APP下载

数据慈善的基本范畴与法律框架

2022-11-28梁志文

关键词:控制者突发事件慈善

梁志文

(南京师范大学法学院,南京 210023)

一、 引 言

2020年1月开始暴发的新冠肺炎疫情表明,全球性公共健康安全事件不仅严重威胁人类健康,也同样威胁社会、经济的稳定与发展。应对公共健康危机需要政府与全社会的通力合作,而打赢这场全社会动员的防疫战不仅需要保障患者及时得到诊治,也需要精准的流行病传播数据应用于防治。大数据不仅可应用于流行病防治,也常常用于恐怖袭击、自然灾害(如地震、洪灾)等各种社会风险的应对决策。为开展人道救援或抑制疫情发展,决策者必须有准确的数据来确定受害群众所处位置、地震震源或疫病流行路径,并据此采取科学而有效的应对策略。

将大数据应用于突发事件应对并不是中国首创。例如,在2014年西非埃博拉病毒、2017年巴基斯坦登革热等流行病防治中,疾病监测数字系统的开发与应用发挥了大数据的优势,实现了对流行病传播的精准防治。(1)关于全球范围内数据慈善参与者的不完全列举,参见George J, Yan J ,Leidner D. Data Philanthropy: An Explorative Study [C]//Proceedings of the 52nd Hawaii International Conference on System Sciences, 2019: 5858-5867.因此,可以说,“拥有这些数据就意味着拯救生命……这些数据大都可以从用户手机定位服务或社交媒介上人们互相交流的语词中分析出来”。(2)Alemanno A. Big Data for Good: Unlocking Privately-Held Data to the Benefit of the Many [J]. European Journal of Risk Regulation, 2018, 9(2): 183-191.而大数据能够作为应对社会风险的公共决策之依据,其原因在于大数据具有重要的社会价值。例如,出行共享平台所掌握的出行数据,是城市道路与公共交通规划科学与否的重要判断依据,也是智慧城市建设的重要参考数据。再如,搜索服务提供者(如Google流感趋势)利用其用户搜索数据,可以比公共卫生管理部门更早地实时预测流行性疾病的发生。(3)梁志文.“互联网+”经济法治的基本理念与进路[J].江海学刊,2016(3): 141-146.

但是,这些实时数据通常并不为公共决策部门所直接掌握,它们属于移动网络运营商、搜索引擎提供商、各类共享平台以及社交媒介平台等技术企业所有的重要财产。除此之外,囿于数据收集、分析技术和专业能力的局限,公共部门即使能够获得这些数据,也无法充分有效地利用。“没有私营部门的支持,我们认为理所当然的艺术、保健和教育方面的许多公共方案将不存在。同样的精神应该扩展到大数据。”(4)Kirkpatrick R. A New Type of Philanthropy: Donating Data[EB/OL]. (2013-03-21)[2021-12-10].https://hbr.org/2013/03/a-new-type-of-philanthropy-don.公共决策部门运用大数据能力的局限可通过与私营部门合作而得到弥补;技术公司可以通过直接与公共部门、社会组织合作,利用其专业知识和数据财产来应对共同面临的各种社会风险的挑战。(5)Stempeck M. Sharing Data Is a Form of Corporate Philanthropy[EB/OL]. (2014-07-24)[2021- 12- 10].https://hbr.org/2014/07/sharing-data-is-a-form-of-corporate-philanthropy.问题是,法律应该如何促成公私合作,进而发挥大数据的社会价值? 与之相关的另一个问题是,大数据共享与应用如何保障数据主体的合法利益?大数据共享与应用引发了数据主体隐私泄露的担忧,这绝不是无中生有。(6)关于数据泄露的梳理文献,参见Agelidis Y. Protecting the Good, the Bad, and the Ugly:“Exposure” Data Breaches and Suggestions for Coping with Them[J]. Berkeley Technology Law Journal, 2016, 31(2): 1057-1078.过强的隐私保护会阻止或者限制对社会有益的数据再利用(reuse),但滥用个人隐私也同样会产生严重的社会后果。

个人权利与公共利益之间存在一定程度上的紧张,但从理论上来看,这并不是一组新颖的矛盾关系。(7)Taddeo M. Data Philanthropy and Individual Rights[J]. Minds & Machines, 2017(27): 1-5.因此,法律应该通过正确的制度架构来解决该类问题。笔者认为,建立数据慈善制度是依法应对风险社会中突发事件频发的基础架构,是解决上述大数据社会价值利用困境的重要制度创新。为此,本文首先明确数据慈善的基本范畴,在此基础上主张个人信息保护法、慈善法与突发事件应对法均应在适当位置对其予以规范,并形成规范体系。

二、 数据慈善的基本范畴

在处理大数据的现有法律框架中,大数据的经济价值已得到明确肯定与保障,但尚缺乏系统的制度来促进其社会价值的充分利用。“数据慈善”(data philanthropy)这一概念的提出,(8)“数据慈善”是在2011年世界经济论坛上由布莱恩·贝伦多尔夫首次提出的。参见Lev-Aretz Y. Data Philanthropy[J]. Hastings Law Journal, 2019,70(6): 1491-1546.基于公、私部门在大数据获取、分析能力等方面不对称的现实,目的是解决“公共部门和社会公益组织可能无法访问并利用与大数据公司相同数量、质量或频率的数据”这一问题。(9)Stempeck M. Sharing Data Is a Form of Corporate Philanthropy[EB/OL]. (2014-07-24)[2021- 12- 10].https://hbr.org/2014/07/sharing-data-is-a-form-of-corporate-philanthropy.作为弥补数据能力不平等的补救机制,数据慈善制度的良性运行将是解决上述问题的重要保障。而数据慈善制度的构建,首先须对其基本范畴予以准确界定。

(一) “数据慈善”的界定

为实现大数据的社会价值,数据共享、数据捐赠以及数据慈善这些概念被不断提出,它们具有共同的目标: 促进私营部门与公共部门、社会公益组织之间的合理合作。虽然这三项概念曾被广泛讨论,且其基础依据均来源于技术上数据的可扩展性,但这三者在指涉范围方面并不相同。

数据共享(Data Sharing)可以理解为不同的数据控制者将其数据财产提供他人共同使用。其特点是,在数据发生使用转移或开放访问后,数据控制者可以继续使用数据,或对各自享有的数据财产互相开放。广义的数据共享包括政府等公共部门的数据向私营部门、社会公益组织开放,也包括私营部门互相之间的数据开放,还包括公、私部门之间的相互开放。但狭义的数据共享仅指“不同机构、平台之间的数据交换”,属于经济活动的一种重要形式,“一般不包括政府的数据公开行为”。(10)王利明.数据共享与个人信息保护[J].现代法学,2019(1): 45-57.政府数据开放的目的在于保障私营部门或社会公益组织之使用,其重点是数据开发后所产生的经济利益,故政府数据多被视为全民共同所有的信息资源。(11)参见胡凌.论地方立法中公共数据开放的法律性质[J].地方立法研究,2019,4(3): 1-18;吕富生.论私人的政府数据使用权[J].财经法学,2019(6): 24-35.

数据捐赠(Data Donate)是指数据主体将其拥有的数据财产捐赠给公共机构或社会组织使用。数据捐赠的含义超越了传统意义上“捐赠”的范式。传统意义上的捐赠意味着捐赠的客体必须发生转移,并且它必须将捐赠者排除在使用的合法主体之外。然而,数据使用的非排他性特征使得传统捐赠概念扩张至数据领域时,产生了难以避免的界定困境。(12)Krutzinna J, Taddeo M, Floeidi L. Enabling Posthumous Medical Data Donation: A Plea for the Ethical Utilisation of Personal Health Data[C]//Krutzinna J, Floeidi L. The Ethics of Medical Data Donation. Switzerland: Springer, 2019: 165.

与上述概念不同,“数据慈善”这一术语明确了大数据社会价值的基本属性。尽管其定义尚未被广泛接受,也存在不同的界定范式,但都明确涉及基本相同的应用场景: 出于社会利益目的而开放、访问或使用私营部门(即数据控制者)的数据财产。“数据慈善”的界定可以通过四个要素的组合来确定: 第一,体现为数据共享;第二,私有数据或其分析结果无须付费而获得;第三,数据共享具有公共利益;第四,它属于数据控制者在业务范围外的再利用(reuse)行为。(13)Lev-aretz Y. Data Philanthropy[J]. Hastings Law Journal, 2019, 70(6): 1491-1546.

首先,“慈善”一词强调了面向公共部门或公益组织的数据共享行为基于非营利性原则。(14)参见《慈善法》第4条、《公益事业捐赠法》第4条,相关链接见https://flk.npc.gov.cn/index.html。本文所引法条均来自“国家法律法规数据库”,为避免引用烦琐,后文法律出处不再说明。这是与“数据共享”概念所不同之处。非营利原则是指数据共享行为并不直接基于经济利益的考虑,而是“数据为善”的体现。这意味着数据或者数据分析结果的共享并不以金钱作为对价条件。数据慈善必须基于公共利益的需要。因为大数据由个人数据与非个人数据组成,它涉及多个利益主体,公共利益是在道德层面限制其他相关主体利益的正当理由。但这并不意味着慈善活动在满足公共利益需要的同时,与经济利益毫无关系。出于道德情感的慈善行为,与基于经济利益刺激而进行的慈善行为,在本质上都可满足公共利益的需求。依据《慈善法》的规定,慈善行为将获得税收优惠、财政支持等激励措施。这体现了经济上的刺激,它更加有利于慈善事业的持久发展。当然,虽然不排除在公共利益之外附加其他目的之可能,但是公共利益目的是首位的。

其次,数据慈善不同于传统慈善的地方在于数据的共享性,而非财产的转移。(15)Lev-aretz Y. Data Philanthropy[J]. Hastings Law Journal, 2019, 70(6): 1491-1546.传统的慈善活动主要体现为钱、物或服务的捐赠,它是慈善家或私营部门经营成本的组成部分之一。因此,如果私营部门过度参与慈善活动,有可能导致其经营活动的困难。与此不同的是,数据的使用具有非损耗性和非排他性,这意味着数据慈善不仅不会给私营部门造成严重的成本负担,而且也不影响其在经营范围内开展正常的经济活动,私营部门甚至还有可能因为公共部门利用数据而改善了管制环境、拥有良好的公共关系与声望,这进而有益于其盈利能力的提升。

再次,它属于私营部门在业务范围外的数据再利用行为。(16)Lev-aretz Y. Data Philanthropy[J]. Hastings Law Journal, 2019, 70(6): 1491-1546.有益于社会公共决策的数据再利用行为往往不属于共享数据的私营部门之业务范围。数据驱动的产业需要收集、处理与利用大量数据。有些业务模式基于纯粹商业价值考虑,如定向广告投放、搜索结果排名;也有些业务模式兼具商业目的与公益价值,如根据外卖收货地点(如家庭还是办公场所)来决定一次性餐具的配置,兼有成本节约与环境保护之效果。对于私营部门来说,数据用于公共决策,尽管在宏观上有益于其商业模式的成功,但并不是其业务范围之内的事项,如共享出行服务提供者收集的路况与客户数据,主要服务于其出行路线规划的需要,但交通管理部门利用这些数据进行交通灯设置、公共交通站点规划,即已超出其收集处理数据时承诺的业务范围。这说明数据社会利益的实现路径不同于私营部门的商业利益支持机制,其再利用行为尚需要额外的投入和技术支持,即数据慈善的正常运转需要外部合作方参与。(17)Lev-aretz Y. Data Philanthropy[J]. Hastings Law Journal, 2019, 70(6): 1491-1546.

(二) 数据慈善的类型及其法律风险

按照是否开放元数据,数据慈善可分为两种类型: 一是数据公司共享其数据清洗与处理后得到的信息,二是数据公司将原始数据开放给第三方使用。

在第一种数据慈善模式中,数据控制者利用专业优势分析数据形成决策信息,直接将其提供给公共部门在更大范围内使用。在这一类型中,数据公司使用其直接收集的数据形成决策信息。例如,百度地图慧眼的“百度迁徙”系百度公司直接提供的分析信息。该种数据利用既可能处于数据主体的知情同意范围内,也可能超出目的限制的范围。此时,需要明确公共利益之事由是否属于可超出数据主体知情的范围。换言之,公共利益事由是否可以突破个人数据保护的目的限制之法律规定。

第二种数据慈善模式还可以按照数据控制者是否直接共享元数据的标准,进行更加详细的类型划分。数据控制者不仅可以共享数据,还可以提供与数据有关的专业知识和数据分析工具,深度参与数据慈善事业。(18)Pawelke A, Tatevossian A R. Data Philanthropy: Where Are We Now? | United Nations Global Pulse[EB/OL].[2021-09-29].https://www.unglobalpulse.org/2013/05/data-philanthropy-where-are-we-now/?highlight=Data%20Philanthropy.在直接开放元数据,且允许第三方直接访问、使用数据时,数据处于深度开放状态。虽然匿名化等技术对个人信息可予以去个性化处理,但是,它面临重新识别技术的挑战,此时的个人隐私安全极易受到威胁。通常情况下,开放元数据的行为超出了数据主体知情同意的范围,故同样存在公共利益是否可以突破目的限制的问题。此时,如果是通过数据转移的方式实现开放共享,则还需要明确被转移的客体范围。相比传统慈善事业的开展,数据慈善更加复杂,相关利益主体之间的博弈也更繁复,故需要理清现有法律的规定,并寻找合适的衔接点,将其平稳地嵌入社会价值实现路径之中。

(三) 数据慈善的价值

数据慈善的对象是私人部门在其业务范围内收集到的各类数据,数据慈善的制度价值可以分为两个层次探讨: 一是大数据的社会价值,二是数据慈善对私人部门的经济价值。

第一,数据慈善的首要价值在于实现大数据的社会价值。在大数据中,个人数据是非常重要的组成部分。可穿戴设备、智能手机以及自我跟踪设备日益普及,大量的个人数据被私营部门收集、处理与利用,这些数据包括身份识别信息、出行信息等等。在人类对抗疾病与自然灾害的进程中,在社会有效配置资源的公共决策中,大数据发挥着越来越重要的作用。其中,人道主义救援、城市规划和学术研究是慈善数据助益于公共决策的主要应用场景。例如,私营部门的数据被广泛用于社会风险发生时的人道主义救援。正在进行的抗击新型冠状病毒肺炎战役中,利用移动电话用户的出行数据,分析数据主体的移动轨迹、停留时长、出行方式,帮助识别感染者和潜在感染者,就是传染病防治隔离措施得以有效实施的重要保障。2010年海地地震后,移动网络服务提供商的匿名数据被用于分析个人活动,预测震后霍乱的蔓延情况。(19)Sarfaty G A. Can Big Data Revolutionize International Human Rights Law?[J]. U. Pa. J. Int’l L, 2017, 39: 73- 101.2015年尼泊尔发生地震,救援组织根据移动用户相关数据建立人口流动模型,绘制人口迁移图以确定受影响人群的具体位置,及时分配救援资源。(20)Lev-aretz Y. Data Philanthropy[J]. Hastings Law Journal 2019, 70(6): 1491-1546.从上述例子可以看出,数据慈善促成了公私部门的通力合作,提高了人类应对自然灾害的能力。

大数据在智慧城市建设中也具有重要意义。共享出行服务提供者拥有的司乘出行实时数据提供了对城市交通状况检视的上帝视角。智慧城市的公共服务、基础设施以及各项政策需要足够的弹性以实时回应居民的各项需求。(21)Stempeck M. Sharing Data Is a Form of Corporate Philanthropy[EB/OL]. (2014-07-24)[2021-12-10].https://hbr.org/2014/07/sharing-data-is-a-form-of-corporate-philanthropy.导航服务和共享出行服务提供者的大数据将极大地助力智慧城市的建设。同样,数据慈善也有益于学术研究,特别是学者们通常缺乏足够渠道获得相关数据。例如,推特启动的“数据授权”(Data Grants)项目,授权几组研究团队共享部分全球实时数据,以开展相关研究。(22)Stempeck M. Sharing Data Is a Form of Corporate Philanthropy[EB/OL]. (2014-07-24)[2021-12-10].https://hbr.org/2014/07/sharing-data-is-a-form-of-corporate-philanthropy.数据慈善是企业履行其社会责任的重要体现,也是促成数据社会价值得以实现的有效路径。在一定程度上讲,该类公司为公共事业带来专业知识、研究能力和影响力,可以帮助公共部门和社会组织创造出它们自己永远无法负担的新解决方案。(23)迈克尔·波特,马克·克雷默.企业慈善事业的竞争优势[J].吴言,译.哈佛商业评论(中文版),2003(2): 40-55.

第二,数据慈善对于私营部门也具有重要的商业价值。一直以来,慈善事业是企业履行其社会责任的重要内容,将慈善与公司的战略目标结合,即为“战略性慈善事业”。“战略性慈善事业”的核心不只是将资金“越来越多地用作公共关系或广告,通过与公益事业相关的营销或其他高知名度的赞助来提升公司的形象或品牌”;而是“同时解决重要的社会和经济目标,且要针对具有竞争优势的领域,因为公司带来了独特的资产和专业知识,公司和社会都将从中受益”。(24)迈克尔·波特,马克·克雷默.企业慈善事业的竞争优势[J].吴言,译.哈佛商业评论(中文版),2003(2): 40-55.数据企业将自己的专业知识与社会利益的客观需要有机结合,实现了个体利益与公共利益的双重满足。

从激励更多企业参与慈善事业的角度出发,如果实施慈善既能实现社会利益,又不至于损害公司股东利益,应该有足够的理由相信至少在经济上会促成慈善事业的发展。普遍认为,慈善是公司改进竞争环境的成本效益最优的方式,公司能够利用公共部门、社会组织的努力和基础设施来改善其面临的竞争环境。(25)迈克尔·波特,马克·克雷默.企业慈善事业的竞争优势[J].吴言,译.哈佛商业评论(中文版),2003(2): 40-55.相比传统的慈善活动,数据慈善在实施上更具有优势,其原因在于数据不会因为他人的使用而出现不可逆转的价值贬损。虽然数据共享会产生“搭便车”的风险,危害企业的竞争力,但是企业经营行为的时间距离、环境优势的特定性以及良好声誉、公共关系的改善,将使得“搭便车”行为人难以分享数据慈善主体的利益。(26)迈克尔·波特,马克·克雷默.企业慈善事业的竞争优势[J].吴言,译.哈佛商业评论(中文版),2003(2): 40-55.

综上所述,数据慈善是大数据公私利益合理衔接的重要机制。将数据慈善作为慈善事业的有机组成,有利于实现大数据的社会价值。私营部门可发挥业务优势,缓解公共部门数据资源匮乏和专业能力不足的困境。这样一来,私营部门既履行了其社会责任,又可以借助慈善的渠道实现其自身战略环境的改变。数据慈善是社会利益和数据控制者利益的“双赢”。

三、 个人数据保护法中的数据慈善

数据慈善的优势来源于数据的可扩展性和非消耗性。但是,数据慈善的利益相关者不应该忽视数据主体的权利。个人数据是大数据最重要的组成部分,数据主体始终是数据生成的直接来源,且数据慈善加剧了隐私泄露的风险。因此,将数据作为慈善事业的对象,就必须回到个人数据保护规范,探寻数据作为慈善对象的正当化依据。

(一) 数据慈善面临个人数据保护知情同意原则的挑战

大数据开发涉及重要的伦理问题: 对个人隐私的威胁。为了保障个体的数据安全,就应当尊重其自主决定权利,让其自由选择是否准予对其个人数据进行收集、处理与利用,这逐渐成为所有数据控制者是否符合伦理要求和法律义务的主要判断标准。从立法模式来看,以欧盟《通用数据保护条例》为代表的个人数据保护架构采取选择加入(opt-in)机制,即数据控制者不仅须事前取得用户的知情同意,而且还承担采集已获同意的证明责任。(27)郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学,2020(2): 198-208.美国缺乏综合性的个人数据保护立法,但其基本框架采取选择退出(opt-out)机制,其“政策导向显然以企业的商业化利用为先”,即用户事前的知情同意是被推定的“默示同意”,其可在数据采集之后行使选择退出的事后拒绝权利。(28)郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学,2020(2): 198-208.

与欧盟法类似,中国《个人信息保护法》与相关单行立法已明确了个人数据保护的事前知情同意原则。2012 年,《全国人大常委会关于加强网络信息保护的决定》首次提出数据的收集、使用必须征得数据主体的知情同意。(29)参见《全国人大常委会关于加强网络信息保护的决定》第2条。同年发布的国家标准《信息安全技术、公共及商用服务信息系统个人信息保护指南》将知情同意原则予以具体化,在数据运行的不同阶段都贯彻了知情同意的基本理念,(30)《信息安全技术、公共及商用服务信息系统个人信息保护指南》(2012)第5.2、5.3、5.4条。例如,数据收集者不得超出其事前告知之目的与范围而对个人数据进行加工或转移。(31)《信息安全技术、公共及商用服务信息系统个人信息保护指南》(2012)第5.3.1、5.4.1条。2016年出台的《网络安全法》第41条规定了个人数据的收集和使用都必须确保数据主体的知情同意;第42条规定,只有经过匿名化处理且不可复原的数据,才可无须征得数据主体的同意而转让。《民法典》第1305条规定,处理个人信息应“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”,应“不违反法律、行政法规的规定和双方的约定”。

数据慈善的主要应用场景都涉及个人数据的再利用。在传染病防治、地震救援、抗洪救灾等社会风险应对时,采取科学的应急措施需要对数据控制者收集的数据予以再利用,如12306平台向防疫部门提供的实名购票数据用于追踪确诊患者与密切接触者,它必将涉及个人数据保护的法律。此时,其面临如下法律困境。

第一,数据慈善属于数据控制者超出其业务范围的数据再利用(data reuse)行为。大数据的内容包括个人数据与非个人数据。非个人数据的利用并不涉及隐私利益,如物联网中有关产品、交易支付和运输的信息,其数据控制者如何利用,法律并不加以限制。但个人数据再利用行为则涉及较为复杂的法律关系,它包括数据重复利用(recycling)、跨目的利用(repurposing)和跨环境利用(recontextualization)等类型。数据慈善主要涉及后两种类型,它们均超出数据控制者最初收集个人数据的目的,面临不符合知情同意原则的法律风险,(32)Custers B, Uršic H. Big Data and Data Reuse: A Taxonomy of Data Reuse for Balancing Big Data Benefits and Personal Data Protection[J]. International Data Privacy Law, 2016, 6(1): 4-15.如用户收货地址可作为寻找传染病确诊患者密切接触者的手段(跨目的利用),保险公司与医生、疾控中心对个人健康数据会作出不同解释(跨环境利用)。

事前知情同意原则的具体内容主要包括: (1) 公开告知,即以明确、易懂和适宜的方式事前予以告知。《民法典》第1035条规定,须公开处理信息的规则,明示处理信息的目的、方式和范围。(2) 目的限定,即应限于特定、明确、正当的目的,数据的收集、处理均不得违反上述目的。(3) 最少够用,即“不得收集与其提供的服务无关的个人信息”,个人信息收集应是“为了实现数据处理目的”的“适当的、相关的和必要的”收集。然而,数据慈善的目的主要是发挥数据的社会价值,其数据利用并非数据控制者的业务范围,数据控制者不可能在传染病、地震或洪水暴发等社会风险发生之前作出预判,也就无从在数据收集前作出明确告知,这样一来,相关数据用于慈善就不符合公开告知要求。同时,基于发掘社会价值而再利用数据的行为超出了事前告知的目的范围,不符合数据处理之“目的限定”要求。也就是说,对于数据的再利用,数据控制者既无法进行事前告知,也无法在事后告知并再行取得数据主体的同意。(33)Custers B, Uršic H. Big Data and Data Reuse: A Taxonomy of Data Reuse for Balancing Big Data Benefits and Personal Data Protection[J]. International Data Privacy Law, 2016, 6(1): 4-15.

第二,数据慈善可能涉及敏感数据的再利用行为。个人数据保护法区分敏感数据与一般数据而采取不同的保护模式。(34)梁志文.论个人数据保护之法律原则[J].电子知识产权,2005(3): 10-17.敏感数据“是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息”,(35)张新宝.从隐私到个人信息: 利益再衡量的理论与制度安排[J].中国法学,2015(3): 38-59.包括种族、政治观念、宗教信仰、基因数据、生物性识别数据、性取向以及健康数据等。欧盟《通用数据保护条例》第9条规定,原则上禁止采集个人敏感数据。美国法也区别对待敏感数据,规定采集用户个人的敏感信息时遵照的是选择加入(opt-in)机制。(36)邵国松,黄琪.个人数据保护全球融合的趋势与挑战[J].上海交通大学学报(哲学社会科学版),2021,29(4): 148- 159.中国现行规则类似于美国法,规定“收集个人敏感信息时,要得到个人信息主体的明示同意”,且应确保该明示同意“是在其完全知情的基础上自主给出的、具体的、清晰明确的意愿表示”,(37)参见《信息安全技术、个人信息安全规范》(2020)第5.4条,个人生物识别信息的收集也采选择加入机制。相比《信息安全技术、公共及商用服务信息系统个人信息保护指南》(2012)第5.2.3条,该国家标准在“明示同意”外增加了具体规定。可转让的个人数据必须通过技术处理后“无法识别特定个人且不能复原”。(38)参见《网络安全法》(2016)第42条。《个人信息保护法》第二章第二节专门作出了类似规定,第29条还特别强调收集敏感数据应当取得“个人的单独同意”;如果法律、行政法规规定需要取得书面同意的,还须满足书面条件。

敏感数据的收集、处理与利用须获得用户的事前同意,且必须是“明确无误的(explicit)、书面的(writing)”,(39)梁志文.论个人数据保护之法律原则[J].电子知识产权,2005(3): 13.其必须予以脱敏化处理才能利用。然而,数据慈善主要发生于严重威胁人类健康、安全或共同福祉的紧急突发事件,如地震、海啸、传染病暴发时进行的人道主义援助,包括为无家可归的灾民提供避难所、为失散家庭重建联系,隔离传染病的潜在感染者、明确易感人群等,它们都需要数据控制者提供相关数据,其中就有可能必须利用到敏感数据。(40)Kuner C, Svantesson D J B, Cate F H, et al. Data Protection and Humanitarian Emergencies[J]. International Data Privacy Law, 2017, 7(3): 147-148.例如,在传染病防治时,发布确诊患者活动轨迹具有重要意义,可穿戴设备服务提供商与移动设备服务提供商均可提供用户的定位信息及其运动轨迹,可以准确地确定其工作场所、家庭住址,分析其生活习惯乃至人际交往关系。这些信息中的大部分内容构成了用户的敏感数据。数据控制者提供了这些数据,这说明其或者并未进行数据的脱敏化处理,或者在向公益组织或公共部门转移或共享数据时“复原”了足以识别特定个人的数据。

(二) 知情同意原则法律限制中的数据慈善

权利保护有其边界,个人数据保护也同样需要在数据主体的隐私利益、数据控制者的商业利益以及公共利益(即数据的社会价值)三者之间进行平衡,故知情同意原则并非绝对,其同样受到法律的限制。同一个数据上至少存在上述三种利益,在利益相关者不唯一的情形下,如果利益之间发生冲突,则需要借助特定的工具进行平衡。具体到调整方式上,它应保证数据主体之权利得以实现,同时为了保障信息自由和公共利益,以及促进个人数据的合法流通和使用,也需要对知情同意原则进行相应的限制。(41)齐爱民,李仪.论利益平衡视野下的个人信息权制度: 在人格利益与信息自由之间[J].法学评论,2011(3): 37-44.

知情同意原则被视为个人数据保护的基本原则之一,一般认为欧盟对个人数据的保护要高于美国标准。但欧盟《通用数据保护条例》并没有将知情同意原则绝对化,而是分别针对一般数据和敏感数据建立了相应的限制规则。或者说,尽管规定需取得数据主体同意,但法律规定的合法利益豁免事由允许数据控制者合理处理数据,为大数据产业发展提供了极大的灵活性。(42)谢琳.大数据时代个人信息使用的合法利益豁免[J].政法论坛,2019(1): 74-84.一般数据的例外规则主要有: (1) “目的限制”例外规则:“为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的。”(43)参见GDPR第5(1)b条。(2) “限期存储”例外规则:“为了实现公共利益、科学或历史研究或统计目的,为了保障数据主体的权利和自由”,并采取了符合法律规定的“合理技术与组织措施”处理数据。(44)参见GDPR第5(1)e条。(3) 同意或默示同意例外规则:“履行数据控制者应承担的法定义务”“执行公共利益所需或官方机构要求的任务”“数据控制者或第三方的合法利益”等。(45)参见GDPR第6(1)c至f条。处理敏感数据的例外规则包括: 数据控制者履行其责任、在正当性活动中使用且采取合理措施、公共利益与公共健康等。(46)参见GDPR第9(2)条。该条具体列举了十项例外规则。《信息安全技术、个人信息安全规范》(2020)第5.6条规定了11项限制事由,大体上与GDPR相似。在中国,《民法典》第1036条规定,“为维护公共利益或者该自然人合法权益,合理实施的其他行为”,不承担侵权责任。《个人信息保护法》第13条第1款第4项规定:“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必须”,可以处理个人信息。

虽然数据慈善行为可能属于为公共利益或公共健康目的而处理数据的行为,但是个人数据处理者的数据慈善行为属于数据的再利用行为,上述零散的规定均有其特定的适用条件,其扩张适用是较为勉强的,这使得数据控制者将面临法律争议的风险,将挫伤数据慈善事业的发展。

可能的解决方案有三:

第一,在知情同意原则的基本框架下,在事先的告知协议中添加新的条款,规定数据控制者基于社会利益的需要,可以在告知的业务范围外使用数据。通过事前宽泛的同意条款可以避免数据慈善的合法性危机,但其负面效应也非常明显: 它本质上架空了个人数据保护法的“目的限定”规则和“必要原则”规则。如果剥离了这两项规则,不当收集个人数据的行为就会日趋泛滥,(47)张新宝.个人信息收集: 告知同意原则适用的限制[J].比较法研究,2019(6): 1-20.个人数据权便将成为画中之饼似的虚空权利。

第二,为了确保个人数据的多元化应用场景与个人隐私利益之间的平衡,建立类似于著作权法上合理使用的抽象例外规则,即“个人信息合理使用原则”。(48)江波,张亚男.大数据语境下的个人信息合理使用原则[J].交大法学,2018(3): 108-121.该方案的最大优点在于其拥有弹性空间和技术中立特征,可以适用于不同应用场景。合理使用原则缓和了知情同意原则的绝对性,为符合公共利益的需要但超出事前同意范围而再利用数据等行为预留了合法空间。在具体的法律适用中,必须进行所谓的“平衡测试”,综合考量如下要素:(49)谢琳.大数据时代个人信息使用的合法利益豁免[J].政法论坛,2019(1): 78-79.公共利益与数据控制者合法利益的评估;对数据主体的影响;数据控制者是否遵循了一般的数据保护义务,是否采取了合理的保护措施。如此一来,如同著作权法上合理使用制度一样,其法律适用极其困难,必然充满着大量的不确定性,故并非最佳的制度选择。

第三,建立个人数据保护的慈善例外规则。笔者认为,理性的处理路径是明确建立数据慈善例外规则,在允许数据慈善可以突破知情同意的治理框架下,同时秉持谨慎态度,既要满足公共利益的需要,又要避免架空知情同意原则。其基本内容可简要表述为:“出于传染病防治、赈灾救助等突发事件应对以及其他类似公共利益目的而对数据予以再利用,数据控制者在采取合理措施之后可以向第三方合法开放数据。” 相比《信息安全技术、个人信息安全规范》(2020)第9.5条规定的“共享、转让、公开披露个人信息时事先征得授权同意的例外”规则,笔者所主张的数据慈善例外规则更符合个人数据保护的利益平衡原则,这主要体现为如下两个方面。

1. 数据慈善例外仅限于两类有限的情形。一是突发应急情况下对数据的再利用行为。在国家或特定地区出现紧急状态或者非常情况时,法律常常须作出特殊变通,允许在平常状态下受法律限制或禁止的某些特定行为,如救护车未遵守限速等交通规则的情形,这是所谓的应急例外规则。(50)Lev-aretz Y. Data Philanthropy[J]. Hastings Law Journal, 2019, 70(6): 1491-1546.但是,其使用期限应与紧急状态相适应,故只能是短时间内的权利克减,如传染病防治、赈灾救助期间,数据匿名化就不符合风险应对的要求。这里需要强调的是,它虽然属于应急状态下数据主体权利克减的情形,但仍然不得影响个人数据上的核心权利。二是对数据的再利用行为在性质上是回应型的,目的是为了解决共同的社会问题和满足共同的社会需求,具有公共利益属性。这种情形不属于紧急状态,数据的再利用不限定于短期的时间范围,因而需要进行谨慎的风险评估,以确认并衡量个人数据权利减损与社会收益之间的大小得失。(51)Lev-aretz Y. Data Philanthropy[J]. Hastings Law Journal, 2019, 70(6): 1491-1546.一般来说,对于回应型的再利用行为,应作出更为严格的规定,必须警惕其超出必要限度。例如,地震救援时利用移动服务提供者所采集的可识别到个人的敏感数据是合法的。再如,通过社交软件数据研究青少年自杀因素而定位到个人的做法就超出了必要限度,但如果识别到特定个体有高度自杀风险,此时利用敏感数据又具有合法性。因此,并不是所有符合公共利益的数据再利用行为都可以突破“目的限定”规则与“限期存储”规则。

2. 数据慈善例外规则是利益平衡的工具,它要求数据控制者采取合理措施保护数据主体的利益。虽然在事先告知范围之外使用数据并不必然造成数据主体的利益受损,但是超出事先告知范围使用数据毕竟加剧了数据主体被侵害的风险,特别是在“去匿名化技术”的加持下,数据主体面临的风险剧增。因此,数据控制者必须采取合理措施来防止“去匿名化技术”给数据主体造成损害。明确的数据再利用期限就是数据控制者必须采取的很重要的措施。数据控制者必须为数据再利用设置保留时间,在数据再利用目的得到实现后,不允许数据的利用。质言之,开放数据的保留时间以事先确定的再利用目的得以实现为限。因为在慈善目的实现后,如果数据继续处于可以被共享访问的状态,则意味着被重新识别的风险越大,(52)在一般情况下,用于数据慈善的数据必须经过匿名化处理,不包含识别个人特征的数据。对数据主体的权利保护愈发不利。

综上所述,数据慈善例外规则为实现大数据的社会价值预留了空间,缓和了知情同意原则的绝对性。然而,知情同意原则使得数据控制者利用数据的经济价值具有足够的道德正当性,故对其限制规则的运用必须秉持谨慎的态度。因此,《个人信息保护法》应该构建数据慈善例外规则,并在数据主体利益与社会利益之间取得适度平衡。

四、 慈善法中的数据慈善

仅仅依靠个人数据保护法的预留空间不足以支撑数据慈善的发展。数据慈善是一项系统工程,必须构筑完整的法律体系进行调整。虽然有别于传统的慈善事业,但数据慈善仍未超脱慈善的范畴。《慈善法》第2条规定的调整对象包括开展慈善活动以及与慈善有关的活动,但其架构中并无数据慈善。因此,数据慈善实践缺少慈善法上应有的法律指引与规范。

(一) 《慈善法》应明确将数据列入捐赠财产的范围

《慈善法》第36条采取了具体列举与抽象概括的方式规定了捐赠财产的种类,但并未明确包括数据。虽然通过法律解释的方式可以将数据纳入捐赠财产的范围,但是基于数据的特殊性,有必要将其明确规定为捐赠财产。《慈善法》规定捐赠人捐赠的财产应当具备两个条件: 有权处分与合法财产。将数据明确列入捐赠财产的范围,也需要明确两个基本问题: 首先,数据控制者是否有权处分其收集的数据?其次,数据是否属于被承认的财产,是否具有民法上的财产属性?

第一,数据控制者是否有权处分其收集的数据?在个人信息保护法中设定数据慈善例外规则可为数据控制者提供合法依据,使数据控制者避免被追问对数据享有何种权利的困境。即使数据控制者原本不具有超出其业务范围处分数据的权能,但基于公共利益的正当理由,其有权共享数据或者再利用数据。质言之,公共利益支撑了数据控制者在特定情景下进行数据处分的权利。

第二,数据是否属于捐赠人的合法财产?数据是否属于合法财产这一问题,需要回到民事法律体系中寻求依据。《民法典》未明确规定数据是民事主体合法享有的财产形式,但其第127条规定依照其他法律的规定保护数据,为数据财产保护预留了立法空间。虽然数据确权因涉及物权法、知识产权法、个人信息保护法等诸多规范而存在困境,(53)韩旭至.数据确权的困境及破解之道[J].东方法学,2020(1): 97-107.但是其权利属性并未受到否定。权利的本质在于利益的获得与控制,数据处理过程涉及不同的利益主体,当数据控制者排他性地占有数据时,其他利益相关者不可以未经授权而获取、使用其数据,这代表着控制者的利益得到了法律保障。从司法实践来看,“新浪微博诉脉脉案”“淘宝诉美景案”以及“大众点评诉百度案”等系列案件确立了反不正当竞争法下数据财产权益的保护规则。(54)刁云芸.涉数据不正当竞争行为的法律规制[J].知识产权,2019(12): 36-44.由此可见,数据控制者对于其捐赠的数据是享有民事法律上的权利的。

将数据明确列入《慈善法》第36条,有助于激励数据控制者开展数据慈善活动、促进公私合作。数据慈善是关系性的行为,存在以下关系主体: 问题持有者、数据控制者和技能持有者。(55)Lev-aretz Y. Data Philanthropy[J]. Hastings Law Journal, 2019, 70(6): 1491-1546.问题持有者一般是公共部门,它们负责确定社会问题,识别受影响群体的需求,提出潜在解决方案,但通常需要其他关系主体的支持。数据控制者是拥有数据财产的私营部门,但数据主体(data subjects)或个人数据的权利人并不是数据慈善的关系主体,尽管这关涉其重要的隐私利益。技能持有者则是指拥有技术专家的私营部门,这些专家具有专业知识能力,能够分析数据并提取有益的知识。上述分类可能会出现重合,例如数据持有者和技能持有者的重合,但是,正确区分数据慈善所涉主体对于平衡其利益至关重要。(56)Lev-aretz Y. Data Philanthropy[J]. Hastings Law Journal, 2019, 70(6): 1491-1546.因为每个主体所拥有的利益不同,对利益相关者作出区分有助于在承认其不同利益的基础上实现社会利益。不同主体加强合作才可实现利益的最大化,如私营部门与公共部门、学术机构等非营利性组织的合作。

将数据慈善纳入《慈善法》的相关规定,既可以为数据控制者等私营部门提供声望激励,也将为其提供经济激励。首先,在数据驱动创新的产业领域,大数据是最重要的财产和竞争优势。《慈善法》承认数据慈善的法律地位,可促使私营部门将数据慈善与公司慈善战略有机结合,这是对私营部门慈善行为的精神表彰,也是对私营部门和其他组织履行其社会责任的正面弘扬。其次,《慈善法》明确数据作为捐赠财产,将强化对进行数据慈善的私营部门予以支持的政策措施,国家提供的激励措施将促成数据慈善的发展。《慈善法》第80条规定捐赠财产用于慈善活动的主体都享有税收优惠,第83条还规定其“依法免征权利转让的相关行政事业性费用”。法律将数据明确列入捐赠财产的清单,开展数据慈善的私营部门就可以无争议地获得各种优待,这就对数据慈善行为构成经济激励。

(二) 《慈善法》规定的数据慈善应仅限于数据财产的使用权

相比传统慈善捐赠的有形财产,数据具有的两大特征使得数据慈善无须转移数据财产的所有权即可实现其社会价值: 数据使用的非损耗性或共享性,数据价值的多重性或可扩展性。数据使用具有非损耗性,即实现数据的社会价值不需要数据的消耗,通常无损于数据的商业价值,故数据的社会价值实现与数据控制者的经济利益并不冲突。因此,在《慈善法》的现有框架内,应该明确数据慈善的特殊性,即仅限于数据的使用权,且不得妨碍数据控制者在原有知情同意范围内开展数据的商业性使用。

之所以数据慈善的对象仅限于数据的使用权,其原因还在于构成大数据重要部分之个人数据涉及隐私利益。隐私利益首先体现为个人敏感数据的保护。《信息安全技术、个人信息安全规范》(2020)第9.2(c)条强调个人敏感数据的“共享、转让”须履行特殊的事先告知并取得同意的规则。非敏感数据也同样具有隐私利益。在欧洲,个人数据被视为数据主体人格权的一部分,具有人身属性,即使是开展慈善事业、具有公共利益属性,也不可将个人数据与数据主体分离,进行所有权的转移。即使是偏向于商业利益的美国法,尽管强调数据的流通与利用,但同样承认个人数据的隐私属性。况且数据控制者也仅限于在数据主体知情同意的范围内使用数据,基于公共利益的数据再利用行为同样必须尊重数据主体的隐私利益。在多数情况下,实现数据的社会价值牵涉由众多单元数据组成的整合型隐私,这些单元数据并不是敏感的个人数据,其“存在并不会构成对公民隐私的冒犯”,但“被有目的地排列、组合,形成有规律的行为轨迹、生活癖好等要素”时,就有可能成为识别个人特征的数据。(57)顾理平.无感伤害: 大数据时代隐私侵权的新特点[J].新闻大学,2019(2): 24-32.因此,将数据明确纳入捐赠财产的范围,并进行慈善事业的同时还必须考虑到数据主体的合法利益。个人数据在公共利益、紧急状态下受权利减损的限制,而隐私安全保障同样应视为数据慈善顺利开展的基本前提。(58)《慈善法》第76条规定了个人隐私信息的保护义务。

(三) 《慈善法》还应将数据技术支持服务纳入数据慈善的范围

数据慈善的开展将为促进公私部门合作、实现大数据社会价值发挥重要作用。一方面,私营部门不仅掌握大量有价值的数据集,通常还拥有大数据分析的技术专家。另一方面,公共机构和社会组织不仅数据匮乏,还受制于其数据收集、分析的能力;缺乏专业技术人员的支持,数据的社会价值也无法实现。因此,数据慈善不仅应促成数据在公、私部门之间的共享,而且应包括技术专家支持服务。私营部门提供技术支持不属于《慈善法》第七章规定的“慈善服务”,依据该法第61条规定,慈善服务主要指慈善组织、其他组织或个人提供的无偿服务及其他非营利服务,其他组织可以接受慈善组织的委托提供服务。从具体内容来看,慈善服务仅指面向受益人的服务。在制度上,可以将私营部门的技术专家作为志愿者而纳入慈善服务的管理中。不过,更可取的做法是将其列入书面捐赠协议的合同条款之中,《慈善法》第39条规定:“书面捐赠协议包括捐赠人和慈善组织名称,捐赠财产的种类、数量、质量、用途、交付时间以及技术支持等内容。”

五、 突发事件应对法中的数据慈善

辅助形成针对突发事件的科学应对策略是数据慈善的主要应用场景之一,也是其正当性的重要体现。因为“突发事件的预防与应急准备、监测与预警、应急处置与救援、事后恢复与重建等应对活动”均属于《突发事件应对法》第2条所规定的调整范围,《突发事件应对法》也应该结合数据慈善的特点,明确数据慈善在突发事件应对中的法律地位。它主要涉及突发事件发生时个人数据权利的限制与数据控制者享有的数据财产权利的限制两种情形。

第一,紧急状态下个人数据权利的限制。一般认为,在公共健康、公共秩序、公共安全等公共利益和国家利益面临严重威胁或损害时,在一定程度上限制或克减个人权利的目的是恢复国家秩序和社会秩序、减少生命与财产损失。(59)韩大元.论紧急状态下公民基本权利的限制与保障[J].学习与探索,2005(4): 80-83.在大数据时代,突发事件应对中的权利限制首先就涉及个人数据权利的限制,主要体现为事前知情同意原则适用范围的限制。个人数据处理业务如果超出事前告知的业务范围,在一般情况下构成对个人数据权利的侵犯,但紧急状态下的数据再利用在深层意义上是为了更好地实现权利的保障,是权利的合理克减。数据慈善不仅限制了数据控制者超出业务范围而转移或共享数据的法律责任,它也同样负责对应急管理的公共部门之数据再利用行为责任予以豁免。譬如,传染病防治时为快速准确识别确诊患者的密切接触者,移动通信服务提供者提供用户定位数据而分析其运动轨迹,是超出其业务范围的数据再利用行为,但该行为不仅有利于保护密切接触者的身心健康,也符合防止疫情扩散的公共利益,并不构成对个人数据权利的侵犯。

然而,紧急状态下的权利限制是有界限的,它应当被控制在一定的范围之内,仅限于紧急状态下的特定时间,且限制的程度应当是有限的。(60)黄学贤,郭殊.试论紧急状态下公民基本权利之保障[J].当代法学,2004(4): 84-91.这实质上隐含了可限制权利与绝对保留权利之分的逻辑前提。个人数据具有人身属性,承载隐私等利益。像涉及人的尊严之类的数据不可予以公开,它具有绝对保留的属性。个人数据由一般数据与敏感数据组成,敏感数据通常应视为绝对保留的权利。例如,在疫情防治中羞辱性地公开个人信息,就超出了权利克减的界限,不具有合法性。紧急状态下个人数据权利的克减也应遵循行政法治的基本原则,如比例原则与权利救济原则等。《突发事件应对法》第11条规定了比例原则,强调采取的应对措施“应当与突发事件可能造成的社会危害的性质、程度和范围相适应”。个人数据权利的克减也同样如此。而且,由于突发事件的发生、救援、善后等不同阶段的紧急程度并不一致,故对权利的克减也不应一成不变。它应该是“动态的权利限制模式而非静态的权利清单”。(61)张帆.论紧急状态下限权原则的建构思路与价值基础[J].政治与法律,2020(1): 116-127.例如,新冠肺炎疫情防控中各地利用支付宝、微信等平台设置各种小程序,采集居民出行、运动轨迹数据,并通过各种岗哨查验,在疫情出现下行拐点之后,这类措施如果与疫情的紧急状况不相称,就不应再予以实施。

第二,紧急状态下数据控制者的数据财产权利的限制。突发事件的应对是“有组织、有计划、持续动态的”系统工程,最终目的是实现“有效的预防、处理和消弭危机”。(62)张成福.公共危机管理: 全面整合的模式与中国的战略选择[J].中国行政管理,2003(7): 6-11.对数据控制者的数据再利用有利于科学信息生成,为危机管理与应对提供有效信息。《突发事件应对法》应该鼓励与支持数据控制者在突发事件应对中发挥重大作用,强调数据慈善在提高公共部门应对突发事件能力中的地位。因为大数据时代突发事件的科学应对决策离不开准确、全面、适时的数据的科学支撑,而应急决策过程本质上就是信息处理过程。(63)钟开斌.信息与应急决策: 一个解释框架[J].中国行政管理,2013(8): 106-111.突发事件应对需要建立与之相配套的社会支持系统,即鼓励与支持社会各主体积极与公共部门合作,这是有效提高公共部门危机管理与应对能力的重要前提之一。《突发事件应对法》第11条规定政府及其部门应该采取“有利于最大程度地保护公民、法人和其他组织权益”的应对措施,同时也规定“公民、法人和其他组织”等社会主体有义务参与突发事件的应对工作。这是数据控制者在应对突发事件时的法定义务,也是其履行社会责任的重要法律依据。

然而,在具体的制度构建中,受制于法律制定时的技术发展现状,《突发事件应对法》未能重视大数据技术在“突发事件预防与应急准备、监测与预警、应急处置与救援、事后恢复与重建等应对活动”中的作用。例如,数据慈善为运用大数据技术提升突发事件监测、预警能力提供了契合点,但《突发事件应对法》第三章“监测与预警”部分并没有相应的制度设计来明确数据的再利用在突发事件监测与预警中的作用。其第38条规定了“获悉突发事件信息的公民、法人或者其他组织应当”报告的义务,而数据控制者之数据财产尽管具有预警等社会价值,但作为私营部门,其数据用途仅限于其商业价值部分,数据控制者通常不会开展社会风险预警性的数据分析,不仅因为这会增加其实现商业目的之成本,还因为对个人数据的超业务范围使用将使其面临违法的法律风险。《突发事件应对法》第41条规定建立、健全突发事件监测制度,其中包括基础信息数据库。但是,从法条的语义范围来看数据控制者之大数据并未包括在内,也未有相应的规则要求大数据应用到风险监测中。第46条规定了即将发生或已经发生的社会安全事件之报告义务,但仅限于县级以上的公共部门,数据控制者即使通过大数据分析预测了相应的风险,也无报告之义务。

将大数据作为突发事件应对决策的技术基础,这涉及对数据控制者的数据财产——由个人数据与非个人数据组成的集合——的权利予以限制。在突发事件应对时,这主要体现为对数据财产的征用。征用“是紧急状态下的强制使用, 紧急状态结束时,被征用之物将返还给原权利人”。(64)梁慧星.中国物权法草案建议稿: 条文、说明、理由与参考立法例[M].北京: 社会科学文献出版社,2000: 194.征用是突发事件应对过程中由政府等公共部门采取的强制措施,“是为了紧急情势下的公共利益,其对象可能是动产或不动产,法律效果表现为使用权的克减,事后仍会返还给行政相对人,毁损灭失时须补偿”。(65)党雷.突发事件应对中的行政征用补偿制度研究[J].法治研究,2010(2): 65-69.《突发事件应对法》缺乏足够明确的针对数据财产的征用制度,故应将其纳入第52条规定的征用对象。此外,突发事件发生后应该积极利用大数据指导救援工作,故第49条所规定的“应急措施”中也应明确公共部门可以利用大数据的措施,如确定受害人员的位置信息、要求数据技术人员提供服务等。

《突发事件应对法》第12条规定了行政征用制度,明确征用后产生价值减损应当给予被征用人补偿。很明显,该条也未能考虑到数据财产的特殊性。作为无形财产,数据具有用途的可扩展性和使用的非损耗性,它无须数据的实际转移,而以开放共享为主要利用形式,数据社会价值的实现并不必然会损害其商业价值。因此,它并不会因为被用于突发事件应对而出现价值贬损,对数据财产征用的激励不需要以补偿为主;适度给予奖励或荣誉性表彰才是必要的。但其第61条规定“由县级以上人民政府给予表彰或者奖励”的对象只能是作为志愿者的“公民”,故有必要扩大到作出重大贡献的数据控制者等私营部门。

综上所述,包括大数据在内的现代信息技术提高了人类应对突发事件的能力,但囿于立法时的技术现状,2007年颁布的《突发事件应对法》并未明确规定数据慈善的地位和作用。因此,应该修订该法,明确数据慈善在突发事件治理中的重要地位,为突发事件应对的科学决策提供多元化的路径。

六、 结 论

现代社会是风险社会,大数据为各种风险应对的科学决策提供了技术支持,但公共部门缺乏充分的数据与技术能力。数据具有用途的可扩展性和使用的非损耗性,兼具个人利益、商业利益与社会价值,这决定了数据慈善与传统慈善之间的区别。数据控制者等私营部门开展数据慈善,是数据社会价值实现的重要方式,且一般不会妨碍其商业价值的实现。承认数据控制者开放共享数据的慈善地位,实行给予其税收减免等优待激励措施,鼓励私营部门积极履行其社会责任,将有助于发挥大数据的社会价值。

数据控制者的数据财产由一般数据和个人数据组成。然而,数据慈善是数据控制者超出其业务范围的数据再利用行为,它不符合个人数据保护法上的事前知情同意原则。一方面,建立个人数据保护的数据慈善例外规则,豁免数据控制者侵权的法律责任,是突发事件应对与保障公共利益时数据再利用的合法依据。但另一方面,对于数据主体来说,数据慈善的共享模式将不可避免地使个体的隐私利益堕入危险境地。个体隐私安全是发展数据慈善的组成部分,数据慈善制度必须完善数据共享模式下的隐私保护框架,应对隐私泄露方面的挑战。

紧急状态下的突发事件应对是数据慈善的主要应用场景之一,也是对个人权利克减或限制的主要依据。紧急状态下对数据财产的征用可能不会严重影响数据控制者的经济利益,但涉及数据主体的个人尊严与隐私利益。《突发事件应对法》应该厘清数据征用涉及的价值多维属性,明确因公共利益而再利用数据的法律边界,确定数据征用的合理补偿机制,保护私营部门的创新财产及其参与公益活动的积极性。

猜你喜欢

控制者突发事件慈善
摆脱控制从我做起
论人工智能的刑事责任能力与追究
慈善之路
浅谈中小学财务人员角色转换的紧迫性
如何和控制欲强的人相处
突发事件的舆论引导
关于慈善行为和慈善促进的几个问题
慈善组织相关知识问答
慈善组织的登记、认定和终止
清朝三起突发事件的处置