数据法治安全与发展价值的衡平路径
——以《数据安全法(草案)》的突破与困境为视角

徐玖玖

(中国社会科学院 法学研究所，北京 100720)

随着互联网技术的高速发展，移动互联网、云计算等技术不断推动数据收集系统的普及和革新，数据的集中涌现催生了大数据时代。大数据时代出现之后，数字经济也得到飞速发展。在新的经济形态中，数据成为改变市场、组织机构甚至政府和公民关系的重要因素。近年来，各国加快推进数据领域的立法活动，以期通过制度竞争获得数据资源、数据监管技术、数据规则话语权的博弈优势。国际领域的数据竞争已经进入白热化的状态，数据安全问题也成为国际竞争的重要因素。我国同样高度重视数据活动对经济社会发展的影响，党的十九届四中全会首次将数据作为独立的生产要素提出，要求“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。2020年4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，明确提出“加快培育数据要素市场”，包括推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护。2020年5月11日中共中央、国务院印发《关于新时代加快完善社会主义市场经济体制的意见》，进一步提出，“建立数据资源清单管理机制，完善数据权属界定、开放共享、交易流通等标准和措施，发挥社会数据资源价值。”可以说，互联网场景中，数据不再是一座孤岛，数据开始借助云计算、物联网、人工智能等技术集群开始流动，成为新经济形态的驱动力量。但是这一新的经济关系具有两面性，产生了许多新的社会问题和伦理问题，呈现出动态性、综合性、整体性、风险的高度或然性和无序性等特点。[1]在此背景下，数据伦理(data ethics)和数据治理(data governance)成为法治社会需要面临和解决的新命题。法的价值取决于其满足社会生活参加者在一定历史时期中客观的、不断变化的需要的实际意义。[2]因此，如何从制度层面实现数据安全与发展一体两面的价值衡平，不能仅停留于文本层面的宣示性表达，还需要深刻评估和检视制度的科学性、合理性和有效性。

一、尝试与新探：《数据安全法(草案)》的求破与求变

(一)《数据安全法(草案)》法律激励的呈现

制度层面数据应用的治理缺失与数据保护的规制失灵，已经使通讯信息、银行信息等个人隐私数据出现大规模泄露，数据黑市交易、个人信息非法使用等问题所导致的社会矛盾也日益尖锐。2020年6月28日，第十三届全国人大常委会第二十次会议初次审议《中华人民共和国数据安全法(草案)》(以下简称“《草案》”)。《草案》在这一语境中孕育而生，必然同时承载着数据安全与发展利用的双重任务。从文本上来看，《草案》也表现出对于数据活动中安全与发展双重法律价值高度重视的立法态度。显然，立法者希望在这部以“安全”为名的法案中，通过立法目的的设定、法律原则的确定以及重要制度的建立，达到兼顾安全与发展两种不同质法律价值的制度目标。

第一，从立法体系上突出数据开发利用的导向。《草案》共有51条，在数据开发利用方面包含有“促进”“发展”“鼓励”等激励性意蕴的条款有9条，占比高达17.6%。从《草案》的章节分布来看，《草案》第二章在标题中明确提出了“数据安全与发展”，是在专章中突出数据发展的重要性，表明该法并不仅仅将定位局限于数据活动的绝对性安全，而是要谋求数据安全与发展的平衡关系。

第二，将促进数据开发利用和产业发展明确为法律原则。首先，《草案》在第一条立法目的中，就将“促进数据开发利用”作为该法的立法目的之一。其次，在第二章“数据安全与发展”中，也开章提出了数据开发利用的基本原则，“国家坚持维护数据安全和促进数据开发利用并重，以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。该条款将数据安全和促进数据开发利用定位为“并重”，将促进数据的开发利用确立为一项重要的法律原则。虽然该条原则位于第二章而非总则部分，但是根据体系解释，该条与第一章总则的第一条立法目的是可以结合理解的。基于此，该条促进数据开发利用的原则应当被解读为一项贯穿《草案》各项制度的基本原则。

第三，通过大量原则性规定倡导数据的开发利用。《草案》规定了许多以促进为导向的原则性条款，例如，在第一章“总则”第五条中提出“国家保护公民、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展，增进人民福祉”；第二章“数据安全与发展”第十五条规定“国家推进数据开发利用技术和数据安全标准体系建设”；第二章第十七条规定“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场”。从另一方面来看，《草案》对于数据安全风险并不进行绝对或极端的判定，更多强调数据安全风险信息的收集、监测与预警，对于在监管中发现“数据活动存在较大安全风险的”，有权采取相应的监管措施，并未呈现出“唯恐风险”的立法姿态。因此，从正向和反向的对比可以发现，立法者更希望对数据安全保障和数据开发利用之间形成一种制度博弈的新思考，以数据安全为基础，同时以数据作为生产要素促进开发利用，推动实现产业的发展。

第四，为促进数据开发利用提供具体的制度保障。《草案》尝试为鼓励和促进数据开发利用确立具体的制度以予以落实。例如，第九条规定了“政府、行业组织、企业、个人的协同治理”；第十三条规定了“实施大数据战略”；第十七条规定了“培育数据交易市场”；第十八条规定了“加强基础研究，支持技术推广和商业创新，培育、发展相关产品和产业体系”；第三十九条规定了“推动政务数据开放利用，提升运用数据服务经济社会发展的能力”等。

(二)数据安全立法法律激励实现的约束因素

可以发现，《草案》在促进数据开发利用方面着墨颇多，使《数据安全法》名为“安全法”，但是蒙上了一层实为“安全与促进法”的色彩。这种力求全面兼顾的立法意图由于两者不可直接兼容，在立法条文的表述上，不得不多采用原则性、宣示性的泛化规定方式模糊处理。这种方式由于无法进一步细化落实到具体的配套规定，又明显带有摇摆不定的暧昧姿态。可以说，目前《草案》似乎仍然没有解决“总体国家安全观”视角下“安全与发展”这一命题，究其根本，其中存在着三个方面的约束因素。

第一，路径依赖带来的范式差异。从发展的历时性角度考察，无论是《国家安全法》还是《网络安全法》等以“安全”为导向的立法活动，整体上都沿袭着“自上而下”的强制性制度变迁路径，而与之相对的是，数据治理却往往因循着私法治理的路径。[3]事实上，促进型立法的兴起与限禁型立法的差异也从侧面反映出立法范式之间的不同。促进型立法是以“促进”为立法理念，更加追求法律功能定位上的诱致性，引导、鼓励、指导市场主体为或不为一定的行为，从而达到法律制度的期望。数据作为生产要素的定位是数据法治中尝试促进型立法的逻辑起点，其法律激励需要从根源上激活数据市场本身的自我张力，通过“自下而上”的诱导性制度变迁路径。因此，如果数据安全立法要在一个法律文本中同时呈现安全管理与发展促进两种不同的价值目标，就需要从范式层面寻求制度的衔接与调和。

第二，法律价值目标的不同质性。《草案》在文本中试图解答的“安全与发展”命题，本质仍然是寻求不同质法律价值目标的博弈均衡。安全与发展是《草案》的两大核心价值，对于安全价值的追求并不要求考虑成本与收益的影响因素，而是以达到降低风险、确保安全为唯一目标；对于发展价值的追求则更多需要围绕利益的均衡考量，特别是在市场化的语境中，利益才是激励理性经济人的关键因素。出于这一层面的考虑，法律需要在必要情况下牺牲一部分安全价值以满足发展价值的要求。因此，不同质法律价值目标之间的冲突存在客观性和必然性，这种矛盾是内在的，并不能通过文本的简单宣示就实现兼容，还需要更加科学、精细和可行的制度设计进行落地实现。

第三，基础制度体系的不确定性。法律价值的践行始终要落实到具体的机构和部门，因此，组织机构设置是任何法律规则的基础性制度。从目前《草案》的安排来看，《草案》并未对数据安全监管机构进行明确的规定，在体系上仍然保留了“九龙治水”的框架，甚至在重要数据保护目录的确定中将权力赋予“各地区、各部门”，实际上是在横向多部门监管的基础上增加了纵向维度的监管层级。分部门监管的初衷在于充分挖掘各个具体监管部门的专业性，促进彼此之间的竞争优势。然而，分部门监管也面临着一定的约束因素，对于多部门的组织体系而言，组织有效性的一个重要影响因素就是部门之间的协调合作问题。在数据安全监管基础制度体系尚不清晰的情况下，需要在部门之间、部门与地方之间协调和落实安全与发展两种不同的法律价值，从客观上而言，必然要面临极高的难度。

综合而言，《草案》对于数据开发利用表现了高度的重视，虽然学界对于两者的关系应当是以安全为主、发展为辅，还是安全与发展协调均衡的立法取向，(1)部分学者从“安全与自由”的价值层面展开探讨，与安全与发展的价值二分实质相同。仍然存在一定的争议。[4]但是，这些问题都需要回归到一个根本性的问题——“发展如何可能”，即如何在《数据安全法》中科学合理地呈现法律激励制度。

二、现实与困境：法律激励理论维度的制度评估

(一)法律激励维度分析范式的引入

法律激励理论认为，激励功能是法律的重要功能，社会秩序的维系不能仅依赖于法律的强制性，法治社会应当充分发挥规则的诱致能力。从“成本-收益”角度考虑，任何对法律强制能力的突破都是社会成本的浪费，诱导而非强迫主体选择社会希望的行为是激励性法治的理想状态。法律通过规则的设定鼓励个体实施符合法律希冀的合法行为，满足法律预定的要求和期望，最终实现传统观点所认为的法律的独特作用——强制性和确定性。但是从法律发展的历史实践来看，法律的制裁性功能逐渐式微，指导性和激励性功能逐渐增强。[5]“成本-收益”是法律激励理论的重要进路，[6]从法学角度而言，法学中的权利与义务概念正如经济学中的收益与成本概念，权利的实现需要法律对权利主体相关权益的正当性予以确认，通过国家强制力约束义务主体的履行。

数据法治必然需要兼顾数据红利与数据安全。[7]立法拟达到的法律激励效果，是指通过提倡主体的某种行为，鼓励主体的某种活动，同时借助奖励加以监督和执行。从这一角度来看，数据安全法在法律激励维度可以因循促进型立法的进路，通过法定的鼓励性手段促进数据活动和数据产业的发展。促进型数据安全法相较于限禁型数据安全法，前者以鼓励和促进为规制目标，后者以限制和禁止为主要手段。数据安全立法中促进目标的制度设计也需要引入“成本-收益”为模型的法律激励维度的评估与分析，可以通过对《草案》的规定和制度进行分解和结构性分析，可以更加直观、精准和深入地审视和评价安全与发展价值目标的兼容效果。

(二)《草案》法律激励效果的评估与检视

第一，激励落脚点存在偏差。目前《草案》中最受关注的制度是数据分级分类管理制度，立法者希望通过区分管理寻求安全与发展的平衡。一方面为重要数据的安全保障奠定基础，强化对于重要数据的管理；另一方面为其他数据的开发和利用留足空间，在此基础上衍生数据交易等制度激励市场发展。从这一角度而言，数据分级分类管理制度应当是最能体现立法者价值导向和智慧的基础性制度。然而，基础性制度不能仅依靠模糊的原则性规定“开路”，还需要落脚于细化、全面的基本规则，包括具体规则原则、实施主体、实施机制以及相应的法律责任，以形成扎实、成熟的全盘性制度。在数据分级分类管理制度中，最需要明确回答的问题就是，能否形成科学可行、合理合法、完善周延的数据分级分类标准，这应当是《草案》中发展促进维度夯基架梁的着力点。《草案》虽然基本建立了普通数据、个人信息以及重要数据分类的基本标准，但是未进行延伸细化；《草案》第十七条虽然提出建立健全数据交易管理制度，但是相关规定同样过于原则，没有呈现出具体的制度内容。

第二，激励责任主体不清晰。《草案》对于激励责任主体的用语，也在一定程度上表现出立法者希望通过泛化规定进行模糊处理，为后续立法和配套规定留存空间的意图。《草案》对于安全与发展命题相关具体制度的设计中，在数据安全管理责任方面设有明确的责任主体，而在数据开发利用的激励机制中则通常以“国家”概念指代，也没有相应的责任体系，这样可能会导致法律激励从规则到落地时出现“悬浮”现象。行政部门无法摆脱理性经济人约束条件的影响，因此当某项数据活动缺乏相应的明确规则时，监管机构不得不在安全与发展之间进行利益考量。此时，数据安全管理职责存在明确的责任主体及其责任要求，而数据发展方面缺乏相应的责任要求，无论是出于法定的履责要求还是风险规避的目的，当法律制度没有规定相应的主管或牵头部门时，数据发展促进的价值取向显然更易被舍弃。

第三，激励内容缺乏体系性。对于市场主体而言，法律激励的实现需要考虑从两个维度展开，一是增加收益，二是降低成本，从而在同一部法律之内、不同法律之间形成体系性的思考，使监管工具与激励工具之间达成统筹协调。例如，从合规成本上来看，《草案》中并没有提出明确的数据安全管理体制，未确定统一的主管部门或监督机构，仍然延续“纵横交错”的多部门、多地区“九龙治水”的管理体制。这种分部门监管可能会使不同法律法规之间产生监管冲突，进一步增加企业在数据安全管理方面的合规成本。又如，为了加强数据跨境的安全管理，《草案》第三十三条规定，境外执法机构要求调取存储于中华人民共和国境内数据的，有关组织、个人，应该向有关主管机关报告，获得批准后方可提供。该条规定仅捕捉了“存储于境内”这一个连接点，可能在一定程度上忽略了跨国数据企业国际竞争的成本与风险，对于该类企业课以过重的、无差别的安全成本。

综合而言，数据安全立法需要考虑我国特殊的社会发展情况、技术发展阶段、法律文化传统等因素，充分考量本国数据市场的体量、数据产业的丰富程度、数据监管制度的完善程度等基础性条件。数据安全立法的重点聚焦于安全管理，对于开发利用层面法律价值的体现，应当通过安全管理制度的合理化、规范化、体系化，降低企业不合理的合规成本，优化数据产业相关市场营商环境等方式达到法律激励的目的。目前《草案》拟通过大量原则性、宣示性的泛化规定达到促进开发利用的法律激励目的，但在安全管理方面设置了一些不合理的规则障碍，反而模糊了立法重点，这在一定程度上产生了失焦现象。

三、去程与方向：《数据安全法(草案)》未来的规范进路

数据安全立法是国家安全立法体系的重要组成部分，对于实现总体国家安全观、维护国家主权和根本利益，具有重要的政治意义与现实意义。早在2014年，习近平总书记就在中央网络安全和信息化领导小组第一次会议中强调，网络安全和信息化对一个国家很多领域都是牵一发而动全身的。因此，数据安全本身就是新时代数据立法的核心内容。然而随着信息社会的发展，大数据时代语境中的数据活动承载了发展层面的意义，平衡数据立法中的安全与发展成为新时代数据市场发展的客观需要。立法者显然希望在《数据安全法》中回应这一制度需求，用相当数量和篇幅的条款、原则、制度来强化这一立法目的，使这部法律名为“安全法”，实际承担起“安全与促进法”的双重任务。然而从前文的分析可以发现，《草案》作为数据安全领域的基本法，对于法律激励理念的呈现并没有体现于条文之中，也没体现在条文之间精细的衔接之上。事实上，数据安全立法中的法律激励能否落地实现，关键并不在于通过反复强调“促进”“鼓励”“激励”等，而在于法律制度在权利上是否赋予合理、可期的收益，在义务上是否课以额外、过重的成本，通过科学立法降低制度成本、提高收益才应是法律激励的合理呈现。

(一)提高收益，激活数据市场的活力与张力

第一，厘清基本概念和基本权利，为市场主体建立可信预期。一方面，明确重要数据的概念，为数据分级分类管理以及相应的数据交易制度提供基础性规则。作为数据分级分类管理制度的核心概念，科学合理地界定“重要数据”才能为其他数据的开发和利用留足创新空间。《草案》全文有三个条款对“重要数据”作出规定，对“重要数据”的界定较为笼统，仅规定“国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分级分类保护”。未来数据安全立法可以参考《网络安全法》对于关键信息基础设施的规定方式，[8]通过列举式立法或者专章进一步明确哪类或者哪些数据是“重要数据”，释明“重要数据”在什么意义或程度上属于“重要”，并且融入场景式的认定因素，以提高标准应用的灵活性。另一方面，明确数据权利的正当性。对于市场主体而言，产权关系的不明晰会直接影响主体之间的利益关系，清晰的产权是提高收益、降低成本的首要因素。因此，企业在哪些数据之上可以享受哪些权利，这些权利的边界范围如何，都是直接影响数据企业可预期收益的重要变量。数据安全立法要通过政府、企业、社会、个人形成不同层面和纬度的共治，不能仅仅依靠对企业课以治理义务并规定相应法律责任的功能主义进路。对于理性经济人而言，只有其对数据享有可预期的正当权利时，才能真正激活其参与市场、创新发展、安全管理的内在张力。

第二，细化发展促进制度，将促进数据开发利用落到实地。明确数据开发利用和产业发展的激励责任主体，将激励功能作为政府履责重要的法定考量因素，避免用泛化的“国家”概念进行简单的原则性规定。同时，细化数据安全立法中蕴含发展法律价值的配套制度，将规则落实到位，既要确保数据的安全管理，也要真正保障合理的数据开发利用活动。对于重要数据严格落实安全管理责任，对于一般数据不宜为了全面捕捉数据安全风险信息而直接课以法定的共享义务，可以考虑通过丰富的激励工具鼓励共享数据安全信息，以便在国家层面形成更大范围的数据安全风险系统性评估。同时，增加对小微数据企业的帮扶，通过税收减免、补贴补助、金融支持、以奖代补、税收优惠、基金支持、绿色通道、人才技术、项目用地、专项资金等方式，不断优化数据市场营商环境和产业生态。

第三，明确数据交易制度，用规范激活市场发展。数据交易是信息社会中数据产业的关键环节，对于数据资产流动、数据价值释放、数据资源开发都具有非常重要的作用。可以说，数据交易制度是数据立法中最能体现市场资源配置决定性因素的制度，也是根植于市场本身的激励性制度。数据交易制度是发展促进维度的制度体现，理想情况下呈现为与其他数据管理制度相衔接与协调，共同构建数据作为生产要素的基本市场规则。《草案》已经在数据交易制度上迈出了第一步，未来可以在第十七条规定“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场”的基础上，细化数据交易中主体、标的、基本权利义务等基础性规范，为过渡阶段的数据交易活动提供基本框架，避免市场主体出于风险规避的目的不敢从事数据交易活动，而将具体规范留待时机和条件成熟时通过法律、法规或规章进行明确。

(二)降低成本，减少不合理的管理制度障碍

第一，明确监管体制，降低合规成本。制度最重要的功能在于降低不确定性，目前数据安全监管机构“九龙治水”的局面为市场主体增加了许多不合理的合规成本。对此，未来数据安全立法需要尽可能明确数据安全监管体制，明晰部门之间、部门与地方之间的管理权限和范围，建立纵向垂直的管理体制可以成为更具效率的模式之选。与此同时，为了提高监管的协调性，降低监管重叠和监管空白的情况，可以加强国家安全委员会和国家网信办在数据安全管理方面的统筹性，尽可能简约数据安全管理责任在纵向层面的层级划分，降低监管标准的协调难度。

第二，降低市场准入门槛，激活市场活力。数据活动具有复杂性，数据产业所涉及的市场类型也具有多样性，需要形成多层次的市场准入管理制度。《草案》第十六条提出鼓励促进发展数据安全检测、认证市场，一方面需要考虑目前该类市场已经出现数据作假、误导舆情等乱象，需要通过设立市场准入条件进一步加强规范，避免劣币驱逐良币，反而形成负激励。另一方面，对于可以市场化的数据产业进一步降低门槛，优化营商环境，允许政府部门之外的社会主体参与数据安全检测、认证市场，促进数据安全检测评估、认证等社会化服务的发展。

第三，统筹国内国外视角，优化国际竞争的风险成本。数据跨境流动的管理是国际通行的立法模式，许多国家和地区都对数据跨境流动采取了不同程度和形式的规制。[9]事实上，我国《网络安全法》已经在这方面有所规范和尝试，比较好地做到了消费者利益、产业利益和国家安全利益的平衡。[10]未来《数据安全法》在立法中不但要考虑法律在境内产生的影响，还需要将其放在国际视野中进行审视，通过不断细化、科学化和合理化分类管理制度，尽可能避免或降低对跨国企业在国际竞争中带来的制度障碍。例如，对于《草案》第三十三条境外执法机构要求调取境内存储数据的报告批准程序，通过增加“存储在中国境内”以外的其他要件具化该项规定的适用范围，尽可能限缩该条规定可能影响跨国数据企业的范围。与之相似的，对于涉外企业的信息共享、监测预警等义务，都应当尽可能细化和明确适用范围、条件和程序，降低涉外数据企业在国际业务中的风险成本。

法律激励需要在科学立法的引导下进行，充分考量具体制度所承载的利益均衡条件，而不能机械、简单地塑造成一种仅有表象意义上的景观。可以说，《数据安全法》在未来立法中需要解决的并非是“箩筐”中有几根“大棒”、几根“胡萝卜”的数量问题，而是应当考虑如何设计出科学合理的监管“大棒”，将剩下的“箩筐”空间留给市场，让市场提供合适的配给，给出需要的答案。数据安全立法要在未来真正实现安全与发展的价值融合，还需要不断探索、砥砺前行。