智慧服務背景下個人信用數據的安全風險及協同治理對策研究
2025-03-18 00:00:00李儀郎書林
重慶郵電大學學報·社會科學版 2025年1期
摘要:個人信用數據是包括個人信用信息及其通過算法處理而形成的信用產品的集合。智慧服務下,個人征信平臺將用戶個人信用信息處理為數據產品,進而向用戶供給,便于用戶提高信用能力并獲得收益。然而,平臺基于片面逐利的有限理性,破壞數據產品可用性與可靠性等安全要素,從而降低了用戶對智慧服務的價值感知度和參與度。對前述風險的應對應有利于穩定用戶收益預期,進而賦能于服務開展及征信等產業發展,關鍵在于協調和實現主體需求。立足于服務背景下的數字生態體系中數據安全、用戶收益、服務提質等需求間的強關聯,應用協同治理理論,建議平臺發揮服務中的關鍵節點作用,拓展平臺理性,與用戶協同應對風險,從而通過保障用戶收益來提高其對服務的價值感知度和參與度,進而促進產業發展。依據前述對策,個人信用數據的安全風險協同治理應當由平臺主導:通過管理協同,回應各層級需求、優化各層級權限,促使內部各層級合作、提高數據安全管理及產品供給的效率,創造收益條件;通過協同決策,強化用戶參與個人信用數據安全治理決策,拓展知情范圍、引導用戶參與,由此實現收益;加強服務協同,配合用戶監督并拓展自身理性,提高產品可靠性、增強產品可用性,從而保障收益。
關鍵詞:智慧服務;個人信用數據;安全風險;協同治理對策
中圖分類號:D912.1文獻標識碼:A文章編號:1673-8268(2025)01-0044-12
一、智慧服務下個人信用數據安全的治理意義
(一)概念詮釋:個人信用數據及其安全
《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱《數據二十條》)明確,為貫徹黨的二十大精神,我國要優化安全治理措施,通過確保數據安全來回應主體需求。數據是以電子或者其他方式對信息的記錄。按照情報學DIKW(Data-to-Information-to-Knowledge-to-Wisdom Model)模型,原始數據、信息、數據產品、智慧等相互之間構成遞進式轉化及增值關系[1]。由此本文中的個人信用“數據”,專指與特定個體(如:個人征信平臺的用戶)相關的數字符號組合,包括原始數據(如:用戶參與消費及信用貸款等活動的原始記載),而其被存儲與整序而形成的個人信用信息(如:用戶消費及信用記錄)、信息經算法處理而成的信用產品(如:用戶信用畫像、信用評價報告、投資風險評估報告、理財規劃建議)是對個人信用數據處理分析后的有邏輯的、可使用的數據集合。對于數據的集合性特征,何淵[2]與卡爾·夏皮羅[3]等中外學者已做闡釋,《數據二十條》也予以認同。據此本文所稱個人信用數據(以下簡稱“數據”)是前述成分的集合,所引述學術文獻與規范文件對“數據”有不同界定的除外。安全是數據開發流通的重要標準,包括完整性、保密性、可用性、可靠性等要素。
智慧服務背景下,特定運營者(如:中國人民銀行征信中心、百行征信有限公司、上海資信有限公司)運用網絡與大數據技術,對于征信、金融、電子商務等領域內若干機構(以下簡稱“機構”)的自有個人信用信息數據庫進行整合,從而形成以數據交換系統為核心的個人征信平臺(如:中國人民銀行的個人信用信息服務平臺、百行征信有限公司的征信平臺、上海資信有限公司的資信信用管理平臺,以下簡稱“平臺”)。在此基礎上,平臺應用爬蟲與算法等技術并融合管理經驗,對用戶原始數據與個人信用信息進行智慧分析、深層次挖掘、關聯集成從而形成信用產品,進而將產品以有償為主的方式提供給用戶本人及機構,以便于用戶通過增強信用能力來拓展就業、晉職、投資理財等渠道并增加收益,同時提高機構及平臺經營績效,以利于征信、金融、大數據等產業的發展。
智慧服務提高了數據開發流通效率,然而數據安全風險事件頻發,導致智慧服務開展受阻,由此用戶預期收益降低,典型事例如:華東地區250萬余條銀行客戶的個人信用信息及信用產品被竊取或篡改[4];平臺抬高產品價格并降低其質量,不利于用戶獲取與利用產品[5];僅2022年,全國各級網絡主管部門共受理安全風險方面的投訴17 214.7件,使得高度依賴個人信用數據基礎而開展的智慧服務及相關產業的發展受到影響[6];在國外,DAWEX及WhatsApp等平臺提高信用產品價格并降低其質量,阻礙了用戶獲取利用產品,因此前述平臺被歐洲數據監管機關開出天價罰單[7-8]。
(二)研究現狀:安全治理中用戶需求的關注欠缺
對于智慧服務等活動背景下的數據(包括個人信用數據)安全風險,學界聚焦于三點。第一,風險成因。郭海玲[9]、Kirsten Hillebrand[10]等將風險歸因于安全技術欠缺與管理規范失靈。第二,風險事件危害。馬費成[11]、林偉[12]、李耕華[13]等分別發現,風險不利于數據價值提升、用戶隱私保護、智慧服務開展。第三,風險對策。Ann Hojbjerg Clarke[14]、何依[15]、王靜[16]等分別從安全技術改進、隱私保護完善、平臺與機構管理人員安全意識培養角度提出對策。
《數據二十條》提出,我國通過數據安全治理,保障主體享受數字紅利并實現自身需求。據此智慧服務主體(如:用戶、平臺、機構,以下簡稱“主體”)需求應當得到回應,這是個人信用數據安全的技術手段與管理規范得以改進與完善的基本目的。用戶數據安全風險的主因正是主體需求(如:用戶增加收益,平臺提質服務、提高績效、促進產業發展)之間的沖突。而現有成果缺乏對前述需求(尤其是用戶收益)與數據安全之間關聯的關注,通過調和需求沖突來應對安全風險的研究更是幾近于無。本文寫作目的,正是建議治理者通過協調主體間的需求、兼顧用戶需求來應對數據安全風險,從而賦能服務開展及征信等產業發展。
二、安全風險解析:源于用戶需求實現受阻
(一)風險表現:數據安全要素破壞
按照數據倫理原理,個人征信平臺用戶等主體需求的實現和個人信用數據安全的維護之間存在相互作用與影響的關系[17]。智慧服務背景下,個人信用數據安全面臨隱私與利用風險。
第一,用戶隱私風險。憑借算法技術與管理經驗等優勢,平臺集中收集與存儲用戶原始數據與個人信用信息,進而將二者處理為信用產品并向用戶供給。出于片面追求自身效益最大化的有限理性,平臺時常任意收集、披露、篡改群體用戶數據,因而其完整性與保密性被破壞。由此,用戶評價的公正性以及工作生活環境的隱秘性受影響,他們的尊嚴與自由等人格利益被侵害,用戶在服務中的隱私顧慮隨之產生。前述風險體現于表1案例1中。
第二,數據利用風險。作為重要的安全要素,可靠性是指數據尤其是信用產品的質量需要達標,從而能發揮特定功能,比如便于用戶通過就業、晉職、投資理財等渠道取得收益,這體現于《國際數字管護中心數據質量管理框架》中。智慧服務下,平臺利用集中存儲處理數據的優勢,時常對數據尤其是信用產品抬高價格與降低質量,這不僅破壞了可靠性的數據安全要素,還提高了用戶獲取產品的條件,從而阻礙了用戶通過利用產品來獲取收益與發展自我,該風險體現于表1案例2至案例5中。
上述風險加重了用戶隱私顧慮,使其對服務的價值感知度及參與度降低,部分用戶因而拒絕向平臺與機構提供個人信用信息,甚至通過舉報及投訴等方式阻止智慧服務及征信活動開展。這不利于平臺與機構提高績效,進而阻礙平臺發揮服務功能,并且影響征信與大數據等產業的發展(見表1案例3至案例6)。
(二)應對風險關鍵:協調主體需求沖突
根據數字生態原理,在智慧服務下的數字生態體系中,對主體(如:個人征信平臺及其用戶和信用數據提供者)需求的回應受制于數據安全技術手段及管理規范所構成的生態環境,該回應又反過來促進技術革新、規范完善、生態改善[17]。據此,用戶數據安全風險得以應對的關鍵在于主體需求能夠協調實現。一方面,為防范信用風險,個人信用數據需要被征信主管部門記錄和保存,這是用戶利用其信用產品的前提和基礎。例如,根據《個人信用信息基礎數據庫管理暫行辦法》之規定,商業銀行應當準確、完整、及時地向中國人民銀行的個人信用數據庫報送個人信用信息,但這難免會遇到數據記錄失誤,如后文提及的王春生案。另一方面,根據我國現有隱私保護對策,治理者(如:立法者以及大數據與征信等領域的主管機關)督促平臺維護數據保密性與完整性來保護用戶隱私,這是用戶安全高效利用其信用產品的保障,這體現于《中華人民共和國數據安全法》(以下簡稱《數據安全法》)第37條、全國信息安全標準化技術委員會《信息安全技術 數據安全能力成熟度模型》(GB/T 379882019)第3條、《征信業務管理辦法》第9條,但隱私保護也難免會出現紕漏(如前述相關案例);此外,在智慧服務中,用戶不僅需要通過維護隱私來實現尊嚴與自由等基本需求,還需要通過獲取和利用信用產品來拓展就業、晉職、投資理財等渠道,從而增加收益并實現自我發展的高層次需求。而隱私保護對策很難確保信用產品可用性及可靠性并保障用戶收益,由此他們難以提升對服務的認同度和參與度,這不利于平臺通過開展服務來提高績效與促進產業發展。
筆者通過文本分析,考察近年來我國頒行的關于個人信用數據安全的主要規范與智慧服務下數據安全所主要回應的需求——用戶維護隱私、用戶獲取收益、平臺通過提質服務來促進產業發展等——之間的關聯性。√代表強關聯(規范中的條文明確體現某一需求),○代表弱關聯(條文雖未明確體現需求,但可從語義中推知它),×代表無關聯(條文既未明確體現又不能推知需求)。表2顯示,幾乎所有規范的條文都與隱私保護需求存在關聯,且大多是強關聯。然而,條文與其他需求關聯性較弱,具體地:就用戶收益需求而言,除了《個人信息保護法》第13條與第14條、《信息安全技術 數據安全能力成熟度模型》第3.1條、《征信業務管理辦法》第9條與之具有弱關聯外,其他規范的條文不存在關聯;就平臺提質服務以及促進產業發展需求而言,僅《數據安全法》第19條、《個人信息保護法》第1條、《征信業務管理辦法》第9條、《信息安全技術 數據安全能力成熟度模型》第3.1條存在弱關聯。
三、風險治理對策:用戶協同參與安全治理
(一)協同治理內涵及分析框架
按照協同治理理論,治理者應在社會有機系統內保障主體通過平等參與決策和治理來實現需求,從而建立主體互信以提高系統運行效率[20]。協同治理立足于主體需求的相互關聯與依賴,宗旨為兼顧主體需求、建立主體互信、促進系統運行;途徑是主體通過協同管理、決策、監督等措施,同等參與治理、充分表達需求、調和需求沖突。
依據該理論,筆者針對智慧服務下平臺用戶數據的安全風險提出如下協同治理對策:治理者激勵主體(尤其是用戶)參與數據安全治理,從而通過維護安全來實現信用產品的可用性與可靠性,由此回應用戶收益需求,以此來建立用戶及平臺的互信,進而提高用戶對智慧服務的價值感知度和參與度以利于服務開展(見圖1)。
(二)協同治理對策的合理性
主體需求的關聯性與相互依賴性是協同治理對策的確立基礎。智慧服務下的數字生態系統中,治理目的(即:用戶數據安全的維護及服務開展的賦能)的達成正是需要經過以下相互關聯的環節:原始數據與個人信用信息被處理為信用產品、產品可用性與可靠性等安全要素得到維護、用戶收益等需求通過安全維護得到回應、用戶提供原始數據與信息的意愿得到增強、服務得到促進。其中,數據安全維護、用戶收益提高、智慧服務開展幾者之間互為因果,由此用戶與平臺等主體的需求之間存在關聯性與依賴性(見表3)。
第一,數據安全保障服務開展。用戶是智慧服務的主要主體,因此其需求得以回應是服務開展的主要驅動因素。數據完整性關乎社會對用戶評價的客觀性與公正性,從而維系人格尊嚴;保密性則關乎他們生活工作環境私密性,故而維系人格自由。數據保密性與完整性安全標準的滿足關乎用戶人格利益的實現,因而是智慧服務賴以開展的前提。而數據被平臺任意披露與篡改,使用戶未能充分實現尊嚴與自由,由此對智慧服務產生隱私顧慮甚至排斥和阻礙服務。
第二,服務開展提高用戶收益。信息與知識服務背景下,用戶僅能獲取自身個人信用信息。與此不同的是,在智慧服務背景下,用戶還能從平臺與機構獲取信用產品(如:信用評價報告、投資風險評估報告、理財規劃建議),從而拓展就業、晉職、投資理財等渠道并增加收益,以此來實現自我發展與社會認同。就此意義而言,數據可用性與可靠性安全的維護利于用戶提高收益,是平臺發揮服務職能的主要途徑。部分學者通過Lasso-logistic模型,驗證以消費者為主的用戶期望參與智慧服務而獲取經濟收益[21];相關資料還顯示,用戶期待通過獲取與支配信用產品來提高投資理財效益,從而增加收益并實現自我發展[22]。然而,平臺任意抬高信用產品價格并降低質量,引發數據利用風險,并且阻礙了用戶收益的獲取及服務的開展。
第三,用戶收益提高利于服務提效與產業發展。智慧服務下,用戶既是原始數據與個人信用信息生產者,又是信用產品獲取與利用者。在很大程度上,用戶供給原始數據與信息從而促進服務開展的意愿取決于他們對服務的價值感知度,而數據(尤其是信用產品)可靠性安全標準的滿足能提高價值感知度,由此為服務開展提供保障。然而,平臺降低信用產品質量并破壞可靠性引發了數據利用風險,阻礙了用戶通過接受服務提高收益,進而降低了用戶對服務的價值感知度及參與度,因此影響了平臺服務職能的發揮以及相關產業的發展。
四、協同治理思路:維護安全以實現需求
協同治理對策旨在保障主體(尤其是個人征信平臺用戶)通過參與數據安全治理來充分表達并實現需求,從而提高主體對服務的價值感知度和參與度,由此促進服務開展與賦能產業發展。該對策下的數據安全風險應對思路如下。
(一)治理目標:應對安全風險,提高用戶收益
在數據倫理學視野中,數據安全治理效果的主要衡量標準是用戶等主體的需求的回應程度及需求所體現價值的實現程度,這在歐盟《通用數據保護條例》第一章與美國《數據隱私和保護法案》引言中均有所反映。同時,按照信息經濟學感知價值原理,用戶通過衡量特定服務的成本與收益來評價其價值與功能。當他們感知到在服務中所獲取的收益高于成本時,將對服務產生積極認同,進而獲得參與服務的充分激勵[23]。據此,在智慧服務中,治理者需要降低用戶獲取信用產品的成本,以此來提高其預期收益,從而應對數據利用風險并提升用戶對服務的價值感知度及對平臺與機構的互信度,進而提高用戶提供個人信用信息的意愿度并由此促進服務開展。
以下事例即顯示,用戶在獲得穩定收益預期的前提下,將自愿向平臺提供原始數據與個人信用信息,從而促進智慧服務開展:其一,國家自然科學基金重點項目“領軍企業創新鏈的組織架構與協同管理”課題組通過微分博弈模型發現,用戶等主體獲取信用產品與提高收益等需求得到的回應程度和他們參與智慧服務的意愿度呈正相關關系[24];其二,智研瞻產業研究院發現,用戶在能夠獲取經濟收益時,普遍傾向于同意平臺及機構收集信息以便于服務開展[25];其三,在韓國“本人數據管理”(MyData)服務模式下,用戶可獲取自身信用評分及理財建議等信用產品,由此對智慧服務的滿意度提高,因而自愿向平臺提供信息并促進服務開展[26]。
(二)治理途徑:拓展平臺理性,利于用戶利用數據
信息經濟學視野中,協同治理本質是主體通過合作博弈來降低需求、實現成本與兼顧彼此需求的過程。據此,治理者有必要通過設定產權來保障用戶獲取與支配數據(尤其是信用產品),以此來防止平臺濫用數據壟斷優勢對產品抬高價格與降低質量,從而減少可用性與可靠性破壞所致的數據利用風險成本,進而回應用戶收益需求。畢竟,產權是用戶等主體支配財產資源(包括數據集合內的信用產品)并排他侵害的權能集合。產品不僅利于實現用戶收益,還便于平臺開展服務與提高績效,由此具備了財產的屬性(即:價值性、效用性、可支配性)而適于受產權保護。
為激勵主體協同應對數據安全風險并協調實現彼此需求,治理者適宜遵循權屬明晰原則,根據平臺對信用產品形成所作出的主要邊際貢獻,將產權初始配置給平臺;進而激勵平臺根據智慧服務合同將產權全部或部分權能(如:對產品獲取、分析、處分)授權用戶行使,以便于他們通過獲取利用產品來提高收益。在智慧服務下,平臺運用算法技術對原始數據與個人信用信息進行收集并將其處理為信用產品,從而對產品形成做出主要貢獻。從表4中的規范與政策可知,國外治理者已通過配置產權來維護數據(尤其是信用產品)的可用性與可靠性,以此來降低智慧服務開展的風險成本,從而回應用戶的收益需求:
(三)治理提效:提升用戶的服務價值感知度,賦能產業發展
協同治理對策立足于主體需求的強關聯性,旨在通過確保主體(尤其是用戶)參與決策來兼顧彼此需求,從而應對數據安全風險并促進服務開展及產業發展,前述手段被組織行為學家稱為“激勵相容”[27]。這不同于我國現有通過負激勵手段來控制與約束平臺的隱私保護對策。筆者運用循證方法,根據實證資料對比協同治理與隱私保護兩種對策在用戶數據安全治理與智慧服務賦能中的效果。表4中的國外規范政策體現出了協同治理與激勵相容的意旨,從而能有效保障用戶通過獲取利用信用產品來應對安全風險,進而提高他們的服務參與度并促進服務開展:第一,依據《歐盟數字服務法案》與《歐盟數字市場法案》,歐盟數據監管機關督促DAWEX與WhatsApp優化信用產品供給條件(尤其是價格與質量),這顯著提高了用戶對服務的滿意度[7-8];第二,在《美國統一計算機信息交易法》指引下,安客誠(Acxiom)平臺保障用戶獲取信用產品,由此他們增強了向平臺提供原始數據與個人信用信息的意愿[28];第三,英國在加入歐盟期間,其用戶為獲取信用產品需要經過較為繁瑣的程序,后來按照《英國數據改革法案》等規范,程序得以簡化,用戶獲取產品的時間成本降低并且預期收益提高,服務效果得以優化[29];第四,依據《韓國金融領域MyData服務指南》,在MyData服務模式下,平臺提高信用產品的質量并將價格控制在合理范圍內,這使得72.58%的用戶體驗到了貸款利率降低以及收益增加等服務效果,因而自愿將信息提供給平臺,這又促進了服務開展[26]。
比較而言,國內現有隱私保護對策很難保障用戶獲取和利用信用產品,不利于對數據利用風險的應對及用戶收益需求的回應,因而難以提高用戶對智慧服務的價值感知度。譬如,筆者在北大法寶數據庫中以“個人信用數據”為檢索詞檢索到的相關經典案件中,部分糾紛(如“王春生訴張開峰等姓名權侵權責任糾紛案”)的起因是,商業銀行按照法定義務向中國人民銀行個人信用數據庫報送個人信用信息時,對于其不良個人信用記錄在信用數據庫中記錄有誤,使得客戶無法利用信用產品辦理相關業務的需求,其信用利益沒有得到基本保障,這無法滿足用戶利用其個人信用產品的需求,不利于智慧服務的開展。與此同時,筆者將隱私及數據類民事案件案由中的高頻詞匯“個人信息”“個人信用信息保護”“隱私保護”“數據獲取利用”等作為關鍵詞,以京津冀、長三角、珠三角、成渝等地區為代表,通過中國裁判文書網檢索前述地區多家法院從2021年1月到2023年4月間審結案件所做成的裁判文書564份,其中京津冀地區133份,長三角地區246份,珠三角地區77份,成渝地區108份;以不同案由為標準將文書分為兩組并分別統計勝訴率,第一組案由為數據(尤其是信用產品)獲取利用,共454份,第二組案由為主體(包括用戶)隱私與個人信用信息保護,共110份。經統計發現,第一組支持率為12.33%,第二組支持率為21.92%。因此,治理者適宜借鑒域外經驗,通過設置數據(尤其是信用產品)產權來保障用戶取得收益并促進服務開展,進而兼顧平臺提高績效及相關產業發展等需求。
五、協同治理思路下的風險協同應對措施:由平臺主導
按照協同治理理論,協同活動一般開展于管理、決策、服務等場景;按照協同者身份及相互關系不同,該活動又可分為主體各方彼此協商的分散式協同及治理者主導的集中式協同。平臺基于集中存儲與處理原始數據與個人信用信息并生成與供給信用產品的優勢,在智慧服務中處于關鍵節點從而成為情報學視野中的“知識權威”[30]。因此,用戶在與平臺開展協商式協同中將面臨較高的談判成本,這勢必降低對數據安全風險的應對效率。故而,治理者除了激勵前述主體彼此平等協商,還適宜通過集中式協同來監管平臺行為并拓展其理性,以此來應對風險(尤其是數據利用風險)、提高用戶預期收益和賦能服務開展。
(一)內部安全管理協同,創造收益條件
在智慧服務下的數字生態系統中,平臺需要完善組織架構及管理規范,從而為應對數據安全風險及實現用戶需求提供有利環境。據此,平臺有必要根據信息組織變革原理,在特定因素激勵下(如:平臺主要職能從信息時代的信息服務與知識服務升級為大數據時代的智慧服務),從兩方面完善內部管理,以便于根據主體(尤其是用戶)需求差異性應對不同的數據安全風險。
一方面,為回應用戶不同層次需求,分級防控數據隱私風險。從《信息安全技術 數據安全能力成熟度模型》等規范可知,治理者在劃分數據安全等級時,主要考慮數據的生命周期和敏感度。在此基礎上,平臺為回應用戶在智慧服務中對尊嚴和自由等的不同需求,還通過相應措施分別維護數據完整性與保密性等安全要素,并以此來防控隱私風險。第一,嚴格防止一切數據篡改的風險。數據完整性的維護能保障用戶受到公正的社會評價,從而關系到他們最基本的尊嚴利益。由此平臺適宜按照信息經濟學家闡發的產權(包括數據產權)保護的不可讓渡規則,防止數據篡改與失真,從而保障用戶通過得到社會公正評價來保持尊嚴[31]。第二,強化控制敏感數據泄露的風險。敏感個人信用信息與信用產品(如:消費行為軌跡記錄,賬戶、收入、存款、納稅等記錄,消費偏好及投資方向的分析與建議報告等)一旦被泄露,用戶工作生活環境的私密性將受到影響,從而用戶人格自由利益受損。由此,按照產權保護的財產規則,數據的收集、披露、處理應征得用戶同意。第三,靈活應對瑣細數據泄露的風險。瑣細數據本身處于公開狀態,因而平臺對其徑自傳輸與處理的行為不會過度損害用戶自由利益。平臺為滿足自身需求,比如通過收集與處理數據來開展服務與發展產業,可根據產權保護的責任規則,直接收集與處理數據并且向其他主體傳輸而不需要征得用戶同意,但應向用戶支付對價作為補償。出于優化服務效果的考慮,對價支付方式除了支付現金,還包括平臺向用戶免費或折價提供個人信用信息處理所形成的信用產品、平臺為用戶優先升級服務等。
另一方面,優化分配平臺各層級的安全管理權限,有效應對數據利用風險。個人征信平臺主要組成部分是用戶數據的交換系統,該系統由運營管理層、信息資源層、知識組織層、知識服務層等不同層級組成,其中運營管理層發揮著確保組織有序運行的職能。在智慧服務下的個人信用信息處理與信用產品生成過程中,運營管理層適宜對其他層級進行指導與監管,從而優化信息處理與產品生成效果,并由此滿足用戶獲取收益與發展自我的高層次需求,以發揮平臺在服務中的知識權威作用。相關資料顯示,目前國內平臺的管理層主要負責指導與督促其他層級優化算法技術的運用[32]。在此基礎之上,平臺適宜借鑒韓國國家信息和信用評估公司在MyData模式下開展服務的經驗,將如下權限配置給運營管理層,從而強化其對于其他層級的指導與監管職能:培養工作人員算法素養,尤其是他們對用戶收益需求加以分析與回應的能力;設定平臺生成與供給產品的質量和價格標準;對于因質量與價格等因素所產生的數據利用風險進行預警;根據用戶對產品質量的滿意度,督促其他層級尤其是信息資源層與知識服務層提高質量[26]。
(二)與用戶協同決策,實現收益
由于個人征信平臺與用戶之間構成平等的服務關系而非科層關系,平臺適宜通過協商為主的方式,鼓勵用戶參與對數據安全的治理決策,從而通過提質服務來保障用戶獲取信用產品與提高收益。尤其是在智慧服務背景下,用戶的需求按照內容與表現形式不同可分為隱性與顯性兩種。不同于通過維護數據完整性與保密性來實現尊嚴與自由的顯性需求,用戶通過獲取利用信用產品來提高收益與發展自我的需求是隱性的。由此平臺適宜采取相應措施,在分析用戶收益需求的同時鼓勵他們表達隱性需求,從而將需求予以顯性化后加以回應。
一方面,應擴展用戶在數據安全治理中的知情同意范圍。依據我國《個人信息保護法》第24條等規范,用戶知情同意規則主要適用于其個人信用信息收集、存儲、處理。在此基礎上,用戶還應當對信用產品的生成利用予以知情,進而通過獲取利用產品來協同應對數據利用風險從而提高收益,理由是:在智慧服務下,相對于反映用戶客觀屬性的信息,信用產品尤其是其中的消費偏好及投資方向分析、理財規劃建議等包含了主觀評價,從而能回應用戶通過提高收益(尤其是經濟收益)來實現自我發展與社會認同的高層次需求;與此同時,按照Maslow心理需求層次原理,層次越高的需求的實現方式越多[33]。為了通過增加收益來實現自我發展的高層次需求,用戶除了自行利用投資理財建議等信用產品,還得以將產品提供給征信與金融等領域的機構,從而拓展投資理財等渠道。而在服務實踐中,平臺憑借技術優勢在服務合同締結與履行中限定用戶獲取與支配產品的地域、期限、方式范圍,從而阻礙用戶利用產品(見表1)。對此,治理者適宜通過頒行規范來拓展用戶獲取和利用信用產品的范圍,從而應對風險并回應用戶收益需求。一般地,服務合同對范圍約定不明時,用戶有權永久且不受地域限制地以所有產權權能(如:獲取、分析、利用、處分)來支配信用產品。
另一方面,應引導用戶通過參與決策來獲取收益。平臺通過分析用戶信息行為來挖掘需求尤其是收益需求,進而提高用戶實現需求的能力,這既是智慧服務開展的基本方式,又是數據利用風險得以應對的重要途徑。相關資料顯示,目前平臺在分析用戶信息行為時,主要關注他們初次購買產品的意愿度[34]。在此基礎上,平臺還需要分析用戶信息行為所反映的收益需求,進而評價用戶對信用產品需求實現的滿意度,進而通過提高產品質量等方式來提升滿意度,以此來提高用戶預期收益、有效應對風險。平臺為保障評價結果能客觀與全面地反映用戶滿意度,可借鑒美國蘭德(Rand)公司在運營平臺中的經驗,兼采用顯性方式(如:用戶提交問卷調查與意見)與隱性方式(如:通過分析用戶行為的特征來推測滿意度)[35]。
(三)協同用戶提質服務,保障收益
按照信托原理,平臺接受用戶委托,將原始數據與個人信用信息處理為信用產品,進而向用戶供給[36]。為應對數據利用風險從而優化智慧服務效果并回應用戶收益需求,作為治理者的大數據及征信等產業監管部門以及云數據存儲聯盟與征信業協會等行業自律組織,適宜借鑒歐美治理信托的經驗并采用集中協同的方式,督促作為受托方的平臺采取特定措施來履行信義義務,同時鼓勵用戶協同參與對平臺的監督,以此來克服平臺片面逐利的有限理性,促使其保障信用產品質量、優化價格支付方式。平臺應采取的措施有兩個方面。
一方面,提高產品可靠性,確保收益。數據尤其是信用產品的質量保證關乎可靠性實現,從而也是用戶提高對服務價值感知度的重要條件,但這一安全要素并未在《信息安全技術 數據安全能力成熟度模型》等國內規范中得到明確界定。為便于用戶通過智慧服務獲取收益,我國治理者適宜借鑒《國際數字管護中心數據質量管理框架》經驗,在認定信用產品可靠性時,將是否利于用戶提高收益與發展自我作為主要標準,進而將標準細化成若干指標,比如:信用畫像產品是否準確反映用戶信用狀況,信用評價報告是否有利于用戶通過就業、晉職、建立交易關系等方式來拓展收益渠道,投資風險評估報告是否有助于用戶規避信用風險等。治理者依據前述標準與指標督促平臺提高產品質量,從而保障用戶收益需求的實現。
另一方面,增強產品可用性,提高收益。在智慧服務中,平臺主要通過有償方式向用戶及機構提供數據尤其是信用產品。信用產品定價標準及支付條件關乎對數據可用性安全的維護及用戶收益需求的回應。治理者除了發揮市場的定價作用,還適宜通過監管措施來實現定價標準及價格支付方式的合理化,從而防止平臺憑借技術與管理優勢通過抬高價格來阻礙用戶利用產品與獲取收益。第一,合理化價格標準。包括信用產品在內的用戶數據的價格取決于其價值。信用產品的原始生產者是用戶,同時平臺對于產品的形成作出了主要邊際貢獻,因此治理者在確定產品價值與價格時,既應考量主體尤其是用戶需求與安全要素之間的關聯性,又須考慮平臺貢獻度,比如平臺在產品形成及安全維護中所支出技術與管理成本。第二,優化價格支付方式。從現行服務合同條款可知,國內平臺普遍將機構及用戶支付信用產品價格的方式限定為現金。治理者為了通過提質服務來便利用戶獲取產品與提高收益,適宜借鑒艾德維爾(Radware)公司向數字文化消費者供給產品的經驗,引導平臺采用相對于現金而言更有利于用戶的價格支付方式[37]。譬如,平臺與機構為了獲取原始數據與個人信用信息,應向用戶支付對價作為補償。用戶可將對價和自己為獲取產品而支付的價金進行折抵。平臺拒絕折抵或抬高價格的,治理者適宜通過特定方式(如:鼓勵用戶投訴)來協同糾正平臺行為,從而保障用戶獲取收益。
參考文獻:
[1]盧藝豐,徐躍權.“互聯網+”環境下的信息鏈重構[J].情報科學,2020(6):32-36.
[2]何淵.數據法學[M].北京:北京大學出版社,2020:229.
[3]卡爾·夏皮羅,哈爾·瓦里安.信息規則[M].張帆,譯.北京:中國人民大學出版社,2000:17.
[4]百萬條銀行客戶信息疑被盜賣 背后“暗網”黑市曝光[EB/OL].(2020-04-21)[2024-02-15].https://www.sohu.com/a/389850611_100259216.
[5]TOWNLEY C, MORRISON E,YEUNG K.Big data and personalized price discrimination in EU Competition Law[A].Dickson Poon School of Law Legal Studies, King’s College London Research Paper Series:Paper No.2017-38:16.
[6]中國互聯網絡信息中心.第51次中國互聯網絡發展狀況統計報告[R/OL].(2023-03-03)[2024-02-03].https://www.cnnic.net.cn/n4/2023/0303/c88-10757.html.
[7]FREEDMAN L F.Irish DPA Hits WhatsApp with $266M fine for alleged GDPR violations[EB/OL].[2024-02-08].https://www.natlawreview.com.
[8]DAWEX.Data marketplace meet drastic risks[EB/OL].[2024-02-28].https://www.dawex.com/en/data-exchange-platform/data-market/place/.
[9]郭海玲,劉仲山.GDPR對我國跨境數字貿易企業個人數據保護研究——基于數據生命周期理論[J].情報雜志,2023(10):194-201.
[10]HILLEBRAND K,HORNUF L,MLLER B,et al.The social dilemma of big data:Donating personal data to promote social welfare[J].Journal of Information and Organization,2023(3):111-128.
[11]馬費成,吳逸姝,盧慧質.數據要素價值實現路徑研究[J].信息資源管理學報,2023(2):4-11.
[12]林偉.人工智能數據安全風險及應對[J].情報雜志,2022(10):105-111.
[13]李耕華,田常青.高校圖書館智慧服務質量影響因素識別及提升策略研究[J].圖書館工作與研究,2023(2):12-19.
[14]CLARKE A H,MORTENSEN B,FREYTAG P V.Knowledge intensive business service (KIBS) firms’ use of visualization for customer participation and knowledge sharing during the service process[J].Industrial Marketing Management,2023(2):32-46.
[15]何依,司莉.國內外科學數據治理研究的比較分析[J].情報科學,2023(6):35-56.
[16]王靜,李新春,尹良偉,等.基于數字孿生的高校圖書館智慧服務數據治理自適應模式研究[J].圖書館,2023(3):1-7.
[17]劉金亞,顧立平,張瀟月,等.開放科研數據環境下科研人員的數據倫理框架研究[J].情報理論與實踐,2021(2):83-89.
[18]梁正,曾雄.“大數據殺熟”的政策應對:行為定性、監管困境與治理出路[J].科技與法律,2021(2):8-14.
[19]European Commission.Enhancing EU resilience:A step forward to identify critical entities for key sectors[EB/OL].(2023-07-25)[2024-02-08].https://ec.europa.eu/commission/presscorner/api/files/document/print/en/ip_16_4284/IP_16_4284_EN.pdf.
[20]范如國.復雜網絡結構范型下的社會治理協同創新[J].中國社會科學,2021(4):98-120.
[21]許彩艷,陳鑫鵬,王蕊,等.基于交易信息的個人信用風險建模與實證分析[J].蘭州財經大學學報,2019(1):58-69.
[22]智研咨詢.20202026年中國征信行業發展現狀調研及市場前景趨勢報告[R/OL].(2019-09-26)[2024-02-11].https://www.chyxx.com/research/201909/786326.html.
[23]袁人杰,袁勤儉.感知價值理論及其在信息系統研究領域的應用及展望[J].現代情報,2021(10):150-158.
[24]盛志云,邵記友,徐榕樺.平臺所有者和參與企業數據共享行為的微分博弈研究[J].現代情報,2023(3):83-95.
[25]前瞻產業研究院. 20242029年中國征信行業市場前瞻與投資戰略規劃分析報告[R/OL].(2024-10-20)[2024-10-22].https://bg.qianzhan.com/report/detail/7a7daca4d6f84c1d.html.
[26]YOON H J.MyData和區塊鏈的結合?關注SCI評價信息[EB/OL].(2022-02-17)[2024-02-16].https://www.businesspost.co.kr/BP?command=article_viewamp;num=271938.
[27]李毅鵬,馬士華,袁開福.基于激勵相容契約的ATO式供應鏈交叉協調研究[J].中國管理科學,2021(6):125-135.
[28]劉新海,宮建華,杜耀華,等.數據要素市場下個人數據服務商監管研究[J].征信,2022(2):6-12.
[29]左振穎,鄭聯盛,李俊成.英國金融數據治理:框架、重點與啟示[J].金融發展研究,2023(7):3-12.
[30]梁祺,雷星暉,蘇濤永.知識治理研究綜述[J].情報雜志,2012(12):74-80.
[31]LIAO J,LI R.Establishing a two-way transaction pricing model of “platform-individual” cocreation data property rights[J].Journal of Innovation amp; Knowledge,2023(10):178-211.
[32]代沁泉,王斌清,周靜虹.隱私關注視野下移動社交平臺用戶隱私保護協議規制模型構建及實證研究[J].情報理論與實踐,2023(10):77-85.
[33]MARIANO R,ALFONSO M,KAREN W.The hierarchy of needs empirical examination of Maslow’s theory and lessons for development[J].World Development,2023(5):168-193.
[34]崔盼盼,鄧小昭.在線知識付費平臺衍生產品的用戶信息行為研究[J].情報理論與實踐,2023(10):147-156.
[35]劉文云,殷小語,孫志梅,等.面向數據交換共享的機構知識庫與智庫服務機制研究——以山東理工大學智庫型機構知識庫為例[J].情報理論與實踐,2023(5):84-89.
[36]BALKIN J M.Information fiduciaries and the first amendment[J].UC Davis Law Review,2016(4):1183-1208.
[37]王卓,陳媛媛.高校數據素養教育實踐研究——以羅格斯大學為例[J].數字圖書館論壇,2023(2):41-47.
Research on the security risks and collaborative governance strategies
of personal credit data in the context of smart services
LI Yi1,2, LANG Shulin1
(1. Chongqing Institute of Intellectual Property, Chongqing University of Technology, Chongqing 400054, China;
2. School of Law, Chongqing University, Chongqing 400044, China)
Abstract:Personal credit data refers to a collection of personal credit information and the credit products formed through algorithmic processing of this data. In the context of smart services, personal credit platforms transform user credit information into data products, which are then provided to users to help them enhance their credit capabilities and gain benefits. However, platforms often prioritize profit over user interests, leading to the degradation of essential security elements such as data product usability and reliability. This, in turn, reduces users’ perceived value and engagement with the service. Addressing these risks is crucial to stabilizing user revenue expectations, thus facilitating the development of services and industries like credit rating. The key lies in coordinating and aligning the demands of various stakeholders. Drawing upon collaborative governance theory and focusing on the strong interconnections between data security, user benefits, and service quality in the digital ecosystem of smart services, this study recommends that platforms play a pivotal role in the service process, expand rationality, and collaborate with users to mitigate risks. This collaborative approach will safeguard user benefits, improving their perception of service value and engagement, ultimately contributing to industrial growth. Based on these strategies, collaborative governance of personal credit data security risks should be platform-led. Through management collaboration, platforms should address the needs at various levels, optimize permissions, and foster internal cooperation to enhance data security management and product supply efficiency. Additionally, through collaborative decision-making, user participation in credit data security governance should be reinforced, expanding the scope of informed consent and guiding users’ engagement, which in turn generates benefits. Finally, enhancing service collaboration by encouraging user oversight and expanding platform rationality will improve product reliability and usability, ensuring sustained benefits for all stakeholders.
Keywords:smart service; personal credit data; security risk; collaborative governance strategies
(編輯:刁勝先)
