对话明税律所于宗洋:飞奔到月球?

近日,明税律所于宗洋接受首席风控合规官专访,原内容发布在喜马拉雅FM频道上,以下为文字版本:

首席风控合规官:哈喽大家好,欢迎大家收听“合规 FM”, 一个法务、风控、合规领域的电台节目。今天我们的主题是“数据安全与欧盟数据法案”。我们邀请到的嘉宾是北京明税律师事务所的于宗洋律师,他也是北京律协科技大数据专业委员会的成员,感谢于律师拨冗接受我们“首席风控合规官”的访谈,希望今天的访谈可以既专业又活泼,深入浅出地为大家解答合规谜题。
去年 2021 年是中国数据合规的元年,正式生效了《中华人民共和国数据安全法》,和《中华人民共和国个人信息保护法》,个人信息权益的保护和个人信息处理的监管都有法可依了。
中国一直在推动“一带一路”建设,而它的两条路线也都通往了欧洲。所以今天我们围绕主题,欧洲的法律对中国企业发展也具有重要的参考价值,需要去研究他们的法规逻辑,包括大家听得比较多的 GDPR 《通用数据保护条例》。
基于近日欧盟又拟出台《数据法案》,希望让欧盟有更多的这个数据可供使用,并解决哪些人可以使用、访问哪些数据的问题,怎么去创造价值的问题等等。于律师您能不能为我们的听众先介绍一下这个法律出台的大背景?
于宗洋:好的。这部法律是欧盟委员会在 2021 年推出来的一个提案,现在正在征询社会意见。首先我们看一下这个大的背景,欧盟最近三年来紧锣密鼓地出台了一系列的关于数字经济的法案,数据则是数字产品和服务的基础。数字经济发展有多快?2018 年全球的数据量是 33ZB,ZB就是泽字节,相当于是十万亿亿字节,2021 年这个数字就已经上升到 44ZB。我们可以做个比喻,在如果大家把这些数据用 512G 的平板保存,摞起来建个塔,这个塔的高度就从地球可以一直通到月球。
到 2023 年,物联网就将成为最有发展前景的一个产业,它的产值预计将会达到数十万亿人民币。目前我们中国的 GDP 是超过一百万亿,单单物联网一个产业就能达到数十万亿,可见是非常可观的。
那我们现在回头说欧盟推出《数据法案》,事实上这是一系列的配套举措。
首席风控合规官:确实欧盟关于数据有一系列的法案,包括《数据战略》、《数字服务法》、《数字市场法》等等,包括我们比较熟悉的 GDPR 。最近拟出台的《数据法案》,在征集意见期间欧美的IT巨头肯定会有反对的声音。能不能请于律师为我们详细介绍一下为什么要出台这样一部法案?
于宗洋:好的,这是有非常有意思的一个问题,因为这里涉及到一个欧盟远景,即“数据驱动社会”的战略,欧盟在 2020 年的 2 月 19 日颁布了欧洲《数据战略》,之后又相继出台了法案,包括《数据治理法案》,这个《数据治理法案》奠定了数据治理的基础,特别是它提到了这个看门人(gatekeeper)即数据中介机构的作用。谈及“数据驱动的社会”,中介机构的作用是不可估量的。一方面中介机构的信任度非常重要,另外一方面它强调数据要加强分享机制,促进跨行业的以及各个成员国之间的数据流动。
此外,还有其他几部法律,比如说 2020 年 12 月 15 日,出台了两部法律法案《数字市场法案》、《数字服务法案》,从市场和服务的两个方面规制了数字经济。
我们今天主要讨论的《数据法案》,推出的原因实际上是由于近年来——包括GDPR实行以来——数据在欧洲经济发展中的价值没有得到充分体现。GDPR的问题是,第一没有明确谁有权来使用和访问;第二则是中小企业在同大企业针对数据分享进行协商或者签订合同的时候,往往处于弱势;第三则是欧盟云和边缘服务切换在技术上还存在障碍;第四是目前整合不同的经济部门数据的能力受到限制。这些就会影响到经济部门,对创新、消费者权利、公共服务的质量,都会有一些不利影响。
正是在这种情况下,欧盟继 2020 年《数据治理法案》出台以后,又准备推出这个《数据法案》,消除企业和政府之间数据反馈的障碍。通过制衡的措施,一方面保护基本权利,另一方面鼓励对数据的开发投资,从而释放欧洲物联网生成数据的价值。
新的规则要明确谁可以使用这些数据来创造价值,创造价值需要满足什么样的条件,从而最终确保数据经济价值分配的公平性;同时还要保证投资数据产品的这些私营部门或个人的合法权益。所以这部法案为消费者和企业创设了一个新的权利,决定他们在物联网上生成的数据可以怎么使用。
首席风控合规官:从一个小白的角度来回顾一下刚刚于律师给我们的这个解答。新的法律其实涉及到几个主体,一个是消费者个人,一个是企业,一个是政府部门。那从消费者个人来说,这个法律希望能够保护我们消费者的个人隐私,但同时又希望这些数据能够创造更大的价值,明确到底哪些主体可以去使用、访问这些数据,去发挥它的经济效益。同时,中小企业和大企业共同在面对数据的时候要确保是公平的,都能够激发数据的经济活力,而不是说只能让大企业去享受数据的红利。同时除了企业能够访问之外,政府也希望能够访问这些数据,并非只掌握在企业手中。这个法律确实出台、生效的话,其实对整个经济、个人、企业、政府都是有好处的。那我想问一下,这个《数据法案》和之前的《数据治理法案》有什么关系呢?
于宗洋:这两部法案是相辅相成的,都是在欧盟委员会数据战略的组成部分。《数据治理法案》的主要内容是规制了公司、个人和公共部门数据共享的一个流程和结构,主要是搭建了一个基础。而《数据法案》它是平衡各利益方的权利义务,并且深化了 GDPR 关于权利的规定。这两部法律相辅相成,目的都是把欧盟打造成为数据驱动社会的领导者。
首席风控合规官:刚刚您也提到了GDPR,其实《数据法案》在出台之前,业内就有一些声音:是不是《数据法案》出来之后,GDPR就受到了限制影响或者说会失效。那具体这个《数据法案》和 GDPR 是怎样的关系呢?
于宗洋:GDPR七大原则、五大原则都仍然是有效的。首先这个《数据法案》完全符合 GDPR 的规则,并且也确实是建立在 GDPR 的规则之上。特别是《数据法案》明确可移植性,竞争服务的提供控制者之间可以移动数据。
产生了数据之后,它就必然有个数据控制者,但是在处理者和控制者之间,如果数据不能够移动,权利就不能得到充分的释放。即使之前已经出现了 GDPR,这些问题也没有最终解决。GDPR的权利规定限于个人信息或个人数据,可移植权还限定在一定的条件下:一个是技术上可行,另外是有法可依,唯有如此才能够进行数据移植。
《数据法案》可以说是在GDPR基础上的进一步的发展,把权利的内容和范围都进行了扩充,从个人数据扩张到了个人和非个人数据,然后对所有的联网产品都适用,强化了联网产品这一权利。可见欧盟这个法律制定有很强的指向性,主要针对数据驱动社会发展,并充分奠定了权利的基础。
首席风控合规官:刚刚您提到了一组有意思的概念是个人数据和非个人数据,能不能再稍微详细地解释一下什么是个人数据?什么是非个人数据?
于宗洋:数据我们说它是一个信息的单元。个人数据往往和个人的身份有关联性,这个当然举例有很多,比如姓名、性别、出生日期、健康状况,银行经济信息或者叫财产信息,包括健康信息,这些都是和你的这个身份是有直接关系的。当然,在我们的社会中也会处理很多和个人身份没有关系的数据,比如说工业设备、互联网设备,精准农业的气候温度等等,这个就是和我们个人身份没有直接关系的那些,也更宽泛。
现在这个《数据法案》中则是不分的,它指向普遍的一个数据,特别是针对物联网产品有关的数据类型。
首席风控合规官:刚刚我们也听到了一个比较抽象的概念,叫做数据的可移植性。我觉得是不是可以这样来理解。比方说我们一个手机的用户,他使用了品牌 A 但是他过了一段时间,又使用了手机品牌 B ,他想把 A 这个手机的数据转移到这个品牌 B 上去,这就是数据可移植了。
于宗洋:你举的例子是非常非常准确的。是这样。
首席风控合规官:《数据法案》推出之后,对于消费者和企业具体会带来哪些好处呢?
于宗洋:企业从两个方面来看。现在有了这种可移植的权利之后,我们说如果你买台汽车,你可以选择与这个保险公司去分享产生的数据。这有什么好处呢?首先,第三方开发公司可以利用这些数据开发出一些针对性的产品。还有,更多的企业可以参与到数据经济中。
另外从我们消费者来说,如果这个数据是可移植的,我有权享有这个数据,日后比如在售后服务阶段,我就可以选择提供更好服务的、有竞争力的、产品价格更优惠的、服务类型更全面的服务商。
这就摆脱了厂家对你的控制。如果是厂家把你的数据给你锁定了,我们没有议价权利,这是一个议价问题。
移植不单单是给用户带来好处,也能让其他的企业可以参与这个数据经济,其他的企业来参与,从某种意义来说可以打破垄断。
首席风控合规官:现在这个法律规定数据移植的时候,数据控制者几天之内必须把数据提供出来,这是很关键的。其实刚刚说这个汽车的数据可以跟保险商打通,这也是很关键的一点,就是它不局限在这个事情本身,它可以往后端走,可以再开发再利用。
于宗洋:那我现在再举个例子,一个初创企业做软件算法开发,这个软件要想实现最优化,他要有一些数据支撑,或者是进行训练,这个特别在人工智能方面就是一个基础。比如对于小型初创企业,没有足够的数据去做这件事情,就只能借助于大公司给他提供的数据库去实现这个事情。所以他可以让大公司签合同。那如果没有这个法律的话,大公司就可能会利用这个训练,通过同一个数据库得到类似的算法,用这个算法去卖产品或者卖服务,这个初创企业就会受到伤害。大公司则通过提前解约解除合同留下算法。《数据法案》是不允许大公司提前解约的,因为这将侵害小企业的数据权。从这里可以看出,这个《数据法案》对利益的平衡保护是个非常有重要意义的举措。
首席风控合规官:小公司它可能有一个新的算法,但是数据总归是在大公司那聚集的比较多。那我在大公司利用你的数据去训练了我的算法之后,如果你突然不愿意把你的数据开放给我,那我这个算法就没有什么意义了,我没有一个数据的基础。但是如果说我们签了这个合同,也就不允许你提前把我踢出去。咱俩这个合同就一直有效,在你的这个数据池子的基础上去训练,我的算法就能够不断地优化,对双方其实都是好事,但是更多的还是保护中小企业的一个权益。其实前面您提到了精准农业这个词,然后提到了农业当中的一些数据,比如说天气、自然,您能够结合精准农业再聊一聊这个法案跟他们会有什么样的关系吗?
于宗洋:物联网是一个核心,通过物联网这种数据分析,确实能给精准农业提供实时的信息,比如通过传感器能搜集到这个天气温度、湿度、地理位置、高度等这些信息,能够帮助农业做出很好的决策,改进产品和产量,还有农业生产的一个规划。
比如农民他在一个农场里面,有设备,还有生产资料,这个种子需要他如何做到优化呢?他需要一些数据,需要用软件来进行处理。最终可以通过软件商提供的数据处理服务来实现通过数据做出决策。
首席风控合规官:所以这个地方就是明确了数据的使用主体,不仅仅是农民本身能够去访问、使用这些数据,也可以由专业的供应商去使用、访问数据,帮他去分析数据,然后去决策、去优化种子肥料等等,来提高农业的生产效率。这是一个非常降本增效的手段。这个法对国外的农民农场是大有裨益的,如果说我们中国能借鉴的话,肯定也有好处。
农村虽然现在数字化、物联网发展的水平可能没有城市那么高,但是我觉得能够规避设备之间的配适问题,可能你城市当中有一些物联网、数字化,但是各个环节之间并不串通。但是在农村这个环境,它虽然是一片空白,但是它就像一张白纸,可以让你更自由地去发挥,可以直接把一个成体系的物联网给它移植进去,然后再进行数据可移植、访问、使用、分析,这样其实对中国整个乡村数字化的发展是非常有益的一件事情。尤其是中国前几个月中央网信办等十个部门印发了一个《数字乡村发展行动计划 2022 -2025》,其中就强调了要做乡村的数字化、数据治理等等。
于宗洋:物联网的发展为农业赋能,会为农业带来非常好的前景。通过数字改造以后,农业的特殊性的问题,都用一个能够解决这个问题的专业软件,去帮助他们提供很好的优化方案,真正提高产量、优化农业效率、增强效益,数字为农业赋能是一个很前景的产业方向。我非常认可你说的这个观点。
首席风控合规官:我们聊了很多《数据法案》对企业和个人的好处。那对于公共部门或者说对于政府而言,具体有哪些好处呢?
于宗洋:公共部门对于数据的需求实际也是很多的。我们在遇到公共紧急情况比如说疫情,公共部门需要由私营部门来提供分享数据。比如说我们微信刷行程码、二维码的时候,这些数据也是给政府部门来进行分析。
这个数据的收集实际是从私营部门提供的,打通了私营和公共部门之间的数据流动的障碍。以后,对这个社会施行公共部门的服务是有好处的。
再一方面,我们在应对紧急情况的时候,需要有机制来保证信息的提供是有法可依的。不过与此同时,也要考虑到对数据提供方造成的不便,所以说《数据法案》规定了在有些情况下是应该免费提供的,在另一些情况下,比如说恢复,数据持有者可以要求补偿。
首席风控合规官:欧盟希望通过《数据法案》和《数据治理法案》打造一个全球领先的数据空间。具体这方面是一个什么样的情况?
于宗洋:《数据法案》是对欧盟的“数据驱动社会”有很好的支持。这个远景是涵盖了很多方面,比如在 2020 年的《数据战略》里面,它就宣布了 10 个战略领域,包括健康农业、制造业、能源移动、通信、金融、公共管理、技能和欧洲开放科技云。还有一个是叫 green deal 或叫绿色新政。这几个方面,都要创造数据空间。
日后还要在媒体和文化遗产这些重要领域建立数据空间,它最终目标就是要在欧盟市场创建一个单一的数据市场,这是欧盟的数据战略的设想,是一个非常宏大的目标。
首席风控合规官:不仅仅是欧洲有一个宏大的数据市场的目标,其实中国也一直致力于数据的资产化和资产的数字化。如果说欧盟有这样一些比较成熟的法律出台,未来中国就能够适当地去借鉴海外的成功经验,结合自己国情加以运用,完善自己的法律法规。
于宗洋:确实你说得非常好,我们看中国的立法,特别是近几年来,《网络安全法》、《数据安全法》、《个人信息保护法》,特别是后两部法律借鉴国外的先进立法做得非常好。但后续我们在具体实施方面还需要下大力气,具体规则方面还要细化,让这些法律更加完善。
首席风控合规官:好的,感谢于律师今天接受我们的采访,希望下次和您聊出更多更有趣的话题。合规请听好,我们下期再会。
访谈日期:2022年4月1日