专家论坛 | 方兴东等:数据崛起——滴滴事件背后的技术演进、社会变革和制度建构
编者按
历时两年的平台治理风暴进入尾声,而其中最具标志性意义的事件就是滴滴事件。浙江大学传媒与国际文化学院求是特聘教授方兴东、浙江大学传媒与国际文化学院硕士研究生何可和浙江传媒学院互联网与社会研究院秘书长钟祥铭在《传媒观察》2022年第10期刊文,认为滴滴事件作为中国互联网“数据第一罚”,代表了互联网发展模式以及对互联网的社会认知和公共政策的整体范式转变,即从过去注重信息、内容、行为等显性的浅层,开始进入注重数据、算法等隐性的深层。数据已经全面崛起,成为互联网产业的主导性驱动力,正在重构互联网沟通、生活、娱乐、工作以及政治、文化等各个层面的变革方式。与此同时,互联网走出了过去单纯依靠资本驱动的阶段,数据保护上升为整个社会的基本意识和观念,数据背后的权力边界和再平衡也成为数字时代公共政策的新方向。
2020年蚂蚁集团暂缓上市事件和2021年阿里巴巴实施“二选一”垄断行为被处以罚款182.28亿元,开启了中国互联网发展与治理的历史性转折。但从事件的本质及其影响的深远程度来看,滴滴事件更能代表未来的趋势,昭示着整个互联网发展与治理的新取向。
滴滴事件开启了中国数据秩序制度全面建构的序幕,而数据治理正是当今世界最具挑战性的共同难题。同时,它也标志着互联网的一个“旧时代”的结束和一个“新时代”的开启,即制度从过去注重信息、内容、行为等显性的浅层,开始进入注重数据、算法等隐性的深层。
滴滴事件之所以特别,不仅在于巨大的罚单金额,而且在于罚单背后个人信息的滥用程度。其第一次全面揭开了中国互联网产业背后的真实面貌:互联网行业长期以来形成了基于过度收集和滥用个人信息和数据的商业模式。滴滴事件并不是特殊的个案,而是整个中国乃至全球互联网行业的普遍性现象。对滴滴公司的巨额处罚,不仅说明《个人信息保护法》是“有牙齿的”,更说明中国互联网行业不能再继续沿用基于个人数据变现的商业模式,不能再毫无顾忌地游走于法律边缘。滴滴事件直接撼动了互联网商业化以来信息门户、电子商务、社交媒体、共享经济、云计算、互联网金融、生活服务等几乎所有的互联网商业模式,或将开启一次全局性、基础性的商业模式重构和治理规则重建。
一、数据崛起:滴滴事件的时代背景
2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处以人民币80.26亿元罚款。作为中国“数据第一罚”,可谓一罚惊天下。它不仅开启了中国重塑个人信息保护的新秩序,也开启了整个互联网发展模式的新阶段。
滴滴事件昭示着数据的全面崛起。数据不仅成为互联网发展的核心驱动,也成为互联网治理的全新挑战和工作重心。这无疑是20世纪90年代互联网商业化以来最重大的变化,既是一次历史性的转向,也是一次发展与治理结构性重构的范式转变。深刻认识滴滴事件,对于我们理解互联网发展的全新逻辑、洞察互联网社会变革的根本动力,以及认识数字时代网络治理和社会治理的制度逻辑,都至关重要。
针对滴滴事件,目前专业和深度的分析还很少,披露的信息也相对有限,但可以大致勾勒出数据治理的主要思路、框架和重点所在。根据国家网信办就滴滴公司被罚案件“答记者问”所公布的信息,滴滴公司共存在16项违法事实,主要涉及8个方面。滴滴公司存在的违法行为主要集中在对个人信息的处理方面,综合起来分为4类:收集信息方式违法、收集用户信息过度、未对个人信息采取相应的加密安全技术措施、未经授权处理个人信息。《个人信息保护法》中明确要求:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。针对“最小必要”的界定,网信办领衔出台的《常见类型移动互联网应用程序必要个人信息范围规定》中提及,面向网络约车类的必要个人信息包括:1.注册用户移动电话号码;2.乘车人出发地、到达地、位置信息、行踪轨迹;3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。由此来看,滴滴公司收集的人脸识别等信息远超《规定》指涉的范畴,其收集信息的时机、场景、范围也与法律框架背道而驰。同时,并未按照《个人信息保护法》要求的“采取相应的加密、去标识化等安全技术措施”对收集的用户信息进行处理,也严重侵犯了用户“知情同意”权利。
滴滴公司作为一家典型的以数据为核心的移动互联网公司,其商业模式隐含潜在的数据伦理问题:一是数据过度采集和违规使用;二是数据算法形成价格歧视;三是数据霸权催生垄断主义。一些学者注意到,互联网平台的数据伦理问题是国家安全审查的底层诱因。数据伦理问题可能带来安全风险——随着当前数据处理水平的持续提升以及数据跨境流动性显著增加,数据不仅影响生产、交通与军事,还足以左右一个国家的政治走向,因而,掌握数据就能拥有更大的话语权和战略主动性。针对数据合规,徐威娜认为最重要的是对技术进行风险评估。《国家安全法》的出台以基本法的形式确定了总体国家安全观的地位,企业不能只关注经济效益而置国家安危于不顾,要同时关注个人信息和国家安全两个层面,这就要求企业不能无视国家监管,而应将合规覆盖到生产、流通全过程。网络安全审查的“安全”也应侧重国家方面。事实上,滴滴公司赴美上市涉及数据出境问题,不可避免地对国家安全、个人隐私保护和经济发展构成挑战。张继红指出,国家安全问题已经延伸至网络空间,数据安全问题是不可触犯之底线。同时,相较于个人信息保护认证和标准合同,我国目前使用安全评估路径更为合适。有学者认为,数据出境监管属于国际惯例,跨境数据流动作为涉及国家安全的、规模最大的、范围最广的流动行为,有赖于多边的国际合作。而对于数据的规制,尚难以形成统一的标准。
迄今为止滴滴事件公布的有限信息已经令人触目惊心。值得我们追问的,不只是滴滴公司一家互联网企业的问题,更有长期以来互联网治理的成效问题。客观而言,过去个人信息和数据的收集与使用,多处于互联网企业运作的“黑匣子”之内,缺乏相应的制度体系和有效规制,企业自律形同虚设,行业共律也基本失效,这种多层次“放任自流”的治理缺失才是问题的根源。而这样的时代,随着滴滴事件的落幕已经宣告终结,深入数据和算法的治理新时代已经开启!
近年来,国家对数据问题越来越重视。2021年,《数据安全法》《个人信息保护法》先后颁布,与《国家安全法》(2015)《网络安全法》(2017)《网络安全审查办法》(2020)一并构成国家数据安全领域最新的法律框架。其中,《数据安全法》在基于《网络安全法》提出的“数据自身安全”基础上,强调了“数据自主可控”和“数据宏观安全”。数据立法的背后,隐含着国家对于数据可能产生的伦理和安全风险的担忧。制度体系初步成形的同时,新的挑战和机遇也开始进入国家战略视野。2017年12月8日,中共中央政治局就实施国家大数据战略进行第二次集体学习;2018年6月,国家市场监管总局和国家标准化管委会联合发布了《中华人民共和国国家标准公告》,批准了《信息技术服务治理第5部分:数据治理规范》;2019年11月党的十九届四中全会审议通过《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》,提出要健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。数据作为一种生产要素和战略资源,愈发被置于举足轻重的全局性位置。而置身于数字时代中心位置的数据,其发展和治理需要全新的制度体系和发展秩序。
二、数据治理:互联网规范建构的全球浪潮
1994年4月20日,中国正式接入国际互联网,开启了互联网在中国大发展的进程,也开启了互联网驱动中国社会发展与变革的进程。深入理解滴滴事件背后的逻辑,还需深入中国互联网发展的整体进程之中。
对比阿里巴巴“二选一”事件(阿里巴巴因要求用户在阿里平台与竞品平台间做出选择被罚款182.28亿元)与滴滴事件,会发现两者的性质和意义有着重大不同。前者主要是互联网巨头滥用垄断的个案,而后者则对每一个互联网企业,无论国内还是国外,无论规模大小还是商业模式取向,都有着同等的警示意义。换言之,在数据收集、使用和保护方面,每一个互联网企业都可能成为下一个滴滴式的事件主角。相较于阿里巴巴“二选一”事件,滴滴事件具有强烈的震撼性和威慑力。
滴滴事件背后的历史性转向并不是偶然的,而是内嵌于互联网技术演进、互联网深入社会程度以及互联网治理重心转移的历史发展进程之中。我们以年代为阶段划分标准,大致梳理一下中国互联网近30年的发展进程,分析数据崛起的过程和规律。
上世纪90年代,是互联网的Web 1.0阶段,搜索、新闻和邮件是当时主导性的三大互联网应用,信息获取、新闻内容和电子沟通是主要目的。电子商务也开始发展,主要集中在图书、音乐、电子产品和计算机等富有数字特性的产品门类。这一阶段,新浪、网易和搜狐等门户网站是产业的领导者,网络广告是当时主要的商业模式。网站也开始收集用户数据,主要用于网络广告的cookie。这是网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存。这一阶段主要是PC端上网,获取的主要是区分用户计算机的机器信息。当然,亚马逊等电子商务网站也开始基于用户的购物和浏览习惯分析用户消费行为并形成用户推荐。整体而言,互联网处于信息公开和内容驱动的发展阶段。
2000年代开启的Web 2.0阶段和2010年代的移动互联网阶段,是个人数字化阶段。互联网引发的最大变革就是用户成为生产者和传播者,而不再仅仅是信息和内容的消费者。博客、播客、微博和微信等应用引领产业的发展,包括个人创造的内容(UGC)和个人相关的信息开始大量产生。尤其是移动互联网阶段,如影相随的智能手机成为个人深度数字化的重要终端。除了个人创造的内容和社会关系之外,生活、通信、购物乃至更为敏感的行踪轨迹等深度个人信息,也开始大量形成,并可以被互联网企业全面收集。基于此,互联网企业逐渐具备动态实时的数据分析能力,并将其与商业模式紧密结合。而制度和规制的相对缺失,使得互联网企业基本处于没有约束的野蛮扩张阶段。这种基于个人信息采集、加工再到价值变现的商业模式,其侵害用户权益、损坏社会公共利益的“负外部性”不断集聚,在2010年代后半期引发了以欧盟为代表的全球性数据治理浪潮。
在2020年代开启的以5G大规模使用为基础的社会数字化浪潮中,个人数据与社会数据完美“联姻”,使得互联网企业俘获用户的能力和替代线下服务的竞争力大大提升。与此同时,治理缺失的时代已拉下帷幕,厘清个人信息与数据的基本边界、确立网民的基本权益成为大势所趋。围绕数据规范和秩序的制度建设迅速推进,这就是滴滴事件的时代背景。
国外学界对于“数据治理”的认知可以追溯至20世纪80年代。适逢IT治理兴起,MIT启动全面数据质量管理计划(TDQM),IBM等公司也对其内部数据进行治理,这成为数据治理的雏形。同一时期,国际数据管理组织协会(DAMA)成立。2003年,国际数据治理研究所(DGI)成立,研究数据治理理论框架,与ISO国际标准化组织对数据管理与数据治理进行定义。2004年,Watson等探讨了“数据仓库治理”在Blue Cross和Blue Shield of North Carolina两家公司的最佳实践,揭开了“数据治理”在企业管理领域研究的帷幕。2005年后,J.Griffin、L. Cheong、D.Power等学者主要围绕政府、企业等在数据治理语境下扮演的职能角色、模型、框架、机制等进行梳理。早期的数据治理隶属于IT治理范畴,强调组织(who)、战略(why)、架构(what)、流程(when)以及长效数据建设机制的构建,直至2009年DAMA国际发布DMBOK《数据管理知识体系指南》,有关数据治理的理论框架才得以确立。
不同于国外“数据治理”在企业领域的兴盛,国内学术界对“数据治理”的研究发轫于2010年前后,数据监护、数据管理、数据策展、数据管护等议题研究渐次出现。数据治理在2015年左右开始与国家治理、大数据治理等政府治理命题紧密结合。张康之认为“数据治理”包含双重内涵:一是依据数据的治理,二是对数据的治理,同时对“数字”与“数据”意涵进行区分,强调数据对于社会治理变革的作用。事实上,依据数据的治理强调数据为治理建构的新的治理场域,推动治理主体以新的观念、视角重新审视社会治理。对数据的治理而言,治理对象即数据。
2013年被一些媒体称作“大数据元年”,特别是随着美国“棱镜门”事件的爆发,学界逐渐意识到基于传统关系型数据库为核心的数据存储与处理技术无法与更高要求的大数据特征和应用需求适切。2015年5月,工信部制定了《数据治理白皮书》国际标准研究报告,成为国内数据治理的里程碑事件。这一阶段,数据治理概念得以推广实践,但讨论仍停留在技术层面,而缺乏从法律、管理、规范等角度的审视。2015年的研究表明,全球数据库和数据专业人员社区中45%的参与者没有制定数据治理政策。
早期数据治理的认知和机制,已经难以适应互联网发展的需要。以数据为抓手,重构政府、企业和民众权力平衡机制,重构三者的利益关系,已经成为当下社会发展与国家进步不可回避的关键事项。
三、制度重构:全球数据治理的发展趋势
数据崛起不仅仅是中国现象,还是全球的共同趋势。当然,各个国家在数据面前有着不同的利益和制度取向。
美国和欧洲的数据治理发展反映了它们对个人数据的不同社会-技术想象。美国模式在过去长期以自由市场模式主导,将数据作为一般商品进行流通,在国内营造较为宽松的监管环境。白宫曾声称任何与隐私有关的法律都必须“以适应个人数据使用可能带来的社会利益的方式发展”。这也意味着,美国偏爱以市场为基础的解决方案,通过避免广泛监管鼓励行业创新,在充分了解风险之前不会阻止个人数据的创新使用,试图以个人数据的商业化推动社会经济增长。美国的数据治理模式直接造就了头部大型科技公司GAFAM掌控了全球55%以上的数据容量。在美国,数据的完全可转让性得到其对抗性法律体系的支持,就连个人数据的主要监管机构是联邦贸易委员会(FTC),同样反映了主导美国社会技术解决方案的“市场模式”。甚至可以说,FTC在支持美国个人数据商业化的市场模式方面发挥了关键的“锚定”作用。美国奉行跨境数据要素自由流动与数据自由贸易,最早主张对数据流进行跨国治理,《跨太平洋伙伴关系协定》(TPP)和《美国-墨西哥-加拿大协定》(USMCA)都对信息跨境转移等内容作出规定,目的在于推动美国数字资本巨头全球扩张。在监管方面,美国的法律制度反映了一种事后和基于市场的模式来应对个人数据带来的挑战。然而,尽管《谢尔曼法》(the Sherman Act)和《克莱顿法》(the Clayton Act)都有涉及反垄断内容,但直到2019年发布的《联邦数据战略》(The Federal Data Strategy),才规定政府拥有优先收集使用数据的权利,以及后续出台的《开放政府数据法》(The OPEN Government Data Act)明确了政府对数据的利用规定,商业权利与国家利益间的“再平衡”新治理范式才得以形成。
欧盟多年来维护“制度构建”核心理念,试图建立单一市场内的数据交流与人权保护机制。与美国不同的是,欧盟的监管制度以私营部门为主导,旨在防止数据的集中趋势,从而为领域的新进入者提供保障。欧盟国家长期强调隐私权(例如数据保护),从 1970 年代开始在本国范围内实施数据保护法规,如1970年德国《数据保护法》和1973年《瑞典数据法》。具有里程碑意义的是1995年设立的《数据保护指令》(DPD),欧盟委员会(EC)将其视为“欧洲保护个人数据的中央立法工具”。欧盟数据保护负责人(EDPS)将欧盟视为数据保护领域的“开拓者”,称其“继续引起正在考虑建立或修改其法律框架的国家的密切关注”。2018年 《通用数据保护条例》(GDPR)生效。2020年12月,欧盟委员会提出了《数字市场法案》(DMA)提案,这一法案将于2023年生效,旨在建立一个框架来控制大型科技公司的市场和社会力量。同年,欧洲公布基于创建特定领域的“数据空间”范式协调汇总数据,为各个部门提供基础设施和相关规则程序,以此缩小“平台差距”。此外,《塑造欧洲的数字未来》《欧洲数据战略》《欧洲的数字主权》《数字市场法案》等战略都着眼于域外数字扩张对本土主体的影响,对超级平台作为“守门人”的准则进行规范。与美国自由市场观念相比,欧盟形成的以“权利”本位的治理观念试图通过统一的数据保护法规和新的隐私市场来建立公民信任,在内部形成了跨部门、低壁垒的数据监管基础设施。在监管方面,欧盟反映了一种事前的、国家-市场模式的解决方案。应该说,欧盟的法案展现了其偏好国家建设市场、渴望欧盟范围内的协调,以及关注欧盟身份的塑造的特点。然而,欧洲的“数据保护主义”虽出于美国数字扩张的压力,却同样可能造成扼杀本土市场主体崛起的风险。
中国数据治理的政策选择,则是向“国家安全”战略的逐步转向。2020年之前,国内数据仍然具有可转让性,数据以私营部门掌控、国家与私营部门紧密合作为基本盘,国内市场整体受到保护。在2019年国务院出台的《关于促进平台经济规范健康发展的指导意见》中,也强调包容审慎监管原则。这一阶段国家对数据实施集中控制,但同时保留了维系市场发展的活力。伴随多部法案的落地,数据治理愈发朝着国家中心主义转向,中国的数据流通性受到大幅度限制。在刘典看来,中国的“政策钟摆”不会完全向欧盟模式看齐,而是在追求效率下兼顾公平,进而摆脱欧洲治理机制的可能负面影响。
美国、欧洲和中国三大执法区域几乎不约而同地加强互联网平台治理,而在数据治理方面虽未形成类似的同步爆发态势,但也分别出现各自进程的重要信号。与滴滴事件类似,美国和欧洲也开始出现具有代表性的案件。美国最典型的就是剑桥门事件,8700万Facebook用户的数据被不当泄露给政治咨询公司“剑桥分析”,用于2016年助力特朗普参选美国总统,最终Facebook因该事件被罚50亿美金。欧洲最典型的就是《通用数据保护条例》(GDPR)的推出,这是全球近20年在数据隐私保护领域最重大的变化,任何违反GDPR条款的公司都会被处以最高2000万欧元(或全球营业额4%)的罚款。三大事件显示了不同区域不同的敏感度、不同的禀赋特性、不同的利益考量和不同的制度取向,但本质上都呼应了同样的趋势。
今天数据问题的全球恶化并不是短期形成的,而是以美国为主导的互联网发展模式长期积累而成的。马修·克雷恩(Matthew Crain)认为,今天支撑互联网完成海量数据收集的基础设施,是25年来技术和政治经济工程的结果。他指出,正是政府的宽松政策,以及互联网公司与资本长期以来的配合创造了当下“毫无隐私”的互联网商业环境。这一切的根源在于,该行业的经济成功源于几乎不受限制的、对消费者监控的货币化(monetization)。
简而言之,从20世纪90年代互联网商业化以来,几乎所有的互联网商业模式都是以“个人信息和数据的变现”为基础模式,对个人信息的收集与侵害是互联网商业模式与生俱来的。无论是网景、雅虎等早期内容主导的模式,还是亚马逊、eBay等电子商务模式,以及随后谷歌等搜索引擎和Facebook等社交媒体,都是通过个人信息分析驱动的网络广告、商品推荐以及个性化广告投放等,构建了今天万亿美元级的互联网全行业基本收入模式。美国不仅仅主导了互联网的诞生和演进,也主导了互联网整个商业化进程,全球的互联网商业模式都是以美国为参照,形成了天然的、不证自明的商业模式合法性。直到今天,跻身“两万亿美元俱乐部”的苹果、微软、亚马逊、谷歌以及Facebook、Netflix、推特等其他美国互联网企业,都是以全球用户的数据收集为缺省机制,并将其作为标准的规则和模式推广到世界各地。
如今,这种“监控广告”模式终于到了难以为继的地步。原因在于:首先,影响和权力的失控。互联网深入到世界各国社会生活深处,其对个人、组织和国家的影响已经抵达一个新的临界点,动摇了个人、组织和国家的利益与安全保障,民众和社会开始觉醒并呼唤新的机制与规则。第二,企业数据滥用的失控。剑桥门事件表明,互联网巨头对数据的使用,也进入新的失控状态,这种失控不仅仅是失去了用户的信任,也触犯了传统政治和法律的底线。第三,以欧盟为代表的数字时代的制度建设能力开始崭露头角,随着GDPR等制度的出台,从立法的理念、流程到实际操作都进入了制度重构的新阶段。
随着2020年代互联网进入智能物联的新阶段,以数据为基础的算法成为整个互联网新的发展动力,数据治理的制度建设也全面拉开帷幕。无论是欧洲、美国还是中国,世界大多数国家都将数据治理作为制度建设的重中之重。
滴滴事件代表了中国的数据制度进程,是互联网进入中国以来数据问题的一次总爆发,也是问题的一次总暴露。虽然我们有了一定的法律基础,有了一次成功的判罚,但要真正解决问题,尤其是建构一个面向未来的互联网新的制度体系,形成有利于互联网健康长久发展的新的商业模式,还任重道远。
四、数据确权:数据治理制度建构的难点
与边界相对清晰、权属相对明确的信息相比,数据本身的属性复杂得多。数据是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。它是可识别的、抽象的符号,不仅指狭义上的数字,还可以是具有一定意义的文字、字母、数字符号的组合以及图形、图像、视频、音频等,同时也是客观事物的属性、数量、位置及其相互关系的抽象表示。
“数据”(data)源自拉丁文“datum”,最初指代“给出的东西”,当下则意指“关于事件的一组离散且客观的事实描述,是构成消息和知识的原始材料”。作为对这种原始材料的整合处理,“数据管理”概念早前就被提出,但“数据”的价值和生长性逾越了传统“数据管理”解释的范围,“数据治理”应运而生成为新的理解范式。根据DAMA(2009)的定义,数据治理指代对数据资产管理行使权力和控制的活动集合,旨在实施全公司范围的数据议程,最大化组织中的数据资产的价值,以及管理数据相关风险。相比于“数据管理”静态地关心决策的具体工作,数据治理更多考虑如何确保数据管理的常态化、持续性运作,强调决策制定的责任路径。包冬梅指出,治理与管理是完全不同的活动,治理是对管理活动的指导、监督和评价,而管理则根据治理作出的决策进行具体的规划、建设和运营。
“数字化”(Digital)的核心是现实世界和具体事物的本质属性的表示,把具体的事物抽象化,把形式和现象本质化,把复杂的事情简单化,是把真实世界形而上学之后的“可知化、可视化、可控化”。也就是说,数字化的本质是将现实世界最本质的东西抽象出来,以此大大拓展人类的能力,提升改变自然的能力,改善人类的生存状况,促进人类文明进程。
数据治理制度建构的复杂性和难度主要源于数据权属与数据权力问题。数据权属又称数据确权,指代通过厘清数据主体间权利关系以明确数据产权的归属。随着2019年党的十九届四中全会提出数据可作为生产要素按贡献参与收益分配,2020年《关于新时代加快完善社会主义市场经济体制的意见》中进一步明确完善数据权属界定、开放共享、交易流通标准和措施制定,2021年《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》对建立健全数据产权交易和行业自律机制,培育规范的数据交易平台和市场主体提出要求,把握数据权属成为迫在眉睫的议题。
围绕数字确权的争议,源于其在法律意义上突破了公与私的边界,空间上涉及国内外不同场景,“横看成岭侧成峰”的议题难以“一刀切”。不少支持数据产权理论的学者认为应当对相关数据进行区别对待,与数据主体直接相关的数据归属数据主体,而较为疏远的数据,数据业者可以基于其为数据收集、处理、利用等付出的劳动享受合法权益。事实上,个人数据和政务数据的权属问题相对清晰——个人享有对个人数据的处分权,政务数据则具有公共产品属性。而企业数据确权实则是组织、企业与个人紧张关系的映射,涉及物权法、合同法、知识产权法、竞争法、个人信息保护法等诸多规范。平台的数据权属的观点主要集中在四种:个人所有说,平台所有说,个人与平台共有说以及公众所有说。之所以难以区分,源于平台数据的多重属性,且高度依赖场景。也有学者指出,数据财产权既符合经济学分析,也与财产法标准相适应,只是数据财产权当依循“捕获规则”与“关联规则”相弥补的原则进行。韩旭至认为,数据权属是以源于意志论、利益论为代表的传统权利理论无法解释的新的数据问题,而算法在数据权利形成中扮演重要角色,能够借此作为突破口完成反向数字确权。
数据权属可能形成诸多问题,包括国家层面的数据主权、数据治理问题,企业层面的数据共享和竞争问题,以及用户层面的个人数据保护问题。事实上,附在数据上的不仅有隐私权、个人信息权等人格权,也包括数据采集权、数据可携权、数据使用权和数据收益权等财产权。而具体到某一数据,并无确定的规则来明晰其外延,这一方面缘于数据内涵的不确定性,另一方面则由于数据本身的丰富性与多样性,难以用统一的规则来划定数据的外延范围。受制于数据权属的法律规范,政府与企业、企业与企业间针对数据所有与使用的边界矛盾日益凸显,数据不平衡问题逐渐尖锐,进而衍生出个人数据保护问题。
数据与数据处理技术的广泛运用,主要表现在数据普适记录能力与数据处理能力两个维度,前者形成的“上帝视角”容易走向平权社会的对立面,而后者在大数据时代侧重体现对个人隐私的侵犯和个人画像构建。尹华容等注意到,数据权力的基础是数据控制优势与数据处理优势:数据权力主体通过数据控制优势争夺数据资源控制权,凭借数据处理优势获得数据资源,以此对其他主体产生引导乃至支配作用,形成不平等的数据权力关系。数据权力还具有扩张性、广泛性、排他性、不透明性、软权力性五种特征。可以说,数字权力对传统权力的重组在体制内外同时进行:在系统内部,政府越发依赖数据治理国家和社会的模式;在系统之外,大型数字公司通过控制数据和垄断技术,建立起相对独立于政府权力的“科技帝国”。有学者对作为数据治理的核心算法规则可能出现的“数据反对数据”情形进行总结,主要表现在以下几种紧张关系:一是私人利益与公共利益,二是偏好与平等,三是技术至上与人类中心。
五、部门联动:中国数据治理的现实挑战
对于数据治理的框架,不同主体基于差异化的背景、动机和期望,形成的结果大相径庭。一些侧重于IT治理,另一些则考虑数据原则和数据生命周期,还有对数据仓库和商业智能(business intelligence)的取向框架。但这些框架在决策域上仍有重叠,如数据质量、数据可获取性和数据隐私。如Khatri等提出的数据治理决策域模型,就对数据准则、数据质量、元数据、数据访问和数据生命周期五个决策域的类型范畴进行了划分,同时提供了共同术语的通用框架。Martijn等将数据治理驱动力模型分成技术架构、过程架构和商业架构的三层体系,对中小企业数据治理需求和实施障碍进行了探索。
以数据为中心的新阶段,中国不仅开始与全球同步,而且很多应用场景引领全球。因此,中国互联网企业的发展需要开始摸索无人区,而互联网治理和社会治理的制度建构与实践,也面临全新的考量。与欧美相对成熟而稳定的社会治理能力相比,处于社会大转型和迈过中等收入陷阱关键时期的中国,有着相对成型的互联网信息和内容管理体制,但也面临数据治理的更复杂、更艰巨的挑战。
当前,中国互联网已经从过去的追随和模仿,进入了不同程度的引领阶段。首先,中国是全球独一无二的10亿人大规模同时在线的市场。其次,中国互联网深入生活和社会程度开始高于欧美,生活和社会对网络的依赖性更高,这一点从网络支付和网络购物的比例大大高于欧美就可以看出。第三,随着地缘政治的变化,中国面临的地缘战略压力进一步增大,尤其是来自美国的压力。刚刚开启的中国互联网全球化面临全新挑战。比如,TikTok在美国面临的主要是个人信息和数据的问题。而无论是个人信息保护还是数据跨境流动等,都还处于各国各自发挥、进程不一,全球缺乏基本规范的阶段,成为最容易与地缘政治“一触即发”的“易燃易爆点”。这都是中国数据治理必须面对的挑战。而无论是制度层面,还是治理能力层面,亦或是经验层面,我们目前都没有准备就绪,都还是新手。
自动化、智能化是数据治理未来发展的方向。数据治理作为一个复杂的系统性工程,未来需要通过数据安全治理研究、数据协同治理研究、数据平台构建的研究来进一步提升数据治理效果。随着社会治理朝智能化发展,相应地,数据治理也进入了AI治理的新时代。当然,AI治理的潜在风险不容忽视。当人工智能拥有了自主思维和独立意识,人类可能面临被淘汰或与机器并存的两难困境。因此,未来数据治理实践要承认既有治理范式与“数据治理”范式都有其客观存在的积极面和消极面,并在此基础上通过创新数据治理机制的方式来探索、推进相关的改进。中国未来的数字治理战略既要主动拥抱数权社会将开辟的人类想象空间的无限可能,又要积极平衡以技术之治中的“科技向善”为内核与以良法善治中的“人本主义”为主旨的双重治理效能释放。
滴滴事件昭示的诸多信息,最终都指向一个焦点:面向未来,中国互联网发展需要全新的顶层设计。这个顶层设计,不仅仅是互联网发展模式,也不仅仅是互联网治理模式,还涉及整个国家面向数字时代的制度建构。只有从这个高度上,才能更好理解滴滴事件的深远影响。
过去近30年,中国网络治理克服了种种困难,可以说卓有成效。但是,过去的治理主要基于信息、内容和行为等显性的层面,还属于互联网的浅层次治理。而现在需要面临的是深入数据和算法的隐性层面,进入了互联网的深层次治理。这是全新的治理范式,无论是在技术层面、商业层面、制度层面,还是在机构设置、队伍能力和治理方式等方面,都需要几乎全新的框架,需要充分认识到我们面临问题的严峻性和挑战性。现有产业、社会与制度层面的“不匹配”、“不适合”和“不适应”,都说明了这一范式转变有着高度的复杂性。尤其是现有治理体系和机构设置,都是基于过去以信息和内容为中心的逻辑之上。实际上,即便在内容范式下,机构之间不协调的挑战也一直伴随着中国互联网发展的整个历程。随着数据的崛起,这种不协调的张力与冲突必将更加激化。
近30年来,互联网作为一个全新的新生事物,成为中国各层次创新的源动力,也成为各方面不适应的“麻烦制造者”。就互联网管理本身来说,一部互联网治理史,就是一部传统政府部门不断冲突和不同调整的历史。20世纪90年代中后期,互联网作为信息化的载体得以进入中国。我国借鉴了美国将互联网产业划分为基础的ISP(互联网接入的服务商)和增值的ICP(互联网内容服务商)两个层面的做法,并将两者一起纳入信息产业部的管理之中。直到2000年之后,国务院新闻办才从新闻管理的角度逐步切入互联网治理之中,由此产生了一些矛盾和冲突。
而互联网的发展远不是接入这么简单。2002年6月16日凌晨2时40分许,北京市海淀区学院路20号院内发生一起纵火案,致使25人死亡、12人不同程度受伤。这就是著名的蓝极速网吧事件。这一事件最大的震动在于互联网管理的边界和职责的划分,涉及到网络接入、上网经营场所、网络游戏和未成年人等一系列社会深层次的问题。虽然由此开启了多部委的联合执法机制,但这种传统条块分割的部门设置缺乏顶层重构,依然难以真正实现互联网的有效管理。关于网游和视频网站的管理之争等,至今依然无法得到有效解决。此外,如网络直播带货,究竟是一种网络表演还是纯粹的商务活动?而数字经济发展“十四五”规划,网信办、工信部和发改委几乎同时推出不同角度的版本。
当然,上述的矛盾和冲突都还是局部的,通过部门之间的重新协调和联动,可以得以解决。但是,数据治理就不会如此简单,必然涉及到几乎所有部委的分工和职责。整个互联网从信息和内容治理为主导,到今天转向以数据为中心的治理范式,需要的是一种颠覆性的、全局性的机构和制度重构。虽然,目前网信办成为数据治理的统筹协调部门,但随着整个社会的经济、生活、文化与政治活动,都转向为数据驱动的新模式,单一围绕数据安全的狭义数据治理,必然要走向覆盖整个社会治理的广义数据治理。也就是说,数据治理的本质不是数据本身,而是数据背后的权属、关系、利益与权力等,这种制度重构的宏大挑战,不是中国独有的,而是全球共同面临的挑战。
学术界的使命就是为人类发展提供新的知识体系。但到目前为止,学术界围绕数据治理的研究整体上基本滞后于产业界、政府和法律界,这种“倒挂”造成的问题无疑是很严峻的。全球学术界围绕数据治理知识体系的建设进程,很大程度决定了人类数据治理的进程。因此,我们不能简单将滴滴事件视为中国互联网一个单一的案件,而应该视为我们进入数字时代面临的共同挑战。这不仅包括整个互联网产业的发展如何转向新的范式,也包括我们整个社会数字化改革和政府机构的重构,还包括数字时代新的制度的顶层设计。
(载本刊2022年10月号,原标题为《数据崛起:互联网发展与治理的范式转变——滴滴事件背后技术演进、社会变革和制度建构的内在逻辑》,注释从略。学术引用请参考原文。)
编辑:江潞潞
审核:彭剑
传媒观察杂志
媒媒与共。新闻人和新闻学人的家园。关注业学前沿,追踪融合发展,透视舆情热点。
本刊投稿网址:https://cmgc.cbpt.cnki.net
关注