段巧琴 上海邦信阳中建中汇律师务所 律师
大数据、云平台、区块链等新兴技术,不仅为我们的日常生活带来了移动支付、网络电商等诸多便利,也在更多的商业领域为各企业提供了强有力的助推。然在科技高速发展的同时,也在其身后留下了渐多的法律空白,从近几年为人所关注的个人网络隐私问题的显现并逐步立法,至近期正式生效的《欧洲通用数据保护条例》,皆可视作新技术带来新问题之后在法律层面的“亡羊补牢”。2018年,被称为是工业互联网的风口年,愈来愈多的行业专家预测工业互联网将迎来腾飞的契机。越是在这样一个为人所关注的领域之中,越需要我们关注其存在与发展中所蕴含的法律问题。
本文将关注工业互联网整个技术架构中最基础的环节:工业数据采集。
什么是工业数据采集
工业数据采集并不是一项新技术或者新事物,早在工业自动化起步的阶段,就已经有了工业数据采集的广泛应用。
传统的工业自动化系统,是一个封闭的闭环系统。系统通过传感器采集到的数据,由控制系统对其进行分析,并做出控制决策,然后驱动相应的执行机构(例如电动机、机械臂、车刀等)完成生产步骤。在这个过程中,所有采集的数据,只在一个控制周期或CPU循环中有效,即所有的数据不会做存储,采用的是“即采即用,用完即弃”的方式。所有的数据只在自动化系统/设备中内部流转。
到了工业互联网时代,以往被使用一次即丢弃的数据需要完整的存储起来,这是因为工业互联网的智能制造,依托于对海量工业现场数据的分析所得到的产线内在规律,并以此作为产线调整优化的依据。所以,工业互联网的系统,不再是一个封闭的系统,而是一个以数据为交互基础的开放环境。
在工业互联网的技术架构中,所有工业现场的设备,都是一个个数据源,由其产生的生产数据和运维数据,会持续不断地被存储在本地或者云端,为各类工业智慧化应用提供数据基础。
在过去的20年中,工业自动化技术的得到了极大的普及和应用,然而随着工业自动化系统设备性能物理极限的逐步显现,更深层次的对产线的优化和企业管理的优化,就需要以靠工业互联网的智能制造来实现。所以,越来越多的企业开始正视产线数据化的问题,而这一变化带来的直接结果,就是工业互联网的数据采集应用越来越广泛和普遍。
二
数据采集中的法律问题
工业互联网的数据采集和传统的数据采集从本质上来说截然不同。后者是将自然信息(例如温度、压力等等)的数值通过传感器变换为数字信号,然后送入工业自动化系统/设备中;而前者则是从工业自动化系统/设备中直接获取相关的生产数据和运维数据(生产数据包括传统数据采集获得的传感数据以及其他与生产过程相关的信息,而运维数据则是指和工业自动化系统/设备自身状态有关的信息)。
不难看出,在工业互联网对工业现场进行数据化的过程中,不可避免的会对已有的工业自动化系统/设备进行改造,以使其具备“对外”进行数据交互的能力。而由于牵涉到对这些系统/设备的改造,使得数据采集中的法律问题逐步显现。总体来说,目前在工业互联网数据采集过程中的法律焦点问题主要集中在以下几个方面:
(1)设备/系统的购买方是否有权利获取其购买的设备/系统的数据;
(2)设备/系统的购买方是否有权利对其设备/系统进行改造以获取相应的数据;
(3)如果不购买设备/系统厂商的配套硬件或软件,而是委托第三方进行数据采集的改造是否合法;
(4)第三方对原厂数据通讯协议的破解是否合法。
三
数据的归属权问题
越接触大数据,我们就越担心,它到底是让我们生活变得更好的“阿拉丁神灯”,还是会释放无数危险的“潘多拉魔盒”?但毕竟我们都意识到,自己头顶依然悬着一把法律之剑。
自2012年美国发布《大数据研究和发展倡议》以来,英国、日本、澳大利亚等全球多个国家和地区纷纷出台大数据战略。我国于2015年9月发布《促进大数据发展行动纲要》,正式将发展大数据提升至国家战略层面。全球大数据发展竞争格局正在形成。数据权属是大数据发展的核心问题,对数据权属问题进行综述性的研究是厘清数据权属关系,明晰数据产业发展制度安排和保护数据安全的必要环节,具有重要的现实意义。
对于工业互联网中的数据权属问题可参看大数据背景下对于该问题的研究与讨论,就目前已经达成的共识,在数据权利至少具有财产权属性这一点上是没有争议的,业界的观点主要有以下几种:
一种观点认为,数据的所有权应该属于产生数据的原始个人/企业。数据很大部分就是大量个人/企业信息集合的分析,而其中具有个人/企业特征、已经或者可能直接识别特定个体/企业的数据属于带有专有属性的个人/企业信息,极有可能造成个人/企业信息的泄露和公众对自我信息的不安全感,在信息安全问题方面可能产生难以预计的问题,也极易为违法活动提供温床。因此将权利交于产生数据的个人/企业,才是对数据安全最好的保障。
与之针锋相对的观点则认为,数据的所有权应该属于数据的收集者和开发者,这种观点以保护互联网大数据行业发展为视角,认为因为互联网服务平台对数据的收集、加工才使得数据产生价值;而且,互联网服务平台在搜集、处理数据的过程中投入了大量成本,数据权利归于平台方有利于实现数据的最大价值,促进市场更好发展。
还有一种比较客观中立的观点:为推动大数据的发展,应该允许进行数据加工的企业获得部分权利。例如,对用户数据进行匿名处理后,进行数据加工的企业可以豁免某些相关义务,这就意味着该些企业不必再征得用户的同意,就拥有了对数据的使用权利等等。
但通过这种方式获得权利的同时,其也需要承担相应的义务。还以匿名处理为例,增加的义务应该包括:
(1)要确保数据始终处于匿名状态;
(2)对数据的匿名安全性作出评估,如果数据交易的对象具备对数据复原身份属性的能力,则应当限制此类交易。
(3)在交易协议中,需要通过协议来明确交易各方对于数据安全的责任,尤其约束交易方不得再进行身份识别性的利用。
笔者较倾向于第三种观点,但略有补充。以工业互联网中产生数据的企业为例,企业数据中带有鲜明企业“人格”特征的信息如法人信息、财务报表、经营记录等,按第一种观点理应归属于产生数据的企业无疑,而笔者认为即便经过脱敏、匿名化处理的数据,或者在采集时就未伴随着已经或可能直接识别特定个体的数据一并搜集和保存的数据,也应归属于企业。
再以企业的用能数据(如设备使用过程中产生的能耗数据等)为例,这类数据虽不带有鲜明“人格”特征,但实则暗藏企业生产运营的基础状况,实践中可能有服务商收集此类数据作为参考样本,也可能被用于市场分析领域,从企业的基础数据中分析得出企业的实际产能甚至经营情况,具有极高的商业价值。
因此,笔者认为具有个人/企业特征、已经或者可能直接识别特定个体/企业的数据其所有权归属于原始个人/企业是所有归属的应有之义,而虽不带有鲜明“人格”特征的个人/企业的专有信息,即便经过脱敏或匿名化处理,其所有权仍用归属于个人/企业。
但承如第三种观点所述,产生数据的企业拥有所有权,但可让渡其中一部分权利,例如使用数据的权利等,将该部分权利允许进行数据加工的企业获得,这既认可了数据加工企业对于数据的创造价值,同时也推动了大数据的发展。
四
对于数据保护的思考
大数据时代无疑为数据的发展提供了市场沃土,并为其创造了更大的价值创新空间。而对于数据产权的界定和保护则是数据得以可持续发展的重要前提,如何通过挖掘数据在企业中的价值并逐步立法、如何发挥数据本身所具有的特点开发其所蕴含的无数创新可能,这可能是需要探寻并逐步形成体系的。
近几年随着人所关注的个人信息泄露问题的显现,我国首次将公民个人信息权作为独立人格权写入《民法总则》,但与欧美国家相比,我们在个人信息的立法上仍然滞后,在数据保护问题方面更是无法可依,我们急需出台相关的保护制度及交易体系,为数据在实践中的的良性运作提供法律上的保障。
欧盟拥有较为完善的数据保护框架,包括一系列的指令、协议、条例等,其中最重要的是 1995 年通过的数据保护指令(“ 95 指令”),为欧盟成员国立法保护个人数据设立了最低标准。但是新技术的冲击、95 指令在各成员国内的不协调性及程序的复杂化,都使得欧盟现存的法律难以应对不断出现的安全风险,所以《通用数据保护条例》(GeneralDataProtectionRegulation,GDPR)应运而生。
GDPR 已于 2018 年 5月 25 日起正式实施。其中所涉及到的关于数据的概念及相关的创设理念,值得我们思考。
GDPR第一条开宗明义指出:不能以保护个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止。可见其完全秉承了1995数据保护指令的二元立法目标:保护个人权利并促进个人数据的流动。在很大程度上欧盟的立法者们充分关注到了数据主体享有的并不是绝对权利,有关数据的权利应当与其他权利及正当利益之间形成恰当的平衡关系,为此,GDPR精心设计了大量的但书、克减条款,对例外情形作出补充,对权利作出适当限制,对义务、责任予以适当豁免。
纵观全球已进入“数据驱动”的时代,数据流动创造价值。但在数据流动创造价值的同时也带来更多的风险,信息的过度收集、滥用给数据主体的隐私、企业信息的安全带来巨大的挑战。如何在立法中体现平衡兼顾,如何通过制度创新,在用户个人权利和其他正当权益之间形成更为科学、合理的配置,是治理数据的重要课题。
五
结语
随着工业4.0时代的到来,我国已经提出了“中国制造2025”的伟大远景。在这样一个大环境下,各政府相关部门会同各制造产业,正为实现这一目标投入满腹热情。然而,相关企业或者产业联盟的视角大多还仅仅聚焦在诸如工业互联网行业标准、产品规划等纯技术领域,对于法律层面对智能制造的相关作用,并没有开展针对性的研究,而相关政府部门虽已意识到要促成一个大的产业目标的实现,技术和法律理应相辅相成,但目前尚未有相关法律层面对于数据相关问题进行定义或界定以及给予怎样的保护。
还处于萌芽状态的工业互联网行业,何去何从?是先放水养鱼,让行业发展和数据应用游走于现行法律法规的边缘;还是尽快修改和出台法律法规,尽可能与技术发展相匹配?在这个过程里,我们还有太多的法律问题需要思考。
参考书目:
1、俞立平,大数据与大数据经济学【J】,中国软科学,2013.(7)。
2、李昊,大数据安全与隐私保护【J】,计算机学报,2014(1)。
3、王融,关于大数据交易核心的法律问题——数据所有权的探讨,大数据2015.02。
4、浅析大数据时代数据所有权归属问题,法制博览2016.10。
5、涂燕辉,大数据的法律确权研究, 《佛山科学技术学院学报(社会科学版)》 ,2016,34。
6、数据权属国内外研究评论与发展动态分析,现代情报2017年7期。
7、王融,大数据时代:数据保护与流动规则,人民邮电出版社,2017.3。
8、杨张博,大数据交易中的数据所有权研究,情报理论与实践,2017.12。
【本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。本文系邦信阳中建中汇律师原创文章,转载请完整注明作者信息及出处。】
