数据偏见作为数字化时代的负面效应,不同于主观性强、追责明晰、纠错容易的算法歧视。数据偏见分为人为、机器数据偏见两类,具有发生必然性、高隐蔽性、主体地位不对等、动态连锁性等特征,易于侵害名誉权等具体人格权和人格尊严等一般人格权,提出了法律规制的新挑战。根据权利义务对等理论和场域风险控制理论,应厘清人为数据偏见侵害人格权认定规则:细化数据主体信息访问权,扩张偏见事由范畴以认定侵权行为;排除间接损失,以纯粹经济损失为限动态评价损害事实;以合理预见理论认定侵权因果关系;以过错推定原则认定数据处理者主观过错。同时针对数据偏见对人格权的影响程度进行数据分级治理和数据分析工具分类治理,以明晰机器数据偏见侵害人格权的注意义务层次。2022年12月,清华大学交叉信息研究院发布的研究结果显示,在包含职业词汇的“中性”句子中,AI预测生成的模板却包含一定性别倾向:GPT-2有70.59%的概率将教师预测为男性,将医生预测为男性的概率则是64.03%。包括Google研发的BERT以及Facebook研发的RoBERTa在内,所有受测AI对于测试职业的性别预判,结果倾向都为男性。面对愈演愈烈的“人工智能涉嫌人格歧视”争议,openAI的解释是,Chatgpt接受了海量的文本数据训练,做出的应答结果和反应来源于数据调教。似乎没有简单将人工智能的歧视归因于算法,而是来源于系统的训练数据偏见。因种族歧视、性别歧视而广受诟病的人工智能Lensa,其开发者Prisma Labs则指出:Lensa和Stable Diffusion一样都是使用互联网上未经过滤的数据训练而来,它和Stability AI公司都不能“有意识地应用任何偏见,或有意地整合传统的美学元素。”该公司表示人工制造的、未经过滤的网络数据将该模型带入了人类现有的偏见,人工智能的偏见结果与数据息息相关。在法律规范层面,我国目前尚未对数据偏见进行专门立法,相关规则散见于电子商务法、《互联网信息服务算法推荐管理规定》《生成式人工智能服务管理暂行办法》(以下简称《办法》)等法律法规中,但也只是对数据选择与应用做出了“避免歧视”“不得歧视”的简单规定。目前国家的政策导向到地方立法重心也都更关注数据资源要素的价值实现,数据产权的合理配置,以及数据生产经营的有效激励。在司法实践层面,我国仅有两例原告以数据偏见为由胜诉的案例,一例主张大数据杀熟带来的差别对待侵害侵权,另一例主张数据有误造成商誉诋毁侵权。通过梳理其余数据偏见原告败诉案件后发现,法院多以侵害方不具有合同主体资格,以及差别对待行为属于正当商业行为为由作出判决。这种裁判倾向导致了个人权益保护与数据技术在社会治理中运用效能的失衡,现行数据偏见的规制路径明显有待优化。在理论研究层面,现有学者对数据化决策过程中,侵害人格权的法律规制研究相对不足,大多讨论是否存在数字人权,以及对数据人权保护理念、原则、框架等方面的宏观研究,对于数据偏见侵害人格权法律规制具体制度上的研究较为欠缺。因此,本文从数据偏见的表现形式与特征出发,厘清其可能损害的人格权益,并对现有规制体系和治理模式分类梳理,最终提出完善规制数据偏见侵害人格权的系统方案。
在探讨现代技术特别是人工智能和机器学习中的歧视问题时,我们通常会遇到两个核心概念:算法歧视和数据偏见。虽然这两个问题都可能导致不公平和歧视性的结果,但它们的根源、表现形式及解决方法却有所不同。算法歧视通常指算法本身——即编码实现中包含的歧视性偏好或决策,这种歧视可能是由于算法设计者的主观偏见导致的,带有纯粹工具性与技术性。算法歧视的特点在于其主观性较强,追责主体相对明晰,纠正方式也相对直接。一旦发现算法中存在歧视性代码或规则,很容易锁定算法开发者为首要的责任主体,并通过修改或移除这些歧视性成分即可相对便利地解决问题。例如,如果一个信用评分算法被发现故意对某一特定族群给予更低的信用评分,那么最直接的解决方法就是责令算法开发者改变或删除导致这种不平等的代码逻辑。然而,数据偏见的问题则更为复杂。数据偏见指机器学习、训练所依赖的数据集包含偏见,这种偏见可能是原始数据就带有的、历史的、社会结构性的或是文化性的偏见,也可能是数据处理者对采集的数据进行了偏见性选择。与算法歧视不同,数据偏见并不是由算法的设计或编码直接导致的,它既反映了训练数据中的先天不平等,又蕴含着数据筛选、标记、反馈过程中的人为偏见。由于人工智能机器学习在本质上是通过分析训练数据来“学习”如何进行预测或做出决策,如果训练数据本身就存在歧视,或是在数据采集删减时存在主观判断,那么对此类数据进行分析得出的决策结果将不可避免地存在偏见。又由于具体数据分析过程具有不透明性,而人工智能深度学习的数据训练过程具有“预测”的功能(类似于心理学中的预判),对蕴含偏见数据进行分析学习容易导致对部分群体或个人更严重的区别对待,从而进一步深化歧视,加深偏见。
根据数据偏见成因可将其分为人为数据偏见与机器数据偏见两种。在人工智能和机器学习领域,人为数据偏见会在多个阶段渗透进系统中,从而影响基于海量数据的人工智能系统的准确性和公平性。这些偏见可以源自数据的采集和筛选、机器学习中的数据标注,以及数据分析结果处理与反馈机制。广泛存在的人为数据偏见使数据技术难以公平和负责任地服务于大众利益。首先,数据采集过程包含人为偏见。任何数据分析工具的第一步都是采集和选择海量数据,这一步骤至关重要,因为数据构成了数据分析与模型学习做出预测或决策的基础。然而,这些数据在采集或者筛选时可能被有意或无意地预设了偏见,从而被主观地删减,导致进行数据分析的样本将不能公平地代表目标人群的多样性,最终输出结果就可能承受这些偏见。例如,如果用于就业信息推荐系统的数据集在筛选时主要对某一特定地区的就业需求进行了采集、分析,那么模型对其他地区就业需求的识别、推荐、匹配能力就可能会显著下降。其次,数据标注过程包含人为偏见。数据分析中的数据标注让每个数据样本都被赋予一个特定的标签,使人工智能模型使用这些标签来学习如何将特定的输入与特定的输出相关联。然而,标注过程可能受到人为偏见的影响,特别是当标注者让自己的刻板印象影响标注方式时,对数据集有偏或不正确的标注会导致模型给出有偏的预测或结果。最后,数据反馈机制包含人为偏见。当模型被训练并开始部署以做出预测或决策时,结果的处理方式以及系统的接收、整合、反馈也可能引入偏见。如果用于调整或改进模型的反馈主要来自用户的一个子集,或者模型的成功标准未能公平地考虑所有用户,那么模型将随时间变化而越来越有偏见。例如,在信贷风控系统中,信贷风控模型通常基于历史数据来评估客户的信用风险。如果历史数据中存在偏见,比如某些群体曾因历史原因获得贷款的机会较少,即使后期历史原因被消除,这些包含偏见的历史数据仍会被模型学习并反映在未来的贷款决策中。同时,数据分析工具本就基于人类反馈的强化学习机制循环地反复训练,当原始模型输出的内容在由标注人员建立的“人类偏好标准”的打分模型中分数偏低时,它将会被要求重新学习。因此,数据分析结果反馈机制渗入标注人员的偏好将导致生成存在歧视偏见的信息。机器数据偏见在数据被人为运用前就客观形成,不可预测而难以控制,是由数据质量问题引发的偏见后果。实践中,“喂养”ChatGPT算法模型的海量数据来源于开源数据集合如Wikipedia、ROOT等,GPT-4更是广泛利用爬虫技术从互联网中抓取数据。这意味着数据集在多样性、真实性等方面可能存在缺陷,此类数据运用于数据分析中将更容易生成偏见内容,机器数据偏见的形成主要有以下三方面原因。首先是代表性瑕疵,即数据集在采集过程中未能充分和公平地代表目标群体或现象,导致模型训练结果偏向于数据集中过度代表的群体。这种瑕疵可能导致对某些人群或情况的歧视,影响决策的公正性。例如,在人工智能系统用于招聘过程中,如果历史招聘数据显示对某一性别的偏好,基于这些数据训练的模型可能会继承并放大这种偏好,从而在未来的招聘过程中对该性别进行不公平的歧视。其次是时效性偏差,即数据集反映的是过去某个时间点或时间段的信息,而这些信息可能已不再准确地反映当前的情况或趋势。时效性偏差可能导致基于这些数据做出的决策不再适应当前环境,进而影响决策的有效性。举例来说,使用数年前的消费者购买行为数据来预测当前的市场趋势可能不会得到准确的预测结果,因为消费者的偏好和市场条件可能已经发生了变化。最后是社会固有偏见,即社会结构和文化中存在的预设观念和歧视态度,这些偏见可能在数据采集、处理和分析过程中无意中被引入。这种类型的偏见可能会导致对某些群体的系统性不公,例如基于种族、性别、年龄或社会经济地位的歧视。例如,如果一个信用评分模型训练的数据集包含了对低收入群体的负面偏见,那么该模型可能会不公平地对这些群体的信用评分进行负面评估。
与人工智能算法多由科技公司开发,且需进行备案与公开不同,数据来源多元,歧视来源也多种多样。偏见作为复杂的社会问题,不论是数据处理者在数据筛选、标注、反馈时可能存在的人为偏见,还是训练数据中本身存在的原始偏见,都只能缓解,而无法完全清除。因为数据作为社会历史和现实中信息的数字化表现模式,必然会反映出不同时代地区的群体认知差异,并可能包含人类社会固有偏见,从而形成难以消除与改正的数据偏见。因此,数据偏见的发生具有必然性。
不同于算法歧视中可以比对代码发现问题,并针对性改进,数据海量多样,存在歧视不易察觉,决策过程也并非公开透明,计算机领域的高技术门槛使公众一般只能简单获取最终的生成内容,并被动地接受决策结果,而难以发现可能存在数据偏见。同时,数据本身就可能存在隐蔽性极高的隐形偏见,即使看似无害的中立数据,也存在被滥用的风险。对于数据收集类型的限制并不必然带来数据偏见的减少,相反,中立的数据同样可能因为人为的选择与设定而产生偏见,这种偏见将以更加隐蔽的形式存在着。况且,是否存在价值中立的数据以及由谁来判断数据的价值中立性本身就是无解的难题。
遭受数据偏见的数据主体与数据处理者之间往往地位悬殊,公民个人掌握的“权力”远不及大数据处理者,数据运用与系统设计的高度专业性,导致数据处理者与普通公众之间存在显著的技术壁垒。此种力量的不对称性使得处于弱势地位的普通公众难以从专业的程序代码层面理解数据的应用过程、行为依据以及决策结构,也难以质疑数据关系并要求更正,对行为的公平性、可靠性和无偏见性也难以验证,最终只能成为福柯笔下被“规训”的对象。
数据之间会相互影响,并通过循环反馈不断加深偏见。原始带有歧视的数据经算法处理后生成的衍生数据如果没有经特定处理的话歧视会不断强化。由于人工智能内部具有系统连锁性,算法的自动化决策使带有偏见的生成内容又将反馈给内部数据循环系统,进一步加深偏见数据的循环和影响,使根据偏见数据“输出”的歧视性结果和产生歧视性的危害动态变化且难以逆转。
数据处理者运用数据产生偏见的过程中,可能对隐私权和个人信息权益等人格权造成的侵害与算法歧视并无差别,现有研究对算法歧视侵害此类人格权的保护与规制已论述得足够充分,兹不赘述,此处主要探讨数据偏见可能侵害的其他人格权益。
在数字时代背景下,数据的去中心化来源、永久化存储及便利化获取等特性,以及人工智能对数据的广泛收集、利用与生成行为,共同推动了社会资源的配置和行为规范的形成。这种数据的广泛应用不仅显著影响了个人及社会生活,还引发了数据公开与流转的附随效应。尤其是在自利机制驱动下对数据的不当使用将导致对数据主体的偏见歧视,从而造成严重的人格贬损。主要分为两方面,一是信用数据的不当利用,指即便数据主体的失信行为得到修正,数据处理者仍然会基于过去的失信记录进行数据收集和利用,未能彻底删除的失信数据将持续影响数据主体的信用评价,导致其面临更加长期的社会性制裁。此现象严重妨碍了失信主体在恢复信用后的社会再融合过程,使之仿佛置身于监视与歧视无处不在的“圆形监狱”。二是数据信息的不当评价,指数据处理者会根据数据主体的相关信息进行不当联想,如在购物软件输入塑形衣、低卡食物以及健身器材等关键词时,系统会收集用户检索数据并自动补充“减肥”等关键词,从而推送含有“肥胖”字眼的瘦身产品广告。数据处理者根据浏览记录对用户进行人物画像时,则可能与“肥胖”等负面词汇绑定,对数据主体进行不当评价。又如社交平台进行用户定位时根据聊天内容中涉及“金融”相关词汇的收集而将用户认定为“违法分子”,从而对数据主体进行错误判断贬损其价值。不论是信用数据的更新不及时产生的数据偏见,还是数据处理者对数据的联想从而对数据主体造成不当评价与错误判断,都可能严重影响个人与企业的社会评价,从而侵犯数据主体名誉权。
一方面,数据偏见导致的差别对待会加深就业歧视,在劳动就业领域,大数据已成为不少用人单位选人、用人的重要依仗。如多种线上招聘软件会根据求职者的性别、年龄、户籍、健康状况、工作表现等个人数据对用户进行自动化区分、评级、排序和决策,并针对性地显示部分招聘信息和隐去部分招聘信息。因此,劳动就业领域的数据偏见可分为两种,一种是基于不同求职者个人信息差异导致的获得的就业数据权限不平等,从而产生就业数据权限偏见;另一种是由于求职者缺乏对个人信息匹配就业信息的数据决策模式的理解,难以监督公平性而产生的就业数据解释偏见。而最高人民法院已明确将平等就业权纠纷列入一般人格权纠纷中,差别对待影响平等就业将可能侵犯人格平等与人格尊严。且数据个性化会产生特殊的个体性规则,这种规则挑战法律的普遍适用性,将影响求职者平等就业和选择职业的权利,又会造成实质上的不平等。法律上的偏见以侵犯个人之权利与利益为基础,民事主体对平等价值的追求是法律禁止数据偏见的基础。另一方面,差别对待还严重限制了公民人格自由。不同于一些社交平台评论区可按“热度/时间”对评论展示情况进行自主选择,短视频平台却并没有给用户自主选择评论排序的权利,同一视频的评论区甚至会根据用户主页的年龄、性别、地区等信息将人分类并针对性显示部分评论,导致有共同标签的人,被拉入同一群体讨论区中,而相反的意见却几乎消失。差别显示评论的行为一定程度上还剥夺了普通用户发声的权利。用户可以自行搜索、获取大数据没有推送的内容,却难以精准定位大数据没有显示的评论,普通用户表达的观点和看法就这样沉底、隐匿,逐渐消失在互联网中。
首先是侵权行为更加复杂。主体地位的巨大差异以及数据偏见的高隐蔽性使数据主体难以理解并发现侵权行为,尤其是对于侵害一般人格权的数据偏见,其表现形式为差别对待而非直接对数据主体造成价值贬损,侵权行为与损害结果非同时发生,使用户更难及时发现行为的发生。且数据偏见不仅包含性别、种族、民族、宗教信仰等易于发现的传统偏见事由,还包含由无意识的偏见判断和社会行为导致的隐形偏见,这种基于个人经验和刻板印象做出的假设,并非有意而为之,也不一定适用于普遍的情况。尤其在未拟定的情形中使用海量数据时,若特定群体长期因各种因素处于弱势状态,在数据筛选与处理中技术人员很容易继续延续他们自身或许都难以察觉的固有偏见,导致无指向性的中立数据也可能被用于产生歧视的侵权行为,使数据应用也不自觉走上偏见的老路,继续深化歧视。但传统的反歧视规制要求,偏见必须基于法律明文规定的性别、种族、民族、宗教信仰等个人特征,因此,若数据处理者利用非法定事由范围内的数据导致的偏见,通常难以被认定为法律意义上的歧视。其次是因果关系认定难。传统人格权侵权中因果关系的认定通常采用相当因果关系说,其核心在于评估行为与损害之间是否存在一种合理的、可预见的联系。在数据偏见场景中,评判这种“相当性”变得复杂,因为它依赖于一般人知识经验判断的“通常性”,或是行为对损害发生可能性的提升程度,两者在数据偏见的背景下都难以明确。数据偏见行为的隐蔽性和技术复杂性,加上数据体量的庞大和持续更新,使得歧视的成因难以确切定位,且生成行为无法完全复刻,重复操作证明歧视存在的难度较大。此外,海量数据训练应用技术的科学规律尚未被完全理解,也进一步强化了相当因果关系理论在人工智能场景下应用的局限性。在我国通说采相当因果关系的背景下,虽然可通过降低基准点和采取宽松的提升程度标准来适应这类情形,但这也意味着对数据处理者提出了近乎无过错责任的要求,与鼓励数据技术发展的目标可能不一致。因此,数据偏见侵权责任中的因果关系认定困难暴露了现有法律框架在处理数据问题时的局限,需求对传统因果关系理论进行重新评估和调整。再次是损害后果不确定。与普通人格权侵权行为相比,数据偏见侵害人格权行为不可逆转且难以估量,将在极短的时间内给受害人造成极其严重的损害后果。侵权行为扩散快,受损权益难以计算。对于表现形式为价值贬损侵害名誉权的数据偏见,其损害后果实时发生,但具体损害却难以被计算,存在不确定性。因为数据偏见发生后,数据处理者将会迅速推送给每一个与之关联的用户,并于相应平台进行内容共享,相较传统侵权其传播速度更快、影响范围更广且影响后果难以消除,造成社会评价降低的同时还将影响数据主体生活的方方面面。而对于表现形式为差别对待,侵害一般人格权的数据偏见,其损害后果并非实时发生,损害的规模、内容、发生时间及受害对象也存在不确定性。同时,数据被使用的动机和目的通常也是未知的,如果数据主体尚未遭受损害,预测未来损害的发生将极为困难。且按照传统损害赔偿制度,对于即将发生的损害也存在较大的证明难度。最后是侵权过错证明难。民法典虽赋予了公民个人遭受数据偏见可以侵犯人格权为由起诉数据处理者的事后救济权利,但更为具体的举证责任分配问题并未得到明确。一般侵权责任认定以过错责任原则为基础,由被侵权人对侵权人实施侵权行为有过错进行举证。对于数据偏见造成的侵权,在数据偏见行为与其产生的歧视性结果之间过错的举证方面,如果以传统的原告方承担举证责任,一般需认定数据处理者存在主观过错。然而实践中,基于数据偏见的隐蔽性和主体地位不对等性,掌握着技术、数据优势的数据处理者总能找到“价格随时间动态变化,随需求正常调整”等理由进行抗辩,极大增加了公民个人的举证难度。此外,数据偏见成因多样,也无法将相关责任完全置于单一的数据处理者,现有侵权归责原则难以适应数据偏见的生成逻辑,导致公民个人维权陷入困境。
机器数据偏见是人工智能和机器学习领域一个根深蒂固的问题,尽管存在诸多纠偏技术,如数据重采、纠偏算法和公平约束等,旨在识别并减轻训练数据中的偏见,但这些技术自身存在一定的局限性。一方面,纠偏标准并未统一。在不同的社会、文化和法律背景下,对偏见和歧视的构成存在理解差异,这使得制定一个普遍接受的纠偏标准变得极为困难。缺乏统一的标准不仅使得纠偏工作缺乏明确的方向和依据,也使得评估纠偏效果的标准变得模糊不清。难以衡量其有效性和公正性。且实际情况中,偏见的形式多样且复杂,不同背景和领域中的偏见标准可能大相径庭。这就导致了纠偏标准在应用时需要高度定制化,无法广泛适用于所有类型的数据和场景。另一方面,即使在特定情况下成功应用了纠偏技术,也很难保证纠偏结果达到完全公平。这是因为技术特征与社会行为存在相互构建,纠偏过程本身可能引入新的偏见,或者只是粗糙地增加反事实数据实现粗糙的数据平衡,而无法消除微妙或隐性的社会偏见。与机器数据偏见技术治理失灵相对应的是法律责任承担上的难题。数据安全法第四章规定的数据安全保护义务不同于民法典侵权责任编仅局限于事后追责阶段,而是涵盖了事前、事中、事后多个环节,贯穿整个数据生命周期,这一义务所保护的“法益”也远远超出民法典中网络服务提供者保护的民事权益范围。“合理注意义务”的标准,是指某项安全保障措施在技术上已经成熟且不会给义务人造成很大负担,并在风险防范与收益成本上符合比例原则,方可加诸义务人。因此,数据处理者的法律责任应与其对数据安全的控制能力相匹配。然而,数据安全法中安全保护义务条文设定的注意义务却较为宽泛:不仅要求数据处理者遵守数据安全制度要求,还要求其在数据收集、加工、利用等过程中符合社会道德与科技伦理。此类规定难以解决数据处理者不作为与偏见损害后果之间因果关系的认定困难,对机器数据偏见的注意义务有待进一步细化。数据偏见成因与损害后果的不同使得对其进行类型化研究不可避免,且数据偏见的发生必然性,高隐蔽性,主体地位不对等,动态连锁性等特征更是让人为数据偏见在人格权侵权认定上存在诸多困难,需要针对损害后果不同的数据偏见分别探讨,制定不同于传统人格权侵权认定的判断标准。此外,机器数据偏见的无法根除还冲击了传统网络服务商注意义务的设置,技术局限性与标准差异性使数据处理者注意义务有层次划分的必要性和可行性。完善数据偏见侵害人格权的法律规制主要可基于以下两个法理基础。
在法律框架中,权利与义务的关系对等且相适应,数据处理者享有的数据越多,数据分析技术越先进,可能获得的经济利益就越显著,也称为“数据红利”。随着数据量的增加和数据分析技术的进步,这些利益可能变得更加多样化。因此,数据处理者承担的风险和义务应相应增加,以确保其享有权利的行使不会损害他人权益或社会公共利益。首先,在侵权行为认定中,数据主体在数据偏见行为的发生上具有举证责任,然而数据具体访问规定并不完善,数据主体对数据的利用和获取程度难以完全承担这一举证责任。需要基于数据处理者的举证义务,根据权利义务对等原则,细化数据主体信息访问权利。同时,又由于数据处理者具有绝对技术优势,可自行将中立代码演变为偏见成因。偏见事由的定义,尤其是隐性偏见事由的定义应进一步扩张,以合理保护数据主体权益。其次,在损害事实认定中,应将数据处理者享有的权利与对人格权侵害的具体权益纳入损害考量因素,分类判断。再次,因果关系认定中,数据主体处于信息不对等和法律资源匮乏的弱势地位,为使数据处理者更谨慎地行使权利,避免对人格权这一民事主体最基本,最重要权利的侵害,必要时应对数据主体进行一定程度的倾斜保护,以平衡双方权利义务。最后,在侵权过错的认定中,数据处理者与用户在主体地位和数据权利上的巨大差异使得传统侵权举证责任的设置不再具有合理性。根据权利义务对等原则,在数据偏见侵害人格权认定中,应调整举证责任的分配,在信息掌握、技术资源、法律能力方面具有绝对优势的数据处理者应承担更多义务与责任,从而确保公平正义。同时,在数据偏见规制方面,海量数据的分析应用模式加强了数据处理者与数据间的利益关联,相比于普通网络服务提供者,他们有更精准的用户画像和功能服务,从而获得了更强的用户粘性与更多的经济收益,也带来了数据偏见侵害人格权益的频繁发生与严重后果。在所获利益与侵权风险同时扩张的情况下,又基于数据安全法对数据处理者注意义务承担提出的更高要求:积极追求符合社会公共利益结果的发生,数据处理者有理由负有比普通网络服务提供者更高的注意义务。且违反注意义务与承担民事责任之间的因果关系,是基于行为人具有避免损害发生的能力这一前提,注意义务的履行应具有现实性。因此,不宜一刀切地划定数据处理者注意义务标准,而应根据其具体侵权风险和应用场景进行类型化分析,其注意义务应与信息处理和控制能力的提高而相应提高。在当今数据驱动的社会中,数据处理者义务与数据主体权利的增强不仅是对其权利与义务关系的再调整,更是为了重新平衡数据处理者、数据主体及其他相关方的利益。这种再平衡是为了应对新技术运用对传统利益格局的深刻影响。一方面,数据处理者的角色发生了转变,其运行模式高度依赖于海量的数据分析,因此其对训练数据的管控能力一定程度上高于普通网络服务提供者。同时,随着技术进步,应考量的不仅是数据处理者管控能力的增强,还有人格权侵权风险的增加。因此,将数据技术应用与数据处理者责任直接相关联并不意味着技术更先进的数据处理者一定承担更多义务。依据权利与义务相适应的法律原则,当数据处理者的管控能力提升时,其对侵权行为的预防、控制义务也应相应增强。这种义务的加强有助于防止因技术能力的增强而使权益保护的天平偏向于日益强大的数据处理者。另一方面,根据权利义务对等原则提高数据处理者义务更具有经济合理性。数据处理者预防风险发生、制止损害扩大所需的成本相较于海量数据主体诉讼维权的成本更低,因为在技术上具有绝对优势的数据处理者相比被侵权的数据主体,能更有效地识别风险,从而及时采取措施减少侵权行为的发生。在科技快速变革的今天,数据处理者的技术进步不应被视为减轻其法律责任的借口,反而应增加其在人格权保护方面的法律责任,确保合法权益在技术进步的大潮中不被侵蚀。科技的变革应当与合法权益的保护同行,人格权益的保护不应为行业技术发展让步。总之,随着数据分析技术的应用日益广泛和深入,数据处理者在人格权保护中的义务应当扩展,体现出“权力越大、涉入越深、利益越大、责任越重”的法律要求,并通过合理的法律调整,对处于弱势地位的数据主体进行相应倾斜保护,确保所有利益相关者的权益得到充分而公正地保障。
场域,即实践空间,旨在解答行动者开展实践的场所。从关系视角出发,场域可以界定为网络或构型,也即存在于各种位置之间的客观关系。作为个体的场域拥有独立的运行逻辑,无法归属于其他场域或结合成为更大的系统逻辑。数据场域,可以定义为由一系列数据活动涉及的客观关系构成的特殊实践空间。这个空间由数据处理者,数据主体和监管部门参与数据运行活动所处的不同位置构成,具有独立的内在运行逻辑。在数据场域这一大的场域背景下,数据处理者在数据偏见规制中所占据的资本已经逐渐超越用户和监管方。用户的反制和监管者的常规监管难以与大型人工智能进行对等博弈,进而引发资本配置的异化现象,导致他治的效果不如预期,自治与他治的紧张关系进一步加剧和凸显。而风险控制是指行为人对其在事实或法律上能够支配的风险,要负有控制责任。一方面行为人更了解风险的事实和情况,另一方面行为人有能力可以控制危险所致损害的发生。因此,数据处理者利用数据技术开发的数据分析工具有着类似公共场所的开放性、社会性特点,参照社会公共场所管控者的“善良管理人”义务,数据处理者同样需承担与其专业能力、认知能力相一致的安全保障义务,在其能力范围内对管控的区域进行危险控制。一方面,应对偏见风险不同的数据分级治理,实现不同级别数据全方面安全保障,从而有效提升数据处理者对海量数据处理的效率,更有助于技术资源分配,确保级别更高更为重要的数据得到足够的保护。另一方面,应进一步细分数据应用场域,对具有不同自治能力的数据处理者在数据偏见侵害人格权的注意义务进行干预和调整,侧重保护不同类型数据分析工具的价值开发。对于数据偏见侵害人格权发生可能性更高和风险影响更大的领域,应承担更高的注意义务,以确保数据运营的安全和稳定,并推动形成新的习惯。在数据偏见规制领域,分类分级治理作为场域风险治理理论下,一种针对数据、数据偏见类型和数据分析工具的治理策略,其核心思想是根据数据的重要性和影响程度进行级别的划分,并根据数据分析工具的应用场景与属性特征进行类别的划分,以便数据处理者更好地管理和使用数据和数据分析工具,从而确保数据和数据分析工具得到与其重要性和影响程度相适应的保护和管理,以提高管理效率,降低风险,实现资源的优化配置,提高数据规制的透明度和可追溯性。
面对数据偏见侵害人格权行为的高技术性与数据应用的不透明性,应进一步明确被侵权人作为数据主体的信息访问权。我国个人信息保护法第45条虽明确规定了“查阅、复制权”,但理论规定与实践运用都不多,权利行使范围、响应方式、响应时间都有待明晰。对此可参考《EDPB数据主体访问权指南》明晰对个人数据的访问:验证访问主体身份应满足最小必要原则,避免不必要的个人信息被过度收集;数据访问方式应以“简洁、透明、易懂和容易获得”为原则,面对大量数据可提出“分层”获取请求,避免访问权利的限制行使;访问客体从个人信息拓展至非个人信息,数据访问权的行使也不应过度、没有依据或对他人权利和自由造成不利影响。我国非个人数据的访问规则需要细化。用户不得将获得的数据用于开发与数据来源的产品相竞争的产品,也不得以此为目的与另一第三方分享数据,且不得使用这些数据来了解数据处理者的经济情况、资产和生产办法,从而为人格权侵权认定提供有力证据的同时,又避免对数据处理者商业价值的损耗。在显性数据偏见的行为认定上,被侵权人可参照《办法》第4条第2款一一筛选数据处理者是否存在因不同民族、信仰、国别、地域、性别、年龄、职业、健康而进行直接差别对待或价值贬损行为,需要举证数据处理者所运用的数据存在偏见事由或者证明其以偏见事由作为分析要素从而得出偏见性结果,以证明存在显性、直接的数据偏见。在隐形数据偏见的行为认定上,伪中立代理标签(如以身高、体重代替性别,以清真食品的消费记录代替宗教,以邮政编码代替民族与地域)广泛存在,导致大量潜在、隐蔽、动态且难以预知的偏见事由产生了数据偏见。“偏见事由法定”将导致诸多隐性数据偏见现象游离于法律规制之外,难以完全涵盖且精准适用于数据偏见的各种情形与后果。因此,有必要突破“偏见事由法定”的限制,保持偏见事由范畴的灵活性和开放性,从而更全面地规制数据偏见新情况。
对于表现形式为价值贬损,侵害名誉权的数据偏见损害后果认定,应排除间接损害。因间接损害与数据偏见之间因果联系较远,难以直接归责于数据处理者;且考虑利益平衡,承认间接损害可能不当扩展对数据处理者的责任,加剧其负担。在操作上,可从时间维度上进行损害的界定,以时间节点与结果周期为限度界定损害发展情况,并通过类比原则,基于此种数据偏见侵害人格权与传统网络侵害人格权案件在损害后果扩散这一特征上的相似性,对数据偏见现有损害和传统网络侵权导致人格贬损的案例的损害发展进行比较,以相似案例的结果作为参考标准确定损害发展的必要切割点来排除衍生的间接损害,从而避免数据处理者责任承担无限扩大。对于表现形式为差别对待,侵害一般人格权的数据偏见损害后果认定,应以纯粹的经济损失为限,动态评价,综合考量。因为不论是个人信息保护法还是数据安全法的立法目的都在于保护数据主体的权益,但在制定相关法律政策时,需平衡数据应用技术与个人权益保护之间的关系。权益保护意味着对数据偏见造成的损害进行赔偿,但过度的权益保护不仅不现实,还可能阻碍数据技术的发展,反过来又可能导致数据主体承担不合理的数据流通风险与成本。且对于差别对待型数据偏见的后续损害风险,可以根据数据处理者对数据的应用功能与分析目的进行相应推测,具有特定性。在这一背景下,同样应从合理可预见性理论角度出发,对数据偏见行为与侵害人格权法律后果的可预见性进行综合评估,可通过数据处理者的偏见数据处理能力、偏见预防措施的完备性、数据本身的敏感程度(是否本身就属于直接偏见事由)动态考量后续损害风险的发生可能性,从而实现数据技术发展与个人权益保护的平衡。
基于相当因果关系理论的适用限制,可尝试以合理可预见理论为解决数据偏见侵害人格权因果关系问题提供新的视角。根据合理可预见理论,数据偏见侵害人格权场景中认定侵权行为与损害结果间有因果关系存在两种可能途径:一种是对于侵害名誉权的数据偏见,将侵权内容视为数据处理者能够合理预见的结果从而认定因果关系成立;另一种是对于侵害一般人格权的数据偏见,虽然侵权内容因不确定性而难以被直接预见,但数据偏见侵害人格权的因果关系仍然存在。合理可预见理论的应用,第一种途径因数据偏见造成价值贬损的侵害后果实时发生,将合理可预见理论适用于人格权侵权风险的预见存在合理性,而第二种路径考虑到数据偏见通过差别对待的行为模式侵害一般人格权的难以预测性和不确定性,“合理可预见”还需在理论上论证“例外”的正当性,以确保对服务提供者的责任认定是公正的。英美法对于不可预见的损害原则上不认定因果关系,但“蛋壳脑袋规则”作为一个重要例外,强调即使损害程度或类型超出了合理预见的范围,侵权人也应对受害人的损害承担责任。这一规则的正当性在于尽量保护受害人的人格权,鼓励特殊体质者参与社会交往,展现出对弱势群体的人文关怀。我国法院也在实际裁判中充分采纳了这一规则。因此,虽然数据偏见侵害人格权的情境与主要适用于身体受损的“蛋壳脑袋”场景存在差异,但从主体地位差异巨大延伸至受害人倾斜性保护的角度出发,“蛋壳脑袋规则”对数据处理者的责任认定具有参考价值。即认定数据偏见侵害人格权的因果关系,也可从对数据主体的倾斜性保护角度展开论证。比如,虽然要求数据处理者对其无法预测和确定的人格权损害后果承担责任有些无辜,但要求数据主体承担这一风险则“更加”无辜,所以应认定因果关系的存在。
个人数据访问权的设立便于数据主体获取数据偏见侵害人格权的关键证据,一定程度上克服了由于证据不均匀分布导致的结构性偏在,但个人对该类证据的运用能力仍存在难以逾越的障碍,知识性证据偏在无法避免。对此,法官应针对不同案件分别考量,指导双方当事人进行必要举证,如数据偏见受害人完成了数据处理者具有过错和因果关系的初步举证,面对数据证据的知识性偏在应及时发挥技术人员的作用,积极探求技术方面的事实。当事人可以提供技术专家出庭作证,司法机关也可以借助技术调查官等的力量进行算法技术原理、发展情况、技术可行性等问题的查明。而面对数据处理者随时可能采取遗忘、覆盖和篡改等技术控制手段导致的结构性证据偏见,在国家大力支持数字产业发展的政策背景下,司法机关应积极改变数字应用带来的权力与权利赋能不平等,规制数据背后的权力主体,给予个人权利以救济。如在胡某诉上海进某商务有限公司侵权纠纷案中,原告胡某提供初步证据后,由被告进程平台提交诉争前后一个月的酒店订房记录和其与酒店之间的订单记录。虽然,在举证方面尚未明确采用“过错推定责任”,但是在举证责任方面减轻了消费者的举证难度,有利于实现消费者权益的实质保护。因此,法官应斟酌情形衡量具体利益。在数据偏见受害人因结构性偏在而难以举证以认定因果关系存在,即使引入监管机构协助公民进行调查取证、技术人员协助公民进行事实查明也没有数据处理者主体的优势明显时,不宜再适用由原告举证证明的过错归责原则,而无过错的归责原则对于数据处理者又过于严苛,不利于数据技术的发展,在倾斜保护公民个人合法权利与保障数据技术平稳发展的取舍之间,应适用过错推定的特殊归责原则,由数据处理者证明数据决策行为对歧视结果不存在过错,从而修正当事人之间的不平等,避免因适用一般原则而对实质正义造成破坏。同时,考虑到过多的限制不利于我国数据产业的可持续发展,通过法律手段对数据处理者设定社会责任或义务的同时,也应注重对其经济利益的保护,从而实现数据效益与权利保护的均衡发展。因此,基于数据偏见的发生必然性,已尽注意义务的隐性偏见难以避免,单一责任主体的权责分配并不完全公平合理,作为责任主体的数据处理者,过错的认定应同下文注意义务的层次划分,对不同的应用场景的数据偏见主体限定不同标准的注意义务,从而进一步认定过错。
数据分级是按数据遭到破坏后可能造成的影响对象和影响程度区分等级,确保数据得到与其重要性和影响程度相适应的级别保护。国家标准GB/T43697-2024《数据安全技术数据分类分级规则》将数据按照危害的严重程度分为核心、重要、一般三级,但危害个人权益的都属于一般数据。对此可按对人格权危害程度将与个人权益有关的数据进一步细分为关键数据与普通数据。关键数据,是指涉及名誉权的,具有更高的敏感性和影响力的数据。这些数据可能涉及个体的信用记录、社会评价、职业声誉等方面,一旦存在偏见将迅速对数据主体造成价值贬损,可能给数据主体带来严重的经济损失和精神伤害,且损害不可逆转。因此,对于涉及利用数据进行用户画像并形成价值贬损评价,从而可能危害名誉权的关键数据,需要采取更为严格和细致的使用规则与安全措施,包括加密、访问控制、数据备份等,以尽可能确保数据的真实性、完整性和可用性。同时,为了进一步区分关键数据,可采用特定的标记手段。包括在数据中添加特定的标签、标识符或元数据,以便在数据处理和使用过程中能够快速识别和定位重要数据,从而对数据分析结果更加慎重,同时,还应参考“重要数据”的处理规范,对涉及名誉权的关键数据增强风险评估:要求数据处理者定期开展安全检查,审计和维护。风险评估报告应当包括掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况。从数据全生命周期来看,处理者在构建内部的关键数据保护体系时,应重点关注对更容易发生数据偏见的数据采集、标注、反馈等环节,充分运用管理和技术措施防范数据偏见风险,建立关键数据动态识别机制。普通数据,是指可能危害人格自由及人格尊严等的相关数据,其所关联的权益保护程度略次于上一种。保护程度要求相对较低,仍需采取必要的安全措施,防止数据泄露或被篡改。如数据处理者为确保数据授权满足最小服务原则,并尽可能规避数据滥用带来的数据偏见侵权风险,可以对接触数据的工作人员:数据安全管理员,内部数据管理员等,根据业务需求和应用目的设置不同的访问权限。同时,除了信用数据、社会评价数据、职业声誉数据等典型关键数据,普通数据在使用和流通过程中,也可能因应用场景和处理方式的变化,与名誉权产生关联,进而转化为关键数据。由于数据处理过程和生成结果难以被完整预测,且数据类型也无法仅靠事先标记而全部被纳入关键数据保护目录。因此,数据处理者除了依据保护目录对关键数据进行控制外,还应建立动态识别机制,对日常数据活动进行持续监控,及时评估普通数据是否因整合、分析、处理而“升级”为重要数据,并相应调整保护措施,以实现对数据的完整保护。
数据分析工具作为利用数据分析进行决策的工具,其注意义务的差异应与数据分级适配,应用场景不同,造成的人格权侵权风险不同,注意义务也应不同。因此,以匹配规制对象属性和侵害权益的类型的规制理论为起点,可将数据分析工具分为两类,一类为一般侵害名誉权的,涉及价值目标选择画像评价型数据分析工具,此类分析工具价值倾向性更大,运作模式体现为针对不同目标进行选择排序以作出价值性评估,生成内容一般更容易对数据主体进行价值贬损从而侵害名誉权,如犯罪风险评估,个人信息评级等场景。另一类为侵害一般人格权的功能服务型数据分析工具,其价值倾向性更小,更多体现为满足确定目标的中立性工具职能,一般出现在功能服务型数据分析工具对数据主体进行差别对待从而侵害人格平等等一般人格权,如网约车供需匹配,人工智能创作,学术搜索排序等场景,一定程度上可以控制数据分析内容的生成与推送。画像评价型数据分析工具数据偏见侵害名誉权这一人格权益的影响严重性和保护紧迫性更高,应承担更高的注意义务对数据输入、标记与反馈全过程进行审查,将自我监管介入点前置。首先,应加强输入数据的审查义务。随着人工智能技术的深度发展,画像评价型数据分析工具不仅是网络技术服务商,有时也可直接转变为网络内容提供商。数据处理者应主动对训练数据承担审查义务。《办法》第4条也对人工智能产生内容作出了相应的规定,实际赋予数据分析工具采取相应措施履行事前审查义务,要求其采取技术或者人工方式对输入数据进行审核,以控制人工智能的数据运用和生成结果。具体而言,可通过基于提示词的推理机制增强了有害数据识别的准确性,实现多种语言有害数据的分类监测。先利用文本向量化技术将文本转化为数字向量或矩阵,再适用机器学习和自然语言处理技术算法分析数据,最后检测模型利用单词嵌入技术,根据单词在上下文的用法将其表示为高维空间中的向量,便于机器学习技术识别有害信息的模式与特征,如有害数据的常用结构、编码和搭配的特定组合等,从而达到监测、识别有害数据的目的,并及时采取技术措施过滤、删除此类内容。其次,应优化数据标注的审查义务,对于监督学习中标注的数据负有及时调整标注人员选拔程序、数据标注规则、更换标注人员的注意义务。标注人员对标注数据的影响,一方面,其固有的价值观会影响标注数据的公允性;另一方面,标注人员长期暴露在“毒性”如暴力、种族歧视、恐吓等文本中,有害内容势必会影响其心理健康,进而“反噬”训练数据。为防止标注人员的不良价值观污染数据,提供者在标注人员选拔、培训、定期评估其合格性方面负有注意义务。如亚马逊公司要求数据标注人员:至少完成1000项人类智能任务,完成率达98%;回答3项关于合格性的问题且回答正确等。满足条件胜任标注工作的人员,也会被严格限制标注数据的数量,一般不能超过100个文本。提供者在严控标注人员选拔条件的同时,亦需提供与之配套的人员管理,定期跟踪培训,实时监测等规则,及时发现、移除“有害”标注数据,以保证标注数据的质量。最后,应完善数据反馈的审查义务。不同于传统人工智能遵循算法设定的逻辑规则,通用人工智能的神经网络学习行为仅能从统计学上进行描述,其固有的,独立于自我学习能力的概率行为降低了对学习结果的可预测性。即使其数据运用模式在完全可控的环境下进行训练,并及时阻止其进一步学习,也仅能通过统计误差范围对生成内容进行间接预测,而无法在内容输出前完全规避风险。由此,数据处理者需要对通用人工智能发布内容的安全性进行动态审查,履行“看管义务”,可采取与“人工智能红队”相似的技术措施,实时识别、归纳、评估生成内容是否有害,并根据反馈结果将相关数据及时隔离或删除,从而创建有效的安全干预措施。(2)功能服务型数据分析工具负有一般注意义务为原则功能服务型数据分析工具,倾向于运用一般数据侵害人格自由及人格尊严等一般人格权,但较之于画像评价型数据分析工具,此类数据分析工具对数据训练及生成内容并不具有很强的干预与控制空间,对生成内容的控制能力及数据主体的人格权侵害影响程度也不及画像评价型数据分析工具。因此,功能服务型数据分析工具注意义务一般应低于画像评价型数据分析工具,在机器数据偏见中一般宜负有中阶的注意义务,适用民法典第1197条规定的通知-删除规则,其注意义务可扩张到在收到数据主体通知后对相似数据进行审查,即完善重复侵权中的注意义务。根据最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第6条第6项,法院判断网络服务提供者是否“知道”侵权行为时,将考虑其设定的侵权处理机制是否充分,还会特别关注防范同一网络用户的重复侵权行为以及同一侵权信息的控制措施,更强调重复侵权情形将作为考量侵权行为的具体情节以及侵权可能性和初步证据的一部分。因此,为完善我国网络人格权侵权责任的规则体系,考虑到数据服务提供者所管理的数据量庞大,如果强制要求其对所有数据进行广泛的主动审查,可能会导致预防人格权侵权成本与企业运营效益之间出现显著不均衡。功能服务型数据分析工具负有的一般注意义务是在通知-删除规则的基础上,不仅授权数据处理者删除侵权内容,还要求其履行采取预防措施以防止相同侵权行为重现的义务,避免重复侵害人格权,一定程度上提高了其既有义务标准,又防止其审查义务过度扩张,避免负担过高,以适应固有数据偏见中此类数据分析工具的运营现状。同时,又由于功能服务型数据分析工具种类繁多,数据分析技术的实施过程与所处环境的相互影响和交互深度存在紧密关联。如根据技术嵌入程度与数据控制能力就存在根据预先设定条件进行判断的功能服务型数据分析工具,以及遵循过程反馈原则实现技术参数动态调整的数据分析工具,二者对于重复侵权的注意义务不可单一设置。部分功能服务型数据分析工具应动态设置重复侵权预防措施,在特定情况下对数据应用负有监控义务。对此,在认定数据控制能力的评判标准时,仍应参考最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第6条,综合考量“网络服务类型”“数据偏见明显程度”“数据控制能力”以及“偏见预防与消除水平”等因素的大小高低,在考量技术可行性与成本因素的基础上,对于数据偏见具体事实明显,具有较高的数据控制能力,在技术上具有优势可以有效实施偏见预防与消除措施的功能服务型数据分析工具,因其更强的限制竞争能力,避风港规则作为免于承担赔偿责任的条件并非充分条件,数据处理者应承担监控义务设置重复侵权预措施。在新一代人工智能技术创新推动下,数据偏见所体现出的发生必然性、高隐蔽性、主体地位不对等、动态连锁性等独特属性,使之与传统的算法规制、平台规制等议题有所不同,而具有其独有的规制规律与特定需求。与已有研究致力于构建宏观数字人权治理框架的尝试相比,数据偏见分类治理基于不同的理论视角提出了新的改革思路。从人格权侵权视角解构数据偏见的不同类型与损害后果,根据成因将数据偏见分为人为和机器数据偏见两类,明确数据偏见可能侵害不同类型人格权益,进而根据场域风险控制理论和权利义务对等原则针对性提出了相匹配的规制机制:从行为认定、因果关系、过错、损害后果四方面厘清人为数据偏见侵害人格权认定规则;并以匹配规制对象属性和侵害人格权益类型为基础对数据分级治理,将数据分析工具分为画像评价型和功能服务型两种,以明晰机器数据偏见侵害人格权的注意义务层级。在研究贡献方面,本文弥补了现有研究中关于数据作为偏见规制对象的理论缺口,发展并细化了针对不同类型数据偏见的规制模式探讨,对人格权的保障及数据技术的发展均大有裨益。同时,研究也弥合了数据偏见侵害人格权规制模式在理论创新和实践探索间的逻辑断层,为利益相关方在数据偏见侵害人格权规制领域制定具体政策提供了学理基础,避免在问题聚焦、目标定位、工具选取等方面产生偏差。然而,未来数据时代技术和商业模式的创新速度可能超出现行数据偏见规制体系的完善进程,进而对规制效果产生影响。本文虽从价值倾向维度对数据分析工具进行分类,在一定程度上对数据应用技术划定边界:明确数据分析工具并不仅仅扮演基础网络服务提供商作用,还可能发挥价值选择或判断的“主体”作用。但此种分类标准与规制模式仍有待进一步细化,典型的研究议题包括在不同政治经济环境下数据分级治理框架的适应性调整,以及算法逻辑演进过程中数据偏见分类治理模式变迁等。与此同时,随着数字化转型进程的深入推进,相比于完善数据偏见规制理论,树立规制意识和提升规制能力才是当前的首要任务。唯有充分认识不同类型数据偏见对人格权的侵害,具备识别数据偏见风险特征的规制能力,方能科学地选择合适的规制模式。往期精彩回顾
周圣 张玙|市域社会治理中的人口老龄化司法应对——基于上海市基层法院2018-2022年涉老年人民事案件审理情况之实证分析张海龙 史绪广|社区矫正脱漏管检察监督问题分析——以四省七县交界处D县社区矫正为样本姜浩|社区矫正对象再融入的社会性约束研究——以南京市J区为例王婕琼 郑林贝|侵犯著作权罪保护法益的价值选择——基于对人工智能生成物作品属性之争的思考吕丹丹|产业链视角下生成式人工智能服务中主体类型及义务分配上海市法学会官网
http://www.sls.org.cn
