个人数据治理模式的选择:个人、国家还是集体
2021-12-07丁凤玲
□丁凤玲
算法常常在商业应用中成为数学杀伤性武器,并产生巨大破坏力,但这一切的前提是算法拥有并吃透数据[1]233。 数据是21 世纪最宝贵的资源。 赫拉利在《未来简史》中指出,“古代,土地是最重要的资产;现代,机器和工厂是最重要的资产;21 世纪,数据的重要性超越了土地和机器”。 “科技巨头现在评估应用程序、产品和公司的标准已经不再是能赚多少钱,而是能收集到多少数据”[2]91-92。 争夺数据的控制权已经成为大国间和企业间相互角逐的重要内容。 然而,作为数据生产者与消费者的用户并没有在这场比赛中成为争相抢夺的“贵客”,用户非但无法与拥有数据私权力的企业抗衡,还逐渐沦为“商品”。
从社交平台到短视频平台,再到电商平台以及各种云端,为了获得免费的信息分享服务、影片、音乐、存储空间等,用户十分乐于分享自己的数据。 在这个过程中,平台企业通过网络服务合同集准立法权、准司法权、准执法权于一身,拥有了媲美“国王”的私权力,利用该私权力,平台最大化地拥有了控制用户数据的能力,成为了“数据君主”[3]。 其中,最重要的是控制用户数据的财产利益,依据主流理论,用户的原始数据经过清洗和脱敏就会成为企业的衍生数据,企业对其享有财产利益。 平台数据权力的扩张对应的是用户数据权益的减损,用户享受免费服务的代价除了财产利益被驾空外,还包括不得不接受一系列有关数据操作的限制,甚至被迫以“同意”的方式参与对自己个人信息的侵害。 新浪微博的用户协议规定用户不得自行或授权任何第三方以任何形式使用微博内容,除非得到微博的书面许可; 360云盘的用户协议规定360 有权随时变更、中断或终止服务且无需通知用户,也无需承担任何责任[4];“微信读书案”中微信在未经用户同意的情况下擅自将用户微信好友名单与微信读书软件关联,公开展示用户的阅读信息。 诸如此类的案件层出不穷。
法律在完善,监管在升级,理论在充实,但是一次次爆发的数据侵害案件表明,在DT(data technology)时代,企业与用户之间的不对等关系正在逐渐加深。 如果任由数据向数据巨头集中,我们可能要面对的是财富和权力越来越向掌握数据与算法的少数人集中,最终出现赫拉利所说的人类将成为不同的物种——最富有的1%超人类与绝大多数位于下层且毫无用途的智人[2]89。 因此,如何打破当前“穷人被压榨、富人被圈养在企业通过营销广告塑造的世界里”[1]234的局面,探索数据治理的最佳路径,以打破企业私权力与用户私权利之间的不对等关系,合理分配数据控制权,避免DT 时代彻底走向“人的资本化与商品化”,这是本研究关注的问题。
一、失衡的主体地位与失灵的赋权制度
如何避免“人的资本化与商品化”、防止人类成为“科技奴隶”(technoserf)已经不是空想的问题,而是紧迫的现实问题。 监视资本主义理论(surveillance capitalism)与科技封建主义理论(technofeudalism)共同指出,现代社会正逐渐形成一种新的社会和政治关系,然而人们对自己身处的情况毫不知情,也不认为自己能够对抗大公司,甚至认为没有必要对抗。 这是极其危险的,因为监视资本主义与科技封建主义揭示了同一现实,即“类似于中世纪的、高度剥削的关系”[5]正在形成。
(一)监视资本主义与科技封建主义对用户的剥削
1.监视资本主义
由肖沙娜·朱伯夫(Shoshana Zuboff)提出的监视资本主义理论从资本主义异化的角度指出,随着谷歌成功将“数据废弃”“数字碎屑”转化为可以“提取需求”的“行为盈余”,收集数据并变现成为资本新的积累逻辑,如今该模式已扩展到各类公司[6]。 除了硅谷高科技设备公司和脸书等互联网平台外,好事达保险公司、三星智能电视等都在通过提取大量数据,获取用户的经验,监视用户的行为,并使市场变得可以预测,进而广泛地对用户行为进行矫正,并从中积累惊人的财富[7]。 监视资本主义描述的是:“一个数据驱动的过程,在这一过程中出售的商品是你的个人数据,而数据的获取和产生依赖于互联网的大规模监控”[8]。 在监视资本主义时代,用户面临全方位的数据捕获,用户的数据替代森林、河流和煤炭成为新的开采能源,从面部特征、地理位置到健康数据,从驾驶、跑步到购物,资本家通常在没有征得用户同意的情况下,通过技术单方面渗透人们的生活,大量挖掘用户的各种数据,形成一整套判断与干预用户行为的逻辑并单方面用于自身的盈利。 更糟糕的是,狡猾的资本家通过将用户的注意力往效率和功能上转移,一方面让用户理所当然地贡献个人数据[9],另一方面使用户无法退出这场剥削。 如今离开互联网,从社交、就业、教育到医疗,我们几乎无法想象有效的社会参与,于是为了避免“社会性死亡”,用户陷入了“个人需求和经济开发的非自愿合并中”,被迫加入了“不以人为本”却有着“个性化”名头的资本家监控项目[10]。 用户成为免费的原材料供给者,是新商业模式下的获利方式。 监视资本主义开启了一个社会不平等的全新维度,用户成为被剥削的对象。 用户虽然享受了免费的服务,但其代价是既无法获得经济利益,又无法保护自己的个人信息与隐私等数据,反而成为被资本家监视与塑造的对象。 因此,如何制定策略以维护公平,维护用户对个人数据的权益,是我们在DT 时代必须解决的问题。
2.科技封建主义
朱伯夫从资本的角度揭示了DT 时代资本对用户的剥削,其所警示的是避免使人成为工具且走向客体化。 科技封建主义理论则从用户与公司之间的关系出发,指出DT 时代的制度是资本主义兴起前的封建主义,也可以说是“封建主义的超现代形式”[5],其中用户是奴隶,公司是贵族奴隶主。 从表面上看,在目前的数据时代,用户享受了服务,公司获得了数据,双方都获利,但其实,这整个交换过程是封建劳动的运行机制。 公司为用户提供信息服务等同于奴隶主为农奴提供足够的农作物以维持生存,用户所生产的数据的市场价值全部归公司则等同于奴隶的农业产出所能获得的市场回报全部归奴隶主所有[11]182。 用户的选择权也如同奴隶的选择权一样,除了接受公司的剥削外没有其他更好的选择,除非用户想自绝于现代社会。 科技封建主义不仅剥削了用户数据的经济利益,还阻碍了个人发展,因为科技奴隶的任何投资都会被平台剥削[11]182。 在新封建主义塑造的主奴关系中,奴隶是没有财产的阶级,用户的手机、自行车、房屋等失去了个人财产的特征,转变成生产资料或用于收取租金的资料[5]。 因为以滴滴、优步、爱彼迎民宿为代表的公司将用户的汽车、房屋用于赚钱与出租,用户的个人财产成为公司的资本。 因此,如果任由科技封建主义发展,以人为本的社会文明将成为以少数人为本的社会。 正如卢梭在《社会契约论》中指出的“奴隶制和权利,这两个名词是互相矛盾的,它们是互相排斥的”。 所以,对 于背离当代民主社会的科技封建主义,我们必须思考如何使用户摆脱奴隶身份,成为自己的主人,平等分享数据经济的利益。
监视资本主义和科技封建主义是对同一社会现实的概括,两大理论从不同的角度揭示了相同的事实:用户正在被剥削。 用户当然地贡献着包括个人信息、隐私等在内的各种数据,持续地为公司获取利润,但却面临着行为被决定、财富得不到分配的局面。 因此,我们必须在数据时代探讨一种相互约束的法律机制,使用户能够维护自己的利益,这也是当前数据治理最为核心的话题。
(二)个体维权:用户赋权制度的悖论
在制约机制的探索上,主流理论和立法实践基本上都不约而同地选择了相同的道路:“用户赋权——企业担责”[12]。 “赋权”相当于在法律上确定了用户应有的权利(益),但由于不同理论和立法对“权利”的界定存在差异,即“赋权”的内容存在差异,又由于“赋权”这一数据治理路径本质上都是让用户单打独斗,所以“赋权”制度常常失灵,要么因“权利”界定未能赋予用户在法律上完整的利益,要么因其只考虑赋权的单向治理路径而使其在实践中常常被企业驾空,最终都无法很好地实现避免用户被剥削的制度目的。
1.难以完整的用户权利
以“赋权”方式解决数据治理中的不公平问题,首先面临的第一个悖论是,承认用户对数据享有人身权和财产权突破了传统法律架构,不承认用户对数据具有人身权和财产权或者只承认用户对数据具有人身权,又无法有效制约公司肆无忌惮地开展数据圈地运动。
承认用户对数据享有财产权或者说财产利益,挑战了传统的法律理论。 这主要集中在如下几方面:第一,数据不是民法上的客体,不具有确定性、独立性、稀缺性,也不属于“无形物”,不创造民事权利[13];第二,设立财产权将对信息自由造成不当限制;第三,个人数据具有人身依附性和不可让与性,无法设立财产权[14];第四,个人数据不具有使用和转让价值,无法获得市场认可;第五,企业通过数据加工获得数据的财产权利,承认用户也有数据财产权利挑战了“一物一权”原则[15]。 从传统法律理论出发拷问数据财产权,往往能得到较多论据,也通常能获得较多的认可,毕竟过于革新与激进的立法将会损害法律的稳定性,同时还会损害法律源于习惯与法律确信的根基。 然而,否认用户对数据享有财产权益,将数据视为不具有价值的工具,承认数据是公司经营或生产的要素[13],形式上是维护了法律理论的连贯性,但实质上将助长监视资本主义与科技封建主义对用户的剥削。 既然用户对数据不具有财产权益,那么公司就不需要支付获取用户数据的对价,在否认用户对数据具有人格权的理论与立法下,公司对个人信息和隐私的利用都具有了正当性。 此时数据是工具,用户也是工具,前文所提及的公司对用户的剥削行为将得到法律的保驾护航。 在肯定用户对数据具有人格权的理论与立法中,公司只需要提供足够的“知情同意”以及数据加密保护等个人信息和隐私保护,公司所有利用用户数据的行为就都具有合法性,公司可以继续全方位的捕获用户数据,通过监视行为改造用户,依靠算法剥削穷人和中产阶级,使社会财富向极少数人集中。
当然,赋予用户数据人格权也曾遭受质疑,用户拒绝披露个人信息和隐私的行为曾被称为“社交欺诈”,人格权保护可能使企业在信息不对称的情况下进行决策,因而被批判为是妨碍经济效率的制度[16]。 但剑桥分析案表明,放任公司获取个人信息甚至可以操纵选举。 因此,不论是赋予用户数据财产权还是人格权,“赋权”的数据治理路径都存在难题。 赋权可能挑战法律理论,不赋权又不利于维护数据时代的公平。 不过,虽然不赋权可能无法解决目前数据时代的不公平问题,但是也不能直接认为赋权就能完全解决数据时代用户被剥削的问题。 毕竟实践表明,就算赋予用户以数据财产权和人格权,用户的权利也面临着难以实现的问题。
2.难以实现的用户权利
数据治理之“赋权”模式的第二个悖论是,即便厘清了用户权利的范畴,用户权利在实践中仍然面临着难以实现的问题。 在将用户的数据权利界定为人格权的理论与立法中,用户的权利在实践中面临两大问题。 第一,不得不“自愿” 或主动放弃权利。 不得不放弃权利要么是因为用户担心被区别对待而自愿披露个人数据,要么是因为公司通过技术设计让用户默认放弃权利。 在公司提出优惠服务或者雇主鼓励求职者披露个人数据的情形下,用户常常不得不担心拒绝披露会使其遭受价格歧视或者遭受解雇。 美国的许多公司例如安森保险,就要求员工参加健康计划①该计划要求员工积累“健康积分”,每年看病一次可以获得1000 积分,每个人都需要给自己制定每个月的健康计划,在这过程中员工需要上传自己身体状况的数据,包括每天的步数、睡眠模式、移动轨迹,也包括体脂、血糖、血压、胆固醇等数据[1] 203-204。,不参与的必须每月支付50 美元的额外保费,这就迫使用户为了不被区别对待而不得不放弃权利。 毕竟当“选择”是在交出自己的数据与社会排斥甚至失业之间,用户并没有真正的选择权,此时所谓的“同意”也是毫无意义的。 公司的技术设计也会影响用户权利的实现。 在被法国处罚前,谷歌的《隐私权政策》和《服务条款》都是默认勾选了同意框;中国的抖音也将默认设置为“同意将我推荐给可能认识的人”“允许他人查看我的喜欢列表”;微信提供了限制隐私收集和个性化推荐的选项,但需要用户每六个月进行一次勾选,这就使得用户常常被默认放弃权利。 主动放弃权利的情形主要是因为“决策厌恶”(decision averse)[12]。 复杂且冗长的隐私政策往往依赖专业的法律语言进行表达,即使公司充分披露了信息,用户也往往难以理解或者想象可能的后果[17],更何况实践中的大部分人都具有“决策厌恶”的倾向,比起查阅复杂的隐私保护政策,用户多选择“一键同意”。 用户的权利在实践中面临的第二大问题是维护权利如同“以卵击石”。 已有研究统计,2017 年1 月至2019 年9 月中国公开的数据维权案件只有12 件,其中9 件维权失败,最主要的原因在于用户无法完成举证责任[18]。
将用户的数据权利限定在人格权中,用户将难以通过物质补偿的方式获得救济[19]。 但是,在数据被界定为财产权的场合,用户权利的实现同样面临着困难。 第一,定价问题。 当前的数据交易仍是“粗放式”交易,尚未形成数据定价的统一标准,无法准确衡量数据应有的价值[20]。 用户也没有与公司讨价还价的能力。 第二,配套制度缺失问题,公司付费激励机制不足。 微软曾经尝试为用户数据付费,但该系统开启后就涌进了大量机器人,它们榨取了大量现金而不为微软提供数据,最终导致微软的付费项目不了了之[11]188。
除了人格权和财产权,20 世纪90 年代肯尼斯·劳登(Kenneth Laudon)创造了“信息信托人”的概念,2014 年以来耶鲁大学的杰克·巴尔金(Jack Balkin)通过一系列论文对“数据信托”进行了系统论证[21],主张用户和公司形成信托关系[22],用户享有合同权利。 该提法得到较多的支持,2019 年印度发布的《个人数据保护法案》也将公司等数据控制人界定为受托人,要求所有处理商业数据的公司均注册为数据受托人②参见《印度内阁通过<个人数据保护法案>》,中国科技部网2019 年12 月17 日,http:/ /www.most.gov.cn/gnwkjdt/201912/t20191217_150519.htm.。 但是该模式也存在权利实现困难的问题。 第一,必须存在合同。 杰克·巴尔金自己就提出,“在很多情况下,用户与数字企业或者与收集个人信息并使用算法做出决策的企业缺乏合同关系”[23]。 第二,公司义务存在自我冲突的问题。 在杰克·巴尔金的数据信托理论中,公司对用户负有信义义务,这就意味着公司有义务将用户利益最大化,而这可能会与公司对股东承担的信义义务产生冲突[19],因为公司首先对其股东负有利润最大化的义务。 在数据信托理论中如何协调这两大利益冲突问题将会直接影响用户权利的实现。
综上所述,我们不难发现,面对用户与公司的不平等地位,赋权的数据治理路径具有制度初衷与制度结果存在较大张力的问题。 赋权模式在权利内容的确定上存在两难的处境,全面承认用户的数据权利将颠覆法律理论与体系,不承认用户包括人格和财产在内的法律权益又无法实现制度目的。 此外,即便赋权制度在逻辑上解决了用户维权的前提条件,用户也难以真正行使该权利。 赋权的数据治理路径在扭转用户与公司的不平等问题上效果有限,这点在欧盟《通用数据保护条例》(GDPR)的实施情况上也能得到印证。 2020 年6 月24 日欧盟委员会发布的GDPR 评估审查报告显示,保障用户控制数据的“可携带权”并未得到充分利用[24]。 2018 年5 月到2019 年11 月,欧盟数据保护委员会收到2.75 万个投诉,德国收到6.7 万个,荷兰收到3.7 万个,但22 个欧盟/欧洲经济区的数据保护机构只开出了785 张罚单。 其中,英国航空因数据泄露被罚的2.04 亿欧元是目前最大的罚单,但该罚款金额远不及该公司全年营收的4%[25]。 人工智能初创公司Element AI 的研究报告总结称:GDPR 以用户同意为基础的数据治理模式无法让用户免于遭受隐私侵害[26]。 有鉴于此,实践和理论也纷纷开始聚焦其他数据治理路径,探索更优的制度可能。
二、国家治理:数字服务税与国有化
数字服务税是近两年来欧洲数据治理的新方向,国有化是一些西方学者提出的数据治理未来。 与用户赋权的数据治理模式相比,数字服务税由政府征收,国有化依赖政府接管和控制,所以二者都属于国家式数据治理模式。 数字服务税和国有化都具有让用户在高度依赖其数据的数据经济中受益的制度目的。 作为致力于在DT 时代维护社会公共利益、造福公民的制度设计,数字服务税在欧洲得到较多的支持。 当然,作为仍在计划或者刚开始实施的制度,不论是数字服务税还是国有化都面临着许多挑战。
(一)数字服务税的有限调节
2020 年以来,多个国家宣布征收数字服务税(digital service tax, DST),早在2013 年1 月法国政府就发布过针对数字经济征税的报告①参见《应对数字化税收挑战的最新全球动态》,KPMG 网(Oct.2018), https:/ /assets.kpmg/content/dam/kpmg/cn/pdf/zh/2018/10/global-trends-tax-challenges-arising-from-digitalisation.pdf.。 除了一直致力于推动数字服务税的法国外,目前,英国、意大利、奥地利、西班牙、匈牙利、捷克、波兰、土耳其、印度、印度尼西亚、肯尼亚、尼日利亚等国都已经实施或者正在实施数字服务税。 由于美国的谷歌、苹果、脸书、亚马逊是各国一致的重点征税对象,所以数字服务税又被称为“GAFA 税”[27]。 2018 年OECD(organization for economic co-operation and development)发布的《数字化带来的税收挑战:中期报告》指出,数字经济的发展使越来越多的企业具有共同特征,包括跨辖区无实体规模、高度依赖无形资产、数据及用户参与非常重要②跨辖区无实体规模指的是数字化使得很多高度数字化的企业可以在没有实体或没有显著实体存在的前提下,在不同管辖区的经济生活中进行实质性商业活动,从而在本地实现没有量的规模运作。 参见OECD. Tax challenges arising from digitalisation -interim report 2018 [R/OL].[2020-08-16]. https:/ /www.oecd-ilibrary.org/sites/9789264293083-en/1/2/2/index.html? itemId=/content/publication/9789264293083-en&_csp_=0d16492941d380c27775cc35b124ce6b&itemIGO=oecd&itemContentType=book.。 这给原先依据联结度和利润分配规则建构的国际税收规则带来了挑战,2019 年2 月13 日OECD 发布的《应对经济数字化带来的税收挑战(公众咨询文件)》分两个支柱提出了四项税收解决方案,支柱一是修订利润分配及联结度规则,包括用户参与方案、营销型无形资产方案、显著经济存在方案;支柱二是全球防税基侵蚀解决方案,通过收入归股东规则和对税基侵蚀支出征税以应对企业的利润转移[28]。 以英国为代表的欧洲国家倾向于用户参与方案[29],印度则采取了显著经济存在方案[30]。 尽管各方案在税收征收上存在差异,但是都强调了用户的重要性,本质上也都是要求公司付费,区别主要在于征税对象和范围。
有观点指出,数字服务税是在数据价值无法精准界定的背景下解决用户与公司之间的不平等问题的唯一选择[31],或者说是在无法通过公司直接向用户付费的方式以解决公平问题的背景下的有益方案[32]。 该论点的逻辑可能是,数字服务税以类似于集体转移支付的方式,将原先公司因为用户数据创造的价值而应当支付给用户的经济对价,通过缴纳税收的方式支付给政府,由政府通过福利支出等方式补偿用户,使用户享受自身数据的收益。 诚然,就数字服务税的初衷而言,数字服务税能够克服用户赋权模式下用户因为单独定价等难题而无法实现权利的问题,作为国家宏观调控中的经济手段,数字服务税也能够实现收入的再分配以维护用户福利。 但是作为在国际上引起较大争议的一项税收,数字服务税也存在诸如挑战全球税收规则、掀起贸易保护主义风潮、限制数字企业发展等问题[33]。 最为重要的是,作为解决用户与公司公平问题的一种方式,数字服务税非但无法让用户直接获得经济补偿,还被认为会使作为消费者的用户承担最终的税负[34]。 2019 年3 月德勤和法国Taj 律师事务所发布的《法国数字服务税经济影响评估报告》显示,55%的数字服务税将转移到消费者身上,40%的数字服务税将转移到网上经营者的售卖者身上,谷歌、亚马逊等大型科技公司仅承担5%[33]。 由此导致用户作为“产消者”(prosumer)[35],不仅无法获得其数据创造价值所应得的“生产者收益”,而且还需要在消费过程中承担由公司转嫁而来的税收。 也就是说,一套解决公平问题的机制,非但没有吸收数据经济所产生的外部性,反而有加剧不公平的潜在问题。 因此,企图在用户赋权制度无法完全发挥效用的背景下,完全依赖数字服务税解决用户与公司之前的不公平问题、以维护用户权益存在困难。 数字服务税在应对商业模式变化产生的国际税收挑战上十分重要[36],但在解决用户权益维护的问题上,该手段发挥的作用较为有限。 同时,数字服务税只是经济手段,就算其能较好地维护用户经济利益,用户数据的人格权也无法通过数字服务税予以保护。
(二)科技公司国有化与数据国有化的潜在风险
根据西方学者所提出的国有化对象,国有化分为科技公司国有化和数据国有化两个不同的方向。科技公司国有化理论主张将谷歌、脸书等科技公司收归国有,数据国有化理论认为应当将数据国有化。
美国未来运动高级研究员理查德·埃斯科(Richard Eskow)在2014 年指出,亚马逊、谷歌、脸书等大型科技公司是用公共资助的互联网技术创建的,由政策支持和宽松的监管而发展繁荣的,它们已经取得了垄断或者近乎垄断的地位,以人类历史上前所未有的程度监视着我们,并有可能改变我们在经济、政治、社会和文化中的每一个选择。 如今,离开亚马逊、谷歌和脸书等公司提供的服务,我们将无法参与现代社会,它们的服务已经成为公共市场,我们正在成为商品,我们的信息和隐私成为了公共资源,它们正在劫持我们的未来,解决方式是宣布大型科技公司是公用事业,对其进行国有化[37]。 2017 年伦敦国王学院的尼克·斯尼切克(Nick Srnicek)在英国《卫报》上刊载的文章也表示应当将亚马逊、谷歌、脸书等公司国有化,“收回对互联网和数字基础设施的控制权”[38]。
前白宫首席战略家史蒂夫·班农(Steve Bannon)认为国有化的对象是脸书、谷歌等科技公司拥有的数据。 持该理论的学者认为,个人数据只是数据池的一部分,数据是集体创建的,并且数据整体有价值,可是数据的价值却被拥有它的公司所捕获,导致财富是集体创造的,但却是私有的。 解决方案是将数据国有化,这意味着在法律上,在一国内部提取的所有数据都是该国每个人的共同财产,公司必须为了我们的利益使用数据。 政府与公司之间的关系就像石油工业中的“生产分成协议”(PSA),公司作为承包商勘探、开发和生产石油,但石油所有权属于政府,公司承担企业经营的成本和风险,作为获得收入的对价,其余的由政府享有[39]。
不论是科技公司国有化方案还是数据国有化方案,目前都还只是“思想上的试验”,并且饱受批判。科技公司国有化理论认为数据是科技公司最宝贵的资产,所以科技公司国有化的本质事实上也是数据国有化。 在这方面,科技公司国有化和数据国有化可能引发的共同风险是,一方面政府将拥有公民的所有个人数据,政府进入私人生活。 这有可能使我们逃离了公司的监控,却进入了政府的监控。 另一方面,数据国有化后,个人将失去对数据的控制权,此后,个人是否还能基于数据主张人格利益、获得人格权的保护将成为问题。 此外,科技公司国有化还可能产生两大风险,第一,政府并不一定有能力接管大型科技公司;第二,国有化后如何保留顶尖人才、保持公司的创新力也将面临挑战。 因为政府一旦跟不上科技发展的脚步,科技公司国有化的结果就可能是经济发展速度的减退与科技竞争力的削弱。
(三)国家治理下的个人权益保护
数字服务税和数据国有化虽然有助于解决目前数据经济时代所产生的用户与公司之间的不平等,但是都面临着可能使目前用户个人所享有的权益进一步受到限制的问题。 数字服务税的治理模式主要解决的是用户与公司之间的经济利益分配问题。 在该模式下,一方面,个人无权直接向公司主张数据经济利益,个人数据所创造的经济价值将由国家通过税收的方式取得,之后再由国家以福利支出方式补偿用户,不同用户个人所创造的具有不同经济价值的数据得不到区分体现;另一方面,由于将服务税转移到消费者身上是商业公司一贯的做法,所以在对其数据不享有财产权的情况下,用户个人还可能成为最终的税负承担者,增加负累。 此外,数字服务税并不考虑用户个人的数据人格利益问题。 所以如果采取数字服务税作为一国的数据治理模式,如何保障个人成为该治理模式的受益者而不是负累者是立法首先需要考虑的问题,其次保护个人数据人格利益的配套机制也必须一并出台。
与数字服务税相比,数据国有化在限制个人数据权益方面走得更远。 在数据国有化模式下,个人的信息和隐私被视为公共资源,所以个人对其数据一方面不享有财产权,另一方面是否享有信息和隐私等权益也存疑。 如果采取数据国有化的方式治理数据,个人可能面临的是数据控制权的全面丧失。 因此,如果从维护用户权益角度出发,数字服务税和数据国有化的国家式数据治理模式并不是最佳的选择。
三、集体治理:数据信托与数据工会
与国家参与的数据治理路径同时兴起的还有集体治理的模式。 集体治理依赖第三方的参与。 该第三方或者是以信托方式成立的信托机构,或者是工会。 集体治理以聚集用户数据或权利的方式,由受托人或工会代表集体与科技公司进行谈判与协商,通过算法或规则实现对公司的反制,从而解决用户与公司之间的权力失衡问题。 集体治理尤其是数据信托被认为是“管理数据的完美工具”[40]。
(一)数据信托
1.数据信托的不同定义与相同模式
数据信托(data Trusts)是近年来兴起的数据治理方式,目前仍处于起步阶段。 依据是否从法律角度理解数据信托概念,数据信托的界定存在两种不同的立场。 第一种立场以2017 年英国政府委托发布的《英国发展人工智能产业》报告的观点为代表,该报告指出数据信托不是一个法律实体或机构,而是为了确保数据以公平、安全、平等方式共享的、以可重复框架为基础的一系列关系[41]。 这种观点并不是在法律意义上理解数据信托,其认为数据信托不是英国法律中定义的“信托”[42],或许将之翻译为“数据信任”可能更为妥当,其所要解决的就是如何在信任的框架下实现数据的收集、维护和共享。 英国开放数据研究所(open data institute,简称ODI)2020 年最新研究成果将数据信托界定为“提供独立的、受信任的数据管理权的法律结构”[43],但同时指出数据信托并不是法律框架下的表述,只是借鉴了法律信托的内容,即受托人必须根据信托目的管理数据并承担相应的责任[44]。 这一类数据信托也是数据治理的一种方式,只不过这类数据信托关注的是打破数据控制者(controllers)、收集者(collectors)、持有者(holders)制造的“数据孤岛”,由受托人决定谁可以访问和使用数据,从而实现数据共享。 更准确地说,这类数据信托讨论的是“谁来管理数据”的问题。 第二种立场以西尔维·德拉克鲁瓦(Sylvie Delacroix)和尼尔·劳伦斯(Neil Lawrence)的观点为代表,他们主张的数据信托是一种自下而上的法律机制,数据主体可以选择在信托的法律框架内集中其对个人数据的权利[19]。 这一类数据信托的目的是重新平衡企业和个人对个人数据的控制权,其目的是恢复个人权利。 本研究所讨论的以数据方式进行数据的集体治理是在解决用户与企业之间不平等的背景下提出的,所以采取的是德拉克鲁瓦和劳伦斯界定的数据信托。
不过,需要指出的是,ODI 之所以强调其所主张的数据信托不限于法律框架,是因为ODI 的报告指出,数据不能成为法律上的信托财产,数据信托可能无法合法化[45]。 从这个角度出发,可以认为ODI 是为了避免陷入是否合法的问题之中,才不断声明其数据信托不是法律意义上的数据信托。 但是不论是否在法律框架下理解数据信托,数据信托的结构都是将数据的控制权交给专门成立的信托机构,由信托机构根据信托目的与规则,为了受益人的利益独立管理数据。 所以,在外观上我们往往难以判断某个数据信托是否采取了法律上的概念,从而容易引起混淆。 如果不考虑合法性的问题,那么目前不论是理论上还是实践中,数据信托所遵循的思路都是一致的,就是创建集体谈判的方式[46],形成一个数据池并交给第三方管理,区别在于信托目的。
ODI 的数据信托致力于数据共享,其模式是由拥有数据的公司或政府等组织集体谈判协商数据共享的条件,信托机构管理数据并遵循共享条件来决定数据的使用和访问,公司、政府、公众、个人都可能因为该数据信托而受益。 德拉克鲁瓦和劳伦斯的数据信托致力于对个人数据的控制,其模式是用户将数据权利移交给信托机构,信托机构能够代表用户集体与公司谈判。 这类模式的受益者主要是个人。除了ODI 的数据共享型数据信托和德拉克鲁瓦、劳伦斯提出的用户权益保护型数据信托外,还有其他类型的信托,诸如2018 年Alphabet 旗下的Sidewalks Labs 提出的致力于智慧城市的公民数据信托(civic data trust)[47],2014 年基思·波卡罗(Keith Porcaro)提出的公司数据信托等[48]。
2.用户权益保护型数据信托
数据共享信托、公民数据信托、公司数据信托等并不是本研究关注的问题,所以不予展开,这里重点分析的是用户权益保护型数据信托,德拉克鲁瓦和劳伦斯称之为自下而上的数据信托(bottom-up data Trusts)。 该提法最早在2016 年由劳伦斯提出,他发现在公司与其他组织的数据共享协议中,创造数据价值的用户往往没有发言权,无法享受数据利益,他认为这种安排是封建主义的,数据控制权应当返还给数据主体,所以提出了用户数据信托,由信托机构代表用户管理数据,使用户利益最大化[49]。 2019年艾伦·图灵研究所和耶稣学院知识产权研讨会的记录也指出数据信托非常适合用于支持数据权利的集体主张[50]。
用户权益保护型数据信托的核心特点可以归结为以下三点。 第一是集体治理。 集体的权利束或数据池(将用户数据或者权利聚集),集体同意(以共同协商同意的信托章程为数据治理依据),集体维权(由专业技术人员或法律专家等担任的受托人代表用户集体进行谈判或者维护权益)。 第二是专业反制。 为了维护用户的权益,数据信托的信托机构必须具有相应的专业技能,既能够代表集体谈判,又能够对数据进行专业管理,以算法规制算法。 第三是个体受益。 在数据信托模式下,用户能够以集体要求脸书、亚马逊等公司撤销其对集体用户数据的访问,而不是以用户个人离开脸书、亚马逊等方式对公司侵犯用户人身、财产利益的行为进行抗议,前者对公司的威胁更大,用户的权益能够得到更好的保护。此外,由于在数据信托中是受托人集体代表用户与公司谈判,所以数据信托能够克服用户单独行使权利时往往只能被迫同意自己的隐私侵害,且无法获得经济补偿的问题,使得用户既能够享受其数据带来的经济利益,又能够获得更全面的人格权保护[51]。 再者,依据《信托法》,受托人负有信义义务,对于违反信义义务的行为,用户可以要求受托人承担责任。 依据2019 年9 月11 日发布的《全国法院民商事审判工作会议纪要》第94 条的规定,受托人负有举证证明自己履行了勤勉、忠实义务的责任,所以在信托模式下,用户的举证责任得以减轻,只需证明损害发生。 这对于数据泄露类案件尤其具有意义,因为数据泄露案件之所以败诉,往往都是因为作为数据主体的用户无法证明数据控制人存在过失[18]。
从数据信托的设计来看,数据信托既能够克服用户单独行使权利时的“孤立无援”,又能够避免国家治理中用户无法直接受益反而承担税负的问题,所以数据信托这一集体治理的方式相较而言是更好的选择。 不过,数据信托也面临着挑战。 第一,挑战信托理论。 数据是否能成为信托客体,数据信托的客体到底是数据还是权利? 如果是权利的话,目前法律框架规定的数据权利是否可转让给受托人? 第二,依据德拉克鲁瓦和劳伦斯的构想,数据信托必须满足设立数据信托的门槛必须低、用户的数据必须安全、个人数据可以在不同计算机系统中移植、个人数据可以从任何特定系统中擦除这四个条件[19]。这就产生了在没有规定数据可携带权的法律体系中,如何实现数据信托的问题。 第三,如何确保足够的用户参与数据信托[26]。 用户权益保护型数据信托能够实现集体治理,本质上是因为汇集了大量的数据或者权利,如果没有足够数量的数据或者权利,集体的力量将被削弱,可能导致数据信托的目的无法实现。 第四,数据信托的运行与监管。 该问题包括如何将数据提供给信托、公司如何接收信托的数据、用户如何退出信托、如何监管以确保数据信托具有透明度与公平性、避免“信任清洗”(trust-washing)行为①信任清洗行为中,数据信任的术语适用于那些不能使公众有意义地参与或支持数据权利集体主张的系统。 要想有效,信托必须面向广泛的人群。 如果感觉自己没有权力,或者不知道信托如何运作,就会给发展带来障碍,从而有可能使现有的权力失衡持续下去:那些有知识的人会因为加入而得到保护,而其他人可能会因为缺乏这种能力而被排除在外[50]。等。 因此,采取数据信托实施数据的集体治理也有很多问题需要解决。
(二)数据工会
除了数据信托外,数据工会也是集体式数据治理的方式之一。 Anouk Ruhaak 在提出数据信托的同时,主张“数据信托对数据经济而言就像工会对劳动力经济一样”[52]。 她的前提可能是“数据作为资本”(data as capital,DaC),所以将数据信托类比为数据工会。 然而在以阿里埃塔·伊巴拉(Arrieta Ibarra)、贾伦·拉尼尔(Jaron Lanier)为代表的学者所提出的“数据作为劳动”(data as labor,DaL)理论中,用户是数据生产者,用户与数据控制者之间形成了劳动力与工厂之间的关系,在公司对数据进行整理汇编的场合下,数据凝结了用户和公司共同的劳动投入[53]。 由于公司并没有支付用户报酬,个人数据工作者又缺乏讨价还价的能力,数据劳动理论认为用户需要组织的力量帮他们审核数据的收益,确保提供高质量的数据,并帮助他们在不增加时间负担的情况下驾驭复杂的数据系统[11]190。 该组织所扮演的“集体谈判、质量认证、职业发展”三大角色正是工会在工业时代扮演的角色,所以用户需要数据工会。
根据埃里克·波斯纳的介绍,数据工会吸引数据工作者的方式是承诺为他们的数据支付更高的报酬,一旦工会获得了群体的支持,工会就可以通过罢工、中断数据供应、强制用户集体行动等方式要求脸书、谷歌、亚马逊等数据控制者进行协商,支付用户报酬,维护用户权益。 数据工会被认为是有效的。 与传统工会不同的是,一方面,在数据经济下,用户是“产消者”,如果用户罢工,脸书、谷歌等不仅会在数据创造劳动力方面失去工人,还会在广告收入等消费方面失去消费者;另一方面,数据工会可以通过电子手段,例如罢工期间关闭用户账户或限制对账户的访问来实现强制的集体行动,从而可以避免传统工会罢工期间只能通过宣传与鼓动来努力维持团结的行动[11]190-191。 因此,数据工会的本质也是诉诸集体的力量与企业进行抗衡,并且能够较为有效地实现抗衡。
实践中,2018 年5 月23 日在荷兰成立的世界第一个“数据工会”(data labor union)所主张的权利就是集体数据所有权,该组织宣称只有以集体的方式主张对个人的数据拥有所有权,才能与大型科技公司抗衡①Data Workers Union. https:/ /dataworkers.org/, 2020-08-19 visited.。 该数据工会旨在选出代表与谷歌和脸书进行直接谈判,从而为用户争取报酬,让公司公开数据处理信息,并提供申述渠道。 以集体的力量平衡公司在数字经济中所拥有的权利是正确的思路与方向,但是数据工会同样也面临着挑战:第一,将数据理解为用户的劳动可能会遭到阻力。 大多数用户并没有产生自己是劳动者的“阶级意识”,如何确定劳动价值也需要进一步讨论;第二,如何避免工会所具有的低效率与易僵化问题,如何防止工会滥用权力,同样需要考虑。
(三)集体治理下的个人权益保护
尽管都是集体式数据治理模式,但是个人在数据信托和数据工会方式下所享有的权益并不完全相同。 数据信托建立在个人数据赋权制度上,本质上是帮助个人实现数据权益。 这里的数据权益主要是目前理论界和实务界普遍关注的人格权和财产权等。 在数据信托法律关系下,个人是委托人,是数据人格利益和财产利益的享有者;数据信托机构是受托人,负责维护个人的数据权益。 至于个人所享有的数据权益内容则取决于法律的规定。 在数据工会治理模式下,个人也是数据权利的主体,但是数据工会的权利理论基础并不是人格权和财产权等内容,而是劳动权,个人所享有的数据权利对应于个人的劳动权利。 因此,相比较而言,虽然数据信托和数据工会都面临一定的法律挑战,但是从根本上改变权利理论基础的数据工会模式可能对现行法律体系和法学理论的冲击更大。
四、数据治理的模式选择:集体治理
综合而言,就应对当前数字时代监视资本主义与科技封建主义所导致的用户被剥削,以及人的资本化与商品化的现象来说,相比于个人与国家的数据治理方式,集体式数据治理更有利于解决用户与公司之间的权力不平等问题,集体治理是数据时代维护用户权益的更优选择。
(一)集体治理的优越性
与“用户赋权——企业担责”的个人式数据治理相比,集体治理解决了用户权利难以实现的问题。首先,不论是数据信托还是数据工会,在集体模式中,依托集体的力量,用户以集体方式与公司进行协商,能够自由选择数据共享方式,重新拥有选择权和同意权,从而既能避免其不得不“自愿”或主动放弃权利的情形,又能解决数据定价中无法与公司讨价还价的问题。 由于集体模式采取的是民主代表制,所以集体治理还能避免决策的负担全部落到个人身上,避免用户因为“决策厌恶”而不愿意行使权利。 其次,对于公司付费激励不足的问题,集体治理模式也具有优越性。 虽然集体治理会使公司使用数据的成本增加,或者是因为数据访问难度增大从而不得不加大技术研发的投入,或者是不得不对数据的使用付费,但是在集体治理模式下,用户将被引导产生更高质量的数据,而不是停留在娱乐和消费过程中的有限信息[11]183,并且集体治理模式能够在用户同意的情况下,提供更开放的数据共享机制,这对极度依赖数据的公司来说,集体治理可能助力其实现盈利的飞跃。 更何况集体治理为公司使用数据提供了明确的规则,在该模式下,公司能够合理预见数据营利行为的法律后果,所以对公司而言,集体治理也是符合其利益的,是双赢的制度安排,公司将获得动力为数据付费。 最后,同样都是数据信托,集体治理模式下的独立受托人为委托人的利益服务,不会出现由公司直接控制数据时可能产生的股东信义义务和用户信义义务的冲突问题,这更有利于充分发挥数据信托的制度优势,维护用户的权益。
相比由国家实施的数据治理,集体治理模式的优越性体现在用户的利益能够得到更全面与更直接的保护。 首先是全面性。 数字服务税目前只针对大型科技公司,然而数据驱动型公司目前并不限于这些大型科技公司,保险公司、电视生产商等都在全方位捕获用户的数据以监视用户的行为,所以仅依赖数字服务税并不能为用户提供全面的保护。 此外,数字服务税所解决的只是经济利益的保护问题,用户的人格利益在该方式下无法得到彰显。 集体治理模式并不区分使用数据的对象,所有类型的公司使用用户数据都会受到约束,并且集体治理模式既致力于维护用户财产利益,又致力于维护用户的隐私,所以其所提供的保护更为全面。 其次是直接性。 数字服务税的经济补偿如何作用到创造了数据价值的个人是个未知数,科技公司国有化与数据国有化使用户创造的数据成为公共资源,它们共同产生了一个用户利益无法得到直接维护的问题,而集体治理模式充分保障了用户的参与权,用户既能够参与制定数据的治理规则,又能够直接得到经济补偿与权益保护,该模式具有直接性。
但是,应当申明的是,集体式的数据治理与个人式、国家式数据治理的关系并非排斥关系,三者之间互为补充。 只有集体式数据治理,没有个人和国家式的数据治理,集体的数据治理方式将无法实现或者效用受限。 在集体与个人的关系上,集体式数据治理的本质是通过数据的移转,将公司因为拥有数据而享有的权力转移给用户自己所信任的组织。 这是一种自下而上的数据治理方式,其存在的前提是用户的权益得到法律的确认,是对自上而下的立法的重要补充[19]。 在集体与国家的关系上,集体式数据治理只是在用户权益的全面与直接维护上具有优越性,这并不等同于不能采取国家式数据治理方式。 除了目前还处于思想试验阶段的国有化方式因为直接将数据视为公共资源而应当谨慎对待外,数字服务税作为调节社会经济生活的重要手段,是有效调节数据时代科技公司通过税收筹划进行利润转移进而侵蚀他国税基的重要方式。 数字服务税增加政府的财政收入,用户也能够在政府的福利支出上受益。因此,集体治理与个人、国家治理并非排斥关系,只是集体治理更适合解决不平等问题。
(二)集体治理的实现路径
当然,集体治理也会引发诸多法律挑战,所以为了实现集体式数据治理,我们仍有很长的路要走。就数据信托和数据工会而言,数据信托的可行性更高,因为数据信托并不依赖阶级意识的觉醒,而且目前中国的法律体系也规定了一定的用户数据权利,如《深圳经济特区数据条例(征求意见稿)》。 此外,数据信托在保护用户权益的同时,还能实现数据的共享,为数据交换提供条件,扭转中国数据交易被黑市垄断的局面,契合当前中国积极推动数据要素市场流通的政策。 所以,从制度成本和制度的实践意义出发,数据信托更符合当下中国的需要。 就数据信托的实现路径而言,要实现数据信托就必须解决前文所提出的数据信托面临的四个法律挑战。
第一,信托理论问题。 依据我国《信托法》的规定,信托必须是合法的财产,包括财产权利,因此数据信托的标的应当是财产或者权利。 由于数据是否为财产目前在国内外仍是一个具有争议的话题,所以中国数据信托的落地可以考虑将信托标的确定为数据权利,毕竟数据的财产价值主要来自于对数据的控制,包括对数据的处理和加工等而非数据本身[18]。 德拉克鲁瓦和劳伦斯所主张的数据信托也是数据权利信托。 至于数据权利的内容,则属于个人赋权制度需要解决的问题,限于篇幅该问题在此不再展开。
第二,数据可携带权、删除权问题。 在个人所享有的数据权利中,数据信托的设立要求立法必须赋予个人数据可携带权和删除权。 中国《民法典》第1037 条第2 款规定了删除权,2020 年10 月21 日公布的《个人信息保护法(草案)》第47 条也规定了删除权,所以实现数据信托所必需的删除权与中国现行法律相衔接。 数据可携带权在中国并未被法律确立,欧盟的GDPR 规定了该权利,该权利使个人能够无障碍地获取与转移个人数据[54]。 数据可携带权在中国立法上的空白与理论研究的滞后相关,该权利目前在中国尚未引起广泛的关注。 已有研究认为可以引入有限度的数据可携带权[54],笔者赞同该立场。 数据可携带权具有双面性,所以引入数据可携带权的同时应根据中国国情对其进行合理的限定, 更符合DT 时代的发展需求。
第三,用户参与问题。 为了鼓励用户加入数据信托,在数据信托的构建上应当鼓励设立不同的数据信托,例如,营利性的与非营利的,以及有关健康数据的、社交媒体数据的、财务数据的、消费数据的等各种类型的信托机构,使得不同的用户能根据自己的实际需求选择不同的数据信托机构。 毕竟现实中每个人的利益诉求并不一致,在个人风险与经济回报最大化的选择上不同的人往往会有不同的判断,所以多样化的数据信托是保证用户参与的重要机制,应当鼓励并允许不同目的的数据信托共同发展。
第四,运行和监管问题。 在运行方面,数据信托一方面可以考虑引入区块链技术,采用去中心化的方式聚合数据,避免因数据信托而引起更高级别的安全威胁;另一方面也可以使用MPC 密码协议(secure multi-party computation)对数据进行加密,使得第三方虽然可以分析和调用数据但无法查看数据,实现数据所有权和使用权的分离。 在监管方面,与金融科技的监管问题相类似,由于数据信托也涉及诸多科技的应用,可能导致监管部门无法实施有效监管,所以在数据信托的监管上也可以引入监管科技,将监管与科学技术融合。 利用新的科技作为监管手段应当是未来数据信托监管制度建设的基本方向。当然,数据信托作为自下而上的法律机制,在监管方面还可以积极发挥用户个人的作用,强化内部监管,与公权监管相结合,建构体系化的数据信托监管体系。
此外,在个人、国家与集体的数据治理联动上,由于集体式数据治理以法律上的个人数据权利制度为基础,所以要实现作为集体式数据治理方式的数据信托,在理论和立法上必须对个人所享有的数据权利进行明确的界定,包括数据的性质与数据权利的具体内容等。 又由于数据信托的集体谈判功能可以在一定程度上解决数字服务税可能产生的税负转移问题,所以数字服务税可以作为数据信托的配套制度一起用于解决用户与公司的不平等问题,维护用户权益。
总而言之,集体式数据治理是当前应对数据经济中用户与公司愈发不平等的地位所引发的各种问题的有效手段,其中,已经在国外得到政府和社会实践青睐的数据信托是较好的选择。 虽然中国引入数据信托也面临着挑战,但是由于不平等的问题已经迫在眉睫,所以我们引入数据信托以实现集体式数据治理,所获得的收益应该是超过损失的,未来中国可以积极探索引进数据信托制度的可能。
