監(jiān)管深入企業(yè)的黑箱

FTC是在公平競爭和消費(fèi)者保護(hù)方面的執(zhí)法機(jī)構(gòu)，在知悉此事后，迅速宣布2017年8月已經(jīng)達(dá)成的和解協(xié)議無效，需要重新商定有關(guān)和解條款。

2018年10月 ，F(xiàn)TC再次宣布達(dá)成新的和解協(xié)議。作為信奉自由市場的特朗普政府，治下的FTC確實(shí)對(duì)優(yōu)步手下留情，并沒有如州政府予以重罰，甚至根本就沒有罰款，但對(duì)優(yōu)步的內(nèi)部信息安全管理提出了事無巨細(xì)的要求。相比以企業(yè)外在結(jié)果為主要對(duì)象的結(jié)果保護(hù)策略，F(xiàn)TC的協(xié)議則是以企業(yè)內(nèi)部管理為主要對(duì)象的過程保護(hù)策略。也就是說，它更多地是以事前預(yù)防的思路對(duì)企業(yè)內(nèi)部可能存在的個(gè)人信息保護(hù)漏洞進(jìn)行全方位的監(jiān)管，將企業(yè)內(nèi)部的信息安全管理納入公共管理。這可以說是一種新的個(gè)人信息保護(hù)模式。

事實(shí)上，我國正在開展的個(gè)人信息保護(hù)立法（包括已經(jīng)完成的網(wǎng)絡(luò)安全法，以及2020年征求意見的數(shù)據(jù)安全法、個(gè)人信息保護(hù)法）同樣也采用了這種思路。不過，相比FTC的和解協(xié)議，中國的平臺(tái)企業(yè)享有更多的自由。FTC的和解協(xié)議建立了相對(duì)較為完備的企業(yè)信息安全制度，主要內(nèi)容包括：

●優(yōu)步需要立即建立綜合性的個(gè)人信息（隱私）保護(hù)計(jì)劃，所有計(jì)劃、方案、培訓(xùn)均需要有書面記錄。設(shè)置專門的人員負(fù)責(zé)個(gè)人信息（隱私）保護(hù)計(jì)劃。

●開展個(gè)人信息（隱私）風(fēng)險(xiǎn)排查、評(píng)估，確定風(fēng)險(xiǎn)點(diǎn)，制定整改計(jì)劃。制定個(gè)人信息（隱私）風(fēng)險(xiǎn)動(dòng)態(tài)監(jiān)控和評(píng)估方案。

●建立第三方信息（隱私）審計(jì)、評(píng)估制度，第三方審計(jì)人員需有執(zhí)業(yè)資質(zhì)并具有3年以上的從業(yè)經(jīng)歷，相關(guān)審計(jì)人員還需經(jīng)過FTC消費(fèi)者保護(hù)部門批準(zhǔn)。完成評(píng)估后10天內(nèi)，需將評(píng)估報(bào)告送FTC備查。在協(xié)議執(zhí)行開始后半年內(nèi)應(yīng)完成第一次第三方審計(jì)，以后每兩年應(yīng)至少開展一次。

●建立信息安全事故統(tǒng)計(jì)與報(bào)告制度。

●建立文件簽收與學(xué)習(xí)制度。公司所有相關(guān)人員必須學(xué)習(xí)FTC的和解協(xié)議文件，并要簽名確認(rèn)，有關(guān)學(xué)習(xí)記錄需要書面記載。

●文件簽發(fā)一年后，優(yōu)步需向FTC遞交合規(guī)報(bào)告，報(bào)告應(yīng)該宣誓內(nèi)容真實(shí)可靠，否則將承擔(dān)偽證罪。企業(yè)任何組織機(jī)構(gòu)和實(shí)體發(fā)生變化需在14天內(nèi)通知FTC，以便于監(jiān)管部門檢查、監(jiān)督。

●及時(shí)響應(yīng)監(jiān)管部門，收到FTC有關(guān)信息（隱私）安全的問詢后，優(yōu)步需在10天內(nèi)回復(fù)或響應(yīng)，有關(guān)合規(guī)報(bào)告或材料需要宣誓非偽證，并準(zhǔn)備好詳細(xì)記錄備查。

●建立信息安全檔案記錄，包括相關(guān)員工的檔案記錄（包括離職原因）、平臺(tái)用戶投訴記錄、所有可證明公司落實(shí)文件的材料、公司對(duì)外宣傳及承諾有關(guān)個(gè)人信息（隱私）保護(hù)措施、信息安全評(píng)估、審計(jì)與整改報(bào)告、安全漏洞獎(jiǎng)發(fā)放記錄、執(zhí)法部門傳票、調(diào)查與說明材料等。

福布斯網(wǎng)上關(guān)于該案件的報(bào)道截圖

加州檢察總長聯(lián)合各州與優(yōu)步達(dá)成的和解協(xié)議在巨額賠償之外其實(shí)也提出了類似的一系列企業(yè)信息安全合規(guī)要求，包括企業(yè)需要設(shè)置首席安全官，以及云存儲(chǔ)密碼、認(rèn)證強(qiáng)化制度、建立信息安全員工培訓(xùn)與違規(guī)處罰制度、第三方信息審計(jì)人員資格制度（需要5年以上的從業(yè)經(jīng)歷）、個(gè)人信息安全情況作為董事會(huì)的固定議題制度、事故確認(rèn)與報(bào)告中的律師參與制度、公司內(nèi)部違規(guī)舉報(bào)制度等。

孔子曰：“不教而殺謂之虐，不戒視成謂之暴?！泵绹?lián)邦和州相關(guān)監(jiān)管機(jī)構(gòu)利用優(yōu)步違法的契機(jī)，構(gòu)建了一套非常嚴(yán)格的企業(yè)內(nèi)部個(gè)人信息保護(hù)機(jī)制，特別強(qiáng)調(diào)內(nèi)部部門監(jiān)督、外部審計(jì)、員工培訓(xùn)等，將此前以負(fù)面清單方式的事后監(jiān)管模式推進(jìn)到以作為的義務(wù)為主的事前事中監(jiān)管模式，也就是從懲戒為主模式轉(zhuǎn)換到以預(yù)防為主的模式。

平臺(tái)企業(yè)不再是一個(gè)黑箱。通過一個(gè)設(shè)計(jì)精密的內(nèi)部監(jiān)督機(jī)制，平臺(tái)的保護(hù)更為透明，個(gè)人信息保護(hù)的目標(biāo)有更加可靠的保障。其意義在于，只有在個(gè)人信息保護(hù)有了更為可靠的保障，個(gè)人信息保護(hù)以外的平臺(tái)經(jīng)濟(jì)治理功能才有了其他可能。

算法統(tǒng)治平臺(tái)

2020年10月26日，優(yōu)步與平臺(tái)的駕駛員又一次對(duì)簿公堂。打官司對(duì)于優(yōu)步已經(jīng)是家常便飯了，不過這次有些不同。發(fā)起訴訟的是4名被除名的駕駛員，他們來自英國（3人）和葡萄牙。更值得關(guān)注的是，這次爭議的焦點(diǎn)是歐盟個(gè)人信息保護(hù)法（GDPR，通用數(shù)據(jù)保護(hù)法）所規(guī)定的個(gè)人信息權(quán)。這些駕駛員在2020年6月20日左右分別要求優(yōu)步提供涉及本人的個(gè)人數(shù)據(jù)，這是歐盟通用數(shù)據(jù)保護(hù)法15條所規(guī)定的個(gè)人數(shù)據(jù)訪問權(quán)（The right to access）。

4名駕駛員做出這樣的動(dòng)作也是事出有因。按照優(yōu)步的說法，4名駕駛員均是因?yàn)槠垓_性行為或者違規(guī)操縱（不當(dāng)使用）駕駛員手機(jī)應(yīng)用程序。直白地說，就是駕駛員或因?yàn)樘魡我缘葍r(jià)格上漲后的好單（game the surge），或是因?yàn)樗阶园惭b其他應(yīng)用程序改變手機(jī)狀態(tài)欺騙優(yōu)步的駕駛員應(yīng)用程序（如改變位置），被平臺(tái)算法判定為嚴(yán)重違規(guī)而被除名（在優(yōu)步平臺(tái)上沒有開除的概念，永久凍結(jié)賬號(hào)則是一個(gè)等同的說法），而做出這些決策的都是平臺(tái)的算法。換句話說，4名駕駛員都是被算法監(jiān)控到有違規(guī)行為并被算法除名（開除）的。

不過，駕駛員并不這樣認(rèn)為，他們認(rèn)為是自己只是行使了自由選擇工作時(shí)間的權(quán)利，而這也是優(yōu)步平臺(tái)一向?qū)ν庑Q駕駛員所具有的權(quán)利，并且也正是具有這樣的自由，駕駛員才不被平臺(tái)認(rèn)為是平臺(tái)的雇員，而是自由職業(yè)者，甚至是所謂的“微型企業(yè)家”。平臺(tái)與駕駛是合作伙伴。4名駕駛員否認(rèn)存在欺詐或不當(dāng)行為，且優(yōu)步?jīng)]有提供申述機(jī)會(huì)，使得他們的命運(yùn)被算法所掌控。因此，他們向優(yōu)步歐洲總部所在的荷蘭阿姆斯特丹地方法院提起了訴訟。

駕駛員起訴優(yōu)步最主要的法律依據(jù)就是2018年5月開始施行的歐盟通用數(shù)據(jù)保護(hù)法。按照歐盟通用數(shù)據(jù)保護(hù)法第15條，數(shù)據(jù)主體有權(quán)訪問個(gè)人數(shù)據(jù)并獲知數(shù)據(jù)處理的目的、數(shù)據(jù)類型以及有權(quán)要求糾正不準(zhǔn)確的數(shù)據(jù)。第22條則涉及自動(dòng)化決策和用戶畫像，“數(shù)據(jù)主體有權(quán)反對(duì)此類決策：完全依靠自動(dòng)化處理——包括用戶畫像——對(duì)數(shù)據(jù)主體做出具有法律影響或類似嚴(yán)重影響的決策”。

按照歐盟通用數(shù)據(jù)保護(hù)法的定義，“用戶畫像”指的是為了評(píng)估自然人的某些條件而對(duì)個(gè)人數(shù)據(jù)進(jìn)行的任何自動(dòng)化處理，特別是為了評(píng)估自然人的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康、個(gè)人偏好、興趣、可靠性、行為方式、位置或行蹤而進(jìn)行的處理。顯然，所謂的自動(dòng)化決策（用戶畫像）就是平臺(tái)算法。這本質(zhì)上是一條算法監(jiān)管條款。不過22條也特意列出了例外情形，包括 (a)當(dāng)決策對(duì)于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的；……(c)當(dāng)決策建立在數(shù)據(jù)主體的明確同意基礎(chǔ)之上。