2018年7月22日,一年一度的“第七届中国大数据应用论坛”活动在北京大学隆重举行。本次活动由中国新一代IT产业推进联盟指导,CIO时代学院、北大软件工程研究所主办,全国高校大数据教育联盟、北达软、万山数据协办,北大CIO班学员、CIO时代学院学员、全国高校大数据教育联盟成员、其它大数据领域专家和管理者等近两百人参加了这次论坛活动,此次活动的主题为:大数据时代的数据保护与利用。北京大学兼职教授、工业和信息化部原副部长杨学山在活动中发表了题为《数据保护的一般原则与规律》的主题演讲。以下为演讲实录:
尊敬的各位专家、来宾、朋友,大家上午好!十分高兴参加第七届中国大数据应用论坛,今天谈一点关于数据保护一般原则和规律的体会,供大家参考。由于题目太大,我主要从六个方面,对数据保护的主题,以及在这些主题下需要遵循最基本的原则和发展规律,进行简单的介绍。实际上,我的题目已经给数据保护画了一个全景图。
1. 数据保护的目标
为什么要保护数据?保护数据要走向怎样的目的地?在上图中,其中左侧是数据保护最根本的内容,它的所有地方都是一致的,无论是法律、技术、制度,还是个人、企业和国家,全世界一致的数据保护目标是数据不被滥用、不被篡改、不被泄露,这三点是信息安全和数据保护最根本的事情。右侧的部分是将两部分的东西总结在一起,包含两个维度。我们要保护与数据保护相关的各方四个基本的权利,在保护过程中平衡利益,这是数据保护的四个权利和一个平衡。
所有权。无论是DPA、GDPR或者其他,一般都不强调所有权,主要是数据主体。数据主体的权利分开后,包括四个权利。今天讲的数据保护不是DPA的数据保护,也不是GDPR的数据保护,其中数据保护的特定对象是个人数据保护,要保护的是个人的数据权利。GDPR出台以后,执法、罚款引起了很大的轰动,同时数据保护得到了大家更多的关注,但我们要看到数据保护的全局,数据保护主体不仅是个人,还包括机构和国家。气象局有自己的数据需要保护,北大有北大的数据,也需要保护。
处置权。处置权在DPA和GDPR中属于控制者和处理者,他们是指对数据处置的权力,数据主体同样有处置权,在GDPR法律中并未提及这方面。
财产权。在DPA和GDPR也没有提及财产权,数据是资产,数据是要交易的,数据是有价值的。在数据交易的时显然有财产权,所以DPA和GDPR在个人数据保护上是有缺口的,而且缺口十分大。
知情权。知情权指两个方向:一个是数据具有处置权利的主体要告诉他,要公开先告知数据主体获取数据的目的,对于被获取的对象有权利了解目的和处置,实际上是将其透明化。
利益平衡。在不同的主体中、在不同的范畴中、在不同的价值领域中所有的权利是有不同利益关系的。当互联网的公司、医院使用你的数据时,你是可以获取价值的,但在价值和信息的数据主体之间如何平衡?国家利益、机构利益和个人利益之间如何平衡?实际上,个人数据的保护是有约束的,当与国家利益发生冲突时,个人利益必然要往后放。例如天网系统,在个人未知的情况下,收集很多个人照片与数据,虽未告知本人但他必须要用,因为对交通违规、抓犯罪是必不可少的。所以,并不是个人数据、个人隐私是如此的神圣,它是利益平衡的关系。
2.数据保护的对象
DPA和GDPR针对的是个人数据,但数据的主体不仅是个人主体,还包括政府、个人、企业,还可以扩展到法人,所有的机构都是数据保护的对象。国家有国家机密、企业有商业秘密、个人有个人隐私,这三者在进行数据保护时是不能偏颇的,不能只看其中一点。
对于政府和企业的信息,其中既有关于个人的、企业的,也有它自己特有的。如此多的政府信息是包含它自己本身产生和使用的,并非全部来自于个人和企业。对于数据保护对象时,数据本身的数据主体一定不能局限在个人、自然人的范畴内,而是政府、个人和企业,在数据保护的过程中这三种类型实际上是不同的。
对于政府信息而言,它是三种状态:第一种是不能让别人了解的,这是国家机密,能知晓的是该了解的人、不该了解的人绝对不能知晓;第二种是公开的,大家都可以了解,公开有两种方式,第一种是主动公开,在政府机构门户网站主动公开的;第二是依申请公开,首先申请感兴趣的信息,然后政府相应部门决定是否基于反馈;第三类信息是处于两者之间,无论是电子版还是纸质版的信息,其中有一部分是要公开的,另有一部分是敏感的,或信息只能在特定的时间后公开。处于这中间的信息,它会经过处理后才能决定是否公开。总之,数据保护最根本的是不被篡改、不被泄露、不被滥用,按照不同类型进行保护。
企业信息也分为三种:第一种是它要宣传的,希望别人了解,包括广告、宣传等;第二种是绝不让人了解的,国家也不能法制,这是商业秘密。很多企业它的知识产权或技术是不申请专利的,因为申请专利别人就可以用,从专利的申请文本中了解其过程,所以很多企业是不申请专利的。例如,康宁公司是做玻璃的,他的主要技术是不申请专利的,由于未申请专利,没有泄露技术与工艺,如果有人采用相同的工艺生产,他是有权利起诉的,他认为你窃取了他的商业秘密;第三种与政府相同,在一定的业务系统客户关系中或在一定的场景下可以公开,另一些场景下不可公开的。
对于个人的数据保护,在DPA、GDPR中已经有明确的界定,关于个人所有的信息都属于个人数据,其中有些是敏感的,有些是不敏感的。敏感的数据按敏感的管理,不敏感的数据按不敏感的管理。个人信息在不同领域中,个人对它有着不同的控制权利。
3. 数据保护的主体
在数据保护的过程中有三类主体:一是数据主体,是数据的拥有者;二是控制者,尽管是你的数据,但数据由别人管控,与在GDPR和DPA中的概念是相同的,所谓的控制是指,例如公安部门的户籍数据、医院的个人健康数据、学校的个人教育数据,这些都是实际信息的控制者;三是信息处理者,数据的主体控制者委托个人或机构来进行处理数据。以上三个方面都是针对权利义务的统一,三方都承担着相应的责任、权利和义务,而不是只拥有权利而不承担责任和义务。对于个人隐私,不仅个人的数据是需要保护的,个人同样要承担相应的责任和义务。所谓的义务是为了国家利益、社会安全采集数据时,必须要给,这是你的义务。当然,你有权利了解数据的采集目的和实际作用,这是你的权利。
所有的三个主体,都是责任、权利、义务的承担者。其实,数据的控制者的责任很大,因为在控制数据的全过程中,要保证数据委托给第三方处理的时不被泄露、不被滥用、不被篡改,要担负这三方面的责任。当我们手中有数据时,需要肩负起这三个责任,数据为王,扛起了责任才为王,否则数据会把你从王座上拉下来。目前,在所有的主体之中,数据控制者对责任的认知不清,是其中最主要的矛盾,同时也存在个人对自己的权利维护不足的问题。
4.数据保护的要素
我必须重申一下,数据保护不仅是法律,法律条文的确立是最容易的,执法比条文确立要重要的多。如果要实施GDPR,真正按照法律条文执行,它的难度之大远超出所有人的想象。在今天,数据的存在形态、处理方式、流动方式以及由于利益关系造成的各种障碍,使得执法难度非常大。法律是重要的,否则没有遵循的依据,但法律条文出台后还要执法,要有技术和制度的保证。要保证数据不被篡改、不被滥用、不被泄露,需要采用技术的手段来保护。关于技术主要有两个对应:保护和攻击。没有保护的技术面临攻击,制度和法律再好也是无用的。目前不断地出现黑客把信息盗走的事件,所以没有技术是不行的。
5.数据保护的平衡
法律在一定范畴之内,要遵循,要通过制度落实执法。不仅要有各个机构的制度,还要有范围更广的制度,通过制度,将保护的要求全面落实,数据保护是利益平衡的结果。法律是国家利益的集中代表,不能超然于国家利益之上。所以,法律是利益平衡的结果,几乎所有的法律都是利益平衡的结果。各个方面都是需要平衡的,责任、权利、利要平衡;在利益上,国家、机构和个人要平衡;在要素上,技术、制度和法律要平衡。
6.数据保护的发展
当我们说GDPR是史上最严格的个人数据保护法规时,实际上,1995年欧盟通过的DPA,也是当时全世界个人数据保护最严厉的法令。当时,与其他人在交流澳门大数据发展时,它的最大优势是澳门的数据保护是遵循欧盟法律的,它是随着技术的发展、数据产生、保管、流动、使用的发展和认识的发展,处在不停地发展中,它不是一成不变的,道和魔的发展永远是此消彼涨的过程,在不断地发展过程中来提升。
以上是我要分享的六个方面,只是构建了一个基本框架。在数据保护中,除了数据不被滥用、不被泄露和不被篡改这三个基本原则之外,还有两条最基本的原则:同意和透明。所谓同意是需要数据的主体知晓,无论数据主体、国家机构,还是个人,在处置信息时必须争得主体的同意。不仅对于个人数据保护,其他的数据也是相同的,使用数据时,要与企业或国家立下保密条款。所以,数据主体的数据无论怎么用、谁用,使用时都要争得数据主体的同意。所谓透明,是要让数据的目的和处理方式透明化,无论对于是控制者、处理者还是主体,都是应该了解的。
以上关键词构成了数据保护最基本的原则框架,要在其中找到平衡点,找到当前的发展阶段,找到当前的国家利益,那么相应的法律和措施会随着它的发展而出现。
谢谢大家!