【作者】杨力
【内容提要】
*杨力
中国法与社会研究院副院长
上海交通大学凯原法学院长聘教授
摘要:深化推动数据的“要素级别”流通和利用,难点在于数据交易立法是否可行,它涉及数据权属界定、数据资产定位、隐私保护体系等元问题。以促进为主兼及规制,基于这一倾斜性视角,数据交易立法被建立在“不完全契约”的理论基础上,就可以从数据权益、行为控制、个人数据与信息分离等方面,寻找到数据交易问题在立法上的共识。在此基础上,立法对数据流通利用的驱动模式不是简单的直接数据交易,而是先行探索数据授权经营模式。其中,公共数据的授权经营应当采取原则免费、例外收费的做法,保留政府获得必要的数据处理エ作成本报酬的权力。此外,交易中的数据安全立法条款必不可少,但可以采取合规附条件的责任豁免方式,最大限度地保障数据交易目标的实现。
关键词:数据交易 数据立法 授权经营 数字化城市治理
2020年3月30日,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》将数据确定为与土地、劳动力、资本、技术等并列的新型生产要素。“要素级别”的数据定位在于更大程度地推动流通和开发利用,更深层次地释放数据价值,撬动实现经济与社会发展的乘数倍增。尤其在数字化改革前沿的城市中,实时、动态、过程的大数据被更大幅度、更深层次地运用,已经成为衡量精细化城市治理水平的重要标志。然而,国家对制订与之相应的上位法比较审慎,更多鼓励地方先行试点和探索。基于此,2021年以来,深圳、上海等地方数据立法进入快车道,迈入“无人区”的地方数据立法最大争议焦点在于,推动数据作为要素流动怎么实现,简洁明快的数据交易是否可行,数据交易的现实场景如何架构,数据交易定价和证券化能否实现,数据交易的规制方式是什么。笔者于本文中拟对这些涉及数据交易的立法难题加以论述。
一、数据交易立法的“元问题”
有别于数据开放,数据交易牵涉的问题十分复杂。美国、欧盟等多数国家地区对此持谨慎态度,数据交易机构很少由官方设立,多为民间发起,比如,Acxiom、Corelogic、Datalogix等。这些机构所提供的数据交易限于较小范围,政府不参与交易过程。我国国内已有贵阳、武汉、北京设立“数据交易所”,但主要存在平台定位不明、规则过于原则、缺乏统一标准、法律地位与保障措施不足等问题。正是由于这些原因,以往全国各地设立的数据交易公司或数据交易中心多数陷入了运营困境。
基于此,作为数字化转型前沿的深圳、上海等推动的地方性数据立法备受关注,尤其在数据交易问题上被赋予很高期待。其中,是否有必要设立、以什么立场设立数据交易规则,已成为立法的最大难点。这一问题在国内甚至国际范围内尚无成熟的解决方案,亦无可供遵循的制度范例,加之国内当前实践还处于探索和初创阶段,使得该领域立法难度较大。概括来说,数据交易的复杂性在立法上可以还原为三个“元问题”。
第一,作为数据交易的基础,数据确权难题仍待进一步破解。从理论上讲,数据作为基本权利可以成立,但在财产权上作为新兴权利权属不清,比如,加工清洗后匿名化的数据不能简单以财产权益保障,毕竟“叠加的多维异构数据仍可能以各种方式识别到个人”, 一旦涉及人格权等更深层次问题,又导致了数据的使用边界模糊、不确定。“数据权属及其分配规则不清,已成为数字经济发展的最大制度障碍。”因此,如果不能破解数据确权之困,当下探索和实践的数据交易机构最多只能提供数据登记、衔接交易和流动渠道功能,一般只要是核准在籍会员即可完成数据交易,交易协议实际由双方确定。至于交易数据是否合法、交易资格是否具备、交易安全如何维护等,地方数据交易机构很难像证券交易所那样,行使产品撮合定价权、交易实时监控权和信息披露监督权。
第二,数据资产的地位和估值标准尚未确定,让数据交易的落地难以实现。数据不同于以往实体商品,其多样来源、整合增值、定价方式、质量管控、交易模式、管理追踪等,覆盖了法律法规、公共管理和产业规划等各个领域。尤为重要的是,数据交易的核心价值在于减少数据资产的变现时间,以及降低机会成本,所以不能简单以交易量估值,而是应当以整合分析产生的增值程度为评价标准,且具有反复交易后的无限增值特性。因此,虽然国内少数地方探索了交易体制,但数据资产标准和定价机制始终未能达成基本共识,在这种情况下,笼统地提出设立数据交易的概念,较易让人误解为“数据有价”,更不用说实现标准性、均质化、高频度的数据交易,让数据资产走向证券化。
第三,数据交易“兜底保障”所依赖的隐私保护体系也不够健全。数据交易机构一般明确交易标的必须是经过清洗与分析的结果,且明令禁止涉密数据被当成商品交易。然而,国内数据治理的短板在于,缺少实际且共通的领域性数据分类分级标准,数据交易之前的脱敏、清洗等环节缺乏技术有效监管,数据交易之后的问责纠错机制又缺少法律的有效保障。因此,当下数据交易机构的极限在本质上只能局限于提供磋商交易功能,且多数还会事先为自己的监管责任豁免做出声明,在运行机制上主张只要交易双方是在籍会员,即可订立协议达成数据交易,至于数据隐私,乃至更为复杂的保护善意第三方的交易权利问题,数据交易机构实际上难以规范和管制。
二、“不完全契约”的倾斜性立法
以上具有基石意义的元问题,使得数据交易立法须改变传统立法模式,以“倾斜性”视角聚焦涉及数据交易的数据权益、流通方式和安全保障等,为数字化转型筑就数据之基。
数据交易的立法倾斜性原点在哪里呢?以“促进”或“规制”为不同取向,全球范围内对数据交易的立法态度基本上分为两大阵营。
一是以美国、中国等为代表,以“促进”为数据立法的主导方向。比如,美国在2013年提出大数据研究和发展倡议后,以数字政府战略、总统科技创新计划为牵引,以18F政府网站数字分析仪表盘为数字底座,借助于行政管理与预算部门大力推动数据开放和交易,逐步形成政府主导、IT私企协同的“蜂窝状”数字化流通和共享开放生态。同样是数据强国的中国,则是在2015年提出运用大数据加强对市场主体服务和监管,随即推出促进大数据发展行动纲要、新一代人工智能发展规划,2020年又更加清晰地提出了数字化转型战略,更是把数据作为平行于其他自然资源等的第七大生产要素。可以说,中美两国在数字化领域具有的优势地位,让其立法在数据交易取向上更多关注数据大规模产业生态、开放数据行动计划、跨组织数据集成与协同,而对数据交易可能出现“强规制”的取向秉持“让子弹先飞一会儿”的立法策略。
二是以欧盟、英国、日本和澳大利亚等为典型,在推动数字化之时更多强调“规制”。毕竟即使看似无关的多个维度数据被比对、关联和有效融合后,却很有可能推断出具有穿透力、威慑力的“致命”信息,严重威胁到国家安全和个人隐私。尤其是数据优势国家和地区会凭借其强大的技术和资源优势,搜集和存取全球数据并监控数据传输,操纵网上内容,控制数据流向和传输速度,进而发起数据乃至信息级围攻。因此,当数据强势国家和地区在全球基础通信、网络和系统平台领域占据优势地位时,一旦数据主权边界打开,高频不间断的数据交易加上数据跨境流动,势必会让数据弱势国家和地区出现极为悬殊的“数据逆差”,甚至是境内数据的净流出。斯诺登曝光的“棱镜门”、Fackbook数据泄露等事件,更是刺激了所有国家和地区的神经,越来越多国家和地区认识到数字风险的话题不再只是个人信息保护层面的问题,而是更深入地涉及政治权力的攫取和社会的根本稳定,折射的是国家安全所遭受的严峻考验,这一认知导致以欧盟《一般数据保护条例》(GDPR)等为典型的一系列“防火墙式”立法进入快车道。因此,当这些国家和地区在数字化能力居于劣势之时,在立法上便对数据交易采取“局部、审慎和限制”的态度。
可以说,以促进数据交易为主,国家保留必要的剩余控制权,乃是当下中国数据交易立法的共识性选择。深圳、上海等地方的数字立法正是遵循这一倾斜性立场,在立法名称上未采用“数据管理条例”,而是表述为“数据条例”,以更好地兼容“促进”与“规制”,尤其在数据交易上主张更广泛、更深入地实现数据要素式流动。
基于这一倾斜性原点,既然上述数据交易立法的三个元问题达成完全共识的难度较大,立法策略应当立足“不完全契约”(incomplete contract)这一理论基石。事实上,数据交易立法之难的核心并不是在数据交易主体之间,而是数据生成者与数据加工者之间的“关联性”。两者之间的内在特性不同于一般的民商事契约,更多地表现为一系列隐性的契约。正是上述数据交易的三个元问题,包括数据权属的有限理性、数据资产的不确定性以及数据隐私的不对称性,导致了“契约的不完全性”。在此基础上,当主体之间的“完全契约”代价过大,不妨让交易过程更多地体现“契约不完全性”的特征。其中,能够预见和实施的权利对数据交易的资源配置、制度设计并不重要,确定数据交易的剩余控制权归属才是关键。
根据这一倾斜性立场,立法对剩余控制权分配的起点在于国家对数据交易的“准入权”导向。比如,根据国家生产折中原理,在国际投资中的内部优势国家倾向关注外资准入的门槛降准,更多地获得政策、资源、设施、劳动力等要素所代表的“区位优势”。同理,以促进数据要素式流动为目标的立法,在数据交易上可以采取负面清单管理,旨在让这一剩余控制权更多地依赖于市场判断,这样数据权属的重心会倾向用益权,而不是所有权;数据资产的估值不是依赖数据供应侧,而是数据需求侧;数据隐私的保护也不是一味地维护数据生成者,而是采取比较成熟的“避风港原则”。
三、立法“大而全”不是好选项
立法上的数据交易条款应当是体系化的“大而全”,还是采取先抓住重点和难点的“小而精”先行突破呢?围绕这一立法倾斜性问题,以“不完全契约”为框架,确定数据交易的剩余控制权归属,为数据地方立法设定有限目标、锚定基础命题的思路奠定了基础。毕竟寄希望于“毕其功于一役”大而全地解决以上元问题,覆盖面广、链条长,也会使得立法难度加大。
根据这一立法思路,以“促进”为原点的数据交易立法倾斜性表现在数据权属认定上,关键是打破数据所有权一元结构困境,在数据生成、加工者之间建立恰当的权利分配模式。其核心是对数据生成者赋予数据所有权,对数据加工者设定数据用益权。面对数据财产的特殊性,那种一味强调数据所有权中心主义的观点早已被诟病,因为它会“形成壁垒阻碍到数据的可获得性”。一方面,以Solid POD软件为典型的“强排他式”个人赋权,影响到包括企业在内的其他主体在合同法上对数据的用益权,阻碍了数据的流通利用;另一方面,让企业拥有对数据的绝对所有权,又会进一步导致数据使用的垄断,甚至使数据交易市场被扭曲。因此,以权属分割为基础的“用益权”制度,为数据的权利定位、需求梳理、监管方式等提供了新思路。这样数字化转型逻辑就不是根据数据生成者能够供给什么数据、决定推动什么业务场景,而是根据数字化转型的实际场景需求,从“用益权”的视角决定数据加工者应当归集及加工什么数据,让数据更透明和更多可灵活运用地实现数据平台对接和数据资源共享,以及形成跨层次、跨部门、跨地域的全方位协同,在此基础上才能培育出政府部门、市场主体的数字化转型适应性变革能力。
基于以上用益权的数据资产地位与估值标准,在数据交易上的立法倾斜性表现为更偏向“行为控制”,而不只是陷入对权利规范的无休止争议。为数据处理者创设这一限制性的数据用益财产权后,这种新型权利实质上转化成了类似于专利权、著作权的有价资产。在此基础上,当改变以往以数据供应为导向,而以场景为牵引转向数据需求,数据处理者和使用者对这一新型财产权的估值标准,无疑会采取供求曲线、价值衡量、竞争强度、获取成本等为引导的市场化资源交易和配置方式。它意味着在版权、数据库保护、商业秘密保护等现有知识产权制度外,倾斜性导向的数据交易立法,在市场秩序上更多关注释放数据的用途与适当的经营规则平衡,数据加工者之间的正当性竞争规则,禁止利用数据垄断地位从事不正当竞争,防止滥用大数据设置不公平交易条件,以及解决数据爬取、数据劫持等“合规性”行为控制问题;在市场配套方面加快建设数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,积极发展数据合规认证、数据质量评估、数据安全检测评估等第三方市场主体;在政策支持上对数据技术研发、数据服务提供、数据利用实践等方面形成激励机制,构建数据交易服务机构的行为规范、数据资产评估和交易定价原则等。
在数据交易与隐私保护的平衡上,立法倾斜性体现在依据我国《民法典》第111条、第127条对个人信息与数据加以区别,把个人信息纳入人格权,把数据纳入财产权。让数据与信息分离,可以使两种权益在不同范畴内得到保障,满足数字化转型对数据在更深层面的需求。比如,区别于数据,法律可以要求个人信息处理者主动删除个人信息,否则个人有权请求删除。借助于聚焦在信息而不是数据层面,精准适用这种数据加工者与数据所有者之间的红旗原则、避风港规则,数据交易立法就可以进一步借助信托恰当地解决数据主体与数据控制人之间的权利义务不均衡。以数据和信息的区别为基础,建立专门的个人数据财产权,并不与各自指向且彼此独立的两种客体相悖离,且有利于分离个人信息的人格属性和财产属性。在此基础上,可以凭借趋于成熟的财产处置和转让规则促进数据要素市场的发展,为个人数据的开发利用创造必要条件。比如,欧盟意识到GDPR的单一化隐私保护短板,在2020年推出《欧洲数据战略》和配套研究项目,为个人数据的财产利用创造了有利条件;美国多数州在立法上已形成了个人数据公开权与隐私人格权之间分离的二元结构。当然,“硬币”的另一面是构建数据生成者的数据所有权,反过来也可以弥补保护国家和企业的数据权利不足。比如,许多使用了财政经费获得的数据在使用中变相成为各个单位控制的私占财产,构建起公共数据的国家所有权可以促进这些数据的共享和使用;同时,确定了企业数据的财产权归属和使用规则,也才能为其开放提供合规性依据。可以说,面对数据的长生命周期涉及主体众多、难以达成一致共识的困境,唯有如此才能解决数据权属与数据权益之间的难题。
四、授权经营的数据交易模式
澄清了以上问题,以实现数据开发利用、加工运营、交易服务为目的,下一步讨论立法倾斜性的命题是,围绕数据流通利用的驱动模式,到底是一开始就推动“直接数据交易”,还是先行探索“数据授权经营”模式。
数据不同于信息而被纳入财产权范畴,确定数据加工者的财产权益,加强数据交易上的“行为控制”,无疑会对促进数据的流通利用产生“引擎效应”。在此基础上,更深层的问题是数据加工者能够实际享有的数据用益权,实际上更多取决于其与数据所有者之间的协议内容,以及法律对数据所有权的保护程度。然而,在我国,国家并没有就数据权属问题做出明确规定,现有数据交易机构直接入法也未形成统一认识,更何况数据交易还处于规划设计阶段,又不宜简单照搬证券交易所模式。因此,虽然直接数据交易更有利于繁荣数据交易、促进数据要素流通,但在立法上倾斜性地采取数据授权经营的模式,渐进式地探索数据交易的最远边界,更加具有现实可行性。其核心要义在于以下内容。
以开放性的数据立法让授权运营有坚实基础。概念上设定数据权益,确定在“用益物权”范畴内厘清政府、行业、组织等在数据要素市场中的权责边界。因此,立法上需要明确授权经营范围是数据服务或产品,而不是原始数据;交易类型上可以通过中央授权创新性设定数据控制权交易、数据使用权交易和数据收益权交易三种类型。基于此,为了推动数据交易和流通,立法可以进一步参照自然资源特许经营,逐步建立完善的数据登记、分类分级、质量保障等管理制度和标准规范,确保数据资源的有效供给。同时,允许经过特许经营授权认定的机构在一定范围内先行先试,获取和累积经验教训。值得注意的是,需要重点掌握对政府数据的可控性授权运营,尤其是强调数据在场。毕竟数据交易本质上是数据的有偿转让,它会导致政府数据直接给需求方,存在转售风险,即使可通过交易协议约束,但实际难以纠正,因此需要提出授权运营模式下的政府数据“不离场”,实现融合运用。
根据上述认知,数据交易立法的侧重点是推动建立政府数据统一授权运营体系。把基础公共数据纳入公共服务范围进行免费提供,其他公共数据则列入授权经营范围,面向实际需求方提供市场化数字运营机制。目的是面向不具备数据开放能力的数字企业,提供比较成熟的市场化运营机制。其中,政府或企业均可以定义场景,提供实际的数据需求,以开放包容、资源整合共享的思路,促进公共数据面向人工智能算法训练建立安全可控的开放机制。这样建立的数据统一授权平台可以采取“会员制”,通过法定授权、行政授权和会员大会授权,以实际需求为导向,实现公共服务数据、能力、应用资源的融合共享,以最大程度地实现数据权益。
这一框架里的授权形式不是政府各个职能部门的分开授权,而是政府统一数据管理机构的集中授权。只有立法上确定数据授权经营主体的集约化,才更有可能融合不同部门的数据,更大程度地用于跨部门场景应用,真正使得不同维度数据在叠加之后产生放量的增益价值。只有统一授权经营才能避免各个部门分立运营产生的变现冲动,毕竟授权经营不是给各部门提供一个使用内部数据变现的新渠道,而是要让各部门切实担负起数字化转型中的监管职责。只有数据的统一授权经营才可以提供完整的安全规范、自主可控的合规体系,建立标准规范和技术选型,确保数据流通服务得到安全有效的管理和应用。此外,还可以让各个部门不再陷入既是内部需求推动的数字化运动员,又是履行数字化监管职责的裁判员的角色两难困境。
针对这种集约化授权经营的数据治理,数据交易立法上可以推动建立数据需求清单、责任清单、共享或开放负面清单、数据目录,以及综合库、主题库、专题库的三层治理架构,实施分类分层管理。其中,对基础性、通用性、重要性强的公共数据,在数据归集时效、质量要求、监测频率、责任后果等方面采取差异化的强化管理措施;对视频、物联等采集需求主体多元、数据量巨大、实时性强的数据,立法可以引导“块”行政部门统筹应用需求后,实施统一采集、分层存储、满足数据授权经营过程中的不同层级实际需求。在此基础上,更为关键的是以数据无价、服务有价为导向,立法上进一步探索授权运营的长效机制。数据交易的真正价值在于融合数据后的溢出价值,降低变现数据资产的时间成本。因此,立法上需要推动加快数据开放、加工经营和交易服务,推进数据产品和服务有序流动。尤其要关注的是转变数据服务定价方式,重视产品质效。数据可被反复交易、无限增值,因此运营的服务或产品定价不宜采取以往的“佣金制”,以数据的单一交易行为定价,而应以数据融合所产生的新价值为目标,引入第三方专业机构评估认定,只有这样才能形成数据运营加工的可持续发展业态。此外,立法还可以数据要素市场化配置改革为突破口,探索建立数据评级、服务产品交易和监管机制,逐步形成数据运营加工的新业态,以市场化方式推进试点的重点应用场景落地。
五、免费开放与有偿开放平行
既然数据可以授权经营,那么,数据尤其是政府公共数据在立法上到底是免费开放,还是可以采取免费与有偿平行的交易模式呢?这也是立法倾斜性事先必须予以认真考量的。
随着数字化转型,多维度、大体量、强时效的数据之基已经形成,国家更加关注政府信息公开的需求导向和安全稳定,这使数据公开的成本不再低廉。然而,在政府统一授权经营体系中一旦强制收费,会对公民知情权造成阻碍,违背政府的公共服务属性;不收费又会导致公共数据的有效供应不足或质量低下,让政府数据公开缺少可持续发展的经济支撑;仅靠通过财政补贴来支撑数据公开,则随着数据体量的指数级增长,相关费用无疑会成为政府的沉重负担。因此,建立政府公共数据的公开与开放的可持续发展模式十分重要。其中,核心在于立法上如何确定数据交易的收费标准。
归纳来说,国内外政府数据开放的收费模式主要包括免费、成本定价、“成本+利润”三种类型。一般来说,“公共财政负担所有成本、政府免费开放公共数据一向被理所当然认为是政府数据开放的自然选择”。从政府以税收提供公共服务的法定附随属性,“数据开放作为改善政府治理、提高公共福利的方式应当使用免费模式”。目前不少国家和地区采用“原则免费、例外收费”的数据开放模式。可以说,数据的免费获取是传统政府信息公开的主要渠道,但它不能解决所有公共数据的开放需求,政府会面临不少需对数据深度挖掘才能提供公共服务的场景,比如金融、公共卫生、公共安全等,它会产生较大的信息处理成本,免费模式不能为这些高质量公共服务提供支撑。
事实上,政府收集、整理、加工、存储数据,需投入大量的实施和运营成本,至少“按成本定价有其合理性”。国际上也出现了在特定领域制定必要限度的成本定价方式。比如,欧盟以向增值开放用户收取信息使用费,只是收费原则上限于个人利用请求的复制、提供和传播等边际成本,不准超过生产和传播数据的成本,同时可以考虑合理的投资回报,鼓励政府机构降低收费或者不收费;当收到数据利用请求时,需要让申请人知晓收费的计算方式,且提前制定和公布收费标准和数据利用条件;进一步说,如果政府部门利用公共数据提供增值信息服务,甚至与私营机构数据利用者进行竞争,那么政府部门也应如2013年《欧盟政府信息资源再利用指令》规定的标准付费。美国政府也规定,即使是高价值的数据,仍尽量保持免费提供的方式,如果收费,不得高于信息的传播成本。接下来,在成本基础上加上一定的利润率构成价格,即为“成本+利润”的定价模式。其理论基石是“受益者负担原则”,即以行政收费支撑公共资源的有偿使用,其正当性在于政府能够确认特定的个人或群体获得了国有资源利用的全部或大部分收益,那么补偿费用就不应由全体公民负担,而须由特定受益者负担。例如,英国政府除了提供公益性的数据服务,还进行营利性的数据资源开发,收费是“合理的投资回报”。英国《政府信息资源规定》把收费分为三种情况:一是大部分情况下,收取信息生产、发布、传播的边际成本;二是当政府部门工作人员需要投入大量信息成本的数据;三是图书馆、档案馆和博物馆,可收取信息收集、生产、复制、传播和保存的直接成本和间接成本,此外还可收取版权清理费、一定合理的投资回报。这种方式背后的根据是公共数据资源的开发再利用应以收回成本为目的,而成本的收回包含了“合理的投资回报率”。当然,“成本+利润”的收费模式可促进利用数据的社会主体与政府形成良好合作,以促成信息更好地利用,但也存在以下困难:毕竟由于预期收益具有不确定性,买方愿意付出的成本有限;更为关键的是利润幅度如何核定,以及政府谋取利润行为的正当性何在等现实和理论上面临的疑问,都是无法回避的难题。
根据以上的比较分析,中国数据交易立法上的倾斜性主要体现在,政府数据的收费应依数据各种类进行分层管理。
首先,基于政府收取税金进行公共管理和服务的特征,政府公开数据应秉承“原则免费,例外收费”做法,最大限度地减少公民获得信息的成本,同时保留政府获得必要的数据处理工作成本报酬的权力,比如,需加工处理才能满足需求的数据、需提供调用接口才能满足需求的数据等。
其次,在数据的开放存在明显的受益者时,立法可以明确“受益者承担”原则,让获取数据的特定受益者承担“成本+利润”费用,形成政府与社会在特定数据领域的良性合作,激发数据运用的多元性和延展性。比如,需要跨单位调取整合才能提供的数据、体量庞大的数据、时间跨度较大的历史数据等,就可以采用此种方式加以调整。
最后,从政府数据收费的合法性基础来看,在数据收费的情形中,政府可以基于我国《著作权法》第14条对数据库享有“著作权”,向数据使用方主张获得经济利益,但是获取的经济利益必须同样用于数据公共服务领域;当数据库的建设是政府与多方主体合作进行,而不宜由政府对数据库单独主张“制作权”时,应向公民、法人和其他组织做出收取一定费用的行政决定(即“行政收费”)。
六、数据安全合规的责任豁免
数据交易虽以促进为主,但不代表“规制”可被忽略,国家在数据交易上保留必要的数据安全剩余控制权尤为重要。然而,在数据交易的相关安全性立法倾斜性上,是涉及数据安全一概否决,还是分门别类,在守住国家安全的底线和红线之上,面对建立了数据安全体系但又产生数据安全的一般问题更多地包容审慎,可以适当采取“合规相对责任豁免”的原则呢?
为了实现数据在流通利用中的安全,各个国家和地区都在加紧推进个人数据保护、数据本土化与跨境传输、执法数据的跨境调取与内容监管等多个层面的立法。比较全球的数据安全规则,立法的“规制”集中于数据监管者、数据生成者、数据控制者,具体如下。
其一,数据监管者规则。比如,设立在境外的数据中心只是受到本国法律监管,还是可以行使海外长臂管辖权;定义需要监管的数据除了个人信息,是否包括关联分析后才可定位的个人隐私和敏感数据;监管对象上基本覆盖数据的全周期,但是否存在免除监管的情形,比如员工就业过程中的必要行为、政府和科研等公共机构的行为、获取证明或书面合同的数据中介行为等;监管主体上是设立专门机构和配置相应执法权,还是由涉及数据保护的行政监管部门在职责范围内实施行业监管等。
其二,数据生成者规则。其指向的是数据生成者在使用信息服务过程中拥有的权利,比如,数据收集和处理前的知情权、授权个人数据收集和处理权、访问查询和更正个人信息权、停止收集和删除个人信息权、投诉权等。
其三,数据控制者规则。其主要围绕数据控制者在数据收集、存储、处理等全生命周期中承担的义务,以此界定数据保护的要点,包括配合数据生成者实现其权利的义务、确保数据安全的义务、收集数据前征求数据监管者同意的义务、向数据监管者报备数据收集和利用情况的义务、发生异常事件时的通报义务、数据境外流转和存储前向数据监管者申请的义务等。
面对以上问题,数据交易中的数据安全立法倾斜性可以从“合规附条件责任豁免”的视角加以考量。一是在个人数据保护上,以平衡保护与利用为宗旨。以合规附条件不起诉改革为契机,重点强化数据控制者的安全责任,明确数据加工、处理或控制者是数据安全责任主体,需要进一步规定其在建立数据安全管理制度、开展数据安全教育培训、采取安全防护措施和安全处置措施、数据安全事件报告等方面的法定义务,以及重要数据处理者对数据处理活动开展风险评估的硬性规则。二是在数据本地化与跨境传输上,以加强安全保障为要点。“棱镜门”事件凸显了数据离境给国家安全、社会稳定带来的潜在威胁,促使各个国家和地区深刻反思其数据本地化与跨境传输立法。我国法律可以规定数据处理者报告数据库所在地义务、国际合作不签订欧美式“安全港协议”等。三是在数据内容监管上,以提升透明度为导向。立法上可以明确要求在线平台积极检测、有效移除在线非法内容,并采取措施预防非法内容的再现,同时还可以开始强调提升数据收集利用及算法的透明度等。
根据合规附条件责任豁免的原则,数据交易中的数据安全工具,除了借助国家或政府的权威及强制力迫使目标群体采取或不采取某种行为外,更适合在政府的有限参与下,把行为的最终决策权留给市场、社会组织等其他主体,甚至在政府不参与或不主动介入的情况下,让其他主体自主处理数据安全问题。也就是说,以声誉共享机制、物质报偿机制建立起数字交易的安全信赖利益,以订立惩戒契约、建立数据评级制度、完善数据安全机制等防范背信风险,以此构建政府主导、责任主体负责的数据安全协调治理体系。
原文刊载于《政治与法律》2021年第12期,感谢公众号“政治与法律编辑部”授权转载。