1.大数据本质是技术，是不断增长的数据应用能力

从数据收集的角度，大数据涉及到从多样且时常为未结构化的数据源收集大量的数据；从分析的角度，大数据意味着快速分析（既可以实时分析，又可以全样本分析），它时常使用各种算法、机器学习和统计关联等工具；其结果多为预测性（预测分析）且是针对不特定人或群组描述或勾勒；结果的应用多通过个体画像（Profiling,又译个性档案）实现。

因此，大数据本质上是人类进入到信息化高级阶段的产生的数据应用能力，包括收集、分析和使用三个环节，由此形成了所谓的“大数据产业”。不过，大数据很难看作一个独立的产业，而本质上是信息产业（ICT应用）发展到一定阶段的产物。另一方面，大数据技术也必然应用于各行各业，而不是只存在少数的所谓大数据企业。当然，少数的大数据企业因掌握着技术，永远担当着基础服务功能，但大数据应用却是全面行业、全社会的。

另外，不能孤立地看大数据技术，必须与物联网（Internet of Things）、智能应用（smart applications）、云计算机（Cloud Computing），个体画像（Profiling）、 算法（Algorithms）等联系起来，作为整体看这个阶段给社会带来的变化。在这个意义上，我更愿意用数据化时代描述当下的技术带来的社会变革。

2.大数据法律的本质是数据

大数据技术应用下的数据仍然是数字形态的，他们可以以极快的速度和极低的成本存储、分享、检索、合并和复制。而且，数据往往伴随元数据（metadata）。元数据是关于某个信息在何时、何地和如何产生的数据。实际上，这些元数据远多于我们感知到的我们创设的数据（有专家认为有5倍），且元数据成为数据分析的重要对象。

大数据产生的数据不仅仅在于其存储后的分析使用，而且可能通过互联的各种设备或终端，进行实时的分布式计算和运用。边收集边分析利用大量数据（可称之为“即收即用”数据利用）是大数据技术带来的变革，是人类数据利用史上的数据利用方式的巨大突破。

从法律的角度看大数据，我们应当去掉“大”字，分析新技术带来了哪些数据类型和应用，引发了什么法律问题，需要怎样的法律规制。

3.数据利用由开放、开发、流通和使用四个环节组成

数据产业以数据利用为主要内容和目的，关键是让散布于社会各个组织和个人的数据通过通过有效的机制实现社会化利用。 在数据化时代，每个单位的数据是有限的，如何获得足够大的数据是大数据应用的关键。但是，在如今各单位认识到各类数据的潜在价值情形下，各单位会一改过去随意披露和公开数据的习惯，开始管控各自的数据，出现数据封锁，各自为用的现象。显然，这种封闭数据的现象与数据社会价值发挥背道而驰。因此，推行大数据战略必须寻找到数据社会化利用的途径。这首先需要数据开放制度。开放的数据经过加工分析而通过数据产品交易和服务实现价值。数据流通是实现从原始数据开放至加工成数据产品的销售再到消费的全过程的制度。因此，数据开放、流通和消费是数据产业骨架结构。

4.数据再利用是数据法律制度要解决的核心问题

数据具有价值，数据成为收集、利用、流通的对象，成为社会资源。要让数据开放，让人们愿意将数据拿出来给你用，就必须保护数据上可能存在的利益，只有在数据上利益得到保护，才能实现数据开放和社会化利用。同时，将散布于各种终端的有关于人与物的各种数据汇集起来，加工成有用数据产品需要投入，因而数据产品需要保护。数据上利益的法律保护和数据产品的法律保护成为数据利用和再利用秩序构筑的前提。对此，我们应当解决的问题是，数据的法律属性，数据上存在什么样权利或权益，谁可以收集和使用，应当如何收集和使用（比如是否要数据利益主体的同意）。由于数据本身具有公共属于，任何人不能排他地拥有数据，因而数据利用秩序的核心，既保护数据上的各种权益，同时又保护实际合法持有人的对数据的使用，由此形成数据为社会利用的秩序，最终实现“释放大数据红利”目标。

因此，数据再利用（再使用）是数据法律的核心问题。

5.有关数据利用法律规制的两个基本观点

观点一 政府应当采取谨慎和面向未来的立法政策。

理由有三：

其一，不要把大数据、数据看得那么独特、那么颠覆，一切数据利用仍然服务于现实生活中的各种行为，而这些行为是受法律调整的，因而大数据利用的许多行为仍然受现行法律规范和调整。

其二，大数据的应用才刚刚开始，不要妄下结论说，我们已经看到了所有的应用，看清了所有的问题，然后提出各种各样的立法建议，尤其是，要为大数据应用，数据的正当使用留下足够的空间。

其三，数据是社会主体和社会活动的反映，数据是覆盖整个社会的，数据来源多样、利益多元、价值多维、用途（目的）无穷尽，其规范难度相当大，其复杂程度超过过去的任何一种资源利用秩序的法律构造。一个基本思路是，区分数据类型、数据分析的应用场景、行业、用途和目的进行规范，千万不能对数据和大数据应用作出笼统的规制。大数据技术应用的目的、用途，法律对不同行业或领域、不同用途或目的的应用的允许程度和要求应当不尽相同。

观点二 我国个人数据法律规则与国际社会规则相悖，是大数据应用的绊脚石。

在数据化时代，数据大致可以分为与个人有关的数据（个人数据，又称个人信息）和与个人无关的数据（非个人数据，如天文地理气象等数据）。由于大数据主要服务于决策和预测，因而许多数据大多情形下与人或人群有关。这使得个人数据的保护和利用成为数据法律的基础，甚至在国际社会谈到数据保护时，仅指个人数据保护，而不涉及其他非个人数据。国际社会有关个人数据保护规则发端于上世纪70年代的德国和美国，形成于80年代。80年代初的两份国际文件基本上奠定了全球个人数据保护规则：一份是OECD的《隐私保护和个人数据跨境流通指南》（1980年），另一份是欧洲委员会的《个人数据自动化处理中的个人保护公约》（1981年）。之后，欧盟率先通过《个人数据保护指令》（1995年）推动成员国个人数据保护立法（1998年完成）；美国一直在“正当信息通则”（也是OECD指南隐私原则的渊源）指引下，采取“特别领域（包括政府、健康、金融等）立法+商业领域的行业自治+侵权法保护”保护机制。但是，从笔者研究来看，欧美之间在个人数据保护并不存在原则上分歧，尤其是从2016年欧美重新达成《隐私护盾协议》来看，更是如此。

我国自2012年起，个人信息保护开始进入各个层面和领域的法律。这肇始于全国人大常委会制定《关于加强网络信息保护的决定》，它在法律层面确立个人信息受保护原则。之后《消费者权益保护法》（2013年修订）、《网络安全法》（2016年）等法律及一些部门规章均跟随决定原则，细化规则。但是，在笔者看来，我国有关个人信息保护定位和基本原则与国际社会严重背离：

其一，国际社会有关个人数据保护立法不仅强调对个人权利的保护，还强调数据流通利用，试图寻求个人利益受保护下的利用秩序；

其二，国际社会有关个人数据保护的基本原则是，个人数据原则上可以利用（只有个别敏感信息才需要事先同意），而非我国采纳的非经同意不能利用原则。

这是因为个人信息并非属于个人，也不存在个人信息权（或个人数据权），个人信息是社会（社会交往相对人、政府、企业、社会组织）认识和识别个人的必要手段，而非必须经个人同意才能进行。按照我国的规则，一切非经同意的个人数据使用行为均构成侵权、非经同意向第三人提供（即数据流通）即可入刑（构成侵害个人信息罪），这使得我国个人数据的利用离开“同意”寸步难行。因此，在我看来，目前的法律规则几乎是大数据的绊脚石。

另外，还应当指出的是，国际社会有关个人数据保护规则形成于网络尚未普及应用的80年代，而在人类社会进入到网络化、智能化和数据化时代，数据的应用场景、应用方式、应用手段均发生了巨大变化。因此，国际社会一直在反思和重构个人数据保护规则和方式。甚至针对欧盟去年刚刚出台的《统一数据保护条例》（2018年5月生效）也不乏批评声音。简言之，个人数据保护规则仍然是个“变数”，国际社会还在寻找实现对个人利益给予充分保护基础上又能促进数据社会化利用，释放大数据红利的最佳方法。

因此，我们都在呼吁立法，我也一直呼吁目前亟待制定个人数据保护法，但是，我们不仅要审慎地对待立法，更要认真地对待，千万不能让立法成为大数据应用的“绊脚石”。惟有科学立法，才能治理数据！

责任编辑：马小涵