作者：田申   来源：网安寻路人 

编者按：
当下，《个人信息保护法》《数据安全法》都已在路上，基础性的数据法律和制度框架即将建成。但业界对于数据安全和个人信息保护的工作，早已开始。本栏目旨在呈现数据安全和个人信息保护的从业人员的观点、想法、感受。希望从他们的分享中，各界朋友能更加清晰、直接地了解、把握法律和实践之中精彩的互动。今天这篇文章的作者是字节跳动数据安全法务总监田申，同时也欢迎各位朋友向本公号投稿。

数字经济的发展与个人权益、公共利益的协调始终是这一领域重点被广泛关注的问题，我们通常会从数据的权属、个人的基本权利、社会公共利益、国家安全等领域着眼并加以讨论。作为一名一线数据合规工作者，难以从深层次的学术理论层面进行论述，仅就自己实践中的一些思考在此做一些小结。在笔者看来，在讨论这一问题时，有三个核心的关键词：共生、尊重与秩序。

首先，我们谈下“共生”。

谈到数字经济与个人信息，我们通常会会重点讨论数据的权属、个人的基本权利、社会公共利益乃至国家安全。我们通常会讨论数据权是不是一种新型的权利？还是一条权利复核型的“权利束”？我们应对如何界定个人信息主体与数据控制者之间的权利边界？

我们发现，个人信息保护与数据权属的讨论通常是围绕在传统法律结构体系下围绕人格权、所有权、知识产权以及竞争法等领域进行延展的，而数字社会与数字经济下，可能更需要在全新的环境中去构建讨论的基础。在传统社会关系中，权利主体之间的相互关系的基本面通常是“增加--减少”之间的线性关系，即在“总体利益基本恒定”的条件下，各个主体之间的相互利益博弈趋于零和。而这种博弈格局可能在数字市场中被彻底颠覆，数字市场的核心并非仅仅我们常讲的数据处理，而更在于通过数据创造更大的价值与利益。个体、企业、社会乃至国家都是这个市场的参与者、受益者和利益攸关者

例如，我们可以通过大数据分析和自然语言处理解决信息过载与虚假信息，我们可以通过数据分析去发现潜在的产品安全风险，我们还可以通过疾病、医疗数据的共享使用，促进人类健康的总福祉。

因此，数据的大规模收集使用不代表必然个体利益的减损，个体利益的高度保护也不代表社会总福祉的整体增加。当然这并不代表我们是数字信条的原教旨主义者，我们也会清醒的看到数据的过度收集和不当使用也会侵犯数据主体的基本权利，也会带来诸如自动化决策造成的不确定性的影响。也正是因为这种现实的风险，欧盟才会在历经了里斯本公约、95指令后，诞生了影响世界的GDPR规则。

在这里只是想说，大数据确实重塑了传统社会的格局，而对于数据权属、个人信息保护等可能只有确认了个人、企业、社会、国家之间的共生关系，才可以在一个话语体系下去构建数字权利与权益规则，而这个规则可能并不能直接从原有的规则架构中找到完全契合的切入点，承认现有体系的局限性，不固守定式规则，在实践中的每一个个案中寻找相对可接受的权利切分边界，可能对于我们从业者而言是更加务实的态度。

其次，我们谈谈“尊重”。

前面我们提到，个体、企业、社会、国家在数据时代是一种共生关系，良好的生态必然相互协调发展的结果，而这个结果必然是相互尊重而得出的，而尊重最核心的就是对数据主体，也就是对人的尊重。尊重人的各项基本权利，避免数据主体的客体化，毕竟数字经济的生产要素是数据，而不是产生数据的人。

对人的尊重最终要归于对人的各项权益与权利的尊重，我们要尊重个人的知情权，以保障数据的从处理与使用是公平的，我们要尊重个人的更正权，以保障数据处理的准确性以及不因错误数据而对个人造成的额外伤害。我们还要尊重个人的拒绝自动化决策的权利，以保障其基本权利不因算法而被侵害乃至剥夺。

在这些个人是基本权利中，最重要的还是“知情-同意”这一基础原则，虽然这一原则在大数据时代受到了前所未有的挑战，数据处理的复杂性已经超越了数据主体的普遍认知能力，无处不在数据收集已经难以向数据主体做出清晰的告知，数据收集通知规则的设计无法考虑到B2B分享个人数据、数据分析、未来交易以及不可预见的用例价值的实现。因此，“知情-同意”虽然可能需要修正甚至重构，但是仍无法撼动这一原则的基础，因为只有足够的透明，才可能唤醒更多人对权利的认知，而每多一次唤醒，也就鞭策企业、社会、国家更加重视对对个体的尊重与保护。

当然，尊重不能止于“知情-同意”，意识是自治的关键，但是复杂世界中，个人层面的绝对控制和自治似乎是不可能的。因此我们需要构建一套负责任的数据保护框架，以确保在获得授权之后的数据能够被以可预期、可接受的方式进行处理。例如，在欧盟GDPR规则围绕着“可归责性”构建了隐私影响评估制度（DPIA）敦促企业基于风险路径形成数据安全与个人信息保护的内部控制流程机制。从实践角度观察，这样的制度设计是非常充分地调动起企业内部对于数据处理活动合规性评估的积极性，将大规模处理数据活动的合规性控制切实落脚在企业内部的治理结构中，在很大程度上解决了以监督检查为单一模式所带来的低效问题。

最后，我们关注“秩序”。

任何的良善的目的都需要有可供实现的路径和基础，而这个基础就是秩序如何构建。从法律的角度看，对数据、个人信息、隐私以及自由竞争的规则，主要是通过四个层次的法律维度构建的：

以《民法典》为代表的隐私保护的民事法律路径；

以《数据安全法》《个人信息保护法》《网络安全法》等为代表的行政监管路径；

以《反不正当法》等为代表的市场竞争规则的经济法路径；

以《刑法》为代表的“最后制裁”的补充性规制路径。

因此，在实现数据的应用与保护方面，我们需要协调个人基本权利保护的路径，特别是如何协调个人信息保护的行政监管与隐私保护是司法救济之间的关系？例如，隐私权作为人格权的组成部分，理论上属于对世权，其义务主体是普遍的，义务主体的一般的，不特定的，但对个人信息的保护的义务主体是特定的，因此在法律定位上存在分歧的情况下，就需要解决法律适用层面的问题。我们前面讲到的“知情-同意”规则，就是构建在个人信息保护路径之上的，而非隐私权路径之上。举个例子，我将自己的手机号码告知了好友甲，甲的同事希望联系到我，而向甲打听到了我的手机号，这个时候我显然是无法因为甲未征求我的同意而向其主张自身个人信息权益受到侵害。但是如果甲将我的上下班的行踪信息透露给其同事乙，那么我则可以主张甲侵犯了我的隐私权。因此，在处理民事侵权纠纷的司法救济过程中，应当注意区分个人信息保护法与民法典人格权篇之间的差异性。

接下来，我们再探讨一下关于反不正当竞争法与相关法律面临的新情况与新问题。数据是生产要素已经在行业内形成共识，但是我并不赞同将数据做成石油的比喻，因为石油仍是以实体形式存在的，以零和博弈为基础的传统生产资料，将数据与石油做比，不仅大大限缩了数据自身的价值，而且也容易将数据的利用与保护走回零和博弈的老路上。从实践中看到，数据的有序流动与规范共享是有利于整体行业乃至数字经济生态的繁荣，这与传统资源配置与争夺并不是一个维度的命题。因此，在数字要素规则设定的过程中，需要综合考虑数据要素提供者、数据要素生产者以及数据产品或服务消费者之间的相互协同关系。从域外司法裁判视角看，在数据竞争这一领域，也越来越体系出这种趋势。在Linkin 诉HiQ的（诉中禁令）案件中，虽然这个案件仍属于在对诉中禁令的裁决，但是也可以看到，法官充分考虑了数据主体在提供数据信息时的意愿、商业利益之间的平衡以及数据授权访问的边界等综合问题。

回到我们的行业实践中，公开数据获取的规则尚不甚清晰，对爬虫等中立技术的风险被过度夸大等问题，仍然是合规获取、处理数据的痛点，这里特别要指出的是特需要避免将刑事立案作为处理数据竞争领域中的先行手段尤为重要。

最后，我们当前的立法逻辑仍然侧重于外力监管而忽视数据市场的自我张力，仍是二元对立体系的安全立法模式，安全审查只能对静态的数据保护做出有限应对，而对于真正的数据处理活动难以作出有效应对。因此，尊重并确立现有的市场规则与秩序，重复调动市场间自我张力与修复机制，并对市场失范行为作出底线规制也是构建秩序的当务之急。例如：数据安全法是一部有关数据安全的基础性立法，可以在法律规则中做出规定：“主管机关应当充分吸收数据交易市场安全保障经验，制定符合数字市场发展规律数据安全细则，促进数字经济安全有序发展。”

以上就是我们对数字时代下数据规则的理解与展望，如有不当之处，还请各位同仁批评指正。（完）