陳根：從數據價值的認識演進，到法律制度的回應更新_風聞

文/陳根

作為數字經濟的核心生產要素，數據正成為科技創新的突破點，經濟轉型和創新發展的新引擎，以及社會治理的有效工具。

對個人而言，數據是其生活的再現；對企業來説，數據是21世紀的石油；對政府來説，數據則是基礎性的戰略資源。時下，對於數據的挖掘和利用已在商業（尤其是零售業）、公共衞生和安全、個人消費升級等領域創造了許多價值，數據的更多潛在用途也被社會所期許。

然而，在數字經濟勃興的另一邊，卻是國際間日益激烈的數字博弈和此起彼伏的大規模用户數據泄露事件，這加劇了民眾對涉及隱私的個人數據安全的擔憂，也進一步數據安全和數據發展的對立矛盾。

“安全第一”還是“發展第一”？信息保護與數據利用的矛盾又可否克服？

從認識演進到回應更新

儘管已經有太多人斷言數字經濟時代下數據價值的潛力之大，但實際上，人們對於數據價值的認識依然是一個不斷演進的過程。

從中國信通院《中國數字產業發展白皮書》歷年表述中，便可見一斑：自2017年數字產業化和產業數字化的“兩化”框架，到2020年數據價值化、數字產業化、產業數字化、數字化治理的“四化”框架，數據業已成為重塑生產力的核心。

今年4月至5月，中共中央、國務院先後發佈《關於構建更加完善的要素市場化配置體制機制的意見》《關於新時代加快完善社會主義市場經濟體制的意見》等，提出“加快培育數據要素市場，推進政府數據開放共享，提升社會數據資源價值，加強數據資源整合和安全保護，發揮數據資源價值”等新要求。

**就國內而言，當前，傳統經濟模式失速、國際環境複雜嚴峻，以數據為關鍵生產要素的數字經濟已成為增長的新動能、就業的新空間，“數據”**價值由此倍增。

與此同時，歐盟和美國競相出台的數據戰略，凸顯出各國政府在數據利用中越來越重要的作用。2019 年12 月，美國白宮行政管理和預算辦公室（OMB）發佈《聯邦數據戰略與2020 年行動計劃》，“數據作為戰略資源開發（Leveraging Data as a Strategic Asset）”成為其核心目標。

2020年2月，歐盟推出《歐盟數據戰略》，通過構建統一的數據獲取和利用規則、加大數據領域投資、打造核心行業和公共利益領域的統一數據空間、加強數據專業人才建設等一攬子措施，推動歐盟單一數據市場的建立。

**而在對數據價值的認識過程中，對於數據安全與數據發展的平衡問題，法律制度作為數字社會的基礎也經歷了不斷的更新，**以回應不斷湧現的新需求和新問題。

根據聯合國貿易發展組織（UNCTAD）截至2020年4月2日的統計，全球194個國家中，共有132個國家制定了數據和隱私保護的法律，佔國家總數的66%。

據國際隱私專業協會（the International Association of Privacy Professionals）最新發布的《2020全球隱私保護立法預測》，2020年註定將成為2018年以來又一個數據和隱私保護立法的高潮年。

2018年，從年初Facebook 8700萬名用户數據被不法用於政治目的，到年底萬豪酒店喜達屋系統中高達5億個人數據被竊，從年初旨在跨境調取數據的美國《海外數據使用權明確法》（Clarifying Lawful Overseas Use of Data Act），到年中以長臂管轄為特色的歐盟《一般數據保護條例》（GDPR），數據的安全風險和政治挑戰層出不窮。

今年以來，有關數據安全與數據發展的法律更是井噴式頒佈。2020年1月1日，美國加利福尼亞州《消費者隱私法》（CCPA）開始實施，預計將掀起美國其他各州乃至聯邦的相關立法潮。2020年8月15日，巴西版《一般數據保護法》（LGPD）生效。原定於2020年5月27日起實施（現已延期至2021年5月31日）泰國的《個人數據保護法》（PDPA）深度參考了GDPR的條款。

印度的《個人數據保護法案》已進入立法表決前的最後審議階段，預計在今年通過議會批准。韓國正在調整其現有的隱私保護法律，以期與GDPR相一致；關於《個人信息保護法》的最新修正案也正在等待韓國國會的批准。

對於我國來説，《密碼法》自2020年1月1日起實施。2020年5月28日頒佈、2021年1月1日起實施的中國《民法典》首次將隱私和個人信息作為公民的人格權的一部分進行保護，並在《網絡安全法》的基礎上提升了保護的範圍和力度。

從技術供給到法律修繕

一方面，在全球數據治理的視野裏，隨着數據價值認識的不斷演進，數據法的制定也不斷更新以適應數字經濟時代下的需求，其更多關涉國家政治和國家主權間的數據博弈。比如，在數字經濟的世界版圖上，伴隨着歐盟GDPR的生效，歐盟通過GDPR擴張其境外管轄權，且以基本權利保障為由，禁止個人數據流入未獲得“充分性認定”的國家，這讓歐盟以一種新的方式改變全球數據治理格局。

正如歐盟數據保護委員會所宣稱的那樣：“從智利到日本，從巴西到韓國，從阿根廷到肯尼亞，新的隱私法正在浮現。”

另一方面，在國際數據競爭背景下，如何平衡本國數據安全和數據流通利用兩大價值提升數據競爭力則成為面臨着的全新挑戰。

事實上，數據安全和發展並重的觀念已成為國家共識。2014年2月27日，習近平在中央網絡安全和信息化領導小組第一次會議上指出：網絡安全和信息化是一體之兩翼、驅動之雙輪，要處理好安全和發展的關係，做到協調一致、齊頭並進，以安全保發展、以發展促安全，努力建久安之勢、成長治之業。、

2016年4月25日，習近平在全國網絡安全和信息化工作會議上進一步指出：網絡安全是動態的而不是靜態的，開放的而不是封閉的，相對的而不是絕對的，因此一定避免不計成本追求絕對安全，不僅會背上沉重負擔，甚至可能顧此失彼。

數據安全和發展並重給數據治理提出了更高的要求，而由於網絡信息技術是自創生的系統，因此，從根本上，數據安全問題依然要通過數據技術的發展來化解。這也可以理解，為什麼英國2011年《網絡安全戰略》特別提出：化威脅為機遇，通過培育網絡安全商業機會，推動技術進步，促進英國在網絡空間樹立網絡安全競爭優勢。

中國《國家網絡空間安全戰略》與之殊路同歸。基於機遇大於挑戰的形勢把握，該戰略把發展放到了和安全同等的位置上，並將 “貫徹創新、協調、綠色、開放、共享的發展理念”作為首要戰略目標。

此外，在技術之外，數據安全和發展的並重還需要法律的完善和規制，而其關鍵還在於****數據、信息以及隱私之內在法律上的釐清。

遺憾的是，現行法律並沒有對隱私、個人信息與數據的內涵做出明確界**。**我國《民法總則》第110條是關於隱私權是受法律保護的權利的宣示條款，但對隱私的內涵沒有具體規定。《民法總則》第111條是關於個人信息受法律保護的宣示條款，但沒有從正面確定個人信息的具體內容，而僅僅是從相對方負有的義務作出了簡略的規定。

在關於個人信息和數據的其他法律文件中，其內涵同樣尚不明確。《網絡安全法》第76條第5款規定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”

之後的各部門規章、行政規範性文件對個人信息各行從各行業角度作出規範，實際上均是對《網絡安全法》中個人信息界定的延續。

《民法典》（草案）同樣對三者區分不明，其中第1032條第2款規定：“隱私是自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息。”第1034條第2款和第3款規定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息, 包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息等。個人信息中的私密信息, 同時適用隱私權保護的有關規定。”

顯然**，****個人信息與隱私在客體範圍方面仍然是混淆的。**但伴隨互聯網絡時代的到來，企業對數據（信息）利用的迫切需要對三者做出相對明確的法律理解，否則，便難以清晰信息商業利用與個人權益保護的界限，阻礙互聯網社會的正常發展。

但不論是國際範圍內的數字博弈還是各國家內的數字發展，都應秉承數據安全與發展平衡的理念，以“安全是發展的保障，發展是安全的目的”為數據的進路，通過政府、企業、公眾、社會組織共同參與，共築數據安全防線。