罗培新 | 数据立法的基本范畴:数据权属及数据处理的头部、中部及尾部规则
《中国法律评论》于2014年3月创刊并公开发行,由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊,中文社科引文索引(CSSCI)来源期刊,人大复印报刊资料重要转载来源期刊。
刊号:CN10-1210/D.
订刊电话:010-83938198
订刊传真:010-83938216
罗培新
法学教授
• 保护个人信息的目的是保护人格权利益,避免个人身份被不当关联和识别。只要能够实现这一法益目的,对于“信息”与“数据”的语义,在法律上不作区分,以避免认知混乱,实为更优选择。事实上,欧盟《通用数据保护条例》(GDPR)及当下我国诸多法律规定,亦未作区分。
• 数据权属,必须在法律框架内解决,只要不与内涵及外延均已确定的法律概念相混淆,赋予数据权利主体以“数据权”(rights of data)或“数据权益”(rights and interests of data),均无不可,就像可以称“股权”也可以称“股东权益”那样。
• 数据具有非排它性、价值整体性及兼具人格利益与财产利益双重属性。必须确立人格权利益为个人信息保护的核心价值,明确公共信息国家所有、地方政府管理的安排,明确市场主体对于依法取得的个人信息经脱敏处理后享有财产权。
• 知情同意原则适用于个人信息,即企业在收集个人信息时必须明确告知使用场景。为促进数据产业发展,如信息经脱敏处理已经无法关联到人,不再属于个人信息,可以合理地运用于商业场景,不再需要取得个人的同意,所获得的收益,也无须分配给原始数据权人。
• 信息处理,应当就两个维度做出区分:其一,区分公共主体和市场主体。通常情况下,公共主体为了维护公共利益,对其处理信息的要求低于市场主体。其二,区分头部(收集)、中部(存储、使用、加工、传输)、尾部(提供、传播、公开)规则。就法益保护而言,尾部规则要求最高,头部规则次之,中部规则最弱。地方数据立法,可以细化“合法、正当、必要”原则,采取反向立法方式,就何种情形背离了该原则、何种情形不吻合“告知同意、法定例外”,做出细致的规定。
• 政府依据特许原则,向少数技术能力及合规水平符合要求的企业开放公共数据,由其根据市场需求进行加工,从而形成质效更高的数据开放,当无不可。在此过程中,政府收取一定的服务费用,提供加工服务的企业向市场收取一定的商业费用,应为法之所许。其逻辑在于,全体纳税人不应当为个别主体的个性化需求买单。
本文为教育部重大攻关项目《我国社会信用重大立法问题研究》(19JZD017)的中期成果。
大数据时代,我们经常遇到这样的场景:
张三走进某餐馆,要点餐,结果被告知,必须扫桌上的二维码,在层层确认“同意”之后,才能开始点餐。张三很纳闷,吃个饭也要这么麻烦吗?
李四在某电商平台浏览服装信息,在某款服装上停留了较长的时间。接下来的日子里,不断有商户向自己推送类似款式的服装广告。李四顿时觉得,一定是电商平台把自己浏览服装的信息“卖”给商户了。
王五走进某商店,发现头顶上安装了一个探头,居然可以人脸识别,开始以为是公安装的,目的是维护城市安全,后来才知道是商家私自装的,去与商家理论。商家说,这是为了记载客户的消费偏好,更好地为客户服务。王五听了,仍然觉得不舒服,但也说不出个所以然来。
赵六所在的小区,要在小区里的每个门栋装人脸识别设备,以后刷脸就可以进出楼宇了。赵六很高兴,说以后拎着垃圾袋进出,刷一刷脸就可以了,不用腾出手来,方便多了。可偏偏有人不乐意,说这样会带来安全隐患。问题来了,小区装还是不装?
田七所在的平台企业,多年来通过提供服务,沉淀了大量的客户信息,通过脱敏处理后,看不出任何个人信息,而是形成了可以动态预测行业发展趋势的大数据,该企业想将该数据记账并流转交易,但又担心该数据权属不在自己。
某政府大数据中心拥有海量公共数据,没有时间和经费做优化处理,正在考虑选定若干家技术能力强及合规水平高的企业,向其开放高质数据,由其加工数据后向社会开放,进而提高数据开放的质效,但苦于法律没有规定。
……
近年来,随着信息技术日益运用于人们的生产生活,数据爆炸式增长,海量集聚,对经济发展、政府治理、民众生活持续产生着重大而深刻的影响,也产生了众多亟需破解的难题。2017年12月8日,习近平总书记在中共中央政治局第二次集体学习时强调指出“要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度”。2020年3月,中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,将数据与土地、劳动力、资本、技术等传统要素一起,并列为五大市场要素。2021年3月15日,中央财经委员会第九次会议重申要加强数据产权制度建设。
数据立法,迫在眉睫。而针对新事物的立法,总是发端于地方,积累足够多的经验后,再上升为国家层面的法律。这是理性务实的做法。
立法首先必须回答一个问题:什么叫信息,什么叫数据,在法益保护意义上,是否一定要对两者做出区分。
“信息”还是“数据”,立法必须纠结于此吗?
对于普通人来说,信息与数据,可谓傻傻地分不清。不仅如此,作为语言规范的词典、甚至是作为行为规范的法律,也经常不作区分。
例如,商务印书馆第五版的《现代汉语词典》,将“信息”解释为两种含义:一种是“音信、消息。”第二种是“信息论中指用符号传送的报道,报道的内容是接受符号者预先不知道的。”后一种解释,融入了价值论,即对于接受方而言具有增量价值的方才称为信息。对于“数据”,《现代汉语词典》的定义是:“进行各种统计、计算、科学研究或者技术设计等所依据的数值。”将数据与数值划上等号,显然与大数据时代的宽泛数据定义不相匹配。或许正因为如此,我国各地频频出现信息与数据混用的情形,有的地方称建立了信息库,有的地方则称建立了数据库。
即便是以严谨著称的立法领域,混用情形亦屡屡出现,中外均不乏其例。欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)将个人数据(personal data)定义为“与识别或可识别自然人相关的任何信息(any information)。看得出来,根据GDPR,“个人数据”等同于我国的“个人信息”。欧盟GDPR在全球拥有广泛的影响力,此种立法例也影响着诸多国家的选择。
2018年我国通过的《电子商务法》的第25条规定,“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”非常显见的是,我国的立法者对于“数据”与“信息”并没有做区分,是混同使用的。
2017年6月1日起生效的我国《网络安全法》第76条规定,网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。由此可以看出,“网络数据”的着眼点在于“网络”途径,而“个人信息”的关注点则在于与个人相关联。
遵循类似的逻辑,《民法典》专设第六章“隐私权和个人信息保护”,其结构安排是,对个人信息予以界定(与《网络安全法》类似,是指能够识别自然人个人身份的信息),然后将个人信息分为隐私信息(短信、微信聊天记录,身体健康状况,人脸识别等生物特征信息)、私密个人信息(出生日期、身份证件号码、家庭住址等,适用隐私权保护,未作规定的,适用个人信息保护)、非私密个人信息(例如自然人的姓名、毕业院校等)。从这些规定看,个人信息制度重在保护自然人的人格权利益。另外,很有意思的是,《民法典》第一百二十七条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。从民法典的以上规定看,并没有对信息与数据进行区分。无论是数据还是信息,都依法受保护。而不是像某些专家所言,数据重在安全管理,而信息重在保护。
由上可知,信息与数据的混用已呈常态,普通人经常将两者等量齐观,认为信息就是数据,数据就是信息。立法也未严格区分,或者本来即不打算做出区分。或许从数据专家的角度看,数据与信息的确存在差别。数据可以被界定为“对客体(如事实、事件、事物、过程或者思想)通过电子化手段进行描述和归纳后生成的具有一定意义的数字、字母、符号和模拟量的通称”,它依托于计算机系统、以代码的形式而存在。简单地说,数据必须代码化、可机读。然而,如果通过这些数据可以识别自然人个人身份,可以将这些数据称为个人信息吗?根据我国民法典,显然是可以的。因而,在保护人格权利益这一法益价值上,个人信息与个人数据并没有区别。
基于以下原因,立法时不宜严格区分数据与信息:
其一,立法是写给普通人看的,若非必要,不宜运用过于专业的术语,以有利于法律的遵循。
其二,保护个人信息的目的是保护人格权利益,避免个人身份被不当关联和识别,只要实现这一法益目的即可,至于用什么词,并不重要。
其三,不同的法益,通过不同的法律获得保护。例如,你偷了别人一个硬盘,首先在物理层面侵犯了他人的财产权,如果你将硬盘里的一篇未发表的文章发表,则侵犯了他人的知识产权,如果还公开了硬盘里的聊天记录或其他私密文件,则侵害了他人的个人信息权益。因而,从保护效果的角度,实不必纠结“数据”抑或“信息”的语词的选用。
个人信息,究竟承载了哪些权利?
我国《民法典》第一百一十一条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
此条是概括性规定,值得注意的有两点:其一,民法典并未引入“个人信息权”这一概念,或许是因为其内涵与外延均不明晰。其二,法律以“依法”做了许可性指引,又以“非法”作了禁止性指引,为其他单行法的具体规定留下了空间。
如上所述,在法律意义上,姑且将“信息”与“数据”等量齐观,那么,数据的权属及其内涵及外延,又当如何确定?
数据的权属,是不折不扣的法律问题,必须在法律框架内解决。从立法技术上说,只要不与内涵及外延均已确定的法律概念相混淆,赋予数据权利主体以“数据权”(rights of data)或“数据权益”(rights and interests of data),均无不可,就像我们可以称“股权”也可以称“股东权益”那样。另外,对于“数据权”或“数据权益”这一形态,立法者应当保持开放的立场,正如我们此前在物权与债权之外,随着经济社会的发展,产生出了股权、知识产权等兼有人身权与财产权双重属性的权利那样。
数据(信息)权益与物权、债权、人格权等具有明晰且确定的内涵与外延的权利不同,它具有以下特征:
其一,非排它性。与作为物权客体的有形财产不同,数据不具有物理上的排它性,即张三占有了某物品,即排除了其他所有人对该物品的占有。相反,数据可以通过电子方式迅速复制和传播,客观上实现被多人同时占有的法律效果。因而,要求赋予数据权人以排它性控制的权利,并不现实。
其二,价值整体性。在经济效用方面,已经匿名化的数据,已经不能称为个人数据,个体无价值(例如,商家无法据此数据实现精准营销),只有汇总形成大数据(big data),才具备价值。而基于个人信息的交互性、分享性、公共性,不宜确立个人信息主体的排它性权利,也就是说,不宜赋予个人信息主体对于已经脱敏后的数据拥有财产权,否则将减损信息的公共价值,降低政府治理效能。
值得关注的是,根据申军《法国及欧盟视角下个人数据的法律性质》的研究,法国国家数字委员会(Conseil national du numérique)在2014年5月出具的一份意见中,明确拒绝承认个人数据的财产权。法国最高行政法院(Conseil d’État)在其2014年的年度报告中,也不推荐赋予个人对其数据拥有财产权,其中一方面的原因是,除非是名流人士,单一个人的数据之价值其实非常有限,至多只值几十欧分;即便每个人的数据价格会在未来数年增长可观(直至几个欧元),相关数据赋予个人的财产价值仍会不值一提……在法国目前的法律框架下,不存在个人对其个人性质数据的财产权,“数据财产权”的概念也无法律地位。反之,一种信息自主决定的权利(droit à l’autodétermination informationnelle) 在法国2016年10月7日颁布的《数字共和国法》中得到认可。前述法律第54条规定: 在该法规定的条件下,任何人均有权决定和控制与之相涉的个人性质数据的用途。法国1978年1月6日的《信息技术与自由法》的第1条因此被予增补。
由此不难观出,法国的立场是,并不赋予个人数据财产权,但严格保护个人数据的人格权利益,若侵犯了这一人格权,则可主张侵权损害赔偿。但法国似乎并没有回答数据经脱敏之后的权属问题。
其三,人格权与财产权双重属性。数据权益具有人格权利益与财产权利益双重属性。个人信息(数据)在脱敏之前,要严格保护信息主体的人格权利益。我国《民法典》第一百一十一条规定,自然人的个人信息受法律保护,并专设第六章“隐私权和个人信息保护”做了进一步的规定,保护的均是信息主体的人格权利益。此前全国人大2009年2月通过的《刑法修正案(七)》,首次规定了侵犯公民个人信息罪,2015年8月通过的《刑修正案(九)》又对此进行了完善,对非法获取,非法出售、非法提供公民个人信息罪的犯罪主体进行了扩大,对获取的方式不做限制,而且提高了法定刑。司法实践中,非法贩卖个人信息五十条就可以入罪,也均意在于保护信息主体的人格权利益。
类似地,根据申军《法国及欧盟视角下个人数据的法律性质》的研究,依照法国法,信息自主决定的权利完全属于人格权的范畴。人格权本身是“非财富性权利”(droits extra-patrimoniaux)的一种。“非财富性权利是指不具有金钱或经济价值的诸类权利,与持有权利的个人紧密相连。此类权利是不可转让的、无诉讼时效的、不可承继的、不受债权人扣押的,其形成了个人本身的延伸、个人人格的延展,不被定性为财产,不构成个人财富的一部分,原则上不得成为商业交易或经济运作的对象。因此法国的个人数据保护,不依赖于一种财产性逻辑,而是一种与人有关的权利的逻辑:通过捍卫个人数据,法国法意图捍卫的不是一种财产、一种经济价值,而是个人本身,是其行事自由和其私人生活的操行。”
与之相对应,个人数据在经脱敏处理形成大数据之后,显然具有财产属性,能否赋予相关企业以财产权益,则是立法要解决的问题。
数据权属:数据立法绕不开的问题
数据立法,数据的权属,是绕不开的问题。它包含以下两个方面:其一,数据权益归谁所有;其二,数据权益的外延如何确定。这两个问题都极其复杂,特别是在权属问题属于法律保留事项的情况下,地方立法要破题,尤其艰难。
对此,有一种较为现实的路径,即地方立法规定在什么情形下,哪类主体可以针对数据实施什么法律行为,收益与负担如何分配……然而,即便采取此种虚置问题的立法方式,在法理上仍必须回答数据权属问题,因为这是后期处理数据的前提。
笔者认为,鉴于数据的非排它性、价值整体性及兼具人格利益与财产利益的属性,立法可以确认以下方面:
其一,确立人格权利益为个人信息保护的核心价值。立法应当明确,受保护的个人信息,保护的对象应当是人格权利益,而不是财产利益,因为经脱敏匿名化后,信息个体无财产价值,这可以成为立法的共识。有人或许会认为,个体信息仍有价值。例如,消费者A的网购信息被平台推送给了商家B,商家B向平台支付0.1元,然后向消费者A推送相关商品广告。这表明,个体信息仍有价值。然而,必须认识到,此类信息未经脱敏处理,仍属个人信息,平台未经消费者A同意,将该个人信息“卖”给商家B,已然侵犯了消费者A的权利。
其二,明确公共信息国家所有、地方政府管理的安排。我国《民法典》第二百五十条设定了自然资源的国家所有权,即“森林、山岭、草原、荒地、滩涂等自然资源,属于国家所有……”,为明确具体的行权主体,立法应明确,地方政府承担辖区内公共数据的采集、占有、使用与管理的职责。此种安排与国企体制相类似,即国有企业可以分为央企与地方国企,地方政府与公共机构在履职活动中形成的地方数据,可由地方政府依法管理。
其三,明确市场主体对于依法取得的个人信息经脱敏处理后享有财产权。虽然国家立法并未明确这一点,但国内法院通过竞争法的运用,逐步认可大数据成果的财产权益性质,并开始承认企业对其经营的用户信息的权益,如在新浪诉脉脉案中,法院认为用户信息是新浪微博作为社交媒体平台开展经营活动的基础,也是其向第三方应用提供平台资源的重要商业资源,第三方未经用户及新浪微博的同意,不得使用新浪微博的用户信息,明确了开放平台模式下用户信息使用的三重授权原则。2017年以来,司法实践的一种新趋势就是试图激活《反不正当竞争法》第2条的一般条款中的“合法权益”,以抽象的不正当竞争行为名义,对于非法侵入、使用企业数据等行为加以排除和救济。在一些案件,甚至直接以企业对其数据是否存在投入作为给予保护与否的前提,这符合“汗水”原则或“捕获”法理。
例如,在北京阳光数据公司诉上海霸才数据信息有限公司技术合同纠纷案中,法院认定原告对于诉争金融数据库付出了大量投资,因此应获得保护;在上海钢联电子商务有限公司诉上海纵横今日钢铁电子商务有限公司、上海拓迪电子商务有限公司的不正当竞争纠纷案件中,上海市第二中级人民法院同样判定原告对其投入了大量人力、物力、财力和时间搜集编汇的钢铁价格数据信息具有合法权益。
这里值得研究的问题是:企业对其依法收集的个人信息,经过脱敏处理后形成大数据,在使用时是否需要征得原始数据权人的同意?如果未经同意使用该数据,是否侵犯了原始数据权人的权利?使用后获得的收益,是否需要按一定比例分配给原始数据权人?
笔者认为,知情同意原则适用于个人信息,即企业在收集个人信息时必须明确告知使用场景。如信息经过脱敏处理已经无法关联到人,不再属于个人信息,则可以合理地运用于商业场景,不再需要取得个人的同意,所获得的收益,也无须分配给原始数据权人。
数据处理头部规则:应当如何收集信息
在完成数据确权之后,如何分配利益与负担,完成数据处理规则,就成为数据立法的关键。
我国《民法典》第一千零三十五条规定了个人信息处理的原则和条件,即处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
民法典以“处理”一词,涵摄了围绕个人信息而发生的所有法律行为,必须遵循“合法、正当、必要”的处理原则。处理信息,应当在两个维度方面做出区分:其一,区分公共主体和市场主体。通常情况下,公共主体为了维护公共利益,对其处理信息的要求低于市场主体。其二,区分头部(收集)、中部(存储、使用、加工、传输)、尾部(提供、传播、公开)规则。就法益保护论,尾部规则要求最高,头部规则次之,中部规则最弱。
接下来,详细说一说信息处理的头部规则,即收集规则。
第一,遵循合法、正当、必要原则
合法原则不难理解,举例而言,基于维护校园安全的需要,学校可以在公共区域安装摄像头,但是在卫生间区域,则绝对不能安装摄像头,因为有可能会拍到私隐部位,侵犯公民隐私权。再如,商家可以出于维护商业秩序、保护自身财产的需要,在经营场所安装摄像头,但不得带有人脸识别功能,如果将人脸识别特征数据保留、存储并使用,则属典型的非法采集敏感信息,侵犯了个人隐私权。
比较复杂的是正当、必要原则,我们先看一个例子:2019年8月,瑞典数据机构对当地一所高中开出了GDPR生效后的第一张罚单,原因在于该高中使用人脸识别系统记录学生的出勤率。学校的数据收集行为:其一,有违必要性原则,可以通过传统的方式来考勤;其二,缺乏正当性原则,学校与学生之间存在明显的不平等,即使已经获得了学生及其监护人同意,采用面部识别技术也无法体现数据被采集者的真实意愿。
类似地,在课堂安装人脸识别设备,通过准确捕捉学生的表情,来判断学生上课注意力是否集中;公司在公共纸巾旁安装人脸识别设备,用以计算不同员工对于公共纸巾的使用需求,显然违背了必要原则。
一些城市在推进智能小区,在进出口处安装人脸识别设备,一度备受争议。如果提供了诸如钥匙、密码验证等多种开门方式供选择,大致可以消解争议。小区管理的便利或者小区公共安全,其法益价值,并未大到足以要求业主放弃人格权利益的程度。
地方数据立法,可以进一步细化落实“合法、正当、必要”原则,就包括以上场景在内的情形,规定更为细致的规则。
第二,遵循“告知同意、法定例外”规则
我国民法典规定,采集个人信息,应当征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外。这条规定,赋予了地方立法极大的空间。首先,地方立法可以细化“告知同意”规则,或者进行反向立法,规定什么情况下不构成“告知同意”。例如,在采集时未予明示和有效告知,采取黑客式收集;在摄像区域,未设有能够清晰识别的明显提示;APP在收集定位、通讯录、通话记录时,未主动向用户明示收集行为;餐厅在提供点单及结账服务时,未能提供扫码之外的选择,从而强制性归集客户信息。特别是,在采用人脸识别技术时,未予以特别的提示。
当然,法律、行政法规还设定了“告知同意”的例外情形,即公权力机关基于国家安全、公共安全等原因,如侦办国家安全案件、刑事犯罪案件等,可以采取秘密采集的方式。此属于国家安全与公共安全优先原则。
第三,敏感信息非特定主体不得采集。如前所述,我国民法典将个人信息分为隐私信息、私密信息、非私密个人信息,其人格权法益各不相同,隐私信息与私密信息,可以统称为敏感信息,例如,个人财产信息(房产、银行账户、信贷记录等)、个人生理信息(既往病史、住院记录等)、个人生物识别信息(面部特征、手纹、指纹等)、个人隐私部位信息等,一旦泄露极易引人自然人的人格权益受损。故而,除非公权力机关出于公共利益所必需,任何市场主体均不得采集。3.15晚会曝光的某企业线下收集客户人脸识别信息,无论如何,都无法解释为出于公共利益,违法情形,昭然若揭。
在以上方面,地方立法不妨在法理的指引下,列示一些不得收集个人收息的情形,以收细化落实之效。
数据处理中部规则:应当如何加工及使用信息
根据我国民法典,信息处理的中部规则,大体上包括存储、使用、加工、传输等环节。中部规则,既不涉及收集,又不涉及向社会公开,故这方面的规则应当比较简单,限制性条款应当比较少。
对于公共数据而言,以(通过大数据中心或平台)共享为原则,法定保留(例如,除非出于国家安全及案件侦破需要,不得获取通讯信息)为例外。深圳的做法值得借鉴:信息需求方向大数据资源管理中心提出需求,中心转给信息供给方,如果顺利得到了,这一共享环节即告结构。如果没有获得,就由法治、保密、信息化主管部门、监察部门等组成小组,认定拒绝共享数据是否具有正当性,并将这一过程纳入绩效考核。地方立法可以借鉴深圳的做法,写实写细共享规则。
对于非公共数据而言,所有的环节均以保护个人信息主体人格权利益为底线要求,存储环节主要防泄露,脱敏之前的使用要取得信息主体的明确授权。而在对数据进行脱敏处理之后,主要考虑的问题是数据安全。这个过程,是数据企业付出汗水、进而可以主张财产权益的过程。
数据处理尾部规则:应当如何公开和传播信息
根据我国民法典,信息处理的尾部环节,主要包括提供、传播和公开。同样地,尾部规则也要区分公共数据与非公共数据。
公共数据主要涉及的是开放问题。公共数据体量巨大、浩如烟海。不同的公共数据,其安全管理、信息保护、开发应用的要求,均存在较大的差异。例如,上海市所有星级饭店的基本概要数据,任何人都可以下载利用,属于安全管理要求较低的信息,也不存在特殊的数据监管要求。再如,上海公交车行驶路线和到站情况的实时数据,属于动态、持续性的数据,对使用人的安全管理和技术能力有较高的要求,对使用场景和后续使用监管也有严格的限制。
为此,在确立公共数据的开放规则时,宜确立分类分级管理制度,要求主管部门结合公共数据安全、个人信息保护和应用要求等因素,制定公共数据分级分类规则。数据开放主体应当按照分级分类规则,结合行业、区域特点,制定相应的实施细则,并对公共数据进行分级分类,确定开放类型、开放条件和监管措施。这是地方立法很大的空间。
对涉及商业秘密、个人隐私,或者法律法规规定不得开放的公共数据,列入非开放类;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;其他公共数据列入无条件开放类。当然,非开放类数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,仍然可以列入无条件开放类或者有条件开放类。
数据的分类,与数据的获取方式以及后续的监管措施息息相关。对列入无条件开放类的公共数据,任何自然人、法人和非法人组织可以通过开放平台以数据下载或者接口调用的方式直接获取,同时鼓励其进行数据的传播、使用。对于列入有条件开放类的公共数据,数据开放主体应当通过开放平台公布利用数据的技术能力和安全保障措施等条件,向符合条件的数据利用主体开放。同时,要求数据开放主体与数据利用主体签订数据利用协议,明确数据利用的条件和具体要求,并按照协议约定通过数据下载、接口访问、数据沙箱等方式开放公共数据。
这里需要探讨的一个问题是,政府向少数技术能力及合规水平均值得信赖的企业开放数据,由其根据市场需求进行加工,从而实现更高水平的开放,这样做是否涉嫌非法设定行政许可?是否涉嫌以行政手段限制竞争?就法理而言,我国《行政许可法》第12条规定,公共资源配置以及直接关系公共利益的特定行业的市场准入等,可以设定行政许可。向少数企业开放数据的做法,属于行政许可中的特许制,地方性法规可以设定此种许可,在法规出台前,可以通过行政协议的方式达到类似效果,即满足条件的企业,政府向其开放数据,企业遵守政府的一系列合规要求。例如,数据利用主体应当按照开放平台管理制度的要求和数据利用协议的约定,在利用公共数据的过程中,采取必要的安全保障措施,并接受有关部门的监督检查。数据开放主体应当建立有效的监管制度,对有条件开放类公共数据的利用情况进行跟踪,判断数据利用行为是否合法正当。对于数据利用主体的违法行为,如采用非法手段获取开放平台公共数据、超出数据利用协议限制的应用场景使用公共数据等,主管部门有权采取限制或者关闭其数据获取权限等措施,并可以在开放平台对违法违规行为和处理措施予以公示。
与此同时,必须强化公众权益的保护,其中的一个重要方面是要建立异议处理制度。对于数据错误、遗漏的,社会公众可以通过开放平台向数据开放主体提出异议。数据开放主体经大致确认后,应当立即进行异议标注,并由主管部门在各自职责范围内,及时处理并反馈。对于社会公众认为开放数据侵犯其商业秘密、个人隐私等合法权益的,可以通过开放平台告知数据开放主体采取中止开放的措施,并提交相关证据材料。在处理方面,可以借鉴互联网法律领域的“红旗原则”,数据开放主体收到相关材料后,认为必要的,应当立即中止开放。同时,对相关证据进行核实,再根据核实结果,分别采取撤回数据、恢复开放或者处理后再开放等措施,并及时反馈。
另外,公共数据开放是否可以收费?这一问题争议极大。
有观点认为,根据《政府信息公开条例》第42条的规定,行政机关依申请提供政府信息,不收取费用。但是,申请人申请公开政府信息的数量、频次明显超过合理范围的,行政机关可以收取信息处理费。后面一款的规定,主要是为了防止滥用信息公开的权利。类推可知,公共数据开放,也不得收取费用。
另有观点则认为,如前所述,数据开放与信息公开存在很大的差异。数据开放强调数据的原始性,而原始数据开放的成本要高得多,需要对数据进行治理、更新,对系统进行维护、对使用进行监管,有的数据开放还要提供实时的、不间断的传输服务。显然,这些额外的成本比政府信息公开要高得多。
其实,此种争议在国外也普遍存在。就是否可以收费,国外的政策也没有达成一致。纽约在《开放数据政策与技术标准手册》(Open Data Policy and Technical Standards Manual)中明确了开放授权原则,除一些特别规定外,数据应当无条件地对外开放,并承诺开放数据是透明、可获取且免费的。欧盟的做法有些差异,为了弥补数据收集和维护运营的费用支出,其《政府信息资源再利用指令》规定,数据利用是可以收费的,但实行成本回收原则,即收费不得超过生产和传播数据的成本。
笔者认为,正因为数据开放与信息公开存在较大差异,在某些情况收取适当的费用是合理的。数据开放更多的带有一种服务性质,特别是数据的采集、加工、治理均有成本。在数据开放中,有些数据利用主体会提出个性化的需求,或者数据使用量特别巨大、使用时间持续较长,而且往往这些数据利用行为是出于商业目的的考虑。对此,显然不应当通过财政支出来满足商业企业数据利用的个性化需求。财政支出,就是纳税人买单。全体纳税人不应当为个别主体的个性化需求来买单。
另外,从实践来看,企业谈到收费问题时,大多数都表示愿意通过适度付费的方式来获取公共数据。目前难度在于,根据现行的财政管理制度,行政机关即使收取费用,也是实行收支两条线管理,并无法将该费用直接用于数据开放。将来比较理想的方式是成立法定机构,例如,上海市大数据中心的理想方向就是法定机构,专门负责个性化的数据利用需求,并可以按照透明、微利的原则收取适度的费用,所收费用只能用于改善数据开放的质量。而大数据中心的定位,有些类似于证券交易所这样的非营利机构,可以收取费用,但不得分配盈余。
对于非公共数据而言,在传播、公开之前,特别要重视保护信息主体的人格权利益,道理至为简单:收集是归拢,而传播则是散发。这里值得探讨的问题是,我国《民法典》第1036条规定,处理个人信息,有下列情形的,行为人不承担责任:……合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……这里的问题在于,例如“企查查”等平台将已经公开的自然人被处罚的信息归集在一起,自然人是否有权拒绝该信息被归集?笔者认为,信息既已公开,归集在一起,并不会增加传播范围,相关自然人主体无权拒绝该信息被归集,否则,极不利于数据产业的发展。
《道德经》有言,“天下难事,必做于易;天下大事,必做于细”。数据立法,即属此类,需要制度设计者本着良善的价值判断与精微的技术理性,细为设计制度规则,才能达成良好愿景。
【鸣谢】2021年4月14日至16日,为推进上海数据立法,团队成员前往深圳杭州开展调研,与政府管理部门、立法机关、大数据公司进行了座谈交流。期间,与张震、王晓妹、袁海勇、山栋明、殷仍、张继红、李晓冉等人,就立法的核心问题,一路前行,一路论辩,激烈而真诚。尽管我们尚未完全达成一致,仍然非常感谢他们对本人的启发。谨以此小文,纪念那些美好的时光。立法很难,但唯其艰难,愈显美好,值得我们砥砺前行。
推荐阅读
《中国法律评论》期刊与微信公众号
唯一投稿邮箱:
chinalawreview@lawpress.com.cn