数据权力的兴起、异化及规制*
2022-05-30尹华容王惠民
尹华容,王惠民
(湘潭大学 法学院,湖南 湘潭 411105)
一 引 言
数据已与土地、劳动力、资本、技术等传统要素并列为生产要素。2020年,中国以大数据为代表的数字经济规模达到39.2万亿元,占GDP比重的38.6%,数据成为经济发展、社会管理、科技创新中的重要力量。[1]然而,数据权力的滥用,如携程、滴滴的“大数据杀熟”事件、百度魏则西事件、棱镜门事件等引起轩然大波,数据价值的运用超出了其本身的中立界限,产生令人谈“大数据”色变的异化风险。数据权力滥用所产生的问题引起学界的研究热潮,但现有研究未深层次揭示数据权力的生成机理与蕴含的风险,未能紧密联系我国实际问题,深入研究数据权力的治理优先路径,而是重在论证我国现阶段数据权力治理的必要性和介绍欧美做法,针对性不强等问题,(1)主要探究数据权力生成机理的论著,如林奇富、贺竞超:《大数据权力:一种现代权力逻辑及其经验反思》载《东北大学学报(社会科学版)》2016第5期;吕正兵:《传播权力理论视角下的数据权力分析》载《编辑之友》2018年第10期;李齐:《数字时代的权力生产与政府责任》载《中国行政管理》2019年第11期;周尚君:《数字社会对权力机制的重新构造》载《华东政法大学学报》2021年第5期。主要研究数据治理必要性的论著,如王志鹏、张祥建、涂景一:《平台权力的扩张与异化》载《江西社会科学》2016年第5期;肖冬梅、陈晰:《硬规则时代的数据自由与隐私边界》载《湘潭大学学报(哲学社会科学版)》2019年第3期;郭渐强:《网络平台权力治理:法治困境与现实出路》载《理论探索》2019年第4期;丁晓东:《大数据时代数据到底属于谁?——从网络爬虫看平台数据权属与数据保护》载《华东政法大学学报(社会科学版)》2019年第5期;张莉主编:《数据治理与数据安全》,人民邮电出版社2019年版;赵艳红:《大数据监控措施的法律规制研究——以隐私权为中心的探讨》载《交大法学》2020第4期;肖梦黎:《平台型企业的权力生成与规制选择研究》载《河北法学》2020年第10期;崔淑洁、张弘:《数据挖掘对个人信息的侵害与保护路径》载《西南交通大学学报(社会科学版)》2020年第6期;廖建凯:《“大数据杀熟”法律规制的困境与出路——从消费者的权利保护到经营者算法权力治理》载《西南政法大学学报》2020年第1期;吴理财、王为:《大数据治理:基于权力与权利的双向度理解》载《学术界》2020年第10期;杨东、臧俊恒:《数字平台的反垄断规制》载《武汉大学学报(哲学社会科学版)》2021年第6期。主要研究欧美数据治理方式的论著,如王春晖:《GDPR个人数据权与〈网络安全法〉个人信息权之比较》载《中国信息安全》2018年第7期;肖冬梅、谭礼格:《欧盟数据保护影响评估制度及其启示》载《中国图书馆学报》2018年第5期;张金平:《欧盟个人数据权的演进及其启示》载《法商研究》2019年第5期;何渊主编:《数据法学》,北京大学出版社2020年版。专门研究数据权力的生成、异化及规制问题,进行较为全面梳理的论著较少,如佟林杰、郭诚诚:《大数据权力扩张、异化及规制路径》载《商业经济研究》2019第4期;叶娟丽:《移动互联网·大数据·智能化:人工智能时代权力的规训路径》载《兰州大学学报(社会科学版)》2020第1期;陈鹏:《数据的权力:应用与规制》载《安徽师范大学学报(人文社会科学版)》2021年第5期。实际上应当重点探究我国数据权力生成路径,在此基础上找到异化风险并设定相应的规制措施,才能实现我国数据经济发展与数据权益保护的平衡。
二 数据权力的兴起
大数据时代,社会数字化,数据成为信息与社会利益的载体,通过收集海量数据,并利用大数据技术进行处理与使用,可以对信息所指向的主体形成引导作用、对社会资源形成调配力量,但收集与处理数据具有较高的技术门槛和资金门槛,迫使数据资源掌握在个别数据控制者和数据处理者手中并由其进行分配。从法律角度对这类少数人拥有的新兴社会力量进行定义,探明其生成机制与运行机理,成为研究规制路径的前提。
(一)数据的本质与权力化趋势
根据《中华人民共和国数据安全法》(以下简称《数据安全法》)规定,数据是指任何以电子或者其他方式对信息的记录。传统的数据处理限于技术原因只能处理范围窄、数量小的“小数据”,随着计算机云技术的发展,人类对数据的处理能力获得突破,逐渐掌握整合“大数据”(规模大到在获取、存储、管理、分析方面远超传统数据库软件工具能力范围的数据集合)的能力。(2)麦肯锡全球研究将大数据定义为一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合,具有volume(大量)、velocity(高速)、variety(多样)、value(低价值密度)、veracity(真实性)五大特征。相对于之前的数据处理技术,大数据技术对数据整合的规模、种类、速度、精准度达到前所未有的程度,进一步促成数据效力发挥达到新层次。网络的普及使社会各领域信息逐渐数据化,而数据与数据处理技术的广泛运用,促使数据所含有的信息愈加丰富,被开发与利用程度更高,对社会与个人产生的调配力也愈发强,成了一种新兴的社会力量。其主要体现为数据普适记录能力和数据处理能力两个方面。
一方面是数据普适记录能力,记录对抗人性的幽暗面并对人的行为产生约束力。我国自古便有专门记录君王言行的制度——“起居注”,以记录的方式对统治者形成制约和威慑作用,达到“以史制君”的目的。西方宗教强调全知、全能的上帝会对人类生活进行事无巨细的监视与记录,若信徒拒绝承认事实将导致内心终日惶恐并受到惩罚,“上帝视角”的普适记录机制,客观上达到震慑信徒、引导信徒从善之目的。回归当下,记录工具更加繁多,文字记录升级为数据记录,相较而言数据不仅更为精准,传播速度更快,保存时间更为长久,所载信息量也更全面。同时,记录的技术也更加普及,随着记录工具的普遍化,比如手机逐渐人手一部,摄像头早已在各大城市形成“天网”,通过遍布千家万户的网络,公民随时可能被记录,也随时可以记录他人,被数据记录成为人类继死亡、税收之外第三件无法避免的事情。全方位、多领域、全天候的普适记录正在形成,虚构的“上帝”角色开始显像于现实。而普适记录能力一旦被集中控制,则极易走向平权社会的对立面,形成由数据“上帝”统管的极权社会。[2]190-195
另一方面是数据处理能力,即对数据进行处理以获得支配数据信息资源能力。数据本身是对客观事物的记录,是信息的载体,数据处理的目的则是通过对数据的挖掘、分析等处理行为获得数据所载有的信息。信息资源掌握的多少日渐成为战争、商业中话语权大小的重要基础,如辽沈战役期间,东北野战军通过缴获比、俘虏比的不同判断出廖耀湘部指挥所,从而在短时间内直捣黄龙。[3]可以说,知道得越多,进行预测的能力就越强。这种现象在大数据时代侧重表现为对个人隐私的窥探和构建个人画像(3)参见《深圳经济特区数据条例》第二条第八款规定:“用户画像,是指为了评估自然人的某些条件而对个人数据进行自动化处理的活动,包括为了评估自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为方式、位置、行踪等进行的自动化处理。”,数据控制者与数据处理者凭借收集个人数据进行分析进而获取其内含的隐私信息,甚至与数据主体形成信息不对称地位以掌握话语权,比如“千人千价”的大数据杀熟。如约瑟夫·奈所言,权力正在从“拥有雄厚的资本”转向“拥有丰富的信息”[5]105,信息资源劣势一方因缺少有效信息支撑判断与决策而受制于信息资源优势一方,产生不平等的引导、支配关系。
凡是在不对等地位场域之中,权力这一社会关系必然呈现。哲学、社会学、政治学等对权力的定义不尽相同,但都体现了一个共同点,即“权力是影响与被影响、支配与被支配的关系。”(4)如哲学上,罗素说权力的含义与物理学的基本概念“能量”相同;尼采说权力是“一种意志力”“一种本能”。政治学上,达尔说权力如同控制、权威、影响力一样都是模棱两可的,不妨都称为影响力术语。社会学上,马克斯·韦伯认为“权力是某种社会关系中一个行动者将处于不顾反对而贯彻自己意志的地位的概率, 不管这种概率所依据的基础是什么”。[6]80而对数据普适记录能力以及数据处理能力掌控程度不对等的主体之间,也逐渐形成了影响与被影响、支配与被支配的关系,呈现出权力化趋势。
(二)数据权力的基础和特征
基于传统“权力中心化”观点,权力被认为是由国家机构独有。随着“小政府、大社会”的发展,社会力量逐渐发展壮大,成为调整社会资源的重要主体。在此背景下,有观点认为:“社会主体通过拥有自己的社会资源和独立的经济、社会地位而形成对国家和社会的影响力、支配力。”[7]即相对于国家权力而言的社会权力,其突破了权力由国家机构独自享有的界限。福柯的权力论也认为,现代社会背景下权力是“非中心化”的,而国家机构只是权力的一个有限领域。[8]26在大数据领域,这种权力多元化的现象更为直观,网络平台逐渐凭借对大量数据资源的控制能力去影响、支配其他主体,权力不再由国家机构专属,权力主体逐渐“去中心化”。同时,有的学者认为权力并不都是建立在强制力或暴力的基础上,有些权力是软性的,即非强制性或强制性较弱的“软权力”。而“社会权力的强制性一般较弱,是软性的,多采取权益相协调,利害施影响,舆论加压力,诱导、促使、迫使而非直接使对方遵从”。[9]61数据权力正是这样一种基于对海量数据的控制优势或对海量数据的处理优势而获得的全新社会权力。
1.数据权力的基础
数据权力的基础之一是数据控制优势。控制优势是指能单独或联合决定个人数据处理目的和处理方式的优势。(5)参见GDPR(《通用数据保护条例》)第四条第七款,其将数据控制者定义为“能单独或联合决定个人数据处理目的和处理方式的自然人、法人、公共机构、行政机关或其他非法人组织”。我国《数据安全法》并没有“数据控制者”的概念,而是将数据控制与数据处理统称为数据处理者,为便于区分并阐述数据权力生产机理,此处使用“数据控制者”的定义。基于此,数据控制者可以自行或者委托数据处理者开发海量数据,为自己或他人获取数据普适记录能力和数据处理能力产生的信息资源并进行运用,与数据控制能力处于劣势地位的主体之间形成影响与被影响、控制与被控制的不平等关系。
数据权力的基础之二是数据处理优势。(6)参见《数据安全法》第三条规定:“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。”数据处理优势可以认定为通过搭建处理平台处理数据而获得对数据信息资源进行支配的优势。优势主体通过对海量数据的处理,率先获得数据所蕴含的信息,以此发掘、提取并掌握数据的信息资源与知识资源,依靠对资源的支配与运用优势形成数据权力。
总而言之,数据权力主体通过数据控制优势争夺数据资源控制权,通过数据处理优势获得数据资源,以此对其他主体产生引导乃至支配作用,形成不平等的权力关系,即数据权力关系。应当说明的是,虽然数据权力与算法权力都是基于对数据的使用,但二者存在本质上的区别:算法权力是“算法基于海量数据运算形成配置社会资源的力量”[10]。首先,二者构成基础不同,数据权力是基于对数据的掌控优势,其重点在于对数据这一资源的支配能力,而算法权力是基于对算法技术的掌控优势,本质上是一种技术性权力,其重在对技术的操纵能力;其次,二者运行的方式不同,算法权力首先需要人类对算法技术进行设计,之后便依靠算法技术运用海量数据进行深度自主学习,在运行过程中形成决策以配置社会资源,数据是算法权力发生效力的基础。而数据权力的运行方式有两种,其一是依靠数据普适记录能力运行,其二是通过算法等技术进行数据处理的方式运行,甚至可以说,算法是数据权力运行的方式之一。
2.数据权力的特征
基于数据控制优势和数据处理优势而形成的基础及权力的特性,让数据权力形成了五大特性:扩张性,即具有扩大、越权甚至侵犯其他主体的特性;广泛性,即海量数据来源于广泛主体,反之,数据处理使用所影响的主体也相对广泛;不透明性,即由于数据黑箱与算法黑箱,数据权力主体对数据收集利用的数量、范围、深度均居于运行不透明状态;排他性,即控制并运用数据、获取数据价值,又通过所得的数据信息反制数据主体,最终达到垄断;软权力性,即数据权力多采用协调、诱导、舆论等软性力量促使他人“自愿”行事,以达到影响、支配他人之目的。数据权力的不透明性和软权力性使得数据权力的支配行为变得难以识别与监管,广泛性则使数据权力的效应呈指数级放大,扩张性、排他性则为其垄断权力、滥用权力埋下伏笔。数据权力一旦滥用,其涉及广度、危害力度、监管难度、规制难度绝非传统权力侵权可比。而数据主体的分散、弱势与法律规制措施的不足,间接导致权力滥用更加猖獗。
图1 数据权力形成路径图
三 数据权力的异化
权力从实质上而言仅是一种带有工具性的客观力量,其本身并不具有善恶之分。[11]而“异化(entfremdung或entfemden)有脱离、对抗、受异己力量统治之意”。[12]即主体出于服务自我目的创建出对象,但对象反其道而行之去束缚、吞噬甚至取代主体。[13]数据是数据权力形成之前提,公众是数据之源泉,具有公共性的数据所繁殖之利益被数据权力主体所占有并反过来支配公众,数据权力被集中垄断形成新的极权主义,公共利益、公共权力的私有是数据权力异化的本质原因。而数据权力主体多为政府机关或网络平台,具有追求管理目的或营利目的之原始需要,极易滥用数据权力导致其产生异化风险。根据异化的原因可以分为数据普适记录能力的异化和数据处理能力的异化。
(一)数据普适记录能力的异化
1.数据监控
数据监控是指通过对数据的收集、分析达到对数据主体实施难以辨别的单向监视,最具代表性的数据监控便是美国“棱镜门事件”。回归我国当下,2021年“3·15晚会”曝光了科勒卫浴人脸数据收集事件,科勒卫浴在上千家门店安装人脸识别摄像头,对来往顾客的人脸生物数据进行记录,由此掌握顾客所去门店的位置、时间、频次等信息,作为各家门店对顾客摸底、报价的关键辅助资料。又如网络平台通过用户搜索关键词向用户推荐产品,外卖平台通过获得手机录音权限,当用户在现实中谈及某种食物后,页面随即出现相关产品推荐。此外,我国上千万个摄像头组成的“天网”遍布各处,成为数据监控的巨大隐患。数据监控并不鲜见,自古便有的情报系统便与其是同一原理,但在大数据时代,对数据收集的深度、速度、准确度前所未有,面对无处不在、无时无刻不在的数据监控,每个数据主体都成为在“超级全景监狱”[14]97+128-129中穿着皇帝新衣的“透明人”,自由度被极大压缩,甚至成为受数据权力操纵的“楚门”(Trueman)。
2.数据欺骗
数据欺骗根据其对事实发展方向的引导力度不同可以分为两个层次,第一个层次是数据权力主体基于立场利用所掌握的海量数据引导受众对事实的认识。如全球社交平台巨头Instagram在将时任委内瑞拉总统马杜罗账号的官方认证取消后,直接将反对派领袖瓜伊多官方认证为总统,并将该消息推送至全球几十亿用户,引导全球舆论,为反对派获得政治认同做推手。第二个层次是利用数据制造“事实”。当下,数据记录工具的多样性导致数据不单纯是对文字的记录,声音、画面等都可以被记录成数据,因此,数据可以看作是对环境的记录,这也意味着可以通过数据“制造”环境。数据权力主体通过所掌握的数据堆砌想要展示的“事实”,并以经过精心编排的“事实”引导公众的思维与行为。
图2 数据权力异化路径图
(二)数据处理能力的异化
数据处理能力的异化主要表现在商业领域和公权力领域,并逐渐成为数据权力异化的主要原因和引发社会问题的关键因素。
1.商业领域的异化
典型商业领域异化有两种,即侵害个人信息和隐私、搬运或掠夺数据资源导致的市场垄断。前者具体表现形式为非法攫取或过度获取数据。数据权力的扩张性导致对数据资源形成攫取意识。非法攫取数据常表现为未经用户同意夺取数据;过度获取数据表现为不授权给平台获取个人数据便无法使用平台、超范围收集和过度索权。2019年,国家App专项治理工作组分六批次对常用的上千款App进行合规性检测发现,违法违规收集个人信息数据成为问题之首,多达6976个,(7)参见中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《APP违法违规收集使用个人信息专项治理报告(2019)》。足见非法收集、过度收集数据问题之严重。
大数据杀熟的步骤为“信息收集——用户画像——区别定价”,数据主体通过数据处理提取消费者的性别、年龄、消费习惯、支付能力等有效信息,再运用特定的算法对消费者进行高精准、高隐蔽、全面的“画像”,达到知根知底,并以此形成“千人千价”的商业模式。其一是“数据+人工”半自动模式,如前文所述科勒卫浴将掌握的信息作为与客户接触、定价的重要基础。其二是“数据+算法”自动模式,如携程、滴滴等公司通过对客户所用机型、消费习惯、熟悉程度等数据进行算法分析,对熟客的报价高于新客,苹果手机用户的报价高于安卓手机用户,以此在无声息中获得对客户进行影响甚至支配的地位,影响用户消费行为以谋取高额利润。
搬运或掠夺数据资源导致的市场垄断具体表现为:数据权力主体利用数据权力攫取市场份额,破坏正常的市场秩序从而形成恶性垄断。全球市值前十的公司中有七个是以大数据利用为代表性技术的互联网公司,数据权力具有排他性,这些“独角兽”掌握了海量数据,达到对数据权力的占有,并通过垄断形成新的寡头。具体途径主要可以归纳为三种:其一是数据权力主体之间运用数据和算法达成并巩固垄断协议。各个企业通过自有的海量数据信息、算法技术对用户、竞争者、市场进行实时的数据分析,以此达到监控的效果,并在此基础上通过垄断协议进行合作以获得垄断地位;其二是基于数据优势滥用市场地位,最为直接的表现是菜鸟与顺丰互相关闭数据接口(8)2017年6月1日,使用腾讯云数据平台的顺丰突然宣布,关闭与使用阿里云数据平台的菜鸟(阿里巴巴旗下公司)之间的数据接口,导致淘宝平台的上亿个用户无法收到顺丰物流信息,而顺丰解释,采取这一措施的原因是菜鸟以信息安全为由主动下线与顺丰的信息接口,其旨在逼迫顺丰从腾讯云切换至阿里云。这实质上是阿里系与顺丰对用户数据控制权的争夺。,拒绝竞争对手获得数据资源,以达到维持垄断优势的目的;其三是因经营者集中而引发排斥竞争的“数据集中”,即掌控数据权力的主体通过合并、控股或签订协议等行为获得更为完整的数据资源,催生出数据寡头,形成市场支配地位。处理这类异化现象最大的难题是数据权力的不透明性导致监管难、诉讼难,极大地侵犯了消费者合法权益,破坏市场秩序。
2.公权力领域的异化
公权力是社会治理体系的主体,根据数据权力的嵌入程度不同,数据权力在公权力领域的异化一方面表现为在协同公权力进行社会治理的领域,另一方面则表现为在部分领域替代公权力。首先,数据权力的技术壁垒和资金壁垒导致数据权力主要集中在国家公权力机关和私主体网络平台中,基于数字政府的时代需求,部分公权力的行使,比如智慧城市依赖大数据处理技术,而网络平台的数据处理优势一定程度上大于国家公权力机关,这使得国家公权力机关将部分大数据处理工作以委托合作的形式“外包”于网络平台。网络平台基于委托获得国家机关掌握的数据,形成新的数据掌控优势。其次,基于信息能力特别是算法的技术优势和不透明性,可以将自身的主观意志嵌入算法中。比如阿里巴巴与浙江省高级人民法院达成合作,运用阿里巴巴的海量数据和算法技术对涉诉人员“画像”,以此协助法院进行查询、送达、冻结资产等程序。[15]最后,互联网法院的区块链取证也广泛采用大型平台企业的技术协助。[16]本应由司法机关行使的公权力被网络平台所“篡取”。网络平台在自身具有数据权力的同时,又获得“代为行使”部分公权力的机会,公权力专属原则被打破,甚至形成公权力私有化的滥用现象。由国家机关所有的权力随着网络空间主体支配关系的变化生成了由网络平台所有、以数字平台为其权力作用场域的私权力,形成从“公权力-私权利”到“公权力-私权力-私权利”的三元转变。[17]22-24
四 数据权力的法律规制
基于数据权力产生的数据监控、数据欺骗、大数据杀熟、利用数据优势进行市场垄断、公权力私有化的异化问题,亟须法律从私法和公法路径进行规制:私法路径以赋予相应数据权利以稀释数据权力为主要措施,公法路径主要以行政监管、诉讼救济等措施制约数据权力。但现有法律制度存在权利配置缺位、程序机制缺失、监管职责不明、诉讼保障失力等法律规制障碍,对此,可通过赋予公民数据权利、健全正当程序机制、优化行政监管制度、减少司法诉讼障碍等公私整体治理的措施以提高规制效果。
(一)现有法律规制的不足
1.权利配置缺位
以“权力—权利”为范式,赋予公民充分的数据权利是限制数据权力异化、保障公民合法权益的基础,[18]但我国现有法律并未明确规定“数据权利”。(9)《数据安全法》并未直接明确数据权利,只通过第八条、第三十二条、第三十八条规定,数据处理行为应当合法、合理,不得危害国家、公共利益,不得损害个人、组织合法权益。尽管《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第四章规定个人在个人信息处理活动中具有知情权、决定权、查阅权、复制权、可携带权、修改权、被遗忘权、解释权等权益。但此处赋予公民的权益保护对象是“个人信息”,而数据绝不等同于个人信息,对比《个人信息保护法》第四条规定和《数据安全法》第三条规定可知,通过对数据进行处理分析后产生信息,而在信息范围中,与已识别或可识别的自然人有关的部分才能称为个人信息。因此,数据的权利和信息的权利在主体、客体、性质、内容上均存在区别。数据权利建构路径面临“两座大山”。其一是统合性难题,即无论学界还是实务界都未能就权属的界定和权利属性达成一致。现有观点主要有两类:一是以赋权模式为代表的“形式主义”范式,如物权说、财产权说、知识产权说等;二是以行为规制为代表的“实质主义”范式,如场景化和类型化治理说、数据信托说、行为控制说等,两种范式之间互为颉颃。其二是实效性难题,“形式主义”范式陷入“因数据无形而无法适用物权法,因数据有体而无法适用知识产权法”的困境。而“实质主义”范式则囿于“引发的问题近似于所解决的问题”之隅。[19]
2.程序机制缺失
数据权力主体协助公权力甚至在部分领域替代某些公权力作用,其本意是利用私主体的数据优势和技术优势,但这种做法无疑与公权力专属、正当程序等法律原则形成一定的冲突。一方面,在我国公权力专属的法律原则的背景下,相关部门没有对数据权力嵌入公权力领域的范围作出规定,不仅导致公权力过度私有化而难以预防,也极易造成公众的不信任感。另一方面,数据权力的不透明性与程序正当原则之间存在张力。一是现有法律要求对公权力活动进行公开以接受监督,但数据权力嵌入后,这些活动直接通过技术在“黑箱”中自动完成,与公开原则相左。二是数据权力主体的稀少性导致嵌入公权力的活动仅能由少部分平台“垄断”,有悖于公众参与原则。我国法律制度针对数据权力运行程序的机制性缺失,亟须相应的顶层设计。
3.监管权责不明
强化行政监管部门数据监管是制约数据权力异化的重要途径,规制数据权力对个人领域、商业领域、公权力领域产生的异化风险均存在一个重点、难点问题——“监管难”,究其原因是监管权责不明。欧盟的GDPR规定对数据安全监管采取设立独立机构统一管理的模式,注重监管的独立性和统一性。美国则对数据进行分类立法,实施分类监管,注重监管的专业性和灵活性。(10)如GLBA旨在保护非个人信息和规制金融机构,具体由美国消费金融保护局、美国联邦贸易委员会及美国联邦储备银行监管。HIPPA旨在保护健康信息,具体由美国卫生部进行监管。我国《数据安全法》试图在欧盟模式与美国模式之间走一条“中国特色”道路,即以国家网信办作为统筹协调机关确立统一性,而以各部门负责本行业、本领域监管以保障灵活性、专业性。(11)参见《数据安全法》第五条规定,工业、电信、交通等主管部门承担各自行业的监管职责,公安、国安在职责范围内承担监管职责,国家网信办则负责统筹协调。但《数据安全法》对各单位之间的监管权责分配尚存在规定不明确的问题,容易造成监管缺位、监管不规范的现象。同时,数据本身具有复杂多样性,其所承载的信息难免会涉及多个行业领域,简单将数据划归某一个行业监管存在不合理之处。
4.诉讼保障失力
目前,我国的数据侵权纠纷仍适用民事诉讼,该救济制度中存在举证责任不平衡、证明标准过大、诉讼激励效应较弱的困境。一方面,面对数据处理行为的极度隐蔽性与高度专业性,公民的非专业性使得其侵权难以被发现,证据难以固定。而根据“谁主张谁举证”原则,数据主体需要对侵权行为、损害结果、主观过错、因果关系进行举证。以大数据杀熟为例,此类侵权行为一般存在于网络场域,通过算法制定“千人千价”,其动态化的价格形式使公民很难及时对损害结果进行知悉与保留,同时,因算法黑箱的壁垒,公民难以获知具体的算法,更加难以证明主观过错和因果关系。虽然《个人信息保护法》第六十九条规定对“侵害个人信息权益损害”适用过错推定原则,[20]但该条规定所适用的范围仅限于“个人信息”,对于其他数据侵权的行为仍适用传统的举证责任制度,“谁主张谁举证”的传统举证模式难以维持法律天平应有的平衡。另一方面,数据侵权常表现为对个体危害较小但受害群体广的特性,在这种情况下,个体提出诉讼的成本与所获得的收益不成正比,所形成的激励困境让诉讼救济沦为下策。
(二)数据权力的规制措施
1.赋予公民数据权利
“法则的命令是人类专断制定的,是因时、因人和因势的变化而变化的、偶然的和人为的安排。”[21]6大数据时代发展的现实呼唤,要求建立一种全新的、不受制于传统权利类型的数据权利体系。设定数据权利不仅是对抗数据权力异化的必要手段,亦是社会发展的必然产物。构建数据权利体系应当紧紧围绕其所保护的法益为中心,从数据本身所具有的人格特性和财产特性而言,数据权利同时具备人格权和财产权两种属性,应当发挥人格权益保护和财产利益保护的作用,因此可以设定以数据人格权和数据财产权为主体并下分多种权利的体系:首先,将数据权利体系划分为数据人格权、数据财产权两个大类,以此兼顾人格权益保障与财产权益保护;其次,数据人格权又可以细分为知情同意权、数据修改权、数据被遗忘权,以便数据权利主体实现隐私安全;最后,数据财产权可以细分为数据采集权、数据可携权、数据使用权、数据收益权,以促进数据资源利用与数据价值共享[22],给予数据主体较为全面的权利,达到有效的保护作用。
2.健全程序正当机制
针对数据权力与公权力专属原则之间的张力,应当对数据权力的适用范围作出规定,对于涉及公众广泛利益、公民重大的人身权利的领域应当严格限制数据权力的过度嵌入,并及时对参与的数据权力主体信息、参与事项进行公开,确定适用范围后,再健全数据权力运行的正当程序机制:首先,要求数据权力主体保证运行过程的可见性,并参照《互联网信息服务算法推荐管理规定》对数据权力参与公权力活动所运用的具体技术进行备案,并主动公布备案情况,接受社会监督;其次,由于获取数据权力具有技术壁垒和资本壁垒,强行让所有公众参与公权力活动会陷入平均主义误区,但应当保证公众在立项、采购、使用等阶段的公众参与权,形成公权力机关、数据权力主体、公众对话机制;最后,对公众作出不利决定前,相关部门应当明确告知并解释原因,同时充分听取数据主体的陈述、申辩。
3.优化行政监管制度
对于监管权责不明的问题,相关部门应当建立“统管-协调”式监管制度。对此,可参考欧盟模式,由国家网信办或者新设独立数据监管机构统一负责数据监管工作,其他部门设立专门的协调监管机构,负责将涉及本行业的数据安全隐患向国家网信办进行反馈并对后续的监管工作予以专业性协助,未及时反馈的应当承担相应责任,以此倒逼各部门积极协调监管,实现监管规范化、权威化。监管权集中行使,能保证监管力度和监管落实,然后从立法层面明确各部门的工作职责,这不仅可以保持监管的独立性,亦能解决“九龙治水”的问题,实现“集中力量办大事”,同时,应当提高监管技术水平,构建多元监管模式。数据权力具有极强的技术性,治理数据权力很重要的一个方向是从大数据技术开始治理,而公权力机关对大数据技术缺乏相应的敏感性、专业性,有必要提高在收集个人信息、市场垄断等方面的监管能力,提升工作人员监管能力。此外,企业自检和行业自律组织协助监管的多元监管模式能有效提高数据权力治理效能,应当积极引导企业自检,保护数据权利的同时也不宜对数据权力进行过多规制,企业在合法状态下是否选择透明技术应当由企业自行决定,但政府部门可以积极引导企业参与,培养定期进行透明公布的良好氛围。企业自检作为自发性行为缺乏强制力度,但政府可以积极引导非营利性行业自治组织协调监管。
4.减少司法诉讼障碍
对于举证责任不平衡、证明标准过大等问题,可以适当加大数据权力主体的举证责任,如可借鉴行政诉讼举证模式,由数据权力主体对其行为的合法性进行举证,以此保障救济制度发挥应有的作用。此外,针对诉讼激励效应较弱的困境,一般性的数据权力侵权仍旧通过私法路径进行救济,而对于影响范围广、涉及利益重大的侵权,原本通过私力救济的途径已经无法满足权利保障的有效实现,公益诉讼的制度优势与现实有效性更符合对公共利益保护的特殊要求和现实需要。我们建议将该部分案件适当纳入公益诉讼的范围内,如河北、广西两地省人大常委会以“决定”的方式明确将“大数据安全”纳入公益司法保护中,(12)参见《河北省人大常委会关于加强检察公益诉讼工作的决定》第三条规定:“检察机关依法办理生态环境和资源保护、食品药品安全、国有土地使用权出让、国有财产保护、英雄烈士保护等领域公益诉讼案件;办理安全生产、防灾减灾、应急救援、文物和文化遗产保护、个人信息保护、大数据安全、互联网侵害公益、弘扬社会主义核心价值观等领域公益诉讼案件;办理法律规定的其他公益诉讼案件。”《广西壮族自治区人大常委会关于加强检察公益诉讼工作的决定》第三条规定:“三、检察机关应当积极稳妥拓展检察公益诉讼范围,探索办理安全生产、历史文化古迹和文物保护、互联网侵害公益、众多公民信息保护、大数据安全、损害国家尊严或者民族情感等领域公益诉讼案件。”即相比于民事救济的保护路径,通过强调国家保护义务及其落实,更有利于权利保护的目标实现。[23]
五 结 语
数据权力作为新兴的社会权力,是数字社会进程“去中心化”的必然产物,也是引领数据技术创新、促进数据产业发展的重要推手。但数据权力异化形成的数据极权主义给现行法律制度带来了诸多挑战,数据权力主要借助计算机技术在网络场域形成异化风险,其责任主体、行为模式和作用场景等均有异于传统国家公权力侵权,若不进行合理规制,不仅使个人、商业、公权力等面临极大风险,还可能形成以数据权力主体为中心的新型极权社会。对此,我们一方面应当发挥现有法律的规制作用,引导数据权力回归服务本位;另一方面也应当及时意识到数据权力的异化风险,赋予公民充分的数据权利,健全程序机制,强化监管,减少诉讼障碍,形成立法、执法、司法、守法相联动的规制体系。