中國數據新法 建構科網發展新局

評論‧世情 2021/12/18

分享:

分享:

本欄曾總結內地至今一連串整頓科技產業的措舉(「內地3招規管科企先立品後發財」,2021年9月25日),其中一招便是管控企業掌握龐大數據的影響。與此同時,今年6月起,內地分別通過及施行《數據安全法》和《個人資訊保護法》,明確規範企業對數據的蒐集、使用和處理等過程,又要求不得過度或非法收集、公開或買賣個人資訊。

3級保護制 規範數據蒐集等

這些法例標誌着中國的科技立法比歐美走得更遠,也顯示內地在數據開發與應用方面,將進入法治化軌道,當中以《數據安全法》的構思尤為先進。從前內地關於「數據」的法例,散見於《民法典》、《網絡安全法》等,《數據安全法》卻是首次從法律層面闡明「數據」的定義,是指不論任何形式的「對信息的記錄」,因此市民透過使用科技產品產生的絕大部分數據,包括通話、聊天、消費、位置等紀錄、個人圖像、身份辨識資訊等,皆被法例所覆蓋和保護。

《數據安全法》亦劃定了處理數據時的責任邊界,要求企業在蒐集、存儲、加工、使用、傳輸、提供、公開數據時,不但要誠實守信、尊重社會公德、遵守商業倫理、履行保護數據安全的義務,而且不得危害國家安全和損害公眾利益。

此外,《數據安全法》又提出嶄新的數據分級保護制度,把數據分為核心、重要及一般3級,並以此作為監管和處分的依據。其中所謂「重要」或「核心」數據,主要是根據它在社會發展中的重要程度,以及一旦遭到非法利用,對國家安全和公共利益造成的危害程度來判斷。

《個人資訊保護法》則追上了許多已發展國家有關私隱保護的法例,但明顯更貼合現今的科技應用,例如禁止濫用臉部辨識系統,要求在公共場所採集個人生物特徵資訊時,要有顯著提示,所收集的數據又只能用於維護公共安全。

現時美國只有加州制定了類似的技術法規,歐盟則已實施《通用數據保護條例》(GDPR),但中國的新法規要嚴格得多,涵蓋範圍也更廣。在立法精神上,GDPR較強調保護個人資料和隱私;而在《數據安全法》下,中國企業除了承擔用戶資訊的責任外,還須主動維護國家安全和公共秩序;法例也要求企業「堅持主流價值導向」和「積極傳播正能量」。

賦權民眾制衡科企 免受算法滋擾

在許多市民深受困擾的問題上,《數據安全法》和《個人資訊保護法》比GDPR更進取。例如亞馬遜、阿里巴巴等公司根據網購紀錄,向用戶推薦商品,TikTok則利用演算法,捕捉和推算用戶喜好,再提供更多類似內容;在這方面,GDPR要求企業在具體處理用戶數據前,須提供明確說明,以及徵得用戶同意;內地則要求企業列明針對個別用戶添加的標籤或關鍵詞,讓用戶有權刪除。原則上,這意味着內地網民不再受演算法帶來的個人化廣告滋擾。

此外,內地要求科技公司不得編寫令用戶「沉迷高額消費」的程式,新法甚至規管企業用作內部管理的數據,例如滴滴出行涉及調度員工的司機管理系統,必須履行「勞動者權益保障」,編排工作不得過勞或過長,並要有員工申訴機制。總括而言,新法賦予內地市民更多權利制衡科技企業。

執行細則待明確 科企應積極面對

新法當然也有改善空間。《數據安全法》全文共計5,000餘字,篇幅比GDPR短得多,主要是提綱挈領地概述新制度安排,筆者認為內地當局有意留出空間,以便跟上快速變化的科技行業,將日後的執法和解釋權,交由針對特定行業或技術的具體規定來處理,因此一些細則仍有待進一步明確。例如內地當局已敦促螞蟻集團向國企和較小的競爭對手開放其龐大個人財務數據庫,目前尚未清楚這種「數據交易」辦法會否成為慣例。

此外,所謂「重要」或「核心」數據的分別,迄今未有清晰界定,相信要待將來產生案例後,科技業界才能逐步摸索、了解。

今年7月,副總理劉鶴傳達了一條指導原則:中國正在進入優先考慮社會公平和國家安全的新發展階段,而不是如過去30年般不惜一切代價求增長,又指出政府將促進「資本健康有序發展」,意味中國科技企業自由蒐集、隨意使用用戶資料的時代已經結束了。

筆者認為,這是一個國家科技進步、公民權利提升的必然過程,就如歐盟所經歷的一樣。科技同業應以積極、開放的態度面對,並以更上一層樓的產品和服務爭取市場。

撰文 : 羅浩宇 「創科未來」總幹事

欄名 : 創科未來

緊貼財經時事新聞分析,讚好hket Facebook 專版