近日,《2022 数据交易合规法律报告》发布,报告分别从数据交易的背景、数据交易存在的问题、数据交易合规评估审查要点进行深度分析,对数据产品交易未来进行展望,指出隐私计算将极大解决个人数据交易的合规问题。
数据权利是一种新型民事权利,该民事权利可以划分为属于人格权的个人信息(民法典111条、1034-1039条,区分于隐私权)和属于财产权的数据财产权(民法典127条)。数据权属主要是指后者即数据财产权的归属。目前法律未对数据权属进行界定,根据《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》,数据是继土地、劳动力、资本、技术之后的第五类生产要素,经济价值巨大,但作为一种新生产要素,无论在表现形态、价值实现还是权利行使、流通方式等方面,均与普通物权不同,且根据物权法定原则,不能将数据权属作为物权保护。《民法典》第127条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定” ,但是目前法律尚没有规定。《立法法》第8条规定了11种只能由法律规定的事项,包括民事基本制度,数据权属问题属于民事基本制度范畴。综上,数据权属界定在世界范围内仍无定论,基于数据的特征和现有的法律框架内不能将数据权属认定为民法上的所有权,也尚无其它明确的权属法律界定。有观点认为应当制定专门的数据财产法。数据资产的定价是数据交易的重要基础。在解决了数据安全、隐私保护和数据监管等数据流通问题之后,最重要的就是形成合理的经济分配机制,从而驱动企业内部的部门独立核算、企业间的数据共享,以形成数据要素市场,实现数据要素市场化配置,合理分配数据要素收益。但是数据资产的定价模式是一个尚无定论的难题,难以用统一的定价标准衡量数据资产价格。影响数据价格的因素很多,如成本、供求关系、利润、质量等,虽然数据不同于普通物品,没有外在形状,但其作为商品仍然适用价值规律。劳动价值论指出商品的价值量取决于平均社会必要劳动时间。数据的价值量也是由生产数据的平均社会必要劳动时间所决定的,价值是价格的基础。所有用于交换的数据都是有成本的,都需要花费不等的社会必要劳动时间及包含社会必要劳动时间的生产资料,数据的价值量就是产生数据所必需的平均社会必要劳动时间。数据资源与自然资源最大的不同在于其具有可再生性,这使得其边际生产成本接近于零。但是由于产权的限制,大规模数据资源生产的边际成本仍然能够保持在一个较高的水平上。此外,与自然资源的价值稳定性不同,随着时间的推移,数据资源的价值可能会快速下降。数据交易中,个人数据的价值显然是最大的,数字经济的发展最终需要合法利用这一块数据。场外的个人数据交易一直存在,但是在合规性上存在严重的法律问题,在《个人信息保护法》生效后,不合规的个人数据交易将面临法律的严厉处罚。个人数据交易前两年的一个热点问题是平台企业与个人数据之间的关系,个人用户产生的数据是平台企业创造利润的核心来源,也是数字经济中财富与价值的起源。但目前基于个人数据权属不明的问题,导致个人数据限用不足或限用过足的极端情况,形成消费者和平台企业之间的二元对立矛盾。基于个人数据限用不足的视角,平台企业对个人数据的垄断及滥用,造成了消费者福利的损失。个人用户作为数据生产者在经济活动中处于绝对弱势的地位,这种弱势地位体现在三个层面: 第一,从基础层面看,个人用户的隐私权没有得到充分保障,数据盗用、隐私泄露问题频发。第二,从中级层面看,个人用户作为价值创造的源头却无法参与数据红利的分享,反而遭受各类权益侵害的事件多发。如,平台企业基于海量个人数据的垄断,对消费者生活轨迹、消费偏好进行精准画像,从而进行定向广告、“千人千价”的差别性定价行为。第三,从高级层面看,个人用户的人格权没有被充分考虑。个人数据天生具有人格权,表面上各类平台在收集、利用用户个人数据时必须获得个人授权,但大部分授权协议根本没有体现人格尊重的内涵,个人授权结果通常与产品或服务的使用相捆绑,个人用户只能被动贡献数据。从2021年开始,以个人数据为主的数据垄断被国家立法和监管部门作为规制重点。个人数据交易的法律保障有待于各方的探索, 本报告认为,数字经济的趋势下对个人数据的合法利用是大势所趋,对个人数据交易的首先需要对个人数据的人格权益实行全场景保护,其次对于个人数据之上的财产权益处分权,基于“谁控制,谁享有”的原则进行分配,企业对于合法收集并控制的个人数据,在不侵害个人数据上的人格权益的前提下,享有完整的财产权益处分权。
隐私计算将极大解决个人数据交易的合规问题
鉴于数据交易的特点,例如数据的可复制性、个人数据交易的法律不确定性等问题,要推动数据交易尤其是个人数据交易的合法合规前提下的快速发展,一方面需要在法律层面的制度构建,解决数据权属等疑难问题,另外一方面需要通过技术手段辅助解决数据交易的一些难点问题,实现数据的可用不可见。注重数据价值而不是数据本身的分享,是未来数据开放分享模式的一个核心特征。对于数据要素市场的构建,把原始数据拿出来交易只是其中一种方式。中国互联网金融协会发布的《金融业数据要素融合应用研究》指出,“数据要素融合是指在数据要素化背景下,对单一或多个数据源的数据进行关联、组合等操作,从而获得更好的数据处理效果。传统的公开数据搜集、原始数据共享等融合方式存在一定局限性”。数据价值的流通是数据流通的本意和核心,通过搭建数据价值的互联互通网,在保数据安全可和隐私保护的同时,实观数据的“可用不可见”和“定量定向使用”,从面构建出一个分布式数据价值流通体系,这或是我国数据要素市场建设的未来方向。中国人民银行于2021年2月发布的《金融业数据能力建设指引提出,“建立数据规范共享机制,在保障原始数据可用不可见的前提下规范开展数据共享与融合应用,保证跨行业、跨机构的数据使用合规、范围可控,有效保护数据隐私安全,确保数据所有权不因共享应用而发生让渡”。这正是“分布式数据价值分享”模式的具象表述。近年来,快速发展起来的隐私计算技术已成为分布式数据价值分享体系的技术底座,产业“破局”提供了关键思路,成为建设和完善数据要素市场的重要抓手。隐私计算可以为数据交易模式提供新思路,有助于解决数据权属不清和隐私保护的问题。个人数据的价值一般而言高于非个人数据,法律法规要求个人信息使用的同意授权,除非数据的完全匿名化,但匿名化后的信息丧失识别性,没有流通利用价值。例如,在现实中,同意授权的成本很高,而隐私计算技术的“可用不可见”特点将数据所有权和使用权进行分离,在数据所有权权属不清的情况下,用技术手段保证数据在共享/流通过程中被使用。隐私计算下,数据不出平台就可被安全共享,释放个人数据的价值。隐私计算是指在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,实现数据在流通与融合过程中的“可用不可见”。从隐私计算实现的目标来看,能实现隐私保护的同时支持数据价值分析的技术方案都可被列入隐私计算的范畴。中国互联网金融协会发布的《金融业数据要素融合应用研究》也强调,“运用多方计算(业界亦称多方安全计算或安全多方计算)、联邦学习等技术,推动金融业数据要素在确保安全合规前提下实现融合应用创新,在促进金融业数字化转型、增强数字普惠金融水平、落实金融消费者保护要求、提开金融穿透式监曾效能等方面具有重要意义。隐私计算典型的技术路线包括多方安全计算(Secure Multi-party Computation)是多个参与方基于密码学技术共同计算一个目标函数,保证每一方仅获取自己的计算结果,无法通过计算过程中的交互数据推测出其他任意一方的输入和输出数据的技术;联邦学习(Federated Learning)联邦学习作为分布式的机器学习范式,可以有效解决数据孤岛问题,让参与方在不共享数据的基础上联合建模,能从技术上打破数据孤岛,实现AI协作,各参与者的身份和地位相同,可建立共享数据策略。由于数据不发生转移,因此不会泄露用户隐私或影响数据规范,满足合法合规的要求;可信执行环境(Trusted Execution Environment)是将软硬件方法构建的安全区域与其他应用和操作系统隔离开,使得操作系统和其他应用无法访问或更改该安全区域中的代码和数据,从而达到保护敏感数据和代码效果的技术;同态加密(Homomorphic Encryption)是基于数学难题的计算复杂性理论的密码学技术,能确保在密文上直接进行计算后对输出进行解密,得到的结果和直接明文计算的结果一致,实现“先计算后解密”等价于传统的“先解密后计算”;零知识证明(Zero KnowledgeProof)是基于密码学技术,证明者能在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的;差分隐私(Differential Privacy)是一种严格的、可量化的隐私定义和技术,属于密码学中的一种手段,通过对数据集添加噪声,避免相邻两个数据集在发布聚合计算结果时单条数据记录的泄露。根据《信息安全技术个人信息去标识化指南》(国家标准),隐私计算概念下的很多底层技术属于保密级别较高的去标识化技术,有助于解决很多金融场景下的保密、加密需求,但是去标识化并不完全等同于匿名化,只是实现了一定条件下的匿名化,在某些场景的技术方案下可以实现匿名化。匿名化的信息不属于个人信息范畴,是否可以完全不用遵循个保法要求,也不用提前告知个人客户并取得授权值得研究。如果可以实现匿名化的特定场景的隐私计算技术不用履行“告知-授权”义务,将极大解决个人数据交易的合规问题。
公众号后台回复“20220630”,即可获取《报告》PDF
来源:金融与数字经济法律研究;版权归原作者所有,如有侵权,请联系告知,我们将尽快处理。
END
欢迎投稿
邮箱:kedakeyin@openmpc.com
参与更多讨论,请添加小编微信加入交流群