守住大数据应用法律底线
数据泄露滥用频繁发生 违法违规使用个人信息问题突出
●大数据是指数量大、处理速度快、种类繁多的信息资产,是规模超出普通数据库软件工具的采集、存储、管理和分析能力的数据集
●App强制授权、过度索权、超范围收集个人信息等现象大量存在,违法违规使用个人信息的问题突出。由数据商业化利用引起的不正当竞争案件也时有发生
●在大数据权属确定及行为规制方面,构建一个更宏观的整体系统性法律框架体系;在调整个人信息保护、大数据的运用及数据规制方面,形成一个相对有机融合的法律体系
膨胀和互联网的迅猛传播,海量的各种数据化信息被不停地生产、收集、存储、处理与利用,大数据时代随之来临。这不仅带来了全方位的社会变革,同时也带来了新的安全挑战,数据泄露、数据滥用、隐私安全等日渐成为明患隐忧。
围绕数据立法、信息保护等话题,第八届中国公司法务年会(北京)于近日召开,旨在探讨如何在大数据时代保护数据安全。此次年会由法制日报社中国公司法务研究院联合中国国际经济贸易仲裁委员会、上海交通大学凯原法学院、中国国防工业企业协会法律工作委员会主办,美国飞翰律师事务所、律商联讯、北大法宝协办。
存储数据需求量大 信息资产应运而生
提起大数据一词,人人都不陌生,但何为大数据?许多人又不是很清楚。
百度百科关于大数据的定义是这样的:无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。
中国移动法律与监管事务部副总经理于莽说:“从现代计算机的诞生,到关系型数据库的诞生,再到移动互联网的诞生,人类一步步跨入‘大数据’时代。大数据是数量大、处理速度快、种类繁多的信息资产,指的是规模超出普通数据库软件工具的采集、存储、管理和分析能力的数据集。”
据于莽介绍,大数据的应用和技术是在互联网快速发展中诞生的,起点可追溯到2000年前后。当时搜索引擎要存储和处理数据,数量之大前所未有,而且以非结构化数据为主,传统技术无法应对。数据量成倍递增,量变引起质变,开始对数据管理技术提出全新的要求。
“在当前信息科技的浪潮中,大数据技术并不是孤立存在的,它与包括云计算、人工智能、物联网、区块链等在内的新技术都有密切关系。”于莽说,云计算为大数据提供计算支撑,大数据为云计算提供用武之地;物联网则是大数据的重要数据来源,大数据技术为物联网数据分析提供支撑;人工智能需要数据来建立其智能,大数据催生机器智能促进人工智能的大发展;共同的关键词“分布式”联系在一起,区块链技术可以确保大数据的真实性。
数据安全影响深远
合理合规采集使用
近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了重要作用。同时,App强制授权、过度索权、超范围收集个人信息等现象大量存在,违法违规使用个人信息的问题突出,网民对此反映强烈。
为切实治理个人信息保护方面存在的乱象,中央网信办、工信部、公安部、市场监管总局四部门决定自今年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。截至4月16日,举报信息超过3480条,涉及1300多款App。其中31%的App在申请打开收集个人信息相关权限时,未明确告知用户;20%的App收集与业务功能无关的个人信息。
数据安全涉及每个公民的切身利益,如何合理合规地收集使用大数据、如何平衡个人信息保护和产业发展,成为当下亟待解决的问题。
于莽说:“数据的生命周期,包括了数据的产生、采集、存储、流通、应用、销毁六个环节,涉及数据来源者、数据收集者、数据控制者、数据加工者四种主体角色。”
据于莽介绍,数据来源者也称数据主体,在现实生活中,数据来源者并不单一。如在微信系统中,微信号的所有权属于微信服务商,个人仅享有使用权,因此微信号的数据来源者既包括个人和微信服务商;数据收集者即记录数据的主体,如各大平台;数据控制者即存储数据主体,不仅包括自行收集并存储数据,还包括通过数据公开、数据分享和数据交易等流通行为,从其他主体处取得数据,成为数据控制者的主体;数据加工者则指通过数据整合、数据清洗、数据脱敏、数据标准化和数据建模等手段,有效地聚集和分析数据,使数据产生新价值的主体。
“大数据采集是指从系统、网络、机器或传感器等不同的来源记录、创建、收集、获取数据。”于莽说,大数据采集要遵循三个原则:合法原则,不得窃取或者以其他非法方式获取个人信息;正当原则,不得以欺骗、误导、强迫、违约等方式收集个人信息;必要原则,满足信息主体授权目的所需的最少个人信息类型和数量。
新浪互联网法律研究院秘书长王磊说:“数据商业化利用要有其规范,一是应充分尊重用户,保障个人信息权益;二是数据收集和使用应当遵守现有商业秩序;三是充分尊重平台在数据收集中的权益;四是建立数据追溯和共享机制;五是技术中立应当具有合理边界。”
在平台对数据的自律方面,腾讯公司法务部副总经理王小夏介绍了腾讯“数据有度”的理念,即管理数据有法度、使用数据有态度、收集数据有限度、保护数据有力度、数据服务有温度。
王小夏说:“数据有法度,管理数据必须以遵守法律法规为首要前提;数据有态度,保护用户数据、合理使用数据是我们的态度;数据有限度,使用数据始终坚持有一个限度;同时保护数据要有力度;最后是要让用户感受到我们对数据使用的温度,把隐私保护嵌入产品设计中,更加符合人性的心理。”
把握应用发展方向
构建有机法律体系
在会上,王磊提出:“大数据时代,数据的巨大价值逐渐为人所知,这其中尤以个人数据的价值为甚。在个人数据商业化利用的链条中,数据开发者都希望通过基于个人数据而占据不可替代的优势地位。因此,数据开发者之间关于个人数据的获取和有效流转,成为个人信息保护和商业化利用面临的问题。”
事实上,由数据商业化利用引起的不正当竞争案件时有发生。例如,2016年12月,脉脉非法抓取使用新浪微博用户信息,被法院判决不正当竞争;2019年3月,抖音违反开放平台用户协议,将来源于微信、QQ开放平台的微信、QQ头像、昵称等数据提供给多闪使用,被法院裁定立即停止不当行为。
对此,北京市高级人民法院民三庭法官张玲玲说:“在大数据时代,信息所具有的价值已日渐成为企业的核心竞争力,愈来愈多的市场主体投入巨资收集、整理和挖掘信息,如果不加节制地允许市场主体任意使用或利用他人通过巨大投入所获取的信息,任由技术任性,将形成技术霸权,不利于产业创新和诚实经营,最终损害健康的竞争机制。因此,市场主体在使用他人所获取的信息时,仍然要遵循公认的商业道德,在相对合理的范围内使用。”
张玲玲同时称,平台方应通过用户协议或隐私协议等方式收集用户信息,明确告知收集的信息内容、目的,坚持“最少必要”原则;第三方通过开放端口OpenAPI获取数据,应尊重开发者协议,遵守OpenAPI合作开发模式及数据共享规则。
众所周知,数据财产是大数据时代的核心生产要素,那么大数据到底是谁的财产?应该受到什么样的保护呢?
对此,中国政法大学传播法研究中心副主任朱巍认为,带有可识别性的个人信息不可以商业化使用。但经过分析和处理,用于分析用户行为、判断用户消费能力喜好、做精准广告的网络行为信息则属于大数据,具有知识产权属性,哪个公司开发就归哪个公司所有。
完美世界集团法务部知识产权总监薛颖也提出了数据财产所面临的问题,“企业在合规获取数据后,数据产品的开发、运营以及维护等,都需要投入很大的成本。目前企业在数据方面受到的限制很多,但权利保护却非常少”。
中国人民大学教授孟雁北建议,在大数据权属确定及行为规制方面,构建一个更宏观的整体系统化法律框架体系,以尽可能避免法律和法律之间的冲突,在调整个人信息保护、大数据的运用及数据规制上,形成一个相对有机融合的法律体系。
近年来,与大数据、个人信息保护相关的法律相继出台。2017年6月1日实施的网络安全法,对个人信息保护提出专门要求;2018年5月1日,国家标准《信息安全技术个人信息安全规范》实施;个人信息保护法、数据安全法被列入人大立法计划。
对于大数据应用的发展,于莽建议,规范数据采集行为;规范数据流通与共享行为;落实数据安全保障的相关制度;建立网络安全检测预警体系;完善网络安全事件预案,定期进行演练。
于莽说,一是要强化法治思维,把握大数据应用的发展方向。在数据产业风起云涌、数据立法加快完善、执法力度不断加强的形势下,守住法律底线、把握监管规律,是落实公司战略、推动数据类业务有序发展的重要保障。
“二是落实法律规范,守住大数据应用的法律底线。在大数据法律体系中,数据安全、个人信息保护是贯穿收集、存储、传输、处理、使用、销毁等数据全生命周期的两条红线。以数据安全、个人信息风险防控为重点,配置相应的审核力量,依照不同业务模式,制订合同范本和法律风险防范指引,保障大数据应用健康发展。”于莽说。
相关阅读: