[摘要] 2015年5月,习近平在给国际教育信息化大会的贺信中说,“当今世界,科技进步日新月异,互联网、云计算、大数据等现代信息技术深刻改变着人类的思维、生产、生活、学习方式,深刻展示了世界发展的前景”。鉴于大数据潜在的巨大影响,很多国家或国际组织都将大数据视作战略资源,并将大数据提升为国家战略。我国要想实现数据强国就要将大数据应用纳入法治轨道,在大数据治理中彰显法治精神,适度监管,规范各类数据的使用、交易等环节,明确法律责任,增进效益,保障国家安全、人民安全。
本文从大数据立法基本原则、大数据与大数据法的法律定义、调整对象、法律责任以及大数据的监管来建构国家《大数据法》的立法体系。
[关键词] 大数据 大数据法 法律责任 立法原则 立法体系
2014年3月5日,李克强在十二届全国人大二次会议上作政府工作报告时说,要设立新兴产业创业创新平台,在新一代移动通信、集成电路、大数据、先进制造、新能源、新材料等方面赶超先进,引领未来产业发展。这是“大数据”首次进入政府工作报告,也表明其作为一种新兴产业,将得到国家层面的大力支持。2015年5月,习近平在给国际教育信息化大会的贺信中说,“当今世界,科技进步日新月异,互联网、云计算、大数据等现代信息技术深刻改变着人类的思维、生产、生活、学习方式,深刻展示了世界发展的前景”。中国工程院院士高文说:“不管你是否认同,大数据时代已经来临,并将深刻地改变着我们的工作和生活。”
大数据不仅是一场技术革命,一场经济变革,也是一场国家治理的变革。牛津大学教授维克托·迈尔·舍恩伯格在其著作《大数据时代》中说:“大数据是人们获得新的认知、创造新的价值的源泉,还是改变市场、组织机构,以及政府与公民关系的方法。” 鉴于大数据潜在的巨大影响,很多国家或国际组织都将大数据视作战略资源,并将大数据提升为国家战略。2012年3月,美国奥巴马政府宣布了“大数据研发计划”,并设立了2亿美元的启动资金,希望增强海量数据收集、分析萃取能力,认为这事关美国的国家安全和未来竞争力。迄今为止,美国在大数据方面实施了三轮政策,开放了50多个门类的政府数据确保商业创新。欧盟正在力推《数据价值链战略计划》为320万人增加就业机会。日本积极谋划利用大数据改造国家治理体系,对冲经济下行风险。联合国推出的“全球脉动”项目,希望利用大数据预测某些地区的失业率或疾病爆发等现象,以提前指导援助项目。截至2014年4月,全球已有63个国家制定了开放政府数据计划,数据开放推动政府从“权威治理”向“数据治理”转变。但是,近年来,一些非法商家或组织在社交网络巨大潜在利益的驱动下,加之网络用户的安全保护意识和技能薄弱、政府监管不力、行业自律不够、开发者信息伦理道德缺失、相关法律法规缺陷等原因,采取一切技术和手段肆意非法搜集、开发利用、传播、贩卖、分析处理各种大数据,进行网络以及网络不良文化传播、实施网络诈骗与盗窃,侵犯个人隐私、商誉、危及到公民的人身与财产的安全、乃至国家安全和社会稳定。习近平强调:“机会稍纵即逝,抓住了就是机遇,抓不住就是挑战。”要想抓住机遇,实现数据强国就要将大数据应用纳入法治轨道,在大数据治理中彰显法治精神,适度监管,规范各类数据的使用、交易等环节,明确法律责任,增进效益,保障国家安全,人民安全。
一、 大数据立法基本原则
大数据立法的基本原则是指大数据立法过程和最终所制定的法律法规应当贯彻的指导思想、立法目标、及体现的基本精神。由于大数据与我国网络主权、网络安全以及人民的根本利益密切关联,应当确立大数据立法的安全原则、数据主权原则以及保障人民的根本利益原则。同时,应确保大数据的采集、分析、传播、存储、交易、使用、共享与监管关系的有序健康的市场秩序,因此,要确立公平竞争的原则。
(一)安全原则
习总书记在今年4月19日的网信工作座谈会的讲话中指出,“网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障。从战略高度上看,法律制度是大数据安全保障机制的重要环节”。安全,是大数据发展的重要原则,其中,国家安全是核心,经济主体是关键,自然人安全是基础。“法律规定了一些行为规则,人们可以据此规划自己的生活。人类似乎有一种本能的愿望,希望根据某种规则生活”。“我们曾屡次提到人性中的一个原则,就是:人们是十分迷恋于通则的;我们往往把我们的原则推到超出了原来使我们建立这些原则的理由以外。”
1.国家安全
网络安全形势复杂而严峻,须着力降低和严密防范国家关键数据基础设施存在的风险,增强数据安全防控能力,要在法律法规中强调应对国家级的数据窃取、数据攻击的重要性,增强政府、企业、社会以及人民的国家数据安全意识。
2.经济主体安全
企业的创新能力是市场经济发展的驱动因素之一,政府和企业都日益重视智力成果和商业秘密的保护,但针对企业的数据窃取和攻击依然时有发生。同时,企业掌握的关系国家安全、国家利益、个人安全的数据也面临着威胁,这些数据出了问题,企业的信誉也会受到不利影响。因此,大数据立法的安全原则要体现保障经济主体的安全。
3.自然人安全
当前,人们生活在网络空间,无时无刻不在产生和接收着数据,但是个人对于与己相关的数据掌控程度很低,我们的数据都沉淀在外部的商品和服务提供者以及政府机构手中,外部主体针对个人数据的采集、传播、存储、交易、使用、共享等环节中个人对于自我数据的意愿和利益要求难以体现,自我生存空间的安全不时遭受侵扰。数据滥用对个人人身权和财产权的侵犯层出不穷。因此,自然人安全是大数据立法安全原则的重要组成部分。
(二)数据主权原则
技术是把双刃剑,大数据技术如果被别有用心的势力利用,掌控了我国政治、经济、文化、社会、生态、国防等领域的关键数据,我国失去了对数据的控制和话语权,将受制于人,这会严重威胁国家主权。因此,大数据立法当确立数据主权原则,保证我国的数据主动权掌握在自己手中。
(三)公平原则
人们往往把公平看作是法律的同义词。公平是法律所应当始终奉行的一种价值观。“公平的规则,例如规定每一个社会成员都对社会整体利益负有平等的义务的规则,受到人类良心的制约。而不公平的规则,例如规定人们对社会负有不平等的义务,是与人类良心相违背的,人们就不应当遵守它,除非是为了避免社会丑闻或动乱,而且这种不公平并不十分过分。”
伴随着数据商业化,大数据市场中数据泄露、数据窃取、数据垄断等问题日益突显,这些行为破坏了正常的市场竞争秩序。大数据的应用和治理都处于市场经济环境中,强调公平竞争的原则,依法处理和打击扰乱正常竞争秩序的主体和行为,有利于保障健康有序的大数据市场运行环境。
(四)平等原则
平等是法律的主要目的之一。法律担负着一种特殊责任,即保证所有公民得到不受歧视的同等对待,不偏袒某一些人或反对另一些人。平等原则,它要求大数据生成各环节中所有的参与者具有平等的法律地位,各自的合法权益都能得到平等的保护。
(五)公正原则
公正原则是针对大数据生成和使用的监督管理机构监管行为而言的,它要求监管机构对每个市场主体均应适用相同的法律,平等对待争议各方当事人,对一切监管对象给予公正待遇,不歧视任何人,平等地保护当事人的利益。
(六)科学原则
大数据能否在运用过程中发挥效用,就看其本身是否科学,因此大数据的科学性是大数据生成的重要原则。要想使得大数据具有科学性,首先要使分析的海量数据与要应用解决的问题是否有关联性和准确性。数据不在于大小,而在于它的科学性和诠释力,这是保证大数据科学性的前提。
二、大数据的法律与大数据法概念
没有概念就没有法律。对大数据的法律概念分析是整个立法体系建构研究的基础。著名经济学家沃尔特·奥肯认为,“在建立一幅经济世界的科学图像方面,定义扮演着重要的角色。”定义就是对该事物的本质研究,其问题的本质没有搞清楚,就进行分析及模型的建立,然后得出结论,这样就会导致关系混乱,误入歧途。
对大数据法律的概念的分析,我们还是从其他学科的概念入手分析出大数据的本质和特征,然后在此基础上建立大数据法律的概念。大数据是一个比较抽象的概念,目前尚无确切、统一、公认的定义。维基百科对大数据的定义是:大数据是指所涉及的数据量规模巨大到无法通过目前主流软件工具,在合理时间内达到截取、管理、处理并整理成为帮助企业经营决策更积极目的的信息。研究机构Gartner给出了这样的定义:大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。涂子沛在《大数据》一书中这样定义大数据:指那些大小已经超出了传统意义上的尺度,一般的软件工具难以捕捉、存储、管理和分析的数据。中国工程院院士邬贺铨认为,大数据是指没有办法在容许的时间内用常规软件工具对其内容进行抓取、管理和处理的数据集合。常规的办法要想把它分析出来是很难的。综上定义看大数据是资料量规模巨大,无法通过常规软件工具管理和处理的数据集合,这个集合通过云计算的数据处理与应用模式,快速获取、处理、分析等手段形成的智力资源和知识服务能力。当前,较为统一的认识是大数据有四个基本特征:数据规模大(Volume)、 数据种类多(Variet)、 处理速度快(Velocity )、价值密度低( Value),即所谓的四 V 特性。第一,数据规模大(Volume)。大型数据集,从TB级别,跃升到PB乃至ZB级别,其容量和规模远远超过传统数据;存储、计算和分析技术与工具的发展,尽可能地确保了数据集的完整性。第二,数据种类多(Variety)。大数据包括不同来源、不同结构、不同媒体形态的各种数据。相对于以往便于存储的以文本为主的结构化数据,非结构化数据越来越多,这些多类型的数据对数据的处理能力提出了更高要求。第三,处理速度快(Velocity)。数据生成的速度基本呈指数级增长,而且需要快速、持续的实时分析与处理,以更快地满足实时性需求,即时处理已经成为趋势之一。第四,价值密度低(Value)。价值密度的高低与数据总量的大小成反比,大数据本身的价值密度是相对较低的,需要对海量的数据进行挖掘分析才能得到真正有用的信息,形成用户价值。国务院在已经公布的《国务院关于印发促进大数据发展行动纲要的通知》国发〔2015.5号)中指出:“大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,正快速发展为对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,从中发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。” “Big Data A Tool for Inclusion or Exclusion?— Understanding the Issues”,FTC Report January 2016中可以得出大数据是经过对海量数据的处理技术,该处理技术包括收集、汇编与整合、挖掘与分析、使用,而生成的有价值的数据。
大数据的法律概念是法学理论对大数据研究,把大数据当作一个具有独立意义的法律概念加以认识。法律作为一种制度事实,不能停留在自然学科与社会实践中的宽泛而模糊的定义侧面,而必须对大数据是什么的问题上给出法学层面的定义。法律概念是有法律意义的概念,即对各种有关法律的事物、状态、行为进行概括而形成的术语。法律概念大量来自日常生活,有的来自法律实践活动(立法、司法活动),有的源自法学家的创设。法律概念与日常生活用语中的概念不同,它通常具有明确的定义和应用的范围。
目前由于大数据概念复杂性,大部分关于大数据发研究的相关问题基本采取了要么简单借用其他学科的大数据的概念,要么回避概念的问题。对大数据立法研究如不对大数据进行法律上的基本界定,将会影响对大数据的有效规范。法律意义上的大数据是在于人体之外独立为一体的、无形化、共享性、时效性、价值性。法律所调整的大数据社会关系是围绕大数据生成、存储、应用与监管过程中所形成的社会关系,这些关系是发生在数据采集、分析、传播、存储、交易、使用、共享与监管过程中形成的关系。数据采集、分析、传播、存储、交易、使用、共享与监管是大数据形成的行为束,这些行为形成不同的行为关系,如收集行为关系、汇编行为关系、挖掘行为关系、使用行为关系与监管关系。行为关系是社会关系中的一种,它是一种表现于外部的通过人们行为而发生的社会关系。在法律上,行为是极为重要的。马克思说过:“对于法律来说,除了我的行为以外,我是根本不存在的,我根本不是法律的对象。这就是说法律一般不以主体作为区分标准,而是以行为作为区分标准。法律是针对行为而设立的,因而它首先对行为起作用,首先调整人的行为。对于法律来说,不通过行为控制就无法调整和控制社会关系。法律是一种行为规范。大数据的形成和使用就是法律调整大数据的范围限定,法律的全部规定要围绕大数据形成和使用的各个环节才能最终达到大数据法的效果。如从法律的层面分析,如果大数据生成的行为束是法律行为束,那么就形成了法律关系束。因此大数据的法律定义是,大数据是通过对容量大与类型多数据进行采集、分析、传播、存储、交易、使用的行为无形资产。
大数据法是调整大数据生成过程中的采集、分析、传播、存储、交易、使用、共享与监管过程中发生的社会关系的法律规范总称,具体包括数据采集关系、分析关系、传播关系、存储关系、交易关系、使用关系、共享关系与监管关系。
三、大数据的分类
大数据分类的第一层标准是数据的所有权归属,按此标准可将其分为个人数据、商主体数据、政府数据和其他组织数据。在第一层分类的基础上,根据数据生成的来源不同,可将个人数据、商主体数据进一步分为基础数据、自然数据和交易数据。基础数据是随主体出现而产生的数据,如个人的姓名、出生日期、商主体的名称、住所等。自然数据是指主体数据中除了基础数据和交易数据之外的数据。交易数据是相应主体与市场发生联系,在交易过程中产生的数据,此类数据中的一部分具有一定的外部性和开放性。政府和其他组织的部分数据公共性较强,应当开放共享,部分数据又涉及个人隐私、社会公共利益、国家利益等需要特别保护的领域,以上数据不涉及交易,故不宜按数据生成来源的不同进行进一步分类。根据大数据法律概念对不同类型和归属的数据的采集、传播、存储、交易、使用等方面要进行有针对性的规定,明确主体、条件、方式、责任。对特殊的数据(如个人隐私、商业秘密、国家安全等)要做出特别的保护规定。
四、大数据法调整的对象
大数据法是调整大数据生成、存储、使用与监管等过程中发生的社会关系的法律规范总称,具体包括数据采集关系、分析关系、传播关系、存储关系、交易关系、使用关系、共享关系与监管关系。
(一) 大数据采集关系
大数据采集关系是指大数据生成过程中的生成主体数据权利归属人采集数据而发生的权利义务关系。不同类型的数据具有不同的权利属性,同一种数据类型在不同的数据法律行为中其权利属性也不完全相同。在收集数据过程中应遵守:
1. 数据主权
“数据是新的石油,是本世纪最为珍贵的财产。”大数据正在改变各国综合国力,重塑未来国际战略格局。2013年7月,习近平视察中国科学院时指出:“大数据是工业社会的‘自由’资源,谁掌握了数据,谁就掌握了主动权。”在大数据时代,世界各国对数据的依赖快速上升,国家竞争焦点已经从资本、土地、人口、资源的争夺转向了对大数据的争夺。习近平在中央网络安全和信息化领导小组第一次会议上指出:“网络信息是跨国界流动的,信息流引领技术流、资金流、人才流,信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志。”未来国家层面的竞争力将部分体现为一国拥有数据的规模、活性以及解释、运用的能力,数字主权将成为继边防、海防、空防之后另一个大国博弈的空间。大数据将改变国家治理架构和模式。在大数据时代,用大数据可以通过对海量、动态、高增长、多元化、多样化数据的高速处理,快速获得有价值信息,提高公共决策能力。个人数据、商主体数据、政府数据及其他组织数据中,涉及国家安全、国家利益的,在我国的对外关系方面中具有数据主权的权利属性。
2. 数据财产权
数据的财产权属性体现在数据交易的过程中。数据交易体现了数据的经济价值,在增进大数据应用经济效益的同时,要衡量公平、安全等长远价值。
在大数据时代, 信息的二次挖掘使金融消费者的隐私具有了巨大的经济价值。 在此我们需要探析的问题是, 金融消费者的隐私能否作为一种财产权的标的? 或者说金融消费者的隐私权是否具有财产属性?从个人权与财产权发展的历史关系来看, 二者经历了从“混同” 到 “分离” 再到 “融合” 的历程。 波斯纳指出: “无形财产的一个非常规的例子是隐私权。 它通常被作为是侵权法的一个分支讨论。 但从实际情况来看, 它确实是财产权法的一个分支 。”而萨缪尔森亦指出:“信息隐私是从丰盛可用的个人资料当中所产生的稀有资源”,“实际上是财产应如何界定与交换,以及应采取怎样形式的问题,英国通过侵权诉讼制度保护隐私权的财产价值, 而美国则另辟蹊径, 从隐私权(right to privacy)中衍生创造出独立的公开权(right of publicity),以保护隐私公开的财产利益。由此可见在英美法领域,隐私权的财产属性实际上已经得到广泛的认可。而大数据时代金融消费者隐私的财产属性更是毋庸置疑。因此,若将金融消费者隐私完全纳入传统人格隐私权的制度保护体系内,则势必会冲击原有的人格权制度。
3. 隐私权
隐私权保护是对个人生活安宁和人格尊严的保障。大数据时代,人们生活在开放共享的网络空间,享受便利的同时也面临着被窥视的危险。大数据立法确保数据的隐私权权利属性,就是让人民在网络空间学习、工作、生活得安心,就是保障人民的利益,保护人民的安全。
4. 信息权
从数据中可以提取信息,信息承载着知识。明确大数据的信息权权利属性,有利于保障公民的知情权,增进公权力机关与人民的交流,推进社会治理的法治进程。
5. 知识产权
大数据知识产权的权利属性在商主体数据的交易数据中体现最为明显。大数据立法应当完善对知识产权数据的保护,增强企业创新的积极性。
(二)分析关系
大数据分析关系是指大数据生成过程中的生成主体对分析发生的权利义务关系。
(三)传播关系
大数据传播关系是指大数据生成之后传播发生的权利义务关系。
(四)存储关系、
大数据存储关系是指大数据生成过程中及生成之后存储发生的权利义务关系。
(五)大数据交易关系
大数据交易关系是指大数据生成之后,大数据持有者在进行交易过程而发生的权利与义务关系。
1. 公平交易
公平交易乃市场行为的基本准则之一,大数据交易规则应致力于反欺诈、反胁迫、反趁人之危、反显失公平等数据交易行为。
2. 信息披露
信息披露主要体现在交易行为中向数据主体告知的规则。未必所有数据交易都要告知数据主体,因为大数据的基本精神之一便是开放共享,并因此增进效益。但数据主体作为数据所有权人,至少有权知道自己数据被交易的事实,以此保证数据不完全脱离自己的控制。
3. 禁止交易行为
禁止交易行为宜以负面清单形式规定。应当包括禁止交易的数据(个人隐私、国家安全数据等)、禁止的交易行为(超越权限的交易行为等)以及禁止交易的对象(敌对势力等)等方面。
(六)使用关系
大数据使用关系是指大数据生成之后在使用过程中而发生的权利与义务关系。
(七)共享关系
大数据共享关系是指大数据生成之后共享而发生的权利与义务关系。
(八)大数据监管关系
大数据监管关系是指监管者因监督、管理大数据采集、分析、传播、存储、交易、使用、共享关系而与参与这些环节的主体形成的社会关系。
首先,大数据监管应当遵循适度监管的原则,协调大数据创新与监管的关系。其次,应遵循权责统一的原则,在大数据监管中强调法治精神,依法监管,防止权力滥用。
1. 监管目标
大数据监管应当致力于维护健康有序的市场环境和防控数据风险,保障数据安全和数据主权,维护人民利益。
2. 监管方式
大数据监管方式应当在时间、空间、对象、行为等方面进行全方位监管,消除监管盲区。发挥人民在网络空间的力量,建设大数据违法行为的举报制度。
3. 监管方法
大数据监管的两个基本点是数据市场秩序和数据安全。就前者而言,要遵循市场经济运行规律,保障大数据市场的竞争秩序,构筑完善的大数据市场纠纷解决机制。就后者而言,要落实信息安全等级保护、风险评估等网络安全制度,建立健全大数据安全保障体系。
4. 监管主体
大数据是网络空间的重要组成部分,宜由网信办统筹协调各领域的数据监管工作,发挥各领域既有监管机构的力量,通力合作。
5. 监管客体
大数据的监管客体包括从事数据法律行为的主体、数据本身和法律规定的数据法律行为。
6. 监管责任
大数据立法应当规定监管部门和监管人员的监管责任,权责统一,科学的责任机制减少监管缺位、错位、越位的现象,提高监管效率,促使大数据市场主体拥抱监管,增强其守法积极性和自我规范意愿。
五、责任追究方式
对于违反数据法律规范的行为,应当按照行为性质追究相关主体责任,包括民事责任、行政责任以及刑事责任等。大数据立法在规定数据法律责任时可参考相应的规定,尚未规定的,在本法中进行规定。
结语
信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。目前,我国在大数据发展和应用方面已具备一定基础,拥有市场优势和发展潜力,但也存在政府公共数据开放共享不足、产业基础薄弱、缺乏顶层设计和统筹规划、法律法规建设滞后、创新应用领域不广等问题。大数据立法的完善将为我国数据主权、数据安全、数据创新发展、数据监管、数据共享等方面提供有力保障,大数据立法研究的意义就在于此。
总而言之,我国的大数据立法应当在系统地理解大数据这一事物特点的基础上,紧密围绕社会主义核心价值观,结合当前社会主义法律体系,遵循安全、主权、根本利益、公平、平等、公正、科学,明确大数据在法律上的定义和分类,对不同类型数据的采集、分析、传播、存储、交易、使用、共享及法律责任等方面制定专业的、清晰的规则,协调大数据领域创新与监管的关系,树立大数据法律行为的指路标,铺设大数据环境的安全网,备好大数据应急事件的降落伞,进而保证我国数据生态良好,风清气正,助力我国网络空间的治理,体现国家治理的法治精神,使人民共享大数据创新发展的成果。