数据业务核心法律问题研究的新视角

陈小江

伴随云计算和大数据技术创新的不断涌现，数据的采集与应用更加便捷与多元，场景化的数据价值挖掘案例不断刷新人们对数据价值的想象空间。啤酒加尿不湿的营销故事后，又有谷歌分析搜索数据预测流感，后来又出现定向营销、智能交通、智慧城市等等，无不展现着数据之美。随着人们对数据价值的认识和理解的不断深入，原本深藏于人们认识世界之外积淀的数据如同宝藏一般被发掘，数据慢慢从一个个让人惊叹不已的故事逐渐转变为一项实实在在的业务。

数据本身没有价值，数据的应用使得数据具有了价值。在DT时代的大潮中，很多企业开始尝试数据业务化，服务于用户、客户、合作伙伴。从提供统计分析的数据产品，到服务于数字营销的DMP（数据管理平台），再到数据市场等等，各类依托数据而产生的新业务形态正在蓬勃发展。从数据业务实践的角度出发，梳理数据业务的核心法律问题及解决思路，对数据业务未来的健康发展无疑有着重大的意义。

场景化是数据业务的重要发展方向

数据业务主要依托技术能力，通过对数据的加工应用实现数据的增值。目前常见的数据业务，包括数据产品、数据合作、数据平台等类型。

沉淀有丰富数据资源的企业其数据业务化最开始的探索方向是从数据平台开始的，大型的数据平台集合了数据中心、数据引擎和数据市场三大块功能，向客户提供数据“前店后厂”的一站式服务。其中，数据中心解决数据存储的需求，数据引擎解决数据加工的需求，数据市场解决数据原材料的需求，使用这类数据平台的客户需要具备一定的数据分析能力。通俗地讲，大型的数据平台类似于将小麦加工成面粉的工厂，这个工厂提供品种各异的小麦、加工小麦的机器设备、存放小麦和面粉的仓库以及运转机器的电力等全部资源，客户可以根据自己的需求在这里加工出不同精度的面粉，而使用这个工厂服务的客户需懂得面粉的生产工艺。大型数据平台的体量大、链条长，对底层架构、技术能力、数据供应、数据安全等方面的要求高，是数据业务化的上游环节。

场景化是数据业务的一个重要发展方向，即结合特定的行业，通过数据应用解决该行业的痛点，挖掘数据价值。当前数据应用较为普遍的领域是营销和金融。行业内很多数据产品或服务都是围绕品牌营销开展的，定向营销是数据在营销领域最常见的应用方式，通过数据进行消费人群画像，根据投放需求进行人群筛选，通过触达渠道进行营销触达。金融领域是数据应用较早的领域，风控一直以来是金融业务非常重要的环节，用户在申请金融服务时，金融企业为了降低业务风险，依据信用数据及评分模型对用户进行评分，根据评分值判断是否可以贷款及贷款额度。近年来还有一类常见的数据应用场景——征信，传统的征信机构依托的数据来源比较有限，而在互联网环境下，征信机构的数据来源渠道得到较大拓展，征信服务的应用场景也更加广泛，从传统的信贷场景向日常生活拓展。例如作为首批八家个人征信机构之一的芝麻信用，高芝麻信用分的用户可以享受住酒店零押金不查房的信用住服务，享受部分国家快速签证的服务等。

数据能不能用，数据能怎么用？

数据业务的核心法律问题可以概括为四类：数据授权、数据防泄露、数据防二次利用、数据归属约定。数据业务的核心法律问题分为合规问题和商业问题两大类。数据授权、数据防泄露属于合规问题，均有对应的合规监管要求。数据防二次利用、数据归属约定属于商业问题，由合作的各方根据达成的合约确定。对于数据业务而言，在规划阶段就需进行合规评审，通过数据业务的方案设计来满足合规要求，合规是决定数据业务能否开展的前提。对于商业问题的处理，需平衡业务需求和风险控制综合判定。

数据主体与数据拥有方的分离，导致了数据权利问题的复杂性。不同的数据所承载的权利不同，权利主体也不相同，数据权利的归属原则也不完全相同。学界、业界对数据权利都有较多讨论，目前尚未形成定论。对于数据，从数据主体的角度，诉求在于数据的控制权，包括知情同意、数据更新、选择退出等；从数据拥有方的角度，诉求在于数据的管理权，包括数据的收集、使用、存储、披露等。数据权利的核心问题在于厘清数据主体的数据控制权和数据拥有方的数据管理权的各自权能及边界。数据业务中对于数据权利的讨论集中在两个方面：数据能不能用？数据能怎么用？概言之就是数据授权。数据授权是数据业务需要解决的首要问题。不同类型的数据，涉及的问题侧重点不同：用户个人数据涉及用户隐私保护、企业数据涉及商业秘密保护、来自第三方的数据涉及合约遵守。

以用户隐私保护为例，作为其核心原则的知情同意即是对数据授权的要求。按照美国《全球电子商务政策框架》对知情同意的解释：“收集数据者应当通知消费者他们在收集什么信息，以及他们打算如何使用这些数据，数据收集者应当向消费者提供限制使用和再利用个人信息的有效手段。”隐私保护是与数据业务密切相关的问题，隐私保护本身即是数据业务的一部分，就像知识产权保护对于电商一样，隐私保护对于数据业务也是如此。

数据防泄露是指通过技术和管理两个方面防止数据被泄露到外部从而避免数据被用于未经授权的行为。数据防泄露是一项法定义务，是数据业务的基础前提，如全国人大常委会2012年颁布的《关于加强网络信息保护的决定》第四条规定：“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。”

数据分享面临重要挑战

数据防二次利用是指在数据业务中防止数据被授权使用者超出授权范围使用。碎片化的数据价值有限，数据的融合挖掘使得数据价值数倍增长。任何一方不可能拥有全量数据，必然会存在不同数据拥有方之间的数据融合加工，这种融合加工需要一方将数据分享给另一方。在现有技术条件难以对被分享方是否合规使用数据进行监督的现状下，数据分享后，被分享方如何使用数据只能依靠“君子合约”来维系最后的约束力，再加上违约使用数据的取证相当困难，导致数据分享面临不可控的风险，数据分享的动力就会减弱。这也是目前数据市场发展所面临的一项重要挑战。涉及数据分享的业务中，数据防二次利用是非常重要的风险点，其有两个解决思路：一是在满足需求的前提下尽量输出数据能力而非数据；二是通过技术方式增加违约取证的可能性。

数据归属约定是指数据合作的双方对合作中在双方原始数据上产出的衍生数据归属进行事前界定。这个问题在合作之初易被忽略，而双方合作终止时容易产生争议。如果事前对衍生数据归属未进行明确约定，在难以协商一致的情况下自然容易产生纠纷，因此需事前考虑衍生数据归属的约定问题。衍生数据的归属有三种方案：一是归属于合作的某一方，二是归合作的双方共有，三是合作终止删除衍生数据。最终选择何种方案需根据双方的谈判能力而定。在事前未约定、事后又难以达成一致的情况下，往往会选择第三种方案。

（作者单位：阿里巴巴集团法务部）

责任编辑：王健