论数据流通的治理机制
2021-08-06
来源:信息安全与通信保密杂志社
数据具有非排他性、数量持续增长性、形态多样性、价值可挖掘性和主体多元性等特征,呈现财产属性、人格属性、公共利益属性和国家主权属性等多元属性。数据流通的主要障碍在于数据安全保护体系不健全、个人隐私保护制度不完善、数据权属不清、跨境数据流通规则欠缺。在数据流通安全管理方面,建议完善数据分类分级保护制度、个人信息保护制度、网络安全审查和数据出境评估制度以及设立国家数据主管机构。在数据流通方面,建议构建多维度的数据权利约束体系,统一数据交易中心的基本交易规则,打击数据垄断,推动形成跨境数据流动国际规则。
当前信息技术革命日新月异,数字经济蓬勃发展,数据已经成为与劳动力、土地、资本、技术等同等重要的生产要素。生产要素的有效配置需要通过市场进行。2020年4月,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,明确提出要加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。本文拟就数据流通的治理机制进行探讨,以期有裨于我国数据要素市场的培育和发展。
1 数据的特征与发展趋势
1.1 数据的特征和属性
数据不同于传统上的有形物,也不同于知识产权等无形物。数据作为一种特殊的权利客体和新型生产要素,具有以下特征:
第一,占有非排他性。当前数据大多以电子形式存储,具有无形性,可复制、可共享、可交换,存储和传输便捷且成本低。实务中,许多数据都被不同的平台和互联网经营者占有。就占有的非排他性而言,数据与知识产权比较类似,但不要求知识产权所必需的显著性、创造性或独创性。
第二,数量持续增长性。在互联互通、万物互联的网络时代,运营中的数据往往一直处在不断更新、不断扩展中,甚至数据本身也会自我生产出新的数据,呈现不断“生长”的状态。因此,在合理运维的情况下,数据具有永久使用的潜力。当然,根据需要也可以对增长变动中的数据进行特定化,固定数据数量和内容,以便于定价和交易。
第三,形态多样性。与传统的物相比,数据的形态更为丰富多样。根据数据呈现的不同形态和性质,可以将数据分为个人数据、非个人数据、混合数据;原始数据、衍生数据;公开数据、非公开数据;一般数据和重要数据;用户主动提供数据、通过爬取获得的数据;等等。其中个人数据又可以进一步细分为一般个人数据和敏感个人数据。不同形态的数据所涉及的主体和包含的权益各不相同,使得数据上的权利异常复杂。
第四,价值可挖掘性。数据可被不同主体用于不同场景,并呈现丰富多样的价值。同时,借助先进的数字技术手段,可以对更小的数据颗粒进行更精确、更饱满的分析,不断挖掘数据蕴含的价值。因此,数据越大越具有价值潜力。这就是各国纷纷将大数据作为国家战略性资源的原因所在。
第五,主体多元性。大型的数据往往是多人之力共同完成的,包括数据主体、数据收集人数据存储人、数据处理人、数据使用人等特别是,数据中所包含的个人数据,涉及千千万万的个人,这使得数据涉及的权利主体数量异常庞大,这会显著提高交易成本,不利于数据的流通共享。
基于数据的上述特征,数据呈现着与传统权利客体不同的属性,体现在以下几点:
其一,财产属性。数据属于无形财产,具有有用性、稀缺性、可控性,可交换和共享,具有价值和使用价值。
其二,人格属性。数据中的个人数据涉及自然人的姓名、肖像、隐私等人格利益,甚至关涉当事人的人身安全。
其三,公共利益属性。一些大数据如电子商务数据、疫情数据、治安数据等,涉及经济发展、社会安全等社会公共利益。政府可基于社会公共利益的需要提取有关数据。
其四,国家主权属性。有些数据因其性质特殊或数量足够庞大,就会涉及国家安全和主权。像详细的地图数据、人口数据、经济数据等,往往是具有战略意义的国家核心数据,涉及国家安全和主权,国家对这类数据需要行使数据主权。当前各国都在不断强化对数据的控制能力。
从数据的上述特征和属性可以看出,数据类似于一种人造的自然资源,取之不尽用之不竭,这一点与传统的财产或资源有极大的不同,不能简单适用传统财产法律来规范数据的流通,亟需建立新的数据规则,在保障数据安全的同时促进数字经济发展。习近平总书记多次强调,要切实保障国家数据安全;要加强政策、监管、法律的统筹协调,加快法规制度建设;要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度;要加强国际数据治理政策储备和治理规则研究,提出中国方案。
1.2 数据的发展趋势
当前,全球大数据正处在快速增长的活跃阶段。许多既往信息都已经数字化、网络化了,同时不断产生新的数据。根据国际数据公司(IDC)预测,全球数据量在2025年将达到175ZB,比2018年增长5倍以上。另外,数据来源也在发生变化。目前80%的数据处理和分析发生在数据中心和中心化计算设施中,20%发生在智能连接对象,如汽车、家用电器或制造机器人,以及接近用户的计算设施(边缘计算)中。随着物联网的发展,到2025年,这些比例可能会逆转。国际数据公司预测,到2025年,全球物联网设备数将达到416亿台,产生79.4ZB的数据量。随着数据量的增长以及数字技术的发展,每一次数据浪潮都为企业发展和政府治理提供了重大机遇。
我国的数据增长尤其迅速。根据国际数据公司发布的《IDC:2025年中国将拥有全球最大的数据圈》白皮书,2018年中国数据圈占全球数据圈的23.4%,即7.6ZB;预计到2025年将增至48.6ZB,占全球数据圈的27.8%,届时中国将成为全球最大的数据圈。从2015年到2025年,中国数据圈以14倍的速度扩张。与全球动态相似,中国数据圈将受到来自物联网设备信号、元数据、娱乐相关数据、云计算和边缘计算增长的驱动。越来越多的物联网设备在数据的创建位置处理并分析原始数据,以及建筑、桥梁、智慧城市等智能基础设施利用边缘设施和计算来赋能实时世界。在中国数据圈,边缘创建和复制的数据所占比例几乎翻了一番——占比将从数据总量13%增加到23%。
可见,随着我国网民数量的增长,特别是联网设备的快速增长,我国数据生产量也迅速增长,在数字世界中的影响力越来越大。这为我国数字经济的发展提供了重要的生产要素。
数据经济的快速发展凸显了数据的战略性价值,为此,各国纷纷出台法律和政策对数据加强控制。美国利用其长臂管辖制度以及《澄清数据在海外的合法使用法》等立法,明确了数据主权战略,加强了美国对数据的控制。欧盟近年来也密集出台一系列数据立法和政策,包括《一般数据保护条例》《非个人数据自由流动条例》《开放数据和公共部门信息指令》《欧洲数据战略》等,并强化数据保护执法和反垄断审查,旨在塑造符合欧盟利益的数据规则体系,强化欧盟对数据的控制。我国也已出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》,并正在审议《中华人民共和国个人信息保护法》,进一步加强数据的安全保护和利用。
2 数据流通存在的主要障碍
数据作为生产要素,充分发挥数据价值的关键在于流通和共享。当前妨碍数据流通和共享的障碍主要有四个:一是数据安全保护体系不健全;二是个人信息保护制度不到位;三是数据权属不清;四是数据跨境流动国际规则难以达成。其中前两个问题主要是数据安全机制问题,这是数据流通的前提;后两个问题主要是数据流通机制问题,是数据流通的基础。
2.1 数据安全保护体系不健全
“安全有助于使人民享有诸如生命、财产、自由和平等等其他价值的状况稳定化并尽可能地维续下去。”数据安全保护体系就是要编制这样一张“安全之网”,维护权利人对数据的占有并享有其利益。如数据安全保护体系不健全,则增大数据流通和共享风险,必然妨碍数据持有人分享数据。从立法上看,我国已经出台了网络安全的基础性法律——《中华人民共和国网络安全法》,但相关配套法规,如《关键信息基础设施保护条例》《网络安全等级保护条例》迟迟未出台,使得相关法律制度难以落地。前不久通过的《中华人民共和国数据安全法》也需要相关配套法规予以贯彻落实。可见,我国数据安全保护法律体系尚有许多空白待填补。
2.2 个人信息保护制度不健全
从数字经济来讲,生产和消费环节都需要大量的个人数据,其中包含大量个人信息。个人信息的敏感问题包含自然人隐私信息,关涉人的尊严。目前我国的《中华人民共和国网络安全法》和《中华人民共和国民法典》只对个人信息的权利和保护作了原则性规定,个人信息保护法尚在制定过程中,我国还没有建立起较完善的个人信息保护立法和执法体系。个人信息保护制度不健全放纵了个人信息被非法收集、买卖和滥用。在个人信息特别是个人隐私未得到充分保护的情况下,网民对个人信息的收集和使用会缺乏安全感。据统计,在16~64岁的网民中,62%的中国人担心个人信息被滥用,只是略优于64%的国际平均水平。这种不安全感最终会妨碍数据的流通和分享。特别是进入5G时代后,需要在地理上分散系统中近乎实时地共享更大量的个人数据,这客观上需要公众对5G网络和运营模式的更大信任。没有完善的法律保护,这种高层次的信任机制难以建立。
2.3 数据权属不清
关于数据的权属问题,早在2016年《“十三五”国家信息化规划》就提出了要加快推进数据权属立法工作,2020年《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》再次强调要“研究根据数据性质完善产权性质”,但目前对数据权属在理论上未达成共识,在立法上更未提上议程。《中华人民共和国民法典》对于数据的保护只是援引性地规定“法律对数据的保护有规定的,依照其规定”。由于数据权属不清,数据受让双方的权利和义务边界难以界定,当事人对数据流通和共享的风险具有极大不确定性。数据持有人为了减少数据流通风险,往往选择数据服务的方式,而不是数据转让。
在实务中,由于数据权属不清,以及个人信息保护制度不健全,直接限制了对数据的进一步开发和利用。一些传统企业(如航空公司)本身拥有大型数据库,但其对数据的利用往往只限于本身业务的需要,囿于自身的数据挖掘技术,难以在更深更广的维度对数据进行利用。如果将数据与他人共享或开发,则面临较大的法律风险,多数选择放弃数据的对外流通或共享。
2.4 跨境数据流动国际规则欠缺
在全球化的网络时代,在国家间流动的数据实际上是公司生命的血液。数据跨境流动已经成为国际上最核心的实质性议题之一,数据跨境流动不仅涉及贸易和经济问题,还涉及国家安全和个人信息保护问题。各国由于价值观和优先事项的排序不同,不同国家的政策和立法难免会出现冲突。美国利用数字产业的全球领先优势主张数据自由流动,并强力遏制竞争对手。欧盟意图以数据保护高标准引导全球重建数据保护规则体系。各国各地不同的利益诉求增加了达成国际共识的困难。
数据跨境流动受限直接影响了数字经济全球化发展。如果过于强调安全,限制了数据跨境流动性,那么无疑会阻碍企业的技术创新能力,不利于推动经济增长;如果一味地坚持数据跨境自由流动,无疑也会引发对数据安全、国家安全和个人隐私等问题的担忧。因此,数据作为全球数字经济的关键驱动因素,建立数据跨境流动国际规则已经成为当务之急,不仅事关大国在数字经济领域的位置和权力分配,而且有助于提高广大发展中国家的价值创造和捕获能力,实现数字经济在全球的包容性发展,然而进展不尽如人意。
3 完善数据安全管理机制的建议
数据本身的特殊性,决定了数据的安全问题无法简单地借助传统生产要素管理机制,如不动产登记、动产交付、知识产权登记等方式来实现,而是必须建立符合数据特殊要求的安全管理机制。
3.1 完善数据分类分级保护制度
当今数据已经像生产生活的必需品一样,无处不在,不可或缺。对如此庞大的数据,不可能采取一刀切的方式进行管理,需要综合考虑数据的种类和数量、数据处理情况、面临的风险等进行分类分级并采取相应的保护措施。
根据数据的重要性不同,可以将数据分为涉密数据、重要数据与一般数据。对于涉密数据,我们目前已经建立了一套比较成熟的保密法律制度,出台了《中华人民共和国保守国家秘密法》等一系列法律法规。对于非涉密数据,有些因其规模巨大或内容敏感,仍然会涉及国家安全或社会公共利益。对于这部分数据,需要进行特殊管理。《中华人民共和国数据安全法》第21条已经明确规定了国家要建立数据分类分级保护制度,下一步各地区、各部门应当进一步确定本地区、本部门以及相关行业、领域的重要数据具体目录,对重要数据加强保护。
根据数据是否包含个人信息,可以将数据分为个人数据与非个人数据。个人数据因涉及个人隐私甚至生命、财产安全而成为敏感的话题。显然,科技的进步不能以减损人的尊严和基本权利为代价,而是应当坚持“科技向善”,以增进人的福祉和全面发展为目标。因此,必须对个人数据进行特别保护,以维护公民对网络的信任。鉴于个人维权非常困难,需要出台专门的个人信息保护法以及建立强有力的行政执法机制。
3.2 完善个人信息保护制度
对个人信息的保护是建立网络信任机制的基础,也是数据流通共享的前提。由于公众的隐私观念启蒙较晚,我国对个人信息的保护并不十分理想。目前,我国正在审议《中华人民共和国个人信息保护法》,有望构建一个符合我国数字经济发展需要的个人信息保护制度。
在个人信息保护方面,有两个环节需要特别关注:一是合理的数据收集方式;二是负责任的数据利用方式。目前我国在这两个环节都存在失控问题。在数据收集方面,普遍存在过度收集、频繁收集、非法买卖个人数据等问题。近年来侵犯公民个人信息罪的刑事案件大幅增长,2019年涉及侵犯公民个人信息的一审刑事案件达到1937件,是2016年的6倍。在数据利用方面,数据超范围使用、滥用、数据黑灰产业链长期存在。利用数据精准诈骗案件时常发生。因此,立法应当重点规范对数据的非法收集和滥用,并加大惩罚力度。
3.3 完善数据审查和评估制度
网络安全审查主要是为了确保关键信息基础设施供应链安全,维护国家安全和数据主权。《中华人民共和国网络安全法》明确了对关键信息基础设施运营者采购网络产品和服务,可能影响国家安全的,应当通过国家安全审查。在进行安全审查时,重点考虑因素之一就是重要数据被窃取、泄露、毁损的风险。《中华人民共和国数据安全法》第24条进一步明确规定国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。建议出台“数据安全审查指南”,进一步细化和落实数据安全审查制度。
数据安全评估主要是针对出境数据。考虑到我国数字经济的快速发展,特别是我国大型互联网企业逐渐走出去的需要,应该建立较为宽松的数据出境安全评估制度。充分发挥行业自律机制功能,推行企业自行评估与主管部门强制评估相结合的安全评估制度。
3.4 设立国家数据主管机构
传统的重要生产要素都已经建立了相应的中央管理机构,例如,不动产有住房和城乡建设部,资本有中国人民银行和中国银行保险监督管理委员会,技术有科学技术部,知识产权有国家知识产权局,劳动力有人力资源和社会保障部等。近年来,部分省市陆续成立了大数据局等相关机构。以省级大数据主管机构为例,从2014年广东省设立第一个省级大数据局开始,截至2019年底,共有20个省级地方成立了专门的大数据主管机构,对包括大数据产业在内的大数据发展进行统一管理。数据作为数字经济时代最重要的生产要素之一,有必要设立专门的国家数据主管机构,对数据进行顶层设计和宏观管理,充分发挥数据要素的市场价值。
4 完善数据流通机制的建议
如同其他生产要素一样,促进数据流通意味着淡化数据的“所有权”色彩,同时增强数据的“债权”色彩。保障数据要素有效的市场化配置,需要兼顾交易的安全和效率。要素确权、交易单位、定价机制、交易市场、交易监管和创新能力构成了要素市场化配置的基本流程。对于数据而言,确权和交易是要素市场化最重要的两个环节。
4.1 构建多维度的数据权利束体系
根据科斯定理,确定数据产权是数据交易和大数据产业发展的基础,通过有效的产权制度,可以降低交易成本,促进数字经济发展。数据权属制度是保障数据交易安全、促进数据流通的基础性制度,是数据流通静态安全的保障。数据上的权属关系较为复杂,既涉及人身权利,如姓名权、肖像权、隐私权等,又涉及财产权利,如数据使用权、收益权等。
考虑到现有的财产权利制度难以适用于数据,欧洲议会及欧盟理事会在1996年发布了《关于数据库法律保护的指令》,建立了对数据库的特殊权利保护体系。其显著特点是不仅保护了独创性的数据库,而且保护了那些不具独创性但付出了实质性投入的数据库,从而形成了个人数据保护、数据库版权保护、数据库特殊权利保护的数据权属制度。不过欧盟的“数据库保护指令”有一定的局限性。例如,“指令”过分强调对数据库制作者实质性投入的保护,可能会给后来的数据库开发者过多的版权保护压力,致使重复进入数据库的生产流程,造成重复建设和浪费。此外,“指令”很少规定版权保护的限制和例外,没有版权法规定的较多明确限制和例外情形,这对于数据库的合理使用和发展是非常不利的。
从数据生命周期来看,数据上的权利应是一个“权利束”,包括一系列的人身权利和财产权利。其中人身权利的核心在于保护自然人的隐私和人身安全,为此需要设定数据主体对其个人信息的一系列控制权利,包括同意权与撤回同意权、查询权、获取个人信息副本权、更正权、删除权、反对完全自动化决策权、反对个性化展示权、公开披露权等。数据上的财产权利主要是保障对数据的开发和利用,应包括占有权、使用权、开发权、编辑权、许可权、转让权、收益权等,尤其需要在立法上明确企业对其合法拥有和运营的数据享有依法开发利用的权利,以便更好地保障数据资产。
数据权利不应是绝对的,为了平衡数据上承载的国家安全、社会公共利益与其他个人利益,还应建立数据的合理使用规则。对于因维护国家安全、社会公共利益以及其他更为重要的个人利益的需要,可以不经数据主体同意而直接使用数据。对于正当的科研开发活动而使用数据的情形,也应当视作对数据的合理使用,以利于数据的开发利用和科技进步。
4.2 统一数据交易的基本规则
目前国内的大数据交易行业尚处于初级阶段,但我国庞大的数据资源势必推动交易市场的快速发展。2014 年以来,国内出现了一大批数据交易平台,许多地方政府也积极设立数据交易机构,包括贵阳大数据交易所、长江大数据交易中心、上海数据交易中心等,这为数据交易市场的孕育提供了很好的探索。但遍地开花的数据交易中心也存在各自为战、规则林立等问题。诸如贵阳大数据交易所、上海数据交易中心、华中大数据交易所等均有自身独立的一套数据交易规则,导致各大数据交易市场之间出现定价标准、交易模式等不统一的局面,海量的数据因缺乏一套完整统一的数据交易规则,被不同的信息化交易系统分割成众多“数据碎片”“数据孤岛”,久而久之不利于大数据在交易市场之间的自由流动性,难以真正实现平台化、规模化、产业化的发展,无法有序发挥大数据交易平台的规模效应、功能优势。此外,市场缺乏信任机制,数据被私自留存、复制、转卖的现象普遍存在。良性互动的数据交易生态体系尚未形成。数据交易中所涉及的采集、传输、汇聚活动缺乏标准和规范,安全问题较为突出。
规则决定市场的宽度和深度。为了形成全国性的数据交易市场,有必要在全国范围内统一数据交易基本规则,各数据交易平台可以在统一的数据交易基本规则上丰富各自的特色服务和产品,提高市场竞争和活力。
4.3 防止数据垄断,维护有效竞争
当数据成为企业的核心资产时,经营者寻求数据垄断就不可避免。超大型网络平台利用自身营造的跨多领域的网络生态圈汇聚了大量数据;企业并购也会导致数据的快速集中。此外,“使用者反馈”与“获利反馈”机制使得大公司数据收集能力不断自我增强,造成各数据拥有者间的数据鸿沟越来越大,最终导致数据寡头持有并垄断海量数据。
数据的垄断会形成数据壁垒,进而形成算法壁垒和平台壁垒,更容易达成隐性的垄断协议或者滥用市场支配地位,限制和排除市场竞争,损害消费者利益,妨碍数字经济的健康发展。因此,应当尽快修订《中华人民共和国反垄断法》,将数据集中度和数据处理能力作为反垄断考虑因素,强化数据反垄断执法。
4.4 推动形成数据跨境流动国际规则
数据是数字经济的“石油”。跨国公司出于业务全球布局的需要,或者为降低成本实行外包服务的需要等,数据跨境流动不可避免。随着数字贸易快速增长,各国数据政策与法律带来的冲突与日俱增。只有通过国际合作与协调,让国家在制定本国政策框架的同时尽可能照顾到政策的外部性,在安全和发展之间寻求平衡,促进共识,形成统一的国际规则,才能更好地形成国际市场,发挥数据生产要素的作用,让国际社会共享数字经济的红利。
我国在制定数据跨境流动规则方面,应当充分考虑我国国际地位不断提升的趋势,注重国内规则的国际化和国际影响。建议数据本地化要求的范围宜窄不宜宽,数据出境评估程序宜简不宜繁,以降低数据流动成本,推动形成有利于我国企业发展的国际数字环境。
5 结 语
当前数字经济的发展为我国经济转型和实现中华民族伟大复兴提供了千载难逢的机会。抢抓数字经济发展机遇是应对百年未有之大变局的关键。为此,围绕数据价值的开发利用和数据资源的有效配置,构建安全、开放、公平、有序的数据流通市场机制,已成为当务之急。这需要政府、企业、行业协会和个人等利益相关方共同参与,平衡国家安全、社会公共利益和个人合法权益,推动数据要素市场和数字经济的大发展。