作为一种生产要素，数据可以确权作价吗？数据流通如何突破安全与隐私保护的瓶颈？

9月27日，中国信息通信研究院安全研究所和北京环球律师事务所主办、深圳和讯华谷信息技术有限公司承办的“加速推进数据要素市场化背景下——数据安全与治理研讨会”主题论坛在深圳举行。

会上，多位专家学者、企业代表们围绕个人信息保护、数据流动与安全的平衡等话题展开讨论。

作为一种新型生产要素，数据的价值日益凸显。在阿里巴巴集团政策法规研究室专家刘明看来，数据有其独特之处——能够连接土地、技术、资本、劳动力等传统生产要素接而产生倍增效果，具有赋能效应。

小米集团隐私委员会隐私副主席、小米法务部隐私数据合规法务总监朱玲凤认为，数据的重要价值体现在洞察力和预测性上。基于大量的数据分析，可洞察用户行为、了解群体特征，还可用来预测结果，将潜在的用户发展成用户。

按照中央文件部署，加快培育数据要素市场被提上日程。但数据确权这一前提条件仍待解决。美团数据合规法务总监刘笑岑指出，“数据本身具有非排他性，更多呈现载体的状态，导致我们很难对载体和权益进行完全地切开。”

深圳和讯华谷信息技术有限公司法务总监兼公司合规官孙艳华则关注到数据评估作价的难题。数据作为一种新型生产要素，企业拥有的数据量越大，意味着所拥有的数据资产也越丰富。但是，“当企业做投资时，数据可以像现金或技术一样出资吗？资产评估公司又该如何量化数据价值？”

除了数据确权定价的难题外，当天论坛上，环球律师事务所合伙人孟洁提到，数据要素市场化带动数据流通、共享需求快速增长，但数据安全和个人信息保护成为制约数据流通的瓶颈问题。

“传统静态的保护模式已经难以适应数据大规模流动带来的新需求。”中国信通院安全研究所专家王然表示。在她看来，数据的海量汇聚使得信息泄露危害更加广泛，所以应当在数据汇聚交易应用的关键环节强化安全保障工作。此外，数据的深度挖掘也使得隐私安全更难以保障，因此管理部门之间的协同管理能力也必须得到同步加强。

“永远无法消灭风险，只能控制和合理分配风险。”刘明认为具体到制度上，应当有细致的数据分级分类管理规则——越是精细的分类、技术控制手段，越能解决法律上的模糊空间，减少因此带来的问题。

“数据不等同于个人信息。”百度法务部高级法律顾问邓婷也认为应对数据进行分级分类管理，明确哪些数据可以用于流通。为了保障数据流通兼顾个人隐私，她提出可寻求技术解决路径，比如借助联邦学习等技术手段，在数据不出域的情况下建立风控模型，以实现安全创新的效果。

完美世界法务部知产总监薛颖则建议，在数据流转过程中确立起数据治理的法律体系，“至少应该坚持个人信息与非个人信息二元立法原则，采用两套保护体系贯彻落实。”

当天，环球律师事务所合伙人李铮通过一张图向与会者展示了目前国内数据立法现状，图中罗列了6部法律，19份部门规章与规范性文件，29份国家和行业标准。

从网络安全法、数据安全法等法律，到儿童个人信息网络保护规定，再到App系统权限申请使用指南、第三方软件开发工具包SDK安全指引等行业标准， 在李铮看来，目前监管呈现出精细化、高层次的趋势。

“相信在座的每一位都可以感觉到，数据时代已经真真切切地已经来临了，而个人信息安全是一个无法回避的问题。”他说。

在论坛上，南都个人信息保护研究中心副主任李玲从App和小程序个人信息安全、个性化展示合规与观察等角度切入，试图呈现国内互联网个人信息保护现状。

她提到去年年底，南都发起的一项万人问卷调查显示，“默认勾选同意”“收集信息或索要权限未告知手机目的”以及“注册App收到骚扰或推销电话”，是用户反馈最多的三大个人信息保护问题，占比均超过50%。

根据南都测评，2019年以来，App隐私政策的整体平均分大幅提升，但一些App仍存在过度索权、未告知收集目的等问题。

在李玲看来，绝大对数App在收集时获得用户主动同意、告知收集使用规则等方面已能满足合规要求，但在告知第三方数据共享、保存期限上语焉不详，仍有欠缺。她建议进一步提高隐私政策透明度，App权限申请应当遵循最小必要原则，清楚告知权限收集的目的。此外，还应遵守用户可知、不强制不捆绑、不频繁索权、动态申请等原则。

腾讯安全战略研究部研究员管洪博从欧美数据立法现状出发，探讨数据流通中个人信息保护的问题。她对比《2018加州消费者隐私法案》（CCPA）和欧盟《通用数据保护条例》（GDPR）发现，欧美都要求企业收集数据需要对用户进行明确告知，不过CCPA规定以“选择退出”获取消费者授权，GDPR则规定“选择进入”方式。此外，欧美都采用设立一般规则与行业、成员国自治相结合的方式进行管理。

在管洪博看来，可以借鉴欧盟经验建立分类分级的数据流通制度，由国家统一立法，再由行业自制流通规则并报国家审批。另外，根据个人信息的敏感程度实行不同的告知同意模式，对于不超过原有目的、范围的数据流通行为，不需要再次告知。

此外她还提到数据追责的问题，称其中包含侵权与违约两种法律关系。当用户和企业发生个人信息侵权纠纷时，一方需要举证说明侵权事实，另一方则要证明不存在滥用和泄露的事实，这是一个基本的法律关系。而企业与企业进行数据共享时，主要通过合同来约束基本的权利和义务，比如数据的提供方需要保证数据来源合法化、告知用户信息收集的目的等。

数据共享链条上的主体很多，侵权人怎么知道信息是谁泄露的？管洪博建议将法律与科技结合以解决数据追责问题，可以选择利用区块链技术等，出具真实的证据。

事实上，这项技术已开始用于实践。深圳前海微众银行法律合规部经历李峻峰在会上介绍，目前银行业已经通过区块链技术助力客户隐私保护，完善防篡改机制，提供具有法律效力的证据。

App违法违规收集使用个人信息专项治理工作组专家何延哲提到，目前存在一些治理“陷阱”需要警惕。他认为，为解决隐私保护问题，一些App开发者试图利用多重“加密”进行技术对抗，但实际上开发者不仅没有减少数据的收集，还给评估机构的监测制造障碍。另外，还有企业诱导用户同意授权后，消极对待后续的个人信息保护问题。一些监管部门解决问题时存在“避重就轻”现象，不看重大问题解决，只注重简单问题。

何延哲认为，形成个人信息保护常态化机制应该成为整个业界共识。他呼吁企业可积累并贡献相关经验，推动国家标准的建立和产业化的实现。

采写：南都记者黄莉玲 李玲  发自深圳

编辑：蒋琳

对这篇文章有想法？跟我聊聊吧

李玲

黄莉玲

蒋琳