数据治理中数据利用与数据保护的平衡

申晓雨 曾祥瑞

在数字经济发展中，企业将成为数据保护和开发利用的主要市场主体。本文尝试从企业的视角，对我国当前数据治理现状进行观察，分析企业在数据保护与数据利用中遇到的问题和困境，并对我国数据治理体系的完善提出了建议。

Cover Story

数据利用与数据保护是数据治理的两个基本问题。数据保护是数据利用的必要基础，数据利用是数据保护的目的之一。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出“统筹数据开发利用、隐私保护和公共安全”，也强调了数据开发利用与数据保护的平衡和协调发展。

现实中，我国在数据治理中存在诸多问题。一方面，数据利用领域尚未建立必要的立法和配套制度;另一方面，多年来国家虽持续强调加强数据保护并取得可喜成效，然而個人信息侵权、企业之间有关数据的不正当竞争事件依然层出不穷。因此，如何完善符合我国国情和经济产业发展需要，以及与国际接轨并建立切实可行的数据治理制度，值得认真思索与探讨。

数据利用的立法和司法现状

数据是一个宽泛的概念，简单而言，数据相关法律规范所称的“数据”既包括自然人的个人信息，也包括非个人信息数据。从数据的法律属性来看，数据权益既包括人格权益，也包括财产权益。

数据财产权益的立法缺失

目前，我国已在《民法典》中对个人信息的人格权益予以确认，而对于数据的财产权益，《民法典》仅在第一百二十七条规定，“法律对数据、网络虚拟财产的保护有规定的，依照其规定”。现实中，我国尚无立法对数据的确权、价值评估、交易规则等与数据利用有关的事项做出规定。仅一些地方数据交易中心和数据交易所为其内部的数据交易制定了相应规则，但由于缺乏明确的法律依据，其相关内容值得商榷。而且，受立法缺失的影响，这些数据交易中心和数据交易所的业务并不活跃。

司法对数据财产权益的保护现状

无论立法是否对数据的财产权益做出规定，数据的经济价值都已被实践证实。随着互联网经济特别是平台经济的快速发展，一些企业经过长期经营、积累，已经掌握了海量数据，而企业之间亦因争夺数据资源、数据资产而争议频发。在此类案件中，我们可以看到，企业往往依据《反不正当竞争法》第二条的原则性规定提出竞争权益主张，且在多数案件中，此类主张得到了法院的支持。

需要注意的是，尽管此类司法救济在现阶段数据确权立法缺失的背景下，为企业提供了一个有效的确权途径和救济窗口，但法院仅承认数据具有竞争方面的消极“权益”，而并非积极的财产性“权利”。这意味着，上述司法救济对数据的确权只有在数据被不正当获取及使用时才能启动，是一种依据侵权行为产生的救济，且需要个案认定。

此外，在此类案件中，法院在确定企业数据权益时，通常会首先判断企业数据来源的合法性，并要求提出权益主张的一方对此承担举证责任，即证明其对数据的收集、使用合法合规，对企业的数据合规能力提出了要求。

数据保护制度的现状及问题

近年来，我国加速出台了各类数据相关立法，针对个人信息保护以及数据安全建立起一套行之有效的监管体系，包括在2017年出台《网络安全法》，将个人信息权益写入《民法典》，预计2021年也将加速出台《个人信息保护法》和《数据安全法》，其成就有目共睹。但也需要看到，我国现阶段的数据保护制度仍存在诸多不足，并因此对企业的数据合规效果造成了不利影响。

数据保护立法问题

首先，在顶层立法中存在诸多方面的立法空白，许多有关个人信息和数据安全的规范仍停留在国家标准或行业标准的层面，没有被吸收到强制性法律规范中。

其次，对于立法中已有所涉及的问题，法律规定通常为原则性规定，而这类规定往往较为模糊。例如，对于收集自然人敏感个人信息，近期发布并于2021年5月1日生效的《网络交易监督管理办法》要求，收集信息的一方“逐项”取得个人信息主体的同意。如何理解“逐项”的合规标准？立法并没有给出明确的指引，从而引发了人们对这一规定的不同解读。

最后，不同法律规范之间就同一或类似事项的规定不一致。例如，对于“个人信息”这一概念，《民法典》《网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《个人信息保护法（草案）》的定义均不尽相同。随着立法发展，法律之间的衔接问题将日益突出，给法院和行政机关适用法律、企业理解和落实相应合规要求增加了难度。

数据保护中行政监管的弊病

近年来，我国行政监管机关对于数据保护，特别是个人信息保护的治理工作，已取得显著成效。但另一方面，根源于顶层立法的不明确，行政监管在实践中也产生了诸多弊病：

第一，多头监管导致交叉执法和空白执法。作为网络安全及信息保护的基本法，《网络安全法》第八条确立了网络安全及个人信息保护方面的多头监管制度，随后出台的《个人信息安全法（草案）》《数据安全法（草案）》均延续了这种思路，形成了在网信部门领导下，电信、市场监管、公安等机关和相关行业主管部门共同监管的“九龙治水”格局。这意味着，对于同一个问题，企业可能面临来自不同监管部门的执法要求，也可能在某些问题上求告无门。

第二，不同监管部门执法标准不统一。作为监管依据和标准的顶层立法不明确，导致不同的监管部门按照自身的理解去解释法律并进行执法，对同样的问题，不同部门很难形成统一的操作标准。结合上述的多头监管问题，重复执法、冲突执法增加了企业的合规负担。

第三，行政执法堵而不疏。现阶段监管部门的执法活动仍以打击违法违规行为为主要目标，鲜见给企业提供详细的合规指引、操作规范，导致企业在监管过程中并不能很好地理解立法目的、落实监管要求、完善合规措施。

数据治理中的企业困境

数据利用中的确权和维权难题

从追求利润的角度，企业希望数据的开发和利用最大化。因此，除在经营中对数据进行收集和积累外，企业还需要积极吸纳外部数据，并向外界共享自身的数据资源，以打通不同领域，实现交叉合作，提升数据开发和利用能力。为此，加速数据要素市场化，规制数据侵权和不正当竞争行为，保障数据的自由流通，是关键之举。

但现实中，数据产权边界不清晰，数据产权的权利范围和利用规则也不甚明确，企业在进行数据资产管理、确认数据资产价值时缺少明确的依据，也难以对特定数据交易的合法性进行准确判断，增加了企业的数据交易成本和难度。同时，在发生涉及数据产权的争议后，受立法缺失、举证困难等因素的影响，企业能够得到的救济及其效果有限。综合各方面原因，多数企业对于数据的资产化、数据产品的研发和数据的共享、流通仍持观望态度，或因受限于上述问题而无法有效推进数据交易、实现数据资产价值。

数据合规成本与收益的平衡

从运营成本的角度来看，企业会尽可能合理控制合规成本，这要求立法和执法的标准相对稳定且清晰可预测。然而，在立法缺失、规定不清晰和多头监管的背景下，企业对如何满足合规要求经常感到茫然无措，甚至疲于应对多个主管部门进行的高频次检查以及不同的整改要求，使其被动投入的合规成本增加。由于难以在数据保护成本和数据利用收益之间达到平衡，企业加强数据合规的内驱力不足。以个人信息保护为例，在近两三年内，大量企业经历了从没有隐私政策、默认甚至未经用户使同意就收集个人信息，到隐私政策万字长文、用户不同意就拒绝提供基本服务的变化——从最初的无序发展，到如今的矫枉过正，企业采取这些手段，往往并不以个人信息保护为目的，而仅为一站式满足不同监管部门的整改要求。这种将合规做成表面文章的行为固然不可取，但现象背后也正折射出企业控制合规成本的需求。

此外，现阶段针对数据侵权的司法判赔、行政处罚力度普遍不高，在司法实践中还存在诸如舉证责任不明确、证明标准不明晰等问题，导致侵权企业违规成本与其获得的利益相比过低，促使一些合规意识不强的企业选择“有效侵权”（在法经济学上，当一个经济实体故意选择侵权时，如果其所付出的成本比通过合法的方式获取授权更低，那么就可以称该侵权行为是一个“有效侵权”），不仅对其他企业或个人的权益造成侵害，对数据资产化和数据交易的良性发展也会造成负面影响。

关于平衡数据利用和数据保护的建议

纵观我国数据治理现状，近年来，数据保护体系已初显雏形，但在立法和执法领域仍存在诸多问题，有待进一步完善;而数据利用方面，必要的法律基础和制度尚未建立。如上文所述，数据保护和数据利用立法和监管体系发展的不平衡以及其他现实问题，限制了企业对数据开发利用以及数据合规的创新力和内驱力，不利于企业数据资产化和数据交易的发展。为此，笔者尝试从以下几个方面，对我国数据治理体系的建立和完善提出建议：

第一，尽快建立并完善数据确权制度和数据交易规则

数据是一种具有经济价值的生产要素，只有确认数据的财产权利，为数据资产建立产权制度，完善权利救济机制，才能最大程度促进数据流通、实现数据价值。为此，建议立法部门尽快出台数据产权相关立法，明确数据权利保护的范围，明晰数据收益权和数据利用规则。尽管对于“数据”的概念、数据权利内涵与权利归属等问题，学术界尚有争论，但在全球经济数字化转型以及我国积极推进数据资产化发展的背景下，数据正在以极快的速度渗透到社会经济生活的方方面面，从立法层面对近年来越发深刻的数据资产的保护和应用等一系列问题做出回应看，构建数据产权制度已刻不容缓。

如果顶层立法在短期内出台存在困难，建议考虑在部分试点地区先试先行，积极探索地方性、区域性数据产权制度，以试点的成功经验带动全国范围内数据资产化和数据交易市场的发展，在试错中摸索并逐渐确立适合我国国情的数据产权制度和交易规则。

第二，完善数据保护立法

针对上文所分析的我国目前在数据保护方面的立法缺陷，建议在顶层立法层面，统一对数据基础性概念的定义，明确数据权益范围和边界，确保不同立法之间的衔接和协调。同时，根据国家标准、行业标准、团体标准等规范在商业实践中的实施经验，将其相关内容积极吸纳到强制性立法中，并通过部门规章、规范性文件、司法解释等立法形式，对顶层立法所确立的原则做出细化解读和规定，为企业的数据合规提供指引。

第三，改善数据治理行政监管机制

一方面，针对多头监管问题，建议政府进一步厘清各数据行政监管机关的数据治理职权，建立多部门协调联动机制，统一执法标准。

另一方面，建议行政监管机关加强与企业的沟通互动。堵而抑之，不如疏而导之，在禁止违法违规行为的同时，监管部门如果能够给企业提供更多、更加详细的合规指引、操作规范，不仅有助于企业更好地理解立法目的、落实监管要求、完善合规措施，还将有利于企业准确判断并合理控制合规成本，提升企业数据保护和利用的内驱力。

第四，加大对数据违规行为的惩罚力度

无论是针对个人信息抑或对企业数据的侵权，目前在我国，行政处罚和司法判罚都存在力度不足的问题，侵权者的违法违规成本与其所得利益、对权利人的侵害和造成的社会影响不相称，不足以起到有效的惩戒和震慑效果。

目前，在个人信息保护方面，《个人信息保护法（草案）》提出了较高的处罚标准，将个人信息违法行为的行政处罚上限提升到企业五千万元以下或者上一年度营业额百分之五以下罚款，有望弥补现行立法中对个人信息主体救济不足、对侵权主体处罚力度不够的弊端，值得期待。在数据资产的保护方面，同样建议加强对数据资产侵害行为的处罚力度，保护权利人对其数据资产的合法权益，激发数据资产化市场主体活力。

结语

在世界范围内，数据治理是一个全新的领域，有关数据产权、数据保护、数据利用规则的制定在未来很长一段时间内将是世界各国共同的课题。希望有关部门积极参考全球其他国家、区域的研究成果和立法实践，并加强政府、企业、学者和法官、律师等法律工作者之间的交流和研讨，逐步建立并不断完善符合我国国情和经济产业发展需要，以及与国际接轨并切实可行的数据治理制度。

（申晓雨为北京天达共和律师事务所合伙人、数据合规团队负责人，曾祥瑞为北京天达共和律师事务所法务人员。本文编辑/谢松燕）