在數(shù)據(jù)保護(hù)中，除了數(shù)據(jù)不被濫用、不被泄露和不被篡改這三個(gè)基本原則之外，還有兩條最基本的原則，即同意和透明。

我想從六個(gè)方面，對數(shù)據(jù)保護(hù)的一般原則與發(fā)展規(guī)律進(jìn)行簡單介紹。

數(shù)據(jù)保護(hù)的目標(biāo)

為什么要保護(hù)數(shù)據(jù)？保護(hù)數(shù)據(jù)要走向怎樣的目的地？其實(shí)，全世界的數(shù)據(jù)保護(hù)的目標(biāo)是一致的，即數(shù)據(jù)不被濫用、不被篡改、不被泄露，這三點(diǎn)是信息安全和數(shù)據(jù)保護(hù)最根本的事情。同時(shí)，我們也要保護(hù)與數(shù)據(jù)保護(hù)相關(guān)各方的基本權(quán)利，即所有權(quán)、處置權(quán)、財(cái)產(chǎn)權(quán)、知情權(quán)，在保護(hù)過程中要平衡利益。

所謂所有權(quán)，我們今天講的數(shù)據(jù)保護(hù)，其特定對象是個(gè)人數(shù)據(jù)保護(hù)，要保護(hù)的是個(gè)人的數(shù)據(jù)權(quán)利。GDPR出臺以后，執(zhí)法、罰款引起了很大的轟動，同時(shí)數(shù)據(jù)保護(hù)得到了大家更多的關(guān)注，但我們要看到數(shù)據(jù)保護(hù)的全局，數(shù)據(jù)保護(hù)主體不僅是個(gè)人，還包括機(jī)構(gòu)和國家。

所謂處置權(quán)，在DPA和GDPR中屬于控制者和處理者，他們是指對數(shù)據(jù)處置的權(quán)力，數(shù)據(jù)主體同樣有處置權(quán)，在GDPR法律中并未提及這方面。

所謂財(cái)產(chǎn)權(quán)，在DPA和GDPR中也沒有提及財(cái)產(chǎn)權(quán)，但數(shù)據(jù)是資產(chǎn)，在數(shù)據(jù)交易時(shí)顯然有財(cái)產(chǎn)權(quán)，所以DPA和GDPR在個(gè)人數(shù)據(jù)保護(hù)上是有缺口的，且缺口很大。

知情權(quán)指兩個(gè)方向：一是數(shù)據(jù)具有處置權(quán)利的主體要公開先告知數(shù)據(jù)主體獲取數(shù)據(jù)的目的，對于被獲取的對象有權(quán)利了解目的和處置。

最后來說利益平衡。實(shí)際上，個(gè)人數(shù)據(jù)的保護(hù)是有約束的，當(dāng)與國家利益發(fā)生沖突時(shí)，個(gè)人利益必然要往后放。例如天網(wǎng)系統(tǒng)，在個(gè)人未知的情況下，收集很多個(gè)人照片與數(shù)據(jù)，雖未告知本人但他必須要用，因?yàn)閷煌ㄟ`規(guī)、追捕逃犯是必不可少的。所以，并不是個(gè)人數(shù)據(jù)、個(gè)人隱私是如此的神圣，它是利益平衡的關(guān)系。

數(shù)據(jù)保護(hù)的對象

DPA和GDPR針對的是個(gè)人數(shù)據(jù)，但數(shù)據(jù)的主體不僅是個(gè)人主體，還包括政府、個(gè)人、企業(yè)，甚者擴(kuò)展到法人，所有機(jī)構(gòu)都是數(shù)據(jù)保護(hù)的對象。國家、企業(yè)、個(gè)人這三者在進(jìn)行數(shù)據(jù)保護(hù)時(shí)是不能偏頗的。

而且，數(shù)據(jù)主體一定不能局限在個(gè)人、自然人的范疇內(nèi)，而是政府、個(gè)人和企業(yè)。在數(shù)據(jù)保護(hù)的過程中，這三種類型也是不同的。

政府信息有三種狀態(tài)：第一種是不能讓別人了解的，這是國家機(jī)密。第二種是公開的，大家都可以了解，公開有兩種方式，一是在政府機(jī)構(gòu)門戶網(wǎng)站主動公開；二是依法申請公開，首先申請感興趣的信息，然后政府相應(yīng)部門決定是否給予反饋。第三類信息是處于兩者之間，無論是電子版還是紙質(zhì)版信息，其中一部分是要公開的，另一部分是敏感的，或是只能在特定時(shí)間后公開。這類信息必須經(jīng)過處理后才能決定是否公開?？傊瑪?shù)據(jù)保護(hù)最根本的是不被篡改、不被泄露、不被濫用，按照不同類型進(jìn)行保護(hù)。

企業(yè)信息也分為三種：第一種是希望別人了解、宣傳的。第二種是不能讓人了解的，是商業(yè)秘密。很多企業(yè)的知識產(chǎn)權(quán)或技術(shù)是不申請專利的，因?yàn)樯暾垖＠麆e人就可以用，從專利的申請文本中了解其過程。例如，康寧公司是做玻璃的，他的主要技術(shù)是不申請專利的，由于未申請專利，沒有泄露技術(shù)與工藝，如果有人采用相同的工藝生產(chǎn)，他是有權(quán)利起訴的，他認(rèn)為你竊取了他的商業(yè)秘密。第三種與政府相同，在一定的業(yè)務(wù)系統(tǒng)、客戶關(guān)系中，或在一定場景下可以公開，另一些場景下不可公開。

數(shù)據(jù)保護(hù)的主體

在數(shù)據(jù)保護(hù)的過程中有三類主體：一是數(shù)據(jù)主體，是數(shù)據(jù)的擁有者；二是控制者，盡管是你的數(shù)據(jù)，但數(shù)據(jù)由別人管控，與在GDPR和DPA中的概念是相同的，所謂的控制是指，例如公安部門的戶籍?dāng)?shù)據(jù)、醫(yī)院的個(gè)人健康數(shù)據(jù)、學(xué)校的個(gè)人教育數(shù)據(jù)，這些都是實(shí)際信息的控制者；三是信息處理者，數(shù)據(jù)的主體控制者委托個(gè)人或機(jī)構(gòu)來進(jìn)行處理數(shù)據(jù)。以上三個(gè)方面都是針對權(quán)利義務(wù)的統(tǒng)一，三方都承擔(dān)著相應(yīng)的責(zé)任、權(quán)利和義務(wù)，而不是只擁有權(quán)利而不承擔(dān)責(zé)任和義務(wù)。對于個(gè)人隱私，不僅個(gè)人的數(shù)據(jù)需要保護(hù)，個(gè)人同樣要承擔(dān)相應(yīng)的責(zé)任和義務(wù)。所謂的義務(wù)，是指為了國家利益、社會安全采集數(shù)據(jù)時(shí)，必須要給，這是你的義務(wù)。當(dāng)然，你有權(quán)利了解數(shù)據(jù)的采集目的和實(shí)際作用，這是你的權(quán)利。

三個(gè)主體都是責(zé)任、權(quán)利、義務(wù)的承擔(dān)者。其實(shí)，數(shù)據(jù)控制者的責(zé)任很大，因?yàn)樵诳刂茢?shù)據(jù)的全過程中，要保證數(shù)據(jù)委托給第三方處理時(shí)不被泄露、不被濫用、不被篡改，要擔(dān)負(fù)這三方面的責(zé)任。當(dāng)我們手中有數(shù)據(jù)時(shí)，需要肩負(fù)起這三個(gè)責(zé)任，數(shù)據(jù)為王，扛起了責(zé)任才為王，否則數(shù)據(jù)會把你從王座上拉下來。目前，在所有的主體之中，數(shù)據(jù)控制者對責(zé)任的認(rèn)知不清，是其中最主要的矛盾，同時(shí)也存在個(gè)人對自己的權(quán)利維護(hù)不足的問題。

數(shù)據(jù)保護(hù)的要素

我必須重申一下，數(shù)據(jù)保護(hù)不僅是法律，法律條文的確立是最容易的，執(zhí)法比條文確立要重要得多。如果要實(shí)施GDPR，真正按照法律條文執(zhí)行，其難度之大遠(yuǎn)超出所有人想象。今天，數(shù)據(jù)的存在形態(tài)、處理方式、流動方式以及由于利益關(guān)系造成的各種障礙，使得執(zhí)法難度非常大。法律是重要的，否則沒有遵循的依據(jù)，但法律條文出臺后還要執(zhí)法，要有技術(shù)和制度的保證。要保證數(shù)據(jù)不被篡改、不被濫用、不被泄露，需要采用技術(shù)的手段來保護(hù)。關(guān)于技術(shù)主要有兩個(gè)對應(yīng)：保護(hù)和攻擊。沒有保護(hù)的技術(shù)面臨攻擊，制度和法律再好也是無用的。

數(shù)據(jù)保護(hù)的平衡

法律在一定范疇之內(nèi)，要遵循，要通過制度落實(shí)執(zhí)法。不僅要有各個(gè)機(jī)構(gòu)的制度，還要有范圍更廣的制度，通過制度將保護(hù)的要求全面落實(shí)，數(shù)據(jù)保護(hù)是利益平衡的結(jié)果。法律是國家利益的集中代表，不能超然于國家利益之上。所以，法律是利益平衡的結(jié)果，幾乎所有的法律都是利益平衡的結(jié)果。各個(gè)方面都是需要平衡的，責(zé)任、權(quán)利、利益要平衡；在利益上，國家、機(jī)構(gòu)和個(gè)人要平衡；在要素上，技術(shù)、制度和法律要平衡。

數(shù)據(jù)保護(hù)的發(fā)展

當(dāng)我們說GDPR是史上最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)法規(guī)時(shí)，實(shí)際上，1995年歐盟通過的DPA也是當(dāng)時(shí)全世界個(gè)人數(shù)據(jù)保護(hù)最嚴(yán)厲的法令。當(dāng)時(shí)，與專家交流澳門大數(shù)據(jù)發(fā)展時(shí)，其最大優(yōu)勢是澳門的數(shù)據(jù)保護(hù)是遵循歐盟法律的，是隨著技術(shù)的發(fā)展，數(shù)據(jù)產(chǎn)生、保管、流動、使用的發(fā)展和認(rèn)識的發(fā)展，而不斷變化發(fā)展，而非一成不變，就像道和魔的發(fā)展永遠(yuǎn)是此消彼漲的過程，在不斷地發(fā)展過程中來提升。

以上是我要分享的六個(gè)方面，只是構(gòu)建了一個(gè)基本框架。在數(shù)據(jù)保護(hù)中，除了數(shù)據(jù)不被濫用、不被泄露和不被篡改這三個(gè)基本原則之外，還有兩條最基本的原則，即同意和透明。所謂同意是需要數(shù)據(jù)的主體知曉，無論數(shù)據(jù)主體是國家機(jī)構(gòu)還是個(gè)人，在處置信息時(shí)必須征得主體同意。不僅對于個(gè)人數(shù)據(jù)保護(hù)，其他數(shù)據(jù)也是相同的，使用數(shù)據(jù)時(shí)，要與企業(yè)或國家立下保密條款。所以，數(shù)據(jù)主體的數(shù)據(jù)無論怎么用、誰用，使用時(shí)都要征得數(shù)據(jù)主體同意。所謂透明，是要讓數(shù)據(jù)的目的和處理方式透明化，無論是控制者、處理者還是主體，都是應(yīng)該了解的。

以上關(guān)鍵詞構(gòu)成了數(shù)據(jù)保護(hù)最基本的原則框架，要在其中找到平衡點(diǎn)，找到當(dāng)前的發(fā)展階段，找到當(dāng)前的國家利益，那么相應(yīng)的法律和措施會隨之發(fā)展而出現(xiàn)。

（根據(jù)楊學(xué)山在“第七屆中國大數(shù)據(jù)應(yīng)用論壇”上的報(bào)告整理而成，未經(jīng)本人確認(rèn)。）