“”大数据战略实施的法律障碍及其排除”沙龙发言整理

参与本次学术沙龙的嘉宾有：北京邮电大学法学院娄耀雄教授，蚂蚁金服法务部总监聂正军先生，蚂蚁金服战略研究院院长李正华先生，蚂蚁金服战略研究院资深专家李勇先生，因特尔法务总监续俊旗先生，中央电视台《今日说法》栏目记者高国辉先生，亚太网络法律研究中心执行主任、北京师范大学法学院黄振中教授，亚太网络法律研究中心执行主任、北京师范大学法学院夏扬教授，亚太人工智能法律研究院院长、亚太网络法律研究中心主任、北京师范大学法学院刘德良教授。

本次沙龙共分为三个阶段举行：主题发言阶段，嘉宾辩论阶段和互动问答阶段。沙龙活动开始后，与会嘉宾就议题相关内容发表自己的见解，来自蚂蚁金服的聂正军先生等实务界嘉宾列举了众多实践中遇到的问题，为沙龙探讨提供了具体的实务根据，学界的嘉宾也从不同角度对这些问题给予了相应的回答。嘉宾辩论阶段，嘉宾就沙龙议题补充发表观点，并围绕一些争议较大的问题展开论辩，现场观点碰撞激烈，气氛热烈。在自由问答阶段，在线网友及现场的同学对嘉宾们进行提问，嘉宾们对问题们进行了充分耐心的解答。

此次学术沙龙活动是2017年的最后一场活动，刘德良教授对既往的活动进行了回顾总结，对亚太网络法研究中心和亚太人工智能法律研究院接下来的发展、研究方向做了详细介绍。对关心和支持中心和研究院的嘉宾，老师和同学表示感谢并为大家送上了新年的祝福：“感谢大家长期以来的支持，也欢迎和期待更多优秀的学者嘉宾参与到亚太网络法律研究院和亚太人工智能法律研究院开展的学术活动中来！”

以下为笔者根据现场录音，整理出的嘉宾发言内容：

聂正军先生：

蚂蚁金服是一家科技公司，致力于用技术和数据助力金融机构和合作伙伴，扎根实体企业，为小微企业和个人消费者提供平等的机会。在我们运营的过程中主要是利用数据形成了产品和服务，运用于风险控制、反洗钱和投资管理等领域。随着对数据的广泛和深入的运用，也伴随着蚂蚁金服全球战略的推进，使得公司认识到数据的安全和隐私保护成为越来越重要的问题，这不仅仅是一个企业为了满足法律、法规和监管的要求而应该重视的问题，更是企业未来核心竞争能力之所在。但是，我们在具体的实践过程中却出现了很多的困惑。

第一，目前，在“中国需要有一部《个人信息保护法》”的呼声越来越高涨的背景下，学界对于立法模式是走欧盟的道路还是美国的道路进行着广泛的争论。但是，我觉得这部法律的设计还应该更多地考虑中国的实际情况，包括我们传统观念对于隐私保护的认识，也包括我们的技术发展所出的环境，这些实际的问题在未来的《个人信息保护法》中理应得到体现。第二，数据跨境流动的问题，许多企业在走出去的过程中都不免遇到诸如个人信息保护问题的挑战，中国的企业在国际贸易中如何获得平等的保护和公平的对待，也是我们思考的问题。第三，从信息的产生到消亡会涉及到一系列的法律主体，在这一系列的法律链条中如何去设置相应的法律责任。对于“信息由谁采集就由谁负责到底”的做法在实际的操作过程中产生了诸多问题。第四，传统的对于个人信息的定义在当下随着社会和技术的发展是不是需要重新定义，或者说应对个人信息和个人数据要做一个区分。第五，针对在实际中一家公司违反法律法规会对整个行业产生不良影响而使得企业在经营过程中蹑手蹑脚的情形，大数据公司的业务行为合法与否在法律层面是不是应该有一个清晰的界定和区分？

续俊旗先生：

因特尔公司始终重视大数据信息的重要性，特别是在当下人工智能迅速发展的大背景下。我觉得大数据战略实施的法律障碍主要分为两个层次，一个是数据本身的问题。比如数据安全问题、个人信息保护的问题和数据跨境流动的问题。另一个便是数据相关产业发展所面临的问题，如自动驾驶、测绘等等。

对于数据本身的问题，我想谈以下的三个方面。第一，关于数据安全问题，《网络安全法》提出个人信息和重要信息的流动实施本地化存储和管理的原则，如果需要跨境流动，必须要进行安全审评，并报相关部门批准。但是对于“什么样的数据才是重要数据”，网络安全部门和相关的法律、法规所界定的还是相当宽泛，甚至可以说是模糊的。这种情况对于未来数据的流通和使用是存在障碍的。第二，是关于隐私保护的问题，有人认为：中国目前没有“个人信息保护法”，这对于个人的隐私的保护是相当不力的。但实际情况并不是这样，2017年实施的《网络安全法》及其司法解释使得我国的对个人隐私保护的力度相较于欧洲是有过之而无不及的，而且贯之以严峻的刑法保护。对于这么严厉的保护是好是坏还是有许多争议的，尤其是企业在开展新业务等的场景下对于个人信息的使用是不可避免的，如果对个人信息的使用进行严格的限制，抑或说对数据的保护和利用做不到合理的权衡，显然对于数据的流通和使用也会带来不利影响。第三，关于数据的跨境流动，这是一个非常引人关注的问题。《网络安全法》实施办法中数据跨境流动的安全评估办法可能近期将要发布，但里面所涉及的一些规定可能会对数据企业的跨境经营带来一系列的挑战和困难，当然这个办法也是原则性的规定，还需要相应的标准和指南帮助实施。

另外的一个问题，本身不是直接数据问题但是其牵扯到大量的数据使用或主要依托数据来完成，比如说自动驾驶、测绘、高精度地图，它需要很多的数据，这就要涉及到诸如隐私保护、侵权和国家安全等一系列问题。于是我建议还是要做好对数据安全的保护和合理利用的一个平衡问题，以促进数据的共享与流动。

娄耀雄教授：

我想从另外一个角度来谈一下大数据问题，方才蚂蚁金服的相关人士担心一些公司不当地使用数据的同时也会对其余企业正当地使用行为带来不良的影响，那么抛开国家安全、商业秘密和个人隐私的“正常使用大数据”会不会也存在问题？我要从竞争法出发谈一些看法。一个公司通过提供一种服务从而获得了公民的信息，然后它利用这些信息又开展了其他的服务，这是不是违反了公平竞争？比如一个卖家通过获得公民购买一种产品的欲望与购买能力信息的优势，从而销售了其商品，但是，这不是它的产品质量提升和价格下降的结果，而是提供了另外的服务获得了这些其他卖家所不具备的信息，于是这就打破了竞争法上的平衡。这种现象可以类比《电信法》上交叉补贴的概念，就是市场主体通过经营另外一种业务所获得优势去补贴竞争业务，结果便是导致那个竞争业务上的不公平竞争。

如果我们要解决这种问题有这么两种思路：其一，禁止交叉补贴，具体到大数据问题就是一个企业利用某种业务收集的信息不能再运用于其他的业务；其二，具体来说是需要主体把收集的所有信息公开，虽然信息是你收集的，但所有权不是你的。同样这又会涉及到另外一个数据的产权问题，按照我们一般的观念信息是谁收集的，谁就享有产权，因为这种收集行为本身并没有创造性。但是如果一个市场主体收集的信息仍然归该主体专属使用，便会产生不公平竞争问题，使得不具备此类信息的市场主体处于劣势并逐渐退出市场，而前一个主体获得垄断地位。对于物权的限制不存在公平与否的问题，同样对于知识产权也是。至于什么时间要对大数据的使用进行严格的限制？我觉得应该是它对竞争产生实质性破坏的时候，但目前还没有我说的这么严重的程度，但我预测在不久的将来就会出现。

黄振中教授：

我针对刚才娄教授讲到的如何认定对大数据的违法使用和不当使用，如何发现这种违法犯罪行为谈一些我的看法。一个产业的出现会产生绝对公正和相对公正的问题，其实绝对的公平和公正是不存在的，只有相对的公平和公正，至于什么是相对的公正则需要法律给予一个明确定的定义，具体来说只要是在法律的范围内使用的大数据那就是合理使用，法律没有限制和禁止就当然可以使用，即使是不正当的使用甚至后来的法律认为是违法的使用，都无法改变我目前的合理使用状态。

我认为对信息的保护涉及到一个主体问题，不单单是对个人信息的保护，这种保护要囊括对个人的，集体的、组织的甚至更大团体的信息保护。目前大数据已经成为一种产业的背景下，各行各业都在运用大数据，但每个行业的数据都是不同的，所以应该有区别的分类加以保护。个人把自己的信息自愿公开，在这个范围内他人可以使用，这种信息不存在保护的必要，但是那些个人不愿意公开的信息或者有人把这些个人信息加工后传播出去是不能被允许的。因此要把法律的一般规定和大数据信息保护的一些特定情形联系起来，从而做到有效的保护。

现在越来越多的现实证明，我们的管理是跟不上社会的发展的，科技是早于我们的法律的，企业家的精神也是先于我们的法律的，所以我们要做的是使法律尽快赶得上技术的发展，使法律对于社会的发展具有前瞻性和引领性，否则只能沦为不断堵塞漏洞的角色。

另一个大数据产业所面临的我认为是大数据产业链的问题，我认为对于数据的整理、加工不会出问题，而容易出问题的是前端数据的收集和后端数据的使用。至于数据的收集我觉得只要不涉及个人的敏感信息和国家的敏感信息，不是违法的收集信息就是应当被允许的行为，我不主张在大数据时代背景下把信息数据界定的太窄，否则将不利于我们数据产业的发展。

夏扬教授：

首先回应一下蚂蚁金服的相关人士提出的一些问题，其实这些问题涉及到相关法律对大数据收集，使用、保存和销毁行为的事先设定以及过程中的某种界定。在数据的收集过程中，谁有权收集数据，应该怎样收集数据，这些问题在我们目前的法律当中都是空白，由此也造成了蚂蚁金服的工作人员的种种困惑。数据本身存在着数据完整性的问题，所以蚂蚁金服为了保证其收集数据的完整性要尽可能地收集用户的信息，现在需要绑定手机号码并且要上传头像，这个行为本身没有什么问题，但是法律并没有对它进行界定，以后一旦我们的金融环境恶化，金融市场主体可能要收集我们的指纹、血型等更多的生物信息，于是也必将会产生企业这种权利来源于哪里的疑问，但是这些法律在这些方面都是空白，因此，法律应该对信息收集的这些问题有一个清晰地界定。未来社会发展的趋势是人在互联网和数据面前都成为了一个个透明的主体，我们所有的信息都将存在于互联网的某个角落，这是很可怕的一件事，所以我希望在法律对这些问题还未有明确的规定前，这一天先不要到来。

数据的使用相较于前面过程是一个更加复杂的问题，我认为应该把特定的信息和个人在交往过程中所广泛使用的信息区分对待，虽然一条信息可以在互联网上普遍获得，但这并不意味着人人都可以使用。

再一个就是数据的保存和销毁问题，因为数据方便传播的这一特点，虽然设置了很多的障碍，但最终都会泄露出去，一旦泄露所造成的危害都是不可逆转的。技术本身总是可以破解的，所以法律应该在数据的保存问题上做出相应的规定。

刘德良教授：

2015年《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》首次正式提出大数据战略，2017年12月8日，新一届中共中央政治局的第二次集体学习时再次将“大数据战略”定为学习的主题。目前“大数据产业”已经成为一个非常流行的概念。但是，作为一种产业，至今大多仍然停留在概念炒作层面上。究其原因，主要在于目前人们对（大）数据的分类及其法律地位、大数据产业发展与个人信息保护之间的关系等问题在认识上存在严重分歧，尤其是，目前主流的个人信息保护观念及有关法律规定已经成为大数据产业发展所面临的最大障碍。

首先，大数据的分类是一个值得思的问题。我想大数据并不都是可以交易的，因此，从是否可以交易上看，大数据应分为可交易的和不可交易的。据此，我们未来的立法时可以设置负面清单制度，从而明确规定什么样的数据是是禁止交易的。一般来说，那些诸如国家机密、基因信息等可能危害国家、种族安全等信息是不能交易的。从数据掌握的主体来看，大数据可以分为国家机关掌握的大数据和商业主体掌握的大数据。这种分类的意义在于，国家公权力机关在履行职务行为的过程中掌握的数据如果是不涉及到国家机密、种族安全等方面的，那么就是可以公开的，就应该共享的。而企业掌握的数据也可以再细分为可以交易的与不可以交易的；如果是可以交易的，就应该允许在市场上进行交易。在企业掌握的大数据中，有的是与用户或个人有关的数据，有的是与个人无关的数据。对于有个人无关的数据而言，一般可以算是企业的商业秘密。

其次，大数据的权属也是影响大数据交易的重要问题。在讨论企业掌握的与个人有关的大数据权属问题时，关于个人信息和个人数据的区分将是一个不可忽视的因素。我认为对“个人信息”和“个人数据”不加以区分的观念和立法是目前大数据战略实施的最大障碍之一。在我看来，我们的立法和理论不仅应该区分个人信息和个人数据，而且还应该区分对个人信息和个人数据的收集、公开和滥用行为。

一方面，应该区分个人信息和个人数据。由于主流观点将个人信息和个人数据混同、不加区分，所以无法在个人利益保护和产业发展找到合理的平衡点。我认为，“个人信息”是能够直接识别出某一特定自然人的信息。它强调的是直接识别性，在媒介上是中立的，不仅包括文本信息，也包括电子或数字化的信息，还包括图片、视频等一切形式的信息。而所谓的个人数据，则强调的是以碎片化的数据形态存在的、与个人有关的信息形式。一般来说，个人数据是与计算机通信技术密切相关的，它强调信息存在的数字化、识别主体的特定化，即专指计算机而非人作为识别主体。亦言之，个人数据原本是用在网络环境或计算机通信背景下的一个概念。因此，在此语境下，并不是所有的个人数据都可以直接识别出某一特定自然人，只有极少数情况下的个人数据才可以直接识别出某一特定自然人，比如在网络环境下的以数字形式存在的肖像或照片等；也只有在此情况下个人信息与个人数据在外延上是一致的；其他情况下，个人数据的外延都要远大于个人信息。由此看来，在网络环境下，个人数据是指与个人有关、但并不一定能够直接或单独识别出特定自然人的所有数据。对个人信息和个人数据做这种区分不仅具有理论意义，而且还具有重大的现实意义。

实际上，在网络环境下，我们的“个人信息”是由N个数据片段组成的，只有这N个片段总和才能算是我们的个人信息。因此，任何N-1个的数据片段都不是属于我们的个人信息，而只能算是与我们有关的“个人数据”。一般来说，商家在收集与我们有关的数据时，它不关心我们具体是张三、李四，它只关心如何能够通过收集某个用户的有关数据进而对其进行精准、有针对性的商品或服务的营销。因此，商家通常是不会把我们的N个数据片段都收集完，否则，只会徒增其成本。因此，商家在收集，存储、加工、使用和交易那些不能直接识别出某一特定自然人的用户数据时就无需征得用户的同意；商家对其在提供商品和服务过程中掌握的（与用户有关）数据的商业价值享有财产权益。但是，如果商家要收集出能够直接识别出某一特定自然人的信息或数据（比如照片）或N个数据片段总和时，那么，就应该征得用户的同意，否则将会构成侵权。

另一方面，立法和理论应该承认个人对其个人信息的商业价值拥有财产权益，商家对其所合法持有的不能直接识别出特定自然人的（个人）数据享有财产权益。这种做法的意义在于，承认个人信息的商业价值属于个人的观点不仅与既有的立法和理论承认个人对其个人信息上的人格利益的做法在逻辑上是一致的，而且也有助于维护个人的正当权益。而对于那些虽然与个人有关但却不能直接识别出特定自然人的（个人）数据，承认其商业价值则属于合法持有它的主体（商家）所有，不仅是对其劳动成果的承认，有助于产业发展，而且对个人权益也不会构成危害。

再一方面，理论和理论应该区分对个人信息、个人数据的收集、公开和滥用行为。我们现在主流的个人信息安全观，不仅把个人信息与个人数据混在一起，而且只强调对个人信息和个人数据的收集要获得授权，保存要保密，不得随意公开，而忽视对个人信息或个人数据滥用行为的有效规制。由于这种观念在技术上无法落实，所以导致有关立法缺乏可操作性。我认为，对于个人信息而言，除了那些与公共利益、社会利益没有直接关系而同时又直接攸关个人名誉或尊严的（法律意义上的）隐私外，对于一般的个人信息而言，收集和公开本身并不会造成损害，造成损害的往往是后续的滥用行为。有鉴于此，我们的立法更应该对滥用个人信息和个人数据的行为进行有效的法律规制，而不是不加区分和不切实际地要求对所有个人信息（数据）予以“保密”和要求收集“合规”、不切实际地强调安全和保密。值得一提的而是，目前存在着一种错误的观念，即对个人信息（数据）保护得越严格越好，以至于一些组织以所谓的合规为标准给网络企业的个人信息保护做法进行打分并进行公开排名，并借此对社会进行错误舆论的导向。

显然，在涉及到诸如垃圾信息、骚扰电话、身份假冒和滥用等最为突出的个人信息或数据滥用问题上，我国却严重缺乏有效的法律规范。而正是由于这种立法缺失导致人们将对个人信息或个人数据的滥用问题的解决归咎于所谓的个人信息安泄露或公开，并将重点集中在如何确保个人信息的安全问题上。为此，不得不为个人信息或数据的收集、存储、加工、公开、交易和利用等诸多环节设置严苛的条件，以至于在此观念和立法下，大数据交易根本无法进行。

简言之，按照我的上述理论，未来的理论和立法首先应该区分个人信息和个人数据，并对二者采取不同的态度：对于个人信息而言，其上蕴含的人格利益和商业价值都属于个人而非商家；对于那些虽然与个人有关、但不能识别出特定自然人的（个人）数据，它上面没有人格利益，只有财产利益（商业价值）；其商业价值应该属于合法持有它的主体所有。据此，在未来的立法上，对于那些基于商业目的而对个人信息（而非个人数据）的收集、交易和利用行为应该要求商家征得个人的同意，否则就视为侵权行为。而对于商家在提供商品或服务过程中所实施的收集与其用户有关但不能识别出具体自然人（个人）数据的行为，则无需要求其征得用户的同意，商家对于其所收集的不能识别出特定自然人的（个人）数据享有财产权益，可以进行后续的加工、利用和交易。这样，既考虑到个人正当权益的保护，又兼顾到产业的正当利益；才能在个人权益保护和促进大数据产业健康发展之间找到一个合理的平衡点。

文字整理：张浩张龙