以信息产业为代表的数字经济,成为中国乃至世界经济发展的新引擎。数字经济的崛起,庞大的数据处理和应用需求不断推动各国的数字基础设施建设和数据法治建设。企业数据合规程度、个人信息保护程度,正成为衡量数字经济发展质量的重要标准,这使得各国之间的数字经济竞争日益演化为一场数据法治竞争,数据立法的加速正在驱使数字经济的法治化驶入历史的快车道。
当前,实现以企业数据合规、个人信息保护为重要内容的数据法治建设,仍面临着三个方面的问题与考验。
技术层面的安全考验
数字经济大放异彩,一方面使数据成为重要的战略资产,另一方面,数据的共享开放和交叉使用又为数据安全埋下诸多隐患,数据非法泄露事件频频发生。从技术上看,数据合规和个人信息保护正面临新的考验。现有的传统数据安全防护手段逐渐失效,新一代数据安全技术,正在以数据为中心,通过身份权限的识别和行为控制等而展开新一轮技术创新,有望与现有的传统数据安全市场形成有益互补。
在这一领域,区块链技术客观上适应了数据合规与个人信息保护的新要求,在数据安全方面发挥出重要作用。作为互联网数据记录、传播和存储的一种新方式,它通过共识机制和加密技术形成了一个去中心化的分布式数据库,并以独立、可靠、开放、透明、安全、可追溯为其显著特征,从而实现了互联网从信息传播向价值转移的转变以及多方信息的安全维护。由于区块链的共识机制适用于不同的应用场景,因此在效率和安全之间取得了必要平衡。
问题在于,当前区块链技术在大规模应用层面仍面临一些技术难题,既需要解决机构或企业数据隐私安全与共享、验证之间的矛盾,也需要保证数据全程加密情形下的系统高性能运行。虽然市场上的一些区块链企业试图通过哈希函数算哈希值的方式来保护隐私,但从效果看并不尽如人意,仍存在一定的技术缺陷。
另外,我国区块链技术方面的复合型人才目前缺口仍然较大,对IT技术、密码学、经济学、金融学等专业背景的综合化要求越来越高。加快高层次、复合型区块链技术人才的培养已成为当务之急,这也是攻克数据合规和个人信息保护技术难题的长久之策。
赋权层面的证成考验
数字经济背景下的数据价值日益凸显,如何对数据进行合理赋权,在理论上仍存在不少争议。现有立法和理论研究中经常将数据等同于信息,导致有关信息的财产权化讨论相当热烈,相比之下,有关数据的权利属性问题少有问津。问题是,数据并不等同于信息,对数据赋权正面临诸多窘境,这进一步加剧了数据权的确认难度。
通常认为,数据只是一种信息传播媒介,其本身没有独立的经济价值。数据价值实际体现为其所承载的信息所包含的使用价值以及信息流通所带来的交换价值。数据持有人对数据的挖掘、整理和利用,可以服务于自身的商业决策和精准投资,因此体现为数据持有人的“自用”价值;数据作为标的物可以用于市场交易,进而实现数据的“他用”目的并体现其“他用”价值。对数据赋权的呼声,说明数据已实际成为现实生活中重要的“财产”形态,需要得到法律的确认和保护。
然而,数据究竟是不是财产、数据能不能成为民法上的客体,理论上仍缺乏足够的基础性研究,既有的网络数据民事裁判实践倾向于单独将数据进行客体化和财产化处理。有学者指出,数据没有特定性、独立性,亦不属于无形物,不能归入民事权利的客体;数据无独立经济价值,其交易性受制于信息的内容,且其价值实现依赖于数据安全和自我控制保护,因此也不宜将其独立视为财产。许多学者从数据利益出发,试图论证数据财产权的正当性,有的甚至已经构建起数据权谱,但数据能否权利化,需要对数据的法律属性进行科学提炼和澄清,有待于审慎严密的逻辑证成。也有学者指出,无论是正向进行演绎论证,还是反向作出假设推演,数据权利化的证成进路实际上都障碍重重。尽管数据已成为现代社会重要的商业资源,通过互联网商业模式创新能够产生巨大的经济利益,将数据作为重要财产或资源看待有其合理性,但基于数据主体不确定、外部性问题以及垄断性的缺乏,短期内数据的权利化恐怕尚难实现,数据财产权问题仍值得斟酌。
当然,数据的赋权及其证成困境并不妨碍对信息秩序建立与维护的立法跟进。研究数据本身的法律问题是研究互联网技术背景下信息利用和保护问题的本源所在,对网络信息的法律规制依赖于数据基础秩序的建立和数据操作行为的规范,这显然不能寄希望于网络平台或服务商的自行决定,需要国家立法对数据的采集、储存、利用、流动等作出统一规定,以此获得一个通行的数据使用和分享规则。
规制层面的执法考验
数据规制是数据合规和个人信息保护的应有之义,与近年来不断推进的数据立法密切联系在一起。数据规制是实现数据安全的必由之路,既需要维护国内外不同市场主体之间的数据竞争与合作,也需要在企业数据权益与个人信息保护之间实现必要的妥协与平衡。同时,依法保护企业与个人的数据权益,更需要严厉打击不同类型违法犯罪行为。
在我国,数据立法目前已取得可喜进步。继2000年通过实施《关于维护互联网安全的决定》之后,2012年全国人大常委会再次通过并实施了《关于加强网络信息保护的决定》,从而确立了个人信息收集、使用的基本规则及网络服务提供者保护个人信息安全的义务等基本规范。2013年《消费者权益保护法》修改时,在第十四条中新增加了个人信息依法受到保护的权利,同时在第二十九条中明确了经营者收集、使用消费者个人信息时的法定义务,明确了合法、正当、必要原则,经营者需要明示收集使用的目的、方式和范围等,也强调了经营者的保密义务。2016年《网络安全法》的颁布,进一步充实完善了收集、使用个人信息的法律规则,细化了网络运营者保护个人信息安全的义务与责任,专章规定了网络运行安全、网络信息安全以及网络安全支持与促进等内容。2017年颁行的《民法总则》,则在第一百一十一条中将个人信息受到法律保护作为一项重要民事权利予以规定,强调任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。2018年《电子商务法》的颁布,再次将个人信息保护摆在重要位置,明确规定电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定,并明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户设置不合理条件。在刑法领域,2009年、2015年通过的刑法修正案(七)和修正案(九),专门增加了出售或者非法提供、窃取或者非法获取公民个人信息的犯罪及刑罚。
此外,其它数据立法成果还有不少,主要表现为行政法规、部门规章以及行业自律规定等形式。以2016年《数据流通行业自律公约》为例,由中国联通、中国电信、阿里巴巴、京东等联合发布的这一自律公约,重点从数据权益、数据流通和数据应用三大板块分别作出规定,其不但确认企业对其合法、正当途径采集、获取、生成的数据享有合法权益,而且强调依法保障用户在其个人数据流通中享有的选择、获取、更正、退出、删除等权利。
从国际层面看,数字经济的全球博弈引发了各国对数据立法竞争性与外溢性的普遍思考。就欧盟《通用数据保护条例》(General Data Protection Regulation)来说,其实施后所开出的巨额罚单,即在国内引发不少热议。在这些罚单名字里,除互联网企业外,有关航空、酒店、医疗等行业也赫然在列。该条例确立了个人信息保护方面的一系列权利内容,包括随时撤回同意权、知情权、更正权、擦除权(也称为被遗忘权)、限制权、携带权、访问权等。对此,欧盟还建立了一套严格的执法机制,详细规定了监管机构的调查权和处罚权。事实上,欧盟的数据保护执法距离中国企业并不遥远。由于该条例不再坚守属地原则,而是采用了类似于美国长臂管辖的执法模式,将执法边界延伸到了所有收集和处理欧盟个人信息的企业,因此对中国企业来说,无论是有意进军欧洲市场还是与欧洲企业开展业务往来,都应当尽快开展数据合规工作,把企业数据合规业务与个人信息保护紧密衔接起来。
需要强调的是,在利益驱使下,当前一些企业漠视法律,随意收集、非法获取、擅自使用甚至泄露、滥用个人信息的现象仍比较突出,严格监管、严格执法正被各类数据主体寄予厚望。这些年来我国已经逐步建立起企业数据合规和个人信息保护的法律规则体系,其中不乏民法、经济法、行政法、刑法等部门法的深度介入,由此形成了一套具有可操作性的数据违法责任追究机制。
对于企业而言,数据合规业务仍处在探索阶段,尚未形成行之有效的成熟的法律服务体系,但不断出现的数据纠纷与司法判例无疑具有警示和促进作用。只有提高数据风险防范意识,深刻认识数据保护的国际立法趋势,并采取切实有效的数据保护措施,平衡好企业数据权益与个人信息保护的关系,企业才能防患于未然,在国内外数据市场避免陷入各类纠纷与麻烦。
从未来立法趋势看,本届全国人大常委会已将制定《个人信息保护法》和《数据安全法》列入了立法规划的第一类项目,企业数据合规与个人信息保护仍然期待专门性立法的持续跟进,为数据主体提供更加全面而细致的保护标准,以适应数字经济时代多样化、批量化的跨境数据流动,为世界提供数据法治化的“中国智慧”。