论数据产业的拨乱反正:行业自律出奇锋
数据猿导读
隐私问题也是国际数据行业一直争议不断的问题。美国联邦贸易委员会曾发文呼吁数据经纪商提高交易流程的透明度,接受公众监督。FTC表示,除非数据用于征信、就业、保险等领域外,没有法律规定数据经纪商一定要保护用户数据的隐私。
作者 | 韩涵
一、国外数据产业发展带来的启示
国际社会已达成共识,在可见的未来,数据不仅仅是主要的生产工具,更是重要的企业资产和个人资产。近期,微软以200 亿美金收购LinkedIn,而交易核心正是看重了LinkedIn 社交网站的数亿用户的海量行为数据。目前,美国主要有九家数据经纪商,最大的安客诚公司在2014年一个季度的收入就超过了2780万美元 。德国最近在工业4.0框架下提出的工业数据空间(Industrial Data Space)项目,对于数据将产生极为广阔的需求。以富士通数据市场为代表的日本数据流通市场也正在蓬勃发展,目前企业参与的日本数据流通的市场规模每年约为2200亿日元。
同样,隐私问题也是国际数据行业一直争议不断的问题。美国联邦贸易委员会(Federal Trade Commission,简称FTC)曾发文呼吁数据经纪商提高交易流程的透明度,接受公众监督。FTC表示,除非数据用于征信、就业、保险等领域外,没有法律规定数据经纪商一定要保护用户数据的隐私。用户基本上没有获知自己提供的数据被如何使用的途径。
总结国际大数据产业的发展经验如下:
(一)法律体系比较健全
国外对于数据的使用往往通过立法的方式进行规范。例如,对于国外法律法规大多规定了用户的知情同意权。2015年9月9日日本内阁官房修订通过的《个人数据保护法修正案》规定,数据控制者将个人数据转移到日本境外的,必须征得用户本人同意。2015年12月15日欧盟通过的《一般数据保护指令》(GDPR)也规定,合法有效的同意必须是明示的同意,任何推定或默示的同意均不是合法有效的同意。很多法律还规定允许信息主体中断信息的收集、披露和使用。有国家立法规定,如果与最初的收集目的相矛盾、违背,信息主体有权阻止信息控制人继续收集、披露和使用个人数据。
(二)行业自律组织发挥巨大作用
法律的发展往往落后于行业的发展。美国众议院提出的“2016数据经纪商责任与透明度提案”中明确指出“现行法律无法为个人用户提供足够的隐私保护”。因此,数据行业的自律显得尤为重要。在国外,从隐私保护组织衍生的数据流通行业自律组织已经初见端倪。
例如,美国电子隐私信息中心(EPIC)是从事数据隐私权保护活动的行业自律组织;美国在线隐私联盟(OPA,Online Privacy Alliance)旨在为通过互联网直接收集他人个人数据提供广为接受的规范指引;美国TRUSTe组织已发展为美国著名的隐私权保护第三方认证机构之一。这些组织对于数据流通等环节均建立了规范的自律准则,以督促企业在进行数据流通时确保对个人隐私的保护。
以上经验对解决我国大数据产业面临的问题带来了启发。
二、行业自律的意义在哪里?
建设数据行业自律体系符合国家政策导向。我国相关法律、政策不断鼓励行业组织开展安全评估、认证、标准试点等自律性工作。2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》(以下简称《网安法》),给我国网络数据管理带来了深刻影响和变化,强化了数据安全管理要求、确立了个人信息保护基本制度,从法律层面明确了数据相关问题的基本处理原则。《网安法》指出“国家支持相关行业组织参与网络安全国家标准、行业标准的制定”,“推进网络安全社会化服务体系建设,鼓励有关机构开展网络安全认证、检测和风险评估等安全服务”。
《深化标准化工作改革方案》(国发〔2015〕13号)提出“培育发展团体标准。鼓励学会、协会、商会、联合会等社会组织和产业技术联盟协调相关市场主体共同制定满足市场和创新需要的标准,对团体标准不设行政许可,选择市场化程度高、技术创新活跃、产品类标准较多的领域,先行开展团体标准试点工作。”
建设数据行业自律体系,迎合了产业界的迫切需求。随着我国数据流通行业的发展,部分企业间已经推出了跨企业的数据交易规则或自律准则。例如,今年9月,上海数据交易中心同时提出了《流通数据处理准则》与《个人数据保护原则》,从规则的角度既重视数据流通产业的有序发展,又注重个人数据的隐私保护。
可以说,目前我国建立广泛的数据行业自律体系的时机已经相对成熟,行业内部各企业对数据交易自律性协议的需求呼之欲出。2016年4月,中国信息通信研究院、数据中心联盟联合50多家企业共同发起了《数据流通行业自律公约》,对数据流通中的“数据权益”、“数据流通”、“数据应用”三个环节进行约束,规范流通平台、数据源、数据使用等主体的责任义务,并倡导信息透明与第三方审计监督等机制。
建设数据行业自律体系,可以解决法律层面尚不完善的一致性、协调性、可操作性问题。现行法律法规在个人信息保护上的限定过于宏观,许多问题仍未明确。《网安法》中,第四十一条规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。条款中,“合法、正当、必要”的原则在流通产业层面的具体操作性不强。各种法律法规中规定的“匿名化”、“知情告知”、“明示授权”也分别存在类似于“需要匿名化到什么程度”、“用户是否可以拒绝提供信息”、“ 什么样的信息可以默示授权”等尚未厘清的问题。
建设数据行业自律体系,可以为政府部门加强监管提供有效的抓手和支撑。行业自律组织可以作为政府对接产业的纽带和入口;行业自律组织在产业实践中建立起的相关规范、自律机制、监督办法等为政府监管政策出台提供了参考依据;自律组织工作开展中所积累的企业数据和风险评估数据,也可以作为政府部门监督产业发展的信息渠道。
建设数据行业自律体系,可以鼓励合法、正当的企业加速发展,逐步淘汰落后、非法的产能。行业自律组织可以有效的协助国家信息安全机构实现政府和产业的协同治理,在技术层面实现有效监管,保护合法参与者的利益。从信息源头和信息使用的各个环节,实现行业自律和相互监督,最大化弥补法律监管空缺,形成有序、市场化驱动、多方协作的高效产业生态。在宣传、认证正面典型的同时,披露产业漏洞环节,逐步剥夺违法、落后者的市场生存空间。
完整的行业自律体系如何建立?
(一)鼓励建立不同层面的行业自律组织
国家层面应鼓励贴近市场的第三方中立机构、行业协会、联盟等结合市场需求,建立行业自律组织,并承认其中较高水准的自律组织的合法地位。同时,预防、杜绝借行业自律为名,构建小团体、开展不公平市场竞争等劣性行为。行业自律组织的成立,应符合以下原则:
(1)中立性原则,行业自律应以推动产业良性发展为目标,而非为部分企业谋取利益;
(2)开放性原则,行业自律组织应推动产业融合发展,不应形成新的产业壁垒和割据;
(3)透明性原则,行业自律组织的机构、活动、章程、成果等应自觉接受政府部门的指导和业界的公开监督。
(二)推动行业自律组织开展标准化工作
积极鼓励、引导符合要求的行业自律组织,开展满足市场和创新需要的标准制定工作,对这类标准不设行政许可,选择市场接受程度高、贴合先进技术发展水平的标准成果,先行开展团体标准试点工作,推荐成为国家标准。标准化方向应面向数据生产、流通、应用的全流程,重点关注:数据匿名化、数据分级分类、数据授权、风险评估、数据相关主体权益、数据负面清单、数据质量评估等产业急需的标准。
(三)引导行业自律组织开展风险评估
应引导符合要求的行业自律组织开展安全认证、检测和风险评估等安全服务,推广安全可信的数据产品和服务。结合数据、场景两个维度建立综合风控和评估体系,向提供数据服务的机构、开展的大数据应用的政府机关等提供评估服务,相关结果纳入社会信用体系,鼓励企业和相关机构按照统一的标准开展自评估,并由行业自律组织进行监督和认证。
— 关于作者 —
韩涵
中国信息通信研究院 高级工程师
大数据发展促进委员会 办公室主任
“大数据流通与交易国家工程实验室-大数据流通合规性评估研究中心”主任