APP下载

互联网企业数据识别反垄断法律监管规制∗

2019-07-17国瀚文

重庆邮电大学学报(社会科学版) 2019年2期
关键词:规制消费者算法

国瀚文

(国立忠北大学法学院,韩国清州28644)

互联网已嵌入现代社会生活,只要使用互联网,就会产生关于个人行为的数据,并被记录在互联网中。而互联网企业对于消费者数据收集的颗粒化程度非常细,由于它们充分利用了消费者的信任(因缺乏具体算法知识和数据风险意识而产生的个人权利被保障的信任),对相关个人数据有选择性地实施了滥用行为。通过收集数据、进行数据识别,用来预测消费者未来的网上行为。例如,通过步数计算、睡眠质量测算和体重管理等涉及健康的数据,可以预测该消费者的人寿保险费率,甚至可以揭示其个人偏好、家庭情况或者特定的经济状况。这种行为实质上是互联网企业利用大数据和复杂的算法榨取“消费者剩余”的经济利益,侵犯消费者个人数据权益的侵权行为,需要受到反垄断法律规制。

一、互联网企业数据识别行为违法性认定

(一)数据识别行为界定

数据的生成是传感器在人类活动(照片、声音、文本、手机触摸屏活动等)、自然事件(温度、风)或工业生产(物理、生物、化学变化过程等)中,通过感知输入将二进制代码翻译成人类可观察的输出的一种信息方式。此文所讨论的数据仅为人们在互联网上的活动轨迹,包括文字输入、消费记录、浏览历史等信息。对这些信息进行有目的的分析过程就是数据识别行为。这是通过算法实现的,即通过一种明确的简单操作列表,机械地、系统地应用于一套令牌(tokens)或对象中(例如棋子、数字、蛋糕成分的配置等)①令牌是计算机术语,是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧,代表执行某些操作权利的对象。令牌可以理解为暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。。也就是说,令牌最初的状态是输入,最终的状态是输出[1]。随着认知无线电技术的发展,数据识别已经发展到了一个新的水平,使计算机能够比人类更有效地解决复杂问题,从而做出有效预测[2]。各互联网企业依据数据识别技术在互联网市场上进行激烈竞争,数字识别技术被广泛应用于商务、教育、就业、医疗、保险等领域。但是,它的发展并未为人类社会各种事务和决策工作带来人类所期望的客观性。现实是效率虽然被提高了,但我们在网络中的所行所为已无时无刻地不被算法所分析,即便是基于数学原理进行识别算法的计算也不例外。但是算法毕竟是由研发人员进行开发的,如何将“人类”所具有的判断和选择不偏不倚地进行程序算法的编写,是值得深究的。数据识别所带来的不透明、不公平、不追责等问题,以及缺乏法律保护、伦理监督等规范的现状,使得个人的任何数据行为都成为了算法进行自动化决策的原料。

在互联网市场中,数据识别对消费者所表现出来的主要影响就是价格歧视、数据画像②由交互设计之父Alan Cooper最早提出的概念,通过一系列真实数据分析,得出目标用户模型。例如,根据在线用户的喜好购买的品牌、价格带、购买方式、购买时间等推断该用户的消费偏好。根据欧盟《通用数据保护条例》(GDPR)的规定,数据画像是指对个人数据进行的任何自动化处理,包括利用个人数据评估与自然人有关的特定方面,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信誉、行为习惯、位置或行踪有关的分析和预测(参见GDPR第4条第4款)。、广告定向投放等行为。互联网企业以前所未有的方式了解他们的客户,通过数据识别,掌握每一位消费者可以为产品支付的最高价格,并利用算法去改善市场定价模型、完善客户服务以及预测潜在客户来源。2017年 6月,经济合作与发展组织(OECD)归纳了四种可以作为合谋工具的算法,主要包括监督算法、平行算法、信号算法以及自我学习算法③监督算法意在发现其他合谋者的背叛行为,从而启动对其的惩罚,即通过监督算法检测对手的定价行为,一旦发现其违约,就自动启动价格战,主要是为了保障合谋战线的统一;平行算法意在自动为所有合谋企业设定最优价格,合谋企业采用一种动态定价算法,帮助提供同类产品或服务的企业在动态市场上进行平行定价;信号算法指为合谋者设置信号,借助先进的信息网络技术手段,向其他合谋者不断发出瞬时的、极其复杂的定价信号,只有使用了同类算法的合谋者才能接受和解读;自我学习算法意在为企业选择一个市场最优的价格,企业可能利用人工智能创造利润最大化的定价算法,通过深度学习后,达成其他企业的默契共谋。[3]。以美国Topkins一案为例,2015年,美国司法部指控Topkins违反《谢尔曼法》,其通过算法协调价格变动的行为构成犯罪,包括撰写定价算法代码,采用特定定价算法与其他同行进行协商定价,以维持和稳定特定海报商品的销售价格,并且协调各自的价格调整;随时与合谋者搜集、交换、监督和讨论相关定价与销售信息,落实价格协议和监督定价算法的效力,收取价款[4]。该案是第一起因利用识别算法行为违反反垄断法并遭到处罚的案件。该案成为全球对数据识别算法行为进行反垄断管制的风向标。

1.数据识别政策比较

数据识别的精确度意味着科技的发展程度。一方面,精确的个性化服务或许会提高工作效率,但也在另一方面损害了消费者的利益。消费者的利益一旦受损程度过大,又会反过来降低工作效率。所以,数据识别算法技术并不是一种完全价值中立的科学活动或数学活动[5],相反,其总是蕴含着价值判断。我国目前大多数在线平台的数据识别算法设计都隐含了歧视和不公,有的更是隐藏了利益集团的操控[6]。在此,以BAT④BAT,即百度公司、阿里巴巴集团、腾讯公司三大互联网公司首字母的缩写。BAT已经成为中国最大的三家互联网公司。中国互联网发展了20年,现在形成了三足鼎立的格局,三家巨头各自形成自己的体系和战略规划,分别掌握着中国的信息型数据、交易型数据、关系型数据,然后利用与大众的通道不断兼并后起的创新企业。基于现有业务的竞争优势在移动互联网领域构建完整的生态体系已经成为BAT的布局核心,但在这个过程中,三巨头的侧重点各不相同。百度以搜索引擎为支撑,在探索新业务方面主要以战略投资为主,形式多为收购和控股;阿里侧重于构筑完善的电子商务生态链,覆盖物流、数据服务、电商的交易支付、供应链金融等领域;腾讯更多地是采用开放平台战略,游戏领域一直是腾讯投资的重点。公司的隐私政策为例(见表1)。

表1 BAT公司隐私政策汇总① 此表格为作者个人基于该三家公司的隐私政策所做的简单整理,仅代表个人之见解,如需详细了解政策全文可参见各网站注册页面。

2.数据识别类型化

可以将以上被采集的数据分为以下几类(见表2)。

表2 数据聚合分类

通过对各数据的收集与对比,可以对消费者形成完整的“数据画像”并对其进行“实时追踪”,使消费者在商户面前变得无处遁形。另外,数据识别算法可以进行完整的自我学习,基于原始数据挖掘新的信息,既增加了个人隐私暴露的危险,又使市场竞争乃至社会安全、国家安全暴露在危险之中。而我国目前未对互联网企业进行大范围、深层次的规制审查,所以在这个层面上的案例几乎没有。但是欧盟对Microsoft、Google、Facebook和Linked-In等大型在线平台做了多年的跟踪调查,其得出的结论是这些社交平台显示出获取更多个人数据的动机,超出了确保平台正常运行所需的客观要求。

数据的保护是全球性的问题。近年来,全球范围内频繁发生的数据隐私与数据竞争事件无不揭示出,反垄断法并不是数据竞争的法外之地,亟需受到监管规制。2017年,域外发生多起数据违规事件:Facebook因面部识别系统侵犯隐私被起诉;Facebook因数据搜集违规遭到多国罚款;WhatsApp因与Facebook分享数据在德国被起诉;甲骨文向欧盟投诉Google的隐私政策更改;Google因违反数据保护在韩遭起诉;Google因违法收集苹果用户数据被诉;Twitter等因共享用户信息赔530万美元;美医疗公司支付数据泄露和解费用1.15亿美元;美国信用机构泄露1.43亿用户数据;雅虎30亿用户信息遭泄露;美英多国就数据泄露调查Uber等[7]。在国内也多次发生电商平台的数据公开买卖事件,其中的数据既有直接的个人信息,如电话、姓名、身份证号、银行卡号,也有邮箱账号、密码等。Gartner(全球最具权威的IT研究与顾问咨询公司)全球风险与安全调查数据显示,在全球网络安全风险中,企业对“隐私问题”的关注度超过安全事件[8]。

通过以上案例可以看出,消费者的个人权益随时随地都在受到不正当竞争行为的侵犯,通过对互联网企业数据识别算法进行有效监管,明确消费者的个人隐私保护政策,保障消费者的权益是十分必要的。

(二)数据识别行为《反垄断法》监管规制推定

本节旨在确定在线平台如何以滥用个人数据①个人数据即个人信息,也有学者使用个人资料、信息隐私等称谓,但研究对象与内容并无本质区别,其意义相同。的形式实际发生侵权行为,即互联网企业数据识别行为应受到监管规制。消费者的个人数据具有经济意义,互联网企业通过滥用此类数据,使消费者的个人支付能力在讨价还价或在线购物时可能会变得更透明。目前,我国消费者的数据隐私保护还未引入《反垄断法》的规制中,所以应进行规制框架推定,以明确数据保护规则的适用范围。

以《反垄断法》对数据识别行为进行定性。我国《反垄断法》第17条第1款第(6)项规定:“禁止具有市场支配地位的经营者没有正当理由,对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。”传统模式下价格歧视的构成要件主要包括以下三点:一是实施主体具有市场支配地位;二是对客体为地位条件相同的相对人实行价格上的差别待遇;三是没有正当理由。具有市场支配地位的主体才对市场定价具有影响力,并且有能力干预相对人对于商品的选择,限制市场竞争。

首先,互联网市场中拥有支配地位的企业规模越大,占据的数据资源就越多,数据驱动技术就越强大,完全有能力对数据市场的竞争构成威胁。其次,所谓同位不同价,即在同一在线平台,不同消费者购买同一商品,没有正当理由仅因为数据算法识别等因素,需支付跟自身经济能力相当的最高定价行为。这种销售方式使消费者盈余被破坏,即卖方将同样销售成本的物品,按不同价格收取费用,获得利润是不同消费者所能支付的最大利润,于是消费者的利益遭到了最大破坏。最后,没有正当理由,主要指各种效率理由[9]。根据传统反垄断法,价格歧视在能够增进产出时,是能够增进福利的,在新经济领域的高新技术市场上尤其如此。但价格歧视也有可能反竞争,损害效率[10]。因为互联网市场具有正的网络外部性②用户效应的增多,能够更好地消除信息的不对称,边际价值不断提高,边际成本不断下降。所以,具有正的网络外部性的大数据交易市场,通过运用大数据平台进行经营,消费者将会越来越多。,边际成本的减少,促进了效率的增加,但是这种增加是建立在一级价格歧视基础之上的③一级价格歧视是指完全的价格歧视,经营者获取了全部的消费者剩余;二级价格歧视是根据消费者购买量给予不同的优惠,类似于对常驻会员级别的人给予特别优惠;三级价格歧视则是根据市场规律进行调节,经营者既有利润回笼,消费者利益也未受损。,即个性化定制价格,导致消费者的剩余利益被完全侵犯。因此,将数据识别行为纳入到《反垄断法》的规制范围是追求现代法治精神所必须的。

二、数据识别算法是《反垄断法》监管的焦点问题所在

个人兴趣、步数计算、喜欢的食物和位置数据等都是个人数据的子类别,尽管是与个人隐私相关的间接数据,但与更直接或高度敏感的个人隐私数据相比,此类间接数据一旦进行聚合将能推断出一个大数据类别。由于在线平台的复杂性,既有多边市场的存在,又有数字单一市场“数据驱动技术”创新发展的需求,因此,应将消费者的数据行为进行分类,以便在保障技术发展的同时细化监管规制,保障消费者的隐私权和数据市场的竞争秩序。此规制路径要从实际情况出发,从每天围绕在消费者周边的数据识别算法起步。以下从国内主要互联网企业的隐私政策④个人隐私与个人信息呈交叉关系,即有的个人隐私属于个人信息,而有的个人隐私不属于个人信息;有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私,但也有一些个人隐私信息因高度公开而不属于隐私。比较分析着手。

(一)数据识别算法缺乏法律保障

对于个人信息保护立法,欧盟采取了“‘指令’①Directive 95/46/EC(《个人数据保护指令》于2012年11月修订为General Data Protection Regulation《欧盟数据保护规则》)、Directive2003/31EC(《电子商务指令》)、Directive2002/58/EC(《隐私与电子通讯指令》)、Directive2006/24/EC(《数据留存指令》)。成员国立法”的“国家主导模式”,美国则采取了“补充已有法律(主要是隐私权保护法律)+行业自律”的模式[11]。我国从2015年至今,国家互联网办公室以约谈百度等互联网企业的方式,对其不断产生的新问题进行警醒。《网络安全法》《个人信息安全规范》等规范条文的落地,使交易平台的数据收集行为有了一定的规范依据,但是根据目前的实践来看,在线平台基本上是避开法律红线进行经营。“技术只有透明才能获益。”[12]在线个人用户通常不知道与他们互动的公司收集和处理他们个人信息的程度,所以算法透明度决定了算法的公平,监管规制决定了对在线个人用户的披露程度。因目前我国没有《数据法》可以细化数据披露程度的规则,所以只能由若干部门法律要求不同程度地披露个人数据的收集和使用方式。

(二)数据识别算法透明度模糊化

当法律监管进入大数据领域时,互联网企业对其商业行为的保密性越来越强,以至于这些企业对个人的量化程度也越来越高。从数据收集到数据处理的完成方式是不透明的。互联网企业与第三方共享代码和模型有以下三个缺点:首先,数据挖掘的复杂性算法通常是该行业最宝贵的资源,因此,透明度要求不仅会威胁互联网企业的商业模式,还可能会阻碍该行业的技术创新;其次,高级算法的复杂性非常高,以至于他们的架构设计通常难以完全理解;最后,让更广泛的公众理解算法将是一件非常难的事情。另外一个关键问题是,为了发挥隐私政策的作用,需要有足够多的个人用户阅读、理解隐私政策。然而,并不是所有的消费者都会仔细阅读在线平台的隐私政策,这也导致了对披露系统的忽视。

(三)数据权属确立规制缺失

我国现行立法中对于个人数据的权属没有明确规定,加之互联网市场存在众多灰色地带,使得数据的权属问题成为数据保护的核心之重。目前较为流行的一种观点认为,数据没有所有权,因为数据是存在于网络之中的,是具有流动性和非排他性的,而获取数据的过程应当符合法律规定。另外一种观点认为,应对数据赋予财产权性质。来自于个人用户的数据,个人对其拥有绝对的所有权,如表2中所列的数据种类。个人在日常生活中形成的数据曲线,可以反映出其个人生活方式等方面的信息,无论数据如何流转,其所有权均应归个人所有。还有一种观点认为,数据只有通过在线平台的提炼才能产生价值,所以数据的所有权应该归在线平台。基于数据的特殊性质与互联网市场的特殊存在,我们可以考虑使用经济学的价值理论对数据进行价值定性,以法律规范对其所属价值进行等级上的区分,或许更符合现在的趋势。

(四)数据权属授权形同虚设

通过对表1、表2中在线平台运营的隐私政策比较分析可以看出,数据从个人手中流转到互联网企业,在合法条件下主要是用户行使授权行为的结果,即同意②文中的“同意”为广义的同意,其具体意义包括:同意;选择性同意;推定同意;明确同意或特别许可同意。在线平台收集个人相关数据。而目前精准广告的投放多是互联网企业追踪用户网上行为轨迹,通过Cookie等类似技术所得,以便于其进行精准营销。业界通行的用户授权模式是通过用户“默认同意”,再选择“退出”方式实现,但这却是GDPR明令禁止的行为。

因为任何人的个人数据都可以保存并用于未知领域,况且此种数据积累越多价值越大。而个人用户除选择“同意”以外,只能放弃在线平台提供的服务,即个人用户丧失了选择的权利。

还有,不只是个人用户的授权选择权受到损害,与在线用户相关的在线平台的权利也会受到损害威胁。例如,在新浪微博诉脉脉案中,脉脉未经许可就抓取了新浪微博用户的职业信息、学历信息经营自身业务;2017年,今日头条也通过用户的设备授权将新浪微博的内容自动转移到自身业务中;华为与微信之争,华为也是通过用户的授权,取得了微信中的数据。这就是数据识别行为带来的恶性竞争结果之一,如不加以规制,市场必将扭曲。

三、数据保护回应与监管规制构建

简单禁止数据收集是行不通的,为了追逐利益,在线平台会违反市场竞争秩序,这显然不符合我国现阶段经济快速发展的现状。数据收集和处理所带来的巨大利润会形成监管较少的黑市。所以,旨在最大限度地减少数据识别使用的危害,并通过合法的数据收集和处理,提高个人用户平等性的监管规制是我们必须考虑的制度规划。

(一)监管规制构建,法律保障公平

监管规制的构建“应以‘习近平网络强国战略思想’为指引,加强顶层设计”[13],一方面,将竞争规制引入个人数据保护;另一方面,推动其他法律的立法进程,完善个人数据安全法律保障体系。

首先,在认知上优化隐私政策。改变目前无须阅读隐私政策即可在在线平台注册等方式,并对隐私政策中涉及到的关键词汇进行颜色标识和解释说明,以增强个人用户的理解度,确保披露的有效性。

其次,为了对抗在线平台对数据挖掘固有的密封技术发展趋势,可以通过数据挖掘技术在算法决策和交互式建模方面提高透明度,即采取“智能”披露的方式。以表1中各在线平台的隐私政策为例:隐私政策应易于访问且清晰易懂,对各在线平台使用包括文本在内的多层格式进行说明,如图形说明等[14],以简化对算法的复杂理解,在线平台采集数据时应对用户进行提醒说明。

最后,以法律作为监管工具,将数据识别算法管控引入《反垄断法》。算法可以强化在位者的力量,进而提高市场集中度,如谷歌在欧洲经济区范围内以专用算法①即X算法(保密信息)与Panda降级算法。的竞争性比较购物,给其他比较购物服务之间的竞争带来了不利影响,增加了谷歌的流量,减少了欧洲经济区的流量,最终损害了欧盟境内消费者的利益。所以我国新的《反垄断法》应尽快修订出台,制定适应互联网行业发展的配套规则,将典型的互联网垄断行为纳入其中。在传统构成要件的基础上,将后果要件也作为关键性指标来判定数据识别算法的违法性。即从损害后果影响的深度进行考察,如果行为造成的损害后果无法依赖市场进行自我调节和恢复②即市场优先原则,指为了维护市场的竞争秩序,法律需要加以干预、进行外部矫正。在这种情况下,市场本身无法发挥作用进行自我恢复。[15],就说明该行为是违法的[16]。

为确保监管的有效实现,应建立跨部门的联合审查、评估与处理机制。同时,对数据识别进行刑事追责也是国际上的立法趋势,如美国《谢尔曼法》就对违反了该法的公司和个人设定了刑事处罚。法国、瑞士、加拿大等国也对实施垄断行为的刑事责任做了规定[17]。我国在进行《反垄断法》修订时,可以首先引入网络“透明问责制”,明确在线平台所应承担的法律责任,才能起到有效的预防和震慑作用。如美国计算机力学协会(USACM)发布声明,就算法透明度与问责制确立了相应原则;欧盟竞争委员Vestager提出,企业有义务遵守数据保护与反垄断方面的法律规则来设计算法③参见GDPR第13条第2款。。而该项制度的实施只能由消费团体、学术界、监管机构来引领,政府机关作为幕后保障。

(二)识别算法管控,披露认知优化

基于技术的发展趋势,应对数据识别算法即对数据使用自动化决策进行严格管控。根据GDPR对人权的保护理念,一方面,应对在线用户的个人数据权利赋予更多的自主决策权;另一方面,对企业的识别算法进行严格管控,主要有以下几点:(1)在线平台如需要使用算法自动化决策,应向在线用户告知决策机制,包括数字画像,并说明需要使用该算法进行决策的原因,以及将会在法律上对用户造成哪些不利影响,且上述信息用户有权访问④参见GDPR第35条第1款。,除例外规定外,用户有权不受企业算法自动化决策的约束⑤参见GDPR第2条第1款。;(2)用户数据的算法识别自动化处理程序作为高风险的数据处理业务,要求对数据主体个人开展系统和广泛的评估,且评估对用户个人能产生法律效力或类似重大的影响①参见GDPR第35条第3款。;(3)除非在线平台能表明其有可供披露的正当事由,该正当事由大于用户的个人利益,或者大于法律规定,基于其特定的情况,用户有权在任何时候反对基于公共利益和在线平台或第三方正当利益处理其个人数据②参见GDPR第21条第1款。;(4)严控将对自然人产生法律后果或者造成严重影响的算法和对用户的评估,作为高风险的数据处理行为③参见GDPR第35条第3款。;(5)对企业进行强制要求,并对其算法进行系统化监控,根据企业规模设立用户数据保护岗位④参见GDPR第31条第1款。;(6)对企业不承担自动决策不利后果的例外保持审慎的立法态度,发布行为规范⑤参见GDPR第70条。。互联网企业基于严格的识别算法程序管控,增加了企业处理消费者个人数据的成本,对于各项程序中的审查和排除,需要大量的人力和新程序的开发才可实现。否则,企业将会面临大量的投诉和违规责罚,这就说明对企业的管控还是要依靠法律的威慑力才可实现。随着我国大数据业务的发展和应用,对人权保护周严的规则将逐渐随着世界局势的变换而得到发展。通过借鉴欧盟的人权保护规则,制定适合我国社会主义市场经济特色的识别算法监管机制具有十分重要的意义。

互联网企业识别算法管控的对应面则为对算法程序的透明度要求。早在1995年,加拿大隐私专员Ann Cavoukian就率先引入PbD理念,旨在产品或服务设计之初,融入隐私保护的理念,主张将隐私理念植入技术架构设计,以用户为中心,提升透明度并给予用户更多的对其个人信息的控制权[18]。

(三)数据类别细化,确定权属规则

依据现有数据类别进行性质分类,即进行基础数据与增值数据的区分。基础数据是指能够识别消费者本人的数据,如表2中所列出的个人直接数据等,这些数据信息为实施数据驱动技术的本源数据。消费者作为此类数据的提供者,应该具有绝对的所有权,这是数据确权规则的基本原则。在线平台通过消费者在线的行为活动,利用数据驱动技术搜集整理出的数据为增值数据,如表2中的行为数据、位置数据等。因为附加了数据处理者的劳动,因此在消费者明确授权的情况下,在线平台可以对增值数据拥有所有权。如在大众点评网诉爱帮网案中,法院认为爱帮公司对其经营业务并未付出劳动,而是直接利用技术手段在爱帮网上展示大众点评网的商户简介和用户点评,并以此获取商业利益的行为是不正当竞争行为。大众点评网搜集、整理的商户简介和用户点评,应受法律保护,因为其中包含有大众点评网的附加劳动。

另外,充分考虑到数据类型的多样性,应采用需求的多样性和计算框架的多样性方式,以开放架构实现在线平台系统的按需扩展和动态演进[19]。一方面,对数据识别算法的设计者而言,应更严格地筛选算法,避免算法对数据歧视行为进行深度学习,而跳进无意识的侵权循环之中[20];另一方面,对数据类别的细化管理,可以最大限度地提高科技发展的速度与能力。因此,在法律授权下的数据采集、存储、分析、发布与关联融合、归档等全域管理,有利于数据按需快速流动和各种类型数据流水线的动态集成与调度。

(四)明确授权边界,确立授权规则

赋予个人用户选择权,而不是在“隐私政策”上笼统地进行陈述。隐私政策是否实施了有效的通知,取决于该通知的长度和功效之间的内在张力。传统意义上的通知一直面向个人,个人用户在阅读并充分理解“通知”的条款和条件后,通过选择同意或拒绝平台的同意使其采取相应的行动。并且,对于与个人有关的其他平台,也是通过消费者的授权而实施了不正当竞争行为。

应该强化用户对个人数据的自决权,增加同意规则的授权难度。GDPR对同意作了要求。一是默认同意被视为无效。GDPR已明令禁止“默认同意”的用户信息处理规则⑥参见GDPR第4条第11项。,要求用户依照自己的意愿做出明确的指示。同意须以声明或清晰肯定的行为表示,表明其同意处理与其相关的个人数据,默示、预选方框或者不作为不构成同意。GDPR将欧盟境内的互联网企业的监控确定为其管辖范围①参见GDPR第3条第2款。。当算法是基于直接的市场营销目的而针对个人进行精准广告投放行为时,用户有权拒绝。所以,GDPR要求基于同意陌生的数据处理须使用明示授权的方式进行。W8数据公司的一份报告显示,按照GDPR的要求,英国市场营销所使用的现有用户数据有75%都是不合规的[21]。企业除非选择遵守,否则只能采用新的技术来进行规避。Google已于2018年3月22日向客户和合作者公告宣布其广告政策的调整,广告发布者需要添加额外的环节以满足GDPR的同意政策。Google还将与包括IAB(Interactive Advertising Bureau)(欧洲)在内的广告行业协会协作,沟通实现最佳的同意解决方案[22]。二是需经用户同意才能与第三方共享数据。GDPR的同意规则意味着企业与第三方或者关联公司如要共享用户数据,需征得用户的明确同意②参见GDPR第6条。。Google和YouTube之间是通过共用隐私政策进行数据共享的。2012年,因两个产品合并隐私政策未告知用户并征得用户同意,Google于2013年被荷兰的个人数据保护机构Dutch Data Protection Authority(DPA)认定为违法,并被欧洲各国个人信息保护机构调查[23]。Facebook也在隐私政策中规定,为了用于推广、支持和整合活动及改进服务,会与其旗下公司分享拥有的用户信息[24]。但根据GDPR的要求,Facebook同 Google一样,正在调整其隐私政策。

另外,在线平台、用户和第三方之间的关系,影响到数据市场的正常运营。对用户的授权原则进行严格管控,也是为了市场秩序的有序进行。所以,在线平台可以引入“数据授权+平台授权+用户授权”的三重授权原则。如在脉脉非法抓取新浪微博用户信息案中,法院明确,第三方应用应通过开放平台获取相应信息。以OPEN-API模式获取用户信息时应坚持三重授权原则,以保护消费者的隐私权、知情权和选择权为底线,以公平诚信为行为准则,维护互联网市场的公平竞争秩序,实现数据经济的合作共赢。

四、结 语

全球已进入“数据识别”时代,算法社会只是数字化生活的一个简单缩影。在使用数据识别算法创造价值的同时,也会伴随很多风险,过度的数据收集、高度复杂的算法自动化决策行为给个人、社会乃至国家安全都带来了巨大的挑战。在数字经济时代,谁首先实现了数据的有效治理,谁就掌握了信息全球化的主动权和话语权。因为我国立法规制的现状赶不上科学技术进步的步伐,所以,如何通过科学的立法与制度设计,改善现行法律与产业发展的关系,是我国对算法识别进行法律规制面临的巨大挑战。根据其他先进国家的立法现实与国内外的新型案例,我们需要用前瞻性的眼光对现在和未来做出有预期的规划,既不能一味地照搬国外的法律规范,也不能任由数据识别算法为所欲为。对待异域制度,要看到条文背后所隐藏的作用机理,结合我国社会主义市场经济的现实情况构建监管规制。对待数据识别行为,既要以监管来进行规制,又要发挥其积极作用。将数据识别对个人的损害引入《反垄断法》的规制中,以明确数据保护规则的适用范围,并且让监管规制涉入消费者个人数据利益保护机制。只有建立合理的互联网企业监管机制,才能使互联网市场的竞争实现良性循环,既促进科技的发展,又使个人的既得利益得到有效保障,形成国家、社会、企业和个人对数据共同治理的美好愿景。

展开全文▼
展开全文▼

猜你喜欢

规制消费者算法
主动退市规制的德国经验与启示
消费者网上购物六注意
系无理取闹?NO! 请为消费者擦干眼泪
Travellng thg World Full—time for Rree
日化品牌怎样才能吸引年轻消费者?
进位加法的两种算法
共享经济下网约车规制问题的思考
浅谈虚假广告的法律规制
知识付费消费者
一种改进的整周模糊度去相关算法