罗杰·克里默斯：数据权利的保护与再分配应该并重 - 第九期

罗杰·克里默斯：数据权利的保护与再分配应该并重

2020年7月，欧洲议会智库发布研究报告——《欧洲的数字主权》，阐述了欧盟提出数字主权的背景和加强欧盟在数字领域战略自主权的新政方针。欧盟数字主权涉及大数据、人工智能、5G、物联网、云计算等内容，由于大数据不仅关涉个人隐私，同时也是人工智能、5G、物联网以及云计算的基础，因此数字主权的核心实际上是数据主权。

数据主权是指网络空间中的国家主权，体现了国家作为控制数据权的主体地位。荷兰莱顿大学中国研究助理教授罗杰·克里默斯（Rogier Creemers）在接受《北大金融评论》专访时表示，在某些情况下，个人信息与国家安全之间的联系是显而易见的；而在另外一些情况中，人们可能最初认为一些个人信息无关紧要，但事实上它们却发挥了重要作用或者导致了严重的后果。鉴于个人信息与国家安全可能在方方面面都有着重要的关联，许多政府都会选择更严格安全地控制它。

《北大金融评论》：自欧盟的《一般数据保护条例（GDPR）》生效以来，欧洲范围内建立起了一套在隐私管理、个人信息安全保护和数据流动之间的复合机制。GDPR之后，越来越多的国家开始聚焦自身隐私安全问题，中国也不例外。目前中国陆续出台了一些隐私保护政策，根据您的观察，隐私保护的“中国方案”该如何完善？

罗杰·克里默斯：事实上，人们越来越意识到，数据和隐私保护已经成为了全球性的事件。欧盟委员会不仅出台了GDPR和欧盟消费者保护法规，还发布了两项新的立法倡议：数字市场法案（DMA）和数字服务法案（DSA），数据保护作为重要内容被纳入其中。与此同时，中国也加快了数据保护立法的步伐，这在我们的预料之中。

在中国的个人信息保护法中，立法者在以下方面有所突破：一是增加了个人对其数据的控制权；二是寻求遏制恶意滥用数据的行为，如电信欺诈或黑客勒索；三是规范了基于数据的商业模式；四是确保政府部门在数据保护方面可以履行其职责。但是，这部法律规定了数据保护的原则、目标和任务，却几乎没有细节。要全面评估这些措施的影响，还需要等待具体实施办法的出台。在这方面，国家互联网信息办公室将发挥关键作用。

今年8月初，中国网信办发布了关于下架“滴滴出行”App的通报。在这里，数据的使用不是为了实现一种“监控资本主义”式的商业模式，而是为了让网约车平台去监督和改进自身的数据使用行为。即便如此，现在很多公司面临着越来越多的监管负担，特别是在个人信息的使用和跨境流动方面，监管负担尤其沉重。所以说，当我们去处理基于数据的商业模式时，就会有一个很大的适应性问题。尽管可能有人会说，如果不能在不损害相当一部分用户基础的情况下建立一种商业模式，这个商业模式就不应该存在。但如果问题涉及到个人数据保护，或许我们的思考方式应该有所改变。

《北大金融评论》：根据IDC预测，到2025年，中国将拥有全球约三分之一的数据，比美国多60%。近年来，中国集中出台数据政策，“数据本地化”步伐不断加快。您认为这将如何影响未来的全球数据市场？

罗杰·克里默斯：这取决于数据市场是什么。从自然语言分析到交通流量，从能源使用到消费者行为，大数据分析的前景在于，它能为多个领域的问题提供更有效的解决方案。然而，在一些领域，情况可能并非如此：例如，专业人士对美国大选进行了数十年的大数据分析，仍未能充分捕捉到选民的投票偏好和政策的复杂性；广告方面也是如此。

当前，数据本地化主要关注个人信息的本地化。大数据分析完全有能力去处理大型的、匿名的或不被识别的数据集。然而，还有一种情况是数据和信息不一定能很好地传播。例如，目前你有一个擅长中文识别的人工智能系统，但它在西班牙语、英语或阿拉伯语环境中就不一定也能很好地工作了。因此，对大数据市场的影响研究只能在个案的基础上加以考虑。

《北大金融评论》：苹果、微软等公司与美国政府之间的隐私纠纷一直是人们关注的焦点。例如，《美国爱国者法案》要求微软在欧洲或其他地方存储、处理或拥有的任何数据，包括电子邮件、网络应用程序和档案存储，都必须经过美国政府的检查。在中国，个人信息是国家安全的一部分，企业随意使用个人信息是不被允许的。您如何看待“数据主权”的概念？个人信息应该与国家安全相关吗？

罗杰·克里默斯：关于个人数据是否应该与国家安全相关，我认为个人的观点是无关紧要的，因为政府已经做出了决策。在某些情况下，个人信息与国家安全之间的联系是显而易见的：例如，2015年7月，美国联邦人事管理局（OPM）公开承认曾遭到两次黑客入侵攻击，攻击造成现任和退休联邦雇员超过2210 万相关个人信息和560 万指纹数据遭到泄露。在这里，个人信息的确与国家安全相关。

然而，在其他一些情况下，我们可能最初认为一些个人信息无关紧要，但事实上它们却发挥了重要作用或者导致了严重的后果。例如，我们惊讶于2016 年美国总统大选期间个人信息所发挥的重要作用，以及健身应用Strava能够识别美国机密军事设施等等。鉴于个人信息与国家安全可能在方方面面都有着重要的关联，许多政府都会选择更严格安全地控制它。

《北大金融评论》：欧盟在其成员国或贸易伙伴之间有一个反对“数据主权论”的原则。例如，欧盟正在考虑限制德国制定的数据本地化相关法律。如果中国加强与其他国家的自由贸易协定，数据本地化是否也会成为一个反向趋势？

罗杰·克里默斯：在数据方面，欧盟有点“双头鸟”的意思。它希望在外部拥有数据主权（我们可以通过GDPR清楚地看到这一点），但在内部又是一个自由的数据市场。我不确定这种非常特殊的情况能否在全球范围内行得通。无论如何，我认为与数据相关的条款在未来会成为自由贸易协定（再）谈判的一部分。但与此同时，也将会面临重大的阻力。

在过去十年左右的时间里，自由贸易在全球公众舆论中已经变得不那么流行了，对进一步贸易自由化的支持也越来越少。此外，货物贸易（将货物装箱并运送到国外）总是比服务贸易（这可能需要移民、相互认证等）更容易。数据贸易在政治上更加敏感，这使得数据保护条款很有可能成为达成自由贸易协定的一大障碍。届时，谈判方可能会将其排除在外。

《北大金融评论》：如果发生跨国间的法律纠纷，目前各国的“数据主权观”是否会影响法律诉讼主体间的数据披露？国家或者国际层面的个人数据交换规则将会发生怎样的变化？

罗杰·克里默斯：这个疑问我也同样有。我们看到，中国的立法对向外国司法和执法机构提供数据有着明确的规定，但只有在法律条例正式实施后，我们才知道具体如何实施。国际层面的个人数据交换规则亦是如此，如果它已经成为了国际外交关系中的核心问题，那么各国将有动力寻找结构性解决方案，或根据具体情况处理问题。