观点 | 筑牢可信可控的数据安全法治屏障

      中国人民公安大学网络空间安全与法治协同创新中心教授 刘为军

　　如今，数据已被视为与土地、劳动力、资本、技术等传统要素并列的生产要素。尤其是随着大数据技术的兴起，数据大规模聚集成为“硬需求”。在算力资源的支持下，数据投入生产的方式方法不断创新，数据处理规模急剧扩大，成为推动数字经济发展、新型工业化转型乃至整个经济社会高质量增长的重要技术基础和驱动力。当下，大数据技术已经广泛应用于金融、医疗、社交、物联网、商业智能、公共服务和执法司法等领域，给企业、政府和社会带来前所未有的机会，但同时也因附随的数据安全风险而备受瞩目。

　　数据赋能直面多方面难题

　　要从单纯的技术赋能转化为稳定的经济社会增长推动力，需要在大数据技术应用的全流程和全领域中，为数据处理者提供稳定和具有可预期性的基础性支持及方向性指引。为此，中央和地方积极立法或出台政策，强化对大数据产业及应用的支持，为打通数据流通壁垒开展探索。但是，根据国家互联网信息办公室于2023年5月发布的《数字中国发展报告（2022年）》，数字基础设施互联互通、共享利用还面临众多难点，数据基础制度和标准体系尚不完善。

　　不仅如此，在大数据技术、数据产业和经济社会的协同演化过程中，有关新技术应用的负面效应也不断显现。大数据技术应用需要大量计算资源进行训练和运行，涉及海量数据的汇集、存储和处理，平台垄断、数据鸿沟、算法黑箱等问题成为舆论和管制焦点。许多大数据应用产品更是需要收集包括个人身份、联系方式、聊天记录、搜索历史等在内的大量用户个人信息，这些数据如果被泄露或被恶意利用，将会威胁个人隐私及财产、人身安全。海量或特定群体数据泄露并为敌对势力利用，还将对国家安全造成严重影响。然而，在制度层面，《网络安全法》《数据安全法》《个人信息保护法》等法律及一系列相关法规规章虽然对作为大数据技术应用基础的网络安全、数据安全和个人信息安全作出了原则性规定，但针对大数据技术应用所放大的数据安全风险，现有规范在欠缺操作性的同时，也未留足应对新事物、新问题的弹性。

　　大数据赋能的同时，还存在值得警惕的隐性赋权现象。伯特兰·罗素在《权力论》一书中指出，“现代世界变化的主要原因是科学赋予我们的业已增加的治物之权”。大数据技术的出现，无疑会对大数据的处理者尤其是公权力机构（包括作为数据占有与控制主体的第三方）产生“技术赋权”效果。例如，在大数据赋能效果极为突出的犯罪侦查领域，由于数据采集和分析能力的提升，侦查机关在初查阶段实施的调查活动的深度和广度前所未有，甚至有“以侦查技术之名行技术侦查之实”“以初查之名行侦查之实”情形存在。近年的立法在强化公权力机构对社会面大数据处理行为监管的同时，却对监管者自身的大数据处理行为网开一面，通常仅在处理原则上设置合目的性和比例性要求，缺乏细节设计，主要寄望其制定内部规制程序实施自发自觉的管理。而从实务层面，如未造成严重后果或引发舆情，外界也很难对公权力机构的大数据处理行为进行监督。

　   科学立法是数据安全的重要屏障

　　在做大做强大数据产业的同时，必须筑牢可信可控的数据安全屏障。尊重产业实际和客观规律，以科学立法解决发展与安全、强化赋能与限制赋权的双重需求，为数据流通保驾护航，织密数据安全保护网，具有紧迫性和可行性。

　　一是持续释放大数据技术赋能效应，以专门立法形式推动产业升级，解除数据流转和利用中的非必要束缚，提升我国大数据产业在世界范围内的竞争优势。全国人大常委会制定的2021年度立法工作计划中即已要求加快补齐大数据等新技术新应用涉及的相关立法。数据的价值在于流转、使用，而非收藏。但受困于现行法律体系难以解决数据权属问题，国家层面的数据立法主要在数据安全、个人信息保护、信息内容管理和算法规制等方面乏力，缺乏促进数据流转和利用的具体制度设计，使企业和其他主体在运用大数据技术进行数据处理时瞻前顾后、踌躇不前。为发挥数据要素价值，应该在《个人信息保护法》《数据安全法》《网络安全法》等法律划定的个人信息权益和数据安全红线基础上，确立以鼓励大数据运用为主的制度框架，推动全国性大数据技术应用管理立法。有必要采用当下涉网领域流行的“小切口”专门立法方式，制定《大数据产业促进法》，以畅通数据资源大循环为目标，以实用性和可操作性为要，绕开数据权属等难以休止的争议，围绕推动大数据技术应用的实际需求健全数据管理体制机制。须逐一打通关键环节，着力破除妨碍数据资源跨地区跨部门跨层级整合归集、共享利用的障碍因素，从而为大数据产业提供有力的制度保障。

　　二是不断压缩技术赋权空间。要防范科技活动可能带来的潜在风险，警惕不法者将先进科技用于违法犯罪，保证科技创新的正确方向，但同样要防止监管者利用先进科技越权作为。大数据技术有助于实现精准社会治理，但不加约束的大数据社会治理或者过于依赖大数据的社会治理，极易将治理对象数据化或物化，都会带来一系列社会问题，最终会对公共安全乃至国家安全形成反噬。因此，通过科学立法推动大数据产业发展的同时，必须规制因大数据技术应用带来的效益诱惑，避免突破当前监管权力边界的行为频发。有必要针对政府部门的大数据技术应用（包括大数据监管）行为建立全程可回溯的监管措施和监管程序，健全政府部门大数据技术应用行为的报告或备案、定期检查或抽查等制度，并提高对滥用大数据技术行为和数据泄露事件责任人的处罚力度。

　　三是提高对大数据应用“失能”者的救济力度。当前立法高度重视大数据技术所确立的数据掌控者及处理者优势，并通过强化对两者的监管来削减数据鸿沟、数据垄断，并阻断数据优势者对政治、经济和社会秩序的侵蚀。但是，算法价值观归根到底还是人的价值观。人的有限理性表明其发明的大数据技术只能无限趋近完美，但由此导致的计算结果失准及由此对个体或组织造成的损害，却难以得到应有的关注。针对大数据技术应用中的误差，建立类似于接诉即办的简便救济程序，保障因大数据应用失准而“失能”者的合法权益，才能使大数据技术应用真正惠及每一个普通公民，谨防人的基本权利被数据标签淹没。

　　大数据技术应用的困境与未来，映射了当代社会法治化与科学化两大主题的互动关系。在法治框架下，更主动地拥抱和更负责任地审查新技术，在技术赋能和技术赋权之间，坚定支持技术赋能，以更先进技术和更好制度限制技术“法外赋权”，才是以立法监管以大数据技术为代表的现代信息科技的最佳选择。