社會信用立法的調整對象是社會信用信息,規(guī)范其采集、披露、使用,因此,社會信用法律實質上可以說是社會信用信息管理法。對于社會信用信息,《上海市社會信用條例》的界定是“可用以識別、分析、判斷信息主體守法、履約狀況的客觀數(shù)據(jù)和資料”。其他地方大同小異,都將其定性為“數(shù)據(jù)和資料”。這意味著,社會信用信息不以結構化數(shù)據(jù)為限,更通俗地講,文檔、圖片、視頻等非結構化數(shù)據(jù)都可以作為社會信用信息的來源或者說載體。隨著網絡技術的發(fā)展、電子商務的繁榮以及社交媒體的興起,非結構性數(shù)據(jù)在數(shù)據(jù)洪流中逐漸占據(jù)主要地位。非結構化數(shù)據(jù)形式多樣、結構多變、更新快速、信息豐富,當其形成一定規(guī)模后便會對數(shù)據(jù)的存儲與處理提出重大挑戰(zhàn):存儲要完整且及時、分析要全面有細節(jié),而這些是傳統(tǒng)的二維表結構所無法實現(xiàn)的,卻是大數(shù)據(jù)應用的核心領域。
立法規(guī)范社會信用信息的目的是合理利用,其表現(xiàn)即是信用服務,而任何信用服務都以信用評價為基礎。信用評價是基于信用信息對主體信用狀況的主觀評價,其關鍵在于預測個體的交易風險和償還能力。這種個性化鮮明的預測如今越來越多地建立在相關性分析基礎上,因為信用服務提供者發(fā)現(xiàn),因果分析得出的宏觀走向對于個人信用服務提供的幫助有限,真正起決定作用的是個體預測,而它只需要回答“是什么”。如此,從因果性到相關性,正是大數(shù)據(jù)技術使這樣一種建立在龐雜數(shù)據(jù)庫基礎上的相關性分析成為現(xiàn)實。大數(shù)據(jù)貫穿了信息的采集、披露、使用,為社會信用信息的管理奠定了數(shù)據(jù)基礎,提供了技術手段,從而使外界得以評價個人的信用狀況,在此意義上實現(xiàn)了“熟人社會”的回歸,從而使信用立法得以可能。
全球數(shù)字化進程的加快使大數(shù)據(jù)成為近年來的熱門話題,國內相關言論雖多,卻泛于概念炒作。就像“互聯(lián)網+”被曲解為“+互聯(lián)網”,“大數(shù)據(jù)”也常常被錯誤地等同于“數(shù)據(jù)大”。但事實上,大數(shù)據(jù)是人們在大規(guī)模數(shù)據(jù)基礎上可以做到的任何事情,其所帶來的變革并不體現(xiàn)在分析數(shù)據(jù)的機器或技術上,而在于數(shù)據(jù)本身和我們如何運用數(shù)據(jù)的思維:從抽樣到全體、從精確性到混雜性、從相關性到因果性。準此,大數(shù)據(jù)對社會信用立法的影響遠不止使其成為可能。
在信息采集方面,由于大數(shù)據(jù)技術實現(xiàn)了海量數(shù)據(jù)的獲取,過去為了應對信息采集困難,旨在用最少數(shù)據(jù)得到最多信息的隨機采樣因此失去意義。是故,社會信用信息的采集無所謂抽樣,其應當關注的是信息來源的確認和信息規(guī)模的大小,因為在大數(shù)據(jù)里,單個數(shù)據(jù)的精確性不再是值得追求的對象,分析模型需要的是全體數(shù)據(jù)或盡可能多的數(shù)據(jù),這就要求信息的來源應盡可能多樣,信息的內容應盡可能完整,數(shù)據(jù)規(guī)模越大越好?;诖?,社會信用信息的采集應當遵循“全面采集”原則,包括三層意思:第一,從大數(shù)據(jù)技術需求來看,信息來源應當多樣,但法律的穩(wěn)定性和可預期性要求其必須為法所確認并事先公開。對于二者間的緊張關系,可效仿物權法定的緩和,在定期公布法定信息來源目錄的基礎上,允許個人和組織提議新的信息來源,但需經合法性審查、評估論證、聽證或公開征求社會意見,最終以補充名單的形式發(fā)布。第二,采集的信息內容盡可能完整,但應以采集目的為限,對此,可由立法授權有關部門出臺具體標準或指導意見。第三,信息須得依法采集,包括不涉及法律禁止范圍和按照合法程序進行。
在信息的披露環(huán)節(jié),相關性分析的日益成熟使得大數(shù)據(jù)反模糊化、反匿名化,這意味著存在無處不在的“第三只眼”,與市場那只著名的“看不見的手”一樣,隱蔽卻又真切地影響著人們生活的方方面面。過去行之有效的數(shù)據(jù)模糊和匿名處理在大數(shù)據(jù)時代成了“此地無銀三百兩”,如轟動一時的美國在線(AOL)技術事件、奈非公司侵犯隱私案件等。盡管我國對大數(shù)據(jù)的應用目前還比較初級,但毫無疑問的是,大數(shù)據(jù)時代已經來臨,是以“原則公開”成為符合當下現(xiàn)狀和未來發(fā)展趨勢的最佳選擇。該原則同樣包含三層意思:第一,既然模糊和匿名無用,那么信息理應公開未加工的原始版本,并采用實名化。第二,在保護國家安全、商業(yè)秘密、個人隱私的法定例外情形,禁止公開的范圍應從過去的單個數(shù)據(jù)擴大到數(shù)據(jù)鏈,以切斷相關性分析。第三,考慮到采集的社會信用信息實質上是個人或組織已公開或依法應當公開的信息,因此原則上不接受保密請求,但考慮到于客觀上存在原始信息或公開行為危害國家安全、商業(yè)秘密、個人隱私的可能,故應予建立異議申訴制度以及審查期內的凍結機制。
就信息的使用而言,鑒于大數(shù)據(jù)的自我膨脹屬性和數(shù)據(jù)獨裁傾向,因此在信息使用規(guī)范的設計上“安全”應是第一位的。此所謂“安全使用”的核心是妥善處理大數(shù)據(jù)技術發(fā)展與個人(包括自然人、法人、非法人組織)權利保護間的關系,尤其是在備受關注的隱私保護領域?;ヂ?lián)網隱私保護長期以來依靠各式各樣的使用許可協(xié)議,采取“個人決定”模式。但問題在于,個人決定建立在知情的基礎上,而大數(shù)據(jù)(至少是理論上)的無限可能性,使得數(shù)據(jù)使用者無法就可能存在的全部使用用途,提前向采集對象作出明確的解釋與說明。無數(shù)大數(shù)據(jù)實際應用的案例證明,很多數(shù)據(jù)在被收集時并無意用作其他用途,但最終卻產生了很多創(chuàng)新性的二次或多次利用,如谷歌利用搜索關鍵詞預測流感暴發(fā)的時間和規(guī)模。更何況,隨著大數(shù)據(jù)產業(yè)的形成及其分工的細化,數(shù)據(jù)的使用者不一定是數(shù)據(jù)的采集者,這使“知情”變得前所未有的困難。如果說,數(shù)據(jù)使用者每一次發(fā)現(xiàn)數(shù)據(jù)的新的利用方式都必須事先征求個人同意,那么對于雙方來說都是無法承受的負擔:商家受制于成本,個人受困于騷擾,這無疑會極大限制大數(shù)據(jù)發(fā)展。
一種值得考慮的對策是,將隱私保護的重心從數(shù)據(jù)收集轉移到數(shù)據(jù)使用,即當數(shù)據(jù)使用者直接抓取公開信息,或就籠統(tǒng)的“數(shù)據(jù)使用”獲得個人許可,或從數(shù)據(jù)收集者處取得相關信息后,可在法定的最長保留期限內自由地開發(fā)、利用這些數(shù)據(jù),而無需取得信息所有者的再次同意,其中商業(yè)利用默認有償,科學研究和行政管理一般無償。但與之相應的,數(shù)據(jù)使用者須對每一次的利用行為進行合法性審查,并積極采取保護措施,避免對他人合法權益的侵害,否則將受到法律的嚴厲懲罰。
除了解放大數(shù)據(jù)技術發(fā)展的動力,這一立法考慮對個人權利保護的強化同樣是顯而易見的。其一,考慮到沒有人比數(shù)據(jù)使用者自己更清楚數(shù)據(jù)的利用方式及其帶來的法律風險,因而由其承擔保護義務才能確保防范有效。其二,數(shù)據(jù)使用者作為最大受益者,理應承擔最大風險。傳統(tǒng)“個人決定”模式中,個人雖然掌握許可的主動權,卻也因此擔負為自己的錯誤決定承受精神和物質上損失的重大風險。反觀居于信息優(yōu)勢地位的數(shù)據(jù)采集者,只要履行法定告知義務即可,而真正獲利的數(shù)據(jù)使用者有時隱于合同相對性后,甚至連告知都不需要,顯失公平,是以將規(guī)制的重心從數(shù)據(jù)采集轉移到數(shù)據(jù)的使用,實質上是一種權義責的平衡。其三,明確數(shù)據(jù)使用期限保護了個人的遺忘權,因為超出法定最長保留期限的任何數(shù)據(jù)使用行為都將被作為違法甚至犯罪行為予以懲罰。至于大數(shù)據(jù)的數(shù)據(jù)獨裁傾向,防范的措施包括:一方面,用因果性制衡相關性,反映到立法中,即個人可對自身信用評價提出異議,要求評價主體說明理由和依據(jù);另一方面,用算法透明對抗數(shù)據(jù)壟斷,反映到立法中,即包括信用評價在內的信用服務提供者應將自身的數(shù)據(jù)算法公之于眾。
總而言之,大數(shù)據(jù)技術解決了社會信用信息不透明和不流通問題,使社會范圍內的統(tǒng)一信用立法得以可能。與之相適應,社會信用法律針對大數(shù)據(jù)的技術特征應當確立“全面收集”“原則公開”“安全使用”的基本原則,將個人隱私、商業(yè)秘密保護的重心從數(shù)據(jù)收集轉移到數(shù)據(jù)使用,以此平衡技術發(fā)展與私權保護。