点击上方“网络空间治理创新”可以订阅哦

全球进入数据驱动经济社会创新发展的时代，数据经济的特征决定了数据必须在更多的维度和更广的领域实现流动与融合才能产生更高的价值。然而，大数据的开发和利用不可避免地触发了各国对个人隐私、国家安全和经济前途的风险担忧。

2017年6月，我国《网络安全法》正式生效以来，互联网巨头围绕数据使用权的纷争不断。无论是近来京东与天天，菜鸟与顺丰，还是腾讯与华为间的纷争，这些数据驱动型企业间最根本的矛盾在于对“大数据”的控制与竞争，这些大数据究竟是个人数据，还是企业商业资产，如何规范各方的权益边界，如何保护用户的基本权利，有待相关决策者和研究者共同理清。

本专题内容是在2017年8月“上海大数据治理沙龙”专家发言稿基础上整理汇编而成，对推进《网络安全法》有效实施和企业大数据治理提供有益的参考。

专题文章共有六篇，分两次进行推送。今天为您带来的是前三篇：《大数据时代的隐私保护与权益平衡》、《从服务链的角度看腾讯华为数据之争》、《华为腾讯微信数据争议的法律关系分析》。后三篇内容将在明日为您呈现！

目前，世界各国都在深化发展大数据利用政策，为经济增长提供新动能，以此提高社会整体福利。但是，由于大数据发展的法律规则并不完善，大数据中最具经济价值的个人数据成为各方争夺的对象。近期围绕顺丰和菜鸟之间互通数据接口关闭事件，华为和腾讯就微信用户数据权属发生的争议，都凸显出当前大数据产业链条上，各方围绕个人数据开发利用展开的商业模式存在激烈冲突。几年来我国陆续制定了《网络安全法》、《民法总则》，确立了个人数据保护的基本规范，《个人数据保护法》也在紧锣密鼓地制定过程中，但是制度构建的速度远远跟不上企业不断拓展大数据应用，数据利用场景不断更新带来的制度规范需求。如何确定大数据场景下个人数据的范围，如何实现个人数据保护与数据控制者商业利益的平衡，如何确定个人数据权益的归属等等都需要在大数据商业场景下重新予以审视。

一、大数据场景下个人数据的概念需重新厘清

从各国的立法例来看，大多国家的立法通常都以数据的“身份可识别性”作为判断是否属于个人数据的标准。比如我国《网络安全法》第76条、欧盟《通用数据保护条例》第4条、台湾《个人资料保护法》第2条等大多数国家和地区的法律都将直接与间接可以识别个人身份的数据认定为个人数据。然而，大数据时代，海量数据的汇集和分析处理广为应用，原本不具有识别性的数据可能变为可以识别身份，原本匿名化处理后的数据可以再识别，数据的身份可识别与不可识别的区分正在消弭。构建明确的个人数据可识别性判断标准，有助于厘清个人数据的范围，指导企业个人数据收集和利用的实践。

欧盟2016年“Patrick Breyer v. 德国联邦政府”一案中欧洲法院作出的判决或许可以借鉴。2016年，Patrick Breyer起诉德国联邦政府，要求法院发出禁令，禁止德国联邦政府的网站收集和存储他的动态IP地址、所访问的网页和访问的时间。在本案中，Breyer的IP地址是动态IP地址，即他每次连接网络，设备都会产生新的IP地址。一般来说的，动态IP地址并不足以向网站运营者提供充分的信息，以直接识别用户身份。欧洲法院在判决中引用1995年《数据保护指令》序言第26段的规定，即“确定个人是否可识别需要考虑数据控制者或其他主体所有可采用的识别个人身份的合理方式。”尽管Breyer的动态IP地址并不能直接识别身份，但是法院认为，数据成为“个人数据”，并不需要所有可以识别身份的信息都控制在一个数据控制者手中。如果网站能够合法地获得必要信息，并且不需要耗费不成比例的时间、成本和人力，那么网站手中的数据就成为个人数据。因此，德国政府的网站可以从第三方网络服务商（ISP）那里获得其他信息，结合动态IP地址来识别用户身份，这种情况下，动态IP地址也应当视为个人数据。

因此，从判决结果来看，欧洲法院采取了一种相对可识别的标准。在判断非直接识别身份信息是否是个人数据时，需要给予特定的事实分析，评估各个数据控制者是否可以通过合法的授权，或者适当的努力就可以获得额外的信息，将非直接识别身份信息与个人在真实世界的身份相联系。

从大数据技术发展的趋势来看，无法直接识别的身份的数据通过技术上的帮助，或者通过第三方获取额外信息进行整合后，很容易具有识别性。将动态IP地址等不可直接识别个人身份的信息纳入“个人数据”的范伟，对大数据 38 30987 38 11786 0 0 6513 0 0:00:04 0:00:01 0:00:03 6511代从事行为营销活动的企业将产生重要的影响。行为营销通常包含用户IP地址收集和处理，即使用户使用的是动态IP地址，也可以通过独特的识别码（cookies）来追踪特定用户。如果企业能够获得足够的信息将IP地址与个人身份相联系，那么IP地址构成个人信息，需要需要按照个人数据保护法规定的义务对其加以保护。

二、数据主体与数据控制者权益需实现再平衡

1. 加强数据主体的知情权和控制权

用户同意是数据控制者进行数据处理合法性的主要来源之一。然而，国内外的学者和监管机构有许多有关“通知同意”规则的研究成果显示，“通知同意”规则在大数据时代形同虚设，无法体现数据主体的自由意志。世界经济论坛在2013年《解锁个人资料的价值》的研究中发现， “如果一个人要阅读其一年内访问的所有网站的隐私政策的话，需要花费大约250个小时，或者30个工作日。”目前，绝大多数的用户表示的同意并不是在获得充分告知的基础上作出的真实的同意。

隐私政策是网络服务商实施行告知义务的首要渠道。隐私政策源自于上世纪90年代美国FTC提出的“公平信息实践原则”。FTC要求网站使用通知－同意规则，保护用户数据的安全。随后网站开始普遍使用“隐私政策”作为一种自治的工具。美国没有专门的法律规制隐私政策，只是根据《联邦贸易委员会法》第5条，FTC有权对企业违反隐私政策中的承诺，实施欺诈和不公平的行为进行监管。比如谷歌就因为在safari浏览器中使用广告追踪cookies而受到FTC的处罚，因为它之前告诉用户，他们将自动退出这种追踪。而在欧洲，《数据保护指令》和《通用数据保护条例》都设定了数据控制者使用个人数据的一系列规则，隐私政策必须符合《数据保护指令》和《通用数据保护条例》的数据保护要求。比如《通用数据保护条例》第13条就详细规定了数据控制者应当履行告知义务的具体内容，也相当于规定了隐私政策应当包含的内容。如果隐私政策中的内容违反了欧洲法律规定，那么该条款或者整个隐私政策可能都会无效，甚至导致集体诉讼。

为了保护用户知情权，增加网络服务商收集、处理用户个人数据的透明度，我国《网络安全法》第41条强调了“告知－同意”原则在数据控制者获得收集处理个人数据正当性中的重要地位。目前，我国四部委正在对微信、淘宝等主要网络服务商的《隐私政策》进行审查。各家网络服务商纷纷修改隐私政策，使其结构更为清晰，告知的表现形式更为友好，个人信息的收集和利用规则更为细化。借鉴欧盟立法的经验，我国网络服务商在获取用户同意时，一方面可以根据数据敏感程度的不同实施要求明示或模式的同意，比如收集和处理个人敏感信息，需要用户使用“选择加入”（opt in）的方式表示，而非敏感个人信息，则可以使用“选择退出”（Opt out）的方式表示；另一方面，可以实施增强性告知、实时告知等方式，在个人数据需要进一步处理或者共享给第三方时征得用户新的同意。避免使用一揽子告知－同意的方式，削弱数据主体的选择权。

2. 合理确定数据主体合法收集、利用个人数据的要件

个人数据处理的合法性基础并不仅仅是用户同意，还包括其他合法性要件。这是在大数据时代数据控制者和数据主体权益划分的基础，也就是在保护用户隐私的前提下，鼓励企业通过数据利用的创新获取收益。

从欧盟《通用数据保护条例》第6条规定来看，数据处理合法性要件的规定除了数据同意以外，还包括履行与数据主体的合同或实施数据主体要求的行为所必须；履行数据控制者的法定义务；保护数据主体／其他自然人的重大利益；履行涉及公共利益的职责；数据控制者或第三方追求合法利益进行必要的数据处理，不得与数据主体的基本权利和自由相冲突（特别是儿童）。

因此，数据主体同意并不是数据处理合法的唯一条件，法律还规定了其他正当性理由，特别是“数据控制者和第三方有权基于追求合法利益而进行必要的数据处理”的规定，可以说是数据控制者以提供用户服务为基础获得个人数据处理带来的收益的正当性基础。从欧盟立法可以看出，数据保护法并不保护数据主体完全的控制权或者说所有权，更多时候是保护数据主体的隐私权和平等权。比如欧盟特别强调加强敏感信息的保护，主要是从保护数据主体隐私权和平等权的角度出发，而赋予数据主体数据可携权则主要以防止大型网络服务商数据的垄断为出发点。

三、数据流通中需加强数据主体的控制力

数据流通是指数据控制者将数据提供给第三方，第三方可以访问或使用这些数据，也就是我们常说的数据外部共享行为。大型的互联网企业建立了庞大的产生生态，互联网企业中这种数据共享非常普遍，比如公司业务往来之间需要提供数据，企业采购数据处理外包服务，企业之间开展合作共享数据等等。2016年京东和腾讯宣布，将电商大数据和腾讯的社交数据深度结合，实现精准的用户画像，以提高营销触达精准度。目前各地建立的大数据交易中心，也在试图开展数据交易，进行个人数据流通。

理论上说，数据控制者获取数据主体收集和处理个人数据的同意共分为三种类型：同意收集时的目的；超越收集时的目的，需要新的同意；用于第三方的目的，需要新的同意。其中，数据控制者与第三方共享数据时对用户的告知，往往语焉不详。这种不透明的做法受到了广泛的诟病。《网络安全法》强调了数据共享必须获得用户同意的原则，并且限定了数据收集的目的。这使得企业超越数据收集目的或与第三方共享数据存在合规的风险。企业将用户数据用于营销特定商品，或者出售用户数据，这种情况下的数据共享和再利用完全是另一种场景。比如医生使用病人的健康数据和保险公司使用病人的健康数据完全是两种场景。我们将这种数据再利用称为数据场景重构。

从法律角度来说，数据用作非收集时的目的和数据场景重构没有实质性的区别。这两种类型的数据再利用都是功能嬗变，没有合法理由，都是不被允许的。本文提出这种区别是因为，数据场景重构可能带来不同的法律问题，比如对数据主体来说，对于数据被利用方式的预期，他们对权利实现的预期都会不同。比如他们可能信任保险公司，但是不信任市场营销公司购买他们的数据。他们可能知道信息披露给了保险公司，但是不知道谁买了他们的数据。总的来说，数据在新场景下使用，数据主体和数据控制者之间的距离就越来越远了，数据主体对数据提供给了谁，用于什么目的，知情权就被削弱了，结果影响数据主体行使自己的权利。

当个人数据转移给第三方进行再利用，数据主体权利的知情权和透明度的要求并没有停止适用。相反，这种情况下，数据主体更加需要获得这类数据处理活动的信息。有研究提出了两种策略确保数据主体获得信息。一是在数据收集时就告知用户未来的数据再利用活动。二是在数据用于新的目的之前，需要数据主体重新表示同意。但是，这两种策略都很难实施。第一种策略的困难在于，预测未来数据再利用的所有目的是难以实现的。第二种策略的困难在于，要在后续的数据处理中接触所有数据主体，获得其有效的同意，基本没有可能性。因此，当前网络服务商大多通过一揽子告知，获取数据主体的同意。但是，网络服务商通过这种方式获取的同意也能与目的限制原则相违背，存在合规的风险。

在数据主体对个人数据的流转缺乏控制力的情况下，赋予数据主体数据可携权或许是当前平衡数据主体和数据控制者利益的可行方式。欧盟在《通用数据保护条例》中赋予数据主体“数据可携权”。数据可携权是指，当个人数据是基于用户同意或合同以及采取自动化方式处理的情况下，数据主体可以向数据控制者要求获取结构化、通用化和可机读的上述数据；数据主体有权将这些数据转移给其他数据控制者。数据可携权的制定初衷是欧盟为了对抗美国大型的互联网企业在欧盟的垄断地位。数据可携权允许个人数据自由流动到第三方，从客观上增强了数据主体对个人数据的控制力，有利于调整数据主体在大数据商业利益链条中的不利地位，增加数据主体从自身数据获取利益的可能性。特别是在个人数据的交易中，数据主体应当有权从这一商业模式中获得利益，这也是公平原则的体现。

当然，数据可携权作为一项新的权利，在具体的实践过程中可能带来新的问题，比如如何针对数据控制者对个人数据加工后获得知识产权的产品行使可携权，如何不过分增加网络服务商的成本和负担，影响企业的创新，如何保护数据转移中的安全等等。

四、小结

大数据时代，数据主体依赖于数据控制者提供的各种便捷服务，与此同时，服务中采集、生成的海量个人数据也成为企业商业模式创新和商业利益的主要来源。也就是说，没有网络服务商提供的技术、平台和服务，数据主体无法生成海量的个人数据；没有数据主体的参与，网络服务商的商业模式也将成为无源之水。在大数据深化利用的过程中，政策的制定需要在保护个人数据安全和个人隐私的前提下，平衡数据主体和网络服务商的权益，实现合作共赢。

编辑 | 张钰莹

作者

张衠  

上海社会科学院互联网研究中心

高级研究员