（图片来源：全景图片）

经济观察网 记者 任晓宁 3月5日，国务院总理李克强在《政府工作报告》中指出，要促进深化大数据、人工智能等研发应用，壮大数字经济。数字经济以及大数据成为2019年“两会”上的热点话题之一。

3月7日，经济观察网记者获悉，全国政协委员、浙江大学光华法学院原院长朱新力聚焦信息时代的数据安全政策，提交了一份《数据安全政策要立足推进数据流通利用》的提案。

朱新力认为，数据安全政策首先要具有全球视野，要鼓励全社会沉淀和使用数据，重塑公众对科技和数字经济的信心。其次，要避免过去自上而下、事先管控的模式，探索自下而上、市场自我规制为先导的路径。

他表示，数据安全治理涉及三个维度，包括个体层面的隐私保护，产业层面的科技竞争、创新和发展，以及国家层面的数据安全和全球数字竞争力。任何仅从单点出发的政策，都不可避免带来正负效应。当前国内围绕数据产业的研究热情高涨，但也有将科技创新与数据共享妖魔化的倾向，呈现激进和保守两个极端。在中美竞争加剧的背景下，如果我们不能尽快找到方法实现发展与安全之间的平衡，可能丧失一次发展机遇或者陷入安全危机。

朱新力认为，如今数据已成为重要生产要素，我们需要与时代发展趋势相适应的数据治理政策。首先，应当能够激励社会更好的沉淀和使用数据，数据采集并不是数据安全和隐私侵害的原罪。若仅以事先限定数据采集使用目的并获得用户授权作为解决路径，不符合数字经济的发展趋势，也很难真正起到隐私保护的作用。其次，数据安全能力薄弱是数据泄露和隐私侵害的重要原因。徐玉玉电信诈骗案、FB剑桥分析事件等等，都说明现实中攻击者更容易从安全薄弱的服务器或组织下手，而不是和防护严密的数据公司对抗。最后，要科学地认识到成文立法的局限性，为市场自我规制、先试先行留出适当空间。

朱新力建议，在今后个人信息保护立法中合理设定无需取得用户同意的数据使用情形，促进数据的流通利用。包括但不限于以下四种方案：一是通过界定“个人数据”概念内涵与外延的方式避免大数据背景下个人数据保护范围的过度膨胀；二是对“个人数据”加以分类，以敏感或不敏感为标准，集中力量对敏感个人数据加以保护，对不敏感个人数据则侧重流通利用；三是从信息技术入手，重点推进“脱敏”后个人数据（去“可识别性”）的流通利用；四是导入“风险”理念，根据个人数据的性质、使用场景以及产生的风险，来限定用户同意的范围和数据二次利用的风险管理机制。具体采取哪一项方案不可一概而论，需综合考虑行业特征、隐私偏好、风俗习惯等各项因素广泛论证。

他还建议，在立法之外给产业留出先行探索、试错容错的空间。当前，网络安全法及《信息安全技术个人信息安全规范》已经确立了符合行业发展的基本原则，建议在后续立法立规尤其是部委规章层面坚守上位法的原则，但对于看不清的问题不要急于定规矩设限制，不是所有问题都能靠立法来解决。建议明确市场自我规制为先导的治理思路，予以组织相当程度的灵活性，在一定时期内以负面清单思路重构数据政策，为组织的自律性规制设定外在制度约束，从而在实施环节推动形成公私互动的良好治理格局，激励组织更好地保障数据安全。