首页
郑戈
□国家互联网信息办公室于11月14日发布的《网络数据安全管理条例(征求意见稿)》是为执行、细化和补充《网络安全法》 《数据安全法》和《个人信息保护法》等上位法而起草的行政法规。
□数据处理中的横向关系是一种无法被吸收进现有法律关系的外部性,需要公权力介入来加以规制,以避免有损公共利益、个人权利和平等、正义等社会基础价值的事情发生。
□ 《数安条例》确立了一些有针对性的规则,但似乎没有考虑到目前主流商业模式普遍的做法。主流互联网企业所利用的是行为数据,而不是身份信息。用保护身份信息的思路规制行为数据的利用,似乎有欠妥当。
网络数据安全是习近平提出的总体国家安全观的重要组成部分。我国立法机关先后制定了《网络安全法》 《数据安全法》和《个人信息保护法》等法律。国家互联网信息办公室于11月14日发布的《网络数据安全管理条例(征求意见稿)》 (以下简称《数安条例》)则是为执行、细化和补充这些上位法而起草的行政法规。
营造安全的网络数据环境
根据中国互联网信息中心的最新统计报告,我国网民人数已超过10.11亿,其中手机网民规模达10.07亿。作为一种最常见的可携带智能设备,手机将人接入互联网,使互联网变成“人联网”,即使你把手机揣在背包里,它也在随时将你的GPS定位信息等个人信息传送到“云端”,被一套“云计算”系统实时处理和分析。
有时会感觉手机在偷听你在私人场合说的话,比如你刚和家人聊过给孩子买奶粉的事情,很快就在手机App里收到奶粉广告推送。这不是错觉,而是你为了使用某个App的某项功能而授权它使用你的麦克风,用完之后,这个App仍然在手机后台运转,“监听”你的谈话。但这种“监听”不是出于窥私的动机,这些App的运营者对你的私生活并不感兴趣,处理个人信息的也不是人,而是运行算法的机器。
机器会对以各种方式获得的海量个人信息进行处理和分析,从这些反映人类点滴行为轨迹的海量数据中找出规律和模式,从而量身定制地向被贴上各种标签的人群投放特定的广告和内容,实现行为预测和行为诱导。因此,我们身处的这个数字化时代又被称为“遍布式计算”时代。
每一个智能手机用户都成了一个“量化自我”,一个被设备和网络监控、测量和管理的人。你可能生活在一个智慧城市,声音识别、人脸识别、指纹识别、掌纹识别、虹膜识别、视网膜识别、体形识别、键盘敲击识别、签字识别的生物测定装备和智能水表、智能电表、智能气表、智能保安系统遍布你的居室、小区和城市各处。这些“传感器”采集的海量个人信息被不同的数据处理者进行处理,服务于各种不同的目的,既有防疫、治安等公共服务目的,又有广告、营销等私人盈利目的。在这种现实背景下,营造一个总体上安全的数据采集、处理和流通环境便成为一种基础性的公共服务需求。
立法应关注数据处理的横向关系
数字技术和数字经济的特点使得按照传统主观权利保护模式来保护数据权益一方面文不对题,无法回应数字社会的基本现实,另一方面又会阻碍技术创新和经济发展。无论是用人格权保护模式(《民法典》和《个人信息保护法》均采用这种模式)还是财产权保护模式(《上海市数据条例》和《深圳经济特区数据条例》当中有这方面的尝试),都只涉及数据处理中的纵向关系,即数据处理者与数据主体之间的关系。但数字技术最广泛的使用方式是通过从无数个数据主体那里获取数据来得出适用于一定范围人口的行为规律或模式。
换句话说,数据处理者从甲乙丙丁那里获取数据,并不是为了针对甲乙丙丁做些什么,而是为了找出他们的行为规律,从而针对与他们属于同一群体的一群人量身定制地投放广告,推送内容、商品或服务,这个群体中包括其个人信息未被采集的张三李四。这种横向关系是一种无法被吸收进现有法律关系的外部性,需要公权力介入来加以规制,以避免有损公共利益、个人权利和平等、正义等社会基础价值的事情发生。
在这方面, 《数安条例》确立了一些有针对性的规则,但这些规则似乎并没有考虑到目前主流商业模式中普遍的做法,如果严格执行会使数字经济难以为继。比如,第四十九条要求“收集个人信息用于个性化推荐时,应当取得个人单独同意”“设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数”以及“允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外”。
行为数据规制不同于身份信息
相关数据显示,百度2020年总营收1070.74亿人民币,其中广告收入780.93亿人民币,占比72.9%。而百度并不是特例,它的商业模式在互联网企业中是通例,比如刚刚改名为M eta的Facebook上共有超过1000万广告商,它们2020年为脸书贡献了840.169亿美元的广告收益,占脸书当年总营业收入(859.65亿美元)的97.9%。相比之下,百度的非广告收入占比还算高的了。
广告商之所以愿意把钱花在提供搜索引擎和社交媒体等免费服务的网络平台上,是因为这些平台通过免费服务吸引了海量的用户,有用户就有数据,有数据就能做精准的行为分析,就能精准投放个性化广告。为了获取更多数据,平台企业会以各种方式吸引用户注意力,比如提供丰富多彩、形式多样而且免费的文字、音频和视频内容。用户花在一个平台上的时间越多,平台获取的数据就越多,其智能算法也就能被训练得更精准。
因此,“收集个人信息用于个性化推荐”是大多数互联网企业的生命线。你的每一次百度搜索、每一次百度网盘存储、每一次百度贴吧发言都会成为百度为你提供个性化推荐的数据基础。虽然这些数据从表面上看都不构成“个人信息”,因为它们看起来并不与“已识别或可识别的自然人”相关。但通过账户,或者在你未登录账户的情况下通过各种数据的整合,它们很容易和具体的个人关联起来。“单独同意”规则的起草者们所设想的个人信息可能是身份证号码、个人肖像、电话号码、家庭住址等等,但几乎没有哪个互联网企业需要通过获取这些信息来提供个性化推荐。简单地说,主流互联网企业所利用的是行为数据,而不是身份信息。用保护身份信息的思路来规制行为数据的利用,似乎有欠妥当。
同时,如前所述,个性化推荐是数字技术商业化应用所提供的最主要功能,它已经深入到数字化生活的肌理之中,人们已经很难分辨哪些推送是个性化的,哪些是非个性化的。或者说,已经习惯个性化推荐的网民,已经无法接受非个性化的推荐。抖音、快手、今日头条之所以能够吸引为数众多的用户,恰恰是因为其算法设计能够准确捕捉用户偏好,精准推送用户愿意看到的内容。“遍布式计算”一词的发明者马克·韦瑟写道:“最复杂的技术是那些隐而不彰的技术。它们把自己编织进日常生活的纹理之中,直到自己成为其中顺理成章的组成部分”,精准执行个性化推荐任务的人工智能算法正是这样一种技术。法律的目的不是创造纠纷,而是减少纠纷,对于一种已经被普遍接受并的确带来极大便利的技术,何必通过法律规则来唤醒人们的反对意识?
通过这个例子,我们看到,尽管《数安条例》有许多亮点,但其中的一些关键条款未能考虑数字经济的实际运转方式,因此缺乏针对性。这也正是征求意见程序的必要性所在。相信在社会各界人士提出的各种意见的基础上,《数安条例》能够得到完善,以更加贴近社会需要的面目呈现在我们面前。
(作者系上海交通大学凯原法学院教授、博导)
SourcePh" style="display:none">
放大
上一版
