其他
唐林垚│隐私计算的法律规制
摘 要
隐私计算是在保障数据安全前提下,充分释放数据潜在价值和效益的技术体系。通过对传统数据处理流程的更新和改良,隐私计算有望消弭数据流动和隐私保护的根本性矛盾,但也可能导致算法危害的倍增和异化。面对隐私计算风险,既有的信任维系、目的规范、集体诉讼、缺陷弥补和强制脱敏等机制仍有延伸适用的空间,但应注重机制间的联结和互动。契合“去中心化”“分布式学习”等根本特征,隐私计算的体系化法律规制可以从开发行为规范、外部审查体系、动态协商框架、主体赋权制度和统一行业标准等五个维度予以综合刻画。秉持的宗旨是,既要防止技术黑箱下的责任缺位,也要充分兼顾数据生产力解放和经济发展的现实需求,避免过分打压隐私计算的技术创新。
作者简介
唐林垚,中国社会科学院法学研究所助理研究员
本文刊载于《社会科学》2021年第12期
一、问题的提出
近年来,科技界、监管层和立法者均已意识到问题的紧迫性,发改委、网信办、工信部和能源局《关于推进“上云用数赋智”行动 培育新经济发展实施方案》《加快构建全国一体化大数据中心协同创新体系的指导意见》《全国一体化大数据中心协同创新体系算力枢纽实施方案》等政策文件,与中国支付清算协会《多方安全计算金融应用评估规范》以及刚颁布不久的《数据安全法》《个人信息保护法》等形成联动,规定了信息转委托、信息共同处理规则,明确了处理者的数据安全保护义务,但在规制隐私计算方面尚存在火候不足、体系不全和应对不利的问题。
隐私计算的风险并非技术变革的产物,而是前沿科技打破传统算法应用中数据处理惯例的必然结果。就此而论,隐私计算的法律规制需要深入反省既有保护机制的外部性溢出原因,厘清风险嵌入隐私计算的技术路径,与此同时,还应结合我国实情,向前检视当前数据安全法律体系的制度余量,向后探索符合隐私计算技术发展规律的规制框架。
二、嵌入隐私计算的现实风险
(一)转译偏差耗散风险
隐私计算的第一重风险,是加剧数据处理过程中的转译偏差。弱人工智能阶段,算法逻辑直接映射自然人逻辑,开发者的价值观负载和内隐性偏见将导致自动化决策系统失误。例如,在代码编写环节,美国科罗拉多州公共福利系统的程序员曾将“无家可归”不恰当地转译为“行乞为生”,使得本该获得政府救济的流浪者们被算法拒之门外。隐私计算为算法自动化决策施加了诸多限制性条件,使得开发者在前端编写过程中不得不心怀更多顾虑,转译过程的精确性更加无法保证。具体而言,安全多方计算通常以降低数据清洗成本为起点,技术方有时会摒弃清洗成本较高的非结构化数据,采用生成对抗网络(GAN)生成的模拟数据;联邦学习中参与“集训”的初始模型必须具备相当程度的适应性品格,才能在多个数据源间“往返流转”。为此,开发者在建模时一般不对模型目的进行确定和统一;可信执行环境的硬件嵌套带来了兼容、衔接和协作方面的问题,也将加剧转译过程偏差和耗散。总之,程序员的内心偏见将阻挠正确、中立的意思在代码中的表达。如何降低转译偏差,强化对技术性较高环节的监管,是隐私计算规则构建时需要考虑的第一层问题。
(二)数据集偏误风险
隐私计算的第二重风险,是运算结果不准确。隐私计算扩展了数据来源渠道,但问题也由此产生:首先,互联网等外部渠道数据的来源合法性难以甄别;其次,共享模式下数据流转更加复杂和难以控制,数据使用边界无法限定;再次,各方数据问题可能相互传染,激发数据安全的连带风险。本来,多个渠道的数据合并有望修正数据采集的天然瑕疵。最理想的情况是,数据集样本分布过于离散、过于集中、漏误等问题,都能因不同数据集之间的取长补短得以弥补。例如,方言数据集的导入,可以提升语音识别软件的正确率;全国违法数据的加权平均,可以减少警务预测系统对外地人的偏见。但是,隐私计算经常在相互渗透的行业间进行,数据聚合过程反而可能会放大数据集的原本缺陷,使过去存在的问题更加严重。如何将数据资源的差异性考虑在内,建立科学的数据筛选和容忍机制,是隐私计算规则构建时需要考虑的第二层问题。
(三)人为投毒对抗风险
隐私计算的第三重风险,是系统被破解或破坏。隐私计算具有“白盒特性”,各参与方都可以直接获取完整的全局模型参数,恶意攻击者同样可以利用该特性伪装成诚实参与方窃取运算结果、扭曲模型或破解可信环境。隐私计算的安全研究尚处于起步阶段,防御体系的升级速度长期落后于数据量的指数级增长。研究表明,即便有所防范,训练集中只要包含3%的中毒数据,模型误差将从12%上升至23%。如何引导各参与方怀抱诚实和善意,在“你中有我,我中有你”的格局下做到“人人为我,我为人人”,是隐私计算规则构建时需要考虑的第三层问题。
(四)歧视的群体化风险
隐私计算的第四重风险,是算法歧视从个体歧视转变为群体歧视。“个人信息具有共享属性,具有公共利益价值。”数据集偏差或数据缺陷可能导致算法歧视,在隐私计算中,不同来源数据间的强搭和错配可能对联合数据造成冲击与扰乱,造成歧视规模性放大。除了数据投毒等极端手段,某些参与方的数据输入因数据梯度同其他参与方相差过大,也可能间接导致模型被“污染”,输出歧视性结果。单次歧视的即时危害虽不易被察觉,却足以在更长时间维度和更长数据链条上产生积累式影响,联邦学习全局模型的不断轮回最容易导致群体歧视泛滥。例如,当不同学校的毕业生数据被用于训练招聘筛选系统、当男性占绝对多数的IT行业数据和其他行业数据被共同用于训练升职评价系统时,同身份紧密捆绑的群体歧视将从数据向模型蔓延。如何减少隐私计算中的算法歧视,是隐私计算规则构建时需要考虑的第四层问题。
(五)应用逆向淘汰风险
隐私计算的第五重风险,是扰乱智能应用市场的良好秩序。在隐私计算应用大规模部署前,面对相似或相异的受众,传统的智能应用之间存在竞争关系,只有安全稳定、受消费者信赖的智能应用才能获得更高市场份额,不重视隐私保护的智能应用将面临被淘汰的命运,因严重违法违规收集使用个人信息而被强制下架的“滴滴出行”即为一典例。隐私计算的大规模部署,极有可能导致数据处理模式趋同。对规整性要求不高、通信成本更低的智能应用,或将随着隐私计算的跑马圈地,逆向淘汰相对保守的传统智能应用。如何引导科技向善、避免智能应用“柠檬市场化”,是隐私计算规则构建时需要考虑的第五层问题。
三、隐私计算的既有规制手段及其局限
(一)信任维系机制失焦
技术的信任维系机制,以技术优势方的信息披露为基础。一直以来,算法可解释性的合规要求,是世界各国人工智能法的核心要旨。在隐私计算嵌套进算法决策过程后,可解释性变得更加难以实现。隐私计算的各项技术构成了一系列法益依附的黑箱,由于受商业秘密的保护,监管者难以强制技术方公开披露技术细节。公共管理部门的隐私计算方案更是关涉公共安全,将内部技术细节置于公众审视之下容易遭受舆论非难,且必然削弱系统的防御力。除此之外,隐私计算中环环相扣的符码规则进一步打断了算法可解释性的链条;多重加密手段的运用,更是以减少不透明度作为隐私计算中的个人信息保护屏障。由此可见,算法可解释性在隐私计算中的匮乏,本就是保障隐私安全的策略和手段,如此一来,基于算法可解释性的信任维持机制在隐私计算中必将面临重塑。
(二)目的规范机制失调
知情同意框架,是数据处理活动的基本保护范式,因知情而同意或不同意,共同勾勒出数据主体在数据处理活动中的能动性边界,使数据处理活动的目的被锚定在合理的区间之内。在数据处理活动中,用户同意的知情前提常因各种原因被削弱,导致目的规范机制无法发挥作用。例如,用户协议可能篇幅过长,即便语言平实易懂,用户也不可能潜心阅读完毕。由于相当多的意外情况在日后的数据处理活动中才可能发生,数据主体在对一系列关切自身重大利益的事项进行“一揽子同意”时,通常无法准确评估合同的每一条款可能使自身面临的风险,难谓表意自由。就隐私计算而论,数据主体可能无法想象,允许数据处理者与其他受托方或第三方共享用户数据,将带来巨大的数据保护空白;数据主体也可能无法预料,出于实现公共利益的善心,适当允许处理者扩大数据采集范围,反而将助长数据剩余权利滥用、隐私迫害等情况的滋生。数据处理者可以就隐私计算技术细节提供详实的用户协议,数据主体也对此表示同意,但不能因此完全认可此间法律关系的产生、变更或消灭的合理性,毕竟,数据主体根本无力深究长篇累牍用户协议中可能存在的“雷区”,更无法从技术层面知晓自己的数据何时被调取或使用;意思表示真实性和有效性大打折扣,“同意”与“事实上知情”存在断层。
(三)集体诉讼机制失效
隐私计算的涉众基数,远大于普通算法应用的受众基数。一般情况下,集体诉讼被认为是应对大规模侵权行为和群体性小额争议的“灵丹妙药”,受害人的维权成本在群体中分担,数名相同境况的人遭受“共同损害”的事实有助于建立技术使用和损害发生间的因果关系,例如,利用用户弱点的钓鱼营销对单个用户而言可能是无法察觉和举证的“隐形侵权行为”,但当海量用户都被钓鱼营销时,侵权行为便不再隐秘。但是,隐私计算“分布式学习”的技术样态在事实上降低甚至消灭了受害者的聚合可能。隐私计算的数据传输过程,本是通过层层加密手段、服务器分属不同区域的物理隔绝措施以及去标识化和匿名化等必要处理方式,实现个人数据的“可用不可见”;而受害人身份的群体互识,只有在加密方式被破解、服务器被攻陷以及去标识化和匿名化被逆转的情况下,才可能发生。易言之,隐私计算本是通过杜绝数据主体之间的相互识别达到提升安全性的效果,这种机制本身导致了隐私计算中数据主体将集体维权困难。
(四)缺陷弥补机制失衡
各国立法者从数据主体的“个人信息自决”(information self-determination)入手,赋予了数据主体一系列权利救济途径。例如,欧盟《通用数据保护条例》(以下简称GDPR)第17条规定了“被遗忘权”:“数据主体有权要求数据控制者擦除关于其个人数据的权利。”实现被遗忘权的方式是“清除同个人数据相关的链接、备份或复制”,此举因实践成本极高且有悖信息自由而饱受诟病。美国《加州消费者隐私法案》(以下简称CCPA)第三章规定了“删除权”,“如果服务提供商收到消费者提出的删除其个人数据的可验证请求,则应从其系统中删除消费者个人数据,并指示任何‘从服务提供商’从其系统中相应删除消费者个人数据”,较之于被遗忘权更具可操作性。我国《信息安全技术个人信息安全规范》(以下简称《安全规范》)第8条第3款和《个人信息保护法》第47条借鉴了CCPA删除权的思路,但通过适当降低删除权实质内涵的方式进一步降低了技术方的合规成本:只要个人数据在日常业务功能所涉及的系统中不能被“检索或访问”,即满足《安全规范》第3条第10款对“删除”的定义。由于没有实质性删除个人数据或清除同个人数据相关的链接、备份或复制,《安全规范》为删除权设定的最低门槛在特定情况下仍然可以被技术性逆转,恢复“被检索或被访问”的状态。隐私计算本为链接数据库而生,此时,为降低企业合规成本而允许技术方采取“名义删除”的做法将不再有效。除此之外,被遗忘权、删除权的实用性在隐私计算中也大打折扣。由于过度依赖在数据集中添加混淆数据以提升安全性,“实质删除”的难度大大增加;具有不可篡改特性的区块链技术在隐私计算系统中的穿插应用,令不可逆转的删除难以实现。总之,隐私计算中的数据主体需要不同于被遗忘权或删除权的信息自决手段,才能真正实现对自身数据权利的保障和救济。
(五)强制脱敏机制失范
技术对个人隐私的侵蚀愈演愈烈,对个人信息进行脱敏化处理已经成为全球个人信息保护立法的共识,信息处理方有责任采取技术手段保证任何人或组织无法以倒推的方式,知晓信息主体的真实身份。《安全规范》规定了去标识化和匿名化两种脱敏方式,前者是指不借助额外信息便无法识别、关联或复原个人信息的技术处理方式,后者是让个人信息不能被识别、关联或复原的技术处理方式。问题在于,随着数据如滚雪球般积累,完全匿名化的状态将不可能保持。“数据最小化、匿名化等原则,在大数据反向识别和预测性挖掘等技术下失去了应有的保护作用。”单独看来没有任何痕迹残余的匿名化数据,极有可能因为数据聚合而露出蛛丝马迹。诚然,隐私计算的数据加密和权限管理,在很大程度上阻断了多方大数据“实质合并”的可能,但机器学习模型在各参与方之间的多次往返流转也极有可能泄露出足以识别“去标识化”数据的线索。极端情况下,掌握了足够多的单向反馈和模型变动,完全碎片化的匿名数据也有可能被复原。总之,隐私计算中数据交流的爆炸式增长,将使得任何匿名化处理手段都难以有效消弭匿名数据的“剩余风险”。
四、隐私计算的体系化规制策略
(一)开发行为规范
促进技术向善最有效的手段,是通过法律将标准和原则植入技术应用的底层行动逻辑,因势利导出政策制定者期望的结果。就隐私计算而言,立法者可以将伦理先行原则、声誉评价机制等植入开发行为规范,为不同类型的技术应用创设差异化的社群规则。
隐私计算的技术应用首先需要满足伦理先行原则,不得游走于现有法律体系的灰色地带进行监管套利。由于汇聚了海量大数据,技术方极易经不住诱惑,利用算法压榨个体、摄取不成比例的回报。由于同算法决策息息相关,隐私计算同样包含价值判断,立场抉择关涉多方利益。因此,技术方案选择不应是简单的效益至上或是性能择优。隐私计算的伦理先行体现在,各参与方的效益增长势必要同步拉动社会公共利益提升。从数据主体的视角来看,隐私计算的技术红利应当雨露均沾,技术方必须要努力兑现在用户授权时对用户的承诺,否则数据主体有权主张隐私计算的合同自始无效。
此外,技术方还应当主动引入声誉概念作为参与方信任度的衡量指标,净化隐私计算环境。从可以采取的技术手段来看,多权重的主观逻辑模型使基于声誉的可信赖客户端之间的“朝上竞争”成为可能,配合区块链技术的不可篡改特性,分布式信誉管理不再是痴人说梦,例如,可以利用区块链技术跟踪全局模型更新,对积极参与隐私计算的用户给予丰厚奖励,结合局部模型参数筛选客户端子集,实现更高稳定性和收敛效率等。不过,自我修复的技术尝试有时也存在技术间的相互掣肘,隐私计算的主导方需“量力而行”。例如,区块链技术的公共账本特性存在通信延迟、数据吞吐量大等问题,与隐私计算技术相结合,必然对通信设备、服务器带宽以及主机算力等提出更高要求。
(二)外部审查体系
信息不对等必然诱发权力滥用。隐私计算的层层技术黑箱极大地削弱了算法可解释性的制约效力。由于技术具有嬗变性,多环节技术叠加还有可能造成脱离造物者预设程序但短期内难以被人察觉的情况。因此,“心怀善意”的技术方至多作出“自以为正确的解释”,其实错误乃至虚假的信息披露是隐私计算中的常态。职是之故,有必要引入外部审查机制、深入探查隐私计算的潜藏风险。
隐私计算方案的外部审核主体应当由独立的第三方机构担任,实施审核的专家委员会由具备相关技术背景、同各参与方无利益往来的专家组成。“专家会诊”不宜简单地将安全凌驾于精准度、效率、公平和收益等价值之上,而需要通过最低限度的尽职调查,平衡纵横交错的多元诉求,在保障基本安全的前提下尽可能促进数据效能的最大释放。功能单一的刚性标准,很难对不同技术手段的差异性诉求给予全面而有效回应,甚至会对个别数据主体的独特性利益造成压制。因此,在隐私计算的各个技术场景中,弹性治理的意义大为凸显。根据应用场景的不同,可以从审核强度、价值位阶和优先防御手段等多个维度共同确定隐私计算的“滑动审核标准”,如表1所示。
(三)动态协商框架
虽然知情同意框架有着诸多缺陷,但至今仍然广泛地被各国立法者前置为信息处理全周期的“第一闸口”,主要是因为标准化的模式无论对于数据主体还是数据处理主体而言,均为最有效减少交易成本的解决方案。可以预计,在隐私计算作为算法应用基础设施的全新业态中,知情同意框架仍将发挥巨大的作用,但亟需根据隐私计算的业务特征进行更新和巩固。
隐私计算的适用场景呈现高度动态化特征,数据处理者必须结合节点状态、合约策略、加密方式、环境闭合等情况临机应变,清晰、稳定、透明的数据处理方式不再具有可期待性。这种动态化的业务特征,决定了知情同意框架也必须相应处于动态变化之中,数据主体只有做到与时俱进的“知晓”,才能作出真正符合其意思表示的“同意”,否则无异于“缘木求鱼”。例如,因加密或传输方式的革新导致数据使用方式的改变、数据处理者对新模型训练请求的授权、新硬件模块在可信执行环境中的导入等,数据处理者均需通过正当程序,依次与数据主体之间达成合意。
从学理上看,隐私计算下的知情同意框架所对应的合同类型,不再是多次即时结清的静态合同,而是当事人各方处于“继续性合作伙伴关系”的动态合同。合同各方在任何一个时间点上无法准确定性未来的数据处理情况,只能将彼此之间的交易视为“在很大程度上属于未知领域的整体活动的一部分”。同传统的静态合同各方始终受初始条件的拘束不同,动态合同关系中各方的权利和义务将长期处于一种开放式的、不断修正的状态之中。由于用户协议的一揽子授权同意不能覆盖隐私计算的整个数据处理流程,数据主体的初始同意不应当视为对自身信息权益的永久授权。即使是去标识化、匿名化的个人数据参与隐私计算,数据处理主体也应当“逐次、分别、主动”请求用户授权。
反复征询必然降低隐私计算效率,反过来又可能对数据主体隐私权中的安宁权造成损害,而且极有可能导致疲惫之下用户的一揽子授权或一揽子拒绝。为了避免这种情况的发生,应当为隐私计算中的个别情形设置授权豁免。笔者认为,在两种情形中,数据处理者无需再次征求用户同意。其一,当隐私计算的确不涉及个人权益时,数据处理者在履行通知义务后可参与隐私计算,用户虽无收益但权益不受损害。其二,对于符合《民法典》第1037条规定,自然人“自行公开或者其他已经合法公开”以及基于公共利益与他人权利的维护而需要处理的个人数据是否参与隐私计算,数据处理者有权自行决定。
(四)主体赋权制度
对于社会福利的衡量,卡尔多—希克斯标准认为,资源配置可能使部分人受益,也可能使部分人受损,但只要受益者的收益足以赔偿受损者的损失,那么社会福利就是增加的,即便这种赔偿并未实际发生。从《民法典》的相关规定来看,自然人对其个人生物识别信息享有民事权益中的人格权益,而人格权益具备一经成立即附着于复杂社会关系的特殊性。“停止侵害”“返还财产”“赔偿损失”“赔礼道歉”等责任承担方式均无法在实质上消除个人生物识别信息泄露的恶劣影响。因此,在隐私计算中,卡尔多—希克斯效率的计算方式毫无用武之地,宜将“统一增进社会福利”的帕累托标准作为隐私计算的理想目标。虽然为了社会效益的增长,个人数据权益的克减不可避免,但在有多个参与方的交易中,如果部分参与方的利益主要体现为财产利益,其余参与方的利益主要体现为人格权益,人格权益方应当被优先保护。
隐私计算中的数据主体宜享有以自身利益为目的而行使的“自益权”,这种权利的行使应具有便捷性,且限制较少。CCPA中的“选择退出权(Opt-out)”就是一个极好的范例,允许消费者限制企业同其他第三方分享个人数据。不过,“选择退出权”的创设背景,是数据主体对数据处理行为的“默认同意”,不适用于数据处理主体应当“逐次、分别、主动”请求用户授权的隐私计算。将数据主体视为个人数据的最佳处分权人,与隐私计算多环节、多目的特征相匹配,笔者主张设置“断链权”,将《个人信息保护法》第15条的“撤回同意”在隐私计算场景中不折不扣地落实。通过行使该权利,数据主体可以打断数据主处理者和从处理者对其个人数据的后续处理行为。权利性质上,断链权为形成权,是依照数据主体单方面意思表示即可使已成立的数据处理关系发生变动的权利。断链权同时具备撤销权属性,行权结果是使已经发生效力的意思表示归于消灭。
断链权的坐标定位可以通过同其他权利的比较予以明晰。其一,断链权非删除权。数据主体行使断链权,中止的是信息处理主体对个人数据的“使用权”,而非“持有权”,数据处理主体将不再有权收集数据主体任何个人新数据,若无特别法定事由,也不得对继续持有的原个人数据进行任何形式的处理。其二,断链权非更正权。在隐私计算的任何阶段,数据处理行为因数据主体的“层层同意”或“逐次授权”具有合法性基础,数据主体行使断链权,仅对之后的信息处理行为生效,既不产生溯及既往的效力,也不改变既有自动化决策结果。其三,同被遗忘权相比,断链权是“个人信息自决”更为直接的权利表达范式。断链权的行使不以侵权行为的存在为前提,能够成为过于孱弱的知情同意框架和相对极端的删除权、被遗忘权之间的良性缓冲。
(五)统一行业标准
数字化转型现状下,金融、保险、医疗、销售、教育等行业都向数据处理行业转型。2021年6月28日,中国支付清算协会发布《多方安全计算金融应用评估规范》,这是我国第一个有关隐私计算的金融规范。数据标准统一、技术规范明晰,是上下游法律联动的基础。隐私计算各项技术流派众多,数据采集和处理方式差别迥异。金融行业之外,其他行业主管部门也应当联合牵头制定跨行业共同遵守适用的“数据辞典”,打造数据交换的“通用语言”,做到数据编码、制式、口径、格式方面标准的统一,保证数据来源、内涵、处理逻辑可被“反事实校验”。建立跨行业的统一标准,还将有利于构建新兴技术适用的安全漏洞知识库:行业主管部门应将零散的概念、实例和规则整合成体系化的检索库,在地址、端口、服务、属性、协议五元组层面实现隐私计算的知识图谱化。
政府部门,处于数据和关键信息基础设施的要冲,是最庞大、最完整的数据拥有者。政府部门向各行各业定向开放“国家教育资源公共服务平台”“国家科技管理信息系统公共服务平台”“国家社会保险公共服务平台”“全国企业信用信息公示系统”“个人信用信息公示系统”等数据库,有助于赋能各个产业的数字化转型。目前,国家级和区域级的大数据交易所已在我国渐次成型。2021年3月31日,北京国际大数据交易所成立,系我国首家基于“数据可用不可见,用途可控可计量”新型交易范式的数据交易所。在行业标准统一之后,可以交易所为依托,选择政府数据作为权威可信数据源开展隐私计算试点,在金融普惠、智慧医疗、教育监管等领域率先打造技术沙盒,之后再以点带面逐步向全国、全行业示范推广,有的放矢完善隐私计算的确权模式,循序渐进推动隐私计算的应用落地。
结 语
往 期 推 荐
赵秀梅|抵押权除去租赁权问题研究——以《民法典》第405条的解释论为中心
黄尹旭 杨 东|超越传统市场力量:超级平台何以垄断?——社交平台的垄断源泉