深圳是创新型城市，适合深圳长远发展的数据规则应当是创新友好型。 资料图片

提要

若“生产”数据的经营者能够获得强有力的排他性权利，其才有动力继续向网络用户提供优秀的互联网产品和服务，因为只有出色的产品或服务才能吸引用户继续使用，也才能掌握数据。但是考虑到我国互联网行业集中度较高，海量数据被少数互联网大型企业所控制，这本身就增加了其他企业，特别是中小互联网企业获得足够数据的难度。开放才能带来创新，从避免数据成为进入大数据产业的实质性壁垒的角度出发，对《深圳经济特区数据条例（征求意见稿）》中的“企业数据权”进行调整是有必要的。

随着信息技术的发展，数据的重要性日益凸显。一方面，大数据技术提高了互联网企业探求用户心理活动的能力，“互联网中透明人”的说法使得用户信息保护成为社会焦点问题。另一方面，数据是互联网企业优化算法、拓展新业务的基础性原材料，是企业进入大数据开发产业的入场券，这使得企业之间为争夺数据而产生的纠纷层出不穷。深圳市近日公布《深圳经济特区数据条例（征求意见稿）》（以下简称《意见稿》），实为协调用户与互联网企业之间，互联网企业相互之间的关系，促进大数据行业健康稳定发展的重要举措。《意见稿》主要通过构建“数据权”的方式厘定不同主体的合法行为边界，以期达到不同主体间利益平衡的目的，这与欧盟《一般数据保护规范》（GDPR）的思路具有相似之处。虽然深圳与欧盟有着不同的社会背景与发展目标，但相信通过与GDPR进行横向对比，取得评价《意见稿》制度框架下不同主体间的利益格局的一个外部视角，将对深圳构建和谐平衡的数据保护规则具有积极意义。

偏向“柔性”的“用户数据权”

个人信息保护制度是构建数据保护规则的核心。从外观上来看，《意见稿》花费一整章的篇幅构建用户信息保护制度，并在第十一条中明确宣告“自然人对其个人数据享有数据权，任何组织或者个人不得侵犯”，由此足见《意见稿》对个人信息保护的高度重视。但是需要注意的是，《意见稿》中“用户数据权”主要构建于用户“同意”的基础上，即以自然人的自由意志作为允许企业收集其个人信息的正当性基础。但问题在于，自由意志的实现以协议双方具有实际平等的地位为前提。而在用户数据保护层面，用户与互联网经营者在实际控制数据的能力、谈判地位和理性程度上均具有显著差距。例如居于强势地位的即时通讯软件经营商将用户“同意”与允许用户使用该软件相绑定，用户实际上并无选择的自由，用户“同意”也并非真正基于自由意志。对用户与互联网企业之间的实际不平等状态，《意见稿》并没有给予充分关注。相比之下，GDPR则为确保用户“同意”的自由意志基础做出了很多努力。例如GDPR第三十五条否认了“默示同意”的效力。第四十五条一般性地否认了个人与数据收集者之间地位显著不平衡时个人“同意”的有效性，同时还明确规定，若数据收集者将提供产品或服务与用户“同意”相绑定，则推定“同意”并非基于用户自愿。《意见稿》目前缺乏矫正此实际不平等情形的制度设计，这实际上削弱了“用户数据权”对用户的实际保护能力。

从权利的可对抗性来看，《意见稿》第三十一条规定，个人应当配合公共管理部门的数据收集行为，如认为收集行为侵犯其隐私等合法权益可以提出异议。该条款进一步增加了《意见稿》所设计“用户数据权”的柔性。GDPR同样为保障公权实施设计了排除个人数据权的例外条款，但采取的是有限列举的方式。例如GDPR第十七条规定公权机关为预防、调查、侦查或起诉刑事犯罪或执行刑事出发的目的进行的个人数据处理，可以不受GDPR的限制，同时强调除上述特定目的外的数据收集与处理活动需要遵守GDPR的规定。由此可以看到，如果以GDPR为参考轴，《意见稿》所规定的“用户数据权”具有柔性特征。

偏向“刚性”的“企业数据权”

《意见稿》第五十二条第一款规定数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权，任何组织或者个人不得侵犯，这事实上规定了“企业数据权”。虽然与“用户数据权”类似，《意见稿》同样没有构造支持“企业数据权”的具体制度，但是与用户缺乏控制并保护其个人信息的能力相反，互联网企业占据技术优势，其本身便对数据有强有力的控制力，也拥有与公共部门沟通以最大化自身利益的能力。在这样的背景下，哪怕《意见稿》只赋予企业一个“空泛”的“数据权”，该“数据权”便足以产生堪比绝对权的刚性排他效果，而这种情形是应当被避免的。

深圳是创新型城市，适合深圳长远发展的数据规则应当是创新友好型。《意见稿》全文十八次提到“创新”，也正体现了深圳打造创新友好型数据规则的愿望与决心。为此，数据保护规则必须首先保障数据的可得性。在我国，海量数据由少数经营者及政府部门掌握。这时通过制度促进数据的分享与流通尤为重要，这也正是《意见稿》多次强调数据共享的原因。但是《意见稿》对数据共享多为倡导性质，硬性约束不足。而“企业数据权”产生类似于绝对权的排他效果，既不符合理论界关于数据不适合被财产权化的观点，也不符合欧美国家的通行做法。更重要的是，这可能导致掌握数据的经营者通过拒绝提供或分享数据来阻止其潜在竞争对手，最终产生不利于创新的结果。

构建和谐平衡的数据保护规则

事实上，“偏向柔性”或是“偏向刚性”既是对比GDPR形成的认识，也是结合深圳本地长远发展需求得出的结论。制定数据保护规则需要妥善协调不同的利益以获得恰当的平衡，对用户信息的保护必须考虑其可能对大数据产业发展带来的负面影响，因为用户信息保护的关键是赋予用户控制、决定其信息是否被收集以及如何被使用的权利，而这与促进大数据产业发展所主张的企业被允许尽可能多地获取、自由地使用用户个人信息间存在矛盾。但是虽然对个人信息的保护不应当绝对化，《意见稿》对个人与互联网企业之间的实质不平等地位不做充分回应的做法仍然是值得商榷的。深圳固然以科技创新城市闻名，但适当强化“用户数据权”，亦有助于体现科技创新城市的人文胸怀。

对“企业数据权”的保护有其正当性。若“生产”数据的经营者能够获得强有力的排他性权利，其才有动力继续向网络用户提供优秀的互联网产品和服务，因为只有出色的产品或服务才能吸引用户继续使用，也才能掌握数据。但是考虑到我国互联网行业集中度较高，海量数据被少数互联网大型企业所控制，这本身就增加了其他企业，特别是中小互联网企业获得足够数据的难度。开放才能带来创新，从避免数据成为进入大数据产业的实质性壁垒的角度出发，对《意见稿》中的“企业数据权”进行调整是有必要的。可以考虑借鉴GDPR不再设置“企业数据权”，从而将企业间的数据竞争问题仍然交由竞争法来处理，也可以考虑借鉴欧美经验，设置一套以促进信息流动与共享为底色、详细的数据竞争的行为规则。通过设计详细具体的行为规范，而非赋予企业宽泛、概括的权利来建构数据保护制度，应当是实现保护经营者近期经济利益与远期创新利益平衡的可靠路径。

（作者系深圳大学法学院助理教授）

编辑 李怡天