我利益”,只有实现公共的数据利益,才能最终保全每个个体的自我数据利益。为了充分表达数据生产过程中的群体性共同利益,仅通过强调个人信息的控制权或谋求个人数据利益最大化是远远不够的,需要收集不同群体利益的同类项并在此基础上聚合成公共数据利益。要充分应对数据生产的经济需求和社会影响,就必须要有超越个人主义的数据主体权利方案,并将可靠的数据治理所需的集体决策形式理论化。
最后,公共的数据利益优先更符合数字社会的长远利益和大局利益。基于正和博弈的关系,公共的数据利益的优先不是通过消灭个人数据利益来实现,而是通过个人的数据利益与公共的数据利益保持一致性来体现,这种一致性包括:一是转化。数据的公共利益是从全体社会成员的个人数据利益中抽取一部分并集合而成的共同数据利益,前提则是存在单个成员无法独自实现的整体利益,而数据的公共利益最终还是要转化或还原为数据个人利益。二是依赖。数据的公共利益越多越充足,需要从个人抽取的数据利益越少,可供分配的数据利益越多,因而个人的自留数据利益和分享数据利益也必然越多。三是包含。公共的数据利益包含着可供分配给每个个人的数据利益和社会成员共享的个人数据利益,如可信可靠的数据安全环境等。
欧盟通过《欧盟数据战略》增强在数据经济关键技术和基础设施方面的技术主权,其体现的数据主权逻辑日益清晰,既希望欧盟成为中国和美国无法比拟的全球数据治理规则制定者和主导者,又特别强调数据战略自主,具备不受外部势力控制的行动能力。欧盟试图利用充分性认定白名单、标准合同条款、国际条约等法律框架来实现数据跨境的主权,如欧美之间已废除的“避风港”协议、“隐私盾”协议以及正在谈判过程中的“跨大西洋”协议等。
美国则通过《澄清域外合法使用数据法案》(CLOUD法案)设计了“内外双标”的数据主权战略。一方面涉及取数据,美国政府直接通过美国的跨国公司获取所在国的数据;另一方面涉及防数据,外国政府要获取美国的数据,则必须要通过“人权和数据权利保护底线”的测试。另外,美国政府起草的《禁止中国获取美国数据的美国总统令》将赋予美国司法部巨大权力,阻止中国等外国对手访问美国公民的个人数据,并要求美国卫生和公众服务部(HHS)防止利用联邦资金支持将美国健康数据传输给中国。
中国也通过《数据安全法》和《个人信息保护法》确定了数据主权战略,涉及独立权、平等权、管辖权及防卫权等权利。具体而言,一方面,强调对外的数据跨境能够完全自主可控,如《数据安全法》第36条和《个人信息保护法》第41条都规定,除非有相关的国际条约、协定,未经中国主管机关批准,境内的组织、个人不得向外国司法或执法机构提供存储在中国境内的数据或个人信息。又如《网络安全法》第37条强调了数据本土化,即除非通过网信等部门的安全评估或法律有另外规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储;另一方面,强调对内的数据能够拥有最终决定权,如《数据安全法》第35条规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,依法经过严格的批准手续,有关组织、个人应当予以配合。
目前,“告知—同意”还是我国个人信息保护的基础性和首要规则。一方面,《个人信息保护法》规定了告知规则,即个人信息处理者应当以显著方式和清晰易懂的语言真实、准确、完整地向个人告知“处理者的信息、处理目的及方式、行使权利的方式和程序”等内容;另一方面,《个人信息保护法》又规定了详细的“同意规则”,包括一般同意、单独同意及书面同意等形式。
但基于公共利益优先的规则,《个人信息保护法》也规定了例外规则,这主要体现在《个人信息保护法》的第13条第2款至第6款。具体包括:一是合同规则,即为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;二是法定义务规则,即为履行法定职责或者法定义务所必需;三是重要利益规则,即为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;四是公共任务规则,即为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;五是已公开规则,即依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
数据利他主义是指出于公共利益优先的目的(如科研目的或改善公共服务等),数据主体视为默认同意处理与其相关的个人信息,或无偿允许其他数据持有人使用其非个人数据。即将通过的欧盟《数据治理法》提供了一个数据利他主义的可信法律框架,其中最典型的数据利他组织制度,欧盟把寻求为公共利益优先的目标收集数据的组织列入国家认可的数据利他组织并登记在册,这将为数据利他主义创造必要的信任,鼓励个人和公司向这些组织捐赠数据,从而使它们能够被运用于更广泛的社会利益。欧盟《数据治理法》第16条对数据利他组织的登记要求,规定了数据利他组织的具体条件,包括:实现通用利益目标而成立的法人实体;以非营利为基础运营,并且独立于任何以营利为基础运营的实体;通过法律上独立的架构从事数据利他相关活动,与其从事的其他活动相区分。
公共利益优先意味着对个人利益的某种限制,或者是个人行使数据权利的一般规则的例外。因此,这种限制或例外应该作严格的限缩解释,具体如下:
任何对个人的数据权利进行限制的措施必须在遵循法治原则的前提下以法律及行政法规明文规定的方式呈现,并且需要符合可预见性标准,即应当是清晰且准确的,使个人能够充分了解适用此类限制的法定情况及条件。具体的限制理由除了包括《个人信息保护法》第13条第2款至第6款涉及的合同规则、法定义务及重大利益等规则之外,还需要特别注意第7款的规定,即法律、行政法规规定的其他情形,如基于国家安全、国防和公共安全;经济安全及社会稳定;预防、侦查和起诉犯罪;保护司法程序等理由。
比例原则是衡量数据处理目的和拟采取手段之间的利益关系的法律分析框架,具体涉及以下阶段。
(1)预备阶段。主要是识别出实现公共利益优先的目的以及为实现该目的拟采取的限制手段,而核心内容是审查公共利益优先的数据处理是否具有目的正当性。
(2)适当性审查阶段。在这一阶段,主要审查基于公共利益优先的数据处理目的是否具体明确,而且具有可实施性和结果可预见性,以及所选择的限制手段是否足以实现预定的数据处理目的。
(3)必要性审查阶段。必要性原则,是指在保证拟采取的手段足以实现基于公共利益优先的数据处理目的的前提下,处理者应当选择使个人所受损失保持在最小范围和最低限度的手段。在数据法领域,必要性原则具体表现为最小范围原则。前置性的必要性测试大致包括以下三步:一是对提议的限制措施及其公共利益优先的目的进行详细的事实描述;二是确定提议的限制措施对个人数据权利的限制程度;三是评估限制措施的有效性以及最小侵入性。
(4)均衡性审查阶段。实现基于公共利益优先的数据处理目的的手段,在保持侵害最小范围和最低限度的基础上,还要保证对个人数据权利的损害不能超过实现数据处理目的所带来的收益,即它要求数据处理目的所增进的利益与拟采取的手段所造成的损害成比例。大致包括几步:一是评估基于公共利益优先的数据处理目的的合法性,采取的限制措施有效性;二是考虑限制措施对个人数据权利影响的范围、程度和强度;三是衡量实现目的所增进的利益与拟采取的手段所造成的损害成比例;四是如果结论是不均衡,应当采取使限制措施相称的保障措施。
数据保护不仅仅涉及个人的自主性或安宁权,它还是数字社会中的一个事实或常数,是基于个人之间以及个人与组织之间的某种信任关系,人们对数据保护的合理期待来源于对信任的期望。
19世纪末,随着美国报刊业的大力发展,尤其是“快拍相机”技术的突破,偷拍和流言蜚语等侵犯隐私的行为变得司空见惯。为了解决这个问题,沃伦和布兰代斯在《哈佛法律评论》那篇著名的《隐私权》中提出了基于“独处权”的隐私权理论,他们将英国“阿尔伯特亲王诉斯特兰奇案”改造为一个“保护个人情感免受不必要的公之于众的权利”的判例,“那些保护作品的法律原则……是反对任何形式的公开他人事务的行为……为了保护每个人不受侵犯的人格尊严”。沃伦等的“隐私权理论”深刻影响了后续的普罗瑟的“隐私四分法理论”、威斯汀的“信息隐私控制理论”以及“宪法性信息隐私权理论”。
虽然都是起源于“阿尔伯特亲王诉斯特兰奇案”这个判例,但与美国隐私权理论的个人主义立场不同,英国却从社会关系的角度发展出了“基于信任义务的保密理论”。主审法官布鲁斯认为,斯特兰奇和皇家印刷师助手都是对“信任、保密或合同的违反”,他们“不得将其担任助手、完成工作任务期间获悉的任何信息公之于众”,否则应当受到法律的规制。而英国很早就存在通过保密性理论保护个人的信息免受他人公开的法律制度,其基础和目的都是承认和保护特定社会关系的保密性。如与《信任关系法》相关,具体包括:证据特权制度,用以避免诉讼当事人之间向法院或社会披露其秘密;信任关系,即在一些强调“信任”的特定社会关系中,法律强制性规定一方当事人负有不披露其他当事人事务的义务;勒索法,即勒索者威胁他人的方式是曝光疾病、不道德行为或者刑事犯罪记录等个人隐私;政府记录,即法律强制性要求政府保障公民提供给政府的个人信息的保密性。
当代的美国法学界已经开始反省:是否存在实现隐私权的另一种路径?以及是否要复兴英国式的信任义务法?他们意识到:隐私权不仅仅保护个人的自决权,而且要保护第三方具有价值或者关联性的利益,隐私权应当视为基于信任关系的多元权利。从这个角度看,信任义务应当成为隐私权的主要维度之一,既不能简单地将信任义务与隐私权隔离开来,也不能将信任义务视为隐私权的全部。由于英国的信任义务理论与美国的隐私权理论所处的维度和解决的问题并不完全相同,二者在数据立法和法学理论上都有实现完美融合的可能性。
目前,信任义务的缺失带来了数据领域机会主义的盛行,大量的科技公司利用用户的信任,凭借收集的个人信息对用户进行分类分级,并对用户以诱导甚至操纵的方式来获得超额数据利润。事实上,个人与平台之间的数据关系本质上已成为一种特殊的私人权力关系,平台凭借地位上的不对等性,利用其强势或者优势地位对个人事实上形成了一定的惩罚权或强制权,甚至可能以服务或金钱换取个人信息,个人却因为对平台过于依赖,事实上只有服从和配合的可能性。
但现行主流的“告知—同意”规则并不能妥善应对这种特殊的私人权力关系,更谈不上解决由此产生的数据主体客体化或数据生产关系中的不平等关系等外部性问题。现代性风险使人们对大数据和算法的依赖性越来越高,表面上拥有大量数据权利的个人却高度依赖数据法律环境,其能力不升反降,并逐渐丧失了数据关系中的绝大多数自主性。
在这种背景下,笔者认为,非常有必要从“基于权利的数据保护理论”转到“作为信任的数据保护理论”,强调数据关系并不一定是对抗、零和博弈的关系,也可以是一种服务与合作的双赢关系和正和博弈。因此,数据治理应当重在保护一种数据信任关系,而不仅仅是个人数据权利束,这不仅涉及个人与企业之间的纵向数据关系的信任问题,也涉及个人与社会之间的横向数据关系的信任问题;不仅涉及私密空间的信任问题,也会涉及私人空间与公共空间之间的中间地带的信任问题。
在数据信任关系中,个人是数据信任人,企业则是数据受托人。其核心就是数据受托人必须使自己的利益服从于因信任而变得易受侵害的数据信任人的数据权利,而设定信任义务的目标主要有服从模式与最佳利益模式等两种。如果把数据信任关系看作委托关系,则会启动服从模式,企业应当以个人指定的目的、期限、处理方式、个人信息的种类、保护措施等处理个人的信息,不得超出约定的处理目的、处理方式等处理个人的信息。该模式的优势是赋予个人绝对控制权和选择权等自决性权利,企业只需要忠诚地履行服从义务。但该模式的缺陷也是显而易见的,即高估了个人的能力和资源,可能对一般用户的数据权益造成实质性损害。
但如果把数据信任关系看作一种信托关系的话,则应当启动最佳利益模式,即企业应当把作为数据主体的个人的数据利益最大化放在第一位,或禁止企业以与个人的最佳数据利益相冲突的方式来处理数据。一方面,由于绝大多数普通人既对数据技术和法律常识缺乏了解,也没有资源和能力去判断同意这个行为带来的风险及法律责任,最佳利益模式可以充分约束企业履行保障数据安全和审慎行为等信任义务,避免企业从实力地位和以“同意”的名义,将法律风险转嫁到个人身上,从而确保实现个人的数据利益最大化。而另一方面,最佳利益模式对于秉持“科技向善”和长远可持续发展的企业大有裨益,这些企业希望通过用户利益最大化的方式获取和培养用户的长期信任并建构可信的数据法律关系,从而使企业自身长期利益最大化。因此,应当以最佳利益模式为主和服从模式为辅来建构信任义务框架,要求网站、应用程序和其他网路平台采取负责任和可信的措施来保护用户数据,防止用户数据被滥用和被盗,并禁止企业采取对用户利益造成损害的形式处理用户数据。具体包括审慎、忠诚和保密三方面的义务。
企业必须审慎地处理数据,保障数据安全,保护个人的合法数据权益,同时也有义务主动维护国家数据主权。具体包括:其一,企业应当履行数据安全保护义务,建立完善的全流程数据安全管理制度,采取技术措施和其他必要措施保障数据安全;其二,企业处理数据和研发数据新技术强调“科技向善”,应当采取合法、正当的方式收集数据,不得以窃取等非法方式获取数据,并应当增进人民福祉,符合社会公德和伦理;其三,企业应当建立数据风险监测机制和安全事件应急管理机制,发生风险或事件时,应当立即采取即时处置措施,及时告知个人并向监管机构报告;其四,重要数据的处理者应当落实特殊的数据安全保护责任,安排数据安全负责人和管理机构,定期开展风险评估,并向主管机关报送风险评估报告;其五,关键信息基础设施运营者应当建立重要数据出境安全管理制度,强调本地化存储,未经网信部门的安全评估,不得出境;其六,企业应当配合公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据;其七,境内的企业未经主管机关批准,不得向外国司法或者执法机构提供存储于境内的数据。
这是信任义务的核心内容,重点是要求企业实现无冲突的设计隐私或数据处理,即禁止以对企业有利却有损用户数据权益的方式、对用户可能造成可预见的实质性物质或精神损害的方式以及在用户意料之外或严重冒犯的方式来处理个人信息。具体包括:其一,遵循目的限制原则。企业处理个人信息应当具有明确、合理的目的,并与处理目的直接相关,采取对用户权益影响最小的方式。其二,遵循最小化原则。企业收集个人信息,应当限于实现处理目的的最小范围,禁止过度收集。其三,遵循公开透明原则。企业应当公开个人信息处理规则,明示处理的目的、方式和范围,这不仅仅是消极的告知义务,而是企业有义务提前预见用户会因认知偏差、信息过载或其他干扰机制而有不理解或误解的地方,并根据“坦率准则”要求发出积极和正面的警告。其四,遵循数据质量原则。企业应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。其五,建构具体场景下的忠诚义务规则。企业只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,才能处理生物识别、精确地理位置、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息。其六,禁止企业的不公平或欺骗性行为。企业处理个人信息,应当恪守社会公德,诚信经营,保障用户的合法数据权益,不得为了获取用户个人信息设定不公平、不合理的交易条件,不得用个人信息进行强制交易。
保密也是信任义务的核心内容之一。与基于透明度原则的披露义务不同,企业还有强制性的不披露的义务,即保密义务不仅可以有效避免企业鲁莽和不合理地披露信息,也可以防止企业披露与用户数据权益相冲突的信息。具体如下:其一,除非符合上述审慎义务和忠诚义务,并实质性获得个人的同意,否则企业不得非法收集、使用、加工、传输他人个人信息,对企业在数据处理过程中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供;其二,除非企业与第三方供应商签订合同,同时确保第三方能够对用户承担法律责任,履行与数据处理者相同的审慎、忠诚和保密义务,并且获得用户的实质性同意,企业不得向任何其他人非法买卖、提供或者公开用户的个人信息;其三,应当建构完善企业级的数据合规体系,从实体和程序两方面确保处理个人信息的企业在合法合规的框架下进行,并完全履行审慎、忠诚和保密等信任义务。
与信任义务相关的两种最新理论分别为美国“信息受托人”理论和英国“数据信托”理论,二者都试图将信托法的理念和制度引入数据治理之中。而本文的“信任义务”更接近于美国的“信息受托人”理论,这是给作为数据法律关系一方当事人的企业施加的一种特殊信托义务,其目的只是平衡个人和企业之间严重失衡的特殊权力结构,而不是创造一个独立的第三方机构。
事实上,信任义务主要是为了解决数据治理中的“信任赤字”问题,无论传统隐私法的个人权利模式还是GDPR增加的政府监管模式都没有在个人、企业、政府之间创造出“信任”,而信任义务的设定只是整个数据治理框架中的一环,需要与现行的《个人信息保护法》《反垄断法》《反不正当竞争法》以及其他法规、规章、政策、国家标准等配套制度一起配合,才能共同为消费者提供一个实质、灵活及可信的数据保护法律框架。
因此,当个人因信任企业而向其提供个人信息时,或者当个人因向企业提供个人信息而容易受到侵害时,或者当企业能够利用个人信息控制用户的在线体验或能够借此进行自动化决策时,个人与企业之间基于数据关系的信任义务就应当产生了。一旦确定了信任义务的目标,法律可以通过作为强制或限制行为的规则、作为针对特定潜在有害行为的默认推定以及作为其他义务的解释指南三种功能,具体化审慎、忠诚和保密等义务内容,而作为强制或限制行为的规则又可以分为无冲突的设计或处理、企图放弃义务无效、披露和不披露要求三项具体要求。事实上,我国在《个人信息保护法》最终稿中虽然并没有保留草案中曾经提到的信息信托理论,但明确规定了企业应遵循“诚信”原则,即不得通过误导、欺诈、胁迫等方式处理个人信息,从而保留了其中的信任义务的核心理念。
数据治理要逐渐走出以对抗和竞争为特征的零和博弈的泥淖,强调数据关系中各主体之间的信任关系,并在此基础上进一步实现多方和多元的合作治理,即在多元价值的治理目的背景下,政府与平台企业、行业自律组织等多元主体及政府与市场等多元机制,在平等、主动、自愿的原则下共同参与数据领域的社会公共事务的治理方式。
为了平衡数据权利保护和数据流动之间的关系,数据治理理论上大致演化了私法上的隐私权模式、公法上的个人信息保护模式以及公私协力的数据治理模式等方案。
该模式是一个强调数据自我规制基础上的私人治理机制,具体表现为全球主流的基于“告知—同意”规则的数据权利模式,该模式假设只要法律赋予个人足够多的数据权利,个人就有足够的能力和意愿去对抗企业的特殊私人权力,从而顺利解决个人与企业之间的不对接关系。因此,该模式主张充分发挥市场的基础配置作用,强调数据生产过程中起到主要作用的是私法(如合同法及侵权法等),而私法的作用也仅仅是保障个人的选择权等数据权利,确保数据生产过程中的自发自生的数据秩序的形成。事实上,这些私法在绝大多数情况下是隐形的,主要是为个人权利的行使提供的程序性保障和事后的救济途径。
隐私权理论强调的是自我规制,其存在三个缺陷:其一,名义是赋予个人数据权利,本质是对个人施加选择的义务。面对严重的不对等关系,大量的选择负担会致使个人放弃选择、默认接受,甚至被迫同意。其二,选择权仅涉及个人的数据权利,却没有从社会关系的面向去考虑利益相关方的权利和利益,其结果必然是很难成功。其三,“暗黑模式”的盛行和“反隐私设计”的架构,甚至默认模式是个人信息的最大化收集,这都导致了个人的控制权形同虚设。于是,个人与企业之间的严重不对等权力结构形成,即企业处于绝对控制地位,而个人则处于完全被支配地位。在这种背景之下,市场的基础配置性作用必然失效,私法的权利保障功能也难以实现,由此,“隐私即选择”的逻辑也自然就完全走不通了。
由于大数据和算法很大程度上属于公共基础设施和公共品,因此既要避免出现数据资源大量“搭便车”而被无节制或低效使用等公地悲剧,更要避免出现由于数据权属的实质性障碍导致数据资源的闲置或未被充分利用等“反公地悲剧”,还要避免不确定性、失控性及去全球化等现代性风险所带来的数据垄断及数据独裁、数据安全、数据伦理、数据能力等负外部性问题。可惜的是,面对上述潜在风险,尤其是面对企业的支配性私人权力,个人既无能力又无意愿去直面问题,因此,作为隐私权模式的两大基石“市场基础配置作用”及“私法”事实上是失效的。
“现代社会的原动力是由一双重倾向支配着:一方面是市场不断的扩张,另一方面是这个倾向遭到一个相反的倾向——把市场之扩张局限在一个特定的方向——的对抗。这一对抗自律性市场危害性的社会保护倾向非常重要。”具体来说,作为正向运动的市场力量盲目扩张带来的数据领域的外部性问题是市场机制本身所无法解决的,这就需要一场旨在真正保护个人数据权利的反向运动。那么,这种反向运动的产生原因是什么?自生自发的市场秩序从来都是乌托邦,市场机制自身所带来的外部性和大数据所带来的巨大风险自然也不可能由市场机制本身予以化解。
于是,以政府的制度导向和公法为基石的个人信息保护模式出现了,这种模式以巨额罚款等公法规制方式为主,以私法规制方式为辅,通过政府有意识的保护性数据立法和主动的干预性手段来实现。该模式强调的是政府的强力性介入,通过人为设计或制度性导向来实现对数据风险的治理。这种模式中起主要作用的公法机制,而且往往是显性的。
以欧盟《通用数据保护条例》为例,对于个人数据权利的保护,各成员国主要通过公法机制来实现。从《数据保护指令》到《通用数据保护条例》,欧盟一直致力于建立“行业行为准则+法律强制性规范”的双重规范体系和“数据控制者自律+政府数据监管机构的监督管理”的双重管理体系,《通用数据保护条例》要求各成员国均要建立独立的数据监管机构,建构一整套数据主体向监管机构投诉、受理及处理的完备的行政救济制度框架。
我国《个人信息保护法》也特别强调公法模式,其中第六章专章规定了个人信息保护监管机构,特别强调了监管部门之间的职责分工、监管部门应履行的具体职责、国家网信部门统筹协调的具体工作、监管部门的具体执法措施、行政约谈与强制合规审计以及针对违法行为的投诉举报机制等;第七章专条规定了警告、责令改正、没收违法所得、责令暂停或者终止提供服务及罚款、责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等行政处罚方式。
(1)正向运动。当前我国在数据领域正处于一个寻求新的合法性基础的过程中,逐步走向建立法治国家,而数据治理的主线也正从国家权力之间关系向国家与社会之间关系进行转型。大数据和算法在这个数字化转型过程中深刻影响和重塑了国家和社会的关系:一方面,数据流动及利用对国家和社会进行了赋权。国家通过大数据可以提升数据治理质量和效率,而转型后的数据治理模式又能反哺社会,使数字社会中的所有成员都能最终受益。另一方面,数据社会形成过程中产生的“均权效应”又带来了非歧视性和公益性。由此,大数据重塑了一种国家和社会之间的治理递归关系,而数据治理也正在经历着国家向社会放权和扩权的正向运动。
(2)反向运动。随着监管缺失带来了数据产业的“野蛮生长”机会,这使得很多企业在短时间内实现了数据领域的“非法兴起”,其后果是法律风险和技术风险的集中爆发,如数据垄断和不正当竞争的出现、风险决策机制的缺失、国家数据能力的极大挑战等。
有学者认为,国家建构、法治和负责任政府是现代国家的三大基本要素,而国家建构能力是其中的前提,法治和问责制都建立在国家建构的基础之上。随着平台企业试图用数据技术能力替代国家的认证能力,用数据垄断能力冲击国家数据能力时,国家必然选择对数据平台企业进行控制和监管,必然会改变“强社会、弱国家”状况,启动一场从社会向国家集权的“反向运动”。
(3)合作治理的形成。数字社会之下,政府规制难以解决各种复杂的数据领域问题,强化个人、企业、市场的自我治理的意识极为重要。因此,如何在数据领域引导私人主体积极主动地展开自我规制,将成为数据治理模式成功与否的关键之一。但仅靠市场和社会的力量无力解决数据公共品、数据垄断和信息不对称等外部性问题,政府通过各种强力手段可以在一定程度上克服市场的失灵问题,恢复数据要素市场的主要功能,并有助于实现数字社会福利最大化。但无效调节、无力调节以及过度调节等原因导致的政府失灵在数据治理领域也客观存在。
因此,面临着数字社会带来的不确定风险,需要在数据领域重构一个以多元、开放、分享为基本特征的合作治理体系,市场、社会及国家这三种治理机制循环往复,时而正向运动,时而反向运动,共同形成一个整体的双重双向治理生态。具体而言,需要处理好政府与市场、政府与社会等两大关系,即为了实现数据治理的目标,代表社会的私方主体和代表国家的行政主体之间采取各种手段在数据领域分享监管权力和分担监管义务,实现自我规制和政府规制之间的融合。
数据领域的合作治理的理想模型应当具有如下特征:
第一,以解决问题为导向。笔者认为,我国应当致力于建立“立法性强制规范+行业行为准则”的双重规范体系和“数据监管机构的监督管理+数据处理者自我规制”的双重管理体系。数据治理必须超越“告知—同意”规则,从关系的角度重构数据治理的中国模式。
第二,利害相关人的全面、全方位参与。在数字社会中,合作治理强调数据主体及数据处理者等对数据关系的全方位参与,这不仅充分表现在数据治理政策及规则的制定上,也表现在数据监督及数据执法活动上;既表现在数据治理问题的发现上,更表现在问题的解决方案上。这不仅能解决数据治理的民主缺失性问题,而且也能通过数据影响评估和风险决策中的公众参与,更好地解决人脸识别等数据处理技术的“社会可接受性”议题。如《数据安全法》提出的数据安全协作机制,推动有关部门、行业组织、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全的良好环境。又如《数据安全法》提出的行业协会的自律机制,包括制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平。
第三,实时调整的创造性解决方案。数字社会的高度不确定性决定了数据治理体系的高弹性及相应解决方案的临时性,这要求各方治理主体保持不间断的对话,在定期的数据影响评估和风险监测及识别中作出反思性的风险决策,在制定和实施创造性解决方案的过程中不断回应和修订,并在此基础上进行实时调整。与传统的监管相比,数据领域的合作治理促进了治理规则和解决方案的质量和正当性,为界定数据治理问题、设计创造性解决方案及实时性调整提供了制度空间。
第四,超越公私之分的法律义务。因国家向社会、市场的正向运动而形成的合作治理,实质上使得数据平台企业承担了很多“公法上的义务”,在法律上表现为数据平台企业的“自我规制”,由此数据领域的合作治理超越了传统公私角色及监管者与被监管者的严格边界,数据平台企业也因此事实上获得了私法权力,并应当承担相应的公法义务。如《个人信息保护法》规定的“守门人责任”,具体包括建立数据合规制度体系,成立独立监督机构;制定明确个人信息的处理规范和保护义务的平台规则;建立平台内停止提供服务规则;定期发布个人信息保护社会责任报告机制。
第五,政府的灵活定位。政府不再是唯一的监管者或治理者,政府更多地起到的是合作治理或公私协力的召集者、程序的推动者和掌控者、多方利益的调和者等角色。政府既是企业自我规制标准的制定者和监督者、数据影响评估和决策中公众参与的召集者和协调者,也是数据违法违规行为的裁判者和处罚者,还是企业自我规制失败后的政府规制的重启者和法律后果的最终承担者。
有一个“路灯下找钥匙”故事:警察看见醉汉在路灯下找东西,于是问在找什么?醉汉说,找钥匙但把钥匙丢在公园了。警察又好奇地问,那为何一直在路灯下面找?醉汉回答说,因为这里有光啊。这个故事也同样适用于数据治理领域,学术界和实践界都清楚“信息自决权”这个钥匙不可能在“告知—同意”规则这个灯光下找到,但大家依然乐此不疲地找钥匙,仅仅因为“这里有灯”,受到所有人的关注?事实上,大家要找的不仅是一个钥匙,而是一把有好几个钥匙的钥匙串。数据治理不仅关注企业和个人之间的不对等的特殊私人权力关系,也应关注数据主体客体化,数据生产关系中的不平等关系,以及关注数据垄断和不正当竞争等问题,数据治理更要关注数据流动及数据要素市场所需要的法律环境和社会环境。
那么,能否改弦易辙,从“社会关系”这个“公园”去找到所需要的钥匙串呢?除了已出台的《个人信息保护法》和《数据安全法》等法律之外,笔者认为,我国未来非常有必要制定一部意在促进数据流动的“数据治理法”。我国数据立法面临的并不是一个“选边站”的问题:选择“个人权利保护”,抑或选择“数据流动和数字经济的发展”。其实,我国数据立法面临的是“平衡”问题,即在兼顾二者的基础上,决定指针应当稍稍偏向于哪一方,但绝对不能出现天平失衡的问题。
笔者认为,我国未来的“数据治理法”应当走出“数据权利理论”的窠臼,要超越“告知—同意”规则,突破个人与企业的封闭式法律框架。应当基于关系重构中国的数据治理框架,这不仅是基于个人和企业之间横向数据关系的治理,还是基于个人和社会之间纵向数据关系的治理,而数据关系中的公共利益则应该处于优先地位。与此同时,还要逐渐走出以对抗和竞争为特征的零和博弈的泥淖,强调数据关系中各主体之间的信任关系,并在此基础上进一步实现多方和多元的合作治理。
《数字法治》由最高人民法院主管、人民法院出版社主办,是面向海内外公开发行的全国性数字法治领域的学术期刊,逢双月出版。本刊恪守求新、务实、严谨的理念,弘扬兼容并蓄的学术传统,注重网络法治、数据法治、智能法治等相关领域的重大理论与实践问题,旨在推动贯彻实施网络强国战略,加快数字中国、法治中国建设的理论研究,为推进中国式现代化提供有力的学术理论支撑。
