林维教授在首届中国数字经济发展和治理学术年会上的主旨演讲 中国的数据法律保护:现状与问题
2月18日,2023年春季首届中国数字经济发展和治理学术年会在清华大学顺利举办。会议由清华大学经济管理学院、公共管理学院和计算社会科学与国家治理实验室承办。中国社会科学院大学副校长、中国社会科学院大学数字中国研究院院长林维教授在大会发表题为《中国的数据法律保护:现状与问题》的主旨演讲。本文根据林维教授现场发言内容整理。
林维教授作主旨演讲
各位好,特别感谢主办方提供这次交流机会,很荣幸今天能跟大家分享对于“中国数据法律保护现状与问题”的理解,尤其是我发现今天发言的嘉宾中从事法律研究的比较少。在这样一个经济快速转型、治理方式快速转型的社会当中,我想经济和法律需要更多的对话、沟通和理解。法学家需要更多地了解经济发展的逻辑,反之,经济学家或者企业家们也要了解法律的思维、法治的逻辑。经济运行的具体模式众多,法学尤其刑法学不得不要进行穿透式的监管和治理,要更加一针见血地去了解经济运行的本质,从而来做出判断。当然这在数字经济这样一种崭新的模式中实际也变得越来越困难。因此,法学、经济学、公共管理等不同领域的对话变得极为重要。
今天,结合会议主题,我主要和大家分享三部分内容:一是我国数据法律保护体系现状;二是数据法律保护的司法实践,尤其结合我的研究谈一下我国数据的刑法保护现状:三是我国数据法律的保护趋势以及完善建议。
数据的价值具有长期性和多样性,其可能直到数据采集、存储甚至删除很久后才产生;同时也会因为场景、时间、行业而使得价值释放十分不同。整体上来说,数据作为数字经济时代最核心的生产要素,正在加速成为全球经济增长的新动力、新引擎。与此同时,诸如数据违规收集、非法滥用、丢失泄露等安全事件频繁发生,数据保护形势日益严峻,国家安全、社会秩序以及个人权益正在受到更大的冲击,如何平衡“数据开放流通”与“数据合规安全”之间的矛盾统一性成为世界性的课题。
从数据的全生命周期角度出发,参与方多元纷杂。数据保护的核心在于来源合规与流动合法,即数据全生命周期包括数据收集、存储、使用、加工、传输、提供、公开等各个环节在内的安全与合规。比如:数据采集环节,不应涉及数据的非法采购和非法爬取;数据使用环节,要防控内部人员窃密、滥用和疏忽而导致的数据泄露风险;数据共享环节,要管控高密级数据流向低密级业务口;数据销毁环节:确保剩余敏感信息没有继续存留在数据库、服务器和终端上;防护隐私性数据片段被挖掘泄露。数据出境环节:出境需要合法正当,且满足必要的监管审批手续。
诸如此类,都是数据保护的应有之义。一个合理的数据保护法律体系,应当阐明数据的拥有者、控制者、使用者和维护者等不同主体在不同场景下、数字流转的不同环节中,法律风险与保护义务如何分配承担,从而使我们能够确定妥当的数据价值挖掘方式和利益分享模式,并充分地实现数字资源向数字资产的转变,最大程度地发挥其作为基本生产要素的作用。
一、数据法律保护的制度现状
1.宏观政策
数据在我国数字经济中的基本要素地位,目前已经通过国家战略性和纲领性文件逐步确认下来。2020年3月30日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,第一次对推进要素市场化配置改革进行总体部署,明确要素市场制度建设的方向和重点改革任务,提出加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。
2022年6月22日召开的中央全面深化改革委员会第二十六次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》,提出数据作为新型生产要素,已快速融入生产、分配、流通、消费和社会服务管理等各个环节。要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。
2022年12月2日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,即通常所说的“数据二十条”,要求构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度,充分实现数据要素价值、促进全体人民共享数字经济发展红利,为深化创新驱动、推动高质量发展、推进国家治理体系和治理能力现代化提供有力支撑。
围绕数据密集出台的重要政策文件,体现了数据要素对于数字经济发展的基础作用,也体现了数据法律保护作为数据基础制度基础的迫切性和重要性。
2.主要立法
各主要经济体在数据法律制定和规则设计上都积极发力,欧盟的《通用数据保护条例》《数字市场法》《数字服务法》,英国的《数字经济法案》,美国《数据隐私和保护法案》《加强美国网络安全法》以及网络空间和数字政策局等应运而生,数据领域立法蓬勃发展。对于中国而言,围绕数据的基本立法主要包括民法典、刑法以及反不正当竞争法中与数据相关的规定。此外,我国政府对数据安全和个人信息保护进行了前瞻性、针对性的战略部署,开展了系统性的顶层设计,数据安全治理逐步从静态走向动态。具体针对数据问题,2021年《数据安全法》《网络安全法》《个人信息保护法》相继出台,共同构成的“三驾马车”架构落地。架构之下,《数据出境安全评估办法》等部门规章规范性文件陆续出台,《个人信息安全规范》等国家标准体系逐步落地,网络安全与数据保护法律规范体系日臻完善。
另外,《网络数据安全管理条例》目前也正在制定过程中,目前第一稿已经征求意见,正在讨论第二稿过程中。作为行政法规,该《条例》承担了承上启下的立法功能。《数据安全法》普遍被认为过于抽象原则,需要更加具体的落地机制,而《个人信息保护法》虽然很多制度压得比较实,但是实体法规则居多,程序和机制较少,《条例》因此承担了进一步细化实体规则并建立相应的程序机制的功能和任务。《条例》将个人信息和重要数据等一般性网络数据放在一起监管,搭建数据监管的整体化框架,也是一定程度上整合了《数据安全法》和《个人信息保护法》两种合规体系。除了个人信息、重要数据等已有制度和规则,该条例还特别突出强化了公共数据、政务数据、具有公共属性数据等与政府履行公职相关的数据安全体系,体现了对政治安全和国家安全的重点考虑。
不过,就该条例而言,仍然存在着诸多问题:从政府内部顶层设计来看,多头监管的局面依然可能存在,网信作为最重要的监管力量,在评估、认证、跨境、监督检查等方面依然会努力发挥机制建设的牵头作用,公安、工信及其他行业主管部门亦会有监管举措。此外,司法部门对于规则建构和治理的作用也不可小觑,以检察公益诉讼为代表的检察院参与数据治理的积极性也依然十分活跃。而就《条例》本身规则而言,某些创新规则具体措辞和规则应可斟酌,例如新概念及其分类的科学性不足,如何协调强化数据安全保护与数据要素流通之间的关系,构建更加理性、具有可操作性的数据安全合规规则体系,应该依然存在调整。
3. 其他规范体系
除了基本立法体系之外,还存在大量部门规章、规范性文件、技术标准、合规指引等规定体系,有的出自政府部门,有的来自非强制性的行业标准,但是在实践中,通过测评、认证等方式,各自产生影响产业的效力。目前看,数据安全的这些规定体系过于分散,碎片化,存在政出多门、不够协调的情况。
二、数据法律保护的司法实践
1.民法和经济法保护:这主要集中于个人信息、数据不正当竞争、反垄断
针对个人信息的民事保护呈现日益严格的态势,尤其是《民法典》和《个人信息保护法》生效之后,为个人信息的民事权益搭建了全面的保护体系,构建了访问权、更正权、删除权(被遗忘权)、限制处理权、反对权、可携带权等具体权利,司法实践中对于这些具体制度和权利的保护进行了深入和细致的规则适用,产生了大量保护实践,有效、切实为个体隐私和个人信息的保护提供了司法保障。
数据权属保护方面,司法实践中主要在反不正当竞争法的适用领域,为平台用户数据、数据产品、用户生成内容数据、增值业务数据等数据要素利益的保护,提供了重要的法律保护机制,也为立法规则的发展提供了基础,目前《反不正当竞争法》修订草案中,针对数据抓取、盗用等行为,也建立了数据权益的保护规则,如获通过,应能成为商业数据权益保护方面的重要制度。
反垄断法为保障数字经济和平台经济领域的竞争秩序提供了重要的保障。在涉及数据垄断、大数据杀熟等领域,相应的司法适用规则和案例正在不断成熟,从而构建了具有中国特色的竞争法规则体系。
2. 刑法保护:个人信息和数据犯罪
考虑到数据本身并未在刑法中得到独立保护,同时也确实考虑到数据在不同法益保护领域的多元性,毋宁说刑法对于数据采取了一种更为综合的保护模式。和数据保护相关的主要罪名包括:破坏计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯商业秘密罪、侵犯公民个人信息罪等。这样一种综合多元保护的模式当然体现了对数据的多方位保护,但也恰巧暴露了因为数据确权的困难而导致数据本身的价值所遭受的漠视。
现有的刑事法律体系混同了计算机系统和数据两种对象,更侧重于保护计算机信息系统而非数据本身,倾向对包含明确具体法益的信息进行保护,而对数据法益这种抽象的独立法益属性关注不足,乃至有时完全忽略了数据本身的资产价值。数字经济时代,企业数据具有可商品化和财产化,企业数据的财产属性主要体现在企业能够基于对数据的控制以及通过数据的交易、利用获得一定的经济收益乃至竞争优势。虽然基于数据处理者对“数据资源整体”和“数据产品”的大量人力、物力、财力投入的考量,我国已先后在司法实践层面和地方性法规中确认数据处理者(平台型企业)享有竞争性财产权益,但刑法上一直未赋予企业数据作为新型财产的法律地位,因此犯罪规制有所缺位。比如对于利用网络爬虫技术非法获取企业数据的行为,司法实践只能回避犯罪行为所抓取的数据类型、数量、价值等,而多从危害计算机信息系统运行秩序和数据安全的角度,适用非法获取计算机信息系统数据罪进行兜底性定罪处罚,该种规制思路一方面导致出现司法适用的“口袋化”或“虚置化”倾向,另一方面使得数据企业的数据资产无法得到刑法认同。历次的刑法修正均没有跳脱出计算机时代陈旧的规制思路和立法模式,在回应数字时代数据刑事风险方面存在明显的代际落差与类型遗漏。
我经常举一个例子,就是一个小偷非法侵入他人住宅,盗窃了大量财物,但最终这些财物的价值认定存在困难,因此只能认定非法侵入他人住宅罪,所赔偿的也只能是盗窃犯损坏的门锁的费用,而不是财物本身的价值。显然,这是未来数据的刑法保护所必须予以回应的问题,否则数据的法律保护大厦始终门洞大开。对于数据而言,在民事权益的确认上,无论采取何种观点,都应加速推定确权的工作。
刑法上对个人信息和数据相关的罪名,近年来也有强化打击力度的趋势。个人信息严重泄露导致的电信诈骗等社会现象,也引起高度重视并加大打击力度,通过个人信息打击犯罪等专项系列行动,配合以《反电信网络诈骗法》等专门治理导向的立法,对于个人信息泄露及其相关的网络犯罪打击,近年来取得明显成效。近年来,针对非法数据获取和利用的刑事打击也呈现强化趋势,以刑事手段强化对于数据合法权益的保护,维护数据要素市场的诚信秩序和营商环境。
3. 公益诉讼
与上述不同部门法对数据的保护不同,我想特别强调的是,作为一种治理机制,与数据相关的公益诉讼也正在成为司法实践中的重要手段,同样呈现日益重要的影响力。尤其个人信息保护领域的检察公益诉讼已经成为个人信息保护和治理的十分重要的机制,在绝对数量和重要性上迅速发展。数据相关其他领域的公益诉讼也在日益涌现,例如数据相关的消费者公益诉讼、反不正当竞争法和反垄断法领域的公益诉讼,都有望在不远的将来,在中国数据治理现代化的体系内发挥重要和亮眼的作用。
三、趋势和问题
1.立法从分散化转向体系化
目前,我国的数据基础立法已经初成体系,但是具体适用的规定过于碎片化和分散化,而且彼此之间存在不够协调、叠床架屋甚至相互冲突的情况。接下来有必要通过顶层设计的协调和统筹,努力实现数据领域立法的体系化和协调化,避免政出多头、重复监管等监管机制给数据市场的统一化建设和数据要素的流通,形成不必要的成本,形成科学、理性、有序的数据规范体系化和监管体制的现代化。
2. 数据要素市场基础制度建构
数据要素市场基础制度的战略方针已经确立,“数据二十条”提出了发展方向和基础理念,但是数据要素市场基础制度的具体构建,依然任重而道远。首先,需要在强调数据安全和责任,与促进数据流通之间,找到一条明确的权衡道路,过高的安全责任的确可能给产业带来较重的负担,这一点需要得到重视。其次,要建立数据分级分类机制,针对各个领域展开深入的产业需求调研,针对性建立起有效的数据保障机制,避免一刀切、一窝蜂的政策导向。最后,重视数字经济和实体经济融合过程中数据要素的活力激发机制,将多年积累的数据价值有效转化为激活实体经济的驱动力,需要有针对性地给予政策支持和指引。
3. 公共数据开放和利用
公共数据开放和利用是建构数据要素市场的重要抓手,目前看,各个地方政府活跃出台相关条例,各地全面开花,但是就公共数据开放的基础设施、统一制度、理论认知看,还存在大量空白的需要建设的空间,而且还有很多攻坚的问题需要解决。公共数据作为一方数据沃土和宝藏,对其价值的开发和流通的保障,是接下来法律制度和政策支持的非常重要的重点领域。
以上是我今天关于“中国数据法律保护的现状与问题”主题的一些简要的理解和分享,谢谢大家!
