非常高興能有這個機(jī)會和業(yè)界做一個交流，我的演講題目是《個人數(shù)據(jù)流通合規(guī)：現(xiàn)行規(guī)則檢討與建議》。

首先是數(shù)據(jù)的流通正當(dāng)性問題。

進(jìn)入大數(shù)據(jù)時代之后，數(shù)據(jù)的價值被重新發(fā)現(xiàn)和定義，任何數(shù)據(jù)都具有了潛在價值。同時并行的還有一個現(xiàn)象，即每一個單位、每一個企業(yè)都在囤積數(shù)據(jù)。大家都在囤積數(shù)據(jù)，就是自己利用自己的數(shù)據(jù)，就像是“自耕農(nóng)”，這不可能是大數(shù)據(jù)，大數(shù)據(jù)一定是來源多樣、大規(guī)模的數(shù)據(jù)。所以大數(shù)據(jù)時代首要的制度條件是數(shù)據(jù)的社會化利用。目前看來，自己利用自己的數(shù)據(jù)不可能走入大數(shù)據(jù)時代，所以數(shù)據(jù)的社會化利用是大數(shù)據(jù)戰(zhàn)略實施的關(guān)鍵。數(shù)據(jù)的社會化利用說白了就是讓他人能夠利用你的數(shù)據(jù)，你也能夠使用他人的數(shù)據(jù)。這樣的社會利用是通過數(shù)據(jù)的開放、共享、流通和交易實現(xiàn)的。

現(xiàn)在國際社會提到比較多的是政府?dāng)?shù)據(jù)的開放，因為大家認(rèn)為，政府?dāng)?shù)據(jù)是公共數(shù)據(jù)，當(dāng)然要拿出來開放，讓大家來用。實際上，數(shù)據(jù)開放也包括企業(yè)數(shù)據(jù)的開放和事業(yè)單位數(shù)據(jù)的開放。政府?dāng)?shù)據(jù)大多是公共數(shù)據(jù)，向社會開放理所當(dāng)然。企業(yè)數(shù)據(jù)呢？沒有相應(yīng)的激勵機(jī)制，讓企業(yè)開放數(shù)據(jù)并不那么容易。不過，數(shù)據(jù)只有在“流通”中，在“社會化利用”當(dāng)中才有價值，才有生命，數(shù)據(jù)放到?jīng)]人用的地方就是垃圾，沒有價值。所以企業(yè)數(shù)據(jù)也需要全面開放，才能發(fā)揮更大價值。企業(yè)數(shù)據(jù)開放是一個很復(fù)雜的事情，其前提是要承認(rèn)企業(yè)有什么樣的權(quán)利，你如果不承認(rèn)保護(hù)企業(yè)利益的話，企業(yè)數(shù)據(jù)利用之門不會輕易打開。

數(shù)據(jù)開放的目的是讓人使用數(shù)據(jù)，既可以讓特定主體使用，也可以讓不特定主體使用，由此產(chǎn)生出數(shù)據(jù)的利用方式，即共享和流通。共享是在特定主體之間（比如在座我們這些人之間）的一種開放，一種互相利用數(shù)據(jù)的模式。流通則是向有需求的第三人開放。流通是陌生人之間通過市場機(jī)制，根據(jù)需求提供數(shù)據(jù)，或者提出你能提供什么樣的數(shù)據(jù)，尋求需求方或“買主”。所謂的數(shù)據(jù)交易就是數(shù)據(jù)供需的市場化匹配機(jī)制，在市場化的概念指導(dǎo)下，讓數(shù)據(jù)供需真正實現(xiàn)社會化。它是數(shù)據(jù)流通的高級形式。

現(xiàn)在，數(shù)據(jù)流通被弄得有些“忌諱”，因為一直被貼上“非法”的標(biāo)簽。其實，我的理解是“使用就是流通，流通就是使用”。我覺得，數(shù)據(jù)讓人用，就需要公開或提供數(shù)據(jù)給人使用，這就意味著數(shù)據(jù)的流通。所以數(shù)據(jù)流通就是讓對方接觸到數(shù)據(jù)、讓人使用數(shù)據(jù)。很簡單，流通并不限于市場化的交易，其外延范圍非常廣。既可以是一對一的交換，也可以涵蓋到市場化的交易，流通是一個非常廣的概念，包括現(xiàn)實生活中普遍存在的合作分享、交換等等。社會化程度最高的流通是不特定主體之間數(shù)據(jù)供需的匹配，即數(shù)據(jù)交易。

在座各位都是搞數(shù)據(jù)的，你們很可能處于數(shù)據(jù)產(chǎn)業(yè)鏈條的某一方，也許是數(shù)據(jù)供應(yīng)方、需求方、加工處理方，不管做什么，都會涉及數(shù)據(jù)流通。我們在大平臺里的個人數(shù)據(jù)被很多商家分享，這種分享其實就是流通。前一段時間的菜鳥和順豐事件，大家知道，歸根結(jié)底就是數(shù)據(jù)交換的問題。我們要發(fā)展大數(shù)據(jù)產(chǎn)業(yè)，必須建構(gòu)一個規(guī)范可控的數(shù)據(jù)流通機(jī)制。眾所周知，數(shù)據(jù)的黑產(chǎn)即黑色產(chǎn)業(yè)是數(shù)據(jù)流通的天敵。我們現(xiàn)在講的是規(guī)范的流通，是滿足社會需求的法律承認(rèn)的數(shù)據(jù)流通。但是，現(xiàn)在數(shù)據(jù)黑產(chǎn)成了我們的敵人。

因為數(shù)據(jù)黑產(chǎn)非常發(fā)達(dá)，從撞庫、洗庫、拖庫，做成產(chǎn)品再實施詐騙，產(chǎn)業(yè)鏈很清晰，所以，如果不能把這種鏈條消滅掉，不能遏制的話，正規(guī)的數(shù)據(jù)流通是不可能進(jìn)行的。這個東西具有社會危害性，運用數(shù)據(jù)進(jìn)行各種違法犯罪活動，包括詐騙、敲詐勒索等，現(xiàn)在《刑法》應(yīng)該針對數(shù)據(jù)黑產(chǎn)，迫切需要舉全國之力嚴(yán)厲打擊，因為它是數(shù)據(jù)合法流通，是大數(shù)據(jù)產(chǎn)業(yè)的“天敵”。

其次，數(shù)據(jù)流通的法律基礎(chǔ)。

這涉及數(shù)據(jù)到底是什么的問題。是不是每個持有數(shù)據(jù)的人可以擁有數(shù)據(jù)的所有權(quán)呢？我的結(jié)論是，“數(shù)據(jù)不能為任何人所有，但是可以為任何人所用”，這是我從2000年開始研究數(shù)據(jù)、信息財產(chǎn)以來得出的基本結(jié)論。現(xiàn)在大家都在講數(shù)據(jù)賦權(quán)，在我看來，不可能有一個類似于所有權(quán)的權(quán)利，對數(shù)據(jù)也不可能有知識產(chǎn)權(quán)那樣的排他性支配權(quán)。

數(shù)據(jù)持有者可以使用數(shù)據(jù)，享有數(shù)據(jù)控制和使用的權(quán)利，但是有一個前提，即必須承認(rèn)和尊重數(shù)據(jù)上的利益相關(guān)方。數(shù)據(jù)是人類社會共同可以使用的“工具”，該“工具”上存在需要保護(hù)的利益，因為數(shù)據(jù)上可以留下你的痕跡或添附的價值。合規(guī)既要解決數(shù)據(jù)利用不侵犯別人權(quán)利的問題，又要解決數(shù)據(jù)利用符合法律規(guī)定的問題，具體是合乎國家安全、商業(yè)秘密、有害信息方面的規(guī)定。只要你的數(shù)據(jù)使用合乎法律的規(guī)定，不逾越法律的強制性規(guī)范，能尊重數(shù)據(jù)上的權(quán)利以及他人的利益，那么你就都可以用，也就是對數(shù)據(jù)享有事實上財產(chǎn)權(quán)。因此，數(shù)據(jù)的合規(guī)變得非常重要，是數(shù)據(jù)使用和流通的前提。

大家接著會問，數(shù)據(jù)上到底有什么權(quán)利，有什么利益？如果把數(shù)據(jù)上的利益大致劃分一下，我覺得有兩類。

第一類，數(shù)據(jù)來源者的利益。從源頭來講，現(xiàn)在討論最多的是與個人有關(guān)的數(shù)據(jù)。與個人有關(guān)、能夠識別某個個人的數(shù)據(jù)被稱為個人數(shù)據(jù)。通過個人數(shù)據(jù)，我們能夠識別到某一個人，比如你有什么特征、你是哪里的人、怎么聯(lián)系你、你的身份信息以及個性特征等。這里的識別可劃分為兩類，一類是識別你是誰，這是屬于身份識別；另外一類是識別你是什么樣的人，比如你有什么愛好、你有什么特征。國際社會講到識別的時候，更多是強調(diào)后面的個性識別，而不是身份識別。因為標(biāo)識身份是一個人對外交往的手段，披露個人聯(lián)系方式也是開展社會交往必不可少的要素，其本身并不需要受到法律干預(yù)。但是，一旦可以直接聯(lián)系到個人身份的信息被不法分子利用，就可能對個人的人身或財產(chǎn)安全造成威脅，有人可能假冒身份行騙，甚至“精準(zhǔn)”詐騙，危害到人們的安全。因此，身份信息無序使用、濫用具有潛在的社會危害。

個人數(shù)據(jù)可以用來“識別”，是不是意味著你擁有的數(shù)據(jù)（信息）他人不能用呢？不是，你不能對這個信息本身進(jìn)行控制，你只能控制：別人使用的時候不得侵害你的利益，你的人格尊嚴(yán)不被人歧視，別人的使用不妨礙你自主決定的自由，等等。這意味著，你不能阻止別人使用你的個人信息，但是你可以對他人濫用你的信息說“不”，以保護(hù)對你個人數(shù)據(jù)的使用不侵犯你的權(quán)益。

從源頭來講，還有來源于企業(yè)組織的信息。現(xiàn)實中有大量數(shù)據(jù)是與個人沒有關(guān)系，但與企業(yè)或其他組織有關(guān)。有沒有企業(yè)信息呢？我認(rèn)為有。這方面大家還沒有研究，因為現(xiàn)在國際社會的立法也僅關(guān)注到與個人有聯(lián)系的個人信息的保護(hù)。這需要我們進(jìn)一步思考（這也就是數(shù)據(jù)賦權(quán)重點需要關(guān)注的領(lǐng)域），這里就不再贅述。以上是從源頭的角度出發(fā)的理解。

第二類，數(shù)據(jù)加工者利益。數(shù)據(jù)從源頭采集到加工利用，這就有了加工者的利益。原生數(shù)據(jù)需要處理和加工才能利用，才有價值，這就有了原材料加工成產(chǎn)品的加工者利益。因為數(shù)據(jù)不斷使用和處理，每一次使用處理都會有增值，這種增值的利益也需要保護(hù)。大家做出來數(shù)據(jù)產(chǎn)品，憑什么賺錢？簡單地回答就是勞動應(yīng)當(dāng)?shù)玫交貓蟆！皠趧油度搿辟x予了與原始數(shù)據(jù)相比不一樣的價值，這個價值需要實現(xiàn)，需要法律保護(hù)。

我覺得數(shù)據(jù)上的利益就這么兩類需要保護(hù)，一類是從源頭產(chǎn)生的利益，一類是從數(shù)據(jù)加工處理中產(chǎn)生的合法利益。但是這個保護(hù)并不是說，要給產(chǎn)品加工人對這個數(shù)據(jù)絕對的支配權(quán)，這是不可能的，而是要給產(chǎn)品加工人實現(xiàn)利益的權(quán)利，不僅可以許可使用或提供服務(wù)，而且防范他人不正當(dāng)?shù)孬@取。這并不是今天討論的重點。

第三，數(shù)據(jù)合規(guī)審查。

數(shù)據(jù)合規(guī)管理的目的是，在符合法律規(guī)定、不侵犯他人權(quán)益的情況下合理使用數(shù)據(jù)。合規(guī)審查貫穿數(shù)據(jù)使用的全過程，包括收集獲取、持有控制、處理使用、提供共享流通等，全產(chǎn)業(yè)鏈條的每一個環(huán)節(jié)都要合規(guī)。合規(guī)審查所依據(jù)的應(yīng)該是現(xiàn)行的法律法規(guī)，包括國際準(zhǔn)則以及行業(yè)規(guī)范。

我們國家關(guān)于個人信息保護(hù)的法律法規(guī)是從2012年開始建立的，2013年修訂的《消費者權(quán)益保護(hù)法》，2016年11月通過的《網(wǎng)絡(luò)安全法》等，是現(xiàn)在最高規(guī)格的關(guān)于個人數(shù)據(jù)的規(guī)范。目前這些法律確立了什么樣的規(guī)則呢？基本規(guī)則是，非經(jīng)個人數(shù)據(jù)主體的同意，不得收集使用數(shù)據(jù)。這樣的規(guī)則帶來一個什么問題呢？它隱含著個人數(shù)據(jù)歸屬于個人、個人對個人數(shù)據(jù)有控制權(quán)的意思。這意味著，非經(jīng)個人的同意使用數(shù)據(jù)就是侵權(quán)。

大家如果有一點常識的話，就不難理解：既然法律說了，個人信息的收集和使用需要本人同意，這就意味著，數(shù)據(jù)的使用個人“說了算”，這一意志力受到法律保護(hù)就意味著法律賦予了個人對個人數(shù)據(jù)的控制權(quán)或財產(chǎn)權(quán)，類似于所有權(quán)。知識產(chǎn)權(quán)的基本規(guī)則是，非經(jīng)權(quán)利人同意使用他人知識產(chǎn)權(quán)構(gòu)成侵權(quán)。如果所有個人數(shù)據(jù)都需要個人同意才能被使用，就意味著個人數(shù)據(jù)具備類似于知識產(chǎn)權(quán)那樣的權(quán)利，叫做絕對權(quán)、排他權(quán)。但這是不符合現(xiàn)實的，也是不正確的。我可以很負(fù)責(zé)地告訴大家，世界上沒有這樣的規(guī)則。

大家知道歐盟2016年通過、將于2018年實施的《統(tǒng)一數(shù)據(jù)保護(hù)條例》中并沒規(guī)定個人的同意權(quán)。為什么沒有規(guī)定？它認(rèn)為有了同意權(quán)就是給了個人對個人數(shù)據(jù)的支配權(quán)。因此，將個人同意作為個人數(shù)據(jù)使用的前提，至少法律效果上和歐盟的規(guī)則是不一致的。

第四，個人數(shù)據(jù)同意需要完善。

我要講一下《民法總則》。《民法總則》第一百一十一條是這樣規(guī)定的：“自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”這樣的規(guī)范只宣示個人信息受到法律保護(hù)，并沒有說個人對個人信息擁有什么樣的權(quán)利。沒有正面的回答個問題，只是說你要獲取他人信息的時候必須依法并確保安全。這是你使用個人信息的行為準(zhǔn)則。

依據(jù)剛才提到的法律規(guī)范，對個人信息的收集和使用必須本人同意；而《民法總則》做出的是消極性的規(guī)范，即不得非法收集、使用、加工、傳輸，不得非法買賣、提供。

大家知道《民法總則》是基本法，《民法總則》這樣的規(guī)定，我認(rèn)為還是給我們產(chǎn)業(yè)帶來了一些希望。這個希望就是，既然《民法總則》并沒有提到必須“同意”，如果現(xiàn)行法律一律得個人同意的規(guī)定不正確，那么我們還有可能修改那些特別法。按照我的設(shè)想，要確立這樣的規(guī)則：并非收集和使用個人信息一律必須征得同意；但是涉及敏感信息等需要特別保護(hù)時，必須征得同意；提供給外人使用或流通時必須征得同意，并嚴(yán)格同意的條件。要讓同意起到應(yīng)有的作用，不讓同意成為非法使用個人信息的保護(hù)傘。

第五，《刑法》司法解釋的內(nèi)容。

根據(jù)現(xiàn)行法，未經(jīng)同意收集使用個人信息不僅涉及侵權(quán)，還有刑事責(zé)任。大家知道，2009年《刑法修正案（七）》宣布，非法獲取公民個人信息、出售或者非法提供個人信息是可以入刑的，當(dāng)時最高刑期是三年。2015年《刑法》修訂后，最高刑期就改為七年。2017年5月，最高人民法院、最高人民檢察院公布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，該解釋已于6月1日起施行。這個司法解釋從信息類型、信息用途、違法所得、主觀惡意這樣一些方面，詳細(xì)規(guī)定了侵犯公民個人信息犯罪的入刑標(biāo)準(zhǔn)，即什么行為視作《刑法》相關(guān)條款規(guī)定的“情節(jié)嚴(yán)重”，什么行為視作“情節(jié)特別嚴(yán)重”。

在信息類型方面，該解釋將兩類信息視作高危信息，認(rèn)為這類信息的流通會帶來社會危害性，所以應(yīng)該予以制止。一類是涉及行蹤軌跡、通信內(nèi)容、征信、財產(chǎn)的信息。我對行蹤軌跡的解釋是，它不應(yīng)該包括網(wǎng)絡(luò)瀏覽軌跡，應(yīng)該是網(wǎng)絡(luò)瀏覽軌跡聯(lián)系或?qū)?yīng)的現(xiàn)實的地理信息、位置信息，不是網(wǎng)絡(luò)軌跡，而是現(xiàn)實中的地理位置、移動軌跡。如果對純粹的網(wǎng)絡(luò)瀏覽軌跡，都規(guī)定非法獲取、出售或者提供五十條以上就算“情節(jié)嚴(yán)重”的話，那所有人都不要做大數(shù)據(jù)了。因此，行蹤軌跡不能解釋為網(wǎng)絡(luò)瀏覽軌跡。

這一類信息明顯是直接危害到了大家的人身安全和財產(chǎn)安全，因此，依據(jù)上述司法解釋，這類信息非法獲取、出售或者提供五十條以上，即構(gòu)成“情節(jié)嚴(yán)重”。

第二類信息主要是和大家的人格尊嚴(yán)、隱私有關(guān)，當(dāng)然也涉及到安全問題，如住宿信息、通信記錄、健康生理信息、交易信息。對這一類信息，司法解釋的規(guī)定是非法獲取、出售或者提供超出五百條的，即構(gòu)成“情節(jié)嚴(yán)重”。對其他信息，司法解釋的規(guī)定是超過五千條的構(gòu)成“情節(jié)嚴(yán)重”。

信息的用途也是“情節(jié)嚴(yán)重”考量的重要因素。如果是行蹤軌跡，只要是別人利用了你提供的行蹤軌跡實施了綁架等犯罪活動，不管你知道不知道，都要入刑，刑期至少為三年。假如你出售提供信息的時候明知道或者應(yīng)當(dāng)知道它是用來違法犯罪的，那么你也應(yīng)該入刑，這個是不受信息條數(shù)限制的。

“違法所得”作為情節(jié)嚴(yán)重的因素，很值得人們推敲。如果你是專門從事數(shù)據(jù)買賣的，非法獲取數(shù)據(jù)并出售提供牟利，你賺到五千塊錢就入刑，屬于“情節(jié)嚴(yán)重”的，刑期最高為三年。該司法解釋還規(guī)定，為合法經(jīng)營活動而非法購買、收受公民個人信息，獲利五萬元以上的，構(gòu)成“情節(jié)嚴(yán)重”。如果你單純買賣信息賺五千塊錢，這個是很好計算的，賣多少條，一條多少錢，做乘法就可以了。但合法經(jīng)營，比如做精準(zhǔn)營銷廣告，或者企業(yè)進(jìn)行產(chǎn)品開發(fā)，賺到五萬塊錢很容易。一條廣告就可以賺這么多錢。很多人認(rèn)為，這個解釋給合法經(jīng)營格外開恩。我認(rèn)為，因為五萬塊錢非常容易計算，如果沒有適當(dāng)?shù)挠嬎惴椒ǎ凑者@個解釋定下的標(biāo)準(zhǔn)，我們現(xiàn)在所有的企業(yè)都可以入刑。哪個企業(yè)沒有買賣信息的？

因此，合法經(jīng)營應(yīng)該有一個限定，購買和收受信息用于合法經(jīng)營活動，而不涉及出售、倒賣個人信息，就不宜單純用賺多少錢作為入刑的標(biāo)準(zhǔn)。否則，這個司法解釋就凍結(jié)了我們的大數(shù)據(jù)產(chǎn)業(yè)，真的認(rèn)真執(zhí)行的話許多人就可以進(jìn)監(jiān)獄了，許多企業(yè)都將被關(guān)閉。

第六，我們該如何開展“合規(guī)”？

我們有非常嚴(yán)苛的法律，就意味著我們必須重視合規(guī)管理，否則將面臨許多法律風(fēng)險甚至牢獄之災(zāi)。數(shù)據(jù)合規(guī)管理的首要問題是收集合法。有人問什么信息不能收集，我的回答是什么數(shù)據(jù)都可以收集，沒有不可以收集的，但是收集必須合法。還是剛才講到的，要么獲取同意，要么有明確的法律事由。

對該司法解釋中提到的“合法收集”這個概念，我有一個基本的看法。與業(yè)務(wù)有關(guān)的收集在所有國際規(guī)則里都是不需要同意的，但我們國家是需要同意的，合規(guī)的時候必須做到，收集信息必須經(jīng)過同意。另外，《網(wǎng)絡(luò)安全法》對超越范圍是有規(guī)定的，這部法律針對的是網(wǎng)絡(luò)運營商，但是我認(rèn)為其他企業(yè)今后也要依據(jù)這一規(guī)則，超合理需要或必要范圍收集個人信息也不行，要承擔(dān)行政責(zé)任。通過公開的途徑獲取是都沒有問題的，現(xiàn)在這種情況基本上沒有人規(guī)范。抓取公開的網(wǎng)絡(luò)信息就屬于這種情況。但因為抓取的信息不能具體到特定的用戶，只能用于一些分析，捕捉一些信息做輿情分析，這方面的規(guī)范沒什么太大的意義。

合法獲取個人信息之后，就是使用合規(guī)了。使用包括自己使用和提供給他人使用。自己使用的合規(guī)，重在信息安全、防止泄露、不得侵犯個人隱私等，這方面的合規(guī)管理相對簡單一些。但是，提供給他人使用（流通使用）的合規(guī)管理就非常難辦了，因為按照上述兩高的司法解釋，一切涉及業(yè)務(wù)合作、貿(mào)易往來的公民個人信息的出賣與購買、交換與共享、提供與收受，均納入《刑法》調(diào)整，具有入刑的可能性，其條件為，違反“國家有關(guān)規(guī)定”且情節(jié)嚴(yán)重。

現(xiàn)行法律有關(guān)數(shù)據(jù)合法流通使用的規(guī)定主要表現(xiàn)為經(jīng)個人同意，或者“經(jīng)過處理無法識別特定個人且不能復(fù)原的”。在這樣簡陋的法律規(guī)定下，獲取個人同意就成了個人信息流通使用的最為簡單的合規(guī)措施，同意成為數(shù)據(jù)利用者的尚方寶劍，似乎只要有了同意就可以不承擔(dān)所有的責(zé)任。這就是最近為什么許多企業(yè)在重新修訂各自的用戶協(xié)議或隱私政策，讓用戶盡可能同意更多的事項。

問題在于，這樣不確定將來流向和用途，只是籠統(tǒng)的業(yè)務(wù)合作方或業(yè)務(wù)關(guān)聯(lián)的第三方的同意是否為有效的同意，仍然有待司法裁判明確。而且即使這是有效的同意，假如個人信息因流通而泄露或者導(dǎo)致違反犯罪，產(chǎn)生了社會危害，恐怕個人信息流通的關(guān)聯(lián)方也難逃其責(zé)。因此，做到同意，你的企業(yè)個人信息流通利用顯然沒有違反國家有關(guān)規(guī)定，但是，有刑法上可追究的后果時，仍然有刑事責(zé)任。順便告訴大家的是，今天你可以用“同意”來合規(guī)，但終究有一天，這個同意會不好用，因為國際規(guī)則現(xiàn)在是在放棄同意。因為同意是不解決保護(hù)問題的，即便你有這么一個形式上的同意，也根本不能保護(hù)到在座各位。

因此，合規(guī)的重點是判斷你的行為是不是合法，你的使用是不是合法，使用過程中是不是侵犯了別人的利益，而不是同意。依據(jù)我們國家的法律規(guī)定，今天的合規(guī)非常簡單，就是事先讓用戶同意。實際上，同意既不能保護(hù)用戶的個人信息，也免除不了你的刑事責(zé)任。總之，個人信息流通的法律風(fēng)險要高于自用，而現(xiàn)行法對合法的流通使用規(guī)范少之又少，既不能形成行為指引，也無法判斷合法或非法，于是《刑法》的禁止規(guī)范就成了企業(yè)的行為的“紅線”。在現(xiàn)階段，對于企業(yè)經(jīng)營者來講，為避免牢獄之苦，還是應(yīng)當(dāng)守住這條紅線。

最后談?wù)?strong>對企業(yè)的建議。

一個基本的建議，每個企業(yè)都應(yīng)該分類分級管理各種數(shù)據(jù)，要把好獲取關(guān)口，搞好信息安全，因為不管怎么樣大家不要出事，安全第一。安全包括系統(tǒng)安全，也包括人為泄露。系統(tǒng)的安全好做，但是員工管理不太容易，現(xiàn)在很多問題的源頭都是“內(nèi)鬼”。企業(yè)的管理重點是員工管理，要把員工手中使用的數(shù)據(jù)管好。數(shù)據(jù)的安全風(fēng)險主要不是來自于技術(shù)，重要的是管好人，既包括員工，也包括與企業(yè)有往來的外人。

流通最重要的是確保去身份，同時不包含可能違反《刑法》規(guī)定的高危信息。對數(shù)據(jù)的分享和交換來說，如果全都照《刑法》司法解釋的規(guī)定進(jìn)行合規(guī)，大家的業(yè)務(wù)就別做了。而要做就需要確保安全，守住底線。在我看來，重要的是簽好合同，使個人信息流通的每個環(huán)節(jié)能夠可控制、可追溯。在《刑法》的高壓下，企業(yè)應(yīng)對風(fēng)險的有效措施是對任何一個數(shù)據(jù)流通使用均要進(jìn)行評估。對數(shù)據(jù)流通帶來的風(fēng)險進(jìn)行預(yù)測和評估，然后再決定要不要做、如何做。這是企業(yè)避免系統(tǒng)風(fēng)險的最佳措施。在整個數(shù)據(jù)流通過程中不要隨意披露數(shù)據(jù)，所有數(shù)據(jù)的危害都在于公開披露讓人使用，尤其讓壞人使用。

今天要提醒所有企業(yè)的是，管理比法律更加重要，要把個人數(shù)據(jù)保護(hù)的問題加入到企業(yè)的每一份合同中，包括員工雇傭合同。

（2017年6月16日，“數(shù)據(jù)流通關(guān)鍵問題暨標(biāo)準(zhǔn)化研討會”在北京中國信息通信研究院舉行。本文據(jù)作者在本次研討會上發(fā)表的演講整理而成，由作者最終改定，授權(quán)澎湃新聞公開發(fā)表。）