張 濤

(中國政法大學(xué) 法學(xué)院，北京 100088)

一、問題的提出

面對大數(shù)據(jù)給個人數(shù)據(jù)保護(hù)帶來的新威脅，既有的理論和工具存在明顯的不足。公平信息實(shí)踐原則(Fair Information Practice Principles)提供了個人信息保護(hù)或信息隱私法的思想淵源[1]。美國隱私法專家保羅·施瓦茨(Paul M.Schwartz)曾指出，“公平信息實(shí)踐是現(xiàn)代信息隱私法的基石”[2]。以“公平信息實(shí)踐原則”為基礎(chǔ)，個人數(shù)據(jù)保護(hù)領(lǐng)域發(fā)展出一系列理論和工具，如“隱私自我管理”“告知—同意”“匿名化”等。如今這些理論和工具在應(yīng)對大數(shù)據(jù)背景下的個人數(shù)據(jù)保護(hù)時，卻因結(jié)構(gòu)性僵化而存在失靈或異化問題。已有研究表明，“隱私自我管理”不能為人們提供對其數(shù)據(jù)的有意義控制[3]；“告知—同意”產(chǎn)生的“全有全無”架構(gòu)導(dǎo)致了低效率和高成本之間的不平衡[4]；“匿名化”面對“再識別”和“去匿名化”的侵襲，已經(jīng)無法兌現(xiàn)“隱私保護(hù)承諾”[5]。

個人數(shù)據(jù)保護(hù)既有理論及工具的不足，促使理論界與實(shí)務(wù)界開始探討新的理論及工具，以彌補(bǔ)缺陷?！皵?shù)據(jù)保護(hù)和設(shè)計的關(guān)系”逐漸成為個人數(shù)據(jù)保護(hù)領(lǐng)域關(guān)注的重要課題，越來越多的研究者、政策制定者主張數(shù)據(jù)控制者應(yīng)當(dāng)利用代碼的獨(dú)特屬性來加強(qiáng)對個人數(shù)據(jù)的保護(hù)，這就是所謂的“通過設(shè)計保護(hù)數(shù)據(jù)”(Data Protection by Design，簡稱DPbD)，其核心主張是在設(shè)計階段而不是事后將個人數(shù)據(jù)保護(hù)嵌入到產(chǎn)品和服務(wù)中[6]?！巴ㄟ^設(shè)計保護(hù)數(shù)據(jù)”較早受到國外理論界的關(guān)注，相關(guān)的研究成果已經(jīng)汗牛充棟，并且已經(jīng)在歐盟《通用數(shù)據(jù)保護(hù)條例》第25條實(shí)現(xiàn)了法制化。與此相對應(yīng)，國內(nèi)理論界對“通過設(shè)計保護(hù)數(shù)據(jù)”的研究尚處于起步階段，相關(guān)研究成果主要側(cè)重于對“通過設(shè)計保護(hù)數(shù)據(jù)”的基本理論、技術(shù)方法等進(jìn)行介紹[7]，幾乎沒有學(xué)術(shù)文獻(xiàn)從政府規(guī)制的角度進(jìn)行探討。本文擬從政府規(guī)制的角度出發(fā)，借闡述大數(shù)據(jù)時代“公平信息實(shí)踐原則”的困境以回答“為什么要引入‘通過設(shè)計保護(hù)數(shù)據(jù)’”；在此基礎(chǔ)上，以元規(guī)制(Meta-regulation)理論為分析框架，提出建構(gòu)“通過設(shè)計保護(hù)數(shù)據(jù)”的元規(guī)制模式。

二、大數(shù)據(jù)時代“公平信息實(shí)踐原則”的困境

“公平信息實(shí)踐原則”起源于20世紀(jì)70年代，后由經(jīng)濟(jì)合作與發(fā)展組織在《隱私保護(hù)和個人數(shù)據(jù)跨境流動指南》中予以修訂，得以廣泛傳播。如今，“公平信息實(shí)踐原則”已經(jīng)成為世界上絕大多數(shù)國家個人信息保護(hù)法或信息隱私法的基礎(chǔ)[8]。由于“公平信息實(shí)踐原則”主要集中于信息的收集和使用，而不是針對任何特定的技術(shù)或產(chǎn)品，因此，其原則具有很強(qiáng)的靈活性和適應(yīng)性。

在數(shù)字市場轉(zhuǎn)型發(fā)展的幾十年里，“公平信息實(shí)踐原則”在維護(hù)公民隱私保護(hù)期待方面發(fā)揮了重要的作用。當(dāng)前我們正處在第四次工業(yè)革命的開端，面臨一場系統(tǒng)性變革，其特點(diǎn)是：同過去相比，互聯(lián)網(wǎng)變得無所不在，移動性大幅提高；傳感器體積變得更小、性能更強(qiáng)大、成本也更低；與此同時，人工智能和機(jī)器學(xué)習(xí)也開始嶄露鋒芒[9]4?？纱┐髟O(shè)備、物聯(lián)網(wǎng)、云計算、云存儲等技術(shù)快速發(fā)展，已經(jīng)完全可以做到對個人數(shù)據(jù)的全天候記錄、處理、共享和使用。大數(shù)據(jù)技術(shù)、各類算法的廣泛運(yùn)用，已經(jīng)完全有能力將我們變成“透明人”，創(chuàng)造出一個數(shù)字化的“虛擬我”，即丹尼爾·索洛夫(Daniel J.Solove)所說的“數(shù)字人”(Digital Person)[10]。在這種情況下，“公平信息實(shí)踐原則”面臨困境，主要體現(xiàn)在兩個方面：一方面是大數(shù)據(jù)時代個人數(shù)據(jù)保護(hù)面臨一些新挑戰(zhàn)；另一方面是“公平信息實(shí)踐原則”難以應(yīng)對這些挑戰(zhàn)。

1.大數(shù)據(jù)時代個人數(shù)據(jù)保護(hù)面臨新的挑戰(zhàn)

隨著個人數(shù)據(jù)的經(jīng)濟(jì)、社會價值不斷顯現(xiàn)，公、私部門均廣泛使用信息技術(shù)來收集、處理和利用個人數(shù)據(jù)，其中包括許多“隱私侵犯技術(shù)”(Privacy-invading Technologies)[11]50。研究表明，這些“隱私侵犯技術(shù)”將給個人數(shù)據(jù)保護(hù)帶來諸多挑戰(zhàn)。這些挑戰(zhàn)在數(shù)量、質(zhì)量方面均不同于傳統(tǒng)的隱私保護(hù)問題。數(shù)量上的不同是由于收集的數(shù)據(jù)量增加，數(shù)據(jù)交換和傳輸?shù)乃俣仍絹碓娇欤冶４嫫谙薏还潭?；質(zhì)量上的差異則是由于數(shù)據(jù)類型的多樣化蘊(yùn)藏了更大的分析潛力，能夠產(chǎn)生更大的洞察力[11]51-53。丹尼爾·索洛夫認(rèn)為，信息時代個人隱私侵害多半發(fā)生于信息利用的4種方式：信息收集、信息處理、信息傳播和入侵(Invasion)，而這4種利用方式，又可再詳細(xì)列出共計16種隱私侵害行為類型[12]。以此為參考借鑒，從數(shù)據(jù)生命周期來看，本文認(rèn)為，大數(shù)據(jù)時代個人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)主要體現(xiàn)在3個階段：數(shù)據(jù)收集階段、數(shù)據(jù)分析階段和數(shù)據(jù)應(yīng)用階段。

(1)數(shù)據(jù)收集階段個人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)

數(shù)據(jù)收集階段是指利用條形碼技術(shù)、射頻識別技術(shù)、感知技術(shù)、智能識別技術(shù)等技術(shù)從數(shù)據(jù)源獲取各種類型的結(jié)構(gòu)化、半結(jié)構(gòu)化及非結(jié)構(gòu)化的數(shù)據(jù)。如今，公、私部門均在利用各類技術(shù)大量收集個人數(shù)據(jù)。在數(shù)據(jù)收集階段，個人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)主要體現(xiàn)在以下兩個方面。

第一，私營部門違法違規(guī)收集個人數(shù)據(jù)。一方面，為了對用戶進(jìn)行追蹤，商業(yè)機(jī)構(gòu)投入大量的人力、物力來研發(fā)各種追蹤技術(shù)，如Cookies。Cookies引發(fā)的最大問題是在用戶完全不知情的背景下，對用戶行為進(jìn)行跟蹤、記錄，包括個人偏好、興趣愛好、購物習(xí)慣等。另一方面，隨著智能手機(jī)的大面積普及，商業(yè)機(jī)構(gòu)開發(fā)了諸多手機(jī)應(yīng)用程序(App)，在給個人提供便利的同時，也存在違法違規(guī)收集、使用信息的現(xiàn)象。例如，中國消費(fèi)者協(xié)會于2018年8月至10月對100款A(yù)pp進(jìn)行了測評，發(fā)現(xiàn)有91款A(yù)pp涉嫌過度收集個人信息[13]。

第二，公共部門不合比例收集個人數(shù)據(jù)。大數(shù)據(jù)時代的來臨，為政府社會溝通能力、科學(xué)決策能力、公共服務(wù)能力、危機(jī)預(yù)防能力的提升帶來了機(jī)遇。但與此同時，政府巨型數(shù)據(jù)庫的形成也可能對個人隱私保護(hù)造成威脅。在智慧城市建設(shè)過程中，政府部門利用物聯(lián)網(wǎng)技術(shù)來采集數(shù)據(jù)，可以實(shí)現(xiàn)物品的智能化識別、定位、跟蹤、監(jiān)控，可以將人與人之間的通信連接到人與物、物與物之間的通信[14]。在此情況下，公民的姓名、身份證號、住址、電話號碼、受教育程度、工作狀況、收入水平、健康狀況，甚至日常消費(fèi)、社會關(guān)系等信息都將被公共部門記錄下來。例如，在以“全域覆蓋、全網(wǎng)共享、全時可用、全程可控”為目標(biāo)的公共視頻監(jiān)控中，人臉識別技術(shù)、車輛識別技術(shù)、追蹤定位技術(shù)等與視頻監(jiān)控一同編織了一張“天網(wǎng)”，可能讓公民的隱私無所遁形[15]。

(2)數(shù)據(jù)分析階段個人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)

數(shù)據(jù)分析階段是指在進(jìn)行冗余數(shù)據(jù)清洗后利用數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)、可視化分析等技術(shù)對所存儲的數(shù)據(jù)進(jìn)行并行計算和實(shí)時計算等，并行計算是指同時使用多個計算資源完成運(yùn)算，實(shí)時運(yùn)算則是對數(shù)據(jù)流進(jìn)行實(shí)時處理[16]。在數(shù)據(jù)分析階段，個人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)主要體現(xiàn)在以下兩個方面。

第一，數(shù)據(jù)聚合建構(gòu)完整的“數(shù)字人”。隨著科技的發(fā)展，個人留下的數(shù)字足跡越來越多，這種數(shù)據(jù)具有累積性和關(guān)聯(lián)性，盡管單個數(shù)據(jù)可能不會暴露用戶的個人隱私，但隨著數(shù)字足跡增多，關(guān)聯(lián)性會逐步增強(qiáng)，即使有意識隱藏的行為也會在數(shù)據(jù)分析下被暴露出來。例如，美國數(shù)據(jù)代理商安客誠公司(Acxiom)已經(jīng)在全球范圍內(nèi)收集了數(shù)億名消費(fèi)者的相關(guān)數(shù)據(jù)，該公司宣稱，他們通過官方檔案、購物數(shù)據(jù)、網(wǎng)上瀏覽習(xí)慣等渠道，為每名消費(fèi)者挑選了數(shù)千個行為信號，即“屬性”[17]268。

第二，身份識別將“數(shù)字人”與特定個人相聯(lián)系?？勺R別性作為個人信息的基本特征,以識別目標(biāo)為基礎(chǔ),可劃分為身份識別和行為識別[18]。所謂的“識別”是指將信息與個人聯(lián)系起來,它可以讓數(shù)據(jù)控制者或處理者去進(jìn)行身份驗(yàn)證，即訪問某一數(shù)字記錄的人確實(shí)是賬戶的所有者或該記錄指向的主體。例如，在公共視頻監(jiān)控中，前端的人臉識別攝像頭可以將實(shí)時采集的人像數(shù)據(jù)進(jìn)行特征提取，然后與參考人臉數(shù)據(jù)庫進(jìn)行特征匹配，最后對數(shù)據(jù)主體的身份進(jìn)行識別或驗(yàn)證。在此情況下，通過數(shù)據(jù)“聚合”建構(gòu)的“數(shù)字人”就能通過“識別”與現(xiàn)實(shí)中的特定個人直接聯(lián)系起來。這就意味著個人在線上和線下的身份將不再相互分離，幾乎所有行為都會被獲取、分析并分類歸入網(wǎng)上的各個區(qū)域。

(3)數(shù)據(jù)應(yīng)用階段個人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)

數(shù)據(jù)應(yīng)用階段是指將數(shù)據(jù)分析結(jié)果運(yùn)用到?jīng)Q策中，以使數(shù)據(jù)價值得以充分發(fā)揮。在大數(shù)據(jù)主義看來，所有決策都應(yīng)當(dāng)逐漸摒棄經(jīng)驗(yàn)與直覺，并加大對數(shù)據(jù)與分析的倚重[17]93-94。在數(shù)據(jù)應(yīng)用階段，個人數(shù)據(jù)保護(hù)面臨的挑戰(zhàn)主要體現(xiàn)在以下兩個方面。

第一，信息共享增加隱私披露的風(fēng)險。在利用數(shù)據(jù)分析結(jié)果進(jìn)行決策的過程中，使用者可能進(jìn)行信息交換、共享，甚至是信息交易，導(dǎo)致個人真實(shí)信息披露的風(fēng)險也隨之增加。以手機(jī)App關(guān)聯(lián)方信息共享為例，關(guān)聯(lián)方之間普遍存在超范圍共享信息，而個人對信息流動范圍又缺乏控制，這可能增加隱私的風(fēng)險范圍、提高隱私的獲取深度、弱化義務(wù)主體的法律責(zé)任[19]。

第二，信息不合目的地進(jìn)行二次使用。如前所述，信息共享除了可能增加隱私披露的風(fēng)險以外，還可能導(dǎo)致個人信息被不合目的地使用。換言之，作為信息的繼受者可能突破該信息的原始使用目的，用于其他目的。丹尼爾·索洛夫認(rèn)為，不合目的地使用信息，可能對個人自由和自我發(fā)展造成不利影響，原因在于這些信息可能重新塑造和定義個人的公共角色和公共形象，而這將完全不受個人控制[12]。

2.“公平信息實(shí)踐原則”難以應(yīng)對數(shù)據(jù)保護(hù)挑戰(zhàn)

“公平信息實(shí)踐原則”主要包括如下子原則：采集限制原則、數(shù)據(jù)質(zhì)量原則、目的說明原則、限制使用原則、安全性原則、個人參與原則、責(zé)任擔(dān)當(dāng)原則。由于這些保護(hù)數(shù)據(jù)的方法和原理是建立在當(dāng)時的科技背景之下，因此很有必要重新檢視這些原則在大數(shù)據(jù)時代是否存在實(shí)施障礙和困難。事實(shí)上，對“公平信息實(shí)踐原則”進(jìn)行批判和質(zhì)疑并非新鮮事。早在該原則提出之初，美國學(xué)者詹姆斯·魯爾(James Rule)等人就批判“公平信息實(shí)踐原則”未能有效地限制監(jiān)控系統(tǒng)。他們將“公平信息實(shí)踐原則”歸類為“效率”原則，其目的是最大限度地消除數(shù)據(jù)控制者與數(shù)據(jù)主體之間的沖突，而不是實(shí)質(zhì)性地限制數(shù)據(jù)收集，使其違背數(shù)據(jù)控制者的利益[8]。

此外，還有一些學(xué)者對以“公平信息實(shí)踐原則”為基礎(chǔ)而形成的一些理論和工具進(jìn)行了批判。丹尼爾·索洛夫認(rèn)為，“隱私自我管理”根源于“公平信息實(shí)踐原則”，并且被廣泛認(rèn)可和接受。然而，“隱私自我管理”卻存在諸多不足，主要體現(xiàn)在兩個方面：一是認(rèn)知問題，主要涉及人類決策方式帶來的挑戰(zhàn)；二是結(jié)構(gòu)問題，主要涉及隱私?jīng)Q策如何設(shè)計帶來的挑戰(zhàn)。這些問題共同表明，僅憑該理論尚不足以構(gòu)成有效隱私規(guī)制框架的基石[3]。美國學(xué)者弗雷德·凱特(Fred Cate)認(rèn)為，以“公共信息實(shí)踐原則”為基礎(chǔ)建構(gòu)的隱私保護(hù)框架之核心是“控制”，實(shí)踐證明，基于控制的數(shù)據(jù)保護(hù)制度難以發(fā)揮作用，隱私并沒有得到更好的保護(hù)，相反，紛至沓來的“告知”可能只會給人帶來一種隱私增強(qiáng)的錯覺，但實(shí)際卻大相徑庭[20]。

在實(shí)踐中，“告知—同意”是實(shí)施“公平信息實(shí)踐原則”的重要工具，目前已經(jīng)深深地植根于現(xiàn)有制度和商業(yè)實(shí)踐中。信息隱私權(quán)的核心就是由個人決定自己信息的收集和使用，“告知—同意”正是為了增強(qiáng)個人對信息的控制能力，其背后的正當(dāng)性基礎(chǔ)是“個人信息自決權(quán)”。所謂“告知”就是條款陳述，通常體現(xiàn)為“隱私政策”；“同意”則是表示接受條款的行為，通常表現(xiàn)為“使用網(wǎng)站”或單擊“我同意”按鈕。“告知—同意”在運(yùn)行時，通常有兩條隱含的假設(shè)作為論據(jù)：一是當(dāng)“告知—同意”充分執(zhí)行時，可以確保用戶能夠在知情的情況下，自由地決定同意數(shù)據(jù)控制者收集、使用數(shù)據(jù)；二是個人“同意”的決定是個人隱私和數(shù)據(jù)控制者利益之間達(dá)成可接受平衡的結(jié)果。換言之，只要“告知”充分地描述了企業(yè)的行為，閱讀并理解它的用戶就能對這些行為有足夠的認(rèn)識。

然而，“告知—同意”在實(shí)際運(yùn)行時，卻面臨如下困境。一是未形成有效的“告知”。很多網(wǎng)站或應(yīng)用程序的隱私政策和文件冗長而繁瑣，表述拗口難懂，同時，在冗長繁瑣的隱私條款中，不公平的“霸王條款”往往隱含在字里行間。二是難以形成有效的“同意”。一方面，用戶很難有耐心閱讀冗長復(fù)雜的隱私條款，即使閱讀完，也可能難以理解其真實(shí)含義，難以對企業(yè)的行為作出符合“成本—效益”的判斷；另一方面，目前大部分隱私政策均是點(diǎn)擊合同，若用戶不點(diǎn)擊“同意”，則無法進(jìn)行下一環(huán)節(jié)的注冊或獲得相關(guān)服務(wù)，用戶由于對相關(guān)服務(wù)的依賴性而被動選擇?！案嬷狻碑惢慕Y(jié)果是，掌握數(shù)據(jù)的企業(yè)機(jī)構(gòu)在個人信息保護(hù)方面責(zé)任淡化，只要得到了“本人同意”，數(shù)據(jù)怎么處理使用都可以，這種不平衡的個人信息保護(hù)架構(gòu)實(shí)際上架空了個人信息保護(hù)體系[4]。

三、作為數(shù)據(jù)保護(hù)新原則的“通過設(shè)計保護(hù)數(shù)據(jù)”

大數(shù)據(jù)時代，個人數(shù)據(jù)保護(hù)面臨新的挑戰(zhàn)，而既有的“公平信息實(shí)踐原則”存在明顯的不足，個人對其數(shù)據(jù)的有效控制能力大大降低。為了切實(shí)保護(hù)個人數(shù)據(jù)權(quán)利，同時又促進(jìn)數(shù)據(jù)流動，數(shù)據(jù)保護(hù)領(lǐng)域開始探索一些新的理論和工具來彌補(bǔ)既有數(shù)據(jù)保護(hù)框架之不足，最具代表性的便是“通過設(shè)計保護(hù)數(shù)據(jù)”。

1.“通過設(shè)計保護(hù)數(shù)據(jù)”的內(nèi)涵界定

就“通過設(shè)計保護(hù)數(shù)據(jù)”這一術(shù)語而言，有兩個核心概念：設(shè)計和(個人)數(shù)據(jù)。為了更為準(zhǔn)確地把握“通過設(shè)計保護(hù)數(shù)據(jù)”的內(nèi)涵，有必要對與之相關(guān)的一些基礎(chǔ)性概念進(jìn)行闡述。

(1)何為“個人數(shù)據(jù)”

數(shù)據(jù)保護(hù)的實(shí)質(zhì)范圍取決于所處理的個人數(shù)據(jù)，在我國法制語境中，主要使用“個人信息”這一術(shù)語。本文認(rèn)為，在個人數(shù)據(jù)保護(hù)的語境下，個人信息與個人數(shù)據(jù)之間并無本質(zhì)區(qū)別，這也是諸多國際性文件將二者混用的原因。有關(guān)個人數(shù)據(jù)的定義，國內(nèi)外立法基本上均以“可識別性”作為核心要素[18]。我國《個人信息保護(hù)法草案(征求意見稿)》第4條第1款將個人信息界定為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息”。歐盟《通用數(shù)據(jù)保護(hù)條例》第4條第1款將“個人數(shù)據(jù)”界定為“與已識別或可識別的自然人相關(guān)的任何信息”。

分析上述定義，我們可以將個人數(shù)據(jù)分解為4個要素：第一個要素是“任何信息”或“各種信息”，這表明不管數(shù)據(jù)的內(nèi)容或格式如何，都涵蓋了廣泛的(數(shù)字)數(shù)據(jù)類別；第二個要素是“自然人”，該要素強(qiáng)調(diào)了數(shù)據(jù)保護(hù)的個人性質(zhì)，并將某些類型的數(shù)據(jù)排除在外，如僅與公司或已故人士有關(guān)的數(shù)據(jù)；第三個要素是“有關(guān)”或“相關(guān)”，當(dāng)數(shù)據(jù)是關(guān)于某個個體的數(shù)據(jù)，就可以認(rèn)為該數(shù)據(jù)與該個體是相關(guān)的，而該個體可能是以內(nèi)容、目的或結(jié)果等形式呈現(xiàn)；第四個要素是“可識別性”，即可以通過姓名、網(wǎng)絡(luò)標(biāo)識符、身份證號碼等因素識別特定個人。

(2)何為“設(shè)計”

在不同的語境中，“設(shè)計”具有不同的含義。王受之將“設(shè)計”界定為“把一種設(shè)計、規(guī)劃、設(shè)想、問題解決的方法，通過視覺的方式傳達(dá)出來的活動過程”[21]。事實(shí)上，設(shè)計的含義和作用對不同的公司、不同的產(chǎn)業(yè)、不同的國家和不同的時代而言都是不一樣的，這取決于待做工程的規(guī)模、技術(shù)的復(fù)雜程度、法律的規(guī)制和政治的敏感程度。在不同的環(huán)境中，設(shè)計的稱謂也各不相同，造型、工程、策劃、藝術(shù)指導(dǎo)、公司戰(zhàn)略，這些在某種程度上都可以是設(shè)計[22]16。在與個人數(shù)據(jù)相關(guān)的技術(shù)工程領(lǐng)域，“設(shè)計”通常是指一個系統(tǒng)是如何架構(gòu)的、如何運(yùn)行的、如何通信的，以及該體系架構(gòu)、功能和交流是如何對人產(chǎn)生影響的[23]12。

(3)何為“通過設(shè)計保護(hù)數(shù)據(jù)”

“通過設(shè)計保護(hù)數(shù)據(jù)”作為一個法律術(shù)語，主要來自歐盟《通用數(shù)據(jù)保護(hù)條例》第25條，它與“通過默認(rèn)保護(hù)數(shù)據(jù)”(Data Protection by Default)是兩個相輔相成的概念。如果“通過設(shè)計保護(hù)數(shù)據(jù)”得到徹底實(shí)施，那么數(shù)據(jù)主體也將從“通過默認(rèn)保護(hù)數(shù)據(jù)”中獲得更多益處。根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》第25條第1款的規(guī)定[24]，“通過設(shè)計保護(hù)數(shù)據(jù)”大致具有以下幾層含義。

首先，數(shù)據(jù)控制者有義務(wù)在數(shù)據(jù)處理過程中采取適當(dāng)?shù)募夹g(shù)性和組織性措施以及必要的保障措施(Safeguards)。從廣義上講，“技術(shù)性和組織性措施以及必要的保障措施”可以理解為數(shù)據(jù)控制者在處理過程中可能采用的任何方法或手段，從采用先進(jìn)的技術(shù)解決方案到人員的基本培訓(xùn)。根據(jù)數(shù)據(jù)處理的不同場景和風(fēng)險，這些措施主要包括：個人數(shù)據(jù)的假名化(Pseudonymization)；以結(jié)構(gòu)化的、機(jī)器可讀的格式存儲個人數(shù)據(jù)；使數(shù)據(jù)主體參與數(shù)據(jù)處理；提供關(guān)于個人數(shù)據(jù)存儲的信息；安裝惡意軟件檢測系統(tǒng)；對員工進(jìn)行基本的“網(wǎng)絡(luò)安全”培訓(xùn)等?！斑m當(dāng)?shù)摹币馕吨鲜龃胧?yīng)適合于實(shí)現(xiàn)預(yù)期目的，即它們必須有效地實(shí)施個人數(shù)據(jù)保護(hù)原則。

其次，設(shè)計應(yīng)當(dāng)能夠有效實(shí)施數(shù)據(jù)保護(hù)原則，保護(hù)數(shù)據(jù)主體的權(quán)利和自由?！坝行浴?Effectiveness)是通過設(shè)計保護(hù)數(shù)據(jù)概念的核心，它意味著數(shù)據(jù)控制者必須實(shí)施必要的措施來保護(hù)數(shù)據(jù)基本原則，以確保數(shù)據(jù)主體的權(quán)利，每項(xiàng)實(shí)施的措施都應(yīng)產(chǎn)生數(shù)據(jù)控制者所預(yù)見的處理的預(yù)期結(jié)果。具體而言，主要包括兩個方面：一方面，這意味著《通用數(shù)據(jù)保護(hù)條例》第25條并不要求實(shí)施任何具體的技術(shù)性和組織性措施，而是說所選擇的措施和保障措施應(yīng)當(dāng)具體到將數(shù)據(jù)保護(hù)原則落實(shí)到有關(guān)的具體處理中；另一方面，數(shù)據(jù)控制者應(yīng)當(dāng)能夠證明數(shù)據(jù)保護(hù)原則得到了維護(hù)。

再次，設(shè)計過程必須考慮一系列因素，這些因素要有助于確定某項(xiàng)措施是否適合有效實(shí)施數(shù)據(jù)保護(hù)原則。這意味著因素本身并不是目標(biāo)，而是為達(dá)到目標(biāo)需要綜合考慮的。具體而言，主要包括以下因素。一是“技術(shù)發(fā)展最新水平”(State of the Art)，這意味著數(shù)據(jù)控制者在確定適當(dāng)?shù)募夹g(shù)性和組織性措施時，應(yīng)當(dāng)考慮市場上現(xiàn)有的先進(jìn)技術(shù)。二是“實(shí)施成本”，這意味著數(shù)據(jù)控制者可以選擇時間、人力資源花費(fèi)較小的措施來實(shí)施數(shù)據(jù)保護(hù)原則，但這并不是數(shù)據(jù)控制者不實(shí)施數(shù)據(jù)保護(hù)原則的理由。三是“處理的性質(zhì)、范圍、場景和目的”，其中，“性質(zhì)”是指處理的內(nèi)在特征，“范圍”是指處理的規(guī)模和幅度，“場景”是指處理的環(huán)境，可能影響數(shù)據(jù)主體的期望，而“目的”則是指處理的目標(biāo)。四是“處理給自然人的權(quán)利和自由帶來不同程度的風(fēng)險”，數(shù)據(jù)控制者必須識別違反數(shù)據(jù)保護(hù)原則給數(shù)據(jù)主體權(quán)利帶來的風(fēng)險，并確定其可能性和嚴(yán)重性，以便采取措施有效降低識別的風(fēng)險。

最后，設(shè)計過程必須符合一定的時間要求。具體而言，其包括兩個方面的內(nèi)容。一是設(shè)計必須在“確定處理手段期間”著手，即數(shù)據(jù)控制者決定如何進(jìn)行處理、處理的方式以及進(jìn)行處理的機(jī)制的這段時間。二是設(shè)計必須貫穿于整個“實(shí)施處理階段”，即設(shè)計一旦處理開始，數(shù)據(jù)控制者就必須保持最新的技術(shù)水平，評估數(shù)據(jù)保護(hù)風(fēng)險，有效地實(shí)施數(shù)據(jù)保護(hù)原則，以保護(hù)數(shù)據(jù)主體權(quán)利。

2.“通過設(shè)計保護(hù)數(shù)據(jù)”的理論淵源

“通過設(shè)計保護(hù)數(shù)據(jù)”并非無源之水，它的提出和發(fā)展是對已有理論、原則的繼承、完善和創(chuàng)新?！巴ㄟ^設(shè)計保護(hù)數(shù)據(jù)”的理論淵源主要包括“通過設(shè)計保護(hù)隱私”(Privacy by Design)和“代碼即法律”(Code as Law)。

(1)“通過設(shè)計保護(hù)隱私”

“通過設(shè)計保護(hù)隱私”最早是由加拿大安大略省前信息和隱私專員安·卡沃基安(Ann Cavoukian)于20世紀(jì)90年代提出的，隨后迅速引起國際社會的廣泛關(guān)注。荷蘭學(xué)者德米特里斯·克里特(Demetrius Klitou)認(rèn)為，“通過設(shè)計保護(hù)隱私”是指通過設(shè)備、系統(tǒng)、技術(shù)或服務(wù)的物理設(shè)計、技術(shù)指標(biāo)、體系結(jié)構(gòu)、計算機(jī)代碼的適用，來實(shí)現(xiàn)隱私原則及其相關(guān)規(guī)則的價值[11]262。根據(jù)安·卡沃基安的總結(jié)，“通過設(shè)計保護(hù)隱私”主要包括七項(xiàng)基本原則：一是化被動為主動，防患于未然；二是把隱私作為默認(rèn)機(jī)制；三是將隱私融入設(shè)計之中；四是全功能，即正和而非零和；五是端到端安全，即全生命周期保護(hù)；六是可見性和透明度，即保持開放；七是尊重用戶隱私，即以用戶為中心[7]?！巴ㄟ^設(shè)計保護(hù)隱私”鼓勵管理人員或設(shè)計人員在設(shè)計過程的最前端考慮信息隱私保護(hù)利益，而不是在開發(fā)生命周期的后期進(jìn)行漏洞修補(bǔ)。鑒于當(dāng)今科技發(fā)展日新月異，及早考慮隱私(數(shù)據(jù))保護(hù)的特殊要求是很重要的，因?yàn)樾碌目萍枷到y(tǒng)具有滯后性且往往含有隱藏的危險，而這些隱藏的危險在基礎(chǔ)設(shè)計完成后將是很難克服的。

(2)“代碼即法律”

在網(wǎng)絡(luò)環(huán)境中，立法機(jī)關(guān)、政府規(guī)制機(jī)構(gòu)并非規(guī)則制定的唯一來源。美國學(xué)者喬爾·雷登伯格(Joel R.Reidenberg)認(rèn)為，個人數(shù)據(jù)保護(hù)是由政治模式、經(jīng)濟(jì)模式和技術(shù)模式共同完成的，其中，政治模式采用法律，經(jīng)濟(jì)模式采用市場規(guī)范或自我規(guī)制，而信息法模式(Lex informatica)則采用技術(shù)或技術(shù)協(xié)議[25]。美國學(xué)者勞倫斯·萊斯格(Lawrence Lessig)也持類似的觀點(diǎn)，他認(rèn)為，科技規(guī)制主要由法律、規(guī)范、市場和物理架構(gòu)這4種相互作用、相互補(bǔ)充的機(jī)制共同完成，其中法律扮演著非常重要的角色[26]123-130。然而，在由硬件和軟件構(gòu)成的網(wǎng)絡(luò)空間中，法律政策若沒有技術(shù)進(jìn)行回應(yīng)，將難以發(fā)揮實(shí)效，計算機(jī)代碼作為物理架構(gòu)的一種形式，可以像法律準(zhǔn)則(Legal Code)一樣對人的行為進(jìn)行規(guī)制，它就是網(wǎng)絡(luò)空間中的“法律”，這就是所謂的“代碼即法律”[26]5。在個人數(shù)據(jù)保護(hù)中，已有的立法忽視了“代碼即法律”對數(shù)據(jù)保護(hù)的影響，技術(shù)通常會使侵犯信息隱私的行為變得更容易，但技術(shù)卻很少被納入數(shù)據(jù)保護(hù)法律規(guī)范中。因此，可以通過計算機(jī)代碼或軟件對網(wǎng)絡(luò)空間進(jìn)行規(guī)制，從而增強(qiáng)個人的數(shù)據(jù)控制能力。

3.“通過設(shè)計保護(hù)數(shù)據(jù)”的邏輯證成

“公平信息實(shí)踐原則”的不足為“通過設(shè)計保護(hù)數(shù)據(jù)”的提出，提供了外部動因；而“通過設(shè)計保護(hù)數(shù)據(jù)”和“代碼即法律”則為“通過設(shè)計保護(hù)隱私”提供了理論支持。除此之外，“通過設(shè)計保護(hù)數(shù)據(jù)”的發(fā)展還有賴于其自身的邏輯自洽性。

(1)與隱私保護(hù)相關(guān)的設(shè)計無處不在

如前所述，從廣義上看，設(shè)計是分析事物、視覺化實(shí)現(xiàn)、計劃以及執(zhí)行的過程，個人的感受、行為、視角都在潛移默化中被設(shè)計所左右[22]3-4。在日常生活中，各種各樣的設(shè)計都在影響我們對隱私的看法[23]23-25。在現(xiàn)實(shí)世界中，小到門窗、墻壁的設(shè)計，大到街道、房屋的設(shè)計，以及其他無數(shù)的設(shè)計特征塑造了我們對隱私的認(rèn)知，最典型的便是基于“結(jié)構(gòu)性保護(hù)”而創(chuàng)造的“隱私合理期待”。在以網(wǎng)絡(luò)為媒介的環(huán)境中，設(shè)計對我們的隱私同樣重要。個人使用的各類瀏覽器、移動應(yīng)用程序、社交媒體、視頻網(wǎng)站等，都是我們發(fā)現(xiàn)信息、消費(fèi)信息，并與他人進(jìn)行交流的媒介；個人不曾使用的車輛識別技術(shù)、人臉識別技術(shù)等監(jiān)控技術(shù)也廣泛融入我們的生活。這些數(shù)字技術(shù)的設(shè)計不僅改變了我們的視界，也悄悄改變了我們對隱私的態(tài)度。

(2)設(shè)計作為一種技術(shù)權(quán)力

在許多關(guān)于設(shè)計和信息隱私的關(guān)系的討論中，“圓形監(jiān)獄”常常成為重要的隱喻和支撐理論。米歇爾·福柯曾指出，在當(dāng)代社會，專業(yè)知識、監(jiān)控技術(shù)日益與社會管理權(quán)力相結(jié)合，被濫用是非常危險的[27]。一些觀點(diǎn)從更為廣泛的視角進(jìn)行討論，提出了所謂的“技術(shù)權(quán)力”，認(rèn)為“權(quán)力”體現(xiàn)在技術(shù)的設(shè)計、使用中，故而“技術(shù)權(quán)力”既體現(xiàn)為政治結(jié)構(gòu)的支配性力量，也包含更寬泛意義上的認(rèn)知方式與行動力量[28]。另外一些觀點(diǎn)則從微觀視角出發(fā)對“算法權(quán)力”展開研究，認(rèn)為算法權(quán)力作為技術(shù)權(quán)力之一，包含了算法本身的權(quán)力和附屬于算法的數(shù)據(jù)的權(quán)力[29]。

本文借鑒伍德羅·哈佐格(Woodrow Hartzog)教授的分析框架[23]34-43，采取一種更具綜合性的微觀視角對設(shè)計與權(quán)力的關(guān)系進(jìn)行探討，認(rèn)為設(shè)計屬于權(quán)力的一種形式，更具體而言，可視為技術(shù)權(quán)力之一。《布萊克維爾政治學(xué)百科全書》曾將“權(quán)力”定義為“一個行為者或機(jī)構(gòu)影響其他行為者或機(jī)構(gòu)的態(tài)度和行為的能力”[30]。設(shè)計有很多功能，規(guī)范我們的行為就是其中之一。設(shè)計可以指導(dǎo)我們，讓我們有能力去操作一臺難以理解的數(shù)碼產(chǎn)品；設(shè)計還可以幫助我們，使我們遠(yuǎn)離危險。此外，設(shè)計還能對我們的體驗(yàn)產(chǎn)生影響，以至于產(chǎn)品設(shè)計的質(zhì)量決定了我們是享受快樂和成功，還是承受痛苦和失敗[22]87?？紤]到設(shè)計對個人感知、行為和價值觀的影響，從這個意義上可以說，設(shè)計是一種權(quán)力[23]34。這意味著，我們可以對設(shè)計進(jìn)行?？乱饬x上的“規(guī)訓(xùn)”，可以將某種秩序、某種價值“內(nèi)置于”設(shè)計中。

四、元規(guī)制模式下“通過設(shè)計保護(hù)數(shù)據(jù)”的完善路徑

“通過設(shè)計保護(hù)數(shù)據(jù)”既具備外部動因，又具備理論支撐和邏輯自洽性。然而，與所有數(shù)據(jù)保護(hù)理論相同，“通過設(shè)計保護(hù)數(shù)據(jù)”并不會自動實(shí)現(xiàn)，需要一套機(jī)制或制度確保它的實(shí)施。從規(guī)制理論的角度看，“當(dāng)規(guī)制問題過于復(fù)雜，或某個行業(yè)存在異質(zhì)性，或處于動態(tài)演進(jìn)之中時，更適合去選用自我規(guī)制與元規(guī)制”[31]169。大數(shù)據(jù)時代，信息科技發(fā)展日新月異，數(shù)字經(jīng)濟(jì)行業(yè)處于不斷變化之中，數(shù)據(jù)保護(hù)需要采取一種“激勵相容”的規(guī)制機(jī)制，考慮元規(guī)制模式，或許將有助益。

1.元規(guī)制的界定及基本原理

在規(guī)制研究中，明確使用“元規(guī)制”這一術(shù)語至少可以追溯到1983年。美國學(xué)者邁克爾·里根(Michael D.Reagan)將規(guī)制活動的成本收益分析界定為“一種規(guī)制的元規(guī)制”[32]，這意味著元規(guī)制是對規(guī)制機(jī)構(gòu)的一種績效監(jiān)督。隨后，其他一些學(xué)者從更為廣泛的視角對“元規(guī)制”進(jìn)行解釋。澳大利亞學(xué)者克里斯汀·帕克(Christine Parker)將“元規(guī)制”視為“對規(guī)制者的規(guī)制”，而這些規(guī)制者包括“公共機(jī)構(gòu)、私營企業(yè)自我規(guī)制機(jī)構(gòu)或第三方看門人”[33]15。以色列學(xué)者莎倫·吉拉德(Sharon Gilad)認(rèn)為，若將規(guī)制體系分為“結(jié)果導(dǎo)向的規(guī)制”和“過程導(dǎo)向的規(guī)制”，那么“元規(guī)制”就是一種動態(tài)的、以過程為導(dǎo)向的規(guī)制模式，它要求受規(guī)制者不僅要識別風(fēng)險和設(shè)計內(nèi)部控制系統(tǒng)，而且還要持續(xù)評估該內(nèi)部系統(tǒng)的有效性，并根據(jù)評估結(jié)果逐步改進(jìn)，這就是所謂的“雙循環(huán)學(xué)習(xí)”(Double-loop Learning)[34]。

簡而言之，元規(guī)制并非以規(guī)定性的方式進(jìn)行規(guī)制，而是努力通過法律來刺激企業(yè)的內(nèi)部自組織模式，以鼓勵企業(yè)對其自身規(guī)制績效進(jìn)行自我批判式的反思。通過此種規(guī)制方式，元規(guī)制可以實(shí)現(xiàn)“強(qiáng)制企業(yè)對它們自己的自我規(guī)制策略進(jìn)行評估并報告，以便規(guī)制機(jī)構(gòu)能夠確定，是否正在實(shí)現(xiàn)規(guī)制的最終目標(biāo)”[33]246。元規(guī)制的核心思想是讓那些制造問題的主體將社會價值內(nèi)部化，并主動調(diào)整其行為來消除這些問題。與傳統(tǒng)“命令-控制型規(guī)制”相比，元規(guī)制將如何規(guī)制的裁量權(quán)從規(guī)制者轉(zhuǎn)移給規(guī)制對象，希望利用規(guī)制對象的信息優(yōu)勢，讓規(guī)制對象承擔(dān)起規(guī)制自身的任務(wù)。元規(guī)制背后的深刻認(rèn)識是“在任何社會秩序中，自我控制都是一種必備的要素，因?yàn)闊o法針對每一種可想象到的危害來制定規(guī)則，檢查人員也不可能時刻對每一個人進(jìn)行監(jiān)督”[31]183。

2.建構(gòu)“通過設(shè)計保護(hù)數(shù)據(jù)”的元規(guī)制模式

“通過設(shè)計保護(hù)數(shù)據(jù)”的關(guān)鍵是在技術(shù)設(shè)計中考慮個人數(shù)據(jù)保護(hù)，帶有很強(qiáng)的技術(shù)性。目前，我國信息技術(shù)的發(fā)展充滿不確定性，數(shù)據(jù)規(guī)制產(chǎn)業(yè)亦存在異質(zhì)性,科技巨頭與中小企業(yè)并存，而規(guī)制者對此存在明顯的信息劣勢。因此，采用元規(guī)制模式，通過外部規(guī)制者的激勵，促使規(guī)制對象本身對信息隱私保護(hù)問題作出內(nèi)部式、自我規(guī)制性質(zhì)的回應(yīng)。在元規(guī)制模式下，既要從法律層面設(shè)定目標(biāo)和原則，提供足夠的外部激勵，也要從技術(shù)標(biāo)準(zhǔn)層面提供指引，最重要的是受規(guī)制者應(yīng)當(dāng)從自身出發(fā)，完善自我規(guī)制策略，對法律規(guī)定、技術(shù)標(biāo)準(zhǔn)作出積極回應(yīng)。此外，社會和市場中的利益相關(guān)者也應(yīng)當(dāng)積極提供激勵。

(1)法律規(guī)范激勵：“通過設(shè)計保護(hù)數(shù)據(jù)”作為基本原則

元規(guī)制并未放棄法律在規(guī)制中的作用，相反，法律對于刺激受規(guī)制者作出自我規(guī)制性質(zhì)的回應(yīng)意義重大?？死锼雇　づ量酥赋觯?guī)制的第一階段便是讓組織的管理者對法律責(zé)任作出承諾，而法律可以為私營部門的自我規(guī)制設(shè)定規(guī)范性目標(biāo)，這種法律可以稱為“元規(guī)制法”(Meta-regulating Law)[33]31。美國學(xué)者艾拉·魯賓斯坦和納撒尼爾·古德對Google和Facebook的10大隱私事件進(jìn)行反事實(shí)分析。他們認(rèn)為，這些隱私事件表明“通過設(shè)計保護(hù)數(shù)據(jù)”作為一項(xiàng)保護(hù)原則非常重要，規(guī)制機(jī)構(gòu)必須采取更多行動，而不僅僅是建議采用和實(shí)施“通過設(shè)計保護(hù)數(shù)據(jù)”[35]。因此，在信息隱私保護(hù)法律中明確“通過設(shè)計保護(hù)數(shù)據(jù)”的基本原則地位是實(shí)現(xiàn)元規(guī)制的第一步。

我國尚未制定有關(guān)個人信息保護(hù)的統(tǒng)一法律，有關(guān)信息隱私保護(hù)的基本原則主要體現(xiàn)在其他法律規(guī)范中。2012年，《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》將我國公民個人電子信息保護(hù)原則確立為“合法、正當(dāng)、必要的原則”?！睹穹ǖ洹返?035條亦規(guī)定，收集、處理個人信息應(yīng)當(dāng)遵循“合法、正當(dāng)、必要原則”。結(jié)合前述規(guī)范的其他條款來看，“合法、正當(dāng)、必要原則”主要包括“自然人同意”“公開收集規(guī)則”“明示處理目的”等規(guī)則，基本上體現(xiàn)了“公平信息實(shí)踐原則”的精神實(shí)質(zhì)，關(guān)注的重點(diǎn)仍然是個人信息的處理，并未涉及技術(shù)、產(chǎn)品或服務(wù)的設(shè)計。

不過，《網(wǎng)絡(luò)安全法》中有一些條款和技術(shù)設(shè)計有關(guān)，體現(xiàn)了“價值敏感設(shè)計”理論，具體而言，是“通過設(shè)計實(shí)現(xiàn)安全”(Security by Design)。例如，《網(wǎng)絡(luò)安全法》第10條規(guī)定，“建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)……采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行……”。盡管該條主要局限于“建設(shè)、運(yùn)營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)”，且目標(biāo)在于“保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行”，但該條立法基本體現(xiàn)了“通過設(shè)計”(by Design)的精神內(nèi)核。

在國際層面，越來越多的國家(地區(qū))在其信息隱私保護(hù)法律規(guī)范中對“通過設(shè)計保護(hù)數(shù)據(jù)”予以法制化。在歐盟，1995年《數(shù)據(jù)保護(hù)指令》第17條第1款要求數(shù)據(jù)控制者“必須采取適當(dāng)?shù)募夹g(shù)性和組織性措施保護(hù)個人數(shù)據(jù)”；2018年《通用數(shù)據(jù)保護(hù)條例》第25條正式將“通過設(shè)計保護(hù)數(shù)據(jù)”確立為個人數(shù)據(jù)保護(hù)的一項(xiàng)基本原則，同時也是數(shù)據(jù)控制者和處理者的一項(xiàng)核心義務(wù)[36]。在美國，《1974隱私權(quán)法》要求政府機(jī)構(gòu)建立適當(dāng)?shù)男姓?、技術(shù)和物理保障措施，以確保記錄的安全性和保密性，防止任何預(yù)期的威脅或危害。此外，還有一些國家通過判例法來推動“通過設(shè)計保護(hù)數(shù)據(jù)”。例如，德國聯(lián)邦憲法法院在一個案例中裁定，一般人格權(quán)是保障信息技術(shù)系統(tǒng)的保密性和完整性的基本權(quán)利[11]274。

目前，我國正在起草制定《個人信息保護(hù)法》和《數(shù)據(jù)安全法》，這兩部法律的草案均已向社會公開征求意見。本文認(rèn)為，我國應(yīng)當(dāng)以歐盟《通用數(shù)據(jù)保護(hù)條例》為參考借鑒，認(rèn)真對待技術(shù)設(shè)計與個人數(shù)據(jù)保護(hù)的關(guān)系，將“通過設(shè)計保護(hù)數(shù)據(jù)”作為個人信息保護(hù)的一項(xiàng)基本原則，在未來的《個人信息保護(hù)法》和《數(shù)據(jù)安全法》中予以明確。不過值得注意的是，歐盟《通用數(shù)據(jù)保護(hù)條例》的適用對象主要是“數(shù)據(jù)控制者和處理者”，其所調(diào)控的行為依然是以數(shù)據(jù)收集、處理為核心。然而，“通過設(shè)計保護(hù)數(shù)據(jù)”的核心是將數(shù)據(jù)保護(hù)融入設(shè)備、產(chǎn)品或服務(wù)的設(shè)計中，因此其所適用的對象不僅僅包括數(shù)據(jù)控制者和處理者，還應(yīng)當(dāng)包括設(shè)備、產(chǎn)品或服務(wù)的設(shè)計師、工程師、研發(fā)人員和制造商等主體，否則當(dāng)設(shè)備、產(chǎn)品或服務(wù)已經(jīng)開發(fā)或部署完畢之后再來融合數(shù)據(jù)保護(hù)方案將面臨困難。因此，在我國未來的立法中，應(yīng)當(dāng)盡可能地擴(kuò)大“通過設(shè)計保護(hù)數(shù)據(jù)”的適用范圍，而不能僅僅局限于數(shù)據(jù)控制者和處理者，應(yīng)包括產(chǎn)品或服務(wù)的全流程人員。

(2)技術(shù)標(biāo)準(zhǔn)指引：制定“通過設(shè)計保護(hù)數(shù)據(jù)”技術(shù)標(biāo)準(zhǔn)

從技術(shù)的角度看，“通過設(shè)計保護(hù)數(shù)據(jù)”是一種計算機(jī)科學(xué)概念，其涵蓋了應(yīng)用程序的“三部曲”，即信息技術(shù)、商業(yè)實(shí)踐、物理設(shè)計與網(wǎng)絡(luò)基礎(chǔ)設(shè)施?！巴ㄟ^設(shè)計保護(hù)數(shù)據(jù)”法制化雖然滿足了個人信息保護(hù)中的社會期待、法律規(guī)定和倫理要求，但要在設(shè)計中實(shí)現(xiàn)數(shù)據(jù)保護(hù)要求卻是一個難題。如前所述，“通過設(shè)計保護(hù)數(shù)據(jù)”也包含一系列個人數(shù)據(jù)保護(hù)原則，這些原則需要在系統(tǒng)開發(fā)伊始就應(yīng)用，以減輕數(shù)據(jù)保護(hù)風(fēng)險并實(shí)現(xiàn)個人數(shù)據(jù)保護(hù)合規(guī)性。然而，這些原則仍然過于抽象，將它們應(yīng)用于工程系統(tǒng)時存在諸多不確定性。為了讓“通過設(shè)計保護(hù)數(shù)據(jù)”發(fā)揮實(shí)效，目前比較通行的做法是制定技術(shù)標(biāo)準(zhǔn)或操作指南，即“通過設(shè)計保護(hù)數(shù)據(jù)”標(biāo)準(zhǔn)化。例如，國際標(biāo)準(zhǔn)化組織已于2018年開始制定《ISO/PC 317消費(fèi)者保護(hù)：消費(fèi)品和服務(wù)中的通過設(shè)計保護(hù)隱私》。歐洲數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)于2018年5月制定了《關(guān)于通過設(shè)計保護(hù)隱私的初步意見(第5/2018號)》，對“通過設(shè)計保護(hù)數(shù)據(jù)”的適用進(jìn)行了分析，并提出了相應(yīng)的建議。美國于2014年制定了《面向軟件工程師的OASIS“通過設(shè)計保護(hù)隱私”文檔》(OASIS Privacy by Design Documentation for Software Engineers)，作為在軟件工程環(huán)境中執(zhí)行“通過設(shè)計保護(hù)隱私”的規(guī)范。

本文認(rèn)為，我國除了需要將“通過設(shè)計保護(hù)數(shù)據(jù)”予以法制化外，還應(yīng)當(dāng)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會參照國際標(biāo)準(zhǔn)，制定《信息安全技術(shù) 通過設(shè)計保護(hù)數(shù)據(jù)標(biāo)準(zhǔn)指南》，將“通過設(shè)計保護(hù)數(shù)據(jù)”的基本原則轉(zhuǎn)換為系統(tǒng)(軟件)工程任務(wù)中的一致性(Conformance)要求，并指引研發(fā)人員產(chǎn)生工件(Produce Artifacts)，作為遵守“通過設(shè)計保護(hù)數(shù)據(jù)”的證據(jù)。技術(shù)標(biāo)準(zhǔn)應(yīng)當(dāng)包括“場景與基本原理”“目標(biāo)”“適用對象”“術(shù)語界定”“最佳實(shí)踐”等內(nèi)容，在制定技術(shù)標(biāo)準(zhǔn)的過程中，應(yīng)當(dāng)廣泛征求技術(shù)專家、研發(fā)人員、數(shù)據(jù)保護(hù)法專家、社會公眾的意見。

(3)企業(yè)自我規(guī)制：強(qiáng)化“通過設(shè)計保護(hù)數(shù)據(jù)”的實(shí)施

“通過設(shè)計保護(hù)數(shù)據(jù)”的法制化和標(biāo)準(zhǔn)化基本確立了相應(yīng)的法律要求與技術(shù)要求，如何將這些要求嵌入系統(tǒng)設(shè)計中就成為執(zhí)行層面需要解決的問題。企業(yè)作為最重要的受規(guī)制者之一，應(yīng)當(dāng)從技術(shù)、風(fēng)險、人才3個方面強(qiáng)化“通過設(shè)計保護(hù)數(shù)據(jù)”的實(shí)施。

第一，技術(shù)層面：積極開發(fā)“通過設(shè)計保護(hù)數(shù)據(jù)”的技術(shù)。在確立了“通過設(shè)計保護(hù)數(shù)據(jù)”的法律地位后，首先需要解決的問題是信息技術(shù)如何支持這一原則的應(yīng)用。從技術(shù)的角度看，“通過設(shè)計保護(hù)數(shù)據(jù)”應(yīng)當(dāng)遵循一種較為通用的方法，這種方法可以產(chǎn)生一系列支持?jǐn)?shù)據(jù)保護(hù)的元素?！皻W盟框架計劃”就曾資助“包含隱私的軟件代理”項(xiàng)目，旨在建立一套公認(rèn)的方法，將隱私保護(hù)納入軟件設(shè)計，并解決數(shù)據(jù)保護(hù)的技術(shù)挑戰(zhàn)，該項(xiàng)目出版了《隱私和隱私增強(qiáng)技術(shù)手冊》，為“通過設(shè)計保護(hù)數(shù)據(jù)”提供方法[11]266-267。綜合已有的研究成果，本文認(rèn)為，至少有4個方面的設(shè)計元素是大多數(shù)軟件工程師都應(yīng)當(dāng)考慮的，同時也適合考慮數(shù)據(jù)保護(hù)法律的要求：一是體系結(jié)構(gòu)設(shè)計，即系統(tǒng)組件及其屬性和關(guān)系；二是數(shù)據(jù)設(shè)計，即系統(tǒng)的數(shù)據(jù)元素及其相互關(guān)系；三是過程設(shè)計，即系統(tǒng)代碼控制系統(tǒng)中數(shù)據(jù)的處理；四是接口設(shè)計，即與其他系統(tǒng)和系統(tǒng)用戶的交互設(shè)計。

第二，風(fēng)險層面：建立“通過設(shè)計保護(hù)數(shù)據(jù)”評估制度。事實(shí)上，“通過設(shè)計保護(hù)數(shù)據(jù)”亦是風(fēng)險預(yù)防原則在個人數(shù)據(jù)保護(hù)中的應(yīng)用，目的就是將數(shù)據(jù)侵犯風(fēng)險防患于未然。目前在個人數(shù)據(jù)保護(hù)中，識別風(fēng)險最常用的方法就是“風(fēng)險評估”。歐盟《通用數(shù)據(jù)保護(hù)條例》第35條就規(guī)定了“數(shù)據(jù)保護(hù)影響評估”，要求數(shù)據(jù)控制者應(yīng)當(dāng)在數(shù)據(jù)歸集行為可能對自然人的自由權(quán)利造成高風(fēng)險時，進(jìn)行“數(shù)據(jù)保護(hù)影響評估”，而“高風(fēng)險”的判斷應(yīng)當(dāng)考慮該歸集行為的性質(zhì)、范圍、內(nèi)容和目的，尤其是采用新技術(shù)時，應(yīng)特別注意高風(fēng)險的存在可能。以此為參考借鑒，本文認(rèn)為，受規(guī)制企業(yè)應(yīng)當(dāng)建立“通過設(shè)計保護(hù)數(shù)據(jù)”評估制度，包括以下主要內(nèi)容。一是目標(biāo)設(shè)定：通過了解隱私和數(shù)據(jù)保護(hù)的當(dāng)前狀態(tài)來識別和補(bǔ)救隱私風(fēng)險；二是范圍和方法，利用風(fēng)險記分卡技術(shù)，通過設(shè)計原則和相關(guān)的隱私控制框架，對組織的產(chǎn)品、服務(wù)、流程或系統(tǒng)的隱私問題進(jìn)行評估；三是評估人員：應(yīng)當(dāng)由多學(xué)科專業(yè)人員組成評估團(tuán)隊(duì)，包括技術(shù)專家和隱私法專家。

第三，人才層面：加強(qiáng)人才培訓(xùn)，提升對“通過設(shè)計保護(hù)數(shù)據(jù)”的認(rèn)識。缺乏數(shù)據(jù)保護(hù)意識是最核心的問題，因此，教育必須在每個政策解決方案中發(fā)揮重要作用。為了讓開發(fā)人員對“通過設(shè)計保護(hù)數(shù)據(jù)”內(nèi)在化，受規(guī)制企業(yè)應(yīng)當(dāng)建立人才培訓(xùn)的長效機(jī)制，定期邀請技術(shù)專家和隱私法律專家對技術(shù)人員進(jìn)行培訓(xùn)，讓他們及時了解最新的技術(shù)發(fā)展和法律要求，并將其融入設(shè)備、產(chǎn)品或服務(wù)的設(shè)計過程中。

(4)社會和市場刺激：建立“通過設(shè)計保護(hù)數(shù)據(jù)”認(rèn)證制度

在元規(guī)制模式中，除了法律可以對受規(guī)制者提供外部刺激外，市場和社會中的利益相關(guān)者也可以激發(fā)企業(yè)自我規(guī)制。在個人數(shù)據(jù)保護(hù)中，認(rèn)證制度越來越受到政策制定者和政府規(guī)制機(jī)構(gòu)的重視。歐盟《通用數(shù)據(jù)保護(hù)條例》第42條專門規(guī)定了“認(rèn)證”，鼓勵建立數(shù)據(jù)保護(hù)認(rèn)證制度以及數(shù)據(jù)保護(hù)印章和標(biāo)識制度。根據(jù)我國《認(rèn)證認(rèn)可條例》第2條的規(guī)定，認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或標(biāo)準(zhǔn)的合格平等活動。本文認(rèn)為，未來可以逐步建立“通過設(shè)計保護(hù)數(shù)據(jù)”認(rèn)證制度，由一些信息技術(shù)領(lǐng)域的社會組織、高等院校、科研機(jī)構(gòu)在獲得國家認(rèn)可后對受規(guī)制者實(shí)施“通過設(shè)計保護(hù)數(shù)據(jù)”的情況進(jìn)行認(rèn)證。

建立“通過設(shè)計保護(hù)數(shù)據(jù)”認(rèn)證制度，可以有以下益處：一是防止受規(guī)制者的品牌聲譽(yù)受損，包括財務(wù)損失或隱私侵權(quán)責(zé)任；二是培養(yǎng)消費(fèi)者的信任和信心，增加客戶粘性；三是穩(wěn)定受規(guī)制企業(yè)與業(yè)務(wù)合作伙伴的關(guān)系，從而獲得可持續(xù)的競爭優(yōu)勢；四是將隱私保護(hù)合規(guī)風(fēng)險降到最低，尤其是在公民權(quán)利意識日益增強(qiáng)和法律要求日益嚴(yán)格的情況下。加拿大瑞爾森大學(xué)隱私和大數(shù)據(jù)研究中心(Privacy & Big Data Institute)與德勤(Deloitte)聯(lián)合開發(fā)了“通過設(shè)計保護(hù)隱私”認(rèn)證項(xiàng)目，流程包括：申請、咨詢、進(jìn)行評估(發(fā)表初步意見)、回應(yīng)評估意見、完成評估報告、完成認(rèn)證、提供認(rèn)證標(biāo)識。這些經(jīng)驗(yàn)值得我們認(rèn)真研究，為以后我國建立相應(yīng)的制度提供參考借鑒。

五、結(jié) 語

“通過設(shè)計保護(hù)數(shù)據(jù)”已經(jīng)成為個人數(shù)據(jù)保護(hù)的一項(xiàng)重要原則，其基本理念是在創(chuàng)建設(shè)備、產(chǎn)品或服務(wù)時，將數(shù)據(jù)保護(hù)的目標(biāo)、原則、理論融入技術(shù)的設(shè)計和架構(gòu)中，從而將法律規(guī)則轉(zhuǎn)化為技術(shù)或計算機(jī)代碼。需要指出的是，本文強(qiáng)調(diào)“通過設(shè)計保護(hù)數(shù)據(jù)”的重要性，并不意味著要放棄或取代“公平信息實(shí)踐原則”，而是主張對“公平信息實(shí)踐原則”進(jìn)行新的解釋，并將“通過設(shè)計保護(hù)數(shù)據(jù)”作為其重要補(bǔ)充。如前所述，“公平信息實(shí)踐原則”主要關(guān)注數(shù)據(jù)處理過程，而“通過設(shè)計保護(hù)數(shù)據(jù)”則將視角擴(kuò)大技術(shù)設(shè)計過程，二者在具體內(nèi)容、方法論上均存在諸多交集。在某種程度上，“通過設(shè)計保護(hù)數(shù)據(jù)”是“公平信息實(shí)踐原則”的發(fā)展和延伸，是實(shí)現(xiàn)“公平信息實(shí)踐原則”的重要手段。