其他
泰和泰研析 | 数据权益争议解决系列(一):“数字立法”观察
前言:
伴随着全国人大、国务院连续颁布的多项法律及政策法规的推行,“数据”无疑已成为近几年的新兴热点话题。作为未来新型经济形态的核心要素,数据已随着各领域的相关业务的蓬勃发展而广为人知。
在法律行业,“数据合规”毋庸置疑是“开拓者”。在此基础上,团队试图专注于“数据权益”的争议解决领域,对有关数据权益可能衍生的争议解决问题进行剖析、预演,提前布局相应的争议解决攻防策略,以反哺数据合规运营的良性发展。
虽然目前对“数据权益”的探索尚未成熟,但团队相信,随着相关产业和领域的崛起,“数据权益”这一话题将被不断关注并注入新的活力。团队期待能够与“数据”及“数据权益”的体系完善共同成长。有鉴于此,在第一期内容中,团队将初步梳理数据权益的相关立法,分享由此引发的各种思考,供参考与交流。
一.
立法情况概览
纵观我国相关法律法规的立法进程及脉络,我国的数字立法在方向上具有“由上至下、层层展开”的特征;在内容上呈现从“国家数据安全保护”为主,逐渐过渡至“兼顾个人信息保护”的发展态势。
具体而言,目前的立法体系已初见雏形:
在法律层面,与数据相关的立法主要包括以下内容:
1. 《网络安全法》:2017年6月1日实施 作为首部国家层级的数据相关法律,《网络安全法》更多地是从国家数据安全保护的角度进行统筹,着重对各级政府、国家网信部门等相关监管主体的权力,以及网络运营者的义务进行明确与规范。同时,受限于当时社会发展,其规范的对象也局限于在网络上传播的各类电子数据。
2.《密码法》:2020年1月1日实施 依托于互联网技术的发展,密码被看作是“网络空间的DNA”“解决网络与信息安全问题最有效、最可靠、最经济的手段”。有基于此,《密码法》也就应运而生。该法聚焦于密码,有意识地通过分级的手段,将密码依据重要程度,分为核心密码、普通密码和商用密码三个层级,实现科学管理。
3.《民法典》:2021年1月1日实施 相较于《网络安全法》的规制,《民法典》首次通过立法,明确将隐私权纳入人格权的范畴,并从权利保护的角度确定了“个人信息受法律保护”,为此后的立法奠定了基调。
具体而言,《民法典》第一百一十一条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。
但结合《民法典》第一千零三十四条第三款:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”的规定,《民法典》将非私密的个人信息排除在隐私权的保护范围之外,而这一安排,事实上又为该等个人信息的权益类型的定性(经济利益or人格权利),以及基于此而延伸出的权利保护与规制手段留下了令人遐想的空间。
同时,在“十四五”规划的大背景下,《数据安全法》在具体监管方面,更为注重对各领域管理,以及分级管理机制的构建,科学地采用了“重要数据”和“关键信息”等概念。而就具体的分级制度,除了已有的诸如《工业数据分类分级指南(试行)》的分级标准外,目前尚未正式发布的《信息安全技术 网络数据分类分级要求》等国家标准也呼之欲出,将在未来形成更为明晰、统一的划分标准。
5.《个人信息保护法》:2021年11月1日实施 就个人信息的保护,早在2012年底,全国人大常委会就发布了《关于加强网络信息保护的决定》,要求“保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。对此,工业和信息化部在2013年公布了《电信和互联网用户个人信息保护规定》,对电信业务经营者、互联网信息服务提供者的相关义务进行了简要规定。
(二)行政法规、地方性法规等规定
二.
个人数据与公共数据的衡平:以《深圳经济特区数据条例》为例
在对数字立法情况有了上述初步的认识后,为更深入了解,我们有必要专门对立法实例进行分析。对此,我们以《深圳经济特区数据条例》为例,并结合“大数据”以及“数字政府”等社会背景内容,试图分享“公共数据中的个人信息保护”的相关内容,以及由此引发的法律规制方面的思考。
根据《深圳经济特区数据条例》第二条等规定,数据可被分为“个人数据”与“公共数据”两类。其中,个人数据是指:“载有可识别特定自然人信息的数据,不包括匿名化处理后的数据”;公共数据是指:“公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据”。
即便仅从定义来看,亦可看出二者之间存在着一定关联。在“公共服务过程中产生、处理的数据”,除狭义上的政务数据信息之外,实际上有很大一部分均系由个人数据“转换”而来。而当有权部门进行上述“转换”时,客观上也必然存在着侵害个人信息权益、违背处理个人数据的基本原则(明确、合理的目的,遵循最小必要和合理期限)的可能性。
面对该等可能性,作为个体的我们,一方面,在数据量巨大且处理速度极快的当下,事实上已难以对信息进行全方位的控制;另一方面,伴随着“数字政府”的深入改革,我们在一定程度上也有赖于公共数据所带来的更为便捷的政务服务。因此,我们不可避免地需要找寻个人权益及公共性之间的平衡。而在实际的数字立法过程中,经过多方主体的积极探索,目前也已作出了一些积极的尝试。
以《深圳经济特区数据条例》为例,该条例结合区域实际,并在已有规定的基础上进行了优化与处理,形成了从前中后三个阶段分别进行监督管理的、较为完备的规范机制。具体而言包括以下内容:
1.前端:信息收集和处理透明化(1)落实数据收集管理的主体。《深圳经济特区数据条例》第三十五条规定:“实行公共数据分类管理制度”,并将管理机构细分为市政务服务数据管理部门、各行业主管部门以及公共管理和服务机构三类,严格防范权力滥用。(2)明确数据收集的具体要求。《深圳经济特区数据条例》第三十七条规定:公共管理和服务机构收集数据应当符合“为依法履行公共管理职责或者提供公共服务所必需,且在其履行的公共管理职责或者提供的公共服务范围内”等要求,真正做到权责分明。(3)规范数据处理的实际过程。《深圳经济特区数据条例》第三十八条规定:“公共管理和服务机构应当按照有关规定保存公共数据处理的过程记录”,助力全方位规范处理。2.中端:信息管理与使用差异化(1)制定科学的数据管理制度。《深圳经济特区数据条例》第三十九条规定,应当制定并遵守相关的质量管理制度和规范,建立健全质量检测和评估体系,并组织实施,切实提高管理质量。(2)建设专门的数据整合平台。《深圳经济特区数据条例》第五十二条、第五十三条明确提出了,要建设城市智能中枢平台,并以此为依托进行数据共享和业务协同等管理服务,强化综合治理能力。3.后端:各参与主体权责统一化在第六章法律责任中,《深圳经济特区数据条例》则针对公共管理和服务机构、数据处理者等主体的违法行为设置了若干的行政处罚及其他法律后果。同时,还专门设置了提起民事公益诉诉讼的救济途径,极大地降低了被侵权人由于取证困难或出于时间、经济成本的考量而无法维权的概率,有利于维护个人权益。
三.
后“数字立法”的观察与思考
就当前数字立法的发展形势,各层级、各区域及各行业的立法工作可谓是如火如荼。在后“数字立法”的时代,团队将继续关注如下内容:1.立法的内在逻辑及学理支撑。针对数字立法,无法回避的是围绕“数据”这一客体的理论研究,包括但不限于其内涵、权益划分、权属或使用主体等方面的内容。但针对该等根本性的问题,目前理论界和实务界上尚缺较为统一的定论。2.地方或行业立法的差异化。相较于国家层面、全国性的数字立法,地方/行业立法往往更加因“地”制宜、贴合实际。一方面,地方/行业立法价值与内容受国家政策原则的指导;另一方面,地方/行业立法又会以不同的视角进行制度探索,进而反哺宏观的数字立法。3.关注新兴的数字领域发展。在数字经济井喷式发展的背景下,诸如电子商务、人工智能、自动驾驶、云计算等领域中产生的问题日新月异。尽管目前已存在相关的立法,但就具体的内容来看,更多仍是原则性、零散化、碎片化。而可以预见的是,随着相关技术的发展,立法的滞后性相当明显,需要不断运用法解释学的方法解决现实问题。
相关律师
方培思 律师
业务领域:金融资管类争议解决
叶文雅 律师助理
业务领域:商事诉讼/仲裁/执行
近期文章推荐
2022-12-09
2022-12-06
2022-11-22
2022-11-16
2022-11-14
2022-11-04