全球數據圈正在經歷急劇擴張 2025年預計將增加至175ZB

2022年2月23日，歐盟委員會公布《數據法案》(Data Act)草案全文。草案就數據處理明確提出，要建立開放互操作性規范和數據處理服務互操作性的歐洲標準，促進無縫的多供應商云環境形成，推動構建統一的數據處理服務市場。

在互聯網普及前，數據處理主要依靠人工手段，規模小、傳播速度慢。隨著網絡的發展，數據總量大幅增加，對人類處理數據的能力提出了更高的要求。

知名調研公司IDC指出，全球數據圈正在經歷急劇擴張，2025年預計將增加至175ZB。其中，中國數據圈預計增加至48.6ZB，獨占全球份額的27.8%，將成為世界上數據容量最大的區域。面對如此龐大的數據圈，如何合理有效地處理數據，是挖掘數據價值的關鍵。

歐美國家：從“知情同意”到“與場景一致”

歐盟堅持統一立法的模式，不斷完善以知情同意為核心、以多國共建為抓手的數據治理體系。《第95/46/EC號保護個人在數據處理和自動移動中權利的指令》首次提出了知情同意原則，將“數據主體已明確表示同意”作為數據處理的合法條件之一。《通用數據保護條例》更明確地界定了數據主體同意的標準，即“數據主體依照其意愿自由作出的特定的、知情的指示。通過該等指示，數據主體表明其同意處理與其相關的個人數據”。在統一立法的基礎上，歐盟設置了統一的監督機構——歐洲數據保護委員會，其成員國也各自設立數據管理機構，如英國設置了信息專員辦公室，荷蘭、西班牙均設立數據保護局，對數據處理行為進行監督。歐盟最新出臺的《數據法案》再次提出，各成員國可以新建機構或依靠現有機構，推進數據保護法的實施，通過調動成員國力量，打造多國共同參與的治理格局。

隨著數據總量增加和數據處理手段的多元化，知情同意原則在實踐中困難重重，數據處理機構發布的隱私政策十分冗長，數據主體往往難以完全閱讀，僅為了獲取服務而盲目選擇同意，該原則多流于形式。為了解決這一問題，美國在《消費者隱私權利法案(草案)》中率先提出了一種新的規制路徑——以“場景一致”為原則，輔以風險控制手段。此項原則主張結合不同的數據處理場景，以數據主體在相應場景中的隱私期待和風險接受度作為標準，判斷數據處理行為是否合法，如該數據處理行為被判定為不合法，數據處理者需要進行風險評估，并且為用戶提供降低風險的手段。該草案搭建起以場景為基礎、增強用戶控制為補充、風險評估為手段、風險控制為目標的架構，打破了知情同意的桎梏，為提高數據處理效率、增進數據流通提供了更靈活的選擇。

我國法律規制現狀：以安全保障為中心

自2012年起，全國人大常委會出臺的多項保護指南和保護規定中都涉及對數據處理的規制，但是都側重于指導和建議，不具有強制力。隨著實踐發展，原有的文件不能滿足治理需要。由此，《網絡安全法》《數據安全法》《個人信息保護法》應運而生。

2017年6月，《網絡安全法》正式實施，首次將數據處理主體區分為“網絡運營者”“網絡產品或者服務提供者”“關鍵信息基礎設施的運營者”等類別;規定了數據處理者負有不得泄露、篡改、毀損數據，禁止非法出售數據等義務及違反義務的懲罰性措施;賦予了個人在發現信息被違規違約處理或錯誤處理時所享有的刪除權和更正權。

從2021年9月起施行的《數據安全法》是我國在數據安全領域的首部基礎性立法，界定了數據處理的內涵，將數據的收集、存儲、使用、加工、傳輸、提供、公開等環節統一納入數據處理范疇;要求數據處理主體在遵守法律法規、符合倫理道德的前提下開展數據處理活動，特別提出了國家機關在對一般數據和政務數據進行處理時的職權范圍和監督義務;建立了風險評估制度、行政許可準入制度、安全審查制度等，為規制數據處理搭建起制度體系。

從2021年11月起實施的《個人信息保護法》提出了處理個人信息的合法、正當、必要、誠信、公開、透明原則，再次強調了信息處理者的義務和信息主體的權利。較為突出的是，本法特別提出了對敏感個人信息處理時的嚴格保護原則，細化了政府有關部門在個人信息保護中的職責，增加了違法記錄記入信用檔案并予以公示的處罰手段。

總體而言，我國法律制度始終以安全保障為中心，重視數據的安全性，多通過為數據處理者設定義務、為數據主體設定權利的方式實現雙方的平衡。但要想實現數據保護與自由流通的雙贏，還應當關注數據處理者之間的關系，進一步明晰權責，做好監督管理，激發市場活力。

下一步法律規制完善方向

首先，要堅持經濟效益與社會效益相平衡的指導思想。在挖掘數據中所蘊含商業價值的同時，要意識到數據本身所具有的較強的人身依附性，不能將其作為公共資源進行隨意開發，必須為數據處理劃定邊界，在合理范疇內開發數據，減小經濟效益與社會倫理之間的沖突。

其次，明確企業責任與權益邊界，規范數據處理者的權利義務關系。一方面要保障企業參與數據處理的權利，禁止數據壟斷等不正當競爭行為，保持市場開放，打通數字壁壘。另一方面要求數據處理者承擔相應義務，建立內部的管控制度，限制數據處理行為的目的、方式、手段，依法合規開展數據處理活動。

再次，要頒布切實可行的數據處理實施細則。在《數據安全法》設定的統一標準下，出臺強制性技術法規，對采集數據的程序、處理數據的算法等具體操作行為制定明確標準，并對違反標準的處理行為所應承擔的法律責任做詳細規定，讓頂層設計最終能夠落實到實踐管理當中。

最后，要引導社會力量對數據處理進行監管。借鑒美國模式，鼓勵企業聯合成立數據管理協會等自律組織，制定符合法律要求的行業標準，激發行業活力，引導行業自律，使其成為國家監管的有益補充。(王慧 董宏偉)

關鍵詞： 歐盟委員會 數據處理服務 數據治理體系 數據處理手段