(高富平 华东政法大学教授、法律研究中心主任)
近日,中共中央、国务院印发《关于构建数据基础制度 更好发挥数据要素作用的意见》(以下简称《数据二十条》),为我国今后一段时期内数据要素发展指明方向。数据是社会现实的映射,客观世界的数字化表达,因而纷繁复杂,多种多样。为了构建有序的数据利用秩序,《数据二十条》将数据分为公共数据、企业数据和个人信息数据,并以此为基础建构数据利用的权利义务体系。
一、数据分类的依据和意义
公共数据、企业数据、个人信息数据是按照数据生成来源为标准所进行的分类。
公共数据是各级政府部门、企事业单位在依法行政履职或提供公共服务过程中产生的数据。“依法行政履职”或“提供公共服务”的政府部门与企事业单位都是生产和持有公共数据的主体(下称“公共服务主体”)。公共数据既可以支撑公共服务主体的公共管理活动和公共服务决策行为,同时也可以为整个社会提供公共可重用的数据资源,成为重要的数据要素供给来源。
企业数据是企业在生产、经营、管理过程中生成并控制的、不涉及个人信息和公共利益的业务数据。企业数据一般被企业所实际管理、控制,但是在使用中往往被公开,因此不完全属于商业秘密范畴。企业可利用内部数据同时融合外部数据进行计算分析,支撑企业智能决策,促进创新,具有明显的经济价值。
个人信息数据是依据数据集中是否包含个人信息所进行的分类。个人信息是与已识别或者可识别的自然人有关的各种信息,其中有些信息本身指向个人或者直接关联到个人,如姓名、身份证、指纹、面部信息、数字ID等(称为识别符),其余的信息本身不具有识别个人身份的属性,但通过结合分析或关联分析也可以使信息或数据集指向某特定自然人。个人信息上承载着人格权益和个人信息权益,保障这些权益不受侵害是一切数据利用行为的前提。
二、公共数据开放利用创新政策
公共数据是重要的生产要素,可以通过公共服务主体之间的共享和面向社会进行开放实现其价值。公共数据共享可以减少公共数据的重复采集,改进公共数据的一致性、真实性和完整性,以提升公共行政管理能力、精准决策能力和公共服务效率。公共数据开放的目的是为社会主体提供可机读、可重用的数据,为智能决策提供基础性公共数据资源。数据共享和开放的目的、范围和要求不完全一致,但也有共同的治理原则与要求,需要统筹公共数据治理活动,有组织地实施共享和开放,确保数据共享和开放利用的安全有序。
为加强公共数据开放利用的力度,《数据二十条》提出了三个新举措:
其一,统筹授权,推进数据开放。数据开放是在承认公共数据生产者的管理权基础上施加的一项义务,统筹授权意味着在统一开放政策、规则和规划下,允许公共服务机构根据数据行业特征、用途等因素实施开放。可以建立公共数据开放平台,但是公共数据开放义务主体仍然是各公共服务机构。在统一规划下,由公共服务机构自主管理的公共开放,可以激发数据开放活力,增加公共数据的有效供给。
其二,“原始数据不出域、数据可用不可见”。数据存在隐私和安全风险,数据使用不易监督和控制,因此数据开放在实践中存在保守现象,“能不开放则不开放”。为了减少对数据安全和合规风险的担忧,《数据二十条》提出“原始数据不出域、数据可用不可见”新方式。当前,数据流通交易中也正在探索相关措施:比如,公共服务机构单独或联合进行数据治理和汇集,开发数据模型,形成计算分析结果等数据衍生产品向社会提供或许可使用;再比如,建立安全计算环境,允许适格的研究机构甚或企业组织在该计算环境中运算数据,获得计算结果。前者属于原始数据形成产品的交易;后者是在特定环境下原始数据的计算使用,均实现了原始数据的计算价值,但又没有脱离原公共机构控制的数据系统(域)。推行这样的开放措施,可以大大推动数据开放利用的范围。
其三,公共数据可以有条件开放使用。在公共管理和服务过程中形成的数据并不当然地能够开放,要开放数据必须进行清洗、分类、归集和注释等治理工作,这需要巨量的成本投入。因此,公共数据开放是数字经济时代的公共基础设施,目的是满足社会对基础数据资源的需求。因此,《数据二十条》依据公共数据使用目的,采取不同开放模式:用于公共管理、公益事业的公共数据,采取有条件无偿开放;而用于产业发展、行业发展的公共数据则采取有条件有偿开放。两种开放方式实质上是采取受益者负担公共数据治理成本的原则,在满足公共利益本身需要的同时,促进公共数据转化为生产要素,让需求者可以获得可用且好用的公共数据资源。
三、企业数据确权、授权新策略
企业是数据转化为生产力的动力之源,同时也是推动数据要素化利用的根本。《数据二十条》按照价值创造受保护的原理,赋予企业数据持有者权,以构建安全有效的企业数据利用秩序。为此,《数据二十条》提出以下三种措施:
其一,建立数据持有权制度。企业数据源自于企业生产经营活动。为了从数据中提炼有价值的信息以支撑决策,企业还需要对数据进行治理,形成具有一定质量的、可计算使用的数据。企业创制的有价值的数据应给予保护,但若明确为所有权,不仅难以界定其边界,而且有过度保护之嫌。数据持有权的基础是劳动投入,持有者可以使用、许可他人使用数据并获得收益,但对数据本身并不享有排他支配权,只有权禁止不当获取或使用数据以侵害其合法权益的行为。数据持有权是平衡各方利益,合理可行的数据产权制度安排。
其二,赋能中小企业。平台型企业、行业龙头企业一直站在数字化的潮头,聚集了大量数据,具有利用大数据,实现数据驱动发展的能力,而中小企业面临数字技术应用能力弱、获取数据难等发展困境。为改变中小企业在数字化转型中的弱势地位,赋能中小企业,《数据二十条》提出“引导行业龙头企业、互联网平台企业发挥带动作用,促进与中小微企业双向公平授权,共同合理使用数据”。这实际上是鼓励平台型大企业依据公平互利原则与中小企业分享数据,在赋能中小企业的同时促进数据价值的更大实现。
其三,培育数据服务机构。数据要素化使用需要相应的数据科学知识和技术,但并非所有企业都具备这样的能力。同时,数据汇集治理、流通交易、挖掘分析也均需要相关的专业服务,尤其是需要根据行业或领域特点制定相应的标准,搭建不同的平台,以实现数据要素化、产品化和市场化的利用。因此,《数据二十条》提出支持第三方机构、中介服务组织加强数据采集和质量评估标准制定,推动数据产品标准化,发展数据分析、数据服务等产业。
四、探索个人信息数据利用新方式
对于承载个人信息的数据,必须在保护个人信息权益的前提下采取多种方式,促进个人信息数据的合理利用。《数据二十条》在坚持《个人信息保护法》保护个人信息权益的原则下,试图推动个人信息数据多种方式的规范使用,即“按照个人授权范围依法采集、持有、托管和使用数据”。《数据二十条》提出三条新措施:
其一,建立受托人制度。由于个人在提供数据给企业使用后,很难监督和控制使用者的后续使用行为,也很难维权。在域外,出现了淡化个人作用,直接给数据使用者施以信义义务,并由专门机构监督管理的“个人数据信托”实践。因此,《数据二十条》提出探索由受托者代表个人利益,监督市场主体对个人信息数据进行采集、加工和使用的机制,即是中国版的个人数据“信托”制度。受托人制度有利于个人信息权益的保护,规范个人信息数据的使用行为。
其二,涉及国家安全的特殊个人信息数据由主管部门依法授权使用。当个人信息数据涉及国家安全时,个人权益应当让位于国家利益,因而不能完全由个人意志决定其使用。主管部门依法授权管理特殊个人信息数据的使用行为旨在确保使用不危害国家安全。但是,哪些数据是涉及国家安全的特殊个人信息数据,尚待进一步政策明确。
其三,个人信息数据匿名化作为个人信息安全和隐私安全手段。匿名化是去除数据集中直接关联个人的信息,促进个人信息数据利用的重要制度。但是,在存在重新识别风险的情形下,去除哪些信息能够在预防隐私风险的同时保留数据集的一定效用,应当因行业、领域和应用场景不同而予以区别。《数据二十条》要求公共服务领域的个人信息数据匿名化处理在技术手段上进行创新,在保障信息安全和隐私安全前提下,促进个人信息数据在公共服务领域的应用。这也将带动匿名化技术在其他相关领域的应用与实践。