數據合規元年的數據立法趨勢

劉曉春 夏杰

2018年可謂數據合規元年，《網絡安全法》逐步落地，各層次數據立法進程全面啟動，行政、司法治理重點突顯，市場治理力量初現端倪。

多年以后，當人們回想起2018年，最受關注的事情莫過于數據安全，不管是2018年年初就引爆輿論的Facebook數據泄露事件，還是同年5月份號稱全球最嚴的個人數據保護法GDPR的生效。2018年，也被國內企業稱為數據合規的元年。隨著《網絡安全法》加入個人信息保護的內容，國內數據立法進程全面開啟。

因此，我們挑選了2018年國內十大關于數據立法、行政法規、標準制定的重要事件，歸納出我國在數據領域后續立法的重點，并展望國內數據領域的立法趨勢。

一、推薦性國家標準《信息安全技術個人信息安全規范》正式實施，為個人信息保護法預熱

2018年5月1日，《信息安全技術個人信息安全規范》GB＼T35273-2017國家標準正式實施。該標準總體上借用了歐盟的《一般數據保護條例》（GDPR）的立法框架，如將數據分為個人信息和非個人信息進行分別規制，在個人信息的分類上，也沿用了GDPR的個人信息和個人敏感信息的兩分法。

《個人信息安全規范》是繼2013年《電信和互聯網用戶個人信息保護規定》、2015年《網絡安全法》、2017年《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》之后，中國官方推出的關于個人信息的首個推薦性國家標準。

《個人信息安全規范》通過對個人信息與非個人信息、一般個人信息與敏感個人信息的分類規制思路，以及對個人信息收集階段時的嚴入管制，體現了該標準對個人信息保護形成了分類分級的基本思路。作為推薦性標準，《個人信息安全規范》并不會產生直接的強制性效力，但是作為正式立法前的標準化嘗試，《個人信息安全規范》可以為后續的《個人信息保護法》、《數據安全法》的立法工作，提供制度試錯的機會和實踐經驗的參考。

二、《銀行業金融機構數據治理指引》發布實施，強化對銀行業金融機構數據治理

2018年5月21日，中國銀保監會發布《銀行業金融機構數據治理指引》（銀保監發〔2018〕22號）。《銀行業金融機構數據治理指引》共七章五十五條，分別為總則、數據治理架構、數據管理、數據質量控制、數據價值實現、監督管理和附則。

《銀行業金融機構數據治理指引》主要目的為指導銀行業金融機構加強數據治理，提高數據質量，發揮數據價值，提升經營管理能力。《指引》強調銀行業金融機構數據監管。

一是明確銀行業金融機構數據治理架構，董事會、監事會和高管層等的職責分工，可結合實際情況設立首席數據官。

二是明確數據管理和數據質量控制的要求，數據管理需要覆蓋數據戰略、數據管理制度、數據標準、信息系統、數據共享、數據安全、應急預案、問責機制和自我評估機制等。數據質量控制機制明確將監管數據納入數據治理范疇。明確由董事會承擔數據治理最終責任，建立和實施上至高管層的數據治理問責機制。

三是明確全面實現數據價值的要求，提出銀行業金融機構應當將數據應用嵌入到業務經營、風險管理和內部控制的全流程，實現數據驅動銀行發展，這也成為整個《指引》中對銀行業來說最為困難的一項要求。

四是首次提出對數據治理不滿足相關法律法規及審慎經營規則要求，銀行業監督管理機構可將其與監管評級掛鉤，促使金融機構把數據治理工作的優先級進一步提升。

另外，《指引》第二十四條規定，銀行業金融機構“應遵循國家個人信息保護法律法規要求，符合與個人信息安全相關的國家標準”的要求，實際將包括2018年5月1日生效的《個人信息安全規范》等國家標準正式納入了銀行業金融機構的合規標準體系，對銀行業金融機構的數據治理提出了新的要求。

《指引》的公布實施，是在具體行業進行數據治理和監管的重要舉措。對于列入立法計劃的《個人信息保護法》來說，重視具體細分行業的類型化治理經驗，并在此基礎上進行抽象提煉，應是重要的立法思路之一。

三、《網絡安全等級保護條例（征求意見稿）》公開征求意見，全面推薦國家網絡安全等級保護制度

2018年6月7日，為了加快《網絡安全法》實施落地，深入推進實施國家網絡安全等級保護制度，公安部會同有關部門起草了《網絡安全等級保護條例（征求意見稿）》，向社會公開征求意見。

在數據和信息安全保護方面，《網絡安全等級保護條例（征求意見稿）》規定，網絡運營者應當建立并落實重要數據和個人信息安全保護制度；采取保護措施，保障數據和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全；建立異地備份恢復等技術措施，保障重要數據的完整性、保密性和可用性。

未經允許或授權，網絡運營者不得收集與其提供的服務無關的數據和個人信息；不得違反法律、行政法規規定和雙方約定收集、使用和處理數據和個人信息；不得泄露、篡改、損毀其收集的數據和個人信息；不得非授權訪問、使用、提供數據和個人信息。

四、杭州互聯網法院宣判全國首例大數據產品不正當競爭糾紛案，明確用戶對脫敏處理后的數據不享有財產權

2018年8月16日，原告淘寶公司訴被告美景公司涉“生意參謀”零售電商數據平臺（以下簡稱涉案數據產品）不正當競爭，杭州互聯網法院認定美景公司的被訴行為構成不正當競爭。

本案事實是：原告淘寶公司開發、運營的涉案數據產品，是在網絡用戶瀏覽、搜索等行為痕跡所產生的巨量原始數據基礎上，經過處理后形成的衍生數據，主要功能是為淘寶、天貓商家的網店運營提供系統的數據化參考服務。被告美景公司則運營自己的網站，通過利用已訂購涉案數據產品的用戶，招攬、組織、幫助他人獲取涉案數據產品中的數據內容并從中獲取利益。

本案在數據領域的突破點在于：通過明晰網絡運營者使用網絡用戶信息正當性的評判標準，厘清用戶個人信息、原始數據及數據產品的法律屬性及權利邊界，即認定網絡用戶對于單個用戶信息尚無獨立的財產權或財產性權益。網絡運營者對于原始網絡數據仍應受制于用戶對其所提供信息的控制，而不享有獨立的權利，網絡運營者只能依其與用戶的約定享有對原始網絡數據的使用權。

與之不同的是，網絡運營者對于其開發的大數據產品，應當享有自己獨立的財產性權益，但不賦予網絡運營者對數據產品的財產所有權。另外，由于算法脫敏處理后的數據產品系已獨立于網絡用戶信息、原始網絡數據，是與用戶個人無直接對應關系的衍生數據，因此也否認了網絡用戶對數據產品享有財產權益。

本案最終認定淘寶公司對涉案數據產品享有財產權益，對于侵犯其權益的不正當競爭行為有權提起訴訟。美景公司將涉案數據產品為己牟利的行為，屬于不勞而獲“搭便車”的不正當競爭行為，最后判處美景公司停止侵權，并賠償原告200萬元。

五、最高人民法院發布個人信息侵權典型案例，體現司法實踐對個人信息保護一般采取的隱私權保護路徑

2018年8月17日，最高人民法院發布第一批涉互聯網典型案例，旨在進一步統一裁判標準，為涉互聯網案件審理提供參考。

關于個人信息保護的案件是龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司（去哪兒網）隱私權糾紛案，明確了由于航空公司、網絡購票平臺疏于防范導致消費者個人信息泄露，應當承擔相應的侵權責任。

案情基本事實是，龐理鵬委托他人通過去哪兒網為其購買東方航空公司的機票，去哪兒網訂單詳情頁面顯示該訂單登記的乘機人信息為龐理鵬姓名及身份證號，聯系人信息、報銷信息均為他人姓名及其手機號。而后原告龐理鵬收到航班因故取消的詐騙短信。對此，龐理鵬向一審法院起訴，認為東方航空和趣拿公司泄露其隱私信息（姓名、手機號碼、行程安排），侵害其人身權利。一審法院認定證據不足，判決龐理鵬敗訴。原告不服向北京是第一中級人民法院提起上訴。二審法院認為，由于原告的舉證能力有限，根據現存事實證明被上訴人泄露上訴人的隱私信息具有高度可能性，因此被告公司在數據安全管理方面存在疏于防范的過錯，應當承擔侵權責任，法院判決東方航空和趣拿公司向上訴人龐理鵬賠禮道歉。

本案在明確公民的姓名、電話號碼及行程安排等事項屬于隱私信息的前提下，二審法院通過糾正一審法院的在舉證證明責任分配的原則，將證明信息泄露的責任從弱勢一方的用戶，轉移到需要承擔信息安全保障義務的企業一方，通過高度蓋然性的證明規則，認定被告方的東方航空和趣拿公司具有過錯。該案為個人信息與隱私權相關的司法審判實踐提供了范例，不過，在個人信息和隱私的區分和相互關系上，也提出了新的值得探討的問題。

六、《電子商務法》通過，就電商領域精準營銷作出專門規定

2018年8月31日，全國人大常委會通過了《電子商務法》，并于2019年1月1日正式實施。《電子商務法》共七章89個條文，分別為總則、電子商務經營者、電子商務合同的訂立與履行、電子商務爭議解決、電子商務促進、法律責任、附則。

《電子商務法》由于對電子商務經營者規定了廣泛的一般義務和平臺經營者特別義務，因此也被認為是一部電商平臺義務法。

涉及到數據保護的領域，電商法第18條第1款規定了“電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務的搜索結果的，應當同時向該消費者提供不針對其個人特征的選項，尊重和平等保護消費者合法權益。”

這一款的規制對象是電商領域的精準營銷。精準營銷是指，電子商務經營者通過收集消費者的消費行為歷史等個人數據，根據消費者的興趣愛好、消費習慣等特征形成用戶畫像，并基于這些個人特征進行商品、服務推送，或者決定搜索結果的排序和展現方式，目的在于使得消費者能夠更加方便、快捷、精準地獲得更加適合自身特征的商品或者服務。

由于這種基于用戶畫像的商業模式也存在著潛在的缺點與可能被濫用的風險。如果經營者利用用戶畫像，在消費者不知情的情況下，進行人為控制和干預則會損害消費者的知情權和自主選擇權。

因此，電商法要求電子商務經營者在根據消費者的興趣愛好、消費習慣等特征提供商品或者服務的搜索結果時，要充分保障消費者的知情權，一方面要確保消費者知曉搜索結果排序的決定因素是基于其用戶畫像，另一方面，如果消費者不愿意接受此種搜索結果的排序方式，則有權要求電子商務經營者提供一個不針對其個人特征的搜索結果選項，以尊重和平等保護消費者的知情權和自主選擇權。

七、《民法典》各分編草案公布，個人信息保護條款寫入人格權編

2018年9月，民法典各分編草案提請十三屆全國人大常委會第五次會議審議，其中，在民法典中增加人格權編備受關注。此次民法典的編纂過程中，人格權編獨立成編，并就個人信息的保護專門規定了五個條款。

學界在個人信息權與隱私權的關系上一直存在爭議，尚未達成共識，此次人格權編將個人信息列入，體現了立法者目前的基本立法思路，即個人信息作為關系到每個人的人格利益的客體，即民事主體對其特定的人格利益享有的權利的客體，是民事主體最基本、最重要的權利保護的客體之一。

八、《公安機關互聯網安全監督檢查規定》《互聯網個人信息安全保護指引（征求意見稿）》發布，完善網安法對個人信息的保護

2018年11月，作為執行網安法的下位性行政規范文件，公安部發布《互聯網安全監督檢查規定》（“《第151號令》”）、公安部網絡安全保衛局發布《互聯網個人信息安全保護指引（征求意見稿）》。其中，《第151號令》旨在為公安機關監督互聯網安全執法保駕護航，主要側重于公安機關及其人員對用戶個人信息的保密規定；《互聯網個人信息安全保護指引（征求意見稿）》則旨在從管理機制、技術措施和業務流程三個方面指導互聯網企業建立健全個人信息安全保護的安全管理機制和技術措施。

《第151號令》和《互聯網個人信息安全保護指引（征求意見稿）》主要要求個人信息持有者從以下三個方面開展安全保護工作：一是在企業內部管理機制方面，建立信息安全防火墻，防范企業數據泄露的刑事風險；二是在公安機關的技術措施方面，規定公安機關對網絡安全監督檢查采取的可能方式；三是在數據的業務流程方面，指引企業從個人信息的收集、保存、應用、刪除、第三方委托處理、共享和轉讓、公開披露和應急處理等全流程進行相關規定，保護個人信息的安全。

《第151號令》的出臺，意味著網絡安全法開始全面實施；《互聯網個人信息安全保護指引（征求意見稿）》，作為首個執法部門出臺的互聯網個人信息保護行政性規范文件的公布，也意味著個人信息保護公法規制的進一步體系化和規范化。

九、中國消費者協會發布《100款App個人信息收集與隱私政策評價報告》

2018年11月28日，中國消費者協會發布《100款App個人信息收集與隱私政策測評報告》。報告針對10類（通訊社交、影音播放、網上購物、交易支付、出行導航、金融理財、旅游住宿、新聞閱讀、郵箱云盤和拍攝美化）100款App進行現場體驗，同時邀請專家對App用戶協議、隱私政策進行審核。

評測結果表明：10類App均存在過度收集或使用個人信息的情況；位置信息、通訊錄信息、手機號碼等是過度或使用的最常見的個人信息；通訊社交、影音播放和拍攝美化類App普遍涉嫌過度收集或使用用戶位置信息；部分App涉嫌過度收集個人財產信息、生物識別信息等敏感信息。

消協的本次評測，是國內第三方機構對產業個人信息保護狀況進行評估和監督中最有影響力的活動之一。第三方機構和市場的作用，在個人信息監管和保護中，是不可或缺也是最具活力的力量。但是第三方機構評測本身也應當體現市場的邏輯，一方面應有競爭機制來進行約束，另一方面，在評測標準選取、評測程序和實質結果形成方面，都應當向著公平公正公開的方向，促進評測行業向著增強透明度和規范化的方向發展。

十、網信辦發布《金融信息服務管理規定》，加強金融信息服務內容管理，提高金融信息服務質量

2018年12月26日，國家互聯網信息辦公室公布《金融信息服務管理規定》（以下簡稱《規定》）。

作為規范性文件，《規定》側重于內容管理，主要是對金融信息服務機構的信息內容和相關行為明確具體要求。《規定》部分條款是對《外國機構在中國境內提供金融信息服務管理規定》的細化，因此需要與作為部門規章《外國機構在中國境內提供金融信息服務管理規定》配套適用。

在內容上，《規定》明確金融信息服務提供者不得制作、復制、發布、傳播內容的信息，如散布虛假金融信息，危害國家金融安全以及社會穩定的等。在處罰上，金融信息服務提供者違反《規定》相關規定的，由國家或地方互聯網信息辦公室依據職責進行約談、公開譴責、責令改正、列入失信名單；依法應當予以行政處罰的，由國家或地方互聯網信息辦公室等有關主管部門給予行政處罰；構成犯罪的，依法追究刑事責任。同時強調，國家和地方互聯網信息辦公室根據工作需要，與有關主管部門建立金融信息服務情況通報、信息共享等工作機制，對違法違規行為實施聯合懲戒。

此次制定出臺《金融信息服務管理規定》旨在加強金融信息服務內容管理，提高金融信息服務質量，促進金融信息服務健康有序發展，保護自然人、法人和非法人組織的合法權益，維護國家安全和公共利益。

展望2019：緊鑼密鼓的數據立法之年

數據問題近年來持續居于數字經濟領域立法、執法、司法和理論研究的核心地位。隨著GDPR的落地實施與影響力的全球化擴展，在中國，以分散型立法模式為主的現狀，即將在2019年這一緊鑼密鼓的數據立法之年，走向統一化、體系化、立體化的立法模式。《個人信息保護法》《數據安全法》兩部重要法律列入立法規劃，切合時代需求和中國國情的數據法律規制體系，呼之欲出。這是令人興奮的立法大事件，同時也為理論和實踐提出了巨大的挑戰和考驗。

安全和發展，始終是數據法律政策領域必須處理好關系的兩大主題。數據治理涉及的安全問題，上到國家，下及個人，將是數據立法關心的核心命題。但是另一方面，數據的生產和共享，是大數據、人工智能乃至更多突破想象力的新興行業實現跨越式發展的必備資源，也是國家、民族、個人實現跨越式發展的重要驅動力。大數據時代，每一個時間節點，都可能是關鍵性節點，法律政策會對歷史推波助瀾，還是產生實質性阻抑，需要充分的研究和論證方可作出決策，更重要的是，在這個過程中，應當繼續秉持開門立法的態度，兼聽則明，充分聽取各方的利益訴求和表達，才有可能建構最為理性、引領全球、面向未來的制度設計。