6月@@2日@@上午@@,“2018数字政府@@与政务大数据@@建设高层研讨会@@”在北京国际展览中心召开@@,本次@@论坛由国脉数据研究院主办@@,北京国脉互联信息顾问有限公司@@、浙江蟠桃会@@网络技术有限公司承办@@,国脉海洋信息发展有限公司支持@@,来自国内政务大数据@@领域的管理者@@、研究者@@、实践者等@@200余人到场参会@@。
▲2018数字政府@@与政务大数据@@建设高层研讨会@@召开@@
北京市信息资源管理中心副主任穆勇@@@@发表了以@@“在财产规则@@和责任规则@@下的个人数据保护@@@@与共享@@@@”为主题的演讲@@。他通过解读欧盟@@《一@@般数据保护@@@@条例@@》(GDPR),指出我国现有个人数据保护@@@@法律法规与其相比定位较低@@,该条例的发布@@对国内企业有着立竿见影的巨大影响@@,为应对@@《一@@般数据保护@@@@条例@@》带来的挑战@@,政府要完善我国数据保护@@@@法律法规@@,企业要高度重视个人数据保护@@@@@@。
▲北京市信息资源管理中心副主任穆勇@@@@
以下是会议现场发言实录@@(根据现场速记和录音@@整理@@,未经本人审核@@):
非常高兴和大家分享@@个人数据保护@@@@问题@@。个人数据的@@保护@@和共享@@、开放是一@@对矛盾共同体@@。要想既保护@@个人的权益@@,又能够进行开放和共享@@,就需要我们在深入研究的基础上制定相关的规则@@,这里主要涉及到财产规则@@和责任规则@@@@。今天我要讲的内容分为两部分@@:第一@@@@,《一@@般数据保护@@@@条例@@》(GDPR)及其影响@@;第二@@@@,如何设计个人数据保护@@@@与共享@@机制@@。
一@@、《一@@般数据保护@@@@条例@@》(GDPR)及其影响@@
1. 《一@@般数据保护@@@@条例@@》发布@@
2018年@@5月@@25日@@,欧洲@@《一@@般数据保护@@@@条例@@》(GDPR)正式实施@@,这对我们个人信息保护@@@@、国内数据的管理@@,包括世界的数据管理产生了非常大的影响@@。我们要了解这个条例及其将给我们带来的影响@@。
2.个人数据相关权利的归属@@
《一@@般数据保护@@@@条例@@》中把个人作为一@@个数据主体@@赋予了前所未有的权利@@。明确了很多之前不确定或有争议的权利@@,如个人数据如何使用的知情权@@、数据处理@@的自由选择权@@。在数据所有权方面@@,个人数据的@@“衍生数据@@”权也属于@@个人@@,而不属于@@企业@@。
3.个人数据内容的扩展@@
《一@@般数据保护@@@@条例@@》把个人的数据所包含的内容进行了大幅度的扩展@@。个人的姓名@@、身份证号@@、地址@@、网上标识都列为个人数据@@。这些数据的所有权全为数据主体@@@@。另外企业对个人数据加工处理@@后@@的数据按照条例也属于@@个人@@,而非企业@@。
4. 数据控制者@@、数据处理@@者的义务和权利@@
《一@@般数据保护@@@@条例@@》中设立了数据控制者@@与数据处理@@者@@。它会对不同地区的企业的数据处理@@水平进行评估@@。只有达到它认可的水平@@,才会获得欧盟所属数据的传输@@。关于欧盟这些数据可以传到这里面来@@,现在中国地区还未达到该认证水平@@,欧盟数据从云传输渠道无法传入@@,这是目前面临的很大问题@@。
5.违反规定将面临高昂处罚@@
对于数据处理@@的违法行为@@,GDPR主要设定两个等级的处罚@@。第一@@@@等级最高可处以@@1000万欧元@@,或上一@@财年@@全球营业额@@2%,第二@@@@等级最高可处以@@2000万欧元@@,或上一@@财年@@全球营业额@@4% 。GDPR确立了@@“长臂@@”管辖原则@@,将法律适用的属地主义与属人主义原则结合起来@@,扩大法律适用的域外效力@@。
我们的企业如果没有达到@@GDPR的水准@@。第一@@@@将不能到欧盟国家开展业务@@;第二@@@@不能对欧盟国家的人员提供相应的服务@@,国内做的最好@@、响应最快的企业是国航@@。
6.我国个人数据保护@@@@的规则标准制定处在起步阶段@@
在个人数据信息管理方面@@,我国也有相关的@@《网络安全法@@》等一@@些法律规定@@,但有着分散@@、比较原则笼统@@、执行困难等问题@@。现有国家标准@@,法律定位非低@@,不能够起决定作用@@。
7. 国内外个人数据保护@@@@环境对比与问题分析@@
国外特别是欧盟国家@@,非常重视个人数据的@@保护@@@@。而在国内@@,由于法律缺失@@、有些企业除了采集本身提交的数据之外@@,还通过各种渠道来搜集个人隐私数据来进行一@@些相关的活动@@,并且这样的事情不是个例@@。有些互联网公司正在获取超出必要范围内的用户信息@@。
案例@@1:某公司通过某@@B2B、淘宝@@、天猫@@、支付宝等电子商务平台@@@@,收集客户积累的信用数据@@,利用在线视频@@全方位定性调查客户资信@@,再加上交易平台@@上的客户信息@@(客户评价度数据@@、货运数据@@、口碑评价等@@)。此外@@,据刊物报道@@,这家公司还会从微博@@、社交平台@@@@、同学录等获取大事记@@、信用卡限额@@、诉讼信息@@、朋友圈@@、中小教育甚至既往病史等等@@,还能获取婚姻状况@@、投资偏好@@、配偶@@、担保人@@、房贷车贷@@、个人和家庭年@@收入等信息@@。涉嫌违法@@《侵权责任法@@》中的患者个人隐私保护@@@@、《未成年@@人保护@@法@@》中的未成年@@人保护@@等法律@@,并适用@@《刑法修正案@@(九@@)》规定要件@@。
案例@@2:某旅游搜索@@引擎安装一@@个@@App 用户需要开放@@10多项权限许可@@,其将能否@@“允许读取用户的身份@@、短信@@、录音@@、照片@@、视频@@、位置@@、通讯录@@、日@@历活动@@、机密信息@@”等重要的个人信息作为使用其服务的前提条件@@。这种过度采集个人信息和采集信息滥用的@@“霸王条款@@”在互联网企业的服务协议中非常普遍@@。
由于过度的包容@@,没有守得住审慎的底线@@,造成各种严重侵权事件@@(如郑州空姐被害@@、百度医疗事件等@@)时有发生@@,严重影响用户对企业的信任@@。显然@@,如果沿用@@“环境先污染后@@治理@@”方式已走不下去了@@。
8.数据保护@@@@与共享并重原则@@
数据共享@@的核心其实是信任@@。只有用户放心@@,才会更多@@的进行共享@@。严格的法律保护@@能够建立足够的社会信心@@,使得数据可以在企业的层面得以流动@@,才有空间@@产生新产品和新产业@@,这是一@@整个良性循环的生态系统@@。
9.我国在个人数据保护@@@@上应与国际接轨@@
GDPR发布@@之后@@对我们的影响是立竿见影的@@。个人对数据保护@@@@的诉求会越来越高@@。如果企业不按照要求来做@@,很有可能失去市场@@,失去企业的价值@@。从全球其他发达经济体来看@@,澳大利亚@@、新加坡@@、美国等@@,目前也都在做相应的数据保护@@@@工作@@。
在我国@@,正在推行@@“一@@带一@@路@@”战略的实施@@,企业要想走出国门@@,首先@@要突破@@GDPR这道天然屏障@@,特别是数字企业与互联网企业@@。
10.机遇与挑战并在@@,企业如何应对@@?
相较于中国对于数字技术运用十分友好的市场和信息监管环境@@,后@@GDPR时代里在中国蓬勃发展的移动支付@@、电商@@、网上银行的数字业务将在欧洲@@面临更多@@关注@@,甚至招致欧盟数据监管机构有针对性的调查@@。
首先@@,企业需要高度重视数据保护@@@@工作@@。特别是移动支付@@、电商@@、网上银行方面的企业@@。滥用数据可能面临高额罚款@@,甚至丢掉市场@@。
第二@@@@,完善数据主体@@的权利设置与行使操作规程@@。GDPR在赋予数据主体@@同意权@@、访问权@@、可携带权@@、被遗忘权@@、更正权等重要权利外@@,还应当核实这些权利设置与行使是否符合@@GDPR的要求@@。
第三@@,加快完善相关规则@@,包括数据的处理@@机制@@、任命数据保护@@@@官@@,完善数据泄密报告与处理@@机制@@,大企业要有专门的人员来管理等@@。
第四@@,加快制定与完善我国数据保护@@@@法律法规@@。政府应当完善相关的法律法规@@,如果在这个领域处于一@@个比较低的层次@@和水平@@,我们将在国际间失去话语权@@。
第五@@,政府要以身作则@@。政府作为处理@@欧盟地区个人数据的@@@@“公共当局@@”,属于@@GDPR规范的行为主体@@之一@@@@。GDPR的主要目标中@@,也包括限制政府对个人数据的@@搜集和使用@@,要让政府更少地掌控公民数据@@,而不是更多@@@@。特别是北京这样即将举办冬奥会的国际交往中心@@,更要提升政府个人数据保护@@@@水平@@。否则在大型国际交流活动中将面临巨大问题@@。
第六@@,政府应为数字经济发展保驾护航@@。政府积极制定各种鼓励扶持政策@@,有效支持企业特别是中小企业提升数据治理@@水平@@,降低@@GDPR合规风险经济企业成长@@。通过完善对话协商机制@@,与欧盟监管当局开展平等对话协商@@,减少不必要的处罚与贸易纠纷@@。
二@@、如何设计个人数据保护@@@@与共享@@机制@@
在如今这种国际环境下我们再来看个人数据保护@@@@和共享机制的设计问题@@,这将涉及到财产规则@@和数据规则@@。
1.数据资源的权属确定@@
首先@@是数据产权的问题@@,主要涉及到个人数据是属于@@个人@@,还是属于@@企业@@。数据权属之所以难以理清@@,其原因有二@@@@:第一@@@@,数据收集处理@@和开放利用过程中涉及的主体@@多元@@,其活动经常相互交汇@@,不易清晰区分@@;第二@@@@,数据开放利用是一@@个不断增添材料@@、不断投入资源的过程@@,最终形成的数据资源或信息产品@@,是在多步骤操作下的结果@@。
政府的数据及其衍生数据@@的权属也存在同样的问题@@。政务数据资源的所有权归全民所有@@,其产生和运维管理过程主要依靠公共财政的支持@@。任何单个主体@@@@,无论是党政部门或企事业单位或个人@@,不能就政务数据资源主张排他性的权利@@。
2.国外的方法模式@@
在欧洲@@数据保护@@@@的方法有两种模式@@,一@@种是完全属于@@私有化@@。Mark A. Hall提出了一@@个数据资源私有化的观点@@@@“医疗数据的所有权归病人所有@@”。因此@@,是否开放医疗数据@@、以什么方式开放@@(有偿或是免费@@)、在什么范围内开放@@,全是病人基于自身情况考虑的问题@@。同时@@,为了激励科学研究和对病患情况的共同讨论@@,可以在个人同意的基础上授权医疗机构@@和科研机构@@开放利用这些数据@@。
另一@@种是把它交给一@@个专门的公益性机构进行开发@@。Marc A. Rodwin提出一@@个公有产权的数据保护@@@@方法@@。由于医疗数据资源对于整体社会福祉来说至关重要@@,因此@@他认为医疗数据的所有权不属于@@病人@@、医疗机构@@、保险企业等任何@@“私的主体@@@@”,而应是一@@种公有产权@@。各个不同主体@@应当把各自掌握的医疗数据交给一@@个专门设置的公共机构@@,由这个机构根据科学研究等公益目标来判断是否开放@@、以及决定通过什么样的方式@@、在什么范围内开放@@。
3.理解财产规则@@与责任规则@@的含义@@
财产规则@@:如果一@@个主体@@在被赋权后@@@@,其他主体@@不支付经他或她本人同意的价格@@,不能取消该权利@@,该赋权被@@“财产规则@@”保护@@。
责任规则@@:如果一@@个主体@@在被赋权后@@@@,其他主体@@可以取消该权利@@,但必须支付客观决定的价格@@,就说该赋权被@@@@“责任规则@@”保护@@。
4.不同的数据可以分别用到不同的权益@@、规则来处置@@
政府的数据向社会开放@@,因为政府数据是属于@@全民所有的@@,而且是公益性的@@,这个规则应该是责任规则@@@@,所以政府普遍的数据开放是免费或者只能收成本费@@,这是我们给定的责任规则@@@@。而有些政府数据是需要大量的加工@@、处理@@,且只是为某些企业所开发@@,可以给它赋予财产规则@@@@,财产规则@@是必须要付一@@定费用的@@,这就是政府数据开放@@。
政府的数据如果需要某个企业的数据@@,也可以采用这两种方式@@,第一@@@@种可以是责任规则@@@@,比如政府为了行使公共服务职能@@,为了维护公共利益@@,为了维护法治@@,为了国家的安全@@,需要企业提供数据@@,包括提供的个人数据@@,这需要采用责任规则@@@@。对于某类根据政府的目的和类型开发的数据@@,应赋予它财产规则@@@@。就是政府应当按提供者要求的价格付费购买该数据@@。
5. 政务数据开放模式建议@@
我国需要建设国家政府数据统一@@开放平台@@@@,推进公共机构数据资源统一@@汇聚和集中向社会开放@@,引导企业@@、行业协会@@、科研机构@@、社会组织等主动采集并开放数据@@,共同探索政企合作的长效机制@@。
综上谈到个人数据的@@保护@@和利用@@,不是简单的一@@个问题@@。需要我们处理@@好保护@@和共享的关系@@,处理@@好各方的权益@@,站在国际的视野上来考虑问题@@。谢谢大家@@!
