张茉楠:全球数据开放战略的路线图
摘要:大数据重新定义大国博弈的空间,世界主要国家早已认识到大数据对于国家的战略意义,认为谁掌握了数据的主动权和主导权,谁就能赢得未来。西方主要国家通过全面谋划大数据的系列行动将大数据作为争夺数据主权的重要途径和突破口。
一、世界主要国家推动数据开放的行动计划
美国政府是最先对大数据革命做出战略反应的。2009 年,美国联邦政府发布《开放政府指令》,作为大数据的前奏推出了“Data.gov”公共数据开放网站。2012年3 月,美国联邦政府发布了《大数据研究和发展计划》,正式启动了“大数据发展计划”,宣布将投入超过2 亿美元在大数据研究上;同年5月,联邦政府发布《数字政府战略》(Digital Government Strategy),致力于为公众提供更好的“数字化”服务,围绕数据进行的一系列措施在美国政府全面推进,大数据对美国政府的影响逐步显现。2013 年5 月9 日,奥巴马总统签署第13642 号总统行政令,对联邦大数据管理工作提出了新的准则,提出在保护好隐私安全性与机密性的同时,将数据公开化以及可读写化纳入政府的义务范围。2014 年5 月1 日,美国总统行政办公室向奥巴马提交了一份名为《大数据:把握机遇,维护价值》的报告,阐述了大数据带来的机遇与挑战。报告认为,大数据技术为美国经济、人民的健康和教育、能源利用率以及包括信息安全在内的国家安全等提供了难得的机遇。同时,报告也指出了大数据为美国隐私保护、信息安全和社会发展带来了新的挑战。在这些战略框架中,基本都考虑了大数据对既有法律制度的挑战和相应对策。
欧盟专门在2014年发布了《数据驱动经济战略》,为欧盟恢复经济增长和扩大就业,做出巨大贡献。欧盟在大数据方面的活动主要涉及两方面内容:
(1)研究数据价值链战略计划;
(2)资助“大数据”和“开放数据”领域的研究和创新活动。
2010 年 3 月,欧盟委员会公布了《2020 战略》,认为数据是最好的创新资源,开放数据将成为新的就业和经济增长的重要工具;2011年11月,欧盟数字议程采纳欧盟通信委员会《开放数据:创新、增长和透明治理的引擎》的报告,开始推进开放数据战略,该战略从三方面对原有法律、政策进行修订与补充:
(1)建立适应信息再利用的法律框架,对公共部门信息再利用指令修订的决定。
(2)动用金融工具,以支持开放数据和行动作为建立欧洲经济数据门户的部署。
(3)促进各成员国之间的协调与经验交流,为开放数据与共享提供平台。
计划于2012年春建立欧洲开放数据门户网站,提供委员会和欧盟其他机构的数据访问,2013 年春建立泛欧洲的数据门户网站,允许访问整个欧盟自2011年起所有成员国的数据,保证公众可以自由获取这些创新资源。
2012年10月,欧洲委员会提出《云计算发展战略及三大关键行动建议》,三大关键行动为:
(1)规范和简化的云计算标准;
(2)云计算安全和公平的合同条款及条件;
(3)建设欧盟云计算伙伴关系,驱动创新和增长。
其它的具体行动举措还包括:数据保护、网络安全、信任举措、云计算互操作性、宽带部署、在线服务、公共行业首先参与云计算和国际对话与合作等。欧盟这些战略部署成为之后欧盟及其成员国数据立法的基本路线图。
二、各国加快推进数据开放相关立法进程
国家作为提取、储存、处理、利用海量数据的主体,在“大数据”时代有义务尽可能开放所拥有数据,便于经济、科研、个人等主体领域挖掘其中价值。在美国,1997年,按照《信息自由法》的要求建立了FedStats.gov网站,全方位公开联邦政府的统计数据,包括经济数据、人口趋势数据、教育数据、公共卫生方面的数据等;2006年,根据《联邦资金问责和透明法案》,建立了USAspending.gov网站,公布政府开支信息,告诉公众他们所缴纳的税是如何被政府使用的;2009年2月,根据《美国复苏与再投资法》,建立了Recovery.gov网站,公开2009年美国政府经济刺激计划资金使用情况的数据。2013 年5 月,奥巴马签署第13642 号总统行政令,对联邦大数据管理工作提出了新的准则,提出在保护好隐私安全性与机密性的同时,将数据公开化以及可读写化纳入政府的义务范围。2015年以来,美国第114届国会正在讨论修改《信息自由法》的S. 337 和H.R. 653议案,主要是增加数据公共开放。国会和学界讨论的要点包括:提高政府记录的电子可获取性、明确可以请求获得政府部门内部和跨部门之间备忘录和函件等相关信息的权利、统一政府部门搜索和复印文件的收费标准、要求政府部门有义务告知被拒绝的申请人以复议程序。
对于数据开放,欧盟在2003年颁布了《公共部门信息再利用指令》(2003/98/EG),在2006年通过了《信息再利用决议》(2006/291/EC)。德国于2006年12月13日转换指令颁布了《信息再利用法》(IWG),但囿于当时大部分成员国仍处于信息公开的初步立法阶段,而且对社会与个人对数据的需求没有现在这般强烈,所以该指令与德国的转换立法在实践中产生效果甚微。2011年11月,欧盟在推进数据开放战略中明确提出要修改指令2003/98/EG和决议2006/291/EC。立法和学界讨论的要点包括:所有来自于公共部门的文件均可用于任何目的(商业性或非商业性),除非受到第三方版权保护;除非有正当理由,大部分公共部门的数据都将免费或收取极少费用;强制要求提供通用机读格式的数据,确保数据的有效再利用;引入监管机制,保证原则的执行;数据开放范围将覆盖包括图书馆、博物馆、档案馆等更广泛的组织。2013年,欧盟通过指令2013/37/EU对指令2003/98/EG进行了修改。德国为了落实欧盟2013年指令和履行2013年加入的G8《开放数据宪章》的承诺,2014年9月17日公布了“数字行政2020”计划。从德国立法和学界的讨论看,该国数据开放分为两步:一是落实联邦《信息自由法》的规定,继续消除公民获取国家信息时的法律障碍,研究内容包括信息公开的宪法依据(民主原则、法治原则、基本权保护)、公共行政范式变迁(透明、合作和参与)、行政法中的阅卷权、信息公开请求权、信息公开的例外(国家秘密、商业秘密、个人信息保护等)。二是落实如何再利用从公权力机关处获取的数据。德国需要根据欧盟2013年指令修改2006年颁布的《信息再利用法》(IWG),目前该法修改草案已经于2015年2月11日公布。目前讨论的重点在于:再利用数据立法的适用范围、再利用请求权、对行政机关提供信息的具体要求(格式、去纸化、期限、费用等)、权利救济、与信息公开法的关系、与电子政府法的关系。除此之外,也有学者对具体数据种类的再利用进行了细致讨论,比如地理数据。
三、各国把加强数据安全保障体系建设作为核心
大数据给社会、经济、行政等各行业带来了根本性变革,也对数据的传输和存储的安全性提出了更高的要求。美国政府从20世纪90年代后期开始关注来自网络空间的威胁,并逐步发展出成熟的网络安全战略,小布什政府于2003年2月公布了《网络空间安全国家战略》,奥巴马政府于2011年5月公布了《网络空间国际战略》,近期美国网络安全立法的重要内容就是确认和贯彻这些战略思想。截至目前,美国有超过50部联邦法律直接或间接与网络安全有关,其中有一部专门关于信息安全的综合性立法,就是2002年的《联邦信息安全管理法》(FISMA)。从美国第111届国会开始,有多个专门的综合性立法议案被提出和讨论。2013年2月,奥巴马政府颁行《第13636号行政命令》(E.O. 13636)以及保障该命令顺利执行的《第21号总统政策指令》(PPD-21),该行政命令意图通过政府机构和私营部门的合作来解决私有关键基础设施保护的问题,要求国土安全部建立和推进多个保护关键基础设施和信息共享的计划,要求国家标准和技术研究院(NIST)负责制定网络安全技术标准。2014年12月,美国国会先后通过了四项议案,以加强美国抵御网络攻击的能力。一是《2014年联邦信息安全管理法》(The Federal Information Security Modernization Act of 2014)(S.2521),更新了《2002年联邦信息安全管理法》,将建立对联邦计算机网络的实时、自动监控,减少在安全审查过程中所需的文书工作量,明确保护联邦计算机网络安全各机构的角色。二是《2013年的边境巡逻员薪资改革法案》(Border Patrol Agent Pay Reform Act of 2013)(S.1691),授权美国国土安全部与国防部以相同的速度和具有可比性的工资聘请网络专家。三是《2014年国家网络安全保护法》(National Cybersecurity Protection Act of 2014)(S.2519),将具体规定在私营部门和联邦机构共享网络安全信息方面国土安全部国家网络安全和通信集成中心(NCCIC)的作用,为今后网络安全信息共享立法(包括对私营部门的责任保护)奠定了基础。四是《网络安全人员评估法案》(Cybersecurity Workforce Assessment Act)(H.R.2952),要求美国国土安全部评估其网络安全工作人员,并制定计划以加强其抵御网络攻击保护美国的能力。2015年以来,美国第114届国会的立法重点是网络安全信息共享,旨在实现关于网络安全漏洞的信息分享,以帮助企业以及联邦政府更好地应对愈演愈烈的数据泄露威胁,有5部法案在讨论之中(H.R.234,H.R.1560,H.R.1731,S.456,S.754.)。
欧盟于2001年提出了关于“网络和信息安全”(Network and Information Security,简称NIS)的政策建议[COM (2001) 298]。最新的“欧洲数字进程(2010—2020)”进一步突出了安全保护共识,强调NIS既是使用信息和通讯技术(包括大数据)的必要条件,也是达成欧盟“智能增长”目标的实质基础。为此,“数字进程”以专章的形式强调了信息和通信关键基础设施可信任和安全的重要意义,需在预防、对抗、紧急响应和有效协调处理四大方面做出努力。欧盟的最新立法动向为2013年2月7日由欧盟委员会以及欧盟外交和安全高级政策代表共同发表的新一轮网络安全战略,即关于“保障高水平共同网络和信息安全的措施指令”的建议[COM(2013) 48,简称“信息安全指令建议”]。德国这一领域的领军人物是明斯特大学的公法教授Prof. Holznage及其弟子Dr. Sonntag,这两位学者在2000年的研究为联邦德国日后一系列政策和法律制定奠定了坚实的理论基础。其中最重要的立法成果便是2009年颁布的《信息与通讯安全法》以及2014年12月公布的最新修改草案,后者有望在2015年被议会通过。德国旨在打造全球最安全的网络安全新法,修改草案不仅在宏观上确立了安全保护目标与原则,还具体涉及四大类主体及其具体安全保护义务,包括关键基础设施运营者的范围、报告义务、统一最低安全标准;电信运营商的报告、用户通知、加强最低安全标准义务;网络信息服务提供者的安全保障义务;网络与信息安全专门监管部门的职权。与此主题相关的学术研究也都围绕这些新规定展开,比如讨论信息技术系统严重侵犯的标准、何谓网络和信息安全事件、哪些电信企业有报告义务、何种程度上视为发生系统故障、安全保护与个人信息保护的关系等。从这些讨论中大致可以看出,德国在此的研究目的主要是在形式法律层面消除法律规定的模糊性以符合法的安定性要求。
四、世界主要国家均高度重视数据隐私权问题保护
大数据技术正前所未有地改变着个人信息的收集和使用方式。云计算让个人信息远离个人终端,用户对于个人信息的控制能力大大降低,个人甚至并不清楚其个人数据的存储位置;移动互联网更让信息收集变得无处不在,且所收集的信息高度个人化,比如通讯录、照片、邮件、APP应用的使用信息等;大数据也大大刺激了企业收集信息的动机,企业不仅收集实现业务目的所必需的信息,也会收集无关的信息,突破了传统个人信息保护法的收集信息限制和必要原则;大数据技术使得大量数据以很低的成本被关联和聚合,大大增强了人们将匿名化和非识别性个人信息转化为个人信息的能力,模糊了传统个人信息保护法通过非识别性划定的个人信息与非个人信息的边界。这对信息隐私和个人信息保护带来了巨大挑战,各国开始积极反思已有的信息隐私立法,以谋求公民个人权利保护与促进技术发展间的新平衡。
美国白宫于2012年2月在一个有关消费者隐私保护的报告中提出了《消费者隐私权法案》(The Consumer Privacy Bill of Rights)的建议。该建议包括个人控制、透明性、尊重情境、安全性、着重于收集、责任等原则。2012年3月,美国联邦公平交易委员会(FTC)发布了《在快速变革的时代保护消费者隐私》的报告,提出三大原则,重要内容概括如下:
(1)从设计入手保护隐私,将贯彻在产品制造的每个阶段;
(2)为商业和消费者提供简化的选择;
(3)更透明性:使信息收集和使用的实践透明。
在这两个建议中,官方解释都认为在符合消费者最初披露数据的情境下,企业某些收集、使用个人数据可以不用获得消费者的同意。2014年5月,美国白宫发布了《大数据:抓住机遇,坚守价值》报告。这份报告指出:大数据分析所拥有的潜力,将逐步侵蚀我们长久以来在公民权利保护方面形成的价值基石。但在挑战面前,人与数据的关系应当扩展,而不是压缩,以抓住这一历史性机遇。一方面,大数据技术能够提高政府的监控能力,提升企业的市场洞察力,但大数据本身也蕴藏着解决信任、隐私、公民权利保护问题等方面的潜力。如果运用得当,大数据将成为推动社会进步的历史性的助推器。可以看出,美国一直鼓励大数据产业的发展,在市场经济中探索技术发展与信息隐私保护的平衡,轻易不会让隐私问题成为产业发展的障碍。当然,也可以看出美国对大数据时代下信息隐私的保护仍处于探索阶段,尚未形成明确的立法框架。
大数据时代对欧盟以人格权和个人尊严为保护基础而强调个人信息控制的个人数据保护法造成了巨大挑战。欧洲的个人数据保护法开始于二战之后的德国,德国为了避免纳粹监控人民悲剧的重演,于1970年代开始制定相关立法,其中1970年德国的黑森州拥有了全世界第一部个人数据保护法,1977年联邦德国通过了适用全境的个人数据保护法。1983年,德国联邦宪法法院通过“人口普查案”从一般人格权和人性尊严条款中引申出了“信息自决权”,至今影响着该领域所有立法和法律实践。欧盟1995年通过的《关于涉及个人数据处理中的人保护以及此类数据自由流动的第95 /46 /EC号指令》(95 /46 /EC)也是以德国的信息自决权作为理论基础,强调个人对其信息进行全面控制,为此确立了通知、同意、目的特定、获取、安全等原则。面对大数据时代个人信息保护的严峻挑战,欧盟于2012 年1月对个人数据保护提出《关于涉及处理中的个人保护以及此类数据自由流动条例(一般)建议稿》,旨在取代1995 年欧盟个人数据保护指令和2002 年《关于隐私与电子通信的指令》(2002/58/EC),制订了更为严格的个人数据控制规定,主要包括强化数据主体的同意、数据主体控制及获取个人数据的权利,规定新的被遗忘和删除的权利、数据可携的权利、反对基于分析的措施的权利等。欧盟这种强化个人数据保护的立法框架,如前分析其实很难适应大数据时代的新要求。比如,德国学界对欧盟《一般数据保护条例建议》和《联邦个人数据保护法》展开了全方位的讨论,一边思考着如何更加有效地保护个人数据及其背后的人格利益,另一边也在反思原有制度设计是否还符合大数据背景。
主要讨论概括如下:宪法层面,原有的防御法构想下的信息自决权(作为一般人格权的一种)是否仍然适应大数据时代?由于《数据保护法》完全以信息自决权为宪法依据,其具体原则、保护方案、权利义务都受其影响,特别是为了使个人能原则上“自主决定什么时候以及维持在何种界限公开个人的生活事务”,《数据保护法》设计了公民对每个个人数据处理行为的同意原则、目的约束原则、数据处理的必要性原则、数据避免原则、透明原则、保障相对人共同参与以及更正的权利等。而大数据要求主体尽可能拥有海量数据,而且在搜集时并不明确搜集目的,其原理是基于海量数据研发挖掘方案,依托复杂数据分析技术得到预期,甚至包括非预期结果。此种“先拥有后挖掘”的“大数据”运作与传统的个人信息保护法(特别是目的约束与数据避免原则)背道而驰,坚守传统势必阻碍“大数据”发展,而罔顾个人信息保护将牺牲公民的基本权利,为达成两者之间的平衡如何更新对信息自决权的理解以及改革《数据保护法》,便是该领域的首要任务。
作者:张茉楠 中国国际经济交流中心副研究员
内容来源:华夏时报