前言
近日,《中国数据安全法》和《个人信息保护法》相继出台。作为我国数据保护和网络监管史上里程碑式的事件,这是值得被铭记的时刻。个人信息需要保护,这是我们业已达成的社会共识。但是这一社会共识的深度和广度却是不确定的。首先,欧盟2018年出台的GDPR《通用数据保护条例》和美国加州2018年出台的CCPA《加州消费者隐私法案》珠玉在前,我国今年的数据立法虽不能说是拾人牙慧,却在很多内容上的确是对该两部法案进行了借鉴,如《数据安全法》要求重要数据的处理者设立专门的数据安全负责人和管理机构来处理相关事宜;又如《个人信息保护法》中对于未成年人数据的保护内容借鉴了CCPA中的对未成年人数据所采取的特别保护手段。另一方面,中国《中国数据安全法》和《个人信息保护法》大多数条款都比较宽泛,在实操层面依然具有不确定性,很多内容的解释仍需要等待未来实施细则的出台。这一切都显示,数据立法作为一个新生事物,依然处于其初始的成长阶段,其立法目的虽已有明确的大方向,却尚未就所有具体的规定达成共识。因此,厘清相关的数据立法,探索其未来可能会遇到和需解决的问题,不仅对各大企业的合规工作有很大的指导价值,也有利于个人真正意义上理解自身数据的价值,以便更主动的保护自己的利益不受侵害。
《中国数据安全法》总则第八条开宗明义的的指出:“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。”
这说明,立法者已然意识到个人数据的搜集和使用可能给个人和社会带来的广泛社会影响,限制这些数据使用可能产生的不利影响,正是其目的。而我们从《个人信息保护法》的一些相关条款,也能一窥其背后的价值判断。
(一)《个人信息保护法》第24条解析
1. 《个人信息保护法》第24条:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”
第24条第一款针对的是目前市场上常见的“大数据杀熟”行为。即对软件或者产品的老用户或会员设置比新用户更高的价格。这利用的是人的普遍心态:一般人如果习惯了某一产品的使用,那么在其他同类产品无法提供明显差异化或者服务提升的情况下,该个体并不会轻易尝试其他同类产品。因此,即便在服务提供的过程中价格有所提升,老客户基于思维惰性也会继续使用同一产品。长此以往,对同一产品使用时间越久,客户不仅不能享受优惠,反而将比新客户付出更大的代价。
该款的规定事实上从法律层面上肯定了一种伦理共识:利用他人的信任攫取比产品一般价格更高的价值属应谴责的行为。我们有理由展望这一规定在未来从数据领域延伸至其它领域。
第二款规制了基于自动化决策而推送信息的行为。该行为被广泛应用于各大视频网站:当客户点击某一特定视频内容进行观赏,该网站便大批量推送同类型的视频,直至客户看到的首页几乎都是同一类的内容。
这大约是每个人都有的经历。不得不说,广泛使用这种推送方式的发明者并不怎么聪明:1.用户对某一内容进行点击,很可能仅对这一特定话题和内容好奇,该用户对同类的其他内容并不感兴趣;2.用户对这一话题感兴趣,并不代表他对其他话题不感兴趣,大量的推送严重挤压了用户接触到其它其可能感兴趣内容的机会;
而大家不妨仔细思考一下,这种方式可能对用户乃至社会产生的不利影响:1.它鼓励人接受同质化的知识内容。人们失去了接受更广泛维度信息的机会,这会使人变得狭隘。在社会上人与人的沟通将变得困难;2.你所接受的内容基本都是对方希望给你看到的内容,在信息方面你完全成为网站的奴隶,丧失了自主权。这一点往深了说可以展开很远:在信息爆炸的时代,我们每天在各种媒介中看到的信息,有多少是自己主动去接触的,又有多少是被动接受的呢?这个世界每天发生了无数的事件,我们每天早上打开手机看到的那些新闻,是我们内心真正感兴趣的新闻吗?还是我们仅仅因为媒体的推送而相信这些事件就是最重要的事件呢?很多没有作品也没有演技的演员成为了顶流,那些真正有理想也有演技的演员,有什么渠道可以使观众认识自己呢?
一个简单的消息推送的模式,却可以引申到人类道德的基础问题。
第三款看起来是比较有趣的。其开放性的语言为日后的具体应用提供了多重可能性。首先我们需要更具体的定义什么是“对个人权益有重大影响的决定”,“给予说明”。什么样的决定对个人的权益构成足够重大的影响呢?给予说明的时候企业需要说明到什么程度呢?在科技领域,“算法”是企业的核心竞争力,可能是企业最重大的商业秘密。因此企业不可能将自己如何基于自动化决策作出商业决定的方法合盘托出。那么要向用户说明到什么程度才能算没有侵犯到用户的权益呢?另外,用户又是否能理解“算法”这一非常专业化的词汇和相关的概念呢?这一切都亟待新的社会共识的产生。我们甚至可以展望,在不远的未来,关于数据保护和“算法”的基础知识能走进基础教育,成为一个社会伦理基础的一部分。
比起第二款的内容,本款所涉及的自动化决策领域更加宽泛。美团以及很多外卖软件都利用算法,针对骑手的送餐路线和时间数据进行优化。其结果是,对骑手的送餐时间要求在过去三年里缩短了三分之一。巨大的压力之下,骑手只能以最快的速度全力以赴,造成了许多交通隐患。而由于送餐不及时遭到客户差评,骑手迁怒于客户的情形也是屡见不鲜。本质上,这是冷冰冰的数据测算给活生生的人所带来的深度异化:人们对问题根源的理解产生了偏差:如果是由老板直接下命令规定送餐时间,骑手也许会对老板提出异议;但是,由于送餐时间是由机器和算法决定,那么,骑手就只能迁怒客户了。这只是数据分析给人们生活带来的很多巨大影响中的其中一例。
(二)《个人信息保护法》的强制性规定
《个人信息保护法》给企业提出了许多之前数据方面的法规没有提出的强制规定,其对个人信息保护的力度之大,应当肯定。这也体现了国家对数据治理方面的决心和信息,下面试举两例。
“第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。”
一般而言,中国互联网企业的对外联系渠道较为单一。除了商务合作所需的联系之外,其他的联系均需要通过前台预约等形式完成。流程较为正式。公布个人信息保护负责人联系方式将对企业外联的整体形式产生不小的影响。在该条款的影响下,可以预见未来较大规模企业将设立个人信息保护部门,并与客户进行大量沟通。这对于增进互信,就数据使用过程中的数据保护达成共识无疑将产生巨大的推动作用。
“第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。”
您有时候会接到不知从哪而来的陌生电话,有时候会在莫名奇妙的地方发现自己的个人信息和联系方式:毫无疑问,您的个人信息被泄露了。该条强制要求企业在个人信息泄露风险产生之处便及时通知当事人,无疑是值得肯定的巨大进步。但是,当用户发现自己的信息被泄露,其从何判断该信息的泄露源头呢?防信息泄露的举证、监管和具体要求,仍有待进一步的个性化立法。毕竟,不同的软件、不同的算法都需要用到完全不同的数据保护策略,成本也大相径庭。
数据合规工作,充满了跨学科互动、无数的细节和个性化处理。我们将再也无法以一刀切的方法处理这项工作,面对挑战,在原则性规则仍然占主导的今天,企业要如何应对呢?其实最古老的良心正义和换位思考也能够给企业带来启示:想一想自己作为用户,希望自己的数据被以怎样的方式对待和处理呢?
而对于用户而言,认识到数据可能对自己的生活产生的颠覆性影响,主动拥抱挑战,勇于提出质疑,无论是对自身权益的维护还是整个制度的进步,都是大有裨益的。
在大数据的时代,科技的发展远远走在了伦理和法律的前面,我们准备好迎接挑战了么?