6月2日上午,“2018数字政府与政务大数据建设高层研讨会”在北京国际展览中心召开,本次论坛由国脉数据研究院主办,北京国脉互联信息顾问有限公司、浙江蟠桃会网络技术有限公司承办,国脉海洋信息发展有限公司支持,来自国内政务大数据领域的管理者、研究者、实践者等200余人到场参会。
▲2018数字政府与政务大数据建设高层研讨会召开
北京市信息资源管理中心副主任穆勇发表了以“在财产规则和责任规则下的个人数据保护与共享”为主题的演讲。他通过解读欧盟《一般数据保护条例》(GDPR),指出我国现有个人数据保护法律法规与其相比定位较低,该条例的发布对国内企业有着立竿见影的巨大影响,为应对《一般数据保护条例》带来的挑战,政府要完善我国数据保护法律法规,企业要高度重视个人数据保护。
▲北京市信息资源管理中心副主任穆勇
以下是会议现场发言实录(根据现场速记和录音整理,未经本人审核):
非常高兴和大家分享个人数据保护问题。个人数据的保护和共享、开放是一对矛盾共同体。要想既保护个人的权益,又能够进行开放和共享,就需要我们在深入研究的基础上制定相关的规则,这里主要涉及到财产规则和责任规则。今天我要讲的内容分为两部分:第一,《一般数据保护条例》(GDPR)及其影响;第二,如何设计个人数据保护与共享机制。
一、《一般数据保护条例》(GDPR)及其影响
1. 《一般数据保护条例》发布
2018年5月25日,欧洲《一般数据保护条例》(GDPR)正式实施,这对我们个人信息保护、国内数据的管理,包括世界的数据管理产生了非常大的影响。我们要了解这个条例及其将给我们带来的影响。
2.个人数据相关权利的归属
《一般数据保护条例》中把个人作为一个数据主体赋予了前所未有的权利。明确了很多之前不确定或有争议的权利,如个人数据如何使用的知情权、数据处理的自由选择权。在数据所有权方面,个人数据的“衍生数据”权也属于个人,而不属于企业。
3.个人数据内容的扩展
《一般数据保护条例》把个人的数据所包含的内容进行了大幅度的扩展。个人的姓名、身份证号、地址、网上标识都列为个人数据。这些数据的所有权全为数据主体。另外企业对个人数据加工处理后的数据按照条例也属于个人,而非企业。
4. 数据控制者、数据处理者的义务和权利
《一般数据保护条例》中设立了数据控制者与数据处理者。它会对不同地区的企业的数据处理水平进行评估。只有达到它认可的水平,才会获得欧盟所属数据的传输。关于欧盟这些数据可以传到这里面来,现在中国地区还未达到该认证水平,欧盟数据从云传输渠道无法传入,这是目前面临的很大问题。
5.违反规定将面临高昂处罚
对于数据处理的违法行为,GDPR主要设定两个等级的处罚。第一等级最高可处以1000万欧元,或上一财年全球营业额2%,第二等级最高可处以2000万欧元,或上一财年全球营业额4% 。GDPR确立了“长臂”管辖原则,将法律适用的属地主义与属人主义原则结合起来,扩大法律适用的域外效力。
我们的企业如果没有达到GDPR的水准。第一将不能到欧盟国家开展业务;第二不能对欧盟国家的人员提供相应的服务,国内做的最好、响应最快的企业是国航。
6.我国个人数据保护的规则标准制定处在起步阶段
在个人数据信息管理方面,我国也有相关的《网络安全法》等一些法律规定,但有着分散、比较原则笼统、执行困难等问题。现有国家标准,法律定位非低,不能够起决定作用。
7. 国内外个人数据保护环境对比与问题分析
国外特别是欧盟国家,非常重视个人数据的保护。而在国内,由于法律缺失、有些企业除了采集本身提交的数据之外,还通过各种渠道来搜集个人隐私数据来进行一些相关的活动,并且这样的事情不是个例。有些互联网公司正在获取超出必要范围内的用户信息。
案例1:某公司通过某B2B、淘宝、天猫、支付宝等电子商务平台,收集客户积累的信用数据,利用在线视频全方位定性调查客户资信,再加上交易平台上的客户信息(客户评价度数据、货运数据、口碑评价等)。此外,据刊物报道,这家公司还会从微博、社交平台、同学录等获取大事记、信用卡限额、诉讼信息、朋友圈、中小教育甚至既往病史等等,还能获取婚姻状况、投资偏好、配偶、担保人、房贷车贷、个人和家庭年收入等信息。涉嫌违法《侵权责任法》中的患者个人隐私保护、《未成年人保护法》中的未成年人保护等法律,并适用《刑法修正案(九)》规定要件。
案例2:某旅游搜索引擎安装一个App 用户需要开放10多项权限许可,其将能否“允许读取用户的身份、短信、录音、照片、视频、位置、通讯录、日历活动、机密信息”等重要的个人信息作为使用其服务的前提条件。这种过度采集个人信息和采集信息滥用的“霸王条款”在互联网企业的服务协议中非常普遍。
由于过度的包容,没有守得住审慎的底线,造成各种严重侵权事件(如郑州空姐被害、百度医疗事件等)时有发生,严重影响用户对企业的信任。显然,如果沿用“环境先污染后治理”方式已走不下去了。
8.数据保护与共享并重原则
数据共享的核心其实是信任。只有用户放心,才会更多的进行共享。严格的法律保护能够建立足够的社会信心,使得数据可以在企业的层面得以流动,才有空间产生新产品和新产业,这是一整个良性循环的生态系统。
9.我国在个人数据保护上应与国际接轨
GDPR发布之后对我们的影响是立竿见影的。个人对数据保护的诉求会越来越高。如果企业不按照要求来做,很有可能失去市场,失去企业的价值。从全球其他发达经济体来看,澳大利亚、新加坡、美国等,目前也都在做相应的数据保护工作。
在我国,正在推行“一带一路”战略的实施,企业要想走出国门,首先要突破GDPR这道天然屏障,特别是数字企业与互联网企业。
10.机遇与挑战并在,企业如何应对?
相较于中国对于数字技术运用十分友好的市场和信息监管环境,后GDPR时代里在中国蓬勃发展的移动支付、电商、网上银行的数字业务将在欧洲面临更多关注,甚至招致欧盟数据监管机构有针对性的调查。
首先,企业需要高度重视数据保护工作。特别是移动支付、电商、网上银行方面的企业。滥用数据可能面临高额罚款,甚至丢掉市场。
第二,完善数据主体的权利设置与行使操作规程。GDPR在赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利外,还应当核实这些权利设置与行使是否符合GDPR的要求。
第三,加快完善相关规则,包括数据的处理机制、任命数据保护官,完善数据泄密报告与处理机制,大企业要有专门的人员来管理等。
第四,加快制定与完善我国数据保护法律法规。政府应当完善相关的法律法规,如果在这个领域处于一个比较低的层次和水平,我们将在国际间失去话语权。
第五,政府要以身作则。政府作为处理欧盟地区个人数据的“公共当局”,属于GDPR规范的行为主体之一。GDPR的主要目标中,也包括限制政府对个人数据的搜集和使用,要让政府更少地掌控公民数据,而不是更多。特别是北京这样即将举办冬奥会的国际交往中心,更要提升政府个人数据保护水平。否则在大型国际交流活动中将面临巨大问题。
第六,政府应为数字经济发展保驾护航。政府积极制定各种鼓励扶持政策,有效支持企业特别是中小企业提升数据治理水平,降低GDPR合规风险经济企业成长。通过完善对话协商机制,与欧盟监管当局开展平等对话协商,减少不必要的处罚与贸易纠纷。
二、如何设计个人数据保护与共享机制
在如今这种国际环境下我们再来看个人数据保护和共享机制的设计问题,这将涉及到财产规则和数据规则。
1.数据资源的权属确定
首先是数据产权的问题,主要涉及到个人数据是属于个人,还是属于企业。数据权属之所以难以理清,其原因有二:第一,数据收集处理和开放利用过程中涉及的主体多元,其活动经常相互交汇,不易清晰区分;第二,数据开放利用是一个不断增添材料、不断投入资源的过程,最终形成的数据资源或信息产品,是在多步骤操作下的结果。
政府的数据及其衍生数据的权属也存在同样的问题。政务数据资源的所有权归全民所有,其产生和运维管理过程主要依靠公共财政的支持。任何单个主体,无论是党政部门或企事业单位或个人,不能就政务数据资源主张排他性的权利。
2.国外的方法模式
在欧洲数据保护的方法有两种模式,一种是完全属于私有化。Mark A. Hall提出了一个数据资源私有化的观点“医疗数据的所有权归病人所有”。因此,是否开放医疗数据、以什么方式开放(有偿或是免费)、在什么范围内开放,全是病人基于自身情况考虑的问题。同时,为了激励科学研究和对病患情况的共同讨论,可以在个人同意的基础上授权医疗机构和科研机构开放利用这些数据。
另一种是把它交给一个专门的公益性机构进行开发。Marc A. Rodwin提出一个公有产权的数据保护方法。由于医疗数据资源对于整体社会福祉来说至关重要,因此他认为医疗数据的所有权不属于病人、医疗机构、保险企业等任何“私的主体”,而应是一种公有产权。各个不同主体应当把各自掌握的医疗数据交给一个专门设置的公共机构,由这个机构根据科学研究等公益目标来判断是否开放、以及决定通过什么样的方式、在什么范围内开放。
3.理解财产规则与责任规则的含义
财产规则:如果一个主体在被赋权后,其他主体不支付经他或她本人同意的价格,不能取消该权利,该赋权被“财产规则”保护。
责任规则:如果一个主体在被赋权后,其他主体可以取消该权利,但必须支付客观决定的价格,就说该赋权被“责任规则”保护。
4.不同的数据可以分别用到不同的权益、规则来处置
政府的数据向社会开放,因为政府数据是属于全民所有的,而且是公益性的,这个规则应该是责任规则,所以政府普遍的数据开放是免费或者只能收成本费,这是我们给定的责任规则。而有些政府数据是需要大量的加工、处理,且只是为某些企业所开发,可以给它赋予财产规则,财产规则是必须要付一定费用的,这就是政府数据开放。
政府的数据如果需要某个企业的数据,也可以采用这两种方式,第一种可以是责任规则,比如政府为了行使公共服务职能,为了维护公共利益,为了维护法治,为了国家的安全,需要企业提供数据,包括提供的个人数据,这需要采用责任规则。对于某类根据政府的目的和类型开发的数据,应赋予它财产规则。就是政府应当按提供者要求的价格付费购买该数据。
5. 政务数据开放模式建议
我国需要建设国家政府数据统一开放平台,推进公共机构数据资源统一汇聚和集中向社会开放,引导企业、行业协会、科研机构、社会组织等主动采集并开放数据,共同探索政企合作的长效机制。
综上谈到个人数据的保护和利用,不是简单的一个问题。需要我们处理好保护和共享的关系,处理好各方的权益,站在国际的视野上来考虑问题。谢谢大家!