高富平:重新看待個人資訊的價值|演算法E思考之四

語言: CN / TW / HK

網際網路是工具,利用資料是創造人類福祉的手段,我們應該以符合人類社會價值觀的方式來使用資料。

本文字數5838,閱讀時長約10分鐘

文| 財經E法 劉暢

編輯| 朱弢

加強個人資訊保護早已是社會共識。從相關部門開展一系列專項治理,到擬建立資料分類分級保護制度、遏制資料使用亂象,再到要求相關企業建立個人資訊保護“雙清單”……近年來,個人資訊保護力度不斷加大,相關舉措成效亦可謂顯著。

事實上,個人資訊已成為社會執行鏈條中必不可少的環節——很多人認為,它應當被視作社會資源,而非屬於個人的資源。

但這種思考也引發了爭議:個人資訊上不僅附著了資訊主體的人格尊嚴和自由利益,其使用者的利益和公共利益也是法律需要保護的重點。如何讓個人資訊更加有序、公平、合理地被利用?個人意志是否能夠貫徹於個人資訊處理活動全過程?其核心價值是否需要被重新審視?

帶著這些問題, 財經E法專訪了華東政法大學網際網路法治研究院院長高富平。

01

GDPR是部過時的法律

財經E法: 2018年5月,歐盟在資料方面的最重要立法之一——《通用資料保護條例》(GDPR)開始實施。四年時間過去,GDPR的評價可謂“譭譽參半”:它無疑提高了人們對隱私和資料保護的認識,併為各國和各司法管轄區設定了標準;但另一方面,部分學者認為,由於歐盟成員國之間缺乏協調統一,GDPR給市場主體造成了沉重成本、阻礙跨境投資、不完全相容WTO規則等負面影響也在顯現。

在你看來,GDPR對數字經濟產生了哪些影響?

高富平:我對GDPR一直在跟蹤研究,我個人認為,它是一部過時的法律。

為什麼這樣說呢?

GDPR的誕生自然有其政治目的,那就是要實現歐盟範圍內資料的自由流通——尤其是個人資訊的自由流通——這樣一個目標,促進演算法的應用、人工智慧及大資料經濟的發展;同時“一致對外”,向外構築一道高牆。

但四年過去了,我們不禁要問:歐盟內部是不是真的實現了立法者們所預期的“個人資訊自由流動”呢?我覺得,目前沒有證據顯示他們做到了這一點。換句話說,這一理想沒能實現。

具體說,GDPR 的誕生具有雙重目的:一是保護個人資料處理和流通過程中所涉及到的自然人的基本權利與自由,尤其保護其個人資訊權利;另一方面是促進個人資訊在歐盟境內的自由流通。我們可以發現,這兩個目的的價值追求是對立的。

為實現這兩個目的,GDPR 開出的藥方是:統一資料保護水平,強化個人資訊保護權,增強公民信心從而實現個人資訊的流動利用——它根本就沒有考慮個人資訊的資源屬性,以及給予資料控制者以流動資料的權利,實現資料流通利用。

所以要我說,這樣的設想是美好的,但法律實施效果並不是那麼美好。

首先, GDPR的具體條文中縱然包含多樣的合法性基礎,但最終仍導致同意泛化,並沒有賦予資料使用者以多少自由,這是 GDPR 設計的最大缺陷。

其次,在將保護個人資訊上升為公民基本權利,GDPR 強調該權利應當得到絕對保護,也就是 GDPR 規定了資料主體權利是“硬”標準,任何情形下均不能被削弱。這種做法實際導致 GDPR 基於風險的合規管理變得僵硬,也意味花費更多人力和成本去履行更多義務與職責,並需付出鉅額的執法成本。

第三, GDPR在制度設計上並沒有考慮資料自由流通。這集中表現為沒有給資料控制者流通個人資訊的權利。GDPR 給了資料控制者合法地在特定範圍內使用資料的權利,但是對於個人資訊的利用仍受制於資料主體意志,個人可以隨時撤回同意,也享有在特定條件下拒絕處理、刪除等權利。

可以這樣做總結:GDPR 更加重視行政保護,建立了以監管機構為核心的保護機制,目的在於保證個人資訊在成員國之間的自由流動,並在歐盟內對基本權利和自由權利更高水平的保護。但是,這種更高水平的保護並沒有創制個人信任,實現個人資料在歐盟境內的自由流通。至少這是我目前閱讀文獻的結論。

財經E法: 2022年5月16日,歐盟理事會正式批准《資料治理條例》,意在促進各部門和成員國之間的資料分享,並將其作為資料戰略的一個關鍵支柱。從“個人權利為中心”到強調“資料分享”,歐盟這種變化說明了什麼?

高富平:這說明,歐盟內部正在對GDPR進行反思。

資料分享這個詞,英文為data sharing,這裡面的“sharing”,有人把它翻譯成“共享”,但我覺得翻成“分享”更合適。

當前,整個資料要素市場都建立在“分享”基礎上。這裡的“分享”指的是提供給他人使用,有兩層含義:一是資料本身是可以交換的,可以有對價的交易,亦可以是商業合作或共享;二是資料無償地給他人使用,“分享”涵蓋了資料開放。重要的是,不管怎樣的“分享”,都由資料持有者開啟,而不是無序利用。這意味著,每個人掌握和利用資料的能力都是有限的,所以需要獲取別人的資料,也要建立分享流通的機制。也就是說,“sharing”是資料實現價值的最主要方式。

可是,GDPR 最大的問題在於,它以“可識別個人”為標準,建立了無邊界的個人資訊概念及模糊的識別概念,同時建立了大包大攬式的資料處理模式。這樣一來,就使得 GDPR 的調整範圍漫無邊界,也給其實施和執行帶來很大不確定性。這樣的法律會造成對社會的過度干預,導致社會執行成本過高,而沒有任何積極的後果(保護資料主體權利)。

從歐盟近年來的相關立法看,個人資料保護已經被作為一項公民的基本權利,並建立了公法和私法為一體的救濟體系。歐盟似乎只有沿著這個方向繼續前行並強化資料主體權利,才更加有說服力。GDPR是它因循老路的巔峰。

我覺得,GDPR 通過賦予個人控制其資料的權利來賦予個人權利的理念看起來是虛幻的,因此,對於個人資訊控制論的反思,將會是未來理論和實務界共同的方向,也是 GDPR 必須面對的理論挑戰。

財經E法: 在你看來,GDPR實施以來的經驗,對中國有何啟示?

高富平:對立法者而言,需要考慮的是,歐洲基於特定歷史背景產生的個人資訊保護制度,是否適合中國的社會經濟文化。還需要考慮, IT 技術時代產生的問題與大資料時代需要面對的問題是否一致,是否還要用前網路時代的法律原則去解決萬物互聯(網路化、數字化、智慧化)時代的問題。

對於上述問題,我們目前似乎還沒有深入系統的研究。

現在中央提出“良法善治的法治中國”概念。我覺得,這裡的“良法”,指的就是規則明確、穩定和可實施的法。更深入來說,就是劃出行為紅線,留出行為自由空間,使違法者得到懲罰。

另外,制定法律時要做到規則明晰。法律規則起到引導人們行為的作用。人們對做什麼會有什麼樣的法律後果,是有穩定預期的。如果法律條文模糊、寬泛或者不合理、不科學,就會讓正當的社會經濟行為或創新行為面臨不確定法律風險,進而扼制社會活動和創造力。

再有,需要重新定義資料價值。網路也好,資料也好,都已滲透到整個社會執行中。我們不該把網路看作是“另一個領域”,而應把它看作社會的組成部分;不該把資料看作成“有毒之樹”,而應把它看作社會運作內在的需求。要讓資料和網路在符合社會價值觀和人類發展方向的基礎上運作發展,真正形成規範化的體系。還要真正弄清資料對個人、社會可能產生的利與弊——注意,這裡我想強調的是“真正弄清”。這就是說,不能人云亦云,主觀臆斷資料和網際網路的利與弊。

怎麼避免主觀臆斷呢?這要求我們對數字技術帶來的社會變革有深層次的認識,尤其是對其可能帶來的損害,要搞懂這個損害究竟是資料本身帶來的,還是資料和技術背後的人帶來的,或是資料使用行為帶來的。

還有一點很重要的是,對於網路和資料領域的執法,一定要考慮後果和典型性。如果缺乏清晰的邊界,過於嚴厲的執法可能過度干預社會經濟活動。那就應該反思法律規則本身是否有問題?是不是需要建立更明確的規則,以削減法律的不確定性和隨機性?這樣,才能夠形成立法、執法、司法的良性互動和迴圈。

02

資料的弊端源自“用它幹壞事的人”

財經E法: 你曾提出一種觀點:個人資訊是支撐個性化服務、智慧製造等業態的基礎,是垂直經濟、平臺經濟、線上與線下融合經濟等商業創新的靈魂。由此,企業產生了對個人資訊收集、利用和流通的需求。那麼,應當如何理解企業的這種需求,以及公眾對個人資訊被濫用的擔憂?

高富平:我們現在提出的資料生產要素、數字化轉型驅動,國際社會則表述為資料驅動或資料經濟,其實都是強調運用資料進行智慧決策,應用於企業產品研發、精準營銷、業務流程再造等,還會應用於社會治理等層面。數字技術進步,不僅使人處理資訊能力提升,而且使人類對資料利用超越人類識讀資訊,走向機讀資料,因而賦能人類社會。

所謂的智慧決策,就是通過機器學習,挖掘資料與資料之間的關聯,並透析資料背後的主體行為或器物執行規律。數字經濟的執行邏輯,一定是建立在將資料作為資源要素基礎上的,這是社會發展的必然。不管是生物科技,還是航天、海洋科技,當今社會的一切創新都是建立在對資訊的全息掌握基礎之上——任何技術,它的底層都是資料。那麼,能說企業對資料的需求不是正當的嗎?

當然,對於個人資訊和資料的不當使用,會帶來危害,比如個人資訊洩露就會給個人帶來損害。因此,確保個人資訊和資料受到完善的保護,是人們貢獻出個人資料的前提,也就能更有助於社會的執行。

我一直想呼籲的是,身處數字時代,作為社會一員,我們應該建立起一種新的個人資訊和資料的價值觀,或者說,重新定義個人資訊的價值——資料本身一定是中性的,它可能造成的所有損害都源自其使用者,法律並非要約束資料本身,而是要約束其使用者。

財經E法: 演算法推薦是網際網路企業普遍應用的技術。在你看來,這一技術的好處和風險都有哪些?

高富平:首先要明晰演算法推薦的一個基本概念——它是數字技術或者說網路通訊發展到今天的一種必然,是實現海量資訊與個人時間或注意力匹配的技術。

作為中立的技術,它讓個體進行資訊檢索的成本大幅下降,但也造成了“資訊繭房”效應。關於“資訊繭房”,我最關注的是兩點:一是對青少年的危害——青少年畢竟缺乏對資訊的識別能力;二是對政治的影響。

從平臺角度,演算法推薦可以顯著降低獲客成本,也就是平臺與消費者溝通的成本,提升運作效率;但同時,它也可能侵害個人資訊及隱私。

財經E法: 演算法推薦相關資料掌握和使用的邊界在哪裡?

高富平:我一直認為,要把資料看作是實現人類各種活動的工具——我前面提到了,資料本身是無害的,至少是中立的。當你要利用資料時,首先要看這種行為是不是為法律所允許。換句話說,就是要看你用資料幹什麼?這個行為是不是合法?是使用者使用資料所做事情有邊界,並非資料本身有邊界。

有了這樣的前提,我們再來看資料使用行為邊界有哪些。

第一個邊界就是個人隱私。無論是個人資訊保護法,還是網路安全法,其中的邊界就是個人隱私。個人資訊保護法主要是防範資訊的可識別性帶來的危害。使用者可以用那些即使是敏感、私密的資訊,但前提是不能可識別性使用,更不能洩露。因為把那些不涉及隱私的碎片化資訊拚接在一起,或將非敏感的資料進行演算法推演,同樣也可能透露出個人隱私,所以不僅要關注資料的使用過程,更要看使用結果,從而判斷是否損害了個人權益。

第二個邊界,就是對資料權屬者的尊重。這裡的尊重,指的是“讓我知道你在用我的資料幹什麼”。否則,就無法有針對性地採取任何行動。我曾經寫過一篇文章,主題是“同意不等於授權”。這話怎麼理解? 很多人都認為,同意等於允許他人使用你的資料。但我認為,同意等於“我知道了平臺要收集我的這些資訊”,但這並不意味著授予平臺自由使用我的資料的權利。

第三個邊界就是國家安全,這是最大的邊界。個人資訊絕不僅僅是孤立存在,尤其當資料量比較大時,就能夠通過資訊透析一個國家某一個方面的運營狀況,這一點尤其要注意。

03

以符合社會價值觀的方式使用資料

財經E法: 應當如何看待“個性化廣告”帶來的爭議?在商業化與使用者體驗之間,企業應該如何取得平衡?

高富平 個性化廣告就是演算法推薦的一種應用,也是平臺利用個人資訊的一種方式。在實踐中,平臺利用個人資訊的關鍵,其實並不是要識別出“你是誰”。作為個體來說,在網際網路上有N臺裝置或數字ID,平臺對這個ID畫像後,這個個體的信用或者說偏好就體現出來了,然後平臺再根據這種偏好精確推送廣告。這樣,消費者的偏好和興趣成為商家決策的依據。

但是有人會說,咱不就怕平臺做壞事嘛。

至於解決的辦法,我以人臉識別為例:我堅決反對讓人們去“選擇”是否被識別,而是應該推行一種政策,允許使用人臉識別技術,但是不允許用人臉資訊幹除識別身份以外的任何事情,幹了就是違法。個性化廣告也是同樣道理,個人無法事先控制商家基於數字ID的識別,但是應當有權拒絕推薦內容(提供關閉選項),從而拒絕完全基於自動決策的推送,制止可能揭示個人隱私的畫像行為。

作為個人,肯定不願意讓自己的個人資訊被濫用,但從社會執行角度,也不能因噎廢食,就此不用資料了。這就要求我們在思考相關問題時既要兼顧個人利益,又要兼顧社會執行和商業邏輯。而商業邏輯,本來就是建立在對其客戶資訊的理解基礎上。

還是那句話,個人資訊的立法邏輯,在於防治資料利用中可能產生的風險,而非否定資料利用本身。

財經E法: 近年來對個人資訊有這樣一類討論:屬於個體的資料,儲存權卻不在個體手中,個人也無法限制其使用範圍,這是數字時代對隱私權的巨大挑戰。對此觀點認為,個體享有更多對個人資訊的控制權,是平衡資料利用與個人資訊保護的“最佳方案”。你認同嗎?

高富平:我不認同。

做壞事的人永遠有,但個人能控制的,要麼就是在網路應用的選項裡不打勾,要麼就乾脆不使用——數字技術所帶來的危害,絕不是通過控制自身資訊就能夠杜絕的。所以我才一直說,個人資訊保護相關立法的關鍵,在於確保資料利用向善,在於確保資料使用者不會作惡,而並非給個人更多控制權。尤其是不能將對人格利益的保護(個人資訊受保護權)直接轉化對資料使用(經濟價值)的控制。否則,就是給個人畫了一張吃不到的餅,還徒增社會成本。

我個人堅決同意賦予個人拒絕的權利——你給我推送你的內容,就必須給我設定一個退出鍵。我認為我需要看,就接受,不需要,就拒絕。這個原則,應該是所有演算法和通訊應用的基本原則。做到這一點,就做到了尊重個體的選擇。

其實,賦予個人拒絕權,本身就是控制權的一種。而這種控制權必須有效:我已經拒絕了,你再推送,就是對我的侵憂,我就能告你。而非乾脆不讓企業做推送——這實際上等於消滅了商業自由。

未來對於個人資訊保護一些原則,需要思考其本質邏輯,要從社會執行和對個人危害根源的角度去想問題。還是那句話:要搞清楚危害究竟是資料造成的,還是使用資料的人造成的。

我始終覺得,網際網路是工具,利用資料是創造人類福祉的手段,我們應該以符合人類社會價值觀的方式來使用資料。這是我對網際網路及資料研究的基本宗旨。

 近期話題,點選閱讀