淺談國外大數據立法基本情況和我國立法建議

曹麗

DOI：10.19392/j.cnki.16717341.201720049

摘要：萬物互聯極速擴展的時代，各行各業(yè)對大數據廣泛應用，迫使對數據開放、共享和保護進行立法，適應新的環(huán)境。通過對國外大數據立法的借鑒和參考，對我國數據立法提出建議。

關鍵詞：大數據立法；數據保護；數據共享；借鑒和建議

我們生活在一個萬物互聯極速擴展的時代，面臨著無限的可能性。大數據化、互聯網化、智能化成為人類發(fā)展不可阻擋的趨勢。通過對一定量的數據進行智能、高級分析，精準、高效的預測客戶的需求、洞悉客戶的潛在的意圖，并且能夠從所有業(yè)務相關的數據情境中持續(xù)得到有效的、有關聯的信息。數據分析的重要性體現在各行各業(yè)。通過分析可以使用我們不斷的自我學習、自我調整以及自我演進，更能適應瞬息萬變的社會發(fā)展。我國在大數據立法上基本法缺失，能夠運用到大數據的條文則零星散亂。今年5月1日起施行的《貴陽市政府數據共享開放條例》，是一部走在全國前列的大數據地方性立法。貴陽在大數據法律條例的出臺，對于數據共享開放依法有序進行具有重大現實意義。

一、國外大數據立法情況

國外大數據法律主要是由數據開放、數據保護、數據留存、數據跨境流動等內容組合而成。其中，數據開放法律從源頭處對數據資源的供應進行保障；數據保護法律著重從個人數據保護、企業(yè)商業(yè)秘密、數據利用等角度對數據所有人、權利人、使用人的行為進行規(guī)范，其中確立的八項原則適用于所有的數據；數據留存法律主要是對各行業(yè)重要數據進行留存規(guī)定，目的是保障國家安全、公共安全，以及對警察機構、情報機構進行輔助執(zhí)法；數據跨境流動法律，規(guī)范的方向是“數據流出”，是從國家角度對數據往來進行法律規(guī)范。從適用范圍（法律文本選擇）上看，以英國的大數據為例，英國是一部分是本國法律，另一部分則直接沿用了歐盟法律；從立法方式上看，為應對大數據帶來的新挑戰(zhàn)，英國在大部分沿用已有法律條文的基礎上，對舊法進行啟動了修正，以適應新環(huán)境。

二、相關法律規(guī)定和變化情況（以英國為例）

2000年《信息自由法案》規(guī)定了政府數據開放和公民獲取政府信息的權利。為適應大數據時代的新需求，2013年法案進行了修訂，主要涉及政府對于那些可以再次利用的數據集進行公開，公開的相關標準和許可機制等。

1998年《數據保護法案》是英國數據保護的基石。法案確立的八項基本原則同樣適用于大數據保護，包括，正當合法原則、基于特定目的原則、適當原則、精準原則等。2014年，英國草擬了《歐盟一般性數據保護條例》（EU General Data Protection Regulation），欲用新《條例》取代已經施行了16年之久的《數據保護法案》。新《條例》有不少內容專門為大數據“量身打造”，例如：規(guī)定數據匿名、數據刪除、數據清洗、數據脫敏等，加大企業(yè)數據泄露事故的責任，按照全球營業(yè)額的5%進行罰款。預計新《條例》于2016年通過，英國將在2018年由CIO施行。

2014年《數據留存和調查權法案（修正案）》規(guī)定對通訊數據、身份數據和位置數據進行留存，加大了電信運營商的留存職責，留存時間從之前的3個月拉長為1年。該法修正的主要原因是，歐盟2006年《數據留存法案》（Directive 2006/24/EC）于2014年剛剛被歐洲法院以“違反公民權利”為由正式廢除，歐盟施行了近10年之久的數據留存制度正式走向終結，但在全球范圍極端恐怖主義安全威脅與日俱增的大背景下，數據留存制度是必要的。

2000年的美歐安全港協議是包括英國在內的歐盟與美國在跨境數據傳輸方面的基礎性法律文件。2015年10月歐洲法院宣布安全港協議無效。在法院判決之后，歐盟委員會表示會服從判決，盡快頒布新的更加完善的跨大西洋數據傳輸法律。目前，所有成員國的數據保護局（DPA）和歐盟數據保護督察員（European Data Protection Supervisor）組成了一個獨立的顧問團——第29條款工作組（the Article 29 Working Party）。工作組就美歐數據如何跨境傳送發(fā)表了指導意見，遵循兩條原則：第一，美歐數據傳輸不再適用安全港協議；第二，歐盟標準合同條款（SCC）和歐盟企業(yè)約束規(guī)則（BCR）作為替代，適用一段時間，直到新的跨大西洋數據傳輸法律出臺為止。第三，2016年1月底，如果屆時依然沒能與美方就數據傳輸達成恰當的解決方案，歐盟成員國的數據保護機構將采取必要、適當的行動，包括與美方的聯合執(zhí)法。

三、對我國立法的建議

相比之下，我國現在已進入大數據快速發(fā)展時期，但是，大數據領域存在著數據缺乏共享，數據權利保護不全面，交易不規(guī)范下的無序發(fā)展，部門協調不暢等問題。結合英國經驗，建議如下：

（1）填補法律空白，出臺《數據保護法》（或類似法律）作為我國數據保護的基本法。在基本法中規(guī)定數據保護的主要原則，為參與數據活動的各方主體提供穩(wěn)定的明確的行為規(guī)則指引。

另外，對于數據交易要有明確的法律規(guī)范。數據是有很多屬性和分類規(guī)則，有關個人隱私的數據是需要法律明確禁止的。

數據的產權，是歸屬數據生產者，還是數據的擁有者。也是需要法律進行明確的。

精準性營銷通過分析大量的用戶信息進行營銷方案的策劃，是否違反了用戶的知情權等等，這些都需要通過法律進行明確和規(guī)范。

（2）對現有法律進行修正，在《網絡安全法》（草案）和《反恐法》中加入數據留存、數據本地化等制度，加強運營商、互聯網服務企業(yè)的數據安全責任意識，保障大數據環(huán)境下的網絡安全和國家安全。

（3）考慮出臺專門針對大數據的規(guī)章或規(guī)范性文件，使得參與大數據的各方主體的責任權利義務都能夠明確化，例如，增加數據匿名化、數據二次采集、賦予數據權利主體以刪除權等等內容。

我國還沒有專門的規(guī)范跨境數據傳輸的法律，也尚未加入任何與此有關的國際雙邊、多邊協定，但隨著國際極端恐怖活動的日益猖獗，跨境數據的安全威脅也與日俱增，硬對跨境議題盡早展開立法工作。