【数据法学】付伟:全球数据治理体系建设与中国的路径选择研究
B D A I L C
欢 迎 关 注
数据治理体系建设是推动数字经济高质量发展的关键。美国和欧盟正在加紧构建符合自身利益诉求的数据治理体系,并力图引领全球数据治理,提升数字经济发展水平。我国数据治理体系建设尚不完善,国家数据安全和个人隐私保护的呼声较高,相关立法进展也较为迅速,有关促进数据产业和数字经济发展的法律规则相对不足。该文认为我国数据治理体系构建需要综合考虑基本国情、数据安全、产业发展和隐私保护,要加快构建满足国家数据安全、数据产业发展和个人隐私保护的“三方均衡”的数据治理体系。
Olga Odalchuk
全球数据治理体系建设与中国的路径选择研究
文 / 京东法律研究院高级研究员 付伟
三、中国数据治理体系建设现状、
存在问题及治理路径选择
数字经济已经成为我国创新创业最为活跃、发展动力最为强劲的领域。数据治理体系建设对数字经济高质量发展至关重要。当前,中国数据法律规则尚不完善,体系构建需要综合考虑个人隐私保护、数字经济发展、国家安全保障等多方诉求,加快构建“三方均衡”的数据治理体系。
(一)中国数据治理体系建设进展
中国数据治理体系建设可以分为两个阶段。在2019年以前中国立法和司法机构主要采取包容审慎的态度对待数据相关的新业态,数据治理体系的建设相对缓慢,主要围绕国家数据安全的需求和个人隐私保护的诉求制定和出台了一些法律法规。在综合性立法方面,《网络安全法》第三十七条提出“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”,首次为个人信息和重要数据存储进行了原则性规定,提供了上位法依据,但是有关个人信息和重要数据的概念和范围没有予以明确,同时存储条件等关键问题也有待后期出台相关的标准规范予以确认。《民法总则》第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”该条规定虽然非常简短且不具备实际的操作性,但是其作为高层级法规指向了数据所蕴含的财产权利。这项规定可能为未来明确数据财产权利提供可以突破的方向。仍在编纂中的《民法典·人格权编》将“隐私权和个人信息”作为其中一部分,并对个人信息的范围及相关数据的收集、利用、保护等问题做了明确的规定。同时,鉴于数字经济发展态势远快于相关法律法规制定的速度,为了遏制侵犯个人隐私和“数据黑产”频发的问题,最高人民法院和最高人民检察院联合发布并于2017年6月1日正式实施了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,明确了“公民个人信息”的范围,明确了非法“提供公民个人信息”和“非法获取公民个人信息”的认定标准,明确了侵犯公民个人信息罪和为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准,以及明确了拒不履行公民个人信息安全管理义务行为的处理,涉案公民个人信息的数量计算规则和侵犯公民个人信息犯罪的罚金刑适用规则等,该司法解释的出台对侵犯个人信息和从事“数据黑产”的人员和机构产生了非常大的震慑作用。
然而上述司法解释主要关注刑事案件,涉及侵犯个人隐私和民事权益的仍然非常严重,数字经济健康快速发展需要更加透明高效的数据治理体系。自2019年5月以来,中国数据治理相关的法律法规制定速度加快,国家互联网信息办公室先后发布了《网络安全审查办法(征求意见稿)》《数据安全管理办法(征求意见稿)》《儿童个人信息网络保护规定(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》,不仅要求对导致“大量个人信息和重要数据泄露、丢失、毁损或出境”的行为进行网络安全审查,同时也对“利用网络开展数据收集、存储、传输、处理、使用等活动”提出了严格的安全保护和监督管理规则,同时对儿童个人信息和个人信息出境提出了特殊规定,具有中国特色的数据治理体系正在形成。与此同时,中国还加强了个人隐私保护的监督检查,2019年1月23日,中央网信办、工业和信息化部、公安部、市场监管总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,要求移动应用程序(APP)运营者在收集和使用个人信息时严格遵守《网络安全法》的相关规定,遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息,同时加强用户个人隐私保护。
(二)中国数据治理体系构建中需考虑的几个问题
数据治理体系是国家治理体系的重要组成部分,事关国家数据安全、数字经济发展和个人权益保护,需要从基本国情出发,综合考虑国家数据安全、数据产业发展和个人隐私保护的需求。总体来看,我国数据治理体系建设需要考虑以下几个问题。
第一,中国仍然是全球最大的发展中国家,发展仍然是第一要务,数据治理规则体系的构建要符合这一最基本的国情。习近平总书记在庆祝改革开放40周年大会上的讲话明确指出,“必须坚持以发展为第一要务,不断增强我国综合国力”,“我们必须围绕解决好人民日益增长的美好生活需要和不平衡不充分的发展之间的矛盾这个社会主要矛盾”。这要求国家经济社会和法治化建设必须围绕满足人民日益增长的美好生活需要,不断地提高综合国力。从历史的经验和实践来看,单纯通过国内法宣示数据的主权对于保障国家数据安全的作用有限,数据安全保障能力的核心是对数据的控制力和分析力,归根结底有赖于掌握核心数据技术和强大的数据产业。当前,产业界呼吁通过加快推进数据财产相关的权益确权,不断推进数据产业和数字经济发展,但是相关的数据治理规则仍然显得不足。按照“发展是第一要务”的要求,数据治理体系构建既需要适当扩大个人对其数据的权利,也需要对企业付出成本而合法收集、存储和利用个人数据的权利予以认可,充分激活企业围绕数据资源进行创新创业的活力。因此不仅需要保护个人权益,也需要考虑企业竞争和生产关系,以便在有关数据的合约监管、风险管理、资源交易与定价等领域实现更加符合数字经济发展的机制设计。
第二,防止过严的数据治理规则制约数据企业进行早期资本积累,限制数据产业能力提升,阻碍数字经济发展。数据治理理念和规则需要与一国或地区的发展水平相适应,否则可能产生严重的消极影响。2010年美国和加拿大的两位教授做了一项关于隐私政策和在线广告的研究,研究显示自2002年欧盟执行数据保护规则限制广告商收集和使用用户信息以来,导致在线广告的有效性降低了65%。这项措施使得欧盟(当时为欧共体)的互联网企业很难通过利润丰厚的广告业务来完成早期资本积累,然而包括谷歌、亚马逊等在内的美国互联网公司正是在2002年之后的几年内迅速完成了资本积累,在进入欧盟之前已经拥有比它们的竞争对手更多的资金和技术,从而取得先发优势,后续不论欧盟的规则如何变化,它们都可以通过增加合规投入,使用更加先进的技术,抢占先机。当前,全球关于欧盟《通用数据保护条例》(GDPR)的讨论最为激烈,有一部分学者认为中国应该将GDPR作为范本来学习和借鉴。但是GDPR强监管属性显示出的弊端也非常明显,诸如对中小企业创新创业不利,对人工智能等新技术的应用产生不利,可能加剧全球数字市场的碎片化等。美国信息技术创新基金会(ITIF)认为,GDPR的执行要求企业投入更多的时间和金钱来遵守相关要求,企业关注的重点将是如何避免罚款,在此过程中消费者福利并没有增加。ITIF在另一份研究报告中提醒其他国家精简监管体系,通过宽松监管以促进数字经济发展,重点防范数字创新中对消费者的伤害,而非建立严厉的监管规则。此外,美国国家经济研究局(NBER)的研究显示,GDPR实施后,欧盟国家企业的融资额和融资案例数都显著下降,使得成立0-3年、3-6年、6-9年企业的每笔交易融资额减少27.1%、31.4%和77.3%,造成的岗位流失相当于样本新兴企业雇员的4.09%-11.20%(剔除GDPR可能创造的就业岗位),并对已经获得天使投资,正在寻求风险投资的新兴企业造成的影响最大。
第三,中国数据治理体系构建需要支持合理安全的跨境数据流动。数字经济与数字贸易是全球经济发展的大趋势,中国需要在未来全球经济发展中发挥更重要的作用,需要支持合理安全的跨境数据流动治理规则。一是当前中国与世界各国和地区的在线商业往来和跨境数据流动活跃程度不足,这与中国已经具备的经济总量和影响力是不相符的。随着数字贸易规模的不断扩大,中国与世界各国和地区基于互联网的商业业务和个人交流将更加频繁,如果没有相应的跨境数据流动主张和规则,既不利于提高跨境数据流繁荣程度,也不利于数字经济和贸易发展。二是需要通过构建合理的数据跨境流动规则体系来巩固和维护中国在数据资源和互联网发展方面的优势。互联网和大数据产业的通用性、可复制性和扩张能力非常强。中国已经拥有全球最大的互联网用户规模,也是全球数据资源和互联网产业发展最具潜力的市场。为巩固和维护数据资源和互联网发展的优势,有必要加强跨境数据流管理,维护基于商业目的正常和合理的跨境数据流动,坚决抵制可能损害我国国家安全、经济安全和个人隐私的跨境数据流动。三是中国“一带一路”战略实施和企业的“走出去”需要明确的数据跨境流动规则予以支撑。中国已经成为全球诸多重要领域产业链的核心组成部分,随着“一带一路”战略的深入实施,中国与境外机构和企业的技术、产业、商务合作会涉及大量的数据转移和交换,中国公司在境外建立分支机构和开展业务等等,都有赖于跨境数据流的支撑,中国数据治理体系的构建需要充分考虑到这些诉求。
(三)积极探索构建“三方均衡”数据治理体系
数据治理体系是国家和地区间数字经济竞争的制高点,以欧美为代表的发达国家正在加紧推进其数据治理理念的全球化,意图主导全球数字经济和数据治理规则。我国应从国家数据安全、数据产业发展、个人隐私保护三个层面综合考虑,构建满足国家、企业和个人利益诉求的“三方均衡”数据治理体系。首先,中国数据治理体系的构建需要应对日趋严峻的全球网络空间安全威胁和挑战,需要对诸如大规模的基因和生物识别数据、医疗健康数据、地理测绘数据、矿产资源数据等重要数据的收集、存储、利用及转移等提出严格限定,切实有效保障国家数据安全。其次,要高度重视数据产业的发展,掌握核心数据技术是保障国家数据安全,提高个人隐私保护能力的基本前提。数据治理的法律规则要支持和促进数据技术与产业的发展,不断提高数据控制能力,同时将最新的技术运用于数据安全防护和个人隐私保护之中,从而实现国家安全、产业发展和隐私保护的协调统一。最后,数据治理需要以人为本,加强对个人隐私的保护,构建起人们发展数字经济的信心。寻求对个人隐私的保护是国际数据治理中普遍的基本原则之一,有助于各国在进行数据治理对话过程中能够处于相同的话语体系之中。欧美国家非常重视数据隐私权的保护,世界大部分国家对个人隐私需要采取保护的态度是一致的,但是在立法层面和司法层面有显著的差异。中国需要认真研究美国、欧盟等国家和地区的数据隐私规则,并与我国实际相结合,提出符合我国国情的数据隐私保护规则可能是未来研究的重点。
数据只有流动起来才能创造价值,数据治理体系构建需要促进数据在不同主体之间有序流动。由于数据共享规则的缺失,企业间共享和再利用数据缺乏信任,数据互操作性低和访问成本高的问题较为严重,制约了智能供应链、智能制造等关键领域发展。当前,国外正在加紧推动企业间数据共享规则的制定,支持区域范围内企业间数据流动。欧盟为构建数字单一市场提升区域数字经济竞争力,除了出台数据保护法规外,还在积极推进欧洲企业间数据共享,通过深化区域内数据的自由流动,增强企业间数据的获取和传输便利性,以及数据的可移植性和互操作性等。欧盟企业间数据共享的经验有四个方面,一是构建数据供需双方互信机制,确保通过共享数据技术机制的高安全级别建立信任;二是明确合作伙伴之间数据共享需求,提供更为简单和界面友好的数据传输渠道,以及有关数据的具体用例等;三是建立企业间数据共享的法律和政策框架,特别是要重视个人数据保护和知识产权方面的法律政策;四是重视企业间数据共享为双方带来的切实收益。
从数据立法趋势看,中国数据治理的法律体系正在形成,《数据安全法》和《个人信息保护法》已经纳入十三届全国人大常委会立法规划,维护国家数据安全和个人信息保护将会继续予以强化,数据财产权益的界定和分配也有望进一步明晰。但相对而言,中国已经出台或正在制定的数据治理规则中支持和促进数据产业、数字经济发展的内容相对不足,尤其是从法律法规层面对数据企业、数据资源、数据产业予以认可和保护还有待加强。有专家提出建立《数据产权法》的思路非常好,通过明晰数据产权提高数据资源的市场配置效率,通过合理有效的产权制度安排激励企业进行更大规模的数据技术和模式创新。建议在优先保障公民个人隐私的基础上,按照数据主体的享受权利、承担责任和履行义务对等原则进行必要的数据产权划分。在此过程中,应充分考虑数字企业提供基于数据的产品和服务的投资收益情况,确保数据的流通、利用以及再流通、再利用成本最低和效率最高,不断提高数据产业全要素生产率,促进数据经济蓬勃发展和繁荣。
[1] 王镭:《电子数据财产利益的侵权法保护——以侵害数据完整性为视角》载《法律科学(西北政法大学学报)》,2019(01):1-11。
[2] 最高人民法院、最高人民检察院:《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,(2017-5-9)[2019-1-22] www.court.gov.cn/zixun-xiangqing-43942.html
[3] 习近平:《在庆祝改革开放40周年大会上的讲话》,(2018-12-28)[2019-1-22] http://www.xinhuanet.com/politics/leaders/2018-12/18/c_1123872025.htm
[4] 付伟,于长钺:《数据权属国内外研究述评与发展动态分析》载《现代情报》,2017(7):159-165。
[5] 程啸:《论大数据时代的个人数据权利》载《中国社会科学》,2018(03):102-122+207-208。
[6] 戴昕:《数据隐私问题的维度扩展与议题转换:法律经济学视角》载《交大法学》,2019(01):35-50。
[7] Avi Goldfarb and Catherine E. Tucker Privacy Regulation and Online Advertising. Management Science Vol. 57, No. 1 (January 2011), pp. 57-71.
[8] 郑志峰:《人工智能时代的隐私保护》载《法律科学(西北政法大学学报)》,2019(02):1-10。
[9] 吴沈括:《数据治理的全球态势及中国应对策略》载《电子政务》,2019(01):2-10。
[10] Kara Sutton:GDPR Success or Failure? Eight Things to Watch. (2018-5-24)[2019-1-30]
[11] https://www.uschamber.com/series/above-the-fold/gdpr-
success-or-failure-eight-things-watch
[12] Nick Wallace:Europe is about to lose the global AI race – thanks to GDPR. (2018-5-25)[2019-1-21] https://itif.org/publications/2018/05/25/europe-about-lose-global-ai-race-thanks-gdpr
[13] Daniel Castro & Alan McQuinn:This Is *NOT* an Update on ITIF’s Privacy Policies. (2018-5-24)[2019-1-21] https://itif.org/publications/2018/05/24/not-update-itif-privacy-policies
[14] Jian Jia, Ginger Zhe Jin, Liad Wagman: The Short-Run Effects of GDPR on Technology Venture Investment. (2018-11)[2019-1-30] https://www.nber.org/papers/w25248.pdf
[15] 付伟,于长钺:《数据权属国内外研究述评与发展动态分析》载《现代情报》,2017(7): 159-165。
[16] Everis Benelux:Study on data sharing between companies in Europe. (2018)[2019-22-20] https://www.delaat.net/dl4ld/KK0118016ENN.en.pdf
[17] 周宏仁:《我国数据产业发展前景光明》载《人民日报》,2016-01-18(007)。
[18] 茶洪旺,付伟,郑婷婷:《促进中国数据产业发展的路径》载《中国信息化周报》,2019-05-27(014)。
仅作学习交流之用
Olga Odalchuk
往期荐读
编辑:韩雨硕