大陸數據法學研究或數據開發利用的春天都來了?
2021年6月10日,在第十三屆全國人民代表大會常務委員會第二十九次會議上,《數據安全法》獲審議通過,將於2021年9月1日起施行。
作為大陸首部以「數據」或「數據安全」命名的法律,《數據安全法》獲審議通過、即將施行,預示著大陸數據開發與應用將全面進入法治化軌道。
對於從事數據法學研究和數據開發利用的人員來說,不論是理論研究工作,抑或是開發應用工作,都將迎來全新的發展階段。
對數據法學研究者來說,《數據安全法》審議通過掀開了大陸數據立法的序幕,預計後續圍繞數據管理與應用、數據處理和治理等各種議題,還會逐步形成相應的配套法律法規,構建起順應國際趨勢、符合大陸需要的數據法律體系架構。
對於從事數據活動的各類主體來說,比如企查查、天眼查等,又或者類似特斯拉、滴滴等,《數據安全法》的出爐,意味著過往可能處於「灰色」地帶的一些做法,需要針對立法要求,動進行修正和完善,確保平台或企業對數據的處理活動處於法治化軌道之內。
那麼,大陸即將於9月1起施行的《數據安全法》,還有哪些亮點或要點值得關注?
亮點一:首次從法律上明確「數據」的定義
在《數據安全法》出爐之前,有關「數據」、「數據庫」以及「數據安全」等提法,已經在大陸一些法律、法規及規章中有所體現。
比如,大陸《民法典》(下同)第一百二十七條規定,法律對數據、網路虛擬財產的保護有規定的,依照其規定。
值得一提的是,《民法典》有關「數據」條款放在第五章「民事權利」之內,表明法律上已經承認數據屬民事權利的一種類型。
再比如,《網絡安全法》第十八條規定,國家鼓勵開發網絡數據安全保護和利用技術,促進公共數據資源開放,推動技術創新和經濟社會發展。
當然,在《網絡安全法》範疇內,更多強調的是「網絡數據」概念。其中,已經將數據視為一種資源形態。
但是,法律意義上的數據到底是什麼?在《數據安全法》出爐前,沒有權威統一的定義。
有人認為,數據就是數值,也有人認為,數據就是訊息,還有人認為,數據就是資料,可謂眾說紛紜。
如今,按照《網絡安全法》第三條的規定,數據是指任何以電子或者其他方式對訊息的記錄。
簡單說,法律意義上的數據是指「對訊息的記錄」,形式上可以是電子形式的,也可以是其他形式或方式的。
按照這個定義,我們使用各類互聯網應用,所形成的類似聊天記錄、通話記錄、郵件記錄以及發言記錄等等,都屬個人數據範疇。
亮點二:首度明確了數據處理活動的義務邊界
《數據安全法》除去對靜態的數據安全提出了管理要求,同時也對動態的數據安全劃出了界限。
如果說《民法典》明確個人訊息處理的行為邊界,那麼,《數據安全法》則劃定了數據處理的行為類型。
《民法典》第一千零三十五條規定,個人訊息的處理包括個人訊息的收集、存儲、使用、加工、傳輸、提供、公開等。
《數據安全法》第三條規定,數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。
可以看到,不論是對個人訊息的處理,還是對數據的處理,大陸法律規定的處理行為都包含「收集、存儲、使用、加工、傳輸、提供、公開」等幾種類型。
而對於數據處理行為,《數據安全法》第八條規定,應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、公共利益,不得損害個人、組織的合法權益。
其中,誠實信用原則的引入以及不得危害「公共利益」的提法,對類似企查查、天眼查等平台,通過爬蟲程序大量抓取各類訊息或數據的行為,預計將會起到規範和引導作用。
事實上,在《數據安全法》出爐之前,對於利用爬蟲程序批量抓取數據的行為,各方認識並不統一,對於數據抓取對象為類似微博、大眾點評等商業平台上的各類訊息,未經用戶和平台的一致同意,一般會被認定構成侵權或不正當競爭。
而對於類似公開的政務數據或公共數據,這種批量抓取的行為尚未明確定性,但客觀上越多的公司、機構採用批量抓取行為,就會在相應時段擠佔網路資源,影響普通用戶尤其是個人用戶的正常瀏覽、下載。
簡單說,擠佔網路資源的數據爬蟲程序抓取行為,其主觀涉嫌違反誠實信用原則,客觀上具有損害不特定用戶或公共利益的特徵,理應予以規制。
亮點三:明確數據分級分類保護制度
誠如前述,按照《數據安全法》的規定,各種「對訊息的記錄」都屬法律意義上的數據。
按照這個定義,儲存在個人電腦、手機等設備中的各類訊息或資料屬數據,儲存在服務器或雲端的各類訊息或資料也屬數據。
從歸屬角度來看,數據有可能屬個人,也有可能屬組織,從數據是否具有公共性角度來看,又可以劃分為公共數據和非公共數據等等。
在各類具有存儲功能的設備中存儲的數據,如何區分重點加以保護,《數據安全法》建立了分類分級保護制度,並提出了重要數據、核心數據等概念。
其中,重要、核心的判斷標準主要是:(1)在經濟社會發展中的重要程度;(2)一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度。
當然,從執行層面來看的話,重要程度或危害程度的評判規則或標準,尚不明確,還有待於其他配套或專項法律、法規予以進一步明確。
關於政務數據的處理,尤其是對政務進行「存儲、加工」等處理,按照《數據安全法》的要求,受託方,尤其是電子政務系統的在建設、維護方,在按照委託方要求實施前述處理行為後,「不得擅自留存、使用、洩露或者向他人提供政務數據。」
簡單說,與政務數據或電子政務系統所有者有委託合作的主體,都不能擅自「留存、使用、洩露或對外提供」,那麼,未經委託方許可或授權,通過網絡爬蟲程序批量抓取數據後,進行再加工,甚至對外提供有償服務,則可能面臨更大的風險。
而這對於包括企查查、天眼查等在內的各類數據服務平台或廠商來說,都是巨大的風險和挑戰。
整體上來看,《數據安全法》算是一部「高度凝練」的法律。
《數據安全法》全文共計5470字,分為七個章節合計五十五條,條款數量並不算大。
對於數據安全監管和保護所涉的各方面、各環節,《數據安全法》更多是提綱挈領式做出了制度安排,一些具體的細則或細節,還有待實踐中摸索總結,也有待後續其他配套法律法規進一步明確。比如,數據權益的邊界以及數據交易管理的具體措施等等。
因此,《數據安全法》的正式出爐,掀開了大陸數據立法的全新序幕,後續還有更多實踐和立法值得期待。
【本文僅反映專家作者意見,不代表本報立場。】
|
|
作者: |
李俊慧 |
現任: |
中國政法大學知識產權研究中心特約研究員 |
簡介: |
作者李俊慧先生為中國政法大學知識產權研究中心特約研究員,長期關注網際網路、智慧財產權,以及其相關監管政策和法律問題(大陸地區)。 |
|
|
|
Facebook |
|
在北美智權報粉絲團上追踪我們 |
|
|
|
|
|
|
|