互联网技术的进步使得数据愈发成为重要的生产资料,以数据处理为核心的数据商业化利用正不断地为市场注入新的活力。数据俨然已经成为一类重要的资源,个人数据是数据资源的关键内容之一,探索如何建构个人数据的利用秩序已经成为数字经济发展面临的重要课题。在此之中,基于个人数据无与伦比的价值性及其与生俱来的财产和人格双重属性,相关的商业化利用纠纷更为复杂与突出。围绕着个人数据商业化利用这一命题,制度的建构任重道远。2020年4月9日,国务院发布《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》),明确将数据资源作为五大要素之一,并为我国数据产业的发展指明了方向。《意见》明确提出:“加强对政务数据、企业商业秘密和个人数据的保护。”由此可见,与个人数据相关的制度建构已经成为现阶段立法者所肩负的一个重要任务。任何社会问题的治理都是全面而复杂的工程,尤其是在面对新问题、新挑战时,我们更加需要以宏观的视角对基本方向予以把握,从个人数据商业化利用纠纷入手,通过分析纠纷背后的利益冲突,提出框架性的解决方案,以期对纠纷的化解与制度的建构有所助益。
一、个人数据与个人数据商业化利用的基本内涵
数据分析技术的快速发展和移动终端的迅速普及,使得不同主体产生的各种形式的数据被不间断地收集、处理与使用,我们的社会已跨入了数字经济时代。依据数据来源是否与个人相关为划分标准,可将数据分为两大类:个人数据与非个人数据。这种分类以自然人为核心,以数据的“可识别性”(identifiable)为基础。也就是说,如依单独信息或者结合其他信息就可以定位到某特定主体,则该数据应当认定为个人数据,反之,则应为非个人数据。
在此,本文尝试对个人数据这一概念给予初步界定,即:个人数据是指能够识别到特定个人的数据,此处之识别包括直接识别与间接识别,同时相应数据在具体的情境下能够与数据主体人格权益产生紧密关联,包括但不限于主体的姓名、性别、出生日期、身份信息、职业信息、家庭住址、联系方式、经济收入和资产状况、医疗健康、消费习惯、识别生物特征及其他信息。在2021年4月审议的《个人信息保护法(草案)》中,也把是否已识别或可识别作为标准来对个人信息进行区分,但不包括匿名化处理后的信息。
个人数据的商业化利用行为是指个人数据的利用方基于商业目的从个人数据中通过数据分析创造价值、实现价值的过程,其核心包括收集、处理与使用三个环节。
二、个人数据商业化利用中利益冲突的三个维度
(一)维度一:数据主体与数据利用方之间的利益冲突
个人数据商业化利用中的利益冲突首先表现为数据主体与数据利用方之间的冲突。一方面,数据主体基于个人数据与其自身的强关联,希望尽最大努力掌握自身个人数据的流向和用途,如决定数据的收集方、收集后的使用方式、能否向第三方提供,以及对收集的数据随时进行访问、更改、删除、移动等内容。另一方面,数据利用方基于产业发展,显然希望在法律允许的情况下在更大程度上自由地收集、处理和使用个人数据以扩大在数据产业发展中的规模。现实中,常见情况是数据利用方打破利益平衡使数据主体的正当权益受到损害。以下三种情况是比较典型的表现方式。
1.未经数据主体同意而收集、处理、使用个人数据
未经数据主体同意而收集个人数据,是指没有经过数据主体的同意或超出数据主体同意范围情况下,数据利用方收集个人数据的行为;或虽然经过数据主体的同意,但所取得的同意存在效力瑕疵(例如在设置中默认数据主体同意、未提示数据主体注意数据收集等)。
未经同意而处理、使用个人数据的行为,是指数据利用方超出约定或法定的方式、范围、目的而处理或使用个人数据。这主要包括两种情形:其一是针对相应个人数据进行在数据利用方控制范围内,基于其他目的的“自用”情况。在此环节中,原始数据收集方始终系个人数据的保有者,并未扩散于外,故相较而言,一般对此种行为的处理意见较为轻缓。其二是数据收集方将相应数据“提供”于他方的情况,该情形一般更容易引起数据主体的担忧和不安。如果信息权利人只是允许信息收集者收集其个人信息,并不意味着其已经将该权利全部转让给数据的收集者和开发者,更不能据此认为,信息权利人已经允许信息收集者共享其个人信息,信息权利人对其个人信息的支配也当然涵盖信息的共享阶段。
2.对可公开获取的个人数据进行收集、处理、使用
在当下,数据利用过程中的场景对可公开获取的个人数据进行收集、处理、使用的现象也较为常见。此处涉及两个层面:一是须审视公开行为本身的合法性,基于主体自愿的公开固然没有争议,但也存在某些未经数据主体同意的公开;二是对于已经公开的个人数据是否可以视为数据主体已经同意,这种情形不应视为因其已经公开而可以被任意收集、处理、使用。数据主体对其公开的个人数据分为自愿以及非自愿两种情形。
3.数据服务涉及的个人数据滥用问题
个人数据滥用在数据服务场景中体现为通过算法不当分析数据主体的行为。所谓算法,实际上就是通过计算机技术来分析数据样本,并通过分析后的结果解决某一特定问题的代码。有学者认为个人数据滥用行为包括偏见代理的算法歧视、特征选择的算法歧视和大数据杀熟三种基本形态。
综上,数据主体与数据利用方之间矛盾冲突的表现样态丰富,说明相关问题十分复杂。如何友好地获得数据主体的授权,是数据利用方需要解决的重要课题。现阶段,这一维度的利益冲突以数据主体人格权益保护与个人数据财产性权益实现的矛盾为核心,同时数据主体与数据利用方之间就数据财产性权益分配的矛盾已经开始显现。如何在保证数据主体人格权益不受侵害的前提下,实现数据财产价值的最大化与合理化分配已经成为现阶段制度设计所面临的重要问题。
(二)维度二:不同数据利用方之间的利益冲突
个人数据商业开发与利用中的矛盾还存在于不同数据利用方之间。许多数据产业从业者,特别是互联网行业的从业人员,可以说是数据商业价值的第一批“淘金者”,提前就对数据相关产业布局及大规模获取各类数据资源作出了计划,尤其是个人数据所体现的多场景兼容特性,使得产业各方竞相争夺。在新型数据分析技术大量出现、数据处理设备不断迭代和升级的背景下,经营者对数据的利用能力显著增强,实践中普遍存在经营者通过收集、使用个人数据来创造商业价值、获取竞争优势的情形,有的经营者甚至将个人数据视为自己商业模式的基础和命脉。但在相关制度供给不足的情况下,数据利用过程中产业各方间的冲突愈发凸显,具体体现在以下几个方面。
1.数据利用过程中的不正当竞争问题
随着市场的扩大,数据利用方之间的利益冲突愈发激烈,这尤其体现在数据利用方之间的一系列涉及平台数据的不正当竞争纠纷中,如早些年的电子商务平台易贝(eBay)诉拍卖优势网站(Bidder’s Edge)案、
时间 | 涉案主体 | 涉案行为核心 |
2008年 | 脸书诉动力案【注文18】 | 未经平台授权,诱导、欺骗用户转移相关个人数据 |
2015年 | 微博诉脉脉案【注文19】 | 未经用户及平台授权抓取用户在相应平台上的社交类个人数据 |
2015年 | 大众点评诉百度案【注文20】 | 未经用户及平台授权抓取相应平台上的用户评价 |
2016年 | 嗨Q诉领英案【注文21】 | 关闭用户数据共享端口【注文22】 |
2017年 | 淘宝诉美景案【注文23】 | 未经用户及平台授权抓取用户数据 |
2017年 | 奋韩网诉58同城案【注文24】 | 未经用户及平台授权抓取用户在相应平台上发布的生活、学习、社交类个人数据 |
2019年 | 微信诉抖音、多闪案【注文25】 | 未经用户及平台授权将合法获取的用户头像、昵称数据转移给第三方 |
以“微博诉脉脉案”为例,
对于个人数据的获取,应当秉持一个“同理心”来对待,因为在数据产业链中各方的地位有可能随着应用场景的不同而发生转化,链条中的上游企业即提供方可能在其他的利用场景下变成数据下游的需求方,不能一味追求效率而无视商业秩序,如何建立有效的数据共享和交易机制就成为数据产业发展需要面对的重要问题。在建立相应机制的过程中,需要充分尊重数据平台在产业发展中的贡献,对于合法的企业利益如何加以保护是有效解决数据产业链条中不正当竞争频发的关键。
2.数据利用方的垄断问题
数据利用方的垄断愈发成为一个十分现实的问题。进入数字经济时代以来,我国尽管尚未发生相关的诉讼案件,但近年已经初现端倪。
通过滥用市场支配地位来实现对个人数据的垄断则比较复杂。基于先发优势,某些互联网企业已经取得了大量数据,并形成了相关市场的支配地位。出于巩固市场地位或发展上下游市场的考虑,这些企业可能会基于其市场地位大量收集用户个人数据。2016年3月2日,德国反垄断机构联邦卡特尔局(Federal Cartel Office)对脸书公司(Facebook)展开调查,怀疑其对用户数据的采集行为及相关经营模式违反了德国《联邦数据保护法》,构成对市场支配地位的滥用。虽然脸书公司(Facebook)一再拒绝承认其在德国具备市场支配地位,但德国联邦卡特尔局还是对此持怀疑态度。
综上,数据利用方之间的利益冲突同样有着多样化的表现形式。围绕数据所蕴藏的财产性权益,业界普遍缺乏一整套全面的、能够得到普遍认可的有关数据的行为规范。在赋权路径仍存疑惑的情况下,有关冲突近年来相继爆发。尽管通过商业秘密进行变通保护、
(三)维度三:数据主体、数据利用方利益与公共利益之间的冲突
在对个人数据的商业化开发时,除了关涉个人的人格权益与财产权益、数据利用方的财产权益,还势必触及公共利益,这三者之间必然存在价值冲突。具体表现在以下几个方面:
1.个人数据合规与政府数据治理问题
个人数据合规与政府数据治理实际上是一体两面的关系,其内核都是促进数据开发朝着安全且有序的方向发展。个人数据的合规与治理主要包括个人数据的质量与标准管理、个人数据利用的流程管理、个人数据安全与风险管理等方面,这其中又以流程管理为核心。在私法未能就个人数据财产权益予以明确回应的现状之下,流程管理能够从侧面承担平衡相关主体利益冲突、稳定个人数据开发相关市场的重任。就具体内容来看,个人数据合规与治理所涉范围很广,基于数据利用强烈的外部性问题,在目前有关个人数据开发的一切事项中都能够看到“政府的手”在积极发挥作用。
目前来看,个人数据合规与政府数据治理中最棘手也是最紧迫的问题是如何切实保障个人数据安全,形成有效的数据治理方案。近年来,个人数据泄露事件频发,数据泄露的规模与影响都呈现出逐步扩大的趋势。随着《刑法》的几次修订、《网络安全法》的出台及其他相关法律法规的完善,个人数据治理的真空状态已经得到弥补。但重拳之下,个人数据违法犯罪仍然表现得较为活跃,其原因主要在于:首先,个人数据有着巨大的市场需求,但没有对此设计较为有效的交易机制,部分需求也被迫诉诸非法交易。其次,数据泄露难以被察觉,诸多案例都表现为数据被地下交易后,数据泄露的消息才被数据主体所知晓。最后,对违法交易的追查困难,数据在通过不法手段获取后,进行非法交易的隐蔽性很强,甚至现阶段相关数据在“暗网”中进行交易,这亦给事后的线索追查设置了重重阻碍。鉴于此,很多国家和地区就个人数据的保护进行了专门立法,设置了专门的监督实施机构,以实现数据治理。目前来看,我国尚没有专门的数据监督管理机构,就相关立法来看,也存在规则体系不够协调、规制义务主体不全面、义务条目与内容不够全面具体的问题。
同时,对于数据的分级分类制度尚不完善,也使得难以形成有针对性的保护措施。新近通过的《数据安全法》中对关键信息基础设施运营者的义务进行了专门规定,《个人信息保护法(二审稿)》中对于基础性平台服务或业务类型复杂的平台,或服务用户数量巨大的数据处理者也规定了专门的义务,此类数据处理者应当设立独立机构监督数据处理行为并对严重违法的信息处理者停止服务,定期发布个人信息保护社会责任报告等内容来接受社会监督。
2.个人数据的跨境移转与国际管辖问题
平衡个人数据商业化利用中数据主体利益、数据利用方利益与公共利益的冲突不仅仅是一个内部治理的问题,同样涉及很多外部问题。具体来看,个人数据的跨境移转与国际管辖标准问题构成了相关问题的核心。
所谓数据跨境移转,是指数据在不同法域间的转移,基于维护国家安全的考虑,各国都为本国数据向境外的移转设置了诸多限制,这其中又以针对个人数据跨境移转的限制为甚。针对数据的跨境移转的限制,主要有“欧洲模式”与“美国模式”两种做法。欧洲历来重视个人数据中的人格权益保护,因此对个人数据的跨境流转施加了比较大的限制。从1995年欧洲议会以及欧盟理事会出台的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第 95/46/EC号指令》到2016年颁布的《统一数据保护条例》,“第三国适当性评估”一直是数据跨境移转的基本要求,即作为数据转移对象的国家应当能够为个人数据提供适当水平的保护。与欧洲不同,美国长期以来并没有统一的个人数据立法,只是一些场景化的个人数据单行法。这种现象的背后是美国作为数据产业优势国希冀通过降低数据流动门槛实现促进本国数据产业发展的现实需求。美欧做法的分歧固然表现在针对人格权益保护的衡量标准的不同,但更深层次地讲,这与促进本国数据产业发展、维护本国国家安全紧密相关。
数据跨境移转必然会牵扯出数据在国际间的管辖标准适用问题。2018年2月6日,美国四位参议员提交了一部立法草案《澄清域外合法使用数据法》(the Clarifying Lawful Overseas Use of Data Act, 以下简称《CLOUD法案》)。
综上,通过对第三维度利益冲突的审视,我们得以跳出私法逻辑及内部产业政策的逻辑,进而从公共利益、国家安全、发展战略的视角审视数据立法的这一核心。以欧洲为代表的个人数据立法过于强化个人数据的人格权益,进而为数据的自由流动制造了重重阻碍;而以美国为代表的立法模式强调场景化的规制,其仅就消费者数据、未成年人数据等方面进行了严格规制。从产业角度审视,美国的互联网产业在全球范围内的地位是不可撼动的,其利用数据优势收割数据产业弱势地区的利益或将成为继金融工具之后的又一手段。但对于我国而言,得益于巨大的国内市场、相对稳定的网络环境和丰富的应用场景,互联网产业自21世纪以来已经获得了前所未有的发展。基于此,只要本土企业主导了国内相关市场,我国就没有必要将个人数据的自动化处理当作洪水猛兽,复制欧盟的做法、处处以保护个人数据为名作茧自缚,而要侧重于培育市场的公平竞争,并对处于相对弱势地位的消费者提供适当保护。
三、个人数据商业化利用中矛盾冲突的化解
大数据时代的利益,无论是数据主体相关的人格权益与财产权益的保护,还是数据开发中通过利用个人数据所创造的商业价值,都得到社会公众充分的认可,这使得个人数据保护与利用之间的矛盾变得愈发突出与深刻。我国目前尚没有制定专门的个人数据保护法,关于个人数据保护的相关规定散见于其他法律规范中,且保护的法益主要关注于个人数据中的人格权益,未能充分关注个人数据的商业价值。有观点认为,数据的相关权益应通过合同交易规则进行保护。
有些学者希望可以通过为数据赋权的方式来对数据产业投资中所体现的“投资权益”施以绝对权保护。但究竟应如何保护本身存在巨大挑战,具体可从四方面进行分析:第一,“数据”作为权利客体的基本概念尚存在争议,这主要体现在“数据”与“信息”的界分上。将数据以“物理层”“符号层”与“内容层”进行拆分,通过为“符号层”的数据文件赋权的方法实现数据权利设定。
如上所述,私法中的两条进路都很难使数据的自由流动与个人数据保护达致平衡状态。因此,在确立个人数据保护基本原则的讨论前,应当对个人数据的保护体系进行更深层次的解构,充分考虑数据产业各方之间的角色和定位,平衡个人数据权益保护和数据有序流动、国家数据主权安全与数据产业发展。
(一)充分尊重用户,保障个人信息权益
对于个人数据商业化利用中的数据主体来说,大数据本身的“大”体现为两个方面:其一为单一标签的数据总体量级的“大”;其次对于单个数据主体来说,也表现为各方面维度数据的“大”。个人数据的利用环节中,个人数据收集的主要形式是通过“知情同意”的规则或者合同授权等方式使数据收集具有合法性,但是在具体应用中,基于对数据主体的差异性与场景的多样性的考虑,企业在这一过程中对待数据主体隐私信息的态度应当有所区别。由于数据主体隐私本身涉及主体主观性极强的信息,因此很难以构建标准的方式进行量化。就商业化利用而言,可以借鉴欧盟在数据处理中的设计结构,为尊重和保护数据主体的隐私,对其个人数据可以通过利用阶段的各个场景来进一步确认。
(二)充分尊重平台在数据发展中的权益
对于个人数据商业化利用的整个生态环境来说,流通的数据产生更多的价值,因此,从有利于产业发展的角度必然要求增加参与者的数量,提升数据流转的总量,亦即,鼓励数据流动是数据价值和数字经济的内在要求。数据与一般的有体物不同,通常在流动的过程中数据量会表现为逐步增长的态势,而这也为数据的开发提供了更多的样本。对于个人数据,其商业价值的产生与扩大是数据各方主体共同作用所致,必然也离不开各数据利用方。
有人将个人数据比作是数字经济时代个人留下的“脚印”,那么数据利用方就是依照这些“脚印”修筑起条条大路的人。在修筑的过程中,开发者以“脚印”为样本,通过样本分析所得到的结果,是指引各项数据产业的“快车”抵达目的地最为快捷、最为合理的路。在这条路上,我们应当尊重留下脚印的“行人”的贡献,因为这些印记提供了有效的实践和样本。他们完全可以选择不留下这些脚印(个人信息自决权、删除权等),并且留下这些脚印还有可能会使他们承担一定的风险。但路的建成须要有能承担“筑路人”角色的数据利用方参与进来,个人也没有能力修筑起构建数据时代的一条条路,正如要求个人承担数据产业发展所必需的服务器和技术是不可能的,因此就贡献来说,数据利用方也应当就此享有一定的商业利益。目前,从私法保护角度来说,企业数据保护走向财产权化已经成为一种越来越清晰的趋势。这种方式对于企业具有最佳鼓励和刺激作用,使其乐于积极投入技术、资金和人力成本,不断开发新数据技术和方法,不断推出和改进数据产品,进而繁荣数据经济,促进社会经济发展。
(三)数据的利用应当遵守商业秩序
完善对于不同开发者之间利益冲突的解决思路,还要考虑“尊重商业秩序与价值共创原则”。该原则体现为数据产业各商业主体在参与数据创新的过程中,应当充分尊重现有的商业秩序,尊重数据利用开发中产业链的各方主体在个人数据商业化过程中贡献的力量。商业主体和数据平台的积极参与是必要基础,而尊重平台所创造的价值,是推动个人数据产业有序稳步发展的一项基本原则,这里的尊重商业利益是指应当肯定数据产业发展中的商业行为的积极作用,同时在对个人数据进行权益保护或赋权的情况下,充分考虑商业主体对于数据发展中必要的和正当的贡献。
以数据夺取、数据垄断等形式体现的利益冲突为例,笔者建议数据利用方在数据收集和使用过程应当遵守行业实践中逐步形成的、为广大从业者所接受的、不违反公共秩序和善良风俗的商业秩序,应当考虑产业发展现状,进而建立数据利用规则与生态。
(四)设立个人数据监管机构与行业自治组织
基于个人数据商业化利用过程中矛盾冲突的复杂性及其呈现形式的多样性,为配合现有相关法律规定及之后个人数据专门立法的实施,个人数据保护专门机构的设立是应对并有效解决现有问题的一个重要环节。一方面,个人数据保护专门机构的设立能够更好地实现对个人数据的全面管理、流程管理;另一方面,相关专门机构的设立使得个人数据相关行政责任清晰化,进而解决了行政机关责任推诿或多重执法的隐忧。个人数据保护机构的具体职责应当包括监督、管理与宣传指导三个方面。就监督而言,专门的个人数据监管机构负有责任监督个人数据保护法律规范的实施与执行。在这里,个人数据保护法律规范不仅指专门的个人数据保护立法和数据安全领域立法,还应包括散见于《民法典》《网络安全法》等法律、行政法规中的个人数据(个人信息)保护规定。就管理而言,个人数据监管机构应当负有接受相关投诉、调查、处理相关违法活动的职责。就宣传教育而言,个人数据保护机构负有开展个人数据保护宣传培训、接受相关问询的责任。同时建立专门的个人数据监管机构也有助于国际间的交流与协作,比如在数据安全、数据跨境流动以及数据应用上形成共识并建立相应标准等具体问题也是一个全球共同的重要课题,因此设立专门的个人数据监管部门也是非常有必要的。
当然,仅凭政府层面设立的专门机构仍难以全面地化解个人数据商业化利用中多维度的矛盾冲突。可以预见,层出不穷、变幻莫测的相关行为将会为个人数据相关执法制造多重障碍。因此,建立行业自治组织同样显得尤为必要。一方面,对于既有的个人数据保护法律规范不可及的相关行为,通过行业自律组织能够在一定程度上调和、缓解相关利益主体之间的矛盾。另一方面,行业自律组织所达成的相关行业规范、行业标准可以作为个人数据保护机构执法的参考,甚至在有些时候可以佐证相关商业道德与行业惯例,进而对行为正当性的认定产生影响。因为对于个人数据利用的场景是一个动态的过程,通过行业组织能够更好地推动形成行业间达成共识,通过行业间的自治自律达到有序促进数据产业发展的目的。
(五)建立数据追溯和共享机制
保护企业数据权益应当以促进数据共享为目标,企业数据的合理保护应当有利于促进数据共享。
对于个人数据的商业化利用过程来说,应充分肯定商业主体的创新和自治能力,商业主体之间设定的机制能够有效地调节数据流转过程中出现的问题。一方面通过加强数据交换和数据访问,为数据产业的上下游提供高质量的数据,解决很多企业产业发展过程中面临的“冷启动”的问题;另一方面各方主体的充分参与是追溯和共享机制建立的必然要求,这样能够为行业自律规范的形成提供更好的生长土壤,同时,也对企业之间更好地开展数据安全合规和个人信息保护实践发挥指引作用,进而达到数据产业的动态平衡。另外,建立上述数据追溯和共享机制,可以保障个人信息在商业化利用过程中的数据安全,并在发生数据泄露事件后及时追溯信息泄露源头,以落实各参与主体相应的保护责任。
(六)建立合理的数据管辖标准
数据管辖标准的设立不仅仅是一个关涉商业主体利益与公共利益平衡的问题,它更与国家安全以及国家战略息息相关。诚如有学者所指出,如果过去个人数据保护被上升为国际问题是基于人权保护理由的话,那么数据的资源性所导致的与国家经济和政治安全的勾连又成为国家争夺国际话语权的重要理由。
理想的个人数据管辖标准是属人主义,即依照数据主体国籍国来确认相关纠纷的管辖。但这一标准存在实践上的困难,一方面对于某些个人数据难以确定主体的国籍,另一方面以批量个人数据为对象的纠纷中相关数据主体的国籍国很可能是多样化的,进而难以执行统一标准。除此之外,属地主义也是一种具有讨论价值的构想,即以存储数据之服务器所在地作为划分相关纠纷管辖权之标准。但基于价格、带宽、安全性等方面的考虑,有很多企业租用境外服务器以存储、处理相关数据。属地原则之下,基于这些数据产生的相关纠纷将无法诉诸我国法律解决。此外,随着云存储技术的发展,数据存储去中心化的趋势也使我们愈发难以确认数据所在地。最后,以数据利用方国籍国为管辖标准似乎能够解决执行与政策上的问题,但这种管辖标准势必在一些数据产业相对欠发达的国家或地区受到极大的阻力。基于上述分析,个人数据的管辖标准不宜简单采某一特定标准。可综合考量各个标准,以属人主义为基础,在其执行时结合属地主义与数据利用方国籍国等标准进行评估,确定最密切联系地,以妥当地化解相关冲突。
四、结语
个人数据的商业利用是一个宏观的概念,也是一个极为复杂的过程。从本质上讲,所涉利益主体的多元性与具体利益呈现形式的复杂性是造成个人数据制度建构困难的真正原因。一方面数据利用的范围随着技术的不断发展而不断扩展,另一方面利用场景的不断丰富,使得原有的保护内容被赋予新的内容。传统的私法进路对于权利设置存在阻碍,无法有效平衡不同主体之间的利益冲突,而通过行为立法又不免挂一漏万。所以数据治理,特别是个人数据治理必然走向社会共治,其中数据主体、数据产业链条上各方的参与者,以及监管部门和行业自治组织都需要在其中积极发挥作用。在社会共治的框架中,通过对个人信息采取专项立法,设立核心的法律框架将处于基础性的地位,在此之上,数据追溯与共享制度、涉及数据相关的各项国家标准、企业间的数据自律公约等又将会是重要的组成部分。
数字经济时代,对于个人数据治理应当具有“同理心”。对于数据主体来说,如希望通过丰富的应用场景获得生活和学习上的便利,势必需要让渡部分权利并为数据企业提供相应的授权,但同时我们也应当充分保障数据主体的知情权,并应当给数据主体选择是否接受相应应用场景的选择权和在选择应用场景后撤回的权利。对于数据利用方来说,获得数据主体的授权后,应当在利用的各个环节加以规范。同时对于个人数据不应“一刀切”,分级分类的数据利用规则,将会使产业链中的各方主体通过合理正当的场景来进行个人数据的商业利用。对于国家以及各政府部门来说,有序的数据治理规则,也是国际治理体系的重要部分,各个国家和地区之间只有秉持“同理心”的共商共建,才会更好地实现全球数据治理的目标。