大数据监管法律问题研究

刘新慧，洪润萌

(上海政法学院，上海 201701)

近年来，电商兴起，“支付宝”“微信”等电子支付平台得到了广泛应用。数据的深度应用已渗透到人们生活的方方面面，在海量数据交错流通的各个环节，大数据监管成为维护正常数据处理秩序的防火墙。我国数据保护立法进程也一直处于积极前行探索中，从《网络安全法》到《数据安全法》的出台，将数据作为监管对象来进行规制，是我国数据信息管理的巨大进步。

1 大数据监管

1.1 数据与大数据

数据是任何以电子或其他方式对信息的记录，随着数据分析技术的进步，大量数据在经过加工后延伸出“大数据”概念。关于大数据的定义，学界尚没有统一的定论，不同角度对大数据概括不尽相同。从方法论层面看，大数据是一种全新的思维方式，利用强关联关系得到解决方案。从大数据的历史看，根据马丁·希尔伯特的总结，大数据是在2000年后因为信息交换、存储、处理三方进步而产生的数据[1]。尽管对大数据的研究侧重点不同，但其基本特征已被认可，即 4V 特征。大数据是兼具大容量(Volume)、种类繁多(Variety)、价值性(Value)、流转性(Velocity)的数据资源或信息资产并根据强关联进行加工整合的具有价值性的数据集合[2]。

1.2 大数据监管体系

有学者认为，大数据监管仅是监管依托数据基础的体量发生了变化，虽然效率上有所提高，但其特征仍与传统监管类似。也有学者将大数据监管等同于互联网监管，对网络监管起到补充作用。还有学者认为，大数据监管与监管完全不同，无法混为一谈。

数据监管是对数据从收集、流转、应用全过程进行监管，对侵犯数据主体权益的行为进行规制，如隐蔽化收集、滥用数据、违法交易数据等不良数据违法行为。大数据监管与数据监管相比，依托的背景不再是松散的个别数据，而是经过数据处理、挖掘数据价值共性的数据集合。大数据监管是在大数据技术背景下对数据从收集到二次处理加工到具体使用进行全过程的监督体系。

大数据监管体系是指确立完善的数据监管规则，设置数据监管机构，分配相应的数据监管职权，形成自上而下的数据监管系统。政府相关职能部门是法定数据监管机构，而狭义上的数据监管体制仅指政府内部监管体系。广义上的大数据监管体制则是包含政府监管、行业自律监管、数据处理者自我监管的三方协同配合的全方位监管规则和体系。

2 大数据监管体系的重要作用

过去是将原始数据作为信息的单纯储存载体，而大数据是将原始数据的价值进行整合的结果，各大金融机构、市场主体面对数据背后的高经济价值开始了数据权属的竞争，数据使用往往直接影响主体的个人财产、隐私乃至经济发展。

2.1 数字经济新模式的需求

传统经济模式下的秩序规则已不足以对大数据面对的权益争端进行全覆盖应用，社会情况及经济模式需要监管制度的改革。从个人权益层面来看，对个体的财产、隐私等权利的保护是法律的重要任务，数据发掘的深入使得隐私领域范围不断扩大，原本的非核心隐私信息也可通过加工具备识别性；从社会公共利益层面来看，各类大数据系统的引入。使得社会治理更加复杂多变。传统信息监管多以穷尽列举数据使用可能的方式，在数据使用双方当事人知情许可下进行数据使用的规制。目前，万物互联，数据使用渗透到了各个领域，列举数据所有用途不再现实，继续使用穷尽列举许可对于人力、技术、时间的成本消耗都是巨额的，因此传统监管模式亟待更新。

传统监管的局限正是大数据监管的优势所在，将大数据广泛应用于各大治理系统，利用数据的关联性、流通性进行预先分析、判断、分层次监管，克服了传统监管的盲点。相对于早期局限于特定类型的数据(如国土空间资源)，目前的数据分析已经遍布公共安全服务、经济金融领域，可保证数据权属明晰，精准监管数据处理流程，保障大数据算法系统的运行高效，便于政府监管决策科学，令行业自律监管达到应有的效果。相比于传统监管，大数据监管高效挖掘数据价值，精准降低数据相关风险，是最有效、最直接的监管方式。

2.2 数据立法全球新格局的应对

万物互联时代，数据经济价值的提升带来的是商业模式的革新及数据处理行为方式的多变。各国对于数据监管日益重视，但对于数据监管立法理念差异极大。部分国家将数据监管纳入隐私监管行列，将数据信息作为维护个体隐私权，从广义的人权保护进行监管。部分国家以公平交易对消费弱势群体提出保护主义，以维护市场公平为核心进行监管。以欧盟为例，建立了GDPR，从2018年起草完成到2019年底25个欧盟员国达成共识，接受适用，是欧洲数据监管规则的里程碑。其他非欧盟成员也在GDPR的基础上建立了国内的数据隐私保障法规。2018年开始，世界各国数据保护立法进程加速，巴西在GDPR的启发下通过了本国的数据保护法《The General Data Protection Law》(GDPL)。此外，印度的PDP、泰国的PDPA等亦然。阿联酋则采用分散监管方法，但并没有出台一部统一的数据保护法规对各领域的数据进行监管。当下，数据监管立法趋势已不可逆转，已经出台数据监管相关法律的国家陆续进行修订，尚未立法的国家正在制定新的法律，全世界的数据监管立法发生着巨大的变化。

面对数据经济化，各领域的数据监管都有着自己的监管框架，监管机构的架设、监管职责的分配、监管的惩戒措施也在各自标准框架下进行更新。

2.3 数据安全新形势的要求

作为数字经济的核心，数据已成为世界经济贸易的主要驱动要素。贸易全球化背景下，数据跨境流通成为常态，而流通数据的规制成为数据治理的核心，且对数据监管提出了新的挑战。数据跨境流通的自由程度及流通产生的个人信息保护问题都需要细致明确的法律规定，一旦数据跨境流通泄露了国家战略政策等，将会使国家在世界大国博弈中处于弱势地位，造成巨大损失。

大数据时代意味着诸多重要经济价值的商业机密数据，如生物基因识别、政务类机密数据等，一旦泄露，造成的损失通常是巨大的，难以弥补的，精准规避数据泄露事件的发生是大数据监管面对的巨大挑战。

3 我国数据监管体系的相关法律

3.1 数据监管立法

宏观层面，《国家安全法》《网络安全法》《网络安全审查办法》《数据安全法》4部法律构成了我国数据保护法规框架，其中《数据安全法》是我国第一部针对数据安全领域的专门法律。微观层面，2016年，贵州省在全国率先出台大数据地方性法规《贵州省大数据发展应用促进条例》，着眼于大数据发展应用的一系列环节和数据共享开放、数据安全等重点内容进行规范调整。与贵州省相比，广东省深圳市在大数据方面的立法更具综合性。2021年6月29日通过的《深圳经济特区数据条例》是我国首部数据领域的地方综合性专门立法[3]。

大数据监管在学术上、司法实践中多考虑以企业、组织等为典型主体，同大数据跨界流通现状并不适配，这限制了大数据监管的发挥。大数据监管中，监管规制的热点集中于数据流通涉及的个人信息安全和流通自由度限制问题，一是个人信息保护范畴扩大。传统隐私权一般涉个人身份确认类信息，如各类社交账号、手机号码等。但大数据时代的隐私内容不再只是个人信息的罗列，数据加工技术进步带来的是个人隐私权保护范畴变大，原本并不需要特别保护的、不具有指向性的基础信息在数据时代由于可作为分析出核心信息的工具也需要纳入法律保护范围。例如：凭借购物小票、交通工具记录即可识别80%的人口。凭借最简单的信息进行分析整合，能得到信息主体的性格类别、消费倾向、选择决策等核心隐私信息。传统监管理念不足以适应权益保障的扩大需求，亟待革新。二是数据流通规则的供需失衡。由于跨境流通日常化，不论是数据直接跨境流通还是开放权限，允许外国访问的模式，数据规制都需要在保证数据流通创造价值的同时监管好数据流通的自由度。当下数据跨境流通规制多嵌于区域或多边的自由贸易协定中，各个国家数据流通规则不一致，导致了贸易壁垒。制度的更新跟不上数字经济的快速发展，数据跨境流动的制度供给与需求不平衡，国际法治匮乏，在全球范围内存在“制度赤字”现象。

法律制度设计的先天滞后与原则先行局限于法律自身特点，法律制度设计必然滞后于数字经济时代的飞速发展，数据相关法规仍处于不断完善阶段，相对于迅猛发展的大数据交易产业存在着诸多监管空白领域。不法数据交易背后的隐患，不单单是单纯数据的得利，还常常作为犯罪手段引发下游犯罪，各式电信诈骗正是利用不法渠道搜集数据信息，获取信任，谋取不法利益。除了电信诈骗，“大数据杀熟”也是一大监管问题，利用数据分析用户信息后进行价格歧视及数据造假(如刷单)，以销量带货来吸引普通用户等都是传统监管难以应对的行业乱象。数据违法主体日渐复杂，不仅是交易双方还有第三方平台加入。但目前，尚未出台规制第三方平台过度收集数据的垄断行为。正视法律制度设计存在的先天滞后性问题，积极提前明晰监管原则才能实现有效监管，保障正常有序的数据流通。

3.2 数据监管执法

政府监管是将监管理念转变为维护公共利益理论，不再只是市场失灵的补救，而注重兼顾交易与公平竞争，实现社会资源分配的最优化，确保市场主体利益及市场稳定发展。一是数据监管执法主体意识有待强化。作为权力主体的政府机关，既是规则的制定者也是市场的参与者，自我监管使得政府监管需要更完善的监管程序规制，明确正确的监管理念(监管的目的、方式、结果)，对行政机关监管职权进行分配制衡。《数据安全法》的出台是我国数据治理的里程碑，但监管仍滞后于数据产业的发展，需要明确专门的数据监管部门，厘清职权界限。二是数据监管执法规则有待确立。随着大数据时代的到来，数据分析处理问题逐渐复杂，不再局限于某些特定行业数据，呈现跨专业趋势、数据财产化趋势，这使得数据处理行为与市场交易交织，仅靠政府监管不足以覆盖全部监管需要，因此需尽快明确系统的监管标准。政府对于数据监管通常是根据数据类别或涉及的权益类别(人身、财产)划归不同管理机构进行附带审查。可考虑整合分散的数据监管机构，提高各类数据共享的开放性，加强监管流程效率，完善因监管方过错导致信息主体权益受损后的救济途径，关注数据维权司法实践，使主体数据权益得到切实充分保证。

4 我国大数据监管体系的思路探索

4.1 更新监管理念

行业数据化转变需要监管理念的更新，以适应行业运转现状，主要包括以下几个方面：

一是由“命令控制型监管”转向“适应性监管”。金字塔式、条块分割、静态的监管理念已不适应金融科技和大数据快速发展的需要，应加强动态监管，随行业变化来调整政策和监管制度。二是发挥监管“功能性特点”。不同种类数据流通、用途均有所不同，应区分类别进行针对性监管，推行科学、有利于行业发展的人性化监管措施，为技术创新发展保留一定的容错空间，同时完善恶性事件的追责机制。三是明确综合协调式监管是大数据要素同监管结合、发挥各方监管主体从不同层次进行有效监管的新监管形式。

4.2 完善监管法律规范

一是以基本法为基础，建立完善的法律监管体系。为了数字经济时代的监管工作有法可依，新法的修订、旧法的完善刻不容缓，必须使立法能够满足数据监管的需要。在国家基本安全观的指导下，以RCEP推动力对相关数据跨境流动规则进行修改完善，以促进数据治理体系的良性发展。应发挥数据大国优势，在数据安全与数据流通之间寻求良好平衡。

二是中央地方双位一体化大数据监管制度。成熟的监管制度需要从中央到地方的贯彻执行，地方在宏观规则的指导下应积极发挥能动性。应持续开展数据跨境流动试点工作，如“数据自由港”的试行，研究法规条例在开放、保护数据之间的平衡，根据实际的应用成果总结经验，避免一刀切的数据流动壁垒规则，探索符合地方特点、符合中国国情的数据流动监管方案。

三是为世界数据监管规则贡献中国智慧。当下对于数据跨境流通需要借助自身在数字经济领域、隐私信息保护的优势地位，引领世界数据经济流通规则，在世界数据监管规则制定中争取更多的话语权。目前，作为突破欧美单一性数据规制选择的RCEP(我国首个嵌入数据跨境流动规则条款的自由贸易协定)创造了新模式，以数据主权、数据安全为本，尊重不同国家的发展差异，以包容合作态度实现数据治理，最终构建全球数字经济体。我国的数据监管理念与此基本相同，因此在数据治理体系下，应加快推动数据跨境自由流动，加强与国际社会的合作，不断扩大数据跨境流动的规则交汇，实现规则趋同，推广数据跨境流动治理的中国方案。

4.3 加强其他监管配套机制的设计

4.3.1 政府监管层面

政府是法定的监管主体，监管效力高低将直接影响数据行业的发展进程。大数据时代，政府监管面对的是更为复杂的数据环境及一系列大数据技术带来的新风险。为了适应环境的变化，实现最优化治理，“循数”治理理念是政府监管的必然选择，运用大数据来分析社会舆情，提前发现、预测社会问题，可大幅度提升政府治理效能[4]。加强政府监管可从以下角度进行：一是打造“一体化监管”线上平台，搭配线下“一窗式”综合办公终端与标准化的政务平台，确立一致的数据监管标准细则，充分发挥政府监管实效，将监管同智能技术接轨，用科学监管抵抗科技风险，实现人工智能办公，避免人力的局限性。跨部门监管不再需要冗杂的流程，而是由机器高效执行，节约了成本，对腐败问题进行了有效制约，促进实现政府人性化服务和高效监管的目标。二是政府监管需要进一步提高数据开放性，建立云数据共享中心，融合传统数据中心、云储存、云计算技术的优点[5]，打破数据隔阂，充分发挥大数据的优势，建立安全、绿色、高效的政府监管框架，避免数据资源利用率低、各自为政式监管或重复监管等弊端。

4.3.2 社会监管层面

社会监管是社会对于经济政治文化等多领域按照国家标准政策进行监管。传统社会治理大多局限于学术研究，大数据时代，从数据的来源、流通到最终应用，仅依靠国家层面的宏观政府监管，成本较高，而智能化社会监管的加入弥补了政府监管的不足，从网络化数字平台、数据预警、多源数据处理分析系统三方面构建了完整的社会监管体系，与政府监管协调配合，形成了多主体监管体制。一是网格数字管理平台。政府将区域网格化划分或以社区为单位，制定相应规则，由各区域(社区)实现真正的社区治理。在宏观政策的指导下，对内部区域进行自治的同时，通过政府社区互联的网络化数字管理平台反馈及留存监管记录，便于进行复查核对，实现社会统一细化的监控管理，城市治理不再浮于表面，真正做到了有针对性且总体标准一致化的监管。二是数据预警机制。通过数据监控和数据收集，将各种数据进行智能筛选和识别，对异常情况进行预警，反馈到城市管理平台。积极鼓励民众参与数据安全环境建构，重视民众在平台举报的社会不安全因素的数据违规事件，对社会潜在的风险和危机进行预警管控。三是多渠道数据处理分析。智慧政府和社会监管依托的是发达的数据分析技术和海量的数据基础，如果没有足够的数据支撑，决策科学性必然失去保障，这不仅是社会治理的重要要素，也是大数据有效监管的前置条件。

4.3.3 多主体统筹监管体制建设

面对日益复杂的数据风险，多行业、多主体交叉。单一的监管主体难以胜任繁重的监管任务，尤其是面对系统性重大风险，监管的执行需要多方主体协同配合。政府监管、社会监管、行业监管、自我监管，每个层次都是监管体制不可或缺的组成部分。协调监管不仅是执行层面的需要，也是科学决策的需要。单一主体面对数据风险的判断不可避免地存在局限性，而多方主体不仅是配合也是互相制衡，仅依靠单一主体决策与自我审查容易造成问题失察，不利于错误纠正，而多方主体的监管可达成稳定的闭环监管体制，是数据时代进行精细化、全覆盖监管的必然选择。

为了更好地服务市场，维护公平的市场秩序，保障主体权益，将大数据技术应用于监管中，防止数据风险及一系列的社会危机，是政府监管体制改革的重要任务，是实现简放政权、治理能力与治理体系现代化的新时代课题[6]。

5 结语

“突破传统监管的局限，适应新时代的治理需要”是监管体制改革的核心。需全面梳理大数据监管工作中的法律问题，从健全制度、转变职能、强化监督三个方面采取切实有效的措施，统一监管标准，建立自上而下多主体统筹监管机制，以满足数字经济时代数据监管的需求，确保我国在新经济时代的产业发展持续迸发蓬勃生命力，维护国家的长治久安，保障社会稳定，捍卫人民权益。