2019大数据产业峰会|中国社会科学院大学刘晓春:数据流通的法律框架
首先来看一下,我这个顺序是按照现在重要性或者受关注度的顺序来看数据安全的问题,还有信息保护的问题。当我们讨论数据安全的时候,我们首先想到的是《网络安全法》,里面提到的安全包括各种各样的安全,包括国家安全、公众安全,具体到的领域包括数据安全、内容安全,这里面也会和个人信息的保护,个人的数据安全结合起来。我们谈到数据安全也要分不同的层次谈,首先我们谈数据安全本身,安全性、保密性和可用性,在这个基础上法律构建出了一些,比如《网络安全法》里面构建出一些具体的要求,对于数据处理主体来说必须采取措施防止数据被窃取、篡改,对重要数据进行备份和加密,对外跨境传输的时候要进行特定的程序,这个是法律和技术的结合。法律规则的过程当中其实对技术规范进行了要求,这是刚才介绍的很多标准化的规范可以发挥作用,实际上通过技术的规范来履行法律上的责任和职责。 当然我们谈到数据安全的时候除了数据自身的安全之外,我们还会想到利用数据导致的安全问题,比如会涉及到国家安全的问题,涉及到特殊的军用数据或者是特定的经济领域的数据,公共安全的问题,可能会引起稳定的问题,还涉及到个人信息安全。 个人信息在我们整个数据安全的领域之内实际上应该是其中的一部分,我们知道肯定有构成个人数据这部分,也有非个人数据,这个逻辑上非常清楚。理论上数据不仅仅是个人数据,但是为什么我们谈到数据的时候,我们通常想到的典型的最重要的问题就是个人数据,恰恰就是因为在现在这样一个社会,特别是消费社会,这个数据更多的是除了我们说的工业数据,更多应用在消费市场的场合。消费者或者个人使用者的数据越来越成为企业的核心资产,具有巨大的商业价值,大部分的数据也包含很多的个人数据,个人信息的概念本身很宽泛,个人数据在数据安全领域是非常重要典型的问题。最近发布的数据安全管理办法是网信办发布的征求意见稿,里面对数据安全的名称,如果大家仔细看条文的话,大部分或者绝大部分的条文还是处理个人信息的问题,重要数据也是网络安全法界定的很重要的概念,重要数据是指对于公共安全,对于国家的公共力产生重要影响,如果被侵害,他的安全出现问题的时候对整个国家安全和公共安全产生重要影响的数据,并不见得一定是个人数据,也是数据安全中非常重要的一部分,我们看到网信办大部分都是处理个人的数据问题,个人数据的采集、处理和监督、防控风险这样的措施。 个人信息在网络安全法里面规定,核心就是识别,这个信息是可以识别自然人的身份,或者不靠他自己,他跟其他的信息结合在一起,可以识别个人的身份,这是各种信息。看起来还是比较有逻辑性的概念,但是在实践当中我们发现实际上会出现很大的问题,因为这个边界并不是很清楚,尽管通过列举,列举出了姓名、出生日期、电话号码等等这样一些信息,我们发现在现实生活当中如果你要说一个信息的片段是不是能够和其他信息结合起来共同去识别一个人身份的话,如果这个范围宽泛的话可能个人信息范围会扩展的非常广。比如今天北京国际会议中心肯定不是个人信息,但是可以和今天的日期,今天的会议,今天分论坛第二个发言人这些信息结合起来之后就变成识别我的信心,这个边界到底画在哪里,当可识别或者是可以和其他信息结合识别的范围没有清楚界定下来的时候,很难说什么不是。 所以这个意义上,当然我们去反思个人信息,这个不仅仅是中国的问题,这个概念是在国际范围之内都是,如果仅限于姓名直接识别的话,这个太窄了,太容易被规避了,如果我们扩大到没有边界的可识别或者可结合识别的时候,会给我们带来什么呢。会给我们带来一个法律适用上的合规成本上巨大的不确定性,当我们去处理一些数据的时候,这个数据可能是庞大的组合,有一些可能非常清楚是个人数据。但是有一些比如之前一直讨论的像用户画像,用户的标签,精准营销、个性化推送,这个过程当中会使用到的个人信息不见得是手机号,是设备上对应的用户画像。这个东西是不是个人信息,如果说直接识别的话识别不了,是不是能够跟设备号结合,或者跟其他的地址结合去识别,肯定是可以的。 对于这样的信息处理到底是不是适用个人信息的保护,现在这个问题依然是难题,不管对哪个领域都没有人很准确的回答这个边界在哪里,目前比较妥善的方式是概念加上列举的方式。比如这里做了列举,也许以后我自己的想法,随着我们实践的发展,随着不同的行业细分领域的实践和规则建构的发展。我个人推崇今天说的标准方式,在具体行业里看哪些个人信息具有更大的风险,具有更强的可识别性,跟个人的关系更加密切,这个时候也许在这个行业里面通过标准,通过实践我们把它提炼出一些确定的类型。我们说这些在很大程度上可能是个人信息,我们要通过这样自下而上的构建方式去解决个人信息概念本身这样一个统一的概念带来的不确定性。 在个人信息保护的问题上,本身保护是全环节的保护,应该是贯穿于数据的整个处理过程,当然首先是收集数据的问题,收集之后有一个处理和内部的存储,内部怎么样进行加工,最后还有一个使用的问题。在使用的问题上实际上使用这个词非常的宽泛,但是必然会包括内部的使用,比如在内部打标签推广告和产品,也可能是把数据对外进行共享,这就是涉及到今天说的数据流通的问题。当我们相信数据流通、数据的流动和融合、整合,多方数据的整合能够促进数据的创新,促进整个社会创新的时候,我们的立场应该是更多鼓励这种流通和对外的分享。 但是现在个人信息保护的规则,我觉得毫不避讳的说整个体系并不鼓励你共享,不管是GDPR里面,还是在我们国家数据对外分享的法律构造上,还是最新征求意见稿的数据安全管理办法里面,这个立法者或者监管者都对数据共享有高度的警惕。这个主体还能监控,把数据分享给第三方,这个时候怎么办,监管方说我不知道你分享给谁,分享过程当中发生过什么,我怎么做,对主体附加一个义务,要求对你分享出去的数据承担责任。比如说在数据安全管理办法里面,对于第三方分享给第三方的数据如果出问题了,如果泄露了,分享给第三方他出现问题,我要承担责任,只有证明自己无过错的情况下承担责任这条款我本人强烈反对,这个并不是立法的范围之内。我举一个例子,说明现在的个人保护也好,数据安全也好,保护的方式还是集中管理的方式,并不鼓励,数据流通出去产生的风险,并不鼓励流通,更多想考虑控制这个风险。这个实际上对于数据流通造成遏制性的效果,这是全环节的保护。 (编辑:南平站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |