江翔宇：人工智能、大数据、云计算产业发展的数据法律基础设施建议

江翔宇 上海市协力律所事务所合伙人，法学博士。

人工智能、大数据、云计算产业等新技术新业态新应用“三新”产业对我国的发展与未来具有非常的重要性。而在推动这些产业发展的过程中，以个人信息保护、数据利用、算法伦理为代表的法律问题的研究和解决则是法律基础设施和重要制度保障。本人在企业法律服务的实践和前期承担的政府课题研究基础上提出以下观点，供批评指正。

01

一、“三新”产业的包容审慎监管思路与监管手段、监管能力的提升

（一）“三新”产业的监管可以借鉴金融科技的“包容审慎”监管原则，但是需要更好地平衡审慎与监管的关系和把握阶段性的重点，审慎监管和包容监管应同步进行，需要关注人工智能和大数据快速发展中的风险。前期平台经济的监管出现一些问题进而引起全社会对平台经济垄断行为的反思和政府加强监管，就是一个审慎和包容两者不可偏颇的证明。

（二）监管技术手段的局限与提升。一是政府监管部门在技术能力几乎不可能超过企业，例如对电子商务的监管中政府对平台企业的监管缺乏技术系统的有效对接，实质上政府很难实质性监督，“三新”企业也是类似的情况；二是技术的发展和滞后性，很多立法上的要求或有局限性，例如个人信息匿名化，但是技术上能否做到真正匿名化亦有争论。尤其AI企业的算法模型黑箱、缺乏解释性问题等技术不成熟问题，企业自身且难说清楚，政府监管就更难。

（三）监管资源能力上的局限与提升。监管部门的人员数量无法与被监管对象相比，远远达不到与希望的监管目标相匹配的标准。而且基于监管成本考虑，也不可能大幅增加人员，无限供给监管资源。

以上（一）中的包容与审慎的“度”的把握和（二）（三）两点的监管技术手段和监管资源能力的局限对监管机构是个挑战，导致法律和监管对“三新”领域的监管执法很困难，而且根本上对立法也有很大影响，因为很多法律的执行实践中难以落地，导致在立法制定时也有很大制约。因此技术手段和监管能力的局限性决定了这两方面需要重点加强，同时考虑到两者提升的难度与瓶颈，必须探索新维度的监管思路，不能沿用旧行业的监管思路。

02

二、人工智能、大数据、云计算“三新”产业发展的底线规范

“三新”产业发展的同时也要规范，规范是为了促进更好地发展。鉴于上述的“三新”企业监管难度，关键是把住底线，加重违法后果。主要有两点底线：一是个人信息保护，二是人工智能的伦理道德。

（一）对于个人信息保护，依靠“告知同意”原则不能真正解决问题，反而可能陷入形式主义。例如用户收到“获取匿名设备信息以提供个性化广告推荐服务”的App通知后，试问有多少人搞得清楚这通知背后的商业逻辑和法律问题以及对个人信息的影响，相信绝大多数人可能为了便利性就稀里糊涂同意了。

因此个人信息保护目的的实现，关键是立法从严，有效监管。一是立法上需要将个人信息保护对数据控制者的行为要求严格和明确规定，加重违法处罚后果，个人认为可以效仿我国新证券法对资本市场注册制加强信息披露的规定，即通过严刑峻法、举报制度来形成对违法行为的威慑力和后端的严厉处罚；还应通过专门的平台法律规范加以落实对大型平台的监管；二是公法执法强于私法执法。政府监管部门加强监管和处罚力度是关键，个人信息保护如果把个人维权作为主要路径是行不通的，无论维权成本和维权效率都存在问题，民事诉讼也将导致司法资源不堪重负，当然通过民事诉讼追究民事赔偿责任是有效的威慑和对监管路径失效的一个终极手段。

事实上，在保护个人信息的路径上，近年对于App乱象的治理是比较成功的案例，这两年App的乱象有显著好转。

（二）人工智能伦理的规范。“三新”产业很多情况下都涉及人工智能的算法问题，算法伦理越来越受到关注。基于之前的课题研究中对地方立法的建议，简要说四点：

1.算法伦理审查——人工智能企业应当建立伦理审查机制，在开发、设计人工智能产品的项目立项、算法理论、编码设计等不同阶段中，开展伦理审查，尽最大可能确保算法设定公平、合理、无歧视。地方政府也应建立科技伦理委员会，就涉及生命伦理、基因伦理、国家安全、公共安全等重要伦理的领域建立审查制度。

2.算法应用管理——人工智能企业对于人工智能的运用与管理，应当符合伦理道德，践行“算法善用”理念，持续定期开展伦理审查。政府相关部门可以对生命伦理、基因伦理、国家安全、公共安全等领域建立人工智能产品算法应用的管理机

3.责任承担清晰——人工智能产品法律责任依法由产品设计者、生产者、运营者、使用者根据过错责任原则分担，由于外部技术侵入造成的损害，由外部技术侵入者承担相关责任。

4.鼓励包容的市场化解决方案。鉴于算法黑箱和存在不可解释的可能性，鼓励支持人工智能企业探索通过市场化方式进行法律责任的承担，鼓励保险机构积极开发适应人工智能产品因技术限制无法完全预测风险的分散风险、补偿损失需求的保险机制和保险产品。

03

三、人工智能、大数据、云计算产业等“三新”产业的数据交易制度保障

“三新”产业的发展离不开数据的流动云计算技术发展，发挥数据的价值，而且需求不断加大。个人认为数据交易制度目前存在几个主要问题：

（一）个人信息的确权问题

民法典和个人信息保护法草案均未明确个人信息的权属，对个人信息匿名化后的数据权属也没有正面规定，但是提出了“促进个人信息合理利用”，综观具体条文，并未否定企业对个人信息匿名化后的数据的使用、收益和转让权，也未否定对个人信息在依法告知同意、保护个人隐私、不违反法律和行政法规和双方约定前提下的数据使用、收益和转让（当然设定了严格的条件）。在满足该法个人信息权利保护规定的基础上促进个人信息的合理利用是数字化转型时代的应有之义，只要允许企业能够在保护个人隐私、获取个人依法同意的前提下对数据使用、收益、转让就已经能够实现数据的基本价值，至于个人信息的权属问题可以留待以后研究解决。

（二）可用于交易的数据问题

1.企业想获得什么样的数据需要研究？例如金融资管机构希望给投资者建立全方位个人画像后提供精准营销，因此很想获得个人在与金融领域相关的个人信息，这显然是很明确的个人信息，如果交易目前可能会有法律风险，但是又是资管机构的强需求，匿名化的数据对其价值较低。

2.企业是否愿意把数据拿出来交易？例如大型互联网平台的数据孤岛问题解决，需要立法和监管给与针对性规定。而一般企业的数据交易愿望，可能取决于数据的价格、数据权属的纠纷以及对其是否有激励措施等，很大程度又是一个制度设计问题。

3.能够交易的数据有哪些类型？初步认为可以分为：

（1）具体的数据和数据产品（数据控制权）：不涉及个人信息的企业数据可以交易；基于个人信息产生但是匿名化处理的数据可以交易；公共数据的原始数据不能交易，但是基于其加工利用产生的数据产品可以用来交易；有争议的是部分类型的带有个人信息的数据能否在用户充分知情同意的基础上交易，如果不涉及违反法律法规，不涉及个人隐私和商业秘密是否可以？从目前个保法草案条文似乎是允许的，这可能也是未来要进一步研究的。

（2）数据的使用权产品，例如隐私计算方法中的联邦学习中，“数据不动模型动，数据可用不可见”，同样可以进场交易。在这种情况下交易的不是数据，而是数据的使用权。

（三）数据交易所等数据交易机制的设计

个保法草案排除匿名信息的规定为数据交易提供了合法性的支持，实践中亦有贵州大数据交易所、北京国际大数据交易所和上海数据交易中心在探索不同的交易模式。

在数据安全与数据发展双轨并行的理念下，数据交易成为数据作为生产要素发挥作用的重要手段，只有数据流通才能挖掘数据价值，激发数据的生命力。从短期看，数据交易需要研究数据交易机制、交易数据类型、数据合规评估等，在制度设计上还有很多问题需要细化，面临不少困难和争议。但是从长远看，建立以数据交易所为典型的数据交易场内交易机制，并和场外交易机制相互相信是大势所趋，先行试点，小步走的模式值得期待，在近期上海地方立法数据条例的制定中也已经初步提出了这一制度设想，具有深远意义。

在我们研究数据交易存在的现实困难与解决思路中，我们以证券交易所模式为基础来设想建立以依法成立的数据交易所为平台的数据交易机制，简要比较分析以下几个问题（实际不止于此）：

1.数据交易与证券交易的差异性，例如数据和证券的区别（数据具有易复制性、易传播性、估值困难等因素）；

2.数据产品化的差异性（数据产品标准化/安全审查存在一些困难）；

3.数据定价（时效性/因人而异）；

4.数据的交易机制（与金融产品交易所的连续集中竞价模式的区别）；

5.数据进场的合规性评估；

6.数据交易平台定位等。

04 四、促进“三新”企业发展的其它数据法律建议

（一）建议把一些国家标准和成规定熟提高立法层级或通过一定方式确认其效力。目前以上领域很多内容已经有国家标准，例如敏感信息在推荐性国标35273中对很多问题有明确规定，但是的确存在规定层级不高、效力待定的问题。仅仅为推荐性国家标准，这些规定以往并未真正经过司法的检验，即并未在审判实践中经过司法裁判的认可，达成类似于金融审判中监管规定常常被司法所接受的效果。所以不排除存在很多规定可能未来在个案中被挑战。

而且目前已经制定的不少推荐性国家标准，很多是参考了境外的规定，在制定过程中也很难说都经历了严格的制定流程，出台速度较快，存在一些局限。现在境外也在转变数据立法思路，例如欧盟已经在转变GDPR的思路，不仅仅是强调保护个人信息，也在积极推动数据的流动，挖掘数据的价值。因此建议把一些推荐性标准和规定修订并提高到强制性国家标准或通过某种方式提高其效力。

（二）建议加快数据分级分类保护的立法与监管机制的落实。我国数据立法现在是综合立法+部门立法模式，从监管角度也是在网信部门统筹协调下相关部门在各自职责范围内负责。在个人信息保护法和数据安全法二法通过后，各行业监管部门都有现实迫切的落实需求，否则会形成空窗期，对企业带来一定影响，例如在金融行业，央行和证监会、银保监会都需要制定大量具体的实施规定。

（三）建议形成数据立法的价值观高地，如在数据跨境领域。从对外开放规则话语权、提高营商环境的角度，在数据跨境等领域可能也要考虑价值观高地，自搞一套比较难，在底线守住的情况下，在不涉及国家安全和个人敏感信息的一些领域，建议可以有所突破，逐步实现数据跨境的便利化。

上海市法学会欢迎您的投稿

fxhgzh@vip.163.com

关保英：新《行政处罚法》的立法特点论

袁海勇 李峰：《上海市外商投资条例》的主要制度创新和亮点

罗培新：“作业帮、题拍拍”等摧毁的，或许是我们最应珍视的价值

江翔宇 马永刚：从公募REITs看我国公募基金制度的优化

张震：略论数据权属与数据权益

关保英：论《法治上海建设规划（2021-2025年）》对法学研究的促进

（编辑：财气旺网 - 财气网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!