一��、2018�����,數(shù)據(jù)治理的灰色之年?
數(shù)據(jù)泄露���、濫用、歧視這些負(fù)面事件如同天空中的陰霾����,不斷加深著人們對數(shù)據(jù)治理的悲觀情緒���。
的確�,這一年被數(shù)據(jù)泄露貫穿始終���,規(guī)模日益擴(kuò)大�。從上一年末�,美國最大的三家個人征信機(jī)構(gòu)之一Equifax數(shù)據(jù)泄露,到年中中國最大的多品牌酒店集團(tuán)——華住數(shù)據(jù)泄露,再到上周萬豪酒店集團(tuán)的數(shù)據(jù)泄露,每次數(shù)據(jù)泄露的規(guī)模均在億級以上;數(shù)據(jù)泄露之后的濫用問題也在持續(xù)升級。Facebook丑聞中����,“劍橋分析”公司涉嫌利用來自Facebook的用戶數(shù)據(jù)影響多國大選�,美國國會到目前為止已連續(xù)召開十三場聽證會��,深度拷問平臺的數(shù)據(jù)處理規(guī)則����;國內(nèi)媒體爆出的 “大數(shù)據(jù)殺熟”現(xiàn)象����,讓經(jīng)濟(jì)學(xué)上的價格歧視問題被拋向更廣泛的公眾視野。現(xiàn)實(shí)中,平臺利用大數(shù)據(jù)來攫取消費(fèi)者剩余是廣泛存在的么?如果是�,監(jiān)管者和消費(fèi)者又該如何應(yīng)對��?
除了牽動普通消費(fèi)者的數(shù)據(jù)焦慮,國家層面的數(shù)據(jù)安全也在面臨全新挑戰(zhàn)。3月美國Cloud法案出臺���,美國單邊提出了新的跨境數(shù)據(jù)執(zhí)法框架,盡管這是對傳統(tǒng)低效的跨國執(zhí)法合作機(jī)制的一種探索改變,但仍然增加了一國數(shù)據(jù)安全的不確定性。
問題本身讓人沮喪�,但更令人沮喪的是���,我們似乎還未找到開啟答案的鑰匙����。
?
二�����、歐盟GDPR��,灰暗中的希望?
5月25日,歐盟GDPR正式生效��,為數(shù)據(jù)治理帶來新的曙光��。歐盟版解決方案堅(jiān)守保護(hù)公民基本權(quán)利理念,全面提升個人數(shù)據(jù)保護(hù)力度��,對幾乎所有數(shù)據(jù)處理環(huán)節(jié)建立了嚴(yán)格規(guī)則�����,以實(shí)現(xiàn)對個人的極致保護(hù)���。
事實(shí)上�,在2016年4月GDPR正式頒布后的兩年過渡期內(nèi)�,GDPR帶給數(shù)據(jù)治理的積極影響已在不斷顯現(xiàn)。它促使企業(yè)��、政府、醫(yī)院����、學(xué)校等任何開展個人數(shù)據(jù)處理的機(jī)構(gòu)�,在數(shù)據(jù)保護(hù)方面給予更多的投入����。以2017年的調(diào)查為例:富時350指數(shù)公司平均為GDPR增加43萬英鎊的支出,世界500強(qiáng)企業(yè)平均增加100萬美元[1]�。更重要的是���,GDPR推動了全社會更加關(guān)注個人數(shù)據(jù)保護(hù)問題��,在過去的兩年,我國政府部門、消費(fèi)者協(xié)會針對隱私政策開展了多次評測活動�,引導(dǎo)企業(yè)��、機(jī)構(gòu)不斷提升數(shù)據(jù)處理活動的透明性[2]。
(一)但作為制度新生兒����,GDPR本身也帶來許多爭議和尚待細(xì)化的領(lǐng)域�,其中典型包括:
1. 寬泛的域外適用范圍�����,不僅對歐盟各成員國的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)帶來執(zhí)法挑戰(zhàn),同時在學(xué)界也引起了公法�����、國際法學(xué)者的質(zhì)疑����。GDPR生效后,有許多中小企業(yè)因?yàn)閾?dān)心過高的法律風(fēng)險����,宣布停止向歐洲地區(qū)服務(wù)�����,而部分企業(yè)則實(shí)時調(diào)整了商業(yè)模式,以華盛頓郵報(bào)為例�����,索性在歐盟推出收費(fèi)版本�����。正如其宣傳詞所說:“請支持偉大的新聞業(yè)”�����。如果郵報(bào)不能通過用戶cookie來實(shí)現(xiàn)廣告收入,則用戶應(yīng)當(dāng)為新聞內(nèi)容直接付費(fèi)����。
對此,英國讀者向英國個人信息保護(hù)主管機(jī)構(gòu)ICO(Information Commissioner's Office)提出投訴。按照GDPR所規(guī)定的寬泛的適用范圍���,只要向歐盟境內(nèi)個人提供服務(wù),并處理個人數(shù)據(jù),則大概率會落入GDPR管轄,由此ICO對該投訴予以立案調(diào)查����,但頗為尷尬的是����,ICO僅以公告的方式提出華盛頓郵報(bào)的收費(fèi)版模式違反了GDPR關(guān)于用戶同意有效性的規(guī)定(因?yàn)橛脩魶]有其他選擇)����,但I(xiàn)CO對于該事件的調(diào)查也只能止步于此,ICO現(xiàn)有的執(zhí)法資源還難以處理類似域外案件[3]。
除了現(xiàn)實(shí)中這些域外管轄帶來的難題���,在學(xué)者的眼中,GDPR中寬泛的適用范圍在國際法領(lǐng)域帶來了不好的先例。特別是其對于屬人管轄的特別延展,缺乏正當(dāng)化和合理化的依據(jù),并加劇數(shù)字經(jīng)濟(jì)背景下國際公法領(lǐng)域的糾紛沖突。
2. GDPR引入的個人權(quán)利也陷入與其他基本權(quán)利的緊張沖突之中���。包括被遺忘權(quán)與知情權(quán)��、言論自由權(quán)的沖突,數(shù)據(jù)可攜權(quán)與競爭法的沖突��。
3. GDPR數(shù)據(jù)處理可解釋性的要求對人工智能產(chǎn)業(yè)�,特別是對深度學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)提出嚴(yán)峻挑戰(zhàn)���,也使得歐盟包括自動駕駛在內(nèi)的AI產(chǎn)業(yè)的發(fā)展陷入了更多困境;4. 與區(qū)塊鏈技術(shù)的范式完全相反���。區(qū)塊鏈本質(zhì)核心是分布式、去中心化的��,而GDPR的制度范式卻承襲了之前歐盟1995指令中心化的規(guī)范范式(即制度規(guī)范都指向核心的數(shù)據(jù)控制者和數(shù)據(jù)處理者)����。根據(jù)歐盟委員會和法國數(shù)據(jù)保護(hù)機(jī)構(gòu)的觀點(diǎn)�����,新興的區(qū)塊鏈技術(shù)也必須要適用GDPR�����。因此,在未來GDPR和區(qū)塊鏈的技術(shù)之間����,仍將繼續(xù)存在極大的合規(guī)差距����。盡管從技術(shù)眼光看�����,區(qū)塊鏈完全可以為數(shù)據(jù)保護(hù)提供一種新的技術(shù)解決方案����。
?����。ǘ┒S著GDPR的執(zhí)行推進(jìn)�����,有越來越多的現(xiàn)象和實(shí)證數(shù)據(jù)顯示�����,GDPR實(shí)施對于歐盟數(shù)字經(jīng)濟(jì)競爭力帶來了顯著的負(fù)面效應(yīng)�����,這甚至是歐盟立法者當(dāng)初在打造GDPR時未曾預(yù)料到的。
1. GDPR嚴(yán)格的合規(guī)要求鞏固了大企業(yè)的優(yōu)勢地位����。大企業(yè)更有實(shí)力和資源投入合規(guī)工作����,而中小企業(yè)被迫退出市場��,無形中為大企業(yè)收割市場提供了便利���。以在線廣告市場為例���,GDPR生效以后��,谷歌由于具有更強(qiáng)的合規(guī)力量和產(chǎn)業(yè)引導(dǎo)力,其市場份額進(jìn)一步增加[4]��;在云計(jì)算行業(yè),亞馬遜AWS�����、微軟Azure等領(lǐng)導(dǎo)者在第一時間內(nèi)表示可以充分滿足GDPR的合規(guī)要求��,對比之下����,云計(jì)算市場的中小玩家卻在合規(guī)競爭力上難以同步����。
2. 半年來的經(jīng)濟(jì)數(shù)據(jù)證實(shí)GDPR對歐洲科技創(chuàng)新帶來不利影響���。上月�����,美國知名經(jīng)濟(jì)學(xué)研究機(jī)構(gòu)NBER發(fā)布了一份權(quán)威研究報(bào)告�����,其采用嚴(yán)謹(jǐn)?shù)挠?jì)量經(jīng)濟(jì)學(xué)方法和真實(shí)的歐洲市場活躍度數(shù)據(jù)表明,在GDPR生效的半年以來��,其對于歐洲的創(chuàng)新企業(yè)的發(fā)展負(fù)面作用非常明顯����,尤其是在中小企業(yè)融資的筆數(shù)、融資量方面�����,歐洲的中小企業(yè)陷入了融資的困境��。
以上充分顯示了GDPR的二維兩面性�����。它在為個人權(quán)利保護(hù)帶來積極力量的同時,也對技術(shù)創(chuàng)新和持續(xù)發(fā)展產(chǎn)生了令人無法忽視的負(fù)面效應(yīng)����。這表明,對于數(shù)據(jù)治理,我們?nèi)孕枰剿骶烤谷绾卧O(shè)計(jì)制度規(guī)范����,以承載我們更多的期望目標(biāo)�����。
三、美歐隱私政策在走向融合趨同么?
盡管美國43個州和特區(qū)均制定了數(shù)據(jù)泄露通知法案�����,但從Equifax到萬豪集團(tuán)���,美國一年來從未走出數(shù)據(jù)泄露的夢魘�����。而今年4月��,F(xiàn)acebook數(shù)據(jù)泄露事件也將數(shù)據(jù)治理問題推向了最高潮,美國海內(nèi)外已經(jīng)舉辦數(shù)十場聽證會,全方位深度拷問平臺數(shù)據(jù)處理規(guī)則。
這過去一年來的聽證會����,深度卷入了各大科技公司�、消費(fèi)者代表��、隱私保護(hù)監(jiān)管機(jī)構(gòu)�����、立法者(包括歐盟GDPR和加州隱私法立法重要參與者)���。通過各方的質(zhì)詢、回應(yīng)、討論�、激辯�����,將數(shù)據(jù)治理議題推向縱深,美國的數(shù)據(jù)治理框架也逐步浮現(xiàn):
一方面,以加州為代表的各州對隱私保護(hù)制度進(jìn)行完善����。今年6月�,加州率先推出了消費(fèi)者隱私權(quán)利保護(hù)法案(California Consumer Privacy Act��,CCPA),這是美國目前最為嚴(yán)格的隱私法��。
另一方面,在國會兩院關(guān)于制定一部統(tǒng)一的聯(lián)邦隱私法的呼聲日益高漲,并得到了美國兩黨�、科技行業(yè)的一致支持?��,F(xiàn)在的問題不再是是否需要制定聯(lián)邦層面的隱私保護(hù)法�,而是應(yīng)該制定一部什么樣的聯(lián)邦隱私保護(hù)法�。
面對美國隱私立法最新變化趨勢,我們不禁要問:以加州隱私法為代表的州立法是否是美歐隱私立法走向融合趨同的前兆,預(yù)示著崇尚市場自由的美國也如歐洲一樣開始側(cè)重對個人權(quán)利的保護(hù)��?
回答這個問題��,我們需要首先厘清美歐這兩大主導(dǎo)全球數(shù)據(jù)保護(hù)政策的體系之間的關(guān)系�。
長久以來�����,美歐數(shù)據(jù)保護(hù)政策體現(xiàn)著明顯的差異:歐盟主張統(tǒng)一和嚴(yán)格立法�,而美國傾向分散和寬松立法�����;歐盟強(qiáng)調(diào)政府部門對于個人信息保護(hù)的監(jiān)管權(quán)力��,而美國則主張政府的有限干預(yù)�����。這些差別反映了二者對于個人信息保護(hù)政策基礎(chǔ)理念的分歧�����。
當(dāng)然,在根本分歧之外��,美歐之間也有政策的相互借鑒部分�。例如:數(shù)據(jù)泄露通知制度最早發(fā)端于美國,之后被歐盟數(shù)據(jù)保護(hù)法迅速吸收�����;而在被遺忘權(quán)方面�,美國也在一定程度上借鑒了其合理部分,比如在加州兒童隱私保護(hù)法中�,對兒童這一敏感群體����,賦予了更為強(qiáng)大的刪除權(quán)利����。而這次加州率先在全美推出了更為嚴(yán)格的數(shù)據(jù)保護(hù)制度,仍然是美歐政策的互動學(xué)習(xí)的結(jié)果�����,但這并不代表著美歐數(shù)據(jù)保護(hù)政策走向趨同�����。
因?yàn)榧词故亲顬榧みM(jìn)的加州消費(fèi)者隱私保護(hù)法案(CCPA),也比GDPR要寬松很多���,也更加注重消費(fèi)者保護(hù)的實(shí)際效果和促進(jìn)企業(yè)發(fā)展,技術(shù)創(chuàng)新之間的平衡。這最顯著地體現(xiàn)在以下三方面:
第一�����,CCPA更大程度上豁免了中小企業(yè)。CCPA僅涵蓋收入超過2500萬美元的企業(yè)�,以及銷售大量個人信息的數(shù)據(jù)經(jīng)紀(jì)人�����。而GDPR下,幾乎所有任何規(guī)模的實(shí)體都受約束���,市場里的所有玩家都必須遵守幾乎相同的高標(biāo)準(zhǔn)的合規(guī)要求,這也解釋了為什么GDPR生效后為什么會帶來對中小企業(yè)帶來了市場的負(fù)面扭曲效應(yīng)���。
第二,加州隱私法仍然保持了美歐個人數(shù)據(jù)保護(hù)法的最大差異�����,延續(xù)了opt-out原則���。具體而言���,依據(jù)GDPR����,在絕大多數(shù)商業(yè)化場景下公司收集、處理消費(fèi)者個人數(shù)據(jù)之前必須要獲得消費(fèi)者的同意���,即“opt-in”模式;而在加州消費(fèi)者隱私法中�����,對于16歲以上的消費(fèi)者的大部分的個人信息處理���,采取美國一以貫之的“opt-out”模式��,即除非用戶拒絕或退出,則公司可以繼續(xù)處理用戶的個人信息。這體現(xiàn)了美國一直以來在數(shù)據(jù)保護(hù)方面的務(wù)實(shí)思路?����!皁pt-out”模式對消費(fèi)者而言更為真實(shí)有用�����,同時對新進(jìn)入市場的企業(yè)的發(fā)展阻礙也更小����。
第三��,在同意機(jī)制上�����,加州法相比于嚴(yán)格剛性的GDPR,體現(xiàn)出靈活彈性的特征。正如我們在上面所介紹的華盛頓郵報(bào)的例子,依據(jù)GDPR,企業(yè)在無法通過行為廣告來補(bǔ)貼業(yè)務(wù)的情況下,選擇直接向用戶收費(fèi)模式����,則難以滿足GDPR關(guān)于同意是消費(fèi)者自由�����、自主選擇的要求。而對于此問題,加州法專門留出彈性空間�����,其規(guī)定:消費(fèi)者行使了本法規(guī)定的隱私權(quán)利����,企業(yè)不得有歧視對待����,但是:如果該價格或差異與消費(fèi)者數(shù)據(jù)所提供的價值直接相關(guān)�����,則企業(yè)還可以向消費(fèi)者提供不同的價格,不同費(fèi)率�����,不同的品質(zhì)的商品或服務(wù)����。可見加州隱私法仍然更多地保留了市場彈性,允許企業(yè)探索其他可行的商業(yè)模式����。
而從聯(lián)邦層面來說����,盡管目前統(tǒng)一的聯(lián)邦隱私立法呼聲極高���,但因?yàn)槊绹髦莶町惥薮?�,能在?lián)邦層面達(dá)成共識的隱私立法不會過于詳實(shí),具體的執(zhí)法細(xì)則應(yīng)根據(jù)各州的具體情況進(jìn)行規(guī)定��,不會像GDPR那般嚴(yán)苛����。因此,在數(shù)據(jù)保護(hù)領(lǐng)域�����,美國與歐盟仍保持了不同風(fēng)格的法律特征�����,歐盟GDPR并不是當(dāng)前數(shù)據(jù)治理領(lǐng)域的唯一范本�。
四�����、數(shù)據(jù)治理�����,期待更為精細(xì)和科學(xué)化的政策平衡和歐美在數(shù)據(jù)治理領(lǐng)域的制度探索一樣,我國也正面臨同樣的制度智慧考驗(yàn)��。民法典分編——《人格權(quán)》草案已正式從底層制度嘗試回應(yīng)隱私和數(shù)據(jù)保護(hù)問題�����,《個人信息保護(hù)法》�、《數(shù)據(jù)安全法》也已列入本屆人大的立法日程�����。
對于歐美提供的制度樣板,我們難以作出孰優(yōu)孰劣的價值判斷。因?yàn)槿魏翁囟ǖ姆芍贫龋际墙⒃谔囟ㄉ鐣臍v史背景下�����,決定于特定的文化�����、經(jīng)濟(jì)����、社會背景����。
但任何良好的政策設(shè)計(jì)必須充分考慮各種因素�,數(shù)據(jù)治理政策也不例外����。在過去的20年中,我們越來越深刻的感受到政策討論背景的歷史變化——“個人信息保護(hù)”話題的邊界正在不斷擴(kuò)展�,向內(nèi)涵更加豐富的“數(shù)據(jù)治理”轉(zhuǎn)變�����。
個人信息作為傳統(tǒng)法律保護(hù)的客體,一直處于靜態(tài)而穩(wěn)定的法律關(guān)系之中�����。不論是歐盟視作基本人權(quán)����、還是美國作為消費(fèi)者權(quán)利保護(hù),權(quán)利保護(hù)的法律邏輯一直是清晰的�����。
然而���,隨著云計(jì)算����、物聯(lián)網(wǎng)�����、AI的快速發(fā)展��,數(shù)據(jù)資產(chǎn)在經(jīng)濟(jì)、社會活動中的核心和輻射作用愈發(fā)凸顯?!皵?shù)據(jù)治理”正在以更宏大的議事命題浮現(xiàn)�,形成了圍繞數(shù)據(jù)資產(chǎn)的隱私保護(hù)�����、創(chuàng)新競爭��、安全主權(quán)等更復(fù)雜化、更多維的公共政策討論場。
這些復(fù)雜因素代表了從三個視角出發(fā)的利益訴求:
? ? ? ?第一、 從個人視角出發(fā)的權(quán)利保護(hù)訴求�����;
? ? ? ?第二����、 從產(chǎn)業(yè)視角出發(fā)的創(chuàng)新、發(fā)展�����、競爭需求�����;
? ? ? ?第三、 從國家視角出發(fā)的數(shù)字經(jīng)濟(jì)國際競爭力和數(shù)據(jù)主權(quán)安全需求�。
以上三個視角并不是孤立存在的�,而是彼此緊密聯(lián)系����、互動影響。這決定了我們當(dāng)下的數(shù)據(jù)治理政策���,也應(yīng)當(dāng)采用多維的思維進(jìn)路,從個人權(quán)利保護(hù)����,產(chǎn)業(yè)發(fā)展創(chuàng)新����,以及國家數(shù)據(jù)安全和競爭力進(jìn)行充分考慮和推演,任何從單點(diǎn)角度出發(fā)考慮的政策必定會帶來不合理的結(jié)果�。例如����,從個人視角出發(fā)的GDPR盡管賦予了個人強(qiáng)大的權(quán)利��,但在實(shí)踐中��,反而帶來了大平臺更加鞏固市場地位、抑制產(chǎn)業(yè)競爭活力的后果����,愈加集中的市場最終會給個人隱私保護(hù)帶來更小的選擇空間����。
特定的數(shù)據(jù)治理政策會同時帶來正負(fù)面效應(yīng)���,這是大量的隱私經(jīng)濟(jì)學(xué)研究文獻(xiàn)所證明的通識�。例如:在雇傭市場上����,如果雇主由于隱私保護(hù)管制的原因,無法查閱到職位申請人是否有犯罪前科信息��,則雇主很可能會作出更大的歧視性選擇�����,將對特定人的歧視擴(kuò)展到對特定群體的歧視���;同理�����,如果所有消費(fèi)者都從廣告信息中選擇退出,則實(shí)際上會降低產(chǎn)品和服務(wù)的競爭度�,因?yàn)橄M(fèi)者獲得的產(chǎn)品信息更少了����;而在依賴于數(shù)據(jù)共享的科研�、醫(yī)療領(lǐng)域,過嚴(yán)的數(shù)據(jù)保護(hù)政策也會帶來整體社會福利的明顯減損[5]��。
如何平衡好數(shù)據(jù)治理政策的積極和消極影響���,并沒有一刀切的解決方案���。正如我們對美國國會系列聽證會對數(shù)據(jù)政策深度探討的外在觀察而看����,更科學(xué)的政策仍然是在充分考慮數(shù)據(jù)治理過程中的不同因素之間復(fù)雜的互動關(guān)系�����。關(guān)于未來的聯(lián)邦隱私法�,我們可以預(yù)判它最核心的制度和功能將仍然最主要依賴于聯(lián)邦貿(mào)易委員會(FTC)——一個以經(jīng)濟(jì)學(xué)專業(yè)人士為主要構(gòu)成的機(jī)構(gòu)�����,這在一定程度上決定了美國未來的聯(lián)邦隱私法���,也將會更精細(xì)地平衡數(shù)據(jù)治理的不同要素���。
我們呼吁在當(dāng)前中美數(shù)字經(jīng)濟(jì)競爭格局下��,數(shù)據(jù)治理政策的討論應(yīng)當(dāng)是多維框架、多因素互動的模式,增強(qiáng)來自產(chǎn)業(yè)界���、監(jiān)管界和學(xué)界的互動和討論,用更開放的視角,更精細(xì)化和科學(xué)的方式設(shè)計(jì)更好的政策,更有效地放大數(shù)據(jù)保護(hù)的正向能力,更小地弱化它帶來的負(fù)面的效果�,實(shí)現(xiàn)權(quán)利保護(hù)����、產(chǎn)業(yè)發(fā)展�、國家競爭力提升的多贏結(jié)果���。
