孟庆国：数字化转型背景下的数据权与数据治理

来源：2019-08-09 11:30

　　编者按：7月27日，第十四届“清华大学公共管理高层论坛：高质量发展与现代治理体系”在成都开幕，孟庆国教授在主题为“智能互联时代的公共治理”的分论坛上发言。现将发言实录整理如下，与读者分享。

　　　　清华大学公共管理学院教授

清华公共管理与决策科学实验室主任

孟庆国

　　各位专家，各位校友，大家下午好。

　　非常荣幸有这个机会给大家做一个交流，我交流的题目是：数字化转型背景下的数据权与数据治理。

　　为什么要谈数据权的问题？互联网和大数据的日益发展，不管对经济、社会，还是我们政府管理，数据都带来了越来越深入的影响，可以说我们正面临着全面的数据驱动的数字化转型。在深入数字化转型的大背景下，从未来竞争的特征来看，很多研究已有一个判断：从产品服务的竞争开始转向平台生态的竞争，而平台生态竞争的下一步就是面临着数据的竞争。举几个简单的例子，比如说这一次中美贸易冲突，华为所面临的很多挑战不是产品和服务的问题，更多的是生态的问题，再往下一步讲是数据竞争的问题。不知道大家在实际中有没有感受，比如说在京东上浏览了一下相关商品的信息，你就会在随后打开的抖音上，看到与此商品相关的广告信息，这说明你在京东上的浏览数据，被抖音抓取使用了。欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）出台之后，像Facebook、谷歌可能会面临高额的罚款，因为他们平台汇聚了很多用户数据，这些用户数据可能被滥用，会带来了非常大的风险，按照GDPR的规定，他们可能会面临高额的罚款。再比如，大家常用的今日头条，今日头条的广告2017年有150亿，2018年超过500亿，这500亿主要是基于用户数据开发和使用的。所以，数据越来越重要，成为了新的竞争之源。如何促进数据的开发使用，又能很好地规避风险，对数据确权就非常必要。数据权成为大数据发展和应用中非常重要的核心概念，越来越受到大家的关注。我今天主要跟大家讲三个方面的内容。

　　为什么要讨论数据权？

　　在未来生态竞争转向数据竞争的大背景下，数据的价值日益显现，尤其是大数据的创新应用下，数据成为新的增长要素和资产。个人数据的保护、国家的数据安全迫切要求，数据权的界定成为当前非常迫切的内容。跨境的数据流动带来的各种各样的潜在风险，包括政治安全风险，所以我们也要界定数据主权的概念。当然了，数据权是一个非常复杂的概念，因为“数据”不同于传统形态下的生产要素和资产，我们对后者要素的权利属性比较容易界定，但是由于数据自身的特殊性，往往很难界定，或者说需要做很多的思考和研究，才能把数据权界定清楚。

　　目前数据的类别至少可划分为四类：一类是传统信息系统产生的数据。这个数据面广量大，特别是数字城市、电子商务、电子政务系统中产生的数据非常多。第二类数据是环境状态数据。主要是通过机器产生，如各类的摄像头和各种感知终端所生成的数据。第三类数据是社会行为数据。如在社会交往过程中，大家有利用社交媒体平台。大家各种交流分享的内容，被以数据化的方式记录和留存，因此形成了很丰富的数据资源。第四类是物理的实体数据，特别是将来随着VR/VA技术进一步的演进和发展，随着3D打印或者工业互联网的进一步产生，这些数据也成为新的数据形态加入大数据的行列中来。

　　在不同的场景下，我们需要对这些数据的权属加以分析，以便构建不同的治理机制，使得数据资源得到充分利用，同时又能够维护数据的安全，避免产生风险。如果数据权不明确，可能很多工作就很难开展。比如说我们最常讲的个人隐私保护问题，像电商平台上的数据，由于没有界定其权属，甚至在某种程度上存在被滥用的风险。但是从数据权的角度，这些平台上的数据该怎么定义？这个数据的归属权是谁？所有权是谁？比如在淘宝上，我们发起一个订单，这个订单以数据形式留存，平台企业利用这些信息对用户进行画像，以此进行广告的推送。有了这些数据，平台企业甚至可以创新业态，就像蚂蚁金服类似的互联网金融服务。这些数据在某种意义上是用户的数据，如果平台企业以此产生经济收益，那么作为数据主体的消费者，该不该有一些利益上的分成？这些问题很复杂，都要基于数据权做深入研究，才能构建利益的分配机制。如果数据权不能明确的话，个人的数据保护和收益、数据的有效流动，包括政府部门的数据共享与开放，都会因此面临风险。即使现在不会出现风险，也可肯定潜在的风险是很大的。所以，讨论数据权非常关键，也非常必要。

　　数据权的内涵与概念分析

　　怎么看“数据权”这个概念？首先我们要看数据的特征，尤其是基于互联网产生的各种数据有什么特征。第一，这些“数据”肯定不是物，原有对于不动产的权利界定显然不适合数据权的界定。它可能也不是智力成果，如版权或者知识产权。对知识产权或者版权的界定，显然也不适合用于界定数据权。还有，虚拟资产的概念，类似网络游戏中的虚拟资产，按虚拟资产来界定数据权行不行呢？显然也是不合适的。这是数据的一个非常独特的特征，原有对于权利的治理体系，我认为也适合不了对数据的治理。数据第二方面特征是：数据是存于计算机设备和网络上，无法脱离这些载体而存在。这些设备和网络，是具有物权属性的设施和设备。数据的第三个方面特征是：数据的流动受到平台、协议、代码等的控制，不可能独立完成。不管数据在开放、共享或者交易中，它不能脱离设施平台而单独实现。第四方面的特征是：数据具有无形性、非独占性，也有共享性的特征等。从这些特征分析来看，讨论数据权的问题，不能简单照搬传统的权利属性和概念。

　　回到问题的本源，去看互联网平台上的数据，能不能做一个分类。一般来讲，平台上的数据可以区分为：个人数据和非个人数据。个人数据是什么？涉及数据的可识别性问题。通过数据的识别，如果能够和一个自然人相对应的话，那么这个数据一定是个人数据。如果识别不出来，或者通过大数据关联比对的方式，还是识别不出来与某个自认人相对应，我们把这个数据称为非个人数据。当然这个定义虽然比较抽象和复杂，但是能让我们以此理解网络平台数据属性的划分。

　　那么，这个数据的主体和控制者是谁？可以通过标识符，比如姓名、身份证、地址信息等能够确认自然人的身份，这个自然人就是数据主体。数据主题不一定是数据的实际控制者，就像淘宝平台上的数据。订单数据的主体是消费者，但是数据的实际控制者是淘宝购物平台。所以，数据主体和数据控制者要界定清楚，然后才能讨论彼此的权利归属。

　　对于个人数据而言，通常意义上来讲，是在传统人格权的基础上又赋予了基于数据特征的一些权利属性。传统人格权主要是指精神上的保护，比如名誉受损、肖像权被侵害之类，更多是基于精神或隐私保护的权利诉求。但是大数据时代下，个人数据具体某种的价值属性，或者说利益属性的权利性质。所以，个人数据的权利属性，既不同于传统的人格权，同时又具备财产的属性。这种新型的人格权，还包括诸如知情同意权（明示同意权）、数据修改权（修正权、更正权、撤回权、注销权）、数据可携权（GDPR：允许数据主体从数据控制者处获取个人信息副本，并可以无障碍地转移至另一个数据控制者）、数据被遗忘权（删除权、撤回权、注销权）、限制处理权（反对权、拒绝权）等。比如，下载使用一个APP时，APP要读取手机里的通信录，这个要经过手机用户的知情同意，这就是知情同意权。如果APP没有征求用户意见，或用户不同意，它还读取，则它的读取是非法的。欧洲GDPR强调了数据被遗忘权。什么是数据被遗忘权呢？比如在百度上搜索一条信息，那条信息对某用户非常不好，这条信息可能是过往发生的事情，用户不太愿意那个信息一直留存在搜索页面上，那么他作为数据主体，有权提出来让搜索平台把这条数据删除，这就是数据被遗忘权的概念。所以，基于人格层面的考虑，数据人格权比传统人格权涵义范围更大，存在很多新的权利形态，所以在一些国家和地区提出了很多意义的新型人格权的概念。另外，就个人数据来讲，我们认为它应该是用户自主控制下的数据信息，是可以适当传播的一种权利，这样它就既包括精神利益的权利，同时也有一定的财产权利。

　　关于被遗忘权，我们国家前些年出现了一个司法案例。2014年的时候，有一个从业者在一家教育机构工作，后来辞职离开了这家机构。也就是说，这个人和这家机构之间已经没有任何关系了。但是后来这个教育机构在搜索平台上出现了负面信息，而且这些信息和这位从业者的名字经常在一起，也即这家教育机构的负面消息和他的名字在搜索页面上经常出现在一起。所以这个数据主体就向法院提出诉讼，要求搜索平台删除与他相关的这些信息。这就是一个典型的数据可不可以被遗忘的例子。这个判例最终没有支持数据主体的法律诉求，诉讼失败了。但是，后来审理法官面对媒体的时候解释说，这个诉讼没有成功，并不意味着我们国家将来不承认数据被遗忘权。

　　数据被继承权也有类似的案例。如，用户在Facebook上的帐户信息，可以传给子女吗？这是一个非常复杂的问题，如果不承认数据继承权的话，那也就意味着数据资产继承不了。这显然不符合需求情况。有的数据具有非常强的财产属性，数据应该可以继承，又如何面临继承数据中可能存在的隐私问题呢？

　　数据必须依托介质，依托网络、各种各样的算法和交易工具才会存在。所以，在讨论数据权时，还有一个非常重要的概念，即数据集及其控制主体的权利性质。比如，淘宝、微信平台，实际上都是数据集或数据库形式存在。阿里巴巴和腾讯作为这些数据集的控制主体，它该有什么权利?如果说平台上的数据都是用户的，这对于平台企业来讲是很不利的。为什么？第一，这些数据平台企业无任何权利可以使用，这就产生不了新的创新应用和新业态，数字经济就会面临很大的问题。数据集里边的数据包括个人数据，也包括非个人数据。比如这个数据是企业来收集整理的，所采集的数据与任何自然人、数据控制主体都没有关系，那么这个数据集则具有完全意义上的知识产权属性。如果这个数据集里边有个人数据，这就存在一个法律临界性的权利问题，就像我们编了一本书，书中的每篇文章都有独立读者，但是编者编这个书也会享有一定的著作权，尽管是非独创性的。平台利用这些数据去创新商业模式的时候，应该在某种程度上得到局部认可其归集数据的贡献，享有有限的数据所有权。第二，商业秘密。比如淘宝数据、微信数据，如果这个数据一旦别人全部下载，可能就意味着失控。从这个意义上来讲，商业机密的权利属性可以进行参考和使用。第三，数字财产权。数据尽管属于每个消费者和用户，但是因为有类知识产权的属性，所以归属企业新的财产权的属性，尽管它不是完全意义上的所有权。所以基于这个数据来讲，数据就有采集权、归集权、使用权、收益权。所以类似淘宝的互联网平台，它就是基于这种新型的财产权可以获得经营，获得创新商业模式，带来一定收益。

　　基于数据权的数据治理

　　前面是我们对数据权的基本概念及其类别做了一个简单的梳理，那么什么是基于数据权的数据治理呢？实际上，治理的核心就是追求一种平衡，即数据开发使用和数据安全保护上的平衡，尽管我们不能像欧洲GDPR那样过于强调个人数据的保护和安全。

　　基于对数据权的界定，在数据保护视角下，数据治理采取的更多是防御性的而非积极性的治理，而基于数据开发视角的数据治理是积极性的，而非消极的治理。不管是积极的，还是消极的，都需要消费者、数据平台方，包括其他利益相关方，来共同面对基于数据权的数据治理体系的构建。目前，非常可喜的现象是各级政府都成立了大数据管理机构或大数据中心，这些机构不单要推进数据的整合、共享和开放，还应该对数据背后的数据权以及与数据权相适应的治理体系进行构建。

　　以上是我的观点，不见得对，请大家多批评，谢谢大家。