1���、數據的法律意義與現有立法
“大數據”將深刻地改變社會治理�����、企業決策和每個人的生活,它給傳統法律制度帶來的挑戰甚至可能超越此前互聯網的產生所帶來的沖擊����,在法律領域帶來了革命性的影響。
1.1“數據”和“信息”的法律意義
“數據”具有原始性����、基礎性��。數據是對信息數字化的記錄,其本身并無意義�;信息是指把數據放置到一定的背景下���,對數字進行解釋��、賦予意義[1].數據是基礎,經過加工成為信息和知識�。
我國目前的立法中���,分別有對“數據”和“信息”的規定����。2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(以下簡稱《人大決定》)中規定:國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息�。《征信業管理條例》規定:征信機構在中國境內采集的信息的整理���、保存和加工,應當在中國境內進行���。在《征信業管理條例》中,這些信息包括個人信息�、企業信息��、政府有關部門依法已公開的信息等,同時引入信息使用者��、信息主體�、信息提供者等概念。工業和信息化部2013年出臺的《電信和互聯網用戶個人信息保護規定》對“用戶個人信息”進行界定和保護�。2009年2月通過的《中華人民共和國刑法修正案(七)》���,新增了出售、非法提供公民個人信息罪、非法獲取公民個人信息罪。在2015年通過的《中華人民共和國刑法修正案(九)》中,又對此進行了新的修訂����,擴展了犯罪主體和獲取信息的范圍����,加大了處罰力度���。
關于“數據”的法律規定主要出現在2015年以來的立法中�����!吨腥A人民共和國國家安全法》第二十五條規定:實現網絡和信息核心技術��、關鍵基礎設施和重要領域信息系統及數據的安全可控��。《中華人民共和國網絡安全法(草案)》規定:“維護網絡數據的完整性�����、保密性和可用性”��,“防止網絡數據泄露或者被竊取����、篡改”��,“采取數據分類��、重要數據備份和加密等措施”,“關鍵信息基礎設施的運營者應當在中華人民共和國境內存儲在運營中收集和產生的公民個人信息等重要數據”等�����。2015年11月發布的《地圖管理條例》中也多次使用了“數據”����,如第三十四條規定��,互聯網地圖服務單位應當將存放地圖數據的服務器設在中華人民共和國境內�����,并制定互聯網地圖數據安全管理制度和保障措施。
從這些法律規定可以看出,“數據”和“信息”在我國的立法語境下并不是通用的。從范圍上看�,“數據”規范的范圍大于“信息”�����,數據代表著網絡上產生的原始數據,而信息本身則包含、代表一定的意義��,例如��,工業和信息化部《電信和互聯網用戶個人信息保護規定》中對“用戶個人信息”進行了界定:“用戶個人信息�����,是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期��、身份證件號碼����、住址、電話號碼���、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息����。”從立法時間來看����,將“數據”一詞引入立法主要是2015年�����,這表明大數據的發展已經使“數據”的安全問題提上立法日程;從立法目的上看����,“信息”相關規則的立法目的更側重于保護���,更多是對私權利的保護�����,而“數據”相關制度則更偏重于安全管理的維度�,是公權力的體現���。
從國外的立法情況看�����,全球出臺個人信息保護法的地區和國家����,有的使用“data(數據)”�,如歐盟1995年的《保護個人享有的與個人數據處理有關的權利以及個人數據自由流動的指令》及即將發布的《數據保護總體規則》,英國�����、德國���、新加坡�����、馬來西亞等國家都是《個人數據保護法》;有的使用“information(信息)”�����,如加拿大《個人信息保護和電子文件法》��、《個人健康信息保護法》等��。在國外個人信息保護相關立法和實踐中,對“數據”和“信息”應該是通用的����,在很多情況下也是可以替換的�����,其意義相當于我國前述立法中的“信息”。
1.2適用于大數據的現有法律規定
“數據”具有資產性��,這一點已經在一定程度上形成共識���。最早提出通過財產權來保護個人數據的是美國人勞倫斯·萊斯格教授�����,早在他的第一版《代碼(Code)》中就已經提出了這樣的觀點:“財產制度鼓勵用戶利用財產權的方式來保護適當的許可��。利用相應的技術���,用戶可以創設許可����!眲趥愃埂とR斯格教授認為:“財產制度能讓用戶自由選擇不同的價值觀,這種價值觀的個人化也是法律所保護的”[2]。同樣����,數據對于不同的主體具有不同的價值屬性�����。數據所具有的資產屬性要求保護其所代表的經濟利益以及背后的基本權利,同時也要關注數據的安全,既包括個人和企業數據的安全,也包括國家層面的網絡安全��、信息資源的安全����。
數據在處理過程中涉及很多環節,數據最初的產生、收集��、存儲����,后續的處理��、傳輸和分析,把它們籠統地分為兩個階段,即數據的收集階段和數據的使用階段�,如圖1所示�。
我國目前關于“數據”規范的立法�����,主要集中在個人“信息”的保護領域�。這些立法對于個人信息的收集和使用有類似的原則性規定����,即主要包括個人信息收集的合法���、正當�、必要原則,經被收集者同意原則,收集���、使用規則公開,明示收集使用信息的目的、方式、范圍,不得用于服務之外的目的��,不得違反法律法規的約定和雙方規定等����。這些原則與國際上通行的個人信息保護原則基本上是一致的�����!度舜鬀Q定》是目前我國關于個人電子信息保護的最主要法律規范�����,其中規定了上述原則�,在《人大決定》的基礎上���,2013年工業和信息化部發布的《電信和互聯網用戶個人信息保護規定》進一步要求:“電信業務經營者����、互聯網信息服務提供者在用戶終止使用電信服務或者互聯網信息服務后,應當停止對用戶個人信息的收集和使用,并為用戶提供注銷號碼或者賬號的服務������!痹趥鹘y的立法中�����,也在不斷增加關于個人信息保護的相關規定�,如2013年修改的《中華人民共和國消費者權益保護法》中����,增加了關于“經營者收集、使用消費者個人信息�,應當遵循合法��、正當、必要的原則��,明示收集�����、使用信息的目的����、方式和范圍����,并經消費者同意。經營者收集����、使用消費者個人信息��,應當公開其收集���、使用規則�����,不得違反法律����、法規的規定和雙方的約定收集、使用信息”的要求�。
在明確信息收集和使用原則的基礎上���,一些立法對個人信息的收集和使用還有一些專門的規定����。在信息收集方面���,在一些具有特殊敏感性的行業�,如醫療衛生、金融、快遞等有專門的法律規定。例如��,國家衛生和計劃生育委員會《人口健康信息管理辦法(試行)》第八條規定�,責任單位應當按照“一數一源、最少夠用”的原則采集人口健康信息,所采集的信息應當符合業務應用和管理要求���,保證服務和管理對象在本單位信息系統中身份標識的唯一性和基本數據項的一致性,所采集的信息應當嚴格實行信息復核程序����,避免重復采集��、多頭采集�!墩餍艠I管理條例》還規定了禁止采集的情形�����,第十四條規定,禁止征信機構采集個人的宗教信仰���、基因��、指紋����、血型�����、疾病和病史信息以及法律�、行政法規規定禁止采集的其他個人信息���。征信機構不得采集個人的收入���、存款�、有價證券、商業保險、不動產的信息和納稅數額信息。
在信息存儲方面,《人口健康信息管理辦法(試行)》規定了人口健康信息實行分級存儲的原則��,同時規定“不得將人口健康信息存儲在境外的服務器中���,不得托管�、租賃在境外的服務器”。《征信業管理條例》也規定,征信機構在中國境內采集的信息的整理�����、保存和加工����,應當在中國境內進行。正在進行的《中華人民共和國網絡安全法(草案)》立法中,其草案的第三十一條也規定:“關鍵信息基礎設施的運營者應當在中華人民共和國境內存儲在運營中收集和產生的公民個人信息等重要數據�����;因業務需要��,確需在境外存儲或者向境外的組織或者個人提供的���,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估���。法律�����、行政法規另有規定的從其規定”。這一規定受到了國內外的廣泛關注��。
在個人信息的使用方面��,對個人信息的非法出售或者非法提供�,是個人信息使用過程中的紅線��。2015年9月發布的《中華人民共和國刑法修正案(九)》第二百五十三條之一“侵犯公民個人信息罪”�����,對違反國家有關規定,向他人出售或者提供公民個人信息�,違反國家有關規定��,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的以及竊取或者以其他方法非法獲取公民個人信息的��,規定了刑事責任����。
此外,與大數據相關的法律制度還有數據泄露通知制度�、數據留存制度以及政府數據開放制度等�。在數據泄露通知方面���,由于云計算的發展�����,服務中斷和數據泄露的規模大大增加,使數據泄露成為云計算���、大數據時代最主要的安全風險之一。在2013年《電信和互聯網用戶個人信息保護規定》中規定了數據泄露的報告制度:“電信業務經營者���、互聯網信息服務提供者保管的用戶個人信息發生或者可能發生泄露、毀損��、丟失的�����,應當立即采取補救措施��;造成或者可能造成嚴重后果的,應當立即向準予其許可或者備案的電信管理機構報告��,配合相關部門進行調查處理�。”在歐盟即將發布的數據保護新規中�����,規定在數據泄露事故發生之后�,沒有及時通知監管機構,最高將被處以全球營業總額的2%的罰款���。在數據留存方面,《互聯網信息服務管理辦法》規定����,互聯網信息服務提供者和互聯網接入服務提供者的記錄備份應當保存60日��,并在國家有關機關依法查詢時�,予以提供。公安部制定的《互聯網安全保護技術措施規定》中也提出互聯網服務提供者記錄并留存用戶登錄和退出時間、主叫號碼�����、賬號����、互聯網地址或域名�����、系統維護日志的技術措施等要求。而在國際上呈現兩種不同的立法趨勢�����,2014年4月����,歐洲法院宣布2006年開始實施的《關于存留因提供電子通信服務或者公共通信網絡而產生或處理的數據修訂第2002/58/EC號指令的數據存留指令》(要求互聯網和電話公司為打擊犯罪保留用戶通信元數據)因侵犯個人私生活基本權利無效。而2015年澳大利亞和德國卻在數據留存方面有新的法律規定��,澳大利亞修訂電信(攔截和訪問)修正案(數據保留)法�,規定相關信息要保存到涉及相關信息的賬戶銷戶后2年為止;德國規定電信公司�����、互聯網服務提供商和其他接入運營商對所有公民的通信數據存儲10周�����,移動服務的位置信息必須保存4周���。在政府數據開放方面,由于政府和公共機構的數據開放是大數據開發利用中的重要環節�,很多國家已經對此出臺了相關的立法��。我國目前主要是《中華人民共和國政府信息公開法》與此相關,但是信息公開的要求�、哪些信息要公開、公開的原則是什么,與大數據利用的要求還有比較大的差距。新出臺的《地圖管理條例》對地理信息數據的開放共享進行了規定���,是一個比較可喜的突破:“縣級以上人民政府測繪地理信息行政主管部門應當采取有效措施��,及時獲取��、處理、更新基礎地理信息數據,通過地理信息公共服務平臺向社會提供地理信息公共服務��,實現地理信息數據開放共享”。
2、大數據帶來的法律挑戰
技術的發展帶來了難題,同時又開出了藥方。大數據給人類帶來了挑戰��,也帶來了新時代的曙光���。人類終將受益于技術的發展和進步�,在即將到來的智能時代獲得更大的自由和解放[3]。法律帶來的是穩定的預期和權利義務關系的平衡,而革命性的新技術的出現,將會改變甚至打破現有的秩序和平衡�,從而給原有法律制度帶來影響和變革��,大數據正是這樣一種技術。
2.1安全方面的挑戰
2015年,世界經濟論壇發布的《全球風險報告》指出�,隨著越來越多的實物連接到互聯網上以及日益敏感的個人信息(包括健康和財務)被企業存儲到云端設備中�,網絡攻擊和超級連接變得日趨復雜�����。世界經濟論壇所做的2013-2014年全球風險認知調查結果顯示����,大規模網絡攻擊和數據的欺詐或竊取�,是在影響力和發生概率兩方面超出平均水平的風險。
大數據的發展也面臨網絡安全與數據安全兩方面的挑戰�����。2015年�,iCloud服務器出現多次中斷���,影響面甚廣��,而“棱鏡”計劃曝光的美國進行的大規模網絡監控更是觸目驚心�,未經授權的數據訪問�����、數據竊取與泄露等安全風險對法律制度提出了新的訴求���。要求加強網絡安全防護��、引入關鍵信息基礎設施保護制度��、加強網絡世界與真實世界的連接安全等。2015年7月出臺的《中華人民共和國國家安全法》中提出建立國家安全審查制度:“國家建立國家安全審查和監管的制度和機制�����,對影響或者可能影響國家安全的外商投資�����、特定物項和關鍵技術�、網絡信息技術產品和服務��、涉及國家安全事項的建設項目以及其他重大事項和活動���,進行國家安全審查���,有效預防和化解國家安全風險”���。這對于有效防范來自產品、設備��、服務��、外國投資的安全風險具有非常重要的意義�,但是在具體行業領域中的安全審查制度還有待進一步建立和完善����。
在數據安全方面,最早在國務院辦公廳2004年發布的《關于加強信息資源開發利用工作的若干意見》中就指出:“信息資源作為生產要素����、無形資產和社會財富���,與能源���、材料資源同等重要�,在經濟社會資源結構中具有不可替代的地位��,已成為經濟全球化背景下國際競爭的一個重點”����。習近平在2014年初中央網絡安全和信息化領導小組第一次會議的重要講話中也提到:“信息資源日益成為重要生產要素和社會財富����,信息掌握的多寡成為國家軟實力和競爭力的重要標志”。2015年8月,國務院發布的《促進大數據發展行動綱要》進一步指出:數據已成為國家基礎性戰略資源��。對于數據資源的本地存儲����、利用、控制���、管轄等是網絡空間國家主權的必然要求���。在制度建設上�,需要通過對網絡攻擊和網絡監控的防范來保護整個數據資源的安全,同時,增強國內網絡設施和產品的競爭力���,防范通過產品和服務設備進行數據收集,更重要的是加強數據資源的開放、開發和利用�����,進一步實現數據資源所蘊藏的經濟價值�����,增強國家的競爭力����。
2.2大數據商業利用的挑戰
大數據已經成為驅動新一輪經濟增長最重要的引擎,人類即將進入一個全新的時代--智能化時代,而這個智能化時代也是數據驅動的[3].但是,大數據的商業利用也給監管和法律帶來了新的挑戰���。大數據產業的發展中,數據分析者、數據提供者以及數據驅動的創新企業等構成大數據生態系統中的主要部分����,而數據交易平臺也是新興的主體之一�����。目前,產業界已經在探索交易平臺的各種規則���,中關村大數據交易產業聯盟、貴陽大數據交易所等已經開展了很好的產業實踐���。
2015年7月�����,國際電信聯盟(ITU)發布了2015年電信改革趨勢報告--《做好迎接數字經濟的準備》��,這是繼2014年ITU提出數字時代的第四代監管之后,電信改革趨勢報告繼續關注數字經濟問題���,并專門以一章分析了大數據的機遇和挑戰。報告認為�����,大數據對公司的商業運營意義重大����,商業實體收集、分析和存儲數據有幾個重要的原則���。例如,數據保留:在數據完成原始的目的后將數據存儲更長時間���,以便它再利用。數據收集:商業實體傾向于更多地收集數據����,即使它暫時不能用于特定的目的����,但是可能對于那些還沒有被認識到的目的有價值�����。數據優先:數據具有價值�����,并且那些擁有數據的人或者能訪問數據的人有能力提取這些價值����,而那些沒有數據的人則不行。數據專家:從數據中提取隱藏價值的專門技術十分重要��,而目前在這一領域的專家還是有短板的�,因此對數據科學家有很高的需求。數據思維:在分析大數據問題時��,比技術專家更為重要的是在特定數據領域的戰略能力��,這就是為什么一個小的(但不斷增長)大數據企業能夠從起步到取得連續的成功��,甚至進入相對擁擠的市場空間中。數據的非線性可擴展性:擁有更多數據將不成比例地提升數據的價值���,這是大數據的網絡效應,更多的數據意味著更多的價值����。降低進入壁壘:大數據初始公司不需要大量投資于技術基礎設施以處理和存儲數據��。它們可以使用其他公司提供的彈性的云數據處理能力,這大大減少了進入的壁壘�,而且當那些大公司變得更大時�,小公司仍然有成功的機會。數據的效用擴展:例如一個電信服務提供商可能發現可以使用它自己的網絡數據提供天氣數據平臺����、服務����,或者一個汽車制造商可以將它自己變為一個旅游數據平臺��。這意味著傳統行業的公司可以進入其他部門�����,并且基于他們獲取和分析數據的能力而增加新的收入����。
盡管大數據有如此多的商業利用機會,但是在監管和法律方面仍面臨著重大的挑戰:一是數據資源開放的挑戰����,目前我國還沒有政府數據開放的相關立法�,大量的數據資源掌握在政府和公共機構手中�,還沒有得到有效的開發利用;二是缺乏普遍適用的數據交易、流通規則,業界雖然已有探索�����,但對于數據的所有權�����、數據交易中相關主體的權利義務��、數據的定價等還沒有法律的明確指引;三是可能的數據壟斷����,目前大量的數據集中在大企業手里����,數據集中化趨勢不斷出現����,如何打破數據集中化趨勢,使企業進一步地開放數據��,使其他的數據運營者能夠以公平�、合理的條件接入和訪問這些數據�,并且利用和分析這些數據,也是一個新的挑戰;四是數據濫用的挑戰,例如,利用數據科學來分析處理健康狀況博客、瀏覽習慣、社交媒體和數據代理商提供的檔案資料��,可以發現最有可能患糖尿病或抑郁癥的人[4]����,那么在推銷保險時,是否會將這些人全部排除在外���?這是數據歧視的挑戰。
除此之外���,最重要的就是大數據對隱私保護帶來的挑戰。在數據的收集階段�,用戶知情同意的原則要求數據獲取及使用目的要征求用戶同意����,但是大數據的發展使這種“同意”難以實現�����,因為大數據的價值不再單純來源于它的基本用途��,而更多源于它的二次利用[5],而這些二次利用的用途是收集時難以告知用戶的;在數據的使用階段,很多數據在收集時并無意用作其他用途��,而最終卻產生了很多創新性的用途����,因此無法滿足目的明示及不得用于服務之外目的的原則。近年來���,各國在政策和技術上對于“匿名化”做了很多努力���,但是因為更多的數據每天被采集,并且有更多或更強大的工具來聯系這些數據���,“匿名化”的效果不一定能夠達到。
2.3國際規則與國際立法的挑戰
在大數據時代��,已經很難只把目光聚焦在國內的立法和政策的領域�����,全球新的服務貿易規則正在形成�����。在剛剛公布全文的《跨太平洋伙伴關系協定》的“電子商務”章節規定,不得將設立數據中心作為締約方企業進入本國市場的前提條件(第14.13條),將在保障個人信息等合法公共政策目標的前提下,確保全球信息和數據自由流動(第14.11條)���。可見,數據的跨境自由流動和本地存儲已經成為國際規則制定中新的博弈點�����。
國內立法是影響國際規則��、在國際規則制定中體現本國意志的前提條件��。《中共中央關于制定國民經濟和社會發展第十三個五年規劃的建議》提出�����,要積極參與全球經濟治理�。積極參與網絡、深海��、極地�����、空天等新領域國際規則制定。要進一步地積極參與網絡方面的國際規則制定����,爭取國際規則制定的話語權�����,重要的前提就是國內立法的完善,包括個人信息保護法�����、數據境內存儲與跨境傳輸的規則���、外資安全審查制度等�����,這些國內立法都會影響我國在國際規則談判中的立場和主張����。在國際規則制定中����,考慮到我國的產業發展和競爭力水平,如何制定數據本地化的規則�,在跨境服務的負面清單中如何對新業務保留采取措施的權利以及充分利用安全例外原則�,建立本身的安全措施和規則���,這些都是目前面臨的新挑戰����。
3��、思考和建議
大數據以及它給政治�����、經濟��、社會帶來的深刻挑戰,終將影響到法律制度的建設��,像互聯網剛剛出現時一樣����,對于大數據是否需要制定一部全新的立法,還是在原來的法律規則基礎上進行修改完善���,這個問題還需要更深入地探索。
對于大數據的相關立法�����,要平衡釋放數據經濟活力��,規范商業利用與數據資源安全和隱私保護之間的關系�,重點針對數據的收集和使用環節建立規則��,明確大數據生態中不同主體的責任����,促進網絡基礎設施的發展�����,開放數據資源�����,加強網絡安全與隱私保護�。
應對網絡安全與數據安全挑戰,要進一步關注大數據等新技術新業務帶來的網絡安全問題,與實體經濟安全相結合進行統籌處理�����,建立關鍵信息基礎設施安全管理制度�����,對互聯網平臺的義務�����、責任予以明確。而對于數據安全�����,建立對數據安全風險的評估機制����,從關注數據本身到關注數據資源整體的安全,同時�,加強對處理數據主體的關注�����,限制特定類型的主體從事相關數據分析。
建立大數據商業利用的原則����。大數據的商業利用以國家安全為前提�,以隱私保護為基礎����。促進政府及公共機構數據開放��,建立健全數據資源交易機制和定價機制�,規范交易行為�。破除數據壟斷,探索將標準專利領域的FRAND(公平�、合理���、非歧視)原則引入大數據的管理中���,即占有數據的主體不能利用其在數據上的優勢地位限制競爭����,收取的費用應與在競爭環境下所能收取的費用一致,對于擁有同等條件的數據使用者以相同或相等的條件進行許可���。避免和規制數據濫用,在可能帶來負面影響的領域���,謹慎使用大數據預測的結果,不能使人為了未來可能的行為受到處罰�,這些使用要進行嚴格的審查�。在企業應用大數據預測對目標客戶進行分類時�����,規定哪些領域可以進行歧視性的利用��,而哪些領域不允許等。
隱私保護是整個大數據的發展和商業利用的一個非常重要的基礎性問題,需要在整個大數據發展利用過程中權衡考慮�����。在政府數據開放�、大數據商業利用的各個環節都要加入隱私分析����。同時,要加強使用前評估和保障措施����,對用戶個人信息的新使用����,必須評估其潛在危害和對隱私保護的影響����,在使用之前,針對潛在威脅制定相應的保障措施并且到位����,加強事后的責任追究�����。