大数据产业发展的法律障碍及其排除
本文是笔者在2017年12月21日晚由亚太网络法研究中心和亚太人工智能法律研究院联合主办的第50期“网络与法律对话”学术沙龙上的发言经学生整理而来的。
2015年《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》首次正式提出大数据战略,2017年12月8日,新一届中共中央政治局的第二次集体学习时再次将“大数据战略”定为学习的主题。目前“大数据产业”已经成为一个非常流行的概念。但是,作为一种产业,至今大多仍然停留在概念炒作层面上。究其原因,主要在于目前人们对(大)数据的分类及其法律地位、大数据产业发展与个人信息保护之间的关系等问题在认识上存在严重分歧,尤其是,目前主流的个人信息保护观念及有关法律规定已经成为大数据产业发展所面临的最大障碍。
首先,大数据的分类是一个值得思的问题。我想大数据并不都是可以交易的,因此,从是否可以交易上看,大数据应分为可交易的和不可交易的。据此,我们未来的立法时可以设置负面清单制度,从而明确规定什么样的数据是是禁止交易的。一般来说,那些诸如国家机密、基因信息等可能危害国家、种族安全等信息是不能交易的。从数据掌握的主体来看,大数据可以分为国家机关掌握的大数据和商业主体掌握的大数据。这种分类的意义在于,国家公权力机关在履行职务行为的过程中掌握的数据如果是不涉及到国家机密、种族安全等方面的,那么就是可以公开的,就应该共享的。而企业掌握的数据也可以再细分为可以交易的与不可以交易的;如果是可以交易的,就应该允许在市场上进行交易。在企业掌握的大数据中,有的是与用户或个人有关的数据,有的是与个人无关的数据。对于有个人无关的数据而言,一般可以算是企业的商业秘密。
其次,大数据的权属也是影响大数据交易的重要问题。在讨论企业掌握的与个人有关的大数据权属问题时,关于个人信息和个人数据的区分将是一个不可忽视的因素。我认为对“个人信息”和“个人数据”不加以区分的观念和立法是目前大数据战略实施的最大障碍之一。在我看来,我们的立法和理论不仅应该区分个人信息和个人数据,而且还应该区分对个人信息和个人数据的收集、公开和滥用行为。
一方面,应该区分个人信息和个人数据。由于主流观点将个人信息和个人数据混同、不加区分,所以无法在个人利益保护和产业发展找到合理的平衡点。我认为,“个人信息”是能够直接识别出某一特定自然人的信息。它强调的是直接识别性,在媒介上是中立的,不仅包括文本信息,也包括电子或数字化的信息,还包括图片、视频等一切形式的信息。而所谓的个人数据,则强调的是以碎片化的数据形态存在的、与个人有关的信息形式。一般来说,个人数据是与计算机通信技术密切相关的,它强调信息存在的数字化、识别主体的特定化,即专指计算机而非人作为识别主体。亦言之,个人数据原本是用在网络环境或计算机通信背景下的一个概念。因此,在此语境下,并不是所有的个人数据都可以直接识别出某一特定自然人,只有极少数情况下的个人数据才可以直接识别出某一特定自然人,比如在网络环境下的以数字形式存在的肖像或照片等;也只有在此情况下个人信息与个人数据在外延上是一致的;其他情况下,个人数据的外延都要远大于个人信息。由此看来,在网络环境下,个人数据是指与个人有关、但并不一定能够直接或单独识别出特定自然人的所有数据。对个人信息和个人数据做这种区分不仅具有理论意义,而且还具有重大的现实意义。
实际上,在网络环境下,我们的“个人信息”是由N个数据片段组成的,只有这N个片段总和才能算是我们的个人信息。因此,任何N-1个的数据片段都不是属于我们的个人信息,而只能算是与我们有关的“个人数据”。一般来说,商家在收集与我们有关的数据时,它不关心我们具体是张三、李四,它只关心如何能够通过收集某个用户的有关数据进而对其进行精准、有针对性的商品或服务的营销。因此,商家通常是不会把我们的N个数据片段都收集完,否则,只会徒增其成本。因此,商家在收集,存储、加工、使用和交易那些不能直接识别出某一特定自然人的用户数据时就无需征得用户的同意;商家对其在提供商品和服务过程中掌握的(与用户有关)数据的商业价值享有财产权益。但是,如果商家要收集出能够直接识别出某一特定自然人的信息或数据(比如照片)或N个数据片段总和时,那么,就应该征得用户的同意,否则将会构成侵权。
另一方面,立法和理论应该承认个人对其个人信息的商业价值拥有财产权益,商家对其所合法持有的不能直接识别出特定自然人的(个人)数据享有财产权益。这种做法的意义在于,承认个人信息的商业价值属于个人的观点不仅与既有的立法和理论承认个人对其个人信息上的人格利益的做法在逻辑上是一致的,而且也有助于维护个人的正当权益。而对于那些虽然与个人有关但却不能直接识别出特定自然人的(个人)数据,承认其商业价值则属于合法持有它的主体(商家)所有,不仅是对其劳动成果的承认,有助于产业发展,而且对个人权益也不会构成危害。
再一方面,理论和理论应该区分对个人信息、个人数据的收集、公开和滥用行为。我们现在主流的个人信息安全观,不仅把个人信息与个人数据混在一起,而且只强调对个人信息和个人数据的收集要获得授权,保存要保密,不得随意公开,而忽视对个人信息或个人数据滥用行为的有效规制。由于这种观念在技术上无法落实,所以导致有关立法缺乏可操作性。我认为,对于个人信息而言,除了那些与公共利益、社会利益没有直接关系而同时又直接攸关个人名誉或尊严的(法律意义上的)隐私外,对于一般的个人信息而言,收集和公开本身并不会造成损害,造成损害的往往是后续的滥用行为。有鉴于此,我们的立法更应该对滥用个人信息和个人数据的行为进行有效的法律规制,而不是不加区分和不切实际地要求对所有个人信息(数据)予以“保密”和要求收集“合规”、不切实际地强调安全和保密。值得一提的而是,目前存在着一种错误的观念,即对个人信息(数据)保护得越严格越好,以至于一些组织以所谓的合规为标准给网络企业的个人信息保护做法进行打分并进行公开排名,并借此对社会进行错误舆论的导向。
显然,在涉及到诸如垃圾信息、骚扰电话、身份假冒和滥用等最为突出的个人信息或数据滥用问题上,我国却严重缺乏有效的法律规范。而正是由于这种立法缺失导致人们将对个人信息或个人数据的滥用问题归咎于所谓的个人信息安泄露或公开,并将解决问题的希望寄托在确保个人信息的安全问题上。为此,不得不为个人信息或数据的收集、存储、加工、公开、交易和利用等诸多环节设置严苛和难以落实的条件,不仅个人权益无法得到真正保护,而且为大数据交易制造法律障碍,以至于在此观念和立法下,大数据交易根本无法进行。
简言之,按照我的上述理论,未来的理论和立法首先应该区分个人信息和个人数据,并对二者采取不同的态度:对于个人信息而言,其上蕴含的人格利益和商业价值都属于个人而非商家;对于那些虽然与个人有关、但不能识别出特定自然人的(个人)数据,它上面没有人格利益,只有财产利益(商业价值);其商业价值应该属于合法持有它的主体所有。据此,在未来的立法上,对于那些基于商业目的而对个人信息(而非个人数据)的收集、交易和利用行为应该要求商家征得个人的同意,否则就视为侵权行为。而对于商家在提供商品或服务过程中所实施的收集与其用户有关但不能识别出具体自然人(个人)数据的行为,则无需要求其征得用户的同意,商家对于其所收集的不能识别出特定自然人的(个人)数据享有财产权益,可以进行后续的加工、利用和交易。这样,既考虑到个人正当权益的保护,又兼顾到产业的正当利益;才能在个人权益保护和促进大数据产业健康发展之间找到一个合理的平衡点。
~
刘德良:法学博士 亚太网络法律研究中心主任、亚太人工智能法律研究院院长、北京师范大学法学院教授
http://www.apcyber-law.com/