从数据安全看科技伦理治理的必要性

　　前段时间，打车平台滴滴等相关App存在严重违法违规收集使用个人信息等问题，数据泄露不仅会影响到每位用户的隐私安全，还可能危害国家安全。如何控制这种数据泄露的风险成为学者和普通公众都很关心的问题。本文想谈一谈从科技伦理治理的视角，如何加强数据安全保护。数据安全属于科技伦理的范畴，首先我简单介绍一下科技伦理。

　　1.科技伦理是什么？

　　科技伦理这个词可能有人会比较陌生，或者听说过但不了解科技伦理到底是什么，那么科技伦理到底是什么？在哲学研究领域，伦理学始终是一个比较热门的研究领域，科技伦理就是属于伦理学中的一种。

　　关于科技伦理的内涵和主要内容在学术界已经有很多讨论了，科技伦理学作为一门特定的学科其定义一直是诸多研究者尝试回答的问题，在我国，科技伦理是一个宽泛且综合性的概念，涵盖面十分广泛，目前，科技伦理并没有权威被认可的定义。尽管如此，国内外对科技伦理已达成共识，即科技伦理是科技活动必须遵守的价值准则和行为规范，是防范科技发展可能带来的不确定风险的重要治理手段。

　　2.科技伦理是怎么来的？或者说为什么全世界都在重视科技伦理治理？

　　上面提到的科技活动对科技伦理要求最为严格的是涉及人的生物医学领域，为什么最严格呢？因为科技伦理治理就来自于涉及人的试验。

　　科技伦理治理最初也是最主要的形式，就是开展伦理审查。伦理审查制度起源于对反人道主义人体试验的反思，主要源于三个历史事件：

　　（1）对二战期间参与反人道主义人体试验的20多名纳粹医生的审判，这次审判催生的《纽伦堡准则》（有的人也称作《纽伦堡法典》）阐明了研究项目必须符合伦理标准才可被接受；

　　（2）美国1932年至1972年偷着开展了以黑人为试验品的“塔斯基吉梅毒试验”，随着这件事的曝光，人们都非常震惊。这促使美国建立国立卫生研究院保护人类受试者并制定相关伦理准则对涉及人的研究活动进行规范，美国成立了相关管理机构，并于1978年发布《贝尔蒙报告》，提出涉及人的研究活动必需遵守的3条基本伦理原则。

　　（3）1975年在日本东京举行的第29届世界医学大会修订的《赫尔辛基宣言》中，首次正式提出建立伦理审查制度，涉及人的研究需事先通过独立伦理审查委员会的审查。

　　上述系列文件提出的科研伦理基本原则和理念逐渐在国际上达成了普遍共识，为把这些伦理原则落在实处并有效规范研究活动，世界各国纷纷制定本国科研伦理审查制度，并建立伦理审查委员会管理和规范涉及人的研究活动。

　　

　　（注：大家注意到了吧，上面的一些文字中，有科技伦理和科研伦理两种提法，实际上，科技伦理是我国的独有叫法，他们有什么区别太学术，目前连哲学界、医学界的学者都没有办法区分清楚，我认为，科研伦理属于科技伦理的一部分，而且是非常重要的一部分。当然，我们不必纠结文字叫法的差异。我们只需要知道，对科学技术活动进行伦理方面的管理，是目前发达国家普遍的做法，也是今后我国乃至全世界的发展趋势。）

　　说了这么多，到底跟数据安全有什么关系呢？您先别急，我就是先把背景知识先介绍下，我们接着看。

　　二、数据安全是科技伦理治理的一个典型领域

　　由生物命医学领域发展来的伦理审查制度所体现出来的基本伦理原则适用于所有的研究领域，因此，发达国家已经在实验动物、生物安全、数据安全、环境保护、社会科学等领域建立了相关的伦理管理制度。因为通过近三四十年的发展，人们已经发现，不管涉及人的试验需要进行伦理监管，前面我提到的这些领域都需要进行伦理监管。

　　因此，在国外，数据安全问题已经被列入到科技伦理治理的范畴之中了。例如，欧盟早在2018年就出台了《通用数据保护条例》（国际社会将这个条例简称为GDPR），这个法规性文件对数据使用引起的隐私保护、数据造成的安全问题等多个与数据有关的问题都作出了很多有效规定。感兴趣的可以自己搜一下。

　　我想从另一角度说下，为什么移动支付（支付宝、微信等）在国外没有被大范围使用？为什么国外疫情追踪用健康二维码无法推广普及？原因就是在国外隐私保护是一个很重要的伦理议题，一是隐私保护在每个人心里的地位很重，每个人都担心自己的信息被泄露侵犯，二是个人数据追踪（例如国内的健康宝二维码）能否被合理合规的使用得不到保障，且必须满足GDPR的相关规定才可以使用。

　　

　　那么这个GDPR到底有哪些要求？我简略的介绍下，供拍砖。

　　GDPR的适应范围是欧盟各国，当时英国没有脱欧，英国也适用，即使目前英国要脱欧，英国关于数据安全的政策也基本遵循GDPR的。GDPR要求，收集个人数据的企业需要告知数据的主人，数据会被用来干什么，并且需要获得数据主人的同意，尤其是商业性活动，这是必须的。除了商业活动管理比较严格外，数据用于科学研究的话，就被放松一点点要求，即使这样，这一点点要求也并没有被放得太松，例如，如果在数据收集时无法完全确定个人的数据是否会被用于科学研究的话，那么在符合公认科学研究伦理标准时，数据的主人可以同意自己的数据用于某些领域的科学研究，同时数据的主人应该选择在预期目的允许的范围内，仅允许正在某些研究领域或研究项目的某个部分开展科学研究。

　　

　　另外，数据共享是数据安全最重要的一个考量因素。GDPR要求，数据共享应该遵循社会获益、数据使用价值最大化、数据造成的风险和收益比例应该合理、尊重个体和群体等等，等等等，很多方面的要求。

　　上述所有要求，目前只有一个，保证数据安全，保护隐私。

　　在2019年以前，我国只有三个领域有明确的伦理监管制度：

　　（1）生物医学领域，主要监管部门是卫生计生委（现在的卫生健康委）；

　　（2）实验动物（我不太清楚谁具体监管，但是国家有专门的实验动物法规和政策要求）；

　　（3）转基因安全，主要是农业部（现在的农业农村部）管。

　　近几年，在国际方面，针对发生在我国的各类科技伦理事件（如2002年黄金大米事件、2017年“头颅移植术”事件、2018年贺建奎基因编辑婴儿事件），国际上的反华势力借机开始质疑甚至诋毁攻击我国（如被称为“野蛮的东方伦理学”）。同时，我国面临西方国家的“伦理倾销”压力。（注：伦理倾销就是，因为违反伦理道德，在国外不允许开展的研究，因为我国没有明确禁止是否可以开展，所以，国外的科学研究团队跑到我们国家来开展违反伦理道德的研究。）

　　在科技发展方面，人工智能、大数据、合成生物学等很多新兴技术领域快速兴起，由此带来了很多不确定的伦理风险，最典型的就是人工智能是否安全（例如无人驾驶汽车会不会撞人？照顾老人的机器人或者智能机器人会不会被黑客利用而伤害人类等等）、大数据安全和隐私保护怎么来保障？谁来保障？

　　

　　面对很多因素，2019年7月，中央全面深化改革委员会第九次会议审议通过了《国家科技伦理委员会组建方案》，将国家层面科技伦理制度建设提上日程，会议指出，科技伦理是科技活动必须遵守的价值准则，组建国家科技伦理委员会，目的是加强统筹规范和指导协调，推动构建覆盖全面、导向明确、规范有序、协调一致的科技伦理治理体系。要抓紧完善制度规范，健全治理机制，强化伦理监管，细化相关法律法规和伦理审查规则，规范各类科学研究活动。2019年10月，党的十九届四中全会提出健全科技伦理治理体制。2020年10月，党的十九届五中全会提出健全科技伦理体系。可以看出，我们国家对科技伦理治理日益重视。未来，对于科技伦理的各个领域，例如人工智能、大数据等，都会有相应的管理措施出台。

　　2020年5月28日十三届全国人大三次会议审议通过的《中华人民共和国民法典》（简称《民法典》），在数据和个人信息保护及相关应用等方面作出了相应规定，例如：第1019条规定了任何组织或个人不得利用信息技术手段侵犯他人肖像权和声音的行为，引导人工智能产品开发时重视隐私及个人信息保护；第1033条列举了针对隐私权的禁止性条款，规范了人工智能在生产生活中的应用。第127条关于其他法律对数据、网络虚拟财产进行保护的规定，第1029条、1030条关于民事主体信用评价的规定，第1194、1195、1196、1197条等关于互联网侵权责任的规定等。第1019条规定了对肖像权和声音的保护，维护自然人的尊严，引导人工智能产品开发时重视隐私及个人信息保护；第1033条列举了针对隐私权的禁止性条款，对深度伪造和生物特征识别这两项目前正在兴起且被广泛应用的人工智能技术进行了相应规制，为人工智能在生产生活中应用划出了合规红线。

　　2020年6月，《中华人民共和国数据安全法（草案）》提交全国人大常委会第一次审议，有望为人工智能和数字经济发展提供依据。

　　2019年11月，国家互联网信息办公室、文化和旅游部、国家广播电视总局发布《网络音视频信息服务管理规定》，针对深度伪造、虚拟现实等网络新视频技术的潜在危害进行专项规制。

　　在使用人工智能开源软件进行智能数据采集方面，现有法律法规如《网络安全法》《侵权责任法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等均进行了相关规制。人工智能开源软件研发的产品应用存在潜在风险时，虽没有专门的法律法规约束，但可以依据《消费者权益保护法》《产品质量法》等法律予以规制。

　　

　　实际上，与数据安全相关的制度文件不止这些，因为能力有限，我只知道这些。欢迎专家补充。

　　好了，上面是我对数据安全的一点认识，敬请各位网友批评指正，感谢您的阅读。我是午夜墨水，再见。