數據業務核心法律問題研究的新視角

陳小江

伴隨云計算和大數據技術創新的不斷涌現，數據的采集與應用更加便捷與多元，場景化的數據價值挖掘案例不斷刷新人們對數據價值的想象空間。啤酒加尿不濕的營銷故事后，又有谷歌分析搜索數據預測流感，后來又出現定向營銷、智能交通、智慧城市等等，無不展現著數據之美。隨著人們對數據價值的認識和理解的不斷深入，原本深藏于人們認識世界之外積淀的數據如同寶藏一般被發掘，數據慢慢從一個個讓人驚嘆不已的故事逐漸轉變為一項實實在在的業務。

數據本身沒有價值，數據的應用使得數據具有了價值。在DT時代的大潮中，很多企業開始嘗試數據業務化，服務于用戶、客戶、合作伙伴。從提供統計分析的數據產品，到服務于數字營銷的DMP（數據管理平臺），再到數據市場等等，各類依托數據而產生的新業務形態正在蓬勃發展。從數據業務實踐的角度出發，梳理數據業務的核心法律問題及解決思路，對數據業務未來的健康發展無疑有著重大的意義。

場景化是數據業務的重要發展方向

數據業務主要依托技術能力，通過對數據的加工應用實現數據的增值。目前常見的數據業務，包括數據產品、數據合作、數據平臺等類型。

沉淀有豐富數據資源的企業其數據業務化最開始的探索方向是從數據平臺開始的，大型的數據平臺集合了數據中心、數據引擎和數據市場三大塊功能，向客戶提供數據“前店后廠”的一站式服務。其中，數據中心解決數據存儲的需求，數據引擎解決數據加工的需求，數據市場解決數據原材料的需求，使用這類數據平臺的客戶需要具備一定的數據分析能力。通俗地講，大型的數據平臺類似于將小麥加工成面粉的工廠，這個工廠提供品種各異的小麥、加工小麥的機器設備、存放小麥和面粉的倉庫以及運轉機器的電力等全部資源，客戶可以根據自己的需求在這里加工出不同精度的面粉，而使用這個工廠服務的客戶需懂得面粉的生產工藝。大型數據平臺的體量大、鏈條長，對底層架構、技術能力、數據供應、數據安全等方面的要求高，是數據業務化的上游環節。

場景化是數據業務的一個重要發展方向，即結合特定的行業，通過數據應用解決該行業的痛點，挖掘數據價值。當前數據應用較為普遍的領域是營銷和金融。行業內很多數據產品或服務都是圍繞品牌營銷開展的，定向營銷是數據在營銷領域最常見的應用方式，通過數據進行消費人群畫像，根據投放需求進行人群篩選，通過觸達渠道進行營銷觸達。金融領域是數據應用較早的領域，風控一直以來是金融業務非常重要的環節，用戶在申請金融服務時，金融企業為了降低業務風險，依據信用數據及評分模型對用戶進行評分，根據評分值判斷是否可以貸款及貸款額度。近年來還有一類常見的數據應用場景——征信，傳統的征信機構依托的數據來源比較有限，而在互聯網環境下，征信機構的數據來源渠道得到較大拓展，征信服務的應用場景也更加廣泛，從傳統的信貸場景向日常生活拓展。例如作為首批八家個人征信機構之一的芝麻信用，高芝麻信用分的用戶可以享受住酒店零押金不查房的信用住服務，享受部分國家快速簽證的服務等。

數據能不能用，數據能怎么用？

數據業務的核心法律問題可以概括為四類：數據授權、數據防泄露、數據防二次利用、數據歸屬約定。數據業務的核心法律問題分為合規問題和商業問題兩大類。數據授權、數據防泄露屬于合規問題，均有對應的合規監管要求。數據防二次利用、數據歸屬約定屬于商業問題，由合作的各方根據達成的合約確定。對于數據業務而言，在規劃階段就需進行合規評審，通過數據業務的方案設計來滿足合規要求，合規是決定數據業務能否開展的前提。對于商業問題的處理，需平衡業務需求和風險控制綜合判定。

數據主體與數據擁有方的分離，導致了數據權利問題的復雜性。不同的數據所承載的權利不同，權利主體也不相同，數據權利的歸屬原則也不完全相同。學界、業界對數據權利都有較多討論，目前尚未形成定論。對于數據，從數據主體的角度，訴求在于數據的控制權，包括知情同意、數據更新、選擇退出等；從數據擁有方的角度，訴求在于數據的管理權，包括數據的收集、使用、存儲、披露等。數據權利的核心問題在于厘清數據主體的數據控制權和數據擁有方的數據管理權的各自權能及邊界。數據業務中對于數據權利的討論集中在兩個方面：數據能不能用？數據能怎么用？概言之就是數據授權。數據授權是數據業務需要解決的首要問題。不同類型的數據，涉及的問題側重點不同：用戶個人數據涉及用戶隱私保護、企業數據涉及商業秘密保護、來自第三方的數據涉及合約遵守。

以用戶隱私保護為例，作為其核心原則的知情同意即是對數據授權的要求。按照美國《全球電子商務政策框架》對知情同意的解釋：“收集數據者應當通知消費者他們在收集什么信息，以及他們打算如何使用這些數據，數據收集者應當向消費者提供限制使用和再利用個人信息的有效手段。”隱私保護是與數據業務密切相關的問題，隱私保護本身即是數據業務的一部分，就像知識產權保護對于電商一樣，隱私保護對于數據業務也是如此。

數據防泄露是指通過技術和管理兩個方面防止數據被泄露到外部從而避免數據被用于未經授權的行為。數據防泄露是一項法定義務，是數據業務的基礎前提，如全國人大常委會2012年頒布的《關于加強網絡信息保護的決定》第四條規定：“網絡服務提供者和其他企業事業單位應當采取技術措施和其他必要措施，確保信息安全，防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。”

數據分享面臨重要挑戰

數據防二次利用是指在數據業務中防止數據被授權使用者超出授權范圍使用。碎片化的數據價值有限，數據的融合挖掘使得數據價值數倍增長。任何一方不可能擁有全量數據，必然會存在不同數據擁有方之間的數據融合加工，這種融合加工需要一方將數據分享給另一方。在現有技術條件難以對被分享方是否合規使用數據進行監督的現狀下，數據分享后，被分享方如何使用數據只能依靠“君子合約”來維系最后的約束力，再加上違約使用數據的取證相當困難，導致數據分享面臨不可控的風險，數據分享的動力就會減弱。這也是目前數據市場發展所面臨的一項重要挑戰。涉及數據分享的業務中，數據防二次利用是非常重要的風險點，其有兩個解決思路：一是在滿足需求的前提下盡量輸出數據能力而非數據；二是通過技術方式增加違約取證的可能性。

數據歸屬約定是指數據合作的雙方對合作中在雙方原始數據上產出的衍生數據歸屬進行事前界定。這個問題在合作之初易被忽略，而雙方合作終止時容易產生爭議。如果事前對衍生數據歸屬未進行明確約定，在難以協商一致的情況下自然容易產生糾紛，因此需事前考慮衍生數據歸屬的約定問題。衍生數據的歸屬有三種方案：一是歸屬于合作的某一方，二是歸合作的雙方共有，三是合作終止刪除衍生數據。最終選擇何種方案需根據雙方的談判能力而定。在事前未約定、事后又難以達成一致的情況下，往往會選擇第三種方案。

（作者單位：阿里巴巴集團法務部）

責任編輯：王健