李 勇

(江蘇省南京市人民檢察院,南京 210004)

一、問題的提出

Web3.0時代的網(wǎng)絡(luò),以大數(shù)據(jù)和物聯(lián)網(wǎng)為基礎(chǔ),以個性化、智能化和交互性為特征,而數(shù)據(jù)整合(data integration)是網(wǎng)絡(luò)實現(xiàn)個性化的基礎(chǔ)。可以說,Web3.0時代的社會是一個數(shù)據(jù)洪流的社會。數(shù)據(jù)風(fēng)險是Web3.0時代社會的最大風(fēng)險,數(shù)據(jù)犯罪治理是國家治理能力和治理體系現(xiàn)代化的重要內(nèi)容。在我國刑法體系中,涉及的數(shù)據(jù)犯罪主要有以下四類:一是計算機信息系統(tǒng)類犯罪(《刑法》第285條、第286條);二是公民個人信息類犯罪(《刑法》第253條之一規(guī)定的侵犯公民個人信息罪、第177條之一規(guī)定的竊取、收買、非法提供信用卡信息罪);三是拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)、非法利用信息網(wǎng)絡(luò)犯罪(《刑法》第286條之一規(guī)定的拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、第287條關(guān)于“利用計算機實施有關(guān)犯罪的規(guī)定”);四是有關(guān)編造、泄露、篡改、隱瞞、銷毀數(shù)據(jù)類犯罪,主要有《刑法》第134條之一規(guī)定的危險作業(yè)罪,第142條之一規(guī)定的妨害藥品管理罪,第291條之一規(guī)定的編造、故意傳播虛假恐怖信息罪和編造、故意傳播虛假信息罪,第308條之一規(guī)定的泄露不應(yīng)公開的案件信息罪,第180條規(guī)定的泄露內(nèi)幕信息罪,第181條規(guī)定的編造并傳播證券、期貨交易虛假信息罪等。在Web3.0時代,每個人都是數(shù)據(jù)的主體,也是數(shù)據(jù)的客體,但數(shù)據(jù)主要掌握在企業(yè)手中,數(shù)據(jù)風(fēng)險主要來自于企業(yè),特別是互聯(lián)網(wǎng)企業(yè)、數(shù)據(jù)驅(qū)動型企業(yè),因此,觸犯上述罪名的往往都是企業(yè)。防范數(shù)據(jù)風(fēng)險、治理數(shù)據(jù)犯罪的關(guān)鍵,在于治理好掌握數(shù)據(jù)的企業(yè),而企業(yè)是數(shù)字經(jīng)濟(jì)的主體,因此,如何在發(fā)展與規(guī)制之間求得合理的平衡,是數(shù)據(jù)治理的難題。

傳統(tǒng)法學(xué)理論側(cè)重于從法律規(guī)制(包括刑法、民法等)的角度進(jìn)行治理,強調(diào)通過法律制裁來保護(hù)數(shù)據(jù),其法理根據(jù)在于數(shù)據(jù)是一種權(quán)利、法益,保護(hù)數(shù)據(jù)本質(zhì)上是保護(hù)個人對數(shù)據(jù)的自決權(quán),這屬于外部監(jiān)管模式。①這種外部監(jiān)管模式的文獻(xiàn)近年來呈井噴之勢。參見劉艷紅:《Web3.0時代網(wǎng)絡(luò)犯罪的代際特征及刑法應(yīng)對》,載《環(huán)球法律評論》2020年第5期,第100-116頁;劉憲權(quán):《數(shù)據(jù)犯罪刑法規(guī)制完善研究》,載《中國刑事法雜志》2022年第5期,第20-35頁;勞東燕:《個人數(shù)據(jù)的刑法保護(hù)模式》,載《比較法研究》2020年第5期,第5-50頁;王利明:《論數(shù)據(jù)權(quán)益:以“權(quán)利束”為視角》,載《政治與法律》2022年第7期,第99-113頁;丁曉東:《論算法的法律規(guī)制》,載《中國社會科學(xué)》2020年第12期,第138-203頁;申衛(wèi)星:《論數(shù)據(jù)用益權(quán)》,載《中國社會科學(xué)》2021年第11期,第110-207頁;郭旨龍、李文慧:《數(shù)字化時代知情同意原則的適用困境與破局思路》,載《法治社會》2021年第1期,第26-36頁;等等。但是,這種以打擊和制裁為導(dǎo)向的外部監(jiān)管模式并未奏效。近年來,合規(guī)(又稱企業(yè)合規(guī)、合規(guī)計劃)理論興起。與外部監(jiān)管模式不同,合規(guī)強調(diào)企業(yè)的自我規(guī)制,是犯罪預(yù)防的自治化和私權(quán)化的表現(xiàn)形式②參見[德]弗蘭克·薩力格爾:《刑事合規(guī)的基本問題》,馬寅翔譯,載李本燦等:《合規(guī)與刑法:全球視野的考察》,中國政法大學(xué)出版社2018年版,第67-68頁。,屬于內(nèi)部自治模式。合規(guī)是治理包括數(shù)據(jù)犯罪在內(nèi)的企業(yè)犯罪的一劑良方。當(dāng)前,國內(nèi)關(guān)于合規(guī)的研究主要集中在制度移植、基礎(chǔ)理論、宏觀建構(gòu)、立法建議等方面③參見陳瑞華:《刑事訴訟的合規(guī)激勵模式》,載《中國法學(xué)》2020年第6期,第225-244頁;李本燦:《企業(yè)犯罪預(yù)防中合規(guī)計劃制度的借鑒》,載《中國法學(xué)》2015年第5期,第177-205頁;孫國祥:《刑事合規(guī)的理念、機能和中國的構(gòu)建》,載《中國刑事法雜志》2019年第2期,第3-24頁;李勇:《檢察視角下中國刑事合規(guī)之構(gòu)建》,載《國家檢察官學(xué)院學(xué)報》第99-114頁;李本燦:《刑事合規(guī)立法的實體法方案》,載《政治與法律》2022年第7期,第65-82頁;李玉華:《企業(yè)合規(guī)與刑事訴訟立法》,載《政法論壇》2022年第5期,第91-102頁;等等。,相當(dāng)于“合規(guī)總論”方面的研究,而對于作為“合規(guī)分論”的數(shù)據(jù)合規(guī)的研究處于起步階段。由于我國關(guān)于數(shù)據(jù)保護(hù)的法理及《刑法》《民法典》《個人信息保護(hù)法》等相關(guān)法律法規(guī),均是建立在“知情同意”這一邏輯基礎(chǔ)之上的,所以,為數(shù)不多的數(shù)據(jù)合規(guī)研究基本上都是以現(xiàn)有法律規(guī)定為立足點,以數(shù)據(jù)安全、隱私保護(hù)為視角,宏觀討論數(shù)據(jù)合規(guī)的框架、內(nèi)容、功能以及引入的必要性,自覺不自覺地將“知情同意”作為數(shù)據(jù)合規(guī)的立足點。④參見陳瑞華:《大數(shù)據(jù)公司的合規(guī)管理問題》,載《中國律師》2020年第1期,第88頁;李玉華:《數(shù)據(jù)合規(guī)的基本問題》,載《青少年犯罪問題》2021年第3期,第8-9頁;于沖:《數(shù)據(jù)安全犯罪的迭代異化與刑法規(guī)制路徑——以刑事合規(guī)計劃的引入為視角》,載《西北大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2020年第5期,第93-102頁;楊力:《論數(shù)據(jù)安全的等保合規(guī)范式轉(zhuǎn)型》,載《法學(xué)》2022年第6期,第20-30頁;毛逸瀟:《數(shù)據(jù)保護(hù)合規(guī)體系研究》,載《國家檢察官學(xué)院學(xué)報》2022年第2期,第84-100頁。即使有個別學(xué)者對“知情同意”進(jìn)行了反思,但依然沒有觸及根本,要么微調(diào)為“動態(tài)知情同意框架”①唐林垚:《數(shù)據(jù)合規(guī)科技的風(fēng)險規(guī)制及法理構(gòu)建》,載《東方法學(xué)》2022年第1期,第87-88頁。,要么是將數(shù)據(jù)自決權(quán)合比例進(jìn)行再分配。②敬力嘉:《個人信息保護(hù)合規(guī)的體系構(gòu)建》,載《法學(xué)研究》2022年第4期,第157-165頁。正因如此,該作者在另外一篇文章中明確指出,“構(gòu)建企業(yè)的數(shù)據(jù)合規(guī)體系,明確企業(yè)獲取數(shù)據(jù)的合法權(quán)限,是數(shù)據(jù)合規(guī)師日常的制度建設(shè)義務(wù)”。敬力嘉:《單位犯罪刑事歸責(zé)中數(shù)據(jù)合規(guī)師的作為義務(wù)》,載《北方法學(xué)》2021年第6期,第104-105頁。實踐表明,以權(quán)利人“知情同意”為支柱的傳統(tǒng)數(shù)據(jù)合規(guī)模式在Web3.0的大數(shù)據(jù)時代是失靈的。大數(shù)據(jù)時代發(fā)展一日千里,治理的重點不應(yīng)以“知情同意”為出發(fā)點試來阻止數(shù)據(jù)的采集,治理的重點是掌握數(shù)據(jù)的企業(yè)“預(yù)測算法”風(fēng)險,應(yīng)當(dāng)以“預(yù)測算法”為支柱建立合規(guī)模式,實現(xiàn)數(shù)據(jù)合規(guī)治理模式的變革。

二、數(shù)據(jù)合規(guī)的理論基礎(chǔ)

在Web3.0時代,以收集和利用數(shù)據(jù)為主業(yè)的數(shù)據(jù)驅(qū)動型企業(yè),其內(nèi)部結(jié)構(gòu)和技術(shù)設(shè)施極其復(fù)雜,傳統(tǒng)的控制型治理模式捉襟見肘,需要政府與企業(yè)、行業(yè)組織等協(xié)同治理;在Web3.0時代,數(shù)據(jù)主宰一切的風(fēng)險決定了在數(shù)據(jù)領(lǐng)域合規(guī)不再是單純的激勵措施,而成為企業(yè)的一種法定義務(wù)。協(xié)同治理模式與數(shù)據(jù)合規(guī)義務(wù)的法定化,奠定了Web3.0時代數(shù)據(jù)合規(guī)的理論基礎(chǔ)。

(一)協(xié)同治理模式

社會治理可以分為兩種基本方式:一種是政府指令型,形成他組織秩序;另一種是社會協(xié)同型,通過協(xié)作、共治形成自組織秩序。協(xié)同理論來源于20 世紀(jì)70年代德國物理學(xué)家赫爾曼·哈肯創(chuàng)立的協(xié)同學(xué)。協(xié)同就是在一定條件下復(fù)雜系統(tǒng)內(nèi)部各子系統(tǒng)間通過非線性作用而產(chǎn)生的協(xié)同現(xiàn)象和效應(yīng),從無序混亂狀態(tài)變?yōu)楹暧^有序結(jié)構(gòu)的機理和過程,以使系統(tǒng)形成一種自組織結(jié)構(gòu)。③哈肯:《高等協(xié)同學(xué)》,郭治安譯,科學(xué)出版社1989年版,第87頁。所謂自組織系統(tǒng)是在沒有外界環(huán)境的特定干預(yù)下產(chǎn)生其結(jié)構(gòu)或功能的系統(tǒng)。但是,在自組織系統(tǒng)和人造裝置之間并不存在不可逾越的鴻溝,在各種裝置中設(shè)置了某種邊界條件,從而使器件能夠產(chǎn)生自組織的功能。④哈肯:《高等協(xié)同學(xué)》,郭治安譯,科學(xué)出版社1989年版,前言。這種理論后來從物理學(xué)走向社會科學(xué),社會系統(tǒng)也具有這種“自組織系統(tǒng)”的特征,通過社會分工實現(xiàn)有序發(fā)展。在公共治理領(lǐng)域,它蘊藏著協(xié)同精神和善治理念,倡導(dǎo)公共權(quán)力機構(gòu)與私人市場、公民社會建立基于公共利益的協(xié)作與互動關(guān)系,理性合作地共同實施對社會公共事務(wù)的治理,從而最大限度地實現(xiàn)“公共善”和國家正義事業(yè)。⑤歐黎明、朱秦:《社會協(xié)同治理:信任關(guān)系與平臺建設(shè)》,載《中國行政管理》2009年第5期,第118頁。

數(shù)據(jù)安全問題日益嚴(yán)重,傳統(tǒng)的監(jiān)管模式不能適應(yīng)數(shù)據(jù)安全的特征。相反,企業(yè)和政府之間需要發(fā)展一種新穎的、自愿的、經(jīng)濟(jì)上可持續(xù)的伙伴關(guān)系。只有將政府、企業(yè)、個人都納入網(wǎng)絡(luò)、數(shù)據(jù)風(fēng)險協(xié)同治理這一系統(tǒng)中,全面發(fā)揮各子系統(tǒng)的不同功能,才能實現(xiàn)數(shù)據(jù)風(fēng)險治理的效果。由于Web3.0時代網(wǎng)絡(luò)社會的復(fù)雜性、開放性、不確定性、超時空性、高技術(shù)性和智能性,無論是政府的某一個部門,還是某個社會組織及其人員,都不可能完全具備解決上述復(fù)雜社會問題所需要的全部資源、智識和能力。數(shù)據(jù)犯罪是一種高技術(shù)犯罪,對它的規(guī)制更加依賴于技術(shù)方案和專家們的技術(shù)知識,新的犯罪類型影響到眾多的法律領(lǐng)域,這提高了規(guī)制的復(fù)雜性,增加了合作的必要性,“導(dǎo)致了大量的——常常相互關(guān)聯(lián)的——和諧化進(jìn)程”①[德]烏爾里希·齊白:《全球風(fēng)險社會與信息社會中的刑法》,周遵友、江溯等譯,中國法制出版社2012年版,第298-299頁。。傳統(tǒng)的政府指令型治理模式,依賴政府的“單打獨斗”,試圖形成他組織秩序,這種治理模式對于復(fù)雜、高技術(shù)性的數(shù)據(jù)治理來說,不僅成本高昂、效率低下,而且可能導(dǎo)致治理效果失靈。與政府?dāng)?shù)據(jù)治理的資源和技術(shù)捉襟見肘相比,數(shù)據(jù)企業(yè)本身具有自我管理、協(xié)同治理強大的技術(shù)和資源優(yōu)勢。2004年,信息社會世界高峰論壇制定的《日內(nèi)瓦行動計劃》明確指出,互聯(lián)網(wǎng)治理是政府、私營部門和民間社會,根據(jù)各自的作用制定和實施旨在規(guī)范互聯(lián)網(wǎng)發(fā)展和使用的共同原則、準(zhǔn)則、規(guī)則、決策程序和方案。根據(jù)這一治理概念,數(shù)據(jù)風(fēng)險協(xié)同治理的主體結(jié)構(gòu)應(yīng)該包括政府、私營部門和民間社會。

必須正視協(xié)同治理中企業(yè)特殊的角色和作用。數(shù)字經(jīng)濟(jì)表明,公共和私營部門都有在數(shù)據(jù)安全方面的需求,“利益一致但又有不同”,合作模式可以應(yīng)對快速變化的數(shù)據(jù)風(fēng)險。治理數(shù)據(jù)犯罪這個目標(biāo)的實現(xiàn)不能由國家單獨完成,而必須得到企業(yè)、行業(yè)的支持,企業(yè)的自治和公私共治變得越來越重要?！坝捎趪矣袡?quán)行使強制性權(quán)力,而私營部門能直接訪問網(wǎng)絡(luò)且具有實際處理相關(guān)問題的專長,因此共治會特別有效。”②[德]烏爾里?！R白:《全球風(fēng)險社會與信息社會中的刑法》,周遵友、江溯等譯,中國法制出版社2012年版,第339頁。而企業(yè)合規(guī)的精髓恰恰是國家與企業(yè)“共治”。③孫國祥:《涉案企業(yè)合規(guī)改革與刑法修正》,載《中國刑事法雜志》2022年第3期,第55頁。

(二)數(shù)據(jù)領(lǐng)域合規(guī)義務(wù)的法定化

企業(yè)合規(guī)在法律意義上,是給予建立合規(guī)計劃的企業(yè)一種激勵措施。對于非涉案企業(yè)來說,建立和有效實施合規(guī)計劃,在未來涉案時可能成為抗辯、出罪事由;對于涉案企業(yè)來說,建立和有效實施合規(guī)計劃,可能成為從寬處罰乃至免除處罰的依據(jù)。通過法律上從寬處罰的制度設(shè)計激勵企業(yè)自主合規(guī),就此而言,合規(guī)是企業(yè)的自我選擇,一般不會也不應(yīng)將建立和實施合規(guī)計劃作為企業(yè)的法律義務(wù)。④孫國祥:《涉案企業(yè)合規(guī)改革與刑法修正》,載《中國刑事法雜志》2022年第3期,第55頁。但是,在Web3.0時代的數(shù)據(jù)領(lǐng)域,合規(guī)具有成為數(shù)據(jù)企業(yè)強制性法律義務(wù)的趨勢。

在Web3.0時代,數(shù)據(jù)企業(yè)的責(zé)任蛻變決定了企業(yè)在數(shù)據(jù)犯罪治理中負(fù)有更大的責(zé)任和義務(wù)。在Web2.0時代,企業(yè)平臺是“技術(shù)中立”的,適用“避風(fēng)港原則”。1998年10月28日美國頒布的《千禧年數(shù)字版權(quán)法》(DMCA)第512條規(guī)定了“避風(fēng)港原則”,即對僅提供空間服務(wù)的網(wǎng)絡(luò)服務(wù)提供者,如果其網(wǎng)絡(luò)平臺相關(guān)內(nèi)容涉嫌侵權(quán),在能夠證明其無惡意且及時刪除的情況下,無須承擔(dān)責(zé)任。我國2006年5月18日修改后的《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》第14至17條、第20至23條也設(shè)立了“避風(fēng)港原則”。例如,《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》第23條規(guī)定,網(wǎng)絡(luò)服務(wù)提供者為服務(wù)對象提供搜索或者鏈接服務(wù),在接到權(quán)利人的通知書后,根據(jù)本條例規(guī)定斷開與侵權(quán)的作品、表演、錄音錄像制品的鏈接的,不承擔(dān)賠償責(zé)任,但明知或者應(yīng)知所鏈接的作品、表演、錄音錄像制品侵權(quán)的,應(yīng)當(dāng)承擔(dān)共同侵權(quán)責(zé)任。我國2009年12月26日通過的《侵權(quán)責(zé)任法》第36條也確立了“避風(fēng)港原則”。2020年5月28日通過的《民法典》第1195條繼承了《侵權(quán)責(zé)任法》中關(guān)于“避風(fēng)港原則”的內(nèi)容,規(guī)定網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實施侵權(quán)行為的,權(quán)利人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡(luò)服務(wù)提供者接到權(quán)利人要求刪除、屏蔽、斷開鏈接等通知后,應(yīng)當(dāng)及時將該通知轉(zhuǎn)送相關(guān)網(wǎng)絡(luò)用戶,并根據(jù)構(gòu)成侵權(quán)的初步證據(jù)和服務(wù)類型采取必要措施;未及時采取必要措施的,對損害的擴大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。權(quán)利人因錯誤通知造成網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者損害的,應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。

但是,隨著Web3.0時代的到來,數(shù)據(jù)平臺不再是單純的信息提供者、發(fā)布者,不再是單純的中介服務(wù)平臺,而是發(fā)展為集工作、生活和服務(wù)于一體的綜合平臺。數(shù)據(jù)平臺單純的中介服務(wù)特征、中立特征逐漸淡化,全面參與到網(wǎng)絡(luò)空間的運行,從最初的提供簡單鏈接發(fā)展到全面參與數(shù)據(jù)資源配置,功能越來越強。Web3.0時代的社會逐步全面數(shù)據(jù)化,“數(shù)據(jù)主宰一切”逐步成為現(xiàn)實,這意味著平臺應(yīng)當(dāng)承擔(dān)更多的責(zé)任,合規(guī)逐步成為平臺企業(yè)的法定義務(wù)。2017年6月1日實施的《網(wǎng)絡(luò)安全法》第21條規(guī)定,網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實網(wǎng)絡(luò)安全保護(hù)責(zé)任,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第57條至第75條對網(wǎng)絡(luò)平臺作了更為嚴(yán)格的責(zé)任規(guī)定。這里的“制定內(nèi)部安全管理制度和操作規(guī)程”實際上就是將建立合規(guī)計劃作為法定義務(wù)。2021年8月20日通過的《個人信息保護(hù)法》第五章專門規(guī)定了個人信息處理者的義務(wù),其中,第51條規(guī)定,個人信息處理者應(yīng)當(dāng)采取制定內(nèi)部管理制度和操作規(guī)程等措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問及個人信息泄露、篡改、丟失;第58條規(guī)定,提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者,應(yīng)當(dāng)按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系。這更加明確地將建立數(shù)據(jù)保護(hù)合規(guī)作為企業(yè)的法定義務(wù)。2022年9月2日通過的《反電信網(wǎng)絡(luò)詐騙法》第6條規(guī)定,電信業(yè)務(wù)經(jīng)營者、銀行業(yè)金融機構(gòu)、非銀行支付機構(gòu)、互聯(lián)網(wǎng)服務(wù)提供者承擔(dān)風(fēng)險防控責(zé)任,建立反電信網(wǎng)絡(luò)詐騙內(nèi)部控制機制和安全責(zé)任制度,加強新業(yè)務(wù)涉詐風(fēng)險安全評估。第39條至41條進(jìn)一步規(guī)定,未落實國家有關(guān)規(guī)定確定的反電信網(wǎng)絡(luò)詐騙內(nèi)部控制機制的應(yīng)當(dāng)承擔(dān)的法律責(zé)任。如果說上述法律規(guī)定還只是將合規(guī)作為行政法義務(wù),那么,2015年8月29日通過的《刑法修正案(九)》就開啟了數(shù)據(jù)合規(guī)刑事法義務(wù)的步伐。

《刑法修正案(九)》增設(shè)了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法利用信息網(wǎng)絡(luò)罪、幫助信息網(wǎng)絡(luò)犯罪活動罪,這三個罪名主要是針對數(shù)據(jù)平臺企業(yè)責(zé)任而設(shè)立的,具有標(biāo)志性意義。特別是拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪,直接為網(wǎng)絡(luò)平臺服務(wù)提供者設(shè)定合規(guī)的刑事義務(wù)。立法目的是旨在督促其發(fā)揮技術(shù)控制優(yōu)勢,履行事后“通知—移除”義務(wù),協(xié)助治理網(wǎng)絡(luò)環(huán)境、維護(hù)網(wǎng)絡(luò)安全。①陳洪兵:《拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪條款“僵尸化”的反思》,載《學(xué)術(shù)論壇》2022年第3期,第1頁。這里有一個明顯的風(fēng)向標(biāo),那就是Web3.0時代網(wǎng)絡(luò)犯罪的追責(zé)重點由個人轉(zhuǎn)向平臺。②劉艷紅:《Web3.0時代網(wǎng)絡(luò)犯罪的代際特征及刑法應(yīng)對》,載《環(huán)球法律評論》2020年第5期,第109-111頁。有德國學(xué)者為此類網(wǎng)絡(luò)服務(wù)提供者發(fā)明了一個新的名詞——“內(nèi)容框架提供者”。這種思路強調(diào)的是,網(wǎng)絡(luò)服務(wù)提供者一方面不應(yīng)對一切來自第三人的內(nèi)容負(fù)責(zé),另一方面,也不得對上述內(nèi)容一律袖手旁觀,而是具有一定的安全注意義務(wù)。③王遷:《網(wǎng)絡(luò)環(huán)境中的著作權(quán)保護(hù)研究》,法律出版社2011年版,第294頁。就此而言,建立和實施反腐敗合規(guī)、環(huán)保合規(guī)等,對于企業(yè)來說是一種自主選擇,但數(shù)據(jù)合規(guī)在某種程度上是一種法定的義務(wù)。在數(shù)據(jù)領(lǐng)域,合規(guī)成為企業(yè)的法律、刑事法律義務(wù)的根本原因,在于Web3.0時代數(shù)據(jù)主宰一切的風(fēng)險具有明顯的前置化和早期化,數(shù)據(jù)法益的保護(hù)不得不前置。數(shù)據(jù)掌握在企業(yè)手中,“算法霸權(quán)”掌握在企業(yè)手中,如果不給企業(yè)設(shè)定法定的合規(guī)義務(wù),每一個人都將得不到安全。

綜上所述,一方面,數(shù)據(jù)風(fēng)險、數(shù)據(jù)犯罪的治理具有特殊性,需要政府與企業(yè)的協(xié)同共治;另一方面,數(shù)據(jù)法益具有前置化、早期化的特殊性,決定了數(shù)據(jù)合規(guī)成為企業(yè)的法定義務(wù)。在Web3.0時代,數(shù)據(jù)合規(guī)不僅是作為數(shù)據(jù)使用者、處理者企業(yè)的自我需求,也是法律規(guī)定的義務(wù),這與傳統(tǒng)合規(guī)作為企業(yè)的自主選擇具有根本性差異。

三、Web3.0時代數(shù)據(jù)合規(guī)模式的變革

如前所述,數(shù)據(jù)合規(guī)是Web3.0時代數(shù)據(jù)使用者、處理者的協(xié)同治理的自我需求和法定義務(wù),如何構(gòu)建數(shù)據(jù)合規(guī)計劃呢?數(shù)據(jù)合規(guī)是企業(yè)合規(guī)的分支,與反腐敗合規(guī)、反洗錢合規(guī)、環(huán)保合規(guī)等均屬于專項合規(guī),基本要素是一致的。國際標(biāo)準(zhǔn)化組織ISO37301:2021《合規(guī)管理體系——要求及使用指南》(以下簡稱“ISO37301”)對合規(guī)管理體系通用要素進(jìn)行了詳細(xì)的規(guī)定。當(dāng)前,我國學(xué)者對數(shù)據(jù)合規(guī)的研究基本上也都是在該框架下進(jìn)行的。①參見李玉華、馮泳琦:《數(shù)據(jù)合規(guī)的基本問題》,載《青少年犯罪問題》2021年第3期,第4-16頁;毛逸瀟:《數(shù)據(jù)保護(hù)合規(guī)體系研究》,載《國家檢察官學(xué)院學(xué)報》2022年第2期,第84-100頁;等等。但是,數(shù)據(jù)合規(guī)具有特殊性,傳統(tǒng)的合規(guī)治理模式并不能完全適應(yīng)Web3.0時代的數(shù)據(jù)合規(guī)。

(一)傳統(tǒng)數(shù)據(jù)合規(guī)模式

傳統(tǒng)的數(shù)據(jù)合規(guī)模式是以“知情同意”為核心的,傳統(tǒng)數(shù)據(jù)企業(yè)合規(guī)計劃以建立保障“知情同意”機制為中心。但是,這種模式在Web3.0大數(shù)據(jù)時代面臨崩塌。

傳統(tǒng)數(shù)據(jù)合規(guī)是以“知情同意”為核心的模式,強調(diào)企業(yè)在收集、處理數(shù)據(jù)時以公民個人知情且同意為前提,要求企業(yè)建立尊重公民“知情同意”的合規(guī)管理制度。無論是歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR),還是我國的《個人信息保護(hù)法》,均是這一思路。歐盟《通用數(shù)據(jù)保護(hù)條例》明確數(shù)據(jù)主體“知情同意”,數(shù)據(jù)控制者必須以清楚、簡單、明了的方式向用戶說明其個人數(shù)據(jù)是如何被收集、處理或傳輸?shù)?數(shù)據(jù)主體必須明確選擇授予數(shù)據(jù)用戶訪問其信息,以便未來的處理合法。盡管在公共利益等特殊情形下有例外規(guī)定,但也必須保障數(shù)據(jù)主體的知情權(quán),仍然必須明確告知其數(shù)據(jù)已被收集。②Jacob M. Victor, The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy, Yale Law Journal,Vol.123:513, p.523(2013).我國《個人信息保護(hù)法》第13條、第14條也規(guī)定了“知情同意”原則,個人信息處理者必須取得個人的同意,方可處理個人信息,該同意應(yīng)當(dāng)是個人在充分知情的前提下自愿、明確作出的。

“知情同意”,又稱“告知同意”,是指數(shù)據(jù)的收集或利用者應(yīng)明確告知數(shù)據(jù)權(quán)利主體相關(guān)情況并征得其同意。通說理論認(rèn)為,“知情同意”原則是建立在尊重公民個人對數(shù)據(jù)的自決權(quán)基礎(chǔ)之上的,將數(shù)據(jù)權(quán)作為公民的基本權(quán)利。①張新寶:《個人信息收集:告知同意原則適用的限制》,載《比較法研究》2019年第6期,第1-2頁;張勇:《APP個人信息的刑法保護(hù):以知情同意為視角》,載《法學(xué)》2020年第8期,第116-117頁。因此,基于私人自治的原理,“知情同意”成為數(shù)據(jù)收集和處理的合法性基礎(chǔ)。世界各國立法幾乎不約而同地將征求用戶的知情同意作為數(shù)據(jù)安全的一項基本原則。②鄭佳寧:《知情同意原則在信息采集中的適用與規(guī)則構(gòu)建》,載《東方法學(xué)》2020年第2期,第198-199頁。與之相適應(yīng),數(shù)據(jù)企業(yè)的合規(guī)模式也是建立在“知情同意”原則基礎(chǔ)上的。但是,事實表明,這種以“知情同意”原則為核心,依托數(shù)據(jù)賦權(quán)理念的控制模式,不但沒有強化對公民個人信息安全的維護(hù),反而導(dǎo)致數(shù)據(jù)權(quán)利人面臨更大的風(fēng)險。③于改之:《從控制到利用:刑法數(shù)據(jù)治理的模式轉(zhuǎn)換》,載《中國社會科學(xué)》2022年第7期,第65頁。這種以“知情同意”為核心的數(shù)據(jù)合規(guī)治理模式失靈的原因,一方面,在于不計其數(shù)的APP、網(wǎng)站平臺,用戶注冊時只能被迫勾選“同意”。數(shù)據(jù)收集者與被收集者之間存在信息不對稱,數(shù)據(jù)收集者會采用“煙幕策略”,使個人難以獲得可理解的有關(guān)個人數(shù)據(jù)的信息。④Paul M. Schwartz, Property, Privacy, and Personal Data, Harvard Law Review, Vol.117:2056,p.2080(2004).另一方面,按照嚴(yán)格的“知情同意”原則,只要用戶不同意就不得收集個人數(shù)據(jù)且不能拒絕用戶下載、使用,這樣的結(jié)果就是導(dǎo)致企業(yè)無法獲取數(shù)據(jù),這樣數(shù)字經(jīng)濟(jì)也就無從發(fā)展。在大數(shù)據(jù)時代,“知情同意”這個曾經(jīng)“經(jīng)過了考驗并且可信賴的基石,要么太狹隘,限制了大數(shù)據(jù)潛在價值的挖掘,要么就太空泛而無法真正地保護(hù)個人隱私”。⑤[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶:《大數(shù)據(jù)時代》,盛楊燕、周濤譯,浙江人民出版社2013年版,第198頁。

以“知情同意”為核心的數(shù)據(jù)合規(guī)模式是典型的“小數(shù)據(jù)”思維,而非“大數(shù)據(jù)”思維。小數(shù)據(jù)時代的數(shù)據(jù)風(fēng)險主要是隱私泄露風(fēng)險,大數(shù)據(jù)時代的數(shù)據(jù)合規(guī)風(fēng)險主要是“預(yù)測”風(fēng)險、“算法霸權(quán)”風(fēng)險。大數(shù)據(jù)的核心功能是預(yù)測,是把數(shù)學(xué)算法運用到海量的數(shù)據(jù)上來預(yù)測事情發(fā)生的可能性。Web3.0的大數(shù)據(jù)時代,危險不再是隱私泄露,而是被預(yù)知的可能性——這些能預(yù)測我們可能生病、拖欠還款和犯罪的算法會讓我們無法購買保險、無法貸款、甚至在實施犯罪前就被預(yù)先逮捕。⑥[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶:《大數(shù)據(jù)時代》,盛楊燕、周濤譯,浙江人民出版社2013年版,第16、22頁?！邦A(yù)測”風(fēng)險和“算法霸權(quán)”的典型例子是“精準(zhǔn)投放”的“掠奪式廣告”。掌握數(shù)據(jù)的企業(yè)基于公民的網(wǎng)上行為所透漏出的內(nèi)在偏好和選擇模式,把公民放在數(shù)百種模型中進(jìn)行排名、分類以及評分,精確找出有迫切需求的群體,這種掠奪式的廣告以尋求不平等并大肆利用這種不平等為己任,其結(jié)果是進(jìn)一步鞏固現(xiàn)有的社會分層。這種掠奪式廣告其實就是一種“數(shù)學(xué)殺傷性武器”⑦[美]凱西·奧尼爾:《算法霸權(quán)——數(shù)學(xué)殺傷性武器的威脅》,馬青玲譯,中信出版集團(tuán)2018年版,第73頁。。事實上,在Web3.0時代,大數(shù)據(jù)的價值不再單純來源于它的基本用途,而更多源于它的再利用,這就顛覆了當(dāng)下以“知情同意”為中心的思想。事實上,很多數(shù)據(jù)驅(qū)動型企業(yè)在日常業(yè)務(wù)過程中沉淀累積的數(shù)據(jù),在收集、獲取這些數(shù)據(jù)時并沒有想好將來如何使用這些數(shù)據(jù)。數(shù)據(jù)的價值不僅僅在采集時預(yù)想的特定用途,其神奇之處在于首次價值被發(fā)掘之后仍能不斷產(chǎn)生新的價值。因此,公司無法告知尚未想到的用途,而個人也無法同意這種尚未知的用途。比如,谷歌要使用檢索詞預(yù)測流感,必須征得數(shù)億用戶的同意,即使技術(shù)上沒有障礙,又有哪個公司負(fù)擔(dān)起這樣的人財物支出呢?這簡直無法想象。⑧[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶:《大數(shù)據(jù)時代》,盛楊燕、周濤譯,浙江人民出版社2013年版,第197頁。

在傳統(tǒng)數(shù)據(jù)合規(guī)治理模式中,與“知情同意”這個支柱相互配套的措施是“匿名化”。為了平衡絕對的“知情同意”可能窒息數(shù)據(jù)經(jīng)濟(jì)的發(fā)展,推出“匿名化”措施。歐盟《通用數(shù)據(jù)保護(hù)條例》允許對經(jīng)過“匿名化”的數(shù)據(jù)進(jìn)行與原始目的相兼容的再利用。我國《個人信息保護(hù)法》第4條也將經(jīng)過匿名化處理后的信息排除在個人信息保護(hù)之外。在刑法中,侵害公民個人信息罪也將經(jīng)過匿名化處理的信息排除在該罪名的保護(hù)范圍之外,最高人民法院、最高人民檢察院發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第3條明確規(guī)定,“經(jīng)過處理無法識別特定個人且不能復(fù)原的”不構(gòu)成侵犯公民個人信息罪。這同樣是小數(shù)據(jù)時代的思維。在大數(shù)據(jù)時代,交叉驗證使得匿名化的功能失靈。只要有足夠的數(shù)據(jù),把不同來源的數(shù)據(jù)進(jìn)行交叉驗證,無論如何都做不到真正的匿名化。例如,2006年8月,美國在線(AOL)對65.7萬用戶的2000萬搜索查詢記錄經(jīng)過精心的匿名化處理后建立數(shù)據(jù)庫,進(jìn)行數(shù)據(jù)分析。但是,《紐約時報》幾天之內(nèi)通過對“60歲的單身男性”“有益健康的茶葉”“利爾本的園丁”等搜索記錄綜合分析,發(fā)現(xiàn)數(shù)據(jù)庫里的4417749號就是佐治亞州利爾本的一個62歲的寡婦塞爾瑪·阿諾德。①[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶:《大數(shù)據(jù)時代》,盛楊燕、周濤譯,浙江人民出版社2013年版,第198-199頁。寄希望于匿名化措施來實現(xiàn)“知情同意”的效能無異于緣木求魚、水中撈月。

(二)Web3.0時代數(shù)據(jù)合規(guī)模式

如前所述,以“知情同意”為支柱的傳統(tǒng)數(shù)據(jù)合規(guī)模式在大數(shù)據(jù)時代是失靈的,必須尋求適應(yīng)Web3.0時代數(shù)據(jù)合規(guī)模式的新支柱。

傳統(tǒng)數(shù)據(jù)合規(guī)將焦點聚集于數(shù)據(jù)主體的“知情同意”上,這樣導(dǎo)致的結(jié)果是,作為數(shù)據(jù)使用者的企業(yè)利用其擁有與數(shù)據(jù)主體不對稱的信息優(yōu)勢獲得數(shù)據(jù)主體的“一次性同意”,并借助表面上正當(dāng)?shù)珜嵸|(zhì)上無效的“匿名化”措施,從而導(dǎo)致數(shù)據(jù)濫用風(fēng)險的最終承擔(dān)者不當(dāng)?shù)赜墒褂谜咿D(zhuǎn)向權(quán)利主體。②于改之:《從控制到利用:刑法數(shù)據(jù)治理的模式轉(zhuǎn)換》,載《中國社會科學(xué)》2022年第7期,第65頁。

在大數(shù)據(jù)時代,數(shù)據(jù)的價值主要體現(xiàn)在利用、再利用上,也就是對初次收集來的數(shù)據(jù)進(jìn)行挖掘,通過算法進(jìn)行“預(yù)測”以實現(xiàn)其巨大的商業(yè)和社會價值。算法源自數(shù)學(xué)和計算科學(xué)領(lǐng)域,逐步被應(yīng)用于社會科學(xué)領(lǐng)域的決策、預(yù)測程序。有學(xué)者認(rèn)為,今天的算法是利用機器來進(jìn)行自動化決策或輔助決策的算法。③丁曉東:《論算法的法律規(guī)制》,載《中國社會科學(xué)》2020年第12期,第140-141頁。大數(shù)據(jù)時代的算法,本質(zhì)上是借助計算機的強大算力,以海量數(shù)據(jù)為基礎(chǔ),進(jìn)行推理和計算,以實現(xiàn)決策預(yù)測目標(biāo)。換言之,大數(shù)據(jù)的核心價值在于預(yù)測,運用算法技術(shù)對海量的、多維度的數(shù)據(jù)進(jìn)行分析,就可以實現(xiàn)對特定目標(biāo)進(jìn)行預(yù)測和畫像。這種大數(shù)據(jù)預(yù)測、畫像已經(jīng)滲透到各行各業(yè),正在迅速變革商業(yè)模式、生產(chǎn)力結(jié)構(gòu)、生活方式,大數(shù)據(jù)預(yù)測正在開啟重大的時代轉(zhuǎn)型。大數(shù)據(jù)預(yù)測不需要因果關(guān)系探究只需要相關(guān)性分析,不問為什么只關(guān)注是什么。Web3.0時代,是一個用數(shù)據(jù)進(jìn)行預(yù)測的時代。但是,海量數(shù)據(jù)相關(guān)關(guān)系的過度分析,不當(dāng)?shù)念A(yù)測和畫像,存在結(jié)果預(yù)判挑戰(zhàn)自由、隱私披露挑戰(zhàn)尊嚴(yán)、信息壟斷挑戰(zhàn)公平、固化標(biāo)簽挑戰(zhàn)正義等倫理困境。④蔣潔、陳芳、何亮亮:《大數(shù)據(jù)預(yù)測的倫理困境與出路》,載《圖書與情報》2014年第5期,第61-62頁。數(shù)據(jù)風(fēng)險的重點不是采集、收集,而是挖掘、使用;數(shù)據(jù)合規(guī)的重點不是保障采集、收集時的“知情同意”,而是濫用數(shù)據(jù)進(jìn)行“預(yù)測”的“算法霸權(quán)”。Web3.0社會也是算法社會,數(shù)據(jù)風(fēng)險治理應(yīng)從傳統(tǒng)的“裁斷行為后果”轉(zhuǎn)向“塑造行為邏輯”,傳統(tǒng)的賦權(quán)與救濟(jì)模式應(yīng)轉(zhuǎn)向事前對行為的規(guī)訓(xùn)與塑造,以及事前對不法與違法行為的阻卻。①齊延平:《數(shù)智化社會的法律調(diào)控》,載《中國法學(xué)》2022年第1期,第78-79頁。在大數(shù)據(jù)時代,“我們需要一個不一樣的隱私保護(hù)模式,這個模式應(yīng)該更著重于數(shù)據(jù)使用者為其行為承擔(dān)責(zé)任,而不是將重心放在收集數(shù)據(jù)之初取得權(quán)利人同意上。這樣一來,使用數(shù)據(jù)的公司就需要基于其將對個人所造成的影響,對涉及個人數(shù)據(jù)再利用的行為進(jìn)行正規(guī)測試”。②[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶:《大數(shù)據(jù)時代》,盛楊燕、周濤譯,浙江人民出版社2013年版,第220頁。這個“正規(guī)測試”就是對濫用數(shù)據(jù)預(yù)測的合規(guī)評估。作為數(shù)據(jù)使用者的企業(yè),必須建立以數(shù)據(jù)挖掘、利用為核心的合規(guī)模式。

將數(shù)據(jù)合規(guī)的重心從保障數(shù)據(jù)主體的知情同意轉(zhuǎn)向數(shù)據(jù)使用者的利用、再利用上,具有充分理由,也具有合理的價值。首先,在Web3.0時代,有些數(shù)據(jù)即使沒有數(shù)據(jù)主體的“知情同意”也必須被采集,否則不僅其個人將無法在這個大數(shù)據(jù)時代生存,也會導(dǎo)致社會停滯發(fā)展。例如,Web3.0時代的人們不得不使用智能手機,但智能手機必須收集用戶的位置數(shù)據(jù),這樣才能通過基站鏈接網(wǎng)絡(luò);再比如,電信運營商必須通過收集和分析位置信息來提升移動互聯(lián)網(wǎng)的服務(wù)水平。有些數(shù)據(jù)甚至是在無意識中被收集的,只要點擊某個網(wǎng)站、瀏覽某個網(wǎng)頁就會生成數(shù)據(jù)。在Web3.0時代,我們不僅要關(guān)注他們采集到什么數(shù)據(jù),更應(yīng)該關(guān)注他們?nèi)绾问褂眠@些數(shù)據(jù)。

其次,作為數(shù)據(jù)使用者的企業(yè)最清楚如何使用數(shù)據(jù)及將來如何使用數(shù)據(jù),作為數(shù)據(jù)的使用者也是數(shù)據(jù)再利用的最大受益者。即使在收集數(shù)據(jù)時獲得同意,也并不意味著就可以隨意使用這些數(shù)據(jù)。或許有人會說在收集時就應(yīng)當(dāng)告知公民如何使用,問題是企業(yè)在收集時并未想好如何使用,或者是在收集后又出現(xiàn)了新的用途。大數(shù)據(jù)和算法技術(shù)的快速發(fā)展,決定了今天數(shù)據(jù)收集時想到的使用方法,明天就過時。將合規(guī)的重心后移,在將來任何時候,只要使用這些數(shù)據(jù)就要進(jìn)行合規(guī)評估。

最后,有利于平衡數(shù)據(jù)保護(hù)與數(shù)字經(jīng)濟(jì)發(fā)展之間的關(guān)系。數(shù)據(jù)是Web3.0時代的“石油”,是生產(chǎn)要素、戰(zhàn)略資源。沒有數(shù)據(jù)的社會將失去發(fā)展的活力,沒有數(shù)據(jù)的企業(yè)將在商業(yè)競爭中面臨淘汰,沒有數(shù)據(jù)的國家將在全球競爭中出局。絕對嚴(yán)格的“知情同意”,企業(yè)、組織體將無法獲得數(shù)據(jù),這將阻礙數(shù)字經(jīng)濟(jì)的發(fā)展和社會的進(jìn)步。將數(shù)據(jù)合規(guī)的重心從保障數(shù)據(jù)主體的“知情同意”轉(zhuǎn)向數(shù)據(jù)使用者的利用、再利用,有利于平衡數(shù)據(jù)保護(hù)與數(shù)字經(jīng)濟(jì)、社會發(fā)展之間的關(guān)系。Web3.0時代,大數(shù)據(jù)合規(guī)的目標(biāo)是允許企業(yè)合理收集數(shù)據(jù),但嚴(yán)格禁止濫用數(shù)據(jù)。當(dāng)然,不是說“知情同意”不重要,數(shù)據(jù)權(quán)作為個人的基本權(quán)利,“知情同意”當(dāng)然是重要的,問題是“知情同意”很容易被數(shù)據(jù)使用者架空,從數(shù)據(jù)合規(guī)的角度來說,在遵循“知情同意”的同時,重點是數(shù)據(jù)的利用和再利用。

在Web3.0時代,世間萬物皆可被數(shù)據(jù)化,數(shù)據(jù)成為這個世界的本質(zhì),這是無法阻擋的趨勢。這些數(shù)據(jù)既可以被用來研究疾病治療方案,也可以被用來殺人。治理的重點當(dāng)然不是要阻止數(shù)據(jù)的采集或阻止世界的數(shù)據(jù)化趨勢,而是治理數(shù)據(jù)“預(yù)測算法”的濫用行為。

四、Web3.0時代數(shù)據(jù)合規(guī)模式的建構(gòu)

Web3.0時代數(shù)據(jù)合規(guī)模式的支柱是規(guī)制數(shù)據(jù)利用和再利用,預(yù)防濫用大數(shù)據(jù)進(jìn)行“預(yù)測算法”。作為數(shù)據(jù)使用者、利用者的企業(yè),必須建立以“預(yù)測算法”為中心的合規(guī)模式。建構(gòu)這樣的數(shù)據(jù)合規(guī)模式重點是建立數(shù)據(jù)保護(hù)官制度、構(gòu)筑“預(yù)測算法”的風(fēng)險評估、監(jiān)視、應(yīng)對體系,塑造數(shù)據(jù)合規(guī)文化。

(一)數(shù)據(jù)保護(hù)官制度

歐盟《通用數(shù)據(jù)保護(hù)條例》第37條詳細(xì)規(guī)定了數(shù)據(jù)保護(hù)官(Data Protection Officer,簡稱DPO)的設(shè)置及職責(zé),要求數(shù)據(jù)控制者和使用者在以下情況下應(yīng)當(dāng)委任數(shù)據(jù)保護(hù)官:公共當(dāng)局或機構(gòu)實施的處理措施(法庭在履行其司法職能時除外);其業(yè)務(wù)活動天然地需要大規(guī)模性對數(shù)據(jù)主體進(jìn)行常規(guī)和系統(tǒng)性的監(jiān)控;其核心活動是對某種特殊類型數(shù)據(jù)的大規(guī)模處理以及對定罪和違法相關(guān)的個人數(shù)據(jù)的處理。我國《個人信息保護(hù)法》第52條規(guī)定,處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對個人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督。

首先,使用數(shù)據(jù)的公司不論規(guī)模大小,都應(yīng)當(dāng)設(shè)立數(shù)據(jù)保護(hù)官。目前,無論是歐盟《通用數(shù)據(jù)保護(hù)條例》,還是我國《個人信息保護(hù)法》,都只是規(guī)定符合特定條件的數(shù)據(jù)處理者、使用者才必須設(shè)立數(shù)據(jù)保護(hù)官,前者從數(shù)據(jù)風(fēng)險類型角度設(shè)定條件,后者從處理數(shù)據(jù)的數(shù)量角度設(shè)定條件,二者均沒有對所有的數(shù)據(jù)處理者、使用者企業(yè)規(guī)定設(shè)立數(shù)據(jù)保護(hù)官的義務(wù)。這是值得反思的。事實上,歐盟《通用數(shù)據(jù)保護(hù)條例》在起草過程中對這個問題是有爭議的,在委員會草案中曾經(jīng)設(shè)定過雇員250人以上的條件,但是,有人認(rèn)為這可能會給中小企業(yè)造成不公平的負(fù)擔(dān);也有人認(rèn)為,即使250名員工的門檻也太低,應(yīng)該采取基于風(fēng)險的方法。最后,采取了基于風(fēng)險的方法。①W. Gregory Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation, Revue Juridique Themis,Vol.50:783, p.807-808 (2016).我國的《個人信息保護(hù)法》實際上受到了歐盟《通用數(shù)據(jù)保護(hù)條例》的影響。從企業(yè)合規(guī)的原理角度來說,限定特定的企業(yè)設(shè)立數(shù)據(jù)保護(hù)官的合理性值得商榷。按照企業(yè)合規(guī)的基本理論及ISO37301的規(guī)定,領(lǐng)導(dǎo)作用(leadship)是企業(yè)合規(guī)計劃的核心要素之一。不論公司規(guī)模大小,在公司內(nèi)部應(yīng)該有一個獨立的機構(gòu)或者專門人員負(fù)責(zé)合規(guī)計劃的執(zhí)行和實施,其負(fù)責(zé)人通常被稱為首席合規(guī)官(CCO)以及其他合規(guī)官員,這是最低限度的要求。②陳瑞華:《企業(yè)有效合規(guī)整改的基本思路》,載《政法論壇》2022年第1期,第102頁。只不過按照企業(yè)規(guī)模不同,數(shù)據(jù)保護(hù)官的具體形式可以有所不同,大中型數(shù)據(jù)企業(yè)應(yīng)當(dāng)成立合規(guī)委員會,并設(shè)立首席數(shù)據(jù)合規(guī)(保護(hù))官——合規(guī)部——數(shù)據(jù)合規(guī)(保護(hù))官;小型企業(yè)可以設(shè)立數(shù)據(jù)合規(guī)專員或外聘數(shù)據(jù)合規(guī)人員。數(shù)據(jù)保護(hù)官的角色其實就是企業(yè)合規(guī)官在數(shù)據(jù)合規(guī)領(lǐng)域的具體體現(xiàn)。

其次,以“預(yù)測算法”為核心的合規(guī)模式中,數(shù)據(jù)保護(hù)官的核心職能是識別、監(jiān)控、應(yīng)對“預(yù)測算法”風(fēng)險。數(shù)據(jù)保護(hù)官在履行傳統(tǒng)的常規(guī)數(shù)據(jù)合規(guī)風(fēng)險監(jiān)管職能的同時,應(yīng)將監(jiān)管“預(yù)測算法”合規(guī)風(fēng)險作為核心職能,常規(guī)的數(shù)據(jù)收集、采集合規(guī)風(fēng)險監(jiān)管是為“預(yù)測算法”合規(guī)風(fēng)險監(jiān)管服務(wù)的。數(shù)據(jù)保護(hù)官制度最大的難題,數(shù)據(jù)保護(hù)官一方面在職能上必須獨立于工程師等研發(fā)人員、技術(shù)人員、銷售人員,遵循“利益回避規(guī)則”;另一方面,必須全面、深入監(jiān)管“預(yù)測算法”的計算建構(gòu)過程,只有全面、深度介入才能真正實現(xiàn)監(jiān)管。算法技術(shù)本身帶有中立性,但是,“預(yù)測算法”的預(yù)測模型、圖譜建構(gòu)過程是人的主觀意志轉(zhuǎn)變?yōu)檫\算邏輯的過程,在預(yù)測目標(biāo)設(shè)定、數(shù)據(jù)標(biāo)注等生成算法的技術(shù)過程中,研發(fā)者的認(rèn)知偏差、打標(biāo)者惡意或無意裁決等都不可避免地將個人意志轉(zhuǎn)化為運算邏輯。①張旭:《基于人權(quán)標(biāo)準(zhǔn)的算法治理新思路:企業(yè)算法合規(guī)義務(wù)》,載《人權(quán)研究》2022年第2期,第93頁。這里面隱蔽著算法歧視、信息繭房、人格尊嚴(yán)、個人隱私等被侵害的巨大風(fēng)險。“穿透”這些技術(shù)過程,實質(zhì)有效監(jiān)管難度極大。這就要求數(shù)據(jù)保護(hù)官不僅要具備數(shù)據(jù)保護(hù)的法律、政策知識,更要具備數(shù)據(jù)、計算機方面的專業(yè)技術(shù)知識,能夠?qū)ⅰ邦A(yù)測算法”合規(guī)理念融入產(chǎn)品全生命周期,這就意味數(shù)據(jù)保護(hù)官具備在產(chǎn)品需求分析、技術(shù)方案設(shè)計、產(chǎn)品研發(fā)、測試等環(huán)節(jié)選擇合適評估和檢查點。②張弛:《數(shù)據(jù)保護(hù)官崗位角色技術(shù)能力分析》,載《網(wǎng)絡(luò)空間戰(zhàn)略論壇》2019年第2期,第48頁。當(dāng)前,一些企業(yè)習(xí)慣于從法務(wù)部中選拔人員作為合規(guī)官,或者聘用法律專業(yè)人士作為合規(guī)官,這種做法對于數(shù)據(jù)驅(qū)動型企業(yè)的數(shù)據(jù)保護(hù)官選聘來說是不適應(yīng)的,原因在于法律專業(yè)人員學(xué)習(xí)算法技術(shù)難度極大。應(yīng)當(dāng)反其道而行之,通過對算法技術(shù)人員進(jìn)行合規(guī)、法律知識的培訓(xùn)而培養(yǎng)成數(shù)據(jù)保護(hù)官。

最后,確保數(shù)據(jù)保護(hù)官的獨立性。數(shù)據(jù)保護(hù)官(也可稱為數(shù)據(jù)合規(guī)官)是作為數(shù)據(jù)使用者、處理者的企業(yè)中合規(guī)工作的核心人員,應(yīng)確保數(shù)據(jù)保護(hù)官適當(dāng)及時地參與到與數(shù)據(jù)保護(hù)有關(guān)的所有問題,在履行職責(zé)時獨立行事。③W. Gregory Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation, Revue Juridique Themis, Vol.50:783, p812(2016).要確保合規(guī)人員職責(zé)的權(quán)威性和獨立性,至少要做到:(1)合規(guī)職能應(yīng)能直達(dá)公司領(lǐng)導(dǎo)層,包括向領(lǐng)導(dǎo)層直接匯報、定期提交報告以及參加會議;(2)合規(guī)職能的獨立性,不能兼職從事業(yè)務(wù)工作,避免利益沖突,確保合規(guī)職能的運行不受任何不當(dāng)干擾、壓力;(3)合規(guī)職能具有適當(dāng)?shù)臋?quán)限和能力。數(shù)據(jù)合規(guī)保護(hù)官應(yīng)當(dāng)獨立于數(shù)據(jù)工程師,也獨立于研發(fā)、銷售等業(yè)務(wù)部門。首席數(shù)據(jù)保護(hù)官應(yīng)當(dāng)有相當(dāng)于首席執(zhí)行官CEO對等的地位和權(quán)利,并擁有“一票否決權(quán)”;數(shù)據(jù)保護(hù)合規(guī)官作為數(shù)據(jù)合規(guī)的部門負(fù)責(zé)人,與其他專項合規(guī)的部門負(fù)責(zé)人地位等同。建立數(shù)據(jù)保護(hù)官制度不是單純地設(shè)置一兩個數(shù)據(jù)保護(hù)人員就可以的,而是要建立與數(shù)據(jù)保護(hù)官相配套的職能、權(quán)限等一整套的組織管理體系。合規(guī)的本質(zhì)在于改造企業(yè)的治理結(jié)構(gòu),只有賦予首席數(shù)據(jù)保護(hù)官、數(shù)據(jù)保護(hù)官、數(shù)據(jù)保護(hù)專員等權(quán)威而獨立的職權(quán),甚至賦予一定的“一票否決權(quán)”,才能真正將數(shù)據(jù)合規(guī)嵌入企業(yè)內(nèi)部權(quán)力架構(gòu)和治理結(jié)構(gòu)之中,才能真正體現(xiàn)合規(guī)在改善企業(yè)治理結(jié)構(gòu)中的本質(zhì)功能。

(二)“預(yù)測算法”風(fēng)險評估、監(jiān)視、應(yīng)對體系

ISO37301將合規(guī)管理體系設(shè)置了7項一級要素、26項二級要素。7項一級要素分別為組織環(huán)境、領(lǐng)導(dǎo)作用、策劃、支持、運行、績效評價、改進(jìn)。26項二級要素項下還有大量的三級和四級要素。上述要素只是參考要點,需要結(jié)合企業(yè)的實際情況進(jìn)行具體設(shè)計和構(gòu)建,不能照搬照抄,否則很容易流于“紙面合規(guī)”。筆者認(rèn)為,在參考上述要素指標(biāo)時,應(yīng)當(dāng)堅持以風(fēng)險為導(dǎo)向,致力于建立風(fēng)險評估(識別)體系、風(fēng)險監(jiān)控體系、風(fēng)險應(yīng)對體系。①李勇:《涉罪企業(yè)合規(guī)有效性標(biāo)準(zhǔn)研究》,載《政法論壇》2022年第1期,第138-139頁。在數(shù)據(jù)合規(guī)領(lǐng)域遵循適宜性、充分性和有效性原則,建立以“預(yù)測算法”為中心的風(fēng)險評估、監(jiān)視、應(yīng)對體系。

首先,以“預(yù)測算法”影響為重點的風(fēng)險評估體系。數(shù)據(jù)合規(guī)風(fēng)險評估體系包括對企業(yè)所處的法律、監(jiān)管環(huán)境,以及內(nèi)外部風(fēng)險進(jìn)行全方位識別,重點是“預(yù)測算法”影響評估。以“預(yù)測算法”為核心的數(shù)據(jù)合規(guī)模式,決定了數(shù)據(jù)合規(guī)風(fēng)險評估體系的重點是對數(shù)據(jù)的利用、再利用進(jìn)行“預(yù)測算法”風(fēng)險評估?！邦A(yù)測算法”合規(guī)風(fēng)險評估體系需要重點把握以下方面:一是建立算法審查機制。為了防止濫用“算法霸權(quán)”,防止數(shù)據(jù)企業(yè)建立的數(shù)據(jù)分析模型違反法律和倫理,侵害合法利益,在使用數(shù)據(jù)之前就對算法進(jìn)行審查是必要的。歐盟《通用數(shù)據(jù)保護(hù)條例》第35條規(guī)定了數(shù)據(jù)保護(hù)影響評估(DataProtection Impact Assessment,簡稱DPIA),要求數(shù)據(jù)使用者事先進(jìn)行數(shù)據(jù)保護(hù)影響評估。事實上,即使是在算法運行過程中也需要不斷校正和改善,因為數(shù)據(jù)安全風(fēng)險是動態(tài)變化的,在使用過程中也會產(chǎn)生新的風(fēng)險、此前無法預(yù)測到的風(fēng)險。算法審查所要做的就是為人們揭開“內(nèi)幕”,告訴人們算法模型是如何運作的。通過算法合規(guī)審查,給大數(shù)據(jù)預(yù)測的引擎配備方向盤,也給其配備剎車。②[美]凱西·奧尼爾:《算法霸權(quán)——數(shù)學(xué)殺傷性武器的威脅》,馬青玲譯,中信出版集團(tuán)2018年版,第247頁。二是建立算法影響評估的常態(tài)化機制。作為數(shù)據(jù)使用者的企業(yè)應(yīng)當(dāng)建立一套“預(yù)測算法”風(fēng)險識別、評估的常態(tài)化工作機制,包括人員配置、評估方法、實施流程、評估結(jié)果反饋、文件化信息等。歐盟《通用數(shù)據(jù)保護(hù)條例》第35條將數(shù)據(jù)保護(hù)影響評估限定為數(shù)據(jù)使用者對數(shù)據(jù)主體個人權(quán)利和自由帶來高風(fēng)險、對大量敏感數(shù)據(jù)的處理、對公共領(lǐng)域大規(guī)模的系統(tǒng)性監(jiān)控等。我國《個人信息保護(hù)法》第55條規(guī)定的個人信息保護(hù)影響評估也是限于處理敏感個人信息、利用個人信息進(jìn)行自動化決策、委托處理個人信息或向其他個人信息處理者提供個人信息以及公開個人信息、向境外提供個人信息、其他對個人權(quán)益有重大影響的個人信息處理活動。作這樣的限定是受“知情同意”小數(shù)據(jù)思維的影響,是值得商榷的。以“預(yù)測算法”為核心的大數(shù)據(jù)合規(guī)理念,要求數(shù)據(jù)的控制者對所有數(shù)據(jù)在使用前、使用中、使用后進(jìn)行全流程評估,只不過對識別到的風(fēng)險按照風(fēng)險嚴(yán)重程度和發(fā)生可能性進(jìn)行分級,優(yōu)先解決嚴(yán)重且發(fā)生可能大的風(fēng)險。

其次,“預(yù)測算法”風(fēng)險監(jiān)控體系。一是建立并實施控制措施,并對這些控制措施進(jìn)行維護(hù)、定期評審和測試,以確保其持續(xù)有效。二是確保第三方過程得到控制和監(jiān)視,數(shù)據(jù)使用者與第三方合作時必須確保第三方遵守數(shù)據(jù)合規(guī)管理制度;三是建立舉報程序,鼓勵員工善意報告疑似和已發(fā)生的不合規(guī)行為;四是企業(yè)應(yīng)制定、建立、實施調(diào)查制度,以評估、評價、調(diào)查有關(guān)涉嫌或?qū)嶋H發(fā)生的不合規(guī)情形,并作出結(jié)論。調(diào)查過程應(yīng)由具備相應(yīng)能力的人員獨立進(jìn)行,且避免利益沖突。五是建立動態(tài)持續(xù)改進(jìn)機制,對合規(guī)計劃運行中發(fā)生的不合規(guī)情況做出反應(yīng),評價是否需要采取措施;消除不合規(guī)的根本原因,以避免再次發(fā)生,并持續(xù)改進(jìn)以確保合規(guī)計劃的動態(tài)持續(xù)有效。上述這些監(jiān)控措施,可以借助人工智能技術(shù)。人工智能技術(shù)能更好地執(zhí)行監(jiān)視任務(wù),特別是在需要檢測不可預(yù)見的事件或未知癥狀的情況下。①John Kingston, Using Artificial Intelligence to Support Compliance with the General Data Protection Regulation, Artificial Intelligence and Law, Vol.25: 429, p.442 (2017).

最后,“預(yù)測算法”風(fēng)險應(yīng)對體系?！邦A(yù)測算法”風(fēng)險應(yīng)對體系是建立對監(jiān)測到的風(fēng)險及已經(jīng)出現(xiàn)的風(fēng)險作出反應(yīng)的體系,包括企業(yè)根據(jù)合規(guī)風(fēng)險評估和分級結(jié)果,設(shè)置合規(guī)風(fēng)險應(yīng)對責(zé)任人、應(yīng)對措施、應(yīng)對流程的機制以及針對突發(fā)合規(guī)事件的應(yīng)對預(yù)案。主要包括以下方面:一是及時報告機制。數(shù)據(jù)保護(hù)人員發(fā)現(xiàn)不合規(guī)行為應(yīng)當(dāng)及時報告。二是不合規(guī)行為調(diào)查機制。定期對舉報內(nèi)容和調(diào)查結(jié)果進(jìn)行監(jiān)控、分析,查處相關(guān)責(zé)任人,排查合規(guī)系統(tǒng)漏洞,完善合規(guī)管理制度。三懲戒問責(zé)機制。數(shù)據(jù)使用企業(yè)應(yīng)當(dāng)建立完善的懲戒問責(zé)機制,對責(zé)任人進(jìn)行查處問責(zé),涉及到違法犯罪行為時,將其移送行政機關(guān)或司法機關(guān),并配合調(diào)查。四是分析與糾正,對重大合規(guī)事件的發(fā)生原因進(jìn)行了周密的分析,制定整改方案;對重大合規(guī)事件果斷采取適當(dāng)?shù)募m正措施,如補救挽損、繳納罰款、賠償被害人等。

(三)數(shù)據(jù)合規(guī)文化

合規(guī)的核心在于塑造企業(yè)的合規(guī)文化,數(shù)據(jù)合規(guī)有效性的根本標(biāo)準(zhǔn)也是形成一種數(shù)據(jù)合規(guī)文化。數(shù)據(jù)合規(guī)與其他領(lǐng)域的合規(guī)一樣,有效性的核心標(biāo)準(zhǔn)是讓合規(guī)成為一種文化。②李勇:《涉罪企業(yè)合規(guī)有效性標(biāo)準(zhǔn)研究》,載《政法論壇》2022年第1期,第137頁。2020年2月24日全球信息安全產(chǎn)業(yè)RSA大會在舊金山開幕,呼吁企業(yè)在軟件開發(fā)、數(shù)據(jù)運用、網(wǎng)站管理等各個環(huán)節(jié),都應(yīng)當(dāng)建立完備的合規(guī)管理體系,將網(wǎng)絡(luò)安全注入到企業(yè)文化之中。如果一個數(shù)據(jù)企業(yè),從技術(shù)研發(fā)人員到運營維護(hù)人員,從一線員工到管理層,對濫用用戶的數(shù)據(jù)信息習(xí)以為常甚至引以為豪,這就是不合規(guī)文化。一些企業(yè),在研發(fā)設(shè)計數(shù)據(jù)產(chǎn)品時,無底線地迫使用戶同意讀取通訊錄、讀取內(nèi)存照片、讀取通話記錄,甚至監(jiān)聽用戶語音通話,濫用這些數(shù)據(jù)精準(zhǔn)投放“掠奪式”廣告。這樣的企業(yè),建立數(shù)據(jù)合規(guī)就必須從變革治理結(jié)構(gòu)入手,重塑企業(yè)文化,讓其脫胎換骨。以“預(yù)測算法”為中心的合規(guī)模式,合規(guī)文化除了常規(guī)的獲取信息之外,重心是塑造數(shù)據(jù)“預(yù)測算法”合規(guī)的文化。塑造數(shù)據(jù)“預(yù)測算法”合規(guī)文化的關(guān)鍵在于以下三個方面:

首先,讓合規(guī)成為數(shù)據(jù)處理者、使用者的企業(yè)全體人員普遍遵循的態(tài)度、行為習(xí)慣,進(jìn)而形成一種人人合規(guī)的氛圍。合規(guī)管理的目標(biāo),不僅要在制度層面建立一套合規(guī)管理體系,更要將制度融入企業(yè)“血脈”“基因”之中。從技術(shù)上搭建數(shù)據(jù)合規(guī)管理體系只是第一步,更為重要的是,作為數(shù)據(jù)使用者的公司要進(jìn)行“文化飛躍”(cultural leap),從“尊重形式上的合規(guī)”到日?！昂弦?guī)行為”。③Rosario Imperiali,The Data Protection Compliance Program, Journal of International Commercial Law and Technology, Vol.7:285,p.287(2012).合規(guī)文化并非不可具象,合規(guī)文化的形成先有企業(yè)人員對合規(guī)認(rèn)同的態(tài)度,進(jìn)而改變行為習(xí)慣,最終形成一種“人人都在做正確的事”的氛圍。對于數(shù)據(jù)合規(guī)而言,要將數(shù)據(jù)合規(guī)的理念、制度灌輸?shù)狡髽I(yè)每一名員工的思想深處。從算法建模者自己開始做起,數(shù)據(jù)科學(xué)家應(yīng)該像醫(yī)生一樣遵守希波克拉底氏誓言,盡可能防止或避免對模型可能的誤用和誤解。④[美]凱西·奧尼爾:《算法霸權(quán)——數(shù)學(xué)殺傷性武器的威脅》,馬青玲譯,中信出版集團(tuán)2018年版,第240頁。從態(tài)度到習(xí)慣再到氛圍,這一循序漸進(jìn)的過程,需要企業(yè)加強對員工的合規(guī)教育和培訓(xùn)。有研究結(jié)果表明,企業(yè)員工的意識、行為習(xí)慣可能會削弱技術(shù)安全屏障。在任何企業(yè)中,即使不是惡意的,擁有自由、廣泛的訪問權(quán)限的員工,一個不經(jīng)意的錯誤或行為就會造成嚴(yán)重破壞,沒有惡意的員工不合規(guī)行為也可能會成為安全漏洞的原因。培養(yǎng)員工的合規(guī)行為,必須對員工進(jìn)行合規(guī)教育和培訓(xùn)。①T Gundu. Big Data, Big Security, and Privacy Risks: Bridging Employee Knowledge and Actions Gap. Journal of Information Warfare,Vol.18:15, p. 16(2019).

其次,讓合規(guī)成為一種商業(yè)模式。一些數(shù)據(jù)驅(qū)動型企業(yè),創(chuàng)業(yè)之始就存在數(shù)據(jù)濫用的問題,要進(jìn)行合規(guī)改造就必須進(jìn)行結(jié)構(gòu)性的改革來改變其商業(yè)模式。比如,一些互聯(lián)網(wǎng)平臺企業(yè),靠鉆法律的漏洞采集大量的個人數(shù)據(jù),再通過這些數(shù)據(jù)建模,在APP上強制用戶“二選一”,實現(xiàn)壟斷目的。這種商業(yè)模式曾經(jīng)在互聯(lián)網(wǎng)行業(yè)風(fēng)靡一時。殊不知,這種商業(yè)模式從一開始就是不合規(guī)的。對于數(shù)據(jù)驅(qū)動型企業(yè)而言,從創(chuàng)業(yè)開始就要將數(shù)據(jù)合規(guī)作為“一種商業(yè)模式”,創(chuàng)造了一種“數(shù)據(jù)保護(hù)文化”。②W. Gregory Voss, Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation, Revue Juridique Themis,Vol. 50: 784, p. 812(2016).隨著近年來數(shù)據(jù)監(jiān)管力度的加強,數(shù)據(jù)驅(qū)動型企業(yè)在商業(yè)模式中開始逐步重視數(shù)據(jù)采取、收集的“知情同意”,如前所述,在信息不對稱的背景下,這種“知情同意”條款不堪一擊?！邦A(yù)測算法”合規(guī)模式更加強調(diào)“算法合規(guī)”成為一種商業(yè)模式。

最后,讓合規(guī)成為一種行業(yè)規(guī)則。數(shù)據(jù)合規(guī)治理的最佳目標(biāo)是推動整個行業(yè)自律,這是更廣意義上合規(guī)文化。行業(yè)自治具有專門知識、信息優(yōu)勢以及更多的經(jīng)驗,經(jīng)過細(xì)化后的行業(yè)自治規(guī)范具有更強的可操作性,通過行業(yè)協(xié)會以及行業(yè)自治組織(如某種單一的價值目標(biāo)而建立的企業(yè)聯(lián)盟),相比于抽象的國家法律,行業(yè)自治組織將法律具體化后而形成的自律規(guī)范和公約更具可理解性、可執(zhí)行性③李本燦:《法治化營商環(huán)境建設(shè)的合規(guī)機制》,載《法學(xué)研究》2021年第1期,第185-186頁。,加上行業(yè)自治組織成員單位的承諾,自治規(guī)范可以更好地貫徹執(zhí)行,更容易形成合規(guī)文化。作為數(shù)據(jù)使用者的企業(yè),彼此之間形成利益團(tuán)體并通過聯(lián)合行動建立起行業(yè)共同遵守的“行為守則”。只有數(shù)據(jù)合規(guī)的企業(yè)才能在市場競爭中勝出,通過市場競爭對不合規(guī)企業(yè)進(jìn)行淘汰和重新“洗牌”,讓合規(guī)成為企業(yè)的“軟實力”,核心競爭力之一,這樣的“連鎖效應(yīng)”就能形成一種公平的競爭秩序,進(jìn)而推動整個行業(yè)營商環(huán)境的法治化。例如,2018年10月10日,阿里、京東、美團(tuán)等十家網(wǎng)絡(luò)平臺共同簽署了《電子商務(wù)誠信公約》,對虛假廣告、刷單炒信等行為予以堅決抵制,承諾不采取誘導(dǎo)、欺騙、威脅消費者刪改售后評價等行為,平臺企業(yè)的聯(lián)合行動,通過合規(guī)承諾,推動行業(yè)合規(guī)文化,是一種有益的嘗試。但是,遺憾的是,還沒有觸及到“預(yù)測算法”這一核心領(lǐng)域,這是未來數(shù)據(jù)行業(yè)自治的重中之重。

五、結(jié)語

在Web3.0時代,數(shù)據(jù)決定一個數(shù)據(jù)驅(qū)動型企業(yè)的生存發(fā)展,數(shù)據(jù)合規(guī)同樣決定一個數(shù)據(jù)驅(qū)動型企業(yè)的生死存亡。從2021年4月10日阿里巴巴被罰182.28億元,到2022年7月21日滴滴公司被罰80.26億元;從2021年《數(shù)據(jù)安全法》《個人信息保護(hù)法》通過,到2022年《數(shù)據(jù)出境安全評估辦法》《網(wǎng)絡(luò)安全審查辦法》出臺……數(shù)據(jù)合規(guī)時代已經(jīng)來臨?！爱?dāng)世界開始邁向大數(shù)據(jù)時代時,社會也將經(jīng)歷類似的地殼運動……然而,不同于印刷革命,我們沒有幾個世紀(jì)的時間去適應(yīng),我們也許只有幾年時間?！雹賉英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶:《大數(shù)據(jù)時代》,盛楊燕、周濤譯,浙江人民出版社2013年版,第219頁。我國大量參差不齊的數(shù)據(jù)驅(qū)動型企業(yè)、以數(shù)據(jù)業(yè)務(wù)為主的企業(yè),尚沒有真正建立起數(shù)據(jù)合規(guī)制度。Web3.0時代的大數(shù)據(jù)發(fā)展一日千里,留給我們?nèi)ミm應(yīng)和調(diào)整的時間不多了,當(dāng)務(wù)之急是相關(guān)企業(yè)盡快實現(xiàn)從權(quán)利人“知情同意”到使用者“預(yù)測算法”的合規(guī)模式轉(zhuǎn)變,建立并實施以數(shù)據(jù)利用為中心的數(shù)據(jù)合規(guī)模式。