周辉(中国社会科学院法学研究所)
孙牧原(中国社会科学院大学)
数据和数字技术的结合为生产、生活和社会治理带来新的变革,不仅催生了新的数字产业,也带动了传统产业的数字化转型.中共中央、国务院于2022年12月19日发布的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)提出:“数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式.”既要充分实现数据要素价值,促进全体人民共享数字经济发展红利,也要规范数据处理,保护国家安全、社会秩序和个人权益.为不断解放和发展数字生产力,需要及时有效回应数据治理面临的挑战,提升当前数据保护、利用及监管水平,更好赋能我国数字经济发展.
1 数字经济时代的数据价值
近年来,欧盟、美国等世界主要经济体纷纷出台中长期数字化发展战略,促进数据利用和保护数据权益已构成各国数字经济战略的双重目标[1].数据价值可以从以下3个方面加以理解:
第一,从促进经济发展的角度来看,数据要素的经济价值不断展现,已经成为新时代深化发展的核心引擎,并正在成为各种产品和服务生产的必要前提[2].党的二十大报告提出,在建设现代化产业体系的过程中,要“加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群”;“数据二十条”也强调,要“做强做优做大数字经济,增强经济发展新动能”.
第二,数据在数字政府建设和数字社会治理中起到重要作用.通过充分分析和发掘政府所掌握的数据并应用各种数字技术,不仅能不断提高行政效能效率,同时还可以提高政府决策的效率和质量,助力我国治理能力和治理体系的现代化[3].
第三,数据已经成为各经济体提升国际竞争力的重要因素[4].国际竞争既包括规则和话语体系的竞争,又有数字技术和数据基础设施的竞争.健全数字规则、推动数字技术自主创新,能够使我国在数字经济领域的国际竞争与合作中取得优势,并更好维护我国数字主权.
2 数据治理面临多维度挑战
本文分析的“数据治理”主要指对数据及其管理和利用进行规范和治理[5].数据治理过程中面临的重要挑战包括数据确权争议较大、数据安全风险多样、数据合规落地困难、数据流通机制不畅等.
2.1数据确权争议较大
对于是否应进行数据确权的问题,目前存在一定争议.支持对数据进行确权的观点认为:出于克服“公地悲剧”、矫正市场失灵和提供激励等目的,有必要对数据进行确权[6].根据数据持有人所处的不同社会关系类型,可对数据财产权作标准化处理,构建可分割、模块化、开放性的权利体系[7].此外,还有观点主张以数据处理者为主体,以数据为客体,以利用(处理)、收益、占有(持有)、处分等权能为内容,构建新型数据财产权制度[8].反对数据确权的观点则指出,在目前的实践中,适用责任规则已经可以对数据进行充分保护.若转而以财产规则规制数据使用,不仅不会促进数据充分流通,反而会因权利碎片化造成多个权利主体并存,陷入“反公地悲剧”的困境[9].还有观点提出:个人数据与企业数据之间并非泾渭分明,因此无法将数据权属明确配置给任意一方,只能进行场景化、类型化的保护[10].
探究正反双方观点不难发现,数据确权的难点源于数据自身特性.数据的概念须依赖具体场景和语境才能明确[11],不同场景下不同类型的数据可以表现为不同的客体,如个人信息、数字作品、数据集、商业秘密等,这使得抽象的“数据产权”兼具财产权属性、知识产权属性等多种传统权利属性.即使是支持数据确权的观点也不得不回应这一客观事实,并尝试以“权利束[12]”或标准化、模块化权利体系补充确权理论[7].这种作法在结果意义上也将不再追求统一规则.因此,不拘泥于统一的权利体系,而是从权益保护的视角出发[9],在尊重市场机制、意思自治的同时,针对登记、评估、审计等不同情形设计程序性规定更加可行、更有意义.
2.2数据安全风险多样
数据处理包括收集、存储、使用、加工、传输、提供、公开、删除等多个环节.目前,安全风险比较突出的,多集中于数据收集、加工、提供和出境等环节.
第一,数据超范围收集的违法风险.数字经济发展的快速发展带来数据收集的庞大需求.但实践中,数据处理者超过法定或约定范围收集的情形仍然存在,在个人信息数据领域更加突出:工业和信息化部在各批次关于侵害用户权益行为的APP(SDK)通报中,曝光了大量违规收集、超范围收集个人信息的案例[13].出于增强市场竞争力和抢占商业资源的考虑,数据处理者普遍希望收集的数据越多越好.以个人征信业务为例,为了更准确地评估个人信用状况并解决普惠人群的征信数据不足问题,征信机构需要收集和使用大量替代数据,不仅包括传统的个人信贷数据,还包括个人的电子商务数据、行程数据甚至通信数据.如果没有充分理由,这可能与《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)所确立的个人信息处理应当遵循的“最小、必要”原则相冲突,架空相关法律的要求[14].
第二,数据超授权加工的安全风险.数据只有经过加工分析,才能充分发挥其作为生产要素的价值.开展这些数据处理活动时,数据处理者不仅需要遵守法律法规,还应遵守与数据主体或数据提供方的约定.当需要取得个人单独同意时,也应履行相关义务.但实践中,不少数据处理者在处理个人信息时,既未取得明确同意,也未提供便捷的拒绝途径,数据加工易超出授权范围.即使数据处理者履行告知义务或与其他数据主体签订数据处理协议,仍可能存在掩盖数据处理活动风险、对数据主体不利影响等问题,危害个人权益和公共利益[15].
第三,数据流通无合法性基础的违规风险.在数据交易、共享、开放过程中,特别是跨数据处理主体的人工智能训练、大数据分析利用场景,“1对多”“多对1”以及“多对多”的数据流通频繁.一方面,数据流通的频繁性会增加数据泄露或非法使用的可能性,产生数据安全风险[16];另一方面,涉及个人信息的数据跨主体流动,除了法定例外情形和经过匿名化处理后,都需要经过个人信息主体单独同意.实践中,不少数据处理者既有认为通过去标识化处理或基于科研目的就可以豁免取得同意义务的误读,也有仅取得数据加工或存储授权却进行对外提供的违规现象,还有接受数据处理者委托处理数据的受托方超出约定的处理目的、处理方式等违法对外提供的问题.这些都会增加数据安全风险,也会带来数据侵权纠纷.
第四,数据出境不可控的多重安全风险.境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境均会对出境数据安全带来影响.由于法律环境和技术条件的不可控,数据出境中和出境后往往存在遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险.境外接收方的数据保护水平也会存在差异,如果不能有效承担保护义务,既会损害个人权益,也会危害公共利益和国家安全.
2.3数据合规落地困难
《中华人民共和国数据安全法》《个人信息保护法》等构建了数据安全与个人信息保护的基础制度框架,规定了数据处理者的义务责任,确立了数据全流程合规治理制度框架.数据安全面临的多样风险客观上要求数据处理者依法采取措施,履行相应的合规义务,保障数据安全及数据相关方权益.然而,数据合规在从纸面要求到具体实施的过程中仍面临合规场景复杂、合规规则不够具体、合规技术价值不明等问题.
第一,医疗、金融、智能交通等行业存在不同数据处理场景,这些场景各有其数据合规专门需求.我国目前已有《工业和信息化领域数据安全管理办法(试行)》等规章,但尚未实现对主要行业的合规体系全覆盖,面对特殊领域的问题时在数据处理行为认定、责任义务划分等方面没有相应的标准和尺度.
第二,现有合规实践多采取评估、审查等做法,如数据安全审查制度、数据出境安全评估等,但流程周期普遍较长,不能适应技术更新迭代快、数据流动频率高的需要.如果同步开展业务,则不仅面临法律风险,还可能根据评估审查结果,付出大量成本进行组织架构与业务调整[17].部分数据处理者将由于合规审查评估周期过长、调整成本过高而被迫放弃部分业务,这对一些初创公司的影响更为明显.
第三,虽然我国鼓励合规技术、数据安全技术的开发与利用,但与其相关的法律规定更倾向于原则性、政策性宣示,技术标准和价值评估体系还不健全.例如,隐私计算技术尽管被认为可以在保持数据控制权的同时促进数据融合和共享利用[18],但并不能免除取得授权同意义务、达到绝对的匿名化或满足目的限制要求,也就无法真正满足个人信息处理合规要求并成为可靠的技术合规方案,仅可作为增强数据安全保障的一种可选手段.
2.4数据流通机制不畅
近年来,通过出台相关政策和地方先行先试建立数据交易平台,数据要素市场培育正在快速推进.但是,目前我国部分地区数据流通和交易的实际情况与预期存在明显差距,存在缺乏统一制度标准、技术支撑和数据增值服务供给不足、市场生态发育不良、交易平台专业化程度低、数据交易需求挖掘不充分等问题[19].造成这一问题的主要原因是缺乏有效整合权益保障和保障流通效率的机制,不能充分发挥市场作用,不能提高数据流通参与方积极性.数据流通过程中,数据处理者同时也是数据处理活动的直接受益人,且个人以及中小企业与互联网巨头之间存在严重的信息不对称、实力不平衡.角色的混同、信任的缺失导致数据主体权益受损风险较大[20].同时,上述不平等地位还会与数字经济竞争节奏加快、数据资源争夺更容易形成“赢家通吃”等因素叠加产生影响,导致许多数据控制者不愿参与数据交易,促进数据流通,或更倾向于收集而非提供数据,或在部分主体间和主体内部实施共谋行为,造成数据垄断,破坏市场的公平竞争秩序[21].数据垄断还可能进一步导致“双轮垄断”的形成,即部分企业借助数字技术优势和数据资源集中优势,可以将其基础核心服务的垄断地位通过运用“杠杆”向其他领域延伸,形成第2轮垄断[22].
3 数据治理的完善思路
数字经济时代的数据治理是一个内涵丰富的庞大命题,需要平衡好发展与安全、保障数据权益与激发市场活力间的关系,也要创新监管方式和技术手段,提高治理效能.
3.1更好保护数据权益
对数据确权问题的争议不仅需要更深入的理论研究与辨析,还有待实践对不同方案进行验证,形成可行、有益的经验.不应仅为了在理论上自圆其说而创造出更多的权利概念、提出更多的新型权利确权问题来解决已有的问题,数据确权的目的除建立理论体系外,更重要的是要以健全的制度保障数据权益,促进数据安全使用与流通.
保护数据权益既需要明确对数据处理行为的形式合规要求,又需要落实对数据安全风险的实质防范措施.可以着眼各行业各领域数据特点,推动数据分类分级细化标准的出台,加快《网络数据安全管理条例》等法规、规章的制定;针对知情同意、单独同意、撤回同意、数据删除、数据携带等场景,也可进一步出台实施细则,充分尊重和保护数据主体对个人信息流动与利用的控制权益;明确数据跨境流动“负面清单”,健全跨境问责制度,积极参与数据跨境监管的双边、多边谈判,构建数据跨境制度共识;还可基于现有算法备案公示制度实施经验,进一步提高数据处理技术的透明度、可解释性,破除技术黑箱,保障公众知情权.在风险防范层面,应当完善数据安全风险评估要求,发展第三方评估认证产业,培育数据安全专门人才队伍,使数据处理者能更有针对性、更灵活地识别和防范数据安全风险.
3.2加强数据合规指导
筑牢依法合规经营底线既需要数据处理者自身加强合规意识,也需要监管部门予以协助和指导,而不能一味沿用传统的命令控制型监管.为了促进数据处理者自我完善数据合规治理,要进一步发挥监管侧的灵活性,推动监管部门与责任主体之间的协作,建立一定的协同沟通机制和会商机制,采取如约谈、行政指导等方式帮助数据处理者在技术发展和企业经营中更好实现合规.为弥补法律细化程度不足、存在滞后性等缺陷,主管部门可以主动探索制定技术指南、行业标准等文件并加强与行业内主体的沟通,为数据处理者提供更明确的、更可操作的合规指引.另外,还应增强合规指引的针对性,通过完善各领域数据分类分级体系,依据业务类型、数据种类、用户体量等标准科学合理确定各类合规措施的适用范围与标准,指导数据处理者探索更有效的、更精准的合规方式,以保证合规实效为目标.
在实施合规指导的同时,还可拓展丰富监管方式,引导数据处理者自律合规.任何数据处理活动都必然面临一定的风险,合规的目标应当是风险可控而不是追求绝对安全.既要采取措施明确数据处理行为底线和权益保障红线,保证规则执行的强度,又应赋予法律制度以其一定的“灰度”[23],留出调整实践做法的余地.对技术发展迅速、数据高效流通需求较大的领域,可要求数据处理者事前承诺合规并定期发布自评估报告,辅以事中事后监管;对适合企业建立自律机制和风险内控机制解决的风险,应允许并鼓励企业根据自身实际情况选择适宜的实现方式;对可通过行业内自治规范解决的问题,可以提供适当的制度保障,但不宜先行施加过多硬性规则限制.还可推进尽职免责和责任调整的机制设计,推动“合规不起诉[24]”制度的完善,鼓励技术创新和实践探索,为数据处理者留出创新容错的适当空间.
3.3激发数据市场活力
完善数据要素市场化配置机制需要优化设计相应的配套机制.可在已有信托工具应用基础上探索新型数据信托机制,培育作为不直接处理数据的第三方主体的数据信托受托者,在数据流通过程中发挥监督数据处理、保护数据权益、撮合数据交易、建立信任关系等功能,切实提升数据可得性[20];还应完善数据交易平台功能,促进不同数据交易场所根据行业需求、行业数据特点或地区特色进行专业化发展,增加数据交易衍生产品和数据增值服务的供给.在实现多主体参与的前提下,可进一步探索数据交易行业自律,推动数据交易平台内规则自治,并鼓励平台在数据安全保障、交易环境的可信度等方面加大投入.对数据流通过程中产生的新技术、新应用模式、新交易方式,可以在不违背法律法规和公序良俗、公平公正、兼顾各方需求等原则的基础上,允许交易各方自愿选择交易方式、探索成熟交易模式,并为解决相关纠纷提供制度支持.
3.4推动技术赋能治理
实现上述制度创新和数据应用创新既需要推动数据处理技术的发展,也需要推动监管与合规过程中的技术赋能.宜鼓励监管科技、合规科技创新,如推动数据水印、数据访问异常识别检测等技术工具的发展,探索将人工智能应用于安全防护[25];通过产业政策、金融工具向数据处理技术、数据合规技术研发提供支持,缓解技术研发周期长、研发投入高等科创企业发展难题;对成熟有效的合规技术建立示范推广机制,明确应用合规效果,增强技术应用预期;鼓励政府采购和应用监管科技,增强监管的穿透性和有效性,确保数据处理实质合规.
4 结束语
有关数据治理的研究应当在深入认识数据特点和客观规律的基础上,关注技术创新带来的经济社会发展与对现有秩序的冲击,并跨领域、多角度地探索相应的激励措施或解决方案.建立高水平的数据治理体系进而推动数字经济时代的高质量发展,应当发挥法治规范、保障和促进的作用并充分利用技术工具,将规则之治同技术之治相结合,统筹制度建设、政策落实和治理手段创新,更有效地应对治理中产生的问题,更好推动我国的数字化转型进程.
参考文献
[1]梅夏英. 企业数据权益原论: 从财产到控制[J]. 中外法学, 2021, 33(5): 1188-1207
[2]Graef I. EU Competition Law, Data Protection and Online Platforms Data as Essential Facility[M]. Alphen aan den Rijn, Netherlands: Wolters Kluwer, 2016
[3]宋灵恩. 《“十四五”国家信息化规划》专家谈: 激发数据要素价值 赋能数字中国建设[EB/OL].[2023-04-19]. http://www.cac.gov.cn/2022 01/21/c_1644368244622007.htm
[4]沈玉良. 数字贸易发展转折点: 技术与规则之争——全球数字贸易促进指数分析报告(2021)[J]. 世界经济研究, 2022 (5): 313, 135
[5]沈岿. 数据治理与软法[J]. 财经法学, 2020, 31(1): 312
[6]申卫星. 数据确权之辩[J/OL]. 比较法研究, [2023-06-06]. http://kns.cnki.net/kcms/detail/11.3171.D.20230526.1415.002.html
[7]熊丙万, 何娟. 数据确权: 理路、方法与经济意义[J]. 法学研究, 2023, 45(3): 54-72
[8]张新宝. 论作为新型财产权的数据财产权[J]. 中国社会科学, 2023 (4): 144-163, 207
[9]周汉华. 数据确权的误区[J]. 法学研究, 2023, 45(2): 320
[10]丁晓东. 数据到底属于谁——从网络爬虫看平台数据权属与数据保护[J]. 华东政法大学学报, 2019, 22(5): 69-83
[11]Abraham R, Schneider J, vom Brocke J. Data governance: A conceptual framework, structured review, and research agenda[J]. International Journal of Information Management, 2019, 49(C): 424-438
[12]王利明. 论数据权益: 以“权利束”为视角[J]. 政治与法律, 2022 (7): 99-113
[13]工业和信息化部信息通信管理局. 关于侵害用户权益行为的APP(SDK)通报(2023年第2批,总第28批)[EB/OL].[2023-05-27]. https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_b9940ea1b98a46a7a6aa99f754e458f3.html
[14]赵精武. 破除隐私计算的迷思: 治理科技的安全风险与规制逻辑[J]. 华东政法大学学报, 2022, 25(3): 35-49
[15]唐林垚. 关系合同视角下数据处理活动的技术流变与法律准备[J]. 法学家, 2023 (1): 42-56, 192
[16]陈兵, 林思宇. 数字经济领域数据要素优化配置的法治进路——以推进平台互联互通为抓手[J]. 上海财经大学学报, 2022, 24(3): 123-138
[17]周辉, 张心宇, 孙牧原. 数据要素市场的法治化: 原理和实践[M]. 北京: 社会科学出版社, 2022
[18]马英. 一种基于隐私计算的数据共享模型研究[J]. 信息安全研究, 2022, 8(2): 122-128
[19]陈舟, 郑强, 吴智崧. 我国数据交易平台建设的现实困境与破解之道[J]. 改革, 2022 (2): 76-87
[20]周辉, 张心宇. 探索建立新型数据信托机制[N]. 学习时报, 2023-05-05(3)
[21]周辉, 朱悦. 治理数据垄断[N]. 学习时报, 2022-11-04(3)
[22]李勇坚, 夏杰长. 数字经济背景下超级平台双轮垄断的潜在风险与防范策略[J]. 改革, 2020 (8): 58-67
[23]周汉华. 网络法治的强度、灰度与维度[J]. 法制与社会发展, 2019, 25(6): 67-80
[24]王旭光. 协同视域下企业合规相对不起诉制度研究[J]. 法律适用, 2023 (5): 317
[25]张昊星, 赵景欣, 岳星辉, 等. 全生命周期数据安全管理和人工智能技术的融合研究[J]. 信息安全研究, 2023, 9(6): 543-550
作者简介
周辉,博士,副研究员.主要研究方向为网络治理、数据隐私、智能法治.
作者简介
孙牧原,硕士研究生.主要研究方向为个人信息保护、网络治理、数据安全.
(本文刊载在《信息安全研究》2023年 第9卷 第7期)
声明:本文来自信息安全研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。