李 勇
(江苏省南京市人民检察院,南京 210004)
Web3.0时代的网络,以大数据和物联网为基础,以个性化、智能化和交互性为特征,而数据整合(data integration)是网络实现个性化的基础。可以说,Web3.0时代的社会是一个数据洪流的社会。数据风险是Web3.0时代社会的最大风险,数据犯罪治理是国家治理能力和治理体系现代化的重要内容。在我国刑法体系中,涉及的数据犯罪主要有以下四类:一是计算机信息系统类犯罪(《刑法》第285条、第286条);二是公民个人信息类犯罪(《刑法》第253条之一规定的侵犯公民个人信息罪、第177条之一规定的窃取、收买、非法提供信用卡信息罪);三是拒不履行信息网络安全管理义务、非法利用信息网络犯罪(《刑法》第286条之一规定的拒不履行信息网络安全管理义务罪、第287条关于“利用计算机实施有关犯罪的规定”);四是有关编造、泄露、篡改、隐瞒、销毁数据类犯罪,主要有《刑法》第134条之一规定的危险作业罪,第142条之一规定的妨害药品管理罪,第291条之一规定的编造、故意传播虚假恐怖信息罪和编造、故意传播虚假信息罪,第308条之一规定的泄露不应公开的案件信息罪,第180条规定的泄露内幕信息罪,第181条规定的编造并传播证券、期货交易虚假信息罪等。在Web3.0时代,每个人都是数据的主体,也是数据的客体,但数据主要掌握在企业手中,数据风险主要来自于企业,特别是互联网企业、数据驱动型企业,因此,触犯上述罪名的往往都是企业。防范数据风险、治理数据犯罪的关键,在于治理好掌握数据的企业,而企业是数字经济的主体,因此,如何在发展与规制之间求得合理的平衡,是数据治理的难题。
传统法学理论侧重于从法律规制(包括刑法、民法等)的角度进行治理,强调通过法律制裁来保护数据,其法理根据在于数据是一种权利、法益,保护数据本质上是保护个人对数据的自决权,这属于外部监管模式。①这种外部监管模式的文献近年来呈井喷之势。参见刘艳红:《Web3.0时代网络犯罪的代际特征及刑法应对》,载《环球法律评论》2020年第5期,第100-116页;刘宪权:《数据犯罪刑法规制完善研究》,载《中国刑事法杂志》2022年第5期,第20-35页;劳东燕:《个人数据的刑法保护模式》,载《比较法研究》2020年第5期,第5-50页;王利明:《论数据权益:以“权利束”为视角》,载《政治与法律》2022年第7期,第99-113页;丁晓东:《论算法的法律规制》,载《中国社会科学》2020年第12期,第138-203页;申卫星:《论数据用益权》,载《中国社会科学》2021年第11期,第110-207页;郭旨龙、李文慧:《数字化时代知情同意原则的适用困境与破局思路》,载《法治社会》2021年第1期,第26-36页;等等。但是,这种以打击和制裁为导向的外部监管模式并未奏效。近年来,合规(又称企业合规、合规计划)理论兴起。与外部监管模式不同,合规强调企业的自我规制,是犯罪预防的自治化和私权化的表现形式②参见[德]弗兰克·萨力格尔:《刑事合规的基本问题》,马寅翔译,载李本灿等:《合规与刑法:全球视野的考察》,中国政法大学出版社2018年版,第67-68页。,属于内部自治模式。合规是治理包括数据犯罪在内的企业犯罪的一剂良方。当前,国内关于合规的研究主要集中在制度移植、基础理论、宏观建构、立法建议等方面③参见陈瑞华:《刑事诉讼的合规激励模式》,载《中国法学》2020年第6期,第225-244页;李本灿:《企业犯罪预防中合规计划制度的借鉴》,载《中国法学》2015年第5期,第177-205页;孙国祥:《刑事合规的理念、机能和中国的构建》,载《中国刑事法杂志》2019年第2期,第3-24页;李勇:《检察视角下中国刑事合规之构建》,载《国家检察官学院学报》第99-114页;李本灿:《刑事合规立法的实体法方案》,载《政治与法律》2022年第7期,第65-82页;李玉华:《企业合规与刑事诉讼立法》,载《政法论坛》2022年第5期,第91-102页;等等。,相当于“合规总论”方面的研究,而对于作为“合规分论”的数据合规的研究处于起步阶段。由于我国关于数据保护的法理及《刑法》《民法典》《个人信息保护法》等相关法律法规,均是建立在“知情同意”这一逻辑基础之上的,所以,为数不多的数据合规研究基本上都是以现有法律规定为立足点,以数据安全、隐私保护为视角,宏观讨论数据合规的框架、内容、功能以及引入的必要性,自觉不自觉地将“知情同意”作为数据合规的立足点。④参见陈瑞华:《大数据公司的合规管理问题》,载《中国律师》2020年第1期,第88页;李玉华:《数据合规的基本问题》,载《青少年犯罪问题》2021年第3期,第8-9页;于冲:《数据安全犯罪的迭代异化与刑法规制路径——以刑事合规计划的引入为视角》,载《西北大学学报(哲学社会科学版)》2020年第5期,第93-102页;杨力:《论数据安全的等保合规范式转型》,载《法学》2022年第6期,第20-30页;毛逸潇:《数据保护合规体系研究》,载《国家检察官学院学报》2022年第2期,第84-100页。即使有个别学者对“知情同意”进行了反思,但依然没有触及根本,要么微调为“动态知情同意框架”①唐林垚:《数据合规科技的风险规制及法理构建》,载《东方法学》2022年第1期,第87-88页。,要么是将数据自决权合比例进行再分配。②敬力嘉:《个人信息保护合规的体系构建》,载《法学研究》2022年第4期,第157-165页。正因如此,该作者在另外一篇文章中明确指出,“构建企业的数据合规体系,明确企业获取数据的合法权限,是数据合规师日常的制度建设义务”。敬力嘉:《单位犯罪刑事归责中数据合规师的作为义务》,载《北方法学》2021年第6期,第104-105页。实践表明,以权利人“知情同意”为支柱的传统数据合规模式在Web3.0的大数据时代是失灵的。大数据时代发展一日千里,治理的重点不应以“知情同意”为出发点试来阻止数据的采集,治理的重点是掌握数据的企业“预测算法”风险,应当以“预测算法”为支柱建立合规模式,实现数据合规治理模式的变革。
在Web3.0时代,以收集和利用数据为主业的数据驱动型企业,其内部结构和技术设施极其复杂,传统的控制型治理模式捉襟见肘,需要政府与企业、行业组织等协同治理;在Web3.0时代,数据主宰一切的风险决定了在数据领域合规不再是单纯的激励措施,而成为企业的一种法定义务。协同治理模式与数据合规义务的法定化,奠定了Web3.0时代数据合规的理论基础。
社会治理可以分为两种基本方式:一种是政府指令型,形成他组织秩序;另一种是社会协同型,通过协作、共治形成自组织秩序。协同理论来源于20 世纪70年代德国物理学家赫尔曼·哈肯创立的协同学。协同就是在一定条件下复杂系统内部各子系统间通过非线性作用而产生的协同现象和效应,从无序混乱状态变为宏观有序结构的机理和过程,以使系统形成一种自组织结构。③哈肯:《高等协同学》,郭治安译,科学出版社1989年版,第87页。所谓自组织系统是在没有外界环境的特定干预下产生其结构或功能的系统。但是,在自组织系统和人造装置之间并不存在不可逾越的鸿沟,在各种装置中设置了某种边界条件,从而使器件能够产生自组织的功能。④哈肯:《高等协同学》,郭治安译,科学出版社1989年版,前言。这种理论后来从物理学走向社会科学,社会系统也具有这种“自组织系统”的特征,通过社会分工实现有序发展。在公共治理领域,它蕴藏着协同精神和善治理念,倡导公共权力机构与私人市场、公民社会建立基于公共利益的协作与互动关系,理性合作地共同实施对社会公共事务的治理,从而最大限度地实现“公共善”和国家正义事业。⑤欧黎明、朱秦:《社会协同治理:信任关系与平台建设》,载《中国行政管理》2009年第5期,第118页。
数据安全问题日益严重,传统的监管模式不能适应数据安全的特征。相反,企业和政府之间需要发展一种新颖的、自愿的、经济上可持续的伙伴关系。只有将政府、企业、个人都纳入网络、数据风险协同治理这一系统中,全面发挥各子系统的不同功能,才能实现数据风险治理的效果。由于Web3.0时代网络社会的复杂性、开放性、不确定性、超时空性、高技术性和智能性,无论是政府的某一个部门,还是某个社会组织及其人员,都不可能完全具备解决上述复杂社会问题所需要的全部资源、智识和能力。数据犯罪是一种高技术犯罪,对它的规制更加依赖于技术方案和专家们的技术知识,新的犯罪类型影响到众多的法律领域,这提高了规制的复杂性,增加了合作的必要性,“导致了大量的——常常相互关联的——和谐化进程”①[德]乌尔里希·齐白:《全球风险社会与信息社会中的刑法》,周遵友、江溯等译,中国法制出版社2012年版,第298-299页。。传统的政府指令型治理模式,依赖政府的“单打独斗”,试图形成他组织秩序,这种治理模式对于复杂、高技术性的数据治理来说,不仅成本高昂、效率低下,而且可能导致治理效果失灵。与政府数据治理的资源和技术捉襟见肘相比,数据企业本身具有自我管理、协同治理强大的技术和资源优势。2004年,信息社会世界高峰论坛制定的《日内瓦行动计划》明确指出,互联网治理是政府、私营部门和民间社会,根据各自的作用制定和实施旨在规范互联网发展和使用的共同原则、准则、规则、决策程序和方案。根据这一治理概念,数据风险协同治理的主体结构应该包括政府、私营部门和民间社会。
必须正视协同治理中企业特殊的角色和作用。数字经济表明,公共和私营部门都有在数据安全方面的需求,“利益一致但又有不同”,合作模式可以应对快速变化的数据风险。治理数据犯罪这个目标的实现不能由国家单独完成,而必须得到企业、行业的支持,企业的自治和公私共治变得越来越重要。“由于国家有权行使强制性权力,而私营部门能直接访问网络且具有实际处理相关问题的专长,因此共治会特别有效。”②[德]乌尔里希·齐白:《全球风险社会与信息社会中的刑法》,周遵友、江溯等译,中国法制出版社2012年版,第339页。而企业合规的精髓恰恰是国家与企业“共治”。③孙国祥:《涉案企业合规改革与刑法修正》,载《中国刑事法杂志》2022年第3期,第55页。
企业合规在法律意义上,是给予建立合规计划的企业一种激励措施。对于非涉案企业来说,建立和有效实施合规计划,在未来涉案时可能成为抗辩、出罪事由;对于涉案企业来说,建立和有效实施合规计划,可能成为从宽处罚乃至免除处罚的依据。通过法律上从宽处罚的制度设计激励企业自主合规,就此而言,合规是企业的自我选择,一般不会也不应将建立和实施合规计划作为企业的法律义务。④孙国祥:《涉案企业合规改革与刑法修正》,载《中国刑事法杂志》2022年第3期,第55页。但是,在Web3.0时代的数据领域,合规具有成为数据企业强制性法律义务的趋势。
在Web3.0时代,数据企业的责任蜕变决定了企业在数据犯罪治理中负有更大的责任和义务。在Web2.0时代,企业平台是“技术中立”的,适用“避风港原则”。1998年10月28日美国颁布的《千禧年数字版权法》(DMCA)第512条规定了“避风港原则”,即对仅提供空间服务的网络服务提供者,如果其网络平台相关内容涉嫌侵权,在能够证明其无恶意且及时删除的情况下,无须承担责任。我国2006年5月18日修改后的《信息网络传播权保护条例》第14至17条、第20至23条也设立了“避风港原则”。例如,《信息网络传播权保护条例》第23条规定,网络服务提供者为服务对象提供搜索或者链接服务,在接到权利人的通知书后,根据本条例规定断开与侵权的作品、表演、录音录像制品的链接的,不承担赔偿责任,但明知或者应知所链接的作品、表演、录音录像制品侵权的,应当承担共同侵权责任。我国2009年12月26日通过的《侵权责任法》第36条也确立了“避风港原则”。2020年5月28日通过的《民法典》第1195条继承了《侵权责任法》中关于“避风港原则”的内容,规定网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到权利人要求删除、屏蔽、断开链接等通知后,应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。权利人因错误通知造成网络用户或者网络服务提供者损害的,应当承担侵权责任。
但是,随着Web3.0时代的到来,数据平台不再是单纯的信息提供者、发布者,不再是单纯的中介服务平台,而是发展为集工作、生活和服务于一体的综合平台。数据平台单纯的中介服务特征、中立特征逐渐淡化,全面参与到网络空间的运行,从最初的提供简单链接发展到全面参与数据资源配置,功能越来越强。Web3.0时代的社会逐步全面数据化,“数据主宰一切”逐步成为现实,这意味着平台应当承担更多的责任,合规逐步成为平台企业的法定义务。2017年6月1日实施的《网络安全法》第21条规定,网络运营者应当按照网络安全等级保护制度的要求,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。第57条至第75条对网络平台作了更为严格的责任规定。这里的“制定内部安全管理制度和操作规程”实际上就是将建立合规计划作为法定义务。2021年8月20日通过的《个人信息保护法》第五章专门规定了个人信息处理者的义务,其中,第51条规定,个人信息处理者应当采取制定内部管理制度和操作规程等措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问及个人信息泄露、篡改、丢失;第58条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当按照国家规定建立健全个人信息保护合规制度体系。这更加明确地将建立数据保护合规作为企业的法定义务。2022年9月2日通过的《反电信网络诈骗法》第6条规定,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估。第39条至41条进一步规定,未落实国家有关规定确定的反电信网络诈骗内部控制机制的应当承担的法律责任。如果说上述法律规定还只是将合规作为行政法义务,那么,2015年8月29日通过的《刑法修正案(九)》就开启了数据合规刑事法义务的步伐。
《刑法修正案(九)》增设了拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪,这三个罪名主要是针对数据平台企业责任而设立的,具有标志性意义。特别是拒不履行信息网络安全管理义务罪,直接为网络平台服务提供者设定合规的刑事义务。立法目的是旨在督促其发挥技术控制优势,履行事后“通知—移除”义务,协助治理网络环境、维护网络安全。①陈洪兵:《拒不履行信息网络安全管理义务罪条款“僵尸化”的反思》,载《学术论坛》2022年第3期,第1页。这里有一个明显的风向标,那就是Web3.0时代网络犯罪的追责重点由个人转向平台。②刘艳红:《Web3.0时代网络犯罪的代际特征及刑法应对》,载《环球法律评论》2020年第5期,第109-111页。有德国学者为此类网络服务提供者发明了一个新的名词——“内容框架提供者”。这种思路强调的是,网络服务提供者一方面不应对一切来自第三人的内容负责,另一方面,也不得对上述内容一律袖手旁观,而是具有一定的安全注意义务。③王迁:《网络环境中的著作权保护研究》,法律出版社2011年版,第294页。就此而言,建立和实施反腐败合规、环保合规等,对于企业来说是一种自主选择,但数据合规在某种程度上是一种法定的义务。在数据领域,合规成为企业的法律、刑事法律义务的根本原因,在于Web3.0时代数据主宰一切的风险具有明显的前置化和早期化,数据法益的保护不得不前置。数据掌握在企业手中,“算法霸权”掌握在企业手中,如果不给企业设定法定的合规义务,每一个人都将得不到安全。
综上所述,一方面,数据风险、数据犯罪的治理具有特殊性,需要政府与企业的协同共治;另一方面,数据法益具有前置化、早期化的特殊性,决定了数据合规成为企业的法定义务。在Web3.0时代,数据合规不仅是作为数据使用者、处理者企业的自我需求,也是法律规定的义务,这与传统合规作为企业的自主选择具有根本性差异。
如前所述,数据合规是Web3.0时代数据使用者、处理者的协同治理的自我需求和法定义务,如何构建数据合规计划呢?数据合规是企业合规的分支,与反腐败合规、反洗钱合规、环保合规等均属于专项合规,基本要素是一致的。国际标准化组织ISO37301:2021《合规管理体系——要求及使用指南》(以下简称“ISO37301”)对合规管理体系通用要素进行了详细的规定。当前,我国学者对数据合规的研究基本上也都是在该框架下进行的。①参见李玉华、冯泳琦:《数据合规的基本问题》,载《青少年犯罪问题》2021年第3期,第4-16页;毛逸潇:《数据保护合规体系研究》,载《国家检察官学院学报》2022年第2期,第84-100页;等等。但是,数据合规具有特殊性,传统的合规治理模式并不能完全适应Web3.0时代的数据合规。
传统的数据合规模式是以“知情同意”为核心的,传统数据企业合规计划以建立保障“知情同意”机制为中心。但是,这种模式在Web3.0大数据时代面临崩塌。
传统数据合规是以“知情同意”为核心的模式,强调企业在收集、处理数据时以公民个人知情且同意为前提,要求企业建立尊重公民“知情同意”的合规管理制度。无论是欧盟《通用数据保护条例》(GDPR),还是我国的《个人信息保护法》,均是这一思路。欧盟《通用数据保护条例》明确数据主体“知情同意”,数据控制者必须以清楚、简单、明了的方式向用户说明其个人数据是如何被收集、处理或传输的,数据主体必须明确选择授予数据用户访问其信息,以便未来的处理合法。尽管在公共利益等特殊情形下有例外规定,但也必须保障数据主体的知情权,仍然必须明确告知其数据已被收集。②Jacob M. Victor, The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy, Yale Law Journal,Vol.123:513, p.523(2013).我国《个人信息保护法》第13条、第14条也规定了“知情同意”原则,个人信息处理者必须取得个人的同意,方可处理个人信息,该同意应当是个人在充分知情的前提下自愿、明确作出的。
“知情同意”,又称“告知同意”,是指数据的收集或利用者应明确告知数据权利主体相关情况并征得其同意。通说理论认为,“知情同意”原则是建立在尊重公民个人对数据的自决权基础之上的,将数据权作为公民的基本权利。①张新宝:《个人信息收集:告知同意原则适用的限制》,载《比较法研究》2019年第6期,第1-2页;张勇:《APP个人信息的刑法保护:以知情同意为视角》,载《法学》2020年第8期,第116-117页。因此,基于私人自治的原理,“知情同意”成为数据收集和处理的合法性基础。世界各国立法几乎不约而同地将征求用户的知情同意作为数据安全的一项基本原则。②郑佳宁:《知情同意原则在信息采集中的适用与规则构建》,载《东方法学》2020年第2期,第198-199页。与之相适应,数据企业的合规模式也是建立在“知情同意”原则基础上的。但是,事实表明,这种以“知情同意”原则为核心,依托数据赋权理念的控制模式,不但没有强化对公民个人信息安全的维护,反而导致数据权利人面临更大的风险。③于改之:《从控制到利用:刑法数据治理的模式转换》,载《中国社会科学》2022年第7期,第65页。这种以“知情同意”为核心的数据合规治理模式失灵的原因,一方面,在于不计其数的APP、网站平台,用户注册时只能被迫勾选“同意”。数据收集者与被收集者之间存在信息不对称,数据收集者会采用“烟幕策略”,使个人难以获得可理解的有关个人数据的信息。④Paul M. Schwartz, Property, Privacy, and Personal Data, Harvard Law Review, Vol.117:2056,p.2080(2004).另一方面,按照严格的“知情同意”原则,只要用户不同意就不得收集个人数据且不能拒绝用户下载、使用,这样的结果就是导致企业无法获取数据,这样数字经济也就无从发展。在大数据时代,“知情同意”这个曾经“经过了考验并且可信赖的基石,要么太狭隘,限制了大数据潜在价值的挖掘,要么就太空泛而无法真正地保护个人隐私”。⑤[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社2013年版,第198页。
以“知情同意”为核心的数据合规模式是典型的“小数据”思维,而非“大数据”思维。小数据时代的数据风险主要是隐私泄露风险,大数据时代的数据合规风险主要是“预测”风险、“算法霸权”风险。大数据的核心功能是预测,是把数学算法运用到海量的数据上来预测事情发生的可能性。Web3.0的大数据时代,危险不再是隐私泄露,而是被预知的可能性——这些能预测我们可能生病、拖欠还款和犯罪的算法会让我们无法购买保险、无法贷款、甚至在实施犯罪前就被预先逮捕。⑥[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社2013年版,第16、22页。“预测”风险和“算法霸权”的典型例子是“精准投放”的“掠夺式广告”。掌握数据的企业基于公民的网上行为所透漏出的内在偏好和选择模式,把公民放在数百种模型中进行排名、分类以及评分,精确找出有迫切需求的群体,这种掠夺式的广告以寻求不平等并大肆利用这种不平等为己任,其结果是进一步巩固现有的社会分层。这种掠夺式广告其实就是一种“数学杀伤性武器”⑦[美]凯西·奥尼尔:《算法霸权——数学杀伤性武器的威胁》,马青玲译,中信出版集团2018年版,第73页。。事实上,在Web3.0时代,大数据的价值不再单纯来源于它的基本用途,而更多源于它的再利用,这就颠覆了当下以“知情同意”为中心的思想。事实上,很多数据驱动型企业在日常业务过程中沉淀累积的数据,在收集、获取这些数据时并没有想好将来如何使用这些数据。数据的价值不仅仅在采集时预想的特定用途,其神奇之处在于首次价值被发掘之后仍能不断产生新的价值。因此,公司无法告知尚未想到的用途,而个人也无法同意这种尚未知的用途。比如,谷歌要使用检索词预测流感,必须征得数亿用户的同意,即使技术上没有障碍,又有哪个公司负担起这样的人财物支出呢?这简直无法想象。⑧[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社2013年版,第197页。
在传统数据合规治理模式中,与“知情同意”这个支柱相互配套的措施是“匿名化”。为了平衡绝对的“知情同意”可能窒息数据经济的发展,推出“匿名化”措施。欧盟《通用数据保护条例》允许对经过“匿名化”的数据进行与原始目的相兼容的再利用。我国《个人信息保护法》第4条也将经过匿名化处理后的信息排除在个人信息保护之外。在刑法中,侵害公民个人信息罪也将经过匿名化处理的信息排除在该罪名的保护范围之外,最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条明确规定,“经过处理无法识别特定个人且不能复原的”不构成侵犯公民个人信息罪。这同样是小数据时代的思维。在大数据时代,交叉验证使得匿名化的功能失灵。只要有足够的数据,把不同来源的数据进行交叉验证,无论如何都做不到真正的匿名化。例如,2006年8月,美国在线(AOL)对65.7万用户的2000万搜索查询记录经过精心的匿名化处理后建立数据库,进行数据分析。但是,《纽约时报》几天之内通过对“60岁的单身男性”“有益健康的茶叶”“利尔本的园丁”等搜索记录综合分析,发现数据库里的4417749号就是佐治亚州利尔本的一个62岁的寡妇塞尔玛·阿诺德。①[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社2013年版,第198-199页。寄希望于匿名化措施来实现“知情同意”的效能无异于缘木求鱼、水中捞月。
如前所述,以“知情同意”为支柱的传统数据合规模式在大数据时代是失灵的,必须寻求适应Web3.0时代数据合规模式的新支柱。
传统数据合规将焦点聚集于数据主体的“知情同意”上,这样导致的结果是,作为数据使用者的企业利用其拥有与数据主体不对称的信息优势获得数据主体的“一次性同意”,并借助表面上正当但实质上无效的“匿名化”措施,从而导致数据滥用风险的最终承担者不当地由使用者转向权利主体。②于改之:《从控制到利用:刑法数据治理的模式转换》,载《中国社会科学》2022年第7期,第65页。
在大数据时代,数据的价值主要体现在利用、再利用上,也就是对初次收集来的数据进行挖掘,通过算法进行“预测”以实现其巨大的商业和社会价值。算法源自数学和计算科学领域,逐步被应用于社会科学领域的决策、预测程序。有学者认为,今天的算法是利用机器来进行自动化决策或辅助决策的算法。③丁晓东:《论算法的法律规制》,载《中国社会科学》2020年第12期,第140-141页。大数据时代的算法,本质上是借助计算机的强大算力,以海量数据为基础,进行推理和计算,以实现决策预测目标。换言之,大数据的核心价值在于预测,运用算法技术对海量的、多维度的数据进行分析,就可以实现对特定目标进行预测和画像。这种大数据预测、画像已经渗透到各行各业,正在迅速变革商业模式、生产力结构、生活方式,大数据预测正在开启重大的时代转型。大数据预测不需要因果关系探究只需要相关性分析,不问为什么只关注是什么。Web3.0时代,是一个用数据进行预测的时代。但是,海量数据相关关系的过度分析,不当的预测和画像,存在结果预判挑战自由、隐私披露挑战尊严、信息垄断挑战公平、固化标签挑战正义等伦理困境。④蒋洁、陈芳、何亮亮:《大数据预测的伦理困境与出路》,载《图书与情报》2014年第5期,第61-62页。数据风险的重点不是采集、收集,而是挖掘、使用;数据合规的重点不是保障采集、收集时的“知情同意”,而是滥用数据进行“预测”的“算法霸权”。Web3.0社会也是算法社会,数据风险治理应从传统的“裁断行为后果”转向“塑造行为逻辑”,传统的赋权与救济模式应转向事前对行为的规训与塑造,以及事前对不法与违法行为的阻却。①齐延平:《数智化社会的法律调控》,载《中国法学》2022年第1期,第78-79页。在大数据时代,“我们需要一个不一样的隐私保护模式,这个模式应该更着重于数据使用者为其行为承担责任,而不是将重心放在收集数据之初取得权利人同意上。这样一来,使用数据的公司就需要基于其将对个人所造成的影响,对涉及个人数据再利用的行为进行正规测试”。②[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社2013年版,第220页。这个“正规测试”就是对滥用数据预测的合规评估。作为数据使用者的企业,必须建立以数据挖掘、利用为核心的合规模式。
将数据合规的重心从保障数据主体的知情同意转向数据使用者的利用、再利用上,具有充分理由,也具有合理的价值。首先,在Web3.0时代,有些数据即使没有数据主体的“知情同意”也必须被采集,否则不仅其个人将无法在这个大数据时代生存,也会导致社会停滞发展。例如,Web3.0时代的人们不得不使用智能手机,但智能手机必须收集用户的位置数据,这样才能通过基站链接网络;再比如,电信运营商必须通过收集和分析位置信息来提升移动互联网的服务水平。有些数据甚至是在无意识中被收集的,只要点击某个网站、浏览某个网页就会生成数据。在Web3.0时代,我们不仅要关注他们采集到什么数据,更应该关注他们如何使用这些数据。
其次,作为数据使用者的企业最清楚如何使用数据及将来如何使用数据,作为数据的使用者也是数据再利用的最大受益者。即使在收集数据时获得同意,也并不意味着就可以随意使用这些数据。或许有人会说在收集时就应当告知公民如何使用,问题是企业在收集时并未想好如何使用,或者是在收集后又出现了新的用途。大数据和算法技术的快速发展,决定了今天数据收集时想到的使用方法,明天就过时。将合规的重心后移,在将来任何时候,只要使用这些数据就要进行合规评估。
最后,有利于平衡数据保护与数字经济发展之间的关系。数据是Web3.0时代的“石油”,是生产要素、战略资源。没有数据的社会将失去发展的活力,没有数据的企业将在商业竞争中面临淘汰,没有数据的国家将在全球竞争中出局。绝对严格的“知情同意”,企业、组织体将无法获得数据,这将阻碍数字经济的发展和社会的进步。将数据合规的重心从保障数据主体的“知情同意”转向数据使用者的利用、再利用,有利于平衡数据保护与数字经济、社会发展之间的关系。Web3.0时代,大数据合规的目标是允许企业合理收集数据,但严格禁止滥用数据。当然,不是说“知情同意”不重要,数据权作为个人的基本权利,“知情同意”当然是重要的,问题是“知情同意”很容易被数据使用者架空,从数据合规的角度来说,在遵循“知情同意”的同时,重点是数据的利用和再利用。
在Web3.0时代,世间万物皆可被数据化,数据成为这个世界的本质,这是无法阻挡的趋势。这些数据既可以被用来研究疾病治疗方案,也可以被用来杀人。治理的重点当然不是要阻止数据的采集或阻止世界的数据化趋势,而是治理数据“预测算法”的滥用行为。
Web3.0时代数据合规模式的支柱是规制数据利用和再利用,预防滥用大数据进行“预测算法”。作为数据使用者、利用者的企业,必须建立以“预测算法”为中心的合规模式。建构这样的数据合规模式重点是建立数据保护官制度、构筑“预测算法”的风险评估、监视、应对体系,塑造数据合规文化。
欧盟《通用数据保护条例》第37条详细规定了数据保护官(Data Protection Officer,简称DPO)的设置及职责,要求数据控制者和使用者在以下情况下应当委任数据保护官:公共当局或机构实施的处理措施(法庭在履行其司法职能时除外);其业务活动天然地需要大规模性对数据主体进行常规和系统性的监控;其核心活动是对某种特殊类型数据的大规模处理以及对定罪和违法相关的个人数据的处理。我国《个人信息保护法》第52条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
首先,使用数据的公司不论规模大小,都应当设立数据保护官。目前,无论是欧盟《通用数据保护条例》,还是我国《个人信息保护法》,都只是规定符合特定条件的数据处理者、使用者才必须设立数据保护官,前者从数据风险类型角度设定条件,后者从处理数据的数量角度设定条件,二者均没有对所有的数据处理者、使用者企业规定设立数据保护官的义务。这是值得反思的。事实上,欧盟《通用数据保护条例》在起草过程中对这个问题是有争议的,在委员会草案中曾经设定过雇员250人以上的条件,但是,有人认为这可能会给中小企业造成不公平的负担;也有人认为,即使250名员工的门槛也太低,应该采取基于风险的方法。最后,采取了基于风险的方法。①W. Gregory Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation, Revue Juridique Themis,Vol.50:783, p.807-808 (2016).我国的《个人信息保护法》实际上受到了欧盟《通用数据保护条例》的影响。从企业合规的原理角度来说,限定特定的企业设立数据保护官的合理性值得商榷。按照企业合规的基本理论及ISO37301的规定,领导作用(leadship)是企业合规计划的核心要素之一。不论公司规模大小,在公司内部应该有一个独立的机构或者专门人员负责合规计划的执行和实施,其负责人通常被称为首席合规官(CCO)以及其他合规官员,这是最低限度的要求。②陈瑞华:《企业有效合规整改的基本思路》,载《政法论坛》2022年第1期,第102页。只不过按照企业规模不同,数据保护官的具体形式可以有所不同,大中型数据企业应当成立合规委员会,并设立首席数据合规(保护)官——合规部——数据合规(保护)官;小型企业可以设立数据合规专员或外聘数据合规人员。数据保护官的角色其实就是企业合规官在数据合规领域的具体体现。
其次,以“预测算法”为核心的合规模式中,数据保护官的核心职能是识别、监控、应对“预测算法”风险。数据保护官在履行传统的常规数据合规风险监管职能的同时,应将监管“预测算法”合规风险作为核心职能,常规的数据收集、采集合规风险监管是为“预测算法”合规风险监管服务的。数据保护官制度最大的难题,数据保护官一方面在职能上必须独立于工程师等研发人员、技术人员、销售人员,遵循“利益回避规则”;另一方面,必须全面、深入监管“预测算法”的计算建构过程,只有全面、深度介入才能真正实现监管。算法技术本身带有中立性,但是,“预测算法”的预测模型、图谱建构过程是人的主观意志转变为运算逻辑的过程,在预测目标设定、数据标注等生成算法的技术过程中,研发者的认知偏差、打标者恶意或无意裁决等都不可避免地将个人意志转化为运算逻辑。①张旭:《基于人权标准的算法治理新思路:企业算法合规义务》,载《人权研究》2022年第2期,第93页。这里面隐蔽着算法歧视、信息茧房、人格尊严、个人隐私等被侵害的巨大风险。“穿透”这些技术过程,实质有效监管难度极大。这就要求数据保护官不仅要具备数据保护的法律、政策知识,更要具备数据、计算机方面的专业技术知识,能够将“预测算法”合规理念融入产品全生命周期,这就意味数据保护官具备在产品需求分析、技术方案设计、产品研发、测试等环节选择合适评估和检查点。②张弛:《数据保护官岗位角色技术能力分析》,载《网络空间战略论坛》2019年第2期,第48页。当前,一些企业习惯于从法务部中选拔人员作为合规官,或者聘用法律专业人士作为合规官,这种做法对于数据驱动型企业的数据保护官选聘来说是不适应的,原因在于法律专业人员学习算法技术难度极大。应当反其道而行之,通过对算法技术人员进行合规、法律知识的培训而培养成数据保护官。
最后,确保数据保护官的独立性。数据保护官(也可称为数据合规官)是作为数据使用者、处理者的企业中合规工作的核心人员,应确保数据保护官适当及时地参与到与数据保护有关的所有问题,在履行职责时独立行事。③W. Gregory Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation, Revue Juridique Themis, Vol.50:783, p812(2016).要确保合规人员职责的权威性和独立性,至少要做到:(1)合规职能应能直达公司领导层,包括向领导层直接汇报、定期提交报告以及参加会议;(2)合规职能的独立性,不能兼职从事业务工作,避免利益冲突,确保合规职能的运行不受任何不当干扰、压力;(3)合规职能具有适当的权限和能力。数据合规保护官应当独立于数据工程师,也独立于研发、销售等业务部门。首席数据保护官应当有相当于首席执行官CEO对等的地位和权利,并拥有“一票否决权”;数据保护合规官作为数据合规的部门负责人,与其他专项合规的部门负责人地位等同。建立数据保护官制度不是单纯地设置一两个数据保护人员就可以的,而是要建立与数据保护官相配套的职能、权限等一整套的组织管理体系。合规的本质在于改造企业的治理结构,只有赋予首席数据保护官、数据保护官、数据保护专员等权威而独立的职权,甚至赋予一定的“一票否决权”,才能真正将数据合规嵌入企业内部权力架构和治理结构之中,才能真正体现合规在改善企业治理结构中的本质功能。
ISO37301将合规管理体系设置了7项一级要素、26项二级要素。7项一级要素分别为组织环境、领导作用、策划、支持、运行、绩效评价、改进。26项二级要素项下还有大量的三级和四级要素。上述要素只是参考要点,需要结合企业的实际情况进行具体设计和构建,不能照搬照抄,否则很容易流于“纸面合规”。笔者认为,在参考上述要素指标时,应当坚持以风险为导向,致力于建立风险评估(识别)体系、风险监控体系、风险应对体系。①李勇:《涉罪企业合规有效性标准研究》,载《政法论坛》2022年第1期,第138-139页。在数据合规领域遵循适宜性、充分性和有效性原则,建立以“预测算法”为中心的风险评估、监视、应对体系。
首先,以“预测算法”影响为重点的风险评估体系。数据合规风险评估体系包括对企业所处的法律、监管环境,以及内外部风险进行全方位识别,重点是“预测算法”影响评估。以“预测算法”为核心的数据合规模式,决定了数据合规风险评估体系的重点是对数据的利用、再利用进行“预测算法”风险评估。“预测算法”合规风险评估体系需要重点把握以下方面:一是建立算法审查机制。为了防止滥用“算法霸权”,防止数据企业建立的数据分析模型违反法律和伦理,侵害合法利益,在使用数据之前就对算法进行审查是必要的。欧盟《通用数据保护条例》第35条规定了数据保护影响评估(DataProtection Impact Assessment,简称DPIA),要求数据使用者事先进行数据保护影响评估。事实上,即使是在算法运行过程中也需要不断校正和改善,因为数据安全风险是动态变化的,在使用过程中也会产生新的风险、此前无法预测到的风险。算法审查所要做的就是为人们揭开“内幕”,告诉人们算法模型是如何运作的。通过算法合规审查,给大数据预测的引擎配备方向盘,也给其配备刹车。②[美]凯西·奥尼尔:《算法霸权——数学杀伤性武器的威胁》,马青玲译,中信出版集团2018年版,第247页。二是建立算法影响评估的常态化机制。作为数据使用者的企业应当建立一套“预测算法”风险识别、评估的常态化工作机制,包括人员配置、评估方法、实施流程、评估结果反馈、文件化信息等。欧盟《通用数据保护条例》第35条将数据保护影响评估限定为数据使用者对数据主体个人权利和自由带来高风险、对大量敏感数据的处理、对公共领域大规模的系统性监控等。我国《个人信息保护法》第55条规定的个人信息保护影响评估也是限于处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息或向其他个人信息处理者提供个人信息以及公开个人信息、向境外提供个人信息、其他对个人权益有重大影响的个人信息处理活动。作这样的限定是受“知情同意”小数据思维的影响,是值得商榷的。以“预测算法”为核心的大数据合规理念,要求数据的控制者对所有数据在使用前、使用中、使用后进行全流程评估,只不过对识别到的风险按照风险严重程度和发生可能性进行分级,优先解决严重且发生可能大的风险。
其次,“预测算法”风险监控体系。一是建立并实施控制措施,并对这些控制措施进行维护、定期评审和测试,以确保其持续有效。二是确保第三方过程得到控制和监视,数据使用者与第三方合作时必须确保第三方遵守数据合规管理制度;三是建立举报程序,鼓励员工善意报告疑似和已发生的不合规行为;四是企业应制定、建立、实施调查制度,以评估、评价、调查有关涉嫌或实际发生的不合规情形,并作出结论。调查过程应由具备相应能力的人员独立进行,且避免利益冲突。五是建立动态持续改进机制,对合规计划运行中发生的不合规情况做出反应,评价是否需要采取措施;消除不合规的根本原因,以避免再次发生,并持续改进以确保合规计划的动态持续有效。上述这些监控措施,可以借助人工智能技术。人工智能技术能更好地执行监视任务,特别是在需要检测不可预见的事件或未知症状的情况下。①John Kingston, Using Artificial Intelligence to Support Compliance with the General Data Protection Regulation, Artificial Intelligence and Law, Vol.25: 429, p.442 (2017).
最后,“预测算法”风险应对体系。“预测算法”风险应对体系是建立对监测到的风险及已经出现的风险作出反应的体系,包括企业根据合规风险评估和分级结果,设置合规风险应对责任人、应对措施、应对流程的机制以及针对突发合规事件的应对预案。主要包括以下方面:一是及时报告机制。数据保护人员发现不合规行为应当及时报告。二是不合规行为调查机制。定期对举报内容和调查结果进行监控、分析,查处相关责任人,排查合规系统漏洞,完善合规管理制度。三惩戒问责机制。数据使用企业应当建立完善的惩戒问责机制,对责任人进行查处问责,涉及到违法犯罪行为时,将其移送行政机关或司法机关,并配合调查。四是分析与纠正,对重大合规事件的发生原因进行了周密的分析,制定整改方案;对重大合规事件果断采取适当的纠正措施,如补救挽损、缴纳罚款、赔偿被害人等。
合规的核心在于塑造企业的合规文化,数据合规有效性的根本标准也是形成一种数据合规文化。数据合规与其他领域的合规一样,有效性的核心标准是让合规成为一种文化。②李勇:《涉罪企业合规有效性标准研究》,载《政法论坛》2022年第1期,第137页。2020年2月24日全球信息安全产业RSA大会在旧金山开幕,呼吁企业在软件开发、数据运用、网站管理等各个环节,都应当建立完备的合规管理体系,将网络安全注入到企业文化之中。如果一个数据企业,从技术研发人员到运营维护人员,从一线员工到管理层,对滥用用户的数据信息习以为常甚至引以为豪,这就是不合规文化。一些企业,在研发设计数据产品时,无底线地迫使用户同意读取通讯录、读取内存照片、读取通话记录,甚至监听用户语音通话,滥用这些数据精准投放“掠夺式”广告。这样的企业,建立数据合规就必须从变革治理结构入手,重塑企业文化,让其脱胎换骨。以“预测算法”为中心的合规模式,合规文化除了常规的获取信息之外,重心是塑造数据“预测算法”合规的文化。塑造数据“预测算法”合规文化的关键在于以下三个方面:
首先,让合规成为数据处理者、使用者的企业全体人员普遍遵循的态度、行为习惯,进而形成一种人人合规的氛围。合规管理的目标,不仅要在制度层面建立一套合规管理体系,更要将制度融入企业“血脉”“基因”之中。从技术上搭建数据合规管理体系只是第一步,更为重要的是,作为数据使用者的公司要进行“文化飞跃”(cultural leap),从“尊重形式上的合规”到日常“合规行为”。③Rosario Imperiali,The Data Protection Compliance Program, Journal of International Commercial Law and Technology, Vol.7:285,p.287(2012).合规文化并非不可具象,合规文化的形成先有企业人员对合规认同的态度,进而改变行为习惯,最终形成一种“人人都在做正确的事”的氛围。对于数据合规而言,要将数据合规的理念、制度灌输到企业每一名员工的思想深处。从算法建模者自己开始做起,数据科学家应该像医生一样遵守希波克拉底氏誓言,尽可能防止或避免对模型可能的误用和误解。④[美]凯西·奥尼尔:《算法霸权——数学杀伤性武器的威胁》,马青玲译,中信出版集团2018年版,第240页。从态度到习惯再到氛围,这一循序渐进的过程,需要企业加强对员工的合规教育和培训。有研究结果表明,企业员工的意识、行为习惯可能会削弱技术安全屏障。在任何企业中,即使不是恶意的,拥有自由、广泛的访问权限的员工,一个不经意的错误或行为就会造成严重破坏,没有恶意的员工不合规行为也可能会成为安全漏洞的原因。培养员工的合规行为,必须对员工进行合规教育和培训。①T Gundu. Big Data, Big Security, and Privacy Risks: Bridging Employee Knowledge and Actions Gap. Journal of Information Warfare,Vol.18:15, p. 16(2019).
其次,让合规成为一种商业模式。一些数据驱动型企业,创业之始就存在数据滥用的问题,要进行合规改造就必须进行结构性的改革来改变其商业模式。比如,一些互联网平台企业,靠钻法律的漏洞采集大量的个人数据,再通过这些数据建模,在APP上强制用户“二选一”,实现垄断目的。这种商业模式曾经在互联网行业风靡一时。殊不知,这种商业模式从一开始就是不合规的。对于数据驱动型企业而言,从创业开始就要将数据合规作为“一种商业模式”,创造了一种“数据保护文化”。②W. Gregory Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation, Revue Juridique Themis,Vol. 50: 784, p. 812(2016).随着近年来数据监管力度的加强,数据驱动型企业在商业模式中开始逐步重视数据采取、收集的“知情同意”,如前所述,在信息不对称的背景下,这种“知情同意”条款不堪一击。“预测算法”合规模式更加强调“算法合规”成为一种商业模式。
最后,让合规成为一种行业规则。数据合规治理的最佳目标是推动整个行业自律,这是更广意义上合规文化。行业自治具有专门知识、信息优势以及更多的经验,经过细化后的行业自治规范具有更强的可操作性,通过行业协会以及行业自治组织(如某种单一的价值目标而建立的企业联盟),相比于抽象的国家法律,行业自治组织将法律具体化后而形成的自律规范和公约更具可理解性、可执行性③李本灿:《法治化营商环境建设的合规机制》,载《法学研究》2021年第1期,第185-186页。,加上行业自治组织成员单位的承诺,自治规范可以更好地贯彻执行,更容易形成合规文化。作为数据使用者的企业,彼此之间形成利益团体并通过联合行动建立起行业共同遵守的“行为守则”。只有数据合规的企业才能在市场竞争中胜出,通过市场竞争对不合规企业进行淘汰和重新“洗牌”,让合规成为企业的“软实力”,核心竞争力之一,这样的“连锁效应”就能形成一种公平的竞争秩序,进而推动整个行业营商环境的法治化。例如,2018年10月10日,阿里、京东、美团等十家网络平台共同签署了《电子商务诚信公约》,对虚假广告、刷单炒信等行为予以坚决抵制,承诺不采取诱导、欺骗、威胁消费者删改售后评价等行为,平台企业的联合行动,通过合规承诺,推动行业合规文化,是一种有益的尝试。但是,遗憾的是,还没有触及到“预测算法”这一核心领域,这是未来数据行业自治的重中之重。
在Web3.0时代,数据决定一个数据驱动型企业的生存发展,数据合规同样决定一个数据驱动型企业的生死存亡。从2021年4月10日阿里巴巴被罚182.28亿元,到2022年7月21日滴滴公司被罚80.26亿元;从2021年《数据安全法》《个人信息保护法》通过,到2022年《数据出境安全评估办法》《网络安全审查办法》出台……数据合规时代已经来临。“当世界开始迈向大数据时代时,社会也将经历类似的地壳运动……然而,不同于印刷革命,我们没有几个世纪的时间去适应,我们也许只有几年时间。”①[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社2013年版,第219页。我国大量参差不齐的数据驱动型企业、以数据业务为主的企业,尚没有真正建立起数据合规制度。Web3.0时代的大数据发展一日千里,留给我们去适应和调整的时间不多了,当务之急是相关企业尽快实现从权利人“知情同意”到使用者“预测算法”的合规模式转变,建立并实施以数据利用为中心的数据合规模式。