数据保护的路径选择

张素华， 李雅男

(武汉大学 法学院， 湖北 武汉 430072 )

一、引 言

随着大数据技术的发展，我国多地建立了大数据交易中心，数据堂、数多多等大数据开发公司也如同雨后春笋般崛起。但是，我国目前并没有专门的关于数据交易的法律，数据交易中心制定的规则又多是从自身出发且规则之间多有冲突和矛盾，数据的性质、权属等不甚明确，这不但为司法实践带来了巨大的困难，也为我国大数据技术的发展和大数据的开发与利用带来了隐患，个人信息被泄露的事件也频繁发生。那么，究竟采取何种方式保护数据，才能平衡个人隐私与公共利益之间的关系？数据业者之间对数据主张权利有无正当性？数据原生者、衍生者和使用者之间数据权属关系该如何界定？是否需要新设权利类型来达到保护数据的目的？这些问题的解决直接关系着未来我国大数据产业及人工智能产业的发展。

二、当前数据交易的现状与困境

(一)当前数据交易现状

大数据时代的到来使数据超越了符号的价值，成为一种宝贵的资源，并逐渐成为具有认知价值、经济价值、政治价值和其他价值的财富。与传统财富易被消耗不同，数据财富变成了真正可持续利用的资源，取之不尽，用之不竭。数据在未来的作用将会越来越重要，据估计到2020年，我国大数据交易市场规模有望超过550亿元。〔1〕但是，由于数据法律地位不明晰，我国大数据交易目前并无有效的监管和约束。个人信息、数据泄露事件频繁发生，进而波及政治、经济和社会领域的安定。这种混乱的状态不仅严重制约了企业的创新能力，而且从长远上看必将造成我国数据交易市场的低端自锁。一方面，国内正规公司不敢或不愿购买数据，数据资源的稀缺将使其在国际市场竞争中处于劣势，创新能力不断下降。如果大数据成果无法得到法律的保障，企业也必然毫无动力投入更多的金钱和资源进行创新。〔2〕另一方面，数据与信息的模糊使得数据资产化的道路阻碍重重。由于立法的不完善，数据销售者倾向于提高个人数据的销售价格，将风险捆绑出售完成风险转移。而对于买方来说，过高的价格增加了额外成本，这分散了企业在生产方面的投入，影响了创新能力的提高，从而造成恶性循环。

(二)当前阶段立法应对不足

目前关于大数据交易的相关文件主要包括国家政策、地方性法规和行业规范三类。但是，国家政策主要是原则性的指导意见和政府信息公开的内容，就民事主体间数据交易的相关内容并没有作较多的规定；地方性法规效力层级较低，相关规定并不完善，内容过于单薄(共39条)，根本无法满足大数据交易的实践要求。从立法上看，我国目前出台的相关法规大多是关于个人信息而非数据。《民法总则》第111条是关于个人信息的内容，此条款目前是关于个人信息保护的最高规则。但是该条仅从消极的角度确立了个人信息使用的禁止性规定，并没有赋予个人对个人信息(个人数据或者个人可识别信息)的控制权。关于数据的规定主要体现在第127条，此条款为准用性规范。但是鉴于我国目前并不存在关于数据的单行法，关于数据的保护现在仍然处于无法可依的状态。交易平台基于自身利益制定的行业规范仅在内部适用，维护的多是本平台的利益，不具有普遍的法律约束力，且相应的交易规则之间也多存在冲突，实际上无法为解决数据在实践中产生的问题提供较为权威的约束。数据的价值在于分析、挖掘，收集、使用个人数据应当明示收集、使用数据的目的、方式和范围，但大数据应用中难免会出现难以预测的情况发生，传统的“告知—同意”原则已经不适应大数据时代了，其规定会制约大数据的利用效率。

三、现有理论捉襟见肘

(一)物权与数据

从大数据交易实践来看，“数据所有权”的提法最为常见，这实际上是援引物权所有权制度的体现。〔3〕但是，大数据时代，数据不适用于原来物权的概念，物权客体是有体物，包括动产和不动产，物权的权能包括：占有、使用、收益和处分，这完全是以有体物为基础构造的。物权以“物”为客体，并要求物权客体具有确定性和特定性，物是指“人的身体之外，能为人力所支配，具有独立性，能满足人类社会生活需要的有体物及自然力”。〔4〕而数据不具有实体形态，为无形物。由于数据特有的传播模式，其天然具有流通和分享的特性，可以无限地复制和传播、删除，那么就可能造成多个主体同时享有数据或客体随机灭失的情况发生，不符合物权特定和公示公信等物权客体的基础特征。〔5〕物权变动的基本公示方式主要包括动产的交付和不动产的过户登记，并产生对抗第三人的效力。而数据作为无形的比特流，必须依赖储存设备或网络通讯系统才能完成传递过程。由于数据本身不具有排他性，那么数据也无法通过公示的方式对抗第三人。

物权客体要求能够被实际控制且能够划分独立的利益范围，而数据无法脱离载体而独立存在。即便民事主体控制了电脑终端或储存设备等，其也无法完全控制数据的复制、传播。在物权变动合同无效的情况下，权利人享有返还原物请求权，买方应返还原物于卖方。但是，如果大数据交易合同无效，则物权的救济方式无法适用。由于数据无形且不具有公示性，其一旦被相对人所掌握，则这成为了无法更改的事实，无法恢复原状，即恢复到数据交易前的状态。权利人只能通过禁止使用或者赔偿损失的方式获得救济。尽管物权客体也包含电、热等无形物，但是这本质上仍然是有体财产的延伸，〔6〕与数据具有本质的区别〔7〕。

(二)知识产权与数据

知识产权保护的对象是“创造性的智力成果”，但是，实践中大多数数据是不具有独创性的数据汇编，数据的价值更多地体现在规模大、范围广，数据的辨识度较低，其中蕴含的“独创性”因素并不突出。另外，智力成果是以其信息内容的专属性和垄断性来表彰知识产权的，知识产权中的财产权部分主要体现为对智力成果的经济利用或流通的独占和垄断，其目的并不在于不让人知道或分享，而是通过垄断的方式换取信息的公开。〔8〕但是数据由于缺少具有独创性的智力成果，其难以被置于垄断领域，纯粹数据本身的流通难以被识别和控制。数据本身并不具有类似知识产权所具有的信息垄断性的内在特征。数据并非为结果，而是取得财产的资格和手段，其地位应当为能够帮助实现收益的价值工具，作用更多地体现在对潜在信息的挖掘分析上。〔9〕数据本身并不具有任何意义，其定位只体现在被人们赋予的内容之中。〔10〕

此外，知识产权保护对象的成立要件是其客体需固定在一定的介质上。例如，要求专利应体现为具体的产品而不能只是方案,著作权法“保护思想表达的方式而并不保护思想本身，从而鼓励文学、艺术和科学作品的创造而不垄断思想本身”。商标权的客体是实质的特定标志与特定商品或服务联系在一起的构思的外在固化。然而，数据的独立性主要体现在能够以一定的符号系统表示，并能够为使用同样符号系统的人们接收、再现，并不要求其固化在某种介质上，这与知识产权的要求是截然不同的。

将数据纳入到邻接权的客体中也是不合适的。邻接权人的定义是“作品传播者”。首先，数据本身不能被认为是作品，其独创性不高。而且，数据所有人的目的是为了收集数据，并将数据控制为己有，以获得交换利益。数据与作品不同，其没有外在明显的表征特征，无法像作品一样可以被直接识别。换句话说，数据所有人并不希望自己控制的数据被无限度地传播，数据传播的次数越多，其获利的可能性就越低。而邻接权人希望作品传播，作品每传播一次，权利人就能获利一次。从另一方面来说，知识产权具有公开性与独占性的特征，其客体即知识是公开的，但是权利是垄断的。数据权利并不是以公开为条件的，应承认数据的传播不等于公开，数据的收集和生产并不是为了公开，而是为了满足他人需要从而获取相应收益的生产，并通过数据交易来实现生产。数据权利的客体是独立存在的、具有一定财产价值、可以交换的数据，其价值具有时间性、对象性，可能会因公开而失去价值。同时，数据复制成本极低，这就决定了公开数据会使保护成本极高而近于无法有效保护。

数据与“数据库”是不同的，无法通过保护数据库的方式达到保护数据的目的。欧盟委员会通过的《欧盟数据库法律保护指令》通过著作权的方式保护具有独创性的数据库，通过特别财产权的方式保护非独创性的数据库。对于有独创性的数据库，从世界范围来看，绝大多数是将其归入汇编作品并通过著作权法进行保护。虽然对数据库的定义在文字表达上略有差别，但是本质并没有差别，即数据库是通过电子或其他手段单独获取的事实、数据、作品或其他材料等，与应用程序独立。数据库本身可以被视为是电子化的文件柜，即存储电子文件的处所，用户可以对其中的文件进行新增、截取、更新、删除等操作。然而，对数据库的保护无法延伸到数据或者资料本身。著作权保护的是数据库中具有独创性的选择或编排的表达，而无法保护具体的内容，这是著作权法中保护表达而不保护思想的原则体现。那么，他人很容易通过改变具体的编排结果来规避著作权的保护，这会使对数据的保护失去意义。数据的价值和意义在于其本身而不在于整体的结构顺序。〔11〕

四、数据保护之“权利模式”障碍

(一)“数据权”模式隐藏逻辑漏洞及巨大风险

从实践来看，一些新的权利诉求不断出现，并且并不能被原有的概念和保护体系所包涵，无奈只能以特别的方式来处理。〔12〕由于数据的独有特性，传统理论无法为其寻找到一条适合的路径，于是有学者主张立法应当确立“数据权”，意指数据衍生者对“数据集合”享有的占有、处理、处分的权利。数据权的主体是“数据业者”，权利标的是“数据集合”，权利属性为对世性的财产权利。〔13〕另有学者将数据权区分为个人数据权和数据财产权。

但是，数据是独立的民事客体么？数据能否独立支撑起一类新兴的权利是不无疑问的。梅夏英教授认为“数据没有特定性、独立性，亦不属于无形物，不能归入表彰民事权利的客体；数据无独立经济价值，其交易性受制于信息的内容，且其价值实现依赖于数据安全和自我控制保护,因此也不宜将其独立视作财产。基于数据的非客体性，大数据交易的合同性质宜界定为数据服务合同；基于主体不确定、外部性问题和垄断性的缺乏，数据权利化也难以实现”。〔14〕即使承认应当通过形成新的权利类型来维护数据交易的稳定性和安全性的学者对“数据权”的性质和归属的认识也是不一致的，数据权究竟是财产权还是人格权？其与“信息权”的区别为何？新兴财产“数据权”实际上并没有论证数据权属相较于既有的民事权利的“新颖性”。设立新型权利的方式能够将法律关系直观化，规则应用者可以凭借权利客体具象化地考察规则。但是这种方式实际上免除了规则正当性论证的逻辑前提，权利本身就是一种价值，是自然法上的被社会所广泛承认的正义，权利的概念本身就凝结了共识性的价值判断。由于逻辑前提被省略，那么当逻辑前提发生实质性变化时并不容易被立法者所觉察，从而可能束缚正确价值判断的得出。〔15〕

(二)以权利为中心将会制约数据交易与人工智能产业的发展

数据交易和人工智能目前仍然处于新兴事物阶段，并未发育成熟，数据资产组合和呈现的产品具有多样化和复杂化的特征和趋势，目前主要表现为数据集合形态的“数据库”和基于数据基础上的人工智能产品。但是数据产品和形式远远未确定，其处于一个不断发展变化的过程中，正是基于此，数据权利的客体和性质也难以确定。当前阶段我们并没有达到能够抽象地探讨数据上的权利是什么的状态和程度，过早地为它定性不仅对产业发展不利，也不利于个人权利保护，应当为大数据产业及人工智能产业留足发展空间。对是否要创设出新的权利应当持开放态度，而不是现在就给出定论。以隐私权为例，从1890年沃伦和布兰代斯的论文开始，隐私权就处于一个持续发展的阶段。实际上沃伦和布兰代斯的本意也并不是在立法论上为隐私权寻找理论根据，其目的在于在既有的普通法的体系框架下为隐私权的保护寻找根据。欧美的隐私权在发展过程中不仅包含了消极的物理隐私，还逐渐吸收了积极的权利。法律制度的变革是渐进而缓慢的，其不仅需要利益主体进行长久的博弈，还需要精巧的推敲与设计以实现与既有制度的接驳。制度与生产力之间的关系是互动的，生产力的发展会带来市场价值和预期的相应改变，进而改变资源利用的成本与收益对比；反之，制度变革也会改变生产效率，相同技术条件下的不同制度所带来的生产效率是不同的。只有在与社会生产力水平相契合的状态下，制度才能达到其预设的效果。

在数据交易和流转的实践中，往往涉及到多个阶段和多个主体，与传统著作权“作者—传播者—公众”的传统利益主体构成不同，从数据产生到数据收集、整理和加工、分析的过程，多个数据主体都可能对最终的数据产品做出了一定的贡献，而且此种“贡献”混杂在一起难以分割，难以区分多个主体所做贡献的大小，或者即使能够区分，其成本也是高昂而难以令人承受的。那么，多个潜在利益主体之间的权利界定和分配则成为现实中的首要难题。随着技术和经济的发展，数据资产的法律属性将会愈加清晰，这是生产力的决定性作用，当数据交易发育成熟，权利客体确定之后，法律应当对此发现和确认。这将是未来一段时间内的任务，但并不是当前理论研究的重点，因此，在当前情况下，关于数据性质和权属的内容，立法应当保持谦抑，待生产力发育成熟时再予以界定更为恰当。

五、数据保护之风险控制优先性

(一)行为规制路径能够更好地防控风险

当前阶段风险控制比权利确定更加重要和急迫。在大数据时代数据的自由流通是不可阻挡的历史潮流，那么在这过程中必然会出现数据产生者、 数据衍生者与数据使用者之间在数据收集、存储、输出、共享过程中的利益冲突和利益平衡的问题。数据主体的权利以及数据的自由流动应当包含着对于隐私的保护，并应充分考量安全因素，确保公平、防止歧视。大数据的广泛运用涉及现代生活各个领域，围绕其所产生的纠纷背后也牵扯众多利益。从静态角度来看，大数据应用中的利益衡量跨越公法和私法层面，涉及多个主体，公法层面的公共利益和个人利益之权衡，私法层面的数据产生者和数据收集者、使用者、衍生者间的利益，数据业者之间的利益都是未来立法和司法实践需要衡量取舍的。从动态角度来看，任何一种利益权衡都并非能由固定规则确立标准，而是需要结合数据应用的具体场景进行判断。如日常产生的数据往往可以分为敏感数据和一般数据，其所承载的隐私利益确有不同，在利益衡量时也应作不同倾斜；又比如数据业者之间的数据流通自由也会因其所提供服务的内容不同而有所区别，对于提供搜索引擎服务的信息业者，其相互之间基于搜索行为的数据流动自由乃信息业者的经济利益让步于基于公平竞争秩序而获得满足的消费者利益的结果，直接表现为让步于同业竞争者(搜索引擎服务商)的利用。然而随着大数据应用的发展，其在带来更多公共福利时，也会引发更多潜在风险，相互抗衡的利益对峙状态也可能发生变化，甚至产生新的利益方，尤其在权利规制模式障碍重重的情形下，利益衡量原则是行为规制模式始终应当贯彻的原则。然而，由于利益多元化、复杂化甚至情景化，利益衡量与防控风险将是未来立法和司法规制中的关键问题，而更加灵活的行为规制模式更符合实践的需求。

(二)行为规制能够实现隐私保护与市场竞争的平衡

市场力量对任何领域的市场行为都具有调节作用，需求决定市场行为，决定投资走向，决定产品供给和供给模式；同时市场竞争也推动着技术不断进步、产品或服务不断提高，也扼制价格垄断等不利于消费者的行为。市场行为能够最终平衡各方利益。因此，立法应当鼓励市场竞争和倡导技术中立，扼制欺诈、垄断等行为。数据交易中最大的问题就在于一方面要保障信息能够自由分享和流通，能够为公众获得；另一方面要确保数据生产者能够商品化其产品，以给生产提供充分的激励。传统的财产权发挥着一定的社会功能，例如财产权为资源的未来使用的预期提供保证；财产权允许灵活调整对资源的未来使用；财产权是当事人订立合同规定对自愿的特殊使用的基础。但是这并非对物权所独有，对人权在某些时候也起到这样的作用。如果要转让某种权利，首先必须享有该权利，在这个意义上财产权是财产权让与的前提条件。但是，在现实生活中似乎并不尽然。合同是市场交易的法律表现，有市场就有交易，就会有合同存在，合同的合法性并不以财产权决定。当人们利用新技术创造的产物价值可见，但一时难以用原有的方法确立其财产权利客体时，一般会选择先行保护其形式或载体部分，或者选择保护其专有管理权而不是先明确其所有权，比如《中华人民共和国证券法》对证券交易即时行情信息的保护。也就是说，证券交易所与信息使用人签署的合同并不会因为法律没有规定证券交易所享有何种权利就无效。通过行为规制模式，在搁置权属争议的前提下优先确定规则，一方面，能够为数据业者明确各方的权利义务，防止不正当竞争行为的出现，从而有利于市场调节发挥最大作用；另一方面，通过行为规制模式保护数据，能够使得个人隐私的保护处于动态的风险监控中，并根据具体情况而随时调整。

(三)行为规制模式能够实现公共利益与个人利益的平衡

大数据技术发展牵动着整个国家、社会的变革和进步，其所带来的公共利益巨大。首先，大数据应用对政务改革、国家安全保障有重要作用。各级政府不遗余力地推行数字政府、电子政务，个人信息以及数据的收集运用成为实现现代政府的最基本手段之一。毋庸置疑，电子政务的推行实现了政府管理高效和公众生活便利的双重目的，也是未来现代政府的发展方向。国家安全方面，数据技术的发展和突破直接关系到数据主权的维护。面对网络霸权，我国极力发展网络技术和大数据技术，应对日渐肆虐的网络攻击、网络监听、网络恐怖主义，弥补数据鸿沟，捍卫数据主权。 宏观经济上，国家将数据作为未来经济发展的重要资源，各级政府纷纷设立大数据应用项目，为经济发展助力。其次，大数据也成为重要的经济资源。大数据技术的运用造就了商业经营模式的变革，促进了商业环境的健康运行。作为大数据运用的商业典型，消费需求和消费偏好的获取使商业主体实现定位精准营销成为可能，生产和销售过程的可预测性大大降低了商业风险和商业成本，为企业带来巨大的商业利润。因此，大数据技术发展全面关涉国家、社会的利益，并最终惠及个人，理所应当被纳入国家发展的布局中。

数据交易中最大的问题就在于一方面要保障信息能够自由分享和流通，能够为公众获得；一方面要确保数据生产者能够商品化其产品，以给生产提供充分的激励。〔16〕大数据技术发展牵动着整个国家、社会的变革和进步，其所带来的公共利益巨大。行为规制模式可以充分保障公共领域获取数据，数据主体之间签订的合同仅对主体投入的、具有市场价值的数据部分进行限制，公众或用户出于非商业目的可以获得和利用财产化的数据。数据所有人的权利并不排除所有不被允许的使用，鼓励人们创造更多的数据，有些团体(如教育者、科学家等研究者)应当被允许获得和利用许多财产化的数据。政府或其他公共服务机构等应当以低成本或免费提供数据服务，是公共数据(信息)服务提供者。行为规制模式防止数据市场封闭自锁，在这种模式下，数据是公共物品，任何人都可以通过收集和处理，使之成为可以提供给公众的产品，所以充满竞争的数据市场是可以形成的。竞争者们可以在开放的市场中自由竞争，竞争可以调节价格，使之达到一个合理的水平。另一方面，行为规制模式通过签订的合同、不正当竞争制度等，给数据财产所有人施加法律义务，以保护数据上的私有利益，这是对创新行为的奖励，过重的义务会减弱人们创新的动力。行为规制模式这种灵活的方式能够使得数据上的权利和义务达到一个平衡点：给数据收集者、衍生者的义务不能过分，以免减损对他们生产、制作数据产品的激励。但是，如果这种权利不受限制，又会损害社会公众合法利益。行为规制模式并不是一般地给予社会公众或竞争性利益享有人以权利或对权利人作出一般限制，而是给权利人以确定的义务，并明确这些义务没有得到履行时应给予的惩罚。

六、行为规制模式下的路径选择

(一)由个人控制转为社会控制

如前所述，大数据应用中的利益衡量跨越公法和私法层面，涉及多个主体。不应将个人数据看作私人的“物品”，而应作为社会共同的资源，由社会决定个人数据的使用。从这个意义上讲，个人数据权利的弱化导致数据的使用并不完全由个人意志决定，而是由社会习惯或法律确定。通过社会控制代替个人控制的方式实际上否认将数据上升为绝对的私人控制权，“知情同意原则”应当被“以一般允许为原则，以个人控制(同意决定)为例外”原则代替。〔17〕这是因为在大数据时代“告知许可原则”过于狭隘，限制了大数据潜在价值的挖掘。另一方面，“告知同意原则”也过于空泛而无法真正保护个人隐私。对于可能识别的个人信息，如果使用数据时仍然要求征得数据产生人的同意、允许访问和修改等法定要求，这反而降低了而不是增加了隐私保护水平，因为要完成此类任务，必须将这些数据与特定的个人联系起来，法律在这里确立了一个充满矛盾的循环，将“可能”被识别的个人信息转化为“确定”识别的信息。此外，知情同意原则、信息披露限制原则、数据最小化原则并不能完全适用于可能识别身份的信息。这些限制与数据的使用不兼容，反而会降低数据分析的效率，对这些数据的分析不会对个人隐私构成特殊风险。〔18〕在这种背景下，唯有将保护个人数据的责任主体由个人为主转向以社会为主才能真正防止风险的发生。

(二)构建以合同为核心的中间权模式

尽管存在着纯粹的合同制度和财产制度，但是，还有一些法律制度兼有两者的特征，某些时候显得更像合同制度，其他时候显得更像财产制度。〔19〕从这个视角看，物权与合同并不是完全对立的关系，财产权利(对物权)与合同权利(对人权)作为权利谱系的两端，当中根据义务人的确定性和义务人的数量存在着庞大的中间性权利，包括兼具财产权利和合同权利两者特征的情况，或者说合同创造出的物权。合同权利作为一种支配规则，其与排他规则的区别在于，支配规则赋予特定人以特定的使用权和义务，其允许社会通过非标准化的方式控制资源，这对使用权的界定更加精确与复杂。这种方式显然在一定程度上促进了管理方式的发展和革新以更好地适应个人需要，但也增加了权利识别的交易成本。与对人权有关的情况都被合同化的、具有灵活性的法律规则规制着；与对物权有关的情况则被那些十分财产化的、标准化的法律规则规制着，这些法律规则是不可轻易改变的，以便于众多不同种类的义务人能观察到且理解。

当前关于数据交易面对的最大课题就是如何通过运用制度工具促进数据交易和人工智能行业的健康发展，克服权利行使过程中的负外部性，激发数据最大价值的同时还应当促进制度之间的协调，使对社会利益的负面影响降至最低。当前大数据行业处于新兴事物阶段，其发展并未完全明朗，贸然确定其性质将会造成人为干预的结果，从长远看，这并不利于大数据行业的长期、健康发展。但是，这并不意味着放弃了对大数据交易中各种乱象的规制，在实践中应当首先确立数据交易的基本原则，并界定数据主体之间的权益关系。因此，在数据交易中，应当通过合同的方式为数据确立一个介于对人权与对物权之间的灵活中间权，其核心仍然是以数据交易主体之间签订的合同为中心，明确各数据主体之间的权属关系，但为了防止数据垄断，不能赋予数据以物权的地位，否则将会在一定期限内排除他人对该数据的利用，并造成垄断从而阻碍竞争，影响数据的流通。

(三)将静态的隐私保护转变为动态的风险控制

在数据使用、交易过程中变静态的数据处理合规(知情同意原则)为数据使用中的动态风险监控。大数据时代个人数据使用场景可能超出当前立法所能预见的范围，因此，隐私及信息保护的边界应当是主观的、动态的而非固定的、僵化的，个人数据“合理使用的范围”应当“以用户为中心、结果为导向进行动态界定”。〔20〕场景主要指对个人数据利用的敏感因素，对个人数据利用应避免脱离场景作抽象预判，合理与否应当将其置于具体的环境中进行审视，并综合考量多元因素，避免“全有或全无”的二元判断标准。在数据流动时，具体场景中的判断标准包括：数据发出者的身份、数据主体、数据类型、数据传输原则等。在动态的数据传输过程中，应进行“隐私风险评估”(Privacy Impact Assessment)，以个案分析为原则进行“程度分析”。美国《消费者隐私权利法案(草案)》规定机构“合理收集、利用个人信息需在相应场景中进行”，个人数据使用的动态边界为“在相应场景中”。数据使用者应当如实告知数据主体场景中不合理的情况，并提供适当的选择机制。如果一旦发生“在相应场景中不合理的情况”，数据使用者应当进行隐私风险评估，并采取包括但不限于“提供增强性披露及用户控制机制”等适当手段降低风险。欧盟《数据保护通用条例》也有类似风险控制的条款，其根据数据收集和处理的具体场景、性质、范围、目的赋予数据使用者等不同的责任，并根据风险等级大小规定了额外的增强性义务。场景与动态风险监控的方式将数据使用的合理性标准用“是否符合用户的合理隐私期待”代替了传统的“知情同意原则”，有利于充分挖掘大数据价值与个人隐私保护。

注释：

〔1〕李芮等：《各地争建大数据交易平台 大数据交易催生庞大地下产业链 专家呼吁尽快统一数据标准和推进数据立法》，《经济参考报》2016年8月25日。

〔2〕曹建峰：《民法总则数据保护路径：概括式保护及与知识产权协调》，《大数据》2017年第1期。

〔3〕例如《中关村数海大数据交易平台规则(征求意见稿)》第19条规定“本规则所称(数据)交易，是以货币换取数据的行为”。第44条规定“如收到关于数据侵犯所有权、隐私、国家安全的诉讼，本交易平台查证属实的，将停止相关数据交易服务，并冻结数据交易款项，涉及不能正常履行的买卖合约，由数据卖方承担买方损失，退还所得”。贵州数据交易所确立了9项交易原则，其中之一是“数据买卖双方要保证数据所有权合法、可信、不被滥用”。

〔4〕王泽鉴：《民法物权》，北京：中国政法大学出版社，2001年，第52页。

〔5〕金耀：《个人信息去身份的法理基础与规范重塑》，《法学评论》2017年第3期。

〔6〕我国台湾地区的“刑法”将盗窃电能、热能、电磁记录行为以“动产论”，盗窃电能、热能行为定为盗窃罪，而盗窃电磁记录行为定为破坏电磁记录罪。徐彰：《盗窃网络虚拟财产不构成盗窃罪的刑民思考》，《法学论坛》2016年第2期。

〔7〕屈茂辉：《关于物权客体的两个基础性问题》，《时代法学》2005年第2期。

〔8〕吴汉东主编：《知识产权法》，北京：北京大学出版社， 2007 年，第15页。

〔9〕Michael L Cargano,Bel G.Raggad,“Data mining — a powerful information creating tool”, OCLC Systems & Services,Vol.15,No.2,1991,pp.82-91.

〔10〕Nate Silver, The Signal and the Noise:Why So Many Predictions Fail-but Some Don’t,New York:Penguin Books,2012,p.13.转引自梅夏英：《数据的法律属性及其民法定位》，《中国社会科学》2016年第9期。

〔11〕芮文彪、李国泉、杨馥宇：《数据信息的知识产权保护模式探析》，《电子知识产权》2015年第4期。

〔12〕吴汉东：《财产权客体制度论——以无形财产权客体为主要研究对象》，《法商研究》2000年第4期。

〔13〕许可：《数据保护的三重进路——评新浪微博诉脉脉不正当竞争案》，《上海大学学报(社会科学版)》2017年第6期。

〔14〕梅夏英：《数据的法律属性及其民法定位》，《中国社会科学》2016年第9期。

〔15〕申晨：《虚拟财产规则的路径重构》，《法学家》2016年第1期。

〔16〕James Boyle, Shamans,Software,and Spleens:Law and the Construction of the Information Society,1996,pp.31,36,40.

〔17〕高富平：《个人信息保护：从个人控制到社会控制》，《法学研究》2018年第3期。

〔18〕崔聪聪、巩珊珊等：《个人信息保护法研究》，北京：北京邮电大学出版社，2015年，第70页。

〔19〕Thomas W.Merrill,Henry E.Smith,“The Property/Contract Internet”, Columbia Law Review,2001,p.777.转引自高富平：《信息财产——数据内容产业的法律基础》，北京：法律出版社，2009年，第186页。

〔20〕范为：《大数据时代个人信息保护的路径重构》，《环球法律评论》2016年第5期。