大数据时代“通过设计保护数据”的元规制

2021-11-29 01:35张涛

大连理工大学学报（社会科学版） 2021年2期

张涛

(中国政法大学法学院，北京 100088)

一、问题的提出

面对大数据给个人数据保护带来的新威胁，既有的理论和工具存在明显的不足。公平信息实践原则(Fair Information Practice Principles)提供了个人信息保护或信息隐私法的思想渊源[1]。美国隐私法专家保罗·施瓦茨(Paul M.Schwartz)曾指出，“公平信息实践是现代信息隐私法的基石”[2]。以“公平信息实践原则”为基础，个人数据保护领域发展出一系列理论和工具，如“隐私自我管理”“告知—同意”“匿名化”等。如今这些理论和工具在应对大数据背景下的个人数据保护时，却因结构性僵化而存在失灵或异化问题。已有研究表明，“隐私自我管理”不能为人们提供对其数据的有意义控制[3]；“告知—同意”产生的“全有全无”架构导致了低效率和高成本之间的不平衡[4]；“匿名化”面对“再识别”和“去匿名化”的侵袭，已经无法兑现“隐私保护承诺”[5]。

个人数据保护既有理论及工具的不足，促使理论界与实务界开始探讨新的理论及工具，以弥补缺陷。“数据保护和设计的关系”逐渐成为个人数据保护领域关注的重要课题，越来越多的研究者、政策制定者主张数据控制者应当利用代码的独特属性来加强对个人数据的保护，这就是所谓的“通过设计保护数据”(Data Protection by Design，简称DPbD)，其核心主张是在设计阶段而不是事后将个人数据保护嵌入到产品和服务中[6]。“通过设计保护数据”较早受到国外理论界的关注，相关的研究成果已经汗牛充栋，并且已经在欧盟《通用数据保护条例》第25条实现了法制化。与此相对应，国内理论界对“通过设计保护数据”的研究尚处于起步阶段，相关研究成果主要侧重于对“通过设计保护数据”的基本理论、技术方法等进行介绍[7]，几乎没有学术文献从政府规制的角度进行探讨。本文拟从政府规制的角度出发，借阐述大数据时代“公平信息实践原则”的困境以回答“为什么要引入‘通过设计保护数据’”；在此基础上，以元规制(Meta-regulation)理论为分析框架，提出建构“通过设计保护数据”的元规制模式。

二、大数据时代“公平信息实践原则”的困境

“公平信息实践原则”起源于20世纪70年代，后由经济合作与发展组织在《隐私保护和个人数据跨境流动指南》中予以修订，得以广泛传播。如今，“公平信息实践原则”已经成为世界上绝大多数国家个人信息保护法或信息隐私法的基础[8]。由于“公平信息实践原则”主要集中于信息的收集和使用，而不是针对任何特定的技术或产品，因此，其原则具有很强的灵活性和适应性。

在数字市场转型发展的几十年里，“公平信息实践原则”在维护公民隐私保护期待方面发挥了重要的作用。当前我们正处在第四次工业革命的开端，面临一场系统性变革，其特点是：同过去相比，互联网变得无所不在，移动性大幅提高；传感器体积变得更小、性能更强大、成本也更低；与此同时，人工智能和机器学习也开始崭露锋芒[9]4。可穿戴设备、物联网、云计算、云存储等技术快速发展，已经完全可以做到对个人数据的全天候记录、处理、共享和使用。大数据技术、各类算法的广泛运用，已经完全有能力将我们变成“透明人”，创造出一个数字化的“虚拟我”，即丹尼尔·索洛夫(Daniel J.Solove)所说的“数字人”(Digital Person)[10]。在这种情况下，“公平信息实践原则”面临困境，主要体现在两个方面：一方面是大数据时代个人数据保护面临一些新挑战；另一方面是“公平信息实践原则”难以应对这些挑战。

1.大数据时代个人数据保护面临新的挑战

随着个人数据的经济、社会价值不断显现，公、私部门均广泛使用信息技术来收集、处理和利用个人数据，其中包括许多“隐私侵犯技术”(Privacy-invading Technologies)[11]50。研究表明，这些“隐私侵犯技术”将给个人数据保护带来诸多挑战。这些挑战在数量、质量方面均不同于传统的隐私保护问题。数量上的不同是由于收集的数据量增加，数据交换和传输的速度越来越快，且保存期限不固定；质量上的差异则是由于数据类型的多样化蕴藏了更大的分析潜力，能够产生更大的洞察力[11]51-53。丹尼尔·索洛夫认为，信息时代个人隐私侵害多半发生于信息利用的4种方式：信息收集、信息处理、信息传播和入侵(Invasion)，而这4种利用方式，又可再详细列出共计16种隐私侵害行为类型[12]。以此为参考借鉴，从数据生命周期来看，本文认为，大数据时代个人数据保护面临的挑战主要体现在3个阶段：数据收集阶段、数据分析阶段和数据应用阶段。

(1)数据收集阶段个人数据保护面临的挑战

数据收集阶段是指利用条形码技术、射频识别技术、感知技术、智能识别技术等技术从数据源获取各种类型的结构化、半结构化及非结构化的数据。如今，公、私部门均在利用各类技术大量收集个人数据。在数据收集阶段，个人数据保护面临的挑战主要体现在以下两个方面。

第一，私营部门违法违规收集个人数据。一方面，为了对用户进行追踪，商业机构投入大量的人力、物力来研发各种追踪技术，如Cookies。Cookies引发的最大问题是在用户完全不知情的背景下，对用户行为进行跟踪、记录，包括个人偏好、兴趣爱好、购物习惯等。另一方面，随着智能手机的大面积普及，商业机构开发了诸多手机应用程序(App)，在给个人提供便利的同时，也存在违法违规收集、使用信息的现象。例如，中国消费者协会于2018年8月至10月对100款App进行了测评，发现有91款App涉嫌过度收集个人信息[13]。

第二，公共部门不合比例收集个人数据。大数据时代的来临，为政府社会沟通能力、科学决策能力、公共服务能力、危机预防能力的提升带来了机遇。但与此同时，政府巨型数据库的形成也可能对个人隐私保护造成威胁。在智慧城市建设过程中，政府部门利用物联网技术来采集数据，可以实现物品的智能化识别、定位、跟踪、监控，可以将人与人之间的通信连接到人与物、物与物之间的通信[14]。在此情况下，公民的姓名、身份证号、住址、电话号码、受教育程度、工作状况、收入水平、健康状况，甚至日常消费、社会关系等信息都将被公共部门记录下来。例如，在以“全域覆盖、全网共享、全时可用、全程可控”为目标的公共视频监控中，人脸识别技术、车辆识别技术、追踪定位技术等与视频监控一同编织了一张“天网”，可能让公民的隐私无所遁形[15]。

(2)数据分析阶段个人数据保护面临的挑战

数据分析阶段是指在进行冗余数据清洗后利用数据挖掘、机器学习、可视化分析等技术对所存储的数据进行并行计算和实时计算等，并行计算是指同时使用多个计算资源完成运算，实时运算则是对数据流进行实时处理[16]。在数据分析阶段，个人数据保护面临的挑战主要体现在以下两个方面。

第一，数据聚合建构完整的“数字人”。随着科技的发展，个人留下的数字足迹越来越多，这种数据具有累积性和关联性，尽管单个数据可能不会暴露用户的个人隐私，但随着数字足迹增多，关联性会逐步增强，即使有意识隐藏的行为也会在数据分析下被暴露出来。例如，美国数据代理商安客诚公司(Acxiom)已经在全球范围内收集了数亿名消费者的相关数据，该公司宣称，他们通过官方档案、购物数据、网上浏览习惯等渠道，为每名消费者挑选了数千个行为信号，即“属性”[17]268。

第二，身份识别将“数字人”与特定个人相联系。可识别性作为个人信息的基本特征,以识别目标为基础,可划分为身份识别和行为识别[18]。所谓的“识别”是指将信息与个人联系起来,它可以让数据控制者或处理者去进行身份验证，即访问某一数字记录的人确实是账户的所有者或该记录指向的主体。例如，在公共视频监控中，前端的人脸识别摄像头可以将实时采集的人像数据进行特征提取，然后与参考人脸数据库进行特征匹配，最后对数据主体的身份进行识别或验证。在此情况下，通过数据“聚合”建构的“数字人”就能通过“识别”与现实中的特定个人直接联系起来。这就意味着个人在线上和线下的身份将不再相互分离，几乎所有行为都会被获取、分析并分类归入网上的各个区域。

(3)数据应用阶段个人数据保护面临的挑战

数据应用阶段是指将数据分析结果运用到决策中，以使数据价值得以充分发挥。在大数据主义看来，所有决策都应当逐渐摒弃经验与直觉，并加大对数据与分析的倚重[17]93-94。在数据应用阶段，个人数据保护面临的挑战主要体现在以下两个方面。

第一，信息共享增加隐私披露的风险。在利用数据分析结果进行决策的过程中，使用者可能进行信息交换、共享，甚至是信息交易，导致个人真实信息披露的风险也随之增加。以手机App关联方信息共享为例，关联方之间普遍存在超范围共享信息，而个人对信息流动范围又缺乏控制，这可能增加隐私的风险范围、提高隐私的获取深度、弱化义务主体的法律责任[19]。

第二，信息不合目的地进行二次使用。如前所述，信息共享除了可能增加隐私披露的风险以外，还可能导致个人信息被不合目的地使用。换言之，作为信息的继受者可能突破该信息的原始使用目的，用于其他目的。丹尼尔·索洛夫认为，不合目的地使用信息，可能对个人自由和自我发展造成不利影响，原因在于这些信息可能重新塑造和定义个人的公共角色和公共形象，而这将完全不受个人控制[12]。

2.“公平信息实践原则”难以应对数据保护挑战

“公平信息实践原则”主要包括如下子原则：采集限制原则、数据质量原则、目的说明原则、限制使用原则、安全性原则、个人参与原则、责任担当原则。由于这些保护数据的方法和原理是建立在当时的科技背景之下，因此很有必要重新检视这些原则在大数据时代是否存在实施障碍和困难。事实上，对“公平信息实践原则”进行批判和质疑并非新鲜事。早在该原则提出之初，美国学者詹姆斯·鲁尔(James Rule)等人就批判“公平信息实践原则”未能有效地限制监控系统。他们将“公平信息实践原则”归类为“效率”原则，其目的是最大限度地消除数据控制者与数据主体之间的冲突，而不是实质性地限制数据收集，使其违背数据控制者的利益[8]。

此外，还有一些学者对以“公平信息实践原则”为基础而形成的一些理论和工具进行了批判。丹尼尔·索洛夫认为，“隐私自我管理”根源于“公平信息实践原则”，并且被广泛认可和接受。然而，“隐私自我管理”却存在诸多不足，主要体现在两个方面：一是认知问题，主要涉及人类决策方式带来的挑战；二是结构问题，主要涉及隐私决策如何设计带来的挑战。这些问题共同表明，仅凭该理论尚不足以构成有效隐私规制框架的基石[3]。美国学者弗雷德·凯特(Fred Cate)认为，以“公共信息实践原则”为基础建构的隐私保护框架之核心是“控制”，实践证明，基于控制的数据保护制度难以发挥作用，隐私并没有得到更好的保护，相反，纷至沓来的“告知”可能只会给人带来一种隐私增强的错觉，但实际却大相径庭[20]。

在实践中，“告知—同意”是实施“公平信息实践原则”的重要工具，目前已经深深地植根于现有制度和商业实践中。信息隐私权的核心就是由个人决定自己信息的收集和使用，“告知—同意”正是为了增强个人对信息的控制能力，其背后的正当性基础是“个人信息自决权”。所谓“告知”就是条款陈述，通常体现为“隐私政策”；“同意”则是表示接受条款的行为，通常表现为“使用网站”或单击“我同意”按钮。“告知—同意”在运行时，通常有两条隐含的假设作为论据：一是当“告知—同意”充分执行时，可以确保用户能够在知情的情况下，自由地决定同意数据控制者收集、使用数据；二是个人“同意”的决定是个人隐私和数据控制者利益之间达成可接受平衡的结果。换言之，只要“告知”充分地描述了企业的行为，阅读并理解它的用户就能对这些行为有足够的认识。

然而，“告知—同意”在实际运行时，却面临如下困境。一是未形成有效的“告知”。很多网站或应用程序的隐私政策和文件冗长而繁琐，表述拗口难懂，同时，在冗长繁琐的隐私条款中，不公平的“霸王条款”往往隐含在字里行间。二是难以形成有效的“同意”。一方面，用户很难有耐心阅读冗长复杂的隐私条款，即使阅读完，也可能难以理解其真实含义，难以对企业的行为作出符合“成本—效益”的判断；另一方面，目前大部分隐私政策均是点击合同，若用户不点击“同意”，则无法进行下一环节的注册或获得相关服务，用户由于对相关服务的依赖性而被动选择。“告知—同意”异化的结果是，掌握数据的企业机构在个人信息保护方面责任淡化，只要得到了“本人同意”，数据怎么处理使用都可以，这种不平衡的个人信息保护架构实际上架空了个人信息保护体系[4]。

三、作为数据保护新原则的“通过设计保护数据”

大数据时代，个人数据保护面临新的挑战，而既有的“公平信息实践原则”存在明显的不足，个人对其数据的有效控制能力大大降低。为了切实保护个人数据权利，同时又促进数据流动，数据保护领域开始探索一些新的理论和工具来弥补既有数据保护框架之不足，最具代表性的便是“通过设计保护数据”。

1.“通过设计保护数据”的内涵界定

就“通过设计保护数据”这一术语而言，有两个核心概念：设计和(个人)数据。为了更为准确地把握“通过设计保护数据”的内涵，有必要对与之相关的一些基础性概念进行阐述。

(1)何为“个人数据”

数据保护的实质范围取决于所处理的个人数据，在我国法制语境中，主要使用“个人信息”这一术语。本文认为，在个人数据保护的语境下，个人信息与个人数据之间并无本质区别，这也是诸多国际性文件将二者混用的原因。有关个人数据的定义，国内外立法基本上均以“可识别性”作为核心要素[18]。我国《个人信息保护法草案(征求意见稿)》第4条第1款将个人信息界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。欧盟《通用数据保护条例》第4条第1款将“个人数据”界定为“与已识别或可识别的自然人相关的任何信息”。

分析上述定义，我们可以将个人数据分解为4个要素：第一个要素是“任何信息”或“各种信息”，这表明不管数据的内容或格式如何，都涵盖了广泛的(数字)数据类别；第二个要素是“自然人”，该要素强调了数据保护的个人性质，并将某些类型的数据排除在外，如仅与公司或已故人士有关的数据；第三个要素是“有关”或“相关”，当数据是关于某个个体的数据，就可以认为该数据与该个体是相关的，而该个体可能是以内容、目的或结果等形式呈现；第四个要素是“可识别性”，即可以通过姓名、网络标识符、身份证号码等因素识别特定个人。

(2)何为“设计”

在不同的语境中，“设计”具有不同的含义。王受之将“设计”界定为“把一种设计、规划、设想、问题解决的方法，通过视觉的方式传达出来的活动过程”[21]。事实上，设计的含义和作用对不同的公司、不同的产业、不同的国家和不同的时代而言都是不一样的，这取决于待做工程的规模、技术的复杂程度、法律的规制和政治的敏感程度。在不同的环境中，设计的称谓也各不相同，造型、工程、策划、艺术指导、公司战略，这些在某种程度上都可以是设计[22]16。在与个人数据相关的技术工程领域，“设计”通常是指一个系统是如何架构的、如何运行的、如何通信的，以及该体系架构、功能和交流是如何对人产生影响的[23]12。

(3)何为“通过设计保护数据”

“通过设计保护数据”作为一个法律术语，主要来自欧盟《通用数据保护条例》第25条，它与“通过默认保护数据”(Data Protection by Default)是两个相辅相成的概念。如果“通过设计保护数据”得到彻底实施，那么数据主体也将从“通过默认保护数据”中获得更多益处。根据欧盟《通用数据保护条例》第25条第1款的规定[24]，“通过设计保护数据”大致具有以下几层含义。

首先，数据控制者有义务在数据处理过程中采取适当的技术性和组织性措施以及必要的保障措施(Safeguards)。从广义上讲，“技术性和组织性措施以及必要的保障措施”可以理解为数据控制者在处理过程中可能采用的任何方法或手段，从采用先进的技术解决方案到人员的基本培训。根据数据处理的不同场景和风险，这些措施主要包括：个人数据的假名化(Pseudonymization)；以结构化的、机器可读的格式存储个人数据；使数据主体参与数据处理；提供关于个人数据存储的信息；安装恶意软件检测系统；对员工进行基本的“网络安全”培训等。“适当的”意味着上述措施应适合于实现预期目的，即它们必须有效地实施个人数据保护原则。

其次，设计应当能够有效实施数据保护原则，保护数据主体的权利和自由。“有效性”(Effectiveness)是通过设计保护数据概念的核心，它意味着数据控制者必须实施必要的措施来保护数据基本原则，以确保数据主体的权利，每项实施的措施都应产生数据控制者所预见的处理的预期结果。具体而言，主要包括两个方面：一方面，这意味着《通用数据保护条例》第25条并不要求实施任何具体的技术性和组织性措施，而是说所选择的措施和保障措施应当具体到将数据保护原则落实到有关的具体处理中；另一方面，数据控制者应当能够证明数据保护原则得到了维护。

再次，设计过程必须考虑一系列因素，这些因素要有助于确定某项措施是否适合有效实施数据保护原则。这意味着因素本身并不是目标，而是为达到目标需要综合考虑的。具体而言，主要包括以下因素。一是“技术发展最新水平”(State of the Art)，这意味着数据控制者在确定适当的技术性和组织性措施时，应当考虑市场上现有的先进技术。二是“实施成本”，这意味着数据控制者可以选择时间、人力资源花费较小的措施来实施数据保护原则，但这并不是数据控制者不实施数据保护原则的理由。三是“处理的性质、范围、场景和目的”，其中，“性质”是指处理的内在特征，“范围”是指处理的规模和幅度，“场景”是指处理的环境，可能影响数据主体的期望，而“目的”则是指处理的目标。四是“处理给自然人的权利和自由带来不同程度的风险”，数据控制者必须识别违反数据保护原则给数据主体权利带来的风险，并确定其可能性和严重性，以便采取措施有效降低识别的风险。

最后，设计过程必须符合一定的时间要求。具体而言，其包括两个方面的内容。一是设计必须在“确定处理手段期间”着手，即数据控制者决定如何进行处理、处理的方式以及进行处理的机制的这段时间。二是设计必须贯穿于整个“实施处理阶段”，即设计一旦处理开始，数据控制者就必须保持最新的技术水平，评估数据保护风险，有效地实施数据保护原则，以保护数据主体权利。

2.“通过设计保护数据”的理论渊源

“通过设计保护数据”并非无源之水，它的提出和发展是对已有理论、原则的继承、完善和创新。“通过设计保护数据”的理论渊源主要包括“通过设计保护隐私”(Privacy by Design)和“代码即法律”(Code as Law)。

(1)“通过设计保护隐私”

“通过设计保护隐私”最早是由加拿大安大略省前信息和隐私专员安·卡沃基安(Ann Cavoukian)于20世纪90年代提出的，随后迅速引起国际社会的广泛关注。荷兰学者德米特里斯·克里特(Demetrius Klitou)认为，“通过设计保护隐私”是指通过设备、系统、技术或服务的物理设计、技术指标、体系结构、计算机代码的适用，来实现隐私原则及其相关规则的价值[11]262。根据安·卡沃基安的总结，“通过设计保护隐私”主要包括七项基本原则：一是化被动为主动，防患于未然；二是把隐私作为默认机制；三是将隐私融入设计之中；四是全功能，即正和而非零和；五是端到端安全，即全生命周期保护；六是可见性和透明度，即保持开放；七是尊重用户隐私，即以用户为中心[7]。“通过设计保护隐私”鼓励管理人员或设计人员在设计过程的最前端考虑信息隐私保护利益，而不是在开发生命周期的后期进行漏洞修补。鉴于当今科技发展日新月异，及早考虑隐私(数据)保护的特殊要求是很重要的，因为新的科技系统具有滞后性且往往含有隐藏的危险，而这些隐藏的危险在基础设计完成后将是很难克服的。

(2)“代码即法律”

在网络环境中，立法机关、政府规制机构并非规则制定的唯一来源。美国学者乔尔·雷登伯格(Joel R.Reidenberg)认为，个人数据保护是由政治模式、经济模式和技术模式共同完成的，其中，政治模式采用法律，经济模式采用市场规范或自我规制，而信息法模式(Lex informatica)则采用技术或技术协议[25]。美国学者劳伦斯·莱斯格(Lawrence Lessig)也持类似的观点，他认为，科技规制主要由法律、规范、市场和物理架构这4种相互作用、相互补充的机制共同完成，其中法律扮演着非常重要的角色[26]123-130。然而，在由硬件和软件构成的网络空间中，法律政策若没有技术进行回应，将难以发挥实效，计算机代码作为物理架构的一种形式，可以像法律准则(Legal Code)一样对人的行为进行规制，它就是网络空间中的“法律”，这就是所谓的“代码即法律”[26]5。在个人数据保护中，已有的立法忽视了“代码即法律”对数据保护的影响，技术通常会使侵犯信息隐私的行为变得更容易，但技术却很少被纳入数据保护法律规范中。因此，可以通过计算机代码或软件对网络空间进行规制，从而增强个人的数据控制能力。

3.“通过设计保护数据”的逻辑证成

“公平信息实践原则”的不足为“通过设计保护数据”的提出，提供了外部动因；而“通过设计保护数据”和“代码即法律”则为“通过设计保护隐私”提供了理论支持。除此之外，“通过设计保护数据”的发展还有赖于其自身的逻辑自洽性。

(1)与隐私保护相关的设计无处不在

如前所述，从广义上看，设计是分析事物、视觉化实现、计划以及执行的过程，个人的感受、行为、视角都在潜移默化中被设计所左右[22]3-4。在日常生活中，各种各样的设计都在影响我们对隐私的看法[23]23-25。在现实世界中，小到门窗、墙壁的设计，大到街道、房屋的设计，以及其他无数的设计特征塑造了我们对隐私的认知，最典型的便是基于“结构性保护”而创造的“隐私合理期待”。在以网络为媒介的环境中，设计对我们的隐私同样重要。个人使用的各类浏览器、移动应用程序、社交媒体、视频网站等，都是我们发现信息、消费信息，并与他人进行交流的媒介；个人不曾使用的车辆识别技术、人脸识别技术等监控技术也广泛融入我们的生活。这些数字技术的设计不仅改变了我们的视界，也悄悄改变了我们对隐私的态度。

(2)设计作为一种技术权力

在许多关于设计和信息隐私的关系的讨论中，“圆形监狱”常常成为重要的隐喻和支撑理论。米歇尔·福柯曾指出，在当代社会，专业知识、监控技术日益与社会管理权力相结合，被滥用是非常危险的[27]。一些观点从更为广泛的视角进行讨论，提出了所谓的“技术权力”，认为“权力”体现在技术的设计、使用中，故而“技术权力”既体现为政治结构的支配性力量，也包含更宽泛意义上的认知方式与行动力量[28]。另外一些观点则从微观视角出发对“算法权力”展开研究，认为算法权力作为技术权力之一，包含了算法本身的权力和附属于算法的数据的权力[29]。

本文借鉴伍德罗·哈佐格(Woodrow Hartzog)教授的分析框架[23]34-43，采取一种更具综合性的微观视角对设计与权力的关系进行探讨，认为设计属于权力的一种形式，更具体而言，可视为技术权力之一。《布莱克维尔政治学百科全书》曾将“权力”定义为“一个行为者或机构影响其他行为者或机构的态度和行为的能力”[30]。设计有很多功能，规范我们的行为就是其中之一。设计可以指导我们，让我们有能力去操作一台难以理解的数码产品；设计还可以帮助我们，使我们远离危险。此外，设计还能对我们的体验产生影响，以至于产品设计的质量决定了我们是享受快乐和成功，还是承受痛苦和失败[22]87。考虑到设计对个人感知、行为和价值观的影响，从这个意义上可以说，设计是一种权力[23]34。这意味着，我们可以对设计进行福柯意义上的“规训”，可以将某种秩序、某种价值“内置于”设计中。

四、元规制模式下“通过设计保护数据”的完善路径

“通过设计保护数据”既具备外部动因，又具备理论支撑和逻辑自洽性。然而，与所有数据保护理论相同，“通过设计保护数据”并不会自动实现，需要一套机制或制度确保它的实施。从规制理论的角度看，“当规制问题过于复杂，或某个行业存在异质性，或处于动态演进之中时，更适合去选用自我规制与元规制”[31]169。大数据时代，信息科技发展日新月异，数字经济行业处于不断变化之中，数据保护需要采取一种“激励相容”的规制机制，考虑元规制模式，或许将有助益。

1.元规制的界定及基本原理

在规制研究中，明确使用“元规制”这一术语至少可以追溯到1983年。美国学者迈克尔·里根(Michael D.Reagan)将规制活动的成本收益分析界定为“一种规制的元规制”[32]，这意味着元规制是对规制机构的一种绩效监督。随后，其他一些学者从更为广泛的视角对“元规制”进行解释。澳大利亚学者克里斯汀·帕克(Christine Parker)将“元规制”视为“对规制者的规制”，而这些规制者包括“公共机构、私营企业自我规制机构或第三方看门人”[33]15。以色列学者莎伦·吉拉德(Sharon Gilad)认为，若将规制体系分为“结果导向的规制”和“过程导向的规制”，那么“元规制”就是一种动态的、以过程为导向的规制模式，它要求受规制者不仅要识别风险和设计内部控制系统，而且还要持续评估该内部系统的有效性，并根据评估结果逐步改进，这就是所谓的“双循环学习”(Double-loop Learning)[34]。

简而言之，元规制并非以规定性的方式进行规制，而是努力通过法律来刺激企业的内部自组织模式，以鼓励企业对其自身规制绩效进行自我批判式的反思。通过此种规制方式，元规制可以实现“强制企业对它们自己的自我规制策略进行评估并报告，以便规制机构能够确定，是否正在实现规制的最终目标”[33]246。元规制的核心思想是让那些制造问题的主体将社会价值内部化，并主动调整其行为来消除这些问题。与传统“命令-控制型规制”相比，元规制将如何规制的裁量权从规制者转移给规制对象，希望利用规制对象的信息优势，让规制对象承担起规制自身的任务。元规制背后的深刻认识是“在任何社会秩序中，自我控制都是一种必备的要素，因为无法针对每一种可想象到的危害来制定规则，检查人员也不可能时刻对每一个人进行监督”[31]183。

2.建构“通过设计保护数据”的元规制模式

“通过设计保护数据”的关键是在技术设计中考虑个人数据保护，带有很强的技术性。目前，我国信息技术的发展充满不确定性，数据规制产业亦存在异质性,科技巨头与中小企业并存，而规制者对此存在明显的信息劣势。因此，采用元规制模式，通过外部规制者的激励，促使规制对象本身对信息隐私保护问题作出内部式、自我规制性质的回应。在元规制模式下，既要从法律层面设定目标和原则，提供足够的外部激励，也要从技术标准层面提供指引，最重要的是受规制者应当从自身出发，完善自我规制策略，对法律规定、技术标准作出积极回应。此外，社会和市场中的利益相关者也应当积极提供激励。

(1)法律规范激励：“通过设计保护数据”作为基本原则

元规制并未放弃法律在规制中的作用，相反，法律对于刺激受规制者作出自我规制性质的回应意义重大。克里斯汀·帕克指出，元规制的第一阶段便是让组织的管理者对法律责任作出承诺，而法律可以为私营部门的自我规制设定规范性目标，这种法律可以称为“元规制法”(Meta-regulating Law)[33]31。美国学者艾拉·鲁宾斯坦和纳撒尼尔·古德对Google和Facebook的10大隐私事件进行反事实分析。他们认为，这些隐私事件表明“通过设计保护数据”作为一项保护原则非常重要，规制机构必须采取更多行动，而不仅仅是建议采用和实施“通过设计保护数据”[35]。因此，在信息隐私保护法律中明确“通过设计保护数据”的基本原则地位是实现元规制的第一步。

我国尚未制定有关个人信息保护的统一法律，有关信息隐私保护的基本原则主要体现在其他法律规范中。2012年，《全国人民代表大会常务委员会关于加强网络信息保护的决定》将我国公民个人电子信息保护原则确立为“合法、正当、必要的原则”。《民法典》第1035条亦规定，收集、处理个人信息应当遵循“合法、正当、必要原则”。结合前述规范的其他条款来看，“合法、正当、必要原则”主要包括“自然人同意”“公开收集规则”“明示处理目的”等规则，基本上体现了“公平信息实践原则”的精神实质，关注的重点仍然是个人信息的处理，并未涉及技术、产品或服务的设计。

不过，《网络安全法》中有一些条款和技术设计有关，体现了“价值敏感设计”理论，具体而言，是“通过设计实现安全”(Security by Design)。例如，《网络安全法》第10条规定，“建设、运营网络或者通过网络提供服务，应当……采取技术措施和其他必要措施，保障网络安全、稳定运行……”。尽管该条主要局限于“建设、运营网络或者通过网络提供服务”，且目标在于“保障网络安全、稳定运行”，但该条立法基本体现了“通过设计”(by Design)的精神内核。

在国际层面，越来越多的国家(地区)在其信息隐私保护法律规范中对“通过设计保护数据”予以法制化。在欧盟，1995年《数据保护指令》第17条第1款要求数据控制者“必须采取适当的技术性和组织性措施保护个人数据”；2018年《通用数据保护条例》第25条正式将“通过设计保护数据”确立为个人数据保护的一项基本原则，同时也是数据控制者和处理者的一项核心义务[36]。在美国，《1974隐私权法》要求政府机构建立适当的行政、技术和物理保障措施，以确保记录的安全性和保密性，防止任何预期的威胁或危害。此外，还有一些国家通过判例法来推动“通过设计保护数据”。例如，德国联邦宪法法院在一个案例中裁定，一般人格权是保障信息技术系统的保密性和完整性的基本权利[11]274。

目前，我国正在起草制定《个人信息保护法》和《数据安全法》，这两部法律的草案均已向社会公开征求意见。本文认为，我国应当以欧盟《通用数据保护条例》为参考借鉴，认真对待技术设计与个人数据保护的关系，将“通过设计保护数据”作为个人信息保护的一项基本原则，在未来的《个人信息保护法》和《数据安全法》中予以明确。不过值得注意的是，欧盟《通用数据保护条例》的适用对象主要是“数据控制者和处理者”，其所调控的行为依然是以数据收集、处理为核心。然而，“通过设计保护数据”的核心是将数据保护融入设备、产品或服务的设计中，因此其所适用的对象不仅仅包括数据控制者和处理者，还应当包括设备、产品或服务的设计师、工程师、研发人员和制造商等主体，否则当设备、产品或服务已经开发或部署完毕之后再来融合数据保护方案将面临困难。因此，在我国未来的立法中，应当尽可能地扩大“通过设计保护数据”的适用范围，而不能仅仅局限于数据控制者和处理者，应包括产品或服务的全流程人员。

(2)技术标准指引：制定“通过设计保护数据”技术标准

从技术的角度看，“通过设计保护数据”是一种计算机科学概念，其涵盖了应用程序的“三部曲”，即信息技术、商业实践、物理设计与网络基础设施。“通过设计保护数据”法制化虽然满足了个人信息保护中的社会期待、法律规定和伦理要求，但要在设计中实现数据保护要求却是一个难题。如前所述，“通过设计保护数据”也包含一系列个人数据保护原则，这些原则需要在系统开发伊始就应用，以减轻数据保护风险并实现个人数据保护合规性。然而，这些原则仍然过于抽象，将它们应用于工程系统时存在诸多不确定性。为了让“通过设计保护数据”发挥实效，目前比较通行的做法是制定技术标准或操作指南，即“通过设计保护数据”标准化。例如，国际标准化组织已于2018年开始制定《ISO/PC 317消费者保护：消费品和服务中的通过设计保护隐私》。欧洲数据保护监管机构于2018年5月制定了《关于通过设计保护隐私的初步意见(第5/2018号)》，对“通过设计保护数据”的适用进行了分析，并提出了相应的建议。美国于2014年制定了《面向软件工程师的OASIS“通过设计保护隐私”文档》(OASIS Privacy by Design Documentation for Software Engineers)，作为在软件工程环境中执行“通过设计保护隐私”的规范。

本文认为，我国除了需要将“通过设计保护数据”予以法制化外，还应当由全国信息安全标准化技术委员会参照国际标准，制定《信息安全技术通过设计保护数据标准指南》，将“通过设计保护数据”的基本原则转换为系统(软件)工程任务中的一致性(Conformance)要求，并指引研发人员产生工件(Produce Artifacts)，作为遵守“通过设计保护数据”的证据。技术标准应当包括“场景与基本原理”“目标”“适用对象”“术语界定”“最佳实践”等内容，在制定技术标准的过程中，应当广泛征求技术专家、研发人员、数据保护法专家、社会公众的意见。

(3)企业自我规制：强化“通过设计保护数据”的实施

“通过设计保护数据”的法制化和标准化基本确立了相应的法律要求与技术要求，如何将这些要求嵌入系统设计中就成为执行层面需要解决的问题。企业作为最重要的受规制者之一，应当从技术、风险、人才3个方面强化“通过设计保护数据”的实施。

第一，技术层面：积极开发“通过设计保护数据”的技术。在确立了“通过设计保护数据”的法律地位后，首先需要解决的问题是信息技术如何支持这一原则的应用。从技术的角度看，“通过设计保护数据”应当遵循一种较为通用的方法，这种方法可以产生一系列支持数据保护的元素。“欧盟框架计划”就曾资助“包含隐私的软件代理”项目，旨在建立一套公认的方法，将隐私保护纳入软件设计，并解决数据保护的技术挑战，该项目出版了《隐私和隐私增强技术手册》，为“通过设计保护数据”提供方法[11]266-267。综合已有的研究成果，本文认为，至少有4个方面的设计元素是大多数软件工程师都应当考虑的，同时也适合考虑数据保护法律的要求：一是体系结构设计，即系统组件及其属性和关系；二是数据设计，即系统的数据元素及其相互关系；三是过程设计，即系统代码控制系统中数据的处理；四是接口设计，即与其他系统和系统用户的交互设计。

第二，风险层面：建立“通过设计保护数据”评估制度。事实上，“通过设计保护数据”亦是风险预防原则在个人数据保护中的应用，目的就是将数据侵犯风险防患于未然。目前在个人数据保护中，识别风险最常用的方法就是“风险评估”。欧盟《通用数据保护条例》第35条就规定了“数据保护影响评估”，要求数据控制者应当在数据归集行为可能对自然人的自由权利造成高风险时，进行“数据保护影响评估”，而“高风险”的判断应当考虑该归集行为的性质、范围、内容和目的，尤其是采用新技术时，应特别注意高风险的存在可能。以此为参考借鉴，本文认为，受规制企业应当建立“通过设计保护数据”评估制度，包括以下主要内容。一是目标设定：通过了解隐私和数据保护的当前状态来识别和补救隐私风险；二是范围和方法，利用风险记分卡技术，通过设计原则和相关的隐私控制框架，对组织的产品、服务、流程或系统的隐私问题进行评估；三是评估人员：应当由多学科专业人员组成评估团队，包括技术专家和隐私法专家。

第三，人才层面：加强人才培训，提升对“通过设计保护数据”的认识。缺乏数据保护意识是最核心的问题，因此，教育必须在每个政策解决方案中发挥重要作用。为了让开发人员对“通过设计保护数据”内在化，受规制企业应当建立人才培训的长效机制，定期邀请技术专家和隐私法律专家对技术人员进行培训，让他们及时了解最新的技术发展和法律要求，并将其融入设备、产品或服务的设计过程中。

(4)社会和市场刺激：建立“通过设计保护数据”认证制度

在元规制模式中，除了法律可以对受规制者提供外部刺激外，市场和社会中的利益相关者也可以激发企业自我规制。在个人数据保护中，认证制度越来越受到政策制定者和政府规制机构的重视。欧盟《通用数据保护条例》第42条专门规定了“认证”，鼓励建立数据保护认证制度以及数据保护印章和标识制度。根据我国《认证认可条例》第2条的规定，认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或标准的合格平等活动。本文认为，未来可以逐步建立“通过设计保护数据”认证制度，由一些信息技术领域的社会组织、高等院校、科研机构在获得国家认可后对受规制者实施“通过设计保护数据”的情况进行认证。

建立“通过设计保护数据”认证制度，可以有以下益处：一是防止受规制者的品牌声誉受损，包括财务损失或隐私侵权责任；二是培养消费者的信任和信心，增加客户粘性；三是稳定受规制企业与业务合作伙伴的关系，从而获得可持续的竞争优势；四是将隐私保护合规风险降到最低，尤其是在公民权利意识日益增强和法律要求日益严格的情况下。加拿大瑞尔森大学隐私和大数据研究中心(Privacy & Big Data Institute)与德勤(Deloitte)联合开发了“通过设计保护隐私”认证项目，流程包括：申请、咨询、进行评估(发表初步意见)、回应评估意见、完成评估报告、完成认证、提供认证标识。这些经验值得我们认真研究，为以后我国建立相应的制度提供参考借鉴。

五、结语