我国互联网企业“数据协助”义务的困境与出路

朱梦云

根据中国信息通信研究院发布的《中国数字经济发展报告（2022 年）》，我国数字经济规模在2021年达到了45.5万亿元，占GDP 比重为39.8%，①中国信息通信研究院：《中国数字经济发展报告（2022年）》，http://www.caict.ac.cn/kxyj/qwfb/bps/202207/t20220708_405627.htm，访问日期：2022年10月6日。数据在其中作为与土地、劳动力、资本和技术同等重要的新型生产要素，充分发挥了促进经济社会发展的积极作用。尤其是在2020年的新冠肺炎疫情期间，依托以腾讯、阿里为代表的互联网企业在健康码等领域与国家信息中心的合作，为我国有效收集疫情信息、开展防疫措施、制定防疫决策提供了有力支撑。但与此同时，企业为确保防疫安全向政府提供公民出行轨迹等数据的“数据协助”行为，也使得个人信息泄露事件频发，引发公民对其个人信息安全的保护隐忧。而《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确指出，要“统筹数据开发利用、隐私保护和公共安全，加强网络安全风险评估和审查”，即不仅要强调数据对于经济社会发展的积极助益，也要处理好数据开发利用中所涉及的不同主体利益平衡，以强化风险预防。在此背景下，我国互联网企业作为社会经济活动的主要参与者，当前各行政有关部门要求其提供数据报送、数据调研、情况汇报等“协助”情形已愈发普遍，基于该行为“广泛而深刻地涉及了行政机关的权力和义务、平台企业的权利和义务以及用户个人信息保护方面的权利”①平台数据课题组：《互联网平台数据协助义务的域外实践及其对中国的启示》，《行政法论丛》2015 年第18 卷，第368页。，那么，明确互联网企业是否具有传输数据的“协助”义务、义务来源如何确定、“协助”范围是否明确、“协助”后果是否明晰等问题，就成为法学领域亟待给予理论回应和出路设计的重要命题。

一、企业“数据协助”义务的设定基础

当前，大数据、云计算和区块链等新技术的高速发展，将新的科学技术手段运用于国家治理过程之中，成为国家治理现代化的题中之意。②胡承槐：《国家治理现代化的基本涵义及其三个向度》，《治理研究》2020年第6期，第21页。故而，通过数字技术的广泛应用来有效提升政府效率效能，优化公共政策制定，提高公共服务水平，扩大公众参与，推进制度转型，重塑政府与企业、公民间的关系并创新政府管理方式，构成了我国实现数字治理的主要目标。③郑磊：《数字治理的效度、温度和尺度》，《治理研究》2021年第2期，第6页。随着互联网企业在我国政府数字治理中的参与度不断提升，其数据“协助”义务应运而生。申言之，企业的“数据协助”义务指的是当网信办、工信部等有关行政部门，在履行维护网络良好生态或保护国家安全等管理职能时，相关企业主体必须按照要求向其提供数据支持和协助的义务，包括但不限于为维护国家安全或侦查犯罪提供数据支持和相关配合、为规范互联网信息服务活动提供数据保留和为维护网络市场秩序提供服务交易信息等内容。

（一）促进数据治理的客观需要

数据在当前经济社会发展中的重要性是显而易见的，政府需要依托“用数据说话、用数据决策、用数据管理、用数据创新”来实现国家治理能力现代化，互联网企业需要通过数据收集、分析和应用获取经济收益和市场竞争优势，个人需要依赖数据服务实现工作生活便利。因此，即便互联网企业本不具有社会管理的权利和义务，但基于网络社会的特殊属性以及互联网企业的现实能力，企业需要在现实中履行一定的信息网络安全管理义务，④皮勇：《论网络服务提供者的管理义务及刑事责任》，《法商研究》2017年第5期，第14页。“数据协助”就属于其中的内容之一。

第一，能够助力政府提升社会治理效能。根据中国互联网协会组织在2021 年7 月13 日发布的《中国互联网发展报告（2021）》，我国2020 年的云计算整体市场规模为1781.8 亿元，其中公有云市场规模为990.6 亿元、私有云市场规模为791.2 亿元，⑤《2021中国互联网大会｜〈中国互联网发展报告（2021）〉在京发布》，中国互联网协会，https://www.isc.org.cn/article/40203.html，访问日期：2021年7月15日。相较之下，我国政务云的市场规模则仅有653.6 亿元。⑥《2020 年中国政务云市场规模同比增长42.3%》，https://baijiahao.baidu.com/s?id=1703136889930713547&wfr=spider&for=pc，访问日期：2021年7月15日。在互联网企业已比政府掌握更多数据资源的现实背景下，单一数据源显然难以满足政府的行政管理需求，畅通政企数据传输通道，充分利用企业所掌握的规模数据就成为政府提升社会治理效能的有效路径。

第二，能够有效降低社会治理成本。参考《互联网个人信息安全保护指南》⑦参见《互联网个人信息安全保护指南》第3.8条：个人信息生命周期包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。中有关个人信息生命周期的规定，数据的全生命周期包括收集、保存、应用、委托处理、共享、转让、公开披露和删除等多个环节，其中每个具体环节都需要数据持有者投入相应的经济、时间和技术等成本。当行政管理部门履行执法监管职能时，互联网企业作为数据持有者直接向其进行传输而非行政部门重新进行数据收集、保存和处理，将使得数据收集、流动等环节成本由企业而非有关行政部门承担，有利于实现对社会治理的成本节约。

第三，能够满足网络社会治理需求。每一次科技革命的兴起，都促使人类社会发展形态发生相应变化，当前因现代信息技术革命所诞生的网络社会，更是使得“信息的发布者与接受者的概念区分被参与者的概念所取代，信息是由双方共同创造出来的，每一个人都可以成为信息的创造者，而每一个人又同时是信息的消费者和传播者”①张康之、向玉琼：《网络空间中的政策问题建构》，《中国社会科学》2015年第2期，第135页。。那么，“网络社会问题表现出信息传播超地域性、瞬息化，参与主体不确定、广泛性，社会影响波及面大、短时间内防控可能性小等特点”②徐汉明、张新平：《网络社会治理的法治模式》，《中国社会科学》2018年第2期，第54页。，促使既有的传统治理模式无法有效应对网络社会所呈现的新型现实问题。为此，互联网企业在行政部门履行公共管理职能时承担“数据协助”义务，为其提供充分、准确、大量的具体数据，将有助于行政管理部门作出科学的决策与实施精准的治理，有针对性地满足当前日趋复杂多变的网络社会治理需求。

第四，互联网企业具备参与数据治理的客观能力。无论是依据理论抑或是实践范畴，我们都有理由认为信息监管在许多情况下是最好的方法。③Mcfadyen S.,Graddy K.,Cameron S.,“James T.Hamilton：1998,Channeling Violence:The Economic Market for Violent Television Programming”,in Journal of Cultural Economics,2000,Vol.24,No.4,pp.342-343.在没有任何信息提供者设计出的现代信息产品能够同时满足所有用户的需要时，市场力量和企业家的能力对于了解用户需求、满足公众需求是至关重要的。④Weiss P.N.,Backlund P.,“International Information Policy in Conflict:Open and Unrestricted Access versus Government Commerc”,in Computer Law&Security Review,1996,Vol.12,No.6,pp.382-389;Kahin B.,Nesson C.,Borders in Cyberspace:Information Policy and the Global Information Infrastructure,England：MIT Press,1997,pp.252-260.尤其是，在涉及信息网络犯罪案件数量逐年上升，以网络为工具实施犯罪情况愈发严重的时代背景下，⑤《涉信息网络犯罪特点和趋势司法大数据专题报告发布》，https://baijiahao.baidu.com/s?id=1739978784475074795&wfr=spider&for=pc，访问日期：2022年10月9日。“网络服务提供者是网络社会生态环境的主要创建者、网络活动规则的主要制定者……只有网络服务提供者才能及时、直接管控网络违法犯罪活动”⑥皮勇：《论网络服务提供者的管理义务及刑事责任》，《法商研究》2017年第5期，第18页。。为此，大量内部市场主体由于距离被规制市场主体最近，获得、整理以及分析、利用相关市场数据的能力更强，更了解市场规律及其实际运行情况，也在一定范围内成为市场规制的事实主体。⑦王永强、管金平：《精准规制:大数据时代市场规制法的新发展——兼论〈中华人民共和国食品安全法（修订草案）〉的完善》，《法商研究》2014年第6期，第58页。以网络内容服务企业为例，其拥有对网络信息内容的绝对支配控制能力，某种程度上相比于政府进行数据治理的效率更高、成效更好。

（二）实现数据正义的重要途径

根据中国互联网络信息中心发布的第50次《中国互联网络发展状况统计报告》⑧李政葳：《第50次〈中国互联网络发展状况统计报告〉发布》，《光明日报》2022年9月1日，第10版。的数据显示，我国网民规模截至2022年6月总计10.51亿人，互联网普及率为74.4%，用户规模主要集中于即时通信、网络视频（含短视频）、网络支付、网络购物、搜索引擎和网络音乐等不同类型的互联网应用，说明互联网业已充分融入人们生活的各个场景。那么，为实现涵盖数据本身、数据获得、数据分析、数据使用和数据安全保护等不同环节的数据正义，设定企业“数据协助”义务成为不可或缺的重要路径。

首先，有利于消解不同数据主体在数据地位上的事实不平等。企业与个人在网络社会中的角色差异，使得企业相对于个人总是具有天然的数据优势，个人只能通过企业所披露的数据了解双方的指向标的。以电子商务交易为例，电子商务经营者作为商品、服务提供者能够充分了解商品、服务的实际情形，而电子商务交易相对人只能了解经营者所主动告知的内容，信息不对称原理在此时体现得淋漓尽致。①郑佳宁：《电子商务经营者信息披露义务研究》，《福建师范大学学报（哲学社会科学版）》2020年第4期，第136页。于是，为跨越企业与个人基于信息不对称与数据控制能力差异所产生的“数据鸿沟”，国家通过立法为企业设定明确的“数据协助”义务，来适度调控个人与企业间实现数据地位平等。以《电子商务法》为例，立法要求电子商务经营者既要全面、真实、准确、及时地披露商品或者服务信息，也不得以虚构交易、编造用户评价等方式进行虚假或者引人误解的商业宣传，以充分保障消费者作为交易相对人所具有的知情权和选择权。②参见《电子商务法》第17条。

其次，有利于充分规制企业主体间的市场竞争行为。企业作为市场经济活动的参与者，经济利益的获取是其根本的内生动力，该逐利本能将引诱企业一方面充分隐藏对自己不利的数据信息，以确保自己能够长期参与市场经营活动；另一方面，企业将主动利用其在数据收集、使用方面的优势，塑造或维持与其他企业主体间的竞争优势。因此，通过设定企业的“数据协助”义务，事先告知企业应当在规定情境下传输的数据内容，将督促企业公正、有序地收集、使用和保管相关数据，避免企业间开展恶性竞争或是大企业滥用市场支配地位。以《网络交易监督管理办法》为例，为监管网络交易主体能够具有相应合法资质，保障市场交易安全有序，立法明确规定网络交易平台经营者应当按照要求，及时向市场监管部门提供与监督检查、案件调查、事故处置、消费争议处理等执法监管活动有关的平台内经营者身份信息，包括商品或者服务、消费支付、物流快递、退换货、售后等交易信息以及其他数据信息。③参见《网络交易监督管理办法》第34条。

最后，有利于政府对社会主体监督管理的高效落地。将企业“数据协助”义务上升到法定高度，将使得企业、个人等社会主体在网络社会中的行为数据痕迹得以充分保存，当有关行政管理部门对其进行监管或处分时，能够及时拥有客观、真实、有效的可用证据，实现对违法行为的高效监管性与惩处便利性。此外，企业履行“数据协助”义务还有助于政府及时了解网络社会主体的行为动态，从而有针对性地制定行为规范与监管措施，确保执法监管能够落到实处。以《全国人民代表大会常务委员会关于加强网络信息保护的决定》为例，当有关部门依法制止、查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为时，网络服务提供者直接向行政部门提供犯罪嫌疑人的真实身份信息或所发布信息内容，将有助于行政部门保护公民隐私与及时惩治犯罪。④参见《全国人民代表大会常务委员会关于加强网络信息保护的决定》第10 条：“有关主管部门应当在各自职权范围内依法履行职责，采取技术措施和其他必要措施，防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时，网络服务提供者应当予以配合，提供技术支持。”

（三）保障数据安全的必然要求

依据国际数据公司IDC发布的《数据时代2025》白皮书，当前数据数量的增长因技术发展而处于井喷式状态，全球数据总量预计到2025年将达到175ZB，每天的数据平均产出将达到491EB，而且未来的数据第一生产主力将由现在的消费者转向企业。⑤“Data Age 2025:the datasphere and data-readiness from edge to core”，https://www.i-scoop.eu/big-data-action-valuecontext/data-age-2025-datasphere/.那么，数据作为国家战略性资源的重要性，将在人类社会的数字化转型过程中愈发凸显。尤其是，当人们将规模化数据与零售、医疗卫生、保险、交通、金融服务等各行各业结合时，发现通过挖掘大数据所涵盖抽象数据的普遍性特征，能够透析客观世界或者分析出特定对象的规律、特征，并具有预测未来的可能价值。⑥高富平：《数据流通理论数据资源权利配置的基础》，《中外法学》2019年第6期，第1406页。于是，世界各国均意识到数据不仅具备作为经济增长动能的生产要素价值，还涉及微观的个人数据安全与宏观的国家数据安全。

一方面，企业“数据协助”义务有助于保护个人数据安全。当前，以谷歌、微软为代表的互联网企业主要通过搜集、挖掘用户原始行为数据并对其进行分析加工，从而有针对性地投放广告与商品，来获取巨额经济利润和市场控制地位。①杨楠：《大国“数据战”与全球数据治理的前景》，《社会科学》2021年第7期，第51页。这一经营模式既说明企业所拥有的个人数据蕴含巨大的经济价值，也证明企业所掌握的用户个人数据具有精准性和丰富性，倘若对企业的数据收集、使用方式等环节不作法律限制，将对个人隐私安全产生巨大侵害风险，中国电信超2 亿条用户信息被非法出售、以色列640万选民数据被泄露以及Facebook 超8700万用户数据被泄露等数据安全事件都是客观实证。②《2018 年十大数据泄露安全事件盘点》，http://gx.news.163.com/19/0109/10/E52S7US604408DD3.html，访问日期：2021年6月1日。中国司法大数据研究院正式发布的《涉信息网络犯罪特点和趋势（2017.1—2021.12）司法大数据专题报告》也表明，2017—2021 年全国涉信息网络犯罪案件中占比最高的为诈骗罪，具体比例达到了36.53%。③《涉信息网络犯罪特点和趋势司法大数据专题报告发布》，https://baijiahao.baidu.com/s?id=1739978784475074795&wfr=spider&for=pc，访问日期：2022年10月9日。因此，由于企业“数据协助”义务的履行贯穿个人数据获取、使用、传输等各个环节，通过立法要求各个环节均要以法定形式进行事先告知与及时披露，能够确保企业对个人数据进行规范性收集、使用和应用，进而实现个人数据安全的有效防护。

另一方面，企业“数据协助”义务有助于保障国家数据安全。在数字地缘政治环境中，数据成为各国谋求国际竞争优势的关键性因素，数据安全问题也可被视为大国竞争背景下的各国战略意图集中映射。④郎平：《疫情冲击下数字时代的大国竞争》，张宇燕：《全球政治与安全报告（2021）》，北京：社会科学文献出版社，2021年，第91页。为此，习近平总书记在“网络安全和信息化工作座谈会上的讲话”中指出，“一些涉及国家利益、国家安全的数据，很多掌握在互联网企业手里，企业要保证这些数据安全”，因此，“企业要承担企业的责任，党和政府要承担党和政府的责任，哪一边都不能放弃自己的责任。网上信息管理，网站应负主体责任，政府行政管理部门要加强监管。主管部门、企业要建立密切协作协调的关系，避免过去经常出现的‘一放就乱、一管就死’现象，走出一条齐抓共管、良性互动的新路”⑤习近平：《在网络安全和信息化工作座谈会上的讲话》，《人民日报》2016年4月26日，第2版。。一是，在数据内容涉及国家安全秩序时，企业及时履行“数据协助”义务——主动采取处置措施、保存有关数据记录并向政府部门报告，有助于维护良性的网络空间公共秩序。二是，在数据流转涉及国家数据主权时，“由于许多发展中国家在关键信息基础设施防护、网络安全保护等方面存在技术上的不足，一旦产生无限制的跨境数据流动，本国的相关设施和安保措施可能会被轻易攻击并引发政治、经济、军事等领域的安全风险”⑥冯洁菡、周濛：《跨境数据流动规制：核心议题、国际方案及中国因应》，《深圳大学学报（人文社会科学版）》2021年第4期，第90页。。因此，互联网企业为履行“数据协助”义务的需要，将在我国境内收集和产生的个人信息和重要数据放在境内进行存储，非经安全评估或有关主管部门同意不得向境外流转，坚决捍卫我国的国家数据主权。

二、企业“数据协助”义务的实施困境

数据让人类感受到了跨地域、跨时空、跨国别的沟通便利，拥有了比自己更为了解自己的个性化判断、决策与喜好推荐；同时，数据也因对制度运行与体制改革带来了深刻影响，被认为是一种新的基础性制度。⑦徐继华、冯启娜、陈贞汝：《智慧政府：大数据治国时代的来临》，北京：中信出版社，2014年，第XXXII页。然而，当数据实现规模化、多样性、实时性且应用算法充分融合于人类社会生活时，我们逐渐发现囿于人类认知的局限性与技术理性的有限性，并无法就“互联网是否能够发挥出实质性的积极影响，以及这种影响主要是直接的还是间接的，是选择性的还是拓展性的等问题作出明确判断”①郝龙：《互联网会是挽救“公众参与衰落”的有效力量吗？——20 世纪90 年代以来的争议与分歧》，《电子政务》2020年第6期，第115页。。于是，在数据应用与社会治理领域，我们试图通过设定企业的“数据协助”义务，以实现对网络社会治理的制度与规则体系制约，却发现存在着多重价值冲突与制度困境。

（一）企业自主发展与政府外在管制的内在张力

企业与政府分别作为“看得见的主体”与“看不见的手”，对市场经济平稳健康发展有着重要影响，譬如当企业行为影响到市场公平竞争或资源有效配置时，政府会积极干预以预防市场失灵、保障社会福利，抑或是为保障市场经济活动有序开展，政府会对企业预先划定行为范畴，两者出于出发点与行为目标的差别，总是处于一种博弈中的动态平衡状态。法定的企业“数据协助”义务，也同样反映了政府与企业的这种内在张力。

首先，企业逐利需求与政府宏观调控的冲突。古典政治经济学家亚当·斯密主张“个人天生是为自己的利害打算的，以利己心作为行为刺激”②参见亚当·斯密：《国富论：国民财富的性质和起因的研究》（上卷），郭大力等译，北京：商务印书馆，1974 年，第IV、13 页。；企业作为单个或多数个人组成的集合体，以追求经济效益作为根本目标。这一逐利目标体现在互联网企业就是为了充分了解用户需求，其总是尽可能多地收集用户信息，并通过企业间的商业数据共享实现对用户全方位、无死角了解，从而有针对性地投放营业信息与商业广告，增强用户粘性并获取经济利益。但与此同时，政府通过宏观调控对国民经济进行总体管理，需要对企业市场行为进行必要的行政干预，譬如预先设定企业在数据收集、使用、传输和保存等环节的法定义务，来实现个人利益、企业利益和社会公共利益间的有效平衡。据此，企业内生逐利性与政府公共管理性的差别，以及企业自我私利与社会公共利益间的冲突，促使企业履行“数据协助”义务缺乏原始动力。

其次，企业自由发展与政府市场规制的落差。人人生而自由，但无往不在枷锁之中，当前的算法社会更是将自由与枷锁的张力推向了极致。③齐延平：《算法社会的治理逻辑》，《华东政法大学学报》2019年第6期，第5页。据统计，我国当前在“互联网+电子商务”“互联网+出行服务”中的用户基础均已超上亿规模，个人之所以允许企业收集并使用其信息，正是基于企业对个人提供了相应数据服务，且通过用户协议承诺对所涉个人信息承担保密义务。以此为基础，数字科技巨头企业依靠平台优势能够迅速占据数据资源，并将积累的数据优势广泛扩展到其他竞争领域，最终获得市场竞争优势。然而，政府为预防市场活动中可能发生的资本扩张或竞争失序，总是会对私人经济活动进行某种直接的、行政性的规定和限制，④于立、肖兴志：《规制理论发展综述》，《财经问题研究》2001年第1期，第17页。抑或是通过法律的明确规定在特定领域直接限制市场主体的权利或者增加其义务，⑤盛学军、陈开琦：《论市场规制权》，《现代法学》2007年第4期，第85页。以满足公共需要并减弱市场运作风险。为此，政府对企业“数据协助”义务的设定，无疑将使得企业在竞争优势获取、提高经营活力等方面受到制约。

再次，企业数据使用与政府风险防控的矛盾。当我国通过颁行《关于新时代加快完善社会主义市场经济体制的意见》，将数据与土地、劳动力、资本等生产要素一起纳入改革范畴时，数据的新型生产要素属性通过政策被予以确定。相比于传统生产要素，我们可依托萨缪尔森的“生产要素四分法”⑥See Samuelson P A,“Public Goods and Subscription TV: Correction of the Record”，in Journal of Law and Economics,1964,Vol.7,pp.81-83.对数据的特殊性展开分析：数据属于“不争用”的生产要素，无论是一个人使用或是多数人使用，都不会影响数据自身价值的变化，甚至还可能因使用者的增多实现价值增长；数据还属于“可限用”的生产要素，只有对数据进行内容分析和价值挖掘后才能将数据转化成市场竞争优势。为此，企业总是积极促进数据从封闭割据走向开放共享，使其可以在充分使用与自由流通中释放经济价值。然而，由于数据掌握主体及所涉及法益的不同，数据权属目前尚未能确定具体划分标准，使得数据流通过程中往往伴随个人隐私侵害、公共福利减损等风险，于是政府往往会出于风险防控的必要来限制数据的不正当使用或过度的市场化流通。由此，政府为企业设定“数据协助”义务，无疑在客观上加大了企业对数据的使用、流通、交易难度。

（二）企业“数据协助”义务与权利保护的深层博弈

现代法治社会以维护自由和权利为根本导向，但自由和权利的实现以义务和责任为保证基础，两者处于一种互动平衡的关系，轴心体现为利益与负担、自由与责任的平等分配等问题。①马长山：《法治的平衡取向与渐进主义法治道路》，《法学研究》2008年第4期，第20页。企业“数据协助”义务既涉及个人信息等原始数据，还涉及数据流转或加工后的衍生数据，那么，用户作为原始数据提供者、企业作为数据的开发和加工者、政府作为数据的控制者和管理者在权利内容上的差别，使得义务履行与权利保护间存在现实矛盾。

首先，企业“数据协助”义务与公民数据自决权的博弈。大数据时代与以往时代的一个很大区别在于，不管人们是自愿还是被迫抑或不管是明知还是默认，都必须将传统社会中那种不受他人侵扰的独处的空间和仅有个人作为秘密而掌握的信息交出来，使得个人数据不断被收集、存储、整理、转让、分析和利用。②程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期，第115页。譬如，个人想要享受互联网企业所提供的各种数据产品和服务，就必须允许企业对其个人信息、使用数据等进行收集、使用、共享、转让和披露。为此，法律充分考量自然人的个人数据权利与企业对合法收集数据的支配权利，为企业设定了事先取得同意、明确告知收集范围和使用目的等义务，以确保个人利益与企业利益能达到有效平衡。但是，因企业的“数据协助”义务是基于行政管理部门的执法监管需求而设立的，并未针对应当获得自然人同意等程序性事项进行规定，也并未明确对个人数据的使用范畴与具体内容，在事实上漠视了自然人对其个人数据所享有的自决权，可能“导致大量以维护公共利益之名而行侵害私权利之实的恶行，最终的结果是既无法维护公共利益，更无法保护民事权益”③程啸：《论个人信息处理者的告知义务》，《上海政法学院学报（法治论丛）》2021年第5期，第2页。。

其次，企业“数据协助”义务与商业秘密权益的博弈。近年来，无论是华为与腾讯的数据之争、新浪诉陌陌不正当竞争纠纷、大众点评诉百度不正当竞争纠纷，还是美国的Craigslist v.3Taps 案和hiQ v.LinkedIn 案，均是企业围绕数据权属争议所发生的诉讼案件，虽然数据具体归个人所有、平台所有或是个人和平台共有等仍存在争议，但充分说明了数据对于企业发展具有重要作用。④丁晓东：《数据到底属于谁?——从网络爬虫看平台数据权属与数据保护》，《华东政法大学学报》2019年第5期，第70页。为此，企业为维护自身竞争优势，依托数据的无形性和财产属性等特点，往往依赖商业秘密等反不正当竞争法路径对其进行保护，“合理平衡数据先控者和后来开发者的既有投入和竞争自由，明确其他市场主体在使用他人已收集的信息时，应当在相对合理的范围内使用”⑤包晓丽：《数据产权保护的法律路径》，《中国政法大学学报》2021年第3期，第123页。。然而，当法律设定企业具有“数据协助”义务后，无论该数据是否属于构成商业秘密的数字资产，企业都必须出于公共利益需求进行传输和流通，使得企业的商业秘密权益存在被侵权风险。“根据‘权利与义务相适应’原则，法律对网络服务提供者苛以多高的义务，就应赋予其多大的权利，以提高其义务履行的可能性”⑥彭玉勇：《论网络服务提供者的权利和义务》，《暨南学报（哲学社会科学版）》2014年第12期，第76页。，但当前对企业在“数据协助”义务设定与合法权益保护上的事实不平等，无疑将导致其缺失履行义务的主动性与积极性。

再次，企业“数据协助”义务与政府执法监管权力的博弈。“治理”与“统治”的根本区别在于，治理涉及公共部门和私人部门，既要注重协调对话和互动合作，也要强调多元社会权利对权力的制约分享和自主协调，以实现公共利益与私人利益的恰当平衡。①马长山：《法治的平衡取向与渐进主义法治道路》，《法学研究》2008年第4期，第11页。为此，当立法对企业设定“数据协助”义务时，也应当对政府的执法监管权力作出相应限制，两者的正向互动才能体现社会治理的效度、温度和力度。然而，当前的企业“数据协助”义务设定模式只规定了企业拒不履行义务的责任后果，却未规范政府不正当要求义务履行所应承担的责任，缺乏对政府行政权力行使的制约措施，导致企业只能承担义务却无法享受救济。在法治平衡理念与合理容忍原则下，私人利益可以为了更大的权益或公共利益而作出让步或妥协，但该妥协与让步必须服从正义精神且受到规则和程序的严格限制，否则就将演化成以强欺弱、以此权益侵吞彼权益的借口。②马长山：《法治的平衡取向与渐进主义法治道路》，《法学研究》2008年第4期，第22页。此外，虽然企业“数据协助”义务来自行政部门保护社会公共利益的需求，但由于客观上增加了企业的经济投入成本，理应从利益平衡的视角对其给予合理补偿，而当前补偿制度的缺失促使企业付出与投入呈现失衡状态，也将使得企业的义务履行意愿不足。

（三）企业“数据协助”义务的法律规定模糊

据不完全统计，截至2021年6月，我国已制定或颁行与数据有关的法律计7部、行政法规5部、部门规章及规范性文件22 部、司法解释6 部以及国家和行业标准13 部（以下统称为法律法规）。综合上述法律法规对企业“数据协助”义务的规定，主要存在义务履行主体不清、数据协助范围不明和行政主管部门多样等问题。

第一，对“数据协助”义务主体的规定不一致。通过选取代表性数据法律法规作为典型示例，《电子商务法》中规定需要依照法律、行政法规规定向有关主管部门履行“数据协助”义务的主体为“电子商务经营者”，具体包括“电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者”③参见《电子商务法》第9条。；而《网络安全法》中规定需要在公安机关、国家安全机关维护国家安全或者侦查犯罪时进行“数据协助”的主体则为“网络运营者”，包括“网络的所有者、管理者和网络服务提供者”④参见《网络安全法》第28 条、第76 条。；再如，《互联网信息服务管理办法（修订草案征求意见稿）》规定应当为公安机关、国家安全机关和网信部门、电信主管部门提供数据支持和相关配合的主体，是“互联网网络接入、互联网信息服务、域名注册和解析等互联网服务提供者”⑤参见《互联网信息服务管理办法（修订草案征求意见稿）》第22 条：“互联网网络接入、互联网信息服务、域名注册和解析等互联网服务提供者，应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动，提供技术支持和协助。技术支持和协助的具体要求，由公安机关、国家安全机关会同电信主管部门等有关部门另行制定。互联网网络接入、互联网信息服务、域名注册和解析等互联网服务提供者，应当为网信部门、电信主管部门依法履行互联网信息服务监督管理职责，提供必要的数据支持和相关配合。”。除此之外，还包括《网络交易监督管理办法》中规定的“网络交易平台经营者”“其他服务提供者”⑥参见《网络交易监督管理办法》第34条。，以及《公安机关互联网安全监督检查规定》中指向的“互联网服务提供者和互联网使用单位”⑦参见《公安机关互联网安全监督检查规定》第2条。等等。综合上述规定可知：一是不同条文对“数据协助”主体的表述不一致，二是不同“数据协助”主体的内涵指向不清晰，三是不同规定中包含的“数据协助”主体范围有重叠，使得“数据协助”义务的主体有待进一步厘清。

第二，对“数据协助”义务客体的规定差异大。在海量的数据汪洋中，我们可以依据不同分类标准来划分数据范围，譬如依据掌握数据主体的不同分为个人数据、企业数据和国家数据；⑧王渊、黄道丽、杨松儒：《数据权的权利性质及其归属研究》，《科学管理研究》2017年第5期，第38页。依据数据来源的不同分为源于人的数据、源于组织运营的数据和源于机器的数据①United Nations Statistics Division: Meeting of the expert group on international statistical classification,https://mdgs.un.org/unsd/classifications/expertgroup/EG2017.cshtml,last access:2021-07-15.参见《信息网络传播权保护条例》第25条。等。但我国立法在设定企业“数据协助”义务时，客体内容既包括“网络交易平台经营者提供有关的平台内经营者身份信息，商品或者服务信息，支付记录、物流快递、退换货以及售后等交易信息”②参见《网络交易监督管理办法》第34条。；也包括互联网信息服务提供者发布的信息和用户发布的信息③参见《互联网信息服务管理办法（修订草案征求意见稿）》第20 条：“互联网信息服务提供应当记录其发布的信息和用户发布的信息，并保存不少于6个月。”与电子商务平台经营者在平台上发布的商品和服务信息、交易信息④参见《电子商务法》第31条。等等。前述仅笼统规定企业“数据协助”义务，却未制定统一的数据分类标准和明确应协助数据范围的现状，一是将导致有关行政主管部门因数据过多和数据超载而无法发现真正有用的数据，二是将使得大量包含用户个人隐私或商业秘密的数据存在安全风险。

第三，“数据协助”义务指向的规定行政管理部门交叠多。参照我国《互联网信息服务管理办法》关于互联网信息服务监督管理部门的规定，同时结合我国行政机构改革后的部门设立体系，当前可对网络社会进行监督管理的执法监管部门包括但不限于：以统筹协调网络安全和相关监督管理为工作内容的国家网信部门，以网络安全监督检查为代表内容的公安部门，以及在职责范围内负责关键信息基础设施安全保护和监督管理工作的国务院电信主管部门和其他有关部门等。⑤参见《网络安全法》第8 条。上述行政管理部门间既存在管理职责重叠和交叉，亦缺乏统一的统筹协调机制：一方面使得企业需要基于不同行政管理部门的要求多次重复传输数据，“数据协助”义务负担过重；另一方面，也促使同一数据可能流向多个不同的行政管理部门，数据安全难以得到保障。譬如，在针对滴滴出行科技有限公司开展网络安全审查时，⑥《国家互联网信息办公室等七部门进驻 滴滴出行科技有限公司开展网络安全审查》，http://www.cac.gov.cn/2021-07/16/c_1628023601191804.htm，访问日期：2021年7月16日。就有包括国家网信办、公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局在内的七个部门联合进行，在部门协调配合与职能分工上难免存在顾此失彼与相互掣肘的困境。

（四）企业“数据协助”义务的法律后果不明

“缺少法律责任的强制披露制度，就好比没有牙齿的老虎”⑦赵尧：《同业竞争：一个被忽视的强制披露的制度功能——以网络借贷市场的秩序生成为例》，《东方法学》2019年第4期，第29页。，因而立法在设定法定义务时，总是会配套规定义务履行的责任后果条款，以督促相关主体主动履行义务内容，企业“数据协助”义务亦不外如是。具体而言，企业拒不履行“数据协助”义务的责任后果当前主要以行政处罚措施为主，包括《网络安全法》规定的“罚款”⑧参见《网络安全法》第69条。，《数据安全法》规定的“警告”“罚款”⑨参见《数据安全法》第48条。，《反恐怖主义法》规定的“罚款”“拘留”⑩参见《反恐怖主义法》第84条。，《信息网络传播权保护条例》规定的“警告……没收主要用于提供网络服务的计算机等设备”○1United Nations Statistics Division: Meeting of the expert group on international statistical classification,https://mdgs.un.org/unsd/classifications/expertgroup/EG2017.cshtml,last access:2021-07-15.参见《信息网络传播权保护条例》第25条。，以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定的“警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等”○12参见《全国人民代表大会常务委员会关于加强网络信息保护的决定》第11条。。此外，企业还可能依具体情况的不同，承担相应的刑事责任或民事责任。

其一，已有规定未能明确“数据协助”义务的具体违法情形。义务本身并不包括对任何主体的强制行为要求，只有当义务履行出现差池或缺位时，义务主体才需要承担相应责任后果，两者存在判断的顺序前后关系。基于企业在履行“数据协助”义务时存在多种行为可能性，譬如数据的不完全传输或部分传输、数据的虚假传输、数据的误导性传输以及数据的迟延传输等等，因此，我们只有先判断这些情形是否构成企业拒不履行“数据协助”义务的具体表现，才能进一步讨论企业此时应当承担何种责任后果，以及不同情形下的责任后果是否应当存在区别等问题。当前立法对企业“数据协助”义务缺失有关违法情形的细化规定，使得义务责任后果承担缺少前提基础。

其二，已有规定未能制定违反“数据协助”义务的情节划分标准。在现行责任承担体系中，存在“拒不改正”与“情节严重”的不同违法情节，责任后果也具有数额与程度上的差异。但是，不同违法情节的区分依据在立法上缺位，致使违反“数据协助”义务的情节认定处于模糊状态。以《网络安全法》为例，网络运营者在拒不向公安机关或国家安全机关履行“数据协助”义务时，应先由有关部门“责令改正”，当网络运营者“拒不改正或情节严重”时再予以“罚款”处罚；然而，针对什么是“拒不改正”或“情节严重”却并未在法律法规中进行限定，“情节严重”的判定也无可供参考的法律依据，无疑使得责任后果的承担存在规定不明风险。

其三，已有规定对于违反“数据协助”义务的行政罚款数额差别较大。譬如我国《数据安全法》对拒不履行“数据协助”义务的罚款数额为“五万元以上五十万元以下”、直接主管人员或其他直接责任人员为“一万元以上十万元以下”①参见《数据安全法》第48条：“违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”，但《反恐怖主义法》中所规定的罚款数额却是“二十万元以上五十万元以下”、直接主管人员和其他责任人员“十万元以下”②参见《反恐怖主义法》第84 条：“电信业务经营者、互联网服务提供者有下列情形之一的，由主管部门处二十万元以上五十万元以下罚款，并对其直接负责的主管人员和其他直接责任人员处十万元以下罚款；情节严重的，处五十万元以上罚款，并对其直接负责的主管人员和其他直接责任人员，处十万元以上五十万元以下罚款，可以由公安机关对其直接负责的主管人员和其他直接责任人员，处五日以上十五日以下拘留：（一）未依照规定为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助的。”。法定最低罚款数额的不同，将导致针对同一主体的同一违法行为，因为适用同一位阶的不同法律，主体所承担的责任后果存在差异，对企业主体而言显然有失公平，对行政管理部门的权威性也存在损害。

其四，已有规定未能在不同责任承担方式间构建逻辑衔接体系。企业拒不履行“数据协助”义务的责任后果包括民事责任、刑事责任和行政责任，不同责任承担方式管辖范畴不同且各有优劣，行政责任并不能取代刑事责任所具有的威慑力，也不具备民事责任所蕴含的诉讼救济权利，三者只有实现逻辑统一才能发挥出最大的规范效能。但是，由于当前不同责任的具体指向情形并未在立法中进行规定，不同责任间的衔接标准也缺乏明确依据，行政处罚责任在实践与规定中占据绝对主流，无法发挥出民事与刑事责任的调解优势。尤其是在我国的《电子商务法》中，对电子商务经营者拒不履行数据传输义务的责任后果需要“依照有关法律、行政法规的规定处罚”③参见《电子商务法》第75 条：“电子商务经营者违反本法第十二条、第十三条规定，未取得相关行政许可从事经营活动，或者销售、提供法律、行政法规禁止交易的商品、服务，或者不履行本法第二十五条规定的信息提供义务，电子商务平台经营者违反本法第四十六条规定，采取集中交易方式进行交易，或者进行标准化合约交易的，依照有关法律、行政法规的规定处罚。”，参照对象的模糊性与不确定性，更是使得其责任后果形同虚设。

（五）企业“数据协助”义务的技术支撑瓶颈

企业“数据协助”义务的履行，以政企间的数据顺畅传输为技术支撑。我国政企数据流通的实践探索目前仍处于初级阶段，使得企业向有关行政管理部门进行“数据协助”时仍面临技术上的难题。

首先，企业因“数据协助”而被无形增设数据保管义务，导致企业存储数据的专业技术要求被提高。基于我国立法并未明确规定企业应当在何时、以何种方式和以什么内容进行“数据协助”，企业需要对其经营活动中产生、收集的所有数据进行期限不明的留存和保管，无形中对企业提出了更高的数据存储技术要求。因为当数据总量不断增加时，传统的数据存储形式会在性能、安全性、可靠性等方面存在局限，需要企业在介质、架构、协议、应用与运维模式上不断进行发展演进。①王轶辰：《数据存储面临新挑战》，http://paper.ce.cn/jjrb/html/2021-07/29/node_7.htm，访问日期：2021年7月29日。而且，由于企业保存数据的期限在不同立法中存在差别，企业客观上只能以法定最高标准去存储数据，也在无形中增加了企业的数据存储技术门槛。譬如我国《互联网信息服务管理办法（2011修订）》②参见《互联网信息服务管理办法（2011 修订）》第14 条第2款：“互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。”要求互联网信息服务提供者和互联网接入服务提供者对记录的保存期限为60 日，而《互联网信息服务管理办法（修订草案征求意见稿）》③参见《互联网信息服务管理办法（修订草案征求意见稿）》第20 条：“互联网信息服务提供者应当记录其发布的信息和用户发布的信息，并保存不少于6 个月。互联网信息服务提供者、互联网网络接入服务提供者应当记录并留存网络日志信息，并保存不少于6个月。网络日志信息的具体要求，由网信部门、电信主管部门、公安机关依据各自职责另行制定。”则规定互联网信息服务提供者应当保存数据记录的期限不少于6 个月，《电子商务法》④参见《电子商务法》第31条：“电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息，并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年；法律、行政法规另有规定的，依照其规定。”《网络交易监督管理办法》⑤参见《网络交易监督管理办法》第31 条：“网络交易平台经营者对平台内经营者身份息的保存时间自其退出平台之日起不少于三年；对商品或者服务信息，支付记录、物流快递、退换货以及售后等交易信息的保存时间自交易完成之日起不少于三年。法律、行政法规另有规定的，依照其规定。”中规定的却是不少于3年。

其次，不同企业在网络数据服务中的领域差别，导致部分企业存在“数据协助”的技术难题。信息网络技术具有较强的专业性和特殊性，即使同样作为网络服务提供者，互联网企业也存在以网络接入服务为代表的网络传输服务提供者和以提供数据内容为代表的网络内容服务提供者的区别，⑥参见童德华、马嘉阳：《拒不履行信息网络安全管理义务罪之“义务”的合理性论证及类型化分析》，《法律适用》2020年第21期，第89页。因而，不同企业所能支配和传输的数据内容也会存在相应差异，“数据协助”能力也存在事实区别。立法对企业的“数据协助”义务进行统一规定，忽视其所存在的技术差异，就会导致部分企业面临履行不能的窘境。

再次，政企在数据表达方式、应用程序接口设置等方面的区别，增加了“数据协助”义务的履行技术难度。数据只有以可机读的形式表达出来，才能确保一个数据文件无须经过指定的应用程序就能访问。但我国目前在提供与读取可机读数据方面，不同地域和行政级别的行政部门存在能力上的可见差别，使得企业在提供数据时面临技术处理的难题。事实上，我国各类电子政务系统目前在程序接口设置上采取的是不同方法和函数，即便是同一数字证书在不同应用系统中也无法兼容使用，中国人民银行、国家密码管理局和国家税务总局等部门也因此制定了仅在自身系统范围内可用的标准规范，全国政务统一系统标准仍处于在建过程中。这一技术背景使得企业履行“数据协助”义务时，存在应用程序设置、接口兼容使用等方面的技术困难。

三、完善企业“数据协助”义务的对策与建议

正如硬币总是同时存在正反两面，尽管企业“数据协助”义务在法律规定与实践应用中仍有缺陷，但也基于网络社会的发展现状具有学理自洽性、时代合理性与现实必要性。为此，在大数据时代背景下，我们想要实现对我国互联网企业“数据协助”义务的合理建构，关键在于对该义务的履行方式、履行范围和履行后果等内容进行规范配置与边界限定。尤其是，在企业“协助”义务指向的数据范围涉及以用户数据为代表的个人信息、以衍生数据为内核的商业秘密和以重要敏感信息为典型的国家秘密等内容时，我们只有将法治理念嵌入义务履行的全过程，在确保企业“数据协助”义务履行程序清晰、义务履行后果明确、义务履行范畴确定、义务责任体系统一的同时，要求行政部门的权力行使必须准确把握合理且必要的尺度，才能有效维护公民个人利益、企业数据权益与社会公共利益之间的动态平衡，推动有效市场与有为政府的良性结合，构建公正有序的网络社会运行秩序。

（一）明确企业“数据协助”义务的具体内容

为企业设定“数据协助”义务基本属于全球共识，各个国家和地区或者依托国内立法或者通过订立国际公约，规定网络服务提供者应当履行“数据协助”义务以协助犯罪侦查部门开展调查活动。但我国的企业“数据协助”义务目前与其他国家仍存在一定差别，其中最主要的就是我们未对互联网企业进行类型化区分并规定差别化义务内容。据此，我们可依托义务履行主体类型化、义务履行范围明确化和义务指向行政管理部门具体化等领域，实现对企业“数据协助”义务的法治规范。

首先，类型化“数据协助”义务的主体。一是，以是否提供网络服务为判断标准，明确“数据协助”义务的主体为网络服务提供者，区别于制造业等传统企业。事实上，网络服务提供者的概念已在我国《网络安全法》《侵权责任法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《信息网络传播权保护条例》等法律规范中进行了广泛使用，将其界定为义务履行主体具有概念清晰且直观明确的优点。二是，以数据传输能力和具体服务内容为分类标准，将企业统一划分为以下三种类型：第一种是主要提供网络接入、域名注册的网络接入服务企业，包括以阿里云计算有限公司为代表的互联网资源协作服务企业和以网速科技股份有限公司为代表的内容分发网络企业；①工业和信息化部网站：《工业和信息化部关于清理规范互联网网络接入服务市场的通知》，http://www.cac.gov.cn/2017-01/23/c_1120366809.htm，访问日期：2021年7月20日。第二种是主要提供信息存储和缓存服务的网络内容服务企业，如云计算技术服务器或者视频、新闻网站等；第三种是主要提供信息检索、即时通信、购物交易等服务的网络平台服务企业，如腾讯、阿里巴巴等企业。三是，依托互联网企业类型差别化不同企业的“数据协助”义务：就网络接入服务企业而言，基于其主要作用是为网络用户提供联通现实世界与网络世界的技术服务，并不能接触到网络社会中产生或流通的数据，所以因不具备“数据协助”能力而被排除出义务主体范畴；就网络内容服务企业而言，由于其主要功能是为网络用户提供数据存储空间，无论是自动缓存服务还是长期的信息存储服务，都因为具备对所缓存或存储数据的支配能力而需要履行“数据协助”义务；就网络平台服务企业而言，因为其当前的“功能已经远远超出‘单纯通道’或技术保障……可以提供支付、购物、社交、招聘等多项综合服务……兼具主机、接入、信息缓存乃至整个平台运行框架提供与掌控者的角色”②敬力嘉：《论拒不履行网络安全管理义务罪——以网络中介服务者的刑事责任为中心展开》，《政治与法律》2017年第1期，第55页。，也当然属于“数据协助”义务的履行主体。

其次，厘清“数据协助”义务的客体。一是，当行政部门要求互联网企业履行“数据协助”义务时，必须以法律的明确规定作为前提。由于义务问题是一个极其复杂的问题，总是涉及不同主体间的关系，因此人们在讨论履行某种义务法律所要求的法定行为标准时，最好涉及特定的行为。③张民安、龚赛红：《法定义务在过错侵权责任中的地位》，《学术研究》2002年第8期，第68页。这就涉及有关行政管理部门要求互联网企业向其传输数据时，数据传输的行为要求、程序设定、保障措施等都必须有明确的法律法规作为依据，非因该正当且特定事由，行政机关不得要求企业实施该行为。如市场监督管理部门只有在依法查处网络交易违法行为时，才能要求网络交易经营者等主体提供其掌握的有关数据信息；①参见《网络交易监督管理办法》第34条：“市场监督管理部门在依法开展监督检查、案件调查、事故处置、缺陷消费品召回、消费争议处理等监管执法活动时，可以要求网络交易平台经营者提供有关的平台内经营者身份信息，商品或者服务信息，支付记录、物流快递、退换货以及售后等交易信息。网络交易平台经营者应当提供，并在技术方面积极配合市场监督管理部门开展网络交易违法行为监测工作。为网络交易经营者提供宣传推广、支付结算、物流快递、网络接入、服务器托管、虚拟主机、云服务、网站网页设计制作等服务的经营者（以下简称其他服务提供者），应当及时协助市场监督管理部门依法查处网络交易违法行为，提供其掌握的有关数据信息。”公安机关和国家安全机关只有在依法维护国家安全和侦查犯罪的活动时，才能够要求网络运营者为其提供相应的技术支持和协助。②参见《网络安全法》第28条：“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”二是，当“数据协助”义务涉及公民个人信息时，必须满足知情同意原则的要求。我国《个人信息保护法》第14条③参见《个人信息保护法》第14 条：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”明确规定，对于个人信息的处理应当在个人充分知情且书面或单独同意的前提下作出，如果处理目的、处理方式等发生变化的，还应当重新取得个人同意。虽然囿于立法技术的有限性与数据权益的多样性，我国当前立法对数据权属的明确界定与划分仍处于空白状态，但是数据承载了人格权、财产权以及与人格权、财产权相关的产权已属于学界共识。那么，无论数据权属如何界定、保护范式如何划分以及产权流转如何分类，只要互联网企业的数据处分行为涉及相关个人信息，就必须事先对其进行及时告知并获得同意，以维护网络用户对自身数据所具有的人格权益与支配性地位。三是，“数据协助”义务的履行范围，应当符合必要性限度和利益平衡原则。必要性限度要求当有关行政管理部门可通过自身能力获取相关数据时，就不得要求企业进行“数据协助”；而且，行政机关要求企业提供的数据内容不得超出其职能履行所需要的范畴。在当前企业数据资源构成其核心市场竞争力的背景下，行政部门要求企业传输的数据可能构成隶属商业秘密的数字资产，对此我们应在利益平衡原则的指引下区分场景适用规则，即当企业协助的数据内容涉及商业秘密时，要保留其拒绝提供的权利；当协助数据内容仅为一般经营性信息时，要赋予企业要求合理补偿成本的权利，以实现权利与义务的互动平衡。以亚马逊为例，美国政府依据《1986 年存储通信法》要求提供协查数据时，其对所收到的813份传票均仅提供了非内容数据，并且拒绝答复和部分答复分别占到145份和126份。④平台数据课题组：《互联网平台数据协助义务的域外实践及其对中国的启示》，《行政法论丛》2015 年第18 卷，第374页。

再次，构建“数据协助”义务相关行政部门的统筹协调机制。我国以行政区划、职责内容、职权性质等为标准设置的行政部门体系，具有引领价值导向、维护公共秩序、服务人民群众、捍卫国家安全等方面的优势，但也存在政府职能管理分散、部门沟通衔接不畅、职责重叠交叉的弊端。为此，立足企业“数据协助”行政部门具有多样性的立法现状，我们要从根本上明确国家和地方互联网信息办公室在规范“数据协助”行为中的核心领导地位，依托其落实互联网信息传播方针政策，推动互联网信息传播法制建设，以及指导、协调、督促有关部门加强互联网信息内容管理的职能，赋予其统筹协调具体行政管理部门的资格；与此同时，建立行政部门间的联席会议制度，在执法监管时针对具体问题召开会员会议，明确任务内容与职责分工，实现有效沟通、分工协作与相互监督。此外，还要积极利用与完善国家数据共享交换平台，实现行政部门内部的信息流通、跨部门的信息系统联通、重点领域数据的基础信息共享，确保企业可向任一执法监管部门履行“数据协助”义务，无须进行数据的重复传输，以保障数据安全。

（二）规范企业“数据协助”义务的责任后果

其一，补充规定“数据协助”义务的违法情形与区分标准。基于“数据协助”行为的违法性认定是承担相应责任后果的基础，因此需要先从类型化视角明确违法行为的可能情形。申言之，我们可将违反“数据协助”义务的情形细分为：拒绝传输数据、不及时传输数据、不完全传输数据、部分传输数据、虚假传输数据和不按照规定形式传输数据等。此外，积极利用列举式立法的技术方法，明确“数据协助”义务的“情节严重”界定标准。参考《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》①参见《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第4条：“拒不履行信息网络安全管理义务，致使用户信息泄露，具有下列情形之一的，应当认定为刑法第二百八十六条之一第一款第二项规定的‘造成严重后果’……”；第5 条：“拒不履行信息网络安全管理义务，致使影响定罪量刑的刑事案件证据灭失，具有下列情形之一的，应当认定为刑法第二百八十六条之一第一款第三项规定的‘情节严重’……”；第6 条：“拒不履行信息网络安全管理义务，具有下列情形之一的，应当认定为刑法第二百八十六条之一第一款第四项规定的‘有其他严重情节’……”。第四条、第五条与第六条的规定，明确企业拒不履行“数据协助”义务达到“情节严重”程度的情形包括：致使个人信息泄露达到一定数量的、造成重大经济损失的、严重扰乱社会秩序的、致使影响定罪量刑证据灭失的、多次责令改正却拒不改正的等等；同时，基于网络社会发展的快速性与技术进阶性，在立法时要设定一项“其他情形”作为兜底性条款，以保障立法的稳定性与科学性。

其二，细化责任后果的适用场景规定，明确不同责任方式间的衔接标准。民事、刑事与行政责任的不同，既源于所保护法益的差别，也在于侵权违法行为的社会危险性程度。基于企业“数据协助”义务同时涉及个人利益、企业利益和社会公共利益，只有将上述三种责任方式进行系统权衡，才能确保侵权行为与责任后果的一致性。一是，要充分利用行政处罚相较于民事、刑法责任所具有的执法高效性、成本低廉性和规范快速性优势，要求违反“数据协助”义务的企业优先承担行政处罚责任。二是，要主动利用刑法的制裁严厉性与适用补充性特点，当违反企业“数据协助”义务的危害性后果涉及刑法所保护的公民财产所有权或人身权时，可适用《刑法修正案（九）》第286条之拒不履行信息网络安全义务罪等罪名进行规制，有效发挥刑法的威慑力。三是，当“数据协助”义务致使个人数据权利或企业数据利益受到侵害时，应允许个人或企业依据《民法典》《反不正当竞争法》等法律规范提起维权诉讼，要求相关责任主体承担停止侵害、恢复原状或赔偿损失等责任后果。此外，针对行政处罚责任中的罚款数额规定，可以统一适用《网络安全法》《数据安全法》中的一致规定，既是因为《网络安全法》《数据安全法》与《国家安全法》等属于同一位阶的法律，更是因为其规定了与网络、数据最直接、最相关和最重要的内容，罚款数额对于规范企业“数据协助”义务具有前沿性、相关性与可行性。据此，当企业违反“数据协助”义务时需要承担“五万元以上五十万元以下”罚款，同时直接责任人员在情节严重时并处“一万元以上十万元以下”罚款。

其三，统一数据技术标准，畅通企业“数据协助”通道。一方面，针对“数据协助”义务中隐藏的数据存储期限要求，现行立法主要依据企业经营业务范围和数据重要程度确定，如购物交易相关的数据保存期限为2 至5 年不等，②参见《电子商务法》第31条规定。金融、银行相关数据保存期限为5 年或20 年，③参见《反洗钱法》第19条规定。与互联网直播服务或新闻出版相关的服务则是60 日，④参见《互联网直播服务管理规定》第16条之规定。等等。为此，基于“立法的稳定程度直接影响着社会公众的法律理念，并进而影响到其对法律的整体信仰”①刘长秋：《浅论法律的变动性权威瑕疵及其矫正——兼论法律稳定性与适应性的协调》，《同济大学学报（社会科学版）》2004年第6期，第61页。，因此我们可以采用“普通法与特别法”相结合的方式，已有立法继续沿用既存的数据存储期限规定，但在后续立法时必须保证同一行业的体系化与一致性；同时，参考《网络犯罪公约》和英国《数据保存与侦查权法案》的相关规定，为企业的数据保存期限设置最高门槛，并且主动出台激励政策鼓励企业积极研发数据存储关键技术，不断增强数据存储能力和降低数据存储成本。另一方面，针对“数据协助”义务中的技术标准要求：在数据表达方式上要强化数据的机器可读性和可互操作性，规范数据开放格式，有效降低数据的开发利用成本；在应用程序接口设置上，要提高政企数据技术研发投入，制定出具有广泛适用性的数据应用逻辑框架和程序架构，实现政企数据的流畅共享；在数据挖掘能力上，政府要不断提高行政部门的数字使用能力，强化部门工作人员的数字素养，强化数字政府建设力度；在数据传输平台建设上，要制定数据对接、传输和使用的规范细则，有效预防“数据协助”过程中可能出现的安全风险。

（三）保障企业“数据协助”义务的程序正义

“真实世界中的人们不仅希求结果的公平，更追求程序上的公正”②丁建峰：《博弈论视角下的过程偏好与程序正义——一个整合性的解释框架》，《北京大学学报（哲学社会科学版）》2019年第3期，第124页。，程序正义作为承载现代行政程序的基本价值取向，某种程度上属于一国法治建设水平的缩影。为此，有学者主张“网络服务商的信息披露程序如何有效设计和运行，涉及到权利人的保护、用户隐私及数据信息保护、言论自由、社会公共利益之间的痛苦平衡，也与网络服务商的命运息息相关，关系到互联网行业发展的根基”③李颖：《论网络服务商信息披露义务与个人数据信息保护的平衡与博弈》，《法律适用》2013年第8期，第20页。。行政管理部门作为企业“数据协助”义务的指向主体，其执法监管权力只有被锁在程序正义的笼子里，才能有效规制行政权力的滥用，维护结果正义与政府公信力。

从事前监督的视角，行政管理部门在要求企业履行“数据协助”义务时，必须事先向企业说明理由，包括数据使用目的、使用方式和使用范围等内容，同时需要采用或签发合法有效的相关行政令状，确保企业享有事前监督的合法权利，以及在合法权益受到侵犯时拥有切实的维权依据。在特殊的紧急情况下，行政管理部门确实对于行政令状的事先签发存在困难的，可以后续书面说明理由并补充签发令状，以确保行政机关履行执法监管职能的目的正当性与手段合理性。从事中参与的视角，主要包括三方面内容：一是，行政管理部门需要给予企业全程参与的机会，包括企业能够充分表达自身的意见和建议，对数据传输、使用、安全、保存的全环节监督，使得企业在用户个人数据权利或企业商业秘密存在被侵权风险时，能够对有关行政部门进行及时提醒并要求其采取相应措施，将可能的利益损失降到最低。二是，行政管理部门要尽可能提高行政效率和降低企业协助成本，包括对所需协助数据范畴应尽可能地明确化与最小化，采取企业可接受、可实施的技术传输方案，主动运用数据安全保存技术措施，以减轻企业技术负累与经济负担。三是，行政管理部门应当允许企业向其提出“数据协助”异议，即要给予企业拒绝的权利或规定合理的例外情形，实现权利与义务的统一。从事后救济的视角，为防止行政管理部门的行政权力专断、滥用与不当扩张，要赋予企业或个人在合法权益受到侵犯时的救济权利，促使行政部门能够“同等情况同样对待”“类似案件类似处理”，实现“数据协助”义务的法律效果和社会效果的统一。

结语

进入数字时代，生产要素、行为方式、生活方式不断发生着重大解组与重建，史无前例的经济、社会发展范式转换推动法治范式不断转型，互联网企业同时拥有了政府赋予的“监管权”与依托业态模式形成的“技术规制权”，在事实上成为网络空间多元化治理主体。①马长山：《数字社会的治理逻辑及其法治化展开》，《法律科学（西北政法大学学报）》2020年第5期，第5页。基于权力的行使与义务的设定是一体之两翼、驱动之双轮，只有做到协调一致才能平衡推进，互联网企业在网络社会拥有的治理权力要求其必须同时承担“数据协助”义务。那么，在企业“数据协助”义务涉及个人数据权利、企业数据利益与社会公共利益的背景下，只有充分运用法治思维与法治方式，把握网络社会治理法治规律，才能有效破解权利与权力、权力与义务、权利与义务的冲突困境，实现数据治理主体多元化与数据治理体系的完备化。但是，基于以新一代信息技术为代表的科技革命方兴未艾，数据治理仍面临机遇与风险并存、发展与安全并重的严峻挑战，因此，我国想要实现网络社会治理从“数字”到“数智”的变革，突破全球数据治理的“规则合围”，还应在数据权属标准统一、数据保护共识形成、数据治理规则制定等方面作出更多的实践探索和制度创新，坚持在法治轨道上逐步建构数据治理的中国模式。