互联网金融法律研究院

详情

李爱君:数据应用安全可以从“数据”和“数据行为”进行规范

2019-09-25    来源:

9月20日,由凤凰网WEMONEY主办的2019零售金融科技(北京)峰会暨零售金融科技智库成立在北京举行,中国政法大学大数据与法制研究中心主任李爱君发表主题演讲。

undefined

近期,大数据成了行业的热点,如何界定数据的权利,怎么规范数据使用?李爱君认为,数据权利属于一种新型民事权利。首先,对数据进行界定。数据是对事实、活动的数字化记录,具有独立性,形式有多样性,数据是无体的。数据通常呈现为非物质性的比特(bit)构成。所谓比特,通俗理解为事实和活动的数字化存在形式。这一媒介特性意味着,数据不再需要具体物作为物质载体(如知识产权载体的书、电视等),它的载体是符号(符号载体),只需要相应的数字化系统工具加以呈现。其次,数据客体符合权利结构的客体属性。法律上的权利义务必有其主体,亦必有其客体。主体为权利义务之所属,客体为权利义务之所附;主体非人莫属,客体则依权利的种类不同而不同。数据权利的成立应有其主体和客体,其主体是公民、法人、或其他社会组织;客体是数据。客体“数据”是否具有权利客体的特征决定了数据权利是否成立,数据的自然属性决定了其产生的民事权利的属性和与其他民事权利的区别。数据具有权利的客体属性,因为数据具有独占性,虽然数据不具有实体性,它必须依赖于一定的载体为存在条件,并且其载体非物质性、传递性、扩散性和再现性导致其数据主体无法通过像物那样实际占有、控制和利用,也无法通过与他人的约定来对抗第三人的占有和享用。因此,可以比照知识产权的独占性。知识产权的独占性是指法律仅赋予知识产权所有人行使知识产权中的各项权利。知识产权所有人可以自己行使,也可以授权他人行使。但他人未经其许可则不能擅自行使。

数据权利可以通过法律实现其独占性,如欧盟GDPR《通用数据保护条例》赋予数据主体的自决权。尤其GDPR的可携带权规定权利主体有权就其被收集处理的个人数据获得对应的副本,并可以在技术可行时直接要求控制者将这些个人数据传输给另一控制者。这就是对数据的收集者和处理数据的控制者通过法律以规定其义务的方式赋予数据主体对其自身相关的数据拥有控制性的权利。

客体具有独立性是构成民事权利的一个要素。数据能够独立存在,即能够与其表现的比特的形式媒介在观念和制度上进行分离,并具有独立的利益指向。比如,数据经过程序处理就可以表现出其内容,人们是要获取数据的内容,而不是数据的表现形式“比特”。数据所具有的独立性,还体现在它能够与其反映的客观事实相独立。如数据所承载的内容是事实和活动,其事实和活动的数字化可以与其形成事实和活动的主体相分离。最后,数据权利是新型的民事权利。数据权利属于民事权利,但由于数据权利客体“数据”的自然属性与现有的民事权利客体的自然属性不同,数据权利具有财产权属性、人格权属性、国家主权属性。

“数据应用与安全的规范如果从数据权利的路径进行规范,有理论上的难度,我们就可以另辟蹊径从‘数据’和‘数据行为’两个维度进行规范。也就是说数据应用的安全是由‘数据’和‘数据行为’两个维度决定的,即同种数据不同数据行为和同种行为不同数据规范是不同的。从数据主体分,根据数据所承载的内容不同可分为个人数据和非个人数据,数据行为可分为数据收集行为、存储行为、处理行为等。”李爱君表示。

李爱君介绍,GDPR(欧盟《通用数据保护条例》)、美国所有数据保护立法都是上述路径。不谈数据是什么样的客体性质,也不谈这个数据本身客体权利是什么样的性质,只规范收集行为、存储行为、处理等行为。

另外,李爱君提出,数据归属的问题可以从数据所承载的内容进行分析,如个人信息数据归信息主体;隐私数据归隐私的主体;商业秘密数据归商业秘密主体等;有一类数据不属于上述三者和现有法律、行政法规的规定,这些数据的归属问题应该是需要重点要研究的。

最后,李爱君表示,要使我国实现数据强国,使数据成为新动能就要使数据应用回归法治的路径。