数据治理——精细科学的政策平衡
发布时间:2019-01-02 02:40:53 来源: 本站 浏览次数:219
数据泄露、滥用、歧视这些负面事件如同天空中的阴霾,不断加深着人们对数据治理的悲观情绪。
的确,这一年被数据泄露贯穿始终,规模日益扩大。从上一年末,美国最大的三家个人征信机构之一Equifax数据泄露,到年中中国最大的多品牌酒店集团——华住数据泄露,再到上周万豪酒店集团的数据泄露,每次数据泄露的规模均在亿级以上;
数据泄露之后的滥用问题也在持续升级。Facebook丑闻中,“剑桥分析”公司涉嫌利用来自Facebook的用户数据影响多国大选,美国国会到目前为止已连续召开十三场听证会,深度拷问平台的数据处理规则;
国内媒体爆出的 “大数据杀熟”现象,让经济学上的价格歧视问题被抛向更广泛的公众视野。现实中,平台利用大数据来攫取消费者剩余是广泛存在的么?如果是,监管者和消费者又该如何应对?
除了牵动普通消费者的数据焦虑,国家层面的数据安全也在面临全新挑战。3月美国Cloud法案出台,美国单边提出了新的跨境数据执法框架,尽管这是对传统低效的跨国执法合作机制的一种探索改变,但仍然增加了一国数据安全的不确定性。
问题本身让人沮丧,但更令人沮丧的是,我们似乎还未找到开启答案的钥匙。
5月25日,欧盟GDPR正式生效,为数据治理带来新的曙光。欧盟版解决方案坚守保护公民基本权利理念,全面提升个人数据保护力度,对几乎所有数据处理环节建立了严格规则,以实现对个人的极致保护。
事实上,在2016年4月GDPR正式颁布后的两年过渡期内,GDPR带给数据治理的积极影响已在不断显现。它促使企业、政府、医院、学校等任何开展个人数据处理的机构,在数据保护方面给予更多的投入。以2017年的调查为例:富时350指数公司平均为GDPR增加43万英镑的支出,世界500强企业平均增加100万美元。更重要的是,GDPR推动了全社会更加关注个人数据保护问题,在过去的两年,我国政府部门、消费者协会针对隐私政策开展了多次评测活动,引导企业、机构不断提升数据处理活动的透明性。
(一)但作为制度新生儿,GDPR本身也带来许多争议和尚待细化的领域,其中典型包括:
1. 宽泛的域外适用范围,不仅对欧盟各成员国的数据保护监管机构带来执法挑战,同时在学界也引起了公法、国际法学者的质疑。GDPR生效后,有许多中小企业因为担心过高的法律风险,宣布停止向欧洲地区服务,而部分企业则实时调整了商业模式,以华盛顿邮报为例,索性在欧盟推出收费版本。正如其宣传词所说:“请支持伟大的新闻业”。如果邮报不能通过用户cookie来实现广告收入,则用户应当为新闻内容直接付费。
2. GDPR引入的个人权利也陷入与其他基本权利的紧张冲突之中。包括被遗忘权与知情权、言论自由权的冲突,数据可携权与竞争法的冲突。
3. GDPR数据处理可解释性的要求对人工智能产业,特别是对深度学习、神经网络学习提出严峻挑战,也使得欧盟包括自动驾驶在内的AI产业的发展陷入了更多困境;
4. 与区块链技术的范式完全相反。区块链本质核心是分布式、去中心化的,而GDPR的制度范式却承袭了之前欧盟1995指令中心化的规范范式(即制度规范都指向核心的数据控制者和数据处理者)。根据欧盟委员会和法国数据保护机构的观点,新兴的区块链技术也必须要适用GDPR。因此,在未来GDPR和区块链的技术之间,仍将继续存在极大的合规差距。尽管从技术眼光看,区块链完全可以为数据保护提供一种新的技术解决方案。
(二)而随着GDPR的执行推进,有越来越多的现象和实证数据显示,GDPR实施对于欧盟数字经济竞争力带来了显著的负面效应,这甚至是欧盟立法者当初在打造GDPR时未曾预料到的。
1. GDPR严格的合规要求巩固了大企业的优势地位。大企业更有实力和资源投入合规工作,而中小企业被迫退出市场,无形中为大企业收割市场提供了便利。以在线广告市场为例,GDPR生效以后,谷歌由于具有更强的合规力量和产业引导力,其市场份额进一步增加[4];在云计算行业,亚马逊AWS、微软Azure等领导者在第一时间内表示可以充分满足GDPR的合规要求,对比之下,云计算市场的中小玩家却在合规竞争力上难以同步。
2. 半年来的经济数据证实GDPR对欧洲科技创新带来不利影响。上月,美国知名经济学研究机构NBER发布了一份权威研究报告,其采用严谨的计量经济学方法和真实的欧洲市场活跃度数据表明,在GDPR生效的半年以来,其对于欧洲的创新企业的发展负面作用非常明显,尤其是在中小企业融资的笔数、融资量方面,欧洲的中小企业陷入了融资的困境。
以上充分显示了GDPR的二维两面性。它在为个人权利保护带来积极力量的同时,也对技术创新和持续发展产生了令人无法忽视的负面效应。这表明,对于数据治理,我们仍需要探索究竟如何设计制度规范,以承载我们更多的期望目标。
尽管美国43个州和特区均制定了数据泄露通知法案,但从Equifax到万豪集团,美国一年来从未走出数据泄露的梦魇。而今年4月,Facebook数据泄露事件也将数据治理问题推向了最高潮,美国海内外已经举办数十场听证会,全方位深度拷问平台数据处理规则。
长久以来,美欧数据保护政策体现着明显的差异:欧盟主张统一和严格立法,而美国倾向分散和宽松立法;欧盟强调政府部门对于个人信息保护的监管权力,而美国则主张政府的有限干预。这些差别反映了二者对于个人信息保护政策基础理念的分歧。
即使是最为激进的加州消费者隐私保护法案(CCPA),也比GDPR要宽松很多,也更加注重消费者保护的实际效果和促进企业发展,技术创新之间的平衡。这最显著地体现在以下三方面:
第一,CCPA更大程度上豁免了中小企业。CCPA仅涵盖收入超过2500万美元的企业,以及销售大量个人信息的数据经纪人。而GDPR下,几乎所有任何规模的实体都受约束,市场里的所有玩家都必须遵守几乎相同的高标准的合规要求,这也解释了为什么GDPR生效后为什么会带来对中小企业带来了市场的负面扭曲效应。
第二,加州隐私法仍然保持了美欧个人数据保护法的最大差异,延续了opt-out原则。具体而言,依据GDPR,在绝大多数商业化场景下公司收集、处理消费者个人数据之前必须要获得消费者的同意,即“opt-in”模式;而在加州消费者隐私法中,对于16岁以上的消费者的大部分的个人信息处理,采取美国一以贯之的“opt-out”模式,即除非用户拒绝或退出,则公司可以继续处理用户的个人信息。这体现了美国一直以来在数据保护方面的务实思路。“opt-out”模式对消费者而言更为真实有用,同时对新进入市场的企业的发展阻碍也更小。
第三,在同意机制上,加州法相比于严格刚性的GDPR,体现出灵活弹性的特征。正如我们在上面所介绍的华盛顿邮报的例子,依据GDPR,企业在无法通过行为广告来补贴业务的情况下,选择直接向用户收费模式,则难以满足GDPR关于同意是消费者自由、自主选择的要求。而对于此问题,加州法专门留出弹性空间,其规定:消费者行使了本法规定的隐私权利,企业不得有歧视对待,但是:如果该价格或差异与消费者数据所提供的价值直接相关,则企业还可以向消费者提供不同的价格,不同费率,不同的品质的商品或服务。可见加州隐私法仍然更多地保留了市场弹性,允许企业探索其他可行的商业模式。
和欧美在数据治理领域的制度探索一样,我国也正面临同样的制度智慧考验。民法典分编——《人格权》草案已正式从底层制度尝试回应隐私和数据保护问题,《个人信息保护法》、《数据安全法》也已列入本届人大的立法日程。
对于欧美提供的制度样板,我们难以作出孰优孰劣的价值判断。因为任何特定的法律制度,都是建立在特定社会的历史背景下,决定于特定的文化、经济、社会背景。
但任何良好的政策设计必须充分考虑各种因素,数据治理政策也不例外。在过去的20年中,我们越来越深刻的感受到政策讨论背景的历史变化——“个人信息保护”话题的边界正在不断扩展,向内涵更加丰富的“数据治理”转变。
个人信息作为传统法律保护的客体,一直处于静态而稳定的法律关系之中。不论是欧盟视作基本人权、还是美国作为消费者权利保护,权利保护的法律逻辑一直是清晰的。
然而,随着云计算、物联网、AI的快速发展,数据资产在经济、社会活动中的核心和辐射作用愈发凸显。“数据治理”正在以更宏大的议事命题浮现,形成了围绕数据资产的隐私保护、创新竞争、安全主权等更复杂化、更多维的公共政策讨论场。
这些复杂因素代表了从三个视角出发的利益诉求:
第一、 从个人视角出发的权利保护诉求;
第二、 从产业视角出发的创新、发展、竞争需求;
第三、 从国家视角出发的数字经济国际竞争力和数据主权安全需求。
这三个视角并不是孤立存在的,而是彼此紧密联系、互动影响。这决定了我们当下的数据治理政策,也应当采用多维的思维进路,从个人权利保护,产业发展创新,以及国家数据安全和竞争力进行充分考虑和推演,任何从单点角度出发考虑的政策必定会带来不合理的结果。特定的数据治理政策会同时带来正负面效应,这是大量的隐私经济学研究文献所证明的通识。
在当前中美数字经济竞争格局下,数据治理政策的讨论应当是多维框架、多因素互动的模式,增强来自产业界、监管界和学界的互动和讨论,用更开放的视角,更精细化和科学的方式设计更好的政策,更有效地放大数据保护的正向能力,更小地弱化它带来的负面的效果,实现权利保护、产业发展、国家竞争力提升的多赢结果。
