数字经济时代,我们需要怎样的法律秩序
近期支付通Qpos官网注意到:2019年12月20日,在全国人大常委会法工委举行的第三次记者会上,新闻发言人、全国人大常委会法制工作委员会立法规划室主任岳仲明介绍,2020年的立法工作计划已由十三届全国人大常委会第四十四次委员长会议原则通过,备受关注的《个人信息保护法》和《数据安全法》即将制定。更令人欣喜的是,根据《中国互联网发展报告(2019)》,2018年中国数字经济规模达313万亿元,占国内生产总值的比重达34.8%,数字经济已经成为中国经济增长的新引擎。
然而,法学界对此缺乏足够的系统性和跨学科的理论储备,难以为中国数据立法提供清晰而明确的法律地图,更难以为中国数字经济的发展提供强有力的法律支撑。由此,以构建数据法律新秩序为己任的数据法学的研究显得尤为重要和紧迫,而这正是笔者写作《数据法学》一书的初心,期待能在这个领域做出些许贡献。
2016年5月,学者易中天在北大作了一场有关文明的演讲,题目为《文明的意志与中华的位置》。在演讲中,他谈到一个真实的故事:
民国初年,川陕大道是商旅繁忙的重要交通枢纽,但当时陷入了无政府状态,广汉路段盗匪四起,杀人越货,商旅们被吓得只好绕道而行,于是土匪们也就没得抢了,也自然没有了经济收入。迫于生计,互不来往的各股土匪召开了“经济工作联席会议”,会议决定组成土匪联盟,分段承包川陕大道广汉段。收了过路费的土匪要给商旅开一张收据,凭这张收据,商旅可以在广汉路段畅行无阻。其他土匪第一不得重复收费,第二不得改变收费价格,第三必须提供保护,第四还有投诉机制,即如果哪个土匪做不到以上三点,商旅可以向土匪经济工作联席会议投诉,然后由其他土匪共同来整治这个不守规矩的土匪。这对商旅和土匪来说都是一个共赢的方案,川陕公路很快恢复了往日的繁荣。
易中天总结说,土匪的这种变化,就是人类从野蛮到文明过渡的缩影。在数据领域,也正在发生同样的故事:数据黑产、数据泄露及对个人数据的滥用,这叫野蛮;对个人数据权利的充分尊重和数据的分级分类保护,以及数据合法有序的流动、共享、交易,这叫文明。
从这个意义上讲,数据法是探索如何建构数据法律新秩序的新学问,是帮助数据领域实现从野蛮走向文明的新地图。
具体而言,数据法是规范数据领域活动,以数据隐私和数据安全等问题为主要研究对象,具体调整数据关系的法律规范的总称。
理论上,数据法需要重点解决如下三个核心议题:数据权利保护与数据流动的平衡;数据确权和利益分配机制的实现;国际数据秩序和竞争规则的确立。
核心议题1:数据权利保护与数据流动的平衡
实现数据权利保护与数据流动的平衡是数据法学的首要核心议题。欧盟《通用数据保护条例》(GDPR)的主要立法目的,也正是解决上述两者的平衡问题。GDPR第1条第1款开宗明义地指出,“本条例旨在确立个人数据处理中的自然人保护和数据自由流通的规范”;紧接着,GDPR第1条第2款强调,“本条例旨在保护自然人的基本权利和自由,尤其是保护个人的数据权利”;而GDPR第1条第3款则确认了平衡的重要性,即“个人数据在欧盟境内的自由流通不得因为在个人数据处理过程中保护自然人而被限制或禁止”。
在我看来,数据流动和利用的前提和基础是个人数据权利的保护。虽然我国《民法典》第一编“总则”第五章“民事权利”提到了“数据”,第四编“人格权”第六章专门规定了隐私权和个人信息保护,但只是把“数据”和“个人信息”看作“民事权益”,“是否要上升为权利”有待于法律的另行规定。那么,我们为什么要保护个人的数据权利呢?主要基于以下几个理由:
1.数据黑市、数据泄露及数据滥用等侵犯个人数据权利的情况严重
中国消费者协会于2018年发布的《App个人信息泄露情况调查报告》显示,遇到过个人信息泄露情况的人数占比为852%。侵犯公民个人信息已经逐渐形成了“源头—中间商—非法使用”的庞大地下黑色产业链。除了非法数据利用者,企业“内鬼”、数据中间商也在这条黑色产业链中扮演着重要角色。相较于传统个人身份识别类静态个人信息,个人活动类动态个人信息的比重开始增加;获取手段也从诱骗、脱库向非法爬取数据等方式转变。
在过去的两年中,数据隐私和数据安全问题频发。支付宝年度账单默认勾选《芝麻服务协议》被质疑侵犯隐私权;百度涉嫌侵害消费者个人信息安全被江苏省消保委提起公益诉讼;大规模数据泄露事件引发了全民的安全担忧,包括华住酒店集团近5亿条用户信息被泄露,12306网站470余万条用户数据在网络上被贩卖。
与个人信息相关的犯罪也屡见不鲜,如上市公司数据堂涉嫌侵犯公民个人信息罪被查,简历大数据公司巧达科技非法交易个人信息达数亿条,猎头搜涉嫌非法交换就业者数据,魔蝎科技、天翼征信涉嫌利用网络爬虫技术侵犯个人隐私,拉卡拉征信涉嫌非法缓存公民个人信息,这些都引起社会的广泛关注。
另外,算法涉及的伦理问题也开始显现,“同房不同价”等大数据“杀熟”让相关企业备受争议,大数据让“价格歧视”具有了现实可能性;“精准营销”更是令人胆战心惊,明明只是在电商平台上搜索过某商品,新闻资讯类App上却出现了相同商品的广告。
2.为数据权利而斗争的需要
二战期间,美国总统罗斯福在发表国情咨文演讲时提出“免于匮乏的自由”和“免于恐惧的自由”,其关键点可以归纳为两个字“安全”,并且这种“安全”被视为实现基本权利和自由的条件和保证。这个原理在数据法领域也同样适用。
自由放任的数据市场只是神话,无法形成自生自发的自然秩序。在两极分化的数据世界里,能力受限的数据主体根本无力对抗作为数据垄断者的数据控制者和处理者。只有通过国家提供的法律框架,不断赋予数据主体各种数据权利,数据法律秩序才能实现。如果没有国家对数据权利的保障,数据黑市的流行将不可避免;如果没有国家通过法律提供一个“以数据权利为基础的安全环境”,数据主体将因缺乏控制数据的能力,不可能获得真正的数据自由。
因此,在个人数据广受威胁和侵害的人工智能时代,作为数据主体的我们非常有必要为数据权利而斗争。正如耶林所说的,“世界上一切权利都是经过斗争而得来的”。数据权利也是如此,斗争也正是数据法律的生命。为数据权利而斗争也是数据主体的义务,主张数据权利是道德上自我保护的义务,完全放弃数据权利,是数据世界的道德自杀。
同样,为数据权利而斗争对国家的数字经济发展具有重要意义,“只有每个人都拥有健全有力的法感,国家才会有丰富的力量源泉,才会在国内外具有最可靠的保障。法感就如同整棵大树的根,如果树根发挥不了作用,大树就会在岩石与沙砾中枯死,所有其他一切都会成为泡影。一旦暴风雨来临,整棵大树将会被连根拔起。”在数据法领域,数字经济就是具有“显而易见的优点”的“树干”和“数冠”,而数据权利则是“深藏土地不被人看见却发挥重要作用”的“树根”。
3.数据权利保护与数据流动从长远看是正相关关系
中国社科院法学研究所研究员周汉华教授把个人信息保护观念演变分成了四个阶段:传统的阴私观念、民法上的隐私观念、公法上的个人信息保护观念以及大数据时代的个人数据观念。
他认为,与私法上的隐私相比,公法上的个人信息的概念更为中性,范围更大,更多的是要靠政府监管和行政法的保护,强调的是多阶段、全过程的保护。大数据时代的个人数据观念同样重视信息安全与个人数据的保护,但更突出强调大数据开发、开放、利用与共享,要突出竞争优势。从这个角度看,数据权利保护与数据流动、经济发展从本质上说并不冲突,从长远看应当是正相关关系。
因此,我国数据立法面临的并不是一个“选边站”的问题:选择“个人权利保护”,抑或选择“数据流动和数字经济的发展”。其实我们面临的是一个“平衡”的问题,即在同时选择两者的基础上,决定指针应当稍稍偏向于哪一方,但绝对不能出现天平失衡的问题。
核心议题2:数据确权和利益分配机制的实现
根据得到App《邵恒头条》节目的介绍,郭毅可教授曾讲过这样一个故事:一家著名的制药公司曾经以上百万英镑的巨资,购买了一个罕见的癌症患者的数据。这家公司之所以愿意花这么多钱,是因为该患者患有6种癌症,他的数据在世界上几乎有独一无二的价值。
在实践中,如何实现患者的健康医疗数据可以像房产、股票一样交易呢?这涉及的是数据市场化和数据资产化等问题。而实现数据市场化和数据资产化的前提条件,是保证数据的流动性;实现数据流动,则需要建构完善的数据法律框架和数据新秩序,首要的正是提供数据确权和利益分配机制。这其实是整个数据产业正在面临的世纪难题:数据到底属于谁?数据带来的收益又应当如何分配?这都亟待数据法从理论上予以解决。
1.政策储备
对于数据确权和利益分配机制,我国已开始进行政策和法律的储备,目前重点聚焦在数据要素市场化。2019年,党的十九届四中全会最早提出将数据作为市场化生产要素之一,数据首次作为生产要素纳入“以按劳分配为主体”的分配制度。2020年,中共中央、国务院印发的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》进一步指明了“数据”市场化配置体制机制改革的方向,数据正式被认为是与土地、劳动力、资本、技术等传统要素并列的市场化配置改革的五大基础生产要素之一,强调了加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。理论上,数据安全保护需要由法律设立数据隐私保护制度和安全审查制度,而数据的开放共享则重在建构数据确权和利益分配机制。
另外,这次从中央到地方实现联动。2020年4月7日,国家发展改革委、中央网信办联合发布了《关于推进“上云用数赋智”行动 培育新经济发展实施方案》;在地方政府层面,4月13日,上海市经信委发布了《上海市促进在线新经济发展行动方案(2020-2022年)》。
2.已有实践
我国数据交易的实践已经先行试错了。从2015年建立的贵阳大数据交易所开始,到武汉东湖大数据交易中心和上海数据交易中心,再到重庆、杭州、哈尔滨等地,各类大数据交易机构不断涌现。从企业类型来看,这些大数据交易机构既有政府许可而由国有资本主导的企业,也有政府许可的国有控股混合所有制企业,还有纯民营资本的创业公司;从交易模式来看,既有类似于股票交易中心的数据掮客模式(典型的是上海数据交易中心,自身不接触数据,而只是从交易数据的上下家收取佣金),还有增值式交易模式(典型的是贵阳大数据交易所,先从上家买入数据,再将数据卖给不同的下家,赚取差价)。
同时,政府数据开放的实践也在进行中。根据复旦大学数字与移动治理实验室出品的《2019年中国地方政府数据开放报告》,截至2019年上半年,我国已有82个省级、副省级和地级政府上线了数据开放平台,与2018年报告同期相比,新增了36个地方平台。其中,4193%的省级行政区、6667%的副省级城市和1855%的地级城市已推出了数据开放平台,政府数据开放平台已逐渐成为一个地方数字政府建设的标配。另外,全国开放数据集总量也从2017年的8398个迅速增长到2019年的62801个。开放数据集的容量与2018年报告同期相比,呈现出爆发式增长,一年之内增幅近20倍。
总体而言,由于面临法律上的巨大困境,我国设立的数十家数据交易中心大多还处于起步阶段,政府数据开放也存在法律依据上的缺失,数据要素市场更是远未形成。
3.现实困境
目前,数据要素市场的发展存在法律上的双重困境。
首先,以同意机制为基础的“数据自治”面临着很大的合法性危机和现实挑战。《网络安全法》第42条规定,网络运营者未经被收集者同意,不得向他人提供个人信息,但经过处理无法识别特定个人且不能复原的除外。由此,同意和匿名化是数据共享和数据交易的两大合法性基础。
但随着5G时代的来临,我们发现无论是取得用户同意还是数据匿名化都越来越难以实现:一方面,几乎所有的家庭设备都会不断收集数据,面对海量的大数据,企业如何合法合理地获得用户的同意将是很大的难题,这不仅需要企业付出极高的合规成本,甚至在技术上也是难以实现的;另一方面,数据匿名化是一种小数据时代的策略,大数据时代的不同数据库之间的“撞库”,很容易再次识别出特定个人,从而使得“经过处理无法识别特定个人且不能复原”的合规要求难以实现。
那么,“数据自治”真的没有价值吗?是否应当被“事后责任追究机制”所取代?我的答案是否定的。“数据自治”是保证每个人在“数据世界”实现尊严、自由、平等的首要条件和法律底线,是实现“数据治理”的前提和基础。现状不是否定“同意”机制的理由,相反,我们应当创造实现“数据自治”的“法治环境”和“技术支撑”。
其次,“数据主体客体化”现象严重。违法的数据黑产盛行,合法的数据交易中心面临生存危机;数据爬虫缺乏法律边界和伦理底线;同意机制缺乏实效性,并成为数据控制者滥用数据的借口。事实上,“数据主体客体化”现象普遍存在,“数据自由主义”停留在口号阶段,数据主体既无财产权,也无人格权。
而改变这种现状的当务之急是建构数据确权和利益分配机制,具体可以从基于“勤勉奖励”的所有权理论或使用权理论、商业言论自由理论、知识产权理论以及基于选择权的数据自治理论去寻求突破路径。我支持的是数据自治理论。
在我看来,选择权等数据权利是数字文明社会不可或缺的构成要素,具体阐述如下:数据自治的例外只能由宪法和法律明文规定;数据权利范围应当通过“概括+列举”方式实现;数据自治权的实现有赖于完备的配套保护措施的建立;必须改变“要么坐牢,要么没事”的尴尬局面,从严解释和谦抑适用刑法涉及个人信息犯罪的条款,创新民事诉讼中的“集体”诉讼机制,强化行政处罚,优化行政和解协议等。
4.可能路径
根据2018年欧盟发布的《关于欧洲企业间数据共享的研究》,未来的数据共享和交易大致有五种形式:
(1)数据货币化,即公司与公司之间直接交易;
(2)数据交易市场,如前文谈到的上海和贵阳的大数据交易中心;
(3)工业数据平台,即企业联盟之间小范围数据共享;
(4)技术推动者,即出现专门做数据交易平台的企业,为数据交易提供技术支持;
(5)开放数据策略,如政府开放数据平台。
当前我国应加快培育数据要素市场。按照得到App《邵恒头条》节目提出的观点,区块链作为一种基本生产工具,有可能帮我们更好地解决数据确权和利益分配机制等问题。区块链最主要的优势是实现数据的完整性,通过分布式账本记录数据的来源路径并且使数据无法篡改,实现数据权利清晰且可交易;另外,通过区块链技术实现查看信息和验证信息分离,把数据还给数据主体,然后让数据主体自主决定是否授权给数据处理者或者数据控制者。由于区块链的加密性,只有数据主体本人和付费被授权的数据控制者和处理者才能查看和处理个人数据。
总之,如果区块链技术真能帮我们解决数据确权和利益分配机制等问题,数据资产将大量形成,而以数据共享和数据交易为基础的数据要素市场将真正出现。
核心议题3:国际数据秩序和竞争规则的确立
由于美国的国家利益至上主义与政治标签化,再加上新冠疫情的全球肆虐,国际秩序开始陷入地缘政治衰退,随之而来的“去全球化”甚嚣尘上。数据领域也同样如此,世界正在形成三个独立的数据治理“王国”:如果说欧盟建构的是以“基本权利”为基础的数据治理模式,美国建构的是“自由式市场+强监管”的数据治理模式,那么中国试图建构的则是“安全风险防范为主兼顾数字经济发展”的模式。事实上,中国、美国和欧盟的三种数据治理模式表面上看互不兼容,但未来却很有可能殊途同归。
以G20大阪峰会为例,各国领导人基于自身国家利益对“数据跨境”表达了截然不同的态度:中国凭借近年来互联网经济的强势崛起,主张在完善数据治理框架的前提下实现数据市场的开放和国际合作;美国、日本等发达国家希望依靠数字经济的优势,主张数据跨境的自由流通;而印度、巴西等发展中国家则以“能力短板”为由直接拒绝签约,主张先发展后谈数据跨境流动。具体阐述如下:
中国主张,要营造公平、公正、非歧视的市场环境,不能关起门来搞发展,更不能人为干扰市场;要共同完善数据治理规则,确保数据的安全有序利用;作为数字经济大国,中国愿积极参与国际合作,保持市场开放,实现互利共赢。
美国主张,数字经济是经济增长的重要推动力,美国在数字经济上的成功是基于数据自由流动、强大的隐私和知识产权保护、获得资本和创新。期待推进一个开放、公平、以市场为基础的数字经济,为数据的自由流动提供支持,为所有国家带来新的繁荣。
日本主张,建立允许数据跨境自由流动的“数据流通圈”。要在更好地保护个人信息、知识产权与网络安全的基础上,推动全球数据的自由流通并制定可靠的规则。
印度则主张,数据跨国间的分隔与流通“严重阻碍发展中国家从数据贸易中获利”,发展中国家需要时间来训练、建设数据基础设施,从而克服能力上的短板。由此,印度以需要加强数据本地存储的理由拒绝签字,并认为数据是一种新形式的财富,相关讨论与谈判应该在世界贸易组织(WTO)框架内进行。
面对若隐若现的“反数据全球化”趋势与潜在的数据国际争端,如何确定国际数据秩序和竞争规则成了当务之急。根据得到App《邵恒头条》节目的报道,欧亚集团创始人伊恩·布雷默(Ian Bremmer)的解决方案是:在数据领域,建立与WTO类似的世界数据组织(WDO)。WDO意在鼓励数据流通和数据开放,支持各国通过这个组织来协商未来数据收集、处理、使用、共享及交易的国际标准,促进各国在数据领域的分工协作。另外,WDO甚至可以在完善数据争端制度的基础上设立数据争端解决机构,如设立专家组和常设上诉机构,具体负责解决国与国之间的数据争端。
对于我国而言,国家在数据领域的建构能力是现代化国家的最基础因素,也是构建数据法律新秩序的核心力量,它具体表现为数据主权,即国家对其管辖范围内产生的所有数据的收集、存储、使用、处理、共享及交易等活动具有最高的决定权,以及国家在数据跨境流动中具有独立自主权。但与此同时,我国的数据立法显然也不能闭起门来搞一个与世隔绝的“数据乌托邦”,而是要实现与欧盟GDPR和美国《加州消费者隐私法案》(CCPA)等欧美主流数据法律模式的对接和融合,为我国未来深度参与直至主导国际数据规则和标准的制定提供坚实的法律基础。
总而言之,如何平衡“个人数据保护”与“数据价值挖掘”的关系,目前并没有一个被各国普遍接受的解决方案。但不管怎么说,针对个人数据野蛮掘金的时代在全球范围内已经结束,该是到了建构国际数据新秩序的时候了,让我们一起为数据权利而斗争!
(作者何渊为上海交通大学数据法律研究中心执行主任,著有《数据法学》、《大数据战争》等。)(本文来自澎湃新闻,更多原创资讯请下载“澎湃新闻”APP)支付通Qpos,一款集合刷卡,支付,二维码支付和云闪付的多功能智能型手机POS机,现面向全国招收代理加盟商!5年手机POS机稳定运作经验,数十万用户稳定安全使用的体验,绝对是您不错的选择!欢迎加盟支付通Qpos!
