大数据不能被一棒子打死!数字产业法律问题需引入包容审慎理念
治理大数据产业应优先运用行政手段
来源:法制日报
作者:高艳东
治理大数据产业,现阶段的主要措施应当是行政处罚等非刑法手段。数据保护是一个长期过程,不可操之过急。在民事赔偿、行政处罚措施尚未启动之前,直接动用刑事手段,对数据产业实行严刑峻法,既是对刑法条文的机械理解,也会严重影响我国数字经济的发展。
连续4年,政府工作报告都提出对新业态要“包容审慎监管”。包容审慎通常被认为是行政管理的理念,但其实它同样适用于数字经济治理。在处理数据产业的法律问题时,也应引入“包容审慎”的法律理念。
过度扩张解释法条,引发数据行业风险
不同于暴力犯罪须设定刚性标准,互联网领域的立法应具备一定弹性。若采取苛刻、教条的法律理念,会导致数据产业的风险增大。这些风险包括:
泛化界定个人信息,致个人信息范围过大,由此数据公司在收集未经授权或授权不完整的数据时,就容易将包含公民个人邮寄地址、购物记录等在内的信息纳入其中,产生侵犯公民个人信息的风险。
把民事争议上升为刑事犯罪,“非法获取计算机信息系统数据罪”等罪名或被滥用。很多网站会使用Robots协议(对搜索引擎抓取网站内容范围的约定),禁止相关软件爬取部分网页数据。有些网站虽然在页面公开了数据,但在后台通过Robots协议禁止相关软件爬取代码源数据。有观点认为,爬取网站上的公开数据,即使只违反了Robots协议,也属于“非法获取计算机信息系统数据罪”。然而,Robots协议的法律属性尚未明确,即便在民事案件中,违反Robots协议也未必构成不正当竞争,在刑事案件中,更不应把违反Robots协议的行为认定为刑事不法行为。
“帮助信息网络犯罪活动罪”也易被过度扩张适用。该罪要求“明知他人利用信息网络实施犯罪”而提供技术帮助,但是,由于“明知或者应当知道”在多个司法解释中被作为认定故意的标准,“应当知道”就很可能成为数据公司提供数据服务时存在“明知他人犯罪”故意的认定依据。
可见,如果任由刑法肆意介入大数据产业,很多数据公司都将面临严重的法律风险。由此,规避风险的最好做法显然就是不碰数据,但这又不利于数字经济的发展。
评价数据收集使用,需要考虑立法目的
在评价数据收集、使用行为时,不仅要考虑法条的形式含义,还要考虑立法目的和营商环境,不能机械地适用刑法。
滥用网络犯罪的法条很可能阻碍我国的大数据产业发展。这几年,我国的数据分析能力大大提高,这与我国此前相对宽松的数据收集政策密切相关,借助海量数据,我国交通、物流、金融领域的生产效率大大提高。与之相反,欧盟《通用数据保护条例》(简称GDPR)对数据收集持严格监管态度,导致欧盟数据公司的能力整体落后于中美。如果过度扩张法条的含义,将我国大量数据公司认定成犯罪,会摧毁我国的大数据产业,不利于国家安全。鼓励技术创新、拓宽数据运用方式,有利于中国在科技领域弯道超车。换言之,在处理数据收集、使用行为时,我们应当在法条之外,充分考虑产业革命等多个社会背景。
在执法中应引入包容审慎理念。在大数据和人工智能等创新领域,创新性研发带来的风险如果有利于产业发展,就不应简单地将其认定为违法犯罪,而应更多地采用行业监管的方式,秉持刑法的谦抑性原则。一方面,要防止对民营企业选择性执法。在信息产业上,民营科技企业发挥着不可替代的作用,是国家信息技术竞争力的保障。在科技领域形成核心技术竞争力和全球品牌效应,需要10年甚至更长的时间,因此,法律要对民营企业有耐心,为其创造良好的营商环境。另一方面,要消除执法标准的地区差异。我国数字经济发展极不平衡,各地对数据收集、使用行为的认识存在差异:为促进经济发展,数字经济发达地区一般对数据收集、使用持相对宽容的态度,在采用监管手段、行政措施可以防止危害时很少动用刑事手段;而数据产业较少的地区,常会严厉处罚数据违规行为。尤其是一些随意的跨地区执法,会形成用工业时代的法律观念处理数字经济问题的现象,这会打乱在新兴产业领域鼓励领头雁的国家战略。因此,应当保持执法稳定性,尽早在数字经济领域贯彻“一盘棋”思路,明确执法的刚性标准,防止执法标准不统一而损害数据产业的发展。
应当善待数据产业,安全与发展要平衡
在当前发展数字经济、优化营商环境的大背景之下,为更好地应对数据产业的风险,法律应当在安全与发展之间寻找平衡点。具体建议如下:
爬取公开数据、经信息主体授权爬取非公开数据的,原则上不按照犯罪处理。虽然网页前端公开的数据不同于后台中的代码数据,但是,两者毕竟紧密联系,核心内容一样,只是存储或表现形式不同而已。利用相关软件获取了后台的代码源数据,如果最终转换出来的数据已经在网页上公开了,就不会侵犯到网站的实质利益。当然,对暴力破解网站防护系统的行为另当别论。
获取数据或个人信息应考虑“合法经营免责”原则。只要数据公司在提供数据服务时,接受数据服务者从事的是合法经营,数据公司就可以免责,不能采用事后法原则倒追数据公司的刑事责任。一些租车、网贷公司在购买数据服务时并未构成犯罪,但事后因暴力催收或放高利贷而被定罪。对此,应当坚持行为时的判断,只要数据公司提供数据时,租车、网贷公司并未被立案调查或曝出犯罪事实,都不应追究数据公司的刑事责任。同时,应当严格界定敏感信息的范围,防止不加区分地把借贷、社交信息都认定为敏感数据。未来,我国应建立信息收集豁免制度,对于基于公共利益(如疫情)、履行合同之必要、企业之间基于经营的数据交换等,只要其采用了安全保护措施,都不应将其作为犯罪处理。
明确“明知或者应当知道”中的“应当知道”只是刑事推定,而非将过失上升为故意。有观点认为,在网贷、租车公司放高利贷、暴力催收成为常见行业现象时,数据公司也“应当知道”自己服务的对象可能存在类似犯罪行为,进而把过失行为当成故意犯罪处理。但是,法律不能实行有罪推定,只要网贷、租车公司没有被立案调查,或者没有明确曝出犯罪行为,就应当认为其属于合法经营。否则,为其提供办公场所的房东、为其提供结算业务的银行,都可能因为“应当知道”而被定罪。
对企业应坚持“先行政治理再刑事处罚”的原则。数据公司一般是长期经营,如果其有违法活动,行政机关发现后应当及时处罚,而刑事手段不是产业治理的最优选择。对收集、使用数据中的乱象,应当先由行政机关进行处罚,经处罚仍然存在问题时,方可考虑动用刑事措施,切忌“平时没人管,出事就入狱”的两极化管理模式。当然,如果数据公司在行政机关检查监督中报送虚假材料,则另当别论。
总之,工业时代的法律制度跟不上数字经济发展的节奏,数字经济涉及中国的国际突围战略,界定数据企业的法律责任,既要考虑产业发展,也要考虑国家战略。治理大数据产业,现阶段的主要措施应当是行政处罚等非刑法手段。数据保护是一个长期过程,不可操之过急。在民事赔偿、行政处罚措施尚未启动之前,直接动用刑事手段,对数据产业严刑峻法,既是对刑法条文的机械理解,也会严重影响我国数字经济的发展。