从规制数据获取到规制数据使用

姚欢庆 周巡

(1.中国人民大学民商事法律科学研究中心，北京100872；2.中国政法大学法治与可持续发展研究中心，北京100088)

0 引言

数据规制指的是公权力机关对企业或个人收集、对外提供、使用数据等全生命周期的限制性措施。数据规制也常被称为数据保护或数据治理，尤其自欧盟《通用数据保护条例》(General Data Protection Regulation，GDPR)出台后，数据保护其实在中文语境下是指代这一语义的更为普遍的用法。但实际上，数据保护与数据规制之间存在微妙的差别，数据保护具有预设的立场，即保护“数据主体的数据主权”，而数据规制则更多注重从监管者的视角探析如何更好地实现数据主体利益、数据收集者利益、数据使用者利益以及社会利益的平衡。

在数据与人工智能算法飞速发展的当下，数据规制是否仍应坚守“知情同意”的基本框架，是否应以保护“数据主体的数据主权”为最重要的目标，本文将以数据规制的现状为起点，着眼于数据规制的时代特殊性，剖析当前数据规制中存在的问题，探究下一阶段数据使用规制的可能误区与具体进路。

1 数据规制的两个侧面：数据获取中的“知情同意”框架与数据使用中“数据主体本位”视角

当前，世界范围内数据规制对数据区分为个人信息与非个人信息进行探讨，但其二元划分的规制方式已经引起了学术界与实务界的反思。限于篇幅，本文不做过多探讨，主要探析数据规制中的共性问题。

数据规制的具体重心大概可以分为数据获取、数据使用与数据安全3个方面。当前的数据规制中，包括我国在内的世界主要国家，都将重心主要放在数据获取与数据安全中，对数据使用的规制总体上属于起步阶段。事实上，数据安全的规制进路争议最小，而数据获取与数据使用的规制进路争议相对较大。本文侧重从数据获取与数据使用两个侧面展开论述。

1.1 “知情同意”框架是数据获取规制的传统方向

“知情同意”框架指的是获取数据主要以征得数据主体同意为必要条件的规制框架，包括了明示同意、明示目的、最少够用、公开透明等子集，并且通常针对的是个人信息的获取。2012年，全国人大常委会通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》是数据获取规制“知情同意”框架在国内的开端，在《中华人民共和国消费者权益保护法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《信息安全技术个人信息安全规范》等法律或标准中均有体现。《中华人民共和国个人信息保护法》第13条规定，除特定情形以外，取得个人的同意，个人信息处理者方可处理个人信息。从全球视角看，上述原则被欧盟《通用数据保护条例》所正式确立，而美国虽然没有联邦层面统一的数据立法，但通过1974年《隐私法》、2015年《消费者隐私权利法案(草案)》等进行了类似的规定。

1.2 数据使用规制中的“数据主体本位”视角

所谓“数据主体本位”视角，指的是将“数据权利”视为数据主体的一项“主权”，以数据主体的利益为“本位”，通过信息透明权、更正权等可行使的权利，来限制他人对数据的使用。其法理起点在于数据权利总体上属于一种新型的“基本权利”或“类基本权利”，进而以“防御”的基本范式来阻止作为基本权利的数据权利受到侵犯[1]。而“数据主体本位”视角的集大成者是欧盟《通用数据保护条例》，其为数据主体设置了多项得以向数据使用者主张的权利，包括信息透明权、访问权、更正权、被遗忘权、限制处理权、可携带权、拒绝权、不受自动化处理约束权等。我国在数据使用的规制上目前也一定程度采取了上述视角，优先把一些具有一定共识性的数据主体“权利”通过法律法规或“软法”的形式固定，并在金融等特殊领域进行进一步强化。相比之下，美国对这种“数据主体本位”视角非常谨慎，联邦层面并无总体性的立法，仅在加州等地赋予了作为数据主体的“消费者”一定程度的删除、反对数据歧视等权利[2]等。总体而言，欧盟、中国、美国恰恰可从左至右排成一列，欧盟主张数据使用中的“数据主体本位”视角，美国更倾向数据使用中的“底线监管”视角，中国则暂介于两者之间。

1.3 传统时代的3个特征：“知情同意”框架与“数据主体本位”视角的逻辑起点

数据获取中的“知情同意”框架与数据使用中的“数据主体本位”视角共同构成了当前数据规制中的两个重要侧面。这两项制度设计的逻辑起点其实都根植于传统时代的数据获取、使用与监管的特征。

1.3.1 数据主体有足够的能力和动力掌握自身数据

权利主体对维护自己的权利有着充分的动力与能力。这是传统时代一切权利与维权行动的重要逻辑起点，数据权利也不例外：首先，数据主要掌握在数据主体手中；其次，数据主体也能大体知悉数据的流转动向；最后，数据主体有足够的动力去限制他人对数据的获取。事实上，因为数据主要掌握在数据主体手中，数据主体的“同意”才有足够价值；数据的流转动向能够被数据主体大体知悉，数据主体的“行权”才能有的放矢；只有数据主体有足够的动力限制他人的数据获取，数据主体才有意愿“行权”。

1.3.2 数据流转的目的通常主要是数据主体自身利益的实现

传统时代，数据收集和使用的目标较为单一，数据主体能够一定程度针对特定的目的对提供自身数据的行为“讨价还价”。概言之，本特征也可以概括为两层含义：第一，数据流转通常存在特定的目的；第二，该目的通常主要是数据主体自身利益的实现。

换言之，只有收集、购买数据的目的通常是特定目的，且该特定目的通常包含数据主体的利益实现，数据获取中“知情同意”框架内才有必要设计“合目的原则”，数据主体才有必要为了自身利益的实现向数据使用者主张权利。

1.3.3 对“数据使用”监管的难度远大于“数据获取”

在传统时代，“数据使用”本质上是一个“决策”过程，但决策过程往往是由人脑“黑箱”完成的，不容易进行监管。但“数据获取”往往是更为明确且具象的行为，相比之下监管难度更低。因此数据获取行为“是否经过数据主体的同意”“是否合目的”“是否最小必要”成为监管者天然也是必然的抓手。

数据获取的“知情同意”框架与数据使用的“数据主体本位”视角发轫于传统时代，成为数据科技爆发前夜的“最不坏选择”，也成为数据规制问题探讨不可绕过的起点。

2 技术变迁下数据规制进路的进化

由于技术的变迁，根植于大数据与算法时代的数据特征与传统时代相比已发生颠覆性变化，以“知情同意”与“数据主体本位”的数据规制面临着现实困境，数据规制的进路也应当适应时代不断进化。

2.1 传统时代的3个特征在当下趋于瓦解

大数据与算法的发展使得数据规制所依赖的3个特征趋于瓦解，并呈现3个新的发展趋势：数据主体不再有足够的能力掌握自身数据；数据流转的目的不再明确也不主要局限于数据主体自身利益；对“数据获取”的监管难度相对增加且对“数据使用”的监管难度相对降低。

(1)数据主体不再有足够的能力和动力掌握自身数据

这一新特征是指数据不再主要掌握在数据主体手中，数据主体也不再能大体知悉数据的流转动向，数据主体限制数据流转的能力客观上影响数据主体限制数据的动力。

首先，当前大大小小的科技企业与逐步实现数字化的传统企业紧随数据主体与政府，成为又一主要的数据掌握者。可以说，传统的数据主体在当下已经不再是数据的唯一主要掌握者[3]。

其次，数据量的急剧膨胀已经使得数据主体不再能大体知悉数据的流转动向。传统时代，数据的获取及流转往往是单线程的，因此数据主体能够把握自己的数据流向。但在互联网和大数据时代，数据流入网络往往是多线程的，如企业对于员工信息的收集，往往这些数据同时被存储在第三方开发的软件中，并上传到专门的“云”上，理论上多个经营者同时获得了相关数据，这就使得数据主体控制数据流向的能力大大下降。当然数据量的增加也使得个体在无限量的数据中发现自己知悉数据流向的能力逐步减弱。据英特尔测算，全球数据总量在2020年达到44 ZB(1 ZB=10亿TB=1万亿GB)，单单中国产生的数据量达到8 ZB[4]，数据总量的增长每年超过50%[5]，也就是说每个数据主体面对每年50%的数据增量，传统的数据主体很难再有能力去大体知悉数据的流转动向。

最后，也是最重要的一点，数据主体限制数据流转的动力发生了变化。其一，数据主体对自身数据权利的“让渡”能够获得更大的便捷，甚至是获取便捷的必要条件。其二，数据的前期泄露使得数据主体普遍存在“破罐子破摔”的心态。其三，数据主体已经对数据流转“司空见惯”，不再有动力去谨慎对待每次数据流转。与传统时代不同，随着数据收集技术的普及，作为主要数据主体的自然人每天会面临无数的数据收集场景，即便最注重数据保护的数据主体，也很难有精力像传统时代一样审慎对待外界每一次的数据获取行为。2018年《中国网民个人隐私状况调查报告》的内容显示，仅有16.1%的受访者会仔细阅读APP的协议条款，41.5%的受访者会大体浏览一下，而42.5%的受访者则表示压根不看协议“直接勾选同意”[6]。

数据主体不再有足够的能力和动力掌握自身数据的发展趋势，实际上架空了数据获取规制“知情同意”框架的基本内核。数据收集者的“告知”很容易被数据主体无视，数据主体的“同意”变成“走个流程”。其背后的逻辑根源在于这个时代算法与数据行业变化的速度与专业化的速度远超普通人的智识提升速度，面对无法理解又不会给自身带来太多直接困扰的问题，多数人会选择“缴械投降”。

(2)数据流转的目的不再明确也不主要局限于数据主体自身利益

首先，数据流转的目的变得不再必然明确。当代，数据的流转不再如传统时代一般，必然追求存在特定的目的。相当一部分数据在获取时实际目的未必明确，但是却能在不断的运用中使数据发挥意想不到的价值，其背后的原因在于大数据追求的不再是因果性而是相关性、不再是抽样数据而是全量数据[7]。追求数据与结论因果性可以根据因果指引依特定目的收集特定数据与抽样数据，其中的数据收集行为是目的导向的。但是相关性需求通过获取尽可能全的数据，再通过机器学习产生高效率的成果，其中的数据收集行为不需具有特定的目的。片面追求数据的获取需遵循特定的目的，已经不再完全符合时代的特征。

其次，数据流转的目的不再主要直接作用于数据主体自身的利益，而展现出社会本位的特征。充分的数据流转实际受益人未必是数据主体，而更多体现为对社会整体利益的促进作用。数据流转对个人意义愈发展现出“间接化”的特征，数据流转促进社会进步再反作用于个人利益。2018年我国数字经济规模达到31.3万亿元，占GDP的比重为34.8%，创造就业岗位1.91亿个[8]。除了直接的经济效益，数据流转在公共服务领域的广泛覆盖，也能够增强社会公众幸福指数。世界经济论坛对经合组织成员国的调查表明，数字化程度每增长10%，经合组织幸福指数上浮约1.3%[9]。

上述趋势动摇了“知情同意”框架与“数据主体本位”视角的设计基础。数据获取不再必然存在特定目的意味着“知情同意”框架子集中的“合目的原则”逐步归于落空。数据流转不再主要作用于数据主体自身的利益，通过数据主体“直接”行权的方式保护数据利益将不必然意味着社会总体利益的最大化。这也是数据不同于“财产权”的重要特征。

(3)对“获取”的监管难度相对增加，对“使用”的监管难度相对降低

首先，“数据获取”监管的难度相对增加。随着社会生活的总体数字化，数据收集的主体由传统的少数行业拓展到全行业，数据收集的场景从最初的“填表”到后来的“网络”再到当前及未来的“全场景”。数据获取边界模糊与同意权行使形式化等都是“数据获取”监管难度提升的体现。诚然数据获取者的“头部化”将一定程度中和这种监管难度的提升，但是监管难度的相对上升仍然是总的趋势，毕竟没有人愿意数十年仅生活在少数“熟悉面孔”科技巨头的影响之下。

其次，算法的发展反而使得监管“数据使用”变得相对容易。当前不少学者对于“算法黑箱”投以了较高的警惕，诚然这种警惕是殊为必要的，但事实上，监管作为“表面黑箱”的算法要远比作为“实质黑箱”的人脑要容易。代码编写可能涉及程序共享代码的团队以及不同的人审阅和调试代码，计算机算法的编写过程与最终成果总会留下一定痕迹，因此更有可能被揭露[10]。并且，伴随着监管科技的不断发展，也为监管“数据使用”提供了愈发广阔的空间。诸如，监管机构使用云计算、数据湖、数据处理引擎等大数据技术，使监管者能够更加高效地收集、索引、存储、处理复杂的数据，并捕捉传统分析方法无法获取的信息。

“数据获取”与 “数据使用”的监管相对难度此消彼长，下一阶段，将规制的重心置于“数据使用”之上的实际操作困难已经相对降低。

2.2 数据规制适应时代的发展方向

如前所述，大数据与算法的发展使得数据规制所依赖的传统时代三特征趋于瓦解，当前数据规制除了“知情同意”框架与“数据主体本位”视角的应用，也应当考虑新的理论基础，探究新的发展方向。

(1)对“数据获取”的规制不宜继续对“知情同意”框架进行再扩张

随着2018年《信息安全技术个人信息安全规范》的出台及其在2020年的进一步完善，数据获取规制中的“知情同意”框架又进行了新一轮的扩张。然而，“知情同意”框架的扩张可能导致两项突出的难题，一是无法解决个人对自身权利的漠视，二是可能加剧传统巨头的“先发优势”。

2020年7月30日，北京互联网法院对两个独立案件(微信读书案与抖音通讯录案)分别作出一审宣判，认定抖音、微信读书两款APP均有侵害用户个人信息的情形，引发了学界和实务界的热烈讨论。微信读书案中，法官的核心论点在于“互联网时代，用户应享有自主建立或拒绝建立信息化人设的自由”，数据处理者“应就信息处理方式向用户显著告知并征得同意”[11]。抖音通讯录案中，法官的核心论点在于：“对于难以获取的双重同意，应当从其是否构成合理使用判断是否侵权”[12]。概言之，法官总体遵循了当前法律秩序下“告知同意”的分析框架。但是除却规范意义的争议，两案件未能解决的核心问题是：如果权利人完全漠视自身的数据权利，法律是否无需对数据处理者的行为进行评价？这是否意味着，即便个人仅对其短期收益与喜好进行权衡后就对其数据权利进行让渡，就能完全免除对数据处理者法律上的不利评价？需知，抖音案的原告是法学博士，而全国本科人口比例仅约4%，6亿人月均收入仅为1 000元左右[13]。“知情同意”框架的解决范式，是将解决问题的权能完全交付于个人，在我国当下的情境下，很有可能沦为一种数据主体的“虚幻的权利”而非“真正的权利”。

从竞争角度看，由于早期数据的规制相对宽松，先入场的传统巨头在数据保有量上已经具备了存量优势。竞争态势对未来的初创企业殊为不利，把打破“数据垄断”作为重要目标的“知情同意”规制框架反而可能加剧这一趋势[14]。尽管数据规制未必把竞争作为首要的考量目标，但是基于数据规制在当代的基础属性，其已经远远超越一般部门法涉及社会生活的方方面面，因此有必要从多角度权衡数据规制方案可能带来的外部性特征。

我们需要认识到，从数据主体权利意识提升、降低数据安全风险、避免欺诈等角度出发，数据获取规制中“知情同意”框架的存在是非常必要的。但是对“知情同意”框架的继续扩张应用则需要非常谨慎，需要尽力避免数据权利争端层面的“表面的平静”而忽略公民基本权利可能受损却缺乏有效主张的“暗涌的波涛”。“知情同意”框架某种意义上非常类似于美国当前“自由持枪权”的尴尬境地。美国的“自由持枪权”发轫于18世纪的美国独立战争，“自由持枪”成为了美国反抗暴政的制度武器与自由主义传统的精神象征。然而在当前国家机器实力与个人武力愈发不成正比的今天，“自由持枪”不仅成为了一种“虚幻的权利”，而且成为美国警察暴力执法比例居高不下的重要诱因。当前，公民个体还能通过“知情同意”框架对科技巨头为代表的数据处理者的“暴政”进行一定的程度“反抗”，随着算法科技的发展，这种来自个体的“反抗”显而易见将变得无力，“知情同意”框架，在未来更多地只能成为一种自由主义精神的象征。

考虑到可能的危机，需要未雨绸缪，不宜再对“知情同意”框架进行过度扩张。

(2)对“数据使用”的规制应当向“社会本位”视角倾斜

所谓“社会本位”视角指的是在对数据使用的规制应当主要以社会利益最大化的角度考虑，与“数据主体本位”视角相对应。数据作为一种资源，以现代产权理论来看，其产权属性基本上是排列在整个光谱不同的范围内，即一端是纯粹公共品，另一端是私人品，及两者之间是准公共品[15]。当前，对“数据使用”规制过分扩张了其“私人品”的属性，无形中在不断挤占其作为“准公共品”与“纯粹公共品”的空间。“数据主体本位”视角忽略了数据作为一种新型生产要素的特殊性，“数据使用”规制应当向“社会本位”视角倾斜，逐步部分代替“数据主体本位”视角。

需要注意的是，“社会本位”视角的应用不是完全覆盖“数据主体本位”视角，两种视角需要长期共存，并在具体场景下进行调和。重视“社会本位”视角更不是不注重数据主体权利的维护，而是一切维护数据主体权利的规制措施，必须在长期上、总体上对社会利益目标是有益的。这使得以保证数据主体权利为目的的规制措施的正当性，不再是不证自明的。

更需注意的是，不宜对“社会本位”进行误读，“社会本位”并非忽视“个人权利”，而是从可能被个人忽视的个人权利角度，藉由“社会”角度的长期效率的权衡，辅助此类被忽视的“个人权利”的实现。

(3)数据规制重心应当从前端的“数据获取”向后端的“数据使用”过渡

如前所述科技的进步，正逐步为规制“数据使用”创造条件。从操作层面上看，数据规制的重心从“数据获取”向“数据使用”过渡有着诸多好处。

首先，不必再纠结于“知情同意”框架。当前法律法规对“知情同意”框架的不断加强根植于对前端数据获取规制的重视，跳出片面的对数据获取的规制，能够从新的维度解决“知情同意”框架的固有问题。其次，为“社会本位”视角的实现提供机会。数据获取行为作为前端阶段，事实上非常难以对其是否有利于社会层面的、整体的、长期的利益作出判断，而数据使用行为作为后端，将数据主体、数据使用者与数据使用后的受益者联系在一起，有助于监管者综合多项因素进行权衡。最后，对后端数据使用的规制有更为广阔的“腾挪”空间。对前端数据获取的管控更容易出现“一刀切”[16]的情况，而后端数据使用的规制则更可能通过具体的场景、具体的技术发展情况进行相应的灵活调整，而且更易于通过司法系统进行个案分析。

需要明确的是，数据规制的重心从前端的“数据获取”向后端的“数据使用”过渡不意味着放弃对“数据使用”的规制，而是一定程度扭转当前“严进宽出”的数据获取与使用规制现状。

3 结束语

技术的发展不断给人们的生活带来便利，同时也在改变着人们的谈判能力。传统数据获取规制中的“知情同意”框架有其存在的必要，但随着算法科技的发展，有必要限制“知情同意”框架的继续扩张，避免个体的“反抗”成为一个象征。法律应当从“社会本位”出发，进一步加强对数据使用的规制，不仅让数据的利用最大化，也真正落实个人权利的保护。