【数据法学】刘权:论网络平台的数据报送义务
B D A I L C
欢 迎 关 注
在大数据时代, 网络平台所控制的海量数据对于确保政府有效履行公共职能日益重要。政府进行宏观的科学决策, 实施具体的行政规制和个案调查, 都需要网络平台及时报送准确充分的数据。平台同多元社会主体存在普遍的连带关系, 平台积极履行数据报送义务, 是实现数字经济协同共治的前提条件和促进公共利益的客观要求。但数据报送事项过多、范围过宽、报送程序不健全、报送安全性保障滞后等多种因素的存在, 导致平台报送数据存在实践困境。清晰的数据权利归属, 是正当履行数据报送义务的前提。数据报送义务不应片面强调公共利益, 应通过比例原则合理确定数据报送义务的边界, 实现政府、企业、个人等多元主体利益的均衡。数据报送义务的履行, 应遵循正当程序原则。为了保障数据报送义务实现的有效性与安全性, 有必要设置明确的责任约束平台和政府。
Monet
论网络平台的数据报送义务
文 / 刘权
在大数据时代,网络平台能否准确及时报送数据,直接影响公共利益的保护和促进。我国《电子商务法》《网络安全法》等诸多法律法规,开始规定网络平台的数据报送义务。[1]“用数据说话、用数据决策、用数据管理、用数据创新”,已经成为实现国家治理能力现代化的新途径。网络平台报送数据,成为了大数据时代政府获取数据越来越重要的一种方式。然而,除了契合公共利益,网络平台的数据报送还涉及企业与个人等多元数据主体的利益。对于网络平台而言,相关数据可能属于企业数字资产,因此,不适当的数据报送义务不仅可能增加数字经济企业的运营成本,还可能导致商业秘密受损,甚至造成我国企业海外发展受阻,指责我国数据安全保护不力极有可能成为西方国家新的贸易壁垒;对于平台的普通用户而言,数据报送可能泄露隐私,造成个人信息安全隐患。因此,如何科学合理地设定网络平台的数据报送义务,有效实现公共利益、企业利益与个人利益等多元利益的均衡,成为大数据时代数据法治的一项重要课题。
随着平台经济的不断蓬勃发展,国内外少数学者逐渐开始重视对数据报送制度的研究。有国外学者认为,平台经济不仅破坏了现有行业,而且还通过掩盖行为和创造“数据赤字” (data deficits) 的方式,“扰乱了政府的规划与规制体系”,政府应采取措施充分满足数据需求。[2]我国有学者认为,新的平台经济形态要求平台履行更高程度的配合义务,无论是数据提供频率,还是被提供数据的广度和深度,都对平台提出了真正的挑战,数据报送“应该在政府与平台企业的合理诉求之中寻得合理的均衡”。[3]另有学者提出,数据报送义务的扩张容易损害用户的隐私权、通讯自由和网络安全,“在法律层面规范网络服务提供者的信息提供义务是很有必要的。”[4]还有一些学者考察了域外数据报送的理论与实践情况。[5]总体而言,学界关于数据报送目前还缺乏系统性研究,相关问题有待深入梳理和总结。
数据存储日益增多的网络平台,在利用数据积极开展自我规制以实现良好平台治理的同时,还应积极主动履行数据报送义务,最大程度协助政府维护公共利益。那么,究竟什么是数据报送义务?其实践困境及成因是什么?数据报送义务如何证成?如何科学合理建构平台的数据报送义务?这些问题值得进行系统深入研究。
(一) 数据报送义务的涵义与类型
所谓数据报送,是指出于促进公共利益的需要,数据主体依法定条件与程序,向政府提供相关数据的活动。数据报送的目的是为了协助政府更好地履行公共职能,所以也称为数据协助或数据提供。报送的数据类型既可能是最为本源的基础数据,也可能是经过搜集整理等增值处理行为产生的增值数据。[6]数据报送并不等于数据公开,数据报送只是平台把数据提供给有关国家机关,而不是向全社会公开。数据报送不同于信息报告。平台发现平台内的违法信息,负有向政府相关部门报告的义务。平台发现用户没有取得相关行政许可、发现网络产品与服务存在安全缺陷、发现个人信息泄露等信息时,都应当及时主动向政府相关部门报告。例如,电商平台发生网络安全事件时,应立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。[7]虽然在报告过程中,平台也可能要报送相关数据,但在目的与适用情形上,数据报送不同于信息报告。
平台数据报送的类型,主要可分为常规报送和临时报送两大类。常规报送也可称为日常报送,常规报送一般是基于法律的明确规定,即只要符合相应的法定情形,平台就应及时主动报送相关数据。随着近些年我国数字经济的蓬勃发展,越来越多的法律文本开始规定主动报送数据的内容。常见的定期主动报送数据的类型,如平台内经营者的身份信息和纳税相关信息、[8]网络安全检测评估和监测预警信息、[9]业务信息[10]等。对于常规报送,每次报送的数据内容格式基本相同,只是需要不断把数据更新到新的时间节点。对于法律没有明确规定的数据报送事项,平台还可能通过与政府相关职能部门签订合作协议,主动报送相关数据。依协议的数据报送义务并非是基于法律的明确规定,而是来自合作协议的约定,平台报送数据属于履行约定的义务。
平台数据报送的另一类形式为临时报送。平台根据不同政府部门、司法机关的临时协查请求,而报送相关数据。相关部门可以通过向平台出示相关法律文书,如调查函、协查函、司法决定书,要求平台临时报送相关数据。常见的临时报送数据的类型,如违法经营的登记信息与交易数据、电子商务数据信息、有关国家安全和侦查犯罪的数据[11]等等。临时报送一般是在具体案件中,平台基于相关部门提出的数据协助请求而报送数据。对于不同的数据协助情形,平台临时报送的数据种类与格式往往也不同。
由上可知,根据数据报送启动方式的不同,常规报送和临时报送实际上也可分别称为主动报送和依申请报送。数据常规报送呈现日常性与反复性的特点,临时报送呈现紧迫性与一次性的特点。数据报送的对象既可能是行政机关,也可能是监察机关和司法机关。不同类型的网络平台,报送数据的主要对象可能不同。例如,电商平台主要向市场监督管理部门和税务部门等主体主动报送数据;关键信息基础设施运营平台,主要向关键信息基础设施安全保护工作部门报送数据。
(二) 数据报送的实践困境
平台数据报送在实践中存在困境,公共利益、企业利益和个人利益可能都没有受到充分保障。对于所报送的数据,存在不够全面完整的情形,甚至存在经过篡改的情形。平台对于某些数据的报送存在一定的抵触心理,导致拖延报送。[12]平台也时常以各种理由拒绝报送。监管部门基于监管的需要调取电子商务数据信息时,“经常被电子商务经营者以涉及自身商业秘密或者个人隐私为由拒绝。”[13]一方面是政府相关部门不断请求数据报送,另一方面是平台报送数据不及时、不全面,实践中经常出现该报送的数据得不到报送,不该报送的数据却被不当要求报送,从而导致公共利益、企业利益和个人利益均受到损害。除了缺乏义务观念、恶意违法等故意不履行外,平台不及时全面履行数据报送义务,在实践中还可能存在以下原因:
其一,数据报送事项过多、范围过宽,平台报送运营成本较大。对于数据报送事项与范围的法律规定较为分散,不同层级的立法都可能会设置相应的数据报送义务,报送事项可能过多。例如,《电子商务法》第28条规定电商平台应向税务部门报送平台内经营者的“身份信息”和“与纳税有关的信息”,涵盖范围可能过于广泛,容易侵犯商业秘密、个人隐私。[14]《网络交易监督管理办法 (征求意见稿) 》第26条规定,网络交易经营者应按要求报送“特定时段、特定品类、特定区域的商品或者服务的销量、销售额等统计资料”,第40条要求“在每一个公历年度内至少每半年”报送一次平台内经营者的身份信息。在具体情形中,政府要求平台报送的数据范围,可能超出了必要的限度,存在过度请求平台报送数据的现象。一些同决策与执法不相关的数据,时常会被政府相关部门要求提供。在请求数据时,政府相关部门有时并没有说明数据的具体用途,而仅仅以宽泛地维护公共利益为由,随意要求平台提供相关数据。另外,政府相关部门请求的一些数据,平台可能并没有或无法存储,可能事实上无法提供。例如,某法院要求腾讯公司提供微信聊天记录事件。[15]除了过度请求平台报送数据外,重复请求报送数据现象也较为普遍。不同级别、不同地域的政府部门,都可能向平台请求某些数据。中央国家机关、属地管辖的政府部门、其他地方的政府部门等,都经常会重复请求报送相同或类似的数据,大大增加了平台的运营成本。
其二,数据报送程序不健全。对于政府请求平台报送数据的具体程序,法律规定并不完善。除了依法律规定应当主动报送的数据外,政府向平台请求数据,应当依据正当程序,向平台提供书面请求。平台收到数据报送请求后,还要履行内部审批程序。在实践中,存在政府相关部门领导的一个电话,或者口头通知方式,即要求平台提供数据。虽然平台可以依法不予提供,但事实上平台有时难以拒绝非正式的数据报送请求。政府相关部门数据报送请求程序不规范,可能会造成平台的抗拒和拖延,最终可能损害公共利益。例如,深圳共享单车事故调查事件。[16]如果政府相关部门依据法定程序请求数据,平台依据法定程序报送数据,就会减少很多矛盾分歧,从而既有利于维护公共利益,又有利于保障平台权益。
其三,数据报送安全保障滞后。由于受到技术能力、资金成本等多方面因素制约,政府相关部门对数据的安全性保障程度,可能远远不如平台,从而造成极大的数据安全隐患。因政府内部保密程序不健全,导致数据在传输过程中容易泄露。平台报送平台内经营者信息时多采取移动介质拷贝的方式,需要多人经手,保密性差。[17]数据对接流程不健全,导致数据报送不够自动化、流程不统一、安全不可控、数据流向不可追踪等一系列问题,带来了数据泄露的隐患。[18]对于获取的平台数据,政府相关部门可能随意改变数据的使用目的,并不严格按照当时请求的目的使用数据。而且,相关数据还可能被随意提供给其他公共机构或企业等第三方主体使用。除了可能被政府部门内部工作人员泄露外,平台报送的数据还存在网络安全风险,可能被网络黑客盗取。政府对数据的安全性保障程度不高,大大影响了平台数据报送义务的有效履行。
总之,我国目前有关数据报送的法律规定还存在诸多问题。数据报送事项过多、范围过宽、数据报送程序不健全、数据报送安全性保障滞后等多种因素的存在,导致平台报送数据不及时、不全面,时常以各种理由拒绝报送,从而可能严重影响公共利益的有效实现。
尽管数据报送的法律与实践尚存弊端,但从理论角度分析,平台承担数据报送义务的正当性并无异议。在学理上,社会连带关系学说为大数据时代网络平台承担数据报送义务的正当性,提供了重要的理论支撑。社会连带关系学说,由法国公法学家莱昂·狄骥首先提出。狄骥认为,人作为社会的成员而生,由此应承担为维护和发展社会生活而应尽的义务。个人的主观权利产生于其社会义务,权利只是义务的产物。每个人都应承担一定的社会角色,履行其相应义务。随着时代不同,人总是或多或少地意识到人与人之间的社会性,即人对人类群体的依赖与人的个体性,人与人之间存在社会连带性。随着社会进步,建立于劳动分工上的相互关联性越来越强,交换服务变得越来越频繁,越来越复杂,而社会相互关联性也由此越来越强。[19]
网络平台作为社会交往活动中的重要主体,当然也并不是孤立的,而是与其他主体间存在紧密的牵连关系。作为大数据时代的新兴势力,[20]网络平台是市场、企业之后的第三种资源与组织方式,平台的角色是连接者、匹配者,市场机制的设计者。平台可能是当下所有新公司、新商业模式的基础与内核。[21]平台甚至被认定为是一种公共设施。[22]平台并不是同社会完全隔绝的组织,为了维护并促进整个社会的公共利益,为了最终更好地实现自身利益,平台不应垄断数据。平台负有相应的数据报送义务,平台应同政府共享相关数据。
(一) 政府宏观决策需要准确充分的数据
政府进行科学的宏观决策,提供高质量的公共服务,需要网络平台及时报送数据。在数字经济时代,网络平台聚合了大量的数据。例如,几乎与我们每一个人都息息相关的网络购物,需要姓名、联系电话、支付信息、收货地址等大量数据,所以公民个人不得不把大量个人数据,提供给电商平台。另外,电商平台还掌握了海量的平台内经营者的数据信息。平台内经营者在入驻平台时,需要提交与经营相关的大量数据。在经营过程中,平台内经营者发布的商品详情、网络广告、交易信息、售后信息等大量数据,都会直接或间接地被平台控制。除了电商平台外,社交平台、服务交易平台、金融科技平台、搜索引擎平台、内容提供平台等也控制了大量数据。[23]在大数据时代,平台就是一个巨大的网络数据库。可以预见,不管通过何种方式与途径获取数据,平台控制的数据只会越来越多。平台成为了数字经济海量数据的最大控制者。
对于平台来说,数据即财富,拥有了数据就相当于拥有了生产资料,数据可以直接转化为商业利润。科学有效地运用数据,可以实现商业智能 (BI, Business Intelligence) 。无可争议,数据已经成为了一种商业资本,可以创造新的经济利益,可以被巧妙地用来激发新产品和新型服务。[24]数据就是企业的财富和金矿,谁拥有大数据,谁就有制胜的砝码,谁就可能成为大臝家。[25]数字经济企业借助大数据,形成从产品设计、生产到销售、配送在内的全过程记录、分析和公开,实现营销策略的快速调整。[26]谁拥有了足够的数据,谁就可能占领市场的主导地位。然而,对于政府来说,数据同样具有无可估量的重大价值。国务院2015年印发的《促进大数据发展行动纲要》 (国发[2015]50号) 明确提出,应建立“用数据说话、用数据决策、用数据管理、用数据创新”的管理机制,逐步实现政府治理能力现代化。但政府通过公开访问平台网站等方式往往无法获取充分有效的数据,由此导致了政府决策的信息困境,即政府决策的作出者同数据的直接控制者发生了分离。科学决策离不开准确充分的数据。如果数据不够准确充分,政府宏观决策就可能失误,高质量的公共服务就无法提供。政府进行科学的宏观决策,客观上需要平台提供大量准确充分的数据。
(二) 有效监管和个案调查需要准确充分的数据
具体的政府监管和个案调查,需要准确充分的数据。对数字经济监管的效果,受到政府掌控数据信息的质量和数量的直接影响。例如,交易过程中产生的交易数据和个人信息,是行政机关实施监管行为的前提和依据。但政府往往很难或无法及时获取详细的数据,所以政府可能无法准确评估监管对象、设定监管标准、发现违法行为并启动监管程序。[27]谁能掌握海量的一手数据,谁就能进行更好地监管。平台控制的一手数据远远多于政府,由其进行一定的自我监管更具有信息优势,再加上平台更具有技术、人力、财力优势,应引导其“积极主动地展开自我规制”。[28]然而,尽管存在诸多优势,但平台的自我监管却存在过度关注自身利益、通过监管套利、缺乏自我规制驱动力等缺点,所以适度有效的政府监管不可避免。[29]而有效的政府监管需要平台的协助,一个良好的平台生态,应当建立在政府与平台有效对接的基础之上。[30]
有效的政府监管需要平台及时报送相关数据,积极配合政府监管和调查职能的开展。例如,电商平台通过报送平台内经营者的身份信息,有助于市场监督管理部门对平台内经营者逃避市场主体登记行为进行监管,因为对于平台内经营者的信息,往往只有平台才能够全面掌握。通过报送平台内经营者纳税有关的信息,可以对平台内经营者的偷税漏税行为进行监管。在个案查办中,监管部门在调查涉嫌违法行为时,需要平台提供双方交易账号、商品或服务的名称、交易金额、订单号等数据信息,以对具体案件进行定性,并确定处罚额度。对于司法而言,特别是互联网诉讼的特殊性,法院可以要求平台提供相关数据作为证据,平台负有相应的公法义务。[31]为了保证国家安全,必须授予执法机关一定的权力和手段,以发现和惩处犯罪分子。[32]
域外很多国家的法律对政府基于公共利益的需要而获取数据作了规定。英国《调查权力法》 (Regulation of Investigatory Powers Act) 规定,政府可以要求网络服务平台提供互联网浏览数据、电子邮件发送地址、IP地址、电子文档和数据的加密密钥等数据。德国《联邦数据保护法》 (Bundesdatenschutzgesetz) 规定,为避免对公共利益造成重大危害,或为了对重大公共利益进行保护,公共机构可以获取数据控制者的数据。美国的“云法案”即《澄清域外合法使用数据法》 (Clarifying Lawful Overseas Use of Data Act) 更是允许美国执法、司法等部门,通过国内法律程序获取美国公司在境外存储的数据。可见,相关数据对于公共利益的实现具有重要价值。当相关政府部门进行监管和个案调查需要某些数据时,平台有义务予以提供,以维护社会公共利益。
总的来说,无论是宏观的政府决策,还是具体的行政监管和个案调查,都需要平台及时报送准确充分的数据。政府对平台数据的客观需求,会随着平台对数据控制量的增加而不断增加。权利义务具有对等性,作为掌控海量数据的网络平台,在不断挖掘和利用数据商业价值的同时,基于公共利益的需要,当然要承担相应的数据报送义务。不同于平台的其他义务,如身份审查登记、定期核验更新、保障交易安全、健全信用评价、加强知识产权保护等义务,实质上是政府“将自身的一部分治理任务分配给了平台”,[33]数据报送义务的对象是政府,报送目的一般并不是直接为了保护平台用户的权益,而是为了协助政府更好地实现公共职能。《电子商务法》第7条已明确提出,“国家建立符合电子商务特点的协同管理体系”。平台积极履行数据报送义务,是互联网时代平台经济协同共治的客观要求。
随着数字经济的不断发展,数据的价值会得到越来越重要的体现,政府要求平台报送数据的情形必将愈加普遍。然而,不适当的数据报送义务,不仅可能侵害个人信息、损害商业秘密,而且还可能导致我国企业“走出去”受到歧视性对待。[34]例如,域外一些企业和机构往往认为我国政府很容易从企业获取数据,从而经常以数据不安全为由阻止我国企业海外并购,此类事件已经屡见不鲜。[35]个人信息保护不力的国家,肯定会在国际人权与国际贸易方面腹背受敌,受到其他国家或国际组织的打压。[36]在全球正大力发展数字经济的新背景下,我国应当不断推进平台数据报送的法治化,建构科学合理的平台数据报送义务机制。
(一) 履行数据报送义务的前提:数据权属清晰
清晰的数据权利归属,是正当报送数据的前提。平台所控制的数据,并不一定都归平台所有。平台既是数据的生产者,也是数据的存储、管理和使用者。根据不同的数据来源以及数据的使用、管理情况,应清晰界定数据权属,以明确数据报送的内容与权限。如果所要报送的数据属于用户个人所有,或属于个人与平台共有,那么平台擅自报送这些数据就可能构成侵权。因此,只有数据权属清晰,平台报送数据才可能避免来自数据主体的侵权指控。
然而,对于是否应当确立数据权利,理论上还存在分歧,目前有两种主流观点,即赋权说和非赋权说。赋权说认为,应当为数据主体赋权,通过数据权利主体有效制约数据滥用。如果在法律上不能保护自然人对个人数据的自主利益,就无法防止数据被非法收集、使用和转让,就等于拆除了自然人既有的人格权和财产权的权利屏障,最终危害自然人的人格尊严和人格自由。[37]就赋权类型而言,可以在区分个人信息和数据资产的基础上,进行两个阶段的权利建构:对于个人,应在个人信息或者初始数据的层面,同时配置人格权益和财产权益;对于企业,基于数据经营和利益驱动的机制需求,应分别配置数据经营权和数据资产权。[38]非赋权说则认为,数据主体不应享有绝对权利,不应当为数据主体赋权,以保障数据最大程度地流通使用。基于主体不确定、外部性问题和垄断性的缺乏,数据权利化难以实现。[39]个人信息具有社会性、公共性,“个人信息的使用不应当由个人决定”“不是让个人控制个人信息 (赋权) ”。[40]由于“个人数据信息具有数量大、价值密度低、智能处理以及信息获得和其使用结果之间相关性弱等特征”,在大数据时代无法以隐私权、财产权或者其他类型的私权利来对待个人数据信息,应当将个人数据信息作为公共物品。[41]
针对上述两种截然对立的观点,本文认为,应当科学合理地配置数据主体权利,既有效保障数据安全,又充分促进数据有序自由流通。在大数据时代,数据能够带来实实在在的利益,赋予个人、企业、政府等不同主体以数据权利,将数据权作为法定权利予以体系化保障,对于数据安全的维护和数据价值的实现至关重要。具体而言,平台所控制的一部分数据,属于用户个人,应当赋权给个人。例如,用户的身份信息、联系方式、收货地址、订单信息、评价信息等数据,原则上应属于个人所有。对于个人数据权来说,个人对自己的数据可以自由处分,甚至获取相应的收益。从性质上看,个人数据权具有复合属性,既具有人格权也具有财产权的特性。根据权利的内容不同,个人数据权又可细分为同意权、访问权、被遗忘权、纠正权、可携带权、获益权、拒绝权等多项具体权利类型。平台所控制的注册用户数量、销售某类商品的数量、供销渠道、销售记录、某类商品被投诉情况等数据,以及平台通过智力劳动形成的大数据,原则上应属于平台所有,应当赋权给平台。对于企业数据权来说,实际上属于大数据时代的一种新型财产权。另外,还有一部分数据可能属于个人与平台共有。
总之,平台所报送的数据并不一定属于平台所有。对于平台所要报送的数据,涉及不同数据主体的所有权。尽管虚拟空间的网络数据,在占有、使用上不同于实体空间的物体所有,多个主体在不同的空间可以同时占有、使用同一网络数据,但也不能随意侵犯数据权益。平台报送数据既可能涉及个人的数据权,也可能涉及属于平台自身的数据权。对于属于平台所有的数据,平台当然具有处置权限,可以自由报送;但是对于平台控制的个人所有的数据,或个人与平台共有的数据,平台或许不能随意报送,需要受到一定的约束,否则可能侵犯个人数据权。因此,正当报送数据首先需要明晰数据的权属。
(二) 履行数据报送义务的边界:合比例性权衡
履行数据报送义务应当有合理的边界,避免义务的无限扩张。立法者应科学合理地确定数据报送义务的边界,明确数据报送条件与报送范围。数据权属明晰了,并不表明数据权利就是绝对的。没有绝对的权利,无论是个人还是组织,在行使权利时都应当承担相应的义务。[42]正如马克思所认为:“ (自由) 只有在不受‘他人的同等权利和公共安全’或‘法律’限制时才是无限制的。”[43]出于维护社会正义的目的,权利应当自我限缩,权利的行使应当有助于社会公共福祉的实现。在保护数据权利的同时,还要保护他人的知情权、言论自由权、科学研究权等权利和社会公共利益。[44]对于个人数据来说,除了帮助个体维持人格尊严或人格利益外,还存在不容忽视的社会价值和公共价值。个人数据权的设置应促进数据利益共享,提高社会治理的效率性与公平性,平衡不同群体的数据利益。
平台报送的数据即使可能涉及个人数据权、企业数据权,但也不表明完全不能报送。“即便是强调数据主体权利的欧盟,也并未将其作为一种绝对权利来保护。”[45]有权利必有义务,履行义务有利于更好地实现权利。个人数据权很重要,平台数据权很重要,公共利益同样也很重要。平台究竟是否应当报送数据,该报送哪些数据,实际上涉及公共利益与企业利益、个人利益之间的平衡。但并非只要是基于公共利益,平台任何时候都应当报送任何数据。“政府管理部门不能因为这些数据信息有助于其行政职能的实现,就认为自己可以任意索取,甚至是控制和支配。”[46]数据报送义务的边界确定,不能单纯片面强调任何一方的利益,应当遵守比例原则,实现多元利益的均衡。
首先,数据报送应当符合目的正当性原则。只有出于公共利益的需要,平台才应当报送数据。如果数据报送请求是为了谋取公职人员个人利益或其他团体利益,则不具有目的正当性。平台也不能出于谋取非法利益,而违法向政府报送数据。政府请求报送数据应当具备明确的目的,而不能仅仅以维护“公共利益”为名宽泛地提出请求。因为“公共利益”极易被滥用,“公共利益作为典型的不确定性概念,使得准确界定其内涵与外延成为不可完成的任务。”[47]目的限定有利于限制国家机关的权力,保障数据安全。[48]
其次,数据报送应当符合适合性原则。适合性原则要求手段有助于目的的实现,即手段与目的间存在实质关联性。数据报送与政府所要实现的公共治理目的之间应具有实质关联性。如果政府所要求平台报送的数据,同公共目的没有任何关联,无助于目的的实现,那么就不符合适合性原则。因此,无论是政府临时要求报送的数据,还是平台日常主动报送的数据,都应当有助于正当目的的实现。
再次,数据报送应当符合必要性原则。必要性原则要求在相同有效性的手段之中,应当选择最小损害的手段。平台所报送的数据不仅可能涉及个人数据权,还可能涉及企业数据权,如果政府能够通过其他更小损害的手段实现公共性目的,就不应要求平台报送数据。如果数据报送不可避免,政府也只能在有助于公共性目的实现的必要限度内,要求平台报送相关数据。平台只应在必要限度内报送数据,应当禁止政府过度的数据请求。如果报送涉及敏感性个人数据,平台应当做脱敏处理。敏感性数据属于个人数据权的核心及本质内容,任何主体都不得随意侵犯,除非个人同意放弃,或法律有特别规定。无法脱敏或脱敏后没有价值的数据,可以考虑不予报送,并充分说明理由。欧盟《一般数据保护条例》第9条规定,原则上禁止处理反应个人种族或民族起源、政治观点、宗教或哲学信仰、能有效识别自然人的生物数据,或涉及自然人健康、性生活、性取向的数据。
最后,数据报送应当符合均衡性原则。即使数据报送是最小损害的手段,也并不必然具有正当性。政府要求数据报送对企业、个人所造成的负担,同对公共利益的促进应当成比例。如果损益显失均衡,则不应报送数据。无论是立法者在制定数据报送义务条款时,还是行政机关或司法机关依法要求平台报送数据时,都应当进行审慎的利益权衡。如果数据报送会对企业利益和个人利益造成过度损害,就是不正当的。
(三) 履行数据报送义务的程序:确保数据安全
数据报送程序的规范化,对平台和政府都有益处。对平台而言,平台依正当程序报送数据,既可以有效保护个人数据从而减少来自用户的指控,又可以有效阻挡政府不正当的数据报送请求从而保障自身权益;对政府而言,依正当程序请求报送数据并处理数据,既可以及时获取平台的数据从而有效促进公共利益,又可以最大程度地减少数据安全隐患。因而,数据报送义务履行程序应当规范化。平台应当不断完善数据对外披露规则,制定数据报送实施细则,确立严格的数据报送程序。
数据报送应当遵守规范化的程序,符合正当法律程序原则。第一,数据报送启动程序。对于常规报送,一旦符合法定条件,平台就应当及时启动报送程序;对于临时报送,应当由政府相关部门的正式数据提供书面请求,方可启动报送程序,情况紧急可以例外。平台拒绝报送数据的,应当充分说明理由。第二,数据报送实施程序。平台内部应当不断完善数据报送流程,完善分级审核程序。正式报送前应进行一定的数据安全影响评估。欧盟《一般数据保护条例》第35条要求数据控制者考虑数据处理的性质、范围、场合和目的,如果将对个人的权利与自由带来较大风险时,应当先进行数据保护影响评估 (Data Protection Impact Assessment,简称DPIA) 。数据报送时应当遵循透明原则,相关数据主体具有知情的权利。如果需要获取相关数据主体的同意,应当履行获取同意程序。对于敏感数据,应建立健全科学的脱敏处理程序。由于敏感数据的公开和传播不仅会带来隐私权损害,而且还会带来政治或社会上的歧视,妨害人格尊严和基本权利,所以需要采取更加严格的数据安全保护措施。[49]第三,数据报送接收程序。对于平台报送的数据,应逐步实现全程电子化数据对接,完善数据登记和安全保障程序。第四,数据分析处理程序。对于平台报送的数据,政府相关部门应当严格按照规范的步骤与方式进行分析处理。如果需要委托给第三方机构分析处理的,委托程序应当公开、公平、公正。
(四) 数据报送义务的保障:明晰平台与政府的责任
为了促进数据报送义务的充分落实,有必要设置清晰的责任机制约束平台和政府。平台履行数据报送义务以合目的性为准则,报送的数据必须全面、完整、真实,不得经过篡改。如果平台报送的数据质量不合格,或者不依法及时主动报送数据,就应当承担相应的法律责任。对于平台报送的数据,政府应运用适当的技术手段与组织措施,不断提升数据安全保障水平。“算力的增长和算法的演化极大地增强了大数据时代的数据挖掘和处理能力”,[50]政府应加强数据安全管理,积极承担数据安全保障责任。对于获取的数据,政府相关部门根据法律规定或约定,必须承担严格的保密义务。平台依据协议负有保障用户数据安全的义务,如果报送后发生了数据泄露,用户有权要求平台承担责任。因此,只有明确了政府的数据安全保障义务与责任,才可以有效保障数据安全,才能使平台安心积极报送数据,减少平台履行义务的后顾之忧。
在数据使用过程中,政府相关部门不得随意改变数据报送请求的原初目的,不能随意向第三方泄露,更不得用来非法交易。政府相关部门除了应当遵守个人信息处理的专门规范外,还要遵守作为行政管理者的一般行政法规范。政府相关部门应当着力提高数据分析能力,减少委托第三方进行数据分析,最大限度避免数据泄露。为了使政府公职人员更审慎地使用数据,更积极地保障数据安全,应当设定相应的责任。如果由于政府管理部门的过错导致数据信息泄露、丢失、毁损,侵害当事人合法权益的,管理部门应当依法承担损害赔偿责任。[51]处理数据构成犯罪的,还应当追究刑事责任。
在大数据时代,数据不仅具有重要的商业价值,而且还具有重要的公益价值。但无论是私主体还是公权力主体,获取数据的目的必须正当,获取数据的方式必须合法,获取数据的范围都存在边界。数据是基础性战略资源,是21世纪的“钻石矿”。在大数据时代,实现国家治理能力现代化,加快建设数据强国,关键就在于数据的流动和充分利用。伴随全球数字经济的蓬勃发展,我国正在着力制定《个人信息保护法》《数据安全法》,如何合理建构网络平台的数据报送义务,既充分利用数据实现政府公共职能,又有效保护企业、个人等多元数据主体的利益,是数字经济所面临的一项重要时代课题。
[1] 例如,国家市场监督管理总局2019年4月30日发布的《网络交易监督管理办法 (征求意见稿) 》共70条,直接涉及数据报送的条款多达7条。《电子商务法》第25条:“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供……”。第28条:“电子商务平台经营者应当按照规定向市场监督管理部门报送平台内经营者的身份信息,……向税务部门报送平台内经营者的身份信息和与纳税有关的信息……”。《网络安全法》第38条:“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”
[2] Teresa Scassa, Sharing Data in the Platform Economy:A Public Interest Argument for Access to Platform Data, 50 U.B.C.L.Rev.1017, 1017 (2017) .
[3] 参见薛军:《电商数据信息提供应谁说了算?》,《新产经》2016年第6期,第86-87页。
[4] 参见薛虹:《论网络服务提供者的信息提供义务》,《中国版权》2012年4期,第18页。
[5] 参见平台数据课题组:《互联网数据平台协助义务的域外实践及其对中国的启示》,《行政法论丛》2016年第18卷,第365-388页。
[6] 参见丁道勤:《基础数据与增值数据的二元划分》,《财经法学》2017年第2期,第5页。
[7] 《电子商务法》第30条第2款:“电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。”
[8] 《电子商务法》第28条:“电子商务平台经营者应当按照规定向市场监督管理部门报送平台内经营者的身份信息,……电子商务平台经营者应当依照税收征收管理法律、行政法规的规定,向税务部门报送平台内经营者的身份信息和与纳税有关的信息……”。
[9] 《网络安全法》第52条:“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”
[10] 例如,2018年中国互联网金融协会发布《关于报送互联网资产管理业务整改情况相关数据的通知》,要求相关企业每两周报送一次数据,涉及互联网开展资产管理业务的企业基本信息和业务信息。
[11] 《网络安全法》第28条:“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”
[12] 参见杨志湘:《关于落实信息报送法律规定加强政企信息共享的建议》,《中国工商报》2018年9月27日,第3版。
[13] 电子商务法起草组编著:《中华人民共和国电子商务法条文释义》,法律出版社2018年版,第91页。
[14] 参见刘权:《〈电子商务法〉修改意见》,《中国经济报告》2018年第1期,第66页。
[15] 2017年5月8日,腾讯公司回复某法院的《调查函回函》称:“由于微信聊天记录采用‘点对点’和‘加密’技术进行传输,我方未保存聊天记录,其仅保存在用户自己的手机或电脑等个人终端设备上,仅用户自己可查看,我方既无法也无权利查看,因此无法协助提供。”
[16] 例如,2017年5月27日,深圳一名女性骑ofo单车将行人撞倒后弃车逃离。6月6日,深圳交警通报称:“共享单车肇事,嫌疑人逃逸,企业拒不配合调查,交警将依法查办”。6月8日,深圳交警再次发布通报称,ofo公司相关负责人经口头通知后,一直未到交警部门主动配合调查。6月9日,ofo发布《关于深南大道事故的说明》:“基于保障用户信息安全,ofo小黄车公司对于内部资料查询与审核有严格的程序规定,虽在过程中引发双方沟通上的误解,但ofo还是在事发当天将所需数据提供给相关单位。”
[17] 参见前引[12],杨志湘文,第3版。
[18] 参见前引[5],平台数据课题组文,第387页。
[19] 参见[法]莱昂·狄骥著:《宪法学教程》,王文利等译,郑戈校,辽海出版社、春风文艺出版社1999年版,第6-12页。
[20] See Kenneth A.Bamberger&Orly Lobel, Platform Market Power, 32 Berkeley Tech.L.J.1051 (2017) .
[21] [美]杰奥夫雷G.帕克、马歇尔W.范·埃尔斯泰恩、桑基特·保罗·邱达利:《平台革命:改变世界的商业模式》,志鹏译,机械工业出版社2017年版,第XI页。
[22] 高薇:《互联网时代的公共承运人规制》,《政法论坛》2017年第4期,第87页。
[23] 社交平台如Facebook、微信等;服务交易平台如Uber、滴滴出行、携程网等;金融科技平台如Apple pay、蚂蚁金服、宜信等;搜索平台如Google、百度等;内容提供平台如You Tube、优酷等。
[24] 参见[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第8页。
[25] 宁家骏:《大数据安全形势下电商的机遇与挑战》,《信息安全研究》2016年第2期,第187页。
[26] 祝卫:《大数据+:电商腾飞的翅膀》,《贵阳日报》2015年5月18日,第6版。
[27] 参见宋亚辉:《网络市场规制的三种模式及其适用原理》,《法学》2018年第10期,第93页。
[28] 高秦伟:《社会自我规制与行政法的任务》,《中国法学》2015年第5期,第73页。
[29] 参见刘权:《分享经济的合作监管》,《财经法学》2016年第5期,第50页。
[30] 参见方军、程明霞、徐思彦:《平台时代》,机械工业出版社2018年版,第210页。
[31] 参见洪冬英:《司法如何面向“互联网+”与人工智能等技术革新》,《法学》2018年第11期,第179-180页。
[32] 周汉华:《中华人民共和国个人信息保护法 (专家建议稿) 及立法研究报告》,法律出版社2006年版,第57页。
[33] 叶逸群:《互联网平台责任:从监管到治理》,《财经法学》2018年第5期,第53页。
[34] 参见个人信息保护课题组:《个人信息保护国际比较研究》,中国金融出版社2017年版,第23页。
[35] See Ana Swanson&Paul Mozur, MoneyG ram and Ant Financial Call Off Merger, Citing Regulatory Concerns, The New York Times, Published Jan 04, 2018.2018年,阿里巴巴收购出价12亿美元的速汇金失败,该交易遭到了美国议员的猛烈抨击,被指可能会让中国掌握美国的用户数据。再如,美国电话电报公司退出了在美国销售华为Mate 10智能手机的协议,理由是存在用户隐私和安全问题,参见Paul Mozur, AT&T Drops Huawei's New Smartphone Amid Security Worries, The New York Times, Published Jan 04, 2018.
[36] 参见前引[32],周汉华书,第37页。
[37] 参见程啸:《论大数据时代的个人数据权利》,《中国社会科学》2018年第3期,第116页。
[38] 参见龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》2017年第4期,第75页。
[39] 参见梅夏英:《数据的法律属性及其民法定位》,《中国社会科学》2016年第9期,第173-174页。
[40] 高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期,第93、98页。
[41] 参见吴伟光:《大数据技术下个人数据信息私权保护论批判》,《政治与法律》2016年第7期,第116-132页。
[42] 参见刘金瑞:《个人信息与权利配置:个人信息自决权的反思和出路》,法律出版社2017年版,第118页。
[43] 《马克思恩格斯选集》 (第1卷) ,人民出版社1972年版,第615页
[44] 参见前引[32],周汉华书,第57页。
[45] 京东法律研究院:《欧盟数据宪章——〈一般数据保护条例〉 (GDPR) 评述及实务指引》,法律出版社2018年版,第57页。
[46] 参见前引[3]薛军文,第86页。
[47] 杨会新:《去公共利益化与案件类型化——公共利益救济的另一条路径》,《现代法学》2014年第4期,第15页。
[48] 参见张才琴、齐爱民、李仪:《大数据时代个人信息开发利用法律制度研究》,法律出版社2015年版,第73页。
[49] 参见高富平主编:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016年版,第65页。
[50] 江山:《大数据语境下卡特尔发现的范式转换》,《当代法学》2019年第2期,第102页。
[51] 参见前引[3],薛军文,第86页。
文章来源:《当代法学》2019年第5期
仅作学习交流之用
往期荐读
编辑:韩雨硕