试析大数据企业保护用户个人数据权的法律责任^*

● 相丽玲，沈文媛

(山西大学经济与管理学院，山西 太原 030006)

摘 要： [目的/意义]大数据时代催生了大数据企业，而大数据企业必须依法承担保障用户个人数据权利实现的法律责任。[方法/过程]运用文献分析法、比较法对各国相关法律法规中大数据企业应履行的法律责任，从对个人数据的信息披露责任、保证个人数据质量责任、确保用户对个人数据可携带的责任、对第三方数据使用者的监管责任以及事后问责与补救措施五个方面进行了分析比较。[结论/结果]从整体上看，随着大数据产业的崛起与不断发展，各国陆续出台与不断修改的相关法律法规对大数据企业保障用户个人数据权的法律责任也越来越明确具体，表现出一定程度的共性与各自的特点；指出我国个人数据保护立法可借鉴之处及未来发展与研究趋势。

关键词： 大数据；企业；个人数据权；法律责任

1 引言

1 .1 大数据企业的定义与类型

大数据时代催生了大数据企业。所谓大数据企业，是指依靠大数据本身或大数据技术或思维创造社会经济价值的新兴企业。根据维克托·迈尔-舍恩伯格的观点^[1]，依据其所提供数据价值的不同来源，大数据企业可分为三类：大数据掌控公司、大数据技术公司及大数据思维公司。笔者认为，除了上述的三种大数据企业外，还存在另外两种大数据企业，即数据、技术、思维三者兼备的公司和数据中间商。据中国信息通信研究院统计，2017年中国大数据核心产业的市场规模约为234亿元，较2016年增速达39.3%^[2]，我国大数据交易平台初具规模。伙伴产业研究院(PAISI)统计数据显示，2017年全球大数据市场规模达到589亿美元，同比增长了29.1%。到2020年，全球大数据市场规模将突破1214亿美元，全球大数据发展已进入产业化阶段^[3]。

在众多竞标的安保公司中，七兵堂凭借其过硬的业务脱颖而出。究其原因，一是该安保集团80%以上的安保特勤为退伍军人，政治素质和业务素质过硬;二是该安保集团是山东成立最早、规模最大的民营上市安保企业，业务范围覆盖全球，综合实力过硬。

1 .2 个人数据权

个人数据权是指公民依法对其个人数据的使用与流转享有处分的权利。各国相关法律对个人数据权法定主体的界定有两类：自然人或活着的人。欧盟、中国的个人数据法定主体为“自然人”，包括了活着的人与死去的人。而英国、日本则只包括“活着的人”。在对个人数据的法定范围上，大多数国家都定在“直接信息+间接信息/关联信息”上，只有英国的法律将其界定在所有个人数据范围内。因此大数据企业在使用个人数据时，应首先遵守本国或区域的法律规定，明确个人数据使用的法定范围。个人数据权的内容主要包括个人数据知情权(被告知权、查询权)、参与权(更新、更正权、删除权、拒绝权)、数据可携带权等，均属于人身权保护范畴。

1 .3 研究现状

从2013年起，对个人数据保护的理论与技术保护措施的研究热度一直呈上升趋势。国内学者研究以个人数据保护理论为主，国外学者研究以技术保护措施与实证研究为主。

相丽玲等^[4-5]提出个人数据保护与开发并行的理念，并对中外网络经营者收集与传输个人数据的法律规范进行了比较。张松(2016)^[6]、杨燮蛟，张怡静(2016)^[7]、任龙龙(2017)^[8]分别从行政法、刑法、民法的角度探讨了大数据时代的个人信息保护问题。A.Rahmani等(2016)^[9]研究了用访问控制和数据去识别技术来解决大数据隐私保护技术的问题。C.F.Libaque-Senz等(2016)^[10]调查研究了影响客户隐私风险认知的因素，认为对用户来说信息隐私问题是感知信息风险的最强预测因素。目前，鲜见针对大数据企业法律责任的直接研究。

2.5.1 事后问责 表6显示，美国与欧盟都强调对内部人员的监督，美国的相关法包括了内部人员监督及数据使用的流程；欧盟GDPR要求数据处理者提供证明。中国则在《刑法》中规定了如发生违法使用公民个人信息的行为时所采用的惩罚措施，但是没有相关的事故预防制度。

为了保护用户的个人数据权利，自20世纪80年代起，国际组织及发达国家都先后出台了关于个人数据保护的法律法规。特别是近几年，欧美等国包括我国在内，对一些特殊行业使用个人数据的行为进行了法律规范，不同程度地明确了大数据企业保障用户个人数据权的法律责任。

由于大数据企业收集、掌握着海量的个人数据，并以赢利为目的。从用户的角度来看，大数据企业作为用户个人数据的收集者、使用者和发布者，同时也是提供网络服务的中间商，其利用对服务器的控制权和搜索引擎技术，实现了对用户个人数据的全面、准确采集，并通过大数据技术对其所采集的个人数据进行统计、分析与深度挖掘，几乎完成了对用户个人数据、行为和思想的准确分析与预测，由此成为了实实在在的用户个人数据控制主体。

境界要素更新只更新地级界和县界，国界和省界不作更新。地级界和县界更新主要使用1∶50 000 DLG数据库中地级界、县界进行替换，同时对以河为界和以路为界的部分做协调处理。

本文依据中外现行相关法律法规，将大数据企业保护用户个人数据的法律责任分为五个方面：对个人数据的信息披露责任、保证个人数据质量责任、确保用户对个人数据可携带的责任、对第三方数据使用者的监管责任、事后问责与补救措施。通过分析比较，试找出可供我国个人数据保护立法借鉴的理论与措施，为我国大数据企业的健康有序发展提供理论依据。

2 中外相关法律法规中的法律责任比较

2 .1 对用户个人数据的信息披露责任

本文采用熵权法客观赋予权重，虽然选取上存在不全面的因素，但从一定程度上来说，具有科学性及可借鉴性，同时基于耦合协调度模型，较客观的研究了湖南省2001～2015年城市化与生态环境耦合协调关系及其动态过程。主要结论如下：

按WoS分类方法，全部论文分布于160种学科中，其中20个学科发文超过了100篇，是创业研究的主要学科载体。其中，商学以3193篇的发文优势力压群雄，占据霸主地位，无疑是创业研究的最重要学科载体；管理学以微弱的劣势屈居第二，发文3150篇，同样显示了其在创业研究中的重要地位。位于第三的是显著落后于前两者，但以较大优势领先于居第四位的规划管理学的经济学，发文1831篇。这三大学科的绝对发文优势彰显了其在创业研究中最为重要的学科载体地位。在学科分布中，中国与国际基本同步，管理学、商学和经济学依次为中国发文较多的前三种学科。

2.1.1 收集原则 个人数据收集原则指大数据企业在收集所需的个人数据时，针对收集目的、范围、期限等应遵循的基本准则或应遵守与用户之间的协定。各国相关法律法规对个人数据收集利用原则的规定见表1^[11-15]。

所谓对用户个人数据的信息披露责任，主要体现为对用户的知情权的保障，指的是大数据企业在个人数据的收集阶段应履行相应的告知义务。即以明示的方式告知用户，其依法收集个人数据的原则及应披露的有关用户个人数据的内容。

表1 各国相关法律对个人数据收集利用原则的规定

表1显示，各国现行相关法律法规在收集个人数据的原则上基本一致，但在明示时间及其使用范围等方面详略程度不一。

美国重点强调与数据使用目的的一致性，欧盟GDPR(2016)与中国《用户个人信息保护规定》(2013)中都提到“最少够用原则”，但中国对“最少够用原则”采用依合同约定的方式更具有可操作性，在减少争议上具有优势。

李小树一边说着，一边又把酒杯送到嘴边，只见他又轻轻抿了一小口，等酒慢慢滑下他的喉咙，他才慢吞吞地说：“就拿这马爹利酒来说，刚刚一入口，它就牵制住了你，你舌尖就有一种妥贴圆润的感觉。再细品，沁人肺腑的果香便悠悠传来。”

表2 各国相关法律对企业个人信息披露内容的规定

注：数据控制人：确定处理任何个人数据的目的及方式的人^[16]。

表2显示，各国相关法律在规定大数据企业披露用户个人数据的收集原则上有共同之处，具体表现在披露收集个人数据的目的、种类、用途与范围等方面。同时，中国、美国、欧盟相关法律规定的侧重点又有所不同。如我国要求企业在收集、使用个人数据时应当明示收集数据的目的与范围，同时征得用户的同意，强调对知情权与拒绝权的保护。美国要求网络运营商披露对在线访问者的追踪，即对追踪网民的浏览行为进行透明化，使用户有权知晓自己的哪些行为正在被追踪，以及给予用户选择自己的线上行为是否被追踪的权利，并要求说明个人数据是否将与第三方进行数据共享，扩大了对个人数据保护的范围。欧盟则要求数据控制者提供储存数据的期限，强调对个人数据的被遗忘权保护。欧盟、美国以及中国都要求披露数据管理者的信息，此外还要求披露第三方使用者的信息，以便事后问责与补救。

从各国法律法规颁布的时间看，2013年以来颁布的相关法律法规，在个人数据披露的内容范围上更加宽泛，由最初的告知谁在使用、使用目的、范围、谁在分享；扩大到告知谁在使用、收集原则、范围、原因、用途、谁在分享、数据管理员的相关信息、个人数据的存储期限等。这不仅意味着，各国现行法律对个人数据知情权、拒绝权、被遗忘权等权利的保障正趋向具体化，同时也意味着对企业信息披露的责任要求上更加严格。

2 .2 个人数据质量保证的法律责任

各国保护个人数据质量的法律责任包括保证信息的完整性、安全性、正确性以及要对数据进行及时的更新，确保其处于最新且可使用的状态。如果对数据质量的维护不利，一方面损害了用户的权益，另一方面造成了数据资源的浪费，增加了企业的成本。对用户个人数据质量的保护不仅在于采用适当的措施及时维护用户的数据信息，同时要求提供便利的途径能够让用户对自己失效、错误的信息进行更新和修改，从而使用户的参与权(修改、更新、删除权)得以实现(见表3和表4)。

2.1.2 个人数据的披露内容 各国现行相关法律法规都规定了大数据企业在收集个人数据前均应履行相应的告知义务(见表2^[11-16])，即依法在其网站隐私政策中披露以下信息：收集个人数据的范围、方式、目的等。用户有权知道是谁在收集自己的数据，收集的范围、途径和方式；以及数据收集者(企业自身)的基本信息。

2.2.1 保护个人数据安全性责任 所谓个人数据安全性责任，是指对个人数据的安全管理，即防止其丢失、泄露、损毁、未经授权的访问等。各国相关法律对保障用户个人数据安全性的规定见表3^[11-15]。

表3显示，在个人数据安全管理措施方面，各国都对个人数据安全性的内容进行了法律界定，OECD规定了基本安全准则，欧盟强调了有效的技术及组织保障措施，而美国更重视个人数据安全风险的评估，我国则规定了“适当”与“必要”的安全管理原则，但未对“适当”与“必要”作出具体规范，使得问责与补救不明确。

我国的国家标准《物流术语》中，将配送（Distribution）定义为：在经济合理区域范围内，根据客户要求，对物品进行拣选、加工、包装、分割、组配等作业，并按时送达指定地点的物流活动。

表3 各国相关法律对保障用户个人数据的安全性的规定

2.2.2 保护个人数据准确性、完整性责任 各国法律都对数据控制者如何保障个人数据的准确性和完整性做了明确的规定,即提供渠道让数据主体可对其个人数据提出及时的修改、更新或删除(见表4^[11-15])。

表4 各国相关法律对保障用户个人数据的准确性及完整性的规定

表4显示，各国都要求大数据企业对用户个人数据的准确性及完整性负有相应的法律责任，即保障用户对个人数据享有查询、更新、更正及删除权。其中，欧盟的相关法律规定的更加全面，包括数据主体有权拒绝数据控制者使用其数据的权利以及在这种情况下对第三方的处理。我国则在删除权方面规定的更细致，包括了在各种特定情况下删除用户个人数据的规定，且强调对个人数据的保密性。

2 .3 确保用户对个人数据可携带的法律责任

所谓“个人数据可携带权”，即用户有权转移其相关数据并以其他方式对数据进行利用。欧盟GDPR(2015)中规定“保证个人的数据便携性权利，让他们能够在不同服务间更方便地转移个人数据。将公民个人数据的控制权交还到公民手中^[17]。”欧盟GDPR(2018)中更加明确了数据可携带权的定义，即数据主体有权获得其提供给控制者的相关个人数据，且其获得个人数据应当是经过整理的、普遍使用的和机器可读的，数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者^[18]。相关法律对数据可携带权的保障，使数据主体可以更加灵活、方便的掌握自己的数据，同时更加完善了数据主体的个人数据权利。但目前我国及大多数国家的相关法律对此项责任没有明确的规定。

近年来，数值模拟技术的发展有力地推动了地球物理科学的进步。大量研究表明，有限差分算法是求解波动方程，实现地震数值模拟的一种有效方法。全文从一阶弹性波动方程出发，将弹性波转变成声波场，通过正演计算得到地震波场、声波场记录和自激自收地震剖面，再现了地震波在介质中传播过程。在求解方程时，主要对时间进行2阶，对空间进行10阶差分近似，震源采用高斯一阶导数子波，在吸收边界采用完全匹配层法，并控制差分方程稳定性，提高计算的准确性与精度。

2 .4 对第三方数据使用者的监管责任

笔者认为，事后问责与补救措施是个人数据安全保障的两个方面，事后责任主要是监督大数据企业是否有完善的事故预防制度，补救措施则是为了在事故发生时将损失降到最低。

表5 各国相关法律对监管责任的规定

表5显示，大数据企业的监管对象，主要包括第三国、第三方机构/企业数据使用者。监管的内容主要包括对第三方数据使用者使用情况的及时调查及其能力评估，以合同方式明确企业对个人数据保护责任是各国普遍采取的有效方式。在此方面，中国特别增加了电信业务经营者和互联网信息服务者对第三方代理人保护个人信息工作的监管条款，进一步强化了大数据企业对用户个人数据保护的层层监管责任。

2 .5 事后问责与补救措施

对个人数据的保护不仅应在事前进行详尽的规定，还应该明确具体的事后责任及当数据安全事故发生时采取及时有效的补救措施。这也是未来个人数据保护立法重点关注的部分。目前，各国立法对事后补救措施都有基本规定。在事后问责方面，近几年，美国、欧盟，包括中国都纷纷出台新法或修改相关法律法规，增加了对个人数据控制者的问责规定(见表6^[11-15,20])。

表6 各国相关法律对事后问责的规定

因材料价格的上涨，工程质量标准提高等因素，基层水土保持工程建设中大量运用片石混凝土工程取代砌石工程，《水土保持定额》中没有相应工艺。

2.5.2 补救措施 当个人数据风险(如泄密、损毁等)发生时，各国相关法律都明确了事后补救措施。如通知与风险有关的客户，监管、评估、报告事故影响范围等(见表7^[11-15])。

表7显示，欧盟的事后补救制度最为全面，从2002年要求数据控制者对意外风险的“立即通知”到2015、2018年的法律修订，将个人数据风险事故的补救措施逐步扩大到向国家相关机构及监管机构评估报告制度的建立与完善，将欧盟各国个人数据安全风险及损失控制在最低范围内，拥有对内、对监督机构及对用户的报告制度。而美国也在相关法律法规中规定了对用户个人数据安全风险的补救措施——“通知”用户的具体内容与形式。日本则以对内部调查与防范为主，而我国仅规定了数据收集者与其他企业或组织对个人数据安全的技术及管理责任与补救要求，无国家行政监管机构报告，这种企业自行处理的办法在保障程度上缺乏力度与有效的执行力。

表7 各国相关法律对补救措施的规定

由于大数据企业掌握着海量的数据，很容易发现个人数据背后所隐藏的问题，中外现行相关法律法规都对企业规定了相应的监管责任。即当发生个人数据不安全隐患时大数据企业应对第三方数据使用者进行及时调查与能力评估，主要包括：事先能力评估，事后停止使用、删除有关信息等(见表5^[11-15,19])。

3 结论与建议

从整体上看，随着大数据产业的崛起与不断发展，各国陆续出台与不断修改的相关法律法规对大数据企业保障用户个人数据权的法律责任也越来越明确具体，表现出一定程度的共性与各自的特点，同时也有可供我国相关立法借鉴与深入研究之处。

3 .1 共性与特点

1)在个人信息披露责任方面，各国法律在大数据企业收集利用个人数据的原则上基本一致，但在可操性方面，国外更加强调使用目的在使用过程中的一致性，以及数据使用应在合理的明示时间及范围内。而我国对“最少够用原则”采用依合同约定的方式，在减少争议上具有优势。

2)在保障个人数据的准确性及完整性责任方面，各国法律都要求大数据企业保障用户对个人数据享有查询、更新、更正及删除权。其中，以欧盟的相关法律规定最为全面，而我国则在删除权方面规定的更加细致，同时强调对个人数据的保密性。

荷叶为睡莲科属(Nelumbo nucifera)植物的干燥叶片[1]，具有苦辛味、口感微涩，具有解暑清热、生发清阳、散瘀止血等功效[2]；2002年，荷叶被中华人民共和国卫生部列入第2批“既是食品又是药品”的名单之中[3]。研究表明，荷叶不仅含有普通植物所具有的常规化学成分外，还含有多种对人类有益的成分，如黄酮、多种生物碱、B-胡萝卜素、甾体和维生素C等[4]。荷叶的提取物具有多种生物学功能，如抗氧化[5]、降脂减肥[6]、抑菌[7]和抗病毒[8]等。目前，国内荷叶的精深加工比较落后，通过生物转化，进一步提升其食用和药用价值，形成系列具有保健功能的产品，是药食同源领域面临的一种挑战和机遇。

3)对第三方数据使用者的监管责任方面，各国法律都要求大数据企业对第三方数据使用者处理个人数据的情况及其能力进行及时调查与评估，并以合同的形式明确其对数据的保护责任。中国在这方面特别增加了电信业务经营者和互联网信息服务者对第三方代理人保护个人信息工作的监管条款，进一步强化了大数据企业对用户个人数据保护的层层监管责任。

3 .2 可借鉴之处

1)在保障个人数据质量安全性责任方面，美国对个人数据安全风险的评估制度及欧盟采取的技术与组织措施双重保障制度值得借鉴，从而使我国对保障个人数据质量的“适当”“必要”安全管理原则更加具体明确。

2)在对用户个人数据风险的事后问责方面，美国与欧盟采取的对内部人员的控制监督制度值得我国借鉴。我国应建立事故预防制度，如内部人员监控管理制度、个人数据处理流程记录与报告制度等，便于事后问责。

3)在对用户个人数据风险的补救措施方面，当发生个人数据安全事故时，欧盟所采取的安全报告制度值得借鉴。我国应在用户报告制度的基础上，增加向内部及国家行政监管机构的安全报告制度，并将内容细化到提交报告的时间限制、事故原因及将要采取的措施等方面，以确保补救措施的有效执行。

4 未来发展与研究趋势

1)大数据企业对个人信息披露的内容范围将更加宽泛，随着各国现行法律对个人数据知情权、拒绝权、被遗忘权、个人数据可携带权等权利保障的日趋多样化、具体化，各国法律对大数据企业披露个人信息的责任要求将更加严格。

水稻后期冠层结构绿色叶面积的主要构成部分为上部3叶(倒1叶、倒2叶、倒3叶)[11]。叶长和叶宽直接决定水稻叶面积的大小，进而影响叶片的光合面积，因此对光合作用有着重要影响。分蘖期淹水处理水稻叶长、叶宽和叶面积见表2和表3。

2)欧盟要求大数据企业赋予用户对其个人数据“可携带权”的责任，实现了用户对其个人数据的自由流动，增强了用户对个人数据的控制，顺应大数据时代的发展需要，值得各国借鉴与深入研究。□

参考文献

[1] 维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代[M].盛杨燕，周涛，译.杭州：浙江人民出版社,2013:160.

[2] 大数据产业发展情况及展望[EB/OL].[2018-09-13].http://www.cnii.com.cn/Bigdata/2018-09/10/content_2101754.htm.

[3] 深度报告|全球大数据产业发展分析报告[EB/OL].[2018-09-13].http://www.sohu.com/a/223057309_739557.

[4] 相丽玲,杨蕙.个人数据保护与开发理念的演化与评价[J].情报理论与实践,2017,40(11):90-95.

[5] 相丽玲,王景辉.网络经营者收集与传输个人数据的中外法律规范比较[J].图书情报工作,2016,60(4):21-28.

[6] 张松.大数据时代个人信息行政法保护研究[D].沈阳:辽宁大学,2016.

[7] 杨燮蛟,张怡静.大数据时代个人信息刑法保护新探——以《刑法修正案(九)》为视角[J].浙江工业大学学报：社会科学版,2016,15(4):412-416.

[8] 任龙龙.大数据时代的个人信息民法保护[D].北京:对外经济贸易大学,2017.

[9] RAHMANI A,AMINE A,HAMOU R M,et al.Combination of access control and de-identification for privacy preserving in big data[J].International Journal of Information Security & Privacy,2016,10(1):1-27.

[10] LIBAQUE-SENZ C F,WONG S F,CHANG Y,et al.Understanding antecedents to perceived information risks:an empirical study of the Korean telecommunications market[J].Information Development,2016,37(1):2-3.

[11] 世界经济与合作组织网站[EB/OL].[2017-10-22].http://www.oecd.org/.

[12] 欧盟官方网站[EB/OL].[2017-10-25].https://europa.eu/european-union/index_en.

[13] 日本个人情报保护委员会网站[EB/OL].[2017-10-26].https://www.ppc.go.jp/.

[14] 中华人民共和国工业和信息化部[EB/OL].[2017-10-26].http://www.miit.gov.cn/.

[15] 美国政府网站[EB/OL].[2017-10-26].https://www.usa.gov/.

[16] 英国legislation.gov.uk网站[EB/OL].[2017-10-12].http://www.legislation.gov.uk/.

[17] 欧盟最终通过严苛的数据保护新规定[EB/OL].[2017-12-11].http://techcrunch.cn/2015/12/17/gdpr-agreed/.

[18] 欧盟官方网站[EB/OL].[2018-09-22].https://europa.eu/european-union/index_en.

[19] 加拿大司法部网站[EB/OL].[2017-11-19].http://www.justice.gc.ca/eng/.

[20] 中国政府法制信息网[EB/OL].[2017-11-22].http://www.chinalaw.gov.cn/col/col4/index.html.

Analysis of the Legal Responsibility of Big Data Enterprises to Protect Users ’Personal Data Rights

Abstract :[Purpose/Significance]The era of big data has spawned big data companies,and big data companies must bear the legal responsibility to protect the realization of personal data rights.[Method/Process] Use the literature analysis method and the comparative method to fulfill the legal responsibility of big data enterprises in relevant laws and regulations of various countries,from the responsibility of information disclosure on personal data,to ensure the responsibility of personal data quality,and to ensure that users can carry personal data,regulatory responsibility for third-party data users and post-accountability and remediation measures were analyzed and compared.[Result/Conclusion] On the whole,with the rise and continuous development of the big data industry,the legal responsibilities of big data companies to protect users’ personal data rights are increasingly clear and specific for the introduction and revision of relevant laws and regulations,showing a certain degree of commonality and their respective characteristics;pointing out the reference and future development and research trends of China’s personal data protection legislation.

Keywords : big data;enterprise;personal data rights;legal responsibility

DOI: 10.16353/j.cnki.1000-7490.2019.04.005

*本文为国家社会科学基金项目“新型国家安全观下的个人数据保护研究”的阶段成果之一，项目编号：18BTQ084。

作者简介： 相丽玲 ，女，1962年生，博士，教授，博士生导师。沈文媛 (通讯作者)，女，1993年生，硕士生。

作者贡献声明:相丽玲 ，提出选题及研究思路，设计研究方案，最终版本修正。沈文媛 ，文献资料的获取、提供与分析，起草论文。

录用日期： 2018-11-26

标签：大数据论文;  企业论文;  个人数据权论文;  法律责任论文;  山西大学经济与管理学院论文;