APP下载

大数据发展及其立法挑战

2015-11-02李海英

信息安全与通信保密 2015年6期

李海英

随着全球大数据技术创新和业务应用的快速发展,大数据产业生态逐步形成,各国也高度重视大数据在经济发展、社会服务等方面的价值,纷纷出台相关政策予以指引,而对大数据所引发的法律政策问题正在不断的探索和探讨之中。

大数据的价值与属性

根据工业和信息化部电信研究院发布的《大数据白皮书(2014年)》的界定:大数据是具有体量大、结构多样、时效强等特征的数据;处理大数据需采用新型计算架构和智能算法等新技术;大数据的应用强调将新的理念应用于辅助决策和发现新的知识,更强调在线闭环的业务流程优化。由于互联网、移动互联网、物联网以及工业互联网的发展,万物互联的时代已经到来,数据量不断加大,数据采集方法不断改进,数据处理技术不断提升,数据的价值也在被极大地挖掘出来。利用大数据,可以驱动创新,提升生产效率,改进营销方式(提供定向广告和个性化推荐),完善决策水平,并产生新的基于数据的产品和服务。所以,我们在大数据时代要重新审视数据的价值。数据是经济发展的最新驱动力,也是国家未来核心竞争力和核心安全价值的体现,如何利用和挖掘数据的价值是大数据时代的最大挑战。

具体来看,大数据的发展促成了新的大数据产业生态。数据的生命周期包含数据的产生、收集、存储、处理、传输和分析等环节,最后输出的是分析结果,产生额外的数据,新的数据反馈到数据价值链中再形成下一轮新的生命周期。数据的生命周期中每个环节都会涉及到相应主体的权利义务。从产业生态上来看,不同数据参与者构成了新的大数据产业生态(如图所示)。最底层是网络服务提供商,包括移动和固定宽带服务提供商,网络之上是IT设施提供者,例如数据库管理工具、云计算基础设施等,再上面是数据分析者,如分析软件解决方案提供商,数据提供者,包括消费者、政府、数据经纪人,物联网等,可以说每个人甚至每个物都是数据的提供者。通过这些数据驱动的企业和跨领域的创新者,构成了整个大数据发展的新生态系统。

图:大数据产业生态

大数据时代的数据资源具有多重属性,主要包括:

(1)数据的资产性。资产是有价值的,数据的资产价值需要予以确认和保护。确认资产的价值,包括资产的权属、价值的评估等;保护数据背后存在的经济利益,包括企业利益、个人利益,也包括国家层面的利益,是因为整个数据资源所构成的公共资源构成了一国有价值信息资源的重要组成部分;因此,需要保护数据的安全利益,包括企业数据的安全、个人数据的安全以及国家信息资源的安全。

(2)数据的可使用性。数据只有通过使用才可以产生新的价值。因此,为了促进数据的利用,须破除企业之间数据使用的壁垒,但同时,数据使用也要有一定的限制,既要符合数据收集使用的宗旨和目的,也要遵循一定的原则和法律约束。

(3)数据的法律属性。个人数据在我国一般被称为“个人信息”,从民法的角度看 “个人信息权”可以作为民法的权利客体,但是对于个人信息权是人格权还是财产权或者兼顾两者的属性,尚存在分歧。大数据时代,“数据”的范围更加广泛,包括了政府数据、企业数据和个人数据,哪些数据可以作为交易的对象,即成为财产权的客体,通俗地讲是数据的“产权”如何界定,进而确定数据商业利用的边界。更重要的是,大数据时代的数据法律属性不仅要从民法的角度,还要从国家安全等公法的角度去认识,是否存在数据主权以及数据主权如何行使也是一个争议的问题。

大数据带来的立法挑战

大数据带来经济增长和创新的同时,也在法律政策领域提出了挑战。经合组织、美国、欧盟等国家和地区纷纷发布相关研究报告,其核心一方面是不断释放大数据的经济潜能,另一方面是在安全和隐私保护方面寻求政策指引。

1.发达国家对大数据时代法律政策的认识

2014年5月,美国发布《大数据:抓住机遇、坚守价值》的报告,集中探讨了个人隐私保护与数据搜集、利用中的重要问题。报告指出:“大数据可以被看成一种资产、一种公共资源,或者一种个体身份的表达;它的应用或许可以驱动未来的美国经济,也可以是对我们所珍视的自由的一种威胁。”报告分析了大数据对个人隐私保护带来的挑战,但仍然指出:“无论大数据所带来的问题多么的严重与重要,政府依然会支持相关电子经济的发展并提供免费的数据流来激发大数据的创造力。”报告还认为,大数据给美国带来的是增强平等还是加剧不平等,这完全取决法于法律的保护和执行。

2014年10月,经合组织发布《数据驱动的创新、增长和福利》报告,充分鼓励数据驱动的创业和组织变革,提出释放数据活力的政策框架,要为数据的收集、传输、存储和使用制订政策,包括隐私保护,开放数据接入,提供基础设施,为建立高速和开放的互联网提供激励等。

欧盟委员会也要求成员国挖掘大数据潜力并采取措施开放公共信息资源,同时加紧出台《欧盟个人数据保护条例(草案)》,引入被遗忘权、数据可携带权等,以加强用户的权利。

从国际的发展趋势来看,对大数据的发展需要法律予以确认和保护已经成为各国的共识,安全和隐私保护是大数据法律政策中各国关注的重点。

2.大数据利用与数据资源安全之间的平衡

习近平总书记在中央网络安全和信息化领导小组第一次会议上的讲话指出:“信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志。”随着挖掘、管理信息资源的大数据技术的发展,信息资源的价值更加凸显。2012年奥巴马政府将数据定义为“未来的新石油”,表示国家拥有数据的规模、流动、利用等能力将成为综合国力的重要组成部分。全球各国也加强了对信息资源的控制与争夺。

因此,大数据带来的一个重大立法挑战就是如何平衡大数据利用与数据资源安全之间的关系。2013年八国集团签署《开放数据宪章》,指明在开放政府数据的同时,要加强知识产权、个人信息保护和国家安全等方面的立法。

政府数据开放与大数据的商业利用可以促进创新和提升生产效率,通过开放、共享、分析、利用将分割的数据变成更有价值的资源,这能产生更大的价值,创造新的财富和效益。未来各行各业的创新发展都会依赖于云计算、大数据、物联网等技术的应用。但同时,与经济运行、社会服务乃至国家安全相关的大量数据将会向享有优势的企业、国家和地区聚集,格局一旦形成,技术、服务上占据优势的国家就将形成更加强大的信息资源优势和战略控制能力,进而掌握信息的主导权。因此,如何加强对数据资源的掌控,更好的避免大规模的数据聚集和挖掘利用给国家安全带来的风险,尤其是防范在战争或紧急状态下数据滥用可能带来的安全风险,需要在国家层面从战略和法律的角度对信息资源的法律地位予以明确,并制定相应的保护措施。目前虽然对数据主权的概念还存在争议,但在日前二审的《国家安全法(草案)》(二次审议稿)中增加了国家“建设国家网络与信息安全保障体系,提升网络与信息安全保护能力”,“维护国家网络空间主权、安全和发展利益”的规定。

在云计算、大数据迅速发展的情况下,跨境数据流动的问题也变得更为重要。由于大数据产业链条中的各参与者具有全球属性,所创造价值的技术和资源也在全球分配,因此,大数据的生态系统中必然有大量数据的跨境流动。例如,一个国家的消费者,其数据可能被位于其他国家的设备和应用收集、处理,而分析的结果用来改进针对第一个国家消费者的营销策略。总体来看,促进跨境数据的自由流动和资源共享无疑是有利于全球经济发展的。2014年 6月,经合组织发布的《互联网政策制定原则》报告认为,互联网经济的发展,信息和知识的分享传播以及人们的自我表达等,都有赖于全球信息的自由流动,所以促进和确保全球信息自由流动对互联网行业至关重要。但由于“棱镜事件”以及云计算、大数据等新技术新业务的发展,各国在数据流动方面开始建立新的边界。2015年3月,一家著名国际律师事务所Fieldfisher发布了《管理全球数据留存风险》的报告,该报告对全球47个主要国家和地区进行了调查,发现其中 94%的国家和地区对个人数据的跨境流动进行了一定的限制,89%的国家和地区拥有管理规则,并可以依法对违背数据跨境留存规则的行为进行制裁。受“棱镜事件”影响,2014年初,巴西推出了将巴西民众信息储存在国内数据中心的方案,建议铺设直通欧洲的海底光缆,免受监控;2014年7月,俄罗斯立法要求数据运营商将所有俄罗斯公民的信息存储在俄罗斯境内。但在跨境数据流动的限制方面,法律上还有很多细节需要考虑。数据跨境的方式多种多样,例如境外用户访问国内网站,国内数据中心与国外数据中心同步备份数据,运维人员在国外操作云平台数据等。哪些类型的数据以及哪些类型的操作属于不允许跨境的范围,对跨境数据流动的行为如何监控等都存在很多问题有待探讨和解决。

3.大数据发展与隐私保护之间的平衡

大数据带来的另一个法律挑战是如何平衡大数据发展与隐私保护的关系,具体而言:

在数据获取阶段,经合组织1980年发布的《个人数据保护指南》规定了告知同意的原则,即将个人数据的收集和使用行为告知用户,并取得用户的同意。在大数据时代,告知同意的原则已经很难实现,至少已经不适用于大数据的二次利用。很多数据在收集时并无意用作他途,而最终却产生了很多创新性用途,有可能连数据收集者自己也无法预知,更无法告知用户,用户也无法就这种未知用途表示同意。美国的《大数据:抓住机遇、坚守价值》报告中引用了总统科学技术顾问的说法:“告知与同意框架已经被大数据所带来的正面效益所打败,大数据带来的是新的、并非显而易见但却十分强大的使用价值。”世界经济论坛《大数据、大冲击:国际发展的新可能》的报告认为,知情同意制度已经过时,数据在未来可能被挖掘出新的用途,在收集时并无法告知,因此应当让个人更关注数据的使用环节。

在大数据的处理和分析阶段,企业一直致力于身份识别,但由于大数据挖掘技术的进步,实现真正的匿名化已经越来越难。大数据时代,匿名化技术与大数据身份识别技术在相互较量中不断发展。例如,美国在线曾公布了3个月间65.7万用户的2000万条搜索记录,整个数据库做过精心的匿名化处理,将用户名称和地址等个人信息代之以数字符号。但《纽约时报》还是在几天内通过几个关键词准确定位到了某个人。《大数据:抓住机遇、坚守价值》报告中也提出,“数据的模糊化处理作为保护个人隐私的一种手段,其作用也是有限的。事实上,收集数据并进行模糊化处理是基于相关公司不恢复数据的承诺与相对应安保措施之上的解决方案。但有目的的模糊化处理可能使数据丧失其实用性并确保其出处及相应责任的能力。此外,也很难预测再识别技术将如何演变以应对看似匿名的数据。这将导致大量的不确定性,个人该怎样控制自己的数据?该怎样反对建立在海量数据之上的决策?”这其中揭示了数据匿名化的难度以及数据匿名化与数据利用之间存在的矛盾。

日本一直把匿名化作为云计算国家战略中的一项重要制度改革,对匿名化技术的研发、标准化等做出了详细规定。面向大数据时代,为了加强企业对数据的利用和创新,日本对《个人信息保护法》进行了修订,将由个人数据加工而成、已降低了个人可识别性的数据列为在向第三方提供时无需本人同意的类型,对从事该类型数据使用的企业应承担的义务等在法律上进行规定。

4.大数据带来的其他法律问题

在大数据时代还有很多的法律挑战,例如,数据的所有权属于谁,例如,用户使用网络服务产生的行为数据属于用户还是网络服务提供者;数据价值如何衡量,在数据交易中如何对数据定价等;大数据的发展,数据向汇聚用户的平台聚集,这会不会产生新型的数据垄断等问题,这些都是大数据给立法带来的新挑战。

在数据的利用与保护方面,企业与用户之间的博弈也一直存在。例如,公司网站上发布的隐私政策,到底是切实保护用户个人信息,还是企业用来对自己的数据使用进行免责。企业也使用各种去识别化方法(匿名,假名、加密、密钥、数据切分等)将数据同真实信息分离,允许他人进行数据分析,但仍会存在隐私问题。

此外,数据经纪人的产生也带来了新的法律挑战。随着大数据的发展,很多新参与者进入数据市场来交易、交换或买卖与数据相关的服务。专业的数据分析者和数据经纪人越来越多,他们收集多个信息源的数据,将数据进行汇总分析,并共享这些信息以及由其派生出来的信息,其范围从专业的B2B公司到单一的位置服务等。通过汇总一个人的购买行为、网页浏览活动、社交媒体互动行为或者直接的客服记录信息等,数据经纪人就能够描摹出一名顾客的概貌,并进一步对其活动记录进行监控。这些数据用于发放定向广告、雇员背景调查、信用卡发放和执法等。例如,LexisNexis公司每年都做120余万个背景调查;BlueKai Exchange公司是世界上最大的广告商数据市场,拥有3000多万消费者的数据,每天处理7500多万的数据和750多万针对个人信息的拍卖交易。数据经纪人是在大数据时代出现的新主体,在占有、交易数据等方面具有较大作用,因此,对数据经纪人应该承担怎样的法律责任进行界定至关重要。

大数据时代的立法思考

大数据是未来经济发展的重要驱动力,立法应考虑平衡释放数据活力与体现数据安全价值、数据利用与隐私保护之间的关系,从法律上明确将数据资源作为国家战略资产并加以利用和保护。促进网络基础设施发展,开放数据接入,加强隐私安全保护等政策都是未来需要考量的重点。

在立法的着力点上,可以考虑三个转变:

一是从事前到事中和事后的转变,在个人数据保护方面将关注重点从数据收集环节转向数据使用环节,将原有的“告知同意”原则调整为更加注重事后责任追究,让数据的采集者和使用者对数据的管理和可能产生的危害负责。在数据的安全保护和跨境流动限制方面,国家安全、商业秘密、个人隐私等不同目标对数据安全保护的诉求不同,但对数据无论是根据产生数据的主体,还是重要性进行分级分类都存在困难。因此,将重点从试图在事前进行分类管理转移到建立对数据安全风险的评估机制,进行事后评估和处理的做法可能更加可行。

二是将数据安全的关注重点从数据本身转向处理数据的主体,规定数据经纪人的责任;同时在外资准入等方面制定相应的政策要求。

三是为了促进数据的利用和大数据的发展,法律应对不同情况下产生的数据的归属问题有所指引,明确数据主体、数据使用者、数据交易平台等大数据生态中不同主体的权利义务。