監(jiān)管深入企業(yè)的黑箱

FTC是在公平競爭和消費者保護方面的執(zhí)法機構(gòu)，在知悉此事后，迅速宣布2017年8月已經(jīng)達成的和解協(xié)議無效，需要重新商定有關(guān)和解條款。

2018年10月 ，F(xiàn)TC再次宣布達成新的和解協(xié)議。作為信奉自由市場的特朗普政府，治下的FTC確實對優(yōu)步手下留情，并沒有如州政府予以重罰，甚至根本就沒有罰款，但對優(yōu)步的內(nèi)部信息安全管理提出了事無巨細的要求。相比以企業(yè)外在結(jié)果為主要對象的結(jié)果保護策略，F(xiàn)TC的協(xié)議則是以企業(yè)內(nèi)部管理為主要對象的過程保護策略。也就是說，它更多地是以事前預防的思路對企業(yè)內(nèi)部可能存在的個人信息保護漏洞進行全方位的監(jiān)管，將企業(yè)內(nèi)部的信息安全管理納入公共管理。這可以說是一種新的個人信息保護模式。

事實上，我國正在開展的個人信息保護立法（包括已經(jīng)完成的網(wǎng)絡安全法，以及2020年征求意見的數(shù)據(jù)安全法、個人信息保護法）同樣也采用了這種思路。不過，相比FTC的和解協(xié)議，中國的平臺企業(yè)享有更多的自由。FTC的和解協(xié)議建立了相對較為完備的企業(yè)信息安全制度，主要內(nèi)容包括：

●優(yōu)步需要立即建立綜合性的個人信息（隱私）保護計劃，所有計劃、方案、培訓均需要有書面記錄。設置專門的人員負責個人信息（隱私）保護計劃。

●開展個人信息（隱私）風險排查、評估，確定風險點，制定整改計劃。制定個人信息（隱私）風險動態(tài)監(jiān)控和評估方案。

●建立第三方信息（隱私）審計、評估制度，第三方審計人員需有執(zhí)業(yè)資質(zhì)并具有3年以上的從業(yè)經(jīng)歷，相關(guān)審計人員還需經(jīng)過FTC消費者保護部門批準。完成評估后10天內(nèi)，需將評估報告送FTC備查。在協(xié)議執(zhí)行開始后半年內(nèi)應完成第一次第三方審計，以后每兩年應至少開展一次。

●建立信息安全事故統(tǒng)計與報告制度。

●建立文件簽收與學習制度。公司所有相關(guān)人員必須學習FTC的和解協(xié)議文件，并要簽名確認，有關(guān)學習記錄需要書面記載。

●文件簽發(fā)一年后，優(yōu)步需向FTC遞交合規(guī)報告，報告應該宣誓內(nèi)容真實可靠，否則將承擔偽證罪。企業(yè)任何組織機構(gòu)和實體發(fā)生變化需在14天內(nèi)通知FTC，以便于監(jiān)管部門檢查、監(jiān)督。

●及時響應監(jiān)管部門，收到FTC有關(guān)信息（隱私）安全的問詢后，優(yōu)步需在10天內(nèi)回復或響應，有關(guān)合規(guī)報告或材料需要宣誓非偽證，并準備好詳細記錄備查。

●建立信息安全檔案記錄，包括相關(guān)員工的檔案記錄（包括離職原因）、平臺用戶投訴記錄、所有可證明公司落實文件的材料、公司對外宣傳及承諾有關(guān)個人信息（隱私）保護措施、信息安全評估、審計與整改報告、安全漏洞獎發(fā)放記錄、執(zhí)法部門傳票、調(diào)查與說明材料等。

福布斯網(wǎng)上關(guān)于該案件的報道截圖

加州檢察總長聯(lián)合各州與優(yōu)步達成的和解協(xié)議在巨額賠償之外其實也提出了類似的一系列企業(yè)信息安全合規(guī)要求，包括企業(yè)需要設置首席安全官，以及云存儲密碼、認證強化制度、建立信息安全員工培訓與違規(guī)處罰制度、第三方信息審計人員資格制度（需要5年以上的從業(yè)經(jīng)歷）、個人信息安全情況作為董事會的固定議題制度、事故確認與報告中的律師參與制度、公司內(nèi)部違規(guī)舉報制度等。

孔子曰：“不教而殺謂之虐，不戒視成謂之暴?！泵绹?lián)邦和州相關(guān)監(jiān)管機構(gòu)利用優(yōu)步違法的契機，構(gòu)建了一套非常嚴格的企業(yè)內(nèi)部個人信息保護機制，特別強調(diào)內(nèi)部部門監(jiān)督、外部審計、員工培訓等，將此前以負面清單方式的事后監(jiān)管模式推進到以作為的義務為主的事前事中監(jiān)管模式，也就是從懲戒為主模式轉(zhuǎn)換到以預防為主的模式。

平臺企業(yè)不再是一個黑箱。通過一個設計精密的內(nèi)部監(jiān)督機制，平臺的保護更為透明，個人信息保護的目標有更加可靠的保障。其意義在于，只有在個人信息保護有了更為可靠的保障，個人信息保護以外的平臺經(jīng)濟治理功能才有了其他可能。

算法統(tǒng)治平臺

2020年10月26日，優(yōu)步與平臺的駕駛員又一次對簿公堂。打官司對于優(yōu)步已經(jīng)是家常便飯了，不過這次有些不同。發(fā)起訴訟的是4名被除名的駕駛員，他們來自英國（3人）和葡萄牙。更值得關(guān)注的是，這次爭議的焦點是歐盟個人信息保護法（GDPR，通用數(shù)據(jù)保護法）所規(guī)定的個人信息權(quán)。這些駕駛員在2020年6月20日左右分別要求優(yōu)步提供涉及本人的個人數(shù)據(jù)，這是歐盟通用數(shù)據(jù)保護法15條所規(guī)定的個人數(shù)據(jù)訪問權(quán)（The right to access）。

4名駕駛員做出這樣的動作也是事出有因。按照優(yōu)步的說法，4名駕駛員均是因為欺騙性行為或者違規(guī)操縱（不當使用）駕駛員手機應用程序。直白地說，就是駕駛員或因為挑單以等價格上漲后的好單（game the surge），或是因為私自安裝其他應用程序改變手機狀態(tài)欺騙優(yōu)步的駕駛員應用程序（如改變位置），被平臺算法判定為嚴重違規(guī)而被除名（在優(yōu)步平臺上沒有開除的概念，永久凍結(jié)賬號則是一個等同的說法），而做出這些決策的都是平臺的算法。換句話說，4名駕駛員都是被算法監(jiān)控到有違規(guī)行為并被算法除名（開除）的。

不過，駕駛員并不這樣認為，他們認為是自己只是行使了自由選擇工作時間的權(quán)利，而這也是優(yōu)步平臺一向?qū)ν庑Q駕駛員所具有的權(quán)利，并且也正是具有這樣的自由，駕駛員才不被平臺認為是平臺的雇員，而是自由職業(yè)者，甚至是所謂的“微型企業(yè)家”。平臺與駕駛是合作伙伴。4名駕駛員否認存在欺詐或不當行為，且優(yōu)步?jīng)]有提供申述機會，使得他們的命運被算法所掌控。因此，他們向優(yōu)步歐洲總部所在的荷蘭阿姆斯特丹地方法院提起了訴訟。

駕駛員起訴優(yōu)步最主要的法律依據(jù)就是2018年5月開始施行的歐盟通用數(shù)據(jù)保護法。按照歐盟通用數(shù)據(jù)保護法第15條，數(shù)據(jù)主體有權(quán)訪問個人數(shù)據(jù)并獲知數(shù)據(jù)處理的目的、數(shù)據(jù)類型以及有權(quán)要求糾正不準確的數(shù)據(jù)。第22條則涉及自動化決策和用戶畫像，“數(shù)據(jù)主體有權(quán)反對此類決策：完全依靠自動化處理——包括用戶畫像——對數(shù)據(jù)主體做出具有法律影響或類似嚴重影響的決策”。

按照歐盟通用數(shù)據(jù)保護法的定義，“用戶畫像”指的是為了評估自然人的某些條件而對個人數(shù)據(jù)進行的任何自動化處理，特別是為了評估自然人的工作表現(xiàn)、經(jīng)濟狀況、健康、個人偏好、興趣、可靠性、行為方式、位置或行蹤而進行的處理。顯然，所謂的自動化決策（用戶畫像）就是平臺算法。這本質(zhì)上是一條算法監(jiān)管條款。不過22條也特意列出了例外情形，包括 (a)當決策對于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的；……(c)當決策建立在數(shù)據(jù)主體的明確同意基礎(chǔ)之上。