曹丽

DOI：10.19392/j.cnki.16717341.201720049

摘要：万物互联极速扩展的时代，各行各业对大数据广泛应用，迫使对数据开放、共享和保护进行立法，适应新的环境。通过对国外大数据立法的借鉴和参考，对我国数据立法提出建议。

关键词：大数据立法；数据保护；数据共享；借鉴和建议

我们生活在一个万物互联极速扩展的时代，面临着无限的可能性。大数据化、互联网化、智能化成为人类发展不可阻挡的趋势。通过对一定量的数据进行智能、高级分析，精准、高效的预测客户的需求、洞悉客户的潜在的意图，并且能够从所有业务相关的数据情境中持续得到有效的、有关联的信息。数据分析的重要性体现在各行各业。通过分析可以使用我们不断的自我学习、自我调整以及自我演进，更能适应瞬息万变的社会发展。我国在大数据立法上基本法缺失，能够运用到大数据的条文则零星散乱。今年5月1日起施行的《贵阳市政府数据共享开放条例》，是一部走在全国前列的大数据地方性立法。贵阳在大数据法律条例的出台，对于数据共享开放依法有序进行具有重大现实意义。

一、国外大数据立法情况

国外大数据法律主要是由数据开放、数据保护、数据留存、数据跨境流动等内容组合而成。其中，数据开放法律从源头处对数据资源的供应进行保障；数据保护法律着重从个人数据保护、企业商业秘密、数据利用等角度对数据所有人、权利人、使用人的行为进行规范，其中确立的八项原则适用于所有的数据；数据留存法律主要是对各行业重要数据进行留存规定，目的是保障国家安全、公共安全，以及对警察机构、情报机构进行辅助执法；数据跨境流动法律，规范的方向是“數据流出”，是从国家角度对数据往来进行法律规范。从适用范围（法律文本选择）上看，以英国的大数据为例，英国是一部分是本国法律，另一部分则直接沿用了欧盟法律；从立法方式上看，为应对大数据带来的新挑战，英国在大部分沿用已有法律条文的基础上，对旧法进行启动了修正，以适应新环境。

二、相关法律规定和变化情况（以英国为例）

2000年《信息自由法案》规定了政府数据开放和公民获取政府信息的权利。为适应大数据时代的新需求，2013年法案进行了修订，主要涉及政府对于那些可以再次利用的数据集进行公开，公开的相关标准和许可机制等。

1998年《数据保护法案》是英国数据保护的基石。法案确立的八项基本原则同样适用于大数据保护，包括，正当合法原则、基于特定目的原则、适当原则、精准原则等。2014年，英国草拟了《欧盟一般性数据保护条例》（EU General Data Protection Regulation），欲用新《条例》取代已经施行了16年之久的《数据保护法案》。新《条例》有不少内容专门为大数据“量身打造”，例如：规定数据匿名、数据删除、数据清洗、数据脱敏等，加大企业数据泄露事故的责任，按照全球营业额的5%进行罚款。预计新《条例》于2016年通过，英国将在2018年由CIO施行。

2014年《数据留存和调查权法案（修正案）》规定对通讯数据、身份数据和位置数据进行留存，加大了电信运营商的留存职责，留存时间从之前的3个月拉长为1年。该法修正的主要原因是，欧盟2006年《数据留存法案》（Directive 2006/24/EC）于2014年刚刚被欧洲法院以“违反公民权利”为由正式废除，欧盟施行了近10年之久的数据留存制度正式走向终结，但在全球范围极端恐怖主义安全威胁与日俱增的大背景下，数据留存制度是必要的。

2000年的美欧安全港协议是包括英国在内的欧盟与美国在跨境数据传输方面的基础性法律文件。2015年10月欧洲法院宣布安全港协议无效。在法院判决之后，欧盟委员会表示会服从判决，尽快颁布新的更加完善的跨大西洋数据传输法律。目前，所有成员国的数据保护局（DPA）和欧盟数据保护督察员（European Data Protection Supervisor）组成了一个独立的顾问团——第29条款工作组（the Article 29 Working Party）。工作组就美欧数据如何跨境传送发表了指导意见，遵循两条原则：第一，美欧数据传输不再适用安全港协议；第二，欧盟标准合同条款（SCC）和欧盟企业约束规则（BCR）作为替代，适用一段时间，直到新的跨大西洋数据传输法律出台为止。第三，2016年1月底，如果届时依然没能与美方就数据传输达成恰当的解决方案，欧盟成员国的数据保护机构将采取必要、适当的行动，包括与美方的联合执法。

三、对我国立法的建议

相比之下，我国现在已进入大数据快速发展时期，但是，大数据领域存在着数据缺乏共享，数据权利保护不全面，交易不规范下的无序发展，部门协调不畅等问题。结合英国经验，建议如下：

（1）填补法律空白，出台《数据保护法》（或类似法律）作为我国数据保护的基本法。在基本法中规定数据保护的主要原则，为参与数据活动的各方主体提供稳定的明确的行为规则指引。

另外，对于数据交易要有明确的法律规范。数据是有很多属性和分类规则，有关个人隐私的数据是需要法律明确禁止的。

数据的产权，是归属数据生产者，还是数据的拥有者。也是需要法律进行明确的。

精准性营销通过分析大量的用户信息进行营销方案的策划，是否违反了用户的知情权等等，这些都需要通过法律进行明确和规范。

（2）对现有法律进行修正，在《网络安全法》（草案）和《反恐法》中加入数据留存、数据本地化等制度，加强运营商、互联网服务企业的数据安全责任意识，保障大数据环境下的网络安全和国家安全。

（3）考虑出台专门针对大数据的规章或规范性文件，使得参与大数据的各方主体的责任权利义务都能够明确化，例如，增加数据匿名化、数据二次采集、赋予数据权利主体以删除权等等内容。

我国还没有专门的规范跨境数据传输的法律，也尚未加入任何与此有关的国际双边、多边协定，但随着国际极端恐怖活动的日益猖獗，跨境数据的安全威胁也与日俱增，硬对跨境议题尽早展开立法工作。