6月2日上午，“2018數字政府與政務大數據建設高層研討會”在北京國際展覽中心召開，本次論壇由國脈數據研究院主辦，北京國脈互聯(lián)信息顧問有限公司、浙江蟠桃會網絡技術有限公司承辦，國脈海洋信息發(fā)展有限公司支持，來自國內政務大數據領域的管理者、研究者、實踐者等200余人到場參會。

▲2018數字政府與政務大數據建設高層研討會召開

　　北京市信息資源管理中心副主任穆勇發(fā)表了以“在財產規(guī)則和責任規(guī)則下的個人數據保護與共享”為主題的演講。他通過解讀歐盟《一般數據保護條例》（GDPR），指出我國現有個人數據保護法律法規(guī)與其相比定位較低，該條例的發(fā)布對國內企業(yè)有著立竿見影的巨大影響，為應對《一般數據保護條例》帶來的挑戰(zhàn)，政府要完善我國數據保護法律法規(guī)，企業(yè)要高度重視個人數據保護。

▲北京市信息資源管理中心副主任穆勇

　　以下是會議現場發(fā)言實錄（根據現場速記和錄音整理，未經本人審核）：

　　非常高興和大家分享個人數據保護問題。個人數據的保護和共享、開放是一對矛盾共同體。要想既保護個人的權益，又能夠進行開放和共享，就需要我們在深入研究的基礎上制定相關的規(guī)則，這里主要涉及到財產規(guī)則和責任規(guī)則。今天我要講的內容分為兩部分：第一，《一般數據保護條例》（GDPR）及其影響；第二，如何設計個人數據保護與共享機制。

　　一、《一般數據保護條例》（GDPR）及其影響

　　1. 《一般數據保護條例》發(fā)布

　　2018年5月25日，歐洲《一般數據保護條例》（GDPR）正式實施，這對我們個人信息保護、國內數據的管理，包括世界的數據管理產生了非常大的影響。我們要了解這個條例及其將給我們帶來的影響。

　　2．個人數據相關權利的歸屬

　　《一般數據保護條例》中把個人作為一個數據主體賦予了前所未有的權利。明確了很多之前不確定或有爭議的權利，如個人數據如何使用的知情權、數據處理的自由選擇權。在數據所有權方面，個人數據的“衍生數據”權也屬于個人，而不屬于企業(yè)。

　　3.個人數據內容的擴展

　　《一般數據保護條例》把個人的數據所包含的內容進行了大幅度的擴展。個人的姓名、身份證號、地址、網上標識都列為個人數據。這些數據的所有權全為數據主體。另外企業(yè)對個人數據加工處理后的數據按照條例也屬于個人，而非企業(yè)。

　　4. 數據控制者、數據處理者的義務和權利

　　《一般數據保護條例》中設立了數據控制者與數據處理者。它會對不同地區(qū)的企業(yè)的數據處理水平進行評估。只有達到它認可的水平，才會獲得歐盟所屬數據的傳輸。關于歐盟這些數據可以傳到這里面來，現在中國地區(qū)還未達到該認證水平，歐盟數據從云傳輸渠道無法傳入，這是目前面臨的很大問題。

　　5．違反規(guī)定將面臨高昂處罰

　　對于數據處理的違法行為，GDPR主要設定兩個等級的處罰。第一等級最高可處以1000萬歐元，或上一財年全球營業(yè)額2%，第二等級最高可處以2000萬歐元，或上一財年全球營業(yè)額4% 。GDPR確立了“長臂”管轄原則，將法律適用的屬地主義與屬人主義原則結合起來，擴大法律適用的域外效力。

　　我們的企業(yè)如果沒有達到GDPR的水準。第一將不能到歐盟國家開展業(yè)務；第二不能對歐盟國家的人員提供相應的服務，國內做的最好、響應最快的企業(yè)是國航。

　　6.我國個人數據保護的規(guī)則標準制定處在起步階段

　　在個人數據信息管理方面，我國也有相關的《網絡安全法》等一些法律規(guī)定，但有著分散、比較原則籠統(tǒng)、執(zhí)行困難等問題?，F有國家標準，法律定位非低，不能夠起決定作用。

　　7. 國內外個人數據保護環(huán)境對比與問題分析

　　國外特別是歐盟國家，非常重視個人數據的保護。而在國內，由于法律缺失、有些企業(yè)除了采集本身提交的數據之外，還通過各種渠道來搜集個人隱私數據來進行一些相關的活動，并且這樣的事情不是個例。有些互聯(lián)網公司正在獲取超出必要范圍內的用戶信息。

　　案例1：某公司通過某B2B、淘寶、天貓、支付寶等電子商務平臺，收集客戶積累的信用數據，利用在線視頻全方位定性調查客戶資信，再加上交易平臺上的客戶信息（客戶評價度數據、貨運數據、口碑評價等）。此外，據刊物報道，這家公司還會從微博、社交平臺、同學錄等獲取大事記、信用卡限額、訴訟信息、朋友圈、中小教育甚至既往病史等等，還能獲取婚姻狀況、投資偏好、配偶、擔保人、房貸車貸、個人和家庭年收入等信息。涉嫌違法《侵權責任法》中的患者個人隱私保護、《未成年人保護法》中的未成年人保護等法律，并適用《刑法修正案（九）》規(guī)定要件。

　　案例2：某旅游搜索引擎安裝一個App 用戶需要開放10多項權限許可，其將能否“允許讀取用戶的身份、短信、錄音、照片、視頻、位置、通訊錄、日歷活動、機密信息”等重要的個人信息作為使用其服務的前提條件。這種過度采集個人信息和采集信息濫用的“霸王條款”在互聯(lián)網企業(yè)的服務協(xié)議中非常普遍。

　　由于過度的包容，沒有守得住審慎的底線，造成各種嚴重侵權事件（如鄭州空姐被害、百度醫(yī)療事件等）時有發(fā)生，嚴重影響用戶對企業(yè)的信任。顯然，如果沿用“環(huán)境先污染后治理”方式已走不下去了。

　　8.數據保護與共享并重原則

　　數據共享的核心其實是信任。只有用戶放心，才會更多的進行共享。嚴格的法律保護能夠建立足夠的社會信心，使得數據可以在企業(yè)的層面得以流動，才有空間產生新產品和新產業(yè)，這是一整個良性循環(huán)的生態(tài)系統(tǒng)。

　　9．我國在個人數據保護上應與國際接軌

　　GDPR發(fā)布之后對我們的影響是立竿見影的。個人對數據保護的訴求會越來越高。如果企業(yè)不按照要求來做，很有可能失去市場，失去企業(yè)的價值。從全球其他發(fā)達經濟體來看，澳大利亞、新加坡、美國等，目前也都在做相應的數據保護工作。

　　在我國，正在推行“一帶一路”戰(zhàn)略的實施，企業(yè)要想走出國門，首先要突破GDPR這道天然屏障，特別是數字企業(yè)與互聯(lián)網企業(yè)。

　　10.機遇與挑戰(zhàn)并在，企業(yè)如何應對？

　　相較于中國對于數字技術運用十分友好的市場和信息監(jiān)管環(huán)境，后GDPR時代里在中國蓬勃發(fā)展的移動支付、電商、網上銀行的數字業(yè)務將在歐洲面臨更多關注，甚至招致歐盟數據監(jiān)管機構有針對性的調查。

　　首先，企業(yè)需要高度重視數據保護工作。特別是移動支付、電商、網上銀行方面的企業(yè)。濫用數據可能面臨高額罰款，甚至丟掉市場。

　　第二，完善數據主體的權利設置與行使操作規(guī)程。GDPR在賦予數據主體同意權、訪問權、可攜帶權、被遺忘權、更正權等重要權利外，還應當核實這些權利設置與行使是否符合GDPR的要求。

　　第三，加快完善相關規(guī)則，包括數據的處理機制、任命數據保護官，完善數據泄密報告與處理機制，大企業(yè)要有專門的人員來管理等。

　　第四，加快制定與完善我國數據保護法律法規(guī)。政府應當完善相關的法律法規(guī)，如果在這個領域處于一個比較低的層次和水平，我們將在國際間失去話語權。

　　第五，政府要以身作則。政府作為處理歐盟地區(qū)個人數據的“公共當局”，屬于GDPR規(guī)范的行為主體之一。GDPR的主要目標中，也包括限制政府對個人數據的搜集和使用，要讓政府更少地掌控公民數據，而不是更多。特別是北京這樣即將舉辦冬奧會的國際交往中心，更要提升政府個人數據保護水平。否則在大型國際交流活動中將面臨巨大問題。

　　第六，政府應為數字經濟發(fā)展保駕護航。政府積極制定各種鼓勵扶持政策，有效支持企業(yè)特別是中小企業(yè)提升數據治理水平，降低GDPR合規(guī)風險經濟企業(yè)成長。通過完善對話協(xié)商機制，與歐盟監(jiān)管當局開展平等對話協(xié)商，減少不必要的處罰與貿易糾紛。

　　二、如何設計個人數據保護與共享機制

　　在如今這種國際環(huán)境下我們再來看個人數據保護和共享機制的設計問題，這將涉及到財產規(guī)則和數據規(guī)則。

　　1.數據資源的權屬確定

　　首先是數據產權的問題，主要涉及到個人數據是屬于個人，還是屬于企業(yè)。數據權屬之所以難以理清，其原因有二：第一，數據收集處理和開放利用過程中涉及的主體多元，其活動經常相互交匯，不易清晰區(qū)分；第二，數據開放利用是一個不斷增添材料、不斷投入資源的過程，最終形成的數據資源或信息產品，是在多步驟操作下的結果。

　　政府的數據及其衍生數據的權屬也存在同樣的問題。政務數據資源的所有權歸全民所有，其產生和運維管理過程主要依靠公共財政的支持。任何單個主體，無論是黨政部門或企事業(yè)單位或個人，不能就政務數據資源主張排他性的權利。

　　2.國外的方法模式

　　在歐洲數據保護的方法有兩種模式，一種是完全屬于私有化。Mark A. Hall提出了一個數據資源私有化的觀點“醫(yī)療數據的所有權歸病人所有”。因此，是否開放醫(yī)療數據、以什么方式開放（有償或是免費）、在什么范圍內開放，全是病人基于自身情況考慮的問題。同時，為了激勵科學研究和對病患情況的共同討論，可以在個人同意的基礎上授權醫(yī)療機構和科研機構開放利用這些數據。

　　另一種是把它交給一個專門的公益性機構進行開發(fā)。Marc A. Rodwin提出一個公有產權的數據保護方法。由于醫(yī)療數據資源對于整體社會福祉來說至關重要，因此他認為醫(yī)療數據的所有權不屬于病人、醫(yī)療機構、保險企業(yè)等任何“私的主體”，而應是一種公有產權。各個不同主體應當把各自掌握的醫(yī)療數據交給一個專門設置的公共機構，由這個機構根據科學研究等公益目標來判斷是否開放、以及決定通過什么樣的方式、在什么范圍內開放。

　　3.理解財產規(guī)則與責任規(guī)則的含義

　　財產規(guī)則：如果一個主體在被賦權后，其他主體不支付經他或她本人同意的價格，不能取消該權利，該賦權被“財產規(guī)則”保護。

　　責任規(guī)則：如果一個主體在被賦權后，其他主體可以取消該權利，但必須支付客觀決定的價格，就說該賦權被“責任規(guī)則”保護。

　　4.不同的數據可以分別用到不同的權益、規(guī)則來處置

　　政府的數據向社會開放，因為政府數據是屬于全民所有的，而且是公益性的，這個規(guī)則應該是責任規(guī)則，所以政府普遍的數據開放是免費或者只能收成本費，這是我們給定的責任規(guī)則。而有些政府數據是需要大量的加工、處理，且只是為某些企業(yè)所開發(fā)，可以給它賦予財產規(guī)則，財產規(guī)則是必須要付一定費用的，這就是政府數據開放。

　　政府的數據如果需要某個企業(yè)的數據，也可以采用這兩種方式，第一種可以是責任規(guī)則，比如政府為了行使公共服務職能，為了維護公共利益，為了維護法治，為了國家的安全，需要企業(yè)提供數據，包括提供的個人數據，這需要采用責任規(guī)則。對于某類根據政府的目的和類型開發(fā)的數據，應賦予它財產規(guī)則。就是政府應當按提供者要求的價格付費購買該數據。

　　5. 政務數據開放模式建議

　　我國需要建設國家政府數據統(tǒng)一開放平臺，推進公共機構數據資源統(tǒng)一匯聚和集中向社會開放，引導企業(yè)、行業(yè)協(xié)會、科研機構、社會組織等主動采集并開放數據，共同探索政企合作的長效機制。

　　綜上談到個人數據的保護和利用，不是簡單的一個問題。需要我們處理好保護和共享的關系，處理好各方的權益，站在國際的視野上來考慮問題。謝謝大家！