Xingzhong Yu
Anthony W. and Lulu C. Wang Professor in Chinese Law, Cornell University Law School
Chao Xi
Professor, Faculty of Law, Chinese University of Hong Kong
Outstanding Fellow of the Faculty of Law
Data is a vital new resource. It is so powerful that some argue that whoever acquires, possesses, and masters data will win the Tianxia, the world. The field of data governance engages such questions, prompting us to consider who commandeers our vast quantities of data, how, and with what repercussions. Though many have discussed the commercial significance of data governance, largely focusing on its technological and organizational aspects, we are only beginning to skim the surface of its social, political, ethical, and legal implications.
Discussion
Meridian180’s April forum endeavored to foster a clear understanding of some of the issues and concerns around data governance. Discussion participants identified several approaches to data protection, ranging from property and human rights to duty and enforcement.
Property-rights approach
Some participants contended that the only effective way to protect personal data is to regard it as a property right, or as part of an individual’s existence, like blood or skin. In this view, data governance is grounded in the attribution of data rights, and the content and form of data (namely, data information and data files) must be clearly determined to protect it. Yet, the challenge of considering data property is that, because data can be duplicated, it is hard to possess exclusively. Moreover, some participants see the property-rights argument as a dead end. As data cannot be correctly classified as ‘goods’ or ‘services’ and should not be treated as such. Instead, data privacy is a human right, like freedom of speech or religion.
Human-rights-based approach
In contrast to the “data as property” approach, other participants suggested qualifying governing personal data as a human right. The human rights-based approach advocates guiding principles for “good data,” which engage time-honored ethical, political, and legal values. Furthermore, some argued that we need to distinguish between our different relationships to information/data, for instance: data subject, possessor of physical media on which data is stored, data processor, entities who can access data, etc. Only then can we determine which rights, powers, duties and liabilities to attach to each. For example, in reference to the right to data portability under the Consumer Data Right in Australia and the GDPR, a discussion participant warned us that the “data as property” argument might turn profound questions about democratic structures into issues of transactional processes predicated on market forces.
Duty-based approach
Also present in our discussion was a duty-based approach, which argues for a shift from the paradigm of individual rights to the paradigm of the duties of the trustees (IT giants). In this approach, big data includes both personal information protected by the individual right to privacy and personal information as “property,” with potential value. Yet the property-rights argument and the privacy argument have their limitations, and the conventional tort-law framework should be transformed into a framework of trust. A skeptical view questions whether trustees can be properly constrained and underscores the need for proper governance from supervisory institutions.
Discussion participants also upheld a more pragmatic view that our general understandings of law and legal frameworks might not provide the best means of understanding issues around data governance. This vantage point urges us to investigate modes of implementation, while also guiding us to reconsider issues beyond the recognition of data as a property right, even encouraging us to rethink rights discourse and the concept of law itself.
Additional concerns
Our far-ranging discussion also touched upon questions of what is to be governed, by whom, and how. We addressed the importance of data literacy and data proficiency. Through reflecting upon the concept of relational data and parsing the distinctions between my data and data about me, we further enriched our understanding of personal data and began to reevaluate our approaches to it. Discussion participants likewise assessed the problems of the misuse and/or abuse of personal data without the data subjects’ consent. They worried about the challenge of basing the use of personal data on data subjects’ informed consent, given that individuals may not be adequately informed to understand when and upon what they should consent.
Impact
This forum complemented our many previous online and off-line discussions on this or similar topics. It has outlined various possibilities for future engagement, either in theory or in practice. Future endeavors could focus on any or all of the approaches articulated in this forum; research projects might entail in-depth investigations on the pros and cons of these approaches for formulating relevant legislation and policy or establishing practical business models around data and its management.
The forum organizers feel deeply honored and fully content that this forum has drawn attention from such a group of brilliant scholars. Of course, we have more questions to ask and answer. We hope our discussion will continue in the future.
於興中
コーネル大学法科大学院Anthony W. and Lulu C. Wang教授(中国法)
習超
香港中文大学法学部教授
法学部アウトスタンディング・フェロー
データはきわめて重要な、新たなリソースです。非常に影響力があるため、データを取得・所有し、制した者が「天下」を取る、世界を制するとも言われています。データガバナンスの分野でも同様の論点があり、膨大なデータを手に入れるのは誰か、その手段はどのようなものか、どのような影響があるかという点を考えなくてはなりません。データガバナンスについて、ビジネス上の重要性は多く議論されてきており、主に技術的および組織的な側面に焦点が当てられてきました。しかし、社会的、政治的、倫理的、および法的な影響については、表面的な事柄が論じ始められたばかりです。
討論
4月のMeridian 180フォーラムでは、データガバナンスに関するいくつかの問題や懸念について、明確に理解することを目指しました。討論の参加者からは、データ保護に対するアプローチとして、財産権や人権に基づくものから、義務や執行に基づくものまで、複数のアプローチが挙げられました。
財産権に基づくアプローチ
一部の参加者から、個人データを保護する唯一の効果的な方法は、財産権として、あるいは血液や皮膚のように個人の存在の一部としてみなすことであるとの主張が行われました。この観点では、データガバナンスはデータ権の帰属に基づくものであり、データの内容と形式(すなわち、データの情報とデータのファイル)を明確に定義して保護しなくてはなりません。しかし、データを財産としてみなすには、データは複製可能であるため専有が難しいという点が課題となります。さらに、一部の参加者は、財産権の議論は進展の見込みがないと考えています。データを「財貨」または「サービス」に正確に分類することができないことから、そうした扱いをすべきではなく、むしろ、データプライバシーは、言論や信教の自由と同じように、人権であるとしています。
人権に基づくアプローチ
「データは財産」とするアプローチとは対照的に、個人データのガバナンスを人権としてみなすことが、他の参加者から提案されました。人権に基づくアプローチでは、「良いデータ」の指針となる原則を提唱しており、これには昔からの倫理的・政治的・法的価値観が関わっています。さらに、一部の参加者からは、情報/データとの様々な関係性によって区別する必要があるとの主張がなされました。例えば、対象者がデータ主体なのか、データが保存されている物理媒体の所有者なのか、データの処理者なのか、データにアクセスできる存在なのか、という点です。この点を区別しなくては、どの権利・権限・義務・責任が対象者に帰するのか、定義することはできません。例えば、オーストラリアの消費者データ権やGDPR(EU一般データ保護規則)におけるデータポータビリティーの権利に関して、討論の参加者の一人は、「データは財産」とする議論は、民主的な構造に関する重大な問題を、市場原理に基づく取引プロセスの問題に変えてしまう恐れがあると警鐘を鳴らしました。
義務に基づくアプローチ
討論では、義務に基づくアプローチも提示されました。個人の権利という枠組みから、受託者(巨大IT企業)の義務という枠組みへの転換を主張するものです。このアプローチでは、ビッグデータに含まれるのは、個人のプライバシーの権利によって保護された個人情報と、潜在的価値を有する「財産」としての個人情報の両方だとしています。しかし、財産権の議論とプライバシーの議論には限界があり、従来の不法行為に基づく枠組みは信託の枠組みに転換する必要があります。これに対して懐疑的な意見として、受託者に対する義務の強制が適切に行われるのかという疑問が上がったほか、監督機関による適切なガバナンスの必要性が強調されました。
また、討論の参加者からは、法律や法的枠組みの一般的な理解ではデータガバナンスに関する問題を理解するのは難しいのではないかという、より実用主義的な意見が支持されました。この大局的な観点から見ると、実施方法の精査が求められるほか、データの財産権としての認知にとどまらない問題について再考すべきであり、さらには権利に関する議論と法律そのものの概念を再考することも奨励されます。
その他の懸念事項
広範囲にわたる討論の中で、ガバナンスの対象は何か、実施するのは誰か、その手段は何かという問題についても言及しました。データリテラシー(データの読み書き能力)とデータプロフィシエンシー(データの活用能力)の重要性も検討しました。リレーショナルデータ(関係データ)の概念について考え、「自分のデータ」と「自分についてのデータ」の違いを分析することで、個人データに対する理解をさらに深め、アプローチの再評価を行いました。討論の参加者も同様に、個人データの不正使用やデータ主体の同意のない濫用の問題について評価しました。参加者からは、個人データの使用にあたってデータ主体のインフォームドコンセントを根拠とすることが課題になるとの懸念が示されました。個人が同意すべき対象やタイミングを理解するための説明が、適切に行われない可能性があるためです。
影響
本フォーラムは、今回のトピックや類似のトピックについて、これまでにオンラインやオフラインで数多く実施されてきた討論を補完するものでした。今後の取り組みについて、理論的にも実践的にも様々な可能性を示しました。今後の取り組みでは、本フォーラムで示されたアプローチの一部またはすべてに焦点を当てるとよいでしょう。適切な法律や政策を策定するため、あるいはデータとその管理について実用的なビジネスモデルを確立するため、これらのアプローチの賛否両論について、研究プロジェクトにおいて綿密な精査が必要となる可能性もあります。
本フォーラムの主催者として、素晴らしい学者の方々に注目していただけたことは非常に光栄であり、大変嬉しく思っております。もちろん、解決すべき問題はまだ残っています。今後も討論が続けられますことを願っております。

Xingzhong Yu
Anthony W. 和 Lulu C. Wang,康奈尔大学法学院中国法教授
Chao Xi
香港中文大学法学院教授
法学院杰出研究员
数据是一种重要的新资源。数据所蕴含的力量是如此强大,以至于有些人认为,谁获得、拥有和掌握了数据,谁就将赢得天下,赢得整个世界。数据治理领域暴露出的这样或那样的问题,促使我们思考,我们海量的数据,被谁霸占了,是如何被霸占的,以及会产生什么影响。尽管有关数据治理的商业意义的讨论层出不穷,但这些讨论主要是集中在技术和组织方面,我们只是才刚刚开始粗浅地认识到数据治理的社会、政治、道德和法律影响。
讨论
Meridian 180 在四月份举办的论坛致力于促进大家对有关数据治理的一些问题和关切的理解。与会者确定了几种数据保护方法,从财产权和人权到义务和执法。
财产权方法
一些与会者认为,保护个人数据的唯一有效方法是将个人数据视为一项财产权,或个人存在的一部分,就如同血液或皮肤一样。按照这种观点,数据治理基于数据权利的归属。因此为了保护数据,必须明确确定数据的内容和形式(即数据信息和数据文件)。然而,将数据视为财产的一大问题是:由于数据可以复制,所以很难享受独占权。此外,一些参与者认为财产权争论是一条死胡同。因为数据无法被正确地归类为“商品”或“服务”,因此数据不应被视为“商品”或“服务”。相反,数据隐私是一项人权,就像言论或宗教自由一样。
基于人权的方法
与“数据即财产”方法不同,其他与会者建议将管理个人数据上升为一项人权。以人权为基础的方法提倡“好数据”的指导原则,这涉及到由来已久的伦理、政治和法律价值观。此外,一些人认为我们需要区分我们与信息/数据的不同关系,例如:数据主体、存储数据的物理介质的所有者、数据处理者、数据访问实体等。只有这样,我们才能决定给他们分别赋予什么样的权利、权力、义务和责任。例如,关于澳大利亚和GDPR消费者数据权利规定的数据可移植性权利,一名与会者警告我们,“数据即财产”这一论点可能会将关于民主结构的深刻问题转变为取决于市场力量的交易过程中的问题。
基于责任的方法
在我们的讨论中,还提出了一种基于责任的方法,它主张从个人权利的模式转变为受托人(信息技术巨头)负责的模式。在这种方法中,大数据既包括受个人隐私权保护的个人信息,也包括作为“财产”的具有潜在价值的个人信息。然而财产权论和隐私论都有其局限性,传统的侵权法框架应该转变为信任框架。一种怀疑观点质疑受托人是否会受到适当的约束,并强调监管机构进行适当治理的必要性。
一种更务实的观点也在与会者中得到广泛支持,即我们对法律和法律框架的一般理解可能无法提供理解数据治理相关问题的最佳方式。这一观点促使我们调查执行模式,同时也引导我们重新考虑除了承认数据是财产权以外的问题,甚至鼓励我们重新思考权利论述和法律本身的概念。
其他问题
我们的讨论还延伸到了治理什么、谁来治理以及如何治理的问题。我们讨论了数据素养和数据能力的重要性。通过反思关系数据的概念、分析我的数据和关于我的数据之间的区别,我们进一步丰富了对个人数据的理解,并开始重新评估我们处理个人数据的方法。与会者同样评估了未经数据主体同意误用和/或滥用个人数据的问题。他们担心将个人数据的使用建立在数据主体知情同意的基础上存在困难,因为个人可能没有获得充分的信息来判断他们应该何时以及基于什么同意。
影响
本次论坛补充了我们以前关于此主题或类似主题的线上和线下讨论。它概述了未来参与的各种可能性,包括理论和实践。未来的努力可以集中在本论坛阐述的任何或所有方法上;研究项目可能需要深入调查这些方法的利弊,以制定相关立法和政策,或围绕数据及其管理建立切合实际的商业模式。
令论坛组织者深感荣幸和满意的是,本次论坛吸引了这样一群才华横溢的学者的关注。当然,我们要问的问题还很多,要回答的问题也很多。我们希望我们的讨论今后可以继续下去。
Xingzhong Yu
Anthony W. & Lulu C. Wang 코넬대학교 법학대학원 중국법 교수
Chao Xi
홍콩중문대학교 법학부 교수
법학부 탁월연구원
데이터는 필수적인 신규 자원이다. 일부 학자들이 데이터를 획득, 보유, 통달하는 자는 누구든 천하, 즉 세상을 얻을 것이라고 주장할 정도로 데이터에는 대단한 영향력이 있다. 데이터 거버넌스 분야에서는 이러한 문제들에 대한 연구를 통해 누가, 어떻게 방대한 양의 데이터를 획득하는지 그리고 그 파급 효과는 무엇인지 파악하고자 한다. 데이터 거버넌스의 상업적 중대성에 대해서는 주로 기술적, 조직적 측면에 초점을 맞추어 많이 논의되어 왔지만, 사회적, 정치적, 윤리적, 법률적 함의의 경우 표면적인 탐색을 겨우 시작했을 뿐이다.
토의
4월에 있었던 Meridian180 포럼에서는 데이터 거버넌스를 둘러싼 일부 문제와 우려사항에 대한 이해를 명확하게 하기 위한 토의가 진행되었다. 토의 참여자들은 재산권, 인권, 의무, 적용 등 데이터 보호에 대한 몇 가지 접근법에 대해 논의했다.
재산권 기반 접근법
일부 참여자들은 개인 데이터를 효과적으로 보호하는 유일한 방법은 개인 데이터를 재산권의 측면에서 다루거나 혈액 또는 피부와 같이 개인 존재의 일부로서 여기는 것이라고 주장했다. 이러한 견해에 따르면, 데이터 거버넌스는 데이터 권리의 속성에 근거하며, 데이터의 내용 및 형태(즉, 데이터 정보 및 데이터 파일)는 반드시 데이터 권리를 보호하는 방식으로 명확히 규정되어야 한다. 그러나, 데이터를 재산으로 간주하는 것의 난점은 데이터가 복제될 수 있기 때문에 배타적으로 보유하기 어렵다는 점이다. 또한, 일부 참여자들은 재산권 기반 논항은 막다른 위치에 있는 주장으로 보았다. 데이터는 ‘재화’ 또는 ‘용역’으로 올바르게 분류할 수 없기 때문에 이러한 방식으로 취급해서는 안 되며, 데이터 프라이버시는 표현의 자유나 종교의 자유와 같이 인권이라는 것이다.
인권 기반 접근법
“재산으로서의 데이터” 접근법과 대조적으로, 다른 참여자들은 개인 데이터에 대한 거버넌스가 인권 문제에 해당한다고 제시했다. 인권 기반 접근법에서는 관례로서 이어져 내려온 윤리적, 정치적, 법률적 가치와 관련된, “좋은 데이터”에 대한 이행 원칙을 지지한다. 나아가 일부 학자들은 정보/데이터와의 각종 관계들(예: 데이터 주체, 데이터가 저장된 물리적 매체의 보유자, 데이터 처리자, 데이터에 접근할 수 있는 독립체 등)을 서로 구분할 필요가 있다고 주장했다. 이렇게 구분하고 나서야, 각 당사자에게 어떠한 권리, 권한, 의무, 책임이 부여되는지 결정할 수 있다는 것이다. 예를 들어, 호주 소비자 데이터 권리 및 GDPR하의 데이터 이동권과 관련하여, 토의 참여자 중 한 명은 “재산으로서의 데이터” 접근법은 민주적 구조에 관한 중대한 문제를 시장의 힘에 입각한 거래 절차의 문제로 변질시킬 수 있다고 경고했다.
의무 기반 접근법
토의에서는 개인 권리 패러다임을 수탁자(거대 IT 회사) 의무 패러다임으로 전환할 것을 주장하는 의무 기반 접근법도 제시되었다. 이러한 접근법에 따르면, 대규모의 데이터에는 개인 프라이버시 권리에 의해 보호되는 개인 정보와 잠재적 가치를 가진 “재산”으로서의 개인 정보가 모두 포함된다. 그러나, 재산권 접근법과 프라이버시 접근법은 각각의 한계가 있으며, 전통적인 불법행위법 체계가 신탁 체계로 전환되어야 한다. 회의적인 견해에서는 수탁자를 적절히 제약할 수 있을지 여부에 대한 의문이 제기되며 감독 기관에 의한 적절한 거버넌스의 필요성이 강조된다.
또한, 토의 참여자들은 법 및 법체계에 대한 일반적 이해는 데이터 거버넌스를 둘러싼 문제들을 이해하는 데 최선의 방법이 아닐 수도 있다는 보다 실용적인 견해를 견지했다. 이러한 논의들에 근거할 때, 이행 방식에 대한 조사를 수행해야 하며, 재산으로서의 데이터 인식을 넘어서는 문제를 다시 숙고함과 더불어 권리에 대한 담론 및 법 개념 자체를 재고하는 것이 필요하다.
추가적인 우려사항
광범위한 토의를 통해 거버넌스의 대상, 주체 및 방법에 관한 문제도 논의되었다. 데이터 문해력 및 데이터 능숙도의 중요성도 다루었다. 관계 데이터 개념을 주지하고 나의 데이터와 나에 관한 데이터 사이의 차이를 파악함으로써, 개인 데이터에 관한 이해를 더욱 증진했으며 이에 대한 접근법을 재평가하는 계기가 되었다. 또한, 토의 참여자들은 데이터 주체의 동의가 없는 개인 데이터 오용 및/또는 남용 문제를 평가했다. 개인들은 본인이 언제 무엇에 대해 동의해야 하는지 이해할 수 있을 만큼 충분한 정보를 설명받지 못할 수도 있기 때문에, 참여자들은 데이터 주체의 동의에 근거한 개인 데이터 사용의 문제에 대한 우려를 표명했다.
영향
본 포럼은 이러한 주제 또는 유사한 주제에 대한 이전의 많은 온라인 및 오프라인 토의들을 보완했다. 또한, 이론에 대해서든 실천에 대해서든 향후 참여의 다양한 가능성을 개관했다. 향후 탐색은 본 포럼에서 논의된 접근법 중 어떠한 것에든 초점을 두고 진행할 수 있다. 연구 프로젝트들을 통해 이러한 접근법의 장단점을 심도 있게 조사하여 관련 법률 및 정책을 입안하거나 데이터 및 그 관리를 둘러싼 현실적인 비즈니스 모델을 세울 수도 있다.
포럼 주최자들은 본 포럼이 훌륭한 학자들의 주목을 받았다는 점을 깊은 영광으로 여기며 이에 전적으로 만족한다. 물론, 우리는 더욱 많은 문제들에 대해 묻고 답해야 한다. 향후에도 토의가 지속되기를 바란다.