数字技术的迭代发展使人类进入数据智能时代。数据仅在单个数据持有者域内加工、使用,已经不能满足数据智能时代的发展要求。各行业发展过程中,需要更精准模型或者对用户更精确地洞察,数据需要进行跨域融合、加工等产生新的数据产品,进而创造出全新的数据价值。数据需要流动才能释放价值,数据流通过程伴随着数据权责利的变化,同时产生新的风险,让数据安全面临新的挑战。
在此背景下,我国提出数据作为生产要素,探索适应数据要素特征的数据基础制度,以“促进数据合规高效流通使用、赋能实体经济”。数据流通本质上是数据的跨域使用,如何构建数据跨域管控体系,确保“数据合规高效流通使用”,成为数据流通基础设施关键内容,进而成为数据基础设施的重要组成部分。
数据流通存在风险,且风险贯穿流通全过程。然而,现有数据流通风险防范制度对于数据流通风险的揭示和防范均有不足,主要表现在两个方面:
(1)数据流通安全规范不完善;
(2)数据市场缺失数据跨域过程管控。
1. 数据流通安全规范不完善
数据持有者的概念还没有正式进入法律,立法建立了对数据安全负责主体概念,以网络运营者、数据处理者、个人信息处理者等表述体现(见下表 1),实际上都是指合法取得数据的使用者,因此可以统合为“数据持有者”的概念。现行规范要求数据持有者承担数据安全义务,并配置了违反义务的法律责任,但是还存在持有者安全义务体系不健全、持有者安全责任配置不合理的问题,数据流通安全规范还不够完善。
表 1 数据持有者相关表述
1.1 持有者安全义务体系不健全
为了在建设数据要素化市场的同时应对网络安全领域的新形势和新挑战,我国现行规范体现了对数据安全的保障,规定了持有者的数据安全义务。然而,现行规范对数据安全的规定较为分散,在整体框架上,没有从系统化的角度设置安全义务;在具体内容上,没有从数据流通的角度分配风险,持有者与使用者安全义务体系不健全。
在整体框架上,现行规范没有从系统化的角度设置义务。
- 规定分散。有关数据安全保障的规定散见于各法律、法规、规章和规范性文件中(见下图 1 )。其中,以《中华人民共和国网络安全法》(以下简称“《网安法》”)《中华人民共和国数据安全法》(以下简称“《数安法》”)《中华人民共和国个人信息保护法》(以下简称“《个保法》”)三部法律为核心,并以《中华人民共和国刑法》(以下简称“《刑法》”)《中华人民共和国民法典》(以下简称“《民法典》”)等其他法律和规范为补充。
图 1 我国涉及数据安全的相关规范
- 未成体系。数据持有者是集权利和义务为一体的数据管控者和责任承担者,首先应当实施数据安全管理和控制数据风险。然而,从整体上看,现行规范没有从系统化的角度设置义务,而是从网络安全(数据安全的基础)、数据安全和个人信息安全(特种数据安全) 三个方面分别规定了持有者的数据安全义务。
在具体内容上,现行规范没有从数据流通的角度分配风险。
- 没有聚焦数据流通交易引发的安全风险。数据的价值在于流通,数据需要流通是数据价值实现的必然的天然属性,也是数据资源权利配置的基础。目前,所有涉数据安全的法律主要是从数据处理或数据生命周期的角度来规范数据动态安全,对于数据流通交易引发的安全风险还没有明确的规定。
《网安法》在网络信息安全中规定了持有者的个人信息安全义务,覆盖收集(第 40-43 条)、存储(第 43 条)、使用(第 41. 43. 46 条)、传输(第 47-48 条)、提供(第 41-42. 44-45 条)、删除(第 43 条)等个人信息处理活动,将持有者数据安全责任延及数据处理活动的各个环节。《数安法》进一步延长了数据持有者义务的链条,数据安全义务进一步覆盖了数据收集、存储、使用、加工、传输、提供、公开等全流程,持有者需要确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力(第 3 条)。
- 没有依据数据流通的特点配置持有者义务。现行规范中持有者数据安全义务的内容可以概括为四项一般义务和两项特殊义务(见下图 2 ),依然体现传统的行政管理逻辑。然而,数据流通的核心是数据跨域,在数据交汇和连接的过程中,需要将多个数据持有者及其数据处理环境联系在一起,所涉及的安全风险不再限于单一域内,而是存在于复数域之间。
数据持有权是基于事实上的控制权,当数据脱离特定数据持有者的控制流向其他第三方时,一旦出现数据安全问题,对于不法使用行为的安全责任追究即面临难题。这就意味着需要从数 据流通的角度重新审视持有者的数据安全义务。
图 2 数据持有者法定安全义务图
1.2 持有者安全责任配置不合理
现行规范对于持有者违反数据安全义务的责任承担体系是公法责任和私法责任并举的综合法定责任体系,由行政责任、刑事责任和民事责任构成。如三种责任竞合,则责任承担按照民事责任、行政责任、刑事责任的顺序向数据持有者进行追究(《数安法》第 52 条、《民法典》第 187 条)。然而,现行持有者安全责任配置并不合理,公法上的无限责任和私法上的过错责任使数据流通安全责任追究的链条过长,持有者免责的要求过高。
公法上,刑事责任和行政责任承担双罚制,无限责任原则可能使数据持有者承担过高的刑事责任和行政责任。
- 刑事责任承担双罚制。《刑法》从犯罪惩治的角度规定了持有者违反数据安全义务的刑事责任。涉数据犯罪遵循二元体系:
(1) 所打击的犯罪行为侵犯的法益触及数据,包括侵犯公民个人信息罪、非法获取国家秘密罪等 9 项罪名。
(2)所打击的犯罪行为系不法利用计算机技术的行为,包括非法获取计算机信息系统数据等 2 项罪名(见下表 2)。
此外,还针对数据持有者(网络服务提供者)设置了拒不履行信息网络安全管理义务罪等 2 项罪名(见下表 3)。《刑法》将涉数据犯罪的内涵定义得较为宽泛,具体法益涵盖个人信息、商业秘密、国家秘密、军事秘密等;行为方式包括对计算机信息系统中存储、处理、传输数据的不法行为,还包括数据伪造、数据投毒、数据滥用、过度挖掘等行为;更重要的是,所追责的主体不限于数据持有者或主要负责人其一,而是倾向于同时追究主要负责人的替代责任和数据持有者的单位责任。《刑法》打击端口的触手前伸,使数据持有者所面临的刑事法律风险增加。
表 2 《刑法》涉数据犯罪罪名
表 3 《刑法》对网络服务提供者(数据持有者)的规定
- 行政责任承担双罚制。《网安法》《数安法》《个保法》基 于相应的数据安全义务,为数据持有者配备了违反数据安全义务的行政责任。有关主管部门可以对违反数据安全义务的数据持有者采取相应的行政处罚措施,包括:责令改正、予以警告、处以罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照等,并可以对其直接负责的主管人员和其他责任人员处以罚款等,并对其他刑事和民事责任另行处理(《数安法》第 45 条、《个保法》第 66 条)。持有者和负责人双罚制的制度设计,拓宽了行政责任承担的主体范围,提高了对数据持有者的震慑。
- 公法责任将使持有者慑于无限责任。前文对刑事责任和行政责任的分析表明,公法上数据持有者的安全义务和责任存在于数据处理活动全程,包括收集、存储、使用、加工、传输、提供、公开等数据处理行为,从这个意义上看,无论数据最终流转至何处,只要数据持有者有涉数据犯罪的情形,以其为源头的后续交易对象,包括主要责任人和企业(数据持有者),均可能成为刑事责任和行政责任的追责对象。
然而,特定数据持有者对数据的控制是一种事实上的控制,控制力的辐射范围往往有限,存在直接相对关系的持有者的处理行为还处于可控范围内,但经过复杂流转后下游持有者的非法数据获取和使用行为确实难以包含在控制范围中,苛责持有者对关系过远的其他持有者侵权行为承担刑事责任和行政责任,不符合数据持有的本质和数据持有者的能力。此外,在数据安全责任划分机制不明的情况下,庞杂且连带的涉数据刑事条款将使数据持有者可能触犯的数据罪名变得复杂。
私法上,民事责任承担强调过错责任,连带责任使数据持有者可能承担与其行为不相适的民事责任。
- 条文规定强调过错责任。在法律规定上,第一,《民法典》对数据侵权行为要求承担过错责任。《民法典》并没有特别规定侵害个人信息的归责原则,更不涉及从数据持有者的角度明确侵犯个人信息的归责原则,因此依然适用一般过错责任。也就是说,在《民法典》的体系下,数据侵权行为的财产性侵权责任依然应坚持过错责任原则(《民法典》第 1165 条);非财产性的侵权行为则遵循一般禁令(《民法典》第 1167 条)。《民法典》过错责任对过失采用“理性人”标准,但数据持有者往往被认为拥有数据运算和处理的专业能力,从而使与其“理性人”标准相适应的注意义务提高,与一般主体相比更容易被认定为存在过失。
第二,在《民法典》的基础上,出于强化对数据主体的保护,规范数据持有者行为的目的,在数据侵权责任上,《个保法》单独明确了数据持有者(个人信息处理者)数据侵权行为的归责原则。对于数据持有者在数据处理活动中所实施的个人信息侵权行为,《个保法》明确规定了过错推定责任(《个保法》第 69 条)。只要数据处理者无法证明自身不存在过错,即应当承担相应的民事责任。也就是说,《个保法》对数据活动采取了更严格的规范标准,进一步向数据持有者施加了较强的证明义务。
- 司法实践要求“自证清白”。司法实践中对于民事责任一般适用民事证据高度盖然性标准,数据主体仅需举证证明信息控制者存在泄露其隐私信息的高度可能性,由数据持有者对其履行了安全保障义务以及信息泄露主体确系他人承担举证责任,如抗辩成立则无需担责,否则无论能否查明具体侵权者,都可以追究在前数据持有者的连带责任。
例如,在“庞某诉 D 公司、Q 公司隐私权纠纷案”中,法院认定 D 公司和 Q 公司存在数据泄露的高度盖然性,追究 D 公司和 Q 公司连带责任;而在“方某与 J 公司、D 公司合同纠纷案”中,法院认为被告 D 公司在自身掌握信息阶段不存在泄露原告信息的事实,无需对信息泄露承担违约责任(见下表 4)。此外,实践对于持有者证明履行了法定安全义务的标准也并不明晰,在具体案件中,证明责任很大程度上和法官的临时心证相关联,确信程度往往也要视案件情形而定。
表 4 典型案例对比表
- 私法责任将使持有者担忧连带责任。前文对民事责任的分析表明,私法上,数据持有者对危害数据安全的情形应基于过错承担责任,从数据流通的意义上看,一旦发生数据安全事件造成侵犯民事权益的后果,该流通环节向后的持有者将按照过错承担相应的民事责任。同时,当数据属于个人信息时,数据持有者应按照过错推定原则承担责任,一旦损害发生环节的在后持有者无法证明自身不存在过错,就应当承担相应的民事责任。
此外,以数据跨域为核心的数据流通将可能使数据被添付新的价值,从而使所涉及的持有者并不唯一,可能存在两种情形:
(1)直接上下游的复数持有者往往可能构成共同处理,则无论其内部对风险分配和责任承担事项如何约定,均不产生对外效力(《个保法》第 20 条),因此需要承担连带责任(《民法典》第 1168 条)。即使直接上下游的复数持有者明确约定建立委托处理关系,但是由于委托处理是委托他人处理个人信息,则实质上属于数据加工或个人信息加工行为(《个保法》第 4 条、《数安法》第 3 条),作为受托人的数据持有者实施了数据处理行为,作为委托人的数据持有者也被视为实施了数据处理行为,并往往可能被认定为具有概括上的合意,可能会因其共同实施而构成共同侵权,承担连带责任。
(2) 跨环节的上下游持有者之间通常没有直接往来,但同样可能构成无意思联络的数据处理,则要按照无意思联络的数人侵权责任承担连带责任或者按份责任(《民法典》第 1171-1172 条)。然而,这就意味着数据持有者需要在无法实现流程可控的前提下被追溯安全责任,无法为数据持有者提供承担流通安全民事责任的明确预期。
2. 数据市场缺失数据跨域过程管控
从数据交易市场的现状来看,在提倡场内交易的同时,目前我国的数据模式依然存在问题。目前,我国数据交易所普遍以撮合交易为基本模式(见下图 3)。撮合是数据流通交易的必然的商业环节,也中介型市场服务机构的基本功能。为了确保交易安全,数据交易所对于要挂牌的数据产品一般会要求进行合规性评估,这体现了对数据流通的事前管控。数据流通必然涉及到数据控制权或使用权移转,这一过程需要在受控环境下进行才能防范和控制数据流通利用的风险。
同样地,数据移转或转移数据使用权于接受者之后,对于数据的使用行为也需要存在一定的监督或控制机制。就我们对现行数据交易所的观察发现,撮合交易模型对于挂牌产品的后续的交付过程和后续使用过程的管控较为有限。一方面,对于挂牌产品的后续的交付过程管控较为有限,数据交易所作为撮合商通常不提供交付环境和通道,另一方面,在数据交付或使用之后更不存在相应的监督机制。这意味着我国数据市场还缺少数据跨域过程管控。
图 3 某数据交易所交易流程
这大大地限缩了进入数据交易所流通的数据类型。由于数据的风险是与数据加工使用程度成反比。用于计算分析的原始数据形态不固定,使用也不确定,因而存在泄露、滥用、超约定目的使用等风险,对于流通双方来讲均需要控制其利用风险;而一旦形成模型、产出知识,其应用场景或价值基本固定,不存在数据使用不确定性带来的风险,就不需要特别管控措施。
因此,撮合模式适合于数据产出的智能成果或知识的交易,而不适合原始数据性质的数据集的交易。正因此,现有的数据交易所所交易的主要是数据查询服务和数据分析报告。只有建立跨域管控机制,为数据流通提供安全可控的流通利用环境,才有可能将流通的标的扩展至可机读、可重用的原始数据(集),为我国人工智能的研发和应用提供充足的原料。
本文摘编自华东政法大学数据法律研究中心、蚂蚁集团发布的《数据跨域管控白皮书》,在文末入群获取。更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
¥299 起成为数治网DTZed 星球会员,即可下载检索 1000+ 相关标准、白皮书、报告等。填写开通申请获取水准测评、冲刺刷题、案例巩固等更多会员权益。扫码添加老邪企业微信,加入数治要素x行业群:
一条评论