大数据时代个人数据保护再思考——以产业发展为视角

程文文

大数据时代个人数据保护再思考——以产业发展为视角

程文文

（合肥工业大学 文法学院，安徽 合肥 230009）

数字产业的发展与个人数据保护之间存在不可避免的价值冲突，产业发展过程中会相伴存在数据安全、垄断以及不正当竞争等问题，由此引发诸多法律风险。为平衡二者关系，需对现阶段产业发展视角下个人数据保护面临的法律难题进行探讨。目前，我国法律对数据有知识产权与隐私权保护路径、“知情—同意”等调整规则。但法律属性、权属、立法和监管方面的现有规定无法给予数据全面规制，不能满足数字产业未来发展的需要。因此，本文在现有保护机制的基础上，通过对比域外法中相关规则，对我国个人数据保护进行再思考，提出厘清法律属性、完善赋权规则和专项立法等建议。

数字产业发展；个人数据保护；大数据

2020年4月9日，中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》首次将数据作为新型生产要素，要求加快培育数据要素市场、加强数据资源整合和安全保护。这对推动数字产业高质量发展具有十分重要的战略意义。但我们仍需厘清其中亟待解决的重要问题，着力破除发展障碍。在此次新冠疫情和“无接触经济”中，数据的利用降低了抗疫成本，但也暴露了一些问题与短板，如用于疫情防控需要的数据屡次遭泄露等。因此，如何在运用好数据资源、保护好数据安全的同时，发挥数据红利，实现推动产业发展的目的，以达到权利的衡平与冲突的解决成为亟待讨论的问题。

一、我国个人数据保护与数字产业发展

（一）数字产业发展现状

随着《大数据产业发展规划（2016-2020）》《国务院办公厅关于运用大数据加强对市场主体服务和监管的若干意见》以及《国家发改委办公厅关于组织实施促进大数据发展重大工程的通知》等政策的出台，产业发展与转型的多层次政策体系形成，加之“数字中国”的建设为数字产业发展注入新动能，使产业边界呈现不断拓展和融合的态势。根据《2019中国大数据产业发展白皮书》，2018年中国大数据产业规模达4384.5亿元，同比增长23.5%，预计2021年产业规模将超过8000亿元[1]。预计到2020年，在全球的占比将达到21%。

但部分数据企业技术体系数字化和数据管控能力薄弱，连通性差，“数据孤岛”现象普遍。且不同企业、行业和地区之间数据标准和分析模型不一，阻碍数据的有效流通与共享，导致数据资源无法得到有效开发。例如，在对海量数据的处理过程中，数据聚集现象普遍。由于互联网企业数据收集能力强弱有别，出现数据垄断以及泄露等问题，由此造成我国数字产业发展环境混乱，无法形成合力，不能平衡保护隐私、控制风险和产业发展、鼓励创新之间的关系。因此，兼顾防范数据安全风险和产业发展创新成为重中之重。

（二）个人数据保护面临的风险

以阿里大数据为例，大数据系统构架主要分为数据采集、计算、服务及应用四大层次，各层次分别隐藏不同的潜在风险。首先，在数据采集层容易出现不当采集、不正当抓取、拒绝分享等数据垄断和不正当竞争问题；其次，在数据计算层，不正当挖掘数据现象普遍，容易出现算法共谋等基于滥用数据和科技优势侵害用户利益的行为；再次，数据服务层出现的“大数据杀熟”现象侵害消费者的合法权益；最后，数据应用层由于监管不到位，数据泄露事故频发。

我国高度重视公共数据开放和数字产业发展，数据开放水平稳步提升，数字产业创新生态初步形成，但是也不可避免地会面临数据安全和隐私保护、数据垄断以及不正当竞争等问题，因此我们应当与现行法律接轨，全面审视数字产业发展可能引发的突出问题。

二、数字产业发展与个人数据保护之关系定位

数字产业发展和数据保护其实是伴生性关系，即数字产业的发展离不开企业数据交换、获取、利用和资本化等行为，其创新需要最大限度发挥数据红利，而此过程必然涉及到与隐私相关的个人数据，由此出现数据泄露等问题，但数字产业发展带来的积极效应是主要方面，不能因为负面效应就否定其积极效应。从长远来看，大数据带来的技术发展与创新也可能更大程度地保护隐私，在医疗和金融等领域已有体现[2]。

个人数据保护不能脱离行业的发展需要，数据是数字经济时代的重要生产要素，其法律边界模糊已成为制约数字产业发展的重要阻碍。人身利益与财产利益保护的平衡，个人数据保护和数字产业发展的平衡，以及个人利益、商业利益、社会公共利益的平衡，是立法首要考虑的问题。

如果立法过于重视个人数据保护，则可能导致产业发展受损，无法进行突破升级。欧盟《通用数据保护条例》实施以来，饱受诟病的一条规定就是其增加了企业的成本，降低了企业创新能力，甚至妨碍了人工智能产业的发展。反之，过于强调产业发展，放松个人数据的保护力度，则会陷入不可控的局面。同时，在大数据时代，我们强调“数据主权”，即国家对于个人数据享有管理权、司法权等权利，这与公民享有个人数据的所有权是不矛盾的，但采用传统私法中绝对保护理论，会极大阻碍数据的流通，数据企业无法对数据进行充分挖掘从而获取其中的数据红利。这时，数据主权、所有权以及企业的控制权之间矛盾突显。

这些问题的解决，不能仅依靠立法者从具体的法律政策中做出解答，还需要依赖多方主体参与社会共治、第三者评价机制去协调二者的关系。

三、数字产业发展中个人数据保护之法律难题

随着大数据、云计算等技术的发展，数据作为最重要的生产因素和战略资源，已渗透进各行业领域，对经济运作方式产生了根本性的影响[3]。但个人数据安全问题也日益凸显，在侵害公民个人信息和财产权的同时，也正在导致产业的畸形发展。

（一）数据法律属性不清，制约数据价值释放

在我国，只有部分数据类型成为法律关系客体的一种形态，例如人类智力劳动的产物——知识产权。另一些类型的数据，被作为与人类自身主体特征相关的信息被加以保护和调整，例如个人隐私信息。因为数据具有外延的无限性、规模和数量巨大以及可复制性等特点，我国现有的法律制度只能覆盖到部分类型，而不能给予数据一个完整全面的规制和保护。目前在个人数据的收集、加工、分析等环节中，我国主要通过债法予以规制，但这显然不能满足数字产业未来发展的需要，因为大数据产业链中还存在转让流通等行为，如果发生数据财产被复制、窃取、截获等不正当情形，现有法律对这些情况都无法给出答案。

（二）数据权属不明，阻碍数据的流通

由于立法未对数据的权属做出有区分度的具体细化，而数据的可复制性导致权属问题十分复杂，因此企业间数据争夺不断，数据垄断和不正当竞争现象普遍，例如顺丰与菜鸟、华为与腾讯数据之争。

首先，通过对我国法律文本进行分析可知：个人数据的收集和利用行为适用“知情—同意”规则，法律保护权利人对数据的支配权，但对其他环节的权属未做出规定。个人数据泄露事件发生后，是通过宣示性规定还是确权性规定对公民个人信息权进行保护也存在争议。虽然个人数据已经受到足够重视，但无论是理论界还是实务界，对于个人数据权属的研究都处于探索阶段，我国法律缺乏对此的明确规定与制度设计[4]。

其次，数字产业发展离不开数据交易与转让，但是缺乏合法明确的评估、交易、作价规则，会造成一系列派生问题。例如：如何对数据进行合理定价；采取许可还是转让模式更为合理；在数据交易转让环节，是否存在合法有效的救济机制；以及数据企业出现不能存续的法定原因时，数据资产应当如何处理，原始权利人是否享有删除权或取回权等。

最后，如何在权属方面平衡政府监管需求和私主体数据权益保障之间的关系值得探讨。我国陆续成立的大数据管理机构为行使监管职责，通常要求大型的互联网企业报送数据，而在“数据为王”的时代，数据已成为企业的核心资产，若向第三方公开或披露，势必影响其商业价值，阻碍数字产业的发展。

（三）个人数据保护专项立法滞后，无法应对新业态发展

首先，我国对个人数据保护方面的法律规定零散，呈现碎片化和分散立法状态[5]，且多以间接性保护方式为主。分散体现在《宪法》第39、40条，《民法总则》第111条，《民法典各分编(草案)》第814条、第817条，以及《网络安全法》《侵权责任法》。《电信和互联网用户个人信息保护规定》和《信息技术安全个人信息安全规范》对于用户信息的收集、保存、使用、共享、转让、安全保障义务以及监管方面做了相应要求；《中国互联网定向广告用户信息保护行业框架标准》规定了互联网用户对自身数据的控制权[6]。

其次，《民法通则》《民法典各分编(草案)》《网络安全法》《消费者权益保护法》等法律法规仅作出了部分、原则性和指导性的规定。

最后，地域与行业局限性极为明显。至2018年，颁布相关法规的省市有21个，例如上海市、天津市、以及贵州、浙江等省都陆续出台地方性立法文件，且主要集中在某一行业，例如银行业，难以产生全面性规范作用[7]。

综上，我国并未在国家层面进行统一立法，仅有地方的一些尝试与探索，整体而言仍处于起步阶段，综合类专门性法律少。因此，迫切需要通过立法去规避产业发展带来的伦理和法律风险。

（四）数据保护监管机制不完善，妨碍产业创新

从提出对个人数据与产业发展的立法保护以来，如何完善监管机制成为主要诉求之一，缺乏完善的监管机制成为制约我国数字产业发展的瓶颈。

随着大数据产业政策的集中出台，我国相继组建了大数据管理机构，例如大数据中心、大数据管理局、管理委员会、管理办公室等，并在产业政策的指导下，实现了从以政府为中心向以用户为中心的管理模式的转变。至2018年底，全国共有16个省级行政区域，79个副省级和地级城市先后成立了大数据管理机构，这表明我国统筹推进数字产业发展的政府机构正日益完善，数字政府建设快速兴起。

但是我国监管机制与监管平台缺乏系统性与专门性。首先，各个数据管理机构之间存在壁垒，导致跨部门、跨地区、跨行业的数据流通共享困难。由于权属不明、责任分配不清，导致数据共享意愿不高，极大地阻碍了产业创新。其次，政府数据标准建设不完善，还有部分政府机构尚未建设数据平台，监管意识缺失，数据隐私与安全问题频发。因此，需要完善专门的数据安全监管机制，确保数据安全与数字产业政策的落实。

四、域外国家个人数据保护规则之比较

（一）美国

美国在个人数据保护方面长期保持碎片化特征，即分散地体现在各个领域的法案中，强调对个人数据（信息）的利用，以促进数字产业的发展。美国1970年的《公平信用报告法案》( The Fair Credit Reporting Act)首次肯定了消费者的访问权与修改权；1974年的《隐私法》(The Privacy Act) 与《家庭教育权利与隐私法》( Family Educational Rights and Privacy Act) 都强调处理个人信息时应当获得个人同意，且采用“未反对即视为同意”的规则[8]；《加州消费者隐私法》（CCPA）采取“opt-out”模式，强调对于16岁以上的消费者个人信息的处理，除非用户退出或拒绝，公司可以继续处理，减少了产业发展阻碍；2019年《国家安全与个人数据保护法》提案在数据收集和使用中确定了最小化原则。

美国不仅仅依赖法律监管，还辅以行业自律体系，由建议性的行业指引、网络隐私认证计划、技术保护与安全港协议构建而成。其中建议性的行业指引即网络隐私权的行业指引，是指成员将受到数据保护程度考察与监督管理，发放相应等级的认证标志。技术保护是指通过隐私安全软件的运行，通过警示功能提示用户是否继续后续操作。安全港协议是指美国与欧盟之间的企业进行国际贸易时，涉及到个人数据时，须经联邦贸易审查委员会审查美国企业是否符合欧盟法律规定。这在一定程度上完善了美国个人数据的政策法规、安全技术与安全管理相协调的三重保护模式[7]。

（二）欧盟国家

在个人数据保护方面，欧盟国家采取专门立法的方式，主要包括《个人数据保护指令》（EU Data Protection Directive）、《隐私电子指令》(E-Privacy Directive)、《数据库指令》( Database Directive) 以及《通用数据保护条例》（GDPR) 。其中，《个人数据保护指令》对于个人数据信息和公民隐私的保护规范作出了针对性的规定。《隐私与电子通讯指令》强调电子商务通信服务提供商所负有的安全保障义务与告知义务。GDPR对于个人数据的保护进行了较为系统的规定。首先，GDPR进一步提升个人数据保护水平，赋予原始权利人更多的控制权，可以免费要求数据控制者披露或者擦除数据，自己在特定条件下删除其发布的信息[9]。其次，对数据处理设置多项原则：严格的知情同意规则、充分保护隐私原则等。最后，在数据监管机构设置方面，由专门的刑事司法机构监管数据的收集、使用等行为，并设定专门的数据保护框架[11]。

（三）域外模式特点

首先，发达国家通过顶层设计来促进数字产业发展和完善个人数据保护。从2010年起，欧盟就致力于构造个人数据保护的多国合作式的法律体系，以确保个人数据安全，其中包括《第108号公约》和《95/46/EC号指令》[11]。

其次，美国法与欧盟法对个人数据保护的法律途径与模式差异明显，美国法侧重于对数据的利用，突出市场生态视角，有利于实现政策目标和数字产业发展。而欧盟法则是在基本人权的高度去保护个人数据，需经过用户同意后才能对数据进行处理，在一定程度上阻碍数字产业的发展，但是它们都肯定原始权利人的删除权、修改权等，而数据企业在遵循法定原则时也享有一定的数据权益。

最后，欧盟法与美国法都主张构建高效完善的监管机制，GDPR规定监管机构可进行多成员国的监管，实现一站式执法，推动欧盟数据市场的一体化，保证数据的跨国安全流通。

五、个人数据保护之完善路径

（一）厘清数据法律属性，促进产业创新

自2012年全面进入大数据时代以来，个人数据给传统的私法保护体系带来了挑战。数据不同于传统意义上的物，它能够通过挖掘和流通获得更多红利，会自动在网络世界中进行联系、融合与更新。在考虑个人数据保护如何与私法体系契合的问题时，不能超越数据的本质属性。我国法律日益强调个人信息的权利（权益）化，这种保护机制导致后续数据处理环节成本高，阻碍数字产业的创新与发展。为了能使企业对大数据时代的信息化场景进行有效处理，就应保证数据的收集、利用、共享以及跨境交流等环节畅通。

据此，我国法律应将个人数据视为一种非稀缺、可共享的公共物品，相对弱化权利主体的绝对控制与支配权，允许数据企业收集、分析数据，发挥其在促进经济社会与产业发展的核心作用。

（二）完善赋权规则，明晰数据权归属

大量的数据在权利主体、数据控制者和数据企业中流转，个人已从“控制主体”的角度转变为数据网络中的一个节点，“知情—同意”规则已与数据生态系统脱节，无法适应新产业的发展需求，因此需发展出一系列相对清晰的赋权规则，明晰数据权属。

首先，需要考虑原创原则，即数据的创造者享有权益，同时遵守社会效益原则，即数据权属的分配要达到社会整体效益的最大化。其次，赋权规则应受到公益原则的反向限制，数据主体并非绝对拥有数据权益，强调数据主权在于国家，基于公共利益允许他人的合理使用。再次，基于公共利益，可对数据拥有者提出共享要求，这在我国知识产权的合理使用中已有体现。但是需要保障数据企业对数据的合理程度的独占和排他性利用权益，以此鼓励其开发整理数据，促进数字产业的发展和国家治理的进步。最后，革新传统的授权规则，明确无需同意即可合理使用的情况，可采取美国的《消费者隐私权利法案》中的“相应场景中合理”的标准，取代“知情—同意”规则，减轻企业负担。

综上，应当在国际化、一体化的法律视野下明晰数据权属，实现数据的合规利用。

（三）加快制定《个人数据保护法》，确保数据安全

个人数据的原始权利人对数据的控制能力逐渐弱化，加之不完备又相对滞后的法律体系，使得数据被无限分享，原始权利人保持追踪、控制可能性较小，导致数据保护成效降低，数据泄露以及被不当使用的情况普遍。同时，数据企业的正常经营活动缺乏明确的法律规范与行业标准，数据黑产自动收集与存储个人数据，脱敏化处理不够时可从数据中分析出相关的个人隐私，侵害公民合法权益。

面对极为复杂的情形，分散化的数据保护机制已难以满足有效保护个人数据安全的需要，我们应当整合现有法律，吸收欧盟法和美国法中可采用的先进规定，立足我国国情，构建完善的数据保护机制，平衡原始权利人与后续数据控制者等多方的利益，推动数字产业发展和国家信息化进程。

（四）革新产业发展与数据保护之监管理念

数据的跨境传输促使全球数据监管要求更为严格，例如我国《网络安全法》、GDPR以及美国《澄清域外合法使用数据法》都对此有所关注，因此我国个人数据保护更需在密切关注风险防范的同时革新监管理念。

首先，我们可以借鉴欧美国家设立专门监管机构的经验，结合我国司法实践，统筹个人数据保护机构，匹配专门的技术性人才。其次，大数据时代个人数据保护的风险集中于使用环节，因此，应当突破传统的个人数据保护路径，将监管的重心转移至数据使用阶段，适度放宽前端行为。再次，结合我国数据保护现状，将个人信息保护的“目的限定”原则重新解读为“风险限定”原则，以能否引发不合理的风险为标准，参照美国《消费者隐私权利法案》草案和欧盟数据保护改革草案中隐私风险评估的义务，规定企业应合理控制隐私风险。

（五）完善社会共治机制，平衡产业发展和数据保护

个人数据保护立法虽重要但并非万能，法律不可能对围绕数据所形成的各类法律关系都给予具体规则上的回应，因此构建多方主体的社会共治机制成为必要。首先，鼓励制订既能切实保护个人数据又能实现数据流通使用的行业准则和自治规则，为行业合法合规使用数据提供指引，强化企业的数据保护责任，提高行业自律水平。其次，引入第三方安全测评机制，合理处理数据企业对数据的需求与个人数据保护二者之间的平衡[12]。国际上通用隐私影响评估机制，即将第一方信息收集者与中介系统都纳入评估体系，根据不同等级的风险去确定相应的保护义务，例如前述美国的网络隐私认证计划。综上，需形成一个良好的社会共治体系，用整体化、技术化的思路去分析个人与数据企业以及社会之间的各种关系，使个人数据的商业效用充分发挥，维护私人权利、社会秩序和国家数据安全。

结语

在大数据时代，个人数据不再属于某个个体，而是作为大量数据流中的一个末梢，去服务新的技术应用和产业的创新发展。而数字产业的发展又会促进和改善民生，个人可以免费享受到信息红利与服务。因此，在大数据行业高速发展的阶段和全面推进依法治国的时代背景下，我们有必要尽快完成数据相关法律顶层设计，通过明确数据的法律属性和权属，优先保护数字产业发展，兼顾初始所有权人的权利，妥善平衡二者之间的关系，构建科学合理的数字经济法治保障体系，抢占新一轮的科技革命和产业变革制高点，赢得数字产业的国际竞争。

[1]赛迪顾问.2019中国大数据产业发展白皮书（上）[N].中国计算机报，2019-12-16（8）.

[2]Anita L.Allen．Protecting One’s Own Privacy in a Big Data Economy[J]. Harvard Law Review Forum，2016(2):71-78．

[3]刘迎霜.大数据时代个人信息保护再思考——以大数据产业发展之公共福利为视角[J].社会科学，2019(3): 100-109.

[4]吴晓灵.个人数据保护的制度安排[J].中国金融,2017 (11):11-13.

[5]刘学涛.个人数据保护的法治难题与治理路径探析[J].科技与法律，2019(2):19-26+35.

[6]褚宏俐.个人数据利用与保护的法律问题研究[J].宁波广播电视大学学报，2019(4):58-64.

[7]冯子轩.推动我国从“数据大国”迈向“数据强国”——我国大数据智能化产业促进性立法思考[J].中央社会主义学院学报，2019(6):50-55.

[8]王利明.数据共享与个人信息保护[J].现代法学,2019(1):45-57.

[9]邓辉.英国新数据保护法案:改革计划[J].中国应用法学，2017(6):167-184.

[10]何波.英国个人数据保护立法改革进展及分析[J].通信管理与技术，2018(2):14-15.

[11]黄悦淅，栾佳雯.互联网经济下的大数据垄断及个人信息保护——欧盟《一般数据保护条例》对我国的启示[J].广州市公安管理干部学院学报，2019(4):47-51.

[12]周滨.关于设计并制定大数据产业数据安全规范的思路与建议[J].网络安全技术与应用，2016(12):97-98.

Rethinking of Protection of Personal Data in the Era of Big Data——From the Perspective of Industrial Development

CHENGWen-wen

(School of Humanity and Law, Hefei University of Technology, Hefei 230009, Anhui )

There are inevitable value conflicts between the development of digital industry and the protection of personal data. In the process of industrial development, there are data security, monopoly and unfair competition, which lead to many legal risks. To balance the relationship between them, we need to discuss the legal conundrums of the protection of personal data from the perspective of industrial development. At present, there are some adjustment rules of personal data, such as protection path of intellectual property and privacy, debt law and the rule of “informed consent”. However, the existing regulations on legal attribute, ownership, legislation and supervision can’t provide comprehensive protection and meet the needs of the future development of the digital industry. Therefore, on the basis of the existing protection mechanism, by comparing the relevant rules in foreign laws, this paper puts forward the rethinking of personal data protection in China in order to clarify the legal attribute, improve the rules of empowerment and special legislation, etc.

Development of Digital Industry; Protection of Personal Data; Big Data

2020-03-05

安徽省高等学校人文社会科学研究项目“安徽法治化营商环境评价指标体系研究”（JS2019AJRW0185）。

程文文（1996- ），女，安徽阜阳人，硕士研究生，主要研究方向：知识产权法。

10.14096/j.cnki.cn34-1333/c.2020.05.17

D922.29

A

1004-4310（2020）05-0107-05