(图片来源:图虫网)
陈永伟/文
对于互联网企业而言,数据是至关重要的生产要素。过去的几年中,由于相关法律的建设远远赶不上互联网技术的发展,所以在很多时候,数据对于企业来讲,就像是无主土地上的矿藏,大家爱怎么取就怎么取、爱怎么用就怎么用。然而,这个野蛮生长的时代似乎马上就要走到终点。随着人们对数字经济理解的逐步深化,一大批关于数据的法律都将陆续出台。《数据安全法》将于今年9月1日起施行,《个人信息保护法》也有望在近期通过并在不久后实施。
很显然,对于熟悉了过去那种“无法无天”的数据使用环境的企业,这些法律法规的出台多少会让他们感到有些不方便、不习惯,甚至会认为这些法律会对他们的商业机会产生一定的限制。不过,所谓“没有规矩,不成方圆”,如果从规范一个行业的角度看,随着行业的发展,相关法律法规的陆续出台就是不可避免的,它们对于行业长期发展的作用也不容小视。事实上,这些法律法规在给行业套上紧箍咒的同时,也会给市场带去很多新的机会、新的玩法。
《数据安全法》为何匆匆“出生”
如果我们简要回顾一下《数据安全法》的“出生”,就会发现整个过程的用时相当之短:2018年9月,全国人大常委会将《数据安全法》列入立法规划;到2020年6月,其初稿已经交人大常委会进行初审;2021年的6月10日,其最终稿被表决通过;2021年9月,就开始正式实施。也就是说,这部法案从开始起草,到表决通过,再到最终实施,加起来也才三年的时间。这在以立法态度严谨、立法论证详尽著称的我国,实在不算多见。
那么,究竟是什么原因促使了《数据安全法》如此快马加鞭地出台?我想,这应该是国内、国际两方面因素共同作用的结果。
从国内层面看,《数据安全法》的出台是对国内数字经济迅速发展,以及各种数据相关的问题亟待解决的一种回应。随着数字经济的发展,数据迅速地从信息处理过程中的副产品蜕变成了一种关键的生产要素。但与此同时,很多与数据相关的问题也随之产生。数据产权、数据定价、数据滥用、数据垄断、数据跨境……每一个问题都很重要、都需要解决,但这些问题中的任何一个又都是不那么容易解决的。不仅如此,其中的很多问题还相互关联、相互交织,可谓牵一发而动全身。
以数据的产权为例。熟悉经济学理论的读者应该都知道,从理论上讲,只有一件物品具有价值,且价值比较明确时,人们才有激励对其界定产权。
具体到数据,只有数据真的有了比较明确的市场价值,相关产权的界定才能真正完成。但要确定数据的价值是很困难的,因为要有价值就要有交易,而交易是需要产权作为前提的。这样一来,产权和定价,就成了一个“鸡生蛋、蛋生鸡”的问题,似乎很难下手。
当然,如果从纯粹的经济理论角度看,这或许不是什么问题。只要让市场自发运作起来,并且时间足够长,那么产权和定价这两个问题都会得到解决。如果我们考察的是一种普通的产品,那么这种观点没有什么问题。因为对于一般的产品,与市场相关的各种制度早已经成熟,所有市场探索都可以在既有的制度框架中运作,最终一定会达成一个结果。
但对于数据市场来说,问题却是不同的。原因很简单:数据这种要素实在是太新了,它的市场本身就是在各种配套制度都没有建立的条件下出现的。在这种情况下,所谓的市场摸索就可能带来难以想象的外部性。比如,如果法律没有对个人数据的采集、使用和流通进行规定,那么一些企业就会钻这个空子,置人们的权益于不顾非法进行搜集、使用和交易。在这个交易的过程中,大量用户的权益可能会受到损害。从这个意义上看,我们固然要数据产业成长、数据市场发展,但是这种成长和发展绝对不能是无序的。对于它们的边界,我们一定要理清楚。所谓“随心所欲而不逾矩”,只有我们把外面的规则画好了,市场的探索才能更高效。
那么,数据市场发展的边界规则是什么呢?从现在看,最关键的有两个:一个是安全,一个是个人隐私保护。现在,《数据安全法》马上就要实施了,《个人信息保护法》应该也会在不久后出台,这两部法的用意就在于构建两个最关键的边界规则。
我听到不少朋友讲,这些法律的出台可能会限制数据市场发展。诚然,在表面上看,如果没有任何法律的约束,企业可以为所欲为,就能从数据中获得更多的利益。但其实这种利益本身是有风险的。以企业违规搜集使用用户信息为例,即使在法律层面上,这些行为不会受到惩罚,但久而久之,这些行为会在社会中积累起很多负面的情绪。等到这些情绪总爆发,就可能会对企业的业务造成非常大的影响。与其这样,倒不如有一些法律提前对企业的行为进行限制。
而从国际层面上看,《数据安全法》的出台则带有更为深刻的大国博弈性质。
在数字经济时代,对数据资源进行控制,已经成了大国博弈的一个重要手段。为了争夺数据主权,各国都在立法层面下足了功夫。比如,在2018年3月,时任美国总统特朗普签署了《澄清境外数据合法使用法案》,也就是所谓的《云法案》。根据这项法案,如果美国政府索取,任何受美国管辖的公司(包括在美国经营或者在美国为客户提供服务的公司)都需应要求将数据转交给美国政府。即使这些数据存储在海外,也同样受到该法案的约束。由于美国的公司遍布全球各地,因此这一法案事实上就把美国的数据霸权延伸到了全世界。而不久之后,欧盟也出台了《通用数据保护条例》,也就是我们熟悉的GDPR。这一《条例》规定,所有从欧盟公民收集数据的企业必须遵守欧盟的规则,受欧盟的管辖。如果将GDPR和《云法案》对应起来,就不难看出这两者之间是存在着一定的对抗关系的,从某个角度看,GDPR是在和美国争夺对于数据的主权。当然,在防守美国数据霸权的同时,欧盟也一样把“长臂”伸向了全世界。一旦数据涉及了欧盟的用户,就自动落入了GDPR的管辖范围。
应该说,在欧美都通过立法积极争夺数据主权的时候,立法上的滞后会让我国在国际竞争中显得十分被动。目前,我国已经有了一大批大型的数字经济企业,它们的业务已经遍布世界各地,很多业务和欧、美有往来。按照《云法案》和GDPR,欧美的执法机构就可以很容易找到理由自由调取这些企业的数据。显然,这对于这些企业的经营,以及我国的经济安全都有可能带来很大的负面影响。
事实上,无论是去年的TikTok风波,还是今年的滴滴事件,类似的矛盾都已经显露了出来。不仅如此,现在很多国外的企业在中国有业务分支,例如苹果就在中国有庞大的用户群,而微软则是重要的云服务供应商。虽然按照《网络安全法》的要求,这些企业都将“个人信息和重要数据在境内存储”,但如果没有更为专门的法律对数据跨境作出进一步规定,就很难避免这些企业出于美欧政府的压力,向美欧提供数据的情况发生。而一旦这种情况发生,则很可能对我国的国家安全造成巨大的影响。从这个意义上讲,我国加速出台《数据安全法》,也是为了补足法律短板,以免自己在和美欧的大国数据博弈中吃亏。
《数据安全法》解决了什么,没解决什么
从总体上看,《数据安全法》的内容是十分丰富的。它的实施,将会解决很多数据应用和交易当中的问题。限于篇幅,这里只介绍其中的八个方面。
第一,《数据安全法》明确了数据安全和发展之间的关系,对数据的应用工作提出了一个总的指导。
我们知道,在世界各国,关于如何处理数据安全和发展,态度是有很大差异的。总体上,欧洲对于安全问题的考量更多,并且这种考量更多侧重于个人数据安全层面,而对于发展问题,则放在了一个较轻的位置上。而美国,虽然也重视安全,但一方面,其侧重更多地放在了国家安全层面;另一方面,其对于经济发展的重视是要远高于欧洲的。现在的实践已经证明,这种差别直接决定了两个地区在互联网等数据密集型产业上的发展状况。类似的,我国究竟怎样平衡安全和发展,也会对相关产业的发展起到至关重要的作用。
从法律文本上看,应该说整部《数据安全法》都体现出了“数据安全与发展”这两个目标平衡的思路。在第一条,就明确提出了立法的宗旨是“规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”;在第十三条,又进一步强调了“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”在一部以“安全”为核心的法律中,如此明确、频繁地提到了发展的内容,立法者重视发展、支持发展的用心可以说是十分明显了——只不过,这种发展绝对不能是无序的,它应该是以安全作为一个总的边界。
第二,《数据安全法》对与数据安全相关的各角色的相关职责进行了划分,明确了各自应当扮演的角色、承担的责任。
维护数据的安全,是一个系统性的过程。在这个过程中,政府、企业、社会相关管理者、运营者和经营者需要相互配合、相互协调。只有这种配合和协调是足够顺畅的,相关的工作才可能很好的完成。然而,在过去,上述的每一个角色究竟应该在这个过程中扮演怎样的角色、承担怎样的义务,相关规定都是不明确的。在这样的情况下,角色缺位、越位、冲突的现象比比皆是。尤其是在政府的不同部门之间,经常出现类似“九龙治水”的管理冲突,造成了很多问题。针对以上这些问题,《数据安全法》专门对各个角色的相关职责进行了划分。尤其是在第五和第六条中,对于政府各部门之间的权责划分进行了很详细的阐述。这一划分,可以很好地解决过去由于职能不清所造成的问题,从而减少很多不必要的麻烦。
第三,《数据安全法》提出了十分明确的对数据进行分类管理和保护的思路。
在该法的第二十一条中,明确指出“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”很显然,这种分类监管的思路,将有效地用于保护的资源与数据重要性之间的匹配,从而指引整个数据安全工作更加有的放矢,更加具有效率。
需要指出的是,对数据分类进行管理并不是《数据安全法》首创。事实上,在《网络安全法》当中,已经提出了类似的管理思路。不过,这两部法律中的分类管理还是存在着很大的差别的。在《网络安全法》中,数据分类的决策,主要是由网络运营者作出的,其目的主要还是为了保证网络运营环境的安全。而在《数据安全法》中,对数据分类的责任则落到了各地区和各部门主管单位身上,而企业则没有类似的责任和权力,只有根据分类进行合规的义务。显然,这种安排不仅充分体现了国家对于数据安全本身的重视,还可以很好地在法律适用的普遍性和具体情况的特殊性之间实现有效的权衡。
第四,《数据安全法》对数据交易管理、安全评估、安全审查等具体的制度,都给出了比较完整的规定。
具体来说,关于数据交易管理,第十九条提出了“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”,而第三十三条中,则对从事数据交易中介服务的机构的行为作出了具体的规定。值得一提的是,这应该是“数据交易中介机构”第一次出现在我国的法律中,其对于数据市场的规范和发展是具有标志性的意义的。
关于安全评估机制的规定,则主要体现在了第二十二和第二十三条中。其中,第二十二条构思了一套“集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制”,而第二十三条则在此基础上提出了对数据安全风险的应对机制。
关于安全审查的规定主要体现在第二十四条“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”。这里比较值得一提的是,法条中专门强调了“依法作出的安全审查决定为最终决定”。也就是说,它无法被行政复议或行政诉讼推翻。这个规定,应该引起比较多的重视。
第五,《数据安全法》对数据安全保护义务作出了比较具体的要求。
在法案的第四章中,对数据处理及研究过程中的各种主要风险,以及相关主体应该在这个过程中承担的义务都进行了比较多的探讨。具体的内容,限于篇幅在此不再赘述。比较值得注意的是,在这一部分,提出了“重要数据的处理者”和“关键信息基础设施”等概念。这些主体,由于其特殊的重要性,在承担一般义务之外,还被要求承担了一些额外的义务。很显然,这也体现了一种分类监管的思路。需要指出的是,对于这些主体来讲,《数据安全法》赋予的责任只是它们需要承担责任的一部分。在很多后续的相关法律、法规中,还对它们的其他义务作出了很多的规定。例如,在9月1日,《关键信息基础设施安全保护条例》也将开始实施,在这个条例中,就对“关键信息基础设施”的责任和义务作出了更为详细的规定。这些规定,正好和《数据安全法》构成了互补。
第六,《数据安全法》对数据跨境问题,作出了不少重要的规定。
如前所述,《数据安全法》的一大立法初衷,就是要回应大国之间对于数据主权的博弈,要对数据的跨境流动规则提出中国自己的规则。这一初衷已经在现有的条文中得到了很好的反应。
具体来说,在第二十五条中,指出“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”;而在第三十六条中,则进一步补充道,“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。这两段表述,应该可以视为是我国在数据主权问题上的主要主张。
第七,《数据安全法》对政务数据的安全与开放过程中的责任作出了专门的规定。
在这部法律中,政府部门的责任足足写了一章,篇幅非常大。这种安排,本质上是由政府本身的角色形象所决定的。我们知道,政府手中是掌握着海量数据的,并且其中的一部分数据是很难通过市场机构找到有效替代品的,因此其价值可谓非常之高。从这个角度讲,我们要搞大数据,就必须设法让政府的数据也汇入到市场中来、能为大家所用。但是,政府手中的很多数据又往往是十分敏感的。例如,居民的户籍信息、犯罪记录等,这些数据如果随意流动,很可能会造成非常不好的影响。因此,如何开放政府的数据,如何在安全与开放之间寻找一个平衡,就是亟待回答的问题。这里值得一提的是,在关于政务数据安全与开放的一章中,虽然讨论了很多关于安全的措施,但从篇幅上看,关于开放和发展的论证其实并不比关于安全的少。这一点,其实已经释放出了很大的信息量。
第八,《数据安全法》对违法所导致的处罚作出了规定。
例如,根据第四十五条,违反国家核心数据管理制度的,可由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。而第四十六条则规定,向境外提供重要数据的,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处罚还可以更为严重。
而类似GDPR等域外法律在规定处罚时,是可以以企业营业额的百分比来计算处罚金额的,这使得可以对一些比较严重的数据违法行为处以天价的罚单。反观《数据安全法》,尽管看起来处罚力度并不算低,但如果对一些比较大型企业的严重违法行为,类似的处罚是否可以达到足够的惩戒,其实还是需要观察的。
综上所述,不难看到,虽然《数据安全法》从起草到实施,时间并不算长,但却已经对涉及数据安全的重要问题都给出了比较详细的回应,已经可以在很大程度上为现在的数据开发和应用活动提供比较好的参考。
当然,或许是由于时间仓促,目前的《数据安全法》还有一些有待进一步完善之处。
举例来说,现在关于《数据安全法》的讨论中,数据分类保护无疑是一个热点。如前所述,这种分类保护的思路有很强的灵活性,因而很好地适应不同的具体环境。然而,对于具体的企业来讲,这种灵活性就未必是好事。事实上,一个企业经常会有跨地区、多领域的经营,那么按照这种灵活的设定,它的数据可能需要按照多套不同的标准进行合规。这样一来,企业可能会无所适从。
不仅如此,由于数据是具有互补性的,因此单个数据的安全性等级和多个数据的安全性等级并不能一一对应。比如,在一些谍战剧当中,我们会看到这样的桥段:一些经验老道的间谍可以通过阅读公开的报纸来推断出敌国的机密军事动向。一般来说,在报纸上公开发表的内容都不会有什么涉密或者影响国家安全的内容,但是如果将很多类似的内容结合起来,就可以拼凑出很多重要的信息。在大数据条件下,类似的效应会被更加地放大,很多看似人畜无害的数据,如果放在一起,就可能产生“1+1>2”的效应,因此也就会有了安全的风险。对于这一情况,我们一定要引起高度的重视。它意味着,除了对单个数据进行分类管理和保护外,可能还需要出台一些关于数据集的安全等级规则。
除此之外,《数据安全法》中提到的不少规则也还没有详细的细则。比如,政务数据的开放应该如何落地、数据交易规则应该如何完善、数据的跨境执法应该如何执行……这些问题,恐怕都要通过后续的相关法律法规来进一步完善了。
《数据安全法》会催生哪些商机
一般来说,每一部法律的出台,每一个规则的变动,都会催生一批新的商业机会,由此引发一轮行业的大变革。
最为直接的,在《数据安全法》实施后,企业在数据安全上的责任就一下子加大了。这会倒逼它们加大在安全领域的投入,以期规避因安全风险造成的损失。显然,这会催生出很多新的机会。在对人工合规需求上升的同时,对相关软件应用的需求也会增加。自动化的数据合规软件,可能会像过去的企业财务软件一样,迅速发展出很大的需求,从而成为一个风口。
当然,相对于以上这些,一个更大的风口可能还是会来自于通过技术规避风险的努力。比如,联邦学习、多方安全计算、区块链等技术,很可能在这一轮对于数据安全的重视中产生很大的商业价值。
以联邦学习为例,在两年前的一篇专栏中,我曾经提到过,包括安全在内的很多与数据相关的问题,其实是由中心化的机器学习方法导致的。正因为现在主流的机器学习技术需要将数据集中之后才能进行分析,所以企业才有激励去采集人们的个人信息,才需要将采集到的数据进行传输,然后将数据进行集中的存储和处理。只要是这种集中的机器学习模式被颠覆了,那么这些问题也就自然得到了解决。而联邦学习技术就提出了对以上问题的一套解决方案。它变过去的“搜集数据给程序”为“让程序自己去找数据”,从而很有效地打破了集中学习的模式。这在理论上可以让数据不出本地,数据的可用而不可得成为了可能。正是由于有了这种性质,所以现在很多做和联邦学习相关业务的公司业务都很繁荣,估值也都很不错。
不过,在目前的技术条件下,联邦学习还不能完全解决数据安全的问题。比如在纵向联邦学习和迁移学习的过程中,中间还是需要有一个阶段,要让数据在一个第三方的云上面实现交换和整合。而在这个过程中,数据泄露或者被篡改的可能还是存在的。此外,利用联邦学习的特征,进行相应的黑客攻击也是完全有可能的。从这个意义上看,虽然类似的技术会为我们解决安全问题找到一条路,但这条路本身可能还有很多有待完善之处。当然,从商业角度看,这些瑕疵本身其实并不是什么问题。事实上,它们本身也是另一个商业机会。如果可以有更好的方案解决联邦学习过程中存在的以上问题,那么这些技术解决方案也将会是非常有价值的。
除了以上这些直接与数据安全相关的商机,《数据安全法》可能间接带来的另一个重要商业机会是与数据交易相关的产业的发展。现在数据市场发展的不完善,一定程度上是由于交易本身就处于灰色地带,很多安全风险无法回避。而在《数据安全法》落地后,相关的风险就可以有效减少,数据交易的成本也会随之降低。
除此之外,由于数据本身的固有特征,要对原始数据进行交易其实是非常困难的。相比之下,交易数据的使用权或许是一种更为可取的选择。过去,这种使用权的交易是比较难以实现的。但随着《数据安全法》的推进,联邦学习和安全计算技术被作为落实这一法律的技术基础而被广泛应用,这些技术“可用不可见”的特点,客观上也就为使用权的交易提供了很好的基础。在这种情况下,数据的交易就可能真正发展起来,而与之相关的产业也就可能兴起。
总而言之,《数据安全法》的实施本身只是一个事件,但这个事件之后,又会激发出更多技术、商业和法律的变革。这就像一颗石子扔进了池塘,激起的涟漪会不断扩大。或许,整个数据产业和数据市场都会因此而不再一样。
京公网安备 11010802028547号