数据治理立法是指针对数据管理、共享、隐私保护等方面的立法规定,旨在确保数据的合法、安全、高效使用。在数字经济发展和挑战并存的时代,我国出台一系列法律法规,融合公法私法、国内法国际法于一炉,为数据治理建规立制。走进新时代,数据治理正发生着波澜壮阔的变革:从数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》的出台,到七部委对赴美上市公司开展网络安全审查;从“人脸识别第一案”终审宣判,到最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》;从国家网信办等多部委联合制定《关于加强互联网信息服务算法综合治理的指导意见》《互联网信息服务算法推荐管理规定》,到《网络数据安全管理条例(征求意见稿)》发布;从《汽车数据安全管理若干规定(试行)》出台,到我国正式加入《区域全面经济伙伴关系协定》(RCEP);从《深圳经济特区数据条例》到《上海市数据条例》。我国数据治理在顶层架构上日渐成型,在全球博弈上频频“落子”,在地方竞争上越发激烈,在执法领域上不断拓展,在权利保障上显著提升。
个人视角:制度细化与观念更新
尽管个人信息保护法已经生效,但其仅是个人信息保护领域的一般法,在金融、医疗以及国家机关处理个人信息等特殊领域,其规则或者过于粗疏,或者与具体场景相互扞格。因此,如何在个人信息保护法的框架下,为个人金融信息、个人医疗等信息和依法行政中的个人信息作出因时而异、因地而变的调整,不但能坚持个人信息保护的基本原则,而且能契合个人信息合理利用的特殊需求,考验着立法者的智慧。
如前所述,立法固然重要,但“徒法不足以自行”,无论是个人信息保护法,还是一系列的特别法,都有待法院司法、监管执法和企业自我合规的后续接力,才能真正落地生根。除了可预见的监管机构行政执法外,由个人发起的民事诉讼和由人民检察院、消费者权益保护委员会提起的公益诉讼将成为重要的救济渠道。不过,个人信息的司法保护要落到实处,仍需解决个人信息范围、隐私政策法律性质、侵权过错认定、赔偿金额计算、隐私权和个人信息权益竞合、公益诉讼赔偿金向受害者转移以及个体不当行使个人信息查阅权、复制权、删除权等权利诱发滥诉等诸多问题。如广州互联网法院判决的原告王某诉被告广州某信息科技有限公司网络侵权责任纠纷案:2021年4月14日原告收到被告发送的一条短信,内容为“【京东】您的话费余额即将不足,送您立减6元话费充值券,限时1天领取,点击直达3.cn/-1d8BzxM回复BK退订”。2021年4月18日11时26分,原告为了避免再次受到短信骚扰,被迫根据该短信内容提示,发送“BK”进行退订,因此产生了退订费0.1元。原告认为与被告无任何关系,从未向被告提供过手机号码,手机号码属原告的个人隐私,被告未征得原告同意,私自向其发送信息,已侵犯原告的个人信息权益,因此,请求被告停止侵害,赔礼道歉并赔偿其损失。法院审理后认定,原告与被告无任何关系,无论被告通过何种途径收集原告手机号码,应遵守个人信息处理的规定。被告未告知并征得原告同意向其发送信息,已构成对原告个人信息的侵害。现被告未再发送,故被告已停止侵权,但被告应对其已发生的侵权行为进行书面道歉,并赔偿原告退订损失0.1元。从该判决可看出,个人信息被侵权现象处处可见,但在隐私权和个人信息权益竞合、赔偿金额计算等方面,法院在认定上确实未形成统一的裁判标准。
司法和执法仍旧不是法律的全貌,如果说“一个国家的法律结构是根据这个国家的人们对法律的态度所建造起来的”(弗里德曼),那么我国民众对个人信息的态度决定了个人信息保护法的未来。利用百度关键词的趋势研究,我们可以发现有关社会意识的有趣事实:2021年,测量网民主动检索的“关键词搜索趋势指数”在“个人信息”上创下新高;与“个人信息”相比,网民对“隐私”显然更为关注,并且自2020年以来,两者的差距日益明显,公众的隐私权观念跃然提升。这也提醒我们,随着民法典和个人信息保护法对隐私和个人信息的区隔,公众可能逐步意识到两者的不同,进而日益珍视“隐私”价值,而非“一般个人信息”。就此而言,如何积极抚慰人们对“敏感个人信息”的“敏感神经”,就成为提升个人信息保护法可感可知的关键所在。就此,2023年出台的《未成年人网络保护条例》和《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,可谓应时之举。我们亦期待进一步强化个人生物识别信息、即时通信信息的特别保护,以维护私人空间的安全与自主。
企业视角:整体治理与积极合规
《经济学人》杂志在《2018年的世界》中首次用“科技抵制”(Techlash)一词来描述了针对Facebook、Google和Amazon等硅谷科技巨头严厉监管的政策。四年后,《经济学人》杂志在《2022年的世界》中再次用“新一波科技抵制”来描述世界各国试图驯服科技业巨兽的努力。2021年,我国一系列反垄断执法和深入平台内部的穿透式措施,引领了全球浪潮。正如《网络数据安全管理条例(征求意见稿)》所展示的,从网络安全到数据安全,从个人信息保护到反垄断审查,从算法监管到平台治理,我国数据治理正在从“碎片”走向“整体”,通过各个政府部门、各种监管措施、各项监管对象的协作,共同服务于规范科技企业的大目标。
2022年以来,以《关于推动平台经济规范健康持续发展的若干意见》为起点,以平台、数据、算法的分类分级为基础,超大型平台企业的义务责任进一步强化。2022年7月21日,国家互联网信息办公室公布了对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定,对滴滴公司罚款80.26亿元。同日,国家互联网信息办公室有关负责人就案件相关问题回答了记者提问。从回答来看,滴滴公司存在违法行为16项,归纳为八个方面:一是违法收集用户手机相册截图信息;二是过度收集用户剪切板信息,应用列表信息;三是过度收集乘客人脸识别信息、年龄段信息、职业信息、亲情关系、家和公司打车地址信息;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置信息;五是过度收集司机学历信息,以明文形式存储司机身份证号码信息;六是在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,恶意逃避监管等其他违法问题。滴滴公司的违法违规行为给国家关键信息基础设施安全和数据安全带来了严重安全风险隐患。为此,本次执法部门根据网络安全法、数据安全法、个人信息保护法、行政处罚法等有关规定对滴滴公司进行了处罚。
从该处罚看,滴滴公司的各种违法行为系以后网络执法的重点,且该违法行为具有一定的隐蔽性,作为合法运营的企业应主动遵守相关法律法规;企业不得借助自身优势地位,进行隐蔽性违法。值此变革之期,企业当重塑对数据治理的理解。
详言之,在深度上,企业应从最大化内部数据价值的单一导向,转向企业数据风险管理、个人数据权益保护和国家数据资源安全的复合目标,从而提升数据治理在公司战略的位置。在广度上,企业应将网络安全、数据安全、个人信息保护、平台治理与经营模式一并考量,融汇技术、组织与生态,联结法律、标准与伦理,形成理一分殊的制度架构。在态度上,企业应从被动的数据合规向主动的数据合规转变,通过与用户、专家、监管机构的积极沟通,提出符合各方期待的企业最佳实践(best practices),在监管规范细化的过程中,实现数据安全与数据利用的多赢。
国家视角:公共服务与数据市场
自2015年国务院发布《促进大数据发展行动纲要》以来,“用数据说话、用数据决策、用数据管理、用数据创新”的“用数据治理”已成为国家治理能力现代化的重要一环。公共数据在政府之间的共享以及在政府与社会之间的开放即是题中之义。2021年,数据安全法第五章专章规定“政务数据安全与开放”,要求国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用,提升运用数据服务经济社会发展的能力。尽管上海、天津、浙江、深圳等地公共数据共享和开放的地方性立法如火如荼,但受限于部门职权、经费支持、责任承担、收益分配等种种因素,全国层面的数据开放与共享依然步履维艰。2022年以来,在国务院的大力推动下,更大范围、更高层次的政务数据共享与开放有望破局。
“构建以数据为关键要素的数字经济,推动实体经济和数字经济融合发展”是顶层长期以来的宏观判断。然而,数据要素市场并非自发形成,其始终有赖于“市场执行性制度”的建立健全。在顶层立法付之阙如的情形下,2021年《深圳经济特区数据条例》《上海市数据条例》以及其他省市的相关数据条例或管理办法等陆续出台;还有部分部委或行业主管部门也出台了相关数据管理的意见,如《公安部贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》《财政部关于加强数据资产管理的指导意见》《国家邮政局商务部关于规范快递与电子商务数据互联共享的指导意见》等,上述地方性或部门规章制度未形成统一,相关制度局限性很大。不过,考虑到“数据”本身是跨地域的“全国性事务”,通过地方或部门行业立法来处理,不过是权宜之计,甚或导致分割市场的不良后果。因此,2023年10月25日,国家数据局成立,部分省市相继成立了省级数据局。政府成立独立的数据管理机构,表明数据治理的重要性日益增加。2024年,数字经济促进法、大数据管理法等有可能纳入中央立法的视野,聚焦数据采集、开放、流通、使用、开发、保护等全生命周期的制度建设,分级分类、分步推动部分领域数据流通应用。
国际视角:泛在安全与数据流动
数据安全法第十一条确立了“数据跨境安全、自由流动”原则,这既彰显出在逆全球化和民粹主义兴起的潮流下,我国坚持对外开放与国际合作的基本立场(“自由流动”),又彰显出对国家安全的高度关切(“数据安全”)。不过,作为顶层设计,数据安全法并未就“数据安全跨境流动”和“数据自由跨境流动”的平衡作出充分展开。容易理解的是,随着风险社会兴起和国际博弈日趋炽烈,在“安全”和“自由”之间,人们往往不自觉地重视前者。正如“马赛克理论”所揭示的,大规模、多样化和高速性的数据经由堆叠、组合、分析之后,很可能由“不敏感的数据”变成危及国家的“重要数据”。2021年以来,《汽车数据安全管理若干规定(试行)》《数据出境安全评估办法》均从“安全端”入手,通过明确“重要数据类型”和“个人信息规模”,增设数据本地化和出境安全评估的监管要求。网信办等部委对赴美上市企业所开展的网络安全审查和《网络安全审查办法》修改,进一步体现出“数据安全泛在化”的趋势。
不过“安全”绝非数据跨境流动的唯一诉求。正如联合国在《跨境数据流动与发展:数据为谁流动》年度报告中所指出的,对跨境数据流动采取极端立场是徒劳无益的,因为不论是严格的本地化,抑或是完全自由的数据流动,都不可能满足国家实现各种发展目标的需求。随着我国企业全球化布局的深入,数据跨境也面临“攻守易形”。2022年1月1日,我国参与的首个涉及数据跨境流动规则的双多边贸易投资协议——《区域全面经济伙伴关系协定》(RCEP)正式生效,该协议第十二章第十五条要求缔约方不得阻止通过电子方式跨境传输信息,明确倡导数据跨境自由流动。
宏观而言,数字法律体系开始架构成型,数字政府和数字公民关系出现了新型定位,地方的“数智治理”模式不断创新,数字经济秩序在规制中发生重建,数字司法机制日渐在线运行,新兴法学理论也顺势崛起。其实,我国数据自由流动的道路才刚刚开始。展望未来,我国数据治理将向何处去?与侧重于货物贸易关税协定的RCEP相比,《全面与进步跨太平洋伙伴关系协定》(CPTPP)将为数据跨境确立更高的标准。个人信息保护法第三十八条第二款“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行”亦为此预留了充分的空间。我们期待着2022年以来发布的《个人信息出境标准合同规定》《数据出境安全评估办法》等规定,能够实现数据安全流动与自由流动的再平衡,推动各国互信的数据跨境流动方案,促进数据利用的开放、合作与共赢。
(作者单位:中南财经政法大学法学院)