为了深入落实国家大数据战略,推动大数据产业交流与合作,展示我国大数据产业最新发展成果,2019年6月4日至5日,由中国信息通信研究院、中国通信标准化协会主办,大数据技术标准推进委员会承办的2019大数据产业峰会在北京国际会议中心隆重开幕。6月5日,数据流通技术与法律论坛隆重举行。中国社会科学院大学互联网法治研究中心执行主任刘晓春以“数据流通的法律框架”为主题进行了演讲”。
中国社会科学院大学互联网法治研究中心执行主任 刘晓春
各位在场的嘉宾和专家们,包括各位听众下午好,非常荣幸有这样一个机会参加技术和法律的盛会,我刚才看了一下议程,好像还是以技术为主,主要围绕标准以及安全多方计算的技术展开今天的数据流通的分论坛的讨论,我很有幸从法律框架的角度,把整体的框架展现出来。
当我们去谈法律上的问题,我不知道在座有多少有技术背景,有多少有法律背景,我们谈法律和技术关系的时候,做法律人首当其冲的感觉,有什么问题我们要去管它,基本上还是防范警惕的姿态。今天的题目非常好,讲的是数据的流通,我们谈数据流通的时候我们把这个视角从所谓的保护、管制、控制转移到促进、保障这样的视角来说,对我个人来说也是很有启发。我试图为数据流通命题作文建法律框架的时候,我脑子里存在的并不是从法律出发。比如有专家提到了,不管是网络安全法,还是网信办和相关部门出台的各种管理规定,我脑海里更多是数据流通应该是怎样的过程,这个过程当中我们法律应该承担什么样的角色,法律需要去界定出来的问题它的目的并不是为了管制,而是为了促进这个数据的流通。
所以今天大的框架,今天从自己的角度搭的框架,首先做一个梳理和概述,观察现在在数据流通过程当中比较重要的一些法律的构造和制度。比如说首当其冲的就是所谓的数据安全和个人信息保护的问题,我们今天在讨论安全多方计算技术的时候,我相信这里面有很重要的讨论,不仅仅是技术的维度,更多是法律的维度,比如解决数据转移方面的隐私保护的问题,可能要保护数据安全共享和交易。在这样的视角下,我们可能除了数据安全之外,还要看数据共享和交易本身相关的促进和基础性的法律制度。当然现在非常热门的就是所谓的数据竞争,如果说数据安全处理的是政府和企业之间的关系,个人信息保护处理的是企业和个人之间的关系,那么数据竞争恐怕更多处理的是企业和企业之间的关系,都有不同的法律构造。
最后我想谈一下法律上没有明确的定性,法律上有原则上的条文没有给明确的权属,更多是理论和实践探索与数据流通的关系。
首先我们来看一下概述,从数据流通来看的确可能不全面,数据一定是要流动起来才会产生大的价值,这个是跟信息的认知是一样的,保护是必要的,但是真正使数据获得生命力,使它像空气一样成为最重要的资产,驱动这个社会创新的,实际上是它的流动,是流动和不同数据之间的融合。这种流动当中可能是共享方式,建立生态,或者推动特定机制下的数据共享,也可能是纯粹的数据交易,就是转让,在共享的框架下可能并不是完全把数据转让出去,可能是共同利用或者许可使用,或者是通过合同约定共同使用的方式,这样的一些模式。
当然还有一种情况数据并没有有主体之间进行分享或者流通,可能就是一个数据存在一个公开的,或者我们认为准公开的领域,所有的人都可以自由获得,通常可以体现为在互联网上进行数据抓取的行为。数据抓取本身引发了很多的法律上的冲突和争议,但是很多时候我们认为一个数据被质疑在一个公共空间当中,没有加密的话,这种数据获取行为通常被默认可以这样做,这可能是数据流通很重要的表现形式。
基于这样的表现形式在法律上要对应它我们刚才说不管要促进还是保障,还是建立一系列的制度,首先要去承认这个数据控制者,简单来说就是拥有数据的企业它的权利要给它一定的认可。这种权利可能是很强的,也许我们构造出一个类似专利知识产权一样非常强的,只要控制数据就拥有排他性,这种可能性是存在的,尽管现在没有。还有一种可能性我们承认是控制了这种状态,只要控制了,其他人就不能用其他不正当的手段来窃取,或者没有经过你的同意到服务器上抓取。这个时候需要对法律对控制者进行确认,我们可以通过技术的方式来维护,我们可以建护城河,如果被侵入了数据控制的权利被各种方式受到侵害的时候,法律上需要给他明确,不仅可以通过自己技术的方式,也可以通过法律的方式,比如去法院起诉来获得确认。这是法律在市场上,法律要提供的最基础的功能,就是权利界定的功能,权利界定是交易的基础。
在数据共享和交易流转的动态过程当中,前面是静态的状态的话,动态的过程当中需要有动态的法律机制去保护,比如在共享和交易的时候会形成合同,这个需要合同法上相应的保障。当然很多时候也可能会通过一些技术的方式来维护合同的履行,但是对这种技术措施法律上也要进行认同和认可,这个也是技术和法律的互动。
当数据被分享出去之后流通出去之后,对数据的利用行为本身也会引发法律的关注,比如你对数据的抓取、利用,你是不是超出了诚实信用的原则,是不是超出了商业道德。在整个数据处理过程当中如果说第三项竞争法处理的是企业和企业之间,数据安全的问题,个人信息保护的问题很多时候处理的是企业内部的问题和企业个人之间的关系,需要去遵守一系列的规范,比如安全规范、个人信息保护规范,这里面最著名的就是获取用户的同意。这个数据处理的规范,我们一谈数据,谈到数据的法律制度首当其冲的就会想到,大家都在关心到底我们在处理数据的时候哪些可以做,哪些不可以做,不可以做的范围越来越大的话,把这个合规成本升的非常高的时候,法律问题成为技术发展领域重要核心问题的时候,有可能会出现一些问题了,很多不是保障,是管制了。当数据要出境的时候,跨境传输的时候会涉及到特定的规则,特别是重要数据,涉及到特定行业数据的时候,很多行业主管部门也发布了各种数据的管理规范。比如说金融部门,比如说儿童数据,特定的行业,刚才提到的网信办最近公布的儿童数据的保护规定,是针对专门的弱势群体易受侵害的群众,金融数据、健康数据,包括通信领域的数据可能有各自的行业规范,这种规范可能通过法律法规不体现出来,也可能是通过标准,促进流通的标准的规范体现出来。
首先来看一下,我这个顺序是按照现在重要性或者受关注度的顺序来看数据安全的问题,还有信息保护的问题。当我们讨论数据安全的时候,我们首先想到的是《网络安全法》,里面提到的安全包括各种各样的安全,包括国家安全、公众安全,具体到的领域包括数据安全、内容安全,这里面也会和个人信息的保护,个人的数据安全结合起来。我们谈到数据安全也要分不同的层次谈,首先我们谈数据安全本身,安全性、保密性和可用性,在这个基础上法律构建出了一些,比如《网络安全法》里面构建出一些具体的要求,对于数据处理主体来说必须采取措施防止数据被窃取、篡改,对重要数据进行备份和加密,对外跨境传输的时候要进行特定的程序,这个是法律和技术的结合。法律规则的过程当中其实对技术规范进行了要求,这是刚才介绍的很多标准化的规范可以发挥作用,实际上通过技术的规范来履行法律上的责任和职责。
当然我们谈到数据安全的时候除了数据自身的安全之外,我们还会想到利用数据导致的安全问题,比如会涉及到国家安全的问题,涉及到特殊的军用数据或者是特定的经济领域的数据,公共安全的问题,可能会引起稳定的问题,还涉及到个人信息安全。
个人信息在我们整个数据安全的领域之内实际上应该是其中的一部分,我们知道肯定有构成个人数据这部分,也有非个人数据,这个逻辑上非常清楚。理论上数据不仅仅是个人数据,但是为什么我们谈到数据的时候,我们通常想到的典型的最重要的问题就是个人数据,恰恰就是因为在现在这样一个社会,特别是消费社会,这个数据更多的是除了我们说的工业数据,更多应用在消费市场的场合。消费者或者个人使用者的数据越来越成为企业的核心资产,具有巨大的商业价值,大部分的数据也包含很多的个人数据,个人信息的概念本身很宽泛,个人数据在数据安全领域是非常重要典型的问题。最近发布的数据安全管理办法是网信办发布的征求意见稿,里面对数据安全的名称,如果大家仔细看条文的话,大部分或者绝大部分的条文还是处理个人信息的问题,重要数据也是网络安全法界定的很重要的概念,重要数据是指对于公共安全,对于国家的公共力产生重要影响,如果被侵害,他的安全出现问题的时候对整个国家安全和公共安全产生重要影响的数据,并不见得一定是个人数据,也是数据安全中非常重要的一部分,我们看到网信办大部分都是处理个人的数据问题,个人数据的采集、处理和监督、防控风险这样的措施。
个人信息在网络安全法里面规定,核心就是识别,这个信息是可以识别自然人的身份,或者不靠他自己,他跟其他的信息结合在一起,可以识别个人的身份,这是各种信息。看起来还是比较有逻辑性的概念,但是在实践当中我们发现实际上会出现很大的问题,因为这个边界并不是很清楚,尽管通过列举,列举出了姓名、出生日期、电话号码等等这样一些信息,我们发现在现实生活当中如果你要说一个信息的片段是不是能够和其他信息结合起来共同去识别一个人身份的话,如果这个范围宽泛的话可能个人信息范围会扩展的非常广。比如今天北京国际会议中心肯定不是个人信息,但是可以和今天的日期,今天的会议,今天分论坛第二个发言人这些信息结合起来之后就变成识别我的信心,这个边界到底画在哪里,当可识别或者是可以和其他信息结合识别的范围没有清楚界定下来的时候,很难说什么不是。
所以这个意义上,当然我们去反思个人信息,这个不仅仅是中国的问题,这个概念是在国际范围之内都是,如果仅限于姓名直接识别的话,这个太窄了,太容易被规避了,如果我们扩大到没有边界的可识别或者可结合识别的时候,会给我们带来什么呢。会给我们带来一个法律适用上的合规成本上巨大的不确定性,当我们去处理一些数据的时候,这个数据可能是庞大的组合,有一些可能非常清楚是个人数据。但是有一些比如之前一直讨论的像用户画像,用户的标签,精准营销、个性化推送,这个过程当中会使用到的个人信息不见得是手机号,是设备上对应的用户画像。这个东西是不是个人信息,如果说直接识别的话识别不了,是不是能够跟设备号结合,或者跟其他的地址结合去识别,肯定是可以的。
对于这样的信息处理到底是不是适用个人信息的保护,现在这个问题依然是难题,不管对哪个领域都没有人很准确的回答这个边界在哪里,目前比较妥善的方式是概念加上列举的方式。比如这里做了列举,也许以后我自己的想法,随着我们实践的发展,随着不同的行业细分领域的实践和规则建构的发展。我个人推崇今天说的标准方式,在具体行业里看哪些个人信息具有更大的风险,具有更强的可识别性,跟个人的关系更加密切,这个时候也许在这个行业里面通过标准,通过实践我们把它提炼出一些确定的类型。我们说这些在很大程度上可能是个人信息,我们要通过这样自下而上的构建方式去解决个人信息概念本身这样一个统一的概念带来的不确定性。
在个人信息保护的问题上,本身保护是全环节的保护,应该是贯穿于数据的整个处理过程,当然首先是收集数据的问题,收集之后有一个处理和内部的存储,内部怎么样进行加工,最后还有一个使用的问题。在使用的问题上实际上使用这个词非常的宽泛,但是必然会包括内部的使用,比如在内部打标签推广告和产品,也可能是把数据对外进行共享,这就是涉及到今天说的数据流通的问题。当我们相信数据流通、数据的流动和融合、整合,多方数据的整合能够促进数据的创新,促进整个社会创新的时候,我们的立场应该是更多鼓励这种流通和对外的分享。
但是现在个人信息保护的规则,我觉得毫不避讳的说整个体系并不鼓励你共享,不管是GDPR里面,还是在我们国家数据对外分享的法律构造上,还是最新征求意见稿的数据安全管理办法里面,这个立法者或者监管者都对数据共享有高度的警惕。这个主体还能监控,把数据分享给第三方,这个时候怎么办,监管方说我不知道你分享给谁,分享过程当中发生过什么,我怎么做,对主体附加一个义务,要求对你分享出去的数据承担责任。比如说在数据安全管理办法里面,对于第三方分享给第三方的数据如果出问题了,如果泄露了,分享给第三方他出现问题,我要承担责任,只有证明自己无过错的情况下承担责任这条款我本人强烈反对,这个并不是立法的范围之内。我举一个例子,说明现在的个人保护也好,数据安全也好,保护的方式还是集中管理的方式,并不鼓励,数据流通出去产生的风险,并不鼓励流通,更多想考虑控制这个风险。这个实际上对于数据流通造成遏制性的效果,这是全环节的保护。
对于数据处理要做到合规的话,合法性的前提,其实在我们的网络安全法里面还是比较单一,就用了知情同意,目前还有一些可以接受的,比如基于法定的理由,或者执行公务去使用,通常也是被认可的,这种例外的情形。如果用我的服务,比如导航,用这个地图服务,又不给我你的地理信息,这个合同履行不可能,如果用我的服务不可避免要提供个人信息。这个时候没有必要专门取得你的同意,可以认为是一种你既然接受这个服务,就是合同的默认的同意。
还有一些特定的法案,在民法典的草案当中,在规章当中,对于公开的信息,这个信息已经公开了,私密性就很少了,有一些例外的使用。总体来说最核心的,或者说现在监管最为重视的还是知情同意,所有的数据原则上都要得到用户的同意,这也是法律上的解释,消费者在同意的时候不知道自己同意了什么,这个也大概符合,我们同意的时候也不看同意了什么,这个同意消费者也是基于信任。如果说不明来源的APP,看上去很可疑的我就不同意了,法律监管者说消费者不知道自己在干什么,要保护,所以提出同意的进一步要求,提出不同的功能模块要逐次的同意,包括在同意之后要给他一些退出的选项,精准营销里面就有这样的提法。这都是考虑消费者是不是不够聪明,不小心把自己的隐私都同意出去,这是监管的抓手放在这个地方,怎么样获取消费者同意,怎么样让企业付出更多的努力才能真正的获得消费者的同意。
在用户权利方面,我们的网络安全法没有规定太多的权利,目前来看是同意权、删除权、更正权,在民法典里可能有更多的权利。这个过程当中用户的权利对应的就是企业的义务和合规成本,我们讨论每一项的时候要动态的考虑,比如给企业带来什么,给产业带来什么,是不是用户真正想要,大多数的用户,或者据我直观体验,绝大多数的用户并不在意自己有什么权利。昨天晚上在小组讨论被遗忘权和可携带权,来的也是专家老师,他说在我今天走到这个教室之前,我根本不知道什么是可携带权,什么是被遗忘权,我都不知道这些权利。反过来可以说我们主张这些都是基本人权的话,消费者知道这个权利是什么之前也没有这个需求,我们讨论权利的时候不是静态的,应该给或者不应该给,我们一定要考虑这些给产业带来什么影响,给数据流通和创新,以及成本的分配,让消费者承担了一小部分在意的东西。这个时候恐怕也要反思,这是我们个人信息保护的一些要点,也比较重要多花了一点时间。
接下来看第二部分的内容,数据共享和交易涉及到的法律,这部分相对来说比较简单,我这里总结的也是参考了欧洲市场上的数据共享的模块,当然这个里面中国市场其实也是有可以借鉴的。比如可以直接卖数据,这个并没有成为主流的交易问题,中国数据的共享还是通过自己大块头的公司自己建数据的平台,我们看到像阿里、腾讯都在建自己的生态。数据共享的生态会提供特定的端口,会提供自己的数据,把数据的共享和服务、技术的服务结合起来,建成他自己产业的平台。这个过程当中可能更多的实际上是合同的谈判这里面并没有说非常清楚法律,或者特别清楚的行业规则,今天讲的标准也是很重要的一种参考的依据,很多时候还是通过合同来实现的。
在《合同法》里面谈具体的法律问题的时候,我们考虑说这个数据是商业性质还是服务,这个没有特别的重要,可能需要进行归类。更重要的一点是数据共享的过程通过合同完成的交易和共享,实际上它的约束力只能约束交易的相对方,我们的数据流通过程当中有一个很重要的问题,跟商品交易还不一样,商品交易A方卖给B就完成了,但是数据是无形的资产。这就跟其他的知识产权一样,当你买到了这样一个数据之后,如果再对外提供的话,作为一个卖方,或者提供方实际上很难去监控,除非我建立一整套的技术措施,溯源的方法,能不能把API分享出去的数据到了什么地方。有些公司说想过,但是成本太高,在座的技术可能知道,如果像区块链这样的技术,每一笔都要追溯的话,就涉及到单性普遍市场的成本。
所以当它出现针对第三方数据的时候,说好了B不能转出去,但是B转出去了,可能侵犯了反不正当竞争法和侵权法,可以针对不特定第三人的主张,比如后面讲到涉及到数据反不正当竞争法第二条保护的可能性。刚才说的合同会体现到平台规则,互联网巨头共享数据的时候有他自己的端口协议,像交易平台,交易市场本身也会有他们的规则。比如我们之前去调研的时候,像贵阳大数据交易所,他们对数据有一整套的标准,只要出去一个,说明这个数据是你的,基本上认可这个权属是你的,这是平台内部本身的规则。还有行业规范和行业规范相结合的标准内容。
在数据竞争的问题上,其实刚才提到了当你把数据转让出去给第三方的时候就涉及到数据竞争,还有一种可能性,这个数据在这里就来抓取,没有经过我的同意。比如微博和脉脉的信息抓举,还有大众点评和百度的数据抓取,这些基本上都认为是不能抓取的,这个是通过反不正当法第二条实现的,另外还通过刑法来实现,这个路子比较极端,我个人保持保守和警惕的态度。
另外还有一些,可能会成为案子,但是数据控制和封锁上可能涉及到本来数据应该是共享,或者默认共享的,这个时候出现了软硬件的冲突,比如我们一直谈的微博微信的冲突。包括通过API开放性端口调用数据的过程当中,调用完了以后对数据的权属发生争夺的冲突,这个里面涉及到在竞争过程当中到底哪些行为是反不正当竞争法可以容忍,比如你是开放的数据可以抓取,哪些不能抓取,通常是反不正当竞争法第二条,不展开讲。
数据垄断在我们国家目前为止还是理论的探索,还没有具体的案子出来,但是理论上有很多的讨论,比如说数据可能形成合谋,可能导致经营者的集中。在欧洲审的Facebook的并购案当中考虑数据产生垄断的风险。数据权属的确还没有法律上的确认,数据的保护在民法典当中也是非常原则性的规定,并没有确立权属,目前来看有很多的主张,可能是很弱的权利。像我手里拿到的苹果,你不能把这个苹果抢走一样,这个可能不是我的,但是你不能抢。也可以通过商业秘密上保护,整体反应商业秘密的保护不是很足,或者形成专门的知识产权,现在现实实践当中还是通过反不正当竞争法第二条进行法意的保护,除了这个东西要保护,还要考虑行为的正当性。对于数据权属来说和数据流通的关系很复杂,并不是一目了然,数据权属不确定造成数据共享的障碍。很多时候对于开放的数据共享来说,互联网是开放的,如果跟数据沾边的主体都进行权属确定可能也对数据的流通来说也是很大的成本。在商业的情况下,反不正当竞争法第二条可能不足以保护,大规模的数据交易还是有一个权属。这个界定还要在实践当中进行场景化的探索,不是一刀切,所有的数据都适用什么样的权利,这有赖于各位业界的探索者给我们提供更好的素材,我的分享就到这里,谢谢大家。
热门专题
