查看原文
其他

徐 文|个人推论数据是如何被藏匿的?

徐 文 社会科学杂志 2021-09-20

摘要 /Abstract/

作为“互联网+算法”运行的产物,推论数据相较于原始数据,正处于被遗忘之地。通过分析经典判例YS·M系列案以及Nowak案可知,推论数据由提供数据与分析数据构成,不仅可通过主体性、独特性、不变性的标准检验可识别性的存在,而且可通过马赛克理论验证数据主体对推论数据确应享有数据权利。但实证研究显示,各数据收集者、数据控制者已将推论数据作为企业数据资产进行利用,不仅在数据收集环节存在提供数据被过度索取的现象,而且在数据处理环节存在分析数据上个人权利被忽视的现象。究其根源,在于立法导向的价值偏差以及既有路径造成的错觉效果。未来我国的个人信息保护立法应避免对欧盟立法的亦步亦趋,坚持“事前预防、多方合作”的数据治理文化,通过保障推论数据获取权以搭建个人数据主体与数据控制者之间的沟通机制,以落实对个人数据权利的全过程动态保护,以真正达到对数据安全与数据流动的兼顾。

作者

徐 文,西南科技大学法学院副教授

刊于

《社会科学》2020年第10期

项目

本文为司法部国家法治与法学理论研究项目“智能合约代码条款的法律转换与风险防控研究”(项目编号:19SFB5014)的阶段性成果


PART-1

问题的提出:推论数据的被藏匿

推论数据是数据保护的盲区,也是数据处理的自留地。所谓推论数据,是指在“互联网+算法”运行过程中的自然产物。数据收集者在获得数据主体授权后,或直接获得经由数据主体填写的提供数据,或间接获得经由传感器上传的分析数据,在通过算法将提供数据与分析数据进行分发、运算与整合后,数据处理者会获得大量关于数据主体所处环境、工作表现、经济状况、健康程度、信用评级、兴趣爱好、行为偏好的推论数据。例如,在我们日常使用计步软件、睡眠监测软件、智能家居、手提电脑、移动电话的过程中,基于每日步数、睡眠时长、家居设备、浏览记录、社交频率等原始数据会产生对每一个数据主体地理位置、健康状况、家庭消费水平、消费偏好、社交倾向的推论数据。但问题在于,展示给数据主体的,只会是“每日步数第一名”、“睡眠质量欠佳”等直观的数据处理结果,至于运算过程中的用户画像,诸如结合“日均步数高”、“睡眠质量差”、“几乎无消费”得到“该数据主体职业类型为蓝领,信用评级低”的推论数据,则只有数据控制者能够获得。

可见,数据保护原本旨在保障的数据主体对数据搜集、数据处理的各项权利内容在互联网、算法、人工智能技术的紧密结合下几乎形同虚设。其中,最为引人瞩目的应属个人对推论数据获取权的被掩藏。若将个人数据知情权与个人数据获取权相比较,可知:前者对应的数据类型是接收型数据,后者对应的数据类型是推论型数据;前者保障数据主体对数据处理开端与结果的了解,后者保障数据主体对数据处理过程与内容的查阅。但十分耐人寻味的是,既有研究成果几乎都将重点放在了对接收型数据的保护上:或重点研究如何完善“知情—同意”机制;或重点设计App隐私保护政策中的“用户同意”条款,对于数据主体推论数据获取权的问题,似乎无意之间达成了噤声的默契。但故作默契的视而不见无法消除问题本身:若放任数据控制者对推论数据的追求,不仅可能会产生数据收集最初用途的被虚置或被篡改,还可能会导致非敏感个人数据向敏感个人数据的转化,更有甚者,可能会导致假名化处理的无效。

目前国内的法学领域关于推论数据的研究几乎为空白,但围绕推论数据的关联概念倒是出现了不少有益成果,例如有学者从2017年便开始关注算法自动化决策可能产生的数据失控、结果歧视等算法妨害,并陆续对算法解释权这一新兴权利的内容及应用展开研究;其他学科领域则已出现直接相关的成果,例如新闻传播领域对数据侧写和用户画像的关注、信息安全领域对数据侧写技术的关注、计算机科学领域对观察数据因果关系的关注。就国外而言,既有研究已经敏锐的发现了数据侧写、用户画像过程中会大量产生数据企业为了回避风险、调整行为、控制成本、迷惑竞争对手的推论数据,但未从实证的视角,对推论数据的法律属性及该类数据上的相关数据权利内容进行研究,本文的着力点正在于此,希望通过案例分析界定推论数据的内部构造、法律属性,通过实证研究分析推论数据保护的困境,通过对规范文本的分析挖掘推论数据被忽视的根源,并通过对既有立法的评论提出对未来立法的期待。


PART-2

问题的核心:

推论数据属于个人数据吗?

若推论数据是个人数据,则数据主体应当对其享有各项数据权利,其中包括对推论数据的获取权、更正权、删除权等权利内容;若推论数据不是个人数据,则其应当落入数据控制者数据权利的范畴,数据主体无权涉足。因此,讨论推论数据是否属于个人数据,是论证数据主体对其是否应当享有权利的逻辑前提。以下将结合判决结果截然不同的两个经典判例,论证推论数据的内部构造及其法律属性。

(一)讨论基础:经典判例案情概览

1. YS·M系列案

2009年1月13日,YS以外国人的身份依照荷兰的庇护法提交了固定期限内在荷兰居留的申请。申请提交后,荷兰移民局于2009年6月9日作出了驳回申请的决定。2010年4月9日,该机构撤销了该决定;但是2010年7月6日,该机构再次作出了驳回申请的决定。YS对移民局反复无常的决定感到困惑,于是在2010年9月10日向该机构提出了信息公开的申请,要求该机构向其披露在该决定作出过程中的全部推论数据,以证实该决定的公正性。同年9月24日,荷兰移民局拒绝了YS关于信息披露的请求,仅向其发送了一份概要。概要中的信息包括个人数据来源、个人数据的披露对象,但对于YS想要获取的推论数据,只字未提。收到概要后,YS再次向荷兰移民局提出信息披露的申请,但该机构于2011年3月22日再次作出了拒绝披露的决定。无奈之下,YS将荷兰移民局诉至米德尔堡地区法院,提出了披露推论数据的诉讼请求。无独有偶,外国人M与S也经历了与YS类似的遭遇。2009年10月28日,该二人向荷兰移民局提出固定期限内居留的申请,亦遭到拒绝。在拒绝理由中,荷兰移民局提到“对M与S所主张的推论数据的披露会涉及到对其他数据主体合法权利的侵害”。对于上述系列案件,法院持有如下观点:涉案推论数据属于分析过程产生的数据,是人类思维工作的结果,不属于个人数据。

2. Nowak案

Nowak在参加会计师二级考试时,因为一门开卷考查的科目失利,未获得会计师资格证。为调查该门科目失利的原因,Nowak于2009年9月向当地考试中心(CAI)提交了查阅答卷的申请;次年3月,考试中心驳回该申请。于是,2010年5月,Nowak根据《爱尔兰数据保护法》相关规定,正式向考试中心提起申诉,要求考试中心对其披露所有与其相关的个人数据,包括答卷中考试官的批阅数据。同年6月,考试中心向Nowak发送了17份含有其个人数据的文件,但是仍拒绝披露考试答卷内容。在Nowak与考试中心数据保护官的多次沟通中,数据保护官多次强调其观点:考试答卷不属于考生个人数据;考生要求查阅答卷的权利不属于数据保护法赋予给数据主体的合法权利。无奈之下,Nowak将该考试中心的数据保护官诉至法院,要求法院确认其答卷上的信息以及考试官对答卷做出的批阅数据均属于个人数据。法院审理后认为:考卷上的考官批阅信息是与具体的自然人相联系的、具有可识别性的推论数据,属于个人数据。

(二)讨论内容:推论数据内部构造

上述两个判决结果截然不同的案例中,法官们的核心分歧点不在于具有明显个人特征的直接的提供数据是否属于个人数据,而在于通过机器或人类的计算或推理所得出的间接的分析数据是否属于个人数据。

1. 提供数据

在YS案中,提供数据主要有体现申请人个人特征的客观数据,例如姓名、生日、国籍、性别、民族、宗教、语言、地址、申请理由、个人签名等数据。在Nowak案中,提供数据主要有考试单上的姓名、考号,以及答卷中的考生作答信息。要判断上述提供型数据是否属于个人数据,关键在于判断该类数据是否具有可识别性。参考《欧盟数据保护一般规定》的第2条、第4条第1款、第5条,可知在对“可识别性”的解释上应当做扩大解释:明显能够将其与具体自然人相关联的数据具有可识别性(例如ID信息、地理位置、手机识别码、医疗信息);对已经去标识化、已经做加密处理、已经做假名化处理的数据进行反向操作后仍能够指向具体自然人的数据也具有可识别性,也应当属于个人数据。分析上文中两个案例中的提供数据,可知:其一,YS案中的提供数据具有直接的可识别性,无论是姓名、生日,还是居住地址、个人签名,均能够将其与具体的自然人直接关联;其二,Nowak案中的提供数据具有间接的可识别性,因为考试单封面上会有考生的姓名与考号,即便考官在阅卷过程中无法看到考生信息,无法将答卷信息与具体的自然人相关联,那也是为了保证考试公平而作的可逆的去标识化处理,在阅卷完毕之后,通过去标识化的反向处理,能够将答卷信息、答卷成绩与具体的自然人相关联。

2. 分析数据

在YS案中,分析数据主要包括荷兰移民局对移民申请人综合情况的评估过程。法院认为数据主体要求披露分析数据的出发点,在于希望能够核对分析数据是否准确,在于希望能够通过核对分析数据的准确性判断于己不利的推论结果做出的过程是否公平、公正。因此,分析数据是否应当向数据主体进行披露的问题可以简化为数据主体是否有权核对分析数据准确性的问题,进而,该问题可以细化为数据主体是否有权要求核对分析过程准确性的问题。法院由此认为:推论的过程属于思维方法的运用,是理性判断的过程;其中所蕴含的可识别性的指向对象不是申请人,而是荷兰移民当局。因此,法院最终认为,该案中的分析数据不属于申请人的个人数据。

在Nowak案中,分析数据主要是指考官对于考生作答情况的批阅记录。法院在论证考官的批阅记录是否属于个人数据时,紧扣“可识别性”展开逻辑推理。首先,法院认为根据《爱尔兰数据保护法案》第四条第六款,如果任何类型的测试或考试是为了反映测试参与人的知识、智力、技能或能力,则数据主体享有要求披露考试结果的权利;其次,案涉考试答卷中的信息反映了考生对相关领域知识的掌握,是对其智力水平、判断能力、文字表述水平的检验;再者,载有姓名与考号的答卷与无记名问卷调查中的答卷不同,因为考官对答卷信息的评估将直接决定该考生的成功或失败,并将进一步对其未来的个人工作、个人生活产生影响。因此,法院认为,考官对考生答卷的评阅信息当然属于具有可识别性的考生的个人数据,既是因为评阅数据的产生是基于该考生提供的原始数据,也是因为评阅的目的是为了对该考生的能力与知识进行评估。

(三)讨论结果:推论数据属于个人数据

1.推论数据具有可识别性

所谓可识别性,是指通过个人数据直接或间接辨识具体自然人的可能性。其中,后一类辨识方法较难建立统一的标准,因为不同的主体可能因生活阅历、知识积累、能力素质、技术手段、处理措施的各异而拥有不同的辨识能力。因此,在对推论数据进行可识别性判断时,不应当单纯依数据形式或数据表面信息进行判断,也不应单纯以辨识方的主观意识或主观能力为据,而应当通过对该个人数据与数据主体之间相关性强弱来进行综合性判断。

以下的判断标准,或可供参考:主体性、独特性、不变性。其中:主体性是从个人数据与数据主体的直接联系上进行判断,满足此特征的个人数据通常能够直接揭示数据主体的人格特征,例如姓名、肖像、声音等数据类型;独特性是从个人数据与数据主体的匹配程度上进行判断,满足此特征的个人数据与数据主体是一对一匹配的,例如社保号、身份证件号、学号、考号等数据类型;不变性是从个人数据与数据主体的分离程度上进行判断,满足此特征的个人数据通常不以数据主体的意思变化发生变动,例如声音、指纹、基因等数据类型。若推论数据同时满足以上三个特征,则具有可识别性,属于个人数据。

2.数据主体对推论数据享有合理期待

在确认推论数据具有可识别性之后,需要回答的问题是:数据主体对推论数据是否享有合理期待?所谓“合理期待”,是指数据主体对个人数据之上的权利享有期待法律保护的利益。在回答“数据主体是否对推论数据享有合理期待”的问题上,或可运用“马赛克理论”来解答。根据马赛克理论(Mosaic Theory),当某类个人数据被暴露于公开场合或被置于他人可获取的场所时,该类数据背后的数据主体是“隐名”的,此时,数据主体对该类个人数据不应享有合理期待。但当他人以有计划的方式针对某类个人数据进行处理(或通过技术手段直接处理的方式,或通过将该个人数据与其他属于该数据主体的个人数据相整合的方式)时,该类数据背后的数据主体会因为马赛克被祛除而逐渐“显名”,数据主体也将由此对所涉数据享有合理期待。

因此,在判断推论数据上是否存在应受法律保护的个人数据权利的问题上,可以分情况讨论。情况一:当存在于他人控制之下的推论数据的独立性隐而不显时,即他人未针对该推论数据进行单独处理的情况下,数据主体处于“隐名”状态,对该推论数据上的权利不享有合理期待,无权以保护数据权利为由限制他人对推论数据的处分。情况二:当存在于他人控制之下的推论数据的独立性因他人的处分行为而彰显时,数据主体处于“显名”状态,对该推论数据上的权利享有合理期待,有权以权利人的身份要求他人披露详细信息。


PART-3

问题的现状:推论数据的无处容身

前文已证,理论层面上,推论数据属于个人数据,并且数据主体基于合理期待享有推论数据上的各项权利。但在现实层面中,数据控制者却将推论数据置于企业数据资产的范围中,在数据权利救济途径上未留足空间。为了充分调研目前推论数据的受重视程度与受保护力度,课题组将健康型推论数据作为观测点(不仅因为健康原始数据在获取方式上包含提供数据与分析数据,而且因为对健康原始数据的推论会产生非敏感数据向敏感数据的转化),选取了时下受众范围较广的29个健康管理类App(参见表1),针对数据处理政策进行重点分析。

 

表1 APP数据收集与处理政策样本的选取

  

(一)提供型数据被过度索取

在对提供数据的收集上,笔者发现样本几乎都存在过度索取的现象,在29个样本中仅有23个App(占比79.31%)对个人数据的收集目的和收集范围做出了说明,余下样本中:1个App未说明数据收集范围,1个App未说明收集目的,4个App则对两项内容均未说明。对数据收集目的与范围的闪烁其词或模糊不详不仅会导致个人数据的过度收集,更会导致数据主体在不知情的前提下主动配合数据收集者提供与该App功能不相匹配的个人数据(其中,地理位置数据、手机通讯数据、个人交易数据、网络浏览数据等已成为数据收集者觊觎的“重灾区”)。在调研样本中,仅有部分App(如“丁香医生”)能明确将其收集的个人数据与其实现的产品功能相挂钩,其他样本App中,个人数据的收集范围已经明显超出了合理范围,无形中增加了个人数据被侵害的风险。

(二)分析型数据上个人权利被忽视

一方面,部分数据控制者直接将分析数据视为无形资产,或将其用于商用,或将其用于交换。笔者发现:仅有34.5%的样本App承诺其对收集的个人数据不用于商业用途,而高达65.5%的样本App未进行承诺。在未作出“不用于商业用途承诺”的65.5%的样本中:“趣走运动”、“丁香医生”在数据处理政策中十分明确的表示其未来会将数据主体的个人数据用于商业用途,但十分模糊的回避了对具体商业用途、数据共享方身份、相应补偿责任的表述;其他App则在数据处理政策中明确向数据主体表示,一旦数据收集方发生收购、兼并、重组等企业状态变更的时候,会将置于其控制之下的个人数据一并转让。令人欣慰的是,在样本App中尚有一例App体现了对原始数据与分析数据上数据主体权利的尊重,“小米运动”在其数据处理政策中表示,如果因为企业形态变更涉及对用户个人数据的转让,将会以通知的方式告知数据主体,并为数据主体实现相关数据权利提供便利途径。

另一方面,分析数据在装置与装置的数据交互中、在应用程序与应用程序的数据流动中极易被数据交互方获取;对于数据主体而言,因为不存在信息的交互与数据的交流渠道,反而成为最不可能获取分析数据的一方。显见,数据主体在数据处理阶段的控制失能以及分析数据的过度曝光已经使数据主体对个人数据的控制权“名存实亡”,被迫精简到只能在数据收集环节进行控制的干瘪权利了,遑论在分析数据受到侵害时的救济。笔者在调研中发现,65.5%的样本App没有设计任何关于分析数据被泄露或被侵害后的救济方案。更令人瞠目的是,其中大部分App不仅没有规定救济方面的条款,反而花大量笔墨以列举的方式细数数据处理方的免责事由,完全未体现出对数据处理过程中所产生的分析数据的保护,典型者如“咕咚”。


PART-4

问题的背后:

推论数据缘何被掩藏?

前文已证,推论数据属于个人数据,不属于数据处理者的数据资产。为何推论数据的保护如此困难?下文以《欧盟数据保护一般规定》(以下简称GDPR)为样本进行分析。

(一)立法导向的价值偏差

首先,GDPR的立法目的可被归纳为:数据流动、措施透明。其中,“数据流动”意在促进正当数据分享,“措施透明”意在明确侵权责任分配。可见,在该立法目的中,个人数据保护不是一级目的,而是服务于经济发展与社会稳定的措施。若关注其基本原则体系,可知GDPR的基本原则在内容上为数据主体所感知的程度较低,普遍需要通过保障数据主体对推论数据的获取权或赋予数据主体手动抹去个人数据权来进行补足(详见表2)。

 

表2 GDPR基本原则的先天缺陷

与补足途径分析

备注:上表中的“感知程度”是指该原则的内容被数据主体的感知程度,“补足途径”是指可以加强数据主体对原则内容了解的途径。

 

第一,合法公平透明原则。该原则意在避免的是因为数据处理者“因人设策”而导致不同的数据主体受到区别对待。就该原则的实施效果而言,可以通过评估数据收集者、数据处理者有无数据保护政策,以及评估数据保护政策的内容进行考量。在该原则下,双方之间无沟通可能,是单向联系,系数据收集方向个人数据主体的信息输出。

第二,目的限制与目的穷尽原则。该原则意在避免的是数据主体因为数据收集者与数据处理者的恶意串通而遭受侵害。就该原则的实施效果而言,除非赋予数据主体对推论数据的获取权,否则无法考量收集目的与处理目的是否保持一致。在该原则下,双方之间无沟通可能,是单向联系,系数据收集方向个人数据主体的信息输出。

第三,数据最小化原则。该原则意在避免的是数据收集者以某一个理由为切口获取具体自然人的多种个人数据类型。就该原则的实施效果而言,除非赋予数据主体对推论数据的获取权,否则无法考量数据收集的实际范围是否超过承诺范围。在该原则下,双方之间无沟通可能,是单向联系,系数据收集方向个人数据主体的信息输出。

第四,准确性原则。该原则意在避免的是控制者在对数据主体进行推论时采用不合理的、不平等的、不公正的算法或技术,从而产生推论数据不准确的风险。就该原则的实施效果而言,除非为数据主体提供从开始到结束的数据处理全过程的数据获取权,否则无法考量个人数据的内容是否存在谬误。在该原则下,双方之间存在沟通的可能,可以成为双向联系。

第五,存储限制原则。该原则意在避免的是数据控制者在告知义务的履行上“一劳永逸”或“偷工减料”。就该原则的实施效果而言,除非赋予数据主体在约定期限届满之后手动抹去个人数据的途径(而非请求抹去的权利),否则无法考量数据控制者是否存在超期保留个人数据的情况。在该原则下,双方之间存在沟通的可能,可以成为双向联系。

第六,完整与保密原则。该原则意在避免的是个人数据因未被假名化、匿名化处理,或在被处理的过程中因技术缺陷而受侵害。就该原则的实施效果而言,只有当同类型个人数据发生大面积泄露时才能归责于具体的数据处理者。在该原则下,双方之间无沟通的可能,是单向联系,系数据处理者向数据主体的单方承诺。

(二)既有路径的错觉效果 

在GDPR的既有框架中,虽权利多样,但适用范围具有局限性。例如,虽然数据主体享有拒绝权,但该权利在追踪数据推论过程中利益相关者的主观过错、处理过程与处理结果的因果关系等要素上,有心无力。又如,虽然数据主体享有脱离自动化决策权,但该权利在半自动化决策或存在双方合意的情况下,鲜有空间,以下详细分析。

 

表3 既有路径的局限性


1.脱离自动化决策权的适用受限

第一,条件之“无人为干预的自动化决策”限制脱离自动化决策权的适用范围。一方面,在掺杂人为因素的数据处理中,该权利毫无用武之地。因为根据GDPR备忘录第71条,自动化决策是指没有人为因素干预的情况下,完全通过机器学习或算法运行得出的数据结果。另一方面,即便丝毫没有人为干预,完全自动化数据处理的结果是否构成“决策”也耐人寻味,毕竟在多数情况下,数据处理的结果本身不是决策,而是供决策者或决策机制使用的参数。

第二,条件之“产生法律影响或重大影响”同样限制了脱离自动化决策权的适用范围,尤其是在数据主体是以群体成员的身份获得数据处理结果的情形。所谓“法律影响”,通常从公法与私法两个层面上进行考察:就前者而言,通常表现为对当事人的公民身份、基本权利、基本义务等方面的影响;就后者而言,通常表现为对当事人的人格尊严、人格独立、人身自由、财产保有、财产处分等方面产生影响。而“重大影响”则通常结合情节、范围、后果等要素进行综合考量。以下通过两个案例简单分析“法律影响或重大影响”的难以界定。


表4 相关案例分析

案例A:2013年,哈佛大学的网络安全研究学者Sweeney对谷歌网站上的自动广告投放(Google AdSense)进行了调研。在陆续使用2184个带有典型种族特征的姓名登录谷歌网站后,该学者发现:带有非白人种族的姓名收到含有“逮捕”、“犯罪”等内容的广告推送的概率比白人种族姓名多25%。

案例B:2004年,谷歌搜索算法将“Jew Watch”网站置于搜索排行榜的第一位。谷歌声称该排行榜不是基于算法的故意运行,而是“因为Jew这个单词通常是在反犹太语境下使用,所以导致谷歌的自动排序系统在用户多次的关联搜索下将Jew Watch这一典型的反犹太网站放在了搜索排行榜第一位”。


在案例A中,Sweeney难以证明自己遭受了法律影响或重大影响:其一,她在公法上的法律身份或基本权利没有受到侵害,与此同时,她在私法上的人身权与财产权也未受到损害;其二,虽然谷歌的确将某一种族群体作为有犯罪倾向的受众进行广告自动投放、构成不良影响,但鉴于用户既可以选择不点击广告进行阅读,也可以选择使用谷歌自带的小工具进行广告屏蔽,因此用户很难证明该影响达到了“重大”的程度。在案例B中,犹太籍用户同样难以证明自己因谷歌的搜索算法遭遇法律影响或重大影响:其一,谷歌搜索引擎未故意针对搜索者的身份定向改变搜索排行结果的顺序;其二,谷歌搜索引擎未必能够识别进行搜索的用户的身份,当搜索用户不是犹太人时,未必会认为自己受到歧视。

2. 算法解释请求权的难以实现

第一,权利语义上的词不达意。权利与义务最大的不同在于:前者具有利己性,后者具有利他性。若据此类推,“算法解释权”的权利主体应是拥有算法的主体,应是该主体对其所享有的算法进行解释的权利。但部分学者提出“算法解释权”的权利主体是个人数据主体,是指数据主体所享有的要求数据控制者进行解释并更新、更改错误数据的权利。若依照该权利内容,或许将“算法解释权”译为“算法解释请求权”会更贴切,不仅可将其顺利归入请求权体系,而且能使其与传统权利紧密相连。

第二,实现路径上的模糊不清。算法解释请求权的目标在于减少或避免算法歧视,在于使数据控制者应数据主体的请求而对算法逻辑、算法价值、算法内容进行释明。但仔细分析,可知该权利存在目标明确、路径缺失的困境。首先,“歧视与否”并非绝对,几乎不可能存在价值完全中立的算法,只有当算法与具体数据主体的数据变量相结合的时候,才能够判断是否构成算法歧视。然而,数据变量是无法通过释明算法逻辑、算法价值等要素而得到的,只有通过行使推论数据获取权请求数据控制者披露算法运行过程中所产生的数据方能获取,进而才能对“该算法是否存在歧视”的问题做出回答。

第三,行使效果上的事倍功半。算法解释请求权实难兼顾程式解释与内容解释,并且还会涉及权利冲突:一方面,算法解释请求权虽能保障数据主体对算法运行规则的知情,但无法制衡数据控制者利用算法推论数据所作出的于己不利的决策;另一方面,解释算法的前提是披露算法内容或算法规则,因而数据主体所享有的算法解释请求权与数据控制者所享有的算法财产权势必存在权利冲突,需要在实际案例中通过价值位阶的排序来解决。

因此,推论数据获取权或是算法解释请求权之外更实际的路径选择:不仅可通过获取全自动化数据处理过程、半自动化数据处理过程、非自动化数据处理过程中的个人数据以全面落实“有意义的信息(meaningful information)”的丰富意蕴;而且不会与数据控制者所享有的商业秘密、知识产权等权利相冲突。


PART-5

我国未来个人信息立法的应为之道

目前在我国相关立法文件中,虽然都强调要保护公民的合法权益,但囿于立法目的侧重不一,在如何保护公民的合法权益方面,存在着重目标、轻路径、重事后救济、轻事前预防的共性,以下详细评论。

(一)既有立法评论

1. 权利路径的模糊

就2017年6月施行的《中华人民共和国网络安全法》而言,该法对于数据收集环节、数据存储环节、数据使用环节中个人信息的保护颇为重视,不仅专门通过第40条至第42条明确了数据收集者、数据控制者的严格保密义务、收集告知义务、妥善保管义务,而且还通过第43条明确规定数据主体享有要求删除个人信息、要求更正错误个人信息的权利。但仔细分析这四个条文所搭建的权利谱系,可以得出如下结论:数据收集者、数据使用者、数据控制者的义务虽多,但在是否履行义务、是否完全履行义务的层面上只能依靠自我约束;数据主体虽享有删除权与更正权,但在如何发现需要更正的个人信息上,存在路径脱钩的状态。换言之,该法中缺乏能够使数据主体有效制衡数据控制者的具体路径,若能以个人推论数据获取权进行衔接,使数据主体通过获取权的行使验证个人信息的准确性与真实性,或可达到立法者的预期效果。

就2017年公布的《中华人民共和国个人信息保护法(草案)》而言,不仅在基本原则上体现出了对欧盟立法的亦步亦趋,而且在价值取向上亦与GDPR的设定如出一辙,均将个人数据的保护视为促进经济社会发展、促进数据有序利用与流动的必要途径。正是基于该立法价值取向,该草案十分简略的仅用了八个条文来搭建个人信息权的权利内容,并将基础权利设定为信息决定权。此举意在强调个人数据主体在是否授权上的权重,意在凸显个人数据主体在程序上的控制权。但问题在于,在八项权利中,没有任何一项权利有“获取”的权能。唯一与之相近的是第14条规定的信息访问权,但“访问”与“获取”不可简单相等同,后者的外延大于前者:前者是指数据控制者应当提供数据主体可以访问个人数据的途径,例如用户可以在网站上随时自查个人信息;后者是指数据主体享有要求数据控制者披露、解释相关数据的权利,例如用户可以要求数据控制者发送与自己相关的全部数据。可见,目前该草案提供的权利途径仅能保障数据主体在“开端”和“结束”时间点上的控制权,无法使数据主体对个人数据的控制权覆盖数据收集、处理、使用的全过程。若能在该草案中明确规定获取权,或可更有利于实现数据主体对个人权利被侵害的主动探查、事前预防。

2. 数据主体的被动

就2019年1月施行的《中华人民共和国电子商务法》而言,首先,该法通过第23条明确排除了对电子商务活动数据处理环节中个人信息的保护,将该法中消费者的个人信息相关权利限定为收集、使用环节。其次,在该法既有的权利谱系中,对数据主体主动性的保障略显单薄。虽然明确了消费者享有对商品或服务的知情权(第17条)、对用户信息的获取权(第24条),但此处的知情权与获取权均服务于电子商务活动的合法透明。再者,该法将如何对消费者的个人数据进行保护的决策权一体交由电子商务平台通过拟定平台协议自主决定(第32条),忽略了数据主体的主动性与参与性。

就2020年7月公布的《中华人民共和国数据安全法(草案)》而言,值得关注的是该草案第四章“数据安全保护义务”。该章作为数据安全的风险评估、风险监测、事前预警、事后补救的专章,未从数据主体与数据控制者相互牵制的视角进行条文拟定,而是通章从政府监管的视角进行谋篇布局。既未充分调动数据主体敦促数据控制者全面履行妥善保管、保密、告知等义务的主动性与积极性,也给监管机构造成较大的行政负担(第25条、第27条、第28条)。与该《草案》类似的是《个人信息保护法(草案)》第28条第1款,该款仅将个人数据的来源、个人数据的接受者、个人数据记录作为数据主体访问权的行使内容,未将数据处理内容、数据处理结果列入其中,若继续坚持该规定,恐将使数据主体对个人数据的控制权缩水为对数据处理流程的知情权,使控制权流于形式。

(二)未来立法方向

1.利用推论数据获取权形成内部牵制力

以规制主体与规制措施为标准,治理模式可被分为两类:由外至内的外力威慑与由内至外的内力牵制。观察既有立法文件,在对数据收集者、数据控制者侵害个人权益、公众利益行为的规制上,存在倚重外力威慑、轻视内力牵制的倾向。例如,《数据安全法(草案)》第六章“法律责任”一共有八个条文,几乎每一条都建立在外部监管(第41条、第45条、第46条、第47条)与行政制裁的基础之上(第42条、第43条、第44条)。又如,《个人信息保护法(草案)》第四章“非国家机关信息处理主体对个人信息的收集、利用、处理”中,几乎都是对数据收集者、数据使用者、数据处理者信息主动披露义务的强调(第36条),鲜见从权利实现途径的视角对数据主体相关数据权利的描述。以上两例,不过冰山一角。立法者希望通过树立规则、建立服从,更加希望能够通过外部监管与义务细化来形成对不当数据处理行为的威慑。但问题在于:当本应作为规制效果的“服从”变成了规制目标的时候,可能会难以避免出现数据控制者为了表征“服从”而进行数据造假的现象。因此,与其期待用外部监管形成的“威慑力”来达到规制目的,不如期待用内部调整形成的“牵制力”来实现,既使权利途径直通权利目的,又充分调动数据主体的主动性。

具体而微:在既有立法赋予给个人数据主体的各项权利中,获取权与知情权应当并列成为基础权利;在其之上,将更正权、抹去权、限制处理权作为核心权利,将便携权与反对权作为延伸权利。只有在确保数据获取权能够行使的基础之上,数据主体才能避免信息劣势,才能在发现数据失真、数据存伪、数据滥用的情况下提出更正、抹去等权利主张,也才能够通过主动行使权利对数据控制者在数据收集、数据使用、数据处理各环节的行为形成有效牵制。若硬生生的将数据获取权(the right of access)直接等同于知情权(the right to notice),那将会使核心权利与延伸权利幻化为水中花、镜中月。不仅使数据主体丧失主动权、成为被告知相关信息的对象,使知晓权能被局限在对“是否被收集、是否被处理、哪些被收集、哪些被处理”等程式性、静态型信息的了解上;而且使数据主体所享有的对推论数据的“接触、查阅、使用”权能被掩藏,对“如何被处理、处理得怎样”等实质性、动态型信息不仅无从了解,而且无从索取。

2.利用推论数据获取权促成合作为主的治理文化

当思考数据治理的目的时,我们应当自问如下两个问题:是想对已经发生的行为进行评判和惩罚,还是希望对未来的行为模式进行引导和调整?是想将所有参与者变成治理的对立方,还是使所有参与者变成治理的合作方?对于第一个问题,可能的答案是:法律的目的在于调整社会关系,有效的治理应当重在引导与调整;事后救济难以对行为模式产生影响,事前预防更有利于改变行为走向。对于第二个问题,可能的答案是:治理参与者之间的对立关系会妨碍治理机制的运行、减损治理模式的效果;治理参与者之间的合作关系不仅有利于培育信任感,更有利于在彼此理解的基础之上达成对公平理念感知、公平规则制定、公平规则运用的共识。对个人推论数据获取权的保障正是对前述两个回答的落实:该权利可在数据控制者与数据主体之间建立沟通交流机制,不仅有利于及时发现问题、排查漏洞、防范风险、调整行为,使事前预防与事后救济并重;而且有利于使数据主体主动参与到数据治理过程中,通过权利的行使对数据控制者形成内部牵制,适当减轻数据监管机构处理投诉的负担,形成有效的共建共治。

综上所述,推论数据属于个人数据,不应成为数据处理的自留地,更不应成为数据保护的盲区。对推论数据的保护不仅关涉自动化决策过程中的数据权利,更加关涉到半自动化决策,以及纯人工决策过程中的数据权利。在拒绝权、脱离自动化决策权、算法解释请求权鞭长莫及的空间,应有推论数据获取权的一席之地。该权利的运用能够巩固算法解释请求权,能够治愈数据权利与实现途径“脱钩”的困境,更加能够有助于避免对欧盟立法的亦步亦趋,打通数据保护与数据治理的“任督二脉”,形成具有特色的“事前预防、多方参与”的数据治理文化。而关于推论数据获取权的权利谱系、保障机制,囿于篇幅限制,留待另文探讨。


往期推荐


《社会科学》往期目录


《社会科学》往期摘要


周 超 毛胜根|社会治理工具的分类与型构——基于社会治理靶向和行动逻辑的分析


韩志明|治理技术及其运作逻辑 ——理解国家治理的技术维度


张 玉 朱博宇|论防护型集体行动的生成逻辑与体制性供给路径


林 拓 虞 阳|中国优势地区的空间约束:特质及其根源


黄 勇|儒家伦理学与美德伦理学:与李明辉、安乐哲和萧阳商榷


袁盛勇|“转变论”和文学实践的主体性——胡风及其同人对有关鲁迅思想的认知


扫码关注我们

《社会科学》杂志

唯一官方微信平台


理论创新  学术争鸣  战略视野  现实思考


: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存