作者:宁宣凤,吴涵,赵泱地
大数据是近年来的热门话题,大数据产业也被各国政府列为重要的经济增长点。比如美国政府就曾先后发布《大数据研究和发展倡议》和2014年全球"大数据"白皮书的研究报告《大数据:抓住机遇、守护价值》,鼓励和支持大数据产业。2015年9月,我国国务院也发布了《关于印发促进大数据发展行动纲要的通知》,首次在国家层面对大数据发展进行顶层设计,旨在激活中国大数据的资产价值,大力推动大数据发展和应用。此外,2016年发布的《国民经济和社会发展第十三个五年规划纲要》提出,拓展网络经济空间,推进数据资源开放共享,实施国家大数据战略。
目前数据已经成为战略性资源,可以预见的是我国大数据产业也将迎来快速发展的黄金时期。据贵阳大数据交易所数据显示,预计到2020年,中国大数据产业市场规模将由2014年的767亿元扩大至8228.81亿元。
在大数据产业蓬勃发展的今天,尽管数据的创新应用将为政府治理、公共服务和产业发展等多个方面带来巨大潜能,但大数据基于自身特性所带来的特殊法律风险不容忽视,需要我们深入了解并予以防范。由于数据本身权利归属的不确定性,且大数据产业的基础在于多源数据之间关联和因果关系的分析和推断,使得大数据在采集、存储、分析、流通和商用的规范等方面对很多传统法律理念提出了挑战。
欧美大数据合规的发展
欧美等国家已经认识到大数据时代合规的风险,通过各类立法或司法实践尝试为大数据产业的各个环节提供指引,寻求在个人信息保护、数据安全、跨境数据传输等法律方面和大数据产业经济发展之间的平衡。
1. 个人信息保护
以个人信息保护为例,美国个人信息保护立法体系主要由1974年通过的《隐私法》以及一些特殊领域的一系列专门法构成。由于立法较早,现有法律法规对于规制大数据时代下新型的信息交换模式和信息来源显得有些滞后,美国通过司法实践和指导性文件的方式予以规范、指引。
比如,1971年制定的《公平信用报告法》(Fair Credit Reporting Act)规范的对象是提供消费者信用调查服务的机构 (Consumer Reporting Agencies 或 CRAs),一般仅包括信用局、雇佣背景审查公司和其他信用调查机构。 然而,大数据时代下出现了新型的信息来源,即"数据掮客"(Data Broker)。和传统机构严格按照传统信息渠道调查不同,数据掮客将一些包括社交网络平台信息在内的非传统型数据汇编,并通过大数据分析的方式从各类信息中寻找关联性并最终较为完整地建立个人档案。由于数据掮客提供的个人档案内容完整且准确,已经获得了市场的青睐。然而如果数据掮客不属于消费者信用调查机构,则《公平信用报告法》无法适用,个人信息权利无法得到保障。因此,美国法院通过判例的方式确认"数据掮客"受到《公平信用报告法》规制。 在美国诉Spokeo公司案中,联邦贸易委员会认为在线掮客Spokeo通过收集线上和线下的多样数据并分析得出的个人档案,且被用于雇佣调查,因此应该适用《公平信用法》。最终Spokeo和联邦贸易委员会达成了和解[1]。而在美国诉Instant Checkmate案件中,即便Instant Checkmate和Spokeo一样在网站上声明其不属于消费者信用调查机构,Instant Checkmate不得不和联邦委员会议达成和解并接受处罚[2]。
此外,个人信息保护在大数据时代的一大难点在于,如果分析的数据种类和数据量足够,任何信息都可以被认为是与特定个人相联系的信息,个人信息和非个人信息在大数据的时代背景下边界愈发模糊。美国联邦贸易委员会也意识到个人信息保护中的个人信息认定的困难,在2012年发布了《在一个充满快速变化的时代,保护消费者隐私——2012年关于隐私权的建议》 ("《建议》")。《建议》中将保护的消费者个人信息范围扩大到自然人以外的电脑、手机等设备。这是因为从当前的网络环境和数据分析能力下,关联的设备和使用设备的个人总是能被对应联系。此外,联邦贸易委员会还说明了个人信息脱敏的合理措施,具体包括匿名化处理、统计抽样、合成数据、或干扰数据等方式。
欧盟在个人信息保护立法上尽管比美国稍晚,在1981年才签署了第108号条约《有关个人数据自动化处理之个人保护条约》,但近期公布的《欧盟数据保护通用条例》(General Data Protection Regulation, "《条例》")创新性的增设了个人信息权利。 《条例》第20条充分考虑到大数据时代数据转移的必要性,规定了"个人数据可携权"使得用户可以无障碍地将其个人数据从一个信息服务提供者处转移至另一个信息服务提供者。《条例》第17条确认了"个人数据遗忘权":当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时,用户有权要求删除数据;数据控制者不仅要删除自己所控制的数据,还要求数据控制者负责对其公开传播的数据,要通知其他第三方停止利用并删除。《条例》增设的权利"不仅极大增强了数据主体对于个人数据的控制能力,也对企业如何保障实现数据主体的权利提出了具体的要求,对企业的制度建设、措施配置、业务流程乃至IT系统设计产生直接影响"。[3]
2. 数据安全
在数据安全方面,欧盟《条例》的出台被认为是数字时代"去除障碍,释放机遇"的重大举措。如上文所述,《条例》在欧盟1995年《数据保护指令》的基础上扩大了数据主体的权利,同时也强化了数据控制者的义务,设置了数据保护官(DPO)、数据保护影响评估(DPIA)等机制,实施数据处理者严格问责机制,并就数据传输制定了更加完善的规则。
例如,《条例》规定对于设立地在欧盟的机构来说,符合法定情形的情况下,机构必须设立DPO。法定情形包括政府部门及公共机构作为数据控制者的,机构核心业务涉及日常地以及系统性地监控数据主体、处理特殊类型的个人数据等。DPO必须具备数据保护专业知识和技能,有能力且能独立地履行职责。《条例》还规定对于高风险的数据处理活动,要事先进行数据保护影响评估。《条例》虽然没有对何为"高风险"进行界定,但明确在以下情形下,应当事前评估:对个人特征的系统性评价(该评价会对数据主体产生法律上的影响)、对大量敏感数据的处理以及对公共领域大规模的系统性监控[4]。
此外,《条例》的另一亮点在于数据泄露通知制度的设置。《条例》要求控制者应当在24小时内向监管机构报告个人数据的泄露情况。如果通知没有在24小时内完成,则应该解释延误原因。如果数据泄露可能会给数据主体的隐私带来消极的影响,例如身体伤害等,相关的控制者必须毫不延误的通知数据主体,以便个人及时采取措施。通知应说明个人数据违反的性质,并且提供降低风险的建议。在数据分析与数据挖掘技术日趋成熟的大数据时代,黑客和恐怖分子窃取数据的机会增加,手段更加高明和不易察觉,数据泄露产生的诸如身份盗窃、欺诈行为、数据滥用或者声誉受损的不利影响会扩大化,规定数据泄露的通知义务,可以提醒数据被泄露的个人采取防范措施,尽可能的降低风险和伤害。
类似地,美国联邦通信委员会于2016年12月2日公布的《宽带和其它电信服务中用户隐私保护规则》(Protecting the Privacy of Customers of Broadband and Other Telecommunications Services,"FCC新规")也对相关运营商设定了信息泄露情况下的通知义务。具体而言,除非运营商能合理地确定数据泄露不会对受影响的客户造成合理的危害风险,在发生信息数据泄露的情况下应及时通知受影响的客户、FCC、联邦调查局和特勤局。针对数据泄露的不同严重程度,FCC新规从通知对象和通知时间等方面对运营商提出了不同要求。[5]
3. 其他
除个人信息保护和数据安全以外,欧美还对大数据应用的多个环节的其他问题进行了广泛的讨论,其中包括数据所有权归属、数据质量、数据标准化、数据交易追责等问题。由于大数据已经作为核心经济资产被社会认可,考虑到大数据的经济价值以及可能带来的竞争优势,欧盟、美国等司法辖区近年来已开始关注大数据可能产生的垄断问题。美国、欧盟、西班牙、德国、法国等各地的竞争执法机构先后发布了大数据和反垄断的相关研究报告,结合实践分析大数据对于反垄断执法的影响。美国反垄断主管机关已经开始在审查企业合并时考虑大数据对市场进入的影响。在2014年的Bazaarvoice / Power-Reviews合并案中,美国司法部经审查最终认定在"评级及评论平台"市场上数据本身会成为一种市场进入障碍。即便在非数据市场(non-digital market)上,法国和欧盟也在不同的案件中认定数据由于其稀缺性有可能导致进入障碍或者使得企业拥有数据优势(data advantage)[6]。
中国大数据合规的挑战和机遇
1. 挑战
尽管中国关于信息数据的立法不多,但对于信息和数据合规问题一直很重视。 在个人信息保护的私法领域,虽然我国民法并没有确认"个人信息权利",但早在2010年颁布的《最高人民法院关于审理旅游纠纷案件适用法律若干问题的规定》就首次提及"个人信息"概念[7]。全国人大于2012年发布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》正式将"能够识别公民个人身份和涉及公民个人隐私的电子信息"纳入保护范围。 [8] 2016年11月7日审议通过的《中华人民共和国网络安全法》("《网安法》")则对个人信息做了不完全列举并首次从立法层面对个人信息进行了界定。
在大数据安全方面,《网安法》用整个第三章共19条的篇幅,为包括网络服务提供者在内的网络运营者规定了一系列保护"网络运行安全"方面的要求和义务。其中的第21条明确规定,国家实行"网络安全等级保护制度",并要求网络运营者按照这一制度的要求履行其网络运行安全保护义务。[9]《网安法》还对于"关键信息基础设施"要在网络安全等级保护制度的基础上实行重点保护,明确了关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家安全审查。[10]
然而对比欧美国家大数据合规的立法和实践,目前中国大数据合规还面临着缺乏具有操作性的指南的问题。比如我国对于个人信息的界定仍然沿用了欧盟的传统路径,即以"可识别性"为核心标准。然而,包括《网安法》在内的法律法规并未对怎样的信息或数据会被认定为具有"个人可识别性"进行详细界定,"单独或与其他信息结合识别个人身份"的标准仍然抽象、缺乏操作性。个人信息认定如果没有进一步的指引,将导致个人信息与非个人信息的边界模糊化,个人信息的潜在范围无限扩张,法律适用面临极大的不确定性。另一方面,个人信息脱敏或匿名的应用日益广泛,企业将面临着经脱敏的信息也很难排除被重新识别可能性的棘手困境。
此外,与主要司法辖区目前强调数据本地存储和限制数据跨国分享的立法和实践一致,《网安法》明确规定个人信息必须存储在我国境内,即"关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据"必须存储在我国境内,并且从原则上规定了该等信息不得向境外传输。[11] 然而, "关键信息基础设施认定标准",以及"数据出境评估方法"目前仍未出台,给《网安法》的执法和企业合规带来不确定性。
最后,目前我国对于大数据的立法和实践还停留在建立框架阶段,对于其他一些重点问题,比如数据交易各个环节的合规问题以及大数据可能引发的垄断风险等还未引起足够关注。
2. 机遇
挑战历来与机遇并存。在中国大数据立法和执法缺少实施细则的前提下,其他司法辖区的经验值得我们学习和借鉴。比如跨境数据传输,欧盟《条例》在欧盟1995年《数据保护指令》的基础上细化并完善了数据转移合法机制。欧盟《条例》原则上规定"欧盟公民的个人数据仅能转移到与欧盟同等保护水平的国家",同时又从充分性决定、有约束力的公司规则、标准合同条款等多方面详细规定了合法转移机制所涉及的规则,使其更具有操作性。其他比如"个人信息的认定标准"、"信息脱敏的合理措施"、"用户默示和明示的判断标准"等难点问题也可以参考其他司法辖区的实践。
在数据信息全球流通的背景下,企业学习和借鉴其他司法辖区的经验也有着一定的必要性。这是因为跨境运营企业一方面需要考虑不同司法辖区对跨境数据传输的不同规则及限制,同时也需要考虑其在某一司法辖区内与数据相关的活动是否有可能受到其他司法辖区规则的规制。
以欧盟条例为例,其适用范围从过去的属地主义扩展到了属人主义。具体而言,对于成立地在欧盟的机构而言,适用范围虽无变化,但强调了无论数据处理的活动是否发生在欧盟境内,都统一遵循条例的规定;对于成立地在欧盟以外的机构而言,则适用属人因素,只要其在提供产品或服务的过程中处理了欧盟境内个体的个人数据,将同样适用条例。换句话说,不论是传统行业,还是电子商务、社交网络等新兴领域,只要涉及向欧盟境内个人提供服务并处理个人数据,都将需要适用《条例》, 因此跨境经营企业在内部数据合规上必须参考《条例》的规定。 简而言之,在大数据行业发展的推动力下,跨国企业可能需要结合各个司法辖区的数据合规规则,建立相对统一、完整、标准的数据合规体系。
2017年已经到来,大数据产业将进入快速发展的黄金时期,大数据合规问题已经箭在弦上。我们将密切关注全球大数据合规的动态,和企业一起迎接大数据时代的机遇和挑战。
[1]United States v. Spokeo, Inc.,(C.D.Cal.June 12, 2012)
[2]United States v. Instant Checkmate, Inc., (S.D.Cal. filed Mar.24, 2014)
[3]《欧盟数据保护通用条例》详解,王融。
[4]见《欧盟数据保护通用条例》第35条。
[5]见《隔耳有"墙"——从美国FCC新规则谈个人信息保护新趋势》,金杜律师事务所,宁宣凤、吴涵、黎辉辉、王诗笋。
[6]见French Competition Authority, Decision No.13-D-20 of 17.12.2013,以及European Commission, "EDF/Dalkia en France", COMP/M.7137。
[7]司法解释第九条规定"旅游经营者、旅游辅助服务者泄露旅游者个人信息或者未经旅游者同意公开其个人信息,旅游者请求其承担相应责任的,人民法院应予支持"。
[8]"国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息;任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。"
[9]《网络安全法》来了!——企业应该知道的五件事,作者金杜律师事务所商务合规部蒋科、杨楠。
[10]《网络安全法》第35条。
[11]《网络安全法》第37条。