【作者】季卫东
【内容提要】
*季卫东
上海交通大学文科资深教授
中国法与社会研究院院长
摘要:在数据驱动的时代,欧盟始终强调信息自决和个人隐私保护的基本权利,也非常重视数据主权问题,但这种宪法性规范不能在私人主体之间的纠纷中强制执行。中国主要从民法以及行政举措的视角来加强对隐私、信息安全及人格利益的综合保护。关于"数据保护权"的中国法律规范主要在公民个人、集体以及企业之间强制执行,但很少针对政府。我国《民法典》并没有创设"数据财产权",我国《数据安全法》却承认数据市场,试图通过对数据进行评价和共享的程序对数据财产权进行债权式的保护。完善数据财产权的实体规范,进而将之提升至基本权利的高度、强调数字人权的保障,是一项很重要并具有迫切性的立法课题。"数据公平使用"的立法原则在个人权利保护、数字经济发展以及数据利润共享之间达成适当的平衡。一旦关于数据保护权和数据财产权的宪法框架得以确立,数字经济立法的空间将可能适当拓展。在这里,中国可以与欧盟相向而行、互相借鉴。新时代宪法秩序变迁的方向就是建立和健全技术的分权制衡机制,确立新型的"数字化监察权"。
一、引言:数字覆盖、结构转换以及权利创新
2013年首先由德国提出的“产业革命4.0版”概念,有一个非常重要的属性,这就是通过数字化的信息沟通技术(ICT),使物联网、大数据、人工智能形成一个有效互补的支撑关系。2015年国务院颁布《中国制造2025》规划,同样也是以数据驱动、智能生产、万物联通为基本目标。根据IHS Technology(芯智讯)的统计和推测,2015年全球通过互联网连接在一起的装置共有154亿个,到2020年将增至304亿个。在这里,装置不仅指电脑和智能手机,而且包括汽车、家用电器、产业设备等不具备通信功能的机器。不言而喻,网络空间中的各种活动和感应会不断产生大量的数据,这类大数据的分析和应用需要借助人工智能;反之,人工智能本身又使物联网能够进一步发展,同时不断产生大数据和提高大数据的质量——这就是数字空间里普遍存在的“三位一体”关系。这种互动过程使社会逐步形成一个信息和实体交融的系统,也就是智能融入物理世界的状态。
在物联网的世界,物品借助感应器自动收集的信息也可以通过互联网加以利用,这意味着人工智能将不通过人类而直接影响现实环境。目前,人工智能从机器学习到深度学习,实现了从量变到质变的飞跃,导致了新一波的人工智能热。人工智能在过去十几年、二十年左右的时间里飞速发展,正在引起产业模式乃至社会结构的大转型。2000年时人工智能还属于一种他律系统,强调的是逻辑演算;但2012年之后,深度学习功能出现和加强之后,人工智能逐步演变成一种自律系统——从事实、数据中进行归纳,而不仅仅按照人类给出的指令或程序运算。这就势必带来失控的风险。此外,经济和社会的许多方面都在使用人工智能,各种人工智能系统的目标却并不一样,有时甚至互相矛盾,在智能物联网(AIoT)中也可能引起混沌现象。伴随着人工智能的发达,人们所面对的当今社会呈现以下特征。
首先,传感器无所不在,特别是二维码移动支付和刷脸通关的普及,使得当今生活世界的几乎每一个角落都被转化成数字化表现形式,积累为各种形态的大数据。疫情防控进一步提升了社会的数字覆盖程度,在很多城市甚至达到了数字全覆盖,不只是行踪信息、社交信息,连体内生理信息和医疗病历信息都可以通过“健康码”等系统或网络式治理平台进行分析、监控以及预测。通过对大数据的人工智能分析,社会的透明度大大提高了,几乎再无真正的隐私可言。然而,对大数据进行处理、分析以及预测的人工智能运作却越来越复杂,特别是机器学习算法以及具有深度学习功能的算法越来越让人难以理解、难以说明。这就是所谓“算法的黑箱化”,使人工智能实际上变得不可解释、难以控制,当人工智能系统用于决策时也因而会使问责机制变得名存实亡。由此可见,社会的透明化与算法的黑箱化,是考虑经济和社会的智能化转型时必须注意的一对基本矛盾。
其次,大数据能产生经济价值,甚至成为企业和社会的驱动力量。阿里巴巴之所以强有力,一个重要原因就是通过电商掌握了近十亿人口在各种应用场景的行踪数据、消费取向数据,使得生产和销售的计划和实施都变得更加精准,在相当程度上可以预测和影响人们的未来。因此,马云曾经说数据就是21世纪的石油。这意味着数据是能源、是生产资料、是交易通货、是企业的利器,数据会产生利润和效益。值得注意的是,中国在数据收集和利用方面具有独特的优势。例如,中国公民的价值观和权利意识与欧美人有显著的不同,对人工智能持比较乐观和友好的态度,也没有很强的隐私观念;为了生活的便捷、社区的安全以及防疫的需要,对各种数据的采集大都持支持的态度,至少没有特别明显的抵触情绪。因此,大数据产业在中国更容易发达,人工智能也因富有数据养料而迅速提升水平。在当前体制下,中国优质数据的百分之七十到百分之八十都是由国有企业或者国家机构掌握的。其好处是可以打破不同行业、不同利益集团的壁垒,使数据的多维度利用得到充分实现。也就是说,中国的数字空间没有碎片化,没有导致人工智能的发展遭遇太多的人为障碍。不过,这种状态也存在数据安全和数据伦理上的隐患,如果缺乏相应的规范制约就有可能极大地削减个人自由度。
再次,数据的本质是信息,而信息的特点是流动性。因而数据主体的界定、数据权利的保护也就比较难,尤其很难以某种绝对化的方式进行界定和保护。欧盟曾经制定过关于数据库权利的法律,试图加强对数据的排他性保护,结果失败了。失败的证据之一就是在欧洲没有出现大规模的数据产业、没有出现在国际社会具有影响力的巨型网络公司或数字经济平台。物联网、大数据及人工智能结合起来导致社会发生的一种也与流动性相关的深刻变化,是市场交易的形态从物品转向服务。人们都知道,现代法律体系的本质是物品的所有、利用、处分以及交易,其基础是物权,在意识形态中还表现为所有制。的确,迄今为止对个人或企业而言,财富或物品的占有具有非常重要的意义。然而,进入智能网络化时代后,服务变成了更重要的交易形态。例如,现在拥有光碟及其播放机变得不再那么重要,因为可以随时上网付费下载和收听收看有关的音乐或影视剧,质量更好,也更方便。
最后,以智能物联网为基础的数据空间对法与社会的影响不限于改变了作为秩序基石的物权的结构和功能,而是还改变了规范形态本身。二十世纪九十年代中期以来,很多专家已经指出代码取代法律、代码即法律的趋势。本来法律上已经明文规定的权利,技术性规格和代码的设置就有可能导致它们没有办法行使,或者不得不改变行使的方式和内容。比如说DVD复制是很方便、很常见的行为,但是为了保护知识产权,避免人们不断对某个作品进行DVD复制乃至牟利,有关行业制定了新的技术标准,通过代码使DVD的复制次数只限于两次到三次,即限于家庭内的消费。不言而喻,在这里,技术代码实际上取代法律发挥了行为规范的作用。在这个意义上可以说,人工智能可谓一种规制嵌入系统,有利于约束效力的刚性化,也有利于借助技术手段加强社会的守法精神。然而,也要注意,没有立法权的机构或企业可以通过代码框架或算法的设计绕开民主程序来修改法律、创制法律,或多或少有可能在数据空间里开拓出一片自由的飞地,带来潜在的不确定性。因此,法律还应该反过来规制代码,这样就形成一种法律与代码双行的格局,导致规范多元化。
从上述社会特征中可以发现法制变迁、权利创新的一些重要契机。例如,社会透明化与算法黑箱化的基本矛盾,意味着有必要从制度层面加强对个人数据安全和隐私的保护,防止监控过度,并且应该从公民基本权利的高度来理解个人信息的收集、分析和应用。与此同时,要强调算法的公开透明、可解释性、可理解性,使个人享有抵御算法歧视的权利,并确保对现代法治至关重要的问责机制不因人工智能辅助决策而遭到瓦解。例如,数据的经济价值,意味着数据权属关系的明晰化、利益分配的合理性和公正性都应提上议事日程,并考虑适当的制度设计方案和权利认定程序,还要在数字经济发展与个人权利保障之间达成适当的平衡,并为数据的商业利用划出一条清楚的伦理底线。另外,随着民商事法律体系的基石从物品转向服务,权利观当然也从所有者的视角转向消费者的视角,能否确立消费者主权的理念、能否使服务评价产生规范效力就成为重要的法学课题。在代码即法律的状况下,如何防止机器官僚主义或技术至上主义压抑个人权利、公民怎样才能切实维护自己的合法权益、在代码框架下能否适当进行权利的创造和认定、如何对代码进行监控等一系列问题也应纳入探讨的范围。
二、关于数据保护权及其价值前提的国际共识
在人工智能用于数据分析而导致社会结构转型的过程中,有两种法律现象值得关注和深入研究。
一种是大数据预测式警务系统。通过对大数据的机器学习,人工智能可以精准把握行为方式及其趋势,有助于刑事案件的侦查和证明,也有助于对城市犯罪进行预防。5G通信系统使大数据和人工智能的应用范围更广,技术安装和操作更便捷。这种预测式警务起源于洛杉矶,然后普及到美国、欧洲、亚洲的一些城市,在中国也有广泛的应用。预测式警务的根据是过去的行踪以及社会状况的大数据,在数据处理之际必须按照一定指标对个人进行分类,实际上就是给各个公民贴上标签进行区别对待。在分类、贴标签以及重点监控的操作中很容易受到大数据内在的系统性偏误的影响,出现算法歧视的问题。一旦根据某些指标和标签预测某部分人存在较强的犯罪倾向,人工智能系统就会促使警察部门加强对他们的监控,实际上就给予了不同的法律待遇,有违法律面前人人平等的原则。现代法治国家在刑事领域特别强调无罪推定原则以防止冤枉无辜,但预测式警务针对特定人群提前采取监控和防范的举措,容易产生疑人偷斧的效应,造成故入人罪的错误,在一定意义上也可以说,对他们的刑事追责其实是以有罪推定为前提的。
另一种是联合信用惩戒系统。为了改进社会信任度、惩戒各种失信行为,近年来中国兴起了信用评价活动。其中一个有代表性的实例就是芝麻信用的打分和等级化,由蚂蚁金服根据身份地位、信用履历、履约能力、行为偏好、人脉关系等因素和淘宝、天猫、支付宝等平台积累的大数据综合计算,以350分为下限、950分为上限。具体的等级划分如下:350分到550分属于信用较差,550分到650分属于信用一般,650分到750分为信用良好,750分以上是信用优秀。在芝麻信用系统里,信用分是与个人享有的权利挂钩的,例如信用较差的只能使用支付宝的快捷支付转账、缴纳水电费等初步功能,信用良好的则可以享有免租车押金、免租房押金等优惠。一般而言,芝麻信用分超过800分的属于信用极好的群体,可以享受信用医疗、快速退税、无抵押借贷等特权,还可以在申请部分国家签证时不必提交资产证明、在职证明、户口本等各种资料。类似的信用评分做法在欧美金融界也已悄然流行了一段时间。这种信用评分本来以激励为宗旨,但换个角度来看也有惩戒效果。所以中国的行政执法部门和司法机关为了提升债权回收、债务履行的效率,开始与芝麻信用评分系统开展合作。例如最高人民法院系统在2015年与芝麻信用签署了对失信被执行人信用惩戒备忘录,全面限制相关人员的消费,以解决长期以来的“执行难”问题。然而,从正义和法律的角度来看,各种信用打分(特别是联合信用惩戒系统)也存在一些隐患,其中最大的问题是把人分类并贴上标签,容易造成一个差别化、等级化的“打分社会”,助长某些权利上的歧视,甚至形成所谓“自动不平等”和“数字济贫院”的事态。
上述两种常见的现象说明,人工智能的算法公正以及数据伦理的确是当今法学正面临的重大课题。在人工智能治理方面,2016年构成一个重要的界标。对于从那时起国际社会形成相关原则和规则的主要动向,笔者曾经在一篇论文中做过如下概述。2016年4月,欧洲议会法务委员会召开了关于机器人和人工智能的法律和伦理问题的听证会,并在5月公布了与机器人相关的民事法律规则的报告书草案。2017年2月欧洲议会通过《向欧洲委员会提出的关于涉及机器人民事法律规则的提案》,建议设立专门的欧盟机构、采纳智慧机器人登记制、明确严格的损害赔偿责任、保障知识产权等,要求欧洲委员会制定相关的欧盟法律。这个提案还建议确立机器人研发者的伦理行动规范,其中包括尊重基本人权、预防原则、包容性、问责、安全性、可追溯性、隐私权保护、效益最大化和危害最小化等内容。2018年5月25日欧盟开始施行一般数据保护条例(GDPR),要求人工智能研发涉及个人信息处理时要通知本人,受到影响的个人有权获得解释。其中有些举措比美国更加严格,对违反该法规的企业采取重罚政策。这项法律对数据向其他国家的转移业务也生效。2018年12月欧盟委员会AI高级专家组发布了《人工智能开发和适用伦理指南(草案)》,以《欧盟基本权利宪章》为基准,力争形成值得信赖的、负责任并没有偏见的人工智能,为此提出了七条关键要求。欧盟人工智能伦理指南的七条关键要求是人的管理和监督、稳健性和安全性、隐私和数据管理、透明度、多样性和公平性以及非歧视性、社会和环境福祉、问责制。这个伦理指南将从2019年夏季开始进入试行,所有企业、政府部门以及社会团体都可以参加欧洲人工智能联盟(European AI Alliance),通过共同遵循伦理指南在数据、算法、技术等方面推进伙伴关系。笔者于本文中补充的新信息是,2019年4月欧盟高级专家组发布《可信任人工智能指南》,把合法性、伦理性、鲁棒性作为可信任人工智能的构成元素,并提出了根据基本原则、主要要求而制作的评估项目清单,2020年开始对GDPR的某些过时的内容进行重新审视并起草了新的法案。
与欧盟几乎同步,美国政府从2016年5月开始正式研讨人工智能的法律、伦理以及政策等方面的问题,为决策进行准备。当年10月白宫发表了题为《为人工智能的未来做准备》的报告书,提出人工智能的相关系统必须可控、公开透明可理解、有效发挥功能、与人类的价值和愿望一致等原则。与此同时,国家科学技术会议网络和信息技术研究开发小委员会还发表了关于运用联邦政府预算研究人工智能的方针《美国人工智能研究开发战略计划》,提出了副作用最小化的要求。2019年6月,美国国家科学技术理事会发布了这项战略计划,特别强调要提高人工智能系统的公平、透明度以及问责制。然而,在立法方面,美国没有采取统一方案,由各州酌情自行其是,为立法的社会实验以及企业、行业的自治和创新留下了较大空间。由亚马逊、DeepMmd、谷歌、脸书、IBM、微软等巨型网络平台公司发起,欧美产业界在2016年9月还缔结了关于人工智能的伙伴关系,旨在构建一个研究和讨论人工智能技术改进和社会影响的开放性平台,并发表了关于确保社会责任、采取防护措施等八项信条。来自不同机构和学科的专家也按照人工智能“可接受、负责任”(Acceptable Intelligence with Responsibility)的理念结成伦理专题社群,进行关于失控风险的脚本分析并提出对策建议。
日本总务省信息通讯政策研究所通过系列研讨会,在2016年10月制定了《人工智能开发指针方案(征求意见稿)》,经过讨论修改,在2017年7月正式公布《为国际讨论而作的人工智能开发指针方案》。日本方案的基本宗旨是:尽管人工智能的技术创新和互联网化有望给经济和社会生活带来各种各样的效益,但也存在黑箱化和失控的风险。人工智能是跨越国界互联互通的,因此相关的效益和风险也势必跨越国界产生连锁反应。在这个意义上,智网社会的治理不可能局限在一国范围内,而应该形成全球化的治理框架。为此,有必要通过开放式讨论在利益相关者中凝聚国际共识。在人工智能研发的初期阶段,通过立法来进行规制有可能导致创新活动的萎缩,因此对刚性规范的制定应持慎重态度,不妨更多地借助“软法”等非正式的有序化机制。日本的人工智能开发指针方案提出了五大理念:(1)人通过与人工智能网络共生而享受其恩惠,并建立一个尊重人的尊严和个体自主性的“以人为本”的社会;(2)利益相关者应该对作为非约束性软法的指针及其最佳实践经验进行国际共享;(3)应该通过创新的、开放式的研发活动和公平竞争增进社会效益,在尊重学术自由等民主主义社会价值的同时防范风险,确保效益和风险的适当平衡;(4)坚持技术的中立性,注意不给开发者造成过度负担;(5)对指针方案的内容不断斟酌,根据需要灵活进行修改。
在中国,从2017年国务院颁布的《中国新一代人工智能发展规划》可以看出,关于数字化社会秩序构建的基本理念、主要方法、立法重点,有关表述都是非常清晰的。该规划指出有必要积极参与人工智能全球治理,加强机器人异化和安全监管等人工智能重大国际共性问题研究,深化在人工智能法律法规、国际规则等方面的国际合作,共同应对全球性挑战,并且在全球范围内优化配置创新资源。特别是该规划关于人工智能治理的九条原则,即共享互信原则、个体尊严原则、民主参与原则、国际合作原则、相机治理原则、公开透明原则、双重规制原则、追踪制裁原则、预防响应原则,都是与国际接轨的。该规划也有一些中国特色,比如,第五条关于相机而动的治理,与网络社会的特征相吻合,也反映了中国传统治理方式的影响;又如,其中的双重规制原则,也体现了中国行政主导、综合治理的特色。2019年,国家新一代人工智能治理专业委员会制定了《新一代人工智能治理原则——发展负责任的人工智能》,明确提出了八条基本原则,即和谐友好、公平公正、包容共享、尊重隐私、安全可控、共担责任、开放协作、敏捷治理。其中特别值得注意的是责任分担和共担的方式以及对敏捷治理的要求。实际上,无论是数据治理,还是算法治理,都包括制度治理与技术治理这两种不同的方式或者层面。制度治理主要表现为法律、法规、标准、指南、政策以及伦理规则等,既有硬法又有软法。有必要指出,2019年世界人工智能大会法治论坛上提出的法治导则,把算法纳入专利保护的范围,这体现了中国制度治理的重要成果;另外,关于人工智能侵权的责任,强调根据过错程度进行分担,也具有鲜明的中国特色。技术治理则主要表现为人工智能操作中的技术细则以及系统日志、记录软硬件的情况、监督数据的收集等,还包括同态加密、安全多方计算、联邦学习、可信计算等隐私增强技术(PETs)的采用。制度治理和技术治理的这种耦合是理解人工智能治理规则体系的重要视角。
综上所述,2016年以后的国际社会,就人工智能治理以及数字权利保护达成的基本共识如下。(1)对国际通用的指针、标准等采取合作态度。其包括确保数据空间互联互通,必须共有相关信息,参照国际标准和规格进行人工智能系统及算法的设计,实现数据格式的标准化,公开应用程序编程接口以及协议、揭示知识产权的特许合同条件等。(2)实现技术的中立性以及透明性。为此需要实现人工智能系统输入和输出的检验可能性,对演算结果要履行说明义务。(3)实现人工智能的可控性。应该由其他人工智能系统进行监视和警告,实现技术与技术的制衡,并为人工智能系统的停止、网络的切断和修理预先做好充分的准备。(4)优先保护人的安全。算法设计应该坚持的价值优先顺位为生命、身体、财产。对于数据和算法的安全性要对利用者和利益相关者履行充分说明的义务。这种共识也反映于2019年5月公布的《OECD关于人工智能的政府间政策指导方针》和同年6月公布的《G20人工智能原则》之中,其倡导以人类为中心、以负责任的态度开发人工智能和培养数字生态系统。新兴权利的形成和发展正是以这样的共识为前提条件。如果把人工智能治理分为数据治理、算法治理以及应用系统治理这三个不同层面,来具体考察国际社会已经达成的共识,还可以发现其中存在不同的原则和规制,或者各有其重点内容。在数据治理层面,特别强调审慎处理个人敏感信息,侧重保护隐私以及个人信息安全,并要求消除数据噪音、提高其质量和规格化程度。在算法治理层面,以透明性、准确性、可靠性、可解释性、可验证性、可追溯性作为衡量的标准。在应用系统治理层面,追求向善性和无偏性等目标。仔细推敲又可以发现,在人工智能治理方面似乎若隐若现地存在欧盟和美国这两种不同的模式。欧盟始终侧重统一立法,特别强调数据安全和算法公正,并倾向于事先规制。例如, GDPR严格限制数据跨境流转,降低数据跨境传输的风险,并且要求企业履行事前审批手续。与此形成对照的是美国,其采取逐步立法的渐进路线,针对人工智能典型应用场景分别制定特殊法规,更强调数字经济的开放性和竞争性,鼓励数据有条件的自由流通,倾向于事后救济,例如建立数据泄密通知机制。对不同层次、不同模式的问题状况进行梳理,有利于新兴权利群的体系化,特别是从宪法与民法、基本权利与一般权利、道德与商务等不同维度进行分类。
三、欧盟关于隐私和数据安全的宪法视角和司法救济
在现代启蒙精神的影响下,欧洲各国历来重视人权和公民基本权利的保障。关于数据和算法的有关原则和规则,也以《欧洲人权公约》(1953年生效)、《欧盟基本权利宪章》(2009年生效)作为高阶法律根据,特别是后者明确把个人数据保护纳入宪法规范。从1995年的数据保护指令到2018年的GDPR,再到2020年11月提上议事日程的数据治理条例建议稿、数字市场法草案以及数字服务法草案,始终从宪法规范的视角来强调信息自决和个人隐私保护的基本权利,对数据画像和自动化决策采取断然拒绝的态度。与此同时,欧盟也非常重视数据主权问题。众所周知,中国在人工智能研发和数字经济转型方面进展非常迅猛,以致让欧盟不得不采取“高筑墙”的对策,把防范美国和中国的数字优势地位作为制定法律的基本指针。这就势必更进一步强调信息安全和算法公正,通过法律和审批程序严格限制数据跨境流转,使人工智能治理的相关制度宛如一座坚固的城堡。
2018年5月25日起实施的GDPR号称人工智能时代的人权宣言。该法以个人尊严和基本权利保障为宗旨,直接约束各加盟国的立法,并对欧盟各国的数据向其他国家的转移业务也产生效力。GDPR还规定了一些新型的基本权利,例如,第5条强调限定数据收集和处理的目的、在一定目的范围内最大限度地减少对数据的处理和保存、让数据保持完整、正确、更新以及匿名的状态(信息安全保障权);第13条第2款则从另一个角度强调了透明性原则(信息公开请求权),要求数据管理者必须对数据权利主体履行信息公开的义务,且所提供的信息必须能为数据权利主体所理解。GDPR第20条还特别规定个人享有自我数据便携式获取权;第21条承认数据主体的异议权,如果数据管理者不能出示正当性根据,必须中止电脑化处理;第22条宣布数据主体享有不服从那种仅根据人工智能而自动化做出的决定的权利,并且明确指出数据管理者不得通过假装有人介入的方式来规避第22条的约束。这些权利条款分别涉及数据获取、数据权属、数据保护、信息隐私、伦理问题等不同的法律维度。有关权利的保障和具体事项的权衡主要依赖各国法院以及欧盟普通法院、欧洲法院、欧洲人权法院。
从GDPR上述条款中可以发现,仅就数据治理而言,首先应该充分让公民享有两项最基本的权利:一项是捍卫隐私,因为这是意思自治的基础;另一项是信息安全的保障,因为这是通信自由的基础。这些基本权利在欧洲过去的宪法规范中都已有明文规定,在数字化时代需要刷新的是怎样界定隐私和信息安全的范围、在什么情况下允许干涉隐私权的判断标准以及正当化根据。从相关原则和规则中其实还可以归纳出一种新型的基本权利,这就是数据保护权,直接影响到数据处理的范围和意义。在欧盟的语境中,数据保护权包括公民个人有权接触和更正其个人数据,对数据保护权进行限制的条件、程序以及标准,对数据的收集、处理、应用进行监管的独立机构等具体内容。如果把数据保护权适用于大数据的收集—分析—应用流程,在法律上必须考虑的问题还包括个人数据的概念和类型、公共空间获得的个人信息的私生活宁静的意义、不同场景中的个人可识别性、应该告知的事项或权利清单、对风险进行监控的方式、算法透明度以及例外情形、各种利益权衡的尺度、公共利益的界定等。在欧洲数据权认定的司法实践中,当然坚持基本权利优先、赋予个人自由较高权重的立场。
因为GDPR和相应的司法实践主要着眼于个人数据以及相应的宪法性权利保障,不能在私人主体之间的纠纷中强制执行,也就不能完全适应数字经济的发展,所以在欧盟内部也出现修改法律框架的议论和动向,试图把数据保护的范围扩大到所有数据(不限于个人可识别数据)。在司法实践中,有些判例已开始将消费者保护法、竞争法的相关规定及集团诉讼方式适用于大数据流程,以提升个人与强势的网络大公司进行博弈的地位。在行政实践中,各国政府也开始加强对数据行业的监管和算法审计,并强调大数据伦理的意义。与这种新趋势相关联,法学界开始讨论创设数据财产权的议题,以充分实现数据的商业价值并加强个人数据主体的议价能力。总之,欧盟开始调整过强的宪法指向,探索针对大数据特征的综合治理方案,试图实现个人信息安全和隐私保护的多层多样性和整合化。
四、中国关于智能物联网治理的民法视角和行政救济
中国的现实与欧盟形成鲜明的对照,不是侧重宪法,而是主要从民法以及行政举措的视角来加强对隐私、信息安全及人格利益的综合保护。因此,关于数据和隐私的中国法律规范主要在公民个人、集体以及企业之间强制执行,很少针对政府。从2016年底开始,中国通过一些单行的法律、法规、规章来对数字化时代的新兴权利进行认定和保护,并明确了相应的义务和责任。例如,我国《网络安全法》(2016年11月)规定了公民对个人信息的删除权和订正权、《个人信息安全规范》(2017年12月)加强了对网络平台的规制、我国《电子商务法》(2018年8月)使网络平台经营者的监管责任具体化、《网络信息内容生态治理规定》(2020年3月)着手整顿个人信息交易和调整算法推荐逻辑。我国《数据安全法》已经在2021年6月10日通过、同年9月1日起实施;我国《个人信息保护法》也于2021年11月施行。
我国《民法典》专设人格权编,清楚地界定隐私和个人信息的权利范围,以加强对新兴权利的保护,具有补充宪法的基本权利清单的意义,但主要是适应了数字化时代经济社会的需要。例如,我国《民法典》第1034条规定受这项基本法律保护的个人信息包括健康信息、行踪信息,还规定了处理虚拟身份(第1017条)、数字肖像(第1019条)、数字声音(第1023条)等个人信息时必须遵循的原则、条件以及义务。我国《民法典》第1035条规定了大数据收集和应用之际应该坚持的合法、正当、必要、适度的原则;第1033条、第1038条、第1039条还分别明确了信息安全保障义务,包括不得泄露、不得篡改以及不得非法提供;第1037条进一步完善了个人信息主体的权利构成,确立了查阅权、复制权、更正权、删除权以及网络侵权的责任、网络服务提供者的注意义务,将数据和虚拟财产都纳入法律保护范围。
我国《民法典》并没有创设数据财产权,但我国《数据安全法》第7条表明“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”。该法第19条规定“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”;第33条还指出:“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。这意味着中国通过对数据进行评价和共享的程序来确保数据交易的顺利进行,并把合法、同意以及通过契约之链确认的正当来历作为数据处理合法性的基础,对个人数据的人格利益和财产利益进行债权式的保护——例如对违约及侵权行为的损害赔偿请求权,权利人可以借助反不正当竞争法和消费者权益保护法的规定进行维权。
根据我国《民事诉讼法》,还存在非营利机构或公益机构代表分散的数据主体进行民事集团诉讼的可能性。例如我国《个人信息保护法》就规定对于违法处理个人信息、侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。另外,《未成年人网络保护条例(草案征求意见稿)》也规定如果未成年人的网络合法权益收到侵犯,且相关组织和个人未代为提起诉讼的,人民检察院可以督促、支持其提起诉讼;涉及公共利益的,人民检察有权提起公益诉讼。然而,在这样的状况下,实体法上的数据财产权关系不清晰,也很容易引起纠纷。多明戈指出:“控制好数据,控制好算法掌握的模型的所有权,这就是21世纪战争的内容。”这已经暗示了数据财产权以及学习后模型的知识产权之争的必然性。与这种“21世纪战争”相关,中国大数据产业和人工智能产业在走出去的过程中反复遭到欧美各国的质疑和制裁,主要理由就是涉及数据安全和算法伦理的基本权利保障不充分。因此,完善数据财产权的实体规范,进而将之提升至基本权利的高度,是一项很重要并具有迫切性的立法课题。
然而,如果完全按照欧盟那样的根本规范行事,又难免遏制数字经济高速增长的势头。鉴于上述问题,笔者曾经揭示了数据的规模和质量与人工智能的预测能力之间的正比例关系,指出中国在数据收集和应用方面的独特优势正是机器学习算法提高精密度的重要条件。何况数据的本质是信息,以流动性为特征,很难进行排他化、绝对化的处理;如果采取过度保护的立法政策,反而有可能使数据的经济价值无法实现。例如欧盟设立数据库权利并进行严格的保护,最终导致没有一家大型的数字经济平台和企业在欧洲崛起。实际上,欧盟也开始对以GDPR为核心的数据法制框架进行反思,试图兼顾数字经济发展的需求,在厘清数据产权关系的基础上充分发掘数据的商业价值。在这里,中国可以与欧盟相向而行、互相借鉴。
五、数据合理使用原则与个人基本权利的保障
首先,对于中国而言,应该认识到片面强调数字经济发展和对数据权利偏重民法救济的弊端,结合中国的实际情况适当借鉴欧盟保护数据权利的宪法方法。因为对隐私和个人信息的保护是自由的基础,涉及个人意思自治、言论自由、信息处分权以及反歧视,所以必须把隐私和个人信息保护提升至基本权利的高度,进而强调数字人权的保障。结合大数据和人工智能应用场景可以看到,预测式警察系统和信用评分系统的初衷虽然很好,但会导致标签主义、身份原理的复活和大规模监控,导致社会的区块分化和阶层固化,这与党的十八大以来强调的国家治理体系和治理能力现代化的目标是不相符的。另外,缺乏伦理制约的机器学习会导致算法黑箱化,在决策自动化的同时导致问责机制分崩离析,形成机器官僚主义支配的格局。因此,人工智能时代的数据权利保障不仅需要民法的视角,而且非常需要宪法的视角,包括对基于数据画像而复活的身份原理、基于遗传信息而抬头的血统主义、基于算法偏见而加强的差别对待等现象的预防或纠正。一旦保障数据基本权利的宪法框架得以确立,数字经济立法的空间就有可能适当拓展。
其次,为了在人工智能时代有效地落实基本权利保障,有必要特别关注区块链技术在社会治理方面的应用,因为区块链的本质在于隐私的黑箱化、个人和社会自治功能的强化,避免大数据内在的监控可能性导致人们在言论和行为方面自我禁锢的寒蝉效应。鉴于集中化的人工智能技术与分散化的区块链协议之间的平衡化效应,甚至可以主张新时代宪法秩序变迁的方向就是人工智能系统之间的分立、互查、警告以及制衡,尤其要以区块链技术来限制人工智能技术,也包括用对高度规格化的小数据进行机器学习的结果来检验对大数据进行机器学习的结果、在机器学习之际将已有的数据分为训练集和测试集等方法的采用。这样的技术分权制衡机制,可以理解为一种新型的“数字化监察权”,也构成当今中国宪法学发展的一个新的切入点或增长点。
再次,有必要在中国更鲜明地提出“数据公平使用”的立法原则,在个人基本权利保护、数字经济发展以及数据利润共享之间达成适当的平衡。这种主张并非笔者标新立异,事实上,其已经得到部分发达国家立法实践的支持。例如,欧盟最新的制度设计,包括数据治理条例建议稿(2020年11月25日)、数字市场法草案和数字服务法草案(2020年12月15日)等,已有统筹兼顾之意。又如,日本在2021年5月19日提出的《数字社会法制改革法案》特别强调,在保护隐私权和数据安全的同时,还应该保持数字经济发展的机会。再如,美国参议院在2021年6月9日通过的《美国创新和竞争法案》为了永久维持本国的优势,更明显地把重点放在科技产业创新方面,于数字基本权利方面反倒着墨不多。美国不采取统一立法方式,关于数据伦理、算法公正以及网络空间竞争秩序的规范制定,主要委诸各州,从而给企业的自由发展、相机涉诉以及司法外交留下了充分的回旋空间。
从数字经济的角度来把握基本权利,还应重视一项法理原则,即对公平分配利益的合理期待。在某种意义上可以说,这种赋权的关键是形成一种对不同属性的人权之间关系进行适当处理的机制,即人权相互的调整,当然也势必涉及个人数据权利与公共利益以及改进人类整体福祉的导向之间的协调。关于这种机制设计,可以举出英国的数据信托构想、日本的数据银行构想、中国的数据交易所构想。这些构想的宗旨和目标都是要防止大型网络平台企业或政府部门垄断数据所带来的各种弊端,改变数据主体与数据控制者之间的非对称关系,通过独立的、中立的、可信任的第三方机构、平台或者交换机制以及相应的法律制度安排,在数据储存、管理以及交易中确保隐私和信息安全。
数据信托构想付诸实施之际的问题是数据的权属关系很难界定,也很难征求利益攸关者的同意,并以此作为数据管理的正当性基础,因而具体的运作有赖于情境思维,不得不因地制宜、采取多样化的组织方式。与此不同,数据银行更明确地以数据货币化为特征,通过储存数据的利息或者对数据主体给予积分奖励等方式增强诱因,通过匿名化处理后把数据贷出,创造经济价值,进而在数据主体与分析和应用数据的企业之间形成合理的利益分配关系,以此作为可持续性商业模式的基础。如果说数据信托和数据银行本质上更倾向于企业组织,那么也可以说第三种构想本质上更倾向于自我调节的市场。数据交易所的设计方案试图直接把中国现实中已存在的数据交易现象加以制度化,依托行业协会和专业化评估机构和仲裁机构,使数据交易所成为要素市场化配置的一种赋权机制。
最后,还要探讨与机器人权或者电子人格(e-person)相关的权利问题。赋予人工智能系统或者机器人法律人格以及权利之议听起来似乎有些虚玄,但如果人机混合状态更普遍、人工智能系统的性能变得更强、机器人开始具有自我意识和精神作用,那么这样的思考就将具有现实意义,犹如关于动物、胎儿、植物人权利的学说已经为社会所接纳一样。实际上,只有承认人工智能系统的法律人格,才能实现向机器人征税、让智能技术之间达成分权制衡、认定自动化创作的著作权和发明权、依法追究智能合约的违约责任、合理解决自动驾驶汽车或智能医疗机器人造成损害的法律责任分担问题以及推动人工智能企业从无限责任形态转向有限责任形态等制度设计方案。一旦承认智能机器的法律人格和权利,随之还会出现机器人的言论自由以及拒绝歧视和虐待的宪法性议论,使基本权利的外延和内涵也获得重新认识。
六、结语:数字人权之争与中国宪法学的增长点
近期,在中国,智能软件“ZAO —逢脸造戏”消费协议的霸王条款引爆全国舆情,针对杭州野生动物世界强行采用人脸识别技术的诉讼也成为法律界的热点,这两件标志性事件几乎同时发生,使人们有理由将2019年视为中国“数字人权元年”。从更广泛的意义上来说,提出数字人权的概念是为了对抗算法独裁、对抗已经开始蔓延的机器官僚主义倾向。值得重视的是,张文显教授和马长山教授还进一步把数字人权理解为第四代人权,至少构成其中一项最核心的内容。然而,究竟能否提出数字人权的概念、能否把数字人权作为第四代人权,迄今为止在中国法学界仍存在尖锐的对立。例如,刘志强教授就认为数字权利不能理解为新型人权,甚至不宜作为的人权的下位概念。通常所说的三代人权是指自由人权(信仰自由、人身自由、言论自由、选举自由)、社会人权(受教育权、居住权、健康权、择业权、最低生活标准等)、族群人权(少数民族语言、民族自治、环境权、发展权、女权、同性恋权)。人们提出数字人权这个概念时,主要针对数字鸿沟、算法歧视、监控社会、网络人格等问题,其内容的确与既有的自由权、社会权、族群权有着千丝万缕的联系。在这个意义上,刘教授的主张不无道理。
尽管如此,笔者还是不得不指出:信息和实体交融的系统的确产生了前所未有的互动关系和生活方式,势必导致社会结构的大转型。在这里,公民的身份具有更加明显的多重多样性;人的权利行使不仅受到主权的约束,而且受到代码框架的规制,在很多方面代码甚至取代了法律;人际沟通的空间因聊天室和微信群的人数上限以及监测技术而发生质变,控制成本大幅度下降;社群可以采取在线方式,形成虚拟的第二人生;信息具有越来越丰富的经济价值,但给信息赋予财产权却又会带来各种风险。另外,隐私不仅受到传统的威胁,而且受到来自无所不在的数字感应器的威胁以及来自私人组织(例如电商、外卖店)自动收集信息活动的威胁,这样的事态是前所未有的。由此可见,数字人权的概念的确存在独特的形式和内容,具有充分的事实依据和法理基础;数字基本权利的认定和保障也的确形成了某种崭新的范式,是既有的制度框架难以涵盖的,称之为第四代人权并无不妥。
总之,由于信息通信技术和智能物联网的普及,我们正在经历人类社会的空前巨变,政府的治理体系、法律的制度安排乃至宪法的基本框架都需要重新认识。对于基本权利理论而言,可以说同时面临发展的挑战和机遇,需要人们共同努力,不断尝试知识范式的创新,提出适应世界大转型趋势的制度设计方案和政策工具。在这样的背景下,笔者认为,提出数字人权以及第四代人权的议题,并以此为契机深入探讨新兴权利的各种类型和具体内容,对当今中国的法治秩序构建具有重要而深远的意义。特别是在把体制问题转化为法律程序和数字技术问题的基础上,围绕数据保护权以及数字人权的自由讨论,可以为宪法学和人权论的发展以及范式革新找到若干新的切入点、突破口或者增长极。
原文刊载于《政治与法律》2021年第10期,感谢微信公众号“政治与法律编辑部”授权转载。