数字技术正在推动数据成为新的生产要素,亟须明确数据。目前,我国相关法规尚未将数据财产属性纳入数据范围,需尽快明确各类数据内容。明确对数据管理使用的、责任和义务以及数据生产者所有权,明确自然人的个人数据,允许数据控制者对匿名化数据享有性所有权,加强跨境数据流动管理制度接轨,通过隐私机制和安全例外实现数据主权,规范监管部门为履职获取数据的和要求。
数字技术正在推动数据成为新的生产要素,清晰的数据界定是充分利用这一要素的前提。2017年12月,中央局就实施国家大数据战略进行集体学习时提出,要制定数据资源确权、、流通、交易相关制度,完善数据产权制度。为促进数据这一新生产要素的流通和交易,实现数据价值的最大化,推动我国数字经济发展,亟须加快推进数据确权工作。
数据内容通常还会随着应用场景的变化而变化,甚至衍生出新的内容,使得事先约定归属变得很困难。
数据按照产生的主体可以分为:个人数据、商业数据和数据。个人数据指与个人相关、能够识别个人身份的数据,数据指政务部门履职过程中获取或制作的数据,商业数据主要指商业机构运行中获取或生产的数据。数据和商业数据中涉及个人特征的数据,也属于个人数据。对于自然人、和企业这三类数据权的主体来说,内容有所不同。除了均具有财产权属性外,个人数据可能会包含姓名权、隐私权等人格权的内容,具有人格权属性。因此,个人数据包括了人格权和财产权。数据通常被认为属于公共资源,享有知情权、访问权和使用权。商业数据则包含企业的知识产权、商业秘密和其他权益等。数据内容通常还会随着应用场景的变化而变化,甚至衍生出新的内容,使得事先约定归属变得很困难。
与其他财产不同,数据的全生命周期存在多个参与者(数据主体、数据收集者、数据处理者等),每一个参与者在各自环节都对数据价值作出了贡献。大多数情况下,数据产生价值需要数据收集、处理者对数据进行采集、处理和分析,数据主体对于数据的各项需数据收集、处理者的支持才可有效行使。因此,赋予某一参与者专属的、排他性的所有权不可行,数据的各类具体分属不同参与者,需要在各参与者之间进行协商和划分。
数据可以低成本复制,不像实物资产那样具有天然的排他性。尽管企业可以通过技术手段相关数据不受第三方,使得数据为其“所有”,但这种“所有权”与一般民法所指的所有权(对财产享有占有、使用、收益和处分的排他性)含义不同,不是一种绝对的完全所有权。对于通常意义上的所有权,所有权人几乎完全拥有占有和使用该物的权益。但数据权在数据的全生命周期中有不同的支配主体,且人需承担更多的义务和责任,不仅要对数据泄露、数据侵权等事件承担责任,也需要在日据收集和处理中履行相应义务。
大数据时代,高度重视数据蕴含的价值,根据新形势对数据界定作了一些新的,以促进数字经济发展。总体而言,对数据实施分类管理,既对个人数据提供有效,又最大程度发挥数据对社会经济的潜能。
大多数国家均将数据视为一种公共资源,一方面,通过立法赋予对数据的使用、管理、许可等。如美国第2320条,有权使用其资助的合同和分合同项下的项目或过程中的数据,以及将数据向外部公开并允许外部人士使用。另一方面,明确数据的责任和义务,以及的使用权和义务。发达国家从2009年开始推动数据,明确了数据的形式、要求等,以及获取和使用数据的各项和使用要求。
对于非个人商业数据,一般默认由数据生产者拥有。但鉴于数据的特殊性,欧盟认为明确其产权对于规范市场和交易意义重大。2017年,欧盟发布《构建欧洲数据经济》,提出针对非个人的和计算机生产的匿名化数据设立数据生产者,鼓励(涉及公共利益时强制)公司授权第三方访问其数据,促进数据交流和增值。数据生产者是指设备的所有者或长期用户(如承租人)基于收集和分析处理等操作,对非个人数据享有的使用和许可他人使用,并防止他人未经授权使用和获取数据的。
原始个人数据一般默认归个人所有,通常无须另行,也有个别国家作出明确。如美国联邦通讯委员会2016年发布的《宽带互联网消费者隐私政策》,由宽带互联网接入业务所产生的数据归消费者所有。由于个人数据表现出了人格权属性和财产权属性,根据新形势赋予新的个人数据,提供兼具人格权和财产权的。如欧盟2016年通过的《一般数据条例》赋予个人的数据包括数据访问权、数据纠正权、被遗忘权、处理权、可携带权、自主决定权以及权等7个方面。2018年6月,美国加利福尼亚州议会通过的《消费者隐私法案》为消费者创建了访问权、删除权、知情权、权等数据。
为了促进个人数据利用,一些国家个人数据经过匿名化处理(移除可识别个人信息部分且不会再被识别)就成为非个人数据,允许在某些风险较低情形下使用匿名化数据。目前,欧盟、美国、日本等允许企业在承担透明性、隐私风险评估和等责任前提下,对个人数据匿名化处理后进行市场化利用。欧盟《一般数据条例》匿名化数据不属于个人数据,机构可以处理匿名化数据。美国《健康保险携带和责任法案》,对于不可识别身份的个人健康信息可以被应用或者披露。日本2015年《个人信息保》修正案允许企业在确保数据不能实现身份识别、不能复原的情况下可以出售匿名化数据。
当前,美国主张数据流动,欧盟注重数据跨境流动所涉及的个人隐私,而大多数发展中国家则推行数据本地化政策。总体来说,数据跨境流动呈现出如下趋势。
一是规范个人数据跨境流动,个人隐私。和地区对解决个人数据跨境流动中个人隐私提出了多种解决方案。2011年,在亚太经济合作组织框架下,美国主导提出了跨境隐私规则体制,对企业采取认证模式,经过隐私认证的企业之间可以无障碍跨境传输个人信息。欧盟《一般数据条例》提出了向境输个人数据的条件,包括要求第三方国家或国际组织对个人数据和隐私的程度与欧盟相当等。日本《个人信息修》数据控制者转移个人信息到境外需要获得个人同意,或该国具有与日本标准相当的数据体系或数据标准。
二是消除非个人数据本地化。尽管欧盟要求跨境转移个人数据需满足相关,但对于非个人数据,则推动废除国不合理的数据本地化存储要求。2018年10月,欧盟议会审议通过了《非个人数据流动条例》,制定了旨在废除欧盟各国的数据本地化要求、促进专业用户数据迁移的有关规则,以确保非个人数据在欧盟内可以流动。
为公共利益,通过法律赋予监管机构履行职责所需的信息收。美国2015年出台的《网络信息安全共享法》,企业在必要时需根据国土的要求共享信息,当用户企业的此类行为隐私权时,企业可以豁免。欧盟《非个人数据流动条例》,公共部门可以访问欧盟任何地方存储和处理的数据,并进行审查和监督控制。、英国也在相关法规中赋予机构获取企业数据的。
现行法律法规尚未赋予商业数据明确的,一些商业数据也难以得到,如知识产权难以缺乏独创性的数据。
我国相关法规默认数据为公共资源并要求推动其。《网络安全法》第十八条,促进公共数据资源。国务院发布的《政务信息资源共享管理暂行办法》对政务信息资源的共享和无偿使用作出了,但未明确政务信息资源的权属。一些地方采取将数据界定为国家所有的方式进行管理,如福建省2015年2月通过的《福建省电子政务建设和应用管理办法》将政务信息资源界定为国家所有,其他如汕头等地也作出类似。由于缺乏对和对数据、责任、义务的相关,导致公共数据滞后。
我国现有知识产权法、反不正当竞争法、合同法等法律体系能够对部分商业数据提供财产,已有司法实践采用反不正当竞争法的一般条款对数据进行,明确数据开发者对于其开发的大数据产品享有的财产性权益,未经许可获取数据并无偿使用数据的行为,构成不正当竞争行为。但是,现行法律法规尚未赋予商业数据明确的,一些商业数据也难以得到,如知识产权难以缺乏独创性的数据;数据库侧重于开发或构建数据库的投资,更多的是“库”,而非数据;反不正当竞争法重视对行为的规制,没有对数据权作出确认和设置。
我国现行法律法规主要是从人格权角度对个人信息进行防御性,并未将自然人对个人数据的权益为一种绝对权,导致强度不高。《民法总则》第110条列举了自然人的生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等作为绝对权的人格权和身份权之后,只是在第111条:“自然人的个人信息受法律。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”表明个人信息虽然受法律,但并未作为绝对权而享受积极。
我国当前法律法规既严格个人数据,也为数据利用预留了空间。我国个人数据交易,2017年10月开始实施的《民法总则》不得非法买卖、提供或者公开他人个人信息。《网络安全法》也作了相同,但其第四十二条“经过处理无法识别特定个人且不能复原的除外”,这为个人数据进行匿名化处理并开发利用留出了一定的余地。但目前缺乏具体实施细则,导致实践中企业难以操作。
我国数据跨境流动管理制度正在形成过程中,《网络安全法》以数据本地化为原则对数据跨境传输采取安全评估措施,与国际跨境数据流动管理机制存在较大差异。我国对数据跨境传输管理范围宽,要求严格,裁量权大。而欧美则主要强调对个人数据跨境传输进行规范,并且采取“对等适当性(即双方个人隐私水平相当即可)”“认证”等“一揽子”解决方式,对个案裁量权小。
为抓住大数据发展的战略机遇,按照人格权优先、以价值贡献为重要依据、个人的权益和产业发展利益平衡三个原则,分类确定数据,建立一个安全、的数据流通,促进数字经济发展。
将公共数据设定为国家所有的模式,尽管有利于避免各部门以自己投资建设为由将信息资源视为本部门资产,却容易导致使用难以落实。因此,需通过法规明确对数据的管理、使用,和的责任和义务,以及对数据的使用和义务,使得和对公共数据的均有法可依、权责利清晰且更具可操作性,有效促进数据最大化安全。
尽管非个人商业数据事实上由数据生产者控制,但数据的不确定性妨碍了大数据产业的发展,也成为数据共享的主要障碍。法律可以明确赋予数据相关生产者对收集或制作的非个人数据享有所有权,以鼓励数据企业收集、存储和利用数据,促进数据的流通应用。多个主体共同生产的商业数据共同拥有。
将现行法规对个人数据作为人格权内容拓展到个人数据,赋予自然人个人数据,并明确内容。个人数据的内容包括信息可携权、知情权、选择权、修改权、删除权、求偿权、被遗忘权等。同时,对个人各项的行使及数据控制者的责任等作出具体,确保个人数据落实到位。
尽管我国法律法规为数据匿名化处理应用预留了空间,但由于涉及个人隐私这一重要因素,仍需法规以“正面清单”方式对数据应用作出明确,才能推动数据的进一步流通、应用。可赋予数据控制者享有对个人数据进行匿名化处理后的数据的所有权,并承担相关风险责任,以激励企业在个人信息的前提下开发数据价值。匿名化处理的基本原则是确保处理后无法识别个人身份信息。同时,建立个人数据匿名化利用的法规体系和标准,确保数据规范流动。
为发展我国数字经济,与世界主要市场国家和地区的跨境数据流动规则接轨不可避免。可借鉴欧盟规范个人数据流动、推动非个人数据流动的方式,在数据跨境流动管理中进一步将数据区分为个人数据、涉及和公共安全的数据、其他数据,通过隐私机制规范个人数据管理,允许非个人数据流动,同时将安全作为数据流动的例外,基于此来数据主权。
为保障公共利益,需要明确监管部门获取数据的,公共部门可访问国内任何地方存储的数据,并进行审查和监督。鉴于实践中存在多头管理、部门对企业报告数据的要求不明确、公共部门对个人隐私不到位等问题,应同时明确监管部门获取数据的条件、程序和具体要求,并减少重复报送,避免监管部门获取数据的。
重大信号!中央局会议首现五个新提法 如何影响股市楼市?明确哪些投资方向?看十大机构解读推背图 详解