茶秋思，丛杭青

(浙江大学哲学学院，浙江 杭州 310058)

0 引言

大数据技术、互联网技术等信息通信技术的发展与应用使得个人生活被深度地数字化。与此同时，隐私侵权、数据泄露及平台垄断等问题接连不断，个人数据安全的治理问题已不容忽视[1]。个人数据安全指采取必要措施维护与个人相关数据的 “机密性，完整性，真实性”[2]，避免数据因遭到恶意攻击和不恰当使用而影响人的正常生活。数据安全治理可以从广义上被理解为在国家的数据安全战略指导下，为推动全社会共同维护数据安全，并促进发展而采取的一系列举措，包括出台法律法规、建设标准体系和培养专业人才等；狭义上被界定为在组织的数据安全战略指导下，基于数据生命周期而实施的一系列活动，包括组织保障和制度建设等[3]。

现有文献对个人数据安全治理理念的探讨通常从个人数据在法律中的权利定位开始，即分析个人数据是人的什么权利？该如何保护此权利？但这样的权利界定往往预设了数据是被动的客体和人的附属。比如，有的研究从对比欧盟法律坚守个人尊严与美国法律注重个人自由入手，建议协调两种权利保护路径，取其平衡[4]；有的指出个人数据被视为人的财产权、人格权等方式的局限并探索弥补的方法[5]；也有的通过分析对比欧、美分别将个人数据保护视为公民基本权利和个人信息自主权的利弊，基于案件判决结果探讨我国个人数据保护的价值选择[6]。上述研究都对个人数据安全治理作出有益探索，但如果结合当下数据与人类生活深度融合的现实，考虑到数据流通的速度之快、范围之广和影响之深，仅把数据当作被动的客体和人的附属这一预设也许不恰当。因此，有学者指出实际上对于数据属于何种权利客体这一问题的探讨，目前并不能对解决数据问题有实质帮助[7]；亦有学者认为有必要把自身从强化个体信息自觉与对个体信息的静态化保护中解放出来，在认可个体信息流通价值与公共性价值的前提下保护个人隐私权益与相关利益[8]。

本文尝试突破传统的人的权利这一分析视角，悬置数据附属于人的预设，同时扩展研究视野，由法律领域转移至包含法律、行政法规、技术标准和技术实践在内的复杂现实。通过分析现有个人数据安全的治理理念及其局限，重返个人数据安全的本质特征，针对法规和技术处理这些特征的不足之处，提出合作本位的理念，指导政府、企业与个人通过协同治理以实现个人数据安全治理的长治久安。本研究摆脱了个人数据安全治理停滞于法律权限界定不清的僵局，也为如何在治理中克服现有法规和技术的局限提供了方法论指导。

1 个人数据安全现有治理理念：个人本位和数据本位

个人数据安全现有的治理理念之一是个人本位，即个人尊严和权利高于一切。典型代表包括欧盟的 《通用数据保护条例》 (简称 《条例》)。其个人本位的理念表现在：①数据流通的合法性源于个人的同意。在 《条例》第6条关于数据处理的合法性中，明确规定 “只有满足至少如下一项条件时，处理才是合法的，且处理的合法性只限于满足条件内的处理： (a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理”。同时， 《条例》还允许数据主体 “有权随时撤回其同意”，并要求 “撤回同意应当和表达同意一样简单”。 ②力图通过全方位赋权个人扭转其弱势地位。 《条例》第15～22条规定的访问权、更正权、擦除权、携带权等个人权利，意在通过赋予弱势群体以一系列权利来矫正信息处理者与个人之间的不平等关系[9]。③为了尽量避免对个人利益的侵犯，对数据收集和处理采取最小必要性原则。这体现在 《条例》规定的数据最小化原则，即个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的，以及限期储存原则，即对于能够识别数据主体的个人数据，其保存方式应当不长于为了实现个人数据处理目的所必要的期限。此外，还明确要求个人和技术控制者都要谨慎判断 “是否要求同意履行契约所不必要的个人数据处理”。

个人本位理念充分尊重人的主体性地位，但容易造成个人与技术的对立。这具体表现为3个方面：①为保护个人权利抑制数据流通，进而限制技术创新。美国数据创新中心就在报告中罗列了 《条例》通过限制数据流通而危害人工智能创新的九种表现，包括对不确定性的包容程度严重降低，数据利用场景显著受限，数据本地化存储增加创新成本等[10]。 ②监管脱离技术现实，让技术企业陷入两难困境。比如， 《条例》要求技术控制者 “应当以一种容易理解的形式，使用清晰和平白的语言”来陈述数据保护的相关条款。但鉴于大数据分析中技术的复杂性，语言如果追求容易阅读和理解，那就可能要缩减篇幅而变得笼统。这样往往导致技术企业陷入 “保准确性，因条款不易理解而被指责不透明”和 “保可读性，因条款不够详尽而被指责不透明”的两难困境。③忽略了个人能力与技术复杂程度之间的差距。个人本位理念预设个人是足够理性和耐心的，能基于阅读告知-同意机制中的相关条款而准确全面地预判个人数据流通和使用的范围及后果，然后负责任地决定同意与否。在现实中，用户容易走向过度谨慎、拒绝同意或轻率放弃、随便同意的极端。这两种极端在本质上都是用户在未知风险面前感到无力的消极反应，可以被视为人与技术对立的后果之一。

个人数据安全治理的另一种理念是数据本位，即数据的自由生产和流通高于一切，代表人物包括弗洛里迪和赫拉利。弗洛里迪认为在微观层面难以穷尽数据在具体情形中的价值，因此由微观转入宏观，并且由认识论转向本体论。他提出实体被看作一个个分立的 (Discrete)，自足的 (Self-contained)的胶囊包 (Encapsulated Package)，内含定义其状态、特征和属性的数据结构，并能接受外界操作 (Operations)、功能 (Functions)或流程 (Procedures)的刺激和影响而改变状态[11]。因此，数据本位在信息伦理学中有3个表现：①数据是构成所有实体的基本单位，本身即是一个目的性存在，值得尊重和关怀。②善恶根据数据的流动状态来判断。弗洛里迪指出，形而上学熵指称任何种类的被理解为信息对象的实体的毁灭与败坏，也就是存在的任何形式的贫瘠[12]。贫瘠即是数据流动的减少与受阻，是恶，而善则是数据的自由流通和整个信息生态圈的共同繁荣。③人的价值依附于数据流通，这源于赫拉利的观点。他认为，根据数据主义的观点，可以把全人类看作单一的数据处理系统，而每个个人都是里面的一个芯片[13]。他通过分析人类社会的发展历史论证如何可以通过增加处理器的数量和种类，提高连接密度和数据流通的自由程度来推动历史发展。而发展终点是数据主义所憧憬的万物互联网，只要这个任务完成，智人就会功成身退，人类只是创造万物互联的工具[13]。 “信息不再流通，与死亡有何异？”[13]的观点更是直接否定了人独立存在的价值。

实践数据本位理念的区域一般都主张言论自由而避免限制数据流通，比如互联网产业十分发达的美国。美国社交平台Twitter推出的LivesOn功能就秉承 “生命虽逝，推文不止”的精神，通过机器学习用户生前所发的推文而自动生成、发布新的内容去参与平台上的互动，从而达到一种用户能在社交平台上 “永生”的效果。这一服务也彰显出数据自由生产和流通的数据本位理念。虽然这些数据从个人用户已逝的角度看已经成为虚假数据，违背了数据安全对数据真实性的要求，但从促进数据自由生产和流通的角度看这无疑是一个值得赞赏的创举。

数据本位的理念因为仅仅专注于数据的自由生产和流通而容易激化个人与数据之间的对立。这表现在：① 去人化的倾向无法解释为何还需要人来解决数据流通的问题，这可以归属于一种非人类中心主义理论的普遍缺陷。②仅仅以熵量的多少这一单一维度来评判善恶的伦理原则是建立在简单性和单极化思维方式的基础之上，而伦理问题的复杂性决定了合理的伦理原则的建立必须超越简单性、单极化的思维方式[14]。单一的判断维度既否认了有序与无序之间相互转化的可能性，也拒绝承认现实的复杂，这最终会让人的思考被教条束缚而平面化和简单化。③片面追求数据的自由流通而把人类边缘化可能侵犯人类权利。数据主义有助于社会运行效率的提高，但可能对个人隐私造成伤害，导致人的齐一性、个人自由的丧失[15]。

2 个人数据安全的本质特征要求合作本位理念

个人本位和数据本位分别站在人与数据的立场，虽然在某种程度上能够指引个人数据安全的治理，但同时造成人与技术发展或人与数据之间的对立。这样的对立让个人数据安全治理异化为个人与技术或个人与数据之间的零和博弈。这是因为两种理念都未能准确理解个人数据安全场景性、流通性和叠加性特征，因此忽略了合作的必要性和可能性。

个人数据安全的场景性指人与数据的关系在不同场景有不同形态。换言之，数据的使用和价值都以场景为基础，所以个人数据安全的治理需要紧密结合场景需求。关于场景需求有不同的概括和分类。Nissenbaum[16]提出的场景完整性理论即认为当不同场景中不同参与者的权利义务、数据类型和数据使用规则这3个要素被充分考虑时，场景才具有完整性，数据应用是否正当也才具有判断标准。比如，在病人看病的场景中，他愿意充分向医生分享个人数据以获得有效的医治，但这并不等于医生直接有权在医学领域的学术交流中把该病人的数据公开分享，也不等于医院有权收集和使用该病人的数据。场景切换直接导致参与者的权利义务和预期，数据的类别形态和使用规则都发生变化，忽略上述变化则会导致病人的个人数据遭到不正当泄露，个人权益受到侵犯。

个人数据安全的场景性导致即使在同一个场景中，不同参与者对同一数据价值的预期也是不同的，所以就需要政府、企业和个人通过合作在微观场景中达成各方都可接受的价值排序。数据价值的多样性源于场景变化，以及同一场景不同参与者对同一数据价值的预期不同。我国正在推进的数据分级分类方法在一定程度上有效平衡了数据价值多样性和监管所要求的标准统一性之间的矛盾。进行数据的分级分类在本质上就是促使各方参与者对数据价值的界定和分层形成共识，即是实现各方都接受的关于数据价值的排序。这样的价值排序在宏观层面的表现形式是由政府主导，头部企业技术专家参与制定的重要数据目录；在中观层面，是由同行业不同企业在政府领导下合作探讨制定的行业数据分级分类指南。但在微观场景中的价值排序是法律法规或行业技术标准所难以覆盖的。比如，我国2021年8月20日通过的 《个人信息保护法》第27条规定 “个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。” “该条款具有很大的不确定性，因为对 ‘合理范围’的理解没有统一的标准”[17]，因此需要政府、企业和个人在微观场景中结合数据的利用目的、方式通过磋商进行关于价值排序的定夺，也就是确定何为此场景中的合理。

个人数据安全的流通性指的是，个人数据价值源于数据的流动和共享，而存在价值是个人数据安全的前提。在大数据时代，数据的价值主要源于其流通性，当数据大规模地在不同地区、行业、场景之间流通，每次汇集产生新的洞见时，数据便创造了极大的价值。换言之，数据的价值不再完全来源于收集时的原始目的，而更多源于二次利用。所以技术企业往往抱团生存，通过在后台共享用户数据而挖掘更多商机。针对此现象，我国 《个人信息保护法》第23条明确规定个人信息处理者向其他个人信息处理者提供其处理的个人信息时，应取得个人的单独同意。

流通性特征导致在个人数据安全的治理中责任边界的模糊，这要求政府和企业进行合作以应对数据安全事故后的定责困难。个人数据跨行业、跨地区的流通和共享意味着数据生命周期中不同环节由不同领域的企业来处理，企业之间存在精细分工与紧密合作。在这样环环相扣的深度合作中，数据安全责任边界难以被清晰界定，责任之间相互关联，导致数据安全事故爆发后难以定责。如果说网络安全是环境安全，可以通过划定边界和身份识别来实现，那么数据安全则是食品安全，是多个操作流程累积之后的结果。比如，某一商家作为用户在某云平台运营业务，如果在商家收集了用户数据之后发生数据泄露，则会涉及商家、云平台以及云平台背后的相关技术供应者之间的责任界定。面对复杂的责任主体，举证问题出在哪一个具体环节是十分困难的。因此，盘根错节的数据处理责任分布让力求简洁、明确的法律法规显得笨拙，也让仅仅靠单一政府部门实施的监管力不从心。所以，流通性特征要求政府和企业进行合作，通过技术创新、模式创新等方法去解决事故后难定责的问题。

个人数据安全的叠加性意味着个人数据本身及个人数据安全的相关技术往往具有双向属性。所谓双向属性，即个人数据通常同时具备私有和公共属性，以及技术标准化和技术开放性设计带来便利的同时也造就公开的漏洞。个人数据的私有属性指的是数据关乎个人的利益，其泄露可能会造成对个人的侵权和利益损失；而公共属性指的是数据的合理流通不但不会减损其自身的价值，还有利于减少信息不对称，有利于市场和公共服务的发展[9]。在数据安全的保护措施方面，技术标准化约定在方便管理的同时，也造就了共同的技术漏洞。目前使用最广泛的网络协议是TCP/IP协议，它的主要设计目标是互联与互通，而不是安全，该协议中已有许多人所共知的安全漏洞和隐患[18]。此外，技术的开放性设计既是集思广益、群策群力的好机会，也让心怀不轨之徒有可乘之机。由于近年来流行个人计算机的开放性设计，几乎每个人都知道计算机操作系统的内部结构和工作原理，极易找到攻击漏洞[18]。这些双向属性如一个硬币的两面，既不可分离又存在对立。

叠加性蕴含的双向属性会导致数据价值的冲突，以及技术风险超出法规能够约束的范围，这要求政府、企业和个人通过合作化解价值冲突和防范技术风险。首先，价值冲突往往因个人数据的公私属性并存而产生，违反法规的价值冲突会受到制裁，在此着重讨论的是法规允许范围内的价值冲突。在法规无法提供指导时，这些价值冲突往往需要伦理的指导来调和。典型的例子是会员制数据库转载法院公开的判决书，仍可能造成个人数据的私人价值与公共价值、商业价值之间的矛盾[17]。判决书虽隐去了相关个人的名字但保留了姓氏和其他个人数据。这些数据能够让熟识此人的人识别出他或她是谁，也因此让此人产生判决书的公开将有损自身社会形象的担忧。但另一方面，此人在法律程序启动之初就被法院告知判决书公开的相关规则，同时公开判决书能产生公众监督审判的公共价值，收集并共享判决书能创造数据库的商业价值。鉴于判决书内容客观上已不再是具有私密性的隐私内容，且转载方式也合法合规，所以在这个场景下此人的声誉不得不在与公共和商业价值的冲突中被忽略，但此价值冲突并非不可调和。政府和企业可以在不破坏判决书的可读性的前提下，多一份对个人合理诉求的尊重和关切，隐去更多个人数据以满足个人维护自身社会声誉的需要。其次，技术风险超出法规能够约束的范围则是指在法律滞后于技术发展或技术能够绕过法律监管的情况下，技术标准化或开放性设计带来的漏洞被人利用。面对法律的失效，只有人的伦理底线让人能够主动自律，拒绝利益诱惑而避免侵犯他者的权益。因此，政府应注重与企业和个人在伦理层面的合作，通过激发并借力于这样的自我约束和对他人权益的尊重进行治理，从而弥补法律和技术的局限。

概括而言，数据安全的场景性、流通性和叠加性要求政府、企业和个人之间只有通过合作才能理顺价值排序，应对定责困难，化解价值冲突和防范技术风险，最终实现个人数据安全治理的长治久安。所以，合作本位的个人数据安全治理理念的内涵是在依法依规的前提下，回归个人数据安全的本质特征，通过政府、企业和个人之间的协同治理弥补现有法规和技术的不足，在谋求安全中促进共同发展。

3 合作本位理念的落实机制：沟通机制、资源共享机制和伦理机制

针对现有法规和技术在应对个人数据安全的本质特征时仍有不足之处，政府、企业和个人在个人数据安全治理中有必要从3个方面开展合作。①三者需要在微观场景中协商数据的价值排序；②在流通性模糊责任边界的情况下共同应对事故定责难的需求；③在叠加性中通过伦理合作化解价值冲突和防范技术风险。为促成这样的合作，需要通过沟通机制，资源共享机制和伦理机制落实合作本位的治理理念。

针对政府、企业和个人在微观场景中有协商数据价值排序的需求，需要建立更有效的沟通机制赋能弱势参与者，从而促进三者之间平等协商。多元主体之间进行协商的前提是平等，但由于现有数据技术的复杂程度远超个人的常识水平，个人在具体场景中往往缺乏时间和精力去深入细致地研究相关技术和法律法规，同时还有部分人群数据安全意识淡漠，所以在现实中绝大部分个人仍在个人数据安全治理中处于弱势地位。即使在告知-同意机制已被法律所共同强调，并根据数据的重要性作出单独同意、重新同意和书面同意等形式细化；即使在我国 《个人信息保护法》中已规定了履行个人信息保护职责的部门和职能，明确了个人维权投诉的渠道，但这些措施对于改善个人的弱势地位收效甚微，因为它们仅仅赋权个人，但还缺乏相应机制赋能个人去兑现这些权益。为帮助个人在数据安全的治理中兑现个人权益，在巴塞罗那和阿姆斯特丹，企业和政府正在致力于为个人建立公民数据信托[19]。传统信托是普通个人将物质资产托付给值得信赖的专业人士管理，公民数据信托以相同的形式把数据作为资产交由专业人士代管，其目的在于使个人对于自己的数据被收集和被使用有更大的发言权。该信托的服务集中在技术和商业层面。在技术层面，该信托帮助个人在数据使用中根据个人偏好，减少不必要的个人数据泄露，比如在个人使用社交媒体时自动根据具体场景，识别哪些数据是非必要但仍会被收集的，并提醒个人考虑变更相关的授权。在商业层面代表个人与企业签署合同确保其享有应有的数据权益，并为个人提供授权企业或政府使用个人数据的协议模版。这样的信托服务代表、帮助处于弱势的个人，在与企业和政府的沟通中去判断数据的收集和使用是否符合自己的预期和权益。其效果包括直接弥补了个人缺乏技术和法规方面专业知识的短板，帮助他们节省了管理个人数据的时间和精力，还在政府、企业和个人之间架起了平等协商的桥梁。只有通过在微观场景中的平等协商，数据使用的价值排序才能既在企业和政府视角下是合理的，也在个人视角下是可接受的。

为了应对数据广泛、复杂的流通导致的定责困难，需要政府、企业和个人通过资源共享机制扬长避短，在合作中为彼此分担风险。比如，虽然我国法规要求建立未成年人的网络游戏电子身份认证系统，但现实中包括手机验证、邮箱验证等身份认证方法很容易被未成年人绕过。最直接可靠的方式通过人脸识别与身份证年龄校验的方式进行，但这两项数据都属于敏感个人数据，对于企业而言如果收集了这些数据，就会背负一个重大的安全负担，同时也未必每一个游戏企业都有实力胜任对于大批量敏感个人数据的安保工作。根据调研，当前国内某头部互联网游戏企业正在尝试与国家公安部门合作解决此问题。公安部门本身已经掌握这两项敏感个人数据，用户在登录游戏时，接入公安部门的数据库校验个人身份，游戏企业只根据收到的校验结果放行或拒绝用户登录。由此，政府利用自身数据和技术优势，为企业分担了风险；企业也通过模式创新，降低了用户个人数据被泄露的风险。通过这样数据不动程序动，不分享数据只分享价值的创新性合作，破解了流通性带来的定责难的问题。之所以能够破解是因为这种不分享数据只分享价值的操作将价值流通从数据流通中提炼、剥离出来，而不像过去那样默认数据和数据的价值一体化。二者的分离巧妙地做到了减少数据流通而不影响数据的使用，而数据不动就有效地避免了多方经手数据、多方都要负责的责任纠缠。

为了解决叠加性带来的价值冲突并防范技术风险，政府、企业和个人应通过伦理机制发挥伦理的引导作用，从而实现个人数据安全治理中的自我规约和相互尊重。近年发展迅速的非营利性组织——我的数据 (MyData)为伦理机制的建设提供了一种可行的模式选择[20]。该组织的目标是通过宣扬伦理价值倡导负责任的数据使用，捍卫个人数据安全。其服务包括提供基于数据全生命周期的数据处理伦理准则，为个人和组织的实践提供价值指引；报道宣传兼顾了个人数据安全与利用的成功案例，为平衡数据保护和开发提供路径参考；定期组织线上线下会议探讨如何解决当下个人数据安全治理中的问题，为政府、企业和个人提供了一个非正式的合作平台。通过这些服务，该组织在3个层面发挥了伦理的引导作用。①要求会员入会时签署遵守伦理准则的承诺书，通过认同准则中的伦理价值，进行自我规约；②分析成功案例的原因，通过挖掘案例中的实践智慧，树立成员对个人数据利用能够合乎伦理要求的信心；③筛选各方共同关心的问题作为会议主题，通过呈现不同利益诉求和价值关切之间的共同点或关联之处，促使参与者彼此了解和相互尊重。在伦理的引导下，数据安全治理中的多方参与者才能在互动中承认对方的独特性，肯定对方的价值，进而变被动合规，依赖法规为主动关怀，积极作为。有了这样的转变，即使面对法规未作明确规定的情形，各方参与者也能通过体恤他者的需求化解价值冲突，并且以自律避免潜在的技术风险。

4 结语

基于场景性、流通性和叠加性这3个特征形成的合作本位理念比个人本位和数据本位更注重公平，因此获得了更强的稳定性和正当性。个人本位或数据本位的理念在本质上还是建立在私人 (利益)立场上的[21]计算与衡量，个人与技术的对立或个人与数据的对立仍属于功利层面的私利争抢，但合作本位的理念从根本上改变了人们通常习惯的价值立场，要求人们不再居于功利的而是居于平等自由的人权立场来认识公共生活中的价值根据[21]。当个人数据安全的治理基于公共利益的立场，注重公意契约的达成，这就要求治理中应尽量让与目标对应的权利义务的分配方式为各方所自愿接受和认可。这是注重公平的体现，凭借各方的自愿接受而赋予个人数据安全的治理以稳定性，也凭借否认为了一些人分享更大利益而剥夺另一些人的自由是正当的，不承认许多人享受的较大利益能绰绰有余地补偿强加于少数人的牺牲[22]而赋予个人数据安全的治理以正当性。