立法缺失、技术壁垒…数据合规新航道,法律工作者能做些什么
为了应对疫情肆虐对经济的影响,“新基建”被视为是纾困的良药。新基建围绕着人员流动(新能源汽车)、能源流动(特高压)与数据流动(5G、数据中心、人工智能)展开部署,而数据无疑是其中跑得最快的。
此外,在2020年4月《关于构建更加完善的要素市场化配置体制机制的意见》中也提出“加快培育数据要素市场”。
疫情之下,数据在国民经济中扮演着愈发重要的角色,数据合规也随之成为显学,成为法律工作者的新航道。
法律是法律工作者开展数据合规工作的出发点。如果网络安全与数据保护没有被上升为法律义务,那么网络安全与数据保护可能会成为信息安全人员的专利。
- 1 -
数据合规到底在保护什么?
开展数据合规工作,法律工作者尤其需要了解法律究竟在保护什么。在中国,《网络安全法》中将网络安全定义为:
“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”
实际上,法律从网络与数据两个维度定义了网络安全:
因此,在数据合规工作中,围绕着网络与数据诞生了“网络运营者”与“数据控制者”两大责任主体。
网络运营者是《网络安全法》中最为重要的主体,几乎所有的法律义务都围绕着网络运营者展开。而数据控制者的概念被GDPR所发扬光大,在国家标准《个人信息安全规范》就频繁使用个人信息控制者的概念,甚至在《民法典(草案)》中也使用了个人信息控制者的概念。
当传统的所有权围绕着占有、使用、收益与处分进行构建,数据的权利也有可能围绕着保密性、完整性与可用性进行构建。
在很多争议与案件中,数据被作为一项新的法益进行保护,传统知识产权的规则受到了巨大的挑战。在2016年7月公开征求意见的《民法总则(草案)》中,“数据信息”一度被认为是一项知识产权,这样的分类无疑将拓展原有知识产权的外延,丰富知识产权的内容。
但是在《民法总则》正式通过的文本中,因为该设置争议过大而取消了这样的规定。对于知识产权中的著作权,与数据在一定程度上会有交叉之处,如对具有原创性的数据库的保护,一方面可以作为汇编作品进行保护,另一方面并不妨碍其作为数据而具有利益,二者并行不悖 。
此外,在“淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案”中,法院一方面承认了淘宝公司对“生意参谋”享有数据权益,另一方面又否认这种数据权益是财产所有权。法院并没有直接回答这种数据权益到底是什么。在“浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案”中,淘宝的评分系统被认识是一项数据权益,法院认为:
“数据是指具有可分析性、可统计性、有使用价值的信息的总和,不仅包括原生数据,即计算机直接产生的数据,也包括这些数据被记录,储存,编辑,计算后形成的具有使用价值的衍生数据,淘宝网评价系统即在此列。”
这个判决在某种程度上突破评价系统的范畴,让数据能延展的边界不可限量。可以说,所有互联网上的内容都可以被认为是数据,进而得到数据层面的保护。但更关键的问题在于,数据保护的是什么,是保密性、完整性与可用性吗?
- 2 -
数据合规的立法缺失
法律工作者介入数据合规不得不面对的难题是法律匮乏。尤其是和数据并立的其他生产要素相比。无论是资本还是人力资源的法律法规都密如蛛网,但数据合规领域只有《网络安全法》《消费者权益保护法》加上若干部门规章以及一些推荐性的国家标准,在《民法总则》与《民法典(草案)》中关于数据保护只有语焉不详的一条,甚至在执法活动中都需要把尚未生效的国家标准拿出来“说事儿”,可见这一领域法规贫乏到何种程度。
法律法规的匮乏直接带来了不确定性,这是所有交易与经营活动的大敌。当我们在买卖货物、雇佣人员、投融资时,很多条款我们可以不在合同中进行约定,因为《物权法》《合同法》《劳动法》《公司法》等一连串的法律法规会为法律关系“兜底”。
但在数据合规领域进行数据共享,就不得不对事无巨细将所有数据传输的技术细节转化为合同的法言法语,用大量附件来描述数据共享过程,否则连合同标的都难以确定。
对于数据合规,“法律不够标准来凑”,当然可以指导合规措施的落地,但在另一些领域却是一件非常危险的事。
比如在《个人信息告知同意指南(征求意见稿)》中,第六章“免于告知同意的情形”是一个非常“危险”的章节,该章节提出了个人信息控制者收集、使用个人信息的,需以适当方式告知个人信息主体目的,但无需征得个人信息主体的明示同意若干情形,其中包括学术研究、签订或履行协议所必须、新闻报道所必需等情形。在《个人信息安全规范》中也同样有“5.4 征得授权同意的例外”的规定。
这些条款之所以危险,是因为法律并未规定这些情形是法律的例外,作为推荐性标准并没有权限设定法律的例外条件,更无法得到法院的认可。
中国因为《网络安全法》的制定,让很多传统意义上信息安全管理的措施、标准直接上升为法律义务,并且将网络安全与数据保护并立,共同体现于《网络安全法》中。对比在欧盟或美国,网络安全与数据保护往往会由不同的法律负责(这是一个相当大的话题),比如GDPR就主要关注数据保护问题,未深入涉及网络安全的内容,因此在中国开展数据合规工作更需要技术能力的支持,不只是对法律条文的理解。
- 3 -
面对数据合规“难题”,我们能做些什么
1. 合同
合同是法律工作者坚守不变的战场。
一份好的数据协议是商业诉求、技术架构与法律合力的结果,尤其是需要反映数据的真实流向。
在数据合规领域,数据流与法律关系不一致是最常见的矛盾之一。比如可以见到跨国公司的中国分支机构与总部签署数据使用协议,因为税务原因合同约定数据控制者是欧洲公司,但欧洲公司可能只是空壳,实际却为美国直接公司控制维护数据,这会给数据的传输带来巨大的隐患,让《网络安全法》、GDPR以及美国法律都有管辖机会,徒增合规成本。
起草一份与数据流动相符的协议并不是一件容易的工作,涉及明确数据类型、设计数据跨境方案、部署安全措施的部署、控制数据再次利用等法律工作者不常涉足的领域。
在另一个视角下,隐私政策与用户协议可以说是网络空间内用户与厂商之间法律关系的基础。
尽管“告知-同意”是我国个人信息收集、使用的基石,但现状往往是用户既不知情,也没法不同意。隐私政策与用户协议长期得不到重视,对隐私政策的关注也是因为近年来多部门开始检查就App个人信息保护问题进行重点检查。尽管用户被一次次要求点击“我已阅读并同意”用户协议与隐私政策,但从来没有人指望用户真的去读,这两份文件更像是写给监管机构的“自白书”。
因此,在很大程度上隐私政策与用户协议并没有起到连接用户与厂商的作用,而这样的断层是法律工作者必须正视的现状,也是数据合规工作的驱动力。
2. 证据
除了写合同以外,证据也是法律工作者的主场。
数据合规的一项基本原则就是可责性(Accountability),数据合规措施要能经得起检验,尤其是法庭的检验,各种文档要能够作为证据在法庭上使用。
无论是庞理鹏诉东航案还是申瑾诉携程案,法庭均认为公司相对个人具有更强的举证义务,需要证明自己已经妥善保护数据。这不是一项容易的工作,比如证明个人信息保护中的用户“同意”就是一项非常棘手的任务,即当消费者起诉时,厂商如何证明消费者已经点击过“同意”,凭着公证的截图恐怕不能证明。
另外,如何让留存了六个月的网络日志成为能够在法庭上使用的电子数据,并且确保真实性、合法性、关联性,也是法律工作者能够介入的工作。
3. 诉讼
诉讼当然是法律工作者最不能退让的战场。
因为数据是一项新生法益,所以让围绕着数据的纠纷处理起来变数曾生,很多数据合规领域里面重要的规则就脱胎于诉讼。
比如“新浪微博诉脉脉案”中的“三重授权原则”,比如“庞理鹏诉东航、去哪儿网案”中的企业责任,又比如“大众点评诉百度案”里数据利用的规则。这些开创性的案件为数据合规提供了清晰的指引,是法律不充实情况下企业行动的海图。
- 4 -
与其他利益相关方积极合作
任何机构开展网络安全与数据保护工作,法律都只是诸多动因之一,法律风险更像是网络安全事件的“次生灾难”,GDPR的高额罚款与《网络安全法》的停业整顿固然吓人,但网络安全事件本身就足够吓人。
因此法律在数据合规领域并非万能,有着自己的边界,但法律工作者不仅需要处理好自己这“一亩三分地”,也需要与邻居打好交道。
在数据合规工作中,有太多的利益相关方:
(《麦肯锡的数字业务与安全策略》,机械工业出版社2016年版,p.XII)
法律工作者需要与IT人员、信息安全人员、开发人员、市场人员等诸多利益相关方进行广泛的沟通。沟通的基础除了法律、市场、还有技术。很多合规措施,需要落实到技术方案中。法律工作者如果希望从这样的沟通中获取有效信息,那么就需要对网络空间内的技术有着深刻的理解。
关于网络法最极端的说法是“代码就是法律”,虽然很多学者并不赞同,但技术的重要性可见一斑。在数据合规领域,无法绕开非对称加密、匿名、假名、联邦计算、边缘计算、SDK这些乍听上去“不明觉厉”的技术名词,但这些名词要么意味着解决方案,要么意味着需要“痛击”的隐患。
在物理空间中,用非法律的手段解决法律问题早已司空见惯,比如加高的围墙、换装防盗门有时比物权理论更能有效保护我们的家园,在香烟上印刷吸烟警示图片比抓捕违法吸烟者更能实现控烟的目的。技术的进步给了维护权利更多方案,比如防盗门比木门更能保护住家的安全,128位的加密比64位的加密更能保护数据的安全。
最为重要的,是法律工作者需要明白技术能够帮我们解决什么样的法律问题。可用的边缘计算、差分隐私、联邦计算等新兴技术能够在多大程度帮我们解决风险。简而言之,是法律工作者需要对自己武器库中的武器有所了解。
除了需要对技术本身的理解,大量信息安全领域的管理经验也是值得重点借鉴的内容。在网络安全与数据保护领域,需要大量借鉴信安标委制定的国家标准。这些国家标准,往往是由信息安全领域的单位起草,内容会频繁借鉴信息安全领域的方法论。
比如戴明环(PDCA,plan-do-check-act)的理念被广泛运用于信息安全管理,体现于大量国际标准、国家标准中。信息安全作为一个专门领域有着数十年的积累,形成了大量的方法论、工具与模型。这些模型没有理由被忽视。
- 5 -
尝试深入数据前沿工作
我几年前就开始建议法律人去学点编程。学习编程未必是要去和程序员抢工作(如果能抢到当然更好),只是因为动手实验是掌握一个领域必不可少的途径,未尝闻不做实验也能学好物理化学的。
当法律工作者写过数据库,知道数据如何访问、添加、删除,一定会对合同中该怎么描述数据处理有更深的认识;当法律工作者了解TCP协议为什么是“三次握手”,一定会对网络架构如何决定责任的划分有更深的认识;当法律工作者用Wireshark看过网络传输的数据包,也一定会对如何发现电子证据有新的想法。
但学习编程、学习技术总是知易行难。如果能够获得一两个认证,也是极有说服力的。比如中国信息安全测评中心组织的注册信息安全专业人员(CISP)资格证就很适合法律工作者,五天的脱产培训可以系统地学习信息安全的理念。
此外,国际隐私专业人员协会(iapp)的CIPM和CIPT认证也在隐私保护方面极有帮助,可以系统性地学习如何构建隐私保护体系以及落实通过设计保护隐私(Privacy by Design)。在数据合规领域,国内已经不断地有法律工作者获得此类认证,未来是否会成为数据合规法律工作者的标配也未可知。
数据是一项新型资源,某种程度上比石油更有价值(尤其是考虑到当前的油价……),数据合规是因此而生的一项新兴业务,具有蓬勃的生命力。在我们大步迈入数字文明之时,数据合规自然也成为值得探索的新的边疆。.