本文来自微信公众号:腾云(ID:tenyun700),作者:许可(对外经济贸易大学数字经济与法律创新研究中心执行主任),头图来自:视觉中国
2020年,新冠病毒深刻改变了世界,甚至延宕了时间:从2020年东京奥运会到2020年迪拜世博会……难怪《经济学人》使用“Déjà vu”(似曾相似)一词来形容新的2021年。
而在全球数据治理领域,2021年也将延续2020大势。在除旧迎新的关口,我们不妨梳理其中大势,并对可能的关键事件稍加展望。
个人:个人信息保护意识提升
全球的疫情并未削弱民众对个人信息保护的意识,恰恰相反,正如《安永2020年全球消费者隐私调查》所展现的,人们比疫情之前更加了解到个人信息的价值。[1]这种意识的提升受到三种力量的驱动:
一是人脸识别、轨迹追踪等用于疫情防控的监控技术的广泛运用;
二是线下活动线上化(如居家办公、在线教育)引发的对家庭隐私、雇员隐私和儿童隐私的关切;
三是全球范围内个人信息保护规则的出台,这既包括各国在疫情期间发布的近上百件个人信息保护意见和指南,也包括如中国《民法典》《个人信息保护法(草案)》《未成年人保护法》、美国《加州隐私权利法案》。
在民众权利意识勃兴的背景下,2021年个人信息立法和执法将进一步推进,全球个人信息受保护的人口比例也将从2020年的10%提高到2023的65%,[2]其中,中国功不可没。在2021年,如下事件会得到重点关注:
1. 中国《个人信息保护法》将正式通过
我国个人信息保护的立法工作由来已久,早在2003年国务院法制办就开始了个人信息保护的立法研究工作,2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确了电子个人信息保护的基本规则,2016年《网络安全法》和2020年《民法典》从公私两面对个人信息保护作出规定。2018年9月,全国人大常委会将《个人信息保护法》列入立法规划,并于2020年公布草案。
根据立法程序,《个人信息保护法》拟于2021年下半年提请最终审议。作为数字社会的基础性法律,《个人信息保护法》如何妥善处理个人和企业、个人和国家、权利法和管理法、分散执法和集中执法、本法和他法(如《网络安全法》《数据安全法》)以及与国际规则的关系,必将成为2021年各方关切的重中之重。
2. 个人信息权益诉讼兴起
2021年1月1日生效的《民法典》赋予了个人对其信息的查询权、复制权、更正权、删除权等一系列积极性权利。为了回应这一重大变化,2020年12月,最高人民法院修改了《民事案件案由规定》,根据《民法典》第1034条等规定,增加了“个人信息保护纠纷”案由,改变了之前个人信息不得不通过名誉权、隐私权或一般人格权获得救济的窘境。
不仅如此,《个人信息保护法(草案)》第66条赋予人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织提起公益诉讼的广泛权力。不过,个人信息的司法保护要落到实处,仍需解决何种信息属于个人信息、侵权归责要件、证明责任分配、赔偿金额计算、隐私权和个人信息权益竞合等问题,而这尚待最高人民法院相关司法解释的释明。
3. 特定行业中个人信息保护增强
在数字抗疫过程中,医疗健康信息的处理成为关键性助力,这也给个人信息保护提出了新的挑战。如何在信息合理使用的前提下,实现个人信息权益保护,成为后疫情时代亟待解决的问题。此外,随着金融业数字化转型,个人金融信息在范围和利用上不断拓展,传统“为客户保密”一般原则早已不敷适用。
过去一年,从《个人金融信息(数据)保护试行办法(草案)》到《中国人民银行金融消费者权益保护实施办法(征求意见稿)》,从《商业银行法》修改到《征信业务管理办法(征求意见稿)》,个人金融信息规则日新月异。如何在《个人信息保护法》的架构下,根据金融行业特点对个人金融信息保护做出因地而异的调整,必将成为2021的关键问题之一。
企业:科技跋涉(Techslog)长路漫漫
在预测2020年数据治理趋势时,我们曾用“科技抵制”(techlash)一词来描述全球对科技巨头日益增长的实力和影响力强烈而广泛的负面反应。
过去一年中,美国和欧盟竞相开启了对谷歌、苹果、亚马逊、脸书的反垄断调查,欧盟委员会发布的《欧盟数据战略(European Strategy for Data)》将数据共享设定为垄断性企业的法定义务,以促进数据流动,中国市场监管总局《平台经济领域的反垄断指南(征求意见稿)》对大数据杀熟、数据构成“必需设施”和利用数据的算法共谋行为明确予以规制。
但是,从健康码到OTO,为世界按下暂停键的新冠疫情也凸显了在线服务和科技企业的重要性,并加速了生产和生活的数字化转型。
正因如此,《经济学人》在展望2021年时,转而创造出“科技跋涉”这个新的词汇,来形容民众与科技巨头的复杂关系。延续这一思潮,下述事件会得到重点关注:
1. 数据相关限制竞争行为的认定
数字经济的反垄断围绕着平台、数据和算法开展,其中,作为企业竞争力的重要来源之一,数据在认定企业用于市场支配地位时具有显著的意义,但其本身使用能否成为反垄断法下的竞争关注,仍然存在诸多争议。
2021年1月,德国联邦议会通过《数字竞争法》,这是《反限制竞争法》第10修正案,其明确了数据构成必要设施的后果,即相关企业不得拒绝或限制产品或服务的互操作性或数据的可移植性,从而阻碍竞争。
回到中国,《平台经济领域的反垄断指南(征求意见稿)》列举出判断数据构成必需设施的若干要素,如“数据对于参与市场竞争是否不可或缺、数据是否存在其他获取渠道、数据开放的技术可行性、开放数据对占有数据的经营者可能造成的影响等”,规则还需在实际应用场景中进一步明晰。
2. 对新兴技术强化规制
信息技术的迅猛发展及其对社会的深刻形塑,不但改变了传统上“技术中立”的认识,也使得数据治理日益和技术治理相融合。OECD《2020数字经济展望》报告显示,各国普遍认识到,在数据保护立法中,适应信息技术迭代是最大的挑战,发布有关人工智能、物联网、智慧城市、无人机、区块链等相关技术的个人数据指南,成为多样化政策选择的重要内容。[3]
同样,如何有效规制深度学习算法、人脸识别、深度伪造等新兴技术的风险,也成为我国监管机构关注的重大问题,而正如域外经验所启发的,法律越来越被视为工具包中的一个要素,其治理还需要从行业伦理、创新激励、自我监管的新框架。
经济:数据价值凸显与市场初建
人们对于数据价值的认识是一个不断演进的过程。传统经济模式失速、国际环境复杂严峻、国内任务艰巨繁重,以数据为关键生产要素的数字经济成为增长的新动能、就业的新空间,“数据”价值由此倍增。
放宽全球,欧盟和美国一年来竞相出台的数据战略,凸显出各国政府正在数据利用中发挥着越来越重要的作用:美国白宫行政管理和预算办公室(OMB)发布《联邦数据战略与2020 年行动计划》,“数据作为战略资源开发(Leveraging Data as a Strategic Asset)”成为其核心目标;欧盟《欧盟数据战略》则通过构建统一的数据获取和利用规则、加大数据领域投资、打造核心行业和公共利益领域的统一数据空间、加强数据专业人才建设等一揽子措施,推动欧盟单一数据市场的建立。
在此潮流下,2020年4月和5月,中共中央、国务院先后发布《关于构建更加完善的要素市场化配置体制机制的意见》《关于新时代加快完善社会主义市场经济体制的意见》等,提出“加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护,发挥数据资源价值”等要求,2020年10月出台的《关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》进一步提出:“推进土地、劳动力、资本、技术、数据等要素市场化改革。
“健全要素市场运行机制,完善要素交易规则和服务体系。”“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用。”基于此,2021年将在如下议题上持续发力:
1. 搭建数据要素市场基础制度
数据要素市场并非自动自发形成,其始终有赖“市场执行性制度”的建立健全。针对数据这一新型资源,如何确立数据产权、明确交易规则、保障各方权利并划定义务便成为基础性问题。在顶层立法付之阙如的情形下,《天津市数据交易管理暂行办法(征求意见稿)》《深圳经济特区数据条例(征求意见稿)》《北京市数据条例(草案)》纷纷出台。2021年将继续延续地方数据立法的探索,从下自上推动数据要素市场成型。
2. 数据流通制度日渐成型
数据流通是数据价值发挥的核心环节。在双循环的背景下,数据流动亦将呈现内外双循环:对内通过地方性的大数据交易所和全国性的一体化大数据中心,实现数网、数纽、数链、数脑、数盾的复合体系,对外则依托北京、深圳、海南、上海等地的数字贸易港,落实数据跨境流动安全管理和试点工作。因此,如何在法律上为数据流通提供保障,将成为2021年的核心议题之一。
社会:数据共享有望加速
疫情在放大了社会丑恶,但也激发了社会美好的一面。在安永开展的调查中,有50%的受访者表示,疫情使他们更愿意放弃自己的个人数据,尤其是当他们知道这有助于研究或社区健康的话,此外,有65%的人愿意与医疗机构分享医疗健康数据,以改善医疗体验。这种社群意识被欧盟2020年《数据治理法案》(Data Governance Act)所回应。该法创造性地引入“数据利他主义”,倡议个人、企业出于公益目的,自愿免费提供数据以供再利用,并通过“数据利他机构”的设立推动数据共享。
此外,出于疫情防控的需要,不同地域、不同行政机关之间的条块分割得以松动,部门之间的数据流动窒碍有所消解。最后,各国专家对新冠疫情的临床、流行病学和实验数据的获取和共享有助于理解病毒的传播,增强政府政策,促进了疫苗研发和分发方面的合作。在上述三重因素的作用下,数据共享有望在如下两方面加速:
1. 公共数据共享与开放
2020年3月30日中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,明确提出“推进政府数据开放共享。”2020年《数据安全法(草案)》第五章专章亦规定“政务数据安全与开放”,要求国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
受此影响,上海、天津、浙江、深圳等地也纷纷出台公共数据共享和开放的地方性立法。不过,如何将顶层设计和抽象规则落实到实践中,化解公共数据共享中资金不足、激励欠缺、责任不清的痼疾,仍有待进一步探索。
2. 政企数据共享
联合国全球脉动计划(United Nations Global Pulse)的“数据和治理”负责人米拉·罗曼诺夫(Mila Romanoff)所言:“我们需要有一个框架,允许公司和当局进行合作,以对公共利益作出适当回应”。[4]在疫情面前,各国也在积极谋求数据治理公私合作的新途径。不过,数据协作治理绝不意味着政府的企业化抑或企业的政府化,毋宁是各方在发挥自身优势的基础上,实现跨边界的合作。
2020年12月,经合组织数字经济政策委员会就行政机关调取企业个人数据发表声明,呼呼各国尽快就数据调取的法律依据、批准程序、数据范围、透明度和救济措施达成共识,为此将组建政府代表和专家组成的起草小组,对此开展工作。
政企数据共享问题同样也是我国《数据安全法》和《个人信息保护法》的核心议题之一,我们期待着审慎、有效的顶层设计,以兼顾国家、企业、个人的多元诉求。
国际:数据跨境流动更不确定
数据跨境流动是经济全球化的不竭动力。跨境数据流动在2005到2105年的十年间使全球国内生产总值增长了约10%,数据流所产生的附加值估计为2.8万亿美元,已经超过了货物贸易的贡献。[5]Goldfarb和Tucker已通过实证研究证明:数据跨境流动管控对经济全球化造成不利影响。[6]
2019年,世行在其发布的《东亚数字经济创新:限制性数字政策重要吗?》中,报告梳理了东亚15国的数字经济法律政策,并使用定量研究的方法得出“数字限制指数”,直观展现出数据跨境管控与企业创新之间的负相关关系。[7]
2020年,数据跨境流动冷热两重天。在冷的一端,2020年7月,欧盟基于美国政府监控其个人数据的担忧,宣布隐私盾计划(Privacy Shield)无效,跨大西洋数据流动面临挑战;无独有偶,一个月后,美国特朗普签署行政命令禁止与TikTok和微信进行交易,并将数据本地化作为后续处置中的潜在条件之一,同时,美国还推出令国际互联网协会悲叹互联网将沦为“分裂网”(Splinternet)的“清洁网络”计划。
在热的一端,在全球化退潮的大背景下,中国积极谋求区域合作,相继签署《区域全面经济伙伴关系协定》(RCEP)、中欧投资协定,试图通过多边机制实现数据自由、安全流动。展望2021,如下事件值得认真关注:
1. 中国《数据安全法》将正式通过
在美国《澄清域外合法使用数据法》(the Cloud Act)和欧盟《一般数据保护条例》(GDPR)背景下纳入全国人大立法计划的《数据安全法》,自始便烙下了全球数据博弈的深刻印记。历经两年的酝酿,《数据安全法》于2020年公布草案,并将在2021年正式通过。
作为数据安全的基本法,《数据安全法》为确立数据安全保护管理各项基本制度,并与《网络安全法》《个人信息保护法》和《国家安全法》构成了数据领域的“四法全书”。
草案贯彻了“统筹境内境外”的原则,从不同维度初步确立了我国针对数据跨境流通和投资基本框架,既包括出口管制、数据调取与封阻法令等显性规则,也包括数据安全审查和数据对等措施等隐形规则。不过,如何具体制度上落实第10条“数据跨境安全、自由流动”,仍有待进一步细化数据安全的内涵,避免安全泛化戕害了数据自由流动的目标。
2. 中国参与区域协定的进程
作为数据经济大国和经济全球化的坚定主张者,中国在全球数据博弈中正经历着“攻守易型”的伟大转变,有责任也有能力通过全球数据规则——这一公共品的提供,为全球数据博弈定规立制。基于此,中国摒弃了消极防御的态度,转而积极开展国际交流与合作,参与数据安全相关国际规则和标准的制定。
2021年,中国在继签署RCEP和中欧投资协定之后,谋求CPTPP谈判和签署,着力促进一带一路沿线各国贸易和投资自由化、便利化,并在数据安全的前提下,建立各国可互操作的数据跨境流动方案,推动数据利用的开放、合作与共赢。
2021年已经来临,但疫情依然徘徊在我们周围。显然,我们的世界被深刻而不可逆地改变了。恰如法里德·扎卡瑞亚(Fareed Zakaria)在《后疫情世界的十个教训》(Ten Lessons for a Post-Pandemic World)一书所指出的那样:
正是由于新冠疫情与人类历史的过去、现在和未来紧密相连,所以全球合作变得愈加重要——如果到下一场危机来临再开始准备,我们将措手不及。全球数据治理亦是如此,而这也正是“网络空间命运共同体”的意义所在。
参考资料
[1] EY Global Consumer Privacy Survey 2020,p4.
[2] Gartner Says By 2023, 65% of the World’s Population Will Have ItsPersonal Data Covered Under Modern Privacy Regulations, https://www.gartner.com/en/newsroom/press-releases/2020-09-14-gartner-says-by-2023--65--of-the-world-s-population-w
[3] OECD, OECD Digital Economy Outlook 2020, OECD Publishing, Paris,2020.
[4] “As Coronavirus Surveillance Escalates, Personal Privacy Plummets”,https://www.nytimes.com/2020/03/23/technology/coronavirus-surveillance-tracking-privacy.html
[5] Mckinsey and Company, 2016, Digital Globalization: The New Era ofGlobal Flows, London.
[6] Goldfarb, Avi, Shane Greenstein and Catherine Tucker, EconomicAnalysis of the Digital Economy. University of Chicago Press, 2015.
[7] Ferracane,Martina Francesca, ”DigitalInnovation in East Asia:Restrictive Data Policies Matter?“, WorldBank Group Policy Research Working Paper, No 9124.
本文来自微信公众号:腾云(ID:tenyun700),作者:许可