1.中国科学院文献情报中心，北京 100190

2.中国科学院大学经济与管理学院，北京 100490

3.武汉大学信息管理学院，湖北 武汉 430072

随着云计算和大数据技术的迅速普及，互联网成为提供一切泛在服务和智能计算的平台，尤其是基于此基础上的通信技术的整合，极大提升了数据资源开放共享和采集利用的便利性。与全球范围内的资本流动类似，基于全球经济发展的需求，数据本身也开始作为交易的一种直接标的物[1]。数据是现代全球经济的命脉，全球范围内的数字经济正在蓬勃发展，数字贸易和跨境数据流动的增长速度预计将继续快于全球贸易的总体速度。企业利用数据创造价值,并通过数据在各国之间的自由流动来实现这一价值的最大化。与此同时，越来越多的国家正在实施障碍,使之更加重要[2]。

数字经济的时代大背景下，数据资源治理问题的重要性日趋凸显，受到全球各国的关注与重视。云计算服务使得数据的存储不再受限于时间、空间等物理条件的限制，大规模数据的存储和集成则加速了政府、企业、个人数据流动和转移的频率，各国开始聚焦于跨境数据流动制度，尤其是涉及到国家安全和利益的政府数据管理问题[3]。“美国-欧盟安全港协议”揭开了欧盟在处理与美国之间数据流动的政策和执行漏洞，而在 2016年初通过的新的数据保护法律以最严格的标准对数据流动和使用进行了限制，以期进一步保护欧盟公民的数据跨境流动安全[4]。在此之后，2018年5月15日起欧盟开始实行的《一般数据保护条例》(General Data Protection Regulation,GDPR)为国际数据治理框架注入了新内容。数据的流动与转移也成为国际数据治理的关注点之一，尤其是对于非个人数据流转问题的规划和管理。2018年10月4日，欧盟已正式通过《非个人数据自由流动条例》 (Regulation on the Free Flow of Non-personal Data)，其中对于跨境数据的自由流动与转移提出了新的解决方案[5]。

各国数据跨境流动政策的各有侧重，以贸易利益驱动的美国数据跨境流动政策，关注个人权利保护的欧盟数据跨境流动政策以及以维护网络安全和数据主权为目的的包括中国、巴西在内的发展中国家的数据跨境流动政策。制定数据跨境流动政策，加强对数据的监管和治理，关注数据流动与转移的授权许可管理，谋求自身合法利益的最大化，实现真正意义上的数据自由流动与转移已成为各国的统一共识[6]。

本文从法律和政策的层面出发对“数据流动与转移的授权许可管理”这一问题展开讨论，在阐述该问题的过程中也涉及到了计算机领域的相关知识以及一些行业的经典案例，特别是最近的问题已经开始涉及到国家战略方面的相关内容，在国家的相关的信息产业的发展的政策方面也引起了一些学者的研究。

数据流动与转移的授权许可管理主要从三个层次上去考虑：(1) 国家战略角度，尤其是针对国家相关的信息产业发展政策方面的研究；(2) 科研院所的层次，例如中美贸易战的问题，以及未来可能发生的数据战问题；(3) 图书馆实际业务操作领域，图书馆业务实践中面临的最大问题在于数据资源未得到合理有效的管理和利用，整体效果不理想，因此数据资源的授权管理问题具有重要的实践意义。对于这样一个涉及范围广泛且复杂的问题，本文将以【DATA】的思维模式和框架从简单定义到实际应用来做一个系统性的阐述，如图1所示。

1 定义 (Definition)

1.1 数据流动

数据流动 (Data Flows)是数据通过软件、硬件或者两者结合的系统进行的移动。数据流动通常借用模型或图表进行定义，当数据在程序或者系统里，从一个组件传递到另一个组件时的映射过程[7]。数据流动这一概念本身也包含了数字机器、应用系统、数据网络和信息空间四个结构层次[8]。曼纽尔·卡斯特尔的“流动空间”理论则指出空间通过流动而运作，而网络状态中的空间以数据为介质实现其流动性，这也是数据流动的价值所在[9]，它是充分挖掘和释放数据价值的关键环节和必要流程。数据开放仅仅是数据流动的基础，流转中的数据所创造的价值是难以估量的，其对于经济和社会发展的意义更甚于此。

图1 数据流动与转移的授权许可管理问题分析的基本框架Fig.1 The basic framework for the analysis of license management issues for data flow and transfer

1.2 数据转移

数据转移 (Data Migration)是在计算机、存储设备或格式之间传输数据的过程。它是任何系统实现、升级或者整并的关键因素[10]。因此，数据转移问题需要考虑数据的有效性、数据的完整性以及数据的一致性。国际环境中数据的跨境传输问题中所提及的跨境数据转移问题则与个人的数据权和隐私权密切相关[11]。数据转移不仅仅是对数据的物理传送，也包括与其他方共享或向其他方传输或者披露，或者允许其他方获取个人数据的行为[1]。在此过程中的数据转移就是在不同法域之间的流转，它需要各个主体之间政策的制约和规则的保障。我国于2016年11月由全国人大常委会通过并于2017年6月实施的《网络安全法》也针对数据跨境传输问题给出了中国的应对方案[12]。

1.3 数据许可

授权许可 (Licensing)是一种业务部署，其中一个个体允许另一个体使用它们的产品、服务或者一些特定信息。这里，个体可以是个人、单位、机构、公司或者其他事业[13]。授权许可的具体内容应基于约定双方平等自愿基础上的协商一致，也需要与我国法律内容的相关规定相适应。图书馆目前引进电子资源的主要方式就是“授权许可使用”，这也是知识产权授权许可的一种重要方式[14]。

2 分析 (Analysis)

2.1 数据流动的类型

数据流动的成因比较复杂，可以分为三个层面，如表1所示，包括：(1) 文件记录层面；(2) 数据技术层面；(3) 政策法规层面。

在文件记录方面，有四种类型的数据流动：系统参数、业务数据、财务数据、个人信息。其中业务数据，包括元数据、文献数据以及一些执行的相关操作记录。财务方面的数据和个人信息的数据这两个范围目前国家有相关的界定，也是目前不同国家和区域之间进行数据流动的战略部署的重点。国家有关部门对于个人信息保护立法高度重视，对于个人信息保护的相关制度已相继出台，《个人信息保护法》即将提上立法日程[15]。

表1 数据流动的类型Table1 Type of data flow

在信息和数据技术方面四种类型的数据流动包括数据库、集中式数据池、分布式大数据体系和数据中心联盟。

在法律和政策方面四种类型的数据流动包括基础设施的合同、组织机构的规定、区域管理条例和跨国的法规和政策。

2.2 数据转移的类型

数据转移的类型包括存储转移、数据库转移、应用程序转移和业务流程转移。从业务的角度来说，数据转移有多种原因，包括：(1) 伺服器或者存储设备的替换或升级；(2) 网站整合；(3) 伺服器维护；(4) 数据中心重新定位。数据的转移涉及常规的IT活动，并且需要依据组织自身的实际情况进行数据的转移[10]。

数据转移问题需要考虑多方因素并做好充足准备，制定合理有效的数据转移策略是必不可少的环节，否则就会对实际的业务操作产生影响。为了避免因为数据转移而造成的长时间停机、兼容性差以及性能不良等问题，各组织通过有效的事前规划、充足的技术准备、合理的转移策略实施和有效的数据校验来实现高质量的转移。

规划需要清楚地了解设计要求，如计划、复制要求、硬件要求、数据量和数据值。在数据转移之前，组织通常会通信方法、安装转移软件并配置所需的硬件。自动数据转移最大限度地减少了人工干预和应用程序停机时间，并提高了转移速度。转移文档有助于跟踪和降低未来的转移成本和风险。数据转移完成后，组织将验证统计信息以确定数据准确性。最后,数据清理通过删除不必要或重复的数据，有助于提高数据质量[10]。

2.3 授权许可的类型

许可授权的类型也有很多方面，这里介绍其中一种分类方式，在用途方面的类型：

(1) 固定费用(Flat Fee)；即定期支付报酬以获得许可授权，例如数据库阅读资源的订购。

(2) 权益组合 (Rights Combination)：权益组合基于合同与许可协议，主要发挥两项作用：一是与不同伙伴进行合作，我们能够判断如何保护主体的合法合理的权利，以及如何避免侵害他人权利。二是因此能够逐步建立基于协议内容的知识产权管理。国际数据中心的交流环境当中，就有很多涉及到权益组合的实践。

(3) 知识共享 (Creative Commons)：知识共享许可协议是知识共享组织发布的许可，其适用范围广泛，可操作性强[16]。

3 追踪 (Track)

3.1 国家数据战略

3.1.1 欧盟近期的法案对于世界上其他经济社会地区产生重要影响。

2016年4月，欧盟通过了《通用数据保护条例》 (General Data Protection Regulation，GDPR)，这一条例在 2018年5月开始正式生效[17]。这项法规将要求各公司采取一种新的全面数据治理措施，包括：数据剖析、数据质量、数据沿袭、数据屏蔽、测试数据管理、数据分析和数据归档等。

这个条例的影响在于数据保护范围将大大扩展，包括基因数据、电子邮件、IP 地址等。而且，用户可以对由各家公司保存的受保护数据有更细致的权利。各公司对用户的邮箱、电话号码等具体信息的使用必须得到用户的明确同意，而将它们作为整体使用也必须得到明确同意。

GDPR的全面施行产生了的重要的国际影响，首先是大数据时代各新兴业态的发展受到新的规章制度的制约；其次是对于中国企业全球化发展中涉及的数据问题需要参照欧盟的数据治理理念；除此之外，GDPR的推行加强了欧盟对于公民个人数据保护的执法力度，抢占了国际数据治理政策的先导地位，直接制约其他国家的数据治理政策及相关制度的建立[18]。

3.1.2 美国基于贸易利益制定数据流动政策

美国作为数字贸易强国，其数据流动政策的制定仅仅围绕自身的贸易利益，并致力于建立起全球性数字贸易规则的“美式模板”[19]。美国 1997年发布的《全球电子商务框架》[20]打开了电子商务法制建设的新局面，从这一框架中也可以初步窥见美国针对数据跨境流动问题的相应策略，并通过立法、谈判、对话等方式建立起符合国家利益的跨境数据流动规则。

2012年的《美-韩自由贸易协定》是美国与亚洲主要国家签订的第一个自由贸易协定，这一贸易协定第一次在电子商务章节中对跨境数据流动规则做出了相应规定[21]。之后，2016年《隐私盾协议》的制定则对全球范围内的数据流动政策产生了新的影响，反映了数据跨境政策调整的新趋势[22]。

3.1.3 欧盟在人权保护主义下制定数据流动政策

对于跨境数据流动的关注起源于个人数据保护立法。欧盟 1995年出台的《关于个人数据处理保护与自由流动指令》规定了个人数据保护的最低标准。针对信息交互频繁的新时代背景，个人数据保护的内容也在不断扩大，制定新的政策则是面对现有挑战的必然选择。2015年10月，存在了十五年之久的欧盟和美国的数据“安全港”协议被欧盟高等法院宣判无效[4]。欧盟于 2016年4月通过《通用数据保护条例》(General Data Protection Regulation，GDPR) 并在 2018年5月实施，此刻正在推进《非个人数据自由流动框架条例》的立法。

表2 数据流动的利益相关方诉求Table2 Stakeholder appeals for data flows

3.1.4 中国以维护网络安全和数据主权为目的

2017年12月8日下午，中共中央政治局就实施国家大数据战略进行第二次集体学习。针对我国目前的发展现状，习近平总书记进一步强调了实施国家大数据战略过程中的重要环节和中心要点。从维护我国国家利益的根本目的出发，提出了切实保障国家数据安全这一重要内容，涵盖国家关键数据资源保护，政策、法规及制度建设，数据资源确权与保护，个人隐私保护以及参与国际数据治理政策和规则的制定等具体内容[23]。

3.2 企业数据战术

数据跨境流动是一个兼具复杂性和多样性的综合性议题，揭示了数据价值对于企业和国家的意义。与此同时，大数据时代的数据流动存在多个利益主体的多方诉求[4]，如表2所示。数据跨境流动的商业价值和多利益相关体属性加剧了博弈的复杂性。就企业而言，它既是用户数据的存储者、提供者，也是数据的利用者之一[24]。厘清数据的产权归属问题，尤其是数据的归属权和使用权问题，才能更好地保护用户隐私，避免产权不清所带来的一系列后果。

针对数据问题，企业要做好释义，一定要顺应国家政策，以国家政策为依据，对此方面要有一定的敏感度和及时反应。除此之外，科研院所和其他信息中心仍然是重要的支撑力量，不仅企业和国家制定了相关的应对策略，很多数据中心和信息中心，也正在尝试和帮助各个政府部门及相应的单位建立数据资源中心。

3.2.1 Facebook 数据门事件 (2013年-2018年)

席卷全球的Facebook 信息泄露事件引发了各界关注，扎克伯格不久前就此事发表声明并承认：超过 5000 万的Facebook用户数据未经本人许可，被英国剑桥分析公司 (Cambridge Analytica) 私自窃取并滥用。该事件始于 2013年的一名科研人员开发的性格测试 APP后，借此采集用户的朋友信息，尔后剑桥分析公司利用这些数据向用户精准投放信息，引导用户进行包括美国总统大选在内的决策[25]。尽管扎克伯格承认，Facebook 自 2014年已意识到第三方应用抓取用户数据的潜在风险，并通过限制第三方应用的信息获取行为加以约束，但数据流出已经既成事实，加强数据监管势在必行。该事件“荣获”2018年美国图书馆界的十大关注事件之一。这一事件也从侧面揭露了用户信息泄露的恶性影响。

3.2.2 阿里巴巴推动《大数据安全与隐私保护过程》提案 (2018年)

大数据时代的数据安全与隐私保护问题的重要性日趋凸显，各组织机构急需相应的标准加以规范，比借此充分实现数据价值的最大化。阿里巴巴有限公司于 2018年基于我国《数据安全能力成熟度模型》 (Data Security Maturity Model,DSMM) 标准推动《大数据安全与隐私保护过程》提案，为ISO/IEC JTC1/SC27 WG4中成立新项目，定义大数据安全与隐私保护的过程参考模型、评估模型和成熟度模型[26]。这一提案的出台可以更好地促进数据的流动与转移，进一步推动相关标准的国际化进程，具有里程碑式的意义。

在 2018年9月17日的国家网络安全宣传周上，阿里巴巴首席风险官郑俊芳指出：数据流动过程中的各利益主体方，包括平台、供应商、商家以及这中间提供各种软件服务的企业等都应肩负数据安全的责任[27]。所以，从政策法规、国家战略角度出发，积极参与国家相关政策标准的制定，需要各行各业的共同努力。

3.3 国内经典案例

3.3.1 现代快报诉今日头条侵权案胜诉 (2018年10月17日)

历时 3年之久，现代快报起诉今日头条所属北京字节跳动科技有限公司的侵害著作权纠纷案落下帷幕。江苏省高级人民法院终审判决决定驳回上诉，字节跳动公司因未经授权转载的4 篇文章，须赔偿现代快报经济损失 10 万元[28]。这是目前国内单篇文献触犯侵权案例所涉及的最高赔偿金额的判决。这一事件也反映出网络信息采集规范的必要性[29]。

3.3.2 腾讯诉今日头条侵权案胜诉 (2017年6月29日)

针对腾讯诉今日头条侵权一案，北京市海淀区人民法院做出判决后认定：今日头条在 287 宗案件中均侵犯腾讯网信息网络传播权，需向腾讯网赔偿经济损失 27 万余元[30]。据调查，涉案作品均为腾讯网员工的职务作品和独家约稿作品，而今日头条未获腾讯网授权直接抓取内容后，将其自存储并向今日头条网站和新闻客户端的用户发布[31]。这一事件使得内容的归属权问题再一次受到各方关注，对归属权问题的界定和保护需要尽快在立法上、制度上以及行业共识上达成一致。

3.3.3 抖音状告百度短视频侵权案 (2018年10月30日)

北京互联网法院公开开庭审理“抖音短视频”诉百度旗下“伙拍小视频”著作权权属、侵权纠纷一案[32]。案件通过网络审理，庭审全程语音识别记录。该案中，抖音诉百度未经许可擅自传播涉案短视频并提供下载，索赔 105 万。该案在侵权取证中，由第三方平台北京“中经天平”进行了区块链取证，这也是视频行业在维权中首次使用“区块链”取证技术[33]。

4 回答 Answer

4.1 授权许可管理的必要性

许可管理包括：经济资本和象征性资本，后者可分为社会资本和文化资本。如果个体的业务没有任何许可管理，短期因为其“新”的服务和产品会有巨大的利润或者好处，但从长远来看，它有潜在巨大风险。这一问题既是风险也是新的业务创新点和增长点。

这是因为没有比授权专利、商标、版权、设计和其他知识产权更快或更有利可图的方式来发展创新业务。授权许可允许某些个体立即利用其他个体可能已经花了几十年的时间来建立的现有资源。

4.2 数据权益分析

数据权益分析 (Data Rights Analysis) 需要明确谁有哪些权利允许谁做什么：(1) 权利持有者；(2) 有限行为；(3) 行动。在这个问题中要考虑权力持有者是谁，有限的行为是包括哪些，允许人的具体行动是什么，三者缺一不可。具体分析案例内容的时候，一事一议，一些理论和研究均可以参考，数据权益分析可以援引的理论包括[34]：

(1) 法经济学的逻辑：效益最大化。新技术背景下，数据流动与转移过程中既可以挖掘数据潜在价值，也存在着监管不当之下的隐私信息泄露事件，对于二者之间收益与风险的评估需要突出法经济学的思维和逻辑，尽可能达到效益最大化目标，实现瓦尔拉斯均衡和帕累托最优[35]。

(2) 公共政策学的视野：危险控制。这一理论视角的原则在于降低数据流动和转移过程中的侵权风险，因为相对于权利人本身而言，从数据提供者对于数据侵权行为的控制成本更低，所耗费的人力成本和时间成本更小[34]。

(3) 产业经济学的角度：激励选择。对于各利益诉求方的有效激励，既有利于积极性的提高，又有利于数据流动与转移的效率的提升，从而激发创新潜力。

数据权益分析可以采取的应用步骤：(1) 服务类型，权利主体可以根据所提供的服务类型进行具体权益的分析和判断；(2) 行为类型，数据提供者可能因用户不同的行为而承担不同的义务；(3) 权利客体，数据提供者还应考虑被侵害的权利客体类型，针对不同的客体类型和特征来确定防止侵害所应该采取的预防措施[34]。

4.3 组合模型

正如莫拉维克悖论 (Moravec’s paradox) 指出：与传统假设相反，对计算机而言，实现高级推理和逻辑运算所需的计算能力远小于实现感知、运动等无意识的技能和直觉所需要的计算资源[36]。人们已经纷纷认识到了这一科研领域和潜在的巨大市场空间。

图2 组合模型的三维框架Fig.2 Three-dimensional framework of combined models

因此，劳动力的节约是技术进步的最终结果，这一过程初期可能会对就业产生消极影响。但是，随着技术加速增长产生的乘数效应，最终会创造新的就业机会[36]。然而，如果未来社会经济仰赖数字技术的进步，那么个人最重要的一件就是数据科学实践能力，企业单位最重要的一件事就是数据流动与数据转移的授权许可管理。其中，组合模型的三维框架也是实现数据流动与转移的授权许可管理问题的重要指导框架，固定费用、权益组合、知识共享三种类型的多种组合，可以更好地解决一些业务上的问题，如图2所示。

5 结语

数据的流动和转移是实现数据价值最大化的必要环节，但其中涉及到的个人隐私的保护、数据权属的确认以及数据的监管等问题，都需要通过各个利益主体的共同努力加以解决。基于【DATA】框架这一新的视角思考数据流动与转移的授权许可管理问题，打破了传统的思维模式。除此之外，通过追踪前沿热点，分析各国数据战略政策，企业数据战术以及国内经典案例等具体实践，进一步强调了授权许可管理的必要性。同时，把握好事前预防、事中监管、事后究责各个环节，以期在未来业务实践中提供更多的参考与借鉴。