进入“无人区” 大数据法治要创“中国规则”（2）

法治要跟上大数据的脚步

王渝伟认为，造成“有规定但难落实”情况的主要原因还在于，大数据产业出现的种种新问题，相应的法律规定总是难以跟上，诸如服务终止后数据是否应删除这类细节问题并没有相应的规定，而且执法机构也不见得具备相应的执法和审查能力。

在高富平看来，如何获取个人数据和信息一直是困扰包括芝麻信用在内的许多公司的难题。“该事件说明，规范个人数据流通行为，为个人数据流通使用提供清晰的规则已迫在眉睫了。”

事实上，中国在数据流通利用与个人信息保护之间已有了制度安排。2017年6月1日，《网络安全法》和最高人民法院、最高人民检察院发布的司法解释同日实施，首次对侵犯公民个人信息的行为和适用法律进行了进一步的明晰，对网络运营者的网络安全管理义务做了详细规定，同时也设立了个人信息和重要数据本地化存储和跨境传输安全评估制度。

但在业内看来，目前的制度安排仍有不足。在具体实践中，许多平台的违规行为不易判断、缺乏证据，个人用户很难维权，因此公益诉讼成了当前为数不多的应对办法。

2017年12月11日，江苏省消费者权益保护委员会对北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。2018年1月2日，南京市中级人民法院立案。

此前，江苏省消保委对27家手机App开发企业的调查发现，普遍存在侵犯消费者个人信息安全的问题，并向其发送约谈函，百度也在被约谈之列。约谈后，江苏省消保委认为“手机百度”“百度浏览器”两款手机App中“监听电话”“读取短彩信”“读取联系人”等涉及消费者个人信息安全的相关权限拒不整改，因而，其向百度提起公益诉讼。

制度安排的不健全是维权难的原因之一。北京师范大学法学院教授刘德良认为，当前关于数据法治的制度安排太过重视事前的授权同意，对事中事后的监督不够重视。

“如果商家收集、交易的个人数据不能识别用户个人隐私信息，这其实是可以允许的，否则法律应该打击，事后的处理其实更急迫。”刘德良建议，关于数据合规流通和个人信息保护的制度安排应该转变思路，在事后的个人信息违法滥用上发力。“电话号码、银行账号被泄露出去其实不要紧，要紧的是不能被滥用，对个人形成骚扰。”

重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民表示，在个人信息保护方面，定罪量刑中“个人信息的数量”如何界定是司法实务界面临的难题；在数据合规流通方面，关于个人信息保护的法律规范虽然很多，但还存在效力层级低、分散保护等问题。

我国的数据法规制度学习的是欧盟模式，强调保护个人信息，但这类模式也存在一定争议。刘德良认为，这种立法和理论模式将个人信息、个人隐私和个人数据的概念混同，看似很注重保护用户利益，但由于缺乏可操作性而在客观上不利于用户利益，也不利于大数据产业的发展。

作为长期关注大数据行业的律师，王渝伟注意到，近年来数据流通和个人信息保护之间的冲突案例越来越多，而其中有很多是欧盟模式或美国模式所难以涵盖的。在他看来，我国大数据领域的法规建设和技术开发一样，一定程度上都进入了“无人区”，“很多问题不见得国外就有很好的借鉴案例，还需要我们自己探索”。

高富平也表示，国际社会有关个人信息保护的规则大致形成于30年前的前互联网时代，当时大数据尚未流行。而在个人数据的使用场景、使用方式均发现巨大变化的今天，制度安排需要改变。“我们不需要移植过时的保护规则，而是需要适应大数据时代的特点和社会需要，创制中国的规则。”