要目
一、引言
二、隐私设计的基本原理分析
三、隐私设计产生数字权力风险的
根源和表现形式
四、隐私设计的多元优化路径
五、结束语
内容摘要:隐私设计是指平台企业将保护隐私的价值理念贯彻到人工智能系统的代码设计中,从而满足法律规定的合规要求。基于数据合规的制度框架,隐私设计具有引发平台企业的自治权力无限扩张的风险。为避免隐私设计产生的数字权力风险,应实现从“代码即法律”到“规制四要素”的理念转变,促进不同规制要素之间的互动,构建针对隐私设计产生数字权力风险的多元规制框架:在法律规制层面,应当秉持“实验主义治理”理念,建立针对隐私设计人工智能系统的监管沙盒制度,实行一种鼓励创新的监管模式;在市场规制层面,应当建立完善覆盖隐私设计人工智能系统入市前与入市后的全生命周期市场评估机制;在社会规范规制层面,应当在隐私设计人工智能系统代码的制定阶段与实施阶段设立用户的监督渠道,促进公共领域的商谈与沟通。
关键词:隐私设计;数字权力;多元规制;代码即法律;规制四要素
一、引言
“隐私设计”全称为“通过设计保护隐私”(Privacy by Design, PbD),是指平台企业将保护隐私的价值理念贯彻到人工智能系统的设计中,从而满足法律规定的合规要求。
与以事后惩戒为主要特征的传统法律规制模式相比,PbD更加侧重于事前的风险控制,其着眼点并不在于平台企业的数据行为,而是数据行为所依托的人工智能系统。例如,针对平台采集数据的合规问题,传统法律规制方式遵循的是“知情同意”原则,即平台的数据采集行为只有在获得用户授权的情况下才具备正当性,否则就将承担相应的法律责任。然而,PbD主张将采集数据的合规要求嵌入人工智能系统的代码设计中,即在系统中设置其采集数据的类型、采集数据的限度等代码指令。不同于以人工智能使用者(数据控制者)为中心的传统学说,PbD将重点对准人工智能的系统开发者,由此隐私保护不再仅仅是法律驱动或政策驱动,而成为真正的“设计驱动”。
PbD的理论基础是20世纪50年代兴起的价值导向设计理论以及劳伦斯·莱斯格(Lawrence Lessig)于1999年提出的“代码即法律”(Code as Law)思想,并由加拿大渥太华省信息与隐私委员会前主席安•卡沃基安(Ann Cavoukian)首次提出。2010年,卡沃基安阐释了PbD的7大原则,包括“积极预防而非被动救济”“隐私默认保护”“将隐私嵌于设计之中”“功能完整—正和而非零和”“全生命周期的保护”“可见性和透明性”“尊重用户隐私—确保以用户为中心”,系统阐述了隐私设计理论的精神与内容。目前,PbD已经成为当前国际隐私保护实践中推崇的理念,并被公认为互联网信息行业的一般隐私框架,广泛适用于大数据、敏感信息、识别加密、人工智能、物联网等领域,并在欧盟、美国等地得到了法律层面的体现。
梳理现有学界对PbD的讨论,我们可以发现域外学者已经对PbD的实施步骤、设计方案、技术方法、个案实践等具体适用问题开展了较多研究,且不乏针对PbD在理论内涵、实施方法、用户体验、执行动力、责任分担、法治理念等方面的批评与反思。反观域内,现有研究主要集中于基于比较法的视角讨论PbD的基本原理与场景适用,呈现较大的介绍性与引入性色彩,研究深度有待加强,且缺乏对PbD本身可能会带来的风险的反思性自觉。
在本文看来,在PbD的实践场景背后,尚存在更为复杂的法律理论有待挖掘,而这才是法学学者应当思考的,即透过技术表层分析事物的规范性本质。在学界普遍缺乏这一反思性意识的情况下,本文旨在填补这一空白,从2个相关联的角度对PbD进行“祛魅”:一方面,PbD代表着一种数字权力,如若不对这种权力进行有效规制,那么其将造成很大的风险;另一方面,对PbD的规制要实现从“代码即法律”到“规制四要素”的理念转变,从而构建一种代码与法律、市场、社会规范之间的多元规制框架。
二、隐私设计的基本原理分析
本文研究对象是PbD,在此解释其基本原理,为后文阐述数字权力风险与相应优化路径作背景铺垫。PbD的基本原理包括2个部分:作为硬件的隐私增强技术与作为软件的数据全生命周期理念。隐私增强技术是PbD的技术基础,而数据全生命周期才是该制度的理念与灵魂,其通过系统化的设计将隐私增强技术适用于不同的数据处理阶段,从而形成对用户隐私的全方位保护体系。
(一)硬件 (技术基础):隐私增强技术
事实上,在数据全生命周期的各个阶段所使用的隐私保护技术,被称为“隐私增强技术”(Privacy Enhancing Technology, PET)。作为隐私保护技术的统称,根据霍夫曼等人的总结,PET主要包括8种:最小化、隐藏、分离、聚合、通知、控制、执行和展示。PbD与PET常常被混为一谈。笼统而言,二者关系在于:PET是PbD的技术基础,PbD是以PET为基础的制度理念。它们都主张从人工智能系统内部构建隐私保护体系,将“软法”刻进系统“硬盘”之中,因为要违反或规避嵌入在系统代码之内的规则要比违反写在纸上的法律更加困难。PbD与PET的区别在于:后者只是一种纯粹的隐私保护技术,涉及某一项具体的计数功能,如匿名化、最小化;前者则是一整套系统的隐私保护理念和方法,即通过整合不同的隐私保护技术来构建覆盖数据全生命周期的隐私保护体系。
(二)软件 (制度理念):数据全生命周期
如前所述:PbD主张在人工智能系统的代码设计阶段就将隐私保护的合规要求“嵌入其中”,使得隐私保护的法律规范成为人工智能系统运行的默认规则。就此而言,与着眼于“小数据”风险的“知情同意”隐私保护模式相比,PbD更加重视算法预测带来的“大数据”风险,并尝试在技术根源上实现对数据风险的治理。
PbD的7大原则之一“端到端的安全—数据全生命周期保护”原则体现了“数据全生命周期”的基本理念,要求平台企业将个人隐私保护的需求在首次收集用户数据之前就嵌入人工智能系统设计之中,并扩展至系统运行的整个生命周期,为用户隐私提供全过程的保护。“数据全生命周期”来自生物学上的“生命周期”。随着大数据时代的到来,“数据全生命周期”逐渐作为一种揭示数据风险的治理规律被提出,并被广泛用于数据处理的阶段划分。
在数据全生命周期的每一个阶段中,平台企业都可以运用PET来实现该阶段的隐私保护合规要求。此处,需要说明的是,平台企业在数据全生命周期中的合规要求并不仅仅指隐私保护合规,还包括侵犯个人信息、侵犯商业秘密、侵犯消费者权益、构成不正当竞争、侵犯计算机/信息网络违法犯罪、违反网络安全保护或信息网络安全管理义务等。就此而言,隐私保护风险更多属于与侵犯个人信息相关的合规风险。
以《信息安全技术—数据安全能力成熟度模型》中的“数据生存周期安全过程域”为分析框架,由于合规侧重点的差异,在数据全生命周期的各个阶段所需要用到的PET各不相同(如表1)。
(1)在数据采集阶段,平台可以采用最小化的系统设计方法,即通过对系统的默认设计,将数据收集限定在最小限度内。美国计算机科学家琼·费根鲍姆(Joan Feigenbaum)等人研发的“可定制的隐私设置”可以帮助实现这一目的,该装置能够匹配用户选择的数据收集程序,从而避免数据的过度收集。(2)在数据传输阶段,平台主要关注的是数据泄露风险。一般而言,防范数据泄露、保障数据传输安全的主要技术方法是数据加密,即采用密码技术对传输的明文数据本身进行加密,保证数据的安全。(3)在数据存储阶段,平台可以在数据库结构中设置数据存储周期,确保数据记录被存储于永久性数据库前将个人身份识别信息从大规模的数据记录中移除。同时,企业还可以采用分离与聚合的技术方法处理储存的数据,从而避免匿名化的数据重新被识别为个人信息。(4)在数据处理阶段,平台应当在兼顾个人数据可用性的前提下,适度使用泛化编码、随机替代等去标识化技术。同时加强信息溯源,对使用流程进行记录,并通知用户有关数据收集范围、方式、目的等信息。(5)在数据交换阶段,平台应当加强共享者与访问、披露对象的身份双认证,针对不同对象设定差别式权限,保证程序正当,实现个人信息端对端的安全传输。(6)在数据平台阶段,企业应当在完成特定目的后删除个人信息,删除的技术方法是指对数据进行不可逆地删除或将介质(设备)本身永久销毁,从而使数据不可恢复。
因此,PbD本质上就是在数据全生命周期的各个阶段都将特定的PET适用于人工智能系统中,于用户而言,可以对隐私形成全方位保护体系;于平台企业而言,可以在某种程度上实现全方面合规体系。在实践中,往往后一种目的更加突出,PbD在某种程度上已经成为平台企业的一种合规产品,这种意义上的数据合规已经成为了平台企业的竞争场域。
三、隐私设计产生数字权力风险的根源和表现形式
在阐释了PbD 的基本原理后,本文将进一步 探究 PbD 在适用过程中所产生的风险。概言之, PbD 通过技术赋能平台企业开展自我规制,但在 某种程度上也极大扩张了平台企业的数字权力, 这种风险值得我们关注。
(一)数字权力风险的根源
如前所述:PET 只是一种技术,而 PbD 涉及 一整套包含价值内容的隐私保护理念与方法, 因此应当从制度的角度观察 PbD,从而挖掘其背 后的规范性原理,这样才能达到“祛魅”的目 的。在本文看来,PbD 对于平台企业的意义在于 能够通过数字技术实现自动化数据合规,因此 PbD 也只有放在数据合规的框架下才能够更全面地展开其内涵。如有学者指出,“企业合规”是“合规”之总论,“数据合规”是“(企业)合规”之分论。因此,要搞清楚数据合规的基本性质,首先要考察企业合规的起源。企业合规发展史中一以贯之的“自我规制”理念为数据合规所承继,并在数字社会赋予了其新内涵。
企业合规制度最早确立于美国,后来成为全世界通用的企业治理方式。在20世纪60年代以前,美国主要依赖单一的国家监管模式对企业进行规制,但合规已经出现在美国的商业监管领域的零星实践中。在20世纪60年代以后,随着一些企业垄断丑闻的出现,美国刑事部门认定了多起垄断罪名,对涉案企业开出了天价罚单,这促使众多企业开始制定反垄断合规计划。在此过程中,监管部门给予了大力支持,其在企业的合规计划得到严格实施的情况下,免除了大量企业的法律责任。于是,企业合规建设在美国特定领域逐渐受到重视,形成了若干法案,如1977年出台的《反海外腐败法》、1987年出台的《联邦量刑指南》。由此可见:在企业合规的早期发展中,企业合规已经被定位为一种法律激励机制,即促使企业自觉构建完善内部管理体系,从而避免公司员工违反相关法律规定。
进入21世纪后,美国为应付大规模的企业欺诈丑闻,通过了《萨班斯-奥克斯法案》,推动公司建立内部控制体系成为最主要的企业监管模式。在该法案的影响下,美国上市公司会计监管委员会确立了企业内部控制体系的基本标准。企业可以根据合规的基本标准与自身情况,自主构建公司内部合规管理体系。在这一时期,美国已基本实现对企业的规制模式的转变,推动企业合规这种自我规制模式向全行业扩展。
随着美国企业合规制度的普遍实施与日渐完善,不少西方国家逐步接受了企业合规理念,开始逐步建立相应的合规制度,如英国、法国。此外,还有一些国际组织将企业合规作为一种“国际执法激励机制”,引导各国企业开展相应的合规建设。世界标准化组织更是基于最新的各国合规实践,于2021年颁布了《合规管理体系要求及使用指南》,这意味着企业合规已经成为一种国际趋势。
从企业合规的发展历程可知:企业合规是不同于传统“政府规制”的企业治理模式。“政府规制”主张凭借政府的外部强监管对企业进行规制,企业合规所代表的“自我规制”则主张企业在其内部完善合规管理体系,从而自主规范其日常经营管理行为,自觉遵守相关法律规定。一方面,企业通过“自我规制”避免了承担沉重的法律责任;另一方面,政府也因企业自觉遵守法律规定而节约了规制成本。数据合规是企业合规的新近发展,但仍然没有脱离企业合规的“自我规制”理念,而是为这一理念赋予了数字社会的新内涵。具体而言,在数据合规的框架下,平台企业掌握着大量的数据资源,而这些数据资源为平台企业提供了用户的各种个人信息,这些个人信息都是实施精确化规制的前提,平台得以通过大数据与算法决策为用户打造个性化服务。平台企业的这种自我规制模式显然比传统的政府规制更具有直接性与效率性。
在数据合规的框架下,平台企业基于自我规制在事实上获得了很大自治权力,而这种基于数据合规的制度性权力在获得PbD人工智能系统的赋能后,将促进制度性权力与技术性权力的某种“权力合作”,这就导致平台企业的自治权力具备了无限扩张的潜在风险。下文将具体阐述该风险的表现形式。
(二)数字权力风险的表现形式
如前所述:在数据合规的制度框架下,平台企业在事实上掌握着很大的数字权力,而这种数字权力可以通过PbD进一步扩张,这与PbD人工智能系统的运作原理密不可分。具体而言,在PbD的实施步骤中,界定隐私保护的法律需求往往是整个流程的第一步,此后关于系统的具体设计方法都必须紧紧围绕法律需求进行,从而保障最后设计出的系统能够自动实现隐私保护的功能。因此,在PbD中,法律是出发点,技术是对法律的响应。然而,这既是PbD的精髓,也是PbD的难点,即法治风险所在。本文认为,这种法治风险有2种表现形式:一种是单纯的客观技术性风险(法治→代码之治),另一种是隐蔽的主观人为性风险(法治→人治)。
从技术性风险的角度上看,正如工程师安顿(Anton)和厄普(Earp)指出,PbD的难点在于如何通过代码准确地阐释法律需求。众所周知,文本意义上的法律规范是用人类社会的自然语言书写的,而代码表现为一种只能由计算机识别的二进制数,属于一种机器语言,2种语言的转换无疑是一项巨大的挑战。(1)代码的运行因完全贯彻机器语言的形式逻辑而不可避免地具有机械性和封闭性,法律文本则往往存在许多模糊的概念,且法律的运行正是因为存在概念的可解释性才更具有灵活性和开放性;(2)代码的运行完全排斥价值判断,这让其难以表达正义、道德等价值性概念,而法律的解释与适用是与法官的主观价值判断分不开的。正如考夫曼所言,通过符号的方式表达出来的法律已经不是其本来的样貌了,其与法官通过裁判所表达的法律是不同的。因此,如果忽略法律与代码的本质性差异而未加反思地实施PbD,那么将很有可能损害法律的解释开放性与价值判断性,实践中真正运作的只剩下形式化的法律命题句法结构,那么法治就将为“技治”所取代。
从人为性风险的角度上看,“代码之治”虽然表层意思是“代码的治理”,但代码往往由企业委托技术公司的代码编写人员设计。在PbD中,要实现将隐私保护的法律规范理念嵌入代码设计中的目标,需要设计者同时具备相应的法律知识与技术能力,代码编写人员虽然精通代码编写技术,却未必能够很好地理解法律规范的具体要求,从而可能出现在代码编写过程中无意扭曲法律规范所指的风险。此外,面对法律要求,企业也有自己的利益立场,当企业委托代码编写人员设计代码时,其可以借助委托人的身份让代码编写人员设计有违法律但有利于企业谋取不正当利益的代码,而这种不法手段往往很容易借助代码编写人员的技术垄断地位从而规避相应的法律规制。在这种情况下,代码就不再是价值无涉的,而是充分贯彻了代码编写人员的主观意志,法治也就异化成了“人治”。
数字权力的扩张所带来的法治风险是需要正视的挑战,而关键就在于应当如何规制这种基于PbD的数字权力风险。下文将提出针对PbD的多元规制框架,以此修正原有PbD“代码即法律”的理念。
四、隐私设计的多元优化路径
PbD 体现了“代码即法律”的规制理念, 但这并不是莱斯格规制理论的全貌,如果没有 注意到这一点,那么将很难探寻规制代码权力 或数字权力的可行之道。因此,本文试图呈现 莱斯格关于“规制四要素”的理论全貌,并以 此为基础构建针对 PbD 数字权力的多元规制 框架。
(一)宏观层面:实现从“代码即法律”到“规制四要素”的转变
PbD是“代码即法律”的具体适用,后者也是莱斯格在《代码2.0:网络空间中的法律》所提出的核心观点,其核心在于强调西海岸硅谷程序员编写的代码(code)与东海岸国会议员编纂发布的律令法典(code)一同规制着网络空间,甚至代码所发挥的规制作用更有效。代码为什么能规制网络空间?因为代码控制着网络空间的架构,这种架构既可以是具体意义上的互联网“三层架构”(IBM),包括表示层(用户界面)、应用层(处理数据)和数据层(存储和管理与应用程序相关的数据),也可以表示抽象意义上的“福柯式架构”,这种架构在社会规制理论中能够体现规制的能力与范围。因此,从社会规制理论的角度看,PbD这种基于代码的规制比传统的法律规制更有效的原因是二者的目的均为保护用户隐私,而规范意义上的隐私以网络空间中的数据为载体,这就决定了PbD这种事前的代码规制将比事后惩戒型的传统法律规制更为直接有效。
然而,莱斯格的“代码即法律”并不是《代码2.0:网络空间中的法律》的全部内容(尽管是核心观点),在代码之外,莱斯格提出了网络空间的“规制四要素”理论,强调对网络空间的规制需要4种规制要素的合作:法律、代码(架构)、市场与社会规范。由此,莱斯格没有停留在孤立的代码规制,而是从包括代码在内各种规制要素之间的互动来试图提出解释力更强的多元规制框架理论。
事实上,“规制四要素”理论在历史上具备深厚的理论脉络,其在近代可以追溯到霍姆斯所代表的法律现实主义。20世纪90年代,罗伯特·埃里克森(Robert Ellickson)出版《无需法律的秩序—相邻者如何解决纠纷》。该书基于对美国西部夏斯塔县牧民的纠纷解决机制的实地调查而得出结论:在构建与维持社会秩序上,社会规范常常能比法律发挥更大的规制作用。在此,其实已经能多多少少看到莱斯格的“代码即法律”的影子,只不过彼时的主角还是社会规范:“社会规范即法律”。在此启发之下,莱斯格逐渐开始构建自己的多元规制理论。1995年,莱斯格发表文章《社会意义的规制》,基于法律、架构和社会规范的规制作用,初步建立起自己的多元规制理论。可见,莱斯格在20世纪的学术风格中就带有一种体系化思维,即其并不会因为某一种规制要素的价值显现就强调以此为基点的中心主义或万能主义,而是更乐意从宏观的角度观察规制要素之间的关联,从而补强传统规制理论。1998年,莱斯格在一篇开宗立派式的文章《新芝加哥学派》中进一步发展了自己的多元规制理论,首次完整提出了“规制四要素”理论:法律、架构、市场和社会规范。
至此,《代码2.0:网络空间中的法律》的“规制四要素”理论完整地呈现在我们面前,而所谓的“代码即法律”既是莱斯格在互联网兴起的时代为“架构”赋予的全新内涵,也是该理论的“旧瓶装新酒”,即旧的“规制四要素”理论在网络空间的新适用。基于从“代码即法律”到“规制四要素”的理念转变,本文将在某种程度上承继“新芝加哥学派”的多元规制理念—区别于“老芝加哥学派”的“法律中心主义”,并不围绕PbD的代码规制来建构理论,而是将PbD置于多元规制的理论框架中,通过考察PbD与法律、市场和社会规范之间的互动关系规制PbD背后的数字权力。
(二)微观层面:隐私设计中“规制四要素”的多元优化路径
在实现从“代码即法律”到“规制四要素”的理论转变后,本文将围绕PbD的数字权力风险,进一步展开“规制四要素”多元规制框架的制度设计。PbD代表的是“规制四要素”中的“代码/架构”要素,另外3个要素是法律、市场与社会规范,而多元规制框架的要点就在于促进不同规制要素之间的互动。因此,下文将分别从PbD与法律、PbD与市场、PbD与社会规范3个方面展开规制路径。
1.以法律规制PbD
PbD与法律之间的互动并不意味着法律发挥传统的强制规制功能。在多元规制框架下,法律也需要在与其他规制要素的协调中逐渐调整自己的规制策略,从而更好地适应新的规制场景。从系统论的角度看,法律系统基于自身的“合法—不合法”二值代码运作,将自己从全社会中分化出来,形成一个运作封闭的自创生系统。然而,法律系统的“运作封闭”特征只保证了其自主性,但系统并不自足,其需要与外界环境保持一定程度的交流,因此法律系统还具有“认知开放”的特征,从而接受外界环境的“激扰”。因此,法律在规制PbD时,一方面需要保持自身的规范性特征,另一方面也需要根据隐私保护的复杂性调整自己的规制策略。在PbD能够在网络空间更好发挥直接规制功能的情况下,法律不妨采用一种间接规制思路,即在尊重平台企业通过PbD进行自我规制的前提下,对这种基于PbD的自我规制保持一种包容审慎的规制态度。包容审慎监管是本土语境下的规制策略,也有学者称之为“敏捷治理”,主张对新兴科技采取一种鼓励创新的监管态度。包容审慎监管或敏捷治理的理念已经在智慧社区、数字平台、数字政府、元宇宙等新兴领域得到落地适用。《生成式人工智能服务管理暂行办法》第3条也明确提出,对生成式人工智能服务实行包容审慎监管。
事实上,包容审慎监管和敏捷治理并不是新近的概念,其背后的理论基础是查尔斯·萨贝尔(Charles F. Sabel)和乔纳森·蔡特林(Jonathan Zeitlin)基于欧盟治理实践而提出的“实验主义治理”(Experimentalist Governance)。实验主义治理具有3个主要特征:短期性、试错性、交流性。具体而言,实验主义治理强调在不确定性较大的环境中,先建立临时性规制框架,然后在执行过程中对这种临时性规制框架进行修正,且规制者与被规制者以及其他利益相关方之间的交流贯穿始终。在PbD等人工智能治理领域,“监管沙盒”(Regulatory Sandbox)正是在实验主义治理理念指导下产生的一种制度设计,是指在人为创造的规制环境中测试新服务和新产品。监管沙盒最早来自金融领域,在人工智能治理领域已经通过《人工智能法》实现了法定化。《人工智能法》第53—54条规定了针对人工智能系统的监管沙盒制度,提出建立一个受控的环境来开发、测试和验证进入市场前的人工智能系统,若在监管沙盒内发现该人工智能系统会损害人类的健康安全等基本权利,相关监管部门应中止监管沙盒并行使督促纠正等监管职权。这种监管沙盒制度是一种典型的实验主义治理模式,即人为制造一个人工智能的适用环境,通过观察人工智能系统适用过程中所产生的风险来选择与调整后续的监管措施。这种具备弹性的制度设计能够很好地契合具备高度不确定性的人工智能。
对PbD适用监管沙盒制度,需要明确如下几个要点。(1)在组织建设上,应当确定专门负责管理监管沙盒的监管机关。从域外经验来看,欧盟的人工智能监管沙盒监管主体是国家层面的数据保护部门。回归本土,在数字政府建设日益完善的基础上,可以依托国家数据局或其下设部门来确定监管沙盒的监管机构。这样既可以在监管沙盒的相关适用标准上形成全国统一标准,从而避免不同地区的标准不同而形成监管沙盒的“地方保护主义”,也能够充分发挥国家数据局协调全国数据要素推动算法和人工智能发展的基本职能。(2)在实体规范上,应明确监管沙盒的PbD合格标准并针对不合格的PbD确立相关监管措施。这种监管措施应当形成一种从软性措施到硬性措施的规制谱系,避免过度抑制PbD的技术创新与发展。这也是包容审慎监管理念的应有之义。(3)在程序规范上,应当规定监管沙盒的申请、评估、测试、报告、退出5个阶段的实施细则,让纸面上的监管沙盒制度能够真正落实。
2.以市场规制PbD
PbD与市场间的互动往往被忽略,但基于平台企业的商业性、逐利性和人工智能的产品化、产业化,市场往往能够对PbD起到重要的规制作用。欧盟经验可以说明这一点。学界一般认为,欧盟《人工智能法》对人工智能治理的总体治理思路是“基于风险的治理”,但鲜有学者从市场规制的角度分析这种风险治理模式,即欧盟对人工智能风险的识别、评估、控制等风险治理措施均建立在欧盟人工智能统一市场的框架之上。
具体而言,欧盟的人工智能风险治理为人工智能设计了全生命周期的规制措施,覆盖作为产品的人工智能系统入市前和入市后的各个阶段,构建了涵盖事前、事中、事后的完整规制体系。这种结合风险治理与市场规制的制度设计显然借鉴了德国侵权法上的“产品跟踪观察制度”,但欧盟模式是一种更多基于市场规制的政策性思维,有别于德国模式的教义学思维。欧盟将人工智能规制周期分成5个阶段(设计、评估、注册、认证、监测),并在每个阶段都设计了相应的市场评估机制,从而实现对人工智能的市场规制。
同理,PbD与技术密切相关,PbD的法治风险在很大程度上决定于被设计出来的技术系统本身。对技术系统的风险进行评估的需求,催生了PbD认证机制。根据国际与国内对“认证”的概念定义,认证又被称为“第三方合格证明”,认证机制是由第三方认证机构对产品、服务是否符合相关标准所开展的评估活动。因此,认证机构并不是公权力机关,而是属于掌握专业技术认证能力的第三方专业机构;PbD认证机制则属于针对平台企业数字权力的第三方规制。在规范层面,我国《网络安全法》第17条、《数据安全法》第18条第1款、《个人信息保护法》第62条都提供了PbD认证机制的一般性规范依据。此外,《个人信息保护法》第38条更是将个人信息保护认证作为向境外提供个人信息的合法性条件之一。在域外方面,欧盟GDPR首次将“数据认证”纳入正式法律文本,欧盟数据保护理事会制定的《认证和认证标准指南》认为,“数据认证”是指有关数据控制者及处理者的数据处理规程的第三方证明。加拿大瑞尔森大学隐私和大数据研究中心与德勤(Deloitte)联合开发了PbD认证项目,流程包括:申请、咨询、进行评估(发表初步意见)、回应评估意见、完成评估报告、完成认证、提供认证标识。在PbD认证机制已存在丰富实践的背景下,本文认为,该认证机制的有效运行仍有2个关键问题:如何保障认证机构能够有效评估PbD的问题(私权力的信度问题)和如何保障认证机构的认证结果能够发挥效力的问题(私权力的效度问题)。
就认证机制的信度而言,由于认证机构与企业都是数字时代下的私权力主体,因此二者的权力都要受到制约。如果只是单独规定认证机构对企业的制约而无法对认证机构本身形成有效监督,同样无法保证认证机制能够按照预期履行法定职责。就此而言,应当将私权力与其他权力衔接起来,让认证机构的认证工作受到其他权力的制衡与监督。如欧盟《通用数据保护条例》(GDPR)第42条确立的“经批准的数据认证制度”,强调了公私共治的治理理念。数据监管当局全程监督并有权“干预”整个认证过程和认证结果,有效克服了第三方认证存在的市场信任度低、逆向选择等问题。
本文认为,围绕PbD认证机制所开展的制度设计,不应仅局限于认证机构与政府之间的权力制衡,还应包括认证机构与其他私权力机构之间的互动,从而建构更完善的规制空间。具体而言,为促使针对PbD的认证机构有效发挥预期效果,其应当满足2个基本要件:独立性与专业性。这2个要件在实践中的落实都涉及各规制主体之间的权力制衡与互动。
认证机构应当具备独立性,即其并不与待认证的企业与政府存在利益关联,这是多元共治框架下权力制衡的必然要求。认证机构与待认证企业存在利益关联,将导致针对PbD的认证流于形式,不但无法发挥好认证机制的权力规制功能,而且会破坏市场秩序。就此而言,政府应当在认证之前对认证机构与待认证企业之间的关系进行审查,只有在审查通过后,认证工作才能继续开展,认证结果才可被认定为有效。此外,认证机构也应当独立于政府,否则将导致认证机构带有行政机关的浓厚官僚色彩而无法发挥其引导市场资源配置的灵活性与高效性的功能。因此,《认证认可条例》第13条第1款和《产品质量法》第20条都规定认证机构不得与行政机关存在利益关联。
认证机构应当具备专业性,即其应当符合开展PbD认证工作所需要的专业资质并得到市场或政府的认可。我国目前并没有形成关于PbD认证机构的专业资质标准,可以参考《认证认可条例》《认证机构管理办法》的相关规定和欧盟GDPR第43条规定的认证机构5项条件予以确定。显然,对技术系统是否达到PbD标准的认证机构资质认证需要很强的专业性,且对专业人员的法律素养与技术素养皆有要求。因此,在初期,可以先由市场筛选出专业性较强、声誉较好的认证机构(市场认证),待PbD认证机制逐渐成熟,再慢慢形成政府对PbD技术系统是否达标的官方认证。唯有如此,PbD认证机制与其他私权力主体、公权力主体才能形成良性制衡与互动。
就认证机制的效度而言,只有保证认证机构所作出的认证结果具备效力,才可以确保认证机制能够在实践中发挥期待功能。对此,本文主张将PbD认证机制与其他已有制度进行衔接,从而激活认证结果的效力。一方面,PbD机制可以与“涉案企业合规从宽”制度衔接起来。以《深圳市企业数据合规指引》第3条为例,数据合规风险评估结果可以作为该条第1款的“履行数据合规义务”的义务履行标准。此处可以基于法律解释,将对PbD的认证结果一并纳入数据合规的风险评估指标中,使认证机构的私权力再度与公权力关联起来,形成共治中的良性互动。
另一方面,PbD认证机制还可以与《个人信息保护法》第54条的“合规审计”制度连接起来。2023年8月,国家互联网信息办公室发布了《个人信息保护合规审计管理办法(征求意见稿)》和《个人信息保护合规审计参考要点》,首次明确了个人信息保护合规审计的基本要求。PbD的认证结果可以作为合规审计的内审或外审的参考,这也是内部独立监督机构与外部第三方专业机构获取被审计企业信息的重要方式,属于基于成本收益分析的优质选择。这样一来,认证机构的私权力与审计部门的私权力形成了另一种权力制衡,并在良性互动的基础上再度丰富了多元共治的框架。通过与其他制度的衔接,不但可以保障PbD认证机制的实施效力,还可以丰富衔接制度的具体内容。
3.以社会规范规制PbD
在“规制四要素”中,由于社会规范在内容、形式与效力上均有不确定性和模糊性,所以学界对其讨论较为匮乏。本文试图重新发现网络空间中的社会规范,探讨针对PbD的另一条规制路径。
一般而言,社会规范是指国家正式制度之外,以社会影响为基础,约束个体认知、行为和决策的社会控制现象。区别于法律实证主义的形式主义进路,学界对社会规范的界定往往都带有法社会学特有的一种功能主义色彩,强调即使没有国家强制力的支撑,也可以通过社会影响对个体施加约束。社会影响是指理性个体参照其所处的群体语境来确定潜在行为选择的成本与收益。有学者称之为“生态理性”(EcologicalRationality)。典型的社会规范包括道德规范、社群规范、习俗惯例等。
就PbD的规制而言,对社会规范的强调在于体现PbD的服务对象—用户的规制作用。如前所述:在PbD的“代码即法律”理念之下,PbD构成了平台内部保护用户隐私的法律机制,而法律机制运作的2个主要部分就是法律的制定与执行。因此,用户的规制作用应当体现在这2个环节中。
法律制定依据的问题导向是PbD的代码编写问题。PbD的代码编写人员属于技术群体,但他们与平台企业这种商业主体存在合作关系。因此,代码编写人员需要尽可能地满足平台企业对代码设计的要求,从而使得执行这种代码的人工智能系统能够实现平台企业的目的。理想状态下,这种目的应是保护用户隐私,但由于平台企业的逐利性,仍需要对其施加监督,以避免其通过技术黑箱滥用权力。此处可以引入一种“双轨治理”,即平台企业与用户的共治模式。这种双轨治理兼具中西的理论支撑,无论是费孝通的“皇权”与“绅权”之分,还是哈贝马斯的“双轨的商议性政治”,都在中心化的权力之外强调另一条去中心化的治理路径。具体而言,平台企业在与代码编写人员沟通代码编写事项时,应当注重用户意见的表达,一方面可以设计易于公众了解的调查问卷收集用户的需求,另一方面也可以通过选取用户代表参与到代码编写人员的交流中。我们只有广泛收集非正式公共领域的公共意见,才能让最终体现在PbD人工智能系统中的意志体现公共性。
法律执行依据的问题导向是针对PbD的反馈与执行问题。在代码编写完成后,执行该代码的PbD人工智能系统是否能够如预期一般运作良好?这个问题的答案不在平台企业的说辞,而在用户的服务体验。代码的运作机理就如同黑箱一般,无法为外界所窥探,信息的闭塞阻碍了交流的畅通,让人类社会之间的信任难以为继。为了重构用户对平台企业和PbD人工智能系统的信任,平台企业设置完善的用户体验机制与反馈机制,这也是PbD的7大原则中第7项“以用户为中心”的基本要求。在广泛收集用户对PbD人工智能系统的意见和质疑,平台企业应当及时作出适当的解释与说明,这就是算法解释权的价值所在。另外,开放源代码是另一个值得探索的策略,涉及与商业秘密、专利权之间的利益冲突。概言之,PbD人工智能系统不能够永久保持一种拒绝沟通的状态,这种居高临下的态度并不利于信任秩序的维系,良好的沟通需要在特定阶段基于用户的要求不断打开这一密闭的黑箱,让黑箱暂时变为白箱,促成平台企业与用户之间的相互理解和双向信任。
五、结束语
如同近期热议的ChatGPT一样,PbD仿佛构建了一种桃花源式的“科技乌托邦”,既可以帮助平台企业实现基于数字技术的自动化隐私保护合规,也可以使用户放心地将自己的隐私交给无法理解其运作原理的数字技术。然而,在这种“技术万能主义”的幻梦破灭之际,本文旨在打开PbD的技术黑箱,如刀剑般直抵其制度性咽喉,刺破真正的事物本质。PbD在很大程度上通过保护隐私的表象掩盖了平台企业数字权力无限扩张的内核,而这种数字权力若不加限制,最终会塑造一个超级巨无霸型的“数字利维坦”,这种数字利维坦已经超越了霍布斯的远古想象,其所掌握的架构是过去所有基于暴力机器的统治者都不曾享有的,即以大数据、算法、人工智能为核心的新兴数字技术。就此而言,PbD仅仅是平台企业所掌握的众多规制工具的一种。
面对隐私设计产生的数字权力风险,应打碎“代码即法律”的乌托邦构想,代码确实可以实现规制的效果,但如何保障代码意志始终代表包括用户在内的公共意志?为此,需要基于“规制四要素”理论构建多元规制框架,将掌握数字权力的这头巨兽关进铁笼之中。代码的力量确实强大,但法律、市场和社会规范也可以在数字时代不断调整自己的规制策略,提高自己的规制能力,只有在规制四要素之间形成良好互动而不让代码一家独大,才是我们希望看到的数字未来。
↓ 本文来源与作者信息
原文刊发于《长江论坛》2024年第5期。为了阅读方便,省略了注释。 作者:段俊熙,武汉大学法学院硕士研究生;
徐亚文,武汉大学法学院教授、博士生导师。
