【数据法学】付伟:全球数据治理体系建设与中国的路径选择研究
B D A I L C
欢 迎 关 注
数据治理体系建设是推动数字经济高质量发展的关键。美国和欧盟正在加紧构建符合自身利益诉求的数据治理体系,并力图引领全球数据治理,提升数字经济发展水平。我国数据治理体系建设尚不完善,国家数据安全和个人隐私保护的呼声较高,相关立法进展也较为迅速,有关促进数据产业和数字经济发展的法律规则相对不足。该文认为我国数据治理体系构建需要综合考虑基本国情、数据安全、产业发展和隐私保护,要加快构建满足国家数据安全、数据产业发展和个人隐私保护的“三方均衡”的数据治理体系。
Vahe Yeremyan
全球数据治理体系建设与中国的路径选择研究
文 / 京东法律研究院高级研究员 付伟
数字世界与物理世界既存在显著的差异又具有广泛而密切的联系。数字世界一旦缺乏有效的治理规则,则会将物理世界的假、恶、丑等现象映射到虚拟的数字世界,最终会阻碍数字世界的有效运行和人类社会的健康发展。随着人类社会加速进入数字经济时代,世界主要经济体和国家根据自身发展需要正在加紧构建数据治理体系。中国应该以国家数据安全为出发点,兼顾数据产业发展和个人隐私保护需求,积极借鉴欧美等发达国家数据治理体系建设经验,加快构建符合我国根本利益的数据治理规则体系。
一、数据治理的概念、内涵及目标
数据治理(Data Governance)早期主要指组织和机构对其所拥有的数据进行管理的各个方面。有机构将数据治理定义为一种确保数据在全生命周期中高质量存在的能力,重点包括数据的可得性、可用性、一致性、完整性和安全性等,通过构建流程以确保数据在机构组织中得到有效的管理。也有学者认为数据治理不仅是通过数据管理提升数据能力,更注重数据相关的流程设定和治理职责划分,因而数据治理是围绕数据资产展开的以组织决策为目标,包括数据管理的技术、过程、标准和政策的集合。
随着数字经济的快速发展,脸书用户个人信息泄露事件、LinkedIn Vs hiQ案件、头腾(头条和腾讯)大战、剑桥分析事件等大量有关数据的问题不断暴露出来,个人隐私保护、数据产业发展、国家数据安全等等开始成为关注的重点。数据治理概念和内涵开始不断扩大,数据治理的主体从组织机构扩张到国家政府,数据治理的目的也从单纯的追求经济利益扩张到维护安全、保护隐私、促进发展等多元化目标。基于此,笔者将数据治理定义为,一国政府对其数据在收集、处理、利用、保护等方面采取的立场、主张以及与之对应的政策、策略和措施的集合。在这个层面上,可以进一步将数据治理分为国内数据治理和国际数据治理两大部分,其中国内数据治理的内容主要包括数据权属问题、个人隐私保护、数据流通利用等,国际数据治理则包含数据的跨境流动问题、域外管辖问题和隐私安全问题等等(见图1)。国内外通用的数据治理方法包括法律法规、行业自律、标准规范、双多边协议、执法规则等方面。
数据治理体系是国家法治化发展的重要组成部分,对于增强人们利用信息技术、发展数字经济的信心至关重要,也是有效保障国家数据安全、促进数据产业发展和保护个人隐私的基本要求。欧盟《通用数据保护条例》GDPR实施之后,美国信息技术创新基金会(ITIF)对21个国家的研究显示,在一定的个人信息保护水平基线以下,提升个人信息保护水平可以提高人们的信任水平并促进数字经济的发展,当个人信息保护水平提高到基线以上时,继续加强监管并不能带来额外的信任,也不能进一步促进数字经济发展,并可能抑制或减少数字经济创新。数据治理需要与国民经济、社会发展水平以及产业阶段相适应,否则会产生相反的效果。数据治理规则对数字经济产生影响的机制可以简单的描述为:当数据保护水平不足时,发展数字经济缺乏必须信任基础,从而不利于数字经济发展;当数据保护水平不断提升时,人们对发展数字经济的信任也随之增强,并有助于促进数字经济发展;当数据保护水平过高时,数字企业的合规成本超过了创新预期可以带来的收益,最终不利于数字经济发展。因此,数据治理的核心目标是寻求最佳的数据监管水平或强度,以保证个人隐私保护、数据产业发展和国家数据安全的诉求得到不同程度的满足,并根据实际的需要进行调节以达到全社会的利益最大化。
二、欧盟、美国和部分发展中国家数据治理体系建设
世界各国和地区已经围绕数字技术和数字生态展开了激烈的竞争,以数据治理为代表的规则体系将是下一个重要的竞争领域。以欧盟、美国为代表的发达国家和地区,正在不遗余力的推动其数据治理规则和理念走向全球,更多的发展中国家也在积极构建维护自身利益的数据治理规则。
(一)欧盟构建基于高水平数据保护规则的数据治理体系
欧盟是全球主要的数字经济市场之一,其互联网日均活跃用户超过3亿,预计到2020年潜在数据经济增加值将超过7000亿欧元,同时创造超过1000万个就业岗位。然而由于成员国之间的语言、法律、标准、发展水平等存在差异,欧盟数字市场的碎片化非常严重,数字经济企业分布不均,更是缺乏骨干的互联网企业,成员国之间的在线服务活跃度低。从供需关系来看,美国企业始终是欧盟最大的数字产品及服务提供商,欧盟则主要扮演着数字市场消费者的角色。在此背景下,欧盟确立了构建数字单一市场的战略,一方面建立高水平的数据治理规则,另一方面消除区域内数字壁垒,鼓励数据区域内充分自由流动。欧盟的数据治理体系已经基本形成。
首先,欧盟出台了统一的数据保护规则,建立较高的数据保护标准,对欧盟数据接收国家、地区和企业提出“充分性”保护要求。欧盟2018年5月正式实施的《通用数据保护条例》(GDPR)构建了一套高标准的数据保护机制,赋予了数据主体访问权、被遗忘权、限制处理权、可携带权、拒绝处理权、获取信息权等大量的权利,其中被遗忘权、可携带权为GDPR创设的新权利,同时欧盟还通过建立“白名单”制度对其数据流入国进行严格限定,对损害欧盟公民个人数据权益的企业提出了巨额罚款。除此之外,拟于2019年实施的《电子隐私条例》将作为GDPR的特别法,对个人电子通信数据提出了更高的保护标准和要求。
其次,围绕推进欧盟数字单一市场战略的需求,大力支持各类数据在欧盟境内自由流动,以消除区域内的数字壁垒,促进欧盟数字经济发展。欧盟在其《欧洲数字议程》和数字单一市场战略中都显示出其对数据相关财产权益的重视和认可。GDPR正文开篇就强调,“不得以保护自然人个人数据处理为由,限制或禁止个人数据在欧盟的自由流动”。除此之外,欧盟还在积极探索企业间数据共享和非个人数据在欧盟境内自由流动的规则和机制建设。例如,欧洲理事会2018年4月发布《欧洲企业间数据共享研究报告》,强调企业间数据共享对欧洲数据经济发展的重要作用;欧盟委员会2018年10月通过了《非个人数据在欧盟境内自由流动框架条例》,以促进欧盟内部非个人数据在欧盟境内自由流动。
最后,为满足安全和执法诉求,欧盟提出了数据的域外管辖要求。虽然GDPR的“属人”管辖原则可以看作是一种变相长臂管辖,但欧盟并不满足于此,进一步提出了《电子证据跨境调取的议案》,该议案基于安全和执法需要,可以直接向在欧盟境内运营的企业要求调取其存于欧盟境外的数据。
总体来讲,欧盟数据治理体系建设已经取得了不错的成绩,尤其是GDPR自正式实施以来,在构建成员国数据保护机构之间合作机制和欧洲数据保护委员会的一致性机制取得了显著进展,截止到2019年2月,欧洲经济区的31个国家的数据保护机构共接到206326起案例报告,其中52%已经结案,累计行政罚款超过5595万欧元。同时,欧盟的数据治理理念和规则已经开始对其他国家的相关规则制定产生重大影响。特别是在个人数据和隐私保护保护方面,包括日本、印度、韩国、巴西在内的很多国家已经或者在推进类似GDPR的数据保护立法。
(二)美国构建基于全球数据自由流动的数据治理体系
美国依仗其在数字技术、专利标准、商业品牌、数字内容等领域的领先优势,控制着全球数字经济的关键领域和产业链环节,其对数据的控制能力和分析能力远超其他国家。因此,美国数据治理体系的核心是在全球范围内消除贸易壁垒,支持数据在全球范围内自由流动,为其数字经济企业进军全球市场扫清障碍,但对于一些特殊领域的数据也会制定专门的规则予以严格保护。
第一,对外输出数据全球自由流动理念,并将其作为贸易战略的关键组成部分之一。美国没有就个人数据和隐私保护进行统一立法,并特别重视行业自律在数据保护中的作用,仅在公共机构、金融、教育、保险和儿童上网隐私等涉及敏感个人信息的领域进行单独的立法,例如医疗数据主要受《美国健康保险携带和责任法案》(HIPAA)保护,金融服务数据主要受《格雷姆-里奇-比利雷法案》(GLBA)保护。同时,美国高度重视数字贸易的发展,并将其作为贸易战略和贸易谈判的重心。为此,美国政府积极推动全球数据的贸易规则制定,在与欧盟、墨西哥、加拿大等国家和地区签订协议中,增加消除数据流动壁垒的条款,促进双边的数字经济与贸易活动。
第二,以国家安全为由就特定领域的数据提出限制出境或严格审查要求。一方面,美国依据《出口管理条例》(EAR)对军民两用技术的技术参数数据及数据库的出口许可予以严格限定,尤其是一些关键的参数数据集禁止出境。另一方面,为应对先进技术扩散的风险,美国已经开始限制外商对包括数据在内的高科技领域进行投资。2018年8月美国快速通过《外商投资风险评估现代化法案》(FIRRMA)。如果外商投资美国高科技企业涉及收集、处理、存储美国公民的敏感信息,美国将依据《外商投资风险评估现代化法案》对该项投资及涉事企业进行审查。而在诸如电信业等核心领域,美国外资投资委员会(CFIUS)明确要求国外网络运营商在美国为消费者提供通信服务的通信基础设施应位于美国境内,并将通信数据、交易数据、用户信息等仅存储在美国境内。
第三,寻求数据领域的域外管辖区,制定出台旨在为增强美国执法机构获取数据的能力法案。2018年3月,美国国会通过了《澄清境外合法使用数据法》(CLOUD法案),授权美国执法机构可要求在美国运营的主体提供境外存储的数据。
此外,脸书个人用户数据大规模泄露事件爆发后,美国联邦政府和州政府层面的个人信息和隐私保护要求有所加强,特别是部分州政府加快出台个人信息和隐私的保护法规。2018年6月《加州消费者隐私保护法案》快速获得通过,而联邦层面统一的隐私保护立法业已提上议程,美国国会和社会各界展开了激烈的讨论。值得注意的是,《加州消费者隐私保护法案》的立法理念(选择退出,Opt-Out)与GDPR(选择进入,Opt-In)存在较大差异,而且严厉程度也不及GDPR。总之,美国数据治理体系构建的核心始终是围绕支持全球数据自由流动以消除数字贸易壁垒,服务于其贸易战略和国家整体利益。
(三)发展中国家普遍采纳谨慎的防御型数据治理规则
发展中国家在数据安全保障能力、数据控制能力和数据分析能力普遍与发达国家存在较大差距,其经济发展阶段仍然处于工业化过程中,没有系统完善的数据治理规则体系。但是,面对全球数字经济发展的浪潮,特别是近年来出现了一些基于数据收集和分析的而危害国家安全的事件开始出现,发展中国家普遍存在非常强烈的不安全感,由于担忧过于宽松的数据监管环境会威胁到国家安全和政权稳定,发展中国家比较倾向于限制数据自由流动的主张和规则。总体来看,很多发展中国家主要从维护国家数据安全和保护个人数据的层面出发,提出包括在本地建立数据中心、在本地处理和存储数据、在本地进行特殊数据的容灾备份等要求。例如,越南早在2013年就要求互联网服务提供者需在境内建设至少一个数据中心,且部分特殊数据需本地化存储;2018年9月巴西出台了《一般数据保护法》,对个人数据的收集、使用、存储和处理制定了详细的规则,并要求数据跨境传输时,数据接收方所在国家的数据保护达到充分性保护水平。虽然限制数据跨境流动的规则可能对全球数字贸易带来负面影响,也不利于这些发展中国家融入全球经济体系和数字转型,但部分要求和规则也是发展中国家维护国家数据安全和保护个人隐私非常有限的手段和措施之一。
* 付伟:京东集团法律研究院产业经济研究中心主任,北京邮电大学工学博士,曾入选国家外国专家局办公室、工业和信息化部办公厅第三批中青年技术专家,主要从事数据产业、数据治理、数字经济及信息化理论与政策领域的研究工作。
[1] 周宏仁:《信息化论》,北京:人民出版社,2008:580.
[2] Data governance. [2019-5-8] https://en.wikipedia.org/wiki/Data_governance
[3] 张宁,袁勤俭. 《数据治理研究述评》载《情报杂志》,2017(05):133-138+167.
[4] 付伟:《中国数据产业发展研究》,北京邮电大学博士论文,2019:102-103.
[5] ITIF. Why Stronger Privacy Regulations Do Not Spur Increased Internet Use. http://www2.itif.org/2018-trust-privacy.pdf
[6] European Commission. Final results of the European Data Market study measuring the size and trends of the EU data economy. (2017-5-2)[2019-2-20] https://ec.europa.eu/digital-single-market/en/news/final-results-european-data-market-study-measuring-size-and-trends-eu-data-economy
[7] 京东法律研究院:《欧盟数据宪章》,北京:法律出版社,2018:24-27。
[8] 京东法律研究院:《欧盟数据宪章》,北京:法律出版社,2018:226。
[9] European Data Protection Board. First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities[R], 2019-2:
[10] 付伟,于长钺:《美欧跨境数据流动管理机制研究及我国的对策建议》载《中国信息化》,2017(06):55-59。
[11] 茶洪旺,付伟,郑婷婷:《数据跨境流动政策的国际比较与反思》载《电子政务》,2019(05):123-129。
[12] 值得注意的是,加州《消费者隐私保护法案》是一部自下而上推动的法案。2017年,美国地产商人Alastair Mactaggart发起了一项旨在加强隐私保护的投票倡议,获得超过60万人签名,并计划于2018年11月份在州选举时进行投票。由于通过民间投票形成的法案极难修改,且加州相关企业及加州众议院议员对倡议诉求不能完全接受。议员与Mactaggart团队随后开展了谈判工作并达成协议:由众议院起草一份替代法案,如果在2018年6月28日前获得通过,Mactaggart将撤销倡议。加州《消费者隐私保护法案》于2018年6月28日获得加州议会通过,并于2020年1月1日生效。
[13] 茶洪旺,付伟,郑婷婷:《数据跨境流动政策的国际比较与反思》载《电子政务》,2019(05):123-129。
Vahe Yeremyan
往期荐读
编辑:韩雨硕