作者 | 史宇航 法學博士/註冊資訊保安專業人員（CISP）

為了應對疫情肆虐對經濟的影響，“新基建”被視為是紓困的良藥。新基建圍繞著人員流動（新能源汽車）、能源流動（特高壓）與資料流動（5G、資料中心、人工智慧）展開部署，而資料無疑是其中跑得最快的。

此外，在2020年4月《關於構建更加完善的要素市場化配置體制機制的意見》中也提出“加快培育資料要素市場”。

疫情之下，資料在國民經濟中扮演著愈發重要的角色，資料合規也隨之成為顯學，成為法律工作者的新航道。

法律是法律工作者開展資料合規工作的出發點。如果網路安全與資料保護沒有被上升為法律義務，那麼網路安全與資料保護可能會成為資訊保安人員的專利。

- 1 -

資料合規到底在保護什麼？

開展資料合規工作，法律工作者尤其需要了解法律究竟在保護什麼。在中國，《網路安全法》中將網路安全定義為：

“通過採取必要措施，防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網路處於穩定可靠執行的狀態，以及保障網路資料的完整性、保密性、可用性的能力。”

實際上，法律從網路與資料兩個維度定義了網路安全：

因此，在資料合規工作中，圍繞著網路與資料誕生了“網路運營者”與“資料控制者”兩大責任主體。

網路運營者是《網路安全法》中最為重要的主體，幾乎所有的法律義務都圍繞著網路運營者展開。而資料控制者的概念被GDPR所發揚光大，在國家標準《個人資訊保安規範》就頻繁使用個人資訊控制者的概念，甚至在《民法典（草案）》中也使用了個人資訊控制者的概念。

當傳統的所有權圍繞著佔有、使用、收益與處分進行構建，資料的權利也有可能圍繞著保密性、完整性與可用性進行構建。

在很多爭議與案件中，資料被作為一項新的法益進行保護，傳統智慧財產權的規則受到了巨大的挑戰。在2016年7月公開徵求意見的《民法總則（草案）》中，“資料資訊”一度被認為是一項智慧財產權，這樣的分類無疑將拓展原有智慧財產權的外延，豐富智慧財產權的內容。

但是在《民法總則》正式通過的文字中，因為該設定爭議過大而取消了這樣的規定。對於智慧財產權中的著作權，與資料在一定程度上會有交叉之處，如對具有原創性的資料庫的保護，一方面可以作為彙編作品進行保護，另一方面並不妨礙其作為資料而具有利益，二者並行不悖 。

此外，在“淘寶（中國）軟體有限公司訴安徽美景資訊科技有限公司不正當競爭案”中，法院一方面承認了淘寶公司對“生意參謀”享有資料權益，另一方面又否認這種資料權益是財產所有權。法院並沒有直接回答這種資料權益到底是什麼。在“浙江淘寶網路有限公司訴杜某等網路侵權責任糾紛案”中，淘寶的評分系統被認識是一項資料權益，法院認為：

“資料是指具有可分析性、可統計性、有使用價值的資訊的總和，不僅包括原生資料，即計算機直接產生的資料，也包括這些資料被記錄，儲存，編輯，計算後形成的具有使用價值的衍生資料，淘寶網評價系統即在此列。”

這個判決在某種程度上突破評價系統的範疇，讓資料能延展的邊界不可限量。可以說，所有網際網路上的內容都可以被認為是資料，進而得到資料層面的保護。但更關鍵的問題在於，資料保護的是什麼，是保密性、完整性與可用性嗎？

- 2 -

資料合規的立法缺失

法律工作者介入資料合規不得不面對的難題是法律匱乏。尤其是和資料並立的其他生產要素相比。無論是資本還是人力資源的法律法規都密如蛛網，但資料合規領域只有《網路安全法》《消費者權益保護法》加上若干部門規章以及一些推薦性的國家標準，在《民法總則》與《民法典（草案）》中關於資料保護只有語焉不詳的一條，甚至在執法活動中都需要把尚未生效的國家標準拿出來“說事兒”，可見這一領域法規貧乏到何種程度。

法律法規的匱乏直接帶來了不確定性，這是所有交易與經營活動的大敵。當我們在買賣貨物、僱傭人員、投融資時，很多條款我們可以不在合同中進行約定，因為《物權法》《合同法》《勞動法》《公司法》等一連串的法律法規會為法律關係“兜底”。

但在資料合規領域進行資料共享，就不得不對事無鉅細將所有資料傳輸的技術細節轉化為合同的法言法語，用大量附件來描述資料共享過程，否則連合同標的都難以確定。

對於資料合規，“法律不夠標準來湊”，當然可以指導合規措施的落地，但在另一些領域卻是一件非常危險的事。

比如在《個人資訊告知同意指南（徵求意見稿）》中，第六章“免於告知同意的情形”是一個非常“危險”的章節，該章節提出了個人資訊控制者收集、使用個人資訊的，需以適當方式告知個人資訊主體目的，但無需徵得個人資訊主體的明示同意若干情形，其中包括學術研究、簽訂或履行協議所必須、新聞報道所必需等情形。在《個人資訊保安規範》中也同樣有“5.4 徵得授權同意的例外”的規定。

這些條款之所以危險，是因為法律並未規定這些情形是法律的例外，作為推薦性標準並沒有許可權設定法律的例外條件，更無法得到法院的認可。

中國因為《網路安全法》的制定，讓很多傳統意義上資訊保安管理的措施、標準直接上升為法律義務，並且將網路安全與資料保護並立，共同體現於《網路安全法》中。對比在歐盟或美國，網路安全與資料保護往往會由不同的法律負責（這是一個相當大的話題），比如GDPR就主要關注資料保護問題，未深入涉及網路安全的內容，因此在中國開展資料合規工作更需要技術能力的支援，不只是對法律條文的理解。

- 3 -

面對資料合規“難題”，我們能做些什麼

1. 合同

合同是法律工作者堅守不變的戰場。

一份好的資料協議是商業訴求、技術架構與法律合力的結果，尤其是需要反映資料的真實流向。

在資料合規領域，資料流與法律關係不一致是最常見的矛盾之一。比如可以見到跨國公司的中國分支機構與總部簽署資料使用協議，因為稅務原因合同約定資料控制者是歐洲公司，但歐洲公司可能只是空殼，實際卻為美國直接公司控制維護資料，這會給資料的傳輸帶來巨大的隱患，讓《網路安全法》、GDPR以及美國法律都有管轄機會，徒增合規成本。

起草一份與資料流動相符的協議並不是一件容易的工作，涉及明確資料型別、設計資料跨境方案、部署安全措施的部署、控制資料再次利用等法律工作者不常涉足的領域。

在另一個視角下，隱私政策與使用者協議可以說是網路空間內使用者與廠商之間法律關係的基礎。

儘管“告知-同意”是中國個人資訊收集、使用的基石，但現狀往往是使用者既不知情，也沒法不同意。隱私政策與使用者協議長期得不到重視，對隱私政策的關注也是因為近年來多部門開始檢查就App個人資訊保護問題進行重點檢查。儘管使用者被一次次要求點選“我已閱讀並同意”使用者協議與隱私政策，但從來沒有人指望使用者真的去讀，這兩份檔案更像是寫給監管機構的“自白書”。

因此，在很大程度上隱私政策與使用者協議並沒有起到連線使用者與廠商的作用，而這樣的斷層是法律工作者必須正視的現狀，也是資料合規工作的驅動力。

2. 證據

除了寫合同以外，證據也是法律工作者的主場。

資料合規的一項基本原則就是可責性（Accountability），資料合規措施要能經得起檢驗，尤其是法庭的檢驗，各種文件要能夠作為證據在法庭上使用。

無論是龐理鵬訴東航案還是申瑾訴攜程案，法庭均認為公司相對個人具有更強的舉證義務，需要證明自己已經妥善保護資料。這不是一項容易的工作，比如證明個人資訊保護中的使用者“同意”就是一項非常棘手的任務，即當消費者起訴時，廠商如何證明消費者已經點選過“同意”，憑著公證的截圖恐怕不能證明。

另外，如何讓留存了六個月的網路日誌成為能夠在法庭上使用的電子資料，並且確保真實性、合法性、關聯性，也是法律工作者能夠介入的工作。

3. 訴訟

訴訟當然是法律工作者最不能退讓的戰場。

因為資料是一項新生法益，所以讓圍繞著資料的糾紛處理起來變數曾生，很多資料合規領域裡面重要的規則就脫胎於訴訟。

比如“新浪微博訴脈脈案”中的“三重授權原則”，比如“龐理鵬訴東航、去哪兒網案”中的企業責任，又比如“福斯點評訴百度案”裡資料利用的規則。這些開創性的案件為資料合規提供了清晰的指引，是法律不充實情況下企業行動的海圖。

- 4 -

與其他利益相關方積極合作

任何機構開展網路安全與資料保護工作，法律都只是諸多動因之一，法律風險更像是網路安全事件的“次生災難”，GDPR的高額罰款與《網路安全法》的停業整頓固然嚇人，但網路安全事件本身就足夠嚇人。

因此法律在資料合規領域並非萬能，有著自己的邊界，但法律工作者不僅需要處理好自己這“一畝三分地”，也需要與鄰居打好交道。

在資料合規工作中，有太多的利益相關方：

（《麥肯錫的數字業務與安全策略》，機械工業出版社2016年版，p.XII）

法律工作者需要與IT人員、資訊保安人員、開發人員、市場人員等諸多利益相關方進行廣泛的溝通。溝通的基礎除了法律、市場、還有技術。很多合規措施，需要落實到技術方案中。法律工作者如果希望從這樣的溝通中獲取有效資訊，那麼就需要對網路空間內的技術有著深刻的理解。

關於網路法最極端的說法是“程式碼就是法律”，雖然很多學者並不贊同，但技術的重要性可見一斑。在資料合規領域，無法繞開非對稱加密、匿名、假名、聯邦計算、邊緣計算、SDK這些乍聽上去“不明覺厲”的技術名詞，但這些名詞要麼意味著解決方案，要麼意味著需要“痛擊”的隱患。

在物理空間中，用非法律的手段解決法律問題早已司空見慣，比如加高的圍牆、換裝防盜門有時比物權理論更能有效保護我們的家園，在香菸上印刷吸菸警示圖片比抓捕違法吸菸者更能實現控煙的目的。技術的進步給了維護權利更多方案，比如防盜門比木門更能保護住家的安全，128位的加密比64位的加密更能保護資料的安全。

最為重要的，是法律工作者需要明白技術能夠幫我們解決什麼樣的法律問題。可用的邊緣計算、差分隱私、聯邦計算等新興技術能夠在多大程度幫我們解決風險。簡而言之，是法律工作者需要對自己武器庫中的武器有所了解。

除了需要對技術本身的理解，大量資訊保安領域的管理經驗也是值得重點借鑑的內容。在網路安全與資料保護領域，需要大量借鑑信安標委制定的國家標準。這些國家標準，往往是由資訊保安領域的單位起草，內容會頻繁借鑑資訊保安領域的方法論。

比如戴明環（PDCA，plan-do-check-act）的理念被廣泛運用於資訊保安管理，體現於大量國際標準、國家標準中。資訊保安作為一個專門領域有著數十年的積累，形成了大量的方法論、工具與模型。這些模型沒有理由被忽視。

- 5 -

嘗試深入資料前沿工作

我幾年前就開始建議法律人去學點程式設計。學習程式設計未必是要去和程式設計師搶工作（如果能搶到當然更好），只是因為動手實驗是掌握一個領域必不可少的途徑，未嘗聞不做實驗也能學好物理化學的。

當法律工作者寫過資料庫，知道資料如何訪問、新增、刪除，一定會對合同中該怎麼描述資料處理有更深的認識；當法律工作者了解TCP協議為什麼是“三次握手”，一定會對網路架構如何決定責任的劃分有更深的認識；當法律工作者用Wireshark看過網路傳輸的資料包，也一定會對如何發現電子證據有新的想法。

但學習程式設計、學習技術總是知易行難。如果能夠獲得一兩個認證，也是極有說服力的。比如中國資訊保安測評中心組織的註冊資訊保安專業人員（CISP）資格證就很適合法律工作者，五天的脫產培訓可以系統地學習資訊保安的理念。

此外，國際隱私專業人員協會（iapp）的CIPM和CIPT認證也在隱私保護方面極有幫助，可以系統性地學習如何構建隱私保護體系以及落實通過設計保護隱私（Privacy by Design）。在資料合規領域，國內已經不斷地有法律工作者獲得此類認證，未來是否會成為資料合規法律工作者的標配也未可知。

資料是一項新型資源，某種程度上比石油更有價值（尤其是考慮到當前的油價……），資料合規是因此而生的一項新興業務，具有蓬勃的生命力。在我們大步邁入數字文明之時，資料合規自然也成為值得探索的新的邊疆。.