毫无疑问，数据将成为一种重要资源。无论是政策层面上对于数据作为新型生产资料的定性，技术层面上各种数据技术和算法的加速迭代和升级，还是产业层面上的商业模式不断创新，数据作为第四次工业革命中不可或缺的动力作用日益显现。

　　中共中央国务院在《关于构建更加完善的要素市场化配置体制机制的意见》中，在将数据与传统生产要素并列作为新型生产要素的同时，还提出要全面加快培育数据要素市场，推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护。这份中央文件，将数据的价值和产业应用实现，推到了一个新的战略高度。

　　与其它生产要素一样，数据作为新型生产要素也涉及权属问题。这也是实现数据合规和有效流通不可回避、亟待解决的问题。如何定性数据价值和价格？如何构建良性的数据交易机制和体系？如何在充分保护数据所有者和控制加工者的权益的前提下，充分赋能数据产业和全行业智能转型升级？这些都是当下政府、产业、企业和消费者最为关心的问题。

　　带着以上问题，记者围绕“数据开放与数据权属”，对高富平教授进行了访谈。

　　记者：您如何看待当前中国个人信息保护制度？基于中国科技和互联网商业模式的领先优势，中国个人信息保护制度未来的发展方向如何？是否会制定区别于欧洲、美国的个人信息保护制度，从而更有效地推进中国在第四次工业革命的“弯道超车”？

　　高富平：欧美国家是在上世纪七十年代开始建立以保护个人尊严和自由为出发点的个人信息保护制度，而我国是在2000年左右才有学者介绍域外的个人信息保护制度，直到2012年，国家在立法层面才引入以个人控制为基础的域外个人信息保护制度。快速发展的互联网应用，导致个人信息的商业价值陡增。个人信息本身可以买卖获利，由此形成了中国所特有的个人信息非法获取和买卖的灰黑产业链。这一产业链的形成，不仅侵犯个人尊严或自由，更危害个人人身或财产安全，危害社会安全和公共秩序。因此，2009年，中国率先动用刑法打击个人信息非法获取和买卖行为，确立了世界独一无二的侵犯个人信息罪。虽然该罪旨在打击个人信息非法流通，但是，对于什么是合法流通，根本就没有规定。于是，中国个人信息的使用一下子从天堂掉到地狱，原来是“无轨电车”随便获取和使用，而现在忽然所有通道都被堵死，只剩下法律规定的同意一条道路了。于是，概括式的同意成为合法流通的唯一通道。只是，这种“同意”不过是掩耳盗铃，对于个人毫无意义。同时，由于“同意+必要性”是个人信息使用的基本规则，国家这几年以此为轴心，开展了一轮网安法执法大检查，给直接采集个人信息也套上了“紧箍咒”。这些法律不但没有解决中国特有的安全问题，而且对蓬勃发展的数字经济造成了一定的负面影响。因此，现行个人保护法律制度环境实际上既不利于个人保护，也不利于产业发展的状态。

　　在法律创制方面，中国长期依赖移植，而不是从本地发掘规则。在个人信息保护制度方面，学术研究和现行立法仍然没有脱离移植窠臼，而且目前的学习研究也仍然是一知半解，并没有完全领会域外制度精神和价值。在我看来，要创制中国的规则，首先要找出中国在个人信息保护方面面临的问题以及解决该问题的理论基础或方法论。而在这两个方面，中国学者还没有系统而有创见的研究成果，更不用说达成共识了。在这样的背景下，要在限定的时间内出台个人信息保护法，我不认为能够创制出区别于欧美的个人信息保护制度。

　　在我看来，欧美的个人信息保护制度有共同的渊源——《世界人权宣言》第12条所确立的隐私权。国际人权意义上的隐私权不同于我国《民法典》规定的隐私权，是自然人作为独立主体的自由或尊严的法律保障。这也就是说，个人信息保护制度是建立在个人基本权利保护层面上的一项制度。无论美国还是欧洲，在个人信息保护方面，都有一个基本假设，即个人信息是自由（可以使用）的。欧洲与美国的不同在于，欧洲认为个人信息的使用必须满足合法性基础（法律明确的6项理由），而美国没有这样的要求。但是，无论欧洲还是美国，其个人信息保护的理论基础是个人控制论，将个人对个人信息（使用）的控制与个人尊严或自由（自治）联系起来。虽然GDPR在个人信息使用条件上具有相当灵活性，但是同意的随意撤销性、访问权（含复制）、拒绝权、删除权、可携权（数据移转权）等主体权利，给予了数据主体对个人数据处理的全生命周期控制权利。在我看来，以个人控制论为基础的个人信息保护制度已经走入死胡同。因为，它本质上是适应上世纪七十年代以个人提供的数据为主的个人数据处理环境，根据无法应用于泛网络时代的个人数据利用情景。但是，欧美囿于传统个人信息保护观念，无法从该死胡同中走出来。中国是唯一有机会站在泛在网络和大数据技术的潮头，制定引领第四次工业革命的数据规则，实现“弯道超车”的国家。当然，就目前的状况来看，无论是在学术研究层面还是立法执法层面都还面临很大挑战，要进一步解放思想，进行务实研究和立法，充分利用行业自律和技术手段实现数据开放利用与安全的动态平衡。

　　记者：在您看来，为什么要明确个人数据的权属？个人数据的权属应该归于何处？在目前的制度中是否有体现？会对数据产业的发展和创新带来什么样的影响？

　　高富平：早在2011年，世界经济论坛的一份报告就将个人数据视为新经济“资产类别”，个人数据的资源或资产价值几乎已经成为共识。作为资源就需要起码的利用秩序，而人们习惯上将“产权”视为这一秩序的基础。产权可以宽泛地表述为特定主体对特定客体的决定权，产权人决定客体的使用，由此形成某种资源的利用秩序。个人数据利用也需要秩序，因而权属或产权问题成为数据资源化背景下人们最为关心、最为渴望的问题。但是，无论国内还是国外，对于个人数据权属并没有任何共识。在美国，一些学者直接将隐私权观念下的个人信息自决直接视为产权，希望由此开启个人数据社会化利用的按钮。国内早期的许多研究，更是直接将德国宪法的个人信息自决权视为私法上个人信息权的依据，将个人信息使用视为由个人决定。但是，在我看来，个人数据（或个人信息）并不存在任何对个人数据的支配性权利，无论将其视为人格权还是财产权，在个人数据上，仅存在需要保护的利益。也就是说，我们要保护的不是个人数据本身（支配），而是保护个人数据上存在的个人利益，个人对个人数据原则上没有支配性权利（决定权），而仅有维护个人数据上的个人利益不受侵害的权利。而且我坚持认为，个人数据是记录或描述某个人、与个人有关的数据，个人并不能因此拥有个人数据或享有支配性权利。

　　在数据为资源既定事实下，数据权利配置会对数据产业的发展和创新带来直接且巨大的影响。一旦将同意作为个人数据使用的一般规则，即使有例外的规定，也会在事实上产生赋予个人产权（决定数据使用）的法律效果。这样就会大大增加社会运营和交易成本。因为，获得个人同意是一切活动开展的必经程序，否则即面临不法使用个人信息的风险。即使GDPR没有承认同意权，而只是将同意作为个人数据处理（使用）的合法性基础，但是一旦超出初始目的或必要范围使用（尤其是分享利用），还是要寻求同意。因此，其实施以来遭受最多诟病的是，它在消耗公司资源的同时，并没有增加消费者信任因而促进个人数据的流动和利用。试想一下，我们每个人都可以介入到商业交易过程中，而且随时随地可能发生，面对如此繁琐的业务流程，企业要付出巨大的合规成本。

　　如果我们在资源或资产意义上使用产权，就必须因循资源（价值）形成或来源的思路来思考产权配置，按照价值贡献分配经济收益。个人数据的产权配置还必须考虑可行性、交易成本、社会公共利益实现等因素，并不是个人的数据归个人那么简单。在这方面，我们还需要进行深度的探讨，寻求共识。

　　记者：您认为，个人信息保护与个人数据价值的产业实现，在目前制度下，冲突体现在哪里？是否有可能寻求到一种平衡？

　　高富平：早在2011年，世界经济论坛的一份报告就将个人数据视为新经济“资产类别”，个人数据的资源或资产价值几乎已经成为共识。作为资源就需要起码的利用秩序，而人们习惯上将“产权”视为这一秩序的基础。产权可以宽泛地表述为特定主体对特定客体的决定权，产权人决定客体的使用，由此形成某种资源的利用秩序。个人数据利用也需要秩序，因而权属或产权问题成为数据资源化背景下人们最为关心、最为渴望的问题。但是，无论国内还是国外，对于个人数据权属并没有任何共识。在美国，一些学者直接将隐私权观念下的个人信息自决直接视为产权，希望由此开启个人数据社会化利用的按钮。国内早期的许多研究，更是直接将德国宪法的个人信息自决权视为私法上个人信息权的依据，将个人信息使用视为由个人决定。但是，在我看来，个人数据（或个人信息）并不存在任何对个人数据的支配性权利，无论将其视为人格权还是财产权，在个人数据上，仅存在需要保护的利益。也就是说，我们要保护的不是个人数据本身（支配），而是保护个人数据上存在的个人利益，个人对个人数据原则上没有支配性权利（决定权），而仅有维护个人数据上的个人利益不受侵害的权利。而且我坚持认为，个人数据是记录或描述某个人、与个人有关的数据，个人并不能因此拥有个人数据或享有支配性权利。

　　在数据为资源既定事实下，数据权利配置会对数据产业的发展和创新带来直接且巨大的影响。一旦将同意作为个人数据使用的一般规则，即使有例外的规定，也会在事实上产生赋予个人产权（决定数据使用）的法律效果。这样就会大大增加社会运营和交易成本。因为，获得个人同意是一切活动开展的必经程序，否则即面临不法使用个人信息的风险。即使GDPR没有承认同意权，而只是将同意作为个人数据处理（使用）的合法性基础，但是一旦超出初始目的或必要范围使用（尤其是分享利用），还是要寻求同意。因此，其实施以来遭受最多诟病的是，它在消耗公司资源的同时，并没有增加消费者信任因而促进个人数据的流动和利用。试想一下，我们每个人都可以介入到商业交易过程中，而且随时随地可能发生，面对如此繁琐的业务流程，企业要付出巨大的合规成本。

　　如果我们在资源或资产意义上使用产权，就必须因循资源（价值）形成或来源的思路来思考产权配置，按照价值贡献分配经济收益。个人数据的产权配置还必须考虑可行性、交易成本、社会公共利益实现等因素，并不是个人的数据归个人那么简单。在这方面，我们还需要进行深度的探讨，寻求共识。

　　记者：您认为，个人信息保护与个人数据价值的产业实现，在目前制度下，冲突体现在哪里？是否有可能寻求到一种平衡？

　　高富平：显然，你提出这个问题及其前一个问题，表明你认同个人信息和个人数据之间存在差别。我也注意到许多学者也认同这一观点。虽然我也认为数据与信息有区别，但是在个人信息保护法领域，是否真的能够将个人信息与个人数据保护分清楚，我一直持怀疑态度。因此，你的这个问题实质上是个人信息（数据）上的财产利益（经济价值）和人格利益（主体价值）的冲突问题。就此而言，我这里分析两个主要冲突：（1）数据作为资源，需要不断与其他数据匹配，在组合和运算分析中产生无限的价值。也就是说，数据的价值在于流动，不流动就没有价值；而数据因与个人有关，数据就不能像物（客体）那样随意流动和处理，因而对于个人而言，数据最好仅用于其知晓或必要的目的之后就不再流动；（2）作为资源，任何关于个人的的碎片化的数据都具有潜在的价值，而且数据的价值取决于数据聚合和关联分析能力，因而进入识别分析后数据的价值是无限的。单个的或碎片化的数据要体现特定个人的人格利益或主体价值，就必须与该个人有直接的关联，而第三人可识别的与个人关联的数据则是有限的。单纯从保护个人权利的角度，只要保护好直接与个人有关联的数据就足够了。但是，世界各国的个人数据保护法实际上已经在全面干预具有识别分析能力的数据，规范分析个人数据的处理行为。个人信息保护法初始目的是为了保护个人数据上的主体权利而设计的，根本没有考虑数据作为资源的流动需要；同时，它是从个人数据处理行为规范（regulation）的角度来保护个人，其规范又覆盖了个人数据一切可能的利用。因此，前面的两个冲突内生于个人信息保护法中。在个人数据仅仅作为社会交往工具的前网络时代，这种冲突并不严重；而在数据成为资源的泛在网络时代（或称为大数据时代），这种冲突就达到了不可调和的程度。不突破个人数据保护理论基础和既有的制度框架，似乎很难实现二者的平衡。

　　记者：80%-85%以上的数据都掌握在政府的手中。对于这些数据的权属，您怎么看？政府数据的共享和开放，在赋能个人权利、产业创新和社会发展的可实现路径和制度建设应该如何？

　　高富平：从实际控制的角度，我赞同你的看法。许多有用的数据，尤其是基础数据，掌握在政府手中。但是，这并不意味着这些数据“属于”政府。政府对所掌握的数据的利用，尤其是开放利用，仍然是以保护数据上的利益为前提，包括隐私和商业秘密等。另外，在数据具有价值的背景下，企业、事业单位和个人因各种理由（接受服务或者配合公共管理或执法）提供给政府的数据，可为政府控制使用，但并不因此将该数据“变性”为公共数据，由政府实施对外开放。我非常赞同政府掌握的公共数据开放，它们对于推动大数据和人工智能应用的基础设施建设，对于形成基础数据资源，具有重要意义。但是，数据开放是为社会提供数据资源，让社会主体再开发利用这些资源的行为，是人类社会进入到大数据时代的新事物。有些地方将政府数据开放定义为政府的一项新的公共服务，但其服务对象不是普通百姓，而是商业公司和研究机构，政府提供的数据资源最终转化为这些组织的商业利润。显然，政府数据开放应当在区分数据类型、保护好数据上的合法权益并确保数据安全的前提下进行。只有可以公开且可以为任何主体使用的数据，才属于公共数据，才应当实行无条件开放（水文地质、气象、公共服务及其运营产生的数据及其政府公共管理和执法中形成的行业统计、报告、事实信息等可以无条件开放）；而其余由政府掌握的数据仅满足特定主体数据开发需要，或者对开发利用目的和安全有严格要求的数据，应当实行有偿有条件的开放利用。作出这样区分的目的，是激励政府向社会提供更多的数据资源，又避免政府拿全体纳税人的钱，为少数人提供服务的不公正性。因此，政府数据开放，切忌一刀切地实行无偿无条件的开放。但如何区分二者，形成政府数据开放的成熟模型，需要探索和研究。

　　记者：政府数据开放，第三方数据接入和合作在目前的数据合规体制下，需要解决哪些方面的问题？行业自律？

　　高富平：目前政府数据开放的实践来看，政府数据开放有两类，一类是政府拥有的数据的开放，此时政府是数据开放的主体；另一类是政府推动的行业数据开放，政府只是数据开放事业的推动者，包括搭建平台、制定标准、实施激励措施等，但数据来源于某个行业的企事业单位，后者才是数据开放的主体。数据开放意味着流通使用，而数据本身具有风险，流通使用又会放大原有的风险，增加新的风险。因此，不管哪种数据开放，开放主体要对数据开放利用的安全性和合法性负责。

　　在目前数据合规体制下，数据开放利用的风险主要是隐私风险、国家安全风险、数据安全风险等。显然，为了实现安全合规地开展数据开放，需要解决以下几方面的问题：一是开放数据的源头要开展数据治理，数据开放的前提是数据能够开放，而能够开放的数据意味着去除隐私风险和危害企业利益和国家安全的风险，同时保持数据原始性、机读性和组合分析性，满足社会需求；二是数据开放平台的管理，实现数据流通的可控制，责任可追溯；三是开放数据的分析利用监督管理，避免不必要的合规风险；四是数据安全风险的防控措施。而这些问题的解决，都不可能指望立法提供，而应当是由行业在法律框架和原理下，自行探索，形成安全开放利用规则和机制。

　　记者：在您看来，如何才能更好地兼顾数据安全和数据价值的实现？

　　高富平：数据因技术而“生存”，数据依赖技术而控制，数据的流通和利用也是依赖技术来实现。因此，数据安全是数据价值实现的前提，没有数据安全数据价值就是零。数据安全的基本含义是防范非经授权的访问、获取、盗用和泄露。在这个意义上，数据安全与数据价值实现是不矛盾的，一致的。但是，数据安全还可能被扩张使用，延伸至数据上承载的主体和利益的安全：首先是将数据安全与个人的人身和财产安全联系起来，比如认为数据被盗用或不法获取，流通给“坏人”手中实施诈骗，危害到个人财产甚至人身安全；其次是将数据安全与经济安全、公共安全（社会安全）和国家安全联系起来，比如要求本地化存储和跨境流通需要评估或进行其他控制。笔者认为，前一种安全与数据安全无关，而属于社会安全的范畴，它是数据被少数人用于违法犯罪的目的，与数据安全没有直接的因果关系，其治理也不是做好数据安全、禁止数据流通/分享就能够根除的，而取决于对违法犯罪行为的惩罚。数据安全与国家安全存在勾连，数字安全的确关系国家的安全，这个逻辑是成立的。但是问题在于，是否所有的数据都与国家安全关联？在某种意义上，是的。因为利用各种先进算法，利用公开的资料，即可以对一个国家某个领域技术、社会变化等情况做出预测分析，因而采取相应的决策。如果是在国内已经公开或可访问的数据，是否允许跨境流通，对于安全的威胁似乎没有改变；如果不区分数据本身对国家安全的危害程度，一律实施本地化存储和跨境流动监管，其意义不大。因此，重要的是对危害国家安全、民族健康的信息本地化存储和出境管制。在个人数据和非个人数据已经成为社会经济的基础资源背景下，推行普遍数据本地化和跨境管制来维护数据资源安全或经济安全是否必要和可行，是否会有利于本国数字经济的发展，既是经济问题，也是个国际政治问题，还需要深入研究。

　　记者：您如何看待数据要素化、资产化在新技术和新模式创新发展中的必要性？特别是由新技术、新模式的应用所引起的新场景下的个人数据要素的调用和使用，对于个人数据要素价值实现的意义有哪些？

　　高富平：未来的社会经济运行一定是建立在数据驱动的基础上，数据要素化是对此的回应。数据是在特定网络为基础的社会经济活动（现在习惯将之称为数据生态）中发挥作用的，而且其价值关键在于流动和被分析利用。这需要生产、汇聚、处理、分析数据的技术，也需要实现数据的价值的商业模式。数据要素化、资产化概念的提出，显然有助于人们认识到数据不是天然的，也不应是免费资源，只有按照经济规律对待数据，才有可能构建数据有效利用的秩序，才能最大程度实现各自的数据价值。显然，如何界分数据价值生态链中各个参与主体的贡献，分享（share）数据生产和流通产生的价值或收益，是这种数据经济成功运行的关键。数据要素化促进数据资源使用者要努力打造平衡各方利益的数据利用生态，其中可能需要承认个人或用户在数据资源的供给方面的价值。至于如何承认和保护个人的权益，打造公正有效的数据生态，需要商业探索和制度规范。因此，数据要素化的提出，至少使企业要在尊重个人选择、保护个人权益方面下功夫，打造用户友好型的商业模式。

　　记者：对于个人数据要素化的实现路径，从监管上来看，您有什么建议吗？您如何预期数据产业“乍暖还寒”还要持续多久？大数据产业未来是否可期？

　　高富平：《关于构建更加完善的要素市场化配置体制机制的意见》（下称《意见》）将数据作为五大市场要素之一，显然不仅仅将数据视为具有价值的资源，而且是要实现数据市场化配置流通和社会化利用。这是国家富有远见的数据（数字）经济建设的战略部署。而这样的部署必然带动个人数据流通和分享，给大数据产业带来新曙光。但是在我看来，这样曙光并不会马上到来，主要有两个方面的原因：其一，以个人数据非法获取和买卖为基础的网络（数据）灰黑产业得不到扼制，那么就不能为合法的数据流通创制良好的环境，甚至为灰黑产业“背黑锅”。从目前状况来看，个人信息不法交易还会持续一定时间，还需要出重拳打击;其二，个人数据流通的制度规则在短期内还不能建立起来。从目前《个人信息保护法》（草案）的情况来看，基本上仍然是维持从信息主体直接获取和在特定目的（法律事由必要）范围内使用个人数据为主导，还没有考虑间接取得或流通。在个人数据流通方面可能仍然采取《网络安全法》第42条同意或经“处理后不能识别且不能复原”。经同意的个人数据其可操作性存疑，即使有，也只是具有形式意义，根本保护不了信息主体，还徒增成本，而“处理后不能识别且不能复原”，实际上已经不再是个人数据了，因而不是严格意义上的个人数据流通。因此，我们还要设计保护个人隐私和数据安全的流通的制度解决方案，这需要实践探索，也需要理论论证，更需要政府部门支持和引导。个人数据流通利用会进一步扩大隐私和数据安全风险，必须有相应的机制和规则，否则只能乱上添乱。因此我们一定要稳步推进个人数据流通，而不能走先“放”后“治”的道路。在这方面，华东政法大学数据法律研究中心联合公安部第三研究所、上海数据交易中心等机构已经形成了集技术、法律和商业规则为一体的合规安全的数据流通解决方案，可以作为要素市场推进的一种经验。

　　记者：数据作为新型生产要素已经写入中央文件。从长远看来，您认为如何才能有效实现数据的要素化？从制度建设上，您有什么建议？

　　高富平：相对于其他生产要素，数据还仍然是新的生产要素，其是否能够市场化配置，如何实现市场化，还没有现成的答案，因此《意见》对要素市场采取“加快培育”的态度。从制度探索到成熟制度规则的形成，需要时间，更需要有一些正确的指导思想。在这里，我谈三点想法：

　　第一，并非所有的数据都可以作为市场要素，要素化的数据应限定于机器生产原始数据。在泛在网络时代，我们讲的数据大致分为两个层次：一是数字化的信息，它本质上是人类创制出来的思想、知识或精神成果，只是以数字形式存储、表现和处理（使用）；二是数字化的数据，它是由网络、传感器和智能设备记录的关于特定对象的行为轨迹和关联信息，如网络元数据和各种机器生产内容（传感器、智能设备采集的数据）。要素化的数据应当是指后者，因为此类数据是可联结、可匹配、可关联（指向）某个对象（人、物、组织），因而可作为分析资源的数据。这样的数据，才是人工智能的原材料，才驱动人类社会走向数据智能时代；

　　第二，数据资源化、资产化需要新财产权范式。数据的价值在于流动，一旦流动就丧失其控制，而数据控制和使用又不具有任何排他性，它又可以轻易实现同一时间为无限多的使用。虽然数据的价值也存在价值递减性，但是其价值并不因为使用而完全消失。从这些特征来看，以有形物排他支配范式（所有权）不适用数据财产，我们需要发展出有利于数据流通利用秩序数据财产权新范式；

　　第三，个人数据保护制度需在数据资源化背景下重构。个人数据保护制度诞生于上世纪七十年代，它以保护个人数据上主体利益为宗旨，以在同意目的或法定目的必要范围内使用个人数据为使用规则，根本没有从个人数据作为可市场配置的资源角度来思考。在我看来，以个人控制为指导思想的个人信息（数据）保护制度已经不能适应大数据时代，需要在资源化、市场化视野下重构该制度，建立既保护个人权利，又保护数据使用者权利，让整个社会分享个人数据红利的新的个人数据保护制度。