一、2018,数据治理的灰色之年?
数据泄露、滥用、歧视这些负面事件如同天空中的阴霾,不断加深着人们对数据治理的悲观情绪。
的确,这一年被数据泄露贯穿始终,规模日益扩大。从上一年末,美国最大的三家个人征信机构之一Equifax数据泄露,到年中中国最大的多品牌酒店集团——华住数据泄露,再到上周万豪酒店集团的数据泄露,每次数据泄露的规模均在亿级以上;数据泄露之后的滥用问题也在持续升级。Facebook丑闻中,“剑桥分析”公司涉嫌利用来自Facebook的用户数据影响多国大选,美国国会到目前为止已连续召开十三场听证会,深度拷问平台的数据处理规则;国内媒体爆出的 “大数据杀熟”现象,让经济学上的价格歧视问题被抛向更广泛的公众视野。现实中,平台利用大数据来攫取消费者剩余是广泛存在的么?如果是,监管者和消费者又该如何应对?
除了牵动普通消费者的数据焦虑,国家层面的数据安全也在面临全新挑战。3月美国Cloud法案出台,美国单边提出了新的跨境数据执法框架,尽管这是对传统低效的跨国执法合作机制的一种探索改变,但仍然增加了一国数据安全的不确定性。
问题本身让人沮丧,但更令人沮丧的是,我们似乎还未找到开启答案的钥匙。
二、欧盟GDPR,灰暗中的希望?
5月25日,欧盟GDPR正式生效,为数据治理带来新的曙光。欧盟版解决方案坚守保护公民基本权利理念,全面提升个人数据保护力度,对几乎所有数据处理环节建立了严格规则,以实现对个人的极致保护。
事实上,在2016年4月GDPR正式颁布后的两年过渡期内,GDPR带给数据治理的积极影响已在不断显现。它促使企业、政府、医院、学校等任何开展个人数据处理的机构,在数据保护方面给予更多的投入。以2017年的调查为例:富时350指数公司平均为GDPR增加43万英镑的支出,世界500强企业平均增加100万美元[1]。更重要的是,GDPR推动了全社会更加关注个人数据保护问题,在过去的两年,我国政府部门、消费者协会针对隐私政策开展了多次评测活动,引导企业、机构不断提升数据处理活动的透明性[2]。
(一)但作为制度新生儿,GDPR本身也带来许多争议和尚待细化的领域,其中典型包括:
1. 宽泛的域外适用范围,不仅对欧盟各成员国的数据保护监管机构带来执法挑战,同时在学界也引起了公法、国际法学者的质疑。GDPR生效后,有许多中小企业因为担心过高的法律风险,宣布停止向欧洲地区服务,而部分企业则实时调整了商业模式,以华盛顿邮报为例,索性在欧盟推出收费版本。正如其宣传词所说:“请支持伟大的新闻业”。如果邮报不能通过用户cookie来实现广告收入,则用户应当为新闻内容直接付费。
对此,英国读者向英国个人信息保护主管机构ICO(Information Commissioner's Office)提出投诉。按照GDPR所规定的宽泛的适用范围,只要向欧盟境内个人提供服务,并处理个人数据,则大概率会落入GDPR管辖,由此ICO对该投诉予以立案调查,但颇为尴尬的是,ICO仅以公告的方式提出华盛顿邮报的收费版模式违反了GDPR关于用户同意有效性的规定(因为用户没有其他选择),但ICO对于该事件的调查也只能止步于此,ICO现有的执法资源还难以处理类似域外案件[3]。
除了现实中这些域外管辖带来的难题,在学者的眼中,GDPR中宽泛的适用范围在国际法领域带来了不好的先例。特别是其对于属人管辖的特别延展,缺乏正当化和合理化的依据,并加剧数字经济背景下国际公法领域的纠纷冲突。
2. GDPR引入的个人权利也陷入与其他基本权利的紧张冲突之中。包括被遗忘权与知情权、言论自由权的冲突,数据可携权与竞争法的冲突。
3. GDPR数据处理可解释性的要求对人工智能产业,特别是对深度学习、神经网络学习提出严峻挑战,也使得欧盟包括自动驾驶在内的AI产业的发展陷入了更多困境;4. 与区块链技术的范式完全相反。区块链本质核心是分布式、去中心化的,而GDPR的制度范式却承袭了之前欧盟1995指令中心化的规范范式(即制度规范都指向核心的数据控制者和数据处理者)。根据欧盟委员会和法国数据保护机构的观点,新兴的区块链技术也必须要适用GDPR。因此,在未来GDPR和区块链的技术之间,仍将继续存在极大的合规差距。尽管从技术眼光看,区块链完全可以为数据保护提供一种新的技术解决方案。
(二)而随着GDPR的执行推进,有越来越多的现象和实证数据显示,GDPR实施对于欧盟数字经济竞争力带来了显着的负面效应,这甚至是欧盟立法者当初在打造GDPR时未曾预料到的。
1. GDPR严格的合规要求巩固了大企业的优势地位。大企业更有实力和资源投入合规工作,而中小企业被迫退出市场,无形中为大企业收割市场提供了便利。以在线广告市场为例,GDPR生效以后,谷歌由于具有更强的合规力量和产业引导力,其市场份额进一步增加[4];在云计算行业,亚马逊AWS、微软Azure等领导者在第一时间内表示可以充分满足GDPR的合规要求,对比之下,云计算市场的中小玩家却在合规竞争力上难以同步。
2. 半年来的经济数据证实GDPR对欧洲科技创新带来不利影响。上月,美国知名经济学研究机构NBER发布了一份权威研究报告,其采用严谨的计量经济学方法和真实的欧洲市场活跃度数据表明,在GDPR生效的半年以来,其对于欧洲的创新企业的发展负面作用非常明显,尤其是在中小企业融资的笔数、融资量方面,欧洲的中小企业陷入了融资的困境。
以上充分显示了GDPR的二维两面性。它在为个人权利保护带来积极力量的同时,也对技术创新和持续发展产生了令人无法忽视的负面效应。这表明,对于数据治理,我们仍需要探索究竟如何设计制度规范,以承载我们更多的期望目标。
三、美欧隐私政策在走向融合趋同么?
尽管美国43个州和特区均制定了数据泄露通知法案,但从Equifax到万豪集团,美国一年来从未走出数据泄露的梦魇。而今年4月,Facebook数据泄露事件也将数据治理问题推向了最高潮,美国海内外已经举办数十场听证会,全方位深度拷问平台数据处理规则。
这过去一年来的听证会,深度卷入了各大科技公司、消费者代表、隐私保护监管机构、立法者(包括欧盟GDPR和加州隐私法立法重要参与者)。通过各方的质询、回应、讨论、激辩,将数据治理议题推向纵深,美国的数据治理框架也逐步浮现:
一方面,以加州为代表的各州对隐私保护制度进行完善。今年6月,加州率先推出了消费者隐私权利保护法案(California Consumer Privacy Act,CCPA),这是美国目前最为严格的隐私法。
另一方面,在国会两院关于制定一部统一的联邦隐私法的呼声日益高涨,并得到了美国两党、科技行业的一致支持。现在的问题不再是是否需要制定联邦层面的隐私保护法,而是应该制定一部什么样的联邦隐私保护法。
面对美国隐私立法最新变化趋势,我们不禁要问:以加州隐私法为代表的州立法是否是美欧隐私立法走向融合趋同的前兆,预示着崇尚市场自由的美国也如欧洲一样开始侧重对个人权利的保护?
回答这个问题,我们需要首先厘清美欧这两大主导全球数据保护政策的体系之间的关系。
长久以来,美欧数据保护政策体现着明显的差异:欧盟主张统一和严格立法,而美国倾向分散和宽松立法;欧盟强调政府部门对于个人信息保护的监管权力,而美国则主张政府的有限干预。这些差别反映了二者对于个人信息保护政策基础理念的分歧。
当然,在根本分歧之外,美欧之间也有政策的相互借鉴部分。例如:数据泄露通知制度最早发端于美国,之后被欧盟数据保护法迅速吸收;而在被遗忘权方面,美国也在一定程度上借鉴了其合理部分,比如在加州儿童隐私保护法中,对儿童这一敏感群体,赋予了更为强大的删除权利。而这次加州率先在全美推出了更为严格的数据保护制度,仍然是美欧政策的互动学习的结果,但这并不代表着美欧数据保护政策走向趋同。
因为即使是最为激进的加州消费者隐私保护法案(CCPA),也比GDPR要宽松很多,也更加注重消费者保护的实际效果和促进企业发展,技术创新之间的平衡。这最显着地体现在以下三方面:
第一,CCPA更大程度上豁免了中小企业。CCPA仅涵盖收入超过2500万美元的企业,以及销售大量个人信息的数据经纪人。而GDPR下,几乎所有任何规模的实体都受约束,市场里的所有玩家都必须遵守几乎相同的高标准的合规要求,这也解释了为什么GDPR生效后为什么会带来对中小企业带来了市场的负面扭曲效应。
第二,加州隐私法仍然保持了美欧个人数据保护法的最大差异,延续了opt-out原则。具体而言,依据GDPR,在绝大多数商业化场景下公司收集、处理消费者个人数据之前必须要获得消费者的同意,即“opt-in”模式;而在加州消费者隐私法中,对于16岁以上的消费者的大部分的个人信息处理,采取美国一以贯之的“opt-out”模式,即除非用户拒绝或退出,则公司可以继续处理用户的个人信息。这体现了美国一直以来在数据保护方面的务实思路。“opt-out”模式对消费者而言更为真实有用,同时对新进入市场的企业的发展阻碍也更小。
第三,在同意机制上,加州法相比于严格刚性的GDPR,体现出灵活弹性的特征。正如我们在上面所介绍的华盛顿邮报的例子,依据GDPR,企业在无法通过行为广告来补贴业务的情况下,选择直接向用户收费模式,则难以满足GDPR关于同意是消费者自由、自主选择的要求。而对于此问题,加州法专门留出弹性空间,其规定:消费者行使了本法规定的隐私权利,企业不得有歧视对待,但是:如果该价格或差异与消费者数据所提供的价值直接相关,则企业还可以向消费者提供不同的价格,不同费率,不同的品质的商品或服务。可见加州隐私法仍然更多地保留了市场弹性,允许企业探索其他可行的商业模式。
而从联邦层面来说,尽管目前统一的联邦隐私立法呼声极高,但因为美国各州差异巨大,能在联邦层面达成共识的隐私立法不会过于详实,具体的执法细则应根据各州的具体情况进行规定,不会像GDPR那般严苛。因此,在数据保护领域,美国与欧盟仍保持了不同风格的法律特征,欧盟GDPR并不是当前数据治理领域的唯一范本。
四、数据治理,期待更为精细和科学化的政策平衡和欧美在数据治理领域的制度探索一样,我国也正面临同样的制度智慧考验。民法典分编——《人格权》草案已正式从底层制度尝试回应隐私和数据保护问题,《个人信息保护法》、《数据安全法》也已列入本届人大的立法日程。
对于欧美提供的制度样板,我们难以作出孰优孰劣的价值判断。因为任何特定的法律制度,都是建立在特定社会的历史背景下,决定于特定的文化、经济、社会背景。
但任何良好的政策设计必须充分考虑各种因素,数据治理政策也不例外。在过去的20年中,我们越来越深刻的感受到政策讨论背景的历史变化——“个人信息保护”话题的边界正在不断扩展,向内涵更加丰富的“数据治理”转变。
个人信息作为传统法律保护的客体,一直处于静态而稳定的法律关系之中。不论是欧盟视作基本人权、还是美国作为消费者权利保护,权利保护的法律逻辑一直是清晰的。
然而,随着云计算、物联网、AI的快速发展,数据资产在经济、社会活动中的核心和辐射作用愈发凸显。“数据治理”正在以更宏大的议事命题浮现,形成了围绕数据资产的隐私保护、创新竞争、安全主权等更复杂化、更多维的公共政策讨论场。
这些复杂因素代表了从三个视角出发的利益诉求:
第一、 从个人视角出发的权利保护诉求;
第二、 从产业视角出发的创新、发展、竞争需求;
第三、 从国家视角出发的数字经济国际竞争力和数据主权安全需求。
以上三个视角并不是孤立存在的,而是彼此紧密联系、互动影响。这决定了我们当下的数据治理政策,也应当采用多维的思维进路,从个人权利保护,产业发展创新,以及国家数据安全和竞争力进行充分考虑和推演,任何从单点角度出发考虑的政策必定会带来不合理的结果。例如,从个人视角出发的GDPR尽管赋予了个人强大的权利,但在实践中,反而带来了大平台更加巩固市场地位、抑制产业竞争活力的后果,愈加集中的市场最终会给个人隐私保护带来更小的选择空间。
特定的数据治理政策会同时带来正负面效应,这是大量的隐私经济学研究文献所证明的通识。例如:在雇佣市场上,如果雇主由于隐私保护管制的原因,无法查阅到职位申请人是否有犯罪前科信息,则雇主很可能会作出更大的歧视性选择,将对特定人的歧视扩展到对特定群体的歧视;同理,如果所有消费者都从广告信息中选择退出,则实际上会降低产品和服务的竞争度,因为消费者获得的产品信息更少了;而在依赖于数据共享的科研、医疗领域,过严的数据保护政策也会带来整体社会福利的明显减损[5]。
如何平衡好数据治理政策的积极和消极影响,并没有一刀切的解决方案。正如我们对美国国会系列听证会对数据政策深度探讨的外在观察而看,更科学的政策仍然是在充分考虑数据治理过程中的不同因素之间复杂的互动关系。关于未来的联邦隐私法,我们可以预判它最核心的制度和功能将仍然最主要依赖于联邦贸易委员会(FTC)——一个以经济学专业人士为主要构成的机构,这在一定程度上决定了美国未来的联邦隐私法,也将会更精细地平衡数据治理的不同要素。
我们呼吁在当前中美数字经济竞争格局下,数据治理政策的讨论应当是多维框架、多因素互动的模式,增强来自产业界、监管界和学界的互动和讨论,用更开放的视角,更精细化和科学的方式设计更好的政策,更有效地放大数据保护的正向能力,更小地弱化它带来的负面的效果,实现权利保护、产业发展、国家竞争力提升的多赢结果。
