数据与治理——“网络法的理论与视野”工作坊专题四 ||《地方立法研究》

“网络法的理论与视野”学术工作坊专题四

我的文章更多的是从公共管理或者公共政策角度，来梳理跨境数据流动全球治理的一个变化过程。引言主要涉及近几年发生的3个典型案例：微软状告美国司法部案，“安全港协议”的中止，还有我国2017年出台的《个人信息和重要数据出境安全评估办法(征求意见稿)》。这三个案例凸显了一个问题：跨境数据流动已成为日趋凸显、争端频发的一个议题。

2017年我国出台这一评估办法，作为《网络安全法》的配套措施，也是因为我国跨境数据流动面临的冲突可能会越来越多。GDPR的生效，适度放松了对跨境数据流动的限制，提升了政策灵活度，包括禁止成员国事前许可、增加充分性认定对象、扩展标准合同条款等，其实相较之前有更大的宽松度。可以说，GDPR并不完全是更加严格的管理。

还有更近的一个案例，普京签署俄罗斯“互联网主权”法案，其目的是假设在西方断网情况下，保障俄罗斯互联网能够正常运行，但这并没有成为一个真正的法案，不过它仍然提出了数据保留在本地的要求。这些案例表明，目前跨境数据流动呈现了比较混乱的一个局面。所谓全球治理，理想的情况是不同国家之间的制度是相匹配的，或者说可交互的，能保证或者维持数据在基于主权、基于地理区域的不同主权国家之间的正常流动。但是现在来看，有的收紧，有的放松，甚至是有的有争端。我的问题是，跨境数据流动的全球治理为何出现“混乱”？它经历了怎样的历史过程？未来可能会有什么样的解决路径？

跨境数据流动全球治理的基本模式，比较宽泛地讲，可以被分为两个大的方面，一个是针对个人数据的，另一个是针对行业或是所谓的重要数据。这两个会有不同的机制：对于个人数据来讲，主要是涉及数据跨境流动的规制措施；但对于行业或是重要数据来讲，更多的是通过数据本地化来加以限制。

这两套法律遵循了两个逻辑，而这两个逻辑下面都有一个频谱。频谱的一端是自由流动，另外一端则是被限制，不让流动。频谱中间是一个连续性的过程。比如说对于个人数据而言，频谱一端的所谓自由流动，当然不是说没有规则措施，而是指没有事先规制的措施。就是我允许你自由流动，但是出了问题就会有针对数据输出者的规制，问责到底是谁把这个数据输出去了；另外一端就是充分性的认定，或者说是不确定的一个状态。充分性认定就像欧盟所提出的意见，欧盟的法律要求他国的法律制度满足他们所认定的充分性原则或者同等保护原则。换句话说，它的潜台词就是你的法律制度要与我们的做对接或者一致化。改变其他国家的法律制度的成本是比较高的，所以在这样情况下，对数据自由流动的限制比较大。所谓不确定，是指有的国家根本就没有一个明确的法律制度，就是一事一议的状态。这种状态对于公司来讲，就是一个很大的问题，因其不知道如何满足合规性要求，从而可能产生大量合规成本。在这二者中间，有一个所谓同样也要有同等保护条件或充分认定的要求，但这种认定的主体不是政府，而是第三方，这样就相对灵活一点，比如“安全港协议”就是中间状态的这个模式。

数据本地化的规则，也可以将其分为这样一个谱系：从自由流动到限制流动。自由流动，只要求数据本地化存储，但是它并不禁止自由流通。它的目的是为了检查、审查或审计的方便。限制流动，则要求数据本地化存储而且不能流动。二者中间，可能会允许数据流动，但是数据不能存到外地。

虽然我们希望跨境数据流动的全球治理的模式，能在不同国家之间形成一致性，但实际上这在不同国家之间是不一样的。正因如此，就会出现冲突。以欧美为例，欧洲和美国对数据跨境流动规制制度的理解及其制度本身是不一致的。欧洲是把隐私权作为一个基本权利的立法点或者说出发点，如果追溯其思想渊源，可能是“二战”时对政府干涉的警惕；而美国则希望自由流动作为一个默认的状态。当然，由于出发点不同，各自的治理机制和规制机制也就不一样。对于欧洲来说，他们更讲究“基于权利的原则”，更看重活动本身的实质，这也是从不同的司法制度进行比较；而对于美国来说，他们更多的是采用基于形式的合同，而这种形式合同的执法机构是FTC(Federal Trade Commission,美国联邦会议委员会)。FTC和数据其实没有太多关系，它参与进来的主要目的，是把数据保护协议视为一个合同，它并不在意合同的内容，而只在意合同的形式。在这种情况下，FTC就有它的局限性，它不能管到金融、保险或者NGO(Non-Govemmental Organizations,非政府组织)这些方面。同样，如果消费者本身对于数据隐私的风险有一定的预期，它同样不能给予保证。欧洲对此是不太能接受的。所以，从全球治理的角度来讲，欧美之间就会存在两种路径，一种是相互统一，所谓的制度一致化。但是，美国明显不可能按照欧洲的来做，欧洲也不可能按照美国的来做，相互统一是不可能实现的。另一种是相互承认，我承认你的制度的合法性或者有效性。但是，这样的相互承认也不太可能实现。如果以欧美为例，就需要有第三种路径。第三种路径可能就体现在前面讲的中间谱系状态，比如说由第三方来认定，而不是由政府来认定，即所谓的公共和私人公司的合作机制。

跨境数据流动全球治理的历史演进过程也体现出了一个自主创新的过程。早期是以主权国家间的合作框架来形成，最早可追溯至万国邮政或者ITU(国际电报联盟)。当时的情况，要么是制度一致，要么是相互认可，这是以主权国家之间的一致性来作为制度基础的。制度一致性的成本是比较高的，所以就会到第二阶段代表“公—私”合作体系的创新，这就是所谓的第三条道路：不是由政府承认其他国家制度体系的有效性或者合理性，而是由平台企业或企业本身来认可，或者说企业自身来形成一个数据规制的范式或者治理制度，然后由其他国家来认可。所以，不要求国家制度的改变，而只要公司本身来接受他国约束即可。这种情况下，它其实存在创新但也有局限性。局限性就是制约力不足，这种制约力不足就体现在后斯诺登时代的一个变化。美国的数据规制制度，在“9·11”之后发生了本质性的变化，“9·11”之前仍然有一个比较强的限制。但是在“9·11”之后，随着国家安全重要性的提升，美国法律制度发生变化，其中比较典型的有Gag Order(闭嘴原则)。虽然政府问企业要数据，企业也不能向公众公开政府的数据索取行为，而这种Gag Order就会影响到“公—私”合作体系的有效性。欧洲相信美国的企业可以接受它的保护制度，它的保护制度有一定的有效性。但“9·11”之后美国法律的变化，导致苹果、Google和Facebook等公司不得不破坏之前的承诺。直到斯诺登事件爆发之后，大家才发现原来美国做了什么。美国的政府和企业之间走向分裂，就是在这个时候，因为企业本身也会面临比较大的压力，所以从这个角度来讲，就会进入一个破裂的或者相对困难的局面。

我试图总结推动数据跨境流动全球治理机制变化和发展的一些因素，比如说推动“公—私”合作治理的因素，像技术的发展、互联网平台的崛起和所谓实验主义治理机制的创新都是相关因素。公私合作体系创新的一个前提是，政府直接大范围面对中小企业是比较难的，这对政府来说不可能。对欧盟来说，它也不可能面对大量企业。随着平台的崛起，政府可以面对几个大的平台，而通过这些数据流动的主体直接涉及平台，政府就可以通过“公—私”合作治理这种创新来实现。但是这种合作治理也会出现一个制度性破裂，这是因为，在整个全球治理的权力框架下，存在一个不对称的权力结构，传统的治理机制缺乏一个有效性的制度性约束。

最后是关于未来的治理途径，我觉得这可以是一个开放性的结论。传统的全球治理的路径有两种考量，一种基于私人的、个体的隐私权利的考量，另一种基于公共安全的考量，这两种考量是比较初级的思路。第三个思路就是基于全球的服务贸易，把跨境数据流动作为一种贸易的需求，而对这种贸易需求当然也会存在不同的认识。比如说，美国一直把数据规制制度作为贸易的壁垒，但是欧盟认为，数据规制制度是提振消费者信心的一个渠道，所以它不一定是阻碍贸易，反而是促进贸易。但不管它们的差异性如何，欧美至少承认了数据管理对贸易本身的重要性。从贸易的角度来理解，数据跨境流动可能会有新的一个突破点，比如对于欧盟来讲，重要的是一致性而不是壁垒。我们并不一定说我们不能接受数据规制的制度，而是要说不同国家有它可接受的一致性。隐私是抵制政府审查，但如果从贸易角度来讲，它不仅仅只是抵制政府或者说警惕政府，还有私人主体、平台也会被纳入在内。这是从贸易的角度来讲跨境数据全球治理机制的突破性或者创新。

2018年9月，“数据安全法”和“个人信息保护法”同时被列入“十三届全国人大常委会立法规划”。这样被列入以后，给人两种特别不一样的感觉，第一种感觉是“个人信息保护法”为什么历经这么多年才被列入;第二种感觉是“数据安全法”是什么？为什么会突然被列入我们5年内出台的立法程序中？从过去的经验来看，这个速度非常之快。甚至还有一个说法，2019年年末估计就会出“数据安全法”意见稿，并可能在明年出台。为什么现在“数据安全法”会在立法上被如此大力推进？

这个“数据安全法”从何而来？我个人理解，它来自2018年网络法领域的三次“神助攻”。第一次“神助攻”就是2018年年初的Facebook数据门。因为和美国大选连到一起，所以Facebook高达8700万的数据泄露引起了中国高层的特别关注。第二次是美国CLOUD Act(《澄清域外合法使用数据法》，The Clarifying Lawful Overseas Use of DataAct)，美国从之前的数据存储地规则转向数据控制者规则，从而能够跨境抓取他国数据。最后一次是欧盟的GDPR，也存在对他国数据控制者的长臂管辖问题。所以，一个事件、两个法案的出台，让中国的立法者尤其是高层特别重视数据安全和数据主权，由此产生了数据安全法的立法问题。

数据安全法的立法涉及两个问题：第一，从体系的角度来看，数据安全法如何与其他法律相互协调？尤其是《国家安全法》《网络安全法》和“个人信息保护法”。第二，数据安全法自身如何设计安排？从第一个层面来说，它可能涉及到底什么是数据、什么是信息等方面，所以我这里就不谈现有立法问题，先从基础理论问题开始谈起。

第一个问题，数据的内涵和范围到底是什么样的？ 数据安全法既然是以数据安全作为对象的，那毫无疑问要说明“数据”究竟是什么意思。我觉得对数据的理解，应该分别从传统观念和现代观念来看。从传统的观念来看，数据的意思很清楚，就是我们现在的统计数据、企业的财务数据，还有科学实验数据，都是一种定量的数据。而我们现在讨论的数据，它应该是一个定性化的数据，我们可以想象一下黑客帝国，那里的数据可以组成全世界的、包括我们自身主观感觉在内的东西，可以去记录、描摹、再现和重构我们所有活动的东西。所以，数据安全法应该将数据放在第二个层面上，定量数据可以在统计法或类似其他法律中予以规定。

第二个问题，数据到底是线上的还是线下的？有两种不同的观点。一种观点，数据安全法既包括线上，也包括线下；另一种观点，也是我比较赞成的，主要是线上的，不要管线下。因为线上的数据基本上是定性的数据，而线下的数据多数是定量的。而且，在大数据时代，只有和计算机结合起来的数据，才属于数据安全法所规制的。但这里面有个问题，如果是离线的数据呢？我认为，只要是通过计算机的方式来存储和处理的，离线的数据也应该属于数据安全法所管理的范围。

最后一个问题，如何理解数据和信息的关系？关于数据和信息的关系有多种理解：第一种观点，数据等同于信息，数据和信息只是在不同场景下的不同使用而已，其实二者没什么区别。第二种观点，多数人尤其是计算机专业的，会认为数据是比信息更大的一个概念。因为信息可能是有意义的数据。第三种观点，数据比信息更小，因为数据只是信息的一种呈现方式，信息可以以别的方式来呈现。我觉得，能不能理解成这么一种关系：数据和信息是基于对同一个事物的不同描述，简单来说，数据是信息的载体，而信息是数据表示的内容。

当然，这一观点可能存在很大的分歧，所以我特别想听到各位老师的观点。我举个例子，比如我手机记载了杨老师的电话号码，其中有住址之类的个人信息，然后我的手机掉到珠江里找不到了，或者说找到了但已经被腐蚀了。那么数据就没有了，但信息肯定还在，它还在你的脑子里或者是别的同学的手机里。所以就有个问题，数据和信息是分离的，但在数据仍然存在于手机时，二者又是不可分的。

由于数据和个人信息的数据的区分，数据安全法和个人信息保护法应该是一套立体调整架构，而不是一个平行架构。所谓立体调整架构，就是数据安全法比个人信息保护法更底层。对于个人信息的收集和利用，应当适用个人信息保护法的规定。当然，尽管有一个分层分割，但实际上存在一个连接。如果是因为数据安全问题，比如说侵犯数据的自主可控导致个人信息权利受损，则可以援引数据安全法的义务性规定。这是我讲的有关“数据安全法”的第一个理论问题。

数据安全法的第二个理论问题，数据主权是什么意思？之前贾开老师的发言实际上讨论的是部分数据主权问题。数据主权这个词，实际上来自网络主权。网络主权真正的法定化来自于《国家安全法》。《网络安全法》第1条也谈到“维护网络空间主权”。最近中央网信办起草了有关网络主权的文件，这些文件讲到怎么对网络主权进行分层？我们的想法是，网络主权可以分成三层，第一层是物理层，第二层是逻辑层，第三层是数据层或者叫内容层。在这个意义上来说，数据主权是网络主权的一部分。关于数据主权其实存在很多争议，特别是《塔林手册2.0》。《塔林手册》实际上是北约搞出来的一个非约束力文本，但是具有相当大的代表性。它用一个词——split来描述了各国对这个问题的争议：不同国家的观点完全分裂。一种观点认为，如果这个数据不在你的国家境内，你就不该管。另一个观点认为，只要是在我们国内产生，那么无论你在天涯海角，都属于我们的管辖范围。现在就存在一个立法问题。CLOUD法案之前对跨境数据的管辖采取第一种理解，就是说，只要在境内是属于你管，境外你别管。CLOUD法案出来之后，变成了无论你是在爱尔兰或者类似的别的国家，但凡属于美国企业能够控制的，都属管辖范围。这种控制指的是两种，一种是事实上控制；另一种是法律上控制，签了合同就算。所以，我们的《国家安全法》到底采取哪种？是选择属地管辖，就是只管中国境内，出了中国境内都不管；还是属人管辖，只要与中国境内的企业、境内的组织、境内的个人相关的数据，无论你在天涯海角，都要管，这可能就太广泛了。说实话，这也是美国人被批评的地方。比如，为了避免外国的质疑，微信英文版的数据并不在中国，实际上是单独的服务器、单独的一个版本。

还有一种做法比较弱化，比如说能不能学习GDPR的“保护管辖原则”。如果你在境外的活动导致了中国组织、企业、个人的利益受到损害，那么你就应当被中国法院管辖，中国不主动去管，但只要中国利益受到了严重侵害我就要出手。《网络安全法》第75条规定了这一规则，如果“关键信息基础设施”受到境外的严重损害，你是可以去管的。当然这是比较窄的，因为它只限于CII(“关键信息基础设置”的英文缩写)。以后不会进一步扩张，这是一个可能的立法思路。

第三个数据安全法的理论问题，到底数据安全法规制的是什么？是规制所有的数据，还是只规制一部分数据。对这个问题大家都已形成基本共识，数据一定要分级分类，因为你眉毛胡子一把抓是管不好的。但是你怎么分级分类，有哪些标准？第一个标准就是很多人谈的标准，分成个人数据、企业数据、政府数据，但这种分类标准是不现实的。因为实际上政府数据和个人数据、企业数据之间存在着非常密切的交叉，一个数据可能既有个人的，又包括了政府利益和企业利益。我举一个例子，今年我们有新的个人所得税法的减税，你申报的时候，App里你传递上的很多信息是政府去收集，但是政府收集的这些信息显然是个人数据，而且很多是非常敏感的数据。所以这个时候进行分级分类也不现实，我们都知道，对数据的分级分类，尤其是分成个人数据和非个人数据的方式来自于欧盟，但是欧洲对这种分类已有很多批评。第二个标准，我们就不按照这个主体来分，我们按照对国家的影响来分。因为数据安全法管的就是国家安全，如果这个数据与国家安全有关，我们就认为是重要数据；如果没有关系，就认为它是一个不重要的数据。我们主要管重要数据，对于不重要数据，暂时先可以不管。

如果这样的话，就有一个重要问题，怎么去界定这种重要数据？中央网信办去年一直在搞一个文件——“个人信息和重要数据出境评估管理办法”。它为什么没有出来，很重要的原因就是重要数据没法被界定。因为传统上的重要数据就来自网络安全法，网络安全法的重要数据是怎么被界定的？它是通过CII进行的。关键性基础设施的数据，就是重要的数据，因为这与国家安全紧密相关。它是通过这个去锚定重要数据。但是如果中央网信办这个管理办法出来，CII就太窄了，应该要拓展到所有的领域去。但问题是怎么界定？按照网信办后来的一些规定，它采用列举法。首先是定性再加列举。但这种定性加列举的方式有两个缺点，一是无法将所有的类别一一列举，二是将导致重要数据的范围无边无际。所以我的想法是，能不能通过“同一利益状态”加“相似构成要件”的方式进行界定。所谓同一利益状态，从要素上说重要数据应该是和整个数据宏观安全相关的；所谓相似构成要件，是讲只能是侵犯到国家对数据自主可控权力的，才构成对重要数据的侵犯；最后是标识，就是能不能进行相关的登记，包括通过电子方式或者其他方式去做类似于美国的“受控非密信息”(controlled unclassified information)的方式加以标识。那么这样一来，可能会形成一些基本推断：第一，重要数据应该不包括宏观统计数据、经济数据等定量的数据。因为定性的数据才是我们数据安全法观测范围，所以定量不算。第二，与个人和企业利益相关的数据不属于重要数据，因为不是与国家的宏观安全相关的。 但是如果自然人的数量特别多，比如超过100万，那么可能是重要数据。第三，公开的数据应该是国家放弃了控制权，不应该被视为重要数据。但是有很多人的观点包括立法机关的观点，是说公开数据也不能随便抓取。前段时间有一个案子，一个高中生拍了中国很多军事杂志上的照片传给了境外赞助商，这杂志上的照片危害到国家安全法。所以，这个问题在立法的时候也是非常重要的，到底公开数据算不算国家安全法保护的重要数据范围？

最后，对合法数据进行汇聚整合，没有侵犯到国家自主控制权的，应该不构成重要数据。比如去分析整个珠三角地区的空置率，然后推断工厂或者整体经济的发展情况，或者城市居民的活动情况，这不应构成重要数据。

这是我的几个基本推论，和现在很多的观点不太一样，请大家多批评。

贾开老师讲的是跨境数据流动，许老师讲数据安全法，实际上数据安全的问题有很大一部分是与跨境流动有关的。现在再没有一个国家是绝对排斥数据流动的，甚至俄罗斯也并没有绝对要求将数据留在本地，完全不流动，它只是策略性地强调这一点。所以贾开老师文章中讲的问题，我个人认为应当从国际公法的维度展开来讲。

对美国的CLOUD Act，我们一般的解读是，美国的目的是什么呢？就是为了伸出手，实现长臂管辖，向全世界要数据。但美国司法部自己给出的解释是，CLOUD Act实际上就是为了让大家能够用更简单的方式进行数据交换和协助。现在刑事司法领域用到电子证据，多数涉及跨境电子数据的证据跨境交换。比如现在巴黎发生一宗杀人案，巴黎的警察发现几个嫌疑人社交网站的数据是在美国，那巴黎的警察要破这宗案件，就必须去找Facebook或者其他美国公司。但在现行的体制下，对外国人的这种要求法院是不能直接基于司法审查就发出调查令的。法国就要走所谓的双边司法互助协议程序，这个程序不仅特别麻烦，而且很耗时，需要经过好几道外交途径，从外交途径进入政府程序，然后到司法。所以美国现在主张，像这样一种案件，这事发生在法国，死的也是法国人，所有事儿都是法国的，犯罪嫌疑人和美国也没什么关系，美国也没有什么道理非要把这样的数据留在美国，不让你法国人拿到呀。因此，我们能不能简单一点。CLOUD Act就是基于这样的思路。就是说，在这样的情况下，如果美国和法国之间能够建立一个行政协调的机制，能够签一个协议，法国司法机关就可以到美国法院申请调查令获得数据。

因此，按照美国人自己的说法，你看我们搞这东西是很有诚意，有些数据我们觉得跟我们没关系的，但是存在我们这儿，外国人想来拿的时候，我们可以把数据给你。但是，因为传统上我们把数据的跨国流动给限制住了，所以现在把这个限制放宽了，就像把窗帘拉起来了。值得注意的是，美国当然会强调，我们做这个肯定不是无原则的，也就是说，我美国这么做了，如果我给你提供这个待遇，基于外交对等原则，你也得给我这个待遇。所以下次如果有这种情况，所有牵涉事件的利益都只跟我有关，但是恰好这个数据是存在爱尔兰的，或者存在法国，你也必须要给我们提供便利。对美国而言，这当然只是他的官方说法，他只把好的一面说出来了。但即便如此，数据这种东西，最终双方都是只有在互相之间都有各自想要的东西的前提下，才有可能去进行合作。现在大的问题就是，为什么数据主权和本地化问题引发了很大的争议？坦白地讲，就是美国等西方国家一头，中国、俄罗斯等国另一头，互相之间没法对等交换：第一，你想要的数据，我没法给；第二，很多时候数据需求是单向的，所以在这种情况下不具有合作的基础。在这种基础上谈跨境数据流动肯定是有范围限定的。贾老师最后的落脚点是应当找到一种合作机制，但这种合作机制是建立在什么基础之上呢？现在可能的基础是共同利益，但是倘若共同利益有限，这个时候光想靠机制设计解决问题，难度就太大了。

许老师讲的是安全问题。数字安全法我觉得挺有意思。按照许老师介绍的情况，在立法方面，我们国家规制数据安全问题的法律要制定一部，这将是在个人信息保护法之外的。但是我们之前搞的《网络安全法》里面，其实这两个东西都有，所以有意思的地方是什么？你发现我们中国的立法者或者中国的各方学者的观点，包括从社会意识角度来讲的观点，他们所理解的隐私或者说个人信息保护，与安全问题从来都几乎就是同一个问题。在我看来这恰恰是一个正确的看法。为什么这么说呢？在美国，最近这一段时间，国会一直要推一个联邦统一的消费者数据保护法，因为加州已经搞出来CCPA，于是美国说，我们联邦层面上最终也得搞一部这样的法律。但假如在隐私和安全领域，如果只有隐私没有安全，其实你搞任何隐私网络也都是白搭的。为什么？简单来说，加州的CCPA搞得很复杂，对各种各样的数据处理情形都有规定，商家收集数据的时候要有规范，存储的时候也要有规范，传输的时候也要有规范，使用的时候也要有规范，还有交易时都得有规范，但是这样一来，这个商家就得想很多办法以满足合规的要求，它花了很多的钱，才能合规。结果，黑客一攻击，就把数据全拿走了，前面花的钱全都白花了。所以，我觉得这就是我们中国人比较深刻的一个地方，从一开始就理解隐私和安全两个问题一定是连在一起的。所以这也就是许老师那篇文中所主张的，我们不管在规范层面上还是体系结构上，肯定是要把隐私和安全放在一处讲。我觉得这也是对我比较有启发性的地方，确实是应该往这个方向走。

庆启宸的文章，我觉得是还有很多有意思的问题可挖掘，我感觉这里面谈的问题其实很像去年出版的Radical Markets那本书中提到的数据作为劳务的概念。书中认为，我们一直反复强调数据保护，意思是要保护这个数据，这其实是消极保护。另外，很多时候所谓个人数据、个人信息，其本身是一种公共产品，有公共价值的。而公用产品意味着什么？意味着生产或者供给会存在不足。

您这篇文章所讲的实际上是同一个问题，尤其是在进入人工智能生产之后，我们发现人工智能缺的东西是什么？是数据。智能算法要训练的话，实际上现在数据不够，因为虽然现在的数据都是免费的互联网模式下产生的数据，但是这个数据非常单一，质量不高，都是消费性数据，反而是真正能够用来训练算法的这种生产性数据不够，但生产性数据是需要花钱买的，而在免费互联网商业模式下，获得数据的价格不透明，虽然有价格，但看上去免费，互联网这个模式是商业模式下产生的数据，这样生产的数据也是有价格的，你提供数据你也是希望获得对价，但是对价不明确使得他们获得合理支付的概率就小了。因此他们认为，应当说好以后生产数据的对价。例如，你在家打游戏、在家上网，这也是上班，就应该付钱给你——他们主张只有这样做才能更有效地促进数据生产。

您的文章里面有意思的地方在哪？您讲生产不足，那么，是什么原因导致生产不足？您的看法是，不是因为对价不足，不是因为我提供了数据，却没给我足够的钱，而是因为我认为整个生产环境当中信任不够，所以我才不愿意。这正是我觉得比较新鲜的一个地方：不是因为价格不透明，不是说互联网就必然是商业模式的问题，而是说问题在于信任。您的理论逻辑是说，公众是基于信任进行数据生产，而不仅仅基于价格。所以如果现在有一个公司或者一个企业，它不保护用户数据，随便滥用用户数据，导致整个环境当中的信任减少，实际上这一个企业的行为就产生了一种新的外部性，这是我们目前文献当中谈的比较少的问题。此外，我认为还有一种关系问题，就是说一个公司保护用户隐私，导致大家都没得用，都搞不到数据。这一点我觉得也是特别有意思的，如果我来写这篇文章，我甚至可能全部集中于写这一个问题。

下一步可能涉及经济学上的话题，您的逻辑，就是说会有一个反驳，即企业之间会竞争：如果说因为现在有的企业它数据保护不好，所以大家不生产了，结果连累其他人，那么为什么企业之间不基于数据保护展开新的竞争？这样的话就可以生产新的信任。也就是说企业有可能基于自利而有动力去生产信任。假如这样，则有可能一定程度上缓解所谓的公共品的问题，也就是说数据不完全被视为一个公共品。

当然，我倒不觉得这种经济学逻辑有说服力。所谓信任，它到底有可能是一种什么东西呢？信任从本质上看，是依赖于投入的，它不是那种无限的、人人都可以分享的资源。比如说，现在我们假定这个市场当中有10个企业，而用户很可能在这个环境中，只能给5个企业以信赖，它只能把自己的信任给前5个，而没法给所有的企业，这个时候就必然会产生一种躁动。你如果要求大家去为这个东西竞争，反而在经济效率上可能是不好的。因此我觉得，这是比较有意思的一个话题，可能可以往这方面更多地用力。我们刚才强调说最大的问题是缺乏信任，那么你怎么生产信任呢？信任生产，一种方案是靠市场竞争生产，我刚才说了这有可能行不通；另一种方案是靠别的资产来建立信任，也就是说，到最后你发现最终信任的结点可能还是在于大家所相信的法律的保护，所以这时候就像所有其他领域一样，是按法律来产生出一个底线式的信任状况。

首先是贾老师的文章，读过之后，感觉不是我特别擅长的领域，因为它一方面不是法学，另一方面视角非常宏大；其实我觉得与许老师最近的研究还比较接近，许老师也有很宏大的研究取向。宏大取向的确给我们提供一个非常全景化的视角，但驾驭起来其实相当困难，你要对其历史的发展脉络，对各种各样复杂的因素进行处理。对这种全球环境下的跨境数据流动的这种复杂互动的主体和他们的关系进行梳理和剖析，读下来还是非常有收获的，也可见作者有非常强的驾驭能力，不管是对资料还是对世界局势本身的剖析，还是对理论的运用，都体现出深厚的功力。虽然我不是在这个领域有所专攻的学者，但是我对这篇文章也有比较强的一些期待，比如说，首先可能特别想知道在具体的跨境数据的架构的过程当中冲突的矛盾点在什么地方。对此贾老师很好地梳理了不同的制度下，特别是美国欧盟这些国家地区，它们所运用的不同的处理模式，贾老师的文章特别提到了制度的差异，这实际上就是回应了刚才戴昕老师所提到的问题，制度之间之所以没有办法兼容，没有办法形成标准化的国际共识，是因为存在着一些重要的障碍。

我也认为，在数据这样一个非常综合性的框架下面，还是需要去进一步分类分析的。当我们去谈个人数据和非个人数据的时候，有可能即使是在一个国家或者地区内部，它处理的原则和价值取向也是不一样的。贾老师在文章中提到了欧盟侧重于强调个人权利的属性，美国更多的目的是强调信息的流动。如果我去处理这个问题，我可能会认为，在美国法的框架之下，它同样有权利保护的因素，而不仅仅只有一个信息公开的诉求，实际上现在FTC的实践以及其他特定立法领域也非常重视对于个人权利的保护，只不过它反映出来的机制可能是一种消费者保护的机制，或者说分散立法保护机制，但是背后它依然有对于个人的保护，不管它叫隐私权还是数据权，都有这种对个人权利的关切在里面，所以在具体的个人数据的领域有可能他们恰恰是存在共通性的。而在中国也是有这样的一个角度。那么如果我们把视角放到非个人数据的领域，实际上之前许老师的文章中也有讨论，在欧盟的非个人数据流通的条例中，恰恰是强调数据流通的，至少是在欧盟境内的流通，所以在这个意义上，我们应该把数据的种类分开来，分门别类地去考虑。第一是它的价值取向的问题；第二是不同的数据的下面大家分别用什么样的规制模式，这就是从价值取向和规制模式这两个角度出发所进行的讨论。如果能做一个更加清晰的梳理，那么也许对我们理解这个问题的全景会有所裨益。贾老师在论述中谈到，在去梳理跨境数据治理的过程当中，比如说从前面讲的国家主权之间的关系处理变成“公—私”结合的关系处理，可以由企业直接去面对问题，而由国家去实现数据的流通机制建立，我觉得这个梳理对我非常有启发，处理得非常好。

但是文章的后面，关于后斯诺登时代的这一部分，可能是因为我阅读的时间不多，我不是特别明白您想说的是什么，斯诺登之后到底是形成了什么样的一个格局，我作为读者也非常希望在这样一个梳理之后能够提出一个未来的路径。如果在后面建构未来路径，结合数据独有的特殊情况，能够去提出一些更综合性、更多元的架构性建设性建议，这样，我个人会特别期待。

许老师这篇文章其实是一个非常好的立法建议稿，按照您文章的设想，可以直接去从事一些基础立法，框架很快就能出来了。关于数据安全法，其实我自己特别感兴趣的问题就是它的边界到底在哪里，它跟个人信息保护法、网络安全法、国家安全法，以及与数据处理相关的包括消费者保护的其他法律规定，它们的关系是什么？这是一个关系问题，同时也是一个边界问题——数据安全，它到底应当处理到什么程度。文章用了一些非常好的定性式的概括，并给出了基于这些概括的结论。其实应该说，您已经给出了立法的方案，而且这个方案是非常全面的。我发现，在您的论述中，对“安全”这个概念做了特别好的一个分析，可能这就是一个合适的数据安全法的界定——要解决安全问题就要界定数据安全法的边界。如果像戴昕老师所说的，“安全”实际上是个隐私问题，那么数据安全法又要不可避免地涉及个人信息保护法中的隐私保护问题，要把个人信息保护问题纳入。

但是，许老师的观点很明确，他其实想说个人信息并不是数据安全法想要重点去解决的内容，也提出了数据安全法所强调的安全并不是数据自身的安全。数据自身的安全应该由网络安全法的条款去解决，它要解决的是国家对数据自主可控以及宏观安全的问题，这就接近国家安全的概念了。此外，当您建构出国家安全的概念，那么除了这个概念本身，我们可能更想知道，在现实中它所对应的边界在哪里？如果我们只是说国家对数据要自主可控，要在任何情况下都保证宏观安全，有可能它就是一个泛化的数据安全，有可能在任何时候都可以延伸到我们生活的每个角落，甚至于在个人数据安全和隐私保护的层面上，它都可以去排除或者说是优于隐私保护。这样一来，边界可能就是一个很难确立的问题，但这也许是我们研究法律的人最关心的一个问题。

其实数据和个人信息的关系，包括您说的数据和信息的关系也值得讨论。其实我们把数据和信息区分开固然是一个很好的学术探索，但是假如出现这样一种典型的社会场景应该如何应对：当我们想要数据安全的时候，却出现了大规模的信息泄露。这时可能数据是泄露的内容，但实际上有泄露价值的却是信息，那会不会涉及数据安全法对数据和信息定义的问题？当你把数据和信息区分开来，这么做是为了解决什么问题？这可能也是我比较关心的。

最后，您认为数据安全法的数据主要应该是电子数据，并且应该是重要的数据，其实您是把数据按风险程度来进行划分，我觉得这是很好的一个进路，因为其他的分类方式都不足以让我们能够更好地去应对可能出现的重大变迁。但是，既然我们的关注点是安全，我们以风险为着眼点去进行分类，那么同样可能要解决的一个问题就是，如果数据安全法只关注重要数据，而不关注个人信息的安全，以及一般数据和一般信息的安全，则重要数据与普通数据应当怎样区分？为什么要单独地专门为重要数据立一部数据安全法？这可能也是我们感兴趣的问题。当然如果试图在这一篇文章里解决所有这些问题，我相信肯定是过于困难的，我在这里只是提出一些自己感兴趣的问题供讨论。

最后一篇是庆博士的文章。这篇文章讨论的是个人信息领域当中很重要的一个点，他在理论上做出了很好的梳理和回应，这一点是我非常佩服的。这篇文章的论题关系到很多理论，特别是他把个人信息以财产权和知识产权的模式进行比较，实际上具有很大的启发价值。我本人是从知识产权领域开始关注个人信息，这是因为它们的规制模式相类似，的确有非常高的可借鉴性。我觉得庆博士这篇文章给了我们很好的一个观察视角，这是一方面。另一方面，我们在使用这些概念和对比的时候，也应当考虑到信息本身的特殊性。

我想到了以下几点：

第一点是财产权。当我们提出将个人信息作为一种财产权，它的理论脉络和现实基础是什么，这可能需要做出一定的交代。实际上，如果我们去看国内多数学者基于民法上的权利如人格权和财产权的论述，主张财产权的实际上并不是主流。所以，假如你要说它是一个财产——可能我的理解不太准确——你是否更多的是基于美国法上的概念而立论？就是说，因为它是一种控制机制，所以它可能是一种产权。但如果你要把它放到人格权和财产权这样一个谱系当中去讨论，或者你要把它跟著作权进行比较，实际上你有一个没办法解决的问题，就是可转让性的问题。当我们谈知识产权可转让的时候，转让的概念是说我给了你之后我就没有了，这是财产转让概念。但是在个人信息方面，我们极少会收回我们的信息，更多的是一种授权同意，但是并不能说我把信息许可出去之后，它可以不受限制地去流转，一般来说是这样吧？你可以对不特定的第三方授权，但是并不见得我会失去对于这个信息的所有权利，所以在这个意义上它更像是一种不可让渡的权利，我可以去许可它，授权它，但是你很难说它是一个民法上的财产权。因此，在这个意义上，我还是想提出一点点疑问，就是信息权实际上很难转让，至少在现有的制度基础上，没有一个制度会在信息脱离你控制之后，让你觉得失去了权利，这是我提出的第一点看法。

第二点是关于劳动理论和功利主义理论。当然这的确是非常好的一个与知识产权法进行对比的视角，但是，在个人信息的领域单谈劳动理论和功利主义是不够的。当我们讨论个人信息的制度基础的时候，现在多数人，包括国外的学者都会去谈风险的问题，因为很多时候我们并不只是把它作为一个劳动成果来处理，这是与知识产权最重要的区别。实际上，当我们谈到个人信息保护在中国的最重要问题，如果你去梳理它的脉络，我们可以发现，最早的起因大致是各种诈骗。例如，徐玉玉案件等都是大家关切的问题，可见个人信息泄漏给我们带来的困扰和风险是大家最初关注的焦点，然而现在大家逐渐转向了。关于被遗忘权，洪老师提出的问题特别好，她认为，现在人们开始关心我是不是可以对我个人的外在呈现去进行控制，实际上就像物理世界的一个外部形象延伸到了网上，这个时候我控制的抓手和我的工具就是我对个人信息的一个控制，这个问题实际上已经不再只是风险的问题了，我理解这是一个人格利益问题。那么，像人格利益风险等个人信息理论当中主流的观点，你不能因为仅仅处理了它跟知识产权的对比，处理了它的劳动论和功利论，就将它们忽略掉。因为，如果要解决个人信息为什么要被保护的问题，必须认识到它本身可能体现了主体的意志，这是我想说的第二点。

第三点是，当你通过各种理论的分析去解决为什么要有个人信息保护这个问题的时候，我的期待是：你在最后会提出个人信息保护到底是什么？它基于的基础理论到底是什么？最后你给出的结论，我认为核心方案是把它当作一个公共产品，并且它应该是一个以用户信任为基础的公共产品。对这样一个机制，我的疑问是如何实现其保护的机制呢？而前面看到的论述都是个人信息应该是什么，保护的对象应该是什么。我觉得或许你可以单独去写一篇文章讨论后面的问题，既然你告诉我们，个人信息应当是一个公共产品，那它本来就不应该有太多的个人属性，然后你应该根据公共产品的原理去设计相应的规则，我觉得应该是这样，谢谢。