昨日读报纸看到一篇同龄人陈永伟先生写的文章《禁Cookie, 挺FLoC》某公司下了一盘什么大棋,正好与近期正在与媒体老友和学术前辈讨论的公民个人信息合规相关,顺着这条技术路线,飒姐翻阅了“知乎”“知网”发现一些有趣的小点,可以串起来重新思考,个人信息的法律规制问题,今日文章与大家分享。
01
Cookie 时代的终结
曾几何时,飒姐在办理网络数据纠纷时,经常给同仁们普及Robots协议,仗着有位工科博士的老公,自学了一点技术术语。在办理上海、杭州某大案时,对于Cookie是否为合法爬取数据,与办理此案的检察官和法官进行了激烈的争论。后来,我国法律对于Cookie技术的态度,也逐渐从灰色走向了“容忍”,爬虫技术在当下的网络世界依然处于优势地位。但是,随着人们对个人信息保护意识的觉醒和专业维权网[下载黑猫投诉客户端]站的兴起,公民个人信息之确权、沉淀、流转、商用始终被“刑法第253条之一侵犯公民信息罪”萦绕,就像达摩克利斯之剑悬而不发,让业界人士后背发凉出于惊弓之鸟的境地。
Cookie是由Netscape网景公司发明并最早使用,后经多家企业研发使用,由万维网协会制定行业标准并推广。从业务逻辑上讲,Cookie本身是“用户访问的web网站向浏览器发送的大小不超过4kb的小型文本文件。”,简言之,Cookie就是保存用户在网站浏览了啥的小文件,可回传给浏览器。也正是因为回传客户浏览信息的作法,让这种技术在法律上备受争议。纵观欧盟、美国、日本和我国法律,对于公民个人信息保护的边界基本上都是“无法还原到具体的个人”,但这一点在实践中总是会被突破,道高一尺魔高一丈,司法判例也随着技术版本更迭而变化。
2017年4月谷歌在官方博客中发文,提出了联邦学习技术,也就是分布式机器学习技术(是不是很耳熟,是的,类似比区块链技术),各参与主体在不披露底层个人信息的基础上,在加密状态下共同建模,输出结果。2019年5月,这项技术进一步发展更迭,近期终于决定“禁用Cookie”启用群组联邦学习(Federated Learning of Cohorts,简称FLoC),这项技术很新,不需要大量数据被单独抽取再集中化去喂养算法,而是反其道而行之,把算法送到用户这里,在用户的一亩三分地直接进行算法work,然后把本地算出的结果回传给分析者。数据不走出用户的系统就可以得到运算结果。请注意,这绝对不是什么“太阳底下没有新鲜事”,这就是太阳底下的新鲜事。从某种意义上说,FLoC技术可以解决公民个人信息被生硬采集、集中、定价、贩卖、滥用的问题。
02
技术与法律的纠缠
在市场现实中,我们发现技术与法律之间的纠葛远比想象中更复杂。法律即规则(rule),而技术的发展超越了法律最远射程。在某种程度上讲,技术成了新的规则。
随着智能合约的出现,越来越多的纠纷和争端使用“无人为作用”的算法执行。技术在某些领域确实在“自定义”自己的行为边界。再往深里说,这是一个法哲学甚至是深刻的哲学问题。飒姐只是从自己的亲身体会谈一谈,我们律师圈这些年有个新兴业务:数据合规。
飒姐的好友、同学不少也深入其中,在数据合规业务一线,我本人也接待过数十起侵犯公民信息的案件和咨询。然而,越深入研究数据合规业务,越觉得规则这根绳子捆不住技术这头猛兽,目前采取的法律震慑方式主要是刑法第253条之一和大额罚款,但人类的好奇心和金钱诱惑更难抵挡。“以其人之道还其人之身”也许是一条可行的路径,既然金融学出身的银行人都开始成为金融码农,我们法律人成为算法人的时代还会远吗?!
前浪+后浪的法律人为了捆住侵犯个人信息的违法行为,前赴后继,我们建构了很多建构、组织了很多组织、研讨了很多研讨,然并卵,最后还是技术解决了技术问题。也许,法律既然不可能随时跟上市场和技术的发展进度,就应该保持谦抑,先给出原则性的成文规定,然后给出足够的解释空间和时间,观察技术发展,引导其向善向好,而不是事无巨细,标准林立,落地困难,一管就死,一放就乱。
03
“隐私沙盒”+“监管沙盒”
先行先试,试好了再推广,一直是我们中国人的智慧。在个人信息保护上,解放思想十分必要。
数字隐私组织电子前沿基金会的专家对于FLoC表达了自己的忧虑,称之为“可怕的主意”。同时,安全专家们也表达了类似的看法,FLoC可能是一种“更好的隐藏追踪技术”。对于这些批评我们也要保持警醒,根据《比较》研究部主管陈永伟先生的观点:早期人们使用姓名来识别人;后来使用身份证;再后来使用生物信息,而隐私技术的发展道理相通,Cookie相当于使用身份证,而FLoC相当于使用了虹膜。也就是说,一旦这样的技术被“坏人”利用,那么,其破坏力比当下的Cookie大得多,转化成飒姐熟悉的法律语言就是:“新技术的滥用,侵犯法益更深更广。”
历史的车轮滚滚向前,我们不能像科幻电影一样采取禁止技术发展的方法去等待法律技术的提高。“摸着石头过河”,采取监管沙盒的办法,将隐私沙盒引进来,在某些互联网企业的某些业务板块试用,运行结果实时呈现并输入到监管机关的数据库,清晰明朗,一目了然。同时,在法律处理上,在确保公民信息不泄露等红线的基础上,让受试企业运行一段时间,从而找到数据合规的新关键。然后,把这些实验结果和数据进行分析+抽象,制定新规则,成就新法律。这也有利于反不正当竞争的推进,新技术掌握在大型互联网平台手上,倘若任其发展,市场上只有它拥有数据合规的技术,其他企业动辄就触碰法律红线,这是不公平的。只有将隐私技术通过“试验”凝固成“基础设施”,才能营造更公平的竞争环境。
写在最后
法律人通常是保守的,但在技术领域,我们要学着开放心态,做到“君子不器”。不能抱残守缺,总想把所有的问题都用旧有的规制装进去,削足适履。
同时,对于反不正当竞争问题,大型互联网平台具有强大的技术+法务实力,如果市场上只有它们能进行合规数据使用,而其他中小企业动辄就可能因侵犯公民个人信息罪判刑,这是不公平的。正常的竞争环境需要数据基础设施,飒姐呼吁在一些城市进行试验,将包括联邦学习在内的技术应用到真实市场场景中,总结经验教训,抽象法律规制,为营造“公平+安全”的营商环境而努力。
如上,感恩读者!!欢迎与飒姐讨论,请随时留言。
