浅谈“21世纪的石油”及其法律保护(上)
作者 | 孙鑫鑫 北京市中永律师事务所
编辑 | 布鲁斯
摘要
在过去相当长的一段时间里,当人们谈到最有价值的物质时,可能最先想到的是稀有的有形材料,例如钻石,黄金等,它们由于产量低而变得有价值,并且具有保存价值的意义。而未来三十年最有价值的物质将有可能是数据,数据会是二十一世纪的石油。
早在2017年,习近平总书记就在中央政治局集体学习时强调:大数据发展日新月异,我们应该审时度势,深入了解大数据发展现状和趋势及其对经济社会发展的影响,推动实施国家大数据战略,加快建设数字中国[1]。
此后,也有知名的企业家在接受采访时表示:“数据在21世纪会像上世纪的石油一样,起初没有人关心,但是之后会成为极具价值的东西。”众所周知,价值又是商品的一个重要属性,同时反映了凝结在商品中的人类劳动。因此,数据作为无形的商品也应具有相应的价值,而作为数据集合的“大数据”其未来的价值或更加不可估量。
大数据由于其天然的无形特点,笔者认为也应参照知识产权的保护模式和规则。截止目前,司法实践中也恰恰是按照这种方式进行保护的,但是由于大数据仍属于较为新兴的产物,以及法律天然的滞后性等特点,使得大数据的司法保护还不够完善和周延,本文拟对大数据的本质和应用、法律规定以及司法实践中的探索性保护进行一个梳理。
一、大数据的来龙去脉
(一) 大数据的本质
1、大数据是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产;[2]
2、世界知名管理咨询公司麦肯锡研究所认为:大数据是一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合。同时,麦肯锡也是最早提出“大数据”时代即将到来的公司,麦肯锡声称:“数据,已经渗透到当今每一个行业和业务领域,成为重要的生产因素;”[3]
3、此外,IBM公司提出大数据有5V特点:Volume(大量)、Velocity(高速)、Variety(多样)、Value(低价值密度)、Veracity(真实性);[4]
(二)涉及大数据的国家政策、规划、地方性法规
1、2015年9月,国务院印发《促进大数据发展行动纲要》,系统部署大数据发展工作。《纲要》明确要推动大数据发展和应用,并规定了三方面的主要任务:一是要加快政府数据开放共享;二是要推动产业创新发展,培育新兴业态,助力经济转型。三是要强化安全保障,提高管理水平,促进健康发展。与此同时,纲要明确2018年底前,建成国家政府数据统一开放平台。2020年底前,逐步实现信用、交通、医疗、卫生、就业、社保、地理、文化、教育、科技、农业、环境质量等民生保障服务相关领域的政府数据集合并向社会开放;
2、2015年9月18日贵州省启动我国首个大数据综合试验区的建设工作。在此基础上,全国首部大数据地方性法规《贵州省大数据发展应用促进条例》于2016年3月1日正式施行,该条例明确规定大数据是“指以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,是对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,发现新知识、创作新价值、提升新能力的新一代信息技术和服务业态;
3、2016年3月17日,《中华人民共和国国民经济和社会发展第十三个五年规划纲要》发布,其中第二十七章为“实施国家大数据战略”,明确将大数据作为基础性战略资源。《行动纲要》的核心是推动各部门、各地区、各行业、各领域的数据资源共享开放。正文中“共享”出现59次,“开放”出现36处,充分显示了数据共享开放对国家大数据发展的极端重要性。[5]笔者认为《行动纲要》为我国大数据应用、产业和技术的发展提供了行动指南;
4、在上述规划纲要发布后的2016-2017年,国务院、环境保护部、国家发展改革委员会、工信部、水利部、交通运输部和国家旅游局、中央网信办等国家部门和机构先后发布了《关于促进和规范健康医疗大数据应用发展的指导意见》、《生态环境大数据建设总体方案》、《关于组织实施促进大数据发展重大工程的通知》、《农业农村大数据试点方案》、《大数据产业发展规划2016-2020年》、《关于加快推进交通旅游服务大数据应用试点工作的通知》、《推动企业上云实施指南》、《关于做好个人信息保护利用大数据支撑联防联控工作的通知》和《关于工业大数据发展的指导意见》等政策文件;[6]
5、此外,2015年8月27日,在北京市委市政府的支持和指导下,北京成立大数据研究院,该研究院旨在围绕金融、交通、医疗、移动互联网等行业的大数据应用需求,开展大数据的分析、研发、成果转化;[7]
从上述国家纲要和地方性法规不难看出,国家及地方政府层面对大数据皆十分重视,并投入大量资源进行研究、开发和保护。
(三)大数据的应用
1、互联网、物联网、人工智能、云计算等新兴产业的快速发展,社会生产以及个人生活中会产生大量的信息并以数据的形式存储在网络,这些数据与前述产业的结合会产生很大的价值,进而产生了大数据的产业链;
2、国内多家互联网公司也对大数据产业及未来的发展有着自己独到的见解,在2016年6月的中国“互联网+”峰会上,央视《对话》栏目采访了腾讯公司CEO马化腾、美团大众点评网CEO王兴、58集团CEO姚劲波,他们认为“未来是传统行业利用互联网技术在云端用人工智能的方式处理大数据”[8]。笔者认为“数据是未来的基础性资源”的观点在互联网产业中达成了一定的共识;
3、与此同时,互联网公司利用大数据也可以更好地服务于传统产业。例如,腾讯公司制作了一个电力大数据决策系统,利用大数据保障国家电网系统的安全[9]。此外,在2019年8月29日上海举办的“2019年世界人工智能大会”,腾讯公司推出了全球首台石油、化工等特种行业的智能巡检操作机器人,该机器人通过人工智能技术,识别出各类管道泄漏的情况还能实时监测物料摆放的位置。[10]腾讯公司的智能机器人也是将大数据作为基础性资源与人工智能技术进行地一次尝试。目前正处于大数据爆发的时代,大数据成了多个新兴产业及技术的基础,新兴产业和技术又能推动大数据的挖掘,最后将大数据和新兴产业及技术进行结合会更好地推动传统及新兴产业的发展;
4、大数据的产业链主要包括数据采集、数据加工处理、数据商业应用三个方面。前述三个方面互相作用在给人们的生产、生活带来了极大便利的同时,也带来了数据泄露等侵权行为。因此,法律顺应着社会的发展,积极对个人及公司享有的数据权益进行保护;
5、2019年11月,北京市海淀区委宣传部联合西街传媒、《数据》杂志在中关村举办了“2019大数据产业十大应用案例发布会”。天眼查、文投大数据、中诚信征信、联通智慧足迹、东方微银、网智天元、金电联行、清博大数据、淘数科技、零氪科技十大企业因为数据应用的显著成绩而榜上有名。此外,《数据》杂志也将成为海淀数字文化产业数据的首发和研究平台,与北京青年互联网协会的合作内容包括共建企业“数据号”。[11]
二、大数据以及数据保护的法律规定
(一) 国外数据保护的规定
1、2018年5月25日,欧盟《通用数据保护条例》正式实施。该条例备受国内外互联网企业和法律界关注,被称为“史上最严数据保护条例”。之所以有如此称谓,主要体现在以下几个方面:
(1)适用范围广:任何在欧盟境内设立机构的公司,或者公司向欧盟境内的个人提供了商品或服务,在收集或处理欧盟数据主体的数据时都应适用该条例,无论该公司是否在欧盟设立分支结构,前述内容可以理解为国际私法上的“属地+属人”管辖原则;
笔者解析
由于条例适用主体的广泛性,将导致国内开展跨境业务的公司实体,在拟收集数据时均需要遵守条例的相关规定。譬如电商平台的跨境电商业务,以及近年来热门的短视频平台的境外业务等。如果这些企业拟计划在欧盟开展业务时,需要收集相关数据的,需要特别注意条例的相关规定。
(2)涉及过程及主体众多:条例贯穿于数据行为的整个过程,即数据的收集、数据的处理、数据的应用,同时涉及数据主体、数据控制者、数据处理者以及第三方机构等;
笔者解析
【1】由于条例涉及数据的全部过程。因此,无论企业在国内收取相关数据,亦或者在欧盟或者其他地区从其他主体处受让相关数据,只要将前述数据在欧盟境内使用或者处理,也均需要遵守条例的相关规定;
【2】国内的非盈利性机构等主体也需要遵守条例的相关规定。
(3)权利类型众多:条例界定了个人数据的范围(姓名、身份证号、定位数据、网络IP地址,指纹、虹膜、社会身份等能直接或间接识别到身份的信息),并赋予数据主体更为广泛的权利,例如获取权、修改权、被遗忘权、数据可携带权利等;[12]
笔者解析
条例规定的个人数据范围较为广泛,并且使用了开放性的定义模式,即任何可以直接或者间接识别到身份的信息均属于个人数据。这给国内企业和机构带来了更加严苛的注意义务,以及在开展业务过程中带来了更多的不确定性,需要特别注意;
(4)数据控制者、处理者的义务更为严格:根据该条例,对个人数据的处理普遍应该取得当事人的明确同意,并且该同意必须是自由做出的、特定的、明确的和知情的。[13]此外,数据控制者和处理者还承担默认方式保护数据义务、确保处理安全义务、数据泄露的72小时内通知义务等;
笔者解析
相比数据收集者而言,条例要求数据控制者和处理者承担的义务更加严苛,譬如处理个人数据时,需要证明是经过所有人自愿同意的。数据如果一旦泄露,需要在72小时内履行通知义务。
(5)违法成本高:对于企业的违法行为,可能面临高达1000万欧元或公司上一年度全球营业额2%的罚款(以较高者为准):例如数据处理者和控制者未按照第31条的规定配合监管机构的工作,或者未按照第32条的规定采取适当的技术措施(个人数据的匿名化和加密)保障数据的安全;
此外,企业面临最严重的处罚可以高达2000万欧元或者公司上一年度全球营业额4%的罚款(以较高者为准):例如数据控制者违反第5、6、7、9条规定的数据处理的同意条件,或者数据控制和处理者没有满足本条例的规定(欧盟委员会没有评估第三国或国际组织是否具有充足的保护措施并通过制定实施性法案予以确定的前提下,数据控制者和处理者也没有提供适当的保障措施,同时没有为数据主体提供可执行的权利与有效的法律救济措施,就将个人数据转移到第三国或国际组织),将正在处理或计划处理的个人数据转移到第三国或者国际组织。
笔者解析
【1】条例规定的罚金较高,企业需予以重视。如果违反条例相关约定,将面临2000万欧元或者公司上一年度全球营业额4%的罚款(以较高者为准);
【2】根据行业内统计数据记载,截止2021年5月25日(即GDPR生效3周年以来)。在全球范围内适用GDPR执法行动次数共计630多次,共计罚款数额超过2.83亿欧元[14]。显然,被称为迄今为止最严格的数据合规条例,已经在实践中产生了一定的威慑力,对全球范围内的企业合规工作产生了深远的影响。
2、2018年10月4日,欧盟议会又通过了《非个人数据在欧盟境内自由流动框架条例》,该条例规定了非个人数据在欧盟境内的转移的相关规定,主要涉及三方面内容:消除各成员国的数据本地化要求、确保成员国有权机关能够及时获取数据、保障专业用户能够自由地迁移数据;
3、2018年3月23日,特朗普签署了《澄清境外数据合法使用法案》,该法案规定,美国联邦调查局可凭借向法院申请传票,收集来自其他国家的电子邮件和个人信息,从而避开这个国家的隐私保护和法律制度;[15]
4、2019年11月18日,美国共和党相关参议员向参议院提交《国家安全与个人数据保护法提案》了,目前仍处于审议过程中,该提案的目的是对特定国家的数据跨境进行传输限制,包括其拟管制对象及数据类型等的界定、对特别公司收集储存数据的特殊规定、处罚规则、特定交易的审批要求等;[16]
5、2019年12月3日,美国提出了《数据保护法案》(2018年提出未通过),该法案的目的是阻止网站和应用程序使用个人数据伤害用户,保护用户信息不受黑客攻击,并追究公司滥用数据的责任;[17]
6、2019年7月1日,日本正式实施的《日本反不正当竞争法》中增设了“限定提供数据”条款,该条款目的是规制部分数据的不正当利用行为,旨在构建一个既有助于保护数据生产者积极性,又不影响数据交易进行的法律制度环境;
通过上述内容可以看出,自2018年欧盟的《通用数据保护条例》实施以来,世界上各国均开始逐渐重视涉及数据的现实和法律问题,通过各种形式的立法对数据进行保护。
(二) 国内对数据保护的法律法规
1、2021年1月1日施行的《中华人民共和国民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定;”
笔者解析
民法典作为基本法对数据保护设立专门条款具有促进发展的意义,同时考虑了实际市场中的产业基础。此外,根据立法者的说明,在立法过程中对是否规定和如何规定数据存在较大争议,最终民法典只做了原则性规定,一方面确立了对其依法保护的原则,另一方面则需要进一步深入研究,总结理论和司法实践经验,为后续立法提供基础。
2、2017年6月1日施行的《中华人民共和国网络安全法》也规定了如下数据保护的条款:
(1)第27条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;
(2)第31条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定;
(3)第37条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定;
(4)第66条:关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;
(5)第75条:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等;
3、2017年7月10日,国家互联网信息办公室又向社会公开发布了《关键信息基础设施安全保护条例(征求意见稿)》,该条例已于2021年9月1日生效,对《中华人民共和国网络安全法》中关于关键信息基础设施的具体范围进行了约定,其中第2条具体规定了关键信息基础设施的范围[18];
4、2019年5月28日、6月13日国家互联网信息办公室分别向社会公布了《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》,前述两个征求意见稿是基于《网络安全法》的实施而起草的,目前两个办法均在征求意见过程中,笔者认为前述两个征求意见稿中涉及数据保护的重要条款应该有如下几条,国内企业应该未雨绸缪,尽早地结合两个办法对公司实际经营过程中涉及的数据问题进行自查自纠,以期做好数据合规工作:
(1)《数据安全管理办法(征求意见稿)》
【1】第7条:网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户;
【2】第9条:如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息;
笔者解析
根据上述条款可知,网络运营者在利用产品收集个人信息前,需要首先制定收集使用规则并提供给用户,如果收集使用规则规定在网站的隐私政策中,应当以用户明显可以感知的方式提示用户。
【3】第11条第1款:网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息;
笔者解析
根据上述条款可知,网络运营者收集个人信息应以用户主观同意为前提,不得以任何方式强迫、误导用户同意。
【4】第23条:网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息;
笔者解析
根据上述条款可知,网络运营者向用户定向推送信息时,应当明确标明“定推”,并且用户享有拒绝“定向推送”的权利。该条款对专门从事信息或者视频推送业务的公司来说,需要特别注意。这种推送业务可能是这些公司的主营业务,在日常经营过程中需要标明“推送”字样,以及向用户提供可以明确停止推送的功能,否则公司日常经营的大量业务中被认定违反办法的可能性较高;
(2)《个人信息出境安全评估办法(征求意见稿)》
【1】第3条:个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估;
笔者解析
根据上述条款可知,网络运营者向境外转移收集的个人信息前,应当首先进行安全评估并向主观部门申报,同时需要定期进行重新评估。
【2】第8条:网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:
(一)向境外提供个人信息的日期时间;
(二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等;
(三)向境外提供的个人信息的类型及数量、敏感程度;
(四)国家网信部门规定的其他内容。
【3】第9条:网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。发生较大数据安全事件时,应及时报所在地省级网信部门;
笔者解析
根据上述条款可知,网络运营者对个人信息出境记录应该保存至少5年,并且应当在每年12月31日前向主管部门报告个人信息出境情况。
【4】第11条:出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息:
(一)网络运营者或接收者发生较大数据泄露、数据滥用等事件;
(二)个人信息主体不能或者难以维护个人合法权益;
(三)网络运营者或接收者无力保障个人信息安全。
笔者解析
【1】根据上述条款可知,网络运营者泄露、滥用数据,或者无法保障个人信息安全的,网信部门可以暂停或者终止其向境外提供个人信息数据。
【2】此外,虽然该办法尚未生效,但与不久之前某出行公司在境外上市后,被国家相关部门以“存在严重违规收集个人数据为由”进行审查不谋而合。可见,我国企业在收集个人或者国内其他主体数据之后,如果需要向境外进行转移或者使用的(包括但不限于通过上市渠道公开相关数据信息的),特别需要重视本办法上述条款约定的相关义务,例如进行安全评估并事前申报,数据出境记录需要保存5年,以及每年12月31日前需要汇报本年度数据出境情况等。
5、2020年7月3日,全国人大公布了《中华人民共和国数据安全法(草案)》向社会公开征求意见。草案内容共51条,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等,该法律已于今年9月1日生效,该法律中有如下条款需要予以注意:
(1)第3条:本法所称数据,是指任何以电子或者其他方式对信息的记录;
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力;
笔者解析
本条对数据的定义、处理以及数据安全的相关措施进行基础的定义,对企业及机构在今后处理数据的相关业务时具有参考价值。
(2)第21条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护;
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度;
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护;
笔者解析
本条规定了国家对数据进行分类保护,不同类别的数据受到保护的强度有所不同,例如涉及到国家安全和公共利益等国家核心数据,企业需采取更为严格的管理制度。例如上文提到的国内主体和个人的出行数据等记录,笔者认为企业就应该采取更为严格的管理制度。
(3)第26条:任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
笔者解析
本条规定了,如果我国企业在境外利用数据过程中遭受了不公平和歧视待遇,我国可以针对该国的相关企业,在我国境内采取对应反制措施。该条款一定程度上给国内企业在国际市场竞争中维护自身经营的数据安全与合法权益提供了有利保障。
(4)第27条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;
笔者解析
本条规定了开展数据处理活动应该严格依照法律、法规的规定,并应该采取相应的措施,以及履行安全保护义务。同时,重要数据处理者还应该明确责任人和管理机构。
(5)第30条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告;
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等;
笔者解析
本条进一步规定了,重要数据的处理者还应当履行更多附加的义务,例如风险评估等,并且风险评估的内容还需要详细、明确。
(6)第36条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
笔者解析
本条规定从一定程度上可以抑制近年来比较频繁出现的域外长臂管辖原则所带来的司法不确定性,也可以有效防止我们的数据外泄。同时要求了我国境内的企业和其他组织,非经批准不得将数据向境外司法或者执法机构提供,这也在一定程度上堵住了商业过程中存在的潜在漏洞。
(7)第45条:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款;
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任;
第46条:违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款;
笔者解析
本条规定了开展数据处理的组织和个人违反相关规定的,应承担行政责任,包括行政处罚和罚款,罚款的最高数额可以达到1000万元。此外,在一定条件下,组织的主管人员和其他直接责任人员也会受到相应的行政处罚和罚金。
6、今年8月20日《中华人民共和国个人信息保护法》已由全国人大常委会审议通过,该法将于2021年11月1日起实施,该法律的下述条款值得特别注意:
(1)第3条:在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
(2)第53条:本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门;
笔者解析
【1】第3条规定以属地、属人管辖为基础,同时首次将适用范围扩展至境外,产生了类似“长臂管辖”的效果。此外,第53条与第3条相互呼应,要求境外处理者必须在境内设立专门机构或者指定代表,负责信息处理的相关事务。
【2】但是《个人信息保护法》并未对境外处理者不履行义务规定相关的法律责任,因此,可能还需要之后的实施细则或者司法解释予以进一步明确。
(3)第4条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等;
笔者解析
法律规定的个人信息认定标准为“识别+关联”,并同时排除了匿名化处理后的信息。
(4)第5条:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息;
(5)第6条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息;
笔者解析
【1】第5条规定的个人信息处理原则沿用了《民法典》等法律的原则,同时增加了诚实信用原则。此外,合法、正当、必要原则也与此前司法实践中的多个案例所确定的标准相吻合,例如大众点评诉百度不正当竞争案件等。
【2】第6条规定的具有合理目的,和采取对个人权益影响最小的方式也与之前的司法实践相吻合,并且笔者认为该条规定也会更好的保护个人数据的相关权益;
(6)第15条:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式;
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力;
笔者解析
该条规定了“撤回同意权”,个人信息处理者也应当提供便捷的撤回同意的方式,但是不影响撤回前基于个人同意已进行的个人信息处理。该套法律从正、反两个方面约束了个人与信息处理者,体现了平衡和制约的立法目的。
(7)第24条:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定;
笔者解析
【1】该条第1款对个人信息主体的选择权、决定权等权利进行了一定程度的保障,并对近期热议的“大数据杀熟”进行了明确的禁止。
【2】该条第2款对以“自动化决策方式向个人进行信息推送”的情形,明确要求处理者需要同时提供(1)不针对其个人特征的选项,或者(2)个人可以拒绝的方法。
(8)第52条:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督;
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
笔者解析
该条规定了信息处理者处理信息达到一定数量时,需要指定特定的信息保护负责人,并进行相应监督,同时需要将该负责人向相关部门备案。但是由于该条款中没有明确约定具体的数量,还需要等待之后的实施细则等规定进一步明确。
(9)第58条:第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
笔者解析
该条是约定给大型互联网平台企业的特殊义务,笔者认为可能也是考虑这些平台企业是收集个人信息数量较多,并且比较频繁的。因此,大型互联网平台企业在信息处理时,应特别注意该条款。
本文对大数据的本质和应用,以及国内外的政策以及法律规定进行了一个简单的梳理,还有很多不成熟和不周延之处,欢迎各位读者提出宝贵意见。浅谈“21世纪的石油”及其法律保护(下)篇文章会对国内涉及大数据的司法判例进行一个简要的梳理和介绍。
注释:
[1]《习近平主持中共中央政治局第二次集体学习并讲话》,2017年12月9日,载于中国政府网:http://www.gov.cn/xinwen/2017-12/09/content_5245520.htm
[2] 大数据的百度百科
[3] 大数据时代的百度百科
[4] 大数据的百度百科
[5]《2020年中国大数据产业政策汇总及解读》,2020年7月1日,东方财富网
[6]《2020年中国大数据产业政策汇总及解读》,2020年7月1日,东方财富网
[7] 北京大数据研究院百度百科
[8]《传统行业在云端用AI处理大数据,这是什么样的风口》,2016年6月22日文章,载于腾讯研究院微信公众号
[9]《能源领域,互联网公司能帮那些忙?》,Crystal ZHOU,2019年8月16日文章,载于腾讯研究院微信公众号
[10]《人工智能大会除了双马,还有什么亮点》,吴晓明,2019年8月30日音频节目,发布于吴晓波频道
[11]《遇见数字 智绘未来 2019大数据产业十大应用案例发布》,数据杂志微信公众号,2019年11月10日
[12]《全球最严个人数据保护法GDPR实施之后》,赵福帅,2018年8月8日文章,载于腾讯研究院微信公众号
[13]《全球最严个人数据保护法GDPR实施之后》,赵福帅,2018年8月8日文章,载于腾讯研究院微信公众号
[14]《GDPR三周年|执法行动630多次,罚款超过2.83亿欧元》,2021年5月26日文章,载于数据合规公社微信公众号
[15]《特朗普签署澄清境外数据合法使用法案》,2018年4月文章,载于腾讯网
[16]《细数美国的数据保护立法—数据跨境传输》,2020年1月9日文章,立方律师事务所网站
[17] 同上
[18]《关键信息基础设施安全保护条例》第2条
(图片来源 | 网络)