忽如一夜春风来,千树万树梨花开。
唐代诗人岑参的诗句,正是近几年国内大数据领域立法状况的真实写照。从《民法总则》111条关于个人信息保护的原则规定,到《消费者权益保护法》第29条明确经营者有义务维护消费者信息安全,从网络空间治理基础性法律《网络安全法》的制定,到《信息安全技术个人信息安全规范》中对个人信息保护的规范化,无不显示出立法者对于大数据领域的高度重视。
而在本周,大数据领域又出重磅新规。国家互联网信息办公室正式发布《数据安全管理办法》,并向全社会公开征求意见。毫无疑问,该规定正式施行后,将成为大数据领域的又一重要规范性文件。
《数据安全管理办法》(下称“管理办法”)有何亮点?大数据领域近几年频频立法,这些法规到底说了些什么?周公将尝试用最简洁明了的方式,为您解答这些问题。
1、《管理办法》的主要内容
本次面向社会征求意见的《管理办法》分为总则、数据收集、数据处理使用、数据安全监督管理和附则五个章节,共计40个条文。总体而言,我们可以从用户(数据主体)和企业(数据控制者)两个视角,将《管理办法》的主要内容概括为以下两个方面:
一方面,《管理办法》赋予用户更多权利。例如,用户有权向网络运营者查询、更正、删除个人信息;企业因业务需要确需扩大个人信息使用范围的,应当征得个人信息主体同意等。
而尤其值得关注的,是《管理办法》第23条赋予用户对于定向推送内容的自主选择权。该条款规定:
网络运营者利用用户数据和算法推送新闻信息、商业广告等,应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
相信许多读者都曾有过这样的体验:在某APP里搜索某一关键词后,APP会根据这一搜索记录,自动向用户推送相关内容。例如搜索“篮球”,可能被推送NBA、世界杯等体育相关内容,搜索“小龙虾”,可能被推送各类美食节目。而用户在使用APP时,并不知道哪些是内容是定向推送的,只能选择被动接受推荐内容。
而新规一旦实施,用户不仅能直观了解定向推送内容,而且还可以主动选择关闭,且网络运营者有义务删除已经收集的设备识别码等用户数据和个人信息。在国内主流网络平台都已普遍采用算法推荐的背景下,这一新规必然会对各大互联网平台产生不小的冲击。
另一方面,《管理办法》也要求企业承担更多义务。例如,要求企业在通过网站、应用程序等产品收集使用个人信息时,应当分别制定并公开收集使用规则,且收集规则应当明确具体、简单通俗、易于访问;又例如,企业从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务等。
我们可以从“用户”和“企业”这两大主体的角度入手,理解包括《管理办法》在内的法规和判例。事实上,自“大数据”这个概念诞生之日起,它就与用户和企业这两大主体密不可分,也始终绕不开两大难题:
1、作为用户,如何在享受大数据带来的便利的同时,保护自己的个人信息不被泄露?
2、作为企业,怎样利用用户数据才具有正当性?数据开发利用的合法边界到底在哪里?
2、用户视角:个人信息保护
大数据立法与我们的日常生活息息相关。近年来,由于网络骚扰、推销、诈骗等现象的盛行,如何保护个人信息数据已成为公众热门话题。在2016年的“徐玉玉案”中,诈骗分子正是通过个人电话信息实施诈骗行为,骗走了受害者9900元的学费,以致其伤心欲绝,心脏骤停而不幸离世。
而“Facebook8700万用户数据泄露”“支付宝账单”等一系列事件,也给广大用户们敲响了警钟:在你动动手指、享受方便的同时,你泄露的个人信息正在成为别人的赚钱工具,甚至会威胁到你的个人安全。因此,对于直接识别出特定个人的数据信息加强监管和保护,已经成为全社会的共识,国内现有立法也主要集中在这一方面。
首先,在《民法总则》中,明确了个人信息的法律地位,并要求任何组织和个人应当依法取得他人个人信息并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
同时,提供数据的用户,既是相关服务的消费者,也是网络服务的提供对象,因此,《消费者权益保护法》和《网络安全法》中对个人信息保护做了更为细致的规定:
“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。”
——《消费者权益保护法》第二十九条
“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
——《网络安全法》第二十二条
最后,在2015年11月1日实施的《刑法修正案(九)》中,也加强了对个人信息保护的力度。
刑法修订前,个人信息案件的犯罪主体限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。随着云计算、大数据技术的广泛应用,泄露个人信息的事件可能发生于社会生活的很多领域。为此,刑法修正案(九)将规范对象扩展到所有人,并增加了量刑级别,将法定最高刑期从三年提高至七年。这一修订强化了对侵犯信息安全犯罪的打击力度,对于保护我国公民信息及维护网络安全起到了积极的促进作用。
3、企业视角:数据权利
相比于立法对于用户个人信息保护的明确规定,现行法律对于企业享有的数据权利着墨不多。企业对收集来的大数据享有什么权利?大数据生意的合法边界在哪里?回顾既往的司法判决,我们能找到一些答案。
历数国内与数据竞争相关的诉讼,主要有以下6起:
除了上述诉讼案件外,近年来与大数据有关的争议还包括淘宝屏蔽百度搜索、顺丰与菜鸟有关物流数据接口的争议、新浪与今日头条有关微博内容爬取的争议等。这些争议无一例外,均与平台的海量数据有关。
司法实践中,法院倾向于肯定企业对于其收集积累的数据享有的权益,尤其是竞争法意义上的财产权益。在新浪诉脉脉案中,法院指出:“经过用户同意收集并进行商业利用的用户信息不仅是被上诉人微梦公司作为社交媒体平台开展经营活动的基础,也是其向不同第三方应用提供平台资源的重要商业资源”。
而在淘宝美景案中,二审法院同样认为:“上述数据分析被作为“生意参谋”数据产品的主要内容进行了商业销售,可以为淘宝公司带来直接经营收入,无疑属于竞争法意义上的财产权益;同时基于其大数据决策参考的独特价值,构成淘宝公司的竞争优势;其性质应当受到反不正当竞争法的保护”。
尽管司法实践中已经肯定了企业对数据享有一定权利,但这种“控制数据”权利的法律基础还有待讨论:一方面,数据本身只是大量未经加工的原始资料的集合,价值密度较低,且难以体现创新成果,因此不属于知识产权的范畴;另一方面,“企业收集的数据来源于用户”这一客观事实,也难以成为数据财产权利的基础。因此,如果认为企业对其控制的大数据享有某种权利,就必须直面一个问题:这种权利的法律/事实来源是什么?
周公以为,劳动是一切财产权的正当性基础,也是企业数据控制权利的来源。用户提供信息的过程只是数据的“产生”,而企业投入人力物力对信息进行加工的过程则是数据的“生产”。企业享有的权利实质上是一种因生产数据、加工数据而产生的财产控制权利,正是企业为生产、加工数据而投入的劳动,使得海量、低价值密度的数据集合,真正变成受法律保护的数据产品。
正如法院在淘宝诉美景案判决书中所言:
网络大数据产品不同于原始网络数据……经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,最终呈现给消费者的数据内容,已独立于网络用户信息、原始网络数据之外,是与网络用户信息、原始网络数据无直接对应关系的衍生数据。网络运营者对于其开发的大数据产品,应当享有自己独立的财产性权益。
