国际数据治理的中国方案

数据驱动经济创新是人类社会发展的新引擎和新动能，是第四次工业革命的根本，数据成为各国争相抢占的基础和战略性资源。近年来，以欧美为代表的西方国家在数据治理方面政策频出，利用跨境数据流动治理规则对数据资源展开激烈争夺。我们亟须加紧全球数据治理规则体系研究，制定反映数据经济需求的个人信息保护和利用规则，改变被动局面，维护我国数据主权，引领大数据时代的个人信息保护和利用的国际规则。

一、数据治理的界定

1.  数据治理的提出

1992年，28位国际知名人士发起成立了联合国全球治理委员会（Commission on Global Governance），该委员会在1995年的报告中阐述了治理（Governance）的概念，认为“治理”是公共或私人的个体与组织处理其公共事务的多种方式的总和。数据治理（Data Governance, DG）也成为当前增长最快的学科之一。但是，现阶段的数据治理仍存在混淆和割裂，对其更多强调资源属性，而较少关注社会属性。实际上，数据治理的内涵已经从技术层面的数据管理，扩充至非技术层面的信息和知识的管理乃至公共治理的法律层面。

2.  数据治理的内涵

从微观角度，数据治理是指个体的数据管理，即对数据的实用性、可用性、完整性和安全性的整体管理。从中观角度，数据治理是指公共治理，即区域和国家对其主权范围内的数据质量、权属、流动机制等方面的宏观管理。从宏观角度，数据治理是指全球治理，即在大数据时代，以国家、国际组织、多利益攸关方等为主体，对数据权利、流通、管理等方面的治理。

3.  数据治理的一般模式

目前，政府、学界和产业界都在研究和探索数据的保护模式，但迄今还没有定论。由于治理手段往往表现为法律制度形式，从法律的视角出发，可以归纳为以下三种模式：一是人格权保护模式，即通过法律（一般是民法）规定人格权的各项权能，或者通过司法保护途径将个人数据与人格利益建立起强相关，通过对人格利益的保护客观上达到数据治理的效果。欧盟和美国传统的法律都采取这一模式；二是财产权保护模式，主要针对企业数据而言，即在立法和司法上承认数据的财产权属性，并在专属权和利用权等权能方面建立起类似企业经营权的财产权保护法律机制；三是数据产权保护模式，这是一种基于数字经济的新经济现象的观察在法律理论上的创新思路，即承认数据既具有人格权属性也具有财产权属性，在理解上可以认为是类似知识产权的一种法律机制。是国际数据治理“中国方案” 的努力方向。

二、全球数据治理规则

此前美国大选中，一家具有俄罗斯背景的数据分析公司通过Facebook获取了5000万美国用户信息用于预测美国大选，在一定程度上对特朗普当选做出了重大贡献。个人隐私数据的泄露和滥用，已经不再局限于敲诈勒索、信用卡盗刷等个人财产和人身安全问题，更能影响政治生态、舆论形态，扰乱社会秩序，对国家安全和社会稳定造成重大影响。从棱镜门、Facebook数据泄漏等事件发生以后，美国加大个人信息保护力度，利用《澄清境外数据的合法使用法案》（以下简称CLOUD法案）等法律和规则扩大执法机构的证据获取途径，加强企业自律行为。欧盟则是发挥政府的作用，通过《通用数据保护条例》（以下简称GDPR）的严苛条例来规定个人数据的获取、使用、传输等保护措施，强制要求企业更改自身数据使用方案以达到合规。

1.  欧盟利用数据治理规则建立“朋友圈”

欧洲的个人信息保护起源于传统隐私保护，发展至今先后经历了1991年《数据保护指令》、1995年《数据保护指令》两个阶段。GDPR最初在2012年1月由欧盟委员会发布草案，在2016年5月正式由欧盟官方宣布通过，并于2018年5月GDPR在欧盟成员国正式生效，成为当前全球影响力最大、威慑力最强的数据隐私保护体系。

欧盟将个人隐私保护视为人权的一部分加以重视，支持“充分保护”条件下的个人信息跨境流动。一方面，欧盟通过GDPR建立了严格的数据保护机制。

• 一是利用长臂管辖进行域外惩罚。即使在欧盟没有经营实体，但在提供产品或服务过程中处理了欧盟境内的个人数据，或对其数据实施了监控行为，相关企业都要接受GDPR管辖；
  
  
• 二是创设新的数据权利，赋予了数据主体可转移权、可删除权、“同意”权，提升企业合规成本；
  
  
• 三是推升了天价罚款和歧视性执法风险。对于严重违规行为，行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%（以较高者为准）。
  
  
  

另一方面，由于缺乏实施细则、技术标准等执法细节，GDPR为欧盟委员会及各监管机构留有较大“选择性、歧视性”执法余地，极有可能成为欧盟对各国进行牵制的新型贸易工具。

2.  美国利用数据治理规则巩固领导地位

2018年6月，在欧盟GDPR正式生效一个月后，大洋彼岸的美国加利福尼亚州紧随其后，通过了一项旨在加强消费者隐私权和数据安全保护的法案，即《2018加利福尼亚消费者隐私法》（California Consumer PrivacyAct of 2018，简称CCPA）。美国相关媒体分析指出，CCPA与GDPR内容和目的类似，如果说GDPR被称为欧盟“史上最严”的数据保护法，那么CCPA则是全美最严厉的隐私保护立法。

与欧盟长达数年的个人数据保护立法改革不同的是，仅仅在一年四个月后，加州的隐私保护立法就获得了通过。CCPA的快速制定和通过除了受到欧盟GDPR正式实施的影响外，也与加州的法律传统、科技互联网产业发展以及近年来数据泄露安全事件频发紧密相关。此前，美国就有：《儿童网络隐私保护法》，规定面向孩童的网站和线上服务在收集未满13岁孩童的个人信息时，须取得其父母同意；《有效保护隐私权自律规范》要求美国网站从业者必须制定保护网络上个人资料与隐私权的自律公约。

美国数字产业发展全球领先。为充分发挥数字贸易在促进创新和就业方面的重要作用，美国鼓励跨境数据流自由流动，并依托强大的数字产业基础扩展其数据主权。一方面，长期致力于在全球范围内消除跨境数据流自由流动障碍。美国极力推行亚太经合组织（APEC）的“跨境隐私保护规则”（CBPR）体系，其实质是强制各加入国家放弃个人隐私数据的本地化储存和严格的保护，方便美国企  获取和使用全球数据。目前，墨西哥、日本、加拿大等8个经济体已陆续加入。另一方面，通过CLOUD法案获取国外数据。CLOUD法案采用“实际控制标准”代替“数据存储地标准”，只要数据到了美国企业、外国企业在美分支机构等与美国相关的数据控制者手中，美国政府部门就能够通过法律程序直接调取存储在境外的数据。可以说，美国企业在全球互联网行业有多大的市场份额，扩展到多少国家，美国的数据主权就扩展到哪里。

3.  其他国家从属制定数据治理相关规则

世界各国纷纷完善本国数据治理规则。俄罗斯是典型的以保障国家安全为首要考虑因素的国家。2013年斯诺登揭露了美国全球监控计划，出于本国安全的担忧，俄罗斯逐步加强网络监控和强化数据跨境流动管理，基本确立了数据本地存储的基本规则。除此之外，其他国家均以欧盟、美国治理体系为蓝本，完善本国制度，鲜有国家提出新的治理方案。例如，英国为配合欧盟实施GDPR，并在脱欧后保持与欧盟的数据贸易，出台了新的《数据保护法案》，采纳了许多GDPR的核心理念。日本不仅按照APEC隐私框架和CBPR条例对本国《个人信息保护法》进行了修订，还积极完善自身的隐私保护规则，并通过了GDPR的“充足保护”认定，成为从欧盟获得保护充足性认定的首个亚洲国家。

  

三、我国数据治理之路

2018年10月26日，十三届全国人大常委会第六次会议表决通过的《国际刑事司法协助法》正式施行，填补了我国刑事司法协助国界合作的法律空白，明确规定我国按照“平等互惠原”开展国际刑事司法协助。但面对美、欧长臂管辖规定，我国尚缺乏系统、有效的反制措施。

1.  我国数据治理立法现状

国际社会自从上世纪七十年代开始建立个人信息保护制度，至今已有近五十年的历史，但直到进入本世纪之后，我国才开始考虑建立个人信息保护制度。2012年，全国人大常委会《关于加强网络信息保护的决定》开启了个人信息保护的法律化之路。我国个人信息保护立法明显呈现出分散立法的趋势。初步统计有近40部法律、30余部法规、200多部规章涉及到个人信息保护问题。例如，《刑法》、《消费者权益保护法》、《网络安全法》、《电子商务法》等法律均涉及个人信息保护。

然而，法律条款过于分散、缺乏统一操作标准，不能适应大数据产业发展的需要，尚存在因个人信息泄露而危害国家安全的风险，数据治理体系尚不够完善。例如，我国《网络安全法》中有关数据本地化要求，只能保证我国执法机关调取数据的便利性，并不能防止我国数据被别国政府机构调取。对于CLOUD法案中允许美国通过跨国企业获取中国境内用户数据的行为，我国尚没有合适的应对方案。此外，我国也尚未制定国内执法部门合法调取境外数据的规则。

2.  我国数据主权治理方案

现阶段，我国的社会治理体系采取了中国特色社会主义社会治理体制，即以国家治理为主，社会自治为辅，全民共同参与的模式。依法治国是我国的基本方略，加强数据治理立法是全面推进行业依法治理的重要组成部分。习主席总书记在中共中央政治局第二次集体学习时强调，“要加强国际数据治理政策储备和治理规则研究，提出中国方案”。我们应充分利用我国的数据规模优势，加快建设我国的数据治理规则体系，利用我国庞大市场的优势，从制度、法律、规则角度采取反制措施，有效应对外国政府对我国数据的肆意调取。

习主席总书记在第二届世界互联网大会上向全世界发出构建“网络空间命运共同体”的倡议，提出了网络空间全球治理的中国方案。数据主权保护是网络空间治理的关键因素，数据主权是对网络主权概念的延伸。在网络一体化的趋势中，数据主权给予了国家自主管辖、控制本国数据传播、流通的绝对权力。网络主权和数据主权关系到国家安全、经济发展和社会稳定的根本，应加快从法律上确立我国网络主权和数据主权地位，在法律框架下行使数据主权，保护我国国家安全和数据安全。

3. 《个人信息保护法》的立法工作

2018年9月10日，中国人大网公布《十三届全国人大常委会立法规划》，69件法律草案列入第一类项目，即条件比较成熟、任期内拟提请审议。其中，个人信息保护法是第61个项目，这就标志着个人信息保护即将迎来系统的法律规定保护。

早在2003年，《个人信息保护法》专家建议稿就开始起草，并于2005年递交相关部门，但由于隐私权的保护问题而迟滞。终于，在2019年12月20日，全国人大常委会法工委发言人表示中国明年将制定个人信息保护法、数据安全法等。个人信息保护法将结束我国长期缺失的专门针对个人数据/信息治理立法的局面。

四、结论

当前，随着数据要素的重要性不断凸显，以美欧为代表的发达国家正在积极构建数据治理规则体系，针对数据资产进行“跑马圈地”。欧盟《通用般数据保护条例》、美国《澄清境外数据合法使用法案》等相继生效或出台，并都通过“长臂管辖”将执法权延伸至世界其他国家，对我国网络主权和数据主权形成了巨大挑战。宜进一步明确符合我国利益的数据治理规则，完善治理体系，把握数字经济时代国际话语权。

参考文献：

[1]  “史上最严”数据保护条例GDPR生效[J].医学信息学杂志, 2018,39(05): 94.

[2]  洪延青.美国快速通过CLOUD法案明确数据主权战略[J]. 中国信息安全,2018(04):33-35.

[3]  魏书音.CLOUD 法案隐含美国数据霸权图谋[J]. 中国信息安全, 2018(04): 43-45.

[4]习主席：实施国家大数据战略加快建设数字中国.

中国共产党员网[EB/OL].http://cpc.people.com.cn/n1/2017/1209/c64094-29696290.html.

作者：转身

来源：量观网络