数据伦理框架:国际对话与中国化的构建路径
2024-03-11李卓卓张楚辉
李卓卓,张楚辉
(1. 苏州大学社会学院档案与电子政务系,苏州 215123;2. 苏州大学智能社会与数据治理研究院,苏州 215123;3. 苏州大学中国特色城镇化研究中心,苏州 215123)
0 引 言
当今时代,数据已成为重要的生产要素和国家战略性资源,其在有力促进科技创新和经济社会发展的同时,也引发了数据隐私、数据霸权、数字鸿沟、数据权利等触及传统伦理价值的问题,数据伦理已经成为数据治理的一个焦点议题。
纵览全球,世界各国为了应对数据应用带来的价值冲突和伦理困境,制定了一系列纲领性的法律和政策,典型代表有欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)、英国《数据保护法》(2018)(Data Protection Act 2018,DPA)、美国《统一个人数据保护法》(Uniform Per‐sonal Data Protection Act,UPDPA)等。然而,数据环境复杂多变,涉及数据方面的伦理问题更具挑战性[1],法律的固定性和时效性决定了其在一定程度上会滞后于现实需要,一个国家的法律框架往往不足以完全应对数据伦理挑战[2]。于是,如何确保在处理数据伦理问题时,既有“硬法”(强制性的法律法规)指导又有“软法”(非强制性的伦理准则)协助为数字化转型护驾,是需要研究的现实问题。在现有的法律法规体系下,构建一套与法律相匹配的数据伦理框架成为各国实施数字化转型的必选项。2018年,德国成立数据伦理委员会,以欧盟GDPR、德国《联邦数据保护法》(Federal Data Pro‐tection Act,BDSG)等法律为底座,发布了关于数据权利保护等内容的伦理建议[3]。同年,英国发布《数据伦理框架》(Data Ethics Framework),该框架基于DPA的理念,对合理使用数据提供了伦理指引,丰富了数据治理体系[4]。2020年,美国总务管理局(U.S. General Services Administration,GSA)发布了《数据伦理框架》(Data Ethics Frame‐work)[5],该框架是“联邦数据战略”与“2020年行动计划”的一部分。此外,有些国际组织也相继提出了数据伦理框架,致力于应对隐私泄露、数据滥用等伦理问题。自2020年以来,我国相继出台了《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等法律,对伦理问题虽有所涉及,但并未做出专门的伦理说明,伦理关注不足,也缺少参与国际伦理对话的蓝本。
针对伦理问题的紧迫性,本文聚焦于数据伦理框架,旨在探讨以下问题:①数据伦理框架的基本定位和作用是什么,以及我国是否有必要构建数据伦理框架?②国外数据伦理框架的基本结构、运行模式有何特点?③我国的数据伦理框架该如何建设?如何构建既能参与国际伦理对话,又能适合我国法律体系和伦理国情的数据伦理框架?为了回答上述三个关键问题,本文采取文献调研、内容分析等方法,以“现状调研—规律发掘—中国化路径”的逻辑展开研究,在较为完整的意义上比较国外数据伦理框架,明确数据伦理框架的定位,厘清数据伦理框架的运行机制,以期为我国构建具有中国特色的数据伦理框架提供参考,以积极适应我国治理能力和治理水平的现代化。
1 国内外研究进展与实践现状
近年来,大量的伦理原则、准则等如雨后春笋般涌现,这表明人们意识到伦理的重要性。然而,伦理原则相当抽象,单纯以伦理原则的形式对指导伦理决策的帮助有限[6]。不仅要讨论需要什么样的伦理原则,更需要探讨如何有效地应用和实施伦理。因此,数据伦理框架应运而生。
数据伦理框架被认为是计算机与信息伦理学(computer and information ethics,CIE)学科中社会实践的一种表现形式[7]。此外,数据伦理框架旨在解决技术系统或服务开发和设计早期阶段的伦理问题。它不仅针对项目开发者,也针对参与利用数据或应用算法系统的人员,能够指导政府部门或个人在收集、管理和使用数据的过程中做出合乎伦理的决策。总体而言,数据伦理框架能以其简洁、清晰等特点,较好地融合伦理原则,有效服务于实践应用。
关于数据伦理框架的定义,学界和业界虽然尚未有较为明确的界定,但对数据伦理框架的价值、内容以及构建模式等方面予以了重点关注,发表了相关的研究成果。具体而言,主要集中在以下三个方面。
一是面向政府数据治理的数据伦理框架,以欧美国家为代表。英国政府最早从国家层面发布了《数据伦理框架》,旨在为公共部门提供指导,明确如何合理且负责任地使用数据[4]。同一时期,德国数据伦理委员会发布了《数据伦理委员会的意见》(以下简称《意见》),该文件为德国联邦政府制定了数字社会的伦理标准和具体指引,特别提及数据方面的伦理问题[3]。随后,美国总务管理局发布了《数据伦理框架草案》,该草案构建的数据伦理框架包括了四个部分,从总体上概述了数据伦理的七项基本原则,描述联邦政府如何以合乎伦理的原则使用数据,并列举了实例说明如何指导联邦机构开展数据活动[5]。荷兰政府则采用数据伦理决策援助框架[8],该框架主要用于审查政府数据项目,有利于处理数据开发利用过程中的伦理问题。此外,欧盟[9]、经济合作与发展组织(Organization for Eco‐nomic Cooperation and Development,OECD)[10]等国际组织特别重视数据伦理方面研究,欧洲数据保护专员公署已将数据伦理纳入其工作范围中,并积极建设数据伦理框架。有些非营利性质的民间组织也致力于在欧洲法律和价值框架的基础上,确保数字世界中的人类价值,发布了相关数据伦理框架[11]。总体而言,虽然各国的数据伦理框架在构建目的、思路、基本构成等方面存在共同点,但很多研究仍处于探索阶段,尚未形成国际统一的通用模板。各国家框架之间的差异也较为明显,这种差异不仅体现在伦理框架结构,也体现在伦理背后所支撑的法律体系的差异。但现有研究少有对框架之间的共识与差异进行深层次比较和探讨,从整个法律体系上审思数据伦理框架的定位和作用存在缺失。
二是特定场景中的数据伦理框架研究。健康医疗、科学研究、社交媒体[12]等应用场景中的数据伦理问题较为突出,因而探索一套数据伦理框架应对伦理困境则成为研究的发力点。在医疗场景中,通过开发数据伦理检查表并结合数据伦理委员会的工作,可以提供一个框架来启动关于数据伦理的对话[13],以应对医疗数据隐私、医疗敏感数据泄露等伦理风险;在科研环境中,数据伦理问题一直被认为是影响科研人员行为的关键因素[14],通过分析开放科研环境下的数据伦理框架,既有助于科研人员明晰数据伦理原则、规范自身行为,也有助于营造良好的开放科学创新生态[15]。在不同的应用场景中,尽管各数据伦理框架的制定来源不同、侧重点不同,但各个框架皆有一套既定的价值观,这一套价值观与计算机伦理及信息伦理之间具有密切联系,通过批判性话语分析可以发现,它们都着重强调要维护人类价值,数据伦理框架也需考虑纳入合适的价值原则并进行优化[7]。此外,运用服务设计方法也可以为数据伦理框架的落地提供更具有实用性的指导,进而增强数据伦理框架的实践性[16]。上述研究主要侧重于实践应用,阐述了特定场景中出现的数据伦理问题,但对数据伦理框架与国家上位法的关系缺少进一步理解,并未在数据伦理框架与法律及相关伦理问题之间建立联系,理论层面的研究相对薄弱。
三是嵌入数字素养教育中的数据伦理框架研究。数智时代,自然界和人类社会的一切行为被“数据化”,量化一切成为可能,往往会导致人的自主性缺失。人类面临着数据隐私泄露、个人行为“被选择”等伦理风险。所以,提高数字素养和数据伦理的需求具有普遍性[17],亟须建立数字教育体系来提升数据伦理意识[12]。数据伦理作为数据科学中的核心要素,应当将其作为一个横向的组成部分贯穿于数据全生命周期中。基于上述思路,相关研究构建了一套适用于数字素养教育的伦理框架[18]。此外,通过开发一套数据伦理在线模块,将数据伦理框架及实际案例相融合,也能够为数据伦理教学实践助力,有利于提升学生的数字素养[19]。上述研究侧重于对数据伦理框架的实施推进过程中的经验总结,但仍缺少对数据伦理框架运行机制的进一步阐释。
基于此,本文通过比较国外数据伦理框架,总结数据伦理框架构建的深层规律,明确国际伦理对话中数据伦理框架的中国化构建路径,以便为国际视野下我国数据伦理框架的理论和实践确定锚点。
2 现状调研
2.1 数据伦理框架的选取
为识别和掌握数据伦理框架的研究情况,本文以Web of Science核心合集和中国知网等数据库为基础,对关于数据伦理框架的学术文献进行搜索、筛选和评估;以“数据伦理框架”作为检索词条,在Google、Bing等搜索引擎上进行信息检索。筛选和收集数据过程如下。首先,在中文文献选择上,以“SU=数据伦理AND SU=框架”和“主题:(“数据伦理”) and (“框架”)”分别在中国知网和万方数据库中进行检索,分别得到22篇和20篇文献。英文文献通过Web of Science数据库,以TS=(“data ethics”) and TS=(“framework”)为检索式进行主题检索,获得文献43篇。在上述检索过程中,不限制文献类型、时间范围,仅限制语言类型为中文或英文。其次,为避免遗漏重要文献,对纳入研究的文献所提供的参考文献列表进行追溯检索,最大可能性获取与数据伦理框架相关的所有文献。为了搜集一些结构化的数据伦理框架,使用Google、Bing等搜索引擎进行一次非系统性的信息搜索,将来自公共机构、非官方性质的组织等的框架皆纳入分析和筛选范围。最后,经过多次的筛选、比较和分析,选择了文件内容相对丰富、体系完整且可获取的八个数据伦理框架纳入最终研究。具体结果如表1所示。
表1 国外数据伦理框架一览表
本文选取上述框架主要有以下原因:第一,上述数据伦理框架都是由欧美各国政府制定,并发布于本国政府官方网站,来源权威且具备代表性;第二,上述数据伦理框架结构完整,既有明确的目标及受众,也有较为完善的总体原则以及具体的行动指南,框架总体上层次分明且规范,呈现欧美各国政府对数据伦理及其框架的深刻理解;第三,上述数据伦理框架有相应的法律支撑,能为其提供法律效力。
2.2 数据伦理框架的分析
本文以上述选定的八个数据伦理框架文本为基础,展开了初步分析。一方面,根据表1,通过对各数据伦理框架的实际内容进行比较分析,发现各框架主要包括预期目标、面向对象、总体原则和行动指南四个组成部分;另一方面,现有研究指出,政府主导的数据伦理框架倾向于具有重要的法律支撑[18],同时,数据伦理框架所制定的基本原则侧重于实践应用,有利于伦理评估过程,并且区别于传统伦理原则[7]。此外,数据伦理框架需要发挥其应对伦理问题的功能,并能为实际问题提供具体行动指南。基于此,本文进一步明确数据伦理框架在构建过程中需要深入考虑的三个层面:①数据伦理框架的法律支撑;②基本伦理原则的作用;③数据伦理框架需要应对的伦理问题。
3 数据伦理框架的基本结构与逻辑
3.1 数据伦理框架的主要构成和内容
虽然欧美各国数据伦理框架的名称、组成部分以及框架设计等方面存在不同,但是在预期目标、受众、价值观、总体原则等方面有诸多共同之处,如表2所示。基于上述分析,可以归纳出政府主导的数据伦理框架的基本特征。
表2 国外数据伦理框架的主要构成和内容
(1)预期目标及受众。从预期目标的相关陈述来看,欧美各国数据伦理框架达成了一致,都旨在指导政府及公共部门在数据的收集、管理、利用等过程中做出负责任的、合乎伦理的行为。英国中央数字和数据办公室(Central Digital and Data Office,CDDO)提出,在规划、实施和评估新政策或服务时适当和负责任地使用数据,需要一套数据伦理框架为政府及其他公共部门提供指导。德国数据伦理委员会侧重于探讨数据治理的一般标准、数据权利和义务等,旨在为德国联邦政府制定一套伦理标准,为其数字社会建设提供具体伦理指引。美国旨在通过数据伦理框架指导联邦雇员在涉及与数据相关的活动时,做出符合伦理要求的行为,并鼓励各级政府将框架中的基本原则应用到日常数据处理活动中,根据实际情况做出合乎伦理的决策。立足不同的国情,制定数据伦理框架的预期目标都旨在提升政府部门对数据伦理的重视,并指导其负责任地参与数据活动。
从受众上看,数据伦理框架面向的对象主要是在政府及公共部门中从事数据相关工作的人员。OECD认识到数据伦理的价值和实践意义,通过制定相关原则,为公职人员在从事数字政府项目、开发数字产品和提供数字服务的过程中履行数据伦理规范提供支持。此外,数据伦理框架也涉及数据处理方面的人员,尤其是面向在数据生命周期各阶段(收集、处理、传播、使用或存储等)处理数据的相关人员,不仅包括首席数据官、数据统计员、数据分析师等,也包括公众。
(2)对数据伦理的界定。对数据伦理概念和内涵的界定是建立数据伦理框架以及制定相关伦理原则的前提,体现了各国对数据伦理的认识。英国对数据伦理的界定来源于牛津大学教授弗洛里迪的研究,并沿用了他的观点:数据伦理“建立在计算机和信息伦理基础上,主要研究和评估与数据相关的道德问题(包括生成、记录、管理、处理、传播、共享和使用)、算法(包括人工智能、人工代理、机器学习和机器人)以及相应的实践(包括负责任的创新、编程、黑客和专业代码),以便制定和支持道德上良好的解决方案(如正确的行为或正确的价值观)”[23]。美国的数据伦理框架则认为数据伦理是“在收集、管理或使用数据时,为保护公民自由、最大限度地降低个人和社会的数据使用风险、实现公共利益最大化等目的,进行适当判断和问责的依据”[5]。其他框架虽然并未明确界定数据伦理的内涵,但通常都立足于数据治理的视角,将数据伦理视作重要考量。
(3)价值观及总体原则。数据伦理框架必须以一系列的价值观和总体原则作为指导,任何与数据相关的项目或活动都应当遵守这些原则。从价值观上看,倡导以人为本的价值观是各政府主导的数据伦理框架的共同点。从总体原则上看,各数据伦理框架所提出的伦理原则既具有普遍性,也存在特殊性。英国数据伦理框架提出了三项总体原则,包括透明度、问责制、公平性[4]。美国的数据伦理框架提出七项原则,包括遵守法律法规和行业道德标准,尊重公众、个人和社区,尊重隐私和保密性,诚实正直的行事,实行问责制,保持透明度,了解数据科学领域的新发展[5]。德国数据伦理委员会围绕“数据”提出了数据治理的一般伦理原则,包括前瞻性的责任、尊重有关各方的权利、数据质量需要符合其用途、以利益为导向的透明度等[3]。虽然各框架在内容表述上有些许差异,但相关数据伦理原则已达成共识,如人的尊严、公平正义、隐私安全、透明度、责任和权利等。同时,上述伦理原则适用于公共卫生事件中,瑞士联邦政府和苏格兰政府在各自涉及医疗卫生领域的数据伦理框架中也明确提出尊重个人权利、尊重隐私、实行问责制等原则。
(4)行动指南。从行动指南上来看,欧美各国数据伦理框架的行动指南围绕总体原则、价值观、实际工作等方面展开。结合数据利用过程中遇到的伦理方面的挑战,美国数据伦理框架草案通过实例示范了如何在整个数据生命周期内应用该框架,以及如何使用该框架给出的建议作为伦理决策的参考。比如,在“保持透明度”这一原则中,美国的框架草案强调实施清晰记录分析方法与模型的标准,并与利益相关者的共享。其他数据伦理框架在制定各条原则之后,也罗列了与各原则相配套的具体行动指南,例如,OECD在“完整管理数据”这一条原则下,强调公职人员的数据管理行为需要按照法律、法规、国家标准等文书来管理数据,不能滥用自身职权。
3.2 数据伦理框架的深层次分析
结合上述对数据伦理框架基本特征的分析,进一步探讨数据伦理框架的深层逻辑,主要从数据伦理框架的法律支撑、基本原则的作用、数据伦理问题的表现形式三个层面进行分析。
(1)数据伦理框架的法律支撑
数据伦理的研究离不开对法律法规的探讨,数据伦理框架的制定也有相关法律作为支撑。各框架所纳入的法律法规充分考虑了两个方面:一是考虑国际公法的普遍性和权威性,各框架的核心价值观基本遵循国际上与数据保护、数据治理等相关法律,将相应法律条文纳入考量范围;二是立足本国在数据治理等方面的特殊性,将本国涉及数据相关伦理问题的法律也纳入框架。
以英国《数据伦理框架》(以下简称《框架》)为例,英国主要考虑的法律支撑包括两个方面。第一,遵守欧盟《通用数据保护条例》,并遵循该条例在数据治理、数据保护等层面的思路。GDPR创建严格的个人数据和隐私保护框架,注重保护个人及个人信息的权利和自由。英国不仅在相关法律修订中沿用了GDPR的相关条款,而且在伦理框架的制定上也重视对个人数据的保护,纳入了GDPR的相关原则。例如,《框架》指出在任何数据项目中,如果涉及使用个人数据,那么需要遵守GDPR的原则,充分保护自然人的基本权利和自由,尤其是自然人享有的个人数据保护的权利[24]。同时,《框架》沿用了GDPR的第5条第1款(c)“数据最小化”思路,强调使用最低限度的、必要的数据,以实现数据处理的预期结果;《框架》中提出的问责制这一原则,来源于GDPR的第5条第2款以及第30条,旨在强调个人在数据采集、处理、利用等过程中确保有详细记录,个人有责任提供使用了某些数据的证明;《框架》也采纳了GDPR第35条中数据保护影响评估条款,旨在探讨当个人的权利可能面临由新技术带来的高风险时,需要数据从业者进行风险评估。第二,随着英国启动脱欧事宜,其数据治理方面的法律演进也趋于考虑本国的核心议题。2018年,英国政府修订并更新了1998年的《数据保护法》,全新的《数据保护法》虽然也沿用了GDPR的数据保护方面的条款,但是其主要目的是为英国的公民、企业等适应数据量激增的数字时代提供法律支撑。因此,《框架》遵循了2018年《数据保护法》中对个人隐私及数据权利保护的重视,相比于GDPR有了更高层级的要求,从伦理层面提供了更明确的保障。
美国《数据伦理框架草案》(以下简称《框架草案》)同样具有丰富的法律支撑。单从隐私保护的立法层面来看,美国于1974年正式制定了《隐私权法》,该法案作为美国隐私保护的基本法律之一,详细规定了联邦政府机构收集和使用个人数据的边界范围。随后,联邦政府陆续制定一系列隐私保护方面的法律法规,涵盖了各行业、各群体,如《金融隐私权法》《儿童在线隐私权保护法》《个人数据隐私和安全法》《消费者隐私保护法》等。因此,《框架草案》提出“尊重隐私和保密性”这一条原则,吸纳了上述法律的法治观念,旨在为隐私问题提供伦理方面的保障。此外,包括《文书削减法》《信息质量法》《电子政务法》《机密信息保护和统计效率法》等在内的法律法规,都为《框架草案》提供了支持。
综上,各国数据伦理框架的背后皆有法律法规的支撑,数据伦理框架也是各国法律体系中的一个重要部分。当法律法规不能完全处理较为具体的数据伦理问题时,则需要数据伦理框架充当“中介”角色来桥接具体伦理问题与法律。数据伦理框架既可以为相应法律解决具体问题提供伦理层面的说明,也可以为具体伦理问题提供相关法律的参考。
(2)基本原则的作用
数据伦理相关的法律法规为数据相关活动划下了一道红线,为数据安全提供保障,但法律往往跟不上数据生态变化带来的风险,因此,需要从宏观上发挥基本原则的作用,并从细节上规范数据活动中的行为。
数据伦理框架的基本原则主要来源于法律法规,是对各法律条款的细化。这些基本原则虽然并不具备“硬法”的约束力,但通过对这些原则配套行动指南,从而指导相应的实际工作,有助于公共部门纳入其伦理决策,并通过细化、具体的原则,从技术层面指导相关行动。以OECD的数据伦理原则为例,OECD作为一个重要的国际性组织,其伦理原则具有代表性,具体从以下三个方面进行探讨。
首先,从基本原则的制定上,其基本原则产生于各成员国和非成员国的数字政府等项目的实践,贴合实际问题,符合实际需求。同时,各原则也源自OECD现有的一系列法律文书,包括《关于公共诚信的建议》《关于人工智能的建议》、OECD隐私准则以及《关于加强数据获取和共享的建议》草案等。
其次,从基本原则的实施上,该框架在各条原则之后,详细列举了与各原则相配套的行动指南。例如,在使用数据的过程中,特别是在使用相关个人数据的情况下,该框架提出公职人员应该要具体说明数据的使用目的,也提出了具体的行动方案,对该伦理原则进行了说明,包括:①在项目书中应该清晰地阐明需要收集、访问、共享或使用数据的理由;②确保用户需求的同时,也要保证其他利益相关者的个人数据不受侵犯等。
最后,从基本原则的意义上,其核心目的在于解决实际工作中的数据伦理问题。通过分析OECD的数据伦理原则,可以发现其探讨的三个主要问题:一是对数据权利、数据主权等权利问题的关注,政府是否需要适当承认个人或社区对数据的相关权利;二是对数据基础设施对社会生态环境的影响,如各种数据中心的建立是否会引发生态问题;三是数据滥用对人的自主性以及对公众信任度的影响,可能危害政治生态。
总的来说,基本原则的清晰性、完整性、针对性和可操作性对于数据伦理框架的制定十分重要。各数据伦理框架的基本原则一方面源自权威性的法律法规,另一方面能适应各国或各组织间的实际需求;同时,其作为数据伦理框架中的关键一环,为解决相关数据伦理问题提供了思路和方案。
(3)数据伦理问题的表现形式
数据已成为当前社会生产劳动的动力,由此而产生的伦理问题在抽象意义上可以表现为在社会活动的过程中,由数据深度应用引发的人与人、人与数据、人与机器等伦理关系的变化。这些变化又以更为具体的社会秩序混乱等形式展现于人类社会,其本质是人与人、人与数据以及人与机器之间的关系失衡。数据伦理框架则旨在应对诸如隐私泄漏、数字身份、数据安全、数据滥用、数字鸿沟等伦理问题。
在上述数据伦理问题中,隐私问题最为突出,隐私已成为数据伦理研究中的核心问题之一[25]。数据伦理框架对于隐私问题的关注主要体现在以下两个方面。
第一,对隐私政策的合规性、有效性的探讨。隐私政策的表达方式与内容方面的不合规问题得到证实,其主要原因包括内容繁杂、语言晦涩、监管不透明等[26]。这些模糊、不准确的表达对个体的信任度产生了反作用,也正是隐私政策的不合规进一步导致现有的很多隐私政策的有效性不佳。个人对于浏览隐私政策往往会选择回避,从效果上看,隐私政策并未产生信任而是加深了用户的隐私担忧。针对上述问题,美国《框架草案》结合实际工作,为个人隐私、敏感数据的保护提供了一系列指南,如定期更新、披露相关隐私保护政策,尽最大可能降低个人信息安全风险;建立隐私泄露的应急处理机制,保护数据提供者的个人隐私等。《框架草案》在涉及隐私的部分也参考了美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)的隐私框架。
第二,在突发公共卫生事件中,对隐私数据过度收集问题的探讨。德国数据伦理委员会在其框架中指出,隐私泄露的潜在威胁主要包括对个人敏感数据进行全盘收集。事实上,对个人隐私的过度收集问题由来已久,尤其是在面对突发公共卫生事件时更为突出。瑞士联邦政府的《个性化健康研究中负责任数据处理的伦理框架》[20]重点探讨了公共医疗卫生领域的个人隐私保护问题。该框架指出个人隐私数据的保密性必须得到保障,个人有权利决定对自己的哪些信息进行保密、哪些信息进行披露,只有在特殊情况下,如突发公共卫生事件或紧急医疗需要,才可根据适用此情况的法律来收集个人信息。然而,当面对突发事件时,有可能因为公共部门的处理不当,个人在一定程度上既失去了应有的权利,也失去了法律保护这道屏障。以新型冠状病毒感染流行期为例,在流调信息的采集与公开过程中曾发生隐私泄露问题,部分感染者的个人隐私遭到侵犯。由于各相关公共部门的流调信息披露不当而被网民窥探隐私,甚至被网暴,感染者可能因为担忧信息公布后受到二次伤害而不愿如实上报,为防疫工作埋下隐患。2021年,苏格兰政府制定《数据和情报网络的伦理框架》[22],该框架的主要目标之一是以数据和智能网络(The Data and Intelli‐gence Network,D&IN)为基础,构建数据伦理框架来有效管理新型冠状病毒感染流行过程中的相关数据,并强调保护苏格兰人民的隐私,避免过度收集个人数据,保护人权。
4 我国数据伦理框架的构建路径
经过上述分析,本文发现数据伦理框架的构建是一项较为复杂的工作,需要综合考虑国际公法及本国法律体系,创设两条主线用于处理数据伦理问题,并考虑对框架的运行进行监管评估,即回应“如何构建”这一问题。研究总结了我国数据伦理框架的构建路径,如图1所示。在构建过程中,自上而下形成由法律体系、两条主线、组织监管评估组成的构建路径。其中,法律体系对数据伦理框架的形成具有重要的支撑作用,两条主线有利于应对具体伦理问题,组织监督评估则保障数据伦理框架的落实及后续的完善。
图1 我国数据伦理框架的构建思路
4.1 伦理主线
从伦理主线来看,法律体系为数据伦理框架提供了法理支撑,而数据伦理框架则为法律补充相对应的伦理说明,进而处理具体伦理问题,形成“法律体系—伦理框架—伦理说明”为一体的以数据伦理问题为中心的运行机制。
首先,法律体系是数据伦理框架的构建过程中首要考虑的要素,相应的法条对数据相关活动具有强制性约束作用。我国数据伦理框架构建应优先考虑本国法律法规透露的法治理念。自“十四五”规划实施以来,我国相继完善和推出《数据安全法》《个人信息保护法》《网络数据安全管理条例》等多项法律法规,明确了对数据的规制原则,对隐私、数据安全、数据泄漏等伦理问题提供了法律保障,反映了我国数据治理工作中所秉持的态度、最基本的要求和底层的伦理逻辑。
以《数据安全法》为例,作为我国第一部专门规定数据安全的法律,该法具备维护国家安全和社会公共利益的公法定位,符合总体国家安全观的整体性要求,对数据伦理框架的构建提供了法理支撑,也为应对数据安全、数据保护等伦理问题提供了法律指引。一方面,《数据安全法》的多款条文遵循了数字发展服务于人的理念,充分尊重人的主体性,体现了以人为本的思想[27]。第八条规定,“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理”;第二十八条规定,“开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理”。另一方面,《数据安全法》从国家层面强调了个人隐私保护、数据跨境管理等,第三十八条明确规定,“对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供”。这为数据伦理框架要突出解决的隐私、数据泄漏等问题提供了依据。
其次,我国数据伦理框架可以借鉴欧美国家的模式,明确数据伦理框架的预期目标和面向对象,制定数据伦理框架的价值观和基本原则,从宏观层面应对伦理问题,并提供相应伦理说明。具体内容主要包括以下两点。
第一,明确预期目标是构建总体的数据伦理框架的前提。基于我国的国家法律,结合国家数字化战略、数字化转型中的理念,明确了落实法律法规中所倡导的安全与发展的平衡这一目标。申言之,开展相关数据活动,既要推动数据技术、数字经济、数据开放共享等方面的蓬勃发展,又要兼顾国家数据主权安全、社会公共利益安全、个人数据安全,也需要指导各组织机构及个人在数据的存储、使用、加工、传输、提供、公开等过程中做出合乎伦理的决策,以协助相关机构履行职责。
第二,基本原则是数据伦理框架运行的核心内容。数据伦理原则是构成数据伦理框架的核心的、概括性和抽象的普遍性准则,其建构可以考虑两个方面。一方面,基本原则可参考上述国外数据伦理框架中的核心原则,如透明度原则、问责制原则、公平公正、尊重隐私等。联合国教科文组织于2021年11月发布《人工智能伦理问题建议书草案初稿》[28],其中提及公平、隐私、责任等伦理原则。由此可见,这些核心原则的重要性得到普遍共识,需要在数据伦理原则设计中得到突出的体现。另一方面,基本原则也需要参考我国的相关伦理准则。2022年3月,中共中央办公厅、国务院办公厅印发了《关于加强科技伦理治理的意见》[29](以下简称《意见》),该《意见》明确了科技活动必须遵守的科技伦理五条原则,包括增进人类福祉、尊重生命权利、坚持公平公正、合理控制风险以及保持公开透明。因此,我国数据伦理框架可将上述原则纳入考量。
最后,针对不同场景、不同领域出现的较为具体的数据伦理问题,可考虑基于特定的法律法规,通过数据伦理框架的指导,进行更为具体的伦理说明。伦理说明是对法律体系的解释及补充,通过对象化、场景化、问题化的伦理说明有利于应对具体、专门的伦理问题。伦理说明的对象化,是指考虑不同群体所面临的伦理问题。以未成年人群体为例,由于未成年人处于成长阶段,其辨识能力以及自我保护方面的能力较成人更弱,更易遭受来自数字空间带来的侵犯,对未成年人的隐私数据的保护尤为重要。因此,可以依据《中华人民共和国未成年人保护法》条款,对相关零散且原则性的规定进行伦理说明。伦理说明的场景化,是指考虑特定场景中的伦理问题。比如,在生物医药场景中,生物安全是国家安全的重要组成部分,我国对人类遗传数据和生物数据安全已上升到法律层面。《中华人民共和国生物安全法》[30]第五十五条指出,“采集、保藏、利用、对外提供我国人类遗传资源,应当符合伦理原则”。因此,需要对此展开详细的伦理说明。瑞士等国家为应对突发卫生事件时的伦理问题所列举的伦理说明也可作为参考。此外,虽然我国已经颁布《个人信息保护法》,但地方政府、行业组织针对个人信息保护的措施略显滞后[31],个人隐私侵犯、信息泄漏等问题依旧存在,那么针对个人信息保护方面的特定问题,需要将相关伦理说明问题化,更精细地指导个人隐私数据安全。
4.2 实施主线
除了上述伦理主线外,为了积极应对具体伦理问题,还需要辅以实施主线,将政策和标准这两个层面纳入考虑范围,其主要原因有以下两点。
第一,从政策层面来看,数据伦理应该与国家政策相联系起来,积极融入政策的实施过程,促进相关政策更完善地落地。以公共数据开放政策为例,我国政府已不断进行政策储备,将公共数据开放提升到“国家战略”地位,国家先后出台《促进大数据发展行动纲要》《国家信息化发展战略纲要》《关于推进公共信息资源开放的若干意见》《关于构建更加完善的要素市场化配置的体制机制的意见》等政策文件。我国高度重视公共数据开放中的各项工作,始终保持一种审慎的态度。但是,即使在相关法律、政策制度不断完善的情况下,依旧存在公职人员滥用数据权力等相关问题,不仅侵犯了人民权利,也侵蚀了政府公信力。因此,可以考虑将数据伦理框架与政策相结合,多层次、多方位、精细化地应对伦理问题。
第二,标准,包括国际标准或国家标准;建立与数据伦理相关的标准,研究数据伦理框架的标准化演变,有助于从实践层面指导相关伦理实践,应对伦理问题。标准的制定源自法治理念,相较于法律的固定性,标准可以不断地进行修订和更新。标准的优点表现为不断发展和完善自身,以应对新的问题并适应新的数据伦理原则的变化。国外数据伦理的标准化工具正在迅速发展,如国际组织电气与电子工程师协会(Institute of Electrical and Electron‐ics Engineers,IEEE)制定了标准文件,以帮助组织解决新兴技术的伦理困境,其中数据是其关注的核心[2];ISO/TS 17033:2019《伦理要求和支持信息——原则和要求》[32]的标准可用于验证声称以伦理方式处理数据的组织的可靠性;ISO 37000:2021《组织治理——指南》[33]的标准涵盖了与组织机构的数据和决策有关的指导,以明确负责任的伦理行为。
基于此,出于实施层面上的考虑,在既有法律体系支撑的情况下,数据伦理框架的构建需要结合具体政策以及相关标准,考虑“法律体系—政策—标准”这一主线,不仅有助于伦理问题的落地,而且在一定程度上可弥补我国目前数据伦理框架方面政策和标准的欠缺。
4.3 组织监管评估
完善的组织监管评估能更好地促进数据伦理框架开展工作,有助于推进数据伦理框架的运行以及有效落实。英、德等国家建立了数据伦理委员会,欧盟设置伦理执行官[34],其目的之一就在于对数据伦理框架的运行进行监管和评估。
数据伦理委员会的作用一般体现在三个方面。第一,可加强对数据伦理框架的监督检查,建立定期的监督检查机制。涉及数据的伦理问题极具挑战性,因为数据无处不在且较为复杂,同时数据技术迭代较快,如目前ChatGPT等聊天机器人的广泛应用,会带来全新的数据伦理问题,那么就需要新的伦理原则。数据伦理规范和准则需要每隔几年进行一次审查[1],数据伦理框架也同样需要审查。第二,提供伦理咨询,搭建及时沟通的渠道。通过伦理咨询,强化政府、专家、社会组织和公众之间的交流,形成能够应对不确定性数据伦理问题的协商机制。第三,发挥教育指导作用。数据伦理委员会有责任为数字素养和数据伦理的提升,提供教育方面的指导和咨询。
此外,根据上述数据伦理框架的伦理评估情况的分析,凸显较多的数据伦理框架缺少明确、统一的评估方式。英国的《框架》采用了伦理评估表这一评估方式,设置了一系列评估问题,并按0~5分进行评分,个人也可以通过评估表对数据活动中的决策进行伦理评估,分析其决策行为是否合乎伦理。我国的数据伦理框架也可以结合本国实际,形成一套符合自身需求的评估方式。
5 结 语
本文从基本结构和深层逻辑的层面系统梳理了数据伦理框架的研究进展和实践现状,主要贡献包括:一方面,比较了国外成熟的数据伦理框架现状,总结其规律和构建进路,发现数据伦理框架呈现以法律体系为支撑,以基本原则为核心,以行动方案为指南的特点,形成“法律体系—伦理框架—伦理说明”为一体的以伦理问题为中心的运行机制;另一方面,据此提出我国数据伦理框架的构建路径,明确了由法律体系、伦理主线、实施主线、组织监管评估组成的中国化路径。未来需结合我国道德文化传统与价值追求,进一步讨论适用于我国的数据伦理原则,解答我国数据伦理问题,以期搭建更加丰富、完善的数据伦理框架,为我国争取伦理话语权、参与国际伦理对话提供蓝本,为推进我国治理体系和治理能力的现代化提供伦理支撑。