數據時代需要清晰的法律制度框架。在框架中，個人信息應受到嚴密保護，但數據產業的發展也應擁有一個界面友好型的法律制度環境。二者如何協調和均衡，很大程度上取決于信息技術的進一步發展及多方主體參與的社會共治格局的形成

即使在最嚴格意義上，2017年也可以被稱為“數據之年”。

雖然此前很多人已經意識到，社會正在進入“數據為王”的時代，但只有經歷了物流平臺順豐與菜鳥之間的數據控制權之爭，華為與騰訊之間的用戶信息收集爭議，以及新浪微博與脈脈之間的數據利用司法訴訟后，才能真切體會到數據的確已成為企業的核心關切。

無獨有偶。2017年3月15日通過，并在10月1日正式施行的《民法總則》第127條，明確將“數據”作為一種受到法律保護的財產形態作出規定�！皵祿�資產”這一說法，也因此具有了法律文本基礎。

同年6月1日開始施行的《網絡安全法》第四章中針對個人信息規定了嚴密的保護體系，明顯強化對個人信息的保護。幾乎同一時間，最高人民法院與最高人民檢察院聯合發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下稱《解釋》），則強化運用刑事制裁的手段嚴厲打擊倒賣個人信息的行為，其入罪門檻之低，令數據產業震撼。

作為數據產業基礎的數據，多數依賴于對個人信息的收集和整理，因此產業鏈上的任何一種行為，都涉及個人信息保護問題。這一領域，合法與非法、商業創新與侵犯個人信息犯罪間的區別并不清晰。數據行業如同在刀鋒上行走的說法并不夸張。

法律的功能是對行為的規范與指引，數據時代到來，需要清晰的法律制度框架。在框架中，個人信息應受到嚴密保護，但數據產業的發展也應擁有一個界面友好型的法律制度環境。

二者是否可以兼得？如果有沖突，如何協調？中國的數據法制體系如何架構？

個人信息保護與數據制度應分開看待

從制度建構的內在邏輯看，個人信息保護的制度體系與數據相關的法律制度體系，二者之間雖有密切聯系，但分屬于不同制度體系，應分別建構。在《民法總則》的制度設計中予以體現�！睹穹�總則》第111條規定了個人信息民法保護制度的基本框架，同時在第127條將數據單獨予以規定。雖然第127條性質上是轉引性的規定，本身并沒有實質內容，但至少表明中國立法者注意到個人信息保護與數據的差異。而《網絡安全法》在第七章也分別界定了網絡數據與公民個人信息這兩個不同的立法概念。

當下，個人信息保護問題受到社會關注，但由于“信息”與“數據”兩個概念易被混用，導致與數據相關需要專門研究的法律問題，被掩蓋在個人信息保護下，整體被忽視。

但關于數據的法律規范，現實中仍有許多亟待解決的問題。具體看，作為具有重要商業價值的資產形態，數據的法律屬性是什么？數據是更類似“物”的一種有形的資產形態還是技術秘密或專利類的無形資產？對數據如何妥當地進行資產意義上的定價？數據的權屬變動是更多地采取授權許可模式，還是轉讓模式？如果是后者，在相關交易無效或被撤銷時，是否存在數據返還的救濟？某一個以數據作為其主要的、核心資產的數據公司，如果發生破產清算，對其擁有的相關數據資產應如何處理？為避免相關數據流失，或加入公共領域，是否會發生數據權利人的數據取回或請求銷毀問題？由于數據的可復制性，要回答以上問題并不簡單。

不僅在私法層面，公法、經濟法層面上，由于其特殊法律屬性，也會引發大量疑難問題。舉例看，在行政法層面，政府為行使其監管職能通常會向一些擁有數據的大型互聯網企業索取數據，而這些數據本身屬于企業的核心資產，一旦向第三方公開或披露，其商業價值會受顯著影響。

那么如何平衡政府對于數據的需求與私人主體的數據權益保護間的關系？在數據領域，我們能夠設想一種類似于征收或者征用的制度安排嗎？或者說，這是數據擁有人必須承擔的公法上的義務？

傳統反壟斷法中，對企業并購進行反壟斷審查時，主要的考慮對象是并購對于市場占有率等因素的影響。但在進入數據時代后，企業間的并購，更多目的在于整合各自擁有的數據資產，使之發生聚合反應，此效應應如何進行評估？法律體制中是否可能會產生一個新的與市場壟斷相平行的數據壟斷概念？這些問題都值得深入研究。

數據時代中，作為一種越來越重要的資產形態，由數據的控制和利用所引發的法律問題會增多，必須將此作為獨立于個人信息保護的問題進行研究分析。比如，新浪微博訴脈脈一案中所提出的問題也是API模式下，擁有源數據的平臺與基于開放平臺的應用程序開發者之間的數據權益分配問題，脈脈的行為之所以被法院認定為不正當競爭，也是因為超越通常所認可的授權范圍，侵犯了新浪微博的數據權益。

數據與個人信息的界線劃定

作為資產形態的數據與個人信息的界線如何劃定，很大程度取決于對個人信息法益內涵的準確界定。個人信息，法律上指能用來識別個人身份的信息。法律保護個人信息，并不是個人“擁有”這些信息——事實上我們很難接受“我擁有我的身份證號碼，我擁有我的家庭地址”之類說法——而是為保護個人的特定身份不被他人識別，免于可能發生的針對性詐騙、不當的廣告營銷或其他危害行為。從此意義上講，個人信息并非一種可以類比于數據的個人特殊資產。某個企業可以說其擁有數據，但個人不能說擁有個人信息，只能主張相關的個人信息法益受到法律保護。

此強調在當下具有重要意義。個人信息的保護模式，一直有一種大趨勢，試圖將個人信息類比于個人對自己擁有的物，繼而設計相應的法律保護規則，發展出所謂支配權、攜帶權、查詢權、刪除權等說法，并且在法律上試圖創造出內涵寬泛，具有強大支配性和排他性的個人信息權。

隨著《民法總則》的制定，此思路直接影響到對該法第111條的理解與法律適用。該條是關于個人信息保護的規定，從條文表述或體系解釋的角度看，都不能支持此種解釋思路。但仍然有不少學者試圖將這一條解讀為關于個人信息權的規定。

因根本上對個人信息法益內涵的錯誤理解，而造成對我國民法及個人信息法益保護模式的錯誤理解，對建構我國未來數據產業發展所需“界面友好型”的法律制度環境將產生消極影響。

《民法總則》第111條——該條文對中國未來的數據產業發展具有根本性的意義，值得深入研究——關于個人信息法益的保護，采取可以被稱為“具體行為規制”的思路，也就是國家會通過已制定或將制定的一系列法律法規，明確涉及個人信息的獲取、收集、使用、加工、傳輸、買賣、提供或者公開等諸多環節中應遵守的具體行為規范，一旦相關行為人違反相關的法律規范，并導致自然人的損失，需承擔相應的損害賠償責任。

換言之，在個人信息保護的問題上，國家立法為數據行業劃出紅線并明確相關產業應遵守的行為準則。除此外，則推定仍是自由的空間。在數據與個人信息保護的二者關系上采取這種區分方法，一方面不會影響自然人個人信息的法律保護，并為數據行業的發展留有預設空間，有利于促進我國數據產業的長遠發展。

但必須承認，此模式對國家進行個人信息方面的立法提出很高要求。如果相應的立法活動不能及時跟進，特別是個人信息保護法如不能及時制定，將會導致《民法總則》第111條外接不暢，侵犯個人信息的責任承擔上“行為違法性判斷”缺乏法律依據。就此而言，中國的個人信息保護立法，仍要加速推進。

數據產業與信息保護如何均衡發展

數據產業的發展與加強個人信息的保護，二者如何協調和均衡，很大程度上取決于信息技術的進一步發展及多方主體參與的社會共治格局的形成。由于信息技術的發展，導致個人信息泄露成為嚴重的社會問題。信息收集，在產生巨大的商業價值數據的同時，也使個人成為透明人。

要解決這一問題，還是要依賴于技術手段。比如，在可能涉及個人信息泄露的環節，采取技術化的匿名，使得系統可以識別，但行為人不能獲取個人信息，就可避免信息泄露問題。此方法已經在一些打車呼叫軟件中得到運用，有效解決司機對乘車人的手機號碼等個人信息的獲取或泄露的風險，這類技術也可擴展用于如物流、酒店、服務業等其他行業。

對于數據公司內部人員可能存在的泄露個人信息的問題，則可通過授權或訪問留痕等技術手段予以控制。從技術上看，只要解決了相對意義上的匿名化，即使是基于個人信息的收集、整理所形成的數據，對其展開分析和利用，都不會對個人信息法益造成侵害，因為相關數據無法被用于識別特定的個人。

但問題是，技術發展是一把雙刃劍，匿名化的技術可確�；�于個人信息的數據集群不會侵犯個人信息法益，但同樣會出現反匿名化技術，從已經被結構化、去個人化的數據中，還原出特定的個人信息。因此，如何在信息數據技術的發展中，控制此種風險，是一個重要問題。

個人信息保護立法雖重要但并非萬能。在信息技術飛速發展的時代，指望立法者能夠及時在具體規則的層面上進行回應，是不現實的，因此就需要依賴多方主體參與的社會共治機制，在數據產業和個人信息保護問題上發揮重要作用。

不久前，在國家有關部門的指引或要求下，一方面對各大互聯網服務企業的隱私政策——即個人信息保護制度進行了評價。不少企業——例如騰訊，也利用契機，完善了隱私政策，通過自我聲明來對自己施加約束，承擔相應的個人信息保護問題上的社會責任。而最近幾年興起的第三方評價機制，也在引導互聯網企業合理地處理數據獲取的需求與保護個人信息二者間的均衡。

總體看，圍繞數據產業與個人信息保護，一個良好的社會共治體系輪廓正在形成，我們需要做的是規范和培育這一體系的健康發展。

數據時代需要政府具有數據處理能力

數據時代的政府有效規制需有數據處理和分析的基礎能力與數據思維。社會各界在多年前就已呼吁政府推進公共數據的開放與共享，但近幾年這一問題似乎并沒有取得明顯進展。

就中國數據產業的發展而言，離不開公共數據的開放與共享，個中原因不難解釋。由于中國行政主導型的體制，導致先前各行政部門在履行自己的行政職能過程中積累了大量的數據資源，如果能將這些數據開放共享，勢必會引發中國數據產業的繁榮。但數據時代的政府，不僅有數據開放共享這一任務，更重要的是，政府監管部門必須建設獨立的數據和分析的基礎能力，才可勝任數據時代對政府職能提出的新要求。

比如說，政府為公共利益的需要從私人企業獲取數據，如果自己缺乏數據分析和處理的能力，政府只能接受已經過他人處理后結構化了的，甚至是可視化處理后的數據，但其真實性、完整性無從驗證。

而如果政府獲取企業的數據后，再委托第三方機構分析處理，勢必會帶來可能的數據泄露、失密的問題。要確保自己的獨立性與超越性，數據時代的政府能力，很大程度上體現為數據分析和處理之類的基礎能力。如此，監管者與監管對象之間的數據不對等，才不至于大到使政府失能。

數據時代的政府還需具備數據思維。所謂數據思維，是關注與數據相關的新問題，而不再停留于傳統的。例如更多借助于數據的定量分析，來優化管理措施，形成新的管理理念。諸如道路交通、醫療衛生、教育行政等領域，數據分析的運用大有空間。從此意義上看，政府也是數字時代的重要客戶。未來最頻繁的政府采購服務，很可能應政府需要，進行數據分析和政務云計算。

2017年，數據之年，只是開端。伴隨社會全面進入數據場景，法律人面臨的挑戰，才剛拉開大幕。