郭新阳

青岛科技大学，山东 青岛 266061

一、问题的提出

2021年6月10日，十三届全国人大常委会第二十九次会议通过了《数据安全法》。这部法律是数据领域的基础性法律，也是国家安全领域的一部重要法律，已于2021年9月1日起施行。

建立《数据安全法》是保障我国信息安全的必需条件。数据是国家的基础性战略资源，没有数据安全就没有国家安全。《数据安全法》贯彻落实总体国家安全观，密切关注数据安全领域的重大风险隐患，做好对我国数据安全管理工作的统筹协调，确立了数据分类分级管理，数据安全审查，数据安全风险评估、监测预警和应急处置等基本制度。通过建立健全各项制度措施，提升国家数据安全保障能力，有效应对数据这一非传统领域的国家安全风险与挑战，切实维护国家主权、安全和发展利益。与此同时，当下数据信息对于我国发展来说具有重要意义，中央顶层设计制度表明要把数据信息产业的发展放在战略发展的位置，因此我们既要促进数据产业的发展又要注意个人信息数据的权益保护［1］。

数据权益的归属问题，引发的法律风险纠纷使得其在数据分层保护上具有重要意义。因此本文试图分析信息数据的不同法律纠纷层级，探究在个人信息数据的人格权益和财产权益的必要性，最后以《数据安全法》为导向提出法律监管的框架。

二、数据价值的形成

单个数据的财产权益有限，对此，平台数据公司形成了数据集合。所谓数据集合，是指由一定数量的符号化数据按照某种目的汇集在一起而形成的数据包［2］。平台公司既是数据的加工者又是数据的监管者，如何确定对个人数据形成数据集合的同时还能保证数据中的个人人格利益是我们要讨论的问题，《数据安全法》也明确地传达出国家要大力发展数据经济，因此制定《数据安全法》是未来数字经济的必要制度保证，当前互联网经济高速发展，我们既要保持数据使用给经济发展带来的巨大活力和高效性，也要注意在这个过程中数据安全的保护，对于数据保护有其特殊性的存在，相同的数据放在不同的使用场景中会产生不同的效益和效果，这就给数据保护带来了权属上的冲突问题，我们试想相同的一份个人出行数据属于自己的隐私，其个人出行的自由是作为人天然具有的权利，对于企业来说平台可以收集起来形成顾客流量分析，例如D出行APP，其平台上拥有大量的用户出行数据，根据其形成的数据模型可以高效地调配用车资源，实现企业利益的最大化，但是这种数据对于国家来说，又可以从国家安全角度去分析城市人口动态流量，为城市建设做出更好的规划。由此带来了个人信息保护的三个矛盾层级。

三、法律矛盾层级的分析

（一）个人与企业之间的矛盾

主要体现在《数据安全法》的伦理风险，企业作为数据加工方和数据监管使用收集方与其他企业之间的矛盾，企业和个人私权利主体与国家的矛盾，这里主要是通过国家刺激数据使用发展和控制之间的矛盾。美国新通过的外商进入信息数据审查与我国存在合规性的差异，具体来说什么数据可以被外放审查什么数据不可以将成为一种边界问题，在此提出数据的分类应该进行重要数据、核心数据、基本数据的分类。

个人与企业关于数据矛盾的产生已经颁布很多指导案例，造成了一定的社会负面效应。根据最高人民检察院发布的相关指导案例，平台公司利用用户浏览数据对用户进行数字画像，从而进行精准化个性化推送，使人们陷入“数字茧房”的困境中。平台公司还会利用用户对于APP的使用依赖程度，对用户群体进行区分违反公平交易的市场规律，对用户进行大数据杀熟。

虽然《个人信息保护法》第二十四条的相关规定，对于平台公司手机用户个人信息进行自动化决策进行了相应的规制，规定平台在使用自动化决策时应该保证相关透明度和结果的公正，不得违反诚实信用公平等基本原则。但是在面对算法黑箱的问题上，平台是不是真的在履行其告知用户的“用户使用协议”，对于消费者来说没有一个直观的衡量标准，而且在具体生活中对于平台软件的使用时，我们无法不同意其提供的用户协议，否则用户将面临无法使用的困境。

APP违规收集个人信息具有较强的隐蔽性和危害性。在公安机关执法办理手机APP侵害公民个人信息案件时，检察机关和公安机关往往需要借助必需的第三方等技术力量，调查收集APP违法违规收集使用个人信息的相关证据，确定侵害社会公共利益的违法事实。这也使得办理这一类案件的难度加大，投入司法资源较多，打击效果有限，造成潜在的社会危害性增加。

（二）企业与企业之间的矛盾

尽管数据产业是一片蓝海，蕴藏丰富的商业机会。但就数据产业而言，数据产品和服务容易侵权、违法、犯罪却并非戏言。对于数据加工方、占有方、监管方、使用方的企业在其使用公共信息数据时会因不同企业之间的相互竞争而产生数据市场效应。因此在平台层面企业使用数据引起对其他平台侵权的问题也逐步进入人们的视野，其中产生的数据垄断问题、不正当竞争问题成为我们所面临的主要困境。由于数据领域、个人信息保护领域的上位法还在制定中，即使国内相关数据产业发达地区先行制定了相关法规，但是其中规定的民事责任、行政责任、刑事责任有些转引条款还需要结合上位法配套适用。以深圳市人大常委会官网公布的《深圳经济特区数据条例》为例，其因为地方性法规的限制只能在实体法意义上对数据违法进行相关规定，但是因为其无刑罚权而使其在打击违法违章行为时成为无牙之虎，但是涉及数据交易，尤其是跨境数据流动的法律风险极高，这一点是毋庸置疑的。以近日国家网信办对部分企业安全审查为例，一旦有跨境数据违规行为，国家必定是高度重视，严肃处理，轻则影响企业经营，重则可能面临最高额5000万元的罚款，还有可能触犯刑法。企业作为市场经济的重要主体，其产品的生产销售，用户的需求等商业秘密信息，在大数据透明性、开放性的背景下，我们有必要对于企业数据进行界定，数据时代不是所有的数据都要进行保护。大数据背景下传统的《反不正当竞争法》等保护路径其缺陷日益突出。

除此之外，大数据背景下商业规则对于平台企业权利义务是否需要重新分配与构建对于互联网企业，尤其是对于数据产品的经营者和服务者来说尤为重要。在浙江A金融服务集团股份有限公司、重庆市B贷款有限公司等与苏州C网络科技有限公司商业诋毁纠纷判决中，C公司称其公司数据收集的各个环节都力求确保数据的客观，其数据来源于官方渠道符合诚实信用原则①浙江蚂蚁小微金融服务集团股份有限公司、重庆市蚂蚁小微小额贷款有限公司等与苏州朗动网络科技有限公司商业诋毁纠纷一审（2019）浙8601民初1594号宣判。。除此之外其还已经建立完善了数据整理规范机制，在数据的正确性和客观性上完成闭环审查。事前审核义务不仅使C公司权利义务严重失衡，亦区别对待不同互联网服务提供者，不利于公平市场竞争秩序的建立，甚至可能阻碍新兴互联网征信产业的发展，最终将损害社会公众知情权。

（三）企业等私权利主体与公共利益的冲突

随着全球一体化，人类命运共同体等理念的发展，国内企业加快了与国外企业的各项合作，个人金融数据跨领域流通众所周知，例如，近年来中国企业在美国上市的消息不绝于耳，由于其资本市场发展较早的原因，美国市场的稳定性效率性和市场用户广阔性具有一定的优势，企业为了自身发展利益和活力选择在美国上市，这样企业数据作为商业社会中的重要资源随着跨境资本流通，也会随之流通。现有的《个人信息保护法》侧重于从个人权益角度出发保护个人利益，而新实施的《数据安全法》则是从国家安全角度出发维护国家和社会利益。

在面对重要行业尤其涉及国家安全、公共安全、国家秘密等问题时，应该从立法角度设置明确的行业出境上市门槛，例如D出行APP掌握的数据涉及中国道路用户信息的原始数据，甚至相关基础设施建设信息。国家对此行业的数据的监管应当以国家安全利益为主导。在企业发展和国家安全面前国家安全高于一切。

四、数据使用监管监督

（一）适用原则

公共数据依托个人信息个人行为信息产生，在大数据的背景下依托平台企业的整合算法的处理形成了具有公共属性的资源，但是其远远不同于传统商业生产要素，传统商业经济中，生产要素多依赖于物理属性的资源，商业信息作为重要的商业资源往往是企业发展节点的重要战略资源，受制于传播的局限性和有限性，其远远不构成重要的生产要素。在互联网时代，对于数据的合理使用应贯彻以下原则。1.数据来源合法原则：平台收集数据还是相关其他组织收集数据应该使用合法正规手段，主要表现在收集数据时使被收集者知情必要时可以出具相关告知书，在APP使用时，信息收集、同意、告知应当清楚明了，当发生纠纷时应当做出不利于平台方的解释；2.非必要信息不收集原则：在收集相关信息时要以符合目的为原则，尽量做到信息收集的必要性，例如，注重信息时效和空间地域范围，如政府分析某地区道路交通流量做出基础设施的规划，此时在信息的时间维度和空间维度，要提倡做到有限的信息收集，这不仅是对于被收集者本人的保护，同时也体现了对公共利益的保护；3.信息使用伦理原则：信息伦理“认知”层面具有多元化特征，思想观念和道德价值方面的差异性成为信息伦理在“认知”层面多元化的理论背景，信息数据是燃料，而数据的加工是内燃机，信息数据的收集和分析只是手段，如何去监管使用者以正当目的去使用，对于信息收集者的收集权我们应该加以限制，对于信息数据的使用应该以公共利益为导向。

（二）监管框架

目前我国对于数据安全和数据质量的法律规制有待进一步加强。缺少相关法律的专法专章。以个人信息数据为例，学界对于个人信息数据的定性存在争议，个人信息数据属于个人隐私，还是个人信息，还是数据，目前存在法律规则层面的混乱，其中《网络安全法》关于“个人信息”的定义、范围、使用、目的限制和安全保密等规定中略有涉及个人信息数据质量的确认和维护，但十分模糊。这种现象也导致了在司法实践中相关底层的司法逻辑模糊，遇到问题多采用较为牵强的方法归入民法、消费者权益保护法、产品质量法等进行解决，影响着司法效率和公正，同时也为行业发展和大数据法治的发展留下隐患。

目前欧洲的《欧盟通用数据保护条例》（GD PR）更侧重于对数据使用的严格把控，其共九十九条十一章，被广泛认为是欧洲历史上最严格的数据法规。第一，其大幅扩张适用范围，规定只要是被欧盟内个人用户访问或者使用就可以被纳入管辖的范围；第二，其确立了合法、公正、透明的核心原则，要求数据控制者要明确遵守；第三，着重保护数据权利主体明确的知情权与对数据的访问权、纠正权与删除权（被遗忘权）、反对权和自动化的个人决策权、权利限制4个部分的内容。以数据主体“知情—同意”为基本框架，建立了数据主体的访问、查询、更正、删除、反对、撤回、限制等个人数据保护的自决体系。与此同时赋予了数据控制者和使用者的义务责任。在发生数据泄露时明确规定其在72小时之内的报告义务；第四，严格相应的处罚措施，最高可以对平台公司开出全球营业额4% 的罚款。［3］

我国目前处于经济转型发展的重要时期，应当对数据产业保持开放而又审慎的态度。立足于三个矛盾层级将数据本身分类、分层管理，根据数据对国家安全和公共利益的影响程度不同将数据分为三个等级：重要核心数据、重要数据、普通数据。从宏观角度层面立足于国家安全和国家主权，扩大法律效力的使用域度，明确相应的域外数据管理法。在企业矛盾层面明确企业各方的权利义务，侧重法律效果的治理，充分发挥《反不正当竞争法》等现有法律的目的规制，明确数据使用主体的目的限制。在个人与企业之间矛盾层级中，对于个人数据的性质进行明确，进一步明确数据主体的权利，完善“知情—同意”的框架，破除数据认知和信息茧房。

五、结论

目前《数据安全法》的实施为我国数据安全监管和审查提供了新的框架，但是这部法律依然保持了我国法律立法宜粗不宜细的风格，在面对复杂的数据产业尤其是平台公司的合规性审查方面、数据分层、域外规制方面还有欠缺。如何在技术日新月异发展的今天，提高技术向善的企业意识，重点在于在产品和服务上守住底线，不越红线，探索创新，用技术提高商业效率，推动社会朝着便利化、科技化的方向发展。用户在享受科技发展红利的同时，也会为技术的商业应用、迭代升级赋能，从而形成数据企业与用户良性互动，数据产业朝气蓬勃的景象，需要更细化的法制规划。