一、《深圳特区数据条例(征求意见稿)》规定数据权
2020年7月15日,深圳市司法局就《深圳特区数据条例(征求意见稿)》公开征求意见,其中第四条规定“数据权”引起社会各界广泛关注,该第四条具体规定为:“数据是关于客体(如事实、事件、事物、过程或思想)的描述和归纳,是可以通过自动化等手段处理或再解释的素材。自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权,任何组织或者个人不得侵犯。数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。”
《深圳特区数据条例(征求意见稿)》如果正式通过,可以说是在我国首次在正式法规层面确立“数据权”这一权利。在此之前,我国《民法典》第一百二十七条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,《数据安全法(征求意见稿)》第五条规定“国家保护公民、组织与数据有关的权益”,《网络安全法》则在明确保护相关“合法权益”的同时强调网络数据安全,都没有明确“数据权”。
二、个人信息与个人数据内涵大体相当
目前在各国的个人信息保护立法中,多数国家将“个人信息”视为“个人数据”。如欧盟《个人数据保护指令》第2条(a)规定,个人数据,指“与一个人身份已被识别或者身份可以识别的自然人(数据主体)相关的任何信息”;法国《数据处理、数据文件及个人自由法》第2条第1款规定,个人数据,指“可以通过身份证号码、一项或多项个人特有因素被肢解或间接识别的自然人相关的任何信息”;德国《联邦数据保护法》第3节规定,个人数据,指“任何关于一个已识别的或者可识别的个人(数据主体)的私人或者具体状态的信息”。
欧盟GDPR《通用数据保护条例》第4条“个人数据“定义中英文原文中的“information relating to anidentified or identifiable natural person”可被认为是“Personal Identifiable Information”(PII)。GDPR第4条对“个人数据“(personal data)的定义是,个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;可识别的自然人是能够被直接或间接识别的个体,特别是通过诸如姓名、ID号、位置数据、网上标识,或者与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素。
《深圳特区数据条例(征求意见稿)》所规定的数据权,即权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利,与《数据安全法(草案)》中的“与数据有关的权利”本质上是一致的。作为一个地方性法规,《深圳特区数据条例(征求意见稿)》所规定的数据权利不应也没有超出法律规定的范围。未来如果要确立作为民事基本权利的“数据权”,是一个非常复杂的立法技术问题,涉及到的问题非常多,以后可能会在类似深圳特区数据条例等立法及实施经验的基础上,通过数据安全法和民法典等相关基本法律来最终完成和完善。
三、数据与信息的法律保护比较
数据和信息是相互联系的概念,数据更侧重于附着载体和表现形式,而信息则侧重于所包含的内容;数据更侧重于流转和利用,而信息更侧重于许可和保护;数据更侧重于具体操作,而信息则更侧重于强调基本权利保护。从这个意义上来说,《深圳特区数据条例(征求意见稿)》是对数据权利法律保护先行先试的有益探索。
(一)数据侧重载体和形式,信息侧重内容
数据与信息确实有所不同。一般认为,数据是使用约定俗成的关键字,对客观事物的数量、属性、位置及其相互关系进行抽象表示,以适合在这个领域中用人工或自然的方式进行保存、传递和处理。简而言之,数据是对客观事物观察记录所得的符号,用于保存、传递和处理。信息是具有时效性的,有一定含义的,有逻辑的、经过加工处理的、对决策有价值的数据流。信息是有逻辑的有含义的数据流。
很多法律规定本身体现了数据与信息的关系。《深圳特区数据条例(征求意见稿)》第一百零一条规定,“个人数据包括个人信息数据和隐私数据”,从这里可以看出,个人数据是含有个人信息或隐私的数据。我国《数据安全法(草案)》第三条规定,“本法所称数据,是指任何以电子或者非电子形式对信息的记录。因此,根据《数据安全法(草案)》,数据是对信息的记录。
(二)数据强调流转和利用,信息强调安全不受侵犯
数据的价值在于流转和利用,不流转就不产生价值,而且数据体现于数据处理的各方面、各环节,数据权利属于所有与数据活动有关的市场主体;而我们提到的信息则主要是保护个人信息的安全,从民事权利角度来说,更多的是强调个人信息保护。我国《网络安全法》其实是区分了数据与信息概念,一方面强调了对个人信息的保护,主要从信息角度特别是信息安全角度对有关权益进行保护,如第七十六条规定,“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据;个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
另一方面也对鼓励数据开放,以及数据技术、数据资源、数据安全作出了规定。第十八条规定,“国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。”第二十一条规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;采取数据分类、重要数据备份和加密等措施”。同时第四十条规定,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”网络运营者收集的用户信息,正是来自于其所收集的各种数据,其中一部分数据则含有用户信息。另外我国《数据安全法(征求意见稿)》也规定,总立法宗旨是“为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益”,同时也强调,“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”
而《民法典》和《网络安全法》中提到个人信息时,则更多是强调个人同意更正、删除、以及收集个人信息的合法、正当、必要原则。如《民法典》第一千零三十二条、一千零三十三条、一千零三十四条、一千零三十五条、一千零三十六条、一千零三十七条、一千零三十八条、一千零三十九条,以及《网络安全法》第二十三条、第四十条、四十一条、四十二条、四十三条、四十四条、四十五条、四十九条、五十条等,体现了对个人信息比较严格的保护。
(三)数据权强调具体操作,信息权强调基本权利保护
我们来看《深圳特区数据条例(征求意见稿)》提到“信息”的相关规定。第三十条规定,“自然人、法人和非法人组织的身份信息由市数据统筹部门组织统一收集,通过城市大数据中心的统一身份认证平台提供身份认证服务。公共数据收集的具体办法,由市数据统筹部门制定。”第四十七条规定,“凡是已主动公开的政务信息应当以数据形式无条件开放。”第五十一条规定,“数据相关行业协会应当制定行业规范、完善行业标准,提供信息、技术、培训等服务,引导和督促数据要素市场主体依法开展数据活动,促进行业健康发展。”第一百零一条规定,“个人数据包括个人信息数据和隐私数据。”这些规定,乃至于整个《深圳特区数据条例(征求意见稿)》内容,都体现了操作性的特点。
而我国《民法典》第一百二十一条规定,“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”以及第一百二十七条的规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”都体现了这种原则性的对于保障民事主体基本权利的特点。