数据管理的时代性思考

方　禹　中国信息通信研究院互联网法律研究中心副主任

刘　珊　中国信息通信研究院数据研究中心工程师

1　引言

数据管理是一个时代命题。物体因为使用价值和交换价值而产生了商品属性甚至是货币属性，比如19世纪的黄金和20世纪的石油。2015年国务院发布的《促进大数据发展行动纲要》中指出，信息技术与经济社会的交汇融合引发了数据迅猛增长，数据已成为国家基础性战略资源，大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。在数字时代的21世纪，数据已经成为了重要资源，这是世界范围内的普遍共识。二十国集团通过了《二十国集团数字经济发展与合作倡议》，美国、欧盟、德国、英国、日本等主要国家和地区加紧数字经济战略布局。资源意味着要被充分开放和利用，才能不断释放其价值。正是基于这样的认识，我们需要在时代背景下思考数据治理问题。

2　数字经济发展背景

数字经济正在引领中国经济新动能，信息基础设施以及数字化的传统基础设施正在成为新的基础设施，信息产业正在成为先导产业。传统产业加速利用互联网，各行业ICT投入持续加大，自2002年起，历年企业ICT投入不断提高。数据作为生产要素，正在支撑着各行各业数字经济发展的内在需求和潜在动力。与此同时，还需要认识到，数字经济的发展在中国呈现出区域发展不平衡、行业发展不平衡的特点，东部地区发展较快，中西部地区发展较慢，第三产业中行业数字化水平实现29.6%，高于第一产业的6.2%和第二产业的17%。其中，第三产业中的个人消费与服务领域数字化水平又相对更高于公共服务领域。基于当前发展的现状，更应该关注对数据的合理利用，同时防范个人信息保护中可能出现的问题。

3　数据管理的突出问题

目前来看，数据管理过程中主要表现出两个问题：数据权属问题和个人信息保护问题。这两个问题都给数字经济的发展带来了障碍，影响了数据的充分开发和利用，是完善数据管理需要解决的首要问题。数据权属问题直接影响了数据的有效流通，而个人信息保护问题又难以寻找到保护个人信息和利用个人信息的平衡点，处理不当都会导致天平失衡。

数据权属问题具有典型的互联网特点，数据本身虚拟、无形，可复制、可还原，数据开发利用的技术手段同时在不断创新，使得数据与有形物和无形物的特点都存在差异，传统法学理论中的权利类型都难以完全包含数据的特性。学术界对此提出隐私权、财产权、所有权、知识产权等多种权利归类的理论，但都难以形成完美的解释。有的观点提出新型权利说，认为数据权属问题是一种新型的民法权利。不过，当前的学术研究成果还不能直接为数据权属问题提供完美的解决方案，由于数据权属问题的限制，数据流通、数据共享、数据转让等活动都存在各种问题，甚至产生了较大的纠纷。《民法总则》中规定，“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”但是，《民法总则》仍然没有触碰数据权属这个核心问题。美国依托其完备的司法体系，通过《隐私法》和《消费者隐私权利法案》对个人信息从隐私权利和消费者权利的保护。欧盟在《通用数据保护条例》（GDPR）中规定了获得透明准确信息的权利、获取个人数据的权利、修正权、删除权及被遗忘权、限制处理权、数据可携带权、拒绝权、违背自动决策的权利等八种权利，但是也没有界定个人信息具体的法定权利类型。相信在未来一段时间，我国就数据权属问题还难以找到完美的答案。当前阶段，更适合通过制定专门规定或者行业规范的方式来优先解决数据流通的先要问题，促进数据资源的开放共享，通过实践经验，为数据权属问题的法律界定提供支持。

个人信息保护也是数据管理中的重要命题。个人信息是一种价值极高的数据资源，对其保护具有明显的时代性。上个世纪90年代，就有学者指出信息技术水平的发展和提高，使得个人信息的收集、处理、储存、转移和使用等环节变得更为容易和便捷。随着时代的变迁，个人信息保护问题不断产生和发展。虽然个人信息是一种价值极高的数据，传统的线下环境中，个人信息仅仅具有个人身份的识别和个人情况的展示作用，通过对个人信息的分析以挖掘商业价值的效率很低，从而限制了个人信息的交换使用。随着信息技术发展的变革，个人信息的价值逐渐凸显，对个人信息的深度分析和挖掘，能够形成直接的商业利益。但是数据本身并不直接产生价值，只有经过交换的数据才能产生效益。因此，数据并非天然具有使用价值。

最早在前电信时代（1994年以前），我国尚未接入互联网，个人信息保护问题尚未成型，早期实践主要是对隐私保护，以保护个人隐私为目标，源自于《民法通则》（1986年）所规定的名誉权。所以在前电信时代，只有个人隐私的概念，还没有个人信息的概念。个人对其隐私信息基本实现掌控，个人信息分散而不集中。个人信息泄露还没有成为一个命题。个人隐私被侵犯，主要通过名誉权救济来实现，基本由民事法律关系进行调整，处于私法的调整范围。

1995年我国接入互联网后，互联网技术发展持续加速，中国由电信网时代向互联网时代转变（1995—2011年），电信网与互联网不断实现融合，人们一方面感受到技术发展给生产生活带来的便利，另一方面也意识到与此相伴的负面影响。2010年以来，智能手机的快速普及催生出全世界规模最庞大的信息市场，移动互联网技术成为世界各国新兴技术产业最受瞩目的创新领域，其乘法效应在不断积累和爆发。大量的经济社会活动通过网络进行和完成，网上个人信息数量激增，收集、使用个人信息缺乏有效的规范。个人信息保护逐渐从个人隐私问题中扩展开来，日益成为社会关注的重要问题。当时的研究表明，随着信息处理和存储技术的不断发展，我国个人信息滥用问题日趋严重，社会对个人信息保护立法的需求越来越迫切。在这一阶段，大量的公共管理和服务机构、运营商和网络服务提供者开始掌握较大规模的个人信息。个人信息保护问题开始受到关注，逐步突破私法领域，向公法领域转移，行政权力开始介入保护个人信息规范收集和使用。同时，个人信息保护刑事打击力度加大，刑法修正案（七）、（九）都关注了个人信息保护问题，规定了侵犯个人信息权利将承担刑事责任，极大地加强了个人信息保护力度。

当前，正身处大数据时代（2012年至今），移动互联网技术和云技术发展迅速并快速普及，人们在享受丰富的网络生活的同时，不断向网络输送个人信息。大规模泄露个人信息的案件频频发生，国内围绕个人信息保护问题出台了关键性立法，几乎各类互联网立法活动中都会关注个人信息保护问题。对于个人信息的界定逐步形成了广泛共识，并且不断细化对个人信息保护的理论研究，对数据与信息、隐私与信息等都进行了深入的学术研究。个人信息收集和使用活动十分频繁，网络服务提供者开始成为掌握个人信息最大的主体。

4　结合时代背景的思考和建议

诚然，数据管理过程中出现了很多问题，这些问题无疑会给网络信息安全、用户权益保障等带来负面的影响。但是，仍然要认识到我们正在经历大数据产业发展的时代背景。这一点，对于个人信息保护的价值取向具有重要意义。不同时代的人们对于个人信息保护的理解和需求不尽相同。与前电信时代相比较，用户对个人信息保护发生了很大的变化。虽然用户对个人信息的关注度逐渐提高，但是经历了电信和互联网时代、大数据时代之后，对用户个人信息的保护表现为区别于个人隐私保护的趋势。对个人隐私的严格保护思路不宜直接复制到对个人信息的保护制度中。如今在数字经济背景下，个体追求隐私保护的诉求并未构成普遍的保护内容，然而大规模的收集和使用用户个人信息引发了人们对个人信息泄露的担心，实际上个人信息大规模泄露事件也屡屡发生。此外，由于个人信息泄露所发生的电信和互联网诈骗事件加剧了人们对个人信息风险的认知，从源头上保护个人信息成为理论上的合理诉求。这些问题在某种程度上已经超出了个人信息保护命题的本身，或者是更大范围的网络信息安全问题。因此，解决数据管理问题，要避免单纯与个人信息保护相挂钩，以更宏观的视角寻找妥善的解决方案，以推动个人信息保护统一立法为基础，巧妙设计用户赋权法律制度，优先解决数据流通问题。

首先要推动个人信息保护统一立法。安全与发展是网信领域的核心命题，安全是发展的保障。数字经济发展浪潮之下，个人信息保护中凸显的问题为各方有目共睹、切身感受。个人信息保护是一个普遍问题和共性问题，在数字经济浪潮中，各行各业实现与互联网的融合，都会开展个人信息的收集和使用等相关活动，相应会产生违规收集、越权使用、数据泄露、用户权益损害等问题，对这些问题的规制需要统一的高位阶立法解决。我们也注意到近年来，涉及互联网领域的立法中，无论部门、无论位阶，都会对个人信息保护问题有所规范。然而，这种分散性、碎片化的立法无益于个人信息保护的总体目标和统筹安排，有必要通过专门立法对职责部门、基本原则、通用规则等予以明确，再由各行业各领域结合自身具体情况，出台专门性规定，实现统筹兼顾的体系化保护模式。

其次是要巧妙设计个人信息保护过程中对用户的赋权。鉴于对用户权益保障的需求，个人信息保护法律立法过程中，往往通过用户赋权的方式来增加用户的参与性和主动性，然而用户作为个人信息被收集者，与个人信息收集主体（即网络运营者）之间存在信息、技术的极不对称性，即使用户被充分赋权，也难以通过个体的力量直接向个人信息收集主体维护自身权利，同时寻求司法救济的成本也十分高昂。为了纠正这种不平衡性，行政力量干预尤为必要，对个人信息的行政保护应当发挥主要作用。因此，在个人信息保护法律制度设计中，不宜为用户过多赋权，在个人信息分类、分领域、分场景的基础上，以用户知情权、同意权为核心，综合明示同意、默示同意等方式，兼用opt-in和optout两种模式，延伸出撤回、同意、删除、注销以及被遗忘等相关权利。对于个人信息保护中可能存在的侵犯用户权益的问题，强化行政机关、行业协会的作用，加大干预力度。

最后是优先解决数据流通的问题。在个人信息保护的基础之上，解决当前大数据产业中最为棘手和迫切的数据流通问题，以政府为主导，通过行业协会等客观中立平台，发挥企业主动性，围绕数据转让、共享、交易等主要环节，建立行业规范，制定专门规定，有效促进数据流通活动，提高数据流通效率，发掘数字经济活力。在具体制度设计中，需要注意的是要尽量避免对数据权属问题的规定，留待基本性法律来解决这一权利属性问题。其中，由监管部门指导形成行业规范、行业准则等，建立具有普遍共识的数据流通规则，应当成为解决数据流通问题的核心内容。这是当前各类数据流通主体所共同面对的首要难题。

5　结束语

当然，除了数据权属和个人信息保护两个问题，数据管理还面对其他很多问题。数字经济背景下解决数据管理问题，还有很长的路要走。从监管角度来说，数据管理涉及多部门职责，且呈动态变化的趋势，越来越多的行业开始收集、使用网络数据，使得更多的监管部门开始面对数据管理的命题。如何平衡各部门之间职责交叉，有无必要建立专门的或者更高层级的数据监管部门，是明确数据监管主体的讨论内容之一。从企业角度来说，数据收集和使用时产生经济价值的内生动力，如何在确保数据活动合规的基础上，继续保证自身活力及创新力，是在数字经济浪潮中检验企业实力的“试金石”。从用户角度来说，如何提高自身安全防范意识，合理利用法律赋权，积极维护正当利益，也是数字经济时代的必修课之一。综合从这些不同视角来考量可以发现，以数字经济为背景来解决数据管理的重大命题，是一项系统性工程，网络治理需要政府、企业、用户、社会等多元主体参与，各尽其责，共同维护网络社会秩序，实现网络社会科学有效的管理。美国、欧盟等国际经验有很多值得借鉴的部分，但是国外的很多法律制度往往经过长期的时间磨练，比如欧盟的GDPR是在1995年指令的基础上产生的，欧盟也通过“安全港协议”、“隐私盾协议”等开展了大量具体实践；或者是结合国情、民情以及大的制度环境背景所制定的，比如美国有成熟的消费者保护体系和强烈的公民维权意识。这些因素都是国外法律制度背后的内容，如果简单复制这些制度，而忽略了背后多重因素所发挥的作用，很有可能导致法律制度复制的水土不服。

也许很多数据管理问题都难以在短时间内找到答案，解决思路转换为法律制度也存在种种困难。但是，以数字经济时代为背景进行思考十分必要，机遇和挑战始终并存，我国正在努力实现网络强国的奋斗目标，互联网企业的崛起和网络经济的壮大为我国引领数字经济浪潮奠定了坚实的基础，我们在应对挑战的同时，也应不忘抓住历史机遇，实现“数字中国”建设的宏大构想。