文│中国信息通信研究院互联网法律研究中心主任 方禹
一、从网络治理到数据治理
数据治理是网络治理的衍生命题,甚至已经是或者将成为替代性命题。从传统社会管理到网络社会治理,对共性问题的发现与规制是网络法治的基本路径。网络治理所要解决的问题,是网络与有关行业、业态融合的过程中,将自身的问题复制到融合的新行业、新业态所产生的。这些问题,是网络所特有的,与之相融合的行业、业态所不具有的,会随着融合的过程,成为新业态所不得不面对的问题。网络治理所要解决的就是由于网络融合所出现的共性问题。数据治理是共性问题中的共性问题,在当前阶段具有格外重要的地位。数字经济已经成为经济发展的新动能,数据的潜力正在不断凸显,同时也产生了一系列的问题。过去的共性问题不断数据化,新型的数据问题不断产生。网络安全问题聚化为数据安全问题,比如跨境数据流动、数据泄露等问题。个人信息问题与个人数据问题本质上相互等同,受到广泛地关注。网络信息服务管理在很大程度上是对数据的控制问题,表现为政企之间数据配合程度或者配合义务的问题。与此同时,数据垄断、数据滥用、数据权属、数据流通等新型问题也大幅进入研究和管理视野。网络治理的问题已经阶段性地演变成数据治理的问题,而这一阶段可能会持续相当长的时间。关于“数据”,有很多种认识,将之比拟为21世纪的“石油”和“黄金”。这种重要性的认识还比较粗放,也符合数字经济仍处于发展前期的客观实践。随着数字经济的持续深入发展,对数据的认识还会进一步深入化、精细化。当前阶段围绕数据所产生的一些问题、矛盾,将依赖于更深层次的理解和认识而得以妥善解决。
数据的问题可以大致划分为三个领域,数据价值、数据安全和用户保护。数据价值属于目标性问题,也就是数据治理的最终目标,一般有赖于促进性的政策予以保障,但是也包括数据权属等基础性问题需要立法明确。数据治理的法治体系就是按照数据价值、数据安全和用户保护三个方面推进的。总体上来看,三者之间需要取得平衡的关系。这种平衡关系并不能简单地得出结论,而是至少应该用“成本-收益”分析的基本方法来进行制度设计。因为,三者之间零和博弈十分明显,处于此消彼长的相互关系。不难理解,对数据安全的要求更为严格,就会限制数据价值释放的空间。数字化社会的快速来临,加快了数字红利的稀释速度,同时也促使了数字恐慌的加剧蔓延。针对数据安全的认识多以感性为基础,而缺乏具体的理论支撑和实证研究。从法社会学的角度来看,当前阶段对数据安全的推崇在一定程度上也是对社会情感的安抚。我们知道,网络具有开放性和交互性,很难实现绝对安全,只能不断获得相对安全。数据安全立法过程中需要认识并坚持这一点。按照法经济学的思路,围绕数据安全(包括用户保护)的法律制度构建,需要进行成本分配的精确测算。
二、数据价值问题
党中央连续多次就数据价值释放的问题发布重要文件。2019年11月,党的十九届四中全会在《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》中首次明确数据作为生产要素参与社会分配。2020年3月发布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》中提出,要加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。2020年5月发布的《中共中央 国务院关于新时代加快完善社会主义市场经济体制的意见》中提出,要加快培育发展数据要素市场,建立数据资源清单管理机制,完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值。推进数字政府建设,加强数据有序共享,依法保护个人信息。
促进性措施由政策调整更为合适,但是立法的作用也很重要,以回应一些基础性问题,比如数据权属。目前数据权属在法律层面没有定论,给数据流通、数据交易带来障碍。现行《网络安全法》《刑法》(修正案九)侧重于保护公民个人信息的角度,规定较为严格,个人信息交易流通的合法空间十分有限。欧盟《数据战略》中指出,数据的价值在于能够使用和重用。能够重用的前提是数据能够被更广泛地共享,而只有自由、灵活的交易流通机制才能保证数据共享的广泛性,最大程度激活数据的价值。按照传统经验和实践效果,只有对数据予以较为充分的确权,数据交易流通才能得到保障。
不过,最为寄予厚望的《民法典》在一定程度上回避了这一问题。2020年5月28日颁布的《民法典》延续了《民法总则》的思路,对个人信息采取了权益保护而非权利保护的安排。这对于法理来说,无疑产生了一些遗憾和争议。但是对于数据实践,却留出了相对灵活的空间。采用权益保护的思路,一方面能够保证用户权益保护的法律依据,另一方面又避免了强权利保护可能对数据产业造成过于强硬的影响。不过这无疑也是一种稳妥处理的法律思路,体现了法律客观反映实践规律的谨慎性,避免过早给出极端的法律结论。
相比之下,地方立法更具探索性,试图取得区域性立法突破。2020年7月,深圳市发布《深圳经济特区数据条例(征求意见稿)》,创设性规定了“数据权”的概念,针对不同的数据类型明确数据权归属。自然人对其个人数据依法享有数据权;公共数据属于新型国有资产,数据权归国家所有;数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权。不过,条例没有对不同主体数据权发生冲突采用何种解决原则或规则并未进行规定。同月,天津市发布了《天津市数据交易管理暂行办法(征求意见稿)》对数据交易双方的数据权进行了规定,要求交易数据必须无权利争议,经处理无法识别特定数据提供者且不能复原,数据需方不得对数据进行重新识别,按约定完成使用后应及时销毁数据。地方立法在多大程度上能实现对基本民事权利义务关系的突破,还存在一些质疑。
未来,数据权属问题始终有待解决。这是一个法律问题,同时也是经验问题或者技术问题。现在来看,数据价值释放程度还比较浅显,社会关系较为简单。实际上,数据价值的潜力可能远超出既有的想象。有学者就提出“权利束”“新型财产权利”等较为复杂的理论模型来解释数据权属可能形成的复杂关系。如何界定数据权属,在一定时间内可能还会是一个难解的命题,也很难形成各方满意的最优解,最后还是一个利益平衡、有所取舍的结果。
三、数据安全问题
相比于数据价值,数据安全是底线性问题,主要是解决数据价值释放中可能产生的风险和负面效果,这些需要通过法治建设来加以保障。其中,用户保护也就是个人信息保护的问题,广义上可以归入数据安全问题(如《网络安全法》就将“个人信息保护”放入“网络信息安全”一章),但是近些年来,个人信息保护问题十分重要也广为关注,因此也可以从数据安全中剥离出来,与之相并列。不过,用户保护与数据安全一样,都侧重于风险规制。
数据安全问题在《网络安全法》中有所规定,主要是对关键信息基础设施的数据安全进行了规定,最为核心的是第三十七条有关数据跨境的要求。围绕这一条的讨论十分激烈,国家互联网信息办公室也相继发布了个人信息、重要数据出境安全评估管理办法的征求意见稿。目前数据安全问题还没有专门的立法,国外立法经验也比较少见。比较重要的两部立法仍然处于制定阶段,一部是《数据安全管理办法》,另一部是《数据安全法》。
《数据安全管理办法》2019年5月由国家互联网信息办公室向社会公开征求意见,规范中华人民共和国境内利用网络开展数据收集、存储、传输、使用等活动,对数据安全进行全生命周期管理,主要是确立数据分级分类管理以及风险评估,检测预警和应急处置等管理制度。《数据安全管理办法》中的很多制度与欧盟GDPR的规制思路有些类似,比如日常安全保障、风险评估等,填补了国内数据安全管理的一些制度空白。其中,争议比较大的是主体问题,有观点认为《数据安全管理办法》对于《网络安全法》有所突破,将数据安全的部分责任由“关键信息基础设施运营者”扩大为“网络运营者”,使得本不在《网络安全法》调整范围的一部分主体也将承担相应的义务。对此,实际的数据安全管理需求与法律制度的相对保守形成了冲突。因此,《数据安全法》作为后法,以及与《网络安全法》同一位阶的立法,如何对数据安全问题作出制度安排,就显得尤为重要。
《数据安全法(草案)》于2020年6月提交全国人大常委会进行第一次审议。草案与《数据安全管理办法》相类似,构建了网信部门牵头、有关部门依据职责监管的体系,特别是对“各部门、各地方”予以更大空间的授权。同时,也规定了分级分类、日常保障、应急管理等基本制度。但其内容与公众的预期尚存差距。这其中反映了对数据本身、对数字经济发展阶段、对安全与发展平衡等问题认识程度的不一致。因此,如何对数据安全进行制度设计,仍然留有较大的讨论空间。从数据利用的趋势来看,秉持“利用是原则,不利用是例外”应当是未来数据治理的主要思路。按照这一思路,制度设计就面临选择,是进行全生命周期管理,还是聚焦重点环节。搞清楚数据治理的关键问题,并有针对性的做出制度回应,可能更能反映数据活动的客观规律。
四、个人信息保护问题
国内个人信息保护立法处于分散的状态,《网络安全法》《消费者权益保护法》《电信和互联网用户个人信息保护规定》在一般层面对个人信息保护问题做出了总体性规定,金融、健康、交通、电子商务等领域对个人信息保护进行了行业性规定。国外个人信息保护统一立法趋势十分明显,特别是欧盟的95指令和GDPR对世界范围内个人信息保护立法产生了重大的影响。
目前主流个人信息保护立法主要包括三个方面的内容:一是个人信息保护专门机构。从欧盟实践来看,个人信息保护机构在个人信息保护中发挥了重要的作用,有效地适应了个人信息保护动态性、区分性的特点。强有力的个人信息保护机构能够根据具体问题、具体领域和具体时点做出相应的判断和解释,以弥补立法机械、保守的固有特点。二是个人享有的权利。这是个人信息保护的主要内容。GDPR列举了较为全面的个人信息权利,包括知情权、访问权、删除权(被遗忘权)、更正权、可携带权等。不同国家根据不同国情可以做出不同的选择,权利配置一方面决定了对个人的保护水平,另一方面也框定了数据产业的发展空间。三是监管制度。主要包括数据保护官(数据登记注册)、日常安全保障、风险评估、泄露通知、应急处置等方面。这些制度在各国个人信息保护立法和实践中大同小异,关键在于以何种标准、指引的方式予以支撑,确保其具备操作性,发挥实际的作用。
10月14日,我国刚刚第一次审议了《个人信息保护法(草案)》。其中对个人信息保护的主体内容进行了回应:一是以《民法典》为基础明确个人信息保护的具体权益,包括知情权、查询复制权、删除权等,同时进一步增加了解释权、决定权、限制处理权等(根据前述,此处应该理解为权益而非权利)。二是充分反映实际运转的管理机制并进行制度性固化。《个人信息保护法(草案)》突出了网信部门统筹协调的作用,也明确了各有关部门依据职责进行分工。三是明确日常和应急保障制度,个人信息处理者应当制定内部管理制度和操作规程,采取相应的安全技术措施,定期对其个人信息活动进行合规审计。同时还建立了数据保护专员、高风险评估等制度,并且进一步明确了数据泄露通知制度的具体要求。
(本文刊登于《中国信息安全》杂志2020年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。