观点 | 阿里巴巴集团法务部法务总监马志刚：加强数据治理，建设数据优势国家

　　在“2017互联网法律研讨会”上，阿里巴巴集团法务部法务总监马志刚以《加强数据治理 建设数据优势国家》为题，就以下十一个方面发表了精彩的演讲。

　　马志刚阿里巴巴集团法务部法务总监

　　大家下午好，在我曾经工作过的地方跟大家见面了，非常荣幸跟大家一块交流和学习互联网立法方面的一些心得和体会。

　　我今天给大家分享的题目是大数据政策法律问题的思考。我们国家大数据政策法律体系不断建设和完善过程之中，目前已经取得了一些大家共识的卓有成效的成果。但是我们从现状比较的话，我们和国外还有一些差距，依然需要继续讨论和深入思考。

我统计了十几个问题，供行业内我们相关工作的同事来一起思考，看看这些方面我们立法怎么进行继续优化。

　　第一个是数据脱敏的问题。《网安法》第42条对数据脱敏、数据匿名化留有立法余地。这个立法授权，实际上给未来的立法、商业实践工作提供了广阔空间。对于数据脱敏问题，行业和第三方机构应该加大协调统合力度，对涉及到个人相关的敏感数据，在流转流通过程当中，要采取匿名化、去身份化等脱敏措施，确保整个数据使用过程处于安全状态，即使遭到滥用，对数据主体本人不会产生损害。

第二个是数据的可读性和互通性的问题。美国等国提出大数据战略的同时，同时特别关注数据的可读性和数据互通性的标准化，曾前后发布多个总统行政令，特别强调数据可读性和标准互通性。在我国，数据格式不一致，或者不同领域、行业的数据格式完全不同，导致这些数据在同一个场景进行应用的时候无法做到互通，这是摆在数据利用者和数据行业面前一个比较严峻的问题，严重影响了数据质量，导致数据不能发挥应有作用。

第三个，要进行数据清洗，提供数据使用的价值。在大多应用场景中，人们收集的数据是一些混杂的数据，真数据、假数据、真实数据、错误数据混杂的情况下，这些数据在进入正式流通渠道之前，不对它清洗，对数据中的重复性要进行消重，数据错误信息不进行纠错，那么数据的价值没法得到体现。对数据进行清洗，加强数据净化相关立法，推动相关第三方机构建设，使得一批行业从业人员能够投身数据清洗工作，为数据提炼贡献一份力量，让行业数据真正展现出价值。

第四个问题就是要加快数据追加更新，确保数据真实性可验证。数据是可流动的，我们生活的世界是流动的世界，动态性是保证物理世界正常运转必不可少的条件。如果与动态物理世界相影射的数据世界是静止不动的，那么其中的数据颗粒马上就会失真。为了保证数据有价值，就需要对其不断进行追加、不断进行更新，确保数据源与日俱增、与时同流，在互联网相关行业应用过程中源源不断地收取和抓取数据，推动数据库与物理世界同步成长，让有价成为数据永葆青春的关键魅力。

　　第五个问题就是数据权益。数据流动过程中涉及到的主体很多，每个主体有不同的角色，担当各种的职能，有各种各样的权益，这个权益是动态架构，不是一个静态的固定模式。如何在这个动态架构下，对相关主体的权益进行合理分配、界定，这是当前一个比较紧迫的问题。美国学界当前正在讨论利益平衡机制原则等数据权益分配原则，在此展现出来，看看能否对我们会有一些启发和思考。美国还强调以用户为中心的数据治理模式，有学者提出应对OECD数据保护八大原则进行适当调整和改进，部分观点直指本人同意原则，认为这个原则严重过时，限制了大数据时代的数据利用需求，应当进行大的调整；部分观点主张要用使用场景合理原则来替代用户同意原则。网安法才刚刚实施，网安法规定的许多重大原则却面临着更新和淘汰，充分说明数据发展无止境，数据立法也不会有终点。

　　当前人们还在热议数据权属问题。欧盟有一个判例，欧盟最高法院在判决西班牙冈萨雷斯数据保护机构诉谷歌数据隐私侵权案件中，认定一个数据有两个权益，也就是说一个数据元素、一个数据集具有两个权益，一个权益是对人权，另外一个是对世权或者叫对物权，对人权包括数据本人、数据主体合理的权益；对物权是指一个机构、公司、企业以提供服务为目的，对搜集的数据进行加工和处理，因投入成本而产生的权益。同样一个数据，具有这两种权益，这两种权益谁大或者谁小，谁应该服从谁，欧盟法官提出，当发生冲突的时候，对人权优于对物权，例如本人可以对机构提出删除，也可以可携，还可以更正等，对本人赋予很多优于机构的权利设计。这种机制对我们也有一些启发，设计我们数据权属的时候，我们是不是也可以借鉴欧盟和美国现有的一些成熟做法。

　　第六个方面，供大家思考的问题是数据管理。因为数据有价，所以要进行管理。世界各国，特别是美国很早提出来对数据全生命周期按照资产进行管理。这个理念很先进，在今天互联网时代也很合适，行业、企业和政府机构，拥有数据库的，是不是应当肩负使命，把数据作为资产在全生命周期管理起来。甚至有一些比较激进的学者提出将数据纳入资产负债表来进行管理，这种观念同时提出数据会计计账模型、数据会计准则等可操作的方法和模型。这种做法和秉承的理念，也对我们是有启发意义的，至少能够说明数据是有价值的，至于采取会计方式还是采取其它非会计方式来进行管理，这都可以讨论。

　　第七个方面，我想给大家讨论一下数据的使用许可机制，要打造可信的数据流通渠道。数据如果不被许可，数据无法进行流通。数据在使用之前，一定取得数据控制人的使用许可。在这个使用许可上在这个框架里有设定，现在有法律安排、合同安排，互联网企业，往往会在一个类似于信息政策，对其用户做出一种用户本人同意的法律安排。这个安排一旦点进了一个按钮，我就认为，你对我已经授权了，我可以使用你的数据。所有这些安排，是不是可信，或者灵活动态，都需要进行讨论，有些授权机制，本身可能具有垄断、滥用的嫌疑。数据必须进行流通，如果不流通不能价值，不能追加更新，就变成动态数据。为了变成动态数据，在架构里面流通，架构就是数据架构或者互联网，要进行数据流通，基础设施配套，它的价值才能被体现。

　　第八个方面，数据应该合理使用，切实提高数据利用效率。数据具有垄断性，数据垄断可能对其它市场主体产生市场排挤，从而影响市场公平竞争。比如企业掌握了末端数据，有可能会垄断最后一公里的服务提供，导致其他服务提供商的服务无法触达末端用户，不经过末端数据控制人的许可，或者取得末端数据的使用权，其它服务商提供的服务便无法触达末端用户。数据被少数人所拥有、所控制，使得同样的用户只能接受这个服务提供者提供的服务，不能接受广泛、普遍的市场主体提供的服务，这其实就是一种市场垄断，应该得到政策和法律的纠正。纠正的一个主要措施，就是要提倡数据的合理使用、提高它的使用效率。必要时需要引入强制许可制度，规定在特定情形下，申请人提出数据使用的要求是合理的，法律强制数据控制人同意申请人提出的合理要求。

　　第九个方面，数据使用透明度问题。第九个方面，建议增强数据使用透明度，营造开放透明的数据使用环境。企业要通过各种政策宣示和实际行动，增强其数据使用的透明度，增加用户对自己数据控制方的信任度。

　　第十个方面，开展数据风险评估，消弥数据使用环节各种风险和隐患。现在已有中国信息通信研究院、中国互联网协会等一批第三方机构，已经依据《网安法》开始进行类似的风险评估和安全检测，隐私保护工作如雨后春笋蔚然成风，这是新的网安法落地实施所带来的良好成效，说明我国数据使用环境越来越成熟，对行业、生态发展都提供了正面、可喜的支撑。

　　最后给大家抛出一个问题，要引入建立双边多边认证机制，推动安全数据跨境流动。数据跨境流动是当前讨论最热的、最广泛的话题，在这里不多说。国际上看，数据跨境流动主要有三种机制——用户本人同意模式、控制人担保模式和双边认证模式，世界各国大体上通过这三种模式来安排本国与他国之间的数据跨境合理流动。这些模式为我国处理数据法律问题提供了可资参照的模型和原则，这些命题的提出，对完善我国数据政策法律环境和制度建设，无疑具有较好的参考作用。