基于公共物品属性的数据安全管理研究
2020-07-18王政坤
王政坤
摘 要:数据安全管理是政府管理事务中的前沿和难点,缺少行之有效的现成经验,需要不断在实践中探索。文章从数据的私人物品和公共物品二元属性出发,分析了在普通数据和大数据情境下的市场失灵的情形,区分了数据安全管理中政府与市场的不同定位,并对数据安全公共管理政策提出了意见建议。
关键词:大数据;公共物品;数据安全;公共管理;政府;市场
中图分类号: TP309 文献标识码:A
Abstract: Data security management is the frontier and difficulty in government management affairs. It lacks effective experience and needs to be explored in practice. Starting from the dual attributes of private goods and public goods of data, this paper analyses the market failure in the context of common data and big data, distinguishes the different positions of government and market in data security management, and puts forward some suggestions on the public management policy of data security.
Key words: big data; public goods; data security; public management; government; market
1 引言
随着信息化的发展,数据在经济社会发展中发挥着日益重要的作用,被认为是国家基础性战略资源[1],与此同时数据安全问题也开始越来越突出。在实践中,数据究竟是私人物品还是公共物品;数据安全管理是否存在市场失灵的现象;政府、企业、个人在数据安全管理中扮演什么角色;数据安全管理是政府的事情,还是市场的事情。这些问题需要一一厘清,否则数据安全管理问题难以有效地解决。本文主要从数据的物品属性入手,聚焦分析数据安全管理领域政府和市场的关系,并提出一般性的思考。
2 数据安全问题的两个层面
大数据时代,数据安全存在两个层面的问题。
一是普通数据安全问题。这个问题不以大数据为特征,它是指个人信息泄露或者企业等法人单位有限数据泄露所造成的损失。比如山东徐玉玉案件[2],即使是单个个体的信息泄露,犯罪分子运用社会工程学的诈骗方式,也可能给个体生命、财产直接或间接造成巨大伤害。类似问题并不是新出现的问题,而是在信息技术高速发展和广泛应用的时代,拥有了新的特征,即因为网络安全的脆弱性,使得获取个人信息或其他数据的渠道增多且更加容易,进而导致数据泄露等带来的潜在安全风险和危害急剧增加。
二是大数据安全问题。大数据是指海量的数据,数据本身的价值密度很低,但是随着数据量的增加,数据挖掘价值越来越高,甚至是指数级的增长。随着数据量增加至“大数据”的范畴,数据安全问题的范畴发生了质的变化,不仅涉及到财产、生命、隐私等个体层面的安全,更涉及到公共安全、社会安全、政治安全等层面的安全。“剑桥分析”影响美国大选的事件[2],就是这方面问题的反映。
数据安全管理,本质上是要解决两个问题:一是普通数据安全的问题,其核心是个人信息保护问题;二是大数据安全问题。两者之间既有区分,又有关联。区分在于,普通数据特别是个人信息保护是维护私权的范畴,大数据安全管理是维护私权和公共利益兼而有之;联系在于,数据量变到质变演化为“大数据”的时候,理论上应该按照大数据的特征进行管理,但是其中的界限并不是那么清晰。
3 数据的私人物品和公共物品二元属性探析
学界及一些国家的实践中,对待数据所有权的问题,基本上是两种方案:一是隐私权,二是财产权,前者是以欧盟为代表,后者是以美国为代表[3]。关于数据的公共物品属性,学界最近几年有一些讨论,比如清华大学法学院吴伟光副教授认为,“不论是以隐私权还是以财产权来对个人数据信息的使用进行规制都使得相关方无法准确计算和有效率地使用该私权,从而使得私权制度失去其功能”,鉴于此,他建议“对个人数据信息,应该超越私权观念而作为公共物品加以保护和规制”[3]。这种观点主要从数据私权的现实不可操作性方面否认其合理性,这本身就不合理,同时也未对数据的本质属性进行深入探究。特别是他否认了个人信息中的自愿原则,这一点也有学者提出质疑,认为这种理论“违背宪法和违背信息主体意愿的初衷”,在“现阶段很难得到社会公众的认同”[4]。
數据的属性究竟是什么。普通的数据,无疑是私人物品的范畴,比如个人信息,无疑归个人所有,可以通过财产权、隐私权等私权的方式进行规制。但是当“数据”发展成为“大数据”时,其特征会发生本质的改变。
第一,大数据的价值,不是单个数据价值的集合。换句话说,不是“1+1=2”的关系,而是“1+1>2”的关系,随着数据量的累计,二者之间的价值差距会越来越大。这个特征,使得私营部门,比如企业,拥有强烈的动力去收集数据。
第二,大数据使用不会陷入“公地悲剧”。大数据具有公共物品的一般特征—消费的非竞争性、非排它性,增加一个人的消费,不会降低其他人的消费水平,边际成本接近于零。但与一般公共物品不同的是,大数据不会陷入“公地悲剧”,不会因为消费人员增加而造成每个人的收益下降,也不会受困于“免费搭便车”,恰恰相反,大数据欢迎“搭便车”,随着消费人员的增多,数据量持续加大,大数据能力持续增强,每个人的收益反而会增加。
这个特征,使得私营部门有意愿通过提供免费的服务(类似提供公共物品),来换取用户的收据,从而通过大数据手段赢得更大的经济利益。比如,车辆导航服务,通过提供免费的服务,收集用户数据,从而掌握城市整个交通运行的态势,可以精准的为政府或其他机构提供有偿服务,实现经济利益的“失之东隅,收之桑榆”。这一点与传统公共物品一般由政府提供有本质上的不同。
第三,大数据的安全问题更多集中在国家安全和社会公共利益方面。大数据是普通数据的集合,它不关注个体数据的价值,关注的是整体价值,所以大数据安全问题一般不是针对某个特定的个体,而更多是针对某一类群体,或者具有某种共同的特征。比如,“大数据杀熟”,虽然最终损害的是个体利益,但是其表现形式却是对社会中具有相似偏好的某一类群体的利益侵害。这个特点让大数据安全问题更多具有危害社会安全、侵害公共利益的特征。此外,随着大数据技术的进步,其中存在的安全问题对网络安全、政治安全甚至国家安全构成潜在威胁,稍有不慎,可能会给国家安全带来严重危害,给国家、社会整体造成巨大损失。这个特征,使得大数据安全问题很难通过单纯市场手段解决,政府必须介入。
综上所述,数据具有私人物品和公共物品的二元属性。少量数据适用于私权,如隐私权、财产权;大数据适用于公共物品的理论,却又是非典型公共物品,具有其特殊性,可权且称之为“类公共物品”。
必须要说明的是,在数据收集阶段,特别是收集个人信息的行为,是点对点的收集行为,所有信息均能关联到现实中的个体,这必然不是大数据的范畴,必须适用普通数据的管理规则,通过隐私权、财产权进行界定规制,也就必须要遵守“自愿原则”。既然是财产,就涉及数据定价的问题,在纯市场调节情况下,如果用户对企业收集使用自己的个人信息有充分明确认知,依然同意企业搜集个人信息并借此享受企业服务,那么就可以理解为,企业提供免费服务的成本其实就是购买用户个人信息的价格,因为严重信息不对称,企业和用户之间这种市场定价机制存在一定偏差,不能真实反映个人信息的价值。
4 数据安全管理的市场失灵
本节主要讨论,市场是否会自发改善和解决数据安全问题。市场主体有强烈的意愿自发的、大量的收集、使用甚至交易数据,数据的收集、使用,完全是市场行为,不存在市场失灵的地方。但是数据安全问题则不然。
在数据安全管理上,存在市场失灵的情况。数据安全保护是要付出成本的,数据量越大,付出的成本越高,追求利益最大化的市场主体,不会为了别人的安全而损害自己的利益。当然,也不是完全没有制约,比如全社会个人信息保护意识的提升会对企业构成制约,如果企业对用户的个人信息保护不到位,用户不信任,不使用企业产品,企业就收集不到数据,反过来也会影响企业自己的利益。在这种情况下,企业为了照顾用户的感受,会适当的进行安全保护。但总体来看,数据安全问题不是企业考虑的问题,市场不会自发地解决数据安全问题。
这个问题可以从个人、企业、政府三个方面来进一步说明。
从个人的角度讲,享受便利和确保安全最好能“兼而有之”,如果不能,就是“两害相权取其轻”,更多人选择享受便利。比如,大数据安全问题之一:为用户画像。用户通过网上购物,可以带来便利,同时也有泄漏个人信息的危险。通过大数据分析,掌握用户偏好之后,可能会“大数据杀熟”,使用户买到的商品价格比别人高。问题在于,很多人明知有这个风险,却依然选择享受便利的服务。为解决大数据安全问题,让个体放弃便利,无异于“因噎废食”,既不是个人的最佳选择,也不是社会发展进步的方向。
从企业的角度讲,大数据是为企业谋取利益的工具,所有基于大数据的免费服务,最终都要通过大数据价值挖掘实现经济利益,否则企业没有动力。从收集数据看,企业有强烈的冲动,大范围、全面、深入收集用戶的所有数据信息,比如送餐的App,本来收集地址、手机号码信息就行,但是它还要收集你的通讯录、照片、账户、浏览信息、日志、存储、生物识别等额外信息[5],已经严重超范围收集个人信息。从使用数据角度看,企业有意愿利用收集的信息拓展业务,比如新闻咨询类App,要根据收集的用户信息,分析用户偏好,喜欢打篮球的,就经常推送NBA信息;有小孩的,就推荐母婴产品等。从交易数据角度看,企业有意愿出卖数据来获得利益,且不履行告知用户的义务。无论哪个角度,企业在收集使用数据的时候,首先考虑的都是经济利益,即便会有一定程度的安全管理行为,也都是为其经济利益服务的。
从政府的角度讲,大数据是一把双刃剑。一方面大数据发展会增加社会总体福利,改善公共服务水平,比如车辆导航,可以缓解公共交通压力;另一方面,大数据发展又会产生很多风险隐患,且未知风险难以预测。比如定向推送,基于收集到的用户偏好数据进行算法分析,定向推送相关广告、新闻信息,很容易形成“信息茧房”,侵犯用户获取信息的权利,再进一步就是“精准政治营销”,影响社会价值观,危及政治安全。政府需要在发展与安全之中寻求平衡,单纯强调发展,安全问题会非常大,单纯强调安全,又会妨害发展,最终不利于社会总体进步。这是政府在数据安全管理上的矛盾所在。
5 数据安全管理问题中政府和市场的定位
从本文的分析,可以得出这样的结论:天然的市场主体不会关注数据安全问题,除非已经损害到它自身的利益。但这并不意味着数据安全管理完全是政府的事情,政府要像提供国防保障一样去提供数据安全保障。在数据安全管理上,离不开政府和企业共同发力,必须要充分发挥政府和市场的双重作用,这是数据的私人物品和“类公共物品”二元属性决定的。
通过建立“大数据安全成本-收益”模型来分析在数据安全管理上政府和市场的关系。这个模型有两个假定:
假定1:大数据潜在收益=大数据潜在安全损失(基本集中在社会和国家层面,以下统称为社会层面)=社会在大数据安全上的收益。
假定2:企业大数据服务边际成本=0,企业大数据安全保障边际成本=0。
两个假定的科学性分析:
关于假定1,大数据的潜在收益和安全损失均难以衡量,但是随着大数据无限增加,都趋向于极大,理论上可以相等。大数据安全风险主要体现在社会层面,其损失最终都可以转化为社会上整体收益的损失,所以大数据潜在安全损失与社会在大数据安全上的收益也是相当的。
关于假定2,大数据服务,增加用户使用不会对服务成本产生明显的增加,边际成本接近于0;同样道理,大数据服务的安全措施,所有用户都可以共享,用户增加不会造成安全成本明显增加,边际成本接近于0。此假定目的是排除边际成本在模型中的影响因素,进一步优化模型。
基于上述两个假定,企业、用户、社会三者之间的收益、成本基本情况分别为:
从企业层面,因为大数据主要集中在企业,所以大数据服务收益主要集中在企业,如果企业服务成本为1、安全成本为0.5,为谋取利益,服务收益应大于成本,假设为2。
从用户层面,大数据提供的“类公共物品”不会陷入公地悲剧,每个人的收益不会因为用户数量增加而减少,用户整体享受服务的收益不应高于企业的服务成本。在平衡状态,企业提供免费“类公共物品”服务时,以满足大数据服务收益条件的最低成本为限,超过此成本,企业利益下降。比如,免费的导航服务,企业升级完善导航服务的前提在于,它通过完善导航服务能收集更多的数据,进一步提升大数据服务的盈利能力,如果继续完善导航服务不能提升大数据服务盈利能力,即达到了平衡状态,企业就丧失了继续升级免费服务的动力。由于难以衡量单个用户通过使用大数据服务获得了多少收益,只能通过企业服务成本来衡量。在此平衡状态,用户整体享受服务的收益与企业服务成本相等。按此方式,用户整体享受服务的收益为1、安全收益为0.5。
从社会层面来看,依据假定1可知,大数据服务收益与大数据安全带来的社会损失相当,即为2,这个损失即为社会的数据安全管理潜在成本。如果没有这个损失,即为社会的安全收益。
以上关系可以用表1“大数据安全成本-收益表”呈现。
通过“大数据安全成本-收益表”,可以分三种情况来分析政府、市场在减少社会安全成本、增加社会安全收益上发挥的作用。
第一种情况:企业不投入安全成本。“大数据安全成本-收益表”变化,如表2所示。
从企业角度,成本减少了0.5,总收益增加了0.5,在没有法律要求、政府强制的前提下,这应该会是企业的客观选择,因为收益增加。但是社会潜在安全损失全部实现,安全成本为2,且用户安全收益减少为0,总体社会福利减少了2.5,无论从社会还是用户角度出发,都不希望这种情况发生。数据安全问题,其实是大数据服务存在的负外部性问题,它意味着企业和用户、社会之间存在利益博弈。
第二种情况:提供一种改进措施,企业不增加投入安全成本,由政府来提供安全服务。“大数据安全成本-收益表”变化,如表3所示。
这种情况下,政府投入安全成本2,用户收益增加0.5,社会安全收益增加2,企业成本和收益没有变化,总体收益增加0.5,较之第一种情况有所改进。
但是,从企业角度看,表面上成本没有增加,收益还是1,然而政府投入必定来自于税收,企业的税收成本增加了,所以实际上企业的成本要略微增加,收益相对减少;用户安全收益增加0.5,同样需要缴纳一定的税收,收益也会相对减少;政府投入存在效率不高、政府失灵的情况,实际投入为2,不一定能产生2的社会收益和0.5的用户收益。综合来看,此种情况是否能真正改进安全问题,还不一定,即便有所改进,效率也必定非常低下。
第三种情况:进一步的改进措施,采取补贴的方式促使企业增加安全投入。“大数据安全成本—收益表”变化,如表4所示。
这种情况下,企业成本增加0.5,但是政府进行了补贴,总收益没有减少。与此同时,用户和社会都从中收益,等于用0.5的投入,换取了2.5的收益,总收益增加2。这是一种更加优化的方案。
从以上分析可知,解决数据安全管理的问题,单纯通过政府投入提供数据安全公共服务,因为信息不对称、效率低等原因,势必存在政府失灵的状况,其完全是不可行的。必须充分发挥政府和市场两者的积极性,让市场主体有意愿去进行安全投入,才能实现效益的最大化。
6 对策建议
数据安全管理中核心是处理好政府与市场的关系,关键在于平衡发展与安全的关系。大数据潜在收益和潜在风险都非常大,风险又集中在国家和社会层面,所以在发展上企业有动力,但是在安全上企业没动力,而且企业的发展动力可能会导致个体层面权利被侵害、国家社会层面安全问题更突出。要想解决这个问题,需要政府和企业共同努力。
一是政府要加大宣传力度,提升全社会个人信息和数据安全意识。只有全社会数据安全意识转化为用户的数据安全需求的时候,企业为了谋求更大的利益,才会主动去满足用户的安全需求。这是根本的动力。
二是进一步规范企业行为,防止侵害用户个人信息权利的行为。在普通数据层面,比如个人信息收集层面,数据安全管理适用私权,自愿原则必须遵循,不能像有的专家学者说的“数据是公共物品,不必遵循自愿原则”。
三是加强政策资金帮扶,支持网络安全产业高质量发展。企业作为市场主体,作为大数据的收集使用方,它有能力在相对较少的投入下提供更高的安全服务。安全服务本质上不应该由政府来提供,而是由企业来提供,但是政府要做好監管和支持,特别是要加大网络安全产业的政策资金支持力度,培育网络安全龙头企业,推动企业提供高质量的安全服务。
7 结束语
数据安全管理,关系到社会公众的切身利益,更会随着大数据、人工智能、物联网、5G等技术的发展,对社会公共利益、国家安全产生巨大的影响,不能等闲视之,必须未雨绸缪,加强理论创新和政策研究,防患于未萌。
参考文献
[1] 中国政府网.国务院关于印发促进大数据发展行动纲要的通知[EB/OL].http://www.gov.cn/zhengce/content/2015-09/05/content_10137.htm.
[2] 天君.互联网天空上的那朵“乌云”[J].互联网经济, 2019(06):84-91.
[3] 吴伟光.大数据技术下个人数据信息私权保护论批判[J].政治与法律,2016(07):116-132.
[4] 戴敏敏.大数据技术背景下的个人信息法律保护[D].浙江大学, 2018.
[5] 中国网信网.百款常用App申请收集使用个人信息权限情况[EB/OL].http://www.cac.gov.cn/2019-05/24/c_1124538535.htm.
