1. 引言
20世纪90年代以来,随着信息技术的快速发展和应用,数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响 [1] 。数字全球化使得数据的价值得以凸显,企业数据更是成为当前经济发展的核心驱动力以及重要的生产要素,被誉为商业领域的新“石油”。当今在互联网大数据时代背景下,数据的开发与再次利用很大程度上依赖于数据的开放共享。许多企业已经在逐步探索数据的开放与共享,以此实现数据的商业价值,但无处不在的数据收集和利用也带来了一系列问题。近年来随着《网络安全法》《数据安全法》和《个人信息保护法》等法律及行政法规的出台,企业如何在合规的前提下最大程度地进行数据共享,发挥数据的经济价值,是一个亟待解决的问题。本文在探究企业数据共享存在的问题的思路下,分析域外关于数据共享的经验,试图就企业数据共享合规提出一点建议。
2. 企业数据共享概述
2.1. 企业数据共享概念
数据是对事实(Facts)或信息(Information)进行数字化记录并处理的结果 [2] ,是对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合 [3] 。
数据共享是原始数据收集者将自己所收集的数据与他人共享,在收集者与分享者之间形成的一种合同关系 [4] 。企业数据共享是指企业之间就自身所拥有的数据进行开放共享,以此使自身获得更多数据资源,提升本企业的市场竞争力。
2.2. 企业数据共享的方式
数据共享主要有三种方式,分别是数据开放、数据交换和数据交易。数据开放是指数据提供商通过在线开放平台免费提供开放数据资源的访问和下载等服务,是一方对不特定人共享数据的方式。数据交换则是发生在双方主体之间,是双方在法律法规允许的范围内,彼此将自己所有的数据与对方进行交换而不必付费的一种合作方式。数据交易则是指数据的使用方通过付费来获取所需数据或访问权限的一种数据共享的方式。
2.3. 企业数据共享的必要性
当今我们已经处在互联网大数据时代,各种互联网技术和科技不断发展,国家和社会的经济发展离不开数据。企业进行数据共享,一方面可以实现数据资源的再利用,降低企业的数据收集成本 [5] ,另一方面又可以实现同类数据效益的最大化,创造更多的社会经济价值 [6] 。大数据开发能够发展成为新型产业并蓬勃发展,数据共享功不可没。例如,上海数据交易所揭牌成立当日的首笔交易产品“企业电智绘”,银行可以通过电力公司提供的企业用电数据分析企业的经营状况,进而决定是否为其贷款1。如果数据不能共享,只能自己使用,那么数据就不就有财产价值,数据产业就不能发展。因此,在数字全球化背景下,企业想要发展变强,数据共享不能缺失。
3. 企业数据共享中存在的问题
在我国,越来越多的企业开始试图发挥数据的商业价值,重视数据的共享,但是由于当前立法体系的不健全和企业相关意识的淡薄,当前我国企业数据共享过程中存在诸多问题。对于企业来说,在数据共享的过程中,数据的开放、交易和交换都可能会出现合规风险。笔者列举了几种在数据共享中经常出现的问题。
3.1. 未经数据主体授权或超出授权范围
数据共享之前必然涉及到数据的收集。在收集数据的过程中,可能需要收集有关个人信息的数据。根据我国《信息安全技术个人信息安全规范》和《个人信息保护法》等的规定,收集个人信息的合法性、最小必要性,以及要获得授权同意,个人敏感信息或未成年人信息还要信息主体的明示同意。但是企业在数据共享时可能没有经过个人信息主体授权或者超出授权范围收集信息,侵犯个人信息和隐私。例如,2016年的菜鸟和顺丰之争,顺丰称菜鸟要求丰巢提供与其无关的客户隐私数据,这就涉及到了个人信息安全。因此企业双方在对信息数据进行共享的过程中,为了获得更多数据以掌握主动权,可能会存在违规收集个人隐私数据的现象2。
3.2. 数据泄露风险
数据的共享使得原本只有自身使用的数据获得数据使用方的获取,同时还可能有作为平台管理方和服务提供方的企业的加入,因此数据泄露是可能发生的问题。现有的数据共享模式比较简单,数据需求者直接从远程数据提供者处获取源数据到本地,并在本地进行处理和分析。当机器受到攻击时,数据无法保护,存在很大的隐私泄露隐患。同时数据需求方必须获取源数据以实现数据共享,将数据明文共享到一个中心节点上,源数据则会直接暴露在平台中。数据加密传输可以减少数据在传输过程中泄漏的可能性,但这也无法阻止数据需求方获得源数据 [7] 。一般来说,目前的数据共享模型只能对数据提供有限的保护,而无法处理计算节点不可信、源数据不需要由需求方持有的情况。因此,在数据共享过程中会出现数据泄露的风险,削弱企业的市场竞争力和商业信誉。
3.3. 数据分类分级不明
不同类型和级别的数据在不同的场景下,安全级别不同,安全措施也应不同。数据分类的目的是保护数据安全,不同类型和级别的数据应采取不同的保护措施。对数据进行分类有利于更好地保护数据。我国的数据规制体系建设时间较短,企业主动、被动应对数据合规要求的时间更短。许多企业在开展数据合规制度设计之前,从未对自身收集、拥有、控制、使用的数据进行过梳理,各部门人员对同一种数据的称呼、理解都会存在差异,数据管理缺少责任人,使得企业不知晓、不明确所谓的数据到底包括什么、特定类型的数据又包括什么,没有清晰的定义,对企业数据共享的合规带来了挑战。
3.4. 个人信息匿名化困难
随着对个人信息和隐私地保护越来越严格,有人认为应该将个人数据与非个人数据区别开来,认为不具可识别性的非个人数据不涉及自然人权益的保护,法律上没必要给予过多的限制 [8] 。但反对者认为,尽管经营者声称收集的个人数据会采取措施如匿名化,假名化等使其失去个人识别,作为个人数据以减少个人隐私的风险,但计算机科学表明,这种区别是程度的问题,而非种类,不可逆转地匿名化是困难的—或许是不可能的,数据是否充分匿名化很难事先评估 [9] 。
4. 企业数据共享合规对策
企业在进行数据开放共享的过程中,可能会由于技术原因或相关法律意识淡薄而出现违规的现象,那么企业如何在数据共享中做到合规,笔者提出了几点建议。
4.1. 重视个人信息保护
对于共享个人信息的企业,未经个人信息主体同意,原则上不允许向他人提供用户个人信息,除非特定个人无法识别,并且处理后无法恢复,并且不向共享方提供所需共享的数据范围以外的数据。同时企业要对照《个人信息安全规范》等行业良好实践以及《个人信息保护法》等相关立法,告知个人信息主体共享个人信息的目的和数据接收方的类型,并事先获得个人信息主体对个人信息的授权和同意;准确记录和保存共享的个人信息;帮助个人信息主体了解数据接收方对个人信息的存储和使用以及个人信息主体的权利。近年京东、抖音、淘宝均更新订单信息加密通知和系统升级方案,对生态链接消费者敏感个人信息进行脱敏加密,不再向商家和服务商提供消费者敏感个人信息的明文内容。可见对个人信息的保护越来越严格,因此企业在数据共享时要格外注重保护个人信息和隐私。
4.2. 加强数据安全防控技术
根据《个人信息保护法》的相关规定,个人信息处理者在处理个人信息时,要采取相应的加密、去标识化等安全技术措施。但是正如前文所述,个人信息的匿名化处理是很困难的,企业实际上很难真正做到个人信息的匿名化和假名化,加上数据安全技术的不完善,致使在数据开放共享时很容易出现数据泄露和个人信息与隐私被侵犯的风险。因此,企业要实现数据共享合规,严控数据的对外输出,通过数据安全防控技术,保障数据在共享的过程中不可篡改,防止数据泄露和个人隐私公开。
4.3. 进行数据梳理和数据分级
进行数据共享的企业应根据《数据安全法》的规定进行数据梳理和数据分级,对不同级别的数据采取不同的安全管控措施。在数据分类的基础上,区分不同数据的保护目标,然后从保密性、完整性、可用性、验证的角度确定数据保护等级,将数据分为机密、核心商密、普通商密、内部数据、部门数据、公开数据五个级别 [10] 。在确保数据流动合理合规的前提下,促进数据安全的开发利用和共享,根据数据量、数据的重要性和敏感程度确定共享范围、权限和方式 [11] ,严禁将涉及国家安全与利益的数据进行共享。此外,行业类型的不同也会导致同类数据在分级上的差异和侧重。
4.4. 进行风险评估
数据共享的每个环节都可能出现数据的泄露或者侵犯个人信息和隐私,因此数据共享参与主体的能力和资质至关重要。因此,企业在进行数据共享之前,应当事前对数据共享行为进行风险评估,对数据共享下游企业的企业状况和安全能力进行一定的审核和管控措施。定期进行风险评估,包括需要处理的重要数据的类型和数量、数据处理活动的情况、数据安全风险和相应措施。具体风险评估方法可根据《个人信息保护法》规定的个人信息安全影响评估规则、重要数据风险评估工作和评估制度进行部署。对数据处理的重要数据目录,应按照数据处理活动的规定定期进行风险评估,发生数据安全事件时,应立即采取处理措施,并处理记录,按规定通知用户,并向有关部门报告。例如掌握涉及国家安全和利益的数据的企业,在选择数据共享下游企业时,更要加强对合作方的调查和审核,避免数据泄露给国家安全和公共利益带来损害。
4.5. 充分发挥合同优势
目前根据我国的数据方面的立法,对于数据确权并没有相关规定。但是不可否认企业在数据共享过程中,极有可能会对数据尤其是衍生数据的权属问题产生争议。因此,在立法没有明确规定的情况下,企业为减少数据共享中的确权纠纷,可以充分发挥合同的优势条件,在与其他企业进行数据合作时,事先通过订立合同将可能发生的争议点作出明确的权属合意。如此,企业数据共享中发生纠纷时可以借助合同维护权益,减少纠纷发生的可能性,在缺少法律依据的情况下最大限度地维护本企业的权益。
5. 结语
在互联网大数据时代,数据对企业,尤其是互联网企业的发展起着至关重要的作用,数据的价值挖掘正在发挥巨大潜力。作为充分体现数据财产属性的方式之一,数据共享发展迅猛。但近年来随着国家对于数据安全和个人信息与隐私的保护越来越重视,企业的数据共享正面临巨大的机遇和挑战。如何在合规的前提下,最大限度地利用数据共享等多种数据开发方式获取商业利益是当前很多企业目前要解决地问题。在笔者看来,在技术层面不断加强数据安全防护技术,在法律层面按照《个人信息安全规范》《个人信息保护法》《数据安全法》等法律和行业规范的规定谨慎对待个人信息和数据,做好数据分类分级和安全评估,同时运用好合同相关法律知识才能实现数据保护和数据流通的平衡。
NOTES
1参见https://www.gov.cn/xinwen/2021-11/25/content_5653396.htm。
2参见https://www.thepaper.cn/newsDetail_forward_1700457。