欧盟的公共数据治理方案(上)
本文编译自《将欧洲价值观嵌入数据治理—公共数据共享的案例》(Embedding European values in data governance: a case for public data commons),原文作者Jan J. Zygmuntowski,Laura Zoboli,F. Nemitz。
为保证阅读的流畅性,本文对原文正文和脚注部分有删减。
1
介绍
包容性数字社会的提议正受到数据收集、算法剖析和人工智能等领域脱缰式发展的威胁。大家对这种新数字经济有多种描述方式:一是认知资本主义,其中不同形式的信息私有化的系统过程允许利润最大化;二是数据殖民主义,将数据用来征服和改造社会关系;亦或是监测资本主义,为了利润,各种技术设备监控人类,试图预测和控制人类行为。抛开理论,当前问题的核心是的数据使用对个人和社会而言都是失败的。谷歌为了获得NHS的数据收购DeepMind正是数据治理失败、导致数据泄露的典型。
另一方面,数据共享水平不足(尤其是公共服务领域)仍然是创新组织面临的一个关键挑战。学者提出建立新型的公私合作伙伴关系,包括鼓励收集用于公共利益的数据的工具。这在公共行政部门或可信赖的中介机构中仍很少见,以至于不能产生公共价值。同样,关于如何“永久解锁私人数据”的辩论也从为获取私人数据创造条件出发,以实现合法的公共政策目标。
尽管人们努力对抗高度侵入性的数据挖掘和数据化过程,但这些自下而上的行动不太可能在利用数字经济实现公共目的的进程中扩大和稳定其影响力。公共领域需要一个实现公民赋权、改善公共福利或为公共利益重复使用数据的“信任的生态系统”;同时维护个人权利。该等治理是欧盟最显著的目标,寻求将技术的发展与欧洲社会的核心价值观相结合。此前监管跨国数据流动的举措暴露出欧盟法律制度在欧盟的规范目标面前相形见绌,因而愈发有必要建立一个全面的数据治理框架。
那么,哪种数据治理模型为欧洲价值观和权利指导下的数据治理创造条件?该分析主要依据科学技术研究(STS)、关键数据研究(CDS)和制度经济学,特别是公共资源共享(CPR)理论。对于欧洲的权利和价值采用了宪政主义的观点。
本文首先概述当前欧洲法律体系在数据方面面临的挑战,随后从数据基础设施的角度提出了四种概念化的数据治理模型,批判性地审视了两种与数据相关的显著但极具争议的模型。其后,本文提出公共数据共享最适合于在增加数据共享的同时,确保欧洲的价值观和权利。鉴于这种模式需要强有力的法律授权,它能否成功很大程度上取决于管理准入/排他性和参与行为者权力不对称的机制。最后在总结基础上为进一步研究开辟空间。
2
欧洲的权利和价值
2.1 欧盟的基本价值观和权利
目前欧盟法律为数据提供了丰富的权利和价值结构以及二者间的平衡。如今的挑战不是重新创造价值和创设新的权利,而是实现已在法律结构中规定的权利和价值,使之具有操作性。
然而,欧洲的权利和价值观在个人权利外还包含集体权利和制度保障。无法执行现有法律来维护公众利益时,个人、集体以及机构的权利都会受到侵蚀。此时,以数据保护为基准,理解这些权利和价值在数据经济中如何平衡至关重要。
保护个人数据,从而保护属于已识别或可识别个人的数据,这种方法通常被标记为先验的凌驾性,这种方法可以被解读为处理数据的实体和数据所属个人间权力不平衡的结果。然而,隐私权和个人资料保护的基本权利并非绝对权利,在某些条件下可受法律限制,这也是欧洲人权法院和欧盟法院的观点。
2.2 平衡和执行的挑战
在基本权利和其他欧盟价值观、人权、公共和私人利益之间取得平衡至关重要。GDPR明确要求成员国在法律上协调个人数据保护的权利与言论和信息自由的权利。然而,在充分尊重《基本权利宪章》和各项条约的情况下,同一立法者在后续立法中调整这种平衡并无阻碍。在此背景下,欧洲数据保护专员公署(European Data Protection Supervisor ,“EDPS”)发布了几项意见,包括旨在扩大执法目的信息共享的举措。
此外,GDPR规定不可以保护个人数据为由限制个人数据在欧盟内部自由流动。这也代表了一种平衡的结果,尽管欧盟内部市场实现的数据保护水平一致是合理的。
在数据保护上,欧盟法院一般不认为数据控制者的经济利益高于数据所有人的利益。值得一提的是西班牙谷歌案,个人内容被删除的利益被认为战胜了经济利益,鉴于当事人和相关信息都与公众利益无关。而在Manni案中,欧盟法院认定公众获取信息的利益高于个人删除数据的权利。
执行现有个人和集体权利方面的缺陷是当今数据经济的最大弱点。如今数据经济的核心个体的行为被认为是非法的,却没有重新制定法律。数据保护机构也还没有为其干预行动的优先顺序给出合理参考。
因此,在塑造欧盟新型数据秩序的进程中,需更多关注创建和维持有效权利执行的基础设施。由于欧洲数字市场的监管设计已经存在相互冲突,有必要根据数据本身的属性对拟议的数据治理模型进行批判性审查。
3
对数据治理模型的批判性讨论
3.1 四种数据治理模型
数据治理的日益普及与对数据价值的日益认识密切相关。仅仅在十年前,数据治理还被理解为对数据的控制和管理,而最近人们倾向于采用更全面的方法,将数据治理定义为一个跨职能框架,具有特定的权利、义务和应用程序的正式程序。因此,数据治理不是指导单个公司或组织,而是涵盖了整个跨国和跨组织的数据流动,从国家的宏观层面到公民的微观层面。
不同类型的经济资源正在发生从市场到组织间、网络化组织的治理范式转变。与多方利益相关者参与相关的维度。尽管由少数技术公司形成的数据竖井仍然是数据治理的主流模式,利润动机显然是数据流动的主要原理,但在创建考虑到公众利益的协同治理机制方面有一些开拓性的尝试。
本文确定了四种不同的数据治理模型,涵盖了提议和试点方案的多种选择。这些模型包括:1)个人数据自主权,数据所有者控制数据作为个人对象和个人决定出售他们的信息,2)数据协作,鼓励企业建立伙伴关系和交换数据,3)数据合作,使个人能够自愿共享数据以实现互利,4)和公共数据共享,依赖于公共行为体来聚集和管理公民和商业数据。
尽管新兴的数据治理模型具有不同的特征,但可以根据它们的主要异同对其进行并列和评估。表明治理机制和治理目标的维度实际上是其他两个维度的衍生品:具体来说,利益相关者控制和价值分配(见表1)。
表一:数据治理模型的分析矩阵
治理机制与参与决策的利益相关者类型紧密交织在一起。数据主体根据与数据相关的权利维持个人控制,而数据控制者则建立基于信任的机制,如合同安排和流程,这些机制依赖并支持参与的机构的信誉。
由于治理目标在数据共享的最终收益分配中实现,结果实际上是特定代理人或广义上定义的公共利益的经济价值分配。从长远来看,公共利益可能,而且经常会使个体受益,因此辩证主要关于平衡价值秩序,而不是选择赢家。
数据可以被不同参与者多次使用,理论上可以在一定程度上组合模型。此外,数据处理导致产生新数据,并更好地理解原始数据持有者或生产者的新数据用途的增值。反过来可能会激发学习过程,允许原始持有者或生产者更好地利用数据。
3.2 数据治理的两个评论
然而,这四种数据治理模型在促进数据共享的同时保护重要价值和权利的能力并不相同。前面的方法往往倾向于要么是天真的技术决定主义,即“如果社会要繁荣,技术不能受到阻碍”,或一个特定的议程由伪科学主张不透明和道德实践的声明。数据需要超越一些有效但狭隘的主导观点。从各种学科的现有文献中,有两种批评值得探究。
3.2.1 作为商品的数据
首先,把数据视为商品值得推敲。数据是现有现实的数字反映,而不是独立于自身的事物。但数据已经嵌入到社会中,世界各个方面都呈现在一个新的象征维度中。学者们呼吁注意数据的商品化,将数据从其来源的事实或过程中去物质化。其他途径收集的数据也遵循同样原则。虽然数字系统依赖于输入,但把数据仅视为基于技术的对现实的记录,可能会歪曲、过度简化现实。
目前,基于权利的方法无法确保数据及数据生态系统的完整性。当然,为了生存,每个系统都需要可重复性;特别是人类社会和社会发展。产生工业数据和非个人数据需要存在行业或自然,而非个人数据往往非常依赖于操作机器的工人的社会再生产,而自然数据则依赖于经济或公共行为者的捕获。
数据商品化有可能将数据与个人、过程和生产所需的物质条件进行区别,从而将其从更广泛的社会关系和价值观中剥离出来。这反过来又允许对虚拟财产的控制和利润价值的提取;这对资本不断向新领域扩张至关重要。在资本主义逻辑中,信息的价值独特地源于其转变为商品的过程,数据是一种通过工资劳动和市场的历史应用而被社会重新评估和定义的资源”。
通过新技术将现有的生产和消费纳入市场领域后,便是从尚未商品化的生活领域中获取数据和价值的殖民行动。认知资本家领导的数字变革重新连接数据流动。基于权利的方法旨在防止数据被滥用,但它并没有脱离虚拟的商品形式的数据。
创建和封闭虚拟网络、数字空间和产生数据的技术设备会对社会关系产生严重后果,因为它从根本上扭曲和重塑了商业成功的需求。因此,被授权的个人的治理目标导致了自我商品化,而分享市场条件的崇高目标有效地转变了社会背景,将过去的恩惠变成了可以买卖的东西。建立在广泛、以市场为基础、数据商品化前提下的数据治理可能会导致另一种形式的小型暴政。
长期来看,暴露其他数据所有者相关信息的外部存在会使价格下跌,因为用户泄露或出售数据允许对其他用户进行推断降低了进一步监测的成本。在欧盟数字市场中,公共利益的数据访问和共享仍处于边缘地位,应予以激励。开放数据是数据领域中微不足道的部分,数据价格过低和过度共享的问题不能通过开放数据共享,而应由数据中介解决这一问题。数据中介引入了数据治理中的信任机制,该机制建立于对代表数据主体权利和目标的机构的信任上,而不是依赖个人自律和同意。权利当然必要,但仅就治理而言,权利是不够的。摆脱数据商品化需要在社会而非个人层面找到系统的解决办法。
3.2.2 忽视公众利益
公共利益不是数据保护和利润之间的选择,而是不同的私人价值分配和公共的集体收益间的斗争。支持数据保护导致建立欧盟个人数据权利,提高社会对数字平台侵权行为的认识。然而,不同数据治理模型的负面影响,以及积极的网络或溢出效应,数据保护不足以作为一个首要的治理目标,这可能比隐私本身要广泛得多。
个人数据存在交叉利益,其中许多属于公共利益范畴。在讨论个人数据保障与公众利益需要之间的关系时,有些人认为应始终以公众利益需要为准。GDPR规定,履行公共利益任务时,对个人权利的保护在一定条件下具有法律依据和克减。它赋予欧盟成员国确定公共利益线的责任,奠定为公共利益使用个人数据的法律基础。
目前不同成员国制定公共利益法律的情况并不统一,这阻碍了欧盟层面上的统一。其结果既不是欧盟基本权利保护的统一,也不是内部市场的良好运行。虽然这种不统一并不阻碍数据在欧盟内部市场的自由流动,但可能会推动数据控制者将数据处理限制在特定的成员国境内。然而,如果数据治理中一定程度的多元化反映了特定利益的内在特征,那么它并不是负面的,也不是真正可取的。因此,在某些情况下,GDPR明确允许一定程度的变化,作为一般规则的例外。
面对新冠,欧盟允许为公共利益处理个人数据,且成员国在执行以公共利益为目的的任务时,有权通过国家规定进一步明确管理个人数据处理规则的应用。
总之,欧洲法律明确规定,重要公共利益可以置于数据保护之上。但始终需要一种法律基础满足公共利益目标,与所追求的合法目标相称,并详细规定以适应GDPR规则的应用。
此外,数据保护问题也不仅是数据保护本身。从公共政策目标的角度来看,单个参与者可能控制着具有巨大价值的数据集,没有义务确保为公共利益访问或共享的控制。此外,重要市场参与者可能会滥用所收集的个人资料。
个人数据保护可能被视为数据共享的障碍。数据共享过程中确保GDPR权利的直接义务在很大程度上阻碍了企业启动数据共享活动。在实践中,这意味着,为了共享数据,数据控制者和处理者的所有义务以及数据主体的权利都应该得到履行。然而现在的公司数据治理技术非常复杂,还有自动化工具的支持。
共享数据和接收数据的公司都必须有处理个人数据的法律基础,并确保数据集的安全级别。此外,数据保护或数据安全可能需要由控制器作为限制其他利益相关者访问的手段来调用,以保护组织的非对称数据访问的竞争优势。
有人提议对构成市场进入障碍的数据进行强制访问,通过干预增加符合欧洲价值观的公共服务的范围和质量,并加强福利驱动的数据共享。如果数据控制者的私人利益优先于公共利益,那么推动人工智能发展和其他基于数据的创新的雄心就不会得到满足;这对于个人和非个人数据都是正确的。
在此背景下,“反向PSI”(Public Sector Information)的概念发挥了作用,即允许公共部门机构重用私人持有的数据。欧盟委员会委任的工商与政府数据共享专家小组就此方向发表了一项声明,旨在确定一项战略,以增加私营部门收集的数据的共享,以造福公共部门。
此外,澄清程序等事前规则带来了优势,这强调了扩大设计原则集的必要性,因为预先机制规定了什么(不)能做,什么会直接影响数字系统的架构,导致不同的数据流动和治理机制设计。因此,监管方面的利益从数据访问解决方案发展到新机构的数据治理系统。
欧盟层面有一个转向事前监管方法支撑欧盟数字方案,旨在引入比例和平衡的规则,以更好地规范数字生态系统,核心是为在线平台的透明度和责任提供一个创新的框架,并处理经济失衡和不公平贸易行为。
总之,对以权利为基础的个人主义方法以及对增长驱动的严格私人价值分配的批评,都指出了以公共利益为焦点的制度性和信任为基础的机制的必要性,目的是在实际符合保护个人基本权利的情况下增进共同福利。
(本文下篇将分析数据公共空间的特征、设计方案及治理问题,敬请期待)
往期文章:
Gaia-X:下一代数据治理基础设施
请扫描二维码获取该系列文章中英文原文: