数据利用与隐私保护的矛盾怎么解?
中国信息通信研究院数据研究中心 全湘溶 2018-11-27 人民邮电报
分享:

当今世界,正在经历一场更大范围、更深层次的科技革命和产业变革。互联网、大数据、人工智能等现代信息技术不断取得突破,数字经济蓬勃发展,数据量迅速攀升,数据维度也愈加丰富,隐私保护与数据利用、数据治理等方面的矛盾更加突出。

两起典型立法的实践

今年5月25日,《欧盟一般数据保护条例》(General Data Protection Regulation, GDPR)在欧盟地区正式生效。条例赋予用户“知情权”“修改权”和“被遗忘权”等,消费者有权知道自己的哪些数据被企业保存,如果信息错误或不完整,用户有权要求更改,用户还可以要求企业或机构删除其个人数据。市场对其评价褒贬不一,有意见认为它增加了企业合规成本,限制了中小企业的创新活力,过度严苛,实际执行过程中与初衷可能不符。

今年8月14日,巴西总统批准了《巴西通用数据保护法》(Lei Geral de Proteção de Dados Pessoais,简称 “LGPD”)。LGPD将于2020年2月15日正式生效。LGPD 是巴西首部综合性数据保护法律,对个人数据的收集、使用、处理和存储规则做了详细规定。与印度《2018年个人数据保护法案(草案)》对数据权属进行信托设计不同,LGPD第17条明确规定所有自然人对其个人数据享有所有权。规定了数据可携带权、可遗忘权以及个人数据访问权利。

LGPD与GDPR的主要差异体现在:一是LGPD进行数据处理注册的企业范围较大。二是LGPD增加了处理个人数据的合法依据。三是LGPD同意豁免规定的情形更多。四是关于数据保护官的要求存在差异。五是数据主体的权利不完全相同。LGPD规定了匿名权以及更为广泛的删除、携带和撤销同意的权利,并要求向数据主体免费提供个人数据;GDPR对数据删除权、携带权和限制处理进行了较多限制,并规定数据控制者可以在一些情况下收取费用。

一般而言,互联网是一张全球一体的网络,业务跨国是其天然的需求。各地监管立法的认识亟待协调统一,否则会造成互联网企业运作困难,小企业发展合规成本过高,甚至割据式发展。

对数据所有权、使用权与个人隐私保护的认识

数据的产生者主要享有数据产权但不能简单独享使用权。

产权是一组权利的统称,包括财产的所有权、占有权、支配权、使用权、收益权和处置权。如果数据是具有价值性、独立性、稀缺性与可支配性的资源,则具有财产利益属性。但是数据不完全是独立的,而且单个数据甚至难以体现出稀缺等特性。一般数据并不由产生者存储于其可控制的本地,数据本身也能很方便地被复制和再使用。大多数数据的产生者本身具有分享的意愿,无论范围大小,都没有改变互联互通过程中的共建共享的特征。外加数据可复制性强、转移容易,因而不能以传统的眼光甚至套用专利保护方面的法律法规来进行管理。简单禁止和无条件开放利用都不符合各关联方的利益。

数据产生者是数据的完整所有权拥有者,这是容易理解的。但因为产权是一组权利,而数据的使用权不能被一套过于传统和严格的法规限制于所有者一人,所以数据产生者不能天然地独占数据产权。加强对数据所有权的保护,最重要的是尊重数据所有者的使用意愿,充分告知并允许所有者拒绝相关使用。

需要进一步明确和加强数据采集、存储、使用者的责任。

因为企业、政府乃至个人都会成为数据采集、存储、使用者,许多情形下甚至一身兼多角。数据的利用不是零和博弈,每个人都能够成为数据利用过程中的受益者,当然也可能成为受害者。所以多方都应该强化责任。存储数据方需要落实数据保护的责任,免于被偷盗、恶意修改等;当存储数据方无法继续履行责任时,如企业破产倒闭、政府相关系统废弃等,应该及时告知用户,将数据打包发给相关用户,或在法律授权的前提下进行公开销毁。在数据所有人死亡后,这些数据归属于继承人还是数据平台,都需要进一步从法律上明确。

工商企业法人数据、政府失信执行人名单(“老赖”)等,也涉及个人,但这类数据的所有权是否属于个人,还是属于公有数据,也需要再讨论。如果把这些数据过度曝光,可能给其本人甚至周围的相关人造成不必要的伤害,如老赖的子女在学校上学、企业工作中受到歧视等。

网络爬虫数据属于谁,多层级爬取后,是否要通知数据所有人,还是告知上一关联方即可,授权能否传导,也需要进一步讨论明确。

数据使用权的共享是大势所趋,核心是保障用户的知情权和拒绝的权利。

简单地对数据进行传统“产权保护”在互联网时代并不符合实践的发展要求,会导致用户“自然出局”,于信息社会生活格格不入。首先,用户有自身动力主动地去公开一些信息,如自拍、美食、定位等,这些公开范围可能是全网也可能是对特定群体,但都是公开的且存储在公网中;用户也有需要进行非公开的资料上网存储,比如个人网盘、私密照片和日志等。正因为大家积极共享、积极参与,互联网社交才能把大家联系得更加紧密,生活才能更加丰富多彩。其次,企业需要依靠用户的数据进行分析和模型训练,以便提高服务的针对性,满足未来市场的需求。AI得以大发展,本身也是数据大繁荣带动的。数据量越大,维度越丰富,模型越可靠、效果越好。政府对市场的监管、社会的管理,也希望能够对数据进行分析,特别是全样本分析,从而得到一个宏观的概况。在推进政务在线时,政府同时是数据的生产、采集、存储、使用、监管者。

数据使用权的共享是对多方都有利的事情,核心在于保障用户的知情权和拒绝的权利。比如告知用户其浏览记录和点赞等行为,会影响到其收到的广告等。如果不同意使用,推荐的广告相关性就会很差,可能影响到用户体验。当前,互联网大多是通过投放广告、免费服务的方式间接创收的,当用户对个人数据的使用权明确以后,可能会出现无广告、直接收费等服务。为什么是保障拒绝的权利,而不是许可的权利?主要是因为互联网的根本特征就是共享,开放需求远大于私密需求,在明确告知前提下不拒绝即可被使用更加符合便利性要求,也符合长久以来人们形成的习惯。

对数据产权界定、数据利用与隐私保护立法的建议 

过度强调数据“产权”保护,以及过度严格的统一隐私保护法规,会对相关方都造成伤害。那么,在数据保护和利用之间实现平衡,需要相关方的长期参与、研究。一是进一步壮大协会力量,集聚分散意见,提高研讨和维权效率;二是分类讨论,凝聚共识,把数据所有人、存管人、使用人等责任明确起来;三是充分做到知情权保障和拒绝权利的保障,使得数据的所有人能够自由地选择其数据的使用与否;四是创新维权途径和手段,使维护权益方面也能享受到互联网时代的便捷高效;五是严厉打击非法信息交易行为,像垃圾短信、电话诈骗一样形成机制;六是正面宣传,做好科普,调整观念,端正认识,实事求是,在开放共享和有效保护中争取数据价值利用的最大化。