如果你生活在欧洲,那么你每天都可能会面对几次“隐私拷问”:每当你打开一个初次访问的网站,便会看到一条隐私提示。你可以直接点击“同意”,但如果你想了解更多,你就要花时间一条条研究隐私条款,有选择的开放你的隐私权限。
这说明你正处在欧盟《通用数据保护条例》(GDPR)的保护之下。该条例规定,企业在收集用户个人信息之前,必须以“简洁、透明且易懂的形式,清晰和直白的语言”向用户进行说明。
对于一个生活在20年前的人来说,这可能是比人工智能、无人驾驶汽车更“科幻”的场景。
2011年,世界经济论坛发布了《个人数据:一种新资产类别的出现》报告,指出个人数据正在成为新的经济“资产类别”。同年,整个互联网世界开始了从PC向移动端的大转型,大量的服务和应用被移植进智能手机,全球用户数据增长至惊人的1.8ZB(1.8万亿GB)。
2012年初,整合了1995年版隐私保护指令、电子通讯隐私保护指令以及欧盟公民权利指令的《通用数据保护条例》(GDPR)草案被正式提出。经过漫长的讨论,直到2018年5月25日,该条例才最终生效。至今,它已实施了1年零38天。
GDPR极大提升了个人对自己数据的掌控权,用户可以自己选择同意或否定企业收集个人数据的权利。行使此权利的代价则是付出较高的时间和智力成本。
对GDPR的“吐槽”也不少。最集中的一项是企业在合规方面的支出猛增,为了合规,企业需要付出高昂的成本。根据《福布斯》报告,GDPR让美国财富500强企业在实施前就花费了78亿美元合规成本。普华永道给出更明确的合规成本估计:68%的公司预计将花费100万到1000万美元。面对高昂的合规成本,许多初创企业从一开始便放弃了开发欧洲市场的打算。除此之外,GDPR还面临执法不足等问题。
但无论怎么说,GDPR已经吸引了全世界对“数据规则”问题的关注。伴随着数据权利意识在整个世界范围内的高涨,世界各国也纷纷开始酝酿自己的数据保护方案。
中国需要自己的数据保护方案。作为本期《腾云》杂志的主题,我们希望该话题能引起更广泛的讨论。
在本期杂志中,DCCI互联网数据中心的胡延平老师也正式提出了《MDPG(Multidimensional Data Protection Guideline):多维数据保护指引》——一套区别于欧盟和美国的中国方案,一种新的数据思维、数据关系秩序和保护体系。中国社科院信息化研究中心秘书长姜奇平老师也撰文指出:中国应该走出一条兼顾公平与效率的数据立法之路。
以上,是你在打开这本杂志前可能需要了解的问题。在接下来的一周左右时间里,我们将向你推送如下几篇文章:
MDPG:多维数据保护指引——中国智慧能否催生“中国方案”? / 胡延平
追随GDPR?还是迎合CCPA?根本思路将决定个人信息保护的中国出路。
中国需要什么样的 GDPR ? / 姜奇平
既不同于强调公平的欧洲,也不同于强调效率的美国,中国要走出一条兼顾公平与效率的数据立法之路。
美欧数据策略的冲突与协调 / 张颖
美欧的数据跨境规则既体现了双方在价值理念、经济效益等方面的博弈,也体现出美欧在寻求合作的过程中的妥协和让步。
GDPR 一周年的回顾与反思 / 许可
GDPR 从根本上改变了欧盟乃至欧盟以外个人信息保护和数字经济的面貌,这一改变值得中国给予高度的关注。
美国会制定联邦层面的隐私统一立法吗? / Daniel J. Solove
充分借鉴《健康保险流通与责任法案 》的经验可能是最合理、最实用的解决方案,但美国制定联邦层面隐私统一立法的可能性仍然相当低。
隐私保护产业起落及其启示 / 朱悦
讨论数据隐私这一话题时,关于“法律、规范、架构、市场 ”四大框架中的“市场”的深入讨论仍然不多。研究其发展、现状及趋势,显得尤为重要。
今天,我们将向你推送本期杂志的卷首语。
为了让你更好的理解本期杂志的主题,我们还邀请到四位法律和互联网领域的专家,将“你怎么看GDPR”、“你如何看待中国的数据治理现状”、“中国国情存在怎样的独特性”等问题抛向了他们。在卷首语结束之后,便是他们的精彩回答。
卷首语
在讨论数据权属之时,我们先来看看专利从何而来?
最早获得这种专属保护的,据说是一种烹饪方法,再后来,英国头两个获得专利的应用都与玻璃有关。不过现代专利制度的建立,要到第一次工业革命时期才发生:1852年,英国《专利法修正案》颁布,成为现代意义上的专利制度最终确立的标志。
当时的专利就是张纸,由英国国王授予,而且授予也没有什么标准——他曾经授予了各种各样的专利,后来因为专利泛滥,清晰的授予标准才得以确立,比如只有首位发明者和发现者才能拥有专利。专利制度是对创新者的保护,也是对应用普及的鼓励。从一开始,法律保护与技术公开就是现代专利制度的两大基础。
为什么现代科学和工业革命发生在欧洲,而不是中国?对于这个著名的李约瑟之谜,在经济学和法学领域,很多学者认为专利在其中起到了关键作用——以专利为核心的知识产权制度是创新之翼。
此后的几百年间,知识产权的发展经历了复杂的完善与变迁,争议不断,直到现在其尺度也存在明显的地域差异。但是鼓励创新仍然是衡量制度有效性的重要标准。
比如讨论硅谷在互联网时代的成功时,乔治城大学法学院教授Anupam Chander就认为要归功于美国知识产权法的重大实质性改革——美国的法律使得平台的商业模式合法化。除了安全港,美国法律中还有一个秘密武器,就是合理使用。谷歌的图片搜索里通过爬虫搜集了大量图片,在这过程中并未征求所有者同意也未付费,后来因此被起诉。谷歌依据合理使用的规则进行了自我辩护,并得到了法官支持。
数据与知识产权的相似之处在于,数据也只有被使用才有价值。而数据的复杂在于,它由企业与包括个人在内的各种不同主体共同创造,相比专利,更难界定关键性价值产生的起点。现在当我们讨论隐私保护和数据的权属时,如果我们为立法寻找一个目的,应该是为与数据有关的各方找到一种既保护个人隐私又鼓励安全使用的方式。
这也是胡延平和姜奇平这两位中国互联网的观察家提出新的多元解决方案的初衷。欧洲的GDPR,其出发点更着眼于个人隐私保护,它把用户同意作为最高裁决,它所产生的不仅是现在给谷歌开出的巨额罚单,也给用户带来了每打开一个新应用就要面对大量很难作出的技术选择的麻烦。
这也是为什么我们要为关心这个问题的读者推荐这个“中国方案”的原因——它尝试在保护与利用之间寻求共赢而非零和博弈。我们也相信,正如专利制度的建立和完善所经过的漫长历史一样,关于数据权的讨论才刚刚开始。
——王晓冰
《腾云》执行主编
专家观点集锦
王锡锌
北京大学法学院教授、法治与发展研究院执行院长、《中外法学》主编
数据治理的结构是在数据的采集、处理,到最后的删除、消失,也就是我们说的数据的全生命周期中不同的主体之间的关系。结构是一种关系模式,在法律上,就是主体之间的权利义务关系模式。
数据治理是不同主体基于该权利义务关系模式而展开的竞争和合作过程。数据治理的主体包括自然人、平台、网络经营者、数据控制者,以及监管部门。放到国际层面考虑,数据治理主体还包括不同的主权国家。主权国家相互之间会基于利益来主张自己的权利,比如说数据出境问题。
数据治理中的不同主体在法律上各自应拥有什么样的权利?这一问题涉及到数据治理的一系列基本问题,例如自然人作为信息主体的权利是什么性质的权利,有哪些权利?信息权到底是什么,是人格权、隐私权,还是人格加财产,还是一种独立的个人信息权?平台数据也同样面临一系列的问题。
对于一个企业来说,数据到底是它的什么权利,是财产,是著作权,还是知识产权?这些问题,理论、实务和法律规则层面都还没有共识,甚至视角上都有分歧。比如,民法学界和公法学界对上述问题的认识就存在非常大的争议。
关于数据治理合法性的讨论中,有一个重要的维度:安全与发展必须平衡考虑。
一方面,网络空间治理、数据治理,肯定是要考虑到数据安全、经济安全、公共安全、社会安全等。从更宏观的层面来说,还需要考虑国家利益层面的安全。但是安全并不等于一味地对网络经营者进行控制。真正的网络空间安全不是靠监管权力把网络管死,而是建立起互联网技术和监管的有效合作,既保护数据主体的权益,也实现国家利益和社会福利的最大化。
技术权威就是这些新兴的企业,监管权威就是传统的监管者,甚至涉及到主权国家自身等等。他们的结合,有一个内在的逻辑前提,那就是行业必须要不断进行升级和发展。如果离开了行业本身的升级发展,如果把这个东西管死了,可能将导致一个结果,那就是,我们不是把网络管好了,而是退出了网络竞争的全球游戏。
在国家层面的博弈中,“退出”无论是主动的还是被动的,显然是一种非常糟糕的选择,将会从根本上损害国家安全和国家利益。在这个意义上,我觉得发展的问题本身就是安全问题。
整个互联网、整个数据产业,它的发展不光是产业的问题,在宏观意义上也是国家安全的问题。因为只有靠这些企业不断更新技术,不断提升竞争力,我们才更能够获得安全。
*摘选自法制网/《数据治理的法治化:合法性、体系性、平衡性》
姚佳
中国社科院法学研究所研究员、《环球法律评论》编辑部副主任
GDPR实施一年多,由于其设定了较为严苛的个人数据保护规则,使得世界范围内的数据持有主体都必须迎接与应对欧盟的监管政策,这也客观上致使企业合规成本攀升,这也给企业与行业发展带来巨大压力。
诚如已故图灵奖获得者吉姆·格雷(Jim Gray)所言,大数据科研已从第三范式(计算科学)中分离出来而成为“第四范式”。数据可基于不同算力,运用不同算法,产生更具价值的数据,此种数据生产加工更能深刻影响人们的洞察力和判断力。
而由于诸如GDPR此种监管政策的严苛,使得数据持有主体更多应对数据保护任务,监管主体也极为关注个人数据的强力保护,而在相当程度上忽视了数据的利用价值。事实上,对于数据控制者或数据持有主体而言,其当然负有对个人数据的保护义务,但这与数据之利用,实现数据的应有价值并行不悖。
中国作为“数据巨头”,数据从“质”与“量”两个维度而言,“量”是基础,由于中国拥有世界互联网企业“领头羊”,同时由于人口数量多,从而使中国数据持有主体在数据的“量”上居于前列甚至顶峰地位;而基于算法与算力的推动,中国企业拥有的数据理应在“质”上也拔得头筹,但从目前来看,中国对数据利用上还并不重视,这使得中国数据持有企业“量”的优势并未充分发挥。
因此,中国数据治理政策应充分注重科技发展的客观性与规律性,充分保证数据“质”与“量”的齐头并进。
数据治理既要吸纳域外先进政策经验,同时也应尽可能避免制度上的“试错成本”,GDPR就不是一个好的范本;数据治理既要高悬个人数据保护“达摩克里斯之剑”,又要充分尊重数据科技发展的规律性,实现数据的应有价值,同时更要充分发挥数据在促进公共利益、消费者福利以及产业提升等方面的重要作用。
数据治理不应是单向度的,而应是立体的、空间化的,甚至可能是四维、五维的,人的发展的终极价值在于充分实现自由,而让数据充分发挥作用,进一步增强人们的洞察力、判断力与想象力,人才能实现更多自由,这也是人之为人的价值所在。因此,通过数据价值实现促进人的发展,实现一种良性循环,当下以及未来十年都是非常紧迫的现实议题。
王新锐
北京安理律师事务所高级合伙人
对于GDPR实施的效果,不论在学术界还是实务界,都引发了很多争论,但有一点大家是有共识的,及其产生的影响是巨大的,其制度设计已被很多国家的立法所吸收。
据我所知,中国的立法者和监管者也一直在深入研究GDPR。在反思之前,我觉得首先还是要深入理解,GDPR某种程度上反映了欧盟内部的共识,立法技术本身很精细化,并不是简单的“一刀切”。
虽然在实施过程中肯定存在不少问题,包括不排除产生和其立法者本意相反的结果,但其值得借鉴的地方仍然是很多的。很多大型公司在做完GDPR合规后,透明度明显有提升,也给了用户更多选择。不过需要注意的是GDPR在实际执法中有严罚美国大型科技公司的倾向,而这点和中国数字经济的国情明显不同。
作为从业者,个人感觉中国数据治理的现状不容乐观,一方面技术在世界范围内也是领先的,另外一方面无论是立法还是企业的合规意识,都有一定滞后。
如果和国外比较的话,我觉得中国国情的特殊性在于人口众多、数字经济增长快速且规模巨大,这本身就给数据治理提出了很大的挑战,立法和监管都是牵一发而动全身的。而与国外相通的是,这也是数据权利意识高涨的时代,不管是个人、企业还是国家,都已经充分理解数据的重要性,不同价值和权利之间的冲突在世界范围内也有很多共性。
中国个人信息保护的立法者现在面临的是一方面要“补课”,借鉴各国立法中被证明有效的部分,另一方面又要回答中国的独特性问题,尤其是移动互联网高速发展带来的问题。
哪些可以借鉴国际规则,哪些必须要自己原创性的回答,这本身就是一个非常难的问题。我个人觉得在个人信息保护的重大原则问题上,都是有现成答案的,但并没有唯一的正确答案,主要是“选择题”;而在新技术带来的新问题方面,则是“问答题”,只能自己琢磨。我个人的看法是,现阶段立法还是应该以补课主要目标,适度留有口子,而对于新型问题,可以先以位阶较低的规则加以应对,在成熟稳定后再上升为立法。
赵嘉敏
译言联合创始人、东西文库发起人、凯文·凯利在中国的出版人
我坚信,“人性是技术的发明”,人性的演化应该适应技术的演化。具体到隐私这个问题上,也是如此。
首先来讲,隐私的概念本身就是在不断演化的。
现代隐私观念很大程度上是工业化的产物。随着工业化的进展,特别是居住条件的改善,个人越来越普遍地享有物理上的分割空间,从而形成了“独处”的习惯,并进而养成了心理上的依赖和需求。
由波⼠顿律师塞缪尔·沃伦(Samaul Warren)和后来成为美国最高法院大法官的路易斯·布兰代斯(Louis Brandeis)合写、发表于 1890 年 12 月 15 日刊的《哈佛法律评论(Harvard Law Review)》上的《隐私权(The Right to Privacy)》一⽂,被公认是现代隐私权理论的开⼭之作。在这篇文章中,沃伦和布兰代斯写道:隐私权“即独处的权利”。这一论述成为后世隐私权概念的基本出发点,也即保留个人空间或个人信息的私密性、不受他⼈⼲扰或不被他⼈介入的权利。
但这一基于物理概念的定义显然已经过时。在信息时代,我们可能不得不适应生活在透明中,因为技术本身并不照顾隐私。数据分析师们有越来越多也越来越有效的⽅法,从通过各种途径采集的数据中抽取出个人的性格、品味、习惯乃至社交活动、价值取向。
因而,可持续性的解决⽅案也许不是去要求技术来遵从我们的传统习惯,⽽是要去改变我们的传统意识和社会规范,以更好地适应技术的发展,并让个体和群体都能从这种改变中受益。
那么,具体到实施的路径上,我认为可以借鉴内容创作领域的一些概念及演化结果。
第一个是区分所有权和使用权,有点儿类似于著作权中的署名权和使用权。
不同的是,作品的署名权是不可剥夺和转让的;但个人数据在去除了和具体的个体关联的信息之后,是否就可以成为公用数据?
第二个是借鉴互联网版权的创作共享(Creative Commons)协议。
我不是说要照搬 CC 协议的条款,而是说可以参照 CC 的做法,形成几个简明的标准授权模版。像维基百科是整站采用了某个 CC 协议模版,而 YouTube 则允许原创视频作者选择某个 CC 协议模版。类似地,任何一个要采集用户数据的产品或平台,在用户使用该产品或平台前,首先向用户声明其所遵循的授权模版。这些模版可以有宽松的,也可以有严格的。
第三个是促成数据的集体所有权(collective ownership)。
集体所有权是开源运动的一个重要概念,是共享和协作的理念基石。当代码或文本被多个人修改或编辑后,这段代码或文本已经不再简单地属于原创者个人所有。
类似地,产品或平台采集的数据,特别是经过去除个人信息、统计整合之后产生的新数据,都不仅仅只属于该产品或平台所有,而是属于所有可受益的群体。这听起来有些过于理想主义,但既然开源运动能够形成这种共识和理念,我相信未来的人类社会,也会在个人数据上形成类似的共识和理念,因为这是适应技术发展的必然趋势。
Quclouds_数字营销商业自媒体。全球格局,移动·数据·技术的浪潮下,营销需要新势力,数字营销行业价值传递平台。
