个人数据流通合规：现行规则检讨与建议

非常高兴能有这个机会和业界做一个交流，我的演讲题目是《个人数据流通合规：现行规则检讨与建议》。

首先是数据的流通正当性问题。

进入大数据时代之后，数据的价值被重新发现和定义，任何数据都具有了潜在价值。同时并行的还有一个现象，即每一个单位、每一个企业都在囤积数据。大家都在囤积数据，就是自己利用自己的数据，就像是“自耕农”，这不可能是大数据，大数据一定是来源多样、大规模的数据。所以大数据时代首要的制度条件是数据的社会化利用。目前看来，自己利用自己的数据不可能走入大数据时代，所以数据的社会化利用是大数据战略实施的关键。数据的社会化利用说白了就是让他人能够利用你的数据，你也能够使用他人的数据。这样的社会利用是通过数据的开放、共享、流通和交易实现的。

现在国际社会提到比较多的是政府数据的开放，因为大家认为，政府数据是公共数据，当然要拿出来开放，让大家来用。实际上，数据开放也包括企业数据的开放和事业单位数据的开放。政府数据大多是公共数据，向社会开放理所当然。企业数据呢？没有相应的激励机制，让企业开放数据并不那么容易。不过，数据只有在“流通”中，在“社会化利用”当中才有价值，才有生命，数据放到没人用的地方就是垃圾，没有价值。所以企业数据也需要全面开放，才能发挥更大价值。企业数据开放是一个很复杂的事情，其前提是要承认企业有什么样的权利，你如果不承认保护企业利益的话，企业数据利用之门不会轻易打开。

数据开放的目的是让人使用数据，既可以让特定主体使用，也可以让不特定主体使用，由此产生出数据的利用方式，即共享和流通。共享是在特定主体之间（比如在座我们这些人之间）的一种开放，一种互相利用数据的模式。流通则是向有需求的第三人开放。流通是陌生人之间通过市场机制，根据需求提供数据，或者提出你能提供什么样的数据，寻求需求方或“买主”。所谓的数据交易就是数据供需的市场化匹配机制，在市场化的概念指导下，让数据供需真正实现社会化。它是数据流通的高级形式。

现在，数据流通被弄得有些“忌讳”，因为一直被贴上“非法”的标签。其实，我的理解是“使用就是流通，流通就是使用”。我觉得，数据让人用，就需要公开或提供数据给人使用，这就意味着数据的流通。所以数据流通就是让对方接触到数据、让人使用数据。很简单，流通并不限于市场化的交易，其外延范围非常广。既可以是一对一的交换，也可以涵盖到市场化的交易，流通是一个非常广的概念，包括现实生活中普遍存在的合作分享、交换等等。社会化程度最高的流通是不特定主体之间数据供需的匹配，即数据交易。

在座各位都是搞数据的，你们很可能处于数据产业链条的某一方，也许是数据供应方、需求方、加工处理方，不管做什么，都会涉及数据流通。我们在大平台里的个人数据被很多商家分享，这种分享其实就是流通。前一段时间的菜鸟和顺丰事件，大家知道，归根结底就是数据交换的问题。我们要发展大数据产业，必须建构一个规范可控的数据流通机制。众所周知，数据的黑产即黑色产业是数据流通的天敌。我们现在讲的是规范的流通，是满足社会需求的法律承认的数据流通。但是，现在数据黑产成了我们的敌人。

因为数据黑产非常发达，从撞库、洗库、拖库，做成产品再实施诈骗，产业链很清晰，所以，如果不能把这种链条消灭掉，不能遏制的话，正规的数据流通是不可能进行的。这个东西具有社会危害性，运用数据进行各种违法犯罪活动，包括诈骗、敲诈勒索等，现在《刑法》应该针对数据黑产，迫切需要举全国之力严厉打击，因为它是数据合法流通，是大数据产业的“天敌”。

其次，数据流通的法律基础。

这涉及数据到底是什么的问题。是不是每个持有数据的人可以拥有数据的所有权呢？我的结论是，“数据不能为任何人所有，但是可以为任何人所用”，这是我从2000年开始研究数据、信息财产以来得出的基本结论。现在大家都在讲数据赋权，在我看来，不可能有一个类似于所有权的权利，对数据也不可能有知识产权那样的排他性支配权。

数据持有者可以使用数据，享有数据控制和使用的权利，但是有一个前提，即必须承认和尊重数据上的利益相关方。数据是人类社会共同可以使用的“工具”，该“工具”上存在需要保护的利益，因为数据上可以留下你的痕迹或添附的价值。合规既要解决数据利用不侵犯别人权利的问题，又要解决数据利用符合法律规定的问题，具体是合乎国家安全、商业秘密、有害信息方面的规定。只要你的数据使用合乎法律的规定，不逾越法律的强制性规范，能尊重数据上的权利以及他人的利益，那么你就都可以用，也就是对数据享有事实上财产权。因此，数据的合规变得非常重要，是数据使用和流通的前提。

大家接着会问，数据上到底有什么权利，有什么利益？如果把数据上的利益大致划分一下，我觉得有两类。

第一类，数据来源者的利益。从源头来讲，现在讨论最多的是与个人有关的数据。与个人有关、能够识别某个个人的数据被称为个人数据。通过个人数据，我们能够识别到某一个人，比如你有什么特征、你是哪里的人、怎么联系你、你的身份信息以及个性特征等。这里的识别可划分为两类，一类是识别你是谁，这是属于身份识别；另外一类是识别你是什么样的人，比如你有什么爱好、你有什么特征。国际社会讲到识别的时候，更多是强调后面的个性识别，而不是身份识别。因为标识身份是一个人对外交往的手段，披露个人联系方式也是开展社会交往必不可少的要素，其本身并不需要受到法律干预。但是，一旦可以直接联系到个人身份的信息被不法分子利用，就可能对个人的人身或财产安全造成威胁，有人可能假冒身份行骗，甚至“精准”诈骗，危害到人们的安全。因此，身份信息无序使用、滥用具有潜在的社会危害。

个人数据可以用来“识别”，是不是意味着你拥有的数据（信息）他人不能用呢？不是，你不能对这个信息本身进行控制，你只能控制：别人使用的时候不得侵害你的利益，你的人格尊严不被人歧视，别人的使用不妨碍你自主决定的自由，等等。这意味着，你不能阻止别人使用你的个人信息，但是你可以对他人滥用你的信息说“不”，以保护对你个人数据的使用不侵犯你的权益。

从源头来讲，还有来源于企业组织的信息。现实中有大量数据是与个人没有关系，但与企业或其他组织有关。有没有企业信息呢？我认为有。这方面大家还没有研究，因为现在国际社会的立法也仅关注到与个人有联系的个人信息的保护。这需要我们进一步思考（这也就是数据赋权重点需要关注的领域），这里就不再赘述。以上是从源头的角度出发的理解。

第二类，数据加工者利益。数据从源头采集到加工利用，这就有了加工者的利益。原生数据需要处理和加工才能利用，才有价值，这就有了原材料加工成产品的加工者利益。因为数据不断使用和处理，每一次使用处理都会有增值，这种增值的利益也需要保护。大家做出来数据产品，凭什么赚钱？简单地回答就是劳动应当得到回报。“劳动投入”赋予了与原始数据相比不一样的价值，这个价值需要实现，需要法律保护。

我觉得数据上的利益就这么两类需要保护，一类是从源头产生的利益，一类是从数据加工处理中产生的合法利益。但是这个保护并不是说，要给产品加工人对这个数据绝对的支配权，这是不可能的，而是要给产品加工人实现利益的权利，不仅可以许可使用或提供服务，而且防范他人不正当地获取。这并不是今天讨论的重点。

第三，数据合规审查。

数据合规管理的目的是，在符合法律规定、不侵犯他人权益的情况下合理使用数据。合规审查贯穿数据使用的全过程，包括收集获取、持有控制、处理使用、提供共享流通等，全产业链条的每一个环节都要合规。合规审查所依据的应该是现行的法律法规，包括国际准则以及行业规范。

我们国家关于个人信息保护的法律法规是从2012年开始建立的，2013年修订的《消费者权益保护法》，2016年11月通过的《网络安全法》等，是现在最高规格的关于个人数据的规范。目前这些法律确立了什么样的规则呢？基本规则是，非经个人数据主体的同意，不得收集使用数据。这样的规则带来一个什么问题呢？它隐含着个人数据归属于个人、个人对个人数据有控制权的意思。这意味着，非经个人的同意使用数据就是侵权。

大家如果有一点常识的话，就不难理解：既然法律说了，个人信息的收集和使用需要本人同意，这就意味着，数据的使用个人“说了算”，这一意志力受到法律保护就意味着法律赋予了个人对个人数据的控制权或财产权，类似于所有权。知识产权的基本规则是，非经权利人同意使用他人知识产权构成侵权。如果所有个人数据都需要个人同意才能被使用，就意味着个人数据具备类似于知识产权那样的权利，叫做绝对权、排他权。但这是不符合现实的，也是不正确的。我可以很负责地告诉大家，世界上没有这样的规则。

大家知道欧盟2016年通过、将于2018年实施的《统一数据保护条例》中并没规定个人的同意权。为什么没有规定？它认为有了同意权就是给了个人对个人数据的支配权。因此，将个人同意作为个人数据使用的前提，至少法律效果上和欧盟的规则是不一致的。

第四，个人数据同意需要完善。

我要讲一下《民法总则》。《民法总则》第一百一十一条是这样规定的：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”这样的规范只宣示个人信息受到法律保护，并没有说个人对个人信息拥有什么样的权利。没有正面的回答个问题，只是说你要获取他人信息的时候必须依法并确保安全。这是你使用个人信息的行为准则。

依据刚才提到的法律规范，对个人信息的收集和使用必须本人同意；而《民法总则》做出的是消极性的规范，即不得非法收集、使用、加工、传输，不得非法买卖、提供。

大家知道《民法总则》是基本法，《民法总则》这样的规定，我认为还是给我们产业带来了一些希望。这个希望就是，既然《民法总则》并没有提到必须“同意”，如果现行法律一律得个人同意的规定不正确，那么我们还有可能修改那些特别法。按照我的设想，要确立这样的规则：并非收集和使用个人信息一律必须征得同意；但是涉及敏感信息等需要特别保护时，必须征得同意；提供给外人使用或流通时必须征得同意，并严格同意的条件。要让同意起到应有的作用，不让同意成为非法使用个人信息的保护伞。

第五，《刑法》司法解释的内容。

根据现行法，未经同意收集使用个人信息不仅涉及侵权，还有刑事责任。大家知道，2009年《刑法修正案（七）》宣布，非法获取公民个人信息、出售或者非法提供个人信息是可以入刑的，当时最高刑期是三年。2015年《刑法》修订后，最高刑期就改为七年。2017年5月，最高人民法院、最高人民检察院公布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，该解释已于6月1日起施行。这个司法解释从信息类型、信息用途、违法所得、主观恶意这样一些方面，详细规定了侵犯公民个人信息犯罪的入刑标准，即什么行为视作《刑法》相关条款规定的“情节严重”，什么行为视作“情节特别严重”。

在信息类型方面，该解释将两类信息视作高危信息，认为这类信息的流通会带来社会危害性，所以应该予以制止。一类是涉及行踪轨迹、通信内容、征信、财产的信息。我对行踪轨迹的解释是，它不应该包括网络浏览轨迹，应该是网络浏览轨迹联系或对应的现实的地理信息、位置信息，不是网络轨迹，而是现实中的地理位置、移动轨迹。如果对纯粹的网络浏览轨迹，都规定非法获取、出售或者提供五十条以上就算“情节严重”的话，那所有人都不要做大数据了。因此，行踪轨迹不能解释为网络浏览轨迹。

这一类信息明显是直接危害到了大家的人身安全和财产安全，因此，依据上述司法解释，这类信息非法获取、出售或者提供五十条以上，即构成“情节严重”。

第二类信息主要是和大家的人格尊严、隐私有关，当然也涉及到安全问题，如住宿信息、通信记录、健康生理信息、交易信息。对这一类信息，司法解释的规定是非法获取、出售或者提供超出五百条的，即构成“情节严重”。对其他信息，司法解释的规定是超过五千条的构成“情节严重”。

信息的用途也是“情节严重”考量的重要因素。如果是行踪轨迹，只要是别人利用了你提供的行踪轨迹实施了绑架等犯罪活动，不管你知道不知道，都要入刑，刑期至少为三年。假如你出售提供信息的时候明知道或者应当知道它是用来违法犯罪的，那么你也应该入刑，这个是不受信息条数限制的。

“违法所得”作为情节严重的因素，很值得人们推敲。如果你是专门从事数据买卖的，非法获取数据并出售提供牟利，你赚到五千块钱就入刑，属于“情节严重”的，刑期最高为三年。该司法解释还规定，为合法经营活动而非法购买、收受公民个人信息，获利五万元以上的，构成“情节严重”。如果你单纯买卖信息赚五千块钱，这个是很好计算的，卖多少条，一条多少钱，做乘法就可以了。但合法经营，比如做精准营销广告，或者企业进行产品开发，赚到五万块钱很容易。一条广告就可以赚这么多钱。很多人认为，这个解释给合法经营格外开恩。我认为，因为五万块钱非常容易计算，如果没有适当的计算方法，按照这个解释定下的标准，我们现在所有的企业都可以入刑。哪个企业没有买卖信息的？

因此，合法经营应该有一个限定，购买和收受信息用于合法经营活动，而不涉及出售、倒卖个人信息，就不宜单纯用赚多少钱作为入刑的标准。否则，这个司法解释就冻结了我们的大数据产业，真的认真执行的话许多人就可以进监狱了，许多企业都将被关闭。

第六，我们该如何开展“合规”？

我们有非常严苛的法律，就意味着我们必须重视合规管理，否则将面临许多法律风险甚至牢狱之灾。数据合规管理的首要问题是收集合法。有人问什么信息不能收集，我的回答是什么数据都可以收集，没有不可以收集的，但是收集必须合法。还是刚才讲到的，要么获取同意，要么有明确的法律事由。

对该司法解释中提到的“合法收集”这个概念，我有一个基本的看法。与业务有关的收集在所有国际规则里都是不需要同意的，但我们国家是需要同意的，合规的时候必须做到，收集信息必须经过同意。另外，《网络安全法》对超越范围是有规定的，这部法律针对的是网络运营商，但是我认为其他企业今后也要依据这一规则，超合理需要或必要范围收集个人信息也不行，要承担行政责任。通过公开的途径获取是都没有问题的，现在这种情况基本上没有人规范。抓取公开的网络信息就属于这种情况。但因为抓取的信息不能具体到特定的用户，只能用于一些分析，捕捉一些信息做舆情分析，这方面的规范没什么太大的意义。

合法获取个人信息之后，就是使用合规了。使用包括自己使用和提供给他人使用。自己使用的合规，重在信息安全、防止泄露、不得侵犯个人隐私等，这方面的合规管理相对简单一些。但是，提供给他人使用（流通使用）的合规管理就非常难办了，因为按照上述两高的司法解释，一切涉及业务合作、贸易往来的公民个人信息的出卖与购买、交换与共享、提供与收受，均纳入《刑法》调整，具有入刑的可能性，其条件为，违反“国家有关规定”且情节严重。

现行法律有关数据合法流通使用的规定主要表现为经个人同意，或者“经过处理无法识别特定个人且不能复原的”。在这样简陋的法律规定下，获取个人同意就成了个人信息流通使用的最为简单的合规措施，同意成为数据利用者的尚方宝剑，似乎只要有了同意就可以不承担所有的责任。这就是最近为什么许多企业在重新修订各自的用户协议或隐私政策，让用户尽可能同意更多的事项。

问题在于，这样不确定将来流向和用途，只是笼统的业务合作方或业务关联的第三方的同意是否为有效的同意，仍然有待司法裁判明确。而且即使这是有效的同意，假如个人信息因流通而泄露或者导致违反犯罪，产生了社会危害，恐怕个人信息流通的关联方也难逃其责。因此，做到同意，你的企业个人信息流通利用显然没有违反国家有关规定，但是，有刑法上可追究的后果时，仍然有刑事责任。顺便告诉大家的是，今天你可以用“同意”来合规，但终究有一天，这个同意会不好用，因为国际规则现在是在放弃同意。因为同意是不解决保护问题的，即便你有这么一个形式上的同意，也根本不能保护到在座各位。

因此，合规的重点是判断你的行为是不是合法，你的使用是不是合法，使用过程中是不是侵犯了别人的利益，而不是同意。依据我们国家的法律规定，今天的合规非常简单，就是事先让用户同意。实际上，同意既不能保护用户的个人信息，也免除不了你的刑事责任。总之，个人信息流通的法律风险要高于自用，而现行法对合法的流通使用规范少之又少，既不能形成行为指引，也无法判断合法或非法，于是《刑法》的禁止规范就成了企业的行为的“红线”。在现阶段，对于企业经营者来讲，为避免牢狱之苦，还是应当守住这条红线。

最后谈谈对企业的建议。

一个基本的建议，每个企业都应该分类分级管理各种数据，要把好获取关口，搞好信息安全，因为不管怎么样大家不要出事，安全第一。安全包括系统安全，也包括人为泄露。系统的安全好做，但是员工管理不太容易，现在很多问题的源头都是“内鬼”。企业的管理重点是员工管理，要把员工手中使用的数据管好。数据的安全风险主要不是来自于技术，重要的是管好人，既包括员工，也包括与企业有往来的外人。

流通最重要的是确保去身份，同时不包含可能违反《刑法》规定的高危信息。对数据的分享和交换来说，如果全都照《刑法》司法解释的规定进行合规，大家的业务就别做了。而要做就需要确保安全，守住底线。在我看来，重要的是签好合同，使个人信息流通的每个环节能够可控制、可追溯。在《刑法》的高压下，企业应对风险的有效措施是对任何一个数据流通使用均要进行评估。对数据流通带来的风险进行预测和评估，然后再决定要不要做、如何做。这是企业避免系统风险的最佳措施。在整个数据流通过程中不要随意披露数据，所有数据的危害都在于公开披露让人使用，尤其让坏人使用。

今天要提醒所有企业的是，管理比法律更加重要，要把个人数据保护的问题加入到企业的每一份合同中，包括员工雇佣合同。

（2017年6月16日，“数据流通关键问题暨标准化研讨会”在北京中国信息通信研究院举行。本文据作者在本次研讨会上发表的演讲整理而成，由作者最终改定，授权澎湃新闻公开发表。）