電力大數(shù)據(jù)商業(yè)使用規(guī)范化研究

■國網(wǎng)江蘇省電力有限公司蘇州供電分公司 張 劍 趙志強 郭 敏 蘇州大學(xué)法學(xué)院 汪 煜

當前大數(shù)據(jù)時代下，國家正全面推進“數(shù)字中國”建設(shè)，推進數(shù)據(jù)共享，促進數(shù)據(jù)融合及資源整合，為經(jīng)濟社會發(fā)展服務(wù)。國家電網(wǎng)所擁有的電力大數(shù)據(jù)具有可信度高、時效性強、覆蓋面廣等特點。對電力大數(shù)據(jù)進行深度挖掘和創(chuàng)新應(yīng)用，可加快電力大數(shù)據(jù)價值釋放，推動共享型企業(yè)構(gòu)建。然而，對于電力大數(shù)據(jù)的收集、共享，實踐中存在諸多法律風(fēng)險，對此需要明確電力數(shù)據(jù)的性質(zhì)，界定邊界，合理規(guī)范地使用電力大數(shù)據(jù)，發(fā)揮數(shù)據(jù)的價值。

數(shù)據(jù)的民事客體屬性及分類

數(shù)據(jù)能否成為民事法律關(guān)系的客體？學(xué)界持有不同意見?？隙ㄕf認為，數(shù)據(jù)可以脫離自然人獨立存在、具有一定價值且可被占有，而有體物并非民事法律關(guān)系客體存在的要件[1]。持否定觀點的學(xué)者認為，數(shù)據(jù)無法被主體獨占和控制；數(shù)據(jù)并不具有排他性不能被獨占，其價值依賴于特定載體或代碼，因而其不能成為民事法律關(guān)系的客體[2]?！睹穹ǖ洹吩凇翱倓t編”第五章“民事權(quán)利章”第111條和第127條對個人信息和數(shù)據(jù)保護分別作出規(guī)定，這意味立法至少從二者區(qū)別的角度承認了數(shù)據(jù)的民事客體地位[3]。數(shù)據(jù)只有成為民事客體，才具有商業(yè)化運用的可能性。

研究電力數(shù)據(jù)的屬性，首先需明確一般數(shù)據(jù)的分類，界定其邊界。對于數(shù)據(jù)分類，可從主體性分類與階段性分類兩個維度進行。主體層次上，數(shù)據(jù)可分為個人數(shù)據(jù)、企業(yè)數(shù)據(jù)以及公共數(shù)據(jù)；階段層面，根據(jù)數(shù)據(jù)處理的效果可分為底層數(shù)據(jù)、匿名化數(shù)據(jù)以及衍生數(shù)據(jù)。

個人數(shù)據(jù)指的是其本身就能識別出或者結(jié)合其他數(shù)據(jù)可以識別出特定自然人的數(shù)據(jù)[4]。可直接識別特定自然人的數(shù)據(jù)包括：個人的姓名、肖像、指紋、身份證號、基因信息、以及社保賬號等。結(jié)合其他數(shù)據(jù)間接識別出特定自然的數(shù)據(jù)有：性別、年齡、職業(yè)、習(xí)慣、教育經(jīng)歷、婚姻、興趣、以及財物狀況等[5]。學(xué)界主流觀點認為，對個人數(shù)據(jù)認定的實質(zhì)性標準在于“可識別性”，我國立法上對個人數(shù)據(jù)也采用可識別性作為判定標準[6]。企業(yè)數(shù)據(jù)指的是由企業(yè)實際控制和使用的數(shù)據(jù)，既包括財務(wù)數(shù)據(jù)、運營數(shù)據(jù)等商業(yè)數(shù)據(jù)，也包括企業(yè)合法收集、利用的用戶數(shù)據(jù)[7]。公共數(shù)據(jù)是指國家公職機關(guān)在依法履行公共管理和服務(wù)職能的過程中，采集和產(chǎn)生的各類數(shù)據(jù)資源，也包括與民生息息相關(guān)的醫(yī)療數(shù)據(jù)、交通數(shù)據(jù)及電力數(shù)據(jù)等，與經(jīng)濟相關(guān)的交易數(shù)據(jù)[8]。

大數(shù)據(jù)技術(shù)涉及的數(shù)據(jù)類型至少可以分為三種。一是底層數(shù)據(jù)，又叫原生數(shù)據(jù)，基礎(chǔ)數(shù)據(jù)，其基本特征在于此類數(shù)據(jù)含有個人信息。對于含有個人隱私信息的底層數(shù)據(jù)，數(shù)據(jù)主體享有完整權(quán)利，他人未經(jīng)許可不能收集、使用、交易。二是不含個人信息的匿名化數(shù)據(jù)。對于經(jīng)過脫敏化處理的數(shù)據(jù)，已經(jīng)不能將其與特定主體產(chǎn)生聯(lián)系，對其進行使用、交易的權(quán)利應(yīng)當歸屬于數(shù)據(jù)控制者。三是經(jīng)數(shù)據(jù)清洗、算法建模加工整合后的衍生數(shù)據(jù)。對于經(jīng)過技術(shù)手段進行加工以完成可應(yīng)用的衍生數(shù)據(jù)，其具有超出數(shù)據(jù)本身的應(yīng)用化價值，數(shù)據(jù)控制者應(yīng)當擁有專有權(quán)[9]。

國家電網(wǎng)所擁有的用戶用電數(shù)據(jù)的性質(zhì)

國家電網(wǎng)有限公司是中央直接管理的國有獨資公司，是關(guān)系國民經(jīng)濟命脈和國家能源安全的特大型國有重點骨干企業(yè)。國家電網(wǎng)平臺在提供電力服務(wù)的同時掌握了大量的用戶用電數(shù)據(jù)，擁有龐大的數(shù)據(jù)資源。從私法上看，國家電網(wǎng)有限公司所收集的用戶數(shù)據(jù)應(yīng)當屬于企業(yè)數(shù)據(jù)。然而，如前文所述，與民生息息相關(guān)的交通數(shù)據(jù)、電力數(shù)據(jù)等應(yīng)當屬于公共數(shù)據(jù)。對此問題應(yīng)當辯證看待，國家電網(wǎng)公司與美團、滴滴等電商公司不同，后者是純粹以營利為目的的私主體，國家電網(wǎng)與社會民生息息相關(guān)，具有公共屬性，因此對其掌握的數(shù)據(jù)不能一以概之，需要對數(shù)據(jù)進行分層。

事實上，只有那些涉及公益事業(yè)屬性的數(shù)據(jù)才能屬于公共數(shù)據(jù)，如用于人口統(tǒng)計的人口數(shù)據(jù)。而構(gòu)成人口統(tǒng)計大數(shù)據(jù)的每一條微觀數(shù)據(jù)，即個人信息卻不能屬于公共數(shù)據(jù)。亦即公共數(shù)據(jù)的底層數(shù)據(jù)都是由個人信息或者單個企業(yè)的信息構(gòu)成，這些信息不屬于其他主體，只屬于信息主體。只有那些經(jīng)過統(tǒng)計和處理后，不具有可識別性的宏觀數(shù)據(jù)才屬于公共數(shù)據(jù)。醫(yī)療行業(yè)可以公布全國艾滋病染病數(shù)據(jù)，但卻不能公開個別艾滋病人的信息。進言之，國網(wǎng)平臺所掌握的用戶用電數(shù)據(jù)，只有在進行脫敏處理后，用于行業(yè)、地區(qū)經(jīng)濟分析時用的宏觀大數(shù)據(jù)才屬于公共數(shù)據(jù)，其所掌握的單個用戶的用電數(shù)據(jù)，屬于其所控制的個人信息以及企業(yè)信息。此部分數(shù)據(jù)與滴滴公司掌握的個人出行記錄無異，為公司所控制，屬于企業(yè)數(shù)據(jù)。因此，總體而言國家電網(wǎng)公司掌握的用戶用電數(shù)據(jù)屬于企業(yè)數(shù)據(jù)，只有涉及宏觀統(tǒng)計分析時的電力數(shù)據(jù)才屬于公共數(shù)據(jù)。

供電企業(yè)數(shù)據(jù)共享規(guī)范建議

王利明教授認為，數(shù)據(jù)共享與數(shù)據(jù)收集、利用行為一樣均需獲得權(quán)利人授權(quán)，且授權(quán)必須是明確的。共享者在獲得數(shù)據(jù)后，應(yīng)當在權(quán)利人明確授權(quán)的范圍內(nèi)使用數(shù)據(jù)。同時數(shù)據(jù)共享還應(yīng)遵循合法、正當、必要、最小化使用的原則[10]。供電企業(yè)對于用戶用電數(shù)據(jù)在收集、使用、儲存等過程中均需遵守法律規(guī)定，合理規(guī)避風(fēng)險。

數(shù)據(jù)收集

根據(jù)《民法典》第一千零三十五條規(guī)定，收集個人信息的應(yīng)當征得其同意。根據(jù)歐盟通用數(shù)據(jù)保護條例，同意的要件包括：a.如處理是基于同意，則控制者應(yīng)能證明數(shù)據(jù)主體已經(jīng)同意處理他或她的個人數(shù)據(jù)。b.如數(shù)據(jù)主體通過書面聲明的方式作出同意……c.數(shù)據(jù)主體有權(quán)隨時撤回他或她的同意……

根據(jù)民法典規(guī)定，國網(wǎng)公司在收集用戶數(shù)據(jù)之前應(yīng)當征得用戶同意。因此，供電公司可在用戶開戶申請時便征得其同意。問題在于，國網(wǎng)公司基于收交電費的需要必須記錄用戶用電數(shù)據(jù)，如用戶在開戶時不同意數(shù)據(jù)的收集，是否就不能許可其開戶用電？另外，隨著技術(shù)的發(fā)展，國網(wǎng)公司收集的用戶數(shù)據(jù)可能不僅僅局限于用電總量，甚至?xí)毜接脩艏抑懈麟娖鞯挠秒娏恳约坝秒姇r間段，此部分數(shù)據(jù)已經(jīng)超過收交電費的必要，甚至屬于個人隱私的部分。

對此筆者認為：對于用電總量的數(shù)據(jù)在用戶開戶時僅需履行告知義務(wù)即可，以書面形式告知，如用戶明確表示不能接受收集用電總量即視為不愿開戶。而對于精細化用電數(shù)據(jù)的收集，比如個人家中各電器、各時段用電詳細信息的收集，應(yīng)當于開戶時以書面形式征得其同意。此外，對于企業(yè)用電信息，屬于企業(yè)的經(jīng)營信息，雖不能納入個人信息的范疇，但也應(yīng)當作同等對待，對于用電總量的收集僅需告知，對于更為詳細的用電信息也應(yīng)征得其同意。企業(yè)的經(jīng)營信息即便部分不能納入商業(yè)秘密的范疇，也對企業(yè)自身發(fā)展具有一定影響。

數(shù)據(jù)使用

根據(jù)民法典規(guī)定，對個人信息進行的各種處理行為都需要征得同意。供電企業(yè)如需對收集的用電數(shù)據(jù)進行使用或進行數(shù)據(jù)共享必須經(jīng)過用戶授權(quán)，當然經(jīng)過脫敏化處理，不能識別且不能通過各種方式間接識別出身份的信息不需要經(jīng)過授權(quán)。這種授權(quán)必須是明確的，盡可能以書面形式作出。在征得用戶授權(quán)時，必須明確告知使用信息的規(guī)則、目的，對于使用的方式及范圍也應(yīng)征得用戶的同意。在使用信息時應(yīng)遵循使用規(guī)則，按照約定的使用目的、方式和范圍使用數(shù)據(jù)。如金融機構(gòu)在對企業(yè)信用進行調(diào)查時需要企業(yè)用電信息及交費信息，供電公司應(yīng)在取得企業(yè)的授權(quán)后按照約定的范圍將數(shù)據(jù)提供給金融機構(gòu)。供電企業(yè)可在將數(shù)據(jù)提供給第三方單位時進行初步審查，審查第三方單位獲取該數(shù)據(jù)是否必要以及獲取數(shù)據(jù)的范圍是否明顯過度。此外，提供數(shù)據(jù)前，必須進行保密約定，要求被提供的單位對數(shù)據(jù)使用進行保密處理，不得進行數(shù)據(jù)分享。

如若供電平臺意欲開發(fā)其他數(shù)據(jù)產(chǎn)品，提供其他數(shù)據(jù)服務(wù)，所利用的各項數(shù)據(jù)最終具有可識別性，那么數(shù)據(jù)使用的目的、方式、范圍等必須經(jīng)過信息權(quán)利人的明示授權(quán)，從而降低數(shù)據(jù)使用的風(fēng)險。

數(shù)據(jù)儲存

根據(jù)民法典規(guī)定，信息處理者應(yīng)當采取技術(shù)措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失。因此，供電企業(yè)應(yīng)當采取技術(shù)措施以及其他必要措施保證用戶用電數(shù)據(jù)的安全。對于用電數(shù)據(jù)，一般供電公司采取永久保存的方式。而對于能夠體現(xiàn)個人隱私的詳細化用電數(shù)據(jù)，比如家中各電器、各時段用電的具體信息，可賦予用戶被遺忘權(quán)，在取得數(shù)據(jù)經(jīng)過一定時間后允許用戶刪除此部分信息。

此外，應(yīng)保障用戶對數(shù)據(jù)的知情權(quán)，如用戶想了解自己的用電信息，應(yīng)予以提供。當然此類信息是直接獲取的信息，而非經(jīng)過加工的信息。在用戶同意后可對信息進行加工，使其具有一定價值性，此時可要求用戶支付加工服務(wù)的對價。

數(shù)據(jù)處理的刑事風(fēng)險

2009年《刑法修正案（七）》中增設(shè)“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”后，2015年通過的《刑法修正案（九）》將原有的兩個罪名統(tǒng)一為“侵犯公民個人信息罪”，并擴大了犯罪主體范圍，提高了法定刑，規(guī)定了從重處罰的情形。最高人民法院、最高人民檢察院聯(lián)合頒布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對《刑法》第253條之一規(guī)定的侵犯公民個人信息罪的理解與適用問題作出了明確而詳盡的細化規(guī)定[11]。

根據(jù)刑法規(guī)定，綜合考慮侵犯公民個人信息罪的構(gòu)成要件，不論國網(wǎng)公司作為特殊主體還是普通主體，其構(gòu)成要件當中均需滿足“違反國家有關(guān)規(guī)定”或者“非法”的要件，而根據(jù)《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第二條：違反法律、行政法規(guī)、部門規(guī)章有關(guān)公民個人信息保護的規(guī)定的，應(yīng)當認定為刑法第二百五十三條之一規(guī)定的“違反國家有關(guān)規(guī)定”。目前國網(wǎng)平臺涉及的個人信息處理主要法律依據(jù)在于民法典，因此對于個人信息的使用行為應(yīng)嚴格按照民法典有關(guān)規(guī)定，而民法典的保護主要著重于個人信息處理時的“授權(quán)”要件。