作者:张凌寒:法学博士,北京科技大学副教授,华东 法大学数字法治研究院特聘研究员。
新发布的《数据安全法(草案)》第4章专章列出了数据的安全保护义务,目的在于“保障数据安全,关键是要落实开展数据活动的组织、个人的主体责任”。需要承担数据安全保护义务的主体中,无论是从处理数据的数量、规模来看,还是从对整个数据经济产业的影响力来看,平台无疑是最为重要的主体。《数据安全法(草案)》与我国其他法律法规共同设置的平台的数据安全保障义务,对平台的运营成本、合规方式、法律责任承担产生了重大影响。本文围绕网络平台的数据安全保障义务,梳理我国平台数据安全保障义务的制度框架与发展脉络,探讨平台何以承担数据安全保障义务,其面临的实践困境,以及如何设置合理的平台数据安全保障义务。
网络平台数据安全保障义务的发展脉络与制度体系
《数据安全法(草案)》第4章第25条至第33条搭建了平台数据安全保障义务的制度框架,完善与发展了既有的制度框架,与其他法律法规共同形成了具有我国特色的平台数据安全保障义务体系。
(一)我国平台数据安全保障义务的发展脉络
平台的数据安全保障义务并非《数据安全法(草案)》的首创,而是我国10余年来多部法律法规、 策性文件累积构建而成的一个内涵丰富、动态发展、规范层次多样的制度体系。
阶段,年以前平台数据安全保障义务停留于事后追责阶段,主要体现在《侵权责任法》和《信息网络传播权保护条例》的相关规定中。平台责任的主体为“网络服务提供者”,如网络信息造成了侵害他人民事权利的法律后果,网络平台可以主张并未提供内容,或者已经尽到合理注意义务而适用“避风港”规则免除直接侵权责任。互联网平台责任的国际范本是美国国会于年通过的《数字千年版权法》,该法确立了 的“避风港”原则和“红旗”原则,后这一原则也被世界多国立法采纳。
第二阶段,-年,以网络安全与信息安全为目标的平台网络安全保护义务阶段。随着互联网平台的信息控制能力日益增强,年以来,国家网信办密集立法并明确提出平台主体责任的理念,对于虚假信息采取“强双责”的方针——强化网络平台的主体责任与社会责任。平台不仅明知不法信息存在需承担责任,更是要对信息承担主动监控义务。年的《网络安全法》为平台设置了网络运行安全保护义务与网络信息安全保护义务,而网络运行(关键基础设施的运行)以及网络信息安全中,数据安全也是其必然包含的题中之义。
第三,-年,平台数据安全保障义务的急速扩展阶段。这一阶段《电商法》《民法总则》的颁布,以及年5月国家网信办的《数据安全管理办法》等系列规定扩展了平台的数据安全保障义务。一方面,增加了个人信息保护义务内涵,平台数据安全保障义务从防止泄露与非法使用扩展至为用户提供信息更正与删除。另一方面,平台对于数据活动的要求进一步提高,提出了诸如不得歧视、遵守社会公德与伦理要求,也对数据收集、使用等活动提出了细化的规范。
(二)平台数据安全保障义务的三个维度
《数据安全法(草案)》与《网络安全法》《电子商务法》《民法典》等法律,以及《信息传播保护条例》《数据安全管理办法》等 策法规以及诸多技术标准,共同构成了我国较为完备的平台数据安全保障义务制度体系。
平台数据安全保障义务的 个维度,是平台的数据安全管理制度。法律直接深入平台公司的治理结构,要求平台设立一系列制度落实数据管理责任,具体包括:开展数据活动应当按照规定建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;设立数据安全负责人和管理机构;开展数据活动应当加强数据安全风险监测、定期开展风险评估,及时处置数据安全事件,并履行相应的报告义务加强数据风险监测并准备安全事件预案等。平台数据安全保障义务的第二个维度,是平台需履行个人信息权利保护义务。开展数据活动必须遵守法律法规,尊重社会公德和伦理,有利于促进经济社会发展,增进人民福祉,不得违法收集、使用数据,不得危害国家安全、公共利益,不得损害公民、组织的合法权益。强调平台数据的收集方式、目的和使用范围,并且不得超过必要的限度。平台数据安全保障义务的第三个维度,是平台的监管配合义务。如作为数据交易中介机构必须审核交易双方的身份,并留存、审核交易记录;在国家机关进行侦查调取时的配合义务。
近几年的密集立法建立了一个动态扩展的平台数据安全保障义务体系。这一制度体系的扩张表现但不限于以下方面:
,数据安全的理念从静态安全转向静态与动态安全并重的系统性安全理念。数据的静态安全是指平台应当采取技术措施和其他必要措施确保信息安全,在发生或者可能发生信息泄露、损毁、丢失的情况时,应当立即采取补救措施。年《网络安全法》提出了网络信息安全与网络运行安全并重的理念,丰富了“安全”的范畴。随后两年内,安全的含义扩张至数据的有序流动、公民合法权利的保护、社会公共秩序和伦理道德的遵守等层面。
第二,制度层次从法律法规扩展到包含 策、技术标准、场景规范等丰富的规范体系,包含民事责任、行 监管责任等跨部门法律责任。由于数据活动场景化、细分化,一般性的法律法规已经无法满足动态多样的技术迭代,技术标准在规范体系中的地位日益重要,逐步形成了以法律法规为一般规则,以 策性文件和技术标准为细化补充的平台数据安全保障义务规范体系。
第三,平台数据安全保障义务从结果型义务,转向事前事中事后多环节覆盖全数据生命周期的义务。平台不仅需对数据安全的结果负责,也需履行日常数据安全运行的义务。此外,平台的数据保障义务的对象不仅包含用户数据主体、监管部门,还对第三方接入平台的数据安全提出了明确要求。无论从数据安全理念、数据安全的制度层次还是数据安全保障义务的类型来说,平台的数据安全保障义务体系正在逐步丰富与多样化。
(三)平台数据安全保障义务的理论基础及其局限
传统民事责任理论中无力解释这样一个涵盖了多个法律部门,包含着民事责任、行 监管与管理制度的平台数据安全保障义务体系。
,数据安全保障义务保护的法益远超“安全”。从适用范围来说,侵权法意义上的安全保障义务适用于各种间接侵权领域。我国《侵权责任法》所规定的公共场所经营者的安全保障义务,是对于物的安全保障义务和特定社会活动的安全保障义务的综合。平台作为数据活动的开启者和主导者对数据活动领域所潜在的危险负有防免义务,即安全保障义务。然而,数据活动中产生的系统风险,不仅包含技术导致的交易异常、数据泄露在内的技术风险,也包含着歧视性定价、搜索排名和隐私侵害等数据利用活动中的道德和伦理风险。平台的数据安全保障义务所保护的法益远远大于侵权法意义上的安全保障义务。
第二,合理注意义务标准模糊。安全保障义务的来源,是科技发展不断拓展人们社会交往的范围与深度。由于每项社会交往的开启都可能对他人产生潜在的危险,因此每个开启或主导社会交往之人都应该适当注意相关人员的安全。安全保障义务的设定是为了解决不作为与损害后果之间的因果关系认定存在的困难。“合理注意义务”的标准,指某项安全保障措施在技术上已经成熟且不会给义务人造成很大负担,并在风险防范上收益成本上符合比例原则,方可加诸于义务人。平台的数据安全保障义务设定了宽泛的平台注意义务。既要求平台不得违反数据安全制度要求,更要求平台从事收集、加工、交易等数据活动符合社会道德与科技伦理。这不仅要求平台尽到数据安全制度的注意义务,更要求平台积极追求符合社会公共利益结果的发生。
第三,平台自动化运行带来的归责难题。人工智能时代,平台收集、加工、处理数据的过程依赖算法自动进行,如同自动运行的机器。按照传统侵权责任理论,基于“平台是技术中立的介质属性”,平台责任的“行为人与责任人相分离”,平台的自动化趋势似乎必然导向更轻的平台义务。然而,与此种推论相悖,各国近年来不约而同地加强了平台责任,平台的数据安全保障义务呈现日益加强的趋势。年欧盟通过《欧盟版权指令》,第13条要求Facebook、YouTube等平台积极监测其用户的内容,加强版权审核。年美国国会参议院的《停止支持互联网审查法案》主张取消大型科技公司在《通信端正法案》第条之下所自动享有的责任豁免。我国的数据安全保障义务体系中,平台作为数据处理者需遵循的规范越来越严格,并需在协助 府监管中扮演更为积极的角色。
传统侵权责任理论无力解释网络平台数据安全保障义务,因此我国的网络相关立法提出了“谁运营谁负责”的“主体责任”概念,成为不断施加平台数据安全保障义务的理论基础。那么,这样一个糅杂性的平台安全保障义务体系的理论基础究竟是什么?
平台在数据社会生产中的地位:核心经济组织
人工智能时代,数据成为了社会生产要素,对于平台法律地位和义务来源的观察也应转向数据生产的视角。平台在数字经济社会生产中的核心经济组织的角色,其在社会生产中扮演的多重角色,是平台承担丰富的数据安全保障义务的基础。
(一)人工智能时代的社会生产:数据生产
随着社会生产范式从物理的工业时代向数字经济转变,越来越多的物理资源被数字化,而新兴的数据作为生产要素也被提取、加工、流转,进入了数字经济的社会生产过程。
1.数据生产要素的提炼:个人信息收集。数据从何而来,并如何作为生产要素被提取并参与到社会生产的过程中的?个人信息作为生产要素被大型互联网平台利用强大的商业监控行为广泛获取,并将其作为公司资源,用以获得更多的投资。用户个人信息的获取和收集行为早已存在,但随着数字经济的兴起,由个人信息而来的数据方成为企业竞争的核心资产。早在年,美国的网景公司就开发了名为“cookies”的用户在线追踪技术,它使得任何可连接网络的人都可以成为数据收集者,极大地扩大了公司参与商业监控的机会。在线数字追踪技术被广泛应用于浏览器、网络游戏、搜索引擎、定向广告等领域。随着技术的发展,通过追踪互联网用户来获取个人信息的手段越来越隐蔽,并不断深入到个人移动设备的逻辑和硬件层。用持久的、秘密的数字追踪技术和 的硬件标识符进行用户个人信息的获取已经成为普遍现象。也恰恰是由于个人信息和行为数据的经济价值,诸多的移动应用、社交网络的设计者们努力将行为数据提取的机会 化, 限度让用户保持登录状态并延长用户在线时间,造成了日益严重的网络成瘾问题。
2.数据生产要素的加工:用户画像与预测。数据生产要素是如何通过加工转化为利润的呢?在数据经济的时代,大规模、自动化地从数据主体身上提取数据流的平台架构与算法,发挥着生产资料加工厂的作用,通过用户画像和用户行为预测,大规模、自动化处理从人身上提取的数据流的平台发挥着信息时代精炼厂的作用,将这些数据流转化为最适合工业规模开发的形式。
广告企业、数据经济人和平台公司利用数据分析能力,能对大量数据进行筛选、分类和审问,并采用新的自动化技术来识别模式,预测用户行为,并根据新数据不断调整模式和预测。以脸书与抖音等社交媒体为例,其可通过算法根据网络信息的兴趣标签、质量标签等以及用户的阅读习惯、浏览记录等,抽象出标签化的文章模型和用户模型,并经过排序、分类、关联和过滤,自动筛选出有效信息,进行长期、短期等多种模式的用户画像。
“大数据杀熟”是典型的利用用户个人信息与行为数据进行差异化定价,来榨取消费者剩余的数字经济生产模式。个性化的定向广告、搜索引擎在线内容排序,短视频平台内容推送等等,均是对于数据生产要素加工的结果。
3.数据生产要素的流转与交易。数据生产要素的流转与交易,既可以传统的转移数据占有权益的方式进行,更可以符合数字经济生产的模式进行。一种重要的方式,是将高价值的消费者群体确定为平台公司、数据中介及其客户的剩余价值提取目标,并将这类消费者的数据在各类广告商、应用开发商和雇主之间分享。平台通过对于数据的提取与加工,进行用户画像,生成了具有概率性行为特征的“数据替身”可供其他访问者预测型操作,如投放广告或推送商品等。之后,企业和其他各类组织可以购买这些数据的访问机会,并将这种消费者数据作为自己生产过程的投入。
(二)平台地位:数据生产的社会经济核心组织
在平台责任的理论研究中,网络中介、基础设施、平台等术语经常被交替使用。但是平台早已超越了网络服务提供者的角色,更不局限于经济基础设施,而是成为数据的社会生长过程中兼具多重角色的社会经济组织概念。
1.平台是数据生产要素的提炼加工者。数据作为生产要素的价值只有在平台的运作中才能够体现。如果把数据比作是农作物小麦,平台则是小麦被收集、研磨、精炼为面粉的加工厂。数据对于用户来说,只是互联网浏览的副产品,但是对于平台来说,则是重要的生产资料。用户最多能够察觉到个人数据被利用时的隐私损害,将数据所记录的隐私当做是需要防御与保护的对象,但是并不能够将数据作为生产要素而变现。只有平台才能够将个人信息与行为数据提取为生产要素,或由平台自我保留用于广告推销,或是分析后打包转卖。数据这种生产要素对于用户和平台的“价值错位”只有在平台公布财报和吸引投资时才会披露。
从传统个人权利的框架来看,平台对用户个人信息的数据化收集和加工,侵害了用户个人的隐私权,并使得人愈加工具性。然而如果从社会生产的角度来观察,个人信息的收集和加工不仅是一种隐私的侵犯,更是一种社会生产的控制模式。用户成为了被培养、处理和消费的生产资源,有学者用“数字劳动”来形容这一过程。而多种多样的数据控制者都会以平台或者接入平台的方式参与数据活动。不论是公共服务还是商业服务者,都逐渐按照平台的模式,向不特定人开放介入,动态地收集数据进行分析和匹配。
2.平台是数字经济的基础设施。平台在数字生产中扮演了数字经济基础设施的角色。首先,平台企业为社会提供统一的交易基础服务——广泛分布的计算结构。本质上这是平台用通用技术与方法调动计算力的框架(如阿里云)为社会提供基础服务。这些技术基础服务缩短了生产和消费的环节,使得价值生产速度远远超越传统组织。其次,从硬件上平台提供了硬件终端、操作系统、应用程序App;从软件上提供了行业标准、基础通信设施、金融机构(如支付宝)、交易所等。根据《网络安全法》,有相当数量的互联网平台企业可被认定为关键信息基础设施,受到特殊监管和保护。
平台因提供基础服务享有更大的竞争优势。数据脱离生产环境之后被客体化、被处理、被估价,只能依托于平台的数字经济基础设施进行,无技术能力的企业只能以接入平台的方式获得平台的数字经济基础设施服务,如外卖商家之于美团,
转载请注明:http://www.0431gb208.com/sjszjzl/3066.html
