中国需要什么样的GDPR？

文 / 姜奇平 中国社科院信息化研究中心秘书长，信息化与网络经济室主任、研究员

2019年4月17日，我主持了中国社科院信息化研究中心主办的一个数据资产研讨会，会上胡延平关于以“网络所有制”的权属关系为中心，确立“数据资产保护”立法思路的观点，尤其引起我的共鸣。

我完全赞同胡延平的观点，并认为，拥有权与使用权两权分离的产权思路，可能是中国数据立法既不同于强调公平的欧洲，也不同于强调效率的美国的一条大思路，中国要走出一条兼顾公平与效率的数据立法之路。

▌中、美、欧数据立法存在三条路径

当前，围绕欧盟GDPR（《通用数据保护条例》），全球数据专家正在展开深入研判。一般观点认为，欧盟数据立法偏严，不利发展；中美两国立场相近，倾向发展优先。但中美两国立场有何异同，至今仍未辩析出来。准确地说，相同之处容易看出——都强调数据开发利用。

在数据立法上中国与美国有共同利益，这一点我们已经认识到了，但相异之处还很少有人分析。

2018年2月28日北京大学数据治理热点问题研讨会上，专家们只是形成了中国数据立法不能照搬欧洲的共识，但中国数据立法如何走自己的路，仍没有形成大思路。要不要以及如何走一条有别于美国的路，几乎还没有人提出。

4月17日的会上有专家透露，他们在与美国权威专家的接触中了解到，美国权威也不赞成GDPR，但又不好公开反对，而希望中国“打头炮”。如果不能辩析出中美立场的不同，贸然被别人当枪使，也不明智。

中国采取何种立场，要有大思路。

我认为，这个大思路应从顶层开始往下捋顺：

欧洲传统立场是强调公平，美国传统立场是强调效率，中国的立场应是兼顾公平与效率。体现在数据上，欧洲强调公共利益，美国强调商业利益，中国应把握“共享发展”这条主线，强调公共利益与商业利益的协调。明确了这个大思路，再往下细想，就有根据了。

共享发展，具体到数据本身，落实在产权上，就是明确数据权属关系，特别是区分拥有权与使用权。这种产权制度设计思路，从理论上说，最有利于公平与效率的统一、公共利益与商业利益的统一。

▌中国数据立法要有针对性设计

中国数据立法要顺应数据自身特点，进行两权分离、共享发展的针对性设计。

1、技术属性的不同

物质与数据根本属性上的不同，首先表现在技术属性的不同上：物质在技术上不可以（完全相同地）复制自身，而数据在技术上可以复制自身（而且副本与主本——在0、1代码上——没有区别）。这种技术属性决定了对应的交换属性与资本属性。

2、财富属性的不同

1）交换属性的不同：物质具有价值与使用价值的对称性，交换后，一方得到（货币）价值，失去使用价值（自己和他人不再能使用）；另一方得到（具有专用性的）使用价值，失去（货币）价值。二者完全对等，称为等价交换。数据具有价值与使用价值的不对称性，交换后，一方得到（货币）价值，但不失去（技术上的）使用价值；一方失去（货币）价值，得到使用价值，但不具有专用性（原主人和其他人仍可以在技术意义上使用）。

2）资本属性的不同：这种交换属性决定了进一步的资本属性：物质具有资本专用性，而数据不具有资本专用性。通俗地说，数据作为资本，其价值（货币价值）与使用价值（生产资料）不对称。可以无穷复制自身，而不增发对应的M2（资本货币）。

3、制度属性的不同

生产力决定生产关系，价值双重性转化为权利双重性。价值对应拥有权（ownership），使用价值对应使用权。当价值与使用价值对称时，产权没必要区分拥有权与使用权，往往把使用权作为拥有权下的子权利；而当价值与使用价值不对称时，要求数据产权区分拥有权与使用权，对应不同的收益权（收费模式，如买或租）。

共享发展是一种宏观理念，具体落实到产权上，最典型是共享经济的产权路子。共享经济，俗称以租代买，租对应的就是使用权，买对应的是拥有权。它是从高科技实践中总结出的一种新模式，由云计共享发展是一种宏观理念，具体落实到产权上，最典型是共享经济的产权路子。

共享经济，俗称以租代买，租对应的就是使用权，买对应的是拥有权。它是从高科技实践中总结出的一种新模式，由云计算转化出的云服务，就是按使用权收费，而不按拥有权收费；由产品业升级为服务业，也是按使用（即服务）收费，而不是按产品收费。

共享发展中体现公平，在于产权开放（称为共享，即共同使用），体现效率在于产权保护（分别拥有）。合在一起，是分别拥有，共同使用。具体到数据上，一方面强调数据生产者权益，一方面强调数据使用者权益，通过制度平衡二者利益。

▌在数据立法上走中国道路的现实考虑和未来愿景

中美在数据立法上相对于欧洲立场求同，而基于自身利益和对发展趋势的不同判断而存异，是当前决策需要做出的判断。主要考量的是自身利益。

美国当前的产权思潮可以分为东海岸（主流）和西海岸（非主流）两类：

东海岸强调按物产属性设计数据产权，代表性的制度设计是知识产权；

西海岸强调按数据本身独有属性设计数据产权，强调开放共享，如硅谷的开源与云服务。显然，后者更代表未来发展方向。而前者是美国近百年受老欧洲（大陆法系）影响而形成的主流思想。

超越意识形态考量和评价作为美国主流制度的知识产权制度，其特点按物产特点（对称）设计数据资产（不对称），优点是刺激知识与数据的生产提高效率，缺点是赚小钱，丢大钱。它是人类在知识生产处于低端业态即产品业态时的产物，特点是按产品收费，而服务（使用）免费；发展到高端业态即服务业态时，借两权分离一变而为云模式，即产品免费，而服务（使用）收费，如SaaS。

比较知识产权与云模式就可以看出，知识产权只能收一次费，云模式（即共享发展模式）因为可以反复收费，是吃小亏（在产品上）占大便宜（在服务上）。

中美贸易谈判中，美国强迫中国遵守知识产权，从200年后看，就是一个笑话，相当于让中国接受让美国人占小便宜吃大亏。中国此时完全可以全部应承下来，保证遵守知识产权，顺势将云模式当作超车的重点，吃小亏占大便宜，闷声发自己的财。为此，数据立法要有区别。

中美早晚会在产权上分道扬镳，宜通过数据立法提前进行制度竞争准备。

以硅谷为代表的西海岸正眼睁睁看着东海岸权力中心因传统思维而坐失机遇，美国要摆脱大陆法系产权观念的思想束缚，回归英美海洋法系传统，至少需要百年时间，中国认准服务高于产品这个发展顺序，坚持共享发展，就会迎来两百年来最大机遇。上一次，拿破仑法典确立了现代产权制度，使工业国在竞争中胜出。

今后的中美竞争，首先也是产权制度竞争。

我同意胡延平的下述判断：

网络所有制不仅是所有权，所有和使用可能可以是分离的，这是和传统的所有权、物权等最大的不同。具体的使用，以及使用相关的一些重大权利和权益，比如说调看权、传播权、复制权，这样一些东西从欧盟的GDRP里面可以看到，但是同样的权属关系，我们要在一个开放的、由每个主体自己界定、数据可追溯、可标的、可计量、统计的角度，放在开放、共生、共享到环境里去看。

现在，中国正处在一个选择的十字路口：向左走还是向右走，附和别人还是有创见？

拿出体系性的东西去和国际对话，这才是未来世界新秩序的基础。

-本文结束-

GDPR十大关键问题

文 / Roslyn Layton 美国企业学院研究员

Roslyn Layton是美国企业学院（American Enterprise Institute）研究员，同时也是丹麦Aalborg大学通信、媒体和IT中心的访问研究员，专注于涉及通信和数字科技的政策研究，擅长实证和证据分析。

在美国参议院司法委员会2019年3月的一次关于GDPR和CCPA的听证会上，她陈述了对GDPR的看法，并归纳了GDPR（部分涉及CCPA)的十大问题：

GDPR加强了大公司的地位：

自从GDPR实施后，谷歌、Facebook、亚马逊都增加了在EU（European Union，欧盟）的市场份额，主要原因包括：在GDPR合规上大企业有资金优势，企业停止使用与谷歌、Facebook竞争的工具，用户减少了对新的平台和工具的尝试。

GDPR削弱了中小企业：

小型广告科技公司丢掉了将近三分之一的市场份额，EU未能建立有利于中小型企业成长的环境。许多美国的零售企业、游戏公司和服务提供商停止了在EU运营。欧洲的风险投资市场也呈现下降趋势，根据美国国家经济局和联邦贸易委员会联合进行的一项研究，从2017年7月到2018年9月，欧洲风险投资交易数量每周下降17.6%，每个交易融资金额下降39.6%。

Roslyn Layton认为，GDPR应该被视为一个通过排斥美国中小企业从而扶持欧洲公司的贸易障碍。不过，GDPR给欧洲的创业公司也带来了困难。

GDPR对许多公司构成成本障碍：

为了在欧洲开展业务，一家有着500名员工的公司平均在GDPR合规上投入300万美元。这笔钱对于谷歌、Facebook、亚马逊等大公司算不了什么，但是对小的公司来讲就难以负担。Roslyn Layton引用的一个数据表明，只有不到一半应该合规的公司真正实现了合规，20%公司表示完全合规无法实现。

GDPR限制了自由言论表达：

自从GDPR实施后，超过1000个新闻网站关闭，欧洲用户无法访问包括Tribune媒体（旗下主要报纸包括《洛杉矶时报》《芝加哥论坛报》等）在内的美国新闻媒体和网站，这对在欧洲的大量美国人，以及有兴趣了解美国的欧洲人都造成了损失。

Roslyn Layton认为，如果GDPR在美国立法将违背美国宪法第一修正案，GDPR在欧洲之外的效力自身也可能是非法的——至少在涉及美国的地方。

GDPR威胁到创新研究：

许多GDPR的要求与大数据、人工智能、区块链和机器学习从根本上是不兼容的，尤其是对数据使用要求的披露。Roslyn Layton举了丹麦癌症学会关于手机使用与脑癌关系研究的例子。这项研究分析了358403个丹麦人的医保号码、手机号码和全国的癌症记录信息等，证明手机使用与脑癌并不存在相关性。GDPR实施之后，如果无法获得用户同意授权这样的数据使用，则这样的研究就无法开展。

GDPR增加了网络安全风险：

GDPR的一个预料之外的后果是削弱了组织互联网的国际系统和架构的透明度。这主要是由于ICANN（Internet Corporation for Assigned Names and Numbers，互联网名称与数字地址分配机构）出于满足GDPR合规的考虑，最近决定WHOIS信息不得公开，由此无法再通过WHOIS查询域名持有人的信息。Roslyn Layton认为此举将对打击网上不法行为带来阻碍。

GDPR以及《加州消费者隐私法案》带来身份盗窃和网上诈骗的风险：

GDPR给予用户控制自己数据的权利，由于缺乏身份核实的规定，这也给黑客和身份盗贼盗窃用户数据提供了机会。

GDPR未能加强人们在网上的信任：

没有证据表明GDPR的实施在数字世界加强了人们的信任，一项调查表明超过50%的英国受访对象称，自从GDPR实施后他们并未感到改进，并没有帮助他们更好理解自己的数据被如何使用。

GDPR以消费者控制的形式加强了政府的权力：

此处的“控制”指影响行为的力量。Roslyn Layton认为，GDPR和CCPA以给予消费者控制的名义，加强了政府的权力。GDPR对企业施加了45项具体的监管和35项义务。

Roslyn Layton表示，关于GDPR最流行的一个误解是GDPR保护隐私，实际上并非如此，“隐私”一词在该法案的最终文本里并未出现，而仅仅是出现在脚注中。GDPR更主要的是关于数据保护，或者可称为“数据治理”。

GDPR和CCPA在数据保护上未能有效考虑到增强隐私的创新和消费者教育：

缺乏推动教育和创新的有效规定，GDPR和CCPA仅仅着眼现状，大的企业占了便宜，中小企业受到惩罚，让人们以为他们获得了更多隐私，而事实上他们处于更大的风险中。

本文摘自《腾云》70期「中国需要自己的数据保护方案」

声明：本文来自腾云，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。