专业解读 | 数据流通迈向3.0,如何利用更安全合规?
编者按
数据作为一种新型关键生产要素,已成为企业市场竞争力的重要组成部分。数据合规已成为企业在激烈的市场竞争中实现健康可持续发展的“必答题”。合法合规既是数据得以流通和交易的首要原则,也是企业构筑自身数据资产的前提。
然而,在数据流通利用过程中,企业往往面临着数据权属界定不明、“猎杀式”数据集中等难点,极易落入侵犯用户个人隐私或者数据不正当竞争/垄断等违法困境。在“数据二十条”的背景下,如何确保数据利用依法合规进行以及如何解决数据流通利用时存在的难点问题,已受到各行各业的普遍关注。本文将基于以上难点问题,结合对境内外监管活动的现状分析和未来展望,提出数据合规流通利用的可行建议,以飨读者。
一、数据流通利用难点
(一)数据融合
1、数据融合的概念
数据融合是将不同来源的数据进行整合,从而获得更高质量信息的过程,其本质在于将数据进行高效流转和充分打通。
2、数据融合的场景
1)中央企业与国有企业:已经逐步开展数据融合汇聚业务,覆盖电信运营、互联网平台、金融、车联网、交通运输等行业领域。
2)民营企业:部分大型民企已经在企业内部开展数据融合汇聚业务,对于中小型民企而言,数据治理及数据确权工作的优先级相对较低。
3)境外跨国企业与国际化企业:在境内开展数据融合汇聚工作存在一定难度。受政策影响,此类企业需谨慎评估数据跨境等合规问题,或采取数据本地化的策略,以降低可能存在的合规风险。不过,跨国企业的境内实体与中国境内企业的数据交互活动可能将更为密切。
3、数据融合的法律基础
1)上游--数据源:数据获取的合法性;基于风控的概括同意有效性问题;授权同意的范围;数据存储(最小必要);与中游签订数据处理协议;积极响应数据主体行权。
2)中游--数据处理、分析的合规性评估:授权同意的范围;超越授权同意范围的数据交易和处理行为;数据存储的限制;针对上游数据源的尽职调查;与上、下游签订数据处理协议;如何响应数据主体行权。
3)下游--数据购买、利用:授权同意的范围;考虑利用数据的不同场景,数据脱敏/数据匿名化处理;数据存储(最小必要);针对中游数据获取、处理方式的尽职调查;安全保障措施和风险阻断措施;如何响应数据主体行权。
4、数据融合后的利用问题
1)考量合法性基础:数据来源是否具备合法性基础;数据主体的授权情况;与数据接收方签署数据处理协议的情况等。
2)满足数据利用合规要求:是否满足最小必要原则;是否超出相应的授权范围处理数据;是否存在侵犯个人隐私或其他合法权益的情形;安全内控措施是否具备等。
(二)数据权属
1、数据确权问题
数据权属问题也被描述为数据确权或数据产权问题,其核心宗旨是针对不同来源的数据,厘清各数据主体之间错综复杂的权利关系,通过法律制度等方式明确数据产权的归属。
《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出,根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,推进非公共数据按市场化方式“共同使用、共享收益”的新模式,为激活数据要素价值创造和价值实现提供基础性制度保障。
2、数据确权的必要性
数据权属未明引发的实践问题包括:在商业利用方面,无法顺利地进行数据获取、数据交易以及数据的应用;在合规问题上,带来了隐私风险、数据争议风险等。
国家发改委指出,在数据生产、流通、使用等过程中,不同主体(包括个人、企业、社会和国家)会有各自的利益诉求,且呈现复杂共生、相互依存、动态变化等特点,传统权利制度框架难以突破数据产权困境。
3、数据确权的难点
理论上,数据的法律属性未明,而数据的法律属性是界定数据产权的重要因素。这给数据产权的确权和保护带来了挑战。学界对于数据的法律属性存在多种观点,包括人格权、复合权利、财产权、新型财产权、知识产权等。实践方面,数据确权主要存在如下难点:
1)法律确权的探索收效甚微:尽管现有法律体系在保护数据财产方面有相关规定,如《民法典》第127条对数据的法律保护给出了明确规定,但是对于数据产权确权方面缺乏细致的规定,特别是在涉及到数据的收集、使用、交易等方面产生的权益分配问题上,法律确权仍处于探索阶段。
2)将数据的所有权益归于单方主体存在难以克服的局限性:将数据所有权益归于数据收集人(如企业),则有损于数据之上人格权等合法权利的行使;将数据所有权益归于被收集人(如用户),则不利于信息的合法利用和数据产业的发展。这也许需要通过市场机制或利益平衡等手段,在数据场景下以保障数据主体合法权利为前提,实现数据产权合理分配。
3)数据分级分类问题未解决:划分数据类型在一定程度上被认为是对数据进行确权的前提条件,数据本身具有极为复杂的类型和形态,如个人信息、企业数据和政务数据,原始数据和衍生数据等;在具体的行业中,数据的种类更是千差万别。但是现有的法律制度,尤其是数据分类体系中缺乏科学的、有针对性的数据分类标准,这使得数据资产的互联互通和准确可靠性存在较大风险和阻碍。
4、数据确权的方法探索——数据权属登记
1)数据知识产权登记:国家知识产权局于2022年11月发布《关于确定数据知识产权工作试点地方的通知》,将北京市、上海市、江苏省、浙江省、福建省、山东省、 广东省、深圳市等8个地方作为数据知识产权工作的试点地方;目前各个试点地方已分别从数据知识产权制度构建、登记实践、权益保护、交易使用等方面积极开展实践探索。
2)数据产品/数据资产登记:当前,多地已开展数据产品或数据资产登记实践探索。
广东省发布的《广东省数据流通交易管理办法(试行)》(征求意见稿)明确将开展数据资产登记工作;
深圳市发布的《深圳市数据产权登记管理暂行办法(征求意见稿)》从登记主体、登记机构、登记行为等多个方面对数据产权登记行为予以规范;
山东省在2022年7月发布数据产品登记团体标准《数据产品登记信息描述规范》《数据产品登记业务流程规范》,明确积极推进数据产品登记工作;
北京市于2022年7月设立了全国首个数据资产登记中心,并将建立数据资产登记相关政策和制度体系。
(三) 数据垄断
1、数据利用可能引发垄断风险
数据已成为数字化时代企业竞争和发展的重要因素。数据“拥有者”或主要使用者可能会因为其在某个领域的“独特性”而形成垄断地位,进而实施排除、限制竞争行为,使竞争秩序和消费者利益受到损害。
其中,横向垄断协议是数据垄断的典型表现。这种协议反映了竞争对手之间通常存在的互动方式,即通过共同控制数据或算法来排除或限制其他竞争对手的市场准入,最终达成固定价格、分配市场份额或其他行为的一致行动,从而影响整个市场的竞争格局。
2、《反垄断法》及其配套规章对数据的规制
为解决上述问题,《反垄断法》及其配套规章对利用数据、算法实施的垄断行为进行了规制。在垄断行为的认定中,数据成为了平台市场支配地位认定和经营者集中审查的考量因素。同时,《反垄断法》也禁止经营者利用数据达成垄断协议,并规定经营者不得利用数据实施滥用市场支配地位行为。
3、数据垄断的典型场景——公共数据的利用
公共数据基于行政权力往往天然带有垄断属性。
公共数据包括国家机关和法律、行政法规授权的具有管理公共事务职能的组织在履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。政务数据是其中的重要一部分,是各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。
为避免数据垄断并确保公共数据利用的合规性,需要明确公共数据的利用规则和界限。公共数据利用包括无偿使用以及有偿使用。其中用于公共治理、公益事业的公共数据可供无偿使用;用于产业发展、行业发展的公共数据可供有偿使用。对公共数据的利用需要做到公共数据资源可溯源,授权监管有据可循,做到公共数据全生命周期可靠、可信、可控、可溯源,提高公共数据的利用效益。
(四)数据抓取
1、数据抓取法律风险
非法的数据抓取行为可能构成非法侵入计算机信息系统罪、侵犯商业秘密罪、侵犯公民个人信息罪、非法获取计算机信息系统数据罪等罪名。
2、数据抓取的不正当竞争裁判规制
1)具有商业价值的数据:网络大数据产品不同于原始网络数据,其提供的数据内容虽然同样源于网络用户信息,但经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,最终呈现给消费者的数据内容,其特定的财产权益已独立于用户个人信息、原始数据之外,是与用户个人信息、原始数据相区别的数据类别。网络运营者对于其开发的大数据产品享有相对独立的财产性权益。
2)数据权属问题涉及数据开发者、平台使用者和用户之间的权益关系: 对于单一用户信息,平台不享有其财产性利益;对于原始网络信息,平台可以依照与网络用户的约定对原始网络数据(整合)享有使用权;对于网络大数据产品,网络运营者对其开发的大数据产品享有独立的财产性权益。在讨论数据权属问题时,要注意平台使用权与用户权益、公共利益的平衡,确保数据的利用符合其权益主体的意愿,符合数据互留互通的目标。
3)数据的使用规则:公开数据一般而言可确定为一种社会公共资产,每一位处理者均有处理公开数据的平等权利。因此对于公开数据而言,企业在一定程度上负有容忍他人使用的义务。对于公开数据处理的限制,应当局限在违法的数据处理行为,以及对社会公共利益的损害行为或对个人权益的侵害范围内。
4)Robots协议:Robots协议从诞生至今为互联网行业所普遍遵守,成为互联网行业自律维持网站与搜索引擎之间利益平衡的一种有效的行为规范。但不排除Robots 协议本身被滥用,故使用robots协议限制数据抓取需要有合法、正当理由。
5)实质性替代:实质性替代的本质是商业模式的复制和替代,是一种不折不扣的“抄袭”行为,构成反不正当竞争法意义上的“食人而肥”和“不劳而获”。企业应当通过合法的数据抓取方式,获取数据的开发权益,并创新商业模式,挖掘数据潜在价值,推动社会的创新发展。
二、境内外监管现状分析和未来展望
(一)境内监管现状与未来趋势
1、组建国家数据局
1)负责协调推进数据基础制度建设;
2)统筹数据资源整合共享和开发利用;
3)统筹推进数字中国、数字经济、数字社会规划和建设等。
2、“数据二十条”
1)四大数据基础制度:
数据产权制度:公共数据、企业数据、个人数据的分类分级确权授权制度;数据资源持有权、数据加工使用权、数据产品经营权三权分置制度。
数据要素流通和交易制度:完善数据全流程合规与监管规则体系;统筹构建规范高效的数据交易场所;培育数据要素流通和交易服务生态;构建数据安全合规有序跨境流通机制。
数据要素收益分配制度:健全数据要素由市场评价贡献、按贡献决定报酬机制;更好发挥政府在数据要素收益分配中的引导调节作用。
数据要素治理制度:创新政府数据治理机制;压实企业的数据治理责任;充分发挥社会力量多方参与的协同治理作用。
2)稳步推进制度建设:
制定关键环节的政策及标准;
完善相关法律制度。
3)探索数据产权登记新方式,加快构建全国一体化数据要素登记体系:
加快推进数据要素产权立法;
促进完善数据要素登记体系;
建设统一的数据要素登记平台。
3、《反不正当竞争法(修订草案征求意见稿)》关于商业数据利用的规制
商业数据指经营者依法收集、具有商业价值并采取相应技术管理措施的数据, 其构成要件包括三要素:依法收集+商业价值+技术措施,并排除免费数据。
经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。对于不当获取、非法使用他人商业数据的行为,通常适用《反不正当竞争法》第二条第一款的诚实信用原则予以规制。2022年《反不正当竞争法(修订草案征求意见稿)》中新增了关于商业数据利用的条款,首次明确了对经营者商业数据权益的竞争法保护。
侵犯商业数据的具体行为包括:
1)不当获取商业数据。以盗窃、胁迫、欺诈、电子侵入等方式,破坏技术管理措施,不正当获取其他经营者的商业数据,不合理地增加其他经营者的运营成本、影响其他经营者的正常经营。
2)违约获取商业数据。违反约定或者合理、正当的数据抓取协议,获取和使用他人商业数据,并足以实质性替代其他经营者提供的相关产品或者服务。
3)披露、转让不当获取的商业数据。披露、转让或者使用以不正当手段获取的其他经营者的商业数据,并足以实质性替代其他经营者提供的相关产品或者服务。
4)违反诚实信用原则。以违反诚实信用和商业道德的其他方式不正当获取和使用他人商业数据,严重损害其他经营者和消费者的合法权益,扰乱市场公平竞争秩序。
商业数据的例外——免费数据:免费数据是指与公众可以无偿利用的信息相同的数据;主要特征为无偿利用,即不用支付任何对价即可进行处理和商业利用。免费数据的免费性质使得其可以被更广泛地使用和利用,促进了信息的传播和交流。免费数据的可利用性也促进了创新和发展,为企业和个人提供了更多的机会和选择,同时支持新兴产业和创业公司发展壮大。虽然免费数据是商业数据的一个例外,但也需要注意合法使用和合规规制,以避免侵犯他人合法权益或违反相关法律法规。
(二)境外监管现状与未来趋势
1、美国
1)数据流通:构建流通的法律体系和监管机制,推动政府数据开放、政府数据机制建设进一步构建公私合作,促进特定领域数据的使用。
2)数据交易:倡导市场自由经济,在实践中形成商业数据交易平台数据经纪商(data broker)。
3)数据确权:暂未形成相关政策法规,但在有关案例中明确了数据抓取的合法性和边界问题。
2、欧盟
1)数据流通:欧盟数据战略的关键在于促进数据的获取与使用,重点是使更多具有公共利益属性和经济效益的数据充分发挥其价值,并围绕这一目标不断更新立法,构建数据流通的机制。目前,欧盟数据战略主要包括:
2020年2月《欧盟数据战略》European Strategy for data;
2022年5月《数据治理法案》Data Governance Act;
2022年5月《欧洲健康空间》提案EHDS。
2)数据确权:暂未形成相关政策法规。
三、解决方案:
数据流通利用的几点建议
(一)对公开数据的利用尽量不做或少做限制
1)《个人信息保护法》第27条:在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外;对个人权益有重大影响的,应当依照《个人信息保护法》规定取得个人同意。
2)公开的个人信息判断三步法:
信息发布方式:如微信公号和微博等,属于个人主动自愿的公开。
公开渠道的查明:没有明确的限制或技术措施,如微信群、钉钉等,属于信息限制公开。
未经过加工的公开信息:如某一公开渠道获取的信息被他人经过加工、整理,形成了新的信息组合而使其具有了新的意义和价值,对此类信息组合的处理需要经过谨慎评估,一般而言此类信息不再属于公开信息。
3)公开个人信息的利用:建立“公共利益与个人权益”评估机制。通过这种方式,在保护个人信息的前提下,有序推动部分领域数据流通应用,进一步探索数据用途和用量的控制制度,以促进技术发展。
(二) 明确和统一“匿名化”的技术路径
1、针对个人信息的“匿名化”处理,其内涵和外延待进一步明晰
1)绝对匿名化:绝对匿名化是指通过某种技术手段,使得个人与最终的“匿名数据”之间不存在任何关联性,即使针对其进行重新关联也不能找到个人信息的来源和身份。然而,绝对匿名化在技术上存在逻辑无法自洽的问题,这种不可逆转的过程可能会导致数据利用价值完全丧失,因此在实践中并不普遍使用。
2)相对匿名化:相对匿名化是指在个人信息在保留利用价值的状态下,采用一些技术手段对个人信息进行处理,使得其能够安全可控地流转。绝对匿名化和相对匿名化两种处理方式的区别对于保护个人信息的安全和保护数据利用价值具有重要的影响。世界主流立法更倾向于采纳“相对匿名化”这一理解。
2、“匿名化”的判定
1)欧盟《关于匿名化技术的意见》提出,匿名化的实现需要考虑合理且可能穷举的所有手段来确定可识别性,例如数据控制者是否能单独识别个体,识别的成本和所需的时间,同时考虑当时的技术水平等因素。匿名化处理需进行持续性的评估,定期对匿名信息的剩余识别风险进行再评估,衡量采取措施的有效性。
2)新加坡《基础匿名化指南》提出了数据匿名化五步指引:
识别数据;
对数据进行去标识化;
应用匿名化技术;
评估匿名化效果;
管理数据重识别与披露风险。
(三)明确公共数据的利用规则
不涉及国家安全、企业商业秘密的公共数据应当被充分利用。
涉及数据的利用途径,如在字段上统一名称、技术上统一接口等,以方便社会大众的利用需求。
鼓励第三方成为“数据中介”,增加交易渠道的多样性和便利性。
公共数据的利用和定价机制更应当趋于“平权”。
避免零和博弈,建立多方共赢机制。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
本期编辑:王梦迪 陈雨婕 唐静思
长按二维码一键关注
期待您的“赞”和“分享”