中国信息通信研究院

（图/IC photo）

过去的2020年是历史发展进程中极不平凡的一年。世界正经历百年未有之大变局，特别是突如其来的新冠肺炎疫情为各行各业带来了前所未有的挑战。然而，危机之中，数字化技术驱动的技术和产业变革仍加速发展，大数据技术、产业和应用逆势而上，数据的作用在助力疫情防控和复工复产中大放异彩，“数据驱动”的价值更加深入人心。2020年4月，中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，将“数据”与土地、劳动力、资本、技术并列，作为新的生产要素，并提出“加快培育数据要素市场”。同年5月18日，中央在《关于新时代加快完善社会主义市场经济体制的意见》中进一步提出加快培育发展数据要素市场。数据要素市场化配置上升为国家战略，将对未来经济社会发展产生深远影响。

大数据产业在发挥资源禀赋效应的同时，也催生出诸多隐患，如侵犯个人信息和隐私，泄露国家秘密，数据被截获、篡改和伪造，数据权属不明，数据垄断以及不正当竞争等。

近年来我国数据立法进程不断加快。2020年7月，《中华人民共和国数据安全法（草案）》面向公众公开征求意见。作为数据安全领域的上位法，《数据安全法（草案）》在数据分级分类、监测预警和应急处置等数据安全相关的各项管理制度和数据安全责任体系构建等方面提出要求。但从目前的条款设置来看，可实际操作落地的具体化规定仍然不足，如何划分重要数据的权属边界、数据交易如何进行等问题还有待进一步落实。

强化个人权益，个人信息保护立法加快

数据立法缺失反映最为突出的问题是非法获取、分享和交易导致的个人信息泄露与滥用。骚扰电话、短信、邮件泛滥，个人财产损失和名誉损害事件屡见不鲜。

2020年10月，《中华人民共和国个人信息保护法（草案）》公布，草案确立了个人信息处理应遵循的原则，即强调处理个人信息应当采用合法、正当的方式，具有明确、合理的目的，处理信息应当遵循公开、透明的原则。草案在个人信息处理规则的章节明确了个人信息处理的主要合法性基础，包括：（一）取得个人的同意;（二）为订立或者履行个人作为一方当事人的合同所必需;（三）为履行法定职责或者法定义务所必需;（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和財产安全所必需等。这些合法情景结合了实践中数据处理的多种场景，例如：此次疫情中政府提供的“健康码”服务，其数据处理的合法性可以满足第四项要求。此外，这一章节还从共同处理、委托处理、合并分立、与第三方合作处理等多个角度规定了个人信息处理的具体规则。

草案首次将国家机关全面纳入到个人信息保护法规制范围内，是目前草案最大的亮点。专门增加一节规定：国家机关处理个人信息的，应当具有法定职权，并按照法定权限、程序进行。这将有助于提高整体社会的个人信息保护水平，并推动国际社会对中国个人信息保护制度的认可，为后续推进跨境数据流动机制提供了积极条件。

此外，草案还对各界普遍关注的敏感个人信息进行了特殊保护，即要求在具有特定目的和充分必要性的前提下，获得个人的单独或书面同意，另外还应当告知处理个人敏感信息的必要性及对个人的影响。

坚持多边合作，数据跨境流动立法加强

在数字经济发展的今天，数据只有实现在更大范围内的流动共享，才能更好地发挥对经济增长、社会发展、全球化进程的支撑推动作用。随着经济全球化发展进程的加快，数据的跨境流动需求日益增强，必须在法规制度、责任体系、安全风险防范等方面做好保障。

当前，世界多国通过国内立法或国际协定等方式快速推进数据跨境流动规则制定。例如，2019年9月，日本与美国签署的贸易协定提到，“确保各领域数据无障碍跨境传输”以及“禁止对包括金融业在内的机构提出数据本地化要求”，希望制定旨在促进数据自由流动的规则。特别是在新冠疫情背景下，各国在数据跨境流动领域频繁发力。2020年3月，基于《合法使用境外数据明确法》，澳大利亚联邦政府修订《电信（拦截和接入）法案》，允许协议国在出于执法目的时，互相跨境访问通信数据。2020年6月，英国宣布脱欧后的未来科技贸易战略，允许英国和某些亚太国家间的数据自由流动，并希望与日本等国达成比其作为欧盟成员国时期更进一步的数据协议。欧盟最高法院出于对欧盟公民数据隐私安全的考虑，于2020年7月宣布废除《隐私盾》（Privacy Shield）跨大西洋数据保护协议。

近年来，我国加强了数据跨境流动领域的决策部署，以《网络安全法》为基础，进一步进行了制度探索。

在《网络安全法》出台之前，我国未对跨境数据流动作出系统性规范。《网络安全法》第三十七条原则上禁止我国境内关键基础设施运营者向境外提供在中国境内收集和产生的个人信息或重要数据，可见我国目前对于关键领域数据保护采取了倾向数据本地化存储的态度。但我国并非完全禁止跨境数据流动，《网络安全法》第三十七条对向境外提供个人信息和重要数据的活动设置了安全评估的前提性要求，把安全评估办法的制定权力赋予国家网信部门，其可会同国家有关部门对安全评估制定具体的操作制度。

我国在加强数据跨境流动法律建设的同时也在推动试点以探索合理的跨境流动方式。2020年6月1日，中共中央、国务院印发《海南自由贸易港建设总体方案》，标志着海南自由贸易港的建设进入全面实施阶段。方案指出要建立健全数据出境安全管理制度体系、健全数据流动风险管控措施。国务院于2019年8月6日发布的《中国（上海）自由贸易试验区临港新片区总体方案》也指出，试点要开展数据跨境流动的安全评估，建立数据保护能力认证、跨境数据流动和交易风险评估等数据安全管理机制。

明确权利属性，数据权属立法探索初现

大数据创造了财富，但现在面临着数据权属不清楚因而收益分配不清楚的现实问题，这反映了加快数据所有权研究和立法的紧迫性和必要性。

《深圳经济特区数据条例》（以下简称《条例》）首次规定了数据权，并被纳入2020年提交审议项目。《条例》在数据确权、组织机构、公共数据开放利用等方面进行了大胆的创新和尝试。然而，《条例》存在超权立法的可能性。根据《立法法》第八条，涉及民事基本制度和基本经济制度，以及对非国有财产的征收、征用的事项，只能通过制定法律给予规制。但《条例》第一百零一条规定，个人数据包括个人信息数据和隐私数据，直接将个人数据权属赋予了人格权属性，涉及我国民事基本制度。第四条规定，数据权包括权利人对数据的处分、收益、损害赔偿权利，给数据权赋予了财产权利的属性，涉及基本经济制度。

“数据权属”问题是一直影响数据资产化、数据交易的老大难问题，这主要是因为数据有着不同于土地、资本等传统生产要素的特点——数据不仅是生产要素，也附着了社会关系，各方主体对数据的权益都有所投射，在数据处理周期中，难以将权属归于单一的主体。

需要看到的是，“数据权属”虽没有明确定论，但并不会构成对数据开放利用的阻碍;相反，数据价值开发在根本上并不取决于传统的所有权定性，而是通过多方的市场参与，达成数据共享利用、促进价值生成的市场共识规则。因此，可以通过吸收市场实践共识，来逐步确定相关权属分配和竞争规则，建立数据市场基本秩序。例如在近年来的司法实践中，逐步建立了“用户授权”+“平台授权”+“用户授权”的三重授权原则来解决权属问题。这些司法认定与规则，与2020年4月中央《关于构建更加完善的要素市场化配置体制机制的意见》》中指出的“研究根据数据性质完善产权性质”这一基本精神相符，在一定程度上，可以为未来数据权属的相关立法提供参考支撑。

编辑：张程  3567672799@qq.com