我国大数据战略实施已处于持续深化阶段,在数据安全方面立法方面,《数据安全法》虽已列入了立法规划,但目前尚未完成制定。全国人大代表,中国移动集团公司董事,浙江移动党委书记、董事长、总经理郑杰呼吁:加快制定《数据安全法》,进一步完善我国数据治理,以安全促发展,以发展保安全。
记者了解到,郑杰代表今年已经是连续第二年提出加快制定《数据安全法》的提案了,在他2019年向全国人大提交的《关于制定<中华人民共和国数据安全法>的议案》中,已经提出过关于“明确重要数据概念及范围”、“完善数据出境安全评估机制”、“明确安全责任单位的责任义务”、“完善数据安全监管体系和数据安全监测预警、应急处置机制”、“明确数据安全法律责任”五个方面的建议。
“大数据产业蓬勃发展,尤其是在今年的抗疫斗争中,大数据对于提升疫情防控治理精准化、科学化起到了至关重要的作用。大数据的广泛应用也带来了严峻的安全挑战,出现了许多新的问题,因此在去年的提案基础上,我在今年继续提交了有关数据安全法的提案,进一步补充完善了诸多方面的建议。”郑杰表示,接着他详细分析了我国目前在数据安全方面存在的问题:
首先,公民个人信息和隐私数据被泄露的风险正在大大增加,海量数据的采集和分析也可能导致国家机密信息的泄露,数据安全隐患依然凸显。比如新型冠状病毒肺炎疫情期间就有网友反映武汉就读大学生个人信息泄露的问题给当事人的生活造成极大困扰。对此,中央网信办紧急发布相关通知,明确了为疫情防控、疾病防治收集个人信息的相关管理要求。
其次,数据存在过度收集及滥用。比如根据中国消费者协会2018年11月发布《100款App个人信息收集与隐私政策测评报告》显示,10类100款App中,高达90%以上的App存在列出的权限过度收集用户个人数据信息的问题,此外“大数据杀熟”现象也很普遍,威胁着个人隐私,易侵犯消费者权益,也触及伦理上的歧视偏见问题。
第三,数据权属不明确,数据主体的权益保护存在困难。近年来发生多起大数据产品不正当竞争案,都涉及到数据权益归属问题,这方面的立法滞后导致企业在数据财产权益受到侵害时没有直接法律依据,仅能诉诸不正当竞争法等寻求间接保护,最后往往处罚过轻,起不到实质性威慑。
第四,数据垄断不利于市场有序竞争。一些企业凭借先发展起来的行业优势,不断获取行业数据,呈现出数据垄断的趋势。如何防范数据垄断可能带来的排除市场新兴竞争力量、阻隔创新等问题,是当前立法需要关注的问题。
第五,公共数据的利用存在诸多问题。我国政府机构和公共部门已经掌握巨大的数据资源,但存在“不愿”、“不敢”和“不会”共享开放的问题。不少地方的政务数据开放平台,仍然存在标准不统一、数据不完整、不好用甚至不可用等问题。
第六,国家数据主权未确立,我国在数据跨境流动中处于劣势。随着各国之间数据资源竞争愈发激烈,数据主权成为各方博弈的焦点。比如2018年3月生效的美国云法案(《澄清域外合法使用数据法案》) 将美国企业铸造成美国在网络空间的国土,美国企业在全球互联网行业有多大的市场份额,扩展到多少国家,美国的数据主权就扩展到哪里。2018年5月生效的欧盟《通用数据保护条例》(GDPR)规定任何向欧盟居民提供商品或服务的企业都将受制于GDPR,不管该企业是否位于欧盟境内,是否使用境内设备。“长臂管辖”效应的扩散,为各国数据主权带来了挑战。我国如不确立数据主权,将在数据跨境转移以及国际数据竞争中面临劣势,与此同时“一带一路”等国家战略的实施同样需要建立数据跨境转移的评估机制。
郑杰建议:
一是细化数据安全与隐私保护规则,保护公民合法权益。要进一步规范数据收集行为,限制无使用依据的数据收集;人脸、指纹等敏感数据的收集和使用应经法定情形允许及专业评估。要明确数据挖掘、共享和交易过程中的红线,对违规违法行为制定相应的处罚措施,严厉打击各种侵犯隐私的犯罪活动,加大滥用数据挖掘的违规成本。
二是明确数据的权利归属,促进数据的确权、流通、交易和保护。基于数据生成过程的不同,将数据的类型分为用户的信息数据、用户发布的数据、平台自采的数据以及衍生的数据信息、具有公共利益属性的数据等五大类,对各数据类型的财产权益归属进行细化、明确。
三是建立数据合理使用制度,实现个人与数据使用者之间的利益平衡。尽快建立数据合理使用制度,对信息权利人与社会公共利益之间进行利益平衡,同时兼顾个人信息保护与数据开发利用。对于那些不经信息主体同意授权、不支付使用费用而进行数据处理的情况要明确合法事由,要通过相关因素来判定是否构成“合理使用”,比如被使用个人信息的性质、使用目的是否合法,是否为营利性目的,是否对个人信息做匿名化处理等等。
四是建立公共数据开放共享规则,促进公共数据的合理利用。公共数据的开放立法要明确开放责任主体、开放重点范围、公共数据开放方式、公共数据分级分类规则、安全保障和权益救济等,各相关部门在公共数据开放过程中,应当落实数据安全管理要求,保护商业秘密和个人隐私,防止公共数据被非法获取或者不当利用。
五是完整确立我国数据跨境流动制度,应对国际数据竞争。要对数据本地存储和数据跨境流动进行双重监管,对个人信息和重要数据进行分类监管,规定多元化个人数据跨境流动的合法事由及专业评估等,并针对欧盟、美国等数据出境监管法规的域外效力完善我国在数据跨境流动监管方面的措施。推进跨国的大数据治理合作,在保障数据安全的前提下,促进数据跨境流动,从而形成围绕国家合作各个领域的大数据资源,为数字经济领域的国际合作奠定坚实的基础。