34万亿新基建来了，分享旧文一篇，数字合规了解一下！

新互联网在中国发展有二十年多年了，随着移动互联网的普及，在新形势下，除了原来的BAT，新型的互联网企业迅速崛起。早期顺应互联网的发展，制定有电信和网络提供者的相关条例和规定，对其提供信息、搜集信息和保护信息安全提出了要求。比如百度这类网络提供者，有义务保护用户信息，如果其平台上的其他用户侵权，网络提供者有义务采取相应措施，否则也将被追究责任。笔者认为这个阶段的法规主要还是出于保护个人信息以及规制网络提供者提供符合法律规定的内容的需求而制定的。比如快播因为内容不合法而受到制裁。

但是随着新型互联网企业崛起和商业模式的创新，出现了新情况。比如很多企业开发APP，搜集用户信息，还通过对用户的消费习惯等进行数据分析、用户画像，以精准营销。其实这就涉及到数据的采集、沉淀、存储、挖掘、应用等一系列行为。类似这类行为，应遵守哪些规定？信息搜集者和应用者的权利界限在哪里？比如支付宝账单事件，即有一次支付宝在节日里发送一个消费账单，但是在客户点击的时候，设置了格式合同，客户点击即表示同意将其消费信息传送给支付宝，之后支付宝受到了主管部门约谈。再比如国外的例子，Facebook将用户信息进行整理和分析，给了参选总统的人员的支持团队，这些团队利用数据分析结果对选民进行精准的竞选推荐，以帮助参选人员获得很好的竞选成绩。为此，Facebook将面临法律制裁。

大数据在我国的体量大，能够带来的经济效益预期可观。国家互联网信息办公室于2018年5月9日发布的《数字中国建设发展报告（2017年）》中提到：“根据有关机构测算，2017年我国大数据核心产业规模为234亿元，同比增长39%。大数据应用正在从互联网、电信、金融、交通、医疗等领域向传统领域拓展。我国大型互联网企业在海量数据采集、存储和处理等方面能力跻身国际前列。”

根据互联网和大数据行业的发展态势以及特定国情和需要，我国实施国家大数据战略，为落实国务院《促进大数据发展行动纲要》，按照《国民经济和社会发展第十三个五年规划纲要》的总体部署，编制《大数据产业发展规划2016-2020年》。根据该规划，大数据产业指以数据生产、采集、存储、加工、分析、服务为主的相关经济活动，包括数据资源建设、大数据软硬件产品的开发、销售和租赁活动，以及相关信息技术服务。该规划还指出我国大数据产业的现状，包括：大数据产业支撑体系尚不完善。数据所有权、隐私权等相关法律法规和信息安全、开放共享等标准规范不健全，尚未建立起兼顾安全与发展的数据开放、管理和信息安全保障体系。

该规划提出的重要规划任务之一是健全相关法律体系，即：推动制定公共信息资源保护和开放的制度性文件，以及政府信息资源管理办法，逐步扩大开发数据的范围，提高开放数据质量。加强数据统筹管理及行业自律，强化大数据知识产权保护，鼓励企业设立专门的数据保护职位。研究制定数据流通交易规则，推进流通环节的风险评估，探索建立信息披露制度，支持第三方机构进行数据合规应用的监督和审计，保障相关主体合法权益。推动完善个人信息保护立法，建立个人信息泄露报告制度，健全网络数据和用户信息的防泄露、防篡改和数据备份等安全防护措施及相关的管理机制，加强对数据滥用、侵犯个人隐私等行为的管理和惩戒力度。强化关键信息基础设施安全保护，推动建立数据跨境流动的法律体系和管理机制，加强重要敏感数据跨境流动的管理。推动大数据相关立法进程，支持地方先行先试，研究制定地方性大数据相关法规。

综合上述任务内容，可以概括为：1、公共信息资源要确立保护和开放的制度性文件；2、鼓励企业保护数据、保护大数据知识产权、加强数据统筹管理和行业自律；3、制定数据流通交易规则；4、保护个人信息；5、强化基础设施安全保护、加强数据跨境的法律体系建设和管理；6、推动立法进程，支持地方先行先试。

从上述概括，笔者总结大数据包括几个方面：一是公共信息资源的搜集、保护、开放利用；二是非政府机构对数据的搜集、利用、保护以及该等主体对数据的权利、接受的监管和制约；三是数据中涉及个人信息的，涉及个人信息的保护与数据应用的界限问题，如何解决这一问题；四是数据的基础设施建设和安全、数据跨境管理。

那么，在当前国家规划大背景、大数据产业蓬勃发展以及法律法规体系尚未完善的现状下，大数据的采集、存储和处理、保护等过程中，是否有相关的法律法规进行规范，企业如何确保其行为合法合规？如何在日益更新完善的国内外法律下，适应新情况，大数据行业的企业实现合法经营？有哪些经验和案例可参照？笔者试对该问题做总结，并就此概括相关企业需要注意的法律风险。

第一节 数据类型和相关规定梳理

一、个人信息=数据？

（一）《中华人民共和国网络安全法》（以下简称“网络安全法”）的规定

《网络安全法》是2017年6月1日实施的专门针对网络安全的法律，《网络安全法》将个人信息保护纳入网络信息安全的保护范围。

根据《网络安全法》，网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

所以笔者理解，个人信息在特定情况下是网络数据的一种，之所以数据越来越受到重视，和当前网络化、电子化的空前发展是分不开的，因此，在特定情况下，所谓的数据其实指的就是网络数据，而数据很大程度上也是通过互联网、电子产品实现的搜集、沉淀、转移和应用的。而且由于很多网络数据的搜集、开发、挖掘和使用，都与个人信息密不可分，所以很大程度上，网络数据和个人信息的界限和区别对待可以说是数据保护的核心问题之一。

（二）用户画像VS.个人信息

由于数据很大程度上是通过个体呈现出来的，规模化之后可以体现某个个人、行业、人群或者圈层的特点，所以对于数据进行挖掘研究，得出个人消费的喜好、某种趋势或者特征的启发，进行精准营销，效果非常明显，这就涉及到一个商业上的概念“用户画像”。

而这个词在国家标准《个人信息安全规范》（标准号：GB/T 35273-2017，主管部门：国家标准化管理委员会，开始生效日期：2018年5月1日）中有了明确定义：通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测，形成其个人特征模型的过程。注：直接使用特定自然人的个人信息，形成该自然人的特征模型，称为直接用户画像。使用来源于特定自然人以外的个人信息，如其所在群体的数据，形成该自然人的特征模型，称为间接用户画像。”

一方面，该文件在《网络安全法》基础上规定“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注1：个人信息包括姓名、出生日期、身份证号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下（含）儿童的个人信息等。注2：关于个人敏感信息的范围和类型可参见附录B。”“判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。”

基于用户画像收集的与自然人相关的数据显然符合前述特征；另一方面，在《个人信息安全规范》附录A“个人信息举例”中，也列举了例如网站浏览记录、软件使用记录、点击记录、行踪轨迹等基于用户画像所收集的信息。

因此，企业的“用户画像”行为需要遵守保护个人信息的相关规定。对于该规范的效力，虽然不是强制性的国家标准而是推荐性的国家标准，但是鉴于目前法律层面对个人信息保护和用户画像并无详细规定，该规范属于行为具体导向模板，因此建议参考其详细要求落实。

（三）保护个人信息的法律体系

1、早在移动互联网尚未像今天这么发达的时候，就已经有在互联网领域约束个人信息保护的法律法规。

比如全国人民代表大会常务委员会《关于加强网络信息保护的决定》（2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过），这主要是出于保障公民、法人和其他组织的合法权益、维护国家安全和社会公共利益而做出的法律规定。

工业和信息化部发布并于2013年9月1日起施行的《电信和互联网用户个人信息保护规定》对电信业务经营者和互联网信息服务提供者在提供服务的过程中收集、使用和保护个人信息作出规定。

2014年03月15日经过修订后的《消费者权益保护法》规定消费者在购买、使用商品和接受服务时，享有个人信息依法得到保护的权利。并要求经营者收集、使用、保护消费者个人信息作出要求。

当然，对于特定行业，也规定了个人信息保护，比如旅游、保险、银行等。

对于侵害个人信息的责任，有以下法律规定或者司法解释：

2014年10月10日起施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释(2014)11号）规定，其所称的利用信息网络侵害人身权益民事纠纷案件，是指利用信息网络侵害他人姓名权、名称权、名誉权、荣誉权、肖像权、隐私权等人身权益引起的纠纷案件。并对共同被告、管辖地、侵权过错认定、赔偿等作出规定。

值得一提的是，2015年11月1日生效的中华人民共和国刑法修正案（九）将修正案（七）进行了修改，扩大了侵害个人信息承担责任的范围，可以说是顺应现实需要，更有利于打击侵害个人信息的刑事犯罪、保护个人信息。原《中华人民共和国刑法修正案（七）》第七条是将犯罪主体定义在国家机关或者金融、电信、交通、教育、医疗等单位的工作人员以及这类单位，修改后的修正案（十）第十七条则将主体扩大到所有违反法律规定出售或提供、窃取或以其他方法非法获取公民个人信息情节严重的行为。这就为之后的法律约束上述行为奠定了责任认定的基础。

2、新时期的对个人信息保护的法律有：

新颁布的《民法总则》对个人信息保护做了规定。这是保护个人信息的基本法。该法第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

《电子商务法》已经颁布尚待2019年1月1日起实施。也对经营者搜集、使用和保护用户个人信息作出规定。

2017年5月9日，最高人民法院、最高人民检察院发布的《两高解释》，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号。对侵犯公民个人信息罪的具体适用问题做出了详细解释。

二、数据的其他类型

那么，数据还包括哪些呢？笔者试图从已颁布的法律条文中寻找线索。总结包括如下几种：

（一）科学数据

根据国务院办公厅2018年3月17日颁布的《科学数据管理办法》第二条：本办法所称科学数据主要包括在自然科学、工程技术科学等领域，通过基础研究、应用研究、试验开发等产生的数据，以及通过观测监测、考察调查、检验检测等方式取得并用于科学研究活动的原始数据及其衍生数据。政府预算资金支持开展的科学数据采集生产、加工整理、开放共享和管理使用等活动适用本办法。任何单位和个人在中华人民共和国境内从事科学数据相关活动，符合本办法规定情形的，按照本办法执行。

因此，科学数据在以下方面已经有法规予以规范：1、政府预算资金支持开展的科学数据；2、任何单位和个人在国内从事科学数据相关活动。

（二）政府信息资源

根据《政府信息资源共享管理暂行办法》，政务信息资源，是指政务部门在履行职责过程中制作或获取的，以一定形式记录、保存的文件、资料、图表和数据等各类信息资源，包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的信息资源等。

（三）健康医疗大数据

1、国务院办公厅于2018年4月25日发布的《关于促进“互联网+医疗健康”发展的意见》的“（十四）保障数据安全”：

研究制定健康医疗大数据确权、开放、流通、交易和产权保护的法规。严格执行信息安全和健康医疗数据保密规定，建立完善个人隐私信息保护制度，严格管理患者信息、用户资料、基因数据等，对非法买卖、泄露信息行为依法依规予以惩处。（国家卫生健康委员会、国家网信办、工业和信息化部、公安部负责）

根据上述政策规定，个人隐私信息在健康医疗大数据中普遍存在，需要予以保护，另外，健康医疗大数据还需要做好确权、开放、流通、交易和产权保护工作。如何区别个人隐私信息和大数据可开放和利用的界限内？如何做好不侵犯隐私还能促进健康医疗大数据的有效流通呢?目前还没有相关法律法规予以明确规定。

2、国家卫生健康委员会于2018年7月12日颁布的《国家健康医疗大数据标准、安全和服务管理办法（试行）》对健康医疗大数据做了定义并对其安全管理作出规定：

（1）健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。

（2）健康医疗大数据安全管理是指在数据采集、存储、挖掘、应用、运营、传输等多个环节中的安全和管理，包括国家战略安全、群众生命安全、个人信息安全的权责管理工作。

三、从现有法律法规及政策性规定理解数据权的概念

综上，笔者认为，按照现行法律体系，数据分为公共信息资源和个人信息，公共信息资源涉及个人信息的部分，需要遵守个人信息的保护，总体而言，公共信息资源要本着为社会服务的原则开放、共享，并注意保护信息安全和跨境管理，对于个人信息则要本着个人同意、授权等原则进行采集和使用，公共信息资源的主体主要是政府和机关，但也可以采取向社会主体采购的方式取得，社会主体之间也可以进行数据转让，而这种采购、转让，尚未有明确的规定如何操作、如何确权。

从本文上述分析可见，数据的保护包括个人信息的搜集、使用等的规范合法，还包括其他特定数据的使用等，法律法规还不算空白、有法可依。但是现行法律并没有数据权的概念和定义。

2015年6月24日国务院办公厅《关于运用大数据加强对市场主体服务和监管的若干意见》国办发(2015)51号“（二十六）推动政府向社会力量购买大数据资源和技术服务。”：各地区、各部门要按照有利于转变政府职能、有利于降低行政成本、有利于提升服务质量水平和财政资金效益的原则，充分发挥市场机构在信息基础设施建设、信息技术、信息资源整合开发和服务等方面的优势，通过政府购买服务、协议约定、依法提供等方式，加强政府与企业合作，为政府科学决策、依法监管和高效服务提供支撑保障。按照规范、安全、经济的要求，建立健全政府向社会力量购买信息产品和信息技术服务的机制，加强采购需求管理和绩效评价。加强对所购买信息资源准确性、可靠性的评估。

该文件确认了政府为提供服务而向社会力量购买大数据资源的方式。但是，纵观现行法律法规，并没有对如何就数据进行确权、如何流通大数据，做出细节规定，这是下一步需要规范和完善的。

第二节 与数据相关的企业法律风险提示

一、个人信息保护方面的法律风险提示

因此，目前现阶段，企业在数据方面应当注意的法律风险还是基于对个人信息搜集、保护方面的规定以及特定数据方面的行为主体应当遵守的规定。总结如下：

(一）民事责任

《民法总则》第一百一十一条规定正式确立个人信息是一项基本民事权利。个人信息受到侵害时，最直接的受害者即是个人，可以通过《民法总则》第一百七十九条规定的方式进行救济。司法解释对因为个人信息侵权行为导致的赔偿等确定方式作出了规定。

个人作为消费者，还可以根据《消费者权益保护法》的规定，通过协商、投诉、仲裁或诉讼途径追究经营者的责任，经营者应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。

比如，对于商家通过服务搜集的信息出现泄漏情况，导致用户损失的，用户可以起诉要求赔偿损失。

（二）行政责任

对于未履行个人信息保护法律责任的，《网络安全法》第六十四条规定了相应的行政责任：

网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

比如，2018年1月11日，工业和信息化部信息通信管理局针对媒体报道相关手机应用软件存在侵犯用户个人隐私的问题，约谈了北京百度网讯科技有限公司、蚂蚁金服集团公司（支付宝）、北京字节跳动科技有限公司（今日头条）。信息通信管理局指出，对照《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）有关规定，三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况，要求三家企业本着充分保障用户知情权和选择权的原则立即进行整改。

（三）刑事责任

2009年颁布的《刑法修正案（七）》首次将侵犯公民个人信息罪纳入刑法。根据该修正案的规定，自然人和单位都可能构成犯罪主体，表现形式包括向他人出售或者提供个人信息，窃取或者以其它方法非法获取个人信息。但是《刑法修正案（七）》将出售或者提供个人信息的责任主体限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，2015年颁布的《刑法修正案（九）》进行了相应的修订，将出售或者提供个人信息的责任主体范围扩大至任何自然人，同时将“履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人”的情形修订为从重处罚的情节。个人作为犯罪主体时，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金；单位作为犯罪主体时，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各款的规定处罚。可以说，修正案（七）到修正案（十）的改变，是顺应了现实发展的需求，有利于保护个人信息、惩罚个人信息违法犯罪行为。

二、特定数据的从业主体的法律风险

特定数据如科学数据、医疗健康大数据、政府公共信息等一般是国家机关单位或者具有资质的企业、事业单位，这类数据除需要遵守个人信息保护外，还有一个重要的方面是涉及公共资源，一方面要做到合法共享开放，另一方面做好信息安全保障。对于采集、存储、利用、开放共享有具体的流程和规范要求，如果违反该类规定，涉及行政责任和刑事责任。还需要注意这类数据由于涉及国家安全，需要注意其跨境安全问题。