新趋势下数据保护与数据流通的思考

总第175期 谷海燕 新浪集团法务部 总经理 张喆 新浪集团法务部 经理发表,[专利]文章

数字经济时代,数据作为一种基础性战略资源与新型生产要素,对市场发展的重要性日益提高。数据的流通突破了传统的地域、行业等限制,这对数据保护、市场经济的良性竞争以及国家安全都提出了更高的建设要求。近年来,因数据引发的纠纷数不胜数,如脉脉超授权获取新浪微博用户信息、百度抓取大众点评用户评价、“美景”分享淘宝大数据分析产品、“HiQ”大量抓取领英(LinkedIn)用户的公开信息等等。这些案例无不说明,数据已成为经营者们竞相争夺的资源,经营者通过收集、使用数据来创造商业价值、发展新的商业模式已成为普遍趋势。在这一背景下,一套完善的数据治理规则体系,将成为保证数据市场良好稳定发展的基石。

2021年以来,我国相继出台了两部重要性立法——《数据安全法》与《个人信息保护法》,为数据保护与流通规则奠定了基础。但由于我国并未在立法中明确数据权属的相关概念与范围,因此,围绕数据权属的争议,大都需要司法机关通过判例的方式确立处理规则。较为清晰的是,司法判例对企业“竞争性财产权益”的认可,为数据流通确立了基本规则,即在数据竞争中,第三方企业应当尊重数据处理者的数据权益,尊重数据主体的法定权利,尊重行业道德与诚实信用原则。但通过《反不正当竞争法》的原则性条款能否解决所有的数据纠纷,如何在数据权属尚不明确的背景下平衡数据保护与流通,尚有待理论与实务界进一步的探讨。

新规范体系下的企业合规

2021年是互联网行业监管机制完善的重要年份,多部法律法规相继出台、生效,涉及不同行业的诸多方面。受关注较多的如《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等,在维护国家安全、网络安全与数据安全,保障个人信息权益的基础之上,促进信息、数据等的自由流动与开发利用,推动相关产业健康有序发展,同时也对企业合规提出了新的要求。结合本文主题,在新规范体系下,以下三方面将成为企业合规的重点。

建立数据安全全流程保护机制
数据安全全流程保护机制的建立,一方面,需要坚持总体国家安全观的高度;另一方面,需要在数据的收集、存储、使用、加工、传输、提供、公开、删除等每一个环节中提高数据的安全保障能力。因此,企业需要从内外两个维度进行合规化建设:对外,要提高对数据出境的风险把控能力,保证采购网络产品和服务的渠道安全,切实维护国家安全、公共利益与公民信息安全;对内,要探索建立符合新规范要求的合规化路径。例如,在对个人数据保护方面,在不降低用户体验度的情况下,如何履行对用户的“充分告知”义务,如何对第三方平台实施有效监管等。此外,还需要加强技术手段对数据的保护力度,随时更新并检测数据加密、等级保护等技术手段,及时防范因技术漏洞可能引发的数据安全风险。

建立分类分级数据管理制度
《数据安全法》对数据做了分类分级保护的要求,将关系国家安全、国民经济命脉、重要民生、重大公共利益等数据列为国家核心数据。对于重要数据范畴,由各地区、各主管部门确定相关行业、领域的重要数据目录。数据分类分级的属性不同,相应的保护要求也不同。企业一方面需要根据已有的重要数据目录,按照先分类后分级的原则,重新梳理数据台账;另一方面,在行业重要数据目录尚未出台的情况下,需要参照已有的标准与体系,自行在内部建立数据分类分级指南,以尽早规范数据保护制度。如可以参照工业和信息化部于9月30日公布的《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)的标准,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用将对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将数据分为一般数据、重要数据和核心数据三级。企业若能够尽早实现数据的分类分级管理,并依规履行保护职责,对于企业自身的数据流通同样大有裨益。

充分履行超大平台“看门人”义务
根据《个人信息保护法》的相关规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构,对平台的个人信息保护情况进行监督,并定期发布个人信息保护社会责任报告,接受社会的监督。也即是说,超大规模的企业不仅需要在内部设立专人专岗、落实数据安全保护责任,也需要通外部专家组建委员会,以监督企业的数据保护力度。对于外部专家的认定标准,目前还未有详细的规定。企业在选用外部专家时,需要综合考量其在数据保护领域的专业能力、对企业业务模式的了解程度,以及该专家的其他服务单位等因素。

除此之外,各监管机构也于2021年相继出台或修订了更为细化的管理条例及办法等措施,如《关键信息基础设施安全保护条例》《网络安全审查办法(修订草案征求意见稿)》、《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》等。上述条例或办法是对《个人信息保护法》《数据安全法》之配套措施的完善,也是对监管执法以及企业经营更为具体的指导,其对监管提出了新的要求,也加强了各互联网平台对数据保护的职责与义务,最终目的在于建立公平、有序、健康、完善的数据流通市场。十九届四中全会提出,将数据列为生产要素,参与市场分配。在此背景下,数据的共享、流通以及整合成为大势所趋,而未来要解决的关键问题则在于如何在不损害数据主体与数据处理者正当权益的背景下,实现数据的有效流通。

数据保护机制下的数据流通

根据新规范体系下的合规需求,企业在生产经营中,不仅需要对信息或数据的收集获取合法授权,保证来源的正当性,也需要确保信息或数据流通路径的合规,并保证授权的完整。这在一方面增强了企业数据利用的合规义务,另一方面赋予了企业对经过合法方式获取或加工的数据的保护义务。前者,是对个人与信息处理者之间的权利义务界定;后者,在一定程度上也赋予了企业主张数据利益不被非法获取与利用的权利。下文将继续探讨企业应如何在合规的基础上,实现数据资源的有效流通。

平衡个人信息保护与企业的数据流通需求
《个人信息保护法》赋予了信息主体较多的权利,如个人对其信息的处理享有的知情权、决定权、拒绝权,查阅、复制个人信息权,个人信息可携带权等。个人信息作为基础性数据或原始数据,企业在收集过程中,需要获取个人的充分性授权。基础性数据需要通过企业的技术加工,按照不同的应用场景进行商业化利用,由此产生的数据一般称为增值数据。对于原始数据,信息主体可进行权利主张,申请企业予以修改、删除或者拒绝利用。但对于增值数据,企业是否有权予以商业化利用,则需要判断其中所包含的个人信息是否经过了匿名化处理。若未达到匿名化的高度,仅仅是进行了去标识化,即通过与其他信息结合可以识别到个人,则该类增值数据的使用流通仍需获得个人的授权同意。但有学者认为,知情同意原则仅适用于“小数据时代”,当前人类已然步入大数据时代,知情同意原则的行使会陷入重重困境。因此,在当前的数据保护背景下,就会出现这样的悖论:匿名化处理的信息商业利用价值低,无法满足企业对数据流通的正常需求,故企业的增值数据大都包含有个人的去标识化的信息,但个人一般会拒绝企业的信息使用申请,使得企业的正常商业需求难以满足,从而在一定程度上阻碍数据的开发利用与数字行业的发展,造成数据保护与数据流通之间不可调和的矛盾。

应当注意的是,技术、产业要发展,就必然无法忽视企业数据的作用与价值。因此,在解决个人与企业之间的数据利用僵局时,有如下两方面的解决思路。一是对匿名化概念进行相对温和的解释。确切来讲,就目前的技术手段而言,数据信息无法做到绝对的匿名化,任何脱敏的信息经过与特定信息融合,都能够重新识别到个人。但该类特定信息一般掌握在信息收集者的手里,信息收集者在对外提供增值数据时,一般会严格限定交易第三方的申请权限。简单来说,尽管该类增值数据中包含了去标识化的个人信息,但由于交易第三方无法掌握原始数据,因此也无法对信息收集者提供的信息进行还原。在此类业务场景中,只需要约束信息收集者对原始数据的保护力度,并严格规定第三方不得擅自恢复原始数据,就可以实现数据保护与流通的双重利益。二是构建与用户利益共享的数据流通规则。企业收集用户信息,除了进行商业化利用外,对于提升服务质量、更好满足用户需求也有很大裨益,但企业应尽可能改良相关技术、重新设定规则,以便消除舆论对个性化推荐等技术的负面印象,从而切实实现用户对平台的服务诉求。

规范企业之间的数据流通规则
当前,数据竞争逐渐呈白热化趋势,数据资源也大多向头部互联网企业聚拢。头部互联网企业可以根据自己庞大的用户量,不断发展数据资产;而新生代互联网企业或初创企业由于难以吸引到足量的用户资源,一般会通过数据抓取的方式实现自己的商业目的。现有法律规范并未对数据抓取建立相应规则。2013年,由中国互联网协会发起的《互联网搜索引擎服务自律公约》中约定,“互联网站所有者设置机器人协议应遵循公平、开放和促进信息自由流动的原则,限制搜索引擎抓取应有行业公认合理的正当理由”。该条款成为某些法院解决相关纠纷的判决标准,从而一定程度上造成了对行业的数据流通规则的误解。

近年来,随着司法机关对此类纠纷的判决意见逐步统一与定型,企业之间的数据流通规则也逐渐清晰起来。如在某社交媒体诉某职场软件一案中,法官创造性地运用了《反不正当竞争法》一般条款进行裁判,肯定了社交媒体作为个人数据的收集者、控制者对个人数据的收集与保护付出的巨大商业投资与努力,以及海量个人数据对企业的商业价值。在另一起涉及数据抓取的案例中,法院首次确认了数据作为“竞争性财产权益”的新类型权属,并以此为权利基础给予数据权利人以《反不正当竞争法》保护。该案的判决为数据流通确立了两方面的规则:其一,数据收集者、控制者对原始数据享有使用权,第三方平台未经授权不得利用;其二,数据收集者、控制者对投入智力劳动而衍生的数据内容享有独立的财产性权益,第三方平台未经授权不得利用。

最近,在某起涉及不正当竞争的案例中,二审法院通过改判一审法院的法律适用条款,对《反不正当竞争法》一般条款(第二条)和“互联网专条”(第十二条)的适用关系作了分析。当前的司法实践中,对《反不正当竞争法》第十二条第二款的规定以及其各分项之间的关系、《反不正当竞争法》第二条和第十二条之间应当如何理解与适用,均存在较多争议与困惑。法院在审理该案时认为,判断“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”需要采用较为适度审慎的原则,在某些情况下,需要判定争议行为是否同时违反了《反不正当竞争法》第二条规定的原则和精神。

通过归纳总结上述数据纠纷案例的判决理由与结果,我们可以确立的数据处理原则是:第三方平台不得随意抓取公开数据,亦不能再通过互联网平台的“开放和信息自由流动”的特性,对抗数据处理者或控制者对数据的合法性权益。

数据流通规则的未来展望

大量的司法实践与典型性案例的指引,已为数据流通确定了基本处理规则。但我国并不是判例法国家,裁判文书不具备成文法的效力。因此,数据流通规则的确立,不能仅依靠司法机关确立的数据纠纷解决机制,这对各方来说也并不是效益最大化的选择。更好的做法是在充分尊重用户权利的基础之上,构建行业自律公约,规范相关数据利用规则,打造良好的数据流通市场秩序。具体展望如下:

首先,构建良好的用户沟通机制,获取用户信任。企业采取措施保护个人信息、维护用户权利,只是对最基本法定义务与职责的履行。随着用户对个人信息保护意识的增强,企业可能会面临数据分析样本下降的趋势。因此,构建良好的用户沟通机制、重新获取用户对平台的信任至关重要。只有用户对平台足够信任,才会有充分授权平台使用其个人信息的意愿。
其次,开展行业对话,构建公平公正的自律公约。数据只有流通起来才有价值,这是大多数人都认可的观点。但因各方对数据流通规则存在不同的认知,从而引发了诸多纠纷与矛盾。因此,应开展行业对话,通过当前司法案例确立的价值规则,统一行业对于数据规则构建的标准,支持并鼓励创新,从而在优化竞争环境的基础之上,规范市场主体的商业行为,尊重企业的数据权益。

最后,优化企业数据权能配置规则。数据权能一般指对数据的占有、使用、生产加工、收益与有限制的处分等权限。需要承认的是,随着企业对于数据的处理能力和保护技术的不同,对数据的利用也会造成不同的结果,或是进一步提升数据的价值,或者造成负面影响。尽管行业中存在一些数据利用的负面案例,但不应产生因噎废食的心理,而是应当设立一定的门槛、规范数据利用的准入机制,保障数据合法有序的流通。



免责声明:凡本网注明"来源:XXX(非中国知识产权杂志出品)"的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件,意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。新闻纠错:010-52188215,邮箱:chinaip@hurrymedia.com

会员留言


只有会员才可以留言, 请注册登陆

查询及评价系统

文章检索

关键词:

在线调查

据悉,正在修订中的《专利法》四修,拟将恶意侵权专利赔偿额度从原有的最高三倍上限调整到最高五倍,五倍赔偿已经是目前世界上最高的赔偿额度,对此,你有什么看法?

没有考虑过
合理,打击侵权,确有必要
不合理,赔偿过高,国际上并无先例