■國網江蘇省電力有限公司蘇州供電分公司 張 劍 趙志強 郭 敏 蘇州大學法學院 汪 煜

當前大數據時代下，國家正全面推進“數字中國”建設，推進數據共享，促進數據融合及資源整合，為經濟社會發(fā)展服務。國家電網所擁有的電力大數據具有可信度高、時效性強、覆蓋面廣等特點。對電力大數據進行深度挖掘和創(chuàng)新應用，可加快電力大數據價值釋放，推動共享型企業(yè)構建。然而，對于電力大數據的收集、共享，實踐中存在諸多法律風險，對此需要明確電力數據的性質，界定邊界，合理規(guī)范地使用電力大數據，發(fā)揮數據的價值。

數據的民事客體屬性及分類

數據能否成為民事法律關系的客體？學界持有不同意見。肯定說認為，數據可以脫離自然人獨立存在、具有一定價值且可被占有，而有體物并非民事法律關系客體存在的要件[1]。持否定觀點的學者認為，數據無法被主體獨占和控制；數據并不具有排他性不能被獨占，其價值依賴于特定載體或代碼，因而其不能成為民事法律關系的客體[2]?！睹穹ǖ洹吩凇翱倓t編”第五章“民事權利章”第111條和第127條對個人信息和數據保護分別作出規(guī)定，這意味立法至少從二者區(qū)別的角度承認了數據的民事客體地位[3]。數據只有成為民事客體，才具有商業(yè)化運用的可能性。

研究電力數據的屬性，首先需明確一般數據的分類，界定其邊界。對于數據分類，可從主體性分類與階段性分類兩個維度進行。主體層次上，數據可分為個人數據、企業(yè)數據以及公共數據；階段層面，根據數據處理的效果可分為底層數據、匿名化數據以及衍生數據。

個人數據指的是其本身就能識別出或者結合其他數據可以識別出特定自然人的數據[4]?？芍苯幼R別特定自然人的數據包括：個人的姓名、肖像、指紋、身份證號、基因信息、以及社保賬號等。結合其他數據間接識別出特定自然的數據有：性別、年齡、職業(yè)、習慣、教育經歷、婚姻、興趣、以及財物狀況等[5]。學界主流觀點認為，對個人數據認定的實質性標準在于“可識別性”，我國立法上對個人數據也采用可識別性作為判定標準[6]。企業(yè)數據指的是由企業(yè)實際控制和使用的數據，既包括財務數據、運營數據等商業(yè)數據，也包括企業(yè)合法收集、利用的用戶數據[7]。公共數據是指國家公職機關在依法履行公共管理和服務職能的過程中，采集和產生的各類數據資源，也包括與民生息息相關的醫(yī)療數據、交通數據及電力數據等，與經濟相關的交易數據[8]。

大數據技術涉及的數據類型至少可以分為三種。一是底層數據，又叫原生數據，基礎數據，其基本特征在于此類數據含有個人信息。對于含有個人隱私信息的底層數據，數據主體享有完整權利，他人未經許可不能收集、使用、交易。二是不含個人信息的匿名化數據。對于經過脫敏化處理的數據，已經不能將其與特定主體產生聯系，對其進行使用、交易的權利應當歸屬于數據控制者。三是經數據清洗、算法建模加工整合后的衍生數據。對于經過技術手段進行加工以完成可應用的衍生數據，其具有超出數據本身的應用化價值，數據控制者應當擁有專有權[9]。

國家電網所擁有的用戶用電數據的性質

國家電網有限公司是中央直接管理的國有獨資公司，是關系國民經濟命脈和國家能源安全的特大型國有重點骨干企業(yè)。國家電網平臺在提供電力服務的同時掌握了大量的用戶用電數據，擁有龐大的數據資源。從私法上看，國家電網有限公司所收集的用戶數據應當屬于企業(yè)數據。然而，如前文所述，與民生息息相關的交通數據、電力數據等應當屬于公共數據。對此問題應當辯證看待，國家電網公司與美團、滴滴等電商公司不同，后者是純粹以營利為目的的私主體，國家電網與社會民生息息相關，具有公共屬性，因此對其掌握的數據不能一以概之，需要對數據進行分層。

事實上，只有那些涉及公益事業(yè)屬性的數據才能屬于公共數據，如用于人口統(tǒng)計的人口數據。而構成人口統(tǒng)計大數據的每一條微觀數據，即個人信息卻不能屬于公共數據。亦即公共數據的底層數據都是由個人信息或者單個企業(yè)的信息構成，這些信息不屬于其他主體，只屬于信息主體。只有那些經過統(tǒng)計和處理后，不具有可識別性的宏觀數據才屬于公共數據。醫(yī)療行業(yè)可以公布全國艾滋病染病數據，但卻不能公開個別艾滋病人的信息。進言之，國網平臺所掌握的用戶用電數據，只有在進行脫敏處理后，用于行業(yè)、地區(qū)經濟分析時用的宏觀大數據才屬于公共數據，其所掌握的單個用戶的用電數據，屬于其所控制的個人信息以及企業(yè)信息。此部分數據與滴滴公司掌握的個人出行記錄無異，為公司所控制，屬于企業(yè)數據。因此，總體而言國家電網公司掌握的用戶用電數據屬于企業(yè)數據，只有涉及宏觀統(tǒng)計分析時的電力數據才屬于公共數據。

供電企業(yè)數據共享規(guī)范建議

王利明教授認為，數據共享與數據收集、利用行為一樣均需獲得權利人授權，且授權必須是明確的。共享者在獲得數據后，應當在權利人明確授權的范圍內使用數據。同時數據共享還應遵循合法、正當、必要、最小化使用的原則[10]。供電企業(yè)對于用戶用電數據在收集、使用、儲存等過程中均需遵守法律規(guī)定，合理規(guī)避風險。

數據收集

根據《民法典》第一千零三十五條規(guī)定，收集個人信息的應當征得其同意。根據歐盟通用數據保護條例，同意的要件包括：a.如處理是基于同意，則控制者應能證明數據主體已經同意處理他或她的個人數據。b.如數據主體通過書面聲明的方式作出同意……c.數據主體有權隨時撤回他或她的同意……

根據民法典規(guī)定，國網公司在收集用戶數據之前應當征得用戶同意。因此，供電公司可在用戶開戶申請時便征得其同意。問題在于，國網公司基于收交電費的需要必須記錄用戶用電數據，如用戶在開戶時不同意數據的收集，是否就不能許可其開戶用電？另外，隨著技術的發(fā)展，國網公司收集的用戶數據可能不僅僅局限于用電總量，甚至會精細到用戶家中各電器的用電量以及用電時間段，此部分數據已經超過收交電費的必要，甚至屬于個人隱私的部分。

對此筆者認為：對于用電總量的數據在用戶開戶時僅需履行告知義務即可，以書面形式告知，如用戶明確表示不能接受收集用電總量即視為不愿開戶。而對于精細化用電數據的收集，比如個人家中各電器、各時段用電詳細信息的收集，應當于開戶時以書面形式征得其同意。此外，對于企業(yè)用電信息，屬于企業(yè)的經營信息，雖不能納入個人信息的范疇，但也應當作同等對待，對于用電總量的收集僅需告知，對于更為詳細的用電信息也應征得其同意。企業(yè)的經營信息即便部分不能納入商業(yè)秘密的范疇，也對企業(yè)自身發(fā)展具有一定影響。

數據使用

根據民法典規(guī)定，對個人信息進行的各種處理行為都需要征得同意。供電企業(yè)如需對收集的用電數據進行使用或進行數據共享必須經過用戶授權，當然經過脫敏化處理，不能識別且不能通過各種方式間接識別出身份的信息不需要經過授權。這種授權必須是明確的，盡可能以書面形式作出。在征得用戶授權時，必須明確告知使用信息的規(guī)則、目的，對于使用的方式及范圍也應征得用戶的同意。在使用信息時應遵循使用規(guī)則，按照約定的使用目的、方式和范圍使用數據。如金融機構在對企業(yè)信用進行調查時需要企業(yè)用電信息及交費信息，供電公司應在取得企業(yè)的授權后按照約定的范圍將數據提供給金融機構。供電企業(yè)可在將數據提供給第三方單位時進行初步審查，審查第三方單位獲取該數據是否必要以及獲取數據的范圍是否明顯過度。此外，提供數據前，必須進行保密約定，要求被提供的單位對數據使用進行保密處理，不得進行數據分享。

如若供電平臺意欲開發(fā)其他數據產品，提供其他數據服務，所利用的各項數據最終具有可識別性，那么數據使用的目的、方式、范圍等必須經過信息權利人的明示授權，從而降低數據使用的風險。

數據儲存

根據民法典規(guī)定，信息處理者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失。因此，供電企業(yè)應當采取技術措施以及其他必要措施保證用戶用電數據的安全。對于用電數據，一般供電公司采取永久保存的方式。而對于能夠體現個人隱私的詳細化用電數據，比如家中各電器、各時段用電的具體信息，可賦予用戶被遺忘權，在取得數據經過一定時間后允許用戶刪除此部分信息。

此外，應保障用戶對數據的知情權，如用戶想了解自己的用電信息，應予以提供。當然此類信息是直接獲取的信息，而非經過加工的信息。在用戶同意后可對信息進行加工，使其具有一定價值性，此時可要求用戶支付加工服務的對價。

數據處理的刑事風險

2009年《刑法修正案（七）》中增設“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”后，2015年通過的《刑法修正案（九）》將原有的兩個罪名統(tǒng)一為“侵犯公民個人信息罪”，并擴大了犯罪主體范圍，提高了法定刑，規(guī)定了從重處罰的情形。最高人民法院、最高人民檢察院聯合頒布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對《刑法》第253條之一規(guī)定的侵犯公民個人信息罪的理解與適用問題作出了明確而詳盡的細化規(guī)定[11]。

根據刑法規(guī)定，綜合考慮侵犯公民個人信息罪的構成要件，不論國網公司作為特殊主體還是普通主體，其構成要件當中均需滿足“違反國家有關規(guī)定”或者“非法”的要件，而根據《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第二條：違反法律、行政法規(guī)、部門規(guī)章有關公民個人信息保護的規(guī)定的，應當認定為刑法第二百五十三條之一規(guī)定的“違反國家有關規(guī)定”。目前國網平臺涉及的個人信息處理主要法律依據在于民法典，因此對于個人信息的使用行為應嚴格按照民法典有關規(guī)定，而民法典的保護主要著重于個人信息處理時的“授權”要件。