全球数据开放战略路线图

张墨南的大数据重新定义了大国游戏空。世界主要国家早已认识到大数据对其国家的战略意义,相信谁拥有数据的主动权和控制权谁就能赢得未来。

西方主要国家通过一系列全面的大数据规划行动,将大数据作为争夺数据主权的重要途径和突破口。

一、世界主要国家促进数据开放的行动计划美国政府是第一个对大数据革命做出战略回应的国家。

2009年,美国联邦政府发布了开放政府指令,启动“数据政府”公共数据开放网站,作为大数据的前奏。

2012年3月,美国联邦政府发布大数据研发计划,正式启动“大数据开发计划”,并宣布将投资2亿多美元进行大数据研究。同年5月,联邦政府发布了数字政府战略(DigitalGovernmentStrategy),致力于向公众提供更好的“数字”服务。围绕数据的一系列措施在美国政府得到全面推广,大数据对美国政府的影响逐渐显现。

2013年5月9日,奥巴马总统签署了第13642号总统行政命令,为联邦大数据的管理设定了新的指导方针,提议在保护隐私、安全和保密的同时,政府应将数据的公开性和可读性纳入其义务范围。

2014年5月1日,美国总统办公室向奥巴马提交了一份题为“大数据:抓住机遇,捍卫价值”的报告,详细阐述了大数据带来的机遇和挑战。

根据该报告,大数据技术为美国经济、人民健康和教育、能源效率和包括信息安全在内的国家安全提供了难得的机遇。

同时,报告还指出,大数据给美国的隐私保护、信息安全和社会发展带来了新的挑战。

在这些战略框架中,基本上考虑了大数据对现有法律体系的挑战和相应的对策。

欧盟特别在2014年发布了数据驱动的经济战略,为欧盟恢复经济增长和扩大就业做出了巨大贡献。

欧盟的大数据活动主要涉及两个方面:(1)数据价值链战略规划研究;(2)支持“大数据”和“开放数据”领域的研究和创新活动。

2010年3月,欧盟委员会宣布了其2020年战略,认为数据是最佳创新资源,开放数据将成为新就业和经济增长的重要工具。2011年11月,欧盟数字议程(EU Digital Agenda)通过了欧盟通信委员会关于开放数据:创新、增长和透明治理的引擎的报告,并开始推进开放数据战略,该战略从三个方面对原有的法律和政策进行了修订和补充:(1)建立适合信息重用的法律框架,并决定修订公共部门信息重用指令。

(2)利用金融工具支持开放数据和行动的部署,作为欧洲经济数据门户的建立。

(3)促进成员国之间的协调和经验交流,并为开放数据和共享提供平台。

计划在2012年春季建立一个欧洲开放数据门户,为欧盟委员会和其他欧盟机构提供数据访问。泛欧数据门户将于2013年春季建立,从2011年起允许所有欧盟成员国访问数据,确保公众可以自由访问这些创新资源。

2012年10月,欧盟委员会提出了云计算发展战略和三项关键行动建议。三个关键行动是:(1)标准化和简化的云计算标准;(2)云计算安全和公平的合同条款;(3)建立欧盟云计算伙伴关系,推动创新和增长。

其他具体行动包括:数据保护、网络安全、信任措施、云计算互操作性、宽带部署、在线服务、公共部门参与云计算以及国际对话与合作等。

欧盟的这些战略安排已经成为欧盟及其成员国数据立法的基本路线图。

第二,各国应加快与数据开放相关的立法进程。作为提取、存储、处理和利用海量数据的主体,各国有义务在“大数据”时代尽可能开放其数据,以便于挖掘其在经济、科学研究和个人等主要领域的价值。

在美国,1997年,根据《信息自由法》的要求,建立了FedStats.gov网站,公布联邦政府的全面统计数据,包括经济数据、人口趋势数据、教育数据、公共卫生数据等。2006年,根据《联邦基金问责和透明法》,USAspending.gov建立了一个网站,公布政府支出信息,并告诉公众政府如何使用他们缴纳的税款。2009年2月,根据《美国复苏和再投资法案》,建立了一个Recovery.gov网站,披露2009年美国政府经济刺激计划资金使用情况的数据。

2013年5月,奥巴马签署了第13642号总统行政命令,为联邦大数据管理制定了新的指导方针,提议在保护隐私、安全和保密的同时,政府应将数据的开放性和可读性纳入其义务范围。

自2015年以来,美国第114届国会正在讨论修订信息自由法的法案S.337和H.R.653,主要是为了增加公众对数据的访问。

国会和学术界讨论的要点包括:提高政府记录的电子可及性,明确要求政府部门内部和部门之间提供备忘录和信函等相关信息的权利,统一政府部门搜索和复制文件的收费标准,要求政府部门有义务通知被驳回的申请人办理复议手续。

关于数据公开,欧盟于2003年发布了公共部门信息再利用指令(2003/98/EG),并于2006年通过了关于信息再利用的决议(2006/291/EC)。

德国于2006年12月13日颁布了《信息重用法》(IWG)。然而,由于大多数成员国仍处于信息披露的初始立法阶段,社会和个人对数据的需求不如现在强烈,该指令和德国的转换立法在实践中几乎没有什么效果。

2011年11月,欧盟在其促进数据公开的战略中明确提议修订第2003/98/EG号指令和第2006/291/EC号决议。

立法和学术讨论的要点包括:来自公共部门的所有文件都可以用于任何目的(商业或非商业),除非受到第三方版权的保护;除非有正当理由,大多数公共部门数据将免费或收取最低费用;强制要求提供通用机器可读格式的数据,以确保数据的有效重用;引入监督机制,确保原则的实施;数据开放的范围将涵盖更广泛的组织,包括图书馆、博物馆、档案馆等。

2013年,欧盟通过第2013/37/EU号指令修订了第2003/98/EG号指令。

德国于2014年9月17日宣布了“数字管理2020”计划,以实施欧盟2013年指令,并履行其于2013年加入的八国集团开放数据宪章(G8 Open Data Charter)的承诺。

从德国立法和学术讨论来看,该国的数据开放分为两个步骤:第一,执行《联邦信息自由法》的规定,继续消除公民获取国家信息的法律障碍。研究内容包括信息公开的宪法基础(民主原则、法治原则、基本权利保护)、公共行政范式的变化(透明、合作和参与)、行政法论文审查权、信息公开请求权和信息公开例外(国家秘密、商业秘密、个人信息保护等)。)。

第二是实现如何重用从公共机构获得的数据。

德国需要根据欧盟2013年指令修订2006年颁布的《信息重用法》(IWG)。该法案的修正案草案已于2015年2月11日公布。

目前,讨论的重点是:数据重用立法的适用范围、请求重用的权利、行政机构提供信息的具体要求(格式、无纸、截止日期、成本等)。)、权利救济、与信息披露法的关系以及与电子政务法的关系。

此外,一些学者还详细讨论了特定数据类型的重用,如地理数据。

三、国家加强以大数据为核心的数据安全体系建设给社会、经济、行政等行业带来了根本性变化,也对数据传输和存储的安全性提出了更高的要求。

美国政府在20世纪90年代末开始关注来自网络空的威胁,并逐渐制定了成熟的网络安全策略。布什政府于2003年2月发布了国家网络空安全战略,奥巴马政府于2011年5月发布了国际网络空战略。最近美国网络安全立法的重要内容是确认和实施这些战略思想。

迄今为止,美国有50多部直接或间接与网络安全相关的联邦法律。其中之一是2002年联邦信息安全管理法,这是一项专门涉及信息安全的综合立法。

自美国第111届国会以来,已经提出并讨论了一些特别全面的立法法案。

2013年2月,奥巴马政府发布了第13636号行政命令(第13636号行政命令)和第21号总统政策指示(PPD-21),以确保该命令的顺利执行。该行政命令旨在通过政府机构和私营部门之间的合作解决私钥基础设施保护问题,要求国土安全部制定和促进多项保护密钥基础设施和信息共享的计划,并要求国家标准和技术研究所(NIST)负责制定网络安全技术标准。

2014年12月,美国国会通过了四项法案,以加强美国抵御网络攻击的能力。

首先,2014年《联邦信息安全管理法》(第2521条)更新了2002年《联邦信息安全管理法》。它将建立对联邦计算机网络的实时和自动监控,减少安全审查过程中所需的文书工作,并明确界定保护联邦计算机网络安全的机构的角色。

第二项是2013年边境巡逻薪资改革法案(S.1691),该法案授权美国国土安全部和国防部以相同的速度和可比的工资聘用网络专家。

第三,2014年《国家网络安全保护法》(第2519节)将明确国土安全部国家网络安全和通信整合中心(NCCIC)在私营部门和联邦机构之间共享网络安全信息方面的作用,为未来的网络安全信息共享立法(包括私营部门的责任保护)奠定基础。

第四项是《网络安全工作力量评估法案》(h.r. 2952),该法案要求美国国土安全部评估其网络安全人员,并制定计划加强其抵御网络攻击的能力。

自2015年以来,美国第114届国会一直关注网络安全信息共享,旨在共享网络安全漏洞信息,以帮助企业和联邦政府更好地应对日益增长的数据泄露威胁。五项法案正在讨论中(第234号、第1560号、第1731号、第456号和第754号)。

欧洲联盟在2001年[通讯(2001)298中提出了一项关于“网络和信息安全”(NIS)的政策建议。

最新的“欧洲数字进程(2010-2020)”进一步凸显了在安全保护方面的共识,强调NIS不仅是使用信息和通信技术(包括大数据)的必要条件,也是实现欧盟“智能增长”目标的重要基础。

为此,“数字进程”以特别章节的形式强调了关键信息和通信基础设施中信任和安全的重要性。应当在四个主要领域做出努力:预防、对抗、应急和有效协调。

欧盟最新立法趋势是欧盟委员会与欧盟高级外交和安全政策代表于2013年2月7日联合发布的新一轮网络安全战略,即[通讯(2013)48号《关于确保高层次公共网络和信息安全措施的指令》(以下简称《信息安全指令》)的提案。

德国在这一领域的领军人物是明斯克大学公法教授霍兹纳格教授和他的弟子松塔格博士,他们在2000年的研究为联邦德国未来的一系列政策和法律奠定了坚实的理论基础。

最重要的立法成就是2009年颁布的信息和通信安全法以及2014年12月公布的最新修订草案,预计议会将于2015年通过该草案。

德国的目标是创建世界上最安全的新网络安全法。修订草案不仅从宏观角度确立了安全保护目标和原则,还具体涵盖了四类主题及其具体的安全保护义务,包括关键基础设施运营者的范围、报告义务和统一的最低安全标准。电信运营商的报告、用户通知和加强最低安全标准的义务;网络信息服务提供商的安全义务;网络信息安全专项监管部门的职权。

与这一主题相关的学术研究也围绕这些新法规展开,例如讨论严重违反信息技术系统的标准、什么是网络和信息安全事件、哪些电信公司有报告义务、它们在多大程度上被认为存在系统故障,以及安全保护和个人信息保护之间的关系。

从这些讨论中可以大致看出,德国在这里的研究目的主要是为了消除正式法律层面法律条款的模糊性,以满足法律稳定的要求。

4.世界主要国家都非常重视数据隐私问题。大数据技术正在改变个人信息的收集和使用方式。

云计算让个人信息远离个人终端,用户对于个人信息的控制能力大大降低,个人甚至并不清楚其个人数据的存储位置;移动互联网更让信息收集变得无处不在,且所收集的信息高度个人化,比如通讯录、照片、邮件、APP应用的使用信息等;大数据也大大刺激了企业收集信息的动机,企业不仅收集实现业务目的所必需的信息,也会收集无关的信息,突破了传统个人信息保护法的收集信息限制和必要原则;大数据技术使得大量数据以很低的成本被关联和聚合,大大增强了人们将匿名化和非识别性个人信息转化为个人信息的能力,模糊了传统个人信息保护法通过非识别性划定的个人信息与非个人信息的边界。云计算让个人信息远离个人终端。用户对个人信息的控制大大减少,个人甚至不知道他们的个人数据存储在哪里。移动互联网使信息收集无处不在,收集的信息高度个性化,如通讯录、照片、邮件、应用程序使用信息等。大数据也极大地刺激了企业收集信息的动机。企业不仅收集业务所需的信息,还收集无关信息,突破了传统个人信息保护法的限制和必要原则。大数据技术(Big data technology)使得大量数据能够以非常低的成本进行关联和聚合,极大地增强了人们将匿名和非身份个人信息转化为个人信息的能力,模糊了传统个人信息保护法中由非身份所划定的个人信息和非个人信息之间的界限。

这给信息隐私和个人信息保护带来了巨大挑战。各国已开始积极反思现有的信息隐私立法,以便在保护公民个人权利和促进技术发展之间寻求新的平衡。

2012年2月,白宫在一份关于消费者隐私保护的报告中提出了消费者隐私法案。

该提案包括个人控制、透明度、尊重情况、安全、注重收集、责任等原则。

2012年3月,美国联邦公平交易委员会(FTC)发布了一份关于快速变化时代消费者隐私保护的报告,提出了三大原则,其重要内容概括如下:(1)从设计开始的隐私保护将在产品制造的各个阶段实施;(2)为企业和消费者提供简化的选择;(3)更加透明:使信息收集和使用的做法透明。

在这两项提案中,官方解释认为,在符合消费者最初披露数据的情况下,一些企业可以在没有获得消费者同意的情况下收集和使用个人数据。

2014年5月,白宫发布了大数据:抓住机遇,坚持价值报告。

报告指出,大数据分析的潜力将逐渐侵蚀我们长期以来在保护公民权利方面形成的价值基石。

然而,面对挑战,应该扩大而不是压缩人与数据之间的关系,以便抓住这一历史性机遇。

一方面,大数据技术可以提高政府的监控能力,增强企业的市场洞察力,但大数据本身也有潜力解决信任、隐私和公民权利保护等问题。

如果使用得当,大数据将成为推动社会进步的历史助推器。

可以看出,美国一直在鼓励大数据产业的发展,探索市场经济中技术发展与信息隐私保护之间的平衡,不会轻易让隐私问题成为产业发展的障碍。

当然,也可以看出,美国大数据时代的信息隐私保护仍处于探索阶段,尚未形成明确的立法框架。

大数据时代对欧盟强调基于个人权利和个人尊严的个人信息控制的个人数据保护法提出了巨大挑战。

欧洲的个人数据保护法始于二战后的德国。德国在1970年代开始颁布相关立法,以避免纳粹悲剧重演,即监督人民。1970年,德国黑森州制定了世界上第一部个人数据保护法,1977年,德意志联邦共和国通过了适用于所有地区的个人数据保护法。

1983年,德国联邦宪法法院通过了“人口普查”,并从一般人格权和人的尊严条款中扩大了“信息自决权”,这影响了迄今为止这一领域的所有立法和法律实践。

欧盟1995年通过的关于保护个人数据处理人员和此类数据自由流动的第95/46/EC号指令(95/46/EC)也以德国信息自决权为理论基础,强调个人对其信息拥有全面控制权,从而确立了通知、同意、特定目的、获取、安全等原则。

面对大数据时代个人信息保护的严峻挑战,欧盟于2012年1月提出了一项关于正在进行的个人保护和此类数据自由流动的条例草案(总则),旨在取代1995年欧盟关于个人数据保护的指令和2002年关于隐私和电子通信的指令(2002/58/EC),并制定更严格的个人数据控制条例。它主要包括加强数据主体的同意、数据主体的控制和获取个人数据的权利、规定新的被遗忘和删除的权利、携带数据的权利、反对基于分析的措施的权利等。

欧盟加强个人数据保护的立法框架,如之前的分析,实际上很难适应大数据时代的新要求。

例如,德国学术界就欧盟一般数据保护条例和联邦个人数据保护法展开了全面讨论。在思考如何更有效地保护个人数据及其背后的个人利益的同时,也在思考原始系统设计是否仍然符合大数据背景。

主要讨论内容总结如下:在宪法层面,原始防御法下的信息自决权(作为一种一般人格权)是否仍然适用于大数据时代?由于数据保护法完全基于信息自决权的宪法基础,其具体原则、保护计划、权利和义务都受其影响。特别是,为了使个人能够“独立决定何时以及在什么边界开放个人生活事务”,数据保护法设计了公民同意每个个人数据处理行为的原则、目的限制原则、数据处理必要性原则、数据回避原则、透明度原则以及保护相对人参与和纠正数据处理的权利。

然而,大数据要求受试者拥有尽可能多的数据,收集数据的目的不明确。其原理是研究和开发一个基于海量数据的挖掘方案,并依靠复杂的数据分析技术来获得预期甚至意想不到的结果。

这种“先占有后挖掘”的“大数据”操作违背了传统的个人信息保护法(特别是目的约束和数据回避原则)。坚持传统肯定会阻碍“大数据”的发展,同时忽视个人信息保护会牺牲公民基本权利的事实。如何更新对信息自主性的认识,改革数据保护法,使二者达到平衡,是该领域的首要任务。

发表评论