非常高興能有這個(gè)機(jī)會(huì)和業(yè)界做一個(gè)交流，我的演講題目是《個(gè)人數(shù)據(jù)流通合規(guī)：現(xiàn)行規(guī)則檢討與建議》。

首先是數(shù)據(jù)的流通正當(dāng)性問題。

進(jìn)入大數(shù)據(jù)時(shí)代之后，數(shù)據(jù)的價(jià)值被重新發(fā)現(xiàn)和定義，任何數(shù)據(jù)都具有了潛在價(jià)值。同時(shí)并行的還有一個(gè)現(xiàn)象，即每一個(gè)單位、每一個(gè)企業(yè)都在囤積數(shù)據(jù)。大家都在囤積數(shù)據(jù)，就是自己利用自己的數(shù)據(jù)，就像是“自耕農(nóng)”，這不可能是大數(shù)據(jù)，大數(shù)據(jù)一定是來源多樣、大規(guī)模的數(shù)據(jù)。所以大數(shù)據(jù)時(shí)代首要的制度條件是數(shù)據(jù)的社會(huì)化利用。目前看來，自己利用自己的數(shù)據(jù)不可能走入大數(shù)據(jù)時(shí)代，所以數(shù)據(jù)的社會(huì)化利用是大數(shù)據(jù)戰(zhàn)略實(shí)施的關(guān)鍵。數(shù)據(jù)的社會(huì)化利用說白了就是讓他人能夠利用你的數(shù)據(jù)，你也能夠使用他人的數(shù)據(jù)。這樣的社會(huì)利用是通過數(shù)據(jù)的開放、共享、流通和交易實(shí)現(xiàn)的。

現(xiàn)在國(guó)際社會(huì)提到比較多的是政府?dāng)?shù)據(jù)的開放，因?yàn)榇蠹艺J(rèn)為，政府?dāng)?shù)據(jù)是公共數(shù)據(jù)，當(dāng)然要拿出來開放，讓大家來用。實(shí)際上，數(shù)據(jù)開放也包括企業(yè)數(shù)據(jù)的開放和事業(yè)單位數(shù)據(jù)的開放。政府?dāng)?shù)據(jù)大多是公共數(shù)據(jù)，向社會(huì)開放理所當(dāng)然。企業(yè)數(shù)據(jù)呢？沒有相應(yīng)的激勵(lì)機(jī)制，讓企業(yè)開放數(shù)據(jù)并不那么容易。不過，數(shù)據(jù)只有在“流通”中，在“社會(huì)化利用”當(dāng)中才有價(jià)值，才有生命，數(shù)據(jù)放到?jīng)]人用的地方就是垃圾，沒有價(jià)值。所以企業(yè)數(shù)據(jù)也需要全面開放，才能發(fā)揮更大價(jià)值。企業(yè)數(shù)據(jù)開放是一個(gè)很復(fù)雜的事情，其前提是要承認(rèn)企業(yè)有什么樣的權(quán)利，你如果不承認(rèn)保護(hù)企業(yè)利益的話，企業(yè)數(shù)據(jù)利用之門不會(huì)輕易打開。

數(shù)據(jù)開放的目的是讓人使用數(shù)據(jù)，既可以讓特定主體使用，也可以讓不特定主體使用，由此產(chǎn)生出數(shù)據(jù)的利用方式，即共享和流通。共享是在特定主體之間（比如在座我們這些人之間）的一種開放，一種互相利用數(shù)據(jù)的模式。流通則是向有需求的第三人開放。流通是陌生人之間通過市場(chǎng)機(jī)制，根據(jù)需求提供數(shù)據(jù)，或者提出你能提供什么樣的數(shù)據(jù)，尋求需求方或“買主”。所謂的數(shù)據(jù)交易就是數(shù)據(jù)供需的市場(chǎng)化匹配機(jī)制，在市場(chǎng)化的概念指導(dǎo)下，讓數(shù)據(jù)供需真正實(shí)現(xiàn)社會(huì)化。它是數(shù)據(jù)流通的高級(jí)形式。

現(xiàn)在，數(shù)據(jù)流通被弄得有些“忌諱”，因?yàn)橐恢北毁N上“非法”的標(biāo)簽。其實(shí)，我的理解是“使用就是流通，流通就是使用”。我覺得，數(shù)據(jù)讓人用，就需要公開或提供數(shù)據(jù)給人使用，這就意味著數(shù)據(jù)的流通。所以數(shù)據(jù)流通就是讓對(duì)方接觸到數(shù)據(jù)、讓人使用數(shù)據(jù)。很簡(jiǎn)單，流通并不限于市場(chǎng)化的交易，其外延范圍非常廣。既可以是一對(duì)一的交換，也可以涵蓋到市場(chǎng)化的交易，流通是一個(gè)非常廣的概念，包括現(xiàn)實(shí)生活中普遍存在的合作分享、交換等等。社會(huì)化程度最高的流通是不特定主體之間數(shù)據(jù)供需的匹配，即數(shù)據(jù)交易。

在座各位都是搞數(shù)據(jù)的，你們很可能處于數(shù)據(jù)產(chǎn)業(yè)鏈條的某一方，也許是數(shù)據(jù)供應(yīng)方、需求方、加工處理方，不管做什么，都會(huì)涉及數(shù)據(jù)流通。我們?cè)诖笃脚_(tái)里的個(gè)人數(shù)據(jù)被很多商家分享，這種分享其實(shí)就是流通。前一段時(shí)間的菜鳥和順豐事件，大家知道，歸根結(jié)底就是數(shù)據(jù)交換的問題。我們要發(fā)展大數(shù)據(jù)產(chǎn)業(yè)，必須建構(gòu)一個(gè)規(guī)范可控的數(shù)據(jù)流通機(jī)制。眾所周知，數(shù)據(jù)的黑產(chǎn)即黑色產(chǎn)業(yè)是數(shù)據(jù)流通的天敵。我們現(xiàn)在講的是規(guī)范的流通，是滿足社會(huì)需求的法律承認(rèn)的數(shù)據(jù)流通。但是，現(xiàn)在數(shù)據(jù)黑產(chǎn)成了我們的敵人。

因?yàn)閿?shù)據(jù)黑產(chǎn)非常發(fā)達(dá)，從撞庫(kù)、洗庫(kù)、拖庫(kù)，做成產(chǎn)品再實(shí)施詐騙，產(chǎn)業(yè)鏈很清晰，所以，如果不能把這種鏈條消滅掉，不能遏制的話，正規(guī)的數(shù)據(jù)流通是不可能進(jìn)行的。這個(gè)東西具有社會(huì)危害性，運(yùn)用數(shù)據(jù)進(jìn)行各種違法犯罪活動(dòng)，包括詐騙、敲詐勒索等，現(xiàn)在《刑法》應(yīng)該針對(duì)數(shù)據(jù)黑產(chǎn)，迫切需要舉全國(guó)之力嚴(yán)厲打擊，因?yàn)樗菙?shù)據(jù)合法流通，是大數(shù)據(jù)產(chǎn)業(yè)的“天敵”。

其次，數(shù)據(jù)流通的法律基礎(chǔ)。

這涉及數(shù)據(jù)到底是什么的問題。是不是每個(gè)持有數(shù)據(jù)的人可以擁有數(shù)據(jù)的所有權(quán)呢？我的結(jié)論是，“數(shù)據(jù)不能為任何人所有，但是可以為任何人所用”，這是我從2000年開始研究數(shù)據(jù)、信息財(cái)產(chǎn)以來得出的基本結(jié)論?，F(xiàn)在大家都在講數(shù)據(jù)賦權(quán)，在我看來，不可能有一個(gè)類似于所有權(quán)的權(quán)利，對(duì)數(shù)據(jù)也不可能有知識(shí)產(chǎn)權(quán)那樣的排他性支配權(quán)。

數(shù)據(jù)持有者可以使用數(shù)據(jù)，享有數(shù)據(jù)控制和使用的權(quán)利，但是有一個(gè)前提，即必須承認(rèn)和尊重?cái)?shù)據(jù)上的利益相關(guān)方。數(shù)據(jù)是人類社會(huì)共同可以使用的“工具”，該“工具”上存在需要保護(hù)的利益，因?yàn)閿?shù)據(jù)上可以留下你的痕跡或添附的價(jià)值。合規(guī)既要解決數(shù)據(jù)利用不侵犯別人權(quán)利的問題，又要解決數(shù)據(jù)利用符合法律規(guī)定的問題，具體是合乎國(guó)家安全、商業(yè)秘密、有害信息方面的規(guī)定。只要你的數(shù)據(jù)使用合乎法律的規(guī)定，不逾越法律的強(qiáng)制性規(guī)范，能尊重?cái)?shù)據(jù)上的權(quán)利以及他人的利益，那么你就都可以用，也就是對(duì)數(shù)據(jù)享有事實(shí)上財(cái)產(chǎn)權(quán)。因此，數(shù)據(jù)的合規(guī)變得非常重要，是數(shù)據(jù)使用和流通的前提。

大家接著會(huì)問，數(shù)據(jù)上到底有什么權(quán)利，有什么利益？如果把數(shù)據(jù)上的利益大致劃分一下，我覺得有兩類。

第一類，數(shù)據(jù)來源者的利益。從源頭來講，現(xiàn)在討論最多的是與個(gè)人有關(guān)的數(shù)據(jù)。與個(gè)人有關(guān)、能夠識(shí)別某個(gè)個(gè)人的數(shù)據(jù)被稱為個(gè)人數(shù)據(jù)。通過個(gè)人數(shù)據(jù)，我們能夠識(shí)別到某一個(gè)人，比如你有什么特征、你是哪里的人、怎么聯(lián)系你、你的身份信息以及個(gè)性特征等。這里的識(shí)別可劃分為兩類，一類是識(shí)別你是誰(shuí)，這是屬于身份識(shí)別；另外一類是識(shí)別你是什么樣的人，比如你有什么愛好、你有什么特征。國(guó)際社會(huì)講到識(shí)別的時(shí)候，更多是強(qiáng)調(diào)后面的個(gè)性識(shí)別，而不是身份識(shí)別。因?yàn)闃?biāo)識(shí)身份是一個(gè)人對(duì)外交往的手段，披露個(gè)人聯(lián)系方式也是開展社會(huì)交往必不可少的要素，其本身并不需要受到法律干預(yù)。但是，一旦可以直接聯(lián)系到個(gè)人身份的信息被不法分子利用，就可能對(duì)個(gè)人的人身或財(cái)產(chǎn)安全造成威脅，有人可能假冒身份行騙，甚至“精準(zhǔn)”詐騙，危害到人們的安全。因此，身份信息無(wú)序使用、濫用具有潛在的社會(huì)危害。

個(gè)人數(shù)據(jù)可以用來“識(shí)別”，是不是意味著你擁有的數(shù)據(jù)（信息）他人不能用呢？不是，你不能對(duì)這個(gè)信息本身進(jìn)行控制，你只能控制：別人使用的時(shí)候不得侵害你的利益，你的人格尊嚴(yán)不被人歧視，別人的使用不妨礙你自主決定的自由，等等。這意味著，你不能阻止別人使用你的個(gè)人信息，但是你可以對(duì)他人濫用你的信息說“不”，以保護(hù)對(duì)你個(gè)人數(shù)據(jù)的使用不侵犯你的權(quán)益。

從源頭來講，還有來源于企業(yè)組織的信息?，F(xiàn)實(shí)中有大量數(shù)據(jù)是與個(gè)人沒有關(guān)系，但與企業(yè)或其他組織有關(guān)。有沒有企業(yè)信息呢？我認(rèn)為有。這方面大家還沒有研究，因?yàn)楝F(xiàn)在國(guó)際社會(huì)的立法也僅關(guān)注到與個(gè)人有聯(lián)系的個(gè)人信息的保護(hù)。這需要我們進(jìn)一步思考（這也就是數(shù)據(jù)賦權(quán)重點(diǎn)需要關(guān)注的領(lǐng)域），這里就不再贅述。以上是從源頭的角度出發(fā)的理解。

第二類，數(shù)據(jù)加工者利益。數(shù)據(jù)從源頭采集到加工利用，這就有了加工者的利益。原生數(shù)據(jù)需要處理和加工才能利用，才有價(jià)值，這就有了原材料加工成產(chǎn)品的加工者利益。因?yàn)閿?shù)據(jù)不斷使用和處理，每一次使用處理都會(huì)有增值，這種增值的利益也需要保護(hù)。大家做出來數(shù)據(jù)產(chǎn)品，憑什么賺錢？簡(jiǎn)單地回答就是勞動(dòng)應(yīng)當(dāng)?shù)玫交貓?bào)?！皠趧?dòng)投入”賦予了與原始數(shù)據(jù)相比不一樣的價(jià)值，這個(gè)價(jià)值需要實(shí)現(xiàn)，需要法律保護(hù)。

我覺得數(shù)據(jù)上的利益就這么兩類需要保護(hù)，一類是從源頭產(chǎn)生的利益，一類是從數(shù)據(jù)加工處理中產(chǎn)生的合法利益。但是這個(gè)保護(hù)并不是說，要給產(chǎn)品加工人對(duì)這個(gè)數(shù)據(jù)絕對(duì)的支配權(quán)，這是不可能的，而是要給產(chǎn)品加工人實(shí)現(xiàn)利益的權(quán)利，不僅可以許可使用或提供服務(wù)，而且防范他人不正當(dāng)?shù)孬@取。這并不是今天討論的重點(diǎn)。

第三，數(shù)據(jù)合規(guī)審查。

數(shù)據(jù)合規(guī)管理的目的是，在符合法律規(guī)定、不侵犯他人權(quán)益的情況下合理使用數(shù)據(jù)。合規(guī)審查貫穿數(shù)據(jù)使用的全過程，包括收集獲取、持有控制、處理使用、提供共享流通等，全產(chǎn)業(yè)鏈條的每一個(gè)環(huán)節(jié)都要合規(guī)。合規(guī)審查所依據(jù)的應(yīng)該是現(xiàn)行的法律法規(guī)，包括國(guó)際準(zhǔn)則以及行業(yè)規(guī)范。

我們國(guó)家關(guān)于個(gè)人信息保護(hù)的法律法規(guī)是從2012年開始建立的，2013年修訂的《消費(fèi)者權(quán)益保護(hù)法》，2016年11月通過的《網(wǎng)絡(luò)安全法》等，是現(xiàn)在最高規(guī)格的關(guān)于個(gè)人數(shù)據(jù)的規(guī)范。目前這些法律確立了什么樣的規(guī)則呢？基本規(guī)則是，非經(jīng)個(gè)人數(shù)據(jù)主體的同意，不得收集使用數(shù)據(jù)。這樣的規(guī)則帶來一個(gè)什么問題呢？它隱含著個(gè)人數(shù)據(jù)歸屬于個(gè)人、個(gè)人對(duì)個(gè)人數(shù)據(jù)有控制權(quán)的意思。這意味著，非經(jīng)個(gè)人的同意使用數(shù)據(jù)就是侵權(quán)。

大家如果有一點(diǎn)常識(shí)的話，就不難理解：既然法律說了，個(gè)人信息的收集和使用需要本人同意，這就意味著，數(shù)據(jù)的使用個(gè)人“說了算”，這一意志力受到法律保護(hù)就意味著法律賦予了個(gè)人對(duì)個(gè)人數(shù)據(jù)的控制權(quán)或財(cái)產(chǎn)權(quán)，類似于所有權(quán)。知識(shí)產(chǎn)權(quán)的基本規(guī)則是，非經(jīng)權(quán)利人同意使用他人知識(shí)產(chǎn)權(quán)構(gòu)成侵權(quán)。如果所有個(gè)人數(shù)據(jù)都需要個(gè)人同意才能被使用，就意味著個(gè)人數(shù)據(jù)具備類似于知識(shí)產(chǎn)權(quán)那樣的權(quán)利，叫做絕對(duì)權(quán)、排他權(quán)。但這是不符合現(xiàn)實(shí)的，也是不正確的。我可以很負(fù)責(zé)地告訴大家，世界上沒有這樣的規(guī)則。

大家知道歐盟2016年通過、將于2018年實(shí)施的《統(tǒng)一數(shù)據(jù)保護(hù)條例》中并沒規(guī)定個(gè)人的同意權(quán)。為什么沒有規(guī)定？它認(rèn)為有了同意權(quán)就是給了個(gè)人對(duì)個(gè)人數(shù)據(jù)的支配權(quán)。因此，將個(gè)人同意作為個(gè)人數(shù)據(jù)使用的前提，至少法律效果上和歐盟的規(guī)則是不一致的。

第四，個(gè)人數(shù)據(jù)同意需要完善。

我要講一下《民法總則》?！睹穹倓t》第一百一十一條是這樣規(guī)定的：“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！边@樣的規(guī)范只宣示個(gè)人信息受到法律保護(hù)，并沒有說個(gè)人對(duì)個(gè)人信息擁有什么樣的權(quán)利。沒有正面的回答個(gè)問題，只是說你要獲取他人信息的時(shí)候必須依法并確保安全。這是你使用個(gè)人信息的行為準(zhǔn)則。

依據(jù)剛才提到的法律規(guī)范，對(duì)個(gè)人信息的收集和使用必須本人同意；而《民法總則》做出的是消極性的規(guī)范，即不得非法收集、使用、加工、傳輸，不得非法買賣、提供。

大家知道《民法總則》是基本法，《民法總則》這樣的規(guī)定，我認(rèn)為還是給我們產(chǎn)業(yè)帶來了一些希望。這個(gè)希望就是，既然《民法總則》并沒有提到必須“同意”，如果現(xiàn)行法律一律得個(gè)人同意的規(guī)定不正確，那么我們還有可能修改那些特別法。按照我的設(shè)想，要確立這樣的規(guī)則：并非收集和使用個(gè)人信息一律必須征得同意；但是涉及敏感信息等需要特別保護(hù)時(shí)，必須征得同意；提供給外人使用或流通時(shí)必須征得同意，并嚴(yán)格同意的條件。要讓同意起到應(yīng)有的作用，不讓同意成為非法使用個(gè)人信息的保護(hù)傘。

第五，《刑法》司法解釋的內(nèi)容。

根據(jù)現(xiàn)行法，未經(jīng)同意收集使用個(gè)人信息不僅涉及侵權(quán)，還有刑事責(zé)任。大家知道，2009年《刑法修正案（七）》宣布，非法獲取公民個(gè)人信息、出售或者非法提供個(gè)人信息是可以入刑的，當(dāng)時(shí)最高刑期是三年。2015年《刑法》修訂后，最高刑期就改為七年。2017年5月，最高人民法院、最高人民檢察院公布了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，該解釋已于6月1日起施行。這個(gè)司法解釋從信息類型、信息用途、違法所得、主觀惡意這樣一些方面，詳細(xì)規(guī)定了侵犯公民個(gè)人信息犯罪的入刑標(biāo)準(zhǔn)，即什么行為視作《刑法》相關(guān)條款規(guī)定的“情節(jié)嚴(yán)重”，什么行為視作“情節(jié)特別嚴(yán)重”。

在信息類型方面，該解釋將兩類信息視作高危信息，認(rèn)為這類信息的流通會(huì)帶來社會(huì)危害性，所以應(yīng)該予以制止。一類是涉及行蹤軌跡、通信內(nèi)容、征信、財(cái)產(chǎn)的信息。我對(duì)行蹤軌跡的解釋是，它不應(yīng)該包括網(wǎng)絡(luò)瀏覽軌跡，應(yīng)該是網(wǎng)絡(luò)瀏覽軌跡聯(lián)系或?qū)?yīng)的現(xiàn)實(shí)的地理信息、位置信息，不是網(wǎng)絡(luò)軌跡，而是現(xiàn)實(shí)中的地理位置、移動(dòng)軌跡。如果對(duì)純粹的網(wǎng)絡(luò)瀏覽軌跡，都規(guī)定非法獲取、出售或者提供五十條以上就算“情節(jié)嚴(yán)重”的話，那所有人都不要做大數(shù)據(jù)了。因此，行蹤軌跡不能解釋為網(wǎng)絡(luò)瀏覽軌跡。

這一類信息明顯是直接危害到了大家的人身安全和財(cái)產(chǎn)安全，因此，依據(jù)上述司法解釋，這類信息非法獲取、出售或者提供五十條以上，即構(gòu)成“情節(jié)嚴(yán)重”。

第二類信息主要是和大家的人格尊嚴(yán)、隱私有關(guān)，當(dāng)然也涉及到安全問題，如住宿信息、通信記錄、健康生理信息、交易信息。對(duì)這一類信息，司法解釋的規(guī)定是非法獲取、出售或者提供超出五百條的，即構(gòu)成“情節(jié)嚴(yán)重”。對(duì)其他信息，司法解釋的規(guī)定是超過五千條的構(gòu)成“情節(jié)嚴(yán)重”。

信息的用途也是“情節(jié)嚴(yán)重”考量的重要因素。如果是行蹤軌跡，只要是別人利用了你提供的行蹤軌跡實(shí)施了綁架等犯罪活動(dòng)，不管你知道不知道，都要入刑，刑期至少為三年。假如你出售提供信息的時(shí)候明知道或者應(yīng)當(dāng)知道它是用來違法犯罪的，那么你也應(yīng)該入刑，這個(gè)是不受信息條數(shù)限制的。

“違法所得”作為情節(jié)嚴(yán)重的因素，很值得人們推敲。如果你是專門從事數(shù)據(jù)買賣的，非法獲取數(shù)據(jù)并出售提供牟利，你賺到五千塊錢就入刑，屬于“情節(jié)嚴(yán)重”的，刑期最高為三年。該司法解釋還規(guī)定，為合法經(jīng)營(yíng)活動(dòng)而非法購(gòu)買、收受公民個(gè)人信息，獲利五萬(wàn)元以上的，構(gòu)成“情節(jié)嚴(yán)重”。如果你單純買賣信息賺五千塊錢，這個(gè)是很好計(jì)算的，賣多少條，一條多少錢，做乘法就可以了。但合法經(jīng)營(yíng)，比如做精準(zhǔn)營(yíng)銷廣告，或者企業(yè)進(jìn)行產(chǎn)品開發(fā)，賺到五萬(wàn)塊錢很容易。一條廣告就可以賺這么多錢。很多人認(rèn)為，這個(gè)解釋給合法經(jīng)營(yíng)格外開恩。我認(rèn)為，因?yàn)槲迦f(wàn)塊錢非常容易計(jì)算，如果沒有適當(dāng)?shù)挠?jì)算方法，按照這個(gè)解釋定下的標(biāo)準(zhǔn)，我們現(xiàn)在所有的企業(yè)都可以入刑。哪個(gè)企業(yè)沒有買賣信息的？

因此，合法經(jīng)營(yíng)應(yīng)該有一個(gè)限定，購(gòu)買和收受信息用于合法經(jīng)營(yíng)活動(dòng)，而不涉及出售、倒賣個(gè)人信息，就不宜單純用賺多少錢作為入刑的標(biāo)準(zhǔn)。否則，這個(gè)司法解釋就凍結(jié)了我們的大數(shù)據(jù)產(chǎn)業(yè)，真的認(rèn)真執(zhí)行的話許多人就可以進(jìn)監(jiān)獄了，許多企業(yè)都將被關(guān)閉。

第六，我們?cè)撊绾伍_展“合規(guī)”？

我們有非常嚴(yán)苛的法律，就意味著我們必須重視合規(guī)管理，否則將面臨許多法律風(fēng)險(xiǎn)甚至牢獄之災(zāi)。數(shù)據(jù)合規(guī)管理的首要問題是收集合法。有人問什么信息不能收集，我的回答是什么數(shù)據(jù)都可以收集，沒有不可以收集的，但是收集必須合法。還是剛才講到的，要么獲取同意，要么有明確的法律事由。

對(duì)該司法解釋中提到的“合法收集”這個(gè)概念，我有一個(gè)基本的看法。與業(yè)務(wù)有關(guān)的收集在所有國(guó)際規(guī)則里都是不需要同意的，但我們國(guó)家是需要同意的，合規(guī)的時(shí)候必須做到，收集信息必須經(jīng)過同意。另外，《網(wǎng)絡(luò)安全法》對(duì)超越范圍是有規(guī)定的，這部法律針對(duì)的是網(wǎng)絡(luò)運(yùn)營(yíng)商，但是我認(rèn)為其他企業(yè)今后也要依據(jù)這一規(guī)則，超合理需要或必要范圍收集個(gè)人信息也不行，要承擔(dān)行政責(zé)任。通過公開的途徑獲取是都沒有問題的，現(xiàn)在這種情況基本上沒有人規(guī)范。抓取公開的網(wǎng)絡(luò)信息就屬于這種情況。但因?yàn)樽ト〉男畔⒉荒芫唧w到特定的用戶，只能用于一些分析，捕捉一些信息做輿情分析，這方面的規(guī)范沒什么太大的意義。

合法獲取個(gè)人信息之后，就是使用合規(guī)了。使用包括自己使用和提供給他人使用。自己使用的合規(guī)，重在信息安全、防止泄露、不得侵犯?jìng)€(gè)人隱私等，這方面的合規(guī)管理相對(duì)簡(jiǎn)單一些。但是，提供給他人使用（流通使用）的合規(guī)管理就非常難辦了，因?yàn)榘凑丈鲜鰞筛叩乃痉ń忉?，一切涉及業(yè)務(wù)合作、貿(mào)易往來的公民個(gè)人信息的出賣與購(gòu)買、交換與共享、提供與收受，均納入《刑法》調(diào)整，具有入刑的可能性，其條件為，違反“國(guó)家有關(guān)規(guī)定”且情節(jié)嚴(yán)重。

現(xiàn)行法律有關(guān)數(shù)據(jù)合法流通使用的規(guī)定主要表現(xiàn)為經(jīng)個(gè)人同意，或者“經(jīng)過處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的”。在這樣簡(jiǎn)陋的法律規(guī)定下，獲取個(gè)人同意就成了個(gè)人信息流通使用的最為簡(jiǎn)單的合規(guī)措施，同意成為數(shù)據(jù)利用者的尚方寶劍，似乎只要有了同意就可以不承擔(dān)所有的責(zé)任。這就是最近為什么許多企業(yè)在重新修訂各自的用戶協(xié)議或隱私政策，讓用戶盡可能同意更多的事項(xiàng)。

問題在于，這樣不確定將來流向和用途，只是籠統(tǒng)的業(yè)務(wù)合作方或業(yè)務(wù)關(guān)聯(lián)的第三方的同意是否為有效的同意，仍然有待司法裁判明確。而且即使這是有效的同意，假如個(gè)人信息因流通而泄露或者導(dǎo)致違反犯罪，產(chǎn)生了社會(huì)危害，恐怕個(gè)人信息流通的關(guān)聯(lián)方也難逃其責(zé)。因此，做到同意，你的企業(yè)個(gè)人信息流通利用顯然沒有違反國(guó)家有關(guān)規(guī)定，但是，有刑法上可追究的后果時(shí)，仍然有刑事責(zé)任。順便告訴大家的是，今天你可以用“同意”來合規(guī)，但終究有一天，這個(gè)同意會(huì)不好用，因?yàn)閲?guó)際規(guī)則現(xiàn)在是在放棄同意。因?yàn)橥馐遣唤鉀Q保護(hù)問題的，即便你有這么一個(gè)形式上的同意，也根本不能保護(hù)到在座各位。

因此，合規(guī)的重點(diǎn)是判斷你的行為是不是合法，你的使用是不是合法，使用過程中是不是侵犯了別人的利益，而不是同意。依據(jù)我們國(guó)家的法律規(guī)定，今天的合規(guī)非常簡(jiǎn)單，就是事先讓用戶同意。實(shí)際上，同意既不能保護(hù)用戶的個(gè)人信息，也免除不了你的刑事責(zé)任?？傊?，個(gè)人信息流通的法律風(fēng)險(xiǎn)要高于自用，而現(xiàn)行法對(duì)合法的流通使用規(guī)范少之又少，既不能形成行為指引，也無(wú)法判斷合法或非法，于是《刑法》的禁止規(guī)范就成了企業(yè)的行為的“紅線”。在現(xiàn)階段，對(duì)于企業(yè)經(jīng)營(yíng)者來講，為避免牢獄之苦，還是應(yīng)當(dāng)守住這條紅線。

最后談?wù)?strong>對(duì)企業(yè)的建議。

一個(gè)基本的建議，每個(gè)企業(yè)都應(yīng)該分類分級(jí)管理各種數(shù)據(jù)，要把好獲取關(guān)口，搞好信息安全，因?yàn)椴还茉趺礃哟蠹也灰鍪拢踩谝?。安全包括系統(tǒng)安全，也包括人為泄露。系統(tǒng)的安全好做，但是員工管理不太容易，現(xiàn)在很多問題的源頭都是“內(nèi)鬼”。企業(yè)的管理重點(diǎn)是員工管理，要把員工手中使用的數(shù)據(jù)管好。數(shù)據(jù)的安全風(fēng)險(xiǎn)主要不是來自于技術(shù)，重要的是管好人，既包括員工，也包括與企業(yè)有往來的外人。

流通最重要的是確保去身份，同時(shí)不包含可能違反《刑法》規(guī)定的高危信息。對(duì)數(shù)據(jù)的分享和交換來說，如果全都照《刑法》司法解釋的規(guī)定進(jìn)行合規(guī)，大家的業(yè)務(wù)就別做了。而要做就需要確保安全，守住底線。在我看來，重要的是簽好合同，使個(gè)人信息流通的每個(gè)環(huán)節(jié)能夠可控制、可追溯。在《刑法》的高壓下，企業(yè)應(yīng)對(duì)風(fēng)險(xiǎn)的有效措施是對(duì)任何一個(gè)數(shù)據(jù)流通使用均要進(jìn)行評(píng)估。對(duì)數(shù)據(jù)流通帶來的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和評(píng)估，然后再?zèng)Q定要不要做、如何做。這是企業(yè)避免系統(tǒng)風(fēng)險(xiǎn)的最佳措施。在整個(gè)數(shù)據(jù)流通過程中不要隨意披露數(shù)據(jù)，所有數(shù)據(jù)的危害都在于公開披露讓人使用，尤其讓壞人使用。

今天要提醒所有企業(yè)的是，管理比法律更加重要，要把個(gè)人數(shù)據(jù)保護(hù)的問題加入到企業(yè)的每一份合同中，包括員工雇傭合同。

（2017年6月16日，“數(shù)據(jù)流通關(guān)鍵問題暨標(biāo)準(zhǔn)化研討會(huì)”在北京中國(guó)信息通信研究院舉行。本文據(jù)作者在本次研討會(huì)上發(fā)表的演講整理而成，由作者最終改定，授權(quán)澎湃新聞公開發(fā)表。）