数据安全法之下,数据确权有法可依吗?
近日,《中华人民共和国数据安全法》(以下简称“数据安全法”)的出台,引发了国内各界的高度关注。作为我国第一部有关数据安全的专门法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。
尽管《数据安全法》为解决数据安全和权属问题提供了一些重要遵循,但是在实施过程中,仍有一些具体问题待进一步确认,而数据确权成为其中立法难度最大的一项。
艰难的数据确权立法
根据《数据安全法》的界定,“数据处理”覆盖了数据的全生命周期,包括数据的确权、收集、存储、使用、加工、传输、提供、公开等环节,不过对各个环节尚未有深入的处理细则。
而在所有环节之中,数据确权可能是优先级最高、任务最艰巨的一环。
如今,数字经济在GDP中的地位已经举足轻重,2020年我国数字经济规模占GDP比重已近四成,对GDP贡献率近七成。数字经济的崛起,倒逼着对数据的确权。
但不可否认的是,数据确权立法难度很大。
一方面,数据确权是非常复杂的系统性工程。数据到底是谁的?用户和商业机构,究竟谁才是数据的主人?自打产生数据交易这门生意开始,便成了行业的“灵魂之问”。
另一方面,如今大量数据被互联网巨头占有,成为其最核心的资产,对数据确权,就是动互联网平台企业的“奶酪”。由于数据在生产、收集、流通、使用等过程中的产权归属不清,要确权这些平台上的数据,足以引发万亿级的“地震”。
事实上,国内对数据确权的立法之路,显得颇为坎坷。
早在2016年,贵州在全国率先出台大数据地方性法规《贵州省大数据发展应用促进条例》,对大数据发展应用的系列环节和数据共享开放、数据安全等重点内容进行规范调整。
贵州之外,还有北京、上海、安徽、福建、黑龙江等省市,针对大数据开发利用有地方性立法。据不完全统计,全国各地以“数据”为名的法规(草案)已经近百部。
但是这些地方性法律几乎都未触碰“数据确权”这一敏感的问题。
由于数据确权没有完成,后续的数据要素流转就无法很好进行,无法发挥出来数据要素的价值,数字经济的发展就会受到限制。
此前许多地方成立了大数据交易所,意图通过数据交易带动数据产业。然而,由于数据没有确权,个人数据、企业数据难以交易,只能交易政府掌握的开放数据。
问题是,开放数据人人可得,其价值也会大打折扣,而有限的数据量也使得交易不活跃,一些大数据交易所也逐渐形同虚设。
可以预见,解决数据确权问题,将是数据立法“下半场”的重要议题。
数据确权的博弈
一场数据确权的博弈,正在用户和商业机构之间展开,至今仍无确切的分晓。
在数据确权不明的情况下,一旦用户对某段数据主张所有权,却被告知相关数据已经被服务商出售给其他商业机构,势必引发出售者与用户之间、购买者与用户之间、购买者与出售者之间关于非法买卖的争议。
正方观点通常是,既然数据是在用户的使用过程中产生的,数据的主人理应是用户,而非公司。
反方则认为,数据并非只要有用户行为就会产生,而是因为服务商提供了一套记录并存储数据的方式和设备,才产生了数据的概念,在所有权问题上,应当由商业机构和用户之间协商解决。
作为上位法,数据安全法并未涉及数据确权问题。
上海数据交易中心CEO汤奇峰认为,用户理所应当是数据的产生者和所有者,然而由于服务提供商的加入,使得用户的行为被收集和封装成为数据,服务提供者同样是数据链条上不可或缺的一环。
“用户在服务提供者的帮助下,享受了其提供的订机票、送餐等出行和生活服务的便捷,其实已经获得了提供数据给服务提供者的‘红利’。”汤奇峰认为,确权问题应该在用户和服务提供商之间达成平衡,而不是单方面强调用户对数据所有权的主张。
此前,在西方国家的商业层面曾经出现过这种模式:数据所有权归用户,商业机构或服务提供商若想收集用户的使用记录和个人信息用作商业目的,则支付给用户一笔钱,用于“购买”属于用户的数据,但这类商业模式在我国没有实践层面的落地。
360董事长兼CEO周鸿祎在2018年全国两会期间曾以全国政协委员的身份提交过一份提案,建议将数据所有权和使用权分开讨论,即所有权归用户,使用权归服务商及经过用户明示授权的其他商业机构,“前提是保障用户的所有权,此外应当允许商业机构在一个明确的框架内利用用户的数据来赚钱。”
商业“先行先试”
《数据安全法》在数据确权问题上的留白,给了从业者另一种想象的空间。
在《数据安全法》处于草案阶段时,华控清交CEO张旭东曾提出,过早、过严、过窄地定义和规定数据所有权,在法律上可能会制约数据产业和数据生态发展。
一些从业者提出,既然数据确权是“老大难”问题,在不明确是否应该以法律强制规定来一锤定音的情况下,不如换一种方式,在“先行先试”的具体实践中摸索出一套有利于整个数据交易行业的确权方式,然后再以立法或行业规范的方式加以确认。
“先行先试”只能从商业机构之间的数据交易开始。
相较于政务数据、金融征信数据和城市运行数据,商业数据更容易“在商言商”,形成双方都认可的价格。
“先行先试”未必需要面面俱到地在所有类型的数据交易中展开,完全可以就某一类最容易被交易,数据持有者也最有交易动力的数据开始。
在整体交易量的占比上,商业数据的地位已经凸显出来。汤奇峰曾对媒体透露,2020年,上海大数据产业的商业数据交易已经占到了全国公开交易量的一半以上,商业数据“先锋队”的作用可见一斑。
催生前沿技术风口
《数据安全法》的出台,其实不只意味着数据领域的监管趋严,在“牢笼”的形态之外,法案也在加速了新风口的诞生,更多前沿技术投入到数据领域的使用。
隐私计算,在去年突然走红,很大程度上就与当时《数据安全法》草案以及其他隐私保护相关条例有关。
据悉,隐私计算技术能够实现“数据可用不可见”,典型的技术包括:全同态加密、多方安全计算和联邦学习等,实现数据在流通过程中的安全,可以大大促进数据的流转和交易。
其中,“不可见”是为了数据真正的安全,保证数据不被篡改,不被窃取,承担起信息的存储职能;“可用”则是为了承担起数据流转的职能。
在《数据安全法》出台之后,这些新技术将进入飞速发展、跑马圈地的阶段,离规模化、商业化落地的目标更近一步。
不过业内人士也指出,隐私计算处于初步探索期,工程学上还需要验证,想要正式投产还需要至少一年时间。
而人工智能在数据开发利用和数据安全方向,仍然是不可缺席的“一员大将”。在提高数据分类分级的效率和准确性方面,人工智能和机器学习潜力巨大。
除此之外,区块链和智能合约也是备受看好的技术方向之一。
由于信息在流转过程中,要尽可能透明化,同时要保证对客户本人、行为数据存储机构的支付,还有交易记录流转、数据信息利用的效用反馈数据等,智能合约会是兼顾这几大问题的有效手段。
结语
尽管《数据安全法》各项执行细则和标准设置得不够具体,但在不少业界人士看来,作为数据安全领域的上位法,《数据安全法》对于数据安全的基本制度、保护义务和责任已经有了比较清晰的规定。各部门随后将出台配套政策,使法律执行更加清晰,降低执行难度。
在期待更多配套法案出台的同时,前沿技术也正在金融、医疗等领域用于数据安全和隐私保护。相信在不久的将来,数据确权问题将在立法、技术和商业层面,被逐步解决。
本文来自微信公众号“科技云报道”(ID:ITCloud-BD),作者:科技云报道,36氪经授权发布。
该文观点仅代表作者本人,36氪平台仅提供信息存储空间服务。