数据交易中的伦理问题及其法律规制
2023-02-27张敏
张 敏
随着数据利用广度和深度的持续拓展,数据资源作为新的生产要素成为新的经济增长点,数据利用中引发的伦理问题愈发凸显。在数据伦理的研究上,戴维斯和帕特森认为所有企业都应针对数据确立自身适用的道德规范,明确数据对自身的价值,重视数据中所涉及的身份、隐私、归属以及名誉,在技术创新与风险之间保持必要的平衡。①See Kord Davis &Doug Patterson,Ethics of Big Data,O'Reilly Media,2012.目前学术界对大数据伦理问题及其危害基本达成了一致,普遍认为数据权利、隐私、权限、安全与数字鸿沟是目前大数据时代的主要伦理问题。②参见宋吉鑫、魏玉东、王永峰:《大数据伦理问题与治理研究述评》,《理论界》2017 年第1 期。在对数据伦理的法学研究上,有学者提出数据科技治理中,除认真对待法律外,还必须从科技研发、推广与使用等环节系统性地植入伦理规则,使伦理成为法律创新的指南针,从而实现法律与伦理的有效对接。③参见黎四奇:《数据科技伦理法律化问题探究》,《中国法学》2022 年第4 期。有学者认为要想系统有效地解决数据伦理问题,需要从法律理念的确立、权利的配置、规制模式的选择三个角度相应予以构建。④参见刘岩、宋吉鑫:《大数据伦理问题中的权利冲突及法律规制——以个人信息权为中心》,《辽宁大学学报(哲学社会科学版)》2018 年第6 期。而有关数据交易中伦理问题的法学研究成果则较少。本文在对数据伦理问题进行梳理整合的基础上,结合数据交易实践,提出数据交易中的伦理问题可以从三个维度展开:一为数据交易中的安全伦理;二为数据交易中的自由伦理;三为数据交易中的利益伦理。在对数据交易中的伦理问题进行研究的基础上,结合理论与实践,提出相应的法律规制建议。
一、数据交易中的安全伦理
(一)数据交易中的安全伦理的内涵
安全伦理是与自然人的生命健康权、人格权等人的生命健康安全相关的伦理问题。在数据伦理方面,个人信息安全是学者们普遍关注和认可的伦理问题,现有研究中无论表述为个人信息、隐私还是个人数据,其实质都是个人信息安全。个人信息的形式表现为电子形式或者书面,具有可识别性和关联性的特征,匿名化处理后的信息因不具备可识别性亦不属于个人信息。在数据诸多伦理问题中,安全伦理,即个人信息安全问题具有典型性和核心性。①参见刘岩、宋吉鑫:《大数据伦理问题中的权利冲突及法律规制——以个人信息权为中心》,《辽宁大学学报(哲学社会科学版)》2018 年第6 期。
“数据交易是指转让方(供方)将原始数据或数据产品相关权利转让给数据受让方(需方)数据受让方支付对价的营利性商事活动。”②张敏:《数据法学》,中国政法大学出版社2023 年版,第219 页。在数据交易中,安全伦理问题主要指数据交易中个人信息的安全。数据作为生产要素,在数据经济发展历程中,无论是产业数字化还是数字产业化,都依赖于数据要素的充分供给和数据价值的发挥,也依赖于数据在要素市场上充分流动得以实现。作为数据供给最为有效、最为重要的数据交易,是数据利用中的重要环节。通过数据交易,供应方可以提供原始数据用于交易,也可以对数据进行加工后再交易,需求方可以在获取数据后直接利用,也可以对数据进行再加工后利用。数据要素的市场需求势必带来数据交易的蓬勃发展,数据利用和个人信息保护之间的平衡问题也会更加突出,进而面临个人信息保护的安全伦理问题。
(二)数据交易中有违安全伦理的具体表现
“作为商事交易,大数据交易具有商事交易的交易双方地位平等、交易自由的基本特征,同时也因大数据交易平台的存在而具有主体复杂、权利义务不清晰的特殊性”③张敏:《交易安全视域下我国大数据交易的法律监管》,《情报杂志》2017 年第2 期。,交易标的是原始数据或数据产品两种类型。如交易标的是原始数据,其中可能与个人信息毫无关联,也可能包括了匿名或去标识化的个人信息;如交易标的是数据产品,也可能包括以个人信息为基础进行加工形成的数据产品。数据交易可能无法与个人信息完全脱离,因而数据交易中有违安全伦理问题主要表现在两个方面:一是个人信息的非法收集;二是个人信息的泄露。
1.个人信息的非法收集
数据交易中个人信息的非法收集,指的是数据交易的原始数据或数据产品,在首要环节收集数据时,存在着对个人信息收集范围不当的问题,以及在收集个人信息过程中未能做到对“知情—同意”原则的贯彻。
(1)对个人信息收集的范围不当。通常情况下,数据产品的供应方,可能是原始数据的收集者,也可能是原始数据的加工者。既包括原始数据的收集者自行收集数据后用于交易,也包括未参与原始数据收集,通过共享、开放、交易等各种方式获取数据后的加工。原始数据的收集者和加工者在收集和加工原始数据过程中,如未坚持最小必要原则,则会存在违法收集或者过度收集等行为。实践中,各公司通过各种方式过度收集数据的情况比比皆是。例如,在滴滴公司被罚80.26 亿元事件中,滴滴公司存在的违法收集行为主要包括违法收集用户手机相册中的截图信息、过度收集用户剪切板信息、应用列表信息,过度收集乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息以及地址信息、司机学历信息等。①滴滴公司存在的违法收集行为,参见国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问.http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm,2022 年11 月6 日访问。数据交易是以营利为目的的商事交易活动,原始数据是数据交易标的形成的基础,数据的资产性、价值性促使收集者只有更全面收集数据才能获得更多的数据资源,才能在数据交易中获取更多的利益。尽管从欧盟的《通用数据保护条例》到我国的《数据安全法》《个人信息保护法》均要求数据收集应当坚持最小必要原则,但在巨大的利益驱动之下,原始数据的收集者在收集包含个人信息的原始数据的过程中,不但无法秉持最小必要原则,反而通过强制许可、不告知、默认等各种方式过度收集,进而导致对个人信息收集的范围不断扩大,侵害个人信息主体权益,引发数据交易中的安全伦理问题。
(2)在收集和处理个人信息的过程中未能完全贯彻“知情—同意”原则。“知情—同意”原则是指在一般性使用下处理个人数据需征得数据主体知情同意,知情同意的方式包括明示同意和默示同意。基于公共利益和公共安全的考量,各国立法均采用了例外的方式予以明确规定,欧盟的《通用数据保护条例》规定了六类“知情—同意”原则的例外情形,我国《个人信息保护法》也有类似的规定。国内学界基本认可在数据处理上要坚持“知情—同意”原则,即在收集和处理数据的过程中,告知数据主体所收集和处理的数据被收集、存储、公开的目的、方式、用途等。一方面,部分数据收集和处理者在收集和处理数据时未能按照前述要求向作为被收集者的数据主体如实告知;另一方面,作为被收集者的数据主体的交易习惯、文化水平和认识能力的参差不齐,使得相当一部分数据主体是在未能清晰了解数据被收集、存储、公开的目的、方式、用途等的情况下便“同意”了数据收集和处理者对自身个人信息的收集和处理。由此造成了“知情—同意”原则适用的不充分、不全面,导致数据交易中个人信息的非法收集。
2.个人信息的泄露
数据交易中个人信息的泄露是指在数据交易过程中导致的个人信息泄露,个人信息泄露来自交易标的,泄露环节包括尚未进入交易环节的个人信息泄露,交易过程中的个人信息泄露,以及交易后的个人信息泄露。数据交易中个人信息的泄露主要体现为三种情况,其一,大量数据集合“去匿名化”导致数据交易中的个人信息的可识别性;其二,非法买卖个人信息导致个人信息泄露;其三,数据安全技术支撑和数据安全管理不足造成个人信息泄露。
(1)大量数据集合导致数据“去匿名化”现象。个人信息的重要特征是可识别性和关联性,即通过信息可以识别到某个特定的自然人。匿名化实质上就是去除个人信息的关联性或可识别性的标识,使其无法关联或识别到个人。但随着识别技术的快速发展,使得原本不具有可识别性的一些信息汇集成为具有可识别性的“信息集合”,在大数据背景下传统的可识别的信息范围被大大扩展。①参见刘岩、宋吉鑫:《大数据伦理问题中的权利冲突及法律规制——以个人信息权为中心》,《辽宁大学学报(哲学社会科学版)》2018 年第6 期。能够作为数据交易标的的数据应当是经过“清洗”和匿名化处理的数据,“清洗”和匿名化使得这部分数据丧失可识别性,从而不再与特定的自然人相关联,进而实现对自然人人身权益的保护。但是,应当注意的是大量经过“清洗”和匿名化处理的数据,为了开展数据交易,需要通过大量汇集成原始数据集合或加工形成数据产品,这种重新加工汇集的数据产品反而可能会使这部分数据重新具有可识别性,从而识别到个人信息主体,即出现个人信息的“去匿名化”,进而对特定自然人的人格利益造成威胁。
(2)非法买卖个人信息现象的存在。“平台交易模式成为实现数据有效流动和充分发挥要素价值的重要模式,通过平台监管是实现数据安全与自由流通的双重价值目标的有效方式”②张敏:《包容审慎监管:数据交易的平台监管进路研究》,《河北学刊》 2023 年第1 期。。尽管大多数的数据交易是在数据交易平台上进行的,数据交易平台作为第三方平台能够对数据交易双方的数据交易行为进行一定的监管,我国《数据安全法》明确了数据交易中介服务对数据来源、交易双方的监管义务,但如何实现有效监管,则是学术界和实务部门所面临的难题。实践中,数据交易平台通过制定平台交易规则等行业规范的方式实行具体监管,监管的深度和广度远远不够。由于匿名化不彻底仍具有可识别性和关联性的数据,其交易相较于数据交易平台上的数据交易更为隐蔽也更难监管,这就给一些掌握个人信息的数据占有者以可乘之机,使他们能够通过此种方式出卖个人信息,侵害自然人的人格权益。另外,现实中还存在着少数由交易双方进行直接交易的数据交易,这种情况彻底脱离了行业监管,使得非法买卖个人信息情况更是无法监控。
(3)数据安全技术支撑和数据安全管理不足造成个人信息泄露。数据交易平台的安全运行,不仅依赖于数据交易平台的数据安全技术支撑和数据安全管理,也依赖于数据交易中供应方和需求方的数据安全技术支撑和数据安全管理制度。数据交易中数据交易平台、供应方和需求方均需要具备存储和传输数据的硬件和软件条件,以避免黑客攻击造成个人信息泄露。在数据的存储和传输的过程中,数据交易平台、供应方和需求方的数据安全技术支撑不足,无法充分防护黑客攻击、数据挖掘、网络爬虫等非法行为,因而造成个人信息泄露。此外,如数据交易平台、供应方和需求方数据安全管理能力不足、制度不健全、实施不充分,数据交易平台、供应方和需求方的任一主体,交易前、交易中、交易后的人员环节,均有可能造成个人信息泄露。
二、数据交易中的自由伦理
关于伦理学上的自由的定义,斯宾诺莎在其《伦理学》一书中指出:“凡是仅仅由自身本性的必然性而存在、其行为仅仅由它自身决定的东西叫做自由(Libera)。反之,凡一物的存在及其行为均按一定的方式为他物所决定,便叫做必然(Necessaria)或受制(Coata)。”①[荷兰] 斯宾诺莎:《伦理学》,贺麟译,商务印书馆2017 年版,第4 页。转引自张睿谦:《实践、必然与历史:理解马克思自由观的三个基本要素》,《湖南第一师范学院学报》2023 年第1 期。从伦理学视角讨论的自由,更多的是行为自由,从这种意义上来说,自由对于行为主体而言,是自我决定。其更丰富的意涵如作者书中所指出的“自由伦理学所言的自由,是拥有正常利益需求的作为个体之人的自由,是指当事人能够出于自身的需求、信念和原则行事,即便是为此需要克服阻碍(例如,抗拒多数人的决断)或者承担风险”。②甘绍平:《自由伦理学》,贵州大学出版社2020 年版,第5 页,转引自成海鹰:《人工智能时代论自由——基于〈自由伦理学〉的思考》,《太原理工大学学报(社会科学版)》2022 年第2 期。
(一)数据交易中的自由伦理的内涵
数据交易是数据商业化应用的重要形式。数据交易中的自由伦理的内涵指在数据交易中,各主体能够自由利用数据。具体体现为:一方面,数据交易供应方和数据交易需求方能够依照意思自治在一个足够自由的数据市场上进行数据交易,自由的数据交易市场的构建需要良好的政策引导和成熟的交易规则;另一方面,数据主体能够自由利用自己的数据,即数据主体能够享有个人信息自决权。“个人信息自决权”最早由德国法院的判例确认,是指当事人拥有的对其自身相涉的数据自行决定披露与使用的终极掌控的权利。信息主体可以自由地决定其信息何时、何地、以何种方式被收集、储存和利用,包括利用的主体是谁,可以再转给何人,为了何种目的等内容。③参见邹珊、傅思宇、罗珏等:《GDPR 数据主体同意制度剖析及应对策略——以谷歌案为例》,《成都理工大学学报(社会科学版)》2020 年第1 期。
数据主体个人信息自决权的实现,不仅包含数据主体在数据被收集时的“知情—同意”自由,而且包含数据主体对数据后续利用的“知情—同意”自由。在数据被收集时,数据主体应当做到知情、明确、特定、自由的同意。第一,收集者应当向数据主体明示所收集的数据的范围和用途,保障数据主体在知情的前提下作出是否同意的意思表示;第二,数据主体同意数据利用,应当是以积极行为作出同意的意思表示,而非沉默等不作为方式;第三,数据主体的同意仅在依据特定目的被授予时才有效,即收集者收集的数据必须具有用于特定数据处理的目的,这也被称为目的限制;第四,数据主体在表示同意时,能否作出真实的意思表示而享有真正的选择自由,可否自由拒绝和撤回其同意而免遭不利后果,是鉴别其同意是否“自由作出”的标准。④同注③。
(二)数据交易中有违自由伦理的具体表现
数据交易中有违自由伦理主要表现为:数据商业化应用中,收集、处理数据的企业及其他组织居于主导地位,数据主体无法自由使用数据,甚至在数据的收集、处理和利用过程中的知情权和同意权都非常有限,个人自由无法实现。
其一,在数据收集的过程中,数据主体的自由意志表达有限,其自由伦理无法体现。以目前使用APP 的通常情况为例,用户下载APP 之后会弹窗显示是否同意APP 的《用户协议》和《隐私政策》。若选择“否”则用户无法正常使用APP,由此用户只能选择“是”以达成自己正常使用APP 的目的,而能够正常使用的前提条件是允许APP 对自身浏览数据、身份信息等数据的收集。此外,尽管大多数APP 都会提示用户阅读《隐私政策》和《用户协议》后再决定是否使用APP,但从时间成本以及专业性欠缺角度考虑,绝大多数用户使用APP 并不会点开或者即使点开之后也不会详细阅读这些文件,用户对自己被采集的信息范围认知有限,再者即便用户不赞同信息被采集,出于使用APP 的需要,也需要“同意”《隐私政策》及《用户协议》。以“谷歌案”为例,为了能够访问其Google 账户,用户必须同意Google 提供的格式条款,包括同意Google 收集和处理其个人数据,然后才能更改个性化广告自定义选项的设置。该操作实为变相强制用户同意Google 的隐私政策,违反了同意“自由作出”的要求。Google 对个人信息保存期限使用的诸如“保留信息直至删除”“超过期限的信息”“您删除Google 账户之前的信息”“由于特定原因,信息会长时间保存”等规定十分模糊,没有明确的保存时间或确定该期限的标准。①参见邹珊、傅思宇、罗珏等:《GDPR 数据主体同意制度剖析及应对策略——以谷歌案为例》,《成都理工大学学报(社会科学版)》2020 年第1 期。这种强制授权的情况致使被迫同意APP 对自身浏览数据、身份信息等数据的收集,数据主体对信息自决的自由意志根本无法实现。
其二,在数据商业利用的过程中,数据主体的个人自由也无法实现。一方面,数据收集者可以自行利用收集的个人数据,例如购物平台APP 使用“画像”技术通过分析用户的浏览记录等,对用户的性别、年龄、职业、消费需求等进行分析,以能够向用户精准推送用户可能需要的商品。另一方面,数据收集者收集数据主体的个人数据后,将数据进行加工、处理,数据主体在此过程中并不了解自身的数据会被进行何种加工和处理。对原始数据进行加工、处理完毕后形成的衍生数据也称为数据产品,数据处理者可以通过数据交易将数据产品投入数据交易市场,用以换取更大的经济利益。而在数据交易的过程中,交易的磋商和接洽完全是数据交易供应方和数据交易需求方达成,并没有数据主体的介入。也就是说,数据主体并不了解自身数据被采集、处理、利用后的最终流向。是广告个性化服务的操作信息被分散到几个文档中,使得用户无法知道这一操作涉及哪些服务、网站和应用程序,也不知道其中嵌入和组合的数据量且未向用户提供其用于个性化广告的个人数据来源的明确信息。数据主体在数据的利用过程中,尤其是原始数据加工后形成的数据产品,如何加工、如何处理、如何交易、如何使用,数据主体的知情权和同意权都非常有限,其对数据享有的自由伦理更是无法实现。
三、数据交易中的利益伦理
利益是指在一定的社会形式中由人的活动实现的满足主体需要的客观存在,它是伦理学的客观基础。从伦理学的视角看利益,其核心问题就是正确调节个人利益与社会整体(共同体)利益的关系。②参见李建华:《伦理学是利益均衡之学》,《上海师范大学学报(哲学社会科学版)》2022 年第2 期。
(一)数据交易中的利益伦理的内涵:数据利益
数据交易是一种经济活动,因此在数据交易中需要关注各方利益关系。利益伦理是数据交易伦理的一个重要维度。尽管数据交易活动有着诸如发挥数据经济价值、促进经济繁荣、便利人民生活等社会性目标,这些目标的存在使得数据交易的主体有着一定的共同利益。但是,考虑到数据交易具有复杂性,各方利益主体因其在数据交易中分工和地位的不同,利益并不完全一致。因此有效协调交易活动中的各方利益、各种利益关系也是数据伦理所要解决的基本问题之一。数据利益伦理的核心是正确调节数据交易中各主体利益与社会整体利益的关系,要求实现数据交易中各主体利益与社会整体利益的均衡。均衡是一种调节方式,其调节的特殊性在于,由“有利方”或“多利方”向“不利方”或“少利方”平衡,从而避免“穷者更穷”“弱者更弱”。①参见李建华:《伦理学是利益均衡之学》,《上海师范大学学报(哲学社会科学版)》2022 年第2 期。
数据交易提供的数据要素关系到数字经济的发展,关系到社会整体利益。一方面,数据作为新的生产要素,是社会财富的新的源泉,数据的价值在流动中实现。数据交易作为数据流动的重要方式,在数据交易的过程中,数据价值得到实现,社会财富得以增长,社会经济得以繁荣和发展,这些会带来全社会的数据红利,增加全社会的整体利益。另一方面,数据利用便利人民的生活,在改善民生、增强人民福祉方面发挥了重要作用。如实践中“画像”技术的发展和成熟使得各种购物软件、网站推荐等实现精准推送,节约用户浏览的时间成本;智慧出行产品为用户选择出行路径提供了准确的指引,为社会大众的交通出行提供了极大的便利。
数据交易中供应方、需求方、交易平台各主体也有其各自利益。数据交易的供应方收集、加工数据形成数据产品,收集、加工等数据活动使得数据上附着更多的价值,供应方在数据交易中将这些附着价值转换为经济利益,实现自身财富的增长,利益目标得以实现。数据交易的需求方则通过数据交易对获取需要的数据产品进行利用,利用方式包括以数据产品为生产资料进行再加工,也包括将数据产品用于管理以强化管理能力,还包括将数据产品用于生活消费满足生活需求。无论何种利用方式,均可以使得数据产品发挥更多的价值,实现数据需求方的价值目标。数据交易平台,通过为数据交易双方提供服务而获得了相应的经济收入,其利益目标也能得以实现。
(二)数据交易中有违利益伦理的具体表现
数据交易是数据商业价值的实现。在数据交易中,因数据交易所产生的收益归数据供应方所有,而数据主体作为原始数据的生产者并不能在数据交易中获得经济利益,这就造成了数据交易中数据主体、数据供应方和数据需求方三方利益不平衡的问题。归根结底,这一问题的产生是因为数据权属不明确。数据权属问题关乎数据市场化配置及报酬定价,直接决定了数据的流动、分享,影响数据背后的利益分配、数据安全和数据产业发展。②参见彭辉:《数据权属的逻辑结构与赋权边界——基于“公地悲剧”和“反公地悲剧”的视角》,《比较法研究》2022 年第1 期。
在数据权属的法律规定上,我国当前的数据立法并未厘清数据保护和利用过程中的权属界定这一关键问题。《中华人民共和国民法典》规定了对数据的保护,但并未明确数据权属归属③《中华人民共和国民法典》第127 条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。;《网络安全法》侧重网络空间中数据使用安全的规范;《数据安全法》虽然提出建立健全数据交易管理制度以规范数据交易行为,但更多的是强调数据安全指引,并未涉及数据权益划分。①参见李岩:《“虚拟财产权”的证立与体系安排——兼评〈民法总则〉第127 条》,《法学》2017 年第9 期。
在数据权属确定上,学术界存在着诸多观点。有学者认为用户个体数据的权利配置应归于其本人,强调只有获得用户的“知情同意”,平台公司才有权开展数据收集、加工与整理,从而形成对用户数据的“绝对保护”模式。②参见石丹:《大数据时代数据权属及其保护路径研究》,《西安交通大学学报(社会科学版)》2018 年第3 期。但此种过于绝对保护的模式并不能完全契合数据时代的需求,增加了数据收集、处理的成本,在一定程度上会遏制数据经济发展的活力。另有学者认为数据保护与利用的框架体系的构建必须从以用户为中心向以平台为中心转移,平台对于所获得的数据应享有完整的所有权。但这种模式则会对数据主体的个人信息保护,尤其是隐私权保护带来较大的挑战。持“共有说”观点的学者则认为在数据产业的权利配置层面上,应兼顾各方对于数据产业价值的贡献,不能简单赋权用户所有或平台所有。但此种认知和理解仍未突破既有模式的困局,在实践中很难实现个人信息保护和数据经济价值发挥的平衡,要么过分强调个人信息保护,要么过分强调数据经济价值的发挥。持“国家所有说”的学者认为强调国家对数据相关权益的保护义务及其落实,以适应当下“数据经济”市场化变革的时代要求,解决资源的合理使用与公平分配问题,实现公共利益保障和数据经济高效发展。但赋予国家所有则必然导致国家垄断全部数据资源,竞争关系瓦解,市场消失,对技术创新和公共福祉的增加产生抑制性后果,这与要素市场开放所秉持的“推动数据资源的市场化流通”的宗旨相悖。③参见彭辉:《数据权属的逻辑结构与赋权边界——基于“公地悲剧”和“反公地悲剧”的视角》,《比较法研究》2022 年第1 期。
在数据交易中,数据交易的供应方获取数据主体的原始数据,对原始数据进行加工、整理,并进行“清洗”,形成的数据产品具有商业属性。作为数据主体的个人对原始数据中所包含的个人信息有保护的需要,而作为数据交易供应方则对数据产品有商业化利用的需要。数据交易中,个体之间的利益平衡,即数据主体和数据收集、处理者的利益平衡,是开展数据交易以及其他数据利用活动开展的不可避免的需要解决的核心问题。同时,如何平衡社会公共利益和个人利益之间的关系,协调实现社会公共利益与数据主体、数据供应方和数据需求方等个体的利益平衡,也是数据交易中需要直面解决的利益伦理问题。
四、数据交易中的数据伦理问题的法律规制建议
数据安全伦理、数据自由伦理和数据利益伦理,构成了数据伦理的三大维度。数据交易中数据伦理的失序有必要纳入法治的轨道,通过科学立法予以规范,通过严格执法予以约束,通过公正司法予以保障,通过全民守法予以实施。
(一)建立数据交易中的数据伦理审查机制
数据交易的运行模式主要是以数据交易平台为核心建立的交易模式,数据交易平台作为中介机构承担着一定的监管职责①《中华人民共和国数据法》第33 条规定:“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。”;同时,作为数据处理者,数据交易平台又承担着数据安全责任。因而,由数据交易平台建立数据交易中的数据伦理审查机制,对数据交易中的数据安全伦理、数据自由伦理进行全面监管,既存在必要性又存在着可行性。
1.数据交易平台应建立数据伦理审查机构。伦理审查机制主要是科研机构伦理审查机制,是基于社会公众对各类非人道地对待人类受试者或实验动物的科研行为的道德关注而设立的。②参见李建军、王添:《科研机构伦理审查机制设置的历史动因及现实运行中的问题》,《自然辩证法研究》2022 年第3 期。1974 年,美国建立了对生物医学和行为研究中的人类受试者进行保护的国家委员会,以期明确涉及人类受试者研究活动开展的基本伦理原则,并对如何保护生物医学及行为研究中的人体受试者提出切实可行的建议。该委员会1979 年发布的《贝尔蒙报告: 保护研究中人类受试者的伦理原则和方针》提出,要将尊重人、有益或有利性、公平作为进行人体实验的基本价值原则和研究规范,并就这些伦理原则如何应用于知情同意、评估风险和利益、受试者选择等做出明确规范③[美]马修·萨尔加尼克:《计算社会学: 数据时代的社会研究》,赵红梅、赵婷译,中信出版社2019 年版,第304-305 页。转引自李建军、王添:《科研机构伦理审查机制设置的历史动因及现实运行中的问题》,《自然辩证法研究》2022 年第3 期。。
数据交易平台作为数据交易的核心机构,应当积极承担数据伦理责任,建立相应的数据伦理审查机构,通过机构明确职权、支撑伦理审查工作,构建完善数据伦理审查机制。数据伦理审查机构的人员构成,应由数据交易平台人员、交易双方人员以及相应的专家构成,全面承担进行数据伦理审查的职责。
2.数据伦理审查机构主要审查数据交易是否符合安全伦理和自由伦理。安全伦理和自由伦理是数据交易中的个人信息保护问题。这一问题在数据交易中具有典型性。数据伦理审查机构充分应用知情同意原则,解决数据交易中的数据自由伦理问题和安全伦理问题。
数据伦理审查机构首先要审查交易的数据是否包含个人信息或来源于个人信息架构后的数据产品。如用于交易的数据中包含个人信息,应要求数据提供方清洗、脱敏后再用于交易。其次,审查用于交易的数据涉及的个人信息收集时,是否充分保障数据主体的知情权,是否告知数据主体所收集数据的目的、范围、用途、方式和权利救济等事项。同时,审查数据主体的“同意”是否是知情、明确、特定、自由的;数据主体作出“同意”的意思表示是否建立在对数据收集的目的、范围、用途、方式等有明确认知的基础上;“同意”是通过明示还是默示、沉默的方式作出;数据收集者收集的数据是否用于特定数据处理的目的。数据主体在表示同意时,是否能够作出真实的意思表示而享有真正的选择自由,是否允许数据主体自由拒绝和撤回其同意而免遭不利后果。④参见邹珊、傅思宇、罗珏等:《GDPR 数据主体同意制度剖析及应对策略——以谷歌案为例》,《成都理工大学学报(社会科学版)》2020 年第1 期。
3.数据伦理审查机构审查方式应以形式审查为主、实质审查为辅,以常态审查为主、临时抽检为辅。数据伦理审查机构是数据交易平台建立的内部机构,并非具有监管职责的监管机构,就其人员、能力都不足以承担全面深入的数据伦理审查,因而数据伦理审查方式应以形式审查为主。在数据交易前进行审查,要求数据提供方出具书面材料,确认其提供的数据不会侵犯个人信息权益,如有来源于个人信息的数据产品,已经按知情同意原则充分告知数据主体并取得了数据主体的同意。这一形式审查应采用常态检查的方式,针对每一笔交易的数据逐一进行。
同时,数据伦理审查机构还可以采用临时抽检的方式,对拟交易的数据进行实质审查,以作为常态审查的补充。实质审查时,可以秉持穿透原则,一方面穿透数据提供方直接到数据主体,另一方面穿透数据产品直接到原始数据状态的个人信息,以核实数据提供方是否按照知情同意履行义务。当然,对于数据伦理审查机构能否实际做到实质审查,还取决于数据交易平台的技术核查能力,需要相应的技术以保证实质审查的实现。
(二)通过明确数据权属解决数据利益伦理问题
在数字经济快速发展的时代背景下实现发展和保护的平衡,解决数据利益伦理问题显得尤为重要。从法律层面对数据交易中的利益伦理问题加以明确是必然选择也是题中应有之义。
在数据交易中,因数据交易所产生的收益归数据供应方所有,而数据主体作为原始数据的生产者并不能在数据交易中获得经济利益,这就造成了数据交易中利益不平衡的问题。平衡数据交易中的各方利益关系,是推动数据交易稳定向前发展的前提。解决数据交易中的利益伦理问题,关键在于明确数据权属。当前立法上对数据权属并未有明确规定,学界也对此众说纷纭。
明确数据权属,既要考虑到数据主体提供原始数据所应有的利益,也应考虑到在原始数据加工、处理成为数据产品的过程中数据处理者投入的劳动力、资金和技术等成本,注重数据处理者经济利益的维护。由此看来,“共有说”观点更能体现此种利益平衡理论,这部分学者认为在数据产业的权利配置层面上,应同时兼顾各方对于数据产业价值的贡献,不能简单赋权用户所有或平台所有。但也有人指出此种观点的短处在于实践中很难做到实现利益平衡,要么过分强调个人信息保护,要么过分强调数据经济价值的发挥。①参见彭辉:《数据权属的逻辑结构与赋权边界——基于“公地悲剧”和“反公地悲剧”的视角》,《比较法研究》2022 年第1 期。因此,要通过立法,不断完善相应的法律法规,对数据权属予以明确,依据数据兼具人身属性和财产属性的特点,在立法上强调数据主体的人格利益保护,肯定数据主体和数据处理者依贡献分别对原始数据和数据产品享有财产权益。
(三)推动公益诉讼以实现数据伦理的司法救济
在司法中推动利用公益诉讼,实现个人信息收集时“知情—同意”原则的落实,对个人信息侵权行为进行有效打击,保障数据主体的人格权益。2021 年4 月22 日,最高人民检察院发布检察机关个人信息保护公益诉讼典型案例,为个人信息保护提供了新的路径。公益诉讼的主要目的是维护公共利益,《民事诉讼法》第58 条规定:“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。”这一“列举+开放”式规定为公益诉讼介入其他损害社会公共利益案件提供了可能的规范依据。个人信息具有公共属性,表现为社会成员通过个人信息与他人建立广泛联系、个人信息是重要的生产要素和个人信息是社会管理的基础与重要工具三个方面,因此,对个人信息的侵害不仅仅是对权利人权益的侵害,更是对社会公共利益的损害。
利用公益诉讼手段保护个人信息,符合司法实践。无论利用公法保护还是私法保护,都具有一定的局限性。就前者而言,通常情况下,大规模侵害个人信息的损害后果并不严重,难以达到启动公法保护程序的要求,公力救济功能的发挥就很有限。即便侵害个人信息的行为造成比较恶劣的后果,构成行政处罚或刑事责任,也达不到从社会层面救济受害人的效果,因为承担行政或者刑事责任的罚金通常是上缴国家。①参见张新宝、赖成宇:《个人信息保护公益诉讼制度的理解与适用》,《国家检察官学报》2021 年第5 期。就后者而言,面对网络运营商,用户个人的认知、技术等能力弱,处在不平等的地位,私益保护已经无法解决这一社会性问题。网络信息侵权具有特殊性,一次侵权行为往往涉及上亿条信息主体,单条个人信息所承载的价值较低,个人面临诉讼程序启动受限的问题。高技术手段使得侵权隐蔽、处理迅速、极易删改,还导致举证困难、侵权主体难确定等诸多问题。公益诉讼能够平衡个人信息保护领域用户个人的不平等地位,弥补私益救济的不足。②参见薛天涵:《个人信息保护公益诉讼制度的法理展开》,《法律适用》2021 年第8 期。
