发布时间: Wed Sep 28 18:32:50 CST 2022
第二届中国国际服务贸易
法律论坛于近日成功举办
论坛邀请了在涉外法律服务领域
有丰富经验的
法官、律师、仲裁员、公证员
围绕4个主题展开交流
京司观澜开设“大咖说”专栏
将主要内容予以摘登以飨读者
今天来看论坛第三单元
“数据合规及相关司法保护”
↓↓↓
本期摘要
第三单元以“数据合规及相关司法保护”为题,邀请仲裁员、律师、法官从数据合规重要性、个人信息保护、企业数据应用、数据要素市场构建、数据权益保护司法实践等五个维度介绍数据立法新兴领域的焦点问题,阐释了以“数据”规范为对象的法律制度特殊性,分析了合规性需重点注意事项。围绕“如何与国际接轨,同时结合国情做好中国方案”提出了一致看法:
鉴于数据本身性质及在流动上的高度特殊性,需要非常重视国际规则对合规的影响,无论是律师提供咨询服务、仲裁机构进行仲裁、法院审理案件都应具备高度的国际化视野,才能更好地保障企业跨境业务顺利开展。
本期嘉宾
Guest Of Honor
主持人:杨晨
◆ 北京金诚同达律师事务所主任
◆ 亚太法协会候补理事、“一带一路”常设委员会委员
◆“一带一路”律师联盟金融专业委员会秘书长
与谈嘉宾:
程 啸
清华大学法学院教授,北京仲裁委员会/北京国际仲裁中心仲裁员
周 杨
北京市竞天公诚律师事务所合伙人
杨建媛
北京市海问律师事务所合伙人
亓 蕾
北京市高级人民法院知识产权庭法官
内容摘录
CONTENT
杨 晨
一是数据合规的时代背景。21世纪是网络时代、信息时代、智能时代和数据时代。2017年生效的网络安全法为我国网络及数据安全奠定了坚实的基础,为企业指明数据合规的方向。
从国际社会来看,数据合规立法和实践蓬勃发展。2018年,欧盟《通用数据保护条例》GDPR实施,近期通过《数字市场法》和《数字服务法》, 2022年4月4日,美国国务院宣布成立其第一个网络空间和数字政策局,强调联邦领域的数字现代化;4月21日,美国、加拿大、日本等国家和地区共同发布全球跨境隐私规则声明(Global Cross-Border Privacy Rules Declaration),对外宣告成立全球跨境隐私规则(CBPR)论坛,致力促进数据流通与隐私保护。
从中国国内来看,2021年,《数据安全法》《网络安全法》《个人信息保护法》相继出台,同年中国正式提出申请加入“数字经济伙伴关系协定DEPA”。
二是数据合规的重要性。数据作为数字经济时代最核心的生产要素,正在加速成为全球经济增长的新动力、新引擎,深刻地改变人类社会的生产和生活方式。随着云计算、大数据、5G、物联网及区块链等技术的飞速发展,数据量爆炸性增长,保障网络、数据安全,对于维护国家安全、企业安全及个人隐私愈发重要,只有打破数据壁垒,才能充分挖掘数据价值,这也对数据合规提出了更高的要求。
三是数据合规的关注点。强化数据合规管理对于个人、企业、社会、国家都具有重大意义,但是,数据与信息、隐私既有联系,也有区别,需要合理界分使用并建立数据分类分级保护制度。数据合规核心是要做好数据的收集、存储和使用问题。
合规是世界课题,我们要汲取他国优秀数据合规经验,结合我国国情,建立公司自律、行业自治、行政监管和司法保护相结合的具有中国特色的数据合规管理体系。
杨晨:在服务贸易的大背景下,今天主要探讨数据合规问题,首先有请程啸教授分享。
程 啸
首先什么是个人信息权益?数据合规就是对数据处理的合法性、正当性和必要性的审查,最核心的是个人信息权益的保护,我国的《民法典》专门做出了规定,在《个人信息保护法》中更是明确提出了“个人信息权益”这样的概念。
个人信息权益在中国的法律中是一种新型的民事权益,确切地说,是一种新型的人格权益。按照《个人信息保护法》的相关规定,这种权益是以个人对个人信息处理的知情权和决定权为核心,同时包括了查阅、复制、更正、补充、可携带、删除等等其他权能在内的内容丰富的民事权益。
那么,对个人信息权益如何保护呢?在个人信息处理过程中,最重要的是个人信息的处理者在个人信息处理活动中不能侵害个人信息权益,例如,处理者未经过本人同意,就进行个人信息的收集、存储、加工、使用等,就涉及到了个人信息权益的保护即司法救济的问题。
我国《个人信息保护法》专门就个人信息处理者未支持个人行使个人信息权益的时候,如何进行司法保障和司法救济做出了规定,即可以向法院提起诉讼请求,人民法院可以依据《民法典》《个人信息保护法》等法律判令侵权人承担相应的侵权责任。
最后,就是要与国际接轨,做好中国方案。随着信息网络科技的发展,个人信息和数据的保护愈发重要,越来越受重视,这一点随着国际服务贸易的深入更加凸显。我们一方面要加强对个人信息保护和数据权属的理论研究,另一方面要重视贸易所在国相关数据保护、个人信息保护的规定,包括投资争端的解决比如仲裁的时候通过相应的法律和规则保护个人信息权益。
杨晨:数据保护的基础理论就是保护个人的数据安全,程老师从《个人信息保护法》的保护范围和司法救济的角度进行了分享。请周杨律师讲一下企业的合规应用的场景有哪些?相应的监管是怎样进行的?
周 杨
目前,数据应用已经深入到各个领域,距离第一部综合监管个人信息的法律《全国人大常委会关于加强网络信息保护的决定》已经过去十年。十年来,我国的数据监管政策从四个方面考察和管控数据利用的合规性,分别是数据处理者身份(是否为关键信息基础设施运营者)、数据类型(是否为重要数据或个人信息)、数据处理活动类型(是否涉及国家安全)和私权利保护(是否涉及个人信息主体权益、知识产权和商业秘密等)。从监管角度而言,四个角度立体合围足以维护国家安全以及私权利不受侵犯。
我本人比较熟悉金融服务领域,当谈及金融机构数据合规时,要按照上述四个维度出发,讨论金融数据处理者需要遵循的通用型的数据合规义务。
随着科技的发展,金融机构利用更多的金融科技手段提供更加优质的金融服务。常见的、较为成型的金融科技手段包括ABCD——人工智能(AI)、区块链(BlockChain)、云计算(Cloud)和大数据(Big Data)
不仅金融科技手段本身涉及到数据的合规性讨论,利用金融科技手段改造后的传统金融服务同样也面临所使用数据类型、使用数据方式的合规性考验。比较典型的有信用评价和风险控制服务、获客营销服务、反洗钱反欺诈服务等,这些服务在新科技的推动下大量使用了数据。金融服务的繁荣发展衍生了愈发全面而深刻的合规需求,尽管需求深层而复杂,但仍没有跳出四大维度。
此外,因金融服务的国际化属性,金融机构的数据跨境有其特殊之处,但仍应当遵循国内数据出境的相关政策。数据跨境也沿袭了四个维度,《数据出境安全评估办法》是非常典型和综合的体现。9月1日生效后,企业和网信办都将进入数据出境评估业务的爆发期。除评估外,企业也可采用其他渠道建立数据出境的合规通道,例如,根据《个人信息保护法》,企业可以考虑以签署标准合同、获得认证等形式谋求数据出境合规路径。
杨晨:有些行业数据是非常集中的,包括医疗、教育和金融,这些领域里的数据关系到我们每个人的个人隐私和相关权利,周律师是以金融领域作为应用场景去介绍了监管的四个纬度。
下面请杨律师介绍一下数据的要素有哪些纬度?企业合规有哪些关注点?
杨建媛
我国近年来关于数据保护的立法、执法非常活跃,今年出台了关于“数据基础制度”的一些政策文件,释放了积极信号,就是国家在保护数据安全的同时,推进数据产权、流通交易、收益分配,更好发挥数据作为第五大生产要素的作用。
目前,数据流通主要有两个痛点。一是原始数据不等于生产力。数据是对客观事物的数字化记录,只是无序的原始素材;数据要素才可以参与到社会生产经营活动、具有使用价值、可为使用者或所有者带来经济效益。二是数据流动不等于买卖数据。一方面,国家严厉打击买卖个人信息;另一方面,黑灰产规模庞大,所有人都是受害者。
从国家层面构建“数据基础制度”的特点:一是明确了哪些数据能够流动,并对这些数据进行分类分级确权授权使用。二是关于数据的权属和确权,我国立法上承认了个人、组织关于数据的权益,并提出了一些代表性权能,例如数据资源持有权、数据加工使用权、数据产品经营权。
企业可根据自身特点创新数据利用方式。企业对数据价值的挖掘,绝对不是原始数据的买和卖,需要应用技术的能力和创新化的思维,依托数据提供服务解决方案。比如通过对路况的分析,预测交通运行情况;通过大数据打磨征信模型,帮助金融机构做风控等,这些都是数据利用的一些非常好的场景。
目前,还有些企业在数据开发过程中探索使用隐私计算等方式创造可信的环境,确保数据开发过程中不踩合规红线。
那么,涉外律师在数据合规国际化上能发挥怎样的作用?涉外律师有一个特别重大的责任,就是应当向外国企业或者同行解释我国法律立法的逻辑。很多时候,中国和别国的立法目的和逻辑很相似,但是表达方式不太一样。如果涉外律师能够有理有据解释我国立法逻辑、求同存异,就能为中国企业开展跨境业务提供更好的法律保障。
杨晨:我们讲企业要做合规,但是经常还有不合规行为,从法院审判实践角度,法院会保护哪些数据权益?怎么去评估数据价值?请亓法官为我们介绍一下。
亓 蕾
首先,数据是可以成为权益进行保护的。数据已经成为现在市场资源配置中一种基础的生产要素。在数字经济发展过程中,既要有制度的支撑,又要有法律的保障。
涉及数据的纠纷案件在司法实践中大部分都体现为反不正当竞争案件,在这些案件中,数据在当前市场环境下确实成为经营者,特别是平台经营者相互竞争的重要基础资源。获取了数据并通过分析、挖掘数据来改善自己的产品和服务,就可以获得经营利益。
如果没有经过许可抓取他人的数据,实际上是一种搭便车、不劳而获、损人利己的行为,就应该受到法律的规制。
二是数据类型会影响保护的范围和边界。平台上的数据类型很多,不同数据类型会影响到可以主张权利的边界,司法实践中一种很重要的分类是公开数据和非公开数据。
对于非公开的数据,如果没有合作、授权而进行抓取,采取破坏或者是绕开平台经营者设置的访问限制或者是技术保护措施的行为是不具有正当性的。由此抓取到的数据后续再进行利用,也不具有正当性,应当受到法律的规制。
三是当数据权益受到侵害时如何确定赔偿额度?数据的价值是很难精确计算的。近年来,在市场环境中对数据、流量价值评估的方法日渐成熟并且形成了一些共识。法院在司法裁判当中也尝试着采取考量比如被告的广告收益、被告的用户流量来确定数据损害的赔偿数额。在这个基础上还要综合考虑各方产品知名度等各种要素综合确定,从而更好回应数字经济下对于数据保护的需求。
最后,对数据类案件的审判来说,法院是居中裁判的,考虑到数据这一要素的特殊性,在裁判的过程中要更加注重树立国际视野,依法保护中外当事人的合法权益,对接国际规则,尽力为市场化、法治化、国际化的营商环境提供充分司法保障。
杨 晨:今天对数据合规这个话题提纲挈领地做了一些讨论,希望在学者、律师、法官、政府、企业和普通老百姓的共同努力下,既和国际接轨,也打造企业自律、行业自治、行政监管以及司法保护相结合综合的合规体系。
(本文仅代表嘉宾个人观点)
往期链接:
