導讀:今天關于數字經濟的各個問題,看似紛繁複雜,但都起因于數據的一個特性,即數據的多信息載體特性。 當輿論場圍繞着數據安全、反壟斷、平台牽涉的多方權益等議題唇槍舌戰時,問題的本質核心是什麼? 在數據安全責任上,企業的能力邊界在哪?政府和企業如何共建“可信的數據執行和流通環境”?個人數據安全保護的突破點在哪裡? 數字技術革命中,政府、企業、資方和個體需要的安全感怎麼給? 針對這些問題,清華大學交叉信息研究院助理教授于洋分享了他的一些見解與建議。
· 企業在數據安全上無力承擔“無限責任”
觀察者網:于老師,您好。這段時間以來,國内輿論場對數據、平台的讨論很多,經常圍繞着數據安全、反壟斷、平台牽涉的多方權益等展開,但很多時候這些問題又是交叉混雜在一起的,您能否抽絲剝繭地梳理一下這幾個層面?當我們讨論這些問題時,究竟讨論得對不對,其本質核心應該抓哪裡?
于洋:您好,感謝您的提問。您提到的數據安全、隐私、反壟斷是三個不同的問題,但這些不同的問題卻涉及一些共同的東西:比如數據。數據一方面給了平台提供服務所必須具備的相應信息,另一方面也使平台能夠做一些其他的事情——比如設計壟斷策略或市場操縱政策。
數據又事關安全:平台作為國家一個重要的公共服務提供者,它掌握的數據裡面包含了大量信息,這些信息有可能涉及國家安全。同時,在信息技術革命的背景下,個人隐私和國家信息安全等責任應該如何在平台和政府見分攤,這也涉及到數據。所以,數據是牽連起信息時代國際、國内治理問題的一個主要節點。
可以說,今天關于數字經濟的各個問題,看似紛繁複雜,但都起因于數據的一個特性——亦即,數據的多信息載體特性。數據作為信息的一種載體,同一組數據存儲了大量的各種各樣的信息,除了提供服務所需要的信息之外——指數據中蘊藏的一部分信息,還囊括了其他的信息。在此背景下,服務提供方一旦收集了數據,就相當于收集了所有信息,有的信息是服務需要的,有的信息可能是壟斷行為需要的,還有的信息是服務或壟斷都不需要、但涉及到國家安全的。這是問題的第一個層面。
問題的第二個層面是,數據蘊含了哪些信息,對此作為服務提供方的平台或企業并不是事先完全知情的。對于平台企業來講,它的困境是數據所包含的信息它無法完全知曉,也就是說平台收集的數據中,存在“不知道不知道”、“不知道知不知道”等數據安全風險。
在這個條件下,數據安全責任的落實,要有“邊界思維”:我們要給企業責任劃一個邊界。也就是說,要對企業的數據收集、處理、流通進行标準化、規則化管理。如果企業合規了,那即便以後出了意料之外的問題,企業是沒有責任的。
企業數據安全責任的承擔能力,不僅要考慮技術極限,還要考慮企業負擔。比如,企業數據安全責任的落實,實際上是通過對“數據安全”新基建的投資實現的。可信安全的數據執行環境投資和運維,這是一筆不小的費用。安全要求越高,企業負擔越重。政府有必要系統地研究對“可信的數據執行和流通環境”建設的投資和管理機制,這也是很多人在努力的方向。
近年來,電商平台掀起直播帶貨風潮。資料圖/央視新聞
為了讓大家更好的理解什麼是“可信的數據執行和流通環境”,我這裡舉一個例子:要求數據在可信環境中運行,會降低數據流通和計算速度,給企業、消費者帶來損失,這又是“數據安全”的另一重企業和社會負擔。比如今天一些電商平台,每秒鐘幾十萬筆交易,這就要求運算速度必須很快,但假如數據安全的要求加上去以後,會對運算速度的下降産生多大影響、帶來的後果又是什麼?這是我們通過數據安全來治理反壟斷問題時要思考的問題。
因此,企業對數據安全責任的承擔,意味着一個客觀的“管制負擔”(data-regulation burden)。對于大企業來說,也許它還能夠也有能力部分承擔;對于初創企業,如果在它初創伊始,就要求它對數據安全負責,我想這對創新創業來說是一個很大的負擔。
所以,我們要求企業承擔數據安全責任要有邊界,而且這個邊界不僅是技術邊界,也要考慮企業負擔。特别是,數字經濟時代,創新創業是經濟發展的核心動力,也是一種新的經濟增長模式,數據安全責任落實對企業創新創業的影響,也是邊界劃定要思考的問題。
由此,我想很初步地提幾點可以思考的、不同于企業負全責的數據安全治理思路,首先數據作為算法産業的一個特殊生産資料,的确由于其特性帶來了問題,同一組數據蘊藏了不同的信息,而且具體是哪些信息目前也沒有技術先驗指導,這時候政府要做的事情應該是構建關于信息安全的白名單和黑名單制度,比如政府擔心别人知道什麼事情,隻要把清單列出來,就能以此對企業進行審計。
其次,要形成新的治理思路。企業收集的數據,是有相應機構在日常對其開展各類探索的,它沒有别的任務,隻有一個任務就是這些數據能幹什麼,而政府對于這類新機構的授權是非常有必要的。
總之,國家管理、部門監管要劃定企業數據安全責任邊界,構建數據安全未知風險探索能力,探索适合數字經濟時代的新治理方案。我們在治理模式和制度層面也要有創新,像是構建黑名單和白名單制度,組建新的風險識别組織、包括風險識别技術和風險識别部門等等。
當然,歸根結底,最重要的問題是如何看待數據這一生産資料?我們要用發展的眼光去看待它,同時要研究數據和其他生産資料的本質區别,所有針對數據這一生産資料的制度安排一定要符合算法産業的生産規律和經濟規律,而眼下摸清其生産規律和經濟規律就是必要之事。
觀察者網:于老師,聽到這裡插問一個小問題,您前面反複提到的算法産業,雖然我們經常聽到,但究竟該怎麼定義它,其内涵是什麼?
于洋:算法産業是非常多元化的産業,不僅僅是平台而已。比如,某個平台借用算法來提供某種市場組織的服務,像匹配、監管這類服務都可用算法生産。但反過來的例子,人臉識别就不是平台服務,因為它提供的就是一個具體的産品或者說具體的技術。
算法産業的本質,是在生産生活或公共服務中存在着一些計算複雜程度高且計算負擔重的問題,為了滿足這些需求,就有一些企業或組織通過算法來提供相應服務。我們前面提到的平台隻是算法産業中的一種,它還會有另外的形态。
· 保護每個人不因數據流通和使用受傷害,而非保護個人數據
觀察者網:您最近提了一個很有意思的說法,即不贊成使用保護個人數據安全的概念,而應該用“避免數據流通傷害個人權益”的概念,能否展開談談兩者的差别?換句話說,我們平常對于個人數據和信息的理解是不是存在一些偏差?這個問題是否也可以關聯到您前面提到的如何看待數據及算法産業的問題?
于洋:我先從大家都贊同的一個觀念說起,即他者對我個人數據的收集必須經過我本人同意,那麼是不是我同意了以後,對方就可以随意收集我的數據了呢?實際上,雖然我同意他收集我的數據,但我的數據可能被用來侵害你的權益。
這其中的重要議題包括:
1、首先正如前面提到的關于數據本身的界定就是一個很大的麻煩,其次假設對數據界定好了、且征得我的同意以後,它仍然可能去傷害别人。
在此基礎上,我認為我們通常講的“保護個人數據”是一個不完整的概念,但是保護每一個個體在數據流通過程中不會因為數據流通而受到歧視性傷害——這裡的歧視性傷害的含義很廣,不隻是算法歧視而已,就是一個相對比較完整的概念。
這個概念使得我們能在回避數據産權界定的前提之下,可以制定數據監管制度。比如,雖然這個數據不屬于我,但他獲取這個數據後有可能傷害我,這就需要數據監管做相應安排,保護我不受傷害。
2、“保護個人數據”無法支撐數據治理實踐,但保護個人不受數據流通和使用傷害,則可以。從微觀角度來講,“保護個人數據”讓政府的數據監管極其碎片化、高成本從而不可行:假設每一筆數據流通都需要每一個人同意,那成本太巨大了,這樣的監管是不可能執行的。但要求數據的使用和流通不能傷害到個人,那麼監管任務就會大幅下降,我隻要保證數據間的流通和使用,不會對某個具體的個人或某個群體造成歧視性傷害或針對性傷害,那麼相關問題就能被有效處理掉。
3、保護個人數據對應的監管,技術上不可行;但是保護個人不受數據流通和使用傷害,技術上是可信的。今天,在信息安全領域,許多研究者和工程案例,都在探索在各種業務場景中的“可信數據執行環境”,實際上都是在避免數據流通和使用傷害個人的正當權益——比如隐私,而不是保護個人數據。
如果要保護個人數據,它所需要可信執行環境,要能支撐每個人能随時随地審批人同意自己的數據流通,全中國14億人,每天的數據流通量如此龐大,你要每個人都同意,這是不可能實現的一種保護。但比如說任何一個新業态、一筆新的數據交易,背後的監管保證其對個人或某個群體不會造成傷害,這是可以完成的一件事。
《中華人民共和國個人信息保護法》于2021年11月1日起施行。
觀察者網:是不是可以這麼認為,如果對數據先行設置很多條件,事情就沒辦法展開了,但如果我們通過這個事情去看是否會對我造成損失以及造成什麼樣的損失,從權益角度對它進行管理,相當于極大地降低了管理成本。
于洋:不僅是降低巨大的管理成本,也更合理。就像我前面提到的,我同意你收集我的數據了,但我的數據可能會對别人造成傷害;你即便完成了數據保護這個監管,但仍然會産生其他問題。換句話說,這樣的監管模式本身是有缺陷的。
· 數字技術革命如何平衡促創新和防風險?
觀察者網:我們繼續就監管角度來說,如果落實當下現實,确實涉及到社會企業或政府層面正在做的一些事,一方面我們說平台本身很複雜或者說數據、算法很複雜,需要更細膩的管理和部門的協調,但實際操作層面其實是非常困難的,甚至有可能帶來一些争議。從企業的角度而言,在技術開發或服務提供過程中會去考慮可能涉及到哪些相關部門的監管?
于洋:我們正處在一個技術革命的過程中,因此面臨既需要鼓勵創新和探索、又要防範新風險的兩難選擇。政府很擔心突然出來一個新風險,猝不及防地打亂了我國安定團結的大好局面;而企業和投資者則關心會不會突然出新監管、甚至追究監管出台之前發生的問題。
這是技術革命進程中,經濟治理最大的困境,政企雙方要相互理解,要找到一個相互協調的新模式。其實,我國在這方面是有經驗、有很好傳統的。
我首先展開來講一下技術革命中,發展創新和防風險的兩難:新技術的不斷湧現和應用,會帶來很多政府無法預先設想到的新問題,等到政府發現後,很自然它要開始監管、防風險。
但如果防風險就是禁止掉一個商業場景甚至産業,甚至要追責,這顯然對企業造成了意料外的損失——你政府之前沒有說過不允許使用,但現在又不允許了,不僅給企業造成損失,還導緻前期的整個投入都無法取得回報。而且,這種追責有時也會對外界造成一個負面印象:好像企業搞的技術和場景創新行為很邪惡。對企業來講,這些都是不可承受的。
但對政府來講,我發現了問題,如果不監管,那樣帶來的風險和後果也不可能承受。這就是信息技術革命必然帶來的兩難狀況。
問題是,要怎麼樣讓創新有出路,同時風險可防控?我認為,我們要回到改革開放的經驗中去找答案。因為我國的改革開發之路,就是一路伴随着既要探索出路,又要防控風險的。
回顧我們國家改革開放的經驗,和别的國家相比,中國有一個最寶貴的财富就是小平同志講的“摸着石頭過河”。一方面,我們看到從上世紀八九十年代到本世紀初,中國出現了一大批改革先鋒,包括商界人士、政界人士。那麼,當時做得這麼多的改革探索都是成功的嗎?也不見得。但是,社會對探索本身是寬容和鼓勵的,對探索結果有所取舍——決定留還是不留。所有做出探索的人,不論結果,大多都得到了正面的鼓勵。也就是說,我國改革開放有一個很重要的機制:鼓勵探索這種行為,但是選擇性接受探索的結果。
所以,我有一個主張就是“探索無邊界、業務有監管”。對于算法産業、乃至這波信息技術革命帶來的新東西,要鼓勵大家去探索,但對于探索産生的新業态要有監管。我進一步認為,要給探索和防風險都配套相應的機制。對于防風險來說,我們需要引入一些新的保險機制或金融機制。因為企業、組織或個人探索出來的新業态,有可能對公共事務産生影響,政府可能會加以禁止,所以有必要有相應的保險來對沖這種風險。而怎麼形成一種保險機制,在對沖風險的同時,還能保護創業者的創造動力和創造精神,這就非常必要了。
此外,政府不能簡單地通過禁止方式來進行監管,也不宜動辄追責,因為創新創業就是一個探索過程。我們想想改革開放中的試點機制,并不是說試點出來的結果是不宜推廣的,就要處罰提出試點的人。
實際上改革開放以來,有的試點成功了,有的試點證明此路不通,比如管理層收購曾經遇到很大的争議,後來争論結果是不應該搞管理層收購,但這個過程中湧現出一大批願意推動試點、願意探索實驗的幹部,當時即便他們推動的試點不成功,但能夠試點這件事本身還是可以讓他們在整個公務員體系中獲得某種回報。換句話說,決策層最終并不是采用所有試點結果,但是對探索這個行為本身是寬容和鼓勵的。
總的來說,我的建議就是“探索無邊界、業務有管理”,同時探索建立相應的保險和金融保障機制。也就是說,即便他的創新有可能因為目前的公共利益而無法實現,但創新本身值得被鼓勵,應當獲得相應的收益。
實際上這些就是中國改革開放的經驗,鼓勵大家摸着石頭過河,黑貓白貓抓到老鼠是好貓。
資料圖/大公報
觀察者網:關于這個問題,有一點體會是,對于平台企業或互聯網科技企業的監管,這幾年的社會氛圍、輿論環境發生了很大轉變。假如以2020年初和2022年上半年兩次疫情封控背景下,平台企業發揮的作用和社會反饋來看,兩年前的參與度和評價似乎更積極。換句話說,官方表态支持平台等互聯網科技企業發展,同時相關部門對其嚴格監管治理,再加上社會相關輿論的對立,這些情況是交織并行的。當然,政府一直支持的。最近中央召開的“推動數字經濟持續健康發展”專題協商會上,還強調鼓勵企業海外上市,厘清數據權益,保證數字經濟競争力等等。結合當下現狀,政府的這些政策在具體落實過程中,能多大程度得到推動?有哪些方面可以改進?
于洋:我首先想強調一點,我們要相信國家對于高新産業、平台産業的政策的底層邏輯不僅是支持,而且是大力支持。
但是,我們也要體諒一件事情,就是政府不一定很清楚該怎麼支持、怎樣才能既保障安全又全力支持。我們要深刻地理解這組張力,要認識到協調好鼓勵創新和防風險是一個相當困難、甚至缺少答案的新問題。
作為學界人士、企業界人士,應該主動探索、然後告訴政府要怎麼做,政府并不具備研究前沿問題的功能。不管是立法當局還是行政當局,都沒有承擔研究新問題的職責,但這些可以交給研究部門去做。我們的研究機構、高校的所有科研工作者,都身負重要責任,要去跟政府解釋應該怎麼考慮這個問題。反過來,政府也要有一個機制,能夠及時了解新的動态,獲得一些相應的知識。
過去10年,平台經濟其實對我們來講已經不新鮮了;再往回說,過去30年來,從1992年開始很多新産業在中國産生,對于這些新産業的監管,也都是政府、企業和學界在逐漸交流過程中形成的。特别是針對新産業的監管方法和監管理念,需要一個自下而上的過程,而不能隻有自上而下,這是因為“自上而下”對新技術的技術特征等衆多微觀問題不夠了解,它需要一個自下而上的反饋渠道,告訴管理部門和決策層這個新經濟新産業的技術特征是什麼、該怎麼做、對應的經濟規律是什麼等等。
回到前面談的這個問題,國家層面的支持态度和決心不用懷疑,關鍵是要構建一系列制度來真正落實推動這件事。我們說的“紅綠燈”,是一個模糊的比喻,不是說“紅綠燈”不好,而是說可以給企業一些确定性的東西,降低企業和投資的不确定性,将“紅綠燈”的比喻紮實落地,成為具體政策。我個人覺得前面講的三句話——探索無邊界,業務有監管,建構新型保險機制金融機制為創新探索業務提供收益保障,是可以落實為具體制度的。其實,這某種程度上也就是給企業、平台、研究機構、包括想要入局的資本等等,提供相對比較可靠的政策投資保障。
政府需要安全感,因為是我在負責整個社會的運營,一旦出了問題,你企業不用負責,是我要負責。企業也需要安全感,我這麼努力探索研究出來的東西,你突然不讓我做了,我要背負相當大的損失。投資者也需要安全感,我現在投哪裡是比較安全的,我的投資是否有回報,起碼要有一個概率上的感知。
我們正确看待這組關系,現在三方都需要安全感,那麼怎樣才能形成一個安全感的支撐?或許可以借用像保險制度這種能夠提供安全感的現代經濟制度來思考這個問題。所以,大家也不用擔憂是不是沒有前景,遠非大家想得那樣。
本文系觀察者網獨家稿件,文章内容純屬作者個人觀點,不代表平台觀點,未經授權,不得轉載,否則将追究法律責任。關注觀察者網微信guanchacn,每日閱讀趣味文章。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!