用法律劃定數(shù)據(jù)財(cái)產(chǎn)市場的監(jiān)管邊界

王佳穎

一、 導(dǎo)言

由于不同主體對于數(shù)據(jù)有著不同的利益訴求，對于數(shù)據(jù)權(quán)利類型以及數(shù)據(jù)權(quán)屬的爭議也就日益激烈。有學(xué)者認(rèn)為，數(shù)據(jù)權(quán)是絕對的人格權(quán)，當(dāng)然不能對其進(jìn)行商業(yè)化利用，這樣的觀點(diǎn)已經(jīng)隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，基本上被擯棄了。數(shù)據(jù)因使用而有價(jià)，大數(shù)據(jù)已經(jīng)成為工業(yè)4.0時(shí)代下的“新石油”。1World Econ.Forum, Personal Data: The Emergence of A New Asset Class 5(2011), available at: https://www.weforum.org/reports/personal-data-emergence-new-asset-class/.因而有學(xué)者提出，除了對從人格權(quán)角度對用戶信息的絕對保護(hù)之外，有必要為數(shù)據(jù)的使用構(gòu)建財(cái)產(chǎn)性權(quán)利制度。2Paul M.Schwartz, Property, Privacy, and Personal Data, 117 Harv.L.Rev.2055(2004).

1999年，美國的勞倫斯·萊斯格（Lawrence Lessig）教授最早提出了數(shù)據(jù)財(cái)產(chǎn)化理論，認(rèn)為應(yīng)該授予數(shù)據(jù)主體數(shù)據(jù)所有權(quán)，確定對于自身數(shù)據(jù)的財(cái)產(chǎn)權(quán)利。3Lawrence Lessig, Code and Other Laws of Cyberspace, 122-35(1999); Lawrence Lessig, Privacy as Property, 69 Soc.Res.247, 261(2002).這一理論提出后引起了政策制定者的注意。美國的數(shù)據(jù)紅利共享制度，就體現(xiàn)了對數(shù)據(jù)財(cái)產(chǎn)權(quán)的肯定。4龍衛(wèi)球：《數(shù)據(jù)新型財(cái)產(chǎn)權(quán)構(gòu)建及其體系研究》，《政法論壇》，2017年第35期。

歐盟同樣表現(xiàn)出了對數(shù)據(jù)財(cái)產(chǎn)屬性的關(guān)注。2015年，英國競爭與市場管理局（Competition and Market Authority）發(fā)布了題為《消費(fèi)者數(shù)據(jù)的商業(yè)化利用》的報(bào)告，研究了消費(fèi)者數(shù)據(jù)商業(yè)化利用的現(xiàn)況，并對未來的數(shù)據(jù)商業(yè)化利用規(guī)制進(jìn)行了規(guī)劃。5The Commercial Use of Customer Data: Call for Information, Competition and Market Authority.2017年，歐盟委員會(huì)（The European Council）通過了題為《建立歐盟數(shù)據(jù)經(jīng)濟(jì)》的政策文件6Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions "Building A European Data Economy".，呼吁針對非個(gè)人的機(jī)器生成數(shù)據(jù)（raw machine-generated data）設(shè)立數(shù)據(jù)產(chǎn)權(quán)，規(guī)范市場和交易。歐盟委員會(huì)希望通過這一“數(shù)據(jù)生產(chǎn)者權(quán)利”鼓勵(lì)，某些特殊情況下強(qiáng)制企業(yè)授權(quán)第三方訪問其數(shù)據(jù)，促進(jìn)數(shù)據(jù)流通和增值。7騰訊研究院，《歐盟如何為繁榮數(shù)字經(jīng)濟(jì)打造統(tǒng)一的數(shù)據(jù)法律規(guī)則？》，https://new.qq.com/omn/20181023/20181023A1HAZH00。

在認(rèn)可數(shù)據(jù)財(cái)產(chǎn)屬性的前提下，為了實(shí)現(xiàn)對數(shù)據(jù)財(cái)產(chǎn)的充分和高效利用，數(shù)據(jù)權(quán)屬的分離勢在必行。對數(shù)據(jù)財(cái)產(chǎn)屬性的確認(rèn)與商業(yè)化利用可以說是大勢所趨。

二、數(shù)據(jù)財(cái)產(chǎn)的特別屬性

隱私泄露造成的危害顯而易見。劍橋咨詢公司未經(jīng)授權(quán)獲取美國社交媒體Facebook多達(dá)5000萬用戶的信息（最終數(shù)字達(dá)8700萬）的數(shù)據(jù)泄露事件開始，到Facebook股價(jià)蒸發(fā)500億，扎克伯格孤身一人上國會(huì)聽證會(huì)公開道歉。目光回到國內(nèi)，華住團(tuán)旗下所有酒店的數(shù)據(jù)，涉及1.3億人的個(gè)人信息和開房記錄最近在網(wǎng)絡(luò)上被叫賣。數(shù)據(jù)包含華住旗下漢庭、禧玥、桔子、宜必思等10余個(gè)品牌酒店的住客信息。新三板大數(shù)據(jù)公司數(shù)據(jù)堂被傳因涉嫌給一家理財(cái)營銷公司提供大量個(gè)人隱私數(shù)據(jù)，公司高管被帶走調(diào)查。2016年雅虎10億賬戶泄露事件，2014攜程用戶信用卡數(shù)據(jù)泄露事件。荷蘭SIM卡制造商金雅拓公司于4月16日公布了一份調(diào)查報(bào)告，顯示2017年全球失竊、丟失或泄露數(shù)據(jù)總量達(dá)到了26億條，與前年相比同比增長了88%，幾乎翻了一倍。

可以看出，數(shù)據(jù)財(cái)產(chǎn)不同于一般財(cái)產(chǎn)，它還蘊(yùn)涵著無數(shù)的個(gè)人隱私信息，所以其作為商品的存儲、變更、傳輸、封鎖和刪除均需要嚴(yán)格的控制與保護(hù)。8參見王玉林：《信息服務(wù)風(fēng)險(xiǎn)規(guī)避視角下的大數(shù)據(jù)控制人財(cái)產(chǎn)權(quán)利與限制研究》，《圖書情報(bào)知識》，2016年第5期。這樣的高強(qiáng)度保護(hù)通過企業(yè)的自律是難以達(dá)到的，必須通過立法予以明確，以公權(quán)力作為保障。

三、我國政策法律對于數(shù)據(jù)資產(chǎn)商業(yè)化利用的態(tài)度

歐美數(shù)據(jù)經(jīng)濟(jì)蓬勃發(fā)展，我國同樣不遑多讓。據(jù)中國信通院數(shù)據(jù)顯示，2017年我國數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到27.2億，占當(dāng)年GDP比重的32.9%，僅次于美國，居全球第二位。面對數(shù)字經(jīng)濟(jì)的極大繁榮，數(shù)據(jù)資產(chǎn)化及對數(shù)據(jù)資產(chǎn)的商業(yè)化利用在我國政策法律中是否有容身之處，也就成為了不可回避的問題。不同于其他國家例如歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡稱“GDPR”）中對于個(gè)人數(shù)據(jù)的處理列出多種不同的合法依據(jù)。

在我國，對于數(shù)據(jù)權(quán)屬性的重要規(guī)定較早的可以追溯到2012年12月全國人大常委會(huì)通過的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。該決定實(shí)際將個(gè)人信息視為用戶的一種類似于人格權(quán)的絕對利益，賦予了用戶對自己的個(gè)人信息排除他人非法獲取、非法提供的權(quán)能，但沒有明確用戶是否可以對個(gè)人信息享有積極自決權(quán)能，以允許他人使用，顯然無法迎合大數(shù)據(jù)時(shí)代的需求。

對于互聯(lián)網(wǎng)行業(yè)的數(shù)據(jù)從業(yè)者來說，要使得網(wǎng)絡(luò)服務(wù)成為可能，不可避免地要對用戶個(gè)人信息進(jìn)行收集、加工和商業(yè)化利用。對此，他們往往采取設(shè)置用戶協(xié)議的方式，引導(dǎo)用戶對其個(gè)人信息的相關(guān)權(quán)利向企業(yè)授權(quán)。這種方式很快得到實(shí)踐的廣泛認(rèn)同。2013年開始實(shí)施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》，該指南對個(gè)人信息控制者處理個(gè)人信息的行為作出了規(guī)范。

司法實(shí)踐上對數(shù)據(jù)商業(yè)化利用中使用個(gè)人數(shù)據(jù)權(quán)利的認(rèn)定也有較大的突破。在北京百度網(wǎng)訊科技公司與朱燁隱私權(quán)糾紛一案9見朱燁與北京百度網(wǎng)訊科技有限公司隱私權(quán)糾紛民事裁定書，（2013）寧民轄終字第238號。中，原告朱燁在家中和單位上網(wǎng)瀏覽相關(guān)網(wǎng)站過程中，發(fā)現(xiàn)利用百度搜索引擎搜索相關(guān)關(guān)鍵詞后，會(huì)在百度廣告聯(lián)盟的特定網(wǎng)站上出現(xiàn)與關(guān)鍵詞相關(guān)的廣告。朱燁認(rèn)為，百度公司未經(jīng)其知情和選擇，利用網(wǎng)絡(luò)技術(shù)記錄和跟蹤朱燁所搜索的關(guān)鍵詞，將其興趣愛好、個(gè)人需求等顯露在相關(guān)網(wǎng)站上，并利用記錄的關(guān)鍵詞，對其瀏覽的網(wǎng)頁進(jìn)行廣告投放，侵害了其隱私權(quán)，使其感到恐懼，精神高度緊張，影響了正常的工作和生活。在終審判決中，南京市中院認(rèn)為，網(wǎng)絡(luò)服務(wù)商或數(shù)據(jù)從業(yè)者對于用戶瀏覽信息的自動(dòng)抓取收集行為以及個(gè)性化推薦行為不構(gòu)成隱私侵權(quán)。

此外，在微博訴脈脈案的終審判決中，北京知識產(chǎn)權(quán)法院指出，“對企業(yè)而言，數(shù)據(jù)已經(jīng)成為一種商業(yè)資本，一項(xiàng)重要的經(jīng)濟(jì)投入，科學(xué)運(yùn)用數(shù)據(jù)可以創(chuàng)造新的經(jīng)濟(jì)利益……數(shù)據(jù)的獲取和使用，不僅能成為企業(yè)競爭優(yōu)勢的來源，更能為企業(yè)創(chuàng)造更多的經(jīng)濟(jì)效益，是經(jīng)營者重要的競爭優(yōu)勢與商業(yè)資源”。10見北京淘友天下技術(shù)有限公司、北京淘友天下科技發(fā)展有限公司與北京微夢創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司不正當(dāng)競爭上訴案，（2016）京73民終588號。

僅僅從法律規(guī)定來看，我國法律中數(shù)據(jù)的財(cái)產(chǎn)屬性及相關(guān)權(quán)利的劃分，似乎還處于“妾身未分明”的狀態(tài)，但實(shí)際上，我國政策及司法實(shí)踐已經(jīng)體現(xiàn)出肯定對數(shù)據(jù)資產(chǎn)的商業(yè)化利用，平衡個(gè)人和數(shù)據(jù)從業(yè)者雙方利益，肯定數(shù)據(jù)從業(yè)者具有相關(guān)權(quán)利的態(tài)度。這些以規(guī)范數(shù)據(jù)控制者、處理者行為為著力點(diǎn)的法律文件以及司法實(shí)踐，其實(shí)也體現(xiàn)了一個(gè)結(jié)論：在大數(shù)據(jù)時(shí)代，真正值得關(guān)注的不在于數(shù)據(jù)由誰產(chǎn)生，為誰所有，而在于數(shù)據(jù)為誰所控制，為誰所支配。

四、政府向企業(yè)分享數(shù)據(jù)資產(chǎn)

為了實(shí)現(xiàn)對數(shù)據(jù)的商業(yè)化利用，創(chuàng)造財(cái)富，企業(yè)必須以多種方式獲取數(shù)據(jù)，包括在提供商品、服務(wù)的過程中自主地收集數(shù)據(jù)，其他企業(yè)自愿分享數(shù)據(jù)，通過數(shù)據(jù)抓取獲取其他企業(yè)的數(shù)據(jù)，以及由政府提供數(shù)據(jù)并由企業(yè)進(jìn)行商業(yè)化利用等等。最后一種無疑也是一種較新也較為罕見的模式，值得進(jìn)一步的探討。

從政府向企業(yè)提供數(shù)據(jù)的法律依據(jù)而言，針對政府能否將履職獲得的數(shù)據(jù)提供給企業(yè)這一問題，目前尚缺乏法律層面的依據(jù)，正在制定中的《數(shù)據(jù)安全法》及其配套法律出臺后或可提供具體指導(dǎo)。但從政策風(fēng)向來看，國務(wù)院于2015年印發(fā)的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》（以下簡稱《行動(dòng)綱要》）中就已指出：“推動(dòng)大數(shù)據(jù)發(fā)展和應(yīng)用是各級政府的一項(xiàng)重要任務(wù)；為了降低社會(huì)管理成本，鼓勵(lì)政府與企業(yè)、社會(huì)機(jī)構(gòu)開展合作，通過政府采購、服務(wù)外包、社會(huì)眾包等多種方式，依托專業(yè)企業(yè)開展政府大數(shù)據(jù)應(yīng)用?！?014年，李克強(qiáng)在視察山東浪潮集團(tuán)時(shí)也指出：政府要與企業(yè)共享“大數(shù)據(jù)”。

針對《行動(dòng)綱要》中的規(guī)定，地方上已有類似實(shí)踐，貴州和上海都是其中較為突出的代表。2010年，九次方大數(shù)據(jù)集團(tuán)有限公司在貴州成立，第一次作為企業(yè)提出了“數(shù)據(jù)資產(chǎn)運(yùn)營”和“數(shù)據(jù)財(cái)政”的概念。2015年，九次方大數(shù)據(jù)聯(lián)合貴陽市政府發(fā)起成立了全球第一家大數(shù)據(jù)交易所——貴陽大數(shù)據(jù)交易所。11見九次方大數(shù)據(jù)集團(tuán)有限公司官網(wǎng)。并于2016年2月25日被批復(fù)建設(shè)第一個(gè)國家大數(shù)據(jù)綜合試驗(yàn)區(qū)，此后，貴州省在政府與企業(yè)之間的數(shù)據(jù)經(jīng)濟(jì)合作上有了進(jìn)一步的突破。同年，貴州省政府指定云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司（“云上貴州”）建設(shè)云上貴州數(shù)據(jù)共享平臺，作為全省統(tǒng)一的大數(shù)據(jù)平臺，支撐全省政府?dāng)?shù)據(jù)開放。

當(dāng)然，雖然已經(jīng)有了政策導(dǎo)向和實(shí)踐示范，但政府向企業(yè)提供數(shù)據(jù)資產(chǎn)這一領(lǐng)域仍處于“摸著石頭過河”的階段，仍然存在很多問題。例如，在企業(yè)的選擇上，政府在為企業(yè)提供數(shù)據(jù)，指定企業(yè)搭建數(shù)據(jù)平臺時(shí)，是否應(yīng)當(dāng)考慮到政府所收集的數(shù)據(jù)的重要性，以及數(shù)據(jù)平臺在大數(shù)據(jù)時(shí)代的基礎(chǔ)設(shè)施地位，選擇兼顧經(jīng)濟(jì)效益和社會(huì)效益，兼具公信力和公益性的公司。除此之外，雖然目前已存在部分政策性文件，但政府向企業(yè)傳輸數(shù)據(jù)的明確法律規(guī)定仍有缺失。其次，政府在指定合作企業(yè)時(shí)，也應(yīng)考慮程序上的正當(dāng)性，避免構(gòu)成行政壟斷。此外，企業(yè)還應(yīng)考慮接受政府?dāng)?shù)據(jù)傳輸、搭建數(shù)據(jù)平臺需要具備哪些資質(zhì)，據(jù)此也應(yīng)參考《征信業(yè)管理?xiàng)l例》及《金融信息服務(wù)管理規(guī)定》等相關(guān)規(guī)定。

五、數(shù)據(jù)財(cái)產(chǎn)商品化的邊界

《中華人民共和國民法總則（草案二次審議稿）》（“《二次審議稿》”）12“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人應(yīng)當(dāng)確保依法取得的個(gè)人信息安全，不得非法收集、使用、加工、傳輸個(gè)人信息，不得非法買賣、提供或者公開個(gè)人信息?！敝惺状翁岢觯庠诙糁苹ヂ?lián)網(wǎng)時(shí)代猖獗的個(gè)人信息非法收集、加工和交易。相較于《二次審議稿》，2017年3月15日最終通過的《民法總則》第111條則進(jìn)一步規(guī)定，“任何組織和個(gè)人應(yīng)當(dāng)確保依法取得的個(gè)人信息安全”，強(qiáng)調(diào)了信息獲得者保護(hù)信息的法律責(zé)任。13“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人不得非法收集、利用、加工、傳輸個(gè)人信息，不得非法提供、公開或者出售個(gè)人信息?！?/p>

新浪訴脈脈案中，法院在判決中指出，“數(shù)據(jù)的獲取和使用，不僅能成為企業(yè)競爭優(yōu)勢的來源，更能為企業(yè)創(chuàng)造更多的經(jīng)濟(jì)效益，是經(jīng)營者重要的競爭優(yōu)勢與商業(yè)資源”。盡管法院并沒有進(jìn)一步討論個(gè)人信息的所有權(quán)屬性，亦未明確社交網(wǎng)絡(luò)平臺對經(jīng)營中合法取得的個(gè)人信息所享有的權(quán)利，判決仍然確立了一項(xiàng)原則，即信息可被視為經(jīng)營活動(dòng)中的一種重要競爭優(yōu)勢，這與近年來全球各司法轄區(qū)對數(shù)據(jù)或“大數(shù)據(jù)”將如何影響競爭政策的討論是一致的。經(jīng)營者應(yīng)將按照合法隱私及數(shù)據(jù)處理政策收集并控制的個(gè)人信息，作為其重要商業(yè)資源予以保護(hù)。

因此，經(jīng)營者在確保正當(dāng)使用個(gè)人信息的同時(shí)，還應(yīng)當(dāng)防止其他競爭者不當(dāng)“竊取”其所掌握的個(gè)人信息。建議公司建立內(nèi)部數(shù)據(jù)保護(hù)機(jī)制，避免競爭者未經(jīng)授權(quán)獲取任何數(shù)據(jù)。此外，與第三方進(jìn)行數(shù)據(jù)交易時(shí)，應(yīng)確保擬定的合同明確約定擬交易數(shù)據(jù)的范圍和數(shù)據(jù)保護(hù)義務(wù)。事前對第三方的網(wǎng)絡(luò)環(huán)境安全進(jìn)行盡職調(diào)查也十分重要。

六、政府與規(guī)范性文件對數(shù)據(jù)市場的影響

從去年開始《網(wǎng)絡(luò)安全審查辦法（征求意見稿）》、《數(shù)據(jù)安全管理辦法（征求意見稿）》（“《管理辦法》”）、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定（征求意見稿）》（“《兒童個(gè)人信息保護(hù)規(guī)定》”）以及《移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》等規(guī)范性文件緊鑼密鼓地被制定出臺，不排除有多重考量因素的作用，尤其是在特定時(shí)期需要加快相應(yīng)領(lǐng)域立法的需求。除了之前監(jiān)管規(guī)則中不曾出現(xiàn)過網(wǎng)路爬蟲抓取數(shù)據(jù)、定向推送、洗稿、數(shù)據(jù)出境審批以及平臺運(yùn)營者對第三方應(yīng)用的過錯(cuò)推定責(zé)任等新規(guī)定而需要補(bǔ)充之外，另一個(gè)合理性解釋，應(yīng)該是按照《立法法》的規(guī)定，部門規(guī)章可以設(shè)定一定的行政處罰手段，通過將《規(guī)范》上升到部門規(guī)章層面，可以解決其作為推薦性國標(biāo)并沒有強(qiáng)制執(zhí)行力的窘境，讓那些已經(jīng)實(shí)踐驗(yàn)證確認(rèn)行之有效的監(jiān)管規(guī)則不再只是“紙老虎”。

《管理辦法》賦予了執(zhí)法機(jī)關(guān)廣泛的數(shù)據(jù)獲取權(quán)限，其中第二十七條規(guī)定“網(wǎng)絡(luò)運(yùn)營者向他人提供個(gè)人信息前，應(yīng)當(dāng)評估可能帶來的安全風(fēng)險(xiǎn)，并征得個(gè)人信息主體同意”，但“執(zhí)法機(jī)關(guān)依法履行職責(zé)所必需”屬于例外情形之一；第三十六條進(jìn)一步規(guī)定“國務(wù)院有關(guān)主管部門為履行維護(hù)國家安全、社會(huì)管理、經(jīng)濟(jì)調(diào)控等職責(zé)需要，依照法律、行政法規(guī)的規(guī)定，要求網(wǎng)絡(luò)運(yùn)營者提供掌握的相關(guān)數(shù)據(jù)的，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)予以提供”。

與《規(guī)范》第5.4條“征得授權(quán)同意的例外”中列出的具體情形相比，《管理辦法》的上述規(guī)定明顯過于原則?！耙婪男新氊?zé)所必需”以及“履行維護(hù)國家安全、社會(huì)管理、經(jīng)濟(jì)調(diào)控等職責(zé)需要”，都是十分寬泛的表述。雖然說后者通過“國務(wù)院有關(guān)主管部門”進(jìn)行了主體層級上的限定，但總體上仍賦予了監(jiān)管部門相對廣泛的執(zhí)法裁量權(quán)。我們建議在后續(xù)定稿規(guī)范或在相關(guān)的法規(guī)規(guī)章中，對監(jiān)管部門獲取企業(yè)數(shù)據(jù)、個(gè)人信息的程序和權(quán)限加以規(guī)范，在實(shí)現(xiàn)國家安全和社會(huì)管理等利益的同時(shí)，維護(hù)程序正義，保護(hù)數(shù)據(jù)主體和收集數(shù)據(jù)企業(yè)的合法權(quán)益。

我國現(xiàn)階段關(guān)于數(shù)據(jù)立法的重點(diǎn)是強(qiáng)調(diào)數(shù)據(jù)保護(hù)?！毒W(wǎng)絡(luò)安全法》第42條是主要依據(jù)，規(guī)定企業(yè)未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。同時(shí)這個(gè)第42條還規(guī)定，經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的不屬于限制范圍。也就是依照現(xiàn)有法律，經(jīng)過匿名化處理的數(shù)據(jù)其實(shí)是可以交易的，因?yàn)檫@時(shí)已經(jīng)是商業(yè)化的數(shù)據(jù)了，不再涉及個(gè)人信息。

但是隨著大數(shù)據(jù)時(shí)代的來臨，我們會(huì)發(fā)現(xiàn)無論是取得用戶同意還是數(shù)據(jù)匿名化都越來越難。5G時(shí)代來臨，所有電子產(chǎn)品都會(huì)不斷生成數(shù)據(jù)，面對海量數(shù)據(jù)，全部取得用戶同意需要極高的合規(guī)成本，企業(yè)是難以承受的。這是現(xiàn)在合法的數(shù)據(jù)交易很少，但黑市數(shù)據(jù)交易卻不斷的原因。因?yàn)槿绻耆戏梢?，成本將非常高。比如個(gè)人可以要求企業(yè)刪除他的個(gè)人數(shù)據(jù)，但這是十分困難的，因?yàn)樗袛?shù)據(jù)已經(jīng)不斷融合，要找出特定個(gè)人信息的成本會(huì)十分高昂。

在網(wǎng)絡(luò)安全、個(gè)人信息保護(hù)和數(shù)據(jù)合規(guī)立法領(lǐng)域，根據(jù)業(yè)界的普遍反映，每出臺一項(xiàng)新的制度文件，基本都會(huì)給相關(guān)行業(yè)的企業(yè)實(shí)體增添新的義務(wù)和要求，并導(dǎo)致企業(yè)合規(guī)成本的不斷增加。野蠻生長的草莽英雄時(shí)代，很多產(chǎn)業(yè)實(shí)踐的確需要通過建立新的規(guī)則體系予以規(guī)制，但其中創(chuàng)新與約束、發(fā)展與規(guī)制、私利和公益等一系列矛盾訴求的權(quán)衡和平衡，必定是立法中非常具有挑戰(zhàn)性卻又無法回避的現(xiàn)實(shí)。

與傳統(tǒng)的監(jiān)督檢查、定期匯報(bào)和審查批準(zhǔn)等執(zhí)法和監(jiān)管方式相對應(yīng)，近些年在社會(huì)經(jīng)濟(jì)活動(dòng)的行政規(guī)制領(lǐng)域逐漸形成了社會(huì)共治和政府與企業(yè)合作治理的共識，并已經(jīng)體現(xiàn)在眾多的立法和執(zhí)法活動(dòng)中。在數(shù)據(jù)經(jīng)濟(jì)時(shí)代，大數(shù)據(jù)凸顯其巨大的潛在利用價(jià)值，但又囿于個(gè)人信息和隱私數(shù)據(jù)保護(hù)的高度合規(guī)要求，因此合作治理和激勵(lì)相容14參見周漢華：《探索激勵(lì)相容的個(gè)人數(shù)據(jù)治理之道》，《法學(xué)研究》，2018年第2期。的政策和監(jiān)管模式，就尤其能體現(xiàn)其適用價(jià)值。值得欣慰的是，《規(guī)范》在其生效實(shí)施之后，在調(diào)動(dòng)企業(yè)主體積極構(gòu)建個(gè)人信息保護(hù)的內(nèi)控合規(guī)制度、引導(dǎo)主動(dòng)守法和降低執(zhí)法成本等方面，都發(fā)揮了相當(dāng)正向的作用。

七、結(jié)語

法律即規(guī)則，法律體系由法律基礎(chǔ)理論和法律具體規(guī)則構(gòu)成。歐洲以基本人權(quán)理論為出發(fā)點(diǎn)構(gòu)建了GDPR為主導(dǎo)的嚴(yán)格的個(gè)人數(shù)據(jù)處理活動(dòng)法律框架。美國也以Fair Information Practice Principles（FIPP）為基礎(chǔ)理論支撐15Daniel J.Solove & Woodrow Hartzog, THE FTC AND THE NEW COMMON LAW OF PRIVACY, COLUMBIA LAW REVIEW, Vol.114.，形成了極具美國特色的部門化16Federal Family Educational Rights and Privacy Act (FERPA), Children's Online Privacy Protection Act (COPPA), Fair Credit Reporting Act (FCRA) and Gramm-Leach-Bliley Act(GLBA).立法模式。

與此相對應(yīng)的，我國在個(gè)人信息和隱私數(shù)據(jù)保護(hù)方面的基礎(chǔ)理論上卻顯得相對滯后——雖然2009年《侵權(quán)責(zé)任法》首次在法律中確立了隱私權(quán)的法律地位，以及2017年《網(wǎng)絡(luò)安全法》出臺以來陸續(xù)落地的一系列法規(guī)和規(guī)章文件，包括《管理辦法》和《兒童個(gè)人信息保護(hù)規(guī)定》，立法和監(jiān)管機(jī)構(gòu)基本是以相對實(shí)用主義的路徑設(shè)立了以現(xiàn)有互聯(lián)網(wǎng)生態(tài)為主要規(guī)制對象的一套規(guī)則體系。

盡管如此，這不代表我國對比較法應(yīng)當(dāng)采取全盤接納的態(tài)度，不論是美國的FIPP原則17Fred H.Cate, THE FAILURE OF FAIR INFORMATION PRACTICE PRINCIPLES forthcoming in Consumer Protection in the Age of the ‘Information Economy’.，還是歐盟的GDPR，雖然確認(rèn)了數(shù)據(jù)的經(jīng)濟(jì)價(jià)值，但立法內(nèi)容絕大部分內(nèi)容是對個(gè)人信息財(cái)產(chǎn)權(quán)化的單向保護(hù)18Kevin Koerner, GDPR - boosting or choking Europe’s data economy?, https://www.dbresearch.com/servlet/reweb2.ReWEB?rwsite=RPS_EN-PROD&rwobj=ReDisplay.Start.class&document=PROD0000000000470381#.。立法者僅僅站在個(gè)人作為數(shù)據(jù)主體的財(cái)產(chǎn)地位角度予以配置，忽視了數(shù)據(jù)經(jīng)營者（企業(yè)）應(yīng)有的財(cái)產(chǎn)利益訴求，沒有再向企業(yè)數(shù)據(jù)財(cái)產(chǎn)權(quán)的確立走出關(guān)鍵一步。19Jacob M.Victor, The EU General Data Protection Regulation: Toward A Property Regime for Protection Data Privacy, 123 Yale.L.Journal 523（2013）.

今年6月19日，法國最高行政法院Conseil d’état做出裁定，維持法國數(shù)據(jù)保護(hù)機(jī)構(gòu)國家信息與自由委員會(huì)CNIL于2019年1月對谷歌違反GDPR做出的5000萬歐元（約5600萬美元）罰款。20參見CNIL調(diào)查報(bào)告英文版，https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-againstgoogle-llc本案中對于對谷歌的處罰依據(jù)，是歐盟對GDPR的嚴(yán)格執(zhí)行結(jié)果。雖然谷歌是總部在美國的科技巨頭企業(yè)，但鑒于其針對歐盟市場、對歐盟的居民提供服務(wù)、收集和處理歐盟居民的個(gè)人數(shù)據(jù)、在歐盟境內(nèi)成員國設(shè)立營業(yè)地，因此毫無疑問地被納入GDPR的監(jiān)管范圍。而對于監(jiān)管的具體內(nèi)容，也隨著各種處罰案例的不斷出現(xiàn)，越來越具象化和規(guī)范化。本案中，關(guān)于消費(fèi)者個(gè)人隱私保護(hù)和科技發(fā)展的平衡難題顯露無遺。21Allison Schiff, France Slaps Google With 50 Million Euro Fine - Largest Yet Under GDPR, https://www.adexchanger.com/privacy/france-slaps-google-with-50-million-euro-fine-largest-yet-under-gdpr/由于GDPR的嚴(yán)格性，一方面作為消費(fèi)者或個(gè)人用戶，從中取得了對個(gè)人隱私和信息安全的全面保護(hù)；但從推進(jìn)科技進(jìn)步的角度，谷歌的擔(dān)憂也不無道理。雖然現(xiàn)在這一問題尚不明顯，但GDPR細(xì)節(jié)化和全面化的監(jiān)管內(nèi)容，在某些情況下或會(huì)對企業(yè)造成比較大的合規(guī)成本和負(fù)擔(dān)，難免落入可能僵化的窠臼。

與傳統(tǒng)的監(jiān)督檢查、定期匯報(bào)和審查批準(zhǔn)等執(zhí)法和監(jiān)管方式相對應(yīng)，近些年在社會(huì)經(jīng)濟(jì)活動(dòng)的行政規(guī)制領(lǐng)域逐漸形成了社會(huì)共治和政府與企業(yè)合作治理的共識，并已經(jīng)體現(xiàn)在眾多的立法和執(zhí)法活動(dòng)中。在數(shù)據(jù)經(jīng)濟(jì)時(shí)代，大數(shù)據(jù)凸顯其巨大的潛在利用價(jià)值，但又囿于個(gè)人信息和隱私數(shù)據(jù)保護(hù)的高度合規(guī)要求，因此合作治理和激勵(lì)相容的政策和監(jiān)管模式，就尤其能體現(xiàn)其適用價(jià)值。

值得欣慰的是，《規(guī)范》在其生效實(shí)施之后，在調(diào)動(dòng)企業(yè)主體積極構(gòu)建個(gè)人信息保護(hù)的內(nèi)控合規(guī)制度、引導(dǎo)主動(dòng)守法和降低執(zhí)法成本等方面，都發(fā)揮了相當(dāng)正向的作用。隨著《民法總則》人格權(quán)篇、《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》的陸續(xù)到位，個(gè)人信息、隱私權(quán)和數(shù)據(jù)資產(chǎn)等基本概念和理論框架的逐漸完備，相信我們國家可以建立一整套理論和規(guī)則協(xié)同配合的完整監(jiān)管體系。數(shù)據(jù)的利用這不僅僅是百度、阿里巴巴、騰訊這些互聯(lián)網(wǎng)巨頭的事，更有千千萬萬的中小企業(yè)。這些企業(yè)除了立法的限制，更多需要的是政府的指導(dǎo)，幫助其有效地保護(hù)其掌握的公民數(shù)據(jù)信息。數(shù)據(jù)的開發(fā)利用不僅要聚焦公民個(gè)人隱私信息數(shù)據(jù)的安全，同時(shí)也應(yīng)該通過適度監(jiān)督、相對謙抑的立法為中國的企業(yè)提供利用數(shù)據(jù)的合理空間，不過分干預(yù)數(shù)據(jù)市場的成長，充分發(fā)揮我國在數(shù)據(jù)領(lǐng)域的紅利與優(yōu)勢。