非常高興能有這個機會和業界做一個交流，我的演講題目是《個人數據流通合規：現行規則檢討與建議》。

首先是數據的流通正當性問題。

進入大數據時代之后，數據的價值被重新發現和定義，任何數據都具有了潛在價值。同時并行的還有一個現象，即每一個單位、每一個企業都在囤積數據。大家都在囤積數據，就是自己利用自己的數據，就像是“自耕農”，這不可能是大數據，大數據一定是來源多樣、大規模的數據。所以大數據時代首要的制度條件是數據的社會化利用。目前看來，自己利用自己的數據不可能走入大數據時代，所以數據的社會化利用是大數據戰略實施的關鍵。數據的社會化利用說白了就是讓他人能夠利用你的數據，你也能夠使用他人的數據。這樣的社會利用是通過數據的開放、共享、流通和交易實現的。

現在國際社會提到比較多的是政府數據的開放，因為大家認為，政府數據是公共數據，當然要拿出來開放，讓大家來用。實際上，數據開放也包括企業數據的開放和事業單位數據的開放。政府數據大多是公共數據，向社會開放理所當然。企業數據呢？沒有相應的激勵機制，讓企業開放數據并不那么容易。不過，數據只有在“流通”中，在“社會化利用”當中才有價值，才有生命，數據放到沒人用的地方就是垃圾，沒有價值。所以企業數據也需要全面開放，才能發揮更大價值。企業數據開放是一個很復雜的事情，其前提是要承認企業有什么樣的權利，你如果不承認保護企業利益的話，企業數據利用之門不會輕易打開。

數據開放的目的是讓人使用數據，既可以讓特定主體使用，也可以讓不特定主體使用，由此產生出數據的利用方式，即共享和流通。共享是在特定主體之間（比如在座我們這些人之間）的一種開放，一種互相利用數據的模式。流通則是向有需求的第三人開放。流通是陌生人之間通過市場機制，根據需求提供數據，或者提出你能提供什么樣的數據，尋求需求方或“買主”。所謂的數據交易就是數據供需的市場化匹配機制，在市場化的概念指導下，讓數據供需真正實現社會化。它是數據流通的高級形式。

現在，數據流通被弄得有些“忌諱”，因為一直被貼上“非法”的標簽。其實，我的理解是“使用就是流通，流通就是使用”。我覺得，數據讓人用，就需要公開或提供數據給人使用，這就意味著數據的流通。所以數據流通就是讓對方接觸到數據、讓人使用數據。很簡單，流通并不限于市場化的交易，其外延范圍非常廣。既可以是一對一的交換，也可以涵蓋到市場化的交易，流通是一個非常廣的概念，包括現實生活中普遍存在的合作分享、交換等等。社會化程度最高的流通是不特定主體之間數據供需的匹配，即數據交易。

在座各位都是搞數據的，你們很可能處于數據產業鏈條的某一方，也許是數據供應方、需求方、加工處理方，不管做什么，都會涉及數據流通。我們在大平臺里的個人數據被很多商家分享，這種分享其實就是流通。前一段時間的菜鳥和順豐事件，大家知道，歸根結底就是數據交換的問題。我們要發展大數據產業，必須建構一個規范可控的數據流通機制。眾所周知，數據的黑產即黑色產業是數據流通的天敵。我們現在講的是規范的流通，是滿足社會需求的法律承認的數據流通。但是，現在數據黑產成了我們的敵人。

因為數據黑產非常發達，從撞庫、洗庫、拖庫，做成產品再實施詐騙，產業鏈很清晰，所以，如果不能把這種鏈條消滅掉，不能遏制的話，正規的數據流通是不可能進行的。這個東西具有社會危害性，運用數據進行各種違法犯罪活動，包括詐騙、敲詐勒索等，現在《刑法》應該針對數據黑產，迫切需要舉全國之力嚴厲打擊，因為它是數據合法流通，是大數據產業的“天敵”。

其次，數據流通的法律基礎。

這涉及數據到底是什么的問題。是不是每個持有數據的人可以擁有數據的所有權呢？我的結論是，“數據不能為任何人所有，但是可以為任何人所用”，這是我從2000年開始研究數據、信息財產以來得出的基本結論。現在大家都在講數據賦權，在我看來，不可能有一個類似于所有權的權利，對數據也不可能有知識產權那樣的排他性支配權。

數據持有者可以使用數據，享有數據控制和使用的權利，但是有一個前提，即必須承認和尊重數據上的利益相關方。數據是人類社會共同可以使用的“工具”，該“工具”上存在需要保護的利益，因為數據上可以留下你的痕跡或添附的價值。合規既要解決數據利用不侵犯別人權利的問題，又要解決數據利用符合法律規定的問題，具體是合乎國家安全、商業秘密、有害信息方面的規定。只要你的數據使用合乎法律的規定，不逾越法律的強制性規范，能尊重數據上的權利以及他人的利益，那么你就都可以用，也就是對數據享有事實上財產權。因此，數據的合規變得非常重要，是數據使用和流通的前提。

大家接著會問，數據上到底有什么權利，有什么利益？如果把數據上的利益大致劃分一下，我覺得有兩類。

第一類，數據來源者的利益。從源頭來講，現在討論最多的是與個人有關的數據。與個人有關、能夠識別某個個人的數據被稱為個人數據。通過個人數據，我們能夠識別到某一個人，比如你有什么特征、你是哪里的人、怎么聯系你、你的身份信息以及個性特征等。這里的識別可劃分為兩類，一類是識別你是誰，這是屬于身份識別；另外一類是識別你是什么樣的人，比如你有什么愛好、你有什么特征。國際社會講到識別的時候，更多是強調后面的個性識別，而不是身份識別。因為標識身份是一個人對外交往的手段，披露個人聯系方式也是開展社會交往必不可少的要素，其本身并不需要受到法律干預。但是，一旦可以直接聯系到個人身份的信息被不法分子利用，就可能對個人的人身或財產安全造成威脅，有人可能假冒身份行騙，甚至“精準”詐騙，危害到人們的安全。因此，身份信息無序使用、濫用具有潛在的社會危害。

個人數據可以用來“識別”，是不是意味著你擁有的數據（信息）他人不能用呢？不是，你不能對這個信息本身進行控制，你只能控制：別人使用的時候不得侵害你的利益，你的人格尊嚴不被人歧視，別人的使用不妨礙你自主決定的自由，等等。這意味著，你不能阻止別人使用你的個人信息，但是你可以對他人濫用你的信息說“不”，以保護對你個人數據的使用不侵犯你的權益。

從源頭來講，還有來源于企業組織的信息。現實中有大量數據是與個人沒有關系，但與企業或其他組織有關。有沒有企業信息呢？我認為有。這方面大家還沒有研究，因為現在國際社會的立法也僅關注到與個人有聯系的個人信息的保護。這需要我們進一步思考（這也就是數據賦權重點需要關注的領域），這里就不再贅述。以上是從源頭的角度出發的理解。

第二類，數據加工者利益。數據從源頭采集到加工利用，這就有了加工者的利益。原生數據需要處理和加工才能利用，才有價值，這就有了原材料加工成產品的加工者利益。因為數據不斷使用和處理，每一次使用處理都會有增值，這種增值的利益也需要保護。大家做出來數據產品，憑什么賺錢？簡單地回答就是勞動應當得到回報。“勞動投入”賦予了與原始數據相比不一樣的價值，這個價值需要實現，需要法律保護。

我覺得數據上的利益就這么兩類需要保護，一類是從源頭產生的利益，一類是從數據加工處理中產生的合法利益。但是這個保護并不是說，要給產品加工人對這個數據絕對的支配權，這是不可能的，而是要給產品加工人實現利益的權利，不僅可以許可使用或提供服務，而且防范他人不正當地獲取。這并不是今天討論的重點。

第三，數據合規審查。

數據合規管理的目的是，在符合法律規定、不侵犯他人權益的情況下合理使用數據。合規審查貫穿數據使用的全過程，包括收集獲取、持有控制、處理使用、提供共享流通等，全產業鏈條的每一個環節都要合規。合規審查所依據的應該是現行的法律法規，包括國際準則以及行業規范。

我們國家關于個人信息保護的法律法規是從2012年開始建立的，2013年修訂的《消費者權益保護法》，2016年11月通過的《網絡安全法》等，是現在最高規格的關于個人數據的規范。目前這些法律確立了什么樣的規則呢？基本規則是，非經個人數據主體的同意，不得收集使用數據。這樣的規則帶來一個什么問題呢？它隱含著個人數據歸屬于個人、個人對個人數據有控制權的意思。這意味著，非經個人的同意使用數據就是侵權。

大家如果有一點常識的話，就不難理解：既然法律說了，個人信息的收集和使用需要本人同意，這就意味著，數據的使用個人“說了算”，這一意志力受到法律保護就意味著法律賦予了個人對個人數據的控制權或財產權，類似于所有權。知識產權的基本規則是，非經權利人同意使用他人知識產權構成侵權。如果所有個人數據都需要個人同意才能被使用，就意味著個人數據具備類似于知識產權那樣的權利，叫做絕對權、排他權。但這是不符合現實的，也是不正確的。我可以很負責地告訴大家，世界上沒有這樣的規則。

大家知道歐盟2016年通過、將于2018年實施的《統一數據保護條例》中并沒規定個人的同意權。為什么沒有規定？它認為有了同意權就是給了個人對個人數據的支配權。因此，將個人同意作為個人數據使用的前提，至少法律效果上和歐盟的規則是不一致的。

第四，個人數據同意需要完善。

我要講一下《民法總則》。《民法總則》第一百一十一條是這樣規定的：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”這樣的規范只宣示個人信息受到法律保護，并沒有說個人對個人信息擁有什么樣的權利。沒有正面的回答個問題，只是說你要獲取他人信息的時候必須依法并確保安全。這是你使用個人信息的行為準則。

依據剛才提到的法律規范，對個人信息的收集和使用必須本人同意；而《民法總則》做出的是消極性的規范，即不得非法收集、使用、加工、傳輸，不得非法買賣、提供。

大家知道《民法總則》是基本法，《民法總則》這樣的規定，我認為還是給我們產業帶來了一些希望。這個希望就是，既然《民法總則》并沒有提到必須“同意”，如果現行法律一律得個人同意的規定不正確，那么我們還有可能修改那些特別法。按照我的設想，要確立這樣的規則：并非收集和使用個人信息一律必須征得同意；但是涉及敏感信息等需要特別保護時，必須征得同意；提供給外人使用或流通時必須征得同意，并嚴格同意的條件。要讓同意起到應有的作用，不讓同意成為非法使用個人信息的保護傘。

第五，《刑法》司法解釋的內容。

根據現行法，未經同意收集使用個人信息不僅涉及侵權，還有刑事責任。大家知道，2009年《刑法修正案（七）》宣布，非法獲取公民個人信息、出售或者非法提供個人信息是可以入刑的，當時最高刑期是三年。2015年《刑法》修訂后，最高刑期就改為七年。2017年5月，最高人民法院、最高人民檢察院公布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，該解釋已于6月1日起施行。這個司法解釋從信息類型、信息用途、違法所得、主觀惡意這樣一些方面，詳細規定了侵犯公民個人信息犯罪的入刑標準，即什么行為視作《刑法》相關條款規定的“情節嚴重”，什么行為視作“情節特別嚴重”。

在信息類型方面，該解釋將兩類信息視作高危信息，認為這類信息的流通會帶來社會危害性，所以應該予以制止。一類是涉及行蹤軌跡、通信內容、征信、財產的信息。我對行蹤軌跡的解釋是，它不應該包括網絡瀏覽軌跡，應該是網絡瀏覽軌跡聯系或對應的現實的地理信息、位置信息，不是網絡軌跡，而是現實中的地理位置、移動軌跡。如果對純粹的網絡瀏覽軌跡，都規定非法獲取、出售或者提供五十條以上就算“情節嚴重”的話，那所有人都不要做大數據了。因此，行蹤軌跡不能解釋為網絡瀏覽軌跡。

這一類信息明顯是直接危害到了大家的人身安全和財產安全，因此，依據上述司法解釋，這類信息非法獲取、出售或者提供五十條以上，即構成“情節嚴重”。

第二類信息主要是和大家的人格尊嚴、隱私有關，當然也涉及到安全問題，如住宿信息、通信記錄、健康生理信息、交易信息。對這一類信息，司法解釋的規定是非法獲取、出售或者提供超出五百條的，即構成“情節嚴重”。對其他信息，司法解釋的規定是超過五千條的構成“情節嚴重”。

信息的用途也是“情節嚴重”考量的重要因素。如果是行蹤軌跡，只要是別人利用了你提供的行蹤軌跡實施了綁架等犯罪活動，不管你知道不知道，都要入刑，刑期至少為三年。假如你出售提供信息的時候明知道或者應當知道它是用來違法犯罪的，那么你也應該入刑，這個是不受信息條數限制的。

“違法所得”作為情節嚴重的因素，很值得人們推敲。如果你是專門從事數據買賣的，非法獲取數據并出售提供牟利，你賺到五千塊錢就入刑，屬于“情節嚴重”的，刑期最高為三年。該司法解釋還規定，為合法經營活動而非法購買、收受公民個人信息，獲利五萬元以上的，構成“情節嚴重”。如果你單純買賣信息賺五千塊錢，這個是很好計算的，賣多少條，一條多少錢，做乘法就可以了。但合法經營，比如做精準營銷廣告，或者企業進行產品開發，賺到五萬塊錢很容易。一條廣告就可以賺這么多錢。很多人認為，這個解釋給合法經營格外開恩。我認為，因為五萬塊錢非常容易計算，如果沒有適當的計算方法，按照這個解釋定下的標準，我們現在所有的企業都可以入刑。哪個企業沒有買賣信息的？

因此，合法經營應該有一個限定，購買和收受信息用于合法經營活動，而不涉及出售、倒賣個人信息，就不宜單純用賺多少錢作為入刑的標準。否則，這個司法解釋就凍結了我們的大數據產業，真的認真執行的話許多人就可以進監獄了，許多企業都將被關閉。

第六，我們該如何開展“合規”？

我們有非常嚴苛的法律，就意味著我們必須重視合規管理，否則將面臨許多法律風險甚至牢獄之災。數據合規管理的首要問題是收集合法。有人問什么信息不能收集，我的回答是什么數據都可以收集，沒有不可以收集的，但是收集必須合法。還是剛才講到的，要么獲取同意，要么有明確的法律事由。

對該司法解釋中提到的“合法收集”這個概念，我有一個基本的看法。與業務有關的收集在所有國際規則里都是不需要同意的，但我們國家是需要同意的，合規的時候必須做到，收集信息必須經過同意。另外，《網絡安全法》對超越范圍是有規定的，這部法律針對的是網絡運營商，但是我認為其他企業今后也要依據這一規則，超合理需要或必要范圍收集個人信息也不行，要承擔行政責任。通過公開的途徑獲取是都沒有問題的，現在這種情況基本上沒有人規范。抓取公開的網絡信息就屬于這種情況。但因為抓取的信息不能具體到特定的用戶，只能用于一些分析，捕捉一些信息做輿情分析，這方面的規范沒什么太大的意義。

合法獲取個人信息之后，就是使用合規了。使用包括自己使用和提供給他人使用。自己使用的合規，重在信息安全、防止泄露、不得侵犯個人隱私等，這方面的合規管理相對簡單一些。但是，提供給他人使用（流通使用）的合規管理就非常難辦了，因為按照上述兩高的司法解釋，一切涉及業務合作、貿易往來的公民個人信息的出賣與購買、交換與共享、提供與收受，均納入《刑法》調整，具有入刑的可能性，其條件為，違反“國家有關規定”且情節嚴重。

現行法律有關數據合法流通使用的規定主要表現為經個人同意，或者“經過處理無法識別特定個人且不能復原的”。在這樣簡陋的法律規定下，獲取個人同意就成了個人信息流通使用的最為簡單的合規措施，同意成為數據利用者的尚方寶劍，似乎只要有了同意就可以不承擔所有的責任。這就是最近為什么許多企業在重新修訂各自的用戶協議或隱私政策，讓用戶盡可能同意更多的事項。

問題在于，這樣不確定將來流向和用途，只是籠統的業務合作方或業務關聯的第三方的同意是否為有效的同意，仍然有待司法裁判明確。而且即使這是有效的同意，假如個人信息因流通而泄露或者導致違反犯罪，產生了社會危害，恐怕個人信息流通的關聯方也難逃其責。因此，做到同意，你的企業個人信息流通利用顯然沒有違反國家有關規定，但是，有刑法上可追究的后果時，仍然有刑事責任。順便告訴大家的是，今天你可以用“同意”來合規，但終究有一天，這個同意會不好用，因為國際規則現在是在放棄同意。因為同意是不解決保護問題的，即便你有這么一個形式上的同意，也根本不能保護到在座各位。

因此，合規的重點是判斷你的行為是不是合法，你的使用是不是合法，使用過程中是不是侵犯了別人的利益，而不是同意。依據我們國家的法律規定，今天的合規非常簡單，就是事先讓用戶同意。實際上，同意既不能保護用戶的個人信息，也免除不了你的刑事責任。總之，個人信息流通的法律風險要高于自用，而現行法對合法的流通使用規范少之又少，既不能形成行為指引，也無法判斷合法或非法，于是《刑法》的禁止規范就成了企業的行為的“紅線”。在現階段，對于企業經營者來講，為避免牢獄之苦，還是應當守住這條紅線。

最后談談對企業的建議。

一個基本的建議，每個企業都應該分類分級管理各種數據，要把好獲取關口，搞好信息安全，因為不管怎么樣大家不要出事，安全第一。安全包括系統安全，也包括人為泄露。系統的安全好做，但是員工管理不太容易，現在很多問題的源頭都是“內鬼”。企業的管理重點是員工管理，要把員工手中使用的數據管好。數據的安全風險主要不是來自于技術，重要的是管好人，既包括員工，也包括與企業有往來的外人。

流通最重要的是確保去身份，同時不包含可能違反《刑法》規定的高危信息。對數據的分享和交換來說，如果全都照《刑法》司法解釋的規定進行合規，大家的業務就別做了。而要做就需要確保安全，守住底線。在我看來，重要的是簽好合同，使個人信息流通的每個環節能夠可控制、可追溯。在《刑法》的高壓下，企業應對風險的有效措施是對任何一個數據流通使用均要進行評估。對數據流通帶來的風險進行預測和評估，然后再決定要不要做、如何做。這是企業避免系統風險的最佳措施。在整個數據流通過程中不要隨意披露數據，所有數據的危害都在于公開披露讓人使用，尤其讓壞人使用。

今天要提醒所有企業的是，管理比法律更加重要，要把個人數據保護的問題加入到企業的每一份合同中，包括員工雇傭合同。

（2017年6月16日，“數據流通關鍵問題暨標準化研討會”在北京中國信息通信研究院舉行。本文據作者在本次研討會上發表的演講整理而成，由作者最終改定，授權澎湃新聞公開發表。）