大数据的新兴风险与适应性治理
【编者按】Facebook数据泄露事件(亦称脸书事件)持续发酵。当以大数据技术为基础的社交媒体逐渐成为当代社会的重要结构性元素,当人类社会从对一般工具的依赖开始走向对指纹解锁、人脸识别等智慧生活的依赖,当普通民众让渡了“识别性”所获得的“便捷性”和“安全性”的生活轨迹本身构成大数据的一部分,当传统的农业秩序和工业秩序全面转向信息时代的数据秩序,智慧生活的革命意味着社会变迁的拐点,秩序切换的混沌也不可避免导致了智慧生活的焦虑,特别有一种焦虑挥之不去,那就是大数据时代的隐私问题,深层次的问题是数据巨机器的形成和人的自由的丧失。我们如何在个体自主性与公共秩序性之间找到新的平衡?我们如何在数据权力与伦理权利之间实现新的制衡?我们如何在算法暗箱与隐私通货之间搭建新的规则?我们如何在数据暴力与多元社会之间达成新的共识?
《探索与争鸣》编辑部与华东理工大学社会科学高等研究院、华东理工大学社会与公共管理学院特邀相关领域的专家学者,联合召开了以“智慧生活与技术治理”为主题的圆桌会议,希冀在对Facebook数据泄露事件背后数据监控模式和新型风险社会深度反思的基础上,探求全球的对数据监控之规制的技术治理新政。
在风险社会理论的语境下来理解大数据的风险,可以从四个层次循序展开初步讨论。
大数据如何从一个创新议题变成一个风险议题
总体而言,这本身就是风险社会的一个关键特征,即风险语义超过经济语义而占据主导地位。具体而言,这又是一个新兴风险的议题。“新兴风险”这个词很难翻译,虽然翻译成“新兴”不太合适,但又找 不到其他更为贴切的翻译。英文的“emerging”的描述很直观,有逐步浮现之意,强调动态性。也就是说,以前不是风险,现在开始成为风险,将来可能是个大风险,“emerging”这个词形象地表达了风险的动态变化过程。
“新兴风险”的概念主要是欧洲学者提出来的,主要来自于两个报告。一是经济合作与发展组织(OECD)在 2003 年的一份报告:《新兴风险:21世纪的行动日程》,讲的主要是系统风险(systemic risk),强调人口、生态环境、技术和社会结构的变化如何改变风险传递的路径,导致一种综合性影响。二是国际风险治理学会(IRGC)的系列报告,对新兴风险的定义有所扩展,不仅包括系统风险,还包括陌生风险(unfamiliar risk)和极端风险(extreme risk)。
2017年,法国一位学者提出,需要重新定义新兴风险,认为新兴风险不是一种独特的类型,而是任何风险生命周期都必须经历的前期阶段。这种观点是有一定道理的,环境污染、金融风险都是这样,刚开始的时候大家都不觉得是风险,后来才慢慢觉得是风险,最终在较大范围内达成一种语义的共识。大数据的风险也才开始被我们所认识,但基本上还是一种陌生的风险,风险还会继续浮现,越变越大。
从这种意义上来讲,关于新兴风险的认识不可避免地具有滞后性,它只能随着风险的不断表露和公众对于风险的认识不断深化而逐步凸显。反过来,如果超前预言风险,则难有共识,甚至会被认为 是“杞人忧天”。
大数据到底是一种什么样的新兴风险
大数据到底有哪些表现形式,让我们觉得它是风险?这就要区分主体。
对国家而言,大数据是否构成风险?答案很明确,大数据对国家肯定构成风险,Facekook数据泄漏事件就是典型的案例。美国网民隐私泄漏导致美国的民意和政治选举被干扰了,这是显著的政治风险, 直接对美国的国家安全造成了威胁。2012年,奥巴马政府发布《大数据研究和发展计划》,提出了“数据主权”的概念。中国也已经意识到这个问题。党的十八大之后提出的“总体国家安全观”,其中就包括网络安全,这个网络安全不仅指芯片等核心技术的自主知识产权,也包括数据主权。从理论上看,中文的“安全”在英文中有两个对应的概念,一个是“security”意义上的“安全”,一个是“safety”意义上的“安全”,前者主要是国际政治的概念,后者主要是安全科学的概念。在国际政治的语境下,安全最早就是指国家安全、军事安全,随着非传统安全威胁的不断涌现,现在网络也事关国家安全。换言之,总体国家安全观就是将以前我们不作为国家安全问题的网络安全也上升为国家安全,其中的一个原因就是大数据可能会危害到国家安全。
对企业而言,大数据是否构成风险?从目前来看,大数据对企业来说更多的意味着创新和收益,还看不出来是多大的风险。
对社会而言,大数据是否构成风险?答案是肯定的。首先是行为会被监控,进而意识会被操控。行为被监控、隐私泄漏,这些都已经是事实了,意识被操控也正在成为事实。好莱坞最有想象力的电影《盗梦空间》,就是讲如何通过梦境来操控人的意识,最多可以有四层梦境。在大数据时代,《盗梦空间》里所说的意识被操控并不遥远。现在用互联网来操控舆情已经不是难事。在此意义上说,做舆情分析很难,尤其是难以看到里面真实的舆情。
在大数据时代,个体只是大数据里面的一个单位,只有机构才有能力使用大数据。一个可以预想的结果就是国家与社会关系的张力加大,国家要站在国家安全的立场,个体要站在个体隐私的立场,这两者之间存在着根本的冲突。在不同的文化情境中,这种张力的大小可能有差异,但这种张力的存在是没有差异的。现在地方政府面临一个很大的挑战就是信息的倒流,中央及各个部委都有大数据分析,都有舆情监测,发生什么事情往往都是第一时间知道,而属地政府越往下,可能知道得越晚。究其原因,一是没有大数据和舆情监测的意识,二是没有足够的人力和财力。因此,如果说互联网意味国家向社会的分权,大数据则意味着权力重新向国家集中。
大数据的新兴风险如何治理
对于这个问题,目前可以考虑三点: 第一,在目标上可能要宽容一些,不要想试图消灭风险,不可能做到零风险,也不要试图去超前防范风险,那样就不可能有任何的创新了。一个合适的目标是,把风险控制在可以接受的水平。在中国的文化情境中,什么水平的风险是可以接受的,需要进行深入的研究;而且,随着时代情境、文化情境的变 化,可接受的风险也是不断变化的。
在20世纪70年代,美国心理学家斯达尔就有一个著名的论断“:安全本身不是问题,多安全才算安全才是问题。”他通过量化研究得出的一些结论很有意思。
例如,自愿承担的风险的可接受性比非自愿承担的风险的可接受性高一千倍。那么对个体而言,大数据的风险是自愿接受的风险,还是非自愿接受的风险?个体之间可能有差异,还不好作出一个笼统的判断。
第二,在机制上要实现多元化。风险的治理是非常“纠结”的,因为风险从来都不是独立存在的,而通常都是和创新、收益一起出现的。风险治理不像应急管理那样容易形成共识。风险治理的主体非常分散,如果缺乏共识,风险治理很难达成一致行动。 总体上看,风险治理有几种基本的手段。
一是风险规制。这主要是行政学和法学的概念,我们也翻译成“管制”或“监管”。在西方,规制主要是指在市场机制解决不了的地方,由政府来干预,“规制” 这个概念本身就强调政府要积极承担角色。在中国, 政府本身就是积极作为的,因此规制是普遍存在的,当然,很多时候并不是通过法律的形式,而是通过运动式治理的方式。目前,在个体隐私的保护上,对大数据应用的法律规制总体上还是缺位的,虽然一些出售个人信息的行为已经受到了法律的惩罚,但这种案例还是比较少见的,大量的违法行为都缺乏监管。
二是风险沟通。风险规制要发挥作用,还要依赖于风险沟通,这里面包括一些风险提示,比较典型的就是现在互联网金融和金融诈骗。例如,老年人到银行汇款,银行的工作人员都会进行风险提示,关于互联网金融的风险提示也在加强,当然,很多时候在预期收益的吸引下,风险提示并没有发挥作用,这也是金融领域风险高发的原因之一。
三是风险感知。风险沟通发挥作用主要是通过风险感知来调节个体防护行为。在本质上,安全是一个价值选择,每一个个体应该有自己选择的权利,也就需要承担相应的责任,个体可以选择更多地承担风险,那就不可能有太多的安全;如果需要更多的安全,就不能承担太多的风险。有的个体是风险厌恶型的,不想承担很多风险,不想有不确定性,这是可以自由选择的;有的个体是风险偏好型的,愿意多承担风险,喜欢有一定的不确定性,这也可以自由选择。
第三,在结果上要强调整体性。风险治理主要强调一种整体性,通常也称为“整体性风险治理”。换言之,风险治理是集体行动的结果,需要破解“集体行动的困境”。在这个方面,有很多的问题需要研究,例如风险所有权的确定和风险的多中心治理等。
适应性治理:大数据新兴风险治理的出路
在风险社会的历史情境下,风险治理并没有一劳永逸的方案,只有折衷权衡。
一是要在创新激励和风险治理之间进行权衡,激励创新就可能带来风险,治理风险就可能抑制创新。二是要在国家安全与个体自由之间进行权衡,要国家安全就可能会限制个体自由,要个体自由就可能危及安全。三是要在便利和隐私之间进行权衡,要便利就可能泄漏隐私,要隐私就没那么多便利。
而风险治理本身也存在着悖论。正如拉什所言,为治理风险的努力可能会引发更大的风险。美国2005年的“卡特里娜”飓风即是此例,三百年间对庞恰雷恩湖的“小修补”最终导致了一次“大漫灌”。
在风险的治理中,折衷权衡的本质就是适应性治理,我们无法预设理想的治理形态,而只能根据环境的变化来不断调整。
(本文原载于《探索与争鸣》2018年第5期。)