1.1.1 数据与数据资源
数据是对客观事物进行记录并存储在媒介物上的可鉴别符号,是对客观事物性质、状态及相互关系等进行记载的物理符号或物理符号的组合。数据是信息的载体,但实际上,数据与数据所承载的信息常常混用。此时,也可以说,数据是事实观察的结果。如今,数据的范围已经变得更加广泛,不仅包括传统意义上的数据,也包括符号、字符、日期形式的数据,以及文本、声音、图像、照片和视频等类型的数据,还包括微博、微信、消费记录、出行记录、文件等类型的数据。
当数据积累到一定的规模,除了具有自身原有可反映所记录事物信息的功能,还具有进一步挖掘更高价值的可能时,就成为数据资源。数据资源可以通过数据交易、数据赋能等形式实现其价值。一般情况下,数据与数据资源统称为数据。
1.1.1.1 数据交易
随着大数据技术的成熟和发展,大数据在商业上的应用越来越广泛,有关数据的交互、整合、交换、交易的例子也日益增多。
例如,电商行业在运营中积累下来的消费购买数据、浏览数据及因此产生的消费者的个人信息(姓名、银行卡、手机号)等,就属于其经营过程中积累下来的数据。电商企业通过数据加工处理后,以数据分析报告等数据产品形式向企业外部的其他组织和企业进行销售并取得经济收入。大数据交易所也应运而生。2015年4月14日,全国首家大数据交易所——贵阳大数据交易所(Global Big Data Exchange, GBDEx)正式挂牌运营,并完成首批大数据交易。
企业和组织可以合法地通过合作、交易、租赁等手段,在合法合规及保障个人隐私数据安全的情况下向组织外部提供各种数据产品,并且从中取得直接经济收益,这也是数据产生价值的直接方式。
1.1.1.2 数据赋能
除以数据租售为主实现可以用货币计量的直接经济收益外,数据的价值还可以通过服务于社会和组织创造社会效益和经济效益。
例如,在政务领域,政府以推行电子政务、建设新型智慧城市等为抓手,以数据集中和共享为途径,建设全国一体化的国家大数据中心,推进技术融合、业务融合、数据融合,实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。通过数据资源促进政府治理与决策的科学化、精细化,优化公共服务流程、简化公共服务步骤、提升公共服务质量,为政府制定各种决策提供技术基础和支撑。此外,政府亦通过数据资产提升公共服务能力与水平,服务民生,促进社会发展。通过对数据的深度挖掘和关联信息分析展现,实现智慧服务在城市规划、交通管理、环境保护等多领域广泛应用。
又如,各运营商都拥有丰富的客户数据,基于客户终端信息、位置信息、通话行为、手机上网行为轨迹等丰富的数据,为每个客户打上消费行为、上网行为和兴趣爱好等统计学特征标签,并借助数据挖掘技术进行客户分群,完善客户的360°画像,帮助运营商深入了解客户行为偏好和需求特征,以提供更好的产品和服务。企业通过对生产经营中产生的数据进行收集、整理、分析,并与外部数据打通,以服务企业自身经营决策、业务流程,作用于企业产品和经营活动,从而提高产品收益,使其在创造收益、降低成本上有更好的表现。
在这些场景下,数据是通过赋能的方式间接地体现其自身价值的。
目前,业界普遍的共识是,在数字经济时代,数据属于私有资产,相当于农业革命的土地、工业革命的资本,是重要的资产。关于数据权属应考虑数据主体、数据控制者、数据处理者等不同角色的权责。
国外数据领域的立法要比国内早。2018年5月25日,欧盟已经颁布和生效《通用数据保护条例》(以下简称《条例》)。其中对个人数据、数据控制者、数据处理者和数据接收者有了明确的权责阐述。
个人数据是指任何已识别或可识别的自然人(数据主体)的相关信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。《条例》中明确了个人数据的所有权属于个人。
数据控制者是指那些可以决定个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体,无论这种决定是单独决定还是共同决定。
数据处理者是指为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
数据接收者是指接收数据的自然人、法人、公共机构、规制机构或其他实体,无论其是否为第三方。然而,当公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据时,则不应被视为接收者;但公共机构对此类数据的处理,应当根据处理目的遵循可适用的数据保护规则。
《条例》中对数据主体的权利给出了明确的描述。
(1)知情权:《条例》规定数据控制者必须以清楚、简单、明了的方式向个人说明其个人数据是如何被收集处理的。可以预见的是,当前企业普遍应用的隐私政策必须进行大幅改革,才能满足合规要求。
(2)访问权:数据控制者应当为实现用户访问权提供相应的流程,如果该请求是以电子形式提出的,也应当以电子形式将数据提供给个人。控制者不能因提供该服务而收费,除非数据主体的请求明显超过控制者负担。
(3)反对权:数据主体享有绝对的拒绝权,即始终有权随时拒绝数据控制者基于其合法利益处理个人数据,始终有权拒绝基于个人数据的市场营销行为。《条例》中还引入了限制处理的权利,如当数据主体提出投诉时(例如,针对数据的准确性),数据主体并不要求删除该数据,但可以限制数据控制者不再对该数据继续处理。
(4)个人数据可携权:是指用户可以无障碍地将其个人数据从一个信息服务提供者转移至另一个信息服务提供者。例如,脸书的用户可以将其账号中的照片及其他资料转移至其他社交网络服务提供商。
(5)被遗忘权:当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时,用户有权要求删除数据。
《条例》中对数据控制者和处理者的约束规范十分严格。
(1)数据保护官。对于设立地在欧盟的机构来说,以下是必须设立数据保护官的法定情形:政府部门和公共机构作为数据控制者的,以及机构核心业务涉及以下大规模活动:日常的及系统性的监控数据主体;处理特殊类型的个人数据,或者数据处理活动与刑事定罪相关。数据保护官的联系方式必须予以公布,且向监管机构报备。
(2)文档化管理。数据控制者必须全面记载其数据处理活动,做到一举一动都有据可查。记载的内容包括数据处理的目的、数据的类型、数据接收者的类别及转移至第三国的数据接收者、数据保存的时间、采取的安全保障措施等,并保留与数据处理者的合同附件。文档化管理不仅是企业内部的管理措施,而且是数据保护监管机构履行职责的重要抓手。
(3)数据保护影响评估。对于高风险的数据处理活动,要事先进行数据保护影响评估。《条例》并没有对高风险进行界定,但以下情形应当事前评估:对个人特征的系统性评价,该评价会对数据主体产生法律上的影响;对大量敏感数据的处理;对公共领域大规模的系统性监控。
(4)事先协商。如果数据保护影响评估的结果显示是高风险,且数据控制者没有有效降低风险的措施,数据控制者应当就数据处理活动向相关的数据保护监管机构进行事先协商。数据保护监管机构应当在收到协商申请的特定期限内提出处理意见,并可以采取纠正措施。除此之外,成员国在制定涉及数据保护的法律时,也应当事前征求数据保护监管机构的意见。
(5)数据泄露报告。《条例》将数据泄露定义为导致偶然的或者非法的数据破坏、损失、改变及非授权的披露等。一旦发生数据泄露事故,数据控制者需要及时通知数据保护监管机构,如果可行,应不超过72小时,除非该泄露不可能会造成对个人权利和自由的破坏风险,若未在72小时内报告数据保护监管机构,则后续报告应当说明延迟报告的理由。对于数据处理者而言,其应当在意识到泄露事故及风险后及时报告数据控制者。
此外,《条例》还细致规定了数据控制者和数据处理者之间的合同应当至少包含哪些内容,如数据处理的目的、期限、个人数据的类型、数据主体的类别及双方的权利业务。
数据处理者仅能按照数据控制者的书面要求处理数据,必须确保其员工能够遵守有关保密的要求;在数据安全、数据泄露、数据保护影响评估等方面对数据控制者提供协助。
如果没有数据控制者的同意,数据处理者不得二次分包业务;数据控制者可以对分包采取概括性授权,但如果具体的分包商发生了变化,数据处理者有义务及时告知数据控制者,后者有权提出反对。数据处理者对其分包商的数据处理活动完全负责,其有义务将数据保护的要求施加给二级分包商。
在数据处理服务终止时,数据处理者应当删除或者将数据全部返还给数据控制者,除非根据法律的要求必须保留这些数据。