诚如德国著名社会学家克里斯多夫·库克里克提出的“微粒社会”一般,数字化进程的加速,令我们进入人机互动、精细解析的时代,各国均面临数字化治理难题。技术的凸显令数据收集和处理变得极为高效,政治、经济以及社会关系等都以比之前更加精细、透彻的方式被获取、解析和评价,国家数据治理在政府规制和网络自由的平衡中,需探索一种由法律、规则以及代码协同的治理机制。
一、数据治理的政策问题并非依赖“数据管控”单一手段
2018年以来,以美国和欧盟为代表的数字经济体,纷纷在国家战略规划及行动中强调数据管控政策地位。美国于3月23日出台“澄清合法获取海外数据法”(CLOUD Act),并在9月份由总统特朗普签署的《国家网络战略》中明确提出“促进数据跨境自由流动战略”;欧盟则主导建立“欧洲单一数字市场战略”并于5月25日正式颁布实施 “通用数据保护条例”(GDPR)。美欧迥异的数据管控政策,令美国在欧4000多家企业特别是以谷歌、脸书等为代表的数字巨头受到欧洲监管机构数十亿美元的天价罚单。欧盟认为,在数字经济大潮中,欧盟28个成员国拥有5亿人的市场,没有理由再缺位,欧盟委员会测算称,“如果有利的政策和立法就位,欧洲数字经济将增长18倍”。然而欧盟单一的法律监管引发美国互联网巨头强烈反弹,2018年7月谷歌称“为符合欧盟今年推出的反垄断政策要求,当欧盟的安卓手机设备制造商要在手机上安装Gmail、Google Maps或其他受欢迎的谷歌系应用软件时,谷歌将对其收费”,另据纽约时报报道,“自2019年2月起,谷歌将对欧洲境内的安卓系统以及使用相关软件的公司进行收费,每台设备征收的费用为40美元”。
(一)欧洲、亚太等地区数字经济体将强化“数字主权”
数据作为社会主体“数字双胞胎”的载体,其生成、存储、复制、分发及交互的过程构成人类社会活动在网络空间的“镜像”。随着数据跨境流动,国际规则正从国家主体边域到数字主体国籍边域延伸,数据跨境流动存在“主权”和“安全”隐患。2018年美欧先后推出CLOUD Act和GDPR,加剧数据资源全球化竞争态势,从立法层面看,由于当前国际法缺乏洞见法律域外管辖问题的具体规则,美欧均对国际法域外管辖的“保护”原则进行扩张形成“长臂管辖”,数据主权呼声日渐。
伴随着第四次工业革命的到来,数据作为重要生产资料已成为广泛共识,目前全球有120个国家制定了数据保护政策,形成了六类较具代表性的数据跨境保护方案,数据主权全球轮廓日渐清晰。其一,明确要求数据必须存储在本地服务器的“强要求”国家,中俄是典型代表,同时包括文莱、印度尼西亚、尼日利亚和越南;其二,法律对数据传输的要求相当于数据本地化,即“事实要求”的地区以欧盟于2018年5月25日正式实施GDPR为标志;其三,诸多措施要求在跨境传输之前需征得数据主体同意形成的“部分要求”国家包括白俄罗斯、印度、哈萨克斯坦、马来西亚和韩国,印度储备银行于2018年10月15日要求印度产生的支付数据必须且仅能存储于印度本地,进一步凸显其对本地数据的管控力度;其四,在某些条件下限制跨境传输即“轻微要求”的国家有阿根廷、巴西、哥伦比亚、秘鲁、乌拉圭;其五,仅在特定领域如医疗、电信、金融及国家安全领域限制的“特定领域要求”国家和地区有澳大利亚、加拿大、新西兰、土耳其、委内瑞拉和中国台湾;其六,没有已知的数据本地化法律要求即“无要求”国家,以美国2018年3月23日出台的“澄清合法获取海外数据法” (CLOUD Act)为标志,其不但强调数据跨境流动的自由,并认为限制自由流动将影响数字经济发展,极力淡化“数字主权”概念。
(二)数字市场呈现“强者愈强”,技术加速“两极分化”
在数字领域,同样遵循“赢者通吃”的规则,只有少数玩家能够在这个行业中生存并占据主导地位,作为数字化强国的美国,谷歌、脸书、苹果、亚马逊等在全球搜索引擎、社交媒体以及人工智能等垂直领域主导架构并定义发展,如谷歌和亚马逊,通过从成千上万的远程客户端以及应用程序中吸收大规模数据流,获得更加专业的知识、更好的算法,并通过溢出效应获得无与伦比的人工智能能力。欧盟在全球数字经济排名并不靠前(落后于美国、中国、日本等),对欧洲而言,一方面其开放的互联网政策促进了全球互联网巨头的成长,而欧洲本土互联网电商OTTO、Zalando、搜索引擎nomade.tiscali等服务提供商仅获剩余市场的残羹冷炙,一旦欧洲实施监管,却旋即遭到美国巨头的报复性反击;另一方面,数字技术的大规模应用,使得高素质劳动者的效率明显提高 “强者愈强”,而处于低端领域如工业化领域的熟练操作工作以及简单的行政工作等终将被机器以及算法所取代。在经济发展缓慢的高福利社会环境下,此种分化更加明显,欧洲民众的不安情绪引发英国脱欧、“反建制”意大利五星运动党崛起、法国黄背心运动等继续加剧欧洲社会分裂,因而欧盟委员会意识到,绝对不能在第四次工业革命中缺位,欧洲建立“单一数字市场战略”势在必行。正如尤瓦尔·赫拉利在其《未来简史》中所提到的,我们拥有越多的数据,对历史了解越深入,历史的轨迹就改变得越快。
(三)防控数据泄漏将成全球个人数据保护的立法规制重点
随着数字化进程的加速,研究者提出“旨在防范公权力或他人打扰生活的‘隐私’概念在数字智能时代面临迭代更替,实现从个人隐私到个人数据的转变显得十分必要”,强调数据主体有效控制权的“个人数据”概念应运而生,环顾全球,各个国家的个人数据保护亦均建立在个人数据权利这一思想基础之上。研究人员通过分析发现,只要数据足够多,对个人的识别就是轻而易举之事,例如研究人员通过在苹果商店里下载的250亿个应用程序其中1/3都附带有地址数据,只要通过4条随机挑选的关于一天之内一个人在何处逗留的信息,就有95%的几率将个人识别出来。因而数字时代,人人都成“透明人”,并深陷巨大的“社会黑箱”之中,“黑箱”就如飞机上的黑匣子,可以将所有重要信息记录清楚,但我们只是信息的生产者,却不知道这些信息将被用于何处,会产生什么样的后果,特别对于由于数据泄漏行为而引发的数据滥用问题更显得力有不逮。过去五年,全球企业、政府乃至军方发生的数据泄露事件逐年上升、态势严峻,据Gemalto发布的《数据泄露水平指数(Breach Level Index)》统计,仅2018年全球就发生了1000多起较大规模的数据泄露事件,共计导致不少于70亿条个人数据泄露,相当于全球每位网民个人信息至少被泄漏1.5次。从成因来看,造成用户个人数据泄露的主要原因存在于三个方面,一是系统、软件、终端、平台等客观存在的各类漏洞,二是个人及企业的数据安全防护网络体系不完善、黑客的攻击技术手段日益多样,三是第三方未经授权的大量访问以及暗网黑市对数据市场的 “旺盛需求”。
二、网络技术和第三方监督将持续推动个人数据保护能力提升
斯坦福大学的劳伦斯·莱斯格教授在他的《代码2.0》一书中反复强调一个概念:代码即法律。“即有什么样的代码,就会有什么样的网络社会,决定权在代码手中;当现实社会的法律开始作用于网络空间,代码就越来越不是法律,反而法律开始影响网络的构架,开始影响一行行的代码。”
(一)重启网络空间技术,强化平台对个人数据保护的责任
一份调查报告指出,用户仅点击某一热门新闻网站的动作就会触发并激活350多个网络服务器,数字时代的“黑箱”无处不在。互联网的缔造者美国一贯主张,既要在国际范围内保护个人隐私,又不应阻碍个人数据的跨境流动,为此20世纪美国就涌现出许多自律组织,国际互联网联盟(W3C)即是其中一个。1994年10月,由万维网发明者蒂姆·伯纳斯·李(Tim Berners Lee)在麻省理工学院计算机科学实验室成立W3C,W3C开发、设计了“个人隐私选择平台”(P3P,Platform for Privacy Preferences)成为个人隐私权保护策略的一项推荐性技术标准,其能够使网络用户选择在浏览网页时,是否被第三方收集并利用自己的个人信息,如果一个站点不遵守P3P标准,那么有关它的Cookies将被自动拒绝,同时P3P还能够自动识别多种Cookies的嵌入方式。但遗憾的是,自2002年4月P3P被正式推荐以来,仅微软公司的IE浏览器一家选择采用该项技术,相对美国庞大的互联网市场,这一数据简直可以忽略不计。相信随着隐私强化技术(PETs)的不断推陈出新和个人信息保护法律的不断完善,互联网平台将大量采用开放的、可解释的算法决策工具来代替算法黑箱,为此方能加速数字社会变成显式社会。
(二)第三方机构对个人数据保护的监督力度将不断加强
对于个人信息将被用于何处,产生何种后果的问题,追本溯源需要从三类数据诉求进行分析。首先,政府层面关注的核心问题是利用大数据了解公民是否“违法犯罪”,因而公民个人行为应是政府层面关注的重点;再者,对商业公司或商业平台而言,他们更希望了解公民的上网数据,这样就能更加有效地进行定向产品推广或广告投放,因而公民的消费信息、浏览喜好例如cookie等信息是商业平台收集个人信息的目的所在;再者,从民众自身来讲,更加注重享有数据主体的权利,研究表明,只要诱使民众以为他们已经掌握了数据,那么他们就会以慷慨的多的方式处理数据。个人数据权益的保护可以说是在互联网公司与用户等各方的博弈中不断前进,由于个人信息保护的很多不确定因素,若有第三方评估机构对互联网企业个人信息保护等行为进行评测,将会带给政府、企业和个人带来持续的警示作用。
三、我国数据治理与展望
当前我国个人信息保护法及跨境流动实施细则的出台备受关注,协同法律、规则和技术织就一张疏而不漏、密而不紧的规制之网,将持续为我国家主权利益和数字化发展保驾护航。
(一)我国数据跨境流动将坚持主权和安全利益至上
自美国1998年提出“数字地球”计划至今历时20年,美国数字全球化布局奠定其拥有世界范围的数据控制权。然而根据2018年美国《国家贸易评估报告》,美国认为2018年美国数字贸易的主要障碍来自中国、欧盟、印度尼西亚、韩国、尼日利亚、俄罗斯、泰国、土耳其、越南等9个国家和地区,共15项障碍。其中中国最多,共有4项障碍,具体包括:1.对跨境数据流动的限制、对数据本地化要求; 2.对专线和VPN的限制; 3.对云计算限制;4.网络过滤和屏蔽。2018年10月30日互联网协会(Internet Association)为美国贸易代表办公室(USTR)2019年美国《国家贸易评估报告》提交的报告中称,印度、欧盟、印度尼西亚、中国和越南是数字贸易领域五个壁垒最为严重的国家或联盟,报告指出美国商界通过互联网服务可以接触到世界上95%的消费者的能力已不再稳固,报告建议USTR必须持续将向海外推行开放的互联网政策作为一个首要处理的经贸问题。
虽然我国数字经济发展迅速,已成为全球最大的网络市场,拥有世界数量最大的网民群体,但当前形势对我而言存在两方面挑战,一是美国希望通过贸易的流动性强制撬动网络主权、数据主权保护,二是我国具有相当体量的数据跨境传输需求,目前产生的数据合规成本造成企业较大负担和风险。对此,一方面,我国在对境内网络运营者建设、运营、维护和使用网络的监督管理中,从维护主权和安全角度主要采取四方面的评估检查机制: 1.个人信息和重要数据跨境传输的安全评估;2.对关系国家安全的网络和信息系统采购的重要网络产品和服务进行的网络安全审查;3.对关键信息基础设施的安全风险抽查;4.为配合政府部门履行维护网络安全义务的协助和支持,我国“数字海关”的设置有效降低了数据跨境流动的安全风险和隐患。另一方面,针对当前美国逆全球化趋势明显,我国可分三部实施数据跨境传输计划:一是东盟(CAFTA)、金砖国家(BRICS)以及一带一路沿线国家中有我国多个经贸合作伙伴出现在美国“黑名单”中,如印度、俄罗斯、印度尼西亚、韩国、尼日利亚、泰国、土耳其、越南等相关国家,我应积极争取该类国家,在现有经贸基础上构建中国数据跨境传输“朋友圈”;二是鉴于中欧数据主权的利益交汇,我应积极协商争取加入欧盟“数据安全流通区”,既符合中欧双方在全球数据主权方面的共同利益又保障中国在欧企业的共同权益;三是与短期不能建立跨境传输机制的国家,可以采取与相关境外企业之间建立“防火墙”等多种方式,打消其他司法辖区审查机构的疑虑,促使交易顺利进行。
(二)个人数据保护法宜宽严相济充分发挥平台责任
随着数据安全风险日益凸显,保护数据安全特别是个人信息安全,成为世界各国共同面对的重要课题。我国的个人信息保护法已于2018年9月正式列入全国人大常委会立法规程。回顾立法之路,从2017年6月1日《中华人民共和国网络安全法》(简称《网安法》)正式施行以来,一系列部门规章、司法解释、国家标准相继出台。一是国家标准化委员会制定的《信息安全技术个人信息安全规范》(GB/T35273-2017)简称“《个人信息安全规范》”),其参考了经合组织(OECD)隐私框架“隐私保护及跨境合作执行建议”、亚太经合组织(APEC)隐私框架(跨境隐私规则体系CBPR)等国际规则,以及通用数据保护GDPR、欧美《隐私盾框架》、美国《消费者隐私权法案》等欧美个人信息保护方面的立法,与这些国家通行的个人信息保护规则具有很多相似之处;二是与《网安法》同时出台的《中华人民共和国电子商务法》(简称《电商法》),承继了《网安法》中对个人信息主体权益保护的总体思路,电商法一方面对《网安法》下的一般性规则进行了细化,另一方面也针对电子商务领域进一步延伸具体要求,体现了不同法律权益的平衡。三是于2018年10月26日颁布实施的《国际刑事司法协助法》,强调中华人民共和国境内机构、组织和个人不得向外国提供证据材料和本法规定的协助,为跨境执法提供了数据管辖主张,对域外的“长臂管辖”进行了回应。
回顾2018,既是数据泄露的灰色之年,也是数据保护开启元年,世界各国已纷纷开始为个人数据“赋权”。在我国,2018年年底社交媒体巨头腾讯公司成为互联网行业中的先行者,于12月27日召开的2018大数据合作与合规峰会上率先发布了《腾讯隐私保护白皮书》,通过技术努力和平台责任为2019年打开了新的希望之门。对于我国的立法者而言,我国个人数据保护法宜秉持宽严相济的“中国特色”,通过法律规制、平台自律以及第三方监督,充分发扬科技向善理念。(曹伟 刘晖)
(本文刊登于《中国信息安全》杂志2019年第1期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
