文/陈根
作为数字经济的核心生产要素,数据正成为科技创新的突破点,经济转型和创新发展的新引擎,以及社会治理的有效工具。
对个人而言,数据是其生活的再现;对企业来说,数据是21世纪的石油;对政府来说,数据则是基础性的战略资源。时下,对于数据的挖掘和利用已在商业(尤其是零售业)、公共卫生和安全、个人消费升级等领域创造了许多价值,数据的更多潜在用途也被社会所期许。
然而,在数字经济勃兴的另一边,却是国际间日益激烈的数字博弈和此起彼伏的大规模用户数据泄露事件,这加剧了民众对涉及隐私的个人数据安全的担忧,也进一步数据安全和数据发展的对立矛盾。
“安全第一”还是“发展第一”?信息保护与数据利用的矛盾又可否克服?
从认识演进到回应更新
尽管已经有太多人断言数字经济时代下数据价值的潜力之大,但实际上,人们对于数据价值的认识依然是一个不断演进的过程。
从中国信通院《中国数字产业发展白皮书》历年表述中,便可见一斑:自2017年数字产业化和产业数字化的“两化”框架,到2020年数据价值化、数字产业化、产业数字化、数字化治理的“四化”框架,数据业已成为重塑生产力的核心。
今年4月至5月,中共中央、国务院先后发布《关于构建更加完善的要素市场化配置体制机制的意见》《关于新时代加快完善社会主义市场经济体制的意见》等,提出“加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护,发挥数据资源价值”等新要求。
就国内而言,当前,传统经济模式失速、国际环境复杂严峻,以数据为关键生产要素的数字经济已成为增长的新动能、就业的新空间,“数据”价值由此倍增。
与此同时,欧盟和美国竞相出台的数据战略,凸显出各国政府在数据利用中越来越重要的作用。2019 年12 月,美国白宫行政管理和预算办公室(OMB)发布《联邦数据战略与2020 年行动计划》,“数据作为战略资源开发(Leveraging Data as a Strategic Asset)”成为其核心目标。
2020年2月,欧盟推出《欧盟数据战略》,通过构建统一的数据获取和利用规则、加大数据领域投资、打造核心行业和公共利益领域的统一数据空间、加强数据专业人才建设等一揽子措施,推动欧盟单一数据市场的建立。
而在对数据价值的认识过程中,对于数据安全与数据发展的平衡问题,法律制度作为数字社会的基础也经历了不断的更新,以回应不断涌现的新需求和新问题。
根据联合国贸易发展组织(UNCTAD)截至2020年4月2日的统计,全球194个国家中,共有132个国家制定了数据和隐私保护的法律,占国家总数的66%。
据国际隐私专业协会(the International Association of Privacy Professionals)最新发布的《2020全球隐私保护立法预测》,2020年注定将成为2018年以来又一个数据和隐私保护立法的高潮年。
2018年,从年初Facebook 8700万名用户数据被不法用于政治目的,到年底万豪酒店喜达屋系统中高达5亿个人数据被窃,从年初旨在跨境调取数据的美国《海外数据使用权明确法》(Clarifying Lawful Overseas Use of Data Act),到年中以长臂管辖为特色的欧盟《一般数据保护条例》(GDPR),数据的安全风险和政治挑战层出不穷。
今年以来,有关数据安全与数据发展的法律更是井喷式颁布。2020年1月1日,美国加利福尼亚州《消费者隐私法》(CCPA)开始实施,预计将掀起美国其他各州乃至联邦的相关立法潮。2020年8月15日,巴西版《一般数据保护法》(LGPD)生效。原定于2020年5月27日起实施(现已延期至2021年5月31日)泰国的《个人数据保护法》(PDPA)深度参考了GDPR的条款。
印度的《个人数据保护法案》已进入立法表决前的最后审议阶段,预计在今年通过议会批准。韩国正在调整其现有的隐私保护法律,以期与GDPR相一致;关于《个人信息保护法》的最新修正案也正在等待韩国国会的批准。
对于我国来说,《密码法》自2020年1月1日起实施。2020年5月28日颁布、2021年1月1日起实施的中国《民法典》首次将隐私和个人信息作为公民的人格权的一部分进行保护,并在《网络安全法》的基础上提升了保护的范围和力度。
从技术供给到法律修缮
一方面,在全球数据治理的视野里,随着数据价值认识的不断演进,数据法的制定也不断更新以适应数字经济时代下的需求,其更多关涉国家政治和国家主权间的数据博弈。比如,在数字经济的世界版图上,伴随着欧盟GDPR的生效,欧盟通过GDPR扩张其境外管辖权,且以基本权利保障为由,禁止个人数据流入未获得“充分性认定”的国家,这让欧盟以一种新的方式改变全球数据治理格局。
正如欧盟数据保护委员会所宣称的那样:“从智利到日本,从巴西到韩国,从阿根廷到肯尼亚,新的隐私法正在浮现。”
另一方面,在国际数据竞争背景下,如何平衡本国数据安全和数据流通利用两大价值提升数据竞争力则成为面临着的全新挑战。
事实上,数据安全和发展并重的观念已成为国家共识。2014年2月27日,习近平在中央网络安全和信息化领导小组第一次会议上指出:网络安全和信息化是一体之两翼、驱动之双轮,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。、
2016年4月25日,习近平在全国网络安全和信息化工作会议上进一步指出:网络安全是动态的而不是静态的,开放的而不是封闭的,相对的而不是绝对的,因此一定避免不计成本追求绝对安全,不仅会背上沉重负担,甚至可能顾此失彼。
数据安全和发展并重给数据治理提出了更高的要求,而由于网络信息技术是自创生的系统,因此,从根本上,数据安全问题依然要通过数据技术的发展来化解。这也可以理解,为什么英国2011年《网络安全战略》特别提出:化威胁为机遇,通过培育网络安全商业机会,推动技术进步,促进英国在网络空间树立网络安全竞争优势。
中国《国家网络空间安全战略》与之殊路同归。基于机遇大于挑战的形势把握,该战略把发展放到了和安全同等的位置上,并将 “贯彻创新、协调、绿色、开放、共享的发展理念”作为首要战略目标。
此外,在技术之外,数据安全和发展的并重还需要法律的完善和规制,而其关键还在于数据、信息以及隐私之内在法律上的厘清。
遗憾的是,现行法律并没有对隐私、个人信息与数据的内涵做出明确界。我国《民法总则》第110条是关于隐私权是受法律保护的权利的宣示条款,但对隐私的内涵没有具体规定。《民法总则》第111条是关于个人信息受法律保护的宣示条款,但没有从正面确定个人信息的具体内容,而仅仅是从相对方负有的义务作出了简略的规定。
在关于个人信息和数据的其他法律文件中,其内涵同样尚不明确。《网络安全法》第76条第5款规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
之后的各部门规章、行政规范性文件对个人信息各行从各行业角度作出规范,实际上均是对《网络安全法》中个人信息界定的延续。
《民法典》(草案)同样对三者区分不明,其中第1032条第2款规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”第1034条第2款和第3款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息, 包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。个人信息中的私密信息, 同时适用隐私权保护的有关规定。”
显然,个人信息与隐私在客体范围方面仍然是混淆的。但伴随互联网络时代的到来,企业对数据(信息)利用的迫切需要对三者做出相对明确的法律理解,否则,便难以清晰信息商业利用与个人权益保护的界限,阻碍互联网社会的正常发展。
但不论是国际范围内的数字博弈还是各国家内的数字发展,都应秉承数据安全与发展平衡的理念,以“安全是发展的保障,发展是安全的目的”为数据的进路,通过政府、企业、公众、社会组织共同参与,共筑数据安全防线。
