文│中国信息通信研究院工业和信息化法律服务中心副主任 许长帅

法学研究目的,是为立法、执法、司法,立法目的也是为执法、司法。执法、司法发挥良好社会效果,需法律制度本身科学、合理、可操作,或者说社会期许法律具有良好的品质,即尊重事物发展规律、不阻碍事物正常发展。因此,法学研究应怀有敬畏、慎重的态度,深入了解事物黑白,仔细探讨事理曲直,还要有效衔接已有立法,避免制度叠床架屋、多此一举。开展法学研究,不应停留在表面或者“拍脑袋”,应多问几个为什么,避免相关建议似是而非。至于数据立法,还有深层次问题需要进一步探讨。

一、数据的界定

数据有多种界定。现行立法和文件中对数据的界定,大致有以下几种:

(一)指通过观察、实验或计算得出的数量化资料,表现为数值。如,《节约能源法》第二十七条“用能单位应当建立能源消费统计和能源利用状况分析制度,对各类能源的消费实行分类计量和统计,并确保能源消费统计数据真实、完整”,《广告法》第十一条“广告使用数据、统计资料、调查结果、文摘、引用语等引证内容的,应当真实、准确,并表明出处”,《测绘法》第二条“本法所称测绘,是指对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集、表述,以及对获取的数据、信息、成果进行处理和提供的活动”,《食品安全法》第十五条“承担食品安全风险监测工作的技术机构应当根据食品安全风险监测计划和监测方案开展监测工作,保证监测数据真实、准确,并按照食品安全风险监测计划和监测方案的要求报送监测数据和分析结果”,《统计法》第二十三条“国家统计数据以国家统计局公布的数据为准”等立法中的“数据”。

称之为数据,自然脱离不了数字,包括1、2、3等计数符号,也包括具有数学含义的字母或者其他符号。这是数据的原始含义。

(二)指电磁环境下信息传输的一种方式,表现为“01”。如,《电信条例》第二条“本条例所称电信,是指利用有线、无线的电磁系统或者光电系统,传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动”,《合同法》第十一条“书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式”中的“数据”。

上述信息传输方式,对应于模拟信号传输方式,因以“01”这两个数字为编码元素,故称为数据传输或者数字传输。将互联网作为基本联结元素或者载体的经济活动称为“数字经济”,根源在于互联网以“01”方式传输信息。

(三)指电磁环境下以数据方式传输或者处理的信息,即将“数据”与“信息”混用。如,《刑法》第二百八十六条“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚”,《刑事诉讼法》第五十条“可以用于证明案件事实的材料,都是证据。证据包括:⋯⋯(八)视听资料、电子数据”,《网络安全法》第七十六条“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据”,《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第一百一十六条“电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息”中的数据。

数据是电磁环境中传输信息的方式、工具,体现为载体,而信息则是数据传输的对象、内容,体现为本体。因对数据传输、处理和接收主体而言,关注的重点是信息,而不是信息的传输和处理方式,且二者可以建立对应关系,将数据与信息混用,或者说将电磁环境下的信息称为数据,并无不妥。如《网络安全法》第七十六条“网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”规定,将信息作为系统(网络)处理的对象,而第十条“维护网络数据的完整性、保密性和可用性”则使用了“数据”概念,混用了“信息”和“数据”。

(四)指大数据处理技术广泛应用背景下,处理和看待事物的一种角度或者方法。如,《网络安全法》第十八条“促进公共数据资源开放,推动技术创新和经济社会发展”和第三十七条“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”中的数据,以及国务院《促进大数据发展行动纲要》“信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响”中的数据。

从大数据处理角度看,一切事物或者活动均可以作为数据,“对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,从中发现新知识、创造新价值、提升新能力”,即万事万物皆数据,包括线上数据和线下数据。

通过以上分析,可以看出数据有不同含义,从数值这一原始含义,延伸至信息传输的数据方式,再代指所传输的信息,进而扩展至线下,指代万事万物。数据含义不断延伸,从原来的数字扩展至万事万物,但其处理方式、方法未脱离数字。这也是“数据”概念适应技术发展,随圆就方,较“信息”概念更为通行的原因。

二、数据立法的重点

数据有不同含义,不同立法采用不同含义,属于正常;同一立法对数据的界定,宜从一而终,不可顾左右而言他,混用不同含义。倡议或者推进数据立法,理由不外乎数据重要,需要加强保护或者规范。

若所说数据指数值,因较多行业存在计量、测量活动,均会产生数据,该类数据生成、应用等活动是否有必要规范,需要结合所在行业特点探讨,如能源消费统计、食品安全风险监测、测绘、经济统计等,均可以在不同立法中进行有针对性地规范。从“数值”出发,对各行各业生成、应用数据的活动进行统一规范,没有必要,也不现实。

若所说数据指电磁环境下的数据(数字)传输方式,因该种传输方式是网络传输信息的基本方式,数据是网络的核心构成要素,而网络安全的基本含义指信息从一端传到另一端过程中不被破坏(完整性)、不被窃知(保密性)和可使用(可用性),适用网络安全制度即可,没有重复立法的必要性。

若所说数据指数据传输方式所传输的信息,则对应有信息安全制度,如《网络安全法》设专章规范“网络信息安全”,《互联网信息服务管理办法》也对制作、发布、传播“九不准”信息的行为进行了规制。若相关信息侵害他人名誉、著作权、商誉等,侵权、著作权、不正当竞争等制度均可适用。

若所说数据是从大数据处理角度指称万事万物,由于大数据技术“能够揭示传统技术方式难以展现的关联关系”,“能够总结经验、发现规律、预测趋势、辅助决策,充分释放和利用海量数据资源中蕴含的巨大价值”,可以对个人和经济社会的活动进行入微入细的分析探知,对个人生活、经济社会甚至国家安全具有一定的安全威胁,需要加以规制。大数据技术应用带来的对个人、经济社会和国家的安全威胁,超出了上面所讲网络安全、信息安全的范畴,属于数据立法所应规制的重点。

建议加强数据立法的论者,多以数据重要为理由,以大数据技术应用带来的安全风险为论点,所给出的具体建议又不免与网络环境下的数据传输及传输的信息相混用,如将“个人信息保护制度”相关规定中的“个人信息”替换为“数据”,即成所谓的“数据保护制度”,相关制度设计与现有网络安全、信息安全制度重合,不能突出数据立法的必要性。

出现上述问题的原因在于,大数据背景下将万事万物指称为“数据”,此“数据”不过是处理和看待事物的一种角度或者方法,而不是事物本体。“数据重要”理由看似有理,实则空洞。相关数据是否值得保护,需要看其所反映的事物是否有价值、是否需要保护。例如,《人类遗传资源管理条例》第二十八条要求“将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,不得危害我国公众健康、国家安全和社会公共利益;可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查”,对外国组织、个人及其设立或者控制的机构获取、使用我国人类遗传资源信息的活动进行严格规制,是由于人类遗传资源信息是“利用人类遗传资源材料产生的数据等信息资料”,对于维护我国公众健康、国家安全和社会公共利益至关重要。

在现行网络安全、信息安全制度较为完善的基础上,开展数据立法的必要性,在于大数据技术应用背景下数据带来的安全风险,已超越数据传输、存储和处理过程中的安全风险(即网络安全)和信息内容的安全风险(即信息安全),更多体现为数据对个人、经济社会、国家的安全风险,需要予以规范。

三、数据立法的切入点

大数据技术应用背景下,将万事万物作为数据,对数据的获取、使用、保存等活动进行规范,应认识到数据不过是对事物或者活动的反映,而不是事物或者活动本身。人们学习、生活、工作,对外开展社交和交易活动,相关业者开展经营活动、提供服务,目的不是为了提供、产生数据,也不是为了收集、处理数据,而是一个个具体的消费、娱乐、买卖、支付活动,这些活动从大数据角度都可以作为数据,进行分析提炼进一步的价值。数据是经济社会活动的副产品,而不是目的。如,某社区居民常去附近超市购物,个体居民的购物行为可以作为数据,超市可以进一步分析得出附近居民消费习好。对于居民与超市之间的交易行为而言,目的是一方提供物品,另一方支付价款,虽可以将交易行为看作数据,但交易的达成、进行均无收集和提供数据的目的。

数据不是经济社会活动的目的,而是其副产品,不代表相关活动的本质和特性。因此,从数据角度,仿照个人信息保护制度,按照数据收集、存储、传输、使用环节,对经济社会活动进行规范是不全面的。开展数据立法,应围绕解决大数据应用带来对个人、经济社会和国家的安全风险问题这一重点,做好与相关立法的区分,找准切入点。具体而言:

(一)关于数据的生成。数据存在生成问题,是从大数据角度将万事万物看作数据。这个过程中,更多是从大数据处理角度对相应的事物或者活动进行描述和转化,而事物或者活动的产生、发展一般不涉及数据。具体以服务为例,业者提供服务,用户接受服务,目的不是为产生、收集、提供数据,而是提供和接受服务。具体服务发生后,可以将该次服务转化为数据,运用大数据技术进行二次利用。数据生成于事物或者活动产生、发展之后,属于相应经济社会活动的副产品。

对于具体事物或者活动的产生、发展活动,《合同法》《物权法》《侵权责任法》《反不正当竞争法》《消费者权益保护法》等一般性立法均可适用,对于特定行业或者领域事物或者活动,则有《电信条例》《著作权法》《医疗事故处理条例》《人类遗传资源管理条例》等立法适用。这些活动中,若立法对个人信息、国家秘密、数据(指数值)资料保存等有相应规定,则应遵守该规定。虽然从大数据技术角度可以将万事万物看作和转化为数据,但没有必要从数据角度对万事万物的产生、发展进行规范,也就是不存在所谓事物或者活动产生、发展过程中的数据收集问题。

以用户通过淘宝平台购物为例,用户与淘宝平台及入住商家之间的互动、交易达成、货款支付等,均是通过“数据传输”方式进行,该数据传输的安全,属于网络安全范畴;用户看到的淘宝平台上的图片、文字、视频、声音,以及与平台及入住商家的沟通、交易内容,均是网络环境下的信息(也可以称为“数据”),该信息内容的安全,属于信息安全范畴;用户与入住商家达成的交易,从大数据处理角度作为数据,与其他相关数据结合进行分析,可以对该用户个人生活进行深入探知,可以对某一区域用户习惯、某一行业经营情况甚至经济运行态势进行深入分析,这属于数据立法应关注的重点。

对于用户与入住商家之间交易这一数据的生成,伴随的数据传输和信息生成活动,属于现行网络安全和信息安全的范畴,不属于大数据处理角度关注数据立法所应考虑的事项;该过程中涉及个人信息收集问题,属于个人信息保护立法适用范畴,不需要通过数据立法予以解决。数据是事物或者活动产生、发展的副产品或者观察角度,若从数据角度对其进行规范,则忽略了事物或者活动的本质,属于本末倒置。因此,对于数据生成,不存在数据立法必要。

(二)关于数据的提供。相关事物或者活动的拥有者或从业者,可以将相关事物或者活动情况作为数据提供给他人,专门从事数据处理的主体也可以向他人分享、提供其掌握的数据。提供数据,实质扩大或者转移了数据掌握主体,必然涉及数据传输,但不指数据传输。有偿数据提供,涉及数据经济价值问题,进而促发数据财产属性和权属问题的讨论。

数据权属问题,延伸于数据财产属性和经济价值问题。数据可以发挥经济价值,取决于两个因素:数据的数量和数据的处理方法。数据可以发挥经济价值,必须具备一定的数量规模,决定了数据交易对象为数据集合。数据可以进行不同集合,同一事物或者活动可以分别由不同主体转化为数据,也可以转化为不同数据,数据可以同时由不同主体掌握和处理,不同主体对数据处理方式的不同可以导致数据的经济价值不同。这些决定了数据不具备像物、作品那样可以成为像物权、著作权等绝对权利的客体那样的属性,即客体具有相对性而不具有特定性,具有共享性而不具有排他性,原因在于数据是事物处理角度和方法,而不是事物本身。

对于数据提供的规制,适用现行债权法即可,无需新设绝对性权利。由于对海量数据的分析,可能造成对个人生活、经济社会、国家安全的风险,因此有必要对某些领域或者行业数据的提供行为进行必要的行政规制,如医疗数据、能源数据、测绘数据、经济运行数据等,可以在卫生医疗、能源管理、测绘管理、统计管理立法中进行规制,也可以在数据立法中进行规制。规制内容,包括数据提供内容的规制,如哪些数据不可以提供,数据接收主体的规制,如哪些数据不可以提供给境外主体,数据提供形式的规制,如数据是否可以在线传输,数据分享范围的限制,如行政审批数据是否可以在不同政务平台共享,等等。

(三)关于数据的处理。数据处理的主体,包括相关经营活动的从业者,如医院、电商、银行对开展业务形成的医疗、交易、支付数据的处理,也包括专门从他人处收购数据进行数据分析、挖掘等处理的机构,如征信机构,还包括受委托专门提供技术支撑、系统维护等服务的机构。数据处理的对象,可以是有偿获得的数据,涉及相关主体的提供意愿,如医院出售医疗数据,也可以是公开的数据,如工商登记信息,不涉及相关主体的提供意愿。通过大数据技术深度分析和挖掘已存数据,可以入细入微探知相关主体的状况,深度了解事理内在联系,精准判断发展现状和预测未来发展趋势,对个人、经济社会和国家影响深远,需要予以规制。具体而言,包括如下几个方面:

一是关于处理对象的规制。立法可以对某些数据是否可以被处理进行禁止或者限制,如处理个人信息需要获得相应主体的授权,境外主体使用我国人类遗传资源应采取与我国境内相关机构合作的方式,在地图上表示重要地理信息数据应当使用依法公布的相应数据。

二是关于处理主体的规制。对于从事大数据处理活动的从业者,目前法律没有设定准入资格。由于大数据处理业务高度市场化,似乎没有必要设定统一的从业资质。但对于处理特定行业或者领域数据的主体,相关法律可以进行一定的规制,如利用地图数据提供地理位置定位等服务应当依法取得相应的测绘资质证书,从事征信业相关活动应当取得经营许可证。

三是关于处理结果的规制。大数据处理可以利用公开数据,相关数据的获得可以不需要履行相关手续或者授权,但数据处理结果可能会侵害或者干扰个人生活,或者危害国家安全,立法可以对数据处理活动加以规制,如“采集、保藏、利用、对外提供我国人类遗传资源,不得危害我国公众健康、国家安全和社会公共利益”。

数据有不同含义,已有多部立法涉及。数据立法应当做好与现行制度的区分,按照“使市场在资源配置中起决定性作用”精神,充分尊重市场的创造力,聚焦解决大数据技术背景下数据利用活动存在的问题。

(本文刊登于《中国信息安全》杂志2019年第8期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。