限制算法杀熟、保护个人隐私、严控数据出境，数据监管剑指何方？-技术圈

就在上周，《互联网信息服务算法推荐管理规定》正式施行，加上去年出台的《个人信息保护法》（以下简称《个保法》）与《数据安全法》（以下简称《数安法》），从不同角度形成了对“数据合规”的新要求，同时也体现着国家对于数据监督管理的新思路。

新思路指导下的新路径有怎样的目标？包含了哪些新观念与新议题？又有哪些发展趋势？在此前举办的TalkingData T11数据智能峰会上，TalkingData法务总监兼数据合规官葛梦莹对此进行了深入解读。

我国在确定数据管理的路径上综合考虑内、外两方面因素，在立法层面上，内部以《个保法》平衡产业发展和个人权益保护，外部以《数安法》应对国际竞争。隐藏在这两条主线背后的，则是认知的演进——数据是具有独立于企业和个人之外的一种利益角色。

因此，数据管理的目的，不仅仅局限于督促企业去保障数据的安全，或是站在个人立场来维护个人权益，而是要通过数据要素化来释放以数据促进社会发展的红利，同时通过加强对数据的掌控能力来维护国家主权和安全利益。

《数据安全法》固定的两大重要观念

首先是“重要数据”。《数安法》划定了两个主要的数据类型，分别是个人信息和重要数据。对重要数据的界定，需要超越企业的视角，由国家自上而下地、通过全面判断数据可能影响的价值和利益来进行，从而将相应类型的数据纳入重要数据目录之中，并要求持有或掌握这些数据的组织按照国家规定对数据进行重点保护。

其次是数据的分级分类，《数安法》中采用的路径是一种实然路径，其基本思路是不改变企业内部的业务方式和流程，只是客观地去描述在这个方式和流程中所收集和产出的数据类型，根据某类数据的安全属性（完整性、保密性、可用性）在遭到破坏以后的影响对象、范围或者程度来对数据进行分级。这种思路也突出体现了国家对于“数据是独立于企业和个人的利益”的诉求。

《个人信息保护法》关注的两大创新议题

首先是关于算法。《个保法》对自动化决策提出了保证决策的透明度、保证决策结果的公平公正、不得实行不合理差别待遇等要求，回应了对大数据杀熟、违规个性化推荐等热点问题。

但自动化决策与算法并不能等同，AI算法有一个显著特征，即不需要单个人的个人信息才能对特定个人做出决策或推荐，因此不必要将算法整体纳入《个保法》框架。作为补充，网信办出台的两份专门性文件：《互联网信息服务算法推荐管理规定》和《关于加强互联网信息服务算法综合治理的指导意见》，则针对算法开展相应规制。

其次是关于超大平台。《个保法》为个人信息处理者界定了一个新的类别——提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，也就是“超大型互联网平台”，并对其所应履行的特殊义务进行了规定。

近年来，相关职能部门和监管机构对App和企业违法违规收集使用个人信息的现象开展了专项治理，并取得一定成效，但也有一些问题仍然突出。App数量众多且层出不穷，个人信息收集的行为和方式也在不断演变，常规治理难以全面及时覆盖。与其“一个一个去评估”“一个一个去整改”，不如直接从关键环节入手，因此有了《个保法》从法律层面来明确超大平台的相应责任。

释放数据要素化的发展红利

数据具有一定的经济效应，这个经济效应主要来源于两方面因素。

首先是数据的可复制性和非竞争性。数据具备强可复制性，重复使用也不会减少数据本身的效能；当数据具有多种用途，数据被多方使用即可使多方受益，并能够显著节省社会整体的成本。这也是通过数据共享和数据再利用带来经济效益的基本驱动力。

其次是数据的聚合性。聚合后的数据集可以提取出更多的洞察和经济价值，比独立数据集的应用更有成效，对数据拓展分析的边际成本也会更小。

因此，数据要素化有巨大的价值。但同时，也因为数据上附着的利益，想要推动组织间的数据开放与数据的流通共享，从而促进数据要素化，就必须以保护好这些利益为前提。这包括用户个人的合法权益，包括企业合法使用信息的权利，也包括国家安全和公共利益。

新法规下的监管趋势预测

高度重视个人信息收集环节的合规性

严格控制个人信息的收集（例如授权获取、必要信息范围等），仍将是数据监管的重点。

关注个人信息执法中特殊情形的作用

对于外界有感知的信息使用行为，只有存在媒体报道或公众投诉，才有可能成为监管的重点，例如经常被热议的人脸识别、App监听等，将会有专门的文件和标准去进行具体规范。

对超大平台的个人信息处理行为提出更高要求

面对庞大的移动应用生态，监管路径正在从逐个App管理转向平台治理，例如移动应用商店的上架审核、商家入驻平台的规则要求等，通过平台对App、小程序、商家等在个人信息处理方面施加一些控制和影响。尤其是《个保法》第58条专门提出了对超大平台的特殊要求，这方面可能也是接下来执法方面的重点之一。