南开大学人权研究中心(国家人权教育与培训基地)副主任、南开大学法学院副教授唐颖侠在全球人权治理高端论坛“数字时代的人权保障”分论坛上发言
一、问题提出
传统数据治理路径下的数字化供应链管理侧重于关注企业自身的数据安全和内部的经营风险,往往忽略了企业对于利益相关方造成的负面影响,即外部的人权风险。因此,有必要在数字化供应链管理中纳入人权的视角,通过实施人权尽责方法有效防范和全面应对数字化供应链中的人权风险。那么,在人工智能与大数据等数字技术的背景下,能否直接适用国际人权法中关于人权尽责的已有方法呢?纵观既有工商业与人权领域的人权尽责规制,无论是得到联合国人权理事会核可和各国广泛认同的《联合国工商业与人权指导原则》(以下简称《指导原则》),还是正在谈判过程中的联合国工商业与人权条约草案,以及各国关于人权尽责的强制性立法和自愿性规范,都是基于矿产、纺织、食品加工等传统行业领域的经验。这套经验在数字化背景下能否继续适用还有待实践检验和理论研究。
目前,并没有专门针对数字化供应链的人权尽责的国际规范和国内立法。因此,本文试图讨论在数字化浪潮席卷全球的背景下,数字技术如何赋能供应链并助力人权保护?供应链的数字化转型对人权尽责构成了哪些新的挑战?以《指导原则》为核心的工商业与人权领域的既有规则是否足以应对这一科技革命带来的挑战?又将如何构建适应数字化供应链的人权尽责方法?
二、数字化供应链对企业人权尽责的新挑战
(一)数字化供应链人权尽责的特点
第一,人权尽责是一个量身定制的过程,因此当应用于数字化供应链的环境时,可能表现形态各异,具体取决于企业的规模和位置,他们正在开发的产品类型,其在价值链中的位置,其产品造成的伤害类型,其客户是谁,以及许多其他因素。
第二,人权尽责也是基于风险的,这意味着企业为进行尽职调查而采取的措施应与不利影响的严重程度和可能性相称。当影响的严重性和可能性很高时,例如所开发的产品具有以有害方式使用的能力,那么尽职调查必须更广泛。
第三,人权尽责是灵活、渐进、协商和透明的。对公司的期望是他们启动并继续尽职调查过程;没有人期望在一夜之间完全规划出人权无害的运营和供应链。企业需要对他们优先考虑的问题做出艰难的选择,他们需要随着时间的推移逐步改进。这是一种协商和透明的做法,在尽职调查过程的每一步都希望与利益攸关者协商,以确保努力有效。随着强制性人权尽责立法的发展,预计公司还将公开报告其进行尽职调查的努力。这些步骤并不相互排斥,可以同时进行。
(二)数字化供应链对人权尽责的挑战
数字化供应链的参与者面临着更大的人权侵犯风险。与实物资产不同,数据资产具有非竞争性,因为它们可能有多个副本,并且在不同司法管辖区的不同地点同时进行处理。工厂和制造资产的这种地理分布导致了覆盖传统制造价值链的网络物理供应链的出现。数字化供应链的参与者,例如工程承包商、云制造服务提供商、数据服务提供商等,越来越意识到他们有责任尊重和为侵犯人权行为提供补救措施。在《指导原则》的框架内,这一责任主要通过要求进行企业实施人权尽职调查来履行。在数字化供应链的背景下,人权尽责可能变得更具挑战性。
1.由第三方数据风险带来新的人权风险
在数字化供应链中,数据在流转过程中面临着来自企业内部和外部供应链的双重风险。内部风险是指当数据在企业的内部运作时,因信息系统、企业员工接触到敏感数据可能产生的数据风险;外部风险则指当数据在供应链中流转的过程中,由供应商和其他合作伙伴接触到敏感数据而产生的风险。当有人利用供应商或其他合作伙伴窃取企业的数据,发起对供应链的攻击,就可能产生来自第三方的数据风险,并可能由此带来相应的人权损害。数字化供应链深刻改变了传统供应链中企业所面临的风险来源和类型。第三方风险是企业在供应链数字化转型过程中最薄弱的环节,因为数据在供应链流转过程中所面临的外部风险来自供应商或第三方合作伙伴的应用,此时数据已经脱离了企业的控制范围。由于第三方数据风险导致的人权风险,增加了企业在人权尽责中风险识别的难度。
2.商业关系具有不可预测性
由于云计算、大数据、物联网、区块链等技术的应用,数字化供应链改变了网络和实物资产的地域分布,也使得“事前”人权尽责的过程复杂化。在传统的供应链中,制造商已经明确建立了业务关系,通常通过长期合同协议来构建。因此,理论上说,事前人权尽责对特定业务关系可以具有一定程度的可预测性。然而,在数字化供应链背景下,超出了由同一制造商运营的一个或多个工厂的物理边界,制造商可能不再知道所提供的特定资源或所提供服务的确切供应商。此外,数据资产最终可能是多个数据交易和处理操作的结果,这些操作并不总是易于追踪。
3.多参与方导致责任确定难
即使在传统供应链中也存在着“多手”问题,而数字化供应链独特的设计和运营特征使得责任方的确定更具挑战性。当前,供应链已从单纯的上游供应商到下游客户的单一链状结构,演变为一种从上游多重供应商到下游多重客户的复杂网络结构,而且,供应链成员之间的关系已从单纯的两个企业的关系(供应商与零售商关系)演变为既有纵向、又有横向的网络依存关系。然而,无论传统供应链的结构如何复杂,供应链上游和下游的供应关系都是层次清晰的。因此,人权尽责的风险追溯有据可查。数字化供应链改变了传统供应链的物理基础,突破了传统供应链的边界。既有基于供应、制造和零售的关系的相互交叉,又有基于生产复合的数字、服务和产品包的相互补充,形成了相互依赖的、网络化、动态化的供应链生态系统,不同供应链之间具有共生关系,而且所有的参与者都协同进化。数字化发展为供应链带来了新的角色,即第三方数字合作伙伴,从而根本上改变了传统供应链关系。
4.取证技术障碍导致补救措施难
进行有效的人权尽职调查取决于供应链的端到端视图。在数字化供应链中,适用技术取证可以帮助发现对降低风险至关重要的证据。然而,目前可用的取证技术在协作智能制造环境中运行不佳。在这些环境中,商业敏感信息和操作技术设备分布在许多人工制品中,例如现场设备、协作机器人等。相反,这些设备可能受到分布在多个地理位置和司法管辖区的参与者的控制,这可能会严重阻碍获得补救的机会。
三、健全适应数字化供应链人权尽责的多维治理方案
为应对供应链中企业人权尽责的强化趋势和供应链数字化过程中的新挑战,有必要构建适应数字化供应链的人权尽责方法。《指导原则》为塑造数字经济的任何国家行动提供了权威和务实的基石,数字化供应链人权尽责方法不能脱离《指导原则》确立的“保护、尊重和补救”的法律框架,应在既有人权尽责方法的基础上进行适应数字化的改造。
(一)明晰数字化供应链人权尽责中国家的保护义务
《指导原则》“保护、尊重和补救”框架的第一个支柱重申了各国在国际法下的现有义务,以防止包括工商企业在内的第三方侵犯人权,并提供了指导各国实践的路线图。数字化供应链也包含在工商企业之内。三个支柱彼此联系、相互支撑。国家的保护义务是企业人权尽责的基础和保障。国家有责任通过巧妙的措施组合来防止与工商业相关的人权损害,包括国家法律法规、指南等自愿标准和公共采购激励措施。
1. 国家对数字化供应链人权尽责立法的考量要素
“区分、排序和分类”的人工智能技术本质上是“歧视系统”。在数字化供应链中,必须考虑受到影响的运作方式、制造产品的类型、它们的设计目标是为谁服务,以及谁从它们的发展中受益。这并不是说所有依赖人工智能的商业模式实际上都会破坏平等和不歧视原则。但是,从这些工具的使用或销售中获利的公司需要采取积极主动的措施来防止歧视性的结果。
第一,与数字相关的法律(如人工智能法案、算法规则等)应普遍纳入人权影响评估(HRIA)。人权影响评估应该在数字化供应链生命周期的所有阶段以不同的方法进行,从构思阶段开始直到实施适用后,并且可以包括以迭代和持续的方式审查影响的过程。为此必须分配适当的资源和能力,以确保充分地分类和评估。
第二,确定评估对人权影响的标准和范围。该立法应明确确定哪些事件或情况需要进行人权影响评估。人权影响评估应优先考虑减少伤害和对边缘化和弱势群体的不利人权影响,采取整体方法并评估人工智能系统对广泛人权的影响,包括集体权利、经济、社会和文化权利以及环境权利。此外,还应根据具体情况对审查领域进行评估,同时注意具体情况,包括地理位置、语言、人口群体、社会政治因素和时间因素。
第三,包容性。将外部利益相关者纳入人权影响评估流程至关重要,应尽可能考虑到少数民族、种族、女性、LGBTQ+、残障人等处于社会弱势地位的人,以及来自受影响和边缘化社区代表的利益,在此过程中确保公众访问。
第四,采用整体的方法。人权影响评估与数据保护影响评估、人权和环境尽职调查和合格评估、算法审计、透明度登记等其他问责机制相结合,在分析中应集中关注对个人、社区、社会和环境的潜在和实际伤害。
2. 中国关于数字化供应链人权尽责的制度进路
尽管近十年来欧美发达国家开始尝试通过立法的方式整体规制供应链中的人权尽责问题,但中国对于供应链人权尽责的关注主要在实务领域,相关法律和政策还比较分散。
第一,顶层设计中的人权尽责。决定智能社会性质特征的是以算法为中心、以数据为先导、以区块链和人工智能为集成、以互联网和物联网为链接的当代科学技术。在供应链的数字化转型过程中,算法居于核心地位,数据则为算法的开发、设计和应用提供了原材料。因此,数据法和算法规范构成了数字化供应链的治理基础。在顶层设计方面,《法治社会建设实施纲要(2020-2025年)》提出制定完善对算法推荐、深度伪造等新技术应用的规范管理办法,加强对大数据、云计算和人工智能等新技术研发应用的规范引导。《网络安全法》《数据安全法》《个人信息保护法》等法律先后相继颁布实施,搭建起中国数据法的基本框架。新一期《国家人权行动计划(2021-2025)》在“个人信息权益”部分提出“加强个人信息保护,完善有关法律制度、监管执法和宣传,切实维护网络和数据安全” ,从而为个人信息和数据的保护赋予了人权内涵。此外,值得一提的是,《国家人权行动计划(2021-2025)》在“促进全球供应链中的负责任商业性行为”部分,明确规定了促进工商业在对外经贸合作、投资中,遵循《指导原则》,实施人权尽责,履行尊重和促进人权的社会责任。这是供应链人权尽责的要求第一次明确出现在中国的人权政策中,也标志着《指导原则》被全面纳入中国的人权政策,为构建数字化供应链人权尽责的具体方法提供了政策支持和法理基础。
第二,具体算法规则中的人权路径。继九部委联合制定的《关于加强互联网信息服务算法综合治理的指导意见》(以下简称《意见》)之后,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布了《互联网信息服务算法推荐管理规定》(以下简称《规定》),第一次在部门规章界定了“生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类”五类算法,《规定》的内容体现了基于权利的路径。
尽管以往的中国数据法律政策与人权法律政策对于人权尽责的规定呈现隐含式和碎片化的特点,但令人欣慰的是,新一期《国家人权行动计划(2021-2025)》对人权尽责的明确规定和《指导原则》的全面纳入,新的算法治理规范采纳了人权保护的视角,这些都为数字化供应链人权尽责的构建提供了制度基础。
(二)企业在数字化供应链中适用人权尽责的方法
1. 制定企业人权政策。数字化供应链中的企业应制定和公开其人权政策,以使其承诺与《指导原则》保持一致,包括承诺避免造成人权损害,并进行供应链尽职调查以解决损害问题。作为这一步的一部分,公司应将其保护人权的期望纳入与供应商,客户和其他业务关系的接触中。公司应向供应商和客户明确告知,其技术的某些使用或无意影响是不可接受的,并可能对商业关系产生影响。政策也应不断更新,同时考虑到利益相关者的观点和公司应对风险的努力所吸取的教训。此后,谷歌在其网站上突出显示了其AI原则。这些原则是人工智能应该:(1)对社会有益,(2)避免创造或加强不公平的偏见,(3)安全地构建和测试,(4)对人负责,(5)纳入隐私设计原则,(6)坚持科学卓越的高标准,(7)可用于符合这些原则的使用。这并不要求公司必须远离高风险活动,例如国防部门的活动。相反,公司应寻求设计适合其自身风险偏好的策略,并加强尽职调查,以识别和预防或减轻人权风险,并根据其严重程度优先考虑实际或潜在的危害。在这方面,透明度和利益相关者参与原则尤为重要。
2. 界定不同供应链参与者的角色或责任。与传统供应链中制造商、销售商和消费者之间的关系是线性的不同,在数字化供应链中技术开发人员、供应商和最终用户之间存在显著的重叠和交换。因此,所有供应链参与者都将进行广泛的范围界定,以确定人权风险最有可能存在和最重要的地方,由此对最重要的风险领域进行初步优先排序,以便进一步评估人权风险。(1)技术开发人员。虽然尽职调查应涵盖产品生命周期的所有阶段,但在数字化供应链的产品开发过程中的风险可能性最大。通过应用“人权设计策略”,开发人员可以在开发的每一步预防/减轻技术的潜在风险,因此确定相关参与者并让他们尽早参与该过程至关重要。(2)供应商。一旦产品开发出来,供应商就会将其出售给最终用户,由最终用户实施和操作该技术。供应商有责任在销售点对与使用产品相关的风险进行尽职调查。供应商应审查关于接受者人权记录或滥用产品历史的可靠报告。(3)最终用户。最终用户可以是任何人,包括政府、政府承包商、其他公司或民间社会组织。对于许多授权给最终用户的人工智能技术,开发人员有能力监控产品,从而为开发人员和最终用户之间的人权尽职调查创造机会。例如,开发人员和供应商可以限制最终用户的许可续订。
3. 生命周期不同阶段的风险防范或缓解。根据最初的范围界定和风险评估,公司应采取行动,制止、预防或减轻所确定的影响。这涉及制定和实施适合目的的计划。预计所有影响都将得到解决,最严重的影响将得到优先考虑。利益攸关方应有意义地参与这一过程。如果产品正在开发中,预防或缓解不利影响可以在设计阶段进行;如果产品已经售出之后,则可以在采购或销售阶段进行。公司已经可以通过合同和程序保障以及强大的申诉机制来减轻潜在的人权不利影响。
4. 针对补救措施方面的障碍,需要加强数字化供应链中的透明度,可采取协同方法搭建统一平台。该平台把企业的研发生产、材料库存管理和供应商、承运商等产生的数据集合在一起,链接供应链各个环节中的相关人员,覆盖供应链的全部用户,使产品生产流通中各种影响因素透明化,从而可以锁定具体产生人权负面影响的环节,减缓数字化供应链网状特点导致的救济分散、复杂性。
(作者唐颖侠,南开大学人权研究中心(国家人权教育与培训基地)副主任、南开大学法学院副教授,本文摘自全球人权治理高端论坛论文集)
关于数据资产的概念分析,见谭明军. 论数据资产的概念发展与理论框架[J].财汇月刊, 2021(10): 87-93.
Robert McCorquodale and others. Human Rights Due Diligence in Law and Practice: Good Practices and Challenges for Business Enterprises[J]. Business and Human Rights Journal, 2017(2): 195- 210.
由于第三方供应商导致的案例并不是少数,2013年零售巨头塔吉特Target因第三方HVAC供应商导致上亿用户信息泄漏,预计损失成本为2.92亿美元;2014年美国最大的家庭装饰品与建材零售商家得宝HomeDepot因黑客利用第三方供应商的网络入侵到网络中去的,植入恶意程序导致数据泄露,预计损失成本为1.98亿美元; 2017年7月,Verizon公司超过1400万用户个人资料因第三方供应商NICE Systems云服务器安全配置不当遭到外泄。2017年,美国征信巨头Equifax公司1.45亿客户记录被泄,股票暴跌30%,包括CEO在内的多名高管离职,并且影响到任何与Equifax有互动的公司,Visa和MasterCard第一批出来声明自家数据可能在Equifax事件中被盗的。
Dennis F Thompson. Responsibility for Failures of Government: The Problem of Many Hands[J]. The American Review of Public Administration, 2014(3): 259-273.
王玲. 西方供应链关系研究前沿与评述[J]. 未来与发展, 2005(5): 28-31.
陈剑、刘运辉. 数智化使能运营管理变革:从供应链到供应链生态系统[J]. 管理世界, 2021(11): 227-240+14.
OHCHR. Bridging Governance Gaps in the Age of Technology: Key Characteristics of the State Duty to Protect[EB/OL]. (2021-02-18) [2023-01-29]. https://www.ohchr.org/sites/default/files/Documents/Issues/Business/B-Tech/b-tech-foundational-paper-state-duty-to-protect.pdf.
West, S.M., Whittaker, M. and Crawford, K.. Discriminating Systems: Gender, Race and Power in AI[R/OL]. [2023-01-29].https://ainowinstitute.org/discriminatingsystems.pdf
European Center for Not-for-Profit Law. Mandating Human Rights Impacts Assessments in the AI Act [EB/OL]. [2023-01-29] https://datasociety.net/wp-content/uploads/2021/11/HUDIERA-5-Pager-FinalR1.pdf.
如中国五矿化工进出口商会发布了《中国矿产供应链尽责管理指南》、《钴冶炼厂供应链尽责管理指南》等行业指导文件。
张文显. 构建智能社会的法律秩序[J]. 东方法学, 2020(5): 4-19.
中共中央. 法治社会建设实施纲要(2020-2025年)[EB/OL]. (2020-12-07) [2023-01-29]. 中国政府网:http://www.gov.cn/zhengce/2020-12/07/content_5567791.htm.
中华人民共和国国务院新闻办公室. 国家人权行动计划(2021-2025)[EB/OL]. (2021-09-09) [2023-01-29]. 国务院新闻办网站:http://www.scio.gov.cn/37234/Document/1712231/1712231.htm.
中华人民共和国国务院新闻办公室. 国家人权行动计划(2021-2025)[EB/OL]. (2021-09-09) [2023-01-29]. 国务院新闻办网站:http://www.scio.gov.cn/37234/Document/1712231/1712231.htm.
国家互联网信息办公室. 关于加强互联网信息服务算法综合治理的指导意见[EB/OL]. (2021-09-17) [2023-01-29].中国政府网:http://www.gov.cn/zhengce/zhengceku/2021-09/30/content_5640398.htm.
国家互联网信息办公室. 互联网信息服务算法推荐管理规定[EB/OL]. (2022-01-04) [2023-01-29]. 中国政府网:http://www.gov.cn/zhengce/zhengceku/2022-01/04/content_5666429.htm.
国家互联网信息办公室. 互联网信息服务算法推荐管理规定[EB/OL]. (2022-01-04) [2023-01-29]. 中国政府网:http://www.gov.cn/zhengce/zhengceku/2022-01/04/content_5666429.htm.
2018年3月,谷歌宣布与美国国防部签订合同,使用人工智能(称为Project Maven)分析军用无人机视频。作为回应,超过4000名谷歌员工签署了一封信,呼吁谷歌取消Project Maven,并起草、宣传和执行一项明确的政策,声明谷歌及其承包商都不会开发战争技术。十几名员工也辞职以示抗议。在员工的反对下,2018年6月初,谷歌宣布,当目前的合同到期时,它将停止Project Maven的工作。Coldewey, David. Google’s New ‘AI principles’ Forbid its Use in Weapons and Human Rights Violations [EB/OL]. (2018-06-07) [2023-01-29]. https://techcrunch.com/2018/06/07/googles-new-ai-principles-forbid-its-use-in-weapons-and-human-rights-violations/?_guc_consent_skip=1615197403.
Google AI. Google’s AI Principles[OL]. [2023-01-29] 谷歌人工智能网站:https://ai.google/responsibilities/
OECD Libbrary. OECD Business and Finance Outlook 2021:AI in Business and Finance[OL]. (2021-09-24)[2023-01-29].
https://www.oecd-ilibrary.org/sites/ba682899-en/1/3/3/index.html?itemId=/content/publication/ba682899-en&_csp_=02d27ef0d7308d76a010fd2a9882228f&itemIGO=oecd&itemContentType=book