歐盟《數據法案》草案觀察
數據采集:構建數據市場的邏輯起點
2022年2月23日,歐盟委員會公布《數據法案》草案全文。草案就數據采集明確提出,要為部門間重復使用的數據制定互操作性標準,消除跨特定領域歐洲共同數據空間的數據共享障礙,以提升兩個或多個數據主體交換和使用數據的能力。
隨著互聯網技術的發展和大數據時代的到來,數據信息的價值與日俱增,數據成為推動世界經濟增長的新引擎,發展數據經濟已成為新的風向標。占領數據高地、開拓數據經濟藍海已成為各國拉動經濟增長、提高競爭能力的關鍵,我國也不例外,推動數據市場構建勢在必行。
作為數據市場的前置環節,數據采集是構建整個市場的邏輯起點,如果數據采集出現紕漏,則對數據存儲、數據交換等后續環節均會產生負面影響,不利于數據經濟的發展。了解國內外相關法律法規,可助力進一步探究我國在數據采集方面存在的不足,提出完善建議,為數據市場夯基。
歐美國家:綜合性與分散性立法并行
歐盟和美國對數據管理形成了兩種不同的模式。
歐盟以綜合性立法為主,從《歐洲人權公約》到《第95/46/ EC號保護個人在數據處理和自動移動中權利的指令》,再到《通用數據保護條例》,其數據保護法經過了數十年的發展沿革,最終形成了現有的突破地域性的綜合法律體系。其中,《通用數據保護條例》對原有數據保護體系進行了補充和更新,對于數據采集的標準和義務做出了更加詳盡的規定,要求收集者簡單、明確地向用戶闡明隱私條款,并且從合同履行、服務提供等角度評估數據采集是否超出合理范圍,避免數據的過度收集。
不同于歐盟的綜合性立法模式,美國在數據保護方面的立法具有較強的分散性。一是聯邦層面未能形成統一的法律體系,主要依靠分散在不同行業中的規定對數據采集做出規制,例如《公平信用報告法》《兒童線上隱私保護法》《聯邦貿易委員會法》等,分別從消費者保護、兒童保護、貿易公平等領域規定了在進行數據采集時必須遵守的法律規范。二是各州立法分化,加利福尼亞、紐約、科羅拉多等州各自出臺了相關法律,地域性較強,其中《加利福尼亞消費者隱私法》、弗吉尼亞州的《消費者數據保護法》、科羅拉多州的《科州隱私法案》等,均對數據收集的內容、形式、限制、用途進行了規定。
我國現狀:立法有待強化,內容有待細化
我國憲法、刑法、民法、行政法等法律中均對數據保護有相關規定,但較為零散,且內容寬泛。面對數據經濟的發展浪潮,我國緊抓機遇,制定法律法規,規范數據采集。2017年《中華人民共和國網絡安全法》實施后填補了我國在網絡安全領域對個人數據保護的法律空白,并提出了合法、正當、必要的數據采集原則。2021年9月,我國首部系統地對數據安全做出保障的法律——《中華人民共和國數據安全法》施行,要求采集者在法律規定的范圍內,以合法、正當的方式收集數據,且對所得數據負安全保護責任。
此外,國務院也曾多次發布文件,對數據采集做出了政策性要求。2015年7月,國務院辦公廳印發的《關于運用大數據加強對市場主體服務和監管的若干意見》指出,要“創新統計調查信息采集和挖掘分析技術”,為數據采集做好技術準備。2015年8月,國務院印發《促進大數據發展行動綱要》,要求通過政務數據的公開共享,形成以政府為主導,企業、行業協會、科研機構、社會組織等多主體互動共享的數據采集新格局。2020年3月,《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》進一步提出要通過推動人工智能等領域數據采集標準化來提升社會數據資源價值,培養數據要素市場。2022年1月,國務院正式發布《“十四五”數字經濟發展規劃》,再次強調要依法合規開展數據采集。
總體而言,我國數據采集規制仍處于起步階段,整體表現為“實踐先行,立法滯后,文件治理,政策推動”。《數據安全法》僅搭建起數據保護的核心框架,尚未形成完整的法律體系,規范性文件強制力不足,對數據采集的主體、標準、原則、內容、程序等規定就較為空泛,大多將其直接納入數據處理范圍內籠統管理,缺乏具體可實施的細則。因此,我國數據市場亟須治理。
完善建議:三方面著手規范數據采集
首先,國家應當以《數據安全法》為中心,遵循政策文件要求,構建完整的法律體系。通過立法為數據采集制定規范細則,明確采集的目的、手段、范圍,做好數據主體的個人信息刪除權、知情同意權、數據使用獲利權等權利的保障和侵權救濟,推動公平信息實踐原則的適用,使數據收集有法可依。
其次,要做好數據采集監管,形成數據控制者自查、行政機關監管、數據主體監督的管理模式。數據控制者要建立風險評估體系,規避潛在風險,做好自我監督;政府要厘清職能權限,將責任落實到具體部門,打擊非法采集行為;數據主體需提高數據保護意識,重視數據使用范圍,主動維護自身權益,避免數據泄露。
最后,數據控制者應當設置有關數據采集的內部章程。在數據采集前,做好采集合規平臺的搭建工作,為依法合規進入數據市場做準備;在數據采集時,提高采集能力,創新采集手段,在海量數據中精準采集有效數據;數據采集完成后,要做好數據采集保障工作,通過建立安全數據庫、對系統資源訪問實行授權制等方式,降低數據泄露風險。
(作者單位分別為國家計算機網絡應急技術處理協調中心江蘇分中心和東南大學法學院)