喜报 | 《数据法学》已加入“北大法宝”法学期刊库

《数据法学》2021年第1卷

【特稿】

1.从合同法到信义法：论个人信息私法保护的范式转变 

作者：丁晓东（中国人民大学法学院）

内容提要：“告知—同意”框架是个人信息保护的重要制度设计，然而这种合同法机制却面临异化的风险。这一机制无法有效告知用户，也无法帮助用户作出理性选择。对这一机制进行改良可以起到一定效果，但也可能造成更多问题。个人信息的私法保护应当从合同法转向信义法的法律框架，要求企业对个人信息承担信息信义的法律责任，履行对于个人用户与集体用户的谨慎义务特别是忠诚义务。从信义法的框架出发，可以重新思考与设计个人信息保护的若干原则与制度。

关键词：个人信息；合同法；信义法；信义责任；“告知—同意”框架

【专家视角】

2.强化知识产权保护加快培育数据要素市场 

作者：王淇、张呈玥（国家市场监督管理总局发展研究中心）

内容提要：数据已成为现代经济体系的重要资源，是要素市场化配置的新焦点，但却并未被纳入知识产权的保护体系内。知识产权制度应当回应数据所带来的生产力和生产方式的变化，顺应从数目管理到数据治理、数字管理到数据主义、数据本地化到数据全球博弈的三大趋势，制定数据标准，变革数据确权制度，明晰数据主权保护的审查标准。

关键词：数据要素；知识产权；市场；数据主权

3.数据安全法对产业发展的多重指引意义

作者：吴沈括（北京师范大学网络法治国际中心）

内容提要：数据活动的爆炸式发展深度重塑了现实的经济发展、社会治理和人民生活，数据安全已经成为涉及国家安全和经济社会发展的重大问题。数据安全法以非个人数据内容为主，蕴含了着眼于国家利益的数据安全管理要求、全面的安全生态建设和有限度的数据安全全球管辖机制的基本逻辑，预示了以外部工具利用和内部机制建设为主要方面的合规风控体系，建设了多元主体权利的保障责任机制。

关键词：数据安全法；合规；保障责任

4.政府数据开放的基本法律问题

作者：邢会强（中央财经大学法学院）

内容提要：数据的权属和范围是政府数据开放的基本法律问题之一。确定政府数据的权属属于国家资产是数据开放的前提，界定数据开放语境下的政府数据范围应当符合三个原则，即纳税人是否支付成本原则，人们应当自由平等免费使用的数据属于开放数据原则，数据口径最大化原则。遵循此原则确定的政府数据等同于公共数据，进而可依据具体标准确定政府数据开放的范围。

关键词：数据开放；权属；政府数据

【专论】

5.匿名化制度的解构与重建

作者：李黎（广东北源律师事务所、北京大学国际法学院）

内容提要：《个人信息保护法（草案）》［以下简称《个信法（草案）》］首次以法律形式确立匿名化制度，将对个人信息的自由流通和个人隐私权利的保护产生重大的影响。《个信法（草案）》中的匿名化制度主要包括“无法识别特定个人”和“不能复原”两个要素。其中“无法识别特定个人”针对的是直接识别场景下的“直接标识符”的处理；“不能复原”则要求剩余的“准标识符”即使结合其他信息也无法重新识别特定个人。但是，现有技术模型可以推出信息的匿名性与可用性之间存在天然不可调和的矛盾。过程导向的“列举式”匿名化标准无法适应技术发展的趋势，而结果导向的“无法复原”标准更是难以保证匿名化信息的安全。因此，应综合匿名化技术、持续的风险管理和禁止重新识别等手段来保证匿名化信息的安全。最后，由于匿名化信息仍具有复原风险并需要对匿名化信息的处理者施加一定的法律义务，因此《个信法（草案）》应淡化匿名化信息非个人信息的规定。

关键词：匿名化制度；个人信息保护法；匿名化信息；重新识别

6.域外医疗系统网络攻击防御与数据治理研究 

作者：卓丽（北京外国语大学法学院）

内容提要：当前网络攻击对各国医疗系统造成严重危害，网络攻击者通过勒索软件切断医院电脑程序以及使用勒索病毒锁定医院计算机数据等方式破坏医疗机构网络系统，导致医疗护理工作难以顺利进行，患者重要医疗数据遭到泄露。我国医疗系统同样存在网络安全威胁，网络安全风险类型主要包括：医疗服务类互联网移动应用软件存在高危漏洞，医疗设备存在安全隐患，以及境外黑客利用诱导式邮件窃取关键部门敏感数据。针对这些问题，本文考察域外网络攻击防御与数据治理举措，为我国应对网络攻击提供治理思路。我国应坚持国家网络安全与个人数据保护相结合的模式，从规制医疗服务类APP的运营，防范医疗设备网络安全风险等方面开展网络安全治理活动，全面抵御网络安全风险。

关键词：网络攻击；网络安全；数据保护；医疗数据

7.大数据安全立法路径及其实现研究 

作者：侯郭垒（山东理工大学法学院）

内容提要：保障大数据的安全，实现数据治理的法治化，必须制定严格的大数据安全保护法。当前我国缺乏统一、专门的国家层面的大数据立法，地方立法的局限性也需国家层面立法进行弥补。因此，我国应该制定更为严厉、健全的大数据安全保护法。开放和共享是大数据的本质价值属性，大数据安全保护立法的科学思路应当从大数据行为到大数据关系，再到大数据法律以及大数据安全保护的体系化。以数据控制者为面向的大数据安全立法，应当对“同意”作出明确规定，大数据采集必须合规，大数据处理应当合理合法，数据分析应确保算法公平，数据泄露后须履行通知义务，以此规范大数据交易规则。

关键词：大数据安全；大数据安全立法；数据治理；立法路径

8.公共性算法的规制要素

——相对人权利保护视角 

作者：孟李冕（中国政法大学法学院）

内容提要：公共性算法的应用或引发技术异化，破坏人性尊严原则。如何消解技术异化带来的问题，保有个人的主体地位，是本文所关注的问题。本文从相对人权利保护视角出发，构建公共性算法的规制要素；参照行政规则的制定和行政行为的作出，构建了从公共性算法开发设计阶段的公众参与，到公共性算法应用阶段的透明（公开）、告知、获解释权（说明理由）、更正和脱离（陈述和申辩）以及问责救济等方面的规制要素。这些要素的讨论为相对人权利提供了较为系统的制度保障。

关键词：人性尊严；算法；透明性；获解释权；问责

9.论数据与信息的差别

——从计算机的视角 

作者：朱扬勇、熊赟（复旦大学计算机科学技术学院、上海市数据科学重点实验室，上海市数据科学重点实验室）

内容提要：随着与数据相关的立法越来越多，数据和信息两个术语有时混用、有时分开、有时重叠的现象不利于立法保持一致性，更不利于相关法律的执行。数据相关的立法总体上是针对计算机中的电子数据而不是记录在纸质媒介或其他媒介上的非电子数据，并且纸质媒介或其他媒介上的非电子数据也终将电子化。因此，有必要从计算机视角剖析数据和信息的差别。从数据在计算机中的技术实现出发，电子数据和非电子数据、数据和信息等术语之间存在不同，计算机中存储的是数据而不是信息，需要将数据、非电子数据、信息等术语在立法上进行区分。在大数据发展的大趋势下，建议法律界着力以“数据”进行立法，将非电子数据和信息作为特殊条款列出。

关键词：数据立法；数据与信息；大数据；数据治理

【实务前沿】

10.头戴“紧箍咒”的Facebook将如何管理第三方？

作者：尹云霞、张毅、黎辉辉、张文豪（方达律师事务所）

内容提要：随着全球数据立法与执法实践的推进，互联网企业的业务由于天然地依赖用户数据，在经营活动中不得不面临更大的数据保护合规压力。以“剑桥分析事件”（Cambridge Analytics）为例，即使美国联邦层面尚未制定统一的数据保护立法，但并不影响联邦贸易委员会（US Federal Trade Commission, FTC）依据《联邦贸易委员会法案》对Facebook在事件中因疏忽管理第三方而引发数据泄露的行为进行调查和处罚。在FTC的处罚中要求Facebook对使用其开发者平台的第三方进行妥善管控，具体包括实施技术接口扫描、定期评估、审计等更为严格的措施。对此，中国出海企业应及时排查内部调用外国大型平台数据接口的情况，对技术人员积极开展合规培训，并尽早建立应对第三方调查和审计的机制。

关键词：美国数据保护法；FTC数据保护执法；FTC和解令；第三方管理

11.大数据时代删除权制度的立法构建 

作者：白晓峰、马宏、肖志宏（北京电子科技学院管理系）

内容提要：删除权是数据主体权利体系中的重要组成部分，通过考查删除权的演变及理论基础，本文在区别删除权与被遗忘权的前提下，梳理我国现有的删除权规范以及对司法实践作出回应，从删除权的立法模式、适用条件、权利主体与义务主体、行使程序等角度，探索符合我国当前数据产业发展现状的删除权制度体系。

关键词：数据；数据主体；删除权；个人信息

【学术动态】

12.中国人民公安大学数据法学研究院举办“数据安全法治研讨会” 

作者：张思巧、陈昱烨、王子珍（中国人民公安大学法学院）

13.清华大学智能法治研究院举办《个人信息保护法（草案）》产学研青年论坛 

作者：刘云（清华大学法学院）

14.数字经济与社会研究会、上海金融与法律研究院举办“平台治理的新时代”学术会议 

作者：许可（对外经贸大学法学院、数字经济与法律创新研究中心）

-END-

关注下方公众号，获取更多法律信息