数据安全：数据流动的几个关键问题

无论各种主体以何种方式开展数据治理，其核心都是要推动数据自由安全地流动，以便最大程度地挖掘和释放数据价值。而要实现数据流动，国内层面的抓手是推动数据开放共享，国际层面便是实现数据跨境流动。从当前的情形来看，阻碍数据顺畅流动的最主要掣肘因素有两个：一个是数据权问题，国内层面称为数据产权问题，国际层面即数据主权问题；二是数据安全问题，目前国际社会主要聚焦于个人数据，即个人信息保护。

1. 数据开放共享

大数据时代，数据依靠流动创造价值，已成为深入人心的理念。可是这种价值有大有小，如何让价值最大化，有一个科学的途径就是让数据变得“活”起来，通过数据的开放共享，避免数据成为一滩滩“死水”，一个个“孤岛”。

数据实现开放和共享具有重大的意义，能够提高数据的利用率。我们曾经通过纸张来储存有价值的信息，但是保存起来非常不方便。尤其是当一方想要知道某种信息，却不知道另一方有类似的存储信息时，此时的信息数据只是一种存储介质，根本没有得到充分的利用。计算机的出现使数据以虚拟的状态在互联网中传输及保存。尤其是随着共享数据库或共享数据平台的建立，人们可以把自己认为有价值、可共享的信息和数据储存在数据库或平台中，需要使用时通过关键词搜索找到相关的信息，这样平台各方都可以在其中交换和共享数据，数据价值得到了充分利用。

数据开放共享适用于各个领域。在政务数据建设方面，国家正在加快推动构建统一高效、互联互通、安全可靠的国家数据资源体系，初步建成统一数据开放共享交换平台。政府数据开放共享交换平台的运行，使市级（含）以下各级政府部门及其工作人员直接登录就可以获取国家、省（市）发布的政务信息资源。该平台能够支持本单位政务业务的“无孤岛化”运行，进而为行政权力“一体化”“一站式”网上运行创造了条件，使“让数据跑路，不让群众跑腿”“零距离办事”成为可能。该平台包括“网上政务服务大厅、网站集约化、三大基础环境、行政权力网络运行系统、法制监督系统、综合电子监察系统、政务数据开放、公共服务网上办理”等十大建设任务，便民利民。

在关系国计民生的制造业方面，共享制造业设计、研发、生产、管理、售后等全业务流程的数据能够为制造业转型升级提供全新的路径和模式。从单个企业来看，通过深度的挖掘分析，聚合的数据能够精准反映用户的个性化产品需求、产品交互及交易状况。这有利于实现个性化定制，最大程度满足用户需求，同时还能够优化生产工艺流程，缩短产品研发周期，提升制造业生产效率。从整个制造业来看，有效整合众多制造业企业的数据和信息资源，能够形成更加科学、高效的产业链，尤其能够带动和引导大批中小企业走出传统生产模式，实现转型升级。

在某些重要信息系统方面，数据开放共享也大有可为。以医疗行业为例，通过统一的医疗数据开放共享交换平台进行数据开放共享与交换，加强了各部门的业务联系，整合了卫生信息资源，从而减少了重复投资。通过实行集中存储与管理，解决了医疗建设各自为政、数据交换困难、“信息孤岛”现象严重等问题。通过对卫生资源的宏观管理和合理配置，提高了对整个医疗卫生行业的宏观规划与管理水平。可以说，数据的价值就是在不断共享、交换和利用的过程中实现并一步一步最大化的。

数据开放共享的方式主要包括数据开放、数据交换和数据交易等。在技术实现层面，例如，利用万能数据结构表实现数据开放共享，此处用“万能”一词，表示它是通用的。举个铁路行业的例子，众所周知，每种动车或高铁都有与其相对应的钢轨，那么，如果一条新的铁路被开发出来，动车改道运行，还需要重新更换钢轨吗？这种成本实在太高，当然不可能采用。实际上，只需要将钢轨标准化，无论后面开发怎样的新铁路，无论怎样改道，都可以实现互联互通。

不过，数据开放共享也面临很多问题。第一，已有数据资源积累的部门或企业出于观念、利益和安全等多重因素的考虑，绝大多数都不愿意分享自己的数据，即“无意愿”开放共享。第二，数据泄露等安全事件频发和出于数据伦理问题的考量，使企业乃至国家对数据开放共享望而却步，即“无胆量”开放共享。第三，大数据的4V特性使对数据进行分析处理的难度大大增加，数据的利用具有专业性强、难度大的特点，对技术要求较高，而且全球多数国家对数据开放共享的要求、规范、场景和条件都尚未形成具体的法律法规和标准规范，这些因素均加重了“数据孤岛”现象，即“无本领”开放共享。

所以，数据的开放共享绝非易事。推动数据开放共享是数据治理的重要内容，需要根据不同主体之间的数据开放共享特点，围绕透明度、共同创造价值、尊重各自利益、保持正当竞争、数据独占最小化等要素，设计开放共享的范围、原则、思路和框架，以技术和平台等为基础，推动数据开放共享真正落地，解决“数据孤岛”“数据割据”“数据垄断”等问题。

2. 数据产权

2017年8月，华为与腾讯两大互联网公司被爆出在获取用户数据方面存在分歧，两家企业对获取和使用用户数据的规则各执一词，这就是著名的“华为-腾讯事件”，其具体的来龙去脉如下。

华为于2016年底推出的一款手机可根据微信聊天内容自动加载地址、天气等信息，对于此举，华为并不认为自己侵犯了用户的隐私权。在给《华尔街日报》的声明中，华为表示只有用户通过设置以后，公司才能收集到相关数据，即主张数据属于用户，公司对数据的收集是经过用户同意的。但腾讯指出，华为不仅在获取腾讯的数据，还侵犯了用户的隐私权。

“华为-腾讯事件”集中地体现了数据产业链和生态链中围绕数据的白热化竞争，也从侧面反映了当前数据产权不清晰所带来的问题。

实际上，无论政府还是部分企业，都拥有非常丰富的大数据资源，但是大部分都被束之高阁，有数据需求的企业无法获取。这其中横亘的第一道“天堑”就是数据产权的问题。而对于数据产权的三大核心问题：数据归谁所有？谁在用数据？数据收益如何分配？当前学界业界都没有准确的答案，由此导致的问题也数不胜数。

数据归谁所有？当前关于数据的产权归属问题还远未达成共识。特别是在去除个人身份属性的数据交易中，到底是数据主体（产生数据的个人）还是记录数据的企业拥有数据的所有权，数据在由政府部门收集的情况下到底属于政府还是提供者个人，各方莫衷一是。

谁可以用数据？事实上，当前大规模使用数据的主体有两个：一个是政府，另一个是企业。

数据收益如何分配？通过使用数据产生巨额的经济收益，那么，这份巨额收益是如何进行分配的呢？是分配给数据的产生者个人，还是赋予数据的收集、加工者政府或企业呢？对这个问题的回答牵动着众多主体的利益。当前无论是判决实践还是司法态度，都偏向将数据收益分配给二次开发利用数据的收集者、创造者、实际控制者——企业。那么，作为政务数据的采集者政府以及数据的生产者个人在没有司法判决的支持下，又是否能够合法合理地享有数据收益权呢？这些问题都是数据治理的关键，需要在理论和立法上加以解决。

然而，当前的现实情况是，数据产权在数据治理过程中正处于青黄不接的尴尬阶段。首先表现在立法上，数据产权的具体制度处于立法空白，数据产权保护方式立法态度不明确，这直接导致了司法实践面对有关数据权属争议时的回避、保守态度，在数据产权的保护上显得捉襟见肘。其次，学术界对数据权属的界定也是众说纷纭。

随着数字经济的快速发展，我国正在经历新一轮的产业化转型，未来数据资产将在社会生活乃至经济生活中发挥越来越重要的作用。因此，当前对数据资产进行有针对性的立法势在必行。数据产权立法需要打破封闭的传统体系，构建一个具有开放性、包容性、发展性的体系。原因在于数据作为数据产权的客体，其本身具有虚拟性、可复制性、不确定性，而承载数据的技术手段又时时刻刻可能发生翻天覆地的变化。针对我国数据产权的立法，应建立从《民法总则》到数据产权单行法的层级保护模式，数据权利体系保护的核心内容就是对数据所有权、数据使用权和数据收益权的权利构建。在数据所有权构建方面，原生数据属于个人，企业享有衍生数据所有权，国家享有政府数据的归属权；在数据使用权构建方面，数据的使用需要以合法的、可利用的数据为前提，个人数据使用侧重于人格权的行使与保护，企业数据使用强调用权与限权的结合，同时还要区分完全数据产权与定限数据产权，且注意构建数据使用过程的权利限制，政府数据使用须提升公共服务与促进经济并重；在数据收益权构建方面，应赋予企业的数据收益权，个人参与分享数据红利，以及政府的数据收益权。

3. 个人信息保护

大数据时代，人们经常有一种“被扒光”和“被操控”的无力感，因为数据比我们更清楚地了解我们自身。凯文· 凯利（Kevin Kelly）在《必然》一书中列出了美国对公民进行常规追踪的清单。

汽车活动：从2006年开始，每辆车都包含一块芯片。当您发动汽车时，它就开始记录车速、刹车、过弯、里程及事故等状况。

邮政信件：您寄出或收到的每封信的表面信息都被扫描并数字化了。

手机位置和通话记录：您通话的时间、地点和对象（元数据）会被储存数月。有些手机供应商通常会把信息和电话的内容储存几天到几年不等。

信用卡：所有购买行为都被追踪，信用卡和复杂的人工智能相结合形成模式，揭示了您的人格、种族、癖好、政治观点和爱好。

通过各种细枝末节的数据拼接，现代互联网技术完全能够勾勒出一个人的“信息形象”。这种“信息形象”包含外貌、性格甚至人格，一旦遭到泄露、滥用和侵害，后果不堪设想。

目前，各个国家都非常注重对个人信息的保护，有些国家称之为个人信息权，有些国家称之为个人隐私权。个人信息包括自然人的姓名、家庭、职业、经历、健康状况及社会活动等一系列能够识别某个特定人的特征的资料，体现的是自然人的情况，因此其权利主体也仅限于自然人。而个人隐私是自然人或公民的私人生活不被打扰、私人秘密不被泄露，强调保护的是自然人，是一种人格权，归属于人身权的范畴。不过，无论哪种表达，其实质都是个人对其私人生活自主决定的权利，两种称谓的权利主体都是自然人，强调的都是自然人作为人所应有的人格尊严和个人自由。因此，从一定意义来说，保护个人信息就是捍卫自然人的人格尊严和自由。

近年来，随着大数据在政府公共管理中的广泛应用，政府管理与个人信息保护的矛盾逐渐浮出水面。2017年9月23日播出的《辉煌中国》纪录片第五集中，“中国天网”监控最新实时行人检测识别系统被曝光。这套系统可以实时监测区分机动车、非机动车和行人，并能准确识别机动车和非机动车的种类，以及行人的年龄、性别、穿着。“中国天网”曝光后在公众中引起了较大反响，人们普遍感到喜忧参半。不可否认，“中国天网”在追捕罪犯、维护治安等方面显示了巨大的威力。曾有一名口出狂言挑衅“中国天网”系统的BBC记者 “以身试法”，但是仅仅用了7分钟就被警察“逮住”。然而与此同时，很多人都为个人隐私担忧，认为“中国天网”监控捕捉的数据太详尽，几乎成为一种监视。

事实上，通过行使监控权力对个人信息权进行干涉是各个国家的通行做法。近年来，随着恐怖主义和极端势力的不断滋生，各国政府开始以信息监控的方式开展公共管理。例如，美国曾宣称只用于监控恐怖犯罪的手段在“9·11事件”后呈现出扩大化的趋势。2013年有美国媒体报道，美国国家安全局（NSA）一直在利用其掌握的大量数据绘制一些美国公民的社会关系图，这些数据包括银行代码、保险信息、Facebook个人主页、旅客名单、选举登记名单、GPS定位信息、财产记录和纳税资料等，通过这些详尽的关系图可识别公民的联系人、在特定时间所处的位置、旅伴及其他个人信息。英国也有类似的举措。2014年6月，英国政府首度承认其监控本国公民的Facebook、Twitter、谷歌、YouTube及电子邮件账号的行为；8月，政府仅用一周时间推动通过了《紧急通讯与互联网数据保留法案》，该法案允许警察以及安全部门继续通过电话和互联网记录对公民信息进行收集。随着互联网技术和信息化的发展，每个人都不可避免地与数据捆绑在一起，一言一行都会被数据记录下来，而国家和政府在进行公共管理的过程中也必须对公民的个人信息进行收集、储存和利用等。在这个过程中，个人隐私和个人信息是完全公开的，如果行使不当，就很容易造成对公民个人尊严的侵害。因此，个人信息保护的法律地位快速上升，个人尊严、个人隐私及个人信息从原来的普通私权利上升为公民的基本权利。如何在开展有效公共管理的同时保护好公民个人信息，已成为政府面临的一个重要问题。

4. 数据跨境流动

互联网在全球的广泛应用创造了海量数据，正是这些数据的流动为全球范围内的经济和贸易活动创造了大量机会。近十年间，亚太地区在互联网方面的发展尤为迅速。截至2017年，亚太地区的互联网用户数已达20亿，位居世界第一。调研公司eMarketer预测，未来亚太地区的网络流量将继续保持上升势头，到2020年，网络流量达到814.2EB。

数据跨境流动产生的影响是巨大且深远的。首先，数据跨境流动带动了创新想法的扩散。全球的互联网用户都可以接触、利用最新研究成果和技术，并激发更多创意，催生更多新企业。其次，数据跨境流动极大地推动了国际贸易的发展。企业利用互联网出口货物；各类商品可以足不出户在线购买；通过对数据进行分析和处理，还能够提高业务附加值。尤其对于中小企业来说，互联网和全球数据流动使它们能够参与国际贸易并从中获益。

但是，跨境数据流动也孕育了一些潜在风险。由于各国数据安全和隐私保护水平不一致，当用户数据从具有保护水平的地区流向保护水平较低的地区时，可能会因为立法不足或保护技术管理能力有限，导致存在数据泄露的风险。而且，数据跨境流动使本国政府依法获取企业数据的难度增加，增加了执法的不确定性，也会增加本国政府执法困难程度的风险。此外，数据跨境流动的模式会导致数据资源集中到少数具备产业和管理优势的国家，虽然可以节约企业的成本，但对于用户所在的国家而言就面临产业发展困难的问题。

近年来，不少国家纷纷采取数据本地化措施，加大了对数据流动的管控力度。它们认为，如果数据只在国境内流动，就能够为其提供安全性更高的保护措施。但事实并不一定如此。数据的本质在于流动，只有在流动中才能创造价值，所以数据跨境流动是大势所趋。但是，在当前缺乏国际法和国际规则、不能有效规避安全风险的情况下，数据跨境流动确实可能造成侵犯个人隐私、企业遭受财产损失，甚至泄露国家机密、扰乱社会秩序、威胁国家政权的严重后果。目前，我国已有一些数据跨境流动方面的法律规范，但是还处于刚起步的阶段。未来，我国应着重关注跨境流动数据的类型、范围、传输及安全保护机制，还应充分考虑传统的国际经济法、国际关系规则，以及各国网络安全和数据保护相关法律所产生的影响。尤其是涉及基因信息、生物信息及医疗信息等敏感数据出境时，必须考虑数据伦理与道德等因素，加大对信息违法出境的处罚力度。

2021年07月10日国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿）》，其中规定：掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

2021年07月23日，商务部、中央网信办、工信部三部门联合印发《数字经济对外投资合作工作指引》，其中规定：（十）做好数字经济走出去风险防范。鼓励数字经济企业完善内部合规制度，严格落实我国法律法规有关数据出境安全管理的规定，遵守东道国法律法规及国际通行规则，妥善应对数字经济领域审查和监管措施。提高知识产权保护意识，健全数据安全管理制度，采取必要技术措施，保护数据安全和个人信息，支持企业通过法律手段维权。密切跟踪全球数字经济反垄断及加征数字税最新政策动向，做好应对准备。