穆勇:在財產規則和責任規則下的個人數據保護與共享

　　6月2日上午，「2018數字政府與政務大數據建設高層研討會」在北京國際展覽中心召開，本次論壇由國脈數據研究院主辦，北京國脈互聯信息顧問有限公司、浙江蟠桃會網絡技術有限公司承辦，國脈海洋信息發展有限公司支持，來自國內政務大數據領域的管理者、研究者、實踐者等200餘人到場參會。

▲2018數字政府與政務大數據建設高層研討會召開

　　北京市信息資源管理中心副主任穆勇發表了以「在財產規則和責任規則下的個人數據保護與共享」為主題的演講。他通過解讀歐盟《一般數據保護條例》（GDPR），指出我國現有個人數據保護法律法規與其相比定位較低，該條例的發布對國內企業有著立竿見影的巨大影響，為應對《一般數據保護條例》帶來的挑戰，政府要完善我國數據保護法律法規，企業要高度重視個人數據保護。

▲北京市信息資源管理中心副主任穆勇

　　以下是會議現場發言實錄（根據現場速記和錄音整理，未經本人審核）：

　　非常高興和大家分享個人數據保護問題。個人數據的保護和共享、開放是一對矛盾共同體。要想既保護個人的權益，又能夠進行開放和共享，就需要我們在深入研究的基礎上制定相關的規則，這裡主要涉及到財產規則和責任規則。今天我要講的內容分為兩部分：第一，《一般數據保護條例》（GDPR）及其影響；第二，如何設計個人數據保護與共享機制。

　　一、《一般數據保護條例》（GDPR）及其影響

　　1. 《一般數據保護條例》發布

　　2018年5月25日，歐洲《一般數據保護條例》（GDPR）正式實施，這對我們個人信息保護、國內數據的管理，包括世界的數據管理產生了非常大的影響。我們要了解這個條例及其將給我們帶來的影響。

　　2．個人數據相關權利的歸屬

　　《一般數據保護條例》中把個人作為一個數據主體賦予了前所未有的權利。明確了很多之前不確定或有爭議的權利，如個人數據如何使用的知情權、數據處理的自由選擇權。在數據所有權方面，個人數據的「衍生數據」權也屬於個人，而不屬於企業。

　　3.個人數據內容的擴展

　　《一般數據保護條例》把個人的數據所包含的內容進行了大幅度的擴展。個人的姓名、身份證號、地址、網上標識都列為個人數據。這些數據的所有權全為數據主體。另外企業對個人數據加工處理後的數據按照條例也屬於個人，而非企業。

　　4. 數據控制者、數據處理者的義務和權利

　　《一般數據保護條例》中設立了數據控制者與數據處理者。它會對不同地區的企業的數據處理水平進行評估。只有達到它認可的水平，才會獲得歐盟所屬數據的傳輸。關於歐盟這些數據可以傳到這裡面來，現在中國地區還未達到該認證水平，歐盟數據從雲傳輸渠道無法傳入，這是目前面臨的很大問題。

　　5．違反規定將面臨高昂處罰

　　對於數據處理的違法行為，GDPR主要設定兩個等級的處罰。第一等級最高可處以1000萬歐元，或上一財年全球營業額2%，第二等級最高可處以2000萬歐元，或上一財年全球營業額4% 。GDPR確立了「長臂」管轄原則，將法律適用的屬地主義與屬人主義原則結合起來，擴大法律適用的域外效力。

　　我們的企業如果沒有達到GDPR的水準。第一將不能到歐盟國家開展業務；第二不能對歐盟國家的人員提供相應的服務，國內做的最好、響應最快的企業是國航。

　　6.我國個人數據保護的規則標準制定處在起步階段

　　在個人數據信息管理方面，我國也有相關的《網絡安全法》等一些法律規定，但有著分散、比較原則籠統、執行困難等問題。現有國家標準，法律定位非低，不能夠起決定作用。

　　7. 國內外個人數據保護環境對比與問題分析

　　國外特別是歐盟國家，非常重視個人數據的保護。而在國內，由於法律缺失、有些企業除了採集本身提交的數據之外，還通過各種渠道來搜集個人隱私數據來進行一些相關的活動，並且這樣的事情不是個例。有些網際網路公司正在獲取超出必要範圍內的用戶信息。

　　案例1：某公司通過某B2B、淘寶、天貓、支付寶等電子商務平臺，收集客戶積累的信用數據，利用在線視頻全方位定性調查客戶資信，再加上交易平臺上的客戶信息（客戶評價度數據、貨運數據、口碑評價等）。此外，據刊物報導，這家公司還會從微博、社交平臺、同學錄等獲取大事記、信用卡限額、訴訟信息、朋友圈、中小教育甚至既往病史等等，還能獲取婚姻狀況、投資偏好、配偶、擔保人、房貸車貸、個人和家庭年收入等信息。涉嫌違法《侵權責任法》中的患者個人隱私保護、《未成年人保護法》中的未成年人保護等法律，並適用《刑法修正案（九）》規定要件。

　　案例2：某旅遊搜尋引擎安裝一個App 用戶需要開放10多項權限許可，其將能否「允許讀取用戶的身份、簡訊、錄音、照片、視頻、位置、通訊錄、日曆活動、機密信息」等重要的個人信息作為使用其服務的前提條件。這種過度採集個人信息和採集信息濫用的「霸王條款」在網際網路企業的服務協議中非常普遍。

　　由於過度的包容，沒有守得住審慎的底線，造成各種嚴重侵權事件（如鄭州空姐被害、百度醫療事件等）時有發生，嚴重影響用戶對企業的信任。顯然，如果沿用「環境先汙染後治理」方式已走不下去了。

　　8.數據保護與共享並重原則

　　數據共享的核心其實是信任。只有用戶放心，才會更多的進行共享。嚴格的法律保護能夠建立足夠的社會信心，使得數據可以在企業的層面得以流動，才有空間產生新產品和新產業，這是一整個良性循環的生態系統。

　　9．我國在個人數據保護上應與國際接軌

　　GDPR發布之後對我們的影響是立竿見影的。個人對數據保護的訴求會越來越高。如果企業不按照要求來做，很有可能失去市場，失去企業的價值。從全球其他發達經濟體來看，澳大利亞、新加坡、美國等，目前也都在做相應的數據保護工作。

　　在我國，正在推行「一帶一路」戰略的實施，企業要想走出國門，首先要突破GDPR這道天然屏障，特別是數字企業與網際網路企業。

　　10.機遇與挑戰並在，企業如何應對？

　　相較於中國對於數位技術運用十分友好的市場和信息監管環境，後GDPR時代裡在中國蓬勃發展的行動支付、電商、網上銀行的數字業務將在歐洲面臨更多關注，甚至招致歐盟數據監管機構有針對性的調查。

　　首先，企業需要高度重視數據保護工作。特別是行動支付、電商、網上銀行方面的企業。濫用數據可能面臨高額罰款，甚至丟掉市場。

　　第二，完善數據主體的權利設置與行使操作規程。GDPR在賦予數據主體同意權、訪問權、可攜帶權、被遺忘權、更正權等重要權利外，還應當核實這些權利設置與行使是否符合GDPR的要求。

　　第三，加快完善相關規則，包括數據的處理機制、任命數據保護官，完善數據洩密報告與處理機制，大企業要有專門的人員來管理等。

　　第四，加快制定與完善我國數據保護法律法規。政府應當完善相關的法律法規，如果在這個領域處於一個比較低的層次和水平，我們將在國際間失去話語權。

　　第五，政府要以身作則。政府作為處理歐盟地區個人數據的「公共當局」，屬於GDPR規範的行為主體之一。GDPR的主要目標中，也包括限制政府對個人數據的搜集和使用，要讓政府更少地掌控公民數據，而不是更多。特別是北京這樣即將舉辦冬奧會的國際交往中心，更要提升政府個人數據保護水平。否則在大型國際交流活動中將面臨巨大問題。

　　第六，政府應為數字經濟發展保駕護航。政府積極制定各種鼓勵扶持政策，有效支持企業特別是中小企業提升數據治理水平，降低GDPR合規風險經濟企業成長。通過完善對話協商機制，與歐盟監管當局開展平等對話協商，減少不必要的處罰與貿易糾紛。

　　二、如何設計個人數據保護與共享機制

　　在如今這種國際環境下我們再來看個人數據保護和共享機制的設計問題，這將涉及到財產規則和數據規則。

　　1.數據資源的權屬確定

　　首先是數據產權的問題，主要涉及到個人數據是屬於個人，還是屬於企業。數據權屬之所以難以理清，其原因有二：第一，數據收集處理和開放利用過程中涉及的主體多元，其活動經常相互交匯，不易清晰區分；第二，數據開放利用是一個不斷增添材料、不斷投入資源的過程，最終形成的數據資源或信息產品，是在多步驟操作下的結果。

　　政府的數據及其衍生數據的權屬也存在同樣的問題。政務數據資源的所有權歸全民所有，其產生和運維管理過程主要依靠公共財政的支持。任何單個主體，無論是黨政部門或企事業單位或個人，不能就政務數據資源主張排他性的權利。

　　2.國外的方法模式

　　在歐洲數據保護的方法有兩種模式，一種是完全屬於私有化。Mark A. Hall提出了一個數據資源私有化的觀點「醫療數據的所有權歸病人所有」。因此，是否開放醫療數據、以什麼方式開放（有償或是免費）、在什麼範圍內開放，全是病人基於自身情況考慮的問題。同時，為了激勵科學研究和對病患情況的共同討論，可以在個人同意的基礎上授權醫療機構和科研機構開放利用這些數據。

　　另一種是把它交給一個專門的公益性機構進行開發。Marc A. Rodwin提出一個公有產權的數據保護方法。由於醫療數據資源對於整體社會福祉來說至關重要，因此他認為醫療數據的所有權不屬於病人、醫療機構、保險企業等任何「私的主體」，而應是一種公有產權。各個不同主體應當把各自掌握的醫療數據交給一個專門設置的公共機構，由這個機構根據科學研究等公益目標來判斷是否開放、以及決定通過什麼樣的方式、在什麼範圍內開放。

　　3.理解財產規則與責任規則的含義

　　財產規則：如果一個主體在被賦權後，其他主體不支付經他或她本人同意的價格，不能取消該權利，該賦權被「財產規則」保護。

　　責任規則：如果一個主體在被賦權後，其他主體可以取消該權利，但必須支付客觀決定的價格，就說該賦權被「責任規則」保護。

　　4.不同的數據可以分別用到不同的權益、規則來處置

　　政府的數據向社會開放，因為政府數據是屬於全民所有的，而且是公益性的，這個規則應該是責任規則，所以政府普遍的數據開放是免費或者只能收成本費，這是我們給定的責任規則。而有些政府數據是需要大量的加工、處理，且只是為某些企業所開發，可以給它賦予財產規則，財產規則是必須要付一定費用的，這就是政府數據開放。

　　政府的數據如果需要某個企業的數據，也可以採用這兩種方式，第一種可以是責任規則，比如政府為了行使公共服務職能，為了維護公共利益，為了維護法治，為了國家的安全，需要企業提供數據，包括提供的個人數據，這需要採用責任規則。對於某類根據政府的目的和類型開發的數據，應賦予它財產規則。就是政府應當按提供者要求的價格付費購買該數據。

　　5. 政務數據開放模式建議

　　我國需要建設國家政府數據統一開放平臺，推進公共機構數據資源統一匯聚和集中向社會開放，引導企業、行業協會、科研機構、社會組織等主動採集並開放數據，共同探索政企合作的長效機制。

　　綜上談到個人數據的保護和利用，不是簡單的一個問題。需要我們處理好保護和共享的關係，處理好各方的權益，站在國際的視野上來考慮問題。謝謝大家！