讲义查看

数字中国背景下的数据保护

显示模式：清爽模式字体：大中小打印

数字中国背景下的数据保护

主讲：尹巧蕊

▪ 目录

一、数据的基本内涵

二、数据保护应有的双核定位

三、数字保护的欧美模式

四、智慧中国的数据保护新路径

数字时代来临，值得深思的是：在18世纪，人本主义从以神为中心的世界观走向以人为中心，把神推到一旁。而在21世纪，数据主义则可能从以人为中心走向以数据为中心，把人推到一边。

　　　　　　　　　　　　　　　　　　　　　　——尤瓦尔·赫拉利《未来简史》

数字世界充斥着海量数据分析，数据化是社会最主要的特征。数据成为了数字时代最重要、最有价值的新型生产要素，即权威观点认为世界上最重要的资源已不再是石油而是数据。

数据主义在推崇数据流量最大化、信息自由是至善的狂热中异化为“数本主义”，数本主义迷信“数据至上”则存在吞噬人的主体性、数据自由、人本价值等隐患，放大“数据利维坦”、“信息霸权”、“科技反噬”等。

案例

　数据滥用与安全隐患的“野蛮生长”

1.2018年8月中国消费者协会发布《APP 个人信息泄露情况调查报告》显示，遭遇过个人信息泄露情况的人数占比为 85.2%，没有遇到过的仅占 14.8%；

2.2018年，“数据堂”员工侵犯公民个人信息案；

3.2019年9月，北京青年报报道网络商城公开售卖17万“人脸数据”事件；

4．雅诗兰黛4.4亿用户数据泄露及遭遇网络安全事件；

5．特斯拉公布车主行车数据事件引发争议与质疑；

一、数据的基本内涵

（一）个人信息、隐私、数据之间的关系

2020 年《民法典》规定自然人享有隐私权，隐私权需受到保护，强调隐私权一方面是公民的私人生活安宁，另一方面指不愿被他人所知晓的私密空间、私密活动以及私密信息；

个人信息强调的是“识别”，即信息能否识别出个人；

数据强调的是“匿名化”即经过加工无法识别特定个人且不能复原；

《民法典》在人格权编下对隐私权和个人信息权益进行专章规定，而在财产权编里对数据权益以无形财产权进行规定。个人信息、数据在《民法典》中并没有上升为权利，而是需要保护的权益。

1.概念内涵不同

注意：

（1）数据与信息的关系

数据是一种记录与应用形式，信息是一种直接传递给人的表现形式；数据是记录信息的介质，单个数据并不涵盖某一特定信息，需要进行有效组合与处理后才产生了可视化的信息；信息是不能直接被计算机存储也无法进行识别、传输或利用的，须要将其转换成数据才能做进一步处理。因此，数据是信息的载体，信息是数据的内容。

（2）数据在数字信息科技发展中的重要价值

数据是信息、知识与智慧的基础，缺少足够的数据是无法形成知识与信息的。同时，没有数据对于整个数字系统的支撑，数字科技的可视化信息就不复存在，数字科技的智慧技术也就荡然无存。

2.权能保护范围不同

3.侵权归责原则不同

（二）数据的特征

（三）数据的基本分类

1．数据的收集渠道

个人数据

概念：多是从消费者、用户等个人主体处收集的个人信息。

合法性基础：数据主体的知情同意

【依据】

《民法典》第1035条处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

《网络安全法》第41条　网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

《消费者权益保护法》第29条　经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。

在个人数据权益中，知情同意是司法实践的首要利益。因为对个人进行告知，赋予个人选择权，这不仅包含着对个人人格的尊重，同时使得个人能够在一定程度上防范和预期相关的风险。

案例

　我国首例大数据不正当竞争纠纷案：微博诉脉脉抓取信息

此案中，法院提出“三重授权原则”。第一“用户授权”指用户同意微博可以收集用户数据；第二“平台授权”强调微博同意脉脉的数据抓取行为；第三“用户授权”指用户同意微博将数据共享给脉脉，法院认为只有同时满足这三重授权，微博的数据才能合法地共享给脉脉。

商业数据

概念：主要指各大互联网企业在生产经营活动中产生和经营的数据，例如与企业经营活动相关的产品数据、经营数据以及研究数据等。

注意：数据控制者、数据处理者对于生产经营过程中收集的商业数据具有合理使用的权益。数据时代，数据保护和数据流动的平衡是数据法的核心问题。若给予数据主体绝对权的保护，可能导致数据无法产生“数据池”的集合性价值，甚或出现“反公地悲剧”。数据产业的健康发展离不开个人信息的保护，但也应该妥当平衡数据流通与个人信息之间的关系。

案例

　对比“淘宝诉美景公司大数据产品不正当竞争案”与“腾讯诉群控软件案”的司法实践，都接受了对数据资源或产品“享有竞争性财产权益”的保护。

公共数据

2．数据的重要程度

重要数据

即指一旦被泄露可能影响到国家安全、经济安全、社会稳定、公共健康和公共安全的数据。比如：未曾公开的政府信息、有关于人口和基因健康的数据或关于地理矿藏资源等数据。

敏感数据

多指一旦被泄露或被滥用可能危害数据主体的人身和财产安全，容易导致数据主体的个人名誉、身心健康以及财产受到损害的数据，或者被非法提供后导致歧视性待遇的个人信息。例如：银行账号、通讯记录、征信信息、健康生理、政治面貌、工资收入、婚姻状态等信息。

注意：

敏感数据不同于重要数据，敏感数据的主体是个人，而重要数据的主体是国家，是从整体利益角度出发界定的重要数据。

个人数据与非个人数据

个人数据与人格权、隐私权相关，在数据收集的过程中强调数据主体的知情同意是合法性基础。

非个人数据更加强调的数据的财产属性，《民法典》将非个人数据与虚拟财产作出规定，非个人数据的本质是企业的财产，如工业数据。

二、数据保护应有的双核定位

案例

　人脸识别技术应用中的数据权益及侵害风险

1.人脸识别技术异化为现代“刺黥”？

2.我国“人脸识别第一案”：我的脸给不给，到底谁说了算？

3.“查头”“过脸”助推黑灰产业甚或直接犯罪？

（一）自然人主体性与关系间平等化的数据基本权益保护

（二）数据开放与自由流动的利益保护

背景及变化

在欧洲，数据保护最早的设立目的并非用来保护基本人权,而是为了实现欧盟市场的一体化，强调的是数据的自由流动。到上个世纪末以前，数据保护在欧盟都是单核的。欧盟数据保护的法律基础是关于经济发展而不是法律保护。欧盟数据的单核保护一直持续到 21 世纪初，直到2007 年里斯本协议通过明确规定欧盟可以制定数据保护相关的立法，所谓的“双核”保护才正式启动。在此之前，数据保护的权益问题是经济保护的一个副产品，是实现数据自由流动的一个手段。

1.保护公共利益适度克减个人数据权利

在我国，《民法典》第1036条【处理个人信息免责事由】处理个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施的行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条

网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。但下列情形除外：

（一）经自然人书面同意且在约定范围内公开；

（二）为促进社会公共利益且在必要范围内；

（三）学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人；

（四）自然人自行在网络上公开的信息或者其他已合法公开的个人信息；

（五）以合法渠道获取的个人信息；

（六）法律或者行政法规另有规定。

网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息，或者公开该信息侵害权利人值得保护的重大利益，权利人请求网络用户或者网络服务提供者承担侵权责任的，人民法院应予支持。

国家机关行使职权公开个人信息的，不适用本条规定。

欧盟，自2018年实施的《通用数据保护条例》(General Data Protection Regulation，简称GDPR)中，有专门规定解决公共卫生危机及有关处理个人数据的条款，如第6条规定，当数据主体或者其他自然人的合法利益受到侵害的时候，政府部门为了保护公共利益，未经同意处理个人数据的行为是合法的。

美国，在《健康保险可携带与责任法案隐私权规则》（HIPAA）中规定出于公共目的和“防止严重和迫在眉睫的威胁”允许公开健康信息。

2.数据控制者、处理者合理使用的重要权益

数据权利保护和数据流动的平衡是数据法治的核心问题

在我国，《数据安全法》的第21条　国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。

此外，《民法典》也已将隐私权、个人信息和数据进行了区分，使得未来数据流动的空间越来越大。

数据本身并非对世的排他性而是具有多元性，在一个数据上可以同时开放多个权限给多个用户。

在欧盟，GDPR 中使用数据主体、数据控制者、数据处理者的概念。其中，第1条第1款中指出条例的目的，旨在确立个人数据处理中的自然人保护和数据自由流通的规范，并且在第3条中提出个人数据要以流通为原则，不流通为例外。

此外，为保障个人数据的自由流动，欧盟出台《非个人数据自由流动条款》区分不涉及个人信息的非个人信息数据，进而保障数据在欧盟里的自由流动。

知情同意是个人信息收集和使用的合法性基础和前提，但也需受到目的原则与必要原则的限制。

如：个人信息是复合权益，既承载信息主体的利益，也附着信息使用者、处理者的利益。就政府机构，在流调和追踪过程中收集和产生的大量数据是公共卫生病理分析或研制疫苗等科研活动的基本素材。海量、融合的数据在疫情溯源和监测、分析疫情与支撑态势研判、防控部署起到积极作用。若个人信息经过匿名化和脱敏处理后，或得到数据主体同意授权，出于保护公共健康、安全，维护社会稳定，这些信息被信息控制者及信息处理者收集和使用是合法的。

三、数据保护的欧美模式

数字化的强劲推动全球数据相关立法的活跃。

世界各国对于数据保护的强度都不同，关于隐私保护最强的经济体是欧盟和加拿大。相比而言，美国、中国、印度、巴西目前的隐私保护力度不强。

各国对于数据本土化的要求也不同，目前中国、俄罗斯对于数据本地化存储的要求较高。

由此，各国由于经济、政治、社会和文化的不同，对于数据权利保护的模式各不相同。

欧盟模式

启蒙理念下的欧盟模式主要是以“基本权利”为基础的治理模式,“统一立法”是欧盟的主导数据立法模式，域外执行模式以“长臂管辖”为重点。

1．法理基础

十七世纪中后期到十八世纪的欧洲启蒙运动提出了自由、平等、人权等价值理念。其中，卢梭对于在文明社会里如何维护个人自由的限度提出两个基本指向：一方面是对于人想做的事情有做的权利，另一方面是对于人不想做的事情没有被强迫的义务。

2．立法理念的形成

欧洲近代政府调查和社会调查发展较早，最开始政府收集数据的主要目的是人口普查。1983 年，德国宪法法院关于“信息自决权”的案例是关于 1982 年德国颁布的《人口普查法》，之后才将数据用于他用，但数据权利保护的理念自此开始树立。

第二次世界大战期间，欧洲收集详细和完整的个人信息曾经被法西斯和纳粹利用，使得犹太人和反纳粹人士遭到迫害，这样的历史背景导致很多欧洲人认为收集个人数据会被滥用的危险。

所以，欧盟在构建统一数字市场时，秉持平衡立法理念，表现在制定《一般数据保护条例》和《非个人数据在欧盟境内自由流动框架条例》，希望在“数据权利保护”与“数据自由流通”之间进行权益平衡。

3．“统一立法”为主导的立法模式

欧盟数据保护的立法主要包括三个层面：成员国法层面、欧盟法层面、人权法层面。欧洲 60—80 年代的文献中出现了“数据库”的概念，从“数据库”的兴起到数据保护规则的形成经历漫长的过程。

（1）成员国法层面的立法

欧盟的数据立法是从欧盟各成员国法内部立法层面开始的。

1970 年，世界上第一部数据保护法是德国黑森州制定的《黑森州数据法》；1973 年，瑞典颁布了世界上第一部国家级的数据保护法《瑞典数据法》。之后，欧洲成员国相继颁布类似法案。

（2）欧盟法层面的立法

为统一各成员国之间关于数据的立法，第一部欧盟层面的数据保护法诞生于 1995 年，即欧盟理事会通过《有关个人数据处理中的个人保护和所涉数据自由流通的第 95/46/EC 号指令》（欧盟1995 年《数据保护指令》）。欧盟要求成员国都应该制定国内的数据保护法，并且应将《数据保护指令》的全部要素囊括其中。这个指令对于欧盟数据保护提供了法律雏形，欧盟法层面的数据保护统一法律框架因此建立起来。

案例

　欧盟“被遗忘权”第一案：冈萨雷斯案

【诉求争议与救济援引】

1．西班牙数据保护监管局驳回针对《先锋报》的投诉，理由是出版这些信息是西班牙劳动与社会事务部为尽可能通知竞拍者而授权其广泛宣传的合法行为。但是，却支持针对谷歌西班牙分部和谷歌公司的投诉，要求它们删除这些链接。

2．谷歌西班牙分部和谷歌公司分别向西班牙高等法院提起诉讼，法院认为本案的争议焦点涉及到对95年《数据保护指令》的解释，于是决定中止审理并将该案提交给欧盟法院待为裁定。

3．2014年5月，欧洲法院作出裁决，确认互联网搜索引擎提供商，作为“数据控制者”负有删除“不充分、无关或不再相关的、超出数据处理目的”的个人数据的法定义务，否则将侵犯作为“数据主体”公民的“被遗忘权”（right to be forgotten）。由此，公民被遗忘权在世界首次得到司法的正式确认。

目前最有影响力的全球第一部跨国统一数据法GDPR的诞生：

2012 年欧盟理事会发布了“GDPR 建议稿”；2014年欧洲议会形成了“GDPR 草案”；2016 年欧盟通过 GDPR 正式稿；2018 年 5 月25 日，GDPR 正式生效适用于欧盟全体成员国。但 GDPR 只是欧盟关于数据保护谱系中的一员，除此之外，欧盟法层面还有很多关于数据保护的特别法。此外，还出台GDPR配套指南和报告。

2020年2月，欧盟出台构建未来欧盟数据战略蓝图《欧盟数据战略》；同年11 月，根据《欧盟数据战略》中的第一项发布了《欧盟数据治理法》，主要目的在于促进欧盟及各成员国之间的数据共享，发挥数据的经济和社会价值。

2020年2月，欧盟出台构建未来欧盟数据战略蓝图《欧盟数据战略》。为了促进欧洲数字经济的发展，欧盟致力于数据的双核保护。在保护数据权利的基础上推动数据的自由流动和广泛使用，希望克服欧盟成员国数据碎片化的问题，建立单一的数据市场，构建数据保护法律体系，确保在新一轮的数字革命中占据领先地位。《欧盟数据战略》通过四项核心战略推动数据治理：其一，构建数据获取、访问的内部统一治理框架。其二，加大对数据领域的投资。其三，赋予公民个人数据权利。其四，建立欧洲共同数据空间。

同年11月，根据《欧盟数据战略》发布了《欧盟数据治理法》，主要目的在于促进欧盟及各成员国之间的数据共享，发挥数据的经济和社会价值。12月，欧盟又发布了《数字服务法》、《数字市场法》两部草案。

《欧盟数据治理法》核心内容框架：

其一，公共行政数据的使用。规定公共数据再利用机制以解决数据孤岛、数据鸿沟的问题。但对于公共行政数据侵犯公民自由、隐私、安全的问题需要关注。

其二，数据共享服务提供者的通知制度。法案对中介机构规定了通知义务，并引起信托义务的相关讨论。旨在增加公民、企业对数据的信任度，确保数据中介机构“中立”、“透明”的态度，促进公民和企业的数据共享。

其三，构建数据利他主义制度。数据利他主义制度指个人或企业，出于科学研究或公益服务等公益目的，以自愿或免费的方式提供数据以供数据的再利用，法案对数据利他主义设立了相关的标准，确保共享数据的一致性，以更好地促进自愿共享数据的流动、使用。

欧盟公布《数字服务法》、《数字市场法》这两部数字法案是近 20 年来对数字服务法规做出的最大范围修改。这两部法律草案都旨在促进《欧洲数据战略》中提到的欧洲数字单一市场的建立，但侧重点各有不同。　

《数字服务法》处理的是消费者与平台之间的关系，规制在线平台的责任承担与责任分配以保护消费者的基本权利，特别对平台企业的处理、审查、删除信息进行了相关规定，并对“超大”平台设置了最严格责任。

《数字市场法》关注的是欧盟成员国内部的不公平竞争问题，认为苹果、谷歌、脸书等互联网巨头企业平台已成为数字市场的“守门人”，为确保数字市场的公平竞争环境、防止大型互联网企业实施的不正当竞争和垄断行为，规制“守门人”不合理的商业行为，对互联网平台企业进行强监管、设置了高额的处罚，以保障欧盟数字市场的有序性和开放性。

2021年4月21日，欧盟发布《关于人工智能的统一规则（人工智能法）并修正某些联合立法行为》的提案，被称为最严人工智能监管的法律框架。违反《人工智能法》相关规定的，会受到警告、下架产品、罚款高达全球年销售额6%。

将人工智能技术的风险分为四个等级：

其一，不可接受的风险；

其二，高风险——需要进行全生命周期的审查。提案将生物识别系统划定为高风险的人工智能技术，原则上禁止使用但也规定了豁免条款。

其三，有限风险——强调特定透明度义务及保障用户选择权。　

其四，极小风险。

4．“基本权利”为基础的治理模式

以人权高度及天价罚款树立起保护个人数据权利的最高标准，数据权利融入在数据的全生命周期中。

5 .“长臂管辖”为重点的域外执行模式

（1）特点：打破传统管辖原则，通过将与数据主体相关的数据行为纳入到 GDPR 规定范围中的方式扩大管辖的范围。

（2）三个核心范畴：第一是企业是否在欧盟境内设立了实体机构；第二是企业是否有为欧洲的居民提供某种产品或者服务；第三是是否存在监测欧洲居民的行为。

（3）影响：数据权利保护以高标准、严要求著称，但“长臂管辖”使得其他国家在欧洲开展业务承担更高的合规成本，且更有利于头部企业发展却同时削弱中小企业；投诉门槛过低，监管机构不堪重负；自由言论和表达变得沉默，并未创造更多网络信任；为身份盗窃及在线欺诈创造更有利的条件，增加网络安全风险；抑制新技术的创新和研发。

美国模式　　　

1.法理基础：在自由理念的引导下数据立法呈现出不同于欧盟的立法特点。如：美国的“分行业式”为主的分散立法模式，在联邦层面包括电信、金融、健康、教育及儿童在线隐私、就业等相关的数据保护立法，并强调以“自由式市场”为核心，体现美国在保护个人数据主体的权利基础上，侧重于促进数据共享流动与数据的商业利用价值。

2.历程：从《信息自由法》规定政府机关的文件可公开到《阳光政府法》提出政府机关的会议必须公开再到《电子信息自由法》强调计算机内的数据也需要公开的规定，可以看出美国为了保护公民的信息自由权做出的努力。

3.立法范畴：美国数据保护主要包括数据隐私领域及数据安全领域的分别立法。

4.特点：注重数据保护的程序优先与效率价值

如：典型制度 ——“改正期”窗口的规制模式

“改正期制度”指对于违反个人信息保护法律的行为，原告（总检查长或私人）首先需要向企业发出不合规的通知，若企业在收到通知之后的 30 天内做出了相关的整改，原告就不得再提起诉讼。不仅在行政罚款也在私人诉讼中规定了改正期制度。　　

再如：2019 年关于消费者隐私保护的执法案例中采取“和解”方式，在一定程度上避免滥诉的发生。

案例

　2019 年 7 月剑桥公司丑闻与 Facebook 达成和解，创下了 FTC （美国数据保护领域最重要的执法机构）最高记录的 50 亿美元“罚单”。

5.美国模式的优势与局限

优势：促进数据的市场流动价值；高效的救济渠道；弹性灵活的治理策略

局限：协调联邦立法与州立法的关系问题；执法机构之间的协调，美国目前有多个联邦机构在承担数据执法工作，如FTC、金融消费者保护局、联邦通信委员会、卫生部等；诉讼的举证问题；规制的针对性有余却系统性、全面性欠缺，分行业型的立法体系仅对特定行业、特定类型的数据以及不公平或有欺诈性质的数据活动进行规制。

美国个人数据保护与欧盟模式的差异对比

四、智慧中国的数据保护新路径

（一）我国数据权利体系的现状

1.《网络安全法》《民法典》都规定数据主体的知情同意是数据收集的合法性基础。

《网络安全法》

第41条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

第43条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；

以上是信息主体知情同意权的体现，知情同意权包括：一是同意、拒绝权；二是查阅、复制权；三是请求更正权与删除权。

注意：

删除权不同于被遗忘权。目前我国没有规定数据主体享有被遗忘权。

案例

　“被遗忘权”在中国的法律争议——2015年“任甲玉诉百度搜索案”

欧盟，在 2012年出台GDPR中明确提到“被遗忘权”，2014年3月再次修正GDPR时将“被遗忘和删除的权利”精简为“删除权”。2014年5月在“冈萨雷斯诉谷歌案”中，欧盟法院在世界上第一次以判例的形式确立了“被遗忘权”。

美国并没有正式地把“被遗忘权”以法定权利的形式确立下来，只是有一个“橡皮擦规则”。

那么，我国是否应对“被遗忘权”进行法律移植或者本土化呢？

案例

　日本在刑事犯罪记录上适用被遗忘权的例外

2015年因嫖宿幼女而入刑男子起诉谷歌公司案件，初审的埼玉县地方法院支持该男子主张，终审东京高等法院改判谷歌胜诉。　

理由：删除犯罪记录不符合公共利益，而谷歌搜索结果体现言论自由，被遗忘权应遵循个案分析原则，须在个人名誉是否受损与公共利益如何维护之间进行权衡。

2.《个人信息保护法》第44条到第49条对个人信息保护的数据权利体系进行了规定。

第44条个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

第45条个人有权向个人信息处理者查阅、复制其个人信息；有本法第18条第1款、第35条规定情形的除外。

个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

第46条个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

第47条有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第48条个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第49条自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

（二）构建数据权利保护的新路径

1．确立新型的数据保护理念

（1）以相关关系取代因果关系理念

相关关系是两个数据值之间的数理关系，两者是正相关的关系。

相关关系强指当一个数据值增加时，另一个数据值很有可能也会随之增加；

相关关系弱指的是当一个数据值增加时，另一个数据值几乎不会发生变化，即没有相关性。

在相关关系中关注的是“是什么”而不是“为什么”，在数据时代中懂得“是什么”比知道“为什么”更加重要。

（2）强化数据权益平衡理念

利用利益衡量方法进行权益平衡的原因：基于数据的价值特性

利益衡量是常见的法律方法，其特征为：

一是强调在个案裁判中进行价值判断的方法；

二是一种以结果为取向的方法；

三是具有明显的妥协性；

四是判决合法、合理、合情是利益衡量追求的目标。

利益衡量的四层结构：当事人具体利益、群体利益、制度利益和公共利益。

对于数据的利益衡量原则：其一数据主体的知情同意是首要衡量原则；其二数据控制者、数据处理者合理使用数据的重要权益。

案例

　诉微信读书案宣判：自动关注、默认展示读书信息侵犯个人信息权益

北京互联网法院在“微信读书案”中对企业的数据经营权益和个人数据的隐私权益进行了权益平衡，强调平台对于收集的数据资源进行利用需要符合用户的“合理预期”，在跨平台使用数据的情况下需要获得用户的明确授权同意。

案例

　微博诉超级星饭团案

北京海淀法院在“超级星饭团案”中，将企业的平台数据区分为公开数据和非公开数据，并指出对于公开数据的使用企业需要有适度的容忍，平台对于非公开数据的经营权益则受到法律的保护。

运用比例原则进行数据权益保护

案例

　以疫情防控收集数据信息为例

应遵行：其一，不收集与疫情防控无关的个人数据及信息；其二，超出疫情防控必要范围的个人数据及信息应不予收集；其三，收集的个人信息的存储和管理不应超过必要的时限。

（3）基于法律理性与技术理性同构的数据保护理念

关于个人数据识别，如上海数据交易中心使用 XID 技术应对直接识别身份的问题、以数据流通的熔断技术解决共同识别身份的问题；

采用数控分离技术，对数据安全流通规范进行技术架构；

区块链被称为“无需信任”的信任构架

工信部在发布的《中国区块链技术和应用发展白皮书》中将区块链定位为：分布式数据存储、点对点传输、共识机制、加密算法等有关计算机技术的新型应用模式。即具有去中心化、去信任、可靠数据库、集体维护、同步透明、可溯源、不易篡改等特点。

采用隐私计算，即在参与方不泄露各自数据的前提下通过协作对数据进行联合机器学习和联合分析，解决数据孤岛、数据壁垒等相关问题。以“数据不动、算法动”的方式，保障个人信息安全与数据利用的价值实现。

2．建立数字时代的权利保护机制

（1）完善数据权利保护的法律体系

应协调好《个人信息保护法》与《突发事件应对法》、《传染病防治法》、《突发公共卫生事件应急条例》等法律法规涉及收集、使用、存储、公开、删除等关于个人数据及信息的全生命周期的保护。

（2）建立公共数据开放的机制体系

中央层面：《数据安全法》专章规定政务数据的安全与开放，即在保障政务数据安全的前提下推动政务数据的开放利用。

地方层面：

2019 年上海市公布《上海市公共数据开放暂行办法》对数据的开放主体、开放重点、分级分类、开放清单、数据质量以及数据获取方式的开放机制都进行了规定；

2020 年浙江省公布《浙江省公共安全数据开放与安全管理暂行办法》对公共数据开放的属性进行分类，分为禁止开放类、受限开放类以及无条件开放类；对公共数据开放主体的资格评估、审查进行规定。

2021 广东省印发《广东省首席数据官制度试点工作方案》，是全国首次提出建立首席数据官制度。

数据安全保护官——Data Protection Officer，简称DPO。

DPO承担着建立和管理企业的数据保护和数据合规的工作。

我国地方数据建章立制中的“首席数据官”的重要职责就是促进公共数据的共享开放与开发利用，首席数据官制度将通过试点单位先行先试，探索公共数据和社会数据的融合创新。

（3）兼容公法规制与私法保护的并构

数据具有双重属性，个人对数据拥有的权利与企业平台对数据拥有的权益需要进行私法上的权衡，不能因为保护自然人的权益而无限制的扩张自然人对个人数据的权利边界，从而妨碍数据的流动、分享和利用；也不能无视数据企业对其付出成本而合法地收集、存储和利用个人数据的权利。企业平台、技术公司与消费者之间掌握数据信息的不对称、数据鸿沟导致的算法歧视等威胁，仅仅依靠私法无法全面保护数据权利，需要采取公法规制与私法保护结合的多元平衡径路才能更好的保护数据权利促进数据流动。

（4）充分发挥企业自律管理机制

（5）强化行政处罚与刑事责任的外部化衔接

我国数据保护的主要处罚依据是《中华人民共和国消费者权益保护法》、《中华人民共和国网络安全法》、《中华人民共和国刑法》中的侵犯公民个人信息罪。

但是，关于数据权利保护太过于重视追究刑事责任，有违刑法的谦抑性，将不利于数据的自由流动及数据商用价值的发展。

借鉴行政和解协议。

完善相关行政法律法规，使相关数据保护的一般原则或基本规定得到具体化落实和保障性执行。

【结束语】

网络无边　　安全有道　　让数据多一份保障