季卫东:数据保护权的多维视角 | 前沿
中国民商法律网
本文选编自季卫东:《数据保护权的多维视角》,载《政治与法律》2021年第10期。
【作者简介】季卫东,上海交通大学凯原法学院教授、博士生导师。
伴随着人工智能的发展,社会的数字覆盖程度显著提高,大数据的经济价值也日益凸显。然而,由此产生的数据安全和数据伦理上的隐患引发广泛关注。与此同时,以智能物联网为基础的数据空间在改变物权的结构和功能的同时,也改变了规范形态本身。数据的本质是信息,信息的特点是流动性,其很难以某种绝对化的方式对其进行界定和保护。在法律与代码双行的格局下,如何从制度层面加强对个人数据安全和隐私的保护,如何从基本权利的高度来理解个人信息的收集、分析和应用?如何防止技术压抑个人权利?能否适当进行权利的创造和认定?如何对代码进行监控?这些问题均值得深入探讨。对此,上海交通大学凯原法学院季卫东教授在《数据保护权的多维视角》一文中,围绕以上问题提出若干见解,试从平衡个人基本权利保护与数字经济发展的角度出发,建构我国多维数据保护权,以为我国宪法学和人权论的发展以及范式革新找到若干新的切入点、突破口或者增长极。
一、
关于数据保护权及其价值前提的国际共识
人工智能用于数据分析而导致社会结构转型的过程中,大数据预测式警务系统与联合信用惩戒系统这两种现象值得关注和深入研究。虽然这两种现象在社会治理方面有一定积极作用,然而前者容易造成故入人罪的错误,后者则容易造成差别化、等级化的“打分社会”。这两类现象说明,人工智能的算法公正以及数据伦理是当今法学正面临的重大课题。
2016年是人工智能治理的一个重要界标。通过对欧盟、美国、日本以及我国对人工智能的法律、伦理以及政策等方面的研究可知, 2016年以后的国际社会,就人工智能治理以及数字权利保护达成如下基本共识:(1)对国际通用的指针、标准等采取合作态度;(2)实现技术的中立性以及透明性;(3)实现人工智能的可控性;(4)优先保护人的安全。新兴权利的形成和发展正是以这样的共识为前提条件。如果把人工智能治理分为数据治理、算法治理以及应用系统治理三个不同层面来具体考察共识,还可以发现其中存在的原则和规制。在数据治理层面,特别强调审慎处理个人敏感信息,侧重保护隐私以及个人信息安全。在算法治理层面,以透明性、准确性、可靠性、可解释性、可验证性、可追溯性作为衡量的标准。在应用治理方面,追求向善性和无偏性等目标。仔细推敲又可以发现,在人工智能治理方面似乎存在欧盟和美国两种不同的模式。欧盟侧重统一立法,特别强调数据安全和算法公正,并倾向于事前规制。与此形成对照的是美国,其采取逐步立法的渐进路线,针对人工智能典型应用场景分别制定特殊法规,更强调数字经济的开放性和竞争性,鼓励数据有条件的自由流通,倾向于事后救济。对不同层次、不同模式的问题状况进行梳理,有利于新兴权利群的体系化。
二、
欧盟关于隐私和数据安全的宪法视角和司法救济
欧盟历来重视人权和公民基本权利的保障。其通过立法,始终从宪法规范的视角来强调信息自觉和个人隐私的保护,特别是《欧洲基本权利宪章》明确把个人数据保护纳入宪法规范。与此同时,欧盟也非常重视数据主权问题,欧盟把防范美国和中国的数据优势地位作为制定法律的基本指针,强调信息安全和算法公正以及通过法律和审批程序严格限制数据跨境流转。
以GDPR为例,该法作为人工智能时代的人权宣言,以个人尊严和基本权利保障为宗旨,直接约束各加盟国的立法。GDPR还规定了一些新型的基本权利,其中的权利条款分别涉及数据获取、数据权属、数据保护、信息隐私、伦理问题等不同的法律维度。就数据治理而言,GDPR首先赋予了公民捍卫隐私与保障信息安全的最基本权利。这些基本权利在欧洲过去的宪法规范中已明文规定,在数字化时代应重新界定隐私和信息安全保护的范围以及干涉隐私权的判断标准与正当化依据。此外,从相关原则和规则中还可以归纳出数据保护权这一新型基本权利,该权利直接影响到数据处理的范围和意义。在欧洲数据权认定的司法实践中,当然坚持基本权利优先、赋予个人自由较高权重的立场。
因为GDPR和司法实践主要着眼于个人数据以及相应的宪法性保障,不能在私人主体之间的纠纷中强制执行,不能完全适应数字经济的发展,所以在欧盟内部出现修改法律的议论和动向,试图把数据保护的范围扩大到所有数据(不限于个人可识别数据)。在司法实践中,有些判例已开始将消费者保护法、竞争法的相关规定及集团诉讼方式适用于大数据流程。在行政实践中,各国政府开始加强对数据行业的监管与审计,并强调大数据伦理的意义。法学界也开始讨论创设数据财产权以充分实现数据的商业价值并加强个人数据主体的议价能力。总之,欧盟开始调整过强的宪法指向,探索针对大数据特征的综合治理方案,试图实现个人信息安全和隐私保护的多层多样化和整合化。
三、
中国关于智能物联网治理的民法视角和行政救济
中国不是侧重宪法,而是主要从民法以及行政举措的视角来加强对隐私、信息安全及人格利益的综合保护。因此,关于数据和隐私的中国法律规范主要在公民个人、集体以及企业之间强制执行,很少针对政府。从2016年底开始,中国通过一些单行的法律、法规、规章来对数字化时代的新兴权利进行认定和保护,并明确了相应的义务和责任。
我国《民法典》专设人格权编,清楚地界定隐私和个人信息的权利范围,以加强对新兴权利的保护,具有补充宪法的基本权利清单的意义,但主要是适应了数字化时代经济社会的需要。此外,我国《民法典》并没有创设数据财产权,但我国《数据安全法》的相关规定通过对数据进行评价和共享的程序来确保数据交易的顺利进行,并把合法、同意以及通过契约之链确认的正当来历作为数据处理合法性的基础,对个人数据的人格利益和财产利益进行债权式的保护。
根据我国《民事诉讼法》,还存在非营利机构或公益机构代表分散的数据主体进行民事集团诉讼的可能性。然而,实体法上的数据财产权关系依旧不清晰,容易产生纠纷。中国大数据产业和人工智能产业因涉及数据安全和算法伦理的基本权利保障不充分而受到欧美各国的质疑和制裁,主要理由就是涉及数据安全和算法伦理的基本权利保障不充分。因此,完善数据财产权的实体规范,进而提升至基本权利的高度,至关重要。然而,如果完全按照欧盟模式,又难免遏制数字经济发展的势头。在这里,中国应与欧盟相向而行、互相借鉴。
四、
数据合理使用与个人基本权利的保障
首先,对于中国而言,应该认识到片面强调数字经济发展和对数据权利偏重民法救济的弊端,结合中国的实际情况适当借鉴欧盟保护数据权利的宪法方法。其次,为了在人工智能时代有效落实基本权利保障,有必要关注区块链技术在社会治理方面的应用,以区块链技术限制人工智能技术。再次,有必要在中国更鲜明地提出“数据公平使用”的立法原则,在个人基本权利保护、数字经济发展以及数据利润共享之间达到适当平衡。从数字经济的角度来把握基本权利,还应重视一项法理原则,即对公平分配利益的合理期待,这种赋权的关键是形成一种对不同属性的人权之间关系进行适当处理的机制。这种机制设计,可以举出英国的数据信托构想、日本的数据银行构想、中国的数据交易所构想。这些构想的宗旨和目标都是要防止相关主体垄断数据所带来的弊端,改变数据主体与数据控制者之间非对称关系,通过第三方主体以及相应的法律制度安排,在数据储存、管理以及交易中确保隐私和信息安全。最后,还要探讨与机器人权或者电子人格相关的权利问题。实际上,只有承认人工智能系统的法律人格,才能更好处理实践中的纠纷并在智能技术之间达分权制衡,并使基本权利的外延和内涵获得重新认识。
五、
结论
信息和实体交融的系统势必导致社会结构的大转型。人的权利行使不仅受到主权的约束,而且受到代码框架的规制,在很多方面代码甚至取代了法律。面对人类社会空前巨变,政府的治理体系、法律的制度安排乃至宪法的基本框架都需要重新认识。对于基本权利的理论而言,可以说同时面临发展的挑战和机遇,需要人们共同努力,提出适应世界趋势的制度设计方案和政策工具。在这样的背景下,提出数字人权以及第四代人权的议题,并以此为契机深入探讨新兴权利的类型和内容,对当今中国法治秩序构建具有重要而深远的意义。
推荐阅读
图文编辑:王梦娇