交易：需对数据进行匿名化处理

　　记者注意到，对于数据的权属目前也只是从理论上来探讨，尽管当前国内尚没有相关法律法规明确界定，但数据具有的财产属性正在逐渐凸显。有专家认为，数据正渐渐成为一些公司在交易时看中的核心资产，代表了这些企业的发展潜力和价值。

　　然而，企业所掌握的数据不可避免地会涉及到个人数据，也逃不开隐私保护问题。这就使得个人数据保护和数据价值之间的矛盾日益突出。“匿名化作为二者的折中，提供了一条技术解决路径。”曾任中国信息通信研究院互联网法律中心副主任的王融在其关于数据匿名化的专题研究中表示，“通过匿名化方法消除用户的身份信息、敏感信息以达到隐私保护的目的，降低了个人隐私的风险，同时还能够最大化地发挥数据价值。”

　　“所以，数据流转交易是有前提的，如果数据不经过处理就进行流转交易，是绝对不可以的。”武长海告诉记者，在贵阳大数据交易所，其中一条交易规则就规定，交易的不是底层数据，而是数据清洗、建模、分析的数据结果。

　　《网络安全法》对数据流转有着明确的规定，即未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。有专家表示，这里的但书规定，可以理解为对于个人数据匿名化利用，特别是匿名化后对外提供(交易)的情形提供了合法性。

　　邱宝昌也在采访时表示，交易之前，原平台需要对数据做标准化、匿名化处理，不能通过数据识别出用户的个人信息。

　　如何对数据进行匿名化处理，使数据交易合法合规？王融在《数据匿名化的法律规制》一文中提出，要充分结合匿名化标准的三个要素对数据开展隐私风险评估，随后根据隐私风险评估的结果，选择不同的加密方式和利用方式，有针对性地消减隐私暴露风险，并对匿名化策略作出调整。例如，选择更为复杂的匿名化方法、缩减信息披露的规模、限制披露的对象、附加合同约束条件等。

　　“如果数据经过标准化、匿名化处理后完全不可逆，交易后的公司使用这些数据完全没有问题。但如果数据处理得不够彻底，可以恢复并追踪到个人，这种数据在交易和使用时则要谨慎。”武长海提示说。

　　如果企业在进行数据交易时，不对数据进行处理，将承担怎样的责任？根据《网络安全法》的规定，企业的行为侵害了个人信息依法得到保护的权利，将由有关主管部门责令改正，并可以根据情节单处或者并处警告、没收违法所得、罚款，情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

　　利用：新平台拥有者需重获授权

　　距离人人公司发布人人网被卖的消息，已经过月余。记者再次尝试登录人人网，发现还可以顺畅登录，该社交平台的主体暂时没有发生变更，公司信息依然显示为北京千橡网景科技发展有限公司。

　　对于人人网的主体何时会真正发生变化，未来人人网的走向如何，用户还一无所知。这也让用户产生了新的疑问：平台何时易主、新平台使用数据需要通知用户吗？

　　记者在《信息安全技术个人信息安全规范》中看到了这样的规定：当个人信息控制者发生收购、兼并、重组等变更时，个人信息控制者应该向个人信息主体告知有关情况；如变更个人信息使用目的时，应重新取得个人信息主体的明示同意。平台应该向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后，平台后续不得再处理相应的个人信息。

　　“新平台拥有者必须告知用户相关情况，并重新获得用户的授权，由用户来选择，是否由新平台拥有者来获得信息。”朱巍进一步解释说，用户拥有最终控制权，企业要尊重用户的选择，每一次数据的转移都要征得用户的同意，“这也是欧盟出台的《通用数据保护法案》(GDPR)的核心。”

　　邱宝昌强调，平台拥有者在收集新数据时也要注意必须正当、合法，同时必须明确告知用户收集的范围、使用目的、如何保管等，要重新征得用户的同意，并严格遵守《网络安全法》《全国人大常委会关于加强网络信息保护的决定》的有关规定。

　　记者注意到，一些企业也开始注重对这一方面的规范。以知乎为例，其隐私保护指引中规定：如果企业发生合并、收购或破产清算，将可能涉及到个人信息转让，此种情况下知乎会要求新的持有用户个人信息的公司、组织继续受隐私保护指引的约束。如果指引中约定的个人信息的收集、处理方式发生任何改变，该公司、组织将重新向用户征求授权同意。