算法风险防控视域下企业数据权利的三维构建研究
2021-04-17叶嘉敏
叶嘉敏
(华东政法大学 经济法学院,上海 200333)
一、引言与文献述评
当今社会已步入大数据时代,普遍认为,大数据时代具有数据总量大、价值高但密度低等几大特点(张玉宏等,2017)。[1]唯有应用精细化的技术,方可提取有价值的数据并对此高效利用,“论其实质,技术是对现象集合有目的的编程”(阿瑟,2014),可见算法即为大数据处理技术关键的抓手。[2]
所谓算法,即处理问题的一系列指令,只要输入初始条件即可输出相应的处理结果(Daniel 和Roisin,2016)。[3]在商事领域算法得以广泛应用,不可否认,算法在分析市场供求关系、合理发放广告、精准推荐产品、及时调整定价等方面具有不可替代的功用,但“相比算法对我们的生活影响之深,其对社会的担当则远远不够”(Editorial,2016)。[4]大到2016 年Facebook 遭质疑运用算法大量制造假新闻影响美国总统选举(史安斌和王沛楠,2017),小到“大数据杀熟”现象泛滥,算法运用的弊端在商事领域可谓无处不在。[5]
对此,尽管中国相继出台以《中华人民共和国网络安全法》与《中华人民共和国民法典》 (以下简称《网络安全法》与《民法典》)为代表的法律法规对算法应用带来的相关问题予以规制,但相关规定的内容并不精细,且主要以回应性监管为内容,缺乏以前瞻性规制为重心的行为准则,此外相关规定对算法应用带来的问题并未进行系统性梳理,并不能切实解决所有问题。
有鉴于此,国内外学术界对算法应用带来的问题进行了一定的研究。在企业收集消费者数据的法律规制方面,国内外学术界对其研究很多,但着力点在于保护消费者权益,对企业收集消费者数据的权益保护论述极少。国内对企业收集消费者数据问题的研究,一方面致力于探究数据收集与存储过程中泄露的风险及其防范机制的构建,另一方面着力于构建个人信息权制度,界定其内涵及侵权责任。如鞠晔与凌学东(2016)主张应界定消费者个人信息权的权能、侵权行为类型剖析及其法律救济,张继红(2016)研究了金融消费者信息权面临的风险及其应对措施,曾新宇(2014)主要阐释了消费者个人信息保护的法理基础及举证责任配置问题,王学菲(2017)着力于论述隐私权和个人信息权的区别及如何完善个人信息权。[6-9]而观国外,德国《联邦数据保护法》、英国《个人数据保护法》、欧盟《通用数据保护条例》等立法对数据被收集者的知情权、被遗忘权与可携带权进行了详尽的规定,学术界对此也有充分讨论。
在企业运用算法的法律规范方面,学术界的研究较少,并且着眼点主要在于“大数据杀熟”问题,其立场依然是保护消费者权益,且研究主要是为了解决现有问题而非构建完善的消费者权益保护制度,而对企业算法应用的权能与边界的研究极少。如邹开亮和刘佳明(2018)研究了“大数据杀熟”的技术路径、法律规制困境与解决方案,孙善微(2018)着力于剖析“大数据杀熟”背后的价格欺诈行为,分析其危害并对其予以规制,禹卫华(2018)主要阐述了“大数据杀熟”的技术原理及其遏制的长效机制。[10-12]
而在数据能否成为民事权利客体的讨论方面,学术界对此有分歧。部分学者从民事权利客体构成要件的角度进行研究,梅夏英(2016)认为数据必须依赖于载体、代码和其他因素才能发挥功用,数据的无形性使其缺乏独立性,因而数据并非民事权利的客体。[13]程啸(2018)不认同这一观点,认为数据是民事权利的客体,原因在于信息是数据的内容,数据是信息的形式,在大数据时代,无法将数据与信息加以分离而抽象地讨论数据上的权利,就数据而言,其之所以具有经济利益或者涉及人格利益,就是因为包含着信息,如果明确了数据与信息是一个整体,那么数据必定为民事权利的客体。[14]李爱君(2018)也认为数据是民事权利的客体,因为数据存在于人体之外,具有确定性与独立性。[15]部分学者从数据对个人与产业发展的重要性角度进行探析,武长海和常铮(2018)认为应当构建数据权利制度,原因在于数据权利的界定是数据交易、处理制度的核心。[16]吴晓灵(2016)指出明晰数据所有权是建立数据处理与流通规则的先决要件。[17]龙卫球(2017)尤其强调建立企业对数据的财产权规则。[18]可见国内学术界对数据能否成为民事权利的客体虽有分歧,但总的来说,无论是从民事权利客体构成要件的角度还是从数据对个人与产业发展的重要性角度,“数据可以成为民事权利的客体”已成为中国学术界的通说。
关于数据能否成为民事权利的客体,国外学术界存有一定争议,但主流观点认为数据可以成为民事权利的客体。反对者往往从数据与信息的可分离性出发进行批驳,如Nate Sliver(2012)认为,数据本身并不具有任何意义,只有在被人们赋予内容后,其才能找到自己的定位;Jessica Litman(2000)认为数据是否具有财产性是由信息内容来定义的。[19-20]支持者则往往从数据产业发展的重要性出发进行论述的,如Moon Jaeman(2014)认为,在大数据环境下,个人数据的财产性正在不断增强;莱斯格(2009 年版)主张通过赋予数据财产化权利,促进数据大规模交易;Kenneth Arrow(1962)认为,基于重要的需求考量,法律可将数据拟制为民事权利的客体。[21-23]
尽管国内外学术界在数据可以成为民事权利客体方面基本达成共识,但在企业对数据的收集与算法应用层面的规范研究并不成熟,其研究大多基于数据被收集者与消费者合理权益保护的立场,很少考量企业对数据收集与运用的需求。而且国内外学术界对企业算法应用带来的相关问题梳理并不系统缜密,在某些问题的研究回应上几乎是空白,且相关研究大多注重后果的回应性监管,缺乏前瞻性的行为准则视野。
二、算法在商事领域应用的主要社会问题剖析
算法在商事领域运用产生的弊端固然很多,但追根溯源,算法应用产生的社会问题主要源于数据获取、数据的算法处理以及算法许可使用三个阶段,相应的算法运用出现的问题可归纳为企业数据获取的正当性问题、企业算法处理中出现的算法歧视与信息茧房问题以及企业算法许可使用中出现的算法共谋问题。
(一)企业数据获取的正当性拷问
算法在商事领域得以应用的前提是企业能获取可供处理的大量数据,根据是否可识别自然人身份数据可分为个人数据与非个人数据。非个人数据主要是由政府或企业掌握,企业对非个人数据的获取可通过与政府或企业订立许可使用协议的方式实现。在以非个人数据为许可使用客体的协议中,订立协议的双方当事人不存在依附关系,协商地位平等,协议是当事人真实意思表示的反映,且当事人在通常情形下都符合“理性人”的假定,双方在缔约时都会尽力维护自身权益。此时数据许可使用协议完全反映了当事人的利益诉求,企业对非个人数据的获取具有很强的正当性基础。
反观企业对个人数据的获取则法理障碍重重。与非个人数据的获取类似,企业获取个人数据同样需要订立数据许可使用协议,尽管数据体现一定的财产性,但单个个人提供的数据于企业效益而言其价值可谓微乎其微,事实上个人数据的提供的确没有实物上的对价,现实中个人数据的对价往往是企业对个人提供的信息化服务。此时企业在协议中往往处于优势地位,原因在于通常情形下个人是出于使用信息化服务的考量而被迫向企业提供个人数据,于此情形,企业往往采用格式条款迫使个人同意提供个人数据,格式条款大多情形下无法保障个人数据的信息安全,即便格式条款充分保障了数据的信息安全,但数据许可使用协议的执行由于信息不对称与地位不对等的问题缺乏强有力的监督,个人的信息安全难以保障。此外,个人在同意企业提供的格式条款时很多情形下都是非理性的,并不能合理预见同意协议带来的信息安全隐患,遑论甄别保护个人数据信息安全的必要措施。此时,政府的合理规制就显得尤为重要,然而即将生效的《民法典》与《网络安全法》等法律法规对此并没有严密的规范。于此背景下,企业对个人数据获取的正当性受到广泛质疑也就不足为奇了。
(二)企业算法处理中的信息茧房与算法歧视难题
算法的应用总是包含价值判断,算法运用的结果因企业所持价值立场而异,企业在算法处理中出现的社会问题主要是由价值判断引发的。企业在算法处理中出现的一大问题是“信息茧房”难题,该理论认为人们通常只听从他们选择或愉悦他们的对象,公司一旦建立了信息茧房,形成的决策就不可能综合各种因素,必然不会兴盛(桑斯坦,2008 年版)。[24]同理,企业在进行算法处理时若仅依据主观偏好而非基于全面因素的考量,则必然会形成于己不利的公司决策或对消费者、雇员不利的后果。
此外,企业在运用算法对数据的处理中,还会出现算法歧视问题。首先,企业在选取处理数据的样本时,有时会因样本选取量过小而覆盖面不广,忽视少数群体的数据信息与其利益诉求,造成对少数群体事实上的歧视。其次,企业在选取算法处理对象、对处理对象进行赋值或赋予权重时,常常会因偏见而处置不当,即便规避法律明文禁止的种族、性别等歧视,还会根据怀孕、基因、残疾等因素对部分数据主体做出不利评价,并且“处理人员的初始偏见随着算法的进一步处理往往会进一步扩大”(周涛,2017)。[25]“大数据杀熟”就是算法歧视的典型应用,企业根据消费群体的购买次数、付款时间与是否货比三家等因素针对不同群体设置不同的价格。最后,如同大数据专家舍恩伯格所说,大数据时代重视的是关联性而非因果性(Schonberger 和Cukier,2013),企业在算法处理中往往会出现关联性而非因果性跳跃,这就给歧视的产生与作用提供了温床,如企业将求职者住址距单位距离与合适求职者的条件直接关联(Kim,2017),再如谷歌浏览器会将种族与犯罪背景审查广告的数量相关联(Sweeney,2013),二者分别构成对求职者与种族的间接歧视。[26-28]
面对由价值判断引起的信息茧房与算法歧视问题,中国法律中并没有直接针对算法运用的规制,而是采用了结果监管的规制路径,具体而言,监管部门通过事后审查发现企业对算法应用的不利法律后果,而后将其归责于算法使用者。此举不仅有治标不治本之嫌,而且一些隐藏的不利后果无法得以归责与救济。监管部门之所以仅采取事后监管的规制路径,与算法往往被当作商业秘密予以保护有很大关联(丁晓东,2017)。[29]如美国征信行业的歧视原因之一就在于征信算法评分机制的不公开性,评分机制由于受商业秘密保护而令外界监管无法介入(Christopher 等,2015)。[30]
(三)企业算法许可使用中的算法共谋规制空白
共谋是指行为主体间达成协议,抑或通过相互间的依赖关系与心照不宣的意思推定,采取相同或相似的行为限制竞争(李振利和李毅,2018)。[31]在商事领域,作为共谋的一种类型,算法共谋通常表现为企业间通过许可使用的方式,使用相同或相似的算法进行商品定价,从而限制竞争。与传统的共谋形式相比较,算法共谋一方面能更及时地发现定价变化并迅速调整价格,减少共谋策略出错的可能性(Mehra,2016),另一方面能很好地克服囚徒困境难题,在传统共谋中,“尽管从整体来看维持共谋是最佳的选择,但就单个企业而言,暗自降低定价进而占有更多的市场份额往往能获得更高的收益,因此每个企业都有破坏共谋的动机”(施春风,2018),但在算法共谋的情境下,若有一方破坏共谋协议,其他共谋方可通过算法很快发现违约情形,进而快速对违约方进行惩处。[32-33]综合而言,算法共谋较传统共谋具有更高的精准性与稳定性,对市场竞争秩序的危害更大。
根据不同算法在定价共谋中所起的作用,可将算法共谋分为轴辐类共谋、自主类共谋、预测类共谋和信使类共谋(张清和叶嘉敏,2020)。[34]信使类共谋是指企业间通过许可使用相同的算法进行商品定价,对竞争予以限制;轴辐类共谋则为企业间通过使用第三方平台提供的算法确定商品价格,间接达成垄断协议,如美国Uber 公司向下属司机提供相同的定价算法,使得司机的服务价位相同,法院认定该情形下形成轴辐卡特尔(Mehra,2017);预测类共谋是指企业间使用相似的算法进行产品定价,且能够及时地统一价格限制竞争;自主类共谋则出现在智能化定价算法的情形,当算法自主学习到共谋定价的技能后,无须企业间的共谋即可形成事实上的价格垄断,博弈论中的一些研究已经发现算法学习达成合作性结果的能力(Hingston 和Kendall,2019)。[35-36]
在四类算法共谋中,预测类共谋只能通过书面或口头形式达成的明示垄断协议实现,因此通过传统的反垄断监管即可予以规制。但信使类共谋与轴辐类共谋既可通过明示垄断协议达成,又可通过相互间心照不宣的默示垄断协议实现,而后者在中国目前的反垄断监管框架下难以规制,在域外反垄断执法中也是一大难题。至于自主类共谋虽然在理论上可因形成事实上的价格垄断而予以规制,但一方面从技术层面而言智能化算法的共谋动机难以发现,另一方面难以确定处罚对象与方式。
三、算法风险防控视域下企业数据权利制度构建的必要性与可行性探析
(一)算法风险防控视域下企业数据权利制度构建的必要性
在商事领域中,企业对算法的运用主要产生了数据获取正当性问题、信息茧房与算法歧视问题、算法共谋问题,这些问题反映了算法技术的运用产生了很强的负外部性,对算法问题的治理可谓迫在眉睫。而“当对技术治理路径进行选择时,需要比照法律价值,才能使技术的运用符合使用者的价值取向”(郑智航,2018),可见要想有效治理算法运用产生的社会问题,完善的法律制度的建立是必由之路。[37]
面对企业算法运用的种种乱象,中国主要采用结果监管的方式予以规制,但“这种头痛医头、脚痛医脚的法律监管方式不仅实施困难,而且无法根治问题”(项焱和陈曦,2019)。[38]当结果监管无法满足需求时,就需要针对算法建立起完备的风险防控机制。事实上,完善的风险防控机制较以结果监管模式不仅能从根本上解决问题,而且更有助于建立人们对算法运用的信任,这种信任能更有助于科技的创新与发展(龙卫球,2016)。[39]
算法的合理运用是建立在对数据的有效管理基础之上,而对数据的管理当从加强数据主体对数据的控制着手,明晰各类数据行为的内涵与边界,因此针对企业算法运用的风险防控应尝试构建企业的数据权利制度。有学者亦认为,“规范算法运用的核心在于强化主体对数据的控制,确立数据权利制度”(姜野,2018)。[40]事实上,明晰企业数据行为的内涵与边界不仅能有效防控算法风险,而且能避免过度监管对企业带来的效益损害,这彰显了中国“包容审慎”的市场监管理念。
(二)算法风险防控视域下企业数据权利制度构建的可行性
民事权利的客体是指民事权利所指的对象(王利明,2012),狭义的民事权利客体是指支配权或利用权的标的,独立性与财产性是财产性民事权利客体最主要的特征(牛彬彬,2020)。[41-42]数据表现为存在于网络或计算机上在二进制基础上以0 和1 组合的比特形式(毛高杰,2020),大数据时代的数据蕴含着巨大的经济价值,各行各业都利用数据分析供求关系、预测市场走向,极大地降低了运营成本提高了经营效率,中国各地设立的大数据交易平台也凸显了数据的财产性。①中国武汉、贵阳、北京中关村等地都设立了大数据交易平台,数据的财产性在交易中凸显出来。[43]此外,数据还具有非独占性,即数据可以在同一时间被不同主体收集和占有。
有学者认为数据不具备作为财产性民事权利客体的要素,原因在于一方面数据具有无形性,且必须依赖于载体才能真正发挥作用,因此数据不具备独立性;另一方面数据的财产价值其实包含在数据蕴含的信息中,即信息而非数据具备财产性(朱程程,2020)。[44]但事实上信息是数据的内容,数据则为信息的形式,数据与信息是不可分割的统一整体,讨论信息权利与数据权利问题别无二致(谢永志,2013)。[45]数据权利较以信息权利的表述更符合大数据的时代语境,且更能体现出企业对数据的控制与管理,②《网络安全法》第76 条规定“本法下列用语的含义:……(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息……”因此讨论企业数据权利而非企业信息权利的问题更为合适。
至于攻击数据独立性的理由“数据具备无形性与依赖载体性”,确为数据区别于有体物的重要特征,但这两个特征也同样为知识产权的客体具备,因此“有形性与不依赖载体性”并非民事权利客体独立性的必要条件。事实上,知识产权客体的独立性是法律基于鼓励知识创造、保护知识成果的价值考量赋予的(邓莉,2017),可见,民事权利客体的独立性未必由客体自身性质所决定,法律也可基于价值考量赋予客体的独立性。[46]虽然数据是根据既定的手法推演而来,而非作者独立安排、设计的成果,不具备知识产权客体的“独创性”(杜小奇,2019),但在大数据时代的背景下,确立数据的独立性有利于激励企业加强对其占有数据的控制与管理,进而防控企业运用数据的风险,同时也能有效确定数据运用监管的边界,这些价值考量决定了法律赋予数据独立性实有必要。[47]
综上所述,在大数据时代的背景下,企业占有的数据因其具备巨大的经济价值而具有财产性,因风险防控的价值考量而需由法律赋予其独立性,由此企业数据应为民事权利的客体。作为一种新型民事权利,可以说企业数据权利是回应大数据时代需求的产物。
四、企业数据权利制度的三维构建研究
企业数据权利的客体为企业占有的数据,具体包括直接获取的数据、经算法处理后的数据及事实上由数据组成的算法本身,三者都具备财产性与法律基于风险防控价值考量所赋予的独立性。在企业数据权利制度的构建中,为促进数据产业的发展需赋予企业数据权利取得的正当性,同时应兼顾个人信息安全的防护;为发挥算法的功用需赋予企业处理数据的权能,同时应兼顾劳动者与消费者合法权益的维护;为促进数据的共享应允许企业许可他人使用数据,同时需兼顾市场竞争秩序的保护。
(一)以个人信息安全保护为要义的企业数据权利取得制度
在大数据时代的背景下,要想使企业大规模地开发数据产业提升效能,进而发展数据经济,必须赋予企业数据权利取得的正当性,同时应注意防控获取数据带来的信息安全风险。企业数据权利主要是通过数据许可使用协议取得的,取得的数据权利为数据使用权。企业获取的数据包括个人数据与非个人数据,后者的主要来源为政府或企业。以非个人数据为标的订立许可使用协议时,协议双方几乎不存在依赖关系而具有事实上的平等性,也并不存在很强的信息不对称问题,而且协议双方都可适用“理性人”假定,因此法律通常情形下无须采取“家长主义”的保护模式加以干预。
然而在以个人数据为标的订立数据许可使用协议时,协议双方往往存在强烈的依赖关系而导致事实上的不平等性,因为协议的一方“个人”往往是基于使用企业提供的信息化服务被迫向企业提供个人数据。此外,个人与企业间存在强烈的信息不对称性,个人无法得知企业使用数据的目的与过程,遑论对此进行监督。再者,个人往往无法适用“理性人”假定,常会轻率地同意适用企业提供的数据许可使用格式条款。基于双方事实上的不平等性、信息不对称性以及“理性人”假定对个人的不适用性,居于优势地位的企业往往不会对个人信息安全提供周密的保护。此时就需法律予以介入,在企业取得数据使用权的同时强制性赋予其个人信息安全保障义务,以扭转双方的不平等性,削弱信息不对称性,减少因个人的非理性产生的损害。
可见,对企业赋予的个人信息安全保障义务其实质作用主要在于填补个人对数据使用的知情权与监督权的缺失,因此在对个人信息安全保障义务进行设计时应着重保障个人对数据使用知情权与监督权的目的实现。对于前者,应通过确立目的限制原则与必要性原则予以实现(杨永凯,2019)。[48]目的限制原则是指企业一方面应将数据使用的目的告知个人,另一方面使用数据的范围应以目的为限;必要性原则则要求企业不仅要将获取与使用数据的必要性告知个人,而且获取与使用数据应在必要范围之内。此外,为确保个人对数据使用知情权的目的充分实现,还应赋予企业接受用户查询数据使用情况的义务,事实上,这一义务已赋予征信机构,但还需将义务主体扩展至所有取得个人数据使用权的企业。最后,为确保个人对数据使用知情权与监督权的有效行使,还应完善企业数据使用的备案制度,这也有利于监管部门对企业数据使用情况进行有力监管,进而克服企业与用户间的信息不对称问题。
个人对数据使用监督权的目的一方面在于纠正错误信息,另一方面在于当企业没有使用数据的必要时及时取消对数据的许可使用,以此保障个人信息安全。对于保障监督权目的的实现,可参照欧盟《通用数据保护条例》的规定,①《通用数据保护条例》第16 条规定“数据主体应当有权从控制者那里及时得知对与其相关的不正确信息的更正”,第17 条规定“数据主体有权要求控制者擦除关于其个人数据的权利,当具有如下情形之一时,控制者有责任及时擦除个人数据……”赋予企业更正信息的义务与附条件删除数据的义务。前者出现于信息出现错误的情形,而后者适用情形广泛,包括企业使用个人数据对目的的实现不再必要、企业超越必要限度使用数据以及企业非法使用个人数据。此外,个人对数据使用监督权最重要的功用在于保障个人信息的隐秘性,而保障信息的隐秘性可通过对数据的匿名化处理来实现,对此,应赋予企业匿名化处置个人数据的义务。事实上,数据的匿名化是可逆的,很多情形下仅需将公开的数据与匿名化数据进行比对即可还原原始数据(城田真琴,2016),[49]因此企业对个人数据匿名化后还需开展后续风险评估以确保个人信息的隐秘性。其实,赋予用户以要求查询、修改、删除信息的权能固然会导致企业增加运营成本,但较以用户个人信息安全的保护价值,企业增加的这些运营成本是有必要的,原因在于公民群体的信息权价值高于企业的财产价值,这是以人为本的法政策理念的体现,事实上上述举措亦纳入欧盟《通用数据保护条例》中,中国即将生效的《民法典》将人格权独立成编,体现出中国对公民人格权的保障愈加重视,因此对企业课以接受查询、修改、删除信息的义务是很有必要的。
(二)以信息茧房与算法歧视规制为核心的企业数据处理权能
企业通过数据许可使用协议取得数据使用权后,针对数据主要进行的是处理行为,因此企业数据权利制度需对数据处理权能进行设计。数据处理是指为实现数据分析应用的目的,将收集到的数据通过适当的方法加工整理,其外延包括数据清洗、数据抽取、数据合并、数据计算、数据分组等操作(宋亚奇等,2013),[50]企业数据处理权能设计的目的在于厘定企业加工整理数据的正当行为范围。企业处理数据的工具便是算法,算法的不当运用会导致信息茧房与算法歧视问题,对企业数据处理权能进行设计时应着重规制这两类问题。信息茧房的成因在于企业处理数据时的非理性,企业偏好于选择符合主观喜好的处理方式,非理性数据处理方式给消费者、企业雇员甚至企业本身带来严重的不利后果,因此就需要在企业数据处理方面设计一套符合各方利益诉求的行为规范,这套行为规范同样可以规制算法歧视问题。
针对企业数据处理设计行为规范当从数据样本的选择着手,企业应尽可能选择较大的数据样本,以此尽可能全面覆盖调研对象,保证信息的高度对称。其次,在对处理对象进行赋值或赋予权重时,应注重客观性,避免偏见或主观喜好的影响,同时应注意选取的处理对象需与处理目的具有关联性,避免无关因素的干扰。再者,在进行算法设计时应注重步骤间的因果性而非关联性,以此在提高处理结果精确度的同时减少歧视性因素滋生的空间。
除了对数据处理步骤进行严格设计,还需在数据处理行为规范中增设数据处理监督机制。对此可引入算法透明原则、算法解释原则与算法审计原则,这是美国计算机协会提出的三类算法运用基本原则(ACM,2019)。[51]其中算法透明原则是指企业应向监管机构披露算法的基本原理及企业决策的基本方式,在算法受商业秘密保护的情形下,监管机构无法获知算法的基本原理,算法运用无法得到有效的监督,算法透明原则不可能完全实现,但在算法受数据权利保护的视域下,这一原则得以充分落实。算法解释原则是指企业须向监管机构解释披露的相关内容,解释的对象包括算法系统的原理与企业决策的基本方式。具体而言,对于算法系统的原理,企业需解释系统的需求规范、决策树、预定义模型、分类结构等内容,对于决策的基本方式,企业需解释决策的理由、取样大小、各项数据占据的权重、起参考辅助作用的信息等内容(田旭,2020)。[52]算法审计原则是企业应如实记述决策的基本方式及算法的基本原理,以备监管机构查验。
(三)以信息安全保护与算法共谋规制为重心的企业数据许可使用制度
数据经济的发展建立在数据共享的前提下,而企业的数据共享是非常关键的一环,因此需建立企业数据许可使用制度,同时应防控许可使用数据带来的信息安全风险及对公共利益带来的损害。在企业数据许可使用制度中,许可使用的类型构建可参照知识产权许可使用的类型,包括普通许可、排他许可及独占许可。普通许可是指企业许可不特定主体使用数据,排他许可是指企业在自身可以使用数据的同时许可唯一主体使用数据,独占许可是指企业在许可唯一主体使用数据的同时自身也不可使用数据。企业许可他人使用数据的交易应在法律规定有资质的场所完成,以此起到监督交易对象、交易价格等因素的功效。
通常情形下,企业占有的数据主要有取得使用权的数据、经算法处理的数据以及事实上由数据组成的算法本身。对于企业取得使用权的数据,应禁止企业以其为标的许可使用。理由在于这些数据往往包含个人、企业或政府的重要信息,若允许企业许可他人使用这些数据,则势必会对个人信息安全、商业收益乃至国家安全产生极大的危害。此外,从法理上而言,企业仅对这些数据具有使用权能,并无许可他人使用的权能。
对于经算法处理的数据,可否许可他人使用应视情形而定,只有匿名化且无法复原的数据才能许可使用。这一方面是基于保护信息安全的考量,另一方面从法理而论只有匿名化且无法复原的数据才真正与原始数据的主体脱离关系,企业只有在这种情形下才能独立决定许可他人使用数据。事实上,中国各个大数据交易平台都有类似规定,如贵阳大数据交易所规定“只有经清洗、分析、建模、可视化处理后的数据才可进行交易”(张凌寒,2018)。[53]
至于事实上由数据组成的算法本身,对其许可使用虽不涉及他人信息安全,但极易引发算法共谋尤其是默示共谋,进而对市场竞争秩序产生严重的破坏,且极难规制。对此,唯有铲除算法共谋滋生的土壤才能从根本上解决算法共谋问题,“釜底抽薪”应着眼于共谋发生的定价方面,即应禁止企业许可他人在定价方面使用算法,这样当事人无法就产品定价通过算法达成一致,算法共谋难题得到根本解决。此外,由于智能化算法已被证明能自动形成共谋,在合适的风险防控机制形成之前,智能化算法在定价方面的应用应予禁止。概而言之,无论是企业许可他人在定价方面使用算法,还是智能化算法在定价方面的应用,较以其带来的经济效益,合谋带来的消费者权益侵害风险更不容忽视,这也是中国“包容审慎”市场监管理念的应有之义。
五、结语
在风险防控的视域下,企业算法运用带来的一系列问题应用同样为大数据时代产物的企业数据权利制度加以解决。这看似巧合的背后实则有其必然性,原因在于企业算法运用的基点在于企业对数据的使用,企业对数据的使用体现的是各项数据行为,而各项数据行为的界定恰好与企业数据权利的各项制度产生耦合。具体而言,在企业数据权利制度的视域下,在数据权利取得维度解决数据收集正当性问题,在数据处理权能维度对算法歧视予以规制,在数据许可使用维度解决算法共谋问题。