作者：范为 

来源：网络空间治理创新

全球进入数据驱动经济社会创新发展的时代，数据经济的特征决定了数据必须在更多的维度和更广的领域实现流动与融合才能产生更高的价值。然而，大数据的开发和利用不可避免地触发了各国对个人隐私、国家安全和经济前途的风险担忧。

2017年6月，我国《网络安全法》正式生效以来，互联网巨头围绕数据使用权的纷争不断。无论是近来京东与天天，菜鸟与顺丰，还是腾讯与华为间的纷争，这些数据驱动型企业间最根本的矛盾在于对“大数据”的控制与竞争，这些大数据究竟是个人数据，还是企业商业资产，如何规范各方的权益边界，如何保护用户的基本权利，有待相关决策者和研究者共同理清。

本专题内容是在2017年8月“上海大数据治理沙龙”专家发言稿基础上整理汇编而成，对推进《网络安全法》有效实施和企业大数据治理提供有益的参考。

专题文章共有六篇，分两次进行推送。今天为您带来的是后三篇：《由“华为-腾讯事件”谈数据权益梳理与数据治理体系构建》、《基础电信运营商的大数据观》、《医疗行业的个人信息保护和合规挑战研究》

本文从备受关注的华为、腾讯的事件讲起，主要围绕三个方面展开：一是数据生态与数据竞争，二是各利益相关方数据权益梳理，三是分享协助企业构建数据治理体系的实践心得。

热点事件折射的数据生态与数据竞争

（一）华为-腾讯事件的主要争议

华为-腾讯事件的争议主要可梳理为三方面问题：一、数据采集和数据控制的权限。落在华为-腾讯事件上，可解释成华为是否有权越过腾讯直接获取用户的授权，以采集或访问（以下统称“获取”）用户数据，这是争议点比较大的问题；二、数据采集利用的正当性。很多数据采集利用是伴随服务产生的，数据获取的正当性是否需要法律授权；三、数据采集流通的商业驱动。所有这些事件背后的核心驱动力并非是遵守法律的要求，而是商业利益，基于商业驱动审视数据的治理问题会得到新的思路。

（二）数据竞争的场景梳理

华为-腾讯事件集中地体现了数据产业链、生态链中围绕数据竞争的白热化。数据竞争的生态大体可梳理为几种典型场景：一是上下游业态的竞争，以“华为-腾讯事件”为典型；二是平行业态的竞争，以“顺丰-菜鸟事件”为典型；三是前后端业态的竞争，以“微博-脉脉事件”为代表。

华为-腾讯事件集中反映了微信作为应用服务商与华为作为硬件设备商的上下游间数据交互与竞争。然而正所谓“螳螂捕蝉、黄雀在后”，在双方更上游还有电信运营商，除此之外，微信上的聊天记录是否同时为手机输入法、手机上其他应用（如安全软件）所获取？数据流通是伴随业务合作进行的，在业务合作和产业链中往往伴随着数据的交互，然而很多企业可能并未意识到数据的交互问题。更为重要的是，政府对数据的重视程度也与日俱增。由于企业掌握海量数据，政府越来越多地向企业提出获取数据要求，同时其权限也缺乏明晰的界定。“网联”的启动就是政府介入数据生态链的典型体现。来自政府的数据协助请求也成为企业面临的一大难题。

（三）数据流通生态与数据处理的正当性基础

企业间数据流通的场景，在实践中主要体现为业务合作、业务融合、投资并购等，主要基于以服务换数据，以数据换数据，以资源换数据等形态。例如某家公司推出的流量卡，正是通过资源来换取数据的例子。另一个典型的场景是云服务。云服务商虽声明不采集用户数据，然而用户数据如何界定也有一定争议，云服务商基于提供服务而采集的用户使用流量、账户登陆活动等数据，也能够反映用户活动状况甚至是敏感信息。这种基于业务而获取数据的行为或事实是否天然具备合理性，亦或合理性必须要经由法律的授权而非自动取得，仍需在实践中不断探索。

从数据生态角度来讲，前一段时间京东宣布与360达成战略合作，目前为止京东已经与今日头条、腾讯、百度都达成合作，我们可以清晰地看出阿里系与腾讯系各自以生态合作伙伴为基础的数据竞争生态。一般而言，企业层面的数据交互和流通行为大多通过合同协议来约定。各方权益如何界定，数据流通的规则如何构建，还需要长期探索。

（四）国际数据流通治理的最新趋势

在国际上，关于数据流通与数据竞争的探讨也在持续升温。例如在美国，前段刚刚发生的微软LinkedIn与HiQ案件做出了令人意外的裁定，要求LinkedIn公司不得采取法律或技术措施限制第三方公司爬取其网站上的公开数据；又如《宽带隐私保护法》被废除，背后反映的是电信运营商和互联网运营商之间的利益之争；再如数据融合导致的监管问题，微软收购linkedin，Facebook收购WhatsApp，都体现了对数据融合的监管，不仅是在用户数据保护层面，反垄断等机构也开始介入，需要在反垄断的角度打开新思路。在欧盟，欧盟委员会最近针对数据权属问题频频发声，在发布的白皮书《发展欧盟数据经济——数据权属问题白皮书》中，针对数据权属（data ownership）提出了分析和见解。

数据权属与数据权益梳理

华为与腾讯事件涉及到三方主体，三方的数据权益如何划分和处理值得探讨。

（一）数据权属问题的局限

在华为-腾讯事件中，事件的核心问题被归结于数据的权属问题，例如华为给出的解释是数据属于用户，因而用户有权进行处置。然而数据权属无法有效解决争议。数据具有非排他性，并非民法意义上的“物”。数据权属问题的产生是由于数据作为提供服务的衍生品，数据持有者和权益人相分离，数据权益是一种新型的权益，各个利益相关方均享有特定权益，因而需要对各方权益进行细化的梳理和界定。

欧盟在《发展欧盟数据经济——数据权属问题白皮书》也得出同样的结论，即探讨数据权属问题无益于解决争议。OECD发布的《数据驱动的创新：服务于经济和社会福利的大数据》同样指出，对于数据“权属”的探究并不是问题的核心，多元利益相关方均享有相应的权益，应妥善协调各利益相关方的权益。

（二）数据流通合规的三重维度

数据流通体系里面涉及到多重维度的数据合规和数据治理的要求。我们将数据合规问题梳理出三个层次：第一，从国家安全与公共利益的维度，涉及到数据安全可控、数据留存、数据跨境与本地化、数据执法协助、数据内容管理等等，多为法律法规的强制性要求；第二，从商业利益与商业竞争的维度，涉及涉及到知识产权及商业秘密保护、反垄断、反不正当竞争、合同及侵权等问题；第三，从个人权益保护的维度，涉及到消费者权益保护、个人数据保护等问题。三个维度提出了不同层次的要求。

（三）数据的商业竞争及企业数据权益的维护

华为-腾讯事件已经跳脱了（个人）用户层面的问题，用户在中间能够发挥的作用已经很小了。它更多涉及的是双方的商业竞争问题，华为即便不与腾讯合作，也在与支付宝等其他合作伙伴合作。华为获取用户数据经由了用户的授权，满足了用户数据保护层面的要求。因此，问题不出在用户数据保护本身，更多是基于两家的商业竞争，这与顺丰-菜鸟事件如出一辙。

数据流通中涉及到多元利益相关方的权益，包括数据被收集者（用户）、第一方收集者、第三方收集者、持有、加工者、使用者、数据中介等等。具体到华为-微信事件，主要涉及用户、微信和华为三方主体。在这里微信具有双重身份：相较于华为，它是数据的提供者（当然这里构成的是被动提供），相较于用户，又构成第一方采集者。当然，首要前提是从国家安全和政府监管的角度，分析是否有权获取用户微信聊天记录、是否违反宪法关于保护通信秘密的规定。然后是从商业维度分析微信的权益。许多专家学者均强调了微信作为用户数据采集者基于《网络安全法》等应履行的数据安全保护义务。然而与此同时往往容易忽略另一个角度，即微信作为数据提供者享有的权益。微信对于自身产生、持有的数据是享有权益的，这种权益在目前法律框架中尚无清晰界定，然而实践中，很多案例确认了企业的数据权益，从商业秘密、知识产权保护，以及反不正当竞争等多种角度，对数据的采集、持有或者加工方的数据权益进行保护。

（四）（个人）用户数据权益的边界

从用户权益边界的角度而言，同样能证明用户能发挥的作用非常有限，因为用户能够基于同意行使授权的范围有限。以欧盟《通用数据保护条例》（GDPR）为例，GDPR及其前身《95/46指令》对用户的权利边界已经做了非常清晰的界定，用户能够行使授权（同意）的范围受到很多限制，一是同意“无法”行使的情形，例如依照法律的强制规定或履行法律义务所必需，用户没有权利进行授权，有时甚至无权知情；二是同意“无需”行使的情形，例如基于履行合同义务或提供服务所必需的数据采集，则无需用户同意，只需通过隐私政策告知即可；三是用户能够行使同意的范围，据国际隐私专家协会（IAPP）去年的一项调研，企业在很少的情况下（占36%）是基于用户同意来采集数据的。在华为-微信事件中，用户可以通过同意（或取消同意）来决定是否允许华为采集或访问自己的微信聊天数据，然而无法决定华为是否与微信进行合作，这完全基于两方商业洽谈与商业竞争的结果。

企业数据治理体系的构建

（一）构建数据治理体系的意义

企业为什么要进行数据治理？我们协助很多企业做个人数据保护的合规框架，最后大多演变成一个全域数据治理的框架，主要是由于个人信息保护的框架有很多局限。

一是企业内部很多数据并非个人数据或并无清晰界定。以互联网公司为例，基于数据后续的利用会为每个用户设计一个独特的ID，用户所有产生的数据均与该ID绑定。我们所说的匿名数据或非个人数据在互联网公司内部都具有识别性。例如华为的隐私政策指出“如果个人数据掺杂了非识别性数据，依旧会被视作个人数据处理”；阿里巴巴的隐私政策也有类似表述，因而企业内部的数据脱敏技术及管理制度就尤为重要。此外，用户数据主要可分为身份数据和行为数据，行为数据对互联网企业而言价值最高，因为企业主要是基于行为数据进行后续的价值开发，然而行为数据或者衍生数据不被法律上界定为个人数据，因而个人数据保护的框架远远无法满足需求。二是如前所述，从个人数据保护的角度无法实现企业数据权益的有效维护。对于个人数据的商业价值，以及非个人数据的商业价值，在个人数据保护的框架中很难实现，需要数据治理的整体思路。

构建数据治理体系是企业对自身数据资产进行梳理的过程。很多企业对自身的数据或面临的问题并无清晰的定位，我们经过不断调研访谈，逐渐摸索出企业的需要，现在能够做到很快摸清企业需求，甚至为企业指出需求。企业围绕数据的需求很大程度是在数据治理方面。

（二）数据治理与数据合规、数据安全

数据合规与数据治理的区别。我们认为数据合规侧重风险提示，即评估数据处理行为的风险；数据治理会进一步给出解决方案，将要求落实到管理流程和控制措施。企业更需要的是一种解决方案，它基于内生的动力，即数据开发利用的商业需求，而非基于法律的强制要求。

数据安全与数据治理的区别。安全是一种防护行为，构成对数据使用的限制，治理是一种主动策略，目的是促进数据的开发利用。更为重要的是，数据安全是业务级别的要求，而数据治理则是战略级别的要求。企业会面临很多围绕数据的问题，例如，如何应对政府数据执法请求、企业内部各业务线数据是否打通、数据内部交换的规则；数据外部合作的战略、基于生态合作的数据互通、需要的外部数据通过何种途径引入等等，均属于数据治理层面的问题，一般都需要高管级别的人员做出的决策，而非业务人员能够决定。

（三）企业的数据治理需求

企业的数据治理需求，主要体现在进行数据互通、价值的开发，并从此角度审视相应的法律风险。主要内容为数据处理相应场景的法律、合规要求；数据融合、内外部打通；数据需求对接；数据开发利用、数据变现；数据流通开发的合规风险管理。

我们参考国内外最佳实践探索出一套企业数据治理方案。在步骤方面，首先是进行前期调研，尤其要了解企业的战略目标和文化，如何看待数据合规与数据的价值；二是进行基础性工作，例如数据清点、数据分级分类、数据流通应用场景梳理等，出具数据治理状况的评估报告；三是建构数据治理体系，根据我们给出的框架方案和建议部署、调整数据治理框架，内容涉及组织架构、管理流程和技术措施等要素。最近阿里推出了“数据安全成熟度模型”（DSMM），是非常典型的数据治理整体框架的最佳实践，从组织架构和管理流程、技术措施等方面提出数据治理体系的制度设计。服务的主要输出成果有：一是数据整体治理体系框架；二是组织架构与流程，例如很多企业成立大数据事业部等，并明确其职能分工；三是内部管理制度，这是数据治理体系的最后落地，例如产出数据安全管理办法、大数据流通开发规范等内部管理规范。

（四）数据合规与数据治理的解决方案

由于数据治理的在实践中才刚刚起步，大部分企业的数据治理需求多体现在《网络安全法》合规和数据安全合规方面。我们经过摸索改进及与企业反复沟通反馈，研发推出了一系列数据安全合规和数据治理的解决方案。在数据安全合规方面，主要有“《网络安全法》合规框架”（89个控制措施）、“《网络安全法》中的数据合规框架”（45个控制措施）、“数据安全控制矩阵”（38个控制措施）等。值得指出的是我们研发出数据安全控制矩阵，因为数据安全管理要求有很多重合的部分，例如网络安全审查与个人信息保护有重合部分等，用数据安全控制矩阵可以梳理重复要求，降低企业的合规成本。在数据治理方面，主要有“个人数据保护框架体系”（89个控制措施）、包括“GDPR合规体系”（138个控制措施）、“企业数据治理体系”（13个控制点、39个控制措施）等。“企业数据治理体系”分为组织、管理和技术三个层面的要求。我们在企业数据治理和人员隐私培训方面看到了巨大的需求，希望把我们的数据治理解决方案和隐私专业人员培训体系与大家分享、为大家服务，共同探索和助力数据流通规则与治理体系的构建。