描述
开 本: 16开纸 张: 纯质纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787121394867丛书名: 数字经济路-油-车系列丛书
新基建、数据要素和产业互联网紧密相连、互相促进,三者的紧密关系可类比为“路—油—车”,新基建是通往全面数字社会的“高速公路”,数据是驱动数字经济发展的新“石油”,产业互联网则是高效运行的“智能汽车”。
数据在信息化社会中起着至关重要的作用。数据要素的概念涉及计算机科学、法律学、社会学、工程学、基础科学等众多学科,它早已超出20世纪60年代定义的数据科学的学术范畴。数据要素内容包括数据的数据特征、数据存储、数据处理、数据权属、数据保护、数据交易等异常丰富的细分领域,学术研究和应用开发异常活跃。数据要素被喻作新数字经济时代发展的“石油”,对时代进步、技术创新、文明演进、社会发展和全球化作用宏巨。无论是数据要素的整体,还是对其各个细分领域的研究和应用,均具有很高的难度和极其重要的应用价值。
本书关注数据要素中一个重要的领域——“数据治理”。书中介绍了数据治理中公共政策的框架;分析了数据权属问题、个人数据的隐私性与经济性二元性及企业数据财产利益确认;分析比较了欧盟 GDPR 与美国加州 CCPA 两大体系的发展趋势,以及对数据跨境流动方面的认识和处理;探讨了面部识别、区块链、隐私计算的影响、挑战和机遇;本书还介绍了我国个人信息保护立法与实践方面的情况,以及我国数据治理方面的努力与成效;特别是对抗击新冠疫情期间数据采集、使用、保护与责权处置等进行了深入剖析和解读。
本书对我们开阔视野、增长知识、预知未来,对于提升政府机构和企业对数据治理的科学性与系统性,对于增强个人数据隐私保护意识和落实个人隐私数据使用规范等均具有极其重要的作用,对于在全球化的今天如何正确处理数据权属、数据资产和数据保护等问题,对于有效保护个人数据隐私具有重要的指导价值。
数据作为与土地、劳动力、资本、技术并列的数字经济时代涌现的新型生产要素,是驱 动数字经济发展的“助燃剂”,对价值创造和生产力发展有着广泛影响。本书由长期从事数 据政策研究的资深专家王融女士撰写,她结合数据技术、业务、产业的一线发展情况和研究 积累,搭建了数据要素公共政策的完整框架:提出了数据权属问题的含义及其特征、个人数 据的隐私性与经济性二元性及近年来司法实践对企业数据财产利益的探索与确认;介绍了世 界各国数据保护的做法,特别深入分析比较了欧盟GDPR 与美国加州CCPA 两大体系的发展 趋势;探讨了面部识别、区块链、隐私计算等新兴技术领域带来的影响、挑战和机遇;勾勒了 全球数据跨境流动的政策景况;介绍了我国个人信息保护立法与实践的总体特征,以及我国 数据治理方面的努力与成效,特别是对抗击新冠疫情期间数据采集、使用、保护与责权处置 等进行了深入剖析和解读。本书视点高、视野广,知识广博、见解深刻,内容精道、力透纸背, 是数据要素方面货真价实的优秀专著。
序
前言
第一篇 数据的权属与竞争
第 1 章 数据产权:无处安放的数据权属
第 2 章 关于大数据交易的核心法律问题——数据所有权探讨
一、关于数据所有权的两种观点
二、讨论数据所有权的前提是承认数据具有财产属性
三、对数据所有权界定的一种思路
四、结语
第 3 章 隐私与竞争 : 数字经济秩序的平衡之道
第 4 章 个人信息保护与市场竞争的互动关系——从前者的视角观察
一、引言
二、隐私与市场的关系
三、个人信息保护法律制度对市场竞争的影响
四、个人信息保护制度扩张对市场竞争的影响
五、数据可携权等制度面临的质疑与挑战
六、结语
第二篇 世界各国数据保护做法
第 5 章 全球视野下的个人数据保护立法与实践
一、个人数据保护法的全球普及
二、GDPR 从文字走向落地,正负面影响并存
三、美国加利福尼亚州出台 CCPA,与欧盟保持立法差异
四、国内多部法律并行推进数据保护规则
五、个人数据跨境流动机制曲折发展
六、跨域执法数据协作新的探索与冲击
第 6 章 欧盟《通用数据保护条例》详解
一、极大地扩展了《条例》的适用范围
二、统一的《条例》规则之下仍有一些例外
三、一站式监管
四、处理数据须有合法理由
五、坚实强大的数据主体权利
六、严格问责:数据控制者
七、数据保护官
八、安全保障措施
九、对数据画像活动的特别规制十、监管权力、处罚与司法救济
第 7 章 欧盟《通用数据保护条例》:十个误解与争议
一、引言
二、相关问题的讨论与分析三、结语
第 8 章 美国联邦与地方隐私立法的互补
第 9 章 美欧隐私保护立法会走向趋同么?
一、CCPA 对适用范围做了合理排除
二、CCPA 仍然保持了美欧个人数据保护法的最大差异,延续了 opt-out 模式
三、结语
第 10 章 我国个人信息保护刑事立法进展及企业风险防范
一、加速推进个人信息保护刑事立法
二、我国个人信息刑事保护的主要特点
三、我国个人信息刑事保护制度要点
四、企业的刑事风险防范策略
五、结语
第 11 章 《民法典 人格权编》的影响与改变
一、引言
二、把握“个人信息”特殊属性,合理处理与“隐私权” 的关系
三、个人信息定义回归“识别说”标准
四、民事立法亮点,《人格权编》的免责事由
五、借鉴国际立法经验,延续个人信息处理基本规则
六、填补“民事保护”板块,构建更加完善的个人信息保护法律体系
七、全面的制度建设,仍留待《个人信息保护法》
八、结语
第三篇 特殊领域的数据保护政策
第 12 章 面部识别技术隐私与数据保护政策趋势第
第 13 章 区块链的隐私和政策保护趋势
第 14 章 儿童个人信息保护——美好的权利如何脚踏实地
一、引言:儿童个人信息保护,难点在哪里?
二、儿童个人信息保护,从哪里借鉴经验?
三、儿童个人信息保护的核心制度设计
四、儿童个人信息保护,仍有许多细节性的实务问题
五、结语:儿童个人信息保护,仍应在生活场景中探寻方案
第四篇 数据共享与数据流动
第 15 章 Facebook 数据事件的深度拷问
第 16 章 欧盟数据共享政策探索
第 17 章 数据跨境流动政策认知与建议
一、关于讨论前提的两点澄清
二、美欧数字跨境政策发展概况及差异
三、数据跨境政策面临的共性问题及对中国的参考建议
四、复杂的数据流动政策对跨境业务的影响
五、数据跨境流动合规建议
第五篇 数据治理与政务数据规则
第 18 章 数据治理——精细科学的政策平衡
一、2018 年,数据治理的灰色之年?
二、欧盟 GDPR,灰暗中的希望?
三、美欧隐私政策在走向融合趋同吗?
四、数据治理,期待更为精细和科学化的政策平衡
第 19 章 “隐私”与“公共健康”的决策平衡
——疫情下各国个人信息保护的 10 个共识、差异与挑战
一、背景
二、规则、做法与讨论
三、大型科技公司积极参与抗击疫情,但承诺谨慎处理用户数据
第 20 章 “健康码”折射政务服务数据规则
一、解决“个人信息保护”问题,需厘清各方的角色与责任
二、“健康码”本质上是政务服务,政府扮演数据控制者角色
三、区分“控制者”和“处理者”,将为数据处理活动提供更明确的法律指引
四、“健康码”政务项目中的政府和企业的责任与边界
五、我国现有个人信息保护法律体系与上述规范框架尚存差距
数字社会的信任基石——基于数据的信任关系
信任在社会财富创造和经济增长中扮演着重要角色,在网络连接的数字
社会中更是如此。腾讯研究院文章——《经济增长的信任基础》,结合区块
链技术的应用与发展,探讨了塑造社会信任的正式制度(法律、监管、司法)
与非正式机制(社会风俗、伦理、技术)之间的相互关系。文章提出:科技
应当与其他信任机制相互结合,用科技增强传统信任,才能走向更广阔的天地。
本文将在此基础上继续讨论数字社会最重要的信任话题之一——隐私
保护,该领域不仅再次验证了上述观点,而且呈现了更为紧密的互动关系:
隐私权迈向个人信息保护,是制度在回应信息技术带来的信任新风险,但
制度不可避免地具有滞后性。为减少规制惯性带来的负面效应,制度应保
持适度弹性,以使制度与技术进行更包容的双向互动,彼此调整完善。在人
工智能新兴技术领域中,我们也欣喜地看到了这种良性互动,以联邦学习
(Federated Learning)为代表的AI 技术方向,在保障隐私和数据安全
的前提下,为进一步挖掘数据价值、创造社会福祉带来了新的解决方案。
一、制度对技术的回应:隐私权向个人信息保护扩展
回顾过去一百多年,在面对科技对个人安宁、自主性可能造成威胁时,
VII
数字社会的信任基石——基于数据的信任关系
VIII
制度均做出了积极的回应,并据此搭建监管框架,试图重建信任基石。
1890年,快速发展的“八卦新闻”及摄影技术应用对个人生活带来了侵扰,
美国学者由此提出了现代隐私权利理论[1],“个人独处的安宁”逐步被司法
实践认可并成为法律原则。
到二十世纪六七十年代,计算机大规模应用普及,防御性的、事后救济
性的“隐私权”难以解决个人信息非法收集和利用问题,私法领域的“隐私权”
逐步发展为公法领域的个人信息保护制度,即在未发生隐私侵害后果之前,
就明确个人信息处理的方式,包括知情同意、最小化、目的特定、保障安全
与可问责等。欧、美等发达国家和地区率先完成了个人信息保护立法。
进入二十一世纪,在应对云计算、大数据、物联网等带来的个人信息保
护挑战中,欧盟扮演了领导者角色。欧盟《通用数据保护条例》(GDPR)细
致规定了数据处理的合法性基础,并通过高额的违规处罚,促进了各行各业
在数据保护方面的关注与投入,在全球范围内形成了立法示范效应,更是明
确了数据保护前所未有的重要性。
二、制度的天然缺陷:滞后与规制惯性
如同其他领域的法律制度一样,隐私与个人信息保护的立法过程就是“回
应—滞后—再回应—再滞后”的循环递进过程。
首先,个人信息保护制度的基石——“个人信息”的定义一直处于被挑
战状态。大数据的出现模糊了个人信息与非个人信息的边界。大量数据更易
被关联和聚合,大大增强了将非个人信息转化为个人信息的能力。如果法律
[1]Samuel D.Warren & Louis D.Brandeis.The Right to Privacy,4HARV.L.REV.193
(1890).It defines the right to privacy as the“right to be let alone,”in
areaction to the development of journalism and gossip columns。
固守传统,适用于严格界定的“直接可识别身份的信息”,那么在大数据环
境下,数据利用的安全风险又如何被规制?如果扩张个人信息的边界,那么
又将扩张到何种程度,而不至于超出法律体系运行本身可负担的合理边界?
这是实务中围绕Cookie 记录、搜索记录、动静态IP 地址、设备ID 是否属
于个人信息等不断进行争议的根源。随着物联网、智慧城市,包括产业互联
网的加速部署,将带来更多类似的争议。网络上的信息日夜不分地紧密结合
在一起,汇合成支撑社会运转的巨大信息流。在此情形下,将某一主体所提
出的原信息从信息束的整体中独立拆分、收回(撤回)、取消或删除的难度
日益加大,甚至在某种程度上,在原信息主体完全未知的情况下,它会自动
地在网络世界中互相进行联系、融合和更新[2]。
其次,个人信息保护基本原则难以应对新型信息实践。各国现行的个人
数据保护原则主要基于1980 年经济合作与发展组织(OECD)制定的《隐
私保护及个人数据跨境流通指南》,而该《指南》形成的背景主要是针对
六七十年代政府和大公司使用计算机收集和处理个人数据的,因此确立了目
的特定、知情同意、最小化等原则。但在当前以数据驱动的经济发展中,以
上原则的适用性已经显得力不从心。过去,数据的收集往往事前就可明确目的;
当前,数据价值和创新依赖于后续的挖掘利用。过去,数据收集通过单个采
集完成,知情同意机制尚可运转;当前,数据收集大多通过机器被动同步完成,
围绕知情同意有效性的质疑不断增多。过去,政策监管框架聚焦于如何减少
用户所面临的风险;当前,政策更多地聚焦于如何在保护与促进创新、经济
增长之间保持平衡。个人信息的使用与否不再取决于个人与社会整体的交往、
融入意愿,而是一种在多数情况下无须进行选择的生活方式、交往方式,这
体现了社会运转方式的全局性、整体化变革[3]。
[2][3] 民法典工作项目组. 与民法典同行. 大数据时代下个人信息保护的立法模式变革,
2018-03-07。
IX
前言
再次,区块链技术对现有个人信息保护实践带来了根本性的挑战。如果
说移动互联网、云计算、大数据是对个人信息保护机制如何落地执行的挑战,
那么GDPR 尚可在体系内部进行修补。然而,区块链的出现及应用,对个人
信息保护规制范式带来了根本性冲击。区块链创建了一种全新的信任机制,
可以通过共识算法、去中心化分布式存储使参与者达成共识。这与个人信息
保护机制建构的中心化规范范式不相适应[4]。传统个人信息保护制度体系重
点指向的是现实世界里中心化的数据控制者,如政府机构、银行、医院及各
类互联网中心化平台。而在去中心化的区块链逻辑中,让分散在全球各节点(背
后是个人或机构)的参与者遵循统一的数据保护框架,对任何一家监管机构
都充满了挑战。更进一步,在区块链防止篡改的信任逻辑中,也很难支持数
据保护制度中的更正权、删除权甚至被遗忘权等权利诉求;单点记入、全网
同步功能也与GDPR 中的数据最小化原则格格不入。
尽管区块链与数据保护法律原则在底层逻辑上存在冲突,但不可否认的
是,区块链的功能目标与数据保护制度目标是兼容的。区块链有利于提升人
们对个人数据的控制权,更好地保护用户隐私。
总之,当现有制度在尝试解决技术带来的问题时,往往会陷入规制的路
径依赖,如在个人信息保护机制中,继续加强知情同意,继续加强个体权利,
然而这些应对对于实际问题的解决似乎效果有限。正如欧盟的GDPR 在2016
年甫一问世,制度规范就已走向固化。相比之下,新技术却仍在以惊人的速
度高歌猛进。在区块链之外,无人驾驶、面部识别、可穿戴设备、智能家居、
医疗监测器械、行为生物数据、无人机等一个又一个技术应用,不断地丰富
数据驱动的新领域。对于这些新技术,是严格套用GDPR 予以规范,还是适
度平衡隐私保护与创新发展,是政策制定者无法回避的现实问题。
[4]Michèle Finck.Blockchains and Data Protection in the European Union,Max
Planck Institute for Innovation and Competition Research Paper No.18-01。
X
综上所述,现有的个人信息保护制度带有一定的缺陷。如果从区块链技
术等新兴技术的发端开始就将其完全套用在规制范围内,甚至视之为违法技
术,那么无疑会扼杀实现数据保护目标和技术发展的一种可能。反之,更多
地采取宽容的态度,让制度与技术彼此适应和完善,就会在互动中取得双赢。
欧盟理事会在GDPR 实施一周年的评估报告中写道:“我们应该看到技术在
某些领域的应用也可能拥有巨大的优势,并有可能加强欧洲公民的隐私保护。”
例如,基于区块链的“零知识证明技术”能够实现使用尽可能少的个人信息,
同时验证某一特定主体的身份[5];差异隐私技术能够实现数据集中而带来的
价值,但同时保持特定自然人身份不被识别[6]。法律的适用应当为技术发展
留有“一定空间”,而不是对技术完全规训。这也许是欧盟数据保护委员会
(EDPB)迟迟未就区块链出台合规指南的重要原因之一。
三、制度也塑造和促进了隐私安全技术的发展
以欧盟GDPR为代表的个人数据保护制度促进了合规与隐私文化的发展,
并推动业界用技术来解决隐私、安全问题。近年来,这个话题在学术界和行
业实践中都经历了爆炸性增长,包括多方安全计算(Secure Multi-Party
Computation,MPC)、同态加密(Homomorphic Encryption)、差分
隐私(Differential Privacy)等安全技术加速从理论走向实践,相关
应用实践在金融、医疗、政务等领域渐次展开[7]。
[5] 零知识证明技术指的是,特定主体能够在尽可能少向验证者提供甚至不提供任何有用的信息的情
况下,使验证者相信某个论断是正确的。AHN Gail-Joon,“Zero-knowledge proofs of
retrievability”,Science(Information Sciences),Vol.10(8),2011,pp.1608-1617。
[6] 差异隐私技术指的是,从统计数据库查询时,最大化数据查询的准确性,同时最大限度地减少识
别其记录的机会,这种机制的核心是给查询的结果增加一定的噪点。Mannhardt,Felix,
“Privacy-Preserving Process Mining”,Business & information systems
engine
评论
还没有评论。