中国信通院仵姣姣:数据确权的首次立法尝试——《深圳经济特区数据条例(征求意见稿)》观察
2020年10月,中共中央办公厅、国务院办公厅印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》,要求深圳在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据开放共享以及数据交易等方面进行先行探索。为了贯彻中共中央、国务院关于大数据战略的决策部署,落实《综合改革实施方案》有关要求,深圳日前发布了《深圳经济特区数据条例(征求意见稿)》,从个人数据、公共数据、数据市场、数据安全管理的四大角度构建数据法律制度,从而充分发挥数据的基础资源作用和创新引擎作用,培育资源配置高效的数据要素市场。
一、进一步明确了个人数据处理的合法基础和处理方式
第二章 第十二条 数据处理者应当在处理个人数据前征得自然人或者其监护人的同意,并在其同意范围内处理其个人数据,但是法律、行政法规以及本条例另有规定的除外。
第二章 第二十二条 数据处理者向他人提供其处理的个人数据的,应当对数据进行去标识化处理,使得被提供的个人数据在不借助其他数据的情况下无法识别特定的自然人。法律、法规规定或者自然人与数据处理者约定应当进行匿名化处理的,数据处理者应当依照法律、法规规定或者双方约定进行匿名化处理。
第五章 第六十七条 数据处理者应当依照相关法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可恢复识别的个人数据分开存储。
数据处理者应当针对敏感个人数据、国家规定的重要数据制定去标识化或者匿名化处理安全措施,并对数据去标识化或者匿名化处理过程进行记录。
《条例》遵循了我国现有授权同意和匿名化的合规路径,肯定了自然人或其监护人的同意是有效的数据权利基础之一;要求向他人提供其处理的个人数据时,应当对数据进行去标识化处理,在法律、法规以及国家标准有特殊要求时,需要对数据进行匿名化处理。
关于同意、匿名化和去标识化之间的关系,根据我国现行的法律规定,目前数据交易流通的合规基础主要有匿名化、基于同意和基于授权三种。基于授权的权利基础主要指公共数据场景下,相关国家机构可以依照行政法规的授权获得相应数据的管理权和处分权等。对于个人数据而言,相关市场主体可选择的合规基础即为数据匿名化和获得个人信息主体有效的授权同意。就匿名化和去标识化之间的关系而言,去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程;匿名化则是指个人信息经过处理无法识别特定自然人且不能复原的过程。二者的区别在于经过匿名化的个人信息无法再识别到个人,但是去标识化后的个人信息在借助额外信息的情况下仍可再次识别个人。从法律性质上来看,个人信息匿名化处理后不再属于个人信息,而去标识化处理后仍属于个人信息。从立法要求上来看,匿名化数据可被视同于删除,可被直接对外提供。而去标识化是个人信息处理者内部的一种个人信息安全保护手段。个人信息去标识化后仍属于个人信息,需要满足知情同意规则或其他个人信息处理合法性基础。换言之,去标识化可被理解为是匿名化的一种中间形态,两者之间的关系也并非泾渭分明,而是会由于技术进步、数据泄露事件等因素而发生变化。
《条例》在充分了解法律关于匿名化“无法识别、无法复原”的要求超出现有技术发展水平、上位法尚未就匿名化的具体效果和实施场景做出进一步细化规定的情况下,提出数据处理者可以在没有法定和约定匿名化要求时对数据进行去标识化处理。因此,综合现行法律法规、标准和《条例》本身来看,数据处理者可以组合或择一选择基于同意和数据匿名化/去标识化两种合规路径。在获取个人信息主体有效同意更容易实现的情况下,数据处理者可以通过周延的隐私政策和交互式弹窗等方式获取个人的首次和后续同意;在获取同意成本过高、对有效授权同意本身及授权链的合规性存疑的情况下,数据处理者可以通过去标识化或匿名化的路径满足合规要求。此外,在个人信息主体注销账户或平台停止运营等法定和约定匿名化的场景下,数据处理者需要对相关数据进行匿名化处理。当然,我们建议数据处理者可以在数据获取、处理和共享的不同环节,在评估风险点和技术实现效果的基础上综合运用同意和匿名化/去标识化技术以最小化合规风险。
二、赋予个人信息主体撤回同意的权利
第二章 第十八条 自然人有权随时撤回部分或者全部处理其个人数据的同意。
自然人撤回同意的,数据处理者不得继续处理其个人数据,但是不影响数据处理者在自然人撤回同意前基于同意进行的合法数据处理;法律、法规另有规定的,从其规定。
《条例》首先肯定了个人信息主体有撤回其个人数据的权利,在撤回同意之后数据处理者不再享有基于授权同意的合规基础,但肯定撤回同意本身不具有溯及力,依然肯定在撤回同意前数据处理的合法性。
关于《条例》中撤回同意是否影响基于同意获取数据而产生的衍生数据,我们认为存在两种理解方式。第一,在个人撤回同意后,数据处理者不得在对数据本身及其衍生信息进行进一步的处理,但在撤回同意前已经形成的标签、评分等衍生信息仍然可进行使用和处理。在这个前提下,还可进一步提出衍生信息是否可被继续用于该用户本人的营销和个性化页面展示、可否不针对用户本人而作为统计数据等形态使用的问题。第二,在个人撤回同意后,基于原授权同意而产生的衍生数据等信息不得再被处理和使用。举例来说,例如个人授权平台使用自己的身份证号,平台基于身份证号衍生出户籍地和出生日期等信息,获取到“北方人”“年轻人”等衍生信息,在用户撤回对身份证号的授权同意后,平台是否还可继续使用“北方人”“年轻人”的衍生信息、在何种范围和目的下使用该信息等均是值得进一步探讨的话题。
另外,在个人信息主体撤回同意后,数据处理者不再享有“授权同意”的合法基础,我们认为在将相关数据进行彻底的匿名化处理后,数据处理者依然可以对匿名化后的数据进行处理和使用。首先匿名化本身和授权同意属于并列的数据合规处理基础。第二,在《个人信息保护规范》(GB/T 35273-2000)中,匿名化的处理效果被等同于删除。最后,匿名化后的数据不再属于个人数据,而授权同意属于个人数据保护范畴的概念,因而匿名化后的数据也不因个人信息主体同意的撤回而丧失合规基础。
三、肯定市场主体的数据使用权、收益权和处分权
第四章 第五十四条 市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,通过向他人提供获得收益,依法进行处分。
第四章 第五十五条 市场主体通过开放、共享、交易等方式流通数据、数据产品或者服务的,应当明确各方当事人的权利和义务;超出权利人授权范围的,应当重新取得相应权利人授权。
“只有对社会成员之间互相划分对特定资源之间的排他性权利,才会产生适当的激励”,因而赋予特定企业对于数据产品一定程度的权益可能会产生正面的激励效应。对企业的数据权利进行正面确权,以减少企业对数据享有权利的模糊性,不仅有利于企业对数据及衍生产品加大投入与保护的力度,还能在客观上协同规制第三方的数据处理行为。淘宝诉美景等司法案例也认可了企业对其投入智力成果开发的数据产品享有独立的财产性权益。《条例》在上位法尚未明确数据产权制度的基础上,率先以地方立法试点的形式正面回应数据确权之争,探索数据所有权和用益权、人格权和财产权分离的制度。在肯定自然人对其个人数据享有人格权益的基础上,允许自然人、法人和非法人组织在获得授权的基础上对其合法处理数据形成的数据及数据产品享有使用、收益和处分等财产性权益,从而在尊重现存平台免费提供服务、消费者免费提供数据的现状基础上,以用户和数据处理者之间的隐私政策等授权协议为基础,圈定数据处理者财产性权益的合理范畴。
四、正面回应用户画像、定推及大数据杀熟的问题
第二章 第二十三条 数据处理者可以基于提升产品质量或者服务体验的目的,对自然人进行用户画像,为其推荐个性化的产品或者服务。
第二章 第二十四条 数据处理者对自然人进行用户画像时,应当向其明示用户画像的规则和用途,并采用足以引起注意的特别标识等易获取的方式向其提供拒绝的途径。
自然人有权随时拒绝对其进行的用户画像和基于用户画像向其进行的个性化产品或者服务推荐。
第六十一条 市场主体不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:
(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件;
(二)针对新用户在合理期限内开展优惠活动;
(三)基于公平、合理、无歧视的规则实施随机性交易;
(四)法律、法规规定的其他情形。
前款所称交易条件相同,是指交易相对人之间在交易安全、交易成本、信用状况、所处交易环节、交易持续时间等方面不存在实质性影响交易的差别。
《条例》以大篇幅回应了利用大数据进行个性化推荐和“大数据杀熟”的现实问题,在平衡大数据侵犯消费者权益和提升用户体验方面进行了有益的制度创新。首先肯定了既有的用户画像技术在提升产品质量和用户服务体验方面的作用,允许企业正当地通过用户画像技术为用户提供个性化推荐的服务。在此基础上,通过对差别待遇本身是否具有合理性进行评估,得出用户画像是否具有合法性的结论。《条例》也通过列举合理“差别待遇”判断因素的方式,给予相关市场参与者判断合规与否的红线,也留出“正当的交易习惯和行业惯例”等司法自由裁量的空间以应对实践中复杂多变的场景。
此外,《条例》也赋予用户充分的选择权,例如用户可以选择关闭“定推”等方式,同等地尊重想要通过个性化推荐提升选择效率的用户和想要保全自由选择权用户的诉求。与此同时,用户的选择行为本身和随之而来的社会自发监督也可反向推动数据处理者将用户画像技术限制在合理、合法的范畴内,从而平衡数据产业发展的需要和个人信息保护的诉求。
五、加强对未成年人数据的保护
第二章 第十六条 处理未成年人个人数据的,按照处理敏感个人数据的有关规定执行;处理不满十四周岁的未成年人个人数据的,应当在处理前征得其监护人的明示同意。
第二章 第二十四条禁止对未成年人进行用户画像以及基于用户画像向未成年人推荐个性化的产品或者服务。
《条例》在吸收既往立法和标准要求对未成年人数据进行处理时需要获取监护人明示同意的基础上,创新将未成年人数据保护的级别提升到对敏感个人数据保护的高度。在用户画像的场景下,《条例》本身赋予用户选择是否接受用户画像和基于用户画像的个性化推荐的权利。出于对未成年人给予更周延保护的立法思想,禁止数据处理者对未成年人进行用户画像和个性化推荐。
但与此同时,我国法律法规目前还没有关于儿童年龄识别具体方法的具有可操作性的规定,数据处理者面临如何判断用户是否是儿童、儿童冒用他人账号致使平台难以核实年龄等现实问题。借鉴国外的立法,数据处理者可借鉴的关于儿童年龄的核实方法主要包括以下三种:首先,用户自行填写出生日期等信息,数据处理者仅需要对该信息进行形式审核;第二,数据处理者可依靠外部审核机制来判断自身用户的年龄,例如平台需要输入有效身份证号注册、仅支持信用卡作为支付方式等等。第三,借鉴美国儿童网络隐私保护法(Children's Online Privacy Protection Act,COPPA)中提到的“可验证的家长同意”的6种情形,采用监护人参与的电子签名、邮件或语音、视频的即时确认等方式。
从司法的角度而言,在COPPA的执法机构美国联邦贸易委员会(Federal Trade Commission,FTC)发布的《企业六步合规计划》中,FTC明确网络运营者使用信用卡或者政府签发的身份验证信息作为监护人同意的形式审核方式已足以满足COPPA下的合规义务,无需再对做出同意的是否是儿童的监护人做出实质审核。
在实践中,部分不专门针对儿童提供产品和服务的数据处理者出于规避儿童数据保护义务和遵循最小必要原则等考虑,选择不获取用户出生年份等可能推知用户年龄的信息。除非用户群体基本不可能是儿童外,我们认为此类实践仍然存在一定程度的合规风险,建议相关数据处理者考虑至少对用户的年龄进行形式审核,并依照现行法律法规和标准制定相关儿童数据合规制度。
六、将司法案例确认的法律规则纳入法律规范中
第四章 第六十条 市场主体应当遵守公平竞争原则,不得实施下列侵害其他市场主体或者消费者合法权益的行为:
(一)使用非法手段破坏其他市场主体所采取的保护数据的技术措施;
(二)违反行业惯例收集或者利用其他市场主体数据;
(三)利用非法收集的他人数据提供替代性产品或者服务;
(四)未经其他市场主体或者消费者同意,将其他市场主体的数据直接进行商业利用;
(五)法律、法规规定禁止侵害其他市场主体或者消费者合法权益的其他行为。
第四章 第六十二条 市场主体不得达成垄断协议,不得滥用在数据市场的支配地位、不得实施经营者集中,不得排除、限制数据市场竞争。
在数据商业价值得到充分释放的同时,与数据相关的竞争法领域纠纷也日趋增多。从国内已有的司法实践来看,已有诸多不正当竞争和反垄断的案例。不正当竞争案例的当事人包括百度、淘宝、今日头条、新浪、大众点评、58同城等大型互联网企业,涉及的数据包括原始数据、数据产品和用户数据等;就反垄断而言,华为和腾讯关于微信数据的纠纷、顺丰和菜鸟关于物流数据的纠纷均涉及数据巨头是否滥用市场支配地位、挤压相关行业竞争者生存空间的问题。在反垄断法目前缺乏数据行业相关条款、主要依赖《反不正当竞争法》第2条和第12条“互联网专条”原则性规定的前提下,《条例》将目前司法实践中确立的反不正当裁判规则通过纳入法律法规确立下来,进一步为司法实践和企业合规自查提供清晰的指导规则。
另外,在第六十条第二款中,条例也将违反行业惯例收集或者利用其他市场主体数据列为数据领域不正当竞争的客观表现形式之一,笔者认为这与百度公司诉奇虎360案中法院的裁判精神一致。在该案中,法院认为Robots协议尽管并非法律意义上双方合意的协议,但作为国内外互联网行业内普遍通行、普遍遵守的技术规范,已实质成为公认的行业商业道德和行为标准。在互联网行业技术迭代迅速的情况下,《条例》将行业惯例作为公平竞争原则的重要源头可以大大减轻被侵权方举证的难度,也为技术后续的发展预留了充分的合理解释空间。
七、补充个人信息主体的公力救济途径
第一章 第十一条 自然人发现数据处理者违反法律、法规规定或者双方约定处理其个人数据的,可以向市网信部门投诉举报,市网信部门应当及时依法处理。
第六章 第八十九条 未依照法律、行政法规以及本条例规定落实数据安全保护责任,或者非法处理数据,致使国家利益或者公共利益受到损害的,有关行业组织可以依法提起民事公益诉讼。有关行业组织提起相关民事公益诉讼,人民检察院认为有必要的,可以支持起诉。
前款规定的行业组织未提起民事公益诉讼的,人民检察院可以向人民法院提起民事公益诉讼。
人民检察院在履行职责中发现负有数据领域监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出监察建议;行政机关不依法履行职责的,人民检察院可以依法向人民法院提起行政公益诉讼。
在个人信息权尚未被立法明确的前提下,个人信息主体很难通过司法途径获得救济。一方面由于个人信息权益的缺位,个人往往需要基于隐私权、名誉权、肖像权等既有的权利基础寻求救济,但个人信息权的内涵和外延都与此类权益有诸多不同,因而在既往的司法实践中个人往往无法通过隐私权保护等权利基础使被侵害的个人信息权益恢复圆满状态。《条例》明确市网信部门具有受理、调查、处理个人信息主体关于信息被违法、违约使用的职责。另外,行业组织和检察院支持起诉的公益诉讼的制度也明确延伸到数据保护领域,在既有的司法救济之外补充了公力救济的途径,更有利的保护个人信息主体的权益。
八、为企业提出合规建设的新要求
第四章 第五十三条 市场主体开展数据处理活动,应当建立健全数据治理组织架构和自我评估机制,组织开展数据治理活动,加强数据质量管理,确保数据的真实性、准确性、完整性、时效性,促进数据价值实现。
第五章 第六十五条 处理敏感个人数据或者国家规定的重要数据,应当按照规定设立数据安全管理机构或者明确数据安全管理责任人,并实施特别技术保护。
《草案》吸收了行业最佳实践和国家标准的数据管理建议,明确提出数据处理者应当建立数据治理组织和数据安全管理组织,并提出数据质量管理和自我评估机制的要求。
数据相关合规制度建设不仅成为法律法规施加的义务,也是企业在侵权事件发生时证明不存在过错的重要依据之一。例如方月明诉北京金色世纪商旅网络科技股份有限公司、中国东方航空股份有限公司合同纠纷案中,企业提供的等保测评报告、对外合作协议、任命数据保护官的通知等证据,满足了法院关于“充分履行个人信息保护义务”的要求,因而在未来个人信息的司法实践和企业合规建设中,合规制度本身都将成为“证明自己没有过错”和满足监管要求的重要组成部分。
九、为企业提出自证合规及留存证据的要求
第二章 第二十九条 自然人撤回处理其个人数据的同意,要求数据处理者删除其个人数据的,数据处理者可以留存告知和同意的证据,但是不得超过其履行法定义务、应对诉讼或者纠纷的必要限度。
第五章 第六十六条 数据处理者应当记录其收集数据的合法来源,保障数据来源清晰、可追溯。
《草案》在保障个人信息主体撤回同意、删除数据权利的同时,也关注到了数据处理者自证合规的现实需求。例如在最近的庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案中,法院将证明行为人不存在过错、已履行信息安全保护义务、个人信息的实际泄露方以及泄露的具体环节分配给被告数据处理者,为企业施加了极高的证明责任。因此,我们建议相关数据处理者基于授权同意和匿名化两条合规路径,在个人信息的其他环节寻求用户个人信息保护和留存证据之间的平衡点。
十、充分发挥数据交易所的积极作用
第四章 第五十七条 引导市场主体通过依法设立的数据交易平台进行数据交易。
第四章 第五十八条 数据交易平台应当建立安全可信、管理可控、可追溯的数据交易环境,制定数据交易、信息披露、自律监管等规则,并采取有效措施保护个人数据、商业秘密和国家规定的重要数据。
第四章 第五十九条 支持数据价值评估、数据交易技术研发和数据交易模式创新,拓宽数据交易渠道,促进数据资源高效流通。
在数据孤岛效应显著、数据交易高度不透明、数据黑市交易难以监管的背景下,《条例》提出引导市场主体通过数据交易平台进行数据交易,进而通过数据交易所等平台提升监管的效能、数据交易的安全性和充分发挥数据资源的价值。对数据交易平台而言,《条例》也提出了交易规则制定、技术研发和服务模式创新等宏观的要求,充分发挥数据交易平台在数据资源挖掘和建立互信机制等问题上的独特作用,为数据交易流通注入新的活力。
作者简介
仵姣姣,中国信息通信研究院云计算与大数据研究所工程师,主要研究方向为数据交易、数据流通、数据安全等。
联系方式:wujiaojiao@caict.ac.cn
校 审 | 陈 力、 珊 珊
编 辑 | 凌 霄
推荐阅读