新时期,大数据技术将人们曾经理想化的生活、发展情景投射出来,让现实世界的不可能在网络世界变得可能。作为庞大信息的载体和重要的社会资源,数据现已上升成为与土地、劳动力、资本、技术并驾齐驱的新型生产要素。在承载人们理想、促进人向全面自由发展更进一步的同时,数据运用也出现了一系列问题:大数据杀熟、信息茧房、滥用人脸识别技术、过度索取权限、诱导沉迷等,严重损害了公民的合法权益。这已经引发国内社会各界关注:国家发布多项规范性文件,构筑数据“法律堡垒”,出台地方数据条例;学界研究领域开始集中于大数据治理、数据安全、教育应用,研究方法从侧重于理论探索和体系建构向实践运用过渡;国内相关行业协会、智库、研究院接续发布相关数据治理白皮书,推进研究向纵深发展。相较而言,国外对数据治理的关注更早:2018年,欧盟施行《一般数据保护条例》,对全球个人信息和隐私保护立法产生了深远影响;2022年4月,欧洲议会一读通过《数据治理法案》,持续强化在全球数据治理领域的规则引领;美国除现存较多行业立法和州立法外,还启动了综合性立法工作,于2022年6月发布《美国数据隐私和保护法案》讨论草案;国外学界的研究领域从企业管理过渡到个人信息保护、数据安全、企业决策、区块治理,研究内容主要涉及数据治理环境下政府、企业、医院等的治理模型、框架、因素与机制研究,研究核心大都指向决策权及角色分配;相关行业协会、组织已形成较为完善的数据治理模型以及企业数据治理体系。由是观之,国外数据治理更多地从社会实践切入,逐步形成并巩固上层建筑,其演化模式呈现出自下而上的样态。但无论采取何种治理进路,全球都必须直面数据治理在当下及未来可能出现的种种问题与挑战。
一、数据治理的现实挑战
在大数据时代,数据不仅是行业创新产业运作模式、提升核心竞争力的重要依托,更是国家基础性战略性资源。为规范数据运作行为,避免数据资源的滥用,补足由行业自治产生的漏洞,国家将不可避免地进行数据治理。这一过程遵循这样的程序性逻辑:数据运作——产生问题——认识问题——解决问题(进行数据治理)。
具体来说,数据运作是数据治理的起点。随着数据操作与运用变得越发普遍,相关行业内部首先意识到数据规制的必要性,进而依据自治性规范对数据运作行为进行调控。在国家层面,规范性文件也相继出台,强调数据运作过程中的安全防护及公民隐私权保障。然而,伴随数据科学与大数据技术的飞跃式进步,新的“操作系统”与传统治理模式出现较大的不兼容性,由于数据的滥用和不合理运作,“数据孤岛”、资源垄断、隐私泄露问题频发。当下,如何认识问题进而解决问题是关键所在。
对于一套逻辑完备的数据治理机制来说,一些基础性要件不可或缺。这包括:能够提供指导的治理理念、完备且有效的治理规范、协调与系统的治理体系。其中,治理理念对治理规范起着指导性作用,治理规范在实践中起到核心调控作用,治理体系表现为对治理制度与手段的宏观概括。以此为标准,通过对当下数据治理现状进行审视发现:数据治理的对象认知滞后、治理理念与实践脱节、治理规范与需要矛盾、治理体系碎片化。这表现出,数据治理主体尚未做好充足的观念准备,他们对数据治理的对象认知尚未实现从“信息”到“数据”的跨越,这将制约后续治理实践的有效展开。
首先,在治理理念方面,信息治理的传统理念与数据治理的新兴实践脱节,在大数据发展背景下,新的治理理念缺位。实践中,数据治理与传统治理模式存在着角色设定上的差异,它不再强调信息提取和内容规制,而是关注对有效数据资源在宏观上的运算及利用,强调对各个环节的权利及责任进行合理分配,旨在促进数据资源的合理配置和运用。以监管理念为例,传统理念中自我监督、自我管理的模式更受欢迎,它们强调数据本地化并注重经济利益。然而,在大数据治理环境中,治理主体需要从全局出发看待数据流动,考虑到治理对人权、国家安全、贸易、竞争、税收等可能产生的影响。这些对于以信息资源的基本操作为需求,以评估、遴选、再现以及组织数据等一系列不间断管理为手段,以保障未来对数据的获取和使用为目标的传统治理理念来说,已经显得不合时宜。此外,由于传统理念中缺乏更具规范性的治理理念,主体在治理需求影响下难以达成共识,这进一步加深了数据治理与传统理念的矛盾。由此,改革或创新一种新治理范式来打破隔阂,建构数据治理实践的新理念迫在眉睫。
其次,在治理规范方面,旧有治理规范的滞后性与新的发展需要产生矛盾,在部分新兴领域存在法律空白。对于治理规范而言,与治理需要保持协调是规范有效的基本前提。但就目前而言,治理规范似乎力有未逮。一方面,地方性数据治理条例显现出边界感,难以支持和激励跨区域、多单位的数据治理行为。例如,传统管理模式以地域层级为标准,在市一级设立相关机构,下辖各区参照成立相关机构,实施数据的属地化管理。这种看似恰当的分级管理模式,实则存在割裂数据链条、破坏数据完整性的风险,难以实现数据整合,存在制约数据流通的可能。例如,我国首部大数据地方性法规《贵州省大数据发展应用促进条例》就由于没有清晰的主体职能划分,实践中出现对数据全生命周期管理的忽视,导致数据管理的割裂。另一方面,已有治理规范中硬法与软法共治框架形塑不足,部分新兴领域尚存法律空白。在数据领域的第一部综合性地方性法规《深圳经济特区数据条例》中突破性地规定了“数据要素市场培育”,虽设定了较多原则性的规定,但缺乏具体操作上的指引。例如,数据权属、数据价值、数据交易规则等数据要素的法律制度尚未建成,相关配套规范十分匮乏,这都制约数据要素市场的发展。此外,在一些新兴领域,如数据资源来源的管理原则、生物识别数据处理的合规标准、地理定位中安全与隐私界限、数据价值评估操作规范都还处于规定模糊或空白的状态。
最后,在治理体系方面,我国数据治理的完整体系仍处于逐步建构的过程之中,治理呈现出碎片化的状态,数据资源的利用率较低。从治理主体来看,多主体共治的治理模式正处于探索阶段。受传统理念制约,数据资源在个人、企业、政府之间的流通仍存在“阻力”。碎片化的治理模式将抑制主体间的治理合力,不仅会由于资源配置不合理而产生数据资源的浪费、流失,也会抑制政府依凭大数据进行社会治理的能力。从数据要素市场的发展来看,碎片化的治理模式将影响相关行业间的跨区合作,甚至出现资源垄断的局面。实践中,用户和企业进入供应链将变得更加复杂,一些领域容易出现寡头垄断的市场结构,而在另一些领域,政府影响力则可能不合理增加。此外,这种碎片化和混乱也会催生其他社会问题。《2021年数字经济报告》中指出,当前碎片化的数据治理格局可能使各国无法充分获取数字技术带来的价值,还可能导致隐私泄露、网络攻击等重大风险。
通过对数据治理问题的审视,我们基本“认识问题”,接下来要面对的就是“解决问题”。那么,如何应对数据治理的挑战呢?从治理主体层面来看,具备相关技能的个人、企业、社会自治组织都可以对数据资源进行管控和治理,但由于数据治理的复杂性,要想实现高效、深层次的数据治理,还需要与国家进行密切合作,进行多主体的协同共治。就国家而言,将数据治理纳入法治轨道,推进数据治理法治化,是提升数据治理能力,实现数据治理现代化的有效方略。从治理方式来看,法治具有客观性、公正性和权威性,能够以规范的模式对问题作出判断,让行为人的数据运作有所预期。更重要的是,法治模式中权利义务与责任有机统一,能够平衡不同主体的利益要求,实现数据资源的稳定运行。《法治中国建设规划(2020—2025年)》中就强调法治与数据的结合,提出“推进法治中国建设的数据化、网络化、智能化”。因此,数据治理法治化便是在综合考虑治理主体与治理方式之后,“解决问题”的良策。在探明数据治理法治化的需求之后,接下来需要讨论的就是:我们需要一种怎样的数据治理法治化,以及如何建构这种新模式。也就是去探寻,数据治理法治化需要或应当呈现出何种样态?将遵循何种逻辑?
二、数据治理法治化的三重定位
作为一种良好的问题解决方案,数据治理法治化首先要具备清晰的“自我认知”及对问题的认知。学者们多认为数据治理包括依数据的治理与对数据的治理。在此基础上,从概念入手,数据治理法治化存在三种解释:其一,“法治化进程中的数据治理”,即以法治进程逻辑来解释这一概念,将数据治理作为构建国家现代化治理体系中的一个整体性概念;其二,“通过数据的法治化治理”,即将法治化作为基本的性质表述,将数据作为治理的主体,数据治理体现为通过数据资源对生产、生活的监督和管理;其三,“对数据的法治化治理”,即将法治化作为治理的性质阐释,但将数据作为治理的客体,数据治理体现为主体对数据资源的利用、监督等治理行为。相较而言,第三种解释既能体现法治化的治理模式,又能对大数据时代背景下的治理行为作出宏观阐释,更符合当下数据治理的需要。以此界定为基础,数据治理法治化需要以问题为导向,确认理念、规范与体系上的三重定位。
(一)理念定位:融通与创新
作为数据治理的基础性要件,能够有效指导实践的治理理念是构筑良性互动治理模式的关键因素。为应对理念与实践脱节的问题,数据治理法治化的理念定位要求实现“融通”,即数据治理理念在实践中与中国具体国情、社情紧密结合,能够实现二者的融入、内化以至融合。当前,数据治理中的权益分配属于亟待解决的重要问题。其中,个体与社会(主要为平台、企业)的利益需要错综复杂,无论采取个人权益论、平台权益论抑或综合权益论都将深刻影响数据治理的立法趋向。理念融通在现实中就体现为在个体、社会、国家层面对不同主体现实需求及利益趋向的宏观把控,通过指导现实的治理规范,实现对治理过程中主体意志的尊重,进而达成良好的数据治理成效。
针对数据治理的理念缺位,改革传统理念或可达到一定的治理成效,但相对而言,更好的方式是结合中国自身发展实践进行治理理念的创新。这种创新基于内外两方面因素的考量。从内部需要分析,进行治理理念创新是中国在新时代稳步推进社会治理的基本策略。数字经济时代的产业结构越发向数字化、规范化方向转化,大数据、人工智能、云计算、区块链、元宇宙等先进技术对中国社会生活、产业运行模式以及人们生活方式产生深刻影响。在新局面中,为了弥合传统理念与现实需求之间的缝隙,更好地避免理念与实践不兼容所引发的个人、社会及国家间产生的矛盾分歧,进行治理理念的创新是重要策略。从外部环境分析,进行数据治理理念的创新也是中国在大数据时代参与国际竞争的必要准备。2019年11月,美国就开始计划制定“数据保护法案”,欲将数据保护纳入国家外交策略之中,通过设置具体条款将数据保护置于国家经济竞争的框架之下。此外,美国的一系列举措也旨在将数据作为大数据时代综合实力竞争的核心要素,暗含着意识形态竞争以及话语权争夺的图谋。对中国来说,顺应大数据发展的潮流、创新数据治理理念,能够帮助中国在理念层面作出准备,为治理规范提供指引,更好地应对大数据领域的国际竞争。
(二)规范定位:协调与完备
治理规范作为在治理实践中发挥关键作用的核心因素,其作用的发挥离不开治理理念的指导性作用。由于数据治理理念与实践的脱节和缺位,治理规范也存在类似问题:旧有治理规范与新的发展需要之间产生矛盾,部分领域存在法律空白。为应对现实问题,实现治理效能,数据治理法治化的规范定位要求:在规范与现实之间实现协调,规范自身保证完备。
这种协调的要求存在两个关键维度:一是推进数据治理规范的更新,解决现有规范的滞后性;二是促进数据治理规范的和谐,减少规范内部分歧。一方面,有效的数据治理需要我们在主体、客体和内容上作出更新的安排。例如,《数据安全法》内容中设置的数据分类分级制度,在数据对外交流和对内管理的数据层级上设置了标准,促使数据在分享认定上“有法可依”;而一些核心概念,如“重要数据”,法案却没有进行明确界定,这些都需要在其他条例中补充解释。另一方面,良好的数据治理规范需要在多个迥异的竞争目标之间保持动态平衡。例如,《深圳经济特区数据条例》中对“处理个人数据”规定了“最小必要”原则与“合理期限”原则。在这两种原则均得以适用的情况下,存在何种关系和限度,条例没有作出明确说明,这就容易引发解释的失衡。因此,为保障治理规范的协调性,需要对不同的利益目标进行衡量并作出取舍。这就部分地类似于法律适用的层级安排,目的在于实现不同竞争目标的协调并存。
完备性要求则表现为治理规范在数据治理多领域的全覆盖。自2015年数据安全立法及规范性文件正式出台,我国大数据战略部署和顶层设计正式展开。从国际发展战略来看,我国数据主权需要坚实的法律保障,尤其是在国际大变局之下,数据主权与数据霸权、长臂管辖的对抗逐渐成为大国博弈的重要组成。中国急需在阻断外国法律的域外适用方面做出努力。在国家标准制定上,数据治理规范主要集中在数据安全以及个人信息保护领域,其他领域涉及的相对较少。例如,在地理定位问题上,尽管数据使用者必须遵守安全和隐私规定,但关于保护新数据类别的法规仍然很少,部分细节几乎“无法可依”。又如,在追踪跨境数据流动时,鉴于数据的特殊性质,治理主体不能简单地将适用于国际贸易的既定方法(如原产地规则)适用于数据。当旧的标准在适用上难以为继,新的规则、共识尚未形成,这一领域便容易存在法律空白。另外,在数字支付、数字税、数字监管等数字经济领域,虽然存在大量实践,但在治理规范层面,如何设置监管制度,实现有效监管,保障后续执行等仍有缺失。尽管随着大数据时代的到来,凸显的首要问题是个人信息保护及国家核心数据的安全隐患,但未来数据时代的挑战也将日益复杂化。因此,重视推进治理规范的完备性,将是数据治理法治化在规范层面的重要考量。
(三)体系定位:明晰与集约
数据治理的碎片化问题严重阻碍数据治理效能,降低数据资源的利用率,甚至造成数据资源的浪费。针对这一问题,数据治理法治化以明晰、集约为体系定位,意在推进数据治理的体系化水平。目前,我国正在数据治理领域建构起有关数据安全保护的基础性法律体系框架,但对于数据治理整体来说,完整、法治化的体系框架尚未形成。“明晰”有助于数据治理法治化体系的成型,就如同“秩序守卫者”一样,它能促进法治规范的逻辑被有效地展现出来,避免不同要素如概念、原则与规范之间的重叠和混乱。在实践层面,构筑明晰的治理框架需要进行具体设置和创新。国际社会已有的治理框架,如国际标准化组织ISO38500治理框架、国际数据治理研究所(DGI)数据治理框架、IBM 数据治理框架都是利用数据进行的治理,多是在数据技术层面的操作框架,并非基于法治规范的逻辑架构。值得注意的是,建构明晰的治理体系框架只是解决数据治理问题的其中一步,是我们推进数据治理法治化的始端。随着我国治理模式的更新,治理角色和责任、实践和方法、技术与能力、执行与监管都将发生变化,治理体系也将向体系完整、逻辑完备的方向转变。
在治理碎片化的环境中,治理能力将受到限制,资源配置容易出现失衡,这就引发了数据资源利用率的低下。体系“集约”就意在防止数据资源的不合理扩散及流失。在治理标准方面,数据质量参差不齐,是否值得被治理是需要考虑的首要问题。“集约”要求将明确的数据质量衡量标准纳入体系范围,为治理主体提供规范指引。在数据流通方面,由于数据流通的隔阂,数据资源交换、共享存在困难;基于主体认知差异,数据资源的传递、接收亦会形成分歧。“集约”要求形成统一的数据流通标准,减少数据资源在流通中的不合理损耗。在主体职能方面,主体内部或不同主体间缺乏有效的管理机制。监管职责混乱以及运作流程不清晰,是造成数据资源质量问题的重要原因。“集约”要求形成合理的主体职能划分,进行有效治理,提升治理效能。
问题导向下,数据治理法治化的三重定位,奠定了数据治理法治化发挥作用的整体基调,向解决数据治理的现实问题迈出了重要一步,亦为后续揭示其逻辑构造作出必要准备。
三、数据治理法治化的逻辑引领
数据治理法治化的逻辑构造将为数据治理实践提供较为完整的逻辑导引,使一种可以良好运作的数据治理模式能够通过规范化、体系化的方式被推导出来。在此,借由理念、规范与体系的逻辑阐释,可以一窥数据治理法治化中的基本构造,亦可为后续开展更为完善的体系化建设提供借鉴。
(一)理念引领:个体-社会-国家的目标逻辑
数据治理法治化的理念逻辑立足中国社会发展需要,串联起数据治理法治化的一系列关注重点,经由个体、社会及国家的视角分析,揭示出数据治理法治化的理念目标。
1.个体视角:个人信息保护及隐私权保障
在个人视角下,数据治理法治化理念指向在于推进个人信息保护及隐私权保障。大数据的运用使得人的行为逐渐被“数据化”,这加剧了个人信息被泄露的风险。一方面,数据资源之间高度的关联性本身就容易导致资源的聚集,出现“牵一发而动全身”的效果。数据收集、融合储存、解构分析、数据解释以及数据交互的整个过程不断出现对个人信息保护以及隐私权保障的挑战。另一方面,这些数据资源在被资本竞争的过程中,时刻充斥着被无端泄露的危险:为谋取更大的商业利益,信息提取者频繁地对个人信息进行追踪、捕获;信息储存者不加考虑地泄露甚至买卖他人信息;信息使用者大量滥用个人信息;而部分数据用户自身出于隐私保护意识的匮乏,在现实中轻信虚假宣传或出现操作失误,同样会将个人信息泄露出去。由于信息泄露的严峻现实,公民个人对个人信息及隐私安全产生深刻担忧,这业已成为个人视角下数据治理法治化面临的最突出的问题。
近年来,我国推进数据治理法治化的首要问题就是规范涉及个人信息处理的一系列行为,保障个人数据权益。对此,2022年11月,《中华人民共和国个人信息保护法》正式开始施行,强调“保护优先”,尊重公民的“知情”“同意”,规制侵权行为,明确平台义务,注重数字时代公民个人信息安全保障。目前,民法典及《网络安全法》《数据安全法》《电子商务法》均已生效,使得个人信息在保护范围、信息处理者的权利、义务、保护规则、国家机关处理行为、个人法律救济渠道等方面有法可依。尽管如此,在实践中,相关规定是否能够形成对个人权利保障的完整闭环;《个人信息保护法》如何与其他司法体系进行有效衔接;当个人信息在数据循环的某个环节脱离《个人信息保护法》规定的保护范围,应遵循何种裁判规则等问题仍待进一步解决。这些问题都现实地影响着数据治理的规则设置以及理念构建,可以说,强调个人信息保护及隐私权保障是个体视角下的理念必然。
2.社会视角:数据安全保障和数字经济发展
就社会而言,数据治理法治化的理念目标应为运用法治保障数据安全,引领数字经济发展。作为大数据时代的突出问题,均衡数字经济发展与数据治理,保障数据安全是整个社会甚至国家所关注的重点话题。对此,法治是最优选择。实践中,法治的强规范性特征可以通过行为调控转化为统筹优势,促进数据治理规范的优化配置;亦可通过方案执行展现为效力优势,有效推动数据治理规范的贯彻落实。2021年10月,联合国科学与技术促进发展委员会主席彼得·梅杰先生在“数据治理与隐私保护高端研讨会”上提出,法治在数据安全保障上具有重要地位,网络安全与数据保护规则是保障数字社会运行的重要原则,进行网络空间安全和数据保护的法治研究非常重要和必要。
以法治引领数字经济高质量发展也是社会视角下的重要理念目标。数字经济作为新兴经济模式,逐渐成为推动社会经济高质量发展的重要牵引力。《中国数字经济发展报告(2022年)》显示,2021年我国数字经济规模达到45.5万亿元,同比名义增长16.2%,占GDP比重达到39.8%。法治推动高质量数字经济发展的能力以促进规范生成的形式表现出来:通过分析、概括数字经济发展中的优势做法和经验,将其中隐含的方法和策略上升成为制度规范,大幅提升数字经济的发展效能。法治引领高质量数字经济发展的能力与法治自身的价值内蕴密切相关:通过法治规范中凝结的理念价值,如以人为本、亲民便民、民生保障,引领数字经济与民生贴合,为社会主义现代化建设保驾护航。这种对法治、数据安全、数字经济的结合判断,便是数据治理法治化理念在社会层面与实践紧密结合的现实表现。
3.国家视角:助力中国参与全球数据治理
在国家层面,数据治理法治化的要义在于助力中国参与全球数据治理。当今世界正面临百年未有之大变局,全球治理的相关制度、规范、机制正面临革新,新的治理模式正处于酝酿之中。在全球数据治理领域,由数据带来的所有权归属、数据主权安全、个人数据保护等问题层出不穷,探索推进国家数据治理体系法治化已经成为国际社会的共同需要。能否在国际社会率先展开数据治理的规范建构,是未来掌握话语权的关键。在此背景下,欧盟、美国等已经开始通过法案设定的方式在国际舞台争夺话语主动权。欧盟2016年制定的《一般数据保护条例》通过借助属地原则、住所原则、设立原则和市场地原则和个人数据处理概念拓宽适用范围,增加了“域外适用”的情形,展现出明显的跨境管辖意图;从隐私到数据保护、从竞争问题到保护版权和出版商权利、从打击网上仇恨言论和虚假信息到率先进行人工智能监管,欧盟通过监管规则与惩罚措施并行强势主张数据主权。美国同样如此。2021年美国通过《统一个人数据保护法案》,对数据传输和数据储存作出严格限制,制约跨境数据流向,以防止个人数据流向中国和其他“威胁美国国家安全”的国家,实质上就是奉行数据霸权。至今,美国已出台130余部数据主权相关法案,形成涵盖互联网宏观整体规范与微观具体规定的完备数据主权战略体系,并通过规则设置持续谋求主导全球数据治理。2021年4月以来,苹果正式推行全新的隐私防护措施——应用程序跟踪透明度,让用户自行决定是否同意App的数据跟踪权限,这昭示着“全球数据安全革命”的开端。可以看出,欧盟和美国已经在国际社会拉开数据时代竞争的序幕,通过设定规则的方式开始影响全球数据治理模式及行业样态。
拥有庞大人口体量的中国,在未来将逐渐成为大数据时代数据资源的重要汇聚地。积极参与全球数据治理的规则建立、制度构建、议题设置将是国家发展的重要战略。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》已经提出要“积极参与数字领域国际规则和标准制定”。反映在国内层面,这就要求探索确立数据治理的规范体系,加快推进数字经济治理体系的深度变革进程;通过制定相关阻断立法规范,阻断外国法数据治理的域外适用,反制外国法律的不正当的域外管辖,以期形成数据治理的中国方案。在对外环节,这表现为坚定维护国家数据主权和数据安全,以共赢的理念推进数据保护的国际合作;积极参与制定统一的全球数据治理规则,以人类命运共同体的理念指引国际规范的形成过程,促进在大数据时代命运共同体的发展。就此而言,国家视角下的数据治理的现实需求在数据治理法治化的理念逻辑中得到体现,这将为未来中国参与全球数据治理提供理念指引。
简言之,数据治理法治化的理念逻辑与中国具体实践紧密结合,通过创新理念构成的逻辑形式,着眼个体、社会与国家的核心要求,揭示出不同主体的目标指向,进而成为指导数据治理法治规范的关键一环。
(二)规范引领:治理主体-对象-内容的转向逻辑
数据治理法治化的规范逻辑从主体、对象及内容三方面展开,揭示未来数据治理的重要转向。数据治理的法治化进程将法治自身的特性赋予到治理模式之中,通过搭建事实与规范之间的逻辑通道,为数据治理提供规范指引,以展现规范主体、对象以及内容时的理想形态。这主要表现为:推进以政府为主导的多主体联动,提升治理对象的规范化程度以及动态把握权利—义务—责任的统一。
1.推进以政府为主导的多主体联动
数据治理法治化在主体层面的规范逻辑,主要表现为加快推进数据治理主体由以企业为主向多主体联动转变。21世纪初,随着信息网络的发展,具有前瞻性的企业通过大数据的控制和运作实现了企业管理、生产效率以及服务水平的提升,获取更多商业利益。在此环境下,数据治理更多地与资本、管理、风险、收益联系在一起,治理主体多集中在企业管理领域。近年来,随着数据在工具理性之外展现出资源属性,数据逐渐上升成为国家基础性战略资源,这就出现了治理主体转变的契机:公权力部门开始更多地介入数据治理,治理主体从最初的企业开始拓展到国家公权力机关。
这一主体转变的进程主要以规范的方式表现出来。以数据安全领域为例,2015年“数据资源”的概念在《促进大数据发展行动纲要的通知》中就已经出现。2016年《网络安全法》将网络安全治理纳入国家治理体系,明确规定统筹协调主体为“国家网信部门”,具体执行主体为“国务院电信主管部门、公安部门和其他有关机关”及“县级以上地方人民政府有关部门”,这就表明了公权力机关在数据治理中的主体地位。2020年《关于构建更加完善的要素市场化配置体制机制的意见》中认为数据已上升成为与土地、劳动力、资本、技术并驾齐驱的新型生产要素。2021年《数据安全法》与《个人信息保护法》先后通过。其中,《数据安全法》中规定了权限更高的治理主体,将数据安全决策和协调的最高领导权赋予“中央国家安全领导机构”,强调“公安机关、国家安全机关”以及“国家网信部门”承担相关监管及协调工作。《个人信息保护法》则进一步强调主体联动,强调政府、企业、相关社会组织、公众的共同参与。简言之,数据治理的主体逐渐由以企业为主向以政府为主导的多主体联动转变。这种新的治理方式相较以企业为主而言,不再侧重于主体自身利益,而是更强调对数据治理整体性流程的关注:在具体数据运用上倾向于对风险以及不确定性的评估,在治理环节更强调对数据管理行为的监督、对数据安全的保护以及对个人信息的保障。
2.提升治理对象的规范化程度
数据治理法治化的规范对象可以被概括为:为落实数据治理所采取的技术手段、实践途径与作用机制。数据治理法治化的规范逻辑在这一领域通过对治理对象的分析,强调将法治作用于各项手段及路径,意在提升治理方式的规范化程度。目前,我国数据治理正处于从利用数据技术进行治理到对数据进行治理,再到数据治理体系建设的深刻变革之中。其中,数据治理技术的实践地位从作用手段转化为被治理的对象。这种转化并非偶然或个例,其背后隐含着社会治理取代社会管理,治理水平和治理能力不断提升,治理手段向规范化转变的必然趋势。为实现良性治理,数据治理的手段要遵循法治原则,以更规范性的方式综合作用于社会各治理途径。首先,法治的规范性可以促使治理手段、机制更加条理清晰,提升治理的可靠性;其次,法律本来就长于“规则设计”,是从外部规范主体行为的有效工具,对数据全周期中主体之间关系的调控亦是其特长所在;最后,坚持法治的方式有利于保障治理效能,这主要体现为在实施上的可操作性,及对后续治理行为的监督和保障。
在实践中,法治提升治理手段规范性的主要方式是:在规范性文件中设定相关制度,持续评估治理效能,对治理全过程进行监管。首先,为促进数据权利保障、数据义务遵守、数据责任落实,治理的手段不能囿于技术领域,还需要通过制定制度的方式进行规制。以数据安全治理为例,《网络安全法》《数据安全法》《个人信息保护法》与《网络数据安全管理条例(征求意见稿)》设置了五大制度:数据分类分级保护制度、数据安全保护制度、数据跨境安全管理制度、数据安全应急处置制度以及数据安全审查制度,致力于全方位保障数据安全。其次,持续评估治理手段的可行性和实践效能。目前国家信息安全标准化技术委员会出台的多项标准均强调对治理手段的评估。例如,2018年,《信息技术服务 治理 第5部分:数据治理规范》(GB∕T 34960.5-2018)中对数据架构的管理机制和有效性,数据资产的管理水平和运营能力等均提出了评估的要求;2020年,《信息技术大数据参考架构第3部分:参考架构》(ISO/IEC 20547-3: 2020) 则直接将对组织的数据管理和利用进行评估、指导和监督作为数据治理的目标。最后,注重对治理全过程的监管。这种监督不仅指法律监督,还包括企业自我监督以及行业监督。企业设置的自我约束主要包括道德约束,它构成监督环节的第一道防线,但客观上为追求利益违反规定的情形多有发生;行业监督多以国家标准为基础构成第二道防线,但由于规制效力不强,缺少强力保障,它也难以全面有效地规制数据运作行为;法律法规作为第三道防线相较其他方式而言在实践中更具有规范性,能够最大限度地保障治理的顺利进行。
3.动态把握权利-义务-责任的统一
在数据治理过程中,主体享有数据权利并承担相应的义务,一旦超出权利的限度或违反义务,就需要对其进行规制,责任由此产生。相较于“重权利轻责任”的初始发展状态而言,数据治理法治化的规范逻辑已然转变。体现在内容方面,这就表现为保障主体权利—义务—责任的统一。这种统一对于个人、企业和政府来说,存在不同的倾向性。其一,作为数据治理中最弱势的一方,公民个人基本上处于被支配、被保护的地位。在数据权利方面,公民享有个人数据权利,这种权利具有一定的人格权和财产权属性,体现为自然人对其个人数据被他人收集、存储、转让和使用的过程中的自主决定的利益。在义务方面,公民负有合理利用个人数据的道德义务,而合理的限度目前讨论较少,但坚守法律底线是基本所在。相应地,个人数据责任同样限于对违法违规的归责。目前,学界对个人数据的追责讨论较少,多集中于对个人数据的保护。
其二,作为数据运作的最大主体和数据治理的重点对象,企业在数据利用方面拥有“财产权”以及“数据控制权”,能够在法律规定的范围内合理行使其权利,为增进企业利益服务。在义务层面,企业相对个人而言应承担更多义务,主要包括:为确保用户数据不被滥用的注意义务、保密义务、安全保障义务。当违法行为发生时,企业将承担相应的法律责任。以《个人信息保护法》为例,该法依据情节的严重程度对违法者设置了不同的处罚标准,要求行为主体及直接责任人员承担相应数额的罚款及其他行政处罚;采取设置信用档案、公示违法行为的方式对违法者进行监督和惩戒;通过与社会舆论监督的联动对潜在的违法违规行为进行警示。
其三,政府作为当下数据治理中数据资源的使用者、数据运用的管理者和企业相关行为的监督者,凭借其自身的统筹优势和领导能力同时具有了对政府内部及部分外部数据的“数据归属权、数据使用权、数据管理权和数据监督权”。与权利相匹配,政府应承担相应的义务:注重对个人信息的保护义务,贯彻政府数据公开与共享的原则,坚持责任本位观念,从发布行政命令更多地向设置法律规范转变;政府要承担对企业合理的监管义务,公平公正地对待数据使用者,尊重市场规律,通过调控数据资源促进数据市场的良性竞争。在政府责任方面,已经存在部分法律对政府责任进行规制。例如,《个人信息保护法》规定了对不履行个人信息保护责任的国家机关的处分规则;《数据安全法》设置了数据违法的处罚规定,同时要求违法者依照有关法律法规承担相应的刑事、民事或行政责任。概括来说,在规范内容层面,这种权利—义务—责任的统一对不同主体而言并非完全相同,出于公平和均衡的考量,它在个人层面以权利保障为核心,在企业层面强调义务及责任,在政府层面则关注义务的履行。
简言之,法治化的规范逻辑作为数据治理行为调控的重要环节,展现出其在规制数据治理的主体联动、对象范围以及规范内容方面良好的适应性,为数据治理的实践展开提供规范保障。
(三)体系引领:理念-秩序-利益的协调逻辑
在数据治理法治化建构过程中,治理理念、规范内容与主体利益层叠出现,共同搭建起数据治理法治化的体系。由于不同要素的相互交错、摩擦,体系内部不同要素极易不平衡,这就需要一种要素调控逻辑。数据治理法治化的体系逻辑,也可以说是一种衡平法则或协调机理,通过协调多重理念的运用、多种规范的秩序以及多元主体的利益,将对解决数据不同要素的冲突起到关键作用。
1.多重理念的运用协调
数据治理法治化进程中日益复杂的理念内容之间极易产生混乱。推进多重理念的协调,要求以“正义、良心与公正”为基本准则,强调“大局意识”和“灵活变通”。从“衡平”的概念出发,协调的首要准则便是强调“正义、良心与公正”。数据治理法治化的理念整体呈现出多元复合的现象,尽管存在较为宏观的理念逻辑,但在与现实接轨时难免出现不兼容的现象。例如,在政府治理与社会治理的中间地带该适用何种理念,相互关联但不同性质的问题能否用单一理念进行调控。对这些具体问题的回答,还是要回归“正义、良心与公正”基本准则。也就是说,将人民的需要放在首位,强调国家数据主权及安全,公正对待不同数据使用者,在具体治理中坚守正义底线。
在应用中实现理念协调,还要求在理念选择之初具备“大局观念”和“大局意识”,注重将数据治理与社会治理、国家治理紧密结合。这也就是要求治理主体更多地考虑国家治理体系和治理能力现代化的需要,紧跟国家发展总体战略布局。治理理念的选择在实践中还强调“灵活性”或“具体问题具体分析”的原则,这就要求以灵活应变的态度、大胆创新的思维关注治理理念,以发展的眼光而非教条的思想来看待数据治理的总体进程。
2.多领域的秩序化协调
对治理体系中的规范来说,保障协调的首要考虑就是推进治理规范以秩序化的模式展开。这种秩序化要求在法治环境中,主要体现为建构以法律、法规、规章、标准等为主要内容,存在规范效力等级差异的综合性系统。在运用治理规范的不同领域,这种秩序化程度的要求略有差异。这一协调方式在实践中与数据分类分级保护制度相呼应,二者都倾向于集中优势力量解决重点问题。
首先,针对数据治理所应用的重点目标领域,尤其是数据安全保障以及个人信息保护,这种秩序要求体现为法治化水平较高的规范秩序,即要求形成以法律、行政法规、地方政府规章、国家标准、行业自治条例等为调控手段的综合规制系统。目前,中国逐渐以《国家安全法》《网络安全法》《数据安全法》及《个人信息保护法》等为中心,以各省市相关数据条例为配合,构筑数据安全保护的法律规范体系。未来,伴随相关立法的逐步完善,这一规制体系也将不断完备。
其次,针对数据治理应用程度较低的领域,例如手机软件的数据运用、机器学习与数据分析,这种规范的秩序化要求可以相对降低,即要求在可适用的法律法规以及部分行业自治标准之间的行为可控。目前,这些领域由于数据资源集中程度较低,进行专项立法的性价比并不高,但探索建立能够对数据治理进行宏观调控的法律机制仍十分必要。
最后,对于数据治理涉及较少的领域,例如利用数据资源进行地理定位和衍生数据的使用,这种领域的秩序要求体现为最基本的有序,也即要求遵循行业内部现有相关规范以及制定的行业自治条例等。目前,由于社会关注度较低,部分领域甚至存在法律空白,相关行业内部呈现出仍以行业规范和自治规范为主的规制状态。随着数据治理法治化的发展,这部分领域治理规范的秩序化程度也将相应提升。
3.多元主体的利益协调
在构筑数据治理法治化过程中,数据治理的个人—企业—政府三方之间存在一定的利益博弈,尊重“个人知情同意”的权利,建设数据资源市场,明确政府数据权限边界是促进多元主体之间利益协调的有效举措。实践中,不同治理主体在数据资源上的利益诉求存在矛盾。其一,个人要求数据权利保障、个人信息保护而这极易与企业提升企业效益相对立。在此分歧下,企业便容易为追逐利益不正当地损害个人数据权利。其二,政府希望拓展数据权限、促进有效治理,而企业则主张扩大数据利用范围。这两种扩张的要求发生碰撞,政府数据利用的权利和管理的权利就容易受限于企业过大的数据控制权。其三,个人与政府都存在数据归属权的主张,但私人数据与公共数据之间的界限尚存在一定的模糊性,个人数据权利与政府数据归属权容易产生冲突,难以双赢。
就上述问题而言,个人无论在与企业还是政府的关系上,都处于弱势地位,出于利益协调与平衡的考虑,个人的数据权利应该首先受到保护。其中,在使用个人数据之前得到个人的“知情同意”是基本要求。其次,建设数据资源市场是解决企业与个人、政府之间矛盾的有效方案。一方面,市场化的管理模式能够促进数据的有序治理,通过设置数据市场准入规则、规范市场交易流程、监管数据资源流向,数据治理的规范化程度将大幅提升。其中,个人数据权利可以通过市场得到秩序性保障,政府亦可从市场的数据流中获取所需数据资源。另一方面,数据市场的建设可以保障数据及资本的流通,解决企业面对的数据获取方式不对称、数据共享难的问题。在市场化的运营模式下,数据资源行业的自我监管与社会监管更加充分,数据要素的流通性以及数据资源的利用率得到提升。最后,明确政府数据权限边界,区分数据资源的持有主体,合理划定数据资源的配置方式。公民个人对部分私人数据资源具有排他性的权利主张,如个人隐私相关的数据。对公共数据资源来说,涉及企业发展、数据流通以及社会公共利益的必要数据政府应该开放给社会,而涉及社会安全需要甚至国家利益的公共数据应该由政府根据需要选择完全保密或有限使用。
简言之,体系引领的逻辑本身就在一定程度上包含着对理念以及规范的综合性考量,通过协调多重理念、各层次秩序以及多方主体利益之间的分歧,其展现出对数据治理制度理念与实践手段的协调把握。
结语
数据治理法治化作为应对数据治理现实问题的重要途径和规范进路,存在理念、规范以及体系方面的三重定位以及相应的三重逻辑。其定位直面数据治理的治理理念与实践脱节、治理规范与需要矛盾、治理体系碎片化的问题,进而强调理念定位上的“融通与创新”、规范定位上的“协调与完备”以及体系定位上的“明晰与集约”。这三重定位,奠定了数据治理法治化发挥作用的整体基调,为揭示数据治理法治化的逻辑构造作出必要准备。数据治理法治化的三重逻辑,坚持问题导向,以三重定位为前提,通过理念逻辑、规范逻辑、体系逻辑对数据治理法治化进行阐释,较清晰地展现数据治理法治化的逻辑框架。其中,数据治理法治化的理念引领串联起数据治理法治化的一系列关注重点,经由个体、社会及国家的视角分析,揭示出数据治理法治化的理念目标;数据治理法治化的规范引领从主体、对象及内容三方面展开,揭示未来数据治理的重要转向逻辑;数据治理法治化的体系引领,它通过协调多重理念的运用、多种规范的秩序以及多元主体的利益,应对数据要素之间的冲突,达成体系内部的和谐稳定。
在宏观视角下,数据治理法治化的定位从认识论层面对数据治理法治化进行的理性界定,逻辑剖析相当于从方法论层面对数据治理法治化进行解构,二者在认识论和方法论层面完成了对数据治理法治化的结构性阐释。进而,数据治理法治化的定位及逻辑引领通过直面数据治理内部与外部可能存在的问题,探寻应对现实问题的具体路径,为将来进行更为完善的体系化建设提供有力借鉴,助推数据治理进程行稳致远。
↓↓了解更多资讯,请识别下方二维码↓↓
国脉集团是数据资产化先锋企业,主要提供培训、咨询和产品设计服务。为数据资源拥有者提供专业、规范、合规的全流程资产化服务,提升机构数据管理服务能力,实现数据资源价值最大化。运用最先进的培训理念方法和平台工具提供高绩效培训服务。研发“一头一体两翼”企业数据资产化咨询服务方法论,提升数据资产化战略设计、就绪度评估与咨询、入表和产品化全流程咨询服务。基于战略思维和实操需求研发“易”系列产品,并与数源方合作研发系列数据产品。 主要课程包括数据资产入表、数据经纪人、公共数据运营和政府CDO、数据精品等精品课程。 主要产品:数据易投、数据易贷、数据易保、数据易售。
联系我们请点击:
数邦客
