2021年7月2日与2021年7月4日，国家互联网信息办公室连着发布了《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》与《关于下架“滴滴出行”App的通报》，无异于在网络安全领域投下了重磅炸弹，有部分人士称该通告为网络安全与数据合规领域的标志性事件。同时，关于“滴滴”公司的传闻开始甚嚣尘上，使得滴滴公司副总裁李敏也不得不下场辟谣，并表示“相关恶意造谣者虽然已经主动删帖，但我们坚决起诉维权”。本文中我们对该传闻不做讨论。笔者本科毕业于计算机系，今天便借此机会在本文中斗胆聊一聊为什么现在各大公司如此看重数据，这些数据会产生何种法律问题以及可解决的方案。

（一）数据到底属于谁？

日前，愈来愈多的公司为了用户的数据选择使用公权力来维护自身的权益。例如华为与腾讯为了用户的输入数据而选择请监管部门介入，[2]新浪诉脉脉案、[3]大众点评诉百度案等等，[4]使数据权益的归属的问题成了目前一个研究热点：有学者通过我国司法判例出发，总结了各司法判例中大数据的法律属性、大数据的权益分配与大数据的法律责任，并据此设计了一套立法规范；[5]有的学者从网络爬虫与数据的角度切入，分析了数据在不同权属规范下个人与平台的权利问题；[6]还有学者认为应当为数据设置新型权利，厘清数据权利与数据权益的区分，并据此为个人和企业设计了不同的数据保护路径[7]等等。[8]目前学界认为数据权益的所有权模式分为如下四种：数据个人所有，目前欧盟《一般数据保护条例》偏向于该种形式，其规定“在技术可行的情况下，数据主体有权将其数据从一个控制者转移至另一个控制者”；[9]数据平台所有，这是大多数互联网网站梦寐以求的做法，例如原新浪微博的《微博用户服务使用协议》对其发布的内容即规定了严格的限制措施，被爆出后微博不得不出面修改前述协议。[10]目前仍有部分平台对数据流转采用严格的限制，例如某平台《服务协议》内容如下“未经公司书面许可，任何用户、第三方均不得自行或授权、允许、协助他人对软件及相关服务中信息内容进行如下行为：（1）复制、读取、采用软件及相关服务的信息内容，用于包括但不限于宣传、增加阅读量、浏览量等商业用途……”，该条款意味着即使创作者本人也无法在未经公司书面许可的情况下复制其发布至平台的作品，否则有违约之嫌；数据个人与平台共有，在对个人数据的保护上，法院采用该种观点。例如前述新浪诉脉脉案，法院认为当两公司对个人数据进行共享和授权使用时，需要获得用户的事先同意与许可，并据此提出了“用户授权”+“平台授权”+“用户授权”的三重许可原则。虽然将数据所有权归于用户与平台所共有看似照顾了双方的权益，但这也意味着在平台发生所有权变更时，其数据转移需要获得所有提供数据用户的同意，无疑加大了其平台所有权变更的难度，与数据时代的“效率原则”亦不相符；数据公众所有，部分学者认为鉴于互联网平台开放、共享、自由、平等的核心价值观与技术原则，一旦数据上传至互联网，任何人即可自由且不受限制地获取该数据，当然，如访问需要密码时，该数据即变得私密。[11]在深圳市腾讯计算机系统有限公司等诉浙江搜道网络技术有限公司等不正当竞争纠纷案中，[12]杭州市中级人民法院第一次对数据权益的权属判断与分类保护作出了分析，首先，杭州中院将网络运营者控制的数据分为原始数据与衍生数据，并认为对于单一原始数据个体，数据控制主体只能依其与用户的约定享有有限使用权；对于单一原始数据聚合而成的数据资源整体，数据控制主体享有竞争性利益。其次，杭州中院认为未经许可擅自使用他人控制的单一原始数据，只要不违反‘合法、必要、用户同意’的原则，一般不应被认定为不正当竞争，数据控制主体亦无赔偿请求权。最后，法院认为未经许可在他人既有数据资源基础上开展创新竞争，应当符合“合法、适度、用户同意、效率”的原则，规模化、破坏性地使用他人所控制的数据资源且竞争效能上对于市场而言弊大于利的，应当认定为不正当竞争，并据此判决开发运营“聚客通群控软件”的两被告赔偿原告260万人民币。

在该判决中我们可以看到，对于聚合而成的数据资源整体，杭州中院使用了“竞争性利益”的概念，并以《反不正当竞争法》作出了判决。在前述新浪诉脉脉案中，脉脉非法抓取新浪微博用户信息，法院亦以不正当竞争纠纷作出了判决，即个人数据的人格权属性在数据控制者将其聚合为数据资源整体时弱化甚至淹没了。因此，对于个体数据，法院认为数据控制者依其与用户的约定享有有限使用权；而对于数据控制者将其控制的院原始数据整合成数据资源整体时（即使数据具备前述“完备性”时），数据控制者享有竞争性利益。笔者同意杭州中院这种分类方式，原因在于：在目前技术条件未能将数据所有权与使用权区分的情况下承认数据控制者聚合数据的竞争性利益有利于激发数据控制者之技术创新；如部分个体数据被他人侵害，且数据可指向特定个体时，该个体可以相应的人格权纠纷案由例如隐私权纠纷等等提起诉讼。

（二）不成熟的大数据监督体系将导致价格歧视与假货

近年来，部分平台对老用户给予更高的定价的行为愈发受到关注，网友给该特定情形取名为“大数据‘杀熟’”，而其本质系经济学上的“价格歧视”。经济学认为，实行价格歧视的条件有如下四项，[13]“1、市场是垄断性的，卖者是一个垄断者，可以控制价格；2、卖者能够了解不同层次的买者购买商品的愿望和能力。有些消费者愿意支付较高价格，且卖方可订出他们愿意支付的较高价格；3、卖方可防止消费者将产品或服务大量转卖套利；4、不同市场之间必须是相互分离的”。而在APP的帮助下，前述情况则发生了微妙的变化。首先，消费者在使用某个APP的服务时，其相当于在消费者使用的区间内获得了垄断的地位，因此APP运营者不必事实上垄断整个市场；其次，由于消费者的持续使用，APP可以收集到较为完备的订单数据，并分析出消费者能够接受的将价格区间；第三，由于消费者往往是购买了APP所提供的服务，因此其天然地不可被消费者转卖套利；第四，由于APP运行在不同的手机上，其物理空间即相互分离。因此，APP的运行模式与运行方式即为价格其实提供了丰富的土壤。正如马克思在《资本论》中所引用的，“如果有10%的利润，资本就会保证到处被使用；有20%的利润，资本就能活跃起来；有50%的利润，资本就会铤而走险；为了100%的利润，资本就敢践踏一切人间法律；有300%以上的利润，资本就敢犯任何罪行，甚至去冒绞首的危险”，对于不同用户的价格歧视将使APP运营商获得丰厚的利润，也难怪目前大数据“杀熟”如此盛行。根据北京市消费者协会开展的专项调查显示，88.32%的被调查者认为大数据“杀熟”现象普遍或很普遍，56.92%的被调查者表示有过被大数据“杀熟”的经历。2021年7月7日，绍兴市柯桥区法院审理了胡女士诉上海携程商务有限公司侵权纠纷一案中，该案系因在携程平台上消费了10万余元的钻石贵宾用户胡女士退房时发现酒店同等房间挂牌价加上税金共计1377.63元，而其却支付了2889元而产生。法院经审理后当庭宣判判处上海携程商务有限公司赔偿原告订房差价并按房费差价部分的三倍支付赔偿金，且在其运营的携程旅行APP中为原告增加不同意其现有《服务协议》和《隐私政策》仍可继续使用APP的选项，或者为原告修订携程旅行APP的《服务协议》和《隐私政策》，去除对用户非必要信息采集和使用的相关内容，该案被称为“大数据杀熟第一案”，亦为消费者维权提供了典型作用。

与“大数据杀熟”概念相似的另一概念是“大数据售假”，即平台可以通过遍历其所掌握的卖家收入、消费情况等对买家进行细分，并根据不同的买家类型发不同的产品。如果卖家系偶尔购买一次奢侈品且以往购物记录中未出现有投诉等行为的，在收货过程中愈可能收到高仿产品。如果说大数据杀熟系资本的铤而走险；那么大数据售假即资本冒着绞首的风险，因为一旦被消费者所察觉，其将因失去用户的信任而垮台。

（三）不成熟的大数据管控体系将导致个人隐私泄露

如果要说今年上海车展的轰动事件，车主站上特斯拉车顶控诉特斯拉刹车失灵的维权事件必定榜上有名。2021年上海国际车展媒体首日，一位身着“刹车失灵”字样T恤的女车主站在特斯拉展车车顶维权，后因特斯拉的傲慢回应，央媒、政府部门相继入场，在层层压力下，特斯拉向车主道歉并于4月22日公开了女主交通事故发生前一分钟的行车数据。我们需要讨论的是，特斯拉在未经用户同意的情况下是否可以自行以改进服务为由向总部上传其行车数据？诚然，为实现道路感知、车路协同、电子导航等功能，现代智能车辆不得不在其车身上使用越来越多的摄像头、毫米波雷达、激光雷达等感知设备。一方面，前述感知设备为驾驶员提供了更舒适的驾驶操控环境与更安全的道路驾驶方式，然而用户对这些数据如何流转、如何被处理以及如何被使用却一无所知，无疑给数据安全问题蒙上了疑云。虽如上文所述，当个体数据被聚合为大数据时，其数据的人格权属性便被数据控制者的竞争性利益所覆盖了。但后者毕竟是财产性权益，与人格权属性决然不可等同。换言之，任何情况下当用户拒绝提供数据或对已提供的数据要求撤回时，数据控制者不可以其对数据享有竞争性利益为由予以拒绝。

法律相较于社会实践总是滞后的，为解决上述问题，除了制定或修改法律，我们还有哪些手段可以使用呢？笔者认为有如下两种：

（一）引入监管部门，并对数据处理方式进行评估

笔者认为，目前的数据控制企业之所以能肆无忌惮地通过大数据“杀熟”，其原因在于缺乏监管。例如我们通过银行进行储蓄，我们之所以不担心我们的金钱会在银行中突然消失或者担心同样的钱对于不同的用户会有不同的储蓄利率，其原因在于银行受银监会（中国银行监督管理委员会）监督，用户的每一笔交易均有据可循。而对于被“杀熟”的个人来说，要通过其获取的服务去反推数据控制企业对其存在“杀熟”的行为则是困难重重，因为导致价格变化的原因有很多种，但是体现出来的结果只有价格变高一种，二者属于多因一果的关系。数据控制企业可以拿出多种事实对价格变高的结果进行搪塞，例如购买服务的时间不同、购买服务时的客观环境有变化等等。而对于用户来说，其无法获知亦无法通过其他方式评价数据控制企业处理数据的方式是否合理，取证亦存在客观障碍，可以说，目前的消费者与数据控制企业对此类案件产生纠纷时，双方已经处于一个事实上不平等的地位。引入监管后，主管部门可要求数据控制者对其处理数据的方式进行说明，并请专家对前述处理数据的方式进行评估，如存在数据安全风险或不必要的数据收集行为，主管部门可要求数据控制企业对数据处理方式进行整改，审批合格后，数据控制企业应当在主管部门就其数据处理方式进行备案。如未来发生纠纷，用户可以通过数据控制企业备案的数据处理方式鉴定其所购买服务时所消费的价格是否合理。

令人欣喜的是，我国以及部分省市已经注意到了大数据在未来的影响力，并逐步开始对大数据的监督与管理进行布局，2021年6月10日，我国通过了《中华人民共和国数据安全法》，并将2021年9月1日起施行，该法对规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益具有积极的作用。2021年7月6日，深圳市通过了《深圳经济特区数据条例》，对APP“不授权就不让用”、个人信息收集、强制个性化广告广告推荐等、大数据“杀熟”等行为进行处理。另外，2021年7月26日，工信部（工业和信息化部）启动互联网行业专项整治行动，整改包括扰乱市场秩序、侵害用户权益、威胁数据安全、违反资源和资质管理规定等四方面8类问题。笔者期待我国继续规范大数据处理方式的下一步行动，以期在维护企业发展和保护用户权益间找到平衡。

（二）将拥有信息和使用信息的主体剥离

在前述深圳市腾讯计算机系统有限公司等诉浙江搜道网络技术有限公司等不正当竞争纠纷案中，[14]杭州中院认为对于单一原始数据个体，数据控制主体只能依其与用户的约定享有有限使用权；对于单一原始数据聚合而成的数据资源整体，数据控制主体享有竞争性利益。换言之，即数据控制企业只是数据的使用者而不是数据的所有者，但就目前的技术手段来说，该段论述事实上只有理论上的作用，却无法实际对数据控制企业给予限制。因为目前的技术还无法实现将数据的所有权与使用权分离，企业需要使用数据，则必然需要控制数据。那么，有没有一种技术手段可以实现前述分离数据所有权与使用权的行为呢？答案是肯定的，区块链技术将是最有望实现前述功能的技术基础。在笔者先前的拙作《区块链技术原理及经区块链存证的知识产权证据在证据法上的效力》中曾解释过区块链技术中验证电子签名的技术原理，[15]此处不再赘述。简言之，区块链技术可以通过非对称加密方式实现特定数据对特定人员的公示，换言之，区块链技术可以使数据的所有权、使用权彼此独立。当然，正如所有的区块链文章都会指出的一样，区块链技术是去中心化的。然而事实证明，去中心化的验证成本是非常高的，比如大名鼎鼎的比特币，其一笔交易的验证有时需要一两个小时的时间；同时，其验证时矿机挖矿所产生的电费与矿机折旧费用大致在100元/次左右。因此，去中心化从资源利用的角度来讲并不是一个十分好的模式。我们可以设想一个场景，现在阿里巴巴将其所掌握的所有用户数据都还给用户，其只在需要使用数据时向用户获取授权。那么，用户从阿里巴巴数据中心取回的数据该如何储存呢？另外，即使现在每一位用户都可以妥当地储存自己的数据（事实上该要求非常高）。当阿里巴巴需要使用用户数据时，还需要从各用户处一一取得数据，对数据传输的安全性及传输速度都提出了更高的要求。而对于用户来讲，由于数据在计算机系统中是以特定格式存储的，用户无法看懂，因此其保留数据除了需要承担数据被盗取的风险外没有其他收益，数据不流通，无法变成资产而只能成为用户的负担。对于前述区块链的缺点，有一个更好的方式可以解决，就是通过物理上中心化，逻辑上的去中心化架构。亦即，将数据存储在特定的数据中心中，并由数据中心控制公钥，但是将数据的私钥控制在用户手中，如此，一方面用户数据便可依靠数据中心强大的存储功能与抗风险能力保证数据的安全；另一方面数据中心因没有私钥而无法读取储存在其中的数据。而当数据中心需要使用用户数据时，用户也可以对其进行授权，使数据中心可以访问和验证部分数据，更进一步的，用户可以对数据中心的请求收取部分费用，真正实现数据的所有权与使用权分离，将数据变为互联网+时代的新资源。

当社会进入互联网+时代后，数据的重要性急剧上升。大企业并购小企业，与其说是对服务的并购，不如说是对数据的聚合。由于技术限制，大数据发展仍处于初级形式，用户提供数据后，仍受数据泄漏及数据控制者违规使用数据的困扰。有些用户寄希望于大公司“不作恶”，然而这更多时候属于一厢情愿。强如市值千亿美金，曾一度突破万亿美金的Facebook,[16]也曾将其获取的数据提供给50个国家的大约100家运营商，用以改进其广告业务。[17]资本总是逐利的，单纯希望大公司能受“不作恶”信条的约束，无异于将金山随意堆放在路边，还希望行人不要去拿上面的金砖。因此，引入监管实是必要之举。而通过将数据所有权与数据使用权分离，则可以从根源上切断数据企业的违规操作，使企业更注重对服务品质的提升，而不是对用户数据的攫取。可喜的是，我国已将对数据的利用上升到了国家战略的高度，将建立数据资源产权、推动数据资源开发利用写入了“十四五规划”中。同时，政府大力倡导区块链技术的发展，2021年5月27日，工业和信息化部、中央网络安全和信息化委员会办公室发布了《关于加快推动区块链技术应用和产业发展的指导意见》，为区块链技术的发展指明了方向。笔者期待，我国大数据随着区块链技术的发展可以迈上一个新的台阶，使用户授权企业对其数据的使用可以真正惠及用户自身。