数据四重性及其合规系统

陈福，中国政法大学国际法学博士研究生，中国政法大学欧盟法研究中心主任助理，北京大学“法律硕士（涉外律师）培养项目”授课教师，主要从事国际知识产权法、反不正当竞争法、生物技术法、数据合规相关法律的科研与实务工作，在国际知识产权保护、数据合规及其保护等领域具有十余年的法律实务经验，并具有深厚的法学理论功底，力主提出了以保护商业秘密的方式来有效保护企业之数据权益的观点,并在司法实践中成功获得司法部门的认可；在北京大成律师事务所担任合伙人期间承办了数百起知识产权与数据保护诉讼案件，相当一部分案件产生了广泛影响，例如“石油数据商业秘密保护案”“新华发明专利侵权再审”“化学专利侵权再审”“热保护器专利侵权再审”“蜡烛外观专利侵权再审”等最高人民法院审理的案件。

第一章 数据保护现状

第一节 数据保护的研究现状

一、以大数据方法检索数据保护的研究现状

二、检索结果及分析

第二节 数据保护的立法现状

一、我国数据保护相关的法律法规

二、国际上数据保护相关的法律法规

第三节 数据保护的司法现状

一、明确判断个人信息的规则

二、企业享有的数据权益边界

三、企业享有劳动者个人数据隐私权的边界

四、否认“被遗忘权”的权利类型

五、以不正当竞争的方式保护企业相关数据权益

六、以国家安全方式保护我国人类遗传资源、生物识别等敏感数据

第四节 国际数据信息保护现状

一、个人隐私与数据保护

二、国际上对商业秘密的保护

三、对我国的启示

第二章 数据以网络空间为基石

第一节 网络空间概述

一、网络空间的概念与特征

二、网络空间的发展方向

三、网络空间的未来畅想

第二节 网络空间国际法新疆域

一、深海、极地、外空、网络空间国际法新疆域

二、网络空间国际法新疆域概述

第三节 网络空间治理中数据涉及国家安全

一、网络空间新疆域治理中国际法适用问题

二、网络空间新疆域治理新规则制定问题

三、数据主权

第三章 数据的四重性

第一节 个人信息属性

一、个人信息属性之定义特征

二、《个人信息保护法》新规出台

三、个人信息保护之域外经验举例

四、个人信息属性——典型案例解析

第二节 企业数据属性

一、数据处理

二、数据管理

三、数据交易

第三节 公共利益属性

一、GPL协议与数据的公共利益关系

二、API与数据的公共利益关系

三、数据的公共利益属性

第四节 国家安全属性

一、数据本身具有国家安全属性

二、以数据为内容的网络空间治理具有国家安全属性

第四章 数据法律关系的主体

第一节 自然人

一、数据行为能力

二、自然人对数据的控制权

第二节 企业

一、法人的权利能力

二、企业作为数据法律关系主体的权利

三、企业作为数据法律关系主体的义务

第三节 政府机关

一、数据监管部门

二、政府机关的监管职责

三、政务数据

第四节 国家

一、数据领域的国家基本权利

二、数据领域的国家治理责任

第五章 域外数据保护制度之比较

第一节 欧盟数据保护制度

一、欧盟数据保护制度概述

二、欧盟数据保护制度亮点分析

三、欧盟数据保护制度缺陷分析

四、欧盟数据保护制度的立法启示

第二节 美国数据保护制度

一、健康数据保护方面的立法

二、金融数据保护方面的立法

三、其他方面的数据保护立法

第三节 日本数据保护制度

一、《日本个人信息保护法》立法概括

二、个人信息保护委员会监管个人信息保护、使用与交易的全流程

三、日本个人信息保护与合理使用经验的立法启示

第四节 印度数据保护制度

一、印度数据保护立法背景

二、《印度个人数据保护法案》的主要内容

三、《印度个人数据保护法案》的典型特点

第五节 GPL协议与数据保护

一、GPL协议的核心思想与要求

二、关于GPL协议中的“使用”的理解

三、关于GPL协议“传染性”的问题以及法律风险

四、GPL协议软件用于商业

五、GPL开源软件项目法律合规业务中需要重点关注的几个问题

六、GPL协议的法律性质分析

第六章 企业数据合规体系

第一节 数据合规监管体系

一、中央网络安全和信息化委员会

二、国家互联网信息办公室

三、市场监督管理局

四、工信部

五、公安部

六、各行业主管部门

七、违反数据合规监管的后果

第二节 企业数据合规管理体系

一、组织架构

二、合规责任人

三、数据合规管理部门

四、数据保护官（DPO）

五、数据合规管理协调机制

第三节 数据合规制度体系

一、数据分类分级保护制度

二、数据风险识别制度

三、数据风险评估与处置制度

第四节 数据合规保障体系

一、合规咨询机制

二、发现机制

三、激励和惩罚机制

四、培训机制

五、信息化建设机制

第七章 按属性构建数据分类保护体系

第一节 数据保护理论的现状及争议

一、以财产权方式保护数据权益

二、以侵权法方式保护数据权益

三、以知识产权法保护数据权益

四、以人格权的方式保护数据权益

五、以反不正当竞争法来保护数据权益

第二节 以网络空间为基石

一、网络空间配套法律体系建构

二、从技术层面规范网络行为

第三节 个人信息层面的保护

一、我国个人信息保护现状

二、个人信息保护之域外经验

三、构建个人信息保护的多元化法治体系

第三节 企业数据层面的保护

一、企业数据保护现状

二、推动构建个人信息保护与企业数据保护融合发展的法律体系

第四节 政府机关层面的保护

一、公共利益数据保护现状

二、积极构建公共利益数据保护体系

第五节 国家层面的保护

一、国家安全相关数据保护现状

二、构建国际数据保护法律体系

参考文献

第一章数据保护现状

在数字经济时代背景下，数据信息已经成为第一生产要素，数据保护对于个人、企业、行业甚至国家来说，其影响是巨大而深远的，且早已上升到国家安全的层面，同时数据的收集、使用、存储、加工、传输、提供、公开也成为影响数据安全的最大挑战。数据信息既是互联网时代不可或缺的生产要素，个人数据在去识别性之前也是一种具有人身属性的人格权益。互联网时代，数据信息是企业重要的资源和战略性资产，以互联网企业为代表的主体大量收集、处理、存储、运用消费者或用户数据并据此制定商业使用战略措施或者与其他企业或主体共享数据，或在原有数据的基础上进行整合和进一步研发，形成数字资产。因此，数据价值日益凸显，但是前述数据流通的全流程存在巨大的信息泄露风险。

21世纪初，数据信息产业初步发展，行业内形成的自律公约组织快速发展，在初步发展阶段几乎处于无政府监管状态；新事物总会带来新问题，相对于社会其他产业，数据产业发展到一定程度仍然处于无序状态，数据相关企业为谋求发展不惜损害消费者或用户个人信息数据权益。数据产业发展到此阶段，数据信息的法律保护和政府监管是网络技术和数据信息发展应运而生的需求，更是社会民众对于数据主体权利的时代呼唤。因此，2018年5月25日生效的欧盟《通用数据保护条例》（General Data Protection Regulation,GDPR）自诞生之初就被赋予重望,此后，在GDPR的深刻影响下，多数国家持续推进综合性数据保护立法进程，并在此基础上不断地细化监管要求和执行标准。2021年11月1日正式施行的我国《个人信息保护法》借鉴了GDPR的立法理念，作为我国首部“数据时代的基本法”，《个人信息保护法》规定了个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、个人信息跨境提供的规则等内容。作为我国个人信息保护领域的专门性法律，《个人信息保护法》在《网络安全法》等法律规定的基础上，进一步确立了我国个人信息保护立法的基本框架，并与《网络安全法》《数据安全法》等法律共同构建起我国数据保护领域的监管法律体系。《个人信息保护法》的正式施行将对个人信息的使用、处理、保护产生全方位的影响，也将全面促进各大民事主体对个人信息的合理利用。同时，应注意到，基于我国社会经济发展水平尤其是网络信息科技发展现状以及我国历史文化传统的基本国情和当下法制体系待完善等多方面的原因，我国数据信息的法律保护一直呈现出明显的局限性和滞后性。

本章梳理我国数据信息保护的研究理论现状、立法现状、司法现状，结合实际案例，并与其他国家进行比较，总结出我国当下在数据信息保护方面存在的问题。

第一节数据保护的研究现状

一、以大数据方法检索数据保护的研究现状

本书以大数据方法论来检索和研究数据保护的研究现状。检索关键词为：数据、保护、个人信息、数据保护、数据资产。检索式为：（篇名：数据）and(篇名：保护）and（全文：个人信息）and(全文：数……

本书通过梳理数据合规及保护的研究现状、立法现状、司法现状，总结目前我国在数据保护方面存在的问题；根据数据流通的不同阶段、数据存在的不同形式，数据具有个人信息、企业数据、公共利益和国家安全四种不同属性，其分别对应自然人、企业、政府、国家四种法律关系主体，基于此种逻辑对数据进行深入分析，以此探究数据保护的本质；通过梳理对比国外数据保护制度，分析我国数据法律保护方面存在的不足；本书创设性地建议我国按照数据的四重性，以网络空间为基石，在个人信息、企业数据、政府和国家层面构建数据分类保护体系；建议从数据合规监管体系、数据合规管理体系、数据合规制度体系和数据合规保障体系等方面来构建企业数据合规体系。