2018年7月22日,一年一度的“第七屆中國大數據應用論壇”活動在北京大學隆重舉行。本次活動由中國新一代IT產業推進聯盟指導,CIO時代學院、北大軟件工程研究所主辦,全國高校大數據教育聯盟、北達軟、萬山數據協辦,北大CIO班學員、CIO時代學院學員、全國高校大數據教育聯盟成員、其它大數據領域專家和管理者等近兩百人參加了這次論壇活動,此次活動的主題為:大數據時代的數據保護與利用。北京大學兼職教授、工業和信息化部原副部長楊學山在活動中發表了題為《數據保護的一般原則與規律》的主題演講。以下為演講實錄:

  尊敬的各位專家、來賓、朋友,大家上午好!十分高興參加第七屆中國大數據應用論壇,今天談一點關于數據保護一般原則和規律的體會,供大家參考。由于題目太大,我主要從六個方面,對數據保護的主題,以及在這些主題下需要遵循最基本的原則和發展規律,進行簡單的介紹。實際上,我的題目已經給數據保護畫了一個全景圖。

  1. 數據保護的目標

blob.png

  為什么要保護數據?保護數據要走向怎樣的目的地?在上圖中,其中左側是數據保護最根本的內容,它的所有地方都是一致的,無論是法律、技術、制度,還是個人、企業和國家,全世界一致的數據保護目標是數據不被濫用、不被篡改、不被泄露,這三點是信息安全和數據保護最根本的事情。右側的部分是將兩部分的東西總結在一起,包含兩個維度。我們要保護與數據保護相關的各方四個基本的權利,在保護過程中平衡利益,這是數據保護的四個權利和一個平衡。

  所有權。無論是DPA、GDPR或者其他,一般都不強調所有權,主要是數據主體。數據主體的權利分開后,包括四個權利。今天講的數據保護不是DPA的數據保護,也不是GDPR的數據保護,其中數據保護的特定對象是個人數據保護,要保護的是個人的數據權利。GDPR出臺以后,執法、罰款引起了很大的轟動,同時數據保護得到了大家更多的關注,但我們要看到數據保護的全局,數據保護主體不僅是個人,還包括機構和國家。氣象局有自己的數據需要保護,北大有北大的數據,也需要保護。

  處置權。處置權在DPA和GDPR中屬于控制者和處理者,他們是指對數據處置的權力,數據主體同樣有處置權,在GDPR法律中并未提及這方面。

  財產權。在DPA和GDPR也沒有提及財產權,數據是資產,數據是要交易的,數據是有價值的。在數據交易的時顯然有財產權,所以DPA和GDPR在個人數據保護上是有缺口的,而且缺口十分大。

  知情權。知情權指兩個方向:一個是數據具有處置權利的主體要告訴他,要公開先告知數據主體獲取數據的目的,對于被獲取的對象有權利了解目的和處置,實際上是將其透明化。

  利益平衡。在不同的主體中、在不同的范疇中、在不同的價值領域中所有的權利是有不同利益關系的。當互聯網的公司、醫院使用你的數據時,你是可以獲取價值的,但在價值和信息的數據主體之間如何平衡?國家利益、機構利益和個人利益之間如何平衡?實際上,個人數據的保護是有約束的,當與國家利益發生沖突時,個人利益必然要往后放。例如天網系統,在個人未知的情況下,收集很多個人照片與數據,雖未告知本人但他必須要用,因為對交通違規、抓犯罪是必不可少的。所以,并不是個人數據、個人隱私是如此的神圣,它是利益平衡的關系。

  2.數據保護的對象

  DPA和GDPR針對的是個人數據,但數據的主體不僅是個人主體,還包括政府、個人、企業,還可以擴展到法人,所有的機構都是數據保護的對象。國家有國家機密、企業有商業秘密、個人有個人隱私,這三者在進行數據保護時是不能偏頗的,不能只看其中一點。

  對于政府和企業的信息,其中既有關于個人的、企業的,也有它自己特有的。如此多的政府信息是包含它自己本身產生和使用的,并非全部來自于個人和企業。對于數據保護對象時,數據本身的數據主體一定不能局限在個人、自然人的范疇內,而是政府、個人和企業,在數據保護的過程中這三種類型實際上是不同的。

  對于政府信息而言,它是三種狀態:第一種是不能讓別人了解的,這是國家機密,能知曉的是該了解的人、不該了解的人絕對不能知曉;第二種是公開的,大家都可以了解,公開有兩種方式,第一種是主動公開,在政府機構門戶網站主動公開的;第二是依申請公開,首先申請感興趣的信息,然后政府相應部門決定是否基于反饋;第三類信息是處于兩者之間,無論是電子版還是紙質版的信息,其中有一部分是要公開的,另有一部分是敏感的,或信息只能在特定的時間后公開。處于這中間的信息,它會經過處理后才能決定是否公開??傊?,數據保護最根本的是不被篡改、不被泄露、不被濫用,按照不同類型進行保護。

  企業信息也分為三種:第一種是它要宣傳的,希望別人了解,包括廣告、宣傳等;第二種是絕不讓人了解的,國家也不能法制,這是商業秘密。很多企業它的知識產權或技術是不申請專利的,因為申請專利別人就可以用,從專利的申請文本中了解其過程,所以很多企業是不申請專利的。例如,康寧公司是做玻璃的,他的主要技術是不申請專利的,由于未申請專利,沒有泄露技術與工藝,如果有人采用相同的工藝生產,他是有權利起訴的,他認為你竊取了他的商業秘密;第三種與政府相同,在一定的業務系統客戶關系中或在一定的場景下可以公開,另一些場景下不可公開的。

  對于個人的數據保護,在DPA、GDPR中已經有明確的界定,關于個人所有的信息都屬于個人數據,其中有些是敏感的,有些是不敏感的。敏感的數據按敏感的管理,不敏感的數據按不敏感的管理。個人信息在不同領域中,個人對它有著不同的控制權利。

  3. 數據保護的主體

  在數據保護的過程中有三類主體:一是數據主體,是數據的擁有者;二是控制者,盡管是你的數據,但數據由別人管控,與在GDPR和DPA中的概念是相同的,所謂的控制是指,例如公安部門的戶籍數據、醫院的個人健康數據、學校的個人教育數據,這些都是實際信息的控制者;三是信息處理者,數據的主體控制者委托個人或機構來進行處理數據。以上三個方面都是針對權利義務的統一,三方都承擔著相應的責任、權利和義務,而不是只擁有權利而不承擔責任和義務。對于個人隱私,不僅個人的數據是需要保護的,個人同樣要承擔相應的責任和義務。所謂的義務是為了國家利益、社會安全采集數據時,必須要給,這是你的義務。當然,你有權利了解數據的采集目的和實際作用,這是你的權利。

  所有的三個主體,都是責任、權利、義務的承擔者。其實,數據的控制者的責任很大,因為在控制數據的全過程中,要保證數據委托給第三方處理的時不被泄露、不被濫用、不被篡改,要擔負這三方面的責任。當我們手中有數據時,需要肩負起這三個責任,數據為王,扛起了責任才為王,否則數據會把你從王座上拉下來。目前,在所有的主體之中,數據控制者對責任的認知不清,是其中最主要的矛盾,同時也存在個人對自己的權利維護不足的問題。

  4.數據保護的要素

  我必須重申一下,數據保護不僅是法律,法律條文的確立是最容易的,執法比條文確立要重要的多。如果要實施GDPR,真正按照法律條文執行,它的難度之大遠超出所有人的想象。在今天,數據的存在形態、處理方式、流動方式以及由于利益關系造成的各種障礙,使得執法難度非常大。法律是重要的,否則沒有遵循的依據,但法律條文出臺后還要執法,要有技術和制度的保證。要保證數據不被篡改、不被濫用、不被泄露,需要采用技術的手段來保護。關于技術主要有兩個對應:保護和攻擊。沒有保護的技術面臨攻擊,制度和法律再好也是無用的。目前不斷地出現黑客把信息盜走的事件,所以沒有技術是不行的。

  5.數據保護的平衡

  法律在一定范疇之內,要遵循,要通過制度落實執法。不僅要有各個機構的制度,還要有范圍更廣的制度,通過制度,將保護的要求全面落實,數據保護是利益平衡的結果。法律是國家利益的集中代表,不能超然于國家利益之上。所以,法律是利益平衡的結果,幾乎所有的法律都是利益平衡的結果。各個方面都是需要平衡的,責任、權利、利要平衡;在利益上,國家、機構和個人要平衡;在要素上,技術、制度和法律要平衡。

  6.數據保護的發展

  當我們說GDPR是史上最嚴格的個人數據保護法規時,實際上,1995年歐盟通過的DPA,也是當時全世界個人數據保護最嚴厲的法令。當時,與其他人在交流澳門大數據發展時,它的最大優勢是澳門的數據保護是遵循歐盟法律的,它是隨著技術的發展、數據產生、保管、流動、使用的發展和認識的發展,處在不停地發展中,它不是一成不變的,道和魔的發展永遠是此消彼漲的過程,在不斷地發展過程中來提升。

  以上是我要分享的六個方面,只是構建了一個基本框架。在數據保護中,除了數據不被濫用、不被泄露和不被篡改這三個基本原則之外,還有兩條最基本的原則:同意和透明。所謂同意是需要數據的主體知曉,無論數據主體、國家機構,還是個人,在處置信息時必須爭得主體的同意。不僅對于個人數據保護,其他的數據也是相同的,使用數據時,要與企業或國家立下保密條款。所以,數據主體的數據無論怎么用、誰用,使用時都要爭得數據主體的同意。所謂透明,是要讓數據的目的和處理方式透明化,無論對于是控制者、處理者還是主體,都是應該了解的。

  以上關鍵詞構成了數據保護最基本的原則框架,要在其中找到平衡點,找到當前的發展階段,找到當前的國家利益,那么相應的法律和措施會隨著它的發展而出現。

  謝謝大家!

責任編輯:hongqiong