大數(shù)據(jù)時(shí)代“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的元規(guī)制

張 濤

(中國(guó)政法大學(xué) 法學(xué)院，北京 100088)

一、問(wèn)題的提出

面對(duì)大數(shù)據(jù)給個(gè)人數(shù)據(jù)保護(hù)帶來(lái)的新威脅，既有的理論和工具存在明顯的不足。公平信息實(shí)踐原則(Fair Information Practice Principles)提供了個(gè)人信息保護(hù)或信息隱私法的思想淵源[1]。美國(guó)隱私法專家保羅·施瓦茨(Paul M.Schwartz)曾指出，“公平信息實(shí)踐是現(xiàn)代信息隱私法的基石”[2]。以“公平信息實(shí)踐原則”為基礎(chǔ)，個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域發(fā)展出一系列理論和工具，如“隱私自我管理”“告知—同意”“匿名化”等。如今這些理論和工具在應(yīng)對(duì)大數(shù)據(jù)背景下的個(gè)人數(shù)據(jù)保護(hù)時(shí)，卻因結(jié)構(gòu)性僵化而存在失靈或異化問(wèn)題。已有研究表明，“隱私自我管理”不能為人們提供對(duì)其數(shù)據(jù)的有意義控制[3]；“告知—同意”產(chǎn)生的“全有全無(wú)”架構(gòu)導(dǎo)致了低效率和高成本之間的不平衡[4]；“匿名化”面對(duì)“再識(shí)別”和“去匿名化”的侵襲，已經(jīng)無(wú)法兌現(xiàn)“隱私保護(hù)承諾”[5]。

個(gè)人數(shù)據(jù)保護(hù)既有理論及工具的不足，促使理論界與實(shí)務(wù)界開始探討新的理論及工具，以彌補(bǔ)缺陷?！皵?shù)據(jù)保護(hù)和設(shè)計(jì)的關(guān)系”逐漸成為個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域關(guān)注的重要課題，越來(lái)越多的研究者、政策制定者主張數(shù)據(jù)控制者應(yīng)當(dāng)利用代碼的獨(dú)特屬性來(lái)加強(qiáng)對(duì)個(gè)人數(shù)據(jù)的保護(hù)，這就是所謂的“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”(Data Protection by Design，簡(jiǎn)稱DPbD)，其核心主張是在設(shè)計(jì)階段而不是事后將個(gè)人數(shù)據(jù)保護(hù)嵌入到產(chǎn)品和服務(wù)中[6]?！巴ㄟ^(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”較早受到國(guó)外理論界的關(guān)注，相關(guān)的研究成果已經(jīng)汗牛充棟，并且已經(jīng)在歐盟《通用數(shù)據(jù)保護(hù)條例》第25條實(shí)現(xiàn)了法制化。與此相對(duì)應(yīng)，國(guó)內(nèi)理論界對(duì)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的研究尚處于起步階段，相關(guān)研究成果主要側(cè)重于對(duì)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的基本理論、技術(shù)方法等進(jìn)行介紹[7]，幾乎沒(méi)有學(xué)術(shù)文獻(xiàn)從政府規(guī)制的角度進(jìn)行探討。本文擬從政府規(guī)制的角度出發(fā)，借闡述大數(shù)據(jù)時(shí)代“公平信息實(shí)踐原則”的困境以回答“為什么要引入‘通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)’”；在此基礎(chǔ)上，以元規(guī)制(Meta-regulation)理論為分析框架，提出建構(gòu)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的元規(guī)制模式。

二、大數(shù)據(jù)時(shí)代“公平信息實(shí)踐原則”的困境

“公平信息實(shí)踐原則”起源于20世紀(jì)70年代，后由經(jīng)濟(jì)合作與發(fā)展組織在《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》中予以修訂，得以廣泛傳播。如今，“公平信息實(shí)踐原則”已經(jīng)成為世界上絕大多數(shù)國(guó)家個(gè)人信息保護(hù)法或信息隱私法的基礎(chǔ)[8]。由于“公平信息實(shí)踐原則”主要集中于信息的收集和使用，而不是針對(duì)任何特定的技術(shù)或產(chǎn)品，因此，其原則具有很強(qiáng)的靈活性和適應(yīng)性。

在數(shù)字市場(chǎng)轉(zhuǎn)型發(fā)展的幾十年里，“公平信息實(shí)踐原則”在維護(hù)公民隱私保護(hù)期待方面發(fā)揮了重要的作用。當(dāng)前我們正處在第四次工業(yè)革命的開端，面臨一場(chǎng)系統(tǒng)性變革，其特點(diǎn)是：同過(guò)去相比，互聯(lián)網(wǎng)變得無(wú)所不在，移動(dòng)性大幅提高；傳感器體積變得更小、性能更強(qiáng)大、成本也更低；與此同時(shí)，人工智能和機(jī)器學(xué)習(xí)也開始嶄露鋒芒[9]4?？纱┐髟O(shè)備、物聯(lián)網(wǎng)、云計(jì)算、云存儲(chǔ)等技術(shù)快速發(fā)展，已經(jīng)完全可以做到對(duì)個(gè)人數(shù)據(jù)的全天候記錄、處理、共享和使用。大數(shù)據(jù)技術(shù)、各類算法的廣泛運(yùn)用，已經(jīng)完全有能力將我們變成“透明人”，創(chuàng)造出一個(gè)數(shù)字化的“虛擬我”，即丹尼爾·索洛夫(Daniel J.Solove)所說(shuō)的“數(shù)字人”(Digital Person)[10]。在這種情況下，“公平信息實(shí)踐原則”面臨困境，主要體現(xiàn)在兩個(gè)方面：一方面是大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)保護(hù)面臨一些新挑戰(zhàn)；另一方面是“公平信息實(shí)踐原則”難以應(yīng)對(duì)這些挑戰(zhàn)。

1.大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)保護(hù)面臨新的挑戰(zhàn)

隨著個(gè)人數(shù)據(jù)的經(jīng)濟(jì)、社會(huì)價(jià)值不斷顯現(xiàn)，公、私部門均廣泛使用信息技術(shù)來(lái)收集、處理和利用個(gè)人數(shù)據(jù)，其中包括許多“隱私侵犯技術(shù)”(Privacy-invading Technologies)[11]50。研究表明，這些“隱私侵犯技術(shù)”將給個(gè)人數(shù)據(jù)保護(hù)帶來(lái)諸多挑戰(zhàn)。這些挑戰(zhàn)在數(shù)量、質(zhì)量方面均不同于傳統(tǒng)的隱私保護(hù)問(wèn)題。數(shù)量上的不同是由于收集的數(shù)據(jù)量增加，數(shù)據(jù)交換和傳輸?shù)乃俣仍絹?lái)越快，且保存期限不固定；質(zhì)量上的差異則是由于數(shù)據(jù)類型的多樣化蘊(yùn)藏了更大的分析潛力，能夠產(chǎn)生更大的洞察力[11]51-53。丹尼爾·索洛夫認(rèn)為，信息時(shí)代個(gè)人隱私侵害多半發(fā)生于信息利用的4種方式：信息收集、信息處理、信息傳播和入侵(Invasion)，而這4種利用方式，又可再詳細(xì)列出共計(jì)16種隱私侵害行為類型[12]。以此為參考借鑒，從數(shù)據(jù)生命周期來(lái)看，本文認(rèn)為，大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)主要體現(xiàn)在3個(gè)階段：數(shù)據(jù)收集階段、數(shù)據(jù)分析階段和數(shù)據(jù)應(yīng)用階段。

(1)數(shù)據(jù)收集階段個(gè)人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)

數(shù)據(jù)收集階段是指利用條形碼技術(shù)、射頻識(shí)別技術(shù)、感知技術(shù)、智能識(shí)別技術(shù)等技術(shù)從數(shù)據(jù)源獲取各種類型的結(jié)構(gòu)化、半結(jié)構(gòu)化及非結(jié)構(gòu)化的數(shù)據(jù)。如今，公、私部門均在利用各類技術(shù)大量收集個(gè)人數(shù)據(jù)。在數(shù)據(jù)收集階段，個(gè)人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)主要體現(xiàn)在以下兩個(gè)方面。

第一，私營(yíng)部門違法違規(guī)收集個(gè)人數(shù)據(jù)。一方面，為了對(duì)用戶進(jìn)行追蹤，商業(yè)機(jī)構(gòu)投入大量的人力、物力來(lái)研發(fā)各種追蹤技術(shù)，如Cookies。Cookies引發(fā)的最大問(wèn)題是在用戶完全不知情的背景下，對(duì)用戶行為進(jìn)行跟蹤、記錄，包括個(gè)人偏好、興趣愛(ài)好、購(gòu)物習(xí)慣等。另一方面，隨著智能手機(jī)的大面積普及，商業(yè)機(jī)構(gòu)開發(fā)了諸多手機(jī)應(yīng)用程序(App)，在給個(gè)人提供便利的同時(shí)，也存在違法違規(guī)收集、使用信息的現(xiàn)象。例如，中國(guó)消費(fèi)者協(xié)會(huì)于2018年8月至10月對(duì)100款A(yù)pp進(jìn)行了測(cè)評(píng)，發(fā)現(xiàn)有91款A(yù)pp涉嫌過(guò)度收集個(gè)人信息[13]。

第二，公共部門不合比例收集個(gè)人數(shù)據(jù)。大數(shù)據(jù)時(shí)代的來(lái)臨，為政府社會(huì)溝通能力、科學(xué)決策能力、公共服務(wù)能力、危機(jī)預(yù)防能力的提升帶來(lái)了機(jī)遇。但與此同時(shí)，政府巨型數(shù)據(jù)庫(kù)的形成也可能對(duì)個(gè)人隱私保護(hù)造成威脅。在智慧城市建設(shè)過(guò)程中，政府部門利用物聯(lián)網(wǎng)技術(shù)來(lái)采集數(shù)據(jù)，可以實(shí)現(xiàn)物品的智能化識(shí)別、定位、跟蹤、監(jiān)控，可以將人與人之間的通信連接到人與物、物與物之間的通信[14]。在此情況下，公民的姓名、身份證號(hào)、住址、電話號(hào)碼、受教育程度、工作狀況、收入水平、健康狀況，甚至日常消費(fèi)、社會(huì)關(guān)系等信息都將被公共部門記錄下來(lái)。例如，在以“全域覆蓋、全網(wǎng)共享、全時(shí)可用、全程可控”為目標(biāo)的公共視頻監(jiān)控中，人臉識(shí)別技術(shù)、車輛識(shí)別技術(shù)、追蹤定位技術(shù)等與視頻監(jiān)控一同編織了一張“天網(wǎng)”，可能讓公民的隱私無(wú)所遁形[15]。

(2)數(shù)據(jù)分析階段個(gè)人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)

數(shù)據(jù)分析階段是指在進(jìn)行冗余數(shù)據(jù)清洗后利用數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)、可視化分析等技術(shù)對(duì)所存儲(chǔ)的數(shù)據(jù)進(jìn)行并行計(jì)算和實(shí)時(shí)計(jì)算等，并行計(jì)算是指同時(shí)使用多個(gè)計(jì)算資源完成運(yùn)算，實(shí)時(shí)運(yùn)算則是對(duì)數(shù)據(jù)流進(jìn)行實(shí)時(shí)處理[16]。在數(shù)據(jù)分析階段，個(gè)人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)主要體現(xiàn)在以下兩個(gè)方面。

第一，數(shù)據(jù)聚合建構(gòu)完整的“數(shù)字人”。隨著科技的發(fā)展，個(gè)人留下的數(shù)字足跡越來(lái)越多，這種數(shù)據(jù)具有累積性和關(guān)聯(lián)性，盡管單個(gè)數(shù)據(jù)可能不會(huì)暴露用戶的個(gè)人隱私，但隨著數(shù)字足跡增多，關(guān)聯(lián)性會(huì)逐步增強(qiáng)，即使有意識(shí)隱藏的行為也會(huì)在數(shù)據(jù)分析下被暴露出來(lái)。例如，美國(guó)數(shù)據(jù)代理商安客誠(chéng)公司(Acxiom)已經(jīng)在全球范圍內(nèi)收集了數(shù)億名消費(fèi)者的相關(guān)數(shù)據(jù)，該公司宣稱，他們通過(guò)官方檔案、購(gòu)物數(shù)據(jù)、網(wǎng)上瀏覽習(xí)慣等渠道，為每名消費(fèi)者挑選了數(shù)千個(gè)行為信號(hào)，即“屬性”[17]268。

第二，身份識(shí)別將“數(shù)字人”與特定個(gè)人相聯(lián)系。可識(shí)別性作為個(gè)人信息的基本特征,以識(shí)別目標(biāo)為基礎(chǔ),可劃分為身份識(shí)別和行為識(shí)別[18]。所謂的“識(shí)別”是指將信息與個(gè)人聯(lián)系起來(lái),它可以讓數(shù)據(jù)控制者或處理者去進(jìn)行身份驗(yàn)證，即訪問(wèn)某一數(shù)字記錄的人確實(shí)是賬戶的所有者或該記錄指向的主體。例如，在公共視頻監(jiān)控中，前端的人臉識(shí)別攝像頭可以將實(shí)時(shí)采集的人像數(shù)據(jù)進(jìn)行特征提取，然后與參考人臉數(shù)據(jù)庫(kù)進(jìn)行特征匹配，最后對(duì)數(shù)據(jù)主體的身份進(jìn)行識(shí)別或驗(yàn)證。在此情況下，通過(guò)數(shù)據(jù)“聚合”建構(gòu)的“數(shù)字人”就能通過(guò)“識(shí)別”與現(xiàn)實(shí)中的特定個(gè)人直接聯(lián)系起來(lái)。這就意味著個(gè)人在線上和線下的身份將不再相互分離，幾乎所有行為都會(huì)被獲取、分析并分類歸入網(wǎng)上的各個(gè)區(qū)域。

(3)數(shù)據(jù)應(yīng)用階段個(gè)人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)

數(shù)據(jù)應(yīng)用階段是指將數(shù)據(jù)分析結(jié)果運(yùn)用到?jīng)Q策中，以使數(shù)據(jù)價(jià)值得以充分發(fā)揮。在大數(shù)據(jù)主義看來(lái)，所有決策都應(yīng)當(dāng)逐漸摒棄經(jīng)驗(yàn)與直覺(jué)，并加大對(duì)數(shù)據(jù)與分析的倚重[17]93-94。在數(shù)據(jù)應(yīng)用階段，個(gè)人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)主要體現(xiàn)在以下兩個(gè)方面。

第一，信息共享增加隱私披露的風(fēng)險(xiǎn)。在利用數(shù)據(jù)分析結(jié)果進(jìn)行決策的過(guò)程中，使用者可能進(jìn)行信息交換、共享，甚至是信息交易，導(dǎo)致個(gè)人真實(shí)信息披露的風(fēng)險(xiǎn)也隨之增加。以手機(jī)App關(guān)聯(lián)方信息共享為例，關(guān)聯(lián)方之間普遍存在超范圍共享信息，而個(gè)人對(duì)信息流動(dòng)范圍又缺乏控制，這可能增加隱私的風(fēng)險(xiǎn)范圍、提高隱私的獲取深度、弱化義務(wù)主體的法律責(zé)任[19]。

第二，信息不合目的地進(jìn)行二次使用。如前所述，信息共享除了可能增加隱私披露的風(fēng)險(xiǎn)以外，還可能導(dǎo)致個(gè)人信息被不合目的地使用。換言之，作為信息的繼受者可能突破該信息的原始使用目的，用于其他目的。丹尼爾·索洛夫認(rèn)為，不合目的地使用信息，可能對(duì)個(gè)人自由和自我發(fā)展造成不利影響，原因在于這些信息可能重新塑造和定義個(gè)人的公共角色和公共形象，而這將完全不受個(gè)人控制[12]。

2.“公平信息實(shí)踐原則”難以應(yīng)對(duì)數(shù)據(jù)保護(hù)挑戰(zhàn)

“公平信息實(shí)踐原則”主要包括如下子原則：采集限制原則、數(shù)據(jù)質(zhì)量原則、目的說(shuō)明原則、限制使用原則、安全性原則、個(gè)人參與原則、責(zé)任擔(dān)當(dāng)原則。由于這些保護(hù)數(shù)據(jù)的方法和原理是建立在當(dāng)時(shí)的科技背景之下，因此很有必要重新檢視這些原則在大數(shù)據(jù)時(shí)代是否存在實(shí)施障礙和困難。事實(shí)上，對(duì)“公平信息實(shí)踐原則”進(jìn)行批判和質(zhì)疑并非新鮮事。早在該原則提出之初，美國(guó)學(xué)者詹姆斯·魯爾(James Rule)等人就批判“公平信息實(shí)踐原則”未能有效地限制監(jiān)控系統(tǒng)。他們將“公平信息實(shí)踐原則”歸類為“效率”原則，其目的是最大限度地消除數(shù)據(jù)控制者與數(shù)據(jù)主體之間的沖突，而不是實(shí)質(zhì)性地限制數(shù)據(jù)收集，使其違背數(shù)據(jù)控制者的利益[8]。

此外，還有一些學(xué)者對(duì)以“公平信息實(shí)踐原則”為基礎(chǔ)而形成的一些理論和工具進(jìn)行了批判。丹尼爾·索洛夫認(rèn)為，“隱私自我管理”根源于“公平信息實(shí)踐原則”，并且被廣泛認(rèn)可和接受。然而，“隱私自我管理”卻存在諸多不足，主要體現(xiàn)在兩個(gè)方面：一是認(rèn)知問(wèn)題，主要涉及人類決策方式帶來(lái)的挑戰(zhàn)；二是結(jié)構(gòu)問(wèn)題，主要涉及隱私?jīng)Q策如何設(shè)計(jì)帶來(lái)的挑戰(zhàn)。這些問(wèn)題共同表明，僅憑該理論尚不足以構(gòu)成有效隱私規(guī)制框架的基石[3]。美國(guó)學(xué)者弗雷德·凱特(Fred Cate)認(rèn)為，以“公共信息實(shí)踐原則”為基礎(chǔ)建構(gòu)的隱私保護(hù)框架之核心是“控制”，實(shí)踐證明，基于控制的數(shù)據(jù)保護(hù)制度難以發(fā)揮作用，隱私并沒(méi)有得到更好的保護(hù)，相反，紛至沓來(lái)的“告知”可能只會(huì)給人帶來(lái)一種隱私增強(qiáng)的錯(cuò)覺(jué)，但實(shí)際卻大相徑庭[20]。

在實(shí)踐中，“告知—同意”是實(shí)施“公平信息實(shí)踐原則”的重要工具，目前已經(jīng)深深地植根于現(xiàn)有制度和商業(yè)實(shí)踐中。信息隱私權(quán)的核心就是由個(gè)人決定自己信息的收集和使用，“告知—同意”正是為了增強(qiáng)個(gè)人對(duì)信息的控制能力，其背后的正當(dāng)性基礎(chǔ)是“個(gè)人信息自決權(quán)”。所謂“告知”就是條款陳述，通常體現(xiàn)為“隱私政策”；“同意”則是表示接受條款的行為，通常表現(xiàn)為“使用網(wǎng)站”或單擊“我同意”按鈕。“告知—同意”在運(yùn)行時(shí)，通常有兩條隱含的假設(shè)作為論據(jù)：一是當(dāng)“告知—同意”充分執(zhí)行時(shí)，可以確保用戶能夠在知情的情況下，自由地決定同意數(shù)據(jù)控制者收集、使用數(shù)據(jù)；二是個(gè)人“同意”的決定是個(gè)人隱私和數(shù)據(jù)控制者利益之間達(dá)成可接受平衡的結(jié)果。換言之，只要“告知”充分地描述了企業(yè)的行為，閱讀并理解它的用戶就能對(duì)這些行為有足夠的認(rèn)識(shí)。

然而，“告知—同意”在實(shí)際運(yùn)行時(shí)，卻面臨如下困境。一是未形成有效的“告知”。很多網(wǎng)站或應(yīng)用程序的隱私政策和文件冗長(zhǎng)而繁瑣，表述拗口難懂，同時(shí)，在冗長(zhǎng)繁瑣的隱私條款中，不公平的“霸王條款”往往隱含在字里行間。二是難以形成有效的“同意”。一方面，用戶很難有耐心閱讀冗長(zhǎng)復(fù)雜的隱私條款，即使閱讀完，也可能難以理解其真實(shí)含義，難以對(duì)企業(yè)的行為作出符合“成本—效益”的判斷；另一方面，目前大部分隱私政策均是點(diǎn)擊合同，若用戶不點(diǎn)擊“同意”，則無(wú)法進(jìn)行下一環(huán)節(jié)的注冊(cè)或獲得相關(guān)服務(wù)，用戶由于對(duì)相關(guān)服務(wù)的依賴性而被動(dòng)選擇?！案嬷狻碑惢慕Y(jié)果是，掌握數(shù)據(jù)的企業(yè)機(jī)構(gòu)在個(gè)人信息保護(hù)方面責(zé)任淡化，只要得到了“本人同意”，數(shù)據(jù)怎么處理使用都可以，這種不平衡的個(gè)人信息保護(hù)架構(gòu)實(shí)際上架空了個(gè)人信息保護(hù)體系[4]。

三、作為數(shù)據(jù)保護(hù)新原則的“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”

大數(shù)據(jù)時(shí)代，個(gè)人數(shù)據(jù)保護(hù)面臨新的挑戰(zhàn)，而既有的“公平信息實(shí)踐原則”存在明顯的不足，個(gè)人對(duì)其數(shù)據(jù)的有效控制能力大大降低。為了切實(shí)保護(hù)個(gè)人數(shù)據(jù)權(quán)利，同時(shí)又促進(jìn)數(shù)據(jù)流動(dòng)，數(shù)據(jù)保護(hù)領(lǐng)域開始探索一些新的理論和工具來(lái)彌補(bǔ)既有數(shù)據(jù)保護(hù)框架之不足，最具代表性的便是“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”。

1.“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的內(nèi)涵界定

就“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”這一術(shù)語(yǔ)而言，有兩個(gè)核心概念：設(shè)計(jì)和(個(gè)人)數(shù)據(jù)。為了更為準(zhǔn)確地把握“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的內(nèi)涵，有必要對(duì)與之相關(guān)的一些基礎(chǔ)性概念進(jìn)行闡述。

(1)何為“個(gè)人數(shù)據(jù)”

數(shù)據(jù)保護(hù)的實(shí)質(zhì)范圍取決于所處理的個(gè)人數(shù)據(jù)，在我國(guó)法制語(yǔ)境中，主要使用“個(gè)人信息”這一術(shù)語(yǔ)。本文認(rèn)為，在個(gè)人數(shù)據(jù)保護(hù)的語(yǔ)境下，個(gè)人信息與個(gè)人數(shù)據(jù)之間并無(wú)本質(zhì)區(qū)別，這也是諸多國(guó)際性文件將二者混用的原因。有關(guān)個(gè)人數(shù)據(jù)的定義，國(guó)內(nèi)外立法基本上均以“可識(shí)別性”作為核心要素[18]。我國(guó)《個(gè)人信息保護(hù)法草案(征求意見(jiàn)稿)》第4條第1款將個(gè)人信息界定為“以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息”。歐盟《通用數(shù)據(jù)保護(hù)條例》第4條第1款將“個(gè)人數(shù)據(jù)”界定為“與已識(shí)別或可識(shí)別的自然人相關(guān)的任何信息”。

分析上述定義，我們可以將個(gè)人數(shù)據(jù)分解為4個(gè)要素：第一個(gè)要素是“任何信息”或“各種信息”，這表明不管數(shù)據(jù)的內(nèi)容或格式如何，都涵蓋了廣泛的(數(shù)字)數(shù)據(jù)類別；第二個(gè)要素是“自然人”，該要素強(qiáng)調(diào)了數(shù)據(jù)保護(hù)的個(gè)人性質(zhì)，并將某些類型的數(shù)據(jù)排除在外，如僅與公司或已故人士有關(guān)的數(shù)據(jù)；第三個(gè)要素是“有關(guān)”或“相關(guān)”，當(dāng)數(shù)據(jù)是關(guān)于某個(gè)個(gè)體的數(shù)據(jù)，就可以認(rèn)為該數(shù)據(jù)與該個(gè)體是相關(guān)的，而該個(gè)體可能是以內(nèi)容、目的或結(jié)果等形式呈現(xiàn)；第四個(gè)要素是“可識(shí)別性”，即可以通過(guò)姓名、網(wǎng)絡(luò)標(biāo)識(shí)符、身份證號(hào)碼等因素識(shí)別特定個(gè)人。

(2)何為“設(shè)計(jì)”

在不同的語(yǔ)境中，“設(shè)計(jì)”具有不同的含義。王受之將“設(shè)計(jì)”界定為“把一種設(shè)計(jì)、規(guī)劃、設(shè)想、問(wèn)題解決的方法，通過(guò)視覺(jué)的方式傳達(dá)出來(lái)的活動(dòng)過(guò)程”[21]。事實(shí)上，設(shè)計(jì)的含義和作用對(duì)不同的公司、不同的產(chǎn)業(yè)、不同的國(guó)家和不同的時(shí)代而言都是不一樣的，這取決于待做工程的規(guī)模、技術(shù)的復(fù)雜程度、法律的規(guī)制和政治的敏感程度。在不同的環(huán)境中，設(shè)計(jì)的稱謂也各不相同，造型、工程、策劃、藝術(shù)指導(dǎo)、公司戰(zhàn)略，這些在某種程度上都可以是設(shè)計(jì)[22]16。在與個(gè)人數(shù)據(jù)相關(guān)的技術(shù)工程領(lǐng)域，“設(shè)計(jì)”通常是指一個(gè)系統(tǒng)是如何架構(gòu)的、如何運(yùn)行的、如何通信的，以及該體系架構(gòu)、功能和交流是如何對(duì)人產(chǎn)生影響的[23]12。

(3)何為“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”

“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”作為一個(gè)法律術(shù)語(yǔ)，主要來(lái)自歐盟《通用數(shù)據(jù)保護(hù)條例》第25條，它與“通過(guò)默認(rèn)保護(hù)數(shù)據(jù)”(Data Protection by Default)是兩個(gè)相輔相成的概念。如果“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”得到徹底實(shí)施，那么數(shù)據(jù)主體也將從“通過(guò)默認(rèn)保護(hù)數(shù)據(jù)”中獲得更多益處。根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》第25條第1款的規(guī)定[24]，“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”大致具有以下幾層含義。

首先，數(shù)據(jù)控制者有義務(wù)在數(shù)據(jù)處理過(guò)程中采取適當(dāng)?shù)募夹g(shù)性和組織性措施以及必要的保障措施(Safeguards)。從廣義上講，“技術(shù)性和組織性措施以及必要的保障措施”可以理解為數(shù)據(jù)控制者在處理過(guò)程中可能采用的任何方法或手段，從采用先進(jìn)的技術(shù)解決方案到人員的基本培訓(xùn)。根據(jù)數(shù)據(jù)處理的不同場(chǎng)景和風(fēng)險(xiǎn)，這些措施主要包括：個(gè)人數(shù)據(jù)的假名化(Pseudonymization)；以結(jié)構(gòu)化的、機(jī)器可讀的格式存儲(chǔ)個(gè)人數(shù)據(jù)；使數(shù)據(jù)主體參與數(shù)據(jù)處理；提供關(guān)于個(gè)人數(shù)據(jù)存儲(chǔ)的信息；安裝惡意軟件檢測(cè)系統(tǒng)；對(duì)員工進(jìn)行基本的“網(wǎng)絡(luò)安全”培訓(xùn)等。“適當(dāng)?shù)摹币馕吨鲜龃胧?yīng)適合于實(shí)現(xiàn)預(yù)期目的，即它們必須有效地實(shí)施個(gè)人數(shù)據(jù)保護(hù)原則。

其次，設(shè)計(jì)應(yīng)當(dāng)能夠有效實(shí)施數(shù)據(jù)保護(hù)原則，保護(hù)數(shù)據(jù)主體的權(quán)利和自由?！坝行浴?Effectiveness)是通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)概念的核心，它意味著數(shù)據(jù)控制者必須實(shí)施必要的措施來(lái)保護(hù)數(shù)據(jù)基本原則，以確保數(shù)據(jù)主體的權(quán)利，每項(xiàng)實(shí)施的措施都應(yīng)產(chǎn)生數(shù)據(jù)控制者所預(yù)見(jiàn)的處理的預(yù)期結(jié)果。具體而言，主要包括兩個(gè)方面：一方面，這意味著《通用數(shù)據(jù)保護(hù)條例》第25條并不要求實(shí)施任何具體的技術(shù)性和組織性措施，而是說(shuō)所選擇的措施和保障措施應(yīng)當(dāng)具體到將數(shù)據(jù)保護(hù)原則落實(shí)到有關(guān)的具體處理中；另一方面，數(shù)據(jù)控制者應(yīng)當(dāng)能夠證明數(shù)據(jù)保護(hù)原則得到了維護(hù)。

再次，設(shè)計(jì)過(guò)程必須考慮一系列因素，這些因素要有助于確定某項(xiàng)措施是否適合有效實(shí)施數(shù)據(jù)保護(hù)原則。這意味著因素本身并不是目標(biāo)，而是為達(dá)到目標(biāo)需要綜合考慮的。具體而言，主要包括以下因素。一是“技術(shù)發(fā)展最新水平”(State of the Art)，這意味著數(shù)據(jù)控制者在確定適當(dāng)?shù)募夹g(shù)性和組織性措施時(shí)，應(yīng)當(dāng)考慮市場(chǎng)上現(xiàn)有的先進(jìn)技術(shù)。二是“實(shí)施成本”，這意味著數(shù)據(jù)控制者可以選擇時(shí)間、人力資源花費(fèi)較小的措施來(lái)實(shí)施數(shù)據(jù)保護(hù)原則，但這并不是數(shù)據(jù)控制者不實(shí)施數(shù)據(jù)保護(hù)原則的理由。三是“處理的性質(zhì)、范圍、場(chǎng)景和目的”，其中，“性質(zhì)”是指處理的內(nèi)在特征，“范圍”是指處理的規(guī)模和幅度，“場(chǎng)景”是指處理的環(huán)境，可能影響數(shù)據(jù)主體的期望，而“目的”則是指處理的目標(biāo)。四是“處理給自然人的權(quán)利和自由帶來(lái)不同程度的風(fēng)險(xiǎn)”，數(shù)據(jù)控制者必須識(shí)別違反數(shù)據(jù)保護(hù)原則給數(shù)據(jù)主體權(quán)利帶來(lái)的風(fēng)險(xiǎn)，并確定其可能性和嚴(yán)重性，以便采取措施有效降低識(shí)別的風(fēng)險(xiǎn)。

最后，設(shè)計(jì)過(guò)程必須符合一定的時(shí)間要求。具體而言，其包括兩個(gè)方面的內(nèi)容。一是設(shè)計(jì)必須在“確定處理手段期間”著手，即數(shù)據(jù)控制者決定如何進(jìn)行處理、處理的方式以及進(jìn)行處理的機(jī)制的這段時(shí)間。二是設(shè)計(jì)必須貫穿于整個(gè)“實(shí)施處理階段”，即設(shè)計(jì)一旦處理開始，數(shù)據(jù)控制者就必須保持最新的技術(shù)水平，評(píng)估數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)，有效地實(shí)施數(shù)據(jù)保護(hù)原則，以保護(hù)數(shù)據(jù)主體權(quán)利。

2.“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的理論淵源

“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”并非無(wú)源之水，它的提出和發(fā)展是對(duì)已有理論、原則的繼承、完善和創(chuàng)新。“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的理論淵源主要包括“通過(guò)設(shè)計(jì)保護(hù)隱私”(Privacy by Design)和“代碼即法律”(Code as Law)。

(1)“通過(guò)設(shè)計(jì)保護(hù)隱私”

“通過(guò)設(shè)計(jì)保護(hù)隱私”最早是由加拿大安大略省前信息和隱私專員安·卡沃基安(Ann Cavoukian)于20世紀(jì)90年代提出的，隨后迅速引起國(guó)際社會(huì)的廣泛關(guān)注。荷蘭學(xué)者德米特里斯·克里特(Demetrius Klitou)認(rèn)為，“通過(guò)設(shè)計(jì)保護(hù)隱私”是指通過(guò)設(shè)備、系統(tǒng)、技術(shù)或服務(wù)的物理設(shè)計(jì)、技術(shù)指標(biāo)、體系結(jié)構(gòu)、計(jì)算機(jī)代碼的適用，來(lái)實(shí)現(xiàn)隱私原則及其相關(guān)規(guī)則的價(jià)值[11]262。根據(jù)安·卡沃基安的總結(jié)，“通過(guò)設(shè)計(jì)保護(hù)隱私”主要包括七項(xiàng)基本原則：一是化被動(dòng)為主動(dòng)，防患于未然；二是把隱私作為默認(rèn)機(jī)制；三是將隱私融入設(shè)計(jì)之中；四是全功能，即正和而非零和；五是端到端安全，即全生命周期保護(hù)；六是可見(jiàn)性和透明度，即保持開放；七是尊重用戶隱私，即以用戶為中心[7]。“通過(guò)設(shè)計(jì)保護(hù)隱私”鼓勵(lì)管理人員或設(shè)計(jì)人員在設(shè)計(jì)過(guò)程的最前端考慮信息隱私保護(hù)利益，而不是在開發(fā)生命周期的后期進(jìn)行漏洞修補(bǔ)。鑒于當(dāng)今科技發(fā)展日新月異，及早考慮隱私(數(shù)據(jù))保護(hù)的特殊要求是很重要的，因?yàn)樾碌目萍枷到y(tǒng)具有滯后性且往往含有隱藏的危險(xiǎn)，而這些隱藏的危險(xiǎn)在基礎(chǔ)設(shè)計(jì)完成后將是很難克服的。

(2)“代碼即法律”

在網(wǎng)絡(luò)環(huán)境中，立法機(jī)關(guān)、政府規(guī)制機(jī)構(gòu)并非規(guī)則制定的唯一來(lái)源。美國(guó)學(xué)者喬爾·雷登伯格(Joel R.Reidenberg)認(rèn)為，個(gè)人數(shù)據(jù)保護(hù)是由政治模式、經(jīng)濟(jì)模式和技術(shù)模式共同完成的，其中，政治模式采用法律，經(jīng)濟(jì)模式采用市場(chǎng)規(guī)范或自我規(guī)制，而信息法模式(Lex informatica)則采用技術(shù)或技術(shù)協(xié)議[25]。美國(guó)學(xué)者勞倫斯·萊斯格(Lawrence Lessig)也持類似的觀點(diǎn)，他認(rèn)為，科技規(guī)制主要由法律、規(guī)范、市場(chǎng)和物理架構(gòu)這4種相互作用、相互補(bǔ)充的機(jī)制共同完成，其中法律扮演著非常重要的角色[26]123-130。然而，在由硬件和軟件構(gòu)成的網(wǎng)絡(luò)空間中，法律政策若沒(méi)有技術(shù)進(jìn)行回應(yīng)，將難以發(fā)揮實(shí)效，計(jì)算機(jī)代碼作為物理架構(gòu)的一種形式，可以像法律準(zhǔn)則(Legal Code)一樣對(duì)人的行為進(jìn)行規(guī)制，它就是網(wǎng)絡(luò)空間中的“法律”，這就是所謂的“代碼即法律”[26]5。在個(gè)人數(shù)據(jù)保護(hù)中，已有的立法忽視了“代碼即法律”對(duì)數(shù)據(jù)保護(hù)的影響，技術(shù)通常會(huì)使侵犯信息隱私的行為變得更容易，但技術(shù)卻很少被納入數(shù)據(jù)保護(hù)法律規(guī)范中。因此，可以通過(guò)計(jì)算機(jī)代碼或軟件對(duì)網(wǎng)絡(luò)空間進(jìn)行規(guī)制，從而增強(qiáng)個(gè)人的數(shù)據(jù)控制能力。

3.“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的邏輯證成

“公平信息實(shí)踐原則”的不足為“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的提出，提供了外部動(dòng)因；而“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”和“代碼即法律”則為“通過(guò)設(shè)計(jì)保護(hù)隱私”提供了理論支持。除此之外，“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的發(fā)展還有賴于其自身的邏輯自洽性。

(1)與隱私保護(hù)相關(guān)的設(shè)計(jì)無(wú)處不在

如前所述，從廣義上看，設(shè)計(jì)是分析事物、視覺(jué)化實(shí)現(xiàn)、計(jì)劃以及執(zhí)行的過(guò)程，個(gè)人的感受、行為、視角都在潛移默化中被設(shè)計(jì)所左右[22]3-4。在日常生活中，各種各樣的設(shè)計(jì)都在影響我們對(duì)隱私的看法[23]23-25。在現(xiàn)實(shí)世界中，小到門窗、墻壁的設(shè)計(jì)，大到街道、房屋的設(shè)計(jì)，以及其他無(wú)數(shù)的設(shè)計(jì)特征塑造了我們對(duì)隱私的認(rèn)知，最典型的便是基于“結(jié)構(gòu)性保護(hù)”而創(chuàng)造的“隱私合理期待”。在以網(wǎng)絡(luò)為媒介的環(huán)境中，設(shè)計(jì)對(duì)我們的隱私同樣重要。個(gè)人使用的各類瀏覽器、移動(dòng)應(yīng)用程序、社交媒體、視頻網(wǎng)站等，都是我們發(fā)現(xiàn)信息、消費(fèi)信息，并與他人進(jìn)行交流的媒介；個(gè)人不曾使用的車輛識(shí)別技術(shù)、人臉識(shí)別技術(shù)等監(jiān)控技術(shù)也廣泛融入我們的生活。這些數(shù)字技術(shù)的設(shè)計(jì)不僅改變了我們的視界，也悄悄改變了我們對(duì)隱私的態(tài)度。

(2)設(shè)計(jì)作為一種技術(shù)權(quán)力

在許多關(guān)于設(shè)計(jì)和信息隱私的關(guān)系的討論中，“圓形監(jiān)獄”常常成為重要的隱喻和支撐理論。米歇爾·?？略赋觯诋?dāng)代社會(huì)，專業(yè)知識(shí)、監(jiān)控技術(shù)日益與社會(huì)管理權(quán)力相結(jié)合，被濫用是非常危險(xiǎn)的[27]。一些觀點(diǎn)從更為廣泛的視角進(jìn)行討論，提出了所謂的“技術(shù)權(quán)力”，認(rèn)為“權(quán)力”體現(xiàn)在技術(shù)的設(shè)計(jì)、使用中，故而“技術(shù)權(quán)力”既體現(xiàn)為政治結(jié)構(gòu)的支配性力量，也包含更寬泛意義上的認(rèn)知方式與行動(dòng)力量[28]。另外一些觀點(diǎn)則從微觀視角出發(fā)對(duì)“算法權(quán)力”展開研究，認(rèn)為算法權(quán)力作為技術(shù)權(quán)力之一，包含了算法本身的權(quán)力和附屬于算法的數(shù)據(jù)的權(quán)力[29]。

本文借鑒伍德羅·哈佐格(Woodrow Hartzog)教授的分析框架[23]34-43，采取一種更具綜合性的微觀視角對(duì)設(shè)計(jì)與權(quán)力的關(guān)系進(jìn)行探討，認(rèn)為設(shè)計(jì)屬于權(quán)力的一種形式，更具體而言，可視為技術(shù)權(quán)力之一?！恫既R克維爾政治學(xué)百科全書》曾將“權(quán)力”定義為“一個(gè)行為者或機(jī)構(gòu)影響其他行為者或機(jī)構(gòu)的態(tài)度和行為的能力”[30]。設(shè)計(jì)有很多功能，規(guī)范我們的行為就是其中之一。設(shè)計(jì)可以指導(dǎo)我們，讓我們有能力去操作一臺(tái)難以理解的數(shù)碼產(chǎn)品；設(shè)計(jì)還可以幫助我們，使我們遠(yuǎn)離危險(xiǎn)。此外，設(shè)計(jì)還能對(duì)我們的體驗(yàn)產(chǎn)生影響，以至于產(chǎn)品設(shè)計(jì)的質(zhì)量決定了我們是享受快樂(lè)和成功，還是承受痛苦和失敗[22]87。考慮到設(shè)計(jì)對(duì)個(gè)人感知、行為和價(jià)值觀的影響，從這個(gè)意義上可以說(shuō)，設(shè)計(jì)是一種權(quán)力[23]34。這意味著，我們可以對(duì)設(shè)計(jì)進(jìn)行?？乱饬x上的“規(guī)訓(xùn)”，可以將某種秩序、某種價(jià)值“內(nèi)置于”設(shè)計(jì)中。

四、元規(guī)制模式下“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的完善路徑

“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”既具備外部動(dòng)因，又具備理論支撐和邏輯自洽性。然而，與所有數(shù)據(jù)保護(hù)理論相同，“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”并不會(huì)自動(dòng)實(shí)現(xiàn)，需要一套機(jī)制或制度確保它的實(shí)施。從規(guī)制理論的角度看，“當(dāng)規(guī)制問(wèn)題過(guò)于復(fù)雜，或某個(gè)行業(yè)存在異質(zhì)性，或處于動(dòng)態(tài)演進(jìn)之中時(shí)，更適合去選用自我規(guī)制與元規(guī)制”[31]169。大數(shù)據(jù)時(shí)代，信息科技發(fā)展日新月異，數(shù)字經(jīng)濟(jì)行業(yè)處于不斷變化之中，數(shù)據(jù)保護(hù)需要采取一種“激勵(lì)相容”的規(guī)制機(jī)制，考慮元規(guī)制模式，或許將有助益。

1.元規(guī)制的界定及基本原理

在規(guī)制研究中，明確使用“元規(guī)制”這一術(shù)語(yǔ)至少可以追溯到1983年。美國(guó)學(xué)者邁克爾·里根(Michael D.Reagan)將規(guī)制活動(dòng)的成本收益分析界定為“一種規(guī)制的元規(guī)制”[32]，這意味著元規(guī)制是對(duì)規(guī)制機(jī)構(gòu)的一種績(jī)效監(jiān)督。隨后，其他一些學(xué)者從更為廣泛的視角對(duì)“元規(guī)制”進(jìn)行解釋。澳大利亞學(xué)者克里斯汀·帕克(Christine Parker)將“元規(guī)制”視為“對(duì)規(guī)制者的規(guī)制”，而這些規(guī)制者包括“公共機(jī)構(gòu)、私營(yíng)企業(yè)自我規(guī)制機(jī)構(gòu)或第三方看門人”[33]15。以色列學(xué)者莎倫·吉拉德(Sharon Gilad)認(rèn)為，若將規(guī)制體系分為“結(jié)果導(dǎo)向的規(guī)制”和“過(guò)程導(dǎo)向的規(guī)制”，那么“元規(guī)制”就是一種動(dòng)態(tài)的、以過(guò)程為導(dǎo)向的規(guī)制模式，它要求受規(guī)制者不僅要識(shí)別風(fēng)險(xiǎn)和設(shè)計(jì)內(nèi)部控制系統(tǒng)，而且還要持續(xù)評(píng)估該內(nèi)部系統(tǒng)的有效性，并根據(jù)評(píng)估結(jié)果逐步改進(jìn)，這就是所謂的“雙循環(huán)學(xué)習(xí)”(Double-loop Learning)[34]。

簡(jiǎn)而言之，元規(guī)制并非以規(guī)定性的方式進(jìn)行規(guī)制，而是努力通過(guò)法律來(lái)刺激企業(yè)的內(nèi)部自組織模式，以鼓勵(lì)企業(yè)對(duì)其自身規(guī)制績(jī)效進(jìn)行自我批判式的反思。通過(guò)此種規(guī)制方式，元規(guī)制可以實(shí)現(xiàn)“強(qiáng)制企業(yè)對(duì)它們自己的自我規(guī)制策略進(jìn)行評(píng)估并報(bào)告，以便規(guī)制機(jī)構(gòu)能夠確定，是否正在實(shí)現(xiàn)規(guī)制的最終目標(biāo)”[33]246。元規(guī)制的核心思想是讓那些制造問(wèn)題的主體將社會(huì)價(jià)值內(nèi)部化，并主動(dòng)調(diào)整其行為來(lái)消除這些問(wèn)題。與傳統(tǒng)“命令-控制型規(guī)制”相比，元規(guī)制將如何規(guī)制的裁量權(quán)從規(guī)制者轉(zhuǎn)移給規(guī)制對(duì)象，希望利用規(guī)制對(duì)象的信息優(yōu)勢(shì)，讓規(guī)制對(duì)象承擔(dān)起規(guī)制自身的任務(wù)。元規(guī)制背后的深刻認(rèn)識(shí)是“在任何社會(huì)秩序中，自我控制都是一種必備的要素，因?yàn)闊o(wú)法針對(duì)每一種可想象到的危害來(lái)制定規(guī)則，檢查人員也不可能時(shí)刻對(duì)每一個(gè)人進(jìn)行監(jiān)督”[31]183。

2.建構(gòu)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的元規(guī)制模式

“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的關(guān)鍵是在技術(shù)設(shè)計(jì)中考慮個(gè)人數(shù)據(jù)保護(hù)，帶有很強(qiáng)的技術(shù)性。目前，我國(guó)信息技術(shù)的發(fā)展充滿不確定性，數(shù)據(jù)規(guī)制產(chǎn)業(yè)亦存在異質(zhì)性,科技巨頭與中小企業(yè)并存，而規(guī)制者對(duì)此存在明顯的信息劣勢(shì)。因此，采用元規(guī)制模式，通過(guò)外部規(guī)制者的激勵(lì)，促使規(guī)制對(duì)象本身對(duì)信息隱私保護(hù)問(wèn)題作出內(nèi)部式、自我規(guī)制性質(zhì)的回應(yīng)。在元規(guī)制模式下，既要從法律層面設(shè)定目標(biāo)和原則，提供足夠的外部激勵(lì)，也要從技術(shù)標(biāo)準(zhǔn)層面提供指引，最重要的是受規(guī)制者應(yīng)當(dāng)從自身出發(fā)，完善自我規(guī)制策略，對(duì)法律規(guī)定、技術(shù)標(biāo)準(zhǔn)作出積極回應(yīng)。此外，社會(huì)和市場(chǎng)中的利益相關(guān)者也應(yīng)當(dāng)積極提供激勵(lì)。

(1)法律規(guī)范激勵(lì)：“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”作為基本原則

元規(guī)制并未放棄法律在規(guī)制中的作用，相反，法律對(duì)于刺激受規(guī)制者作出自我規(guī)制性質(zhì)的回應(yīng)意義重大?？死锼雇　づ量酥赋?，元規(guī)制的第一階段便是讓組織的管理者對(duì)法律責(zé)任作出承諾，而法律可以為私營(yíng)部門的自我規(guī)制設(shè)定規(guī)范性目標(biāo)，這種法律可以稱為“元規(guī)制法”(Meta-regulating Law)[33]31。美國(guó)學(xué)者艾拉·魯賓斯坦和納撒尼爾·古德對(duì)Google和Facebook的10大隱私事件進(jìn)行反事實(shí)分析。他們認(rèn)為，這些隱私事件表明“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”作為一項(xiàng)保護(hù)原則非常重要，規(guī)制機(jī)構(gòu)必須采取更多行動(dòng)，而不僅僅是建議采用和實(shí)施“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”[35]。因此，在信息隱私保護(hù)法律中明確“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的基本原則地位是實(shí)現(xiàn)元規(guī)制的第一步。

我國(guó)尚未制定有關(guān)個(gè)人信息保護(hù)的統(tǒng)一法律，有關(guān)信息隱私保護(hù)的基本原則主要體現(xiàn)在其他法律規(guī)范中。2012年，《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》將我國(guó)公民個(gè)人電子信息保護(hù)原則確立為“合法、正當(dāng)、必要的原則”。《民法典》第1035條亦規(guī)定，收集、處理個(gè)人信息應(yīng)當(dāng)遵循“合法、正當(dāng)、必要原則”。結(jié)合前述規(guī)范的其他條款來(lái)看，“合法、正當(dāng)、必要原則”主要包括“自然人同意”“公開收集規(guī)則”“明示處理目的”等規(guī)則，基本上體現(xiàn)了“公平信息實(shí)踐原則”的精神實(shí)質(zhì)，關(guān)注的重點(diǎn)仍然是個(gè)人信息的處理，并未涉及技術(shù)、產(chǎn)品或服務(wù)的設(shè)計(jì)。

不過(guò)，《網(wǎng)絡(luò)安全法》中有一些條款和技術(shù)設(shè)計(jì)有關(guān)，體現(xiàn)了“價(jià)值敏感設(shè)計(jì)”理論，具體而言，是“通過(guò)設(shè)計(jì)實(shí)現(xiàn)安全”(Security by Design)。例如，《網(wǎng)絡(luò)安全法》第10條規(guī)定，“建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)……采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行……”。盡管該條主要局限于“建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù)”，且目標(biāo)在于“保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行”，但該條立法基本體現(xiàn)了“通過(guò)設(shè)計(jì)”(by Design)的精神內(nèi)核。

在國(guó)際層面，越來(lái)越多的國(guó)家(地區(qū))在其信息隱私保護(hù)法律規(guī)范中對(duì)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”予以法制化。在歐盟，1995年《數(shù)據(jù)保護(hù)指令》第17條第1款要求數(shù)據(jù)控制者“必須采取適當(dāng)?shù)募夹g(shù)性和組織性措施保護(hù)個(gè)人數(shù)據(jù)”；2018年《通用數(shù)據(jù)保護(hù)條例》第25條正式將“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”確立為個(gè)人數(shù)據(jù)保護(hù)的一項(xiàng)基本原則，同時(shí)也是數(shù)據(jù)控制者和處理者的一項(xiàng)核心義務(wù)[36]。在美國(guó)，《1974隱私權(quán)法》要求政府機(jī)構(gòu)建立適當(dāng)?shù)男姓?、技術(shù)和物理保障措施，以確保記錄的安全性和保密性，防止任何預(yù)期的威脅或危害。此外，還有一些國(guó)家通過(guò)判例法來(lái)推動(dòng)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”。例如，德國(guó)聯(lián)邦憲法法院在一個(gè)案例中裁定，一般人格權(quán)是保障信息技術(shù)系統(tǒng)的保密性和完整性的基本權(quán)利[11]274。

目前，我國(guó)正在起草制定《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》，這兩部法律的草案均已向社會(huì)公開征求意見(jiàn)。本文認(rèn)為，我國(guó)應(yīng)當(dāng)以歐盟《通用數(shù)據(jù)保護(hù)條例》為參考借鑒，認(rèn)真對(duì)待技術(shù)設(shè)計(jì)與個(gè)人數(shù)據(jù)保護(hù)的關(guān)系，將“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”作為個(gè)人信息保護(hù)的一項(xiàng)基本原則，在未來(lái)的《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》中予以明確。不過(guò)值得注意的是，歐盟《通用數(shù)據(jù)保護(hù)條例》的適用對(duì)象主要是“數(shù)據(jù)控制者和處理者”，其所調(diào)控的行為依然是以數(shù)據(jù)收集、處理為核心。然而，“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的核心是將數(shù)據(jù)保護(hù)融入設(shè)備、產(chǎn)品或服務(wù)的設(shè)計(jì)中，因此其所適用的對(duì)象不僅僅包括數(shù)據(jù)控制者和處理者，還應(yīng)當(dāng)包括設(shè)備、產(chǎn)品或服務(wù)的設(shè)計(jì)師、工程師、研發(fā)人員和制造商等主體，否則當(dāng)設(shè)備、產(chǎn)品或服務(wù)已經(jīng)開發(fā)或部署完畢之后再來(lái)融合數(shù)據(jù)保護(hù)方案將面臨困難。因此，在我國(guó)未來(lái)的立法中，應(yīng)當(dāng)盡可能地?cái)U(kuò)大“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的適用范圍，而不能僅僅局限于數(shù)據(jù)控制者和處理者，應(yīng)包括產(chǎn)品或服務(wù)的全流程人員。

(2)技術(shù)標(biāo)準(zhǔn)指引：制定“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”技術(shù)標(biāo)準(zhǔn)

從技術(shù)的角度看，“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”是一種計(jì)算機(jī)科學(xué)概念，其涵蓋了應(yīng)用程序的“三部曲”，即信息技術(shù)、商業(yè)實(shí)踐、物理設(shè)計(jì)與網(wǎng)絡(luò)基礎(chǔ)設(shè)施?！巴ㄟ^(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”法制化雖然滿足了個(gè)人信息保護(hù)中的社會(huì)期待、法律規(guī)定和倫理要求，但要在設(shè)計(jì)中實(shí)現(xiàn)數(shù)據(jù)保護(hù)要求卻是一個(gè)難題。如前所述，“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”也包含一系列個(gè)人數(shù)據(jù)保護(hù)原則，這些原則需要在系統(tǒng)開發(fā)伊始就應(yīng)用，以減輕數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)并實(shí)現(xiàn)個(gè)人數(shù)據(jù)保護(hù)合規(guī)性。然而，這些原則仍然過(guò)于抽象，將它們應(yīng)用于工程系統(tǒng)時(shí)存在諸多不確定性。為了讓“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”發(fā)揮實(shí)效，目前比較通行的做法是制定技術(shù)標(biāo)準(zhǔn)或操作指南，即“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”標(biāo)準(zhǔn)化。例如，國(guó)際標(biāo)準(zhǔn)化組織已于2018年開始制定《ISO/PC 317消費(fèi)者保護(hù)：消費(fèi)品和服務(wù)中的通過(guò)設(shè)計(jì)保護(hù)隱私》。歐洲數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)于2018年5月制定了《關(guān)于通過(guò)設(shè)計(jì)保護(hù)隱私的初步意見(jiàn)(第5/2018號(hào))》，對(duì)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的適用進(jìn)行了分析，并提出了相應(yīng)的建議。美國(guó)于2014年制定了《面向軟件工程師的OASIS“通過(guò)設(shè)計(jì)保護(hù)隱私”文檔》(OASIS Privacy by Design Documentation for Software Engineers)，作為在軟件工程環(huán)境中執(zhí)行“通過(guò)設(shè)計(jì)保護(hù)隱私”的規(guī)范。

本文認(rèn)為，我國(guó)除了需要將“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”予以法制化外，還應(yīng)當(dāng)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)參照國(guó)際標(biāo)準(zhǔn)，制定《信息安全技術(shù) 通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)標(biāo)準(zhǔn)指南》，將“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的基本原則轉(zhuǎn)換為系統(tǒng)(軟件)工程任務(wù)中的一致性(Conformance)要求，并指引研發(fā)人員產(chǎn)生工件(Produce Artifacts)，作為遵守“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的證據(jù)。技術(shù)標(biāo)準(zhǔn)應(yīng)當(dāng)包括“場(chǎng)景與基本原理”“目標(biāo)”“適用對(duì)象”“術(shù)語(yǔ)界定”“最佳實(shí)踐”等內(nèi)容，在制定技術(shù)標(biāo)準(zhǔn)的過(guò)程中，應(yīng)當(dāng)廣泛征求技術(shù)專家、研發(fā)人員、數(shù)據(jù)保護(hù)法專家、社會(huì)公眾的意見(jiàn)。

(3)企業(yè)自我規(guī)制：強(qiáng)化“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的實(shí)施

“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的法制化和標(biāo)準(zhǔn)化基本確立了相應(yīng)的法律要求與技術(shù)要求，如何將這些要求嵌入系統(tǒng)設(shè)計(jì)中就成為執(zhí)行層面需要解決的問(wèn)題。企業(yè)作為最重要的受規(guī)制者之一，應(yīng)當(dāng)從技術(shù)、風(fēng)險(xiǎn)、人才3個(gè)方面強(qiáng)化“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的實(shí)施。

第一，技術(shù)層面：積極開發(fā)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的技術(shù)。在確立了“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的法律地位后，首先需要解決的問(wèn)題是信息技術(shù)如何支持這一原則的應(yīng)用。從技術(shù)的角度看，“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”應(yīng)當(dāng)遵循一種較為通用的方法，這種方法可以產(chǎn)生一系列支持?jǐn)?shù)據(jù)保護(hù)的元素?！皻W盟框架計(jì)劃”就曾資助“包含隱私的軟件代理”項(xiàng)目，旨在建立一套公認(rèn)的方法，將隱私保護(hù)納入軟件設(shè)計(jì)，并解決數(shù)據(jù)保護(hù)的技術(shù)挑戰(zhàn)，該項(xiàng)目出版了《隱私和隱私增強(qiáng)技術(shù)手冊(cè)》，為“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”提供方法[11]266-267。綜合已有的研究成果，本文認(rèn)為，至少有4個(gè)方面的設(shè)計(jì)元素是大多數(shù)軟件工程師都應(yīng)當(dāng)考慮的，同時(shí)也適合考慮數(shù)據(jù)保護(hù)法律的要求：一是體系結(jié)構(gòu)設(shè)計(jì)，即系統(tǒng)組件及其屬性和關(guān)系；二是數(shù)據(jù)設(shè)計(jì)，即系統(tǒng)的數(shù)據(jù)元素及其相互關(guān)系；三是過(guò)程設(shè)計(jì)，即系統(tǒng)代碼控制系統(tǒng)中數(shù)據(jù)的處理；四是接口設(shè)計(jì)，即與其他系統(tǒng)和系統(tǒng)用戶的交互設(shè)計(jì)。

第二，風(fēng)險(xiǎn)層面：建立“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”評(píng)估制度。事實(shí)上，“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”亦是風(fēng)險(xiǎn)預(yù)防原則在個(gè)人數(shù)據(jù)保護(hù)中的應(yīng)用，目的就是將數(shù)據(jù)侵犯風(fēng)險(xiǎn)防患于未然。目前在個(gè)人數(shù)據(jù)保護(hù)中，識(shí)別風(fēng)險(xiǎn)最常用的方法就是“風(fēng)險(xiǎn)評(píng)估”。歐盟《通用數(shù)據(jù)保護(hù)條例》第35條就規(guī)定了“數(shù)據(jù)保護(hù)影響評(píng)估”，要求數(shù)據(jù)控制者應(yīng)當(dāng)在數(shù)據(jù)歸集行為可能對(duì)自然人的自由權(quán)利造成高風(fēng)險(xiǎn)時(shí)，進(jìn)行“數(shù)據(jù)保護(hù)影響評(píng)估”，而“高風(fēng)險(xiǎn)”的判斷應(yīng)當(dāng)考慮該歸集行為的性質(zhì)、范圍、內(nèi)容和目的，尤其是采用新技術(shù)時(shí)，應(yīng)特別注意高風(fēng)險(xiǎn)的存在可能。以此為參考借鑒，本文認(rèn)為，受規(guī)制企業(yè)應(yīng)當(dāng)建立“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”評(píng)估制度，包括以下主要內(nèi)容。一是目標(biāo)設(shè)定：通過(guò)了解隱私和數(shù)據(jù)保護(hù)的當(dāng)前狀態(tài)來(lái)識(shí)別和補(bǔ)救隱私風(fēng)險(xiǎn)；二是范圍和方法，利用風(fēng)險(xiǎn)記分卡技術(shù)，通過(guò)設(shè)計(jì)原則和相關(guān)的隱私控制框架，對(duì)組織的產(chǎn)品、服務(wù)、流程或系統(tǒng)的隱私問(wèn)題進(jìn)行評(píng)估；三是評(píng)估人員：應(yīng)當(dāng)由多學(xué)科專業(yè)人員組成評(píng)估團(tuán)隊(duì)，包括技術(shù)專家和隱私法專家。

第三，人才層面：加強(qiáng)人才培訓(xùn)，提升對(duì)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的認(rèn)識(shí)。缺乏數(shù)據(jù)保護(hù)意識(shí)是最核心的問(wèn)題，因此，教育必須在每個(gè)政策解決方案中發(fā)揮重要作用。為了讓開發(fā)人員對(duì)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”內(nèi)在化，受規(guī)制企業(yè)應(yīng)當(dāng)建立人才培訓(xùn)的長(zhǎng)效機(jī)制，定期邀請(qǐng)技術(shù)專家和隱私法律專家對(duì)技術(shù)人員進(jìn)行培訓(xùn)，讓他們及時(shí)了解最新的技術(shù)發(fā)展和法律要求，并將其融入設(shè)備、產(chǎn)品或服務(wù)的設(shè)計(jì)過(guò)程中。

(4)社會(huì)和市場(chǎng)刺激：建立“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”認(rèn)證制度

在元規(guī)制模式中，除了法律可以對(duì)受規(guī)制者提供外部刺激外，市場(chǎng)和社會(huì)中的利益相關(guān)者也可以激發(fā)企業(yè)自我規(guī)制。在個(gè)人數(shù)據(jù)保護(hù)中，認(rèn)證制度越來(lái)越受到政策制定者和政府規(guī)制機(jī)構(gòu)的重視。歐盟《通用數(shù)據(jù)保護(hù)條例》第42條專門規(guī)定了“認(rèn)證”，鼓勵(lì)建立數(shù)據(jù)保護(hù)認(rèn)證制度以及數(shù)據(jù)保護(hù)印章和標(biāo)識(shí)制度。根據(jù)我國(guó)《認(rèn)證認(rèn)可條例》第2條的規(guī)定，認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或標(biāo)準(zhǔn)的合格平等活動(dòng)。本文認(rèn)為，未來(lái)可以逐步建立“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”認(rèn)證制度，由一些信息技術(shù)領(lǐng)域的社會(huì)組織、高等院校、科研機(jī)構(gòu)在獲得國(guó)家認(rèn)可后對(duì)受規(guī)制者實(shí)施“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的情況進(jìn)行認(rèn)證。

建立“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”認(rèn)證制度，可以有以下益處：一是防止受規(guī)制者的品牌聲譽(yù)受損，包括財(cái)務(wù)損失或隱私侵權(quán)責(zé)任；二是培養(yǎng)消費(fèi)者的信任和信心，增加客戶粘性；三是穩(wěn)定受規(guī)制企業(yè)與業(yè)務(wù)合作伙伴的關(guān)系，從而獲得可持續(xù)的競(jìng)爭(zhēng)優(yōu)勢(shì)；四是將隱私保護(hù)合規(guī)風(fēng)險(xiǎn)降到最低，尤其是在公民權(quán)利意識(shí)日益增強(qiáng)和法律要求日益嚴(yán)格的情況下。加拿大瑞爾森大學(xué)隱私和大數(shù)據(jù)研究中心(Privacy & Big Data Institute)與德勤(Deloitte)聯(lián)合開發(fā)了“通過(guò)設(shè)計(jì)保護(hù)隱私”認(rèn)證項(xiàng)目，流程包括：申請(qǐng)、咨詢、進(jìn)行評(píng)估(發(fā)表初步意見(jiàn))、回應(yīng)評(píng)估意見(jiàn)、完成評(píng)估報(bào)告、完成認(rèn)證、提供認(rèn)證標(biāo)識(shí)。這些經(jīng)驗(yàn)值得我們認(rèn)真研究，為以后我國(guó)建立相應(yīng)的制度提供參考借鑒。

五、結(jié) 語(yǔ)

“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”已經(jīng)成為個(gè)人數(shù)據(jù)保護(hù)的一項(xiàng)重要原則，其基本理念是在創(chuàng)建設(shè)備、產(chǎn)品或服務(wù)時(shí)，將數(shù)據(jù)保護(hù)的目標(biāo)、原則、理論融入技術(shù)的設(shè)計(jì)和架構(gòu)中，從而將法律規(guī)則轉(zhuǎn)化為技術(shù)或計(jì)算機(jī)代碼。需要指出的是，本文強(qiáng)調(diào)“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的重要性，并不意味著要放棄或取代“公平信息實(shí)踐原則”，而是主張對(duì)“公平信息實(shí)踐原則”進(jìn)行新的解釋，并將“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”作為其重要補(bǔ)充。如前所述，“公平信息實(shí)踐原則”主要關(guān)注數(shù)據(jù)處理過(guò)程，而“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”則將視角擴(kuò)大技術(shù)設(shè)計(jì)過(guò)程，二者在具體內(nèi)容、方法論上均存在諸多交集。在某種程度上，“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”是“公平信息實(shí)踐原則”的發(fā)展和延伸，是實(shí)現(xiàn)“公平信息實(shí)踐原則”的重要手段。