| 数字经济高速发展的当前,“大数据缔造大公司”理论正在遭受挑战,“数据石油”似乎正在变成“数据梦魇”。很多人工智能、大数据企业如何规范获取数据,合规地存储和使用数据,需要公司法务和管理者认真考量。8月17日-19日,由知产前沿新媒体举办的“第二届中国人工智能知识产权峰会”在杭州召开,本次大会吸引了线上与线下近500位人工智能IP人士参加。在19日的大会上,中伦律师事务所顾问贾申主持了以“新时期人工智能企业应当如何应对愈发严格的数据监管”为主题的圆桌讨论,与谈人员包括TalkingData法务总监兼数据合规官葛梦莹(线上)、中央民族大学副教授熊文聪和高沃律师事务所高级顾问、律师、专利代理师、诉讼业务总监陈建民。知产前沿现将几位嘉宾的讨论内容整理成文,供人工智能知识产权从业人员参考学习。熊文聪教授认为,大数据就像产业革命中的蒸汽机、石油,与算法共同对互联网企业起着至关重要的作用。二者通过人工智能联系起来,通过算法的运用来收集、处理和使用数据,产生社会所需产品和服务。以目前我国的法律框架来看,互联网企业面临立法和执法方面的“三座大山”,企业开发涉及数据、算法业务需要重点关注:1.隐私权与个人信息保护、数据安全与网络安全;2.反垄断法的规制;3.反不正当竞争法、著作权法等。葛梦莹总监认为,以我国的数据与网络安全、个人信息保护的“三大法”来看,我国立法是有特点的。法律规定多是方向性指引、原则规定,而企业的运用过程中具体执行更多是依靠国家标准,包括如何匿名化、去标识化、个人信息影响评估、隐私政策等,支撑着数据与网络安全法、个人信息保护法,拥护其落实。陈建民总监点出,数据是所有的业务、产品、服务的基础,数据合规问题越来越尖锐。特别在海外公司基于其产品定性、购买层级和区域分布需要我国境内数据的情况下,要分析能否收集、收集是否必要、如何去标识化、能否存储、能否输出、如何输出、采取何种保密措施等问题,如何方能不触犯我国法律。虽然我国的立法还存在一定的原则性特征,但是标准是具体且先行的。所以企业除了重视宏观法律之外,更要注意具体标准,能够过滤和防范必要性、泄露和非物理安全性等风险。熊文聪教授认为,就互联网企业而言,最关注的应当是数据和算法的法律制定与司法实践,即通常所说的合规。但法律特别是民商法是有目标宗旨的,即“划定产权边界、降低交易成本”,合规不能成为企业沉重的负担。虽然互联网企业之间存在竞争,但是在一些核心、共性问题方面,企业应当站在一起,共同应对制度挑战。有观点认为,目前有关个人信息保护的规定在实施层面不够理想,遇到很多障碍。从法经济学视角观之,1.0版本的传统民法及隐私权是事后惩罚,而到了2.0版本的个人信息保护法,却变成了事前惩罚。事前惩罚是指企业但凡未经同意使用、处理了用户的个人信息,即便未对用户造成实质损害,法律也要对其施以惩罚。当前,《个人信息保护法》采取的就是“事前惩罚”模式,即只有事先征得用户同意,才能收集该用户的数据和个人信息,否则便可能构成违法,这就意味着即便没有给该用户造成实质损害,也要承担法律责任。当然,事前惩罚和事后惩罚各有利弊,如何选择关键在于针对特定情况,哪套模式带来的监管和执法成本更低,产生的社会收益更大。互联网企业在处理用户个人信息时,是否遵循了知情同意规则,监管和执法难度颇高,企业自身运营成本也很高,更适合事后惩罚,甚至事后施加惩罚性赔偿也是可取的,从而倒逼企业改善自身的技术和理念。值得注意的是,我国目前的立法倾向于向欧洲学习,但欧洲对互联网企业的数据使用行为并不友好。在美国,加州有对企业收集、处理用户数据是采用“选择-退出”规则,在全国范围内尚未有统一的立法,故更加灵活。我国目前的行业实践通常是格式化的“二选一”条款,为了使用互联网产品和服务,用户不得不同意,这也就意味着“知情同意”规则在一定程度上被架空了。从法理上看,数据安全法、网络安全和个人信息保护法是一系列行政监管色彩非常强的法律规范,使用行政手段监管还是运用民事手段救济,是需要深入思考的。从“个人信息保护”的构词来看,立法机关推定“个人”处于弱势地位,所以应当给予其倾向性保护。但是在民法上,无论是企业还是用户,法律地位都是平等的,个人享有积极的诉权和获得充分救济的权利。所以,立法初衷虽然是好的,但也有可能好心办了坏事,大大抬高了企业的运行和管理成本,个人与企业的权利边界也变得非常模糊和不确定,其是否遵循了“划定产权边界、降低交易成本”这一目标宗旨,是值得检视的。陈建民总监对此有补充看法,立法主要规定“不能做”,顺带规定部分“可以做”,而且具体可以做的内容,推荐企业就按照国家标准行事,可以最大程度地规避违法风险。至于企业如何解决合规成本问题,其实可以通过各种方式消化,例如设置复杂的格式条款,在尽到义务的同时也节省了成本。熊文聪教授总结道,企业的法务人员一定要高度关注行业内的最新立法和典型案例,并关注最新的学术研究成果,对不同的观点和论据做全面的分析和有效的研判。葛梦莹总监指出,数据公司的合规体系搭建较为特殊,且内容必须全面。搭建方法从步骤顺序上看,应当先搭建架构,梳理数据的全生命周期,根据架构和数据生命周期设计制度。从搭建主体上看,合规部门应当与管理层、业务部、IT部门等部门达成协同,对企业内部人员进行培训、宣导。从合规的发展来看,当企业新产品和业务模式出现时,数据合规体系需要随之迭代,保持合规的先进性。从体系的内容上看,难点在于划分主次。例如在跨境业务中,如果把问题聚焦于“公司与海外邮件来往是否属于数据跨境”,那么显然是未抓取到业务的核心问题。应当先行询问业务涉及数据跨境,有哪些数据是跨境数据的主体部分,划分优先级,抓大放小。在执行上,着重强调管理层的作用,使得合规任务由上及下推进。葛梦莹总监谈到,对于企业来说,规范是否合理可能是更深层次的问题,但现在最突出的问题是,许多压力来自于法规之上。例如某事件触发了舆论,而在项目的招投标中,招标单位往往会考察企业的合规制度体系建设情况、历史沿革情况,是否会因曾经出现问题而吸引执法者关注。或者客户单位聘请第三方对自己进行安全审查,要求往往在立法之上。所以企业面临的不仅是法律规则,还需要及时学习案例来了解行业实践,了解各部门的监管尺度。在能够合规的情况下,如果把握企业发展空间和监管尺度的平衡,是企业合规难点。熊文聪教授认为,舆论压力其实仍然是因法律而起,媒体报道了相关事件,会挑起公众的敏感神经,原本寻常的法律争议问题可能被妖魔化,陷入非理性的、饱含偏见的漩涡。对此,企业应当积极应对,将讨论重新拉回到理性的、专业的层面。可以举办学术会议,让法律专家和技术专家一起来讨论,以开放的态度,听取不同的声音,为企业争取更大的发展空间。贾申律师认为,企业数据合规面临监管、舆论、商业伙伴和领导四重压力,压力主要体现在企业上市过程和举报事件后的舆论发酵等。建议企业聘请外部第三方模拟对企业数据合规的监管调查,企业应当自查是否能够举证、完成自查报告、整改报告,通过模拟和演练,提高应对调查的能力。目前数据合规面临的最大风险是爬虫,即数据来源的合规性,一旦实施爬虫行为就可能面临民事责任甚至刑事责任。虽然现今有合规不起诉制度防止企业承担过大的风险,但是仍然建议对数据来源保持高度谨慎态度。 |
|
|
|
