大数据权利之争：对不起，你的数据属于你，但我们有权使用

「中国的《个人信息保护法》草案十年前就已呈交国务院审议，但至今仍未被提上立法日程。在立法缺位，政府和互联网巨头在数据领域大肆“圈地”之时，你能否保护自己的数据？」

端传媒记者 吴婧 发自北京

在这个每个人都变成了流动数据库的世界，每个行为都会被记录、共享。但是，当大数据渗透你在社会、生活的每一个角落时，这些我们产生的数据属于谁？政府和企业有权使用、甚至对它们进行交易吗？我们有没有权利对这一切 say no？图为2017年中国国际大数据产业博览会在贵阳举行。摄：Lintao Zhang/Getty Images

上个月，深圳交警的“行人过马路闯红灯曝光台”在中国社交媒体上刷屏。这套系统透过人脸识别技术，利用安装在各个路口的摄像头，抓拍闯红灯的行人，并将其姓名、照片等个人信息发布在路口大屏幕和官方网站上。“曝光台”最初仅对闯红灯者的身份证号进行了处理——隐去中间几位，直到在网上引起巨大争议后，才将当事人的姓名和照片进行匿名处理。据深圳新闻网报导，这套抓拍系统未来还可对接公安系统常住人口库、个人征信系统等。

几乎同一时间，中国国家发展改革委员会（发改委）上公布了两则通知，要求从5月1日起，禁止“特定严重失信人”在最长一年的时间里搭乘飞机或火车。而要成为“特定严重失信人”并不难，在火车上吸烟、随身携带管制物品、具备能力缴纳社会保险费但拒不缴纳、在证券期货交易活动中违法等，都有可能被入“黑名单”。发展改革委员会副主任张勇对媒体表示，截至3月6日，已限制900多万人次购机票、300多万人次买火车票。

这是中国官方酝酿多时的“社会信用系统”第一次大范围付诸实践。但早在2015年，蚂蚁金服（互联网巨头阿里巴巴的关联公司）旗下的芝麻信用、腾讯征信等八家机构早已开始试水个人征信业务。以芝麻信用为例，它会依据用户的个人信息，购买、支付、转账行为，甚至帐号中有多少好友、他们的消费行为等给用户打分，分数高者可享受租车免押金等福利。

自2014年国务院出台《社会信用体系建设规划纲要（2014-2020年》以来，全国信用信息共享平台已和44个部门、所有省区市（指省、自治区、直辖市）以及60多家市场机构建立了互联互通。在这个体系里，每个人都变成了流动的数据库，每个行为都会被记录、共享。但是，当大数据渗透你在社会、生活的每一个角落时，尚有几个基本问题没有被回答：这些我们产生的数据属于谁？政府和企业有权使用、甚至对它们进行交易吗？我们有没有权利对这一切 say no？

早在2015年，蚂蚁金服旗下的芝麻信用、腾讯征信等八家机构早已开始试水个人征信业务。以芝麻信用为例，它会依据用户的个人信息、消费行为等给用户打分，分数高者可享受租车免押金等福利。摄：Zhang Peng/LightRocket via Getty Images

你的数据真的属于你吗？

2017年，通信巨头华为发布新款智能手机“荣耀 Magic”，可根据微信聊天内容自动加载地址、天气、电影信息等信息。此举惹恼了微信开发商腾讯，他们指责华为使用属于微信的“用户数据”，侵犯用户隐私；华为则认为，所有数据都属于用户，厂商在经过用户同意后便可使用。双方各执一词，互不让步，最后由主管通讯的工业与信息化部介入调停后，这一风波才得以平息。

这已经不是互联网业内“大佬们”第一次围绕数据展开争夺了，但和以往每次纷争一样，产生这些数据的用户群体再次失语。

那么，用户对自己的数据到底有没有话语权？换句话说，数据是否归用户所有？回答这一问题的前提，是从法律角度确定数据权利，即“数据确权”。首当其冲的问题：应该将数据划到哪个范畴去理解？它是一种财产权吗？是否具有人格属性？

尽管大数据被提至国家战略高度、各地数据交易平台迭出，但中国至今未有界定数据所有权的法律。

学界和业界纷纷呼吁尽早立法，相关研究颇多，但至今未形成统一看法。一些学者认为，数据权利应属于人格权，因为数据中包含姓名、肖像等个人信息；还有学者认为，数据属于财产权，因为数据及其衍生产品正在各类平台上被交易并产生收益。亦有学者指出，应把数据放入知识产权（Intellectual Property，又名智慧产权）的框架去理解和保护。

中国政法大学互联网金融法律研究院院长李爱君三年前开始研究数据权利相关的法律问题，并就中国制定《大数据法》立法体系提出建议。在她看来，数据是一种新型的财产权利，包含三重“身份”：财产权、人格权和国家主权。李爱君对端传媒表示，数据可能同时具有上述三种权利属性，也可能只有其中一种或两种。

当我们谈论“数据确权”时，我们在谈论什么？端传媒设计部

除了较容易理解的财产权和人格权，什么叫数据的国家主权？李爱君举了个例子：一个人的基因数据属于个人，但一个区域内所有人的基因数据就涉及国家主权，因为一旦获取这些数据，即有可能基于此制造出生化武器等。

中国互联网产业的勃兴，让国家主权的概念逐渐从实体走向虚拟世界。近几年，学界和官媒纷纷强调数据的国家主权属性，强调其对国家安全的重要意义。早在2013年，《解放军报》便提出“大数据战”时代需紧握“数据主权”；中共中央机关刊物《红旗文稿》去年也发表文章《在全球数据洪流中捍卫国家数据主权安全》，对英国脱欧公投、特朗普竞选中使用的数据画像分析行为表达忧虑，“倘若不能提供相应的安全保障，数据越开放，国家安全所面临的潜在风险越高。”

跨境数据流动极大地冲击了领土、领海、领空在物理空间所建构的安全区域。

“我们正在建议出台一个数据跨境转移的征求管理办法，个人数据要跨境转移，必须征求个人同意，如果达到50条，必须经过相关行业主管部门评估，之后报国家网信办评估。”李爱君介绍，美国、欧盟都有类似的针对大数据跨境转移的限制。

当然，防止数据外流最简单的方法是将数据储存在境内的服务器上。这一思路在2017年6月起实施的《网络安全法》中得到体现，该法37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”其中，“关键信息基础设施”指提供公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等服务的设施，包括网站、App、云平台、工业控制系统等。

有声音质疑这一规定将影响信息自由流动。对此，国家网信办网络安全协调局局长赵泽良回应指，加强个人信息和重要信息的保护已是各国共识。基于这种认识，中国立法明确，除非确实必要，个人信息和重要数据不应流出境外。

国家数据主权，指的是一个国家对本国数据享有的最高排他权利，即独立自主占有、处理和管理本国数据并排除他国和其他组织干预的国家最高权力。

“多数西方学者提到的数据主权多指个人数据主权，而中国学者主要强调国家数据主权，”杜雁芸在《大数据时代国家数据主权问题研究》中写道，在中国的语境下，两种权利的关系可以表述为：“个人数据主权只能置于国家数据主权的框架下、在国家数据主权的范围内运作。”

李爱君认为，在国家安全的名义下，数据的国家主权属性高于人格权和财产权。“但什么是国家安全，界定就很复杂了，一定要界定好，以防对公民自由的妨碍。”摄：Wang Zhao/AFP/Getty Images

《网络安全法》实施后，跨国互联网企业相继将中国用户数据迁至境内。今年2月28日起，苹果公司将中国内地用户的 iCloud 服务交由中国互联网服务公司“云上贵州”运营，相关数据也将迁至该公司的服务器；云端笔记与存储应用 Evernote 亦宣布将中国本土用户的数据迁至腾讯云。

李爱君认为，在国家安全的名义下，数据的国家主权属性高于人格权和财产权。“但什么是国家安全，界定就很复杂了，一定要界定好，以防对公民自由的妨碍。”

那么，谁来规范数据的国家主权、以防其被滥用？目前看来并无太多有效方法，本文将在后面一个章节进一步讨论。除此之外，还有很大一部分数据正被不清不楚地使用。比如，你的消费或出行记录，在匿名化处理之后，它们既不涉及你的人格权，也无关国家主权，却被企业和政府搜集、使用、甚至出售。

一个特殊现象由此出现——你制造了这些数据，但使用它们的人不是你。

数据共享的本质：使用权大于所有权

当你在购物网站输入“音箱”两个字后，你的搜索行为会被后台记录，以至于你下次登入该平台时，页面会自动推荐音箱及相关产品；当许多人同时打开网约车 App 时，滴滴或 Uber 便可得知该时段是用户使用其软件的高峰期，用涨价或奖励司机等措施来保证平台运行。

在上述事件中，你制造了浏览音箱或使用网约车的行为数据，它们归你所有，但使用这些数据的却是平台。也就是说，数据的所有权与使用权是分离的。这在传统的财产权概念中并不常见，通常，一个东西如果是你的财产，当然是你来使用。比如你拥有一本书，你可以阅读它、把它垫在桌脚下、甚至撕毁它。

数据是否归用户所有？回答这一问题的前提，是从法律角度确定数据权利，即“数据确权”。而“数据确权”首当其冲的问题：应该将数据划到哪个范畴去理解？它究竟是一种财产，还是具有人格属性？摄：Imagine China

但数据不一样。绝大多数个体用户不会使用它，而仅仅把海量数据汇聚在一起，亦没什么价值可言。恰恰是平台在收集到这些数据后，进行整理、加工，提炼出数据的价值。因此，平台运营商们认为，他们理应可以使用这些数据，更何况，用户还享受了平台提供的通讯、订酒店、实时交通状况等免费服务。但在绝大多数时候，用户群体既没有渠道去表达看法，也几乎没有选择的机会——如果不接受服务提供商的协议，那只能放弃使用服务。

于是，在数据产权不清、法律尚无定论的情况下，一种“天下太平”的“分割方法”在行业中被默认：首先，与用户身份特征（姓名、肖像、身份证等）、行为特征有关的数据（搜索记录、移动支付记录等）归用户所有，平台不能出售或转让（但不少平台在使用，比如根据你的搜索记录推送广告）；与此同时，用户的消费数据、使用各类App的数据，在经过脱敏、脱密处理后，被视为平台所有。

中国的数据权利分配现状。端传媒设计部

这更像一个权宜之计。其背后的逻辑是：在数据权属异常复杂的情况下，保证数据的使用和流通，才能提升社会资源的利用效率、帮助企业创造更多价值。它同时也突显出了数据共享中的吊诡逻辑：使用权大于所有权。

个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

但什么是可识别出个人身份的数据呢？随著网络行为日渐丰富和技术的不断提高，这类数据的边界也在不断延展。比如，通过搜集散落在各个平台的个人数据，再进行匹配，是否就能确定一个人的身份？

早在上世纪90年代，麻省理工大学的教授 Sweeney 就曾通过脱敏后的数据中的性别、出生日期和邮编等信息，同一份公开的投票人名单进行匹配，成功破解了马萨诸塞州政府雇员的医疗数据，能够看到具体某个人的医疗记录；2006年，AOL（美国在线公司）为提升搜索技术，公布了超过65万用户三个月内的搜索记录，用户帐户用一个随机数代替，《纽约时报》随后成功将部分数据去匿名化，并公开了其中一名用户的真实身份，AOL 也因此被起诉。

中国政法大学资本金融研究院教授武长海在接受端传媒采访时表示，简单将数据分为个人信息和脱敏数据很难真正保护用户隐私，因为现代技术已经可以还原已脱敏数据，他因此提出了数据权利的三分法。

数据权利的“三分法”。端传媒设计部

但是，无论学者多么积极地为数据确权出谋划策，在所有行业和整个国家都在追逐大数据带来的决策效益时，平台搜集、使用数据的行为早已成为一个不断膨胀、界限模糊的灰色地带。

用隐私换方便，你真的愿意吗？

2018年初，支付宝年度账单又一次刷爆朋友圈，这个阿里旗下的支付平台为每位用户总结了其2017年的消费记录，但很少有人注意到，在年度账单首页入口处，有一行特别不起眼的小字：“我同意《芝麻服务协议》”，小字前面的选择框，已经打好了勾。而同意这份协议，意味着你同意芝麻信用搜集你的信息并可提供给第三方。

虽然《网络安全法》明确要求平台不得收集与其提供的服务无关的个人信息，但在没有严格监管的环境里，即使像支付宝、百度贴吧这样的大平台，也经常在打擦边球。例如，当用户安装百度贴吧的 App 时，它会请求开启摄影头、启用录音、读取位置信息、读取通话记录等多项隐私权限。

南都个人信息保护研究中心今年年初对100款App测评发现，绝大多数 App 都是“默认勾选”同意企业用户协议和隐私政策，只有11款合乎法规的“明示同意”；该中心又对200款移动金融交互类 App 进行测评，仅有5款App能够达到隐私政策合规程度“较高”的标准，而合规程度“较低”和“低”的APP共有182款，超过总数的90%。更可怕的发现是，大多数 App 的隐私条款都包括以下3条：

平台可以将你的信息分享给第三方；

平台可以利用你的个人资料进行推广、促销等工作；

平台会根据行业标准惯例保护你的个人资料，但鉴于技术限制，不能确保不会泄露。

百度的董事长兼CEO李彦宏在出席一论坛时表示，中国网民“相对开放”，对隐私不敏感，多数情况下愿意用隐私交换便捷和效率。摄：Imagine China

3月26日，百度 CEO 李彦宏在中国发展高层论坛上发言：“我想中国人可以更加开放，对隐私问题没有那么敏感，如果他们愿意用隐私交换便捷性，很多情况下他们是愿意的，那我们就可以用数据做一些事情。”

这番话在网上引发众怒，但事实上，大多数用户的确不会阅读又长又绕的隐私条款。2017年，中国政法大学对14205人进行调查发现，“一定会读”和“经常阅读”隐私条款的用户不到总人数的25%。

所有这一切，都令用户对数据的所有权很像一身“皇帝的新衣”。

“国外在个人数据保护的时候，并不赋予主体什么所有权，（因为）数据客体很特殊，赋予数据主体所有权无法实现其保护价值，”李爱君说，“他们设置了很多具体权利。”在欧盟及其各国立法中，这些具体权利包括知情权、更正权、求偿权、被遗忘权等

2014年，西班牙公民冈萨雷斯（Costeja Gonzalez）向西班牙数据保护机构提起诉讼。他在使用 谷歌（Google）检索自己的名字时，发现《先锋报》（La Vanguardia）多年前一篇关于自己因税务问题被迫拍卖房屋的报导。他于是要求《先锋报》移除报导、谷歌删除相关搜索结果，理由是该信息已过时，自己早已还清债务。西班牙数据保护机构驳回了他对《先锋报》的要求，但批准其对谷歌的申请。谷歌遂提起诉讼，案件最终交由欧盟法院受理。法院判令谷歌删除该内容。法官在判决中陈述道：“个人有权请求删除指向‘不适当、无关或不再相关的’个人数据的搜索结果，即便信息是被合法公布的，除非存在继续留存信息的法定事由”。

这宗案件被称为“被遗忘权第一案”。此后，谷歌向所有用户发出电邮告知权利。今年3月初，谷歌首次披露了其履行欧盟“被遗忘权”法例的情况：从2014年至2017年，谷歌共收到240条要求删除搜寻结果的申请，公司只接受了其中的43%，其中1/3涉及地址、电话、社交网络记录等个人信息，20%涉及例如犯案记录的法律内容。

2014年，西班牙公民冈萨雷斯（Costeja Gonzalez）起诉要求《先锋报》移除报导、谷歌删除相关搜索结果，理由是该信息已过时。西班牙数据保护机构驳回了他对《先锋报》的要求，但批准其对谷歌的申请。谷歌遂提起诉讼，案件最终交由欧盟法院受理。法院最终判令谷歌删除该内容。摄：Jose Luis Roca/AFP/Getty Images

美国加州也有“橡皮擦法案”，要求 Facebook、Twitter、Google 等在内的互联网巨头允许未成年人擦除自己曾经的上网痕迹，以避免年少无知时的行为给未来的工作生活带来困扰。

中国的《网络安全法》43条也有类似规定：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”

更进一步的讨论是，当平台利用用户数据优化产品、提高收益或交易用户数据时，用户能否从中分一杯羹？尽管欧盟的相关法律中明确规定了“求偿权”，但目前主要还停留在抽象概念的阶段，实践中鲜有涉及。资深数据科学家（Data Scientist）刘鹏认为，用户理应从数据交易中获利，只有这样，才能鼓励用户在日后继续分享数据。

一些平台已经开始思考这个问题了。2017年，IBM 首席执行官罗睿兰（Ginni Rometty）与欧盟委员会、欧洲议会的成员会面，公布了一套用于提高科技巨头受信任程度的数据原则和实践，承诺永远不会将客户数据交给任何国家的政府监控计划，还承诺客户不仅对终端数据享有权利，也对任何源自终端数据算法的“学习成果”享有权利。

不过，此刻讨论收益更像是个奢侈的幻想。当下，我们的数据不但被各类平台疯狂收集和使用，更被政府以“国家安全”之名无度搜刮。回到最初的问题，在数据权属本就混乱不堪的情况下，谁来约束政府收集数据的行为呢？

上月深圳交警的“行人过马路闯红灯曝光台”透过人脸识别技术，利用安装在各个路口的摄像头，抓拍闯红灯的行人，公示违反交通规则的行人部分信息。在网上引起巨大争议。图为一套人工智能闭路电视系统展览。摄：Stanley Leung/端传媒

“老大哥”在盯着你的个人数据

1983年，德国颁布《联邦人口调查法》，要求公民提供基本个人信息，以及收入来源、职业、教育背景、工作时长、交通方式等信息。该法还授权将这些数据移交地方政府，以帮助其进行区域规划等。

法令颁布后，被一百多位公民提起诉讼，德国联邦宪法法院后判令临时中止《联邦人口调查法》的实施，并要求议会修正其中一些规定，防止在储存、使用和转移个人信息过程中的权力滥用。一个概念由此被提出——“信息自决权”。

在判决中，宪法法院重申了德国《基本法》建立的秩序核心是个人的价值和尊严，主要体现为“自由的自主决定”。在信息时代，这种“自主决定”包括了个人有权决定何时、在何种限度内披露个人资料。法院认为，在技术的帮助下，个人信息可以和其他数据相结合，形成一个人的完整个性轮廓。在这一过程中，个人没有办法控制自己的信息被如何使用。

当然，“信息自决权”并未被绝对化。宪法法院指出，为了迫切的公共利益，如果某些信息对政府计划确有必要，公民有责任回答。但为了防止政府以此为借口侵犯公民权利，法院在判决中明确列出了国家使用权利的具体条件，包括：目的明确、收集来的数据不得用于该目的之外等等。“信息自决权”由此成为德国个人信息保护的宪法基础。

2003年，在信息自决的概念下，德国对1977年颁布的《联邦个人资料保护法》进行大幅修改，延展了个人信息的概念：包含所有能够直接或间接识别个人身份的信息，而并不仅限于具有敏感性、私密性的隐私信息。

由于存在数据处理和联系的可能，因此，无论数据使用条件如何，都不存在毫无意义的个人信息。

目前，全球已有近90个国家和地区制定了个人信息保护的法律。早在2003年，中国国务院信息化工作办公室（编注：该办公室已于2008年撤销）就委托相关专家著手起草《个人信息保护法》，8万字的专家建议稿随即在两年后完成，2008年，草案呈交国务院审议。但10年过去了，《个人信息保护法》仍未出台，尽管每年两会都有人大代表呼吁尽快出台该法，学界和媒体的呼声更是此起彼伏，但这部法律仍未被列入全国人大的立法日程。

重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民曾对媒体表示，《个人信息保护法》“难产”的原因之一是涉及面太广、涉及的管理部门和行业太多，“对国家机关和非国家机关都产生约束作用”，而且“不同类型的个人信息分散在不同的国家机关手中，掌握在不同的电子商务平台服务器里，涉及到不同性质的管理部门和几乎全部的行业。”

中国政法大学教授赵宏亦在《信息自决权在我国的保护现状及其立法趋势前瞻》（下称《前瞻》）一文中指出，学者就《个人信息保护法》应该定位于行政法还是民法框架下产生严重分歧。而一旦被定位为民法，政府则仍游离于该法的约束范围外。

相比之下，以德国为代表的欧盟国家，其个人信息保护法都是先从规范和限制政府搜集、使用数据开始，之后才慢慢拓展至私人机构。

但是，“政府机构才是数据处理的‘老大哥’，”赵宏在《前瞻》中无不担忧地指出，“因为城市化的疾速发展，为控制社会稳定、打击犯罪、强化治安等目的，我国政府早已开始大量采集公民个人信息，而身份登记、视频监控、实名注册等管理手段也开始越来越多地充斥于我们的生活。政府所拥有的信息处理技术，已使这些个人信息极有可能被迅速整合，并由此完整描摹出个人图像和个人行踪。”

赵宏在《前瞻》中指出，“政府早已开始大量采集公民个人信息，而身份登记、视频监控、实名注册等管理手段也开始越来越多地充斥于我们的生活。政府所拥有的信息处理技术，已使这些个人信息极有可能被迅速整合，并由此完整描摹出个人图像和个人行踪。”摄：Johannes Eisele/AFP/Getty Images

3月底，Airbnb 向在该平台提供房源的中国房东发了一封电邮，称为了遵守相关法律法规要求，将向政府披露房东的信息，且不再进一步通知房东。披露的信息包括创建用户时填写的所有个人资料、身份证信息、银行账户、位置、与平台其他用户的聊天记录、导入的手机通讯录等。Airbnb 指出，如果房东有疑虑，可以选择下架房源。

但是，作为数据所有者的我们，真的有选择权吗？即使退出一个平台，我们的数据仍会在其他平台继续“裸奔”。从深圳交警“行人过马路闯红灯曝光台”，到“社会信用系统”，“天罗地网”似乎已细细密密地编织好了。

小贴士：如何保护你的个人数据？

1、使用浏览器的“私密浏览”（Private Browsing，又名无痕浏览）模式浏览网站；在移动端，可以使用注重隐私保护、防止行为追踪的浏览器，例如 Firefox Focus。

2、不在未经 SSL 加密的网站上（即以 HTTP 开头，而非 HTTPS 开头的网站上）填入任何个人信息/敏感信息。在 HTTP 通讯协议下，一旦你的数据被拦截，将会明文显示在黑客面前。

3、使用有端对端加密技术（end-to-end encryption）的通讯工具，例如 Telegram、WhatsApp、Signal 和 iMessage 等，避免应用运营商、互联网服务提供商等第三方获取你的通讯内容。

4、使用注重隐私保护的搜索引擎，例如 DuckDuckGo。

5、尽量不要使用公共场所提供的 Wi-Fi，如果一定要使用，记得开启经加密的 VPN（例如 L2TP IPSec/IKEv2/SSTP VPN），确保经由该 Wi-Fi 传输的数据都经过加密。

6、如果你是中国大陆区的苹果用户，又不很信任“云上贵州”的话，可以将你的 Apple ID 转移到其他国家/地区。

7、定期检查你社交媒体的隐私设置，及时管理授权访问你数据的第三方应用。

8、仔细检查每个手机应用的权限设置，及时关闭可疑权限。

9、不要将个人敏感信息（真实姓名、手机号、身份证号、家庭住址以及个人真实照片等）公布在网上，它们随时可能被程序抓取后又被贩卖。

10、包含个人信息的快递单、刷卡POS单、银行业务回执单等不要随手丢弃，要进行敏感信息消除处理后再丢弃。

11、访问“安全工具箱”（Security In-a-box），了解更多的数据安全指引。