王文娟|数据流通风险的识别与全流程治理路径
文摘
教育
2024-09-02 10:05
江西
数据的流通是数据生命周期中的重要环节。数据流通在为数字经济保驾护航的同时引发了三重风险:一是数据流通前不当获取数据资源风险;二是数据流通中违法传播数据行为风险;三是数据流通后失范利用数据内容风险。在规制数据流通风险时既要实现对数据流通安全的周延保护,又要促进数据有序共享。为此,应采用全流程治理策略:制定数据流通的事前合规计划,有效预防流通风险;提升数据流通的事中监管实效,实现数据安全保护与数字化发展的有效平衡;构建数据流通的事后惩治机制,在民事责任、行政责任规制无法达到预期效果时由刑事责任进行补位性规制。王文娟(1993— ),女,江苏连云港人,讲师,华东政法大学传播学院讲师,法学博士,从事数据法、传播法研究。数字经济时代,数据逐渐成为新型的生产要素和数字化生存方式,被誉为“21世纪的石油”。在万物皆可数字化的社会中,数据载体代替物质载体发挥关键性作用。数据不同于传统资源,其价值在于流通,无论何类主体通过何种方式推动数据治理,根本目的都在于实现数据有序共享,以便通过数据之间的相关性最大程度地挖掘与释放数据价值。近年来,随着我国社会空间数字化水平的不断提升,企业在数字经济领域的主导作用日渐突显,数据流通在为科技发展提供助力的同时带来了负面影响。如何维护数据流通安全逐渐成为国家治理的重要议题。数据的公平流通是数字经济的生命线。当前有关数据流通风险治理的研究,主要集中在对代表性数据信息流通风险的法律监管、与欧盟数据要素流通的立法比较、数据流通中基础设施的建设、企业数据合规体系的构建、侵犯数据保护法益的刑事责任认定等五大方面。虽然已经有一些研究关注数据流通的安全风险,但是既有讨论仍存在一定的不足:一是研究的精细化程度不足,往往将数据流通风险作为宽泛的研究对象进行探讨,并未结合流通过程进行类型化分析;二是研究的体系化框架缺失,既有研究主要在于梳理数据流通的规范要求、个案经验或者法律责任的认定,缺乏对数据流通风险治理路径的系统性省思,无法针对当下复杂的数据流通实践制定有效的风险规制方案。本文从风险的全流程治理视角出发,探讨以下三个问题:第一,厘清数据流通可能涉及的安全风险;第二,探究数据流通安全风险的引发因素;第三,根据数据流通安全风险的特征,有针对性地提出治理策略。本文通过对我国数据流通现状进行系统性考察,探究数据流通面临的各类风险,剖析风险产生的原因,进而尝试构建事前预防、事中监管、事后惩治的全流程防控策略,形成“严而不厉”的风险治理路径,避免“办理一个案子,垮了一个企业”现象的发生,在保障数据安全的同时促进数字经济发展。在数智社会中,“数字化信息通信技术开启了人与人之间信息传递的新纪元,从根本上改变人们与外界相互连接的方式,并由此给社会带来了革命性变化”。然而在“数据主义”浪潮的裹挟下,数据流通并非只服务于数字社会的发展,还服务于社会控制或数字资本的增值。数据内容的有用性已被数据流通的利益取代。在这样的社会背景下,数据面临被恣意流通的风险。根据数据流通的序列性特征,以流通过程的先后次序为主线,数据流通风险主要由以下三部分组成:一是数据流通前不当获取数据资源风险;二是数据流通中违法传播数据行为风险;三是数据流通后失范利用数据内容风险。在数字经济时代的背景下,数据不只是重要的治理资源,还是不可或缺的经济资源。数据流通是数据“聚”“通”“用”的过程,要想“启动”数据流通,就要实现数据的“聚”,也就是数据的获取。挖掘与获取作为数据流通的关键步骤,我们无法绕过数据的收集实现数据共享。随着当前数据收集、处理和提取价值的普遍化,形成一种新的分配世界资源的方式,一种促进经济增长的新的资源获取方式,这种新的获取方式就是“数据殖民主义”。杰米·萨斯坎德指出,一场没有知情同意且一方不在场的数据交易等同剥削,因为它涉嫌从弱势群体身上不公正提取经济价值。通过垄断资本对数据的剥夺性占有,本质上就是一种数据殖民。在数据殖民主义时代,我们习惯于使用同样难以理解、被称为“服务条款”的文档,其中大多包含企业强制授权、私自收集用户数据、过度索取用户权限、超范围收集个人信息等主张。例如,工业和信息化部对应用软件违规收集、超范围收集用户数据等问题进行检查,发现“新浪体育”“搜狐新闻”“闪送”“每日优鲜”等应用软件侵犯用户权益需要及时整改。由此可见,伴随数字化社会进程的推进,数据以前所未有的速度被挖掘利用,数据的获取在提高社会福祉的同时,可能侵害数据主体的权益。从司法实践来看,不当获取数据资源主要分为以下两种类型。一是用户数据资源。倘若不当获取的数据为用户数据,应考虑个人信息保护法规定的“知情-同意”原则,否则将违反个人信息保护法中有关信息收集的规定,构成违法行为,情节严重的将构成非法获取型侵犯公民个人信息罪。例如,在杭州魔蝎数据科技有限公司侵犯公民个人信息案中,杭州魔蝎数据科技有限公司和个人贷款用户签订的«数据采集服务协议»明确告知贷款用户不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息,然而其未经用户许可仍采用技术手段以明文形式,长期非法获取的个人贷款用户各类账号和密码条数多达2000万条。法院认定杭州魔蝎数据科技有限公司以其他方法非法获取用户数据,情节特别严重,该行为构成侵犯公民个人信息罪。二是业务数据资源。倘若不当获取的数据为业务数据,可能构成不正当竞争,情节严重的则构成非法获取计算机信息系统数据罪。例如,在斯氏公司不正当竞争案中,斯氏公司运用网络爬虫技术突破微信登录设置的关卡,非法获取公众号平台内具有商业价值的数据内容,并另外架构网站对外出售非法获取的数据内容。法院经审理后认定,斯氏公司提供微信公众号及文章搜索、展示等服务,照搬微信公众号发布的部分数据内容,构成不正当竞争。事实上,倘若不当获取业务数据情节严重,则可能构成非法获取计算机信息系统数据罪。以深圳市帮看车科技有限公司非法获取计算机信息系统数据案为例。深圳市帮看车科技有限公司通过外挂软件的方式,非法获取32个汽车品牌4S店的68个账户,成功收集155万次车辆维修和保养的数据,法院经审理认定该行为构成非法获取计算机信息系统数据罪。通过以上对数据流通前面临风险的梳理可以看出,目前不当获取数据资源行为可能会因触犯法律条文而涉及侵犯公民个人信息、不正当竞争等风险。公平信息实践原则作为现代数据保护制度的基石,其核心目的在于向数据主体赋权。在该种环境下赋权意味着控制;也就是说,数据主体应知情并同意企业的数据获取行为。然而实践表明,在数据时代,数据主体难以有效控制数据走向,企业不当获取数据资源的行为可能会突破法律规范对数据的保护,此即数据在流通前不当获取数据资源面临的风险。数字信息与通信技术正在创造和塑造新的社会形式。按照历史学家尤瓦尔·赫拉利的总结,现阶段最耐人寻味的新兴宗教正是“数据主义”,它崇拜的既不是神也不是人,而是数据本身。数据既能为生产、生活带来便利,也是认识世界的重要工具。从数字生活的现状来看,数据流通的背后不仅蕴藏经济利润,而且包含对他人生活和自由的控制。换言之,企业能够利用自身在数字技术方面的主导地位,悄无声息地左右数据流通走向。随着数字环境的日趋复杂,企业违法传播数据行为涉及的风险主要表现在以下三个方面。第一,数据预测推荐风险。数字社会下数据越来越个性化,企业在收集、存储和处理个人数据后,根据用户画像预测、量化和定制专属信息,提高用户黏度进而产生可观的经济效益。在此背景下,围绕数据传播已形成较为成熟的利益共享黑色产业链。这就要求我们在数据传播的过程中特别关注数据的匿名化问题,避免用户画像被用于个性化推送,进而衍生出违法犯罪活动。以某短视频平台侵犯未成年人个人信息案为例。某短视频平台在未征得儿童监护人有效明示同意的情况下对儿童用户进行画像,并运用算法技术将含有儿童用户个人数据的短视频向特定用户推送,进而衍生出下游的猥亵儿童行为,法院认定某短视频平台违法处理儿童个人信息。在本案中,网络平台运用算法分析用户在浏览视频过程中产生的数据信息,并根据数据刻画出用户喜好儿童视频的形象,在此基础上不断将含有儿童个人信息的视频推送给用户,进而引发下游的犯罪行为。事实上,算法作为一种技术本身不具有价值倾向,也不具备识别侵权内容的功能,但网络平台作为数据传播主体具有价值判断,应提高算法预测推荐的透明程度,切断下游犯罪的利益链条。第二,数据私自共享风险。随着数据经济价值、社会价值不断显现,企业通过私自共享数据牟取利益。在腾讯科技有限公司侵害黄某隐私权、个人信息权益案中,腾讯科技有限公司在黄某没有进行任何添加关注操作的情况下,在其读书软件中“我关注的”和“关注我的”页面下出现大量的社交软件好友。此外,无论是否在读书软件中添加关注关系,原告与共同使用读书软件的社交软件好友都能够相互查看对方的书架、正在阅读的读物、读书想法等。法院认为,虽然社交软件与读书软件均由腾讯科技有限公司运营,但是同一信息处理者在关联产品中共享个人信息,需要个人信息主体在充分知情的前提下,自愿、明确同意该处理方式。同时,读书信息中可能包括用户不愿意向他人公开的信息,且腾讯科技有限公司处理的方式对用户人格权益存在较大影响,因此,仅以用户概括地同意服务协议和隐私政策,不能认定腾讯科技有限公司充分履行了告知和获得用户同意的义务。被告腾讯科技有限公司应停止读书软件共享黄某社交软件好友列表信息。在本案中,腾讯科技有限公司并未满足获得用户同意的条件,在关联产品中私自共享数据信息损害用户的合法权益。劳伦斯·莱斯格明确指出,网络需要各种选择的主张。换言之,网络空间有些选择应由用户个人决定,在未经用户选择的情况下不得共享用户数据。在实践中,私自共享用户数据扩大隐私披露的风险范围、提高隐私的获取深度、弱化义务主体的法律责任,对个人自由和自我发展均造成不利影响。数字时代数据比以往任何时候都更容易自由地流通,数据一旦进入网络空间,就会比以往更难把控。企业应严格履行数据传播安全保障义务,有效平衡数字经济发展与数据传播安全的关系。第三,数据虚假刷量风险。刷量行为是一种数据作弊行为,其出于非真实的数据访问目的,运用人工智能技术,通过格式化的点击浏览刻意增加访问流量的累计数目,在网络平台人为营造用户大规模访问的假象,从而提高数据产品的关注度或者增加数据产品的访问量,借以攫取非法利益的一种营销手段。虚假刷量作为适应机器产生的工作方式,能够产出易于识别的流量,便于智能机器捕捉并迅速完成编码,从而提升数据被算法检索的频率。任何刷量行为都产生数据痕迹的积累与扩张,这与叙事内容基本无关。刷量关注的并不是数据元素的消耗,而是数据背后的交易量与注意量,如网络图文或视听信息的浏览量、评论量与转发量等。随着网络技术的进步,数据虚假刷量技术也得以提升,并围绕刷量造假衍生出“流量黑灰产”,是注意力经济的畸形产物。“流量黑灰产”是指以有偿的方式提高流量数据,采用网络技术手段对网络产品实施恶意刷量牟取利益的黑灰色产业。如襄阳某A科技公司推广宣传一款聚合式智能刷流量软件,能够自动打开北京某科技有限公司运营的短视频平台,自动实施批量点赞、评论和随机转发等系列制定动作,实现将视频刷上热门、截流、引流同行粉丝等目标。法院认为通过刷量引流虚构平台数据的行为应给予负面评价,该类行为会影响平台运营管理、商业推广秩序和正常用户体验,属于不正当竞争行。由此可见,数据虚假刷量的行为侵犯了用户的合法权益,扰乱了正常的市场经营秩序,造成市场乱象。伴随数据产业的蓬勃发展,“数据为王、流量至上”已成为经济领域的显著标签,数据信用作为数字经济发展的基础,在数据虚假刷量带来虚假繁荣的同时滋生大量的经济泡沫,危及我国数字经济的健康发展。数据、信息作为基础性战略资源,在我国经济转型中发挥着至关重要的作用。然而,随着社会的进步,数据是数字经济时代的关键生产要素,其经济价值与社会价值不断受到关注,数据的资源与资产属性得到进一步发挥。在实践中,企业失范利用数据内容攫取利益的行为业已屡见不鲜,具体表现如下。一是深度伪造数据内容。企业通过生成对抗网络和人工智能技术在真实信息的基础上生成各种虚假的数据内容,用以误导公众得出有悖于事物真相的认知或判断。过滤气泡理论指出,互联网会依据个人特征、行为和社会关系,量身定制出虚构的社会现实,这种现象对个人、社会与民主制度都是有害的。深度伪造数据内容是利用人工智能合成技术将已有的数据叠加至目标数据上,实现高度的真实性,以此形成过滤气泡,扭曲数据的传播行为。美国学者凯斯·桑斯坦提出回声室、回音层的概念,同一回声室的人们生活在与自己观点相似的同质化政治环境中,不同回声室的人们生活在不同的政治世界中,很难促进问题的解决。深度伪造数据内容会导致不同回音层的人们生活在不同的信息茧房中,最终造成社会信任的崩溃。无论是过滤气泡,还是回声室,它们均加剧深度伪造数据内容产生的社会风险。就深度伪造数据内容本身而言,其会对公民的隐私权、名誉权、肖像权等合法权益产生不利影响。如上海鱼腥草信息科技有限公司在未经吴晨授权同意的情况下,在其运营的“换颜”软件上传以其肖像为标识的视频作品,同时通过换脸技术,将该视频的古风角色开放给众多用户,允许用户通过购买成为鱼腥草公司的会员后,自行制作“换脸”后的视频,以达到该软件的核心功能。法院认为上海鱼腥草信息科技有限公司在未经吴晨同意的情况下,出于营利目的擅自使用吴晨肖像利用深度合成技术制作伪造视频,依法应认定对吴晨的肖像权构成侵害。事实上,深度伪造数据内容不仅会侵犯公民的合法权益,而且会破坏社会秩序,情节严重的甚至会构成违法犯罪,进而产生社会信任衰退效应。二是未经许可利用自动生成的数据内容。近年来,人工智能技术被广泛地运用于各类创作场景中,其在经过大规模数据集的训练后可以脱离人类的控制自动生成超出预期的高质量内容。2022年11月,OpenAI公司发布ChatGPT模型颠覆了传统分析式人工智能的技术路径。该模型作为对话式大型语言模型具有强大的理解力、严谨的推理力和精准的表达力,其功能并不局限于对话,还可以跨模态生成内容、辅助校编等。智能生成技术本身不仅充满着生机与希望,而且充斥着危机与风险。在以ChatGPT为代表的生成式人工智能技术的发展为数字经济注入新活力的同时,我们应意识到,生成式人工智能的本质为辅助性工具,在生成式人工智能衍生数据内容的知识产权授权中,未经许可利用生成式人工智能技术自动生成数据内容面临侵害著作权风险。在深圳市腾讯计算机系统有限公司诉上海盈讯科技有限公司侵害著作权及不正当竞争纠纷案中,被告上海盈讯科技有限公司在其主办的网贷之家网站上发表与原告深圳市腾讯计算机系统有限公司由腾讯机器人Dreamwriter自动撰写的文章完全一致。法院认为,从涉案文章的外在表现形式和生成过程来看,该文章的特定表现形式及其源于创作者个性化的选择与安排,并由Dreamwriter软件在技术上生成的创作过程均满足著作权法对文字作品的保护条件,上海盈讯科技有限公司侵害了深圳市腾讯计算机系统有限公司的信息网络传播权,应承担相应的民事责任。由是观之,未经许可利用自动生成的数据内容可能涉嫌对著作权的侵犯,损害智能生成内容的市场价值。在数据工具理性不断强化的社会背景下,企业容易陷入纯粹追求利益的沼泽中,进而忽视数据流通的公平性与自主性,并衍生出诸多安全性问题。随着数字时代的到来,数据流通风险作为客观存在的现象愈发突出。该风险是在网络技术的过度嵌入与治理方式的片面滞后双重因素影响下演变而来的。从技术发展的历史来看,技术的进步伴随着各种风险与不确定性。网络技术的快速发展不断提升数据流通的广度与深度,在数据流通过程中发挥重要作用。然而,网络技术的过度嵌入和应用会让数据流通陷入“理性的自负”,即以网络技术帝国主义的方式侵入数据流通的过程,使数据流通发生扭曲甚至失真。展开来说,网络技术的过度嵌入干扰数据的流通主要包括以下三个方面。第一,人工智能技术扭曲数据的流通。一方面,人工智能技术对数据流通的不当限制,损害数据流通的全面性。“尽管限制行为背后的真实目的和缘由各不相同,外界也难以得知,但被限制账号本身能够为人们重新理解社交媒体环境、议程设置以及国际外交关系提供不同的切入点。”这阻碍公众全面熟悉数据信息,拘泥于数据的过滤泡中只能片面理解数据信息,公众的思想变得极端化,固有的偏见也会被结构化,导致“数字贫民窟”效应。另一方面,人工智能技术对数据流通的不当爬取,损害数据流通的公正性。本质上,网络爬虫是通过代码实现对人工访问操作的自动化。网络爬虫具备的代码解析能力使其可能访问到人工不会访问或者无法访问的数据。然而,使用爬取技术获得的数据也会导致数据主体失去对数据的唯一拥有权。第二,算法推荐技术遮蔽数据的流通。算法作为基于数据归纳、提取、处理基础上的数字自动化系统,由自我生成、自我维持、自我演化的更新机制连接着公众日常生活的多重场景,甚至塑造人们的世界观、价值观和人生观。算法的运行具有专业性与程序性的特征,作为技术化的算法推荐却难以保证推荐结果的公正不偏。换言之,算法推荐通过精准推送的方式遮蔽数据的真实性,容易形成数据流通茧房。随着数据挖掘算法的广泛运用,算法在数据流通的过程中发挥着至关重要的作用。虽然算法嵌入数据流通在提升效率方面助力颇多,但是算法技术可能被植入程序员的社会经验生成偏见性结果,从而不可避免地存在“算法歧视”“算法黑箱”“算法利维坦”等风险,破坏数据流通的自由度。第三,深度伪造技术离散数据的流通。深度伪造利用的是深度学习技术的“生成对抗网络”,创建接近真实的数据信息伪造物,并通过语音处理、图像复制、视频合成等技术,塑造具有某种目的性的虚假数据信息,弱化公众对数据信息的认知水平与价值理念。不仅如此,“线上圈层已经成为社交网络的一种典型结构现象。圈层长期存在的结果是圈层内部的不断聚合和圈层外部的逐渐区隔,从而形成网络空间信息流通的‘巴尔干化’”。在智能流通时代,深度伪造技术将数据信息的流通推向极端,破坏公众对数据信息的客观认知。例如,早在2019年,一款名为“ZAO”的换脸App在朋友圈刷屏。该软件就是将他人的生物数据转换为自己的生物数据,严重侵犯了用户的隐私,工业和信息部对“ZAO”的负责人约谈,并要求其整改,最终“ZAO”软件被下架。深度伪造技术追求高度真实性的欺骗,可以随意替换生物数据,进而涉及侵犯肖像权的问题。随着人们对数据价值认知的不断深化,数据被赋予的内涵更加丰富和复杂。数据作为驱动经济社会发展的新兴生产要素,在社会生活中的作用愈发突出,其所依赖的网络环境也慢慢发生改变。互联网企业出于权限和利益问题的考量,追求的不再是数据的流通与发展,而是关注度与价值的最大化。在此背景下,数据流通必然迁延扩张,进而衍生诸多安全风险。当前,有关数据流通风险治理存在以下两方面困境。第一,刑事规制手段的过度依赖。虽然我国民事、行政、刑事法律法规对数据流通安全均设置了保护措施,但是在实践中存在过度依赖刑罚惩治数据流通违法行为。“刑事责任前置,民事与行政责任后置”的惩治方式,片面强调刑法治理数据流通违法行为的功效,不仅加剧数据安全保护与数字经济发展之间的冲突,而且背离刑法的谦抑性而陷入泛刑化的窠臼。应当看到,数据流通风险治理的目的在于维护数据有序共享。倘若民事治理手段与行政治理手段能够有效防控不当获取数据资源、违法传播数据行为、失范利用数据内容等风险,则首先应采用这两种更为柔和的治理方式。然而在目前司法实践中,数据流通风险的治理方式仍突出刑事制裁手段,忽视其他手段对数据流通风险的治理实效。第二,企业内控措施的不当缺失。数据技术的迅猛发展在提高社会治理水平的同时为资本权力利用数据技术拓展商业领地提供可能。企业是在资本权力建构下形成的,不可能脱离资本而独立运行。具体而言,企业在数据流通时通常会考虑资本的需求,并逐渐沦为资本权力实现的工具。如在资本主义社会中最适宜的发展方向就是娱乐,娱乐是电视上所有语言的超意识形态,鉴于娱乐视频能获取更多的流量,互联网企业便热衷于推送娱乐视频,而不再推送真正的信息与知识,阻挠高质量内容的流通。从上述分析可以看出,企业在数据流通的过程中并不是中立的,也绝不是公正的。因此,企业需要制定内部控制措施,明确企业在数据流通过程中的安全保障义务,降低企业的数据流通风险。遗憾的是,现阶段风险治理方式存在片面性,并未明确企业内部自我管理方式。这加剧了数据流通的安全风险。根据加速回报定律可知,信息科技的发展会按照指数规模而非线性规模呈现爆炸增长的态势。从这一技术规律来看,数据技术的发展以指数规模的速度迭代更新。在数字环境复杂性与流通风险多样性的社会背景下,希冀通过立法的方式规制数据流通风险往往是徒劳无获的。为此应采取事前预防、事中监管与事后惩治的全流程治理策略,实现对数据流通违法行为的完整规制。具体而言,其一,企业应制定事前合规计划,有效预防数据流通风险;其二,提升数据流通的事中监管实效,运用行政前置法规范数据流通的过程,降低数据流通刑事风险发生的概率;其三,对于构成数据流通犯罪的事后惩治而言,在平衡技术发展与数据流通安全的基础上,树立包容审慎的惩治理念,提倡民事责任、行政责任的前置性调控,防止将数据流通的违法行为扩张性认定为犯罪行为。智能技术的进步与数字经济的发展推动了以企业为重心的新型社会关系架构。企业不仅是数据流通的重要基地,而且是风险预防的首要主体。因此在建立数据流通风险防控的框架时,不应割裂地就数据而论数据,而应嵌套于企业治理模式,秉持数据安全与平台发展相互联结的聚合性视角制定事前合规计划,发挥企业自律对数据流通风险的预防作用。数据流通事前合规计划主要包括以下两方面内容。第一,明确数据流通事前合规管理政策。合规管理政策之所以能够成为企业合规的“实体规范”,是因为在任何一个专门性合规管理计划中,企业都要将禁止性法律规则写入这份文件中,使之成为企业进行自我管理的主要依据。合规管理政策的主要内容应为明确具体的规则性规范,通常以“全有或全无”的方式适用,具有可操作性与直接的约束力,从而满足企业合规管理的具体化要求。同时,其需要随着内外部环境的变化,而适时地作出调整。就数据流通而言,合规管理政策主要是依据«中华人民共和国个人信息保护法»«中华人民共和国数据安全法»«中华人民共和国刑法»等,针对不同的数据流通风险点与风险领域,通过合规管理指引和员工手册的形式,建立不同的行为准则。这不仅有利于防范数据流通风险的扩张化,而且对于违法违规行为发生后单位责任与员工责任的区分具有重要的价值。数据在流通过程中面临不当获取数据资源、违法传播数据行为、失范利用数据内容等高风险爆发点。对此,企业在对数据流通高风险爆发点进行全面分析的基础上,制定具有针对性、操作性数据流通合规管理政策,主要包括以下三个方面:一是在数据获取阶段,应尊重数据主体的意愿,恪守数据主体的“知情-同意”原则,将“知情-同意”作为数据获取的正当化依据;二是在数据传播阶段,应遵循算法向善、算法透明的发展理念,在伦理规范与法律规范的基础上设置算法运行规则;三是在数据利用阶段,构建最严格的数据利用预警规则,一旦发现可能存在数据滥用倾向,则及时冻结数据利用行为,确保数据流通后被合法使用,避免数据被用于下游的违法犯罪活动。第二,设定数据流通事前合规管理程序。数据流通合规管理程序主要由风险防范程序、识别程序、应对程序三个部分组成。首先,风险防范程序是出于规避数据流通风险的发生而设置的程序。企业在违规行为发生之前,对数据流通的合法性、规范性、伦理性、必要性进行审核,并形成自我评估报告,切实预防不当获取数据资源、违法传播数据行为、失范利用数据内容等安全隐患的发生。其次,风险识别程序是企业开展数据流通合规管理的前提。企业只有准确识别数据流通过程中存在的各类风险,才能对风险进行针对性的合规管理。因此,在数据流通合规管理计划中对数据流通安全风险的识别是必不可少的。识别程序的设置不仅能实时发现数据获取、传播和使用过程中存在新的风险点和违规行为,而且能及时督促企业加以整改,提高企业对风险的处置能力。由此可见,识别程序在合规管理计划中起到了雷达预警的作用,能够有效预防数据流通违规行为的发生。最后,风险应对程序主要是针对识别程序中存在问题而采取的补救措施,主要包括企业及时整改数据流通中存在的缺陷与漏洞、细化数据流通安全保障义务、惩戒实施违规行为的自然人,提高数据流通风险的防控能力。智能技术广泛融入数据流通领域,导致数据流通的保护问题变得更为复杂。倘若只是依靠企业自我管理,并不能从根本上解决数据流通风险。在制定数据安全法的国家,一项重要的任务就是构建合理的外部执法威慑,促使企业积极履行法律责任,并对违法流通数据的行为予以制裁。基于此,在对数据流通风险进行预防和治理时,应加大事中监管力度,通过行政规制手段有效降低数据流通风险现实化的可能性。新兴网络技术的产生与发展在为风险的化解带来挑战的同时,蕴含着行政监管方式变革的机遇。数据流通的专业性、技术性较强,传统监管方式难以有效应对数据流通中新兴技术衍生的风险,照搬传统的人为监管方式并不能精准化解风险。为了切实保护数据权利,同时促进数据的规范化流通,在数据流通保护领域探索出新的工具来弥补既有保护框架的不足,最具代表性的便是“通过设计保护数据”。“通过设计保护数据”是法律术语,其核心主张是发挥技术监管措施在数据流通中的规制作用,有效弥合数字社会快速变迁与行政监管相对滞后之间的矛盾。“通过设计保护数据”监管手段的实现方式具体如下:其一,构筑智能化的技术监管系统。数据流通的保护问题带有强烈的技术性与隐蔽性,有些问题仅依靠传统的人为监管方式并不切实际,而应加强数据流通的科技监管。行政监管机构可以将智能化审核技术融入数据流通的监管,依据数据流通在不同阶段呈现的风险特征,利用智能化审核技术实时监管风险爆发点,提高数据流通领域的自动化监管水平。具体而言,一是在数据获取阶段,重点聚焦数据来源的安全性问题。监管机构可以将数据收集的目的、方式、范围和规则进行代码化,智能监管数据获取活动是否符合知识产权、数据安全、个人信息保护等相关法律法规要求。对于异常收集的数据资源,应及时作出预警,保障数据收集的安全性与来源的可追溯性。二是在数据传播阶段,重点关注算法运行的公平性问题。监管机构可以在算法巡查系统中运用歧视感知数据挖掘技术,从而高效识别数据流通过程中算法运行对公平或者伦理约束带来的潜在伤害。三是在数据利用阶段,重点防范数据内容的滥用风险。监管机构可以在运用防伪技术的基础上,通过检测“深度伪造”“生成式人工智能”等内容,对数据内容进行智能靶向监管,有利于更加快速、精准地预判、识别、处理风险。其二,设置数据共享的穿透式监管机制。在以往的监管模式中,监管机构主要是根据企业报送的数据报告作为判断数据流通是否违背法律法规的依据,很难实现直接有效监管。换言之,在监管机构要求被监管企业提供数据流通的情况时,企业在经济利益的驱动下通常会刻意隐瞒数据流通的具体样态。在此种情境下,设置监管机构与被监管企业之间数据流通的共享机制尤为必要,监管机构能够实时获取被监管企业流通中的数据状态,随时审查被监管企业获取、传播和使用数据行为是否存在安全风险,充分落实监管机构的主体责任,将以往被动监管转化为主动监管,穿透数据流通的各个阶段,渗入数据流通的第一线,剖析数据流通程序暗含的风险点与利益冲突点,从根源处切断数据流通中存在的风险,避免出现监管漏洞,确保监管的全面性与及时性。其三,建立数据流通的沙盒监管模式。沙盒监管模式主要由以下三方面内容组成。首先,监管机构与被监管企业共同确定数据流通的保护措施与技术限制规则。其次,监管机构在测试的过程中可以对数据流通保护方案进行适时修改。若被监管企业不同意修改,则应给出正当理由。最后,若是数据流通方案通过测试,被监管企业可以实施数据流通的新技术;若数据流通方案并未通过测试,被监管企业则不可以运用数据流通的新技术。数据流通领域运用沙盒监管模式具有两方面益处:一是不同的企业在数据流通过程中面临的风险不同,沙盒监管根据不同企业制定差异化监管政策,从而能有针对性地监管各类风险;二是沙盒监管属于更为灵活的监管措施,能够增强监管机构与被监管企业的互动性与沟通性,更好地观察数据流通所带来的风险,缓解监管时滞,实现数据安全保护与数字化发展的有效平衡。数据在流通过程中风险外溢产生的后果,可能侵害个人信息安全、数据安全与网络安全。从风险过程与治理框架来看,在风险爆发之前主要借助企业自治与行政监管对数据流通行为进行约束,在风险爆发之后便通过追究企业的法律责任化解数据流通引发的安全风险。理性化的事后惩治机制应当有效调节数字经济发展与数据安全保障的关系。一方面,安全作为数据流通的核心要义,要求事后惩治的设置不能背离数据流通安全保障的本体追求;另一方面,法律必须以一种随着技术发展而促进广泛使用的方式进行更改,这意味着事后惩治应当顺应而非桎梏数据的流通。解决两者之间的对立与冲突的关键在于保证事后惩治的有效性。第一,树立包容审慎的惩治理念。中共中央、国务院印发的«法治政府建设实施纲要(2021—2025年)»强调,要推进数据的有序共享。从事后惩治的目的来看,其并不是要阻止数据的流通,而是对违法行为进行纠正与对潜在的违法行为进行威慑,实现数据的健康发展。这就要求在数据流通违法行为的治理方面融入包容审慎理念,不要“用力过猛”,兼容效率与安全两方面价值。换言之,事后惩治应严格把握数据流通违法行为的尺度,既要实现对违法行为的有力治理,又不能扼杀数字经济发展。包容审慎的惩治理念并不意味着弱惩治、慢惩治乃至不惩治,而是指在数据流通违法行为治理过程中,遵循道德教化、行政规制、刑事惩戒的位阶。第二,健全立体化事后惩治机制。实际上,数据流通违法行为受民事法律、刑事法律与行政法律的调控。数据流通违法行为并不是刑法所“独有”的规制领域,民事责任的损害填补功能与行政责任的惩戒教育功能同样可以有效实现数据流通的安全保障。相较于刑事责任而言,民事责任与行政责任更有利于为数据有序共享提供更为宽松的法律环境。从这个意义上来说,数据流通的事后惩治应提倡民事责任、行政责任的前置性调控,在民事责任、行政责任规制无法达到预期效果时再由刑事责任进行补位性规制。具体而言,一是民事责任处于风险惩治的前端,企业在利益的驱动下在数据流通的过程中可能会形成一般违法的风险,继而造成他人利益受损的结果,企业应当承担侵权责任;二是行政责任处于风险惩治的中端,政府部门应明确企业数据流通的界限,及时通过行政处罚措施纠正企业在数据流通过程中的违法行为;三是刑事责任处于风险惩治的末端,一般而言,企业合规计划与行政监管作为刑事规制的“滤过”措施,在一定程度上降低数据流通违法行为演变为犯罪行为的可能性,将刑法的适用限制在最小范围内。也就是说,在企业事前合规计划失灵时,应优先考虑运用行政前置法规制不当获取、违法传播、失范利用数据的行为。只有在不当获取、违法传播、失范利用数据的行为达到刑事违法标准且前置法规制无效时,方可考虑罪责相适应的刑事规制手段。这不仅有利于避免刑法的提前介入对数据流通的阻碍,而且有利于平衡数字经济发展与数据流通保护的关系。在数智社会的背景下,数据成为和物质、能量同样重要的资源。数据的流通与共享能够打破“信息孤岛”“数据烟囱”等困境,在提高社会资源合理配置的同时,招致诸多侵害数据权益的新型问题;尤其是网络技术的逐利性与治理方式的片面性,不仅影响数据流通的自由度,而且威胁社会的法治化进程。对此,应明确事后惩治在数据流通风险治理过程中的边界,在提升行政监管实效应对反复无常的数据流通危机时,还需要充分认识到企业自我规制的力量。具体到数据流通风险治理路径方面,我们既要制定数据流通的事前合规计划,又要提升数据流通的事中监管实效,还要完善数据流通的事后惩治机制,构建全流程治理路径应对不当获取数据资源、违法传播数据行为与失范利用数据内容的三重风险,最终使数据流通行为实现从无序到有序、从失范到规范的转变。当然,全流程治理路径并不是数据流通风险治理的最优解,更多的是在抛砖引玉,对数据流通风险防控策略的探索,可谓任重而道远。如何平衡数据安全保护与数字经济发展的关系,是数智时代亟须化解的重点课题。为微信推送方便,本文参考文献省略,引用请参考原文。
载于《南昌大学学报(人文社会科学版)》2024年第3期微信号|ncdxxbskb
中文社会科学引文索引(CSSCI)来源期刊
全国中文核心期刊
中国人文社会科学核心期刊
RCCSE中国核心学术期刊
全国高校精品社科期刊
华东地区优秀期刊
