楊學(xué)山：數(shù)據(jù)保護(hù)的一般原則與規(guī)律

2018-07-25 來源：評(píng)論：0

摘要：北京大學(xué)兼職教授、工業(yè)和信息化部原副部長(zhǎng)楊學(xué)山在活動(dòng)中發(fā)表了題為《數(shù)據(jù)保護(hù)的一般原則與規(guī)律》的主題演講。

　　北京大學(xué)兼職教授、工業(yè)和信息化部原副部長(zhǎng)楊學(xué)山在活動(dòng)中發(fā)表了題為《數(shù)據(jù)保護(hù)的一般原則與規(guī)律》的主題演講。以下為演講實(shí)錄：

　　尊敬的各位專家、來賓、朋友，大家上午好!今天談一點(diǎn)關(guān)于數(shù)據(jù)保護(hù)一般原則和規(guī)律的體會(huì)，供大家參考。由于題目太大，我主要從六個(gè)方面，對(duì)數(shù)據(jù)保護(hù)的主題，以及在這些主題下需要遵循最基本的原則和發(fā)展規(guī)律，進(jìn)行簡(jiǎn)單的介紹。實(shí)際上，我的題目已經(jīng)給數(shù)據(jù)保護(hù)畫了一個(gè)全景圖。

　　1. 數(shù)據(jù)保護(hù)的目標(biāo)

　　為什么要保護(hù)數(shù)據(jù)？保護(hù)數(shù)據(jù)要走向怎樣的目的地？在上圖中，其中左側(cè)是數(shù)據(jù)保護(hù)最根本的內(nèi)容，它的所有地方都是一致的，無論是法律、技術(shù)、制度，還是個(gè)人、企業(yè)和國家，全世界一致的數(shù)據(jù)保護(hù)目標(biāo)是數(shù)據(jù)不被濫用、不被篡改、不被泄露，這三點(diǎn)是信息安全和數(shù)據(jù)保護(hù)最根本的事情。右側(cè)的部分是將兩部分的東西總結(jié)在一起，包含兩個(gè)維度。我們要保護(hù)與數(shù)據(jù)保護(hù)相關(guān)的各方四個(gè)基本的權(quán)利，在保護(hù)過程中平衡利益，這是數(shù)據(jù)保護(hù)的四個(gè)權(quán)利和一個(gè)平衡。

　　所有權(quán)。無論是DPA、GDPR或者其他，一般都不強(qiáng)調(diào)所有權(quán)，主要是數(shù)據(jù)主體。數(shù)據(jù)主體的權(quán)利分開后，包括四個(gè)權(quán)利。今天講的數(shù)據(jù)保護(hù)不是DPA的數(shù)據(jù)保護(hù)，也不是GDPR的數(shù)據(jù)保護(hù)，其中數(shù)據(jù)保護(hù)的特定對(duì)象是個(gè)人數(shù)據(jù)保護(hù)，要保護(hù)的是個(gè)人的數(shù)據(jù)權(quán)利。GDPR出臺(tái)以后，執(zhí)法、罰款引起了很大的轟動(dòng)，同時(shí)數(shù)據(jù)保護(hù)得到了大家更多的關(guān)注，但我們要看到數(shù)據(jù)保護(hù)的全局，數(shù)據(jù)保護(hù)主體不僅是個(gè)人，還包括機(jī)構(gòu)和國家。氣象局有自己的數(shù)據(jù)需要保護(hù)，北大有北大的數(shù)據(jù)，也需要保護(hù)。

　　處置權(quán)。處置權(quán)在DPA和GDPR中屬于控制者和處理者，他們是指對(duì)數(shù)據(jù)處置的權(quán)力，數(shù)據(jù)主體同樣有處置權(quán)，在GDPR法律中并未提及這方面。

　　財(cái)產(chǎn)權(quán)。在DPA和GDPR也沒有提及財(cái)產(chǎn)權(quán)，數(shù)據(jù)是資產(chǎn)，數(shù)據(jù)是要交易的，數(shù)據(jù)是有價(jià)值的。在數(shù)據(jù)交易的時(shí)顯然有財(cái)產(chǎn)權(quán)，所以DPA和GDPR在個(gè)人數(shù)據(jù)保護(hù)上是有缺口的，而且缺口十分大。

　　知情權(quán)。知情權(quán)指兩個(gè)方向：一個(gè)是數(shù)據(jù)具有處置權(quán)利的主體要告訴他，要公開先告知數(shù)據(jù)主體獲取數(shù)據(jù)的目的，對(duì)于被獲取的對(duì)象有權(quán)利了解目的和處置，實(shí)際上是將其透明化。

　　利益平衡。在不同的主體中、在不同的范疇中、在不同的價(jià)值領(lǐng)域中所有的權(quán)利是有不同利益關(guān)系的。當(dāng)互聯(lián)網(wǎng)的公司、醫(yī)院使用你的數(shù)據(jù)時(shí)，你是可以獲取價(jià)值的，但在價(jià)值和信息的數(shù)據(jù)主體之間如何平衡？國家利益、機(jī)構(gòu)利益和個(gè)人利益之間如何平衡？實(shí)際上，個(gè)人數(shù)據(jù)的保護(hù)是有約束的，當(dāng)與國家利益發(fā)生沖突時(shí)，個(gè)人利益必然要往后放。例如天網(wǎng)系統(tǒng)，在個(gè)人未知的情況下，收集很多個(gè)人照片與數(shù)據(jù)，雖未告知本人但他必須要用，因?yàn)閷?duì)交通違規(guī)、抓犯罪是必不可少的。所以，并不是個(gè)人數(shù)據(jù)、個(gè)人隱私是如此的神圣，它是利益平衡的關(guān)系。

　　2.數(shù)據(jù)保護(hù)的對(duì)象

　　DPA和GDPR針對(duì)的是個(gè)人數(shù)據(jù)，但數(shù)據(jù)的主體不僅是個(gè)人主體，還包括政府、個(gè)人、企業(yè)，還可以擴(kuò)展到法人，所有的機(jī)構(gòu)都是數(shù)據(jù)保護(hù)的對(duì)象。國家有國家機(jī)密、企業(yè)有商業(yè)秘密、個(gè)人有個(gè)人隱私，這三者在進(jìn)行數(shù)據(jù)保護(hù)時(shí)是不能偏頗的，不能只看其中一點(diǎn)。

　　對(duì)于政府和企業(yè)的信息，其中既有關(guān)于個(gè)人的、企業(yè)的，也有它自己特有的。如此多的政府信息是包含它自己本身產(chǎn)生和使用的，并非全部來自于個(gè)人和企業(yè)。對(duì)于數(shù)據(jù)保護(hù)對(duì)象時(shí)，數(shù)據(jù)本身的數(shù)據(jù)主體一定不能局限在個(gè)人、自然人的范疇內(nèi)，而是政府、個(gè)人和企業(yè)，在數(shù)據(jù)保護(hù)的過程中這三種類型實(shí)際上是不同的。

　　對(duì)于政府信息而言，它是三種狀態(tài)：第一種是不能讓別人了解的，這是國家機(jī)密，能知曉的是該了解的人、不該了解的人絕對(duì)不能知曉；第二種是公開的，大家都可以了解，公開有兩種方式，第一種是主動(dòng)公開，在政府機(jī)構(gòu)門戶網(wǎng)站主動(dòng)公開的；第二是依申請(qǐng)公開，首先申請(qǐng)感興趣的信息，然后政府相應(yīng)部門決定是否基于反饋；第三類信息是處于兩者之間，無論是電子版還是紙質(zhì)版的信息，其中有一部分是要公開的，另有一部分是敏感的，或信息只能在特定的時(shí)間后公開。處于這中間的信息，它會(huì)經(jīng)過處理后才能決定是否公開?？傊?，數(shù)據(jù)保護(hù)最根本的是不被篡改、不被泄露、不被濫用，按照不同類型進(jìn)行保護(hù)。

　　企業(yè)信息也分為三種：第一種是它要宣傳的，希望別人了解，包括廣告、宣傳等；第二種是絕不讓人了解的，國家也不能法制，這是商業(yè)秘密。很多企業(yè)它的知識(shí)產(chǎn)權(quán)或技術(shù)是不申請(qǐng)專利的，因?yàn)樯暾?qǐng)專利別人就可以用，從專利的申請(qǐng)文本中了解其過程，所以很多企業(yè)是不申請(qǐng)專利的。例如，康寧公司是做玻璃的，他的主要技術(shù)是不申請(qǐng)專利的，由于未申請(qǐng)專利，沒有泄露技術(shù)與工藝，如果有人采用相同的工藝生產(chǎn)，他是有權(quán)利起訴的，他認(rèn)為你竊取了他的商業(yè)秘密；第三種與政府相同，在一定的業(yè)務(wù)系統(tǒng)客戶關(guān)系中或在一定的場(chǎng)景下可以公開，另一些場(chǎng)景下不可公開的。

　　對(duì)于個(gè)人的數(shù)據(jù)保護(hù)，在DPA、GDPR中已經(jīng)有明確的界定，關(guān)于個(gè)人所有的信息都屬于個(gè)人數(shù)據(jù)，其中有些是敏感的，有些是不敏感的。敏感的數(shù)據(jù)按敏感的管理，不敏感的數(shù)據(jù)按不敏感的管理。個(gè)人信息在不同領(lǐng)域中，個(gè)人對(duì)它有著不同的控制權(quán)利。

　　3. 數(shù)據(jù)保護(hù)的主體

　　在數(shù)據(jù)保護(hù)的過程中有三類主體：一是數(shù)據(jù)主體，是數(shù)據(jù)的擁有者；二是控制者，盡管是你的數(shù)據(jù)，但數(shù)據(jù)由別人管控，與在GDPR和DPA中的概念是相同的，所謂的控制是指，例如公安部門的戶籍?dāng)?shù)據(jù)、醫(yī)院的個(gè)人健康數(shù)據(jù)、學(xué)校的個(gè)人教育數(shù)據(jù)，這些都是實(shí)際信息的控制者；三是信息處理者，數(shù)據(jù)的主體控制者委托個(gè)人或機(jī)構(gòu)來進(jìn)行處理數(shù)據(jù)。以上三個(gè)方面都是針對(duì)權(quán)利義務(wù)的統(tǒng)一，三方都承擔(dān)著相應(yīng)的責(zé)任、權(quán)利和義務(wù)，而不是只擁有權(quán)利而不承擔(dān)責(zé)任和義務(wù)。對(duì)于個(gè)人隱私，不僅個(gè)人的數(shù)據(jù)是需要保護(hù)的，個(gè)人同樣要承擔(dān)相應(yīng)的責(zé)任和義務(wù)。所謂的義務(wù)是為了國家利益、社會(huì)安全采集數(shù)據(jù)時(shí)，必須要給，這是你的義務(wù)。當(dāng)然，你有權(quán)利了解數(shù)據(jù)的采集目的和實(shí)際作用，這是你的權(quán)利。

　　所有的三個(gè)主體，都是責(zé)任、權(quán)利、義務(wù)的承擔(dān)者。其實(shí)，數(shù)據(jù)的控制者的責(zé)任很大，因?yàn)樵诳刂茢?shù)據(jù)的全過程中，要保證數(shù)據(jù)委托給第三方處理的時(shí)不被泄露、不被濫用、不被篡改，要擔(dān)負(fù)這三方面的責(zé)任。當(dāng)我們手中有數(shù)據(jù)時(shí)，需要肩負(fù)起這三個(gè)責(zé)任，數(shù)據(jù)為王，扛起了責(zé)任才為王，否則數(shù)據(jù)會(huì)把你從王座上拉下來。目前，在所有的主體之中，數(shù)據(jù)控制者對(duì)責(zé)任的認(rèn)知不清，是其中最主要的矛盾，同時(shí)也存在個(gè)人對(duì)自己的權(quán)利維護(hù)不足的問題。

　　4.數(shù)據(jù)保護(hù)的要素

　　我必須重申一下，數(shù)據(jù)保護(hù)不僅是法律，法律條文的確立是最容易的，執(zhí)法比條文確立要重要的多。如果要實(shí)施GDPR，真正按照法律條文執(zhí)行，它的難度之大遠(yuǎn)超出所有人的想象。在今天，數(shù)據(jù)的存在形態(tài)、處理方式、流動(dòng)方式以及由于利益關(guān)系造成的各種障礙，使得執(zhí)法難度非常大。法律是重要的，否則沒有遵循的依據(jù)，但法律條文出臺(tái)后還要執(zhí)法，要有技術(shù)和制度的保證。要保證數(shù)據(jù)不被篡改、不被濫用、不被泄露，需要采用技術(shù)的手段來保護(hù)。關(guān)于技術(shù)主要有兩個(gè)對(duì)應(yīng)：保護(hù)和攻擊。沒有保護(hù)的技術(shù)面臨攻擊，制度和法律再好也是無用的。目前不斷地出現(xiàn)黑客把信息盜走的事件，所以沒有技術(shù)是不行的。

　　5.數(shù)據(jù)保護(hù)的平衡

　　法律在一定范疇之內(nèi)，要遵循，要通過制度落實(shí)執(zhí)法。不僅要有各個(gè)機(jī)構(gòu)的制度，還要有范圍更廣的制度，通過制度，將保護(hù)的要求全面落實(shí)，數(shù)據(jù)保護(hù)是利益平衡的結(jié)果。法律是國家利益的集中代表，不能超然于國家利益之上。所以，法律是利益平衡的結(jié)果，幾乎所有的法律都是利益平衡的結(jié)果。各個(gè)方面都是需要平衡的，責(zé)任、權(quán)利、利要平衡；在利益上，國家、機(jī)構(gòu)和個(gè)人要平衡；在要素上，技術(shù)、制度和法律要平衡。

　　6.數(shù)據(jù)保護(hù)的發(fā)展

　　當(dāng)我們說GDPR是史上最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)法規(guī)時(shí)，實(shí)際上，1995年歐盟通過的DPA，也是當(dāng)時(shí)全世界個(gè)人數(shù)據(jù)保護(hù)最嚴(yán)厲的法令。當(dāng)時(shí)，與其他人在交流澳門大數(shù)據(jù)發(fā)展時(shí)，它的最大優(yōu)勢(shì)是澳門的數(shù)據(jù)保護(hù)是遵循歐盟法律的，它是隨著技術(shù)的發(fā)展、數(shù)據(jù)產(chǎn)生、保管、流動(dòng)、使用的發(fā)展和認(rèn)識(shí)的發(fā)展，處在不停地發(fā)展中，它不是一成不變的，道和魔的發(fā)展永遠(yuǎn)是此消彼漲的過程，在不斷地發(fā)展過程中來提升。

　　以上是我要分享的六個(gè)方面，只是構(gòu)建了一個(gè)基本框架。在數(shù)據(jù)保護(hù)中，除了數(shù)據(jù)不被濫用、不被泄露和不被篡改這三個(gè)基本原則之外，還有兩條最基本的原則：同意和透明。所謂同意是需要數(shù)據(jù)的主體知曉，無論數(shù)據(jù)主體、國家機(jī)構(gòu)，還是個(gè)人，在處置信息時(shí)必須爭(zhēng)得主體的同意。不僅對(duì)于個(gè)人數(shù)據(jù)保護(hù)，其他的數(shù)據(jù)也是相同的，使用數(shù)據(jù)時(shí)，要與企業(yè)或國家立下保密條款。所以，數(shù)據(jù)主體的數(shù)據(jù)無論怎么用、誰用，使用時(shí)都要爭(zhēng)得數(shù)據(jù)主體的同意。所謂透明，是要讓數(shù)據(jù)的目的和處理方式透明化，無論對(duì)于是控制者、處理者還是主體，都是應(yīng)該了解的。

　　以上關(guān)鍵詞構(gòu)成了數(shù)據(jù)保護(hù)最基本的原則框架，要在其中找到平衡點(diǎn)，找到當(dāng)前的發(fā)展階段，找到當(dāng)前的國家利益，那么相應(yīng)的法律和措施會(huì)隨著它的發(fā)展而出現(xiàn)。

　　謝謝大家！

相關(guān)熱詞搜索：數(shù)據(jù)保護(hù)

上一篇：貴州：全國首個(gè)獲批建設(shè)國家技術(shù)標(biāo)準(zhǔn)(貴州大數(shù)據(jù))創(chuàng)新基地 下一篇：你可能沒聽過“智能制造”，但它肯定改變了你的生活