海南璟荣律师事务所 马维秋

从2016年欧盟颁布《通用数据保护条例》（GDPR），到近年来国内出现等案件，人们开始逐渐认识到互联网时代的数据已经成为商家争夺的资源。数据是数字经济的关键要素，已经成为新时代的“石油”。

近年来，我国逐年加大了网络信息领域的立法力度，陆续颁布了《电子签名法》《网络安全法》《电子商务法》《数据安全法》等一系列的法律和规范性文件，对规范和监督网络信息安全、个人信息保护、数据有序流动等起到了积极的作用。2021年6月10日颁布实施的《中华人民共和国海南自由贸易港法》第二条、第四十二条及第五十五条共七处提及“数据”，明确了国家支持海南自由贸易港建立安全有序自由便利的数据流动管理制度，扩大数据领域的开放，探索实施区域性国际数据跨境流动制度安排。本文拟以此为背景，阐述海南自贸港数据流动合规管理等相关法律问题，以图为海南自贸港有序发展建言献策。

一、数据的法律属性

（一）数据的概念及内涵

根据《数据安全法》的前述规定，数据的内涵从法律规定文意解释的角度可以理解为：（1）数据是记录；（2）数据是对信息的记录；（3）数据包括电子方式对信息的记录，也包括其他方式对信息的记录。

笔者通过对《网络安全法》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《电信和互联网用户个人信息保护规定》等规范性文件的相关条文比较后发现，《数据安全法》虽然以寥寥数语对数据的概念进行了规定，但却从法律逻辑上解决了我国长期以来立法及司法过程中“信息”与“数据”不分甚至通用的局面，在网络信息领域立法进程中意义非凡。

（二）数据的法律属性

如前文所言，数据可以表现为电子形式，也可以表现为其他形式。在万物互联的时代，新基建驱动下的数据更多地是以电子形式呈现。目前为止，对数据，尤其电子数据的法律属性尚无定论。

目前对数据法律属性较为明确的规定是《民法典》第一百二十七条的规定，该条规定保留了原《民法总则》第一百二十七条的规定，将“（权利主体）对数据、虚拟财产的保护”列为民事权利。需指出的是，国内有的学者直接将“数据”理解为民法典规定的权利，这种理解有悖于民事权利的主体客体理论。笔者认为，数据本身没有生命，即便是人工智能技术可以让数据“活”起来；但数据作为权利指向的对象（权利客体）是不存在法学理论上的障碍的。欧盟GDPR开篇提到“自然人在个人数据处理方面获得保护是一项基本权利”，并将数据主体的相关权利明确为知情权、访问权、修正权、限制处理权、被遗忘权、可携带权和反对权七项权利。因此，我们认为，数据可能构成法律意义上的财产，但不能脱离主体性的“人”而自己成为一项权利。

二、数据流动的法律困境

（一）数据产权模糊不清

综观现行有关数据流动的规范性文件，我国目前对数据流动的立法已基本囊括数据的收集、存储、使用、加工、传输、提供、公开等数据全周期处理过程，也包括了数据交易、数据出海等新的数字经济形式。但目前几乎所有的规范性文件均未明确数据的权利主体，而互联网公司、用户之间对数据产权的纷争从未停止。一方面，互联网公司不认为数据产权有争议，他们认为：收集了就收集了，占有了就占有了，数据现在在谁手里，谁就拥有所有权、处分权和买卖权；数据是死的，利用是活得，他们的利用才是互联网的精髓，并因此创造了价值。而对于消费者而言，互联网公司收集了数据是事实，但关于它们要怎样使用数据，消费者要有知情权、决定权、收益权。数据产权的问题如果继续模糊不清，很可能成为新经济和新文明发展的瓶颈、障碍。

（二）违规收集个人信息屡禁不绝

以《电子商务法》《网络安全法》等主要法律依据，结合《App违法违规收集使用个人信息行为认定方法》等法律、法规、规章及其他规范性文件的规定，网络运营者进行数据收集边界包括：（1）收集方式是否合法，是否经过用户授权；（2）目的是否正当；（3）是否为必要信息，是否缺失该信息即不能完成交易；（4）信息收集方式及规则是否公开披露；（5）信息使用目的、方式及范围是否公开披露。

然而，作为时代先锋的互联网企业几乎无一例外地都有过不光彩违规收集个人信息的“黑历史”。

（三）数据控制者的法律责任边界模糊

从数据安全的角度而言，《网络安全法》已相对具体地规定网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失；在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。但包括《网络安全法》在内的现行法律规定却对网络运营者对有关数据不当使用的责任的规定并不明晰。

数据控制者滥用数据控制权较为典型的情况是“精准推送”及“价格歧视”。消费者在平台上的购物信息被收集的初衷只是为了保障消费者的权益，但是后来该数据被用来计算消费者的购物喜好，并向消费者定向推送广告信息。虽然目前《电子商务法》对“个人特征选项推送”进行了限定，但这并不妨碍平台及商家将“个人特征选项”及共性选项一并推送的规避手段。而对大数据杀熟和算法合谋这类价格歧视行为，目前尚没有明确的规制措施。

近年来，关于数据收集、处理、使用中的算法黑洞问题，广受争议。自诞生以来，算法就以保护竞争性商业机密为由，一直在一个相对封闭的空间中生长，对所有消费者而言，他是一个黑盒子，除了开发它的公司和程序员，外人无从知晓黑盒子里面的运行机制。法律代表公平正义，这也意味着算法也要体现出公平正义的理念。在人工智能时代，“邪恶”的算法将成为人类社会的灾难。

（四）数据交易规则缺失

整体而言，我国的数据交易目前还处于摸索阶段，业界除了对应该加强个人数据和隐私保护、匿名化数据可以在不同主体之间流通、数据主体已经公开的数据可以使用、应该就加强政府数据和行业数据的开放等问题达成共识外，数据的权属问题、企业和平台的收益权问题均无有效解决方案。我国对大数据交易的规制起步较晚，目前对大数据交易、流通的规则、定价机制、风险管控及法律责任等规定基本处于空白状态。近年来，地方性数据交易平台大多以数字资产证券化的模式进行了探索，但多因交易规则缺失、缺乏合规管理而最终因步入非法吸收公众存款的深渊而等被司法机关或监管机关取缔。

在数据出海方面，中国企业2018年下半年——2020年上半年对外投资流量占据全球第二，在信息技术和软件服务领域上，直接对外投资比例持续增长，出海亚洲、中东、非洲整体趋势上扬。但因不同法域对数据收集、处理、使用等数据流动环节合规存在差异，跨境数据流动存在极大的跨法域合规问题。

三、海南自贸港数据流动的合规建议

（一）充分利用好立法授权，建立完善数据流动规则

《中华人民共和国海南自由贸易港法》规定，海南省人民代表大会及其常务委员会可以结合海南自由贸易港建设的具体情况和实际需要，遵循宪法规定和法律、行政法规的基本原则，就贸易、投资及相关管理活动制定法规，在海南自由贸易港范围内实施。

虽然我国近年来加大了网络信息领域的立法，有关电子签名、网络安全、电子商务、数据安全的法律已陆续颁布实施，个人信息保护法也在审议之中，但现有的法律体系对数据权属、数据定价、数据交易规则等缺乏界定。在遵循宪法及《民法典》《网络安全法》《电子商务法》《数据安全法》等法律的基本原则的前提下，海南自贸港有权通过授权立法的方式明确数据权属，将数据主体对与数据的占有、使用、收益、处分等相关的人身权益、财产权益的内容落到实处，逐步建立数据定价规则和数据交易规则。在权属、规则明确的情况下，数据流动才能有法可依。

（二）强化数据安全，以更高标准落实网络安全等级保护制度

中共中央、国务院《海南自由贸易港总体方案》要求，海南要制定实施有效措施，有针对性地防范化解数据流动风险，要重点保障关键信息基础设施和数据安全，健全网络安全保障体系，建立健全数据出境安全管理制度体系，健全数据流动风险管控措施。

在落实网络安全等级保护制度过程中，相关主管部门应加强网络安全认证、检测、风险评估等活动，除落实关键信息基础设施的运营的国家安全审查及保密协议制度外，还应进行高于《网络安全法》规定标准的风险评估、安全应急演练、安全信息共享。

（三）加强个人信息保护，建立数据合规综合治理体系

经过近30年的自主发展，今天的互联网开始强调秩序，所谓“互联网进入下半场”，其实是一种新的宣示，互联网将从对效率利润的追求，转到公平合理的制度设计上来，这是时代的必然。人类谋求的经济发展，曾对自然生态环境尝试采用先污染后治理的方式，已经让人类受到了足够教训，且在一定程度上也在影响着人的自然健康与生命存在。无论为谋求数据经济及人工智能的发展，对于数据、信息的利用有多么迫切，提出何等全面的正当性论证，但为了人类终极意义上的生存，对于关涉人之自由与尊严的隐私绝不能采用先自由后严加管理的方式。

在尊重和保护个人信息前提下收集的数据，才能长久有序流动。海南自贸港数据流动过程中，严格落实个人信息保护制度，应充分发挥企业自查自纠、行业监督指导、第三方合规评估、政府主管部门监督检查等多方共同参与的综合治理体系，避免出现违反必要、最小限度原则的违规收集个人信息事件发生。

（四）完善数据交易基础设施建设，确保数据安全有序流动

数据交易在数据的授权、收集、存储、处理、流通等环节中，都需要相应的技术基础设置作为支撑，让数据交易过程能够正常有效地进行。数据基础设施包括数据存储与处理技术、数据确权技术、数据通道与计量技术等。其中，数据存储与处理技术是数据交易的基础，只有进行了数据存储与处理，才能进行后续的数据交易；数据确权技术是数据交易的必要条件；数据通道与计量技术保证数据在传输过程中的安全性，保证数据交易能够顺利进行。

（五）借鉴域外算法透明原则，建立并完善物联网（IoT）、人工智能等领域算法评估机制

如前文所言，设计算法之始就应该包含尽可能完善的法律规则。近年来，公共政策委员会计算机协会（USACM）提出了可供参考借鉴的算法透明的七大原则，分别是：第一，意识原则，即算法系统的所有者、设计者、建设者、用户和其他利益相关者应该意识到他们在设计、实施和使用中可能存在的“偏见”，以及由此可能造成的潜在危害；第二，准入和补救原则，监管机构应该鼓励采用机制，对因算法决策而受到不利影响的个人和群体提出质疑和纠正；第三，问责原则，机构应该对其算法负责，即使机构不可能详细解释算法是如何产生结果的，仍需承担“无过错责任”；第四，透明原则，鼓励使用算法决策的系统和机构对算法遵循的过程及所做的具体决策给出解释；第五，数据来源原则，算法设计者应当对训练数据的来源进行说明，同时还要对人类算法数据收集过程中可能存在的偏差进行探索；第六，可审计性原则，即应记录模型、算法、数据和决策等数据，以便在可疑的情况下可以对他们进行审计；第七，验证和测试原则，即算法设计者应该使用严格的方法来验证他们的算法模型，记录这些方法和结果，并定期进行测试，以评估和确定该算法模型是否产生了歧视性损害，鼓励机构公开这些测试的结果。

数据的安全、有序、自由流动，既是海南自贸港建设的时代使命，也是法律赋予海南自贸港的数字经济动能。在中共中央、国务院的强力支持下，海南自贸港的数据安全有序流动必将得以实现。