论文部分内容阅读
近几年,数据资源日益成为贯通经济发展大动脉的关键要素,这也使大数据在社会各个领域的渗透越来越深,已成为对中国经济发展至关重要的战略资产。挖掘和利用大数据可以极大地提高社会不同领域的决策水平,进而促进各个领域的发展与创新。但是,大数据技术的应用也使犯罪分子大量利用数据,并给数据主体的权利带来了巨大的威胁,同时严重威胁了该国的数据主权。虽然大数据产业的规模效应日益突出,但是,由于实践中缺乏统一、明确的法律规范,其野蛮增长的无序状态总是接踵而至。尤其是在大数据的采集方面,很多企业无视法律法规,尽管“违法”利用,而忽视了对涉及国家主权、商业利益和公民权利的数据的保护,为大数据产业的健康发展埋下了致命的隐患。此外,大数据安全风险还呈现在大数据的存储、分析和应用等环节,这些不同类型的安全风险更凸显了通过立法手段来实现数据治理法治化的重要性和紧迫性。保障大数据的安全,实现数据治理的法治化是大数据、人工智能时代必须要面对和解决的一个理论与现实问题。实现数据治理的法治化,从命题的逻辑构成来讲包含数据治理的结构与法治化两个问题。数据治理的结构是通过具体的大数据行为即数据的采集、存储、处理、分析、应用与交易等来体现的,也就是指的大数据生命周期中不同主体之间的关系。而数据治理的法治化问题,从目前的法治和大数据实践来讲主要是通过大数据立法来实现的,就是以立法实现各数据主体之间权利义务的设定及其关系模式之制度安排。因此,以大数据内部流程为切入点进行风险类型化分析及立法建议是必要的。保障大数据安全,实现数据治理的法治化,首先应加快大数据安全立法,对大数据的采集、存储、处理、分析和应用等数据行为进行严格规制,落实各数据主体的安全保障义务。保障大数据安全,要加快制定国家层面的统一的大数据立法,制定相应的具有可操作性的各项制度,实现大数据行为的法治化。在具体立法建议方面,明确大数据管理者和运营者的法律责任与义务,制定可操作的实施规则,指导政府部门、各行业领域有效地开展大数据资产的安全保护工作;规范管理数据全生命周期中各环节的安全保障措施,对数据的确权、收集、存储、分析和应用进行规范管理,避免数据泄露、数据资源滥用,对国家利益造成损害。在大数据时代,只有不断完善大数据安全的立法保障,才能从根本上保障国家、企业和个人的数据安全,也才能为大数据的高效利用提供可靠的制度保障。因此,有必要对大数据安全立法进行深入的理论研究。基于此,本文即以数据治理为问题意识,始终围绕大数据安全及其立法保障来展开。首先分析了大数据相关的基础理论,明确了大数据的权利属性。大数据既属个人数据权(兼具人格权特征和财产权特征),又是企业财产,也是国家主权的体现。然后,以现有的大数据安全保障研究成果为基础,以大数据核心业态为切入点,从大数据处理的内部流程即数据的收集、存储、处理、分析与应用等环节分析大数据内部流程存在的安全风险,并探析大数据安全风险的发生途径和规律。再次,梳理国内外最具代表性的大数据立法,分析并借鉴其中先进的立法理念和立法技术。最后,面向中国语境来探寻适合我国的数据安全保障的法律路径。本文正文共分为五章,各章概述如下:第一章大数据的概念论与权利属性研究。概念论与权利属性是大数据治理中的法律逻辑起点。大数据的安全风险分析与治理研究必须以概念论与权利属性为基础,在此基础上才能区分不同数据主体的权利在不同场域中如何被侵犯,并为数据治理奠定理论分析基础。第一部分分析了大数据的基本概念、功能、价值和类型。大数据作为一个新概念、新现象,不仅指大规模的数据对象,还包括对这些数据对象的处理和应用活动,它集数据对象,技术和应用三者于一体。大数据对象可以是实际的和有限的数据集,例如企业或者行政机关拥有的数据库,也可以是虚拟的和无限的数据集,例如Facebook、微信、Twitter等社交网络上的全部数据。大数据具有连接功能,大数据连接一切;反馈功能,大数据反馈事物;揭示功能,大数据揭示相关性,带来价值。开放和共享是大数据的天然价值,大数据商业模式的真正创新是基于数据开放和共享的二次创新,这样才能真正激发大数据之于社会的生产力。从数据生产者的角度来看,大数据可以大致分为行政记录数据、商业记录数据和互联网记录数据。从大数据权利归属来看,大数据可以分为三类:政府数据,企业数据和个人数据。本文对大数据的确权以及立法研究主要是从个人数据、去信息化的经过加工处理过的个人数据(更多的归属于企业数据)、政府数据这三个方面来研究。第二部分主要是对大数据权利归属的理论分析。大数据确权,即界定大数据的数据所有权,即大数据权利的性质、内容和归属。学术界对数据权有四种不同的理论,即新型人格权理论、新型知识产权理论、商业秘密权理论和数据财产权理论。本文认为,就个人数据来讲,它应该是用户自主控制下的数据信息,是可以适当传播的一种权利,这样它就既包括精神利益的权利,同时也包括一定的财产权利。个人数据权是一种兼具人格权特征和财产权特征的新型权利。就以去身份化大数据(企业大数据)而言,应当认识到数据的财产属性,对数据经营者而言,基于其现实利益的需求,应当把数据资产权和数据经营权赋予他们。第二章大数据安全风险的呈现及其类型化研究。第一部分是对大数据核心业态安全风险的分析。大数据核心业态主要包括大数据的采集、存储、处理、分析和应用。(1)大数据采集过程中的安全风险分析。作为大数据生命周期的首个环节,大数据的数据采集是在确定用户目标的基础上,针对该范围内所有结构化、半结构化和非结构化的数据的采集。该过程会带来一系列数据采集上的安全与隐私的问题,这些问题包括:数据采集的完整性问题,数据采集的隐私性问题,数据采集的准确性问题。(2)大数据存储安全风险分析。大数据存储中,最大的安全风险就是数据的泄露。从数据泄露的途径分析,数据泄漏主要分为三种:窃密、泄密和失密。(3)大数据预处理与分析安全风险分析。大数据分析环节存在的安全风险主要包括:隐私漏洞和尴尬,匿名化可能成为不可能,屏蔽数据可能会泄露个人信息,基于解释的不道德行为,大数据分析并非100%准确,算法歧视,大数据可能永远存在,使专利和版权变得无关紧要。(4)大数据应用安全风险分析。首先,“数据孤岛”大量存在。其次,专业人才储备数据量不足。此外,大数据的隐私保护问题也是在实践中阻碍大数据发展与实际应用的主要因素之一。第二部分是对大数据交易安全风险的分析。从市场、规则、监管这三类大数据交易的核心要素来看,大数据交易在现阶段面临的主要问题包括以下几点:大数据交易监管缺少法规标准,数据权属界定尚未明确,交易规则理论亟待创新,数据交易以“粗放式”为主,数据交易平台定位不清,交易技术链条不够完善,数据质量难以得到有效保障,各类数据主体缺乏共享理念,政府数据分类不明,黑市泛滥致使隐私泄露。第三部分是对大数据应用领域的安全风险的分析。分析了互联网行业、电信行业、金融行业、医疗行业、政府组织等各领域对大数据安全的需求。大数据应用领域安全的现状主要表现为移动数据安全面临高压力,网络化社会使大数据易成为攻击目标,用户隐私保护成为难题,海量数据的安全存储问题,大数据的信任安全问题。对大数据资源的破坏和滥用主要有以下三种形式:第一,由勒索病毒形成的一条黑色产业链,其勒索的主要目标是制造业;第二,在未经授权下,大型企业违规收集并滥用用户数据牟利。第三,数据泄露的规模会越来越大,重要行业的数据泄露将成为新常态。因此,安全的大数据才是真正的大数据,应该制定更为严厉、健全的数据保护法。第三章国内外对大数据安全风险的立法应对之现状研究。本章主要研究国内外现有的大数据立法,吸收和借鉴国外先进立法技术和立法理念,从而完善我国大数据安全立法。第一部分介绍和分析了美国大数据立法。在大数据立法方面,美国采取分散式立法模式,主要聚焦于两点:防止大数据对一些特定群体权利造成不公平,以及防范对个人信息隐私的侵犯。美国近年大数据立法的趋势和特点为:保持原有政策的延续性,体现国内法域外适用的趋势,进一步加强消费者隐私保护。第二部分介绍和分析了欧盟代表性数据立法:《通用数据保护条例(GDPR)》。相较于以往的大数据法律,GDPR的修订主要体现在以下方面:管辖权标准从地域/国家划分转向基于数据内容划分,更加注重数据主体权利保护,对数据控制者及处理者制定严格义务,改革数据保护机构,推动欧盟数据流通市场的统一与高效,设置巨额处罚措施。第三部分梳理了世界其他国家大数据立法清单。GDPR现在是世界上最强大的数据保护机制,很多国家希望将它作为其他司法管辖区的“黄金标准”。本部分主要梳理了澳大利亚、巴西、法国、德国、印度、日本、俄罗斯、瑞典、加拿大和韩国等国家的大数据立法,全世界数据保护法的激增证明了数据保护在全球议程上的重要性日益凸显。最后一部分分析了中国大数据立法现状。首先对我国现有大数据立法进行了梳理,然后分析了大数据法规、规章、政策等治理现状。此外,对《数据安全管理办法》进行了评析,最后对我国现有大数据立法进行理论反思,分析现有大数据立法中存在的问题,尽管有如此多的法律法规和部门规章涉及到个人信息保护,但从整体来看,我国有关大数据保护的立法在适用范围、可操作性和具体内容方面存在很多问题,我国大数据立法滞后于实践,亟需国家层面的大数据安全保护法。第四章我国大数据安全立法应遵循的立法原理。在大数据安全立法过程中,必须首先从立法目的、立法理念、立法原则几个方面为大数据立法指明方向。本章即主要研究大数据安全保障的立法原理,从而为后面大数据具体规则的制定提供理念和原则的指导,也更能突出大数据立法的核心思想。第一部分分析了大数据安全立法的目的和理念。大数据安全立法的目的就是要保障个人数据权和企业财产权,维护国家数据主权,实现对大数据安全的全方位保障。立法理念是大数据安全立法保障的指导,是确立大数据安全立法的立法目的与宗旨的基础。大数据立法应当坚持秉承公共福利的立法理念,坚持算法正义的立法理念,兼顾数据安全和数据流通的立法理念,数据主权安全保护模式攻守兼具的立法理念。关于立法理念为指导下的立法模式,本文认同的观点是统一立法并辅之分散立法模式,从中国的传统和现实情况来看,采用这一立法模式更适合中国国情。第二部分研究了我国大数据安全立法的基本原则。首先梳理了国外大数据保护基本原则的变迁过程,然后分析了我国大数据保护基本原则的演变,相较于欧美国家对于大数据保护基本原则的发展,我国大数据保护基本原则的理论建构实际上经历了2000年-2010年的萌芽阶段与2010年至今的发展阶段。基于此,实现对我国大数据保护基本原则的理论建构。大数据安全立法的基本原则应当包括:数据公开和自由原则,数据控制者应当遵循的八原则(安全,公平、合法、透明,目的限制,数据最小化,保持数据准确和最新,存放时间不要超过需要的时间,考虑到人民的权利,诚信与保密),收集使用个人数据的强调性原则(透明性、数据主体的控制权、严格的处罚措施)。第五章我国大数据安全的立法保障措施。本章从立法的角度为我国大数据安全,大数据健康发展提出建议,确保大数据每一环节都有立法的规范,保障大数据各环节的安全。第一部分为大数据各环节及数据主体权利立法建议。1.以数据控制者为面向大数据核心业态立法建议:立法应当对“同意”作出明确规定,同意是指对数据主体的意愿进行的任何自由、具体、知情和明确的表示,通过声明或明确的平权行动,该主体表示同意处理与他或她有关的个人数据;大数据采集制度必须合规;大数据处理应当合理合法;数据分析应确保算法公平;数据共享必须合规;豁免条款立法建议;数据泄露后通知义务。2.数据交易安全立法建议。大数据交易的并非原始数据而是其脱敏数据,应当规范大数据交易合同规则,完善交易双方权利义务,明确合同违约界定。推进我国大数据交易发展的突破路径建议:加快标准立法建设,优化数据交易环境;加快数据开放进程,与数据交易形成良性互动;健全规则抓监管。3.数据主体的权利。立法应当授予人们以消费者、公民等身份的权利,这样人们在特定条件下可以行使一系列特定的数据主体权利,这些权利包括知情权、访问权、纠正权、删除权、限制处理的权利、数据可移植权和异议权。第二部分分析大数据安全保障需要开放政府数据。数据的生命力在于共享和流动。政府数据开放对大数据安全最大的价值就在于减少甚至消除了数据“黑市”的存在,数据的流通和共享让数据“黑市”不再泛滥,也能从正面减少甚至消除数据泄露的问题。加之国家立法的规范,能最大限度的促进数据的自由流通,消除数据泄露隐患,消灭数据“黑市”,切实保障大数据的安全。数据开放是政务公开、政府信息公开的延续,政府借助信息技术的发展,更大限度地向公众开放政府的执政活动。政府数据开放的价值在于:数据开放有利于改变传统的行政模式,提升政府治理能力;数据开放有利于转变经济发展方式,激发市场活力;开放政府数能够为社会生活带来极大地便利。要实现政府数据开放,必须加快政府数据开放法律体系的建设,在全国范围内建立统一、规范的政府数据开放平台。多维度深化认识,强化顶层设计与协同推进,构建具有中国风范的开放政府数据框架,树立数据治理思维。