草蛇灰线:从《个人信息保护法(草案)》看2021年几个数据问题的发展和走向(下)

作者:数据合规团队

观点

本文为《草蛇灰线:从<个人信息保护法(草案)>看2021年几个数据问题的发展和走向》第三篇。在上一篇,我们分析了我国对人工智能技术的规制体系以及个人信息保护的行政监管问题(点击查阅详情 )。本篇中,我们将与您共同探讨数据权利归属与公共数据相关问题。

第三篇:数据权利归属与公共数据

一、 数据权利归属

1.    数据资源与经济发展

随着信息化技术的高速发展及其与社会经济的深度融合,数据的重要作用和价值已经日益凸显。

2019年11月公布的中共中央四中全会决定中,明确将数据与劳动、资本、土地、知识、技术、管理等传统要素一起并列为生产要素[1]。2020年4月公布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》中明确指出要加快培育数据要素市场,具体内容包括推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护[2]。2020年10月,中共中央五中全会发布《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》。2021年3月11日,十三届全国人大四次会议表决通过了《关于国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(以下称“十四五纲要”)的决议。十四五纲要设立独立篇章专门阐述加快数字化发展,建设数字中国。特别是在其中第十八章“营造良好数字生态”中,列明了建立健全数据要素市场规则、营造规范有序的政策环境、加强网络安全保护和推动构建网络空间命运共同体等核心目标内容[3]。

在宏观政策的推动下,基于产业发展的实际需求和经济驱动的明显预期,关于数据要素市场的培育以及相关基础建设的热潮此起彼伏。仅2020年4月以后,天津、广西、北京等地就相继公布了建设大数据交易中心的决定及相关规范文件;5月,山西省通过了《山西省大数据发展应用促进条例》;7月,安徽省发布了《安徽省大数据发展应用条例(征求意见稿)》;11月,广东省公布了《广东省数字经济促进条例(征求意见稿)》;12月,浙江省通过了《浙江省数字经济促进条例》,吉林省公布了《吉林省促进大数据发展应用条例》。可以预想,2021年各地关于数据经济和数据应用的立法活动仍将持续活跃。

2. 数字经济与数据权利

数字经济的发展原动力在于数据价值的充分发挥,数据的真正价值依赖于数据的有序流动,而个人信息数据又是“大数据的核心和基础”。我们认为,数据有序流动的根本保证在于数据权利的明晰和数据的安全。

但是,现实中由于数据的使用不规范和无序竞争争夺导致的“数据战争”愈演愈烈,个人信息使用的乱象和由此导致对于个人权益的侵害越来越被关注。而“数据战争中,最为核心实质的法律要件之一即是必须解决数据权益问题”[4]。这也恰恰是我们于2020年初在《关于数据权利和价值角度完善数据立法的提案》(以下称“《数据立法提案》”,详情请参阅《葡京网上平台数据合规资讯月报2020年第6期》[SXY2] “热点评述”)中提出“明确数据权利、厘清权利价值位阶”等建议的主要原因。

数据作为一种新型要素资源,理论界和实务界对于其法律属性和权属界定目前尚无统一结论和科学的认定方式[5],这是世界各国立法迄今为止均未给出明确解决方案的课题。正如我们在《数据立法提案》中主张的,数据权利具有多权利、多主体的特质。就个人信息而言,多权利是指个人信息数据的权利涉及所有权、使用权[6]、人格权和财产收益权等权利内容。而多主体既指个人信息处理过程的不同参与主体,包括个人信息主体、个人信息处理者、委托者、监管者等,也指数据权利体系不同维度的主体,即个人、企业和政府[7]。

3.    我国的数据权利相关立法与《个人信息保护法(草案)》的贡献

今年1月1日起正式施行的《民法典》延续了2017年《民法总则》开始将个人信息保护单独作为民事权益进行保护的立法模式,并与隐私权一起列入人格权编单独成章,在民事法律层面明确了对于个人信息人格权益的保护(关于《民法典》对个人信息的规定,请参阅本团队往期文章《“数”说经“典”——<民法典>数据问题评析》 )。但是,对于数据,包括个人信息的其他权利属性,《民法典》保持了模糊处理的立法模式,具体内容留待相关法律加以规定。相关法律中最为重要也备受关注的包括目前都已进入草案征求意见阶段的《数据安全法》和《个人信息保护法》。

《个人信息保护法(草案)》参照了境外立法的做法,并吸收了迄今为止包括《个人信息安全规范》在内的部分内容,扩大了个人信息处理的合法依据。在法律层面从个人信息主体知情同意的单一及绝对支配性的合法依据,扩大到了履行合同必需、法定职责或法定义务必需、突发公共卫生事件或紧急情况必需、公共利益合理范围及法律法规另有规定等六种情形[8]。我们认为,《个人信息保护法(草案)》在根据实际情况规范个人信息处理规则的同时,实际上确立和保障了个人信息使用权的合法性前提。

相对于传统生产要素以所有权作为其他各项权利基础的权利体系结构而言,个人信息数据具有易于共享、可以同时为多主体控制、原生数据价值低而聚合加工产生价值、使用方便而控制难、高时效性等特点,这些区别于传统生产要素的特点也正是数据资源本身的价值所在。因此,我们认为,个人信息数据的使用、交易等必然会不同于以所有权为根据、以所有权转移为基础的传统生产要素的交易方式,《个人信息保护法(草案)》对于个人信息使用权合法性前提的扩大和明确,对于促进数据的流通,保障交易具有奠定法律基础和现实指导意义。

此外,《个人信息保护法(草案)》明确和补充了个人信息处理过程中知情权、决定权、限制和拒绝处理权、查阅复制权、更正权、删除权、要求说明处理规则权、要求建立申请受理和处理机制权等个人主体的各项权利[9],并通过对于个人信息处理规则等的规定,实际确立了不同主体处理个人信息的权利内容和应尽义务。这些对于厘清多主体之间的关系、权利义务边界等也有积极的作用。

4.  《个人信息保护法(草案)》的不足和立法展望

兼顾个人信息数据的保护和数据资源的合理利用,最大限度保证并促进数据有序流动是社会对于《个人信息保护法》立法的普遍期待,区别于传统物权和知识产权的新型数据权的规定是时代和现实的需要。

个人信息数据作为新型生产要素,对其权利属性、范围和归属等的规定涉及多重主体的利益,且几乎没有现成模式可以参考。在立法过程中,除了协调各方面利益等难题之外,个人信息数据本身的特点和经济社会发展的需要,决定了绝对支配力的所有权的赋权及其边界界定至少不适用于短期内的数据利用实践,但是相关权利及其利用规则的明确既是数据流动的制度保障也是促进动力。

如前所述,《个人信息保护法(草案)》进行了针对性的制度设定和相应的立法平衡,但是遗憾的是,草案没有对个人信息数据的财产收益权及利用规则给予更加清晰的规定。其中包括但不限于(1)个人信息主体对于个人信息初始数据的收益权;(2)与肖像权等其他人格权利用相类似的收益权;(3)个人信息处理者对于加工、聚合后数据利用的占有权和收益权;(4)政府收集个人信息的归属权和管理权;(5)具体应用场景下的个人信息利用规则等。

我们期待在《个人信息保护法》的审议修改中,能看到更多有利于促进数据有序流动和合法合理利用的数据权属规定的创设和出台。同时,我们认为由于牵涉方面众多等,从立法实践的角度不排除相关规定在深圳及大湾区等限定区域先行先试的可能。实际上我们注意到除了法律层面的立法之外,各地的立法也在进行相应的摸索。其中特别值得关注的包括2020年7月15日深圳市司法局发布的《深圳经济特区数据条例(征求意见稿)》。该征求意见稿中涉及了数据权、个人数据归属、公共数据权属等多项创新规定。

对于企业而言,关注相关立法和实践动向的同时,目前工作的核心仍然在于确认个人信息收集、使用等个人信息全生命周期处理的合法依据,这是企业层面合规保证的基础,也是数据交易和应用的前提。

二、 公共数据

1. 公共数据及公共数据开放的内涵、范围

关于公共数据开放,我国多个国家层面的规定均有提及。如2015年8月,国务院印发了《促进大数据发展行动纲要》,在其指导思想中明确指出要大力推动政府信息系统和公共数据互联开放共享,加快政府信息平台整合,消除信息孤岛,推动资源向社会开放等。2016年9月,国务院规范性文件《政务信息资源共享管理暂行办法》中规定其制定目的为加快推动政务信息系统互联和公共数据共享,增强政府公信力,提高行政效率,提升服务水平,充分发挥政务信息资源共享在深化改革、转变职能、创新管理中的重要作用。《网络安全法》第十八条第一款规定,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。2015年起,学术界已然兴起对政府数据、公共数据开放的研究。

2019年11月中共中央四中全会决定中明确将数据与劳动、资本、土地、知识、技术、管理等传统要素一起并列为生产要素;2020年4月公布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》中明确指出要加快培育数据要素市场,具体内容包括推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护;2020年发布的《数据安全法(草案)》第五章则专章规定“政务数据安全与开放”。政府数据、政务数据及公共数据开放成为热点讨论问题,研究不断深入。

在地方层面的公共数据开放方面,一些地方政府陆续制定了公共数据开放相关的法规、规章,其中包括对公共数据及公共数据开放的定义。如《贵州省大数据发展应用促进条例》将公共数据界定为“公共机构、公共服务企业为履行职责收集、制作、使用的数据”。其中,公共机构是指“全部或部分使用财政性资金的国家机关、事业单位和团体、组织”;公共服务企业是指“提供公共服务的供水、供电、燃气、通信、民航、铁路、道路客运等企业”。

又如,《上海市公共数据开放暂行办法》将公共数据界定为“本市各级行政机关以及履行公共管理和服务职能的事业单位(以下统称公共管理和服务机构)在依法履职过程中,采集和产生的各类数据资源”,并在其附则中规定水务、电力、燃气、通信、公共交通、民航、铁路等公用事业运营单位涉及公共属性的数据开放,适用该办法,法律法规另有规定的,从其规定。《浙江省公共数据开放与安全管理暂行办法》采用了相似的规定。《北京市公共数据管理办法(征求意见稿)》中将公共数据界定为“本市各级行政机关和公共服务企业在履行职责和提供服务过程中获取和制作的,以电子化形式记录和保存的数据”。

关于公共数据开放,各地的地方性规定对其定义相似,归纳下来通常指公共管理和服务机构面向社会提供具备原始性、可机器读取、可供社会化利用的数据集的公共服务。然而,在国家级立法层面缺乏对公共数据的统一定义。实践中较多使用的术语包括政府信息、政务信息、公共信息、公共数据等内涵存在一定交叉的术语,容易引起混淆和困惑。我国自2007年实施并于2019年修订的《政府信息公开条例》,规范的是行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的信息的开放,除了适用于行政机关,还适用于法律、法规授权的具有管理公共事务职能的组织公开政府信息的活动,但将教育、卫生健康、供水、供电、供气、供热、环境保护、公共交通等与人民群众利益密切相关的公共企事业单位,公开在提供社会公共服务过程中制作、获取的信息,排除在适用范围外。

公共企事业单位提供公共服务过程中形成的数据,是否需要面向社会开放、如何开放,哪些可以纳入公共数据开放的范围,在国家层面存在立法“空白”地带。公共企事业单位掌握了海量的数据(包括消费者个人信息),既关乎个人的隐私或个人信息权益保护,从宏观的数据集而言又具有公益的性质或成分,是否可在借鉴地方立法实践的基础上,将公共企事业单位提供公共服务形成的数据予以开放并通过国家层面的法律法规加以规制,值得研究。

2. 公共数据开放涉及的公共企事业单位数据问题

有课题研究中的观点为:“公共数据的核心特质是数据的‘公共性’,或者说 ‘公共利益相关性’,即数据与不特定公众的公共利益息息相关”。除政府部门为代表的行政机构外,依托于各种信息平台生存发展的社会商业企业也积累了大量的不特定社会公众的数据,这些数据积累到一定的量,汇聚成为大数据,则对政府更好地行使社会管理、市场监管等职能而言,成为必要的数据。这些数据并非当然属于公共数据,而是需要有一个转化的过程,即在为政府获得之前,这些数据仍然是企业的数据,只有在政府通过一定的依据,基于一定理由获取后,才转化公共数据[10]。我们认为,对于政府机关或者面向公众提供公共数据开放的平台,确立其通过何种依据自企业获取带有公共属性的数据,尤为重要。这涉及企业对其掌握的大数据的权利范围和基于公共利益、公用事业、行政管理与公共服务使用企业数据的权力界限及平衡问题。

企业向公共数据开放平台或向主管部门提供数据,涉及主管部门履行监管职责可查阅、使用有关数据的权限与基于公共数据开放向公共数据开放平台或向主管部门提供数据的区分。在现有监管体系下,根据有关法规或部门规章,一些行业领域内的企业应按监管机构的规定预留安全监管数据接口,并按时向监管部门报送相关数据。如《邮政业寄递安全监督管理办法》第二十五条规定,邮政企业、快递企业应当按照邮政管理部门的规定预留安全监管数据接口,收集、分析与寄递安全有关的信息,确保数据真实、完整,并按时向邮政管理部门报送。但监管机构是否有权将因履行监管职责而获取的企业数据加以使用,比如纳入公共数据开放范围,我们认为在法律法规未予以明确规定的情况下,除非取得了企业出于真实意愿的同意或与企业达成协议,该等数据才能予以开放,并且该等开放应着力保护企业和相关个人的权益,避免透露属于企业商业秘密或关联自然人的信息。

因此,关于公共数据开放,未来需要着力研究规范带有公共属性的企业数据是否能否归集到公共数据开放平台予以开放。这里面也涉及企业数据的权属、性质定义问题,企业控制的数据的权益边界的问题,等等。

3. 公共数据开放与保护个人信息、隐私权

新冠肺炎疫情爆发后,有关提供公共服务的行业领域,如移动通信行业的运营商,为我国有关机关抗击疫情提供了大数据方面的有力支持。中国有效控制疫情的传播,生产生活秩序正加快恢复,5G、大数据等新一代信息通信技术在此次疫情防控中发挥了重要的作用,各类创新应用有力地支撑了疫情防控和复工复产。根据中国信通院发布的《中国疫情防控移动应用案例集》,通信大数据行程卡、城市疫情预测仿真系统等应用在疫情监测分析、病毒溯源、防控救治、资源调配等方面发挥了重要的支撑作用,为相关部门的政策制定提供了辅助推演参考[11]。在新冠肺炎防控中,大数据应用发挥了三大优势:整合系统,追踪疫情发展状态;辅助医疗,提高救助与科研效力;合理配置,避免资源“旱涝不均”[12]。但新冠肺炎疫情防控过程中的大数据应用也引发了关于个人信息、隐私保护方面的担忧。

就新冠肺炎疫情相关信息的公开而言,国家层面和地方层面都曾公开相关数据,包括现有病例、确诊人数、治愈人数、新增患者人数,等等;其中地方层面的公开信息包括了宏观层面的信息,也包括自然人个体的信息,有的甚至涉及公布自然人的个人信息,有的虽然进行了一定程度的脱敏,但结合有关信息实际上可识别具体的自然人。全国各地出现了一些新冠肺炎病毒感染者、疑似感染者因其个人信息和隐私被披露、传播、散布而收到匿名骚扰、恐吓电话和短信息等情形,其合法权益受到了严重侵犯。

因此,就公共数据开放而言,最为引起关注的是如何确保自然人的个人信息、隐私受到保护。自2021年开始施行的《民法典》,为调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系的法律。《民法典》设人格权编,并就个人信息保护确立了一些基本原则,如就国家机关行使职权中如何保护个人信息,做出了一些原则性规定:《民法典》第1039条规定,国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。但《民法典》并未就公共数据开放涉及个人信息的情形下,应如何保护个人信息进行特别规定。

纵观地方公共数据开放的立法情况,通常这些地方性法规或政府规章中涉及保护公民个人权益的规定,如《贵州省大数据发展应用促进条例》规定,依法不能向社会开放的公共数据,涉及特定公民、法人和其他组织重大利益关系的,经申请才可以向特定对象开放,而非无条件开放。《上海市公共数据开放暂行办法》第22条规定,“自然人、法人和非法人组织认为开放数据侵犯其商业秘密、个人隐私等合法权益的,可以通过开放平台告知数据开放主体……数据开放主体收到相关证据材料后,认为必要的,应当立即中止开放,同时进行核实。根据核实结果,分别采取撤回数据、恢复开放或者处理后再开放等措施,并及时反馈。”

就公共数据开放,如何在法规层面、技术层面、操作层面建立起保护包括个人信息、隐私或企业商业秘密在内的合法权益体系,有必要借鉴地方实践经验,从全国层面予以统一规制。否则,可能出现各个地方的公共数据开放平台开放包含个人信息等权益在内的数据,公民得到不同程度的保护,或者导致公民个人信息、隐私受到侵害的情况。

备受关注的《个人信息保护法(草案)》第34条确立了国家机关履行法定职责处理个人信息的程序和尺度,即应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度;第35条规定了国家机关为履行法定职责处理个人信息的合法性基础,即以向个人告知并取得其同意为原则,以告知、取得同意将妨碍国家机关履行法定职责为例外,并应当对个人信息予以保密;第36条则确立了国家机关不得公开或向他人提供其处理的个人信息的原则,法律、行政法规另有规定或者取得个人同意的除外。

如《个人信息保护法》关于国家机关处理个人信息的规定依草案内容通过,我们认为,公共数据开放涉及个人信息的,如无个人信息主体对于数据开放之明确同意,公共数据开放在开放个人信息的合法性基础方面仍属于立法空白状态——根据《个人信息保护法(草案)》,个人信息处理者处理个人信息的合法基础,除了取得个人的同意,还包括1)为订立或者履行个人作为一方当事人的合同所必需,2)为履行法定职责或者法定义务所必需,3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,4)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息,5)法律、行政法规规定的其他情形;而公共数据开放在涉及个人信息开放的场景下,如果没有取得个人的同意或法律法规的明确规定,很难说开放个人信息可归入《个人信息保护法(草案)》规定的其他合法基础。

就公共数据开放所涉及个人信息保护问题,我们所持的观点是,如非为保护公共利益所必要必须,不建议直接开放可单独或结合其他信息识别自然人的数据。如果要开放属于个人信息的数据,在现行法律体系下,要么取得个人的同意,要么得有法律法规的明确规定。并且,涉及个人信息的公共数据开放,应秉持有条件开放,抑或无条件开放辅以事后个人申请救济,在立法层面应力图在实现公共数据开放的效率与个人及其他有关主体的利益保护之间寻求平衡点。

总之,如何在确保公共数据发挥数据价值的同时,保护好包括个人信息、个人隐私等在内的其他权益或权利,实现数据价值与其他权益、权利之间的平衡,是未来值得持续予以关注的议题。是否能达到平衡,关系到公共数据开放能否真正实现公共价值、社会价值,达到服务社会的目的。


结语

信息技术的创新发展日新月异,数字化、网络化、智能化的浪潮不可阻挡。在刚刚结束的两会中,网络安全和数据保护再次引发代表委员们的热议,围绕数字经济、数据保护和数据安全等课题的提案也吸引了相关政府部门和社会各界的广泛关注。


可以预想,为了适应社会生活的发展需要,落实十四五纲要的宏观政策目标,以数据为驱动的数字经济必将进一步蓬勃发展。展望立法方面,《数据安全法》和《个人信息保护法》计划于4月进行第二次审议,很有可能在年内正式通过,将与《网络安全法》一并构成我国关于网络安全和数据保护的基础性法律体系。我们预测《关键信息基础设施保护条例》《网络安全等级保护条例》《个人信息跨境安全评估管理办法》等相关配套法规、实施细则、标准等也会陆续出台,将进一步有力的推动我国数字化和网络化发展的顶层设计和制度完善。此外,中国还将加强在数据跨境、数据交易等领域的国际规则的协商和制定。我们推测,部分涉及数据交易、数据要素市场建立等新型问题,不排除以地区立法试点的形式,推动在条件相对成熟的地区先行先试的可能。在执法监管方面,在继续强化对于网络安全制度的落实和查处侵犯个人信息权益的违法行为的同时,与修订中的《反垄断法》相结合,强化反垄断和防止资本无序扩张将成为今年乃至未来相当长一段时期的执法监管重点内容。


 


数据领域的立法和执法活动将持续活跃,数据合规工作任重道远。


[1] 《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》,http://www.gov.cn/zhengce/2019-11/05/content_5449023.htm

[2] 《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》,http://www.gov.cn/zhengce/2020-04/09/content_5500622.htm?trs=1

[3] 详见http://www.gov.cn/xinwen/2021-03/13/content_5592681.htm

[4] 麻策:《网络法实务全书》第321页,法律出版社

[5] 《张钦坤 朱开鑫:关于数据要素交易流通模式的新思考》https://mp.weixin.qq.com/s/3iIOr9UNmu3hs_C1MnbvRg

[6] 此处的“使用”强调的是与个人信息数据利用相关的民事权能,区别于个人信息处理过程中对个人信息使用的活动。本文中涉及使用权的概念均与此相同。

[7] 张莉主编 中国电子信息产业发展研究院编著:《数据治理与数据安全》第215页,人民邮电出版社

[8] 《个人信息保护法(草案)》第十三条

[9] 《个人信息保护法(草案)》第四十四条、四十五条、四十六条、四十七条、四十八条

[10] 史莉莉、张延新、王松林:《公共数据开放相关法律问题研究》,载于《政府法制研究》,2018年第5期。

[11] 详见https://kuaibao.qq.com/s/20200410A0ALGB00?refer=spider

[12] 鹿音:《新冠肺炎疫情防控中的大数据应用:希望与挑战》,载于《泛读地带》,第69页。


作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 新葡集团3522 京ICP备11012394号
Baidu
sogou
欣昌电子有限公司 凯祥电子有限公司 利仁电子有限公司 金广电子有限公司 干瑞电子有限公司 弘康电子有限公司 大鼎电子有限公司 复禄电子有限公司 万美电子有限公司 厚辉电子有限公司