大数据时代背景下数据安全法治问题研究

刘琳璘

(河南警察学院 网络安全系,河南 郑州 450046)

信息技术的发展,使数据成为连接网络空间与现实空间的纽带。信息化进程的新阶段表现为数据快速发展为新一代重要的信息技术、服务与管理方法。在此技术手段下数据成为知识发现、价值创造、能力提升的重要战略性资源。一旦这种数据资源被非法窃取利用就会给社会公共安全造成巨大的损失与危害,在多个领域产生连锁性反应,给国家安全和公民权利造成严重侵害。因此,数据安全问题成为国家安全的重要组成部分。

一、大数据时代数据安全的法治机理与价值定位

大数据是信息技术发展的必然产物,大数据时代的到来是信息化进程的新阶段,它推动了数字经济的形成与繁荣。而数据既是现代化信息交流、服务与管理的重要方式与途径,也是经济和社会发展不可或缺的战略性资源[1]。换言之,数据安全事关国家安全与发展以及社会稳定,是国家安全的一个重要方面,是当前大数据时代数字社会、数字政府、数字经济建设中亟待应对和解决的重要挑战。

(一)全新安全形势下数据安全治理的法治基础

伴随信息技术发展,传承上百年的人类物理世界逐渐转换为数字世界,2021年更被众多媒体称为“元宇宙”元年[2],人类正式迈入数据时代。由此基于传统单纯物理世界的生产关系、生活模式与社会秩序等都面临着复杂而深刻的转变与重建。大数据时代的到来突破了物理时空中的“固态社会”,形成了一个既包括现实物理世界又包含数据重建的“液态社会”[3]。由此也带来全新安全形势的变化,在物理世界的传统社会安全问题上,大数据时代碎片化、平行化、流动化的社会关系和社会结构带来了更多网络安全与数据安全问题,如算法歧视、数据鸿沟、撞库打码、删库跑路等。现代法治作为一种生活方式,业已成为公众之间、个人与政府之间以及社会组织之间重要自我调节机制,是现代化语境中的一种社会秩序生成方式[4],也是国家治理现代化转型的重要路径和手段。故而数据安全治理的转型也必须建立在法治基础上,运用法治手段走法治化路径。

数据安全治理的法治基础主要表现在三个方面:其一,安全治理的法治必然性。数据安全的实现离不开秩序规则,大数据时代全新数字社会的发展仰仗和依赖的同样也是现代法治社会确立和重新创制的秩序规则。唯有通过法治路径才能对数据安全中公众的经验性预期及各领域学者的理论性预期作技术性整合,逐步形成数据安全治理的基本秩序规则。换言之,数据安全治理的法治必然性来源于人类在数字世界中对交往互动行为及其活动有序性与安全性的渴求与期望,而法律就是“使人类行为服从规则治理的事业”[5]。其二,安全治理的法治原则确立。大数据时代数据安全治理相较其他社会领域更为复杂,它既表现为针对智能科技、信息技术的极强专业性,又具有面向社会各领域、各行业及公众的广泛覆盖性。因此法律和科技共治原则成为必然,即在数据安全治理中要将法律防控的保障性作用与技术防控的基础性作用有机融合,推进数字世界中制度优势和科技优势的深度融合,使代码规制与法律规则、算法与国法相辅相成,既能提升数据安全风险防控质量和效率,又能以法律的确定性、强制性和权威性强化相关科技人员的数据安全防控责任[6]。其三,安全治理的法制体系构建。数据安全秩序形成与保障的实现关键在于法律规范的确立和维护,因此法律制度体系的构建是数据安全治理重要的法治基础。当前我国业已形成了以《中华人民共和国网络安全法》《中华人民共和国数据安全法》(以下简称《数据安全法》)《中华人民共和国个人信息保护法》等相关法律为核心,包含《关键信息基础设施安全保护条例》《计算机信息系统安全保护条例》《贵州省大数据安全保障条例》等行政法规和地方性法规构成的数据安全法制体系。这一体系虽初具雏形,但面对日新月异的数字技术变革和大数据时代数字社会的发展,在诸多方面仍存在较多不足和空白,亟待补充完善。

(二)数据安全法治的价值定位

2017年12月8日,习近平总书记在中共中央政治局就实施国家大数据战略进行第二次集体学习时指出:“数据安全应强调对国家关键数据资源保护,加强政策、监管、法律的统筹协调,加快法规制度建设,制定数据资源确权、开放、流通、交易相关制度。加强数据安全管理,规范互联网企业、机构对个人信息的采集使用。”[7]依此基本思路,笔者认为数据安全法治目标和价值应从微观、中观和宏观三个层面具体定位。首先,在微观数据资源利用层面上,要以数据质量保障为基础。数据质量保障主要指在数据采集过程中通过支持数据归集管理、质量管理、安全管理的技术与行政手段,防止出现数据丢失、数据失真、数据伪造等质量问题,保证数据质量和安全,这是数据资源利用的前提和基础,一旦数据质量出现问题,不仅会严重影响数据使用的效率和利用效果,而且会滋生潜在的数据违法及犯罪行为,后果极其严重。当前数据资源主要来源于三个途径,即人们在互联网活动中产生的数据、各类计算机系统产生的数据、各类数字设备记录的数据。这些海量数据既有同构数据,也包含大量的异构数据,目标数据经常会受噪声数据的干扰,必须通过预处理技术进行“去噪”和“去脏”,形成具有一定逻辑性的统一数据库,并运用压缩和分类分层策略进行集约式处理,来保障数据的准确性、完整性和一致性[8]。故而微观数据层面上,数据安全治理必须针对数据清理、数据集成、数据规约与数据转换进行技术保障与法律规制。其次,在中观数据权利保障层面上,要以公民数据权利的尊重与保障为原则。我国民法典对公民隐私权和个人信息保护作出相关规定,学界也基于“权利束”理论对数据权利的人格权、财产权等多重权利属性进行了论证与研究[9],数据安全治理涉及多元主体的参与和配合,其中协调配合的基本原则就是对公民数据权利的尊重与保障,这也是现代化法治中国建设的基本要求。而核心问题就是数据隐私权的保护,在数据的收集、流转、存储、使用过程中,必须防止个人数据尤其是涉及隐私权的数据被泄露及非法使用。数据安全治理必须坚持数据权利保护原则,唯其如此,才能有效地平衡隐私保护与数据利用、数据安全之间的关系。如果一味强调利用而不强调保护,最终会妨碍数据资源的发展和技术创新,也不利于对数字社会人格尊严的维护。而一旦个人数据权益不能受到必要保护,公众产生怀疑与防范心理,不敢授权个人数据,就会反向妨碍数据的利用和流通。最后,在宏观数据安全保护层面,要侧重从数据的全生命周期角度,审视建构数据从产生到消亡整个过程的数据安全防护策略,实现数据共享协同过程中可能导致的直接影响有关国家主权、公共利益、公众个人安全的政治风险和社会威胁的防范与化解。在公共安全与应急管理中,数据安全思维与意识必须重塑,才能提升应急管理机制下数据的适应性和有效性,实现数据公共安全治理法治方式变革。具言之,围绕数据收集、数据存储、数据修改、数据使用、数据公布与数据删除等整个数据生命周期过程,要在法律框架下设计科学合理的数据规则,既要保证数据流动的价值,又要保障数据安全的实现。过度强调专网建设、数据壁垒、数据鸿沟等做法,会造成社会治理成本上升、治理效率低下、数据资源浪费等问题,并与大数据时代数字经济发展相背而行。因此数据安全治理应注重组织建设和技术支撑,成立数据安全法治专业组织机构,培养专业人员,建立完整的数据安全预警、处理、备案审查等过程防控体系,加大对数据访问管控、数据存储加工加密、数据访问异常行为分析等安全治理技术研究和创新应用。

二、我国法治进程中数据安全治理的法治瓶颈与反思

党的十八大以来,习近平总书记围绕全面依法治国提出了一系列新理念新思想新战略,为新时代深化依法治国实践,加快建设社会主义法治国家提供了根本遵循。他指出,网络空间不是“法外之地”,同样要讲法治,要坚持安全用网保障和权利保护相结合,加强对网络空间个人隐私以及名誉权、财产权等合法权益的保护[10]。因此,数据安全治理必须坚持法治原则和法治路径,才能有效防范和应对数字社会发展中的各类安全风险和挑战。

(一)数据安全治理面临的法治问题与困境

大数据推动了一次全新的时代转型,也是一场生活、工作与思维的大变革。数据安全治理正是基于大数据发展对国家、社会组织结构和治理模式的深刻影响,为更好实现公共安全维护、公民权利保障,提供技术支持与助力。总体国家安全观对数据安全在数字鸿沟、个人隐私及算法正义等方面的法律制度建设亦提出全新要求,强调秉承以人为中心、基于事实的政策导向[11]。由于数据具有资源广泛性、来源复杂性、种类多样性,极易成为黑客、不法分子及敌对势力窃取和攻击的目标,同时数据安全治理主体由于缺乏相关数据法治意识,也存在非法滥用数据资源等问题。相较此类一般治理问题,笔者认为我们当下亟须解决与应对的数据安全治理深层次法治问题与困境主要集中在以下三方面:

1.公共安全秩序维护与公民个人隐私保护的冲突与平衡

数据是数字智慧社会建设的重要技术手段与保障,它为反恐维稳、治安防控、精准预警、打击犯罪提供了关键信息和数据支持,在公共安全秩序维护方面发挥着重要作用。但在个人数据的收集与应用方面缺乏明晰的法律规制界限,存在着数据泄露或不当使用等现象。例如在一次针对公安机关工作人员的数据安全治理调研中,参与问卷1117人次中就有173人承认在工作中受人之托帮忙查询信息,占比15.49%;233人承认曾在工作中和同事共用一个账号密码登录数据平台,占比20.86%。这些行为极易造成公民个人数据信息的泄露与滥用,侵害当事人的个人隐私权。究其原因主要归结于数据安全标准体系尚不完善,隐私保护技术和相关法律法规尚不健全。此外数据所有权和使用权往往出现分离,导致基于公共安全秩序维护需求的数据采集和数据公开与个人隐私保护出现冲突。数据技术运用与公民数据资源收集是相辅相成、互相依赖的,大量多门类的公民数据信息对大数据时代下国家行政起着重要的支撑和助推作用,但由于国家公权力与公民私权利内在的属性冲突,致使国家机关在数据技术运用中较难把握公民数据信息采集使用与个人隐私保护的边界和平衡。

2.数据资源共享与专门业务保密的矛盾与化解

数据真正要发挥价值,需要汇聚、关联、融合来自政府、企业、行业组织以及公众等各个层面的资源,而政府掌握的数据是其中至关重要的组成部分。政府数据本质上是政府机构主导或参与开展行政事务和社会活动时所获得的数据。其采集数据的经费来自于公共财政,故而这些数据资源除了供国家机关自身利用外,理应向社会开放,成为国家机关在大数据时代提供的重要公共服务[12]。因此,数据的开放与资源共享成为必然,但政府数据涉及多项专业部门,自身就存在数据共享壁垒和数据孤岛现象,个别数据拥有者基于特殊业务保密要求及数据安全问题频发等原因,存在不愿、不敢开放共享的心理,从而导致部门之间、行业之间和组织层级之间数据资源都难以共享,更何况向社会开放。此外,数据资源共享还涉及效益评价与成本考量问题,政府部门与数据资源共享方之间的成本分摊、收益分配以及权责归属在法律上还有待明晰,如公民户籍信息是许多业务部门需要的数据,但如与其他部门或社会公众共享该项数据,不仅会增加国家机关额外工作量,也存在个人信息泄露的巨大风险。换言之,数据管理开放过程中,投入成本容易量化,但其因资源共享开放产生的安全技术压力与潜在安全风险却难以估量。

3.数据算法科学性与正义性的悖论与博弈

大数据应用中的数据分析算法往往直接决定或影响预测和决策,因而可能给公民个人利益乃至社会利益、国家安全带来影响和风险。面对社会现实问题解决时,算法设计会因不同评价标准而差异明显,算法设计者多数都是理工科的学科背景,设计中更多关注的是算法性能、代码大小、功耗、能耗等科学技术维度的目标与评测标准,欠缺社会价值、伦理规范和法律法规等方面的的知识与考量,因此算法设计中公平性、透明性、可解释性、隐私性等算法正义有所欠缺,造成现实中算法滥用、算法歧视、算法黑箱等诸多问题,成为数据算法科学性与正义性的悖论表现。因而,在算法设计时必须强调其对公民权利和社会公益的影响,参考所应用领域的价值规范。同时要注意避免算法模型中潜藏诸如地域、性别、年龄等歧视,避免机器偏见造成数据运用过程中对社会安全的负面作用。此外,还需注意算法可责性问题,尽可能使算法决策理由充分、过程透明,问责机制健全,尤其是与公民权利密切相关的执法领域,要注意算法透明度和可解释性,避免因算法黑箱致使公众对数据安全治理产生信任危机。

(二)数据安全治理的法治分析与反思

2021年我国颁布制定了《数据安全法》,为数据安全治理提供了基本的法律支持与保障。该法第四条(1)参见《数据安全法》第四条规定:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”明确将总体国家安全观确立为数据安全治理的理论指导。同时它坚持了总体国家安全观中安全与发展的辩证关系,专章规定了数据安全与发展问题。虽然《数据安全法》建构起我国基本的数据安全制度,确立了社会各主体的数据安全保护义务与职责,但由于其纲领性、原则性条款较多,在具体数据安全制度构建方面仅具指导意义,同时存在个人信息安全和数据安全之间界分不清等问题,致使近两年的数据安全治理存在一些突出现实问题与短板。

1.数据安全治理目标法治定位有所偏差

伴随信息技术的发展,数据资源在社会生活中发挥的作用在广度与深度上逐步拓展,成为数字社会重要技术支撑和手段。总体国家安全观强调既重视发展问题,又重视安全问题,《数据安全法》也提出要统筹协调数据安全与数据开发利用及产业发展关系,但在安全治理方面依旧存在着目标定位不准、治理理念不清等问题。一些政府机构和业务部门认为数据安全治理就是保证数据的绝对安全,因而拒绝数据共享和数据开放,造成数据孤岛、数据壁垒,制约了数据资源作用的发挥和价值的实现,这种独立化、绝对化的安全治理目标与数据资源自身开放共享的发展理念背道而驰。数据安全治理中的区块链技术作为一种颠覆性去中心化技术手段,打破已有的政府机构中心化管理机制,引入企业、平台、个人等利益相关方,借助分布式数据库、共识机制、智能合约和密码等技术手段为治理主体之间建立一套低成本的信任机制,在不同机构、主体间构建信任关系,在数据分散管理的同时,通过建立完善的数据共享使用机制,实现数据的集中应用。然而治理技术的有效运用,离不开治理理念的更新与目标的准确定位,否则将与数据安全的法治需求背道而驰,限制治理技术自身价值的发挥和实现。

2.数据安全治理主体之间法治配合度欠缺

做好国家安全工作,必须紧紧依靠人民,数据安全治理绝对不是政府机关一家之事,涉及政府、企业、平台和个人等多个利益相关方,既需要明确数据安全的标准规范,更需要治理主体在法律规范体系下履行各自的权利义务和责任,积极参与数据安全治理,进而实现共建共享共治。但由于我国数据安全法治保障体系正处于构建初期,虽然《数据安全法》规定了社会各主体在数据安全治理中的义务与职责,但在治理主体具体权责方面存在一定的宽泛性和粗放性,相应的地方立法在此方面也存在一定的滞后性,难以有效应对数据新技术和新应用带来的新问题。数据治理主体涉及政府、企业、第三方机构如行业组织、大型互联网平台运营者等多个利益相关方,仅依靠行业公约、行业自律、服务协议等道德伦理规制主体权责明显不够,各主体针对数据安全的利益诉求也存在较大差异性,如果欠缺必要的统筹协调机制,将难以激发其主动参与治理的积极性,限制其治理作用的发挥,因而必须利用各层级数据规约,提升法律治理的层次和力度,加大扩充法律治理的空间,才能真正敦促治理主体各方更好地履行各自的治理责任,有效发挥治理主体间的能动性,提升配合度,实现数据安全治理的效率和效果。

3.数据安全治理对象法治边界不够明晰

《数据安全法》明确规定了数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等,但对具体数据处理安全问题仅作了原则性规定(2)参见《数据安全法》第八条规定:“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。”,致使现实中数据安全治理对象法治边界模糊不清。数据处理平台多由数据中心、服务中心和应用中心三部分组成,数据中心负责数据采集、处理、存储,服务中心负责将数据层的数据资源构建成各种服务接口并发布,并与应用系统实现衔接,应用中心则负责为各部门机构提供具体实战应用,如风险排查管控、视频监控、轨迹分析等[13]。三个中心都涉及数据存储、使用的安全问题,也是数据安全治理的重点对象。但在具体治理过程中,数据如何在三个中心之间安全地流转、使用、开放、共享,亟待法律进一步明确和规范,构建深度数据安全治理的法治框架,重点解决治理对象安全防护碎片化、访问授权体系粗放化、安全标准的差异化等法治问题。同时,要重点针对云计算平台安全、大数据系统平台安全、云安全态势感知、数据终端安全等四个方面,明确安全治理的法律责任与义务,打造全方位立体式的数据安全治理法治保障体系。

4.数据安全治理手段的法治水平有待提升

全面提升国家安全能力要更加注重法治思维,更加注重科技赋能,更加注重基层基础[14]。在微观层面上,数据安全保障一直以来主要依靠信息技术手段,如数据加密技术、数据标签技术、区块链技术和统一鉴权技术等,涉及安全技术设计和操作问题,多由一些行业公司和技术人员掌控核心关键技术,在安全治理过程中这些主体的法治意识和素养往往至关重要,而相关法律责任与程序规范在此方面也存在空白,因而致使安全治理技术手段的法治保障不足。在宏观层面上,数据安全保障主要依靠数据分类和分级管理制度,通常数据在类别上分为个人数据、公共数据和其他数据三种类型,在级别上分为保密数据、敏感数据和公开数据三种层次,但这些不同类别、不同层级的数据在现实使用中存在数据类型不明确、敏感数据标准不确定、各类数据界限模糊、交叉重合等问题,法律上也鲜少对此进行细致的划分与规范,致使数据安全治理手段在标准化、规范化和法治化上存有瑕疵。

三、大数据时代数据安全法治框架的构建与实施

随着信息技术快速发展,大数据、算法和人工智能的结合正在掀起新一轮的时代变革。然而,数据发展带来的安全问题业已成为新时代人类面临的新型重大威胁之一,信息泄露、算法控制、算法歧视等现象对个人权利、社会利益乃至国家利益造成多重安全隐患。总体国家安全观强调要切实保障国家数据安全,处理好数据安全、网络空间治理等方面的挑战,并始终坚持在法治轨道上推进国家安全体系和能力现代化。因此可结合总体国家安全观的机理与整体布局,在法治框架下设计构建数据安全治理体系。

(一)数据安全法治框架的构建理念与向度

大数据体系构成复杂且分布范围广泛,政府数据、企业数据、个人数据等不同数据主体在公安网、侦控网、视频图像网、政务网、移动接入网都有设备部署,面临的安全风险和挑战不尽相同,各有特点,致使数据安全治理形势严峻。《数据安全法》在第五章对政务数据的安全与开放划定了法治边界。企业数据的权利属性在理论上仍存在争议,我国现行的《中华人民共和国民法典》(以下简称《民法典》)、《数据安全法》等法律法规均未予以明确,其数据安全问题分散在《数据安全法》及相关地方性法规之中,如《上海市数据条例》在第二章数据权益保障中对法人与非法人组织数据权益进行了规定。而《民法典》在第六章专门规定了隐私权和个人信息保护,明晰了个人数据安全的法治范畴与保障。我们必须结合三类不同数据主体的特点在治理方式与手段上凸出针对性与具体性。总之,面对当前快速发展的数字社会,数据安全治理必须不断更新治理理念,找准治理目标和定位,在遵循信息技术发展规律基础上,以规范的技术标准、科学严谨的法治路径构建治理框架和体系。

首先,构建数据安全法治框架必须秉承技术赋权下的权义平衡价值理念。传统法治理论之下,行政机关的公权力来源于公民私权利的让与或授予,故而公权力服从服务于私权利,这是基于传统市场经济体制基础上产生的法治思想与模式。而大数据时代网络科技与数字资源打破了传统的经济运行模式,数据信息成为新经济能源,也成为利益分配的一种重要手段。治理主体则在网络技术和数字技术运用中实现了自我赋权,在智能监控、人脸识别、数据追踪等技术运用中合法搜集、利用与干涉着公民私权利,个别平台与企业在参与治理过程中也通过技术赋权获得了技术规制权,如信息删除权、限制下单权、封号、下架、关店等,形成了技术权力化和权力技术化的治理逻辑与发展趋势。因而,这种技术赋权后的权力运行必须遵循权义平衡价值理念。具言之,无论治理主体权力是来源于传统私权利还是全新的数字技术,都必须遵循基本的权力与责任义务相统一原则。这种权力必须与基本的社会责任与义务相平衡,受限于法律的基本规范之下。亦即数据安全治理要秉承理性积极的态度,遵循数据资源流动、共享、使用、过滤、知化的运行需求,在自我赋权过程中明确数据安全治理主体相应的责任与义务,实现权力与义务的平衡、共享与规制的平衡。换言之,政务数据涉及国家秘密,企业数据涉及商业秘密,个人数据涉及个人隐私,在各自领域的数据收集、存储、使用、加工、传输、提供、公开等方面需要承担相应的数据安全监管职责与义务。

其次,构建数据安全法治框架必须明确法治向度。一是要在治理目标上准确定位。在技术赋权下治理主体经由技术路径获得了多项数据治理权力,这些权力一旦被滥用,不仅会侵犯公民的人身权和财产权,也会给社会稳定带来不可估量的破坏作用。总体国家安全观指导下的《数据安全法》为数据安全治理设定了总体目标,即规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。在此前提下还必须明确数据安全治理在两个层面的具体目标定位:其一,治理的直接目标是保障数据流动、共享、使用过程中的数据隐私、数据质量及全生命周期安全,从而更好实现数据资源的价值与作用;其二,治理的根本目标是为了运用数据技术维护保障公民及各类社会主体的各项权利在高速发展的数字社会中不被非法分子侵犯破坏,维护社会的和谐与稳定。

二是要实现治理主体之间在法治统领下的分工配合。数据安全治理必须依靠社会多元主体通力合作,要构建以政府为主导多元主体共同参与的协同治理机制。在治理主体之间形成“纵向融通、横向合作”的协调机制,一方面要保证在数据安全治理纵向国家机关上下级之间的协同联动一体化,对各级国家机关数据安全治理的权力边界和活动范围统一规定,明确各自的职责范围,防止出现“权责交叉”和“推诿扯皮”等问题;另一方面要不断拓宽与企业、行业组织以及社会公众等不同主体的横向合作渠道,发挥这些主体在数据安全治理中的积极作用,为数据安全治理营造良好的生态环境。

三是要明晰治理对象的法治边界与操作规范。加强数据安全治理必须不断推动相应的法律法规体系建设,加强对大数据技术的法律监管,并对数据过度采集、算法歧视、资源滥用、深度伪造等行为进行立法规制。同时加强数据全生命周期安全管理立法,明确数据的分类分级、去标识化、风险评估等内容,制定出台统一的数据安全标准与操作规范,尤其要在数据安全的技术标准、管理标准、平台标准、评估标准与质量标准方面精细化立法,保证立法结果的针对性和可操作性。此外,还必须明确数据采集、使用、共享等高风险环节的操作性规范,依法开展安全治理工作,加大对数据滥用、数据泄露、隐私侵犯等不法行为的惩处,推进数据安全监管的执法力度。

四是要强调治理手段的法治化与规范化。总体国家安全观强调运用法治方式推进国家安全体系和能力现代化。而数据安全治理方式从性质上分为技术性手段和行政性手段两种,两种手段的结合实现了技术要素与管理要素的系统集成[15]。当前需完善的重点是技术性手段的法治化和行政性手段的规范化。具体而言,在数据安全治理的技术治理层面上要加强法治约束与理念的灌输,提升技术人员的法治素养和思维,通过算法解释、算法公开、算法审计、算法问责等法治措施,保证在技术操作中的法律规制,避免算法滥用、算法偏见、算法黑箱等现象出现;而在数据安全治理的行政治理层面上要加强标准体系建设,对数据的类型进行综合分析、整理归纳,明确不同的数据类型标准,规范数据划分,并在此基础上依据不同数据类型、数据使用场景、数据的所有和使用主体等标准,建立规范的分级管理制度,制定明确的数据判断和识别方法,为数据使用者提供具体的操作规程,从而保证数据认定和制作的标准化、实现数据制式的互换性。

(二)多元开放性、多维立体化数据安全法治框架的构建

总体国家安全观强调面对数据安全、数字鸿沟、个人隐私、道德伦理等方面,要打造开放、公平、公正、非歧视的数字发展环境[16]。故而数据安全治理也需遵循这一基本理论要求,构建一个多元开放性、多维立体化的数据安全法治框架。具言之,多元开放性主要强调治理主体与治理手段的多元化与开放性,即在平等、共享、尊重的治理理念下,数据安全治理主体应涵盖公共组织、行业部门、企业个人等多元利益主体,并不断开放吸纳更多社会主体的积极参与,各主体在数据安全治理中责任共担、合作共治、通力协作,维护数据全生命周期安全性和可用性。在治理手段上,既要强调多元化也要凸出动态开放性,一方面要针对政务数据、企业数据、个人数据不同特点,在总体国家安全观指导下综合利用立法、执法、司法等多元手段维护数据安全,另一方面还要不断吸纳、借鉴国内外先进的安全技术手段,更新完善数据安全维护体制机制,重点强化基于海量数据的APT攻击发现、恶意代码智能检测、数据自动分类、基于差分隐私的数据脱敏和基于数据指纹的敏感数据发现等关键治理技术手段的创新与突破[17]。同时在行政性手段上也可借鉴参考域外普遍采用的敏捷治理方式(3)敏捷治理形式(agile governance model,简称“AGM”)包括敏捷决策、敏捷监管、敏捷开发等方面,创造并使用政策实验室、政策模拟、数字准备政策等敏捷决策方式,以及监管沙箱、软法、基于风险的监管等敏捷监管方式。参见范玉吉、张潇:《数据安全治理的模式变迁、选择与进路》,载《电子政务》2022年第4期,第114—124页。,在数据安全治理决策、监管与开发各方面,针对迅速变化的数据安全问题,通过发布指导方针、技术标准或道德框架等开放性手段实现数据安全治理的快速响应力与灵活度[18];而多维立体化主要强调数据安全治理路径的多维化与治理结构的立体化,即数据安全治理需从数据类型划分、管理机制体制、共享与开发、安全与隐私保护等多个维度展开,围绕制度法规建设、标准规范制定、应用实践展开与支撑技术研发等多层面路径推进。同时数据安全治理目标的实现需要突破组织边界,从行业内和跨行业、区域内和跨区域、全国乃至全球多个层次构筑安全防护体系,这就需要从国家机关、行业部门和企业组织三个层面构建立体化的数据安全治理框架。国家机关通过相关法律法规和指导性政策等方式向行业和组织提供指导和监督,行业部门则以行业协会、联盟等形式向国家机关反馈企业需求,支撑政策落实,同时向企业组织提供服务和监督,而企业组织则在国家机关与行业部门指导监督下做好内部的数据安全工作,并向国家机关与行业部门贡献成功的应用实践[19]。换言之,数据安全治理需要国家机关、行业部门和企业组织分别围绕制度法规建设、标准规范制定、应用实践展开与支撑技术研发等多维治理路径,从数据类型划分、管理机制体制、共享与开发、安全与隐私保护等核心环节构建三个不同层面立体交互式治理框架。

结合我国数据安全治理的现状与发展面向,笔者认为数据安全治理法治框架的构建重点主要集中在去中心化与再中心化的元治理体系建构、法治引领与平台协同软硬结合治理手段的运用以及算法决策与代码规制的法律应对等三个领域。

1.去中心化与再中心化的元治理体系建构

数字社会形成了前所未有的“大平台”与“微时代”。尤其是网络技术的发展与各种数据平台的出现打破了传统的信息壁垒和政府中心权威型治理模式,重构出多元分享、立体分布的分散型治理架构。在数据安全法治框架的构建中也深受其影响,政府在信息供需中的传统优势和中心权威地位正随着区块链等信息技术快速发展被冲击弱化。但在这一去中心化过程中基于元治理的需求,一种再中心化的态势成为必然。互联网和数据平台看似提供了平等的信息获取途径,抹平了数据鸿沟,但掌握网络话语权和流量的平台与行业机构,又重构了新形态的信息不平等,依靠技术获得了垄断地位和强大权力。元治理也被称为“治理的治理”,是在混合治理模式下谋求社会效用最大化的过程,确保资源合理分配[20]。与传统治理理论相比,它更强调公权力机构在治理中的特殊中心化角色,相比传统治理中公权力机构“命令式”“家长式”的中心权威地位,元治理的特殊中心化更多是建立在平等地位上的“引领式”“指导式”治理,有学者形象地将其比作“同辈中的长者”[21]。即强调公权力机构在元治理多元治理主体中的主导地位。数据安全治理中多元参与主体也必须强调政府的特殊中心化角色,在政府主导下为数据安全地使用、共享、流转确立行为准则,并指导和协调其他治理主体在安全治理过程中厘清数据的权属关系、角色定位与职责分工,围绕大数据全生命周期的安全,构建平等协作的主体关系,避免治理主体之间出现信息孤立、利益冲突及权责不协调等问题。

2.法治引领与平台协同软硬结合治理手段的运用

信息技术发展使社会治理手段不断呈现网络化、数字化和智能化趋势,治理手段的多元复合性特色鲜明。虽然技术赋权成为数字社会的新常态,但不断突破现有体制束缚的技术创新必须遵循法治的底线,共同构建数字虚拟社会的信任机制,实现法律和技术的共治。盖因二者在维持社会秩序与可预期人际关系等方面具有共同追求与价值目标。数据安全治理中无论技术性手段还是行政性手段都应坚持法治化路径,一方面要实现“代码即法律”以确保技术手段的规范性和正当性,另一方面也要尽可能实现“法律即代码”以确保行政手段的技术性和有效性[22]。唯其如此才能运用高强制性的法律武器有效避免数字技术发展的负面效应,厘定安全治理的法律边界与范围,为数据安全治理有效开展提供法治保障。然而,在重视法治引领硬治理的同时,对于数据安全治理发展中的技术创新也要强调平台协同的软治理。可通过制定出台一系列低强度政策工具,将数据安全治理责任细化到各类行业平台,构建可信赖的数据制度,使其切实承担起数据保密性、完整性、可控性等安全保障职责,强化平台协同治理中的保护责任、忠诚度责任、保密责任和网络执法协助责任。例如瑞典就在未修改法律的情况下依据指导性政府政策创建了一个测试哥德堡自动驾驶汽车的监管沙箱[23]。平台经济作为新业态一直处于科技创新的前沿地带,各类行业平台依据平台模式规律制定了各类治理规则,其中涉及数据安全的治理规则在接受国家机关合规性评价和审查后也可成为数据安全治理的协同软治理手段,这样既可以指导不同行业领域或组织机构在数据安全治理中嵌入国家数据安全治理的认知和方向,又可以从具体操作层面配合国家数据安全治理措施的部署和落实。

3.算法决策与代码规制的法律应对

数据应用中的数据分析算法直接决定或影响预测和决策,在基于某种指定计算将输入数据转化为所需输出的编码过程中一旦出现算法滥用、算法歧视和算法安全等问题,就会对公民利益、社会利益乃至国家安全带来一定的风险和威胁。而代码规制则是建构互联网行为程序和协议中形成的一种带有约束性质的价值判断,代码的选择往往涉及在某些价值之间进行抉择,或者在方案收益与代价之间进行权衡[24]。概言之,算法决策与代码规制业已成为塑造数字社会秩序的重要力量,但在算法决策与代码规制技术中必然嵌入了设计者基于一定控制目标的价值理念和主观偏好,使其合法性与正当性面临挑战,大数据杀熟和算法歧视就是例证。数据安全治理中也面临此类问题,应通过立法途径明确算法决策和代码规制有限透明度规则,避免算法黑箱,抑制代码规制偏好。所谓有限透明度是允许算法和代码设计者对算法决策与代码规制中部分内容作为商业机密或其他秘密进行保密,但其应当承担程序合法、说明理由等法律义务,并对算法决策与代码规制过程负责[25]。同时还要强调治理技术开发算法和代码的公共目标、数据管理和访问权、算法验证等均置于法律监管之下,法治框架内保证数据安全决策系统的可评估、可追溯、可检验、可复盘。此外,还可在立法中设立数据安全治理的算法解释权,通过要求特定领域的算法公开,开展算法决策和代码规制审计,逐步推进算法决策和代码规制问责制。尤其是在政府由于数据技术能力缺陷而外包算法给其他行业机构时,这些行业机构必须生成关于算法过程、验证目标的适当记录,并承担一定的算法披露与代码说明义务,倘使其主张无法进行适当披露算法和说明代码,应当引入算法决策与代码规制的第三方审核机制。

总之,数据在当今数字社会建设中占据着重要地位,其安全问题关系着中国数字之治的关键环节,也是中国特色国家安全道路建设的重要一环。伴随大数据时代到来,数据安全面临的治理风险与挑战日益严峻与复杂,一旦失手带来的社会危害性与影响性更广泛、更深刻,因此数据安全治理是一个需要全社会共同关注并长期研究的重要课题。