6月2日上午，“2018數(shù)字政府與政務(wù)大數(shù)據(jù)建設(shè)高層研討會”在北京國際展覽中心召開，本次論壇由國脈數(shù)據(jù)研究院主辦，北京國脈互聯(lián)信息顧問有限公司、浙江蟠桃會網(wǎng)絡(luò)技術(shù)有限公司承辦，國脈海洋信息發(fā)展有限公司支持，來自國內(nèi)政務(wù)大數(shù)據(jù)領(lǐng)域的管理者、研究者、實(shí)踐者等200余人到場參會。

▲2018數(shù)字政府與政務(wù)大數(shù)據(jù)建設(shè)高層研討會召開

　　北京市信息資源管理中心副主任穆勇發(fā)表了以“在財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則下的個(gè)人數(shù)據(jù)保護(hù)與共享”為主題的演講。他通過解讀歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR），指出我國現(xiàn)有個(gè)人數(shù)據(jù)保護(hù)法律法規(guī)與其相比定位較低，該條例的發(fā)布對國內(nèi)企業(yè)有著立竿見影的巨大影響，為應(yīng)對《一般數(shù)據(jù)保護(hù)條例》帶來的挑戰(zhàn)，政府要完善我國數(shù)據(jù)保護(hù)法律法規(guī)，企業(yè)要高度重視個(gè)人數(shù)據(jù)保護(hù)。

▲北京市信息資源管理中心副主任穆勇

　　以下是會議現(xiàn)場發(fā)言實(shí)錄（根據(jù)現(xiàn)場速記和錄音整理，未經(jīng)本人審核）：

　　非常高興和大家分享個(gè)人數(shù)據(jù)保護(hù)問題。個(gè)人數(shù)據(jù)的保護(hù)和共享、開放是一對矛盾共同體。要想既保護(hù)個(gè)人的權(quán)益，又能夠進(jìn)行開放和共享，就需要我們在深入研究的基礎(chǔ)上制定相關(guān)的規(guī)則，這里主要涉及到財(cái)產(chǎn)規(guī)則和責(zé)任規(guī)則。今天我要講的內(nèi)容分為兩部分：第一，《一般數(shù)據(jù)保護(hù)條例》（GDPR）及其影響；第二，如何設(shè)計(jì)個(gè)人數(shù)據(jù)保護(hù)與共享機(jī)制。

　　一、《一般數(shù)據(jù)保護(hù)條例》（GDPR）及其影響

　　1. 《一般數(shù)據(jù)保護(hù)條例》發(fā)布

　　2018年5月25日，歐洲《一般數(shù)據(jù)保護(hù)條例》（GDPR）正式實(shí)施，這對我們個(gè)人信息保護(hù)、國內(nèi)數(shù)據(jù)的管理，包括世界的數(shù)據(jù)管理產(chǎn)生了非常大的影響。我們要了解這個(gè)條例及其將給我們帶來的影響。

　　2．個(gè)人數(shù)據(jù)相關(guān)權(quán)利的歸屬

　　《一般數(shù)據(jù)保護(hù)條例》中把個(gè)人作為一個(gè)數(shù)據(jù)主體賦予了前所未有的權(quán)利。明確了很多之前不確定或有爭議的權(quán)利，如個(gè)人數(shù)據(jù)如何使用的知情權(quán)、數(shù)據(jù)處理的自由選擇權(quán)。在數(shù)據(jù)所有權(quán)方面，個(gè)人數(shù)據(jù)的“衍生數(shù)據(jù)”權(quán)也屬于個(gè)人，而不屬于企業(yè)。

　　3.個(gè)人數(shù)據(jù)內(nèi)容的擴(kuò)展

　　《一般數(shù)據(jù)保護(hù)條例》把個(gè)人的數(shù)據(jù)所包含的內(nèi)容進(jìn)行了大幅度的擴(kuò)展。個(gè)人的姓名、身份證號、地址、網(wǎng)上標(biāo)識都列為個(gè)人數(shù)據(jù)。這些數(shù)據(jù)的所有權(quán)全為數(shù)據(jù)主體。另外企業(yè)對個(gè)人數(shù)據(jù)加工處理后的數(shù)據(jù)按照條例也屬于個(gè)人，而非企業(yè)。

　　4. 數(shù)據(jù)控制者、數(shù)據(jù)處理者的義務(wù)和權(quán)利

　　《一般數(shù)據(jù)保護(hù)條例》中設(shè)立了數(shù)據(jù)控制者與數(shù)據(jù)處理者。它會對不同地區(qū)的企業(yè)的數(shù)據(jù)處理水平進(jìn)行評估。只有達(dá)到它認(rèn)可的水平，才會獲得歐盟所屬數(shù)據(jù)的傳輸。關(guān)于歐盟這些數(shù)據(jù)可以傳到這里面來，現(xiàn)在中國地區(qū)還未達(dá)到該認(rèn)證水平，歐盟數(shù)據(jù)從云傳輸渠道無法傳入，這是目前面臨的很大問題。

　　5．違反規(guī)定將面臨高昂處罰

　　對于數(shù)據(jù)處理的違法行為，GDPR主要設(shè)定兩個(gè)等級的處罰。第一等級最高可處以1000萬歐元，或上一財(cái)年全球營業(yè)額2%，第二等級最高可處以2000萬歐元，或上一財(cái)年全球營業(yè)額4% 。GDPR確立了“長臂”管轄原則，將法律適用的屬地主義與屬人主義原則結(jié)合起來，擴(kuò)大法律適用的域外效力。

　　我們的企業(yè)如果沒有達(dá)到GDPR的水準(zhǔn)。第一將不能到歐盟國家開展業(yè)務(wù)；第二不能對歐盟國家的人員提供相應(yīng)的服務(wù)，國內(nèi)做的最好、響應(yīng)最快的企業(yè)是國航。

　　6.我國個(gè)人數(shù)據(jù)保護(hù)的規(guī)則標(biāo)準(zhǔn)制定處在起步階段

　　在個(gè)人數(shù)據(jù)信息管理方面，我國也有相關(guān)的《網(wǎng)絡(luò)安全法》等一些法律規(guī)定，但有著分散、比較原則籠統(tǒng)、執(zhí)行困難等問題?，F(xiàn)有國家標(biāo)準(zhǔn)，法律定位非低，不能夠起決定作用。

　　7. 國內(nèi)外個(gè)人數(shù)據(jù)保護(hù)環(huán)境對比與問題分析

　　國外特別是歐盟國家，非常重視個(gè)人數(shù)據(jù)的保護(hù)。而在國內(nèi)，由于法律缺失、有些企業(yè)除了采集本身提交的數(shù)據(jù)之外，還通過各種渠道來搜集個(gè)人隱私數(shù)據(jù)來進(jìn)行一些相關(guān)的活動(dòng)，并且這樣的事情不是個(gè)例。有些互聯(lián)網(wǎng)公司正在獲取超出必要范圍內(nèi)的用戶信息。

　　案例1：某公司通過某B2B、淘寶、天貓、支付寶等電子商務(wù)平臺，收集客戶積累的信用數(shù)據(jù)，利用在線視頻全方位定性調(diào)查客戶資信，再加上交易平臺上的客戶信息（客戶評價(jià)度數(shù)據(jù)、貨運(yùn)數(shù)據(jù)、口碑評價(jià)等）。此外，據(jù)刊物報(bào)道，這家公司還會從微博、社交平臺、同學(xué)錄等獲取大事記、信用卡限額、訴訟信息、朋友圈、中小教育甚至既往病史等等，還能獲取婚姻狀況、投資偏好、配偶、擔(dān)保人、房貸車貸、個(gè)人和家庭年收入等信息。涉嫌違法《侵權(quán)責(zé)任法》中的患者個(gè)人隱私保護(hù)、《未成年人保護(hù)法》中的未成年人保護(hù)等法律，并適用《刑法修正案（九）》規(guī)定要件。

　　案例2：某旅游搜索引擎安裝一個(gè)App 用戶需要開放10多項(xiàng)權(quán)限許可，其將能否“允許讀取用戶的身份、短信、錄音、照片、視頻、位置、通訊錄、日歷活動(dòng)、機(jī)密信息”等重要的個(gè)人信息作為使用其服務(wù)的前提條件。這種過度采集個(gè)人信息和采集信息濫用的“霸王條款”在互聯(lián)網(wǎng)企業(yè)的服務(wù)協(xié)議中非常普遍。

　　由于過度的包容，沒有守得住審慎的底線，造成各種嚴(yán)重侵權(quán)事件（如鄭州空姐被害、百度醫(yī)療事件等）時(shí)有發(fā)生，嚴(yán)重影響用戶對企業(yè)的信任。顯然，如果沿用“環(huán)境先污染后治理”方式已走不下去了。

　　8.數(shù)據(jù)保護(hù)與共享并重原則

　　數(shù)據(jù)共享的核心其實(shí)是信任。只有用戶放心，才會更多的進(jìn)行共享。嚴(yán)格的法律保護(hù)能夠建立足夠的社會信心，使得數(shù)據(jù)可以在企業(yè)的層面得以流動(dòng)，才有空間產(chǎn)生新產(chǎn)品和新產(chǎn)業(yè)，這是一整個(gè)良性循環(huán)的生態(tài)系統(tǒng)。

　　9．我國在個(gè)人數(shù)據(jù)保護(hù)上應(yīng)與國際接軌

　　GDPR發(fā)布之后對我們的影響是立竿見影的。個(gè)人對數(shù)據(jù)保護(hù)的訴求會越來越高。如果企業(yè)不按照要求來做，很有可能失去市場，失去企業(yè)的價(jià)值。從全球其他發(fā)達(dá)經(jīng)濟(jì)體來看，澳大利亞、新加坡、美國等，目前也都在做相應(yīng)的數(shù)據(jù)保護(hù)工作。

　　在我國，正在推行“一帶一路”戰(zhàn)略的實(shí)施，企業(yè)要想走出國門，首先要突破GDPR這道天然屏障，特別是數(shù)字企業(yè)與互聯(lián)網(wǎng)企業(yè)。

　　10.機(jī)遇與挑戰(zhàn)并在，企業(yè)如何應(yīng)對？

　　相較于中國對于數(shù)字技術(shù)運(yùn)用十分友好的市場和信息監(jiān)管環(huán)境，后GDPR時(shí)代里在中國蓬勃發(fā)展的移動(dòng)支付、電商、網(wǎng)上銀行的數(shù)字業(yè)務(wù)將在歐洲面臨更多關(guān)注，甚至招致歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)有針對性的調(diào)查。

　　首先，企業(yè)需要高度重視數(shù)據(jù)保護(hù)工作。特別是移動(dòng)支付、電商、網(wǎng)上銀行方面的企業(yè)。濫用數(shù)據(jù)可能面臨高額罰款，甚至丟掉市場。

　　第二，完善數(shù)據(jù)主體的權(quán)利設(shè)置與行使操作規(guī)程。GDPR在賦予數(shù)據(jù)主體同意權(quán)、訪問權(quán)、可攜帶權(quán)、被遺忘權(quán)、更正權(quán)等重要權(quán)利外，還應(yīng)當(dāng)核實(shí)這些權(quán)利設(shè)置與行使是否符合GDPR的要求。

　　第三，加快完善相關(guān)規(guī)則，包括數(shù)據(jù)的處理機(jī)制、任命數(shù)據(jù)保護(hù)官，完善數(shù)據(jù)泄密報(bào)告與處理機(jī)制，大企業(yè)要有專門的人員來管理等。

　　第四，加快制定與完善我國數(shù)據(jù)保護(hù)法律法規(guī)。政府應(yīng)當(dāng)完善相關(guān)的法律法規(guī)，如果在這個(gè)領(lǐng)域處于一個(gè)比較低的層次和水平，我們將在國際間失去話語權(quán)。

　　第五，政府要以身作則。政府作為處理歐盟地區(qū)個(gè)人數(shù)據(jù)的“公共當(dāng)局”，屬于GDPR規(guī)范的行為主體之一。GDPR的主要目標(biāo)中，也包括限制政府對個(gè)人數(shù)據(jù)的搜集和使用，要讓政府更少地掌控公民數(shù)據(jù)，而不是更多。特別是北京這樣即將舉辦冬奧會的國際交往中心，更要提升政府個(gè)人數(shù)據(jù)保護(hù)水平。否則在大型國際交流活動(dòng)中將面臨巨大問題。

　　第六，政府應(yīng)為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航。政府積極制定各種鼓勵(lì)扶持政策，有效支持企業(yè)特別是中小企業(yè)提升數(shù)據(jù)治理水平，降低GDPR合規(guī)風(fēng)險(xiǎn)經(jīng)濟(jì)企業(yè)成長。通過完善對話協(xié)商機(jī)制，與歐盟監(jiān)管當(dāng)局開展平等對話協(xié)商，減少不必要的處罰與貿(mào)易糾紛。

　　二、如何設(shè)計(jì)個(gè)人數(shù)據(jù)保護(hù)與共享機(jī)制

　　在如今這種國際環(huán)境下我們再來看個(gè)人數(shù)據(jù)保護(hù)和共享機(jī)制的設(shè)計(jì)問題，這將涉及到財(cái)產(chǎn)規(guī)則和數(shù)據(jù)規(guī)則。

　　1.數(shù)據(jù)資源的權(quán)屬確定

　　首先是數(shù)據(jù)產(chǎn)權(quán)的問題，主要涉及到個(gè)人數(shù)據(jù)是屬于個(gè)人，還是屬于企業(yè)。數(shù)據(jù)權(quán)屬之所以難以理清，其原因有二：第一，數(shù)據(jù)收集處理和開放利用過程中涉及的主體多元，其活動(dòng)經(jīng)常相互交匯，不易清晰區(qū)分；第二，數(shù)據(jù)開放利用是一個(gè)不斷增添材料、不斷投入資源的過程，最終形成的數(shù)據(jù)資源或信息產(chǎn)品，是在多步驟操作下的結(jié)果。

　　政府的數(shù)據(jù)及其衍生數(shù)據(jù)的權(quán)屬也存在同樣的問題。政務(wù)數(shù)據(jù)資源的所有權(quán)歸全民所有，其產(chǎn)生和運(yùn)維管理過程主要依靠公共財(cái)政的支持。任何單個(gè)主體，無論是黨政部門或企事業(yè)單位或個(gè)人，不能就政務(wù)數(shù)據(jù)資源主張排他性的權(quán)利。

　　2.國外的方法模式

　　在歐洲數(shù)據(jù)保護(hù)的方法有兩種模式，一種是完全屬于私有化。Mark A. Hall提出了一個(gè)數(shù)據(jù)資源私有化的觀點(diǎn)“醫(yī)療數(shù)據(jù)的所有權(quán)歸病人所有”。因此，是否開放醫(yī)療數(shù)據(jù)、以什么方式開放（有償或是免費(fèi)）、在什么范圍內(nèi)開放，全是病人基于自身情況考慮的問題。同時(shí)，為了激勵(lì)科學(xué)研究和對病患情況的共同討論，可以在個(gè)人同意的基礎(chǔ)上授權(quán)醫(yī)療機(jī)構(gòu)和科研機(jī)構(gòu)開放利用這些數(shù)據(jù)。

　　另一種是把它交給一個(gè)專門的公益性機(jī)構(gòu)進(jìn)行開發(fā)。Marc A. Rodwin提出一個(gè)公有產(chǎn)權(quán)的數(shù)據(jù)保護(hù)方法。由于醫(yī)療數(shù)據(jù)資源對于整體社會福祉來說至關(guān)重要，因此他認(rèn)為醫(yī)療數(shù)據(jù)的所有權(quán)不屬于病人、醫(yī)療機(jī)構(gòu)、保險(xiǎn)企業(yè)等任何“私的主體”，而應(yīng)是一種公有產(chǎn)權(quán)。各個(gè)不同主體應(yīng)當(dāng)把各自掌握的醫(yī)療數(shù)據(jù)交給一個(gè)專門設(shè)置的公共機(jī)構(gòu)，由這個(gè)機(jī)構(gòu)根據(jù)科學(xué)研究等公益目標(biāo)來判斷是否開放、以及決定通過什么樣的方式、在什么范圍內(nèi)開放。

　　3.理解財(cái)產(chǎn)規(guī)則與責(zé)任規(guī)則的含義

　　財(cái)產(chǎn)規(guī)則：如果一個(gè)主體在被賦權(quán)后，其他主體不支付經(jīng)他或她本人同意的價(jià)格，不能取消該權(quán)利，該賦權(quán)被“財(cái)產(chǎn)規(guī)則”保護(hù)。

　　責(zé)任規(guī)則：如果一個(gè)主體在被賦權(quán)后，其他主體可以取消該權(quán)利，但必須支付客觀決定的價(jià)格，就說該賦權(quán)被“責(zé)任規(guī)則”保護(hù)。

　　4.不同的數(shù)據(jù)可以分別用到不同的權(quán)益、規(guī)則來處置

　　政府的數(shù)據(jù)向社會開放，因?yàn)檎當(dāng)?shù)據(jù)是屬于全民所有的，而且是公益性的，這個(gè)規(guī)則應(yīng)該是責(zé)任規(guī)則，所以政府普遍的數(shù)據(jù)開放是免費(fèi)或者只能收成本費(fèi)，這是我們給定的責(zé)任規(guī)則。而有些政府?dāng)?shù)據(jù)是需要大量的加工、處理，且只是為某些企業(yè)所開發(fā)，可以給它賦予財(cái)產(chǎn)規(guī)則，財(cái)產(chǎn)規(guī)則是必須要付一定費(fèi)用的，這就是政府?dāng)?shù)據(jù)開放。

　　政府的數(shù)據(jù)如果需要某個(gè)企業(yè)的數(shù)據(jù)，也可以采用這兩種方式，第一種可以是責(zé)任規(guī)則，比如政府為了行使公共服務(wù)職能，為了維護(hù)公共利益，為了維護(hù)法治，為了國家的安全，需要企業(yè)提供數(shù)據(jù)，包括提供的個(gè)人數(shù)據(jù)，這需要采用責(zé)任規(guī)則。對于某類根據(jù)政府的目的和類型開發(fā)的數(shù)據(jù)，應(yīng)賦予它財(cái)產(chǎn)規(guī)則。就是政府應(yīng)當(dāng)按提供者要求的價(jià)格付費(fèi)購買該數(shù)據(jù)。

　　5. 政務(wù)數(shù)據(jù)開放模式建議

　　我國需要建設(shè)國家政府?dāng)?shù)據(jù)統(tǒng)一開放平臺，推進(jìn)公共機(jī)構(gòu)數(shù)據(jù)資源統(tǒng)一匯聚和集中向社會開放，引導(dǎo)企業(yè)、行業(yè)協(xié)會、科研機(jī)構(gòu)、社會組織等主動(dòng)采集并開放數(shù)據(jù)，共同探索政企合作的長效機(jī)制。

　　綜上談到個(gè)人數(shù)據(jù)的保護(hù)和利用，不是簡單的一個(gè)問題。需要我們處理好保護(hù)和共享的關(guān)系，處理好各方的權(quán)益，站在國際的視野上來考慮問題。謝謝大家！