• <output id="qgjlo"><strong id="qgjlo"><xmp id="qgjlo"></xmp></strong></output>

      1. <p id="qgjlo"></p>

        <object id="qgjlo"></object>
        <table id="qgjlo"><strike id="qgjlo"><b id="qgjlo"></b></strike></table>
      2. 數據生產論下的平臺數據安全保障義務
        2021/7/21 9:07:06  點擊率[476]  評論[0]
        【法寶引證碼】
          【學科類別】科技法學
          【出處】《法學論壇》2021年第2期
          【寫作時間】2021年
          【中文摘要】《數據安全法(草案)》構建了平臺數據安全保障義務框架,包含著數據安全制度、個人信息權利保護與監管配合義務三個維度。傳統的民事侵權責任理論已經無力解釋平臺的數據安全保障義務的龐雜體系與多樣化內容。應從數據社會生產的角度分析,平臺已經成為了數據生產要素提取加工者、數字經濟基礎設施、數字經濟多邊市場。根據霍菲爾德的“特權-無權力”框架分析,平臺的數據安全保障義務的擴張,實際上是數字經濟社會生產中膨脹的平臺權力的糾偏機制。合理的平臺數據安全保障義務應以數字生產論為基礎,合理設置平臺對數字產品的質量責任與安全生產義務,劃定平臺數據安全保障義務的邊界,促進數字經濟發展。
          【中文關鍵字】數據安全法;平臺的數據安全保障義務;數據生產要素;數據社會生產
          【全文】

            新發布的《數據安全法(草案)》第4章專章列出了數據的安全保護義務,目的在于“保障數據安全,關鍵是要落實開展數據活動的組織、個人的主體責任”。[1]需要承擔數據安全保護義務的主體中,無論是從處理數據的數量、規模來看,還是從對整個數據經濟產業的影響力來看,平臺無疑是最為重要的主體。《數據安全法(草案)》與我國其他法律法規共同設置的平臺的數據安全保障義務,對平臺的運營成本、合規方式、法律責任承擔產生了重大影響。本文圍繞網絡平臺的數據安全保障義務,[2]梳理我國平臺數據安全保障義務的制度框架與發展脈絡,探討平臺何以承擔數據安全保障義務,其面臨的實踐困境,以及如何設置合理的平臺數據安全保障義務。
           
            一、網絡平臺數據安全保障義務的發展脈絡與制度體系
           
            《數據安全法(草案)》第4章第25條至第33條搭建了平臺數據安全保障義務的制度框架,完善與發展了既有的制度框架,與其他法律法規共同形成了具有我國特色的平臺數據安全保障義務體系。
           
            (一)我國平臺數據安全保障義務的發展脈絡
           
            平臺的數據安全保障義務并非《數據安全法(草案)》的首創,而是我國10余年來多部法律法規、政策性文件累積構建而成的一個內涵豐富、動態發展、規范層次多樣的制度體系。
           
            第一階段,2010年以前平臺數據安全保障義務停留于事后追責階段,主要體現在《侵權責任法》和《信息網絡傳播權保護條例》的相關規定中。平臺責任的主體為“網絡服務提供者”,如網絡信息造成了侵害他人民事權利的法律后果,網絡平臺可以主張并未提供內容,或者已經盡到合理注意義務而適用“避風港”規則免除直接侵權責任。互聯網平臺責任的國際范本是美國國會于1998年通過的《數字千年版權法》,該法確立了著名的“避風港”原則和“紅旗”原則,后這一原則也被世界多國立法采納。[3]
           
            第二階段,2016-2017年,以網絡安全與信息安全為目標的平臺網絡安全保護義務階段。隨著互聯網平臺的信息控制能力日益增強,2016年以來,國家網信辦密集立法并明確提出平臺主體責任的理念,[4]對于虛假信息采取“強雙責”的方針——強化網絡平臺的主體責任與社會責任。[5]平臺不僅明知不法信息存在需承擔責任,更是要對信息承擔主動監控義務。[6]2017年的《網絡安全法》為平臺設置了網絡運行安全保護義務與網絡信息安全保護義務,而網絡運行(關鍵基礎設施的運行)以及網絡信息安全中,數據安全也是其必然包含的題中之義。[7]
           
            第三,2018-2019年,平臺數據安全保障義務的急速擴展階段。這一階段《電商法》《民法總則》的頒布,以及2019年5月國家網信辦的《數據安全管理辦法》等系列規定[8]擴展了平臺的數據安全保障義務。一方面,增加了個人信息保護義務內涵,平臺數據安全保障義務從防止泄露與非法使用擴展至為用戶提供信息更正與刪除。[9]另一方面,平臺對于數據活動的要求進一步提高,提出了諸如不得歧視、遵守社會公德與倫理要求,也對數據收集、使用等活動提出了細化的規范。
           
            (二)平臺數據安全保障義務的三個維度
           
            《數據安全法(草案)》與《網絡安全法》《電子商務法》《民法典》等法律,以及《信息傳播保護條例》《數據安全管理辦法》等政策法規以及諸多技術標準,共同構成了我國較為完備的平臺數據安全保障義務制度體系。
           
            平臺數據安全保障義務的第一個維度,是平臺的數據安全管理制度。法律直接深入平臺公司的治理結構,要求平臺設立一系列制度落實數據管理責任,具體包括:開展數據活動應當按照規定建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全[10];設立數據安全負責人和管理機構[11];開展數據活動應當加強數據安全風險監測、定期開展風險評估,及時處置數據安全事件,并履行相應的報告義務加強數據風險監測并準備安全事件預案等[12]。平臺數據安全保障義務的第二個維度,是平臺需履行個人信息權利保護義務。開展數據活動必須遵守法律法規,尊重社會公德和倫理,有利于促進經濟社會發展,增進人民福祉,不得違法收集、使用數據,不得危害國家安全、公共利益,不得損害公民、組織的合法權益。強調平臺數據的收集方式、目的和使用范圍,并且不得超過必要的限度。[13]平臺數據安全保障義務的第三個維度,是平臺的監管配合義務。如作為數據交易中介機構必須審核交易雙方的身份,并留存、審核交易記錄[14];在國家機關進行偵查調取時的配合義務。[15]
           
            近幾年的密集立法建立了一個動態擴展的平臺數據安全保障義務體系。這一制度體系的擴張表現但不限于以下方面:
           
            第一,數據安全的理念從靜態安全轉向靜態與動態安全并重的系統性安全理念。數據的靜態安全是指平臺應當采取技術措施和其他必要措施確保信息安全,在發生或者可能發生信息泄露、損毀、丟失的情況時,應當立即采取補救措施。[16]2017年《網絡安全法》提出了網絡信息安全與網絡運行安全并重的理念,豐富了“安全”的范疇。隨后兩年內,安全的含義擴張至數據的有序流動、公民合法權利的保護、社會公共秩序和倫理道德的遵守等層面。
           
            第二,制度層次從法律法規擴展到包含政策、技術標準、場景規范等豐富的規范體系,包含民事責任、行政監管責任等跨部門法律責任。由于數據活動場景化、細分化,一般性的法律法規已經無法滿足動態多樣的技術迭代,技術標準在規范體系中的地位日益重要,逐步形成了以法律法規為一般規則,以政策性文件和技術標準為細化補充的平臺數據安全保障義務規范體系。
           
            第三,平臺數據安全保障義務從結果型義務,轉向事前事中事后多環節覆蓋全數據生命周期的義務。平臺不僅需對數據安全的結果負責,也需履行日常數據安全運行的義務。此外,平臺的數據保障義務的對象不僅包含用戶數據主體、監管部門,還對第三方接入平臺的數據安全提出了明確要求。[17]無論從數據安全理念、數據安全的制度層次還是數據安全保障義務的類型來說,平臺的數據安全保障義務體系正在逐步豐富與多樣化。
           
            (三)平臺數據安全保障義務的理論基礎及其局限
           
            傳統民事責任理論中無力解釋這樣一個涵蓋了多個法律部門,包含著民事責任、行政監管與管理制度的平臺數據安全保障義務體系。
           
            第一,數據安全保障義務保護的法益遠超“安全”。從適用范圍來說,侵權法意義上的安全保障義務適用于各種間接侵權領域。我國《侵權責任法》所規定的公共場所經營者的安全保障義務,是對于物的安全保障義務和特定社會活動的安全保障義務的綜合。[18]平臺作為數據活動的開啟者和主導者對數據活動領域所潛在的危險負有防免義務,即安全保障義務。然而,數據活動中產生的系統風險,不僅包含技術導致的交易異常、數據泄露在內的技術風險,也包含著歧視性定價、搜索排名和隱私侵害等數據利用活動中的道德和倫理風險。平臺的數據安全保障義務所保護的法益遠遠大于侵權法意義上的安全保障義務。
           
            第二,合理注意義務標準模糊。安全保障義務的來源,是科技發展不斷拓展人們社會交往的范圍與深度。由于每項社會交往的開啟都可能對他人產生潛在的危險,因此每個開啟或主導社會交往之人都應該適當注意相關人員的安全。[19]安全保障義務的設定是為了解決不作為與損害后果之間的因果關系認定存在的困難。“合理注意義務”的標準,指某項安全保障措施在技術上已經成熟且不會給義務人造成很大負擔,并在風險防范上收益成本上符合比例原則,方可加諸于義務人。平臺的數據安全保障義務設定了寬泛的平臺注意義務。既要求平臺不得違反數據安全制度要求,更要求平臺從事收集、加工、交易等數據活動符合社會道德與科技倫理。這不僅要求平臺盡到數據安全制度的注意義務,更要求平臺積極追求符合社會公共利益結果的發生。
           
            第三,平臺自動化運行帶來的歸責難題。人工智能時代,平臺收集、加工、處理數據的過程依賴算法自動進行,如同自動運行的機器。按照傳統侵權責任理論,基于“平臺是技術中立的介質屬性”,[20]平臺責任的“行為人與責任人相分離”[21],平臺的自動化趨勢似乎必然導向更輕的平臺義務。然而,與此種推論相悖,各國近年來不約而同地加強了平臺責任,平臺的數據安全保障義務呈現日益加強的趨勢。2019年歐盟通過《歐盟版權指令》,第13條要求Facebook、YouTube等平臺積極監測其用戶的內容,加強版權審核。[22]2019年美國國會參議院的《停止支持互聯網審查法案》主張取消大型科技公司在《通信端正法案》第230條之下所自動享有的責任豁免。[23]我國的數據安全保障義務體系中,平臺作為數據處理者需遵循的規范越來越嚴格,并需在協助政府監管中扮演更為積極的角色。
           
            傳統侵權責任理論無力解釋網絡平臺數據安全保障義務,因此我國的網絡相關立法提出了“誰運營誰負責”的“主體責任”概念,成為不斷施加平臺數據安全保障義務的理論基礎。那么,這樣一個糅雜性的平臺安全保障義務體系的理論基礎究竟是什么?
           
            二、平臺在數據社會生產中的地位:核心經濟組織
           
            人工智能時代,數據成為了社會生產要素,對于平臺法律地位和義務來源的觀察也應轉向數據生產的視角。平臺在數字經濟社會生產中的核心經濟組織的角色,其在社會生產中扮演的多重角色,是平臺承擔豐富的數據安全保障義務的基礎。
           
            (一)人工智能時代的社會生產:數據生產
           
            隨著社會生產范式從物理的工業時代向數字經濟轉變,越來越多的物理資源被數字化,而新興的數據作為生產要素也被提取、加工、流轉,進入了數字經濟的社會生產過程。
           
            1.數據生產要素的提煉:個人信息收集。數據從何而來,并如何作為生產要素被提取并參與到社會生產的過程中的?個人信息作為生產要素被大型互聯網平臺利用強大的商業監控行為廣泛獲取,并將其作為公司資源,用以獲得更多的投資。用戶個人信息的獲取和收集行為早已存在,但隨著數字經濟的興起,由個人信息而來的數據方成為企業競爭的核心資產。早在1994年,美國的網景公司就開發了名為“cookies”的用戶在線追蹤技術,它使得任何可連接網絡的人都可以成為數據收集者,極大地擴大了公司參與商業監控的機會。在線數字追蹤技術被廣泛應用于瀏覽器、網絡游戲、搜索引擎、定向廣告等領域。隨著技術的發展,通過追蹤互聯網用戶來獲取個人信息的手段越來越隱蔽,并不斷深入到個人移動設備的邏輯和硬件層。用持久的、秘密的數字追蹤技術和永久的硬件標識符進行用戶個人信息的獲取已經成為普遍現象。[24]也恰恰是由于個人信息和行為數據的經濟價值,諸多的移動應用、社交網絡的設計者們努力將行為數據提取的機會最大化,最大限度讓用戶保持登錄狀態并延長用戶在線時間,造成了日益嚴重的網絡成癮問題。
           
            2.數據生產要素的加工:用戶畫像與預測。數據生產要素是如何通過加工轉化為利潤的呢?在數據經濟的時代,大規模、自動化地從數據主體身上提取數據流的平臺架構與算法,發揮著生產資料加工廠的作用,通過用戶畫像和用戶行為預測,大規模、自動化處理從人身上提取的數據流的平臺發揮著信息時代精煉廠的作用,將這些數據流轉化為最適合工業規模開發的形式。[25]
           
            廣告企業、數據經濟人和平臺公司利用數據分析能力,能對大量數據進行篩選、分類和審問,并采用新的自動化技術來識別模式,預測用戶行為,并根據新數據不斷調整模式和預測。以臉書與抖音等社交媒體為例,其可通過算法根據網絡信息的興趣標簽、質量標簽等以及用戶的閱讀習慣、瀏覽記錄等,抽象出標簽化的文章模型和用戶模型,并經過排序、分類、關聯和過濾,自動篩選出有效信息,進行長期、短期等多種模式的用戶畫像。
           
            “大數據殺熟”是典型的利用用戶個人信息與行為數據進行差異化定價,來榨取消費者剩余的數字經濟生產模式。個性化的定向廣告、搜索引擎在線內容排序,短視頻平臺內容推送等等,均是對于數據生產要素加工的結果。
           
            3.數據生產要素的流轉與交易。數據生產要素的流轉與交易,既可以傳統的轉移數據占有權益的方式進行,更可以符合數字經濟生產的模式進行。一種重要的方式,是將高價值的消費者群體確定為平臺公司、數據中介及其客戶的剩余價值提取目標,并將這類消費者的數據在各類廣告商、應用開發商和雇主之間分享。[26]平臺通過對于數據的提取與加工,進行用戶畫像,生成了具有概率性行為特征的“數據替身”可供其他訪問者預測型操作,如投放廣告或推送商品等。之后,企業和其他各類組織可以購買這些數據的訪問機會,并將這種消費者數據作為自己生產過程的投入。[27]
           
            (二)平臺地位:數據生產的社會經濟核心組織
           
            在平臺責任的理論研究中,網絡中介、基礎設施、平臺等術語經常被交替使用。但是平臺早已超越了網絡服務提供者的角色,更不局限于經濟基礎設施,而是成為數據的社會生長過程中兼具多重角色的社會經濟組織概念。
           
            1.平臺是數據生產要素的提煉加工者。數據作為生產要素的價值只有在平臺的運作中才能夠體現。如果把數據比作是農作物小麥,平臺則是小麥被收集、研磨、精煉為面粉的加工廠。[28]數據對于用戶來說,只是互聯網瀏覽的副產品,但是對于平臺來說,則是重要的生產資料。用戶最多能夠察覺到個人數據被利用時的隱私損害,將數據所記錄的隱私當做是需要防御與保護的對象,但是并不能夠將數據作為生產要素而變現。[29]只有平臺才能夠將個人信息與行為數據提取為生產要素,或由平臺自我保留用于廣告推銷,或是分析后打包轉賣。數據這種生產要素對于用戶和平臺的“價值錯位”只有在平臺公布財報和吸引投資時才會披露。
           
            從傳統個人權利的框架來看,平臺對用戶個人信息的數據化收集和加工,侵害了用戶個人的隱私權,并使得人愈加工具性。[30]然而如果從社會生產的角度來觀察,個人信息的收集和加工不僅是一種隱私的侵犯,更是一種社會生產的控制模式。用戶成為了被培養、處理和消費的生產資源,有學者用“數字勞動”來形容這一過程。[31]而多種多樣的數據控制者都會以平臺或者接入平臺的方式參與數據活動。不論是公共服務還是商業服務者,都逐漸按照平臺的模式,向不特定人開放介入,動態地收集數據進行分析和匹配。[32]
           
            2.平臺是數字經濟的基礎設施。平臺在數字生產中扮演了數字經濟基礎設施的角色。首先,平臺企業為社會提供統一的交易基礎服務——廣泛分布的計算結構。本質上這是平臺用通用技術與方法調動計算力的框架(如阿里云)為社會提供基礎服務。這些技術基礎服務縮短了生產和消費的環節,使得價值生產速度遠遠超越傳統組織。其次,從硬件上平臺提供了硬件終端、操作系統、應用程序App; 從軟件上提供了行業標準、基礎通信設施、金融機構(如支付寶)、交易所等。[33]根據《網絡安全法》,有相當數量的互聯網平臺企業可被認定為關鍵信息基礎設施,受到特殊監管和保護。[34]
           
            平臺因提供基礎服務享有更大的競爭優勢。數據脫離生產環境之后被客體化、被處理、被估價,只能依托于平臺的數字經濟基礎設施進行,無技術能力的企業只能以接入平臺的方式獲得平臺的數字經濟基礎設施服務,如外賣商家之于美團,微信小程序之于騰訊。其他企業依據不同的交易場景以收益分成或數據分享的方式,作為獲得信息基礎服務的對價。
           
            傳統的經濟基礎設施如公路、網絡基站主要呈現物理形態,作為公共基礎設施為社會提供普遍性服務,保證基本服務質量并保持中立性。[35]平臺一方面作為數字經濟基礎設施,為社會提供存儲、連接與計算服務;另一方面作為競爭參與者利用數字經濟技術設施獲得競爭優勢,因此出現了利益的沖突而受到指責。如淘寶因為修改商家排序規則受到圍攻,[36]或搜索引擎谷歌因為屏蔽搜索王而被起訴,[37]本質都是平臺這兩種角色造成的利益沖突。
           
            3.平臺是數字經濟交易的多邊市場。平臺是社會生產中各類生產資源鏈接、交易的多邊市場。平臺通過提供數字經濟基礎設施技術的方式,以一站式入口方式將多個服務集成在一個客戶端軟件或應用程序上,實現多方資源在平臺的鏈接與融合。如網約車平臺早期依靠大量經濟補貼,將乘客、司機與車輛吸引到平臺上,通過推動市場交易便利化和使市場信息更對稱,形成了多邊市場的網絡效應,就進一步享有了不斷擴大服務范圍和市場數量的話語權。網約車平臺可挾海量乘客與司機和車輛資源換取其更大讓步,而因其司機與車輛資源的市場份額優勢,也可通過算法個性化定價獲取更多的消費者剩余。
           
            平臺對交易與市場的控制力遠高于集市、商場、連鎖超市等傳統市場。平臺一方面通過算法推薦與排序、信用評分系統、糾紛解決機制控制生產和銷售流程;另一方面則通過提供鏈接、自愿接入等方式避免獲得所有權或雇傭員工,而減輕占有資源的成本與法律上的責任。[38]
           
            平臺在現行法律上的定義是“在網絡交易活動中為交易雙方或者多方提供網頁空間、虛擬經營場所,交易規則、交易撮合、信息發布等服務,供交易雙方或者多方獨立開展交易活動的信息網絡系統”。[39]通過對平臺在數字經濟中的角色分析,可知平臺遠不止是允許信息發布任由資源自行匹配的網絡中介。平臺作為數字生產要素的提煉加工者、數字經濟基礎設施與數字經濟交易多變市場,早已超越了提供信息鏈接的“網絡服務提供者”的傳統角色。數據時代,社會生產力逐漸走向數字經濟,平臺作為生產關系變化的代表,成為了數字經濟核心組織。那么,平臺的權力與法律責任有哪些變化呢?
           
            三、平臺數據保障義務的性質:平臺在數據生產中權力的糾偏
           
            平臺的數據安全保障義務包含個人信息權利保護、行政監管配合與安全運行機制等多個層面。這一龐雜的義務體系并不是憑空而來,而是對于平臺數字經濟社會生產中獲得的權力的糾偏機制。在霍菲爾德提出的“特權—無權力”框架中,權利與義務是相對的,但是法律特權并非存在于真空之中,特權的存在意味著別人的權利被剝奪。[40]平臺的數據安全保障義務,則是平臺所受到的來自私法規范和公法規范的負擔。這些法律負擔施加給平臺以衡平其在數據經濟中的不同領域獲得的權力或特權。
           
            1.個人信息權利保護:平臺在數據生產要素收集中的權力糾偏。平臺的個人信息保護的義務,是為了解除平臺對于個人權利的威脅。平臺通過收集與處理用戶個人信息和行為數據,獲取法律上的特權。對于用戶來說,用戶無權就平臺采集數據提出異議,[41]無權在充分知情的情況下參與平臺處理和提煉數據價值的過程,無權對平臺對用戶畫像并預測用戶行為以引導其行動、情感提出異議。平臺一方面從用戶那里免費獲得特權,另一方面主張自己是數據生產要素的創造者。平臺認為自身擁有的龐大的計算能力和尖端的算法技術,才能將“毫無價值”的個人信息與行為數據提煉出價值,用來驅動搜索引擎、定向廣告和新聞資訊。[42]這樣的說法對平臺極為有利:一方面通過敘事將平臺作為數據要素的生產者和數據價值的提煉者,進而主張平臺應享有數據帶來的權益;另一方面則可以將獲取用戶個人信息當做是一種從無到有的勞動,進而主張無需對用戶的個人信息權利保護負責。
           
            對于用戶個體來說,其地位從消費者淪為數據生產的資源,成為其喪失自我控制與主體性的根本原因。平臺將用戶視為可供培養、處理和消費的資源,依賴“通知同意”大規模收集用戶數據,使得用戶淪為了數據生產鏈條上的一環。[43]人類從機器的掌控者淪落為技術機器的生產資料,用戶的個人信息與行動不停地生產著數據。因此有學者將數據稱為“被勞動過濾過的勞動對象”,將采集在線用戶個人信息和行為數據稱為“數字勞動”。[44]一直以來,法律與監管部門均未放棄對于平臺在數據生產要素領域的權力糾偏,但也遭遇了平臺的抵抗。早在2006年,美國的互聯網企業和網絡廣告商游說美國國會,避免其使用“間諜軟件”來定義收集用戶信息的Cookies系統,理由是對新技術的監管會妨礙產業的創新。[45]美國聯邦貿易委員會進一步主張通過商業不公平和欺騙性做法,來監管平臺秘密追蹤用戶和投放定向廣告的行為。后經過交涉與妥協,各國監管部門逐步確立了“知情同意”制度成為評估平臺使用追蹤技術的主要監管框架。因此,企業的“用戶隱私政策”——一個冗長、乏味的文件,披露了平臺收集和處理個人數據的信息則成為了確保合規的實際工具。[46]基于隱私權和數據自決權的平臺權力糾偏機制,受制于個人主義的框架,無法應對平臺在數字經濟生產中的強勢地位。
           
            平臺數據安全保障義務中的個人信息保護義務,就是為了進一步衡平這種平臺在收集和使用用戶個人信息和行為數據的方面的特權,要求平臺保證“數據活動的合法性,收集方式、目的和使用范圍的合法性要求,并且不得超過必要的限度。”
           
            2.安全管理制度:平臺作為數字經濟基礎設施的法定義務。平臺數據安全保障義務中的安全管理制度,是為了解決平臺對于數字公共安全的威脅。由于平臺作為數字經濟基礎設施具有相較于政府的強大技術優勢,公權力不僅沒有能力介入數據加工、流轉等流程,甚至沒有能力監測平臺的數據安全質量。
           
            平臺作為數字經濟基礎設施,不僅是社會公共領域數據存儲和加工的場所,更是通過技術具有了自身的目標與議程:如社交媒體平臺已經成為了公眾獲取新聞的主要媒介,平臺的推薦算法決定了新聞議程。平臺運行的龐大數據流和作為商業秘密的算法,都無法像傳統的食品安全、衛生等領域那樣容易檢查與評價。然而,平臺承擔著商業領域和公共各領域的數據的加工、處理、流轉、存儲等義務,其如果不盡到審慎義務,可能產生巨大的數據風險,危害平臺經濟利益與社會公共利益。由此而來,政府的監管思路是推動平臺責任從外在轉為內在,推動平臺自我建設強有力的基礎設施服務,建立完善的數據安全日常管理制度,甚至將某些數據服務作為關鍵基礎設施,以確保數據的安全。這就不難理解在平臺的數據安全保護義務中,數據風險評估、數據等級保護、數據安全負責人、數據風險預測等共同構成數據安全管理制度設置的原因。
           
            平臺法律責任的分配應當與平臺控制數據安全的能力相匹配。監管部門如果以數據安全結果作為認定平臺法律責任的理由,則對平臺施以事實上的無過錯責任過于嚴苛。然而,平臺公共性的角色變化,不允許平臺作為數字經濟基礎設施卻不承擔保障數據安全的法律義務。平臺作為公共性的經濟基礎設施,本身又加強了其在數字經濟市場的競爭優勢。故而,平臺需設置數據生命周期的安全管理制度并保障其日常運行,監管部門則將此作為平臺合規的考察點。平臺需承擔的數據安全管理義務,是在分配無法預期的數據風險管理成本,這本質是施加給平臺的法律負擔,以衡平其作為數字經濟基礎設施取得的特權。這方面則可以類比所有權的行使也要受到各種公法規范的限制,如土地管理法、城市規劃法、大氣污染防治法、噪音管制法等所設的所有權人的負擔。這些負擔意味著所有權人“特權”的減少。
           
            3.配合監管維度:平臺作為多邊市場的協同治理責任。平臺數據安全保障義務中的配合監管責任,目的在于解除平臺權力對國家權力的威脅。平臺作為數字經濟的多邊市場,其可能產生平臺行為的外部性,特別是數據非法交易、不正當競爭和壟斷行為。因此,政府要求平臺參與市場的協同治理,并承擔一定的行政義務。
           
            平臺數據安全保障義務中的配合監管制度,并不局限于《數據安全法》。早在2015年修訂后的《食品安全法》與《廣告法》中,就規定了平臺對于平臺內交易的監管義務。平臺既有對交易主體資格的審核義務,如“對入網食品經營者進行實名登記并審查許可證”[47],又有相關違法行為的制止和報告義務,“互聯網信息服務提供者對其明知或者應知的利用其場所或者信息傳輸、發布平臺發送、發布違法廣告的,應當予以制止”[48]。平臺作為多邊市場的配合監管義務方,經過了平臺責任多個階段的博弈發展而來。平臺對于平臺上第三方的行為,最早只需根據侵權法對平臺用戶的侵權行為承擔間接侵權責任。但是,隨著平臺事實上鏈接了數字化的多方社會生產資源,對在線生產和交易具有一定程度的控制權,平臺也就對平臺上的交易行為承擔了越來越重的管理責任。平臺早期只是調動傳統經濟組織無法有效利用的限制資源,但成熟后已經有能力根據充分的信息重新組織生產鏈條。[49]因此平臺逐漸被監管部門施以越來越重的配合監管義務,其責任形式也不斷多樣化,從責令改正、處以罰款、沒收違法所得到責令停業,吊銷相關行政許可,形成了一個龐大的體系。
           
            由此可見,從數據生產的角度來看,平臺是數據生產要素的收集加工者、數字經濟基礎設施、數字交易多邊市場,這三個角色分別對個人權利、公共安全與國家權力產生了威脅。設置平臺的數據安全保障義務是針對平臺作為以上三種角色享有法律特權的糾偏機制。
           
            四、平臺數據安全保障義務的合理構建
           
            人工智能時代,平臺是數據生產的核心經濟組織,但并不意味著平臺應承擔無限的法律責任。合理的平臺數據安全保障義務水平,意味著既要考量個人權利保護、基礎設施安全與市場交易秩序,也要考量數據生產要素的流動,經濟基礎設施的投入,以及數字多邊市場的繁榮。平臺數據安全保障義務的合理邊界,則是在這三組對立統一的價值中尋找平衡。
           
            (一)數字生產中平臺的“安全生產與產品質量”責任
           
            在個人信息權利保護的維度,平臺的數據安全保障義務的核心任務,是如何平衡用戶與平臺在數字生產中的關系。既要保護作為生產資料提供者的數據主體的隱私權、人格尊嚴、自治權等多項權益,又要保護平臺提煉和加工生產要素應享有的經濟利益,以及數字經濟社會數據生產要素的流動。從數據社會生產的角度討論個人信息保護,應將數據保護中的“數據權屬”視角轉化為將平臺視作數據提煉加工者的視角。是否建立具有排他性的“數據權”并非平臺履行保護個人信息權利上的義務的核心問題。原因在于,無論將數據視為用戶個體還是企業的權利,其經過“知情同意”制度并付對價之后,權利的移轉意味著企業在加工數據時已經享有準財產權的處分權利,無需考慮附著于數據上的個人隱私、用戶自決等權利。而將平臺作為數據生產要素的提煉加工者,則可從安全生產與產品質量的角度考量平臺與用戶個人的權利關系:
           
            第一,平臺數據安全保障義務的設置,應注重數據安全生產“加工”過程的規制,也應承擔以“環境保護”為目的的生產者延伸責任。首先,應將加工數據的算法作為規制的重點。如果說平臺是數據提煉加工者,那么算法就是收集處理數據,挖掘數據價值的生產工具。平臺類型的演進實質是算法技術的演進,算法是平臺“競爭必備工具”的理念已成為共識。[50]平臺借助算法開展數據收集、加工和處理等數據活動,算法自動化運行生成結果。一旦發生不利的法律后果,與“主體-行為-責任”邏輯下平臺未盡到注意義務,以“不作為”的方式實施違法行為的認識迥然不同。近兩年來,世界各國逐漸重視算法在平臺監管的核心地位。2019年美國國會議員提出《算法問責法案》,擬對用戶在100萬人以上的平臺公司進行算法審查。[51]2019年澳大利亞競爭與消費者委員會(ACCC)宣布計劃設立專門分支機構“主動監視”平臺算法運行,賦予其要求披露算法詳細信息的權限。[52]我國網絡監管部門也意識到平臺言論是算法對網絡信息內容排序、推送、屏蔽的結果,要求平臺“優化個性化算法推薦技術”[53]。其次,生產者延伸責任是指生產者就其生產的產品在整個生命周期對環境的影響應承擔的責任。平臺開發部署的算法一旦存在設計上的倫理缺陷,可能造成損害的彌散化。[54]理論上,生產者除應承擔傳統經濟、行政法上的產品質量責任、民商法上的產品侵權責任(包括環境侵權責任)外,其責任還必須延伸至原材料的選用、產品設計、產品生產、廢棄產品的回收和循環利用與最終處理階段,以實現環境保護和資源的節約與合理利用。[55]同樣,為了避免平臺算法自動化運行帶來的自動化決策“產品質量”風險,平臺應重視數據收集的準確性、算法設計、算法運行情況,以保證數據生產利用生態的健康。平臺應在投放自動運行的算法之前進行算法影響評估,包括算法應用對人權[56]、隱私[57]和數據保護[58]的影響等,還有的學者主張算法設計部署者應提供“社會影響聲明”“歧視影響評估”[59]甚至“人類影響聲明”[60]等。這些倫理影響評估并非為了賦予個人權利,而是試圖創造一種環境,這種環境中未來能夠較少建立“有毒”的自動化系統。[61]
           
            第二,平臺作為數據提煉加工者,應對經算法加工的“數字產品質量”負責。如果將用戶個人信息作為數字生產的原材料,則經過平臺算法加工的自動化決策結果(如用戶畫像、評分結果等)可視作“數字產品”。這些數字產品一旦產生質量問題,如數據錯誤或自動化決策有誤,既有可能對用戶產生直接的權利影響(如用戶被錯誤識別),也有可能對用戶產生間接不利影響(如信用評分降低繼而可能影響獲得相關機會)。平臺作為數字提煉加工者,應承擔相應的“數字產品”質量責任。首先,用戶應有權利知曉瑕疵“數字產品”的存在。平臺對于用戶的精準畫像對用戶造成的不利影響,可能呈現機會損失的形態,不僅無法被證明為實質性的損害,甚至用戶無從得知。當瑕疵“數字產品”對用戶的不利影響從間接轉為直接時,用戶應有權知曉其存在。如美國1970年《公平信用報告法》對提供匯總消費者信息的“消費者報告”的機構(consumer reporting agency)設定了向消費者提供特定通知的義務。[62]與此相似,如平臺通過收集用戶個人公開信息、犯罪記錄、社交媒體使用狀況等數據,利用算法預測工具生成消費者報告或者評分,則可視作“數字產品”。而當使用這種報告或評分作出對用戶的不利決策(如拒絕租賃房屋或者收取更高保險費),則應向用戶提供不利行為通知,以供用戶查看有關報告信息或者更正數據。其次,允許用戶質疑、拒絕和更換質量瑕疵的“數字產品”。如在《歐盟一般數據保護條例(GD-PR)》中即規定有關自身的數據與自動化決策結果提出異議、獲得修正或拒絕接受,不受完全的自動化決策支配的權利(the right not to be subject to a decision based solely on automated processing),[63]以及獲得人為干預的權利(The right to obtain human intervention)。[64]盡管根據條文這兩項權利的行使存在著諸多限制,[65]仍提供給用戶一條對抗平臺用戶畫像的自動化決策的選擇。
           
            第三,用戶個體權利的保護主要依靠政府監管,以私權利救濟作為補充。為了實現產品質量安全,法律設計了多層次的制度體系:包括事前的行業準入制度、產品質量體系標準,事中的行政部門質量抽查檢測,事后的刑事、行政責任以及產品侵權責任。產品侵權責任的私權救濟路徑,顯然不是保證產品質量的關鍵因素。同理,用戶個體權利的保護主要依靠法律設置合理的平臺義務與法律責任,以及政府數字安全的監管體系。個體化的權利救濟路徑顯然并非效率最高的選擇。而用戶個人信息權利的保障,仍主要依賴多層次的包括行業技術標準、行政監管在內的數據治理體系。
           
            由此可見,從數字生產的角度觀察平臺對用戶個人信息權利的相關義務,則應建立健全數據安全治理體系,重視對平臺算法生產工具設計部署的監管,要求平臺對“數字產品”質量負責。除此之外,應基于平臺在數字生產中的地位,為平臺設置類似于生產者承擔環境保護的生產者延伸責任,評估平臺數據活動對人權、隱私、數據安全的影響。用戶個體既是生產資源的提供者,也是數字產品的消費者,應享有對數字產品提出異議、退換與拒絕的權利。
           
            (二)合理的平臺責任水平促進數字社會生產
           
            平臺數據安全保障義務設置的另一個核心價值目標,是“促進以數據為關鍵要素的數字經濟發展,增進人民福祉”[66]。這就要求為平臺責任劃定合理的邊界,既要保證平臺作為經濟基礎設施和多邊市場組織者承擔應有的數字安全保障義務,也要保障平臺能力與責任的匹配,促進數字社會生產的發展。
           
            第一,設置合理的生產機制激勵數字生產要素流動。平臺的數據安全保障義務設計不應僅解決數字生產帶來的外部性問題,也應考慮激勵數字生產。正如《數據安全法(草案)》的目標是“通過數據開發活動促進公共福祉”。首先不宜為平臺的數據安全保障設置嚴格責任。根據平臺的主觀過錯追究平臺在數據安全方面的法律責任,可促使監管部門發現故障的根源,為其分配責任并懲罰或至少教育責任者成為可能。[67]根據法律法規劃分的“重要數據”與“敏感數據”等數據處理活動,應加強數據處理活動中的信息備案制度,作為日后考察平臺主觀過錯的問責點。其次,為促進數據流動,對于平臺接入的第三方數據安全保障義務應劃定合理的邊界,不宜由平臺承擔嚴格責任。網絡平臺應當對介入其平臺的第三方應用運營者進行實名登記,明確其數據安全管理責任并審查其相關業務許可證;發現第三方運營者從事違法行為的,應及時制止并立即報告監管部門或立即停止提供網絡平臺服務。[68]此外,還應建立企業責任豁免制度,規定企業在遵循法定強制標準和按照法定要求共享安全信息的情況下,免除因此而產生的法律責任。
           
            第二,不宜一刀切地劃定平臺注意義務標準,而應根據平臺在數字生產中承擔的角色對平臺法律責任予以場景化劃分。首先,協調平臺作為經濟基礎設施的公共性與平臺的私營性本質的矛盾。因數字經濟基礎設施包括多層次硬件與軟件結構,并呈現公共性與私營性混雜的特征,傳統壟斷法概念和公用設施,公物的概念都無法解決數字經濟基礎設施的問題。在疫情防控期間提供“健康碼”服務的平臺企業,與智慧城市合作提供計算服務的平臺,以及為數字政府和法院等提供技術的平臺,[69]都可能承擔更高的數據安全保護義務。在此需注意的是,平臺的技術優勢使得現有的數據安全標準基線由私營平臺企業主導,這也進一步塑造了法律施加給平臺的數據安全保障義務水平。其次,對于平臺作為數字多邊市場組織者、重要數據處理者等不同角色,劃分不同的數據活動風險等級,并設定場景化的責任水平。如GDPR的數據處理評估制度,要求受到評估的算法系統從事“高風險數據處理活動”,又或德國數據倫理委員會提出的算法風險評估方案,主張對數字服務企業使用的算法進行五級的風險評級制度,對不同級別的算法采取不同強度的監管。[70]
           
            第三,合理的平臺責任水平設置需考慮到對市場競爭的影響。平臺作為數字經濟多邊市場,政府也通過發放牌照等方式加強對市場秩序的監管。如果對可提供數字經濟基礎設施服務的大型平臺與中小型互聯網企業施加同一水平的責任,勢必會提高中小型互聯網企業的合規成本,推動中小型企業接入大型平臺,進而加強數字經濟領域壟斷的態勢。近年來,頭部互聯網企業均在積極推動建設數字經濟基礎設施并以此自居。[71]應鼓勵大型平臺企業共建共營數字化轉型的通用性基礎軟硬件和應用平臺,降低中小企業數字化轉型成本。
           
            結語
           
            《數據安全法(草案)》確立了多維度多主體的數據安全治理體系,平臺是其中最為重要的主體。近年來,學者們多以“私權力”作為平臺承擔社會公共責任的理論基礎,但仍從社會運行的某一層面進行觀察。平臺是數字經濟中核心的社會生產組織,扮演著數據提煉加工者、經濟基礎設施和多邊市場的多重角色,因此被法律加諸不同層次的義務以衡平其在數字生產領域的特權。平臺的法律義務體系既具有跨部門的多重性,又分別有不同的制度目標。以數字生產中平臺的地位來解釋平臺的法律責任,有助于從規范正當性層面理解平臺責任,破解平臺責任僅為功能主義進路的理論誤區。

          【作者簡介】
          張凌寒(1982-),女,河北張家口人,法學博士,北京科技大學文法學院副教授,主要研究方向:民商法、網絡法。
          【注釋】
          [1]參見《數據安全法(草案)》起草說明。
          [2]法條表述為“平臺的數據安全保護義務”,與安全保障義務同義。本文的數據安全保障義務以《數據安全法》中的安全保護義務為框架,具體內容包含其他涉及數據的法律法規、規章、政策、技術標準,故下文均使用“數據安全保障義務”這一概念。
          [3]2000年,歐盟發布《電子商務指令》移植了“避風港”原則和“紅旗”原則,其第14條規定,除用戶受控于平臺或依平臺指令實施的侵權行為外,平臺不知道用戶的行為違法,或在知悉違法行為或事實后刪除該違法信息或采取措施阻止該違法信息的傳輸,不承擔侵權責任。《指令》第15條明確了平臺原則上不負有積極查找平臺內違法行為和信息的義務,除非基于保護國家安全、國防和公共安全以及為防止、追查、偵破和懲治刑事犯罪的需要而要求采取有針對性、臨時性的監控措施。新加坡、巴西《新加坡電子交易法》進一步細化了“紅旗”標準。《新加坡電子交易法》第26條:僅提供接入、存取服務的網絡服務提供者對站內第三方制作、發布、傳播或散布的侵權信息,除違反合同特別約定,或違反成文法規定的監管要求,或者是違反成文法或法院的刪除、阻止、限制訪問的要求外,不承擔民事責任和刑事責任。《巴西網絡民事基本法》第19條:除法律另有規定外,網絡服務提供者僅在接到法院令后,未在規定時間內刪除或屏蔽侵權信息時,才對站內用戶侵害他人權益的行為承擔侵權責任。
          [4]2016年和2017年,國家互聯網信息辦公室進入立“法”密集期,“微信十條”“賬號十條”和“約談十條”先后出臺。
          [5]參見《網信辦提出網站履行主體責任八項要求》,載《新華每日電訊》2016年8月18日第3版。
          [6]參見《互聯網直播服務管理規定》(2020年)第7條,互聯網直播服務提供者應當落實主體責任,配備與服務規模相適應的專業人員,健全信息審核、信息安全管理、值班巡查、應急處置、技術保障等制度。提供互聯網新聞信息直播服務的,應當設立總編輯。互聯網直播服務提供者應當建立直播內容審核平臺,根據互聯網直播的內容類別、用戶規模等實施分級分類管理,對圖文、視頻、音頻等直播內容加注或播報平臺標識信息,對互聯網新聞信息直播及其互動內容實施先審后發管理。國家網信辦網站,http://www.cac.gov.cn/2017-09/07/c_1121624269.htm 。《互聯網用戶公眾賬號信息服務管理規定》:“信息服務提供者應加強對本平臺公眾賬號的監測管理,發現有發布、傳播違法信息的,應當立即采取消除等處置措施,防止傳播擴散,保存有關記錄,并向有關主管部門報告。”《互聯網跟帖評論服務管理規定》(2017年第8條):“跟帖評論服務提供者對發布違反法律法規和國家有關規定的信息內容的,應當及時采取警示、拒絕發布、刪除信息、限制功能、暫停更新直至關閉賬號等措施,并保存相關記錄。”國家網信辦網站,http://www.cac.gov.cn/2017-08/25/c_1121541842.htm, 2020年8月17日訪問。
          [7]信息與數據的關系在某些語境下是混用的。參見韓旭至:《信息權利范疇的模糊性使用及其后果——基于對信息、數據混用的分析》,載《華東政法大學學報》2020年第1期。
          [8]近年來,國家網絡信息辦公室連續發布了《移動互聯網應用程序信息服務管理規定》(2016)、《互聯網直播服務管理規定》(2016)、《網絡信息內容生態治理規定》(2019)。
          [9]如《電子商務法》第24條第2款規定:“電子商務經營者收到用戶信息查詢或者更正、刪除的申請的,應當在核實身份后及時提供查詢或者更正、刪除用戶信息。”
          [10]參見《數據安全法(草案)》第25條。
          [11]同[8]。
          [12]參見《數據安全法(草案)》第28條。
          [13]參見《數據安全法(草案)》第8條、第26條、第29條。
          [14]參見《數據安全法(草案)》第30條。
          [15]參見《數據安全法(草案)》第32條。
          [16]參見《民法總則》第111條、《關于加強網絡信息保護的決定》第4條、《消費者權益保護法》第14條、《網絡安全法》第42條第2款、《電子商務法》第30條等法條。
          [17]參見《數據安全管理辦法》第30條網絡運營者對接入其平臺的第三方應用,應明確數據安全要求和責任,督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的,網絡運營者應當承擔部分或全部責任,除非網絡運營者能夠證明無過錯。
          [18]參見劉召成:《安全保障義務的擴展使用與違法行為判斷標準的發展》,載《法學》2014年第5期。
          [19]參見劉文杰:《網絡服務提供者的安全保障義務》,載《中外法學》2012年第2期。
          [20]參見楊樂:《網絡平臺法律責任研究》,電子工業出版社2019年版,第146頁。
          [21]指的是平臺侵權的內容都是由用戶上傳的,如商標侵權的商品、誹謗他人的言論,而平臺卻要為此承擔不利法律后果。參見尹培培:《網絡安全行政處罰的歸責原則》,載《東方法學》2018年第6期;梅夏英、劉明:《網絡侵權歸責的現實制約及價值考量——以〈侵權責任法〉第36條為切入點》,載《法律科學(西北政法大學學報)》2013年第2期。
          [22]參見《Directive on Copyright in the Digital Singles Market》(2019),Article 13.
          [23]參見S.1914- Ending Support for Internet Censorship Act 116th Congress (2019-2020),https://www.congress.gov/bill/116th-congress/sen-ate-bill/1914,2020-04-24 accessed.
          [24]參見Steven Englehardt & Arvind Narayanan ,OnlineTracking: A1-Million-SiteMeasurementandAnalysis, in Proceedings of the 2016 ACMSIGSAC Conference on Computer and Communications Security (New York: ACM, 2016),1388-40.
          [25]參見Cohen, Julie E. Between truth and power: The legal constructions of informational capitalism. Oxford University Press, USA, 2019,p68.
          [26]參見U. S. Senate Committee on Commerce, Science, and Transportation, Office of Oversight and Investigations Majority Staff, “A Review of theData Broker Industry: Collection, Use, and Sale of Consumer Data for Marketing Purposes”(Dec.18,2013), pp24. http://educationnewyork.com/files/rockefeller_databroker.pdf, 2020-08-12 accessed.
          [27]參見Mireille Hildebrandt, Smart Technologies and the End(s) of Law : Novel Entanglements of Law and Technology ,Northampton, Mass.:Edward Elgar, 2015,p91-93.
          [28]參見Cohen, Julie E. Between truth and power: The legal constructions of informational capitalism. Oxford University Press, USA, 2019,p68.
          [29]參見Zuboff S ,BigOther: SurveillanceCapitalismandtheProspectsofanInformalCivilization, 30 Journal of Information Technology, 75-89(2015).
          [30]參見De Hingh, A. Some Reflections on Dignity as an Alternative Legal Concept in Data Protection Regulation. German Law Journal, .(2018)19(5),1269-1290.
          [31]參見Chandler, D. and Fuchs, C.(eds.) Digital Objects, Digital Subjects: Interdisciplinary Perspectives on Capitalism, Labor and Politics inthe Age of Big Data, London: University of Westminster Press, 2019, p 53-71.
          [32]參見胡凌:《從開放資源到基礎服務:平臺監管的新視角》,載《學術月刊》2019年第2期。
          [33]同[1]。
          [34]參見《網絡安全法》第3章第2節。
          [35]如最早的網絡中立理念,或者認為搜索引擎也應該是中立的。
          [36]參見張穎:《淘寶“傷”城,大賣家遭小商戶網絡群毆》,載中國網新聞,http://www.china.com.cn/economic/txt/2011-10/13/content _23613343.htm, 2018年8月22日訪問?
          [37]Search King, Inc.v. Google Technology, Inc., Case No. CIV-02-1457-M (W. D. Okla. May.27,2003).
          [38]胡凌:《平臺視角下的人工智能法律責任》,載《交大法學》2019年第3期。
          [39]《網絡交易管理辦法》第3條、《網絡交易平臺經營者履行社會責任指引》第2條、《電子商務法》第9條。
          [40]參見[美]霍菲爾德:《基本法律概念》,張書友編譯,中國法制出版社2009年版,第34頁。
          [41]有關知情同意的虛設,國內外學者多有研究。最近的一份報告研究GDPR如何影響由十家網絡公司起草的數據政策:(谷歌,Face-book,亞馬遜,Twitter, eBay, Instagram和Netflix)根據這項研究,在GDPR之后,這些政策的長度平均增加了近26%,其復雜性也增加了。所研究的十項政策的總閱讀時間總計超過三小時,有些政策要求超過25分鐘。閱讀需要的水平“范圍從11年級到19年級”。 ht-tps://www.bbc.com/news/business-44599968,2019-4-10.
          [42]參見New Oracle Data Cloud and Data-as-a-Service Offerings Redefine Data-Driven Enterprise, https://finance.yahoo.com/news/oracle-data-cloud-data-offerings-170000728.html, 2020-08-22 accessed.
          [43]參見胡凌:《論賽博空間的架構及其法律意蘊》,載《東方法學》2018年第3期。
          [44]參見Chandler, D. and Fuchs, C.(eds.) Digital Objects, Digital Subjects: Interdisciplinary Perspectives on Capitalism, Labor and Politics in the Age of Big Data, London: University of Westminster Press, 2019, p 53-71.
          [45]參見Hearing Before the House Committee on Energy and Commerce, “Combating Spyware: H. R.29, the SPY Act” H. R. No.109-10,109th Cong.,1st Sess.17-14.
          [46]參見Cohen, Julie E. Between truth and power: The legal constructions of informational capitalism. Oxford University Press, USA, 2019,p 58.
          [47]參見《食品安全法》第62條。
          [48]參見《廣告法》第45條。
          [49]參見胡凌:《從開放資源到基礎服務:平臺監管的新視角》,載《學術月刊》2019年第2期。
          [50]參見Matthew Hindman: The Internet Trap: How the Digital Economy Builds Monopolies and Undermines Democracy, Princeton University Press 2018,p 43.
          [51]參見H. R.2231- Algorithmic Accountability Act of 2019,https://www.congress.gov/bill/116th-congress/house-bill/2231,2019-05-22 ac-cessed.
          [52]參見Rob Taylor: FacebookandGoogleAlgorithmsAreSecret—butAustraliaPlanstoChangeThat, https://www.wsj.com/articles/facebook-and-google-algorithms-are-secretbut-australia-plans-to-change-that-11564134106,2020-4-20 accessed.
          [53]《網絡信息內容生態治理規定》(2020)第12條:“網絡信息內容服務平臺采用個性化算法推薦技術推送信息的,應當設置符合本規定第10條、第11條規定要求的推薦模型,建立健全人工干預和用戶自主選擇機制。”
          [54]張欣:《從算法危機到算法信任:算法治理的多元方案和本土化路徑》,載《華東政法大學學報》2019年第6期。
          [55]馬洪:《生產者延伸責任的擴張性解釋》,載《法學研究》2009年第1期。
          [56]在聯合國人權委員會的文件中,提出了對人權影響的評估框架;參見UNITED NATIONS, HUMAN RIGHTS COUNCIL, OFFICE OF THEHIGH COMM'R, GUIDINGPRINCIPLES ON BUSINESS AND HUMAN RIGHTS 23-26(2011),https://www.ohchr.org/Documents/Publica-tions/GuidingPrinciplesBusinessHREN.pdf[https://perma.cc/R3PC-BW5H]。同樣,紐約大學AI Now研究所提出的算法影響評估框架中也包括對人權的影響,See DILLON REISMAN ET AL., Al Now INST., ALGORITHMIC IMPACT ASSESSMENTS: A PRACTICAL FRAME-WORK FOR PUBLIC AGENCY ACCOUNTABILITY 5(2018), https://ainowinstitute.org/aiareport2018. pdf [ https://perma.cc/JD9Z -5MZC].歐盟專家委員會提出的《關于先進數字技術的人權影響框架》也提出了新技術的使用前應考慮對人權的評估,Yeung K. Astudy of the implications of advanced digital technologies (including AI systems) for the concept of responsibility within a human rights framework. Committee of experts on human rights dimensions of automated data processing and different forms of artificial intelligence MSI-AUT Council of Europe, 5.(2018).
          [57]參見Privacy Impact Assessments, FED. TRADE COMMISSION, https://www.ftc.gov/site-information/privacy-policy/privacy-impact-assess-ments.2020-04-23 accessed.
          [58]參見Data Protection Impact Assessments, ICO, https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments [https://perma.cc/Q2NL-9AYZ],2020-9-20 accessed.
          [59]Barocas, Solon, and Andrew D. Selbst. Big data's disparate impact.671. Califormia Law Review 169(2016).
          [60]Marc L. Roark ,HumanImpact Statements, 54 Washbum Law Joumal 649(2015).
          [61]參見Alessandro Mantelero, AI and Big Data: A blueprint for a human rights, social and ethical impact assessment, 34 Computer Law & Security Review, 754(2018).
          [62]美國《公平及準確信用交易法案》規定:“消費者有權每年從信用報告機構得到一份免費的信用報告;有權獲得信用報告機構所計算的信用評分,每當有負面信息加入信用報告,信用報告機構必須通知消費者。”《公平信用報告法》規定:“銀行和其他信息提供者要及時對消費者的問題做出反應;信用局要及時注銷過時信息,盡力確保信息的準確性,將信息一年免費披露一次給消費者,提供的信息應有合法理由。”
          [63]GDPR Article 22 (1)of the General Data Protection Regulation (GDPR)“the data subject has the right not to be subject to a decision basedsolely on automated processing, including profiling, when it produces legal effects concerning him or her or at least it similarly significantly affectshim or her”.
          [64]GDPR Article 22(3)In the cases referred to in points (a) and (c) of paragraph 2, the data controller shall implement suitable measures to safe-guard the data subject’s rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.
          [65]根據GDPR22條(1)對適用此條款機器決策存在以下限定條件:第一,該機器決策對數據主體有法律效力或重大影響;第二,該機器決策中沒有人的參與,是一個純粹的自動化決策(solely on automated processing)。
          [66]《數據安全法(草案)》第5條。
          [67]參見Mittelstadt, Brent Daniel, et al. The Ethics of Algorithms: Mapping the Debate.https://doi.org/10.1177%2F2053951716679679,(2016).
          [68]參見劉金瑞:《合理設定網絡平臺對第三方應用數據安全管理責任》,載《中國信息安全》2019年第6期。
          [69]參見張勇:《人工智能輔助辦案與量刑規范化的實現路徑》,載《上海政法學院學報(法治論叢)》2019年第2期。
          [70]根據算法處理的數據所涉及的利益大小,可對算法進行風險評級,對不同類型的算法采取不同強度的監管。以德國數據倫理委員會提出制定算法評估方案為例,其主張對算法分為五類:(1)對于具有較低潛在危害的系統例如飲料制作機,不應監管;(2)對于具有潛在危害的系統,例如電子商務平臺的動態定價機制應該放寬管制,可以采用事后控制機制,加強披露義務等來降低其潛在危險;(3)對于具有一般或明顯危害的系統,應考慮以發放許可證的方式,促使審批、監管常規化;(4)對于具有相當潛在風險的系統,例如在信用評估方面具有準壟斷地位的公司,應公布其算法細節,包括計算所參考的因素及其權重,算法所使用的數據,以及對算法模型的內在邏輯進行解釋;(5)對于自動化武器等具有潛在不合理危險的系統,則應該“完全或者部分”禁止。參見Opinion of the Data Ethic sCommis-sion, 159(2018), https://www.bmjv.de/SharedDocs/Downloads/DE/Ministerium/ForschungUndWissenschaft/DEK_Empfehlungen_englisch.html; jsessionid = C4CE6C88B9310034A97B42CD67553FC7.2_cid289? nn =11678512,2020-04-20 accessed.
          [71]如馬云,馬化騰均在不同場合提出阿里與騰訊在積極推進數字經濟基礎設施建設。參見馬化騰在2017年“騰訊云+未來”峰會的演講,https://www.donews.com/news/detail/1/2957589.html, 2020-09-25訪問。以及參見《馬云:商業基礎設施是阿里的核心價值》,載《經濟參考報》2016年6月15日。

          本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
          轉載請注明出自北大法律信息網
        0
        北大法律信息網
        www.chinalawinfo.com
        法律動態
        網站簡介
        合作意向
        網站地圖
        隱私政策
        版權聲明
        北大法寶
        www.pkulaw.cn
        法寶動態
        法寶優勢
        經典客戶
        免費試用
        產品服務
        專業定制
        購買指南
        郵件訂閱
        法律會刊
        北大英華
        www.pkulaw.com
        英華簡介
        主要業務
        產品列表
        英華網站
        聯系我們
        用戶反饋
        返回頂部
        二維碼
        不要添了,我高潮了视频