冯子轩

（西南政法大学，重庆 401120）

随着国务院《促进大数据发展行动纲要》、工信部《大数据产业发展规划（2016—2019）》等一批文件的出台，大数据智能化的发展已然被提升为国家战略。在2019年政府工作报告中，李克强总理也对人工智能技术的发展以及数字经济的壮大予以着重强调。但是我国大数据智能化产业发展在广泛运用、助力经济社会发展的同时，也凸显出一定的风险隐患，相关立法未能及时跟上大数据智能化发展的战略地位与发展水平。考察域内外相关领域的先进立法经验，以推动国家大数据产业安全发展为意旨，着力保护公民合法数据权益，推动技术、人才、资金等要素优化配置，从而促成数据依法有序流动，助力我国经济增长，推动大数据智能化的相关立法工作势在必行。

一、域外立法动态

世界主要大国为抢抓大数据智能化发展的主导权，陆续加快了顶层设计，进行大数据智能化产业发展的全方位布局工作。立法作为顶层设计战略的具体体现，是管理数据时代风险、驱动大数据智能化发展的主要手段。当前，世界主要国家纷纷进入数据立法加速期。

欧盟。在个人数据保护层面，欧盟出台的《通用数据保护条例》（简称GDPR）堪称是监管力度较大、保护较为全面的一部涉及用户数据安全的法律。GDPR在欧盟法律框架内属于“条例”层次，可以直接在各欧盟成员国施行，不需要各国议会审议通过。GDPR对个人用户在隐私数据方面享有的权利作了较为详尽的说明，如更正权、被遗忘权、查阅权等。除明确用户在个人信息上的安全之外，GDPR对企业采集与处理个人数据的方式同样作出了严格限制，如规定了数据处理的多项原则，包括“合法、公正、透明原则” “目的限制原则” “数据最少化原则” “完整和保密性原则”等。在个人信息保护监管机构的设置上，GDPR要求欧盟成员国应当在国内设置一个或多个独立公共机构，负责对GDPR在国内的实施情况进行监督，保证条例的良好实施及其在欧盟的一致适用。监管机构在行使涉及该条例内容的任务时，应当保持完全的独立性。此外，监管机构在保护自然人数据处理过程中的基本权利与自由、促进欧盟内部的个人数据自由流通等方面同样应当有所建树。另一方面，欧盟已在新的立法草案中加入关于设置信息保护的影响性评定的内容，对于义务主体有必要进行信息保护的影响性评定情形作出详尽规定，需进行影响下评定的情形涉及公共区域的视频监控的信息收集、信息的自动化处理技术、对敏感信息的处理，以及对于大规模的可能影响区域群体的地方层面甚至国家层面的信息采集或处理。①王瑞霞、刘晓纯：《大数据时代个人信息保护立法视角探析》，《吉首大学学报》（社会科学版）2018年S2期。GDPR为欧盟成员国提供了一套与时俱进、可直接适用的一般规则，有助于促进欧盟成员国之间个人数据的自由流通，并增强消费者的信任和安全，为欧盟内部市场的统一提供了不可或缺的法律基础，同时也为国际数据传输制定了更明确的规则。②李世刚、包丁裕睿、王峥：《GDPR 欧盟一般数据保护条例——文本和实用工具》，北京：人民日报出版社，2018年，第2页。

美国。为应对大数据革命所带来的机遇，抢占大数据发展先机，推进美国大数据智能化产业的领先发展，奥巴马政府已于2012年宣布实施《大数据的研究和发展计划》。该计划不仅涉及大数据的科技、应用领域，还涉及大数据对企业与社会的影响以及相关应对方案。在个人信息保护层面，美国目前尚无联邦层面统一的个人信息保护立法，也并无个人信息保护的独立监管机构。区别于联邦层面，美国各州对于数据保护的立法态度积极，典型的如《加州消费者隐私法案》（CCPA）等。在该法案中，尽管州政府层面仍然没有设置个人信息保护监管机构，但在立法提要中赋予州总检察长诉讼私权，以应对诸如未经授权的访问和泄露、盗窃、披露消费者未加密或未编辑个人信息等违反该法案的行为；③参见美国《2018年加州消费者隐私法案》大会第375号法案立法顾问提要。也规定了州总检察长诉讼收益的分配方法。法案中提出了联邦层面统一立法的建议，并推荐由FTC（Federal Trade Commission）统一作为监管机构，如互联网协会（Internet Association）、美国商务部国家电信和信息管理局（NTIA）。此外，法案中对个人数据访问权、数据删除权等有详细规定。

韩国。在公共数据开放层面，韩国国会于2013年7月颁布的《公共数据的提供及使用相关法律》较为值得关注。该法希望通过要求国家公共部门对社会共享其拥有、管理的数据，以达到对社会成员的公共数据使用权这一应有权益的保障，并在公共数据开放共享的基础上提高社会成员的生活质量，促进大数据智能化相关产业的发展。①徐世杰：《韩国大数据应用与个人信息保护法律问题及其启示》，李爱君主编：《金融创新法律评论》第1辑，北京：法律出版社，2018年。法律文本对公共数据的定义以及提供、使用公共数据的相关基本原则和程序等作出了具体的规定。在个人信息保护层面。韩国于2011年3月29日制定了《个人信息保护法》，将属于公共部门以及民事部门的个人信息都统合在该法保护之下。②同上。在个人信息保护监管机构的设置上，韩国的个人信息保护委员会由总统府设立，负责商议和解决有关数据保护的问题，委员会独立履行属于其权力的职能。该机构的主要职责包括评估数据泄露事件因素的事项，每三年制定一次数据保护基本计划并实施以确保个人信息权益保护，改进与数据保护有关的政策等。

日本。在个人数据保护层面，日本《个人信息保护法》于2015年做了大幅修正，新法案于2017年5月30日起施行。《个人信息保护法》分为总则、个人信息处理者的义务等、个人信息保护委员会的设置及业务内容、杂则及罚则四个部分。其中明确了个人信息的利用规则，如获取规则、保存规则、保存期限及要遵守的其他事项等。③［日］梶田幸雄：《日本个人信息保护法概要》，柴裕红译，《人民法院报》2018年6月29日，第4版。《个人信息保护法》虽以私人领域为规制对象，但其基本理念在公共领域也必须得到遵守。此外，在公共领域还制定了《行政机关个人信息保护法》《独立行政法人个人信息保护法》以及《个人信息保护条例》，分别规制行政机关、独立行政法人以及地方公共团体的数据采集与使用。在个人数据保护的监管机构设置上，日本于2016年1月设立了个人信息保护委员会作为公民信息保护的独立机构，机构委员会主席及专员可独立行使公权力。个人信息保护委员会的高度独立性使其能够承担起妥善处理个人信息保护的相关事宜，以在保护个人数据权益的同时能够在创新产业发展方面有所建树。

俄罗斯、巴西。2014年7月，俄罗斯立法规定数据运营商应将所有俄罗斯公民的信息储存在俄罗斯境内。巴西同样于2014年开始设计并推行将本国国民的信息储存于国内数据中心的具体方案；为避免受到他国监控，它尝试铺设直通欧洲的海底光缆工程，而此计划提出之前巴西需依赖美国的海底光缆将数据传送至欧洲。俄罗斯和巴西对于国家数据主权的要求和保护同样值得我国借鉴。

二、我国大数据智能化立法现状及存在问题

“十三五”规划提出实施国家大数据战略，旨在全面推进我国大数据发展和应用，加快建设数据强国，推动数据资源开放共享，释放技术红利、制度红利和创新红利，促进经济转型升级。但是，从立法层面看，我国大数据智能化立法整体而言仍处于起步阶段，关于大数据智能化发展的规制有所缺位，综合类法律规范的数量较少。考察其现状，具体表现为三个方面：

一是立法层次低。大数据智能化相关立法具有明显的地域局限性与行业局限性。一方面，大数据智能化的国家层面立法尚属空白，而诸如《网络信息法》《电子商务法》以及尚待出台的《个人信息保护法》均仅在有限部分涉及大数据智能化的应用场景与风险规制。另一方面，地方性与行业性大数据智能化立法层出不穷。截至2018年，颁布与数据、信息相关的地方性法规的省份已达21个，地方政府规章的出台频率也呈加快趋势，典型的地方性立法文件如《贵州省大数据发展应用促进条例》《天津市促进大数据发展应用条例》《浙江省公共数据和电子政务管理办法》以及近期出台的《上海市公共数据开放暂行办法》等。相关行业领域则以部门规章为主，典型的如《银行业金融机构数据治理指引》。然而上述文件所涉及的问题均局限于某一地域或某一行业，难以产生全局性影响，同样也无法解答国家层面在大数据智能化发展方面的诸多问题。

二是指引性、原则性款项较多，对大数据智能化发展中存在的诸多重要问题解释与回应不足。无论是国务院印发的《促进大数据发展行动纲要》《新一代人工智能发展规划》，抑或是工信部出台的一系列相关文件，依然属指导性和原则性规范，条文叙述较为抽象，操作性不足，针对实践中的具体问题阐述不够完全。而具体到各地方的专门法律文件，该问题同样存在，如《贵州省大数据发展应用促进条例》对大数据智能化当前发展中存在的诸如数据开放、数据采集以及数据交易等一系列问题虽然有所涉及，然而仅为原则性规定，具体可操作措施仍显薄弱。

三是数据领域涉及的面较广，单部立法文件中常涉及诸多问题，加之央地立法权限划分的限制，地方立法在技术上趋向抽象与保守，难以对某些具有现实意义的具体问题展开深入讨论。以《上海市公共数据开放暂行办法》为例，作为公共数据开放专门立法的国内首部地方政府规章，其在制度创设上具有较强的创新性。该办法篇幅仅48条，涉及基本原则、开放机制、平台建设、数据利用、多元开放、监督保障、法律责任等诸多问题，虽面上兼顾较好，但是个性问题关照不够，如数据开放的基本原则问题、多元主体共治问题、开放数据的处理程序问题、数据开放与信息公开的关系问题等。这些内容也恰恰是地方数据治理中最具有生命力的部分，并可以对未来中央立法提供一定的地方经验供给。

大数据智能化在立法层面存在的问题，导致在大数据供给与应用方面数据安全与权利法治保障等有所欠缺，进而引发国家层面的大数据智能化产业发展促进性动力供给不足：其一，立法滞后性、私法保护模式的天然缺陷引发个人信息保护意识的普遍忽视，个人信息保护的力度较小，目标并不明确。缺乏专门性的数据保护机构也导致数据交易不规范、数据采集的无序与用户个人隐私的泄露。其二，我国大数据、云计算及物联网等产业蓬勃发展，数据规模不断积累，但数据的流通与共享方面仍然有较为突出的短板，“信息孤岛”现象普遍存在。这表现在公共数据领域，虽然已有建成国家数据统一开放门户的要求，但现存海量公共数据无法与相关产业形成有效对接，开放数据总量依然偏低，且多数为静态数据。当前数据获取渠道与高质量的数据应用仍显缺乏，大数据安全相关法律规定的不足引发了各种对于数据安全不可控的担忧。其三，我国大数据交易仍整体处于起步阶段，数据交易过程中缺乏全国统一的规范体系和必要的法律保障，数据流通交易规则、定价标准、数据资源确权等领域在立法规范层面仍属空白。商业与个人数据安全无法得到充分保障将直接导致利益相关方数据交易的积极性欠缺、数据成交率和成交额不高，数据供需不对称使得当前数据交易额已难以满足社会有效需求。由此可见，我国大数据智能化领域的立法依然落后于应用场景的发展，未能匹配国家战略定位，亟待国家层面大数据智能化立法的出台，从而妥善解决当前大数据智能化发展中存在的问题。

三、我国大数据智能化产业的促进性立法建议

中共中央政治局2017年12月8日下午就实施国家大数据战略进行第二次集体学习，习近平总书记在主持学习时强调，要推动实施国家大数据战略，加快完善数字基础设施，推进数据资源整合和开放共享，保障数据安全，加快建设数字中国，更好地服务我国经济社会发展和人民生活改善。①习近平：《实施国家大数据战略 加快建设数字中国》，2017年12月9日，http：//www.xinhuanet.com//politics/leaders/2017-12/09/c_1122084706.htm，2019年6月27日。借鉴世界主要大国立法经验，做好顶层设计，当前首要任务应是从立法层面加强数据安全与权利法治的保障，消除我国大数据智能化产业发展的安全隐患，以促进其健康发展。

第一，立法规范数据采集，推动数据保护。加强数据保护是我国国家大数据战略的根本要求。数据采集是大数据应用的第一步，因此规范数据采集要从源头处保护用户数据隐私。一是重点保障商业和个人数据安全。在国家层面的立法中制定专项条款保护涉及国家秘密、个人信息和商业秘密的数据资源，合理设置安全等级，对数据进行等级化区分，同时完善数据安全风险测评与应急防范等制度，明确任何单位或者个人不得非法采集涉及国家利益、公共安全、商业秘密、个人隐私等相关数据；对数据采集进行严格规范，明确数据采集不应损害被采集人的合法权益，并在立法文本中明确危害数据安全行为的法律责任以及处罚形式。二是要在立法中限定数据应用边界。应当探索设立企业数据的利用与分享准则，②姚佳：《企业数据的利用准则》，《清华法学》2019年第3期。具体明确数据应用的边界。数据应用边界的作用在于为个人隐私数据构建一个可靠的“沙箱”，除有相应权限的用户外，排除其他任何人的访问要求。三是立法设置义务主体保护个人信息的义务。通过程序控制等方式规范义务主体采集或处理个人信息的行为，设置违反法定义务的处罚方式与手段，保障信息主体的合法数据权益。同时借鉴欧盟立法经验，探索信息保护影响性评定程序在我国实施的可能性，对可能发生的违反信息保护规定的行为进行事前防范和预防。四是从个人信息到对数据的保护，应该设置专门的数据保护机构并在立法中予以明确。成立专门负责个人数据保护的机构是各国的普遍做法，专门的数据保护机构有利于使包括个人信息在内的数据在存储传输、交易等各个环节受到监督，提高整体数据保护水平，更有利于为用户建立维权申诉的一站式服务。③杨震：《加快个人信息保护法立法 促进信息社会健康发展》，《中国人大》2017年第19期。

第二，立法促进公共数据开放，推动数据共享。数据资源开放共享是大数据技术发展应用的基础，国家大数据战略着重强调推进数据资源的整合和数据的开放共享，并对政府数据开放共享提出新的要求。④贺洪波：《论习近平新时代国家大数据战略观》，《重庆理工大学学报》（社会科学）2018年第10期。立法应以推进数据资源开放为导向。一是建立并完善地方各级政府数据开放共享法律机制，推动政府数据资源的整合，进一步优化数据管理机制。二是探索设置数据开放标准，采取措施激励各级政府制定政务数据开放标准与数据开放计划。对于高价值数据应当优先开放，其他数据则逐步开放，对不予开放的范围予以界定。三是建立政府和社会互动的大数据采集形成机制。通过政府合理引导，形成各级政府与社会各界自愿进行数据开放共享的局面；在数据开放共享中加强政府与民众的交流，对社会各界关于数据开放的意见进行实时反馈，从而形成更高水平的数据开放共享局面。四是与信息公开相对应，鼓励相关部门制定政务数据开放目录，整合各类数据资源，进一步扩大数据开放范围。

第三，立法规范并促进数据交易。数据交易有利于打破行业信息壁垒，优化提高生产效率，从而深度推进我国大数据产业创新与发展。应当在大数据智能化产业促进性立法中对数据交易的以下方面进行规范：一是在全国层面的数据立法中加快数据交易标准立法建设，逐步探索建立国家层面数据交易的国家标准以及行业层面的行业标准，鼓励企业之间设立高于国家标准与行业标准的企业标准，确保我国大数据交易运作的过程达到标准化和规范化的要求，从而优化数据交易环境。二是立法增加对不同种类的数据采取不同交易方式的规定，对交易的数据进行合理分类，在合理分类的基础上根据不同类型数据实施不同的交易方式与定价限制，其中由政府部门提供的、社会公共价值较高的数据，应当实施成本定价。三是鼓励各方主体创新交易方式，探索“泛交易”模式，即在现有数据买卖的基础上探索以数易数、数据捐赠、数据代理等更加“泛化”的数据交易形式。①唐斯斯、刘叶婷：《我国大数据交易亟待突破》，《中国发展观察》2016年第13期。在此基础上加强对交易主体范围的泛化，增加参与数据交易过程的主体资格，合理吸收存在数据交易需求的社会各层次的主体，进一步增强数据的交易量与流通性，推动数据交易市场繁荣。

第四，立法确立和坚持大数据智能化发展基本原则。立法之本在于原则，只有原则正确，立法才具有普遍适用性。应以国家数据主权原则与国民数据产权原则为基础，逐步完善我国大数据立法。一是国家数据主权原则。应当明确数据资源为国家的战略资产，对数据的监管是涉及国家主权和利益的重要内容。二是国民数据产权原则。通过立法技术进行数据确权很有必要，数据产权的确权是数据交易、数据开放共享等实现数据资源物尽其用的前提，也是数据主体对本人数据的占有、使用、收益和处分的合法权益的保障。国民数据产权原则更能保障用户的权益，把数据的持有者变成受益者，为数据的流通、开放、共享、交易打下基础。

正如习近平总书记所指出，大数据发展日新月异，我们应该审时度势、精心谋划、超前布局、力争主动。②习近平：《实施国家大数据战略 加快建设数字中国》，2017年12月 9日，http：//www.xinhuanet.com//politics/leaders/2017-12/09/c_1122084706.htm，2019年6月27日。当前大数据智能化浪潮对我国未来发展具有重要意义与无限可能，开展我国大数据智能化高层次立法工作，是我国国家大数据战略顺利实施的奠基工程，也是达致国家大数据战略目标、实现我国从“数据大国”向“数据强国”转变的重要法律保障。总之，大数据智能化立法工作任重道远。