文|许可
对外经济贸易大学数字经济与法律创新研究中心主任
一年之前,我曾用“再平衡与新常态”来勾勒2024年中国数据治理的前景。一年过去,从《促进和规范数据跨境流动规定》的实施到《网络数据安全条例》的发布,从《全球数据跨境流动合作倡议》的提出到《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》和《关于促进企业数据资源开发利用的意见》的出台,数据治理的“再平衡”之路未曾止歇。
与此同时,象征着转变与希望的“新常态”亦在不确定的环境中不断追寻。“新常态”需要“新思维”,值此2025开年之际,不妨借箸代筹,畅想那些潜藏于中国数据治理新常态下的新思维。
▲ 图源Pixabay
数据跨境流动的新思维
动态主权观
新年伊始,两则数据相关新闻相继刷屏。
一则是1月16日,欧洲数字权利非政府组织Noyb根据《一般数据保护条例》(GDPR)对TikTok、AliExpress、SHEIN、Temu、WeChat和小米提起投诉,指控其非法将欧洲用户数据传输至中国。
另一则是1月17日,美国最高法院基于“对TikTok数据收集做法和与外国对手关系的国家安全担忧”,做出《保护美国人免受外国对手控制的应用法案》(Protecting Americans from Foreign Adversary Controlled Applications Act)并未违宪的判决。
上述新闻反映出数据跨境流动议题在全球博弈中的重要性和复杂性。
近年来,在数字化与逆全球化两种相反力量的驱动下,网络空间一方面与现实空间深度融合,另一方面也在不断分裂和碎片化。作为汇聚个人权利、企业利益、国家安全多元价值的载体,数据在不同国家之间的流动问题由此成为风暴之眼。
2024年,中国发布《关于全球数字治理有关问题的立场》《全球数据跨境流动合作倡议》,就数据流动与安全发出倡议,既鼓励因正常商业和社会活动需要的数据跨境传输,又坚持以事实为依据全面客观看待数据安全问题,反对在缺乏事实证据的情况下针对特定国家、特定企业差别化制定数据跨境流动限制性政策,实施歧视性的限制、禁止或者其他类似措施。
显而易见,上述文件中“各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据”的声明,直接回应了美国政府所谓“中国从1.7亿美国TikTok用户那里收集大量敏感数据”的指责,同时也是外交部反击Noyb所谓“中国政府访问数据存在高风险”的依据。
但遗憾的是,上述倡议迄今并未获得积极响应。这不但因为其并不具有法律上的约束力,更因为其缺乏落实到行动上的实效性。
症结既明,不妨对症下药。一方面,可以通过人大释法,充分阐明《情报法》《国家安全法》《数据安全法》《反间谍法》的真意,明示中国尊重他国网络主权、并未授权中国政府调取海外企业数据的立场,同时以法律形式增加政府调取企业数据的程序性和权利性规定,明确数据调取的主体、范围、类型、合法性基础和法定程序以及企业的救济渠道。
另一方面,各国应充分认识到针对数据跨境的管控并非一国的内部主权,而是嵌入到全球架构下的“相互依赖主权”(interdependence sovereignty)。为此,任何一国都不可能凭借一己之力维护数据安全,而只能在国际合作的基础上形成可互操作的法律框架。不论是通过CPTPP、RCEP、WTO的多边条约,还是中欧、中德、中美之间的双边条约,数据跨境规则的实施都需要各方共同增加执法透明度、设立专门的救济机构,从而共同审查对方数据获取的正当性。就此而言,各方对自己部分的主权放弃,最终在网络空间延伸了数据主权。
▲ 图源Pixabay
平台数据监管的新思维
协作治理观
在“科技抵制”(Techlash)的浪潮下,强化大型网络平台的责任一直是全球监管的重心所在。
2024年,《网络数据安全条例》首次给出了“大型网络平台”的操作性定义,从而为中国大型网络平台监管奠定了制度之基。
展望2025年,随着大型网络平台名单的明朗化,平台企业将进一步落实《个人信息保护法》《网络数据安全条例》以及即将生效的个人信息保护合规审计管理办法、个人信息独立监管机构工作指引、新反不正当竞争法等规则下的特殊数据义务。
不过,正如《数据安全法》第9条“推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境”所昭示,平台企业不但是规制的对象,同样也是治理的主体。
事实上,作为单一主体无法解决的动态、复杂的棘手问题,数据治理不仅有赖于监管机构的主动性控制,还需要认可大型网络平台在市场生态、经济运转、纠纷化解、合规建设上的中心节点地位,激励其发挥“守门人”的角色,授权其负责任地参与到数据治理之中,此即“公私协作治理”之要义。
《网络数据安全条例》中对“重要数据”的监管就是绝佳例证。相关条款优化了《数据安全法》下重要数据的认定路径,从国家机关从上而下的重要数据目录制定,转换为自下而上的目录形成。对网络数据处理者而言,其应当主动识别、申报重要数据;对相关地区、部门而言,其应当及时确认重要数据范围,并向网络数据处理者告知或公开发布,否则将无需作为重要数据予以保护。
不仅如此,其还删除了征求意见稿第33条“数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意”的条款,代之以“网络数据处理者自行或委托第三方开展风险评估,并向主管部门报送”的义务。通过上述分工,重要数据保护成为公私多方的共同事务,由监管机构单方面的控制转变为相互冲突的利益得以调和并采取联合行动的持续过程。
在常态化监管的框架下,2020年以来直击平台运营内部的“穿透式监管”理应逐步回调到我国行之多年的“主体责任监管”,即从繁琐的行为管制逐步回调到更具原则性和灵活性的管理监管和责任追究上。
据此可以理解,《网络数据安全条例》何以增设“网络数据处理者对网络数据安全的主体责任”条款。其实质恰恰是在强调平台企业兜底责任的基础上,贯彻包容审慎监管的原则,既要求企业加强数据安全的自我管理,发挥预防式治理的效能,又为企业预留空间,充分尊重平台自治,尽量消除过度监管以及因信息不对称引发的不当干预。
▲ 图源Pexels
数据要素市场的新思维
善治市场观
作为数字经济的关键生产要素,数据价值的发掘始终依托于全国一体化的数据市场。
2024年,国家数据局密集发布了《“数据要素×”三年行动计划(2024—2026年)》《关于促进企业数据资源开发利用的意见》《关于促进数据产业高质量发展的指导意见》,财政部则在2024年1月1日生效的《企业数据资源相关会计处理暂行规定》基础上发布《数据资产全过程管理试点方案》,围绕数据资产台账编制、登记、授权运营、收益分配、交易流通等重点环节,指导中央部门和部分央企开展数据资产全过程管理试点。
2025年,随着《公共数据资源登记管理暂行办法》《公共数据资源授权运营实施规范(试行)》《关于建立公共数据资源授权运营价格形成机制的通知》,以及数据产权细化规则、数据登记管理办法、数据交易合同范本等文件的出台,我国数据基础制度已粲然大备,但从“纸面上的制度”到“实践中的制度”,依然“关山几万重”。
以企业数据市场为例,市场主体的期待和国家制度供给之间存在多重落差。
首先,国家倾向于做规则“加法”,而企业亟需消除数据流通桎梏的监管“减法”。在此意义上,细化个人信息匿名化标准、厘清重要数据范围、明确数据接受方的数据审核义务,进而建立起企业成本可负担的数据安全合规指引,是企业最有体感但却迟迟未能落地的关键性制度。
其次,国家倾向于开辟新市场,而企业倾向于既有市场的繁荣。无论是数据交易所,还是数据入表和登记,国家都试图拓展数据流通的范围、路径和规模;但对企业而言,“无场景,不数据”。数据的场景依存和强信赖属性,使得数据流通一般在关系性契约中开展。因此,数据流通症结与其说是供给或需求的不足,毋宁是放松数据使用管制,激励数据利用模式的创新。
可惜这层深意并不太容易被国家探知。2024年末的《银行保险机构数据安全管理办法》可视为反面例证。该办法严重混淆了“个人信息保护”和“数据保护”规范,不但将“企业、机关、事业单位、社会团体和其他组织”都囊括到“数据主体”之中,而且赋予其《个人信息保护法》下的知情同意权利,要求银行保险机构收集数据坚持“合法、正当、必要、诚信”原则,完全忽视了《数据安全法》第32条仅列出“合法、正当”原则的微言大义,不仅过分限制了金融机构数据利用活动,更有损于金融数据市场的形成。
最后,国家倾向于“经治理的市场”,而企业倾向于“自在自为的市场”。正如诺贝尔经济学奖获得者让·梯若尔教授所洞见的:
“为了获得市场的好处,通常需要远离自由放任经济学,事实上,经济学家付出的大部分努力都是为了识别市场的失灵之处,并找到矫正市场失灵的公共政策”。
作为虚拟之物,数据要素市场比实物市场更有赖于国家建构。因此,企业应充分认识到数据是多元主体、多元利益的集合,在国家赋权和国家限权的双向运动中,努力消解数据孤岛,最大化数据福祉。
公共数据市场亦是问题重重。2024年12月22日,审计署报告2023年度中央预算执行和其他财政收支审计查出问题的整改情况,明确指出“关于利用政务数据牟利成为新苗头”。过去几年,为缓解政府财政收入压力,个别地方政府将公共数据资源化、资本化、资产化,甚至提出数据财政、数据税收、数据金融的构想,恰恰背离了公共数据服务于人民的本质。
与企业数据市场以效率为导向的“有效市场”为目标不同,公共数据市场是以公正为导向的“民主市场”。正因此,公共数据授权运营首先要落实公平竞争审查,破除地域歧视和所有制歧视,通过非独占、非排他的运营授权,在坚持数据安全能力的前提下,尽可能容纳数量和类型更多的运营主体,从而促使“进入公共数据市场的竞争”转变为“公共数据市场之内的竞争”,真正契合公共数据“取之于民,用之于民”的要旨,进而推动全国一体化数据市场的形成。
其次,公共数据授权的定价应根据《关于建立公共数据资源授权运营价格形成机制的通知》,坚持“补偿成本、合理盈利”原则,尽量降低二次利用公共数据的社会成本。
最后,正如“数据是石油”充满误导性一样,公共数据也非公共资产,更不是国家资产。公共数据价值流失的最大风险并不在于低价授权,而在于被禁锢于一隅,或者被个别企业独占,以至于无法发挥其价值。只有彻底抛弃传统国有资产的管理模式,才能培育与发展中国的公共数据市场。
▲ 图源Pexels
一转眼,21世纪已经过去了四分之一。身在历史甬道中的我们,既是历史的见证者,也是历史的创造者。中国数据治理新常态无法一蹴而就,2025年或许还会经历从国际博弈到AI跃迁的大变革,全球数据治理的格局也将因之而改变。
正如联合国将2025年命名为“国际量子科学技术年”一样,2025年必将如量子力学般充满了不确定性。但这并不意味着我们无所作为,相反,每一个人都将是不可或缺的变量,因为,恰恰是我们的在场和观测赋予了量子结果的确定性。
END
【推荐阅读】
