闫夏秋
党的十九届四中全会决议中指出,“推进数字政府建设,加强数据有序共享,依法保护个人信息”。2019年国务院印发《长江三角洲区域一体化发展规划纲要》提出“共同打造数字长三角”。2020年《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据认定为市场资源配置五大要素之一,强调加快培育数据要素市场。数据要素市场化成为新的经济增长点,并在助力抗疫、复产复工、物资调配、位置追踪、线上办公等各个方面发挥着重要作用。数据共享是数据利用的重要环节,存在利益均衡和制度协调的需求,需要加强长三角区域数据法律制度供给。(1)根据数据的来源不同,数据分为政务数据和企业数据。政务数据是指国家运行中形成的数据,如法院、税务、市场监管、海关、金融监管体系等在进行公共管理过程中产生的数据。企业数据是指企业运行过程中收集的数据,如支付宝、微信等企业运行过程中获得的数据。因政务数据具有涉及国家安全等特殊性质,故本文主要讨论企业数据,特此说明。
数据共享是数据的固有属性。数据共享是数据的开放、利用和开发的重要环节,数据控制者将数据共享给拥有数据处理的金融科技公司或关联公司进行数据分析和利用。长三角区域数据共享能够实现数据重复利用,降低数据收集成本,增加数据联动,有利于快速形成规模化的数据产业。但长三角区域数据共享存在法律制度缺失的状态,这给数据产权界定、数据交易流通和数据安全保护带来非常不利的影响。数据共享的实现需要数据法制建设。数据共享的常态化运行需要专门的数据共享法制体系。
从数据共享的本质上看,数据共享需要专业的法制环境。数据是信息的表现形式。数据共享本质上是个人信息的传输,是数据共享者处理个人信息的前提。数据共享中主要涉及三方主体,即数据主体、数据控制者和数据共享者。市场经济必然存在信息不完全和信息不对称,在数据主体与数据控制者之间、数据控制者与数据共享者之间、数据控制者(以及数据共享者)与数据监管机构之间亦是如此。数据主体为个人,对于本人信息所形成的数据享有数据权利,受我国民法典第1034—1038条对个人信息的私法保护。数据控制者为银行、支付机构等数据收集平台,拥有大量的身份数据、位置信息、消费数据和金融数据等。数据共享者为金融科技公司或关联公司,拥有专业的数据处理技术,能够对数据进行分析、处理和对接,实现数据利用。数据控制者通过用户服务协议或隐私协议获得数据主体的数据授权。当然如果数据控制者拥有大量的数据信息的同时还拥有先进的数据处理技术,则有可能出现数据控制者与数据共享者重叠的情况,比如支付宝平台。数据共享的实现需要解决数据主体、数据控制者和数据共享者三者的关系,以及监管机构的职责。数据主体对数据控制者的利用和共享情况缺乏必要的了解,数据控制者对数据利用者的数据技术及可能产生的效益存在信息匮乏,数据监管者对数据市场的数据共享情况缺少必要的监控渠道,这些都需要法律制度来予以规制。
从数据共享的内生性冲突上看,数据共享需要相应法律予以规范:(1) 个人数据保护与数据共享之间的冲突。(2)参见任颖:《数据立法转向:从数据权利入法到数据法益保护》,载《政治与法律》2020年第6期。在民法视域下,数据主体对个人数据享有绝对的支配权,信息数据的收集、开发、共享和利用应以保护个人信息数据为前提。我国民法典第1035条规定处理个人信息需征得自然人的同意,公开处理信息的规则,明示处理信息的目的、方式和范围。可见,数据共享需要以数据主体的“知情—同意”为要件的。但数据产业的发展需要数据的时刻运转,如果每一个环节都需要获得数据主体的同意,则会出现数据处理低效、数据产业发展缓慢的情况。(2) 私法数据赋权和公法数据规制之间的冲突。私法体系的法律规范注重赋予数据主体一定的数据权利,而公法数据规制更为注重市场整体发展需求和社会公共利益需求,要求数据主体在数据权利方面作出一定让步。数据私权和数据共享的法律制度分裂容易导致重复立法,引发制度冲突,从而影响数据法律体系的制度衔接和力量整合。(3) 数据共享与数据安全之间的冲突。数据共享是数据控制者与数据共享者之间共享个人信息数据,如果在数据共享环节出现信息泄露,将损害数据主体的数据权利,严重损害公众的切身利益。跨境数据共享还涉及数据共享的特殊范围和特殊标准,需防止因数据共享造成国家、个人信息泄露,损害国家和社会公共利益。
从法律体系的外部架构上看,长三角数字经济的协同发展需要专门的数据共享立法。数据共享法律规制的外部需求来源于两个方面:一是长三角区域各省市数据共享法制的各自为阵与长三角区域数据共享法制的整体性之间的矛盾与协调;二是数据共享领域法律制度与法律体系整体布局的矛盾与协调。
首先,长三角区域协调发展需要长三角区域数据法制一体化。其一,长三角区域的数据法治水平对于长三角区域乃至全国的数据开放和数据创新进程影响重大。从经济总量规模来看,2019年长三角区域以3.74%的土地面积创造了中国23.94%的国内生产总值,(3)相关数据,载“国家统计局”,https://data.stats.gov.cn/easyquery.htm?cn=E0103,最后访问日期:2020年11月1日。在珠三角、京津冀等经济圈中位居首位。2019年国务院印发的《长江三角洲区域一体化发展规划纲要》中提出“共同打造数字长三角”,与之相应的长三角区域的数据法制建设应提上日程。其二,长三角区域的经济发展紧密结合,必须通过数据共享法律制度建设形成数据合力。数据相关产业发展覆盖长三角各省市。浙江依靠数据产业和智慧城市,在数字人才、数字金融以及数据共享领域发挥独特优势。江苏省依托数据基础设施建设,在数据产业发展上进展迅速。安徽省在量子通信和核能产业上位居前列。(4)参见浙江大学数字长三角战略研究小组:《数字长三角战略2019》,浙江大学出版社2019年版,第20页。数字资源如何共享并产生社会效益,需要长三角区域在法治建设进程中形成合力,释放数据驱动力。其三,数据共享的数据格式、共享标准和授权条件无法统一,将影响数据的有效流动。互联网的出现使数据利用跨越时间和空间,数据的跨地域性使用成为普遍现象。长三角区域各省市数据共享的法律制度建设如果各自为阵,容易出现个体理性与集体理性相背离,将继而阻碍长三角区域数字资源的有效配置。长三角数字一体化发展需要长三角区域的各省市合力协同实现。
其次,法律体系的整体完善需要数据共享法律制度的健全。其一,在生产、共享和应用数据的时代,数据法治成为法治建设的一个新领域,也是一个不可或缺的领域。数字经济成为经济发展的新增长点,成为世界各国经济发展的重点方向。随之而来的是,各国开始重视和加强数据立法,如欧盟的《通用数据保护条例》(GDPR)、美国的《澄清境外数据合法使用法案》(CLOUD法案)。我国数据立法正在加速进展阶段。民法典、个人信息保护法(草案)、数据安全法(征求意见稿)以及《个人金融信息(数据)保护试行办法(初稿)》等法律文本标志着我国数据共享法律制度进入飞速发展阶段,并成为法治建设的重点内容。但随着数字经济的发展和数据资源的深度应用,数据共享法律制度的空白较多,还需要逐渐完善。其二,大数据和互联网发展迅速,数据平台获得数据主体大量的身份信息和金融信息,数据控制者和共享者可以通过银行、铁路、航空、电信、支付机构等多个数据平台合作,实现数据利用效率的最大化。在数据共享带来数据集合化的同时,数据主体面临数据安全危机,隐私泄露的风险加大,需要加强数据共享法制建设。其三,从法律体系的整体完备程度上看,数据共享法治建设时间尚短,是我国法律体系的短板。当数据共享领域发生短板效应时,数据产业极容易产生数据授权范围模糊和数据主体权益无法保证的情况,因此完备法律体系需要对数据共享领域作出回应。
2015年8月,国务院印发了《促进大数据发展行动纲要》,旨在打通政府部门的数据壁垒,在政府部门之间实现数据共享。长三角区域作为经济发展和数字创新的前沿地带,率先开始数据共享相关立法工作,如浙江省政府2010年审议通过的《浙江省地理空间数据交换和共享管理办法》,实现了地理空间数据的交换和共享。长三角区域一体化发展应找准“三省一市”的数据立法短板,相互补足。因此需要首先考察长三角区域各省、直辖市数据共享的立法情况。
表1 长三角区域关于数据共享的地方法规规章及规范性文件数量统计表(5)数据来源于北大法宝,检索关键词为“数据共享”,检索方式为“全文”,检索截止日期为2020年12月31日。《浙江省数字经济促进条例》《安徽省政务数据资源管理办法》于2021年3月1日实施,故不在检索时间范围内。根据2016年《长江三角洲城市群发展规划》,长三角城市群在上海市、江苏省、浙江省、安徽省范围内,故检索范围以此为限。
从“三省一市”的数据立法数量上来看,江苏省最多,浙江省、安徽省、上海市次之。江苏省涉及数据共享的地方法规规章及规范性文件总计881部,位列第1。从表1纵向来看,各项法规规章数量平稳,江苏省对于制定数据共享法规规章的敏捷度较高。江苏省涉及数据共享的地方性法规主要集中在政务服务便利、社会信用管理、生态环境和资源保护以及城市管理方面,共计10部。涉及数据共享的地方政府规章为政府公共数据管理和建设工程项目方面,共计5部。值得说明的是,在司法文件方面,江苏省的数量为6件,为最多的地区。除《南京市政务数据管理暂行办法》和《无锡市公共数据管理办法》2部设区的市政府规章之外,江苏省并没有专门规范数据的省级地方政府规章。而浙江省和上海市有关数据的地方政府规章的制定主体为省级人民政府。(6)如《浙江省地理空间数据交换和共享管理办法》和《上海市公共数据和一网通办管理办法》。因此,江苏省专门规制数据的法规规章还需要在省级层面予以突破,统一江苏省数据管理的标准。
浙江省涉及数据共享的地方法规规章及规范性文件总计为806部,其中地方性法规数量为11部,地方政府规章数量为6部,地方规范性文件为344部。从地方性法规和地方政府规章的数量上来看,浙江省均位居首位,可见浙江省重视数据共享领域的法制发展,积极开展数据共享立法工作。浙江省涉及数据共享的地方性法规主要集中于水资源保护、政务信息共享、促进中小企业发展和城市管理等方面。从地方政府规章来看,浙江省人民政府先后颁布了6部政府规章,涵盖公共数据安全、公共信用信息管理和突发公共卫生事件应急等领域,为数据开放和数据共享提供标准和制度支持。《2020年浙江省法治政府建设工作要点》中指出“建好公共数据平台2.0,加快公共数据开放和应用,打通数据共享通道”。2020年12月24日浙江省人大常委会审议通过的《浙江省数字经济促进条例》于2021年3月1日开始施行,该条例在全国数字经济发展领域居领先地位。作为数字经济发展前沿省份,浙江省涉及数据共享的法规规章数量均衡,优势明显。
首先,财政、审计、教育管理部门作为学校管理的监督者和引导者,应对中小学财务管理有关的内部控制提出明确的要求,例如,地方财政局可以随时检查各个学校财务内部控制的落实情况,对财务管理有关的内部控制存在严重缺陷的学校提出相应的改进措施,以此引起中小学管理人员对财务管理内部控制的重视,进而加强学校财务管理相关的内控意识。
安徽省涉及数据共享的地方法规规章及规范性文件总计712部,地方法规规章的数量最高,但从法规规章的层级来看,安徽省的地方性法规数量为2部,地方政府规章数量为5部,地方规范性文件的数量为264部。截至2020年12月31日,安徽省已经生效的涉及数据共享的地方性法规数量仅为2部,(7)即《安徽省环境保护条例》和《安徽省信息化促进条例》。在长三角区域内数量最少。但从地方工作文件来看,安徽省的数量为440部,位居第2,可见安徽省在实务工作中已经广泛应用数据共享。从长三角区域数据法治发展来看,安徽省的数据立法在效力层级方面稍显滞后,数据法律制度建设任重道远。
上海市涉及数据共享的地方法规规章及规范性文件总计为428部,在总体数量上位居第4,但在表1纵向来看,各项法律文件层级上表现均衡,其中地方性法规数量为6部,地方政府规章有3部,(8)即《上海市公共数据和一网通办管理办法》《上海市政府效能建设管理试行办法》《上海市机关事务管理办法》。立法成效比较显著。上海市涉及数据共享的地方性法规主要集中于优化营商环境、社会救助、推进国际航运中心建设等方面。地方政府规章主要集中在公共数据开放、共享和应用方面。在实践方面,上海市成立了上海数据交易中心,规范了商业数据流通、交换机制,促进了大数据发展。与长三角区域其他省份相同的是,上海市也没有专门的数据共享立法。从上海全国领先的金融发展水平和上海自由贸易区的发展需求来看,上海市的数据共享立法未能完全体现出引领作用。
从表1来看,受限于各地方的数字经济发展水平和数字产业基础,长三角区域数据法治发展不平衡。“三省一市”涉及数据共享的地方性法规的数量共计29部,但均是从优化营商环境、环境资源保护、城市治理等方面提及,没有专门的数据共享或数据立法。从长三角区域数据立法的整体来看,各地区的数据共享法律制度建设存在一定程度的共性,如在地方性法规、司法文件以及区域性法规规章方面存在缺漏。
其一,数据共享的专门立法存在空白。“三省一市”涉及数据共享的法律文本均未有专门规制数据共享的地方性法规。而对比其他区域,山西、海南、天津、贵州等地已经制定专门规制数据的地方性法规,在立法的专业性上处于领先水平,如《山西省大数据发展应用促进条例》《海南省大数据开发应用条例》《天津市促进大数据发展应用条例》《贵州省政府数据共享开放条例》《贵阳市政府数据共享开放条例》等。长三角区域数据共享立法的针对性和专业性还有待提高。
其二,公私法规制的协调性不足。浙江、江苏、上海在数据共享领域的地方性法规和地方政府规章多集中于公共数据管理、政务服务、城市管理等公法规制领域,如《浙江省地理空间数据交换和共享管理办法》《宁波市公共数据安全管理暂行规定》《南京市政务数据管理暂行办法》《上海市公共数据和一网通办管理办法》。对于私人数据的利用和共享方面的立法涉足较少。在数据共享发展迅速的背景下,私人数据的利用与共享的标准和程度、数据控制者收集数据的程序、数据共享者的准入标准等诸多方面存在立法空缺。在民法典、电子商务法等法律的基础上,数据共享法规和政策制定应更加关注私法领域的数据应用与保护。
其三,缺少区域一体化立法。在地区竞争日趋激烈的态势下,单个地区的发展难以实现社会资源的最优化,应集合有效力量共同发展。长三角区域数据法律制度建设对我国数据法治发展具有重要意义,是数字经济发展的必然要求。区域协调发展有利于综合各地区数据产业和数据规范的优势,相互补足短处,实现共同进步。故此,中国人民银行、中国银保监会等部门联合发布的《关于进一步加快推进上海国际金融中心建设和金融支持长三角一体化发展的意见》(银发〔2020〕46号)(以下简称《意见》)中提出建立健全长三角金融政策协调和信息共享机制。但在国家层面尚未出台关于长三角区域信息共享机制、数据法治一体化等方面的法律法规,长三角区域的各省市立法也未能得以体现。在加强长三角数据协同发展的进程中,长三角区域数据共享的法律制度建设任重道远。
数据共享领域一方面涉及数据主体的信息和隐私,另一方面涉及数据的加工、利用以及数据产业发展。只有充分的信息数据来源、稳健的数据共享机制和全面的数据共享保障制度才能够缓解市场经济中的信息困境。因此,数据共享法律制度需要结合私法和公法的规制方式,综合平衡个人数据权益和数据产业的发展。
个人数据兼具私人法益和公共性权利属性。“公”“私”二分模式下的法律制度存在缺陷。在民法视域下,数据控制者需尊重信息主体的知情同意权、信息查询权、信息删除权、选择权等权利。以权利救济的私法规制路径建立在私有权利的排他性、利益性、绝对性基础上,容易出现对信息权利的扩充解释,强调数据私权的保护来限制和对抗数据控制者和共享者的权益。但数据的分散与搁置使数据控制者失去了利用共享数据实现金融创新的机会,降低了市场效率。数据封闭损害数字经济和数字产业的发展。在公法视域下,社会公共利益为首要保护法益。数据成为市场资源配置的核心要素,发展数字产业和促进金融创新是经济发展的重要支撑,也是公法领域关注的重点。银行、支付机构等平台作为数据收集者,对于合法收集的数据享有应当受法律保护的权利。数据控制平台经过客户的合法授权,付出收集成本获得数据,则应对数据享有权益,(10)参见程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期。这是实现数据共享的前提。为公共利益或合法利益对个人数据所有权进行限缩,成为解决个人数据控制权与企业数据共享冲突的有效手段。但个人数据权益的限缩容易损害个人的数据权益,引发信用危机。故长三角数据共享法律规制的私法权利救济途径和公法规制途径均存在优势与不足。
个人数据已溢出私人法益的范畴,具备公共性权利属性。数据私权和数据共享的法律制度分裂容易导致重复立法,引发制度冲突,从而影响数据法律体系的制度衔接和力量整合。数字经济发展需要数据共享法律制度的标准化和规范化。数据主体的数据保护与数据控制者的正当利益、监管机构的公共利益之间是私权利与私权利、私权利与公权力之间的冲突,也是私法与公法的冲突。解决数据共享的规制难题需寻找个人数据保护与数据共享的平衡点。跨越私法和公法二元分立的立法模式是数据共享的立法选择。长三角数据共享法律体系的填补和精进须实现公私融合。
平衡数据主体与数据控制者、数据共享者的利益冲突需最大限度使各方主体的利益和社会公共利益得以实现,最大限度地减少利益的损失。(11)参见王利明:《数据共享与个人信息保护》,载《现代法学》2019年第1期。数据具有天然的共享性和非独占性,由个人所有权向社会共用权转化。这就产生了数据主体与数据控制者、数据控制者与共享机构、数据主体与共享机构、数据控制者与国家机关之间的权益制衡关系。从表1分析来看,长三角区域数据共享法制发展水平高低不一。长三角区域的数据共享法益平衡,首先应弥补区域内数据共享法制的不足,平衡数据法治发达地区和数据法治欠发达地区的发展水平,实现长三角区域数据法治环境整体优化。相较于贵州省、天津市等地区,长三角区域均没有专门的数据共享地方性法规。在数据共享立法的针对性方面,长三角区域需要实现整体突破。安徽省的地方性法规和政府规章数量最少,属于长三角区域数据立法方面比较薄弱的地区。长三角区域数据法治需要着重加快安徽省的立法进度,实现“三省一市”整体提升。
其次,解决数据共享的内生性冲突,需要健全数据共享法律制度,以确定数据主体、数据控制者和共享机构的数据法益优先关系和平衡规则。(1) 在数据主体的数据保护与数据共享之间,数据主体的数据保护是前提。侵害数据主体的数据权益,不仅会造成数据主体的民事权益受损,还会降低数据主体的信赖系数,减少对数据市场的数据授权。数据处理需要的是海量的数据,数据越多,数据分析越准确。数据主体的数据授权意愿降低会直接影响数据市场的运转。(2) 在公共性利益与数据主体的数据利益相冲突时,应优先维护社会公共利益。数字经济的发展需要数据控制者和数据共享者对收集和处理的数据享有一定的使用权限。如果数据科技公司或关联企业每次使用和共享数据都需要数据主体的授权,那么数据控制者和数据共享者利用数据的成本会加大。数据共享授权的阻碍增大会降低数字科技的创新效率和数字产业发展速度。(3) 国家机关在涉及社会公共利益的情况下可以使用数据主体的数据。在取得数据主体同意授权或符合数据主体合理预期的情形下,数据控制者在正当利益情况下可以使用个人数据。涉及社会公共利益,保护社会稳定和他人人身安全等情况下,国家机关通过获得数据主体的数据来减少社会公共利益损失,这是个人权利应该作出的合理退让。权利不是无边界的,无边界的权利无法获得法律的保护。在完善数据共享监管的同时,对于非个人敏感信息、非重要数据以及公开数据,(12)参见何渊主编:《数据法学》,北京大学出版社2020年版,第188页。可以成为同意机制的例外情形进行数据流通。
数据成为市场竞争的核心要素,(13)参见杨东:《论反垄断法的重构:应对数字经济的挑战》,载《中国法学》2020年第3期。数字经济也成为各个国家和地区经济发展的重要抓手。数字化转型需要数字化的技术应用和组织的转型。(14)参见Vial G. “Understanding Digital Transformation: A Review and a Research Agenda”, Journal of Strategic Information Systems 28, No.2(2019).加快长三角地区数据共享的一体化发展,首先,应建立长三角区域数据共享监管层面的协调机制,这是实现数据共享协同发展的制度保障。其次,数据确权和数据利用分配机制是数据共享协同治理的规制前提。私法对数据权的保护与公法对数据财产的规制均需要建立在数据确权的基础上,故应对数据法益进行类型化保护。再次,长三角区域内数据公平竞争机制既能减少垄断对数据主体的损害,也能提升数据资源的有效配置,是长三角区域数据共享公私融合治理的重要表现。最后,大数据风险综合应对机制和争议解决机制的健全是长三角区域数据共享安全有序发展的必要条件。数据共享风险综合应对机制和争议解决机制的建立有利于提高长三角区域数据保护力度和数据资源的再分配。长三角区域数据共享法律体系需要集合“三省一市”合力,在法律体系框架中融入私法和公法规制方法,形成具有公私融合特色的数据法律体系。
《意见》指出,建立健全长三角金融政策协调和信息共享机制。信息共享机制的主要内容就是数据共享。数据企业之间实现数据共享,那么相应地,监管机构之间不可各自为阵。欧盟《通用数据保护条例》第7章对于监管机构的合作进行明确了规定,涉及主要监管机构与非主要监管机构之间的合作、监管机构之间的联合行动等方面。长三角区域数据主要监管机构与非主要监管机构之间也需要密切合作。
长三角区域数据共享法律规制存在地区需求差异较大和制度协调需求较大的现状。长三角区域数据共享涉及数据主体法益与数据控制者、数据共享者法益的平衡,数据共享技术优势地区和弱势地区之间的协调,数据基数大的地区和数据基数小的地区之间的数据流动,数据法制健全地区和数据法制欠缺地区之间的平衡。为解决上述问题,首先,长三角区域需要建立数据共享协调机制,明确长三角区域内信息和数据共享的基本原则,统一数据共享法益平衡的标准。在保护数据主体合法权益的前提下兼顾数据控制者和数据共享者正当的商业使用利益,并维护社会公共利益。其次,规范数据共享的授权和使用范围,加强数据主体的信息保护和隐私保护。根据民法典、电子商务法等法律规范,在符合上位法的前提下,规范数据授权的方式和范围。再次,明确监管机构的权责划分和对违法违规数据行为的处理。明确数据共享在长三角区域各省市内的监管机构及职责,以及跨地区数据纠纷的监管权限划分和纠纷解决程序。
数据共享的权益保护,包括数据主体、数据控制者和数据共享者的数据权益以及数据监管者的数据权限。数据共享需要对数据法益进行分类。数据主体数据可分为个人身份数据、个人财务数据以及增值数据(15)参见丁道勤:《基础数据与增值数据的二元划分》,载《财经法学》2017年第2期。等。数据主体的个人身份数据和个人财务数据需在正当情形下才可被控制,而对于增值数据,数据控制者和国家可以控制和使用。对个人数据的数据类型和利用数据的主体类型也应进行分类规制,应当区分不同主体对个人数据的利益诉求:国家控制数据是为了公共利益或法定职责;企业控制数据是为了追求商业利益或合法利益要求;数据主体(个人)控制数据是为了保护自身隐私或与数据相关的人身权利或财产利益;数据主体之外的其他自然人不直接控制数据,而是基于重大人身利益(如生命权或健康权)获取数据。(16)参见商希雪:《超越私权属性的个人信息共享——基于〈欧盟一般数据保护条例〉正当利益条款的分析》,载《法商研究》2020年第2期。
对于数据共享中数据主体和数据控制者、数据共享者的法益保护,区分数据主体的个人权益和财产权益以及数据企业的数据经营权和数据资产权,(17)参见龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期。通过融合公私法律制度进行规制。首先,以私法手段充分尊重个人用户的意思自治。针对不同类型的个人数据匹配不同的授权机制。个人用户的隐私政策应在用户协议之外专门制定,明确平台给予特殊的提醒义务,针对数据共享进行特殊授权。(18)参见前引,王利明文。其次,以公法手段建立“白名单+黑名单”的双重筛选机制,对数据共享对象进行准入制度设计。细化信息披露义务,保障数据主体对自身数据利用和共享过程的知情权。数据控制者和数据共享者不可超越数据主体的授权再次共享或允许他人使用,更不能泄露信息进行黑市交易。如出现此类行为,可能构成侵犯公民个人信息罪等罪名。
长三角区域的数据产业存在竞争,数据共享能够降低数据产业的收集成本,但会加剧数据产业的竞争程度和垄断趋势。数据具有天然的垄断性,(19)参见谢富胜等:《平台经济全球化的政治经济学分析》,载《中国社会科学》2019 年第12期。需要规制数据垄断与不正当的市场竞争行为,原因有以下三点。其一,数据控制者拥有大量数据,在经过数据主体同意后进行收集和利用,具有规模效应的数据控制者利用数据支配地位以很低的成本排除和限制竞争,如只需禁止其他竞争者进行共享、链接,如抖音与腾讯之争等,便可达到限制竞争的目的。其二,数据控制者和数据共享者、数据处理者滥用市场优势地位实施垄断行为或不正当竞争手段进行数据垄断或不兼容,将损害数据的流通和利用。其三,数据共享和使用的技术性较强,如果数据控制者和数据共享者存在利用优势地位侵害数据主体的行为,因其行为证据的可伪造和不易得,极易侵害数据主体权益。长三角区域的经济合作频繁,数据资源重合度高,如果形成数据垄断,将影响长三角区域数字经济的整体发展。
长三角区域数据共享的协同治理应进行数据反垄断和数据反不正当竞争,以维护数据共享的有序机制,保障数据市场的公平公正。长三角区域的数据共享,首先,应秉持共享开放的原则,明确数据共享者的准入和退出监管标准,(20)参见李仪、陶宇:《大数据技术下消费者个人信用信息共享的治理机制》,载《中国流通经济》2020年第2期。不可设置地域壁垒或进行地域歧视;其次,应统一数据收集、统计、归档的标准,便利数据共享和流通;再次,应明确数据授权、数据收集、数据共享等环节的流程,规范数据使用痕迹和数据使用证据,便于明确各方当事人的责任;最后,规范数据控制者和数据共享者与数据主体之间的数据授权协议和隐私条款,明确数据使用的权限和义务,保护数据主体的权益。
长三角区域的经济活跃程度较高,随之表现为数据主体的数据被利用率较高,数据共享所带来的数据隐私保护和数据安全问题需要予以关注。数据共享能够实现数据高效利用,但加大了数据泄露风险。数据共享过程中,参与数据利用的企业数量增多,数据利用环节更为复杂。接触数据的机构增多意味着能够泄露数据主体信息隐私的主体增多,数据主体面临的信息泄露风险加大。数据利用的环节增加也意味着数据利用对数据处理技术的依赖性更强,数据处理系统如果出现被黑客攻击或系统崩溃,则可能面临数据瘫痪,引发信用危机。
长三角区域是数字经济的前沿地带,长三角区域数据管理部门应提前建立长三角区域大数据风险综合应对机制,以有效应对数据共享系统突发事件,化解数据风险。当出现数据泄露或系统瘫痪等情形,即可启动大数据风险综合应对机制来应对突发事件。长三角区域大数据风险综合应对机制由“三省一市”的数据主要监管部门组成,在出现数据突发事件时进行危机处理。其职责包括应急监测和信息报告,指挥协调监管部门划分职责,明确损害赔偿方案,提供应急人力保障和技术保障,进行应急培训和演练。长三角区域大数据风险综合应对机制应根据风险预案,着重进行风险监测和风险预警,将数据主体的数据权益和社会公共利益放在首位。此外,长三角区域大数据风险综合应对机制还可吸收社会力量,建立第三方监督机制,公开监测“三省一市”数据共享情况并开通投诉渠道,加强风险处理的可接受性,探索风险防范和化解的最优途径。
数据共享具有专业性、隐蔽性和频繁性的特征。数据控制者时刻都在更新和增加数据集中的数据主体信息,数据共享过程每时每刻都在发生。数据控制者与数据共享者之间基于数据共享者专业的数据处理技术进行数据共享。数据共享过程在数据平台进行,数据主体无法探知数据共享的过程和途径,也无法获得数据共享的证据。针对数据共享的特殊性,需制定特殊的争议解决程序来受理、调解个人用户的投诉或争议。
数据技术尚在成长期,还存在很多的不确定性。健全的法律框架和灵活的纠纷解决能力能够保护数据主体的合法权益和明确数据技术的发展方向。在事前解决纠纷方面,欧盟设立数据保护专员来确保数据政策的实施;英国设立数据保护官来监督具体工作与数据保护立法的合规性。可见,明确数据保护的职位和职责,可以有效保障数据主体权益保障的落实。建议长三角区域数据共享监管机构可以借鉴欧盟和英国的方案,设立数据保护专员,负责监督和引导数据保护的实现,减少数据纠纷的产生。如出现数据控制者未获得个人用户的授权或超越授权向第三方机构共享数据,数据控制者或第三方机构泄露个人用户信息,侵害大量个人用户信息权利的,这是数据纠纷的事后解决。数据争议具有线上、跨地域性特征,司法机关可通过线上纠纷调解和审判方式化解数据纠纷。对于数据泄露造成大量数据主体(消费者)权益损害的,数据主要监督机构或其他公益诉讼机构有权提起公益诉讼。
长三角区域数据共享发展一体化需要以健全的法律制度为保障,“三省一市”可以采取联合立法的方式,以法律体系的一体化保障数据产业的集合化发展。此外,在优化营商环境背景下,长三角区域数据共享法律治理的一体化还需要注意数据共享的跨境流通问题。长三角区域地处沿海,与域外合作交流频繁,长三角区域数据跨境共享频繁。中国人民银行2016年发布的《金融消费者权益保护实施办法》和2020年发布的《个人金融信息保护技术规范》已对数据出境的原则和例外作出规定。长三角区域应在此基础上进一步细化跨境数据共享的数据范围和数据跨境流通程序,兼顾数据流通与国家数据安全保障。