日前,由新治理智库联盟主办,阿里数据经济研究中心(ADEC)、中国青年政治学院互联网法治研究中心承办的“数据产业与新治理论坛”第一期聚焦主题“产业发展与数据权属界定”,来自产业界与法律界的专家进行了细致沟通和交流。
会上,中国信息通信研究院王融老师分享的“无处安放的数据权属”受到大家的强烈关注。她谈到,如果衍生数据应用了独创性的加工方法,具有知识产权保护的可能性;对于加工方法并没有独创性,但企业投入了成本、资源获得的衍生数据,也具有一定的保护价值,但并不是以知识产权形态存在;即便是原生数据,企业也有一定的合法权益。
同时,她也认为数字经济的特点是多向、动态的,数据权利设计不能只体现为初始数据单边的财产权配置问题,更应当同时反映动态结构和目的。她还提出了个人数据匿名化利用的可行途径以及匿名化合规在事前、事中和事后的三个环节建议。
在讨论数据权属问题时,首先明确权属是什么?数据是什么?从数据来看,这次《民法通则》(草案)提出了数据信息作为知识产权客体从研究而看,数据和信息两个概念在很多场合都是不一样的,非常赞同吴老师的观点(中央财经大学吴韬:法学界四大主流“数据权利与权属”观点),数据更多是在电子信息快速发展背景之下提出来,更强调的是信息存在的形式和状态,能够被机器或者能够通过电子方式传输。信息则更多是一种普遍意义的表达,强调了通过数据表达背后的内容,我们在讲数据权属的问题肯定需要去对数据做更进一步的明晰。吴老师从权利这个角度去切入,我想从他提出来的另外一个观点去切入,就是我们在讨论数据权属的时候,实际关切的是数据在作为什么权利的客体。
如果从个人数据保护法律考虑,个人数据则是一个非常明确的法律概念,无论国内还是国外都有明确的法律概念和界定。如果是政府数据开放的讨论语境下,政府数据也是一种重要的权利的客体——即公民对数据的知情权、访问权和使用权的客体。
我们国家在这个领域,在法律层面还停留在信息公开阶段,而对比美国、欧洲发达国家,都有了相关的数据开放的法律,对这个也有明确界定。在界定的时候可能跟个人数据有不同,个人数据是以数据产生的主体为标准,因个人活动而产生的,与它相关的数据属于个人数据。政府数据则是以政府履行公共职责,在公共税收的支持之下开展活动的时候收集的数据,是一个行为的标准。只要政府开展活动,在过程中产生的数据都叫政府数据。这里面结合了政府信息公开大的背景,公众对这部分数据享有知情权和利用权,每个公众都有权获得这个数据。
最后提到商业数据,对比个人数据和政府数据来看,商业数据最模糊,因为个人数据也好,政府数据也好,都有相对明晰的法律规范体系,商业数据不能严格说是法律概念。所以看到有文章讲原生数据概念和衍生数据概念,都是想从商业数据大背景之下对商业数据做进一步的描述,并在基础之上对可能的权利做一定的赋权,特别区分原生数据和衍生数据,希望对衍生数据富有商业数据的基本权利,这是基本的思路。这是我们对数据权属问题中“数据”含义的理解。
第二,关于权属的含义,权属就是权利归属,很多情况下,不仅仅是人格权的概念,也涉及到财产权归属,大数据背景之下更多是在讨论财产权或者对数据处分的权利到底归属是谁?实际上个人数据,吴老师说的很清楚,人格权商品化,为个人数据财产权已经建定了理论支撑,人格权商业属性已经实现了。政府数据具有公共性,政府数据产生的财产收益理论上应当是归整个公众,所以欧美国家在开放政府数据一般采取免费的策略,这个收益供大家共同去分享。
说到商业数据,现有法律体系能够部分实现对财产权利的确权,例如,如果数据具有独创性,是智慧成果,可以通过知识产权(最普遍如著作权)实现财产的权益,有明确的确权。数据有商业秘密属性的,也可以通过现有的商业秘密规则予以保护,解决部分权属问题。
还有一部分是很多学者所忽略的,就是在很多场景之下或者商业产业实现过程中,很多权益只要合法,通过市场竞争的方式或者合同法的安排,也能够明确财产权,例如:在我国并没有明确的数据权属规定的情况下,很多地方都在搞数据交易,数据平台的商业模式。尤其美国发展很多年,对信息数据权法律没有什么明确界定,但是通过合同在业务场景约束我们合作的双方对数据的权益,对原生数据、衍生数据的权益,这也是对数据权属的安排。
所以在这样背景之下,我们看《民法总则》征求意见稿就有一些不足的地方,首先在条文表述里面把数据信息,刚才介绍的数据信息这两个概念没有特定的场景,大家理解有不同,讨论个人数据保护法场景之下或者政府数据开放之下信息数据表达含义完全不同,用这样很大模糊性的概念去作为一个权利的客体,不是特别到位。
第二、如果把它纳入到知识产权,我觉得跟知识产权内在的法律体系基石是冲突的,知识产权保护具有独创性的成果,包括讲到《民法总则》征求稿出来之后,有文章进一步指出知识产权客体实际指的是衍生数据,但如果只是针对衍生数据的话,我们会发现有很多问题在里面,我们提供业务过程中通过业务网络自发积累沉淀下来的数据,这是原生资料,加上我们加工的方法和处理方法,进行人为的分析干预之后在两种元素融合之下产生衍生数据。如果我们对衍生数据因素进行细分,很多时候不具备知识产权保护的必须性。
所以提出一个解决问题的思路和方向,首先考虑到数据生态的复杂性和数据权利的多样性,赋予企业专属、排他甚至是垄断的数据权利并不可行,对现有法律体系冲击非常大,也很不成熟。所以我们更多关注点在于更要理清现有权利之间的边界,比如我们对于一个数据,在既主张个人数据的权利,同时也有企业主张对这个数据库加工的权利冲突的时候,我们怎么调和?或者对于一个数据公众主张知情权,主张赋予这些公开数据,而又有主体主张者商业秘密和个人数据保护,这两种权利怎么调和?所以可能更应该从务实角度关注这些问题,这也是后面讲的数据匿名化做背景铺垫。
西方关于数据权属的研究资料很少,并没有很多关注数据所有权的文献,比较而言,只是我国产业界对数据权属的确权需求显得特别迫切。实际欧美更多讲匿名化利用,不仅仅商业机构推动,政府机构也在推动,在政府数据开放背景下要释放数据,释放数据也面临很大的个人信息隐私保护问题,这种情况下匿名化成为一条可行的路径。
从技术上可行,而且更重要的是在法律层面,很多国家从法律层面对合法性进行了认可。特别是我们看欧盟个人数据保护严格,但也很早对匿名化数据进行了认可,数据进行充分处理,企业可以自由处分这些数据,也可以从中获取财产利益。
欧洲之外,其他发达国家在这几年大数据发展之下也已把匿名化写入立法,注意到日本2015年修订个人数据保护法,有明确的一个条文,企业可以对外提供用户数据,一个前提做到充分的去身份化,并承诺在后续利用中不得恢复身份,只要满足这个前提就可以利用。
我国网安法二审稿今年6月份公布,与一审稿相比,加入了匿名化的合法地位,商业机构获取个人数据,我们原来规定严禁向外界提供,如果提供的话涉及到非法提供个人信息罪的刑事责任,网安法二审稿加入了一个条款,为匿名化提供开了一个口子。
所以更多是说怎么理解我们匿名化,在我们业务操作中或者实践中怎么达到一个法律上认可的标准?所以在这里做了一个图表区分,大数据公司还是电子商务企业掌握大量商业数据包括个人信息在内,如果想进行进一步的财产性的利用,匿名化数据是合法的渠道,这个合法渠道的要求和标准非常高,总结一句话是匿名数据始终要保持一个状态,不能识别到具体的个人。
在这个法律标准里面有三个等级的区别标准,首先对于企业来说,作为数据库的企业,包括阿里,电子商务平台作为数据库存在,如果想对用户商业购买记录行为做进一步分析,并作为匿名化处理去分享给第三方的话,作为数据库本身要不能实现身份的识别,大量场景之下匿名化数据完成操作之后会提供给社会第三方数据接受者,一般情形下理论上要求对于一般数据接受者不应当具备识别身份的能力。
所以到了第三个层次的标准,我们怎么样区分不同类型的接受者,明确标准?法律提出的是中间标准,并不是要求很低或者很高的标准,我们只是界定为合理的人,合理的机构,具备合理的能力,能够获取社会上目前能够公开查询到的资源,能够用一般的方法,不是假想利用各种技术的黑客,做到这一点就认为在法律上达到了匿名化的要求。
实际上如果达到这个标准,整个企业在过程中享受匿名化法定的豁免,在不同环节还需要做相关的工作,首先事前企业能履行评估的义务,对企业或者政府也一样,要公开数据,要进行风险评估,评估你匿名化技术能够识别的机率有多高,根据风险评估结果作出匿名化的策略调整。
目前其实在国外美国、欧洲这个市场上,对于这个的措施比较成熟,除了有技术上一系列的规定之外,另外强调通过合作机制达到一些约束,包括我们的场景、方法,一旦在数据应用过程中出现了重新识别的情况,应该怎么样对数据做出处理,都有一系列的安排。我们讲到数据匿名化在技术上并不是绝对的概念,在法律上也不是一个绝对的概念。
终止匿名化可以为企业合法利用数据提供可行的路径,同时也要注意相关法律方面的制度安排。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。