1、数据的法律意义与现有立法
“大数据”将深刻地改变社会治理、企业决策和每个人的生活,它给传统法律制度带来的挑战甚至可能超越此前互联网的产生所带来的冲击,在法律领域带来了革命性的影响。
1.1“数据”和“信息”的法律意义
“数据”具有原始性、基础性。数据是对信息数字化的记录,其本身并无意义;信息是指把数据放置到一定的背景下,对数字进行解释、赋予意义[1].数据是基础,经过加工成为信息和知识。
我国目前的立法中,分别有对“数据”和“信息”的规定。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《人大决定》)中规定:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。《征信业管理条例》规定:征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。在《征信业管理条例》中,这些信息包括个人信息、企业信息、政府有关部门依法已公开的信息等,同时引入信息使用者、信息主体、信息提供者等概念。工业和信息化部2013年出台的《电信和互联网用户个人信息保护规定》对“用户个人信息”进行界定和保护。2009年2月通过的《中华人民共和国刑法修正案(七)》,新增了出售、非法提供公民个人信息罪、非法获取公民个人信息罪。在2015年通过的《中华人民共和国刑法修正案(九)》中,又对此进行了新的修订,扩展了犯罪主体和获取信息的范围,加大了处罚力度。
关于“数据”的法律规定主要出现在2015年以来的立法中。《中华人民共和国国家安全法》第二十五条规定:实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。《中华人民共和国网络安全法(草案)》规定:“维护网络数据的完整性、保密性和可用性”,“防止网络数据泄露或者被窃取、篡改”,“采取数据分类、重要数据备份和加密等措施”,“关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据”等。2015年11月发布的《地图管理条例》中也多次使用了“数据”,如第三十四条规定,互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内,并制定互联网地图数据安全管理制度和保障措施。
从这些法律规定可以看出,“数据”和“信息”在我国的立法语境下并不是通用的。从范围上看,“数据”规范的范围大于“信息”,数据代表着网络上产生的原始数据,而信息本身则包含、代表一定的意义,例如,工业和信息化部《电信和互联网用户个人信息保护规定》中对“用户个人信息”进行了界定:“用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”从立法时间来看,将“数据”一词引入立法主要是2015年,这表明大数据的发展已经使“数据”的安全问题提上立法日程;从立法目的上看,“信息”相关规则的立法目的更侧重于保护,更多是对私权利的保护,而“数据”相关制度则更偏重于安全管理的维度,是公权力的体现。
从国外的立法情况看,全球出台个人信息保护法的地区和国家,有的使用“data(数据)”,如欧盟1995年的《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》及即将发布的《数据保护总体规则》,英国、德国、新加坡、马来西亚等国家都是《个人数据保护法》;有的使用“information(信息)”,如加拿大《个人信息保护和电子文件法》、《个人健康信息保护法》等。在国外个人信息保护相关立法和实践中,对“数据”和“信息”应该是通用的,在很多情况下也是可以替换的,其意义相当于我国前述立法中的“信息”。
1.2适用于大数据的现有法律规定
“数据”具有资产性,这一点已经在一定程度上形成共识。最早提出通过财产权来保护个人数据的是美国人劳伦斯·莱斯格教授,早在他的第一版《代码(Code)》中就已经提出了这样的观点:“财产制度鼓励用户利用财产权的方式来保护适当的许可。利用相应的技术,用户可以创设许可。”劳伦斯·莱斯格教授认为:“财产制度能让用户自由选择不同的价值观,这种价值观的个人化也是法律所保护的”[2]。同样,数据对于不同的主体具有不同的价值属性。数据所具有的资产属性要求保护其所代表的经济利益以及背后的基本权利,同时也要关注数据的安全,既包括个人和企业数据的安全,也包括国家层面的网络安全、信息资源的安全。
数据在处理过程中涉及很多环节,数据最初的产生、收集、存储,后续的处理、传输和分析,把它们笼统地分为两个阶段,即数据的收集阶段和数据的使用阶段,如图1所示。
我国目前关于“数据”规范的立法,主要集中在个人“信息”的保护领域。这些立法对于个人信息的收集和使用有类似的原则性规定,即主要包括个人信息收集的合法、正当、必要原则,经被收集者同意原则,收集、使用规则公开,明示收集使用信息的目的、方式、范围,不得用于服务之外的目的,不得违反法律法规的约定和双方规定等。这些原则与国际上通行的个人信息保护原则基本上是一致的。《人大决定》是目前我国关于个人电子信息保护的最主要法律规范,其中规定了上述原则,在《人大决定》的基础上,2013年工业和信息化部发布的《电信和互联网用户个人信息保护规定》进一步要求:“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。”在传统的立法中,也在不断增加关于个人信息保护的相关规定,如2013年修改的《中华人民共和国消费者权益保护法》中,增加了关于“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息”的要求。
在明确信息收集和使用原则的基础上,一些立法对个人信息的收集和使用还有一些专门的规定。在信息收集方面,在一些具有特殊敏感性的行业,如医疗卫生、金融、快递等有专门的法律规定。例如,国家卫生和计划生育委员会《人口健康信息管理办法(试行)》第八条规定,责任单位应当按照“一数一源、最少够用”的原则采集人口健康信息,所采集的信息应当符合业务应用和管理要求,保证服务和管理对象在本单位信息系统中身份标识的唯一性和基本数据项的一致性,所采集的信息应当严格实行信息复核程序,避免重复采集、多头采集。《征信业管理条例》还规定了禁止采集的情形,第十四条规定,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。
在信息存储方面,《人口健康信息管理办法(试行)》规定了人口健康信息实行分级存储的原则,同时规定“不得将人口健康信息存储在境外的服务器中,不得托管、租赁在境外的服务器”。《征信业管理条例》也规定,征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。正在进行的《中华人民共和国网络安全法(草案)》立法中,其草案的第三十一条也规定:“关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。法律、行政法规另有规定的从其规定”。这一规定受到了国内外的广泛关注。
在个人信息的使用方面,对个人信息的非法出售或者非法提供,是个人信息使用过程中的红线。2015年9月发布的《中华人民共和国刑法修正案(九)》第二百五十三条之一“侵犯公民个人信息罪”,对违反国家有关规定,向他人出售或者提供公民个人信息,违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的以及窃取或者以其他方法非法获取公民个人信息的,规定了刑事责任。
此外,与大数据相关的法律制度还有数据泄露通知制度、数据留存制度以及政府数据开放制度等。在数据泄露通知方面,由于云计算的发展,服务中断和数据泄露的规模大大增加,使数据泄露成为云计算、大数据时代最主要的安全风险之一。在2013年《电信和互联网用户个人信息保护规定》中规定了数据泄露的报告制度:“电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行调查处理。”在欧盟即将发布的数据保护新规中,规定在数据泄露事故发生之后,没有及时通知监管机构,最高将被处以全球营业总额的2%的罚款。在数据留存方面,《互联网信息服务管理办法》规定,互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。公安部制定的《互联网安全保护技术措施规定》中也提出互联网服务提供者记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施等要求。而在国际上呈现两种不同的立法趋势,2014年4月,欧洲法院宣布2006年开始实施的《关于存留因提供电子通信服务或者公共通信网络而产生或处理的数据修订第2002/58/EC号指令的数据存留指令》(要求互联网和电话公司为打击犯罪保留用户通信元数据)因侵犯个人私生活基本权利无效。而2015年澳大利亚和德国却在数据留存方面有新的法律规定,澳大利亚修订电信(拦截和访问)修正案(数据保留)法,规定相关信息要保存到涉及相关信息的账户销户后2年为止;德国规定电信公司、互联网服务提供商和其他接入运营商对所有公民的通信数据存储10周,移动服务的位置信息必须保存4周。在政府数据开放方面,由于政府和公共机构的数据开放是大数据开发利用中的重要环节,很多国家已经对此出台了相关的立法。我国目前主要是《中华人民共和国政府信息公开法》与此相关,但是信息公开的要求、哪些信息要公开、公开的原则是什么,与大数据利用的要求还有比较大的差距。新出台的《地图管理条例》对地理信息数据的开放共享进行了规定,是一个比较可喜的突破:“县级以上人民政府测绘地理信息行政主管部门应当采取有效措施,及时获取、处理、更新基础地理信息数据,通过地理信息公共服务平台向社会提供地理信息公共服务,实现地理信息数据开放共享”。
2、大数据带来的法律挑战
技术的发展带来了难题,同时又开出了药方。大数据给人类带来了挑战,也带来了新时代的曙光。人类终将受益于技术的发展和进步,在即将到来的智能时代获得更大的自由和解放[3]。法律带来的是稳定的预期和权利义务关系的平衡,而革命性的新技术的出现,将会改变甚至打破现有的秩序和平衡,从而给原有法律制度带来影响和变革,大数据正是这样一种技术。
2.1安全方面的挑战
2015年,世界经济论坛发布的《全球风险报告》指出,随着越来越多的实物连接到互联网上以及日益敏感的个人信息(包括健康和财务)被企业存储到云端设备中,网络攻击和超级连接变得日趋复杂。世界经济论坛所做的2013-2014年全球风险认知调查结果显示,大规模网络攻击和数据的欺诈或窃取,是在影响力和发生概率两方面超出平均水平的风险。
大数据的发展也面临网络安全与数据安全两方面的挑战。2015年,iCloud服务器出现多次中断,影响面甚广,而“棱镜”计划曝光的美国进行的大规模网络监控更是触目惊心,未经授权的数据访问、数据窃取与泄露等安全风险对法律制度提出了新的诉求。要求加强网络安全防护、引入关键信息基础设施保护制度、加强网络世界与真实世界的连接安全等。2015年7月出台的《中华人民共和国国家安全法》中提出建立国家安全审查制度:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险”。这对于有效防范来自产品、设备、服务、外国投资的安全风险具有非常重要的意义,但是在具体行业领域中的安全审查制度还有待进一步建立和完善。
在数据安全方面,最早在国务院办公厅2004年发布的《关于加强信息资源开发利用工作的若干意见》中就指出:“信息资源作为生产要素、无形资产和社会财富,与能源、材料资源同等重要,在经济社会资源结构中具有不可替代的地位,已成为经济全球化背景下国际竞争的一个重点”。习近平在2014年初中央网络安全和信息化领导小组第一次会议的重要讲话中也提到:“信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志”。2015年8月,国务院发布的《促进大数据发展行动纲要》进一步指出:数据已成为国家基础性战略资源。对于数据资源的本地存储、利用、控制、管辖等是网络空间国家主权的必然要求。在制度建设上,需要通过对网络攻击和网络监控的防范来保护整个数据资源的安全,同时,增强国内网络设施和产品的竞争力,防范通过产品和服务设备进行数据收集,更重要的是加强数据资源的开放、开发和利用,进一步实现数据资源所蕴藏的经济价值,增强国家的竞争力。
2.2大数据商业利用的挑战
大数据已经成为驱动新一轮经济增长最重要的引擎,人类即将进入一个全新的时代--智能化时代,而这个智能化时代也是数据驱动的[3].但是,大数据的商业利用也给监管和法律带来了新的挑战。大数据产业的发展中,数据分析者、数据提供者以及数据驱动的创新企业等构成大数据生态系统中的主要部分,而数据交易平台也是新兴的主体之一。目前,产业界已经在探索交易平台的各种规则,中关村大数据交易产业联盟、贵阳大数据交易所等已经开展了很好的产业实践。
2015年7月,国际电信联盟(ITU)发布了2015年电信改革趋势报告--《做好迎接数字经济的准备》,这是继2014年ITU提出数字时代的第四代监管之后,电信改革趋势报告继续关注数字经济问题,并专门以一章分析了大数据的机遇和挑战。报告认为,大数据对公司的商业运营意义重大,商业实体收集、分析和存储数据有几个重要的原则。例如,数据保留:在数据完成原始的目的后将数据存储更长时间,以便它再利用。数据收集:商业实体倾向于更多地收集数据,即使它暂时不能用于特定的目的,但是可能对于那些还没有被认识到的目的有价值。数据优先:数据具有价值,并且那些拥有数据的人或者能访问数据的人有能力提取这些价值,而那些没有数据的人则不行。数据专家:从数据中提取隐藏价值的专门技术十分重要,而目前在这一领域的专家还是有短板的,因此对数据科学家有很高的需求。数据思维:在分析大数据问题时,比技术专家更为重要的是在特定数据领域的战略能力,这就是为什么一个小的(但不断增长)大数据企业能够从起步到取得连续的成功,甚至进入相对拥挤的市场空间中。数据的非线性可扩展性:拥有更多数据将不成比例地提升数据的价值,这是大数据的网络效应,更多的数据意味着更多的价值。降低进入壁垒:大数据初始公司不需要大量投资于技术基础设施以处理和存储数据。它们可以使用其他公司提供的弹性的云数据处理能力,这大大减少了进入的壁垒,而且当那些大公司变得更大时,小公司仍然有成功的机会。数据的效用扩展:例如一个电信服务提供商可能发现可以使用它自己的网络数据提供天气数据平台、服务,或者一个汽车制造商可以将它自己变为一个旅游数据平台。这意味着传统行业的公司可以进入其他部门,并且基于他们获取和分析数据的能力而增加新的收入。
尽管大数据有如此多的商业利用机会,但是在监管和法律方面仍面临着重大的挑战:一是数据资源开放的挑战,目前我国还没有政府数据开放的相关立法,大量的数据资源掌握在政府和公共机构手中,还没有得到有效的开发利用;二是缺乏普遍适用的数据交易、流通规则,业界虽然已有探索,但对于数据的所有权、数据交易中相关主体的权利义务、数据的定价等还没有法律的明确指引;三是可能的数据垄断,目前大量的数据集中在大企业手里,数据集中化趋势不断出现,如何打破数据集中化趋势,使企业进一步地开放数据,使其他的数据运营者能够以公平、合理的条件接入和访问这些数据,并且利用和分析这些数据,也是一个新的挑战;四是数据滥用的挑战,例如,利用数据科学来分析处理健康状况博客、浏览习惯、社交媒体和数据代理商提供的档案资料,可以发现最有可能患糖尿病或抑郁症的人[4],那么在推销保险时,是否会将这些人全部排除在外?这是数据歧视的挑战。
除此之外,最重要的就是大数据对隐私保护带来的挑战。在数据的收集阶段,用户知情同意的原则要求数据获取及使用目的要征求用户同意,但是大数据的发展使这种“同意”难以实现,因为大数据的价值不再单纯来源于它的基本用途,而更多源于它的二次利用[5],而这些二次利用的用途是收集时难以告知用户的;在数据的使用阶段,很多数据在收集时并无意用作其他用途,而最终却产生了很多创新性的用途,因此无法满足目的明示及不得用于服务之外目的的原则。近年来,各国在政策和技术上对于“匿名化”做了很多努力,但是因为更多的数据每天被采集,并且有更多或更强大的工具来联系这些数据,“匿名化”的效果不一定能够达到。
2.3国际规则与国际立法的挑战
在大数据时代,已经很难只把目光聚焦在国内的立法和政策的领域,全球新的服务贸易规则正在形成。在刚刚公布全文的《跨太平洋伙伴关系协定》的“电子商务”章节规定,不得将设立数据中心作为缔约方企业进入本国市场的前提条件(第14.13条),将在保障个人信息等合法公共政策目标的前提下,确保全球信息和数据自由流动(第14.11条)。可见,数据的跨境自由流动和本地存储已经成为国际规则制定中新的博弈点。
国内立法是影响国际规则、在国际规则制定中体现本国意志的前提条件。《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》提出,要积极参与全球经济治理。积极参与网络、深海、极地、空天等新领域国际规则制定。要进一步地积极参与网络方面的国际规则制定,争取国际规则制定的话语权,重要的前提就是国内立法的完善,包括个人信息保护法、数据境内存储与跨境传输的规则、外资安全审查制度等,这些国内立法都会影响我国在国际规则谈判中的立场和主张。在国际规则制定中,考虑到我国的产业发展和竞争力水平,如何制定数据本地化的规则,在跨境服务的负面清单中如何对新业务保留采取措施的权利以及充分利用安全例外原则,建立本身的安全措施和规则,这些都是目前面临的新挑战。
3、思考和建议
大数据以及它给政治、经济、社会带来的深刻挑战,终将影响到法律制度的建设,像互联网刚刚出现时一样,对于大数据是否需要制定一部全新的立法,还是在原来的法律规则基础上进行修改完善,这个问题还需要更深入地探索。
对于大数据的相关立法,要平衡释放数据经济活力,规范商业利用与数据资源安全和隐私保护之间的关系,重点针对数据的收集和使用环节建立规则,明确大数据生态中不同主体的责任,促进网络基础设施的发展,开放数据资源,加强网络安全与隐私保护。
应对网络安全与数据安全挑战,要进一步关注大数据等新技术新业务带来的网络安全问题,与实体经济安全相结合进行统筹处理,建立关键信息基础设施安全管理制度,对互联网平台的义务、责任予以明确。而对于数据安全,建立对数据安全风险的评估机制,从关注数据本身到关注数据资源整体的安全,同时,加强对处理数据主体的关注,限制特定类型的主体从事相关数据分析。
建立大数据商业利用的原则。大数据的商业利用以国家安全为前提,以隐私保护为基础。促进政府及公共机构数据开放,建立健全数据资源交易机制和定价机制,规范交易行为。破除数据垄断,探索将标准专利领域的FRAND(公平、合理、非歧视)原则引入大数据的管理中,即占有数据的主体不能利用其在数据上的优势地位限制竞争,收取的费用应与在竞争环境下所能收取的费用一致,对于拥有同等条件的数据使用者以相同或相等的条件进行许可。避免和规制数据滥用,在可能带来负面影响的领域,谨慎使用大数据预测的结果,不能使人为了未来可能的行为受到处罚,这些使用要进行严格的审查。在企业应用大数据预测对目标客户进行分类时,规定哪些领域可以进行歧视性的利用,而哪些领域不允许等。
隐私保护是整个大数据的发展和商业利用的一个非常重要的基础性问题,需要在整个大数据发展利用过程中权衡考虑。在政府数据开放、大数据商业利用的各个环节都要加入隐私分析。同时,要加强使用前评估和保障措施,对用户个人信息的新使用,必须评估其潜在危害和对隐私保护的影响,在使用之前,针对潜在威胁制定相应的保障措施并且到位,加强事后的责任追究。