个人信息保护与企业数据发展的思考与权衡

王 豪

（西北政法大学法治、法律硕士教育学院，西安 710063）

一、数据背景下的数字经济发展

在数据贸易全球化的今天，党的十九届四中全会指出，要“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。另外，“两会”指出，数据的发展要维护个人隐私权利，保障企业发展创新，捍卫国家数据主权安全，增强数字国际竞争力。大数据的飞速发展在丰富人们生活的同时，也让人们重新审视数字经济所产生的法律问题。就目前国际形势而言，数据领域的相关立法并不完善，如数据权属不明确的问题，个人数据跨境流动管理制度缺失的问题，以及由此产生的跨境电商企业数据无明确规范的指引，国民、企业、国家数据安全的保障机制亟须完善。

党的十九大明确指出，数据是一种生产要素。另外，在《数据安全法》《个人信息保护法》《网络安全法》《关键设施基础条例》（以下简称“上位法”）通过的背景下，更应该注重将数据作为一种新型生产要素。在这种情形下，不但要保护个人信息隐私安全权，同时要促进企业创新发展，增强数字经济竞争力。数字经济时代下的中国，数据价值的广泛应用对于人民的生活模式及城市建造，公司企业经济发展实现智能化、全面化推进均有积极作用。具体而言，要兼顾个人信息所有者与个人信息处理者的双层利益。2021 年9 月16 日，中国申请加入《全面与进步跨太平洋伙伴关系协定》，数字经济贸易发展将在此基础上进一步扩大涉外数字经济发展。数据作为核心生产要素，其所展现的经济效用不可估量。为此，数字经济将成为涉外经济贸易竞争合作发展的又一重要领域。

二、数字贸易发展中个人信息保护法律问题

随着数字经济的高速发展，消费者个人信息的肆意收集、使用、储存、非法获取、违法买卖等问题凸显，在《个人信息保护法》《数据安全法》《网络安全法》等现行法律的规制下，个人信息保护得到较为全面的维护。但《个人信息保护法》对个人信息的保护标准较高，法律应该是最低的行为标准，而不是较高的道德行为标准。同样，过高的法律标准对于企业数字经济创新发展而言是深层次的阻力，因此需要在上位法基础之上构建一套有效的、符合客观实际的个人信息保护机制，来平衡个人信息安全与数字经济发展冲突的问题，促进数字贸易经济秩序稳定与发展。

就现在来看，国内有关数据立法及机构职能的构建并不完善。其一，数据权益属性主体界限不明。在日常生活中，我们每个人都在产生数据，各大企业通过App 进行数据抓取，进行基础加工形成衍生数据，衍生数据与个人原始数据之间的权益主体如何规制，以及原始数据与企业衍生数据之间的使用关系如何并没有明确的规定。其二，数据未明确作为法律关系客体，以及作为法律规制的财产关系客体市场流动规则缺失。在现有上位法的规定中，着重强调的是数据的保护而非发展规则，体现更多的是数据作为一种权益应当肯定与保护，但是党的十九大已经明确了将数据作为生产要素，现有的法律规定并没有完全将数据作为一种财产客体或者市场要素进行规定，以及后续作为财产要素的流动规则均有待规制。其三，在前两项的前提下，个人信息保护基准与企业利用数据潜在商业价值进行创新驱动发展之间的矛盾化解，主要表现为个人信息安全与企业利用个人数据产生衍生数据使用的法律保障与规制。对于该问题，在学术上目前多数观点是赋予消费者及其他个体以被遗忘权，或者从企业使用主体的角度出发赋予企业数据可携带权。此两种数据权利的行使需考虑本国的数据及科技的现状，不能盲目搬抄他国的做法。其四，消费者跨境消费时，或者个人数据跨境流动时，在线上及线下跨境享受消费或者服务过程中必然产生个人数据跨境流动，由于企业运营中对个人数据跨境的监管与规制也并无明确指引，个人信息跨境保护及规范处理上位法仅仅给出价值指向的概括性规则，中国作为数字贸易跨境大国，需依靠国际上其他国家的相关规则制定符合本国个人信息跨境的具体规则。

三、个人信息保护与企业数据权衡与规则构建

（一）在上位法的前提下，确立经济发展需求数据权益主体归属制度，以便更好地进行主体追责

“十四五”规划明确指出加快建立数据资源产权，为此有必要将数据权益主体予以明确。首先要对数据进行分类，其次要依据数据类型所蕴含的财产属性和人身属性予以不同程度的保护。目前的《数据分类分级指引》征求意见稿从主体角度进行数据分类，即公共数据、个人信息、法人数据三个类别，又依据数据泄露、破坏等可能对国家安全、公共利益或个人企业遭受的危害程度将数据分为五级。工信部从实然角度出发，将数据分为一般、重要、核心三级。但是笔者认为，在上位法的基础上，从个人信息保护的角度制定《个人信息保护条例》，其目的是针对对个人信息分类以求不同种类、不同保护，便于企业数据与个人数据的识别与利用，进而进行不同程度的保护，以期达到个人数据保护与企业数据发展的双向规划、并行保障。

从个人隐私、个人安全与生活安宁的权利视角出发，可将有关人身权益属性的个人数据归为一类，着重以个人信息与个人隐私的相关性出发，进而对与个人隐私有关的个人信息进行单独分类，如身份信息、婚姻状况、宗教信仰等；可将个人在日常生活中产生的其他数据信息等归位一类，如网上浏览纪录、手机导航的个人轨迹悉信息；个人产生的数据将对公共数据、企业数字经济发展有促进作用，可将有可能被识别的个人信息归为一类，如个人医疗信息、消费留存信息等。综上，将个人数据信息分为三类，其一是人身属性个人信息，其二是日常生活信息，其三是公共数据、企业数据发展有益个人信息。笔者建议构建的《个人信息保护条例》明确规定上述三类中的个人数据信息权益主体属于个人，一旦因信息受到侵害可将《个人信息保护法》作为法律手段与保障。

（二）明确数据作为一种财产客体，促进数据流动，保障个人信息安全

数据作为新型生产要素，正日益成为推动社会进步发展的新能源。可以将数据认为是创造个体价值及社会价值的重要资产，数据价值的释放、监督与控制将是未来数贸易发展的核心竞争力所在。同时，数据价值的释放应当坚持分类治理的导向，以及采取多轨并进的路径，以促进多源驱动的数字商业创新。数据最主要的特征是获得与使用的简易性，作为战略资源的非消耗性，价值的多元性与交叉复杂性。因此，要使数据价值的最大化得到实现，必须明确数据作为一种财产法律关系客体，基于数据本身的无形性，不具有《中华人民共和国民法典》中所规定的传统所有权的客体的特征，即具有有形性、确定实在性，以及相对的稳固性、价值的普遍单一性。为此，要促进数据作为财产性资源进行市场流动，界定数据作为财产关系的客体不能简单地套用以前的方式。

考虑到数据价值的这种多元性，笔者建议考虑对比《中华人民共和国民法典》中同样具有无形性特征的权利质权，如应收账款、知识产权质权等。以信用为基础建立数据资产凭证，以“十四五”规划中完成数据要素市场化分配为价值导向，引用数据资产指数来衡量数据资产的相对价值水平。考虑到现阶段是数字贸易初步阶段，数据资产凭证应以政府监管主导，以市场自我调节为辅。对个人数据和企业数据分类分级结合信用等相关信息认定财产价值，保证数据财产价值的权威性与稳定性。数据资产凭证作为财产客体，其法律权益的体现应具有价值性，又由于数据资产具有无形性，有必要明确规定市级以上政府可以对数据资产凭证予以背书，证明其具有财产价值。与此同时，要求市级以上政府承担起建立保证数据资产凭证真实性、周期有效性的责任。数据财产价值的使用可能对个人数据安全造成隐患，需要专业的数据审查评估机构，该工作可以以公安部网络安全行政部门为主导，部分审查评估权力可以尝试下放到相关社会专业机构。

（三）防止高标准下个人数据保护阻碍企业市场经济创新发展，规范数据交易市场

上位法对个人信息保护予以明确且严格的原则，各省市在此严格标准之下制定更为严格的省标准，无疑对企业合规加大了难度与成本，为企业的发展带来了法律上的刚性阻力。为消除数据价值上的非均衡性，在个人信息得以保障的前提下，应充分释放数据对企业所产生的创新价值，可以在上位既有规则和原则的指引下，凸显对企业数据使用的法律规制与保障。笔者建议，构建数据知识产权的相关法律规定，把企业利用个人数据脱敏后所形成的商业数据认定为商业秘密并予以保护，着重在市场交易规则中体现企业数据应用的保护，对企业依据个人数据利用企业智力劳动产生的衍生数据（生意参谋）予以充分的尊重，保障企业合法的数据权益。从个人信息保护的角度而言，建立数据交易所，该数据交易所督促企业遵循上位法规则基础，如消除敏感信息、在必要性原则下取得个体同意、告知个体其数据用途等，强化企业的社会责任。

在数据资产面前，企业自我加强社会责任有一定难度。一方面，体现在某些企业为了谋求数字经济的发展，力求抓住数字经济的风口，对于企业个人数据合规投入成本较低，甚至忽视；另一方面，数字经济发展初期，各种有关企业数据合规的法律规定并不明确，企业自身不知道数据合规的落脚点在何处。笔者建议，政府依托数据交易所建立数据责任监督管理部门，数据责任监督管理部门对企业进行强化数据监督，违规侵权倒追，定期开展数据市场企业的社会责任培训。对于个人信息的维护，要求数据责任监督管理部门对个人信息依据分类进行不同程度的管制与备案，其中对于人身权益的个人数据信息严格遵循《个人信息保护法》的规则。此外，对于涉及个人信息的企业数据或者政务数据，笔者认为可以以《个人信息保护法》《数据安全法》等上位法为基准，进行细化制定数据交易的相关规定，该规定明确赋予数据交易所进行合规审查、登记备案、周期清算、强化企业数据应用信披义务的权力。

（四）完善个人数据信息跨境流动规则，促进企业数字贸易发展

我国与日本、韩国等国家的贸易往来频繁，跨境电商交易单数大，国内企业数据及个人数据跨境流动数量十分巨大。企业在此过程中进行数据收集与使用、与第三方的数据传输，以及数据境外传输时往往会产生一些风险。因此，有必要探究与我国数字贸易往来较为频繁的国家对于数据跨境流动的法律规定。以日本为例，结合目前我国现有数据跨境流动规则去构建能够促进数字贸易发展兼顾个人信息跨境的安全保证的涉外规则，日本对于数据跨境是积极推动的态度，日本个人信息跨境转移的一般规则首先受到日本“个人信息保护委员会”的监管，增设数据需要主体同意，经营者向境外提供个人数据时必须经过个人数据主体对该提供行为同意。另外，如果是日本规定的白名单国家且是符合标准的服务商，则采取合理措施即可，无须经过主体同意，或者获得国际隐私框架认证的服务商同样可以不经过个人数据主体的同意而进行跨境转移。可见日本积极推动数据的跨境流动，实现数字贸易价值的最大化。目前，我国个人数据的跨境转移首先要经过数据主体的同意，其次要经过有关部门对跨境数据进行分类安全评估，经过评估认证，同时要求数据主体之间签订相关标准合同。诚然，相对于日本，我国的个人信息跨境标准更高，但是较为保守的态度，过于严格的个人数据跨境，对于企业的涉外数字经济的发展依然是一层阻力，同时对于国内数字经济的增长也是阻碍。

笔者认为，应依据目前我国国情与现有法律规定，向中共中央、国务院申请建立地方性国际数据交易所，在固有法律的规定下，结合国内发达一线城市特定的数字经济发展状况建立地方性国际数据交易所，为企业数据和个人数据跨境做出前沿合规指引。对于日本及其他国家而言，国际数据交易所在现有的高标准个人数据跨境下简化流程，保证中国固有原则前提实现与日本等国形成无障碍个人及企业数据跨境流动。另外，国际数据交易所可以辅助中等以上有发展潜力的企业达到日本“个人信息保护委员会”所谓服务商的认证标准，有效促进个人数据向涉外交易场所流动。在数据财产交易时，应当抢占数据流动规则制定，建立对日本等国的数字竞争优势，同时地方国际数据交易所保证个人信息全程可溯源、建立个人数据风险防范机制。必要时，为维护个人数据安全，国际数据交易所可跨过标准合同的相对性，对涉外个人信息接收者直接予以赋权监管，发生数据泄漏或者因不当使用而出现危害时，地方数据交易所可以依据国内《个人信息保护法》《数据安全法》等上位法进行监管处罚。