电力大数据商业使用规范化研究

■国网江苏省电力有限公司苏州供电分公司 张 剑 赵志强 郭 敏 苏州大学法学院 汪 煜

当前大数据时代下，国家正全面推进“数字中国”建设，推进数据共享，促进数据融合及资源整合，为经济社会发展服务。国家电网所拥有的电力大数据具有可信度高、时效性强、覆盖面广等特点。对电力大数据进行深度挖掘和创新应用，可加快电力大数据价值释放，推动共享型企业构建。然而，对于电力大数据的收集、共享，实践中存在诸多法律风险，对此需要明确电力数据的性质，界定边界，合理规范地使用电力大数据，发挥数据的价值。

数据的民事客体属性及分类

数据能否成为民事法律关系的客体？学界持有不同意见。肯定说认为，数据可以脱离自然人独立存在、具有一定价值且可被占有，而有体物并非民事法律关系客体存在的要件[1]。持否定观点的学者认为，数据无法被主体独占和控制；数据并不具有排他性不能被独占，其价值依赖于特定载体或代码，因而其不能成为民事法律关系的客体[2]。《民法典》在“总则编”第五章“民事权利章”第111条和第127条对个人信息和数据保护分别作出规定，这意味立法至少从二者区别的角度承认了数据的民事客体地位[3]。数据只有成为民事客体，才具有商业化运用的可能性。

研究电力数据的属性，首先需明确一般数据的分类，界定其边界。对于数据分类，可从主体性分类与阶段性分类两个维度进行。主体层次上，数据可分为个人数据、企业数据以及公共数据；阶段层面，根据数据处理的效果可分为底层数据、匿名化数据以及衍生数据。

个人数据指的是其本身就能识别出或者结合其他数据可以识别出特定自然人的数据[4]。可直接识别特定自然人的数据包括：个人的姓名、肖像、指纹、身份证号、基因信息、以及社保账号等。结合其他数据间接识别出特定自然的数据有：性别、年龄、职业、习惯、教育经历、婚姻、兴趣、以及财物状况等[5]。学界主流观点认为，对个人数据认定的实质性标准在于“可识别性”，我国立法上对个人数据也采用可识别性作为判定标准[6]。企业数据指的是由企业实际控制和使用的数据，既包括财务数据、运营数据等商业数据，也包括企业合法收集、利用的用户数据[7]。公共数据是指国家公职机关在依法履行公共管理和服务职能的过程中，采集和产生的各类数据资源，也包括与民生息息相关的医疗数据、交通数据及电力数据等，与经济相关的交易数据[8]。

大数据技术涉及的数据类型至少可以分为三种。一是底层数据，又叫原生数据，基础数据，其基本特征在于此类数据含有个人信息。对于含有个人隐私信息的底层数据，数据主体享有完整权利，他人未经许可不能收集、使用、交易。二是不含个人信息的匿名化数据。对于经过脱敏化处理的数据，已经不能将其与特定主体产生联系，对其进行使用、交易的权利应当归属于数据控制者。三是经数据清洗、算法建模加工整合后的衍生数据。对于经过技术手段进行加工以完成可应用的衍生数据，其具有超出数据本身的应用化价值，数据控制者应当拥有专有权[9]。

国家电网所拥有的用户用电数据的性质

国家电网有限公司是中央直接管理的国有独资公司，是关系国民经济命脉和国家能源安全的特大型国有重点骨干企业。国家电网平台在提供电力服务的同时掌握了大量的用户用电数据，拥有庞大的数据资源。从私法上看，国家电网有限公司所收集的用户数据应当属于企业数据。然而，如前文所述，与民生息息相关的交通数据、电力数据等应当属于公共数据。对此问题应当辩证看待，国家电网公司与美团、滴滴等电商公司不同，后者是纯粹以营利为目的的私主体，国家电网与社会民生息息相关，具有公共属性，因此对其掌握的数据不能一以概之，需要对数据进行分层。

事实上，只有那些涉及公益事业属性的数据才能属于公共数据，如用于人口统计的人口数据。而构成人口统计大数据的每一条微观数据，即个人信息却不能属于公共数据。亦即公共数据的底层数据都是由个人信息或者单个企业的信息构成，这些信息不属于其他主体，只属于信息主体。只有那些经过统计和处理后，不具有可识别性的宏观数据才属于公共数据。医疗行业可以公布全国艾滋病染病数据，但却不能公开个别艾滋病人的信息。进言之，国网平台所掌握的用户用电数据，只有在进行脱敏处理后，用于行业、地区经济分析时用的宏观大数据才属于公共数据，其所掌握的单个用户的用电数据，属于其所控制的个人信息以及企业信息。此部分数据与滴滴公司掌握的个人出行记录无异，为公司所控制，属于企业数据。因此，总体而言国家电网公司掌握的用户用电数据属于企业数据，只有涉及宏观统计分析时的电力数据才属于公共数据。

供电企业数据共享规范建议

王利明教授认为，数据共享与数据收集、利用行为一样均需获得权利人授权，且授权必须是明确的。共享者在获得数据后，应当在权利人明确授权的范围内使用数据。同时数据共享还应遵循合法、正当、必要、最小化使用的原则[10]。供电企业对于用户用电数据在收集、使用、储存等过程中均需遵守法律规定，合理规避风险。

数据收集

根据《民法典》第一千零三十五条规定，收集个人信息的应当征得其同意。根据欧盟通用数据保护条例，同意的要件包括：a.如处理是基于同意，则控制者应能证明数据主体已经同意处理他或她的个人数据。b.如数据主体通过书面声明的方式作出同意……c.数据主体有权随时撤回他或她的同意……

根据民法典规定，国网公司在收集用户数据之前应当征得用户同意。因此，供电公司可在用户开户申请时便征得其同意。问题在于，国网公司基于收交电费的需要必须记录用户用电数据，如用户在开户时不同意数据的收集，是否就不能许可其开户用电？另外，随着技术的发展，国网公司收集的用户数据可能不仅仅局限于用电总量，甚至会精细到用户家中各电器的用电量以及用电时间段，此部分数据已经超过收交电费的必要，甚至属于个人隐私的部分。

对此笔者认为：对于用电总量的数据在用户开户时仅需履行告知义务即可，以书面形式告知，如用户明确表示不能接受收集用电总量即视为不愿开户。而对于精细化用电数据的收集，比如个人家中各电器、各时段用电详细信息的收集，应当于开户时以书面形式征得其同意。此外，对于企业用电信息，属于企业的经营信息，虽不能纳入个人信息的范畴，但也应当作同等对待，对于用电总量的收集仅需告知，对于更为详细的用电信息也应征得其同意。企业的经营信息即便部分不能纳入商业秘密的范畴，也对企业自身发展具有一定影响。

数据使用

根据民法典规定，对个人信息进行的各种处理行为都需要征得同意。供电企业如需对收集的用电数据进行使用或进行数据共享必须经过用户授权，当然经过脱敏化处理，不能识别且不能通过各种方式间接识别出身份的信息不需要经过授权。这种授权必须是明确的，尽可能以书面形式作出。在征得用户授权时，必须明确告知使用信息的规则、目的，对于使用的方式及范围也应征得用户的同意。在使用信息时应遵循使用规则，按照约定的使用目的、方式和范围使用数据。如金融机构在对企业信用进行调查时需要企业用电信息及交费信息，供电公司应在取得企业的授权后按照约定的范围将数据提供给金融机构。供电企业可在将数据提供给第三方单位时进行初步审查，审查第三方单位获取该数据是否必要以及获取数据的范围是否明显过度。此外，提供数据前，必须进行保密约定，要求被提供的单位对数据使用进行保密处理，不得进行数据分享。

如若供电平台意欲开发其他数据产品，提供其他数据服务，所利用的各项数据最终具有可识别性，那么数据使用的目的、方式、范围等必须经过信息权利人的明示授权，从而降低数据使用的风险。

数据储存

根据民法典规定，信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。因此，供电企业应当采取技术措施以及其他必要措施保证用户用电数据的安全。对于用电数据，一般供电公司采取永久保存的方式。而对于能够体现个人隐私的详细化用电数据，比如家中各电器、各时段用电的具体信息，可赋予用户被遗忘权，在取得数据经过一定时间后允许用户删除此部分信息。

此外，应保障用户对数据的知情权，如用户想了解自己的用电信息，应予以提供。当然此类信息是直接获取的信息，而非经过加工的信息。在用户同意后可对信息进行加工，使其具有一定价值性，此时可要求用户支付加工服务的对价。

数据处理的刑事风险

2009年《刑法修正案（七）》中增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”后，2015年通过的《刑法修正案（九）》将原有的两个罪名统一为“侵犯公民个人信息罪”，并扩大了犯罪主体范围，提高了法定刑，规定了从重处罚的情形。最高人民法院、最高人民检察院联合颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对《刑法》第253条之一规定的侵犯公民个人信息罪的理解与适用问题作出了明确而详尽的细化规定[11]。

根据刑法规定，综合考虑侵犯公民个人信息罪的构成要件，不论国网公司作为特殊主体还是普通主体，其构成要件当中均需满足“违反国家有关规定”或者“非法”的要件，而根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条：违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。目前国网平台涉及的个人信息处理主要法律依据在于民法典，因此对于个人信息的使用行为应严格按照民法典有关规定，而民法典的保护主要着重于个人信息处理时的“授权”要件。