作者简介:王惠民,中南财经政法大学法学院博士研究生,湖北地方立法研究中心研究助理,研究方向:立法学、数字法学。
基金项目:国家社科基金青年项目“国家数据主权安全风险的全息测度与层级治理研究”(编号:25CTQ048)
文章来源:本文发表于《天府新论》2026年第1期。
摘 要:数据安全风险产生的根源在于数据处理过程中封闭性导致的“黑箱”效应和认知开放性引发的溢出效应,对数据安全风险的规制宜从“命令—控制”型政府规制模式转向自我规制模式。反思法理论以自我规制为核心并从规制理念、规制结构上提供了进路。以反思法为理论工具,对我国现有与数据主题密切相关的120部法律规范文本进行检视,发现现有立法中存在规制理念以干预主义为主、组织型规范缺乏对组织结构的引导,以及程序型规范中的激励与监督机制、沟通型规范中的信息披露机制、授权型规范中的授权前提和授权保障机制缺位等问题。为促进数据的发展和安全,数据领域立法需通过在立法理念上形成保障主义倾向,在规范形式上以促进型、激励性立法为主,在规范结构上强化对构建自我规制机构的引导、重视激励与监督机制、增加信息披露机制、明晰被授权前提与保障机制,以及在立法中对自我规制保持谦抑等系列措施进行系统性回应。
关键词:数据安全 自我规制 社会系统论 反思法 立法
一、引 言
数字时代,数据成为新型生产要素,赋能新质生产力发展。然而,数据泄露以及数据权力滥用引发的数据监视、数据欺骗、数据垄断等现代性风险成为全球性治理难题。习近平总书记强调,“要全面提升技术治网能力和水平,规范数据资源利用,防范大数据等新技术带来的风险”。2022年《中共中央国务院关于构建数据基础制度 更好发挥数据要素作用的意见》(以下简称“数据二十条”)更是明确提出,“建立安全可控、弹性包容的数据要素治理制度”。
数据安全风险的治理早已引发理论与实践领域的关注,现有规制方案大体可划分为以赋权模式为代表的私法路径和以行为规制为代表的公法路径。尽管两种路径的底层逻辑不同,但却形成了一个共识——强调数据安全风险的自我规制。如何实现自我规制?早期学界研究从程序性自我规制出发,提倡政府在数据、算法等层面加强对平台自我规制的程序性引导;随着技术的复杂化,近期学界研究将目光从程序性自我规制转移到平台组织结构的自我规制,对“内部管理型规制”“数据经纪人”“金融企业合规”等自我规制的具体制度进行引介与适用。
然而,现有研究一方面未对数据安全风险自我规制的定位与底层逻辑进行深入的理论诠释,仍然将自我规制视为对政府规制的弥补;另一方面未能对我国现有数据立法进行全面梳理,结合我国实践现状提出系统性的措施。实际上,数据安全风险自我规制的底层逻辑是承认法律认知即政府监管的有限性和数据技术内部运作的独特性,这与社会系统论相契合。因此,借助该理论分析数据风险产生的根本原因,可以从理论上论证规制模式应当从政府规制转向自我规制。同时,规制模式的转向需要从牵住立法这一“牛鼻子”开始,因此引入社会系统论的延申——反思法理论中关于自我规制的理念与结构,以其为评估标准,对我国现有与数据主题密切相关的120部相关立法进行检视,进而提出具体的立法优化措施,最终实现数据安全风险自我规制理论与实践的耦合。
二、数据安全风险规制模式的转向:
从政府规制到自我规制
数据安全风险的表现形式多元,但其生成的根本原因却万变不离其宗:一方面在于数据处理过程中所采用的复杂技术自带的“黑箱性”,另一方面在于数据处理与社会其他领域相连接导致风险外溢而产生的蝴蝶效应。这与社会系统论所强调的社会子系统运作的封闭性与认知的开放性相契合。然而,现有立法采用“命令—控制”型政府规制忽视了数据子系统的封闭性与开放性,致使该规制模式下抑制技术创新、倒逼数据安全风险扩大、政府监管方式难以克服技术壁垒、政府与数据处理主体之间对立僵化等局限凸显。而自我规制模式不仅与社会系统论相呼应,且能有效克服政府规制模式的不足。因而,无论是从国家的政策方针出发,还是从数据安全风险产生的底层逻辑出发,数据安全风险的规制模式都有必要从政府规制模式转向自我规制模式。
(一)数据安全风险的生成机理:数据子系统的封闭性与开放性
根据数据的生命周期,可以将数据安全风险类型化:第一,输入层风险,包括数据泄露、数据失真、数据违法收集等;第二,处理层风险,包括数据歧视、数据“黑箱”、数据污染等;第三,输出层风险,包括数据杀熟、虚假信息、数据监控等。数据安全风险的生成原因分类诸多,既有主观上的,也有客观上的;既可能来自数据本身,也可能来自数据处理者。但归根结底,引发数据安全风险的根本原因有两个层面:其一是数据处理过程中的内因所致,其二是数据与社会其他系统结合过程中的外因诱导。这与尼古拉斯·卢曼(Niklas Luhmann)的社会系统理论相契合。该理论认为,一方面,在功能高度分化的背景下,社会可以划分成多个子系统以化约(reduction)复杂的环境,各个子系统之间沟通的“语言”各异,如数据处理系统通过“0”(false)和“1”(true)进行包括识别数据、存储数据、传输信息等程序在内的所有操作,而法律系统则通过“合法”与“非法”进行运作,由此,各个系统通过沟通的界分形成独特而封闭的自我运作逻辑;另一方面,各子系统会将其他系统的特定变动转译为内部信息,进而加以认知或做出回应,即子系统会对来自其他子系统的激扰(irritation)进行认知并自我调整,由此,各个系统又形成了认知上的开放性。
具体到数据子系统中,由于数据处理技术具有封闭性,不可避免会产生诸如数据混合、数据黑箱等风险;又由于数据系统的认知开放性会受到伦理、法律、舆论等外部系统的影响,从而会使计算过程出现歧视、不良信息等。同时,数据系统也会向其他系统输出,形成激扰,甚至将内部所产生的风险外溢至其他系统,并与其他系统形成结构耦合,以致系统的细微异化会引发连续共振,产生意料之外的蝴蝶效应。总而言之,目前数据安全问题引发的法律风险,是由于法律系统未能在数据系统中产生预期的规范化影响,系统之间尚未形成同频共振。
(二)现有“命令—控制”型数据安全风险规制模式及其局限
厘清数据安全风险产生的根本原因后,归纳现有规制模式可知,实践层面的规制主要以“命令—控制”型的政府规制为主,其基本逻辑仍然是以政府监管为本位,具有强烈的国家干预主义色彩,过分强调法律系统对数据系统的塑造能力,忽视了社会子系统的封闭性。
1.“命令—控制”型规制模式的表现形式
需要说明的是,现有关于数据安全风险的规制模式大体上仍属于政府规制模式,虽有部分立法强调了社会主体的自我规制,但从政府介入的实际深度来看,仍将自我规制视为对政府规制的补充和支持。根据规制的实施方式,政府规制模式可以具体化为两大类:第一,行政许可式规制,即通过国家立法规定政府机构设立的若干义务标准,并赋予特定行政机关通过行政许可的方式进行监管的权力。欧盟和我国现有立法主要采取这种方式,如我国《数据安全法》第34条规定,“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”,该法第四章也明确规定了“数据安全保护义务”。第二,技术标准式规制,即通过国家立法强制规定数据处理者使用或禁止使用特定的技术或行为,否则即给予惩罚和强制。美国主要采取这种形式,通常采用行为准则、行业标准等“软法”为市场提供监管参考。但是,美国在全球数据的自由流动规制中却频显数据霸权主义,实施严格的有利于自身的流动和不利于他国的全面封锁。
经梳理可知,前述两种规制的区别主要在于监管主体中社会主体参与的多与少以及监管程度上的强与弱,底层逻辑仍然是将政府作为规制主体,将法律法规作为规制工具,以行政处罚乃至刑事处罚等强制手段为保障,试图通过“命令—控制”式规制逻辑达至数据安全保护的目的。
2.“命令—控制”型规制模式的局限
“命令—控制”型规制模式因其固定性、高效性而在传统治理领域成为首选,但在充满不确定性、迭代性的数字社会却捉襟见肘。首先,“命令—控制”型规制模式会抑制数据技术创新。如欧盟《通用数据保护条例》(GDPR)过于严格的监管措施导致雅虎日本退出欧洲市场。美国国家经济研究局(NBER)指出,在GDPR推行后,欧盟国家创新企业的融资总额、融资交易笔数以及每笔融资交易金额均大幅减少。其次,“命令—控制”型规制模式会倒逼数据风险扩大化。为应对具有惩戒性的强监管措施,数据平台公司需要增加技术复杂性来应对监管,额外功能或模块的增加会引发系统的复杂化,还可能因为错误路径和安全风险的增多导致出错几率的提高,最终造成数据系统“黑箱性”和风险愈演愈烈而监管愈加增强的恶性循环。再次,“命令—控制”型规制模式难以突破技术壁垒。数据处理技术具有极强的复杂性,对该类技术设立具体的标准或行为指南需要综合考虑数据挖掘、回归分析、分类分析、数据融合与集成、分布式文件系统等内容,且不同的业态领域所适用的标准也应有所区别,存在技术上的难度。最后,“命令—控制”型规制模式强调对抗、通过威慑实现法律遵从,虽有一定成效,但经常导致规制者与被规制者在立场上呈现对立的僵局,影响治理效果。
(三)数据安全风险自我规制模式的相对优势
基于“命令—控制”模式的局限,自我规制模式应势而动、顺势而为,不仅回应了系统论视野下数据安全风险产生的基本逻辑,突破了“命令—控制”型规制的短板,而且治理效果更加灵活、长效,可与治理目标相耦合。
1.自我规制模式与社会系统论的理论契合
社会系统论认为,子系统内部运作的封闭性导致外部子系统无法直接干预,而子系统认知的开放性则表明其具有自我调整的自创生能力。自我规制强调数据处理主体基于社会责任感、建立名誉声望或自律等动机对自己的行为进行自我约束和规范,其根本逻辑是尊重特定主体的自我特性,发挥自我规范的作用,这与社会系统论的基本逻辑相契合,也从根本层面回应了数据安全风险产生的原因。
2.自我规制可以弥补“命令—控制”型规制模式的局限
相较于政府规制,自我规制在数字时代主要具有以下四种优势:第一,社会接受度广。自我规制并非完全依赖于国家强制力,而是更多地依靠伦理标准、同行压力或自愿性的行为准则实施运作。实行自我规制不仅可以形成鲶鱼效应共促更高行业标准的形成,也能获得更广泛性的被接受度。第二,有效突破监管技术壁垒。与其他主体相比,数据处理主体储备有较高的专业知识与技术,洞悉行业相关动态和信息,可以精准制定具有可行性的相关行业标准或操作指南。第三,灵活性较高。自我规制在制定相关规制准则以及实施规制行为时,实施前不需要经过漫长的立法或批准程序,实施中可以根据情势变更进行紧急调适,实施后可以采用多元化方式维护成效。同时,自我规制具有试点功能,针对新兴技术所产生的不确定性,不宜经常性适用大规模的、运动式的政府规制,而自我规制的范围限定在特定主体中,其在规制过程中所积累的有效经验,经验证后可以为国家立法或执法提供参考。第四,实施成本较低。自我规制一方面可以提前将风险“扼杀”于摇篮中,避免内部风险外部化,造成大规模社会性事件;另一方面其实施成本由企业自行承担,符合权利义务平衡原则,避免行政资源的过多浪费。
三、数据安全自我规制模式的反思法进路
数据安全风险生成的内外部逻辑决定了政府监管路径必须适时转为自我规制路径。路径转向论证完成后,下一步需要解决的问题从“是什么”变成了“怎么样”,即如何进行自我规制。社会系统论契合了自我规制进路,而贡塔·托依布纳(Gunther Teubner)在社会系统论基础上进行延伸提出的反思法(reflexive law,又译为反身法)理论,为自我规制提供了具体的指引。
(一)反思法理论与自我规制模式的理论切合
反思法是法社会学中的重要观点,其核心理念在于法律子系统通过自我反思完成自我规制,最终实现法律与外在社会结构的整合。如卢曼曾将“反思”类型化为“反身性机制”与“反思性机制”两种,前者强调在自我指向之下“适用于自己的过程”,后者则强调在他者指向之下与环境(其他系统)之间发生指涉。而作为反思法理论的集大成者托依布纳则比较了诺内特和塞尔兹尼克的“回应型法”观点、哈贝马斯和卢曼的社会理论。他认为:“回应型法”观点侧重于从法律制度的“内在”变量来说明法律的变迁,即各种社会力量、机构限制、组织结构和概念潜能之间能动的相互影响,但是,该观点没有回应法律与外在的社会结构之间是如何整合的;相反,社会理论强调的则是法律与社会结构的“外在”联系,即法律系统内不同的演化机制间的互动。因此,托依布纳的策略是将“内在”变量和“外在”变量统合于它们的共变模型之中,既关注现行法律制度的发展潜能,也关注正在涌现的后现代社会的限制和必然性。综合法律系统的“内部动态”的构思和涉及外部环境的法学思想,在此基础上形成“反思的法”的模型,即从内部认识到法律直接控制的局限性,借助组织、程序、授权等间接规制手段,从外部充分尊重其他子系统的自我指涉能力,将其他子系统中的有益因素广泛引入法律规制中,并希望与它们协调和整合。
随后,托依布纳借助哈贝马斯界分现代形式法的观点,根据法的正当化(规范理性)、外在功能(系统理性)和内在结构(内在理性)的演化提出了形式法、实质法和反思法。其中,形式法的正当化来源于对个人主义和自主性的完善,外在功能是为资源流通和分配以及政治制度中的合法性提供结构性前提,内在结构则是以规则为导向,通过演绎逻辑予以适用的概念式建构规则。简而言之,就是试图通过规则的设置使私法主体能够追求内心的真实意思,并且根据真实意思来创设规则。然而,形式法以规则为导向,欲借助法律推理解决所有社会问题,实际上却难以用有限的、稳定的规则来解决复杂多变的现实问题,且过于强调个人主义。实质法的正当化来源于对经济行为和社会行为的集体规制,并且补偿市场的不足;外在功能是为国家修正由市场决定的行为模式和行为结构提供工具;内在结构则以目的为导向,通过有强制约束力的法律和标准规制社会行为,将关注点从自主转向为规制,强调法律为了社会的整体利益可直接干预私人和国家的利益,容易陷入干预主义政府危机。
以“形式理性”理论引导的放任范式和以“实质理性”理论引导的干预范式,都不能适应日益复杂的社会发展状况。于是,托依布纳在放任主义和干预主义之间提出了第三条路——自我规制的反思法范式。在反思法的正当性方面,其提倡“受规整的自治”,旨在促进社会子系统积极地自我学习,同时试图以辅助性、后设性的法律规范弥补社会子系统的功能缺陷。外在功能是通过去中心化的方式为所有社会子系统构造内部的程序和组织机制以及相互协调机制,从而为功能分化社会的系统整合创造法的结构性前提。内在结构则是通过影响组织机构、能力和程序,促使其他社会系统建立起一套更为民主化的自我管理机制。
(二)反思法理论的规制范式革新及其具体进路
相较于放任主义与干预主义,反思法理论在数据安全风险规制范式上的革新主要体现在规制理念和规制结构两个层面。在规制理念层面,一方面是国家的规制角色应当从干预者转变为保障者,承认法律的有限性,尊重数据子系统的运行内在逻辑,设计符合数据子系统自主运行的相关规范,而非事无巨细的标准或指标;另一方面是规制主体应当从政府单向管理转向协同治理,发挥数据处理者、数据主体、行业组织等社会主体的作用,这与我国提倡的“共建共治共享的社会治理制度”以及“数据二十条”中第16条规定的“充分发挥社会力量多方参与的协同治理作用”相适应。在规制结构层面,托依布纳的反思法理论提出: “法律的作用在于对决定做出决定、对规制进行规制,并根据组织、程序和权能对未来的决定确立结构性前提。”我国学者在此基础上将反思法规制结构类型化为四种维度。根据我国数据发展与现有法制体系,适用于数据安全风险自我规制中可以理解如下:
1.组织型规范
组织型规范指通过法律规范将维护数据安全的目标嵌入数据处理平台、社会组织等数据自我规制主体的运行目标之中,并通过构建内部组织结构形式化落实数据安全目标。例如,要求数据处理平台将维护国家安全、道德伦理等理念作为平台的经营宗旨,并且由平台自行设立安全委员会、伦理道德委员会、数据保护官等机制,通过对其经营目的、治理结构进行调整,引导其选择建立数据安全型的组织架构。
2.程序型规范
程序型规范指鼓励科研机构、企业法人和社会组织等数据处理主体根据自我运行流程构建内部的数据安全管理制度,而规制者为它们执行监管提供保障。具体而言,一方面,通过法律规范以宽泛式要求或具体式要求的形式,使用强制手段或者激励手段让自我规制主体对其决策程序或运行流程设定内部数据安全管理机制,如数据安全风险评估、报告、信息共享、监测预警机制等。另一方面,政府需要通过审批制或备案制对内部数据安全管理制度进行审核,并由政府或符合相关规定的第三方主体对后续的制度落实情况进行监督。
3.沟通型规范
如前文所述,社会各子系统之间由于沟通“语言”的不同使各子系统呈封闭式运作,这种封闭使各系统之间缺乏沟通进而导致无法形成“共振”。因此,反思法主张经由有组织的沟通,通过有组织地搭建沟通平台,促使各子系统之间能够充分沟通协调。首先,数据处理者应当通过信息披露的方式将其所采集、存储、处理、销毁的数据情况在合法合理的限度内进行及时公开,增加可解释性,以此避免“黑箱”效应,促使企业自发进行反思与调整。其次,政府要与自我规制主体在协同治理数据安全风险过程中保持友好、尽可能平等地沟通与反馈。比如制定相关立法或行业标准时,政府应当充分吸收相关数据企业、行业组织等的意见,甚至它们可以共同参与制定。这样既能减少政府单向规制时难以攻克的技术“堡垒”,也可确保相关规范的科学性、民主性以及最终的落地实施。最后,自我规制主体与相关利益人之间要保持充分的沟通,比如数据的处理需要征得同意、数据的销毁要进行公示、设置用户反馈投诉平台等,最终形成良好有效的信息披露与交换机制。
4.授权型规范
授权型规范是指依照权限规范在一定限度内将公共规制权力委托或授权给获认可的第三方主体的规范。如隐私计算行业建立的隐私计算联盟,不仅参与了诸多隐私计算领域数据处理标准的制定,还通过隐私计算白名单、隐私计算行业互评等方式督促行业良性发展。数据本身涉及多个行业多个领域,来源于不同的子系统,且数据处理技术具有相当的复杂性。引入第三方主体,一方面可以促进自我规制主体和规制力量的多元化,增加子系统之间的耦合性;另一方面也可以提高规制的专业度,降低政府单独规制的社会成本。应当注意的是,该规范的实施需要结合我国以政府监管为主的实际情形,遵循两个要求:一是在权限规范限度内,如涉及国家安全领域或者重大公共利益的,仍应当由政府主管;二是第三方主体应当获得认可,这就要求其具有相当程度的专业水平和独立性。
(三)反思法理论具体落实的优化
反思法理论虽然高度契合我国数据安全风险自我规制的需要,满足正当性层面的规范理性、功能层面的系统理性、结构层面的内在理性要求,但是在具体实施中有两点需要进行优化。第一,该理论存在忽略个体的局限。在系统层面,该理论发掘法律系统的反思理性,通过“自我控制”来实现系统整合和社会整合,此处的理论重心在于系统;在组织层面,社会子系统内部的组织机构试图发掘组织的反思理性。在反思性的双重架构中,托依布纳按照“剥洋葱”的顺序解决了外层系统和内层组织的一些问题,但是仍未触及“洋葱”的内核——个体。因此,在落实的过程中不仅要注重相关企业和行业组织的自我规制,也要重视个体在自我规制中的作用。第二,该理论存在忽略制度特殊性的局限。托依布纳的反思法置身于市场体制下,虽然摒弃了自由市场万能论,但是也存在对自我规制预期过高的情形。因此,在实施过程中必须置于我国社会主义制度之下,在维护国家利益、集体利益的前提下充分发挥自我规制的作用,对于涉及国家安全和重大公共利益的领域,仍应当把政府作为主体或最终裁定者。
四、反思型进路下
我国数据安全立法的实践检视
反思法理论为我国数据安全风险自我规制提供了理论指引,而自我规制的实践落地则需要通过立法先行发挥引领和保障作用。可以说,数据安全风险规制模式转向的起点应当是立法。然而,现有立法是否体现了自我规制、体现到何种程度、存在何种不足等问题仍需要通过实证分析来得知。因此,以反思法理论为评估框架,以中央和地方两个层面共120部与数据主题相关的法律法规为分析样本,可较为全面地检视我国数据相关立法的自我规制动向。
(一)现有立法样本及其筛选原因
以“北大法宝”法律信息库作为数据来源,以法律、行政法规、部门规章、地方性法规、地方政府规章为范围,首先,用“数据”进行标题检索,共获取91部法律法规。其中,法律1部、行政法规2部、部门规章10部,地方性法规41部、地方政府规章37部。剔除与数据主题无关的4部部门规章、4部地方性法规、2部地方政府规章,共获得有效样本81部。其次,因部分地方将与数据有关的立法冠以“数字”之名,故又用“数字”进行标题检索,共获取35部法律法规。其中,部门规章1部,地方性法规27部、地方政府规章7部。剔除与数据主题无关的1部部门规章、1部地方政府规章,共获得有效样本33部。最后,人工检索与数据紧密相关但未冠以“数据”或“数字”之名的法律法规共6部,如《网络安全法》《个人信息保护法》《生成式人工智能服务管理暂行办法》等。因此,共获得涵盖中央、地方两个层面和各个效力位阶与数据主题密切相关的有效分析样本120部。
(二)反思法理论下现有立法样本的检视
确定分析样本后,借助反思法理论的规制理念与规制结构对样本进行考察,方可有效知悉我国现有数据相关立法关于自我规制的动态。
1.规制理念维度:法律干预主义倾向
根据反思法理论规制理念维度的“规制角色”“规制主体”和“规制方式”三个标准,对现有立法进行整体上的考察,发现在规制主体方面,大部分立法已经基本体现了“政府单项管理为主,多元主体协同治理”的理念。但是,现有立法所强调的协同治理并非将数据处理主体与政府置于平等地位,而是将其作为补充者,即强调自我规制对政府规制的补充作用。因此,我国现有立法在规制角色上仍然存在严重的国家干预主义或法律父爱主义倾向,而以预防数据安全风险为由施加家长主义干预,极有可能导致几乎所有的数据处理私人行为都将受到法律规范干预的灾难性局面。在国家干预的规制角色和政府单向规制为主的规制主体双重背景下,我国现有立法的规制方式也体现了极强的“命令—控制”色彩,通过要求数据处理主体满足相关的强制性要求,以及违反要求可能招致处罚,来实现立法目的和监管目标。总而言之,我国对于数据安全风险的规制理念仍以法律干预主义和政府权威为主导,这种中心化、等级化的理念与数字社会自我赋权和规制革命潮流下的扁平化、多元化、自由化等理念背道而驰。
2.规制结构之组织维度:缺乏对组织结构的引导
样本中设有组织型规范的有31部,涵盖法律、部门规章、地方性法规和地方政府规章。其内容可以类型化为“目的引导型”和“组织结构引导型”两种,并以前者为主。第一,目的引导型,即对数据处理者的数据处理或数据经营行为设置宗旨目标,包括积极目的和消极目的。积极目的主要有“遵守法律法规”“遵守公序良俗”“尊重伦理道德”“保护个人信息权益和商业秘密”“诚实守信”五个方面的内容。消极目的则主要涉及“不得危害国家安全、公共利益”“不得泄露国家秘密、商业秘密和个人隐私”“不得实施垄断性市场行为”“不得利用数据分析对交易条件相同的交易相对人实施差别待遇”四个方面的内容。第二,组织结构引导型,即对数据处理者的具体组织结构设置引导。内容主要包括“建立数据分类分级管理体系”“实行首席数据/信息官制度”“加强数据领域相关知识和技术的宣传与培训”“设置专门安全管理机构和安全管理负责人”等。
目的引导和组织结构引导是组织规制的一体两面,两者之间存在着理念指引和实践落实的关系,只有两种引导相衔接形成闭环才能发挥出组织规制的效能。然而,我国现有立法中不仅有关目的引导型和组织结构引导型的规范较少,且组织结构引导型规范在数量和内容上均落后于目的引导型规范,除“首席数据/信息官制度”外,并未引入其他具有前沿性或代表性的有力组织机制。这极易导致组织型规制在具体落实中出现“头重脚轻”甚至“喊口号”的现象。
3.规制结构之程序维度:激励与监督机制缺位
样本中设有程序型规范的样本有34部,同样涵盖法律、部门规章、地方性法规和地方政府规章。一方面,对于数据处理者的内部程序构建,主要以“应当”为立法表述,以“宽泛式要求”强制规定数据处理者建立数据安全管理程序。以数据生命周期为标准,其内容主要包括:第一,在数据处理前端设置“大数据采集、存储、清洗、开发、应用等全流程的安全防护管理制度”“数据安全等级制度”“数据安全风险测评等管理制度”“安全宣传与教育培训”等制度。第二,在数据处理中端设置“数据加密、访问认证等安全防护措施”“防攻击、防泄露、防窃取的监测、预警、控制和应急技术保障制度”“敏感数据特别技术保护”等制度。第三,在数据处理终端设置“数据销毁”“安全风险评估、安全事件应急响应和应急处置”“安全风险向主管机关报告”等制度。另一方面,对于政府监督,除少量法律法规规定政府需要“接受数据处理者的安全风险报告”和“协同制定应急预案”以外,未设置直接关于数据安全风险管理制度的审批或备案制度,而是将数据安全风险包含于算法安全风险之中,进行捆绑备案。
对于程序型规范,我国立法实际上已经设置了覆盖数据生命周期且较为具体的机制要求。但是,现有程序型规范仍以强制性规制为主,“命令—控制”色彩严重,缺乏激励性规制。因激励性规制能够在消耗更少社会资源的同时保障数据安全,提高数据处理主体承担数据安全保护责任的积极性,激励性规制缺失将导致资源浪费。同时,在本该发挥政府强制作用的监督阶段,现有立法却极少对这些程序性制度做出审批或备案要求,“顾前不顾后”的制度安排会导致程序规范最终流于形式。
4.规制结构之沟通维度:信息披露机制严重欠缺
样本中设有沟通型规范的样本有29部,除《网络安全法》和《个人信息保护法》设有相关规定外,其他27部均为地方性法规或地方政府规章。沟通型规范可以划分为信息披露与协商两个方面,因此分别考察。第一,在信息披露方面,仅有《个人信息保护法》第58条明确规定“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”需要“定期发布个人信息保护社会责任报告,接受社会监督”,设定了信息披露要求。此外,《杭州市数字贸易促进条例》第26条规定了政府需实施“沙盒监管”制度,而沙盒监管本身要求企业满足信息披露要求,因而也可将此视为信息披露制度的一种。第二,在协商方面,关于数据处理者与政府协商的内容主要是“鼓励社会力量参与相关标准的制定”以及“鼓励社会力量通过研究、评估为数据发展和管理工作提供专业意见”。关于数据处理者与相关利益者的沟通,则主要通过要求数据处理者设置“投诉举报机制”来实现。
鼓励社会力量参与标准制定、提供意见,说明政府已经充分意识到并重视与数据处理者的沟通,至于要达到反思法理论中的趋于平等,暂时不符合我国的整体制度架构,至少在数据技术发展的“自然状态”下,主权下权力的存在是必要的。社会力量地位的提高有赖于国家规制角色的转变,而这并非一个短期内可以实现的任务。但是,信息披露机制却是眼下亟须构建并可以在短时间内完成的任务。有效信息的获知是沟通的前提,现有立法整体上缺乏对信息披露机制的考虑,仅有的两处相关规范在内容上也非常单薄,局限在个人信息和沙盒测试等特定场域。
5.规制结构之授权维度:授权条件与保障机制不足
样本中设有授权型规范的样本有27部,涵盖法律、部门规章、地方性法规和地方政府规章。具体的内容可以类型化为“授权数据处理主体参与数据治理”和“行业组织引导行业自律”两类。第一,“授权数据处理主体参与数据治理”,指现有立法鼓励数据处理主体在独立、公开、公正的前提下参与数据安全的检测评估、认证等工作,旨在将政府所有的部分行政确认职权委托给专业机构。第二,“行业组织引导行业自律”,则是指政府鼓励建立数据行业组织,并赋权行业组织在权限范围内对相关数据处理主体进行监督,旨在赋予行业组织一定的监督甚至行政处罚职权,以期形成行业自律。
现有立法通过“授权数据处理主体参与数据治理”来形成事中的授权型规制,同时通过构建“行业组织引导行业自律”形成事后的授权型规制,却忽略了事前的主体认证——对于前述两种被授权主体的授权条件的认证。授权条件的缺位意味着对被授权主体专业能力考核把关的缺失,如此难以形成可预期的自律环境。同时,行业组织的履职在较大程度上依赖于政府的保障机制,因而有必要对相关的保障制度进行立法安排。
五、我国数据安全立法的反思型优化措施
立法是发现而非发明。反唯理主义的社会理论立法观认为秩序是社会存在的首要前提,人们对秩序化的需求会自发形成社会交往的规则,法律从内容上来源于这些自生规则,“立法”只是对自生规则的选择与确认。因此,立法需要对数字社会中数据安全风险的自我规制需求进行确认与回应。但是,立法转向也必须紧密联系“现代国家”的大背景,以及科学立法、依法立法和民主立法的要求,完全去中心化的自我规制至少是不符合当下我国实际的。因此,依据社会发展阶段,我国数据安全风险立法规制理念的转向可以分为“国家保障为主、国家干预为辅的协同共治的早期目标”与“国家保障下多中心治理的远期目标”两步。在这一整体规划下,立法形式上应当由“具体化、强制性、管理型立法”转向“原则化、激励性、促进型立法”。立法内容上则应当通过引导自我规制机构的建立、合理安排内部监管制度、增加信息型规制、加强“企业—用户”的对话、稳步发展第三方、增加第三方监管方式等措施实现反思法规制。此外,还需对自我规制的公权力介入设置合理界限,保持自我规制的社会自主性。
(一)规制理念的转变
规制理念特别是规制角色的定位,是实施数据安全风险规制的“总纲”。从亚当·斯密的“看不见的手”到凯恩斯的“看得见的手”,国家对自身的定位决定了立法与执法上的倾向。目前,我国数据立法对规制角色的定位仍是国家干预主义,这与数据技术发展早期风险社会化以及国家履行国家保护义务在一定程度上是相呼应的。因此,按照数据技术发展与风险规制能力的成熟度,我国数据安全风险规制的角色定位可以与技术发展的生命周期相适应而分两步走:在技术发展的前期,以“保障型角色为主、干预型角色为辅”,不过分干预,重在引导技术发展,为通盘考虑技术发展的利弊留下空间,同时适度约束,既避免监管过分严格扼杀发展中的新技术,又避免新技术为人类社会带来过度风险;在技术发展的中后期,总结经验,在数据技术发展与风险规制能力成熟的基础上,各方主体对数据安全风险问题获得较深入的认识,进而转为保障型国家的角色定位。在此基础上,规制主体亦应当由“政府单向管理为主,多元主体协同治理”逐渐转向“多中心治理”,突出自我规制的效能,提高数据处理主体、行业组织的规制地位,逐渐形成扁平化治理结构。规制方式也应顺势从“命令—控制”的形式转为激励性形式。
(二)规范形式的转向
规制理念从干预主义转向保障主义必然引发规范形式从管理型、强制性立法转向促进型、激励性立法。一方面,坚持发展和安全并重、促进创新和依法治理相结合已经成为包括数据立法在内的新型技术领域立法的共识,而促进型立法作为“以提倡和促进某项事业发展为基本宗旨的立法形式”,以强调“政府服务功能”取代管理型立法的“政府干预功能”,以“采用大量的任意性规范、授权性规范和鼓励性规范”的设范方式取代“权利义务 (责任) 对应”的设范模式。这既符合我国当下促进数据技术创新的总体要求,也能以宽容的态度充分尊重数据子系统的自主运行逻辑,还能使法律系统以尽可能柔性的方式来激扰数据子系统,形成共振。另一方面,新兴数字领域的促进型立法一般通过激励性规范和原则性行为模式指引来进行表达,虽有学者认为这难以为实践指明路径与方向,但是,这与数据安全风险自我规制立法要回归到“自我”这一原点,以充分发挥自我规制的能动作用、培养自我规制的良性氛围为出发点相契合。此外,与人工智能治理领域相似,数据安全风险自我规制立法也要适应技术发展的不确定性,充分考虑到数据技术飞速发展带给调整对象、社会关系的风险具有高度的不可预见性。因而,数据安全风险自我规制立法在形式上应当秉持促进型立法的宗旨,同时避开“将完备的制度构建寄托于理性立法”的“毕其功于一役”式的唯理主义立法观陷阱,允许法律存在一定的滞后性和容错率,以激励性规范为主,采用原则化的表述来引导自我规制。退而言之,即便因此导致实践上的“迷路”,也可通过行政措施或刑事措施等强制力量及时矫正。毕竟,在新兴技术领域,不发展才是最大的不安全。
(三)规范结构的转向
1.组织型规范:强化对构建数据安全自我规制机构的引导
针对现有立法在组织维度缺乏对组织结构进行引导的现状,应当引入更多组织机制,形成与数据生命周期相适应的全流程自我规制组织结构。纵观全球数据保护领域的代表性立法,欧盟在GDPR中设置了关于“数据保护官”的组织规范,在《数字市场法》第5—7条中则设置了“守门人”的组织规范;美国在《美国数据隐私和保护法(草案)》第三章(sec.301-305)中专门对数据企业的“隐私和数据安全官”义务进行了规定。遗憾的是,这些立法同样未能完成对自我规制全流程组织机构的制度安排。2021年,国际标准化组织(International Organization for Standardization,ISO)发布了《合规管理体系要求及使用指南》(ISO 37301:2021)。该标准提出了代表合规管理领域最新理念和成果的合规思路——采用“Plan(计划)—Do(实施)—Check(检查)—Act(改进)”即PDCA理念,完整覆盖了合规管理体系建立、运行、保持和改进的全流程。据此,数据风险自我规制的组织规范亦可引入ISO的PDCA合规体系,或者借助该体系的逻辑,以数据处理的“前端—中端—后端”设置全流程的机构规范,促进数据安全风险自我规制的组织结构体系真正落地。
2.程序型规范:重视激励与监督机制
我国现有立法中关于程序型规范的具体机制已经较为全面,因而后续的优化方向主要在于如何确保这些机制得到落实。对此,一方面要将强制性措施逐渐转为激励性措施,从内部提高自我规制主体的主观可接受度。即,可将自我规制者是否建立了完善的数据处理决策流程或运行流程与行政奖励或减轻相应行政处罚等相挂钩。比如,被称为史上最严格的欧盟GDPR中第83条(d)便规定了行政处罚应当“结合(数据)控制者或处理者是否采取了符合第25条和第32条的技术性与组织性措施”来判定责任程度。反观我国数据保护的基础性法律《数据安全法》第六章“法律责任”中仍然遵循传统的行政处罚逻辑,未设置减轻措施。因而,在后续立法中有必要重视并发挥激励性措施的引导作用。另一方面,要改变现有立法中对程序型规范落实层面缺乏监督的不足,通过强化行政机关的审批或备案等监督机制从外部督促程序型规范中的具体机制在自我规制主体中得到切实落地。至于何种情形适用审批而何种情形又适用于备案,无法一概而论。有学者针对环境保护领域提出“制度标准的清晰度”“信息需求和能力”“政府资源”三项考量因素,底层逻辑是根据环保企业具体机制的“可解释性”和政府的行政资源来定。但是,具体到数据安全领域,由于数据安全机制往往是根据数据处理的不同阶段进行设置,因而在考虑行政资源的基础上,可以对涉及数据处理前端的机制,如数据收集、存储机制等风险不易外溢的阶段实施审批制,而对于数据处理中端和后端的机制,考虑到实操过程中的多边性和“黑箱性”,则宜采用备案制,进行事后审核。此外,完成内部机制的构建和审核后,行政机关也当自行或通过第三方行业组织不定期进行监督,以形成完整的程序型规范链条。
3.沟通型规范:增加信息披露机制
沟通型规范的转向应当主要聚焦于提高社会力量特别是自我规制主体在参与数据安全风险规制中的地位和增加信息披露机制两个方面。自我规制主体规制地位的提升有赖于数字技术发展的成熟度和国家规制理念的提升,因而是一个长期的过程。但是,信息披露机制的增加却是当下的刚需,各个社会子系统和利益相关者必须在获取足够的知识和信息的基础上进行决策,并促成自我规制主体自发地反思和调整。据此,在今后的数据立法活动中,一方面要明确信息披露机制的流程与职责。即,由数据处理者自行收集有关数据处理的信息,并以清晰明确的方式进行公开以及解释,提高数据处理的透明度以接受社会监督。而政府则主要负责建立信息披露的主体、内容、时间、方式、平台、信息的通报和共享机制的标准等保障性工作。另一方面要丰富信息披露机制的类型,仅仅依靠处理个人信息领域和沙盒监管活动中两种特殊范围的披露以及《电子商务法》对电商平台的信息披露要求还远远不够。信息披露机制应当对数据处理的事前、事中和事后分别进行增加,如欧盟《数字服务法》(DSA)便对数字平台设置了较为全面的信息披露机制,其中事前和事中的信息披露包括:第15.1(a)(b)(c)所规定的政府、用户、自身发现的非法内容及其处理情况,15.1(d)用户投诉及其处理情况,15.1(e)自动化工具的使用情况。事后的信息披露则体现为第24.1(b)规定的庭外争议解决情况的披露。
4.授权型规范:明晰被授权条件以及保障机制
授权型规范的转向主要应当聚焦于行业自律组织的被授权条件以及保障机制。一方面,对于行业自律组织的被授权条件,难以形成模板式的标准,但是可以通过增加政府对行业组织行为守则的审核来把关行业组织的专业度,如欧盟《个人数据保护指令》第27(1)和(2)条便要求将各行业指定的行为守则提交监管机构进行审核,以检验其内容是否与数据保护规则相一致。美国佛蒙特州、加利福尼亚州近年也分别颁布了本州的数据经纪人立法,通过数据经纪人登记等制度提高数据交易行业组织的资格审核。另一方面,对于增加行业自律组织的保障机制,可以通过设置优惠政策、白名单等方式进行。行业组织具有非营利性,欲保持其独立性和公正性,可以适当予以资金支持或补贴。同时,鼓励行业组织在自律监督过程中形成可信数据处理者的白名单并予以认定或采购,可有效提高行业组织的权威性。如在我国数据处理新型技术隐私计算领域,在2019—2022年,由隐私计算联盟、中国信通院云计算与大数据研究所牵头的“可信隐私计算评测”,共开展7批对共计124家企业的170款产品的评测。如能通过立法对行业自律组织的测评进行认定,无疑会推动行业组织甚至整个行业的可信环境建设。
(四)规范转向的适当谦抑
即使通过立法转向引导数据处理主体进行自我规制的出发点是为了促成数据处理主体的自我反思并维护其权益,但从性质上而言,该进路仍属于公权力对私主体的干预。在数据安全风险规制中,公权力在介入私权领域时必须保持谦抑性理念。否则,不仅会导致社会主体规制负担过重,侵害其基本权利,也会导致政府推卸规制责任、不作为。对此,一方面,可以借助功能适当原则综合考虑规制事项对规制职责进行划分,将适合自我规制的事项划至自我规制范围内;另一方面,对于划分至自我规制范围内的事项要根据比例原则进行二次筛选,通过适当性、必要性和均衡性考量之后的事项才能最终交由社会力量进行自我规制。
六、结 语
从政府规制模式转向自我规制模式,是数据安全风险规制实践的必然趋势。反思法理论在规制理念、规制结构等方面的范式创新契合了我国数据安全风险的自我规制所需,并提供了具体进路。未来,我国数据领域的立法可以参考反思法理论的标准,在立法规制理念上从干预主义转向保障主义,在立法形式上从管理型、强制性立法转向促进型、激励性立法,在规范结构上优化组织型规范、程序型规范、沟通型规范和授权型规范,同时要注意保持谦抑,避免通过立法权这一公权力过多干预数据处理中属于私域范围的内部运营。这不仅可以解决我国数据安全风险规制的难题,也可以为其他新兴科技领域的风险规制与立法提供有益参考,促进新兴领域的立法高质化和治理现代化。
