数据保护的一般原则与规律

　　我想从六个方面，对数据保护的一般原则与发展规律进行简单介绍。

　　数据保护的目标

　　为什么要保护数据？保护数据要走向怎样的目的地？其实，全世界的数据保护的目标是一致的，即数据不被滥用、不被篡改、不被泄露，这三点是信息安全和数据保护最根本的事情。同时，我们也要保护与数据保护相关各方的基本权利，即所有权、处置权、财产权、知情权，在保护过程中要平衡利益。

　　所谓所有权，我们今天讲的数据保护，其特定对象是个人数据保护，要保护的是个人的数据权利。GDPR出台以后，执法、罚款引起了很大的轰动，同时数据保护得到了大家更多的关注，但我们要看到数据保护的全局，数据保护主体不仅是个人，还包括机构和国家。

　　所谓处置权，在DPA和GDPR中属于控制者和处理者，他们是指对数据处置的权力，数据主体同样有处置权，在GDPR法律中并未提及这方面。

　　所谓财产权，在DPA和GDPR中也没有提及财产权，但数据是资产，在数据交易时显然有财产权，所以DPA和GDPR在个人数据保护上是有缺口的，且缺口很大。

　　知情权指两个方向：一是数据具有处置权利的主体要公开先告知数据主体获取数据的目的，对于被获取的对象有权利了解目的和处置。

　　最后来说利益平衡。实际上，个人数据的保护是有约束的，当与国家利益发生冲突时，个人利益必然要往后放。例如天网系统，在个人未知的情况下，收集很多个人照片与数据，虽未告知本人但他必须要用，因为对交通违规、追捕逃犯是必不可少的。所以，并不是个人数据、个人隐私是如此的神圣，它是利益平衡的关系。

　　数据保护的对象

　　DPA和GDPR针对的是个人数据，但数据的主体不仅是个人主体，还包括政府、个人、企业，甚者扩展到法人，所有机构都是数据保护的对象。国家、企业、个人这三者在进行数据保护时是不能偏颇的。

　　而且，数据主体一定不能局限在个人、自然人的范畴内，而是政府、个人和企业。在数据保护的过程中，这三种类型也是不同的。

　　政府信息有三种状态：第一种是不能让别人了解的，这是国家机密。第二种是公开的，大家都可以了解，公开有两种方式，一是在政府机构门户网站主动公开；二是依法申请公开，首先申请感兴趣的信息，然后政府相应部门决定是否给予反馈。第三类信息是处于两者之间，无论是电子版还是纸质版信息，其中一部分是要公开的，另一部分是敏感的，或是只能在特定时间后公开。这类信息必须经过处理后才能决定是否公开。总之，数据保护最根本的是不被篡改、不被泄露、不被滥用，按照不同类型进行保护。

　　企业信息也分为三种：第一种是希望别人了解、宣传的。第二种是不能让人了解的，是商业秘密。很多企业的知识产权或技术是不申请专利的，因为申请专利别人就可以用，从专利的申请文本中了解其过程。例如，康宁公司是做玻璃的，他的主要技术是不申请专利的，由于未申请专利，没有泄露技术与工艺，如果有人采用相同的工艺生产，他是有权利起诉的，他认为你窃取了他的商业秘密。第三种与政府相同，在一定的业务系统、客户关系中，或在一定场景下可以公开，另一些场景下不可公开。

　　数据保护的主体

　　在数据保护的过程中有三类主体：一是数据主体，是数据的拥有者；二是控制者，尽管是你的数据，但数据由别人管控，与在GDPR和DPA中的概念是相同的，所谓的控制是指，例如公安部门的户籍数据、医院的个人健康数据、学校的个人教育数据，这些都是实际信息的控制者；三是信息处理者，数据的主体控制者委托个人或机构来进行处理数据。以上三个方面都是针对权利义务的统一，三方都承担着相应的责任、权利和义务，而不是只拥有权利而不承担责任和义务。对于个人隐私，不仅个人的数据需要保护，个人同样要承担相应的责任和义务。所谓的义务，是指为了国家利益、社会安全采集数据时，必须要给，这是你的义务。当然，你有权利了解数据的采集目的和实际作用，这是你的权利。

　　三个主体都是责任、权利、义务的承担者。其实，数据控制者的责任很大，因为在控制数据的全过程中，要保证数据委托给第三方处理时不被泄露、不被滥用、不被篡改，要担负这三方面的责任。当我们手中有数据时，需要肩负起这三个责任，数据为王，扛起了责任才为王，否则数据会把你从王座上拉下来。目前，在所有的主体之中，数据控制者对责任的认知不清，是其中最主要的矛盾，同时也存在个人对自己的权利维护不足的问题。

　　数据保护的要素

　　我必须重申一下，数据保护不仅是法律，法律条文的确立是最容易的，执法比条文确立要重要得多。如果要实施GDPR，真正按照法律条文执行，其难度之大远超出所有人想象。今天，数据的存在形态、处理方式、流动方式以及由于利益关系造成的各种障碍，使得执法难度非常大。法律是重要的，否则没有遵循的依据，但法律条文出台后还要执法，要有技术和制度的保证。要保证数据不被篡改、不被滥用、不被泄露，需要采用技术的手段来保护。关于技术主要有两个对应：保护和攻击。没有保护的技术面临攻击，制度和法律再好也是无用的。

　　数据保护的平衡

　　法律在一定范畴之内，要遵循，要通过制度落实执法。不仅要有各个机构的制度，还要有范围更广的制度，通过制度将保护的要求全面落实，数据保护是利益平衡的结果。法律是国家利益的集中代表，不能超然于国家利益之上。所以，法律是利益平衡的结果，几乎所有的法律都是利益平衡的结果。各个方面都是需要平衡的，责任、权利、利益要平衡；在利益上，国家、机构和个人要平衡；在要素上，技术、制度和法律要平衡。

　　数据保护的发展

　　当我们说GDPR是史上最严格的个人数据保护法规时，实际上，1995年欧盟通过的DPA也是当时全世界个人数据保护最严厉的法令。当时，与专家交流澳门大数据发展时，其最大优势是澳门的数据保护是遵循欧盟法律的，是随着技术的发展，数据产生、保管、流动、使用的发展和认识的发展，而不断变化发展，而非一成不变，就像道和魔的发展永远是此消彼涨的过程，在不断地发展过程中来提升。

　　以上是我要分享的六个方面，只是构建了一个基本框架。在数据保护中，除了数据不被滥用、不被泄露和不被篡改这三个基本原则之外，还有两条最基本的原则，即同意和透明。所谓同意是需要数据的主体知晓，无论数据主体是国家机构还是个人，在处置信息时必须征得主体同意。不仅对于个人数据保护，其他数据也是相同的，使用数据时，要与企业或国家立下保密条款。所以，数据主体的数据无论怎么用、谁用，使用时都要征得数据主体同意。所谓透明，是要让数据的目的和处理方式透明化，无论是控制者、处理者还是主体，都是应该了解的。

　　以上关键词构成了数据保护最基本的原则框架，要在其中找到平衡点，找到当前的发展阶段，找到当前的国家利益，那么相应的法律和措施会随之发展而出现。

　　（根据杨学山在“第七届中国大数据应用论坛”上的报告整理而成，未经本人确认。）

　　北京大学教授、工业和信息化部原副部长 杨学山

关注读览天下微信， 100万篇深度好文， 等你来看……