《数据要素治理研究报告》:加快推进隐私计算应用普及,统筹数据价值释放和个人信息保护
近日,六分仪法律实验室发布《数据要素治理研究报告》,报告从数据要素治理的内涵、数据确权与隐私保护、数据跨境流动、互联网平台反垄断、数字税、人工智能伦理治理进行深入分析,并结合中美欧数据要素治理路径的比较分析指出对我国的启示:一,制定数据要素的分类原则,搭建精细化的产权界定体系。第二,倡导数据融合与协同开发原则,鼓励多元数据互通汇聚。第三,加快推进隐私计算的应用普及,统筹数据价值释放和个人信息保护。
关注公众号并回复“20220729”获取完整报告
数据确权与隐私保护
近年来,数据已被中国、美国等世界主要国家视为新型生产要素或战略资源。数据的类型包括政务数据、企业经营数据、个人数据、衍生数据等。鉴于当前有关数据确权和隐私保护的争议基本围绕个人数据,本节对中美欧的比较分析也主要聚焦于该类数据。个人数据所引发的争论之所以最为激烈,原因在于个人数据一方面承载个人信息,带有较高的隐私泄露风险,另一方面又具有较高的经济价值。个人数据可以细分为“个人信息”和“个人数字痕迹”,前者能够直接识别个人身份,如姓名、身份证号、手机号、生物信息等;后者指的是个人使用数字技术和设备时留下的记录,如购买、浏览、搜索等记录。数字痕迹虽然无法直接识别个人身份,但在算法优化和数据海量积累的今天,数字痕迹同样具有一定隐私风险。衍生数据指的是基于特定目标、通过数据分析和计算方法对原始数据进行处理所提取出的数据结果,例如企业通过计算消费者线上购物行为所得出的消费个体的用户画像、消费群体的消费行为等。由于衍生数据的生成大多来自对个人数据的分析和使用,有关个人数据的权利归属和保护同样也是衍生数据相关争议的主要根源。
数据权利,指的是主体以某种正当的、合法的理由要求或吁请承认主张者对数据的占有,或要求返还数据,或要求承认数据事实(行为)的法律效果。数据权利的归属和保护是高度关联的两个议题,通常对数据权利类型及其归属的判定方式会直接影响到数据保护的重点,从而形成某种特定路径。数据权利可以从人格权和财产权两个角度思考。一方面,数据人格权包括知情同意权、修改权、被遗忘权、限制处理权等;另一方面,数据财产权包括所有权、采集权、使用权、收益权等。数据人格权的界定路径更加强调对数据中个人信息和隐私的保护,而数据财产权的界定路径则更重视数据的经济属性和财产权益保护。
整体来看,在数据确权方面,欧盟提出了明确的权利界定和归属方式,美国并未对此提出明确界定,而我国国内虽然已有诸多讨论,但也尚未达成共识。在个人信息和隐私保护方面,三方都颁布一系列法案,但各有特点。欧盟通过统一立法对个人数据进行了强力的人格权保护,其法律管辖范围甚至可以突破欧盟地域限制;美国则通过“分散立法+行业自律”的方式进行隐私保护,在鼓励创新和保护权利之间达成平衡;我国对个人数据的保护类似于欧盟,建立了完整的个人信息保护法律框架。
数据跨境流动
在数据作为新型“石油”与“货币”的数字经济时代,数据跨境流动已经成为全球贸易和投资增长的主要途径。然而,随着云计算、大数据、智能终端等新技术迅速发展,跨境数据的安全风险也骤然增加。特别是2013年“斯诺登事件”之后,各国政府纷纷出台数据本地化(datalocalization)政策,以保护个人数据、商业数据和政府数据安全。
数据跨境流动指数据的跨国界传输或能被第三国主体访问。数据跨境流动(Transborder Data Flow)最早在2O世纪70年代由OECD科学技术政策委员会提出。其最早的权威定义来自0ECD在1980年发布《关于隐私保护与个人数据跨国流通指南》,其中“个人数据跨境流动”明确指“个人数据跨越国境移动”(movements of personal data acrossnational borders)。可见,数据跨境流动最初始于个人数据保护法律领域。在“后斯诺登”时代,数据类型从个人数据扩展到与货物贸易和服务贸易有关的数据,但是个人数据仍是数据跨境流动政策所适用的主要数据类型。数据跨境流动政策则是指“一国(或地区)政府针对数据通过信息网络跨越边境的传输、处理活动所采取的基本立场以及配套管理措施的集合”。受历史文化、制度传统、隐私保护、国家信息安全、数据产业发展、数字贸易等复杂因素影响,不同国家数据跨境流动政策各具特色。
目前,欧盟和美国分别形成自身的规则体系,前者更注重隐私保护,后者更推崇数据流动自由,这两种规则体系主导着国际数据流动规制范式。我国不同于欧美,更强调基于自由和安全的多元共治方案。
我国实行“自由流动+安全流动”的规制体系。当前,我国“一带一路”倡议给跨境电商带来巨大发展空间,跨境数据流动,特别是数据在“一带一路”上的互联互通,对我国外贸意义重大。同时,我国也面临个人信息和国家信息安全的现实压力。这就形成了我国以“数据自由流动”作为基础原则、以“数据安全流动”作为限制性原则的政策方案。从立法现状来看,2016年11月出台的《网络安全法》首次以国家法律形式明确提出中国境内所收集和产生的个人信息和重要数据应当在境内存储。2021年9月正式实施的《数据安全法》首次申明了“数据安全自由流动”的原则。至此,我国数据跨境流动制度体系已经明朗,即以自由为基础、以安全为限制。我国在跨境数据流动上的这种立场同样也体现在2020年11月由中国、日本、韩国等十五方成员签署的《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)。
RCEP明确支持跨境数据流动,但认为数据跨境流动需要受到国家安全利益立场的限制。
中美欧数据要素治理路径的比较分析及其对我国的启示
上文从数据确权和隐私保护、数据跨境流动、互联网平台反垄断、数字税、人工智能伦理治理五个方面系统比较了欧盟、美国和中国的治理原则和实践举措。虽然中美欧三方数据要素治理在某些方面存在一定相似性,譬如三者针对互联网平台的反垄断监管愈发严格,但总体来看,三方数据要素治理各有侧重和特点,形成了差异明显的三条路径。欧盟路径的核心特点是“监管为主”,美国路径是“创新为主”,而我国则选择了创新和监管“均衡发展”的路径。
当前,数字化转型已然成为全球浪潮,深刻影响着世界各国的社会经济发展与国家实力,甚至将改变世界权力格局。作为其核心“燃料”的数据要素无疑在其中扮演着重要角色。多年来,我国通过数字技术的研发与推广,在经济、政治与社会等领域已经并持续积累海量数据,如何充分释放这些数据要素的价值已然成为进一步推动我国社会经济发展、提高民众福祉、提升国家实力的重要议题。为推动数据要素治理体系,我国应依据以下原则加快体系建设。
第一,制定数据要素的分类原则,搭建精细化的产权界定体系。数据要素的产权界定与保护是数据要素市场得以良性发展的必要基础。研究发现,数据要素存在多种类型,因此其产权归属需遵循分类原则。通过分类,我们可以明确不同类型数据要素的生成主体与方式,从而判定数据要素产权归属与保护机制,进而发挥数据要素的价值,推动数据要素市场的快速发展。
第二,倡导数据融合与协同开发原则,鼓励多元数据互通汇聚。近年来,得益于数字技术的快速发展与广泛应用,我国在政府、经济、社会等各领域已经积累了海量数据。然而,这些海量数据目前仍被不同主体所持有,并各自为战,不同类型数据之间的互联互通仍未实现。这是我国数据要素市场快速发展必然需要解决的问题之一。我们应坚持多元数据融合、多主体协同开发的原则,创新性地将政务数据、经济数据与社会数据相结合,建立政府、市场、社会等多主体协同开发的工作机制,充分利用各主体的专业知识与技能,最大化释放数据要素的经济、社会和治理价值。
第三,加快推进隐私计算的应用普及,统筹数据价值释放和个人信息保护。针对现有数据流通的安全难题,隐私计算通过一系列技术实现数据孤岛的连通,既能保证数据安全和信息保护,又能对数据进行运算,使其更好地服务于经济发展。隐私计算主要包括四大类技术:多方安全计算、联邦学习、可信执行环境、区块链及其衍生技术。目前,隐私计算已在数据管理、医疗健康、金融保险等行业开展应用试点,但整体创新水平和应用普及程度仍然较低,且发展前景尚不明朗。因此,我国应一方面加快顶层设计和统筹规划,尽快出台相关政策文件,建立隐私计算的技术标准和应用范围,打造良好的技术发展生态环境;另一方面应加大关键技术领域的资源投入,鼓励相关技术的迭代优化,加速应用场景落地。
报告目录:
报告部分内容节选:
END
北京将发布数据要素市场 建设“五大突破”“六大创新”
郑州数据交易中心将于近期挂牌运营
国务院办公厅发布《关于同意建立数字经济发展部际联席会议制度的函》
阿里与蚂蚁集团终止《数据共享协议》
欢迎投稿
邮箱:kedakeyin@openmpc.com
参与更多讨论,请添加小编微信加入交流群