蘇 宇

提要：數(shù)據(jù)推理既是開發(fā)利用數(shù)據(jù)價值的重要手段，也可能對個人信息保護(hù)、數(shù)據(jù)安全和算法安全造成潛在風(fēng)險。規(guī)制數(shù)據(jù)推理風(fēng)險既需要盡量追求數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用之間的價值平衡，也需要有充分的技術(shù)前瞻性。國內(nèi)相關(guān)立法中盡管已有較多間接支持和保障數(shù)據(jù)推理規(guī)制的規(guī)范依據(jù)，數(shù)據(jù)推理規(guī)制的直接依據(jù)及具體制度工具仍頗為有限。在眾多專門性法律機(jī)制中，應(yīng)當(dāng)以元規(guī)制為主要的數(shù)據(jù)推理規(guī)制路徑，建立和完善以數(shù)據(jù)分析安全合規(guī)為重心的規(guī)制體系。

數(shù)據(jù)推理既是開發(fā)利用數(shù)據(jù)價值的重要手段，也可能對個人信息保護(hù)、數(shù)據(jù)安全和算法安全造成潛在風(fēng)險。伴隨《數(shù)據(jù)安全法》和《個人信息保護(hù)法》等法律規(guī)范的起草、制定和實(shí)施，數(shù)據(jù)推理的法律問題開始受到重視。數(shù)據(jù)流通與利用主要方式的變遷，更使數(shù)據(jù)推理在數(shù)據(jù)治理中的關(guān)注度日益提升。隨著數(shù)據(jù)治理立法的持續(xù)推進(jìn)與相關(guān)執(zhí)法活動的不斷加強(qiáng)，直接竊取具有一定敏感程度的原始數(shù)據(jù)(包括個人信息與非個人信息)將日益困難，此時基于“非接觸性”的方式間接推測上述數(shù)據(jù)就成為主要的風(fēng)險來源，這就使數(shù)據(jù)治理必須充分注意來自數(shù)據(jù)推理的威脅。

在我國，以個人信息相關(guān)法益為代表的權(quán)益保護(hù)要求使數(shù)據(jù)的流通與交易越來越傾向于限制原始數(shù)據(jù)的流通與轉(zhuǎn)移，而代之以提供被處理數(shù)據(jù)的數(shù)據(jù)利用方式。2022年1月，國務(wù)院辦公廳印發(fā)的《要素市場化配置綜合改革試點(diǎn)總體方案》在“建立健全數(shù)據(jù)流通交易規(guī)則”部分明確提出“探索‘原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見’的交易范式”。在相關(guān)法律和政策的推動下，隱私計(jì)算相關(guān)技術(shù)在業(yè)界可謂“熱浪滔天”，隱私集合求交、樣本對齊、零知識證明、同態(tài)加密、差分隱私、安全多方計(jì)算、可信執(zhí)行環(huán)境乃至全域隱私計(jì)算等術(shù)語及相關(guān)技術(shù)的出現(xiàn)和流行，使得海量數(shù)據(jù)可以在“可用而不可見(知)”的前提下經(jīng)由一定的數(shù)據(jù)分析過程而被開發(fā)利用。以北京國際大數(shù)據(jù)交易所為代表的“數(shù)據(jù)可用不可見，用途可控可計(jì)量”新型交易范式(1)參見彭江：《北京加快培育數(shù)據(jù)交易市場》，《經(jīng)濟(jì)日報(bào)》2021年4月6日，第11版。很有可能在未來一段時間主導(dǎo)數(shù)據(jù)交易及后續(xù)開發(fā)利用的進(jìn)行。原始數(shù)據(jù)“不可見”的要求顯然將很大程度阻斷外界非法接觸原始數(shù)據(jù)的途徑。在基礎(chǔ)性管理制度日臻完善、直接竊取原始數(shù)據(jù)越來越困難的前提下，數(shù)據(jù)安全風(fēng)險將逐漸轉(zhuǎn)入隱蔽的疆域。原始數(shù)據(jù)的安全和個人信息保護(hù)的成效，最終取決于數(shù)據(jù)推理所能到達(dá)的邊界。通過各種途徑獲取數(shù)據(jù)的主體能夠通過數(shù)據(jù)推理在多大程度上推斷原始數(shù)據(jù)或推知其中隱含的敏感信息，不僅很大程度上決定著《個人信息保護(hù)法》中“去標(biāo)識化”與“匿名化”之間的分野，更在很大程度上決定了對數(shù)據(jù)安全保護(hù)技術(shù)的需求強(qiáng)度，進(jìn)而間接決定了數(shù)據(jù)安全與數(shù)據(jù)價值利用之間的潛在平衡點(diǎn)，可謂未來數(shù)據(jù)開發(fā)利用的要害所在。

由此，數(shù)據(jù)推理的法律規(guī)制也需要學(xué)界與實(shí)務(wù)界更多的關(guān)注。數(shù)據(jù)推理在法律層面上的重要性不僅在于其對數(shù)據(jù)安全和個人信息保護(hù)日益舉足輕重，更在于其技術(shù)上的可能邊界與業(yè)務(wù)上的可行范圍很大程度上影響著數(shù)據(jù)治理中相關(guān)權(quán)益的配置和制度設(shè)計(jì)。數(shù)據(jù)推理的可能性將直接影響數(shù)據(jù)分類分級的結(jié)果，而法律如何防止?jié)撛诘墓粽呃脭?shù)據(jù)推理獲取本來無從知悉的敏感信息，則很大程度上影響著數(shù)據(jù)治理的成效，法律規(guī)制數(shù)據(jù)推理的方式和深度，更將深刻影響數(shù)據(jù)要素的價值實(shí)現(xiàn)和數(shù)字經(jīng)濟(jì)的發(fā)展前景。

一、數(shù)據(jù)推理的多重風(fēng)險與規(guī)制需求

在寬泛意義上，數(shù)據(jù)推理旨在描述數(shù)據(jù)之間明確或不明確的數(shù)據(jù)關(guān)聯(lián)或數(shù)據(jù)聯(lián)系。(2)參見閆林、閆碩：《粒計(jì)算與數(shù)據(jù)推理》，科學(xué)出版社，2019年，第3頁。利用數(shù)據(jù)進(jìn)行推理的具體方式可謂五花八門，例如基于粒計(jì)算(包括詞計(jì)算、粗糙集、三支決策等)的推理，利用機(jī)器學(xué)習(xí)算法進(jìn)行知識發(fā)現(xiàn)，基于結(jié)構(gòu)方程模型的因果推斷，基于信息熵函數(shù)的貝葉斯因果推理，等等，尚未形成統(tǒng)一的數(shù)學(xué)基礎(chǔ)及技術(shù)路線。無論數(shù)據(jù)推理的具體技術(shù)路線及實(shí)施過程如何，總體上，各種推理均致力于通過利用已有數(shù)據(jù)中包含的信息，分析數(shù)據(jù)之間的相關(guān)關(guān)系或/和因果關(guān)系，進(jìn)而推導(dǎo)或推測出未知的信息。在法律上，數(shù)據(jù)推理從屬于《數(shù)據(jù)安全法》第3條界定的“數(shù)據(jù)處理”，后者的含義極為寬廣，“包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等”的表述幾乎涵蓋了所有與數(shù)據(jù)有關(guān)的活動。其中，數(shù)據(jù)推理是使用數(shù)據(jù)的重要方式，其對于數(shù)據(jù)開發(fā)利用的價值日益顯著：從數(shù)據(jù)中能夠推測出多少有用的信息，決定了數(shù)據(jù)潛在的開發(fā)利用價值。

然而，數(shù)據(jù)推理的風(fēng)險也不容忽視。信息安全領(lǐng)域的研究者早已注意到一個基礎(chǔ)性的風(fēng)險：“不同的信息之間有著內(nèi)在的聯(lián)系，這些聯(lián)系可以使得用戶可以根據(jù)合法獲得的信息推理出不可訪問的敏感信息。”(3)徐錚、陳恭亮、李建華：《基于推理樹的XML推理控制研究》，《通信技術(shù)》2015年第2期。基于此種可能性，數(shù)據(jù)推理可能對個人信息、數(shù)據(jù)安全直至算法安全等造成威脅。盡管數(shù)據(jù)推理引致的多重風(fēng)險未必能與其為數(shù)字經(jīng)濟(jì)和數(shù)據(jù)資源利用所帶來的巨大利益相提并論，必要的法律規(guī)制也可以使數(shù)據(jù)推理更好地服務(wù)于正當(dāng)?shù)臄?shù)據(jù)利用目的，但準(zhǔn)確認(rèn)識數(shù)據(jù)推理的規(guī)制需求非常關(guān)鍵。

(一)數(shù)據(jù)推理的多重風(fēng)險

數(shù)據(jù)推理最容易為公眾所感知的風(fēng)險是對個人信息法益的侵害。隨著個人信息保護(hù)需求逐漸凸顯，不少學(xué)者已經(jīng)認(rèn)識到基于聚合數(shù)據(jù)的推理暴露個人信息的可能性。早在2011年，就已有學(xué)者明確提出數(shù)據(jù)聚合與分析能拼合有關(guān)個體的數(shù)據(jù)，形成更豐富的個體畫像。(4)See P. Schwartz & D. Solove, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information,” New York University Law Review, Vol. 86, No. 6, 2011, p.1821.在個人信息界定標(biāo)準(zhǔn)的相關(guān)研究中，數(shù)據(jù)推理的相關(guān)內(nèi)容已經(jīng)不時可見：一項(xiàng)信息能否與其他信息結(jié)合完成指向特定自然人的推理，意味著其是否滿足“間接識別”的標(biāo)準(zhǔn)；(5)參見晉濤：《刑法中個人信息 “識別性”的取舍》，《中國刑事法雜志》2019年第5期。一項(xiàng)去標(biāo)識化的信息是否能經(jīng)由推理還原信息主體的相關(guān)屬性，已成為判斷去標(biāo)識化與匿名化的分水嶺，即判斷是否符合匿名化標(biāo)準(zhǔn)的重要考量因素。(6)參見齊英程：《我國個人信息匿名化規(guī)則的檢視與替代選擇》，《環(huán)球法律評論》2021年第3期。數(shù)據(jù)推理的可能性邊界很大程度上決定了間接識別或再識別的概率，從而使得這一技術(shù)問題開始具備日益顯著的法律意義。在經(jīng)由數(shù)據(jù)推理實(shí)現(xiàn)“再識別”的潛在壓力下，單純的“去標(biāo)識化”已不足以實(shí)現(xiàn)數(shù)據(jù)資源開發(fā)利用中個人信息保護(hù)的要求，許多場景下必須實(shí)現(xiàn)匿名化處理。由此，一系列技術(shù)標(biāo)準(zhǔn)正在陸續(xù)形成，單有推薦性國標(biāo)《信息安全技術(shù) 個人信息去標(biāo)識化指南》(GB/T 37964-2019)及團(tuán)體標(biāo)準(zhǔn)《個人信息處理法律合規(guī)性評估指引》(T/CLAST 001.2—2021)等還不足以支撐完整的個人信息保護(hù)需求，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正在制定的《信息安全技術(shù) 個人信息去標(biāo)識化效果分級評估規(guī)范》將使個人信息保護(hù)與數(shù)據(jù)開發(fā)利用走向更為精細(xì)的平衡，其中決定性的因素就是重標(biāo)識風(fēng)險是否低于閾值，即去標(biāo)識化后的個人信息能否經(jīng)受常規(guī)的數(shù)據(jù)推理之沖擊。即便如此，個人信息仍然難以免遭數(shù)據(jù)推理之威脅。例如，推理者可以利用“臉書”(Facebook)的點(diǎn)贊情況等行為蹤跡數(shù)據(jù)自動化地推測信息主體的年齡、性別、宗教信仰、受教育程度等個人信息。(7)See T. Kenekar& A. Dani, “Privacy Preserving Data Mining on Unstructured Data,” in Sharvari Tamane, Vijender Solanki & Sharvari Tamane eds., Privacy and Security Policies in Big Data, IGI Global, 2017, p.173.由此，不僅未匿名的信息主體容易暴露更多個人信息，已被認(rèn)為是經(jīng)匿名化處理的個人行為蹤跡數(shù)據(jù)集如被推測出足夠豐富的畫像信息，也有可能在特定情形下實(shí)現(xiàn)再識別。

不僅個人信息可能蒙受數(shù)據(jù)推理的侵害，數(shù)據(jù)安全更有可能直面數(shù)據(jù)推理的威脅。拼合“用戶畫像”之類的推理甚至并非數(shù)據(jù)推理的主要風(fēng)險，數(shù)據(jù)推理最集中的威脅目標(biāo)是具有高度敏感性的商業(yè)信息乃至政治、軍事信息，此種威脅隨著大型數(shù)據(jù)庫的誕生而愈發(fā)明顯。長期以來，數(shù)據(jù)庫推理控制一直是數(shù)據(jù)庫安全領(lǐng)域的重要研究內(nèi)容，數(shù)據(jù)庫推理控制的研究早在20世紀(jì)70年代末就已開始，這是因?yàn)閷τ跀?shù)據(jù)庫的數(shù)據(jù)安全而言，推理攻擊的風(fēng)險是始終存在的?！霸诙嗉壈踩珨?shù)據(jù)庫中，若低安全級別的用戶利用其已知的數(shù)據(jù)關(guān)聯(lián)性，及其有權(quán)直接讀取的低安全級別數(shù)據(jù)，推理出更高安全級別的數(shù)據(jù)信息，就構(gòu)成對數(shù)據(jù)庫的推理攻擊，造成高安全級別數(shù)據(jù)的泄漏?！?8)徐巖等：《基于推理通道的函數(shù)依賴推理控制》，《計(jì)算機(jī)仿真》2008年第1期。20世紀(jì)90年代是數(shù)據(jù)推理研究的“黃金時代”，研究者發(fā)現(xiàn)，數(shù)據(jù)庫中的知識發(fā)現(xiàn)可以通過引入傳遞外部知識的“催化關(guān)系”來增強(qiáng)，此種“催化推理”能催化新的推理通道，雖然其本質(zhì)上是不精確的，但推理的粒度可能足夠精細(xì)，也足以造成安全隱患，并且還可以利用搜索引擎由機(jī)器進(jìn)行自動化的推理。(9)See J. Hale and S. Shenoi, “Catalytic Inference Analysis: Detecting Inference Threats due to Knowledge Discovery,”Proceedings. 1997 IEEE Symposium on Security and Privacy (Cat. No.97CB36097), 1997, p.188.無論是基于敏感數(shù)據(jù)的查詢推理(將不同查詢的答案加以組合)，還是基于數(shù)據(jù)與元數(shù)據(jù)(Metadata)的結(jié)合，都有可能推斷出敏感信息。(10)See Vicen? Torra, Data Privacy: Foundations, New Developments and the Big Data Challenge, Gewerbestrasse: Springer International Publishing, 2017, p.67.在知識推理伴隨人工智能技術(shù)的發(fā)展而廣泛興起后，數(shù)據(jù)推理對數(shù)據(jù)安全的威脅顯著升級?；诿枋鲞壿嫷耐评怼⒒趫D結(jié)構(gòu)和統(tǒng)計(jì)規(guī)則挖掘的推理、基于知識圖譜表示學(xué)習(xí)的推理、基于神經(jīng)網(wǎng)絡(luò)的推理和混合推理等眾多推理方式使得知識推理有機(jī)會發(fā)現(xiàn)更深層的數(shù)據(jù)關(guān)聯(lián)性，(11)參見封皓君、段立、張碧瑩：《面向知識圖譜的知識推理綜述》，《計(jì)算機(jī)系統(tǒng)應(yīng)用》2021年第10期。這就使數(shù)據(jù)安全陷入更深層的風(fēng)險之中。即便采取了隱私計(jì)算技術(shù)也未必能保證免受數(shù)據(jù)推理攻擊之侵害，例如數(shù)據(jù)推理攻擊可以從聯(lián)邦學(xué)習(xí)的模型參數(shù)或梯度中反推原始數(shù)據(jù)，從而對隱私計(jì)算技術(shù)所保護(hù)的數(shù)據(jù)安全造成威脅。(12)參見楊庚、王周生：《聯(lián)邦學(xué)習(xí)中的隱私保護(hù)研究進(jìn)展》，《南京郵電大學(xué)學(xué)報(bào)》(自然科學(xué)版)2020年第5期。

數(shù)據(jù)推理對于算法安全的影響在人工智能時代也逐漸體現(xiàn)出來。“深度學(xué)習(xí)算法本質(zhì)上是在所有概率測度構(gòu)成的空間內(nèi)進(jìn)行優(yōu)化，算法既記住了訓(xùn)練樣本，又學(xué)習(xí)了內(nèi)在知識?！?13)雷娜、顧險峰：《最優(yōu)傳輸理論與計(jì)算》，高等教育出版社，2021年，第393頁。顧險峰教授對這一觀點(diǎn)曾在不同場合進(jìn)行專門的解釋，此處的“算法”實(shí)際上是指算法模型。既然算法模型中已經(jīng)融合了訓(xùn)練樣本的信息，攻擊者就可以通過復(fù)雜的推理方法(如在訓(xùn)練影子模型的基礎(chǔ)上進(jìn)行推理)攻擊人工智能系統(tǒng)以竊取其訓(xùn)練數(shù)據(jù)，即發(fā)動所謂“成員推理攻擊”(membership inference attacks)，對用戶隱私和數(shù)據(jù)安全造成顯著威脅。(14)參見王璐璐等：《機(jī)器學(xué)習(xí)訓(xùn)練數(shù)據(jù)集的成員推理綜述》，《網(wǎng)絡(luò)空間安全》2019年第10期。最著名的實(shí)例是大型人工智能算法模型GPT-2因?yàn)檫^擬合(overfitting)而被攻擊者反推其中用于訓(xùn)練的個人數(shù)據(jù)。(15)See Nicholas Carlini, Florian Tramèr, et, al. “Extracting Training Data from Large Language Models，” 30th USENIX Security Symposium (2021), p.2633.如果僅僅是竊取訓(xùn)練樣本，算法安全面臨的風(fēng)險與數(shù)據(jù)安全仍可謂基本重疊，問題是通過訓(xùn)練影子數(shù)據(jù)集和影子模型之類的方式還可以基于計(jì)算設(shè)備在運(yùn)行深度神經(jīng)網(wǎng)絡(luò)時產(chǎn)生的側(cè)信道信息(如功耗)等進(jìn)行量化推理，進(jìn)而提取模型結(jié)構(gòu)和權(quán)重等算法模型中的關(guān)鍵信息，威脅算法安全。(16)參見李景海、唐明、黃誠軒：《基于側(cè)信道與量化推理缺陷的模型逆向攻擊》，《網(wǎng)絡(luò)與信息安全學(xué)報(bào)》2021年第4期。另外，利用訓(xùn)練“冒牌模型”(knock-off model)等類似的方式，還可以在不獲取任何模型參數(shù)與結(jié)構(gòu)特性的前提下，從輸入與輸出數(shù)據(jù)的關(guān)系中推理出算法黑箱的某些特性，從而“竊取”其性能并威脅算法模型的安全。(17)See T. Orekondy, B. Schiele and M. Fritz, “Knockoff Nets: Stealing Functionality of Black-Box Models,” 2019 IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR), 2019, pp.4949-4958.

質(zhì)言之，數(shù)據(jù)推理可以基于數(shù)據(jù)之間的各種相關(guān)關(guān)系或因果關(guān)系，發(fā)現(xiàn)或估測數(shù)據(jù)中難以被直接發(fā)現(xiàn)或直觀認(rèn)知的隱含信息。受威脅的目標(biāo)信息不僅僅是敏感的原始數(shù)據(jù)本身，也有可能是相關(guān)數(shù)據(jù)的某些關(guān)鍵數(shù)學(xué)特征，如數(shù)據(jù)流形維度、概率分布、稀疏度等；推理的對象還包括上述特征的動態(tài)變化，因?yàn)槊舾袛?shù)據(jù)的數(shù)學(xué)特征如果發(fā)生某種結(jié)構(gòu)性的變化，即便原始數(shù)據(jù)不泄露，其背后所隱含的秘密(如軍事行動)也可能被發(fā)現(xiàn)。這些隱含信息一旦被推理者推知，其隱含的法益也將直接或間接面臨被侵害的風(fēng)險，不同場景下對數(shù)據(jù)推理的規(guī)制需求亦由此滋生。

(二)數(shù)據(jù)推理的規(guī)制需求

盡管數(shù)據(jù)推理的規(guī)制需求日益凸顯，學(xué)界與實(shí)務(wù)界仍然對此保持非常謹(jǐn)慎的態(tài)度。這是因?yàn)閷?shù)據(jù)推理的規(guī)制一旦失當(dāng)，很有可能波及對數(shù)據(jù)價值的正常開發(fā)利用。在《個人信息保護(hù)法》和《數(shù)據(jù)安全法》制定以前，學(xué)界對數(shù)據(jù)推理的規(guī)制需求罕有關(guān)注。隨著數(shù)據(jù)開發(fā)利用進(jìn)程的不斷發(fā)展，來自數(shù)據(jù)推理的威脅正在日益凸顯數(shù)據(jù)安全目標(biāo)與網(wǎng)絡(luò)安全目標(biāo)的差異：以網(wǎng)絡(luò)安全等級保護(hù)為代表的網(wǎng)絡(luò)安全制度不能涵蓋數(shù)據(jù)安全和個人信息保護(hù)的規(guī)制需求，因?yàn)橥评碚呃碚撋贤耆梢曰谝婪ǐ@取的數(shù)據(jù)開展推理，在不涉及違法網(wǎng)絡(luò)活動的前提下威脅到數(shù)據(jù)安全和個人信息保護(hù)的目標(biāo)。這一問題背后隱含著數(shù)據(jù)安全的雙重向度：網(wǎng)絡(luò)安全主要考慮的是“為”的向度，即網(wǎng)絡(luò)行為是否正常、能否避免或阻止對網(wǎng)絡(luò)的各種破壞或入侵行為；數(shù)據(jù)安全不僅要考慮“為”的向度(行為向度)，還要考慮“知”的向度(信息向度)，即數(shù)據(jù)中所隱含的信息是否會被應(yīng)知范圍以外的主體獲悉。這意味著即便沒有發(fā)生任何網(wǎng)絡(luò)攻擊或其他形式的惡意入侵、沒有發(fā)生任何天災(zāi)人禍和設(shè)備故障，數(shù)據(jù)安全也可能受到威脅。(18)參見蘇宇：《數(shù)據(jù)安全的雙重向度及制度回應(yīng)》，《中國社會科學(xué)報(bào)》2021年11月10日，第4版。

正因如此，數(shù)據(jù)推理所產(chǎn)生的負(fù)面后果可能非常隱蔽：無論是對個人信息和敏感數(shù)據(jù)的提取，還是對算法模型的破解，都可以在外界難以覺察的情況下完成。通過設(shè)置網(wǎng)絡(luò)安全保護(hù)義務(wù)等傳統(tǒng)的法律規(guī)制方式已難涵蓋數(shù)據(jù)推理所導(dǎo)致的法益侵害風(fēng)險，治理者需要運(yùn)用新的規(guī)制手段，在法治框架內(nèi)實(shí)現(xiàn)數(shù)據(jù)推理風(fēng)險的精準(zhǔn)治理，有效平衡數(shù)據(jù)開發(fā)利用與防范數(shù)據(jù)推理風(fēng)險的目標(biāo)。對此，兩個關(guān)鍵的規(guī)制需求是必須注意的：

第一，規(guī)制數(shù)據(jù)推理風(fēng)險需要盡量追求數(shù)據(jù)治理的價值平衡，避免導(dǎo)致數(shù)據(jù)開發(fā)利用方式的進(jìn)一步收縮。數(shù)據(jù)安全保護(hù)程度的提高與數(shù)據(jù)價值的充分開發(fā)利用之間在一定范圍內(nèi)存在此消彼長的關(guān)系，盡管難以量化計(jì)算最優(yōu)的精準(zhǔn)平衡點(diǎn)，也需要在整體上強(qiáng)調(diào)規(guī)制目標(biāo)上的平衡取向。數(shù)據(jù)的流通交易方式從單純的去標(biāo)識化(例如采用xID標(biāo)記技術(shù)替換原ID但保證映射關(guān)系)到“原始數(shù)據(jù)不出域、數(shù)據(jù)可用不可見”的轉(zhuǎn)變，已經(jīng)使數(shù)據(jù)的利用價值一定程度上讓步于個人信息保護(hù)和數(shù)據(jù)安全等目標(biāo)；而在“數(shù)據(jù)可用不可見”的技術(shù)譜系中，還存在安全性與數(shù)據(jù)利用價值的強(qiáng)弱轉(zhuǎn)換關(guān)系，不能因?yàn)橐晃蹲非笸耆话l(fā)生數(shù)據(jù)推理的風(fēng)險而過度削減流通數(shù)據(jù)所包含的信息量。例如，全同態(tài)加密后的數(shù)據(jù)在抵抗推理方面有相當(dāng)強(qiáng)的安全性，但被全同態(tài)加密的數(shù)據(jù)能實(shí)現(xiàn)的利用價值尚較為有限，而且全同態(tài)加密的成本和效率足以讓普通數(shù)據(jù)利用者望而卻步。(19)參見李宗育等：《同態(tài)加密技術(shù)及其在云計(jì)算隱私保護(hù)中的應(yīng)用》，《軟件學(xué)報(bào)》2018年第7期。又如，抑制技術(shù)(suppression techniques)采用刪除部分?jǐn)?shù)據(jù)項(xiàng)的方式避免重標(biāo)識化風(fēng)險，噪聲添加技術(shù)可以使數(shù)據(jù)在改變原始值的同時保持部分統(tǒng)計(jì)特性，泛化技術(shù)可以降低數(shù)據(jù)集中所選屬性的粒度，這些技術(shù)一定程度上都可以防御數(shù)據(jù)推理的威脅，但同時也不可避免地(甚至是大幅度地)損害數(shù)據(jù)的效用。質(zhì)言之，“一刀切”式的粗放監(jiān)管“無助于解決數(shù)據(jù)流動與數(shù)據(jù)安全之間的內(nèi)在沖突”，(20)參見趙精武、周瑞玨：《隱私計(jì)算技術(shù)：數(shù)據(jù)流動與數(shù)據(jù)安全的協(xié)同保護(hù)規(guī)則構(gòu)建》，《信息通信技術(shù)與政策》2021年第7期。數(shù)據(jù)推理的規(guī)制應(yīng)當(dāng)盡可能通過避免損害數(shù)據(jù)效用的方式進(jìn)行，追求以較低的成本和負(fù)擔(dān)實(shí)現(xiàn)規(guī)制目標(biāo)。

第二，規(guī)制數(shù)據(jù)推理風(fēng)險需要有充分的技術(shù)前瞻性。數(shù)據(jù)推理的能力邊界取決于數(shù)學(xué)理論與數(shù)據(jù)技術(shù)的發(fā)展。數(shù)學(xué)理論與數(shù)據(jù)技術(shù)的發(fā)展呈現(xiàn)不平衡、不確定、信息不對稱的特性，對數(shù)據(jù)推理的規(guī)制構(gòu)成了實(shí)質(zhì)性的挑戰(zhàn)?！安黄胶狻笔侵覆煌瑖?、企業(yè)、高校、研究機(jī)構(gòu)及學(xué)者在相關(guān)數(shù)學(xué)原理及數(shù)據(jù)技術(shù)的發(fā)展上相去甚遠(yuǎn)，前沿技術(shù)的重大發(fā)展高度集中于產(chǎn)業(yè)巨頭、著名高校及頭部科研機(jī)構(gòu)，數(shù)學(xué)原理上的突破則甚至可能僅為極個別學(xué)者所掌握和理解。“不確定”是指數(shù)學(xué)原理和數(shù)據(jù)技術(shù)的重大發(fā)展無法被精確預(yù)測，何人于何時何地以何種方式及程度完成突破性研究進(jìn)展，即便是同行專家也很難準(zhǔn)確估計(jì)?！靶畔⒉粚ΨQ”是指由于商業(yè)秘密保護(hù)、交流障礙及知識基礎(chǔ)差距等原因，一般研究者及從業(yè)者在數(shù)學(xué)原理與數(shù)據(jù)技術(shù)方面往往難以及時充分了解上述重大突破的完整內(nèi)容，即便能接觸、理解和消化，也會存在明顯的時滯和信息差?！靶畔⒉粚ΨQ”也可以被理解為一種頗具威脅的隱蔽性：即便完全滿足數(shù)據(jù)分類分級保護(hù)的標(biāo)準(zhǔn)，基于深入的相關(guān)性分析及因果推斷，在占有足夠體量及維度的低敏感度數(shù)據(jù)基礎(chǔ)上，專業(yè)分析者依然有可能悄然獲得背后潛藏的特殊敏感信息。(21)參見蘇宇：《數(shù)據(jù)安全的雙重向度及制度回應(yīng)》，《中國社會科學(xué)報(bào)》2021年11月10日，第4版。數(shù)據(jù)推理規(guī)制必須充分考慮上述特點(diǎn)的影響。如缺乏合適的規(guī)制工具和制度設(shè)計(jì)，規(guī)制者將很可能長期處于被動應(yīng)對數(shù)據(jù)推理技術(shù)最新發(fā)展的處境，需要規(guī)制者在建設(shè)治理機(jī)制時保持相當(dāng)程度的前瞻性。

這兩項(xiàng)特殊的規(guī)制需求使得對數(shù)據(jù)推理的規(guī)制頗為棘手，當(dāng)前國內(nèi)外相關(guān)法律規(guī)范在此方面也僅有相對原則性的一般要求和較為分散的專門性法律機(jī)制，尚未形成數(shù)據(jù)推理規(guī)制的系統(tǒng)性法律方案。此種局面固然不利于數(shù)據(jù)推理規(guī)制的全面實(shí)施，但也為探索合理、靈活、專業(yè)的規(guī)制進(jìn)路與方案留出了必要的空間。

二、數(shù)據(jù)推理規(guī)制的規(guī)范依據(jù)

目前，國內(nèi)外有關(guān)數(shù)據(jù)推理規(guī)制的依據(jù)散見于數(shù)據(jù)治理、個人信息保護(hù)及消費(fèi)者權(quán)益保護(hù)等領(lǐng)域多個層次的規(guī)范中。相關(guān)規(guī)定盡管在具體調(diào)整對象和效力位階上不盡一致，但主要內(nèi)容較為接近，體現(xiàn)了立法者對數(shù)據(jù)推理規(guī)制在基本取向上的價值共識。以國內(nèi)立法中數(shù)據(jù)安全和個人信息保護(hù)方面的相關(guān)規(guī)定為例，數(shù)據(jù)推理規(guī)制的規(guī)范依據(jù)已初具雛形，開始形成支持?jǐn)?shù)據(jù)推理規(guī)制的制度合力，但其往往尚不具備充分的可操作性，更多地起到價值導(dǎo)向的作用。

(一)數(shù)據(jù)安全法制中的相關(guān)規(guī)定

《數(shù)據(jù)安全法》中沒有直接規(guī)制數(shù)據(jù)推理的規(guī)定，但部分條款為相關(guān)配套法規(guī)規(guī)章的制定及數(shù)據(jù)合規(guī)體系的建設(shè)奠定了基礎(chǔ)?！稊?shù)據(jù)安全法》第8條對數(shù)據(jù)推理活動規(guī)定了總體上的合法性邊界?！稊?shù)據(jù)安全法》第四章“數(shù)據(jù)安全保護(hù)義務(wù)”針對所有開展數(shù)據(jù)處理活動的主體及若干特殊主體規(guī)定了一系列義務(wù)。上述規(guī)范盡管并不單獨(dú)針對數(shù)據(jù)推理活動，但至少為數(shù)據(jù)推理活動奠定了建立合規(guī)體系的基礎(chǔ)。此外，《數(shù)據(jù)安全法》第17條有關(guān)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)的規(guī)定、第18條有關(guān)數(shù)據(jù)安全檢測評估及認(rèn)證的規(guī)定以及第三章“數(shù)據(jù)安全制度”中數(shù)據(jù)安全應(yīng)急處置機(jī)制、數(shù)據(jù)安全審查制度等多項(xiàng)規(guī)定，已經(jīng)為包括數(shù)據(jù)推理規(guī)制在內(nèi)的數(shù)據(jù)安全治理建立了基礎(chǔ)性的框架，為下位法中相關(guān)的專門性規(guī)定乃至專門性的配套立法提供了有力支持。

在《數(shù)據(jù)安全法》的基礎(chǔ)上，各地方、各部門有關(guān)數(shù)據(jù)治理的立法中已陸續(xù)出現(xiàn)若干與數(shù)據(jù)推理有關(guān)的專門性規(guī)定。除一般性地要求避免泄露敏感數(shù)據(jù)或加強(qiáng)風(fēng)險管理的條款外，以下幾方面的專門性規(guī)定值得關(guān)注：

一是數(shù)據(jù)利用目的與用途的限制。例如，2019年制定的《貴州省大數(shù)據(jù)安全保障條例》第9條明確了“意圖合規(guī)”的原則，第22條又規(guī)定：“使用數(shù)據(jù)不得用于非法目的和用途。明知是通過攻擊、竊取、惡意訪問等非法方式獲取的數(shù)據(jù)，不得使用?！?020年制定的《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》第22條第1款則確定了約定利用范圍的用途限制。二是(大)數(shù)據(jù)分析范圍的外延式界定。此方面的法律規(guī)范暫時仍未見實(shí)例，但2021年國務(wù)院辦公廳印發(fā)的《要素市場化配置綜合改革試點(diǎn)總體方案》(國辦發(fā)〔2021〕51號)已提出“探索建立數(shù)據(jù)安全使用承諾制度，探索制定大數(shù)據(jù)分析和交易禁止清單，強(qiáng)化事中事后監(jiān)管”。三是數(shù)據(jù)處理全流程記錄、身份認(rèn)證、訪問控制、安全審計(jì)、安全保護(hù)協(xié)議、數(shù)據(jù)攻防演練等有助于間接限制數(shù)據(jù)推理的數(shù)據(jù)安全機(jī)制，例如2021年制定的《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》在第75條規(guī)定：“數(shù)據(jù)處理者應(yīng)當(dāng)對其數(shù)據(jù)處理全流程進(jìn)行記錄，保障數(shù)據(jù)來源合法以及處理全流程清晰、可追溯。”《貴陽市大數(shù)據(jù)安全管理?xiàng)l例》第19條規(guī)定：“市人民政府建立大數(shù)據(jù)安全靶場和產(chǎn)品檢驗(yàn)場地，對大數(shù)據(jù)安全新技術(shù)、新應(yīng)用、新產(chǎn)品進(jìn)行測試、檢驗(yàn)，定期開展攻防演練，促進(jìn)大數(shù)據(jù)安全城市建設(shè)。”這些制度并不直接限制數(shù)據(jù)推理，但增強(qiáng)了發(fā)現(xiàn)、預(yù)防乃至阻止濫用數(shù)據(jù)推理的能力。不僅如此，一些必要的控制措施(如權(quán)限控制)也開始在規(guī)范性文件中出現(xiàn)。例如2020年制定的《廣西公共數(shù)據(jù)開放管理辦法》(桂數(shù)發(fā)〔2020〕23號，屬規(guī)范性文件)第27條第2款規(guī)定：“各地各部門各單位如發(fā)現(xiàn)數(shù)據(jù)使用主體對獲取的公共數(shù)據(jù)出現(xiàn)未授權(quán)使用、非法濫用、未經(jīng)許可的擴(kuò)散和泄露等行為時，應(yīng)及時關(guān)閉數(shù)據(jù)使用權(quán)限。必要時，應(yīng)依據(jù)有關(guān)法律法規(guī)追究其法律責(zé)任。”總體上，數(shù)據(jù)安全法制已經(jīng)為數(shù)據(jù)推理規(guī)制的進(jìn)一步展開建立了初步的制度基礎(chǔ)。

(二)個人信息保護(hù)法制中的相關(guān)規(guī)定

與數(shù)據(jù)安全法制類似，《個人信息保護(hù)法》中亦無直接針對性的條款，但也對相關(guān)的數(shù)據(jù)推理活動規(guī)定了一般性的目的限制與合法性邊界。例如，《個人信息保護(hù)法》第6條第1款、第7條對于規(guī)制濫用個人信息進(jìn)行推理的行為有著基礎(chǔ)性的價值指引意義。此外，《個人信息保護(hù)法》第17條的告知、第19條的最短保存期限、第22條和第23條的重新取得同意、第27條的處理公開個人信息之限制、第28-32條對敏感個人信息的處理規(guī)則等等，都可以間接限制基于個人信息的數(shù)據(jù)推理活動，降低數(shù)據(jù)推理侵害個人信息相關(guān)法益的風(fēng)險。

盡管《個人信息保護(hù)法》中缺乏直接規(guī)制數(shù)據(jù)推理的條款，不少地方立法及部門行政立法對此已有所作為。例如，2021年制定的《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》第11條第(五)項(xiàng)規(guī)定：“……建立最小授權(quán)的訪問控制策略，使被授權(quán)訪問個人數(shù)據(jù)的人員僅能訪問完成職責(zé)所需的最少個人數(shù)據(jù)，且僅具備完成職責(zé)所需的最少數(shù)據(jù)處理權(quán)限?！边@一規(guī)定符合數(shù)據(jù)安全的基本要求，可以很大程度上限制基于個人信息的數(shù)據(jù)推理之濫用。(22)對于云計(jì)算平臺等共享數(shù)據(jù)池而言，細(xì)粒度的訪問控制是平衡數(shù)據(jù)安全與利用必須解決的問題。參見韓德志、吳帥、畢坤：《一種在云計(jì)算下的細(xì)粒度數(shù)據(jù)訪問控制算法》，《華中科技大學(xué)學(xué)報(bào)》(自然科學(xué)版)2012年增刊第1期。更直接的規(guī)定亦不乏實(shí)例，如2017年制定的《江蘇省預(yù)防未成年人犯罪條例》第35條第3款規(guī)定：“涉及欺凌和暴力事件的報(bào)道、信息，不得泄漏未成年學(xué)生的姓名、住所、照片以及可能推斷出未成年學(xué)生信息的資料?！鳖愃埔?guī)定在預(yù)防未成年人犯罪、統(tǒng)計(jì)管理、衛(wèi)生健康、人口調(diào)查等方面的地方立法中已不鮮見。2020年制定的《深圳經(jīng)濟(jì)特區(qū)健康條例》第85條及第87條第1款甚至致力于從正反兩方面平衡數(shù)據(jù)開發(fā)利用和數(shù)據(jù)推理風(fēng)險預(yù)防。不過，這些規(guī)定基本上是零星出現(xiàn)在不同層級和領(lǐng)域的規(guī)定中，且絕大多數(shù)僅有含義寬泛的一般禁止性要求。

數(shù)據(jù)安全和個人信息保護(hù)法制中與數(shù)據(jù)推理有關(guān)的相關(guān)規(guī)定清晰地凸顯出亟待完善的制度建設(shè)方向：盡管可以間接支持和保障數(shù)據(jù)推理規(guī)制的規(guī)范依據(jù)已較為豐富，但這些規(guī)定尚不具備充分的可操作性，難以具體指引數(shù)據(jù)推理規(guī)制的展開；數(shù)據(jù)推理規(guī)制的直接依據(jù)及具體的制度工具仍頗為有限，顆粒度粗、針對性低且重心不明的規(guī)制框架恐難精細(xì)地掌握數(shù)據(jù)開發(fā)利用與數(shù)據(jù)推理風(fēng)險預(yù)防日益復(fù)雜的價值平衡。因此，對數(shù)據(jù)推理的規(guī)制需要建立更加直接、精準(zhǔn)的專門性法律機(jī)制，其中部分機(jī)制已有一定的研究或?qū)嵺`基礎(chǔ)。

三、數(shù)據(jù)推理規(guī)制的專門性法律機(jī)制

數(shù)據(jù)推理規(guī)制在技術(shù)層面已有一定積累。經(jīng)過多年業(yè)務(wù)實(shí)踐，許多數(shù)據(jù)庫的開發(fā)者早已意識到需要對數(shù)據(jù)庫進(jìn)行推理控制以確保數(shù)據(jù)分析安全，推理通道控制已成為數(shù)據(jù)庫安全研究和實(shí)踐的常見內(nèi)容。這一概念的首創(chuàng)者斯達(dá)頓(Jessica Staddon)指出，在多級數(shù)據(jù)庫中，如果用戶能夠從一系列低安全等級的查詢中推斷出敏感信息，則這些查詢共同構(gòu)成了一條推理通道(Inference Channel)。(23)See Jessica Staddon, “Dynamic Inference Control，” DMKD03: Proceedings of the 8th ACM SIGMOD Workshop on Research Issues in Data Mining and Knowledge Discovery, 2003, p.94.隨著以推理通道控制為代表的數(shù)據(jù)庫推理安全技術(shù)不斷發(fā)展完善，在一個多級數(shù)據(jù)庫內(nèi)部控制數(shù)據(jù)推理濫用的管理機(jī)制和安全措施逐漸成型，并開始進(jìn)入相關(guān)技術(shù)標(biāo)準(zhǔn)。在我國，《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019，業(yè)界常簡稱“DSMM”)中首次對“數(shù)據(jù)分析安全”提出了專門性、系統(tǒng)性的具體要求，為數(shù)據(jù)安全工作提供了重要的視野和認(rèn)知維度。不過，對基于結(jié)合數(shù)據(jù)庫內(nèi)外的數(shù)據(jù)而進(jìn)行的推理活動，技術(shù)上難有風(fēng)險預(yù)防的萬全之策。盡管如此，對于保障正常利用數(shù)據(jù)的前提下盡量降低濫用數(shù)據(jù)推理風(fēng)險的規(guī)制需求，來自技術(shù)層面的局部支持仍是必要且可行的?；诂F(xiàn)有技術(shù)路線，數(shù)據(jù)推理規(guī)制的專門性法律機(jī)制可以區(qū)分單一數(shù)據(jù)源及復(fù)雜數(shù)據(jù)源的情形進(jìn)行討論。

(一)單一數(shù)據(jù)源的數(shù)據(jù)推理規(guī)制

由于數(shù)據(jù)庫安全領(lǐng)域有關(guān)推理控制的標(biāo)準(zhǔn)漸趨成熟，單個數(shù)據(jù)庫(包括單一數(shù)據(jù)庫和多重?cái)?shù)據(jù)庫)的推理控制已經(jīng)幾乎不需要技術(shù)標(biāo)準(zhǔn)以外的法律規(guī)制工具。近30年來，數(shù)據(jù)推理安全研究已經(jīng)從統(tǒng)計(jì)數(shù)據(jù)庫推理控制擴(kuò)展到數(shù)據(jù)倉庫推理控制，細(xì)化了推理控制的粒度，強(qiáng)化了推理控制的動態(tài)性。(24)參見黃曉森、彭利寧、陳啟買：《基于數(shù)據(jù)立方體的動態(tài)推理控制方法》，《計(jì)算機(jī)工程》2011年第17期。在世界范圍內(nèi)，從20世紀(jì)80年代開始，相應(yīng)技術(shù)標(biāo)準(zhǔn)亦隨之得以陸續(xù)形成和完善，為單一數(shù)據(jù)庫甚至數(shù)據(jù)倉庫的推理規(guī)制提供了有益助力。只要所有操作都在數(shù)據(jù)庫內(nèi)部進(jìn)行，相應(yīng)的技術(shù)性監(jiān)管工具乃至技術(shù)標(biāo)準(zhǔn)即有運(yùn)用之空間。

在國內(nèi)，早在2002年，《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù) 數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》(GA/T 389-2002)就已專節(jié)(A.8)規(guī)定推理控制的要求，除歸納了數(shù)據(jù)推理的方法和用于推理的信息類型外，還簡要地歸納了多級數(shù)據(jù)庫的基本安全原則和防止推理的方法。(25)基本安全原則是一個數(shù)據(jù)項(xiàng)的安全類級別應(yīng)支配所有施加影響于該數(shù)據(jù)項(xiàng)的安全類級別。防止推理的方法則包括“對數(shù)據(jù)重新分級”及“對約束重新分級”。這一要求亦見諸其后制定的推薦性國標(biāo)《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T 20273-2006)，但這一標(biāo)準(zhǔn)后來被新的同名標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T 20273-2019)完全取代。在新標(biāo)準(zhǔn)中，有關(guān)推理控制的部分被刪除，同時規(guī)定“對該部分內(nèi)容的評估直接依據(jù)GB/T 18336.3—2015各級別的脆弱性評定要求進(jìn)行評估”。在其提及的《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第3部分：安全保障組件》(GB/T 18336.3—2015)中，針對數(shù)據(jù)推理的脆弱性評定要求是由“脆弱性分析”保障組AVA_VAN處理的，不同安全等級的數(shù)據(jù)庫需要不同程度考慮隱蔽信道，并能夠經(jīng)受相應(yīng)程度的穿透性測試。在同一歸口單位負(fù)責(zé)并由基本相同的主體起草、專門執(zhí)行評估的標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則》(GB/T 20009-2019)中，對穿透性測試和子集信息流控制有進(jìn)一步展開的詳細(xì)要求。

在數(shù)據(jù)推理規(guī)制方面更為深入的標(biāo)準(zhǔn)是前述DSMM中的數(shù)據(jù)分析安全部分，基本上涵蓋了數(shù)據(jù)推理規(guī)制的主要需求。DSMM不僅要求設(shè)置專門負(fù)責(zé)的崗位和人員，還明確要求建立操作日志記錄、數(shù)據(jù)分析安全審核、監(jiān)控審計(jì)措施、合規(guī)評估等機(jī)制及相關(guān)技術(shù)工具，并要求記錄與保存數(shù)據(jù)處理與分析過程中對個人信息、重要數(shù)據(jù)等敏感數(shù)據(jù)的操作行為，甚至明確規(guī)定了數(shù)據(jù)分析安全審核的內(nèi)容(數(shù)據(jù)源、數(shù)據(jù)分析需求、數(shù)據(jù)分析邏輯等)和監(jiān)控審計(jì)措施的目標(biāo)(確保實(shí)際進(jìn)行的分析操作與分析結(jié)果使用與其聲明的一致)。這一標(biāo)準(zhǔn)仍在繼續(xù)修訂完善之中，鑒于其對數(shù)據(jù)分析安全提出了相當(dāng)系統(tǒng)的規(guī)制方案，未來將有可能成為指引數(shù)據(jù)推理規(guī)制的重要依據(jù)。

上述技術(shù)標(biāo)準(zhǔn)構(gòu)成了規(guī)制單一數(shù)據(jù)庫中數(shù)據(jù)推理活動的“軟法”機(jī)制，盡管具體細(xì)節(jié)或未徹底成型，已能在防止不當(dāng)數(shù)據(jù)推理方面承擔(dān)穩(wěn)定的規(guī)制功能。

(二)復(fù)雜數(shù)據(jù)來源的數(shù)據(jù)推理規(guī)制

真正棘手的難題是復(fù)雜數(shù)據(jù)來源的數(shù)據(jù)推理規(guī)制。這里的“復(fù)雜數(shù)據(jù)來源的數(shù)據(jù)推理”主要是指跨多個數(shù)據(jù)庫的推理，以及部分關(guān)鍵推理步驟在數(shù)據(jù)庫之外進(jìn)行的數(shù)據(jù)推理活動，如此數(shù)據(jù)庫內(nèi)置的各種工具難以全然發(fā)現(xiàn)數(shù)據(jù)推理的真實(shí)目的和路線。理論上，結(jié)合不同數(shù)據(jù)來源、旨在發(fā)現(xiàn)敏感信息的數(shù)據(jù)推理是很難被徹底阻止的，只能盡可能在數(shù)據(jù)推理濫用風(fēng)險與數(shù)據(jù)資源開發(fā)利用之間取得最優(yōu)的平衡。這一平衡的具體確定，須視當(dāng)前法律與監(jiān)管政策框架中對某一類、某一級數(shù)據(jù)的安全施加何種保護(hù)力度。保護(hù)敏感數(shù)據(jù)的關(guān)鍵通常不是保護(hù)數(shù)據(jù)的主鍵(尤其是代理鍵)，而是保護(hù)相關(guān)數(shù)據(jù)的敏感屬性。因此，我們可以將數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用的價值平衡，視為需要保護(hù)的敏感屬性與可利用的數(shù)據(jù)屬性相結(jié)合的優(yōu)化處理：如果在特定場景中，絕對強(qiáng)調(diào)數(shù)據(jù)安全的優(yōu)先性，則此種優(yōu)化可以被看作以絕對不泄露需要保護(hù)的敏感屬性作為約束條件，追求可利用數(shù)據(jù)屬性的最優(yōu)化暴露(極端條件下需要完全禁止相關(guān)數(shù)據(jù)的共享、開放或流動)；如果相關(guān)場景不要求數(shù)據(jù)安全的絕對優(yōu)先性(例如基本不涉及核心數(shù)據(jù)、重要數(shù)據(jù)保護(hù)及個人敏感信息保護(hù)等)，則此種優(yōu)化可以被看作設(shè)置敏感屬性的泄露風(fēng)險閾值作為約束條件的情況下，追求可利用數(shù)據(jù)屬性的最優(yōu)化暴露。由此，對不同數(shù)據(jù)的推理規(guī)制之具體平衡，取決于不同數(shù)據(jù)在分類分級保護(hù)中的實(shí)際保護(hù)程度，許多細(xì)節(jié)仍需要等待完整的數(shù)據(jù)分類分級保護(hù)體系出臺方可確定。

盡管尚無確切的分類分級規(guī)制方案，在上述基本原理的基礎(chǔ)上，對于復(fù)雜數(shù)據(jù)來源的數(shù)據(jù)推理規(guī)制，若干法律機(jī)制也已顯示出應(yīng)用的必要性：

一是數(shù)據(jù)利用的目的限制。目的正當(dāng)原則早已在大數(shù)據(jù)偵查等領(lǐng)域得到有力的提倡。(26)參見程雷：《大數(shù)據(jù)偵查的法律控制》，《中國社會科學(xué)》2018年第11期。法律規(guī)范可以對數(shù)據(jù)推理提出專門性的要求，強(qiáng)調(diào)不得超出數(shù)據(jù)利用的正當(dāng)目的范圍進(jìn)行數(shù)據(jù)推理；尤其是對于利用重要數(shù)據(jù)、核心數(shù)據(jù)等可能包含敏感信息的數(shù)據(jù)進(jìn)行分析處理活動的，應(yīng)當(dāng)表明數(shù)據(jù)利用之目的，并接受相應(yīng)的監(jiān)督和審計(jì)，防止數(shù)據(jù)推理的濫用。

二是技術(shù)標(biāo)準(zhǔn)及相關(guān)的法律授權(quán)。類似于數(shù)據(jù)庫系統(tǒng)管理，針對數(shù)據(jù)交易等數(shù)據(jù)處理活動及隱私計(jì)算、聯(lián)邦學(xué)習(xí)等技術(shù)或業(yè)務(wù)，法律規(guī)范也可以授權(quán)建立相關(guān)技術(shù)標(biāo)準(zhǔn)，盡可能保證在“可用不可見”的前提下避免泄露原始數(shù)據(jù)或關(guān)鍵參數(shù)，防范數(shù)據(jù)推理對敏感信息的威脅。(27)參見趙精武、周瑞玨：《隱私計(jì)算技術(shù)：數(shù)據(jù)流動與數(shù)據(jù)安全的協(xié)同保護(hù)規(guī)則構(gòu)建》，《信息通信技術(shù)與政策》2021年第7期。

三是安全檢測、評估、認(rèn)證等專業(yè)第三方介入機(jī)制。在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》中有大量此類機(jī)制，包括但不限于國家對數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的支持機(jī)制、重要數(shù)據(jù)安全風(fēng)險評估機(jī)制、個人信息保護(hù)影響評估機(jī)制、網(wǎng)絡(luò)安全風(fēng)險評估機(jī)制等。數(shù)據(jù)推理風(fēng)險規(guī)制是高度專業(yè)化且風(fēng)險動態(tài)演化的領(lǐng)域，因此可靠的第三方服務(wù)必不可少，專業(yè)第三方的介入也更有利于檢查技術(shù)標(biāo)準(zhǔn)是否在實(shí)踐中得到貫徹實(shí)施。在現(xiàn)有法律規(guī)范的基礎(chǔ)上，未來的配套立法應(yīng)進(jìn)一步明確第三方參與數(shù)據(jù)推理規(guī)制的具體要求。(28)已有學(xué)者在算法規(guī)制領(lǐng)域提出了系統(tǒng)性的第三方介入治理的制度設(shè)計(jì)主張，可供數(shù)據(jù)推理規(guī)制的第三方介入機(jī)制建設(shè)作參考。參見鄭智航：《人工智能算法的倫理危機(jī)與法律規(guī)制》，《法律科學(xué)》(西北政法大學(xué)學(xué)報(bào))2021年第1期。

四是數(shù)據(jù)使用授權(quán)動態(tài)控制機(jī)制。在“原始數(shù)據(jù)不出域”的數(shù)據(jù)利用方式日益占據(jù)主導(dǎo)的前提下，如果數(shù)據(jù)利用越來越多地依賴開放數(shù)據(jù)接口和隱私計(jì)算處理，可以要求數(shù)據(jù)使用者在使用數(shù)據(jù)前聲明數(shù)據(jù)分析需求，對各種主體利用數(shù)據(jù)的情況進(jìn)行記錄、審核和分析評判，并結(jié)合數(shù)據(jù)使用者自身可能掌握的數(shù)據(jù)類型及使用歷史進(jìn)行風(fēng)險預(yù)測，在發(fā)現(xiàn)重大數(shù)據(jù)安全威脅或發(fā)生數(shù)據(jù)安全風(fēng)險事件后，及時關(guān)閉或調(diào)整數(shù)據(jù)使用授權(quán)。

五是數(shù)據(jù)合規(guī)體系。法律可以要求達(dá)到一定體量的數(shù)據(jù)處理者建立數(shù)據(jù)安全合規(guī)體系，對包括數(shù)據(jù)分析在內(nèi)的數(shù)據(jù)處理操作實(shí)行全過程記錄并采取監(jiān)控審計(jì)措施，確保數(shù)據(jù)推理始終在合法的數(shù)據(jù)分析目標(biāo)范圍內(nèi)進(jìn)行。

六是數(shù)據(jù)安全攻防演練。前文提及的“大數(shù)據(jù)安全靶場”即為可以開展數(shù)據(jù)安全攻防演練的平臺。通過數(shù)據(jù)安全攻防演練，數(shù)據(jù)推理的潛在風(fēng)險可以得到一定程度的暴露，進(jìn)而為數(shù)據(jù)安全策略的調(diào)整和完善提供方向。

上述專門性法律機(jī)制似乎已經(jīng)為數(shù)據(jù)推理的風(fēng)險規(guī)制建立了一個完整的制度框架，可以大為提升數(shù)據(jù)推理規(guī)制的顆粒度和精確度。乍觀之下，只要將這些機(jī)制堆砌起來，就似乎足以形成一整套規(guī)制數(shù)據(jù)推理的“組合拳”。然而，如果不認(rèn)真剖析相關(guān)法律機(jī)制潛在的利弊得失，數(shù)據(jù)推理規(guī)制恐將陷于“多端寡要”的困境。

四、數(shù)據(jù)推理規(guī)制的路徑選擇

對于數(shù)據(jù)推理規(guī)制而言，既有的專門性法律機(jī)制尚處于探索階段，難以完全斷言何種機(jī)制將會取得可觀的實(shí)效。然而，基于數(shù)據(jù)推理活動的特點(diǎn)，提前預(yù)判各種法律機(jī)制的應(yīng)用潛力及潛在問題，對于建構(gòu)完備的數(shù)據(jù)推理規(guī)制體系至關(guān)重要。在紛繁復(fù)雜的各種法律機(jī)制中，一個根本性的問題似乎甚少在學(xué)術(shù)討論中被充分考慮：數(shù)據(jù)推理規(guī)制以及類似的數(shù)據(jù)安全治理機(jī)制，重心應(yīng)當(dāng)如何確定？這一問題的回答決定了數(shù)據(jù)推理規(guī)制的路徑選擇。

(一)第三方規(guī)制

經(jīng)由專業(yè)第三方提供的風(fēng)險檢測、評估、認(rèn)證、審計(jì)等服務(wù)進(jìn)行規(guī)制，在新型風(fēng)險治理的有關(guān)研究中日漸成為焦點(diǎn)，數(shù)據(jù)治理中也不乏提倡第三方規(guī)制的主張。(29)例見翟志勇：《論數(shù)據(jù)信托：一種數(shù)據(jù)治理的新方案》，《東方法學(xué)》2021年第4期；張繼紅：《大數(shù)據(jù)時代個人信息保護(hù)行業(yè)自律的困境與出路》，《財(cái)經(jīng)法學(xué)》2018年第6期等。然而，對于數(shù)據(jù)推理規(guī)制而言，仔細(xì)分析若干代表性的第三方規(guī)制措施，或許會得出有所保留的結(jié)論。

數(shù)據(jù)安全認(rèn)證或許是最早為法學(xué)界所關(guān)注的數(shù)據(jù)安全法制之一，也是數(shù)據(jù)安全領(lǐng)域典型的“第三方規(guī)制”路徑。前述《數(shù)據(jù)安全法》等法律規(guī)范已有相關(guān)的原則性規(guī)定，屬于國家支持開展的業(yè)務(wù)。雖然“數(shù)據(jù)安全認(rèn)證已逐漸成為全球數(shù)據(jù)治理的重要手段”，但即便是數(shù)據(jù)安全認(rèn)證的積極支持者，也承認(rèn)“不同于傳統(tǒng)認(rèn)證，數(shù)據(jù)安全認(rèn)證的對象主要是網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)產(chǎn)品，具有虛擬性和動態(tài)易變性的特征，認(rèn)證難度更大”，繼而主張“區(qū)分不同的認(rèn)證領(lǐng)域與事項(xiàng)，結(jié)合數(shù)字科技易變的特點(diǎn)，根據(jù)具體情況合理確立認(rèn)證標(biāo)志的有效期”。(30)劉權(quán)：《數(shù)據(jù)安全認(rèn)證：個人信息保護(hù)的第三方規(guī)制》，《法學(xué)評論》2022年第1期。問題是，數(shù)據(jù)安全認(rèn)證的對象并不是傳統(tǒng)意義上的商品或服務(wù)，而是數(shù)據(jù)“產(chǎn)品”(本質(zhì)上其實(shí)也是服務(wù))和數(shù)據(jù)處理服務(wù)的安全狀況，后者往往不能依賴單獨(dú)分析，而需要結(jié)合數(shù)據(jù)處理者的整體管理制度、軟硬件設(shè)施、技術(shù)路線和水準(zhǔn)加以判斷。然而，認(rèn)證機(jī)構(gòu)與騰訊、百度、微軟、亞馬遜這樣的大型企業(yè)在技術(shù)儲備和專業(yè)能力上往往相距甚遠(yuǎn)，即便部分員工本身可能有相關(guān)企業(yè)的工作經(jīng)驗(yàn)，也會出現(xiàn)若干難以克服的問題：一是容易出現(xiàn)不正當(dāng)?shù)睦骊P(guān)聯(lián)，導(dǎo)致認(rèn)證的中立性缺失；二是企業(yè)間的數(shù)據(jù)處理活動在技術(shù)路線和軟硬件設(shè)施方面可能相去甚遠(yuǎn)，依憑一個企業(yè)的任職經(jīng)驗(yàn)難以評判另一個企業(yè)的數(shù)據(jù)安全水平；三是相關(guān)企業(yè)本身就規(guī)模龐大、部門眾多，有復(fù)雜的業(yè)務(wù)流和專業(yè)分工，甚至在全球范圍進(jìn)行業(yè)務(wù)和組織的分割與整合，即便身處其中，亦很難掌握其數(shù)據(jù)安全的完整真實(shí)狀況；四是數(shù)據(jù)技術(shù)及相關(guān)數(shù)學(xué)原理發(fā)展迅速，一旦脫離相關(guān)企業(yè)的高水平團(tuán)隊(duì)及平臺資源支持，一段時間后很可能跟不上數(shù)據(jù)推理技術(shù)的前沿進(jìn)展。因此，數(shù)據(jù)安全認(rèn)證之類的單純第三方規(guī)制手段很難在數(shù)據(jù)推理規(guī)制中擔(dān)綱主角，只能起到有限范圍內(nèi)的輔助作用。

較之?dāng)?shù)據(jù)安全認(rèn)證，數(shù)據(jù)安全攻防演練是一種不十分純粹但亦包含了第三方規(guī)制思維的規(guī)制手段，治理者本身是組織者，多個專業(yè)第三方通過一定演練方案參與其中。理想情況下，數(shù)據(jù)安全攻防演練有助于組織多方專業(yè)力量，及時發(fā)現(xiàn)和準(zhǔn)確評估數(shù)據(jù)推理方面的潛在威脅。然而，這也意味著多方專業(yè)人士有機(jī)會深入接觸新的數(shù)據(jù)技術(shù)、應(yīng)用和產(chǎn)品潛在的推理風(fēng)險，在數(shù)據(jù)推理安全風(fēng)險高度隱蔽、各方主體信息和能力高度不對稱的前提下，組織者難以知悉參與者是否發(fā)現(xiàn)和報(bào)告了全部風(fēng)險點(diǎn)，在有限的預(yù)算約束條件下，也不易找到滿足“直接揭示機(jī)制”(31)直接揭示機(jī)制是機(jī)制設(shè)計(jì)理論的代表性成果之一，致力于通過一定激勵機(jī)制(包括正向和負(fù)向的激勵)迫使機(jī)制中的個體直接報(bào)告真實(shí)信息(如對某選項(xiàng)的真實(shí)意愿及利益相關(guān)程度)。See Dirk Bergemann and Juuso V?lim?ki, “Information Acquisition and Efficient Mechanism Design,” Econometrica, Vol. 70, No. 3, 2002, pp.1007-1033.(direct revelation mechanism)標(biāo)準(zhǔn)的激勵方案激勵參與者報(bào)告全部風(fēng)險點(diǎn)。不僅如此，對借助數(shù)據(jù)推理獲取敏感信息有特殊需求的個人、組織或利益集團(tuán)，也有可能設(shè)法通過主動參與數(shù)據(jù)安全攻防演練獲取相關(guān)信息。若為防止信任風(fēng)險的發(fā)生而使用替代性的模型及數(shù)據(jù)，數(shù)據(jù)安全攻防演練的效果也會隨之下降，模型及數(shù)據(jù)結(jié)構(gòu)越失真，理論上攻防演練能發(fā)現(xiàn)的有用安全信息就越少。因此，數(shù)據(jù)安全攻防演練在專業(yè)能力問題之外，還需要著力解決可信任性與演練效果的平衡問題。較為成熟、完善的數(shù)據(jù)安全攻防演練組織方案成型后，此種機(jī)制才能成為規(guī)制數(shù)據(jù)推理安全的主要手段。

由上述兩個例子不難發(fā)現(xiàn)，第三方規(guī)制在這樣一種能力和信息高度不對稱的局面中很難發(fā)揮主要作用，能力問題和信任問題都足以實(shí)質(zhì)性地影響數(shù)據(jù)推理規(guī)制的成效。當(dāng)然，這不排斥第三方規(guī)制的法律機(jī)制在能力結(jié)構(gòu)較為均衡、信息和激勵較為充分的某些場景中正常發(fā)揮作用，數(shù)據(jù)推理規(guī)制依然需要不斷支持和完善專業(yè)第三方參與規(guī)制的法律機(jī)制。

(二)行政機(jī)關(guān)的直接規(guī)制

如果“第三方規(guī)制”難以在數(shù)據(jù)推理規(guī)制中擔(dān)綱主角，那么將重心放在“第二方”(行政機(jī)關(guān))(32)對第三方規(guī)制語境中“第一方”“第二方”所指為何有不同的理解，但主流理解中“第一方”是指被規(guī)制的企業(yè)，“第二方”是指政府。關(guān)于不同指稱對象的詳細(xì)梳理參見劉亞平、游海疆：《“第三方規(guī)制”：現(xiàn)在與未來》，《宏觀質(zhì)量研究》2017年第4期。是否可行？回歸行政機(jī)關(guān)直接規(guī)制的路徑似乎也很有吸引力，但不易克服的難題亦如影隨形。

首先，行政機(jī)關(guān)在數(shù)據(jù)推理規(guī)制中的直接信息來源可謂遠(yuǎn)不敷用。基于保護(hù)商業(yè)秘密、個人信息及規(guī)制成本等多方面的原因，大企業(yè)以及利用海量數(shù)據(jù)的其他組織很難向行政機(jī)關(guān)呈現(xiàn)數(shù)據(jù)處理活動的實(shí)時截面或報(bào)送全部數(shù)據(jù)；與此同時，行政機(jī)關(guān)也缺乏足夠的人力分析海量數(shù)據(jù)處理活動中潛在的推理風(fēng)險。如果沒有相對方(被規(guī)制者)的有力配合，試圖從零開始在EB以上級別的天量數(shù)據(jù)(其中許多還是加密后的數(shù)據(jù))面前發(fā)現(xiàn)數(shù)據(jù)推理風(fēng)險，不啻于“挾太山以超北?！?。

其次，行政機(jī)關(guān)的技術(shù)力量往往不足以與大型企業(yè)及頂尖研究團(tuán)隊(duì)相抗衡。盡管網(wǎng)信、工信等行政機(jī)關(guān)中不乏專業(yè)人士，且還有相應(yīng)的研究機(jī)構(gòu)(如信息通信研究院)為之提供助力，但與全國乃至全球前列的平臺企業(yè)所儲備的技術(shù)力量相比，仍存在一定差距。不僅如此，如果采取直接規(guī)制的方式，規(guī)制者可謂“進(jìn)攻方”，相對方是“防守方”。在數(shù)據(jù)推理活動可以存在較強(qiáng)信息不對稱特性的情況下，如果規(guī)制者對平臺企業(yè)缺乏持續(xù)的穿透性觀察和必要的導(dǎo)引，即便前者組織全部執(zhí)法力量“強(qiáng)攻”平臺企業(yè)，只要后者預(yù)作準(zhǔn)備，即有機(jī)會掩蓋其實(shí)際上進(jìn)行的數(shù)據(jù)推理活動。

再次，直接規(guī)制成本的高昂亦足以使規(guī)制者望而卻步。且不論直接規(guī)制必然對監(jiān)管人員提出大幅擴(kuò)編要求，從海量數(shù)據(jù)中發(fā)現(xiàn)和消除推理風(fēng)險所需的物力資源也是沉重的負(fù)擔(dān)。要保證每一次調(diào)取數(shù)據(jù)的安全和維護(hù)巨大體量數(shù)據(jù)處理活動正常進(jìn)行，耗費(fèi)的公共財(cái)政資源可能是許多地方難以承擔(dān)的。高昂的規(guī)制成本不僅可能引發(fā)來自比例原則和成本收益分析的質(zhì)疑，甚至有可能使數(shù)字經(jīng)濟(jì)的巨大發(fā)展機(jī)遇變成沉重的社會負(fù)擔(dān)，這是不可接受的結(jié)果。

直接規(guī)制極易引起的更深層問題還包括規(guī)制僵化、動力匱乏、規(guī)制俘獲(regulatory capture)、監(jiān)守自盜和規(guī)制過度等等。(33)參見畠山武道：《行政介入的形態(tài)》，魯鵬宇譯，《當(dāng)代法學(xué)》2012年第5期；譚冰霖：《環(huán)境規(guī)制的反身法路向》，《中外法學(xué)》2016年第6期；杜輝：《挫折與修正：風(fēng)險預(yù)防之下環(huán)境規(guī)制改革的進(jìn)路選擇》，《現(xiàn)代法學(xué)》2015年第1期等。若需再建立相應(yīng)的監(jiān)督制度精細(xì)入微地監(jiān)督工作人員乃至監(jiān)管機(jī)構(gòu)自身是否利用這些數(shù)據(jù)進(jìn)行不適當(dāng)?shù)耐评砘顒?，不僅監(jiān)督成本會相當(dāng)高昂，專業(yè)性及可行性方面亦無從保障。因此，監(jiān)管者組織的數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全審查等帶有直接規(guī)制性質(zhì)的規(guī)制手段盡管仍有必要保留和發(fā)展，但這些“直接”規(guī)制手段往往也借助了監(jiān)管機(jī)構(gòu)和專業(yè)第三方的合力，且很難獨(dú)力支撐數(shù)據(jù)推理規(guī)制的需求。

(三)元規(guī)制：針對數(shù)據(jù)分析安全的合規(guī)體系

對上述數(shù)種專門性法律機(jī)制之分析可以表明，數(shù)據(jù)推理的法律規(guī)制盡管需要借助專業(yè)第三方的力量，但其重心不可依賴所謂的第三方規(guī)制，而單純依賴行政機(jī)關(guān)的直接規(guī)制亦不現(xiàn)實(shí)，關(guān)鍵是要讓擁有強(qiáng)大數(shù)據(jù)推理能力的相對方積極參與規(guī)制過程，亦即通過“元規(guī)制”(后設(shè)規(guī)制)的方式使之主動建立數(shù)據(jù)處理的合規(guī)體系。元規(guī)制方式的優(yōu)勢在于承認(rèn)實(shí)現(xiàn)規(guī)制目標(biāo)的能力主要掌握在被規(guī)制者手中，并因勢利導(dǎo)設(shè)計(jì)針對性的規(guī)制方案。(34)參見程瑩：《元規(guī)制模式下的數(shù)據(jù)保護(hù)與算法規(guī)制》，《法律科學(xué)》(西北政法大學(xué)學(xué)報(bào))2019年第4期。對于企業(yè)而言，企業(yè)合規(guī)的本質(zhì)是一種自我監(jiān)管(self-policing)機(jī)制，合規(guī)體系的建立意味著企業(yè)建立了商業(yè)行為規(guī)范、為員工確立了行為準(zhǔn)則，并建立了合規(guī)風(fēng)險防范體系、風(fēng)險識別體系和違規(guī)行為應(yīng)對體系。(35)參見陳瑞華：《論企業(yè)合規(guī)的性質(zhì)》，《浙江工商大學(xué)學(xué)報(bào)》2021年第1期。在數(shù)據(jù)治理領(lǐng)域，建立合規(guī)體系之意義更在于促進(jìn)數(shù)據(jù)處理過程結(jié)構(gòu)化和標(biāo)準(zhǔn)化，設(shè)置數(shù)據(jù)處理過程中清晰、精細(xì)的“問責(zé)點(diǎn)”，為企業(yè)內(nèi)部的自我規(guī)制以及監(jiān)管機(jī)構(gòu)和專業(yè)第三方的“穿透式”監(jiān)管奠定良好的基礎(chǔ)。

針對數(shù)據(jù)推理活動，根據(jù)數(shù)據(jù)治理活動中已有相關(guān)標(biāo)準(zhǔn)及業(yè)務(wù)實(shí)踐，合規(guī)體系的要點(diǎn)可以概括為“入庫”“留痕”“控權(quán)”“審計(jì)”“設(shè)崗”五點(diǎn)。所謂“入庫”，是要求數(shù)據(jù)處理者將數(shù)據(jù)匯入技術(shù)上安全、成熟的數(shù)據(jù)庫，利用符合一定安全性標(biāo)準(zhǔn)的數(shù)據(jù)分析工具進(jìn)行分析，便于數(shù)據(jù)處理者及監(jiān)管機(jī)構(gòu)運(yùn)用各種內(nèi)置的管理工具進(jìn)行檢查與監(jiān)督。“留痕”，是要求保留數(shù)據(jù)訪問和處理的操作日志，特別是對敏感數(shù)據(jù)的操作記錄，一旦發(fā)生數(shù)據(jù)安全風(fēng)險，可以進(jìn)行回溯分析?！翱貦?quán)”，是精確控制訪問權(quán)限，盡可能避免內(nèi)部人員出于不正當(dāng)動機(jī)濫用數(shù)據(jù)進(jìn)行推理或分析活動，對于敏感數(shù)據(jù)，更要實(shí)行嚴(yán)格的權(quán)限控制，使數(shù)據(jù)安全風(fēng)險能夠精確對應(yīng)到責(zé)任人?！皩徲?jì)”，是使數(shù)據(jù)處理活動處于監(jiān)控審計(jì)之下，可以運(yùn)用智能化的技術(shù)工具，及時發(fā)現(xiàn)異常的數(shù)據(jù)訪問和處理活動，檢查數(shù)據(jù)分析之目的是否與分析者聲明的目的一致?！霸O(shè)崗”，是設(shè)置專門保護(hù)數(shù)據(jù)分析安全的工作人員，對異常的數(shù)據(jù)推理行為及時介入和調(diào)查。上述要點(diǎn)均已不同程度被現(xiàn)有的數(shù)據(jù)治理活動及技術(shù)標(biāo)準(zhǔn)吸納，對于數(shù)據(jù)推理風(fēng)險的控制而言亦可發(fā)揮相當(dāng)有力的作用。

在前述五項(xiàng)要點(diǎn)的基礎(chǔ)上，根據(jù)數(shù)據(jù)推理活動的規(guī)律，合規(guī)體系還可以進(jìn)一步提出專門性的要求，例如對部分類型和級別的數(shù)據(jù)進(jìn)行加密處理、審核數(shù)據(jù)分析需求、利用安全的數(shù)據(jù)分析工具等，并使每一點(diǎn)都對應(yīng)不同層級的既有法律規(guī)范，進(jìn)而為監(jiān)管機(jī)構(gòu)的監(jiān)督檢查提供充分、清晰的證明材料。其中，最有針對性的專門性機(jī)制是要求數(shù)據(jù)處理者內(nèi)置推理風(fēng)險發(fā)現(xiàn)工具(包括可對用戶開放的風(fēng)險警示工具)，并對發(fā)現(xiàn)的數(shù)據(jù)安全風(fēng)險進(jìn)行記錄和報(bào)告。例如，針對基于線上社交網(wǎng)絡(luò)的公開可用信息推斷高度敏感個人屬性的風(fēng)險，已有多種量化數(shù)據(jù)屬性推斷風(fēng)險的模型或工具，提醒用戶保護(hù)其個人敏感屬性免遭跨平臺推斷之侵害。(36)See H. Simo, H. Shulman, M. Schufrin, S. L. Reynolds and J. Kohlhammer, “PrivInferVis: Towards Enhancing Transparency over Attribute Inference in Online Social Networks,” IEEE INFOCOM 2021-IEEE Conference on Computer Communications Workshops, 2021, pp.1-2.在未來，對于數(shù)據(jù)分析安全而言，合規(guī)體系需要更充分的風(fēng)險監(jiān)測技術(shù)支持。在確?！霸紨?shù)據(jù)不出域”的前提下，對于多源敏感數(shù)據(jù)的跨企業(yè)聚合利用情形，監(jiān)管者可以積極引導(dǎo)企業(yè)通過數(shù)據(jù)交易平臺在安全的數(shù)據(jù)分析系統(tǒng)內(nèi)進(jìn)行聚合利用，并在系統(tǒng)內(nèi)部配置必要的推理風(fēng)險監(jiān)測工具和推理通道阻塞措施。對于多元敏感數(shù)據(jù)的企業(yè)內(nèi)部聚合利用，則應(yīng)要求企業(yè)建立一體化的數(shù)據(jù)安全治理機(jī)制，并引導(dǎo)企業(yè)內(nèi)置基于行為模型的風(fēng)險預(yù)警工具，發(fā)現(xiàn)員工對敏感數(shù)據(jù)的操作偏離正常行為模型時，及時記錄和發(fā)出預(yù)警信息，必要時直接限制訪問權(quán)限，如果涉及重大公共利益，還應(yīng)當(dāng)同時自動直報(bào)監(jiān)管機(jī)構(gòu)。在此基礎(chǔ)上，監(jiān)管機(jī)構(gòu)還可以針對不同數(shù)據(jù)處理者掌握的數(shù)據(jù)種類和內(nèi)容進(jìn)行敏感數(shù)據(jù)聚合的模擬推演，并基于推演結(jié)果要求掌握相關(guān)數(shù)據(jù)處理者對有風(fēng)險的信道(包括側(cè)信道)采取可追溯的保護(hù)措施，防止多源敏感數(shù)據(jù)的非法聚合。

當(dāng)然，上述合規(guī)要點(diǎn)并非“一刀切”式地適用于所有類型、等級的數(shù)據(jù)及所有數(shù)據(jù)處理者，關(guān)鍵是在數(shù)據(jù)分類分級保護(hù)制度建立后，對不同數(shù)據(jù)源及應(yīng)用場景配置不同程度的安全保護(hù)規(guī)則，通過有差別的合規(guī)體系要求數(shù)據(jù)處理者吸收或內(nèi)化數(shù)據(jù)安全價值相對于企業(yè)自身發(fā)展利益的“外部性”效應(yīng)。(37)參見洪延青：《國家安全視野中的數(shù)據(jù)分類分級保護(hù)》，《中國法律評論》2021年第5期。

因此，完善數(shù)據(jù)推理的法律規(guī)制體系，當(dāng)務(wù)之急是要求數(shù)據(jù)處理者基于不同數(shù)據(jù)處理場景的技術(shù)、業(yè)務(wù)與風(fēng)險特點(diǎn)，建立數(shù)據(jù)分析安全方面的合規(guī)體系，并將細(xì)顆粒度的規(guī)制要求內(nèi)置于合規(guī)體系乃至技術(shù)工具之中。這不僅是降低規(guī)制成本的需要，更是充分回應(yīng)此領(lǐng)域技術(shù)發(fā)展不平衡、不確定、信息不對稱挑戰(zhàn)的需要。合規(guī)體系可以迫使具有較強(qiáng)技術(shù)能力和豐厚數(shù)據(jù)資源的數(shù)據(jù)處理者在保持日常業(yè)務(wù)基本正常運(yùn)行的基礎(chǔ)上固定關(guān)鍵的監(jiān)督與審查要點(diǎn)，從而實(shí)際上大幅縮短從監(jiān)管機(jī)構(gòu)到規(guī)制對象之間的“規(guī)制距離”。監(jiān)管機(jī)構(gòu)則需要“及時劃定制度邊界，減少制度與政策的不可預(yù)期性，為企業(yè)合規(guī)提供更為精確的指引”，(38)張凌寒：《平臺“穿透式監(jiān)管”的理據(jù)及限度》，《法律科學(xué)》(西北政法大學(xué)學(xué)報(bào))2022年第1期。并監(jiān)督相對方切實(shí)遵行合規(guī)要求，在合規(guī)失靈時進(jìn)行必要的干預(yù)乃至問責(zé)。與此同時，數(shù)據(jù)分析安全合規(guī)體系的建設(shè)與維護(hù)也可以更好地吸納專業(yè)第三方的參與，通過合規(guī)體系建設(shè)、合規(guī)評估標(biāo)準(zhǔn)構(gòu)建與監(jiān)督檢查過程的相對分離，以及合規(guī)標(biāo)準(zhǔn)與體系建設(shè)過程中不同被規(guī)制者與專業(yè)第三方的意見交鋒，一定程度上彌補(bǔ)信任的缺失。數(shù)據(jù)推理風(fēng)險發(fā)現(xiàn)工具的開發(fā)和問責(zé)點(diǎn)的埋設(shè)，還可以按需逐項(xiàng)逐點(diǎn)吸納有特定專長的數(shù)據(jù)處理者及專業(yè)第三方參與，通過“化整為零”的方式一定程度上彌補(bǔ)能力的差距。由此，數(shù)據(jù)分析安全合規(guī)體系可以更充分地吸納數(shù)據(jù)開發(fā)利用和數(shù)據(jù)推理風(fēng)險認(rèn)知的前沿發(fā)展，并根據(jù)數(shù)據(jù)推理的研究和實(shí)踐不斷完善。

數(shù)據(jù)分析安全合規(guī)體系的建設(shè)和完善，不僅可以幫助監(jiān)管者更便利、集約、有效地實(shí)施監(jiān)管，可以幫助數(shù)據(jù)處理者完善企業(yè)的內(nèi)部管理體系與工作流程，更可以幫助數(shù)據(jù)處理者及相關(guān)從業(yè)者系統(tǒng)和完整地學(xué)習(xí)數(shù)據(jù)推理方面的數(shù)據(jù)安全知識，進(jìn)而促進(jìn)整個行業(yè)乃至全社會達(dá)成數(shù)據(jù)安全治理的相關(guān)共識，為數(shù)據(jù)資源開發(fā)利用乃至數(shù)字經(jīng)濟(jì)的未來發(fā)展奠定精細(xì)化的制度基礎(chǔ)。

五、結(jié)語

隨著《數(shù)據(jù)安全法》和《個人信息保護(hù)法》的實(shí)施，數(shù)據(jù)安全治理體系的初步建立，數(shù)據(jù)交易和開發(fā)利用的范式逐漸明朗，同時持續(xù)催生對數(shù)據(jù)推理活動的規(guī)制需求。數(shù)據(jù)本身并不必然具有價值，數(shù)據(jù)的價值取決于能夠從數(shù)據(jù)中獲取何種信息，對數(shù)據(jù)推理的精準(zhǔn)規(guī)制意味著對數(shù)據(jù)中隱含的信息流向在較細(xì)顆粒度層面的精確控制，此種控制還需要在技術(shù)發(fā)展不平衡、不確定、信息不對稱的條件下實(shí)現(xiàn)，探索數(shù)據(jù)開發(fā)利用與數(shù)據(jù)推理風(fēng)險預(yù)防之間的法治化平衡誠可謂尋幽入微。此一平衡端賴于各方主體在數(shù)據(jù)治理中形成的合力，而數(shù)據(jù)資源與技術(shù)力量均屬雄厚的平臺企業(yè)不僅應(yīng)成為數(shù)據(jù)推理規(guī)制的重心，也應(yīng)承擔(dān)起向市場和社會展示數(shù)據(jù)安全利用范本的責(zé)任。

數(shù)字經(jīng)濟(jì)的滾滾洪流正在席卷這個時代。在未來，全球范圍內(nèi)的國家和社會對數(shù)據(jù)的依賴將進(jìn)一步加深，人類社會數(shù)據(jù)的體量將從ZB向YB乃至更高級別邁進(jìn)，數(shù)據(jù)開發(fā)利用的方式更將遠(yuǎn)超當(dāng)代人的想象。盡善盡美而確鑿不變的數(shù)據(jù)推理規(guī)制方案或許并不存在，數(shù)據(jù)推理規(guī)制的平衡點(diǎn)將根據(jù)數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)據(jù)安全形勢的演化而不斷變動，但抓緊建立以數(shù)據(jù)分析安全合規(guī)為重心的規(guī)制體系并使之在法治軌道上運(yùn)行，是當(dāng)前數(shù)據(jù)安全治理體系建設(shè)的一項(xiàng)重任。