基于个人信息的数据资产保护研究报告发布专家：数据保护和利用或应有中国方案

法制日报全媒体记者 梁士斌 

图为研讨会现场。高川摄

基于个人信息的数据保护与安全利用,成为今年数字经济社会发展领域最大的热点与难点问题之一。欧盟《通用数据保护条例》(以下简称GDPR)的实施以及美国史上最严厉的消费者隐私保护法案《加州消费者隐私法案》(以下简称CCPA)的出台,在国际范围内掀起讨论个人隐私保护的热潮。

我国政府多个部门也纷纷出手整治:公安部门采取专项行动,最高人民法院和最高人民检察院出台相关司法解释,个人信息安全标准呼之欲出……

10月30日,中国社会科学院信息化研究中心主办的数据保护与利用研讨会上,关于数据保护与利用是借鉴欧盟规则还是美国规则,抑或应该走出一条符合中国国情的第三条道路,成为专家们热议的话题。

在会议上,社科院信息化研究中心发布了《基于个人信息的数据资产保护研究》报告。报告指出,在移动互联网、大数据技术、人工智能等新一代信息技术广泛应用的当下,数据资源的开发利用将成为推动国家经济发展、提升国际竞争力的关键领域。但由于缺乏对数据资产价值的认知以及利用、流通规则的缺失,导致数据孤岛林立、数据安全问题严峻,个人信息被过度搜集和滥用,数据资产被非法侵占和利用,这些问题都将严重抑制企业和产业的可持续健康发展。

这项报告的主撰稿人、社科院信息化研究中心主任姜奇平指出,在给数据立规则的阶段,要平衡国家、个人、企业三方利益,坚持保护与开发并重原则。

报告对政府层面提出要加强数据资产的归置力度,加快明细数据产权研究,提高数据资源的市场配置效率,提升公共数据的资产保护意识,加快建立企业间数据共享的法律和政策框架。

对于行业则提出,应从确权入手,加强行业自律,确立数据开发和保护并重的权利规则体系。

对于个人信息,强调服务过程中的保护,不仅在采集端要加强保护,在服务端也要保护,数据要宽进严出;对于企业数据,要突出聚合数据的确权问题;对平台数据问题要突出关系链等核心资产保护。

 DCCI互联网数据中心创始人胡延平在分析了欧盟GDPR和美国CCPA文件以及当前欧盟的执法情况后指出,过于明显的一刀切的制度设计与开放流动、丰富多样、瞬息万变的数据应用场景之间有错位,“对用户的赋权,反而造成对用户权利的损害”。为此他提出一套多维度、多主体、开放、动态、可标注、个性、可追溯、可统计的《多维数据保护指引》(Multidimensional Data Protection Guideline,简称MDPG)。在这套指引中,将个人数据廓清为四大维度、16个子类、120项具体指标。四大维度的个人保护被分为:个人基本信息、个人行为数据、个人应用数据、个人持有数据,以避免数据治理过程中过于简单、流于表面、模糊笼统等问题。

胡延平介绍,MDPG的根本思路是以使用为价值根本、以应用为需求核心、以服务为关系脉络、以场景为问题依托、以具体的数据指标为界定依据,适当避开传统产权、所有权各执一端、争执不下的僵局。

 MDPG第一次尝试把数据规则的制定权、数据权益的裁定权,交还给用户。强调关键规则和具体问题,由应用服务有关各方、不同市场主体,根据各自的情况自主协商、自行裁定。MDPG建议摈弃一个规则规定一切、一个协议约定全部的“刚性”做法,在用户和企业之间建立协议、协商、选择、议价、调节的柔性机制,变堵为导,以“使用”而不是单纯的“同意”为重心,从多个维度为多类主体之间的数据授权、流动分享、价值回馈,建立开放灵活的协议通路和选择机制,并且给相关机制装上调节按钮。

华东政法大学数据法律研究中心主任高富平教授指出,数据经济是信息通信技术发展到数据化、智能化阶段的产物。而构筑数据经济,最核心是要建构一个受控的数据利用秩序,而受控的数据利用秩序关键在于授权,解决产权基础之下受控的资源。数据不是天然存在资源,而是网络基础设施和设备运行的结果,是投资和劳动的结果。就如同传统物质性的生产资料需要被保护一样,数据生产者、数据集的加工者均需要被保护,赋予某种财产权利以启动数据的流通,实现市场化配置利用。

他认为,欧盟GDPR建立在个人单一的同意基础上,根本没有赋予个人对于数据的控制权。

中国电子技术标准化研究院专家何延哲表示,当前个人信息保护是最热门的话题,从中央各个部门到地方、行业监管都有所动作,网络安全标准也在制定过程中。当下的监管解决了隐私政策的问题,也给产业带来机会。但面临的问题是用户到底对个人信息保护关心什么,是有“双重标准”的。如果民众的认知水平不高,对个人隐私的保护就容易走极端。所以要建立民众、企业、监管三方的数据价值观,找到发展的平衡点。

中国人民大学未来法治研究院副院长丁晓东教授认为,个人信息保护和企业数据的利用在一定意义上应该通过场景化的区分,以实现数据合理化的流通和共享。