全球数据治理体系建设与中国的路径选择研究

数据治理体系建设是推动数字经济高质量发展的关键。美国和欧盟正在加紧构建符合自身利益诉求的数据治理体系，并力图引领全球数据治理，提升数字经济发展水平。我国数据治理体系建设尚不完善，国家数据安全和个人隐私保护的呼声较高，相关立法进展也较为迅速，有关促进数据产业和数字经济发展的法律规则相对不足。该文认为我国数据治理体系构建需要综合考虑基本国情、数据安全、产业发展和隐私保护，要加快构建满足国家数据安全、数据产业发展和个人隐私保护的“三方均衡”的数据治理体系。

Vahe Yeremyan

全球数据治理体系建设与中国的路径选择研究

文 / 京东法律研究院高级研究员 付伟

数字世界与物理世界既存在显著的差异又具有广泛而密切的联系。数字世界一旦缺乏有效的治理规则，则会将物理世界的假、恶、丑等现象映射到虚拟的数字世界，最终会阻碍数字世界的有效运行和人类社会的健康发展。随着人类社会加速进入数字经济时代，世界主要经济体和国家根据自身发展需要正在加紧构建数据治理体系。中国应该以国家数据安全为出发点，兼顾数据产业发展和个人隐私保护需求，积极借鉴欧美等发达国家数据治理体系建设经验，加快构建符合我国根本利益的数据治理规则体系。

一、数据治理的概念、内涵及目标

数据治理（Data Governance）早期主要指组织和机构对其所拥有的数据进行管理的各个方面。有机构将数据治理定义为一种确保数据在全生命周期中高质量存在的能力，重点包括数据的可得性、可用性、一致性、完整性和安全性等，通过构建流程以确保数据在机构组织中得到有效的管理。也有学者认为数据治理不仅是通过数据管理提升数据能力，更注重数据相关的流程设定和治理职责划分，因而数据治理是围绕数据资产展开的以组织决策为目标，包括数据管理的技术、过程、标准和政策的集合。

随着数字经济的快速发展，脸书用户个人信息泄露事件、LinkedIn Vs hiQ案件、头腾（头条和腾讯）大战、剑桥分析事件等大量有关数据的问题不断暴露出来，个人隐私保护、数据产业发展、国家数据安全等等开始成为关注的重点。数据治理概念和内涵开始不断扩大，数据治理的主体从组织机构扩张到国家政府，数据治理的目的也从单纯的追求经济利益扩张到维护安全、保护隐私、促进发展等多元化目标。基于此，笔者将数据治理定义为，一国政府对其数据在收集、处理、利用、保护等方面采取的立场、主张以及与之对应的政策、策略和措施的集合。在这个层面上，可以进一步将数据治理分为国内数据治理和国际数据治理两大部分，其中国内数据治理的内容主要包括数据权属问题、个人隐私保护、数据流通利用等，国际数据治理则包含数据的跨境流动问题、域外管辖问题和隐私安全问题等等（见图1）。国内外通用的数据治理方法包括法律法规、行业自律、标准规范、双多边协议、执法规则等方面。

数据治理体系是国家法治化发展的重要组成部分，对于增强人们利用信息技术、发展数字经济的信心至关重要，也是有效保障国家数据安全、促进数据产业发展和保护个人隐私的基本要求。欧盟《通用数据保护条例》GDPR实施之后，美国信息技术创新基金会（ITIF）对21个国家的研究显示，在一定的个人信息保护水平基线以下，提升个人信息保护水平可以提高人们的信任水平并促进数字经济的发展，当个人信息保护水平提高到基线以上时，继续加强监管并不能带来额外的信任，也不能进一步促进数字经济发展，并可能抑制或减少数字经济创新。数据治理需要与国民经济、社会发展水平以及产业阶段相适应，否则会产生相反的效果。数据治理规则对数字经济产生影响的机制可以简单的描述为：当数据保护水平不足时，发展数字经济缺乏必须信任基础，从而不利于数字经济发展；当数据保护水平不断提升时，人们对发展数字经济的信任也随之增强，并有助于促进数字经济发展；当数据保护水平过高时，数字企业的合规成本超过了创新预期可以带来的收益，最终不利于数字经济发展。因此，数据治理的核心目标是寻求最佳的数据监管水平或强度，以保证个人隐私保护、数据产业发展和国家数据安全的诉求得到不同程度的满足，并根据实际的需要进行调节以达到全社会的利益最大化。

二、欧盟、美国和部分发展中国家数据治理体系建设

世界各国和地区已经围绕数字技术和数字生态展开了激烈的竞争，以数据治理为代表的规则体系将是下一个重要的竞争领域。以欧盟、美国为代表的发达国家和地区，正在不遗余力的推动其数据治理规则和理念走向全球，更多的发展中国家也在积极构建维护自身利益的数据治理规则。

（一）欧盟构建基于高水平数据保护规则的数据治理体系

欧盟是全球主要的数字经济市场之一，其互联网日均活跃用户超过3亿，预计到2020年潜在数据经济增加值将超过7000亿欧元，同时创造超过1000万个就业岗位。然而由于成员国之间的语言、法律、标准、发展水平等存在差异，欧盟数字市场的碎片化非常严重，数字经济企业分布不均，更是缺乏骨干的互联网企业，成员国之间的在线服务活跃度低。从供需关系来看，美国企业始终是欧盟最大的数字产品及服务提供商，欧盟则主要扮演着数字市场消费者的角色。在此背景下，欧盟确立了构建数字单一市场的战略，一方面建立高水平的数据治理规则，另一方面消除区域内数字壁垒，鼓励数据区域内充分自由流动。欧盟的数据治理体系已经基本形成。

首先，欧盟出台了统一的数据保护规则，建立较高的数据保护标准，对欧盟数据接收国家、地区和企业提出“充分性”保护要求。欧盟2018年5月正式实施的《通用数据保护条例》（GDPR）构建了一套高标准的数据保护机制，赋予了数据主体访问权、被遗忘权、限制处理权、可携带权、拒绝处理权、获取信息权等大量的权利，其中被遗忘权、可携带权为GDPR创设的新权利，同时欧盟还通过建立“白名单”制度对其数据流入国进行严格限定，对损害欧盟公民个人数据权益的企业提出了巨额罚款。除此之外，拟于2019年实施的《电子隐私条例》将作为GDPR的特别法，对个人电子通信数据提出了更高的保护标准和要求。

其次，围绕推进欧盟数字单一市场战略的需求，大力支持各类数据在欧盟境内自由流动，以消除区域内的数字壁垒，促进欧盟数字经济发展。欧盟在其《欧洲数字议程》和数字单一市场战略中都显示出其对数据相关财产权益的重视和认可。GDPR正文开篇就强调，“不得以保护自然人个人数据处理为由，限制或禁止个人数据在欧盟的自由流动”。除此之外，欧盟还在积极探索企业间数据共享和非个人数据在欧盟境内自由流动的规则和机制建设。例如，欧洲理事会2018年4月发布《欧洲企业间数据共享研究报告》，强调企业间数据共享对欧洲数据经济发展的重要作用；欧盟委员会2018年10月通过了《非个人数据在欧盟境内自由流动框架条例》，以促进欧盟内部非个人数据在欧盟境内自由流动。

最后，为满足安全和执法诉求，欧盟提出了数据的域外管辖要求。虽然GDPR的“属人”管辖原则可以看作是一种变相长臂管辖，但欧盟并不满足于此，进一步提出了《电子证据跨境调取的议案》，该议案基于安全和执法需要，可以直接向在欧盟境内运营的企业要求调取其存于欧盟境外的数据。

总体来讲，欧盟数据治理体系建设已经取得了不错的成绩，尤其是GDPR自正式实施以来，在构建成员国数据保护机构之间合作机制和欧洲数据保护委员会的一致性机制取得了显著进展，截止到2019年2月，欧洲经济区的31个国家的数据保护机构共接到206326起案例报告，其中52%已经结案，累计行政罚款超过5595万欧元。同时，欧盟的数据治理理念和规则已经开始对其他国家的相关规则制定产生重大影响。特别是在个人数据和隐私保护保护方面，包括日本、印度、韩国、巴西在内的很多国家已经或者在推进类似GDPR的数据保护立法。

（二）美国构建基于全球数据自由流动的数据治理体系

美国依仗其在数字技术、专利标准、商业品牌、数字内容等领域的领先优势，控制着全球数字经济的关键领域和产业链环节，其对数据的控制能力和分析能力远超其他国家。因此，美国数据治理体系的核心是在全球范围内消除贸易壁垒，支持数据在全球范围内自由流动，为其数字经济企业进军全球市场扫清障碍，但对于一些特殊领域的数据也会制定专门的规则予以严格保护。

第一，对外输出数据全球自由流动理念，并将其作为贸易战略的关键组成部分之一。美国没有就个人数据和隐私保护进行统一立法，并特别重视行业自律在数据保护中的作用，仅在公共机构、金融、教育、保险和儿童上网隐私等涉及敏感个人信息的领域进行单独的立法，例如医疗数据主要受《美国健康保险携带和责任法案》（HIPAA）保护，金融服务数据主要受《格雷姆-里奇-比利雷法案》（GLBA）保护。同时，美国高度重视数字贸易的发展，并将其作为贸易战略和贸易谈判的重心。为此，美国政府积极推动全球数据的贸易规则制定，在与欧盟、墨西哥、加拿大等国家和地区签订协议中，增加消除数据流动壁垒的条款，促进双边的数字经济与贸易活动。

第二，以国家安全为由就特定领域的数据提出限制出境或严格审查要求。一方面，美国依据《出口管理条例》（EAR）对军民两用技术的技术参数数据及数据库的出口许可予以严格限定，尤其是一些关键的参数数据集禁止出境。另一方面，为应对先进技术扩散的风险，美国已经开始限制外商对包括数据在内的高科技领域进行投资。2018年8月美国快速通过《外商投资风险评估现代化法案》（FIRRMA）。如果外商投资美国高科技企业涉及收集、处理、存储美国公民的敏感信息，美国将依据《外商投资风险评估现代化法案》对该项投资及涉事企业进行审查。而在诸如电信业等核心领域，美国外资投资委员会（CFIUS）明确要求国外网络运营商在美国为消费者提供通信服务的通信基础设施应位于美国境内，并将通信数据、交易数据、用户信息等仅存储在美国境内。

第三，寻求数据领域的域外管辖区，制定出台旨在为增强美国执法机构获取数据的能力法案。2018年3月，美国国会通过了《澄清境外合法使用数据法》（CLOUD法案），授权美国执法机构可要求在美国运营的主体提供境外存储的数据。

此外，脸书个人用户数据大规模泄露事件爆发后，美国联邦政府和州政府层面的个人信息和隐私保护要求有所加强，特别是部分州政府加快出台个人信息和隐私的保护法规。2018年6月《加州消费者隐私保护法案》快速获得通过，而联邦层面统一的隐私保护立法业已提上议程，美国国会和社会各界展开了激烈的讨论。值得注意的是，《加州消费者隐私保护法案》的立法理念（选择退出，Opt-Out）与GDPR（选择进入，Opt-In）存在较大差异，而且严厉程度也不及GDPR。总之，美国数据治理体系构建的核心始终是围绕支持全球数据自由流动以消除数字贸易壁垒，服务于其贸易战略和国家整体利益。

（三）发展中国家普遍采纳谨慎的防御型数据治理规则

发展中国家在数据安全保障能力、数据控制能力和数据分析能力普遍与发达国家存在较大差距，其经济发展阶段仍然处于工业化过程中，没有系统完善的数据治理规则体系。但是，面对全球数字经济发展的浪潮，特别是近年来出现了一些基于数据收集和分析的而危害国家安全的事件开始出现，发展中国家普遍存在非常强烈的不安全感，由于担忧过于宽松的数据监管环境会威胁到国家安全和政权稳定，发展中国家比较倾向于限制数据自由流动的主张和规则。总体来看，很多发展中国家主要从维护国家数据安全和保护个人数据的层面出发，提出包括在本地建立数据中心、在本地处理和存储数据、在本地进行特殊数据的容灾备份等要求。例如，越南早在2013年就要求互联网服务提供者需在境内建设至少一个数据中心，且部分特殊数据需本地化存储；2018年9月巴西出台了《一般数据保护法》，对个人数据的收集、使用、存储和处理制定了详细的规则，并要求数据跨境传输时，数据接收方所在国家的数据保护达到充分性保护水平。虽然限制数据跨境流动的规则可能对全球数字贸易带来负面影响，也不利于这些发展中国家融入全球经济体系和数字转型，但部分要求和规则也是发展中国家维护国家数据安全和保护个人隐私非常有限的手段和措施之一。

三、中国数据治理体系建设现状、存在问题及治理路径选择

数字经济已经成为我国创新创业最为活跃、发展动力最为强劲的领域。数据治理体系建设对数字经济高质量发展至关重要。当前，中国数据法律规则尚不完善，体系构建需要综合考虑个人隐私保护、数字经济发展、国家安全保障等多方诉求，加快构建“三方均衡”的数据治理体系。

（一）中国数据治理体系建设进展

中国数据治理体系建设可以分为两个阶段。在2019年以前中国立法和司法机构主要采取包容审慎的态度对待数据相关的新业态，数据治理体系的建设相对缓慢，主要围绕国家数据安全的需求和个人隐私保护的诉求制定和出台了一些法律法规。在综合性立法方面，《网络安全法》第三十七条提出“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”，首次为个人信息和重要数据存储进行了原则性规定，提供了上位法依据，但是有关个人信息和重要数据的概念和范围没有予以明确，同时存储条件等关键问题也有待后期出台相关的标准规范予以确认。《民法总则》第一百二十七条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”该条规定虽然非常简短且不具备实际的操作性，但是其作为高层级法规指向了数据所蕴含的财产权利。这项规定可能为未来明确数据财产权利提供可以突破的方向。仍在编纂中的《民法典·人格权编》将“隐私权和个人信息”作为其中一部分，并对个人信息的范围及相关数据的收集、利用、保护等问题做了明确的规定。同时，鉴于数字经济发展态势远快于相关法律法规制定的速度，为了遏制侵犯个人隐私和“数据黑产”频发的问题，最高人民法院和最高人民检察院联合发布并于2017年6月1日正式实施了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，明确了“公民个人信息”的范围，明确了非法“提供公民个人信息”和“非法获取公民个人信息”的认定标准，明确了侵犯公民个人信息罪和为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准，以及明确了拒不履行公民个人信息安全管理义务行为的处理，涉案公民个人信息的数量计算规则和侵犯公民个人信息犯罪的罚金刑适用规则等，该司法解释的出台对侵犯个人信息和从事“数据黑产”的人员和机构产生了非常大的震慑作用。

然而上述司法解释主要关注刑事案件，涉及侵犯个人隐私和民事权益的仍然非常严重，数字经济健康快速发展需要更加透明高效的数据治理体系。自2019年5月以来，中国数据治理相关的法律法规制定速度加快，国家互联网信息办公室先后发布了《网络安全审查办法（征求意见稿）》《数据安全管理办法（征求意见稿）》《儿童个人信息网络保护规定（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》，不仅要求对导致“大量个人信息和重要数据泄露、丢失、毁损或出境”的行为进行网络安全审查，同时也对“利用网络开展数据收集、存储、传输、处理、使用等活动”提出了严格的安全保护和监督管理规则，同时对儿童个人信息和个人信息出境提出了特殊规定，具有中国特色的数据治理体系正在形成。与此同时，中国还加强了个人隐私保护的监督检查，2019年1月23日，中央网信办、工业和信息化部、公安部、市场监管总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》，要求移动应用程序（APP）运营者在收集和使用个人信息时严格遵守《网络安全法》的相关规定，遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息，同时加强用户个人隐私保护。

（二）中国数据治理体系构建中需考虑的几个问题

数据治理体系是国家治理体系的重要组成部分，事关国家数据安全、数字经济发展和个人权益保护，需要从基本国情出发，综合考虑国家数据安全、数据产业发展和个人隐私保护的需求。总体来看，我国数据治理体系建设需要考虑以下几个问题。

第一，中国仍然是全球最大的发展中国家，发展仍然是第一要务，数据治理规则体系的构建要符合这一最基本的国情。习近平总书记在庆祝改革开放40周年大会上的讲话明确指出，“必须坚持以发展为第一要务，不断增强我国综合国力”，“我们必须围绕解决好人民日益增长的美好生活需要和不平衡不充分的发展之间的矛盾这个社会主要矛盾”。这要求国家经济社会和法治化建设必须围绕满足人民日益增长的美好生活需要，不断地提高综合国力。从历史的经验和实践来看，单纯通过国内法宣示数据的主权对于保障国家数据安全的作用有限，数据安全保障能力的核心是对数据的控制力和分析力，归根结底有赖于掌握核心数据技术和强大的数据产业。当前，产业界呼吁通过加快推进数据财产相关的权益确权，不断推进数据产业和数字经济发展，但是相关的数据治理规则仍然显得不足。按照“发展是第一要务”的要求，数据治理体系构建既需要适当扩大个人对其数据的权利，也需要对企业付出成本而合法收集、存储和利用个人数据的权利予以认可，充分激活企业围绕数据资源进行创新创业的活力。因此不仅需要保护个人权益，也需要考虑企业竞争和生产关系，以便在有关数据的合约监管、风险管理、资源交易与定价等领域实现更加符合数字经济发展的机制设计。

第二，防止过严的数据治理规则制约数据企业进行早期资本积累，限制数据产业能力提升，阻碍数字经济发展。数据治理理念和规则需要与一国或地区的发展水平相适应，否则可能产生严重的消极影响。2010年美国和加拿大的两位教授做了一项关于隐私政策和在线广告的研究，研究显示自2002年欧盟执行数据保护规则限制广告商收集和使用用户信息以来，导致在线广告的有效性降低了65%。这项措施使得欧盟（当时为欧共体）的互联网企业很难通过利润丰厚的广告业务来完成早期资本积累，然而包括谷歌、亚马逊等在内的美国互联网公司正是在2002年之后的几年内迅速完成了资本积累，在进入欧盟之前已经拥有比它们的竞争对手更多的资金和技术，从而取得先发优势，后续不论欧盟的规则如何变化，它们都可以通过增加合规投入，使用更加先进的技术，抢占先机。当前，全球关于欧盟《通用数据保护条例》（GDPR）的讨论最为激烈，有一部分学者认为中国应该将GDPR作为范本来学习和借鉴。但是GDPR强监管属性显示出的弊端也非常明显，诸如对中小企业创新创业不利，对人工智能等新技术的应用产生不利，可能加剧全球数字市场的碎片化等。美国信息技术创新基金会（ITIF）认为，GDPR的执行要求企业投入更多的时间和金钱来遵守相关要求，企业关注的重点将是如何避免罚款，在此过程中消费者福利并没有增加。ITIF在另一份研究报告中提醒其他国家精简监管体系，通过宽松监管以促进数字经济发展，重点防范数字创新中对消费者的伤害，而非建立严厉的监管规则。此外，美国国家经济研究局（NBER）的研究显示，GDPR实施后，欧盟国家企业的融资额和融资案例数都显著下降，使得成立0-3年、3-6年、6-9年企业的每笔交易融资额减少27.1%、31.4%和77.3%，造成的岗位流失相当于样本新兴企业雇员的4.09%-11.20%（剔除GDPR可能创造的就业岗位），并对已经获得天使投资，正在寻求风险投资的新兴企业造成的影响最大。

第三，中国数据治理体系构建需要支持合理安全的跨境数据流动。数字经济与数字贸易是全球经济发展的大趋势，中国需要在未来全球经济发展中发挥更重要的作用，需要支持合理安全的跨境数据流动治理规则。一是当前中国与世界各国和地区的在线商业往来和跨境数据流动活跃程度不足，这与中国已经具备的经济总量和影响力是不相符的。随着数字贸易规模的不断扩大，中国与世界各国和地区基于互联网的商业业务和个人交流将更加频繁，如果没有相应的跨境数据流动主张和规则，既不利于提高跨境数据流繁荣程度，也不利于数字经济和贸易发展。二是需要通过构建合理的数据跨境流动规则体系来巩固和维护中国在数据资源和互联网发展方面的优势。互联网和大数据产业的通用性、可复制性和扩张能力非常强。中国已经拥有全球最大的互联网用户规模，也是全球数据资源和互联网产业发展最具潜力的市场。为巩固和维护数据资源和互联网发展的优势，有必要加强跨境数据流管理，维护基于商业目的正常和合理的跨境数据流动，坚决抵制可能损害我国国家安全、经济安全和个人隐私的跨境数据流动。三是中国“一带一路”战略实施和企业的“走出去”需要明确的数据跨境流动规则予以支撑。中国已经成为全球诸多重要领域产业链的核心组成部分，随着“一带一路”战略的深入实施，中国与境外机构和企业的技术、产业、商务合作会涉及大量的数据转移和交换，中国公司在境外建立分支机构和开展业务等等，都有赖于跨境数据流的支撑，中国数据治理体系的构建需要充分考虑到这些诉求。

（三）积极探索构建“三方均衡”数据治理体系

数据治理体系是国家和地区间数字经济竞争的制高点，以欧美为代表的发达国家正在加紧推进其数据治理理念的全球化，意图主导全球数字经济和数据治理规则。我国应从国家数据安全、数据产业发展、个人隐私保护三个层面综合考虑，构建满足国家、企业和个人利益诉求的“三方均衡”数据治理体系。首先，中国数据治理体系的构建需要应对日趋严峻的全球网络空间安全威胁和挑战，需要对诸如大规模的基因和生物识别数据、医疗健康数据、地理测绘数据、矿产资源数据等重要数据的收集、存储、利用及转移等提出严格限定，切实有效保障国家数据安全。其次，要高度重视数据产业的发展，掌握核心数据技术是保障国家数据安全，提高个人隐私保护能力的基本前提。数据治理的法律规则要支持和促进数据技术与产业的发展，不断提高数据控制能力，同时将最新的技术运用于数据安全防护和个人隐私保护之中，从而实现国家安全、产业发展和隐私保护的协调统一。最后，数据治理需要以人为本，加强对个人隐私的保护，构建起人们发展数字经济的信心。寻求对个人隐私的保护是国际数据治理中普遍的基本原则之一，有助于各国在进行数据治理对话过程中能够处于相同的话语体系之中。欧美国家非常重视数据隐私权的保护，世界大部分国家对个人隐私需要采取保护的态度是一致的，但是在立法层面和司法层面有显著的差异。中国需要认真研究美国、欧盟等国家和地区的数据隐私规则，并与我国实际相结合，提出符合我国国情的数据隐私保护规则可能是未来研究的重点。

数据只有流动起来才能创造价值，数据治理体系构建需要促进数据在不同主体之间有序流动。由于数据共享规则的缺失，企业间共享和再利用数据缺乏信任，数据互操作性低和访问成本高的问题较为严重，制约了智能供应链、智能制造等关键领域发展。当前，国外正在加紧推动企业间数据共享规则的制定，支持区域范围内企业间数据流动。欧盟为构建数字单一市场提升区域数字经济竞争力，除了出台数据保护法规外，还在积极推进欧洲企业间数据共享，通过深化区域内数据的自由流动，增强企业间数据的获取和传输便利性，以及数据的可移植性和互操作性等。欧盟企业间数据共享的经验有四个方面，一是构建数据供需双方互信机制，确保通过共享数据技术机制的高安全级别建立信任；二是明确合作伙伴之间数据共享需求，提供更为简单和界面友好的数据传输渠道，以及有关数据的具体用例等；三是建立企业间数据共享的法律和政策框架，特别是要重视个人数据保护和知识产权方面的法律政策；四是重视企业间数据共享为双方带来的切实收益。

从数据立法趋势看，中国数据治理的法律体系正在形成，《数据安全法》和《个人信息保护法》已经纳入十三届全国人大常委会立法规划，维护国家数据安全和个人信息保护将会继续予以强化，数据财产权益的界定和分配也有望进一步明晰。但相对而言，中国已经出台或正在制定的数据治理规则中支持和促进数据产业、数字经济发展的内容相对不足，尤其是从法律法规层面对数据企业、数据资源、数据产业予以认可和保护还有待加强。有专家提出建立《数据产权法》的思路非常好，通过明晰数据产权提高数据资源的市场配置效率，通过合理有效的产权制度安排激励企业进行更大规模的数据技术和模式创新。建议在优先保障公民个人隐私的基础上，按照数据主体的享受权利、承担责任和履行义务对等原则进行必要的数据产权划分。在此过程中，应充分考虑数字企业提供基于数据的产品和服务的投资收益情况，确保数据的流通、利用以及再流通、再利用成本最低和效率最高，不断提高数据产业全要素生产率，促进数据经济蓬勃发展和繁荣。

* 付伟：京东集团法律研究院产业经济研究中心主任，北京邮电大学工学博士，曾入选国家外国专家局办公室、工业和信息化部办公厅第三批中青年技术专家，主要从事数据产业、数据治理、数字经济及信息化理论与政策领域的研究工作。

[1] 周宏仁：《信息化论》，北京：人民出版社，2008：580.

[2] Data governance. [2019-5-8] https://en.wikipedia.org/wiki/Data_governance

[3] 张宁，袁勤俭. 《数据治理研究述评》载《情报杂志》，2017(05):133-138+167.

[4] 付伟：《中国数据产业发展研究》，北京邮电大学博士论文，2019：102-103.

[5] ITIF. Why Stronger Privacy Regulations Do Not Spur Increased Internet Use. http://www2.itif.org/2018-trust-privacy.pdf

[6] European Commission. Final results of the European Data Market study measuring the size and trends of the EU data economy. (2017-5-2)[2019-2-20] https://ec.europa.eu/digital-single-market/en/news/final-results-european-data-market-study-measuring-size-and-trends-eu-data-economy

[7] 京东法律研究院：《欧盟数据宪章》，北京：法律出版社，2018：24-27。

[8] 京东法律研究院：《欧盟数据宪章》，北京：法律出版社，2018：226。

[9] European Data Protection Board. First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities[R], 2019-2:

[10] 付伟，于长钺：《美欧跨境数据流动管理机制研究及我国的对策建议》载《中国信息化》，2017(06):55-59。

[11] 茶洪旺，付伟，郑婷婷：《数据跨境流动政策的国际比较与反思》载《电子政务》，2019(05):123-129。

[12] 值得注意的是，加州《消费者隐私保护法案》是一部自下而上推动的法案。2017年，美国地产商人Alastair Mactaggart发起了一项旨在加强隐私保护的投票倡议，获得超过60万人签名，并计划于2018年11月份在州选举时进行投票。由于通过民间投票形成的法案极难修改，且加州相关企业及加州众议院议员对倡议诉求不能完全接受。议员与Mactaggart团队随后开展了谈判工作并达成协议：由众议院起草一份替代法案，如果在2018年6月28日前获得通过，Mactaggart将撤销倡议。加州《消费者隐私保护法案》于2018年6月28日获得加州议会通过，并于2020年1月1日生效。

[13] 茶洪旺，付伟，郑婷婷：《数据跨境流动政策的国际比较与反思》载《电子政务》，2019(05):123-129。

[1] 王镭：《电子数据财产利益的侵权法保护——以侵害数据完整性为视角》载《法律科学(西北政法大学学报)》，2019(01):1-11。

[2] 最高人民法院、最高人民检察院：《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，（2017-5-9）[2019-1-22] www.court.gov.cn/zixun-xiangqing-43942.html

[3] 习近平：《在庆祝改革开放40周年大会上的讲话》，（2018-12-28）[2019-1-22] http://www.xinhuanet.com/politics/leaders/2018-12/18/c_1123872025.htm

[4] 付伟，于长钺：《数据权属国内外研究述评与发展动态分析》载《现代情报》，2017(7)：159-165。

[5] 程啸：《论大数据时代的个人数据权利》载《中国社会科学》，2018(03):102-122+207-208。

[6] 戴昕：《数据隐私问题的维度扩展与议题转换:法律经济学视角》载《交大法学》，2019(01):35-50。

[7] Avi Goldfarb and Catherine E. Tucker Privacy Regulation and Online Advertising. Management Science Vol. 57, No. 1 (January 2011), pp. 57-71.

[8] 郑志峰：《人工智能时代的隐私保护》载《法律科学(西北政法大学学报)》，2019(02):1-10。

[9] 吴沈括：《数据治理的全球态势及中国应对策略》载《电子政务》，2019(01):2-10。

[10] Kara Sutton：GDPR Success or Failure? Eight Things to Watch. (2018-5-24)[2019-1-30]

[11] https://www.uschamber.com/series/above-the-fold/gdpr-

success-or-failure-eight-things-watch

[12] Nick Wallace：Europe is about to lose the global AI race – thanks to GDPR. (2018-5-25)[2019-1-21] https://itif.org/publications/2018/05/25/europe-about-lose-global-ai-race-thanks-gdpr

[13] Daniel Castro & Alan McQuinn：This Is *NOT* an Update on ITIF’s Privacy Policies. (2018-5-24)[2019-1-21] https://itif.org/publications/2018/05/24/not-update-itif-privacy-policies

[14] Jian Jia, Ginger Zhe Jin, Liad Wagman: The Short-Run Effects of GDPR on Technology Venture Investment. (2018-11)[2019-1-30] https://www.nber.org/papers/w25248.pdf

[15] 付伟，于长钺：《数据权属国内外研究述评与发展动态分析》载《现代情报》，2017(7): 159-165。

[16] Everis Benelux：Study on data sharing between companies in Europe. (2018)[2019-22-20] https://www.delaat.net/dl4ld/KK0118016ENN.en.pdf

[17] 周宏仁：《我国数据产业发展前景光明》载《人民日报》，2016-01-18(007)。

[18] 茶洪旺，付伟，郑婷婷：《促进中国数据产业发展的路径》载《中国信息化周报》，2019-05-27(014)。

仅作学习交流之用

声明：本文来自大数据和人工智能法律研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。