监管深入企业的黑箱

FTC是在公平竞争和消费者保护方面的执法机构，在知悉此事后，迅速宣布2017年8月已经达成的和解协议无效，需要重新商定有关和解条款。

2018年10月 ，FTC再次宣布达成新的和解协议。作为信奉自由市场的特朗普政府，治下的FTC确实对优步手下留情，并没有如州政府予以重罚，甚至根本就没有罚款，但对优步的内部信息安全管理提出了事无巨细的要求。相比以企业外在结果为主要对象的结果保护策略，FTC的协议则是以企业内部管理为主要对象的过程保护策略。也就是说，它更多地是以事前预防的思路对企业内部可能存在的个人信息保护漏洞进行全方位的监管，将企业内部的信息安全管理纳入公共管理。这可以说是一种新的个人信息保护模式。

事实上，我国正在开展的个人信息保护立法（包括已经完成的网络安全法，以及2020年征求意见的数据安全法、个人信息保护法）同样也采用了这种思路。不过，相比FTC的和解协议，中国的平台企业享有更多的自由。FTC的和解协议建立了相对较为完备的企业信息安全制度，主要内容包括：

●优步需要立即建立综合性的个人信息（隐私）保护计划，所有计划、方案、培训均需要有书面记录。设置专门的人员负责个人信息（隐私）保护计划。

●开展个人信息（隐私）风险排查、评估，确定风险点，制定整改计划。制定个人信息（隐私）风险动态监控和评估方案。

●建立第三方信息（隐私）审计、评估制度，第三方审计人员需有执业资质并具有3年以上的从业经历，相关审计人员还需经过FTC消费者保护部门批准。完成评估后10天内，需将评估报告送FTC备查。在协议执行开始后半年内应完成第一次第三方审计，以后每两年应至少开展一次。

●建立信息安全事故统计与报告制度。

●建立文件签收与学习制度。公司所有相关人员必须学习FTC的和解协议文件，并要签名确认，有关学习记录需要书面记载。

●文件签发一年后，优步需向FTC递交合规报告，报告应该宣誓内容真实可靠，否则将承担伪证罪。企业任何组织机构和实体发生变化需在14天内通知FTC，以便于监管部门检查、监督。

●及时响应监管部门，收到FTC有关信息（隐私）安全的问询后，优步需在10天内回复或响应，有关合规报告或材料需要宣誓非伪证，并准备好详细记录备查。

●建立信息安全档案记录，包括相关员工的档案记录（包括离职原因）、平台用户投诉记录、所有可证明公司落实文件的材料、公司对外宣传及承诺有关个人信息（隐私）保护措施、信息安全评估、审计与整改报告、安全漏洞奖发放记录、执法部门传票、调查与说明材料等。

福布斯网上关于该案件的报道截图

加州检察总长联合各州与优步达成的和解协议在巨额赔偿之外其实也提出了类似的一系列企业信息安全合规要求，包括企业需要设置首席安全官，以及云存储密码、认证强化制度、建立信息安全员工培训与违规处罚制度、第三方信息审计人员资格制度（需要5年以上的从业经历）、个人信息安全情况作为董事会的固定议题制度、事故确认与报告中的律师参与制度、公司内部违规举报制度等。

孔子曰：“不教而杀谓之虐，不戒视成谓之暴。”美国联邦和州相关监管机构利用优步违法的契机，构建了一套非常严格的企业内部个人信息保护机制，特别强调内部部门监督、外部审计、员工培训等，将此前以负面清单方式的事后监管模式推进到以作为的义务为主的事前事中监管模式，也就是从惩戒为主模式转换到以预防为主的模式。

平台企业不再是一个黑箱。通过一个设计精密的内部监督机制，平台的保护更为透明，个人信息保护的目标有更加可靠的保障。其意义在于，只有在个人信息保护有了更为可靠的保障，个人信息保护以外的平台经济治理功能才有了其他可能。

算法统治平台

2020年10月26日，优步与平台的驾驶员又一次对簿公堂。打官司对于优步已经是家常便饭了，不过这次有些不同。发起诉讼的是4名被除名的驾驶员，他们来自英国（3人）和葡萄牙。更值得关注的是，这次争议的焦点是欧盟个人信息保护法（GDPR，通用数据保护法）所规定的个人信息权。这些驾驶员在2020年6月20日左右分别要求优步提供涉及本人的个人数据，这是欧盟通用数据保护法15条所规定的个人数据访问权（The right to access）。

4名驾驶员做出这样的动作也是事出有因。按照优步的说法，4名驾驶员均是因为欺骗性行为或者违规操纵（不当使用）驾驶员手机应用程序。直白地说，就是驾驶员或因为挑单以等价格上涨后的好单（game the surge），或是因为私自安装其他应用程序改变手机状态欺骗优步的驾驶员应用程序（如改变位置），被平台算法判定为严重违规而被除名（在优步平台上没有开除的概念，永久冻结账号则是一个等同的说法），而做出这些决策的都是平台的算法。换句话说，4名驾驶员都是被算法监控到有违规行为并被算法除名（开除）的。

不过，驾驶员并不这样认为，他们认为是自己只是行使了自由选择工作时间的权利，而这也是优步平台一向对外宣称驾驶员所具有的权利，并且也正是具有这样的自由，驾驶员才不被平台认为是平台的雇员，而是自由职业者，甚至是所谓的“微型企业家”。平台与驾驶是合作伙伴。4名驾驶员否认存在欺诈或不当行为，且优步没有提供申述机会，使得他们的命运被算法所掌控。因此，他们向优步欧洲总部所在的荷兰阿姆斯特丹地方法院提起了诉讼。

驾驶员起诉优步最主要的法律依据就是2018年5月开始施行的欧盟通用数据保护法。按照欧盟通用数据保护法第15条，数据主体有权访问个人数据并获知数据处理的目的、数据类型以及有权要求纠正不准确的数据。第22条则涉及自动化决策和用户画像，“数据主体有权反对此类决策：完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策”。

按照欧盟通用数据保护法的定义，“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。显然，所谓的自动化决策（用户画像）就是平台算法。这本质上是一条算法监管条款。不过22条也特意列出了例外情形，包括 (a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的；……(c)当决策建立在数据主体的明确同意基础之上。