邱实 牟承晋:印度数据治理方法分析与启示 - 昆仑策
-
邱实 牟承晋:印度数据治理方法分析与启示
2021-03-11
网信空间的数据治理,是全球性面临的前所未有的问题。鉴于“数据”涉及到人类社会发展的方方面面,使得目前“治理”的目标和目的、方式和过程,因国家和地区而差异,因地缘政治和价值观而争议。最近,印度政府提出“非个人数据”治理框架,尚属全球首创,值得关注和探讨。网信空间的数据治理,不仅直接涉及国家主权和安全,而且密切关系经济、社会发展和个人隐私。近年来,虽然联合国以及世界性机构和组织举办各种论坛和专题研究以探讨数据治理问题,但是对争议的焦点仍缺乏共识,尤其是对数据主权(所有权)及其边界的认定与管理。事实上,网信空间的数据治理并不是孤立的。其主要的影响因素包括:历史起点,发展过程和现实状况。然而,对数据治理,不同的国家(和地区),必然存在不同的背景、不同的诉求和不同的掌控尺度。● 美国,2010年发布政令,实施“受控非涉密信息”(简称CUI)的管理;2020年公布《数据战略》,强调“数据作为武器系统”;治理的思路从数据主权(我的是我的),演进到数据霸权(你的也是我的)。
● 欧盟,2018年5月25日生效的“通用数据保护条例”(简称GDPR),侧重于个人隐私保护。但是,其过程中包括“安全港”原则(Safe Harbor,2000年)和“隐私盾”框架(Privacy Shield,2016年),所涉及的具体的数据主权问题,由其成员国各自另立规则。● 俄罗斯,2019年11月完成“主权互联网”立法。近10年中,在关键行业和领域陆续替换国外产品和数据服务以及对国家顶级域名“.RU”的内循环控制,经过多次国内国际数据流量比例优化和“断网”测试,使其境内数据流量和所必需跨境的数据流量分布更加合理化。● 印度,2020年12月发布“非个人数据”治理框架,重点在于明确数据主权以及对跨境数据的约束和管理。但其在2019 年12月就推出了《个人数据保护法案》,以及规定对在境内产生的数据本地化(采集、存储和应用)。
我国作为世界互联网(Internet)大国,同样面临着数据治理的难题和挑战。坚持总体国家安全观,数据治理首先亟须解决的是自上而下的“供应链安全”问题:指挥与指导,立法与执法,政令与监管,评估与响应,提高与发展。在参考和借鉴他国数据治理的经验和方法的同时,立足于具有中国特色网络强国的“数据治理”自主模式及可控方法。印度政府关于“非个人数据”与“个人数据”的分类,即是基于其国情,差分了国家安全与国民安全,尚属全球首创,值得关注和探讨。
二、印度“非个人数据”治理框架的基本背景
印度电子与信息技术部(MEIT)任命的一个专家委员会,在经过仔细研讨后,2020年12月16日发布了关于“非个人数据”(简称NPD)治理框架的报告(以下简称“框架报告”)。其中建议,建立国家法定的监管机构,即“非个人数据管理局”(简称NPDA),以确立国家、公民和团体在印度收集和创建的非个人数据的权利。基于安全和发展,该“非个人数据”治理框架的既定目标是:1)通过处理和使用数据,创造经济、社会和公共价值;
这并不是印度第一次试图将“非个人数据”引入数据治理框架。2019年12月在印度议会推出的《个人数据保护法案》(简称PDP法案),授权强制性共享非个人或匿名的个人数据,“以便中央政府能够更好地确定提供服务的目标,或作为制定政策的参考依据”。虽然这不是一个新的决策,但是印度政府重新关注“非个人数据”的行动值得注意,如果拟议的框架获得通过,印度可能成为全球为非个人数据治理建立总体框架的第一个国家。随着数字化的快速发展,管理跨境数据的收集、控制和转移所产生的日益复杂问题,已成为各国政府最关心的问题。到目前为止,印度政府专注于解决隐私相关的问题,包括个人数据的收集、存储、处理和传输,以及强制执行个人数据的本地化。在“框架报告”中,对数据共享的关注也凸显印度政府在数据治理工作方面的重大转变。《个人数据保护法案》规定“敏感个人数据”在印度境内存储,并概括“敏感个人数据”在印度境外传输的条件。该法案还明确,印度政府有权将任何数据归类为“关键个人数据”,并强制仅在印度境内存储和处理这些数据。对(关键和敏感)个人数据的关联数据集使用本地化,突出了印度政府运用其权利和职能建立或扩大对跨境数据流的裁量权。同样,针对“关键商业数据”或“公共服务提供者”所定制的本地化措施,以及对数据流划定国界,是解决安全问题的一种手段。与《个人数据保护法案》注重的权利保护有所不同,“非个人数据”治理框架运用经济和社会“数据的价值生成能力”,作为对数据进行控制的理由。该专家委员会建议,基于数据作为可拥有和可提炼的资源,公众访问专用数据,使印度公民和团体能够创造社会、公共和经济价值。“非个人数据”治理框架的另一个显著特点是,为具有战略价值的数据提供有针对性的获取条件和保障标准。鉴于“非个人数据”治理框架试图获取更多数据,而《个人数据保护法案》则侧重限制对个人数据的收集和使用。故而,印度政府在未来将如何协调这两项条例的不同方法和不同目标,须拭目以待。
三、要点:“非个人数据”的定义、作用、义务以及数据共享机制
“非个人数据”被定义为:除个人数据以外的任何数据。但是该专家委员会根据”非个人数据“的产生方式,区分类型,以缩小”非个人数据“的定义范围:1)与个人相关的数据,但已不属于个人的数据,是匿名和聚合的数据;2)与个人无关的数据,如工业数据、基础设施传感器数据,或气象数据。
数据监管人。任何从事于数据收集、存储、处理和使用的政府部门或民营企业,以及受客户委托处理数据的公司(即数据处理者),都被认定是数据监管人,负有数据共享义务。但是,受数据监管人委托的数据处理者(如云服务提供商),免于共享“非个人数据”。数据行业。符合监管机构定义的具体数据收集范畴的数据监管人或数据处理者,被归类为数据行业。数据收集范畴基于确定的参数,例如总收入,所处理的消费者数量、家庭数量、设备数量,来自消费者信息的收入百分比等。所有数据行业都必须在印度注册,并且必须披露有关其收集、存储和处理的元数据,并呈报和录入将由“非个人数据管理局”(NPDA)管理的元数据目录。只有在印度注册的组织机构才能访问这些目录。数据受托人。任何政府部门或非营利性民营组织(如社区或行业团体),都可以在“非个人数据管理局”注册作为数据受托人,并请求创建“高附加值的数据集”(简称HVD)。“高附加值的数据集”是指为有限定目的而创建的数据集(例如为公益和公共利益)。每个“高附加值的数据集”只能有一个数据受托者,但是,一个数据受托者可能会负责多个“高附加值的数据集”。数据受托人从各类数据行业收集构成“高附加值的数据集”的“非个人数据”,包括公共或民营数据监管人或数据处理者,有义务通过共享所收集的关联数据集,为“高附加值的数据集”做出贡献。数据受托人管理访问“高附加值的数据集”的请求,在印度注册的任何组织(不是个人)提出访问请求,可能收取少量资金作为处理和维护费用。作为“高附加值的数据集”的数据受托人,需要维护数据基础设施,包括:技术组件,如数据库、API、系统架构设计等,并建立投诉纠错机制。非个人数据管理局(NPDA)。NPDA对“非个人数据”和在印度产生“非个人数据”的实体具有最终决策权。NPDA创建“非个人数据”元数据目录和管理对其访问,负责对“高附加值的数据集”目标和影响的评估,以确定所选“高附加值的数据集”的适当性。NPDA有权决定谁可以注册为数据受托人,根据潜在数据受托人处理“高附加值的数据集”的能力和对其能力的评估,以及数据受托人在提议创建“高附加值的数据集”之前,是否已遵守相关程序。在“非个人数据”框架下,专有信息、商业秘密、可能侵犯个人或团体隐私的信息被排除在外,数据共享被定义为三个目的:主权、数据行业和公共利益。“非个人数据”框架强调:共享数据是为国家安全或处置公共紧急情况等维护国家主权之目的。
四、观察:对竞争、创新和安全的影响
该专家委员会认为,强制共享数据将刺激竞争和激励创新,因为这解决了市场竞争的主要障碍,即缺乏对数据的访问。然而,任何有效的数据共享框架,都需要具备正确、合理的激励措施。但是,收集、处理和管理“非个人数据”需要成本,“数据行业”收集“非个人数据”所承担成本或投入资源,是可以从中获取价值的。另一方面,通过“高附加值的数据集”提供对“非个人数据”元数据的开放访问和共享数据,可能会削弱企业提供“非个人数据”的动力。强制性的数据共享机制,不仅会抑制“数据行业”对收集和应用“非个人数据”所需设施或服务的建设动力,而且还可能导致其竞争对手,最终可能通过数据共享机制获得对数据的访问权。此外,在“非个人数据”框架下,“数据受托人”可以决定“高附加值的数据集”的构成,但对其决定没有监督。企业可以利用“数据受托人”访问其竞争对手的数据,没有任何机制可以确保“数据受托人”不会滥用手中的权力。因此,强制性的数据共享机制,实际上可能削弱数据共享,并阻碍创新。同时,“数据业务”的分类,以及为保持对所收集数据的访问必须满足的各种义务,也增加了在印度境内的运营成本。此外,“数据受托人”作为对有价值数据集的管理者所形成的环境,可能扼制企业在印度境内收集和提供“非个人数据”的动力,从而影响印度数据市场的整体竞争力。“框架报告”的核心问题是,谁拥有“非个人数据”以及从中产出的附加值。关于数据所有权的争论,源于对在数字经济中如何创造数据价值的不同看法。首先需要认识到:数据,不是简单“收集”的自然资源,而是网络基础设施运营商(和服务商)与用户(和客户)之间,通过提供产品、服务和应用的交互所持续产生的副产品。1)只有当数据在特定场景中使用,并且仅当在某人投入资源以收集、组织和组合数据成为有用的形式后,数据价值才会呈现。虽然复制数据的成本可能为零,但生成数据并使其易于访问和有用的成本却并非零。2)虽然目前拥有基础设施的企业进行数据收集,并从数据中获取价值,但是个人和社区是数据创造价值的核心,且应拥有数据所有权。
综上,关于数据所有权的所有主张,都源于将数据作为一种可以被控制的资产,并被作为是通过交易以换取社会和经济利益的资源。总体上,数据的价值及其附加值,既能够造福于人类,也可能贻害于社会。这就使得数据所有权具有不确定的复杂性,以及管控的必要性。例如,如果飞机发动机是由美国公司制造,但是由印度航空公司购买。飞机发动机产生的运行数据,传输给发动机制造商并由发动机制造商处理。那么,谁是飞机发动机运行数据的拥有者?是归发动机制造商所拥有,还是发动机制造商的母国所拥有?是归航空公司所拥有,还是航空公司的母国所拥有?或者,是由航空公司服务市场中的人们(客户)所拥有?这个例子仅仅是个表象,应深入思考或反思更深层次的关联问题。此外,从对“非个人数据”治理框架可见,对数据的所有权即是国家主权的组成部分,对数据的治理权即是国家的管辖权。印度作为一个正在崛起的互联网大国,尽管对数据治理仍存在不确定性和潜在的争议,但是其政策、方法及过程是基于本国的发展基础、实际需求和未来方向,并没有简单地复制或遵从欧、美国家的模式。(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网【原创】)【本公众号所编发文章欢迎转载,为尊重和维护原创权利,请转载时务必注明原创作者、来源网站和公众号。阅读更多文章,请点击微信号最后左下角“阅读原文”】
【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。
电子邮箱:[email protected]
更多文章请看《昆仑策网》,网址:
http://www.kunlunce.cn
http://www.kunlunce.net
相关文章