2018年@@7月@@22日@@,一年@@一度的@@“第七届中国大数据应用论坛@@”活动在@@北京大学隆重举行@@。本次@@活动由中国新一代@@IT产业推进联盟指导@@,CIO时代学院@@、北大@@软件工程研究所主办@@,全国高校大数据教育联盟@@、北达软@@、万山数据协办@@,北大@@CIO班学员@@、CIO时代学院@@学员@@、全国高校大数据教育联盟@@成员@@、其它大数据领域专家和@@管理者等近两百人参加了这次@@论坛活动@@,此次@@活动的主题为@@:大数据时代的数据保护@@@@与利用@@。北京大学兼职教授@@、工业和@@信息化部原副部长杨学山@@在@@活动中发表了题为@@《数据保护@@的一般原则与规律@@》的主题演讲@@。以下为演讲实录@@:
尊敬的各位专家@@、来宾@@、朋友@@,大家上午好@@!十分高兴参加第七届中国大数据应用论坛@@@@,今天谈一点关于数据保护@@一般原则和@@规律的体会@@,供大家参考@@。由于题目太大@@,我主要从六个方面@@,对数据保护@@的主题@@,以及在@@这些主题下需要遵循@@最基本的原则和@@发展规律@@,进行简单的介绍@@。实际上@@,我的题目已经给数据保护@@画了一个全景图@@。
1. 数据保护@@的目标@@
为什么要保护数据@@?保护数据要走向怎样的目的地@@?在@@上图中@@,其中左侧是数据保护@@最根本的内容@@,它的所有地方都是一致的@@,无论是@@法律@@、技术@@、制度@@,还是个人@@@@、企业@@和@@国家@@@@,全世界一致的数据保护@@@@目标是数据不被滥用@@@@、不被篡改@@、不被泄露@@,这三点是信息安全和@@数据保护@@最根本的事情@@。右侧的部分是将两部分的东西总结在@@一起@@,包含两个维度@@。我们要保护与数据保护@@相关的各方四个基本的权利@@@@,在@@保护过程中平衡利益@@,这是数据保护@@的四个权利@@和@@一个平衡@@。
所有权@@。无论是@@DPA、GDPR或者其他@@,一般都不强调所有权@@@@,主要是数据主体@@@@。数据主体@@的权利@@分开后@@,包括四个权利@@@@。今天讲的数据保护@@@@不是@@DPA的数据保护@@@@,也不是@@GDPR的数据保护@@@@,其中数据保护@@的特定对象是个人@@数据保护@@@@,要保护的是个人@@的数据权利@@@@。GDPR出台以后@@,执法@@、罚款引起了很大的轰动@@,同时数据保护@@得到了大家更多@@的关注@@,但我们要看到数据保护@@的全局@@,数据保护@@主体@@不仅是个人@@@@,还包括机构和@@国家@@@@。气象局有自己的数据需要保护@@,北大@@有北大@@的数据@@,也需要保护@@。
处置权@@。处置权@@在@@@@DPA和@@GDPR中属于控制者和@@处理者@@,他们是指对数据处置的权力@@,数据主体@@同样有处置权@@@@,在@@GDPR法律中并未提及这方面@@。
财产权@@。在@@DPA和@@GDPR也没有提及财产权@@@@,数据是资产@@,数据是要交易的@@,数据是有价值的@@。在@@数据交易的时显然有财产权@@@@,所以@@DPA和@@GDPR在@@个人@@数据保护@@上是有缺口的@@,而且缺口十分大@@。
知情权@@。知情权@@指两个方向@@:一个是数据具有处置权@@利的主体@@要告诉他@@,要公开先告知数据主体@@获取数据的目的@@,对于被获取的对象有权利@@了解目的和@@处置@@,实际上@@是将其透明化@@。
利益平衡@@。在@@不同的主体@@中@@、在@@不同的范畴中@@、在@@不同的价值领域中所有的权利@@是有不同利益关系的@@。当互联网的公司@@、医院使用你的数据时@@,你是可以获取价值的@@,但在@@价值和@@信息的数据主体@@之间如何平衡@@?国家@@利益@@、机构利益和@@个人@@利益之间如何平衡@@?实际上@@,个人@@数据的保护是有约束的@@,当与国家@@利益@@发生冲突时@@,个人@@利益必然要往后放@@。例如@@天网系统@@,在@@个人@@未知的情况下@@,收集很多个人@@照片与数据@@,虽未告知本人但他必须要用@@,因为对交通违规@@、抓犯罪是必不可少的@@。所以@@,并不是个人@@数据@@、个人@@隐私是如此的神圣@@,它是利益平衡@@的关系@@。
2.数据保护@@的对象@@
DPA和@@GDPR针对的是个人@@数据@@,但数据的主体@@不仅是个人@@主体@@@@,还包括政府@@、个人@@、企业@@,还可以扩展到法人@@,所有的机构都是数据保护@@的对象@@@@。国家@@有国家@@机密@@、企业@@有商业秘密@@、个人@@有个人@@隐私@@,这三者在@@进行数据保护@@时是不能偏颇的@@,不能只看其中一点@@。
对于政府和@@企业@@的@@信息@@,其中既有关于个人@@的@@、企业@@的@@,也有它自己特有的@@。如此多的政府信息是包含它自己本身产生和@@使用的@@,并非全部来自于个人@@和@@企业@@@@@@。对于数据保护@@对象时@@,数据本身的数据主体@@一定不能局限在@@个人@@@@、自然人的范畴内@@,而是政府@@、个人@@和@@企业@@@@,在@@数据保护@@的过程中这三种类型实际上@@是不同的@@。
对于政府信息而言@@,它是三种状态@@:第一种是不能让别人了解的@@,这是国家@@机密@@,能知晓的是该了解的人@@、不该了解的人绝对不能知晓@@;第二种是公开的@@,大家都可以了解@@,公开有两种方式@@,第一种是主动公开@@,在@@政府机构门户网站主动公开的@@;第二是依申请公开@@,首先申请感兴趣的信息@@,然后政府相应部门决定是否基于反馈@@;第三类信息是处于两者之间@@,无论是@@电子版还是纸质版的信息@@,其中有一部分是要公开的@@,另有一部分是敏感的@@,或信息只能在@@特定的时间后公开@@。处于这中间的信息@@,它会经过处理后才能决定是否公开@@。总之@@,数据保护@@最根本的是不被篡改@@@@、不被泄露@@、不被滥用@@,按照不同类型进行保护@@。
企业@@信息也分为三种@@:第一种是它要宣传的@@,希望别人了解@@,包括广告@@、宣传等@@;第二种是绝不让人了解的@@,国家@@也不能法制@@,这是商业秘密@@。很多企业@@它的知识产权或技术@@是不申请专利的@@,因为申请专利别人就可以用@@,从专利的申请文本中了解其过程@@,所以@@很多企业@@是不申请专利的@@。例如@@,康宁公司是做玻璃的@@,他的主要技术@@是不申请专利的@@,由于未申请专利@@,没有泄露技术@@与工艺@@,如果有人采用相同的工艺生产@@,他是有权利@@起诉的@@,他认为你窃取了他的商业秘密@@;第三种与政府相同@@,在@@一定的业务系统客户关系中或在@@一定的场景下可以公开@@,另一些场景下不可公开的@@。
对于个人@@的数据保护@@@@@@,在@@DPA、GDPR中已经有明确的界定@@,关于个人@@所有的信息都属于个人@@数据@@,其中有些是敏感的@@,有些是不敏感的@@。敏感的数据按敏感的管理@@,不敏感的数据按不敏感的管理@@。个人@@信息在@@不同领域中@@,个人@@对它有着不同的控制权利@@@@。
3. 数据保护@@的主体@@@@
在@@数据保护@@的过程中有三类主体@@@@:一是数据主体@@@@,是数据的拥有者@@;二是控制者@@,尽管是你的数据@@,但数据由别人管控@@,与在@@@@GDPR和@@DPA中的概念是相同的@@,所谓的控制是指@@,例如@@公安部门的户籍数据@@、医院的个人@@健康数据@@、学校的个人@@教育数据@@,这些都是实际信息的控制者@@;三是信息处理者@@,数据的主体@@控制者委托个人@@或机构来进行处理数据@@。以上三个方面都是针对权利@@义务的统一@@,三方都承担着相应的责任@@@@、权利@@和@@义务@@,而不是只拥有权利@@而不承担责任@@和@@义务@@。对于个人@@隐私@@,不仅个人@@的数据是需要保护的@@,个人@@同样要承担相应的责任@@和@@义务@@。所谓的义务是为了国家@@利益@@@@、社会安全采集数据时@@,必须要给@@,这是你的义务@@。当然@@,你有权利@@了解数据的采集目的和@@实际作用@@,这是你的权利@@@@。
所有的三个主体@@@@,都是责任@@@@、权利@@、义务的承担者@@。其实@@,数据的控制者的责任@@很大@@,因为在@@控制数据的全过程中@@,要保证数据委托给第三方处理的时不被泄露@@@@、不被滥用@@、不被篡改@@,要担负这三方面的责任@@@@。当我们手中有数据时@@,需要肩负起这三个责任@@@@,数据为王@@,扛起了责任@@才为王@@,否则数据会把你从王座上拉下来@@。目前@@,在@@所有的主体@@之中@@,数据控制者对责任@@的认知不清@@,是其中最主要的矛盾@@,同时也存在@@个人@@对自己的权利@@维护不足的问题@@。
4.数据保护@@的要素@@
我必须重申一下@@,数据保护@@不仅是法律@@,法律条文的确立是最容易的@@,执法@@比条文确立要重要的多@@。如果要实施@@GDPR,真正按照法律条文执行@@,它的难度之大远超出所有人的想象@@。在@@今天@@,数据的存在@@形态@@、处理方式@@、流动@@方式以及由于利益关系造成的各种障碍@@,使得执法@@难度非常大@@。法律是重要的@@,否则没有遵循的依据@@,但法律条文出台后还要执法@@@@,要有技术@@和@@制度@@的保证@@。要保证数据不被篡改@@@@、不被滥用@@、不被泄露@@,需要采用技术@@的手段来保护@@。关于技术@@主要有两个对应@@:保护和@@攻击@@。没有保护的技术@@面临攻击@@,制度@@和@@法律再好也是无用的@@。目前@@不断地出现黑客把信息盗走的事件@@,所以@@没有技术@@是不行的@@。
5.数据保护@@的平衡@@
法律在@@一定范畴之内@@,要遵循@@,要通过制度@@@@落实执法@@@@。不仅要有各个机构的制度@@@@,还要有范围更广的制度@@@@,通过制度@@@@,将保护的要求全面落实@@,数据保护@@是利益平衡@@的结果@@。法律是国家@@利益@@的集中代表@@,不能超然于国家@@利益@@之上@@。所以@@,法律是利益平衡@@的结果@@,几乎所有的法律都是利益平衡@@的结果@@。各个方面都是需要平衡的@@,责任@@、权利@@、利要平衡@@;在@@利益上@@,国家@@、机构和@@个人@@要平衡@@;在@@要素上@@,技术@@、制度@@和@@法律要平衡@@。
6.数据保护@@的发展@@
当我们说@@GDPR是史上最严格的个人@@数据保护@@法规时@@,实际上@@,1995年@@欧盟通过的@@DPA,也是当时@@全世界个人@@数据保护@@最严厉的法令@@。当时@@,与其他人在@@交流澳门大数据发展时@@,它的最大优势是澳门的数据保护@@@@是遵循欧盟法律的@@,它是随着技术@@的发展@@、数据产生@@、保管@@、流动@@、使用的发展和@@认识的发展@@,处在@@不停地发展中@@,它不是一成不变的@@,道和@@魔的发展永远是此消彼涨的过程@@,在@@不断地发展过程中来提升@@。
以上是我要分享@@的六个方面@@,只是构建了一个基本框架@@。在@@数据保护@@中@@,除了数据不被滥用@@@@、不被泄露@@和@@不被篡改@@这三个基本原则之外@@,还有两条最基本的原则@@:同意和@@透明@@。所谓同意是需要数据的主体@@知晓@@,无论数据主体@@@@、国家@@机构@@,还是个人@@@@,在@@处置信息时必须争得主体@@的同意@@。不仅对于个人@@数据保护@@@@,其他的数据也是相同的@@,使用数据时@@,要与企业@@或国家@@立下保密条款@@。所以@@,数据主体@@的数据无论怎么用@@、谁用@@,使用时都要争得数据主体@@的同意@@。所谓透明@@,是要让数据的目的和@@处理方式@@透明化@@,无论对于是控制者@@、处理者还是主体@@@@,都是应该了解的@@。
以上关键词构成了数据保护@@最基本的原则框架@@,要在@@其中找到平衡点@@,找到当前的发展阶段@@,找到当前的国家@@利益@@@@,那么相应的法律和@@措施会随着它的发展而出现@@。
谢谢大家@@!
