刘 瑛
根据互联网数据中心(简称IDC)监测结果,人类产生的数据量正在呈指数级增长,这些海量数据在为人们提供更多知识与信息的同时,也容易出现个人隐私数据、企业商业秘密及政府敏感数据的泄露,给个人、企业和公共安全甚至国家安全造成威胁。数据安全是数据应用并产生价值的基本保障,数据安全以数据技术为基础,但是数据安全问题不仅仅是一个技术问题,更是法律问题。《中华人民共和国数据安全法》(以下简称数据安全法)已经通过,并于2021年 9月1日起施行。数据安全法作为我国数据安全领域的基础性法律,具有标志性意义和价值,但数据安全审查程序、重要数据的风险评估等重要方面仍需进一步完善配套规则等。因此,以信用为切入点,将数据安全纳入法律规制体系之下,是数据治理的应有之义。
信用划分为经济信用和社会信用,经济信用是指以信任为基础,以按期偿还为条件的交易关系和价值转移方式,它形成交易主体间的债权债务关系。社会信用是指各主体在社会活动中遵守法规和道德规范、履行合约、兑现承诺的行为能力及信任度。所有主体的社会信用关系构成了整个社会的信用环境和社会秩序。(1)刘瑛:《企业信用法律规制研究》,北京:中国政法大学出版社2011年版,42页。在政策支持下,我国的信用实践进一步创新了社会信用的内涵,形成了公共信用的概念,是否遵守法定义务是公共信用的重要内涵,信用监管也是依托公共信用进行的。
数据中的信用,本质上是一种数据流转过程中相关行为主体之间形成的相互信任关系,以及对这种信任关系的评价。一方面,数据安全中的信用,既包含个人信用,也包含企业信用;但不体现为直接的资金往来,这种信用同时更多是指向政府的,是一种公共信用。另一方面,数据安全中的信用,更多的是一种规制模式。信用视角下的数据安全法律规制,就是针对数据安全问题,以征信为起始点,以信用评级制度为基本工具,以信用监管制度和失信惩戒制度为运行保障,以信用担保制度为支撑,针对数据安全设立相应的法律规制路径,平衡各方主体的利益,从而维护公共利益。
概括来讲,信用视角下的数据安全法律规制是一个法律系统,会涉及征信制度、信用评级制度、信用担保制度、信用监管制度、失信惩戒机制等相关内容,涉及信用运行的事前、事中、事后三个阶段,涉及个人、企业、银行、政府等多个主体。
1.数据、数据产品与数据产业
关于数据,主要有以下几种定义:按照国际标准化组织(ISO)在信息技术术语标准中的定义,数据是“信息的一种形式化方式的体现,该种体现背后的含义可被再展示出来,且该种体现适于沟通、展示含义或处理”(2)纪海龙:《数据的私法定位与保护》,《法学研究》2018年第6期。。“数据具有工具性,它作为生成和传输信息的数字编码技术,体现为以二进制为基础的比特或比特流,进而可以通过应用代码显示为信息。”(3)梅夏英:《在分享和控制之间数据保护的私法局限和公共秩序构建》,《中外法学》2019年第4期。《数据安全法》规定“数据,是指任何以电子或者其他方式对信息的记录”。由此可见,数据的基本定义要素有两个,一个是要求记录于一定数字载体之上,另一个是必须能够携带信息。
在对数据进行加工整合后,就形成了数据产品。数据产品实际上是一个固化的软件系统,其中包含数据分析算法和底层决策逻辑,数据产品使人们基于数据能够更好地进行决策和分析。(4)艾达:《数据产品设计》,北京:电子工业出版社2017年版,第11页。数据产品是数据可用性的直接体现,以数据产品的生成为时间节点,在此之前数据并没有直接的价值,且收集数据显然需要一定的成本,但是在数据产品生成之后,数据便具有了直接的价值,这一价值体现为通过数据产品的运行,能够对未来趋势产生合理预测,从而进一步对交易起到指导作用。
数据产业发展的最新形式就是大数据和人工智能的应用。“大数据是指那些大小已经超出了传统意义上的尺度,一般的软件工具难以捕捉、存储、管理和分析的数据。”(5)涂子沛:《大数据:正在到来的数据革命,以及它如何改变政府、商业与我们的生活》,桂林:广西师范大学出版社2013年版,第7页。大数据是数据从量变到质变的结果之一。“广义上的大数据强调的是思维方式,即使用大量多样且快速更新的数据来预测相应趋势,而狭义的大数据被视为技术,是一种挖掘分析数据的计算机技术。”(6)陈兵:《大数据的竞争法属性及规制意义》,《法学》2018年第8期。人工智能则是基于数据和算法而开发的新的应用。(7)玛格丽特·A.博登著,王汉琦等:《人工智能哲学》,上海:上海译文出版社2006年版。人工智能是基于数据而对人的智能进行模拟和延展的一门科学技术。
2.数据安全的内涵和外延
《数据安全法》规定“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。数据安全有两方面的内涵:一方面,数据安全是指“数据防护的安全”;另一方面,数据安全是指“数据利用的安全”。这两个方面对立又统一,无论是数据本身的安全还是数据防护的安全,都带有强烈的技术色彩。因此,当将“数据安全”作为一个法律概念进行审视的时候,应当回归技术中立原则,着眼于最终的法律效果。“数据安全”,是指一种应然的状态,即数据处于一种没有危险和不受威胁的状态,数据始终保有完整性、机密性和可用性。也就是说,数据安全指的是数据产生与数据流动过程的安全状态。
从这一内涵出发,数据安全有三个层面的外延。第一,数据本身内容的安全,即数据的收集、存储、使用都不受到威胁,也不存在数据泄露或者数据丢失的风险。第二,数据产品的安全,即处理数据的软件系统的安全。数据产品的安全要求处理数据的软件,不遭受恶意破坏、更改或泄露。第三,数据产业的安全,即保证以数据作为主要对象的产业整体的安全。数据产业安全是从宏观角度来说的,所谓产业安全,是指在数据相对集中的产业,不受到数据泄露、数据软件被非法破坏等问题的威胁。
综合这三个层面来看,数据是数据安全的概念基础,其安全性也关乎整体的数据安全;数据产品是数据价值发掘的必经手段,其所依托的软件系统是数据运用的基本手段,因此数据产品是数据安全的主要对象。而数据产业是数据和数据产品的宏观体现。以人工智能和大数据为代表的数据产业,需要数据安全的支撑。申言之,数据产业的安全以数据本身的安全和数据产品安全为基石。
当包含着契约践行意愿与能力的信息以二进制方式表达时,信用就可以理解为一种特殊的数据。当这种包含信用信息的数据经由一定的底层逻辑设计为软件,并以软件运行结果对信用状况进行描述时,信用就成了一种特殊的数据产品。
这种特殊性在内容上表现为:信用数据涵盖个人和企业以及其他主体的信用信息,包含了所涉主体自身履行契约或诺言的能力及意愿信息,具有显著的直接价值。在用途上表现为:信用数据的收集以建立完善的信用运行系统为首要目的,在信用数据的收集和使用中,社会价值大于经济价值。
在明确了信用可以在形式上表现为特殊数据之后,信用系统的运行也就可以从数据流动的角度进行理解。征信本质上就是一个收集原始数据的过程,对收集到的信用数据进行逻辑分析、加工且进行系统化固定之后,信用数据就成了信用数据产品,就具有了可使用性和直接价值。这一价值直接体现为,信用能够成为规制数据安全的工具,信用系统运行所产生的信用评价,自然能对数据安全治理产生指导意义。信用的特殊性,也延伸了数据安全规制的范围和途径,使得数据安全问题的规制有了新的依托。
现实生活中数据滥用、数据泄露问题屡屡发生。产业利益的存在,让数据隐私形同虚设。而数据安全并不仅仅等同于个人信息安全,更是网络空间安全的基石。数据安全一旦出现问题,整个网络空间也会相应失序。在经济虚拟化的今天,这种失序无疑会引发社会秩序的动荡。习近平总书记在国家网络安全宣传周作出重要指示强调,要坚持促进发展和依法管理相统一,提升全民网络安全意识和技能,这是国家网络安全工作的重要内容。国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。(8)参见习近平:《坚持安全可控和开放创新并重,提升广大人民群众在网络空间的获得感幸福感安全感》,https:∥mp.weixin.qq.com/s/H2dfo-mV55I3jS0rhL8uNA,新华社,最后访问日期:2021年3月16日。
尽管数据安全的重要性不言而喻,但是数据安全规制依旧面临制度的困境。从以往的研究来看,学者普遍希望通过扩大传统民商法的适用范围来解决这一问题,但是从产权确认、权利赋予等角度解决数据安全问题,无法逾越数据安全问题的广泛性和特殊性,解决思路与问题性质的契合度显然不够。数据安全问题作为一种全新的、复杂的且权利性质更为模糊的法律问题,应该探寻新的有效解决思路。
党的十八大以来,党中央、国务院高度重视社会信用体系建设,并在2014年出台全国性的顶层设计文件——《社会信用体系建设规划纲要(2014—2020年)》(以下简称《信用建设纲要》),将信用体系提升到关乎国家治理体系和治理能力现代化的高度。“根据《信用建设纲要》的内容和社会信用体系建设实例,在看似道德工程的表面背后,实际上是执政者在宣告道德规范重要性的同时,更希望借此加强法律的实施。”(9)沈岿:《社会信用体系建设的法治之道》,《中国法学》2019年第5期。数据安全的保障与信用体系的建立相辅相成,只有保证数据安全,才能确认信用运行过程的安全性;同时,完善的信用体系的建立,也必然能够助力数据安全相关法律制度的建立。
与旧有的研究路径相比较,从数据与信用性质上的相似性出发,明确信用在数据安全问题上的独特作用,并以此为切入点,以初步建成的信用法律体系引导数据安全立法体系进程,明显更具有现实必要性。
首先,信用是一种以激励为主的制度,而非惩戒制度。如果通过赋予数据主体权利或者认定数据的财产属性来规制数据安全问题,那么实际上就是用对待侵权行为的态度处理数据安全问题,本质上是一种惩戒机制,具有个案性和事后性。而信用机制虽然有相应的惩戒措施,但是信用评价是一个动态的过程,并非固化的评价,被评价的主体可以通过自己的行为影响评价的结果,形成正反馈机制,对数据安全秩序的构建有一种内发性的作用。
其次,信用作用于数据安全的全过程。在数据安全领域,与数据相关的信用体系一旦形成,其作用范围是广泛的。从数据的收集,到数据的利用,再到数据产业的运转,都会受到信用的约束。而并不是说只有当数据安全受到威胁,或者数据安全已经丧失的情况下,信用才能产生作用力。
最后,信用机制能更好地实现利益平衡。无论是人工智能的风险管控,还是大数据与云计算的应用,我们实际关注的都是数据安全问题,数据安全不仅仅是一个技术问题,更是一个社会问题,一个法律问题。(10)华科智谷:《谁在提“可信人工智能”?》,https:∥mp.weixin.qq.com/s/L-WR5txjEifOuJ73VVN3Dg,最后访问日期:2021年3月16日。数据安全问题具有特殊性,以信用视角进行法律规制数据安全问题的过程实质上是一个利益衡量的过程,过于严苛的数据安全管控政策无疑会影响产业发展,而数据安全得不到保障的后果必然是私权利受侵犯以及公共秩序遭破坏。因此,若要妥善处理数据安全问题,必须改变传统的以解决问题为中心的立法思维,探寻以信用体系为切入点进行具有前瞻性和预测性的数据安全法律规制,探索一种新的法律规制途径。
综合以上三个方面,虽然在数据安全领域引入信用制度,需要理念的转变,也需要进行大量的制度设计、指标设计,同时也增加了相关企业的经营门槛,但是同时更要看到,信用作为一种长效机制,能够以一种良性的方式实现利益的平衡,能够以激励而非单纯惩戒的方式引导数据安全秩序的构建。
数据安全问题之特殊性,在于数据安全问题既涉及私主体的权利,又与公共利益和公共秩序息息相关。分析这一问题需要从不同角度进行观察。
第一,从私权利保护的视角观察。大数据时代,私权性或者说个人性是当下数据的显著特征之一。大量的数据涉及个人的信息和隐私,甚至涉及个人的敏感信息和核心隐私。(11)See:Anita L.Allen,“Protecting One’s Own Privacy in a Big Data Economy”,Harvard Law Review Forum,Vol.130,No.2,2016,pp.71-78;Jarass,in:ders,EU-Grundrechte-Charta Art 8. Rn.5.与数据安全息息相关的概念是“个人信息权”,这一权利要求是基于个人信息的价值所提出的,其本质是一种私权利。数据安全当然要保证个人的数据不受侵犯、不被滥用,个人不会因数据问题而遭受财产或精神损失。但基于当下的社会现状,对个人数据保护如果从物权或者隐私权的角度出发,既存在法理论证上的争议,也存在实务操作的困难。
而信用法律体系中的信用评级制度和失信惩戒制度可以较好地解决如何保护这一私权利的问题。在事先,通过信用评级明确数据使用者的信用资质以保证数据的安全使用;在事中,使失信的数据使用者丧失数据的使用权,以避免不当的数据使用行为进一步延续;在事后,信用体系使被侵权者易于发现具体的侵权者,以便在个案救济时提出具体赔偿,避免损失扩大。
第二,从公共秩序构建的角度观察。虽然数据具有一定的私权性,但是其公共性更为显著。“它符合经济学上“公共品”(Public Goods)的核心特征,即非竞争性和非排他性。前者指一人对公共品的使用不影响他人对其使用,后者指多人可以同时使用公共品而互不排斥。”(12)杨青:《浅谈数据治理、数据管理、数据资源与数据资产管理内涵及差异点》,https:∥mp.weixin.qq.com/s/wyN_LmY4aebzbh9K0903Og,数据工匠俱乐部,最后访问日期:2020年9月13日。因此要想真正妥善地解决数据安全问题,就必须构建数据使用的公共安全秩序。
这一秩序的构建,离不开信用法律体系。首先,信用法律制度能规制数据的收集阶段、使用阶段以及数据的“被遗忘”(13)参见数据的被遗忘,是指数据主体有权要求数据控制者永久删除有关数据主体的个人数据,有权被互联网遗忘,除非数据的保留有合法的理由。阶段。数据安全问题的时间跨度较长,但信用法律体系在其各个阶段都有相应的规则加以规制。其次,信用与数据二者的目标一致,数据安全的建设其意义不在于严格限制数据的使用和分享,而在于建立适当的秩序,以更好地实现数据的价值,这一目标与信用法律体系相契合。二者的价值取向一致,对数据公共秩序的构建具有重要意义。最后,从社会效益的角度来看,信用法律体系的建设已经逐步完善,用信用法律规制数据安全问题,实际上就是把数据安全问题纳入信用法律体系,这样的制度构建效率更快,社会成本更低。
私法自治在资本的影响下,对公共性问题的处理必然体现一定的局限性;而纯粹的以公共秩序为唯一考量因素又必然会导致对个人权利的侵犯,因此二者的权衡是立法首先要解决的问题。数据安全问题的起始点是私人权利受到侵犯,但随着其发展数据问题必然更广泛地演变成一个社会问题,演变成一个经济问题,规制这一问题要兼用私法和公法的立法技术。而考虑到信用相关法律链接了社会和经济两个方面,由此在制度构建上,以信用为切入点,借助已经初步形成体系化的信用制度,在遵循相同的法价值的基础上,对数据安全问题进行法律规制确有其优越性。
信用能够影响数据的收集和使用,进而影响数据安全。这一作用是通过信用评价系统实现的。信用评价是将收集到的信用数据按照一定逻辑进行分析,从而得出能够指导决策的有用信息,这一信息往往包含被评价人的履约能力的等级。社会大众更倾向于允许信用良好的企业收集其数据,且信用良好的企业收集数据后所加工的数据产品更容易得到数据使用者认可。通过契约关系这一纽带,信用对数据产生反作用。
依托信用体系,数据安全的规制模式从仅仅是事后规制变为了全流程规制,并且事前规制的作用愈发重要和突出。在事前规制之外,从数据的收集,到数据的使用,再到数据产业的整体发展,信用都起到了重要作用。
首先,信用评级可以限制数据收集主体的资格。信用评级系统在对主体的信用信息进行收集整理之后,根据一定逻辑或算法,能够对主体的信用等级进行评价,该评价可能会影响到一些数据收集者的资质。对有信用风险的数据收集者,当然要对其数据收集行为进行限制。其次,信用可以用来规范数据的使用。数据的使用必须满足诚实信用原则的要求,具体来说使用数据必须依照明确具体的目的,这一目的必须是数据的被收集者(即数据的所有者)所明知的,该目的当然也不能违背公序良俗或者对第三人利益造成不利影响。最后,信用可以用来评价履约情况和继续履约的能力。基于这一评价,数据拥有者可以决定是否继续提供数据,数据使用者也可以提出变更数据使用目的等要求。
信用这三个环节的作用力,决定了信用对于数据安全的作用力是全流程的。也就是说,信用参与数据安全规制,虽然是依据具体的数据行为而进行的评价,但这一评价有两个层面的独特意义:第一,这一评价依托具体的行为做出,但其规制意义不局限于具体行为,也不是一种事后的惩戒机制,而是一种事前、事中、事后的激励机制;第二,这一激励机制促进数据安全领域相关主体积极反思自己的行为,对自己行为做出相应约束,从而从根源上解决数据安全问题。
数据安全是数据治理的重要组成部分,具体来说,数据安全要求数据的收集和使用处于安全可控的范围之内,以保证数据安全治理数据决策的科学性和有效性,同时提高数据流通的效率,优化授信流程,提升数据产品可信度。相较于旧有的数据安全政策和数据安全治理手段而言,大数据时代下的数据安全呈现出更加复杂和多元的态势,能够对国家很多领域产生影响,因此大数据时代下的数据安全治理已经成为各个国家的社会热点话题和立法重点领域。
1.美国的数据安全立法模式
以美国为首的西方国家数据治理开始时间较早,美国更是从20世纪70年代就开始了数据治理,进入大数据时代后,美国的数据公共政策的重点也从国家安全向个人隐私与国家安全并重转变。2000年,美国颁布了《国家安全战略报告》,使信息安全正式成为国家安全战略框架的一部分,2003年美国又出台了《网络空间安全国家战略》,这标志着国家信息安全独立地位的最终确认。(14)马海群、王茜茹:《美国数据安全政策的演化路径、特征及启示》,《现代情报》2016年第1期。此外,美国还启动了“国际网络战略”和“网络安全信息共享法”等重要战略计划,以确保其在数据主权方面的领先地位。(15)刘艺、邓青、彭雨苏:《大数据时代数据主权与隐私保护面临的安全挑战》,《管理现代化》2019年第1期。但是自“棱镜门”事件后,美国的数据安全观发生了一定程度的改变,立法在继续维持其国家数据安全和数据主权的基础上,也逐渐侧重于个人隐私保护。2018年6月28日,美国加利福尼亚州颁布了《2018年加州消费者隐私法案》(简称“CCPA”),这一法案以消费者隐私为保护重点,被认为是美国国内最严格的隐私立法。该法案以规制企业对个人数据使用为目的,规制模式是西方立法中传统的权利义务模式,并在此基础上着重强调消费者的隐私性权利。
总而言之,以加州CCPA法案为代表,美国着力于维护其数据领域的领先地位,并在强调数据在国家层面的战略意义的基础上,逐步加强对个人隐私数据的保护。在数据安全观上,形成了国家数据安全与个人数据安全并重的政策模式。
2.日本的数据安全立法模式
日本的数据安全治理以对数据权的法律确认为逻辑起点,“日本对数据权属以自由流通为原则,以特殊保护为例外”。其实质上还是将数据问题主要交由契约自由原则来控制,以促进数据的自由流通为立法目标。(16)李慧敏、王忠:《日本对个人数据权属的处理方式及其启示》,《科技与法律》2019年第4期。日本在2005年就进行了《个人信息保护法》,并在2015年进行了大幅度修改。在修法过程中,日本规定了“个人信息”与“个人数据”的概念,并将数据安全的商业利益转嫁到合同法领域,即充分认可民事主体之间关于数据使用的契约,通过契约的约束力规范数据的授权和使用,同时考虑到数据的公共利益性,日本在法律运行过程中强调诚信原则和信用原则。为了避免数据垄断,“ 2017年5月,日本经济产业省又发布《数据使用权限签约指南》,并在此基础上进行补充、修订,于2018年6月发布《人工智能、数据利用相关签约指南》,并提供了《数据交易合同范本》供交易当事人参考”(17)王淳、马海群:《我国数据安全治理体系及路径研究》,《图书馆理论与实践》2018年第1期。。从命名规则上来看,日本的这几个文件采用了“指南”、“合同范本”等命名方式,体现了公权力对数据安全领域的审慎态度,但这些文本的公布,也证明日本正逐渐意识到数据安全问题不是一个私权领域的问题,而是与公共利益密切相关的。
3.欧盟的数据安全立法模式
在制定完整的数据安全法方面,欧盟走在了世界的前列,通过制定《一般数据保护条例》,欧盟对个人数据及其跨境流动进行了统一规制,这部法律有效回应了大数据时代对数据保护提出的挑战。(18)王淳、马海群:《我国数据安全治理体系及路径研究》,《图书馆理论与实践》2018年第1期。欧盟议会在1995年制定的《计算机数据保护法》的基础上,于2016年4月14日通过了《通用数据保护条例(General Data Protection Regulations)》(简称“GDPR”),这一条例已经于2018年5月25日在欧盟成员国内正式生效实施。从《通用数据保护条例》的文本内容来看,这一条例明显采取了以权利为主导的立法模式,这也是西方国家一贯的立法模式。GDPR限定其保护的仅是“个人数据”(personal data),在数据安全方面,GDPR构建了完整的个人数据收集、整理规则。GDPR明确了收集数据的行为和用户同意的构成要件,并在此基础上构建了数据主体的权利体系,数据主体具有获取权、修改权、被遗忘权、限制处理权、数据可携带权、异议提出权。与这些权利相对应,GDPR也为数据控制者、处理者设定了相应的义务,具体包括:记录对数据的处理活动的义务、确保处理安全的义务、与监管部门合作的义务、个人数据泄露时的通知义务等。
纵观以GDPR为核心的欧盟数据立法,可以清楚地发现其权利基础是信息自决权,其实质上将个人数据权定性为一种参与原则下的知情权,这种权利的设计旨在构建公平的竞争秩序,避免不当的数据使用,也防止本区域的数据跨境流动造成数据安全隐患。(19)张金平:《欧盟个人数据权的演进及其启示》,《法商研究》2019年第5期。GDPR将个人数据权定性为一种参与原则下的知情权,实际上内含与数据收集者之间的契约关系以及相互秉承的诚实信用原则。欧盟通过GDPR这一号称“史上最严”的个人数据法案,保卫了自己国家的数据主权。
4.国外立法模式对我国数据安全规制的启示
国外立法存在较为明确的一致性,基本思路就是创设新权利以控制数据流动,同时要求政府介入数据安全的规制。国外的立法价值取向都倾向于保护数据的自由流通,立法逻辑也都遵从国内现有法律制度构建的法律逻辑。立法倾向也侧重于个人信息安全的保护,虽然各国都意识到数据主权的重要性,但是总体的国家数据安全观尚未形成。
回归我国的社会生活实际和现有法律制度体系,国外数据安全立法模式对我国的启示如下:
第一,要谨慎适用“设权型”立法。
从新型权利产生的前提来看,需根据既有规范对数据确权进行仔细考察,从而与某些“仅具有描述性意义、个案价值,而不具有普遍意义”的权利诉求相区别。(20)彭诚信:《现代权利理论研究:基于“意志理论”与“利益理论”的评析》,北京:法律出版社2017年版,第310页。我国立法遵从的是社会本位,设定数据的私权虽然有助于厘清产权上的关系,但是私权的排他性与数据本身的发展趋势是相悖的。数据安全对国家整体安全的作用力是直接的,而并非以私权利为媒介。“仅仅基于数据本身蕴含经济价值、存在数据安全风险两方面原因,就采取直接新设排他性财产权(或扩大相关法律解释)的逻辑,反而容易导致数据资源浪费或其他制度性成本的增加。”(21)王淳、马海群:《我国数据安全治理体系及路径研究》,《图书馆理论与实践》2018年第1期。“同时,在数据交易中,强调的也是其掌握的可交易数据,而非交易本身。”(22)韩旭至:《数据确权的困境及破解之道》,《东方法学》2020年第1期。从数据的存在形式、传播方式上看,数据作为私权利的客体就有不妥之处,加之数据立法目的在于鼓励数据以安全方式进行流转。因此,我国数据安全立法应该从我国法律框架内寻找答案,而不能单纯采用法律移植的方式,通过新设权利解决这一问题。
第二,公权力介入要注重审慎与平衡。
政府作为管理者,主要作用是规范数据的传播以起到保护各方利益不受侵犯。数据安全的管理实质上是一个利益衡量的过程,需要综合考虑个人利益、产业利益、公共利益和国家利益之间的关系。从国外立法的实施过程来看,与促进数据流通的立法目的相匹配,在执法中公权力的介入也多与鼓励数据流通有关。因此,在我国的数据安全规制中,要探索公权力运作的具体方式,考虑公权力是否能基于私主体之间的契约进行管理,或者公权力机关能否作为契约一方参与到权利义务分配中而进行管理。应当考虑以合法原则和比例原则为基础,对公权力进行恰当限制,避免以信用数据为基础的联动奖惩机制的滥用。同时,也应当设置相关的救济制度,以保护公民的私权益。(23)罗培新:《遏制公权与保护私益:社会信用立法论略》,《政法论坛》2018年第6期。总的来说,在信用视角下的数据安全问题中,公权力机关兼具数据收集者、数据使用者、数据行为规制者等多重身份,因此对公权力介入方式必须采取审慎态度,在制度设计上要充分考虑公益与私益的平衡,保障数据产业的流通性与稳定性。
第三,通过数据分类推动并规范数据的开发利用。
从国外立法经验来看,数据分类是数据治理的重要一环。数据分类应该作为数据治理的先导性和基础性工作来做,我国数据治理中未能形成完整的数据分类体系,这方面的缺失说明我国数据治理尚未做到细节控制。我国应以社会运行中的现实问题为导向,探索建立数据分类标准。通过数据分类以及相应的制度建设,推动数据的开发利用。
综上三个方面,结合信用制度设计的初衷,不难发现信用制度与数据安全之间存在契合点。首先,信用法律体系的价值是社会本位,其不以确定个人权利为基础和着眼点,而是以信用的长效运行为目的并对其运行的各个阶段进行把控,这一制度设计实际上可以用作数据安全规制的手段。其次,以信用为手段进行数据管理的过程中公权力色彩并不强烈。信用评价机构作为第三方机构并不是政府直接的组成部门,且信用评价机构与被评价者之间存在契约关系,这就为管理者如何进行数据安全规制提供了借鉴空间。最后,在当前的技术条件下信用信息实质上是一种数据,而信用的类型化已经较为完善。根据信用的作用领域不同,信用分为政府信用、商事信用、社会信用及司法信用四大类(24)国务院2014年6月14日发布的《社会信用体系建设规划纲要(2014—2020年)》。;根据信用主体的不同,可以分为个人信用、企业信用、政府信用等,这些分类与相关的制度设计相对应,构成较为完整的信用体系。因此,从信用数据扩展到整个数据领域,在分类上可以遵循相同的思路进行。在对国外立法经验进行梳理之后,不难得出信用视角下探索我国数据安全法律规制的对策具有现实性和可行性。
立法固有的利益平衡功能,能够在利益多元化及冲突化的背景下,实现对利益关系的调节,使得各个利益主体能够各得其所、各安其位。这一利益衡量的过程与立法目标和立法价值紧密相关。商业行为以利益为第一目的,而法律规制则应以公平有效为首要目的,这一点在数据安全问题中体现得尤为充分。除了法律普遍适用的公平正义观之外,社会发展所处历史阶段的制约因素实际上也构成了影响利益衡量的重要指标。(25)张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第3期。
随着云计算、大数据等技术的普及,使得数据关涉每个行业的基层运行,但若单纯以技术来规范技术,那么数据安全问题始终具有滞后性。当下数据安全问题的起始点往往是过分追求商业利益而罔顾公共利益,因此立法必须对这种错误的价值取向进行遏止,树立正确的数据安全法律观。也就是说,法律规制划定了数据收集和数据使用的底线。
从信用的视角审慎数据安全法律规制,应当回归信用的社会性。信用视角下数据安全的立法价值,更侧重于对社会秩序的影响,即对公共利益的保护。信用法律制度本身就固有通过法律强化道德实施之义,而数据安全与信用相结合,就意味着在数据安全领域要求各方主体恪守诚信,规范行为,形成良好的产业秩序,保护公共利益。
数据安全问题与个人信息安全问题并不等价,个人信息安全其实是数据安全问题的一个具体样态。信用视角下的数据安全规制,并不仅仅针对个人信息安全问题,而更侧重于数据整体的安全,这是由信用制度的社会公共性决定的。也就是说,信用视角下的数据安全观,是一种国家数据安全观。《数据安全法》明确强调在坚持总体国家安全观的前提下维护数据安全,并设立国家数据安全工作的决策和议事协调机制。这一观念可以从以下三个角度理解:
第一,数据国家安全观与个人信息安全并非相互独立的关系。个人信息安全统一于国家信息安全之下,个人信息安全是微观层面以消费者为主体的信息安全,而国家安全则是国家整体的数据安全,前者包含于后者之中。
第二,数据国家安全观的确立,是对数据主权的确认。数据主权意味着国家作为主体有权对一国范围内的数据独立进行管理与控制。数据主权是一国数据产业稳步健康发展的前提。
第三,数据国家安全观是用信用法律规制数据安全问题的必然选择。信用制度的运行具有宏观性、公共性,信用制度下的数据安全规制,以公共利益、社会利益为本位,这就要求树立整体的国家数据安全观。
第一,诚实信用原则。以信用为切入点的数据安全法律规制当然以诚实信用原则为首要原则。诚实信用原则是民法中的帝王原则,要求人们在民事活动中应当诚实、守信用,正当行使权利和履行义务。诚实信用原则也是市场经济活动中的一项基本道德准则,是现代法治社会的一项基本法律规则,诚实信用原则是一种具有道德内涵的法律规范。
在数据安全问题上,诚信安全涉及数据流动的每个阶段,首先,数据收集者必须本着诚实信用原则告知数据拥有者数据收集的目的和范围,并且在数据产品的使用阶段保证不滥用数据;其次,这一原则也规范数据拥有者的行为,数据拥有者应当保证其所给出的数据真实。与之相对的是,不可以违背诚信去收集、使用他人的数据。这是最基本的尊重和信任所要求的。基于诚实信用原则,持有公民数据信息的社会主体应当负有相应的安全保障义务,未经公民同意,不是基于公共利益的需要,泄露、使用公民数据信息或者使公民数据信息处于不安全境地,均应承担法律责任,这也是网络信息安全立法的基本底线。
第二,公平正义原则。这一原则要求当事人在民事活动中应以社会正义、公平的观念指导自己的行为、平衡各方的利益,要求以社会正义、公平的观念来处理当事人之间的纠纷。具体在数据安全问题上,在立法层面,要求平衡各方面的利益,实现法价值上对公平正义的追求;在执法层面,避免掌握大量数据的商业巨头对执法产生不当的影响,保证执法的公平,通过执法维护社会正义;在司法层面,在准确界定新的市场行为性质的前提下,要严格正确使用法律,更要正确适用法律,让司法成为社会正义的一道坚固的防线。
第三,安全可控原则。数据安全本质上是一种合理控制下的安全,其价值取向不是拒绝数据分享,而是规范数据分享。(26)缪文升:《人工智能时代个人信息数据安全问题的法律规制》,《广西社会科学》2018年第9期。安全可控原则的终极目标是维护国家经济安全,其实质是由国家来承担并采取的一种防范风险和危机的意识、能力与保证措施。在立法核心制度上,需要明确政府数据开放范围与标准,建立数据开放保密审查和安全管理法律制度。(27)刘权:《政府数据开放的立法路径》,《暨南学报》(哲学社会科学版),2021年第1期。其基本内涵是体现出数据安全对国内经济整体安全的影响,进而影响到国际交往中的国家经济主权安全。(28)单飞跃:《经济法理念与范畴的解析》,北京:中国检察出版社2002年版,第100页。而安全可控的实现,有赖于信用系统的运行。
第四,目的明确原则。针对国家机关而言,数据信息的收集、运用和处理要符合国家机关行使职权、履行职责的特定需要。针对商业机构而言,要求机构收集信息前确定特定目的并报有关部门同意。针对个人信息而言,相关主体在收集、使用个人信息时,必须明示收集、使用信息的目的,不得以合法形式掩盖非法目的。同时,目的明确也要求对应的授权是明确的,也就是说数据控制者在处理数据时,应当考虑信息主体与数据控制者的关系,保护信息主体的合理期待,进而确保信息主体权利不受侵犯。(29)宁立志、傅显扬:《论数据的法律规制模式选择》,《知识产权》2019年第12期。目的明确原则与数据主体的“知情权”(30)田野:《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》,《法制与社会发展》2018年第6期。紧密相连,是对数据收集行为的限制。收集数据必须有特定的目的,不能侵犯相关主体利益,也不能违背公共秩序。《数据安全法》第二十四条所确立的“数据安全审查规则”,就准确体现了数据安全与公共秩序之间的关系,以安全审查为纽带,数据安全维护成为了广义上的公共秩序管理的一部分。但是,为了真正促进数据的有效流通和使用,在存在经过个案确定的正当合法利益时,无须经过数据主体同意即可使用相关信息。本质上还是在目的明确原则的限定之下,因为如果数据使用的目的与用户的合理预期相符,就意味着个案中正当利益的存在。(31)谢琳:《大数据时代个人信息使用的合法利益豁免》,《政法论坛》2019年第1期。收集数据目的明确与否,涉及收集数据的行为性质的可信程度,因此可以将目的明确作为信用评价的一个因素,从而直观展示相关主体收集数据的相关行为的可信程度。
第五,权责清晰原则。权责清晰原则应有两方面的含义,一方面是在为数据使用者设立法律义务时,必须保证权利与义务的一致性;另一方面是在发生侵权需要救济时,如何妥当地划分相关主体的责任。在数据的使用与被使用中,数据使用者显然处于强势地位,他们是最大的受益者,所以他们理所当然地应该成为信息数据的保护者,也当然对数据拥有者因数据安全问题所遭受的损失负有主要责任。“只要是由于数据收集和使用导致了损害,数据使用者就须承担责任,除非其能证明在数据的收集和使用过程中不存在故意或者重大过失;如果销售者与使用者存在过错,则应在自身范围内承担相应的责任。”(32)缪文升:《人工智能时代个人信息数据安全问题的法律规制》,《广西社会科学》2018年第9期。同时,为了构建公平竞争秩序、保护参与原则下的相关主体的数据权,信用机制可以通过相关主体的行为,明确权责一致的评价标准,从而引导相关主体规范自身行为。
传统的立法更多倾向于保护人们内心确认的社会秩序,即一种“确认模式”的立法。而在技术手段不断革新的背景下,立法必须具有一定的前瞻性和预测性,需要进行“路径选择模式”的立法。“路径选择模式”更加侧重于立法的预测性,跳出了“以技术规制技术”的固有思路,立法难度较高,其不是单纯地为解决现实问题而进行的应急性立法,因此必须在抽象层面上价值取向厘清的基础上进行审慎的制度设计,通过法价值的确认防止立法被技术所规避。
此外,立法模式也应该从“控制模式”逐步向“控制谦抑模式”演进,这一模式的转变基于数据的性质。“数据共享是一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。”(33)王利明:《数据共享与个人信息保护》,《现代法学》2019年第1期。数据本身的价值和目的在于复制和分享,若由个人封闭式独占,则其价值无法实现。在以分享为前提的数据法律秩序中,想要对现实生活中的个人信息、知识产权和企业数据财产提供保护,就应当去建立更适当的使用秩序、分享秩序,而不是去严格控制数据的收集和使用。但是对控制模式的反思不意味着直接走向“自由模式”,完全将数据安全规制问题置于商业市场运作之下显然失当,“制定法权威性、强制性与普遍适用性等优势是自律规范等非正式制度无法企及的,它能够为机构和个人建立稳定的预期从而更加有效地规制其行为”,(34)James G.Match & Johan Polsen,Rediscovering Institutions:The Organizational Basis of Politics,New York:The Free Press,1989,p.178.在我国尚未形成充分的市场自律氛围的情况下,由国家统一立法加以规范尤为必要(35)缪文升:《人工智能时代个人信息数据安全问题的法律规制》,《广西社会科学》2018年第9期。,立法者需要反思的是如何改变国家强力控制的思维惯性,通过具体的制度设计对政府机关的行为进行指引,使得政府机关在数据相关问题上保持一定程度的谦抑。
也就是说,反对严格的控制不代表就一定要走向另一个极端,也不代表“不择手段地收集数据”(36)“不择手段地收集数据”是指罔顾法律允许的范围,在利益的驱动下,数据收集者通过各种技术手段尽可能地收集数据,当然包括触犯隐私权的相关数据收集行为。立法模式的选择事关我国数据安全法律体系的整体走向,影响着我国数字经济的兴盛繁荣。在模式选择这一立法“顶层设计”问题上,既要以我国大数据产业与技术、立法和司法现状为基础,也必须去探寻立法背后的法价值。(37)宁立志、傅显扬:《论数据的法律规制模式选择》,《知识产权》2019年第12期。数据安全领域需要的是一部以保护公民利益、企业利益,维护社会秩序和市场秩序为主要目标的法律,立法应当为数据的收集和使用划定不可逾越的法律底线。要探索政府监管下的数据管理和运用新模式,发挥市场主体作用,建立全生命周期管理体制,实现全社会数据的开放共享。通过立法保护企业的数据挖掘分析成果,引导企业开放对数据的搜索结果,实现信息共享的市场化。
同时,这一契合中国国家治理观和命运共同体的“良法善治”的立法目标具有国际意义。数据问题具有全球性,国际社会中始终存在数据全球化和数据保护主义两种截然不同的倾向。因此契合中国“国家治理观”和“命运共同体”的“良法善治”的治理方略意义非凡,这一方略将为数据安全这一全球性问题提供中国范式。
“因数据安全问题所涉法律规范必然范围广泛、内容丰富,基于此,宜采用基本法与特殊法相互结合、相互补益的立法模式。具体而言,个人信息数据安全的保护以民法保护为基础,明确其权能内容、保护方式;同时制定专门性法律,规定如人工智能运用领域的个人信息数据安全保护的原则和办法。”(38)缪文升:《人工智能时代个人信息数据安全问题的法律规制》,《广西社会科学》2018年第9期。而商业数据安全的保护则以行政法为基础,通过行政机构的基本管理职能,对商业数据的收集和使用从主体资格、收集方式、数据用途等方面进行管理。关于理想的数据安全法律规范体系,可以简单图示如下:
在这一体系中,其中各个层级的法律在数据安全治理中发挥着不同的作用:
第一,宪法。宪法的理念贯穿于我国所有法律规范之中,合宪性是数据安全法律规范体系有效的基础和首要前提。
第二,民法典和刑法典。民法典中确立了个人信息受法律保护的地位,体现了数据安全问题的私权利属性;刑法典中的“侵犯公民个人信息罪”能够有效防止恶性的数据安全事件出现,体现了数据安全问题的社会属性。
第三,信用法律规范。我国正在加快《中华人民共和国社会信用法》的立法进程,这一以信用关系为主要规制关系的法律,在数据安全法律规范体系中有着承上启下的意义,一方面,信用法突出承接民法之根本理念——诚实信用,并将诚实信用原则进行具体规则化;另一方面,信用中的信用评估制度也可服务于具体法律规范,体现其工具价值性,对《个人信息保护法》等法律的具体运行起到指导作用。
第四,专门法与相关法。《个人信息保护法》、《数据安全法》是用于保护个人信息、规范数据安全的专门法,后者的出台更是明确了数据安全保护中各个主体的参与方式与责任划分。但是,在此基础上仍需配套全面的相关法律,诸如《网络安全法》、《电子商务法》、《消费者权益保护法》等,这些法的效力层级较民法典等基本法来说较低,但其中的一些条款涉及数据安全问题。(39)尤一炜等:《〈个人信息保护法〉还未出台,目前哪些法律在保护你的个人信息?》,https:∥m.sohu.com/a/299086801_161795/?_trans_=010005_pcwzywxewmsm,南方都市报,最后访问日期:2020年9月17日。上面提到的专门法与相关法,既涉及私法领域也涉及公法领域,有着浓重的社会法色彩。
第五,行政法规和规章。在狭义的法律之外,相关行政法规、地方性法规和规章在数据安全问题上发挥着重要作用。如国家互联网信息办公室公布并自2020年3月1日起施行的《网络信息内容生态治理规定》。
在这一宏观体系中,信用法是数据安全法律规范体系的核心。我国数据安全的立法不够成熟,规范性文件较少且效力层级较低。针对数据安全问题的相关法律条文散见于不同法律文件之中,且不同的条文规范的对象、范围皆有差异,这带来了立法逻辑上的混乱,也降低了执法的质量。因此必须完成相关规则的融合,理顺不同执法部门之间的合作关系。而规则的融合需要指引和统一,信用法律制度的作用即在于此。
我国《网络安全法》通过具体条文规定了网络运营者的数据安全保障义务,并对数据盗窃等行为进行了初步的法律评价,且针对敏感数据的跨境转移做出限制性规定。但是《网络安全法》中的制度仍旧是一种事后性的惩戒制度,其法律评价皆是负面的,同时其可操作性有待商榷。网络安全法体现的是一种规则融合的趋势,这一规则融合如果能与信用体系相联系,依托信用体系的运行对事前、事中、事后的行为都产生约束力,那么制度运行的效果可能更佳。
我国《数据安全法》中提到:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”由此可见,数据安全法更加强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益给予全面保护,从这一点上,信用法律制度与《数据安全法》有着相同的价值取向。因此《数据安全法》并不是一部“侵权责任法”,而是一部“安全促进法”,这一点与信用制度的激励作用也是相契合的。
综合来说,数据安全问题是很多问题的抽象化,因此数据安全法律体系相应地具有层级化和综合化。从层级化的角度来看,信用数据法律规制中,信用法起到了承上启下的作用,在专门法律和民事基本法律之间搭建了桥梁。从综合化的角度来说,信用法律制度和信用体系为规则的融合奠定了基础,也为融合后规则的实施提供了基本工具。
在数据安全问题的探讨中,数据主体指的是与数据相关的权利和义务的承担者,从广义上说,数据主体包括数据所有者、数据使用者、数据传输者;从狭义上来说,数据主体即提供数据的主体。数据主体是数据安全的核心,数据权利的确认是直接指向数据主体的,数据的利益也归结到数据主体之上。
1.完善对数据主体权益的保护
针对数据主体做出的行为,应当被认定为一种信用信息,继而成为信用评价的基础之一。相应的信用评价,反映了针对信用主体行为的可信赖程度,从而对信用主体的权益进行较好的保护。在构建隐私权保护制度方面,我国可以在考虑构建新型权利之外,建立监管机制,这一监管以信用为依托,通过信用监管,我国能够对数据主体的权益进行充分保护,并通过明确主体就其信用信息享有的各项权利确定保护方向。在此基础上畅通主体的救济机制,合理规制征信机构的相关业务,以此来全面保护数据主体的信息隐私权。
2.增加数据主体失信的法律责任
为使数据主体在行使权利的同时更好地履行义务,应对数据主体的义务作出具体规定,即数据主体应当保证信用信息真实、准确,不得制造、提供虚假信用信息。《数据安全法》对特殊的数据主体也做出了相关的规定,明确公权力机关收集数据以及委托他人收集数据时,应当恪尽安全义务。同时,通过信用立法明确对数据主体失信行为的惩戒措施,落实2016年国务院《关于建立完善守信联合激励和失信联合惩戒制度加快推进社会诚信建设的指导意见》 中“健全约束和惩戒失信行为机制”的要求。明确规定对失信数据主体的惩罚措施,强化失信信息的联通共享机制,形成对失信数据主体的全面有效约束。
第一,数据安全问题不仅仅是一个行业自律问题,在这一问题的解决中公权力机关的地位和职能较为模糊。一方面,我国不存在专门的管理数据信息的行政部门,反而几乎每个行政部门都有相关领域数据管理的权限;另一方面,数据安全问题在不同的领域具体化为不同的问题,几乎涉及行政管理的每个方面,很难抽象化统一解决。
因此,针对数据安全问题的特殊样态,可以引入一种新的管理理念,即“契约式管理”。契约式管理,是指管理者与被管理者平等地签订契约,约定管理事项的基本内容,按照契约规定的时间和范围进行管理。契约式管理并不意味着被管理者地位的改变,也不意味着特定行政机关作为管理者的公权力不复存在。而是公权力机关作为管理者,对自己的权力进行自我限制,实质上是一种管理方式的优化,是公权力行使方式的创新,“这一创新实质上是一种非正式的约束机制,这一责任机制不具有强制力,既可以由政府主导,也可以由私人主体主导。”(40)王瑞雪:《论行政法上的治理责任》,《现代法学》2017年第4期。契约式管理有以下优点:一是通过肯定被管理者的地位,激发被管理者的积极性和自主权;二是通过契约的方式,实现管理内容的适当化,有利于更好地实现管理目标;三是在追责程序上更完善,包括行政制裁和违约惩罚,追责手段更加多元化。
契约式管理的运行是依托信用体系进行的,无论是监管者和被监管者,其行为都必须纳入信用评价体系之中。契约式管理的本质,是行政主体选用的信用工具的一种演变。“政府规制中的信用工具,是行政主体对行政相对人的公共信用信息进行记录归集、评价分类、共享公开,并据此实施分类监管和联合奖惩的新型规制工具。信用工具能够有效整合多元治理主体和多元监管工具,为公民创造更多可利用的信息选择,是确保行政义务履行制度的新发展。”(41)王瑞雪:《政府规制中的信用工具研究》,《中国法学》2017年第4期。在信用体系下,管理契约的相对人的确定、监督管理过程的设计和评价管理结果的确认等问题都能得到较为妥当的解决。
信用是一种特殊的信息,在互联网技术普及的背景下,信用信息必然转化为二进制的数据,流通的信用信息与数据具有本质上的一致性。信用与数据遵循相同的逻辑,信用与数据安全二者相互联系又相互作用。信用作为一种特殊的数据,通过信用法律体系独立地运行,能够为数据安全法律规制提供新的思维路径。
信用数据的特殊性依托于信用法律体系,信用法律体系又有其独立性,信用法律体系全方位覆盖“政府—市场—社会—司法”领域,名义上是为了提高诚信,实际兼具加强法律实施之意。(42)沈岿:《社会信用体系建设的法治之道》,《中国法学》2019年第5期。我国目前已经初步建立起较为完整的信用法律体系,同时《数据安全法》和《网络安全法》都体现出明显的促进数据安全发展的倾向,这两部法律也在价值取向、立法目的、实施方式和预期效果等方面与信用法律体系存在契合点。法治社会的内在推力,正在转向“数据驱动”,“ 定性法治”也逐渐转向为“定量法治”(43)蔡星月:《算法正义:一种经由算法的法治》,《北方法学》2021年第2期。。信用对于数据安全的作用力是全流程的,通过事前、事中、事后的信用信息收集,借由信用评价形成一种激励机制,促使相关主体审慎行为。即信用视角下的数据安全规制,不是针对具体行为的事后规制,而是对整体安全的激励与促进。
信用视角下数据安全的立法,以较为完整的信用运行体系为基础,以形成明确的数据安全规制体系为目标。在这一过程中,一切法律对策的出发点都是以信用的视角对现实情况进行分析,制度设计的落脚点在于妥善平衡各方利益,注重数据开放效率与安全的平衡。(44)单飞跃:《经济法理念与范畴的解析》,北京:中国检察出版社2002年版,第100页。在明确立法模式和目标价值的基础上,确立应该遵从的基本原则,以此进行具体制度设计,探索设计以数据主体为重点的制度,同时引入“契约式管理”的新理念,从而构建我国数据安全的信用法律规制体系。