欧盟《数据法案》草案观察
数据采集:构建数据市场的逻辑起点
2022年2月23日,欧盟委员会公布《数据法案》草案全文。草案就数据采集明确提出,要为部门间重复使用的数据制定互操作性标准,消除跨特定领域欧洲共同数据空间的数据共享障碍,以提升两个或多个数据主体交换和使用数据的能力。
随着互联网技术的发展和大数据时代的到来,数据信息的价值与日俱增,数据成为推动世界经济增长的新引擎,发展数据经济已成为新的风向标。占领数据高地、开拓数据经济蓝海已成为各国拉动经济增长、提高竞争能力的关键,我国也不例外,推动数据市场构建势在必行。
作为数据市场的前置环节,数据采集是构建整个市场的逻辑起点,如果数据采集出现纰漏,则对数据存储、数据交换等后续环节均会产生负面影响,不利于数据经济的发展。了解国内外相关法律法规,可助力进一步探究我国在数据采集方面存在的不足,提出完善建议,为数据市场夯基。
欧美国家:综合性与分散性立法并行
欧盟和美国对数据管理形成了两种不同的模式。
欧盟以综合性立法为主,从《欧洲人权公约》到《第95/46/ EC号保护个人在数据处理和自动移动中权利的指令》,再到《通用数据保护条例》,其数据保护法经过了数十年的发展沿革,最终形成了现有的突破地域性的综合法律体系。其中,《通用数据保护条例》对原有数据保护体系进行了补充和更新,对于数据采集的标准和义务做出了更加详尽的规定,要求收集者简单、明确地向用户阐明隐私条款,并且从合同履行、服务提供等角度评估数据采集是否超出合理范围,避免数据的过度收集。
不同于欧盟的综合性立法模式,美国在数据保护方面的立法具有较强的分散性。一是联邦层面未能形成统一的法律体系,主要依靠分散在不同行业中的规定对数据采集做出规制,例如《公平信用报告法》《儿童线上隐私保护法》《联邦贸易委员会法》等,分别从消费者保护、儿童保护、贸易公平等领域规定了在进行数据采集时必须遵守的法律规范。二是各州立法分化,加利福尼亚、纽约、科罗拉多等州各自出台了相关法律,地域性较强,其中《加利福尼亚消费者隐私法》、弗吉尼亚州的《消费者数据保护法》、科罗拉多州的《科州隐私法案》等,均对数据收集的内容、形式、限制、用途进行了规定。
我国现状:立法有待强化,内容有待细化
我国宪法、刑法、民法、行政法等法律中均对数据保护有相关规定,但较为零散,且内容宽泛。面对数据经济的发展浪潮,我国紧抓机遇,制定法律法规,规范数据采集。2017年《中华人民共和国网络安全法》实施后填补了我国在网络安全领域对个人数据保护的法律空白,并提出了合法、正当、必要的数据采集原则。2021年9月,我国首部系统地对数据安全做出保障的法律——《中华人民共和国数据安全法》施行,要求采集者在法律规定的范围内,以合法、正当的方式收集数据,且对所得数据负安全保护责任。
此外,国务院也曾多次发布文件,对数据采集做出了政策性要求。2015年7月,国务院办公厅印发的《关于运用大数据加强对市场主体服务和监管的若干意见》指出,要“创新统计调查信息采集和挖掘分析技术”,为数据采集做好技术准备。2015年8月,国务院印发《促进大数据发展行动纲要》,要求通过政务数据的公开共享,形成以政府为主导,企业、行业协会、科研机构、社会组织等多主体互动共享的数据采集新格局。2020年3月,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》进一步提出要通过推动人工智能等领域数据采集标准化来提升社会数据资源价值,培养数据要素市场。2022年1月,国务院正式发布《“十四五”数字经济发展规划》,再次强调要依法合规开展数据采集。
总体而言,我国数据采集规制仍处于起步阶段,整体表现为“实践先行,立法滞后,文件治理,政策推动”。《数据安全法》仅搭建起数据保护的核心框架,尚未形成完整的法律体系,规范性文件强制力不足,对数据采集的主体、标准、原则、内容、程序等规定就较为空泛,大多将其直接纳入数据处理范围内笼统管理,缺乏具体可实施的细则。因此,我国数据市场亟须治理。
完善建议:三方面着手规范数据采集
首先,国家应当以《数据安全法》为中心,遵循政策文件要求,构建完整的法律体系。通过立法为数据采集制定规范细则,明确采集的目的、手段、范围,做好数据主体的个人信息删除权、知情同意权、数据使用获利权等权利的保障和侵权救济,推动公平信息实践原则的适用,使数据收集有法可依。
其次,要做好数据采集监管,形成数据控制者自查、行政机关监管、数据主体监督的管理模式。数据控制者要建立风险评估体系,规避潜在风险,做好自我监督;政府要厘清职能权限,将责任落实到具体部门,打击非法采集行为;数据主体需提高数据保护意识,重视数据使用范围,主动维护自身权益,避免数据泄露。
最后,数据控制者应当设置有关数据采集的内部章程。在数据采集前,做好采集合规平台的搭建工作,为依法合规进入数据市场做准备;在数据采集时,提高采集能力,创新采集手段,在海量数据中精准采集有效数据;数据采集完成后,要做好数据采集保障工作,通过建立安全数据库、对系统资源访问实行授权制等方式,降低数据泄露风险。
(作者单位分别为国家计算机网络应急技术处理协调中心江苏分中心和东南大学法学院)