2022年2月23日,欧盟委员会公布《数据法案》(Data Act)草案全文。草案就数据处理明确提出,要建立开放互操作性规范和数据处理服务互操作性的欧洲标准,促进无缝的多供应商云环境形成,推动构建统一的数据处理服务市场。
在互联网普及前,数据处理主要依靠人工手段,规模小、传播速度慢。随着网络的发展,数据总量大幅增加,对人类处理数据的能力提出了更高的要求。
知名调研公司IDC指出,全球数据圈正在经历急剧扩张,2025年预计将增加至175ZB。其中,中国数据圈预计增加至48.6ZB,独占全球份额的27.8%,将成为世界上数据容量最大的区域。面对如此庞大的数据圈,如何合理有效地处理数据,是挖掘数据价值的关键。
欧美国家:从“知情同意”到“与场景一致”
欧盟坚持统一立法的模式,不断完善以知情同意为核心、以多国共建为抓手的数据治理体系。《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》首次提出了知情同意原则,将“数据主体已明确表示同意”作为数据处理的合法条件之一。《通用数据保护条例》更明确地界定了数据主体同意的标准,即“数据主体依照其意愿自由作出的特定的、知情的指示。通过该等指示,数据主体表明其同意处理与其相关的个人数据”。在统一立法的基础上,欧盟设置了统一的监督机构——欧洲数据保护委员会,其成员国也各自设立数据管理机构,如英国设置了信息专员办公室,荷兰、西班牙均设立数据保护局,对数据处理行为进行监督。欧盟最新出台的《数据法案》再次提出,各成员国可以新建机构或依靠现有机构,推进数据保护法的实施,通过调动成员国力量,打造多国共同参与的治理格局。
随着数据总量增加和数据处理手段的多元化,知情同意原则在实践中困难重重,数据处理机构发布的隐私政策十分冗长,数据主体往往难以完全阅读,仅为了获取服务而盲目选择同意,该原则多流于形式。为了解决这一问题,美国在《消费者隐私权利法案(草案)》中率先提出了一种新的规制路径——以“场景一致”为原则,辅以风险控制手段。此项原则主张结合不同的数据处理场景,以数据主体在相应场景中的隐私期待和风险接受度作为标准,判断数据处理行为是否合法,如该数据处理行为被判定为不合法,数据处理者需要进行风险评估,并且为用户提供降低风险的手段。该草案搭建起以场景为基础、增强用户控制为补充、风险评估为手段、风险控制为目标的架构,打破了知情同意的桎梏,为提高数据处理效率、增进数据流通提供了更灵活的选择。
我国法律规制现状:以安全保障为中心
自2012年起,全国人大常委会出台的多项保护指南和保护规定中都涉及对数据处理的规制,但是都侧重于指导和建议,不具有强制力。随着实践发展,原有的文件不能满足治理需要。由此,《网络安全法》《数据安全法》《个人信息保护法》应运而生。
2017年6月,《网络安全法》正式实施,首次将数据处理主体区分为“网络运营者”“网络产品或者服务提供者”“关键信息基础设施的运营者”等类别;规定了数据处理者负有不得泄露、篡改、毁损数据,禁止非法出售数据等义务及违反义务的惩罚性措施;赋予了个人在发现信息被违规违约处理或错误处理时所享有的删除权和更正权。
从2021年9月起施行的《数据安全法》是我国在数据安全领域的首部基础性立法,界定了数据处理的内涵,将数据的收集、存储、使用、加工、传输、提供、公开等环节统一纳入数据处理范畴;要求数据处理主体在遵守法律法规、符合伦理道德的前提下开展数据处理活动,特别提出了国家机关在对一般数据和政务数据进行处理时的职权范围和监督义务;建立了风险评估制度、行政许可准入制度、安全审查制度等,为规制数据处理搭建起制度体系。
从2021年11月起实施的《个人信息保护法》提出了处理个人信息的合法、正当、必要、诚信、公开、透明原则,再次强调了信息处理者的义务和信息主体的权利。较为突出的是,本法特别提出了对敏感个人信息处理时的严格保护原则,细化了政府有关部门在个人信息保护中的职责,增加了违法记录记入信用档案并予以公示的处罚手段。
总体而言,我国法律制度始终以安全保障为中心,重视数据的安全性,多通过为数据处理者设定义务、为数据主体设定权利的方式实现双方的平衡。但要想实现数据保护与自由流通的双赢,还应当关注数据处理者之间的关系,进一步明晰权责,做好监督管理,激发市场活力。
下一步法律规制完善方向
首先,要坚持经济效益与社会效益相平衡的指导思想。在挖掘数据中所蕴含商业价值的同时,要意识到数据本身所具有的较强的人身依附性,不能将其作为公共资源进行随意开发,必须为数据处理划定边界,在合理范畴内开发数据,减小经济效益与社会伦理之间的冲突。
其次,明确企业责任与权益边界,规范数据处理者的权利义务关系。一方面要保障企业参与数据处理的权利,禁止数据垄断等不正当竞争行为,保持市场开放,打通数字壁垒。另一方面要求数据处理者承担相应义务,建立内部的管控制度,限制数据处理行为的目的、方式、手段,依法合规开展数据处理活动。
再次,要颁布切实可行的数据处理实施细则。在《数据安全法》设定的统一标准下,出台强制性技术法规,对采集数据的程序、处理数据的算法等具体操作行为制定明确标准,并对违反标准的处理行为所应承担的法律责任做详细规定,让顶层设计最终能够落实到实践管理当中。
最后,要引导社会力量对数据处理进行监管。借鉴美国模式,鼓励企业联合成立数据管理协会等自律组织,制定符合法律要求的行业标准,激发行业活力,引导行业自律,使其成为国家监管的有益补充。(王慧 董宏伟)
