文 | 清华大学法学院教授 申卫星
数据的广泛采集和利用促生了一大批新技术新业态新模式的发展,国内外的各行各业在继续深挖数据利用能力,数据已经成为驱动经济发展、社会治理和技术创新的宝贵资源。然而在数据获取和利用过程中存在灰色发展的困境:数据之上的权利主体、权利内容和利用方式均缺乏界定,数据权利纠纷、数据安全处罚乃至数据犯罪是悬在数据利用业态头顶的一把达摩克利斯之剑。近日,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》),承认和保护数据要素各参与方的合法权益,合理界定数据要素市场各参与方的权利和义务,通过权利分割的方法实现数据分类确权与授权,充分凝聚了当前最大共识,也为未来国家立法机关出台数据产权的法律制度开拓了道路、营造了社会基础。
新一代信息技术创新和各行各业的数字化转型高度依赖数据,构建数据财产权规则是匹配中国数据要素市场发展的必然要求,只有确立明确的数据产权分配才能确保数据在公平、透明的规则下可持续的发展。在没有明确数据财产权规则的环境下,各类数据融合融通缺乏信任,政府数据对外共享缺乏遵循,企业数据开发利用沦为灰色产业,个人数据则成为滥用的对象。数据控制者在没有财产权依据的情况下不敢开展数据共享、交易,数据要素市场陷入一个缺乏信任、缺乏预期的死循环之中,数据获取和利用的需求和难度均日益增加,需要及时的财产权规则来破解迷局。
我国现行法律缺乏数据财产的规定,数据要素市场在此背景之下只能借用传统法律解决新问题。在刑法、反不正当竞争法中,可以保护数据不被破坏和窃取,但是无法界定数据积极利用的权利主体和权利能力。市场主体可以通过合同自治方式对数据财产达成权利分配安排,但往往无法在多方参与的混合数据中达成协议或者只能由缔约能力强的一方当事人取得实际的控制权。现行知识产权保护可以保护具有创造性的数据集合、数据模型、数据产品,但是客观记录的原始数据在数字经济下具有巨大价值无法通过现行知识产权进行保护。为此,有必要改革既有法律或者创设新的法律制度来明确数据财产权规则,对数据的权利内容做精细化规定。
《数据二十条》确立了数据资源持有权、数据加工使用权、数据产品经营权分置的产权运行机制,充分运用了权利分割的法律思想来协调社会中存在的多方利益诉求,能够丰富数据要素市场的流通利用方式。质疑数据确权的观点从理论上提出了数据确权可能带来的问题,例如造成数据被大企业垄断、阻碍数据自由流动、个人数据控制权被削弱或者个人为了短期利益而滥售自己的数据。《数据二十条》此次发布可以让我们明确,数据财产制度是包括确权、授权、权利限制等规则在内的综合体系设计,数据确权方式和内容可能造成的不利后果都可以在制度设计中得到解决。对数据进行确权,不意味着放任孤岛式的数据烟囱林立,也不意味放任垄断式的数据霸权横行,数据确权需要“放管服”相结合的制度体系促进数据要素健康可持续发展。
公共数据是在政务数据基础上的扩张,在中国、欧盟等国家和地区已经逐步形成的普遍性概念。《数据二十条》明确各级政府部门、企事业单位依法行政履职或提供公共服务过程中产生的数据属于公共数据。在此之前,《网络数据安全管理条例(征求意见稿)》对于公共数据做了较为宽泛的界定,除了政务数据,将各类组织在提供公共服务中收集、产生的涉及公共利益的各类数据也纳入公共数据的范畴。此次意见没有将此类数据都认定为公共数据,有助于继续确认企业对于这些数据拥有基础权利,但是需要参照公共数据的流通利用需求向特别范围或者公众开放使用。在尊重企业创造价值的基础上,有助于促进数据的公共属性和赋能效应。
公共数据的运营方式一直存在如何从政务信息公开向公共数据开放的转型困境,此次《数据二十条》明确公共数据应当开放共享和统筹授权使用,用于公共治理、公益事业的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用。按照《政府信息公开条例》,行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的信息均为政府信息,应当由制作该政府信息的行政机关负责公开,且行政机关依申请提供政府信息,不收取费用;依据申请公开政府信息的数量、频次明显超过合理范围的,行政机关才可以收取信息处理费。近年来,不少地方政府在开发公共数据资源时,面临缺技术、缺经费、缺人员等问题,能否将公共数据委托其他主体运营,能否对申请使用公共数据的主体收取费用,均是长期没有解决的难题。2020年4月发布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》也仅仅指出“推进政府数据开放共享”。2022年1月发布的《国务院办公厅关于印发要素市场化配置综合改革试点总体方案的通知》首次提出“探索开展政府数据授权运营”。根据此次《数据二十条》,具有自主运营能力或者尚未开展授权运营的部门要继续加强对公共数据的开放,按照《政府信息公开条例》和公共数据开放的有关规定执行;此外,明确政府部门可以委托具有相应能力的第三方企事业单位对公共数据进行开发运营,既可以集中授予一家单位集中运营,也可以授予多家单位分别运营。
公共数据流通利用中如何确保个人信息安全和其他数据安全也是数据要素市场中的难题,此次《数据二十条》鼓励以模型、核验等产品和服务等形式向社会提供公共数据服务,推动按用途加大供给不涉及个人信息、无涉及公共安全的公共数据。公共数据的采集往往是履行法定职责而具有特定的使用范围和使用目的,开发公共数据超出原始范围、目的时就会出现潜在的风险;此次《数据二十条》鼓励原始数据不出域、数据可用不可见,可以在最终开发利用之前通过技术和管理措施在可信的数据平台进行数据归集和加工处理,从而在安全、目的兼容的条件下打通数据高速公路。最终利用者可以根据具体使用情况,获取匿名化或者安全化的数据服务;也可以获取个人信息主体同意或者有关部门批准后使用数据。通过解耦数据服务、产品与原始数据的流动,有助于在风险可控的环境下实现公共数据利用,也可以形成安全的数据加工过程和数据最终授权利用之间的两个分类治理阶段。
国家、地方对于个人数据和政务数据都有较多的专门立法,但是对于企业数据往往不做单独规定。立法者默认的态度是,纯粹的企业数据由市场主体通过合同自治处理而无需国家干预。然而,从司法纠纷案例来看,数据要素市场中大量的不正当竞争案件都是企业之间的数据争夺纠纷,本次《数据二十条》专门将企业数据作为单独一类数据列出确权授权规则有助于企业数据流通利用制度的完善。
企业数据主要是指各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的各类数据,如企业日常工作中记录产生的数据、农业组织器械设备运行记录而产生的数据、网络平台上记录的统计类、匿名化数据。对于不涉及个人信息和公共利益的企业数据,《数据二十条》确定由市场主体享有数据资产依法持有、使用和收益的权利,保障其投入的劳动和其他要素贡献获得合理回报。此次《数据二十条》中也进一步明确了企业数据的范围,将涉及个人信息和公共利益的企业数据排除在企业数据权利范围之外,实质上是将剥离了个人数据、公共数据之外的数据才视为企业数据。对于实践中存在的大量混合数据,企业只能区分之后才能独立的享有数据权利,否则会导致混合数据需要相应受到个人数据、公共数据相关规则的调整。
企业数据的发展需要一个多元、公平的流通利用市场,《数据二十条》特别提出了企业数据市场的发展方向和公平利用规则。在市场方面,《数据二十条》聚焦当下数据要素市场急需的内容,支持第三方机构、中介服务组织加强数据采集和质量评估标准制定,推动数据产品标准化,发展数据分析、数据服务等产业。在公平规则方面,《数据二十条》特别强调对中小企业的保护,引导行业龙头企业、互联网平台企业发挥带动作用,促进与中小微企业双向公平授权,共同合理使用数据,赋能中小企业数字化转型。双向公平授权的规则具有法律和产业政策的双重价值,从法律意义而言,公平授权规则将会对企业之间的合同进行公平性评价。《欧洲数据法案》也提出:为防止大企业滥用竞争优势地位,提高中小企业在数据共享谈判中的议价能力,《欧洲数据法案》规定,单方面强加给微型企业或中小型企业的合同条款必须是公平、合理且无歧视的,否则将被视为无效。如果对合同条款的理解出现分歧,合同主体可以提交由成员国认证的争议解决机构。从产业政策而言,企业数据相互流通利用才能产生更大的网络外部性效益,积极为数据互联互通创造技术标准等条件并引导数据在不同企业间的共享,将有助于数据要素市场的可持续发展。
科技发展以服务人为中心,承载个人信息的数据在训练人工智能新技术、开发个人服务新业态、形成社会治理新模式等方面均具有不可替代的作用。然而,根据《民法典》和《个人信息保护法》的要求,个人信息纳入人格权保护,个人信息能否视为财产、个人信息能否进行商业化交易、个人信息权利能否委托他人代为行使等一直存在争议。《深圳经济特区数据条例》就明确设立了“个人数据”专章,但是有关规定依然限于个人信息的传统规则,缺乏个人数据流通利用模式下的制度设计。即将颁布的《欧洲数据治理法案》和《欧洲数据法案》明确将个人数据纳入流通要素的范畴,通过设立利他主义组织、第三方服务商及相关配套规则促进个人数据的财产化利用。在此次发布的《数据二十条》中,旗帜鲜明的承认个人数据作为市场要素的地位,为个人数据的流通利用打开了空间。
我们每天使用各类互联网服务会上传、产生大量的个人数据,在面对个人信息海量产生和个人信息权利多种多样的情况下,用户面临如何有效、便捷管理个人信息的难题,此次《数据二十条》明确探索由受托者代表个人利益,监督市场主体对个人信息数据进行采集、加工和使用的机制,推动数据处理者按照个人授权范围依法采集、持有、托管和使用数据。国内外个人数据管理行业开始诞生一批可以根据委托而代理大量用户进行个人数据集中管理的数据经纪人,他们宣称能够以忠诚的态度和专业能力代替个人行使个人信息权利,能够基于用户事前授权乃至结合用户画像技术来高效地管理个人信息权利。《欧洲数据治理法案》中指出,“数据中介服务”是指旨在通过技术、法律或其他方式,包括为行使数据主体和个人数据相关权利的目的,在数量不明的数据主体和数据持有者与数据用户之间建立起数据共享关系,从而确立商业关系的服务。《欧洲数据法案》中也明确,个人数据访问权允许用户访问由其产生的数据并可向第三方分享这些数据,以便(第三方)提供售后或其他数据驱动的创新服务;数据持有者有义务按照用户的请求而向第三方提供因使用产品或相关服务而产生的数据。《数据二十条》提出了个人数据的“受托人”角色和相应的个人数据“托管”服务,将进一步为中国的个人数据市场探索新模式创造空间。
个人数据流通利用的合法性基础长期面临《个人信息保护法》的沿革限制,从《数据二十条》来看,个人数据流通利用并不能豁免个人信息保护义务。根据此次《数据二十条》,个人数据流通利用中的合规要点有三项:其一取得个人授权,意见明确要求市场主体按照个人授权范围依法采集、持有、托管和使用数据;其二取得主管部门授权,意见明确要求对于涉及国家安全的特殊个人信息数据,可以由主管部门依法授权使用;其三对个人数据做匿名化处理,意见明确要求创新技术手段,推动公共服务个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私。结合个人数据托管服务,可以预见:高效且有效的获取个人授权将在很大程度上决定个人数据的利用水平。目前,国内外已经出现了个人数据同意管理平台,可以通过技术工具和具有忠诚义务的托管人高效率的通知个人并取得授权,从而为真正有前景且重视个人信息权益保护的个人数据利用模式创造空间。
《数据二十条》是我国基于数据要素的历史地位而提出的指导规则,为数据要素的发展提供指引,对于深化生产要素改革、激发市场创新活力具有重要的意义。《数据二十条》也有助于创新我国的立法模式,通过非强制性、指导性的政策文件在尚未成熟的领域先行先试,特别是为地方立法提供了重要的支撑。在政策指导产业发展和地方立法探索形成一定稳定经验后,国家通过立法的形式将数据要素市场的规则法定化并补充政策和地方立法的不足,从而可以兼顾法律的稳定性和市场发展所需要的灵活性与确定性。
编辑:陈十九
审核:商密君
大家好,为了更好地促进同业间学术交流,商密君现开启征文活动,只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法,都可以积极向商密君投稿,商密君一定将您的声音传递给更多的人。
![以分类管理的路径构建数据确权授权的指导规则]( "以分类管理的路径构建数据确权授权的指导规则")
点击购买《2020-2021中国商用密码产业发展报告》![以分类管理的路径构建数据确权授权的指导规则]( "以分类管理的路径构建数据确权授权的指导规则")
来源:国家发改委网站
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
原文始发于微信公众号(商密君):以分类管理的路径构建数据确权授权的指导规则
评论