李海英

隨著全球大數據技術創(chuàng)新和業(yè)務應用的快速發(fā)展，大數據產業(yè)生態(tài)逐步形成，各國也高度重視大數據在經濟發(fā)展、社會服務等方面的價值，紛紛出臺相關政策予以指引，而對大數據所引發(fā)的法律政策問題正在不斷的探索和探討之中。

大數據的價值與屬性

根據工業(yè)和信息化部電信研究院發(fā)布的《大數據白皮書（2014年）》的界定：大數據是具有體量大、結構多樣、時效強等特征的數據；處理大數據需采用新型計算架構和智能算法等新技術；大數據的應用強調將新的理念應用于輔助決策和發(fā)現新的知識，更強調在線閉環(huán)的業(yè)務流程優(yōu)化。由于互聯(lián)網、移動互聯(lián)網、物聯(lián)網以及工業(yè)互聯(lián)網的發(fā)展，萬物互聯(lián)的時代已經到來，數據量不斷加大，數據采集方法不斷改進，數據處理技術不斷提升，數據的價值也在被極大地挖掘出來。利用大數據，可以驅動創(chuàng)新，提升生產效率，改進營銷方式（提供定向廣告和個性化推薦），完善決策水平，并產生新的基于數據的產品和服務。所以，我們在大數據時代要重新審視數據的價值。數據是經濟發(fā)展的最新驅動力，也是國家未來核心競爭力和核心安全價值的體現，如何利用和挖掘數據的價值是大數據時代的最大挑戰(zhàn)。

具體來看，大數據的發(fā)展促成了新的大數據產業(yè)生態(tài)。數據的生命周期包含數據的產生、收集、存儲、處理、傳輸和分析等環(huán)節(jié)，最后輸出的是分析結果，產生額外的數據，新的數據反饋到數據價值鏈中再形成下一輪新的生命周期。數據的生命周期中每個環(huán)節(jié)都會涉及到相應主體的權利義務。從產業(yè)生態(tài)上來看，不同數據參與者構成了新的大數據產業(yè)生態(tài)（如圖所示）。最底層是網絡服務提供商，包括移動和固定寬帶服務提供商，網絡之上是IT設施提供者，例如數據庫管理工具、云計算基礎設施等，再上面是數據分析者，如分析軟件解決方案提供商，數據提供者，包括消費者、政府、數據經紀人，物聯(lián)網等，可以說每個人甚至每個物都是數據的提供者。通過這些數據驅動的企業(yè)和跨領域的創(chuàng)新者，構成了整個大數據發(fā)展的新生態(tài)系統(tǒng)。

圖：大數據產業(yè)生態(tài)

大數據時代的數據資源具有多重屬性，主要包括：

（1）數據的資產性。資產是有價值的，數據的資產價值需要予以確認和保護。確認資產的價值，包括資產的權屬、價值的評估等；保護數據背后存在的經濟利益，包括企業(yè)利益、個人利益，也包括國家層面的利益，是因為整個數據資源所構成的公共資源構成了一國有價值信息資源的重要組成部分；因此，需要保護數據的安全利益，包括企業(yè)數據的安全、個人數據的安全以及國家信息資源的安全。

（2）數據的可使用性。數據只有通過使用才可以產生新的價值。因此，為了促進數據的利用，須破除企業(yè)之間數據使用的壁壘，但同時，數據使用也要有一定的限制，既要符合數據收集使用的宗旨和目的，也要遵循一定的原則和法律約束。

（3）數據的法律屬性。個人數據在我國一般被稱為“個人信息”，從民法的角度看 “個人信息權”可以作為民法的權利客體，但是對于個人信息權是人格權還是財產權或者兼顧兩者的屬性，尚存在分歧。大數據時代，“數據”的范圍更加廣泛，包括了政府數據、企業(yè)數據和個人數據，哪些數據可以作為交易的對象，即成為財產權的客體，通俗地講是數據的“產權”如何界定，進而確定數據商業(yè)利用的邊界。更重要的是，大數據時代的數據法律屬性不僅要從民法的角度，還要從國家安全等公法的角度去認識，是否存在數據主權以及數據主權如何行使也是一個爭議的問題。

大數據帶來的立法挑戰(zhàn)

大數據帶來經濟增長和創(chuàng)新的同時，也在法律政策領域提出了挑戰(zhàn)。經合組織、美國、歐盟等國家和地區(qū)紛紛發(fā)布相關研究報告，其核心一方面是不斷釋放大數據的經濟潛能，另一方面是在安全和隱私保護方面尋求政策指引。

1.發(fā)達國家對大數據時代法律政策的認識

2014年5月，美國發(fā)布《大數據：抓住機遇、堅守價值》的報告，集中探討了個人隱私保護與數據搜集、利用中的重要問題。報告指出：“大數據可以被看成一種資產、一種公共資源，或者一種個體身份的表達；它的應用或許可以驅動未來的美國經濟，也可以是對我們所珍視的自由的一種威脅?！眻蟾娣治隽舜髷祿€人隱私保護帶來的挑戰(zhàn)，但仍然指出：“無論大數據所帶來的問題多么的嚴重與重要，政府依然會支持相關電子經濟的發(fā)展并提供免費的數據流來激發(fā)大數據的創(chuàng)造力?！眻蟾孢€認為，大數據給美國帶來的是增強平等還是加劇不平等，這完全取決法于法律的保護和執(zhí)行。

2014年10月，經合組織發(fā)布《數據驅動的創(chuàng)新、增長和福利》報告，充分鼓勵數據驅動的創(chuàng)業(yè)和組織變革，提出釋放數據活力的政策框架，要為數據的收集、傳輸、存儲和使用制訂政策，包括隱私保護，開放數據接入，提供基礎設施，為建立高速和開放的互聯(lián)網提供激勵等。

歐盟委員會也要求成員國挖掘大數據潛力并采取措施開放公共信息資源，同時加緊出臺《歐盟個人數據保護條例（草案）》，引入被遺忘權、數據可攜帶權等，以加強用戶的權利。

從國際的發(fā)展趨勢來看，對大數據的發(fā)展需要法律予以確認和保護已經成為各國的共識，安全和隱私保護是大數據法律政策中各國關注的重點。

2.大數據利用與數據資源安全之間的平衡

習近平總書記在中央網絡安全和信息化領導小組第一次會議上的講話指出：“信息資源日益成為重要生產要素和社會財富，信息掌握的多寡成為國家軟實力和競爭力的重要標志?！彪S著挖掘、管理信息資源的大數據技術的發(fā)展，信息資源的價值更加凸顯。2012年奧巴馬政府將數據定義為“未來的新石油”，表示國家擁有數據的規(guī)模、流動、利用等能力將成為綜合國力的重要組成部分。全球各國也加強了對信息資源的控制與爭奪。

因此，大數據帶來的一個重大立法挑戰(zhàn)就是如何平衡大數據利用與數據資源安全之間的關系。2013年八國集團簽署《開放數據憲章》，指明在開放政府數據的同時，要加強知識產權、個人信息保護和國家安全等方面的立法。

政府數據開放與大數據的商業(yè)利用可以促進創(chuàng)新和提升生產效率，通過開放、共享、分析、利用將分割的數據變成更有價值的資源，這能產生更大的價值，創(chuàng)造新的財富和效益。未來各行各業(yè)的創(chuàng)新發(fā)展都會依賴于云計算、大數據、物聯(lián)網等技術的應用。但同時，與經濟運行、社會服務乃至國家安全相關的大量數據將會向享有優(yōu)勢的企業(yè)、國家和地區(qū)聚集，格局一旦形成，技術、服務上占據優(yōu)勢的國家就將形成更加強大的信息資源優(yōu)勢和戰(zhàn)略控制能力，進而掌握信息的主導權。因此，如何加強對數據資源的掌控，更好的避免大規(guī)模的數據聚集和挖掘利用給國家安全帶來的風險，尤其是防范在戰(zhàn)爭或緊急狀態(tài)下數據濫用可能帶來的安全風險，需要在國家層面從戰(zhàn)略和法律的角度對信息資源的法律地位予以明確，并制定相應的保護措施。目前雖然對數據主權的概念還存在爭議，但在日前二審的《國家安全法（草案）》（二次審議稿）中增加了國家“建設國家網絡與信息安全保障體系，提升網絡與信息安全保護能力”，“維護國家網絡空間主權、安全和發(fā)展利益”的規(guī)定。

在云計算、大數據迅速發(fā)展的情況下，跨境數據流動的問題也變得更為重要。由于大數據產業(yè)鏈條中的各參與者具有全球屬性，所創(chuàng)造價值的技術和資源也在全球分配，因此，大數據的生態(tài)系統(tǒng)中必然有大量數據的跨境流動。例如，一個國家的消費者，其數據可能被位于其他國家的設備和應用收集、處理，而分析的結果用來改進針對第一個國家消費者的營銷策略?？傮w來看，促進跨境數據的自由流動和資源共享無疑是有利于全球經濟發(fā)展的。2014年 6月，經合組織發(fā)布的《互聯(lián)網政策制定原則》報告認為，互聯(lián)網經濟的發(fā)展，信息和知識的分享傳播以及人們的自我表達等，都有賴于全球信息的自由流動，所以促進和確保全球信息自由流動對互聯(lián)網行業(yè)至關重要。但由于“棱鏡事件”以及云計算、大數據等新技術新業(yè)務的發(fā)展，各國在數據流動方面開始建立新的邊界。2015年3月，一家著名國際律師事務所Fieldfisher發(fā)布了《管理全球數據留存風險》的報告，該報告對全球47個主要國家和地區(qū)進行了調查，發(fā)現其中 94%的國家和地區(qū)對個人數據的跨境流動進行了一定的限制，89%的國家和地區(qū)擁有管理規(guī)則，并可以依法對違背數據跨境留存規(guī)則的行為進行制裁。受“棱鏡事件”影響，2014年初，巴西推出了將巴西民眾信息儲存在國內數據中心的方案，建議鋪設直通歐洲的海底光纜，免受監(jiān)控；2014年7月，俄羅斯立法要求數據運營商將所有俄羅斯公民的信息存儲在俄羅斯境內。但在跨境數據流動的限制方面，法律上還有很多細節(jié)需要考慮。數據跨境的方式多種多樣，例如境外用戶訪問國內網站，國內數據中心與國外數據中心同步備份數據，運維人員在國外操作云平臺數據等。哪些類型的數據以及哪些類型的操作屬于不允許跨境的范圍，對跨境數據流動的行為如何監(jiān)控等都存在很多問題有待探討和解決。

3.大數據發(fā)展與隱私保護之間的平衡

大數據帶來的另一個法律挑戰(zhàn)是如何平衡大數據發(fā)展與隱私保護的關系，具體而言：

在數據獲取階段，經合組織1980年發(fā)布的《個人數據保護指南》規(guī)定了告知同意的原則，即將個人數據的收集和使用行為告知用戶，并取得用戶的同意。在大數據時代，告知同意的原則已經很難實現，至少已經不適用于大數據的二次利用。很多數據在收集時并無意用作他途，而最終卻產生了很多創(chuàng)新性用途，有可能連數據收集者自己也無法預知，更無法告知用戶，用戶也無法就這種未知用途表示同意。美國的《大數據：抓住機遇、堅守價值》報告中引用了總統(tǒng)科學技術顧問的說法：“告知與同意框架已經被大數據所帶來的正面效益所打敗，大數據帶來的是新的、并非顯而易見但卻十分強大的使用價值?！笔澜缃洕搲洞髷祿⒋鬀_擊：國際發(fā)展的新可能》的報告認為，知情同意制度已經過時，數據在未來可能被挖掘出新的用途，在收集時并無法告知，因此應當讓個人更關注數據的使用環(huán)節(jié)。

在大數據的處理和分析階段，企業(yè)一直致力于身份識別，但由于大數據挖掘技術的進步，實現真正的匿名化已經越來越難。大數據時代，匿名化技術與大數據身份識別技術在相互較量中不斷發(fā)展。例如，美國在線曾公布了3個月間65.7萬用戶的2000萬條搜索記錄，整個數據庫做過精心的匿名化處理，將用戶名稱和地址等個人信息代之以數字符號。但《紐約時報》還是在幾天內通過幾個關鍵詞準確定位到了某個人。《大數據：抓住機遇、堅守價值》報告中也提出，“數據的模糊化處理作為保護個人隱私的一種手段，其作用也是有限的。事實上，收集數據并進行模糊化處理是基于相關公司不恢復數據的承諾與相對應安保措施之上的解決方案。但有目的的模糊化處理可能使數據喪失其實用性并確保其出處及相應責任的能力。此外，也很難預測再識別技術將如何演變以應對看似匿名的數據。這將導致大量的不確定性，個人該怎樣控制自己的數據？該怎樣反對建立在海量數據之上的決策？”這其中揭示了數據匿名化的難度以及數據匿名化與數據利用之間存在的矛盾。

日本一直把匿名化作為云計算國家戰(zhàn)略中的一項重要制度改革，對匿名化技術的研發(fā)、標準化等做出了詳細規(guī)定。面向大數據時代，為了加強企業(yè)對數據的利用和創(chuàng)新，日本對《個人信息保護法》進行了修訂，將由個人數據加工而成、已降低了個人可識別性的數據列為在向第三方提供時無需本人同意的類型，對從事該類型數據使用的企業(yè)應承擔的義務等在法律上進行規(guī)定。

4.大數據帶來的其他法律問題

在大數據時代還有很多的法律挑戰(zhàn)，例如，數據的所有權屬于誰，例如，用戶使用網絡服務產生的行為數據屬于用戶還是網絡服務提供者；數據價值如何衡量，在數據交易中如何對數據定價等；大數據的發(fā)展，數據向匯聚用戶的平臺聚集，這會不會產生新型的數據壟斷等問題，這些都是大數據給立法帶來的新挑戰(zhàn)。

在數據的利用與保護方面，企業(yè)與用戶之間的博弈也一直存在。例如，公司網站上發(fā)布的隱私政策，到底是切實保護用戶個人信息，還是企業(yè)用來對自己的數據使用進行免責。企業(yè)也使用各種去識別化方法（匿名，假名、加密、密鑰、數據切分等）將數據同真實信息分離，允許他人進行數據分析，但仍會存在隱私問題。

此外，數據經紀人的產生也帶來了新的法律挑戰(zhàn)。隨著大數據的發(fā)展，很多新參與者進入數據市場來交易、交換或買賣與數據相關的服務。專業(yè)的數據分析者和數據經紀人越來越多，他們收集多個信息源的數據，將數據進行匯總分析，并共享這些信息以及由其派生出來的信息，其范圍從專業(yè)的B2B公司到單一的位置服務等。通過匯總一個人的購買行為、網頁瀏覽活動、社交媒體互動行為或者直接的客服記錄信息等，數據經紀人就能夠描摹出一名顧客的概貌，并進一步對其活動記錄進行監(jiān)控。這些數據用于發(fā)放定向廣告、雇員背景調查、信用卡發(fā)放和執(zhí)法等。例如，LexisNexis公司每年都做120余萬個背景調查；BlueKai Exchange公司是世界上最大的廣告商數據市場，擁有3000多萬消費者的數據，每天處理7500多萬的數據和750多萬針對個人信息的拍賣交易。數據經紀人是在大數據時代出現的新主體，在占有、交易數據等方面具有較大作用，因此，對數據經紀人應該承擔怎樣的法律責任進行界定至關重要。

大數據時代的立法思考

大數據是未來經濟發(fā)展的重要驅動力，立法應考慮平衡釋放數據活力與體現數據安全價值、數據利用與隱私保護之間的關系，從法律上明確將數據資源作為國家戰(zhàn)略資產并加以利用和保護。促進網絡基礎設施發(fā)展，開放數據接入，加強隱私安全保護等政策都是未來需要考量的重點。

在立法的著力點上，可以考慮三個轉變：

一是從事前到事中和事后的轉變，在個人數據保護方面將關注重點從數據收集環(huán)節(jié)轉向數據使用環(huán)節(jié)，將原有的“告知同意”原則調整為更加注重事后責任追究，讓數據的采集者和使用者對數據的管理和可能產生的危害負責。在數據的安全保護和跨境流動限制方面，國家安全、商業(yè)秘密、個人隱私等不同目標對數據安全保護的訴求不同，但對數據無論是根據產生數據的主體，還是重要性進行分級分類都存在困難。因此，將重點從試圖在事前進行分類管理轉移到建立對數據安全風險的評估機制，進行事后評估和處理的做法可能更加可行。

二是將數據安全的關注重點從數據本身轉向處理數據的主體，規(guī)定數據經紀人的責任；同時在外資準入等方面制定相應的政策要求。

三是為了促進數據的利用和大數據的發(fā)展，法律應對不同情況下產生的數據的歸屬問題有所指引，明確數據主體、數據使用者、數據交易平臺等大數據生態(tài)中不同主體的權利義務。