数字发展全球研报第二卷第 34 期（2024/8/26-2024/9/1）

本期列举相关文件对数据的理解，供参考。

中国

中国法律对数据的定义主要依据《中华人民共和国数据安全法》。根据该法第三条的规定，数据是指任何以电子或者其他方式对信息的记录。这一定义明确了数据的本质属性，即数据是对信息的记录，这种记录可以以电子方式或其他方式进行。具体来说，数据的记录方式包括但不限于以下几种，电子方式如计算机中的文件、数据库中的信息等；其他方式如纸质文档、照片、录音等。

《信息技术 大数据术语》（GB/T 35295-2017） 认为大数据是 “具有体量大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据”。

《数据安全技术 数据分类分级规则》（GB/T 43697-2024） 核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据；重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。仅影响组织自身或公民个体的数据一般不作为重要数据；一般数据是核心数据、重要数据之外的其他数据。

联合国

1986 年联合国欧洲经济委员会和国际标准化组织共同制定的《行政、商业和运输、电子数据交换规则》规定，贸易数据电文是指当事人之间为缔结或履行贸易交易而交换的贸易数据。

1996 年联合国电子商务示范法规定，“数据电文”是指经由电子手段、光学手段或者类似手段生成、储存或者传递的信息，这些手段包括但不限于电子数据交换、电子邮件、电报、电传或者传真。

联合国统计委员会 (United Nations Statistical Commission, UNSC)、联合国欧洲经济委员会 (United Nations Economic Commission for Europe, UNECE) 在 2000 年发布的，“数据是信息的物理表现形式,这一表现形式适用于人工或自动化手段交流、理解或处理”

《2016 年联合国电子政务调查报告》将开放政府数据定义为 “主动公开政务信息，人人可以通过网络不受限制地获得、再利用和再分配这些信息”。

联合国国民经济核算工作组（ISWGNA）对数据的定义：以数字化形式记录、存储、传输或处理的观察结果，并可供获取信息、知识或决策。该定义认为数据的生产活动核算范围包含收集、存储、分析和应用 4 个阶段，且数据作为生产要素纳入国民账户体系进行核算时，包含原始数据、信息、知识和决策 4 种作为生产活动结果的数据形态。

《打击网络犯罪公约》谈判参考文件：

个人数据，指与已识别或可识别的自然人相关的任何信息，可以通过这些信息识别此人。例如，与特定个人相关的特定名称和公司电子邮件地址，因此构成个人数据。不过，有关 “法人”（如公司或公共机构）而非 “自然人” 的信息不是个人数据，除非该法人的数据包含可揭示个人身份的信息。

用户数据，通常包括用户在网络平台或系统中的注册信息，如用户名、密码（通常经过加密处理）、电子邮箱地址、手机号码等，这些数据对于确定用户身份以及提供个性化服务至关重要。

元数据，以电子邮件为例，其元数据可以包括发件人、收件人、发送时间、主题等信息，而不包括邮件的具体内容；图像文件的元数据可能包含拍摄时间、地点、相机型号等信息。

内容数据，比如在线文档、文章、博客等文本内容，以及电影、电视剧、纪录片等视频内容。

敏感数据，如个人的医疗记录，包括病历、诊断结果、治疗方案、药物过敏史等；金融交易数据，如银行账户信息、信用卡交易记录、投资组合等。这些数据具有高度的敏感性，需要严格的保护措施。

国际组织或协定

RCEP（区域全面经济伙伴关系协定）没有直接对数据给出一个明确的定义，但它通过一系列条款和规定，对数据在区域经济一体化中的流动、保护、治理等方面进行了详细阐述，从而间接体现了对数据在经济活动中作用和重要性的理解。以下是根据 RCEP 内容对数据相关方面的归纳：

一是数据跨境流动。RCEP 在原则上倡导和鼓励跨境数据的自由流动，认为数据是跨境电子商务和数字贸易最基本的生产要素，其发展离不开数据的跨境流动；为了兼顾不同缔约国间数字经济发展与数据治理水平的差异，RCEP 又设置了基于“公共政策目标”与“基本安全利益”等例外规定，允许各缔约方在特定情况下采取限制措施。

二是个人信息保护。RCEP 强调各缔约方应当采取或维持保证电子商务用户个人信息受到保护的法律框架，并鼓励公开个人信息保护政策和程序；RCEP 鼓励缔约方在个人信息保护方面开展合作，提高政策透明度，以便更好地保护消费者的合法权益和个人信息。

三是数据治理与合作。RCEP 为缔约方提供了一个全面的数据治理框架，涵盖数据跨境流动、个人信息保护、网络安全等多个方面，以促进数字经济的可持续发展；RCEP 的数据跨境流动规定具有较强包容性，尊重成员国各自的数据监管体系，允许各国在数据治理方面存在差异。

四是具体条款与规定。RCEP 在第十二章“电子商务”中详细规定了与数据跨境流动、个人信息保护等相关的条款。例如，规定各缔约方不得阻止其他缔约方的投资者为进行商业行为而通过电子方式跨境传输信息。同时，要求缔约方在制定保护个人信息的法律框架时考虑相关国际标准、原则、指南和准则。

《数字经济伙伴关系协定》（DEPA）中并没有明确给出一个关于 “数据” 的具体定义。从 DEPA 的相关内容可以看出，其涉及到数据的多个方面，比如：

个人信息保护。强调对个人数据的保护，确保在数字经济活动中个人信息的安全。DEPA 确定了个人信息保护国内立法的框架和基本原则，提高缔约方的整体立法水平。同时，DEPA 尊重各缔约方在个人信息保护法律方法上的差异，促进各国法律之间的兼容性和互操作性；DEPA 倡议各缔约方应当允许基于开展个人相关业务的个人信息跨境传输，但需在符合必要的法规和保护措施下进行。

跨境数据流动。关注通过电子手段进行的跨境数据流动，各缔约国原则上应允许数据（包括个人信息）跨境自由流动，但也需符合必要的法规，成员坚持现有的协定承诺，例如允许数据跨境自由流动，但同时要保障安全等，这实际上间接定义了数据在数字经济合作中的跨境流动性和自由性。DEPA 鼓励各缔约方制定透明且与国际标准相协调的数据跨境传输法规，以促进数字经济的无缝连接和公平竞争。涉及到与数据存储和处理相关的计算机设施的地点等问题，这也与数据的管理和使用相关。

数据治理与合作。DEPA 为缔约方提供了一个全面的数据治理框架，涵盖数据流动、个人信息保护、网络安全、商业和消费者信任等多个方面。这体现了 DEPA 对数据作为数字经济核心资源的重视；DEPA 鼓励缔约方在数据治理领域开展合作，包括信息共享、经验交流、联合研究等，以共同应对数字经济带来的挑战和机遇。

CPTPP（全面与进步跨太平洋伙伴关系协定）并未直接给出数据的明确定义，但它通过一系列条款和规定，对数据在数字经济、跨境贸易和投资中的作用、流动规则、保护要求等方面进行了详细阐述，从而间接体现了对数据的理解和界定。以下是根据 CPTPP 内容对数据相关方面的归纳：

一是数据跨境流动。CPTPP 鼓励数据的跨境自由流动，认为这是促进数字贸易和经济增长的重要因素。在“电子商务”章节中，CPTPP 要求缔约方确保全球信息和数据的自由流动，承诺不施加对当地数据处理中心的限制；CPTPP 也认识到维护国家安全、公共秩序和个人隐私的重要性，因此在数据跨境流动方面设定了例外条款，允许缔约方在特定情况下采取限制措施。

二是个人信息保护。CPTPP 要求缔约方建立适用于网络空间的个人信息保护制度，确保个人信息在跨境流动过程中得到充分的保护，这包括限制收集原则、数据质量、目的规范匹配、使用限制、安全保障、透明化、个人参与和可问责性等方面的要求；CPTPP 允许基于开展个人相关业务的个人信息跨境传输，但要求这种传输必须遵守必要的法规和保护措施。

三是数字贸易规则。CPTPP 的数字贸易规则中包含了限权性规则，要求缔约方的行为不对数字贸易活动造成不必要的贸易障碍。这包括对数据处理中心、软件源代码等方面的限制要求；CPTPP 也要求缔约方建立适用于网络空间的消费者保护制度等其他赋权性规则，以促进数字贸易的健康发展。

四是合作与治理。CPTPP 鼓励缔约方在数据治理领域开展合作，包括信息共享、经验交流、联合研究等，以共同应对数字经济带来的挑战和机遇；CPTPP 为缔约方提供了一个全面的数据治理框架，涵盖数据流动、个人信息保护、网络安全等多个方面，以促进数字经济的可持续发展。

经济合作与发展组织（OECD）在 1980 年的《隐私保护与个人数据跨境流动的指导方针》指出个人数据是指与识别或可识别的个人（数据主体）有关的任何信息。

亚太经济合作组织（APEC） 对于 “数据” 本身没有一个明确统一的定义性文件，但在涉及数据隐私、跨境流动等相关议题的文件和规则中，从特定角度和应用场景对数据的处理、保护、流动等方面进行规范和指导。

APEC 在 2015 年修订的《APEC 隐私框架》中对数据相关内容进行了阐述，该框架包括 APEC 的隐私原则和实施指南。其符合并借鉴了 APEC 关于保护隐私和个人数据跨境流动的指导方针，旨在促进亚太地区对隐私和个人信息保护措施的一致性，同时确保数据的自由流动，以促进经济发展和区域一体化。

此外，APEC 还建立了跨境隐私规则（Cross-Border Privacy Rules，简称 “CBPR”）体系。这一体系于 2011 年经过 APEC 所有经济体首脑表决通过，是对 APEC 隐私框架要求的实施，适用于 APEC 经济体之间的个人信息流动。CBPR 体系建立了一套由政府背书的、自愿、可执行和基于责任制的隐私保护认证机制，APEC 经济体中的数据控制者在满足认证要求后可加入该认证体系，以向境外交易相对方证明自身的数据保护水平。

美国

美国没有统一的联邦一级的数据立法，但立法中对数据的分类主要根据各立法所规制的内容来进行。大方向上，美国将数据分为敏感数据和一般数据。敏感数据这一分类在美国更为丰富，包括可识别到个人的健康数据、金融数据以及 13 岁以下（或根据不同法案可能有所不同，如 ADPPA 中为 17 岁以下）的儿童数据等。

在一些具体的法案中，如《金融服务现代化法案》(GLBA) 将数据分为公开的个人数据和非公开的个人数据，保护非公开的个人数据；而《健康保险流通与责任法案》(HIPAA) 则将健康数据进一步细分为受保护的健康数据和受保护的电子健康数据。

2019 年美国《开放的、公开的、电子化的及必要的政府数据法案》规定数据是以任何形式或介质记录下来的信息。

欧盟

欧盟《通用数据保护条例》（GDPR）将 “个人数据” 定义为 “与一个已识别或可识别的自然人（‘数据主体’）相关的任何信息；一个可识别的自然人是指一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份证号码、位置数据、在线标识符或者一个或多个与该自然人的身体、生理、遗传、心理、经济、文化或社会身份相关的特定因素来识别”。这一定义强调了数据与特定自然人的关联性，并且明确了多种可能用于识别个体的因素，涵盖范围较为广泛，以更好地保护个人隐私和数据安全。同时，欧盟在其他领域的法规和政策文件中也会根据具体情境对数据进行不同角度的定义和阐释。

2024 年 1 月 11 日，欧盟《数据法案》正式生效。在《数据法案》中，数据被定义为“对行为、事实或者信息的数字表现形式以及对此类行为、事实或者信息的任何汇编，包括以声音、视觉或音像记录的形式”。这一定义涵盖了广泛的数据类型，既包括个人数据也包括非个人数据，即不包含任何可识别个人身份信息的数据。

个人数据与非个人数据的区分。虽然《数据法案》的数据定义较为宽泛，但它并不减损《通用数据保护条例》（GDPR）等有关保护个人数据的法律的效力。GDPR 明确规定了个人数据的定义，即与已识别的或可被识别的自然人（即“数据主体”）相关联的任何信息。这意味着，如果联网产品或关联服务生成个人数据，数据持有者必须同时遵守《数据法案》和 GDPR 等保护个人数据的规定。

数据访问与共享的规定。《数据法案》在数据访问和共享方面提出了具体要求。对于用户而言，法案设计了默认提供和基于申请提供两种向用户提供数据的互补路径，并要求数据持有者在没有不当延迟的情况下，免费向用户提供任何现成可用的数据及其相关元数据。此外，法案还允许用户向第三方共享数据，并规定了数据持有者如何配合这一过程的详细要求。

数据边界与跨境传输。值得注意的是，欧盟还通过数据边界的概念来规范数据的跨境流动。欧盟数据边界是一个地理定义的边界，包括欧盟成员国和欧洲自由贸易联盟国家。对于在欧盟数据边界内存储和处理的数据，欧盟有一系列严格的法规来保护其安全和隐私。同时，对于跨境数据传输，欧盟也制定了相应的规则来确保个人数据的合法流动。

数据主权与市场竞争。《数据法案》还是欧盟向数据主权迈进的一项重要措施。它旨在通过规范数据的访问、使用和共享，促进欧洲数据市场的发展，并维护数字市场的竞争秩序。为此，法案对大型数字平台企业（又称“守门人”）提出了严格的监管要求，限制其获取和使用用户数据的能力，以防止其利用数据优势强化自身垄断地位。

欧盟对数据的定义是一个多维度的概念，既包括了对数据基本形式的描述，也涵盖了个人数据与非个人数据的区分、数据访问与共享的规定、数据边界与跨境传输的限制以及数据主权与市场竞争的考量。这些定义和规定共同构成了欧盟数据立法和政策框架的基础。

专业机构

国际标准化组织（ISO）在ISO/IEC 2382:2015《信息技术 词汇》中认为数据是 “以适合于通信、解释或处理的正规方式来表示的可重新解释的信息”。这意味着数据本质上是一种表示方法，是对事物的数量、属性、位置及其相互关系等进行抽象表示的符号形态，其目的是为了实现通信（传输、共享）、解释和处理。并且这种表示和解释方式必须是权威、标准、通用的，例如用数字表示数量、用特定的图形表示特定的含义等，这样人们才能依据约定俗成的规则去理解和处理数据。

ISO/IEC 11179-4:2004《信息技术 - 元数据注册 - 第 4 部分：数据定义的表述》此标准虽未直接给出数据的定义，但从元数据注册中与数据定义相关的内容侧面反映了对数据的理解和规范。元数据是描述数据的数据，通过对元数据的规范和管理，可以更好地理解和处理其所描述的实际数据。例如，在数据库管理中，元数据可以用来描述数据库中表的结构、字段的含义、数据的类型等信息，从而帮助用户和系统正确地理解和使用数据。

国际数据管理协会在《DAMA 数据管理知识体系指南》中，数据被定义为 “以文字、数字、图形、图像、声音和视频等格式对事实进行表现”。它强调了数据的多种表现形式以及其对事实的呈现作用。

主编 丨 张烽

出品 丨 数字治理研究 / 万商天勤